基于SOME/IP協議的汽車通信數據異常檢測方法研究

摘 要：SOME/IP協議作為一種重要的汽車通信中間件協議，為車輛之間和車輛與基礎設施之間的數據交換提供了高效的解決方案。本文基于SOME/IP協議研究一種新的汽車通信數據異常檢測方法，針對復制攻擊、斷連攻擊和發布訂閱攻擊等進行深入研究，引入SOME/IP協議進行數據交互和導向，利用廣播一致性檢測、請求響應配對檢測、網絡流量分析識別攻擊的異常通信數據，并引入加密與簽名技術，從而有效識別和防御潛在的安全威脅，提高車載網絡通信的安全性和可靠性。

關鍵詞：SOME/IP協議 汽車通信 通信數據 異常檢測

0 引言

汽車工業的快速發展使得現代汽車中電子控制單元（Electronic Control Units，ECUs）數量急劇增加，車輛內部網絡結構日益復雜。SOME/IP（Scalable service-Oriented MiddlewarE over IP）協議能夠很好地滿足不同ECU之間高效、可靠的通信需求，作為一種面向服務的中間件協議，廣泛應用于車載網絡中，通過提供動態服務發現、數據序列化和靈活的傳輸機制，極大地提升了汽車內部各系統間的數據交互效率。然而，隨著通信網絡的復雜性和數據流量的增加，通信數據中仍然會出現異常情況，如數據包丟失、延遲、篡改等，對汽車的安全性和可靠性構成了嚴峻挑戰。在汽車通信系統中，一旦出現異常數據，就會導致功能失效、系統崩潰甚至安全事故[1]。因此，本文提出基于SOME/IP協議的汽車通信數據異常檢測方法，從而保障汽車通信系統正常運行和車輛安全。

1 基于SOME/IP協議的汽車通信數據交互

通過SOME/IP協議對不同ECU進行高效信息交換，實現復雜的車輛功能協同。SOME/IP協議通過消息傳遞實現ECU之間的服務請求與響應，每條消息包含一個頭部（Header），頭部結構的組成字段如下表1所示：

當汽車處于通信狀態，ECU通過服務發現機制動態獲取網絡中可用的服務，提供服務的ECU向服務發現模塊注冊其可用服務，包含Service ID、Method ID、Interface Version等信息。請求服務的ECU通過廣播或特定請求消息向服務發現模塊詢問可用服務。當服務發現模塊接收到請求后，返回包含匹配服務的詳細信息。請求方ECU構建包含Service ID、Method ID、Client ID等信息的請求消息，并將其發送至服務提供方ECU。消息頭部的Message Type字段標識為Request，服務提供方ECU接收到請求消息后，處理請求并生成響應消息，響應消息包含處理結果或數據，Message Type字段標識為Response，響應消息發送回請求方ECU[2]。

2 基于SOME/IP協議的汽車通信數據導向

在完成數據交互后，利用SOME/IP協議的服務導向架構分析汽車通信數據導向，通過提供松耦合的服務來增強系統的靈活性和可擴展性。SOME/IP協議的服務獨立性使得系統能夠靈活地添加或修改服務，而無需重構整個系統，因此車載網絡能夠快速適應新功能的需求，提升系統的響應速度和適應性。獨立的服務架構簡化了維護工作，每個服務可以單獨更新和優化，而不會影響其他服務的正常運行，在降低維護復雜性的基礎上，提高系統的可靠性和可用性[3]。

SOME/IP支持同步和異步通信模式，在同步模式下，服務請求方發送請求并等待響應；在異步模式下，服務請求方發送請求后可以繼續執行其他任務，服務提供方在處理完成后再發送響應。服務導向架構促成不同系統和應用之間的集成，允許它們無縫協作。車載娛樂系統、導航系統和駕駛輔助系統可以通過SOME/IP協議進行數據交換和功能協同，從而提供更豐富的用戶體驗。汽車通信系統通過增加新的服務來擴展功能，無需修改現有的服務。

3 基于SOME/IP協議的汽車通信數據異常檢測

利用SOME/IP協議對汽車通信數據異常進行監督學習，通過汽車通信數據樣本信息找出數據輸入與輸出的聯系，確定閾值[4]。分析異常特征，進行汽車通信數據異常閾值檢測，針對不同時間序列的汽車通信數據，利用測量探針對目標通信網絡異常數據進行采集，在不同的時間序列下，將汽車通信網絡數據與電網異常數據進行聚合，其聚合公式如下：

式中，表示通信網絡數據對應的特征序列；表示聚合后的異常數據特征序列；表示聚合時間；聚合完成后，需要對和進行歸一化處理，在保留原始大數據的條件下對歸一化處理后的通信數據進行預處理，以便進行原始數據的多重分形性與周期性分析，數據預處理不會改變原始異常數據，處理完成后，SOME/IP協議的數據服務器異常閾值可由自相關函數得到，獲取公式為：

式中，表示通信數據服務器異常閾值；表示FARIMA模型對應的時間序列；表示FARIMA模型進行的階數差分。

閾值計算完成后，接下來進行閾值檢測。數據服務器異常閾值檢測公式為：

式中，表示閾值檢測時通信數據的異常輸出值；表示平穩序列；表示參數擬合后的非平穩序列。閾值檢測完成后，在不同的置信度下，SOME/IP協議的數據服務器異?？杀桓玫剡M行識別。

3.1 汽車通信數據復制攻擊檢測

汽車通信數據復制攻擊模式與重放攻擊模式類似，需要在存有中間人的環境下實現攻擊。復制攻擊通過在通信網絡中偽造通信服務廣播信息，欺騙客戶端，使其誤將攻擊者視為合法的服務提供者，從而使攻擊者與客戶端和服務端處在同一交換機網絡下，能夠接收到彼此的數據[5]。汽車通信數據復制攻擊如下圖1所示：

為了應對汽車通信數據復制攻擊，利用SOME/IP協議對服務廣播一致性進行檢測是一種有效的方法，通過監控網絡中服務廣播的頻率和內容，發現異常的服務廣播行為，如果突然增加的廣播頻率或者相同服務ID來自不同IP地址和端點信息，表明可能存在復制攻擊。利用請求響應檢測汽車通信網絡兩端的配對情況，在SOME/IP協議中記錄每個客戶端的請求消息及其目的地址，并驗證服務端返回的響應消息是否與請求消息匹配，從而發現身份信息篡改的情況。使用機器學習算法訓練正常通信模式的流量模型，檢測偏離正常模式的異常流量，分析請求與響應的時間間隔和順序，發現異常的時序特征，進一步確認中間人攻擊的存在。如果發現存在復制攻擊，引入加密與簽名技術，通過對敏感數據進行加密和使用數字簽名對每條消息進行簽名，確保通信數據的完整性和真實性，從而防止攻擊者篡改或偽造數據。

3.2 汽車通信數據斷連攻擊檢測

汽車通信數據斷連攻擊也是一種復雜的攻擊模式，需要在中間人環境下實現攻擊，它在復制攻擊的基礎上進一步優化，以確保攻擊者能夠成功截斷客戶端與服務端的連接，建立一個偽造的連接環境。斷連攻擊與復制攻擊的后半部分相似，即通過偽造的服務報文使客戶端與攻擊者建立連接，完成消息傳遞的中間人角色。不同之處在于，斷連攻擊在服務端廣播提供服務報文時，攻擊者立即向客戶端發送一條偽造成服務端身份的單播停止提供服務報文（StopOffer），同時再廣播自己偽造的服務報文，這樣客戶端就不會與真實的服務端建立連接，無論客戶端是已經連接還是剛選擇了服務端的服務。通過偽造StopOffer報文，攻擊者能夠更穩定地與客戶端建立連接，從而截斷客戶端與服務端之間的通信鏈路。

針對斷連攻擊的異常檢測，在SOME/IP官方文檔中，通過監控網絡中的服務廣播和停止服務報文，及時識別異常行為。當檢測到同一網絡中存在不合理的停止服務單播報文時，發出警報。分析用戶行為分析，通過學習正常的通信模式，識別異常的連接斷開和服務重新廣播行為。在SOME/IP的服務架構中引入網絡流量分析工具，識別不尋常的單播流量模式和頻率變化，從而檢測到潛在的斷連攻擊。實施強認證和加密措施，確保每個通信節點的身份驗證和數據完整性，以防止攻擊者偽造服務端身份。

3.3 汽車通信數據發布訂閱攻擊檢測

利用發布-訂閱機制同樣是中間人攻擊模式，通過操縱事件組訂閱過程，截斷客戶端與服務端的直接通信，從而在中間人位置獲取和轉發事件信息。這種攻擊利用了前述的服務提供攻擊策略，通過偽造服務事件組的訂閱和退訂報文，最終在中間人環境下實現對事件信息的控制和轉發。

根據圖2可知，發布訂閱攻擊模式服務端按照慣例廣播其提供的服務，客戶端和攻擊者均訂閱了服務端的事件組，并收到了服務端的確認幀，這表明服務端已記錄了客戶端和攻擊者的端點信息。隨后，攻擊者利用前述的復制攻擊或斷連攻擊，使客戶端相信其擁有所需的服務事件組，進而訂閱攻擊者的事件組。攻擊者在收到客戶端的訂閱報文后，立即回復確認幀，同時偽造一條包含客戶端端點信息的退訂事件組報文，發送給服務端。服務端在接收到這條退訂報文后，將不再向客戶端發送事件信息。

由于正常情況下，客戶端一旦訂閱服務事件組，通常不會頻繁發送退訂報文，因此可以利用SOME/IP協議設置異常閾值，檢測頻繁的退訂行為。一旦檢測到頻繁或不合理的退訂報文，立即發出警報。利用SOME/IP的行為分析方法學習正常的訂閱和退訂模式，識別異常的訂閱和退訂行為。對于每個客戶端的訂閱和退訂行為進行記錄和分析，識別異常的訂閱確認和退訂確認幀。實施強認證和加密措施，確保每個訂閱和退訂請求的真實性。數字簽名和公鑰基礎設施（PKI）有效防止攻擊者偽造訂閱和退訂報文。此外，網絡流量分析工具可以幫助識別不尋常的訂閱和退訂流量模式，檢測潛在的中間人攻擊。

4 結語

在現代智能汽車網絡中，SOME/IP協議作為一種高效的服務導向中間件協議，極大地提升了車載通信的靈活性和效率。本文分別分析了復制攻擊、斷連攻擊和發布訂閱攻擊的攻擊模式，針對這些攻擊利用SOME/IP協議提出有效異常檢測方法，檢測服務廣播一致性，檢測請求響應配對，分析網絡流量，并引入加密與簽名技術等多種手段，提高車載網絡通信的安全性，防御潛在的安全威脅。未來應繼續致力于優化現有的檢測算法，提高實時檢測的性能和準確性，并探索更多創新的防御機制。

參考文獻：

[1]高越.基于SOMEIP協議的SOA設計[J].汽車實用技術，2023，48（17）：71-75.

[2]黎嘉晨，蘭建平，周海鷹.面向集中域控的汽車電子電氣架構技術研究[J].湖北汽車工業學院學報，2022，36（4）：23-28.

[3]曹麗平，徐維，劉敏.車載以太網SOME/IP協議及一致性測試系統研究[J].汽車電器，2023（6）：55-58.

[4]吳珍珍.基于SOME/IP的車載網絡通信矩陣的設計[J].機電技術，2023（1）：84-88.

[5]張毅峰，歐陽頌華，魏鵬，等.SOME/IP車載以太網服務協議的關鍵技術與性能分析[J].現代電子技術，2023，46（5）：15-19.