面向智能汽車的信息安全漏洞評分模型

于海洋，陳秀真，馬進，周志洪，侯書凝

面向智能汽車的信息安全漏洞評分模型

于海洋1,2，陳秀真1,2，馬進1,2，周志洪1,2，侯書凝1,2

（1. 上海交通大學網絡安全技術研究院，上海 200240；2. 上海市信息安全綜合管理技術重點實驗室，上海 200240）

隨著汽車智能化、網聯化的發展，汽車中集成了越來越多的電子器件，數量龐大的硬件、固件和軟件中隱藏著各種設計缺陷和漏洞，這從根本上導致了智能汽車信息安全問題。大量汽車漏洞的披露，嚴重影響了汽車安全，制約了智能汽車的廣泛應用。漏洞管理是降低漏洞危害、改善汽車安全的有效手段。在漏洞管理流程中，漏洞評估是決定漏洞處置優先級的重要一環。但是，現有的漏洞評分系統不能合理地評估智能汽車安全漏洞。為了解決智能汽車漏洞評估不合理的問題，提出面向智能汽車的信息安全漏洞評分模型。基于通用漏洞評分系統（CVSS）漏洞評分原理，根據智能汽車的特點，優化了CVSS的攻擊向量和攻擊復雜度，并添加了財產安全、隱私安全、功能安全和生命安全4個指標來刻畫漏洞可能對智能汽車造成的影響；結合機器學習的方法，對CVSS評分公式參數進行了調整，以使其更好地刻畫智能汽車信息安全漏洞特點，適應調整后的指標權重。通過實例評估和統計系統特征分布發現，模型擁有更好的多樣性和更穩定連續的特征分布，表明模型可以更好地對不同漏洞進行評分；并且基于模型評估得到的漏洞評分，應用層次分析法給出整車脆弱性評估，表征整車風險水平。所提模型相比現有模型可以更為合理地評價智能汽車中信息安全漏洞的嚴重程度，科學地評估整車或者部分系統的安全風險，為汽車漏洞的修復與加固提供依據。

智能汽車；通用漏洞評分系統；漏洞評分；風險評估；非線性回歸；層次分析法

0 引言

智能汽車是國家近年來的重要戰略發展布局之一[1]，各大重點城市、互聯網企業、安全公司均已經啟動智能汽車行業的發展布局。對于智能汽車而言，穩定性與安全性是至關重要的兩個指標。然而，由于汽車智能化、網聯化程度的提高，潛在信息安全問題急劇增多，對穩定性和安全性造成了嚴重危害，這成為影響智能汽車廣泛應用的一個瓶頸。

智能汽車面臨信息安全問題的根本原因在于汽車硬件、軟件、協議的具體實現上或系統安全策略上存在缺陷，智能汽車內部集成了數以萬計的電子器件、運行了千萬行以上的代碼，而且平均每千行代碼就可能出現15～50個錯誤。在如此龐大的電子器件數量與代碼量基數下，智能汽車中必然存在眾多嚴重的安全漏洞，汽車漏洞已經成為影響汽車穩定性和安全性的關鍵因素。由于智能汽車的信息安全問題成為影響其廣泛應用的瓶頸，整車廠商、汽車零部件制造商等生產制造企業亟須了解生產的零部件或者整車產品存在的潛在安全風險與威脅，需要將風險控制在合理的范圍內，提供更加安全可靠的產品。另外，智能汽車的使用者需要對智能汽車的安全狀況有一個明確的認知，特別是關系到生命安全的切身問題。無論是智能汽車生產方還是使用方，都需要一種科學可信的方法來了解智能汽車安全狀況，這離不開智能汽車信息安全漏洞評估技術。

對于漏洞嚴重性的評估，在傳統信息安全領域中已經有被業界廣泛接受的通用漏洞評分系統（CVSS，common vulnerability scoring system）。但是由于智能汽車的特殊性，汽車漏洞不僅影響智能汽車的正常駕駛功能，還會對駕駛人員或乘客造成生命威脅，CVSS不能夠合理地評估汽車漏洞的嚴重性。因此，在汽車信息安全領域亟須一種能夠合理評價汽車漏洞嚴重性的評價系統。

本文基于主動防御的思想，結合智能汽車信息安全漏洞的特殊性，提出一種新型漏洞評分模型——面向智能汽車的信息安全漏洞評分模型（VSMIV，information security vulnerability scoring model for intelligent vehicles）。系統采用與CVSS相同的使用方法，通過權值確定和評分計算的方法進行汽車信息安全漏洞的評估，具有較好的可用性，并且添加的汽車信息安全相關指標能夠較好地刻畫漏洞對汽車安全的影響，保證了模型的有效性，使該系統可以對智能汽車中的信息安全漏洞嚴重性進行科學合理的評價，為智能汽車信息系統安全評估、漏洞修復與系統加固提供支撐。

如果沒有特殊說明，本文提到的CVSS公式和評分方法均為CVSS 3.0版本的公式與評分方法。

1 相關工作

本文基于信息安全業界廣泛接受的通用漏洞評分系統，研究面向智能汽車的信息安全漏洞評分模型，實現了智能汽車漏洞嚴重性的合理評價。下面給出與信息安全漏洞評估相關的一些研究工作。

Zhao等[2]提出了一種針對動態攻擊的脆弱性評價方法，該方法包括兩個層次的評價：漏洞級別的評估和系統級別的安全評估。漏洞級別的評估是基于CVSS的拓展評估方法，系統評估是基于自適應攻擊圖的評價方法。最后通過實驗證明了方法的有效性，并且驗證了在動態網絡場景下具有更好的效果。

Keramati等[3]提出一種新型的漏洞評分系統，并考慮了時間等動態因素。該系統從漏洞可行性與漏洞影響兩方面評價漏洞嚴重性，可用于安全的動態評估。與CVSS不同的是，該系統使用概率估計計算漏洞可行性，并考慮到了漏洞本身和時間的因素。最后，驗證了該系統在評分的多樣性和準確率兩個方面比CVSS表現更好。

Li等[4]提出一種新型的安全框架來對云服務漏洞進行評分，并且開發了評分系統的原型，可以通過該系統原型獲得漏洞排名，云服務提供商可以根據漏洞排名修復最關鍵的漏洞，并通過實例證明該系統在云服務漏洞評分方面比CVSS更為出色。

Liu等[5]提出一種新型的定量、定性漏洞評分系統，采用基于CVSS的漏洞評分方法，對漏洞影響度的生成與計算做了修改，使用基于規則的漏洞影響度評價方法，給出基于規則的漏洞影響度的評級表，并進一步根據評級表確定漏洞影響度。定量的方法將漏洞評級作為評分數值，與漏洞可行性分值代入評分公式運算得到。漏洞可行性分值與CVSS的可行性分值計算方式相同，并且該模型在1999年到2008年的漏洞數據集上取得了較好的檢驗效果。

Spanos等[6]提出一種基于CVSS的新型定量評分系統WIVSS，其影響度計算基于CVSS影響度的計算方法并對權值做了改進。使用基于規則的影響度指標權值生成方法，分析指標關系獲得對應規則，根據規則進行數學近似得到評分指標的權值，通過各個影響度指標相加得到影響度分值，再將漏洞可行性分值代入CVSS 2.0版本的公式中進行最終漏洞評分的計算。

Ur-Rehman等[7-8]提出了一種基于CVSS的復雜信息系統拓展漏洞評分模型，該改進模型根據物聯網與傳統網絡之間的差異，修改了攻擊向量與攻擊復雜度指標，并且添加了人身安全指標，該指標體現了物聯網特點，能夠更好地評價物聯網漏洞。添加的各個指標權值的確定依據是實驗室分析和過去的經驗，通過對CVSS公式簡單擴展實現了漏洞的評分。在此基礎上，他們又提出了一種基于CVSS的復雜工業控制系統拓展漏洞評分系統，在物聯網指標的基礎上添加了過程可視性、過程控制和過程監控等過程安全相關的指標。進一步使用貝葉斯信念網絡確定對應的指標權值，并對CVSS公式做了修改擴展得到漏洞評分計算公式。

總體來說，一方面，目前的安全漏洞評分模型主要是針對特定應用領域，包括云服務、工控網絡等，現有的漏洞評價方案不能直接應用于汽車漏洞嚴重性的評估，通用的漏洞評價系統在汽車安全領域無法合理地對汽車漏洞進行評價。另一方面，現有的漏洞評價系統指標僅為安全相關屬性，漏洞修復和安全加固涉及多個方面，僅有體現安全影響的漏洞評分是不夠的。

在此背景下，針對汽車信息安全領域缺乏一種有效評估汽車漏洞方法的現狀，本文提出一種面向智能汽車的信息安全漏洞評分模型，用于合理評價汽車信息安全漏洞的嚴重性。

2 VSMIV評分模型

智能汽車的信息安全威脅不僅會影響信息的保密性、完整性和可用性，還會帶來隱私泄露，如地理位置信息、用戶行駛記錄等，因此，本文結合通用漏洞評分系統的工作原理[9]，參考《道路車輛功能安全》國際標準ISO 26262[10]、車輛電子安全入侵防護應用（EVITA，E-safety vehicle intrusion protected applications）[11]和Den-Hartog等[12]對汽車安全與隱私應用研究，提出智能汽車漏洞評分模型（VSMIV）。

面向智能汽車的信息安全漏洞評分模型如圖1所示，評分模型由兩部分構成，可行性評分部分和影響評分部分：可行性評分部分評估漏洞被利用的難度，包含攻擊向量、攻擊復雜度、權限要求和用戶交互4個方面的指標，可以通過可行性計算公式得出；影響評分部分評估漏洞被利用后可能造成的影響，由機密性、完整性、可用性和隱私安全、財產安全、功能安全、生命安全指標通過影響計算公式得出漏洞影響分值。漏洞影響嚴重度的最終評分ICV由可行性分值和影響分值聯合得出，具體的計算如式(1)所示。

圖1 面向智能汽車的信息安全漏洞評分模型

Figure 1 Information security vulnerability scoring model for intelligent vehicle

其中，i和e分別表示漏洞影響分值和漏洞可行性分值，scope表示漏洞的影響范圍，用來評價某個易受攻擊組件中的漏洞是否影響其安全范圍以外組件中的資源，如位于車載娛樂系統的漏洞，被利用后可以影響到車內CAN總線控制車輛行為，這就是發生了影響范圍的改變。如式(1)所示，漏洞的影響分值i小于等于0時，代表在當前評價指標下該漏洞不會產生危害，故最終評分為0。當漏洞的影響分值i大于0且影響范圍不發生改變，漏洞影響嚴重度的最終評分ICV取10與i、e之和加上偏差常量0.2的最小值；當漏洞的影響分值大于0且影響范圍發生改變時，此時漏洞可能造成的危害比范圍不發生改變時大，參照CVSS影響范圍改變對漏洞評分的影響，漏洞影響嚴重度的最終評分ICV取10和1.08.(i+e)+0.2的最小值，因為漏洞評分的最高值為10。當漏洞影響范圍改變時，造成的危害會更為嚴重，借鑒CVSS對于漏洞影響范圍的調整權值，此處使用1.08作為權值對漏洞影響分值進行調整。

在式(1)得出最終的漏洞評分之前，式(1)中的小數計算依賴具體實現算法的小數精度，式(1)中的Roundup函數實現小數向上取整，該函數保留的數據精度是小數點后5位。如Roundup(1.200 03)的結果是1.3，最小評分單位為0.1，所以最后結果會保留到1位小數。在此處沒有采用常用的四舍五入取整的方式，因為四舍五入會舍棄不大于5的部分。這會導致部分漏洞的最終評分低于其未取整評分，在安全領域這是要盡量避免的；向上取整得到的評分總是會大于等于其未取整評分，而高估漏洞評分相對而言是比較安全的，所以在此處的小數處理選擇了向上取整的方式。

2.1 可行性分值

可行性分值e用于刻畫漏洞被利用的可行性程度，評價指標由攻擊向量av、攻擊復雜度ac、權限要求pr和用戶交互ui組成。可行性分值S具體的計算式為

其中，攻擊向量av={網絡,遠程訪問R,相鄰網絡，近程訪問v，本地網絡，物理接觸，物理訪問v}描述了漏洞被利用的路徑或手段，7.57是可行性的權值。此處，新的汽車攻擊向量為遠程訪問、近程訪問和物理訪問值(vv、v)。與傳統設備相比，智能汽車遠程訪問比網絡訪問困難，但比鄰接網絡簡單，故其權值

汽車近程訪問主要是指藍牙、射頻等近場通信技術，與CVSS攻擊向量中相鄰網絡的定義較為相似，故近程訪問值取S=。物理訪問汽車比物理訪問計算機更為容易，汽車通常停放在室外或者停車場，而計算機通常存放在機房，故P>。智能汽車相關的漏洞可能涉及遠程服務器漏洞、通信協議漏洞等方面，所以此處保留與CVSS相同的攻擊向量，與智能汽車攻擊向量組成最終的攻擊向量集。并且，規定在描述智能汽車漏洞的攻擊向量時，應該優先考慮智能汽車專用的攻擊向量。

攻擊復雜度描述了漏洞被利用的復雜程度。其取值可為低、中、高、極高4種復雜程度，分別對應、、、H。其中，復雜程度中等和極高是智能汽車專用的攻擊復雜程度。具體分級標準如表1所示。

權限要求pr描述了漏洞被利用時的權限要求，分為高、低、無3種情形，在漏洞影響范圍改變時該指標的高、低兩種類型取值會發生改變。無權限要求指攻擊者在攻擊前是未授權狀態，不需要任何文件訪問權限或系統設置權限即可發起攻擊。低權限要求指攻擊者需要基本用戶權限來訪問用戶文件或者配置，從而達成攻擊。高權限要求指攻擊者需要對受攻擊目標或組件擁有管理或控制權限。

表1 攻擊復雜度分級標準

用戶交互ui描述了在漏洞被利用時是否需要用戶交互操作，該指標包含需要和不需要兩種類型。

2.2 影響分值

影響分值i用于描述漏洞被利用后對系統造成的影響與損失，評價指標從兩個不同的視角出發，一個是對信息安全三要素造成的危害，具體包括機密性c、完整性i和可用性a；另一個是對智能汽車安全要素造成的危害，智能汽車安全要素包含生命安全hsi、財產安全pl、功能安全I和隱私安全ps。影響分值的具體計算公式如式(3)所示。

與CVSS直接使用安全三要素c、i、a計算得到影響分值ISS不同，式(4)、式(5)首先使用信息安全三要素c、i、a和智能汽車安全要素hsi、pl、f、ps計算得出信息安全影響值ISSSEC和智能汽車安全影響值ISSICV。然后，式(6)通過信息安全影響值ISSSEC和智能汽車安全影響值ISSICV加權計算得到影響分值ISS。其中0.6和0.4是分別賦予智能汽車安全影響值ISSICV和信息安全影響值ISSSEC的權值，代表在評估漏洞影響時智能汽車安全影響和信息安全影響兩部分所占的權重大小。

從這兩類指標評估一個智能汽車漏洞的影響，一方面，從后果嚴重性上來說，智能汽車安全指標包含漏洞對生命安全的損害，此類指標相比信息安全指標更重要，應該分配更高的權值；另一方面，本模型主要評估智能汽車信息安全漏洞，在權值分配時應該更加偏向智能汽車安全，所以最終給智能汽車安全指標分配了0.6的權值，而信息安全指標分配了0.4的權值。

在CVSS中，只考慮信息安全三要素，直接將信息安全影響值ISSSEC作為影響分值ISS進行后續計算，而此處加權計算綜合考慮到了信息安全要素和智能汽車因素，其權值分配根據實驗分析和過往經驗得出。

信息安全影響分值具體評價指標是機密性、完整性和可用性，每個指標對應有高、低、無3個等級。每個等級分別表征該漏洞對相應信息安全要素的損害程度，具體分級標準如表2所示。

表2 機密性、完整性、可用性指標分級標準

表3 生命安全、財產安全、功能安全和隱私安全指標分級標準

智能汽車影響分值具體評價指標由生命安全、財產安全、功能安全和隱私安全4個指標組成。每個指標對應有高、低、無3個等級，每個等級分別表征該漏洞對相應指標的威脅程度，具體分級標準如表3所示。漏洞可行性指標和影響指標對應的不同評級取值如表4所示，該取值參考Ur-Rehman等[7-8]的取值結合實驗分析和過往的經驗得出。其中，影響范圍的取值為改變C和未改變U，該項指標會影響式(1)和式(3)，也就是漏洞影響分值計算公式和最終評分公式的計算。如式(3)中，如果影響范圍未改變影響分值，則i計算取7.08.ISS，如果影響范圍改變，則i計算取7.53.(ISS?0.029)?3.24.(ISS?0.02)15。

表4 評分指標權值

評價指標的各項要素根據其關鍵點進行區分和評定，如完整性和可用性的區分，完整性側重于數據未被篡改，數據是可靠且正確的；可用性側重于評價合法用戶能否對系統或者資源正常訪問。例如，CVE-2019-9493使用固定管理員憑證后可以獲得汽車的控制權限，遠程進行車輛鎖定，損害了可用性，但并未對完整性造成損害。

2.3 基于層次分析法的整車脆弱性評估

層次分析法（AHP，analytic hierarchy process）是將復雜問題分解為若干層次的準則和指標，定性與定量結合的決策分析方法[13]。現有研究已經成功將層次分析法應用于網絡安全風險評估[14-15]和車載系統安全評估方面[16]。本節參考現有研究成果，基于層次分析法提出一種整車脆弱性評估方法，以攻擊面、系統安全和數據安全為準則建立層次化結構模型，如圖2所示。

圖2 整車脆弱性評估層次結構模型

Figure 2 Hierarchical model of vehicle vulnerability evaluation

以準則層中的攻擊面、系統安全和數據安全為基礎，建立指標層。攻擊面包括物理訪問、近距離訪問和遠距離訪問；系統安全包括權限提升、命令執行和行為控制；數據安全包括數據保密性、數據完整性和數據可用性。

攻擊面、系統安全和數據安全構成整車脆弱性評估的準則層。其中，攻擊面描述整車通過不同途徑被攻擊的可能性，系統安全和數據安全描述整車遭受攻擊后受到影響的方面。例如，CVE-2019-13582通過Wi-Fi連接可以向Wi-Fi模塊植入惡意代碼或者造成該模塊拒絕服務。該漏洞通過Wi-Fi發起攻擊，Wi-Fi屬于攻擊面的近距離訪問，植入的惡意代碼屬于系統安全的命令執行，拒絕服務屬于系統安全的行為控制，故該漏洞可以對攻擊面的近距離訪問指標、系統安全的命令執行指標和行為控制指標造成影響。

參考文獻[16]中層次分析法的九分位的相對重要比例標度和公式計算得到判斷矩陣和指標綜合權重，具體如圖3～圖6所示。

圖3 準則層對目標層的判斷矩陣

Figure3 Judgment matrix of criterion layer to target layer

圖4 指標層對準則層中攻擊面的判斷矩陣

Figure4 Judgment matrix of attack surface in index layer to criterion layer

圖5 指標層對準則層中系統安全的判斷矩陣

Figure5 Judgment matrix of system security in index layer to criterion layer

圖6 指標層對準則層中數據安全的判斷矩陣

Figure 8 Judgment matrix of data security in index layer to criterion layer

通過判斷矩陣可以計算得出各項指標的綜合權重，首先需要獲得各個判斷矩陣的權重矩陣。以準則層對目標層的判斷矩陣W為例，獲得權重矩陣的步驟為：

1) 判斷矩陣列歸一化；

2) 列歸一化后的矩陣行求和；

3) 將得到的行求和再次歸一化。

可以通過相同的方法得到指標層的權重矩陣：指標層對于攻擊面的權重矩陣as，指標層對于系統安全的權重矩陣ss，指標層對于數據安全的權重矩陣ds。將權重矩陣擴充為1×9的權重向量，具體擴充方式如下。

由指標層權重矩陣獲得指標層對準則層的權重矩陣zz，具體公式如下。

獲得準則層對目標層的權重矩陣和指標層對準則層的權重矩陣后，即可計算綜合權重矩陣。

獲得綜合權重后，通過漏洞評估獲得各項指標的評分，即可計算整車脆弱性指標S。漏洞評估規則是如果該項指標能被漏洞影響則取該漏洞評分，被多個漏洞影響則取最高分值。各項指標的取值向量為(1,2,,9)，S的計算公式如下。

獲得的整車脆弱性指標范圍是從0到10，數值越大說明整車安全性越低，安全隱患越大。

3 基于非線性回歸的公式參數擬合

各項指標權值的選取參考CVSS和Ur-Rehman等[7-8]在工控系統中模型的權值，模型公式是參考CVSS的計算公式，來自工控系統和傳統網絡的指標權值和針對傳統網絡的計算公式并不能體現智能汽車漏洞的特點。因此，參考CVSS建立思路，使用智能汽車漏洞數據對公式進行擬合。為了簡化問題，使用CVSS原本的公式不變，僅對其中參數進行調整。于是，本文模型結合機器學習采用非線性回歸的方法對CVSS公式中的權值進行調整。

3.1 模型建立

對收集到的智能汽車漏洞進行專家評分，獲得嚴重等級和評分，然后使用機器學習方式對參數進行擬合，參數擬合的過程可以建模為非線性回歸的過程。

本文將式(1)～式(6)作為模型f，選擇式(2)和式(3)中系數[7.08, 7.53, 3.24, 7.57]位置所在參數，加上式(1)中的偏差0.2，共5個待訓練參數。

模型的輸入為漏洞的各項指標，當前權值和當前偏差。和的初始值取[6.42, 7.52, 3.25, 8.22]和0，該初始值下的模型公式是CVSS的原始公式。模型的輸出即對于當前漏洞輸入的各項指標所對應的預測評分。

智能汽車漏洞數據是收集的不同車型、車內組件和芯片的漏洞，數據集大小為223，將存在異常值以及缺失值的數據去除之后數據集大小為219，獲得輸入特征和標簽，以CVE-2020-29440為例，數據格式為[0.55, 0.77, 0.85, 0.85, 6.42, 0, 0.56, 0, 0.56, 0, 0.56, 0.97, 8.5]。模型輸出為評分預測值，輸入特征有11個，具體為攻擊向量av、攻擊復雜度ac、權限要求pr、用戶交互ui、影響范圍、機密性、完整性、可用性、財產安全pl、隱私安全ps、功能安全和生命安全hsi。其中，影響范圍對應的數值6.42僅作為范圍是否改變的標識，不參與訓練。

損失函數和優化函數的定義如下。損失函數用來評價當前參數下預測值和真實值之間的差距，優化函數需要利用損失值對模型參數進行優化，以達到更低的損失值，獲得更好的擬合效果。這里使用均方誤差函數進行損失計算，優化函數使用Adam函數。

3.2 模型訓練與訓練結果

設置學習率lr為0.001，epoch為100，Adam算法的1=0.9，2=0.999，=1×10?8。

訓練完成之后，模型已經收斂，損失函數的損失值變化小于0.000 1，并且漏洞嚴重等級準確率達到80%以上。漏洞嚴重等級準確率是通過在當前參數下預測值和專家評分的真實值標簽落在相同的嚴重等級區間內的樣本計算得到的，訓練結果如表5所示。

表5 模型訓練結果

4 實驗測試與結果分析

為了測試本文提出漏洞評分方法的有效性，選取智能汽車領域的10個典型漏洞進行分析測試，從漏洞評分的合理性以及漏洞評分的分布兩個方面來評價所提算法的效果。并且在本節最后應用層次分析法對特斯拉Model X進行整車脆弱性評估。

驗證有效性所選10個典型漏洞的簡要描述如表6所示。

4.1 漏洞評分分析

如表7、表8所示，給出所選漏洞在VSMIV評分模型下的漏洞各指標取值，使用表中的權值，代入VSMIV公式即可得到每個漏洞的評分分值。

表6 漏洞描述

表7 漏洞可行性指標權值

具體分值如表9所示，其中除了由VSMIV評分獲得漏洞評分外，還包括通用漏洞評分系統CVSS、基于CVSS的工控網絡評分系統CVSSIOT[7-8]。CVSSIOT是在CVSS基礎上兼容工業控制系統并做優化得到的評分模型，是基于CVSS面向其他環境下拓展的比較有代表性的模型。

表9 CVSS、CVSSIOT與VSMIV評分比較

由具體漏洞描述可知，屬于傳統安全漏洞，而且不涉及車輛駕駛功能和威脅人身安全的漏洞有：編號為CVE-2018-18203的固件升級漏洞，編號為CVE-2018-9318的提權漏洞，可以導致惡意代碼注入和Wi-Fi拒絕服務的漏洞CVE-2019-13582。VSMIV對于此類漏洞評分稍有降低，而對于涉及車輛駕駛功能和威脅人身安全的漏洞評分，比CVSS評分高。

（1）VSMIV對于傳統安全漏洞的評分

如表9所示，VSMIV對于此類傳統漏洞評分整體有降低，而且在合理的范圍內，如漏洞CVE-2019-13582和漏洞CVE-2018-9318分別由9.8下降到9.5和9.2。漏洞CVE-2018-9318評分下降的原因是在新增的評價指標中不會損害人身安全和造成嚴重的經濟損失，僅會對隱私指標造成影響，導致信息泄露。另外，其中評分上升的特例是漏洞CVE-2018-18203，其評分7.2相比CVSS評分6.4有所提升，是因為該漏洞位于車載信息娛樂系統，屬于關鍵系統漏洞。

表8 漏洞影響指標權值

（2）VSMIV對于涉及車輛駕駛功能和人身安全漏洞的評分

車載信息娛樂系統相關的漏洞在本文模型下的評分較CVSS中的評分多數提升了一個威脅等級。車載信息娛樂系統被控制執行任意命令，在車輛系統中會引起比傳統IT系統更為嚴重的后果，部分車載信息娛樂系統甚至可以直接與CAN總線通信。因此，車載信息娛樂系統屬于能夠影響到車輛駕駛功能和人身安全的關鍵系統，該系統相關的漏洞具有更高的危害，應該得到更高的評分，最終VSMIV評分的結果與預測一致。

除了車載信息娛樂系統相關漏洞，涉及駕駛功能的漏洞和能夠控制CAN總線的漏洞普遍比CVSS給出的評分高。

（3）CVSSIOT對于傳統安全漏洞的評分

CVSSIOT模型對于此類4個傳統安全漏洞的評分，普遍下降且下降幅度較大，該模型將漏洞對人身安全的威脅納入考查指標，然而此類4個漏洞均不涉及威脅生命安全。雖然不涉及生命安全，但是可以給攻擊者后續攻擊提供良好的信息支撐或立足點。因此，該模型評分給出的漏洞評分過低，無法正常體現漏洞的危害性。

（4）CVSSIOT對于汽車安全漏洞的評分

除屬于傳統安全的4個漏洞之外，其余漏洞相較于CVSS評分均有不同程度的上升。而在CVSSIOT模型下的評分則是普遍下降，其中漏洞CVE-2018-18071，CVSSIOT模型僅能根據漏洞造成的隱私泄露來評價該漏洞，無法評價遠程控制車輛可能造成的危害，因此對于該漏洞的評分由CVSS的7.5降到4.9。CVE-2017-14937和CVE-2017-9647評分則有所上升，具體原因是兩漏洞原始評分均較低，但都與人身安全相關，故該模型給出了相比CVSS較高的評分。

（5）評分整體穩定性

整體來看，CVSSIOT能夠在一定限度上評價汽車漏洞的威脅，但是由于其評價指標過于單一，導致該指標會大幅影響到漏洞的評分，相比本文模型，CVSSIOT評分與CVSS評分總體差距較大，無法保證評分的相對穩定性。本文模型新增的生命安全、財產安全、隱私安全和功能安全指標可以將多個因素考慮在內，更加合理地評價汽車漏洞可能對智能汽車或相關人員造成的影響，并且能夠保證評分與CVSS評分的相對穩定性。

4.2 漏洞評分分布與多樣性分析

除漏洞評分比較外，本文還進行了模型分布的統計與比較，將所有不同的指標權值組合輸入模型，使用Python和pyecharts將模型的輸出進行結果統計和分布曲線繪制，得到了CVSS、CVSSIOT和VSMIV的模型分布圖，如圖7～圖9所示，通過模型分布圖，可以更好地比較模型的分布情況。

與CVSS的特征分布相比，VSMIV模型具有更好的穩定性，相鄰分布之間的變化更為平緩，且特征曲線相較CVSS更貼近正態分布，可以更好地刻畫漏洞分布情況：分布平緩連續可以有效避免過多極端值的出現，分布近似正態離散更能客觀有效地區分不同漏洞的嚴重性[17]。并且，在CVSS的分布中，評分為0的情況遠多于其他情況，與之相比，VSMIV并沒有此種情況的出現。與CVSSIOT相比，VSMIV的數值分布更為平滑，而CVSSIOT的評分相鄰數值存在較大差距，部分取值出現次數少，使相似漏洞容易產生相同的漏洞評分。

圖7 CVSS模型分布

Figure 7 CVSS model distribution

圖8 CVSSIOT模型分布

Figure 8 CVSSIOTmodel distribution

圖9 VSMIV模型分布

Figure 9 VSMIV model distribution

漏洞本身具有復雜性和多樣性，評分系統擁有良好的評分多樣性，可以使評分系統更好地評價漏洞特點[6,18-19]。VSMIV、CVSS和CVSSIOT的評分結果是有限的，不同的評分指標組合可能產生相同的評分結果，評分結果共有101種可能取值，范圍從0到10且最小步長是0.1。評分多樣性是統計評分系統所有可能的評分結果，可能取值數量越接近101，則認為評分多樣性越好。如表10所示，在評分多樣性方面，VSMIV可能取值數量為94，CVSS的取值數量為84，而CVSSIOT的取值數量是87。這表明VSMIV的系統多樣性取值優于CVSS和CVSSIOT的系統多樣性，VSMIV可以更好地表達不同漏洞的嚴重程度。

表10 系統分布多樣性

基于評分模型特征分布曲線和評分多樣性，可以得出本文提出的評分模型對于汽車漏洞的特征表達和刻畫能力高于CVSS版本和CVSSIOT模型。

4.3 整車脆弱性評估實例

本節將基于2.3節中給出的判斷矩陣和式(7)～式(10)，使用層次分析法對特斯拉Model X進行整車脆弱性的評估。通過判斷矩陣和式(7)～式(9)，得到各項指標的綜合權重。特斯拉Model X上存在的漏洞與本文模型下的評分如表11所示。

表11 特斯拉Model X漏洞的VSMIV評分

根據上述CVE漏洞，對特斯拉Model X進行漏洞評估，獲得該車型的各項指標得分如表12所示。漏洞評估規則是如果該項指標能被漏洞影響則取該漏洞評分，被多個漏洞影響則取最高分值。

使用式(10)對指標向量和指標綜合權重進行計算，即可得出特斯拉Model X的整車脆弱性S為8.6，表明該車型安全性存在較大隱患。

表12 特斯拉Model X各項指標得分與權重

5 結束語

本文提出的面向智能汽車的信息安全漏洞評分方法，建立了基于生命安全、財產安全、隱私安全和功能安全的漏洞影響計算模型，并且根據智能汽車特點優化了漏洞可行性計算模型中的攻擊向量和攻擊復雜度指標，很好地解決了基于信息安全三要素的CVSS無法合理評價智能汽車漏洞嚴重性的問題。與典型的CVSS相比，VSMIV漏洞評分能夠評價漏洞對車輛功能造成的影響，判斷漏洞是否會導致功能受損或者車輛異常行為等問題；生命安全指標能夠直接判斷漏洞是否會對人員生命安全造成威脅以及何種程度的威脅；此外，添加了財產損失相關的指標，因此漏洞評分能在一定限度上反映該漏洞可能對資產擁有者造成的財產損失。并且，本文提出的基于非線性回歸的方法擬合了在現有指標權值上的公式參數，使該模型能夠更好地表示和刻畫智能汽車漏洞。實驗測試結果顯示，對于相同的汽車漏洞，VSMIV漏洞評分更為合理，并且模型相較于CVSS評分系統具有更好的多樣性，相鄰評分之間的分布變化更為穩定連續。與CVSSIOT相比，VSMIV采取的評分指標更加豐富，評分穩定性與多樣性也更好。因此，VSMIV評分模型可以更為合理地進行漏洞威脅評級。基于本文模型給出的漏洞評分，對特斯拉Model X應用層次分析法得到該車型的整車脆弱性評分，為系統管理人員更清晰地認知整車安全狀況和漏洞修復提供了有效參考。

[1] 田野. 11部門聯合發布《智能汽車創新發展戰略》[J]. 智能網聯汽車, 2020(2): 6-7.

TIAN Y. 11 departments jointly released intelligent vehicle innovation and development strategy[J]. Intelligent Connected Vehicles, 2020(2): 6-7.

[2] ZHAO F, HUANG H Q, JIN H, et al. A hybrid ranking approach to estimate vulnerability for dynamic attacks[J]. Computers & Mathematics with Applications, 2011, 62(12): 4308-4321.

[3] KERAMATI M. New vulnerability scoring system for dynamic security evaluation[C]//Proceedings of 2016 8th International Symposium on Telecommunications (IST). 2016: 746-751.

[4] 李舟, 唐聰, 胡建斌, 等. 面向SaaS云平臺的安全漏洞評分方法研究[J]. 通信學報, 2016, 37(8): 157-166.

LI Z, TANG C, HU J B, et al. Vulnerabilities scoring approach for cloud SaaS[J]. Journal on Communications, 2016, 37(8): 157-166.

[5] LIU Q X, ZHANG Y Q. VRSS: a new system for rating and scoring vulnerabilities[J]. Computer Communications, 2011, 34(3): 264-273.

[6] SPANOS G, SIOZIOU A, ANGELIS L. WIVSS: a new methodology for scoring information systems vulnerabilities[C]//Proceedings of the 17th Panhellenic Conference on Informatics. 2013: 83-90.

[7] UR-REHMAN A, GONDAL I, KAMRUZZUMAN J, et al. Vulnerability modelling for hybrid IT systems[C]//Proceedings of 2019 IEEE International Conference on Industrial Technology. 2019: 1186-1191.

[8] UR-REHMAN A, GONDAL I, KAMRUZZAMAN J, et al. Vulnerability modelling for hybrid industrial control system networks[J]. Journal of Grid Computing, 2020, 18(4): 863-878.

[9] BOZORGI M, SAUL L K, SAVAGE S, et al. Beyond heuristics: learning to classify vulnerabilities and predict exploits[C]//Proceed- ings of the 16th ACM SIGKDD international conference on Knowledge discovery and data mining. 2010: 105-114.

[10] ISO 26262. Road vehicles-functional safety[S]. 2011.

[11] EVITA. E-safety vehicle intrusion protected applications[S]. 2011.

[12] LE V H, DEN-HARTOG J, ZANNONE N. Security and privacy for innovative automotive applications: a survey[J]. Computer Communications, 2018, 132: 17-41.

[13] 郭亞軍. 綜合評價理論與方法[M]. 北京: 科學出版社, 2002. GUO Y J. Theory and method of comprehensive evaluation[M]. Beijing: Science Press, 2002.

[14] 劉瓊. 基于層次分析法的風險評估系統的研究與設計[D]. 西安: 西安電子科技大學, 2009.

LIU Q. Study and design of the risk assessment system based on analytic hierarchy process[D]. Xi'an: Xidian University, 2009.

[15] ZHANG Y J, DENG X Y, WEI D J, et al. Assessment of E-commerce security using AHP and evidential reasoning[J]. Expert Systems with Applications, 2012, 39(3): 3611-3623.

[16] 陳秀真, 吳越, 李建華. 車載信息系統的安全測評體系及方法[J]. 信息安全學報, 2017, 2(2): 15-23.

CHEN X Z, WU Y, LI J H. System and approach of security testing and evaluation for invehicle information systems[J]. Journal of Cyber Security, 2017, 2(2): 15-23.

[17] WANG R Y, GAO L, SUN Q, et al. An improved CVSS-based vulnerability scoring mechanism[C]//Proceedings of 2011 Third International Conference on Multimedia Information Networking and Security. 2011: 352-355.

[18] MELL P, SCARFONE K. Improving the common vulnerability scoring system[J]. IET Information Security, 2007, 1(3): 119.

[19] 謝麗霞, 徐偉華. 改進漏洞基礎評分指標權重分配方法[J]. 計算機應用, 2017, 37(6): 1630-1635.

XIE L X, XU W H. Improved weight distribution method of vulnerability basic scoring index[J]. Journal of Computer Applications, 2017, 37(6): 1630-1635.

Information security vulnerability scoring model for intelligent vehicles

YU Haiyang1,2, CHEN Xiuzhen1,2, MA Jin1,2, ZHOU Zhihong1,2, HOU Shuning1,2

1. Institute of Cyber Science and Technology, Shanghai Jiao Tong University, Shanghai 200240, China 2. Shanghai Municipal Key Lab of Integrated Management Technology for Information Security, Shanghai 200240, China

More and more electronic devices are integrated into the modern vehicles with the development of intelligent vehicles. There are various design flaws and vulnerabilities hidden in a large number of hardware, firmware and software. Therefore, the vulnerabilities of intelligent vehicles have become the most important factor affecting the vehicle safety. The safety of vehicles is seriously affected by the disclosure of a large number of vulnerabilities, and the wide application of smart cars is also restricted.Vulnerability management is an effective method to reduce the risk of vulnerabilities and improve vehicle security. And vulnerability scoring is one the important step in vulnerability management procedure. However, current method have no capability assessing automotive vulnerabilities reasonably. In order to handle this problem, a vulnerability scoring model for intelligent vehicles was proposed, which was based on CVSS. The attack vector and attack complexity were optimized, and property security, privacy security, functional safety and life safety were added to characterize the possible impact of the vulnerabilities according to the characteristics of intelligent vehicles. With the machine learning method, the parameters in CVSS scoring formula were optimized to describe the characteristics of intelligent vehicle vulnerabilities and adapt to the adjusted and new added weights. It is found in case study and statistics that the diversity and distribution of the model are better than CVSS, which means the model can better score different vulnerabilities. And then AHP is used to evaluate the vulnerability of the whole vehicle based on the vulnerability score of the model, a score is given representing the risk level of whole vehicle. The proposed model can be used to evaluate the severity of information security vulnerabilities in intelligent vehicles and assess the security risks of the entire vehicle or part of the system reasonably, which can provide an evidence for fixing the vulnerabilities or reinforcing the entire vehicle.

intelligent vehicle, CVSS, vulnerability scoring system, risk assessment, nonlinear regression, AHP

s: The Joint Funds of the National Natural Science Foundation of China (U2003206), Shanghai industrial foundation project(GYQJ-2018-3-03)

于海洋, 陳秀真, 馬進, 等. 面向智能汽車的信息安全漏洞評分模型[J]. 網絡與信息安全學報, 2022, 8(1): 167-179.

TP393

A

10.11959/j.issn.2096?109x.2021096

于海洋（1996?），男，山東泰安人，上海交通大學碩士生，主要研究方向為車聯網信息安全、網絡安全。

陳秀真（1977?），女，山東聊城人，博士，上海交通大學副教授，主要研究方向為車聯網信息安全、網絡信息系統安全檢測與評估、社交網絡大數據分析。

馬進（1977?），女，山東滕州人，博士，上海交通大學高級工程師，主要研究方向為大數據與人工智能應用、車聯網信息安全、網絡空間安全綜合管理新技術。

周志洪（1979? ），男，江西九江人，上海交通大學講師，主要研究方向為密碼應用、安全測評、車聯網安全。

侯書凝（1998? ），女，江西撫州人，上海交通大學碩士生，主要研究方向為車聯網信息安全。

2021?06?11；

2021?08?12

陳秀真，chenxz@sjtu.edu.cn

國家自然科學基金聯合基金（U2003206）；上海市工業強基專項（GYQJ-2018-3-03）

Format: YU H Y, CHEN X Z, MA J, et al. Information security vulnerability scoring model for intelligent vehicles[J]. Chinese Journal of Network and Information Security, 2022, 8(1): 167-179.