随着汽车智能化、网联化的发展,汽车中集成了越来越多的电子器件,数量庞大的硬件、固件和软件中隐藏着各种设计缺陷和漏洞,这从根本上导致了智能汽车信息安全问题.大量汽车漏洞的披露,严重影响了汽车安全,制约了智能汽车的广泛应用.漏洞管理是降低漏洞危害、改善汽车安全的有效手段.在漏洞管理流程中,漏洞评估是决定漏洞处置优先级的重要一环.但是,现有的漏洞评分系统不能合理地评估智能汽车安全漏洞.为了解决智能汽车漏洞评估不合理的问题,提出面向智能汽车的信息安全漏洞评分模型.基于通用漏洞评分系统(CVSS)漏洞评分原理,根据智能汽车的特点,优化了CVSS的攻击向量和攻击复杂度,并添加了财产安全、隐私安全、功能安全和生命安全4个指标来刻画漏洞可能对智能汽车造成的影响;结合机器学习的方法,对CVSS评分公式参数进行了调整,以使其更好地刻画智能汽车信息安全漏洞特点,适应调整后的指标权重.通过实例评估和统计系统特征分布发现,模型拥有更好的多样性和更稳定连续的特征分布,表明模型可以更好地对不同漏洞进行评分;并且基于模型评估得到的漏洞评分,应用层次分析法给出整车脆弱性评估,表征整车风险水平.所提模型相比现有模型可以更为合理地评价智能汽车中信息安全漏洞的严重程度,科学地评估整车或者部分系统的安全风险,为汽车漏洞的修复与加固提供依据.

智能汽车;通用漏洞评分系统;漏洞评分;风险评估;非线性回归;层次分析法

于海洋;陈秀真;马进;周志洪;侯书凝

上海交通大学网络安全技术研究院,上海200240;上海市信息安全综合管理技术重点实验室,上海200240

网络与信息安全学报

[1]于海洋;陈秀真;马进;周志洪;侯书凝-.面向智能汽车的信息安全漏洞评分模型)[J].网络与信息安全学报,2022(01):167-179

通用漏洞评分系统

智能汽车,安全漏洞,评分模型,汽车智能化,网联化,中集,电子器件,固件,中隐,设计缺陷,汽车信息,信息安全问题,汽车安全,漏洞管理,管理流程,漏洞评估,优先级,出面,CVSS,击向,财产安全,隐私安全,功能安全,统计系统,系统特征,特征分布,更稳,基于模型,模型评估,应用层,整车,脆弱性评估,风险水平,现有模型,中信,非线性回归

0.253201