Оценка рисков кибербезопасности при совместной работе автопилотируемого транспорта на автомагистралях

С каждым годом число автомобилей на дорогах неуклонно растет, все больше загрязняя окружающую среду, ухудшая мобильность транспортных средств и увеличивая число аварий и смертей на дорогах. Множество умов уже давно стараются разработать безопасное для участников движения решение, позволяющее увеличить пропускную способность дорог. Было предложено множество вариантов: летательные средства передвижения, подземные автомобильные магистрали и даже надземная система путепроводов. Однако у каждого предложенного варианта есть различные сложности в реализации.

Среди прочих одним из самых перспективных проектов по увеличению безопасности и пропускной способности автомагистралей является технология подключенных и автономных транспортных средств (CAV - Connected and Automated Vehicle). Основная её идея состоит в том, чтобы использовать инфраструктуру, оборудованную дорожными блоками (RSU - Road Side Unit), для сбора информации о транспортных средствах, оснащенных бортовым блоком (OBU - On-Board Unit), в форме базовых сообщений безопасности (BSM - Basic Safety Messages). В таком случае CAV'ы получают информацию о ситуации на дороге не только с помощью сенсоров, радаров и лидаров, как обычные автомобили, оборудованные автопилотом, но и "общаются" друг с другом и с окружающей инфраструктурой. Это и позволяет CAV'ам и остальным участникам движения действовать автономно, оттого и более эффективно. Однако и в этом проекте есть проблема - наличие общей сети, к которой подключены все автомобили. Общая сеть рождает риск кибератак злоумышленников. В данной статье будет приведено возможное решение - устойчивая к атакам система управления потоком.

Где собака зарыта?

Для начала стоит уточнить, в чем же опасность. Одна из возможных стратегий злоумышленников связана как с автомобильными радарами, так и с системами специальной связи ближнего действия (DSRC - Dedicated Short-Range Communication) - это создание помех в канале, а также спуфинг - маскировка под легального пользователя или подключенного к сети устройства. Текущие алгоритмы управления сигналами очень уязвимы для атак с подделкой данных, даже если скомпрометировано только одно транспортное средство. Более детально эти типы уязвимостей в системах специальной связи ближнего действия были разобраны в работах C. Bhat (2018) «Cybersecurity Challenges and Pathways in the Context of Connected Vehicle Systems» [2] и M. Dibaei, X. Zheng, K. Jiang, S. Maric, R. Abbas, S. Liu, Y. Zhang, Y. Deng, S. Wen, J. Zhang, Y. Xiang, and S. Yu (2019) «An Overview of Attacks and Defences on Intelligent Connected Vehicles» [3]

Интеллектуальная система дорожных сигналов (I-SIG - Intelligent Traffic Signal System) использует систему управления безопасностью и учетными данными (SCMS - Security and Credential Management System). Для использования системы требуется, чтобы основные сообщения по безопасности (BSM) были подписаны цифровым сертификатом отправителя. Это гарантирует целостность сообщения. Таким образом, получатель может подтвердить личность отправителя по подписи.

Зачем злоумышленникам это надо?

Создание помех в канале, а также спуфинг направлены на создание заторов, которые нелегко обнаружить с помощью простых защитных подходов, таких как несоответствие местоположения и скорости транспортного средства, телепортация или обгон с возвратом на ту же полосу движения. Перед демонстрацией стратегии атаки проиллюстрируем сценарий, как показано на Рисунке 1.

Злоумышленник находится рядом с RSU и может перехватывать BSM’ы, транслируемые оборудованными транспортными средствами. Затем злоумышленник развертывает атаки типа «man-in-the-middle» для изменения BSM и повторно отправляет их в RSU. Например, красный автомобиль представляет собой атакованное транспортное средство, а значок пунктирной линии представляет область атаки, где злоумышленник пытается подделать RSU. Ниже мы подробно рассмотрим две нетривиальные стратегии спуфинга:

1. Аварийная остановка

Когда целевая CAV входит в зону действия атакующего, он может постоянно получать BSM от этой CAV. Злоумышленник применяет атаки типа «man-in-the-middle», которые заставляют информацию о местоположении CAV фиксироваться в соответствующей точке входа, откуда злоумышленник проводит атаку, и фальсифицируют информацию о нулевой скорости, а затем отправляют всю эту информацию в RSU. В этом случае алгоритм управления будет предоставлять неверную рекомендованную скорость тем, кто следует за CAV в пределах той же полосы атакованного транспортного средства, чтобы они замедлились или даже полностью остановились. Псевдокод показан в алгоритме 1.

Algorithm 1: Emergency Stop Spoofing Algorithm
INPUT: BSM from target CAVs.
INITIALIZE Spoofing_flag = 0, Spoofing_Location
IF Received a BSM from a target CAV THEN
	Spoofing_BSM = BSM
	IF Spoofing_flag = 0 THEN
    Actual_Location = location contained in the
    BSM
    Spoofing_Location = Actual_Location
    Spoofing_flag = 1
  END IF
  Spoofing_Speed = 0
  Set Spoofing_Speed to be the speed in Spoofing_BSM
  Set Spoofing_Location to be the location in
  Spoofing_BSM
  Resend the Spoofing_BSM to the RSU
END IF

2. Подмена накопительного дрейфа позиции

В этом типе атаки злоумышленник продолжает получать сообщения BSM от целевой CAV, как только атакуемый автомобиль входит в зону действия злоумышленника. Затем злоумышленник так же непрерывно генерирует фальсифицированную информацию о скорости, но уже довольно продолжительное время, то есть показывая участникам потока, что автомобиль, едущий впереди постепенно замедляется. Кроме того, ложное местоположение вычисляется на основе поддельной скорости. Это небольшое несоответствие местоположения и скорости можно рассматривать как результат потери сигнала или ошибок GPS, которые случаются довольно часто. Однако по мере накопления разницы фактической позиции и заявленной в системе будут проявляться более серьезные воздействия (например, перегрузка) на восходящий трафик. Псевдокод показан в алгоритме 2.

Algorithm 2: Accumulative Position Drift Spoofing
Algorithm
INPUT: BSM from target CAVs.
INITIALIZE Spoofing_flag = 0, Spoofing_Location,
Spoofing_Speed, Last_Time_Stamp, Accel = -2.5
IF Received a BSM from a target CAV THEN
  Spoofing_BSM = BSM
  IF Spoofing_flag = 0 THEN
    Last_Time_Stamp = time stamp contained in the BSM
    Actual_Location = location contained in the BSM
    Actual_Speed = speed contained in the BSM
    Spoofing_Location = Actual_Location
    Spoofing_Speed = Actual_Speed
    Spoofing_flag = 1
  ELSE IF Spoofing_Speed > 0 THEN
    Actual_Time_Stamp = time stamp contained in the BSM
    Delta_Time = Last_Time_Stamp - Actual_Time_Stamp
    Spoofing_Location = Spoofing_Location +
    Spoofing_Speed * Delta_Time + 0.5 * Accel *
    Delta_Time^2
    Spoofing_Speed = Spoofing_Speed + Accel *
    Delta_Time
    Last_Time_Stamp = Actual_Time_Stamp
  END IF
  Set Spoofing_Speed to be the speed in Spoofing_BSM
  Set Spoofing_Location to be the location in Spoofing_BSM
  Resend the Spoofing_BSM to the RSU
END IF

Как бороться?

Стратегия защиты от атак основана на среднеквадратичной ошибке (MSE - Mean Square Error) для обнаружения и фильтрации BSM с поддельными данными на стороне RSU. Мы используем то преимущество, что как только RSU получает BSM, инфраструктура может получить индекс мощности принимаемого сигнала(RSSI - Received Signal Strength Index) BSM. RSSI приблизительно обратно пропорционален расстоянию между отправителем и получателем. Использование мощности сигнала, как основного инструмента в алгоритме, позволяет не вычислять точных расстояний от BSU до CAV, которые значительно сложнее вычислить с такой же точностью, как мощность сигнала. Наша стратегия защиты направлена на поиск данных с большей мощностью сигнала по сравнению с другими. RSU получает сообщения BSM как от CAV, так и от злоумышленника и передает их в алгоритм последовательности транспортных средств для идентификации полос движения. Для каждой полосы мы вычисляем среднеквадратичные ошибки (MSE) измерений расстояния на основе статистики RSSI и информации о местоположении, встроенной в полученные BSM.

где