CN110930005A

CN110930005A - 基于零日漏洞的自动驾驶预期功能安全危害评估方法

Info

Publication number: CN110930005A
Application number: CN201911111961.9A
Authority: CN
Inventors: 刘虹; 侯中林; 蒲戈光
Original assignee: Shanghai Industrial Control Safety Innovation Technology Co Ltd; East China Normal University
Current assignee: Shanghai Industrial Control Safety Innovation Technology Co Ltd; East China Normal University
Priority date: 2019-11-14
Filing date: 2019-11-14
Publication date: 2020-03-27

Abstract

本发明提出了一种基于零日漏洞的自动驾驶预期功能安全危害评估方法，包括四个步骤，步骤一：确定预期功能安全***的零日漏洞危害图模型；步骤二：将预期功能功能安全***的零日漏洞模型进行简化，构造威胁预期功能安全的危害路径；步骤三：基于危害路径，通过计算程序分别计算出已知触发事件和未知触发事件的危害值SK,SUK；步骤四：基于动态权重方案，计算预期功能安全***安全值svs。本发明将预期功能安全的危害评估和零日漏洞安全评估结合，基于信息安全的解决方案发明了提升预期功能安全的解决方案，提升了高级驾驶辅助***和自动驾驶***的预期功能安全危害检出率。

Description

基于零日漏洞的自动驾驶预期功能安全危害评估方法

技术领域

本发明涉及自动驾驶技术和高级辅助驾驶技术安全领域，特别是一种基于零日漏洞的自动驾驶预期功能安全危害评估方法。

背景技术

近年来,自动驾驶技术和高级驾驶辅助***的发展给道路车辆带来了巨大的社会效益。随着自动驾驶技术高级驾驶辅助***的发展，对道路车辆的安全性要求也越来越全面和具体。道路车辆可接受的安全级别除了信息安全和功能安全之外，还应满足预期功能安全。ISO在ISO 21448标准中将预期功能安全(SOTIF)定义为不存在由于预期功能不足或人为的合理可预见的误用所引起的危害而由此危害造成的不合理风险。

道路车辆主要由三层组成：感知，思考和动作。在外部环境影响方面，存在极端或特定天气条件影响传感器，传感器受到某些设备的干扰等风险。在内部***的局限性方面，执行***的局限性存在风险,在人为因素影响方面，在车辆行驶过程中会出现驾驶员操作失误或在车辆自动驾驶出现错误时驾乘人员无所作为等情况。这些都是可能会威胁到道路车辆预期功能安全的原因。这些因素可以看作是威胁道路车辆预期功能安全的触发事件。其中一些触发事件可以在需求分析或在环测试中发现，而某些触发事件是未知的，在车辆被使用了多年后可能都不会触发或突然触发。这些未知的触发事件对自动驾驶构成严重的安全隐患，一旦触发，可能导致自动驾驶汽车处于危险之中。

目前，针对零日漏洞的安全评估有较多方案，美国国家基础设施保证委员会(NIAC)于2004年发布了定量漏洞评估标准，即通用漏洞评分***(CVSS)。CVSS提供了一种捕获漏洞的关键特征并生成反映其安全性的数字评分的方法。美国国土***(DHS)网络安全和通信办公室于2010年首次发布了CWSS，其提供了一种捕获漏洞的关键特征并生成反映其严重性的数字评分的方法。基于k-zero day的零日漏洞评估方法，使用DAG架构对网络拓扑结构进行建模，并结合攻击图以及攻击序列计算零日漏洞的安全值k。

发明内容

本发明提出了一种基于零日漏洞的自动驾驶预期功能安全危害评估方法，基于零日漏洞k-zero day安全评估方法，建立预期功能安全***的零日漏洞模型并以危害图的形式表示模型。基于危害图，根据可达性验证计算出危害序列。分别计算已知触发事件安全值、未知触发事件安全值和预期功能安全***安全值对预期功能安全***进行安全评估，判断评估结果是否符合设定阈值，对于不符合安全阈值要求的***，根据评估结果调整预期功能安全***架构，并重新进行评估。在对调整后的预期功能安全***进行安全评估时，需要使用动态权重的方式调整已知触发事件安全值和未知触发事件安全值的权重后，再次计算预期功能安全***的安全值，直至已知触发事件安全值、未知触发事件安全值和预期功能安全***的安全值均满足所设定的对应安全阈值。

本发明提出的基于零日漏洞的自动驾驶预期功能安全危害评估方法，具体包括以下五个步骤：步骤一：对预期功能安全***进行分析，针对特定的情景S基于零日漏洞的攻击图创建危害图模型HG；步骤二：基于危害图模型HG依次找出所有场景sc₀,sc₁,…,sc_n的危害路径。危害路径需要经过可达性验证后才视为是成立的，危害路径是由一系列的已知和未知的触发事件依次组成；步骤三：分别计算已知触发事件的安全值SK和未知触发事件的安全值SUK，已知触发事件和未知触发事件安全值的计算采用不同的算法，旨在将定性的安全问题转换为定量的安全值，以实现对预期功能安全评估的量化；步骤四：基于动态权重的方式，计算预期功能安全***的安全值svs，实现对预期功能安全***的整体安全评估；步骤五：基于步骤四所得预期功能安全***的安全值svs，对预期功能安全***架构进行动态调整，并对调整后的预期功能安全***进行再次评估，直到所得已知触发事件安全值SK、未知触发事件安全值SUK和预期功能安全***安全值svs全部小于所设定的对应阈值，即全部符合设定的安全要求。

步骤一中，危害图模型HG包含已知触发事件集合T'、未知触发事件集合T”、触发事件的前置条件C_pre和后置条件集合C_post等元素。定义一个发生在场景sc₁上的触发事件为一个三元组

其中sc₁指源场景，sc₂指目标场景，当触发事件

发生在源场景sc₁上后，场景sc₁将会产生一个后置条件

这个后置条件就是目标场景sc₂的前置条件

即

定义预设关系

蕴含关系

其中T'是已知触发事件集合，C'是已知触发事件的前置条件和后置条件的总集合。

步骤二中，在危害图模型HG中，初始条件c₀是第一个触发事件的前置条件，不是任何触发事件的后置条件。初始条件c₀可能是由于任何***的性能限制或驾乘人员误操作引起。在任何危害路径中，初始条件都会通过一系列触发事件的响应使预期功能安全***处于危险状态。这些触发事件的关系可以是“先后顺序”的关系，可以是“或”的关系，也可以是“与”的关系。前一个触发事件的后置条件c_post可以视为下一个触发事件的前置条件c_pre。

步骤三中：步骤三A：计算已知触发事件的安全值SK：使用四个安全参数，“触发频率”TF，“伤害频率”FTI，“伤害程度”D和“重要性”IM。“触发频率”TF是指根据行驶一定公里数中的触发事件被触发的次数。“伤害频率”FTI是指在行驶一定公里数后发生伤害事故的次数。“伤害程度”D是每次伤害中受伤的平均人数。“重要性”IM指触发事件的重要性，该事件用于描述不同触发事件影响***预期功能安全性的程度。“重要性”IM主要由触发事件的中心性centrality和中位数median确定。中心性是指与触发事件相邻的触发事件的数量，并且相邻的触发事件包括触发事件的预触发事件和后触发事件。中位数是指由触发事件建立的危害序列数与危害序列总数之比。使用重要性函数f_IM来计算重要性IM：IM＝f_IM(centrality,median)。步骤三B：计算未知触发事件的安全值SUK：在给定情景S的情况下，执行算法UkteValue来计算此情景的未知触发事件安全值SUK。在算法UkteValue中，每个场景的逻辑命题首先从触发事件中得出。在派生命题的析取范式中，每个合取子句将对应于可以共同危害资产的最小资产集。在该算法中，输入危害图模型HG，一组触发事件T和一组条件C，并输出SUK的值。

步骤四中：采用特定场景下的预期功能安全***架构“场景架构”ssf作为动态权重调整所需的动态权重平衡因子，使用动态权重平衡因子ssf对已知触发事件安全值的权重f_sk和未知触发事件安全值的权重f_suk进行调整，以适应不同的架构的预期功能***，经过动态调整权重后，计算预期功能***的安全值svs：svs＝f_sk×SK+f_suk×SUK。

步骤五中：通过更改场景的位置、删除不必要场景或者在合适的地方增加冗余场景的方式来更改预期功能安全***的架构，实现提升预期功能安全***的安全值要求。

本发明有益效果是：本发明从信息安全的角度出发，采用信息安全的安全评估方式进一步创造了适用于自动驾驶预期功能安全的安全评估方式。本发明基于DAG架构将预期功能***创建为零日漏洞模型，并根据可达性的特征计算出危害路径，基于危害图和危害路径分别对已知触发事件和未知触发事件进行安全评估，并采用动态权重的方式，将已知触发事件安全值、未知触发事件安全值和***架构作为输入，计算出预期功能***的整天安全值。本发明有效的提高了预期功能安全的危害检出率，提高了自动驾驶***和高级驾驶辅助***的安全性。

附图说明

图1是本发明危害评估的流程图。

图2a是本发明将预期功能安全***建模形成的示例危害图。

图2b是本发明根据示例危害图所计算出的场景9sc₉示例危害路径。

具体实施方式

结合以下具体实施例和附图，对发明作进一步的详细说明。实施本发明的过程、条件、实验方法等，除以下专门提及的内容之外，均为本领域的普遍知识和公知常识，本发明没有特别限制内容。

图1中所示，一种基于零日漏洞的自动驾驶预期功能安全危害评估方法分为五个步骤，步骤一：对预期功能安全***进行分析，针对特定的情景S基于零日漏洞的攻击图创建危害图模型HG；步骤二：基于危害图模型HG依次找出所有场景sc₀,sc₁,…,sc_n的危害路径。危害路径需要经过可达性验证后才视为是成立的，危害路径是由一系列的已知和未知的触发事件依次组成；步骤三：分别计算已知触发事件的安全值SK和未知触发事件的安全值SUK，已知触发事件和未知触发事件安全值的计算采用不同的算法，旨在将定性的安全问题转换为定量的安全值，以实现对预期功能安全评估的量化；步骤四：基于动态权重的方式，计算预期功能安全***的安全值svs，实现对预期功能安全***的整体安全评估；步骤五：基于步骤四所得预期功能安全***的安全值svs，对预期功能安全***架构进行动态调整，并对调整后的预期功能安全***进行再次评估，直到所得已知触发事件安全值SK、未知触发事件安全值SUK和预期功能安全***安全值svs全部小于所设定的对应阈值，即全部符合设定的安全要求。

图1中所示，步骤一中，危害图模型HG包含已知触发事件集合T'、未知触发事件集合T”、触发事件的前置条件C_pre和后置条件集合C_post等元素。图2a中所示，一个发生在场景sc₁上的触发事件为一个三元组

其中sc₁指源场景，sc₂指目标场景，当触发事件

发生在源场景sc₁上后，场景sc₁将会产生一个后置条件

这个后置条件就是目标场景sc₂的前置条件

即

定义预设关系

蕴含关系

图1中所示，步骤二中，在危害图模型HG中，初始条件c₀是第一个触发事件的前置条件，不是任何触发事件的后置条件。初始条件c₀可能是由于任何***的性能限制或驾乘人员误操作引起。在任何危害路径中，初始条件都会通过一系列触发事件的响应使预期功能安全***处于危险状态。图2b中所示，这些触发事件的关系可以是“先后顺序”的关系，可以是“或”的关系，也可以是“与”的关系。前一个触发事件的后置条件c_post可以视为下一个触发事件的前置条件c_pre。

图1中所示，步骤三中：步骤三A：计算已知触发事件的安全值SK：使用四个安全参数，“触发频率”TF，“伤害频率”FTI，“伤害程度”D和“重要性”IM。“触发频率”TF是指根据行驶一定公里数中的触发事件被触发的次数。“伤害频率”FTI是指在行驶一定公里数后发生伤害事故的次数。“伤害程度”D是每次伤害中受伤的平均人数。“重要性”IM指触发事件的重要性，该事件用于描述不同触发事件影响***预期功能安全性的程度。“重要性”IM主要由触发事件的中心性centrality和中位数median确定。中心性是指与触发事件相邻的触发事件的数量，并且相邻的触发事件包括触发事件的预触发事件和后触发事件。中位数是指由触发事件建立的危害序列数与危害序列总数之比。使用重要性函数f_IM来计算重要性IM：IM＝f_IM(centrality,median)。步骤三B：计算未知触发事件的安全值SUK：在给定情景S的情况下，执行算法UkteValue来计算此情景的未知触发事件安全值SUK。在算法UkteValue中，每个场景的逻辑命题首先从触发事件中得出。在派生命题的析取范式中，每个合取子句将对应于可以共同危害资产的最小资产集。在该算法中，输入危害图模型HG，一组触发事件T和一组条件C，并输出SUK的值。

图1中所示，步骤四中：采用特定场景下的预期功能安全***架构“场景架构”ssf作为动态权重调整所需的动态权重平衡因子，使用动态权重平衡因子ssf对已知触发事件安全值的权重f_sk和未知触发事件安全值的权重f_suk进行调整，以适应不同的架构的预期功能***，经过动态调整权重后，计算预期功能***的安全值svs：svs＝f_sk×SK+f_suk×SUK。

图1中所示，步骤五中：通过更改场景的位置、删除不必要场景或者在合适的地方增加冗余场景的方式来更改预期功能安全***的架构，实现提升预期功能安全***的安全值要求。

本发明的保护内容不局限于以上实施例。在不背离发明构思的精神和范围下，本领域技术人员能够想到的变化和优点都被包括在本发明中，并且以所附的权利要求书为保护范围。

Claims

1.一种基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，包括以下步骤：

步骤一：对预期功能安全***进行分析，针对特定的情景S基于零日漏洞的攻击图创建危害图模型HG；

步骤二：基于所述危害图模型HG依次找出所有场景的危害路径；所述危害路径经过可达性验证后视为成立，所述危害路径由一系列的已知和未知的触发事件依次组成；

步骤三：分别计算已知触发事件的安全值SK和未知触发事件的安全值SUK，所述已知触发事件和所述未知触发事件安全值的计算将定性的安全问题转换为定量的安全值；

步骤四：基于动态权重的方式，计算预期功能安全***的安全值svs，实现对预期功能安全***的整体安全评估；

步骤五：基于所述预期功能安全***的安全值svs，对预期功能安全***架构进行动态调整，并对调整后的预期功能安全***进行再次评估，直到所得已知触发事件安全值SK、未知触发事件安全值SUK和预期功能安全***安全值svs全部小于所设定的对应阈值，即全部符合设定的安全要求。

2.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤一中，所述危害图模型HG包含已知触发事件集合T'、未知触发事件集合T”、触发事件的前置条件C_pre和后置条件集合C_post；定义一个发生在场景sc₁上的触发事件为一个三元组

其中sc₁指源场景，sc₂指目标场景，当触发事件

发生在源场景sc₁上后，场景sc₁将会产生一个后置条件

所述后置条件为目标场景sc₂的前置条件

定义预设关系

蕴含关系

3.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤二中，在危害图模型HG中，初始条件c₀不是任何触发事件的后置条件；初始条件c₀是由于任何***的性能限制或驾乘人员误操作引起；在任何危害路径中，初始条件c₀都会通过一系列触发事件的响应使预期功能安全***处于危险状态；这些触发事件的关系为先后顺序的关系、或的关系、与的关系中的一种；前一个触发事件的后置条件c_post视为下一个触发事件的前置条件c_pre。

4.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤三中，计算已知触发事件的安全值SK包括：使用四个安全参数，触发频率TF，伤害频率FTI，伤害程度D和重要性IM；

所述触发频率TF指根据行驶一定公里数中的触发事件被触发的次数；

所述伤害频率FTI指在行驶一定公里数后发生伤害事故的次数；

所述伤害程度D指每次伤害中受伤的平均人数；

重要性IM指触发事件的重要性，该事件用于描述不同触发事件影响***预期功能安全性的程度；重要性IM由触发事件的中心性centrality和中位数median确定；所述中心性centrality指与触发事件相邻的触发事件的数量，并且相邻的触发事件包括触发事件的预触发事件和后触发事件；中位数指由触发事件建立的危害序列数与危害序列总数之比；使用重要性函数f_IM来计算重要性IM：IM＝f_IM(centrality,median)。

5.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤三中，计算未知触发事件的安全值SUK包括：在给定情景S的情况下，执行算法UkteValue来计算此情景的未知触发事件安全值SUK；在算法UkteValue中，每个场景的逻辑命题首先从触发事件中得出；在派生命题的析取范式中，每个合取子句将对应于可以共同危害资产的最小资产集；在该算法中，输入危害图模型HG，一组触发事件T和一组条件C，并输出安全值SUK的值。

6.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤四中，采用特定场景下的预期功能安全***架构场景架构ssf作为动态权重调整所需的动态权重平衡因子；使用动态权重平衡因子场景架构ssf对已知触发事件安全值的权重f_sk和未知触发事件安全值的权重f_suk进行调整，以适应不同的架构的预期功能安全***，经过动态调整权重后，计算预期功能安全***的安全值svs：svs＝f_sk×SK+f_suk×SUK。

7.根据权利要求1所述的基于零日漏洞的自动驾驶预期功能安全危害评估方法，其特征在于，步骤五中，通过更改场景的位置、删除不必要场景或在合适的地方增加冗余场景的方式来更改预期功能安全***的架构，实现提升预期功能安全***的安全值要求。