软件漏洞安全咨询平台的测量与建模及频率跳变扩频技术对抗PKES中继攻击

### 软件漏洞安全咨询平台的测量与建模及频率跳变扩频技术对抗PKES中继攻击 #### 软件漏洞安全咨询平台相关内容 在软件安全领域，安全咨询平台对于传播软件漏洞信息至关重要。我们可以通过一些关键指标来衡量和建模这些平台。 1. **平台发布率** - 设 $\lambda_i$ 为平台 $i$ 首次发布未听闻漏洞咨询的速率，即平台 $i$ 披露对应 CVE 披露日期等于平台 $i$ CVE 披露日期的咨询的速率。 - 设 $p_i$ 为平台 $i$ 首次发布给定漏洞咨询的概率，即平台 $i$ 首次发布咨询的漏洞比例。则有 $\lambda_i = p_i\Lambda$，其中 $\Lambda$ 是在线报告新漏洞（及相应安全咨询）的速率。 - 设 $m_{ij}$ 为最初在平台 $i$ 发布的给定漏洞咨询在平台 $j$ 出现的平均数量。矩阵 $M$ 称为基本矩阵，其计算公式为 $M = \sum_{k=0}^{\infty}R_0^k = (I - R_0)^{-1}$，其中 $I$ 是单位矩阵，$R_0$ 是路由矩阵 $R$ 去掉与 $\infty$ 对应的行和列后的矩阵。 - 设 $\gamma_i$ 为平台 $i$ 发布咨询的速率，向量 $\gamma$ 是发布速率向量，$\gamma = \lambda M = \lambda(I - R_0)^{-1}$。这里 $\lambda$ 是各平台发布未听闻漏洞咨询的速率向量，而向量 $\gamma$ 考虑了所有咨询。 2. **平台命中和吸收概率** 为了量化一组平台上发布的咨询的相对新鲜度，考虑一组 $S$ 个竞争平台。设 $b_{ij}$ 为给定平台 $j \in S$ 是 $S$ 中第一个发布由平台 $i \notin S$ 最初发布的漏洞咨询的概率。为计算 $b_{ij}$，将 $S$ 中的所有平台与虚拟平台 $\infty$ 一起纳入一组吸收平台。设 $R_1$ 是一个 $(P - |S|)×(|S| + 1)$ 矩阵，其元素表征了 $S$ 外平台到 $S$ 内平台的路由概率。$M$ 是考虑 $S$ 外平台的基本矩阵，则 $b_{ij}$ 由矩阵 $B$ 中的元素 $(i, j)$ 给出，$B = MR_1$。 3. **平台间平均时间** 考虑平台间的平均时间（以天为单位）。设列向量 $t(i)$ 表征除 $i$ 外每个平台转发漏洞的平均时间。则到达平台 $i$ 或虚拟平台 $\infty$（以先发生者为准）的平均时间为 $T(i) = (I - R_0^{(i)})^{-1}t(i)$，其中 $R_0^{(i)}$ 是从 $R_0$ 中去掉与平台 $i$ 对应的列和行后得到的矩阵。若 $t(i)$ 是所有元素都等于 1 的列向量，则上述方程得到的向量是到达平台 $i$ 或虚拟平台 $\infty$（以先发生者为准）之前发布的咨询的平均数量。要得到矩阵 $T$，其元素 $t_{ij}$ 对应于在 $i$ 首次发布咨询时到达平台 $j$ 或 $\infty$ 的平均时间，只需将列向量 $\tilde{T}(i)$（$i = 1, \ldots, P$）连接起来，其中 $\tilde{T}(i)$ 是从 $T(i)$ 在第 $i$ 个位置添加一个等于 0 的条目得到的。 4. **从数据中参数化模型** 模型通过三组参数进行参数化：来自所考虑平台网络外部的新漏洞咨询的到达率、延迟和路由矩阵。 - 设 $n_i$ 是测量中观察到的平台 $i$ 发布的咨询数量，$f_i$ 是在没有为相应漏洞发布其他咨询时平台 $i$ 发布的咨询数量，$f_i \leq n_i$。设 $\tau$ 是测量持续时间，即数据集中第一个和最后一个咨询发布之间的时间。则 $\hat{\lambda}_i = f_i / \tau$，$\hat{p}_i = f_i / \sum_{k = 1}^{P}f_k$，$\hat{\Lambda} = \sum_{k = 1}^{P}\hat{\lambda}_k$。 - 为参数化延迟和路由矩阵，首先生成平台有序对的多重集 $P$。设 $\tilde{r}_{ij}$ 是有序对 $(i, j)$ 在 $P$ 中出现的次数，则 $\hat{r}_{ij} = \tilde{r}_{ij} / \sum_{k = 1}^{P + 1}\tilde{r}_{ik}$。 - 为确定 $\hat{d}_i$（$d_i$ 的估计值），也依赖于 $P$。对于每个元素 $(i, j) \in P$，关联其相应的延迟 $d$，得到三元组 $(i, j, d)$。平均延迟估计 $\hat{d}_i$ 是第一个分量等于 $i$ 且第二个分量不等于 $\infty$ 的三元组的第三个分量的平均值。 5. **模型扩展** 所提出的模型可以轻松扩展以考虑更多层（即 $L > 2$），这可以提供更准确的感兴趣量的估计，但代价是模型更复杂，需要估计更多参数。例如，对于 $L = 3$ 的情况，为图中前 $L - 1$ 层的每个节点关联其相应的队列，得到的排队网络包含 $(L - 1)P^2$ 个队列间的路由概率。 下面是一个简单的 mermaid 流程图，展示数据参数化模型的主要步骤： ```mermaid graph TD; A[获取测量数据] --> B[计算λi和pi的估计值]; B --> C[计算Λ的估计值]; A --> D[生成平台有序对多重集P]; D --> E[计算rij的估计值]; D --> F[计算di的估计值]; ``` #### 频率跳变扩频技术对抗PKES中继攻击相关内容 现代汽车广泛部署了被动无钥匙进入和启动系统（PKESs），这些系统带来了诸多优势且被认为更安全，但也面临一种新的攻击——中继攻击。 1. **汽车授权系统的发展** - 传统上，汽车配备基于金属或合金钥匙的授权系统，司机需将钥匙插入门锁来解锁/锁定汽车并启动/停止发动机。这种系统易受钥匙复制攻击，攻击者获取钥匙短时间就能在锁匠处复制。部分车型车门和油箱盖使用相同锁，攻击者可通过获取油箱盖得到锁结构。 - 后来，一些车型开始使用嵌入防盗芯片的钥匙，以防止钥匙复制和物理锁绕过。 - 八十年代初，汽车制造商开始开发更便捷的技术，出现了无钥匙进入系统，传统金属钥匙与远程控制器结合，司机按遥控器按钮即可解锁/锁定汽车，部分遥控器还能打开后备箱或远程启动发动机。 - 如今，当前一代的无钥匙进入系统允许司机只需携带 RFID 钥匙扣站在离车几英尺远的地方就能自动解锁汽车，离开时汽车会自动锁定或通过按车门把手按钮锁定。司机还能通过按“启动发动机”按钮并让钥匙扣在方向盘附近启动/停止发动机，这种系统即 PKES 系统，广泛应用于大多数高端车型。 2. **中继攻击的威胁** 中继攻击中，攻击者合作中继汽车和钥匙扣之间的信号，通过增强信号，使汽车误以为钥匙扣在附近，从而解锁并启动汽车。由于中继攻击，数百辆配备 PKES 系统的汽车被盗。例如，英国一家车辆跟踪公司报告 2017 年其找回的被盗车辆中有 4/5 是在未使用车主钥匙的情况下被盗的。英国的 CCTV 录像显示，路虎、特斯拉、奔驰、宝马、奥迪和吉普等豪车在不到一分钟内通过中继攻击被盗。2019 年 12 月，加拿大广播公司报道自 2019 年 4 月以来渥太华地区数百辆高端车辆被盗。德国汽车俱乐部对 30 家不同制造商的 237 款车型进行中继攻击测试，发现只有 7 辆车无法解锁或启动。研究也证明了中继攻击用于汽车盗窃的可行性。 3. **现有对策的局限性** 目前没有根本的对策能完全缓解中继攻击。现有对策分为机械和技术两类。机械对策不实用、不灵活、有时不可行且不自动。技术对策是研究的重点，其中基于往返时间的解决方案（应用于距离边界协议）被采用并推荐为中继攻击的唯一物理层对策，它通过检查汽车和钥匙扣的时间域，验证通信是否在预定义和估计的时间（即延迟）内发生。然而，该解决方案存在问题：大多数无钥匙进入系统未实现距离边界算法；若实现，固定延迟的高估会使无钥匙进入系统易受某些中继攻击变体的影响。 4. **FHSS 技术的应用** 本文应用频率跳变扩频（FHSS）传输技术作为物理层对策来缓解中继攻击。使用 FHSS 缓解中继攻击的直觉是随着时间相对于攻击者移动和切换汽车与钥匙扣之间通信的无线电域。对于成功的中继攻击，需满足以下假设：汽车 - 钥匙扣和攻击者的通信在同一无线电域。通过在宽带宽内从一个频率跳到另一个频率，并遵循每个会话共享的秘密频率跳变序列，只要攻击者不知道跳变序列，汽车和钥匙扣之间的通信就可以对攻击者隐藏。 下面是一个表格，对比不同汽车授权系统的特点： | 授权系统类型 | 优点 | 缺点 | 易受攻击类型 | | ---- | ---- | ---- | ---- | | 传统金属钥匙系统 | 简单直接 | 易受钥匙复制攻击 | 钥匙复制攻击 | | 带防盗芯片钥匙系统 | 防止钥匙复制和物理锁绕过 | 无 | 无 | | 无钥匙进入系统 | 便捷 | 无 | 无 | | PKES 系统 | 高度便捷 | 易受中继攻击 | 中继攻击 | ### 软件漏洞安全咨询平台的测量与建模及频率跳变扩频技术对抗PKES中继攻击（续） #### 软件漏洞安全咨询平台的评估 为了验证软件漏洞安全咨询平台模型的有效性，我们使用实际测量活动收集的数据进行评估，目标主要有两个：一是使用真实数据验证理论，表明即使模型的假设不成立，估计的感兴趣指标仍然准确；二是对从模型导出的指标进行数值分析。 1. **模型参数化** - 模型参数化采用前文所述的方法。路由矩阵估计值 $\hat{R}$ 通过公式 $\hat{r}_{ij} = \tilde{r}_{ij} / \sum_{k = 1}^{P + 1}\tilde{r}_{ik}$ 计算得出；延迟向量 $\hat{d}$ 从相关数据图中获取；未听闻 CVE 咨询的披露率向量 $\hat{\lambda}$ 从“首次发布源”柱状图中获取。 2. **模型验证** - 我们通过将模型得到的平台披露安全咨询的归一化速率与测量值进行比较来验证模型。选择归一化速率作为参考指标进行验证，因为大多数其他指标可以从它推导得出。根据模型（分别是测量值），归一化披露速率通过公式（3）（分别是相关测量图）获得，并对结果向量进行归一化，使速率之和等于 1。结果表明，模型估计值与测量值相比是准确的，最大绝对误差小于 0.05。如果需要更小的误差，可以在模型复杂度和准确性之间进行权衡，对模型进行扩展并重新参数化。 3. **评估平台之间的距离** - **平台间平均时间**：从路由矩阵计算出平台间的平均时间（以天为单位），对应矩阵 $T$。矩阵中的每个元素 $(i, j)$ 表示从平台 $i$ 路由咨询到平台 $j$ 或虚拟平台 $\infty$（以先发生者为准）的平均天数。结果显示，所有漏洞平均需要一个多月才能到达目标平台。例如，从 Bugzilla 和 Openwall 等平台到达其他平台需要很长时间。这是因为 Bugzilla 和 Openwall 到达 NVD 的延迟较长，而 NVD 是系统中传递咨询的重要枢纽，所以在这两个平台发布的咨询往往需要更长时间才能到达其他平台。 - **平台到达概率**：图展示了从平台 $s$ 首次发布的咨询在到达虚拟吸收平台 $\infty$ 或其他目标平台之前最终到达平台 $t$ 的漏洞百分比。该图使用公式 $B = MR_1$ 计算得出，结果表明大多数平台最初发布的咨询很有可能在被吸收之前到达 NVD。结合 Bugzilla 和 Openwall 到达 NVD 时间长的事实，这就解释了为什么在这些平台最初生成的漏洞需要更长时间才能到达系统中的其他平台或被吸收。 下面是一个表格，总结软件漏洞安全咨询平台评估的关键结果： | 评估指标 | 结果 | | ---- | ---- | | 模型验证最大绝对误差 | 小于 0.05 | | 平台间平均到达时间 | 平均超一个月 | | Bugzilla 和 Openwall 特点 | 到达其他平台时间长，到达 NVD 延迟大 | | 多数平台咨询到达 NVD 概率 | 高 | #### 频率跳变扩频技术对抗 PKES 中继攻击的总结与意义 1. **技术总结** - 频率跳变扩频（FHSS）技术通过在宽频带内按照每个会话共享的秘密频率跳变序列从一个频率跳到另一个频率，改变汽车与钥匙扣之间通信的无线电域。只要攻击者不知道跳变序列，就能使通信对攻击者隐藏，从而有效对抗 PKES 系统面临的中继攻击。 2. **实际意义** - 在当今汽车安全领域，PKES 系统的广泛应用带来便利的同时也面临中继攻击的严重威胁。FHSS 技术为解决这一问题提供了一种有效的物理层对策。与现有的机械和技术对策相比，它具有独特的优势。机械对策存在实用性、灵活性和自动化程度等方面的不足；现有的技术对策如基于往返时间的解决方案也存在一定局限性。而 FHSS 技术从通信的本质——频率域入手，通过动态改变频率，增加了攻击者破解通信的难度，提高了 PKES 系统的安全性。 下面是一个 mermaid 流程图，展示 FHSS 技术对抗中继攻击的原理： ```mermaid graph TD; A[汽车与钥匙扣正常通信] --> B[采用 FHSS 技术跳变频率]; B --> C[攻击者无法获取跳变序列]; C --> D[攻击者难以中继信号]; D --> E[中继攻击失败]; ``` 综上所述，软件漏洞安全咨询平台的测量与建模有助于我们理解信息在平台间的流动规律，评估平台性能，为软件安全管理提供依据；而 FHSS 技术为解决 PKES 系统的中继攻击问题提供了一种创新且有效的方法，对于保障汽车安全具有重要意义。未来，我们可以进一步研究和优化这些技术，以适应不断变化的安全需求。