摘 要：SOME/IP协议作为一种重要的汽车通信中间件协议，为车辆之间和车辆与基础设施之间的数据交换提供了高效的解决方案。本文基于SOME/IP协议研究一种新的汽车通信数据异常检测方法，针对复制攻击、断连攻击和发布订阅攻击等进行深入研究，引入SOME/IP协议进行数据交互和导向，利用广播一致性检测、请求响应配对检测、网络流量分析识别攻击的异常通信数据，并引入加密与签名技术，从而有效识别和防御潜在的安全威胁，提高车载网络通信的安全性和可靠性。

关键词：SOME/IP协议 汽车通信 通信数据 异常检测

0 引言

汽车工业的快速发展使得现代汽车中电子控制单元（Electronic Control Units，ECUs）数量急剧增加，车辆内部网络结构日益复杂。SOME/IP（Scalable service-Oriented MiddlewarE over IP）协议能够很好地满足不同ECU之间高效、可靠的通信需求，作为一种面向服务的中间件协议，广泛应用于车载网络中，通过提供动态服务发现、数据序列化和灵活的传输机制，极大地提升了汽车内部各系统间的数据交互效率。然而，随着通信网络的复杂性和数据流量的增加，通信数据中仍然会出现异常情况，如数据包丢失、延迟、篡改等，对汽车的安全性和可靠性构成了严峻挑战。在汽车通信系统中，一旦出现异常数据，就会导致功能失效、系统崩溃甚至安全事故[1]。因此，本文提出基于SOME/IP协议的汽车通信数据异常检测方法，从而保障汽车通信系统正常运行和车辆安全。

1 基于SOME/IP协议的汽车通信数据交互

通过SOME/IP协议对不同ECU进行高效信息交换，实现复杂的车辆功能协同。SOME/IP协议通过消息传递实现ECU之间的服务请求与响应，每条消息包含一个头部（Header），头部结构的组成字段如下表1所示：

当汽车处于通信状态，ECU通过服务发现机制动态获取网络中可用的服务，提供服务的ECU向服务发现模块注册其可用服务，包含Service ID、Method ID、Interface Version等信息。请求服务的ECU通过广播或特定请求消息向服务发现模块询问可用服务。当服务发现模块接收到请求后，返回包含匹配服务的详细信息。请求方ECU构建包含Service ID、Method ID、Client ID等信息的请求消息，并将其发送至服务提供方ECU。消息头部的Message Type字段标识为Request，服务提供方ECU接收到请求消息后，处理请求并生成响应消息，响应消息包含处理结果或数据，Message Type字段标识为Response，响应消息发送回请求方ECU[2]。

2 基于SOME/IP协议的汽车通信数据导向

在完成数据交互后，利用SOME/IP协议的服务导向架构分析汽车通信数据导向，通过提供松耦合的服务来增强系统的灵活性和可扩展性。SOME/IP协议的服务独立性使得系统能够灵活地添加或修改服务，而无需重构整个系统，因此车载网络能够快速适应新功能的需求，提升系统的响应速度和适应性。独立的服务架构简化了维护工作，每个服务可以单独更新和优化，而不会影响其他服务的正常运行，在降低维护复杂性的基础上，提高系统的可靠性和可用性[3]。

SOME/IP支持同步和异步通信模式，在同步模式下，服务请求方发送请求并等待响应；在异步模式下，服务请求方发送请求后可以继续执行其他任务，服务提供方在处理完成后再发送响应。服务导向架构促成不同系统和应用之间的集成，允许它们无缝协作。车载娱乐系统、导航系统和驾驶辅助系统可以通过SOME/IP协议进行数据交换和功能协同，从而提供更丰富的用户体验。汽车通信系统通过增加新的服务来扩展功能，无需修改现有的服务。

3 基于SOME/IP协议的汽车通信数据异常检测

利用SOME/IP协议对汽车通信数据异常进行监督学习，通过汽车通信数据样本信息找出数据输入与输出的联系，确定阈值[4]。分析异常特征，进行汽车通信数据异常阈值检测，针对不同时间序列的汽车通信数据，利用测量探针对目标通信网络异常数据进行采集，在不同的时间序列下，将汽车通信网络数据与电网异常数据进行聚合，其聚合公式如下：

式中，表示通信网络数据对应的特征序列；表示聚合后的异常数据特征序列；表示聚合时间；聚合完成后，需要对和进行归一化处理，在保留原始大数据的条件下对归一化处理后的通信数据进行预处理，以便进行原始数据的多重分形性与周期性分析，数据预处理不会改变原始异常数据，处理完成后，SOME/IP协议的数据服务器异常阈值可由自相关函数得到，获取公式为：

式中，表示通信数据服务器异常阈值；表示FARIMA模型对应的时间序列；表示FARIMA模型进行的阶数差分。

阈值计算完成后，接下来进行阈值检测。数据服务器异常阈值检测公式为：

式中，表示阈值检测时通信数据的异常输出值；表示平稳序列；表示参数拟合后的非平稳序列。阈值检测完成后，在不同的置信度下，SOME/IP协议的数据服务器异常可被更好地进行识别。

3.1 汽车通信数据复制攻击检测

汽车通信数据复制攻击模式与重放攻击模式类似，需要在存有中间人的环境下实现攻击。复制攻击通过在通信网络中伪造通信服务广播信息，欺骗客户端，使其误将攻击者视为合法的服务提供者，从而使攻击者与客户端和服务端处在同一交换机网络下，能够接收到彼此的数据[5]。汽车通信数据复制攻击如下图1所示：

为了应对汽车通信数据复制攻击，利用SOME/IP协议对服务广播一致性进行检测是一种有效的方法，通过监控网络中服务广播的频率和内容，发现异常的服务广播行为，如果突然增加的广播频率或者相同服务ID来自不同IP地址和端点信息，表明可能存在复制攻击。利用请求响应检测汽车通信网络两端的配对情况，在SOME/IP协议中记录每个客户端的请求消息及其目的地址，并验证服务端返回的响应消息是否与请求消息匹配，从而发现身份信息篡改的情况。使用机器学习算法训练正常通信模式的流量模型，检测偏离正常模式的异常流量，分析请求与响应的时间间隔和顺序，发现异常的时序特征，进一步确认中间人攻击的存在。如果发现存在复制攻击，引入加密与签名技术，通过对敏感数据进行加密和使用数字签名对每条消息进行签名，确保通信数据的完整性和真实性，从而防止攻击者篡改或伪造数据。

3.2 汽车通信数据断连攻击检测

汽车通信数据断连攻击也是一种复杂的攻击模式，需要在中间人环境下实现攻击，它在复制攻击的基础上进一步优化，以确保攻击者能够成功截断客户端与服务端的连接，建立一个伪造的连接环境。断连攻击与复制攻击的后半部分相似，即通过伪造的服务报文使客户端与攻击者建立连接，完成消息传递的中间人角色。不同之处在于，断连攻击在服务端广播提供服务报文时，攻击者立即向客户端发送一条伪造成服务端身份的单播停止提供服务报文（StopOffer），同时再广播自己伪造的服务报文，这样客户端就不会与真实的服务端建立连接，无论客户端是已经连接还是刚选择了服务端的服务。通过伪造StopOffer报文，攻击者能够更稳定地与客户端建立连接，从而截断客户端与服务端之间的通信链路。

针对断连攻击的异常检测，在SOME/IP官方文档中，通过监控网络中的服务广播和停止服务报文，及时识别异常行为。当检测到同一网络中存在不合理的停止服务单播报文时，发出警报。分析用户行为分析，通过学习正常的通信模式，识别异常的连接断开和服务重新广播行为。在SOME/IP的服务架构中引入网络流量分析工具，识别不寻常的单播流量模式和频率变化，从而检测到潜在的断连攻击。实施强认证和加密措施，确保每个通信节点的身份验证和数据完整性，以防止攻击者伪造服务端身份。

3.3 汽车通信数据发布订阅攻击检测

利用发布-订阅机制同样是中间人攻击模式，通过操纵事件组订阅过程，截断客户端与服务端的直接通信，从而在中间人位置获取和转发事件信息。这种攻击利用了前述的服务提供攻击策略，通过伪造服务事件组的订阅和退订报文，最终在中间人环境下实现对事件信息的控制和转发。

根据图2可知，发布订阅攻击模式服务端按照惯例广播其提供的服务，客户端和攻击者均订阅了服务端的事件组，并收到了服务端的确认帧，这表明服务端已记录了客户端和攻击者的端点信息。随后，攻击者利用前述的复制攻击或断连攻击，使客户端相信其拥有所需的服务事件组，进而订阅攻击者的事件组。攻击者在收到客户端的订阅报文后，立即回复确认帧，同时伪造一条包含客户端端点信息的退订事件组报文，发送给服务端。服务端在接收到这条退订报文后，将不再向客户端发送事件信息。

由于正常情况下，客户端一旦订阅服务事件组，通常不会频繁发送退订报文，因此可以利用SOME/IP协议设置异常阈值，检测频繁的退订行为。一旦检测到频繁或不合理的退订报文，立即发出警报。利用SOME/IP的行为分析方法学习正常的订阅和退订模式，识别异常的订阅和退订行为。对于每个客户端的订阅和退订行为进行记录和分析，识别异常的订阅确认和退订确认帧。实施强认证和加密措施，确保每个订阅和退订请求的真实性。数字签名和公钥基础设施（PKI）有效防止攻击者伪造订阅和退订报文。此外，网络流量分析工具可以帮助识别不寻常的订阅和退订流量模式，检测潜在的中间人攻击。

4 结语

在现代智能汽车网络中，SOME/IP协议作为一种高效的服务导向中间件协议，极大地提升了车载通信的灵活性和效率。本文分别分析了复制攻击、断连攻击和发布订阅攻击的攻击模式，针对这些攻击利用SOME/IP协议提出有效异常检测方法，检测服务广播一致性，检测请求响应配对，分析网络流量，并引入加密与签名技术等多种手段，提高车载网络通信的安全性，防御潜在的安全威胁。未来应继续致力于优化现有的检测算法，提高实时检测的性能和准确性，并探索更多创新的防御机制。

参考文献：

[1]高越.基于SOMEIP协议的SOA设计[J].汽车实用技术，2023，48（17）：71-75.

[2]黎嘉晨，兰建平，周海鹰.面向集中域控的汽车电子电气架构技术研究[J].湖北汽车工业学院学报，2022，36（4）：23-28.

[3]曹丽平，徐维，刘敏.车载以太网SOME/IP协议及一致性测试系统研究[J].汽车电器，2023（6）：55-58.

[4]吴珍珍.基于SOME/IP的车载网络通信矩阵的设计[J].机电技术，2023（1）：84-88.

[5]张毅峰，欧阳颂华，魏鹏，等.SOME/IP车载以太网服务协议的关键技术与性能分析[J].现代电子技术，2023，46（5）：15-19.