隱馬可夫模型

隱馬可夫模型（HMM）是一種強大的統計工具，專門用於處理含有時間順序且狀態無法直接觀測的數據。其核心概念為「雙重隨機過程」，包含一個不可見的、遵循馬可夫鏈規則的「隱藏狀態序列」，以及一個由這些隱藏狀態生成的「可觀測序列」。在汽車網路安全風險管理中，HMM的應用直接支持了國際標準 **ISO/SAE 21434:2021** 的要求，特別是第10條「持續網路安全活動」中對車輛運行數據的監控與分析。企業可利用HMM建立入侵偵測系統（IDS），透過分析CAN匯流排的訊息序列（可觀測序列）來推斷車輛ECU的運行狀態（隱藏狀態）是否正常。相較於傳統基於簽章的偵測方法，HMM能更有效地識別未知的、模式複雜的零時差攻擊，是實現動態與預測性威脅分析的關鍵技術。

在汽車產業中，導入HMM以強化網路安全風險管理的實務步驟如下： 1. **基準數據收集與建模**：首先，在受控環境下收集車輛於各種正常駕駛情境（如啟動、加速、怠速）下的CAN匯流排數據。利用這些數據，透過鮑姆-韋爾奇演算法（Baum-Welch algorithm）訓練出一個代表「正常行為」的HMM模型，此模型包含了狀態轉移機率與觀測機率。 2. **即時監控與機率評估**：將此模型部署於車載閘道器（Gateway）或特定的監控ECU中。系統會即時截取CAN匯流排上的數據流，並利用前向演算法（Forward algorithm）計算當前觀測序列由該「正常模型」生成的機率。 3. **異常偵測與應變**：設定一個機率閾值。若即時計算出的機率低於此閾值，表示當前數據流極不可能由正常行為模型產生，系統便將其標記為潛在攻擊或故障，並觸發警報，同時記錄相關數據以供後續分析。一家歐洲一階供應商透過此方法，將其ECU產品的惡意訊息注入攻擊偵測率提升至98%，並將誤報率降低了25%，成功通過了客戶依據 **ISO/SAE 21434** 的稽核要求。

台灣企業在導入HMM進行車輛網路安全管理時，主要面臨三大挑戰： 1. **數據質量與多樣性不足**：許多企業，特別是中小規模的供應商，缺乏足夠涵蓋各種駕駛情境與攻擊手法的標籤化數據，導致模型訓練不足，準確性受限。**對策**：初期可採用半監督式學習方法，減少對攻擊標籤的依賴；並與台灣車聯網產業協會（TTIA）等組織合作，建立產業級的數據共享與標註平台，共同豐富訓練數據集。 2. **跨領域人才短缺**：HMM的成功導入需要兼具車輛電子、通訊協定與數據科學知識的複合型人才，這類專家在台灣相對稀少。**對策**：建立產學合作計畫，與交通大學、成功大學等設有相關實驗室的學府共同培養人才。同時，委託如積穗科研等專業顧問公司提供初期模型建構與技術移轉服務，並同步規劃內部人員的培訓課程，預計6個月內建立基礎自主維運能力。 3. **嵌入式系統資源限制**：車載ECU的運算能力與記憶體有限，難以直接部署複雜的HMM模型。**對策**：採用模型壓縮技術，如權重剪枝（Pruning）與量化（Quantization）來縮小模型規模。或者，設計分層式偵測架構，在ECU端僅執行輕量級的特徵提取，將複雜的HMM機率運算任務交由運算能力更強的中央閘道器或網域控制器（Domain Controller）執行。

積穗科研股份有限公司專注台灣企業Hidden Markov Models相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact