入侵檢測(cè)系統(tǒng)背景

智能網(wǎng)聯(lián)汽車不再是一個(gè)孤立的嵌入式系統(tǒng)了，信息安全問題越來越被重視。國(guó)內(nèi)外發(fā)布了多項(xiàng)標(biāo)準(zhǔn)法規(guī)，來規(guī)范汽車網(wǎng)絡(luò)安全的發(fā)展。其中有不少法規(guī)對(duì)車輛網(wǎng)絡(luò)安全檢測(cè)提出要求，如表1。

表1 車輛網(wǎng)絡(luò)安全監(jiān)控法規(guī)要求

入侵檢測(cè)系統(tǒng)（IDS）是按照一定的安全策略對(duì)網(wǎng)絡(luò)、系統(tǒng)及其運(yùn)行狀態(tài)進(jìn)行監(jiān)控，并試圖發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性和可用性。當(dāng)存在惡意活動(dòng)的軟件或車載網(wǎng)絡(luò)被篡改、注入時(shí)，汽車入侵檢測(cè)系統(tǒng)可以通過分析車內(nèi)流量或系統(tǒng)狀態(tài)進(jìn)行攻擊識(shí)別，并發(fā)出安全警報(bào)。

在汽車上，根據(jù)檢測(cè)的對(duì)象，可以將入侵檢測(cè)系統(tǒng)分成兩類，包括網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以對(duì)包括CAN總線、車載以太網(wǎng)、WIFI、藍(lán)牙數(shù)據(jù)等車載網(wǎng)絡(luò)進(jìn)行檢測(cè)。目前已有很多基于規(guī)則的和基于AI方法的研究。如【1】設(shè)計(jì)了規(guī)則和AI混合的多層SOME/IP入侵檢測(cè)方法，基于規(guī)則的模塊用于檢測(cè)SOME/IP報(bào)頭、SOME/IP-SD消息、消息間隔和通信過程，利用AI檢測(cè)SOME/IP的有效負(fù)載?？紤]到實(shí)際部署成本，在車載控制器中往往部署基于規(guī)則的入侵檢測(cè)系統(tǒng)，利用專家知識(shí)、車載網(wǎng)絡(luò)數(shù)據(jù)庫等建立規(guī)則庫，進(jìn)行檢測(cè)。

基于主機(jī)的入侵檢測(cè)系統(tǒng)則對(duì)控制器的操作系統(tǒng)進(jìn)行安全監(jiān)控。隨著汽車智能網(wǎng)聯(lián)化，車載控制器不再僅由MCU組成，Linux、Android、QNX頻繁地在各類域控制器中出現(xiàn)。SOC在給汽車帶來強(qiáng)大功能的同時(shí)，也成為對(duì)汽車的一條重要攻擊路徑。主機(jī)入侵檢測(cè)系統(tǒng)可對(duì)操作系統(tǒng)進(jìn)行資源監(jiān)控、文件監(jiān)控、病毒掃描等。

在檢測(cè)識(shí)別到車內(nèi)的異常攻擊行為后，通過生成安全日志，并將安全日志上傳到汽車安全運(yùn)營(yíng)平臺(tái)（VSOC），是一種有效的攻擊行為追溯，監(jiān)控智能網(wǎng)聯(lián)汽車安全狀態(tài)手段。

02

AUTOSAR入侵檢測(cè)系統(tǒng)架構(gòu)

汽車開放系統(tǒng)架構(gòu)（AUTomotive Open System Architecture）是一家致力于制定汽車電子軟件標(biāo)準(zhǔn)的聯(lián)盟。AUTOSAR是由全球汽車制造商、部件供應(yīng)商及其他電子、半導(dǎo)體和軟件系統(tǒng)公司聯(lián)合建立，各成員保持開發(fā)合作伙伴關(guān)系。自2003年起，各伙伴公司攜手合作，致力于為汽車工業(yè)開發(fā)一個(gè)開放的、標(biāo)準(zhǔn)化的軟件架構(gòu)。AUTOSAR這個(gè)架構(gòu)有利于車輛電子系統(tǒng)軟件的交換與更新，并為高效管理愈來愈復(fù)雜的車輛電子、軟件系統(tǒng)提供了一個(gè)基礎(chǔ)。此外，AUTOSAR在確保產(chǎn)品及服務(wù)質(zhì)量的同時(shí)，提高了成本效率。

AUTOSAR對(duì)汽車入侵檢測(cè)系統(tǒng)的架構(gòu)，如圖1。整個(gè)車載入侵檢測(cè)系統(tǒng)主要包括了安全探針、管理模塊（IdsM）、安全事件存儲(chǔ)（Sem）、報(bào)告模塊（IdsR）。

圖1 分布式車載IDS架構(gòu)【2】

（1）安全探針

安全探針是檢測(cè)網(wǎng)絡(luò)流量、系統(tǒng)事件中潛在網(wǎng)絡(luò)威脅的模塊。當(dāng)檢測(cè)到異常后向管理模塊發(fā)送安全事件（Security Events，SEv）。常見安全探針包括CAN入侵檢測(cè)系統(tǒng)、以太網(wǎng)入侵檢測(cè)系統(tǒng)、主機(jī)入侵檢測(cè)系統(tǒng)等。

（2）管理系統(tǒng)

當(dāng)管理模塊接收到SEv后，如圖2，依次經(jīng)過攔截過濾器（Blockers）、采樣過濾器（Sampling）、聚合過濾器（Aggregation）以及速率限制過濾器（Rate Limitation），生成合格的安全事件（Qualified Security Events, QSEv）。管理模塊將 QSEv 發(fā)送到入侵檢測(cè)報(bào)告模塊，并將其存儲(chǔ)在安全事件存儲(chǔ)器“SEM”中。

圖2 管理模塊過濾鏈【2】

攔截過濾器根據(jù)上傳模式及當(dāng)前狀態(tài)對(duì)事件進(jìn)行過濾；采樣過濾器允許每個(gè)事件的第N條通過；聚合過濾器將配置時(shí)間內(nèi)的所有SEv聚合成一個(gè)，并對(duì)聚合后的事件數(shù)量進(jìn)行閾值過濾；速率限制過濾器根據(jù)配置時(shí)間間隔內(nèi)的SEv數(shù)量及字節(jié)數(shù)進(jìn)行過濾。

（3）報(bào)告模塊

IdsR將QSEv發(fā)送給VSOC。IdsR與IdsM之間的安全事件報(bào)文如圖3。它的最小長(zhǎng)度為 8 個(gè)字節(jié)（對(duì)于事件幀），包括了協(xié)議版本、協(xié)議頭、IdsM實(shí)例ID、探針實(shí)例ID、事件ID、事件數(shù)量、保留字段。此外，報(bào)文包括3個(gè)可選字段：時(shí)間戳、上下文數(shù)據(jù)及簽名。

圖3 安全事件報(bào)文【3】