車(chē)載入侵檢測(cè)與防御系統(tǒng)介紹

作者 | 田錚上海控安可信軟件創(chuàng)新研究院項(xiàng)目經(jīng)理

來(lái)源 |鑒源實(shí)驗(yàn)室

引言：

上一篇文章（智能網(wǎng)聯(lián)汽車(chē)網(wǎng)絡(luò)安全攻擊與防御技術(shù)概述）介紹了智能網(wǎng)聯(lián)汽車(chē)中的網(wǎng)絡(luò)安全攻擊案例和具體攻擊類(lèi)型。而

本篇文章中，我們將對(duì)汽車(chē)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略，特別是車(chē)載入侵檢測(cè)與防御系統(tǒng)展開(kāi)詳細(xì)的介紹。

01 車(chē)輛網(wǎng)絡(luò)攻擊應(yīng)對(duì)策略

隨著汽車(chē)智能網(wǎng)聯(lián)和自動(dòng)駕駛技術(shù)的發(fā)展，車(chē)載網(wǎng)絡(luò)提供了更多的連接口以滿(mǎn)足不同應(yīng)用和服務(wù)的要求，再加上車(chē)載網(wǎng)絡(luò)固有的脆弱性，使得智能網(wǎng)聯(lián)汽車(chē)具有了更多潛在的網(wǎng)絡(luò)安全漏洞。這些網(wǎng)絡(luò)攻擊一般通過(guò)遠(yuǎn)程信息處理單元、信息娛樂(lè)單元、駕駛輔助單元、直接接口和傳感器等潛在入口注入到車(chē)載網(wǎng)絡(luò)中，引發(fā)不同程度的信息安全問(wèn)題。

為有效應(yīng)對(duì)這些安全風(fēng)險(xiǎn)，通常會(huì)采用消息認(rèn)證、數(shù)據(jù)加密、防火墻、入侵檢測(cè)與防御等安全策略來(lái)檢測(cè)和防止物理和遠(yuǎn)程攻擊，保護(hù)車(chē)載網(wǎng)絡(luò)和系統(tǒng)免受網(wǎng)絡(luò)攻擊，如圖1所示[1]。其中，認(rèn)證、訪問(wèn)控制、加密技術(shù)等主動(dòng)信息安全防御技術(shù)是通過(guò)引入固定的安全機(jī)制來(lái)確保數(shù)據(jù)幀的機(jī)密性、完整性和身份驗(yàn)證，防止攻擊者獲取對(duì)系統(tǒng)的訪問(wèn)權(quán)限，從而有效保護(hù)車(chē)載網(wǎng)絡(luò)的信息傳輸。這些主動(dòng)對(duì)策可以保護(hù)系統(tǒng)免受外部網(wǎng)絡(luò)攻擊，但對(duì)于內(nèi)部攻擊的保護(hù)效果有限。另外，加密和認(rèn)證機(jī)制的應(yīng)用會(huì)導(dǎo)致車(chē)載網(wǎng)絡(luò)中安全關(guān)鍵的實(shí)時(shí)系統(tǒng)或報(bào)文產(chǎn)生意外延遲，因此其部署很大程度上受限于帶寬和計(jì)算能力等因素，甚至容易影響車(chē)輛機(jī)動(dòng)性相關(guān)的功能安全性。此外，采用防火墻策略可將潛在的攻擊接口與車(chē)內(nèi)網(wǎng)絡(luò)分隔開(kāi)來(lái)，但很難完全隔離威脅和各種攻擊源。

在此背景下，車(chē)輛入侵檢測(cè)與防御系統(tǒng)（IDPS，Intrusion Detection & Prevention System）[2]為車(chē)載網(wǎng)絡(luò)信息安全提供了新的解決方案。該系統(tǒng)可以有效收集并檢測(cè)車(chē)內(nèi)網(wǎng)絡(luò)的潛在攻擊和車(chē)外連接網(wǎng)絡(luò)的不當(dāng)行為，根據(jù)車(chē)輛當(dāng)前狀態(tài)的安全檢測(cè)結(jié)果進(jìn)行動(dòng)態(tài)防御和響應(yīng)。其中，入侵檢測(cè)系統(tǒng)（IDS，Intrusion Detection System）可以檢測(cè)網(wǎng)絡(luò)中可能發(fā)生的不同類(lèi)型的攻擊，如拒絕服務(wù)(DoS，Denial of Service)/分布式拒絕服務(wù)(DDoS, Distributed Denial of Service)、端口掃描、惡意軟件或勒索軟件等。而入侵防御系統(tǒng)（IPS，Intrusion Prevention System）則旨在幫助減輕或避免上述攻擊，防止其對(duì)車(chē)載系統(tǒng)造成破壞。相較于以上兩種單一系統(tǒng)，兼具檢測(cè)和防御功能的IDPS能夠使安全防護(hù)效果加倍，一方面監(jiān)視系統(tǒng)并保護(hù)網(wǎng)絡(luò)免受入侵者的攻擊，另一方面在網(wǎng)絡(luò)環(huán)境中發(fā)生攻擊時(shí)向管理員提供報(bào)告，幫助進(jìn)一步反饋?lái)憫?yīng)措施。與前面提到的主動(dòng)安全防御機(jī)制相比，入侵檢測(cè)與防御系統(tǒng)IDPS具有帶寬資源小、易于部署的特點(diǎn)，更適合資源和成本有限的車(chē)輛網(wǎng)絡(luò)。

圖1 智能網(wǎng)聯(lián)汽車(chē)防止攻擊的安全對(duì)策[1]

02 法規(guī)和標(biāo)準(zhǔn)對(duì)IDPS的規(guī)定

為了應(yīng)對(duì)智能網(wǎng)聯(lián)汽車(chē)中日益嚴(yán)重的數(shù)據(jù)安全漏洞，近年來(lái)國(guó)內(nèi)外相關(guān)機(jī)構(gòu)積極研究汽車(chē)信息安全標(biāo)準(zhǔn)相關(guān)工作，陸續(xù)出臺(tái)很多汽車(chē)信息安全相關(guān)的標(biāo)準(zhǔn)和法規(guī)。

2020年4月，《GB/T 38628-2020 信息安全技術(shù) 汽車(chē)電子系統(tǒng)網(wǎng)絡(luò)安全指南》[3]中明確提出：具有聯(lián)網(wǎng)功能的汽車(chē)需要具備網(wǎng)絡(luò)安全狀態(tài)的監(jiān)測(cè)能力，并對(duì)可能或已經(jīng)出現(xiàn)的網(wǎng)絡(luò)安全事件制定事件響應(yīng)。

與此同時(shí)，《GB/T 28454-2020 信息技術(shù) 安全技術(shù) 入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作》[4]詳細(xì)給出了組織部署和操作入侵檢測(cè)和防御系統(tǒng)（IDPS）的指南，指導(dǎo)相關(guān)組織有效識(shí)別并避免基于網(wǎng)絡(luò)的入侵。

2021年1月，聯(lián)合國(guó)制定的UN/WP.29 R155信息安全法規(guī)[5]中要求車(chē)輛需要檢測(cè)并響應(yīng)潛在的網(wǎng)絡(luò)安全攻擊，并記錄數(shù)據(jù)以支持網(wǎng)絡(luò)攻擊檢測(cè)，提供數(shù)據(jù)取證功能，以便分析未遂或成功的網(wǎng)絡(luò)攻擊。

2021年4月，工業(yè)和信息化部公開(kāi)征求對(duì)《智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南（試行）（征求意見(jiàn)稿）》的意見(jiàn)[6]。該指南中明確提出：企業(yè)應(yīng)建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制和網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制，采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，按規(guī)定留存網(wǎng)絡(luò)日志不少于6個(gè)月，并制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，及時(shí)處置安全威脅、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)。

2021年8月，國(guó)際標(biāo)準(zhǔn)化組織（ISO）/美國(guó)汽車(chē)工程師學(xué)會(huì)（SAE）聯(lián)合起草發(fā)布了《ISO / SAE 21434道路車(chē)輛-網(wǎng)絡(luò)安全工程》國(guó)際規(guī)范[7]，該標(biāo)準(zhǔn)就汽車(chē)網(wǎng)絡(luò)產(chǎn)品開(kāi)發(fā)設(shè)計(jì)中的保護(hù)、檢測(cè)、響應(yīng)等網(wǎng)絡(luò)安全管理活動(dòng)達(dá)成共識(shí)，內(nèi)容涵蓋道路車(chē)輛、車(chē)載系統(tǒng)、組件、軟件以及與外部網(wǎng)絡(luò)和設(shè)備通信的安全。該標(biāo)準(zhǔn)旨在為汽車(chē)制造商和供應(yīng)商提供從設(shè)計(jì)到生產(chǎn)階段的指導(dǎo)方針。

03 車(chē)載入侵檢測(cè)與防御系統(tǒng)（IDPS）

3.1 IDPS的原理

入侵檢測(cè)防御系統(tǒng)IDPS的核心功能是入侵檢測(cè)和響應(yīng)阻止。完整的車(chē)輛IDPS系統(tǒng)是車(chē)端云端相結(jié)合的動(dòng)態(tài)防御系統(tǒng)，能夠?qū)崿F(xiàn)車(chē)載網(wǎng)絡(luò)安全攻擊和異常事件的有效收集、檢測(cè)與應(yīng)對(duì)，其典型的工作拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 車(chē)載IDPS的拓?fù)浣Y(jié)構(gòu)

當(dāng)車(chē)輛遭受黑客攻擊時(shí)，數(shù)據(jù)采集模塊會(huì)實(shí)時(shí)采集車(chē)端各組件或車(chē)載總線網(wǎng)絡(luò)（如CAN/CANFD、以太網(wǎng)等）中的報(bào)文數(shù)據(jù)和安全狀態(tài)信息，并將其發(fā)送給入侵檢測(cè)模塊，用于檢測(cè)車(chē)載網(wǎng)絡(luò)中的異常流量和車(chē)內(nèi)操作系統(tǒng)中的異常行為。此外，檢測(cè)規(guī)則庫(kù)中的規(guī)則能夠?yàn)槿肭之惓z測(cè)提供有效支撐。當(dāng)檢測(cè)到異常后，需要向IDPS事件管理模塊上報(bào)入侵事件。事件管理模塊對(duì)安全事件進(jìn)行一定的處理過(guò)濾，生成相應(yīng)的報(bào)警日志和響應(yīng)措施。其中，報(bào)警日志會(huì)上傳給云端安全運(yùn)維中心（VSOC），進(jìn)行所有車(chē)輛相關(guān)事件和狀態(tài)的管理和呈現(xiàn)。同時(shí)會(huì)通過(guò)OTA等方式，更新車(chē)端的安全防護(hù)策略，以提高車(chē)輛的安全等級(jí)。

3.2 IDPS的分類(lèi)

根據(jù)檢測(cè)對(duì)象的不同，車(chē)載入侵檢測(cè)與防御系統(tǒng)IDPS可分為主機(jī)型、網(wǎng)絡(luò)型和混合型，具體介紹如下：

（1）基于主機(jī)的入侵檢測(cè)防御系統(tǒng)（H-IDPS，Host-based IDPS）

H-IDPS主要對(duì)易受攻擊的關(guān)鍵ECU進(jìn)行監(jiān)視和保護(hù)，通過(guò)監(jiān)控T-BOX、中央網(wǎng)關(guān)、IVI等具有操作系統(tǒng)或?qū)ν饨涌诘闹鳈C(jī)系統(tǒng)，采集和分析其文件完整性、網(wǎng)絡(luò)連接活動(dòng)、進(jìn)程行為、資源使用情況、日志字符串匹配等事件特征，實(shí)現(xiàn)系統(tǒng)異常行為的檢測(cè)。

（2）基于網(wǎng)絡(luò)的入侵檢測(cè)防御系統(tǒng)（N-IDPS，Network-based IDPS）

N-IDPS主要檢測(cè)車(chē)輛內(nèi)部網(wǎng)絡(luò)的入侵事件，通過(guò)采集車(chē)載網(wǎng)絡(luò)總線上的報(bào)文數(shù)據(jù)，進(jìn)行特定網(wǎng)絡(luò)段或設(shè)備的流量數(shù)據(jù)監(jiān)控、數(shù)據(jù)載荷解析和字段匹配等活動(dòng)，以識(shí)別網(wǎng)絡(luò)中出現(xiàn)的異常流量和潛在攻擊行為。

（3）混合式入侵檢測(cè)防御系統(tǒng)（Hybrid IDPS）

混合式IDPS是基于網(wǎng)絡(luò)的IDPS與基于主機(jī)的IDPS的結(jié)合。對(duì)于智能網(wǎng)聯(lián)汽車(chē)來(lái)說(shuō)，混合IDPS的使用最廣泛，且更有利于全面地檢測(cè)和應(yīng)對(duì)車(chē)輛的可疑威脅。此外，根據(jù)檢測(cè)技術(shù)的差異，可將IDPS進(jìn)一步細(xì)分出基于特征、基于信息論和統(tǒng)計(jì)分析和基于機(jī)器學(xué)習(xí)的檢測(cè)機(jī)制[8]，具體介紹如下：

· 基于特征的檢測(cè)方法

基于特征的檢測(cè)方法是常見(jiàn)的入侵檢測(cè)技術(shù)之一，廣泛應(yīng)用于車(chē)輛網(wǎng)絡(luò)入侵檢測(cè)的研究。該方法通過(guò)監(jiān)控車(chē)輛的內(nèi)部網(wǎng)絡(luò)，從中提取不同的特征來(lái)識(shí)別入侵或異常行為。通過(guò)對(duì)車(chē)輛網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)協(xié)議的分析，發(fā)現(xiàn)可用于入侵檢測(cè)觀察的網(wǎng)絡(luò)特征包括設(shè)備指紋（通過(guò)時(shí)域和頻域信息提?。?a href="http://srfitnesspt.com/tags/時(shí)鐘/" target="_blank">時(shí)鐘偏移、頻率觀察和遠(yuǎn)程幀等。基于特征的檢測(cè)方法通?？梢詫?shí)現(xiàn)對(duì)特定攻擊模型的高檢測(cè)精度，并且具有響應(yīng)時(shí)間短和網(wǎng)絡(luò)帶寬開(kāi)銷(xiāo)低的特點(diǎn)。Yilin Zhao等[9]設(shè)計(jì)了一種新的基于指紋的Clock-IDS來(lái)進(jìn)行車(chē)輛入侵檢測(cè)和防護(hù)。該系統(tǒng)根據(jù)時(shí)鐘偏差為每個(gè)ECU建立唯一的指紋，利用經(jīng)驗(yàn)規(guī)則和動(dòng)態(tài)時(shí)間扭曲實(shí)現(xiàn)了入侵檢測(cè)和攻擊源識(shí)別功能。最終實(shí)驗(yàn)得出檢測(cè)三種類(lèi)型攻擊的準(zhǔn)確率為98.63%，識(shí)別攻擊源的平均準(zhǔn)確率為96.77%，每次檢測(cè)的平均時(shí)間成本僅為1.99ms。Song等人[10]提出了一種基于消息時(shí)間間隔統(tǒng)計(jì)分析的輕量級(jí)入侵檢測(cè)系統(tǒng)。他們發(fā)現(xiàn)，分析消息的時(shí)間間隔是檢測(cè)數(shù)據(jù)包的重要特征，通過(guò)消息頻率分析可有效檢測(cè)流量異常和消息注入攻擊。

· 基于信息論和統(tǒng)計(jì)分析的檢測(cè)方法

當(dāng)車(chē)輛受到惡意攻擊（如DOS、重放等）時(shí)，CAN總線的信息熵將顯著降低，這在資源有限的車(chē)輛網(wǎng)絡(luò)入侵研究中被廣泛應(yīng)用，很多研究逐漸關(guān)注基于熵的異常檢測(cè)系統(tǒng)。Muter和Asaj等人[11]最早提出在車(chē)輛檢測(cè)網(wǎng)絡(luò)中使用信息熵的概念，并通過(guò)檢測(cè)消息注入(MI)攻擊、DoS攻擊討論了該方法的合理性和適用性。Mirco Marchetti等人[12]則介紹了一種基于熵的入侵檢測(cè)系統(tǒng)，并評(píng)估了其應(yīng)用于現(xiàn)代車(chē)輛網(wǎng)絡(luò)的有效性。實(shí)驗(yàn)結(jié)果表明，如果將基于熵的異常檢測(cè)應(yīng)用于所有CAN消息，則只能檢測(cè)偽造攻擊。該方法完全獨(dú)立于報(bào)文內(nèi)容，因此可直接應(yīng)用于任何車(chē)輛的CAN總線，但需要并行執(zhí)行多個(gè)異常檢測(cè)器。

· 基于機(jī)器學(xué)習(xí)的檢測(cè)方法

機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)和其他理論也是研究車(chē)輛網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的熱門(mén)方向。這類(lèi)檢測(cè)方法引入機(jī)器學(xué)習(xí)等機(jī)制來(lái)完成正常樣本的識(shí)別，技術(shù)普適性較強(qiáng)，無(wú)需對(duì)適配車(chē)型進(jìn)行定制化開(kāi)發(fā)，但存在異常樣本采集數(shù)量大和訓(xùn)練難度高的問(wèn)題。Kang和Kang[13]提出一種基于深度神經(jīng)網(wǎng)絡(luò)(DNN)的入侵檢測(cè)系統(tǒng)。該系統(tǒng)在ECU之間交換的車(chē)內(nèi)網(wǎng)絡(luò)數(shù)據(jù)包的高維特征提取比特流上訓(xùn)練檢測(cè)模型。對(duì)于給定的數(shù)據(jù)包，DNN提供每個(gè)類(lèi)別區(qū)分正常和攻擊數(shù)據(jù)包的概率，因此傳感器可以識(shí)別對(duì)車(chē)輛的任何惡意攻擊。實(shí)驗(yàn)結(jié)果表明，該技術(shù)可以提供對(duì)攻擊的實(shí)時(shí)響應(yīng)，并顯著提高CAN總線中的檢測(cè)率。Taylor等人[14]提出一種基于長(zhǎng)短期記憶神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)器來(lái)檢測(cè)交錯(cuò)、丟棄、不連續(xù)、異常和反向攻擊這五種類(lèi)型的網(wǎng)絡(luò)攻擊。實(shí)驗(yàn)結(jié)果表明，該方法能夠以高檢測(cè)率和低誤報(bào)率檢測(cè)出異常報(bào)文。

04 小結(jié)

車(chē)載網(wǎng)絡(luò)入侵檢測(cè)與防御技術(shù)可以有效地彌補(bǔ)加密和認(rèn)證機(jī)制帶來(lái)的計(jì)算和通信開(kāi)銷(xiāo)，更適用于具有關(guān)鍵功能、資源有限的智能網(wǎng)聯(lián)車(chē)輛的網(wǎng)絡(luò)環(huán)境。在未來(lái)很長(zhǎng)一段時(shí)間內(nèi)，車(chē)載網(wǎng)絡(luò)入侵檢測(cè)與防御技術(shù)都是智能網(wǎng)聯(lián)車(chē)輛信息安全增強(qiáng)研究的重要發(fā)展方向。

參考文獻(xiàn)：

[1] Aliwa E, Rana O, Perera C, et al. Cyberattacks and Countermeasures for In-Vehicle Networks[J]. ACM Computing Surveys, 2021, 54(1): 1-37.

[2] Liu J, Zhang S, Sun W, et al. In-Vehicle Network Attacks and Countermeasures: Challenges and Future Directions[J]. IEEE Network, 2017, 31(5): 50-58.

[3] 國(guó)家市場(chǎng)監(jiān)督管理總局, 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì). GB∕T 38628-2020 信息安全技術(shù) 汽車(chē)電子系統(tǒng)網(wǎng)絡(luò)安全指南[S]. 北京: 中國(guó)標(biāo)準(zhǔn)出版社, 2020.

[4] 國(guó)家市場(chǎng)監(jiān)督管理總局, 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì). GB/T 28454-2020 信息技術(shù) 安全技術(shù) 入侵檢測(cè)和防御系統(tǒng)（IDPS）的選擇、部署和操作[S]. 北京: 中國(guó)標(biāo)準(zhǔn)出版社, 2020.

[5] Unitednations. UN Regulation No. 155:Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system[S]. New York, 2021.

[6]《智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南（試行）》（征求意見(jiàn)稿）[EB/OL].https://www.miit.gov.cn/gzcy/yjzj/art/2021/art_cd02c592fffb456ea38789b1ea413802.html.

[7] International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.

[8] Guan T, Han Y, Kang N, et al. An Overview of Vehicular Cybersecurity for Intelligent Connected Vehicles[J]. Sustainability, 2022, 14(9).

[9] Zhao Y, Xun Y, Liu J. ClockIDS: A Real-Time Vehicle Intrusion Detection System Based on Clock Skew[J]. IEEE Internet of Things Journal, 2022, 9(17): 15593-15606.

[10] Song H M, Kim H R, Kim H K. Intrusion detection system based on the analysis of time intervals of CAN messages for in-vehicle network[C]. International Conference on Information Networking (ICOIN), 2016: 63-68.

[11] Michael Müter N A. Entropy-based anomaly detection for in-vehicle networks[C]. In Proceedings of the 2011 IEEE Intelligent Vehicles Symposium (IV), 2011.

[12] Mirco Marchetti D S, Alessandro Guido, Michele Colajanni. Evaluation of anomaly detection for in-vehicle networks through information-theoretic algorithms[C]. EEE 2nd International Forum on Research and Technologies for Society and Industry Leveraging a better tomorrow (RTSI), 2016.

[13] Kang M J, Kang J W. Intrusion Detection System Using Deep Neural Network for In-Vehicle Network Security[J]. PLoS One, 2016, 11(6): e0155781.

[14] Adrian Taylor S L, Nathalie Japkowicz. Anomaly Detection in Automobile Control Network Data with Long Short-Term Memory Networks[C]. IEEE International Conference on Data Science and Advanced Analytics (DSAA), 2016.