有效解決車載網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的車載網(wǎng)絡(luò)入侵檢測系統(tǒng)

現(xiàn)代汽車是由傳感器、電子控制單元 （Electronic Control Unit， ECU） 和執(zhí)行器組成的復(fù)雜系 統(tǒng)，通過不同類型的車內(nèi)網(wǎng)絡(luò)連接來控制和監(jiān)測車 輛的狀態(tài)。隨著智能化、網(wǎng)聯(lián)化的發(fā)展，汽車搭載 了更多的 ECU 和外部通信接口，為用戶提供智能 網(wǎng)聯(lián)服務(wù)和網(wǎng)絡(luò)安全 。然而，隨著汽車的復(fù)雜性和互聯(lián)性的不斷提高，且現(xiàn)有車載網(wǎng)絡(luò)設(shè)計(jì)缺乏 網(wǎng)絡(luò)安全考慮，汽車的安全風(fēng)險(xiǎn)也日益突出。

網(wǎng)絡(luò)安全問題正在成為車載網(wǎng)絡(luò)系統(tǒng)的主要關(guān)注點(diǎn)。數(shù) 以 百 萬 計(jì) 的 汽 車 面 臨 各 種 安 全 風(fēng) 險(xiǎn)，如 2015 年 MILLER 等 使用 Wi-Fi 開放 端口侵入 Jeep Cherokee 的車載網(wǎng)絡(luò)系統(tǒng)，并通過重新編程 ECU 的固件成功控制了該車的核心功能 （如禁用制動(dòng)和停止發(fā)動(dòng)機(jī)），導(dǎo)致140萬輛汽車被 召回。相關(guān)汽車攻擊案例引發(fā)了對汽車網(wǎng)絡(luò)安全的廣泛研究。

目前，行業(yè)內(nèi)各整車制造公司未普遍采用有效的安全技術(shù)手段來應(yīng)對汽車安全風(fēng)險(xiǎn)。該現(xiàn)狀對于 黑客入侵行為無法進(jìn)行有效的防護(hù)，從而導(dǎo)致車輛隱私數(shù)據(jù)或敏感數(shù)據(jù)的丟失，同時(shí)也會(huì)導(dǎo)致車輛行 駛功能受到遠(yuǎn)程控制或破壞，對行車安全造成重大 影響。入侵檢測技術(shù)是應(yīng)對這一情況的有效解決方 案，該技術(shù)可以識(shí)別非法入侵行為，對車主或整車 制造廠進(jìn)行快速預(yù)警，車主或整車制造廠根據(jù)預(yù)警 信息進(jìn)行應(yīng)急響應(yīng)，將安全風(fēng)險(xiǎn)降到最低。

對車載網(wǎng)絡(luò)的保護(hù)通常分為以下 3 類：（1） 將 消息幀進(jìn)行加密確保其機(jī)密性和完整性 ；（2） 使 用防火墻對潛在的危險(xiǎn)接口進(jìn)行監(jiān)控 ；（3） 搭建 車載網(wǎng)絡(luò)入侵檢測系統(tǒng)（Intrusion Detection System， IDS）。

在上述分類中，不同的方法具有不同的優(yōu)缺 點(diǎn)。加密和認(rèn)證的方式雖能有效保護(hù)車載網(wǎng)絡(luò)的信 息傳輸，但現(xiàn)有車載網(wǎng)絡(luò)由于其自身在計(jì)算能力、 帶寬等方面的局限性 ，導(dǎo)致這些方法無法被部 署。例如，在計(jì)算機(jī)領(lǐng)域，對于通信連接普遍采用 3 次握手協(xié)議，握手成功后才進(jìn)行有效信息傳遞。如果 CAN 總線引入該機(jī)制，對動(dòng)力系統(tǒng)等發(fā)送實(shí) 時(shí)性高的報(bào)文 （10 ms） 會(huì)造成重大延誤，在車輛激烈駕駛過程中勢必會(huì)引發(fā)功能安全問題，因此 CAN總線不適合引入重安全機(jī)制。此外，車載網(wǎng)絡(luò) 的攻擊入口分布在車機(jī)、網(wǎng)關(guān)、車身控制器等多個(gè) 控制器上，且各控制器編譯環(huán)境不同，有的控制器 還采用了汽車專用操作系統(tǒng)，所以無法通過部署一 套計(jì)算機(jī)領(lǐng)域常用的防火墻來完全隔離威脅和各種攻擊源。

IDS 可部署在車載網(wǎng)絡(luò)流量集中的控制器上， 通過對車載網(wǎng)絡(luò)報(bào)文的實(shí)時(shí)檢測，能夠有效識(shí)別異 常報(bào)文和冗余報(bào)文，對車主和整車廠進(jìn)行實(shí)時(shí)預(yù) 警，車主和整車廠根據(jù)預(yù)警信息的程度，采取相應(yīng) 的應(yīng)急解決措施，同時(shí)整車廠可根據(jù)預(yù)警信息，對 未被入侵的車輛采取有效的補(bǔ)救方案，因此，IDS 技術(shù)的應(yīng)用能夠有效解決車載網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。

1 車載網(wǎng)絡(luò)架構(gòu)概述

現(xiàn)代車輛的典型架構(gòu)集成了一組網(wǎng)絡(luò)組件，包 括傳感器、執(zhí)行器、ECU 和通信設(shè)備 。車內(nèi)網(wǎng) 絡(luò)有助于傳感器、ECU 和執(zhí)行器之間的數(shù)據(jù)共享， 從而實(shí)現(xiàn)車輛的運(yùn)行。在現(xiàn)代車載通信系統(tǒng)中廣泛 使 用 的 車 載 網(wǎng) 絡(luò) 包 括 本 地 互 連 網(wǎng) 絡(luò) （Local Interconnect Network，LIN）、CAN、FlexRay、以太 網(wǎng)和面向媒體的系統(tǒng)傳輸 （Media Oriented System Transport，MOST）。表 1 對上述車載網(wǎng)絡(luò)的特點(diǎn)進(jìn) 行了概括與比較。

LIN 提供的低通信速度適用于時(shí)間性能要求不 高的應(yīng)用，如電池監(jiān)控、車窗升降器控制等。如果 要適用于對性能和帶寬具有較高要求的應(yīng)用，則需 要增加系統(tǒng)成本，F(xiàn)lexRay、MOST 和以太網(wǎng)就是屬于此種類型。例如，F(xiàn)lexRay 可用于轉(zhuǎn)向角傳感 器、安全雷達(dá)等，以太網(wǎng)和 MOST 可用于信息娛 樂系統(tǒng)。在所有車載網(wǎng)絡(luò)類型中，CAN 由于其 較低成本、較全工具鏈、一定的抗噪與容錯(cuò)性成為使用最廣泛的車載網(wǎng)，尤其用于汽車動(dòng)力系統(tǒng)、車身控制系統(tǒng)等［ 。然而，由于 CAN 的安全性不 足而易受到安全威脅，本文所提到的大部分入侵檢 測技術(shù)都是基于CAN的。

CAN 總線的傳輸速率可以達(dá)到 125 Kbit/s 及以 上，其總線拓?fù)浣Y(jié)構(gòu)在傳輸電纜末端帶有兩個(gè)120 Ω 的終端電阻。CAN總線上的節(jié)點(diǎn)在接收到消息時(shí)會(huì) 與發(fā)送節(jié)點(diǎn)同步時(shí)間，因此不需要同步以規(guī)范通 信?？偩€在空閑狀態(tài)下，其上的每個(gè)節(jié)點(diǎn)都可以訪 問總線，并以廣播的形式發(fā)送所要傳輸?shù)男畔?。對于接收消息的節(jié)點(diǎn)，其通過消息過濾器根據(jù)消息 ID決定接收哪個(gè)消息。多個(gè)節(jié)點(diǎn)同時(shí)傳輸消息的情 況下，需要通過載波偵聽多路訪問與沖突避免，以 及消息優(yōu)先級仲裁競爭對總線的訪問，ID越小的消 息具備的優(yōu)先級越高。CAN消息幀格式示意如圖1所示。

如圖 1 所示，一個(gè) CAN 幀由以下 7 個(gè)字段 組成：

（1） 起始位：通知所有節(jié)點(diǎn)開始傳輸?shù)膯蝹€(gè)顯 性位。

（2） 仲裁域：由2個(gè)主要部分組成；表示消息/ 幀的 ID 并在仲裁過程中使用的標(biāo)識(shí)符字段，以及 根據(jù) CAN 幀的種類確定的遠(yuǎn)程傳輸請求 （Remote Transmission Request，RTR）。

（3） 控制域：有 2 個(gè)保留位和 4 個(gè)數(shù)據(jù)長度 代碼。

（4） 數(shù)據(jù)域：保存?zhèn)鬏數(shù)狡渌?jié)點(diǎn)的實(shí)際 數(shù)據(jù)。

（5） 循環(huán)冗余校驗(yàn) （Cyclic Redundancy Check， CRC）：保證消息的有效性。收到消息的所有其他 節(jié)點(diǎn)都使用此代碼驗(yàn)證消息。

（6） 確認(rèn)字符（Acknowledge Character，ACK）：分為 ACK 部分和分隔符部分。接收到有效消息的節(jié)點(diǎn)用顯性位 （即邏輯 0） 替換作為隱性位 （即邏 輯 1） 的 ACK 部分。

（7） 終止位：7 個(gè)隱性位組成的標(biāo)志，指示幀 的結(jié)束。

2 車載網(wǎng)絡(luò)攻擊

智能網(wǎng)聯(lián)汽車容易受到多種不同程度的網(wǎng)絡(luò)攻 擊，從數(shù)據(jù)竊聽到出行安全，甚至癱瘓整個(gè)交通系統(tǒng) 。一般來說，網(wǎng)絡(luò)攻擊可以分為兩類：被動(dòng) 攻擊和主動(dòng)攻擊。被動(dòng)網(wǎng)絡(luò)攻擊 （如竊聽） 主要違 反目標(biāo)系統(tǒng)安全的保密要求并導(dǎo)致隱私泄露 （如對 位置信息、對話數(shù)據(jù)和攝像頭記錄等隱私數(shù)據(jù)的訪 問）。主動(dòng)網(wǎng)絡(luò)攻擊可以通過插入、刪除或修 改消息來阻礙系統(tǒng)的功能 。通過對現(xiàn)有工作的 回顧，車載網(wǎng)絡(luò)的常見網(wǎng)絡(luò)攻擊闡述如下。

2.1 拒絕服務(wù)攻擊

拒絕服務(wù) （Deny of Service，DoS） 攻擊旨在 干擾系統(tǒng)的預(yù)期功能。比較常見的 DoS 中，攻 擊者可能會(huì)發(fā)送許多合法請求，超出服務(wù)系統(tǒng)的處 理能力，致使系統(tǒng)資源耗盡而無法響應(yīng)其他合理請 求。在車聯(lián)網(wǎng)環(huán)境中，攻擊者可以向路邊單元 （Road Side Unit，RSU） 發(fā)送許多請求消息使 RSU 過載，這種情況下車輛無法獲得該RSU所共享的重 要消息，從而導(dǎo)致嚴(yán)重后果。CAN網(wǎng)絡(luò)中的攻擊者 可以利用消息仲裁機(jī)制，不斷發(fā)送具有高優(yōu)先級的 消息從而阻斷其他ECU節(jié)點(diǎn)的消息傳輸。

2.2 消息注入和重放攻擊

消息注入 （MI） 攻擊的主要原理是在網(wǎng)絡(luò)中注 入偽造的消息，重放攻擊是將之前的消息重新注入 到網(wǎng)絡(luò)中。在 CAN 網(wǎng)絡(luò)中，攻擊者可以控制某個(gè) ECU，并通過它將偽造的消息發(fā)送到 CAN總線上；而重放攻擊中則需要首先對之前的消息進(jìn)行存儲(chǔ)， 然后再在某個(gè)時(shí)間點(diǎn)將原來的消息發(fā)送到 CAN 總 線。例如，攻擊者可以存儲(chǔ)車速表讀數(shù)并稍后將其 再次廣播到網(wǎng)絡(luò)。

2.3 消息操縱

這種攻擊通過更改/修改或刪除消息來影響數(shù)據(jù)的完整性。例如，攻擊者可以修改消息的內(nèi)容。攻擊者可能會(huì)修改消息的內(nèi)容而不影響其發(fā)送與接 收時(shí)間。字段修改和刪除攻擊是消息操縱攻擊的典 型類型。在刪除攻擊中，攻擊者先刪除受感染的 ECU 并輸出緩沖區(qū)中的消息，然后再將它們傳輸 到 CAN 總線上。

2.4 偽裝攻擊

要發(fā)起偽裝攻擊，攻擊者需要滲透兩個(gè) ECU （A 和 B）。攻擊者首先監(jiān)視CAN總線以了解A以什 么頻率發(fā)送了哪些消息，然后停止A的傳輸并利用 B 代表 A 制造和注入消息。

2.5 惡意軟件攻擊

惡意軟件可能以病毒、蠕蟲、間諜軟件等多種形式存在，攻擊者可以將它們利用通信接口的漏洞 注入系統(tǒng)。例如，將惡意軟件加入到多媒體文件 中，并利用其多媒體系統(tǒng)固件輸入漏洞實(shí)現(xiàn)惡意軟 件的運(yùn)行，從而將惡意消息發(fā)送到CAN總線上 ， 以實(shí)現(xiàn)消息注入攻擊、重放攻擊、DoS等特定類型的攻擊。

3 車載CAN網(wǎng)絡(luò)IDS類型

近年來，汽車惡意攻擊的數(shù)量有所增加。因此，車載網(wǎng)絡(luò)安全問題越來越受到關(guān)注 。入侵 檢測技術(shù)作為一種網(wǎng)絡(luò)安全增強(qiáng)方法，成本低，部署方便。

入侵檢測依賴于觀測的數(shù)據(jù)，在車載網(wǎng)絡(luò)中主 要是各節(jié)點(diǎn) （如 ECU） 之間交換的數(shù)據(jù)。例如，1 條 CAN 消息，其具有固定的格式，包括消息 ID、 數(shù)據(jù)內(nèi)容、校驗(yàn)碼等，表示某個(gè)事件或過程。消息的時(shí)間戳或者數(shù)據(jù)范圍都可以作為特征成為區(qū)分消 息是否正常的依據(jù)，從而實(shí)現(xiàn)入侵檢測。

一般而言，可以將數(shù)據(jù)集的特征分為兩種類 型：物理特征和網(wǎng)絡(luò)特征。物理特征是指描述系統(tǒng) 物理狀態(tài)的特征（如速度、發(fā)動(dòng)機(jī)轉(zhuǎn)速），而網(wǎng)絡(luò) 特征是指描述系統(tǒng)通信和數(shù)據(jù)方面的特征（如消息 數(shù)量、數(shù)據(jù)序列）。為了強(qiáng)化學(xué)習(xí)算法的辨別能力， 需要剔除不相關(guān)的特征，所以精確地選擇合理的特征不僅能夠降低計(jì)算成本，對提高學(xué)習(xí)算法的泛化能力也具有重要意義。

通常將傳統(tǒng)的 IDS 分為兩類：基于簽名的 IDS 和基于異常的IDS 。基于簽名的 IDS 需要對已有 攻擊模式進(jìn)行匹配 ，如黑名單就是一種常見的 基于簽名的 IDS。當(dāng)觀察到匹配的攻擊模式時(shí)則報(bào) 告入侵。由于基于簽名的 IDS只對已知的攻擊進(jìn)行報(bào)告，所以具有較低的誤報(bào)率，但檢測新攻擊 （如 0-day攻擊） 的能力有限。為了能夠抵御新型攻擊， 簽名數(shù)據(jù)庫需要保持最新。此外，存儲(chǔ)大型簽名數(shù) 據(jù)庫并對其執(zhí)行模式匹配，對CPU、內(nèi)存等資源的 要求都比較高。

基于異常的 IDS 對正常的系統(tǒng)行為進(jìn)行建模， 并將與正常系統(tǒng)行為有顯著偏差的行為視為入 侵 。該方法不必每次存儲(chǔ)最新的攻擊模式，且 能夠識(shí)別新型攻擊，但是如果對正常系統(tǒng)的行為建 模不精確容易產(chǎn)生誤報(bào)。此外，正常系統(tǒng)行為的建 模依賴于不受攻擊的數(shù)據(jù)，而這些“純凈”數(shù)據(jù)在 現(xiàn)實(shí)世界中并不一定能夠獲得。與基于簽名的 IDS 相比，基于異常的 IDS由于不需要存儲(chǔ)簽名，所以 需要更少的內(nèi)存即可滿足要求。

近年來，針對車載網(wǎng)絡(luò)的入侵檢測技術(shù)進(jìn)行了大量研究 。從車載網(wǎng)絡(luò) IDS 設(shè)計(jì)的角度來看， 其可以分為基于流量的 IDS、基于負(fù)載的 IDS 和混 合 IDS。基于流量的 IDS 監(jiān)控車輛的內(nèi)部網(wǎng)絡(luò)，并 從中提取不同的特征 （如消息頻率和間隔） 。然 后使用提取的特征來識(shí)別入侵或異常行為，而無需 檢查消息的有效負(fù)載；基于負(fù)載的 IDS 檢查消息的 負(fù)載以識(shí)別入侵；混合 IDS 是前兩個(gè)類別的組合。針對上述分類，典型的車載網(wǎng)絡(luò)入侵檢測技術(shù)闡述如下。

3.1 基于流量的IDS技術(shù)

HOPPE等通過分析車載網(wǎng)絡(luò)的實(shí)際攻擊案 例，提出了基于異常的 IDS跟蹤特定目標(biāo)消息類型的所有CAN消息，并評估當(dāng)前的消息頻率和之前的是否一致。此外，建議在檢測到攻擊時(shí)，在考慮 周圍環(huán)境條件的同時(shí)，所提出的系統(tǒng)能夠自適應(yīng)地通過車輛的多媒體設(shè)備向駕駛員報(bào)告安全事件。

LING Congli 和 FENG Dongqin 基于CAN 總線上傳輸?shù)南D與其可中斷的發(fā)生頻率提出了一 種 CAN 入侵檢測算法 。對于給定消息類型（即 ID），該算法會(huì)計(jì)算其連續(xù)消息的數(shù)量。如果可中 斷序列中的消息計(jì)數(shù)大于預(yù)定閾值，則算法會(huì)發(fā)出 可能攻擊的警報(bào)。該算法在檢測操縱消息內(nèi)容的同 時(shí)保持其頻率的攻擊方面能力有限。

SONG等提出了一種基于 CAN 消息時(shí)間間 隔統(tǒng)計(jì)分析的輕量級 IDS，主要原理是根據(jù)消息頻 率分析異常流量，從而用于檢測注入攻擊。在正常 運(yùn)行條件下，ECU 生成的消息有自己的固定頻率 或間隔。當(dāng)車輛受到消息注入攻擊時(shí)，這些頻率或 間隔會(huì)意外更改。試驗(yàn)表明，受到注入攻擊的消息 頻率比正常情況高出20～100倍。

CHO 和 SHIN構(gòu)建了一個(gè)基于時(shí)鐘的入侵檢測系統(tǒng) （Clock-based Intrusion Detection System， CIDS），其可以檢測包括偽裝攻擊在內(nèi)的各種類型 的攻擊 。由于 CAN 協(xié)議沒有在 CAN 消息中提 供發(fā)送器的身份，所以利用消息周期性來提取和估 計(jì)發(fā)射器的時(shí)鐘偏差，從而用于對發(fā)射 ECU 進(jìn)行 指紋識(shí)別。累計(jì)時(shí)鐘偏移是通過將平均時(shí)鐘偏移的 絕對值相加得到的，根據(jù)定義，其斜率表示時(shí)鐘偏 移且是恒定的。這使所提出的 CIDS 能夠根據(jù)到達(dá) 時(shí)間戳估計(jì)時(shí)鐘偏差，從而對消息發(fā)送器進(jìn)行指紋 識(shí)別以便進(jìn)行入侵檢測。

AVATEFIPOUR 提出了一種基于機(jī)器學(xué)習(xí)的 模型，該模型通過學(xué)習(xí)接收到的數(shù)據(jù)包的物理信號 屬性，將 CAN 數(shù)據(jù)包與其發(fā)送源進(jìn)行“綁定”。所 提取的物理信號特征向量由 11 個(gè)時(shí)域和頻域統(tǒng)計(jì) 信號屬性組成，包括高階矩、頻譜合度、最小值、 最大值和不規(guī)則性等屬性，然后用于基于神經(jīng)網(wǎng)絡(luò) 的分類器。試驗(yàn)結(jié)果表明，該模型對通道和 ECU 分類的正確檢測率分別為95.2%和98.3%?；陟氐?a href="http://ttokpm.com/v/tag/5122/" target="_blank">信息論方法也可以用來檢測車載網(wǎng)絡(luò) 的消息注入、DoS等攻擊。相比于傳統(tǒng)的計(jì)算 機(jī)網(wǎng)絡(luò)，車載網(wǎng)絡(luò)中的流量更受限制，因?yàn)槊織l消 息及其內(nèi)容都是在傳輸之前指定的。這意味著正常網(wǎng)絡(luò)操作中數(shù)據(jù)的熵 （即不確定性） 幾乎是固定的 并且相對較低。因此，通過觀察熵值可以很容易地 檢測到改變數(shù)據(jù)熵的入侵。例如，MI 攻擊會(huì)降低 熵值，因?yàn)樘囟ㄏ⒌臄?shù)量會(huì)增加。因此，IDS可 以通過檢測熵的變化來判斷是否存在攻擊的指標(biāo)。

由上文可知，基于流量型的 IDS技術(shù)可有效識(shí) 別特定數(shù)據(jù)包和頻率的異常情況，對于傳統(tǒng) CAN 總線網(wǎng)絡(luò)適用性更強(qiáng)，同時(shí)實(shí)時(shí)性好。但是對于面 向服務(wù)的車載網(wǎng)絡(luò)，由于服務(wù)信號可以根據(jù)服務(wù)需 求進(jìn)行變更，那么基于流量型的 IDS技術(shù)則很難對 新增的服務(wù)信號做出響應(yīng)，也無法發(fā)現(xiàn)新增服務(wù)信 號的篡改等風(fēng)險(xiǎn)，所以該技術(shù)有其局限性。

3.2 基于負(fù)載的IDS技術(shù)

BEZEMSKIJ等通過監(jiān)控車輛的不同車載資 源 （如傳感器、網(wǎng)絡(luò)和處理） 的實(shí)時(shí)網(wǎng)絡(luò)和物理特 征實(shí)現(xiàn)入侵檢測，分為學(xué)習(xí)階段和檢測階段。在學(xué) 習(xí)階段，將車輛學(xué)習(xí)特征的正常值范圍作為正常行 為配置文件。在檢測階段，如果某個(gè)特征的觀察值 超出其正常范圍，則檢測機(jī)制會(huì)報(bào)告攻擊。所提出 的機(jī)制能夠檢測信息注入攻擊和偽裝攻擊。

MARKOVITZ等 通過一個(gè)分類器將 CAN 消息拆分為字段并識(shí)別字段類型及其邊界，而無需 事先了解消息格式。由此可知存在 3 類場：常數(shù) 場、多值場和計(jì)數(shù)器或傳感器場。然后，檢測系統(tǒng) 根據(jù)從分類器獲得的 ECU 消息的特征 （即字段類 型和邊界） 為每個(gè) ECU 構(gòu)建模型。該模型基于三 元 內(nèi) 容 可 尋 址 存 儲(chǔ) 器 （Ternary Content Address Memory，TCAM） 對 ECU 發(fā)送的消息進(jìn)行匹配， 任何與 TCAM 不匹配的消息都被標(biāo)記為異常。

STABILI等 基于不同 ID 類別的連續(xù)有效載 荷之間的漢明距離提出了一種入侵檢測算法。在學(xué) 習(xí)階段，為提出的算法建立了一個(gè)正常范圍的有效 漢明距離。然后，它分析通過 CAN 總線傳輸?shù)乃?有消息的有效載荷序列，并將相同 ID 的連續(xù)有效 載荷之間的漢明距離與有效漢明距離的正常范圍進(jìn) 行比較。試驗(yàn)結(jié)果表明，所提出的算法在檢測消息 注入攻擊時(shí)效果較好。

KANG等 提出了一種基于深度神經(jīng)網(wǎng)絡(luò) （Deep Neural Networks，DNN） 的 IDS。檢測模型 是基于從 ECU 之間交換的車載網(wǎng)絡(luò)數(shù)據(jù)包的比特 流中提取的高維特征進(jìn)行訓(xùn)練。一旦特征被訓(xùn)練并 存儲(chǔ)在分析模塊中，所提出的系統(tǒng)就會(huì)檢查車輛網(wǎng) 絡(luò)中交換的數(shù)據(jù)包，以確定系統(tǒng)是否受到攻擊。由 于神經(jīng)網(wǎng)絡(luò)的前向計(jì)算模式簡單且固定，所以所提 出的系統(tǒng)在檢測異常時(shí)具有較低的延遲。

由上文可知，基于負(fù)載的 IDS技術(shù)普遍引入機(jī) 器學(xué)習(xí)機(jī)制來完成正常樣本的識(shí)別，該技術(shù)的普適 性較強(qiáng)，無需對適配車型進(jìn)行定制化開發(fā)。但是其 存在機(jī)器學(xué)習(xí)的普遍問題，即正常樣本和異常樣本 采集問題，特別是異常樣本數(shù)量巨大，學(xué)習(xí)難度較 高。因此，該技術(shù)如何獲取大量樣本來進(jìn)行學(xué)習(xí)是 應(yīng)用該技術(shù)的門檻。

3.3 混合類型的IDS技術(shù)

JIN Shiyi等分別根據(jù)流量選擇消息 ID、時(shí)間間隔作為特征，根據(jù)負(fù)載選擇數(shù)據(jù)范圍以及相關(guān) 性作為特征，從而提出了一種混合類型的 IDS。該 IDS 作為一種輕量級 IDS 可以直接應(yīng)用到 ECU 上， 避免了車載網(wǎng)絡(luò)拓?fù)涞母拈_銷，因此在汽車架構(gòu) 沒有發(fā)生大規(guī)模改變的階段存在一定的應(yīng)用前景。

MüTER等引入了一組檢測傳感器：形式傳 感器、位置傳感器、距離傳感器、頻率傳感器、相 關(guān)傳感器、協(xié)議傳感器、似真性傳感器和一致性傳 感器。這些檢測傳感器基于明確且可靠的信息，所 以在檢測異常時(shí)不會(huì)產(chǎn)生誤報(bào)。盡管這些傳感器可 用于檢測攻擊而不會(huì)誤報(bào)，但并非所有攻擊都可以 被這些傳感器檢測到。例如，如果攻擊者能夠注入 完全符合網(wǎng)絡(luò)正常行為且與先前值合理的消息。此 外，當(dāng)檢測到異常時(shí)很難確定其是由攻擊、錯(cuò)誤還 是故障引起的。

BERLIN 等引入了一個(gè)安全信息和事件管 理系統(tǒng)（Security Information and Event Management， SIEM），其使用是基于規(guī)則、機(jī)器學(xué)習(xí)、深度學(xué) 習(xí)、基于實(shí)時(shí)、安全和大數(shù)據(jù)的算法，通過車輛的 數(shù)據(jù)和其他來源的附加信息 （如來自第三方和服務(wù)的數(shù)據(jù)） 來識(shí)別攻擊。

ZHANG Linxi 等提出了一種基于規(guī)則和深 度學(xué)習(xí)的兩階段 IDS 來實(shí)時(shí)檢測攻擊。在第1階段，輕量級基于規(guī)則的 IDS可以快速檢測違反主要 CAN 流量的周期性和規(guī)律性的攻擊，而基于 DNN 的 IDS會(huì)從基于規(guī)則的系統(tǒng)中捕獲錯(cuò)過的攻擊，試 驗(yàn)表明該系統(tǒng)可以檢測 5種類型的攻擊，包括消息 注入、偽裝、重放、刪除或丟棄攻擊，在增加檢測 準(zhǔn)確性的同時(shí)降低了檢測時(shí)延。

彭海德提出了一種基于ID熵和支持向量機(jī)-數(shù)據(jù)關(guān)聯(lián)性的IDS檢測技術(shù)，針對 CAN 周期性 消息，建立白名單與熵相結(jié)合的檢測機(jī)制，針對非 周期消息，建立了數(shù)據(jù)域與車輛狀態(tài)相結(jié)合的數(shù)據(jù) 關(guān)聯(lián)檢測技術(shù)，從而實(shí)現(xiàn)對重放、DoS、丟棄 （刪 除） 攻擊的檢測。

KWON 等結(jié)合車載網(wǎng)絡(luò) IDS 提出了一種減輕入侵危害的方法，其主要是通過將受攻擊的ECU 進(jìn)行重新配置，或者將檢測到的惡意消息通知特定 域的ECU進(jìn)行丟棄。

SUDA 等提出了一種基于時(shí)間序列特征提 取的車載網(wǎng)絡(luò)入侵檢測方法以檢測 ID 修改攻擊、 數(shù)據(jù)字段修改攻擊和洪泛攻擊。其主要是將消息 ID、數(shù)據(jù)字段以及消息幀間隔統(tǒng)一放到遞歸神經(jīng)網(wǎng) 絡(luò)中進(jìn)行訓(xùn)練，從而達(dá)到識(shí)別異常或者攻擊的目的。

NAM等利用類似的思想基于生成式的預(yù)訓(xùn) 練模型提取面向時(shí)間序列的ID特征以檢測入侵。

HE Yuchu等基于深度學(xué)習(xí)方法，在考慮車 載網(wǎng)絡(luò)流量與負(fù)載的基礎(chǔ)上，增加了臨近消息的關(guān) 系特征并給不同的特征分配相應(yīng)的權(quán)重以增加入侵 檢測的效率。

混合類型的 IDS 技術(shù)融合了基于流量的 IDS 和 基于負(fù)載的 IDS的優(yōu)點(diǎn)，既能對選定的報(bào)文進(jìn)行快 速識(shí)別，同時(shí)又具備學(xué)習(xí)能力，可以學(xué)習(xí)新報(bào)文。但是受限于車輛整體成本，IDS部署的控制器算力 和存儲(chǔ)空間普遍無法支撐混合類型的 IDS技術(shù)，如 何降低混合類型的 IDS技術(shù)資源使用，是該技術(shù)能 夠進(jìn)行廣泛使用的前提條件。

4 結(jié)論

隨著汽車智能化與網(wǎng)聯(lián)化的發(fā)展，車載網(wǎng)絡(luò)在功能運(yùn)轉(zhuǎn)、信息交互、狀態(tài)顯示等方面發(fā)揮著巨大作用，隨之而來的網(wǎng)絡(luò)安全威脅更加突出。入侵檢測技術(shù)作為一種被動(dòng)防御技術(shù)，具有低開銷、應(yīng)用廣等特點(diǎn)，能夠有效收集并檢測潛在的車載網(wǎng)絡(luò)安全攻擊。從對車載網(wǎng)絡(luò)入侵檢測技術(shù)的調(diào)研來看，車載網(wǎng)絡(luò)入侵檢測技術(shù)主要分為基于流量的和基于負(fù)載的兩大類，不同類型的技術(shù)在成本開銷、應(yīng)用場景以及效果等方面具有較大差異，因此需要根據(jù)實(shí)際情況設(shè)計(jì)車載網(wǎng)絡(luò)入侵檢測系統(tǒng)。特別是隨著入侵檢測技術(shù)不斷成熟，可以在原有技術(shù)的基礎(chǔ)上增加隔離措施，不僅僅局限于預(yù)警，提前將相關(guān)物理功能進(jìn)行區(qū)域化管制，及時(shí)處置風(fēng)險(xiǎn)，這是入侵檢測技術(shù)的新發(fā)展方向。

審核編輯：郭婷