車載入侵檢測與防御系統(tǒng)介紹

作者 | 田錚上?？匕部尚跑浖?chuàng)新研究院項目經(jīng)理

來源 |鑒源實驗室

引言：

上一篇文章（智能網(wǎng)聯(lián)汽車網(wǎng)絡安全攻擊與防御技術概述）介紹了智能網(wǎng)聯(lián)汽車中的網(wǎng)絡安全攻擊案例和具體攻擊類型。而

本篇文章中，我們將對汽車網(wǎng)絡安全風險的應對策略，特別是車載入侵檢測與防御系統(tǒng)展開詳細的介紹。

01 車輛網(wǎng)絡攻擊應對策略

隨著汽車智能網(wǎng)聯(lián)和自動駕駛技術的發(fā)展，車載網(wǎng)絡提供了更多的連接口以滿足不同應用和服務的要求，再加上車載網(wǎng)絡固有的脆弱性，使得智能網(wǎng)聯(lián)汽車具有了更多潛在的網(wǎng)絡安全漏洞。這些網(wǎng)絡攻擊一般通過遠程信息處理單元、信息娛樂單元、駕駛輔助單元、直接接口和傳感器等潛在入口注入到車載網(wǎng)絡中，引發(fā)不同程度的信息安全問題。

為有效應對這些安全風險，通常會采用消息認證、數(shù)據(jù)加密、防火墻、入侵檢測與防御等安全策略來檢測和防止物理和遠程攻擊，保護車載網(wǎng)絡和系統(tǒng)免受網(wǎng)絡攻擊，如圖1所示[1]。其中，認證、訪問控制、加密技術等主動信息安全防御技術是通過引入固定的安全機制來確保數(shù)據(jù)幀的機密性、完整性和身份驗證，防止攻擊者獲取對系統(tǒng)的訪問權限，從而有效保護車載網(wǎng)絡的信息傳輸。這些主動對策可以保護系統(tǒng)免受外部網(wǎng)絡攻擊，但對于內(nèi)部攻擊的保護效果有限。另外，加密和認證機制的應用會導致車載網(wǎng)絡中安全關鍵的實時系統(tǒng)或報文產(chǎn)生意外延遲，因此其部署很大程度上受限于帶寬和計算能力等因素，甚至容易影響車輛機動性相關的功能安全性。此外，采用防火墻策略可將潛在的攻擊接口與車內(nèi)網(wǎng)絡分隔開來，但很難完全隔離威脅和各種攻擊源。

在此背景下，車輛入侵檢測與防御系統(tǒng)（IDPS，Intrusion Detection & Prevention System）[2]為車載網(wǎng)絡信息安全提供了新的解決方案。該系統(tǒng)可以有效收集并檢測車內(nèi)網(wǎng)絡的潛在攻擊和車外連接網(wǎng)絡的不當行為，根據(jù)車輛當前狀態(tài)的安全檢測結果進行動態(tài)防御和響應。其中，入侵檢測系統(tǒng)（IDS，Intrusion Detection System）可以檢測網(wǎng)絡中可能發(fā)生的不同類型的攻擊，如拒絕服務(DoS，Denial of Service)/分布式拒絕服務(DDoS, Distributed Denial of Service)、端口掃描、惡意軟件或勒索軟件等。而入侵防御系統(tǒng)（IPS，Intrusion Prevention System）則旨在幫助減輕或避免上述攻擊，防止其對車載系統(tǒng)造成破壞。相較于以上兩種單一系統(tǒng)，兼具檢測和防御功能的IDPS能夠使安全防護效果加倍，一方面監(jiān)視系統(tǒng)并保護網(wǎng)絡免受入侵者的攻擊，另一方面在網(wǎng)絡環(huán)境中發(fā)生攻擊時向管理員提供報告，幫助進一步反饋響應措施。與前面提到的主動安全防御機制相比，入侵檢測與防御系統(tǒng)IDPS具有帶寬資源小、易于部署的特點，更適合資源和成本有限的車輛網(wǎng)絡。

圖1 智能網(wǎng)聯(lián)汽車防止攻擊的安全對策[1]

02 法規(guī)和標準對IDPS的規(guī)定

為了應對智能網(wǎng)聯(lián)汽車中日益嚴重的數(shù)據(jù)安全漏洞，近年來國內(nèi)外相關機構積極研究汽車信息安全標準相關工作，陸續(xù)出臺很多汽車信息安全相關的標準和法規(guī)。

2020年4月，《GB/T 38628-2020 信息安全技術 汽車電子系統(tǒng)網(wǎng)絡安全指南》[3]中明確提出：具有聯(lián)網(wǎng)功能的汽車需要具備網(wǎng)絡安全狀態(tài)的監(jiān)測能力，并對可能或已經(jīng)出現(xiàn)的網(wǎng)絡安全事件制定事件響應。

與此同時，《GB/T 28454-2020 信息技術 安全技術 入侵檢測和防御系統(tǒng)（IDPS）的選擇、部署和操作》[4]詳細給出了組織部署和操作入侵檢測和防御系統(tǒng)（IDPS）的指南，指導相關組織有效識別并避免基于網(wǎng)絡的入侵。

2021年1月，聯(lián)合國制定的UN/WP.29 R155信息安全法規(guī)[5]中要求車輛需要檢測并響應潛在的網(wǎng)絡安全攻擊，并記錄數(shù)據(jù)以支持網(wǎng)絡攻擊檢測，提供數(shù)據(jù)取證功能，以便分析未遂或成功的網(wǎng)絡攻擊。

2021年4月，工業(yè)和信息化部公開征求對《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理指南（試行）（征求意見稿）》的意見[6]。該指南中明確提出：企業(yè)應建立網(wǎng)絡安全監(jiān)測預警機制和網(wǎng)絡安全應急響應機制，采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，按規(guī)定留存網(wǎng)絡日志不少于6個月，并制定網(wǎng)絡安全應急預案，及時處置安全威脅、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險。

2021年8月，國際標準化組織（ISO）/美國汽車工程師學會（SAE）聯(lián)合起草發(fā)布了《ISO / SAE 21434道路車輛-網(wǎng)絡安全工程》國際規(guī)范[7]，該標準就汽車網(wǎng)絡產(chǎn)品開發(fā)設計中的保護、檢測、響應等網(wǎng)絡安全管理活動達成共識，內(nèi)容涵蓋道路車輛、車載系統(tǒng)、組件、軟件以及與外部網(wǎng)絡和設備通信的安全。該標準旨在為汽車制造商和供應商提供從設計到生產(chǎn)階段的指導方針。

03 車載入侵檢測與防御系統(tǒng)（IDPS）

3.1 IDPS的原理

入侵檢測防御系統(tǒng)IDPS的核心功能是入侵檢測和響應阻止。完整的車輛IDPS系統(tǒng)是車端云端相結合的動態(tài)防御系統(tǒng)，能夠實現(xiàn)車載網(wǎng)絡安全攻擊和異常事件的有效收集、檢測與應對，其典型的工作拓撲結構如圖2所示。

圖2 車載IDPS的拓撲結構

當車輛遭受黑客攻擊時，數(shù)據(jù)采集模塊會實時采集車端各組件或車載總線網(wǎng)絡（如CAN/CANFD、以太網(wǎng)等）中的報文數(shù)據(jù)和安全狀態(tài)信息，并將其發(fā)送給入侵檢測模塊，用于檢測車載網(wǎng)絡中的異常流量和車內(nèi)操作系統(tǒng)中的異常行為。此外，檢測規(guī)則庫中的規(guī)則能夠為入侵異常檢測提供有效支撐。當檢測到異常后，需要向IDPS事件管理模塊上報入侵事件。事件管理模塊對安全事件進行一定的處理過濾，生成相應的報警日志和響應措施。其中，報警日志會上傳給云端安全運維中心（VSOC），進行所有車輛相關事件和狀態(tài)的管理和呈現(xiàn)。同時會通過OTA等方式，更新車端的安全防護策略，以提高車輛的安全等級。

3.2 IDPS的分類

根據(jù)檢測對象的不同，車載入侵檢測與防御系統(tǒng)IDPS可分為主機型、網(wǎng)絡型和混合型，具體介紹如下：

（1）基于主機的入侵檢測防御系統(tǒng)（H-IDPS，Host-based IDPS）

H-IDPS主要對易受攻擊的關鍵ECU進行監(jiān)視和保護，通過監(jiān)控T-BOX、中央網(wǎng)關、IVI等具有操作系統(tǒng)或對外接口的主機系統(tǒng)，采集和分析其文件完整性、網(wǎng)絡連接活動、進程行為、資源使用情況、日志字符串匹配等事件特征，實現(xiàn)系統(tǒng)異常行為的檢測。

（2）基于網(wǎng)絡的入侵檢測防御系統(tǒng)（N-IDPS，Network-based IDPS）

N-IDPS主要檢測車輛內(nèi)部網(wǎng)絡的入侵事件，通過采集車載網(wǎng)絡總線上的報文數(shù)據(jù)，進行特定網(wǎng)絡段或設備的流量數(shù)據(jù)監(jiān)控、數(shù)據(jù)載荷解析和字段匹配等活動，以識別網(wǎng)絡中出現(xiàn)的異常流量和潛在攻擊行為。

（3）混合式入侵檢測防御系統(tǒng)（Hybrid IDPS）

混合式IDPS是基于網(wǎng)絡的IDPS與基于主機的IDPS的結合。對于智能網(wǎng)聯(lián)汽車來說，混合IDPS的使用最廣泛，且更有利于全面地檢測和應對車輛的可疑威脅。此外，根據(jù)檢測技術的差異，可將IDPS進一步細分出基于特征、基于信息論和統(tǒng)計分析和基于機器學習的檢測機制[8]，具體介紹如下：

· 基于特征的檢測方法

基于特征的檢測方法是常見的入侵檢測技術之一，廣泛應用于車輛網(wǎng)絡入侵檢測的研究。該方法通過監(jiān)控車輛的內(nèi)部網(wǎng)絡，從中提取不同的特征來識別入侵或異常行為。通過對車輛網(wǎng)絡架構和網(wǎng)絡協(xié)議的分析，發(fā)現(xiàn)可用于入侵檢測觀察的網(wǎng)絡特征包括設備指紋（通過時域和頻域信息提?。?、時鐘偏移、頻率觀察和遠程幀等?；谔卣鞯臋z測方法通?？梢詫崿F(xiàn)對特定攻擊模型的高檢測精度，并且具有響應時間短和網(wǎng)絡帶寬開銷低的特點。Yilin Zhao等[9]設計了一種新的基于指紋的Clock-IDS來進行車輛入侵檢測和防護。該系統(tǒng)根據(jù)時鐘偏差為每個ECU建立唯一的指紋，利用經(jīng)驗規(guī)則和動態(tài)時間扭曲實現(xiàn)了入侵檢測和攻擊源識別功能。最終實驗得出檢測三種類型攻擊的準確率為98.63%，識別攻擊源的平均準確率為96.77%，每次檢測的平均時間成本僅為1.99ms。Song等人[10]提出了一種基于消息時間間隔統(tǒng)計分析的輕量級入侵檢測系統(tǒng)。他們發(fā)現(xiàn)，分析消息的時間間隔是檢測數(shù)據(jù)包的重要特征，通過消息頻率分析可有效檢測流量異常和消息注入攻擊。

· 基于信息論和統(tǒng)計分析的檢測方法

當車輛受到惡意攻擊（如DOS、重放等）時，CAN總線的信息熵將顯著降低，這在資源有限的車輛網(wǎng)絡入侵研究中被廣泛應用，很多研究逐漸關注基于熵的異常檢測系統(tǒng)。Muter和Asaj等人[11]最早提出在車輛檢測網(wǎng)絡中使用信息熵的概念，并通過檢測消息注入(MI)攻擊、DoS攻擊討論了該方法的合理性和適用性。Mirco Marchetti等人[12]則介紹了一種基于熵的入侵檢測系統(tǒng)，并評估了其應用于現(xiàn)代車輛網(wǎng)絡的有效性。實驗結果表明，如果將基于熵的異常檢測應用于所有CAN消息，則只能檢測偽造攻擊。該方法完全獨立于報文內(nèi)容，因此可直接應用于任何車輛的CAN總線，但需要并行執(zhí)行多個異常檢測器。

· 基于機器學習的檢測方法

機器學習、神經(jīng)網(wǎng)絡和其他理論也是研究車輛網(wǎng)絡入侵檢測技術的熱門方向。這類檢測方法引入機器學習等機制來完成正常樣本的識別，技術普適性較強，無需對適配車型進行定制化開發(fā)，但存在異常樣本采集數(shù)量大和訓練難度高的問題。Kang和Kang[13]提出一種基于深度神經(jīng)網(wǎng)絡(DNN)的入侵檢測系統(tǒng)。該系統(tǒng)在ECU之間交換的車內(nèi)網(wǎng)絡數(shù)據(jù)包的高維特征提取比特流上訓練檢測模型。對于給定的數(shù)據(jù)包，DNN提供每個類別區(qū)分正常和攻擊數(shù)據(jù)包的概率，因此傳感器可以識別對車輛的任何惡意攻擊。實驗結果表明，該技術可以提供對攻擊的實時響應，并顯著提高CAN總線中的檢測率。Taylor等人[14]提出一種基于長短期記憶神經(jīng)網(wǎng)絡的異常檢測器來檢測交錯、丟棄、不連續(xù)、異常和反向攻擊這五種類型的網(wǎng)絡攻擊。實驗結果表明，該方法能夠以高檢測率和低誤報率檢測出異常報文。

04 小結

車載網(wǎng)絡入侵檢測與防御技術可以有效地彌補加密和認證機制帶來的計算和通信開銷，更適用于具有關鍵功能、資源有限的智能網(wǎng)聯(lián)車輛的網(wǎng)絡環(huán)境。在未來很長一段時間內(nèi)，車載網(wǎng)絡入侵檢測與防御技術都是智能網(wǎng)聯(lián)車輛信息安全增強研究的重要發(fā)展方向。

參考文獻：

[1] Aliwa E, Rana O, Perera C, et al. Cyberattacks and Countermeasures for In-Vehicle Networks[J]. ACM Computing Surveys, 2021, 54(1): 1-37.

[2] Liu J, Zhang S, Sun W, et al. In-Vehicle Network Attacks and Countermeasures: Challenges and Future Directions[J]. IEEE Network, 2017, 31(5): 50-58.

[3] 國家市場監(jiān)督管理總局, 國家標準化管理委員會. GB∕T 38628-2020 信息安全技術 汽車電子系統(tǒng)網(wǎng)絡安全指南[S]. 北京: 中國標準出版社, 2020.

[4] 國家市場監(jiān)督管理總局, 國家標準化管理委員會. GB/T 28454-2020 信息技術 安全技術 入侵檢測和防御系統(tǒng)（IDPS）的選擇、部署和操作[S]. 北京: 中國標準出版社, 2020.

[5] Unitednations. UN Regulation No. 155:Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system[S]. New York, 2021.

[6]《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理指南（試行）》（征求意見稿）[EB/OL].https://www.miit.gov.cn/gzcy/yjzj/art/2021/art_cd02c592fffb456ea38789b1ea413802.html.

[7] International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.

[8] Guan T, Han Y, Kang N, et al. An Overview of Vehicular Cybersecurity for Intelligent Connected Vehicles[J]. Sustainability, 2022, 14(9).

[9] Zhao Y, Xun Y, Liu J. ClockIDS: A Real-Time Vehicle Intrusion Detection System Based on Clock Skew[J]. IEEE Internet of Things Journal, 2022, 9(17): 15593-15606.

[10] Song H M, Kim H R, Kim H K. Intrusion detection system based on the analysis of time intervals of CAN messages for in-vehicle network[C]. International Conference on Information Networking (ICOIN), 2016: 63-68.

[11] Michael Müter N A. Entropy-based anomaly detection for in-vehicle networks[C]. In Proceedings of the 2011 IEEE Intelligent Vehicles Symposium (IV), 2011.

[12] Mirco Marchetti D S, Alessandro Guido, Michele Colajanni. Evaluation of anomaly detection for in-vehicle networks through information-theoretic algorithms[C]. EEE 2nd International Forum on Research and Technologies for Society and Industry Leveraging a better tomorrow (RTSI), 2016.

[13] Kang M J, Kang J W. Intrusion Detection System Using Deep Neural Network for In-Vehicle Network Security[J]. PLoS One, 2016, 11(6): e0155781.

[14] Adrian Taylor S L, Nathalie Japkowicz. Anomaly Detection in Automobile Control Network Data with Long Short-Term Memory Networks[C]. IEEE International Conference on Data Science and Advanced Analytics (DSAA), 2016.