作者 | 田錚上?？匕部尚跑浖撔卵芯吭喉椖拷浝?/p>

來源 |鑒源實驗室

引言：

上一篇文章（智能網聯汽車網絡安全攻擊與防御技術概述）介紹了智能網聯汽車中的網絡安全攻擊案例和具體攻擊類型。而

本篇文章中，我們將對汽車網絡安全風險的應對策略，特別是車載入侵檢測與防御系統展開詳細的介紹。

01 車輛網絡攻擊應對策略

隨著汽車智能網聯和自動駕駛技術的發展，車載網絡提供了更多的連接口以滿足不同應用和服務的要求，再加上車載網絡固有的脆弱性，使得智能網聯汽車具有了更多潛在的網絡安全漏洞。這些網絡攻擊一般通過遠程信息處理單元、信息娛樂單元、駕駛輔助單元、直接接口和傳感器等潛在入口注入到車載網絡中，引發不同程度的信息安全問題。

為有效應對這些安全風險，通常會采用消息認證、數據加密、防火墻、入侵檢測與防御等安全策略來檢測和防止物理和遠程攻擊，保護車載網絡和系統免受網絡攻擊，如圖1所示[1]。其中，認證、訪問控制、加密技術等主動信息安全防御技術是通過引入固定的安全機制來確保數據幀的機密性、完整性和身份驗證，防止攻擊者獲取對系統的訪問權限，從而有效保護車載網絡的信息傳輸。這些主動對策可以保護系統免受外部網絡攻擊，但對于內部攻擊的保護效果有限。另外，加密和認證機制的應用會導致車載網絡中安全關鍵的實時系統或報文產生意外延遲，因此其部署很大程度上受限于帶寬和計算能力等因素，甚至容易影響車輛機動性相關的功能安全性。此外，采用防火墻策略可將潛在的攻擊接口與車內網絡分隔開來，但很難完全隔離威脅和各種攻擊源。

在此背景下，車輛入侵檢測與防御系統（IDPS，Intrusion Detection & Prevention System）[2]為車載網絡信息安全提供了新的解決方案。該系統可以有效收集并檢測車內網絡的潛在攻擊和車外連接網絡的不當行為，根據車輛當前狀態的安全檢測結果進行動態防御和響應。其中，入侵檢測系統（IDS，Intrusion Detection System）可以檢測網絡中可能發生的不同類型的攻擊，如拒絕服務(DoS，Denial of Service)/分布式拒絕服務(DDoS, Distributed Denial of Service)、端口掃描、惡意軟件或勒索軟件等。而入侵防御系統（IPS，Intrusion Prevention System）則旨在幫助減輕或避免上述攻擊，防止其對車載系統造成破壞。相較于以上兩種單一系統，兼具檢測和防御功能的IDPS能夠使安全防護效果加倍，一方面監視系統并保護網絡免受入侵者的攻擊，另一方面在網絡環境中發生攻擊時向管理員提供報告，幫助進一步反饋響應措施。與前面提到的主動安全防御機制相比，入侵檢測與防御系統IDPS具有帶寬資源小、易于部署的特點，更適合資源和成本有限的車輛網絡。

圖1 智能網聯汽車防止攻擊的安全對策[1]

02 法規和標準對IDPS的規定

為了應對智能網聯汽車中日益嚴重的數據安全漏洞，近年來國內外相關機構積極研究汽車信息安全標準相關工作，陸續出臺很多汽車信息安全相關的標準和法規。

2020年4月，《GB/T 38628-2020 信息安全技術 汽車電子系統網絡安全指南》[3]中明確提出：具有聯網功能的汽車需要具備網絡安全狀態的監測能力，并對可能或已經出現的網絡安全事件制定事件響應。

與此同時，《GB/T 28454-2020 信息技術 安全技術 入侵檢測和防御系統（IDPS）的選擇、部署和操作》[4]詳細給出了組織部署和操作入侵檢測和防御系統（IDPS）的指南，指導相關組織有效識別并避免基于網絡的入侵。

2021年1月，聯合國制定的UN/WP.29 R155信息安全法規[5]中要求車輛需要檢測并響應潛在的網絡安全攻擊，并記錄數據以支持網絡攻擊檢測，提供數據取證功能，以便分析未遂或成功的網絡攻擊。

2021年4月，工業和信息化部公開征求對《智能網聯汽車生產企業及產品準入管理指南（試行）（征求意見稿）》的意見[6]。該指南中明確提出：企業應建立網絡安全監測預警機制和網絡安全應急響應機制，采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，按規定留存網絡日志不少于6個月，并制定網絡安全應急預案，及時處置安全威脅、網絡攻擊、網絡侵入等安全風險。

2021年8月，國際標準化組織（ISO）/美國汽車工程師學會（SAE）聯合起草發布了《ISO / SAE 21434道路車輛-網絡安全工程》國際規范[7]，該標準就汽車網絡產品開發設計中的保護、檢測、響應等網絡安全管理活動達成共識，內容涵蓋道路車輛、車載系統、組件、軟件以及與外部網絡和設備通信的安全。該標準旨在為汽車制造商和供應商提供從設計到生產階段的指導方針。

03 車載入侵檢測與防御系統（IDPS）

3.1 IDPS的原理

入侵檢測防御系統IDPS的核心功能是入侵檢測和響應阻止。完整的車輛IDPS系統是車端云端相結合的動態防御系統，能夠實現車載網絡安全攻擊和異常事件的有效收集、檢測與應對，其典型的工作拓撲結構如圖2所示。

圖2 車載IDPS的拓撲結構

當車輛遭受黑客攻擊時，數據采集模塊會實時采集車端各組件或車載總線網絡（如CAN/CANFD、以太網等）中的報文數據和安全狀態信息，并將其發送給入侵檢測模塊，用于檢測車載網絡中的異常流量和車內操作系統中的異常行為。此外，檢測規則庫中的規則能夠為入侵異常檢測提供有效支撐。當檢測到異常后，需要向IDPS事件管理模塊上報入侵事件。事件管理模塊對安全事件進行一定的處理過濾，生成相應的報警日志和響應措施。其中，報警日志會上傳給云端安全運維中心（VSOC），進行所有車輛相關事件和狀態的管理和呈現。同時會通過OTA等方式，更新車端的安全防護策略，以提高車輛的安全等級。

3.2 IDPS的分類

根據檢測對象的不同，車載入侵檢測與防御系統IDPS可分為主機型、網絡型和混合型，具體介紹如下：

（1）基于主機的入侵檢測防御系統（H-IDPS，Host-based IDPS）

H-IDPS主要對易受攻擊的關鍵ECU進行監視和保護，通過監控T-BOX、中央網關、IVI等具有操作系統或對外接口的主機系統，采集和分析其文件完整性、網絡連接活動、進程行為、資源使用情況、日志字符串匹配等事件特征，實現系統異常行為的檢測。

（2）基于網絡的入侵檢測防御系統（N-IDPS，Network-based IDPS）

N-IDPS主要檢測車輛內部網絡的入侵事件，通過采集車載網絡總線上的報文數據，進行特定網絡段或設備的流量數據監控、數據載荷解析和字段匹配等活動，以識別網絡中出現的異常流量和潛在攻擊行為。

（3）混合式入侵檢測防御系統（Hybrid IDPS）

混合式IDPS是基于網絡的IDPS與基于主機的IDPS的結合。對于智能網聯汽車來說，混合IDPS的使用最廣泛，且更有利于全面地檢測和應對車輛的可疑威脅。此外，根據檢測技術的差異，可將IDPS進一步細分出基于特征、基于信息論和統計分析和基于機器學習的檢測機制[8]，具體介紹如下：

· 基于特征的檢測方法

基于特征的檢測方法是常見的入侵檢測技術之一，廣泛應用于車輛網絡入侵檢測的研究。該方法通過監控車輛的內部網絡，從中提取不同的特征來識別入侵或異常行為。通過對車輛網絡架構和網絡協議的分析，發現可用于入侵檢測觀察的網絡特征包括設備指紋（通過時域和頻域信息提?。?a href="http://www.1cnz.cn/tags/時鐘/" target="_blank">時鐘偏移、頻率觀察和遠程幀等?；谔卣鞯臋z測方法通常可以實現對特定攻擊模型的高檢測精度，并且具有響應時間短和網絡帶寬開銷低的特點。Yilin Zhao等[9]設計了一種新的基于指紋的Clock-IDS來進行車輛入侵檢測和防護。該系統根據時鐘偏差為每個ECU建立唯一的指紋，利用經驗規則和動態時間扭曲實現了入侵檢測和攻擊源識別功能。最終實驗得出檢測三種類型攻擊的準確率為98.63%，識別攻擊源的平均準確率為96.77%，每次檢測的平均時間成本僅為1.99ms。Song等人[10]提出了一種基于消息時間間隔統計分析的輕量級入侵檢測系統。他們發現，分析消息的時間間隔是檢測數據包的重要特征，通過消息頻率分析可有效檢測流量異常和消息注入攻擊。

· 基于信息論和統計分析的檢測方法

當車輛受到惡意攻擊（如DOS、重放等）時，CAN總線的信息熵將顯著降低，這在資源有限的車輛網絡入侵研究中被廣泛應用，很多研究逐漸關注基于熵的異常檢測系統。Muter和Asaj等人[11]最早提出在車輛檢測網絡中使用信息熵的概念，并通過檢測消息注入(MI)攻擊、DoS攻擊討論了該方法的合理性和適用性。Mirco Marchetti等人[12]則介紹了一種基于熵的入侵檢測系統，并評估了其應用于現代車輛網絡的有效性。實驗結果表明，如果將基于熵的異常檢測應用于所有CAN消息，則只能檢測偽造攻擊。該方法完全獨立于報文內容，因此可直接應用于任何車輛的CAN總線，但需要并行執行多個異常檢測器。

· 基于機器學習的檢測方法

機器學習、神經網絡和其他理論也是研究車輛網絡入侵檢測技術的熱門方向。這類檢測方法引入機器學習等機制來完成正常樣本的識別，技術普適性較強，無需對適配車型進行定制化開發，但存在異常樣本采集數量大和訓練難度高的問題。Kang和Kang[13]提出一種基于深度神經網絡(DNN)的入侵檢測系統。該系統在ECU之間交換的車內網絡數據包的高維特征提取比特流上訓練檢測模型。對于給定的數據包，DNN提供每個類別區分正常和攻擊數據包的概率，因此傳感器可以識別對車輛的任何惡意攻擊。實驗結果表明，該技術可以提供對攻擊的實時響應，并顯著提高CAN總線中的檢測率。Taylor等人[14]提出一種基于長短期記憶神經網絡的異常檢測器來檢測交錯、丟棄、不連續、異常和反向攻擊這五種類型的網絡攻擊。實驗結果表明，該方法能夠以高檢測率和低誤報率檢測出異常報文。

04 小結

車載網絡入侵檢測與防御技術可以有效地彌補加密和認證機制帶來的計算和通信開銷，更適用于具有關鍵功能、資源有限的智能網聯車輛的網絡環境。在未來很長一段時間內，車載網絡入侵檢測與防御技術都是智能網聯車輛信息安全增強研究的重要發展方向。

參考文獻：

[1] Aliwa E, Rana O, Perera C, et al. Cyberattacks and Countermeasures for In-Vehicle Networks[J]. ACM Computing Surveys, 2021, 54(1): 1-37.

[2] Liu J, Zhang S, Sun W, et al. In-Vehicle Network Attacks and Countermeasures: Challenges and Future Directions[J]. IEEE Network, 2017, 31(5): 50-58.

[3] 國家市場監督管理總局, 國家標準化管理委員會. GB∕T 38628-2020 信息安全技術 汽車電子系統網絡安全指南[S]. 北京: 中國標準出版社, 2020.

[4] 國家市場監督管理總局, 國家標準化管理委員會. GB/T 28454-2020 信息技術 安全技術 入侵檢測和防御系統（IDPS）的選擇、部署和操作[S]. 北京: 中國標準出版社, 2020.

[5] Unitednations. UN Regulation No. 155:Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system[S]. New York, 2021.

[6]《智能網聯汽車生產企業及產品準入管理指南（試行）》（征求意見稿）[EB/OL].https://www.miit.gov.cn/gzcy/yjzj/art/2021/art_cd02c592fffb456ea38789b1ea413802.html.

[7] International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.

[8] Guan T, Han Y, Kang N, et al. An Overview of Vehicular Cybersecurity for Intelligent Connected Vehicles[J]. Sustainability, 2022, 14(9).

[9] Zhao Y, Xun Y, Liu J. ClockIDS: A Real-Time Vehicle Intrusion Detection System Based on Clock Skew[J]. IEEE Internet of Things Journal, 2022, 9(17): 15593-15606.

[10] Song H M, Kim H R, Kim H K. Intrusion detection system based on the analysis of time intervals of CAN messages for in-vehicle network[C]. International Conference on Information Networking (ICOIN), 2016: 63-68.

[11] Michael Müter N A. Entropy-based anomaly detection for in-vehicle networks[C]. In Proceedings of the 2011 IEEE Intelligent Vehicles Symposium (IV), 2011.

[12] Mirco Marchetti D S, Alessandro Guido, Michele Colajanni. Evaluation of anomaly detection for in-vehicle networks through information-theoretic algorithms[C]. EEE 2nd International Forum on Research and Technologies for Society and Industry Leveraging a better tomorrow (RTSI), 2016.

[13] Kang M J, Kang J W. Intrusion Detection System Using Deep Neural Network for In-Vehicle Network Security[J]. PLoS One, 2016, 11(6): e0155781.

[14] Adrian Taylor S L, Nathalie Japkowicz. Anomaly Detection in Automobile Control Network Data with Long Short-Term Memory Networks[C]. IEEE International Conference on Data Science and Advanced Analytics (DSAA), 2016.