车联网安全卫士——汽车IDPS系统
2021-12-28 11:08:54   来源：凯联资本   评论：0 点击：

　　车辆网联化消除了黑客攻击车辆的地域和距离限制，给黑客远程批量攻击目标车辆提供了可能，车辆网联化的快速发展使车辆面临的信息安全风险显著增加。车辆在设计和运行过程中，需要引入对应的信息安全防护技术来应对黑客攻击的风险。

　　一、静态防御和动态防御

　　认证、访问控制、加密技术等信息安全技术通常被称为静态防御技术，即在车辆分析和设计阶段，引入一些固定的安全机制，这些安全机制在实际运行过程中不做调整。静态防御技术特点在于：安全策略是固定的，不会根据车辆在实际运行过程中遇到的攻击行为针对性进行安全防护。

　　单纯的静态防御技术缺乏灵活性和针对性，不能很好地解决车辆所面临的安全威胁。车辆入侵检测与防御系统IDPS（Intrusion Detection & Prevention System）将安全防护的重点放在对车辆当前状态的安全检测和动态响应上，即依据实际检测出的攻击事件，进行针对性的安全防御。

　　相对认证、控制、加密等静态安全技术，IDPS系统在车辆运行过程中发现实际发生的入侵事件以及静态防御机制的不足，进行针对性的安全策略更新，实现动态安全防护。以IDPS为代表的动态防御是静态防御机制的一种重要补充，体现多重防御的基本安全原则，更好保障网联车辆的信息安全。

　　二、IDPS的原理和结构

　　IDPS系统的核心功能是入侵检测（Detection）和响应阻止（Prevention）。由于从理论上无法排除车辆IDPS系统的不当检测结果，完全自动化的响应阻止可能会给车辆带来潜在的风险。实际的车辆IDPS系统在检测出入侵后，通常需要安全运维人员协助进行响应阻止，安全运维人员协助用于降低IDPS不当的响应方式带来的风险。

　　完整的（或广义的）车辆IDPS系统是端云结合的动态防御系统其工作原理如下图所示：

　　初始防御

　　车辆在下线（或OTA时），部署了初始的防御机制，如接口认证，数据加密措施等。

　　检测入侵

　　车辆在下线时，部署入侵检测模块。车端入侵检测模块主要采集车辆安全状态和系统数据，并分析出可能存在的入侵事件。

　　上报入侵

　　通过车辆的网联功能，车端入侵检测模块将检测出的入侵事件，上报到云端服务器。

　　入侵管理

　　云端服务器通常以安全运维中心（SOC）的形式存在，管理和呈现所有的车辆相关的事件（包括上报的入侵事件）和状态。

　　相应决策

　　通过车辆的网联功能，车端入侵检测模块将检测出的入侵事件，上报到云端服务器。

　　更新防护策略

　　通过OTA等方式，更新车端的安全防护策略，比如增加针对某远程端口的控制规则等。

　　广义的IDPS不仅强调检测（Detection），还强调防御（Prevention），这要求车端ECU支持的安全防护机制具有一定程度的灵活性、扩展性，能够执行云端动态下发的信息安全防护策略。灵活支持动态防御机制需要车端ECU进行专门化的设计，因而现在供应商提供的车辆IDPS系统通常只涉及对入侵事件的检测，较少涉及对入侵事件的响应阻止，这种只涉及入侵检测的IDPS通常被称为IDS（Intrusion Detection System）系统。

　　三、IDPS的入侵检测过程

　　IDPS系统通常基于预先定义好的一套规则和算法，进行入侵判定，即判断车辆是否受到入侵。下图，以联合电子规划的IDPS系统为例说明入侵判定的基本过程。

　　IDPS系统的入侵判定过程涉及到三个功能组件：

　　检测规则库

　　IDPS系统基于预先生成的检测规则库（或知识库）进行入侵判定，检测规则库在车辆下线前预置（或OTA刷新）到车端模块中。联合电子的IDPS提供了独立的检测规则学习和生成工具，该工具可以从实车数据中学习检测规则，也支持信息安全工程师编辑检测规则。

　　数据采集模块

　　该模块实时采集车端各种智能ECU中的数据、状态、以及发生的事件，并将这些数据发送入侵检测算法SDK进行分析。

　　入侵检测算法SDK

　　该组件基于采集到的数据，依据检测规则，通过一定算法过程来判断车辆是否受到黑客入侵。

　　检测规则库需要占用一定存储资源，入侵检测算法SDK运行需要高算力的资源支持，因此，这二者通常部署在车端高性能的ECU上，如中央网关、T-box上。数据采集模块的部署位置依赖入侵检测算法需要采集哪些数据。

　　根据所监视保护的对象不同，IDPS系统分为两个类型：网络型IDPS和主机型IDPS。

　　网络型IDPS

　　主要实现对车辆内部网络的保护，包括CAN网络、LIN网络、以及车载以太网，用于检测针对车辆内部网络的入侵事件。该类IDPS通过对车内网络报文的采集和分析，来发现是否存在攻击性报文或异常报文，进一步识别出车辆是否受到攻击。

　　主机型IDPS

　　对容易遭受黑客攻击的关键ECU实现监视和保护，比如中央网关、TBox等，这些关键ECU容易受到黑客攻击，安全风险相对较高。该型IDPS主要对ECU内发生的事件和状态（外部连接、资源使用情况等）进行采集和分析，以发现针对该ECU的入侵事件。

　　主机型IDPS和网络型IDPS在采集的数据种类、入侵检测算法、入侵检测规则上存在明显的区别。对具体IDPS系统而言，可能只覆盖一种检测功能（主机型IDPS或网络型IDPS），或同时具有这两种检测功能。

　　四、未来趋势

　　随着车辆的网联功能及应用日益丰富，网联汽车遭受黑客攻击的风险日益增大，网联汽车的信息安全也愈发受到重视。一些汽车信息安全相关的国内外标准和法规相继出台，并提出了车辆安全状态监视的要求。比如《GB/T 38628-2020信息技术汽车电子系统网络安全指南》和UN/WP.29 R155信息安全法规中，都明确要求：联网功能的汽车需要具有车辆网络安全状态的监视（检测）能力，实际上这相当于要求具有IDPS系统的部分功能。可以预见，实现车辆安全状态监视和入侵分析的IDPS系统（或类似系统）会成为未来网联车辆的主流网络安全配置。