續(xù)接上集“淺談汽車網(wǎng)絡(luò)安全車輛型式認證（VTA）的現(xiàn)狀和未來發(fā)展”，有許多讀者小伙伴有聯(lián)系筆者來確認相關(guān)的R155 VTA網(wǎng)絡(luò)安全審核要求，基于此，筆者將針對 R155 VTA 每一條網(wǎng)絡(luò)安全審核細則來具體展開。

今天就先從汽車入侵檢測系統(tǒng)（IDS）展開分享。

01 什么是汽車IDS？

汽車入侵檢測系統(tǒng)（IDS，Intrusion Detection System）是一種專門用于監(jiān)控和保護汽車內(nèi)部網(wǎng)絡(luò)免受潛在網(wǎng)絡(luò)安全威脅的技術(shù)。隨著現(xiàn)代汽車越來越多地依賴電子控制單元（ECU）、傳感器和通信模塊等復雜的電子系統(tǒng)，并且越來越多的汽車具備聯(lián)網(wǎng)功能，網(wǎng)絡(luò)安全問題變得尤為重要。

汽車IDS的主要目的是檢測、識別和響應可能的網(wǎng)絡(luò)攻擊或異常行為，以保護車輛及其乘客的安全。以下是汽車IDS的主要功能和特點：

實時監(jiān)控：IDS系統(tǒng)能夠?qū)崟r監(jiān)控汽車內(nèi)部網(wǎng)絡(luò)通信，捕捉和分析數(shù)據(jù)包，識別異常行為或潛在威脅。

異常檢測：通過建立正常通信行為的基線，IDS可以檢測出偏離正常行為的異常活動，如未授權(quán)的訪問、數(shù)據(jù)包重放攻擊等。

威脅識別：利用模式匹配、機器學習等技術(shù)，IDS可以識別已知的攻擊模式和未知的潛在威脅。

報警和響應：一旦檢測到入侵或異常行為，IDS系統(tǒng)會發(fā)出警報，并可以采取相應的響應措施，如隔離受感染的ECU、限制網(wǎng)絡(luò)通信等。

日志記錄和分析：IDS系統(tǒng)會記錄所有檢測到的事件和活動日志，供后續(xù)分析和取證使用。

02 入侵檢測系統(tǒng)的分類

在汽車中，根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可以分為兩類：網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機入侵檢測系統(tǒng)。

網(wǎng)絡(luò)入侵檢測系統(tǒng)：這種系統(tǒng)可以對包括CAN總線、車載以太網(wǎng)、WIFI、藍牙數(shù)據(jù)等車載網(wǎng)絡(luò)進行檢測。目前已有許多基于規(guī)則和基于AI的方法進行研究。例如，某研究設(shè)計了一種規(guī)則和AI混合的多層SOME/IP入侵檢測方法，基于規(guī)則的模塊用于檢測SOME/IP報頭、SOME/IP-SD消息、消息間隔和通信過程，利用AI檢測SOME/IP的有效負載?？紤]到實際部署成本，在車載控制器中往往部署基于規(guī)則的入侵檢測系統(tǒng)。

主機入侵檢測系統(tǒng)：這種系統(tǒng)對控制器的操作系統(tǒng)進行安全監(jiān)控。隨著汽車智能網(wǎng)聯(lián)化的發(fā)展，車載控制器不再僅由MCU組成，Linux、Android、QNX等操作系統(tǒng)頻繁地在各類域控制器中出現(xiàn)。SOC在為汽車帶來強大功能的同時，也成為對汽車的一條重要攻擊路徑。主機入侵檢測系統(tǒng)可以對操作系統(tǒng)進行資源監(jiān)控、文件監(jiān)控、病毒掃描等。

在檢測識別到車內(nèi)的異常攻擊行為后，通過生成安全日志，并將安全日志上傳到汽車安全運營平臺（VSOC），是一種有效的攻擊行為追溯和監(jiān)控智能網(wǎng)聯(lián)汽車安全狀態(tài)的手段。

03 汽車IDS的實現(xiàn)方法

基于簽名的檢測：通過預定義的攻擊簽名庫，識別已知的攻擊模式。這種方法對已知威脅有效，但對未知威脅的檢測能力有限。

基于行為的檢測：通過分析正常通信行為的模式，檢測異常行為。這種方法能夠識別未知威脅，但可能會產(chǎn)生誤報。

基于機器學習的檢測：利用機器學習算法，自動學習和識別正常和異常行為模式，提高檢測的準確性和智能化水平。

04 法規(guī)對汽車IDS的要求

隨著智能網(wǎng)聯(lián)汽車的發(fā)展，各個控制器不再是孤立的嵌入式系統(tǒng)，信息安全問題也變得越來越重要。同時，國內(nèi)外已經(jīng)發(fā)布了多項標準和法規(guī)來規(guī)范汽車網(wǎng)絡(luò)安全的發(fā)展，其中不少法規(guī)對車輛網(wǎng)絡(luò)安全檢測提出了具體要求。

歐盟頒布的UN/WP.29 R155法規(guī)，其中提到（以下序號是法規(guī)中對應的編號）：

7.3.7(a/b/c):車輛制造商應針對車型采取措施：

(a) 檢測并防止針對該車型車輛的網(wǎng)絡(luò)攻擊；

(b) 支持車輛制造商在檢測與車型相關(guān)的威脅、漏洞和網(wǎng)絡(luò)攻擊方面的監(jiān)控能力；

(c) 提供數(shù)據(jù)取證能力，以便能夠分析企圖或成功的網(wǎng)絡(luò)攻擊。

在結(jié)合實際操作的審核標準中，對汽車網(wǎng)絡(luò)安全威脅的檢測響應、持續(xù)監(jiān)控、取證分析也提出了要求：檢查主機廠OEM的取證數(shù)據(jù)，主要是分析數(shù)據(jù)和其他觸發(fā)的活動。

IDS的相關(guān)證據(jù)：

（1）記錄異常報文信息

（2）可以識別遭受攻擊的控制器

（3）IDS記錄的日志文件，包含事件，時間，攻擊類型

（4）IDS部署方案

（5）如何將攻擊鏈接到控制器。

05 基于合規(guī)要求的汽車IDS開發(fā)要點

汽車入侵檢測系統(tǒng)在現(xiàn)代汽車網(wǎng)絡(luò)安全中扮演著重要角色。隨著汽車越來越依賴電子控制單元（ECU）和車載網(wǎng)絡(luò)，確保這些系統(tǒng)的安全性變得至關(guān)重要。

以下是在 R155 VTA 認證過程中，汽車IDS需要滿足的一些關(guān)鍵網(wǎng)絡(luò)安全要求：

實時監(jiān)控和檢測：IDS必須能夠?qū)崟r監(jiān)控車載網(wǎng)絡(luò)流量，及時檢測異常行為和潛在的入侵活動。

低延遲和高效性能：由于汽車系統(tǒng)對響應時間要求很高，IDS需要在低延遲的情況下高效運行，確保不影響車輛的正常操作。

高準確性和低誤報率：IDS應具備高準確性，能夠有效區(qū)分正常行為和異常行為，減少誤報率，避免對駕駛員造成不必要的干擾。

多層次檢測：IDS應能夠在多個層次上進行檢測，包括網(wǎng)絡(luò)層、應用層和物理層，以提供全面的安全保護。

自適應學習和更新：IDS應具備自適應學習能力，能夠根據(jù)新的威脅情報和攻擊模式進行更新和調(diào)整，以應對不斷變化的安全威脅。

數(shù)據(jù)完整性和保密性：IDS需要確保監(jiān)控數(shù)據(jù)的完整性和保密性，防止數(shù)據(jù)被篡改或泄露。

兼容性和可擴展性：IDS應與現(xiàn)有的車載網(wǎng)絡(luò)和安全系統(tǒng)兼容，并具備良好的可擴展性，以適應未來的技術(shù)發(fā)展和需求。

事件響應和報告：IDS應具備事件響應能力，能夠在檢測到入侵時及時采取措施，并生成詳細的報告供安全分析和審計使用。

法規(guī)和標準遵從：IDS應符合相關(guān)的法規(guī)和行業(yè)標準，如ISO/SAE 21434（道路車輛網(wǎng)絡(luò)安全工程）和UN R155（車輛網(wǎng)絡(luò)安全管理系統(tǒng)）。

協(xié)同防御機制：IDS應能夠與其他安全系統(tǒng)（如防火墻、入侵防御系統(tǒng)等）協(xié)同工作，形成綜合防御機制，提高整體安全性。

通過滿足這些網(wǎng)絡(luò)安全要求，汽車入侵檢測系統(tǒng)可以有效保護車載網(wǎng)絡(luò)和電子控制單元免受各種網(wǎng)絡(luò)攻擊，確保車輛的安全性和可靠性。

隨著汽車智能化和聯(lián)網(wǎng)化的發(fā)展，汽車IDS在保障汽車網(wǎng)絡(luò)安全方面發(fā)揮著越來越重要的作用。未來，隨著技術(shù)的進步和威脅的演變，IDS系統(tǒng)也將不斷發(fā)展和完善，以應對更加復雜和多樣化的安全挑戰(zhàn)。

審核編輯 黃宇