车载入侵检测与防御系统介绍

news2024/11/18 11:44:36

作者 | 田铮 上海控安可信软件创新研究院项目经理

来源 | 鉴源实验室

引言:上一篇文章(智能网联汽车网络安全攻击与防御技术概述)介绍了智能网联汽车中的网络安全攻击案例和具体攻击类型。而本篇文章中,我们将对汽车网络安全风险的应对策略,特别是车载入侵检测与防御系统展开详细的介绍。

01 车辆网络攻击应对策略

随着汽车智能网联和自动驾驶技术的发展,车载网络提供了更多的连接口以满足不同应用和服务的要求,再加上车载网络固有的脆弱性,使得智能网联汽车具有了更多潜在的网络安全漏洞。这些网络攻击一般通过远程信息处理单元、信息娱乐单元、驾驶辅助单元、直接接口和传感器等潜在入口注入到车载网络中,引发不同程度的信息安全问题。

为有效应对这些安全风险,通常会采用消息认证、数据加密、防火墙、入侵检测与防御等安全策略来检测和防止物理和远程攻击,保护车载网络和系统免受网络攻击,如图1所示[1]。其中,认证、访问控制、加密技术等主动信息安全防御技术是通过引入固定的安全机制来确保数据帧的机密性、完整性和身份验证,防止攻击者获取对系统的访问权限,从而有效保护车载网络的信息传输。这些主动对策可以保护系统免受外部网络攻击,但对于内部攻击的保护效果有限。另外,加密和认证机制的应用会导致车载网络中安全关键的实时系统或报文产生意外延迟,因此其部署很大程度上受限于带宽和计算能力等因素,甚至容易影响车辆机动性相关的功能安全性。此外,采用防火墙策略可将潜在的攻击接口与车内网络分隔开来,但很难完全隔离威胁和各种攻击源。

在此背景下,车辆入侵检测与防御系统(IDPS,Intrusion Detection & Prevention System)[2]为车载网络信息安全提供了新的解决方案。该系统可以有效收集并检测车内网络的潜在攻击和车外连接网络的不当行为,根据车辆当前状态的安全检测结果进行动态防御和响应。其中,入侵检测系统(IDS,Intrusion Detection System)可以检测网络中可能发生的不同类型的攻击,如拒绝服务(DoS,Denial of Service)/分布式拒绝服务(DDoS, Distributed Denial of Service)、端口扫描、恶意软件或勒索软件等。而入侵防御系统(IPS,Intrusion Prevention System)则旨在帮助减轻或避免上述攻击,防止其对车载系统造成破坏。相较于以上两种单一系统,兼具检测和防御功能的IDPS能够使安全防护效果加倍,一方面监视系统并保护网络免受入侵者的攻击,另一方面在网络环境中发生攻击时向管理员提供报告,帮助进一步反馈响应措施。与前面提到的主动安全防御机制相比,入侵检测与防御系统IDPS具有带宽资源小、易于部署的特点,更适合资源和成本有限的车辆网络。

图1 智能网联汽车防止攻击的安全对策[1]

02 法规和标准对IDPS的规定

为了应对智能网联汽车中日益严重的数据安全漏洞,近年来国内外相关机构积极研究汽车信息安全标准相关工作,陆续出台很多汽车信息安全相关的标准和法规。

2020年4月,《GB/T 38628-2020 信息安全技术 汽车电子系统网络安全指南》[3]中明确提出:具有联网功能的汽车需要具备网络安全状态的监测能力,并对可能或已经出现的网络安全事件制定事件响应。

与此同时,《GB/T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作》[4]详细给出了组织部署和操作入侵检测和防御系统(IDPS)的指南,指导相关组织有效识别并避免基于网络的入侵。

2021年1月,联合国制定的UN/WP.29 R155信息安全法规[5]中要求车辆需要检测并响应潜在的网络安全攻击,并记录数据以支持网络攻击检测,提供数据取证功能,以便分析未遂或成功的网络攻击。

2021年4月,工业和信息化部公开征求对《智能网联汽车生产企业及产品准入管理指南(试行)(征求意见稿)》的意见[6]。该指南中明确提出:企业应建立网络安全监测预警机制和网络安全应急响应机制,采取监测、记录网络运行状态、网络安全事件的技术措施,按规定留存网络日志不少于6个月,并制定网络安全应急预案,及时处置安全威胁、网络攻击、网络侵入等安全风险。

2021年8月,国际标准化组织(ISO)/美国汽车工程师学会(SAE)联合起草发布了《ISO / SAE 21434道路车辆-网络安全工程》国际规范[7],该标准就汽车网络产品开发设计中的保护、检测、响应等网络安全管理活动达成共识,内容涵盖道路车辆、车载系统、组件、软件以及与外部网络和设备通信的安全。该标准旨在为汽车制造商和供应商提供从设计到生产阶段的指导方针。

03 车载入侵检测与防御系统(IDPS)

3.1 IDPS的原理

入侵检测防御系统IDPS的核心功能是入侵检测和响应阻止。完整的车辆IDPS系统是车端云端相结合的动态防御系统,能够实现车载网络安全攻击和异常事件的有效收集、检测与应对,其典型的工作拓扑结构如图2所示。

图2 车载IDPS的拓扑结构

当车辆遭受黑客攻击时,数据采集模块会实时采集车端各组件或车载总线网络(如CAN/CANFD、以太网等)中的报文数据和安全状态信息,并将其发送给入侵检测模块,用于检测车载网络中的异常流量和车内操作系统中的异常行为。此外,检测规则库中的规则能够为入侵异常检测提供有效支撑。当检测到异常后,需要向IDPS事件管理模块上报入侵事件。事件管理模块对安全事件进行一定的处理过滤,生成相应的报警日志和响应措施。其中,报警日志会上传给云端安全运维中心(VSOC),进行所有车辆相关事件和状态的管理和呈现。同时会通过OTA等方式,更新车端的安全防护策略,以提高车辆的安全等级。

3.2 IDPS的分类

根据检测对象的不同,车载入侵检测与防御系统IDPS可分为主机型、网络型和混合型,具体介绍如下:

(1)基于主机的入侵检测防御系统(H-IDPS,Host-based IDPS)

H-IDPS主要对易受攻击的关键ECU进行监视和保护,通过监控T-BOX、中央网关、IVI等具有操作系统或对外接口的主机系统,采集和分析其文件完整性、网络连接活动、进程行为、资源使用情况、日志字符串匹配等事件特征,实现系统异常行为的检测。

(2)基于网络的入侵检测防御系统(N-IDPS,Network-based IDPS)

N-IDPS主要检测车辆内部网络的入侵事件,通过采集车载网络总线上的报文数据,进行特定网络段或设备的流量数据监控、数据载荷解析和字段匹配等活动,以识别网络中出现的异常流量和潜在攻击行为。

(3)混合式入侵检测防御系统(Hybrid IDPS)

混合式IDPS是基于网络的IDPS与基于主机的IDPS的结合。对于智能网联汽车来说,混合IDPS的使用最广泛,且更有利于全面地检测和应对车辆的可疑威胁。

此外,根据检测技术的差异,可将IDPS进一步细分出基于特征、基于信息论和统计分析和基于机器学习的检测机制[8],具体介绍如下:

· 基于特征的检测方法

基于特征的检测方法是常见的入侵检测技术之一,广泛应用于车辆网络入侵检测的研究。该方法通过监控车辆的内部网络,从中提取不同的特征来识别入侵或异常行为。通过对车辆网络架构和网络协议的分析,发现可用于入侵检测观察的网络特征包括设备指纹(通过时域和频域信息提取)、时钟偏移、频率观察和远程帧等。基于特征的检测方法通常可以实现对特定攻击模型的高检测精度,并且具有响应时间短和网络带宽开销低的特点。

Yilin Zhao等[9]设计了一种新的基于指纹的Clock-IDS来进行车辆入侵检测和防护。该系统根据时钟偏差为每个ECU建立唯一的指纹,利用经验规则和动态时间扭曲实现了入侵检测和攻击源识别功能。最终实验得出检测三种类型攻击的准确率为98.63%,识别攻击源的平均准确率为96.77%,每次检测的平均时间成本仅为1.99ms。Song等人[10]提出了一种基于消息时间间隔统计分析的轻量级入侵检测系统。他们发现,分析消息的时间间隔是检测数据包的重要特征,通过消息频率分析可有效检测流量异常和消息注入攻击。

· 基于信息论和统计分析的检测方法

当车辆受到恶意攻击(如DOS、重放等)时,CAN总线的信息熵将显著降低,这在资源有限的车辆网络入侵研究中被广泛应用,很多研究逐渐关注基于熵的异常检测系统。

Muter和Asaj等人[11]最早提出在车辆检测网络中使用信息熵的概念,并通过检测消息注入(MI)攻击、DoS攻击讨论了该方法的合理性和适用性。Mirco Marchetti等人[12]则介绍了一种基于熵的入侵检测系统,并评估了其应用于现代车辆网络的有效性。实验结果表明,如果将基于熵的异常检测应用于所有CAN消息,则只能检测伪造攻击。该方法完全独立于报文内容,因此可直接应用于任何车辆的CAN总线,但需要并行执行多个异常检测器。

· 基于机器学习的检测方法

机器学习、神经网络和其他理论也是研究车辆网络入侵检测技术的热门方向。这类检测方法引入机器学习等机制来完成正常样本的识别,技术普适性较强,无需对适配车型进行定制化开发,但存在异常样本采集数量大和训练难度高的问题。

Kang和Kang[13]提出一种基于深度神经网络(DNN)的入侵检测系统。该系统在ECU之间交换的车内网络数据包的高维特征提取比特流上训练检测模型。对于给定的数据包,DNN提供每个类别区分正常和攻击数据包的概率,因此传感器可以识别对车辆的任何恶意攻击。实验结果表明,该技术可以提供对攻击的实时响应,并显著提高CAN总线中的检测率。Taylor等人[14]提出一种基于长短期记忆神经网络的异常检测器来检测交错、丢弃、不连续、异常和反向攻击这五种类型的网络攻击。实验结果表明,该方法能够以高检测率和低误报率检测出异常报文。

04 小结

车载网络入侵检测与防御技术可以有效地弥补加密和认证机制带来的计算和通信开销,更适用于具有关键功能、资源有限的智能网联车辆的网络环境。在未来很长一段时间内,车载网络入侵检测与防御技术都是智能网联车辆信息安全增强研究的重要发展方向。

参考文献:

[1] Aliwa E, Rana O, Perera C, et al. Cyberattacks and Countermeasures for In-Vehicle Networks[J]. ACM Computing Surveys, 2021, 54(1): 1-37.

[2] Liu J, Zhang S, Sun W, et al. In-Vehicle Network Attacks and Countermeasures: Challenges and Future Directions[J]. IEEE Network, 2017, 31(5): 50-58.

[3] 国家市场监督管理总局, 国家标准化管理委员会. GB∕T 38628-2020 信息安全技术 汽车电子系统网络安全指南[S]. 北京: 中国标准出版社, 2020.

[4] 国家市场监督管理总局, 国家标准化管理委员会. GB/T 28454-2020 信息技术 安全技术 入侵检测和防御系统(IDPS)的选择、部署和操作[S]. 北京: 中国标准出版社, 2020.

[5] Unitednations. UN Regulation No. 155:Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system[S]. New York, 2021.

[6] 《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)[EB/OL].https://www.miit.gov.cn/gzcy/yjzj/art/2021/art_cd02c592fffb456ea38789b1ea413802.html.

[7] International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.

[8] Guan T, Han Y, Kang N, et al. An Overview of Vehicular Cybersecurity for Intelligent Connected Vehicles[J]. Sustainability, 2022, 14(9).

[9] Zhao Y, Xun Y, Liu J. ClockIDS: A Real-Time Vehicle Intrusion Detection System Based on Clock Skew[J]. IEEE Internet of Things Journal, 2022, 9(17): 15593-15606.

[10] Song H M, Kim H R, Kim H K. Intrusion detection system based on the analysis of time intervals of CAN messages for in-vehicle network[C]. International Conference on Information Networking (ICOIN), 2016: 63-68.

[11] Michael Müter N A. Entropy-based anomaly detection for in-vehicle networks[C]. In Proceedings of the 2011 IEEE Intelligent Vehicles Symposium (IV), 2011.

[12] Mirco Marchetti D S, Alessandro Guido, Michele Colajanni. Evaluation of anomaly detection for in-vehicle networks through information-theoretic algorithms[C]. EEE 2nd International Forum on Research and Technologies for Society and Industry Leveraging a better tomorrow (RTSI), 2016.

[13] Kang M J, Kang J W. Intrusion Detection System Using Deep Neural Network for In-Vehicle Network Security[J]. PLoS One, 2016, 11(6): e0155781.

[14] Adrian Taylor S L, Nathalie Japkowicz. Anomaly Detection in Automobile Control Network Data with Long Short-Term Memory Networks[C]. IEEE International Conference on Data Science and Advanced Analytics (DSAA), 2016.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/128531.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SpringSecurity——OAuth2框架鉴权实现源码分析

SpringSecurity——OAuth2框架鉴权实现源码分析一、ManagedFilter迭代过滤器链1.4 springSecurityFilterChain1.4.7 OAuth2AuthenticationProcessingFilter①.OAuth2AuthenticationProcessingFilter.class②.CookieTokenExtractor.class(我们自己重写的方法&#xf…

瞄准智慧园区 东方恩拓与用友协同开拓新商机

在数字化转型升级浪潮中,传统园区也在寻求新的发展方向,从传统园区向智慧园区甚至未来园区不断演进。随着国家“数字中国”、“中国智造”、“新基建”等战略的部署,智慧园区也迎来了新的发展机遇,园区的数字化、网络化、智能化是…

户外运动耳机选择哪个、最适合户外运动的蓝牙耳机推荐

还有哪个季节比秋天更适合爬山和徒步等户外运动的吗?秋天—没有夏日的骄阳,没有冬天的万物凋零,放眼望去都是墨绿和金黄,上山的话还可以采摘成熟的各种各样的果子…但是一个人的话难免有些落寞,要是有音乐的陪伴则会增…

公网远程连接windows SQL Server数据库【内网穿透】

文章目录1. 本地安装配置SQL Server2. 将本地sqlserver服务暴露至公网2.1 本地安装cpolar内网穿透2.2 创建隧道3. 公网远程连接sqlserver3.1 使用命令行远程连接sqlserver3.2 使用navicat premium图形界面远程连接sqlserver3.3 使用SSMS图形界面远程连接sqlserver疫情当下,居家…

win7电脑怎么录屏?超级简单的2种电脑录屏方法

相信还有不少朋友的电脑系统是win7系统。其实,win7电脑和win10电脑一样都有自带录屏功能。那win7电脑怎么录屏?在win7电脑上开启运行窗口即可,当然也可以通过使用专业的录屏软件来录制屏幕。 下面就由小编给大家介绍一下2个win7电脑录屏的方…

P8 PyTorch WhereGather

前言 这两个函数优点是通过GPU 运算速度快 目录: 1 where 2 Gather 一 where 原理: torch.where(condition,x,y) 输入参数: condition: 判断条件 x,y: Tensor 返回值: 符合条件时: 取x, 不满足取y 优点: 可以使…

关注re:Invent中国巡展,尽享数字时代红利

编辑|阿冒收获固然很甜蜜,但是收获也很辛苦。肯定会有人感觉莫名其妙,既然是收获,必然是甜蜜的,哪来的辛苦啊?且不要着急,容我慢慢分说。一年一度的亚马逊云科技re:Invent全球大会,向…

【操作系统】磁盘调度算法

文章目录影响其访问的时间因素磁盘调度(移臂调度)常见的磁盘调度算法1、先来先服务算法(FCFS)2、最短寻道时间优先算法(SSTF)3、电梯调度算法(扫描算法SCAN)4、循环扫描算法&#xf…

Microsoft Office 2016 VOL版下载

链接都是VOL版,和零售版功能是一样的,只是激活方便一些,三个下载链接,第一个是Office就是包含了Word、Excel、PPT那些的,另外两个一个是Visio,一个是Project,如果不需要的话,只下载第…

【HTML5】复习(二)

HTML5复习二1.代码一2.代码二3.CSS的引入方式4.选择器5.form表单的一些属性6.内联7. 音频视频8. 滑块、搜索、数字、URL9. 表单补充1.代码一 <!DOCTYPE html> <html><head><meta charset"utf-8"><title></title></head>&…

声明式事务的属性之隔离级别

声明式事务的属性之隔离级别 ①介绍 数据库系统必须具有隔离并发运行各个事务的能力&#xff0c;使它们不会相互影响&#xff0c;避免各种并发问题。一个事务与其他事务隔离的程度称为隔离级别。SQL标准中规定了多种事务隔离级别&#xff0c;不同隔离级别对应不同的干扰程度&…

智能家居创意DIY之智能灯泡

一、什么是智能灯 传统的灯泡是通过手动打开和关闭开关来工作。有时&#xff0c;它们可以通过声控、触控、红外等方式进行控制&#xff0c;或者带有调光开关&#xff0c;让用户调暗或调亮灯光。 智能灯泡内置有芯片和通信模块&#xff0c;可与手机、家庭智能助手、或其他智能…

12.29日报

今天完成了数据库TestMrl的增删改查四个接口的开发&#xff0c;测试。 测试接口getQRcodeandscene 遇到的问题及解决 不知道在mapper中的增删改方法返回值int的值&#xff0c;和含义&#xff0c;在调用方法时也没有定义int来接参&#xff0c;都是直接调用。于是我定义int i&…

富丽宝石在港交所招股书再次“失效”,于海洋为控股股东

12月30日&#xff0c;贝多财经从港交所披露易了解到&#xff0c;富丽宝石国际控股有限公司&#xff08;下称“富丽宝石”&#xff09;在港交所的上市申请已经“失效”&#xff0c;目前已无法正常查看或下载。在此之前&#xff0c;富丽宝石先后于2021年6月28日、2022年6月29日在…

ERROR: PostCSS received undefined instead of CSS string

ERROR: PostCSS received undefined instead of CSS string 开发项目a的时候用的node版本比较低&#xff0c;拿到b项目的时候提示版本过低&#xff0c;要升级下node&#xff0c;本来想跟新下node的&#xff0c;后面发现nvm&#xff0c;node版本控制器&#xff0c;简单说就是下载…

Python Django入门

一、路由系统 1、Mac命令行安装django 环境 pip install django3.2 2、创建django项目 选择django项目 不同的py文件功能了解 urls.py views.py 可以使用django命令创建项目 1、Mac命令行安装django 环境 pip install django3.2 2、创建django项目 选择django项目 不通py…

中科院ZJ系列压电参数d33系数特性测试装置设计详细介绍

中科院ZJ系列压电参数d33系数特性测试装置设计详细介绍 中科院ZJ系列压电参数d33系数特性测试装置设计详细介绍 一、前沿分析&#xff1a;目前市场上主流的D33系数测试仪主要是中科院的ZJ-3型精密D33系数测量仪&#xff0c;ZJ-4型宽量程压电D33测量仪和ZJ-6型D33/31/D15型综合…

如何通过企业微信、飞书、钉钉消息通知接收双因子认证动态密码?

使用宁盾双因子认证H5令牌的用户每次登录时要切回到企业微信、飞书、钉钉工作台中&#xff0c;找到H5令牌小程序&#xff0c;点进去看动态码。记住或复制动态码后再切回登录界面输入验证。 路径合理&#xff0c;但实际使用场景下不够便捷。用户体验能否再优化&#xff1f; 这个…

Rockchip RK3566 Camera点亮

一.camera名词解释 在现代移动设备中&#xff0c;常用一种接口用来连接SOC和LCD和Camera,这种接口就是MIPI 其中SOC和LCD连接叫 DSI&#xff08;DisplayCommandSet&#xff09;,SOC和Camera连接叫CSI&#xff08;DisplaySerialInterface&#xff09;。 二.camera数据通路 一般…

collect2.exe: error: ld returned 1 exit status分析与解决

这里写自定义目录标题1、问题描述2、分析3、解决办法4、总结5、码字不易&#xff0c;点赞&#xff01;&#xff01;&#xff01;1、问题描述 Windows下进行网络编程&#xff0c;devc&#xff0c;运行.cpp程序时报如下错&#xff1a; [Error] ld returned 1 exit status报错图…