续接上集“浅谈汽车网络安全车辆型式认证（VTA）的现状和未来发展”，有许多读者小伙伴有联系笔者来确认相关的R155 VTA网络安全审核要求，基于此，笔者将针对 R155 VTA 每一条网络安全审核细则来具体展开。

今天就先从汽车入侵检测系统（IDS）展开分享。

01 什么是汽车IDS？

汽车入侵检测系统（IDS，Intrusion Detection System）是一种专门用于监控和保护汽车内部网络免受潜在网络安全威胁的技术。随着现代汽车越来越多地依赖电子控制单元（ECU）、传感器和通信模块等复杂的电子系统，并且越来越多的汽车具备联网功能，网络安全问题变得尤为重要。

汽车IDS的主要目的是检测、识别和响应可能的网络攻击或异常行为，以保护车辆及其乘客的安全。以下是汽车IDS的主要功能和特点：

• 实时监控：IDS系统能够实时监控汽车内部网络通信，捕捉和分析数据包，识别异常行为或潜在威胁。

• 异常检测：通过建立正常通信行为的基线，IDS可以检测出偏离正常行为的异常活动，如未授权的访问、数据包重放攻击等。

• 威胁识别：利用模式匹配、机器学习等技术，IDS可以识别已知的攻击模式和未知的潜在威胁。

• 报警和响应：一旦检测到入侵或异常行为，IDS系统会发出警报，并可以采取相应的响应措施，如隔离受感染的ECU、限制网络通信等。

• 日志记录和分析：IDS系统会记录所有检测到的事件和活动日志，供后续分析和取证使用。

02 入侵检测系统的分类

在汽车中，根据检测对象的不同，入侵检测系统可以分为两类：网络入侵检测系统和主机入侵检测系统。

网络入侵检测系统：这种系统可以对包括CAN总线、车载以太网、WIFI、蓝牙数据等车载网络进行检测。目前已有许多基于规则和基于AI的方法进行研究。例如，某研究设计了一种规则和AI混合的多层SOME/IP入侵检测方法，基于规则的模块用于检测SOME/IP报头、SOME/IP-SD消息、消息间隔和通信过程，利用AI检测SOME/IP的有效负载。考虑到实际部署成本，在车载控制器中往往部署基于规则的入侵检测系统。

主机入侵检测系统：这种系统对控制器的操作系统进行安全监控。随着汽车智能网联化的发展，车载控制器不再仅由MCU组成，Linux、Android、QNX等操作系统频繁地在各类域控制器中出现。SOC在为汽车带来强大功能的同时，也成为对汽车的一条重要攻击路径。主机入侵检测系统可以对操作系统进行资源监控、文件监控、病毒扫描等。

在检测识别到车内的异常攻击行为后，通过生成安全日志，并将安全日志上传到汽车安全运营平台（VSOC），是一种有效的攻击行为追溯和监控智能网联汽车安全状态的手段。

03 汽车IDS的实现方法

基于签名的检测：通过预定义的攻击签名库，识别已知的攻击模式。这种方法对已知威胁有效，但对未知威胁的检测能力有限。

基于行为的检测：通过分析正常通信行为的模式，检测异常行为。这种方法能够识别未知威胁，但可能会产生误报。

基于机器学习的检测：利用机器学习算法，自动学习和识别正常和异常行为模式，提高检测的准确性和智能化水平。

04 法规对汽车IDS的要求

随着智能网联汽车的发展，各个控制器不再是孤立的嵌入式系统，信息安全问题也变得越来越重要。同时，国内外已经发布了多项标准和法规来规范汽车网络安全的发展，其中不少法规对车辆网络安全检测提出了具体要求。

欧盟颁布的UN/WP.29 R155法规，其中提到（以下序号是法规中对应的编号）：

7.3.7(a/b/c):车辆制造商应针对车型采取措施：

(a) 检测并防止针对该车型车辆的网络攻击；

(b) 支持车辆制造商在检测与车型相关的威胁、漏洞和网络攻击方面的监控能力；

(c) 提供数据取证能力，以便能够分析企图或成功的网络攻击。

在结合实际操作的审核标准中，对汽车网络安全威胁的检测响应、持续监控、取证分析也提出了要求：检查主机厂OEM的取证数据，主要是分析数据和其他触发的活动。

IDS的相关证据：

（1）记录异常报文信息

（2）可以识别遭受攻击的控制器

（3）IDS记录的日志文件，包含事件，时间，攻击类型

（4）IDS部署方案

（5）如何将攻击链接到控制器。

05 基于合规要求的汽车IDS开发要点

汽车入侵检测系统在现代汽车网络安全中扮演着重要角色。随着汽车越来越依赖电子控制单元（ECU）和车载网络，确保这些系统的安全性变得至关重要。

以下是在 R155 VTA 认证过程中，汽车IDS需要满足的一些关键网络安全要求：

• 实时监控和检测：IDS必须能够实时监控车载网络流量，及时检测异常行为和潜在的入侵活动。

• 低延迟和高效性能：由于汽车系统对响应时间要求很高，IDS需要在低延迟的情况下高效运行，确保不影响车辆的正常操作。

• 高准确性和低误报率：IDS应具备高准确性，能够有效区分正常行为和异常行为，减少误报率，避免对驾驶员造成不必要的干扰。

• 多层次检测：IDS应能够在多个层次上进行检测，包括网络层、应用层和物理层，以提供全面的安全保护。

• 自适应学习和更新：IDS应具备自适应学习能力，能够根据新的威胁情报和攻击模式进行更新和调整，以应对不断变化的安全威胁。

• 数据完整性和保密性：IDS需要确保监控数据的完整性和保密性，防止数据被篡改或泄露。

• 兼容性和可扩展性：IDS应与现有的车载网络和安全系统兼容，并具备良好的可扩展性，以适应未来的技术发展和需求。

• 事件响应和报告：IDS应具备事件响应能力，能够在检测到入侵时及时采取措施，并生成详细的报告供安全分析和审计使用。

• 法规和标准遵从：IDS应符合相关的法规和行业标准，如ISO/SAE 21434（道路车辆网络安全工程）和UN R155（车辆网络安全管理系统）。

• 协同防御机制：IDS应能够与其他安全系统（如防火墙、入侵防御系统等）协同工作，形成综合防御机制，提高整体安全性。

通过满足这些网络安全要求，汽车入侵检测系统可以有效保护车载网络和电子控制单元免受各种网络攻击，确保车辆的安全性和可靠性。

随着汽车智能化和联网化的发展，汽车IDS在保障汽车网络安全方面发挥着越来越重要的作用。未来，随着技术的进步和威胁的演变，IDS系统也将不断发展和完善，以应对更加复杂和多样化的安全挑战。