混合车载网络的入侵检测系统_第1页
混合车载网络的入侵检测系统_第2页
混合车载网络的入侵检测系统_第3页
混合车载网络的入侵检测系统_第4页
混合车载网络的入侵检测系统_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

混合车载网络的入侵检测和防御系统(IDPS)随着软件定义汽车的热潮席卷汽车行业,作为软件定义汽车的基础和关键的电子电气架构,也正在从分布式架构向着域集中(Domain)和中央集中式的方向发展(如图1所示)。为了适应电子电器架构的发展趋势,车载总线也从传统的CAN/LIN/FlexRay向着CANFD/Ethernet进行着升级。基于CAN/CANFD/Ethernet的混合型网络,也出现在越多越多的量产车型上。EtA午辑%中布了eq/m*相ZADtDEOLI(Cress)DomainCentrafized£EA时网如p电冲诛构口猷他mdeea吟句式电亍电气柔椅图1.博世集团提出的电子电气架构发展趋势但是如何有效地保护CAN/CANFD和Ethernet的混合型网络及其通信数据呢?有两个基本原则:通信监控和分区。为了在早期发现网络攻击,需要对通信进行无缝监控。域特定的EtA午辑%中布了eq/m*相ZADtDEOLI(Cress)DomainCentrafized£EA时网如p电冲诛构口猷他mdeea吟句式电亍电气柔椅车辆入侵检测和防御系统-IDPS智能入侵检测和防御系统在传统IT行业中已不是什么新鲜事物,过去十几年已经通过测试和验证来保护IT基础架构。难点是如何将该技术应用到联网的车辆上。一般来说,车辆中央域控制器或网关中的特殊安全软件可以检测并记录车辆网络通信中的异常情况。

CyberDefenceCenterMonitoring&AnalysisIntelligenceEventDataBaseAnalyticsAnalysisSoftwareSIEMSecurityCyberDefenceCenterMonitoring&AnalysisIntelligenceEventDataBaseAnalyticsAnalysisSoftwareSIEMSecurityInformation&EventManagementUnprotected♦Interface如图2所示,发生攻击时,IDPS会发起五步防御。如果攻击遵循已知模式,则嵌入式防火墙CycurGATE将立即阻止对ECU的访问。但是,为了阻止未来的攻击,已建立的规则集(黑名单和白名单)也必须不断更新-这正是IDPS的本质。第二步,通过基于CAN/CANFD总线的入侵检测软件CycurlDS识别以前未知攻击类型的异常和迹象,包括监视数据流量。第三步存储记录在车辆中的任何异常,可手动或自动将它们传输到基于云的事件数据库中,以加快响应速度。在该数据库中,可以汇总所有制造商连接的车辆的报告,并将报告的异常与已知攻击的指纹进行比较。Escrypt也支持在中国主机厂本地化部署的需求,以满足国内数据处境和个人隐私合规的相关法律法规要求。通过对数据的分析,OEM可以获得有关黑客采用的策略,他们针对的漏洞以及攻击是否在不断增加的全面且始终最新的概述。在后端评估此扩展的事件数据库是防御策略的第四步:CycurGUARD。该软件用以接收并解析从车内不同IDS探针上报的攻击事件和基于情境的协同数据,进行数据清洗及格式化后,其结果可供网络防御中心的安全和数据取证专家确定对策。其中可能包括对火墙的特定调整,对CycurIDS规则集的更新,甚至与受影响的ECU制造商紧密合作(甚至是关闭软件漏洞)(步骤5)。作为一种可能的对策,然后可以通过OTA进行固件更新(步骤6)。IDPS采用的五步防御策略,代表了一种面向未来的可扩展解决方案。不仅如此:系统中添加的每辆车都增强了其分析和检测攻击的能力,从而改善了防御策略。迄今为止,每一次无形的攻击(可能被防火墙阻止)都有助于使安全措施更贴近当前风险。记录下来的异常报告将直接发送到网络安全后端,从而可以立即帮助改善保护功能。换句话说,IDPS是互联汽车的“免疫系统”:由于数据库的不断扩展,它在每次攻击时都会变得越来越强大,并且变得越来越智能。高效的CAN/CANFD攻击检测入侵检测系统(IntrusionDetectionSystem,IDS)可以集成到网关或域控制器中以监视CAN/CANFD总线。通过将其与OEM指定的“正常行为系统模型”进行比较,它可以检测CAN/CANFD数据流量中所有与正常行为相背的异常情况。将其分类为潜在的攻击和日志或报告(图3)。e.eieeeeiRwdS6AFFFFacFD”Tuningse.eneee:lieRxd8ei3EMEE2博FF4A3F,Frequencydev削oneeneeei129Rxd863F73D27C77E09»C・IMration6.6266661166RxdanF4&&IE口&66C盼■TlrwQUtineRxdaIFeeasaeCB睥Rxd8AAeeB93轴eeaimiRmdBafi4A2F&L&5祯7FDtdggt略631566I118RxQ8E52B0CSBMoh,T/peofwrvk«eiRmd8@2@47890FF,03&・跆v心conditionsneRxda70FFFFJFFFifaa4.442m1129R同d8M5A睥睥。FS5时6&号.曾4366白17DFd3ezIQ—09如$9舶钮6,64468617CSRmdee?S603AAAAAAgmiBM1lieRmdBFE4B2Fal3L&7307FRmdaas7809FF眄丽M图3.CAN/CANFDIDS可以检测周期性消息中的异常以及诊断要求的滥用CAN/CANFDIDS(CycurIDS)的性能直接取决于其配置的质量。这就是为什么应使用基于当前攻击向量分析的新检测机制不断补充更新来自OEM的有效初始规则,以实现较高的检测率并尽可能减少错误警报的原因。该实现取决于规则配置工具箱的质量,该质量用于初始配置和规则集的持续开发。该工具箱还配有仿真工具,通过实车抓取CAN/CANFDTrace,通过模拟器回放,从而标定和优化模型的参数。作为即用型软件,此类IDS(CycurlDS)可以随时用作混合网络中的CAN/CANFD的攻击检测系统。以太网交换机中的汽车防火墙针对车载以太网,则建议在混合网络中使用车载以太网防火墙(CycurGATE)进行安全、流畅的以太网通信。这是直接在以太网交换机中实现的,从而使其能够监视完整的数据包流,而不会干扰ECU或主机控制器的正常功能。平衡的硬件和软件协同设计意味着防火墙可以利用交换机上的硬件加速模块从而使得大多数数据包都以快速处理。防火墙的主要任务是防御拒绝服务攻击(DoS),以及访问控制和阻隔非法通信。但是,通过在所有网络层中维护分区,防火墙还支持分区域之间安全的数据路由。为此,数据包过滤器将过滤传入和传出的数据,并通过状态数据包检查和深度数据包检查进行检查。因此,车载以太网防火墙(CycurGATE)不仅可以保护以太网免遭未经授权的访问和操纵,而且还可以控制车载通信(图4)。它完全涵盖了常用汽车以太网协议(例如SOME/IP,DOIP),并且可以在MAC级别监视对网络和VLAN的访问。通信通过可随时更新的白名单或黑名单进行过滤,以确保对新的攻击模式做出快速有效的反应。&turGAT^图4.车载以太网防火墙承担网守和路由器功能智能负载分配除了在中央以太网交换机中实施之外,还可以将基于主机的防火墙直接集成到ECU中。这需要高性能的解决方案。防火墙必须足够强大以实时检查并确定是否以及在何处路由单个数据包。但是,它不能涵盖复杂的攻击检测模式,例如有状态SOME/IP通信的频率。在此,需要一个附加的以太网IDS,该IDS可根据消息频率、序列、有效负载、数据和服务来检测异常模式,并将其记录或报告为攻击尝试。为了获得最佳性能,这种方法需要在交换机和主机控制器之间进行智能负载分配。防火墙和入侵检测可以部分在交换机中进行,也可以部分在主机控制器中进行。CAN/CANFDIDS,车载以太网防火墙和以太网IDS一起可以可靠地保护混合电子电气架构,而不会带来明显的延迟,也不影响集成组件的正常功能。它们在集

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论