混合车载网络的入侵检测系统

混合车载网络的入侵检测和防御系统(IDPS)随着软件定义汽车的热潮席卷汽车行业，作为软件定义汽车的基础和关键的电子电气架构，也正在从分布式架构向着域集中(Domain)和中央集中式的方向发展(如图1所示)。为了适应电子电器架构的发展趋势，车载总线也从传统的CAN/LIN/FlexRay向着CANFD/Ethernet进行着升级。基于CAN/CANFD/Ethernet的混合型网络，也出现在越多越多的量产车型上。EtA午辑％中布了EtA午辑％中布了eq/m*相ZADtDEOLI (Cress)DomainZADtDEOLI (Cress)DomainCentrafized£EA时网如p电冲诛构口猷他md口猷他mdeea吟句式电亍电气柔椅图1.博世集团提出的电子电气架构发展趋势但是如何有效地保护CAN/CANFD和Ethernet的混合型网络及其通信数据呢？有两个基本原则：通信监控和分区。为了在早期发现网络攻击，需要对通信进行无缝监控。域特定的虚拟子网(VLAN)在发生攻击时可以最大程度降低渗透深度。两者在混合电子电气系统中都是可行的，但在CAN和Ethernet世界中需要不同的实现方法。车辆入侵检测和防御系统-IDPS智能入侵检测和防御系统在传统IT行业中已不是什么新鲜事物，过去十几年已经通过测试和验证来保护IT基础架构。难点是如何将该技术应用到联网的车辆上。一般来说，车辆中央域控制器或网关中的特殊安全软件可以检测并记录车辆网络通信中的异常情况。

CyberDefenceCenterMonitoring&AnalysisIntelligenceEventDataBaseAnalyticsAnalysisSoftwareSIEMSecurityInformation&EventManagementUnprotected♦InterfaceCyberDefenceCenterMonitoring&AnalysisIntelligenceEventDataBaseAnalyticsAnalysisSoftwareSIEMSecurityInformation&EventManagementUnprotected♦Interface图2.CAN/CANFDIDS可以检测周期性和事件性消息中的异常以及诊断要求的滥用如图2所示，发生攻击时，IDPS会发起五步防御。如果攻击遵循已知模式，则嵌入式防火墙CycurGATE将立即阻止对ECU的访问。但是，为了阻止未来的攻击，已建立的规则集（黑名单和白名单）也必须不断更新-这正是IDPS的本质。第二步，通过基于CAN/CANFD总线的入侵检测软件CycurlDS识别以前未知攻击类型的异常和迹象，包括监视数据流量。第三步存储记录在车辆中的任何异常，可手动或自动将它们传输到基于云的事件数据库中，以加快响应速度。在该数据库中，可以汇总所有制造商连接的车辆的报告，并将报告的异常与已知攻击的指纹进行比较。Escrypt也支持在中国主机厂本地化部署的需求，以满足国内数据处境和个人隐私合规的相关法律法规要求。通过对数据的分析，OEM可以获得有关黑客采用的策略，他们针对的漏洞以及攻击是否在不断增加的全面且始终最新的概述。在后端评估此扩展的事件数据库是防御策略的第四步：CycurGUARD。该软件用以接收并解析从车内不同IDS探针上报的攻击事件和基于情境的协同数据，进行数据清洗及格式化后，其结果可供网络防御中心的安全和数据取证专家确定对策。其中可能包括对火墙的特定调整，对CycurIDS规则集的更新，甚至与受影响的ECU制造商紧密合作（甚至是关闭软件漏洞）（步骤5）。作为一种可能的对策，然后可以通过OTA进行固件更新（步骤6）。IDPS采用的五步防御策略，代表了一种面向未来的可扩展解决方案。不仅如此：系统中添加的每辆车都增强了其分析和检测攻击的能力，从而改善了防御策略。迄今为止，每一次无形的攻击（可能被防火墙阻止）都有助于使安全措施更贴近当前风险。记录下来的异常报告将直接发送到网络安全后端，从而可以立即帮助改善保护功能。换句话说，IDPS是互联汽车的“免疫系统”：由于数据库的不断扩展，它在每次攻击时都会变得越来越强大，并且变得越来越智能。高效的CAN/CANFD攻击检测入侵检测系统（IntrusionDetectionSystem,IDS）可以集成到网关或域控制器中以监视CAN/CANFD总线。通过将其与OEM指定的“正常行为系统模型”进行比较，它可以检测CAN/CANFD数据流量中所有与正常行为相背的异常情况。将其分类为潜在的攻击和日志或报告（图3）。e.eieeeeiRwdS6AFFFFacFD”Tuningse.eneee:lieRxd8ei3EMEE2博FF4A3F,Frequencydev削oneeneeei129Rxd863F73D27C77E09»C・ IMration6.6266661166RxdanF4&&IE口&66C盼■TlrwQUtineRxdaIFeeasaeCB睥Rxd8AAeeB93轴eeaimiRmdBafi4A2F&L&5祯7FDtdggt略631566I118RxQ8E52B0CSBMoh,T/peofwrvk«e iRmd8@2@47890FF,03&・跆v心conditionsneRxda70FFFFJFFFifaa4.442m1129R同d8M5A睥睥。FS5时6&号.曾4366白17DFd3ezIQ—09如$9舶钮6,64468617CSRmdee?S603AAAAAAgmiBM1lieRmdBFE4B2Fal3L&7307FRmdaas7809FF眄丽M图3.CAN/CANFDIDS可以检测周期性消息中的异常以及诊断要求的滥用CAN/CANFDIDS（CycurIDS）的性能直接取决于其配置的质量。这就是为什么应使用基于当前攻击向量分析的新检测机制不断补充更新来自OEM的有效初始规则，以实现较高的检测率并尽可能减少错误警报的原因。该实现取决于规则配置工具箱的质量，该质量用于初始配置和规则集的持续开发。该工具箱还配有仿真工具，通过实车抓取CAN/CANFDTrace，通过模拟器回放，从而标定和优化模型的参数。作为即用型软件，此类IDS(CycurlDS)可以随时用作混合网络中的CAN/CANFD的攻击检测系统。以太网交换机中的汽车防火墙针对车载以太网，则建议在混合网络中使用车载以太网防火墙(CycurGATE)进行安全、流畅的以太网通信。这是直接在以太网交换机中实现的，从而使其能够监视完整的数据包流，而不会干扰ECU或主机控制器的正常功能。平衡的硬件和软件协同设计意味着防火墙可以利用交换机上的硬件加速模块从而使得大多数数据包都以快速处理。防火墙的主要任务是防御拒绝服务攻击(DoS)，以及访问控制和阻隔非法通信。但是，通过在所有网络层中维护分区，防火墙还支持分区域之间安全的数据路由。为此，数据包过滤器将过滤传入和传出的数据，并通过状态数据包检查和深度数据包检查进行检查。因此，车载以太网防火墙(CycurGATE)不仅可以保护以太网免遭未经授权的访问和操纵，而且还可以控制车载通信(图4)。它完全涵盖了常用汽车以太网协议(例如SOME/IP，DOIP)，并且可以在MAC级别监视对网络和VLAN的访问。通信通过可随时更新的白名单或黑名单进行过滤，以确保对新的攻击模式做出快速有效的反应。&turGAT^图4.车载以太网防火墙承担网守和路由器功能智能负载分配除了在中央以太网交换机中实施之外，还可以将基于主机的防火墙直接集成到ECU中。这需要高性能的解决方案。防火墙必须足够强大以实时检查并确定是否以及在何处路由单个数据包。但是，它不能涵盖复杂的攻击检测模式，例如有状态SOME/IP通信的频率。在此，需要一个附加的以太网IDS，该IDS可根据消息频率、序列、有效负载、数据和服务来检测异常模式，并将其记录或报告为攻击尝试。为了获得最佳性能，这种方法需要在交换机和主机控制器之间进行智能负载分配。防火墙和入侵检测可以部分在交换机中进行，也可以部分在主机控制器中进行。CAN/CANFDIDS，车载以