續(xù)接上集“淺談汽車(chē)網(wǎng)絡(luò)安全車(chē)輛型式認(rèn)證（VTA）的現(xiàn)狀和未來(lái)發(fā)展”，有許多讀者小伙伴有聯(lián)系筆者來(lái)確認(rèn)相關(guān)的R155 VTA網(wǎng)絡(luò)安全審核要求，基于此，筆者將針對(duì) R155 VTA 每一條網(wǎng)絡(luò)安全審核細(xì)則來(lái)具體展開(kāi)。

今天就先從汽車(chē)入侵檢測(cè)系統(tǒng)（IDS）展開(kāi)分享。

01 什么是汽車(chē)IDS？

汽車(chē)入侵檢測(cè)系統(tǒng)（IDS，Intrusion Detection System）是一種專(zhuān)門(mén)用于監(jiān)控和保護(hù)汽車(chē)內(nèi)部網(wǎng)絡(luò)免受潛在網(wǎng)絡(luò)安全威脅的技術(shù)。隨著現(xiàn)代汽車(chē)越來(lái)越多地依賴(lài)電子控制單元（ECU）、傳感器和通信模塊等復(fù)雜的電子系統(tǒng)，并且越來(lái)越多的汽車(chē)具備聯(lián)網(wǎng)功能，網(wǎng)絡(luò)安全問(wèn)題變得尤為重要。

汽車(chē)IDS的主要目的是檢測(cè)、識(shí)別和響應(yīng)可能的網(wǎng)絡(luò)攻擊或異常行為，以保護(hù)車(chē)輛及其乘客的安全。以下是汽車(chē)IDS的主要功能和特點(diǎn)：

實(shí)時(shí)監(jiān)控：IDS系統(tǒng)能夠?qū)崟r(shí)監(jiān)控汽車(chē)內(nèi)部網(wǎng)絡(luò)通信，捕捉和分析數(shù)據(jù)包，識(shí)別異常行為或潛在威脅。

異常檢測(cè)：通過(guò)建立正常通信行為的基線(xiàn)，IDS可以檢測(cè)出偏離正常行為的異?；顒?dòng)，如未授權(quán)的訪(fǎng)問(wèn)、數(shù)據(jù)包重放攻擊等。

威脅識(shí)別：利用模式匹配、機(jī)器學(xué)習(xí)等技術(shù)，IDS可以識(shí)別已知的攻擊模式和未知的潛在威脅。

報(bào)警和響應(yīng)：一旦檢測(cè)到入侵或異常行為，IDS系統(tǒng)會(huì)發(fā)出警報(bào)，并可以采取相應(yīng)的響應(yīng)措施，如隔離受感染的ECU、限制網(wǎng)絡(luò)通信等。

日志記錄和分析：IDS系統(tǒng)會(huì)記錄所有檢測(cè)到的事件和活動(dòng)日志，供后續(xù)分析和取證使用。

02 入侵檢測(cè)系統(tǒng)的分類(lèi)

在汽車(chē)中，根據(jù)檢測(cè)對(duì)象的不同，入侵檢測(cè)系統(tǒng)可以分為兩類(lèi)：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：這種系統(tǒng)可以對(duì)包括CAN總線(xiàn)、車(chē)載以太網(wǎng)、WIFI、藍(lán)牙數(shù)據(jù)等車(chē)載網(wǎng)絡(luò)進(jìn)行檢測(cè)。目前已有許多基于規(guī)則和基于AI的方法進(jìn)行研究。例如，某研究設(shè)計(jì)了一種規(guī)則和AI混合的多層SOME/IP入侵檢測(cè)方法，基于規(guī)則的模塊用于檢測(cè)SOME/IP報(bào)頭、SOME/IP-SD消息、消息間隔和通信過(guò)程，利用AI檢測(cè)SOME/IP的有效負(fù)載?？紤]到實(shí)際部署成本，在車(chē)載控制器中往往部署基于規(guī)則的入侵檢測(cè)系統(tǒng)。

主機(jī)入侵檢測(cè)系統(tǒng)：這種系統(tǒng)對(duì)控制器的操作系統(tǒng)進(jìn)行安全監(jiān)控。隨著汽車(chē)智能網(wǎng)聯(lián)化的發(fā)展，車(chē)載控制器不再僅由MCU組成，Linux、Android、QNX等操作系統(tǒng)頻繁地在各類(lèi)域控制器中出現(xiàn)。SOC在為汽車(chē)帶來(lái)強(qiáng)大功能的同時(shí)，也成為對(duì)汽車(chē)的一條重要攻擊路徑。主機(jī)入侵檢測(cè)系統(tǒng)可以對(duì)操作系統(tǒng)進(jìn)行資源監(jiān)控、文件監(jiān)控、病毒掃描等。

在檢測(cè)識(shí)別到車(chē)內(nèi)的異常攻擊行為后，通過(guò)生成安全日志，并將安全日志上傳到汽車(chē)安全運(yùn)營(yíng)平臺(tái)（VSOC），是一種有效的攻擊行為追溯和監(jiān)控智能網(wǎng)聯(lián)汽車(chē)安全狀態(tài)的手段。

03 汽車(chē)IDS的實(shí)現(xiàn)方法

基于簽名的檢測(cè)：通過(guò)預(yù)定義的攻擊簽名庫(kù)，識(shí)別已知的攻擊模式。這種方法對(duì)已知威脅有效，但對(duì)未知威脅的檢測(cè)能力有限。

基于行為的檢測(cè)：通過(guò)分析正常通信行為的模式，檢測(cè)異常行為。這種方法能夠識(shí)別未知威脅，但可能會(huì)產(chǎn)生誤報(bào)。

基于機(jī)器學(xué)習(xí)的檢測(cè)：利用機(jī)器學(xué)習(xí)算法，自動(dòng)學(xué)習(xí)和識(shí)別正常和異常行為模式，提高檢測(cè)的準(zhǔn)確性和智能化水平。

04 法規(guī)對(duì)汽車(chē)IDS的要求

隨著智能網(wǎng)聯(lián)汽車(chē)的發(fā)展，各個(gè)控制器不再是孤立的嵌入式系統(tǒng)，信息安全問(wèn)題也變得越來(lái)越重要。同時(shí)，國(guó)內(nèi)外已經(jīng)發(fā)布了多項(xiàng)標(biāo)準(zhǔn)和法規(guī)來(lái)規(guī)范汽車(chē)網(wǎng)絡(luò)安全的發(fā)展，其中不少法規(guī)對(duì)車(chē)輛網(wǎng)絡(luò)安全檢測(cè)提出了具體要求。

歐盟頒布的UN/WP.29 R155法規(guī)，其中提到（以下序號(hào)是法規(guī)中對(duì)應(yīng)的編號(hào)）：

7.3.7(a/b/c):車(chē)輛制造商應(yīng)針對(duì)車(chē)型采取措施：

(a) 檢測(cè)并防止針對(duì)該車(chē)型車(chē)輛的網(wǎng)絡(luò)攻擊；

(b) 支持車(chē)輛制造商在檢測(cè)與車(chē)型相關(guān)的威脅、漏洞和網(wǎng)絡(luò)攻擊方面的監(jiān)控能力；

(c) 提供數(shù)據(jù)取證能力，以便能夠分析企圖或成功的網(wǎng)絡(luò)攻擊。

在結(jié)合實(shí)際操作的審核標(biāo)準(zhǔn)中，對(duì)汽車(chē)網(wǎng)絡(luò)安全威脅的檢測(cè)響應(yīng)、持續(xù)監(jiān)控、取證分析也提出了要求：檢查主機(jī)廠(chǎng)OEM的取證數(shù)據(jù)，主要是分析數(shù)據(jù)和其他觸發(fā)的活動(dòng)。

IDS的相關(guān)證據(jù)：

（1）記錄異常報(bào)文信息

（2）可以識(shí)別遭受攻擊的控制器

（3）IDS記錄的日志文件，包含事件，時(shí)間，攻擊類(lèi)型

（4）IDS部署方案

（5）如何將攻擊鏈接到控制器。

05 基于合規(guī)要求的汽車(chē)IDS開(kāi)發(fā)要點(diǎn)

汽車(chē)入侵檢測(cè)系統(tǒng)在現(xiàn)代汽車(chē)網(wǎng)絡(luò)安全中扮演著重要角色。隨著汽車(chē)越來(lái)越依賴(lài)電子控制單元（ECU）和車(chē)載網(wǎng)絡(luò)，確保這些系統(tǒng)的安全性變得至關(guān)重要。

以下是在 R155 VTA 認(rèn)證過(guò)程中，汽車(chē)IDS需要滿(mǎn)足的一些關(guān)鍵網(wǎng)絡(luò)安全要求：

實(shí)時(shí)監(jiān)控和檢測(cè)：IDS必須能夠?qū)崟r(shí)監(jiān)控車(chē)載網(wǎng)絡(luò)流量，及時(shí)檢測(cè)異常行為和潛在的入侵活動(dòng)。

低延遲和高效性能：由于汽車(chē)系統(tǒng)對(duì)響應(yīng)時(shí)間要求很高，IDS需要在低延遲的情況下高效運(yùn)行，確保不影響車(chē)輛的正常操作。

高準(zhǔn)確性和低誤報(bào)率：IDS應(yīng)具備高準(zhǔn)確性，能夠有效區(qū)分正常行為和異常行為，減少誤報(bào)率，避免對(duì)駕駛員造成不必要的干擾。

多層次檢測(cè)：IDS應(yīng)能夠在多個(gè)層次上進(jìn)行檢測(cè)，包括網(wǎng)絡(luò)層、應(yīng)用層和物理層，以提供全面的安全保護(hù)。

自適應(yīng)學(xué)習(xí)和更新：IDS應(yīng)具備自適應(yīng)學(xué)習(xí)能力，能夠根據(jù)新的威脅情報(bào)和攻擊模式進(jìn)行更新和調(diào)整，以應(yīng)對(duì)不斷變化的安全威脅。

數(shù)據(jù)完整性和保密性：IDS需要確保監(jiān)控?cái)?shù)據(jù)的完整性和保密性，防止數(shù)據(jù)被篡改或泄露。

兼容性和可擴(kuò)展性：IDS應(yīng)與現(xiàn)有的車(chē)載網(wǎng)絡(luò)和安全系統(tǒng)兼容，并具備良好的可擴(kuò)展性，以適應(yīng)未來(lái)的技術(shù)發(fā)展和需求。

事件響應(yīng)和報(bào)告：IDS應(yīng)具備事件響應(yīng)能力，能夠在檢測(cè)到入侵時(shí)及時(shí)采取措施，并生成詳細(xì)的報(bào)告供安全分析和審計(jì)使用。

法規(guī)和標(biāo)準(zhǔn)遵從：IDS應(yīng)符合相關(guān)的法規(guī)和行業(yè)標(biāo)準(zhǔn)，如ISO/SAE 21434（道路車(chē)輛網(wǎng)絡(luò)安全工程）和UN R155（車(chē)輛網(wǎng)絡(luò)安全管理系統(tǒng)）。

協(xié)同防御機(jī)制：IDS應(yīng)能夠與其他安全系統(tǒng)（如防火墻、入侵防御系統(tǒng)等）協(xié)同工作，形成綜合防御機(jī)制，提高整體安全性。

通過(guò)滿(mǎn)足這些網(wǎng)絡(luò)安全要求，汽車(chē)入侵檢測(cè)系統(tǒng)可以有效保護(hù)車(chē)載網(wǎng)絡(luò)和電子控制單元免受各種網(wǎng)絡(luò)攻擊，確保車(chē)輛的安全性和可靠性。

隨著汽車(chē)智能化和聯(lián)網(wǎng)化的發(fā)展，汽車(chē)IDS在保障汽車(chē)網(wǎng)絡(luò)安全方面發(fā)揮著越來(lái)越重要的作用。未來(lái)，隨著技術(shù)的進(jìn)步和威脅的演變，IDS系統(tǒng)也將不斷發(fā)展和完善，以應(yīng)對(duì)更加復(fù)雜和多樣化的安全挑戰(zhàn)。

審核編輯 黃宇