續接上集“淺談汽車網絡安全車輛型式認證（VTA）的現狀和未來發展”，有許多讀者小伙伴有聯系筆者來確認相關的R155 VTA網絡安全審核要求，基于此，筆者將針對 R155 VTA 每一條網絡安全審核細則來具體展開。

今天就先從汽車入侵檢測系統（IDS）展開分享。

01 什么是汽車IDS？

汽車入侵檢測系統（IDS，Intrusion Detection System）是一種專門用于監控和保護汽車內部網絡免受潛在網絡安全威脅的技術。隨著現代汽車越來越多地依賴電子控制單元（ECU）、傳感器和通信模塊等復雜的電子系統，并且越來越多的汽車具備聯網功能，網絡安全問題變得尤為重要。

汽車IDS的主要目的是檢測、識別和響應可能的網絡攻擊或異常行為，以保護車輛及其乘客的安全。以下是汽車IDS的主要功能和特點：

實時監控：IDS系統能夠實時監控汽車內部網絡通信，捕捉和分析數據包，識別異常行為或潛在威脅。

異常檢測：通過建立正常通信行為的基線，IDS可以檢測出偏離正常行為的異常活動，如未授權的訪問、數據包重放攻擊等。

威脅識別：利用模式匹配、機器學習等技術，IDS可以識別已知的攻擊模式和未知的潛在威脅。

報警和響應：一旦檢測到入侵或異常行為，IDS系統會發出警報，并可以采取相應的響應措施，如隔離受感染的ECU、限制網絡通信等。

日志記錄和分析：IDS系統會記錄所有檢測到的事件和活動日志，供后續分析和取證使用。

02 入侵檢測系統的分類

在汽車中，根據檢測對象的不同，入侵檢測系統可以分為兩類：網絡入侵檢測系統和主機入侵檢測系統。

網絡入侵檢測系統：這種系統可以對包括CAN總線、車載以太網、WIFI、藍牙數據等車載網絡進行檢測。目前已有許多基于規則和基于AI的方法進行研究。例如，某研究設計了一種規則和AI混合的多層SOME/IP入侵檢測方法，基于規則的模塊用于檢測SOME/IP報頭、SOME/IP-SD消息、消息間隔和通信過程，利用AI檢測SOME/IP的有效負載。考慮到實際部署成本，在車載控制器中往往部署基于規則的入侵檢測系統。

主機入侵檢測系統：這種系統對控制器的操作系統進行安全監控。隨著汽車智能網聯化的發展，車載控制器不再僅由MCU組成，Linux、Android、QNX等操作系統頻繁地在各類域控制器中出現。SOC在為汽車帶來強大功能的同時，也成為對汽車的一條重要攻擊路徑。主機入侵檢測系統可以對操作系統進行資源監控、文件監控、病毒掃描等。

在檢測識別到車內的異常攻擊行為后，通過生成安全日志，并將安全日志上傳到汽車安全運營平臺（VSOC），是一種有效的攻擊行為追溯和監控智能網聯汽車安全狀態的手段。

03 汽車IDS的實現方法

基于簽名的檢測：通過預定義的攻擊簽名庫，識別已知的攻擊模式。這種方法對已知威脅有效，但對未知威脅的檢測能力有限。

基于行為的檢測：通過分析正常通信行為的模式，檢測異常行為。這種方法能夠識別未知威脅，但可能會產生誤報。

基于機器學習的檢測：利用機器學習算法，自動學習和識別正常和異常行為模式，提高檢測的準確性和智能化水平。

04 法規對汽車IDS的要求

隨著智能網聯汽車的發展，各個控制器不再是孤立的嵌入式系統，信息安全問題也變得越來越重要。同時，國內外已經發布了多項標準和法規來規范汽車網絡安全的發展，其中不少法規對車輛網絡安全檢測提出了具體要求。

歐盟頒布的UN/WP.29 R155法規，其中提到（以下序號是法規中對應的編號）：

7.3.7(a/b/c):車輛制造商應針對車型采取措施：

(a) 檢測并防止針對該車型車輛的網絡攻擊；

(b) 支持車輛制造商在檢測與車型相關的威脅、漏洞和網絡攻擊方面的監控能力；

(c) 提供數據取證能力，以便能夠分析企圖或成功的網絡攻擊。

在結合實際操作的審核標準中，對汽車網絡安全威脅的檢測響應、持續監控、取證分析也提出了要求：檢查主機廠OEM的取證數據，主要是分析數據和其他觸發的活動。

IDS的相關證據：

（1）記錄異常報文信息

（2）可以識別遭受攻擊的控制器

（3）IDS記錄的日志文件，包含事件，時間，攻擊類型

（4）IDS部署方案

（5）如何將攻擊鏈接到控制器。

05 基于合規要求的汽車IDS開發要點

汽車入侵檢測系統在現代汽車網絡安全中扮演著重要角色。隨著汽車越來越依賴電子控制單元（ECU）和車載網絡，確保這些系統的安全性變得至關重要。

以下是在 R155 VTA 認證過程中，汽車IDS需要滿足的一些關鍵網絡安全要求：

實時監控和檢測：IDS必須能夠實時監控車載網絡流量，及時檢測異常行為和潛在的入侵活動。

低延遲和高效性能：由于汽車系統對響應時間要求很高，IDS需要在低延遲的情況下高效運行，確保不影響車輛的正常操作。

高準確性和低誤報率：IDS應具備高準確性，能夠有效區分正常行為和異常行為，減少誤報率，避免對駕駛員造成不必要的干擾。

多層次檢測：IDS應能夠在多個層次上進行檢測，包括網絡層、應用層和物理層，以提供全面的安全保護。

自適應學習和更新：IDS應具備自適應學習能力，能夠根據新的威脅情報和攻擊模式進行更新和調整，以應對不斷變化的安全威脅。

數據完整性和保密性：IDS需要確保監控數據的完整性和保密性，防止數據被篡改或泄露。

兼容性和可擴展性：IDS應與現有的車載網絡和安全系統兼容，并具備良好的可擴展性，以適應未來的技術發展和需求。

事件響應和報告：IDS應具備事件響應能力，能夠在檢測到入侵時及時采取措施，并生成詳細的報告供安全分析和審計使用。

法規和標準遵從：IDS應符合相關的法規和行業標準，如ISO/SAE 21434（道路車輛網絡安全工程）和UN R155（車輛網絡安全管理系統）。

協同防御機制：IDS應能夠與其他安全系統（如防火墻、入侵防御系統等）協同工作，形成綜合防御機制，提高整體安全性。

通過滿足這些網絡安全要求，汽車入侵檢測系統可以有效保護車載網絡和電子控制單元免受各種網絡攻擊，確保車輛的安全性和可靠性。

隨著汽車智能化和聯網化的發展，汽車IDS在保障汽車網絡安全方面發揮著越來越重要的作用。未來，隨著技術的進步和威脅的演變，IDS系統也將不斷發展和完善，以應對更加復雜和多樣化的安全挑戰。

審核編輯 黃宇