智能网联汽车信息安全发展报告（2021）系列十二：纵深防御技术架构-车载内部网络安全防护

一、汽车网关信息安全

汽车网关，也称为车辆连接网关（CVG，Connected vehicle gateway）或者汽车连接网关(CCG，Connected car gateway)，是允许车辆与外界通信的车辆入口点(entry point)。

这个入口点，我们称之为中央集线器，它不仅与外界通信，而且还提供可靠和安全的无线通信。更重要的是，由于现在车辆的功能和特征不断增长，比如，我们可以使用各种网络接口，包括局域互联网络(LIN)、控制器局域网络(CAN)，以及以太网等。车辆的网关必须能够与任何，以及所有这些独特的协议，及其范围跨度很大的不同数据速率进行有效通信。

（一）入侵检测和防御系统

入侵检测和防御系统（IDPS）的目的是被动监视、检测和记录不适当的、不正确的、可疑的或者异常的活动，当这些可能代表入侵的活动被检测到时，IDPS会发出报警和（或）自动响应。入侵检测过程可以监控网络中发生的事件并对它们进行分析，以确定是否存在与设定的安全策略不符、可能引发事故、违规或迫在眉睫的威胁的迹象。入侵防御过程可以执行入侵检测，然后阻止检测到的事故。这些安全措施整合为入侵检测系统 (IDS) 和入侵防御系统 (IPS) 后部署到网络中，可以帮助检测并阻止潜在的事故。专职IT安全人员的职责是主动评审IDPS报警和相关日志以对恰当的响应做出决策。当组织需要迅速检测对组织信息系统的入侵并进行适当响应时，宜考虑部署IDPS。组织可通过获取IDPS软件和（或）硬件产品来部署IDPS，也可通过向IDPS服务提供商外包IDPS能力的方式部署IDPS。

入侵检测通用模型将IDS（入侵检测系统）分为事件产生器（event generators）、事件分析器（event analyzers）、响应单元（response units）、事件数据库（event databases）4个部分，如图所示。其中，IDS需要分析的数据统称为事件；事件发生器从计算环境中收集事件，并将这些事件转换成由CISL（common intrusion specification language）定义的通用格式GIDO（generalized intrusion detection objects）传送给其他组件；事件分析器解析收到的GIDO并生成分析结果；响应单元根据得到的分析结果采用一定的措施，比如报警处理等；事件数据库用于储存GIDO的中间或最终结果。

图1 CIDF

入侵检测技术分为两类：异常入侵检测（anomaly detection）和误用异常检测（misuse detection）。异常入侵检测亦称基于行为或活动的入侵检测，它的假设是入侵者活动异常于正常主体的活动。异常检测首先为对象的正常行为创立行为轮廓，称为“活动简档”，当检测到当前主体的活动状况与“活动简档”相比较违反其统计规律时，即视为入侵。异常检测具有检测系统中未知攻击的能力，但其困难之处在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为，所以误报率较高。异常检测的局限在于并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。误用入侵检测亦称为基于规则的检测，它首先定义异常系统行为，然后将所有其他行为定义为正常。误用入侵检测主要在于如何表示入侵的特征以准确无误地区分入侵行为和正常行为，该方法的亮点是能够明确地标出入侵的类型，可以简单地将已知攻击添加到模型中，且拥有较低的误报率和较高的正确率。不足之处是该方法的漏报率高，因为它只能发现已有的攻击，无法识别未知的攻击；实时更新与维护特征库也比较困难。异常入侵检测和误用入侵检测这两种检测各有其优点和不足之处，因此，在实际使用中往往联合使用这两种方法。

组织能从市场上获取IDPS软件和（或）硬件产品，或通过向IDPS服务提供商外包IDPS功能等方式部署IDPS。任何情况下，组织宜知道IDPS不是一个即插即用设备，其有效部署需要组织对IDPS有所理解。

对每个控制，组织需要根据信息安全风险评估证明IDPS部署的有效性，并将IDPS部署融入信息安全管理过程。另外，需要考虑到，一旦入侵者或攻击者窃听了包含已部署IDPS内的信息并且覆盖它，将使组织遭遇巨大的困难。这些困难包括如何识别并证明保护措施（如IDPS）需求。组织及有关系统或服务安全策略宜声明将要选择的保护措施以便适当的管理入侵风险。

像每个控制一样，组织需要根据信息安全风险评估证明IDPS部署的有效性，并将其融入信息安全管理过程。另外，需要考虑到，万一入侵者和攻击者窃听了包含已部署的IDPS内的信息并且覆盖它，将使组织面临巨大的困难。

若以不安全方式实施IDPS传感器，就像网络上的其他设备一样，它很可能会被攻击。在攻击者了解其存在的情况下，他们更倾向于尝试并利用IDPS任何已知的脆弱性。攻击者可能试图使IDPS失去能力，或者强迫它提供错误信息。另外，许多IDPS存在安全弱点，如发送未加密的日志文件、限制访问控制和缺乏对日志文件的完整性检查。以一种安全的方式实施IDPS传感器和控制平台是必要的，并宜处理IDPS的潜在弱点。

1.异常入侵检测

基于机器学习的异常检测方法。该方法关注构造一个基于先前规则的，可以改进性能的系统。

目前利用神经网络来检测入侵工作的方法有基于系统调用的入侵检测系统——系统调用序列分析，基于概率的不确定性推理网络——贝叶斯网络，以及马尔科夫链模型。但由于训练数据的容量不足以概括所有数据的特点，其检测能力存在过度拟合训练集，而不是测试集。而且神经网络训练消耗资源普遍较多，训练时间普遍较长，如何在保证检测准确率的前提下更加高效而低耗地训练神经网络是目前的一个难点。

基于统计的异常检测方法。该方法依据已发生事件对未来事件进行预测：系统观察主体行为并产生轮廓代表主体行为。通常，每个主体都保持有两个轮廓：当前轮廓和储存轮廓，并定期计算异常评分，通过异常函数比较当前轮廓与储存轮廓，如果异常值高于阈值，则系统发出入侵警报。此方法具有较强的时序模式，但由于并不是所有系统行为都可以使用纯粹的统计方法建模，所以该方法无法检测不规则的入侵行为。

基于数据挖掘的异常入侵检测用数据作为输入，并从中找出肉眼不易看出的模式和偏差。数据挖掘添加关注异常检测的层次，改善入侵检测的过程。通过识别正常网络活动边界，从普通网络流量中识别出攻击行为。基于数据挖掘的异常入侵检测方法分为分类检测，即把审计数据分类为正常或异常；聚类和孤立点检测和关联规则检测。

2.基于签名的误用入侵检测

为了检测基于签名的 IDS 攻击，它必须拥有可以与检测到的攻击表现相匹配的攻击描述。这可以像匹配网络数据包的一部分的特定模式一样简单，也可以像将多个传感器输出映射到抽象攻击表示的状态机或神经网络描述一样复杂。

如果可以找到适当的抽象，基于签名的系统可以识别以前未见过的与已知模式抽象等效的攻击。当签名与侵入式和非侵入式传感器输出相匹配时，它们本质上无法检测到真正的新型攻击并遭受误报。可以通过多种方式开发签名，从手动翻译攻击表现到使用标记的传感器数据进行自动训练或学习。由于给定的签名与已知的攻击抽象相关联，因此基于签名的检测器相对容易为攻击指定名称（例如 Smurf、Ping-of-Death）。

Axelsson 分类法中处理基于签名的系统的范围从非常简单到非常复杂。最简单的系统是进行简单的字符串匹配或遵循简单规则的系统。许多这些系统能够基于单个网络数据包做出决定。对于一大类攻击，特别是那些针对特定漏洞的攻击，例如从网络读取输入的程序中的缓冲区溢出可能性，这就足够了。类似地，可以在单个数据包的基础上检测到涉及数据包病理（例如相同的源地址和目标地址）的攻击。需要执行多个步骤的漏洞利用需要 IDS 考虑多个数据项，无论是一系列网络数据包还是一组审计记录。所有处理方法都将一些已知攻击的表示编码为可以与感测数据进行比较的形式。当感测到的数据与模式匹配时识别出攻击。除了相对较少的例外，基于签名的系统以相当具体的数据表示运行。过于具体的签名会错过已知攻击的微小变化，而过于笼统的签名会产生大量的误报。一些更成功的系统，例如 STAT 系列，对某些类别的攻击使用一个足够抽象的表示，以便能够识别那些在签名创建时未知的“新”攻击。这种行为是一种例外，通常，基于签名的IDS，就像病毒检测器一样，在发现新的攻击时必须更新。大多数商业系统都属于这一类，在选择部署系统时，更新的方便性和频率是一个问题。

二、ECU安全通信

（一）硬件安全模块（HSM）

随着工业系统、汽车及其子系统（如ADAS，自动驾驶，信息娱乐）的持续性增长和发展，对数据完整性和系统身份验证的需求也在不断增长。嵌入式安全性的一个非常重要的方面是硬件安全模块（HSM），是提供安全密钥管理和加密处理的安全区域，将多应用程序功能与实时通信结合在了一起。

对于ECU层级的安全，硬件安全模块（HSM）很关键。如图所示，左边是Tricore及相应的外设，右边就是HSM，中间隔了一层防火墙，可以有效保护HSM。HSM本身有自己的内核，可以做一些加密解密运算，同时内部也有一些模块是做各种安全算法的，比如ECC256，Hash算法等，还有随机数生成TRNG；另外HSM也有自己独有的RAM和Flash，只有HSM的内核才可以访问，Tricore是访问不了的。有了HSM，可以将一些Key存储在HSM的Flash，也可以通过HSM来进行加密或解密，这样安全性会得到相应的保证。