有效解決車(chē)載網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的車(chē)載網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

現(xiàn)代汽車(chē)是由傳感器、電子控制單元 （Electronic Control Unit， ECU） 和執(zhí)行器組成的復(fù)雜系 統(tǒng)，通過(guò)不同類(lèi)型的車(chē)內(nèi)網(wǎng)絡(luò)連接來(lái)控制和監(jiān)測(cè)車(chē) 輛的狀態(tài)。隨著智能化、網(wǎng)聯(lián)化的發(fā)展，汽車(chē)搭載 了更多的 ECU 和外部通信接口，為用戶(hù)提供智能 網(wǎng)聯(lián)服務(wù)和網(wǎng)絡(luò)安全 。然而，隨著汽車(chē)的復(fù)雜性和互聯(lián)性的不斷提高，且現(xiàn)有車(chē)載網(wǎng)絡(luò)設(shè)計(jì)缺乏 網(wǎng)絡(luò)安全考慮，汽車(chē)的安全風(fēng)險(xiǎn)也日益突出。

網(wǎng)絡(luò)安全問(wèn)題正在成為車(chē)載網(wǎng)絡(luò)系統(tǒng)的主要關(guān)注點(diǎn)。數(shù) 以 百 萬(wàn) 計(jì) 的 汽 車(chē) 面 臨 各 種 安 全 風(fēng) 險(xiǎn)，如 2015 年 MILLER 等 使用 Wi-Fi 開(kāi)放 端口侵入 Jeep Cherokee 的車(chē)載網(wǎng)絡(luò)系統(tǒng)，并通過(guò)重新編程 ECU 的固件成功控制了該車(chē)的核心功能 （如禁用制動(dòng)和停止發(fā)動(dòng)機(jī)），導(dǎo)致140萬(wàn)輛汽車(chē)被 召回。相關(guān)汽車(chē)攻擊案例引發(fā)了對(duì)汽車(chē)網(wǎng)絡(luò)安全的廣泛研究。

目前，行業(yè)內(nèi)各整車(chē)制造公司未普遍采用有效的安全技術(shù)手段來(lái)應(yīng)對(duì)汽車(chē)安全風(fēng)險(xiǎn)。該現(xiàn)狀對(duì)于 黑客入侵行為無(wú)法進(jìn)行有效的防護(hù)，從而導(dǎo)致車(chē)輛隱私數(shù)據(jù)或敏感數(shù)據(jù)的丟失，同時(shí)也會(huì)導(dǎo)致車(chē)輛行 駛功能受到遠(yuǎn)程控制或破壞，對(duì)行車(chē)安全造成重大 影響。入侵檢測(cè)技術(shù)是應(yīng)對(duì)這一情況的有效解決方 案，該技術(shù)可以識(shí)別非法入侵行為，對(duì)車(chē)主或整車(chē) 制造廠(chǎng)進(jìn)行快速預(yù)警，車(chē)主或整車(chē)制造廠(chǎng)根據(jù)預(yù)警 信息進(jìn)行應(yīng)急響應(yīng)，將安全風(fēng)險(xiǎn)降到最低。

對(duì)車(chē)載網(wǎng)絡(luò)的保護(hù)通常分為以下 3 類(lèi)：（1） 將 消息幀進(jìn)行加密確保其機(jī)密性和完整性 ；（2） 使 用防火墻對(duì)潛在的危險(xiǎn)接口進(jìn)行監(jiān)控 ；（3） 搭建 車(chē)載網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）。

在上述分類(lèi)中，不同的方法具有不同的優(yōu)缺 點(diǎn)。加密和認(rèn)證的方式雖能有效保護(hù)車(chē)載網(wǎng)絡(luò)的信 息傳輸，但現(xiàn)有車(chē)載網(wǎng)絡(luò)由于其自身在計(jì)算能力、 帶寬等方面的局限性 ，導(dǎo)致這些方法無(wú)法被部 署。例如，在計(jì)算機(jī)領(lǐng)域，對(duì)于通信連接普遍采用 3 次握手協(xié)議，握手成功后才進(jìn)行有效信息傳遞。如果 CAN 總線(xiàn)引入該機(jī)制，對(duì)動(dòng)力系統(tǒng)等發(fā)送實(shí) 時(shí)性高的報(bào)文 （10 ms） 會(huì)造成重大延誤，在車(chē)輛激烈駕駛過(guò)程中勢(shì)必會(huì)引發(fā)功能安全問(wèn)題，因此 CAN總線(xiàn)不適合引入重安全機(jī)制。此外，車(chē)載網(wǎng)絡(luò) 的攻擊入口分布在車(chē)機(jī)、網(wǎng)關(guān)、車(chē)身控制器等多個(gè) 控制器上，且各控制器編譯環(huán)境不同，有的控制器 還采用了汽車(chē)專(zhuān)用操作系統(tǒng)，所以無(wú)法通過(guò)部署一 套計(jì)算機(jī)領(lǐng)域常用的防火墻來(lái)完全隔離威脅和各種攻擊源。

IDS 可部署在車(chē)載網(wǎng)絡(luò)流量集中的控制器上， 通過(guò)對(duì)車(chē)載網(wǎng)絡(luò)報(bào)文的實(shí)時(shí)檢測(cè)，能夠有效識(shí)別異 常報(bào)文和冗余報(bào)文，對(duì)車(chē)主和整車(chē)廠(chǎng)進(jìn)行實(shí)時(shí)預(yù) 警，車(chē)主和整車(chē)廠(chǎng)根據(jù)預(yù)警信息的程度，采取相應(yīng) 的應(yīng)急解決措施，同時(shí)整車(chē)廠(chǎng)可根據(jù)預(yù)警信息，對(duì) 未被入侵的車(chē)輛采取有效的補(bǔ)救方案，因此，IDS 技術(shù)的應(yīng)用能夠有效解決車(chē)載網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。

1 車(chē)載網(wǎng)絡(luò)架構(gòu)概述

現(xiàn)代車(chē)輛的典型架構(gòu)集成了一組網(wǎng)絡(luò)組件，包 括傳感器、執(zhí)行器、ECU 和通信設(shè)備 。車(chē)內(nèi)網(wǎng) 絡(luò)有助于傳感器、ECU 和執(zhí)行器之間的數(shù)據(jù)共享， 從而實(shí)現(xiàn)車(chē)輛的運(yùn)行。在現(xiàn)代車(chē)載通信系統(tǒng)中廣泛 使 用 的 車(chē) 載 網(wǎng) 絡(luò) 包 括 本 地 互 連 網(wǎng) 絡(luò) （Local Interconnect Network，LIN）、CAN、FlexRay、以太 網(wǎng)和面向媒體的系統(tǒng)傳輸 （Media Oriented System Transport，MOST）。表 1 對(duì)上述車(chē)載網(wǎng)絡(luò)的特點(diǎn)進(jìn) 行了概括與比較。

LIN 提供的低通信速度適用于時(shí)間性能要求不 高的應(yīng)用，如電池監(jiān)控、車(chē)窗升降器控制等。如果 要適用于對(duì)性能和帶寬具有較高要求的應(yīng)用，則需 要增加系統(tǒng)成本，F(xiàn)lexRay、MOST 和以太網(wǎng)就是屬于此種類(lèi)型。例如，F(xiàn)lexRay 可用于轉(zhuǎn)向角傳感 器、安全雷達(dá)等，以太網(wǎng)和 MOST 可用于信息娛 樂(lè)系統(tǒng)。在所有車(chē)載網(wǎng)絡(luò)類(lèi)型中，CAN 由于其 較低成本、較全工具鏈、一定的抗噪與容錯(cuò)性成為使用最廣泛的車(chē)載網(wǎng)，尤其用于汽車(chē)動(dòng)力系統(tǒng)、車(chē)身控制系統(tǒng)等［ 。然而，由于 CAN 的安全性不 足而易受到安全威脅，本文所提到的大部分入侵檢 測(cè)技術(shù)都是基于CAN的。

CAN 總線(xiàn)的傳輸速率可以達(dá)到 125 Kbit/s 及以 上，其總線(xiàn)拓?fù)浣Y(jié)構(gòu)在傳輸電纜末端帶有兩個(gè)120 Ω 的終端電阻。CAN總線(xiàn)上的節(jié)點(diǎn)在接收到消息時(shí)會(huì) 與發(fā)送節(jié)點(diǎn)同步時(shí)間，因此不需要同步以規(guī)范通 信?？偩€(xiàn)在空閑狀態(tài)下，其上的每個(gè)節(jié)點(diǎn)都可以訪(fǎng) 問(wèn)總線(xiàn)，并以廣播的形式發(fā)送所要傳輸?shù)男畔?。對(duì)于接收消息的節(jié)點(diǎn)，其通過(guò)消息過(guò)濾器根據(jù)消息 ID決定接收哪個(gè)消息。多個(gè)節(jié)點(diǎn)同時(shí)傳輸消息的情 況下，需要通過(guò)載波偵聽(tīng)多路訪(fǎng)問(wèn)與沖突避免，以 及消息優(yōu)先級(jí)仲裁競(jìng)爭(zhēng)對(duì)總線(xiàn)的訪(fǎng)問(wèn)，ID越小的消 息具備的優(yōu)先級(jí)越高。CAN消息幀格式示意如圖1所示。

如圖 1 所示，一個(gè) CAN 幀由以下 7 個(gè)字段 組成：

（1） 起始位：通知所有節(jié)點(diǎn)開(kāi)始傳輸?shù)膯蝹€(gè)顯 性位。

（2） 仲裁域：由2個(gè)主要部分組成；表示消息/ 幀的 ID 并在仲裁過(guò)程中使用的標(biāo)識(shí)符字段，以及 根據(jù) CAN 幀的種類(lèi)確定的遠(yuǎn)程傳輸請(qǐng)求 （Remote Transmission Request，RTR）。

（3） 控制域：有 2 個(gè)保留位和 4 個(gè)數(shù)據(jù)長(zhǎng)度 代碼。

（4） 數(shù)據(jù)域：保存?zhèn)鬏數(shù)狡渌?jié)點(diǎn)的實(shí)際 數(shù)據(jù)。

（5） 循環(huán)冗余校驗(yàn) （Cyclic Redundancy Check， CRC）：保證消息的有效性。收到消息的所有其他 節(jié)點(diǎn)都使用此代碼驗(yàn)證消息。

（6） 確認(rèn)字符（Acknowledge Character，ACK）：分為 ACK 部分和分隔符部分。接收到有效消息的節(jié)點(diǎn)用顯性位 （即邏輯 0） 替換作為隱性位 （即邏 輯 1） 的 ACK 部分。

（7） 終止位：7 個(gè)隱性位組成的標(biāo)志，指示幀 的結(jié)束。

2 車(chē)載網(wǎng)絡(luò)攻擊

智能網(wǎng)聯(lián)汽車(chē)容易受到多種不同程度的網(wǎng)絡(luò)攻 擊，從數(shù)據(jù)竊聽(tīng)到出行安全，甚至癱瘓整個(gè)交通系統(tǒng) 。一般來(lái)說(shuō)，網(wǎng)絡(luò)攻擊可以分為兩類(lèi)：被動(dòng) 攻擊和主動(dòng)攻擊。被動(dòng)網(wǎng)絡(luò)攻擊 （如竊聽(tīng)） 主要違 反目標(biāo)系統(tǒng)安全的保密要求并導(dǎo)致隱私泄露 （如對(duì) 位置信息、對(duì)話(huà)數(shù)據(jù)和攝像頭記錄等隱私數(shù)據(jù)的訪(fǎng) 問(wèn)）。主動(dòng)網(wǎng)絡(luò)攻擊可以通過(guò)插入、刪除或修 改消息來(lái)阻礙系統(tǒng)的功能 。通過(guò)對(duì)現(xiàn)有工作的 回顧，車(chē)載網(wǎng)絡(luò)的常見(jiàn)網(wǎng)絡(luò)攻擊闡述如下。

2.1 拒絕服務(wù)攻擊

拒絕服務(wù) （Deny of Service，DoS） 攻擊旨在 干擾系統(tǒng)的預(yù)期功能。比較常見(jiàn)的 DoS 中，攻 擊者可能會(huì)發(fā)送許多合法請(qǐng)求，超出服務(wù)系統(tǒng)的處 理能力，致使系統(tǒng)資源耗盡而無(wú)法響應(yīng)其他合理請(qǐng) 求。在車(chē)聯(lián)網(wǎng)環(huán)境中，攻擊者可以向路邊單元 （Road Side Unit，RSU） 發(fā)送許多請(qǐng)求消息使 RSU 過(guò)載，這種情況下車(chē)輛無(wú)法獲得該RSU所共享的重 要消息，從而導(dǎo)致嚴(yán)重后果。CAN網(wǎng)絡(luò)中的攻擊者 可以利用消息仲裁機(jī)制，不斷發(fā)送具有高優(yōu)先級(jí)的 消息從而阻斷其他ECU節(jié)點(diǎn)的消息傳輸。

2.2 消息注入和重放攻擊

消息注入 （MI） 攻擊的主要原理是在網(wǎng)絡(luò)中注 入偽造的消息，重放攻擊是將之前的消息重新注入 到網(wǎng)絡(luò)中。在 CAN 網(wǎng)絡(luò)中，攻擊者可以控制某個(gè) ECU，并通過(guò)它將偽造的消息發(fā)送到 CAN總線(xiàn)上；而重放攻擊中則需要首先對(duì)之前的消息進(jìn)行存儲(chǔ)， 然后再在某個(gè)時(shí)間點(diǎn)將原來(lái)的消息發(fā)送到 CAN 總 線(xiàn)。例如，攻擊者可以存儲(chǔ)車(chē)速表讀數(shù)并稍后將其 再次廣播到網(wǎng)絡(luò)。

2.3 消息操縱

這種攻擊通過(guò)更改/修改或刪除消息來(lái)影響數(shù)據(jù)的完整性。例如，攻擊者可以修改消息的內(nèi)容。攻擊者可能會(huì)修改消息的內(nèi)容而不影響其發(fā)送與接 收時(shí)間。字段修改和刪除攻擊是消息操縱攻擊的典 型類(lèi)型。在刪除攻擊中，攻擊者先刪除受感染的 ECU 并輸出緩沖區(qū)中的消息，然后再將它們傳輸 到 CAN 總線(xiàn)上。

2.4 偽裝攻擊

要發(fā)起偽裝攻擊，攻擊者需要滲透兩個(gè) ECU （A 和 B）。攻擊者首先監(jiān)視CAN總線(xiàn)以了解A以什 么頻率發(fā)送了哪些消息，然后停止A的傳輸并利用 B 代表 A 制造和注入消息。

2.5 惡意軟件攻擊

惡意軟件可能以病毒、蠕蟲(chóng)、間諜軟件等多種形式存在，攻擊者可以將它們利用通信接口的漏洞 注入系統(tǒng)。例如，將惡意軟件加入到多媒體文件 中，并利用其多媒體系統(tǒng)固件輸入漏洞實(shí)現(xiàn)惡意軟 件的運(yùn)行，從而將惡意消息發(fā)送到CAN總線(xiàn)上 ， 以實(shí)現(xiàn)消息注入攻擊、重放攻擊、DoS等特定類(lèi)型的攻擊。

3 車(chē)載CAN網(wǎng)絡(luò)IDS類(lèi)型

近年來(lái)，汽車(chē)惡意攻擊的數(shù)量有所增加。因此，車(chē)載網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到關(guān)注 。入侵 檢測(cè)技術(shù)作為一種網(wǎng)絡(luò)安全增強(qiáng)方法，成本低，部署方便。

入侵檢測(cè)依賴(lài)于觀測(cè)的數(shù)據(jù)，在車(chē)載網(wǎng)絡(luò)中主 要是各節(jié)點(diǎn) （如 ECU） 之間交換的數(shù)據(jù)。例如，1 條 CAN 消息，其具有固定的格式，包括消息 ID、 數(shù)據(jù)內(nèi)容、校驗(yàn)碼等，表示某個(gè)事件或過(guò)程。消息的時(shí)間戳或者數(shù)據(jù)范圍都可以作為特征成為區(qū)分消 息是否正常的依據(jù)，從而實(shí)現(xiàn)入侵檢測(cè)。

一般而言，可以將數(shù)據(jù)集的特征分為兩種類(lèi) 型：物理特征和網(wǎng)絡(luò)特征。物理特征是指描述系統(tǒng) 物理狀態(tài)的特征（如速度、發(fā)動(dòng)機(jī)轉(zhuǎn)速），而網(wǎng)絡(luò) 特征是指描述系統(tǒng)通信和數(shù)據(jù)方面的特征（如消息 數(shù)量、數(shù)據(jù)序列）。為了強(qiáng)化學(xué)習(xí)算法的辨別能力， 需要剔除不相關(guān)的特征，所以精確地選擇合理的特征不僅能夠降低計(jì)算成本，對(duì)提高學(xué)習(xí)算法的泛化能力也具有重要意義。

通常將傳統(tǒng)的 IDS 分為兩類(lèi)：基于簽名的 IDS 和基于異常的IDS 。基于簽名的 IDS 需要對(duì)已有 攻擊模式進(jìn)行匹配 ，如黑名單就是一種常見(jiàn)的 基于簽名的 IDS。當(dāng)觀察到匹配的攻擊模式時(shí)則報(bào) 告入侵。由于基于簽名的 IDS只對(duì)已知的攻擊進(jìn)行報(bào)告，所以具有較低的誤報(bào)率，但檢測(cè)新攻擊 （如 0-day攻擊） 的能力有限。為了能夠抵御新型攻擊， 簽名數(shù)據(jù)庫(kù)需要保持最新。此外，存儲(chǔ)大型簽名數(shù) 據(jù)庫(kù)并對(duì)其執(zhí)行模式匹配，對(duì)CPU、內(nèi)存等資源的 要求都比較高。

基于異常的 IDS 對(duì)正常的系統(tǒng)行為進(jìn)行建模， 并將與正常系統(tǒng)行為有顯著偏差的行為視為入 侵 。該方法不必每次存儲(chǔ)最新的攻擊模式，且 能夠識(shí)別新型攻擊，但是如果對(duì)正常系統(tǒng)的行為建 模不精確容易產(chǎn)生誤報(bào)。此外，正常系統(tǒng)行為的建 模依賴(lài)于不受攻擊的數(shù)據(jù)，而這些“純凈”數(shù)據(jù)在 現(xiàn)實(shí)世界中并不一定能夠獲得。與基于簽名的 IDS 相比，基于異常的 IDS由于不需要存儲(chǔ)簽名，所以 需要更少的內(nèi)存即可滿(mǎn)足要求。

近年來(lái)，針對(duì)車(chē)載網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)進(jìn)行了大量研究 。從車(chē)載網(wǎng)絡(luò) IDS 設(shè)計(jì)的角度來(lái)看， 其可以分為基于流量的 IDS、基于負(fù)載的 IDS 和混 合 IDS?；诹髁康?IDS 監(jiān)控車(chē)輛的內(nèi)部網(wǎng)絡(luò)，并 從中提取不同的特征 （如消息頻率和間隔） 。然 后使用提取的特征來(lái)識(shí)別入侵或異常行為，而無(wú)需 檢查消息的有效負(fù)載；基于負(fù)載的 IDS 檢查消息的 負(fù)載以識(shí)別入侵；混合 IDS 是前兩個(gè)類(lèi)別的組合。針對(duì)上述分類(lèi)，典型的車(chē)載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)闡述如下。

3.1 基于流量的IDS技術(shù)

HOPPE等通過(guò)分析車(chē)載網(wǎng)絡(luò)的實(shí)際攻擊案 例，提出了基于異常的 IDS跟蹤特定目標(biāo)消息類(lèi)型的所有CAN消息，并評(píng)估當(dāng)前的消息頻率和之前的是否一致。此外，建議在檢測(cè)到攻擊時(shí)，在考慮 周?chē)h(huán)境條件的同時(shí)，所提出的系統(tǒng)能夠自適應(yīng)地通過(guò)車(chē)輛的多媒體設(shè)備向駕駛員報(bào)告安全事件。

LING Congli 和 FENG Dongqin 基于CAN 總線(xiàn)上傳輸?shù)南D與其可中斷的發(fā)生頻率提出了一 種 CAN 入侵檢測(cè)算法 。對(duì)于給定消息類(lèi)型（即 ID），該算法會(huì)計(jì)算其連續(xù)消息的數(shù)量。如果可中 斷序列中的消息計(jì)數(shù)大于預(yù)定閾值，則算法會(huì)發(fā)出 可能攻擊的警報(bào)。該算法在檢測(cè)操縱消息內(nèi)容的同 時(shí)保持其頻率的攻擊方面能力有限。

SONG等提出了一種基于 CAN 消息時(shí)間間 隔統(tǒng)計(jì)分析的輕量級(jí) IDS，主要原理是根據(jù)消息頻 率分析異常流量，從而用于檢測(cè)注入攻擊。在正常 運(yùn)行條件下，ECU 生成的消息有自己的固定頻率 或間隔。當(dāng)車(chē)輛受到消息注入攻擊時(shí)，這些頻率或 間隔會(huì)意外更改。試驗(yàn)表明，受到注入攻擊的消息 頻率比正常情況高出20～100倍。

CHO 和 SHIN構(gòu)建了一個(gè)基于時(shí)鐘的入侵檢測(cè)系統(tǒng) （Clock-based Intrusion Detection System， CIDS），其可以檢測(cè)包括偽裝攻擊在內(nèi)的各種類(lèi)型 的攻擊 。由于 CAN 協(xié)議沒(méi)有在 CAN 消息中提 供發(fā)送器的身份，所以利用消息周期性來(lái)提取和估 計(jì)發(fā)射器的時(shí)鐘偏差，從而用于對(duì)發(fā)射 ECU 進(jìn)行 指紋識(shí)別。累計(jì)時(shí)鐘偏移是通過(guò)將平均時(shí)鐘偏移的 絕對(duì)值相加得到的，根據(jù)定義，其斜率表示時(shí)鐘偏 移且是恒定的。這使所提出的 CIDS 能夠根據(jù)到達(dá) 時(shí)間戳估計(jì)時(shí)鐘偏差，從而對(duì)消息發(fā)送器進(jìn)行指紋 識(shí)別以便進(jìn)行入侵檢測(cè)。

AVATEFIPOUR 提出了一種基于機(jī)器學(xué)習(xí)的 模型，該模型通過(guò)學(xué)習(xí)接收到的數(shù)據(jù)包的物理信號(hào) 屬性，將 CAN 數(shù)據(jù)包與其發(fā)送源進(jìn)行“綁定”。所 提取的物理信號(hào)特征向量由 11 個(gè)時(shí)域和頻域統(tǒng)計(jì) 信號(hào)屬性組成，包括高階矩、頻譜合度、最小值、 最大值和不規(guī)則性等屬性，然后用于基于神經(jīng)網(wǎng)絡(luò) 的分類(lèi)器。試驗(yàn)結(jié)果表明，該模型對(duì)通道和 ECU 分類(lèi)的正確檢測(cè)率分別為95.2%和98.3%?；陟氐?a href="http://wenjunhu.com/v/tag/5122/" target="_blank">信息論方法也可以用來(lái)檢測(cè)車(chē)載網(wǎng)絡(luò) 的消息注入、DoS等攻擊。相比于傳統(tǒng)的計(jì)算 機(jī)網(wǎng)絡(luò)，車(chē)載網(wǎng)絡(luò)中的流量更受限制，因?yàn)槊織l消 息及其內(nèi)容都是在傳輸之前指定的。這意味著正常網(wǎng)絡(luò)操作中數(shù)據(jù)的熵 （即不確定性） 幾乎是固定的 并且相對(duì)較低。因此，通過(guò)觀察熵值可以很容易地 檢測(cè)到改變數(shù)據(jù)熵的入侵。例如，MI 攻擊會(huì)降低 熵值，因?yàn)樘囟ㄏ⒌臄?shù)量會(huì)增加。因此，IDS可 以通過(guò)檢測(cè)熵的變化來(lái)判斷是否存在攻擊的指標(biāo)。

由上文可知，基于流量型的 IDS技術(shù)可有效識(shí) 別特定數(shù)據(jù)包和頻率的異常情況，對(duì)于傳統(tǒng) CAN 總線(xiàn)網(wǎng)絡(luò)適用性更強(qiáng)，同時(shí)實(shí)時(shí)性好。但是對(duì)于面 向服務(wù)的車(chē)載網(wǎng)絡(luò)，由于服務(wù)信號(hào)可以根據(jù)服務(wù)需 求進(jìn)行變更，那么基于流量型的 IDS技術(shù)則很難對(duì) 新增的服務(wù)信號(hào)做出響應(yīng)，也無(wú)法發(fā)現(xiàn)新增服務(wù)信 號(hào)的篡改等風(fēng)險(xiǎn)，所以該技術(shù)有其局限性。

3.2 基于負(fù)載的IDS技術(shù)

BEZEMSKIJ等通過(guò)監(jiān)控車(chē)輛的不同車(chē)載資 源 （如傳感器、網(wǎng)絡(luò)和處理） 的實(shí)時(shí)網(wǎng)絡(luò)和物理特 征實(shí)現(xiàn)入侵檢測(cè)，分為學(xué)習(xí)階段和檢測(cè)階段。在學(xué) 習(xí)階段，將車(chē)輛學(xué)習(xí)特征的正常值范圍作為正常行 為配置文件。在檢測(cè)階段，如果某個(gè)特征的觀察值 超出其正常范圍，則檢測(cè)機(jī)制會(huì)報(bào)告攻擊。所提出 的機(jī)制能夠檢測(cè)信息注入攻擊和偽裝攻擊。

MARKOVITZ等 通過(guò)一個(gè)分類(lèi)器將 CAN 消息拆分為字段并識(shí)別字段類(lèi)型及其邊界，而無(wú)需 事先了解消息格式。由此可知存在 3 類(lèi)場(chǎng)：常數(shù) 場(chǎng)、多值場(chǎng)和計(jì)數(shù)器或傳感器場(chǎng)。然后，檢測(cè)系統(tǒng) 根據(jù)從分類(lèi)器獲得的 ECU 消息的特征 （即字段類(lèi) 型和邊界） 為每個(gè) ECU 構(gòu)建模型。該模型基于三 元 內(nèi) 容 可 尋 址 存 儲(chǔ) 器 （Ternary Content Address Memory，TCAM） 對(duì) ECU 發(fā)送的消息進(jìn)行匹配， 任何與 TCAM 不匹配的消息都被標(biāo)記為異常。

STABILI等 基于不同 ID 類(lèi)別的連續(xù)有效載 荷之間的漢明距離提出了一種入侵檢測(cè)算法。在學(xué) 習(xí)階段，為提出的算法建立了一個(gè)正常范圍的有效 漢明距離。然后，它分析通過(guò) CAN 總線(xiàn)傳輸?shù)乃?有消息的有效載荷序列，并將相同 ID 的連續(xù)有效 載荷之間的漢明距離與有效漢明距離的正常范圍進(jìn) 行比較。試驗(yàn)結(jié)果表明，所提出的算法在檢測(cè)消息 注入攻擊時(shí)效果較好。

KANG等 提出了一種基于深度神經(jīng)網(wǎng)絡(luò) （Deep Neural Networks，DNN） 的 IDS。檢測(cè)模型 是基于從 ECU 之間交換的車(chē)載網(wǎng)絡(luò)數(shù)據(jù)包的比特 流中提取的高維特征進(jìn)行訓(xùn)練。一旦特征被訓(xùn)練并 存儲(chǔ)在分析模塊中，所提出的系統(tǒng)就會(huì)檢查車(chē)輛網(wǎng) 絡(luò)中交換的數(shù)據(jù)包，以確定系統(tǒng)是否受到攻擊。由 于神經(jīng)網(wǎng)絡(luò)的前向計(jì)算模式簡(jiǎn)單且固定，所以所提 出的系統(tǒng)在檢測(cè)異常時(shí)具有較低的延遲。

由上文可知，基于負(fù)載的 IDS技術(shù)普遍引入機(jī) 器學(xué)習(xí)機(jī)制來(lái)完成正常樣本的識(shí)別，該技術(shù)的普適 性較強(qiáng)，無(wú)需對(duì)適配車(chē)型進(jìn)行定制化開(kāi)發(fā)。但是其 存在機(jī)器學(xué)習(xí)的普遍問(wèn)題，即正常樣本和異常樣本 采集問(wèn)題，特別是異常樣本數(shù)量巨大，學(xué)習(xí)難度較 高。因此，該技術(shù)如何獲取大量樣本來(lái)進(jìn)行學(xué)習(xí)是 應(yīng)用該技術(shù)的門(mén)檻。

3.3 混合類(lèi)型的IDS技術(shù)

JIN Shiyi等分別根據(jù)流量選擇消息 ID、時(shí)間間隔作為特征，根據(jù)負(fù)載選擇數(shù)據(jù)范圍以及相關(guān) 性作為特征，從而提出了一種混合類(lèi)型的 IDS。該 IDS 作為一種輕量級(jí) IDS 可以直接應(yīng)用到 ECU 上， 避免了車(chē)載網(wǎng)絡(luò)拓?fù)涞母拈_(kāi)銷(xiāo)，因此在汽車(chē)架構(gòu) 沒(méi)有發(fā)生大規(guī)模改變的階段存在一定的應(yīng)用前景。

MüTER等引入了一組檢測(cè)傳感器：形式傳 感器、位置傳感器、距離傳感器、頻率傳感器、相 關(guān)傳感器、協(xié)議傳感器、似真性傳感器和一致性傳 感器。這些檢測(cè)傳感器基于明確且可靠的信息，所 以在檢測(cè)異常時(shí)不會(huì)產(chǎn)生誤報(bào)。盡管這些傳感器可 用于檢測(cè)攻擊而不會(huì)誤報(bào)，但并非所有攻擊都可以 被這些傳感器檢測(cè)到。例如，如果攻擊者能夠注入 完全符合網(wǎng)絡(luò)正常行為且與先前值合理的消息。此 外，當(dāng)檢測(cè)到異常時(shí)很難確定其是由攻擊、錯(cuò)誤還 是故障引起的。

BERLIN 等引入了一個(gè)安全信息和事件管 理系統(tǒng)（Security Information and Event Management， SIEM），其使用是基于規(guī)則、機(jī)器學(xué)習(xí)、深度學(xué) 習(xí)、基于實(shí)時(shí)、安全和大數(shù)據(jù)的算法，通過(guò)車(chē)輛的 數(shù)據(jù)和其他來(lái)源的附加信息 （如來(lái)自第三方和服務(wù)的數(shù)據(jù)） 來(lái)識(shí)別攻擊。

ZHANG Linxi 等提出了一種基于規(guī)則和深 度學(xué)習(xí)的兩階段 IDS 來(lái)實(shí)時(shí)檢測(cè)攻擊。在第1階段，輕量級(jí)基于規(guī)則的 IDS可以快速檢測(cè)違反主要 CAN 流量的周期性和規(guī)律性的攻擊，而基于 DNN 的 IDS會(huì)從基于規(guī)則的系統(tǒng)中捕獲錯(cuò)過(guò)的攻擊，試 驗(yàn)表明該系統(tǒng)可以檢測(cè) 5種類(lèi)型的攻擊，包括消息 注入、偽裝、重放、刪除或丟棄攻擊，在增加檢測(cè) 準(zhǔn)確性的同時(shí)降低了檢測(cè)時(shí)延。

彭海德提出了一種基于ID熵和支持向量機(jī)-數(shù)據(jù)關(guān)聯(lián)性的IDS檢測(cè)技術(shù)，針對(duì) CAN 周期性 消息，建立白名單與熵相結(jié)合的檢測(cè)機(jī)制，針對(duì)非 周期消息，建立了數(shù)據(jù)域與車(chē)輛狀態(tài)相結(jié)合的數(shù)據(jù) 關(guān)聯(lián)檢測(cè)技術(shù)，從而實(shí)現(xiàn)對(duì)重放、DoS、丟棄 （刪 除） 攻擊的檢測(cè)。

KWON 等結(jié)合車(chē)載網(wǎng)絡(luò) IDS 提出了一種減輕入侵危害的方法，其主要是通過(guò)將受攻擊的ECU 進(jìn)行重新配置，或者將檢測(cè)到的惡意消息通知特定 域的ECU進(jìn)行丟棄。

SUDA 等提出了一種基于時(shí)間序列特征提 取的車(chē)載網(wǎng)絡(luò)入侵檢測(cè)方法以檢測(cè) ID 修改攻擊、 數(shù)據(jù)字段修改攻擊和洪泛攻擊。其主要是將消息 ID、數(shù)據(jù)字段以及消息幀間隔統(tǒng)一放到遞歸神經(jīng)網(wǎng) 絡(luò)中進(jìn)行訓(xùn)練，從而達(dá)到識(shí)別異?；蛘吖舻哪康?。

NAM等利用類(lèi)似的思想基于生成式的預(yù)訓(xùn) 練模型提取面向時(shí)間序列的ID特征以檢測(cè)入侵。

HE Yuchu等基于深度學(xué)習(xí)方法，在考慮車(chē) 載網(wǎng)絡(luò)流量與負(fù)載的基礎(chǔ)上，增加了臨近消息的關(guān) 系特征并給不同的特征分配相應(yīng)的權(quán)重以增加入侵 檢測(cè)的效率。

混合類(lèi)型的 IDS 技術(shù)融合了基于流量的 IDS 和 基于負(fù)載的 IDS的優(yōu)點(diǎn)，既能對(duì)選定的報(bào)文進(jìn)行快 速識(shí)別，同時(shí)又具備學(xué)習(xí)能力，可以學(xué)習(xí)新報(bào)文。但是受限于車(chē)輛整體成本，IDS部署的控制器算力 和存儲(chǔ)空間普遍無(wú)法支撐混合類(lèi)型的 IDS技術(shù)，如 何降低混合類(lèi)型的 IDS技術(shù)資源使用，是該技術(shù)能 夠進(jìn)行廣泛使用的前提條件。

4 結(jié)論

隨著汽車(chē)智能化與網(wǎng)聯(lián)化的發(fā)展，車(chē)載網(wǎng)絡(luò)在功能運(yùn)轉(zhuǎn)、信息交互、狀態(tài)顯示等方面發(fā)揮著巨大作用，隨之而來(lái)的網(wǎng)絡(luò)安全威脅更加突出。入侵檢測(cè)技術(shù)作為一種被動(dòng)防御技術(shù)，具有低開(kāi)銷(xiāo)、應(yīng)用廣等特點(diǎn)，能夠有效收集并檢測(cè)潛在的車(chē)載網(wǎng)絡(luò)安全攻擊。從對(duì)車(chē)載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的調(diào)研來(lái)看，車(chē)載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)主要分為基于流量的和基于負(fù)載的兩大類(lèi)，不同類(lèi)型的技術(shù)在成本開(kāi)銷(xiāo)、應(yīng)用場(chǎng)景以及效果等方面具有較大差異，因此需要根據(jù)實(shí)際情況設(shè)計(jì)車(chē)載網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。特別是隨著入侵檢測(cè)技術(shù)不斷成熟，可以在原有技術(shù)的基礎(chǔ)上增加隔離措施，不僅僅局限于預(yù)警，提前將相關(guān)物理功能進(jìn)行區(qū)域化管制，及時(shí)處置風(fēng)險(xiǎn)，這是入侵檢測(cè)技術(shù)的新發(fā)展方向。

審核編輯：郭婷