鑒源實驗室丨汽車入侵檢測系統(tǒng)介紹及測試

作者 |張詔景 上?？匕部尚跑浖?chuàng)新研究院工控網(wǎng)絡(luò)安全組

來源 |鑒源實驗室

社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區(qū)”

01

入侵檢測系統(tǒng)背景

智能網(wǎng)聯(lián)汽車不再是一個孤立的嵌入式系統(tǒng)了，信息安全問題越來越被重視。國內(nèi)外發(fā)布了多項標準法規(guī)，來規(guī)范汽車網(wǎng)絡(luò)安全的發(fā)展。其中有不少法規(guī)對車輛網(wǎng)絡(luò)安全檢測提出要求，如表1。

表1 車輛網(wǎng)絡(luò)安全監(jiān)控法規(guī)要求

入侵檢測系統(tǒng)（IDS）是按照一定的安全策略對網(wǎng)絡(luò)、系統(tǒng)及其運行狀態(tài)進行監(jiān)控，并試圖發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)的機密性、完整性和可用性。當存在惡意活動的軟件或車載網(wǎng)絡(luò)被篡改、注入時，汽車入侵檢測系統(tǒng)可以通過分析車內(nèi)流量或系統(tǒng)狀態(tài)進行攻擊識別，并發(fā)出安全警報。

在汽車上，根據(jù)檢測的對象，可以將入侵檢測系統(tǒng)分成兩類，包括網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機入侵檢測系統(tǒng)。

網(wǎng)絡(luò)入侵檢測系統(tǒng)可以對包括CAN總線、車載以太網(wǎng)、WIFI、藍牙數(shù)據(jù)等車載網(wǎng)絡(luò)進行檢測。目前已有很多基于規(guī)則的和基于AI方法的研究。如【1】設(shè)計了規(guī)則和AI混合的多層SOME/IP入侵檢測方法，基于規(guī)則的模塊用于檢測SOME/IP報頭、SOME/IP-SD消息、消息間隔和通信過程，利用AI檢測SOME/IP的有效負載。考慮到實際部署成本，在車載控制器中往往部署基于規(guī)則的入侵檢測系統(tǒng)，利用專家知識、車載網(wǎng)絡(luò)數(shù)據(jù)庫等建立規(guī)則庫，進行檢測。

基于主機的入侵檢測系統(tǒng)則對控制器的操作系統(tǒng)進行安全監(jiān)控。隨著汽車智能網(wǎng)聯(lián)化，車載控制器不再僅由MCU組成，Linux、Android、QNX頻繁地在各類域控制器中出現(xiàn)。SOC在給汽車帶來強大功能的同時，也成為對汽車的一條重要攻擊路徑。主機入侵檢測系統(tǒng)可對操作系統(tǒng)進行資源監(jiān)控、文件監(jiān)控、病毒掃描等。

在檢測識別到車內(nèi)的異常攻擊行為后，通過生成安全日志，并將安全日志上傳到汽車安全運營平臺（VSOC），是一種有效的攻擊行為追溯，監(jiān)控智能網(wǎng)聯(lián)汽車安全狀態(tài)手段。

02

AUTOSAR入侵檢測系統(tǒng)架構(gòu)

汽車開放系統(tǒng)架構(gòu)（AUTomotive Open System Architecture）是一家致力于制定汽車電子軟件標準的聯(lián)盟。AUTOSAR是由全球汽車制造商、部件供應(yīng)商及其他電子、半導(dǎo)體和軟件系統(tǒng)公司聯(lián)合建立，各成員保持開發(fā)合作伙伴關(guān)系。自2003年起，各伙伴公司攜手合作，致力于為汽車工業(yè)開發(fā)一個開放的、標準化的軟件架構(gòu)。AUTOSAR這個架構(gòu)有利于車輛電子系統(tǒng)軟件的交換與更新，并為高效管理愈來愈復(fù)雜的車輛電子、軟件系統(tǒng)提供了一個基礎(chǔ)。此外，AUTOSAR在確保產(chǎn)品及服務(wù)質(zhì)量的同時，提高了成本效率。

AUTOSAR對汽車入侵檢測系統(tǒng)的架構(gòu)，如圖1。整個車載入侵檢測系統(tǒng)主要包括了安全探針、管理模塊（IdsM）、安全事件存儲（Sem）、報告模塊（IdsR）。

圖1 分布式車載IDS架構(gòu)【2】

（1）安全探針

安全探針是檢測網(wǎng)絡(luò)流量、系統(tǒng)事件中潛在網(wǎng)絡(luò)威脅的模塊。當檢測到異常后向管理模塊發(fā)送安全事件（Security Events，SEv）。常見安全探針包括CAN入侵檢測系統(tǒng)、以太網(wǎng)入侵檢測系統(tǒng)、主機入侵檢測系統(tǒng)等。

（2）管理系統(tǒng)

當管理模塊接收到SEv后，如圖2，依次經(jīng)過攔截過濾器（Blockers）、采樣過濾器（Sampling）、聚合過濾器（Aggregation）以及速率限制過濾器（Rate Limitation），生成合格的安全事件（Qualified Security Events, QSEv）。管理模塊將 QSEv 發(fā)送到入侵檢測報告模塊，并將其存儲在安全事件存儲器“SEM”中。

圖2 管理模塊過濾鏈【2】

攔截過濾器根據(jù)上傳模式及當前狀態(tài)對事件進行過濾；采樣過濾器允許每個事件的第N條通過；聚合過濾器將配置時間內(nèi)的所有SEv聚合成一個，并對聚合后的事件數(shù)量進行閾值過濾；速率限制過濾器根據(jù)配置時間間隔內(nèi)的SEv數(shù)量及字節(jié)數(shù)進行過濾。

（3）報告模塊

IdsR將QSEv發(fā)送給VSOC。IdsR與IdsM之間的安全事件報文如圖3。它的最小長度為 8 個字節(jié)（對于事件幀），包括了協(xié)議版本、協(xié)議頭、IdsM實例ID、探針實例ID、事件ID、事件數(shù)量、保留字段。此外，報文包括3個可選字段：時間戳、上下文數(shù)據(jù)及簽名。

圖3 安全事件報文【3】

03

入侵檢測系統(tǒng)測試方法

對于入侵檢測系統(tǒng)的測試，可分為兩個階段：

· 入侵檢測系統(tǒng)功能測試，即根據(jù)需求對開發(fā)的軟件進行功能測試，檢驗軟件是否根據(jù)輸入返回預(yù)期結(jié)果。

· 滲透測試，模擬常見的網(wǎng)絡(luò)攻擊，來驗證入侵檢測系統(tǒng)對網(wǎng)絡(luò)攻擊的檢測能力。

在滲透測試階段，讓測試人員進行人工測試是困難的，首先滲透測試對測試人員的網(wǎng)絡(luò)安全知識有著一定的門檻，其次滲透測試過程涉及的攻擊數(shù)據(jù)生成、測試結(jié)果判斷等步驟十分繁瑣復(fù)雜。為了提高測試效率，在測試過程中需要利用滲透測試工具搭建自動化入侵檢測系統(tǒng)測試環(huán)境，來提高入侵檢測功能的測試。因此，針對網(wǎng)絡(luò)入侵檢測系統(tǒng)的滲透測試，設(shè)計測試流程，如圖4：

（1）生成攻擊報文。

（2）向入侵檢測系統(tǒng)被測件發(fā)送攻擊報文，并監(jiān)聽是否收到QSEv。

（3）入侵檢測系統(tǒng)對攻擊行為進行實時檢測，若檢測到異常，則向測試設(shè)備發(fā)送QSEv。

（4）若滲透測試工具收到了正確的QSEv，則測試通過，否則測試失敗。

圖4 入侵檢測系統(tǒng)測試流程

在測試流程中，攻擊數(shù)據(jù)包的生成是其中至關(guān)重要的部分。【4】中總結(jié)了一部分數(shù)據(jù)包生成工具，如圖5，但是這些工具幾乎沒有汽車方面的支持，例如缺少SOME/IP，UDS，DoIP協(xié)議的測試功能，因此不能滿足車載入侵檢測系統(tǒng)的測試需求。

圖5 數(shù)據(jù)包生成工具及能力【4】

BlitzFuzz（點擊查看詳情）作為一款專門針對工控網(wǎng)絡(luò)協(xié)議的滲透模糊測試工具，支持CAN、CAN、UDS、SOME/IP、DoIP等汽車常用協(xié)議的報文仿真、解析功能，提供相關(guān)協(xié)議的滲透測試用例包、合規(guī)測試用例包以及模糊測試功能。同時提供了用戶自定義編寫測試用例，能夠更加靈活地滿足不同的滲透測試需求。為入侵檢測系統(tǒng)功能的自動化測試提供了便利，如圖6。

圖6 BlitzFuzz滲透測試界面

如圖7，利用BlitzFuzz對以太網(wǎng)入侵檢測被測件進行測試。首先將將被測件通過網(wǎng)線連接BlitzFuzz工具。測試人員在BlitzFuzz前端界面編寫入侵檢測功能的自定義測試用例，包括調(diào)用工具提供的TCP端口掃描攻擊API發(fā)送端口掃描報文，編寫以太網(wǎng)接收回調(diào)函數(shù)，用于判斷被測件發(fā)送的QSEv情況。編寫完成后選擇測試用例并運行，運行結(jié)束后即可在界面查看測試報告。

圖7 BlitzFuzz入侵檢測測試示意圖

主要參考文獻：

[1] Luo, F.; Yang, Z.; Zhang, Z.; Wang, Z.; Wang, B.; Wu, M. A Multi-Layer Intrusion Detection System for SOME/IP-Based In-Vehicle Network. Sensors 2023, 23, 4376.

https://doi.org/10.3390/s23094376

[2] Requirements on Intrusion Detection System AUTOSAR FO R23-11.

[3] Specification of Intrusion Detection System Protocol AUTOSAR FO R23-11.

[4] Corbett C, Basic T, Lukaseder T, et al. A testing framework architecture for automotive intrusion detection systems[J]. 2017.

審核編輯 黃宇