車載網(wǎng)絡(luò)架構(gòu)與車載網(wǎng)絡(luò)攻擊概述

現(xiàn)代汽車是由傳感器、電子控制單元 （Electronic Control Unit， ECU） 和執(zhí)行器組成的復(fù)雜系 統(tǒng)，通過不同類型的車內(nèi)網(wǎng)絡(luò)連接來控制和監(jiān)測(cè)車 輛的狀態(tài)。隨著智能化、網(wǎng)聯(lián)化的發(fā)展，汽車搭載 了更多的 ECU 和外部通信接口，為用戶提供智能 網(wǎng)聯(lián)服務(wù)和網(wǎng)絡(luò)安全?。然而，隨著汽車的復(fù)雜性和互聯(lián)性的不斷提高，且現(xiàn)有車載網(wǎng)絡(luò)設(shè)計(jì)缺乏 網(wǎng)絡(luò)安全考慮，汽車的安全風(fēng)險(xiǎn)也日益突出。? ?

網(wǎng)絡(luò)安全問題正在成為車載網(wǎng)絡(luò)系統(tǒng)的主要關(guān)注點(diǎn)。數(shù) 以 百 萬 計(jì) 的 汽 車 面 臨 各 種 安 全 風(fēng) 險(xiǎn)，如 2015 年 MILLER 等?使用 Wi-Fi 開放 端口侵入 Jeep Cherokee 的車載網(wǎng)絡(luò)系統(tǒng)，并通過重新編程 ECU 的固件成功控制了該車的核心功能 （如禁用制動(dòng)和停止發(fā)動(dòng)機(jī)），導(dǎo)致140萬輛汽車被 召回。相關(guān)汽車攻擊案例引發(fā)了對(duì)汽車網(wǎng)絡(luò)安全的廣泛研究。 ?

目前，行業(yè)內(nèi)各整車制造公司未普遍采用有效的安全技術(shù)手段來應(yīng)對(duì)汽車安全風(fēng)險(xiǎn)。該現(xiàn)狀對(duì)于 黑客入侵行為無法進(jìn)行有效的防護(hù)，從而導(dǎo)致車輛隱私數(shù)據(jù)或敏感數(shù)據(jù)的丟失，同時(shí)也會(huì)導(dǎo)致車輛行 駛功能受到遠(yuǎn)程控制或破壞，對(duì)行車安全造成重大 影響。入侵檢測(cè)技術(shù)是應(yīng)對(duì)這一情況的有效解決方 案，該技術(shù)可以識(shí)別非法入侵行為，對(duì)車主或整車 制造廠進(jìn)行快速預(yù)警，車主或整車制造廠根據(jù)預(yù)警 信息進(jìn)行應(yīng)急響應(yīng)，將安全風(fēng)險(xiǎn)降到最低。 ?

對(duì)車載網(wǎng)絡(luò)的保護(hù)通常分為以下 3 類：（1） 將 消息幀進(jìn)行加密確保其機(jī)密性和完整性?；（2） 使 用防火墻對(duì)潛在的危險(xiǎn)接口進(jìn)行監(jiān)控?；（3） 搭建 車載網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（Intrusion Detection System， IDS）。 ?

在上述分類中，不同的方法具有不同的優(yōu)缺 點(diǎn)。加密和認(rèn)證的方式雖能有效保護(hù)車載網(wǎng)絡(luò)的信 息傳輸，但現(xiàn)有車載網(wǎng)絡(luò)由于其自身在計(jì)算能力、 帶寬等方面的局限性?，導(dǎo)致這些方法無法被部 署。例如，在計(jì)算機(jī)領(lǐng)域，對(duì)于通信連接普遍采用 3 次握手協(xié)議，握手成功后才進(jìn)行有效信息傳遞。

如果 CAN 總線引入該機(jī)制，對(duì)動(dòng)力系統(tǒng)等發(fā)送實(shí) 時(shí)性高的報(bào)文 （10 ms） 會(huì)造成重大延誤，在車輛激烈駕駛過程中勢(shì)必會(huì)引發(fā)功能安全問題，因此 CAN總線不適合引入重安全機(jī)制。此外，車載網(wǎng)絡(luò) 的攻擊入口分布在車機(jī)、網(wǎng)關(guān)、車身控制器等多個(gè) 控制器上，且各控制器編譯環(huán)境不同，有的控制器 還采用了汽車專用操作系統(tǒng)，所以無法通過部署一 套計(jì)算機(jī)領(lǐng)域常用的防火墻來完全隔離威脅和各種攻擊源。

IDS 可部署在車載網(wǎng)絡(luò)流量集中的控制器上， 通過對(duì)車載網(wǎng)絡(luò)報(bào)文的實(shí)時(shí)檢測(cè)，能夠有效識(shí)別異 常報(bào)文和冗余報(bào)文，對(duì)車主和整車廠進(jìn)行實(shí)時(shí)預(yù) 警，車主和整車廠根據(jù)預(yù)警信息的程度，采取相應(yīng) 的應(yīng)急解決措施，同時(shí)整車廠可根據(jù)預(yù)警信息，對(duì) 未被入侵的車輛采取有效的補(bǔ)救方案，因此，IDS 技術(shù)的應(yīng)用能夠有效解決車載網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。 ?

1?車載網(wǎng)絡(luò)架構(gòu)概述 ?

現(xiàn)代車輛的典型架構(gòu)集成了一組網(wǎng)絡(luò)組件，包 括傳感器、執(zhí)行器、ECU 和通信設(shè)備?。

車內(nèi)網(wǎng) 絡(luò)有助于傳感器、ECU 和執(zhí)行器之間的數(shù)據(jù)共享， 從而實(shí)現(xiàn)車輛的運(yùn)行。在現(xiàn)代車載通信系統(tǒng)中廣泛 使 用 的 車 載 網(wǎng) 絡(luò) 包 括 本 地 互 連 網(wǎng) 絡(luò) （Local Interconnect Network，LIN）、CAN、FlexRay、以太 網(wǎng)和面向媒體的系統(tǒng)傳輸 （Media Oriented System Transport，MOST）。表 1 對(duì)上述車載網(wǎng)絡(luò)的特點(diǎn)進(jìn) 行了概括與比較。 ?

?

LIN 提供的低通信速度適用于時(shí)間性能要求不 高的應(yīng)用，如電池監(jiān)控、車窗升降器控制等。如果 要適用于對(duì)性能和帶寬具有較高要求的應(yīng)用，則需 要增加系統(tǒng)成本，F(xiàn)lexRay、MOST 和以太網(wǎng)就是屬于此種類型。例如，F(xiàn)lexRay 可用于轉(zhuǎn)向角傳感 器、安全雷達(dá)等，以太網(wǎng)和 MOST 可用于信息娛 樂系統(tǒng)。

在所有車載網(wǎng)絡(luò)類型中，CAN 由于其 較低成本、較全工具鏈、一定的抗噪與容錯(cuò)性成為使用最廣泛的車載網(wǎng)，尤其用于汽車動(dòng)力系統(tǒng)、車身控制系統(tǒng)等［?。然而，由于 CAN 的安全性不 足而易受到安全威脅，本文所提到的大部分入侵檢 測(cè)技術(shù)都是基于CAN的。 ?

CAN 總線的傳輸速率可以達(dá)到 125 Kbit/s 及以 上，其總線拓?fù)浣Y(jié)構(gòu)在傳輸電纜末端帶有兩個(gè)120 Ω 的終端電阻。CAN總線上的節(jié)點(diǎn)在接收到消息時(shí)會(huì) 與發(fā)送節(jié)點(diǎn)同步時(shí)間，因此不需要同步以規(guī)范通 信?？偩€在空閑狀態(tài)下，其上的每個(gè)節(jié)點(diǎn)都可以訪 問總線，并以廣播的形式發(fā)送所要傳輸?shù)男畔?。

對(duì)于接收消息的節(jié)點(diǎn)，其通過消息過濾器根據(jù)消息 ID決定接收哪個(gè)消息。多個(gè)節(jié)點(diǎn)同時(shí)傳輸消息的情 況下，需要通過載波偵聽多路訪問與沖突避免，以 及消息優(yōu)先級(jí)仲裁競(jìng)爭(zhēng)對(duì)總線的訪問，ID越小的消 息具備的優(yōu)先級(jí)越高。CAN消息幀格式示意如圖1所示。

? ?

如圖 1 所示，一個(gè) CAN 幀由以下 7 個(gè)字段 組成：? ?

（1） 起始位：通知所有節(jié)點(diǎn)開始傳輸?shù)膯蝹€(gè)顯 性位。

（2） 仲裁域：由2個(gè)主要部分組成；表示消息/ 幀的 ID 并在仲裁過程中使用的標(biāo)識(shí)符字段，以及 根據(jù) CAN 幀的種類確定的遠(yuǎn)程傳輸請(qǐng)求 （Remote Transmission Request，RTR）。?

（3） 控制域：有 2 個(gè)保留位和 4 個(gè)數(shù)據(jù)長(zhǎng)度 代碼。?

（4） 數(shù)據(jù)域：保存?zhèn)鬏數(shù)狡渌?jié)點(diǎn)的實(shí)際 數(shù)據(jù)。?

（5） 循環(huán)冗余校驗(yàn) （Cyclic Redundancy Check， CRC）：保證消息的有效性。收到消息的所有其他 節(jié)點(diǎn)都使用此代碼驗(yàn)證消息。

（6） 確認(rèn)字符（Acknowledge Character，ACK）：分為 ACK 部分和分隔符部分。接收到有效消息的節(jié)點(diǎn)用顯性位 （即邏輯 0） 替換作為隱性位 （即邏 輯 1） 的 ACK 部分。

（7） 終止位：7 個(gè)隱性位組成的標(biāo)志，指示幀 的結(jié)束。 ?

2 車載網(wǎng)絡(luò)攻擊 ?

智能網(wǎng)聯(lián)汽車容易受到多種不同程度的網(wǎng)絡(luò)攻 擊，從數(shù)據(jù)竊聽到出行安全，甚至癱瘓整個(gè)交通系統(tǒng)?。一般來說，網(wǎng)絡(luò)攻擊可以分為兩類：被動(dòng) 攻擊和主動(dòng)攻擊。被動(dòng)網(wǎng)絡(luò)攻擊 （如竊聽） 主要違 反目標(biāo)系統(tǒng)安全的保密要求并導(dǎo)致隱私泄露 （如對(duì) 位置信息、對(duì)話數(shù)據(jù)和攝像頭記錄等隱私數(shù)據(jù)的訪 問）。主動(dòng)網(wǎng)絡(luò)攻擊可以通過插入、刪除或修 改消息來阻礙系統(tǒng)的功能?。通過對(duì)現(xiàn)有工作的 回顧，車載網(wǎng)絡(luò)的常見網(wǎng)絡(luò)攻擊闡述如下。 ?

2.1 拒絕服務(wù)攻擊

拒絕服務(wù) （Deny of Service，DoS） 攻擊旨在 干擾系統(tǒng)的預(yù)期功能。比較常見的 DoS 中，攻 擊者可能會(huì)發(fā)送許多合法請(qǐng)求，超出服務(wù)系統(tǒng)的處 理能力，致使系統(tǒng)資源耗盡而無法響應(yīng)其他合理請(qǐng) 求。在車聯(lián)網(wǎng)環(huán)境中，攻擊者可以向路邊單元 （Road Side Unit，RSU） 發(fā)送許多請(qǐng)求消息使 RSU 過載，這種情況下車輛無法獲得該RSU所共享的重 要消息，從而導(dǎo)致嚴(yán)重后果。CAN網(wǎng)絡(luò)中的攻擊者 可以利用消息仲裁機(jī)制，不斷發(fā)送具有高優(yōu)先級(jí)的 消息從而阻斷其他ECU節(jié)點(diǎn)的消息傳輸。 ?

2.2 消息注入和重放攻擊

消息注入 （MI） 攻擊的主要原理是在網(wǎng)絡(luò)中注 入偽造的消息，重放攻擊是將之前的消息重新注入 到網(wǎng)絡(luò)中。在 CAN 網(wǎng)絡(luò)中，攻擊者可以控制某個(gè) ECU，并通過它將偽造的消息發(fā)送到 CAN總線上；而重放攻擊中則需要首先對(duì)之前的消息進(jìn)行存儲(chǔ)， 然后再在某個(gè)時(shí)間點(diǎn)將原來的消息發(fā)送到 CAN 總 線。例如，攻擊者可以存儲(chǔ)車速表讀數(shù)并稍后將其 再次廣播到網(wǎng)絡(luò)。 ?

2.3 消息操縱

這種攻擊通過更改/修改或刪除消息來影響數(shù)據(jù)的完整性。例如，攻擊者可以修改消息的內(nèi)容。攻擊者可能會(huì)修改消息的內(nèi)容而不影響其發(fā)送與接 收時(shí)間。字段修改和刪除攻擊是消息操縱攻擊的典 型類型。在刪除攻擊中，攻擊者先刪除受感染的 ECU 并輸出緩沖區(qū)中的消息，然后再將它們傳輸 到 CAN 總線上。 ?

2.4 偽裝攻擊

要發(fā)起偽裝攻擊，攻擊者需要滲透兩個(gè) ECU （A 和 B）。攻擊者首先監(jiān)視CAN總線以了解A以什 么頻率發(fā)送了哪些消息，然后停止A的傳輸并利用 B 代表 A 制造和注入消息。 ?

2.5 惡意軟件攻擊?

惡意軟件可能以病毒、蠕蟲、間諜軟件等多種形式存在，攻擊者可以將它們利用通信接口的漏洞 注入系統(tǒng)。例如，將惡意軟件加入到多媒體文件 中，并利用其多媒體系統(tǒng)固件輸入漏洞實(shí)現(xiàn)惡意軟 件的運(yùn)行，從而將惡意消息發(fā)送到CAN總線上?， 以實(shí)現(xiàn)消息注入攻擊、重放攻擊、DoS等特定類型的攻擊。 ?

3 車載CAN網(wǎng)絡(luò)IDS類型 ?

近年來，汽車惡意攻擊的數(shù)量有所增加。因此，車載網(wǎng)絡(luò)安全問題越來越受到關(guān)注?。入侵 檢測(cè)技術(shù)作為一種網(wǎng)絡(luò)安全增強(qiáng)方法，成本低，部署方便。? ?

入侵檢測(cè)依賴于觀測(cè)的數(shù)據(jù)，在車載網(wǎng)絡(luò)中主 要是各節(jié)點(diǎn) （如 ECU） 之間交換的數(shù)據(jù)。例如，1 條 CAN 消息，其具有固定的格式，包括消息 ID、 數(shù)據(jù)內(nèi)容、校驗(yàn)碼等，表示某個(gè)事件或過程。消息的時(shí)間戳或者數(shù)據(jù)范圍都可以作為特征成為區(qū)分消 息是否正常的依據(jù)，從而實(shí)現(xiàn)入侵檢測(cè)。? ?

一般而言，可以將數(shù)據(jù)集的特征分為兩種類 型：物理特征和網(wǎng)絡(luò)特征。物理特征是指描述系統(tǒng) 物理狀態(tài)的特征（如速度、發(fā)動(dòng)機(jī)轉(zhuǎn)速），而網(wǎng)絡(luò) 特征是指描述系統(tǒng)通信和數(shù)據(jù)方面的特征（如消息 數(shù)量、數(shù)據(jù)序列）。為了強(qiáng)化學(xué)習(xí)算法的辨別能力， 需要剔除不相關(guān)的特征，所以精確地選擇合理的特征不僅能夠降低計(jì)算成本，對(duì)提高學(xué)習(xí)算法的泛化能力也具有重要意義。 ?

通常將傳統(tǒng)的 IDS 分為兩類：基于簽名的 IDS 和基于異常的IDS ?；诤灻?IDS 需要對(duì)已有 攻擊模式進(jìn)行匹配?，如黑名單就是一種常見的 基于簽名的 IDS。當(dāng)觀察到匹配的攻擊模式時(shí)則報(bào) 告入侵。由于基于簽名的 IDS只對(duì)已知的攻擊進(jìn)行報(bào)告，所以具有較低的誤報(bào)率，但檢測(cè)新攻擊 （如 0-day攻擊） 的能力有限。為了能夠抵御新型攻擊， 簽名數(shù)據(jù)庫需要保持最新。此外，存儲(chǔ)大型簽名數(shù) 據(jù)庫并對(duì)其執(zhí)行模式匹配，對(duì)CPU、內(nèi)存等資源的 要求都比較高。 ?

基于異常的 IDS 對(duì)正常的系統(tǒng)行為進(jìn)行建模， 并將與正常系統(tǒng)行為有顯著偏差的行為視為入 侵?。該方法不必每次存儲(chǔ)最新的攻擊模式，且 能夠識(shí)別新型攻擊，但是如果對(duì)正常系統(tǒng)的行為建 模不精確容易產(chǎn)生誤報(bào)。此外，正常系統(tǒng)行為的建 模依賴于不受攻擊的數(shù)據(jù)，而這些“純凈”數(shù)據(jù)在 現(xiàn)實(shí)世界中并不一定能夠獲得。與基于簽名的 IDS 相比，基于異常的 IDS由于不需要存儲(chǔ)簽名，所以 需要更少的內(nèi)存即可滿足要求。 ?

近年來，針對(duì)車載網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)進(jìn)行了大量研究?。從車載網(wǎng)絡(luò) IDS 設(shè)計(jì)的角度來看， 其可以分為基于流量的 IDS、基于負(fù)載的 IDS 和混 合 IDS?；诹髁康?IDS 監(jiān)控車輛的內(nèi)部網(wǎng)絡(luò)，并 從中提取不同的特征 （如消息頻率和間隔）?。然 后使用提取的特征來識(shí)別入侵或異常行為，而無需 檢查消息的有效負(fù)載；基于負(fù)載的 IDS 檢查消息的 負(fù)載以識(shí)別入侵；混合 IDS 是前兩個(gè)類別的組合。針對(duì)上述分類，典型的車載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)闡述如下。 ?

3.1 基于流量的IDS技術(shù) ?

HOPPE等通過分析車載網(wǎng)絡(luò)的實(shí)際攻擊案 例，提出了基于異常的 IDS跟蹤特定目標(biāo)消息類型的所有CAN消息，并評(píng)估當(dāng)前的消息頻率和之前的是否一致。此外，建議在檢測(cè)到攻擊時(shí)，在考慮 周圍環(huán)境條件的同時(shí)，所提出的系統(tǒng)能夠自適應(yīng)地通過車輛的多媒體設(shè)備向駕駛員報(bào)告安全事件。 ?

LING Congli 和 FENG Dongqin 基于CAN 總線上傳輸?shù)南D與其可中斷的發(fā)生頻率提出了一 種 CAN 入侵檢測(cè)算法?。對(duì)于給定消息類型（即 ID），該算法會(huì)計(jì)算其連續(xù)消息的數(shù)量。如果可中 斷序列中的消息計(jì)數(shù)大于預(yù)定閾值，則算法會(huì)發(fā)出 可能攻擊的警報(bào)。該算法在檢測(cè)操縱消息內(nèi)容的同 時(shí)保持其頻率的攻擊方面能力有限。 ?

SONG等提出了一種基于 CAN 消息時(shí)間間 隔統(tǒng)計(jì)分析的輕量級(jí) IDS，主要原理是根據(jù)消息頻 率分析異常流量，從而用于檢測(cè)注入攻擊。在正常 運(yùn)行條件下，ECU 生成的消息有自己的固定頻率 或間隔。當(dāng)車輛受到消息注入攻擊時(shí)，這些頻率或 間隔會(huì)意外更改。試驗(yàn)表明，受到注入攻擊的消息 頻率比正常情況高出20～100倍。 ?

CHO 和 SHIN構(gòu)建了一個(gè)基于時(shí)鐘的入侵檢測(cè)系統(tǒng) （Clock-based Intrusion Detection System， CIDS），其可以檢測(cè)包括偽裝攻擊在內(nèi)的各種類型 的攻擊?。由于 CAN 協(xié)議沒有在 CAN 消息中提 供發(fā)送器的身份，所以利用消息周期性來提取和估 計(jì)發(fā)射器的時(shí)鐘偏差，從而用于對(duì)發(fā)射 ECU 進(jìn)行 指紋識(shí)別。累計(jì)時(shí)鐘偏移是通過將平均時(shí)鐘偏移的 絕對(duì)值相加得到的，根據(jù)定義，其斜率表示時(shí)鐘偏 移且是恒定的。這使所提出的 CIDS 能夠根據(jù)到達(dá) 時(shí)間戳估計(jì)時(shí)鐘偏差，從而對(duì)消息發(fā)送器進(jìn)行指紋 識(shí)別以便進(jìn)行入侵檢測(cè)。 ?

AVATEFIPOUR 提出了一種基于機(jī)器學(xué)習(xí)的 模型，該模型通過學(xué)習(xí)接收到的數(shù)據(jù)包的物理信號(hào) 屬性，將 CAN 數(shù)據(jù)包與其發(fā)送源進(jìn)行“綁定”。所 提取的物理信號(hào)特征向量由 11 個(gè)時(shí)域和頻域統(tǒng)計(jì) 信號(hào)屬性組成，包括高階矩、頻譜合度、最小值、 最大值和不規(guī)則性等屬性，然后用于基于神經(jīng)網(wǎng)絡(luò) 的分類器。

試驗(yàn)結(jié)果表明，該模型對(duì)通道和 ECU 分類的正確檢測(cè)率分別為95.2%和98.3%?；陟氐?a href="http://wenjunhu.com/v/tag/5122/" target="_blank">信息論方法也可以用來檢測(cè)車載網(wǎng)絡(luò) 的消息注入、DoS等攻擊。相比于傳統(tǒng)的計(jì)算 機(jī)網(wǎng)絡(luò)，車載網(wǎng)絡(luò)中的流量更受限制，因?yàn)槊織l消 息及其內(nèi)容都是在傳輸之前指定的。這意味著正常網(wǎng)絡(luò)操作中數(shù)據(jù)的熵 （即不確定性） 幾乎是固定的 并且相對(duì)較低。

因此，通過觀察熵值可以很容易地 檢測(cè)到改變數(shù)據(jù)熵的入侵。例如，MI 攻擊會(huì)降低 熵值，因?yàn)樘囟ㄏ⒌臄?shù)量會(huì)增加。因此，IDS可 以通過檢測(cè)熵的變化來判斷是否存在攻擊的指標(biāo)。 ?

由上文可知，基于流量型的 IDS技術(shù)可有效識(shí) 別特定數(shù)據(jù)包和頻率的異常情況，對(duì)于傳統(tǒng) CAN 總線網(wǎng)絡(luò)適用性更強(qiáng)，同時(shí)實(shí)時(shí)性好。但是對(duì)于面 向服務(wù)的車載網(wǎng)絡(luò)，由于服務(wù)信號(hào)可以根據(jù)服務(wù)需 求進(jìn)行變更，那么基于流量型的 IDS技術(shù)則很難對(duì) 新增的服務(wù)信號(hào)做出響應(yīng)，也無法發(fā)現(xiàn)新增服務(wù)信 號(hào)的篡改等風(fēng)險(xiǎn)，所以該技術(shù)有其局限性。 ?

3.2 基于負(fù)載的IDS技術(shù) ?

BEZEMSKIJ等通過監(jiān)控車輛的不同車載資 源 （如傳感器、網(wǎng)絡(luò)和處理） 的實(shí)時(shí)網(wǎng)絡(luò)和物理特 征實(shí)現(xiàn)入侵檢測(cè)，分為學(xué)習(xí)階段和檢測(cè)階段。在學(xué) 習(xí)階段，將車輛學(xué)習(xí)特征的正常值范圍作為正常行 為配置文件。在檢測(cè)階段，如果某個(gè)特征的觀察值 超出其正常范圍，則檢測(cè)機(jī)制會(huì)報(bào)告攻擊。所提出 的機(jī)制能夠檢測(cè)信息注入攻擊和偽裝攻擊。 ?

MARKOVITZ等?通過一個(gè)分類器將 CAN 消息拆分為字段并識(shí)別字段類型及其邊界，而無需 事先了解消息格式。由此可知存在 3 類場(chǎng)：常數(shù) 場(chǎng)、多值場(chǎng)和計(jì)數(shù)器或傳感器場(chǎng)。然后，檢測(cè)系統(tǒng) 根據(jù)從分類器獲得的 ECU 消息的特征 （即字段類 型和邊界） 為每個(gè) ECU 構(gòu)建模型。該模型基于三 元 內(nèi) 容 可 尋 址 存 儲(chǔ) 器 （Ternary Content Address Memory，TCAM） 對(duì) ECU 發(fā)送的消息進(jìn)行匹配， 任何與 TCAM 不匹配的消息都被標(biāo)記為異常。 ?

STABILI等?基于不同 ID 類別的連續(xù)有效載 荷之間的漢明距離提出了一種入侵檢測(cè)算法。在學(xué) 習(xí)階段，為提出的算法建立了一個(gè)正常范圍的有效 漢明距離。然后，它分析通過 CAN 總線傳輸?shù)乃?有消息的有效載荷序列，并將相同 ID 的連續(xù)有效 載荷之間的漢明距離與有效漢明距離的正常范圍進(jìn) 行比較。試驗(yàn)結(jié)果表明，所提出的算法在檢測(cè)消息 注入攻擊時(shí)效果較好。 ?

KANG等?提出了一種基于深度神經(jīng)網(wǎng)絡(luò) （Deep Neural Networks，DNN） 的 IDS。檢測(cè)模型 是基于從 ECU 之間交換的車載網(wǎng)絡(luò)數(shù)據(jù)包的比特 流中提取的高維特征進(jìn)行訓(xùn)練。一旦特征被訓(xùn)練并 存儲(chǔ)在分析模塊中，所提出的系統(tǒng)就會(huì)檢查車輛網(wǎng) 絡(luò)中交換的數(shù)據(jù)包，以確定系統(tǒng)是否受到攻擊。由 于神經(jīng)網(wǎng)絡(luò)的前向計(jì)算模式簡(jiǎn)單且固定，所以所提 出的系統(tǒng)在檢測(cè)異常時(shí)具有較低的延遲。? ?

由上文可知，基于負(fù)載的 IDS技術(shù)普遍引入機(jī) 器學(xué)習(xí)機(jī)制來完成正常樣本的識(shí)別，該技術(shù)的普適 性較強(qiáng)，無需對(duì)適配車型進(jìn)行定制化開發(fā)。但是其 存在機(jī)器學(xué)習(xí)的普遍問題，即正常樣本和異常樣本 采集問題，特別是異常樣本數(shù)量巨大，學(xué)習(xí)難度較 高。因此，該技術(shù)如何獲取大量樣本來進(jìn)行學(xué)習(xí)是 應(yīng)用該技術(shù)的門檻。? ?

3.3 混合類型的IDS技術(shù) ?

JIN Shiyi等分別根據(jù)流量選擇消息 ID、時(shí)間間隔作為特征，根據(jù)負(fù)載選擇數(shù)據(jù)范圍以及相關(guān) 性作為特征，從而提出了一種混合類型的 IDS。該 IDS 作為一種輕量級(jí) IDS 可以直接應(yīng)用到 ECU 上， 避免了車載網(wǎng)絡(luò)拓?fù)涞母拈_銷，因此在汽車架構(gòu) 沒有發(fā)生大規(guī)模改變的階段存在一定的應(yīng)用前景。? ?

MüTER等引入了一組檢測(cè)傳感器：形式傳 感器、位置傳感器、距離傳感器、頻率傳感器、相 關(guān)傳感器、協(xié)議傳感器、似真性傳感器和一致性傳 感器。這些檢測(cè)傳感器基于明確且可靠的信息，所 以在檢測(cè)異常時(shí)不會(huì)產(chǎn)生誤報(bào)。盡管這些傳感器可 用于檢測(cè)攻擊而不會(huì)誤報(bào)，但并非所有攻擊都可以 被這些傳感器檢測(cè)到。例如，如果攻擊者能夠注入 完全符合網(wǎng)絡(luò)正常行為且與先前值合理的消息。此 外，當(dāng)檢測(cè)到異常時(shí)很難確定其是由攻擊、錯(cuò)誤還 是故障引起的。

?BERLIN 等引入了一個(gè)安全信息和事件管 理系統(tǒng)（Security Information and Event Management， SIEM），其使用是基于規(guī)則、機(jī)器學(xué)習(xí)、深度學(xué) 習(xí)、基于實(shí)時(shí)、安全和大數(shù)據(jù)的算法，通過車輛的 數(shù)據(jù)和其他來源的附加信息 （如來自第三方和服務(wù)的數(shù)據(jù)） 來識(shí)別攻擊。 ?

ZHANG Linxi 等提出了一種基于規(guī)則和深 度學(xué)習(xí)的兩階段 IDS 來實(shí)時(shí)檢測(cè)攻擊。在第1階段，輕量級(jí)基于規(guī)則的 IDS可以快速檢測(cè)違反主要 CAN 流量的周期性和規(guī)律性的攻擊，而基于 DNN 的 IDS會(huì)從基于規(guī)則的系統(tǒng)中捕獲錯(cuò)過的攻擊，試 驗(yàn)表明該系統(tǒng)可以檢測(cè) 5種類型的攻擊，包括消息 注入、偽裝、重放、刪除或丟棄攻擊，在增加檢測(cè) 準(zhǔn)確性的同時(shí)降低了檢測(cè)時(shí)延。 ?

彭海德提出了一種基于ID熵和支持向量機(jī)-數(shù)據(jù)關(guān)聯(lián)性的IDS檢測(cè)技術(shù)，針對(duì) CAN 周期性 消息，建立白名單與熵相結(jié)合的檢測(cè)機(jī)制，針對(duì)非 周期消息，建立了數(shù)據(jù)域與車輛狀態(tài)相結(jié)合的數(shù)據(jù) 關(guān)聯(lián)檢測(cè)技術(shù)，從而實(shí)現(xiàn)對(duì)重放、DoS、丟棄 （刪 除） 攻擊的檢測(cè)。 ?

KWON 等結(jié)合車載網(wǎng)絡(luò) IDS 提出了一種減輕入侵危害的方法，其主要是通過將受攻擊的ECU 進(jìn)行重新配置，或者將檢測(cè)到的惡意消息通知特定 域的ECU進(jìn)行丟棄。 ?

SUDA 等提出了一種基于時(shí)間序列特征提 取的車載網(wǎng)絡(luò)入侵檢測(cè)方法以檢測(cè) ID 修改攻擊、 數(shù)據(jù)字段修改攻擊和洪泛攻擊。其主要是將消息 ID、數(shù)據(jù)字段以及消息幀間隔統(tǒng)一放到遞歸神經(jīng)網(wǎng) 絡(luò)中進(jìn)行訓(xùn)練，從而達(dá)到識(shí)別異?；蛘吖舻哪康摹??

NAM等利用類似的思想基于生成式的預(yù)訓(xùn) 練模型提取面向時(shí)間序列的ID特征以檢測(cè)入侵。 ?

HE Yuchu等基于深度學(xué)習(xí)方法，在考慮車 載網(wǎng)絡(luò)流量與負(fù)載的基礎(chǔ)上，增加了臨近消息的關(guān) 系特征并給不同的特征分配相應(yīng)的權(quán)重以增加入侵 檢測(cè)的效率。 ?

混合類型的 IDS 技術(shù)融合了基于流量的 IDS 和 基于負(fù)載的 IDS的優(yōu)點(diǎn)，既能對(duì)選定的報(bào)文進(jìn)行快 速識(shí)別，同時(shí)又具備學(xué)習(xí)能力，可以學(xué)習(xí)新報(bào)文。但是受限于車輛整體成本，IDS部署的控制器算力 和存儲(chǔ)空間普遍無法支撐混合類型的 IDS技術(shù)，如 何降低混合類型的 IDS技術(shù)資源使用，是該技術(shù)能 夠進(jìn)行廣泛使用的前提條件。 ?

4 結(jié)論? ?

隨著汽車智能化與網(wǎng)聯(lián)化的發(fā)展，車載網(wǎng)絡(luò)在功能運(yùn)轉(zhuǎn)、信息交互、狀態(tài)顯示等方面發(fā)揮著巨大作用，隨之而來的網(wǎng)絡(luò)安全威脅更加突出。入侵檢測(cè)技術(shù)作為一種被動(dòng)防御技術(shù)，具有低開銷、應(yīng)用廣等特點(diǎn)，能夠有效收集并檢測(cè)潛在的車載網(wǎng)絡(luò)安全攻擊。

從對(duì)車載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的調(diào)研來看，車載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)主要分為基于流量的和基于負(fù)載的兩大類，不同類型的技術(shù)在成本開銷、應(yīng)用場(chǎng)景以及效果等方面具有較大差異，因此需要根據(jù)實(shí)際情況設(shè)計(jì)車載網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。特別是隨著入侵檢測(cè)技術(shù)不斷成熟，可以在原有技術(shù)的基礎(chǔ)上增加隔離措施，不僅僅局限于預(yù)警，提前將相關(guān)物理功能進(jìn)行區(qū)域化管制，及時(shí)處置風(fēng)險(xiǎn)，這是入侵檢測(cè)技術(shù)的新發(fā)展方向。??

審核編輯：劉清