什么是汽車IDS？

ISO/SAE 21434（道路車輛-網(wǎng)絡(luò)安全工程）是車輛安全標(biāo)準(zhǔn)，定義了當(dāng)攻擊發(fā)生時如圖所示的5個步驟。汽車制造商必須對車輛中出現(xiàn)的安全漏洞做出響應(yīng)。但是，只有在這些漏洞已知的情況下，才能執(zhí)行此操作。汽車IDS由車載IDS和后端組成。[1]

IDS檢測針對ECU和網(wǎng)絡(luò)的外部攻擊，將其收集后發(fā)送到汽車制造商的后端-安全運(yùn)營中心（SOC）。汽車制造商對數(shù)據(jù)進(jìn)行評估并決定如何應(yīng)對。[1]

?

分布式車載IDS架構(gòu)主要由四部分組成：[2]

安全傳感器

入侵檢測系統(tǒng)管理器（IdsM）

安全事件存儲

入侵檢測系統(tǒng)報告器（IdsR）

安全傳感器和安全事件

AUTOSAR的BSW，CDD和SWC模塊都可以被指作為安全傳感器，安全傳感器將安全事件報告給IdsM。

AUTOSAR將可以由BSW報告的安全事件類型進(jìn)行了標(biāo)準(zhǔn)化，可以在各BSW SWS文檔中檢索到，例如：

SWC和CDD也能報告這樣的事件，不過它們的安全事件類型并未標(biāo)準(zhǔn)化，特定ECU報告的安全事件可以通過Security Extract定義，相關(guān)文檔需要參考AUTOSAR_TPS_SecurityExtractTemplate。

入侵檢測系統(tǒng)管理器

IdsM會將報告的安全事件緩存下來，然后將它們應(yīng)用于一組連續(xù)的過濾條件，也稱作為過濾鏈，如果某一安全事件通過了過濾鏈，那么此安全事件被視作為合格安全事件（QSEv）。

根據(jù)配置的不同，IdsM會將QSEv保存在安全事件存儲這樣的非易失性存儲區(qū)域當(dāng)中，或者同時將他們序列化之后發(fā)送給IdsR。

IdsM包含以下子模塊：

事件接收

事件緩存

IdsM內(nèi)部安全事件

合格事件

QSEv報告

事件存儲

通過診斷接口進(jìn)行事件的讀和寫

事件的報告提供兩個api，IdsM_SetSecurityEvent和IdsM_SetSecurityEventWithContextData，后者額外包含事件發(fā)生時的上下文數(shù)據(jù)，此額外數(shù)據(jù)建議不超過1500字節(jié)，且IdsM不負(fù)責(zé)了解或者解析此數(shù)據(jù)。

對于一些“智能傳感器”（Smart Sensors）來說，還可以在上報時附帶時間戳和計(jì)數(shù)器信息，IdsM也需要有能力接收這些信息。

在IdsM模塊中，每個安全事件都擁有IdsMExternalEventId，IdsMSensorInstanceId，IdsMInternalEventId，以及EventName.內(nèi)部事件ID不需要手動計(jì)算，IdsM會內(nèi)部做計(jì)算并作為內(nèi)部使用。其他模塊報告事件時不依賴于內(nèi)部ID，僅需要使用事件對應(yīng)的標(biāo)識（SymbolicNameValue）。外部事件ID定義在SecXT中，某一類型的安全事件中ID唯一。由于可能多個模塊報告同一個安全事件，所以有傳感器ID識別是哪個模塊。

當(dāng)接收到安全事件報告時，IdsM首先將事件保存在Event Buffer當(dāng)中，后續(xù)處理以及過濾將異步地在主函數(shù)中執(zhí)行。如果事件附帶額外數(shù)據(jù)，那么這個數(shù)據(jù)會保存在大小最匹配的Context Data Buffer中。

過濾鏈定義在SecXT中，每個過濾鏈可能包含的過濾器有：

BlockState Filter

Forward Every nth Filter

Event Aggregation Filter

Event THreshold Filter

Event Rate Limitation

Traffic Limitation

過濾順序自上方列表從上而下進(jìn)行。

入侵檢測系統(tǒng)報告器

IdsR從各個ECU的IdsM實(shí)例接收發(fā)送而來的QSEv，通信協(xié)議由IdsM協(xié)議規(guī)定。IdsR一般還會在接收到數(shù)據(jù)后添加地理位置等信息。

基于OEM的需求，數(shù)據(jù)可以發(fā)送到SOC，進(jìn)行更詳細(xì)的安全事故事件分析。

AUTOSAR不對IdsR進(jìn)行規(guī)范制定。

審核編輯：劉清