智能網(wǎng)聯(lián)汽車信息安全發(fā)展報告（2021）系列十二：縱深防御技術(shù)架構(gòu)-車載內(nèi)部網(wǎng)絡(luò)安全防護(hù)

一、汽車網(wǎng)關(guān)信息安全

汽車網(wǎng)關(guān)，也稱為車輛連接網(wǎng)關(guān)（CVG，Connected vehicle gateway）或者汽車連接網(wǎng)關(guān)(CCG，Connected car gateway)，是允許車輛與外界通信的車輛入口點(entry point)。

這個入口點，我們稱之為中央集線器，它不僅與外界通信，而且還提供可靠和安全的無線通信。更重要的是，由于現(xiàn)在車輛的功能和特征不斷增長，比如，我們可以使用各種網(wǎng)絡(luò)接口，包括局域互聯(lián)網(wǎng)絡(luò)(LIN)、控制器局域網(wǎng)絡(luò)(CAN)，以及以太網(wǎng)等。車輛的網(wǎng)關(guān)必須能夠與任何，以及所有這些獨特的協(xié)議，及其范圍跨度很大的不同數(shù)據(jù)速率進(jìn)行有效通信。

（一）入侵檢測和防御系統(tǒng)

入侵檢測和防御系統(tǒng)（IDPS）的目的是被動監(jiān)視、檢測和記錄不適當(dāng)?shù)?、不正確的、可疑的或者異常的活動，當(dāng)這些可能代表入侵的活動被檢測到時，IDPS會發(fā)出報警和（或）自動響應(yīng)。入侵檢測過程可以監(jiān)控網(wǎng)絡(luò)中發(fā)生的事件并對它們進(jìn)行分析，以確定是否存在與設(shè)定的安全策略不符、可能引發(fā)事故、違規(guī)或迫在眉睫的威脅的跡象。入侵防御過程可以執(zhí)行入侵檢測，然后阻止檢測到的事故。這些安全措施整合為入侵檢測系統(tǒng) (IDS) 和入侵防御系統(tǒng) (IPS) 后部署到網(wǎng)絡(luò)中，可以幫助檢測并阻止?jié)撛诘氖鹿?。專職IT安全人員的職責(zé)是主動評審IDPS報警和相關(guān)日志以對恰當(dāng)?shù)捻憫?yīng)做出決策。當(dāng)組織需要迅速檢測對組織信息系統(tǒng)的入侵并進(jìn)行適當(dāng)響應(yīng)時，宜考慮部署IDPS。組織可通過獲取IDPS軟件和（或）硬件產(chǎn)品來部署IDPS，也可通過向IDPS服務(wù)提供商外包IDPS能力的方式部署IDPS。

入侵檢測通用模型將IDS（入侵檢測系統(tǒng)）分為事件產(chǎn)生器（event generators）、事件分析器（event analyzers）、響應(yīng)單元（response units）、事件數(shù)據(jù)庫（event databases）4個部分，如圖所示。其中，IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件；事件發(fā)生器從計算環(huán)境中收集事件，并將這些事件轉(zhuǎn)換成由CISL（common intrusion specification language）定義的通用格式GIDO（generalized intrusion detection objects）傳送給其他組件；事件分析器解析收到的GIDO并生成分析結(jié)果；響應(yīng)單元根據(jù)得到的分析結(jié)果采用一定的措施，比如報警處理等；事件數(shù)據(jù)庫用于儲存GIDO的中間或最終結(jié)果。

圖1 CIDF

入侵檢測技術(shù)分為兩類：異常入侵檢測（anomaly detection）和誤用異常檢測（misuse detection）。異常入侵檢測亦稱基于行為或活動的入侵檢測，它的假設(shè)是入侵者活動異常于正常主體的活動。異常檢測首先為對象的正常行為創(chuàng)立行為輪廓，稱為“活動簡檔”，當(dāng)檢測到當(dāng)前主體的活動狀況與“活動簡檔”相比較違反其統(tǒng)計規(guī)律時，即視為入侵。異常檢測具有檢測系統(tǒng)中未知攻擊的能力，但其困難之處在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為，所以誤報率較高。異常檢測的局限在于并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計算和更新。誤用入侵檢測亦稱為基于規(guī)則的檢測，它首先定義異常系統(tǒng)行為，然后將所有其他行為定義為正常。誤用入侵檢測主要在于如何表示入侵的特征以準(zhǔn)確無誤地區(qū)分入侵行為和正常行為，該方法的亮點是能夠明確地標(biāo)出入侵的類型，可以簡單地將已知攻擊添加到模型中，且擁有較低的誤報率和較高的正確率。不足之處是該方法的漏報率高，因為它只能發(fā)現(xiàn)已有的攻擊，無法識別未知的攻擊；實時更新與維護(hù)特征庫也比較困難。異常入侵檢測和誤用入侵檢測這兩種檢測各有其優(yōu)點和不足之處，因此，在實際使用中往往聯(lián)合使用這兩種方法。

組織能從市場上獲取IDPS軟件和（或）硬件產(chǎn)品，或通過向IDPS服務(wù)提供商外包IDPS功能等方式部署IDPS。任何情況下，組織宜知道IDPS不是一個即插即用設(shè)備，其有效部署需要組織對IDPS有所理解。

對每個控制，組織需要根據(jù)信息安全風(fēng)險評估證明IDPS部署的有效性，并將IDPS部署融入信息安全管理過程。另外，需要考慮到，一旦入侵者或攻擊者竊聽了包含已部署IDPS內(nèi)的信息并且覆蓋它，將使組織遭遇巨大的困難。這些困難包括如何識別并證明保護(hù)措施（如IDPS）需求。組織及有關(guān)系統(tǒng)或服務(wù)安全策略宜聲明將要選擇的保護(hù)措施以便適當(dāng)?shù)墓芾砣肭诛L(fēng)險。

像每個控制一樣，組織需要根據(jù)信息安全風(fēng)險評估證明IDPS部署的有效性，并將其融入信息安全管理過程。另外，需要考慮到，萬一入侵者和攻擊者竊聽了包含已部署的IDPS內(nèi)的信息并且覆蓋它，將使組織面臨巨大的困難。

若以不安全方式實施IDPS傳感器，就像網(wǎng)絡(luò)上的其他設(shè)備一樣，它很可能會被攻擊。在攻擊者了解其存在的情況下，他們更傾向于嘗試并利用IDPS任何已知的脆弱性。攻擊者可能試圖使IDPS失去能力，或者強迫它提供錯誤信息。另外，許多IDPS存在安全弱點，如發(fā)送未加密的日志文件、限制訪問控制和缺乏對日志文件的完整性檢查。以一種安全的方式實施IDPS傳感器和控制平臺是必要的，并宜處理IDPS的潛在弱點。

1.異常入侵檢測

基于機(jī)器學(xué)習(xí)的異常檢測方法。該方法關(guān)注構(gòu)造一個基于先前規(guī)則的，可以改進(jìn)性能的系統(tǒng)。

目前利用神經(jīng)網(wǎng)絡(luò)來檢測入侵工作的方法有基于系統(tǒng)調(diào)用的入侵檢測系統(tǒng)——系統(tǒng)調(diào)用序列分析，基于概率的不確定性推理網(wǎng)絡(luò)——貝葉斯網(wǎng)絡(luò)，以及馬爾科夫鏈模型。但由于訓(xùn)練數(shù)據(jù)的容量不足以概括所有數(shù)據(jù)的特點，其檢測能力存在過度擬合訓(xùn)練集，而不是測試集。而且神經(jīng)網(wǎng)絡(luò)訓(xùn)練消耗資源普遍較多，訓(xùn)練時間普遍較長，如何在保證檢測準(zhǔn)確率的前提下更加高效而低耗地訓(xùn)練神經(jīng)網(wǎng)絡(luò)是目前的一個難點。

基于統(tǒng)計的異常檢測方法。該方法依據(jù)已發(fā)生事件對未來事件進(jìn)行預(yù)測：系統(tǒng)觀察主體行為并產(chǎn)生輪廓代表主體行為。通常，每個主體都保持有兩個輪廓：當(dāng)前輪廓和儲存輪廓，并定期計算異常評分，通過異常函數(shù)比較當(dāng)前輪廓與儲存輪廓，如果異常值高于閾值，則系統(tǒng)發(fā)出入侵警報。此方法具有較強的時序模式，但由于并不是所有系統(tǒng)行為都可以使用純粹的統(tǒng)計方法建模，所以該方法無法檢測不規(guī)則的入侵行為。

基于數(shù)據(jù)挖掘的異常入侵檢測用數(shù)據(jù)作為輸入，并從中找出肉眼不易看出的模式和偏差。數(shù)據(jù)挖掘添加關(guān)注異常檢測的層次，改善入侵檢測的過程。通過識別正常網(wǎng)絡(luò)活動邊界，從普通網(wǎng)絡(luò)流量中識別出攻擊行為?；跀?shù)據(jù)挖掘的異常入侵檢測方法分為分類檢測，即把審計數(shù)據(jù)分類為正?；虍惓?；聚類和孤立點檢測和關(guān)聯(lián)規(guī)則檢測。

2.基于簽名的誤用入侵檢測

為了檢測基于簽名的 IDS 攻擊，它必須擁有可以與檢測到的攻擊表現(xiàn)相匹配的攻擊描述。這可以像匹配網(wǎng)絡(luò)數(shù)據(jù)包的一部分的特定模式一樣簡單，也可以像將多個傳感器輸出映射到抽象攻擊表示的狀態(tài)機(jī)或神經(jīng)網(wǎng)絡(luò)描述一樣復(fù)雜。

如果可以找到適當(dāng)?shù)某橄?，基于簽名的系統(tǒng)可以識別以前未見過的與已知模式抽象等效的攻擊。當(dāng)簽名與侵入式和非侵入式傳感器輸出相匹配時，它們本質(zhì)上無法檢測到真正的新型攻擊并遭受誤報?？梢酝ㄟ^多種方式開發(fā)簽名，從手動翻譯攻擊表現(xiàn)到使用標(biāo)記的傳感器數(shù)據(jù)進(jìn)行自動訓(xùn)練或?qū)W習(xí)。由于給定的簽名與已知的攻擊抽象相關(guān)聯(lián)，因此基于簽名的檢測器相對容易為攻擊指定名稱（例如 Smurf、Ping-of-Death）。

Axelsson 分類法中處理基于簽名的系統(tǒng)的范圍從非常簡單到非常復(fù)雜。最簡單的系統(tǒng)是進(jìn)行簡單的字符串匹配或遵循簡單規(guī)則的系統(tǒng)。許多這些系統(tǒng)能夠基于單個網(wǎng)絡(luò)數(shù)據(jù)包做出決定。對于一大類攻擊，特別是那些針對特定漏洞的攻擊，例如從網(wǎng)絡(luò)讀取輸入的程序中的緩沖區(qū)溢出可能性，這就足夠了。類似地，可以在單個數(shù)據(jù)包的基礎(chǔ)上檢測到涉及數(shù)據(jù)包病理（例如相同的源地址和目標(biāo)地址）的攻擊。需要執(zhí)行多個步驟的漏洞利用需要 IDS 考慮多個數(shù)據(jù)項，無論是一系列網(wǎng)絡(luò)數(shù)據(jù)包還是一組審計記錄。所有處理方法都將一些已知攻擊的表示編碼為可以與感測數(shù)據(jù)進(jìn)行比較的形式。當(dāng)感測到的數(shù)據(jù)與模式匹配時識別出攻擊。除了相對較少的例外，基于簽名的系統(tǒng)以相當(dāng)具體的數(shù)據(jù)表示運行。過于具體的簽名會錯過已知攻擊的微小變化，而過于籠統(tǒng)的簽名會產(chǎn)生大量的誤報。一些更成功的系統(tǒng)，例如 STAT 系列，對某些類別的攻擊使用一個足夠抽象的表示，以便能夠識別那些在簽名創(chuàng)建時未知的“新”攻擊。這種行為是一種例外，通常，基于簽名的IDS，就像病毒檢測器一樣，在發(fā)現(xiàn)新的攻擊時必須更新。大多數(shù)商業(yè)系統(tǒng)都屬于這一類，在選擇部署系統(tǒng)時，更新的方便性和頻率是一個問題。

二、ECU安全通信

（一）硬件安全模塊（HSM）

隨著工業(yè)系統(tǒng)、汽車及其子系統(tǒng)（如ADAS，自動駕駛，信息娛樂）的持續(xù)性增長和發(fā)展，對數(shù)據(jù)完整性和系統(tǒng)身份驗證的需求也在不斷增長。嵌入式安全性的一個非常重要的方面是硬件安全模塊（HSM），是提供安全密鑰管理和加密處理的安全區(qū)域，將多應(yīng)用程序功能與實時通信結(jié)合在了一起。

對于ECU層級的安全，硬件安全模塊（HSM）很關(guān)鍵。如圖所示，左邊是Tricore及相應(yīng)的外設(shè)，右邊就是HSM，中間隔了一層防火墻，可以有效保護(hù)HSM。HSM本身有自己的內(nèi)核，可以做一些加密解密運算，同時內(nèi)部也有一些模塊是做各種安全算法的，比如ECC256，Hash算法等，還有隨機(jī)數(shù)生成TRNG；另外HSM也有自己獨有的RAM和Flash，只有HSM的內(nèi)核才可以訪問，Tricore是訪問不了的。有了HSM，可以將一些Key存儲在HSM的Flash，也可以通過HSM來進(jìn)行加密或解密，這樣安全性會得到相應(yīng)的保證。

圖2 HSM

為了達(dá)到期望的ECU安全性，單純的軟件解決方案往往是不足的。HSM能夠提高嵌入式系統(tǒng)對更復(fù)雜攻擊的抵抗能力，并且可以為密鑰數(shù)據(jù)、以及針對軟件篡改提供擴(kuò)展的保護(hù)。

然而，硬件安全模塊集成過程的復(fù)雜程度很高，并且要求在控制單元內(nèi)創(chuàng)建第二個獨立的軟件環(huán)境。此處適用特殊的安全要求，它們與軟件開發(fā)方面的通用功能安全性（Safety）要求并不一致。

通過采用一套專門的安全技術(shù)，確保通過HSM可以實現(xiàn)的安全收益不會被抵消；通過使用一套交鑰匙軟件解決方案以及成熟的接口，確保可以控制由于安全功能嵌套所導(dǎo)致的開發(fā)復(fù)雜度，同時為應(yīng)用程序開發(fā)人員留出了足夠的空間，讓他們能夠?qū)Ｗ⒂谧钪匾哪繕?biāo)--ECU的功能性。

HSM固件高效且面向未來的構(gòu)架以及已經(jīng)推出的品種繁多的模塊為HSM的使用提供了無限的可能：從簡單的密鑰操作，SHE/SHE+功能的仿真和控制單元安全的引導(dǎo)，直至復(fù)雜的證書管理或者后臺運行軟件篡改識別功能。這些功能可以各自單獨使用或者全部同時使用。

歡迎相關(guān)企業(yè)和專家交流咨詢！

聯(lián)系人：朱云堯（zhuyunyao@caeri.com.cn）