背景描述

隨著 ISO 21434 標(biāo)準(zhǔn)以及 WP29 法規(guī)的發(fā)布實施，智能網(wǎng)聯(lián)汽車需要具備法規(guī)要求的安全監(jiān)測系統(tǒng)，以滿足汽車的合規(guī)性與日益增長的安全需求。當(dāng)前，業(yè)界有以下急需解決的問題：信息安全組件部署的架構(gòu)差異會導(dǎo)致組件之間難以相互匹配；國產(chǎn)芯片需要實現(xiàn)汽車信息安全的多層次全覆蓋防御機制以保障其安全性；針對不同型號汽車的檢測規(guī)則變更需要做到快速的功能開發(fā)及運維支持。針對以上問題， 涵蓋 IDPS(Intrusion Detection & Prevention System) 的安全監(jiān)測系統(tǒng)已經(jīng)成為當(dāng)代汽車技術(shù)領(lǐng)域的關(guān)鍵核心技術(shù)。“安全監(jiān)測” (Safety Monitoring) 是指車端各域控在運行過程中需對各節(jié)點受到的外部入侵及內(nèi)部異常行為進行監(jiān)測、阻斷及響應(yīng)，并將識別出的安全事件以日志形式上報到云端進行分析處理。

實現(xiàn)概要

一個有效的整車信息安全防護應(yīng)該是一個分布式縱深檢測防護機制。圖 7.3-1 給出了針對新一代 EE 架構(gòu)的整車分布式入侵檢測防御系統(tǒng)的部署方案，這也是在一些主機廠已經(jīng)或正在落地的方案。實現(xiàn)車端對外部入侵與系統(tǒng)運行異常的檢測、阻斷、應(yīng)急響應(yīng)、日志上報云端等功能。

圖7.3-1 整車分布式入侵檢測防御系統(tǒng)以 AUTOSAR 架構(gòu)方式實施的 IDPS 系統(tǒng)可以完成標(biāo)準(zhǔn)化的實施落地，標(biāo)準(zhǔn)化接口便于適配其他AUTOSAR 架構(gòu)下的組件，為 OEM 提供更多選擇。IDPS 在各個域如座艙、智駕、底盤進行分布式部署， 通過部署在連接傳輸層、跨域融合層、區(qū)域控制層，形成了一套從邊界防御向縱深防御的整車安全防護體系，實現(xiàn) AUTOSAR 及 Linux/Android/QNX 等操作系統(tǒng)的垂直覆蓋。IDPS 可以通過工具鏈實現(xiàn)功能的快速配置，可以適配多種汽車型號、檢測規(guī)則的變更，實現(xiàn)多種檢測防御功能及數(shù)據(jù)安全功能的覆蓋和擴展。通過 IDPS 的標(biāo)準(zhǔn)架構(gòu)、靈活布置、組件解耦、兼容其它PKI，提升安全監(jiān)測系統(tǒng)的泛用性，使其成為汽車信息安全的重要一環(huán)。面對各域控制節(jié)點的外部入侵（如圖 7.3-2 所示），首先通過 NIDPS(Network Intrusion Detection & Prevention System) 進行檢測、防御（包括阻斷、清除），同時通過 NIDS 進行從 CAN/Eth/WiFi/BLE 等路徑入侵的異常行為識別；HIDPS(Host-based Intrusion Detection & Prevention System) 對系統(tǒng)資源、文件完整性、病毒等進行實時監(jiān)測，識別出系統(tǒng)自身的異常行為；各域控制節(jié)點的安全監(jiān)測日志在存儲、聚合處理后，通過代理上傳到云端的安全監(jiān)測平臺進行分析和處理。

圖7.3-2 安全監(jiān)測流程組件說明：

NIDPS/IDS

NIDPS 指網(wǎng)絡(luò)型入侵檢測防御系統(tǒng)，主要包含 CAN 網(wǎng)絡(luò)檢測和 Eth 網(wǎng)絡(luò)檢測、Eth 網(wǎng)絡(luò)防御等。CAN 網(wǎng)絡(luò)檢測主要包括了 CAN DLC 檢測、周期檢測、上下文檢測、UDS 協(xié)議檢測等；Eth 網(wǎng)絡(luò)檢測主要包括 DDoS 攻擊、SOME/IP 檢測、DoIP 檢測、上下文檢測等；Eth 網(wǎng)絡(luò)防御主要為防火墻。其中，區(qū)域控制層中搭載的 IDS 僅負(fù)責(zé) CAN 網(wǎng)絡(luò)檢測和 Eth 網(wǎng)絡(luò)檢測，不具有防御功能；跨域融合層的 NIDPS 具有檢測、防御功能；連接傳輸層的 NIDPS 主要負(fù)責(zé)通信代理與外界交互過程中的防火墻功能。

HIDPS

HIDPS    指主機型入侵檢測防御系統(tǒng)，針對系統(tǒng)層面的惡意文件，以及用戶操作導(dǎo)致的系統(tǒng)異常進行檢測。主要包括可疑進程檢測、文件完整性檢測、系統(tǒng)資源監(jiān)測、開放端口檢測、病毒檢測等，可以進行緩存清理、病毒清理等應(yīng)急處置。

策略管理

策略管理包括檢測防御策略管理、應(yīng)急響應(yīng)策略管理、數(shù)據(jù)安全策略管理。云端對上述策略的更新會通過策略管理模塊下發(fā)到各 IDPS 子節(jié)點，提升整體的防御策略。其中，車端應(yīng)急響應(yīng)策略的觸發(fā)依賴于車端對威脅等級的判別結(jié)果，如果沒有相應(yīng)的應(yīng)急響應(yīng)策略，會與云端進行交互進行響應(yīng)策略的獲取。

日志管理

日志管理模塊主要進行日志生成、日志存儲、日志上報云端。該模塊根據(jù)上報策略進行日志的聚合、過濾、脫敏、加密、壓縮等處理，將處理后的日志內(nèi)容根據(jù)相關(guān)法規(guī)要求進行內(nèi)部存儲，并通過代理上傳到云端。在分布式部署時，一般在各域控進行日志存儲，在一定存儲周期后進行老化，保證了符合法律 法規(guī)關(guān)于安全日志留存時間的要求。

實現(xiàn)詳細(xì)（HIDPS-USB 接口檢測防御）

針對具備 USB 接口的移動存儲介質(zhì)中攜帶有害文件并接入汽車 USB 接口時對汽車安全造成的威脅， 需要通過安全監(jiān)測系統(tǒng)進行外部接口檢測中的 USB 安全檢測。

1. 主機型檢測：HIDS 對 USB 文件進行病毒檢測，基于車載輕量病毒庫進行離線檢測，利用病毒特征庫與文件進行特征比對檢測 USB 文件是否存在惡意軟件或病毒文件，若存在則需要進行告警；HIDS 對 USB 文件進行端口訪問控制檢測，驗證車輛是否可以執(zhí)行除媒體文件和指定簽名的應(yīng)用軟件外的其他文件，若可以運行則需進行告警；如達到一定的威脅等級，且車端策略管理模塊具有相應(yīng)的應(yīng)急響應(yīng)策略， 可執(zhí)行應(yīng)急響應(yīng)以提升檢測防御效果。

2. 主機型防御：HIPS 對 USB 文件中已識別的有害入侵，在策略允許（如提示用戶，用戶選擇同意清除）時進行清除，此項功能需系統(tǒng)對安全監(jiān)測系統(tǒng)授予相關(guān)權(quán)限，根據(jù)防御策略進行清理；日志上報：根據(jù) 章節(jié) 3.4.9 系統(tǒng)日志管理中的具體要求，將告警信息寫入安全監(jiān)測日志，對日志進行加密、壓縮等處理，（其中日志格式可根據(jù)具體場景進行配置）；根據(jù)各域控的告警存儲策略，將安全監(jiān)測日志在特定存儲模塊進行存儲；結(jié)合云端存儲策略，滿足相關(guān)標(biāo)準(zhǔn)法規(guī)對安全監(jiān)測日志存儲的要求；根據(jù)數(shù)據(jù)安全標(biāo)準(zhǔn)法規(guī)要求， 將安全監(jiān)測日志在脫敏等處理后，通過 T-BOX 中的代理向云端上傳，實現(xiàn)告警信息的上報。

3. 云端處理：安全監(jiān)測日志在云端進行分析、存儲與處理，可以通過云端平臺（如安全運營平臺）進行數(shù)據(jù)呈現(xiàn)；可通過云端威脅分析與態(tài)勢預(yù)警來優(yōu)化防御策略；可在云端進行策略更新與編制，并下發(fā) 車端的策略管理模塊，進而更新車端 HIDPS 檢測策略，以提升車端對 USB 文件的安全監(jiān)測效果；同時， 告警信息可以推送相關(guān)人員進行應(yīng)急維護處理。