背景描述

隨著車聯(lián)網(wǎng)的廣泛普及，車載 ECU 等設(shè)備的聯(lián)網(wǎng)能力逐漸增強。汽車擁有大量的隱私數(shù)據(jù)且具有控制能力，面臨著更大的被攻擊風險，且汽車安全關(guān)系到駕駛?cè)藛T的生命安全，系統(tǒng)必須保證能識別并響 應(yīng)各種新型的攻擊方式，因此需要在車載系統(tǒng)中部署入侵檢測系統(tǒng)，及時發(fā)現(xiàn)并阻斷系統(tǒng)中各種攻擊行為。“入侵檢測”（Intrusion Detection）是指對收集網(wǎng)絡(luò)流量和系統(tǒng)日志、或者應(yīng)用程序行為記錄等信息， 以此識別攻擊和威脅，收集的信息具體包括網(wǎng)絡(luò)的流量數(shù)據(jù)、用戶節(jié)點的通信方式、系統(tǒng)的統(tǒng)計數(shù)據(jù)、日志記錄等內(nèi)容，并與配置的入侵檢測規(guī)則進行匹配，判斷網(wǎng)絡(luò)或系統(tǒng)是否存在異常行為，并判斷是否進 行告警或者進行相應(yīng)的異常響應(yīng)。

實現(xiàn)概要（日志監(jiān)控系統(tǒng)）

日志監(jiān)控的基本思想是監(jiān)控操作系統(tǒng)的日志記錄，包括系統(tǒng)日志和應(yīng)用日志，從而監(jiān)測系統(tǒng)的異常 行為。基于控制器的入侵檢測系統(tǒng)首先對系統(tǒng)和應(yīng)用日志、系統(tǒng)行為、環(huán)境等信息進行數(shù)據(jù)采集；然后對日志進行解析，并范式化；并結(jié)合配置的規(guī)則對日志記錄進行分析匹配；最后將事件告警上報到云端管 理平臺或是進行本地響應(yīng)處理。需要注意的是，在日志監(jiān)控過程中需要將預(yù)處理后的采集數(shù)據(jù)和分析結(jié)果，存儲在數(shù)據(jù)庫中。

圖7.4-1 日志監(jiān)控原理日志監(jiān)控原理說明

日志采集

系統(tǒng)日志包括：操作系統(tǒng)日志；SYSLOG 等系統(tǒng)服務(wù)；系統(tǒng)行為日志，如：SSH、FTP 異常登錄行為的監(jiān)控，多次連續(xù)的密碼鑒別失敗；系統(tǒng)環(huán)境日志，如：系統(tǒng) CPU、內(nèi)存、網(wǎng)絡(luò)連接狀態(tài)等系統(tǒng)運行環(huán)境的監(jiān)控。

解析格式化與匹配

將不同來源的日志記錄，進行數(shù)據(jù)預(yù)處理，形成統(tǒng)一的日志格式，并與配置的檢測規(guī)則進行匹配，如：SSH 暴力破解對應(yīng)的檢測規(guī)則，檢測規(guī)則字段如下：規(guī)則 ID安全等級描述所屬分組發(fā)生頻率（可選）時間戳（可選）

日志存儲

日志加密后存儲在本地或云端，每次更新日志后，也自動更新校驗碼；上傳日志時對日志內(nèi)容進行校驗。

告警與響應(yīng)

日志分析后，將分析結(jié)果上報管理節(jié)點，由管理節(jié)點調(diào)用日志庫上報到云端管理平臺    VSOC。并根據(jù)安全事件的類型進行被動響應(yīng)，如果事件與預(yù)定義的響應(yīng)動作匹配，則進行相應(yīng)的響應(yīng)處理。

實現(xiàn)詳細（日志監(jiān)控系統(tǒng)）

日志監(jiān)控流程：

1. 日志采集，主動或被動方式進行定期采集；

2. 日志解析和格式化，日志記錄處理為統(tǒng)一格式；

3. 日志分析與規(guī)則匹配，與配置規(guī)則進行模式匹配；

4. 日志上報與響應(yīng)，調(diào)用日志庫上報云端或進行主動響應(yīng)；

5. 日志存儲，日志加密后存儲到本地或云端數(shù)據(jù)庫。

實現(xiàn)概要（網(wǎng)關(guān)監(jiān)控系統(tǒng)）

網(wǎng)關(guān)監(jiān)控通過截取或旁路網(wǎng)關(guān)接收的 CAN 數(shù)據(jù)，并使用規(guī)則庫中的規(guī)則對截取的報文進行檢查，對判定為異常的報文數(shù)據(jù)進行報警。主要包含采集器、檢測、防御和事件管理幾個部分。采集器負責網(wǎng)關(guān)各個子網(wǎng)絡(luò) CAN 總線上的數(shù)據(jù)直采，防火墻負責規(guī)則解析、匹配和執(zhí)行，事件管理負責事件的檢測和上報。

圖7.4-2 GW安全監(jiān)控原理網(wǎng)關(guān)監(jiān)控原理說明：

采集器

提供 ISR 和進程 / 線程方式直接收集 CAN 總線幀報文的 API 接口，為規(guī)則解析器提供數(shù)據(jù)。

防火墻

防火墻包括規(guī)則解析器和執(zhí)行器。規(guī)則解析器依據(jù)規(guī)則庫中的規(guī)則對 CAN 總線幀報文進行解析和匹配，執(zhí)行器根據(jù)匹配結(jié)果對幀報文進行以下處理：（1）隔離：阻斷當前管道的數(shù)據(jù)傳輸，丟棄數(shù)據(jù)。（2）提交：維持當前管道的數(shù)據(jù)傳輸，向上層應(yīng)用和事件檢測提交幀報文。CAN 總線規(guī)則字段可分為：規(guī)則動作事件 IDCAN IDCan Length掩碼data

規(guī)則動作

規(guī)則包括 alert、drop、alert 表示檢測到威脅后告警，本條規(guī)則將會下發(fā)到 CAN 網(wǎng)關(guān)中的檢測模塊；drop 表示檢測到威脅后丟棄包，本條規(guī)則將會下發(fā)到 CAN 網(wǎng)關(guān)中的防御模塊。通常，通過對防火墻進行防御規(guī)則配置，執(zhí)行丟棄動作。

事件管理器

事件管理器包括緩沖區(qū)內(nèi)存池管理，事件檢測、統(tǒng)計及發(fā)送。內(nèi)存池可選動態(tài)或靜態(tài)分配方式，大小可配，環(huán)形方式存取和管理。可檢測 CAN 總線實時負載率，幀報文頻率等，統(tǒng)計后的事件最終會以 CAN 報文發(fā)送給 T-BOX。

實現(xiàn)詳細（網(wǎng)關(guān)監(jiān)控系統(tǒng)）

網(wǎng)關(guān)監(jiān)控流程：

1. CAN 總線數(shù)據(jù)直采，采集 CAN 總線網(wǎng)絡(luò)流量信息。

2. 規(guī)則解析，經(jīng)過對規(guī)則庫的分類提取，對 CAN 總線幀報文進行解析和匹配。

3. 規(guī)則執(zhí)行，執(zhí)行器根據(jù)匹配結(jié)果決定進行阻斷當前管道的數(shù)據(jù)傳輸或向上層應(yīng)用和事件檢測提交幀報文。

4. 事件檢測與統(tǒng)計，對入侵檢測事件、數(shù)據(jù)包、總線負載率進行檢測和統(tǒng)計。

5. 事件發(fā)送，將統(tǒng)計后的事件以 CAN 報文發(fā)送給 T-BOX。