持续的网络信息安全风险管理正成为VTA的要求。通过IDS车载入侵检测可以为整个车队提供信息安全保护。但是,分布式IDS的指导原则是什么?
为了满足UNECE.WP29法规要求,整车生产商和车队运营商必须对其车辆的网络安全采取一种基于风险的评估方法。联合国第155号条例(UN R155)以及ISO/SAE 21434规定,需要在车辆全生命周期内对整个车队进行持续的网络风险管理。因此,在未来,持续的状态监测和基于风险的安全措施将成为汽车网络安全的重要组成部分。
当涉及到车队时,车载入侵检测系统(IDS)通常是基于风险的持续保护的关键组成部分,以防止网络攻击。但在这种情况下,操作IDS可能是一个真正的挑战,因为E/E架构本质上依赖于分布式系统,其中车辆功能和ECU通过不同的软件和硬件平台以及不同的通信协议以各种方式进行交互。这就是为什么在车辆应用中有效的入侵检测需要一个分布式IDS。
确切地说,如何整合这种基于风险的分布式IDS,取决于每辆车的具体E/E架构。我们所需要的是一种解决方案,它不仅可以根据车辆系统的安全风险和所需的保护水平进行评估,还可以根据E/E架构的技术参数或资源限制寻求平衡。以下四个决定因素有助于决定如何进行:保护要求、攻击矢量、实施和维护。
入侵检测天然就会被部署于网络攻击后果最严重的地方;换句话说,在信息安全关键系统或那些对车辆和车队运行至关重要的系统中。但仅仅监控这些车辆系统是不够的。入侵检测系统穿透网络和连接单元进行监测工作同样重要,甚至更重要,即使这些网络和连接单元被网关与安全域隔开。
图1:以简化的E/E架构为例,对安全关键型车辆系统进行网络攻击的四个阶段。
- 第一阶段是通过远程连接进入车辆。
- 第二阶段是对具有远程接口的设备/系统的攻击。
- 第三阶段是试图通过车内网络到达目标系统。
- 第四阶段是试图对目标系统进行所需的操作。
一个系统的脆弱性的关键评价指标是其连接接口的安全性,无论是远程还是本地连接。最容易受到攻击的是具有无线接口的部件(如信息娱乐系统),具有容易访问(诊断)接口的部件和网络,以及具有外部通信连接(如用于下载数据)的部件及其周围网络。
在E/E架构中特别稀缺;这里必须考虑RAM、ROM和CPU负载等方面。还有一些重要的限制条件需要重点考虑。例如,CAN IDS要求在被监控的总线上接收所有的CAN帧,由于性能原因,事先不在硬件中过滤信息。然后是人员和专家资源。只有那些在汽车领域具有特定专业知识的人才有能力配置IDS规则。此外,复杂的配置和定期更新减少了IDS的误报数量,从而减轻了专家的负担。
一个IDS需要定期的引擎更新或临时更新(例如,根据可能影响车辆的新攻击)。它还需要定期的配置更新(至少是软件更新或车内通信更新),以确保异常检测机制的不断提升,并被来自现场的数据所检验和丰富。
车辆中分布式入侵检测系统(IDS)的第一个且最重要的应用是IDS传感器。它们可以被描述为确保系统掌握着车辆ECU和网络通信的脉搏。IDS传感器的工作是识别所有安全事件(SEvs)--包括数据流量的异常—预示着车辆系统受到了网络攻击或未经授权的访问。
这里必须对基于主机的入侵检测(基于主机的IDS,或HIDS)和基于网络的入侵检测(网络IDS,或NIDS)进行区分。由于HIDS传感器直接监测关键系统点,它们位于个别ECU上,如信息娱乐系统的ECU。它们是根据主机的具体特点和功能定制的,这使它们能够快速而精确地检测到可疑活动。然而,它们的视野仅限于单个ECU。
NIDS传感器的情况就不同了:它们监测特定网段的数据流量,不断分析网络、传输和应用协议的任何可疑活动。它们可以根据需要在车辆的内部网络中灵活地部署。但除了通过开放接口的攻击外,NIDS只有在被攻击的系统已经被攻破后才会检测到网络攻击或操纵。
分布式入侵检测系统(分布式IDS,或dIDS)旨在将来自分布式车载系统的所有相关安全数据汇集起来,形成安全状况的完整图景。在适当的情况下,它依赖于基于主机的传感器的检测精度或基于网络的传感器的更大范围。它还能适应车内网络使用的不同类型的通信标准组成的系统。通过这种方式,dIDS将整个车辆的SEvs联系起来。
不同的IDS传感器具有不同的功能。例如,AUTOSAR堆栈传感器通常只满足基本要求,如生成简单的错误信息。另一方面,智能传感器可以检查复杂的事项,并自主预过滤SEvs.它最终归结为结合合适的传感器并正确定位(图2)。
图2:不同的IDS传感器的应用场景
今天的车载IDS传感器遵循异常状况检测的原则开展工作;它们将偏离正常操作的情况登记为SEvs。这就是NIDS传感器如何将非定义的CAN ID或非定义的以太网MAC地址识别为潜在的IT SEvs。相比之下,一个HIDS传感器将登记"它的 "ECU上诊断会话的非法验证重复尝试。即使访问失败,在这种情况,也会被以SEvs的形式记录下来,因为它们可以算作多阶段攻击(网络攻击链)的尝试,因此可以被用于随后的取证和风险状况评估工作。
尽管如此,IDS的日志文件首先是关于检测到的异常情况;这些可能表明网络攻击或试图操纵,但也可能只是故障的结果。IDS还将记录其他与安全有关的信息,如成功的软件更新。因此,IDS传感器的精确性和可靠性不仅取决于在E/E架构中的正确定位,也取决于为其分配的规则。
这种基于规则的入侵检测的实用性在于这样一个事实,即车辆系统,无论多么复杂,往往都是静态的。原始设备制造商精确定义了系统中使用的组件和它们的工作方式,以及系统的资源消耗、协议和流量。更重要的是,与企业IT网络不同的是,运行中的车辆的系统架构并不意味着会发生变化或重新配置。这些固定的配置一般可以通过采取基于规则的方法来实现。最终,最好的情况是车辆支持NIDS和HIDS传感器的完全自动配置。
然而,在实践中,存在着一些挑战。OEM技术规格必须是完整的、无缺陷的,并且在需要时可以使用。此外,信号内容或物理规律必须被考虑到规则的扩展。只有通过应用特定的汽车工程知识,才能将车辆系统的互动转化为一套有效的规则。这也说明了为什么这种基于规则的IDS必须被纳入到汽车开发过程中。如果是这样的话,基于规则的IDS技术规范甚至需要在开发过程被测试验证。
检测发生在车辆部件和网络流量中的SEvs与根据车辆和车队所需的安全级别对这些事件进行有效汇总、鉴定和评估同样重要。dIDS在IDS管理器(IdsMs)和IDS报告器(IdsR)的帮助下,采用了额外的软件组件。在这里,IdsMs作为控制点,管理入侵检测的效率。IdsM是所有由连接到它的IDS传感器检测到的SEvs汇集的地方。除了过滤这些事件外,它还有一个重要的任务,就是去除任何噪音和非安全相关的事件。这里的目标是将数据量减少到必要的数量,以便只有合格的安全事件(QSEvs)被转发到后端进行进一步分析。
为此,必须在 IdsM 中为 IDS 传感器记录的 SEvs 定义一个中央数据格式。此外,IdsM中的过滤功能可以帮助确定哪些SEvs实际上被优先考虑为相关的,从而作为QSEvs转发给IdsR。这使得IdsM成为平衡传感器收集的数据的适当风险过滤和带宽适当的数据减少的元素。安装在车辆网络中的IdsMs的所有QSEvs最终汇集到IdsR中,IdsR将这些QSEvs集体发送到车辆安全运营中心(VSOC),以便对整个车队进行分析。(图3)
图3: IdsMs的所有QSEvs最终汇集到IdsR
因此,IdsMs的规范为分布式入侵检测提供了一个框架,必要时还可以通过各种HIDS和NIDS传感器扩展到E/E架构。这就是为什么这些规范必须在OEM整个供应链中得到考虑。为此,自R20-11以来,基本的IdsM规范已被整合到Classic AUTOSAR和Adaptive AUTOSAR版本中。事实上,AUTOSAR R20-11版本是首次为AUTOSAR堆栈中的DIDS制定了一致的标准。然而,考虑到各种ECU的不同,AUTOSAR Classic往往提供非常有限的资源,该版本中定义的功能范围代表了非常低的共同标准。
根据报告策略,当系统可以在E/E架构内提供更高的计算能力时,IdsM的功能范围可以大幅扩大,例如可以包括SEvs的更复杂的聚合以及更广泛的过滤功能。AUTOSAR也尚未指定IdsR,这意味着除了AUTOSAR规范外,OEM还需要一个车载dIDS的全局概念。
