https://www.auto-testing.net/news/show-111378.html

1. 靜態防禦和動態防禦車輛網聯化消除了黑客攻擊車輛的地域和距離限制，給黑客遠端批量攻擊目標車輛提供了可能，車輛網聯化的快速發展使車輛面臨的資訊保安風險 1. 靜態防禦和動態防禦

車輛網聯化消除了黑客攻擊車輛的地域和距離限制，給黑客遠端批量攻擊目標車輛提供了可能，車輛網聯化的快速發展使車輛面臨的資訊保安風險顯著增加。車輛在設計和執行過程中，需要引入對應的資訊保安防護技術來應對黑客攻擊的風險。

認證、訪問控制、加密技術等資訊保安技術通常被稱為靜態防禦技術，即在車輛分析和設計階段，引入一些固定的安全機制，這些安全機制在實際執行過程中不做調整。靜態防禦技術特點在於：安全策略是固定的，不會根據車輛在實際執行過程中遇到的攻擊行為針對性進行安全防護。

單純的靜態防禦技術缺乏靈活性和針對性，不能很好地解決車輛所面臨的安全威脅。車輛入侵檢測與防禦系統IDPS（Intrusion Detection & Prevention System）將安全防護的重點放在對車輛當前狀態的安全檢測和動態響應上，即依據實際檢測出的攻擊事件，進行鍼對性的安全防禦。

相對認證、控制、加密等靜態安全技術，IDPS系統在車輛執行過程中發現實際發生的入侵事件以及靜態防禦機制的不足，進行鍼對性的安全策略更新，實現動態安全防護。以IDPS為代表的動態防禦是靜態防禦機制的一種重要補充，體現多重防禦的基本安全原則，更好保障網聯車輛的資訊保安。

2.IDPS的原理和結構

IDPS系統的核心功能是入侵檢測（Detection）和響應阻止（Prevention）。由於從理論上無法排除車輛IDPS系統的不當檢測結果，完全自動化的響應阻止可能會給車輛帶來潛在的風險。實際的車輛IDPS系統在檢測出入侵後，通常需要安全運維人員協助進行響應阻止，安全運維人員協助用於降低IDPS不當的響應方式帶來的風險。

完整的（或廣義的）車輛IDPS系統是端雲結合的動態防禦系統其工作原理如下圖所示：



初始防禦

車輛在下線（或OTA時），部署了初始的防禦機制，如介面認證，資料加密措施等。

檢測入侵

車輛在下線時，部署入侵檢測模組。車端入侵檢測模組主要採集車輛安全狀態和系統資料，並分析出可能存在的入侵事件。

上報入侵

通過車輛的網聯功能，車端入侵檢測模組將檢測出的入侵事件，上報到雲端伺服器。

入侵管理

雲端伺服器通常以安全運維中心（SOC）的形式存在，管理和呈現所有的車輛相關的事件（包括上報的入侵事件）和狀態。

相應決策

通過車輛的網聯功能，車端入侵檢測模組將檢測出的入侵事件，上報到雲端伺服器。

更新防護策略

通過OTA等方式，更新車端的安全防護策略，比如增加針對某遠端埠的控制規則等。

廣義的IDPS不僅強調檢測（Detection），還強調防禦（Prevention），這要求車端ECU支援的安全防護機制具有一定程度的靈活性、擴充套件性，能夠執行雲端動態下發的資訊保安防護策略。靈活支援動態防禦機制需要車端ECU進行專門化的設計，因而現在供應商提供的車輛IDPS系統通常只涉及對入侵事件的檢測，較少涉及對入侵事件的響應阻止，這種只涉及入侵檢測的IDPS通常被稱為IDS（Intrusion Detection System）系統。

3.數字鑰匙手機APP SDK元件

IDPS系統通常基於預先定義好的一套規則和演算法，進行入侵判定，即判斷測車輛是否受到入侵。下圖，以聯合電子規劃的IDPS系統為例說明入侵判定的基本過程。



IDPS系統的入侵判定過程涉及到三個功能元件：

檢測規則庫

IDPS系統基於預先生成的檢測規則庫（或知識庫）進行入侵判定，檢測規則庫在車輛下線前預置（或OTA重新整理）到車端模組中。聯合電子的IDPS提供了獨立的檢測規則學習和生成工具，該工具可以從實車資料中學習檢測規則，也支援資訊保安工程師編輯檢測規則。

資料採集模組

該模組實時採集車端各種智慧ECU中的資料、狀態、以及發生的事件，並將這些資料傳送入侵檢測演算法SDK進行分析。

入侵檢測演算法SDK

該元件基於採集到的資料，依據檢測規則，通過一定演算法過程來判斷車輛是否受到黑客入侵。

檢測規則庫需要佔用一定儲存資源，入侵檢測演算法SDK執行需要高算力的資源支援，因此，這二者通常部署在車端高效能的ECU上，如中央閘道器、T-box上。資料採集模組的部署位置依賴入侵檢測演算法需要採集哪些資料。

根據所監視保護的物件不同，IDPS系統分為兩個型別：網路型IDPS和主機型IDPS。

網路型IDPS

主要實現對車輛內部網路的保護，包括CAN網路、LIN網路、以及車載乙太網，用於檢測針對車輛內部網路的入侵事件。該類IDPS通過對車內網路報文的採集和分析，來發現是否存在攻擊性報文或異常報文，進一步識別出車輛是否受到攻擊。

主機型IDPS

對容易遭受黑客攻擊的關鍵ECU實現監視和保護，比如中央閘道器、TBox等，這些關鍵ECU容易受到黑客攻擊，安全風險相對較高。該型IDPS主要對ECU內發生的事件和狀態（外部連線、資源使用情況等）進行採集和分析，以發現針對該ECU的入侵事件。

主機型IDPS和網路型IDPS在採集的資料種類、入侵檢測演算法、入侵檢測規則上存在明顯的區別。對具體IDPS系統而言，可能只覆蓋一種檢測功能（主機型IDPS或網路型IDPS），或同時具有這兩種檢測功能。

4.聯合電子的車輛IDPS

聯合電子作為汽車電子產品和服務的供應商，非常重視產品的資訊保安，一直在跟蹤和研究包括車輛IDPS在內的車輛網路安全解決方案，使客戶的車輛免遭黑客攻擊，及時發現和響應針對車輛的黑客攻擊行為。聯合電子的閘道器產品已經為多個客戶實現第三方車輛IDPS的內嵌整合。同時，基於對車輛IDPS技術的深入研究，聯合電子也可以為客戶提供閘道器產品配套的自研IDPS解決方案。

聯合電子自研IDPS解決方案針對聯合電子閘道器的軟硬體平臺和功能特點定製，便於實現車輛IDPS和閘道器產品的自動化安全協同，在IDPS檢測出安全攻擊後，閘道器有條件協助完成網路阻斷等響應措施。

5.未來趨勢

隨著車輛的網聯功能及應用日益豐富，網聯汽車遭受黑客攻擊的風險日益增大，網聯汽車的資訊保安也愈發受到重視。一些汽車資訊保安相關的國內外標準和法規相繼出臺，並提出了車輛安全狀態監視的要求。比如《GB/T 38628-2020 資訊科技 汽車電子系統網路安全指南》和UN/WP.29 R155資訊保安法規中，都明確要求：聯網功能的汽車需要具有車輛網路安全狀態的監視（檢測）能力，實際上這相當於要求具有IDPS系統的部分功能。可以預見，實現車輛安全狀態監視和入侵分析的IDPS系統（或類似系統）會成為未來網聯車輛的主流網路安全配置。