我是穿拖鞋的漢子，魔都中堅(jiān)持長(zhǎng)期主義的汽車(chē)電子工程師。

老規(guī)矩，分享一段喜歡的文字，避免自己成為高知識(shí)低文化的工程師：

沒(méi)有人關(guān)注你。也無(wú)需有人關(guān)注你。你必須承認(rèn)自己的價(jià)值，你不能站在他人的角度來(lái)反對(duì)自己。人生在世，最怕的就是把別人的眼光當(dāng)成自己生活的唯一標(biāo)準(zhǔn)。到最后，既沒(méi)有活成別人喜歡的樣子，也沒(méi)有活成自己想要的樣子。
我們只有接納真實(shí)的自己，不自卑、不自傲，才能擁有更強(qiáng)大的內(nèi)心；只有找到自己的核心價(jià)值，才能活出自己的精彩人生。

本文主要講述如下內(nèi)容，接著上一篇的介紹內(nèi)容，繼續(xù)聊AUTOSAR 安全啟動(dòng)相關(guān)內(nèi)容：

-> 1、入侵檢測(cè)概述

-> 2、入侵檢測(cè)分類(lèi)

-> 3、入侵檢測(cè)適用范圍

-> 4、入侵檢測(cè)實(shí)施過(guò)程

一、入侵檢測(cè)概述

入侵檢測(cè)系統(tǒng)（intrusion detection system，簡(jiǎn)稱 “IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。

IDS依照一定的安全策略，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果、以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵檢測(cè)技術(shù)是當(dāng)前車(chē)輛環(huán)境下用來(lái)發(fā)現(xiàn)攻擊的主要方法，可發(fā)現(xiàn)系統(tǒng)已經(jīng)發(fā)生的或潛在的安全威脅，通過(guò)對(duì)系統(tǒng)的活動(dòng)、用戶行為等進(jìn)行監(jiān)控，檢測(cè)非法的外部入侵、越權(quán)訪問(wèn)、以及內(nèi)部用戶的非法活動(dòng)，并且記錄與上報(bào)所檢測(cè)發(fā)現(xiàn)的入侵事件至云端的車(chē)輛安全運(yùn)營(yíng)中心，進(jìn)行安全預(yù)警、分析與響應(yīng)。

二、入侵檢測(cè)分類(lèi)

依據(jù)手段主要分為兩類(lèi)：

1、基于主機(jī)的入侵檢測(cè)系統(tǒng)

作為主機(jī)系統(tǒng)的監(jiān)視器和分析器，它并不作用于外部接口，而是專注于系統(tǒng)內(nèi)部，監(jiān)視系統(tǒng)全部或部分的動(dòng)態(tài)的行為以及整個(gè)計(jì)算機(jī)系統(tǒng)的狀態(tài)。通過(guò)監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來(lái)檢測(cè)入侵，日志中包含發(fā)生在系統(tǒng)上的不尋?；顒?dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或者已經(jīng)成功入侵了系統(tǒng)，通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并啟動(dòng)相應(yīng)的應(yīng)急措施。

2、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)等外部接口，采集數(shù)據(jù)并加以分析現(xiàn)象，對(duì)收集漏洞信息、造成拒絕訪問(wèn)及獲取超出合法范圍的系統(tǒng)控制權(quán)等危害系統(tǒng)安全的行為，給出響應(yīng)對(duì)策。

三、入侵檢測(cè)適用范圍

（1）、入侵檢測(cè)系統(tǒng)從攻擊來(lái)源角度可適用于檢測(cè)以下攻擊來(lái)源:

1、車(chē)輛外部接口攻擊來(lái)源：控制通道、配置通道、數(shù)據(jù)通道；4G/5G 網(wǎng)絡(luò)、WIFI、藍(lán)牙、USB、攝像頭等；

2、車(chē)輛內(nèi)部接口攻擊來(lái)源：以太網(wǎng)、CAN；

（2）、從攻擊行為角度可適用于檢測(cè)以下攻擊行為：

1、重放：攻擊者重復(fù)發(fā)送網(wǎng)絡(luò)中其他設(shè)備正常傳輸?shù)膱?bào)文，根據(jù)不同場(chǎng)合可以達(dá)到不同效果。當(dāng)重放報(bào)文是控制指令時(shí)，可以令設(shè)備運(yùn)行異常，當(dāng)重放報(bào)文是認(rèn)證指令時(shí)，可以使得重放來(lái)源獲取認(rèn)證，導(dǎo)致攻擊者權(quán)限提升；

2、 DoS 攻擊（Denial of Service）：拒絕服務(wù)攻擊，造成 DoS 的攻擊行為被稱為 DoS 攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)；

3、篡改：攻擊者在正常報(bào)文的傳輸過(guò)程中，對(duì)報(bào)文進(jìn)行修改；或?qū)ξ募M(jìn)行替換、修改。

四、入侵檢測(cè)實(shí)施過(guò)程

1、事件采集：各個(gè) ECU 獲取被監(jiān)控系統(tǒng)或網(wǎng)絡(luò)的信息，作為原始數(shù)據(jù)，用以進(jìn)行入侵檢測(cè)和分析。數(shù)據(jù)來(lái)源通常包括網(wǎng)絡(luò)流程信息和各種日志數(shù)據(jù)。

2、事件分析：通過(guò)采集的事件數(shù)據(jù)，對(duì)入侵直接進(jìn)行分析。針對(duì)不同環(huán)境的需求，對(duì)事件進(jìn)行不同程度的分析。例如，異常行為的區(qū)分，入侵行為的認(rèn)定，攻擊原因和趨勢(shì)分析，以及攻擊場(chǎng)景構(gòu)建等。

常見(jiàn)的入侵行為定義包括以下行為

-> CAN 報(bào)文如檢測(cè)到周期異常，則可能是攻擊者接入到車(chē)內(nèi)網(wǎng)絡(luò)進(jìn)行報(bào)文重放，導(dǎo)致周期異常；

-> CAN 報(bào)文如檢測(cè)到校驗(yàn)（CRC8、CRC16）錯(cuò)誤，則可能是攻擊者對(duì)報(bào)文進(jìn)行采集，并進(jìn)行篡改后發(fā)送到車(chē)內(nèi)網(wǎng)絡(luò)，導(dǎo)致出現(xiàn)檢驗(yàn)錯(cuò)誤；

-> ETH 包異常，如短期時(shí)間內(nèi)收到數(shù)量極多的特性功能報(bào)文（TCP SYNC 包、ARP 包、ICMP 包等等），則可能是攻擊者進(jìn)行 DoS（拒絕服務(wù)）攻擊；

-> 文件如檢測(cè)到完整性校驗(yàn)不通過(guò)，則可能是攻擊者對(duì)文件進(jìn)行了篡改。

事件上報(bào)：各個(gè) ECU 統(tǒng)一將事件信息發(fā)給 TBOX，由 TBOX 統(tǒng)一上報(bào)給車(chē)輛安全運(yùn)營(yíng)平臺(tái);

事件響應(yīng)：車(chē)輛安全運(yùn)營(yíng)平臺(tái)針對(duì)事件分析的結(jié)果，對(duì)異常、威脅及入侵進(jìn)行響應(yīng)。可以通過(guò)定義事件的響應(yīng)級(jí)別來(lái)決定采取的措施，針對(duì)不同程度的威脅，采取不同程度的響應(yīng)，例如中斷服務(wù)、改變權(quán)限、報(bào)警等。安全響應(yīng)的措施（或指令）并可以通過(guò)遠(yuǎn)程軟件刷寫(xiě)平臺(tái)，即 OTA，下發(fā)到車(chē)端 IDS，啟動(dòng)相應(yīng)的安全防護(hù).

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-629099.html

擱筆分享完畢！

愿你我相信時(shí)間的力量

做一個(gè)長(zhǎng)期主義者！

到了這里，關(guān)于車(chē)載軟件架構(gòu) —— 車(chē)載軟件入侵檢測(cè)系統(tǒng)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！