汽车入侵检测系统:概述与测试

汽车电子 时间:2026-03-06来源:

1. 研发背景

智能网联汽车已不再是孤立的嵌入式系统,信息安全问题愈发受到关注。中国及国际相关机构已出台多项标准与法规,对汽车网络安全进行规范,其中多项法规均对车载网络安全监控提出了明确要求。

入侵检测系统(IDS)可依据既定的安全策略,对网络、系统及其运行状态进行监控,及时发现各类攻击企图、攻击行为或攻击后果,以此保障数据的保密性、完整性和可用性。当车载网络遭遇恶意软件入侵、数据篡改或注入攻击时,汽车入侵检测系统能够通过分析车载网络流量及系统状态识别攻击行为,并生成安全告警信息。

在汽车领域,入侵检测系统可根据检测目标分为两类,即网络入侵检测系统和主机入侵检测系统。

网络入侵检测系统可对控制器局域网总线、车载以太网、无线局域网、蓝牙等车载网络的数据进行监控,目前已有诸多研究采用了基于规则和基于人工智能的检测方法。例如,有相关研究提出了一种混合式多层 SOME/IP 入侵检测系统,其中基于规则的模块负责检测 SOME/IP 协议头、SOME/IP 服务发现消息、消息发送间隔及通信流程,而人工智能模块则对 SOME/IP 协议的有效载荷进行检测。从部署成本角度考量,基于规则的入侵检测系统常部署于车载控制器中,利用专家知识和车载网络数据库构建检测规则集。

主机入侵检测系统则对控制器的操作系统进行监控。随着汽车网联化、智能化程度的不断提升,车载控制器已不再局限于微控制器,Linux、安卓、QNX 等操作系统也越来越多地应用于各类域控制器中。片上系统为汽车赋予了强大的功能,却也带来了新的攻击途径。主机入侵检测系统可对操作系统的资源、文件进行监控,并开展恶意软件扫描。

当检测到车辆内出现异常攻击行为后,系统生成安全日志并上传至车辆安全运营中心(VSOC),这为攻击溯源和网联汽车安全状态监控提供了有效手段。

2. AUTOSAR 入侵检测系统架构

汽车开放系统架构(AUTOSAR)是一个致力于制定汽车电子软件标准的联盟,由全球车企、供应商、半导体企业和软件企业联合成立,旨在为汽车行业打造一套开放、标准化的软件架构。该架构不仅便于车载电子软件的交换与升级,也为管理日益复杂的车载电子和软件系统奠定了基础。

汽车入侵检测系统的 AUTOSAR 架构主要包含安全探测模块、管理模块(IdsM)、安全事件存储模块(SEM)和上报模块(IdsR)四大核心组件。

587ff931-4e6a-4c15-b1d4-e34f385c5347.png

(1)安全探测模块

安全探测模块负责检测网络流量和系统事件中的潜在网络威胁,一旦发现异常,便会将安全事件(SEv)发送至管理模块。常见的探测模块包括控制器局域网入侵检测模块、以太网入侵检测模块和主机入侵检测模块。

(2)管理模块

管理模块接收到安全事件后,会通过一组过滤链对事件进行处理,该过滤链包含阻塞过滤器、采样过滤器、聚合过滤器和限流过滤器,经处理后生成合规安全事件(QSEv)。管理模块会将合规安全事件发送至入侵检测系统上报模块,同时将其存储至安全事件存储模块。

(3)上报模块

上报模块(IdsR)负责将合规安全事件(QSEv)上传至车辆安全运营中心。上报模块与管理模块之间传输的安全事件消息,其事件帧最小长度为 8 字节,包含协议版本、协议头、管理模块实例标识、探测模块实例标识、事件标识、事件计数及保留字段,同时还包含时间戳、上下文数据和签名三个可选字段。

1772778695753560.png

1772778727436425.png

3. 入侵检测系统测试方法

入侵检测系统的测试可分为两个阶段:

第一,对入侵检测系统软件进行功能测试,验证软件针对给定输入能否返回预期结果;

第二,开展渗透测试,模拟常见的网络攻击手段,验证入侵检测系统的检测能力。

人工开展渗透测试存在诸多难点:不仅要求测试人员具备扎实的网络安全专业知识,攻击数据的生成和测试结果的评估过程也复杂且耗时。为提升测试效率,行业通常借助渗透测试工具搭建自动化的入侵检测系统测试环境,实现对入侵检测系统的自动化功能测试。针对网络入侵检测系统的渗透测试,设计的测试流程如下:

  1. 生成攻击数据包;

  2. 向被测入侵检测系统发送攻击数据包,并监听合规安全事件;

  3. 被测系统进行实时检测,若发现异常,则向测试设备发送合规安全事件;

  4. 若渗透测试工具接收到正确的合规安全事件,测试通过;反之,则测试失败。

1772778760904061.png

在这一测试流程中,攻击数据包的生成是核心环节。已有相关研究对各类数据包生成工具及功能进行了总结,但这类工具大多缺乏对 SOME/IP、统一诊断服务、车载以太网诊断等汽车专用协议的支持,无法充分满足车载入侵检测系统的测试需求。

BlitzFuzz 是一款专为工业网络协议打造的渗透模糊测试工具,支持对控制器局域网、统一诊断服务、SOME/IP、车载以太网诊断等常见汽车协议的消息进行仿真和解析。该工具提供渗透测试用例包、合规测试用例包及模糊测试功能,同时支持用户自定义测试用例,可灵活满足不同的渗透测试需求,为入侵检测系统的自动化功能测试提供了便利。

以以太网入侵检测系统的测试为例,被测设备通过以太网与 BlitzFuzz 工具相连,测试工程师在工具前端编写自定义的入侵检测系统测试用例,包括调用工具的传输控制协议端口扫描攻击模块发送端口扫描数据包、实现以太网接收回调函数以验证被测设备是否发送合规安全事件等。选定并运行测试用例后,可在工具界面直接查看测试报告。

1772778800234455.png

关键词: 汽车入侵检测系统

加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码

相关文章

查看电脑版