1. IDPS系统在车辆网络安全中的作用

上一期我们说到了VSOC与SOC的安全管理差异，本期我们将进一步分析作为车辆网络安全防护最直接的工具——IDPS。IDPS系统能在车辆运行过程中发现实际的入侵事件，进行针对性的安全策略更新，实现动态安全防护，体现多重防御的基本安全原则，是保障智能网联汽车的信息安全的“前哨站”，作为汽车网络安全的传感器和管理系统其工作在ECU、车机、域控、网关及总线控制等汽车关键零部件内，主要的作用如下：

1.检测入侵行为：IDPS系统可以监测车辆网络中的数据流量和通信，以识别潜在的入侵行为。这些行为可能包括未经授权的访问、恶意代码注入、网络扫描和其他异常活动；

2.防范恶意攻击：IDPS系统不仅可以检测入侵行为，还可以采取措施来防止或限制恶意攻击的发生。因为，它可以自动阻止具有恶意意图的数据包或连接，以减轻潜在的威胁；

3.实时响应：IDPS系统可以提供实时响应，以快速应对威胁。这可以包括在检测到入侵行为后立即采取措施，例如断开连接、通知网络管理员或触发警报；

4.数据分析和记录：通过合理的分布式部署IDPS系统，还可以记录一台车辆所有的网络活动，以便后续分析和取证。这有助于识别潜在的威胁模式，改进安全策略，并支持取证调查；

5.自适应能力：现代IDPS系统通常具有自适应能力，可以动态地学习和适应新的威胁和攻击模式。它们可以不断更新其检测规则和算法，以保持对最新威胁的敏锐感知能力；

6.保护数据安全和个人隐私：IDPS系统有助于保护车辆中的重要数据和乘客的个人敏感信息。它可以检测和阻止未经授权的数据访问和数据泄露；

7.防止远程控制和劫持：在车辆网络安全中，最严重的威胁之一是远程控制和劫持。IDPS系统可以帮助阻止恶意用户试图接管车辆控制系统的企图。

2 汽车IDPS的复杂特性

在说汽车IDPS之前，首先我们应该大致了解一下汽车的整体架构及软硬件特点。在硬件方面，车辆的硬件设备常为嵌入式设备，种类繁多数量庞大，他们的连接其实相当复杂，是个规模不小的控制网络，而且协议也不同，这些控制网络由不同的ECU进行管理，随着芯片技术的进步和汽车从电气化向着智能化的发展计算性能更加优秀的MCU、MPU和DSP也被不同类型的零部件设备采用，根据汽车E/E 架构按照功能可将零部件归类在动力域、底盘域、座舱域、自动驾驶域、车身域五大区域。其中对于座舱域和智驾域部件来说，需要有较高的运算能力，并具有高速的外部通信接口，比如CAN FD和以太网，车身域同样要求有较多的外部通信接口数量，但对算力要求相对较低，而动力域和底盘域则要求更高的工作温度和功能安全等级。

在软件方面，随着智能互联、自动驾驶、电动汽车及共享出行的发展，软件、计算能力和先进传感器正逐渐取代发动机的统治地位。与此同时，这些电子系统的复杂性也在提高。以当今汽车包含的软件代码行数（SLOC）为例，2010年，主流车型的SLOC约为1000万行；到2016年达到1.5亿行左右，由此不难看出汽车尤其是数字化时代背景下ICV其复杂性正如滚雪球般越来越高。

我们再回过头来看IDPS，汽车IDPS系统专注于车辆网络中的特定威胁模型以分布式部署方式协同工作，其类型有HIDS（主机入侵检测）、NIDS（网络入侵检测）、CAN总线入侵检测等。不同类型系统分别对车载主机安全、网络安全、总线安全等进行防护，另外常见IDPS还具备安全日志库、IDSM、IDSR等组件，用于对安全事件进行管理与上报，那么上报到哪里去呐？那就是VSOC，基本上IDPS都是需要配套VSOC来一起工作的，VSOC用于管理、分析和响应IDPS系统检测到的安全事件。它通常包括数据存储、分析引擎、安全信息和事件管理（SIEM）系统等，用于帮助汽车企业的安全团队更好地理解和应对汽车网络上的威胁（这里不再赘述，大家可以看看上一期的《浅谈VSOC与SOC的安全管理差异》从中一定能够对VSOC有一定的了解）。

不同于传统的IT环境下的网络安全设备，汽车IDPS不是独立的软硬件集成系统，而是以嵌入式软件插件的方式植入到车辆的关键零部件内核处理、控制单元中的，根据不同车型特定的网络架构进行定制，以适应不同车辆的独特环境。这些系统考虑了电控单元（ECU）、车载通信网络和连接到车辆的外部设备。IDPS通常是软件组件形式与汽车嵌入式操作系统集成在一起，作为汽车网络安全的传感器角色IDPS根据类型的不同要分别部署在汽车的不同的车控和车载零部件设备当中，其算力资源的有限加之不同零部件的嵌入式操作系统均为定制化的特性，导致汽车IDPS的开发和适配部署都十分复杂。而在性能方面由于汽车网络中，尤其是在车控网络的许多操作需要在1-2毫秒内快速执行。因此IDPS需要在实时性方面表现出色，以快速检测和响应潜在的威胁。

3 汽车IDPS基本原理及发展趋势

基本原理

IDPS的基本原理是对原始的网络报文、系统日志、系统状态进行分析，并通过攻击行为造成的痕迹与特征进行匹配，从而识别对应的入侵行为。

常见的入侵检测方法

1、签名检测：该方法适用于已知的攻击模式，即实现建立攻击模式的策略库，检测系统根据对应的策略检测是否存在对应的攻击

2、异常检测：该方法通过对软件系统的行为进行检测，通过收集分析网络和系统的行为来构建一个正常系统的模式，通过对行为与模型的比对，判断是否存在异常行为。

新技术的引入

上述两种检测方法各有优势，但是也存在明显的不足，例如基于签名的检测方法主要依赖于已知攻击的特定模式或签名，因此无法有效应对未知的攻击更不用说应对基于0DAY漏洞和加密流量的威胁。此外，这些方法容易产生高假阳性率，需要不断更新签名库以适应新的威胁，且容易受到攻击者的规避。异常检测同样存在缺少标签数据、噪声数据干扰大、模型选择和参数调整的复杂性以及概念漂移导致产生大量误报或漏报。机器学习技术在传统的IT网络安全领域发挥着重要作用，用于构建入侵检测系统、威胁情报分析、恶意软件检测、威胁情境分析、网络流量分析、漏洞管理和反欺诈等应用。在汽车网络安全防护上，业内已经有汽车安全厂商将机器学习技术融合进了IDPS，在充分保护车端设备部件算例资源的基础之上对各自模型进行压缩蒸馏以达到效果最优。

尽管车端IDPS采用了机器学习算法来提供识别能力，但是毕竟算例有限，在入侵检测方面IDPS安全组件分布式内嵌在车内的CGW、TBOX、IVI等核心区域作为汽车信息安全的传感器和安全数据源探针系统，VSOC作为高算例支撑平台依托大数据、机器学习技术对汽车信息安全的未知攻击进行分析发现结合VSOC安全运营中心能力形成“云+端”的资源互补车联网一体化安全保护体系：

IDPS具备针对扫描探测类、DoS攻击类、畸形报文类、密码爆破类、木马病毒类、漏洞利用类等安全事件，做到全方位的检测和防御，保证设备稳定可靠运行。

VSOC安全运营中心除具备五大安全系统（运营管理系统、安全监控系统、漏洞管理系统、风险评估系统和应急响应系统）外，还是移动运维和消息中心的承载平台，共同实现管理的深入融合联动。VSOC平台融合了大数据分析技术、可视化技术、威胁情报技术于一体，为用户构建新型智能汽车网络安全态势感知平台，具备“态势感知、通报预警、情报共享、联动响应”能力，实现安全态势“可见、可管、可控、可信”。