作者 |張?jiān)t景 上?？匕部尚跑浖?chuàng)新研究院工控網(wǎng)絡(luò)安全組

來(lái)源 |鑒源實(shí)驗(yàn)室

社群 |添加微信號(hào)“TICPShanghai”加入“上海控安51fusa安全社區(qū)”

01

入侵檢測(cè)系統(tǒng)背景

智能網(wǎng)聯(lián)汽車(chē)不再是一個(gè)孤立的嵌入式系統(tǒng)了，信息安全問(wèn)題越來(lái)越被重視。國(guó)內(nèi)外發(fā)布了多項(xiàng)標(biāo)準(zhǔn)法規(guī)，來(lái)規(guī)范汽車(chē)網(wǎng)絡(luò)安全的發(fā)展。其中有不少法規(guī)對(duì)車(chē)輛網(wǎng)絡(luò)安全檢測(cè)提出要求，如表1。

表1 車(chē)輛網(wǎng)絡(luò)安全監(jiān)控法規(guī)要求

入侵檢測(cè)系統(tǒng)（IDS）是按照一定的安全策略對(duì)網(wǎng)絡(luò)、系統(tǒng)及其運(yùn)行狀態(tài)進(jìn)行監(jiān)控，并試圖發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性和可用性。當(dāng)存在惡意活動(dòng)的軟件或車(chē)載網(wǎng)絡(luò)被篡改、注入時(shí)，汽車(chē)入侵檢測(cè)系統(tǒng)可以通過(guò)分析車(chē)內(nèi)流量或系統(tǒng)狀態(tài)進(jìn)行攻擊識(shí)別，并發(fā)出安全警報(bào)。

在汽車(chē)上，根據(jù)檢測(cè)的對(duì)象，可以將入侵檢測(cè)系統(tǒng)分成兩類(lèi)，包括網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以對(duì)包括CAN總線、車(chē)載以太網(wǎng)、WIFI、藍(lán)牙數(shù)據(jù)等車(chē)載網(wǎng)絡(luò)進(jìn)行檢測(cè)。目前已有很多基于規(guī)則的和基于AI方法的研究。如【1】設(shè)計(jì)了規(guī)則和AI混合的多層SOME/IP入侵檢測(cè)方法，基于規(guī)則的模塊用于檢測(cè)SOME/IP報(bào)頭、SOME/IP-SD消息、消息間隔和通信過(guò)程，利用AI檢測(cè)SOME/IP的有效負(fù)載?？紤]到實(shí)際部署成本，在車(chē)載控制器中往往部署基于規(guī)則的入侵檢測(cè)系統(tǒng)，利用專(zhuān)家知識(shí)、車(chē)載網(wǎng)絡(luò)數(shù)據(jù)庫(kù)等建立規(guī)則庫(kù)，進(jìn)行檢測(cè)。

基于主機(jī)的入侵檢測(cè)系統(tǒng)則對(duì)控制器的操作系統(tǒng)進(jìn)行安全監(jiān)控。隨著汽車(chē)智能網(wǎng)聯(lián)化，車(chē)載控制器不再僅由MCU組成，Linux、Android、QNX頻繁地在各類(lèi)域控制器中出現(xiàn)。SOC在給汽車(chē)帶來(lái)強(qiáng)大功能的同時(shí)，也成為對(duì)汽車(chē)的一條重要攻擊路徑。主機(jī)入侵檢測(cè)系統(tǒng)可對(duì)操作系統(tǒng)進(jìn)行資源監(jiān)控、文件監(jiān)控、病毒掃描等。

在檢測(cè)識(shí)別到車(chē)內(nèi)的異常攻擊行為后，通過(guò)生成安全日志，并將安全日志上傳到汽車(chē)安全運(yùn)營(yíng)平臺(tái)（VSOC），是一種有效的攻擊行為追溯，監(jiān)控智能網(wǎng)聯(lián)汽車(chē)安全狀態(tài)手段。

02

AUTOSAR入侵檢測(cè)系統(tǒng)架構(gòu)

汽車(chē)開(kāi)放系統(tǒng)架構(gòu)（AUTomotive Open System Architecture）是一家致力于制定汽車(chē)電子軟件標(biāo)準(zhǔn)的聯(lián)盟。AUTOSAR是由全球汽車(chē)制造商、部件供應(yīng)商及其他電子、半導(dǎo)體和軟件系統(tǒng)公司聯(lián)合建立，各成員保持開(kāi)發(fā)合作伙伴關(guān)系。自2003年起，各伙伴公司攜手合作，致力于為汽車(chē)工業(yè)開(kāi)發(fā)一個(gè)開(kāi)放的、標(biāo)準(zhǔn)化的軟件架構(gòu)。AUTOSAR這個(gè)架構(gòu)有利于車(chē)輛電子系統(tǒng)軟件的交換與更新，并為高效管理愈來(lái)愈復(fù)雜的車(chē)輛電子、軟件系統(tǒng)提供了一個(gè)基礎(chǔ)。此外，AUTOSAR在確保產(chǎn)品及服務(wù)質(zhì)量的同時(shí)，提高了成本效率。

AUTOSAR對(duì)汽車(chē)入侵檢測(cè)系統(tǒng)的架構(gòu)，如圖1。整個(gè)車(chē)載入侵檢測(cè)系統(tǒng)主要包括了安全探針、管理模塊（IdsM）、安全事件存儲(chǔ)（Sem）、報(bào)告模塊（IdsR）。

圖1 分布式車(chē)載IDS架構(gòu)【2】

（1）安全探針

安全探針是檢測(cè)網(wǎng)絡(luò)流量、系統(tǒng)事件中潛在網(wǎng)絡(luò)威脅的模塊。當(dāng)檢測(cè)到異常后向管理模塊發(fā)送安全事件（Security Events，SEv）。常見(jiàn)安全探針包括CAN入侵檢測(cè)系統(tǒng)、以太網(wǎng)入侵檢測(cè)系統(tǒng)、主機(jī)入侵檢測(cè)系統(tǒng)等。

（2）管理系統(tǒng)

當(dāng)管理模塊接收到SEv后，如圖2，依次經(jīng)過(guò)攔截過(guò)濾器（Blockers）、采樣過(guò)濾器（Sampling）、聚合過(guò)濾器（Aggregation）以及速率限制過(guò)濾器（Rate Limitation），生成合格的安全事件（Qualified Security Events, QSEv）。管理模塊將 QSEv 發(fā)送到入侵檢測(cè)報(bào)告模塊，并將其存儲(chǔ)在安全事件存儲(chǔ)器“SEM”中。

圖2 管理模塊過(guò)濾鏈【2】

攔截過(guò)濾器根據(jù)上傳模式及當(dāng)前狀態(tài)對(duì)事件進(jìn)行過(guò)濾；采樣過(guò)濾器允許每個(gè)事件的第N條通過(guò)；聚合過(guò)濾器將配置時(shí)間內(nèi)的所有SEv聚合成一個(gè)，并對(duì)聚合后的事件數(shù)量進(jìn)行閾值過(guò)濾；速率限制過(guò)濾器根據(jù)配置時(shí)間間隔內(nèi)的SEv數(shù)量及字節(jié)數(shù)進(jìn)行過(guò)濾。

（3）報(bào)告模塊

IdsR將QSEv發(fā)送給VSOC。IdsR與IdsM之間的安全事件報(bào)文如圖3。它的最小長(zhǎng)度為 8 個(gè)字節(jié)（對(duì)于事件幀），包括了協(xié)議版本、協(xié)議頭、IdsM實(shí)例ID、探針實(shí)例ID、事件ID、事件數(shù)量、保留字段。此外，報(bào)文包括3個(gè)可選字段：時(shí)間戳、上下文數(shù)據(jù)及簽名。

圖3 安全事件報(bào)文【3】

03

入侵檢測(cè)系統(tǒng)測(cè)試方法

對(duì)于入侵檢測(cè)系統(tǒng)的測(cè)試，可分為兩個(gè)階段：

· 入侵檢測(cè)系統(tǒng)功能測(cè)試，即根據(jù)需求對(duì)開(kāi)發(fā)的軟件進(jìn)行功能測(cè)試，檢驗(yàn)軟件是否根據(jù)輸入返回預(yù)期結(jié)果。

· 滲透測(cè)試，模擬常見(jiàn)的網(wǎng)絡(luò)攻擊，來(lái)驗(yàn)證入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)能力。

在滲透測(cè)試階段，讓測(cè)試人員進(jìn)行人工測(cè)試是困難的，首先滲透測(cè)試對(duì)測(cè)試人員的網(wǎng)絡(luò)安全知識(shí)有著一定的門(mén)檻，其次滲透測(cè)試過(guò)程涉及的攻擊數(shù)據(jù)生成、測(cè)試結(jié)果判斷等步驟十分繁瑣復(fù)雜。為了提高測(cè)試效率，在測(cè)試過(guò)程中需要利用滲透測(cè)試工具搭建自動(dòng)化入侵檢測(cè)系統(tǒng)測(cè)試環(huán)境，來(lái)提高入侵檢測(cè)功能的測(cè)試。因此，針對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的滲透測(cè)試，設(shè)計(jì)測(cè)試流程，如圖4：

（1）生成攻擊報(bào)文。

（2）向入侵檢測(cè)系統(tǒng)被測(cè)件發(fā)送攻擊報(bào)文，并監(jiān)聽(tīng)是否收到QSEv。

（3）入侵檢測(cè)系統(tǒng)對(duì)攻擊行為進(jìn)行實(shí)時(shí)檢測(cè)，若檢測(cè)到異常，則向測(cè)試設(shè)備發(fā)送QSEv。

（4）若滲透測(cè)試工具收到了正確的QSEv，則測(cè)試通過(guò)，否則測(cè)試失敗。

圖4 入侵檢測(cè)系統(tǒng)測(cè)試流程

在測(cè)試流程中，攻擊數(shù)據(jù)包的生成是其中至關(guān)重要的部分。【4】中總結(jié)了一部分?jǐn)?shù)據(jù)包生成工具，如圖5，但是這些工具幾乎沒(méi)有汽車(chē)方面的支持，例如缺少SOME/IP，UDS，DoIP協(xié)議的測(cè)試功能，因此不能滿足車(chē)載入侵檢測(cè)系統(tǒng)的測(cè)試需求。

圖5 數(shù)據(jù)包生成工具及能力【4】

BlitzFuzz（點(diǎn)擊查看詳情）作為一款專(zhuān)門(mén)針對(duì)工控網(wǎng)絡(luò)協(xié)議的滲透模糊測(cè)試工具，支持CAN、CAN、UDS、SOME/IP、DoIP等汽車(chē)常用協(xié)議的報(bào)文仿真、解析功能，提供相關(guān)協(xié)議的滲透測(cè)試用例包、合規(guī)測(cè)試用例包以及模糊測(cè)試功能。同時(shí)提供了用戶自定義編寫(xiě)測(cè)試用例，能夠更加靈活地滿足不同的滲透測(cè)試需求。為入侵檢測(cè)系統(tǒng)功能的自動(dòng)化測(cè)試提供了便利，如圖6。

圖6 BlitzFuzz滲透測(cè)試界面

如圖7，利用BlitzFuzz對(duì)以太網(wǎng)入侵檢測(cè)被測(cè)件進(jìn)行測(cè)試。首先將將被測(cè)件通過(guò)網(wǎng)線連接BlitzFuzz工具。測(cè)試人員在BlitzFuzz前端界面編寫(xiě)入侵檢測(cè)功能的自定義測(cè)試用例，包括調(diào)用工具提供的TCP端口掃描攻擊API發(fā)送端口掃描報(bào)文，編寫(xiě)以太網(wǎng)接收回調(diào)函數(shù)，用于判斷被測(cè)件發(fā)送的QSEv情況。編寫(xiě)完成后選擇測(cè)試用例并運(yùn)行，運(yùn)行結(jié)束后即可在界面查看測(cè)試報(bào)告。

圖7 BlitzFuzz入侵檢測(cè)測(cè)試示意圖

主要參考文獻(xiàn)：

[1] Luo, F.; Yang, Z.; Zhang, Z.; Wang, Z.; Wang, B.; Wu, M. A Multi-Layer Intrusion Detection System for SOME/IP-Based In-Vehicle Network. Sensors 2023, 23, 4376.

https://doi.org/10.3390/s23094376

[2] Requirements on Intrusion Detection System AUTOSAR FO R23-11.

[3] Specification of Intrusion Detection System Protocol AUTOSAR FO R23-11.

[4] Corbett C, Basic T, Lukaseder T, et al. A testing framework architecture for automotive intrusion detection systems[J]. 2017.

審核編輯 黃宇