安全监测- 中汽创智

背景描述

随着 ISO 21434 标准以及 WP29 法规的发布实施，智能网联汽车需要具备法规要求的安全监测系统，以满足汽车的合规性与日益增长的安全需求。当前，业界有以下急需解决的问题：信息安全组件部署的架构差异会导致组件之间难以相互匹配；国产芯片需要实现汽车信息安全的多层次全覆盖防御机制以保障其安全性；针对不同型号汽车的检测规则变更需要做到快速的功能开发及运维支持。针对以上问题， 涵盖 IDPS(Intrusion Detection & Prevention System) 的安全监测系统已经成为当代汽车技术领域的关键核心技术。“安全监测” (Safety Monitoring) 是指车端各域控在运行过程中需对各节点受到的外部入侵及内部异常行为进行监测、阻断及响应，并将识别出的安全事件以日志形式上报到云端进行分析处理。

实现概要

一个有效的整车信息安全防护应该是一个分布式纵深检测防护机制。图 7.3-1 给出了针对新一代 EE 架构的整车分布式入侵检测防御系统的部署方案，这也是在一些主机厂已经或正在落地的方案。实现车端对外部入侵与系统运行异常的检测、阻断、应急响应、日志上报云端等功能。

图7.3-1 整车分布式入侵检测防御系统以 AUTOSAR 架构方式实施的 IDPS 系统可以完成标准化的实施落地，标准化接口便于适配其他AUTOSAR 架构下的组件，为 OEM 提供更多选择。IDPS 在各个域如座舱、智驾、底盘进行分布式部署， 通过部署在连接传输层、跨域融合层、区域控制层，形成了一套从边界防御向纵深防御的整车安全防护体系，实现 AUTOSAR 及 Linux/Android/QNX 等操作系统的垂直覆盖。IDPS 可以通过工具链实现功能的快速配置，可以适配多种汽车型号、检测规则的变更，实现多种检测防御功能及数据安全功能的覆盖和扩展。通过 IDPS 的标准架构、灵活布置、组件解耦、兼容其它PKI，提升安全监测系统的泛用性，使其成为汽车信息安全的重要一环。面对各域控制节点的外部入侵（如图 7.3-2 所示），首先通过 NIDPS(Network Intrusion Detection & Prevention System) 进行检测、防御（包括阻断、清除），同时通过 NIDS 进行从 CAN/Eth/WiFi/BLE 等路径入侵的异常行为识别；HIDPS(Host-based Intrusion Detection & Prevention System) 对系统资源、文件完整性、病毒等进行实时监测，识别出系统自身的异常行为；各域控制节点的安全监测日志在存储、聚合处理后，通过代理上传到云端的安全监测平台进行分析和处理。

图7.3-2 安全监测流程组件说明：

NIDPS/IDS

NIDPS 指网络型入侵检测防御系统，主要包含 CAN 网络检测和 Eth 网络检测、Eth 网络防御等。CAN 网络检测主要包括了 CAN DLC 检测、周期检测、上下文检测、UDS 协议检测等；Eth 网络检测主要包括 DDoS 攻击、SOME/IP 检测、DoIP 检测、上下文检测等；Eth 网络防御主要为防火墙。其中，区域控制层中搭载的 IDS 仅负责 CAN 网络检测和 Eth 网络检测，不具有防御功能；跨域融合层的 NIDPS 具有检测、防御功能；连接传输层的 NIDPS 主要负责通信代理与外界交互过程中的防火墙功能。

HIDPS

HIDPS    指主机型入侵检测防御系统，针对系统层面的恶意文件，以及用户操作导致的系统异常进行检测。主要包括可疑进程检测、文件完整性检测、系统资源监测、开放端口检测、病毒检测等，可以进行缓存清理、病毒清理等应急处置。

策略管理

策略管理包括检测防御策略管理、应急响应策略管理、数据安全策略管理。云端对上述策略的更新会通过策略管理模块下发到各 IDPS 子节点，提升整体的防御策略。其中，车端应急响应策略的触发依赖于车端对威胁等级的判别结果，如果没有相应的应急响应策略，会与云端进行交互进行响应策略的获取。

日志管理

日志管理模块主要进行日志生成、日志存储、日志上报云端。该模块根据上报策略进行日志的聚合、过滤、脱敏、加密、压缩等处理，将处理后的日志内容根据相关法规要求进行内部存储，并通过代理上传到云端。在分布式部署时，一般在各域控进行日志存储，在一定存储周期后进行老化，保证了符合法律 法规关于安全日志留存时间的要求。

实现详细（HIDPS-USB 接口检测防御）

针对具备 USB 接口的移动存储介质中携带有害文件并接入汽车 USB 接口时对汽车安全造成的威胁， 需要通过安全监测系统进行外部接口检测中的 USB 安全检测。

1. 主机型检测：HIDS 对 USB 文件进行病毒检测，基于车载轻量病毒库进行离线检测，利用病毒特征库与文件进行特征比对检测 USB 文件是否存在恶意软件或病毒文件，若存在则需要进行告警；HIDS 对 USB 文件进行端口访问控制检测，验证车辆是否可以执行除媒体文件和指定签名的应用软件外的其他文件，若可以运行则需进行告警；如达到一定的威胁等级，且车端策略管理模块具有相应的应急响应策略， 可执行应急响应以提升检测防御效果。

2. 主机型防御：HIPS 对 USB 文件中已识别的有害入侵，在策略允许（如提示用户，用户选择同意清除）时进行清除，此项功能需系统对安全监测系统授予相关权限，根据防御策略进行清理；日志上报：根据 章节 3.4.9 系统日志管理中的具体要求，将告警信息写入安全监测日志，对日志进行加密、压缩等处理，（其中日志格式可根据具体场景进行配置）；根据各域控的告警存储策略，将安全监测日志在特定存储模块进行存储；结合云端存储策略，满足相关标准法规对安全监测日志存储的要求；根据数据安全标准法规要求， 将安全监测日志在脱敏等处理后，通过 T-BOX 中的代理向云端上传，实现告警信息的上报。

3. 云端处理：安全监测日志在云端进行分析、存储与处理，可以通过云端平台（如安全运营平台）进行数据呈现；可通过云端威胁分析与态势预警来优化防御策略；可在云端进行策略更新与编制，并下发 车端的策略管理模块，进而更新车端 HIDPS 检测策略，以提升车端对 USB 文件的安全监测效果；同时， 告警信息可以推送相关人员进行应急维护处理。