什么是汽車IDS？

ISO/SAE 21434（道路車輛-網絡安全工程）是車輛安全標準，定義了當攻擊發生時如圖所示的5個步驟。汽車制造商必須對車輛中出現的安全漏洞做出響應。但是，只有在這些漏洞已知的情況下，才能執行此操作。汽車IDS由車載IDS和后端組成。[1]

IDS檢測針對ECU和網絡的外部攻擊，將其收集后發送到汽車制造商的后端-安全運營中心（SOC）。汽車制造商對數據進行評估并決定如何應對。[1]

?

分布式車載IDS架構主要由四部分組成：[2]

安全傳感器

入侵檢測系統管理器（IdsM）

安全事件存儲

入侵檢測系統報告器（IdsR）

安全傳感器和安全事件

AUTOSAR的BSW，CDD和SWC模塊都可以被指作為安全傳感器，安全傳感器將安全事件報告給IdsM。

AUTOSAR將可以由BSW報告的安全事件類型進行了標準化，可以在各BSW SWS文檔中檢索到，例如：

SWC和CDD也能報告這樣的事件，不過它們的安全事件類型并未標準化，特定ECU報告的安全事件可以通過Security Extract定義，相關文檔需要參考AUTOSAR_TPS_SecurityExtractTemplate。

入侵檢測系統管理器

IdsM會將報告的安全事件緩存下來，然后將它們應用于一組連續的過濾條件，也稱作為過濾鏈，如果某一安全事件通過了過濾鏈，那么此安全事件被視作為合格安全事件（QSEv）。

根據配置的不同，IdsM會將QSEv保存在安全事件存儲這樣的非易失性存儲區域當中，或者同時將他們序列化之后發送給IdsR。

IdsM包含以下子模塊：

事件接收

事件緩存

IdsM內部安全事件

合格事件

QSEv報告

事件存儲

通過診斷接口進行事件的讀和寫

事件的報告提供兩個api，IdsM_SetSecurityEvent和IdsM_SetSecurityEventWithContextData，后者額外包含事件發生時的上下文數據，此額外數據建議不超過1500字節，且IdsM不負責了解或者解析此數據。

對于一些“智能傳感器”（Smart Sensors）來說，還可以在上報時附帶時間戳和計數器信息，IdsM也需要有能力接收這些信息。

在IdsM模塊中，每個安全事件都擁有IdsMExternalEventId，IdsMSensorInstanceId，IdsMInternalEventId，以及EventName.內部事件ID不需要手動計算，IdsM會內部做計算并作為內部使用。其他模塊報告事件時不依賴于內部ID，僅需要使用事件對應的標識（SymbolicNameValue）。外部事件ID定義在SecXT中，某一類型的安全事件中ID唯一。由于可能多個模塊報告同一個安全事件，所以有傳感器ID識別是哪個模塊。

當接收到安全事件報告時，IdsM首先將事件保存在Event Buffer當中，后續處理以及過濾將異步地在主函數中執行。如果事件附帶額外數據，那么這個數據會保存在大小最匹配的Context Data Buffer中。

過濾鏈定義在SecXT中，每個過濾鏈可能包含的過濾器有：

BlockState Filter

Forward Every nth Filter

Event Aggregation Filter

Event THreshold Filter

Event Rate Limitation

Traffic Limitation

過濾順序自上方列表從上而下進行。

入侵檢測系統報告器

IdsR從各個ECU的IdsM實例接收發送而來的QSEv，通信協議由IdsM協議規定。IdsR一般還會在接收到數據后添加地理位置等信息。

基于OEM的需求，數據可以發送到SOC，進行更詳細的安全事故事件分析。

AUTOSAR不對IdsR進行規范制定。

審核編輯：劉清