57、基于时空信息的车载网络入侵检测系统

基于时空信息的车载网络入侵检测系统

1 引言

现代车辆正变得越来越网络化和智能化，这不仅为乘客带来了更好的驾驶体验，也增加了更多的攻击面。常见的攻击面包括通用串行总线（USB）、蓝牙、Wi-Fi、蜂窝网络等通信接口，以及车载操作系统的软件漏洞。对于这些攻击面，已经存在完整的渗透测试方法来进行实际攻击。然而，对于车载电子控制单元（ECU）——控制器局域网（CAN）总线上的重要组件，目前还没有成熟的渗透测试方法。

CAN总线用于传输关键信息，如诊断、信息和控制数据，以实现各种车辆服务，如自动驾驶和辅助驾驶。由于CAN设计之初并未将通信安全作为首要考虑因素，因此车载网络面临着众多安全威胁。例如，任意一个ECU都可以在CAN总线上接收到其他ECU的消息，却无法识别消息发送者的真实身份，这很容易导致攻击（如数据包注入和数据篡改），危及乘客安全。

为了保障车载网络的安全，业界进行了许多尝试。一种方法是使用诸如消息认证码（MAC）等加密原语，另一种则是采用车载入侵检测系统（IDS）。加密方法虽然提供了强大的安全性，但会牺牲系统性能（例如占用CAN数据包的数据字段）。相比之下，车载IDS不需要改变车载系统的结构，可以简单地安装（例如在车载网关处），以实时检测恶意行为。考虑到车载ECU的计算能力，轻量级的IDS更为可取。

攻击者在试图破解汽车时，通常会先确定攻击面。现代车辆有许多可能被攻击者利用的组件，这些组件可简单分为外部和内部两类，攻击者可能会利用它们来影响车辆的行为。例如：
- 通过访问用户身份模块或窃听蜂窝通信信道，攻击者可以跟踪车辆的移动。
- 建立Wi-Fi连接，攻击者可以在远距离（例如300码外）访问车载网络，或者破解Wi-Fi密码并在信息娱乐