背景描述

隨著車(chē)聯(lián)網(wǎng)的廣泛普及，車(chē)載 ECU 等設(shè)備的聯(lián)網(wǎng)能力逐漸增強(qiáng)。汽車(chē)擁有大量的隱私數(shù)據(jù)且具有控制能力，面臨著更大的被攻擊風(fēng)險(xiǎn)，且汽車(chē)安全關(guān)系到駕駛?cè)藛T的生命安全，系統(tǒng)必須保證能識(shí)別并響 應(yīng)各種新型的攻擊方式，因此需要在車(chē)載系統(tǒng)中部署入侵檢測(cè)系統(tǒng)，及時(shí)發(fā)現(xiàn)并阻斷系統(tǒng)中各種攻擊行為。“入侵檢測(cè)”（Intrusion Detection）是指對(duì)收集網(wǎng)絡(luò)流量和系統(tǒng)日志、或者應(yīng)用程序行為記錄等信息， 以此識(shí)別攻擊和威脅，收集的信息具體包括網(wǎng)絡(luò)的流量數(shù)據(jù)、用戶節(jié)點(diǎn)的通信方式、系統(tǒng)的統(tǒng)計(jì)數(shù)據(jù)、日志記錄等內(nèi)容，并與配置的入侵檢測(cè)規(guī)則進(jìn)行匹配，判斷網(wǎng)絡(luò)或系統(tǒng)是否存在異常行為，并判斷是否進(jìn) 行告警或者進(jìn)行相應(yīng)的異常響應(yīng)。

實(shí)現(xiàn)概要（日志監(jiān)控系統(tǒng)）

日志監(jiān)控的基本思想是監(jiān)控操作系統(tǒng)的日志記錄，包括系統(tǒng)日志和應(yīng)用日志，從而監(jiān)測(cè)系統(tǒng)的異常 行為?；诳刂破鞯娜肭謾z測(cè)系統(tǒng)首先對(duì)系統(tǒng)和應(yīng)用日志、系統(tǒng)行為、環(huán)境等信息進(jìn)行數(shù)據(jù)采集；然后對(duì)日志進(jìn)行解析，并范式化；并結(jié)合配置的規(guī)則對(duì)日志記錄進(jìn)行分析匹配；最后將事件告警上報(bào)到云端管 理平臺(tái)或是進(jìn)行本地響應(yīng)處理。需要注意的是，在日志監(jiān)控過(guò)程中需要將預(yù)處理后的采集數(shù)據(jù)和分析結(jié)果，存儲(chǔ)在數(shù)據(jù)庫(kù)中。

圖7.4-1 日志監(jiān)控原理日志監(jiān)控原理說(shuō)明

日志采集

系統(tǒng)日志包括：操作系統(tǒng)日志；SYSLOG 等系統(tǒng)服務(wù)；系統(tǒng)行為日志，如：SSH、FTP 異常登錄行為的監(jiān)控，多次連續(xù)的密碼鑒別失??；系統(tǒng)環(huán)境日志，如：系統(tǒng) CPU、內(nèi)存、網(wǎng)絡(luò)連接狀態(tài)等系統(tǒng)運(yùn)行環(huán)境的監(jiān)控。

解析格式化與匹配

將不同來(lái)源的日志記錄，進(jìn)行數(shù)據(jù)預(yù)處理，形成統(tǒng)一的日志格式，并與配置的檢測(cè)規(guī)則進(jìn)行匹配，如：SSH 暴力破解對(duì)應(yīng)的檢測(cè)規(guī)則，檢測(cè)規(guī)則字段如下：規(guī)則 ID安全等級(jí)描述所屬分組發(fā)生頻率（可選）時(shí)間戳（可選）

日志存儲(chǔ)

日志加密后存儲(chǔ)在本地或云端，每次更新日志后，也自動(dòng)更新校驗(yàn)碼；上傳日志時(shí)對(duì)日志內(nèi)容進(jìn)行校驗(yàn)。

告警與響應(yīng)

日志分析后，將分析結(jié)果上報(bào)管理節(jié)點(diǎn)，由管理節(jié)點(diǎn)調(diào)用日志庫(kù)上報(bào)到云端管理平臺(tái)    VSOC。并根據(jù)安全事件的類(lèi)型進(jìn)行被動(dòng)響應(yīng)，如果事件與預(yù)定義的響應(yīng)動(dòng)作匹配，則進(jìn)行相應(yīng)的響應(yīng)處理。

實(shí)現(xiàn)詳細(xì)（日志監(jiān)控系統(tǒng)）

日志監(jiān)控流程：

1. 日志采集，主動(dòng)或被動(dòng)方式進(jìn)行定期采集；

2. 日志解析和格式化，日志記錄處理為統(tǒng)一格式；

3. 日志分析與規(guī)則匹配，與配置規(guī)則進(jìn)行模式匹配；

4. 日志上報(bào)與響應(yīng)，調(diào)用日志庫(kù)上報(bào)云端或進(jìn)行主動(dòng)響應(yīng)；

5. 日志存儲(chǔ)，日志加密后存儲(chǔ)到本地或云端數(shù)據(jù)庫(kù)。

實(shí)現(xiàn)概要（網(wǎng)關(guān)監(jiān)控系統(tǒng)）

網(wǎng)關(guān)監(jiān)控通過(guò)截取或旁路網(wǎng)關(guān)接收的 CAN 數(shù)據(jù)，并使用規(guī)則庫(kù)中的規(guī)則對(duì)截取的報(bào)文進(jìn)行檢查，對(duì)判定為異常的報(bào)文數(shù)據(jù)進(jìn)行報(bào)警。主要包含采集器、檢測(cè)、防御和事件管理幾個(gè)部分。采集器負(fù)責(zé)網(wǎng)關(guān)各個(gè)子網(wǎng)絡(luò) CAN 總線上的數(shù)據(jù)直采，防火墻負(fù)責(zé)規(guī)則解析、匹配和執(zhí)行，事件管理負(fù)責(zé)事件的檢測(cè)和上報(bào)。

圖7.4-2 GW安全監(jiān)控原理網(wǎng)關(guān)監(jiān)控原理說(shuō)明：

采集器

提供 ISR 和進(jìn)程 / 線程方式直接收集 CAN 總線幀報(bào)文的 API 接口，為規(guī)則解析器提供數(shù)據(jù)。

防火墻

防火墻包括規(guī)則解析器和執(zhí)行器。規(guī)則解析器依據(jù)規(guī)則庫(kù)中的規(guī)則對(duì) CAN 總線幀報(bào)文進(jìn)行解析和匹配，執(zhí)行器根據(jù)匹配結(jié)果對(duì)幀報(bào)文進(jìn)行以下處理：（1）隔離：阻斷當(dāng)前管道的數(shù)據(jù)傳輸，丟棄數(shù)據(jù)。（2）提交：維持當(dāng)前管道的數(shù)據(jù)傳輸，向上層應(yīng)用和事件檢測(cè)提交幀報(bào)文。CAN 總線規(guī)則字段可分為：規(guī)則動(dòng)作事件 IDCAN IDCan Length掩碼data

規(guī)則動(dòng)作

規(guī)則包括 alert、drop、alert 表示檢測(cè)到威脅后告警，本條規(guī)則將會(huì)下發(fā)到 CAN 網(wǎng)關(guān)中的檢測(cè)模塊；drop 表示檢測(cè)到威脅后丟棄包，本條規(guī)則將會(huì)下發(fā)到 CAN 網(wǎng)關(guān)中的防御模塊。通常，通過(guò)對(duì)防火墻進(jìn)行防御規(guī)則配置，執(zhí)行丟棄動(dòng)作。

事件管理器

事件管理器包括緩沖區(qū)內(nèi)存池管理，事件檢測(cè)、統(tǒng)計(jì)及發(fā)送。內(nèi)存池可選動(dòng)態(tài)或靜態(tài)分配方式，大小可配，環(huán)形方式存取和管理。可檢測(cè) CAN 總線實(shí)時(shí)負(fù)載率，幀報(bào)文頻率等，統(tǒng)計(jì)后的事件最終會(huì)以 CAN 報(bào)文發(fā)送給 T-BOX。

實(shí)現(xiàn)詳細(xì)（網(wǎng)關(guān)監(jiān)控系統(tǒng)）

網(wǎng)關(guān)監(jiān)控流程：

1. CAN 總線數(shù)據(jù)直采，采集 CAN 總線網(wǎng)絡(luò)流量信息。

2. 規(guī)則解析，經(jīng)過(guò)對(duì)規(guī)則庫(kù)的分類(lèi)提取，對(duì) CAN 總線幀報(bào)文進(jìn)行解析和匹配。

3. 規(guī)則執(zhí)行，執(zhí)行器根據(jù)匹配結(jié)果決定進(jìn)行阻斷當(dāng)前管道的數(shù)據(jù)傳輸或向上層應(yīng)用和事件檢測(cè)提交幀報(bào)文。

4. 事件檢測(cè)與統(tǒng)計(jì)，對(duì)入侵檢測(cè)事件、數(shù)據(jù)包、總線負(fù)載率進(jìn)行檢測(cè)和統(tǒng)計(jì)。

5. 事件發(fā)送，將統(tǒng)計(jì)后的事件以 CAN 報(bào)文發(fā)送給 T-BOX。