車載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)綜述

童一帆，陳濤，陳宇鵬

（中國(guó)汽車工程研究院股份有限公司，重 401122）

現(xiàn)代汽車是由傳感器、電子控制單元（Electronic Control Unit，ECU）和執(zhí)行器組成的復(fù)雜系統(tǒng)，通過(guò)不同類型的車內(nèi)網(wǎng)絡(luò)連接來(lái)控制和監(jiān)測(cè)車輛的狀態(tài)。隨著智能化、網(wǎng)聯(lián)化的發(fā)展，汽車搭載了更多的ECU和外部通信接口，為用戶提供智能網(wǎng)聯(lián)服務(wù)和網(wǎng)絡(luò)安全。然而，隨著汽車的復(fù)雜性和互聯(lián)性的不斷提高，且現(xiàn)有車載網(wǎng)絡(luò)設(shè)計(jì)缺乏網(wǎng)絡(luò)安全考慮，汽車的安全風(fēng)險(xiǎn)也日益突出。

網(wǎng)絡(luò)安全問(wèn)題正在成為車載網(wǎng)絡(luò)系統(tǒng)的主要關(guān)注點(diǎn)。數(shù)以百萬(wàn)計(jì)的汽車面臨各種安全風(fēng)險(xiǎn)，如2015年MILLER等使用Wi-Fi開放端口侵入Jeep Cherokee的車載網(wǎng)絡(luò)系統(tǒng)，并通過(guò)重新編程ECU的固件成功控制了該車的核心功能（如禁用制動(dòng)和停止發(fā)動(dòng)機(jī)），導(dǎo)致140萬(wàn)輛汽車被召回。相關(guān)汽車攻擊案例引發(fā)了對(duì)汽車網(wǎng)絡(luò)安全的廣泛研究。

目前，行業(yè)內(nèi)各整車制造公司未普遍采用有效的安全技術(shù)手段來(lái)應(yīng)對(duì)汽車安全風(fēng)險(xiǎn)。該現(xiàn)狀對(duì)于黑客入侵行為無(wú)法進(jìn)行有效的防護(hù)，從而導(dǎo)致車輛隱私數(shù)據(jù)或敏感數(shù)據(jù)的丟失，同時(shí)也會(huì)導(dǎo)致車輛行駛功能受到遠(yuǎn)程控制或破壞，對(duì)行車安全造成重大影響。入侵檢測(cè)技術(shù)是應(yīng)對(duì)這一情況的有效解決方案，該技術(shù)可以識(shí)別非法入侵行為，對(duì)車主或整車制造廠進(jìn)行快速預(yù)警，車主或整車制造廠根據(jù)預(yù)警信息進(jìn)行應(yīng)急響應(yīng)，將安全風(fēng)險(xiǎn)降到最低。

對(duì)車載網(wǎng)絡(luò)的保護(hù)通常分為以下3類：（1）將消息幀進(jìn)行加密確保其機(jī)密性和完整性；（2）使用防火墻對(duì)潛在的危險(xiǎn)接口進(jìn)行監(jiān)控；（3）搭建車載網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）。

在上述分類中，不同的方法具有不同的優(yōu)缺點(diǎn)。加密和認(rèn)證的方式雖能有效保護(hù)車載網(wǎng)絡(luò)的信息傳輸，但現(xiàn)有車載網(wǎng)絡(luò)由于其自身在計(jì)算能力、帶寬等方面的局限性，導(dǎo)致這些方法無(wú)法被部署。例如，在計(jì)算機(jī)領(lǐng)域，對(duì)于通信連接普遍采用3次握手協(xié)議，握手成功后才進(jìn)行有效信息傳遞。如果CAN總線引入該機(jī)制，對(duì)動(dòng)力系統(tǒng)等發(fā)送實(shí)時(shí)性高的報(bào)文（10 ms）會(huì)造成重大延誤，在車輛激烈駕駛過(guò)程中勢(shì)必會(huì)引發(fā)功能安全問(wèn)題，因此CAN總線不適合引入重安全機(jī)制。此外，車載網(wǎng)絡(luò)的攻擊入口分布在車機(jī)、網(wǎng)關(guān)、車身控制器等多個(gè)控制器上，且各控制器編譯環(huán)境不同，有的控制器還采用了汽車專用操作系統(tǒng)，所以無(wú)法通過(guò)部署一套計(jì)算機(jī)領(lǐng)域常用的防火墻來(lái)完全隔離威脅和各種攻擊源。

IDS可部署在車載網(wǎng)絡(luò)流量集中的控制器上，通過(guò)對(duì)車載網(wǎng)絡(luò)報(bào)文的實(shí)時(shí)檢測(cè)，能夠有效識(shí)別異常報(bào)文和冗余報(bào)文，對(duì)車主和整車廠進(jìn)行實(shí)時(shí)預(yù)警，車主和整車廠根據(jù)預(yù)警信息的程度，采取相應(yīng)的應(yīng)急解決措施，同時(shí)整車廠可根據(jù)預(yù)警信息，對(duì)未被入侵的車輛采取有效的補(bǔ)救方案，因此，IDS技術(shù)的應(yīng)用能夠有效解決車載網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。

1 車載網(wǎng)絡(luò)架構(gòu)概述

現(xiàn)代車輛的典型架構(gòu)集成了一組網(wǎng)絡(luò)組件，包括傳感器、執(zhí)行器、ECU和通信設(shè)備。車內(nèi)網(wǎng)絡(luò)有助于傳感器、ECU和執(zhí)行器之間的數(shù)據(jù)共享，從而實(shí)現(xiàn)車輛的運(yùn)行。在現(xiàn)代車載通信系統(tǒng)中廣泛使用的車載網(wǎng)絡(luò)包括本地互連網(wǎng)絡(luò)（Local Interconnect Network，LIN）、CAN、FlexRay、以太網(wǎng)和面向媒體的系統(tǒng)傳輸（Media Oriented System Transport，MOST）。表1對(duì)上述車載網(wǎng)絡(luò)的特點(diǎn)進(jìn)行了概括與比較。

表1 車內(nèi)網(wǎng)絡(luò)類型與特點(diǎn)

LIN提供的低通信速度適用于時(shí)間性能要求不高的應(yīng)用，如電池監(jiān)控、車窗升降器控制等。如果要適用于對(duì)性能和帶寬具有較高要求的應(yīng)用，則需要增加系統(tǒng)成本，F(xiàn)lexRay、MOST和以太網(wǎng)就是屬于此種類型。例如，F(xiàn)lexRay可用于轉(zhuǎn)向角傳感器、安全雷達(dá)等，以太網(wǎng)和MOST可用于信息娛樂系統(tǒng)。在所有車載網(wǎng)絡(luò)類型中，CAN由于其較低成本、較全工具鏈、一定的抗噪與容錯(cuò)性成為使用最廣泛的車載網(wǎng)，尤其用于汽車動(dòng)力系統(tǒng)、車身控制系統(tǒng)等。然而，由于CAN的安全性不足而易受到安全威脅，本文所提到的大部分入侵檢測(cè)技術(shù)都是基于CAN的。

CAN總線的傳輸速率可以達(dá)到125 Kbit/s及以上，其總線拓?fù)浣Y(jié)構(gòu)在傳輸電纜末端帶有兩個(gè)120 Ω的終端電阻。CAN總線上的節(jié)點(diǎn)在接收到消息時(shí)會(huì)與發(fā)送節(jié)點(diǎn)同步時(shí)間，因此不需要同步以規(guī)范通信?？偩€在空閑狀態(tài)下，其上的每個(gè)節(jié)點(diǎn)都可以訪問(wèn)總線，并以廣播的形式發(fā)送所要傳輸?shù)男畔?。?duì)于接收消息的節(jié)點(diǎn)，其通過(guò)消息過(guò)濾器根據(jù)消息ID決定接收哪個(gè)消息。多個(gè)節(jié)點(diǎn)同時(shí)傳輸消息的情況下，需要通過(guò)載波偵聽多路訪問(wèn)與沖突避免，以及消息優(yōu)先級(jí)仲裁競(jìng)爭(zhēng)對(duì)總線的訪問(wèn)，ID越小的消息具備的優(yōu)先級(jí)越高。CAN消息幀格式示意如圖1所示。

圖1 CAN總線消息幀格式［20］

如圖1所示，一個(gè)CAN幀由以下7個(gè)字段組成：

（1）起始位：通知所有節(jié)點(diǎn)開始傳輸?shù)膯蝹€(gè)顯性位。

（2）仲裁域：由2個(gè)主要部分組成；表示消息/幀的ID并在仲裁過(guò)程中使用的標(biāo)識(shí)符字段，以及根據(jù)CAN幀的種類確定的遠(yuǎn)程傳輸請(qǐng)求（Remote Transmission Request，RTR）。

（3）控制域：有2個(gè)保留位和4個(gè)數(shù)據(jù)長(zhǎng)度代碼。

（4）數(shù)據(jù)域：保存?zhèn)鬏數(shù)狡渌?jié)點(diǎn)的實(shí)際數(shù)據(jù)。

（5）循環(huán)冗余校驗(yàn)（Cyclic Redundancy Check，CRC）：保證消息的有效性。收到消息的所有其他節(jié)點(diǎn)都使用此代碼驗(yàn)證消息。

（6）確認(rèn)字符（Acknowledge Character，ACK）：分為ACK部分和分隔符部分。接收到有效消息的節(jié)點(diǎn)用顯性位（即邏輯0）替換作為隱性位（即邏輯1）的ACK部分。

（7）終止位：7個(gè)隱性位組成的標(biāo)志，指示幀的結(jié)束。

2 車載網(wǎng)絡(luò)攻擊

智能網(wǎng)聯(lián)汽車容易受到多種不同程度的網(wǎng)絡(luò)攻擊，從數(shù)據(jù)竊聽到出行安全，甚至癱瘓整個(gè)交通系統(tǒng)。一般來(lái)說(shuō)，網(wǎng)絡(luò)攻擊可以分為兩類：被動(dòng)攻擊和主動(dòng)攻擊。被動(dòng)網(wǎng)絡(luò)攻擊（如竊聽）主要違反目標(biāo)系統(tǒng)安全的保密要求并導(dǎo)致隱私泄露（如對(duì)位置信息、對(duì)話數(shù)據(jù)和攝像頭記錄等隱私數(shù)據(jù)的訪問(wèn)）。主動(dòng)網(wǎng)絡(luò)攻擊可以通過(guò)插入、刪除或修改消息來(lái)阻礙系統(tǒng)的功能。通過(guò)對(duì)現(xiàn)有工作的回顧，車載網(wǎng)絡(luò)的常見網(wǎng)絡(luò)攻擊闡述如下。

2.1 拒絕服務(wù)攻擊

拒絕服務(wù)（Deny of Service，DoS）攻擊旨在干擾系統(tǒng)的預(yù)期功能。比較常見的DoS中，攻擊者可能會(huì)發(fā)送許多合法請(qǐng)求，超出服務(wù)系統(tǒng)的處理能力，致使系統(tǒng)資源耗盡而無(wú)法響應(yīng)其他合理請(qǐng)求。在車聯(lián)網(wǎng)環(huán)境中，攻擊者可以向路邊單元（Road Side Unit，RSU）發(fā)送許多請(qǐng)求消息使RSU過(guò)載，這種情況下車輛無(wú)法獲得該RSU所共享的重要消息，從而導(dǎo)致嚴(yán)重后果。CAN網(wǎng)絡(luò)中的攻擊者可以利用消息仲裁機(jī)制，不斷發(fā)送具有高優(yōu)先級(jí)的消息從而阻斷其他ECU節(jié)點(diǎn)的消息傳輸。

2.2 消息注入和重放攻擊

消息注入（MI）攻擊的主要原理是在網(wǎng)絡(luò)中注入偽造的消息，重放攻擊是將之前的消息重新注入到網(wǎng)絡(luò)中。在CAN網(wǎng)絡(luò)中，攻擊者可以控制某個(gè)ECU，并通過(guò)它將偽造的消息發(fā)送到CAN總線上；而重放攻擊中則需要首先對(duì)之前的消息進(jìn)行存儲(chǔ)，然后再在某個(gè)時(shí)間點(diǎn)將原來(lái)的消息發(fā)送到CAN總線。例如，攻擊者可以存儲(chǔ)車速表讀數(shù)并稍后將其再次廣播到網(wǎng)絡(luò)。

2.3 消息操縱

這種攻擊通過(guò)更改/修改或刪除消息來(lái)影響數(shù)據(jù)的完整性。例如，攻擊者可以修改消息的內(nèi)容。攻擊者可能會(huì)修改消息的內(nèi)容而不影響其發(fā)送與接收時(shí)間。字段修改和刪除攻擊是消息操縱攻擊的典型類型。在刪除攻擊中，攻擊者先刪除受感染的ECU并輸出緩沖區(qū)中的消息，然后再將它們傳輸?shù)紺AN總線上。

2.4 偽裝攻擊

要發(fā)起偽裝攻擊，攻擊者需要滲透兩個(gè)ECU（A和B）。攻擊者首先監(jiān)視CAN總線以了解A以什么頻率發(fā)送了哪些消息，然后停止A的傳輸并利用B代表A制造和注入消息。

2.5 惡意軟件攻擊

惡意軟件可能以病毒、蠕蟲、間諜軟件等多種形式存在，攻擊者可以將它們利用通信接口的漏洞注入系統(tǒng)。例如，將惡意軟件加入到多媒體文件中，并利用其多媒體系統(tǒng)固件輸入漏洞實(shí)現(xiàn)惡意軟件的運(yùn)行，從而將惡意消息發(fā)送到CAN總線上，以實(shí)現(xiàn)消息注入攻擊、重放攻擊、DoS等特定類型的攻擊。

3 車載CAN網(wǎng)絡(luò)IDS類型

近年來(lái)，汽車惡意攻擊的數(shù)量有所增加。因此，車載網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到關(guān)注。入侵檢測(cè)技術(shù)作為一種網(wǎng)絡(luò)安全增強(qiáng)方法，成本低，部署方便。

入侵檢測(cè)依賴于觀測(cè)的數(shù)據(jù)，在車載網(wǎng)絡(luò)中主要是各節(jié)點(diǎn)（如ECU）之間交換的數(shù)據(jù)。例如，1條CAN消息，其具有固定的格式，包括消息ID、數(shù)據(jù)內(nèi)容、校驗(yàn)碼等，表示某個(gè)事件或過(guò)程。消息的時(shí)間戳或者數(shù)據(jù)范圍都可以作為特征成為區(qū)分消息是否正常的依據(jù)，從而實(shí)現(xiàn)入侵檢測(cè)。

一般而言，可以將數(shù)據(jù)集的特征分為兩種類型：物理特征和網(wǎng)絡(luò)特征。物理特征是指描述系統(tǒng)物理狀態(tài)的特征（如速度、發(fā)動(dòng)機(jī)轉(zhuǎn)速），而網(wǎng)絡(luò)特征是指描述系統(tǒng)通信和數(shù)據(jù)方面的特征（如消息數(shù)量、數(shù)據(jù)序列）。為了強(qiáng)化學(xué)習(xí)算法的辨別能力，需要剔除不相關(guān)的特征，所以精確地選擇合理的特征不僅能夠降低計(jì)算成本，對(duì)提高學(xué)習(xí)算法的泛化能力也具有重要意義。

通常將傳統(tǒng)的IDS分為兩類：基于簽名的IDS和基于異常的IDS。基于簽名的IDS需要對(duì)已有攻擊模式進(jìn)行匹配，如黑名單就是一種常見的基于簽名的IDS。當(dāng)觀察到匹配的攻擊模式時(shí)則報(bào)告入侵。由于基于簽名的IDS只對(duì)已知的攻擊進(jìn)行報(bào)告，所以具有較低的誤報(bào)率，但檢測(cè)新攻擊（如0-day攻擊）的能力有限。為了能夠抵御新型攻擊，簽名數(shù)據(jù)庫(kù)需要保持最新。此外，存儲(chǔ)大型簽名數(shù)據(jù)庫(kù)并對(duì)其執(zhí)行模式匹配，對(duì)CPU、內(nèi)存等資源的要求都比較高。

基于異常的IDS對(duì)正常的系統(tǒng)行為進(jìn)行建模，并將與正常系統(tǒng)行為有顯著偏差的行為視為入侵。該方法不必每次存儲(chǔ)最新的攻擊模式，且能夠識(shí)別新型攻擊，但是如果對(duì)正常系統(tǒng)的行為建模不精確容易產(chǎn)生誤報(bào)。此外，正常系統(tǒng)行為的建模依賴于不受攻擊的數(shù)據(jù)，而這些“純凈”數(shù)據(jù)在現(xiàn)實(shí)世界中并不一定能夠獲得。與基于簽名的IDS相比，基于異常的IDS由于不需要存儲(chǔ)簽名，所以需要更少的內(nèi)存即可滿足要求。

近年來(lái)，針對(duì)車載網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)進(jìn)行了大量研究。從車載網(wǎng)絡(luò)IDS設(shè)計(jì)的角度來(lái)看，其可以分為基于流量的IDS、基于負(fù)載的IDS和混合IDS?；诹髁康腎DS監(jiān)控車輛的內(nèi)部網(wǎng)絡(luò)，并從中提取不同的特征（如消息頻率和間隔）。然后使用提取的特征來(lái)識(shí)別入侵或異常行為，而無(wú)需檢查消息的有效負(fù)載；基于負(fù)載的IDS檢查消息的負(fù)載以識(shí)別入侵；混合IDS是前兩個(gè)類別的組合。針對(duì)上述分類，典型的車載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)闡述如下。

3.1 基于流量的IDS技術(shù)

HOPPE等通過(guò)分析車載網(wǎng)絡(luò)的實(shí)際攻擊案例，提出了基于異常的IDS跟蹤特定目標(biāo)消息類型的所有CAN消息，并評(píng)估當(dāng)前的消息頻率和之前的是否一致。此外，建議在檢測(cè)到攻擊時(shí)，在考慮周圍環(huán)境條件的同時(shí)，所提出的系統(tǒng)能夠自適應(yīng)地通過(guò)車輛的多媒體設(shè)備向駕駛員報(bào)告安全事件。

LING Congli和FENG Dongqin基 于CAN總 線上傳輸?shù)南D與其可中斷的發(fā)生頻率提出了一種CAN入侵檢測(cè)算法。對(duì)于給定消息類型（即ID），該算法會(huì)計(jì)算其連續(xù)消息的數(shù)量。如果可中斷序列中的消息計(jì)數(shù)大于預(yù)定閾值，則算法會(huì)發(fā)出可能攻擊的警報(bào)。該算法在檢測(cè)操縱消息內(nèi)容的同時(shí)保持其頻率的攻擊方面能力有限。

SONG等提出了一種基于CAN消息時(shí)間間隔統(tǒng)計(jì)分析的輕量級(jí)IDS，主要原理是根據(jù)消息頻率分析異常流量，從而用于檢測(cè)注入攻擊。在正常運(yùn)行條件下，ECU生成的消息有自己的固定頻率或間隔。當(dāng)車輛受到消息注入攻擊時(shí)，這些頻率或間隔會(huì)意外更改。試驗(yàn)表明，受到注入攻擊的消息頻率比正常情況高出20～100倍。

CHO和SHIN構(gòu)建了一個(gè)基于時(shí)鐘的入侵檢測(cè)系 統(tǒng)（Clock-based Intrusion Detection System，CIDS），其可以檢測(cè)包括偽裝攻擊在內(nèi)的各種類型的攻擊。由于CAN協(xié)議沒有在CAN消息中提供發(fā)送器的身份，所以利用消息周期性來(lái)提取和估計(jì)發(fā)射器的時(shí)鐘偏差，從而用于對(duì)發(fā)射ECU進(jìn)行指紋識(shí)別。累計(jì)時(shí)鐘偏移是通過(guò)將平均時(shí)鐘偏移的絕對(duì)值相加得到的，根據(jù)定義，其斜率表示時(shí)鐘偏移且是恒定的。這使所提出的CIDS能夠根據(jù)到達(dá)時(shí)間戳估計(jì)時(shí)鐘偏差，從而對(duì)消息發(fā)送器進(jìn)行指紋識(shí)別以便進(jìn)行入侵檢測(cè)。

AVATEFIPOUR提出了一種基于機(jī)器學(xué)習(xí)的模型，該模型通過(guò)學(xué)習(xí)接收到的數(shù)據(jù)包的物理信號(hào)屬性，將CAN數(shù)據(jù)包與其發(fā)送源進(jìn)行“綁定”。所提取的物理信號(hào)特征向量由11個(gè)時(shí)域和頻域統(tǒng)計(jì)信號(hào)屬性組成，包括高階矩、頻譜合度、最小值、最大值和不規(guī)則性等屬性，然后用于基于神經(jīng)網(wǎng)絡(luò)的分類器。試驗(yàn)結(jié)果表明，該模型對(duì)通道和ECU分類的正確檢測(cè)率分別為95.2%和98.3%。

基于熵的信息論方法也可以用來(lái)檢測(cè)車載網(wǎng)絡(luò)的消息注入、DoS等攻擊。相比于傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)，車載網(wǎng)絡(luò)中的流量更受限制，因?yàn)槊織l消息及其內(nèi)容都是在傳輸之前指定的。這意味著正常網(wǎng)絡(luò)操作中數(shù)據(jù)的熵（即不確定性）幾乎是固定的并且相對(duì)較低。因此，通過(guò)觀察熵值可以很容易地檢測(cè)到改變數(shù)據(jù)熵的入侵。例如，MI攻擊會(huì)降低熵值，因?yàn)樘囟ㄏ⒌臄?shù)量會(huì)增加。因此，IDS可以通過(guò)檢測(cè)熵的變化來(lái)判斷是否存在攻擊的指標(biāo)。

由上文可知，基于流量型的IDS技術(shù)可有效識(shí)別特定數(shù)據(jù)包和頻率的異常情況，對(duì)于傳統(tǒng)CAN總線網(wǎng)絡(luò)適用性更強(qiáng)，同時(shí)實(shí)時(shí)性好。但是對(duì)于面向服務(wù)的車載網(wǎng)絡(luò)，由于服務(wù)信號(hào)可以根據(jù)服務(wù)需求進(jìn)行變更，那么基于流量型的IDS技術(shù)則很難對(duì)新增的服務(wù)信號(hào)做出響應(yīng)，也無(wú)法發(fā)現(xiàn)新增服務(wù)信號(hào)的篡改等風(fēng)險(xiǎn)，所以該技術(shù)有其局限性。

3.2 基于負(fù)載的IDS技術(shù)

BEZEMSKIJ等通過(guò)監(jiān)控車輛的不同車載資源（如傳感器、網(wǎng)絡(luò)和處理）的實(shí)時(shí)網(wǎng)絡(luò)和物理特征實(shí)現(xiàn)入侵檢測(cè)，分為學(xué)習(xí)階段和檢測(cè)階段。在學(xué)習(xí)階段，將車輛學(xué)習(xí)特征的正常值范圍作為正常行為配置文件。在檢測(cè)階段，如果某個(gè)特征的觀察值超出其正常范圍，則檢測(cè)機(jī)制會(huì)報(bào)告攻擊。所提出的機(jī)制能夠檢測(cè)信息注入攻擊和偽裝攻擊。

MARKOVITZ等通過(guò)一個(gè)分類器將CAN消息拆分為字段并識(shí)別字段類型及其邊界，而無(wú)需事先了解消息格式。由此可知存在3類場(chǎng)：常數(shù)場(chǎng)、多值場(chǎng)和計(jì)數(shù)器或傳感器場(chǎng)。然后，檢測(cè)系統(tǒng)根據(jù)從分類器獲得的ECU消息的特征（即字段類型和邊界）為每個(gè)ECU構(gòu)建模型。該模型基于三元內(nèi)容可尋址存儲(chǔ)器（Ternary Content Address Memory，TCAM）對(duì)ECU發(fā)送的消息進(jìn)行匹配，任何與TCAM不匹配的消息都被標(biāo)記為異常。

STABILI等基于不同ID類別的連續(xù)有效載荷之間的漢明距離提出了一種入侵檢測(cè)算法。在學(xué)習(xí)階段，為提出的算法建立了一個(gè)正常范圍的有效漢明距離。然后，它分析通過(guò)CAN總線傳輸?shù)乃邢⒌挠行лd荷序列，并將相同ID的連續(xù)有效載荷之間的漢明距離與有效漢明距離的正常范圍進(jìn)行比較。試驗(yàn)結(jié)果表明，所提出的算法在檢測(cè)消息注入攻擊時(shí)效果較好。

KANG等提出了一種基于深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Networks，DNN）的IDS。檢測(cè)模型是基于從ECU之間交換的車載網(wǎng)絡(luò)數(shù)據(jù)包的比特流中提取的高維特征進(jìn)行訓(xùn)練。一旦特征被訓(xùn)練并存儲(chǔ)在分析模塊中，所提出的系統(tǒng)就會(huì)檢查車輛網(wǎng)絡(luò)中交換的數(shù)據(jù)包，以確定系統(tǒng)是否受到攻擊。由于神經(jīng)網(wǎng)絡(luò)的前向計(jì)算模式簡(jiǎn)單且固定，所以所提出的系統(tǒng)在檢測(cè)異常時(shí)具有較低的延遲。

由上文可知，基于負(fù)載的IDS技術(shù)普遍引入機(jī)器學(xué)習(xí)機(jī)制來(lái)完成正常樣本的識(shí)別，該技術(shù)的普適性較強(qiáng)，無(wú)需對(duì)適配車型進(jìn)行定制化開發(fā)。但是其存在機(jī)器學(xué)習(xí)的普遍問(wèn)題，即正常樣本和異常樣本采集問(wèn)題，特別是異常樣本數(shù)量巨大，學(xué)習(xí)難度較高。因此，該技術(shù)如何獲取大量樣本來(lái)進(jìn)行學(xué)習(xí)是應(yīng)用該技術(shù)的門檻。

3.3 混合類型的IDS技術(shù)

JIN Shiyi等分別根據(jù)流量選擇消息ID、時(shí)間間隔作為特征，根據(jù)負(fù)載選擇數(shù)據(jù)范圍以及相關(guān)性作為特征，從而提出了一種混合類型的IDS。該IDS作為一種輕量級(jí)IDS可以直接應(yīng)用到ECU上，避免了車載網(wǎng)絡(luò)拓?fù)涞母拈_銷，因此在汽車架構(gòu)沒有發(fā)生大規(guī)模改變的階段存在一定的應(yīng)用前景。

MüTER等引入了一組檢測(cè)傳感器：形式傳感器、位置傳感器、距離傳感器、頻率傳感器、相關(guān)傳感器、協(xié)議傳感器、似真性傳感器和一致性傳感器。這些檢測(cè)傳感器基于明確且可靠的信息，所以在檢測(cè)異常時(shí)不會(huì)產(chǎn)生誤報(bào)。盡管這些傳感器可用于檢測(cè)攻擊而不會(huì)誤報(bào)，但并非所有攻擊都可以被這些傳感器檢測(cè)到。例如，如果攻擊者能夠注入完全符合網(wǎng)絡(luò)正常行為且與先前值合理的消息。此外，當(dāng)檢測(cè)到異常時(shí)很難確定其是由攻擊、錯(cuò)誤還是故障引起的。

BERLIN等引入了一個(gè)安全信息和事件管理系統(tǒng)（Security Information and Event Management，SIEM），其使用是基于規(guī)則、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、基于實(shí)時(shí)、安全和大數(shù)據(jù)的算法，通過(guò)車輛的數(shù)據(jù)和其他來(lái)源的附加信息（如來(lái)自第三方和服務(wù)的數(shù)據(jù)）來(lái)識(shí)別攻擊。

ZHANG Linxi等提出了一種基于規(guī)則和深度學(xué)習(xí)的兩階段IDS來(lái)實(shí)時(shí)檢測(cè)攻擊。在第1階段，輕量級(jí)基于規(guī)則的IDS可以快速檢測(cè)違反主要CAN流量的周期性和規(guī)律性的攻擊，而基于DNN的IDS會(huì)從基于規(guī)則的系統(tǒng)中捕獲錯(cuò)過(guò)的攻擊，試驗(yàn)表明該系統(tǒng)可以檢測(cè)5種類型的攻擊，包括消息注入、偽裝、重放、刪除或丟棄攻擊，在增加檢測(cè)準(zhǔn)確性的同時(shí)降低了檢測(cè)時(shí)延。

彭海德提出了一種基于ID熵和支持向量機(jī)-數(shù)據(jù)關(guān)聯(lián)性的IDS檢測(cè)技術(shù)，針對(duì)CAN周期性消息，建立白名單與熵相結(jié)合的檢測(cè)機(jī)制，針對(duì)非周期消息，建立了數(shù)據(jù)域與車輛狀態(tài)相結(jié)合的數(shù)據(jù)關(guān)聯(lián)檢測(cè)技術(shù)，從而實(shí)現(xiàn)對(duì)重放、DoS、丟棄（刪除）攻擊的檢測(cè)。

KWON等結(jié)合車載網(wǎng)絡(luò)IDS提出了一種減輕入侵危害的方法，其主要是通過(guò)將受攻擊的ECU進(jìn)行重新配置，或者將檢測(cè)到的惡意消息通知特定域的ECU進(jìn)行丟棄。

SUDA等提出了一種基于時(shí)間序列特征提取的車載網(wǎng)絡(luò)入侵檢測(cè)方法以檢測(cè)ID修改攻擊、數(shù)據(jù)字段修改攻擊和洪泛攻擊。其主要是將消息ID、數(shù)據(jù)字段以及消息幀間隔統(tǒng)一放到遞歸神經(jīng)網(wǎng)絡(luò)中進(jìn)行訓(xùn)練，從而達(dá)到識(shí)別異?；蛘吖舻哪康?。NAM等利用類似的思想基于生成式的預(yù)訓(xùn)練模型提取面向時(shí)間序列的ID特征以檢測(cè)入侵。

HE Yuchu等基于深度學(xué)習(xí)方法，在考慮車載網(wǎng)絡(luò)流量與負(fù)載的基礎(chǔ)上，增加了臨近消息的關(guān)系特征并給不同的特征分配相應(yīng)的權(quán)重以增加入侵檢測(cè)的效率。

混合類型的IDS技術(shù)融合了基于流量的IDS和基于負(fù)載的IDS的優(yōu)點(diǎn)，既能對(duì)選定的報(bào)文進(jìn)行快速識(shí)別，同時(shí)又具備學(xué)習(xí)能力，可以學(xué)習(xí)新報(bào)文。但是受限于車輛整體成本，IDS部署的控制器算力和存儲(chǔ)空間普遍無(wú)法支撐混合類型的IDS技術(shù)，如何降低混合類型的IDS技術(shù)資源使用，是該技術(shù)能夠進(jìn)行廣泛使用的前提條件。

4 結(jié)論

隨著汽車智能化與網(wǎng)聯(lián)化的發(fā)展，車載網(wǎng)絡(luò)在功能運(yùn)轉(zhuǎn)、信息交互、狀態(tài)顯示等方面發(fā)揮著巨大作用，隨之而來(lái)的網(wǎng)絡(luò)安全威脅更加突出。入侵檢測(cè)技術(shù)作為一種被動(dòng)防御技術(shù)，具有低開銷、應(yīng)用廣等特點(diǎn)，能夠有效收集并檢測(cè)潛在的車載網(wǎng)絡(luò)安全攻擊。從對(duì)車載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的調(diào)研來(lái)看，車載網(wǎng)絡(luò)入侵檢測(cè)技術(shù)主要分為基于流量的和基于負(fù)載的兩大類，不同類型的技術(shù)在成本開銷、應(yīng)用場(chǎng)景以及效果等方面具有較大差異，因此需要根據(jù)實(shí)際情況設(shè)計(jì)車載網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。特別是隨著入侵檢測(cè)技術(shù)不斷成熟，可以在原有技術(shù)的基礎(chǔ)上增加隔離措施，不僅僅局限于預(yù)警，提前將相關(guān)物理功能進(jìn)行區(qū)域化管制，及時(shí)處置風(fēng)險(xiǎn)，這是入侵檢測(cè)技術(shù)的新發(fā)展方向。