CP AUTOSAR的IdsM简述

baoshijie

目录

1.入侵检测系统定义

2.CP AUTOSAR下的IdsM

3.头部供应商方案概述
1.入侵检测系统定义

IdsM，全称Instrusion Detection System Manager，主要用于检测受保护系统的活动状态，及时收集和过滤信息安全相关事件，并转发到不同的处理端。AUTOSAR定义的车端分布式IDS(功能在多个ECU上实现)如下图所示：

可以看到，重要的组成部分如下：

Security Sensors：检测入侵行为Instrusion Detection System Manager：鉴别入侵事件Security Event Memory：存储信息安全事件Intrusion Detection System Reporter：入侵事件上报

今天我们主要聊CP视角下IdsM。不过在这之前，我们先把IDS搞清楚。入侵检测系统其实在网安领域早就非常盛行，所谓入侵，一般是指尝试攻击、破坏受保护系统中敏感\隐私信息、资源的可用性、完整性和机密性的行为，而入侵检测就是通过软硬件及时发现这些入侵行为，并生成事件报告。根据IBM知识百科：

入侵检测系统用于监控网络流量和设备，以发现已知的恶意活动、可疑活动或违反安全策略的行为。IDS可以通过向安全管理员发出已知或潜在威胁的警报，或者向集中式安全工具发送警报，来帮助加速和自动化网络威胁检测。IDS无法自行阻止安全威胁。如今，IDS 功能通常与入侵防御系统 (IPS) 集成或合并到其中，该系统可以检测安全威胁并自动采取措施进行预防。安全信息和事件管理 (SIEM) 系统就是这种安全工具的一个示例，在该系统中，警报可以与其他来源的数据相结合，帮助安全团队识别和应对可能被其他安全措施忽略的网络威胁。

在边界防御架构中，IDS是对防火墙的有效补充，从而进化到纵深防御架构。除此，还有将IDS和IPS(Intrusion Prevention System)结合形成一个入侵检测和防御系统，用于检测入侵、记录入侵、向安全团队发出警报并自动响应。从车载视角来看，IDS系统概念如下：

IDS检测针对汽车ECU网络的外部攻击，收集并将其发送到OEM的云端——也称为安全操作中心(SOC)。OEM评估数据，然后决定如何防御攻击。2.CP AUTOSAR下的IdsM

在Classic Platform下，IdsM作为IDS的重要组成部分，在R20-11中被首次提出，从此CSM处理密钥管理和密码服务管理，又新增了入侵检测管理。该模块主要集成在Crypto Stack的服务层，即CSM这个层级里面，如下图所示：

既然是入侵检测管理，那么理所应该就应该有检测手段，在CP AUTOSAR定义里，选择了三种方式作为入侵检测的类传感器：

BSW基础模块(SecOC、CanIf等CDD：复杂驱动SW-C：用户自定义函数

上述类传感器模块检测到入侵事件后，调用接口IdsM_SetSecurityEvent通知IdsM收集情报，滤波整理后分发至IdsR或者Dem，如下图所示：

从上图可以看到，Dcm、EthIf、CanIf、BswM、KeyM等都可以作为类传感器进行入侵检测；例如EthIf可以用于检测流量异常、SecOC的身份鉴权失败可以通知IdsM和Dem等等。上述这些异常事件，在CP AUTOSAR中均被称为SEv(On-board )；SEv传给IdsM后，会对SEv进行缓存(Buffer SEv)、滤波识别(Qualify SEv)，一旦判定为符合网络入侵的特征，该SEv变为QSEv(Qualification of Events )，则准备将该SEv序列化存入NvM，通过IDS协议经由PduR外发给整车带有IdsR功能的SOC(Security Operation Center)，如下图：

因此，IDPS在整车环境下仍然是一个分布式的系统，可以完整部署在CP\AP中。3.头部供应商方案概述

在上文，我们简单把IdsM的基本原理描述了一下，目前来看，市面上大多数BSW供应商发布的软件包最多支持到4.4版本，还没有看到这块内容在CP AUTOSAR中的部署（主要现在也不做产品啦，有点脱节了）。不过这些内容我都看到了，那ETAS和Vector这样的头牌肯定早就在部署了。Vector基于AUTOSAR 4.4版本扩展了IdsM系统，他们的分布式IDS部署方案如下：

其纵深防御架构如下

最外层在T-Box、IVI等域控下部署IDS系统，保证了远程访问的防御部署；车内通讯分别在动力域控、车身域控等关键控制器上部署IDS；

根据其官网发布的roadmap，现在应该出了QM的软件，不知道有没有OEM使用。

ETAS向来封闭，其整车IDPS采用定制化解决方案，具体如下：


其ESCRYPT CycurIDS专门针对CAN总线进行网络入侵检测，至于内容确实没有途径学习到。