R155 VTA 认证对汽车入侵检测系统（IDS）合规要求-电子发烧友网

续接上集“浅谈汽车网络安全车辆型式认证（VTA）的现状和未来发展”，有许多读者小伙伴有联系笔者来确认相关的R155 VTA网络安全审核要求，基于此，笔者将针对 R155 VTA 每一条网络安全审核细则来具体展开。

今天就先从汽车入侵检测系统（IDS）展开分享。

01 什么是汽车IDS？

汽车入侵检测系统（IDS，Intrusion Detection System）是一种专门用于监控和保护汽车内部网络免受潜在网络安全威胁的技术。随着现代汽车越来越多地依赖电子控制单元（ECU）、传感器和通信模块等复杂的电子系统，并且越来越多的汽车具备联网功能，网络安全问题变得尤为重要。

汽车IDS的主要目的是检测、识别和响应可能的网络攻击或异常行为，以保护车辆及其乘客的安全。以下是汽车IDS的主要功能和特点：

实时监控：IDS系统能够实时监控汽车内部网络通信，捕捉和分析数据包，识别异常行为或潜在威胁。

异常检测：通过建立正常通信行为的基线，IDS可以检测出偏离正常行为的异常活动，如未授权的访问、数据包重放攻击等。

威胁识别：利用模式匹配、机器学习等技术，IDS可以识别已知的攻击模式和未知的潜在威胁。

报警和响应：一旦检测到入侵或异常行为，IDS系统会发出警报，并可以采取相应的响应措施，如隔离受感染的ECU、限制网络通信等。

日志记录和分析：IDS系统会记录所有检测到的事件和活动日志，供后续分析和取证使用。

02 入侵检测系统的分类

在汽车中，根据检测对象的不同，入侵检测系统可以分为两类：网络入侵检测系统和主机入侵检测系统。

网络入侵检测系统：这种系统可以对包括CAN总线、车载以太网、WIFI、蓝牙数据等车载网络进行检测。目前已有许多基于规则和基于AI的方法进行研究。例如，某研究设计了一种规则和AI混合的多层SOME/IP入侵检测方法，基于规则的模块用于检测SOME/IP报头、SOME/IP-SD消息、消息间隔和通信过程，利用AI检测SOME/IP的有效负载。考虑到实际部署成本，在车载控制器中往往部署基于规则的入侵检测系统。

主机入侵检测系统：这种系统对控制器的操作系统进行安全监控。随着汽车智能网联化的发展，车载控制器不再仅由MCU组成，Linux、Android、QNX等操作系统频繁地在各类域控制器中出现。SOC在为汽车带来强大功能的同时，也成为对汽车的一条重要攻击路径。主机入侵检测系统可以对操作系统进行资源监控、文件监控、病毒扫描等。

在检测识别到车内的异常攻击行为后，通过生成安全日志，并将安全日志上传到汽车安全运营平台（VSOC），是一种有效的攻击行为追溯和监控智能网联汽车安全状态的手段。

03 汽车IDS的实现方法

基于签名的检测：通过预定义的攻击签名库，识别已知的攻击模式。这种方法对已知威胁有效，但对未知威胁的检测能力有限。

基于行为的检测：通过分析正常通信行为的模式，检测异常行为。这种方法能够识别未知威胁，但可能会产生误报。

基于机器学习的检测：利用机器学习算法，自动学习和识别正常和异常行为模式，提高检测的准确性和智能化水平。

04 法规对汽车IDS的要求

随着智能网联汽车的发展，各个控制器不再是孤立的嵌入式系统，信息安全问题也变得越来越重要。同时，国内外已经发布了多项标准和法规来规范汽车网络安全的发展，其中不少法规对车辆网络安全检测提出了具体要求。

欧盟颁布的UN/WP.29 R155法规，其中提到（以下序号是法规中对应的编号）：

7.3.7(a/b/c):车辆制造商应针对车型采取措施：

(a) 检测并防止针对该车型车辆的网络攻击；

(b) 支持车辆制造商在检测与车型相关的威胁、漏洞和网络攻击方面的监控能力；

在结合实际操作的审核标准中，对汽车网络安全威胁的检测响应、持续监控、取证分析也提出了要求：检查主机厂OEM的取证数据，主要是分析数据和其他触发的活动。