智能网联汽车信息安全发展报告（2021）系列十二：纵深防御技术架构车载内部网络安全防护

组织能从市场上获取IDPS软件和（或）硬件产品，或通过向IDPS服务提供商外包IDPS功能等方式部署IDPS。任何情况下，组织宜知道IDPS不是一个即插即用设备，其有效部署需要组织对IDPS有所理解。

像每个控制一样，组织需要根据信息安全风险评估证明IDPS部署的有效性，并将其融入信息安全管理过程。另外，需要考虑到，万一入侵者和攻击者窃听了包含已部署的IDPS内的信息并且覆盖它，将使组织面临巨大的困难。

基于统计的异常检测方法。该方法依据已发生事件对未来事件进行预测：系统观察主体行为并产生轮廓代表主体行为。通常，每个主体都保持有两个轮廓：当前轮廓和储存轮廓，并定期计算异常评分，通过异常函数比较当前轮廓与储存轮廓，如果异常值高于阈值，则系统发出入侵警报。此方法具有较强的时序模式，但由于并不是所有系统行为都可以使用纯粹的统计方法建模，所以该方法无法检测不规则的入侵行为。

Axelsson分类法中处理基于签名的系统的范围从非常简单到非常复杂。最简单的系统是进行简单的字符串匹配或遵循简单规则的系统。许多这些系统能够基于单个网络数据包做出决定。对于一大类攻击，特别是那些针对特定漏洞的攻击，例如从网络读取输入的程序中的缓冲区溢出可能性，这就足够了。类似地，可以在单个数据包的基础上检测到涉及数据包病理（例如相同的源地址和目标地址）的攻击。需要执行多个步骤的漏洞利用需要IDS考虑多个数据项，无论是一系列网络数据包还是一组审计记录。所有处理方法都将一些已知攻击的表示编码为可以与感测数据进行比较的形式。当感测到的数据与模式匹配时识别出攻击。除了相对较少的例外，基于签名的系统以相当具体的数据表示运行。过于具体的签名会错过已知攻击的微小变化，而过于笼统的签名会产生大量的误报。一些更成功的系统，例如STAT系列，对某些类别的攻击使用一个足够抽象的表示，以便能够识别那些在签名创建时未知的“新”攻击。这种行为是一种例外，通常，基于签名的IDS，就像病毒检测器一样，在发现新的攻击时必须更新。大多数商业系统都属于这一类，在选择部署系统时，更新的方便性和频率是一个问题。

图2HSM

通过采用一套专门的安全技术，确保通过HSM可以实现的安全收益不会被抵消；通过使用一套交钥匙软件解决方案以及成熟的接口，确保可以控制由于安全功能嵌套所导致的开发复杂度，同时为应用程序开发人员留出了足够的空间，让他们能够专注于最重要的目标--ECU的功能性。

联系人：朱云尧（zhuyunyao@caeri.com.cn）

通用技术中国汽研政研中心，围绕汽车电动化、智能化、网联化和新服务，组织开展汽车政策法规、前沿技术、产业地图、企业战略、商业模式等跟踪、解读和研究工作。