關(guān)宇昕，冀浩杰，崔 哲，李 賀，陳麗文

（1. 華北理工大學(xué)機(jī)械工程學(xué)院，唐山 063210；2. 北京航空航天大學(xué)合肥創(chuàng)新研究院，合肥 230012）

前言

如今的汽車正朝著智能化、電動化、共享化、網(wǎng)聯(lián)化——新四化方向發(fā)展［1］。隨著智能汽車與車聯(lián)網(wǎng)技術(shù)的不斷融合，智能網(wǎng)聯(lián)汽車（intelligent and connected vehicle，ICV）作為萬物互聯(lián)時期的新產(chǎn)物，已經(jīng)成為全球眾多國家的戰(zhàn)略發(fā)展方向。汽車制造商為使汽車變得更為智能，向其內(nèi)部增加了越來越多的電子控制單元（electronic control unit，ECU）、傳感器和執(zhí)行器等［2］。網(wǎng)聯(lián)化的升級增加了車端信息與外界的互聯(lián)互通，導(dǎo)致智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)不斷增加。其中，車載無線通信技術(shù)（vehicle to everything，V2X）發(fā)展至今，已經(jīng)成為現(xiàn)代智能汽車廣泛應(yīng)用的技術(shù)。該技術(shù)可以大幅度降低汽車安全事故的風(fēng)險(xiǎn)并提高駕駛?cè)说氖孢m性。此外，汽車制造商將藍(lán)牙、Wi-Fi、GPS和蜂窩網(wǎng)絡(luò)等技術(shù)集成到T-box中［3］，使車輛能夠更多的與外界互聯(lián)互通。在汽車網(wǎng)聯(lián)化的同時，ICV 信息安全風(fēng)險(xiǎn)不斷增加，車輛信息及用戶隱私面臨著更大的安全考驗(yàn)。

早期的汽車只是獨(dú)立運(yùn)行的單元，并不容易受到網(wǎng)絡(luò)攻擊。而ICV 具有高復(fù)雜性，并與外界互聯(lián)網(wǎng)相連，很容易使用戶的個人隱私泄漏、財(cái)產(chǎn)與經(jīng)濟(jì)損失，甚至可能給車內(nèi)人員造成生命安全威脅。目前，已經(jīng)發(fā)生多起對車載網(wǎng)絡(luò)的攻擊事件。 例如，Miller 和Valasek 使用Wi-Fi 開放端口入侵吉普切諾基的車載網(wǎng)絡(luò)，并重新對ECU 編程。使汽車制動系統(tǒng)和發(fā)動機(jī)失靈，導(dǎo)致140萬輛汽車被迫召回［4］。此外，據(jù)2020 年的一項(xiàng)調(diào)查，福特和大眾兩款汽車也發(fā)現(xiàn)嚴(yán)重的網(wǎng)絡(luò)安全漏洞［5］。車載GPS 系統(tǒng)和娛樂服務(wù)系統(tǒng)等需要車外網(wǎng)絡(luò)支持的服務(wù)均可受到來自黑客的攻擊。在未來，ICV 會暴露出愈來愈多的網(wǎng)絡(luò)安全問題。因此，研究對其的網(wǎng)絡(luò)安全防護(hù)勢在必行。

現(xiàn)有車載網(wǎng)絡(luò)信息安全增強(qiáng)手段有數(shù)據(jù)加密技術(shù)、消息認(rèn)證技術(shù)和入侵檢測技術(shù)［1］。但在車載網(wǎng)絡(luò)這種計(jì)算資源緊張且實(shí)時性要求高的環(huán)境中，數(shù)據(jù)加密和消息認(rèn)證技術(shù)往往起不到較好效果。入侵檢測系統(tǒng)（intrusion detection system，IDS）是一種主動的安全防護(hù)技術(shù)，它可以檢測出對車載網(wǎng)絡(luò)的攻擊以及車輛的異常行為。雖然最近幾年一些文章對車載網(wǎng)絡(luò)的安全問題和車載網(wǎng)絡(luò)IDS 進(jìn)行了總結(jié)和分析［6-8］，但車載網(wǎng)絡(luò)安全問題和對其的入侵檢測方法是實(shí)時性的問題。隨著ICV 技術(shù)所面臨的安全問題日益增加，相關(guān)人員研究出許多應(yīng)用于車載網(wǎng)絡(luò)的新型IDS。Elkhail等［6］發(fā)表了對汽車安全漏洞、惡意軟件攻擊和防御的調(diào)查，介紹了過去幾年中的惡意軟件檢測技術(shù)。Gmiden 等［7］總結(jié)了當(dāng)前CAN 網(wǎng)絡(luò)協(xié)議存在的缺點(diǎn)，以及為解決CAN 網(wǎng)絡(luò)安全問題而設(shè)計(jì)的各種方法。特別地，他們又對一些密碼機(jī)制進(jìn)行概述。Dibaei 等［8］首先確定了ICV 的主要攻擊類型，總結(jié)并分析了針對這些攻擊類型的防御措施，討論了對ICV 攻擊防護(hù)的剩余挑戰(zhàn)和未來研究方向。此外，Zhang 等［9］介紹了物聯(lián)網(wǎng)體系結(jié)構(gòu)的層次，并且概述了物聯(lián)網(wǎng)體系結(jié)構(gòu)在不同層面上的安全問題和研究現(xiàn)狀。Slevi等［10］重點(diǎn)對物聯(lián)網(wǎng)范式的新型IDS進(jìn)行調(diào)查?？偨Y(jié)了IDS模型、類型和基本細(xì)節(jié)，主要研究使用深度學(xué)習(xí)入侵檢測方法避免物聯(lián)網(wǎng)遭受威脅。

本文的其余部分如下。在第二章首先對車載網(wǎng)絡(luò)進(jìn)行系統(tǒng)的概述，總結(jié)了當(dāng)今應(yīng)用在車內(nèi)各種類型車載網(wǎng)絡(luò)優(yōu)缺點(diǎn)。在第三章中，本文分析了黑客對ICV的攻擊途徑以及車載CAN網(wǎng)絡(luò)的脆弱性和對其的攻擊方式。第四章中本文對車載CAN 網(wǎng)絡(luò)IDS進(jìn)行歸納和分類，回顧了近幾年車載CAN 網(wǎng)絡(luò)IDS的研究現(xiàn)狀。由于在目前研究中，多數(shù)以車載CAN網(wǎng)絡(luò)的IDS 為主。因此在文章的最后，本文對未來車載網(wǎng)絡(luò)IDS提出了幾項(xiàng)有待解決的開放性問題。

1 車載網(wǎng)絡(luò)概述

1.1 車載網(wǎng)絡(luò)介紹

ICV 是相對復(fù)雜的系統(tǒng)，其內(nèi)部約有70-100 個ECU［4］，每個ECU 之間的通信通過車載網(wǎng)絡(luò)來實(shí)現(xiàn)。由于每種車載網(wǎng)絡(luò)的帶寬、成本和容錯性等不同，被應(yīng)用在車上不同的位置。圖1為車載網(wǎng)絡(luò)結(jié)構(gòu)圖。

圖1 車載網(wǎng)絡(luò)結(jié)構(gòu)圖

1.2 車載網(wǎng)絡(luò)的分類

由于ICV 每個電控系統(tǒng)中通信實(shí)時性的要求不同，可以按通信速度將車載網(wǎng)絡(luò)分為高速、中速和低速網(wǎng)絡(luò)。根據(jù)汽車工程學(xué)會（Society of Automotive Engineers，SAE）的標(biāo)準(zhǔn)，可將車載網(wǎng)絡(luò)分為5類。分別為A 類低速網(wǎng)絡(luò)、B 類中速網(wǎng)絡(luò)、C 類高速網(wǎng)絡(luò)、D類多媒體網(wǎng)絡(luò)以及E 類安全應(yīng)用網(wǎng)絡(luò)，如表1 所示。ICV通信系統(tǒng)中有5種常用的車載網(wǎng)絡(luò)，分別為控制器局域網(wǎng)絡(luò)（controller area network，CAN）、局域互聯(lián)網(wǎng)（local interconnect network，LIN）、FlexRay、MOST和車內(nèi)以太網(wǎng)［6］。表2 為它們的功能屬性對比。

表1 車載網(wǎng)絡(luò)分類

表2 常見車載網(wǎng)絡(luò)的對比

CAN 是近30 年以來發(fā)展起來的技術(shù)。由德國Robert Bosch 公司在1983 年首先提出，并最終成為國際標(biāo)準(zhǔn)［11］。CAN 網(wǎng)絡(luò)以低成本、高容錯及穩(wěn)定性較高等優(yōu)點(diǎn)，在全球眾多國家已經(jīng)成為汽車計(jì)算機(jī)控制系統(tǒng)的標(biāo)準(zhǔn)，受到了諸多汽車制造商的青睞。CAN 網(wǎng)絡(luò)協(xié)議是一種串行數(shù)據(jù)通信協(xié)議，具有總線型拓?fù)浣Y(jié)構(gòu)，CAN 網(wǎng)絡(luò)中的ECU 節(jié)點(diǎn)均可向其他ECU（一個或多個）發(fā)送報(bào)文［12］。CAN 網(wǎng)絡(luò)具有非破壞性仲裁機(jī)制，當(dāng)多個節(jié)點(diǎn)同時發(fā)送數(shù)據(jù)時，其優(yōu)先級由報(bào)文ID 決定，ID 越小優(yōu)先級越高［13］。消息格式為短幀結(jié)構(gòu)，數(shù)據(jù)的出錯率較低，并且當(dāng)數(shù)據(jù)出錯時可自動關(guān)閉節(jié)點(diǎn)，圖2 為CAN 網(wǎng)絡(luò)數(shù)據(jù)幀結(jié)構(gòu)圖。CAN 網(wǎng)絡(luò)協(xié)議的傳輸速度最高為1 Mbps，可以滿足早期汽車通信需求［14］。然而，隨著現(xiàn)代汽車中ECU的增加，導(dǎo)致CAN 網(wǎng)絡(luò)負(fù)載逐漸增加，造成消息擁堵、信號傳輸延遲等，甚至?xí)霈F(xiàn)低優(yōu)先級的報(bào)文傳輸丟失的現(xiàn)象。雖然升級版CAN 網(wǎng)絡(luò)（CAN-FD）的推出一定程度上增加了帶寬［15］，但還是無法保證能夠滿足未來車載通信的帶寬要求。

圖2 CAN網(wǎng)絡(luò)數(shù)據(jù)幀結(jié)構(gòu)圖

LIN 的成本和網(wǎng)絡(luò)安全威脅較低，常用于輔助CAN 網(wǎng)絡(luò)。主要應(yīng)用在實(shí)時性不高的場合（例如雨刮器、車窗升降、儀表盤等部位）。與CAN 網(wǎng)絡(luò)不同的是其結(jié)構(gòu)是由一個主節(jié)點(diǎn)和一個或多個從節(jié)點(diǎn)組成，最多可以連接15 個從節(jié)點(diǎn)。消息的時序由主節(jié)點(diǎn)決定，容錯性較低，且消息的最高傳輸速度僅有19.2 Kbps。

FlexRay 是由FlexRay 聯(lián)盟開發(fā)的一種具備故障容錯的高速車載網(wǎng)絡(luò)?？梢酝ㄟ^單通道或雙通道進(jìn)行消息的傳輸，且單通道消息傳輸速度最高可達(dá)到10 Mbps［16］。主要應(yīng)用在安全性極高的位置（例如電子制動、電子轉(zhuǎn)向盤等）。另外，當(dāng)某一個通道出現(xiàn)故障，另一通道仍然可以進(jìn)行消息的發(fā)送，這使得FlexRay 具有較高的容錯性。但FlexRay 的價格比CAN昂貴許多，并不適合大量應(yīng)用在車載網(wǎng)絡(luò)中。

MOST是由寶馬、DaimlerChrysler、Harman/Becker等公司聯(lián)合開發(fā)的一種用于汽車媒體系統(tǒng)中消息傳輸?shù)能囕d網(wǎng)絡(luò)，采用環(huán)形拓?fù)浣Y(jié)構(gòu)，其最大帶寬理論值為150 Mbps［8］。并且采用塑料光纖作為物理層，網(wǎng)絡(luò)與電磁干擾隔離，防止信息娛樂系統(tǒng)中出現(xiàn)嗡嗡聲等問題［8］，比CAN 更適合媒體系統(tǒng)數(shù)據(jù)傳輸。但由于成本較高以及網(wǎng)關(guān)的開發(fā)難度過大，目前在高端汽車應(yīng)用較多。

車載以太網(wǎng)的帶寬可以達(dá)到100 Mbps［8］，預(yù)計(jì)在不久后可增加近1 Gbps，比CAN 網(wǎng)絡(luò)協(xié)議的速度快約100 倍。然而，由于其成本遠(yuǎn)高于CAN，很可能無法完全取代CAN 網(wǎng)絡(luò)，而是用于輔助CAN 網(wǎng)絡(luò)更好的改變汽車通信功能。

2 ICV網(wǎng)絡(luò)安全問題分析

2.1 ICV的攻擊途徑分析

隨著汽車智能化的快速發(fā)展以及網(wǎng)聯(lián)化技術(shù)大面積覆蓋，越來越多的攻擊入口被暴露在外，黑客可以通過這些入口訪問車載網(wǎng)絡(luò)。車載網(wǎng)絡(luò)受到的網(wǎng)絡(luò)攻擊途徑可分為物理訪問和無線訪問攻擊兩類，其中物理訪問攻擊分為直接和間接物理訪問攻擊兩種，而無線訪問攻擊分為近程和遠(yuǎn)程無線訪問攻擊。圖3為ICV中潛在攻擊途徑。

維修人員可通過車載診斷系統(tǒng)（on-board diagnostic，OBD）中的OBD-II 端口或OBD 加密狗直接訪問車輛ECU 及車載網(wǎng)絡(luò)［17］。OBD-II 端口可以監(jiān)測車輛速度、行駛里程來調(diào)節(jié)車輛的性能［18］。但OBD-II 端口缺少身份認(rèn)證機(jī)制，黑客可通過該端口訪問車載網(wǎng)絡(luò)。其次，電動汽車充電樁通過充電電纜與車輛進(jìn)行信息交換，黑客可以攻擊充電樁等基礎(chǔ)設(shè)施，進(jìn)而攻擊任何連接到充電樁的汽車［19］。另外，汽車內(nèi)部的信息娛樂系統(tǒng)也很容易遭到非法入侵。Checkoway 等［20］證明了黑客可以通過OBD-II端口、CD 播放器、USB 等入口點(diǎn)訪問車載網(wǎng)絡(luò)并注入攻擊報(bào)文。騰訊敏銳安全實(shí)驗(yàn)室的研究人員對雷克薩斯汽車進(jìn)行安全實(shí)驗(yàn)評估時發(fā)現(xiàn)車載藍(lán)牙和OBD系統(tǒng)存在安全漏洞，利用這些漏洞他們可以進(jìn)入汽車信息娛樂系統(tǒng)，將攻擊數(shù)據(jù)包注入到CAN 網(wǎng)絡(luò)中［21］。Zingbox 的研究人員將惡意制作的USB 設(shè)備連接到信息娛樂系統(tǒng)中，一旦與駕駛員的手機(jī)配對，信息娛樂系統(tǒng)中的惡意軟件就會利用手機(jī)的短信服務(wù)等手段來訪問個人信息［22］。

目前大部分汽車中都裝有車載藍(lán)牙設(shè)備，黑客可利用藍(lán)牙設(shè)備中的漏洞訪問車載網(wǎng)絡(luò)。2018 年賽爾黑客新聞報(bào)道出幾個汽車品牌的信息娛樂系統(tǒng)中發(fā)現(xiàn)了一個新的被稱為“CarsBlues”的大規(guī)模網(wǎng)絡(luò)漏洞，黑客能通過該藍(lán)牙漏洞將車主手機(jī)同步到汽車的個人身份信息竊取［23］。騰訊敏銳安全團(tuán)隊(duì)將汽車連接到惡意Wi-Fi 熱點(diǎn)，使用網(wǎng)絡(luò)瀏覽訪問網(wǎng)絡(luò)來控制車輛，并在視頻中展示了對汽車的攻擊［24］。Vanhoef 等［25］研究了受保護(hù)的Wi-Fi 仍有受到拒絕服務(wù)攻擊（denial of service，DoS）的可能。胎壓檢測系統(tǒng)（tire pressure monitoring system，TPMS）是保障行車安全的報(bào)警裝置，Rouf 等［26］分析了TPMS 通信協(xié)議，并表明該系統(tǒng)可能受到攻擊而出現(xiàn)故障。同樣，車輛中的車載雷達(dá)、專用短程通信技術(shù)（dedicated short range communications，DSRC）、遙控門鎖系統(tǒng)等均存在安全威脅［19］。Woo等［27］演示了使用手機(jī)惡意APP在汽車聯(lián)網(wǎng)的環(huán)境下對車輛進(jìn)行無線攻擊，并設(shè)計(jì)了一種應(yīng)用于車載環(huán)境的安全協(xié)議。車載GPS 系統(tǒng)可以給汽車提供駕駛輔助和定位，但黑客能向該系統(tǒng)提供的接口注入惡意數(shù)據(jù)攻擊車輛［28］。同時，汽車中的遠(yuǎn)程通信單元允許車輛與蜂窩網(wǎng)絡(luò)進(jìn)行通信，黑客可通過蜂窩網(wǎng)絡(luò)對車輛實(shí)施惡意行為［20］。另外，黑客也可以通過車載廣播等途徑攻擊車輛，但黑客通過這種攻擊途徑取得成功的可能性很低［19］。

2.2 車載CAN網(wǎng)絡(luò)脆弱性分析

車載網(wǎng)絡(luò)中CAN 網(wǎng)絡(luò)的威脅程度最高，通常是黑客的主要攻擊目標(biāo)。黑客一旦獲得CAN 網(wǎng)絡(luò)的訪問權(quán)限，就能通過易受攻擊的接口（USB、Wi-Fi、CD 播放器等）讀取ECU 內(nèi)部數(shù)據(jù)，將攻擊報(bào)文注入到CAN 網(wǎng)絡(luò)中［20］。車載CAN 網(wǎng)絡(luò)在最初設(shè)計(jì)時存在的缺陷如下。

仲裁機(jī)制的缺陷：CAN網(wǎng)絡(luò)具有仲裁機(jī)制，網(wǎng)絡(luò)中的節(jié)點(diǎn)通過報(bào)文ID 來確定優(yōu)先級。假如入侵者一直發(fā)送高優(yōu)先級報(bào)文，導(dǎo)致CAN 網(wǎng)絡(luò)一直被占用，其他的節(jié)點(diǎn)無法發(fā)送報(bào)文［6］。

廣播傳輸特性的缺陷：CAN 報(bào)文以廣播形式傳輸，網(wǎng)絡(luò)中的所有ECU 均可監(jiān)聽CAN 網(wǎng)絡(luò)中的消息。一旦黑客控制任意節(jié)點(diǎn)，就可通過該節(jié)點(diǎn)讀取消息內(nèi)容。

缺少消息檢驗(yàn)及認(rèn)證機(jī)制：CAN 網(wǎng)絡(luò)缺乏身份認(rèn)證機(jī)制［29］，無法判斷消息是否存在異常。當(dāng)黑客破解CAN 網(wǎng)絡(luò)協(xié)議后，可直接向網(wǎng)絡(luò)中發(fā)送偽造的報(bào)文。例如，高速行駛的汽車收到偽造的熄火命令，但ECU 無法識別消息的真?zhèn)危瑫?dǎo)致車輛的突然熄火，引發(fā)交通事故。

缺少信息安全及加密機(jī)制：CAN 報(bào)文在CAN 網(wǎng)絡(luò)中以明文形式傳輸。由于缺乏加密機(jī)制，黑客可以輕松讀取并破解其中的數(shù)據(jù)。CAN網(wǎng)絡(luò)中信息的完整性無法得到保障，存在信息泄露的風(fēng)險(xiǎn)。

2.3 車載CAN網(wǎng)絡(luò)攻擊方式分析

ICV 容易受到不同程度的網(wǎng)絡(luò)攻擊，黑客可以通過多種途徑點(diǎn)訪問CAN 網(wǎng)絡(luò)。對于車載CAN 網(wǎng)絡(luò)的攻擊類型可以分為被動和主動兩類，常見的攻擊方式對比如表3所示。

表3 車載CAN網(wǎng)絡(luò)常見攻擊方式對比

嗅探攻擊：當(dāng)黑客成功入侵CAN 網(wǎng)絡(luò)后，可監(jiān)聽網(wǎng)絡(luò)內(nèi)部的報(bào)文并對其進(jìn)行逆向工程，以便攻擊車輛上的特定部件。如圖4（a）所示。

圖4 車載CAN網(wǎng)絡(luò)常見攻擊方式示意圖

DoS攻擊：由于CAN 網(wǎng)絡(luò)的仲裁機(jī)制，黑客可向網(wǎng)絡(luò)中發(fā)送大量高優(yōu)先級的攻擊報(bào)文，導(dǎo)致其它節(jié)點(diǎn)無法向網(wǎng)絡(luò)中發(fā)送消息，嚴(yán)重的甚至可能導(dǎo)致車載網(wǎng)絡(luò)的崩潰。如圖4（b）所示。

重放攻擊：當(dāng)黑客捕獲到ECU 發(fā)送的報(bào)文后不對其做任何處理，再次將報(bào)文重放到網(wǎng)絡(luò)中，可能導(dǎo)致車內(nèi)正常通信受到干擾。如圖4（c）所示。

篡改攻擊：當(dāng)黑客捕獲到網(wǎng)絡(luò)中的報(bào)文后，首先對報(bào)文的內(nèi)容進(jìn)行修改，再將其發(fā)送到CAN 網(wǎng)絡(luò)中。其中，修改的部位可能是報(bào)文ID 或數(shù)據(jù)段的信息，以上兩種篡改方式均會造成或多或少的影響。如圖4（d）所示。

消息注入攻擊：當(dāng)黑客成功入侵CAN 網(wǎng)絡(luò)后，可直接向其內(nèi)部注入惡意報(bào)文，可能會給汽車安全帶來嚴(yán)重威脅。如圖4（e）所示。

欺騙攻擊：當(dāng)黑客掌握網(wǎng)絡(luò)中CAN 數(shù)據(jù)幀的詳細(xì)信息后，便可將欺騙性的報(bào)文對網(wǎng)絡(luò)實(shí)施特定的攻擊。這些報(bào)文中包含錯誤的信息，可能會誤導(dǎo)相應(yīng)的ECU。如圖4（f）所示。

丟棄攻擊：當(dāng)黑客成功入侵車載網(wǎng)絡(luò)中的某一節(jié)點(diǎn)或者網(wǎng)關(guān)后，可以刪除網(wǎng)絡(luò)中的報(bào)文，導(dǎo)致某些重要的報(bào)文無法被其他節(jié)點(diǎn)接收，使汽車某些重要的功能出現(xiàn)異常。如圖4（g）所示。

模糊攻擊：黑客使用某些變異算法將合法數(shù)據(jù)轉(zhuǎn)換成隨機(jī)數(shù)據(jù)，再將隨機(jī)數(shù)據(jù)注入到CAN 網(wǎng)絡(luò)中，干擾車內(nèi)正常通信。如圖4（h）所示。

偽裝攻擊：黑客可以模擬節(jié)點(diǎn)向網(wǎng)絡(luò)發(fā)送報(bào)文，由于CAN 網(wǎng)絡(luò)無消息認(rèn)證機(jī)制，網(wǎng)絡(luò)中的其他節(jié)點(diǎn)無法識別消息的真?zhèn)巍Ｈ鐖D4（i）所示。

3 車載網(wǎng)絡(luò)入侵檢測系統(tǒng)

入侵檢測系統(tǒng)從被提出以來，在保護(hù)傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的安全性中發(fā)揮至關(guān)重要的作用。汽車網(wǎng)聯(lián)化的升級導(dǎo)致汽車信息安全風(fēng)險(xiǎn)加重。隨著汽車信息安全概念的提出，關(guān)于車載網(wǎng)絡(luò)IDS 的研究備受關(guān)注。車載網(wǎng)絡(luò)IDS 作為保護(hù)車載網(wǎng)絡(luò)安全的一種重要方法，它可以檢查車載網(wǎng)絡(luò)中的可疑活動和外部入侵，同時發(fā)出入侵警報(bào)確保駕駛?cè)四軌蚣皶r采取相應(yīng)措施。它不同于其他的信息安全增強(qiáng)方法（例如數(shù)據(jù)加密、消息認(rèn)證技術(shù)等），入侵檢測系統(tǒng)不會占用車載網(wǎng)絡(luò)內(nèi)部大量的運(yùn)算資源，適合車載網(wǎng)絡(luò)這種資源受限的環(huán)境。

入侵檢測按照檢測技術(shù)分為基于簽名的入侵檢測系統(tǒng)（signature-based intrusion detection system，SIDS）和基于異常的入侵檢測系統(tǒng)（anomaly-based intrusion detection system，AIDS）。其中，基于簽名的入侵檢測系統(tǒng)通過監(jiān)視預(yù)定義的攻擊簽名列表實(shí)現(xiàn)入侵檢測［30］。該方法的優(yōu)點(diǎn)是檢測結(jié)果出現(xiàn)假陽性的概率較低且檢測速度快，但由于該方法的數(shù)據(jù)庫是提前設(shè)定好的，無法有效識別新型攻擊。當(dāng)有新型惡意簽名出現(xiàn)時，需要人工對數(shù)據(jù)庫進(jìn)行實(shí)時更新。而基于異常的入侵檢測系統(tǒng)是通過監(jiān)測車載網(wǎng)絡(luò)狀態(tài)是否偏離正常模式來識別入侵。該方法通過訓(xùn)練大量數(shù)據(jù)得出檢測模型，與車載網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行對比來判斷系統(tǒng)是否出現(xiàn)異常。這種檢測方法的優(yōu)點(diǎn)是對未知攻擊具有預(yù)測性，能夠檢測未知類型的攻擊。本文針對車載CAN 網(wǎng)絡(luò)的IDS按照檢測技術(shù)進(jìn)行總結(jié)和分析。

3.1 基于簽名的車載CAN網(wǎng)絡(luò)入侵檢測方法

Studnia 等［31］通過對CAN 網(wǎng)絡(luò)特殊性的分析，得出一組禁止的消息序列（即簽名）進(jìn)行入侵檢測。他們創(chuàng)建了一個全面的簽名庫，該簽名庫可以在汽車的整個生命周期中使用，無需更新。Jin 等［32］提出了一種基于簽名的輕量級入侵檢測系統(tǒng)，該系統(tǒng)所需的計(jì)算時間較少，適用于運(yùn)算資源受限的車載環(huán)境中。他們從實(shí)際場景中收集數(shù)據(jù)后進(jìn)行統(tǒng)計(jì)分析，提取檢測時所用的簽名，并使用CANoe 軟件對車輛CAN 網(wǎng)絡(luò)進(jìn)行模擬仿真。試驗(yàn)結(jié)果表明，該入侵檢測系統(tǒng)可以有效地檢測出丟棄攻擊和重放攻擊，檢測率分別為100%和98.2%。但對篡改攻擊的檢測率僅有66.2%，他們提出利用信號之間的關(guān)系可提高篡改攻擊的檢測率。

雖然基于簽名的車載CAN 網(wǎng)絡(luò)IDS對已知攻擊有匹配速度快及高精度等優(yōu)點(diǎn)，但對這種超大型數(shù)據(jù)庫的維護(hù)也是一項(xiàng)挑戰(zhàn)。另外，黑客對車載網(wǎng)絡(luò)的攻擊方式多種多樣，當(dāng)黑客使用新型惡意簽名攻擊CAN 網(wǎng)絡(luò)時可能導(dǎo)致基于簽名的入侵檢測系統(tǒng)的失效?？蓪⒃摲椒ㄅc基于異常的車載CAN 網(wǎng)絡(luò)IDS 相結(jié)合的設(shè)計(jì)方式來解決無法檢測到未知攻擊的問題。

3.2 基于異常的車載CAN網(wǎng)絡(luò)入侵檢測方法

基于異常的入侵檢測系統(tǒng)多是通過特征提取或數(shù)據(jù)統(tǒng)計(jì)建立正常特征行為規(guī)律，當(dāng)違反規(guī)律時認(rèn)為入侵行為發(fā)生?？蓪⑻卣鞣譃槲锢硖卣骱蛿?shù)據(jù)特征兩類，其中物理特征表示為車載網(wǎng)絡(luò)通信在物理層存在著諸多規(guī)律（如電壓波動、時鐘偏移），而數(shù)據(jù)特征主要指傳輸報(bào)文的類別、標(biāo)識、有效載荷、消息內(nèi)容等。車載網(wǎng)絡(luò)在數(shù)據(jù)特征方面的異常檢測研究方法較多，本文對其從幾個重要方向進(jìn)行分類總結(jié)，如圖5 所示。各類檢測方法的文獻(xiàn)對比如表4～表6所示。

表4 基于物理特征的車載CAN網(wǎng)絡(luò)入侵檢測方法

表5 基于信息論與統(tǒng)計(jì)分析的車載CAN網(wǎng)絡(luò)入侵檢測方法

表6 基于機(jī)器學(xué)習(xí)的車載CAN網(wǎng)絡(luò)入侵檢測方法

圖5 基于異常的車載CAN網(wǎng)絡(luò)IDS示意圖

3.2.1 基于物理特征的方法

Murvay等［33］根據(jù) CAN 網(wǎng)絡(luò)的物理特性，采用低通濾波、均方誤差和卷積等方法對采集物理層信息進(jìn)行提取和處理，通過實(shí)驗(yàn)證明了不同節(jié)點(diǎn)的物理特征存在差異，這種差異可以作為節(jié)點(diǎn)認(rèn)證和信息識別的依據(jù)。Ning 等［34］提出一種基于局部離群因子（local outlier factor，LOF）的入侵檢測方法。該方法通過CAN 幀電壓的物理特征來判斷消息是否由合法的ECU 發(fā)送。通過在兩輛車上的大量實(shí)驗(yàn)驗(yàn)證可知，該方法平均檢測率為98.9%，誤檢率小于0.5%，并提出可以使用驗(yàn)證機(jī)制來降低誤報(bào)率。

Tian 等［35］提出一種基于溫度變化指紋技術(shù)（temperature-varied fingerprints，TVF）對入侵檢測系統(tǒng)。該方法利用了ECU 的時鐘偏移隨溫度變化的規(guī)律來識別攻擊源。證明了ECU 的時鐘偏移量隨溫度的變化而變化，并提出分布在發(fā)動機(jī)附近不同位置的ECU 可能由于溫度的差異導(dǎo)致時鐘偏移的入侵檢測方法失效。通過性能評價實(shí)驗(yàn)可知，該方法在能有效檢測偽裝攻擊的同時也能夠檢測出攻擊的來源。Zhao 等［36］利用ECU 的時鐘傾斜設(shè)計(jì)了一種名為ClockIDS 的入侵檢測方法，該方法根據(jù)時鐘偏移為每個ECU 建立一個獨(dú)特的指紋。在此基礎(chǔ)上，利用經(jīng)驗(yàn)規(guī)則和動態(tài)時間扭曲實(shí)現(xiàn)了入侵檢測和攻擊源檢測的功能。并用實(shí)驗(yàn)證明了所提出的方法的平均檢測率為96.77%，并且平均時間成本僅有1.99 ms。

3.2.2 基于信息論與統(tǒng)計(jì)的方法

Muter 等［37］首次將基于信息熵的異常檢測方法引入到車載網(wǎng)絡(luò)入侵檢測的領(lǐng)域。該作者認(rèn)為，車載網(wǎng)絡(luò)中的流量比傳統(tǒng)計(jì)算機(jī)更受限。正常狀態(tài)下車載網(wǎng)絡(luò)中的熵值不會發(fā)生大的改變，通過分析熵值的變化來判斷是否有異常事件的發(fā)生。通過向真實(shí)車輛CAN 網(wǎng)絡(luò)中實(shí)施消息注入、DoS、偽裝攻擊，實(shí)驗(yàn)結(jié)果表明，該方法雖能實(shí)現(xiàn)對這3 種攻擊的異常檢測，但在處理小規(guī)模的攻擊模式的能力具有局限性，在識別車輛或用戶的正常行為時可能會產(chǎn)生誤報(bào)。于赫等［38］提出了一種基于信息熵及CAN 報(bào)文相對距離的方法對車載CAN 網(wǎng)絡(luò)實(shí)現(xiàn)入侵檢測。使用CANoe 軟件模擬CAN 網(wǎng)絡(luò)環(huán)境，對3 種攻擊場景實(shí)驗(yàn)分析表明，該方法可有效檢測到重放和DoS攻擊。Marchetti 等［39］提出了一種基于熵計(jì)算的異常檢測算法。通過分析車載CAN 網(wǎng)絡(luò)交換消息的熵水平，觀察到熵值非常穩(wěn)定，分布類似于正態(tài)分布。若熵值過大偏離平均熵值，則報(bào)告異常。為了反映真實(shí)道路的交通狀況，對高速公路上駕駛過程中收集的數(shù)小時CAN 消息進(jìn)行實(shí)驗(yàn)評估，該算法只能檢測出包含大量偽裝消息的攻擊。對于少量偽裝消息的攻擊，該方法需要多個異常檢測器（每個ID 一個）并行執(zhí)行，但這種方法對于在正常條件下熵表現(xiàn)出很大變化的一小部分 ID 也是無效的。Wu 等［40］對CAN 網(wǎng)絡(luò)特點(diǎn)分析后，優(yōu)化了以前的基于信息熵的入侵檢測方法。使用具有固定消息數(shù)量的最佳滑動窗口大小來提高 IDS 的檢測精度和響應(yīng)時間。他們所提出的方法可以檢測到所有DoS 攻擊，對于消息注入攻擊的檢測率也達(dá)到92.3%，顯著提高了檢測精度，并且未發(fā)生誤報(bào)。Ohira 等［41］發(fā)現(xiàn)了一種稱為熵操縱攻擊的新型DoS 攻擊，提出一種基于兩個滑動窗口相似性的DoS 攻擊檢測方法。其中的一個滑動窗口由實(shí)際接收的CAN ID（窗口ID：WIDs）組成，另一個滑動窗口由普通CAN ID（標(biāo)準(zhǔn)ID：CIDs）組成。該方法使用辛普森系數(shù)計(jì)算WIDs 和CIDs 中的相似性。通過從真實(shí)車輛上采集的CAN 消息進(jìn)行實(shí)驗(yàn)，所提出的系統(tǒng)可以檢測所有類型的DoS攻擊，且檢測時間與基于熵的入侵檢測系統(tǒng)相比縮短了93.33%。此外，為促進(jìn)針對DoS 攻擊對策的研究，該作者公布了源代碼。Islam 等［42］提出一種基于圖形的CAN 網(wǎng)絡(luò)入侵檢測方法，該方法借助圖形理論、統(tǒng)計(jì)分析和卡方檢驗(yàn)來檢測異常的CAN 消息。首先將非攻擊數(shù)據(jù)定義為基本假設(shè)，并將其定義為基本分布。然后使用其他分布與基本分布相比較?？梢悦黠@觀察到分布的差異。實(shí)驗(yàn)測試表明，該方法比文獻(xiàn)［39］中方法的準(zhǔn)確性提高13.73%。Ling和Feng［43］為檢測CAN 網(wǎng)絡(luò)中的惡意消息提出了一種算法。該算法利用消息的ID 與其可中斷發(fā)生的頻率相結(jié)合，通過計(jì)算輸入消息ID 的連續(xù)數(shù)量，如果ID 計(jì)數(shù)器超過給定閾值，IDS 會發(fā)出警報(bào)。使用CANoe 和CAPL 仿真實(shí)驗(yàn)結(jié)果表明，該算法可以檢測到DoS 攻擊和消息注入攻擊。Lee 等［44］基于CAN網(wǎng)絡(luò)中遠(yuǎn)程幀的“請求和應(yīng)答”機(jī)制，通過分析遠(yuǎn)程幀對有攻擊和無攻擊場景下的應(yīng)答行為，提出一種基于遠(yuǎn)程幀的車載網(wǎng)絡(luò)入侵檢測系統(tǒng)OTIDS。他們使用實(shí)車采集的遠(yuǎn)程幀應(yīng)答數(shù)據(jù)提出窗口偏移量與時間間隔、及時響應(yīng)、丟失響應(yīng)4 種特征構(gòu)建的正常行為檢測模型。通過實(shí)驗(yàn)測試，OTIDS 可快速實(shí)現(xiàn)對DoS、模糊攻擊和偽裝攻擊的檢測，并公布了研究所用的數(shù)據(jù)集［47］。

Stabili 等［45］提出一種CAN 網(wǎng)絡(luò)入侵檢測算法，該算法通過計(jì)算ID 的CAN 報(bào)文有效載荷序列的漢明距離與離線訓(xùn)練階段建立的有效漢明距離的參考范圍進(jìn)行比較，分別對消息注入攻擊和重放攻擊兩種入侵行為實(shí)施檢測。對福特汽車未經(jīng)修改的CAN流量跟蹤進(jìn)行的實(shí)驗(yàn)評估表明，該模型能夠有效檢測到消息注入攻擊，并且該算法具有較低的計(jì)算開銷（約為幾百字節(jié)），適合用于車輛ECU 中。但這種方法并不適合檢測重放攻擊。Tomlinson 等［46］對CAN 廣播進(jìn)行了分析，并將時間定義的窗口方法與Z 評分和自回歸綜合移動方法（autoregressive integrated moving average model，ARIMA）相結(jié)合。將所提出的方法與平均時間間隔監(jiān)督的方法進(jìn)行了比較，并測試了這些方法是否能夠觸發(fā)丟棄數(shù)據(jù)包和插入數(shù)據(jù)包的高優(yōu)先級。測試結(jié)果顯示，無監(jiān)督方法具有高優(yōu)先級。另外還強(qiáng)調(diào)了確保最佳閾值的重要性，閾值設(shè)置的高低均會降低檢測方法的靈敏度和特異性。

3.2.3 基于機(jī)器學(xué)習(xí)的方法

Narayanan 等［48］收集不同車輛的CAN 消息，生成了一個用于預(yù)測車輛異常狀態(tài)的隱馬爾可夫模型（hidden Markov model，HMM）。該模型不但可以檢測攻擊狀態(tài)，還能檢測到車輛中不安全的行為（例如在200 英里/h 的車速下打開車門是不安全的）。他們通過觀察速度傳感器和發(fā)動機(jī)速度傳感器的值是否突然變化實(shí)現(xiàn)對車輛異常狀態(tài)的檢測。類似的，Levi 等［49］提出一種基于時間的檢測技術(shù)，該技術(shù)使用HMM 和回歸模型來檢測車輛異常。他們應(yīng)用HMM 模型學(xué)習(xí)車輛正常行為并計(jì)算模型似然分?jǐn)?shù)，然后基于時間特征建立回歸模型并使用回歸模型預(yù)測時間間隔似然分?jǐn)?shù)。通過比較兩個模型的似然分?jǐn)?shù)來檢測相關(guān)異常。

Avatefipour 等［50］提出一種改進(jìn)的機(jī)器學(xué)習(xí)異常檢測模型，使用基于改進(jìn)的單類支持向量機(jī)構(gòu)建所提出的模型，并利用改進(jìn)的蝙蝠算法進(jìn)行優(yōu)化。為證明所提出模型的性能，他們使用傳統(tǒng)的一類支持向量機(jī)（support vector machines，SVM）和隔離森林（isolation forest，IF）算法與該模型進(jìn)行評估。相比之下，所提出的方法具有更高的檢測率，并且可以表現(xiàn)出很高的搜索能力和收斂性。

Minawi 等［51］和Alfardus 等［52］分別提出兩種基于機(jī)器學(xué)習(xí)的CAN 網(wǎng)絡(luò)入侵檢測系統(tǒng)，所提出的系統(tǒng)可以直接插入車輛中的OBD 端口。以上兩種系統(tǒng)模型均由CAN 報(bào)文輸入層、威脅檢測層和警報(bào)層這3 層組成。其中，文獻(xiàn)［51］中的威脅檢測層包含隨機(jī)樹（random tree，RT）、隨機(jī)森林（random forest，RF）、帶鉸鏈損失的隨機(jī)梯度下降（stochastic gradient descent，SGD）和樸素貝葉斯（naive Bayes，NB）4 種算法，而文獻(xiàn)［52］中威脅檢測層包含K-最近鄰網(wǎng)絡(luò)（k-nearest neighbor，KNN）、RF、SVM 和多層感知器（multilayer perceptron，MLP）4 種算法。他們使用相同的數(shù)據(jù)集對各自所提出的算法進(jìn)行評估。結(jié)果表明，文獻(xiàn)［51］中的系統(tǒng)使用樸素貝葉斯算法和隨機(jī)樹算法來檢測DoS攻擊，實(shí)現(xiàn)了100%的準(zhǔn)確率。另外，隨機(jī)樹算法在模糊攻擊中的準(zhǔn)確率也達(dá)到了99.99%。文獻(xiàn)［52］中的系統(tǒng)對偽裝和DoS 攻擊的檢測率達(dá)到100%，并且對模糊攻擊的檢測率也高達(dá)99%。

Seo 等［53］提出一種生成對抗網(wǎng)絡(luò)（generative adversarial networks，GAN）的車載IDS 模型（GIDS），并公布了該研究所用數(shù)據(jù)集［54］。首先使用one-hot編碼將CAN ID 轉(zhuǎn)換為圖像，第1鑒別器接收CAN 圖像并輸出一個0到1的值，若輸出結(jié)果低于閾值則報(bào)告異常（檢測出已知攻擊）。若高于閾值則圖像由第2鑒別器接收并輸出一個0到1之間的值，輸出低于閾值，則報(bào)告異常（檢測出未知攻擊）。實(shí)驗(yàn)表明，GIDS對4 種攻擊方式的平均檢測率大于98%，但GIDS 無法區(qū)分CAN 流量異常是由電子元件故障引起的還是黑客惡意攻擊引起的。Xie 等［55］分析了CAN 網(wǎng)絡(luò)的安全威脅，提出了一種增強(qiáng)深度學(xué)習(xí)GAN 模型的入侵檢測技術(shù)。他們引入汽車CAN 通信矩陣，將同一發(fā)送方的所有消息分組到數(shù)據(jù)塊作為入侵檢測系統(tǒng)的輸出。通過實(shí)驗(yàn)評估結(jié)果顯示，所提出的模型可以有效抵御DoS、消息注入、偽裝和篡改攻擊。

Taylor 等［56］提出使用（long short-term memory，LSTM）神經(jīng)網(wǎng)絡(luò)檢測汽車CAN 網(wǎng)絡(luò)中序列數(shù)據(jù)的異常。所提出的方法無需對數(shù)據(jù)信息解碼，并且具有檢測未知攻擊的能力。但該方法將每個ID 的數(shù)據(jù)序列視為獨(dú)立的序列，并沒有考慮不同消息類型之間相互依賴的關(guān)系。類似地，Longari 等［57］為車載網(wǎng)絡(luò)專門設(shè)計(jì)了一種LSTM 的入侵檢測系統(tǒng)CANnolo。該系統(tǒng)采用無監(jiān)督學(xué)習(xí)模式，在訓(xùn)練階段自動分析數(shù)據(jù)，無需知道消息的語義。運(yùn)行時利用經(jīng)過訓(xùn)練的CAN 消息并預(yù)測后續(xù)序列。然后，根據(jù)真實(shí)數(shù)據(jù)和預(yù)測數(shù)據(jù)之間的重建誤差檢測異常。該方法優(yōu)于文獻(xiàn)［56］中所提出的方法。但此方法的計(jì)算速度較慢，需將其輕量化。Ding 等［58］利用CAN報(bào)文之間的時間相關(guān)性提出一種基于雙向長短期記憶網(wǎng)絡(luò)（Bi-LSTM）的入侵檢測系統(tǒng)，并設(shè)計(jì)出一種滑動窗口策略，對實(shí)車采集的數(shù)據(jù)集進(jìn)行時間序列線性回歸。在通過確定的滑動窗口構(gòu)造二維輸入數(shù)據(jù)樣本集，利用Bi-LSTM 網(wǎng)絡(luò)學(xué)習(xí)二維數(shù)據(jù)特征訓(xùn)練分類器實(shí)現(xiàn)入侵檢測。為驗(yàn)證入侵檢測模型的性能，使用數(shù)據(jù)集［54］進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)中，Bi-LSTM 模型由輸入層、兩個連續(xù)層中16 個單元的隱藏層和一個完全連接的輸出層組成。結(jié)果顯示，Bi-LSTM 模型高于其他網(wǎng)絡(luò)模型精度。除DoS 攻擊數(shù)據(jù)集外，其他3 種攻擊數(shù)據(jù)集的檢測準(zhǔn)確率均達(dá)到100%。與現(xiàn)有研究方法相比，對4 種數(shù)據(jù)集的檢測準(zhǔn)確率平均提高了5.3%、3.8%、2%和3.3%。

Song 等［59］提出一種基于深度卷積神經(jīng)網(wǎng)絡(luò)（deep convolutional neural networks，DCNN）的入侵檢測系統(tǒng)。并提出一個名為frame builder的新模塊，能使 CAN 通信量直接輸入所提出的模型中，無需對數(shù)據(jù)預(yù)處理。為測試該系統(tǒng)的可行性，使用數(shù)據(jù)集［54］對該系統(tǒng)進(jìn)行實(shí)驗(yàn)。結(jié)果表明，所提出的系統(tǒng)可以有效檢測DoS、模糊、欺騙驅(qū)動裝置和欺騙RPM 儀表這4 種攻擊模式。他們還比較了其他著名的機(jī)器學(xué)習(xí)算法的性能，評估結(jié)果表明DCNN 模型要明顯優(yōu)于其他的機(jī)器學(xué)習(xí)技術(shù)。

Arai等［60］提出一種通過遞歸圖生成的圖像來訓(xùn)練卷積神經(jīng)網(wǎng)絡(luò)（convolutional neural networks，CNN）模型對車載網(wǎng)絡(luò)進(jìn)行入侵檢測。在這項(xiàng)研究中，他們使用CAN 數(shù)據(jù)包的時間戳和仲裁ID來訓(xùn)練模型。但時間戳不直接用于訓(xùn)練，僅用于保持?jǐn)?shù)據(jù)包的優(yōu)先級。提取數(shù)據(jù)集的仲裁 ID 并將其編碼為介于 0 和N之間的值（N表示唯一仲裁 ID 的總數(shù)）。隨后，仲裁 ID 的編碼序列使用 RP 轉(zhuǎn)換為CNN 的輸入圖像。在從RP 中的平方矩陣中生成訓(xùn)練圖像。最后，CNN 模型將車載網(wǎng)絡(luò)攻擊分類為二元或多類分類。

Lo等［61］提出一種基于CNN 和LSTM 所組成的車載入侵檢測系統(tǒng)HyDL-IDS。該IDS 主要由CAN 流量預(yù)處理器和HyDL 檢測器組成。CAN 流量預(yù)處理器首先將捕獲到的CAN 流量轉(zhuǎn)換為統(tǒng)一尺度，再將處理好的數(shù)據(jù)輸入到HyDL 模塊中。HyDL 檢測器相當(dāng)于整個系統(tǒng)的大腦，從網(wǎng)絡(luò)流量中提取空間和時間特征，在使用上述兩種深度學(xué)習(xí)方法對流量分類。他們使用數(shù)據(jù)集［54］將該系統(tǒng)與傳統(tǒng)機(jī)器學(xué)習(xí)方法和神經(jīng)網(wǎng)絡(luò)方法進(jìn)行比較，HyDL-IDS在檢測精度和誤報(bào)率方面都有顯著提升。Javed 等［62］將CNN 與基于注意力的門控單元（attention-based gated recurrent unit，AGRU）相結(jié)合，提出一種名為CANintelliIDS 的入侵檢測方法。檢測模型由3 個AGRU 層和兩個CNN 層組成，首先將數(shù)據(jù)點(diǎn)轉(zhuǎn)換為向量序列并輸入到CNN 層中，CNN 再將輸入序列中的重要特征提取到AGRU 模型中。AGRU 根據(jù)數(shù)據(jù)點(diǎn)的關(guān)系方面和上下文信息學(xué)習(xí)序列，以調(diào)整其權(quán)重。注意力機(jī)制根據(jù)數(shù)據(jù)點(diǎn)序列的顯著性為其分配權(quán)重分?jǐn)?shù)，在將數(shù)據(jù)點(diǎn)的權(quán)重分?jǐn)?shù)與相應(yīng)的向量相乘，并生成上下文向量來預(yù)測目標(biāo)標(biāo)簽。使用數(shù)據(jù)集［47］將所提出的方法與現(xiàn)有方法進(jìn)行比較，結(jié)果顯示，所提出的方法比現(xiàn)有方法提升10.79%的性能。

4 車載網(wǎng)絡(luò)入侵檢測技術(shù)發(fā)展趨勢

智能網(wǎng)聯(lián)技術(shù)的發(fā)展，使現(xiàn)代汽車能夠更多地連接到互聯(lián)網(wǎng)之中，汽車的信息安全所面臨的風(fēng)險(xiǎn)顯著增加。車載IDS 作為一種主動防御技術(shù)，不僅可以識別外部入侵，還能檢測車載網(wǎng)絡(luò)內(nèi)部系統(tǒng)異常，是現(xiàn)階段車端最有效的安全防護(hù)方法。但目前對車載IDS 的研究仍有很多不足，結(jié)合前文所總結(jié)的車載IDS研究現(xiàn)狀，本文對未來車載IDS提出了幾項(xiàng)有待解決的開放性問題。

4.1 如何提升車載網(wǎng)絡(luò)IDS檢測能力的全面性

在現(xiàn)實(shí)場景中，車輛所處的環(huán)境以及可能遭受到的網(wǎng)絡(luò)攻擊方式復(fù)雜多樣。而現(xiàn)有對車載IDS 研究多數(shù)只是針對車載CAN 網(wǎng)絡(luò)的一種或幾種攻擊方式進(jìn)行入侵檢測，檢測的環(huán)境較為單一，并不具備全面的入侵檢測能力。然而，車聯(lián)網(wǎng)是一種復(fù)雜的環(huán)境，網(wǎng)聯(lián)化的加重導(dǎo)致黑客對ICV 的攻擊途徑和攻擊方式會逐漸變多。因此，在今后車載IDS 的研究中，不應(yīng)僅局限對于車載CAN 網(wǎng)絡(luò)單個方面實(shí)現(xiàn)入侵檢測，也應(yīng)考慮如何檢測T-Box 通信模塊、V2X通信協(xié)議等或其它車載網(wǎng)絡(luò)的入侵。

4.2 如何構(gòu)建基于車載網(wǎng)絡(luò)IDS評估基準(zhǔn)數(shù)據(jù)集

近年來，對于傳統(tǒng)計(jì)算機(jī)IDS 效果的評估，多數(shù)研究采用KDD CUP 和DARPA 等數(shù)據(jù)集作為評估基準(zhǔn)。現(xiàn)階段對于車載網(wǎng)絡(luò)IDS 的研究，雖然大多項(xiàng)研究使用的數(shù)據(jù)集據(jù)來源于真實(shí)的測試車輛，但部分研究所用的數(shù)據(jù)集并未公開，無法對比檢測系統(tǒng)在不同攻擊場景下的性能。因此，在未來的研究方向中，如何統(tǒng)一測試數(shù)據(jù)集來標(biāo)準(zhǔn)化地評估車載網(wǎng)絡(luò)IDS 的檢測性能是未來研究中有待解決的問題。

4.3 如何提升車載網(wǎng)絡(luò)IDS的檢測性能

在未來的研究中應(yīng)考慮如何提升車載網(wǎng)絡(luò)IDS的檢測性能，其中檢測性能包括檢測精度、檢測時間和檢測系統(tǒng)的魯棒性等。目前，基于簽名的車載網(wǎng)絡(luò)IDS 的檢測精度較高，但該方法只能識別簽名庫中的已知攻擊，需要人工對簽名庫進(jìn)行更新。而機(jī)器學(xué)習(xí)算法在入侵檢測領(lǐng)域彰顯出優(yōu)越的性能，是未來車載網(wǎng)絡(luò)IDS 研究的重要方向?；跈C(jī)器學(xué)習(xí)的車載網(wǎng)絡(luò)IDS 方法通過訓(xùn)練數(shù)據(jù)所構(gòu)建的檢測模型來識別攻擊，該方法可以檢測到未知的攻擊，對未知的數(shù)據(jù)有自適應(yīng)能力。但傳統(tǒng)的機(jī)器學(xué)習(xí)算法所占用的運(yùn)算資源較高，在車載網(wǎng)絡(luò)這種計(jì)算開銷受限以及要求檢測實(shí)時性高的場合中，應(yīng)考慮如何提高檢測算法的計(jì)算速度、降低檢測響應(yīng)時間是目前對車載網(wǎng)絡(luò)IDS研究中亟待解決的重要問題。

5 結(jié)論

隨著2015 年《中國制造2025》的發(fā)布，智能網(wǎng)聯(lián)車在我國將成為未來發(fā)展的重點(diǎn)。然而，智能化與網(wǎng)聯(lián)化在推動汽車技術(shù)變革的同時，也帶來了相應(yīng)的網(wǎng)絡(luò)安全問題。本文在此背景下，首先概述了當(dāng)今汽車主要應(yīng)用的車載網(wǎng)絡(luò)類型，并討論了現(xiàn)階段智能網(wǎng)聯(lián)汽車所面對的網(wǎng)絡(luò)安全問題以及黑客對車載網(wǎng)絡(luò)的攻擊方式。隨后，針對近幾年車載CAN 網(wǎng)絡(luò)IDS 的研究做了較全面的綜述，總結(jié)了車載CAN網(wǎng)絡(luò)入侵檢測方法的研究現(xiàn)狀。最后，本文對未來車載網(wǎng)絡(luò)入侵檢測方法的發(fā)展趨勢提出了幾項(xiàng)開放性問題。