私はスリッパを履いた男で、上海で長年カーエレクトロニクスエンジニアをしています。
古いルールなので、気に入ったテキストを共有して、高い知識と低い文化を持ったエンジニアになることを避けてください。
誰もあなたをフォローしません。誰もあなたをフォローする必要もありません。自分の価値を認めなければなりません。他人の立場になって自分に逆らうことはできません。人生において最も恐ろしいことは、他人の目を自分の人生の唯一の基準にしてしまうことです。結局、私は他人が好むように生きることも、自分が望むように生きることもできませんでした。
劣等感やプライドを持たず、ありのままの自分を受け入れることによってのみ、私たちはより強い心を持ち、自分自身の核となる価値観を見つけることによってのみ、私たち自身の素晴らしい人生を生きることができます。
この記事では主に次の内容について説明します。前回の記事に引き続き、AUTOSAR の安全な起動に関連する内容について説明します。
→ 1. 侵入検知の概要
-> 2. 侵入検知の分類
→ 3. 侵入検知の適用範囲
-> 4. 侵入検知の実装プロセス
1. 侵入検知の概要
侵入検知システム (略して「IDS」) は、ネットワーク通信をリアルタイムで監視し、不審な通信が見つかった場合にアラームを送信したり、積極的な対応措置を講じたりするネットワーク セキュリティ デバイスです。IDS はプロアクティブなセキュリティ保護テクノロジであるという点で、他のネットワーク セキュリティ デバイスとは異なります。
IDS は、一定のセキュリティ ポリシーに従って、ネットワークおよびシステムの運用状況を監視し、さまざまな攻撃の試み、攻撃行為、または攻撃結果を可能な限り発見し、ネットワーク システム リソースの機密性、完全性、可用性を確保します。侵入検知テクノロジーは、現在の車両環境における攻撃を発見するために使用される主な方法であり、システムに対する既存または潜在的なセキュリティ脅威を検知し、外部からの違法な侵入、不正アクセス、内部ユーザーの違法行為を検知し、検知されたものを記録してレポートすることができます。侵入イベントをクラウド上の車両セキュリティ オペレーション センターに送信し、セキュリティの警告、分析、対応を行います。
2. 侵入検知の分類
手段は主に次の 2 つのカテゴリに分類されます。
1. ホストベースの侵入検知システム
ホスト システムのモニタおよびアナライザとして、外部インターフェイスでは動作せず、システムの内部に焦点を当て、システムの全体または一部の動的な動作とコンピュータ システム全体のステータスを監視します。侵入は、ホストの監査レコードとログ ファイルを監視および分析することによって検出されます。ログには、システム上で発生した異常なアクティビティの証拠が含まれています。これらの証拠は、何者かがシステムに侵入していること、またはシステムへの侵入に成功したことを示す可能性があります。ログ ファイルを表示することにより、 、侵入の成功または侵入の試みが検出され、対応する緊急措置が開始されます。
2. ネットワークベースの侵入検知システム
主に、ネットワークなどの外部インターフェースをリアルタイムに監視し、データを収集して現象を分析し、脆弱性情報の収集、アクセス拒否の原因、法定を超えたシステム制御権の取得など、システムのセキュリティを脅かす行為への対応策を提供するために使用されます。範囲。
3. 侵入検知の適用範囲
(1) 攻撃元の観点から見ると、侵入検知システムは次の攻撃元を検出するために適用できます。
1. 車両外部インターフェイス攻撃のソース: 制御チャネル、構成チャネル、データ チャネル、4G/5G ネットワーク、WIFI、Bluetooth、USB、カメラなど。
2. 車両の内部インターフェイスに対する攻撃源: イーサネット、CAN。
(2) 攻撃動作の観点からは、以下のような攻撃動作の検出に応用できます。
1. リプレイ: 攻撃者は、ネットワーク内の他のデバイスによって通常送信されるパケットを繰り返し送信します。これにより、さまざまな状況に応じてさまざまな効果が得られます。リプレイメッセージが制御コマンドの場合、デバイスの異常動作を引き起こす可能性があり、リプレイメッセージが認証コマンドの場合、リプレイソースに認証を取得させ、攻撃者の権限を強化する可能性があります。
2. DoS 攻撃 (Denial of Service): サービス妨害攻撃。DoS を引き起こす攻撃行為は DoS 攻撃と呼ばれ、その目的はコンピュータまたはネットワークが通常のサービスを提供できなくすることです。
3. 改ざん: 攻撃者は、通常のメッセージ送信中にメッセージを変更するか、ファイルを置換または変更します。
4 番目に、侵入検知の実装プロセス
1. イベント収集: 各 ECU は、監視対象のシステムまたはネットワークの情報を、侵入検知および分析用の生データとして取得します。データ ソースには通常、ネットワーク プロセス情報やさまざまなログ データが含まれます。
2. イベント分析: 収集されたイベント データを通じて侵入を直接分析します。さまざまな環境のニーズに応じて、イベントはさまざまな程度に分析されます。たとえば、異常な動作を区別し、侵入動作を特定し、攻撃の原因と傾向を分析し、攻撃シナリオを構築します。
侵入行為の一般的な定義には、次のような行為が含まれます。
-> CAN メッセージの周期性が異常な場合、攻撃者が車載ネットワークにアクセスしてメッセージを再生し、周期的な異常を引き起こしている可能性があります。
-> CAN メッセージでチェックサム (CRC8、CRC16) エラーが検出された場合、攻撃者がメッセージを収集し、改ざん後に車載ネットワークに送信し、チェック エラーが発生する可能性があります。
→ 短期間に大量の機能パケット(TCP SYNCパケット、ARPパケット、ICMPパケットなど)を受信するなどETHパケットが異常な場合、攻撃者によるDoS(サービス妨害)の可能性があります。 ) 攻撃;
→ ファイルの整合性チェックに失敗した場合は、攻撃者によってファイルが改ざんされた可能性があります。
イベントレポート: 各 ECU はイベント情報を TBOX に送信し、TBOX は車両安全運用プラットフォームにレポートします。
インシデント対応:車両セキュリティ運用プラットフォームは、インシデント分析の結果に基づいて、異常、脅威、侵入に対応します。取るべき措置はイベントの対応レベルを定義することで決定でき、サービスの中断、権限の変更、警察への通報など、脅威の程度に応じて異なる対応レベルが採用されます。セキュリティ対応措置 (または指示) は、リモート ソフトウェア フラッシュ プラットフォーム、つまり OTA を通じて車側の IDS に送信され、対応するセキュリティ保護を開始することもできます。
