入侵检测系统

2011年，当一群研究人员发出警告称他们可以远程入侵特定的福特和丰田汽车时，这些车厂还曾对此持怀疑态度。他们回应说，黑客不可能对他们的车辆发动远程攻击，除非他们能够实际接触到这些车辆。

又经过几次实验后，研究人员在2015年发表了一篇论文，概述了对一辆未经改动的2014款Jeep切诺基发动远程攻击，如何导致对车辆通信系统的某些方面的物理控制。那篇论文证明了远程攻击可以针对许多菲亚特-克莱斯勒的车辆，并随后导致了140万辆易受攻击的车辆的大规模召回。

车辆的技术进步速度使得入侵检测的研究成为汽车网络安全研究的一个新兴领域。这是西南研究院（Southwest Research Institute，SwRI）关注的一个领域，该研究所现在已经开发了一项创新技术，使用数字指纹和算法来识别整个汽车系统和部件之间的通信异常。

SwRI的工程师指出，该入侵检测系统（IDS）旨在保护军用地面车辆免受嵌入式系统和联网车辆的网络威胁，他们正在与美国陆军地面车辆系统中心（GVSC）地面系统网络工程（GSCE）进行合作。

军事、客运和商业车辆使用标准的CAN总线协议来实现不同节点或ECU之间的通信。

CAN协议允许微控制器和设备在没有主机的情况下与其他应用程序通信。研究人员指出，例如，当传感器检测到低油压或大灯被激活时，它就会通知仪表显示器，而且还能为变速器等系统和其他关键汽车技术传递操作通信。

自1986年以来，车厂一直依赖CAN协议作为传输信息的可靠平台。然而，它的缺点是，在设计时没有考虑到网络安全问题。

黑客有很多方法可以获得对车辆的控制。从网络物理功能（ACC、LDW、PAS）到远程无钥匙进入、蓝牙、Wi-Fi和无线电数据系统，与外部网络的连接已成指数级地扩大。

SwRI的工程师们表示，网络攻击有可能通过CAN协议发送错误的信息，以改变或阻碍车辆的运行，对几辆联网车辆的攻击可能会产生灾难性的影响。

SwRI的研究人员报告说，他们已经开发出算法，现在可以对通过CAN总线协议传输信息的节点进行数字指纹识别。数字指纹使入侵检测系统能够识别未知或无效的节点或计算机何时连接到车辆网络。

他们解释说，算法使用CAN收发器的信息传输来跟踪低层次的物理层特征，以创建这些数字指纹。这种特征的例子是每个CAN帧的最低和最高电压以及电压转换率。

研究人员进一步解释了他们如何建立指纹节点。他们用基线数据训练系统，作为了解特征和更好地识别异常的方法。他们说，数字指纹提供了一种方法，可以准确识别从未经授权的节点发送的信息，或者当一个有效的节点发送虚假的信息时，表明是一种“伪装攻击”。一旦系统接受了训练，工程师们就会注入虚假数据。算法立即标记了入侵的数据。研究人员指出，该系统既能识别威胁，又能抵御它们。

SwRI的工程师说：“从理论上讲，这些攻击对那些能够进入车辆的坏人来说比较容易，但是车辆也容易受到无线攻击。我们的系统旨在为CAN协议建立网络弹性，因为我们正在向更多连接和自动化的车辆网络发展。”

IDS系统适用于军用、客运和商用车辆。

该研究团队在2021年地面车辆系统工程与技术研讨会（GVSETS）会议上获得了网络技术会议的最佳论文奖。论文的题目是<Cyberattack Defense through Digital Fingerprinting, Detection Algorithms, and Bus Segmentation in Ground Vehicles>。