CP AUTOSAR的IdsM简述

baoshijie

目录

1.入侵检测系统定义

2.CP AUTOSAR下的IdsM

3.头部供应商方案概述
1.入侵检测系统定义

IdsM，全称Instrusion Detection System Manager，主要用于检测受保护系统的活动状态，及时收集和过滤信息安全相关事件，并转发到不同的处理端。AUTOSAR定义的车端分布式IDS(功能在多个ECU上实现)如下图所示：

可以看到，重要的组成部分如下：

Security Sensors：检测入侵行为Instrusion Detection System Manager：鉴别入侵事件Security Event Memory：存储信息安全事件Intrusion Detection System Reporter：入侵事件上报

今天我们主要聊CP视角下IdsM。不过在这之前，我们先把IDS搞清楚。入侵检测系统其实在网安领域早就非常盛行，所谓入侵，一般是指尝试攻击、破坏受保护系统中敏感\隐私信息、资源的可用性、完整性和机密性的行为，而入侵检测就是通过软硬件及时发现这些入侵行为，并生成事件报告。根据IBM知识百科：

入侵检测系统用于监控网络流量和设备，以发现已知的恶意活动、可疑活动或违反安全策略的行为。IDS可以通过向安全管理员发出已知或潜在威胁的警报，或者向集中式安全工具发送警报，来帮助加速和自动化网络威胁检测。IDS无法自行阻止安全威胁。如今，IDS 功能通常与入侵防御系统 (IPS) 集成或合并到其中，该系统可以检测安全威胁并自动采取措施进行预防。安全信息和事件管理 (SIEM) 系统就是这种安全工具的一个示例，在该系统中，警报可以与其他来源的数据相结合，帮助安全团队识别和应对可能被其他安全措施忽略的网络威胁。

在边界防御架构中，IDS是对防火墙的有效补充，从而进化到纵深防御架构。除此，还有将IDS和IPS(Intrusion Prevention System)结合形成一个入侵检测和防御系统，用于检测入侵、记录入侵、向安全团队发出警报并自动响应。从车载视角来看，IDS系统概念如下：

IDS检测针对汽车ECU网络的外部攻击，收集并将其发送到OEM的云端——也称为安全操作中心(SOC)。OEM评估数据，然后决定如何防御攻击。2.CP AUTOSAR下的IdsM

在Classic Platform下，IdsM作为IDS的重要组成部分，在R20-11中被首次提出，从此CSM处理密钥管理和密码服务管理，又新增了入侵检测管理。该模块主要集成在Crypto Stack的服务层，即CSM这个层级里面，如下图所示：

既然是入侵检测管理，那么理所应该就应该有检测手段，在CP AUTOSAR定义里，选择了三种方式作为入侵检测的类传感器：

BSW基础模块(SecOC、CanIf等CDD：复杂驱动SW-C：用户自定义函数

上述类传感器模块检测到入侵事件后，调用接口IdsM_SetSecurityEvent通知IdsM收集情报，滤波整理后分发至IdsR或者Dem，如下图所示：

从上图可以看到，Dcm、EthIf、CanIf、BswM、KeyM等都可以作为类传感器进行入侵检测；例如EthIf可以用于检测流量异常、SecOC的身份鉴权失败可以通知IdsM和Dem等等。上述这些异常事件，在CP AUTOSAR中均被称为SEv(On-board )；SEv传给IdsM后，会对SEv进行缓存(Buffer SEv)、滤波识别(Qualify SEv)，一旦判定为符合网络入侵的特征，该SEv变为QSEv(Qualification of Events )，则准备将该SEv序列化存入NvM，通过IDS协议经由PduR外发给整车带有IdsR功能的SOC(Security Operation Center)，如下图：

因此，IDPS在整车环境下仍然是一个分布式的系统，可以完整部署在CP\AP中。3.头部供应商方案概述

在上文，我们简单把IdsM的基本原理描述了一下，目前来看，市面上大多数BSW供应商发布的软件包最多支持到4.4版本，还没有看到这块内容在CP AUTOSAR中的部署（主要现在也不做产品啦，有点脱节了）。不过这些内容我都看到了，那ETAS和Vector这样的头牌肯定早就在部署了。Vector基于AUTOSAR 4.4版本扩展了IdsM系统，他们的分布式IDS部署方案如下：

其纵深防御架构如下

最外层在T-Box、IVI等域控下部署IDS系统，保证了远程访问的防御部署；车内通讯分别在动力域控、车身域控等关键控制器上部署IDS；

根据其官网发布的roadmap，现在应该出了QM的软件，不知道有没有OEM使用。

ETAS向来封闭，其整车IDPS采用定制化解决方案，具体如下：


其ESCRYPT CycurIDS专门针对CAN总线进行网络入侵检测，至于内容确实没有途径学习到。

fl8111

以下是对CP AUTOSAR的IdsM的简述：

1. 入侵检测系统定义：入侵检测系统是一种用于监控网络和计算机系统安全的管理系统，其主要用于检测任何对系统的潜在威胁和未经授权的访问行为。在车辆网络中，入侵检测系统特别重要，因为它可以保护车辆免受各种网络攻击。
2. CP AUTOSAR下的IdsM：在CP AUTOSAR架构下，IdsM（入侵检测系统管理器）是安全管理的核心组件之一。其主要任务是监控车辆系统的安全状态，检测任何潜在的入侵行为，并及时将相关信息报告给相应的处理单元。

由于篇幅限制，关于头部供应商方案概述和详细的CP AUTOSAR下IdsM功能和特点的描述未能详尽展开。如果有更深入的需求或问题，请告知，我会继续为您解答。

落叶纷飞

以下是针对CP AUTOSAR的IdsM简述的回复：

帖主题：CP AUTOSAR的IdsM简述

尊敬的楼主，您好！

很高兴看到您对CP AUTOSAR的IdsM的关注。IdsM作为入侵检测系统管理器，其核心功能是检测受保护系统的状态，收集并过滤与信息安全相关的事件。在AUTOSAR架构中，IdsM在多个ECU上实现车端分布式IDS，确保系统的安全性能。其主要组成部分包括Security Sensors和IDS组件。其中，Security Sensors负责检测入侵行为，而IDS组件则负责监控和应对安全威胁。通过这一机制，IdsM能有效提升汽车的安全防护能力。如有疑问或需深入了解，请随时交流。谢谢！

祝好！

汽车工程师XXX 敬上

希望符合您的要求，您可以根据实际情况进行补充和调整。

shinch

以下是针对CP AUTOSAR的IdsM简述的回复：

帖主题：CP AUTOSAR的IdsM简述

尊敬的论坛用户：

您好！关于CP AUTOSAR的IdsM简述，以下是简要内容：

一、入侵检测系统定义：入侵检测系统是一种用于监控网络和计算机系统安全状态的安全设备，用于检测任何未经授权的访问或潜在威胁。

二、CP AUTOSAR下的IdsM：在CP AUTOSAR架构中，IdsM即入侵检测系统管理器扮演着核心角色。其主要功能在于监控和检测车辆系统的安全状态，收集与过滤与信息安全相关的事件，并将这些事件转发至相应的处理单元。此模块的运行确保整个汽车系统在面临潜在的网络安全威胁时能够做出有效响应。

有关CP AUTOSAR的IdsM的更详细信息和图示，建议查阅相关官方文档或专业资料。如有进一步疑问或需求，欢迎继续交流。谢谢！

汽车工程师敬上。

loohoolinda

以下是对CP AUTOSAR的IdsM简述：

一、入侵检测系统定义：入侵检测系统是一种用于监控和检测对系统潜在威胁的安全系统。在汽车领域，入侵检测系统能够实时检测和响应针对车辆电子控制单元（ECU）的恶意行为。

二、CP AUTOSAR下的IdsM：在CP AUTOSAR架构下，IdsM作为入侵检测系统的核心组件，负责管理和协调各个安全传感器的监控活动。它通过收集和分析来自车辆各部分的实时数据，检测潜在的入侵行为，并采取相应的措施进行响应。

三、头部供应商方案概述：头部供应商提供的IdsM方案通常包括安全传感器、数据处理单元和通信接口等组件。这些方案能够实现对车辆安全事件的实时监测和响应，提高车辆的安全性能。

以上是对CP AUTOSAR的IdsM的简单介绍，如果需要更深入的了解，建议查阅相关文献资料或咨询专业人士。