阿维塔：车端出海idps能力建设实践方案探讨

在当前国内外法规环境下，特别是随着欧标已强制实施和国标即将跟进，推行IDPS显得至关重要。

2024年6月27日，在2024第三届中国车联网安全大会上，阿维塔车型出海副总师韩建伟围绕阿维塔IDPS技术方案展开了详细介绍。车端IDPS逻辑上分为应用层、系统层、网络层、外部通信层，并包含多个组件。而在实际开发中，则细分为应用层、框架层、服务层和内核层。应用层以APK形式运行，监测程序状态与日志；框架层处理组件通信；服务层管理系统级程序；内核层则是内核防火墙，负责流量数据包的分析与控制。

韩建伟还强调，开发所需零部件、线束提前协调；Tara分析先行，根据tara分析的结果定制开发；要根据车型的软件版本计划，安排开发计划。

阿维塔车型出海副总师

以下为演讲内容整理:

关于IDPS

在当前国内外法规背景下，特别是欧标，因车型进入欧洲市场需获得UNR155认证，车企为通过认证审核，均建设车端idps能力以满足其中对于车端安全监测的技术要求。后续即将发布的国标目前也体现出关于车端安全监测的重视。车端IDPS是目前匹配以上标准的技术方案。IDPS在车端的实施不仅满足了车辆出海的要求，也为即将施行的国标提供了前瞻性建设。

另外，现阶段车端的攻击越来越多、愈演愈烈，IDPS以落地需求为导向，推行IDPS有助于应对日益严峻的车端攻击趋势。我们建议将IDPS纳入整体安全运营或应急响应流程中。

为匹配国内强标，建议企业结合自身车型的电子电气架构、信号矩阵及协议矩阵等基础信息，按规则最小集原则进行定制化开发。此外，IDPS的阻断策略需谨慎使用，以避免生产环境中断。

关于IDPS的定义，车端IDPS主要用于车端的入侵监测与防护，其核心功能包括数据采集模块、入侵监测引擎和检测规则库。数据采集模块实时收集车端ECU数据、状况及事件，并通过SDK进行入侵监测算法分析。入侵监测引擎则基于采集数据，依据规则进行匹配，确保车辆安全。检测规则库则是IDPS系统基于预先生成的检测规则库进行入侵判定，检测规则库在车辆下线前预置(或OTA刷新)到车端模块中。

图源:演讲嘉宾素材

阿维塔的技术方案

阿维塔的技术方案主要涵盖车云交互和车端监控采集两大类，今天的主题聚焦在车端IDPS。车端IDPS逻辑上分为应用层、系统层、网络层、外部通信层，并包含多个组件。而在实际开发中，则细分为应用层、框架层、服务层和内核层。应用层以APK形式运行，监测程序状态与日志；框架层处理组件通信；服务层管理系统级程序；内核层则是内核防火墙，负责流量数据包的分析与控制。

图源:演讲嘉宾素材

IDPS的核心在于探针设计，它决定了系统的可用性和性能。我们团队设计了系统日志探针、内核日志探针等，通过轮询、注册回调、系统patch、系统框架回调等方式实现。探针的稳定性、扩展性、复用性和移植性是主机厂关注的重点，团队采取了一系列措施确保探针的稳定运行，如守护进程、版本校验等，并优化探针频繁请求调用的处理机制。

车云交互组件涉及车辆注册、日志上报、策略更新和安全通信。以日志上报为例，加密数据后发送至缓存区，根据缓存状态异步发送日志。监控采集组件则涵盖外围接口、网络层、应用层、系统层，以APP防护为例，通过HOOK技术监控APK安装并进行策略校验。

经验分享

在开发IDPS的过程中，我们有一些值得分享的经验。首先，关于零部件开发，特别是线束部分，当车辆架构发生变化时，线束供应商需要重新设计，这需要提前协调以避免延误。因此，需提前规划并检查零部件状态，确保不会因线束问题影响项目进度。

图源:演讲嘉宾素材

其次，关于TARA先行，团队根据TARA分析结果定制开发。当硬件资源紧张的情况下，根据实际情况和tara分析结果做功能剪裁和资源占用上限限制，避免浪费本就紧张得车内硬件资源。

此外，根据车型软件版本计划安排开发计划至关重要。整车软件开发是一个版本迭代的过程，需要关注各节点的软件完成情况以确保项目顺利进行。同时，应尽量避免从零开始编写代码，因为IDPS虽然新颖，但其中的许多组件技术已经相对成熟。