KR101638613B1 - 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 - Google Patents
차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 Download PDFInfo
- Publication number
- KR101638613B1 KR101638613B1 KR1020150054404A KR20150054404A KR101638613B1 KR 101638613 B1 KR101638613 B1 KR 101638613B1 KR 1020150054404 A KR1020150054404 A KR 1020150054404A KR 20150054404 A KR20150054404 A KR 20150054404A KR 101638613 B1 KR101638613 B1 KR 101638613B1
- Authority
- KR
- South Korea
- Prior art keywords
- occurrence frequency
- frequency value
- vehicle
- messages
- normal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Abstract
본 발명은 차량 내부 네트워크에 대한 공격 시도를 사전에 차단하는 침입 탐지 시스템(IDS) 및 그 제어방법에 관한 것이다. 상기와 같은 과제를 해결하기 위해 본 발명의 일 실시예에 따른 차량의 공격 탐지 시스템(IDS)에서 네트워크 공격을 탐지하는 방법은, 기 설정된 주기동안 네트워크의 메시지들을 입력받는 단계; 상기 입력된 각 메시지별로 현재 발생 빈도 값을 구하는 단계; 상기 주기가 시작될 때 차량의 동작 상태 정보를 입력받는 단계; 상기 동작 상태 정보에 대응되는 메시지별 정상 발생 빈도 값을 호출하는 단계; 상기 현재 발생 빈도 값 및 상기 정상 발생 빈도 값을 이용하여 메시지별로 선형 근사화한 상대 거리 함수 연산을 수행하는 단계; 및 상기 선형 근사화한 상대 거리 함수 연산의 결과를 기 설정된 임계 값과 비교하여 상기 각 메시지별로 공격 상태 여부를 판단하는 단계를 포함할 수 있다.
Description
본 발명은 차량 내부 네트워크에 대한 공격 시도를 사전에 차단하는 침입 탐지 시스템(IDS) 및 그 제어방법에 관한 것이다.
오늘날 차량에 탑재된 전자 제어 장치(ECU)의 비중은 크게 증가하고 있으며, 무선 네트워크를 통해 차량에서도 네트워크 접근이 가능해지고 있다.
그런데, 이와 같이 차량이 무선 통신 및 주변 네트워크 환경에 연결되면서 외부로부터 네트워크를 통해 ECU에 영향을 주는 차량 공격이 가능해진다. 외부 공격에 의한 차량 오작동은 차량 및 탑승자에게 치명적인 결과를 초래할 수 있다.
그러나, 현재 양산되는 차량들은 이에 대한 보호 수단이 전혀 마련되어 있지 않거나 미흡한 수준이며, 차량 보호를 위한 침입 감지 시스템의 연구 및 개발은 아직 시작 단계이다. 여러 침입 탐지 시스템에 대한 기술이 제안되고 있지만, 알고리즘이 복잡하고 연산량이 많기 때문에 차량 시스템으로의 구현 문제로 아직 차량에 적용하여 사용할 수 없는 상황이다.
따라서 보다 정확하고 효율적으로 차량 내 네트워크를 통한 공격의 위험성 및 공격 감지의 필요성이 빠르게 대두되고 있다. 특히, 차량에서 사용 가능하도록 CAN 네트워크에 적합한 침입 탐지 시스템이 요구된다.
본 발명은 외부에서 차량 내부 네트워크로의 침입을 감지하여 차량 운행에 유해한 공격을 사전에 방지하고 안전을 유지할 수 있는 침입 감지 시스템 및 그 제어방법을 제공하기 위한 것이다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상기와 같은 과제를 해결하기 위해 본 발명의 일 실시예에 따른 차량의 공격 탐지 시스템(IDS)에서 네트워크 공격을 탐지하는 방법은, 기 설정된 주기동안 네트워크의 메시지들을 입력받는 단계; 상기 입력된 각 메시지별로 현재 발생 빈도 값을 구하는 단계; 상기 주기가 시작될 때 차량의 동작 상태 정보를 입력받는 단계; 상기 동작 상태 정보에 대응되는 메시지별 정상 발생 빈도 값을 호출하는 단계; 상기 현재 발생 빈도 값 및 상기 정상 발생 빈도 값을 이용하여 메시지별로 선형 근사화한 상대 거리 함수 연산을 수행하는 단계; 및 상기 선형 근사화한 상대 거리 함수 연산의 결과를 기 설정된 임계 값과 비교하여 상기 각 메시지별로 공격 상태 여부를 판단하는 단계를 포함할 수 있다.
또한, 본 발명의 일 실시예에 따른 차량의 공격 탐지 시스템(IDS)은, 기 설정된 주기동안 네트워크의 메시지들을 입력받고, 상기 입력된 각 메시지별로 현재 발생 빈도 값을 구하는 제 1 모듈; 상기 주기가 시작될 때 차량의 동작 상태 정보를 입력받고, 상기 동작 상태 정보에 대응되는 메시지별 정상 발생 빈도 값을 호출하는 제 2 모듈; 및 상기 현재 발생 빈도 값 및 상기 정상 발생 빈도 값을 이용하여 메시지별로 선형 근사화한 상대 거리 함수 연산을 수행하고, 상기 선형 근사화한 상대 거리 함수 연산의 결과를 기 설정된 임계 값과 비교하여 상기 각 메시지별로 공격 상태 여부를 판단하는 제 3 모듈을 포함할 수 있다.
본 발명의 적어도 일 실시예에 의하면, 다음과 같은 효과가 있다.
네트워크로의 침입을 감지하여 차량 운행에 유해한 공격을 사전에 방지하고 안전을 유지할 수 있다.
또한, 네트워크의 CAN 메시지로부터 효율적인 연산을 수행하기 때문에 차량에서 사용이 가능하다.
본 발명에서 얻은 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 차량에서 침입 탐지 시스템의 설치 위치의 일례를 나타낸다.
도 2는 본 발명의 일 실시예에 따른 침입 탐지 시스템 구조의 일례를 나타내는 블럭도이다.
도 3은 본 발명의 일 실시예에 따른 침입 탐지 시스템에서 수행되는 공격 탐지 알고리즘을 설명하기 위한 순서도이다.
도 2는 본 발명의 일 실시예에 따른 침입 탐지 시스템 구조의 일례를 나타내는 블럭도이다.
도 3은 본 발명의 일 실시예에 따른 침입 탐지 시스템에서 수행되는 공격 탐지 알고리즘을 설명하기 위한 순서도이다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다.
또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명의 일 실시예에서는 침입 탐지 시스템(IDS: Intrusion Detection System)에서 차량 CAN 네트워크의 침입 탐지의 대상이 되는 CAN 메시지와 차량 동작 상태 정보의 두 종류의 입력 값을 이용하여, 메시지의 ID 별 실제 발생 빈도와 동작 상태별 참조 ID 발생 빈도를 소정의 침입 탐지 알고리즘으로 처리하여 실제 발생빈도가 정상적인지 여부를 판단하여 공격 여부를 탐지할 것을 제안한다. 그에 따라 공격이 탐지되면 IDS 시스템은 출력으로 경고 메시지를 전송한다.
침입 탐지 알고리즘은 엔트로피 기반 함수인 상대 거리(relative distance)를 근사화한 함수인 것이 바람직하다. 여기서 침입 탐지 알고리즘은 실제 상대 거리 함수의 로그 부분을 선형적으로 근사화한 것일 수 있으며, 근사화한 함수의 계산 값을 미리 설정된 임계치와 비교하여 메시지의 이상 유무가 판단될 수 있다.
구체적인 알고리즘을 설명하기 앞서, 본 발명에 따른 침입 탐지 시스템의 설치 위치 및 구조를 설명한다.
도 1은 본 발명의 일 실시예에 따른 차량에서 침입 탐지 시스템의 설치 위치의 일례를 나타낸다.
침입 탐지 시스템(IDS, 120)은 도 1의 (a)와 같이 CAN 네트워크에서 게이트웨이(110)의 내부에 설치될 수도 있고, 도 1의 (b)와 같이 독립된 개체로 버스에 연결되어 게이트웨이(110)와 통신할 수도 있다.
어떤 위치에 설치되건, 본 발명에 따른 침입 탐지 시스템은 게이트웨이와 각 제어기(ECU)들로부터 차량의 동작 상태 정보를 입력받을 수 있으며, 해당 CAN 네트워크 상의 모든 메시지를 감시할 수 있다.
도 2는 본 발명의 일 실시예에 따른 침입 탐지 시스템 구조의 일례를 나타내는 블럭도이다.
도 2를 참조하면, 본 실시예에 따른 침입 탐지 시스템(120)은 제 1 모듈(121), 제 2 모듈(122) 및 제 3 모듈(123)을 포함할 수 있다.
제 1 모듈(121)은 차량 CAN 네트워크의 모든 메시지를 입력받을 수 있으며, 일정 시간 동안 입력 받은 CAN 메시지로부터 ID 값을 추출하고, 추출한 ID들로부터 각 ID의 실제 발생 빈도를 계산한다.
제 2 모듈(122)은 게이트웨이 및/또는 각 제어기로부터 차량의 동작 상태 정보를 입력받을 수 있으며, 정상 차량 동작에 해당하는 참조 ID 빈도 집합들을 미리 저장해두었다가 차량의 동작 상태 정보가 입력되면, 해당 동작 상태 정보에 대응되는 참조(reference) ID 빈도 집합을 호출한다.
제 3 모듈(123)은 제 1 모듈(121)과 제 2 모듈(122)의 계산/호출값을 이용하여 본 실시예에 따른 공격 탐지 알고리즘에 따른 연산을 수행하고, 그 결과 공격이 탐지되면 경고 메시지를 출력할 수 있다.
이하에서는 도 3을 참조하여 본 실시예에 따른 공격 탐지 알고리즘을 보다 상세히 설명한다.
도 3은 본 발명의 일 실시예에 따른 침입 탐지 시스템에서 수행되는 공격 탐지 알고리즘을 설명하기 위한 순서도이다.
본 실시예에 따른 침입 탐지 시스템은, 도 3에 나타난 순서도에 도시된 알고리즘을 기 설정된 검사 주기마다 수행할 수 있다.
검사 주기가 시작됨에 따라 게이트웨이와 ECU로부터 차량의 동작 상태 정보가 입력되며(S310A), 이에 해당하는 q(x)의 집합이 호출된다(320A). 여기서 x는 메시지의 ID, q(x)는 정상 동작에서 일정 주기동안 특정 ID x의 메시지의 빈도를 나타낸다.
또한, 버스에 패킷이 입력되면, 패킷의 ID (x)를 추출하여 각 ID의 발생 회수가 카운트되며(S310B), 주기가 끝날 때 p(x)가 계산된다(S320B). p(x)는 아래 수학식 1과 같이 정의될 수 있다.
물론, 수학식 1과 달리 분모 부분을 생략하여 한 주기동안 c의 발생 횟수로 단순화도 가능하다.
다음으로, p(x)와 q(x)를 입력값으로 하는 
가 계산될 수 있다(S330). 
는 엔트로피 기반 함수인 상대거리(relative distance) 
를 근사화한 함수인 것이 바람직하다.
상대 거리 
는 아래 수학식 2와 같이 계산될 수 있다.
여기서 
는 
의 로그 부분을 선형적으로 근사화한 함수로, 효율적인 연산을 가능하게 한다.
본 실시예의 다른 양상에 의하면, 
는 아래 수학식 3과 같이 계산될 수도 있다.
여기서 
를 만족하는 것이 바람직하다. 또한, 상술한 바와 같이 x는 메시지의 ID, q(x)는 정상 동작에서의 ID x의 빈도, p(x)는 수신된 메시지들로부터 계산된 ID x메시지의 빈도를 나타낸다.
또한, 선형함수 
는 아래 수학식 4와 같이 계산된다.
상술한 방법들 중 어느 하나를 통해 
가 계산되면, 
는 미리 설청된 임계치인 
와 비교 연산이 수행될 수 있다(S340). 
는 차량의 상황에 따라, 또는 침입 탐지 검사 결과에 따라 유동적으로 변경될 수 있다.
비교 연산의 결과로부터 시스템은 한 검사 주기 동안의 메시지의 이상 유무를 최종적으로 판단하여, 임계값보다 큰 경우 침입 상황으로 판단하여 경고를 발생시키고(S350), 그렇지 않은 경우 정상 상황으로 판단하고 한 주기를 종료한다(S360).
도 3에서 S310A 및 S310B 단계는 도 2의 제 2 모듈(122)에서 수행될 수 있으며, S310B 및 S320B 단계는 제 1 모듈(121)에서 수행될 수 있으며, 나머지 단계는 제 3 모듈(123)에서 수행될 수 있다.
이하에서는 정상 동작에서의 ID x의 빈도를 나타내는 q(x)의 변화 및 갱신 방법을 설명한다.
CAN 네트워크에 새로운 제어기가 추가로 탑재되거나 펌웨어가 업데이트됨에 따라, 새로운 ID가 생성되거나 특정 ID의 메시지 주기가 변경되었을 경우, 정상 동작에서 각 ID x의 빈도 q(x)가 변화된다. 이러한 경우 q(x)의 업데이트가 요구되는데, 본 실시예에서는 q(x)의 업데이트를 위해 두 가지 방법을 제안한다.
먼저, 시스템 외부로부터의 업데이트가 고려될 수 있다. 보다 상세히, 변화된 q(x) 집합에 대한 정보를 외부로부터 본 IDS에 새로 저장하여 적용시키는 방법이 적용될 수 있다. 이를 위해, 무선 네트워크를 통해 새로운 q(x)값이 다운로드될 수도 있고, 정비소 방문을 통한 진단 네트워크를 이용한 업데이트도 가능하다. 다만, 무선 네트워크가 이용되는 경우 업데이트 메시지에 대한 별도의 인증과정을 거치는 것이 바람직하다.
다음으로, 시스템 내부에서의 학습적 업데이트가 고려될 수 있다. 보다 상세히, 본 시스템으로 수신되는 메시지에 대한 p(x)들이 정상으로 판정되는 경우, 정상으로 판정된 p(x) 집합이 q(x) 집합에 반영될 수 있다. 이때, 업데이트되는 q'(x)는 다음의 수학식 5와 같이 표현될 수 있다.
수학식 5에서 M은 p(x)의 업데이트에 대한 가중치를 나타내는 상수이고, N은 N>>M을 만족시키는 큰 상수인 것이 바람직하다. M과 N의 상대적 크기에 따라 업데이트에 사용되는 p(x)가 q'(x)에 반영되는 정도가 탄력적으로 결정될 수 있다.
한편, 본 실시예는 메시지 내용 기반의 공격 탐지로 확장될 수도 있다.
보다 상세히, ID 뿐만 아니라 메시지 내용 기반의 공격 탐지에서도 본 발명에 따른 알고리즘을 수정하여 적용할 수 있다. 예를 들어, 메시지 내용을 입력으로 받아 SRD(x) 연산을 수행하는 것이 가능하며, 이 경우 x는 일정 범위의 메시지 내용값을 나타낸다. 메시지 내용의 변화 대한 탐지를 위해 SRD(x) 대신, 조건부 자가 정보(conditional self information)의 식 
가 사용될 수 있다. 
는 아래 수학식 6과 같이 표현될 수 있다.
수학식 6에서 x는 현재 시간의 메시지 내용값을, y는 이전 시간의 메시지 내용값을 각각 나타낸다. 또한, 
는 y에 대한 x의 조건부 확률로서, 확률분포 p는 시스템에 미리 저장되는 것이 바람직하다. 
역시 로그 기반의 식이기 때문에, SRD(x)와 유사하게 선형 근사화가 가능하고, 
대신 선형 근사화한 함수 
가 사용되는 경우 보다 효율적인 연산이 가능하다.
상술한 실시예를 통해, CAN 네트워크를 통한 차량 및 ECU를 공격으로부터 안전하게 보호하고 조작이나 개조를 방지할 수 있다. 또한, CAN BUS 상에 추가적인 데이터를 주입하지 않고 탐지를 수행할 수 있기 때문에 차량 내부 통신에 추가적인 부하를 최소화할 수 있다. 아울러, CAN 데이터의 일부 정보만으로 검사를 수행하기 때문에 차량 내 시스템 지연을 감소시킬 수 있다. 이때, CAN 네트워크 데이터의 엔트로피를 근사화한 효율적인 연산이 수행되므로 차량 내 ECU에서 사용이 가능하다는 장점이 있다.
전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다.
따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.
Claims (20)
- 차량의 공격 탐지 시스템(IDS)에서 네트워크 공격을 탐지하는 방법에 있어서,
기 설정된 주기동안 네트워크의 메시지들을 입력받는 단계;
상기 입력된 각 메시지별로 현재 발생 빈도 값을 구하는 단계;
상기 주기가 시작될 때 차량의 동작 상태 정보를 입력받는 단계;
상기 동작 상태 정보에 대응되는 메시지별 정상 발생 빈도 값을 호출하는 단계;
상기 현재 발생 빈도 값 및 상기 정상 발생 빈도 값을 이용하여 메시지별로 선형 근사화한 상대 거리 함수 연산을 수행하는 단계; 및
상기 선형 근사화한 상대 거리 함수 연산의 결과를 기 설정된 임계 값과 비교하여 상기 각 메시지별로 공격 상태 여부를 판단하는 단계를 포함하는, 차량의 공격 탐지 방법. - 제 1항에 있어서,
상기 차량의 동작 상태 정보는,
게이트웨이 및 각 제어기 중 적어도 하나로부터 입력되는, 차량의 공격 탐지 방법. - 제 1항에 있어서,
상기 메시지들은,
CAN 메시지들인, 차량의 공격 탐지 방법. - 제 1항에 있어서,
상기 공격 탐지 시스템(IDS)은,
CAN 네트워크에서 게이트웨이 내부에 위치하는, 차량의 공격 탐지 방법. - 제 1항에 있어서,
상기 현재 발생 빈도 값을 구하는 단계는,
상기 메시지들의 ID를 추출하는 단계; 및
상기 추출한 ID들로부터 각 ID의 발생 빈도를 계산하는 단계를 포함하는, 차량의 공격 탐지 방법. - 제 5항에 있어서,
상기 현재 발생 빈도 값은,
상기 주기동안 각 ID의 발생 횟수를 상기 주기 동안 전체 패킷의 발생 횟수로 나눈 값인, 차량의 공격 탐지 방법. - 제 1항에 있어서,
상기 정상 발생 빈도 값은,
상기 공격 탐지 시스템의 외부로부터 새로운 정상 발생 빈도 값을 수신하여 갱신되는, 차량의 공격 탐지 방법. - 제 1항에 있어서,
상기 정상 발생 빈도 값은,
상기 공격 상태 여부를 판단하는 단계에서 정상으로 판정된 현재 발생 빈도 값에 소정의 가중치를 적용하여 학습되는, 차량의 공격 탐지 방법. - 제 1항에 있어서,
상기 상대 거리 함수 연산은,
상기 현재 발생 빈도 값을 상기 정상 발생 빈도 값으로 나눈 값을 로그 연산한 값에, 상기 상기 현재 발생 빈도 값을 곱하도록 수행되는, 차량의 공격 탐지 방법. - 제 9항에 있어서,
상기 선형 근사화한 상대 거리 함수 연산은,
상기 상대 거리 함수 연산의 로그 연산을 선형적으로 근사화한 연산을 포함하는, 차량의 공격 탐지 방법. - 차량의 공격 탐지 시스템(IDS)에 있어서,
기 설정된 주기동안 네트워크의 메시지들을 입력받고, 상기 입력된 각 메시지별로 현재 발생 빈도 값을 구하는 제 1 모듈;
상기 주기가 시작될 때 차량의 동작 상태 정보를 입력받고, 상기 동작 상태 정보에 대응되는 메시지별 정상 발생 빈도 값을 호출하는 제 2 모듈; 및
상기 현재 발생 빈도 값 및 상기 정상 발생 빈도 값을 이용하여 메시지별로 선형 근사화한 상대 거리 함수 연산을 수행하고, 상기 선형 근사화한 상대 거리 함수 연산의 결과를 기 설정된 임계 값과 비교하여 상기 각 메시지별로 공격 상태 여부를 판단하는 제 3 모듈을 포함하는, 차량의 공격 탐지 시스템. - 제 11항에 있어서,
상기 차량의 동작 상태 정보는,
게이트웨이 및 각 제어기 중 적어도 하나로부터 입력되는, 차량의 공격 탐지 시스템. - 제 11항에 있어서,
상기 메시지들은,
CAN 메시지들인, 차량의 공격 탐지 시스템. - 제 11항에 있어서,
상기 공격 탐지 시스템은,
CAN 네트워크에서 게이트웨이 내부에 위치하는, 차량의 공격 탐지 시스템. - 제 11항에 있어서,
상기 제 1 모듈은,
상기 메시지들의 ID를 추출하고, 상기 추출한 ID들로부터 각 ID의 발생 빈도를 계산하는, 차량의 공격 탐지 시스템. - 제 15항에 있어서,
상기 현재 발생 빈도 값은,
상기 주기동안 각 ID의 발생 횟수를 상기 주기 동안 전체 패킷의 발생 횟수로 나눈 값인, 차량의 공격 탐지 시스템. - 제 11항에 있어서,
상기 정상 발생 빈도 값은,
상기 공격 탐지 시스템의 외부로부터 새로운 정상 발생 빈도 값을 수신하여 갱신되는, 차량의 공격 탐지 시스템. - 제 11항에 있어서,
상기 정상 발생 빈도 값은,
상기 공격 상태 여부를 판단하는 단계에서 정상으로 판정된 현재 발생 빈도 값에 소정의 가중치를 적용하여 학습되는, 차량의 공격 탐지 시스템. - 제 11항에 있어서,
상기 상대 거리 함수 연산은,
상기 현재 발생 빈도 값을 상기 정상 발생 빈도 값으로 나눈 값을 로그 연산한 값에, 상기 상기 현재 발생 빈도 값을 곱하도록 수행되는, 차량의 공격 탐지 시스템. - 제 19항에 있어서,
상기 선형 근사화한 상대 거리 함수 연산은,
상기 상대 거리 함수 연산의 로그 연산을 선형적으로 근사화한 연산을 포함하는, 차량의 공격 탐지 시스템.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150054404A KR101638613B1 (ko) | 2015-04-17 | 2015-04-17 | 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 |
| US14/959,740 US20160308887A1 (en) | 2015-04-17 | 2015-12-04 | In-vehicle network intrusion detection system and method for controlling the same |
| CN201510890858.4A CN106059987B (zh) | 2015-04-17 | 2015-12-07 | 车载网络入侵检测系统及其控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150054404A KR101638613B1 (ko) | 2015-04-17 | 2015-04-17 | 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101638613B1 true KR101638613B1 (ko) | 2016-07-11 |
Family
ID=56499711
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150054404A KR101638613B1 (ko) | 2015-04-17 | 2015-04-17 | 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20160308887A1 (ko) |
| KR (1) | KR101638613B1 (ko) |
| CN (1) | CN106059987B (ko) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180067446A (ko) * | 2016-12-09 | 2018-06-20 | 고려대학교 산학협력단 | 해저드 모델 기반의 차량 네트워크 이상 징후 탐지 장치 |
| WO2019107704A1 (ko) * | 2017-11-29 | 2019-06-06 | 고려대학교 산학협력단 | 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템 |
| CN110040107A (zh) * | 2019-03-18 | 2019-07-23 | 百度在线网络技术(北京)有限公司 | 车辆入侵检测及预测模型训练方法、装置及存储介质 |
| KR102026455B1 (ko) * | 2018-08-20 | 2019-09-27 | (주)에이치씨인포 | Can 데이터 분석 시스템 및 방법 |
| KR20200136217A (ko) * | 2019-05-27 | 2020-12-07 | 조선대학교산학협력단 | 다중 정보 엔트로피의 비교를 통한 차량 내 외부 데이터 침입 탐지 장치 및 그 동작 방법 |
| WO2021162473A1 (ko) * | 2020-02-14 | 2021-08-19 | 현대자동차주식회사 | 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법 |
| CN114615086A (zh) * | 2022-04-14 | 2022-06-10 | 合肥工业大学 | 一种车载can网络入侵检测方法 |
| CN115102707A (zh) * | 2022-04-27 | 2022-09-23 | 麦格纳斯太尔汽车技术(上海)有限公司 | 一种车辆can网络ids安全检测系统及方法 |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378272B (zh) * | 2014-10-28 | 2019-01-25 | 奇瑞汽车股份有限公司 | 消息传输方法及装置 |
| JP6512205B2 (ja) * | 2016-11-14 | 2019-05-15 | トヨタ自動車株式会社 | 通信システム |
| JP6527541B2 (ja) * | 2017-03-17 | 2019-06-05 | 本田技研工業株式会社 | 送信装置 |
| JP6760185B2 (ja) * | 2017-03-31 | 2020-09-23 | 住友電気工業株式会社 | 中継装置、検知方法および検知プログラム |
| CN106899614B (zh) * | 2017-04-14 | 2019-09-24 | 北京梆梆安全科技有限公司 | 基于报文周期的车内网络入侵检测方法及装置 |
| JP6959155B2 (ja) * | 2017-05-15 | 2021-11-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 検証方法、検証装置およびプログラム |
| EP3642718B1 (en) * | 2017-06-23 | 2021-02-24 | Robert Bosch GmbH | Graphical user interface tool for configuring a vehicle's intrusion detection system |
| DE102017218134B3 (de) | 2017-10-11 | 2019-02-14 | Volkswagen Aktiengesellschaft | Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge |
| US20210075800A1 (en) * | 2017-12-15 | 2021-03-11 | GM Global Technology Operations LLC | Ethernet network-profiling intrusion detection control logic and architectures for in-vehicle controllers |
| CN108111510A (zh) * | 2017-12-20 | 2018-06-01 | 北京航空航天大学 | 一种车内网络入侵检测方法及系统 |
| CN110325410B (zh) * | 2018-01-22 | 2022-04-26 | 松下电器(美国)知识产权公司 | 数据分析装置及存储介质 |
| JP7006335B2 (ja) * | 2018-02-06 | 2022-01-24 | トヨタ自動車株式会社 | 車載通信システム、車載通信方法、およびプログラム |
| RU2706887C2 (ru) * | 2018-03-30 | 2019-11-21 | Акционерное общество "Лаборатория Касперского" | Система и способ блокирования компьютерной атаки на транспортное средство |
| CN108924098A (zh) * | 2018-06-14 | 2018-11-30 | 北京汽车股份有限公司 | 车辆以及防止车辆数据被篡改的方法和系统 |
| JP6555559B1 (ja) * | 2018-06-15 | 2019-08-07 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
| CN109117639B (zh) * | 2018-07-27 | 2021-03-16 | 北京梆梆安全科技有限公司 | 一种入侵风险的检测方法和装置 |
| CN109257358B (zh) * | 2018-09-28 | 2020-08-04 | 成都信息工程大学 | 一种基于时钟偏移的车载网络入侵检测方法及系统 |
| US11019084B2 (en) * | 2018-12-14 | 2021-05-25 | Intel Corporation | Controller, a context broadcaster and an alert processing device |
| WO2020137304A1 (ja) * | 2018-12-28 | 2020-07-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 統計情報生成装置、統計情報生成方法、および、プログラム |
| JP6896194B2 (ja) * | 2019-03-06 | 2021-06-30 | 三菱電機株式会社 | 攻撃検知装置および攻撃検知プログラム |
| CN110149345B (zh) * | 2019-06-11 | 2020-07-28 | 北京航空航天大学 | 一种基于报文序列预测的车载网络入侵检测方法 |
| CN110149348A (zh) * | 2019-06-20 | 2019-08-20 | 北京经纬恒润科技有限公司 | 车载网络的防护方法及装置 |
| CN114503518B (zh) * | 2019-11-28 | 2024-01-12 | 住友电气工业株式会社 | 检测装置、车辆、检测方法及检测程序 |
| CN111770069B (zh) * | 2020-06-17 | 2022-02-15 | 北京航空航天大学 | 一种基于入侵攻击的车载网络仿真数据集生成方法 |
| CN111931252B (zh) * | 2020-07-28 | 2022-05-03 | 重庆邮电大学 | 一种基于滑动窗口和cenn的车载can入侵检测方法 |
| CN112953723B (zh) * | 2021-02-08 | 2023-04-18 | 北京邮电大学 | 一种车载入侵检测方法及装置 |
| CN114172686B (zh) * | 2021-10-27 | 2022-08-05 | 北京邮电大学 | 车载can总线报文入侵检测方法、相关设备及计算机存储介质 |
| CN114697135B (zh) * | 2022-05-07 | 2023-04-25 | 湖南大学 | 一种汽车控制器区域网络入侵检测方法、系统及汽车 |
| CN115320538A (zh) * | 2022-07-20 | 2022-11-11 | 国汽智控(北京)科技有限公司 | 智能网联汽车入侵检测系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000072707A (ko) * | 2000-09-20 | 2000-12-05 | 홍기융 | 실시간 침입탐지 및 해킹 자동 차단 방법 |
| KR20100041533A (ko) * | 2008-10-14 | 2010-04-22 | 주식회사 케이티 | 네트워크 관리 방법 |
| KR101371902B1 (ko) * | 2012-12-12 | 2014-03-10 | 현대자동차주식회사 | 차량 네트워크 공격 탐지 장치 및 그 방법 |
| KR20140102371A (ko) * | 2013-02-13 | 2014-08-22 | 아주대학교산학협력단 | 차량 애드 혹 네트워크 환경에서 움직이는 영역 내 최근접 질의 처리 장치 및 방법 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9818136B1 (en) * | 2003-02-05 | 2017-11-14 | Steven M. Hoffberg | System and method for determining contingent relevance |
| US20070094318A1 (en) * | 2005-10-24 | 2007-04-26 | Christian Lutkemeyer | Method and system for hardware efficient systematic approximation of square functions for communication systems |
| DE102010062827A1 (de) * | 2010-12-10 | 2012-06-14 | Robert Bosch Gmbh | Verfahren zur Plausibilisierung von Betriebsdaten eines Fahrzeugs |
| US8855361B2 (en) * | 2010-12-30 | 2014-10-07 | Pelco, Inc. | Scene activity analysis using statistical and semantic features learnt from object trajectory data |
| US9189896B2 (en) * | 2013-12-05 | 2015-11-17 | GM Global Technology Operations LLC | Method and system for vehicular data collection |
| KR101472896B1 (ko) * | 2013-12-13 | 2014-12-16 | 현대자동차주식회사 | 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치 |
| EP2892201B1 (en) * | 2014-01-06 | 2017-08-30 | Argus Cyber Security Ltd. | Detective watchman |
| CN103731433A (zh) * | 2014-01-14 | 2014-04-16 | 上海交通大学 | 一种物联网攻击检测系统和攻击检测方法 |
| CN106464557B (zh) * | 2014-07-10 | 2020-04-24 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元、接收方法以及发送方法 |
-
2015
- 2015-04-17 KR KR1020150054404A patent/KR101638613B1/ko active IP Right Grant
- 2015-12-04 US US14/959,740 patent/US20160308887A1/en not_active Abandoned
- 2015-12-07 CN CN201510890858.4A patent/CN106059987B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000072707A (ko) * | 2000-09-20 | 2000-12-05 | 홍기융 | 실시간 침입탐지 및 해킹 자동 차단 방법 |
| KR20100041533A (ko) * | 2008-10-14 | 2010-04-22 | 주식회사 케이티 | 네트워크 관리 방법 |
| KR101371902B1 (ko) * | 2012-12-12 | 2014-03-10 | 현대자동차주식회사 | 차량 네트워크 공격 탐지 장치 및 그 방법 |
| KR20140102371A (ko) * | 2013-02-13 | 2014-08-22 | 아주대학교산학협력단 | 차량 애드 혹 네트워크 환경에서 움직이는 영역 내 최근접 질의 처리 장치 및 방법 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180067446A (ko) * | 2016-12-09 | 2018-06-20 | 고려대학교 산학협력단 | 해저드 모델 기반의 차량 네트워크 이상 징후 탐지 장치 |
| KR102011020B1 (ko) * | 2016-12-09 | 2019-08-16 | 고려대학교 산학협력단 | 해저드 모델 기반의 차량 네트워크 이상 징후 탐지 장치 |
| KR101995903B1 (ko) * | 2017-11-29 | 2019-10-01 | 고려대학교 산학협력단 | 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템 |
| WO2019107704A1 (ko) * | 2017-11-29 | 2019-06-06 | 고려대학교 산학협력단 | 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템 |
| KR20190063209A (ko) * | 2017-11-29 | 2019-06-07 | 고려대학교 산학협력단 | 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템 |
| KR102026455B1 (ko) * | 2018-08-20 | 2019-09-27 | (주)에이치씨인포 | Can 데이터 분석 시스템 및 방법 |
| CN110040107A (zh) * | 2019-03-18 | 2019-07-23 | 百度在线网络技术(北京)有限公司 | 车辆入侵检测及预测模型训练方法、装置及存储介质 |
| KR20200136217A (ko) * | 2019-05-27 | 2020-12-07 | 조선대학교산학협력단 | 다중 정보 엔트로피의 비교를 통한 차량 내 외부 데이터 침입 탐지 장치 및 그 동작 방법 |
| KR102190054B1 (ko) * | 2019-05-27 | 2020-12-11 | 조선대학교산학협력단 | 다중 정보 엔트로피의 비교를 통한 차량 내 외부 데이터 침입 탐지 장치 및 그 동작 방법 |
| US11297076B2 (en) | 2019-05-27 | 2022-04-05 | Industry-Academic Cooperation Foundation, Chosun University | Apparatus for detecting in-vehicle external data intrusion by comparing multiple information entropy and operating method thereof |
| WO2021162473A1 (ko) * | 2020-02-14 | 2021-08-19 | 현대자동차주식회사 | 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법 |
| CN114615086A (zh) * | 2022-04-14 | 2022-06-10 | 合肥工业大学 | 一种车载can网络入侵检测方法 |
| CN114615086B (zh) * | 2022-04-14 | 2023-11-03 | 合肥工业大学 | 一种车载can网络入侵检测方法 |
| CN115102707A (zh) * | 2022-04-27 | 2022-09-23 | 麦格纳斯太尔汽车技术(上海)有限公司 | 一种车辆can网络ids安全检测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160308887A1 (en) | 2016-10-20 |
| CN106059987B (zh) | 2020-02-21 |
| CN106059987A (zh) | 2016-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101638613B1 (ko) | 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 | |
| US9948667B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
| US10826684B1 (en) | System and method of validating Internet of Things (IOT) devices | |
| JP2019536144A5 (ko) | ||
| CN107508815B (zh) | 基于网站流量分析预警方法及装置 | |
| CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
| JP6761793B2 (ja) | 車両用制御装置 | |
| CN112514351A (zh) | 异常检测方法及装置 | |
| CN111277561B (zh) | 网络攻击路径预测方法、装置及安全管理平台 | |
| US10243941B2 (en) | Need based controller area network bus authentication | |
| WO2020135755A1 (zh) | 车辆攻击检测方法及装置 | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| US20220407873A1 (en) | Analysis device and analysis method | |
| KR20210026246A (ko) | 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법 | |
| JP7234832B2 (ja) | 電子制御装置 | |
| CN108804951B (zh) | 用于识别过程控制系统的完整性降级的方法和装置 | |
| CN115022058A (zh) | 控制器局域网的安全检测方法、装置及电子设备 | |
| EP3789897A1 (en) | Electronic device intrusion detection | |
| JP7175858B2 (ja) | 情報処理装置および正規通信判定方法 | |
| CN112751822B (zh) | 通信装置及操作方法、异常判定装置及方法、存储介质 | |
| KR102567820B1 (ko) | 차량에 대한 악의적인 외부 침입을 탐지하는 방법 및 그 장치 | |
| CN106657150B (zh) | 网络攻击结构的获取方法与装置 | |
| US20240086541A1 (en) | Integrity verification device and integrity verification method | |
| WO2021035429A1 (en) | Method and system for security management on a mobile storage device | |
| CN114861179A (zh) | 移动终端应用和文件的风险检测方法、装置、终端及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20190627 Year of fee payment: 4 |