KR102011020B1 - Device for detecting anomaly of vehicle networks based on hazard model - Google Patents

Device for detecting anomaly of vehicle networks based on hazard model Download PDF

Info

Publication number
KR102011020B1
KR102011020B1 KR1020170169765A KR20170169765A KR102011020B1 KR 102011020 B1 KR102011020 B1 KR 102011020B1 KR 1020170169765 A KR1020170169765 A KR 1020170169765A KR 20170169765 A KR20170169765 A KR 20170169765A KR 102011020 B1 KR102011020 B1 KR 102011020B1
Authority
KR
South Korea
Prior art keywords
vehicle
survival rate
ids
detection device
messages
Prior art date
Application number
KR1020170169765A
Other languages
Korean (ko)
Other versions
KR20180067446A (en
Inventor
한미란
곽병일
김휘강
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Publication of KR20180067446A publication Critical patent/KR20180067446A/en
Application granted granted Critical
Publication of KR102011020B1 publication Critical patent/KR102011020B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

차량의 이상 징후 탐지 장치가 개시된다. 상기 탐지 장치는 차량 네트워크에서 순차적으로 발생하는 복수의 메시지들을 수신하는 메시지 수신부, 상기 복수의 메시지들 각각의 ID를 추출하는 ID 추출부, 추출된 복수의 ID들을 이용하여 ID 별 구간 생존율을 산출하는 생존율 산출부 및 산출된 구간 생존율에 기초하여 이상 징후 유무를 판단하는 이상 징후 탐지부를 포함한다.An abnormality indication detection apparatus of a vehicle is disclosed. The detection device may include a message receiver for receiving a plurality of messages sequentially generated in a vehicle network, an ID extractor for extracting IDs of the plurality of messages, and calculating a section survival rate for each ID using the extracted plurality of IDs. It includes a survival rate calculation unit and abnormality detection unit for determining the presence or absence of abnormal symptoms based on the calculated interval survival rate.

Description

해저드 모델 기반의 차량 네트워크 이상 징후 탐지 장치{DEVICE FOR DETECTING ANOMALY OF VEHICLE NETWORKS BASED ON HAZARD MODEL}Vehicle network anomaly detection device based on hazard model {DEVICE FOR DETECTING ANOMALY OF VEHICLE NETWORKS BASED ON HAZARD MODEL}

본 발명은 차량 또는 차량 네트워크의 이상 징후 탐지 장치에 관한 것으로, 특히 해저드 모델을 이용하여 차량 네트워크에서 발생하는 메시지의 ID별 구간 생존율에 기초하여 이상 징후 여부를 판단할 수 있는 이상 징후 탐지 장치에 관한 것이다.The present invention relates to an apparatus for detecting abnormal signs of a vehicle or a vehicle network, and more particularly, to an apparatus for detecting abnormal signs based on a survival rate for each section of a message generated in a vehicle network using a hazard model. will be.

차량에 대한 기술들이 ICT(Information and Communication Technologies)와 융합되면서 커넥티드카(connected Car) 환경으로 변화하고 있다. 또한, 자율주행에 대한 기술들이 빠르게 발전하면서 차량 보안에 대한 중요성이 증가하고 있다. 차량에 탑재되어 있는 많은 부품 및 장치들이 전자적으로 제어되는 ECU(Electronic Control Unit)에 연결되며, 이를 통해 효율적으로 차량이 제어되며 관리되고 있다. 그러나, 이러한 ECU는 차량 내부의 다른 센서 및 부품들과 CAN(Controller Area Network), LIN(Local Interconnect Network) 등의 다양한 통신 프로토콜을 통해 메시지들을 주고받기 때문에 이에 대한 보안 조치가 필요하다.As technology for vehicles converges with Information and Communication Technologies (ICT), it is changing to a connected car environment. In addition, with the rapid development of technologies for autonomous driving, the importance of vehicle security is increasing. Many components and devices mounted on a vehicle are connected to an electronically controlled electronic control unit (ECU), which effectively controls and manages the vehicle. However, these ECUs need to take security measures because they exchange messages with other sensors and components in the vehicle through various communication protocols such as a controller area network (CAN) and a local interconnect network (LIN).

특히, 자율주행 자동차의 경우 일반 차량과는 다르게 운전자의 개입이 적으므로 외부 및 내부에서 발생 가능한 공격에 대한 연구가 필요하다. 자율주행 자동차의 경우 외부 장애물에 대해 스스로 감지하고 회피하는 기술은 상당 부분 개발되고 있고, 이를 더 발전시켜 나가고 있는 중이다. 또한, 다양한 방법으로 도로에 있는 장애물 및 갑작스럽게 들어오는 차량들을 파악하여 이를 미리 회피하는 기술도 개발하고 있는 중이다.In particular, autonomous cars need less research from outside and inside because they have less driver's involvement. In the case of self-driving cars, a lot of techniques for detecting and avoiding obstacles by themselves are being developed, and are being further developed. In addition, various techniques are being developed to identify obstacles on the road and suddenly entering vehicles to avoid them in advance.

대한민국 공개특허 제1998-0038543호 (1998.08.05. 공개)Republic of Korea Patent Publication No. 1998-0038543 (published Aug. 05, 1998) 대한민국 공개특허 제1994-0011939호 (1994.06.22. 공개)Republic of Korea Patent Publication No. 194-0011939 대한민국 공개특허 제2016-0014026호 (2016.02.05. 공개)Republic of Korea Patent Publication No. 2016-0014026 (2016.02.05.published)

본 발명이 이루고자 하는 기술적인 과제는 차량의 이상 징후를 탐지하기 위해 각각의 CAN ID 해석이 요구되지 않는 CAN ID에 비종속적인 이상 징후 탐지 방법 및 장치를 제공하는 것이다.The technical problem to be achieved by the present invention is to provide a method and apparatus for detecting abnormal signs that are not dependent on CAN ID that does not require each CAN ID interpretation to detect abnormal signs of a vehicle.

본 발명의 실시 예에 따른 차량의 이상 징후 탐지 장치는 차량 네트워크에서 순차적으로 발생하는 복수의 메시지들을 수신하는 메시지 수신부, 상기 복수의 메시지들 각각의 ID를 추출하는 ID 추출부, 추출된 복수의 ID들을 이용하여 ID 별 구간 생존율을 산출하는 생존율 산출부 및 산출된 구간 생존율에 기초하여 이상 징후 유무를 판단하는 이상 징후 탐지부를 포함한다.An apparatus for detecting abnormality signs of a vehicle according to an exemplary embodiment of the present invention includes a message receiver configured to receive a plurality of messages sequentially generated in a vehicle network, an ID extractor configured to extract IDs of the plurality of messages, and a plurality of extracted IDs. It includes a survival rate calculation unit for calculating the interval survival rate for each ID by using the abnormality detection unit for determining the presence or absence of abnormal symptoms based on the calculated interval survival rate.

본 발명에 의할 경우, 차량의 제조사와 제조 연도에 따라 다르게 구성되는 CAN 메시지 해석의 어려움을 해결하여, CAN ID 해석이 요구되지 않는 CAN ID에 비종속적인 이상 징후 탐지 기법을 제공할 수 있다.According to the present invention, it is possible to solve the difficulty of interpreting the CAN message configured differently according to the manufacturer and the year of manufacture of the vehicle, it is possible to provide a non-dependent abnormality detection technique for CAN ID that does not require CAN ID analysis.

또한, 차량의 CAN 네트워크에 대한 ID별 생존율을 구하는 것이기 때문에 ID를 가지는 통신 프로토콜의 경우 사용이 가능하며, CAN 네트워크 통신을 사용하는 차량의 경우 차량의 종류에 관계없이 이상 징후를 탐지할 수 있는 효과가 있다.In addition, it is possible to use the communication protocol with ID because the survival rate by ID for the CAN network of the vehicle can be used.In the case of the vehicle using the CAN network communication, the abnormality detection can be detected regardless of the type of vehicle. There is.

또한, 이를 통해 의사결정에 필요한 정보들을 신속하게 처리하고, 운전자 및 동승자에게 현재 차량이 정상인지 비정상인지에 대한 알림 및 차량 관제센터나 차량 관제 회사에 알림을 통해서 현재 차량의 이상 상태 여부에 대한 보다 구체적인 대응이 가능하도록 할 수 있다.In addition, it quickly processes information necessary for decision making, and informs drivers and passengers of whether the vehicle is normal or abnormal, and informs the vehicle control center or the vehicle control company about whether the current vehicle is in an abnormal state. Specific response can be made possible.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 상세한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 시스템을 도시한다.
도 2는 도 1에 도시된 탐지 장치의 기능 블럭도이다.
도 3은 도 2에 도시된 생존율 산출부에 의해 분할된 구간을 설명하기 위한 도면으로, 도 3a는 정상적인 주행에서의 발생하는 CAN ID를, 도 3b는 비정상적인 주행에서 발생하는 CAN ID를 도시한다.
도 4는 청크에 포함되는 CAN ID의 개수를 달리하였을 경우 구간 생존을 도시한 도면으로, 도 4a는 DoS 공격이 있는 경우의 구간 생존율을, 도 4b는 Fuzzing 공격이 있는 경우의 구간 생존율을, 도 4c는 RPM 공격이 있는 경우의 구간 생존율을, 도 4d는 Gear 공격이 있는 경우의 구간 생존율을 도시한다.
도 5는 현대자동차에서 2010년에 제작한 소나타의 CAN ID 주기를 도시한 도면이다.
도 6은 현대자동차의 2010년형 소나타 차량을 대상으로 공격 유형별 탐지 정확도를 측정한 결과를 도시한다.The detailed description of each drawing is provided in order to provide a thorough understanding of the drawings cited in the detailed description of the invention.
1 illustrates a system according to an embodiment of the present invention.
FIG. 2 is a functional block diagram of the detection apparatus shown in FIG. 1.
3 is a view for explaining a section divided by the survival rate calculator shown in FIG. 2, FIG. 3A shows a CAN ID generated in normal driving, and FIG. 3B shows a CAN ID generated in abnormal driving.
4 is a diagram showing interval survival when the number of CAN IDs included in the chunk is different. FIG. 4A is a section survival rate when there is a DoS attack, and FIG. 4B is a section survival rate when there is a fuzzing attack. 4c shows the interval survival rate when there is an RPM attack, and FIG. 4D shows the interval survival rate when there is a gear attack.
5 is a diagram illustrating a CAN ID cycle of a sonata produced in 2010 by Hyundai Motor.
Figure 6 shows the results of measuring the detection accuracy by attack type for the 2010 Sonata vehicle of Hyundai.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.Specific structural or functional descriptions of the embodiments according to the inventive concept disclosed herein are provided only for the purpose of describing the embodiments according to the inventive concept. It may be embodied in various forms and is not limited to the embodiments described herein.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.Embodiments according to the inventive concept may be variously modified and have various forms, so embodiments are illustrated in the drawings and described in detail herein. However, this is not intended to limit the embodiments in accordance with the concept of the invention to the specific forms disclosed, it includes all changes, equivalents, or substitutes included in the spirit and scope of the present invention.

제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1 구성 요소는 제2 구성 요소로 명명될 수 있고 유사하게 제2 구성 요소는 제1 구성 요소로도 명명될 수 있다.Terms such as first or second may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another, for example without departing from the scope of the rights according to the inventive concept, and the first component may be called a second component and similarly the second component. The component may also be referred to as a first component.

어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is said to be "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may exist in the middle. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that no other component exists in the middle. Other expressions describing the relationship between components, such as "between" and "immediately between" or "neighboring to" and "directly neighboring", should be interpreted as well.

본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this specification, terms such as "comprise" or "have" are intended to indicate that there is a feature, number, step, action, component, part, or combination thereof described herein, but one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art, and are not construed in ideal or excessively formal meanings unless expressly defined herein. Do not.

이하, 본 명세서에 첨부된 도면들을 참조하여 본 발명의 실시 예들을 상세히 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명은 자율주행 환경이나 차량 IoT(Internet of Things) 환경에서 발생할 수 있는 비정상적인 차량 상태를 클라이언트 측면에서 탐지하는 방법으로써, 해저드 모델(Hazard Model) 기법을 적용하여 차량 상태에 대한 안전성 여부를 결정할 수 있는 방법을 제시한다.The present invention is a method for detecting an abnormal vehicle state that can occur in an autonomous driving environment or a vehicle Internet of Things (IoT) environment on the client side, and can determine whether the vehicle state is safe by applying a hazard model technique. Present the way.

차량은 차량에 탑재된 여러 차량 부품, 센서들이 서로 통신하기 위해서 CAN(Controller Area Network) 프로토콜을 이용해 통신을 수행한다. CAN 메시지들은 지속적으로 각 센서 및 부품들로부터 생성되어 ECU로 모이게 되며, 이러한 데이터들을 이용해서 차량은 그 기능을 수행해 나간다.The vehicle communicates using a controller area network (CAN) protocol to communicate with various vehicle components and sensors mounted on the vehicle. CAN messages are continuously generated from each sensor and component and collected in the ECU, and with this data the vehicle performs its function.

차량의 상태 정보 및 차량 제어 정보들이 CAN 네트워크를 통해서 차량 내부에 돌아다니는데, 이러한 CAN 메시지들의 이상 여부 및 공격 여부를 탐지하는 것은 차량에 대한 안전성 및 운전자의 안전을 위해 필수적인 요소이다.Vehicle status information and vehicle control information move inside the vehicle through the CAN network. Detecting such CAN messages for abnormalities and attacks is essential for the safety of the vehicle and the driver's safety.

CAN 네트워크에서 전송되는 CAN 메시지는 로 데이터(raw data)의 경우 각 차량의 제조사와 제조 연도마다 상이하며, 차량 안의 부품들마다 생성 및 적용하는 부분이 다르게 구성되어 있다. 즉, 동일한 CAN ID라고 할지라도 차량에 따라 다른 기능을 수행할 수 있다.The CAN message transmitted from the CAN network is different from the manufacturer and the manufacturing year of each vehicle in the case of raw data, and the parts generated and applied to components in the vehicle are configured differently. That is, even the same CAN ID can perform different functions depending on the vehicle.

특히, 자율주행 환경에서는 주행 중 발생하는 CAN 메시지 데이터가 주기적이고 반복적으로 생성될 것이며, 운전자 측면에서 볼 때 수동적이고 소극적인 주행 환경에서는 차량의 상태가 주기적으로 모니터링되고, 이상 징후를 탐지하여 알람을 해주는 즉각적인 시스템이 필요할 것이다.In particular, in autonomous driving environment, CAN message data generated during driving will be generated periodically and repetitively.In passive and passive driving environment from the driver's perspective, the condition of the vehicle is periodically monitored, and abnormal signals are detected and alarmed. You will need an immediate system.

또한, 본 발명에서는 해저드 모델(Hazard Model)을 사용하여 차량의 이상 징후를 탐지한다. 해저드 모델은 생존 기간을 분석하여 생존 함수(Survival function) 또는 생존 곡선(Survival curve)를 추정하는 통계 기법이며, 사건이 일어나는 시간까지의 기간을 대상으로 분석하는 방법이다. 생존 기간과 현재 상태 정보가 필요하며, 여기서 말하는 현재 상태란 생존 기간을 측정한 시점에서 측정하고자 하는 대상이 생존해 있는지 아닌지를 확인하는 것이다.In addition, the present invention detects abnormal signs of the vehicle by using a hazard model (Hazard Model). Hazard model is a statistical technique for estimating the survival function or survival curve by analyzing the survival period, and is a method for analyzing the period until the event occurs. Survival period and current state information are required, and the current state here refers to checking whether the object to be measured is alive at the time point of survival measurement.

생존 함수 또는 생존 곡선을 추정하는 방법은 Life table method, Kaplan-Meier, Cox 비례위험 모델로 세 가지 방법이 존재하지만, 본 발명에서는 Kaplan-Meier 개념을 적용하여 이상 징후를 탐지한다.There are three methods for estimating the survival function or survival curves: life table method, Kaplan-Meier, and Cox proportional hazard model. However, in the present invention, the Kaplan-Meier concept is applied to detect abnormal symptoms.

Kaplan-Meier 추정 방법을 통해서 관찰 기간(시간 혹은 청크 단위)의 순서대로 자료를 정리한 뒤 관찰 대상 수 중 생존자수의 비율로 수학식 1과 같은 구간 생존율(

Figure 112017123351850-pat00001
)을 측정할 수 있다.The Kaplan-Meier estimation method is used to organize the data in the order of observation period (time or chunks), and then, as the ratio of the survivors among the number of observations,
Figure 112017123351850-pat00001
) Can be measured.

Figure 112017123351850-pat00002
Figure 112017123351850-pat00002

차량이 정상적으로 주행하고 있는 상태인 경우, 주행 시에 발생하는 개별 CAN ID의 생존 확률은 대부분 일정하게 유지되지만, 차량 주행 중 DoS(Denial of Service) 공격, Fuzzing 공격, Spoofing 공격이 발생했을 경우에는 데이터의 생존 확률이 변화하는 패턴이 발생한다.When the vehicle is running normally, the survival probability of individual CAN IDs generated while driving is mostly kept constant.However, when DoS (Denial of Service), Fuzzing, and Spoofing attacks occur while driving, The pattern of change in the probability of survival occurs.

CAN 프로토콜을 사용하는 차량 내부에서 발생 가능한 공격 유형은 표 1과 같다.Table 1 shows the types of attacks that can occur inside a vehicle using the CAN protocol.

공격 유형Attack type 내용Contents DoSDoS ·DoS 공격은 차량 내 CAN 버스에 할당된 자원을 모두 점유하여 차량 내 ECU 사이의 통신을 제한하고 정상적인 주행을 방해하는 공격 차량의 본래 기능을 수행하기 위한 CAN 메시지의 전달을 지연시키거나 차단시킴
·CAN 메시지의 Arbitration ID를 0 혹은 대상 차량에서 사용되는 값보다 낮게 설정하여 CAN 메시지를 무제한으로 차량에 주입DoS attacks occupy all resources allocated to the in-vehicle CAN bus, limiting communication between ECUs in the vehicle and delaying or blocking the transmission of CAN messages to perform the original functions of the attacking vehicle that hinder normal operation.
Inject CAN messages into the vehicle indefinitely by setting the Arbitration ID of the CAN message to 0 or lower than the value used in the target vehicle. Fuzzing AttackFuzzing attack ·CAN 메시지에 포함될 Arbitration ID, data, DLC를 매번 임의로 결정하여 차량으로 송신
·Injection messages of totally random CAN ID and DATA values every 0.5 milliseconds.Arbitration ID, data, and DLC to be included in the CAN message are randomly determined each time and sent to the vehicle
Injection messages of totally random CAN ID and DATA values every 0.5 milliseconds. Spoofing Attack
(RPM/Gear)Spoofing attack
(RPM / Gear) ·Injecting messages of certain CAN ID related to RPM/gear information every 1 millisecond.Injecting messages of certain CAN ID related to RPM / gear information every 1 millisecond.

도 1은 본 발명의 일 실시 예에 따른 시스템을 도시한다.1 illustrates a system according to an embodiment of the present invention.

도 1을 참조하면, 차량 시스템일 수 있는 시스템(10)은 복수의 ECU(Electronic Control Unit, ECUA 내지 ECU D)들과 탐지 장치(100)를 포함한다. 각각의 ECU들(ECUA 내지 ECUD) 또는 탐지 장치(100)는 CAN(Controller Area Network)를 통해 통신할 수 있다. 즉, 각각의 ECU들(ECUA 내지 ECUD) 또는 탐지 장치(100)는 CAN 버스에 CAN 메시지를 브로드캐스팅함으로써 메시지 또는 데이터를 주고 받을 수 있다. 또한, 시스템(10)에 포함되는 ECU의 개수에 본 발명의 권리범위가 제한되는 것이 아님은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명할 것이다.Referring to FIG. 1, a system 10, which may be a vehicle system, includes a plurality of ECUs (Electronic Control Units, ECUA through ECU D), and a detection device 100. Each of the ECUs ECUA to ECUD or the detection device 100 may communicate through a controller area network (CAN). That is, each ECU (ECUA to ECUD) or the detection device 100 may send or receive a message or data by broadcasting a CAN message on a CAN bus. In addition, it will be apparent to those skilled in the art that the scope of the present invention is not limited to the number of ECUs included in the system 10.

탐지 장치(100)는 CAN 버스를 통해 브로드캐스트되는 CAN 메시지들을 수신하고, CAN 메시지들 각각의 CAN ID를 이용하여 차량의 이상 징후를 탐지할 수 있다. 도 1에는 ECU로 구현된 탐지 장치(100)가 도시되어 있으나, 실시 예에 따라 탐지 장치(100)는 별도의 장치로 구현될 수 있고, OBD-2(On Board Diagnostics-2) 단자를 통해 CAN 메시지를 수신할 수도 있다.The detection apparatus 100 may receive CAN messages broadcast through the CAN bus and detect abnormal signs of the vehicle by using CAN IDs of the CAN messages. 1 illustrates a detection device 100 implemented as an ECU, but according to an embodiment, the detection device 100 may be implemented as a separate device, and may be implemented through an OBD-2 (On Board Diagnostics-2) terminal. You can also receive a message.

또한, 시스템(10)은 CAN 네트워크 시스템에 제한되는 것은 아니며, 실시 예에 따라 시스템(10)에서 사용되는 통신 프로토콜 또는 네트워크는 플렉스레이(FlexRay), 린(Local Interconnect Network, LIN), CAN FD(Flexible Data) 또는 모스트(Media Oriented Systems Transport, MOST)일 수도 있다. 이 경우, 탐지 장치(100)는 각각의 네트워크에서 발생하는 메시지의 ID를 추출함으로써 차량의 이상 징후 또는 차량 네트워크의 이상 징후를 탐지할 수 있다.In addition, the system 10 is not limited to a CAN network system, and according to an embodiment, a communication protocol or a network used in the system 10 may be a FlexRay, a local interconnect network (LIN), or a CAN FD ( Flexible Data) or Most (Media Oriented Systems Transport, MOST). In this case, the detection apparatus 100 may detect an abnormal indication of a vehicle or an abnormal indication of a vehicle network by extracting an ID of a message generated from each network.

도 2는 도 1에 도시된 탐지 장치의 기능 블럭도이다.FIG. 2 is a functional block diagram of the detection apparatus shown in FIG. 1.

도 1과 도 2를 참조하면, 탐지 장치(100)는 메시지 수신부(110), ID 추출부(130), 생존율 산출부(150) 및 이상 징후 탐지부(170)를 포함한다. 실시 예에 따라 탐지 장치(100)는 저장부(190)를 더 포함할 수 있다.1 and 2, the detection apparatus 100 includes a message receiver 110, an ID extractor 130, a survival rate calculator 150, and an abnormality indication detector 170. According to an embodiment, the detection apparatus 100 may further include a storage 190.

메시지 수신부(110) CAN 버스를 통해 브로드캐스트되는 복수의 CAN 메시지들을 수신할 수 있다. 메시지 수신부(110)는 CAN 버스에 직접 접속되어 상기 복수의 CAN 메시지들을 수신하거나, OBD-2 단자를 통해 상기 복수의 CAN 메시지들을 수신할 수 있다. 메시지 수신부(110)에 의해 수신된 복수의 CAN 메시지들을 저장부(190)에 저장될 수 있다.The message receiver 110 may receive a plurality of CAN messages broadcast through the CAN bus. The message receiving unit 110 may be directly connected to a CAN bus to receive the plurality of CAN messages, or may receive the plurality of CAN messages through an OBD-2 terminal. The plurality of CAN messages received by the message receiver 110 may be stored in the storage 190.

ID 추출부(130)는 메시지 수신부(110)에 의해 수신된 복수의 메시지들 또는 저장부(190)에 저장된 복수의 메시지들 각각의 CAN ID를 추출할 수 있다. ID 추출부(130)에 의해 추출된 ID는 저장부에 저장될 수 있다.The ID extractor 130 may extract a CAN ID of each of the plurality of messages received by the message receiver 110 or the plurality of messages stored in the storage 190. The ID extracted by the ID extractor 130 may be stored in the storage.

생존율 산출부(150)는 순차적으로 발생한 CAN ID 또는 순차적으로 브로드캐스팅된 CAN ID를 미리 정해진 구간으로 분할하고, 분할된 구간에서 미리 정해진 적어도 하나의 CAN ID 각각의 구간 생존율(

Figure 112017123351850-pat00003
)을 산출할 수 있다. 생존율 산출부(150)에 의해 산출된 각 CAN ID의 구간 생존율(
Figure 112017123351850-pat00004
)은 저장부(190)에 저장될 수 있다. 생존율 산출부(150)의 구체적인 동작은 후술하기로 한다.The survival rate calculator 150 divides sequentially generated CAN IDs or sequentially broadcast CAN IDs into predetermined sections, and in each of the divided sections, the survival rate of each of at least one CAN ID predetermined (
Figure 112017123351850-pat00003
) Can be calculated. The interval survival rate of each CAN ID calculated by the survival rate calculation unit 150 (
Figure 112017123351850-pat00004
) May be stored in the storage 190. The detailed operation of the survival rate calculator 150 will be described later.

이상 징후 탐지부(170)는 산출된 CAN ID 각각의 구간 생존율(

Figure 112017123351850-pat00005
)에 기초하여 차량의 이상 징후 여부(또는 차량 네트워크의 이상 징후 여부)를 탐지할 수 있다. 구체적으로, CAN ID의 미리 정해진 범위를 벗어나는 경우 차량에 이상 징후가 발생한 것으로 판단할 수 있다. 일 예로, CAN ID "4f0"의 구간 생존율이 0.1~0.3을 벗어나는 경우 이상 징후로 판단할 수 있다.The abnormal symptom detection unit 170 calculates the interval survival rate of each calculated CAN ID (
Figure 112017123351850-pat00005
) Can detect whether the vehicle has an abnormality (or whether the vehicle network has an abnormality). In detail, when it is out of the predetermined range of the CAN ID, it may be determined that an abnormal symptom occurs in the vehicle. For example, when the interval survival rate of the CAN ID "4f0" is more than 0.1 ~ 0.3 may be determined as an abnormal symptom.

또한, 이상 징후 탐지부(170)는 차량에 이상 징후가 발생한 경우 알림 메시지를 전송할 수도 있다. 실시 예에 따라 이상 징후 탐지부는 상기 알림 메시지를 CAN 버스를 통해 브로드캐스트하거나, 별도의 유무선 통신망을 통하여 별도의 서버로 송신할 수도 있다. 또한, 개별 CAN ID의 구간 생존율에 기초하여 차량의 이상 징후를 판단하기 때문에, 어떤 CAN ID에서 문제가 발생했는지에 대해서 구체적으로 경고 메시지를 제공할 수 있다.In addition, the abnormal symptom detection unit 170 may transmit a notification message when the abnormal symptom occurs in the vehicle. According to an embodiment, the anomaly detection detector may broadcast the notification message through a CAN bus or transmit it to a separate server through a separate wired / wireless communication network. In addition, since the abnormal signs of the vehicle are determined based on the interval survival rate of the individual CAN ID, a warning message may be specifically provided as to which CAN ID a problem occurs.

저장부(190)에는 메시지 수신부(110)에 의해 수신된 복수의 CAN 메시지들, ID 추출부(130)에 의해 추출된 복수의 CAN ID들 및/또는 생존율 산출부(150)에 의해 산출된 각 CAN ID의 구간 생존율이 저장될 수 있다.The storage 190 includes a plurality of CAN messages received by the message receiving unit 110, a plurality of CAN IDs extracted by the ID extracting unit 130, and / or each calculated by the survival rate calculating unit 150. The interval survival rate of the CAN ID may be stored.

도 2에 도시된 탐지 장치(100)의 구성들 각각은 기능 및 논리적으로 분리될 수 있음으로 나타내는 것이며, 반드시 각각의 구성이 별도의 물리적 장치로 구분되거나 별도의 코드로 작성됨을 의미하는 것이 아님을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.Each of the components of the detection apparatus 100 illustrated in FIG. 2 is represented as being functionally and logically separated, and does not necessarily mean that each component is divided into separate physical devices or written in separate codes. The average expert in the art will be able to reason easily.

또한, 본 명세서에서 "~부"라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 "~부"는 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것이 아니다.In addition, in the present specification, "~ part" may mean a functional and structural combination of hardware for performing the technical idea of the present invention and software for driving the hardware. For example, the term "~ part" may mean a logical unit of a predetermined code and a hardware resource for performing the predetermined code, and does not necessarily mean a physically connected code or a kind of hardware. .

도 3은 도 2에 도시된 생존율 산출부에 의해 분할된 구간을 설명하기 위한 도면으로, 도 3a는 정상적인 주행에서의 발생하는 CAN ID를, 도 3b는 비정상적인 주행에서 발생하는 CAN ID를 도시한다.3 is a view for explaining a section divided by the survival rate calculator shown in FIG. 2, FIG. 3A shows a CAN ID generated in normal driving, and FIG. 3B shows a CAN ID generated in abnormal driving.

도 1 내지 도 3을 참조하면, 생존율 산출부(150)는 순차적으로 발생(또는 브로드캐스팅 또는 수신)되는 복수의 CAN 메시지(또는 CAN ID)가 미리 정해진 개수만큼 포함되도록 청크를 설정할 수 있다. 여기서 말하는 청크는 미리 정해진 CAN ID가 포함되는 구간을 의미하는 것으로 각 청크별 마다 시간 주기는 상이할 수 있다.1 to 3, the survival rate calculator 150 may set the chunk to include a predetermined number of CAN messages (or CAN IDs) that are sequentially generated (or broadcast or received). Herein, the chunk refers to a section including a predetermined CAN ID, and the time period may be different for each chunk.

일 예로, 생존율 산출부(150)는 20개의 CAN ID가 포함되도록 구간, 즉 청크를 설정할 수 있다. 이때, 도 3에서 각 청크는 CAN ID를 중복하여 포함하지 않도록 설정되었으나, 실시 예에 따라 임의의 청크와 이전 청크가 미리 정해진 비율 또는 미리 정해진 개수의 CAN ID를 중복하여 포함하도록 각 청크를 설정할 수도 있다.As an example, the survival rate calculator 150 may set a section, that is, a chunk, to include 20 CAN IDs. In this case, in FIG. 3, each chunk is set not to include CAN IDs redundantly. However, according to an embodiment, each chunk may be set such that an arbitrary chunk and a previous chunk overlap a predetermined ratio or a predetermined number of CAN IDs. have.

다른 예로, 생존율 산출부(150)는 시간을 기준으로 구간을 설정할 수 있다. 구체적으로 생존율 산출부(150)는 a(a는 0 이상의 실수) 초를 주기로 갖도록 구간을 설정할 수 있다. 이 경우, 각 구간에 포함되는 CAN ID의 개수는 서로 상이할 수 있다. 이때에도 임의의 구간은 이전 구간과 미리 정해진 비율 또는 미리 정해진 시간이 중복되도록 각 구간을 설정할 수도 있다. As another example, the survival rate calculator 150 may set a section based on time. In detail, the survival rate calculator 150 may set a section to have a (a is a real number of 0 or more) seconds. In this case, the number of CAN IDs included in each section may be different from each other. In this case, each section may be set so that a predetermined section or a predetermined time overlaps with the previous section.

또한, 생존율 산출부(150)는 각 구간에서 미리 정해진 적어도 하나의 CAN ID의 구간 생존율을 산출할 수 있다.In addition, the survival rate calculator 150 may calculate a section survival rate of at least one CAN ID predetermined in each section.

정상적인 주행의 경우(도 3a), 제1 청크(chunk1) 내지 제4 청크(chunk4)에서 CAN ID "4f0"의 구간 생존율을 다음과 같다.In the case of normal driving (FIG. 3A), the interval survival rate of the CAN ID "4f0" in the first chunk (chunk1) to the fourth chunk (chunk4) is as follows.

chunk1에서 CAN ID 4f0의 구간 생존율 P(t) = 5 / 20 = 0.25Interval survival rate P (t) of CAN ID 4f0 on chunk1 = 5/20 = 0.25

chunk2에서 CAN ID 4f0의 구간 생존율 P(t) = 5 / 20 = 0.25Interval survival rate P (t) of CAN ID 4f0 on chunk2 = 5/20 = 0.25

chunk3에서 CAN ID 4f0의 구간 생존율 P(t) = 4 / 20 = 0.2Interval survival rate P (t) of CAN ID 4f0 on chunk3 = 4/20 = 0.2

chunk4에서 CAN ID 4f0의 구간 생존율 P(t) = 4 / 20 = 0.2Interval survival rate P (t) of CAN ID 4f0 on chunk4 = 4/20 = 0.2

상술한 바와 같이, 정상적인 주행에서의 CAN ID의 구간 생존율은 일정하게 유지되나, DoS와 같은 주입 공격이 이루어졌을 경우에는 이와는 다른 구간 생존율을 보인다.As described above, the interval survival rate of the CAN ID in normal driving is kept constant, but when the injection attack such as DoS is performed, the interval survival rate is different.

비정상적인 주행의 경우(도 3b), 제1 청크(chunk1) 내지 제4 청크(chunk4)에서 CAN ID "4f0"의 구간 생존율은 다음과 같다.In the case of abnormal driving (FIG. 3B), the interval survival rate of the CAN ID "4f0" in the first chunk (chunk1) to the fourth chunk (chunk4) is as follows.

chunk1에서 CAN ID 4f0의 구간 생존율 P(t) = 5 / 20 = 0.25Interval survival rate P (t) of CAN ID 4f0 on chunk1 = 5/20 = 0.25

chunk2에서 CAN ID 4f0의 구간 생존율 P(t) = 5 / 20 = 0.25Interval survival rate P (t) of CAN ID 4f0 on chunk2 = 5/20 = 0.25

chunk3에서 CAN ID 4f0의 구간 생존율 P(t) = 1 / 20 = 0.05Interval survival rate P (t) of CAN ID 4f0 on chunk3 = 1/20 = 0.05

chunk4에서 CAN ID 4f0의 구간 생존율 P(t) = 1 / 20 = 0.05Interval survival rate P (t) of CAN ID 4f0 at chunk4 = 1/20 = 0.05

도 4는 청크에 포함되는 CAN ID의 개수를 달리하였을 경우 구간 생존을 도시한 도면으로, 도 4a는 DoS 공격이 있는 경우의 구간 생존율을, 도 4b는 Fuzzing 공격이 있는 경우의 구간 생존율을, 도 4c는 RPM 공격이 있는 경우의 구간 생존율을, 도 4d는 Gear 공격이 있는 경우의 구간 생존율을 도시한다.4 is a diagram showing interval survival when the number of CAN IDs included in the chunk is different. FIG. 4A is a section survival rate when there is a DoS attack, and FIG. 4B is a section survival rate when there is a fuzzing attack. 4c shows the interval survival rate when there is an RPM attack, and FIG. 4D shows the interval survival rate when there is a gear attack.

실제 차량에 가해진 공격 유형에 따라 구간 생존율이 다르게 나타나는 것을 확인하였다. 하나의 청크를 100개의 CAN ID로 구분하였을 때, 각 공격에 해당되는 CAN ID의 구간 생존율을 총 300개까지 순차적으로 측정하였다.It was confirmed that the section survival rate varies depending on the type of attack on the actual vehicle. When one chunk was divided into 100 CAN IDs, the survival rate of each section of the CAN ID corresponding to each attack was measured sequentially up to 300.

도 4a를 참조하면, CAN ID "0000"으로 DoS 공격을 시행하였을 때 CAN ID "04f0"의 생존율(빨강색)과 공격이 없을 때 CAN ID "04f0"의 생존율(회색)이 명확하게 차이남을 알 수 있다.Referring to FIG. 4A, when DoS attacks are performed with CAN ID "0000", the survival rate (red) of CAN ID "04f0" and the survival rate (gray) of CAN ID "04f0" when there is no attack clearly differ. Can be.

도 4b를 참조하면, Fuzzing 공격을 시행하였을 때 CAN ID "04f0"의 생존율(빨강색)과 공격이 없을 때 CAN ID "04f0"의 생존율(회색)이 명확하게 차이남을 알 수 있다.Referring to FIG. 4B, it can be seen that the survival rate (red) of CAN ID “04f0” when the fuzzing attack is performed and the survival rate (grey) of CAN ID “04f0” when there is no attack are clearly different.

도 4c를 참조하면, CAN ID "0316"으로 RPM 공격을 시행하였을 때 CAN ID "0316"의 생존율(빨강색)과 공격이 없을 때 CAN ID "0316"의 생존율(회색)이 명확하게 차이남을 알 수 있다.Referring to FIG. 4c, it can be seen that the survival rate (red) of CAN ID "0316" and the survival rate (grey) of CAN ID "0316" when there is no attack when RPM RPM is performed with CAN ID "0316" are clearly different. Can be.

도 4d를 참조하면, CAN ID "0329"으로 Gear 공격을 시행하였을 때 CAN ID "0329"의 생존율(빨강색)과 공격이 없을 때 CAN ID "0329"의 생존율(회색)이 명확하게 차이남을 알 수 있다.Referring to FIG. 4D, it can be seen that the survival rate (red) of CAN ID "0329" and the survival rate (gray) of CAN ID "0329" when there is no attack when Gear attack is performed with CAN ID "0329" are clearly different. Can be.

CAN 메시지 주기는 CAN ID 번호가 낮을수록 우선 순위가 높다. 우선 순위가 높다는 것은 브로드캐스트(broadcast) 지향의 통신 프로토콜인 CAN에서 우선 순위가 높은 CAN ID가 먼저 실행이 된다는 의미이다. 현대자동차에서 2010년에 제작한 소나타의 CAN ID 주기를 도시한 도 5를 살펴보면, 일부 CAN ID(690, 5a0, 5a2, 5f0 등)를 제외하고 주기가 매우 일정함을 알 수 있다. 이러한 CAN ID 주기의 일정성에 착안하여 본 발명의 발명자는 CAN ID의 구간 생존율만을 가지고 차량의 이상 징후를 탐지할 수 있는 방안을 제시하였다.The lower the CAN ID number, the higher the CAN message cycle. Higher priority means that the higher priority CAN ID is executed first in CAN, a broadcast-oriented communication protocol. Referring to FIG. 5, which illustrates the CAN ID cycle of the Sonata manufactured by Hyundai Motor in 2010, it can be seen that the cycle is very constant except for some CAN IDs (690, 5a0, 5a2, 5f0, etc.). In view of the constantity of the CAN ID period, the inventors of the present invention have proposed a method of detecting abnormal signs of the vehicle only with the interval survival rate of the CAN ID.

현대자동차의 2010년형 소나타 차량을 대상으로 공격 유형별 탐지 정확도를 측정한 결과를 도시한 도 6을 참조하면, 본 발명에 의할 경우 매우 높은 정확도를 제공함을 알 수 있다.Referring to FIG. 6, which shows the result of measuring the detection accuracy of each type of attack on a 2010 Sonata vehicle of Hyundai Motor, it can be seen that the present invention provides very high accuracy.

본 발명은 도면에 도시된 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.Although the present invention has been described with reference to the embodiments illustrated in the drawings, this is merely exemplary, and it will be understood by those skilled in the art that various modifications and equivalent other embodiments are possible. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

10 : 시스템
100 : 탐지 장치
110 : 메시지 수신부
130 : ID 추출부
150 : 생존율 산출부
170 : 이상 징후 탐지부
190 : 저장부10: system
100: detection device
110: message receiving unit
130: ID extraction unit
150: survival rate calculation unit
170: anomaly detection unit
190: storage unit

Claims (7)

차량 네트워크에서 순차적으로 발생하는 복수의 메시지들을 수신하는 메시지 수신부;
상기 복수의 메시지들 각각의 ID를 추출하는 ID 추출부;
추출된 복수의 ID들을 이용하여 ID 별 구간 생존율을 산출하는 생존율 산출부; 및
산출된 구간 생존율에 기초하여 이상 징후 유무를 판단하는 이상 징후 탐지부를 포함하고,
상기 생존율 산출부는 상기 복수의 ID들을 미리 정해진 구간으로 분할하고, 분할된 구간 각각에서 미리 정해진 적어도 하나의 ID의 구간 생존율을 산출하고,
상기 생존율 산출부는 연속되는 두 개의 구간에 미리 정해진 비율의 ID들 또는 미리 정해진 개수의 ID들이 중복하여 포함되도록 구간을 분할하는,
차량의 이상 징후 탐지 장치.
A message receiver configured to receive a plurality of messages sequentially generated in the vehicle network;
An ID extracting unit for extracting IDs of each of the plurality of messages;
A survival rate calculator for calculating interval survival rates for each ID using the extracted plurality of IDs; And
An abnormal indication detection unit for determining the presence or absence of abnormal signs based on the calculated interval survival rate,
The survival rate calculator divides the plurality of IDs into a predetermined section, calculates a section survival rate of at least one ID in each of the divided sections,
The survival rate calculating unit divides the intervals such that a plurality of IDs or a predetermined number of IDs are overlapped in two consecutive sections.
Anomaly detection device of a vehicle.
제1항에 있어서,
상기 차량 네트워크는 CAN(Controller Area Network)이고,
상기 복수의 메시지들 각각은 CAN 메시지인,
차량의 이상 징후 탐지 장치.
The method of claim 1,
The vehicle network is a controller area network (CAN),
Each of the plurality of messages is a CAN message,
Anomaly detection device of a vehicle.
삭제delete 제1항에 있어서,
상기 생존율 산출부는 분할된 각 구간이 동일한 시간 주기를 갖도록 상기 복수의 ID들을 분할하는,
차량의 이상 징후 탐지 장치.
The method of claim 1,
The survival rate calculator divides the plurality of IDs so that each divided section has the same time period.
Anomaly detection device of a vehicle.
제1항에 있어서,
상기 생존율 산출부는 분할된 각 구간에 동일한 개수의 ID가 포함되도록 상기 복수의 ID들을 분할하는,
차량의 이상 징후 탐지 장치.
The method of claim 1,
The survival rate calculating unit divides the plurality of IDs so that the same number of IDs are included in each divided section,
Anomaly detection device of a vehicle.
제1항에 있어서,
상기 이상 징후 탐지부는 산출된 구간 생존율이 미리 정해진 범위를 벗어나는 경우에 이상 징후가 발생한 것으로 판단하는,
차량의 이상 징후 탐지 장치.
The method of claim 1,
The abnormal symptom detection unit determines that an abnormal symptom occurs when the calculated interval survival rate is out of a predetermined range,
Anomaly detection device of a vehicle.
제1항에 있어서,
상기 차량 네트워크는 CAN FD(Flexible Data), FlexRay, LIN(Local Interconnect Network) 또는 MOST(Media Oriented Systems Transport)인,
차량의 이상 징후 탐지 장치.The method of claim 1,
The vehicle network is CAN FD (Flexible Data), FlexRay, LIN (Local Interconnect Network) or MOST (Media Oriented Systems Transport),
Anomaly detection device of a vehicle.
KR1020170169765A 2016-12-09 2017-12-11 Device for detecting anomaly of vehicle networks based on hazard model KR102011020B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020160167497 2016-12-09
KR20160167497 2016-12-09

Publications (2)

Publication Number Publication Date
KR20180067446A KR20180067446A (en) 2018-06-20
KR102011020B1 true KR102011020B1 (en) 2019-08-16

Family

ID=62769921

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170169765A KR102011020B1 (en) 2016-12-09 2017-12-11 Device for detecting anomaly of vehicle networks based on hazard model

Country Status (1)

Country Link
KR (1) KR102011020B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011138194A (en) * 2009-12-25 2011-07-14 Sony Corp Information processing device, information processing method, and program
KR101638613B1 (en) * 2015-04-17 2016-07-11 현대자동차주식회사 In-vehicle network intrusion detection system and method for controlling the same

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR950011837B1 (en) 1992-11-30 1995-10-11 삼성중공업주식회사 Diagnosis apparatus for automobile test
KR19980038543A (en) 1996-11-26 1998-08-05 김영귀 Engine coolant temperature abnormality alarm of vehicle
JP5987811B2 (en) 2013-06-04 2016-09-07 株式会社デンソー Abnormality judgment device for vehicle
KR101720687B1 (en) * 2014-05-27 2017-03-28 한국전자통신연구원 Wireless Sensor Network System for Vehicle and Method Operating Thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011138194A (en) * 2009-12-25 2011-07-14 Sony Corp Information processing device, information processing method, and program
KR101638613B1 (en) * 2015-04-17 2016-07-11 현대자동차주식회사 In-vehicle network intrusion detection system and method for controlling the same

Also Published As

Publication number Publication date
KR20180067446A (en) 2018-06-20

Similar Documents

Publication Publication Date Title
US10992688B2 (en) Unauthorized activity detection method, monitoring electronic control unit, and onboard network system
US11380197B2 (en) Data analysis apparatus
CN112204578B (en) Detecting data anomalies on a data interface using machine learning
US20210034745A1 (en) Security system and methods for identification of in-vehicle attack originator
US20190312892A1 (en) Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof
JP2017111796A5 (en)
EP3805928A1 (en) Analyzing device, analysis system, analysis method, and program
US11178164B2 (en) Data analysis apparatus
US11528325B2 (en) Prioritizing data using rules for transmission over network
RU2018111478A (en) System and method for creating rules
CN111492361A (en) System and method for side-channel based network attack detection
KR20190119514A (en) On-board cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof
US11621967B2 (en) Electronic control unit, electronic control system, and recording medium
CN111447166B (en) Vehicle attack detection method and device
CN104731667A (en) Apparatus and method for monitoring multiple micro-cores
CN109845219B (en) Authentication device for a vehicle
US11863574B2 (en) Information processing apparatus, anomaly analysis method and program
KR101995903B1 (en) Device for verifying status and detecting anomaly of vehicle and system having the same
JP2010093676A (en) Gateway device, vehicle network, and one-side breaking detection method
KR20160062259A (en) Method, system and computer readable medium for managing abnormal state of vehicle
KR102011020B1 (en) Device for detecting anomaly of vehicle networks based on hazard model
US20220019662A1 (en) Log management device and center device
CN108965234A (en) Method for protecting network to prevent network attack
CN116686018A (en) System for detecting a condition of a vehicle component
US11084495B2 (en) Monitoring apparatus, monitoring method, and program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant