CN109076011B - 中继装置 - Google Patents
中继装置 Download PDFInfo
- Publication number
- CN109076011B CN109076011B CN201680084503.9A CN201680084503A CN109076011B CN 109076011 B CN109076011 B CN 109076011B CN 201680084503 A CN201680084503 A CN 201680084503A CN 109076011 B CN109076011 B CN 109076011B
- Authority
- CN
- China
- Prior art keywords
- message
- unit
- instruction
- database
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种中继装置(13),其特征在于,所述中继装置(13)具有:接收部(201),其接收指示;模糊测试检测部(202),其检测接收部(201)接收到的指示中的不正常指示;伪装动作决定部(204),其决定与模糊测试检测部(202)检测到的不正常指示对应的伪装动作;以及指示生成部(206),其生成与伪装动作决定部(204)决定的伪装动作对应的指示。
Description
技术领域
本发明涉及搭载于汽车或车辆等上的中继装置。
背景技术
近年来,针对嵌入信息处理设备搜索唤起脆弱性的操作的脆弱性搜索攻击(模糊测试,Fuzzing)的事例有所增加。此前,将智能手机和游戏设备等作为对象进行改造以使得能够利用不正常复制的软件的事例等成为问题,但是,今后,预测到汽车用车载设备和工厂自动化设备也成为其对象。
进而,由于物联网(Internet of things(IoT))的普及,这些设备与互联网上的服务器“连接”的机会增加,因此,从所有场所搜索脆弱性的危险性进一步变高。
并且,汽车用车载设备和工厂自动化设备的代码量年年增加,今后也由于追加更多功能而使代码复杂化,因此,以完全排除脆弱性的状态投入市场是极其困难的。
针对这种问题,在专利文献1中,预先定义设备的正常状态(白名单),利用将从白名单偏离的部分作为攻击的异常型侵入检测技术进行检测。
与其相反地,在非专利文献1中,对已知的攻击步骤进行规则化(黑名单),利用将与黑名单一致的部分作为攻击的签名型侵入检测技术进行检测。
并且,在专利文献2中,在检测到模糊测试的情况下,向管理者等报告搜索到脆弱性的情况,或者对作为搜索到脆弱性的对象的设备进行功能限制。
现有技术文献
专利文献
专利文献1:日本特开2013-232716号公报
专利文献2:日本特开2013-131907号公报
非专利文献
非专利文献1:山田明、三宅优、竹森敬祐、田中俊昭著“学習データを自動生成する未知攻撃検知システム”信息处理学会论文集、vol.46、No.8 2005年8月
非专利文献2:TCG、“TPM 2.0Automotive Thin Profile”、[online]、2015年3月、[平成27年12月23日检索]、互联网<http://www.trustedcomputinggroup.org/files/static_page_files/72EC6BF8-1A4B-B294-D07BBA4AE8F4A04F/TCG%20TPM%202.0%20Automotive-Thin%20Profile_v1.0.pdf>
发明内容
发明要解决的课题
将本发明作为对象的嵌入信息处理设备包含汽车或工厂的生产系统等。这些嵌入信息处理设备与使用者的安全相关联,因此,多数情况下限制了针对模糊测试的应对方针策略。即,不容许由于针对模糊测试的应对方针策略而突然无法使用嵌入信息处理设备、或者妨碍使用者的安全。这意味着在执行了模糊测试时,进行作为对象的设备的功能限制也不一定安全。
并且,嵌入信息处理设备可能在包含离线状态在内的所有状况下受到模糊测试。例如是工厂位于无法远程监视的地域的情况、汽车在网络服务区外行驶的情况等。
在非专利文献1所记载的签名型侵入检测技术中,存在无法应对未知攻击这样的课题。
在专利文献2中,在检测到模糊测试的情况下,向管理者等报告执行了模糊测试的情况,或者对作为模糊测试对象的设备进行功能限制。但是,嵌入信息处理设备不一定始终能够进行远程监视,因此,存在不能迅速向管理者等进行报告这样的课题。
进而,在要执行模糊测试的攻击者持有嵌入信息处理设备的情况下,容易使自身保有的嵌入信息处理设备成为离线状态,或者不仅与特定服务器连接。
并且,由于用户安装软件等,嵌入信息处理设备要处理的信息可能变化。
在专利文献1所记载的异常型模糊测试检测方法中,存在这样在嵌入信息处理设备要处理的信息变化的情况下产生误检测这样的课题。
用于解决课题的手段
本发明提供一种中继装置,其特征在于,所述中继装置具有:接收部,其接收指示;模糊测试检测部,其检测所述指示中的不正常指示;伪装动作决定部,其决定与所述不正常指示对应的伪装动作;以及指示生成部,其生成与所述伪装动作对应的指示。
发明效果
根据本发明,能够不容易使进行模糊测试攻击的攻击者发现脆弱性。
附图说明
图1是示出将本发明应用于车载网络系统的情况下的系统结构的一例的框图。
图2是示出实施方式1的中继装置的功能结构的一例的框图。
图3是本实施方式1的消息的结构的一例。
图4是示出实施方式1的模糊测试检测数据库的例子的图。
图5是示出实施方式1的诱骗动作数据库的例子的图。
图6是实施方式1的中继装置的硬件结构图。
图7是示出本来应该存在的应用的安装的一例的流程图。
图8是示出不包含脆弱性的应用的安装的一例的伪代码。
图9是示出本来的安装中假设的消息的一例的图。
图10是示出包含脆弱性的应用的安装的一例的流程图。
图11是示出包含脆弱性的应用的安装的一例的伪代码。
图12是示出要搜索脆弱性时发送的消息的一例的图。
图13是实施方式1的中继装置的动作的流程图。
图14是示出实施方式2的中继装置的功能结构的一例的框图。
图15是示出实施方式2的诱骗动作数据库的例子的图。
图16是实施方式2的中继装置的动作的流程图。
图17是示出实施方式3的中继装置的功能结构的一例的框图。
图18是示出实施方式3的触发数据库的例子的图。
图19是示出实施方式3的中继装置的动作的流程图。
图20是示出实施方式4的中继装置的功能结构的一例的框图。
图21是示出实施方式4的中继装置的动作的流程图。
图22是示出实施方式5的中继装置的功能结构的一例的框图。
图23是示出实施方式5的中继装置的动作的流程图。
具体实施方式
实施方式1
图1是示出本实施方式中的系统结构的框图。
在图1中,1是汽车,2是数据中心。另外,在本实施方式中,对在汽车1上安装有具有多个车载设备的车载网络系统10的情况进行说明。
数据中心2由正常应用21、不正常应用22、天线23构成。
正常应用21是发送用于对车载网络系统10的车载设备进行控制的指示(消息)的应用。
不正常应用22与正常应用21同样,是发送用于对车载网络系统10的车载设备进行控制的消息的应用,但是,不同之处在于用于供攻击者搜索车载网络系统10的脆弱性。
在本发明中,将用于搜索脆弱性的消息称为不正常消息(不正常指示)。
另外,不正常应用22本来不能存在于数据中心2中,但是,假设蒙混数据中心2的运营者对应用的审查的情况。例如,在智能手机的应用审查等中,可能在多个应用发布站点中登记不正常应用,这是公知的事实,在本申请中也假设同样的情况。
天线23利用电磁波输出从正常应用21或不正常应用22发送的消息。
车载网络系统10由天线11、车载网络12、中继装置13、控制装置14、控制装置15、头灯16、室内灯17、空调18构成。
天线11接收来自汽车1的外部的消息。
车载网络12确保天线11、中继装置13、控制装置14、控制装置15等之间的通信,例如使用Controller area network(CAN)或Ethernet(注册商标)等构成。
中继装置13具有对车外的正常应用21的消息进行中继并将其传递到控制装置14或控制装置15等的功能。另外,不仅是车外的正常应用21的消息,中继装置13还可以对从控制装置输出的消息进行中继,将其传递到其他控制装置。
控制装置14进行车载连接的头灯16的控制。
控制装置15进行所连接的室内灯17、空调18的控制。
另外,控制装置能够控制的车载设备的数量没有限制,例如,控制装置和被控制的车载设备可以一对一对应,也可以利用一个控制装置对应全部车载设备。并且,控制装置可以对与自己以外的其他控制装置连接的车载设备发送消息。
图2是本实施方式中的中继装置13的功能块结构图。
接收部201接收数据中心2输出的消息和控制装置输出的消息,将其输出到模糊测试检测部202。图3中示出消息的结构的一例。消息由消息的标识符(消息ID)和消息的数据部构成。
模糊测试检测部202判断接收部201输出的消息是否是搜索脆弱性的攻击,在判断为搜索脆弱性的攻击的情况下,将该消息作为不正常消息输出到诱骗动作决定部204。
另外,模糊测试检测部202判断为搜索脆弱性的攻击的方法可以使用任意方法,但是,在本实施方式中,对使用能够应对未知攻击的异常型侵入检测技术的情况进行说明。
检测数据库203是用于判断消息是否是搜索脆弱性的攻击的数据库。在本实施方式中,假设使用异常型侵入检测技术的情况,因此,在检测数据库203中记载有正常情况下的消息的信息。
图4中示出检测数据库203的例子。在本实施方式中,示出被许可的消息为4个的情况下的例子。按照被许可的每个消息,预先设定车辆的状态、消息标识符(消息ID)和数据部(数据范围)。
在图4中,示出如下情况的例子:登记编号为1的消息在停止中或驾驶中发送、消息ID为0x1100、数据范围成为0x10~0x11之间的情况;登记编号为2的消息在停止中发送、消息ID为0x1200、数据范围成为0x12~0x3f之间的情况;登记编号为3的消息在停止中发送、消息ID为0x1300、数据范围成为0x40、0x50或0x60中的任意一方的情况;登记编号为4的消息在驾驶中发送、消息ID为0x1300、数据范围成为0x40、0x50或0x70中的任意一方的情况。
诱骗动作决定部(伪装动作决定部)204决定与模糊测试检测部202输出的不正常消息对应的诱骗动作(伪装动作),将其输出到诱骗动作执行部206。
诱骗动作数据库205是定义了攻击者在模糊测试中使用的消息ID与消息的数据部、检测到模糊测试时进行的诱骗动作之间的对应关系的数据库。
另外,诱骗动作是指以不影响车载网络系统10的本质上的功能动作和安全的形式、以与通常不同的方法使控制装置进行动作。
图5中示出诱骗动作数据库205的例子。
在图5的例子中,示出在检测到使用消息ID为0x1100的消息实施模糊测试的情况下,实施“使网络发送接收定时延迟10ms”这样的诱骗动作,示出在检测到使用消息ID为0x1200的消息实施模糊测试的情况下,实施“在要发送的消息中附加不必要的数据”这样的诱骗动作,在检测到关于消息ID为0x1300且数据部为0x12以上这样的消息而实施模糊测试的情况下,实施“使IO的反应稍微延迟”这样的诱骗动作。
另外,在图5的例子中记载了3个消息ID,但是,并不是限定其数量。在实际的车载网络系统10中利用100种以上的消息ID,因此,可以定义分别对应的诱骗动作。
并且,也可以以检测数据库的例子为准,对应车辆的状态等来定义诱骗动作。
诱骗动作执行部(指示生成部)206生成用于执行诱骗动作决定部204输出的、与模糊测试检测部202输出的不正常消息对应的诱骗动作的消息(与伪装动作对应的指示),将其输出到发送部207。另外,也可以不利用诱骗动作执行部206生成用于执行诱骗动作的消息,而是在诱骗动作数据库205中预先准备用于进行诱骗动作的消息。
发送部207对数据中心2或控制装置输出从诱骗动作执行部206输出的消息。
图6是本实施方式的中继装置13的硬件结构图。如图6所示,作为主要结构,本实施方式的中继装置13具有微计算机100、Random Access Memory(RAM)101、Read Only Memory(ROM)102、非易失性存储器104、Central Processing Unit(CPU)105、通信部106。
在本实施方式中,CPU105具有能够执行程序103的结构即可,可以是任意结构的微计算机。例如,程序103存储在ROM102中,包含模糊测试检测部202、诱骗动作决定部204、诱骗动作执行部206、散列产生部208、触发提取部209、数据库更新部212中的至少任意一方。
并且,也可以不经由CPU105而使用Field-Programmable Gate Array(FPGA)等安装这些功能。
在本实施方式中,根据需要具有能够从CPU105访问检测数据库203、诱骗动作数据库205、触发数据库210的结构即可,可以是任意结构的微计算机。例如,可以在能够进行改写的非易失性存储器104中保存这些数据库。
并且,也可以不在非易失性存储器104中保存这些数据库,例如经由车载网络系统10访问存在于不同装置中的数据库。
在本实施方式中,通信部106对应于接收部201和发送部207。通信部106例如能够访问CAN或Ethernet(注册商标),但是不限于这些标准。另外,在本实施方式中,将天线11与中继装置13分开,但是,通信部106也可以包含天线11。
接着对动作进行说明。
另外,在本实施方式中,公开了攻击者在数据中心2中使用不正常应用22来搜索车载网络系统10中残存的脆弱性时,在进行旁道攻击的情况下,中继装置13实施什么样的动作。
首先,对本发明中设为前提的脆弱性的搜索进行说明。
攻击者使用不正常应用22向车载网络系统10发送不正常消息。发送该不正常消息的目的在于搜索车载网络系统10的脆弱性。
如果在车载网络系统10中存在脆弱性,则由于来自攻击者的不正常消息,即使没有直接引起重大结果,也可能唤起网络发送接收定时的微小变化、控制对象设备的动作定时的微小变化等攻击者能够观测的事象。
使用图7~图12对这种事例进行说明。
图7中示出不包含脆弱性的应用的安装的一例。图8中示出与图7所示的应用对应的伪代码。
并且,在图9所示的消息的例子(msg1)中包含摄氏温度的信息和华氏温度的信息。此时,根据所接收到的消息中记载的摄氏温度的信息和华氏温度的信息,如图7的流程图那样执行处理。
在图7所示的不包含脆弱性的应用中,本来不是同时满足条件1和条件2,因此,不会执行处理A和处理B双方。并且,即使摄氏温度和华氏温度的信息相互存在矛盾,也优先进行摄氏温度的判断(条件1),不会执行处理A和处理B双方。
另一方面,图10中示出存在脆弱性的应用的安装的一例。图11中示出与图10所示的存在脆弱性的应用对应的伪代码。
在图11的例子中,在编码作业中存在错误,漏掉了本来必须放入的单词(在图11的例子中为“else”)。
因此,如图12所示,在接收到摄氏温度和华氏温度的信息存在矛盾的、要搜索脆弱性的消息的情况下,执行处理A和处理B双方。
如果执行处理A和处理B双方,则消息发送与消息接收的间隔变化,因此,攻击者能够观测该情况。
如上所述,容易想到在执行处理A和处理B双方时,软件的内部状态不正常。
例如,如果在处理A和处理B的内容中使相同的变量加1,则可能由于执行处理A和处理B双方而引起溢出。关于以溢出为契机进行攻击的方法,整数溢出攻击是著名的方法。
攻击者观测这种微小的举动变化,判断什么样的消息可能引起脆弱性。如果由于发送该不正常消息而在车载网络系统10中引起举动的变化,则其原因可能是脆弱性。
因此,攻击者接着不正常消息进一步发送不正常消息。进一步发送的不正常消息有时与最初的消息相同,有时与最初的消息不同。并且,有时多次反复进行发送。
攻击者反复进行该动作,由此,发现作为目标的举动的变化(例如汽车的控制的侵占、不正常应用的安装、由知识产权保护的车辆控制程序的夺取)等。
使用图13对中继装置13的动作进行说明。
天线11将从外部接收到的消息输出到接收部201。接收部201将所输入的消息输出到模糊测试检测部202(S101)。
模糊测试检测部202将接收到的消息与模糊测试检测数据库203进行比较,判断该消息是否将搜索脆弱性作为目的(S102)。
在本实施方式中,作为判断接收到的消息的方法,使用白名单。
例如,将车辆的状态、可能送来的消息ID和该消息ID中可能存在的消息的数据部的范围等关联起来,预先记载在模糊测试检测数据库203中。
模糊测试检测部202在接收到的消息不满足这些条件的情况下,判断为该消息将搜索脆弱性作为目的(S102:是)。
另外,模糊测试检测部202在判断接收到的消息是否将搜索脆弱性作为目的时,可以使用深度学习或支持向量机这样的机器学习方法。由此,能够防止模糊测试检测数据库203的庞大化,能够应对未知的攻击。作为这些机械学习方法的教师数据,能够利用开发时实施的试验的动作日志。
在是将搜索脆弱性作为目的的消息(不正常消息)的情况下(S102:是),模糊测试检测部202将不正常消息输出到诱骗动作决定部204。
诱骗动作决定部204将不正常消息与诱骗动作数据库205进行比较,选择应该执行的诱骗动作,将该诱骗动作输出到诱骗动作执行部206(S103)。
在应该执行的诱骗动作中,例如可以是使网络发送接收定时产生微小偏移、使控制对象设备的动作定时瞬间延迟、与用户的意思无关而不正常地变更作为控制对象设备之一的空调的动作、或与用户的意思无关而不正常地变更作为控制对象设备之一的室内灯的动作等任意动作。并且,作为诱骗动作,也可以仅是“不进行任何动作”这样的动作。
使用图5的例子时,在登记编号1的行中,在消息ID 0x1100符合不正常消息的情况下,实施使网络发送接收定时延迟10ms这样的动作。
在图5的例子中,针对各个消息ID定义了诱骗动作,但是,也可以根据消息的数据部来定义诱骗动作。
并且,在诱骗动作决定部204中决定诱骗动作时,针对相同的不正常消息始终执行相同的诱骗动作也是有效的。由此,能够使攻击者想到在车载网络系统10检测到不正常消息时不是仅随机执行诱骗动作。
如上所述,使攻击者误认为实际上未唤起脆弱性的不正常消息唤起了脆弱性,能够延长攻击者搜索脆弱性所需要的时间。
并且,可以不以相同频度进行诱骗动作决定部204决定的诱骗动作。例如考虑攻击者循环实施攻击的情况。
设能够作为消息数据部的值为1~100。关于消息的内容,考虑假设进行了1-20:诱骗动作a、21-40:诱骗动作b、41-60:诱骗动作c、61-80:诱骗动作d、81-100:诱骗动作e这样的设定时的情况。
此时,攻击者能够从1到100依次发送不正常消息,但是,能够观测的不正常动作全部成为相同频度。假设在发送了“42”作为消息的内容时产生与脆弱性有关的事象时,通过取得所观测到的事象的频度的统计,就能够导出与脆弱性有关的事象。
这里,当如1-40:诱骗动作a、41-80:诱骗动作b、81-98:诱骗动作c、99:诱骗动作d、100:诱骗动作e那样改变进行诱骗动作的频度时,实际上与脆弱性有关的事象和诱骗动作的举动混乱,能够进一步浪费攻击者的时间。
诱骗动作执行部206将应该执行的诱骗动作转换为消息,输出到发送部207(S104)。例如,在本实施方式的情况下,诱骗动作执行部206将诱骗动作转换为能够经由控制装置14或控制装置15对头灯16、室内灯17、空调18等进行控制的形式。
从发送部207接收到消息的控制装置进行基于消息的控制(诱骗动作)(S105)。
另外,在S102中判断为未将搜索脆弱性作为目的的情况下(S102:否),模糊测试检测部202将消息输出到发送部207。
从发送部207接收到消息的控制装置进行基于消息的控制(S106)。
如上所述,根据本实施方式,具有判断接收部201输出的消息是否是搜索脆弱性的攻击的模糊测试检测部202、以及决定与模糊测试检测部202输出的消息的内容对应的诱骗动作的诱骗动作决定部204,因此,使攻击者不容易区分由于脆弱性而引起的不正常动作和诱骗动作,由此,能够延长发现脆弱性为止的时间。
实施方式2
在实施方式1中,公开了将诱骗动作和消息ID关联起来进行选择的结构。在该结构中,在消息ID的种类增加时,诱骗动作数据库205中要求的保存容量增大,并且,伴随检索数据库的诱骗动作决定部204的处理负荷有时增大。
在本实施方式中,公开如下结构:在诱骗动作数据库205中,代替消息ID而使用散列值,能够削减诱骗动作数据库205的容量,并且,能够削减诱骗动作决定部的伴随检索数据库的处理负荷。
图14是本实施方式中的中继装置13的功能块结构图,在图14中,与图2相同的标号表示相同或相当的部分。
本实施方式的中继装置13的基本结构与实施方式1相同,但是,不同之处在于,在诱骗动作数据库205中使用消息ID的散列值,并且,具有根据模糊测试检测部202输出的不正常消息产生唯一码的散列产生部208。
图15中示出本实施方式的诱骗动作数据库205的例子。
本实施方式的诱骗动作数据库205与实施方式1的情况不同,定义了根据攻击者在模糊测试中使用的不正常消息而生成的散列与检测到模糊测试时进行的诱骗动作之间的对应关系。这样,如果假设消息ID为2字节、假设散列的长度为1字节,则能够削减诱骗动作数据库205所需要的数据量。
另外,在消息ID和消息的数据部双方与诱骗动作关联起来的情况下,通过将该双方作为散列产生部208的输入,能够进一步削减诱骗动作数据库205所需要的数据量。
进而,通过削减诱骗动作数据库205的数据量,具有削减诱骗动作决定部204的处理负荷这样的效果。
接着,使用图16对动作进行说明。
与实施方式1时同样,公开了攻击者在数据中心2中使用不正常应用22来搜索车载网络系统10中残存的脆弱性时,在进行旁道攻击的情况下,中继装置13实施什么样的动作。
本实施方式中的动作与实施方式1中叙述的步骤相同,下面,仅对与实施方式1中说明的动作之间的差异进行说明。
在模糊测试检测部202判断为是将搜索脆弱性作为目的的消息(不正常消息)的情况下(S102:是),模糊测试检测部202将不正常消息的消息ID输出到散列产生部208。
散列产生部208生成接收到的消息ID的码(散列),将其输出到诱骗动作决定部204(S201)。
这里,散列是总结了消息ID的数值,比原来的消息ID的长度短,是固定长度。作为生成散列时能够使用的散列函数,存在MD5、SHA-1、CRC等,但是不限于这些。
诱骗动作决定部204对所得到的散列和诱骗动作数据库205进行比较,决定应该执行的诱骗动作(S202)。
如上所述,根据本实施方式,在实施方式1中公开的效果的基础上,具有能够削减诱骗动作数据库205的大小这样的效果。
实施方式3
在实施方式2中,说明了攻击者在脆弱性的搜索中使用单一消息的情况。但是,一般组合多个消息来进行针对脆弱性的攻击。因此,当仅根据单一消息决定诱骗动作时,在使用多个消息进行搜索的情况下,在观测到由单一消息唤起的诱骗动作以外的动作的情况下,有时能够判断为由于残存的脆弱性而唤起了所述动作。
在本实施方式中,叙述使用触发数据库的情况。通过使用触发数据库,即使攻击者在搜索中使用多个消息,也很难区分由于残存的脆弱性唤起的动作和诱骗动作。
图17是本实施方式中的中继装置13的功能块结构图,在图17中,与图14相同的标号表示相同或相当的部分。
本实施方式的中继装置13的基本结构与实施方式2相同,但是,不同之处在于具有触发提取部209、触发数据库210、接收消息保存部213。
触发提取部209根据触发数据库210,从模糊测试检测部检测到模糊测试的定时到接收消息满足事前定义的结束条件的定时为止,提取所接收到的消息。
在触发数据库210中登记有用于供触发提取部209提取消息的结束条件。图18中示出触发数据库210的例子。在图18的例子中,举出“接收特定消息”、“符合开始条件后接收到的消息的个数”、“从接收符合开始条件的消息起的时间”作为例子。
例如,在图18的登记编号1的条件中,示出提取从接收到消息ID为0x1100的不正常消息的定时到接收到消息ID为0x1000的消息的定时为止的接收消息。
接收消息保存部213用于暂时保存触发提取部209提取的消息。
接着,使用图19对动作进行说明。
与实施方式1时同样,公开了攻击者在数据中心2中使用不正常应用22来搜索车载网络系统10中残存的脆弱性时,在进行旁道攻击的情况下,中继装置13实施什么样的动作。
本实施方式中的动作与实施方式2中叙述的步骤相同,下面,仅对与实施方式2中说明的动作之间的差异进行说明。
在模糊测试检测部202判断为是将搜索脆弱性作为目的的消息(不正常消息)的情况下(S102:是),模糊测试检测部202将不正常消息输出到触发提取部209。
触发提取部209将接收到的消息保存在接收消息保存部213中(S301)。
触发提取部209判断接收到的消息是否满足结束条件(S302)。例如,在图18的登记编号1的行的情况下,在检测到消息ID为0x1100的不正常消息后、首次接收到消息ID为0x1000的接收消息的情况下,判断为“满足结束条件”。
在判断为接收到的消息满足结束条件的情况下(S302:是),触发提取部209将此前保存在接收消息保存部213中的多个消息(指示组)的消息ID输出到散列产生部208。
散列产生部208生成多个消息(指示组)的消息ID的散列(S303)。
另外,与实施方式2同样,在消息ID和消息的数据部双方与诱骗动作关联起来的情况下,通过将该双方作为散列产生部208的输入,能够进一步削减诱骗动作数据库205所需要的数据量。
在触发提取部209未判断为接收到的消息满足结束条件的情况下(S302:否),进行等待直到接收下一个消息为止。另外,在一定时间内未接收到下一个消息时,也可以判断为满足结束条件。
如上所述,根据本实施方式,在攻击者利用多个消息搜索脆弱性的情况下,也能够产生诱骗动作,能够进一步延长发现脆弱性为止的时间。
实施方式4
在要发现脆弱性的攻击者的目标是攻击对象保有的重要信息的夺取而造成社会影响的情况下,与仅攻击某个产品模型的特定个体相比,攻击者希望能够攻击某个产品模型的任意个体。
如果攻击者尝试搜索脆弱性的结果为在某个个体中唤起脆弱性的操作在其他个体中未唤起脆弱性时,则认为得出通过该操作唤起的脆弱性基于个体差这样的结论。
如果攻击者判定为该看起来被唤起的脆弱性基于个体差,则该操作对于攻击者来说价值相对较低,进一步搜索该脆弱性的动机相对较低。
在本实施方式中,其目的在于,即使攻击者实施了当前能够唤起嵌入网络系统中存在的脆弱性的操作,也使攻击者误认为其基于个体差,使进行作为发现脆弱性的线索的操作的识别变得困难,延长发现脆弱性为止的时间。
图20是本实施方式中的中继装置13的功能块结构图,在图20中,与图17相同的标号表示相同或相当的部分。
本实施方式的中继装置13的基本结构与实施方式3相同,但是,不同之处在于具有个别ID取得部(个别标识符取得部)211。
个别ID取得部211取得用于识别个别的嵌入网络的识别码即个别ID(个别标识符)。作为个别ID,例如,在汽车中能够利用车辆识别编号(Vehicle IdentificationNumber)等。
接着,使用图21对动作进行说明。
与实施方式1时同样,公开了攻击者在数据中心2中使用不正常应用22来搜索车载网络系统10中残存的脆弱性时,在进行旁道攻击的情况下,中继装置13实施什么样的动作。
本实施方式中的动作与实施方式3中叙述的步骤相同,下面,仅对与实施方式3中说明的动作之间的差异进行说明。
散列产生部208从个别ID取得部211取得个别ID(S401)。作为个别ID取得部取得个别ID的方法,存在预先存储在中继装置自身中的方法、询问构成嵌入网络系统的控制装置的方法等。
散列产生部208使用发送来的多个不正常消息(指示组)的消息ID和个别ID生成散列(S402)。通过在散列的生成中使用不正常消息和个别ID,能够使个别ID参与到诱骗动作的决定中,能够使攻击者误认为观测的脆弱性的线索基于个体差。
另外,与实施方式2、3同样,在消息ID和消息的数据部双方与诱骗动作关联起来的情况下,通过将该双方和个别ID作为散列产生部208的输入,能够进一步削减诱骗动作数据库205所需要的数据量。
如上所述,根据本实施方式,通过使个别ID参与到诱骗动作的决定中,从而使攻击者很难区分车辆的个体差、诱骗动作、实际的脆弱性引起的举动变化,能够进一步延长发现脆弱性为止的时间。
实施方式5
在实施方式1~4中,叙述了如下情况:通过伪装使攻击者误认为其动作没有延续本来规格的诱骗动作,延长攻击者搜索脆弱性所花费的时间。
但是,反言之,如果花费较长时间一一调查,则能够搜索脆弱性。
在本实施方式中,叙述如下情况:定期地更新模糊测试检测数据库203、诱骗动作数据库205、触发数据库210中的至少任意一方,由此变更对攻击者伪装的诱骗动作的形式。
通过改变对攻击者伪装的诱骗动作的形式,能够使攻击者从头进行脆弱性的搜索。
由此,攻击者例如需要使用同时搜索多个嵌入网络设备等更加困难的方法来提高搜索脆弱性的速度,如果不这样,则能够延长发现脆弱性为止的时间。
在本实施方式中,对数据库的更新进行说明。
图22是本实施方式中的中继装置13的功能块结构图,在图22中,与图20相同的标号表示相同或相当的部分。
本实施方式的中继装置13的基本结构与实施方式4相同,但是,不同之处在于具有数据库更新部212。
数据库更新部212对模糊测试检测数据库203、诱骗动作数据库205、触发数据库210中的至少任意一方进行更新。
例如,能够构成为数据库更新部212定期地向数据中心2询问有无与各数据库有关的更新数据,在存在更新数据的情况下,从数据中心2接收更新数据,使用接收到的更新数据改写对应的数据库。
并且,能够构成为使数据库更新部212对应于UDS(Unified DiagnosisServices),进而,能够在嵌入网络系统中连接车载诊断工具,在此基础上,能够使用下载到车载诊断工具上的更新数据对中继装置上的数据库进行更新。
接着,使用图23对动作进行说明。
在本实施方式中,设为进行了嵌入网络系统的数据库的更新处理。并且,在本实施方式中,与其他消息同样,假设经由接收部201接收数据库的更新指示的情况,但是,也可以使用接收数据库的更新指示的其他单元。
另外,在本实施方式中,对与发明相关联的事项进行简单说明,但是,本领域技术人员通过参照详细公开了软件的远程更新方法的非专利文献2,能够容易地实施。
并且,与实施方式1时同样,公开了攻击者在数据中心2中使用不正常应用22来搜索车载网络系统10中残存的脆弱性时,在进行旁道攻击的情况下,中继装置13实施什么样的动作。另外,接收部201不仅接收消息,还接收数据库的更新指示。
本实施方式中的动作与实施方式4中叙述的步骤相同,下面,仅对与实施方式4中说明的动作之间的差异进行说明。
接收部201判断接收到的数据是数据库的更新指示还是消息(S501)。
在是数据库的更新指示的情况下,接收部将数据交给数据库更新部212(S501:是)。另外,在接收部201接收到的数据是消息的情况下(S501:否),下面进行与实施方式4相同的动作。
数据库更新部212通过接收部201接收数据库更新包(S502)。
关于向数据库更新部212发送数据库更新封装的部分,例如举出数据中心2上的正常应用21。在数据库更新封装中记载有模糊测试检测数据库203、诱骗动作数据库205、触发数据库210的内容的全部或一部分或差分、以及作为对象的数据库的种类,能够使用它们对数据库进行更新。
数据库更新部212根据数据库更新包的信息,对模糊测试检测数据库203、诱骗动作数据库205、触发数据库210中的至少任意一方进行更新(S503)。
如上所述,根据本实施方式,能够定期地变更所选择的诱骗动作的种类,能够增加攻击者用于发现脆弱性的尝试次数。由此,能够进一步延长发现脆弱性为止的时间。
标号说明
1:汽车;2:数据中心;10:车载网络系统;11:天线;12:车载网络;13:中继装置;14:控制装置;15:控制装置;16:头灯;17:室内灯;18:空调;21:正常应用;22:不正常应用;23:天线;100:微计算机;101:RAM;102:ROM;103:程序;104:非易失性存储器;105:CPU;106:通信部;201:接收部;202:模糊测试检测部;203:检测数据库;204:诱骗动作决定部;205:诱骗动作数据库;206:诱骗动作执行部;207:发送部;208:散列产生部;209:触发提取部;210:触发数据库;211:个别ID取得部;212:数据库更新部;213:接收消息保存部。
Claims (2)
1.一种中继装置,其特征在于,所述中继装置具有:
接收部,其接收第一指示;
模糊测试检测部,其检测所述第一指示中的不正常指示;
触发提取部,其保存一个以上的所述不正常指示作为指示组,在所述指示组满足事前定义的条件的情况下,输出所述指示组的消息标识符;
散列产生部,其针对所述触发提取部输出的所述指示组的消息标识符产生散列值,
伪装动作决定部,其决定与所述散列值对应的将被执行的伪装动作,所述伪装动作不同于所述不正常指示所对应的动作;
指示生成部,其生成与所述伪装动作对应的第二指示;以及
发送部,其接收所述指示生成部输出的与所述伪装动作对应的第二指示,并向数据中心或者控制装置发送与所述伪装动作对应的第二指示。
2.根据权利要求1所述的中继装置,其特征在于,
所述中继装置具有个别标识符取得部,该个别标识符取得部取得个别标识符,
所述散列产生部使用所述指示组的消息标识符和所述个别标识符来产生码。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2016/062330 WO2017183099A1 (ja) | 2016-04-19 | 2016-04-19 | 中継装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109076011A CN109076011A (zh) | 2018-12-21 |
| CN109076011B true CN109076011B (zh) | 2021-05-07 |
Family
ID=60115770
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680084503.9A Active CN109076011B (zh) | 2016-04-19 | 2016-04-19 | 中继装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10785259B2 (zh) |
| JP (1) | JP6391889B2 (zh) |
| CN (1) | CN109076011B (zh) |
| WO (1) | WO2017183099A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10922405B2 (en) * | 2017-11-01 | 2021-02-16 | Microsoft Technology Licensing, Llc | Data generation for data protection |
| DE112018007217B4 (de) | 2018-04-10 | 2022-03-17 | Mitsubishi Electric Corporation | Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür |
| WO2020161523A1 (en) * | 2019-02-06 | 2020-08-13 | Telefonaktiebolaget Lm Ericsson (Publ) | System for detecting short duration attacks on connected vehicles |
| JP7318710B2 (ja) * | 2019-07-29 | 2023-08-01 | オムロン株式会社 | セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体 |
| JP6991294B1 (ja) * | 2020-10-09 | 2022-01-12 | 三菱電機株式会社 | 制御装置 |
| US20230100792A1 (en) * | 2021-09-24 | 2023-03-30 | Qualcomm Incorporated | Techniques for misbehavior detection in wireless communications systems |
| US20240169226A1 (en) * | 2022-11-23 | 2024-05-23 | Nxp B.V. | System and method of fuzzing prevention using intentional responses that appear to be randomized |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0375827A (ja) | 1989-08-18 | 1991-03-29 | Toshiba Corp | コピー防止装置 |
| CA2037857C (en) | 1990-03-20 | 2001-01-16 | Roy Allen Griffin, Iii | Prevention of determination of time of execution of predetermined data processing routine in relation to occurrence of prior observable external event |
| US5249294A (en) | 1990-03-20 | 1993-09-28 | General Instrument Corporation | Determination of time of execution of predetermined data processing routing in relation to occurrence of prior externally observable event |
| FR2790844B1 (fr) | 1999-03-09 | 2001-05-25 | Gemplus Card Int | Procede et dispositif de surveillance du deroulement d'un programme, dispositif programme permettant la surveillance de son programme |
| US20020046351A1 (en) * | 2000-09-29 | 2002-04-18 | Keisuke Takemori | Intrusion preventing system |
| US20020133603A1 (en) | 2001-03-13 | 2002-09-19 | Fujitsu Limited | Method of and apparatus for filtering access, and computer product |
| US20020133606A1 (en) | 2001-03-13 | 2002-09-19 | Fujitsu Limited | Filtering apparatus, filtering method and computer product |
| JP2002342279A (ja) | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
| JP4145118B2 (ja) | 2001-11-26 | 2008-09-03 | 松下電器産業株式会社 | アプリケーション認証システム |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7966499B2 (en) * | 2004-01-28 | 2011-06-21 | Irdeto Canada Corporation | System and method for obscuring bit-wise and two's complement integer computations in software |
| JP2006107274A (ja) | 2004-10-07 | 2006-04-20 | Matsushita Electric Ind Co Ltd | ハッシュ関数演算システム、暗号化システムおよび不正解析・改竄防止システム |
| JP2006221548A (ja) | 2005-02-14 | 2006-08-24 | Kyocera Mita Corp | 通信装置、通信システム、通信装置用プログラム |
| JP2007172401A (ja) | 2005-12-22 | 2007-07-05 | Matsushita Electric Works Ltd | 不正メール検知装置 |
| JP4791250B2 (ja) | 2006-05-19 | 2011-10-12 | ルネサスエレクトロニクス株式会社 | マイクロコンピュータおよびそのソフトウェア改竄防止方法 |
| CN1889573A (zh) * | 2006-07-31 | 2007-01-03 | 华为技术有限公司 | 一种主动诱骗方法与系统 |
| JP2009238153A (ja) | 2008-03-28 | 2009-10-15 | Nec Corp | マルウェア対処システム、方法及びプログラム |
| JP5467271B2 (ja) | 2009-12-24 | 2014-04-09 | 和臣 大石 | 情報処理装置及びプログラム、情報処理方法、記録媒体 |
| WO2011116448A1 (en) | 2010-03-25 | 2011-09-29 | Irdeto Canada Corporation | System and method for dynamic, variably-timed operation paths as a resistance to side channel and repeated invocation attacks |
| RU2449348C1 (ru) * | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
| CN102932780B (zh) * | 2011-08-11 | 2015-08-19 | 西门子公司 | 检测伪装攻击的系统及方法 |
| JP5522160B2 (ja) | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | 車両ネットワーク監視装置 |
| JP5832951B2 (ja) | 2012-04-27 | 2015-12-16 | 日本電信電話株式会社 | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
| US9647921B2 (en) * | 2012-08-07 | 2017-05-09 | Qualcomm Incorporated | Statistics and failure detection in a network on a chip (NoC) network |
| JP5919205B2 (ja) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| CN104243408B (zh) * | 2013-06-14 | 2017-11-21 | 中国移动通信集团公司 | 域名解析服务dns系统中监控报文的方法、装置及系统 |
| CN104519068A (zh) * | 2014-12-26 | 2015-04-15 | 赵卫伟 | 一种基于操作系统指纹跳变的移动目标防护方法 |
| CN105391066B (zh) * | 2015-12-17 | 2017-03-29 | 西安交通大学 | 一种智能电网模拟运行系统 |
-
2016
- 2016-04-19 WO PCT/JP2016/062330 patent/WO2017183099A1/ja active Application Filing
- 2016-04-19 US US16/078,538 patent/US10785259B2/en active Active
- 2016-04-19 CN CN201680084503.9A patent/CN109076011B/zh active Active
- 2016-04-19 JP JP2018512673A patent/JP6391889B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20190052674A1 (en) | 2019-02-14 |
| CN109076011A (zh) | 2018-12-21 |
| JP6391889B2 (ja) | 2018-09-19 |
| WO2017183099A1 (ja) | 2017-10-26 |
| US10785259B2 (en) | 2020-09-22 |
| JPWO2017183099A1 (ja) | 2018-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076011B (zh) | 中继装置 | |
| US10931635B2 (en) | Host behavior and network analytics based automotive secure gateway | |
| US10986093B2 (en) | Monitoring device, monitoring method, and computer program | |
| KR102414860B1 (ko) | 메세지를 처리하는 네트워크 프로브 및 방법 | |
| KR102234402B1 (ko) | 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법 | |
| JP7176569B2 (ja) | 情報処理装置、ログ分析方法及びプログラム | |
| US12107876B2 (en) | Intrusion path analysis device and intrusion path analysis method | |
| US20180219920A1 (en) | PROVIDING SECURITY FOR INTERNET OF THINGS (IoT) DEVICES | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| CN105814861B (zh) | 用于传输数据的设备和方法 | |
| US11971982B2 (en) | Log analysis device | |
| KR20210075458A (ko) | Can id 필터링 기반의 침입 탐지 시스템의 제어 방법, 장치 및 프로그램 | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| WO2020184001A1 (ja) | 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム | |
| Tzokatziou et al. | Insecure by design: Using human interface devices to exploit SCADA systems | |
| Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
| Mohammad et al. | Analysis of in-vehicle security system of smart vehicles | |
| CN113596058A (zh) | 一种恶意地址的处理方法、装置、计算机设备和存储介质 | |
| CN108667773B (zh) | 网络防护系统、方法、装置及服务器 | |
| Linghu et al. | Weighted local outlier factor for detecting anomaly on in-vehicle network | |
| US12063506B2 (en) | Method and unit unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle | |
| KR20210120503A (ko) | 네트워크 말단에서의 부정접근 방지 방법 | |
| CN116566682A (zh) | 一种分布式信息网络安全防护方法、系统及其可读存储介质 | |
| CN118337412A (zh) | 车辆信息安全防护方法、装置、设备及存储介质 | |
| CN114793336A (zh) | 数据处理方法、相关设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |