CN110832809B - 检测装置、检测方法和非瞬态的计算机可读的存储介质 - Google Patents
检测装置、检测方法和非瞬态的计算机可读的存储介质 Download PDFInfo
- Publication number
- CN110832809B CN110832809B CN201880044892.1A CN201880044892A CN110832809B CN 110832809 B CN110832809 B CN 110832809B CN 201880044892 A CN201880044892 A CN 201880044892A CN 110832809 B CN110832809 B CN 110832809B
- Authority
- CN
- China
- Prior art keywords
- bus
- attack
- identification information
- vehicle
- error
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/004—Countermeasures against attacks on cryptographic mechanisms for fault attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Small-Scale Networks (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
Abstract
本发明涉及检测装置、检测方法和非瞬态的计算机可读的存储介质。一种检测装置,其用于检测在车载网络中的攻击,所述车载网络包括总线,通过该总线输送包括能够对输送方和/或接收方进行识别的标识信息的帧。该检测装置被设置有监视单元、聚合单元以及检测单元,所述监视单元用于监视通过其输送包括相互不同的标识信息的多个所述帧的总线中的通信错误,所述聚合单元用于基于所述监视单元的监视结果对每条标识信息的通信错误发生状态进行聚合,所述检测单元用于基于聚合单元的聚合结果来检测攻击。
Description
技术领域
本发明涉及检测装置、检测方法和检测程序。
本申请要求于2017年8月3日提交的日本专利申请No.2017-150771的优先权,其全部内容通过引用合并于此。
背景技术
专利文献1(日本特开专利申请No.2016-116075)公开以下的车载通信系统。即,车载通信系统是通过使用下述各项来执行消息认证的车载通信系统:发射器代码,该发射器代码是由通信数据的发射器生成的消息认证代码;和接收器代码,该接收器代码是由通信数据的接收器生成的消息认证代码,该车载通信系统包括:第一ECU,其被连接到车载网络并且仅具有在第一加密密钥以及与第一加密密钥不同的第二加密密钥当中的第一加密密钥;第二ECU,其被连接到车载网络并且至少具有第一加密密钥;以及第三ECU,其被连接到车载网络和外部网络并且仅具有在第一加密密钥和第二加密密钥中的第二加密密钥,该第三ECU被配置成,当通过车载网络进行通信时通过使用第二加密密钥生成发射器代码或接收器代码,其中第二ECU输送通过使用第一加密密钥生成的发射器代码被分配到的通信数据,并且在接收到通信数据时第一ECU通过使用通过第一加密密钥的使用而生成的接收器代码验证分配给接收到的通信数据的发射器代码。
引文清单
专利文献
专利文献1:日本特开专利申请No.2016-116075
专利文献2:日本特开专利申请No.2016-97879
专利文献3:日本特开专利申请No.2015-136107
非专利文献
非专利文献1:瑞萨电子公司,“CAN Nyuumonsho(CAN Introductory Guide(provisional translation))Rev.1.00(CAN Nyuumonsho(CAN入门指南(临时翻译))1.00版)”,[在线],[2017年6月17日搜索],互联网<URL:https://www.renesas.com/ja-jp/doc/products/mpumcu/apn/003/rjj05b0937_cana p.pdf>
非专利文献2:K.Cho等人,[Error Handling of In-vehicle Networks MakesThem Vulnerable(车载网络的错误处理使他们受到攻击)],2016ACM SIGSAC计算机和通信安全会议的CCS’16大会议程,P.1044-1055非专利文献3:Ryota Kameoka和其他五人,“Bus-off attack against CAN ECU using Stuff Error injection from Raspberry Pi(使用Raspberry Pi的填充错误注入针对CAN ECU的总线关闭攻击)”,2017年密码学和信息安全研讨会,1E2-2
非专利文献4:Yoshifumi Nakayama和其他三人,“Shasai CAN basu niokerudenkiteki deeta kaizan no kouka(Effect of electrical data falsification inon-vehicle CAN bus(provisional translation))(Shasai CAN basu niokerudenkiteki deeta kaizan no kouka(车载CAN总线中电气数据伪造的影响(临时翻译)))”,2017年密码学和信息安全研讨会,1E2-3
发明内容
(1)本公开的检测装置被配置成检测车载网络中的攻击,所述车载网络包括总线,在该总线中输送包括允许识别传输源和目的地中的至少一个的标识信息的帧。在总线中,输送包括彼此不同的多条标识信息的多个帧。该检测装置包括:监视单元,被配置成监视总线中的通信错误;聚合单元,被配置成基于监视单元的监视结果对关于每条标识信息的通信错误发生状态进行聚合;以及检测单元,被配置成基于聚合单元的聚合结果来检测攻击。
(6)本公开的检测方法要用在检测装置中,该检测装置被配置成检测车载网络中的攻击,所述车载网络包括总线,在该总线中输送包括允许识别传输源和目的地中的至少一个的标识信息。在总线中,输送包括彼此不同的多条标识信息的多个帧。该检测方法包括以下步骤:监视总线中的通信错误;基于监视结果对关于每条标识信息的通信错误发生状态进行聚合;以及基于聚合结果来检测攻击。
(7)本公开的检测程序将在检测装置中使用,该检测装置被配置成检测车载网络中的攻击,所述车载网络包括总线,在该总线中输送包括允许识别传输源和目的地中的至少一个的标识信息的帧。在总线中,输送包括彼此不同的多条标识信息的多个帧。该检测程序被配置成使计算机用作:监视单元,被配置成监视总线中的通信错误;聚合单元,被配置成基于监视单元的监视结果对关于每条标识信息的通信错误发生状态进行聚合;以及检测单元,被配置成基于聚合单元的聚合结果来检测攻击。
本公开的一种模式不仅可以实现为包括这种特性处理单元的检测装置,而且可以实现为包括该检测装置的车载通信系统。可以将本公开的一种模式实现为实现检测装置的一部分或全部的半导体集成电路。
附图说明
图1示出根据本公开的实施例的车载通信系统的配置。
图2示出根据本公开的实施例的在车载通信系统中的车载网络中输送的数据帧的一个示例。
图3示出根据本公开的实施例的在车载通信系统中的车载网络中输送的数据帧的一个示例。
图4示出根据本公开的实施例的车载通信系统中的收发器的状态转换的一个示例。
图5图示根据本公开的实施例的车载网络中的攻击。
图6图示根据本公开的实施例的车载网络中的电子数据篡改攻击。
图7示出根据本公开的实施例的车载通信系统中的网关装置的配置。
图8示出在根据本公开的实施例的网关装置中使用的长监视间隔时段和短监视间隔时段的一个示例。
图9示出由根据本公开的实施例的网关装置中的聚合单元创建的摘要表的一个示例。
图10示出由根据本公开的实施例的网关装置中的聚合单元创建的摘要表的一个示例。
图11是根据本公开的实施例的网关装置沿着其检测到网络攻击的操作过程的流程图。
图12是根据本公开的实施例的网关装置沿着其检测到网络攻击的操作过程的流程图。
具体实施方式
迄今为止,已经开发用于改善车载网络的安全性的车载网络系统。
[本公开要解决的问题]
在专利文献1中描述的车载通信系统中,由仅连接到车载网络的第一ECU和第二ECU在消息认证中使用的第一加密密钥不同于要被连接到车载网络和外部网络两者的第三ECU使用的第二加密密钥,从而防止来自外部网络的对未连接到外部网络的第一ECU和第二ECU的网络攻击。
但是,例如,在电气地操作在连接ECU的总线中输送的信号的网络攻击下,上述安全措施可能无效。
在已经进行这种攻击的情况下,需要一种用于准确检测车载网络中的攻击的技术。
已经提出本公开以便于解决上述问题。本公开的目的是为了提供一种能够准确地检测对车载网络的攻击的检测装置、检测方法和检测程序。
[本公开的效果]
根据本公开,可以准确地检测对车载网络的攻击。
[本公开的实施方式的描述]
首先,列出并描述本公开的实施例的内容。
(1)根据本公开的实施例的检测装置被配置成检测在车载网络中的攻击,所述车载网络包括总线,在该总线中输送包括允许识别传输源和目的地中的至少一个的标识信息的帧。在总线中输送包括彼此不同的多条标识信息的多个帧。该检测装置包括:监视单元,其被配置成监视总线中的通信错误;聚合单元,其被配置成基于通过监视单元的监视结果对关于每条标识信息的通信错误发生状态进行聚合;以及检测单元,其被配置成基于聚合单元的聚合结果来检测攻击。
由于此配置,可以基于关于每条标识信息的通信错误发生状态的聚合结果来识别关于用作帧的传输源或目的地的每个车载装置的通信错误发生状态。因此,例如,可以指定电气地操作在总线上输送的信号的网络攻击下已经发生通信错误的车载装置。因此,可以准确地检测车载网络中的攻击。
(2)优选地,检测单元基于聚合结果中的多条标识信息中的通信错误发生状态的偏差来检测攻击。
例如,由于此配置,基于多条标识信息当中的通信错误发生状态的偏差,可以识别在车载网络中的车载装置当中是否均匀地发生通信错误,或者在车载装置中的少量特定车载装置中已经发生通信错误。因此,例如,当在车载装置当中已经均匀地发生通信错误时,还可以考虑电噪声的影响来仔细地确定攻击检测。另外,当在少量特定的车载装置中已经发生通信错误时,可以确定发生攻击的可能性很高。
(3)优选地,检测单元基于以下来检测攻击:关于每条标识信息的发生通信错误的次数的总和;以及作为已经发生通信错误的标识信息的条数的错误ID数目。
由于这种配置,例如,当确定已经对发生通信错误的次数很多的车载装置进行攻击时,可以考虑其中已经发生通信错误的车载装置的数量。因此,可以更准确地确定是否已经进行攻击。
(4)更优选地,检测单元基于以下中的至少一个来检测攻击:
第一阈值与第一监视间隔中的总数之间的第一比较结果,以及第二阈值与误差ID数目之间的第二比较结果;
在第三阈值和由多个第一监视间隔构成的第二监视间隔的总数之间的第三比较结果,以及第四阈值与错误ID数目的平均值之间的第四比较结果。
由于这种配置,例如,即使当第一监视间隔中的总数大于第一阈值时,如果错误ID数目不小于第二阈值,则可以想到由于电噪声而广泛发生通信错误。因此,可以防止错误的攻击检测。另外,例如,当第一监视间隔中的总数大于第一阈值并且错误ID数目小于第二阈值时,在少量特定车载装置中已经发生通信错误。因此,可以更精确地检测对少量特定车载装置的攻击。另外,即使当第二监视间隔中的总数大于第三阈值时,如果错误ID数目的平均值不小于第四阈值,则可以想到由于电噪声而已经广泛发生通信错误。因此,可以防止错误的攻击检测。例如,当第二监视间隔中的总数大于第三阈值并且错误ID数目的平均值小于第四阈值时,在少量特定车载装置中已经发生通信错误。因此,可以更精确地检测对少量特定车载装置的攻击。
(5)更优选地,检测单元基于以下中的至少一个来检测攻击:
第一比较结果,第二比较结果,以及大于第二阈值的第五阈值与错误ID数目之间的比较结果;
第三比较结果,第四比较结果,以及大于第四阈值的第六阈值和平均值之间的比较结果。
例如,当第一监视间隔中的错误ID数目和第二监视间隔中的错误ID数目的平均值中的至少一个显著较大时,则认为车载网络中的大量车载装置正在受到攻击。由于上述配置,可以更准确地检测车载网络中的车载装置的攻击风暴。
(6)根据本公开的实施例的检测方法将用在检测装置中,该检测装置被配置成检测车载网络中的攻击,所述车载网络包括总线,在该总线中输送包括允许识别传输源和目的地中的至少一个的标识信息的帧。在总线中,输送包括彼此不同的多条标识信息的多个帧。该检测方法包括以下步骤:监视总线中的通信错误;基于监视结果对关于每条标识信息的通信错误发生状态进行聚合;以及基于聚合结果来检测攻击。
由于此配置,可以基于关于每条标识信息的通信错误发生状态的聚合结果,识别关于用作帧的传输源或目的地的每个车载装置的通信错误发生状态。因此,例如,可以指定在电气地操作在总线上输送的信号的网络攻击下已经发生通信错误的车载装置。因此,可以准确地检测车载网络中的攻击。
(7)根据本公开的实施例的检测程序将用在被配置成检测在车载网络中的攻击的检测装置中,所述车载网络包括总线,在该总线中输送包括允许识别传输源和目的地中的至少一个的标识信息的帧。在总线中输送包括彼此不同的多条标识信息的多个帧。该检测程序被配置成使计算机用作:监视单元,其被配置成监视总线中的通信错误;聚合单元,其被配置成基于监视单元的监视结果对关于每条标识信息的通信错误发生状态进行聚合;以及检测单元,其被配置成基于聚合单元的聚合结果来检测攻击。
由于此配置,可以基于关于每条标识信息的通信错误发生状态的聚合结果,识别关于用作帧的传输源或目的地的每个车载装置的通信错误发生状态。因此,例如,可以指定在电气地操作总线上输送的信号的网络攻击下已经发生通信错误的车载装置。因此,可以准确地检测车载网络中的攻击。
在下文中,将参考附图描述本公开的实施例。在附图中,相同或相应的部分由相同的附图标记表示,并且不重复其描述。以下描述的实施例的至少一些部分可以根据需要组合在一起。
[配置和基本操作]
图1示出根据本公开的实施例的车载通信系统的配置。
参考图1,车载通信系统301包括网关装置(检测装置)101和多个车载ECU(电子控制单元)121。
车载通信系统301安装在车辆1中。车载网络12包括作为车辆1中的车载装置的示例的多个车载ECU 121和网关装置101。
总线13A、13B、13C和13D连接到网关装置101。在下文中,总线13A、13B、13C和13D中的每一个也被称为总线13。
网关装置101不必必须具有连接到该网关装置101的四个总线13,并且可以具有被连接到该网关装置101的三个或更少的总线13或五个或更多的总线13。
每个总线13具有例如连接到该总线13的多个车载ECU 121。例如,总线13是根据在非专利文献1中描述的CAN(控制器局域网)(注册商标)标准的总线(瑞萨电子公司,“CANNyuumonsho(CAN Introductory Guide(provisional translation))Rev.1.00”,[在线],[2017年6月17日搜索],因特网<URL:https://www.renesas.com/ja-jp/doc/products/mpumcu/apn/003/rjj05b0937_canap.pdf>)。
总线13不必必须具有连接到该总线13的多个车载ECU 121,并且可以具有连接到该总线13的一个车载ECU 121。总线13可以是根据FlexRay(注册商标)、MOST(面向媒体的系统传输)(注册商标)、以太网(注册商标)、LIN(本地互连网络)等的标准的总线。
车载ECU 121例如是TCU(车联网通信单元)、自动驾驶ECU、发动机ECU、传感器、导航装置、人机界面、相机等。
网关装置101可以经由总线13与车载ECU 121通信。网关装置101执行中继在连接到车辆1中的不同总线13的车载ECU 121之间发送/接收的信息的处理。
图2示出根据本公开的实施例的在车载通信系统中的车载网络中输送的数据帧的一个示例。在图2中,示出标准格式的数据帧。
参考图2,在总线13中,数据帧在帧间空间IFS之间输送。
数据帧从一开始就具有SOF(帧开始)、ID(标识符)、RTR(远程传输请求)、CONTROL、DATA、CRC(循环冗余校验)、CRC DELIMITER、ACK SLOT、ACK DELIMITER、和EOF(帧尾)的区域。
每个区域具有相应数目的比特的长度。每个区域中的比特的级别是以下之一:隐性固定的;显性固定的;以及在隐性或显性之间可变的。
具体地,SOF区域具有1比特的长度。SOF区域中的1比特的级别是显性固定的。
ID区域具有11个比特的长度。ID区域中的11个比特的级别在隐性或显性之间是可变的。
由ID区域中的11个比特指示的值(在下文中也称为CAN-ID)是标识信息的示例,并且允许识别数据帧的传输源和目的地。
例如,CAN-ID指示包括在数据帧中的数据的类型。
在车载网络12中的总线13中输送包括彼此不同的CAN-ID的多个数据帧。
在车载网络12中,例如通过广播来输送数据帧。例如,当连接到总线13的车载装置作为传输节点已经广播包括预先设置的CAN-ID的数据帧时,连接到总线13的另一车载装置作为接收节点操作并且接收广播的数据帧。
此时,接收节点基于包括在接收到的数据帧中的CAN-ID来确定接收到的数据帧对于接收节点本身是否是必需的。
在车载网络12中,在某些情况下,一个接收节点确定接收到的数据帧对于接收节点本身是必需的,而在其他情况下,多个接收节点确定接收到的数据帧对于接收节点本身是必需的。
如上所述,在车载网络12中,基于数据帧中包括的CAN-ID,可以指定数据帧的传输源和目的地。
另外,例如,CAN-ID被用于在通信仲裁中提供优先级。
在总线13中,首先已经输送数据帧的车载ECU 121根据CAMA/CA(避免冲突的载波侦听多路访问)方案获得传输权。
例如,当两个或更多个车载ECU 121已经基本上同时开始传输数据帧时,从ID区域的第一比特开始执行仲裁,并且已经连续输送显性级别达到最长时间的车载ECU 121被允许输送数据帧。在仲裁中成为失败者的车载ECU 121停止数据帧的传输并且开始接收操作。
在车载网络12中,隐性级别和显性级别分别对应于逻辑值1和逻辑值0。因此,优先输送包括较小CAN-ID的数据帧。
图3示出根据本公开的实施例的在车载通信系统中的车载网络中输送的数据帧的一个示例。在图3,示出扩展格式的数据帧。
参考图3,当与图2所示的标准格式的数据帧进行比较时,扩展格式的数据帧还在ID区域和RTR区域之间设置有SRR(替代远程请求)、IDE(标识符扩展)和EXTENDED ID的区域。
[总线关闭攻击]
图4示出根据本公开的实施例的车载通信系统中的收发器的状态转换的一个示例。
参考图4,经由总线13执行通信的网关装置101和每个车载ECU121均设置有收发器。收发器具有发送错误计数器TEC和接收错误计数器REC。
收发器根据CAN通信标准进行操作,并处于错误主动状态、错误被动状态和总线关闭状态之一。
错误主动状态是其中收发器可以正常参与总线13上的通信的状态。错误被动状态是容易发生错误的状态。总线关闭状态是收发器不能参与总线13上的通信并且所有通信被禁止的状态。
当处于错误主动状态或错误被动状态的收发器已经检测到错误时,收发器将指示已检测到错误的错误帧输送到总线13。另外,例如,当收发器在每个ID协议错误监视部分(参见图2和图3)中在数据传输期间检测到错误时,在某些情况下,收发器暂停数据帧的发送。
当收发器在作为发送单元操作的同时已经检测到错误时,收发器根据检测到的错误的内容来增加发送错误计数器TEC的计数值。
当收发器在作为接收单元操作的同时已经检测到错误时,收发器根据检测到的错误的内容来增加接收错误计数器REC的计数值。
当收发器在作为发送单元操作时已经能够输送消息而没有检测到错误时,该收发器递减发送错误计数器TEC的计数值。
当收发器在作为接收单元操作时已经能够接收到消息而没有检测到错误时,该收发器递减接收错误计数器REC的计数值。
例如,当收发器被激活时,收发器通过初始状态进入错误主动状态。
当发送错误计数器TEC的计数值或接收错误计数器REC的计数值已变得大于127时,处于错误主动状态的收发器转换为错误被动状态。
当输送错误计数器TEC的计数值和接收错误计数器REC的计数值都已变得小于128时,处于错误被动状态的收发器将转换为错误主动状态。
当发送错误计数器TEC的计数值已变得大于255时,处于错误被动状态的收发器转换为总线关闭状态。
当处于总线关闭状态的收发器在总线13上已经检测到11个连续隐性比特128次时,收发器会将发送错误计数器TEC的计数值和接收错误计数器REC的计数值都重置为0,然后转换到错误主动状态。
图5图示根据本公开的实施例的车载网络中的攻击。
参考图5,作为车载ECU 121的车载ECU 121A、121B以及攻击装置123连接至总线13。车载ECU 121A、121B分别包括收发器122。
例如,在非专利文献2(K.Cho等人,[Error Handling of In-vehicle NetworksMakes Them Vulnerable(车载网络的错误处理使他们容易受到攻击)],2016ACM SIGSAC计算机和通信安全会议的CCS’16大会议程,P.1044-1055)和非专利文献3(Ryota Kameoka和其他五人,“Bus-off attack against CAN ECU using Stuff Error injection fromRaspberry Pi”,2017年密码学和信息安全研讨会,1E2-2)中描述了总线关闭攻击。
在总线关闭攻击中,攻击装置123对攻击对象的车载ECU 121中的收发器122的自检功能进行攻击,并且使车载ECU 121错误地识别出该收发器122的传输质量已经减小,从而使得攻击对象的车载ECU 121与总线13分离。结果,被攻击的车载ECU 121不能再执行通信。
更具体地,例如,当发送数据帧时,收发器122还同时执行接收,从而确认是否从总线13接收到与发送到总线13的数据相同的数据。
当从总线13已经接收到与发送到总线13的数据相同的数据时,收发器122确定传输已经被正常地执行。同时,当从总线13接收到与发送到总线13的数据不同的数据时,收发器122确定传输中已经发生错误。
更具体地,例如,当攻击装置123攻击车载ECU 121B时,攻击装置123在每个ID协议错误监视部分(参见图2和图3)中用显性比特重写车载ECU 121B输送的隐性比特。
结果,尽管已经发送了隐性比特,但是车载ECU 121B中的收发器122接收到显性比特。因此,车载ECU 121B中的收发器122确定在传输中已经发生错误,并且增加发送错误计数器TEC的计数值。
攻击装置123重复该攻击,并且因此,车载ECU 121B的收发器122中的发送错误计数器TEC的计数值进一步增加。当发送错误计数器TEC的计数值变得大于255时,车载ECU121B的收发器122转换为总线关闭状态。结果,收发器122不能再参与总线13上的通信。
[电子数据篡改攻击]
图6图示根据本公开的实施例的车载网络中的电子数据篡改攻击。
参考图6,同步区段SS、传播时间区段PTS、相位缓冲器区段PBS1和相位缓冲器区段PBS2被包括在图2和图3中所示的数据帧中的1比特的时段中。
每个区段均以称为Tq(时间量)的最小时间单位形成。SS的Tq的数目固定为1。PTS、PBS1和PBS2中的每一个的Tq的数目可以被设置为预定范围内的任意值。
在PBS1和PBS2之间提供采样点SP。在车载网络12中,针对每个车载ECU 121将PTS、PBS1和PBS2的Tq的数目设置为各种值。因此,车载网络12中的每个车载ECU 121的采样点SP通常变化。
在非专利文献4(Yoshifumi Nakayama和其他三人,“Shasai CAN basu niokerudenkiteki deeta kaizan no kouka(Effect of electrical data falsification inon-vehicle CAN bus(provisional translation))”2017年密码学和信息安全研讨会,1E2-3)中描述了电子数据篡改攻击。
在电子数据篡改攻击中,对具有晚于发送单元的采样点SP的采样点SP的接收单元进行了攻击。
例如,在图5中假设了其中车载ECU 121B中的收发器122和车载ECU 121A中的收发器122分别作为发送单元和接收单元操作的情形。
在本示例中,发送单元中的采样点SP位于从比特的开始的第四个Tq处,而接收单元中的采样点SP处于从比特的开始的第六个Tq处。
攻击装置123在发送单元的采样点SP处不执行篡改,并且在接收单元的采样点SP处将用于数据篡改的电信号发送到总线13,从而篡改来自发送单元的数据。因此,可以在避免发送单元中的误码检测的同时,篡改要由接收单元接收的数据。
更具体地,在发送单元发送数据比特的情况下,攻击装置123在从比特的开始的第四个Tq之后且在第六个Tq之前的时段内向总线13发送用于篡改数据比特的电信号。
发送单元在第四个Tq的采样点处获取由发送单元自身发送的数据比特,从而确定已经正常地执行传输。
同时,接收单元在第六个Tq处获取已被攻击装置123篡改的未授权数据比特。
在这种电子数据篡改攻击中,发送单元和接收单元均未检测到错误。
然而,如上所述,因为各自的车载ECU 121的采样点SP被改变,所以认为在通过车载网络12中的任何车载ECU 121没有检测到任何错误的情况下难以执行电气数据篡改攻击。
因此,通常,车载网络12中的一些车载ECU 121检测电数据篡改攻击,并将错误帧输送到总线13。
期望一种允许对如上所述的车载网络12中的攻击(诸如总线关闭攻击和电子数据篡改攻击)的更准确的检测的技术。
因此,根据本公开的实施例的网关装置通过以下描述的配置和操作解决该问题。
[网关装置101的配置]
图7示出根据本公开的实施例的车载通信系统中的网关装置的配置。
参考图7,网关装置101包括发送/接收单元(监视单元)51A、51B、51C和51D;中继单元52;聚合单元54;检测单元55和存储单元56。发送/接收单元51A、51B、51C和51D中的每一个也被称为发送/接收单元51。
网关装置101不必必须包括四个发送/接收单元51,并且可以包括三个或更少或五个或更多发送/接收单元51。
网关装置101用作检测装置,并且检测包括总线13的车载网络12中的攻击,通过总线13输送包括标识信息的数据帧。
更具体地,例如,网关装置101中的每个发送/接收单元51是收发器,并且连接到总线13。具体地,发送/接收单元51A、51B、51C和51D分别被连接到总线13A、13B、13C和13D。
当发送/接收单元51从发送/接收单元51本身被连接到的总线13接收数据帧时,发送/接收单元51从在ID监视区段(参见图2和图3)中接收的每个比特的级别中获取CAN-ID。
基于所获取的CAN-ID,发送/接收单元51确定接收到的数据帧是否是需要中继的帧。
当确定接收到的数据帧是需要中继的帧时,发送/接收单元51将数据帧输出到中继单元52。
中继单元52执行中继数据帧的处理。具体地,例如,当中继单元52已经从发送/接收单元51A接收到数据帧时,中继单元52基于被包括在接收到的数据帧中的CAN-ID来指定数据帧要被输出到的发送/接收单元51。
更具体地,中继单元52具有例如指示CAN-ID与发送/接收单元51之间的对应关系的表。在此示例中,基于对应关系,中继单元52将发送/接收单元51B指定为与CAN-ID相对应的发送/接收单元51。然后,中继单元52将数据帧输出到发送/接收单元51B。
当从中继单元52接收到数据帧时,发送/接收单元51B将接收到的数据帧输送到总线13B。
另外,每个发送/接收单元51监视总线13中的通信错误。更具体地,在发送/接收单元51已经在ID监视区段中获取CAN-ID之后,发送/接收单元51监视在每个ID协议错误监视区段中的比特串。
例如,当发送/接收单元51已经检测到通过作为传输源的车载ECU121暂停数据帧的传输时,并且当发送/接收单元51已经接收到错误帧时,发送/接收单元51确定已经发生通信错误。
然后,发送/接收单元51向聚合单元54通知发送/接收单元51已经确定已经发生通信错误的数据帧的CAN-ID。
图8示出在根据本公开的实施例的网关装置中使用的长监视间隔时段和短监视间隔时段的一个示例。在图8中,横轴表示时间。
参考图8,聚合单元54基于发送/接收单元51的监视结果来聚合关于每条标识信息的通信错误发生状态。
更具体地,例如,聚合单元54设置长监视间隔时段LT,该监视间隔时段LT包括短监视间隔时段ST1、ST2、ST3、ST4和ST5。短监视间隔时段ST1至ST5是彼此连续的。在下文中,每个短监视间隔时段ST1、ST2、ST3、ST4和ST5也被称为短监视间隔时段ST。
聚合单元54不必必须设置包括五个短监视间隔时段ST的长监视间隔时段LT,并且可以设置包括两个、三个、四个、六个或更多个短监视间隔时段ST的长监视间隔时段LT。
图9示出根据本公开的实施例的由网关装置中的聚合单元创建的摘要表的一个示例。
参考图9,例如,聚合单元54为每个发送/接收单元51创建并保存摘要表Tbl1,该摘要表Tbl1包括每个短监视间隔时段ST中发生通信错误的次数的总值,以及在长的监视间隔时段LT中发生通信错误的次数的总值。例如,图9中所示的摘要表Tbl1是发送/接收单元51A的摘要表。
摘要表Tbl1被设置有与车载网络12中使用的CAN-ID的数量相对应的行,并且在每一行中,与短监视间隔时段ST1至ST5和长监视间隔时段LT相对应的字段被提供。
每当聚合单元54从发送/接收单元51A接收到CAN-ID的通知时,聚合单元54执行以下处理。
即,在摘要表Tbl1中,在与所通知的CAN-ID相对应的行中,聚合单元54在与包括已经接收到通知的定时的短监视间隔时段ST相对应的字段中递增发生协议错误的次数。
具体地,例如,当聚合单元54在短监视间隔时段ST1中从发送/接收单元51A接收到作为CAN-ID的通知“1”时,聚合单元54在其CAN-ID为“1”的行中对应于短监视间隔时段ST1的字段中递增发生协议错误的次数。
作为聚合单元54执行这种处理的结果,当短监视间隔时段ST1完成时,在摘要表Tbl1中的其CAN-ID为“1”、“2”以及“N”的行中,分别记录5次、5次和0次,作为对应于短监视间隔时段ST1的字段中的发生协议错误的次数。
聚合单元54也在短监视间隔时段ST2至短监视间隔时段ST5中执行相同的处理。
然后,当长监视间隔时段LT完成时,聚合单元54将长监视间隔时段LT中的关于每个CAN-ID的发生协议错误的次数写入摘要表Tbl1中。
更具体地,聚合单元54针对每个CAN-ID计算在短监视间隔时段ST1至ST5中发生协议错误的次数的总值。
对于每个CAN-ID,聚合单元54将计算出的总值写入该CAN-ID的行中的对应于长监视间隔时段LT的字段中。
具体地,例如,在其CAN-ID为“1”的行中,聚合单元54执行计算并获得50作为在短监视间隔时段ST1至ST5中发生协议错误的次数的总值。
聚合单元54将计算出的50写入在其CAN-ID为“1”的行中的对应于长监视间隔时段LT的字段中。
图10示出根据本公开的实施例的由网关装置中的聚合单元创建的摘要表的一个示例。
参考图10,例如,聚合单元54为每个发送/接收单元51创建并保持摘要表Tbl2,该摘要表Tbl2包括在每个短监视间隔时段ST中的总线内协议错误分布以及在长监视间隔时段LT中的总线内协议误差分布的平均值。例如,图10中所示的摘要表Tbl2是发送/接收单元51A的摘要表。
摘要表Tbl2被设置有分别对应于短监视间隔时段ST1至ST5和长监视间隔时段LT的字段。
当短监视间隔时段ST完成时,聚合单元54计算短监视间隔时段ST内的总线内协议错误分布,并将计算出的总线内协议错误分布写入对应于短监视间隔时段ST的字段中。
此处,总线内协议错误分布是错误ID数目的一个示例,该错误ID数目是已经发生通信错误的标识信息的条数。具体而言,总线内协议错误分布是分别具有1或者更大作为短监视间隔时段ST内发生协议错误的次数的CAN-ID的数量。
具体地,例如,当短监视间隔时段ST1完成时,因为具有1或者更大作为发生协议错误的次数的CAN-ID在短监视间隔时段ST1中为“1”和“2”,所以聚合单元54执行计算并获得2作为总线内协议错误分布。
然后,聚合单元54将计算出的2写入与短监视间隔时段ST1相对应的字段中。
同样,当短监视间隔时段ST2至短监视间隔时段ST5中的每个完成时,聚合单元54执行相同处理。
然后,当长监视间隔时段LT完成时,聚合单元54将长监视间隔时段LT中的总线内协议错误分布的平均值写入与长监视间隔时段LT相对应的字段中。
具体地,聚合单元54执行计算并获得1.4,其是通过将(2+2+1+1+1)除以5而获得的值,作为各自的短监视间隔时段ST1至ST5中的总线内协议错误分布的平均值。
聚合单元54将计算出的1.4写入对应于长监视间隔时段LT的字段中。
再次参考图7,检测单元55基于聚合单元54的聚合结果来检测车载网络12中的攻击。
具体地,例如,检测单元55基于聚合结果中的CAN-ID当中的通信错误发生状态的偏差来检测车载网络12中的攻击。
更具体地,例如,检测单元55基于以下来检测车载网络12中的攻击:关于每个CAN-ID的发生通信错误的次数的总数;以及总线内协议错误分布。
例如,对于每个短监视间隔,检测单元55执行短间隔检测处理。具体地,例如,检测单元55基于阈值Th1与在短监视间隔时段ST中关于每个CAN-ID的发生通信错误的次数的总数之间的比较结果Rst1、阈值Th2与总线内协议误差分布之间的比较结果Rst2以及大于阈值Th2的阈值Th5与总线内协议误差分布之间的比较结果Rst5来检测车载网络12中的攻击。
更具体地,例如,检测单元55根据由聚合单元54设置的短监视间隔时段ST1、ST2、ST3、ST4和ST5以及长监视间隔时段LT进行操作。当短监视间隔时段ST1完成时,检测单元55执行以下处理。
即,从聚合单元54所保持的摘要表Tbl1(参考图9)中,检测单元55获取短监视间隔时段ST1中发生协议错误的次数的关于各个CAN-ID的总值。
另外,检测单元55从聚合单元54保持的摘要表Tbl2(见图10)中获取在短监视间隔时段ST1中的总线内协议错误分布。
例如,检测单元55从“1”到“N”的CAN-ID以升序一个接一个地选择CAN-ID,并且使用对应于所选的CAN-ID的发生协议错误的次数来执行评估。
具体地,例如,当与所选择的CAN-ID(在下文中,也称为目标CAN-ID)相对应的发生协议错误的次数的总数大于阈值Th1并且总线内协议错误分布小于阈值Th2时,检测单元55确定已经发生少量攻击,这些攻击是对少量车载ECU 121的网络攻击。检测单元55将确定结果作为日志记录到存储单元56中。
例如,当已经在一个或两个车载ECU 121上进行网络攻击时,关于每个网络攻击的车载ECU 121用作传输源或者目的地的数据帧中包括的CAN-ID的发生协议错误的次数变大。同时,指示每个用作传输源或目的地的网络攻击的车载ECU 121的CAN-ID的数量小。因此,总线内协议错误分布不会变大。由于上述配置,检测单元55可以更准确地确定已经发生少量攻击。
例如,当与目标CAN-ID相对应的发生协议错误的次数的总数大于阈值Th1并且总线内协议错误分布大于阈值Th5时,检测单元55确定已经发生许多攻击,这些攻击是对大量车载ECU 121的网络攻击。检测单元55将确定结果作为日志记录到存储单元56中。
例如,当已经在大量车载ECU 121上进行网络攻击时,关于每个网络攻击的车载ECU 121用作传输源或者目的地的数据帧中包括的CAN-ID的发生协议错误的次数变大。此外,指示每个用作传输源或目的地的网络攻击的车载ECU 121的CAN-ID的数量也大。因此,总线内协议错误分布显著地变大。由于上述配置,检测单元55可以更准确地确定已经发生大量攻击。
例如,当与目标CAN-ID相对应的发生协议错误的次数的总数不大于阈值Th1时,或者总线内协议错误分布不小于阈值Th2且不大于阈值Th5时,检测单元55确定已经发生由于噪声、车载ECU 121的故障等引起的通信错误。在这种情况下,检测单元55不将确定结果记录到存储单元56中。
例如,因为噪声在许多情况下随机发生,所以发生通信错误的数据帧也随机出现。因此,总线内协议错误分布变大。在车载ECU 121随时间劣化的情况下,认为车载ECU 121用作传输源或目的地的数据帧的通信错误偶尔发生。因此,尽管总线内协议错误分布小,但是关于车载ECU 121用作传输源或目的地的数据帧中所包括的关于CAN-ID的发生协议错误的次数也小。由于上述配置,检测单元55可以防止关于发生少量攻击或大量攻击的错误确定。
例如,同样在由聚合单元54设置的短监视间隔时段ST2、ST3、ST4、ST5完成的情况下,检测单元55类似于短监视间隔时段ST1完成的情况执行短间隔检测处理。
另外,例如,检测单元55在每个长监视间隔执行长间隔检测处理。具体地,例如,检测单元55基于阈值Th3与长监视间隔时段LT中关于每个CAN-ID的发生通信错误的次数的总数之间的比较结果Rst3、阈值Th4与总线内协议误差分布的平均值之间的比较结果Rst4、以及大于阈值Th4的阈值Th6与平均值之间的比较结果Rst6来检测车载网络12中的攻击。
更具体地,当长监视间隔时段LT完成时,检测单元55从聚合单元54保存的摘要表Tbl1(参见图9)中获取在长监视间隔时段LT中关于每个CAN-ID的发生协议错误的次数的总数。
另外,检测单元55从聚合单元54保持的摘要表Tbl2(图10)中,获取在长监视间隔期间LT内的总线内协议错误分布的平均值。
例如,检测单元55以从“1”到“N”的CAN-ID的升序一个接一个选择CAN-ID,并且使用对应于所选的CAN-ID的发生协议错误的次数执行评估。
具体地,例如,当与所选择的CAN-ID(即,目标CAN-ID)相对应的发生协议错误的次数的总数大于阈值Th3并且总线内协议错误分布的平均值小于阈值Th4时,检测单元55确定已经发生少量攻击。检测单元55将确定结果作为日志记录到存储单元56中。
例如,当已经对一个或两个车载ECU 121进行网络攻击时,每个网络攻击的车载ECU 121用作传输源或目的地的数据帧中的关于CAN-ID的发生协议错误的次数变大。同时,指示均用作传输源或目的地的网络攻击的车载ECU 121的CAN-ID的数量小。因此,总线内协议错误分布的平均值不会变大。由于上述配置,检测单元55可以更准确地确定已经发生少量攻击。
例如,当与目标CAN-ID相对应的发生协议错误的次数的总值大于阈值Th3并且总线内协议错误分布的平均值大于阈值Th6时,检测单元55确定已经发生大量攻击。检测单元55将确定结果作为日志记录到存储单元56中。
例如,当已经对大量车载ECU 121进行网络攻击时,每个网络攻击的车载ECU 121用作传输源或目的地的数据帧中的关于CAN-ID的发生协议错误的次数变大。另外,指示均用作传输源或目的地的网络攻击的车载ECU 121的CAN-ID的数量也变大。因此,总线内协议错误分布的平均值显著地变大。由于上述配置,检测单元55可以更准确地确定已经发生大量攻击。
例如,当与目标CAN-ID相对应的发生协议错误的次数的总数不大于阈值Th3或总线内协议错误分布的平均值不小于阈值Th4且不大于阈值Th6时,检测单元55确定已经发生由于噪声、车载ECU 121的故障等引起的通信错误。在这种情况下,检测单元55不将确定结果记录到存储单元56中。
例如,因为噪声在许多情况下随机发生,所以发生通信错误的数据帧也随机出现。因此,总线内协议错误分布的平均值变大。在车载ECU 121随时间劣化的情况下,认为车载ECU 121用作传输源或目的地的数据帧的通信错误偶尔发生。因此,尽管总线内协议错误分布的平均值很小,但是关于车载ECU 121用作传输源或目的地的数据帧中包括的关于CAN-ID的发生协议错误的次数也很小。由于上述配置,检测单元55可以防止关于发生少量攻击或大量攻击的错误确定。
[操作流程]
网关装置101包括计算机。计算机中的诸如CPU的算术处理单元从存储器(未示出)中读出包括以下所示流程图中的部分或全部步骤的程序,并执行该程序。可以从外部安装此设备的程序。此设备的程序以被存储在存储介质中的状态被分发。
图11是根据本公开的实施例的网关装置沿着其检测到网络攻击的操作过程的流程图。
参考图11,首先,在短监视间隔时段S T完成之前,网关装置101在执行中继数据帧的处理的同时记录已经发生的通信错误(步骤S102中为否)。
然后,在短监视间隔时段ST完成时(步骤S102为是),网关装置101聚合在短监视间隔时段ST内发生的通信错误(步骤S104)。
接下来,网关装置101选择在车载网络12中使用的多个CAN-ID之一(步骤S106)。
接下来,当在短监视间隔时段ST中的与所选择的CAN-ID(即目标CAN-ID)相对应的发生协议错误的次数的总和(ENs)大于阈值Th1并且在短监视间隔时段ST内的总线内协议错误分布EDs小于阈值Th2时(步骤S108中为是),网关装置101检测到少量的攻击(步骤S118)。
当总数EN大于阈值Th1并且总线内协议错误分布EDs大于阈值Th5(步骤S108为否并且步骤S110为是)时,网关装置101检测到大量攻击(步骤S112)。
接下来,当网关装置101已经检测到少量攻击(步骤S118)时或已经检测到大量攻击(步骤S112)时,将检测结果记录在日志中(步骤S114)。
当总和EN不大于阈值Th1或总线内协议错误分布EDs不小于阈值Th2并且不大于阈值Th5时(步骤S108为否并且步骤S110为否)时,或者当网关装置101已经将检测结果记录在日志中(步骤S114)时,网关装置101确认是否已经选择车载网络12中使用的所有多个CAN-ID(步骤S116)。
当在多个CAN-ID中存在任何未选择的CAN-ID时(步骤S116中为否),网关装置101在多个CAN-ID中选择一个未选择的CAN-ID(步骤S106)。
同时,当已经选择所有多个CAN-ID时(步骤S116中为是),网关装置101记录已经发生的通信错误,同时执行中继数据帧的处理,直到新短监视间隔时段ST完成(在步骤S102中为否)为止。
图12是根据本公开的实施例的网关装置沿着其检测到网络攻击的操作过程的流程图。
参考图12,在长监视间隔时段LT完成之前,在执行中继数据帧的处理的同时,网关装置101记录在长监视间隔时段LT中包括的每个短监视间隔时段ST中已经发生的通信错误(S202步骤中的否)。
然后,在长监视间隔时段LT完成时(步骤S202中为是),网关装置101聚合在每个短监视间隔时段ST中已经发生的通信错误(步骤S204)。
接下来,网关装置101选择在车载网络12中使用的多个CAN-ID之一(步骤S206)。
接下来,当在长监视间隔时段LT中的与所选择的CAN-ID(即,目标CAN-ID)相对应的发生协议错误的次数的总数ENp大于阈值Th3并且在长监视间隔时段LT中的总线内协议错误分布EDp小于阈值Th4时(步骤S208中为是),网关装置101检测到少量攻击(步骤S218)。
当总ENp大于阈值Th3并且总线内协议错误分布EDp大于阈值Th6时(步骤S208为否和步骤S210为是),网关装置101检测到大量攻击(步骤S212)。
接下来,网关装置101当已经检测到少量攻击(步骤S218)或已经检测到大量攻击时(步骤S212)将检测结果记录在日志中(步骤S214)。
当总数ENp不大于阈值Th3或总线内协议错误分布EDp不小于阈值Th4且不大于阈值Th6(步骤S208为否和步骤S210为否)时,或者当网关装置101已经将检测结果记录在日志中(步骤S214)时,网关装置101确认是否已经选择车载网络12中使用的所有多个CAN-ID(步骤S216)。
当在多个CAN-ID中存在任何未选择的CAN-ID时(步骤S216中为否),网关装置101在多个CAN-ID中选择一个未选择的CAN-ID(S206)。
同时,当已选择所有多个CAN-ID时(步骤S216中为是),网关装置101记录在新长监视间隔时段LT中已经发生的通信错误,同时执行中继数据帧的过程直到新长监视间隔时段LT完成为止(步骤S202为否)。
根据本公开的实施例的网关装置被配置成针对所有总线13A至13D执行攻击检测。然而,本公开不限于此。网关装置101可以被配置成针对总线13A至13D的一部分执行攻击检测。
在根据本公开的实施例的车载网络中,网关装置101被配置成检测车载网络12中的攻击。然而,本公开不限于此。可以采用其中连接至总线13的车载ECU 121中的至少一个类似于网关装置101作为检测装置操作并且检测对应总线13中的攻击的配置。
在根据本公开的实施例的车载网络中,输送包括允许识别传输源和目的地两者的标识信息的数据帧。然而,本公开不限于此。可以输送包括允许识别传输源和目的地中的任意一个的标识信息的数据帧。
在根据本公开的实施例的车载网络中,输送包括允许识别传输源和目的地的CAN-ID的数据帧。然而,本公开不限于此。可以输送包括直接指示传输源和目的地中的至少一个的标识信息(例如地址)的数据帧。
在根据本公开的实施例的网关装置中,检测单元55被配置成基于通过聚合单元54的聚合结果中的CAN-ID当中的通信错误发生状态的偏差来检测车载网络12中的攻击。然而,本公开不限于此。检测单元55可以被配置成不基于偏差来检测车载网络12中的攻击。具体地,例如,检测单元55在不使用图10中所示的摘要表Tbl2的情况下检测车载网络12中的攻击。
在根据本公开的实施例的网关装置中,检测单元55被配置成执行短间隔检测处理和长间隔检测处理两者。然而,本公开不限于此。检测单元55可以被配置成执行短间隔检测处理和长间隔检测处理中的任意一个。
在根据本公开的实施例的网关装置中,检测单元55被配置成基于比较结果Rst1、比较结果Rst2和比较结果Rst5来检测车载网络12中的攻击。然而,本公开不限于此。检测单元55可以被配置成基于比较结果Rst1和比较结果Rst2来检测车载网络12中的攻击。
在根据本公开的实施例的网关装置中,检测单元55被配置成基于比较结果Rst3、比较结果Rst4和比较结果Rst6来检测车载网络12中的攻击。然而,本公开不限于此。检测单元55可以被配置成基于比较结果Rst3和比较结果Rst4来检测车载网络12中的攻击。
同时,在专利文献1中描述的车载通信系统中,要由仅被连接到车载网络的第一ECU和第二ECU在消息认证中所使用的第一加密密钥不同于要由被连接到车载网络和外部网络这两者的第三ECU所使用的第二加密密钥,从而在未被连接到外部网络的第一ECU和第二ECU上防止来自外部网络的网络攻击。
但是,例如,电气地操作在连接ECU的总线中输送的信号的网络攻击下,上述安全措施可能无效。
在已经进行这种攻击的情况下,需要一种用于在车载网络中准确检测攻击的技术。
相反,根据本公开的实施例的网关装置在包括总线13的车载网络12中检测到攻击,在总线13中,包括允许识别传输源和目的地中的至少一个的标识信息的数据帧被输送。在总线13中,输送包括彼此不同的标识信息的多个数据帧。发送/接收单元51监视总线13中的通信错误。聚合单元54基于发送/接收单元51的监视结果聚合关于每条标识信息的通信错误发生状态。然后,检测单元55基于聚合单元54的聚合结果来检测车载网络12中的攻击。
由于此配置,可以基于关于每条标识信息的通信错误发生状态的聚合结果识别与用作数据帧的传输源或目的地的每个车载装置有关的通信错误发生状态。因此,例如,可以指定在电气地操作在总线13上输送的信号的网络攻击下已经发生通信错误的车载装置。因此,可以准确地检测车载网络中的攻击。
在根据本公开的实施例的网关装置中,检测单元55基于聚合结果中的多条标识信息中的通信错误发生状态的偏差来检测车载网络12中的攻击。
例如,由于此配置,基于多条标识信息当中的通信错误发生状态的偏差,可以识别在车载网络12中的车载装置当中是否均匀地发生通信错误,或者,在车载装置中的少数特定车载装置中是否已经发生通信错误。因此,例如,当在车载装置当中已经均匀地发生通信错误时,还可以考虑电噪声的影响来仔细地确定攻击检测。另外,当在少量特定的车载装置中已经发生通信错误时,可以确定已经发生攻击的可能性很高。
在根据本公开的实施例的网关装置中,检测单元55基于以下来检测车载网络12中的攻击:关于每条标识信息的发生通信错误的次数的总数:和错误ID数目,该错误ID数目是已经发生通信错误的标识信息的条数。
由于这种配置,例如,当要确定已经对具有发生通信错误的大量次数的车载装置进行攻击时,其中已经发生通信错误的车载装置的数量可以被考虑。因此,可以更准确地确定是否进行攻击。
在根据本公开的实施例的网关装置中,检测单元55基于以下中的至少一个来检测车载网络12中的攻击:阈值Th1与短监视间隔时段ST内的总数之间的比较结果Rst1,以及阈值Th2和错误ID数目之间的比较结果Rst2;阈值Th3与由多个短监视间隔时段ST构成的长监视间隔时段LT中的总数之间的比较结果Rst3,以及阈值Th4与错误ID数目的平均值之间的比较结果Rst4。
由于这种配置,例如,即使在短监视间隔时段ST中的总数大于阈值Th1时,如果错误ID数目不小于阈值Th2,则可以想到由于电噪声已经广泛地发生通信错误。因此,可以防止错误的攻击检测。另外,例如,当短监视间隔时段ST中的总数大于阈值Th1并且错误ID数目小于阈值Th2时,在少量特定的车载装置中已经发生通信错误。因此,可以更精确地检测对少量特定车载装置的攻击。另外,即使在长监视间隔时段LT中的总数大于阈值Th3的情况下,如果错误ID数目的平均值不小于阈值Th4,则也可以认为由于电噪声已经广泛地发生通信错误。因此,可以防止错误的攻击检测。例如,当长监视间隔时段LT中的总数大于阈值Th3并且错误ID数目的平均值小于阈值Th4时,在少量特定车载装置中已经发生通信错误。因此,可以更精确地检测对少量特定车载装置的攻击。
在根据本公开的实施例的网关装置中,检测单元55基于下述中的至少一个检测车载网络12中的攻击:比较结果Rst1、比较结果Rst2、以及在大于阈值Th2的阈值Th5和错误ID数目之间的比较结果;比较结果Rst3、比较结果Rst4以及大于阈值Th4的阈值Th6与错误ID数目的平均值之间的比较结果。
例如,当在短监视间隔时段ST中的错误ID数目和长监视间隔时段LT中的错误ID数目的平均值中的至少一个明显较大时,认为车载网络12中的大量车载装置受到攻击。由于上述配置,可以更准确地检测到对车载网络12中的车载装置的攻击风暴。
所公开的实施例在所有方面仅是示例性的,并且不应被认为是限制性的。本公开的范围由权利要求的范围而不是由以上描述限定,并且旨在包括等同于权利要求的范围的含义以及该范围内的所有修改的意义。
上面的描述包括以下附加说明中的特征。
[附加说明1]
一种检测装置,所述检测装置被配置成检测在车载网络中的攻击,所述车载网络包括总线,在该总线中输送包含有用于允许对传输源和目的地中的至少一方进行识别的标识信息的帧,
在所述总线中输送多个所述帧,所述多个所述帧包括彼此不同的多条标识信息,
该检测装置包括:
监视单元,其被配置成监视所述总线中的通信错误;
聚合单元,其被配置成基于所述监视单元的监视结果对关于每条所述标识信息的通信错误发生状态进行聚合;以及
检测单元,其被配置成基于所述聚合单元的聚合结果来检测攻击,
其中
所述检测装置被安装在车辆中,并且是被配置成用于对所述帧进行中继的网关装置或是车载ECU(电子控制单元),
每条所述标识信息是CAN-ID(控制器区域网络标识符),
所述车载网络包括TCU(车联网通信单元)、自动驾驶ECU、发动机ECU、传感器、导航设备、人机界面或相机,其被安装在车辆中,
根据CAN、FlexRay、MOST(面向媒体的系统传输)、以太网或LIN(本地互连网络)的通信标准,在所述车载网络中输送帧,以及
所述聚合单元对关于每个CAN-ID的协议错误的发生次数进行聚合。
参考标志列表
1 车辆
12 车载网络
13 总线
51 发送单元/接收单元(监视单元)
52 中继单元
54 聚合单元
55 检测单元
56 存储单元
101 网关装置
121 车载ECU
122 收发器
123 攻击装置
301 车载通信系统
Claims (7)
1.一种检测装置,所述检测装置被配置成检测在车载网络中的攻击,所述车载网络包括总线,在所述总线中输送包含有用于允许对传输源和目的地中的至少一方进行识别的标识信息的帧,
在所述总线中输送多个所述帧,所述多个所述帧包括彼此不同的多条所述标识信息,
所述检测装置包括:
监视单元,所述监视单元被配置成监视所述总线中的通信错误;
聚合单元,所述聚合单元被配置成,基于所述监视单元的监视结果,对关于每条所述标识信息的通信错误发生状态进行聚合;以及
检测单元,所述检测单元被配置成基于所述聚合单元的聚合结果来检测所述攻击,
其中,所述检测单元基于以下各项来检测所述攻击:
关于每条所述标识信息的、所述通信错误的发生次数的总数;以及
错误ID数目,所述错误ID数目是已经发生所述通信错误的所述标识信息的条数。
2.根据权利要求1所述的检测装置,其中,
所述检测单元基于所述聚合结果中的多条所述标识信息当中的所述通信错误发生状态的偏差,来检测所述攻击。
3.根据权利要求1所述的检测装置,其中,所述检测单元基于以下各项中的至少之一来检测所述攻击:
第一阈值与以第一监视间隔的所述总数之间的第一比较结果,以及第二阈值与所述错误ID数目之间的第二比较结果;以及
第三阈值与以由多个所述第一监视间隔构成的第二监视间隔的所述总数之间的第三比较结果,以及第四阈值与所述错误ID数目的平均值之间的第四比较结果。
4.根据权利要求3所述的检测装置,其中,所述检测单元基于以下各项中的至少之一来检测所述攻击:
所述第一比较结果,所述第二比较结果,以及在比所述第二阈值大的第五阈值和所述错误ID数目之间的比较结果;以及
所述第三比较结果,所述第四比较结果,以及在比所述第四阈值大的第六阈值和所述平均值之间的比较结果。
5.一种被用于在检测装置中的检测方法,所述检测装置被配置成检测在车载网络中的攻击,所述车载网络包括总线,在所述总线中输送包含有用于允许对传输源和目的地中的至少一方进行识别的标识信息的帧,
在所述总线中输送多个所述帧,所述多个所述帧包括彼此不同的多条所述标识信息,
所述检测方法包括以下步骤:
监视所述总线中的通信错误;
基于监视结果,对关于每条所述标识信息的通信错误发生状态进行聚合;以及
基于聚合结果来检测所述攻击,
其中,基于以下各项来检测所述攻击:
关于每条所述标识信息的、所述通信错误的发生次数的总数;以及
错误ID数目,所述错误ID数目是已经发生所述通信错误的所述标识信息的条数。
6.一种非瞬态的计算机可读的存储介质,其存储有被用于在检测装置中的检测程序,所述检测装置被配置成检测在车载网络中的攻击,所述车载网络包括总线,在所述总线中输送包含有用于允许对传输源和目的地中的至少一方进行识别的标识信息的帧,
在所述总线中输送多个所述帧,所述多个所述帧包括彼此不同的多条所述标识信息,
所述检测程序被配置成使计算机用作:
监视单元,所述监视单元被配置成监视所述总线中的通信错误;
聚合单元,所述聚合单元被配置成,基于所述监视单元的监视结果,对关于每条所述标识信息的通信错误发生状态进行聚合;以及
检测单元,所述检测单元被配置成基于所述聚合单元的聚合结果来检测所述攻击,
其中,所述检测单元基于以下各项来检测所述攻击:
关于每条所述标识信息的、所述通信错误的发生次数的总数;以及
错误ID数目,所述错误ID数目是已经发生所述通信错误的所述标识信息的条数。
7.一种检测装置,所述检测装置被配置成检测在车载网络中的攻击,所述车载网络包括总线,在所述总线中输送包含有用于允许对传输源和目的地中的至少一方进行识别的标识信息的帧,
在所述总线中输送多个所述帧,所述多个所述帧包括彼此不同的多条所述标识信息,
所述检测装置包括:
监视单元,其被配置成监视所述总线中的通信错误;
聚合单元,其被配置成基于所述监视单元的监视结果对关于每条所述标识信息的通信错误发生状态进行聚合;以及
检测单元,其被配置成基于所述聚合单元的聚合结果来检测攻击,
其中
所述检测装置被安装在车辆中,并且是被配置成用于对所述帧进行中继的网关装置或是车载电子控制单元(ECU),
每条所述标识信息是控制器区域网络标识符(CAN-ID),
所述车载网络包括车联网通信单元(TCU)、自动驾驶ECU、发动机ECU、传感器、导航设备、人机界面或相机,其被安装在所述车辆中,
根据CAN、FlexRay、面向媒体的系统传输(MOST)、以太网或本地互连网络(LIN)的通信标准,在所述车载网络中输送所述帧,以及
所述聚合单元对关于每个CAN-ID的协议错误的发生次数进行聚合。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017150771A JP6828632B2 (ja) | 2017-08-03 | 2017-08-03 | 検知装置、検知方法および検知プログラム |
| JP2017-150771 | 2017-08-03 | ||
| PCT/JP2018/015211 WO2019026352A1 (ja) | 2017-08-03 | 2018-04-11 | 検知装置、検知方法および検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110832809A CN110832809A (zh) | 2020-02-21 |
| CN110832809B true CN110832809B (zh) | 2021-10-19 |
Family
ID=65232592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880044892.1A Active CN110832809B (zh) | 2017-08-03 | 2018-04-11 | 检测装置、检测方法和非瞬态的计算机可读的存储介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11218501B2 (zh) |
| JP (1) | JP6828632B2 (zh) |
| CN (1) | CN110832809B (zh) |
| DE (1) | DE112018003971T5 (zh) |
| WO (1) | WO2019026352A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11201878B2 (en) * | 2018-11-13 | 2021-12-14 | Intel Corporation | Bus-off attack prevention circuit |
| WO2020184001A1 (ja) * | 2019-03-14 | 2020-09-17 | 日本電気株式会社 | 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム |
| CN112346432A (zh) * | 2019-08-09 | 2021-02-09 | 北汽福田汽车股份有限公司 | 车辆监控方法,车载终端及车辆 |
| JPWO2021106446A1 (zh) * | 2019-11-28 | 2021-06-03 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104012065A (zh) * | 2011-12-21 | 2014-08-27 | 丰田自动车株式会社 | 车辆网络监测方法及车辆网络监测装置 |
| CN105594155A (zh) * | 2014-05-08 | 2016-05-18 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元以及更新处理方法 |
| CN106105105A (zh) * | 2014-04-03 | 2016-11-09 | 松下电器(美国)知识产权公司 | 网络通信系统、不正常检测电子控制单元以及不正常应对方法 |
| JP2017123639A (ja) * | 2016-01-08 | 2017-07-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6382724B2 (ja) | 2014-01-06 | 2018-08-29 | アーガス サイバー セキュリティ リミテッド | グローバル自動車安全システム |
| US10824720B2 (en) * | 2014-03-28 | 2020-11-03 | Tower-Sec Ltd. | Security system and methods for identification of in-vehicle attack originator |
| EP3169101A4 (en) * | 2014-07-11 | 2018-03-07 | Sony Corporation | Information processing device, communication system and information processing method |
| JP2016097879A (ja) | 2014-11-25 | 2016-05-30 | トヨタ自動車株式会社 | 車両制御システム |
| EP3657757B1 (en) * | 2014-12-01 | 2021-08-04 | Panasonic Intellectual Property Corporation of America | Illegality detection electronic control unit, car onboard network system, and illegality detection method |
| JP6079768B2 (ja) | 2014-12-15 | 2017-02-15 | トヨタ自動車株式会社 | 車載通信システム |
| DE102015205670A1 (de) * | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug |
| US10798114B2 (en) * | 2015-06-29 | 2020-10-06 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| JP6558703B2 (ja) * | 2016-12-14 | 2019-08-14 | パナソニックIpマネジメント株式会社 | 制御装置、制御システム、及びプログラム |
| JP6891671B2 (ja) * | 2017-06-29 | 2021-06-18 | 富士通株式会社 | 攻撃検知装置および攻撃検知方法 |
-
2017
- 2017-08-03 JP JP2017150771A patent/JP6828632B2/ja active Active
-
2018
- 2018-04-11 DE DE112018003971.4T patent/DE112018003971T5/de active Pending
- 2018-04-11 US US16/634,605 patent/US11218501B2/en active Active
- 2018-04-11 CN CN201880044892.1A patent/CN110832809B/zh active Active
- 2018-04-11 WO PCT/JP2018/015211 patent/WO2019026352A1/ja active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104012065A (zh) * | 2011-12-21 | 2014-08-27 | 丰田自动车株式会社 | 车辆网络监测方法及车辆网络监测装置 |
| CN106105105A (zh) * | 2014-04-03 | 2016-11-09 | 松下电器(美国)知识产权公司 | 网络通信系统、不正常检测电子控制单元以及不正常应对方法 |
| CN105594155A (zh) * | 2014-05-08 | 2016-05-18 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元以及更新处理方法 |
| JP2017123639A (ja) * | 2016-01-08 | 2017-07-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019026352A1 (ja) | 2019-02-07 |
| JP2019029960A (ja) | 2019-02-21 |
| DE112018003971T5 (de) | 2020-04-09 |
| US11218501B2 (en) | 2022-01-04 |
| JP6828632B2 (ja) | 2021-02-10 |
| CN110832809A (zh) | 2020-02-21 |
| US20210105292A1 (en) | 2021-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110832809B (zh) | 检测装置、检测方法和非瞬态的计算机可读的存储介质 | |
| US11411681B2 (en) | In-vehicle information processing for unauthorized data | |
| US20210312043A1 (en) | Vehicle communications bus data security | |
| US11356475B2 (en) | Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system | |
| US10693905B2 (en) | Invalidity detection electronic control unit, in-vehicle network system, and communication method | |
| US11863569B2 (en) | Bus-off attack prevention circuit | |
| US11036853B2 (en) | System and method for preventing malicious CAN bus attacks | |
| CN110546921B (zh) | 不正当检测方法、不正当检测装置以及程序 | |
| CN112347021B (zh) | 用于串行通信装置的安全模块 | |
| CN111066001A (zh) | 日志输出方法、日志输出装置以及程序 | |
| CN112347023A (zh) | 用于can节点的安全模块 | |
| CN112347022A (zh) | 用于can节点的安全模块 | |
| CN114503518B (zh) | 检测装置、车辆、检测方法及检测程序 | |
| CN115580471A (zh) | 不正当检测方法、不正当检测装置以及存储介质 | |
| WO2018020833A1 (ja) | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム | |
| EP4224790A1 (en) | Method for protection from cyber attacks to a vehicle based upon time analysis, and corresponding device | |
| Chethan et al. | Strategies for monitoring CAN node communication failures in the V2X eco-system | |
| CN118104217A (zh) | 检测装置、检测方法和检测程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |