CN111971532B - 攻击检测装置、攻击检测方法及计算机能够读取的记录介质 - Google Patents

攻击检测装置、攻击检测方法及计算机能够读取的记录介质 Download PDF

Info

Publication number
CN111971532B
CN111971532B CN201880092414.8A CN201880092414A CN111971532B CN 111971532 B CN111971532 B CN 111971532B CN 201880092414 A CN201880092414 A CN 201880092414A CN 111971532 B CN111971532 B CN 111971532B
Authority
CN
China
Prior art keywords
attack
feature
detection
sensor
sensor data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880092414.8A
Other languages
English (en)
Other versions
CN111971532A (zh
Inventor
梨本翔永
铃木大辅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of CN111971532A publication Critical patent/CN111971532A/zh
Application granted granted Critical
Publication of CN111971532B publication Critical patent/CN111971532B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01DMEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
    • G01D3/00Indicating or recording apparatus with provision for the special purposes referred to in the subgroups
    • G01D3/08Indicating or recording apparatus with provision for the special purposes referred to in the subgroups with provision for safeguarding the apparatus, e.g. against abnormal operation, against breakdown
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01CMEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
    • G01C21/00Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
    • G01C21/10Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 by using measurements of speed or acceleration
    • G01C21/12Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 by using measurements of speed or acceleration executed aboard the object being navigated; Dead reckoning
    • G01C21/16Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 by using measurements of speed or acceleration executed aboard the object being navigated; Dead reckoning by integrating acceleration or speed, i.e. inertial navigation
    • G01C21/165Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 by using measurements of speed or acceleration executed aboard the object being navigated; Dead reckoning by integrating acceleration or speed, i.e. inertial navigation combined with non-inertial navigation instruments
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01DMEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
    • G01D21/00Measuring or testing not otherwise provided for
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01PMEASURING LINEAR OR ANGULAR SPEED, ACCELERATION, DECELERATION, OR SHOCK; INDICATING PRESENCE, ABSENCE, OR DIRECTION, OF MOVEMENT
    • G01P21/00Testing or calibrating of apparatus or devices covered by the preceding groups
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • Automation & Control Theory (AREA)
  • Measurement Of Mechanical Vibrations Or Ultrasonic Waves (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)
  • Burglar Alarm Systems (AREA)
  • Testing Or Calibration Of Command Recording Devices (AREA)

Abstract

特征检测部(110)通过将利用MEMS传感器(200)检测到的传感器数据作为时序数据的波形来处理,从而从传感器数据的波形生成相互不同的检测结果(11)至检测结果(16)这6种检测结果作为波形的特征。攻击判定部(120)基于检测结果(11)至检测结果(16),判定有无对MEMS传感器(200)的攻击。

Description

攻击检测装置、攻击检测方法及计算机能够读取的记录介质
技术领域
本发明涉及攻击检测装置、攻击检测方法及攻击检测程序。
背景技术
MEMS(Micro Electro Mechanical System:微机电系统)传感器是将机械部件和电子电路集成为一个单元而成的结构的传感器。
由于MEMS传感器小型、精度良好且成本便宜,所以较多被使用。
例如,为了进行自动驾驶车辆或机器人这样的设备的自主控制,使用MEMS陀螺仪传感器及MEMS加速度传感器。
在使用传感器的测量及控制中,传感器数据的可靠性与系统的可靠性直接关联。因此,对传感器的攻击成为威胁。使用恶意软件以软件方式欺骗传感器数据的攻击能够通过以往的信息安全技术来应对。
另一方面,对于向传感器照射物理信号并使传感器的状态物理地变动的以硬件方式欺骗的攻击,仅通过以往的信息安全技术无法应对。
在非专利文献1、2中,公开了利用超声波欺骗MEMS陀螺仪传感器和MEMS加速度传感器的攻击方法。
在声波攻击中,着眼于MEMS传感器由弹簧和配重构成。即,利用由弹簧和配重构成的物体具有共振频率这一特性。
攻击者对MEMS传感器照射与MEMS传感器具有的共振频率相同的频率的声波。该照射使MEMS传感器的机械部分强制地共振,从传感器输出异常的传感器数据。
作为针对向MEMS传感器的声波攻击的对策,有以下对策。
在非专利文献1中,作为硬件的对策,公开了物理地遮蔽传感器、变更传感器的共振频率、准备多个相同的传感器并对传感器数据进行比较作为对策方式。
在非专利文献2中,作为硬件的对策,公开了将构成传感器的部件变更为难以受到超声波攻击的影响的部件的对策方式。并且,在非专利文献2中,作为软件的对策,公开了变更传感器的采样间隔的对策方式。
在先技术文献
非专利文献
非专利文献1:Son,Yunmok,et al.“Rocking drones with intentional soundnoise on gyroscopic sensors.”24th USENIX Security Symposium(USENIX Security15).2015.
非专利文献2:Timothy Trippel,Ofir Weisse,Wenyuan Xu,Peter Honeyman,andKevin Fu.2017.WALNUT:Waging doubt on the integrity of mems accelerometerswith acoustic injection attacks.In Security and Privacy(EuroS&P),2017IEEEEuropean Symposium on.IEEE,3-18.
发明内容
发明要解决的课题
关于对MEMS传感器的声波攻击,在非专利文献1、2中公开了几个对策,但有以下缺点。
首先,硬件的对策方式需要传感器自身的加工,或者需要多个传感器。因此,成本变高。
另外,覆盖传感器的方法有可能给其他传感器带来影响,覆盖传感器的方法有可能给测量性能带来不良影响。
另外,在不能变更硬件结构的情况下,不能采取硬件的攻击对策。
在非专利文献2中公开的软件的对策方式存在只能应用于有限的传感器的课题。这是由于,在该对策方式的应用中,以传感器的利用者能够设定传感器的采样间隔为前提。
本发明的目的在于提供不需要传感器自身的加工且能够在传感器的通常利用范围内利用的检测对传感器的攻击的攻击检测装置。
用于解决课题的手段
本发明的攻击检测装置具备:
特征检测部,所述特征检测部通过将由传感器检测到的传感器数据作为时序数据的波形来处理,从而针对彼此不同种类的多个基准特征的每个基准特征,从所述传感器数据的波形检测与所述基准特征对应的对应特征;以及
攻击判定部,所述攻击判定部基于针对每个所述基准特征检测到的多个所述对应特征,判定有无对所述传感器的攻击。
发明的效果
根据本发明,能够提供不需要传感器自身的加工且能够在传感器的通常利用范围内利用的检测对传感器的攻击的攻击检测装置。
附图说明
图1是实施方式1的图,是示出攻击检测系统的结构的图。
图2是实施方式1的图,是示出攻击检测装置的硬件结构的图。
图3是实施方式1的图,是示出用攻击检测装置检测的波形的图。
图4是实施方式1的图,是示出高频检测部与低通滤波器的关系的图。
图5是实施方式1的图,是示出攻击检测系统的工作的时序图。
图6是实施方式1的图,是示出攻击判定部的工作的流程图。
图7是实施方式1的图,是示出利用电子电路实现攻击检测装置的图。
图8是实施方式2的图,是示出攻击检测系统的结构的图。
图9是实施方式2的图,是示出攻击检测装置的硬件结构的图。
图10是实施方式2的图,是状态转变检测部判断状态转变的状态转变图。
图11是实施方式2的图,是示出用上下文(context)判断部判断上下文的基准的上下文判断信息。
图12是实施方式2的图,是示出攻击检测系统的工作的时序图。
图13是实施方式2的图,是示出上下文判断部的工作的流程图。
图14是实施方式2的图,是示出状态转变检测部的工作的流程图。
图15是实施方式2的图,是示出攻击判定部的工作的流程图。
图16是实施方式2的图,是示出用于根据上下文使阈值变化的对应信息的图。
具体实施方式
实施方式1.
***结构的说明***
图1示出实施方式1的攻击检测系统10的结构。攻击检测系统10具备攻击检测装置100、MEMS传感器200及控制器300。攻击检测装置100具备特征检测部110及攻击判定部120。特征检测部110具备高频检测部111、振幅变化检测部112、周期性变化检测部113、急剧变化检测部114、偏置(bias)检测部115及单一正弦波检测部116。攻击判定部120具备阈值计数器122。
有时将高频检测部111、振幅变化检测部112、周期性变化检测部113、急剧变化检测部114、偏置检测部115及单一正弦波检测部116中的每一个仅表述为检测部。
图1示出攻击检测装置100与MEMS传感器200和控制器300连接的结构。
图2示出攻击检测装置100的硬件结构。攻击检测装置100是计算机。作为硬件,攻击检测装置100具备处理器910、存储器920、传感器数据输入接口930及攻击判定结果输出接口940。作为功能结构,处理器910具备特征检测部110及攻击判定部120。特征检测部110由高频检测部111、振幅变化检测部112、周期性变化检测部113、急剧变化检测部114、偏置检测部115及单一正弦波检测部116的功能构件构成。特征检测部110及攻击判定部120的功能作为程序而实现。在存储器920中,存储有实现特征检测部110及攻击判定部120的功能的攻击检测程序。处理器910执行攻击检测程序,所述攻击检测程序实现特征检测部110及攻击判定部120的功能。此外,攻击检测程序既可以存储于计算机能够读取的记录介质来提供,也可以作为程序产品来提供。
与攻击检测装置100连接的MEMS传感器200可以为多个。另外,特征检测部110具备的检测攻击特征的检测部的数量不限定于6个。既可以增加其他检测部,也可以从高频检测部111至单一正弦波检测部116这6个检测部减少一个以上。
***工作的说明***
说明攻击检测装置100的工作。攻击检测装置100的工作相当于攻击检测方法。另外,攻击检测装置100的工作相当于攻击检测程序的处理。
攻击检测装置100的特征在于:在对MEMS传感器200进行了攻击时,检测在传感器数据中产生的攻击特征作为时序变化。
图3示出在向静止状态的MEMS加速度传感器、静止状态的MEMS陀螺仪传感器照射了声波时从MEMS加速度传感器及MEMS陀螺仪传感器得到的传感器数据的种类。MEMS加速度传感器及MEMS陀螺仪传感器由弹簧及配重构成。图3示出在向静止状态的MEMS加速度传感器或MEMS陀螺仪传感器照射了声波时得到的传感器数据的8种类型的图表。
8个图表的横轴为时间,纵轴为信号值。
(a)偏置是在传感器数据中包含偏置。
(b)正弦波是在传感器数据中包含高频的正弦波。
(c)正弦波是在传感器数据中包含低频的正弦波。
(d)AM调制是传感器数据被AM调制。
(e)FM调制是传感器数据被FM调制。
(f)AM调制&FM调制是传感器数据被AM调制及FM调制。
(g)ASK调制是传感器数据被ASK调制。
(h)PSK调制是传感器数据被PSK调制。
攻击检测装置100的目的在于检测图3所示的(a)偏置至(h)PSK调制的攻击特征。因此,攻击检测装置100具有由多个检测部构成的特征检测部110、以及以各检测部的检测结果为基础判定有无对MEMS传感器200的攻击的攻击判定部120。有时将对MEMS传感器200的攻击简称为攻击。
攻击检测装置100有以下优点。攻击检测装置100具有高频检测部111至单一正弦波检测部116这样的检测攻击的多个检测部。因此,攻击检测装置100能够互补地检测仅用单一的检测部不能检测的攻击特征。另外,在攻击检测装置100中,由于攻击判定部120以多个检测部的检测结果为基础进行攻击的判断,所以误检测减少。此外,如后所述,攻击判定部120通过对检测结果取加权的总和,并与阈值进行比较,从而攻击判定部判断为攻击。
以下,说明攻击检测装置100的特征检测部110具有的各检测部。以下,有时将传感器数据的时序数据称为“波形”。
首先,说明高频检测部111。利用高频检测部111进行的从传感器数据的特征检测着眼于对MEMS传感器200攻击时传感器数据的时序数据的振幅的振动方式异常地变快。高频检测部111从传感器数据检测高频的特征作为特征。
利用高频检测部111的具体的高频检测方法可考虑以下两种。第一种是,以一定的时间窗口截取传感器数据,对通过低通滤波器前后的波形进行比较。高频检测部111可以具备作为程序的低通滤波器。或者,如图4所示,攻击检测装置100可以具备作为硬件的低通滤波器960,向高频检测部111输入通过低通滤波器960之前的波形和通过低通滤波器960之后的波形。当在波形中不包含高频的情况下,即使通过低通滤波器,波形也非常相似。相关是相似度的一种。
作为测量两个波形的相似度的方法,有皮尔逊的相关系数。关于两个序列xi、yi(i=1,2,…,n),皮尔逊的相关系数(correlation)能够用以下式子求出。
[数学式1]
Figure GDA0002725233470000071
在此,
[数学式2]
Figure GDA0002725233470000072
分别是xi、yi的算术平均。
另一种利用高频检测部111的具体的高频检测方法是,通过以时间窗口截取波形,并实施FFT,从而将时域的数据转换为频域,并直接检测高频成分。
能够利用高频检测部111检测图3的攻击时的波形中的(b)、(d)、(e)、(f)、(g)。不能利用高频检测部111检测较低的频率的(c)、接近于一定的值的(a)。另外,关于(f)、(h),根据载波的频率,存在利用高频检测部111能够检测高频的情况和不能检测高频的情况。
接着,说明振幅变化检测部112。在利用振幅变化检测部112的特征检测中,着眼于:在以较大的时间长度观察波形时,波形的振幅看起来被调整为恒定。振幅变化检测部112检测波形的振幅的恒定变化作为特征。利用振幅变化检测部112的具体检测方法为以较大的时间长度在波形上划出包络线,并观察其变化。由此,能够观察振幅的峰值的时间变化。因此,在振幅的峰值的时间变化的幅度较小的情况下,振幅变化检测部112能够检测到振幅变化接近恒定。振幅变化检测部112能够检测图3的攻击时的波形中的(a)、(b)、(e)、(h)。振幅变化检测部112不能检测频率较低的(c)、伴随着振幅调制的(d)、(g)、(f)。另外,关于(e)、(h),根据频率波动的范围(频率偏移)、载波频率,存在能够检测的情况和不能检测的情况。
以下说明周期性变化检测部113。在利用周期性变化检测部113的特征检测中,着眼于攻击时的波形以一定周期变化。周期性变化检测部113检测波形的周期性变化作为特征。作为观察波形的周期性的方法,有自相关系数。关于序列xi(i=1,2,…,n),自相关系数(autocorrelation)能够用以下式子求出。
[数学式3]
Figure GDA0002725233470000081
在此,j是序列的偏移宽度。关于某偏移宽度j,出现较高的自相关系数,这表示波形在某偏移宽度j非常相似。即,该波形能视为以j为周期的规则波形。因此,在出现较高的自相关系数的情况下,能够判断为有攻击。
能够利用周期性变化检测部113检测图3的攻击时的波形中的(a)、(b)、(c)、(d)、(e)、(g)。不能检测规则性被破坏的(f)、(h)。另外,由于(c)的频率较低,所以根据决定序列的时间窗口的大小,有可能不能检测(c),所述序列是计算自相关系数的序列。关于(g),根据周期的长度,与(c)同样地,也有可能不能检测。
说明急剧变化检测部114。在利用急剧变化检测部114的检测中,着眼于:在攻击开始的同时,波形急剧变化。急剧变化检测部114检测波形的急剧变化作为特征。具体的检测方法为,急剧变化检测部114记录频率的变化或振幅的变化。在观察振幅的变化的情况下,急剧变化检测部114以一定的时间间隔对传感器数据的值进行比较。在观测到大的变化的情况下能够判断为攻击。
在观察频率的变化的情况下,急剧变化检测部114以一定的时间间隔执行FFT(Fast Fourier Transform:快速傅里叶变换)并取得峰值频率。在有急剧的峰值频率的变化的情况下能够判断为攻击。能够利用急剧变化检测部114检测图3的攻击时的波形中的(a)、(b)、(c)、(d)、(e)、(g)、(h)。急剧变化检测部114不能检测振幅和频率一起变化的(f)。
接着,说明偏置检测部115。利用偏置检测部115的检测特别着眼于使偏置输出的攻击。偏置检测部115从波形检测偏置作为特征。利用偏置检测部115的具体检测方法可考虑以下两种。一种是监视波形的平均值和方差的方法。在平均值远离0且方差接近0的情况下,可知:作为波形,从MEMS传感器200输出没有偏差的一定值。即,可知有偏置。因此,能够根据将平均值和方差分别与0进行比较得到的结果,判定偏置的有无。另一种是监视波形的振幅变化的方法。在波形的振幅变化较小时,可知有偏置。因此,如果有某时间t和接下来的时序t+1这两个传感器数据,则可知波形的振幅变化。通过振幅变化与某阈值的比较,能够判定偏置的有无。
能够利用偏置检测部115检测图3的攻击时的波形中的(a)。不能检测没有偏置的除此之外的波形。
接着,说明单一正弦波检测部116。在利用单一正弦波检测部116的检测中,着眼于:由于使MEMS传感器200强制地共振,所以基于该共振频率的频率始终重叠。即,如图3所示的(b)、(c)、(d)、(g)、(h)那样,具有规则的正弦波持续重叠这样的特征。具体的检测方法为,对波形实施FFT,监视某特定频率是否持续重叠。例如,通过监视FFT后的频率峰值中的排在前三位的三个频率峰值,从而可知某频率是否持续重叠。由于如果是因传感器的监视对象的偶然变化而产生的频率峰值,则会随着时间经过而消失,所以能够与攻击进行区分。能够利用单一正弦波检测部116检测图3的攻击时的波形中的(b)、(c)、(d)、(g)、(h)。不能检测频率变化的(e)、(f)及由多个频率构成的(a)。另外,根据频率的大小,有时也不能检测(c)。
图5是示出攻击检测系统10的工作的时序图。参照图5,说明攻击检测系统10的工作。在图5中,各检测部生成检测结果,并发送给攻击判定部120。
特征检测部110通过将由传感器检测到的传感器数据作为时序数据的波形来处理,从而针对彼此不同种类的多个基准特征的每个基准特征,从传感器数据的波形检测与基准特征对应的对应特征。基准特征是指应从传感器数据的波形检测的特征。对应特征是指与多个不同的基准特征中的一个基准特征对应的特征。以下,对应特征是检测结果。特征检测部110生成各个对应特征作为得分,所述得分表示与对应特征的对应的基准特征一致的程度。也就是说,在实施方式1中,作为对应特征的检测结果是波形与设定为攻击特征的基准特征一致多少的检测分数。
(1)特征检测部110的高频检测部111从传感器数据表示的波形检测频率的特征作为对应特征。在高频检测部111中,基准特征为高频,作为对应特征的检测结果11使用相似度。
(2)特征检测部110的振幅变化检测部112从传感器数据表示的波形检测振幅变化的特征作为对应特征。在振幅变化检测部112中,基准特征为振幅的恒定变化,作为对应特征的检测结果12使用振幅的峰值的时间变化的幅度。
(3)特征检测部110的周期性变化检测部113从传感器数据表示的波形检测周期性变化作为对应特征。在周期性变化检测部113中,基准特征为周期性变化,作为对应特征的检测结果13使用自相关系数。
(4)特征检测部110的急剧变化检测部114从传感器数据表示的波形检测急剧变化作为对应特征。在急剧变化检测部114中,基准特征为急剧变化,作为对应特征的检测结果14使用自相关系数。
(5)特征检测部110的偏置检测部115从传感器数据表示的波形检测偏置作为对应特征。在偏置检测部115中,基准特征为偏置,作为对应特征的检测结果15使用波形的平均值。
(6)特征检测部110的单一正弦波检测部116从传感器数据表示的波形检测正弦波的重叠的持续作为对应特征。在单一正弦波检测部116中,基准特征为单一正弦波的重叠,作为对应特征的检测结果16为某频率持续重叠的时间。
(7)如后所述,检测结果11至检测结果16与对应的阈值进行比较。
在步骤S01中,MEMS传感器200将传感器数据201发送给控制器300。控制器300进行与传感器数据201对应的处理。
在步骤S02中,MEMS传感器200将传感器数据201发送给高频检测部111。高频检测部111检测在传感器数据201中是否包含高频,并将检测结果11发送给攻击判定部120。
在步骤S03中,MEMS传感器200将传感器数据201发送给振幅变化检测部112。振幅变化检测部112检测传感器数据201的振幅变化是否恒定,并将检测结果12发送给攻击判定部120。
在步骤S04中,MEMS传感器200将传感器数据201发送给周期性变化检测部113。周期性变化检测部113检测传感器数据201的时间变化是否为周期性,并将检测结果13发送给攻击判定部120。
在步骤S05中,MEMS传感器200将传感器数据201发送给急剧变化检测部114。急剧变化检测部114检测传感器数据201是否急剧地变化,并将检测结果14发送给攻击判定部120。
在步骤S06中,MEMS传感器200将传感器数据201发送给偏置检测部115。偏置检测部115检测在传感器数据201中是否包含偏置,并将检测结果15发送给攻击判定部120。
在步骤S07中,MEMS传感器200将传感器数据201发送给单一正弦波检测部116。单一正弦波检测部116检测在传感器数据201中单一的正弦波是否持续重叠,并将检测结果16发送给攻击判定部120。
攻击判定部120基于针对每个基准特征检测到的多个对应特征,判定有无对传感器的攻击。攻击判定部120使用表示各个对应特征的得分,判定有无对传感器的攻击。也就是说,攻击判定部120以检测结果11至检测结果16为基础,如后所述使用阈值判定攻击的有无。
在步骤S08中,攻击判定部120将判定结果121发送给控制器300。
控制器300根据从攻击判定部120接收到的判定结果121进行处理。
图6是示出攻击判定部120的工作的流程图。参照图6说明攻击判定部120的工作。
在步骤S11中,攻击判定部120将用于判断攻击的有无的阈值计数器122复位。
在步骤S12中,攻击判定部120接收检测结果。该检测结果是检测结果11至检测结果16中的任一个。
在步骤S13中,攻击判定部120对接收到的检测结果和与接收到的检测结果对应的阈值进行比较。
在此说明阈值。攻击判定部120具有两种阈值。一种阈值是用于与检测部的检测结果进行比较的阈值。另一种阈值是与阈值计数器122的值进行比较的阈值。作为一种阈值,有以下的阈值1至阈值6。
阈值1与高频检测部111的检测结果11进行比较。
阈值2与振幅变化检测部112的检测结果12进行比较。
阈值3与周期性变化检测部113的检测结果13进行比较。
阈值4与急剧变化检测部114的检测结果14进行比较。
阈值5与偏置检测部115的检测结果15进行比较。
阈值6与单一正弦波检测部116的检测结果16进行比较。
在步骤S14中,攻击判定部120在检测结果超过阈值的情况下使阈值计数器122计数。在图1的结构的情况下,由于具有检测攻击特征的6个检测部,所以阈值计数器122最小成为0,最大成为6。
此外,作为阈值计数器122计数的条件的、检测结果超过阈值是指以下含义。
(1)关于表示与高频成分相关的相似度的检测结果11,是相似度大于阈值1的情况。
(2)关于表示与振幅恒定相关的峰值时间变化幅度的检测结果12,是峰值时间变化幅度小于阈值2的情况。
(3)关于表示与周期性变化相关的自相关系数的检测结果13,是自相关系数大于阈值3的情况。
(4)关于表示与急剧变化相关的每单位时间的振幅变化的检测结果14,是每单位时间的振幅变化大于阈值4的情况。
(5)关于与偏置相关的检测结果15,是波形的平均值大于阈值5的情况。
(6)关于与单一正弦波相关的检测结果16,是某频率持续重叠的时间大于阈值6的情况。
在步骤S15中,攻击判定部120确认是否与全部检测结果进行了阈值比较。当在步骤S15中为否的情况下,处理进入步骤S13。
当在步骤S15中为是的情况下,处理进入步骤S16。
在步骤S16中,攻击判定部120判定攻击的有无。攻击判定部120在阈值计数器122的值超过判断为攻击的计数器阈值的情况下,判定为有攻击。在该情况下,在步骤S17中,作为判定结果121,攻击判定部120将异常的通知发送给控制器300。
在阈值计数器122没有超过计数器阈值的情况下,攻击判定部120判定为没有攻击。在该情况下,在步骤S18中,作为判定结果121,攻击判定部120将正常的通知发送给控制器300。
关于高频检测部111,进行补充说明。高频检测部111在对通过低通滤波器前后的波形进行比较而检测高频的情况下,为了计算通过低通滤波器之前的波形与通过低通滤波器之后的波形的相似度,叙述了皮尔逊的相关系数的使用。也可以使用以下(1)或(2)所示的相似度的计算方法来代替皮尔逊的相关系数。
(1)相似度的计算方法为计算互相关、互信息量或似然度。
(2)相似度的计算方法为计算欧几里德距离、马哈拉诺比斯距离、曼哈顿距离、切比雪夫距离或明可夫斯基距离这样的几何学距离。
攻击判定部120也可以考虑用传感器观测的对象,用以下方法实现阈值计数器122。根据各个检测部进行加权或使阈值自身变化。攻击判定部120根据对应特征的对应的基准特征的种类,对表示对应特征的得分进行加权,基于进行了加权的得分,判定有无对传感器的攻击。根据基准特征的种类是指根据检测部的种类。另外,对得分进行加权是指,既可以变更检测结果的值,也可以变更与检测结果进行对比的阈值,也可以变更计数器阈值。
例如,在安装于进行规则移动的机器人臂上的MEMS加速度传感器或MEMS陀螺仪传感器的情况下,通过提高与从周期性变化检测部113得到的检测结果13进行比较的阈值,从而降低重要性。
***实施方式1的效果的说明***
在有对MEMS传感器200的攻击的情况下,在MEMS传感器200的波形中显现高频、振幅恒定、周期性变化、急剧的变化、偏置、单一的正弦波的重叠这样的攻击特征。在实施方式1的攻击检测装置100中,由于用6个检测部检测这些特征,所以能够检测对MEMS传感器200的攻击。
另外,由于攻击检测装置100只要输入想要进行攻击检测的传感器的传感器数据即可,所以无需传感器自身的加工。
另外,攻击检测装置100不限于MEMS传感器200,能够用于许多传感器。
用图2叙述了攻击检测装置100的硬件结构,以下进行硬件结构的补充说明。
处理器910是CPU(Central Processing Unit:中央处理单元)或DSP(DigitalSignal Processor:数字信号处理器)。存储器920是RAM(Random Access Memory:随机存取存储器)、ROM(Read Only Memory:只读存储器)、闪存、HDD(Hard Disk Drive:硬盘驱动器)或SSD(Solid State Drive:固态驱动器)。传感器数据输入接口930及攻击判定结果输出接口940是I2C(Inter-Integrated Circuit:内部集成电路)接口、SPI(Serial PeripheralInterface:串行外设接口)或Ethernet(以太网:注册商标)接口。
另外,高频检测部111、振幅变化检测部112、周期性变化检测部113、急剧变化检测部114、偏置检测部115、单一正弦波检测部116及攻击判定部120的“部”可以替换为“电路”或“工序”或“步骤”或“处理”。另外,攻击检测装置100可以利用逻辑IC(IntegratedCircuit:集成电路)、GA(Gate Array:门阵列)、ASIC(Application Specific IntegratedCircuit:专用集成电路)、FPGA(Field-Programmable Gate Array:现场可编程门阵列)这样的电子电路实现。
此外,也将处理器及上述电子电路总称为处理电路。
图7是用电子电路99实现攻击检测装置100的图。利用电子电路99实现作为处理器910示出的“部”的功能、存储器920的功能、传感器数据输入接口930的功能及攻击判定结果输出接口940的功能。电子电路99与信号线99a连接。具体而言,电子电路99为单一电路、复合电路、程序化的处理器、并联程序化的处理器、逻辑IC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)或FPGA(Field-Programmable GateArray)。
实施方式2.
***结构的说明***
参照图8至图16说明实施方式2的攻击检测系统700。
图8示出实施方式2的攻击检测系统700的结构。攻击检测系统700具备攻击检测装置100、控制对象500及控制系统600。
攻击检测装置100具备特征检测部110、攻击判定部120、上下文判断部130及状态转变检测部140。相对于实施方式1的攻击检测装置100,实施方式2的攻击检测装置100还具备上下文判断部130及状态转变检测部140。
控制系统600具备MEMS传感器200、控制器300及致动器400。控制系统600对控制对象500进行反馈控制。
在攻击检测系统700中,成为攻击检测装置100与控制系统600连接的结构。
图9示出攻击检测装置100的硬件结构。实施方式2的攻击检测装置100是计算机。作为硬件,攻击检测装置100具备处理器910、存储器920、传感器数据输入接口930、攻击判定结果输出接口940及控制信号输入接口950。另外,处理器910具有特征检测部110、攻击判定部120、上下文判断部130及状态转变检测部140作为功能构件。特征检测部110、攻击判定部120、上下文判断部130及状态转变检测部140的功能作为攻击检测程序实现。在存储器920中,存储有实现特征检测部110、攻击判定部120、上下文判断部130及状态转变检测部140的功能的攻击检测程序。而且,处理器910执行实现特征检测部110、攻击判定部120、上下文判断部130及状态转变检测部140的功能的攻击检测程序。
与攻击检测装置100连接的MEMS传感器200可以为多个。另外,特征检测部110可以如实施方式1所示由多个检测部构成。或者,特征检测部110也可以由多个检测部中的任一个或两个以上的检测部构成。另外,攻击检测装置100也可以作为构成控制系统600的控制器300的结构构件而实现。另外,在控制系统600不具有致动器的情况下,上下文判断部130也可以仅根据传感器数据201判定上下文。
***工作的说明***
说明实施方式2的攻击检测装置100的工作。攻击检测装置100相对于实施方式1的攻击检测装置100还追加了上下文判断部130和状态转变检测部140,能够考虑控制对象500的状态并检测对MEMS传感器200的攻击。
上下文是指控制对象500的状态。
图10是状态转变检测部具有的用于判断状态转变的状态转变图。例如,在控制对象500为移动机器人的情况下,如图10所示,可考虑静止、加速、减速、匀速这四种状态。
上下文判断具有两个效果。一个是能够根据上下文使特征检测部110、攻击判定部120的检测基准及判定基准变化并减少误检测。例如,在控制对象500为机器人的情况下,由于在移动开始时传感器数据急剧地变化,所以可考虑使作为急剧变化检测部114的检测结果的检测分数减少。或者,可考虑使与急剧变化检测部114的检测结果进行比较的阈值减少。
上下文判断的另一个效果是捕捉上下文的异常状态,并用于攻击判定。
捕捉上下文的异常状态有两种方法。
一种是根据控制量和传感器数据表示的控制对象500的状态的不一致,捕捉上下文的异常状态。
另一种是在有状态转变的情况下,将上下文的异常状态作为未定义的异常的状态转变而捕捉。
接着,说明利用上下文判断部130的上下文判断方法。上下文判断部130根据控制量、传感器数据的时间变化判定上下文。以下,以移动机器人为例进行说明。移动机器人设想为该移动机器人的移动由通过PWM(pulse width modulation:脉宽调制)控制的电机控制,并搭载有加速度传感器。根据从控制器300输出的控制信号301可知控制量。控制信号301是用于控制致动器400的信号。
如图8所示,向上下文判断部130输入控制信号301和传感器数据201。在该情况下,控制信号301为PWM值,传感器数据201为加速度。
图11是示出上下文判断部130判断上下文的基准的上下文判断信息132。此时,如图11的上下文判断信息132那样,通过观察作为控制量的PWM值和作为传感器数据的加速度的时间变化,从而能够判断图10所示的静止、加速、减速、匀速这样的状态。例如,在控制量变小的情况下能够判断为减速,在控制量变大的情况下能够判断为加速。另外,在加速度变小的情况下能够判断为减速,在加速度变大的情况下能够判断为加速。但是,在控制量没有变化的情况下,不能判断哪个上下文是适当的。另外,在控制量保持为0不变时,虽然知道是减速或静止,但不能断定是哪一方。在该情况下,与根据传感器数据求出的上下文进行比较来判断。
图12是示出攻击检测装置100的工作的时序图。参照图12说明攻击检测装置100的工作。
在步骤S21中,MEMS传感器200将传感器数据201发送给控制器300。控制器300以传感器数据201为基础,决定对致动器400操作多少,并将用于控制致动器400的控制信号301发送给致动器400。致动器400对控制对象500进行作用,控制对象500的状态发生变化。以上是通过反馈控制进行的控制对象500的控制。
在步骤S22中,MEMS传感器200将传感器数据201发送给特征检测部110。特征检测部110检测在传感器数据201中是否包含攻击特征,并将检测结果110a发送给攻击判定部120。
在步骤S23中,MEMS传感器200将传感器数据201发送给上下文判断部130。
在步骤S24中,控制器300将控制信号301发送给上下文判断部130。上下文判断部130以传感器数据201和控制信号301这两个信息为基础来判断上下文。上下文判断部130将判断出的当前的上下文131发送给特征检测部110、攻击判定部120及状态转变检测部140。
在步骤S25中,状态转变检测部140以上下文131为基础来检测异常状态转变,并将检测结果141发送给攻击判定部120。
攻击判定部120以利用特征检测部110得到的检测结果110a、利用上下文判断部130得到的上下文131及利用状态转变检测部140得到的检测结果141为基础,判定攻击的有无。
在步骤S26中,攻击判定部120将判定结果121发送给控制器300。控制器300根据判定结果121进行处理。
图13是示出上下文判断部130的工作的流程图。参照图13说明上下文判断部130的工作。上下文判断部130基于传感器数据和对控制对象进行控制的控制信号,对表示控制对象的状态的上下文进行判断。
首先,在步骤S101中,以图10所示的多个上下文为基础,上下文判断部130根据控制信号301表示的控制量和传感器数据201,单独地判断上下文。如之前说明的那样,在根据控制量的判断中,有时无法确定上下文。
在步骤S102中,上下文判断部130确认两个上下文是否一致。在一致的情况下,上下文判断部130以一致的上下文来决定(步骤S103)。在不一致的情况下,上下文判断部130将上下文决定为不确定。
但是,在根据控制量求出的上下文为A或B且根据传感器数据201求出的上下文为A时,将上下文决定为A。
步骤S104示出其内容。
用图14所示的流程图说明状态转变检测部140的工作。参照图14说明状态转变检测部140的工作。
在步骤S201中,状态转变检测部140从上下文判断部130接收上下文131。
在步骤S202中,状态转变检测部140将接收到的上下文131与前一次接收到的紧接在前的上下文进行比较,并判断状态转变。
在步骤S203中,状态转变检测部140以图10所示的状态转变图为基础,确认从紧接在前的上下文向上下文131的状态转变是否是未被限定的状态转变。在正常的状态转变的情况下,状态转变检测部140向攻击判定部120发送正常这样的检测结果。在异常的状态转变的情况下,状态转变检测部140向攻击判定部120发送异常这样的检测结果。
例如,在图10所示的状态转变图中,在从静止成为恒定的情况下,状态转变检测部140能够判断为异常状态转变。这相当于向静止状态的加速度传感器输出了图3的偏置状的传感器数据的情况。但是,状态转变检测部140将从某上下文向不确定的转变判断为异常,将从不确定向除此以外的上下文的转变判断为正常。
图15是示出攻击判定部120的工作的流程图。参照图15说明攻击判定部120的工作。基本流程与实施方式1相同。
图15是利用状态转变检测部140无法检测状态转变的异常的情况下的流程图。与实施方式1的图6的不同在于攻击判定部120根据上下文131变更阈值的部分。被变更的阈值是与检测部的检测结果进行比较的阈值。图15相对于图6追加了步骤S302、步骤S303。因此,对步骤S302、步骤S303进行说明。
攻击判定部120在将阈值计数器122复位后,在步骤S302中接收上下文131。
图16是示出上下文与阈值的变化的对应的对应信息123。如果决定了上下文,则攻击判定部120根据对应信息123可知使阈值如何变化即可。在图16的对应信息123中,示出图10的各上下文与阈值的变化的对应。
攻击判定部120根据上下文判断部130的判断结果,对表示对应特征的得分进行加权,基于进行了加权的得分,判定有无对传感器的攻击。具体而言,在步骤S303中,攻击判定部120参照对应信息123,根据上下文131使阈值变化。
在对应信息123中,根据加速、减速、匀速、静止、不确定这五个上下文,示出应如何使阈值变化。例如,在静止状态时,由于能够预想到在接下来移动时传感器数据较大地波动,所以应增大急剧变化检测的阈值。基于这种考虑生成对应信息123。
这样,攻击判定部120根据接收到的上下文131变更阈值。
此外,状态转变检测部140通过使用由上下文判断部130判断出的上下文131和上下文131的紧接在前的上下文,从而检测从紧接在前的上下文向上下文131的状态转变的异常。
攻击判定部120在利用状态转变检测部140检测到状态转变的异常的情况下,判定为有对传感器的攻击,向控制器300通知异常作为判定结果121。或者,攻击判定部120在利用状态转变检测部140检测到状态转变的异常的情况下,可以变更阈值1至阈值6的全部或几个而不判定为有攻击。
***实施方式2的效果的说明***
在实施方式2中,在有对MEMS传感器200的攻击的情况下,与实施方式1同样地,能够根据攻击特征检测攻击。
另外,攻击检测装置100除了如实施方式1那样不需要对传感器的加工、能够在许多传感器中利用这样的效果之外,还有能够检测更多的攻击且能够减少误检测这样的效果。
另外,由于攻击检测装置100根据上下文131使阈值变化,所以能够减少攻击的误检测。
另外,攻击检测装置100能够通过观测由攻击导致的异常的状态转变来检测攻击。
附图标记的说明
1、2、3、4、5、6阈值,10攻击检测系统,11、12、13、14、15、16检测结果,100攻击检测装置,110特征检测部,110a检测结果,111高频检测部,112振幅变化检测部,113周期性变化检测部,114急剧变化检测部,115偏置检测部,116单一正弦波检测部,120攻击判定部,121判定结果,122阈值计数器,123对应信息,130上下文判断部,131上下文,132上下文判断信息,140状态转变检测部,141检测结果,200MEMS传感器,201传感器数据,300控制器,301控制信号,400致动器,500控制对象,600控制系统,700攻击检测系统,910处理器,920存储器,930传感器数据输入接口,940攻击判定结果输出接口,950控制信号输入接口,960低通滤波器。

Claims (12)

1.一种攻击检测装置,其中,所述攻击检测装置具备:
特征检测部,所述特征检测部通过将由传感器检测到的传感器数据作为时序数据的波形来处理,从而针对彼此不同种类的多个基准特征的每个基准特征,从所述传感器数据的波形检测与所述基准特征对应的对应特征;以及
攻击判定部,所述攻击判定部基于针对每个所述基准特征检测到的多个所述对应特征,判定有无对所述传感器的攻击,
所述特征检测部生成各个所述对应特征作为得分,所述得分表示与所述对应特征的对应的所述基准特征一致的程度,
所述攻击判定部使用表示各个所述对应特征的所述得分,判定有无对所述传感器的攻击。
2.根据权利要求1所述的攻击检测装置,其中,
所述攻击判定部根据所述对应特征的对应的所述基准特征的所述种类,对表示所述对应特征的所述得分进行加权,基于进行了加权的所述得分,判定有无对所述传感器的攻击。
3.根据权利要求1所述的攻击检测装置,其中,
所述攻击检测装置具备上下文判断部,所述上下文判断部基于所述传感器数据和对控制对象进行控制的控制信号,对表示所述控制对象的状态的上下文进行判断,
所述攻击判定部根据所述上下文判断部的判断结果,对表示所述对应特征的所述得分进行加权,基于进行了加权的所述得分,判定有无对所述传感器的攻击。
4.根据权利要求3所述的攻击检测装置,其中,
所述攻击检测装置还具备状态转变检测部,所述状态转变检测部通过使用判断出的所述上下文和判断出的所述上下文的紧接在前的上下文,从而检测从所述紧接在前的上下文向判断出的所述上下文的状态转变的异常,
所述攻击判定部在利用所述状态转变检测部检测到所述状态转变的异常的情况下,判定为有对所述传感器的攻击。
5.根据权利要求1至权利要求4中任一项所述的攻击检测装置,其中,
所述特征检测部从所述传感器数据表示的波形检测频率的特征作为所述对应特征。
6.根据权利要求1至权利要求4中任一项所述的攻击检测装置,其中,
所述特征检测部从所述传感器数据表示的波形检测振幅变化的特征作为所述对应特征。
7.根据权利要求1至权利要求4中任一项所述的攻击检测装置,其中,
所述特征检测部从所述传感器数据表示的波形检测周期性变化作为所述对应特征。
8.根据权利要求1至权利要求4中任一项所述的攻击检测装置,其中,
所述特征检测部从所述传感器数据表示的波形检测急剧变化作为所述对应特征。
9.根据权利要求1至权利要求4中任一项所述的攻击检测装置,其中,
所述特征检测部从所述传感器数据表示的波形检测偏置作为所述对应特征。
10.根据权利要求1至权利要求4中任一项所述的攻击检测装置,其中,
所述特征检测部从所述传感器数据表示的波形检测正弦波的重叠的持续作为所述对应特征。
11.一种计算机能够读取的记录介质,记录有攻击检测程序,其中,所述攻击检测程序使计算机执行如下处理:
通过将由传感器检测到的传感器数据作为时序数据的波形来处理,从而针对彼此不同种类的多个基准特征的每个基准特征,从所述传感器数据的波形检测与所述基准特征对应的对应特征的处理;以及
基于针对每个所述基准特征检测到的多个所述对应特征,判定有无对所述传感器的攻击的处理,
在进行检测的所述处理中,生成各个所述对应特征作为得分,所述得分表示与所述对应特征的对应的所述基准特征一致的程度,
在进行判定的所述处理中,使用表示各个所述对应特征的所述得分,判定有无对所述传感器的攻击。
12.一种攻击检测方法,其中,在所述攻击检测方法中,
计算机通过将由传感器检测到的传感器数据作为时序数据的波形来处理,从而针对彼此不同种类的多个基准特征的每个基准特征,从所述传感器数据的波形检测与所述基准特征对应的对应特征,并且,
计算机基于针对每个所述基准特征检测到的多个所述对应特征,判定有无对所述传感器的攻击,
在进行检测时,生成各个所述对应特征作为得分,所述得分表示与所述对应特征的对应的所述基准特征一致的程度,
在进行判定时,使用表示各个所述对应特征的所述得分,判定有无对所述传感器的攻击。
CN201880092414.8A 2018-04-24 2018-04-24 攻击检测装置、攻击检测方法及计算机能够读取的记录介质 Active CN111971532B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/016648 WO2019207653A1 (ja) 2018-04-24 2018-04-24 攻撃検知装置、攻撃検知方法及び攻撃検知プログラム

Publications (2)

Publication Number Publication Date
CN111971532A CN111971532A (zh) 2020-11-20
CN111971532B true CN111971532B (zh) 2022-08-30

Family

ID=68293524

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880092414.8A Active CN111971532B (zh) 2018-04-24 2018-04-24 攻击检测装置、攻击检测方法及计算机能够读取的记录介质

Country Status (5)

Country Link
US (1) US20200387610A1 (zh)
EP (1) EP3767245B1 (zh)
JP (1) JP6746038B2 (zh)
CN (1) CN111971532B (zh)
WO (1) WO2019207653A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018220936A1 (de) * 2018-12-04 2020-06-04 Robert Bosch Gmbh Verfahren zur Überprüfung eines Sensorwertes eines MEMS-Sensors
KR102491867B1 (ko) * 2020-11-20 2023-01-26 고려대학교 산학협력단 센서에 대한 공격 탐지 방법
CN112581975B (zh) * 2020-12-11 2024-05-17 中国科学技术大学 基于信号混叠和双声道相关性的超声波语音指令防御方法
JP7354521B2 (ja) 2020-12-25 2023-10-03 公立大学法人 富山県立大学 匂い検出装置及び匂い検出方法
DE102022001241A1 (de) 2022-04-12 2023-10-12 Mercedes-Benz Group AG Verfahren zum Betrieb eines Fahrzeugs

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018055748A1 (ja) * 2016-09-26 2018-03-29 三菱電機株式会社 信号処理装置、信号処理方法及び信号処理プログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4171661B2 (ja) * 2003-02-19 2008-10-22 岡部機械工業株式会社 コンベヤベルトの異常検知装置
EP2629221B1 (en) * 2012-02-15 2017-04-05 BlackBerry Limited Altering sampling rate to thwart attacks that involve analyzing hardware sensor output
US10440046B2 (en) * 2015-09-25 2019-10-08 Intel Corporation Technologies for anonymous context attestation and threat analytics
JP6298021B2 (ja) * 2015-07-30 2018-03-20 トヨタ自動車株式会社 攻撃検知システムおよび攻撃検知方法
WO2017058966A1 (en) * 2015-09-28 2017-04-06 Department 13, LLC Unmanned aerial vehicle intrusion detection and countermeasures
US9998487B2 (en) * 2016-04-25 2018-06-12 General Electric Company Domain level threat detection for industrial asset control system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018055748A1 (ja) * 2016-09-26 2018-03-29 三菱電機株式会社 信号処理装置、信号処理方法及び信号処理プログラム

Also Published As

Publication number Publication date
CN111971532A (zh) 2020-11-20
JP6746038B2 (ja) 2020-08-26
EP3767245A4 (en) 2021-03-17
US20200387610A1 (en) 2020-12-10
EP3767245A1 (en) 2021-01-20
EP3767245B1 (en) 2022-10-19
WO2019207653A1 (ja) 2019-10-31
JPWO2019207653A1 (ja) 2020-07-30

Similar Documents

Publication Publication Date Title
CN111971532B (zh) 攻击检测装置、攻击检测方法及计算机能够读取的记录介质
Ravale et al. Feature selection based hybrid anomaly intrusion detection system using K means and RBF kernel function
US10846308B2 (en) Prioritized detection and classification of clusters of anomalous samples on high-dimensional continuous and mixed discrete/continuous feature spaces
JP5862023B2 (ja) 目標追跡システム及び目標追跡方法
EP3079094A1 (en) Detecting a malicious file infection via sandboxing
US10685112B2 (en) Machine learning model for malware dynamic analysis
US20140082730A1 (en) System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
KR20160008509A (ko) 하드웨어 특징들을 사용한 이상 프로세스들의 비감시된 검출
Vyas et al. Investigation of malicious portable executable file detection on the network using supervised learning techniques
US20110185422A1 (en) Method and system for adaptive anomaly-based intrusion detection
EP3614110A1 (en) Sound direction detection sensor and electronic apparatus including the same
US11050764B2 (en) Cardinality-based activity pattern detection
Ibrahim et al. Performance comparison of intrusion detection system using three different machine learning algorithms
Singh et al. An ensemble hyper-tuned model for IoT sensors attacks and anomaly detection
JP6490320B2 (ja) レーダ装置及び制御システム
CN112437921B (zh) 网络攻击检测的系统、方法和非暂时性计算机可读介质
Das et al. Intrusion detection in IoT-Based healthcare using ML and DL approaches: A case study
Bagga et al. On the effectiveness of generic malware models
EP3457609B1 (en) System and method for computing of anomalies based on frequency driven transformation and computing of new features based on point anomaly density
JP3594000B2 (ja) レーダ装置及びその動作制御方法
Kothari Defeating masquerade detection
EP2806371A1 (en) Secure platform implementing dynamic countermeasures
Han et al. Honeyid: Unveiling hidden spywares by generating bogus events
JP7292534B1 (ja) 信号処理装置、信号処理方法及び信号処理プログラム
Kazi et al. Comparing and analysing binary classification algorithms when used to detect the Zeus malware

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant