CN112703497A - 威胁分析装置、威胁分析方法、以及程序 - Google Patents
威胁分析装置、威胁分析方法、以及程序 Download PDFInfo
- Publication number
- CN112703497A CN112703497A CN201980060193.0A CN201980060193A CN112703497A CN 112703497 A CN112703497 A CN 112703497A CN 201980060193 A CN201980060193 A CN 201980060193A CN 112703497 A CN112703497 A CN 112703497A
- Authority
- CN
- China
- Prior art keywords
- threat information
- threat
- risk level
- information
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 107
- 238000000034 method Methods 0.000 claims description 40
- 238000012545 processing Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 description 213
- 238000010586 diagram Methods 0.000 description 34
- 230000000694 effects Effects 0.000 description 21
- 230000008569 process Effects 0.000 description 17
- 238000004590 computer program Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 230000010365 information processing Effects 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 201000007023 Thrombotic Thrombocytopenic Purpura Diseases 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000004904 shortening Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Traffic Control Systems (AREA)
Abstract
威胁信息分析服务器(10),具备:更新管理部(210),管理更新信息,该更新信息示出对IoT设备进行了功能追加;威胁信息管理部(400),存放网络攻击的威胁信息;风险级别管理部(300),管理风险级别信息,在该风险级别信息中定义了IoT设备的风险级别;关联威胁信息管理部(500),管理威胁信息以及关联威胁信息,在该关联威胁信息中对IoT设备与风险级别建立了关联;风险级别更新部(220),根据更新信息,对威胁信息与IoT设备的风险级别建立关联,更新关联威胁信息;以及输出部(230),对由关联威胁信息管理部(500)管理的关联威胁信息进行输出。
Description
技术领域
本发明涉及威胁分析装置、威胁分析方法、以及程序。
背景技术
为了对车辆的网络攻击进行的分析效率化,有利用STIX(Structured ThreatInformation eXpression:结构化威胁信息表达式)的技术(参考专利文献1),该STIX是标准化的规范。
(现有技术文献)
(专利文献)
专利文献1∶日本特开2018-32354号公报
然而,在出现了针对车辆新的威胁的情况下,存在对新的威胁进行分析为止需要时间的问题。另外这个问题,不仅限于发生在车辆上,还广泛地发生在IoT(Internet ofThings:物联网)设备。
发明内容
于是,本发明提供一种威胁分析装置,能够缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
本发明的一个方案涉及的威胁分析装置,具备:更新管理部,管理更新信息,所述更新信息示出对IoT设备进行了功能追加;威胁信息管理部,存放网络攻击的威胁信息;风险级别管理部,管理风险级别信息,在所述风险级别信息中定义了所述IoT设备的风险级别;关联威胁信息管理部,管理所述威胁信息以及关联威胁信息,在所述关联威胁信息中对所述IoT设备与所述风险级别建立了关联;风险级别更新部,根据所述更新信息,对所述威胁信息与所述IoT设备的所述风险级别建立关联,更新所述关联威胁信息;以及输出部,对由所述关联威胁信息管理部管理的所述关联威胁信息进行输出。
另外,这些概括或者具体的方案,可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以任意组合系统、方法、集成电路、计算机程序以及记录介质来实现。
通过本发明的威胁分析装置,能够缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
附图说明
图1是示出实施方式1中的威胁信息分析系统的构成的模式图。
图2是示出实施方式1中的STIX中描述的威胁信息的一例的说明图。
图3是示出实施方式1中的威胁信息的交换顺序的序列图。
图4是示出实施方式1中的威胁信息分析服务器的构成的说明图。
图5是示出实施方式1中的风险级别管理部保持的每个功能的风险级别表的一例的说明图。
图6是示出实施方式1中的风险级别管理部保持的每个关联ECU的风险级别表的一例的说明图。
图7是示出实施方式1中的风险级别管理部保持的每个应用权限的风险级别表的一例的说明图。
图8是示出实施方式1中的威胁信息管理部保持的威胁信息数据库的一例的说明图。
图9是示出实施方式1中的关联威胁信息管理部保持的每个型号的关联威胁信息数据库的一例的说明图。
图10是示出实施方式1中的通过更新追加了功能之后的每个型号的关联威胁信息数据库的一例的说明图。
图11是示出实施方式1中的功能追加时的每个车型的关联威胁信息被更新的处理的序列图。
图12是示出实施方式1中的功能追加时的关联威胁信息被更新的处理的序列图。
图13是示出实施方式1中的功能追加的更新之前的关联威胁信息输出画面的一例的说明图。
图14是示出实施方式1中的功能追加的更新之后的关联威胁信息输出画面的一例的说明图。
图15是示出实施方式2中的通过更新从而功能追加的情况下的每个车辆的关联威胁信息被更新的处理的序列图。
图16是示出实施方式2中的每个车辆的关联威胁信息数据库的一例的说明图。
图17是示出实施方式2中的每个车辆的关联威胁信息输出画面的一例的说明图。
具体实施方式
(成为本公开的基础的见解)
本发明者针对背景技术中记载的网络攻击,发现了会产生如下问题。
近几年在与网络连接的汽车即互联汽车中,开始搭载OTA(Over the Air:空中下载)功能,该OTA功能是以无线来更新在汽车上搭载的软件的功能。这样通过利用OTA,优点在于汽车制造厂能够大幅度减少招回费用。此外,汽车制造厂能够缩短对网络攻击的对应时间,不仅能够提高品质的运用效率,而且在出货后也能强化车辆性能的功能。
另一方面,在汽车与因特网连接时,与计算机等同样对汽车的网络攻击的风险高涨。尤其是在车载系统采用以Linux(注册商标)为首的开源软件,或者伴随电动化或者高功能化使软件规模扩大,从而在出货之前完全去除脆弱性有难度,所以出现在出货之后脆弱性被网络攻击的问题。
即使发现脆弱性,将该对策反映到车辆上需要花时间。在反映对策为止的期间,有可能受到网络攻击,所以缩短反映对策为止的时间变得很重要。
即使新发现的网络攻击,有时也利用现有的脆弱性或者攻击方法,所以在分析攻击时,参考过去的攻击事例或者对策方案很有效。基于上述,为了使对网络攻击进行的分析效率化,规定了规格,以被标准化的规范即STIX(Structured Threat InformationeXpression)来描述过去的网络攻击的活动,交换威胁信息。
已知有利用STIX提供类似的网络攻击,分析攻击的方法(专利文献1)。然而,在专利文献1中,在通过OTA更新了车辆的功能时,关于被更新的功能不能迅速地提示威胁信息。
另一方面,通过互联汽车中的软件更新功能,在出货之后被强化的功能,容易受关注,容易成为攻击的对象。此外,很多攻击利用过去的脆弱性或者攻击方法。
于是在本发明中,对通过软件更新而被追加的新功能和与其有关的过去的威胁信息建立关联,迅速提示给进行威胁分析的安全分析师。通过上述实现如下目的,在检测出针对由软件更新而被追加的新功能的网络攻击的情况下,参考与新功能建立关联的威胁信息来分析攻击,从而能够实现分析的效率化,能够缩短从发现攻击到进行对策为止的时间。
本发明的一个方案涉及的威胁分析装置,具备:更新管理部,管理更新信息,所述更新信息示出对IoT设备进行了功能追加;威胁信息管理部,存放网络攻击的威胁信息;风险级别管理部,管理风险级别信息,在所述风险级别信息中定义了所述IoT设备的风险级别;关联威胁信息管理部,管理所述威胁信息以及关联威胁信息,在所述关联威胁信息中对所述IoT设备与所述风险级别建立了关联;风险级别更新部,根据所述更新信息,对所述威胁信息与所述IoT设备的所述风险级别建立关联,更新所述关联威胁信息;以及输出部,对由所述关联威胁信息管理部管理的所述关联威胁信息进行输出。
通过上述方案,威胁分析装置将与IoT设备的软件更新而被追加的功能相关联的威胁信息,检索过去的威胁信息建立关联并输出。分析师能够根据被输出的与追加的功能有关联的威胁信息,与其建立关联的过去的威胁信息进行分析。这样,在通过软件更新而被追加的功能成为网络攻击的对象时,能够使对攻击的分析效率化,从发生网络攻击到对其采取对策的时间大幅度缩短。从而通过威胁分析装置,能够缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。此外,在能够缩短所述时间时,也能够获得将用于威胁分析装置运行的电力减少的效果。
例如可以是,所述IoT设备为移动设备,所述威胁分析装置,进一步具备:威胁信息交换处理部,对所述威胁信息进行交换。
通过所述方案,威胁分析装置,针对作为IoT设备的以互联汽车为首的汽车、建机、或农机等移动设备的软件更新,能够缩短对新的威胁分析所需要的时间。
例如可以是,所述风险级别,按照与移动控制有关联的每个功能而被定义。
通过所述方案,威胁分析装置,能够按照前行、转弯、停止等车辆的每个控制来定义风险级别,也能够按照自动驾驶的级别来设定风险级别。从而,威胁分析装置,利用按照车辆的每个控制而定义的风险级别,能够更容易地缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
例如可以是,所述风险级别,根据发送移动控制报文的电子控制单元与接收移动控制报文的电子控制单元的关系而被定义。
通过所述方案,按照每个执行移动设备控制的电子控制单元(ECU),能够设定风险级别。例如也能够将执行多个控制的ECU的风险级别设定地很高。此外,也可以按照ECU采用的硬件安全模块的每个级别进行设定。此外,也可以按照每个ECU供应商设定风险级别。从而,威胁分析装置,利用按照每个ECU而定义的风险级别,能够更容易地缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
例如可以是,所述风险级别,按照与进行移动控制的应用对应的权限的数量而被定义。
通过所述方案,能够按照面向服务的体系结构(service-orientedarchitecture)中的每个应用定义风险级别。尤其在面向车载OS的应用中,将功能作为服务来提供,关于各个应用利用哪个服务由清单文件来定义,所以能够按照赋予给应用的每个清单文件定义风险级别。从而,威胁分析装置,利用按照与应用对应的权限的数量而定义的风险级别,能够更容易地缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
例如可以是,所述关联威胁信息,按照每个车型而被管理。
通过所述方案,能够按照每个车型提示相关联的威胁信息,达到安全分析效率化。从而,威胁分析装置,利用按照每个车型而被管理的关联威胁信息,能够更容易地缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
例如可以是,所述关联威胁信息,按照每个车辆而被管理。
通过所述方案,即使在相同的车型(型号),更新定时不同的车辆上,能够按照个别的车辆的更新状况来提示关联威胁信息,能够实现更灵活高效的安全分析。从而,威胁分析装置,利用按照每个车辆而被管理的关联威胁信息,能够更容易地缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
例如可以是,所述风险级别更新部,在结束对所述IoT设备进行的所述功能追加之前,更新所述关联威胁信息。
通过所述方案,在IoT设备的软件更新之后,能够立即提示被更新的功能相关联的威胁信息,即使在更新之后,立即对新功能发生网络攻击,也能高效地进行攻击分析。从而,威胁分析装置,在IoT设备进行软件更新的紧之后,能够缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
例如可以是,所述风险级别更新部,在结束对规定数量的所述IoT设备进行的所述功能追加之后,更新所述关联威胁信息。
通过所述方案,能够灵活地设定针对新功能的威胁信息的提示定时。具体而言,能够在规定数量的车辆上试行软件的动作之后,提示针对新功能的威胁信息。从而,利用灵活设定的定时,能够缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。
例如可以是,所述威胁分析装置,进一步具备:车辆控制部,在由所述风险级别更新部更新了所述关联威胁信息的情况下,根据更新后的所述关联威胁信息,向车辆发送控制信号。
通过所述方案,能够利用更新之后的关联威胁信息来控制车辆。从而,威胁分析装置,能够缩短从发现新的威胁的攻击到分析新的威胁以及控制车辆为止需要的时间。
此外,本发明的一个实施方式涉及的威胁分析方法,包括:更新管理步骤,管理更新信息,所述更新信息示出对IoT设备进行了功能追加;威胁信息管理步骤,存放网络攻击的威胁信息;风险级别管理步骤,管理风险级别信息,在所述风险级别信息中定义了所述IoT设备的风险级别;关联威胁信息管理步骤,管理所述威胁信息以及关联威胁信息,在所述关联威胁信息中对所述IoT设备与所述风险级别建立了关联;风险级别更新步骤,根据所述更新信息,对所述威胁信息与所述IoT设备的所述风险级别建立关联,更新所述关联威胁信息;以及输出步骤,对在所述关联威胁信息管理步骤管理的所述关联威胁信息进行输出。
通过上述,能够起到与所述威胁分析装置同样的效果。
此外,本发明的一个实施方式涉及的程序,是用于使计算机执行所述威胁分析方法的程序。
通过上述,能够起到与所述威胁分析装置同样的效果。
另外,这些概括或者具体的方案,可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以任意组合系统、方法、集成电路、计算机程序以及记录介质来实现。
以下,针对实施方式,参考附图进行具体说明。
另外以下说明的实施方式都是示出本公开的概括或者具体的例子。以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置位置以及连接形态、步骤、步骤的顺序等均为一个例子,其主旨并非是对本发明进行限定。此外,以下的实施方式中的构成要素中,示出最上位概念的技术方案没有记载的构成要素,作为任意的构成要素来说明。
(实施方式1)
在本实施方式中,说明威胁信息分析系统,通过该系统能够缩短从发现新的威胁的攻击到分析新的威胁为止需要的时间。威胁信息分析系统,相当于威胁分析装置。
在本实施方式中利用附图说明如下例子,即通过软件更新功能,在车辆中追加了功能的情况下,根据预先决定的风险级别,显示与按每个车辆追加的功能有关的威胁信息的例子。
另外,车辆是移动设备的一例,也是IoT设备的一例。
<威胁信息分析系统的结构>
图1是示出本实施方式中的威胁信息分析系统1的构成的模式图。
如图1示出,威胁信息分析系统1具备:威胁信息分析服务器10、威胁信息管理服务器20、更新服务器30、以及车辆50a、50b、50c、50d、50e、50f。所述装置以及各个车辆,经由网络40而被连接。
威胁信息管理服务器20是管理威胁信息100的服务器。
威胁信息分析服务器10,作为进行车辆50a~车辆50f的安全监视的安全运营中心的服务器来发挥作用。在车辆50a~车辆50f中检测出异常时,车辆50a~车辆50f,向威胁信息分析服务器10通知异常,进而定期地或者有事件时通知车辆的安全状态。
威胁信息管理服务器20,具备利用从车辆50a~车辆50f接收的信息,对车辆50a~车辆50f的网络攻击进行分析的SIEM(Security Information and Event Management:安全信息与事件管理)功能。威胁信息分析服务器10,为了分析新发生的网络攻击,参考记录了过去的脆弱性或者攻击顺序等威胁信息100。关于威胁信息100,由威胁信息分析服务器10,从威胁信息管理服务器20接收。
更新服务器30具备如下功能:分发用于保持出货后的车辆50a~车辆50f的安全级别从而修正脆弱性的软件的功能,以及分发用于对车辆50a~车辆50f进行功能追加或者提高性能的软件的功能。
网络40是包括Wi-Fi等的局域网、便携式电话的电信网络、以及包括因特网等的网络。
<威胁信息>
图2是示出本实施方式中的STIX中描述的威胁信息的一例的威胁信息100的说明图。图2中的威胁信息100示出由威胁信息管理服务器20管理的威胁信息。在STIX描述的威胁信息,也被称为STIX_Package。
在网络攻击活动的分析中,如同攻击者(换言之参与网络攻击的人或组织)、攻击者的行动或手法、瞄准的脆弱性等,需要从攻击者侧的侧面来整理状况。并且在网络攻击活动的分析中,如同用于检测网络攻击的征兆、由网络攻击引起的问题、或针对网络攻击需要采取的措施等,需要从防护侧的侧面来整理状况。
威胁信息100,将这些相关联的信息按照标准化的方法来描述,以为了网络空间中的威胁以及网络攻击的分析,确定表征网络攻击的现象,网络攻击活动的管理,共享与网络攻击有关的信息而开发的STIX(Structured Threat Information eXpression)来描述。在图2中以STIX的版本1的格式来描述了威胁信息100。
威胁信息100,包括网络攻击活动(Campaigns)、攻击者(Threat_Actors)、攻击手法(TTPs)、检测指标(Indicators)、观测现象(Observables)、事件(Incidents)、对应措施(Courses_Of_Action)、以及攻击对象(Exploit_Targets)的8个信息群而构成。在图2中,作为例子,从网络攻击活动(Campaigns)的字段能够链接的各个信息字段用箭头记号来表示。
威胁信息100具有STIX_Header的字段101、关于Related_Packages的附属信息的字段110、与所述网络攻击活动有关的各个项目的信息的字段102~109。
作为例子,网络攻击活动(Campaigns)的字段108,与各个项目的字段(103,104,106,109以及110)链接。
在网络攻击活动(Campaigns)的字段108中,描述有相应的网络攻击活动的意图或者攻击活动的状态等。具体而言,在字段108中,分别描述了网络攻击活动或者攻击者的意图(Intended_Effect)的信息。此外,在字段108中,描述了攻击活动状态(campaign:Status)。
在攻击者(Threat_Actors)的字段109中,从网络攻击的攻击者的类型、攻击者的动机、攻击者的熟练度、或者攻击者的意图等视点上,描述了与进行网络攻击的人或者组织有关的信息。例如,在字段109中描述有不正当访问源(换句话说发送源)的IP地址、或者邮箱地址、社交网络服务的帐户的信息。
在攻击手法(TTPs)的字段104中分别描述有与攻击的模式、攻击者使用的恶意软件或工具等的资源、攻击者的攻击基盘、或者攻击对象有关的信息。另外,攻击的模式(ttp:Attack_Pattern),利用CAPEC(Common Attack Pattern Enumeration andClassification:常见攻击模式一览)来描述。例如,在字段104中描述有分配给涉及网络攻击的信息处理装置的IP地址、以及来自信息处理装置的访问目的地中的至少任一个信息。
在检测指标(Indicators)的字段103中,描述了示出指标的信息,该指标表征网络攻击事件。例如,在字段103中描述有检测指标的类型、与检测指标有关的观测现象、攻击阶段、痕迹等制作检测指标而使用的工具,还描述有表征网络攻击的指标。
在观测现象(Observables)的字段102中,描述了示出由网络攻击事件而观测到的动作有关的现象的信息。例如在字段102中,作为由网络攻击而观测到的现象,描述有文件名、散列值或者文件大小、注册表的值、运行中的服务、或者HTTP请求等。此外,在描述时,使用了用于描述网络攻击的观测现象的规范即CybOX(Cyber Observable eXpression)。
在事件(Incidents)的字段106中,从是怎样的事件的分类、事件的参与者(具体而言是报告者、应对者、调整者或受害者)、通过事件而受害的资产(具体而言是所有者、管理者或场所)、通过事件的直接或间接的影响、事件对应措施的状况等的视点上,描述了通过网络攻击发生的事例的信息。例如,在字段106中,描述了通过网络攻击的攻击者而受害的资产的所有者或管理者,资产的场所的信息。
在对应措施(Courses_Of_Action)的字段107中,根据对应措施的状况、对应措施的类型、对应措施的目标、影响、费用或有效性的视点,描述了示出用于对应通过网络攻击事件的威胁的措施的信息。
在攻击对象(Exploit_Targets)的字段105中,从脆弱性、脆弱性的种类、设定以及构成等的视点上,描述了有可能成为攻击对象的软件以及系统的脆弱性等,在网络攻击事件中示出成为攻击对象的资产的弱点的信息。例如,在字段105中,为了描述脆弱性,使用CVE(Common Vulnerability and Exposures:通用脆弱性标识符)。此外,在字段105中,为了描述脆弱性的种类,使用CWE(Common Weakness Enumeration:通用脆弱性列表)。此外,在字段105中,为了描述设定上的安全问题,使用CCE(Common ConfigurationEnumeration:通用配置列表)。
在本实施方式的威胁信息100用STIX的格式进行了说明,但是不需要限定为STIX的格式,可以利用其他的格式。
<威胁信息100交换序列>
图3是示出本实施方式中的威胁信息的交换顺序的序列图。在图3中示出由威胁信息分析服务器10,从威胁信息管理服务器20收集威胁信息100时的顺序。
在步骤S101中,威胁信息分析服务器10,访问威胁信息管理服务器20。具体而言,威胁信息分析服务器10,将威胁信息请求发送给威胁信息管理服务器20。威胁信息管理服务器20接收发送来的威胁信息请求。
在步骤S102中,威胁信息管理服务器20,按照在步骤S101接收的威胁信息请求,将威胁信息100发送给威胁信息分析服务器10。威胁信息分析服务器10,接收发送来的威胁信息100。
在步骤S103中,威胁信息分析服务器10,将在步骤S102接收的威胁信息100保存在威胁信息管理部400。
在此在步骤S101以及S102中,例如,按照作为威胁信息的交换顺序而规定的TAXII(Trusted Automated eXchange of Indicator Information:指标信息的可信自动化交换)协议,交换威胁信息。该交换序列可以定期进行,也可以在新登记威胁信息时进行。本实施方式中的威胁信息的交换顺序,被说明为利用TAXII,但是不需要限定为TAXII协议,也可以利用其他的通信协议。
<威胁信息分析服务器10>
图4是示出威胁信息分析服务器10的构成的说明图。
如图4示出,威胁信息分析服务器10包括威胁信息交换处理部200、更新管理部210、风险级别更新部220、输出部230、车辆控制部240、风险级别管理部300、威胁信息管理部400、以及关联威胁信息管理部500来构成。
威胁信息交换处理部200是交换威胁信息的处理部。具体而言,威胁信息交换处理部200按照图3示出的TAXII协议,从威胁信息管理服务器20获得威胁信息100。
更新管理部210,从更新服务器30接收软件,该软件是用于保持出货后的车辆50a~车辆50f的安全级别而修正了脆弱性的软件。此外,更新管理部210接收用于对车辆50a~车辆50f追加功能或者提高性能的软件的分发的状况、更新后的软件、以及车辆功能的信息。此外,更新管理部210,将从更新服务器30接收的信息,提供给风险级别管理部300。
风险级别更新部220是根据更新信息,对威胁信息与车辆的风险级别建立关联,并且更新关联威胁信息的处理部。风险级别更新部220,具体而言,根据从更新管理部210接收的信息,更新在风险级别管理部300保存的风险级别表310。此外,风险级别更新部220,对从更新管理部210接收的与更新内容有关的威胁信息100,是否包括在威胁信息管理部400管理的威胁信息数据库410中进行判断。风险级别更新部220,在判断为与更新内容有关的威胁信息100包括在威胁信息数据库410的情况下,根据风险级别表310,来更新由关联威胁信息管理部500保持的每个型号的关联威胁信息数据库510。关于详细的序列后述。
风险级别管理部300,管理被定义了车辆的风险级别的风险级别表。风险级别表,可以按照与车辆的移动控制有关联的每个功能来被定义,也可以按照发送和接收移动控制报文的每个ECU(Electronic Control Unit,电子控制单元)来被定义,也可以按照与进行移动控制的应用对应的权限的数量而被定义。如上述被定义的风险级别表,在后边详细说明。另外,风险级别表是定义了IoT设备的风险级别的风险级别信息的一例。
威胁信息管理部400保持威胁信息数据库410。威胁信息数据库410,相当于网络攻击的威胁信息。
关联威胁信息管理部500管理威胁信息以及关联威胁信息,该关联威胁信息对车辆与风险级别建立了关联。关联威胁信息管理部500,具体而言,保持并管理每个型号的关联威胁信息数据库510。
输出部230,通过输出每个型号的关联威胁信息数据库510的内容,利用威胁信息分析服务器10分析网络攻击,提示给安全分析师。例如,输出部230具备显示画面,通过按照每个车型型号易懂地显示关联的威胁信息,从而将每个型号的关联威胁信息数据库510的内容提示给安全分析师。
车辆控制部240是根据关联威胁信息,向车辆发送控制信号的处理部。更具体而言,在车辆控制部240中,通过风险级别更新部220更新了关联威胁信息的情况下,根据更新后的关联威胁信息向车辆发送控制信号。控制信号是,例如在车辆上不运行通过威胁可能被攻击的软件的控制,或者向车辆的驾驶员提示示出通过威胁可能被攻击的软件的报文的控制等的控制信号。
<每个功能的风险级别表>
图5是示出本实施方式中的风险级别管理部300保持的每个功能的风险级别表的一例的说明图。
图5是风险级别表310的一例,是每个功能的风险级别表311,其定义了车辆具备的每个功能的风险级别。
每个功能的风险级别表311包括自动驾驶级别、车辆具备的功能、关于该功能的风险级别来构成。这里自动驾驶级别是示出车辆的自动化的程度(级别)的通常的指标。
在图5中,定义了按照每个自动驾驶级别分别对应地规定的、车辆具备的每个功能的风险级别。
与自动驾驶级别0对应的功能,例如包括死角检测功能。另外,自动驾驶级别为0的车辆,驾驶员在所有时间进行全部的驾驶操作,自动操作系统不会介入车辆的控制。
与自动驾驶级别1对应的功能,例如包括自适应巡航控制(ACC)、防止脱离车道、自动刹车等的功能。另外,自动驾驶级别1是,由自动驾驶系统支援转向装置的操作与加减速中的任一个的自动驾驶级别。
与自动驾驶级别2对应的功能,例如包括堵车跟踪、泊车支援、自动变更车道、切入减速、保持车道中央等功能。另外,自动驾驶级别2是,自动驾驶系统支援转向装置的操作与加减速这双方的自动驾驶级别。
与自动驾驶级别3对应的功能,例如具备高速跟踪、超车、编队及分离、急转弯自动行驶、脱离主道、紧急靠路边退避、或者自动泊车等的功能。另外,自动驾驶级别3是在特定的场所,通过自动驾驶系统自动化进行全部操作的自动驾驶级别。但是在紧急情况时要求由驾驶员进行操作。
与自动驾驶级别4对应的功能,例如包括信号停止及前进、避开步行者及自行车、避开障碍物、按照需要慢行、交叉路口的右转左转及停止及进入、按照标志行驶、避开对向车辆、大型车辆识别判断、或者窄路行驶等功能。另外,自动驾驶级别4是在特定的场所,通过自动驾驶系统自动化进行全部操作的自动驾驶级别。在紧急情况时也自动化进行。
与自动驾驶级别5对应的功能,例如包括信号停止及前进、避开步行者及自行车、避开障碍物、按照需要慢行、交叉路口的右转左转及停止及进入、按照标志行驶、避开对向车辆、大型车辆识别判断、或者窄路行驶等功能。另外,自动驾驶级别5是通过自动驾驶系统自动化进行所有状况下的操作的自动驾驶级别。
另外,车辆还具有与该车辆的自动驾驶级别以下的自动驾驶级别对应的功能。换句话说,自动驾驶级别N(但是N=0~5)的车辆,也具有与自动驾驶级别N以下的级别对应的功能。
这样,自动驾驶级别越高,由自动驾驶系统控制的范围更大,换言之,车辆具备的功能越增加。因此自动驾驶级别越高,风险级别被设定地越高。
在图5中,与自动驾驶级别0对应的功能被设定为风险级别1,与自动驾驶级别1对应的功能被设定为风险级别2,与自动驾驶级别2对应的功能被设定为风险级别3,与自动驾驶级别3对应的功能被设定为风险级别4,与自动驾驶级别4对应的功能被设定为风险级别5,与自动驾驶级别5对应的功能被设定为风险级别6。
另外,在自动驾驶级别相同时设定为相同的风险级别,但是在相同的级别内也可以按照每个功能改变风险级别。
<每个关联ECU的风险级别表>
图6是示出本实施方式中的风险级别管理部300保持的每个关联ECU的风险级别表的一例的说明图。
图6是风险级别表310的一例,是每个关联ECU的风险级别表312,其按照在车载网络系统搭载的每个ECU定义了风险级别。
在每个关联ECU的风险级别表312中,定义了ECU制造厂、ECU识别信息、ECU软件版本、发送报文的ECU与接收报文的ECU的信息、摄像头/传感器/摄像头的使用可否状况、按每个ECU的风险级别。另外将具有发送和接收报文的关系的ECU表述为“关联的ECU”。
例如在图6的ECU制造厂A的ECU_A1中,ACC软件的版本是1.0,具有与ECU_B1收发报文的关系,示出为了实现功能使用摄像头和雷达的信息。
此外,在ECU_A3中,分别对2个版本定义了风险级别。具体而言,在ECU_A3的软件版本1.0,具有与ECU_A2收发报文的关系,车辆具有泊车支援的功能。在ECU_A3的软件版本2.0,也具有与ECU_A1收发报文的关系,车辆具有泊车支援功能还具有自动泊车功能。
在功能被追加时,收发报文的ECU,换言之关联ECU也增加。在收发报文的ECU增加时,由于1个ECU的脆弱性,会有给进行收发的ECU也带来风险的危险。因此关联的ECU越多,设定的风险级别也越高。
<每个应用权限的风险级别表>
图7是示出本实施方式中的风险级别管理部300保持的每个应用权限的风险级别表的一例的说明图。
图7是针对风险级别表310按照在车辆安装的每个应用的权限定义了风险级别的每个应用权限的风险级别表313。每个应用权限的风险级别表313包括:应用供应商名、应用ID、软件版本、应用具备的功能、针对应用具有的功能或者设备的访问权限信息、以及风险级别来构成。
例如在图7中供应商A的应用A3的软件版本1.0保持针对转向装置操作、加速器操作、摄像头、激光的访问权限信息,此外支援泊车支援功能。
此外,应用A3的软件版本2.0示出不仅保持泊车支援功能,还保持刹车操作的权限信息,并且追加了自动泊车功能。
在追加了应用的功能或者应用的对装置的访问权限时,车辆的控制范围会扩大。应用的访问权限的增加,表示1个应用的脆弱性对车辆控制带来的风险扩大,所以访问权限的数量越多,风险级别被设定地越高。
<威胁信息数据库410>
图8是示出本实施方式中的威胁信息管理部400保持的威胁信息数据库的一例即威胁信息数据库410的说明图。
威胁信息管理部400,保存在威胁信息交换处理部200获得的威胁信息100。
威胁信息数据库410是示出威胁信息100示出的各个威胁信息,是否为与车辆具备的功能、ECU或者应用有关联的威胁的表。例如示出ECU_A3以及应用A3与威胁信息ID003、010以及020有关联。因为ECU_A3以及应用A3,具有泊车支援和自动泊车支援功能。
<每个型号的关联威胁信息数据库(更新前)>
图9是作为关联威胁信息管理部500保持的每个型号的关联威胁信息数据库的一例,示出每个型号的关联威胁信息数据库510的说明图。
每个型号的关联威胁信息数据库510是对按照每个车型型号的威胁信息与其风险级别进行管理的表。
具体而言,每个型号的关联威胁信息数据库510包括汽车制造厂、车型信息、功能信息、控制该功能的ECU ID、风险级别、与ECU有关联的威胁信息的ID来构成。
在图9示出根据图6的每个关联ECU的风险级别表312,按照每个车辆设定了风险级别的例子。例如示出如下,汽车制造厂OEM_A的车型型号A1的ECU_A1具有ACC功能,ACC功能的风险级别是2,与ACC或者ECU_A1有关联的威胁信息是威胁信息001。
此外示出如下,汽车制造厂OEM_A的车型型号A1的ECU_A3具有泊车支援功能,泊车支援功能的风险级别是3,与泊车支援功能或者ECU_A3有关联的威胁信息是威胁信息003。
<每个型号的关联威胁信息数据库(更新后)>
图10是示出本实施方式中的通过更新追加了功能之后的每个型号的关联威胁信息数据库的一例,即每个型号的关联威胁信息数据库510A的说明图。
在车辆的功能被追加,存在与被追加的功能有关联的功能的情况下,与追加功能有关的威胁信息追加到每个型号的关联威胁信息数据库510中,成为每个型号的关联威胁信息数据库510A。
图10示出汽车制造厂OEM_A的车型型号A1的具有泊车支援功能的ECU_A3,通过软件更新,新追加了自动泊车功能的情况下的每个型号的关联威胁信息数据库510A。并且示出如下,ECU_A3的自动泊车功能的风险级别是4,作为与ECU_A3或自动泊车功能有关联的威胁信息,新追加了威胁信息010和020。
<更新序列>
图11和图12是示出由OTA更新在车辆50a~车辆50f搭载的软件,追加功能时的序列的说明图。在这里说明将汽车制造厂OEM_A的型号A1车型的ECU_A3的泊车支援功能(风险级别3)的软件,更新为与自动泊车功能(风险级别4)对应的软件,进行了功能追加的例子。
更具体而言,图11是示出本实施方式中的功能追加时的每个车型的关联威胁信息更新的处理的序列图。图12是示出本实施方式中的功能追加时的关联威胁信息被更新的处理的序列图。
如图11示出,在步骤S201中,在更新服务器30登记与应该更新的对象软件以及更新功能有关的信息。例如登记ECU_A3的新软件。此时作为更新功能信息,登记成为分发的对象的汽车制造厂的信息、车型信息、追加功能信息、成为更新对象的ECU信息(ECU的ID、硬件版本信息、或者ECU的软件的版本信息)以及风险级别。
在步骤S202中,更新服务器30,将在步骤S201登记的更新功能信息发送给威胁信息分析服务器10的更新管理部210。
在步骤S203中,更新管理部210,向风险级别更新部220发送更新功能信息。
在步骤S204中,风险级别更新部220判断在步骤S203接收的更新功能信息,是否登记在风险级别表310。在判断为更新功能信息登记在风险级别表310的情况下(在步骤S204中的“是”)移到步骤S206的处理,在没有登记的情况下(步骤S204中的“否”)移到步骤S205的处理。
在步骤S205中,风险级别更新部220,更新风险级别表310。具体而言,按照每个功能定义了风险级别的情况下,更新图5示出的每个功能的风险级别表311。按照每个ECU定义了风险级别的情况下,更新图6示出的每个关联ECU的风险级别表312。在按照每个应用定义了风险级别的情况下,更新图7示出的每个应用权限的风险级别表313。另外,可以对每个功能的风险级别表311、每个关联ECU的风险级别表312、每个应用权限的风险级别表313进行组合来判断风险级别。
在步骤S206中,风险级别更新部220,向更新管理部210通知风险级别表的更新结束。
在步骤S207中,更新管理部210,向更新服务器30通知风险级别表的更新结束。
看图12,在步骤S208中,更新服务器30向车辆50a~车辆50f分发新的软件。例如将汽车制造厂OEM_A的车型型号A1的ECU_A3的泊车支援功能(风险级别3)的软件,更新为与自动泊车功能(风险级别4)对应的软件的情况下,更新服务器30,将更新软件分发给更新对象车辆即车辆50a和车辆50b。
在步骤S209中,更新对象车辆,被更新为在步骤S208接收的软件。在这里没有详细记载,但是在更新处理中,优选的是在软件中赋予数字签名并分配,在车辆内进行软件的签名验证。
在步骤S210中,更新对象车辆,在更新处理结束时,将结束了软件更新的通知,即更新结束通知发送给更新服务器30。
在步骤S211中,更新服务器30,将与被更新的功能有关的信息,即更新功能信息发送给威胁信息分析服务器10。
在步骤S212中,威胁信息分析服务器10的更新管理部210,将更新功能信息发送给风险级别更新部220。
在步骤S213中,风险级别更新部220,判断与更新功能有关联的威胁信息是否包括在威胁信息管理部400中的威胁信息数据库410。在判断为没有与更新功能有关联的威胁信息的情况下(步骤S213中的“否”),移到步骤S217的处理。另一方面,在判断为有与更新功能相关联的威胁信息的情况下(步骤S213中的“是”),移到步骤S214的处理。
在步骤S214中,风险级别更新部220,在风险级别管理部300的每个功能的风险级别表311参考更新功能的风险级别。
在步骤S215中,风险级别更新部220,对关联威胁信息管理部500的每个型号的关联威胁信息数据库510,追加更新功能信息,并追加与更新功能有关联的威胁信息和风险级别,更新每个型号的关联威胁信息数据库510。
例如,将汽车制造厂OEM_A的车型型号A1的ECU_A3的泊车支援功能(风险级别3)的软件,更新为与自动泊车功能(风险级别4)对应的软件的情况下,步骤S215的更新前的每个型号的关联威胁信息数据库510,如图9一样登记了功能及威胁信息及风险级别,但是步骤S215的处理之后,如图10一样追加了与自动泊车功能有关的威胁信息及风险级别。
在步骤S216中,风险级别更新部220,将结束了每个型号的关联威胁信息数据库的更新的通知,即关联威胁信息更新结束通知,发送给输出部230。
在步骤S217中,输出部230,将登记在每个型号的关联威胁信息数据库的信息,在安全分析师容易解释的用户界面上,在显示画面进行显示。
如上所述,风险级别更新部220,在车辆的功能追加结束之前,更新关联威胁信息。从而,威胁信息分析服务器10,从软件更新之后,能够马上提示与被更新的功能有关联的威胁信息,即使在更新之后立即对新功能发生了网络攻击,也能够高效地进行攻击分析。
另外,风险级别更新部220,可以在结束对规定数量的车辆进行的功能追加之后,更新关联威胁信息。从而,威胁信息分析服务器10,能够灵活地设定针对新功能的威胁信息的提示的定时。具体而言,在规定数量的车辆中试行软件的动作之后,能够对新功能的威胁信息进行提示。
<功能追加前的输出画面图片>
图13是示出本实施方式中的功能追加的更新之前的关联威胁信息输出画面的一例的说明图。图13示出图9的每个型号的关联威胁信息数据库的显示的一例。
在图13中示出将汽车制造厂OEM_A的车型型号A1的ECU_A3的泊车支援功能(风险级别3)的软件,更新为与自动泊车功能(风险级别4)对应的软件,进行了功能追加的例子即关联威胁信息输出画面800。
在图13示出的关联威胁信息输出画面800中,关于汽车制造厂OEM_A的车型型号A1具备的各个功能,示出与该功能相关联的ECU、该功能的风险排位、以及与该功能相关联的威胁信息。
分析师看图13示出的输出画面可以知道按照每个功能的风险级别,能够有用于日志的分析。分析师通过分析从车辆50a等加载到威胁信息分析服务器10的日志,从而监视该车辆50a是否受到新的威胁、或已知的威胁引起的攻击。此时,分析师在图13示出的输出画面中,针对风险级别越高的威胁,越优先地注目,分析从车辆50a等加载的日志。这与缩短从发现风险级别高的威胁到分析该威胁为止所需要的时间的效果相连。
另外,在图13中,将风险级别概括分为低、中以及高的3个等级来显示,也可以根据风险级别管理部300保持的风险级别表来显示风险级别。
<功能追加后的输出画面图片>
图14是示出本实施方式中的功能追加的更新之后的关联威胁信息输出画面的一例的说明图。图14示出图10的每个型号的关联威胁信息数据库的显示的一例。
示出将汽车制造厂OEM_A的车型型号A1的ECU_A3的泊车支援功能(风险级别3)的软件,更新为与自动泊车功能(风险级别4)对应的软件,进行了功能追加的例子即关联威胁信息输出画面810。
在图14示出的关联威胁信息输出画面810,除了关联威胁信息输出画面800(参考图13)的内容以外,针对功能被追加的自动泊车功能,付有记号811,以示出是新功能。此外新功能即自动泊车功能的风险级别为“高”时,显示记号812,以示出需要注意。
<实施方式1的效果>
如实施方式1所示,例如将汽车制造厂OEM_A的车型型号A1的ECU_A3的泊车支援功能(风险级别3)的软件,更新为与自动泊车功能(风险级别4)对应的软件,追加了功能的情况下,优先地显示与作为新功能的自动驾驶功能有关联的威胁信息,而且能够显示关联威胁信息输出画面810,从而告知与其有关的风险级别高。分析师看到关联威胁信息输出画面810,根据付有记号811以及812,在直观上关注自动泊车功能,能够进行分析。
因此,如果风险高的自动泊车功能被网络攻击的情况下,能够使安全分析师的攻击分析效率化,能够大幅减少将自动泊车功能的软件的脆弱性进行了修正的软件分发为止的时间。从发生攻击到对应软件的分发为止的时间缩短,能够防止损害的扩大所以安全效果非常高。
(实施方式2)
在实施方式1中,根据OTA进行的更新内容显示了每个型号的关联的威胁信息。然而,即使是相同的型号,在每个车辆的更新的定时不同。在实施方式2中,不是按照每个型号,而是按照每个辆车的更新状况提示威胁信息。与实施方式1的构成相同的部分多,所以只说明不同的部分。
关联威胁信息管理部500,取代实施方式1中的每个型号的关联威胁信息数据库510,保持每个车辆的关联威胁信息数据库520。
<更新序列>
图15是示出本实施方式中的通过更新追加功能的情况下的每个车辆的关联威胁信息被更新的处理的序列图。实施方式1的图11的步骤S201到S207为止的处理,与实施方式1相同所以省略说明。图15示出的步骤S308到S317的处理,与实施方式1的图12的步骤S208到S217的处理相对应。以后说明与实施方式1不同的部分。
此外,这里对汽车制造厂OEM_A的车型型号A1的车辆ID为“VID_A1”和“VID_A2”的车辆ECU_A3的泊车支援功能(风险级别3)的软件,更新为与自动泊车功能(风险级别4)对应的软件进行功能追加的情况为例子进行说明。
在步骤S308中,更新服务器30,向车辆50a~车辆50f分发新的软件。例如将汽车制造厂OEM_A的车型型号A1的ECU_A3的泊车支援功能(风险级别3)的软件,更新为与自动泊车功能(风险级别4)对应的软件的情况下,更新服务器30,将更新软件分发给车辆ID为“VID_A1”和“VID_A2”的车辆。
在步骤S309中,更新对象车辆(VID_A1和VID_A2),被更新为在步骤S308接收的软件。在这里没有详细记载,但是在更新处理中,优选的是在软件中赋予数字签名并分配,在车辆内进行软件的签名验证。
在步骤S310中,更新对象车辆(VID_A1和VID_A2),在更新处理结束时,将结束了软件更新的通知即更新结束通知发送给更新服务器30。
在步骤S311中,更新服务器30,将与被更新的功能有关的信息即更新功能信息,发送给威胁信息分析服务器10。
在步骤S312中,威胁信息分析服务器10的更新管理部210,将更新功能信息,发送给风险级别更新部220。
在步骤S313中,风险级别更新部220,判断与更新功能有关联的威胁信息是否包括在威胁信息管理部400中的威胁信息数据库410。在判断为没有与更新功能有关联的威胁信息的情况下(步骤S313中的“否”),移到步骤S317的处理。另一方面,在判断为有与更新功能相关联的威胁信息的情况下(步骤S313中的“是”),移到步骤S314的处理。
在步骤S314中,风险级别更新部220,在风险级别管理部300的每个功能的风险级别表311中参考更新功能的风险级别。
在步骤S315中,风险级别更新部220,在关联威胁信息管理部500的每个车辆的关联威胁信息数据库,追加更新功能信息,追加与更新功能相关联的威胁信息与风险级别,进而记录每个车辆的更新状况,更新每个车辆的关联威胁信息数据库。
例如,将汽车制造厂OEM_A的车型型号A1的车辆VID_A1与车辆VID_A2的ECU_A3的泊车支援功能(风险级别3)的软件,更新为自动泊车功能(风险级别4)对应的软件的情况下,记录按照每个车辆的更新状况。利用图16在后边说明每个车辆的关联威胁信息数据库。
在步骤S316,风险级别更新部220,将结束了每个车辆的关联威胁信息数据库的更新的通知,即关联威胁信息更新结束通知发送给输出部230。
在步骤S317中,输出部230,将登记在每个车辆的关联威胁信息数据库的信息,以由安全分析师容易解释的用户界面来显示在显示画面。
<每个车辆的关联威胁信息数据库>
图16是作为本实施方式中的每个车辆的关联威胁信息数据库的一例,示出每个车辆的关联威胁信息数据库520的说明图。
每个车辆的关联威胁信息数据库520,包括汽车制造厂、车型信息、车辆ID、功能信息、控制该功能的ECU ID、ECU软件版本、ECU软件的更新状况、风险级别、与ECU有关联的威胁信息的ID来构成。
例如,将汽车制造厂OEM_A的车型型号A1的车辆VID_A1与车辆VID_A2的ECU_A3的泊车支援功能(风险级别3)的软件(Version1.0),更新为与自动泊车功能(风险级别4)对应的软件(Version2.0)的例子中,图16示出车辆VID_A1为未更新,车辆VID_A2为更新完毕。
<每个车辆的关联威胁信息的显示>
图17示出显示了图16的每个车辆的关联威胁信息数据库的一例。
示出将汽车制造厂OEM_A的车型型号A1的ECU_A3的泊车支援功能的软件,更新为与自动泊车功能(风险级别4)对应的软件,进行了功能追加后的状态的显示例即关联威胁信息输出画面900。在关联威胁信息输出画面900中示出如下,关于车辆VID_A1,ECU_A3的泊车支援功能的软件为未更新,关于车辆VID_A2,所述软件更新完毕。
在图17示出的关联威胁信息输出画面900中,与图14相同,关于追加了功能的自动泊车功能以及泊车支援功能,附上记号811以示出新功能。此外,关于车辆VID_A1,因为所述软件未更新,所以显示了需要注意的记号812。另外,在这个情况下的记号812,可以说是向分析师示出软件为未更新的记号,也可以说是向分析师示出软件需要更新的记号。此外,关于车辆VID_A2,显示了记号812,该记号812向分析师示出作为新功能的自动泊车功能的风险级别高,所以需要注意。
<实施方式2的效果>
在同一个型号时,按照每个车辆更新定时不同。在实施方式2中,不是按照每个型号,而是按照每个车辆的更新状况来表示威胁信息,所以能够按照每个车辆的更新状况来进行安全分析。
<其他变形例>
另外,针对本发明根据所述各个实施方式进行了说明,但是本发明不受限于所述各个实施方式。本发明还包括如下的情况。
(1)在所述实施方式中,说明了利用威胁信息对汽车的网络攻击进行分析,但是适用范围不限于此。不限于汽车,还适用于建机、农机、船舶、铁路、飞机等移动体。此外,可以适用于工厂或大楼等产业控制系统所使用的通信网络、或者用于控制嵌入设备的通信网络。此外,也可以是范围更广的IoT设备。IoT设备是除了所述移动设备之外,还包括家电产品的概念,IoT设备是指具有通信接口,并且用于计算处理等的资源比较小的设备的概念。另外,在IoT设备的概念中,不包括个人电脑、或者智能手机等信息处理装置。
(2)在所述实施方式中,风险级别管理部300,按照每个功能、每个应用权限、或者每个ECU定义了风险级别,但是不限于此。例如、可以是按照采用的每个OS、或者可以是按照ECU支持的每个通信协议(例如CAN(Controller Area Network)、CAN-FD(Controller AreaNetwork with Flexible Data Rate)、Ethernet,LIN(Local Interconnect Network),Flexray),也可以将这些组合后定义风险级别。
(3)在所述实施方式中,针对各个功能只与1个威胁信息建立关联,但是也可以与多个关联的威胁信息建立关联。从而,能够针对将多个攻击方法进行组合的高度的攻击也能够进行分析。此外在与多个威胁信息建立关联的情况下,输出部230,按照攻击顺序的顺序将关联的威胁信息重新排列并输出。从而能够跟踪攻击顺序来进行分析,能够缩短到对应为止的时间。
(4)在所述实施方式中,将关联威胁信息用表形式来显示,但是也可以将相关联的功能与威胁信息用树形式来显示。从而来自相关联的威胁信息多的功能以及ECU的树变得密集,所以能够易懂地提示容易被攻击的地方。
(5)在所述实施方式中,针对与通过软件更新而追加的功能有关联的威胁信息,检索过去的威胁信息建立关联,但是没有过去的威胁信息的情况下,将该时刻的没有威胁信息的事项以能够知道的形式作为关联威胁信息来登记。虽然没有相关联的过去的威胁信息,但是可以将新的威胁信息与关联威胁信息建立关联来登记。
(6)在所述实施方式中,在软件更新时,检索了针对被更新的功能的威胁信息,但是该检索处理,可以定期进行。从而能够常常与最新的威胁信息建立关联。
(7)在所述实施方式中,构成各个装置的构成要素的一部或全部,可以由1个系统LSI(Large Scale Integration:大规模集成电路)来构成。系统LSI是将多个构成部集成在1个芯片上制造的超多功能LSI,具体而言是包括微处理机、ROM、RAM而构成的计算机系统。RAM记录有计算机程序。微处理机,按照计算机程序动作,从而系统LSI达成其功能。
此外,构成所述各个装置的构成要素的各部,可以分别单片化,或者包括一部分或者全部的方式单片化。
此外,在这里称为系统LSI,但是根据集成度的不同,还称为IC、LSI、超大LSI、特大LSI。此外,集成电路化的方法不限于LSI,可以用专用电路或者通用处理器来实现。也可以使用在LSI制造后可编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)、或者可重构LSI内部的电路单元的连接以及设定的可重构处理器。
进而,随着半导体技术的进步或者派生出的别的技术,出现能够替代LSI的集成电路化的技术时,当然可以使用该技术进行功能块的集成化。有可能适用生物技术等。
(8)构成上述各个装置的构成要素的一部分或者全部,可以由能够在各个装置进行装拆的IC卡或单体的模块构成。IC卡或模块是由微处理机、ROM、RAM等构成的计算机系统。IC卡或模块,可以包括所述超多功能LSI。微处理机,按照计算机程序进行动作,从而IC卡或模块达成该功能。该IC卡或者该模块,可以具有耐篡改性。
(9)本发明可以是上述示出的方法。此外,这些方法可以是由计算机实现的计算机程序,也可以是由计算机程序构成的数字信号。
此外,本发明可以是将计算机程序或者数字信号记录在能够由计算机读取的记录介质,例如软磁盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。此外,也可以是在这些记录介质中记录的所述数字信号。
此外,本发明可以是将计算机程序或数字信号,经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等传输。
此外,本发明可以是具备微处理机和存储器的计算机系统,可以是存储器记录所述计算机程序,所述微处理机按照计算机程序来动作。
此外,通过将程序或数字信号记录在记录介质并移送,或者将程序或数字信号,经由网络等移送,从而可以由独立的其他的计算机系统来实施。
(10)可以分别组合所述实施方式以及所述变形例。
另外,在所述各个实施方式中,各个构成要素,可以由专用的硬件构成,或者可以通过执行适合各个构成要素的软件程序来实现。各个构成要素,可以由CPU或者处理器等程序执行部,读出并执行硬盘或者半导体存储器等记录介质记录的软件程序来实现。这里关于实现所述各个实施方式的威胁分析装置等的软件是如下的程序。
即该程序使计算机执行威胁分析方法,该威胁分析方法包括:更新管理步骤,管理更新信息,所述更新信息示出对IoT设备进行了功能追加;威胁信息管理步骤,存放网络攻击的威胁信息;风险级别管理步骤,管理风险级别信息,在所述风险级别信息中定义了所述IoT设备的风险级别;关联威胁信息管理步骤,管理所述威胁信息以及关联威胁信息,在所述关联威胁信息中对所述IoT设备与所述风险级别建立了关联;风险级别更新步骤,根据所述更新信息,对所述威胁信息与所述IoT设备的所述风险级别建立关联,更新所述关联威胁信息;以及输出步骤,对在所述关联威胁信息管理步骤中管理的所述关联威胁信息进行输出。
以上关于1个或者多个方案涉及的威胁分析装置等,根据实施方式进行了说明,但是本公开并非被这些实施方式所限定。在不超出本发明的宗旨的范围内,将本领域技术人员想出的各种变形实施在本实施方式、或者将不同实施方式中的构成要素进行组合构筑的形式,也包括在本发明一个或多个方案的范围内。
本发明能够适用于针对车辆等的网络攻击进行分析的分析装置。
符号说明
1 威胁信息分析系统
10 威胁信息分析服务器
20 威胁信息管理服务器
30 更新服务器
40 网络
50a,50b,50c,50d,50e,50f 车辆
100 威胁信息
101,102,103,104,105,106,107,108,109,110 字段
200 威胁信息交换处理部
210 更新管理部
220 风险级别更新部
230 输出部
240 车辆控制部
300 风险级别管理部
310 风险级别表
311 每个功能的风险级别表
312 每个关联ECU的风险级别表
313 每个应用权限的风险级别表
400 威胁信息管理部
410 威胁信息数据库
500 关联威胁信息管理部
510,510A 每个型号的关联威胁信息数据库
520 每个车辆的关联威胁信息数据库
800,810,900 关联威胁信息输出画面
811,812 记号。
Claims (12)
1.一种威胁分析装置,具备:
更新管理部,管理更新信息,所述更新信息示出对IoT设备进行了功能追加;
威胁信息管理部,存放网络攻击的威胁信息;
风险级别管理部,管理风险级别信息,在所述风险级别信息中定义了所述IoT设备的风险级别;
关联威胁信息管理部,管理所述威胁信息以及关联威胁信息,在所述关联威胁信息中对所述IoT设备与所述风险级别建立了关联;
风险级别更新部,根据所述更新信息,对所述威胁信息与所述IoT设备的所述风险级别建立关联,更新所述关联威胁信息;以及
输出部,对由所述关联威胁信息管理部管理的所述关联威胁信息进行输出。
2.如权利要求1所述的威胁分析装置,
所述IoT设备为移动设备,
所述威胁分析装置,进一步具备:
威胁信息交换处理部,对所述威胁信息进行交换。
3.如权利要求2所述的威胁分析装置,
所述风险级别,按照与移动控制有关联的每个功能而被定义。
4.如权利要求2或者3所述的威胁分析装置,
所述风险级别,根据发送移动控制报文的电子控制单元与接收移动控制报文的电子控制单元的关系而被定义。
5.如权利要求2至4的任一项所述的威胁分析装置,
所述风险级别,按照与进行移动控制的应用对应的权限的数量而被定义。
6.如权利要求2至5的任一项所述的威胁分析装置,
所述关联威胁信息,按照每个车型而被管理。
7.如权利要求2至6的任一项所述的威胁分析装置,
所述关联威胁信息,按照每个车辆而被管理。
8.如权利要求1至7的任一项所述的威胁分析装置,
所述风险级别更新部,在结束对所述IoT设备进行的所述功能追加之前,更新所述关联威胁信息。
9.如权利要求1至8的任一项所述的威胁分析装置,
所述风险级别更新部,在结束对规定数量的所述IoT设备进行的所述功能追加之后,更新所述关联威胁信息。
10.如权利要求1至9的任一项所述的威胁分析装置,
所述威胁分析装置,进一步具备:
车辆控制部,在由所述风险级别更新部更新了所述关联威胁信息的情况下,根据更新后的所述关联威胁信息,向车辆发送控制信号。
11.一种威胁分析方法,包括:
更新管理步骤,管理更新信息,所述更新信息示出对IoT设备进行了功能追加;
威胁信息管理步骤,存放网络攻击的威胁信息;
风险级别管理步骤,管理风险级别信息,在所述风险级别信息中定义了所述IoT设备的风险级别;
关联威胁信息管理步骤,管理所述威胁信息以及关联威胁信息,在所述关联威胁信息中对所述IoT设备与所述风险级别建立了关联;
风险级别更新步骤,根据所述更新信息,对所述威胁信息与所述IoT设备的所述风险级别建立关联,更新所述关联威胁信息;以及
输出步骤,对在所述关联威胁信息管理步骤管理的所述关联威胁信息进行输出。
12.一种程序,用于使计算机执行权利要求11所述的威胁分析方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862746842P | 2018-10-17 | 2018-10-17 | |
| US62/746,842 | 2018-10-17 | ||
| PCT/JP2019/039831 WO2020080222A1 (ja) | 2018-10-17 | 2019-10-09 | 脅威分析装置、脅威分析方法、および、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112703497A true CN112703497A (zh) | 2021-04-23 |
| CN112703497B CN112703497B (zh) | 2024-05-24 |
Family
ID=70283103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980060193.0A Active CN112703497B (zh) | 2018-10-17 | 2019-10-09 | 威胁分析装置、威胁分析方法、以及程序记录介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210211442A1 (zh) |
| EP (3) | EP4105804B1 (zh) |
| JP (2) | JP7354137B2 (zh) |
| CN (1) | CN112703497B (zh) |
| WO (1) | WO2020080222A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11652839B1 (en) * | 2019-05-02 | 2023-05-16 | Architecture Technology Corporation | Aviation system assessment platform for system-level security and safety |
| JP7439669B2 (ja) | 2020-07-14 | 2024-02-28 | 株式会社デンソー | ログ分析装置 |
| JP7380473B2 (ja) * | 2020-07-29 | 2023-11-15 | 株式会社デンソー | セキュリティ監視システム |
| EP4131043A1 (en) * | 2021-08-05 | 2023-02-08 | Continental Automotive Technologies GmbH | Software vulnerability analysis |
| JP7230147B1 (ja) | 2021-09-24 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ分析装置、方法およびそのプログラム |
| WO2023112493A1 (ja) * | 2021-12-17 | 2023-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 脅威情報展開システム、脅威情報展開方法およびプログラム |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130346956A1 (en) * | 2012-06-22 | 2013-12-26 | International Business Machines Corporation | Providing a Software Upgrade Risk Map for a Deployed Customer System |
| CN103563302A (zh) * | 2011-06-01 | 2014-02-05 | 惠普发展公司,有限责任合伙企业 | 网络资产信息管理 |
| JP2015041167A (ja) * | 2013-08-21 | 2015-03-02 | 日立オートモティブシステムズ株式会社 | セキュリティ上の脅威を評価する評価装置及びその方法 |
| CN105074792A (zh) * | 2013-03-15 | 2015-11-18 | 科布拉电子有限公司 | 移动通信系统及用于分析与车辆行驶相关联的告警的方法 |
| CN105103496A (zh) * | 2013-03-14 | 2015-11-25 | 菲德利斯网络安全有限公司 | 用于提取和保存用于分析网络通信的元数据的系统和方法 |
| CN105871882A (zh) * | 2016-05-10 | 2016-08-17 | 国家电网公司 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
| CN107122655A (zh) * | 2017-03-29 | 2017-09-01 | 西安电子科技大学 | 一种基于信任管理的移动应用安全设置推荐系统 |
| US20180160278A1 (en) * | 2016-12-01 | 2018-06-07 | Kodiak Networks, Inc. | Ptx communication with data analytics engine |
| CN108369541A (zh) * | 2015-11-09 | 2018-08-03 | 西普霍特公司 | 用于安全威胁的威胁风险评分的系统和方法 |
| US20180295518A1 (en) * | 2017-04-05 | 2018-10-11 | International Business Machines Corporation | Secure mobile device integration with vehicles |
| US20180351980A1 (en) * | 2017-05-30 | 2018-12-06 | Argus Cyber Security Ltd | System and method for providing fleet cyber-security |
| US20180349612A1 (en) * | 2017-06-05 | 2018-12-06 | Karamba Security | In-memory protection for controller security |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5332583B2 (ja) * | 2008-12-16 | 2013-11-06 | 日本電気株式会社 | 監視制御システム、監視制御方法および監視制御用プログラム |
| US10431018B1 (en) * | 2014-11-13 | 2019-10-01 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operating status assessment |
| JP6786959B2 (ja) * | 2016-08-26 | 2020-11-18 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
| US20180302228A1 (en) * | 2017-04-04 | 2018-10-18 | Calamp Corp. | Systems and methods for secure communications in vehicle telematics systems |
| US10659477B2 (en) * | 2017-12-19 | 2020-05-19 | The Boeing Company | Method and system for vehicle cyber-attack event detection |
| US10887349B2 (en) * | 2018-01-05 | 2021-01-05 | Byton Limited | System and method for enforcing security with a vehicle gateway |
-
2019
- 2019-10-09 EP EP22189644.2A patent/EP4105804B1/en active Active
- 2019-10-09 JP JP2020553115A patent/JP7354137B2/ja active Active
- 2019-10-09 WO PCT/JP2019/039831 patent/WO2020080222A1/ja unknown
- 2019-10-09 EP EP24152273.9A patent/EP4333374A3/en active Pending
- 2019-10-09 CN CN201980060193.0A patent/CN112703497B/zh active Active
- 2019-10-09 EP EP19872524.4A patent/EP3869370B1/en active Active
-
2021
- 2021-03-24 US US17/211,211 patent/US20210211442A1/en active Pending
-
2023
- 2023-09-20 JP JP2023154014A patent/JP2023164672A/ja active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103563302A (zh) * | 2011-06-01 | 2014-02-05 | 惠普发展公司,有限责任合伙企业 | 网络资产信息管理 |
| US20130346956A1 (en) * | 2012-06-22 | 2013-12-26 | International Business Machines Corporation | Providing a Software Upgrade Risk Map for a Deployed Customer System |
| CN105103496A (zh) * | 2013-03-14 | 2015-11-25 | 菲德利斯网络安全有限公司 | 用于提取和保存用于分析网络通信的元数据的系统和方法 |
| CN105074792A (zh) * | 2013-03-15 | 2015-11-18 | 科布拉电子有限公司 | 移动通信系统及用于分析与车辆行驶相关联的告警的方法 |
| JP2015041167A (ja) * | 2013-08-21 | 2015-03-02 | 日立オートモティブシステムズ株式会社 | セキュリティ上の脅威を評価する評価装置及びその方法 |
| CN108369541A (zh) * | 2015-11-09 | 2018-08-03 | 西普霍特公司 | 用于安全威胁的威胁风险评分的系统和方法 |
| CN105871882A (zh) * | 2016-05-10 | 2016-08-17 | 国家电网公司 | 基于网络节点脆弱性和攻击信息的网络安全风险分析方法 |
| US20180160278A1 (en) * | 2016-12-01 | 2018-06-07 | Kodiak Networks, Inc. | Ptx communication with data analytics engine |
| CN107122655A (zh) * | 2017-03-29 | 2017-09-01 | 西安电子科技大学 | 一种基于信任管理的移动应用安全设置推荐系统 |
| US20180295518A1 (en) * | 2017-04-05 | 2018-10-11 | International Business Machines Corporation | Secure mobile device integration with vehicles |
| US20180351980A1 (en) * | 2017-05-30 | 2018-12-06 | Argus Cyber Security Ltd | System and method for providing fleet cyber-security |
| US20180349612A1 (en) * | 2017-06-05 | 2018-12-06 | Karamba Security | In-memory protection for controller security |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210211442A1 (en) | 2021-07-08 |
| WO2020080222A1 (ja) | 2020-04-23 |
| EP3869370B1 (en) | 2022-11-30 |
| EP3869370A1 (en) | 2021-08-25 |
| EP4105804B1 (en) | 2024-02-28 |
| CN112703497B (zh) | 2024-05-24 |
| EP4333374A3 (en) | 2024-03-27 |
| EP3869370A4 (en) | 2021-12-15 |
| EP4333374A2 (en) | 2024-03-06 |
| EP4105804A1 (en) | 2022-12-21 |
| JP2023164672A (ja) | 2023-11-10 |
| JPWO2020080222A1 (ja) | 2021-09-09 |
| JP7354137B2 (ja) | 2023-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112703497B (zh) | 威胁分析装置、威胁分析方法、以及程序记录介质 | |
| US11363045B2 (en) | Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method | |
| JP6423402B2 (ja) | セキュリティ処理方法及びサーバ | |
| JP7194184B2 (ja) | コネクテッド車両サイバー・セキュリティのためのシステム及び方法 | |
| CN112437056B (zh) | 安全处理方法以及服务器 | |
| US10887111B2 (en) | Verification method, verification apparatus, and storage medium including program stored therein | |
| US20210349997A1 (en) | Anomalous vehicle detection server and anomalous vehicle detection method | |
| CN111835788B (zh) | 一种情报数据分发方法和装置 | |
| WO2020068826A1 (en) | Electronic controller security system | |
| US20230246849A1 (en) | Verification method, verification apparatus, and storage medium including program stored therein | |
| CN113888860A (zh) | 车辆异常行驶的检测方法、装置、服务器及可读存储介质 | |
| JP6677169B2 (ja) | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム | |
| JP2021089632A (ja) | 情報処理装置、制御方法及びプログラム | |
| Vargas et al. | Methodology to quantitatively assess impacts of 5G telecommunications cybersecurity risk scenarios on dependent connected urban transportation systems | |
| WO2023091722A1 (en) | Robust over the air reprogramming | |
| WO2023112493A1 (ja) | 脅威情報展開システム、脅威情報展開方法およびプログラム | |
| JP7496404B2 (ja) | セキュリティ処理方法及びサーバ | |
| JP2024500160A (ja) | 問題の時刻を概算すること | |
| Ebert | Success Factors for Security Engineering | |
| Hirnschal | Securing Electronic Control Units against emerging vehicle technology threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |