CN116438496A - 攻击解析装置、攻击解析方法及程序 - Google Patents

攻击解析装置、攻击解析方法及程序 Download PDF

Info

Publication number
CN116438496A
CN116438496A CN202180076369.9A CN202180076369A CN116438496A CN 116438496 A CN116438496 A CN 116438496A CN 202180076369 A CN202180076369 A CN 202180076369A CN 116438496 A CN116438496 A CN 116438496A
Authority
CN
China
Prior art keywords
attack
vehicle
entry point
external communication
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180076369.9A
Other languages
English (en)
Inventor
田崎元
佐佐木崇光
牛尾贵志
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN116438496A publication Critical patent/CN116438496A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0275Fault isolation and identification, e.g. classify fault; estimate cause or root of failure
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

攻击解析装置(10)具备:取得部(11),取得车载网络信息和异常检测信息,车载网络信息表示包括多个外部通信接口(21)和多个控制ECU(22)的车载网络(20)的构成,异常检测信息表示在车载网络(20)的1个以上的节点中检测到的异常检测结果;攻击路径推测部(12),基于车载网络信息和异常检测信息,推测对车载网络(20)的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,进入点表示作为该攻击向车载网络(20)的侵入地点的外部通信接口(21),攻击目标表示作为该攻击的目标的控制ECU(22);以及输出部(13),输出攻击路径。

Description

攻击解析装置、攻击解析方法及程序
技术领域
本公开涉及解析对网络的赛博攻击的攻击解析装置。
背景技术
以往,已知有解析对搭载于车辆的车载网络的赛博攻击(以下,也简称为“攻击”)的技术(例如,参照专利文献1)。
现有技术文献
专利文献
专利文献1:日本特开2015-026252号公报
发明内容
发明要解决的课题
在遭到对车载网络的攻击的情况下,希望推测包括作为该攻击向车载网络的侵入地点的进入点和作为该攻击的目标的攻击目标在内的该攻击的攻击路径。
所以,本公开的目的是提供能够推测对车载网络的攻击的包括进入点和攻击目标在内的攻击路径的攻击解析装置等。
用来解决课题的手段
有关本公开的一技术方案的攻击解析装置具备:取得部,取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;攻击路径推测部,基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;以及输出部,输出上述攻击路径。
有关本公开的一技术方案的攻击解析方法,是由计算机执行的攻击解析方法,取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;输出上述攻击路径。
有关本公开的一技术方案的程序,是用来使计算机执行攻击解析处理的程序,上述攻击解析处理包括以下的处理:取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;输出上述攻击路径。
发明效果
根据有关本公开的一技术方案的攻击解析装置等,能提供能够推测对车载网络的攻击的包括该攻击的进入点和攻击目标在内的攻击路径的攻击解析装置等。
附图说明
图1是表示有关实施方式的攻击监视系统的构成的一例的框图。
图2是表示有关实施方式的车载网络的构成的一例的框图。
图3是表示有关实施方式的综合ECU的构成的一例的框图。
图4是表示有关实施方式的异常检测列表的一例的示意图。
图5是表示有关实施方式的外部通信事件列表的一例的示意图。
图6是表示有关实施方式的外部通信事件履历的一例的示意图。
图7是表示有关实施方式的车辆控制事件列表的一例的示意图。
图8是表示有关实施方式的车辆控制事件履历的一例的示意图。
图9是表示有关实施方式的攻击解析装置的构成的一例的框图。
图10是表示有关实施方式的攻击路径推测结果表的构成的一例的示意图。
图11是表示有关实施方式的攻击路径履历的一例的示意图。
图12是有关实施方式的攻击监视处理的顺序图。
图13是有关实施方式的攻击解析处理的流程图。
图14是有关实施方式的进入点推测处理的流程图。
图15是有关实施方式的进入点推测处理的流程图。
图16是有关实施方式的攻击目标推测处理的流程图。
图17是有关实施方式的攻击目标推测处理的流程图。
图18是有关实施方式的攻击路径推测结果表的构成的一例的示意图。
图19是有关实施方式的攻击路径推测处理的流程图。
图20是有关实施方式的攻击路径可靠度计算处理的流程图。
图21是表示有关实施方式的攻击路径推测结果表的构成的一例的示意图。
图22是表示有关实施方式的攻击路径推测结果表的构成的一例的示意图。
图23是有关实施方式的第1显示控制处理的流程图。
图24是表示有关实施方式的显示装置显示的画面的一例的示意图。
图25是有关实施方式的第2显示控制处理的流程图。
图26是表示有关实施方式的显示装置显示的画面的一例的示意图。
图27是表示有关变形例的综合ECU的构成的一例的框图。
具体实施方式
(得以得到本公开的一形态的经过)
本发明的发明人认为在遭到对搭载于车辆的车载网络的攻击的情况下,为了进行该攻击的分析、该攻击与过去的事例的对照等的该攻击的解析作业,重要的是推测包括进入点和攻击目标在内的该攻击的攻击路径,进入点表示作为该攻击向车载网络的侵入地点的外部通信接口,攻击目标表示作为该攻击的目标的控制ECU。这是因为,如果能够推测攻击路径,则能够削减解析作业的成本。
相对于此,在车载网络的各节点检测的异常检测结果中会包含异常的未检测、异常的误检测等,所以有仅根据表示在车载网络的各节点检测的异常检测结果的异常检测信息难以进行攻击路径的推测的情形。
所以,本发明的发明人关于精度较高地推测攻击路径的方法反复进行了专门研究及实验。
结果,本发明的发明人得到了通过使用车载网络的构成和异常检测信息能够精度较高地推测攻击路径的认识。
所以,本发明的发明人基于该认识进一步反复进行了研究及实验,想到了下述有关本公开的攻击解析装置、攻击解析方法及程序。
有关本公开的一技术方案的攻击解析装置具备:取得部,取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;攻击路径推测部,基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;以及输出部,输出上述攻击路径。
根据上述构成的攻击解析装置,在遭到对车载网络的攻击的情况下,能够使用由车载网络信息表示的车载网络的构成和异常检测信息精度较高地推测攻击路径。这样,根据上述构成的攻击解析装置,能够推测对车载网络的攻击的包括进入点和攻击目标在内的攻击路径。
此外,也可以是,上述取得部还取得外部通信事件履历和车辆控制事件履历,上述外部通信事件履历表示上述车载网络与外部进行的通信事件的履历,上述车辆控制事件履历表示搭载上述车载网络的车辆所进行的车辆控制事件的履历;上述攻击解析装置还具备:进入点推测部,基于上述车载网络信息、上述异常检测信息以及上述外部通信事件履历,推测上述进入点;以及攻击目标推测部,基于上述车载网络信息、上述异常检测信息以及上述车辆控制事件履历,推测上述攻击目标;上述攻击路径推测部基于由上述进入点推测部推测的上述进入点和由上述攻击目标推测部推测的上述攻击目标,推测上述攻击路径。
上述构成的攻击解析装置能够基于车载网络信息、异常检测信息以及外部通信事件履历,精度更好地推测进入点,并基于车载网络信息、异常检测信息以及车辆控制事件履历,精度更好地推测攻击目标。由此,根据上述攻击解析装置,能够精度更好地推测攻击路径。
此外,也可以是,上述进入点推测部关于上述多个外部通信接口的每一个计算表示作为上述进入点的可靠度的进入点风险,并基于计算出的各个进入点风险推测上述进入点;上述攻击目标推测部关于上述多个控制ECU的每一个计算表示作为上述攻击目标的可靠度的攻击目标风险,并基于计算出的各个攻击目标风险推测上述攻击目标。
由此,能够使关于多个外部通信接口的每一个计算的作为进入点的可靠度反映到进入点的推测中,并且,能够使关于多个控制ECU的每一个计算的作为攻击目标的可靠度反映到攻击目标的推测中。
此外,也可以是,还具备攻击路径可靠度计算部,该攻击路径可靠度计算部基于由上述进入点推测部计算出的上述进入点的上述进入点风险和由上述攻击目标推测部计算出的上述攻击目标的上述攻击目标风险,针对上述攻击路径计算表示作为上述攻击路径的可靠度的攻击路径可靠度;上述输出部还输出上述攻击路径可靠度。
由此,能够输出针对要输出的攻击路径的表示作为攻击路径的可靠度的信息。
此外,也可以是,上述输出部具备显示控制部,该显示控制部对显示装置输出包含上述攻击路径的显示控制信号,该显示控制信号对上述显示装置进行控制,以使其显示表示上述车载网络的构成的构成图,并且在上述构成图中将上述攻击路径以与其他部分不同的显示方法显示。
由此,能够使利用攻击解析装置的用户在视觉上识别攻击路径。
有关本公开的一技术方案的攻击解析方法,是由计算机执行的攻击解析方法,取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;输出上述攻击路径。
根据上述攻击解析方法,在遭到对车载网络的攻击的情况下,能够使用由车载网络信息表示的车载网络的构成和异常检测信息精度较高地推测攻击路径。这样,根据上述攻击解析方法,能够推测对车载网络的攻击的包括进入点和攻击目标在内的攻击路径。
有关本公开的一技术方案的程序,是用来使计算机执行攻击解析处理的程序,上述攻击解析处理包括以下的处理:取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;输出上述攻击路径。
根据上述程序,在遭到对车载网络的攻击的情况下,能够使用由车载网络信息表示的车载网络的构成和异常检测信息精度较高地推测攻击路径。这样,根据上述程序,能够推测对车载网络的攻击的包括进入点和攻击目标在内的攻击路径。
以下,参照附图对有关本公开的一技术方案的攻击解析装置的具体例进行说明。这里表示的实施方式都表示本公开的一具体例。因而,在以下的实施方式中表示的数值、形状、构成要素、构成要素的配置及连接形态、步骤(工序)及步骤的顺序等是一例,不是限定本公开的意思。此外,各图是示意图,并不一定是严密地图示的。在各图中,对于实质上相同的构成赋予相同的标号,将重复的说明省略或简略化。
(实施方式)
以下,对有关实施方式的攻击解析装置进行说明。该攻击解析装置是推测对搭载于车辆的车载网络的攻击的攻击路径的装置。
<构成>
图1是表示利用有关实施方式的攻击解析装置10监视对搭载于车辆30的车载网络20的攻击的攻击监视系统1的构成的一例的框图。
如图1所示,攻击监视系统1包括监视服务器40、车辆30、车载网络20和外部网络50而构成。
监视服务器40是所谓的计算机装置,具备处理器(未图示)、存储器(未图示)、通信接口(未图示)、存储装置(未图示)和显示器(未图示)。
监视服务器40通过由处理器执行存储在存储器中的程序,实现攻击解析装置10和显示装置41。
车辆30具有通信功能,搭载车载网络20。车辆30例如是汽车。
外部网络50是互联网等的广域网络,其连接目的地中包括攻击解析装置10和车载网络20。
图2是表示车载网络20的构成的一例的框图。
如图2所示,车载网络20包括多个外部通信接口、多个控制ECU(ElectronicControl Unit:电子控制单元)和综合ECU24而构成。
这里,在图2中,多个外部通信接口对应于外部通信IF_A21A、外部通信IF_B21B、外部通信IF_C21C及外部通信IF_D21D。以下,也有时将多个外部通信接口分别称作外部通信IF21。此外,在图2中,多个控制ECU对应于ECU_A22A、ECU_B22B、ECU_C22C及ECU_D22D。以下,也有时将多个控制ECU分别称作ECU22。
在多个外部通信IF21中,例如也可以包括远程通信单元(TCU:Telematic ControlUnit)、车内信息娱乐系统、外部应用执行装置或进行与充电站的通信的通信装置、OBD(On-Board Diagnostics:车载自诊断系统)端口等。
多个外部通信IF21分别具备检测外部通信IF21的异常的IDS(IntrusionDetection System:入侵检测系统)。这里,外部通信IF_A21A具备IDS_A23A,外部通信IF_B21B具备IDS_B23B,外部通信IF_C21C具备IDS_C23C,外部通信IF_D21D具备IDS_D23D。
多个外部通信IF21经由CAN(Controller Area Network:控制器局域网)25或以太网(注册商标)26连接于综合ECU24。
在多个ECU22中,例如也可以包括对车辆30的行驶进行控制的控制ECU、对ADAS(Advanced Driver-Assistance System:高级驾驶辅助系统)进行控制的ADAS控制ECU、对空调进行控制的空调控制ECU等。
ECU22分别具备检测ECU22的异常的IDS。这里,ECU_A22A具备IDS_E23E,ECU_B22B具备IDS_F23F,ECU_C22C具备IDS_G23G,ECU_D22D具备IDS_H23H。
多个ECU22经由CAN25或以太网(注册商标)26连接于综合ECU24。
图3是表示综合ECU24的构成的一例的框图。
如图3所示,具备网关29、安全管控器27、车辆控制事件管理部28、IDS_I23I、IDS_J23J和综合ECU24。
综合ECU24是所谓的计算机装置,具备处理器(未图示)、存储器(未图示)和通信接口(未图示)。
综合ECU24通过由处理器执行存储在存储器中的程序,实现网关29、安全管控器27、车辆控制事件管理部28以及检测综合ECU24的异常的IDS_I23I及IDS_J23J。
网关29具备检测网关29的异常的IDS_K23K及IDS_L23L。
以下,也有时将车载网络20中包含的多个IDS分别称作IDS23。
安全管控器27在车载网络20中包含的IDS23检测出异常的情况下,生成表示在车载网络20的1个以上的节点检测的异常检测结果的异常检测信息。并且,安全管控器27如果生成异常检测信息,则将所生成的异常检测信息与表示车载网络20的构成的车载网络信息、后述的车辆控制事件履历和后述的外部通信事件履历一起发送给攻击解析装置10。
这里,节点是指多个外部通信IF21、网关29和多个ECU22。
图4是表示作为安全管控器27生成的异常检测信息的一例的异常检测列表的一例的示意图。
如图4所示,异常检测列表是关于车载网络20中包含的各个节点,将该节点的分类、表示由检测该节点的异常的IDS检测出异常的日期时间的时间戳、检测该节点的异常的IDS有无检测出异常、以及从检测该节点的异常的IDS输出的异常检测得分建立了对应的表。这里,异常检测得分是表示IDS检测出的异常的异常程度的得分,是异常程度越大则其值越大的得分。此外,在实施方式1中,假设外部通信IF21被分类为进入节点、ECU22被分类为目标节点而进行说明。
安全管控器27如果1个IDS23检测出异常,则将在以该检测为起点的规定期间T1(例如2分钟)内由车载网络20中包含的IDS23检测出的异常作为对象,生成异常检测列表。
安全管控器27也可以在规定期间T1内同一IDS23多次检测出异常的情况下,例如仅将这些多次异常中的最初检测到的异常作为对象而生成异常检测列表。这是为了要将一系列的连续攻击当作1个攻击。
从图4所示的异常检测列表,例如可以读出被分类为进入节点的外部通信IF_B的IDS在2020年8月30日10时32分10秒检测出异常,检测出的异常的异常得分是60。
再次回到图3,继续说明综合ECU24。
车辆控制事件管理部28存储预先设定的外部通信事件列表和预先设定的车辆控制事件列表,基于存储的外部通信事件列表和车辆控制事件列表,生成、更新、管理表示车载网络20与外部进行的通信事件的履历的外部通信事件履历、以及表示车辆30所进行的车辆控制事件的履历的车辆控制事件履历。
图5是表示车辆控制事件管理部28存储的外部通信事件列表的一例的示意图。
如图5所示,外部通信事件列表是关于表示车载网络20与外部进行的通信事件的各个外部通信事件,将该外部通信事件的分类、表示因该外部通信事件而受到赛博攻击的危险度的风险及次级风险、以及作为与该外部通信事件有关的评论的优先的路径建立了对应的表。这里,风险及次级风险分别是受到赛博攻击的危险度越高则其值越大的得分。
从图5所示的外部通信事件列表,例如可以读出被分类为“外部通信的建立”的“与新IP地址连接”这样的外部通信事件的风险及次级风险分别是3及3。
图6是表示车辆控制事件管理部28生成、更新、管理的外部通信事件履历的一例的示意图。
如图6所示,外部通信事件履历是关于所发生的各个外部通信事件,将该外部通信事件发生的日期时间、识别该外部通信事件的外部通信事件ID、识别在该外部通信事件中与外部通信的外部通信IF21的外部通信IFID、以及表示该外部通信事件的风险的外部通信事件风险建立了对应的表。这里,外部通信事件风险可将外部通信事件列表的风险与次级风险组合来表现。
从图6所示的外部通信事件履历,例如可以读出“在OBD端口上连接了外部设备”这样的外部通信事件是在2020年8月30日10时32分00秒发生的、在由外部通信IFID“IF01”识别的外部通信IF21中与外部进行了通信的、外部通信事件风险为3-2的事件。
图7是表示车辆控制事件管理部28存储的车辆控制事件列表的一例的示意图。
如图7所示,车辆控制事件列表是关于表示车辆30进行的车辆控制事件的各个车辆控制事件,将该车辆控制事件的分类、表示该车辆控制事件是受到赛博攻击的结果发生的事件的情况下的威胁车辆30的安全性的严重度的风险及次级风险、以及作为与该车辆控制事件有关的评论的“优先的路径”建立了对应的表。这里,风险及次级风险分别是威胁安全性的严重度越高则其值越大的得分。
从图7所示的车辆控制事件列表,例如可以读出被分类为“控制指示”的“发出了加速、转向、减速指示”这样的车辆控制事件的风险及次级风险分别为3及1。
图8是表示车辆控制事件管理部28生成、更新、管理的车辆控制事件履历的一例的示意图。
如图8所示,车辆控制事件履历是关于所发生的各个车辆控制事件,将该车辆控制事件发生的日期时间、识别该车辆控制事件的车辆控制事件ID、识别引起了该车辆控制事件的ECU22的ECUID、以及表示该车辆控制事件的风险的车辆控制事件风险建立了对应的表。这里,车辆控制事件风险可将车辆控制事件列表的风险和次级风险组合来表现。
从图8所示的车辆控制事件履历,例如可以读出“空调的动作发生了变化”这样的车辆控制事件是在2020年8月30日10时30分15秒发生的、由ECUID“ECU02”识别的ECU22产生的、车辆控制事件风险有1-2的事件。
再次回到图3,继续说明综合ECU24。
如上述那样,安全管控器27在车载网络20中包含的IDS23检测出异常的情况下,生成异常检测信息,将所生成的异常检测信息与车载网络信息、车辆控制事件履历和外部通信事件履历一起发送给攻击解析装置10。
此时,安全管控器27并不一定需要将车辆控制事件管理部28管理的外部通信事件履历的全部发送给攻击解析装置10。这里,假设安全管控器27将在检测出异常前后的规定期间T2(例如,检测前5分钟和检测后5分钟的合计10分钟)车载网络20与外部进行的通信事件的外部通信事件履历发送给攻击解析装置10而进行说明。此外,此时安全管控器27并不一定需要将车辆控制事件管理部28管理的车辆控制事件履历的全部发送给攻击解析装置10。这里,假设安全管控器27将在检测出异常前后的规定期间T2车辆30进行的车辆控制事件的车辆控制事件履历发送给攻击解析装置10而进行说明。
图9是表示攻击解析装置10的构成的一例的框图。
如图9所示,攻击解析装置10具备取得部11、进入点推测部14、攻击目标推测部15、攻击路径推测部12、攻击路径推测结果表管理部17、攻击路径可靠度计算部16和输出部13。
取得部11取得从安全管控器27发送的车载网络信息、异常检测信息、外部通信事件履历和车辆控制事件履历。
进入点推测部14基于由取得部11取得的车载网络信息、异常检测信息以及外部通信事件履历,推测对车载网络20的攻击中的表示作为向车载网络20的侵入地点的外部通信IF21的进入点。此时,进入点推测部14关于多个外部通信IF21的每一个,计算表示作为进入列表的可靠度的进入点风险,基于计算出的各个进入点风险推测进入点。
关于进入点推测部14进行的进入点的推测的详细情况,在后面使用流程图等进行说明。
攻击目标推测部15基于由取得部11取得的车载网络信息、异常检测信息以及车辆控制事件履历,推测对车载网络20的攻击中的表示作为攻击的目标的ECU22的攻击目标。此时,攻击目标推测部15关于多个ECU22的每一个,计算表示作为攻击目标的可靠度的攻击目标风险,基于计算出的各个攻击目标风险推测攻击目标。
关于攻击目标推测部15进行的攻击目标的推测的详细情况,在后面使用流程图等进行说明。
攻击路径推测部12基于由取得部11取得的车载网络信息和异常检测信息,推测对车载网络20的攻击的包括进入点和攻击目标在内的攻击路径。在实施方式1中,假设攻击路径推测部12基于由进入点推测部14推测出的进入点、由攻击目标推测部15推测出的攻击目标、由取得部11取得的车载网络信息以及由取得部11取得的异常检测信息来推测攻击路径而进行说明。
关于攻击路径推测部12进行的攻击路径的推测的详细情况,在后面使用流程图等进行说明。
攻击路径可靠度计算部16基于由进入点推测部14计算出的进入点的进入点风险和由攻击目标推测部15计算出的攻击目标的攻击目标风险,针对由攻击路径推测部12推测出的攻击路径,计算表示作为攻击路径的可靠度的攻击路径可靠度。
关于攻击路径可靠度计算部16进行的攻击路径可靠度的详细情况,在后面使用流程图等进行说明。
如果取得部11取得异常检测信息,则攻击路径推测结果表管理部17基于由取得部11取得的异常检测信息,生成攻击路径推测结果表。接着,攻击路径推测结果表管理部17基于从进入点推测部14、攻击目标推测部15、攻击路径推测部12或攻击路径可靠度计算部16输出的各种信号,将所生成的攻击路径推测结果表依次更新、管理。
图10是表示攻击路径推测结果表管理部17生成的攻击路径推测结果表的一例的示意图。这里,图10所示的攻击路径推测结果表是表示通过由取得部11取得异常检测信息而由攻击路径推测结果表管理部17生成的初始状态的攻击路径推测结果表、并且还没有被更新的攻击路径推测结果表的一例的示意图。
如图10所示,攻击路径推测结果表是关于车载网络20中包含的各个节点,将该节点的分类、表示由检测该节点的异常的IDS检测出异常的日期时间的时间戳、检测该节点的异常的IDS有无检测出异常、从检测该节点的异常的IDS输出的异常检测得分、在该节点是外部通信IF21的情况下由进入点推测部14推测的表示该节点的异常状态的推测结果或在该节点是ECU22的情况下由攻击目标推测部15推测的表示该节点的异常状态的推测结果、在该节点是通信IF21的情况下由进入点推测部14计算的该节点的进入点风险或在该节点是ECU22的情况下由攻击目标推测部15计算的表示该节点的攻击目标风险的风险、表示该节点是否符合由攻击路径推测部12推测的攻击路径的攻击路径、以及由攻击路径可靠度计算部16计算的该攻击路径的攻击路径可靠度建立了对应的表。这里,关于由攻击目标推测部15或进入点推测部14推测的推测结果及风险值、以及由攻击路径推测部12推测的攻击路径的推测方法,在后面叙述。
如图10所示,初始状态的攻击路径推测结果表的推测结果、风险、攻击路径和攻击路径可靠度中没有记录信息。
关于由攻击路径推测结果表管理部17依次更新的攻击路径推测结果表,在后面叙述。
再次回到图9,继续说明攻击解析装置10。
攻击路径推测结果表管理部17还生成并管理表示由攻击路径推测部12推测出的攻击路径的履历的攻击路径履历。
图11是表示攻击路径推测结果表管理部17管理的攻击路径履历的一例的示意图。
如图11所示,攻击路径履历是关于由攻击路径推测部12推测出的各个攻击路径,将识别与该攻击路径对应的异常通知的异常通知ID、关于该攻击路径由攻击路径可靠度计算部16计算出的攻击路径可靠度、该攻击路径的进入点、关于该进入点由进入点推测部14计算出的进入点风险、该攻击路径的攻击目标、以及关于该攻击目标由攻击目标推测部15计算出的攻击目标风险建立了对应的表。
再次回到图9,继续说明攻击解析装置10。
输出部13输出由攻击路径推测部12推测出的攻击路径。在实施方式中,假设输出部13具备对显示装置41输出包含攻击路径的显示控制信号的显示控制部18而进行说明。
显示控制部18在攻击路径推测部12推测出攻击路径的情况下,对显示装置41输出包含攻击路径的显示控制信号,该显示控制信号对显示装置41进行控制,以使其显示表示车载网络的构成的构成图,并且在该构成图中将攻击路径以与其他部分不同的显示方法显示。此时,显示控制部18也可以将要输出的显示控制信号设为如下的显示控制信号,该显示控制信号还对显示装置41进行控制,以使其将与攻击路径推测部12的推测结果、进入点推测部14的推测结果、攻击目标推测部15的推测结果及/或攻击路径可靠度计算部16的计算结果有关的信息例如以表形式进行显示。这里,假设显示控制部18将显示控制信号还设为对显示装置41进行控制以使其将攻击路径推测结果表管理部17管理的攻击路径履历以表形式进行显示的显示控制信号而进行说明。
关于由显示控制部18所输出的显示控制信号控制的显示装置41显示的画面的具体例,在后面叙述。
<动作>
以下,参照附图对上述构成的攻击监视系统1进行的动作进行说明。
图12是攻击监视系统1进行的攻击监视处理的顺序图。图13是在攻击监视系统1进行的攻击监视处理中攻击解析装置10进行的攻击解析处理的流程图。
如图12所示,在攻击监视处理中,如果车载网络20中包含的IDS23检测出异常,则该IDS23向安全管控器27通知异常的检测。
如果从IDS23通知异常的检测,则安全管控器27生成异常检测信息(这里是异常检测列表),对车辆控制事件管理部28请求IDS23检测出异常前后的规定期间T2内的车辆控制事件履历和外部通信事件履历。
于是,车辆控制事件管理部28将被请求的车辆控制事件履历和外部通信事件履历发送给安全管控器27。
于是,安全管控器27取得车辆控制事件履历和外部通信事件履历。接着,安全管控器27将所生成的异常检测信息与车载网络信息、所取得的车辆控制事件履历以及所取得的外部通信事件履历一起发送给攻击解析装置10。
如果从安全管控器27发送来异常检测信息,则攻击解析装置10开始攻击开始处理。
如图12及图13所示,在攻击开始处理中,取得部11取得从安全管控器27发送来的异常检测信息、车载网络信息、车辆控制事件履历和外部通信事件履历(步骤S10)。
接着,进入点推测部14基于由取得部11取得的车载网络信息、异常检测信息和外部通信事件履历,推测进入点(步骤S20)。此时,进入点推测部14在进入点的推测过程中,计算关于多个外部通信IF21各自的进入点风险。该进入点的推测通过由进入点推测部14进行后述的进入点推测处理来进行。
接着,攻击目标推测部15基于由取得部11取得的车载网络信息、异常检测信息和车辆控制事件履历,推测攻击目标(步骤S30)。此时,攻击目标推测部15在攻击目标的推测过程中,计算关于多个ECU22各自的攻击目标风险。该攻击目标的推测通过由攻击目标推测部15进行后述的攻击目标推测处理来进行。
接着,攻击路径推测部12基于由进入点推测部14推测出的进入点、由攻击目标推测部15推测出的攻击目标、由取得部11取得的车载网络信息和由取得部11取得的异常检测信息,推测攻击路径(步骤S40)。该攻击路径的推测通过由攻击路径推测部12进行后述的攻击路径推测处理来进行。
接着,攻击路径可靠度计算部16基于由进入点推测部14计算出的进入点的进入点风险和由攻击目标推测部15计算出的攻击目标的攻击目标风险,针对由攻击路径推测部12推测出的攻击路径,计算攻击路径可靠度(步骤S50)。该攻击路径可靠度的计算通过由攻击路径可靠度计算部16进行后述的攻击路径可靠度计算处理来进行。
接着,输出部13将包含由攻击路径推测部12推测出的攻击路径的显示控制信号输出给显示装置41(步骤S60)。
如果输出部13输出显示控制信号,则攻击解析装置10结束该攻击开始处理。
如果从输出部13输出显示控制信号,则显示装置41显示基于该显示控制信号的图像。
如果显示装置41显示基于显示控制信号的图像,则攻击监视系统1结束该攻击监视处理。
图14及图15是进入点推测部14进行的进入点推测处理的流程图。
如图14及图15所示,如果进入点推测处理开始,则进入点推测部14取得由取得部11取得的车载网络信息、异常检测信息和外部通信事件履历,参照车载网络信息,选择车载网络20所包含的多个外部通信IF21中的1个外部通信IF21(步骤S80)。
接着,进入点推测部14参照异常通知信息,检查选择中的外部通信IF21具备的IDS23是否检测出异常(步骤S100)。
在步骤S100的处理中,选择中的外部通信IF21具备的IDS23检测出异常的情况下(步骤S100:是),进入点推测部14参照外部通信事件履历,检查是否发生了选择中的外部通信IF21与外部通信的外部通信事件(步骤S101)。
在步骤S101的处理中,发生了选择中的外部通信IF21与外部通信的外部通信事件的情况下(步骤S101:是),进入点推测部14针对选择中的外部通信IF21将该外部通信IF21的异常状态推测为“检测出异常(攻击风险高)”,将该外部通信IF21的进入点风险计算为5(步骤S102)。
在步骤S101的处理中,没有发生选择中的外部通信IF21与外部通信的外部通信事件的情况下(步骤S101:否),进入点推测部14参照异常通知信息和外部通信事件履历,检查选择中的外部通信IF21的紧后的IDS23是否检测出异常(步骤S103)。
在步骤S103的处理中,选择中的外部通信IF21的紧后的IDS23检测出异常的情况下(步骤S103:是),进入点推测部14针对选择中的外部通信IF21将该外部通信IF21的异常状态推测为“检测出异常”,将该外部通信IF21的进入点风险计算为4(步骤S104)。
在步骤S103的处理中,选择中的外部通信IF21的紧后的IDS23没有检测出异常的情况下(步骤S103:否),进入点推测部14针对选择中的外部通信IF21将该外部通信IF21的异常状态推测为“误检测”,将该外部通信IF21的进入点风险计算为2(步骤S105)。
在步骤S100的处理中,选择中的外部通信IF21具备的IDS23没有检测出异常的情况下(步骤S100:否),进入点推测部14参照外部通信事件履历,检查是否发生了选择中的外部通信IF21与外部通信的外部通信事件(步骤S106)。
在步骤S106的处理中,发生了选择中的外部通信IF21与外部通信的外部通信事件的情况下(步骤S106:是),进入点推测部14参照异常通知信息和外部通信事件履历,检查选择中的外部通信IF21的紧后的IDS23是否检测出异常(步骤S107)。
在步骤S107的处理中,选择中的外部通信IF21的紧后的IDS23检测出异常的情况下(步骤S107:是),进入点推测部14针对选择中的外部通信IF21将该外部通信IF21的异常状态推测为“未检测出”,将该外部通信IF21的进入点风险计算为3(步骤S108)。
在步骤S107的处理中,选择中的外部通信IF21的紧后的IDS23没有检测出异常的情况下(步骤S107:否),进入点推测部14针对选择中的外部通信IF21将该外部通信IF21的异常状态推测为“无攻击(有事件)”,将该外部通信IF21的进入点风险计算为1(步骤S109)。
在步骤S106的处理中,没有发生选择中的外部通信IF21与外部通信的外部通信事件的情况下(步骤S106:否),进入点推测部14针对选择中的外部通信IF21将该外部通信IF21的异常状态推测为“无攻击”,将该外部通信IF21的进入点风险计算为0(步骤S110)。
在步骤S102的处理、步骤S104的处理、步骤S105的处理、步骤S108的处理、步骤S109的处理或步骤S110的处理结束了的情况下,进入点推测部14参照车载网络信息,检查在车载网络20所包含的多个外部通信IF21中是否存在在进入点推测处理中还没有选择的未选择的外部通信IF21(步骤S111)。
在步骤S111的处理中,存在未选择的外部通信IF21的情况下(步骤S111:是),进入点推测部14选择未选择的外部通信IF21中的1个外部通信IF21(步骤S81),前进到步骤S100的处理。
在步骤S111的处理中,不存在未选择的外部通信IF21的情况下(步骤S111:否),进入点推测部14选择计算出的进入点风险最大的外部通信IF21(步骤S112)。
在步骤S112的处理中选择的外部通信IF21存在多个的情况下(步骤S113:是),进入点推测部14检查这些外部通信IF21的进入点风险是否是1、3和5中的某一个(步骤S114)。
在步骤S114的处理中,进入点风险是1、3和5中的某一个的情况下(步骤S114:是),进入点推测部14参照外部通信事件履历,将这些外部通信IF21中的建立了对应的外部通信事件风险的得分最小的、即因建立了对应的外部通信事件而受到赛博攻击的危险度最高的外部通信IF21推测为进入点(步骤S115)。
在步骤S114的处理中,进入点风险不是1、3和5中的某一个的情况下(步骤S114:否),进入点推测部14检查这些外部通信IF21的进入点风险是否是2或4(步骤S116)。
在步骤S116的处理中,进入点风险是2或4的情况下(步骤S116:是),进入点推测部14参照异常检测信息,将这些外部通信IF21中的建立了对应的异常检测得分最大的外部通信IF21推测为进入点(步骤S117)。
在步骤S116的处理中,进入点风险不是2或4的情况下(步骤S116:否),进入点推测部14参照异常检测信息和车载网络信息,将能够以最短距离连结到检测出异常的中间节点的外部通信IF21推测为进入点(步骤S118)。
在步骤S112的处理中选择的外部通信IF21不存在多个的情况下(步骤S113:否),即在所选择的外部通信IF21为1个的情况下,进入点推测部14将该外部通信IF21推测为进入点(步骤S119)。
在步骤S115的处理、步骤S117的处理、步骤S118的处理或步骤S119的处理结束了的情况下,进入点推测部14将推测出的进入点作为该进入点推测处理的推测结果来输出(步骤S120)。
如果步骤S120的处理结束,则进入点推测部14结束该进入点推测处理。
图16及图17是攻击目标推测部15进行的攻击目标推测处理的流程图。
如图16及图17所示,如果攻击目标推测处理开始,则攻击目标推测部15取得由取得部11取得的车载网络信息、异常检测信息和车辆控制事件履历,参照车载网络信息,选择车载网络20所包含的多个ECU22中的1个ECU22(步骤S90)。
接着,攻击目标推测部15参照异常通知信息,检查选择中的ECU22具备的IDS23是否检测出异常(步骤S200)。
在步骤S200的处理中,选择中的ECU22具备的IDS23检测出异常的情况下(步骤S200:是),攻击目标推测部15参照车辆控制事件履历,检查是否发生了由选择中的ECU22进行的车辆控制事件(步骤S201)。
在步骤S201的处理中,发生了由选择中的ECU22进行的车辆控制事件的情况下(步骤S201:是),攻击目标推测部15针对选择中的ECU22将该ECU22的异常状态推测为“检测出异常(攻击风险高)”,将该ECU22的攻击目标风险计算为5(步骤S202)。
在步骤S201的处理中,没有发生由选择中的ECU22进行的车辆控制事件的情况下(步骤S201:否),攻击目标推测部15参照异常通知信息和车辆控制事件履历,检查选择中的ECU22的紧前的IDS23是否检测出异常(步骤S203)。
在步骤S203的处理中,选择中的ECU22的紧前的IDS23检测出异常的情况下(步骤S203:是),攻击目标推测部15针对选择中的ECU22将该ECU22的异常状态推测为“检测出异常”,将该ECU22的攻击目标风险计算为4(步骤S204)。
在步骤S203的处理中,选择中的ECU22的紧前的IDS23没有检测出异常的情况下(步骤S203:否),攻击目标推测部15针对选择中的ECU22将该ECU22的异常状态推测为“误检测”,将该ECU22的攻击目标风险计算为2(步骤S205)。
在步骤S200的处理中,选择中的ECU22具备的IDS23没有检测出异常的情况下(步骤S200:否),攻击目标推测部15参照车辆控制事件履历,检查是否发生了由选择中的ECU22进行的车辆控制事件(步骤S206)。
在步骤S206的处理中,发生了由选择中的ECU22进行的车辆控制事件的情况下(步骤S206:是),攻击目标推测部15参照异常通知信息和车辆控制事件履历,检查选择中的ECU22的紧前的IDS23是否检测出异常(步骤S207)。
在步骤S207的处理中,选择中的ECU22的紧前的IDS23检测出异常的情况下(步骤S207:是),攻击目标推测部15针对选择中的ECU22将该ECU22的异常状态推测为“未检测出”,将该ECU22的攻击目标风险计算为3(步骤S208)。
在步骤S207的处理中,选择中的ECU22的紧前的IDS23没有检测出异常的情况下(步骤S207:否),攻击目标推测部15针对选择中的ECU22将该ECU22的异常状态推测为“无攻击(有事件)”,将该ECU22的攻击目标风险计算为1(步骤S209)。
在步骤S206的处理中,没有发生由选择中的ECU22进行的车辆控制事件的情况下(步骤S206:否),攻击目标推测部15针对选择中的ECU22将该ECU22的异常状态推测为“无攻击”,将该ECU22的攻击目标风险计算为0(步骤S210)。
在步骤S202的处理、步骤S204的处理、步骤S205的处理、步骤S208的处理、步骤S209的处理或步骤S210的处理结束了的情况下,攻击目标推测部15参照车载网络信息,检查在车载网络20所包含的多个ECU22中是否存在在攻击目标推测处理中还没有选择的未选择的ECU22(步骤S211)。
在步骤S211的处理中,存在未选择的ECU22的情况下(步骤S211:是),攻击目标推测部15选择未选择的ECU22中的1个ECU22(步骤S91),前进到步骤S200的处理。
在步骤S211的处理中,不存在未选择的ECU22的情况下(步骤S211:否),攻击目标推测部15选择计算出的攻击目标风险最大的ECU22(步骤S212)。
在步骤S212的处理中选择的ECU22存在多个的情况下(步骤S213:是),攻击目标推测部15检查这些ECU22的攻击目标风险是否是1、3和5中的某一个(步骤S214)。
在步骤S214的处理中,攻击目标风险是1、3和5中的某一个的情况下(步骤S214:是),攻击目标推测部15参照车辆控制事件履历,将这些ECU22中的建立了对应的车辆控制事件风险的得分最小的、即建立了对应的车辆控制事件威胁车辆30的安全性的严重度最高的ECU22推测为攻击目标(步骤S215)。
在步骤S214的处理中,攻击目标风险不是1、3和5中的某一个的情况下(步骤S214:否),攻击目标推测部15检查这些ECU22的攻击目标风险是否是2或4(步骤S216)。
在步骤S216的处理中,攻击目标风险是2或4的情况下(步骤S216:是),攻击目标推测部15参照异常检测信息,将这些ECU22中的建立了对应的异常检测得分最大的ECU22推测为攻击目标(步骤S217)。
在步骤S216的处理中,攻击目标风险不是2或4的情况下(步骤S216:否),攻击目标推测部15参照异常检测信息和车载网络信息,将能够以最短的距离连结到检测出异常的中间节点的ECU22推测为攻击目标(步骤S218)。
在步骤S212的处理中选择的ECU22不存在多个的情况下(步骤S213:否),即在所选择的ECU22为1个的情况下,攻击目标推测部15将该ECU22推测为攻击目标(步骤S219)。
在步骤S215的处理、步骤S217的处理、步骤S218的处理或步骤S219的处理结束了的情况下,攻击目标推测部15将推测出的攻击目标作为该攻击目标推测处理的推测结果来输出(步骤S220)。
如果步骤S220的处理结束,则攻击目标推测部15结束该攻击目标推测处理。
图18是表示在由进入点推测部14执行进入点推测处理、由攻击目标推测部15执行攻击目标推测处理后由攻击路径推测结果表管理部17更新的攻击路径推测结果表的一例的示意图。
如图18所示,如果由进入点推测部14执行进入点推测处理,并由攻击目标推测部15执行攻击目标推测处理,则攻击路径推测结果表管理部17对于攻击路径推测结果表,将由进入点推测部14推测出的各外部通信IF21的异常状态或由攻击目标推测部15推测出的各ECU22的异常状态作为推测结果来记录,并将由进入点推测部14计算出的各外部通信IF21的进入点风险或由攻击目标推测部15计算出的各ECU22的攻击目标风险作为风险来记录,从而更新攻击路径推测结果表。
图19是攻击路径推测部12进行的攻击路径推测处理的流程图。
如图19所示,如果攻击路径推测处理开始,则攻击路径推测部12取得由取得部11取得的车载网络信息及异常检测信息、由进入点推测部14推测出的进入点、以及由攻击目标推测部15推测出的攻击目标(步骤S300)。
接着,攻击路径推测部12参照由车载网络信息表示的车载网络20的构成,分别计算将进入点与攻击目标连结的1个以上的路径,作为攻击路径候选(步骤S310)。
如果计算出1个以上的攻击路径候选,则攻击路径推测部12参照异常检测信息,将1个以上的攻击路径候选中的检测出异常的IDS23最多的攻击路径候选推测为攻击路径(步骤S320)。这里,攻击路径推测部12在存在多个检测出异常的IDS23最多的攻击路径候选的情况下,将这些多个攻击路径候选分别推测为攻击路径。
如果步骤S320的处理结束,则攻击路径推测部12结束该攻击路径推测处理。
图20是攻击路径可靠度计算部16进行的攻击路径可靠度计算处理的流程图。
如图20所示,如果攻击路径可靠度计算处理开始,则攻击路径可靠度计算部16取得由进入点推测部14计算出的进入点的进入点风险和由攻击目标推测部15计算出的攻击目标的攻击目标风险(步骤S400)。
接着,攻击路径可靠度计算部16计算所取得的进入点的进入点风险和攻击目标的攻击目标风险的平均,作为攻击路径可靠度(步骤S410)。
如果计算出攻击路径可靠度,则攻击路径可靠度计算部16检查由攻击路径推测部12推测出的攻击路径是否是多个(步骤S420)。
在步骤S420的处理中,由攻击路径推测部12推测出的攻击路径是多个的情况下(步骤S420:是),攻击路径可靠度计算部16用攻击路径的数量对攻击路径可靠度进行修正(步骤S430)。这里,假设攻击路径可靠度计算部16通过将攻击路径可靠度除以攻击路径的数量来对攻击路径可靠度进行修正而进行说明。但是,攻击路径可靠度计算部16只要能够用攻击路径的数量对攻击路径可靠度进行修正,则并不一定限定于通过将攻击路径可靠度除以攻击路径的数量而对攻击路径可靠度进行修正的构成。
如果步骤S430的处理结束,则攻击路径可靠度计算部16结束该攻击路径可靠度计算处理。
另外,在步骤S410的处理中,假设攻击路径可靠度计算部16计算进入点的进入点风险和攻击目标的攻击目标风险的平均作为攻击路径可靠度而进行了说明。相对于此,攻击路径可靠度计算部16也可以用其他方法计算攻击路径可靠度。例如,攻击路径可靠度计算部16也可以参照由取得部11取得的车载网络信息所表示的车载网络20的构成和由取得部11取得的异常检测信息,计算将“攻击路径上的检测出异常的IDS23的数量”除以“攻击路径上的IDS23的总数”而得到的大于0.0且1.0以下的数值,作为攻击路径可靠度。
图21、图22是表示在由攻击路径推测部12执行攻击路径推测处理、执行攻击路径可靠度计算处理后由攻击路径推测结果表管理部17更新的攻击路径推测结果表的一例的示意图。这里,图21是表示攻击路径推测部12推测出1个攻击路径的情况下的攻击路径推测结果表的一例的示意图,图22是表示攻击路径推测部12推测出多个(这里是两个)攻击路径的情况下的攻击路径推测结果表的一例的示意图。
如图21、图22所示,如果由攻击路径推测部12执行攻击路径推测处理,并执行攻击路径可靠度计算处理,则攻击路径推测结果表管理部17对于攻击路径推测结果表,关于由攻击路径推测部12推测出的各个攻击路径对符合攻击路径的节点记录标记,记录由攻击路径可靠度计算部16计算出的攻击路径可靠度,由此更新攻击路径推测结果表。
图23是显示控制部18进行的第1显示控制处理的流程图。
如图23所示,如果第1显示控制处理开始,则显示控制部18取得由取得部11取得的车载网络信息、由攻击路径推测部12推测出的攻击路径和由攻击路径推测结果表管理部17管理的攻击路径履历(步骤S500)。
接着,显示控制部18参照由车载网络信息表示的车载网络20的构成,计算显示控制信号,以将表示车载网络的构成的车载网络构成图显示在显示装置41上(步骤S510)。
进而,显示控制部18参照攻击路径,计算显示控制信号,以将攻击路径以与其他部分不同的显示方法显示在显示装置41上(步骤S520)。
进而,显示控制部18计算显示控制信号,以将攻击路径履历以表形式显示在显示装置41上(步骤S530)。
接着,显示控制部18将计算出的显示控制信号输出至显示装置41(步骤S540)。
如果步骤S540的处理结束,则显示控制部18结束该第1显示控制处理。
图24是表示由通过显示控制部18执行第1显示处理而输出的显示控制信号控制的显示装置41所显示的画面的一例的示意图。
如图24所示,显示装置41通过被从显示控制部18输出的显示控制信号控制,显示:(1)车载网络构成图,将由攻击路径推测部12推测出的攻击路径以与其他路径不同的显示方法显示;以及(2)表形式的列表,关于由攻击路径推测部12过去推测出的1个以上的攻击路径的每一个,将识别与该攻击路径对应的异常通知的异常通知ID、该攻击路径的攻击路径可靠度、该攻击路径的进入点、该进入点的进入点风险、该攻击路径的攻击目标、以及该攻击目标的攻击目标风险相互建立了对应。
另外,显示控制部18也可以代替进行第1显示控制处理而进行第2显示控制处理。
图25是显示控制部18进行的第2显示控制处理的流程图。
如图25所示,第2显示控制处理是从第1显示控制处理中代替步骤S500的处理而执行步骤S505的处理、在步骤S530的处理与步骤S540的处理之间执行步骤S531的处理和步骤S532的处理的处理。
因此,这里以步骤S505的处理、步骤S531的处理和步骤S532的处理为中心进行说明。
如图25所示,如果第2显示控制处理开始,则显示控制部18取得由取得部11取得的车载网络信息及异常检测信息、由攻击路径推测部12推测出的攻击路径、以及由攻击路径推测结果表管理部17管理的攻击路径履历(步骤S505),前进到步骤S510的处理。
如果步骤S530的处理结束,则显示控制部18参照异常检测信息,检查是否存在不包含在攻击路径中的检测出异常的IDS23(步骤S531)。
在步骤S530的处理中,存在不包含在攻击路径中的检测出异常的IDS23的情况下(步骤S531:是),显示控制部18计算显示控制信号,以将包含相应的IDS的节点以与攻击路径及其他部分均不同的显示方法显示在显示装置41上(步骤S532)。
在步骤S530的处理中,不存在不包含在攻击路径中的检测出异常的IDS23的情况下(步骤S531:否),或者在步骤S532的处理结束了的情况下,前进到步骤S540的处理。
如果步骤S540的处理结束,则显示控制部18结束该第2显示控制处理。
图26是表示由通过显示控制部18执行第2显示处理而输出的显示控制信号控制的显示装置41所显示的画面的一例的示意图。
如图26所示,显示装置41通过被从显示控制部18输出的显示控制信号控制,显示:(1)车载网络构成图,将由攻击路径推测部12推测出的攻击路径以与其他路径不同的显示方法显示,进而将包含不包含在攻击路径中的检测出异常的IDS23的节点以与攻击路径及其他部分均不同的显示方法显示;以及(2)表形式的列表,关于由攻击路径推测部12过去推测出的1个以上的攻击路径的每一个,将识别与该攻击路径对应的异常通知的异常通知ID、该攻击路径的攻击路径可靠度、该攻击路径的进入点、该进入点的进入点风险、该攻击路径的攻击目标、以及该攻击目标的攻击目标风险相互建立了对应。
<考察>
如上述那样,根据攻击解析装置10,在遭到对车载网络20的攻击的情况下,能够推测该攻击的包括进入点和攻击目标在内的攻击路径。由此,使用攻击解析装置10的用户在遭到对车载网络20的攻击的情况下,能够削减该攻击的分析、该攻击与过去的事例的对照等的该攻击的解析作业的成本。
此外,如上述那样,根据攻击解析装置10,能够使显示装置41显示将推测出的攻击路径以与其他路径不同的显示方法显示的车载网络构成图。由此,使用攻击解析装置10的用户能够在视觉上识别推测的攻击路径。
(补充)
如以上这样,作为在本申请中公开的技术的例示,基于实施方式进行了说明。但是,本公开并不限定于该实施方式。只要不脱离本公开的主旨,对本实施方式施以本领域技术人员想到的各种变形后的形态、或将不同实施方式的构成要素组合而构建的形态也可以也包含在本公开的1个或多个技术方案的范围内。
(1)在实施方式中,设为攻击解析装置10由存在于车载网络20的外部的监视服务器40实现而进行了说明。但是,攻击解析装置10不一定要限定于由监视服务器40实现的例子,进而也不一定要限定于在车载网络20的外部的装置实现的例子。作为一例,可以考虑攻击解析装置10由车载网络20中包含的综合ECU实现的例子。
图27是表示有关变形例的综合ECU24A的构成的一例的框图。综合ECU24A例如是所谓的计算机装置,具备处理器(未图示)和存储器(未图示),通过由处理器执行存储在存储器中的程序来实现攻击解析装置10。
(2)攻击解析装置10所包含的构成要素的一部分或全部也可以由专用或通用的电路实现。
攻击解析装置10所包含的构成要素的一部分或全部例如也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成到1个芯片上而制造出的超多功能LSI,具体而言,是包括微处理器、ROM(Read Only Memory)、RAM(Random Access Memory)等而构成的计算机系统。在ROM中存储有计算机程序。通过由微处理器按照计算机程序动作,系统LSI实现其功能。
另外,这里设为系统LSI,但根据集成度的差异,也有称作IC、LSI、超级LSI、超大规模LSI的情况。此外,集成电路化的方法并不限于LSI,也可以由专用电路或通用处理器实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable Gate Array)、或能够重构LSI内部的电路单元的连接或设定的可重构处理器。
进而,如果因半导体技术的进步或派生的其他技术而出现替代LSI的集成电路化的技术,则当然也可以使用其技术进行功能块的集成化。有可能是生物技术的应用等。
(3)本公开的一技术方案不仅是这样的攻击解析装置10,也可以是以攻击解析装置10所包含的特征性的构成部为步骤的异常检测方法。此外,本公开的一技术方案也可以是使计算机执行攻击解析方法所包含的特征性的各步骤的计算机程序。此外,本公开的一技术方案也可以是记录有这样的计算机程序的计算机可读取的非暂时性的记录介质。
工业实用性
本公开能够广泛地利用于解析对网络的赛博攻击的攻击解析装置。
标号说明
1 攻击监视系统
10 攻击解析装置
11 取得部
12 攻击路径推测部
13 输出部
14 进入点推测部
15 攻击目标推测部
16 攻击路径可靠度计算部
17攻击路径推测结果表管理部
18 显示控制部
20 车载网络
21外部通信接口(外部通信IF)
21A外部通信IF_A
21B外部通信IF_B
21C外部通信IF_C
21D外部通信IF_D
22控制ECU(ECU)
22A ECU_A
22B ECU_B
22C ECU_C
22D ECU_D
23IDS
23AIDS_A
23B IDS_B
23C IDS_C
23D IDS_D
23E IDS_E
23F IDS_F
23G IDS_G
23H IDS_H
23I IDS_I
23J IDS_J
23K IDS_K
23L IDS_L
24、24A 综合ECU
25 CAN
26 以太网
27 安全管控器
28 车辆控制事件管理部
29 网关
30 车辆
40 监视服务器
41 显示装置
50 外部网络

Claims (7)

1.一种攻击解析装置,其中,具备:
取得部,取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制电子控制单元即控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;
攻击路径推测部,基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;以及
输出部,输出上述攻击路径。
2.如权利要求1所述的攻击解析装置,其中,
上述取得部还取得外部通信事件履历和车辆控制事件履历,上述外部通信事件履历表示上述车载网络与外部进行的通信事件的履历,上述车辆控制事件履历表示搭载上述车载网络的车辆所进行的车辆控制事件的履历;
上述攻击解析装置还具备:
进入点推测部,基于上述车载网络信息、上述异常检测信息以及上述外部通信事件履历,推测上述进入点;以及
攻击目标推测部,基于上述车载网络信息、上述异常检测信息以及上述车辆控制事件履历,推测上述攻击目标;
上述攻击路径推测部基于由上述进入点推测部推测的上述进入点和由上述攻击目标推测部推测的上述攻击目标,推测上述攻击路径。
3.如权利要求2所述的攻击解析装置,其中,
上述进入点推测部关于上述多个外部通信接口的每一个计算表示作为上述进入点的可靠度的进入点风险,并基于计算出的各个进入点风险,推测上述进入点;
上述攻击目标推测部关于上述多个控制ECU的每一个计算表示作为上述攻击目标的可靠度的攻击目标风险,并基于计算出的各个攻击目标风险,推测上述攻击目标。
4.如权利要求3所述的攻击解析装置,其中,
还具备攻击路径可靠度计算部,该攻击路径可靠度计算部基于由上述进入点推测部计算出的上述进入点的上述进入点风险以及由上述攻击目标推测部计算出的上述攻击目标的上述攻击目标风险,针对上述攻击路径计算表示作为上述攻击路径的可靠度的攻击路径可靠度;
上述输出部还输出上述攻击路径可靠度。
5.如权利要求1至4中任一项所述的攻击解析装置,其中,
上述输出部具备显示控制部,该显示控制部对显示装置输出包含上述攻击路径的显示控制信号,该显示控制信号对上述显示装置进行控制,以使其显示表示上述车载网络的构成的构成图,并且在上述构成图中将上述攻击路径以与其他部分不同的显示方法显示。
6.一种攻击解析方法,由计算机执行,其中,
取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制电子控制单元即控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;
基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;
输出上述攻击路径。
7.一种程序,用来使计算机执行攻击解析处理,其中,
上述攻击解析处理包括以下的处理:
取得车载网络信息和异常检测信息,上述车载网络信息表示包括多个外部通信接口和多个控制电子控制单元即控制ECU的车载网络的构成,上述异常检测信息表示在上述车载网络中的1个以上的节点中检测到的异常检测结果;
基于上述车载网络信息和上述异常检测信息,推测对上述车载网络的攻击的包括该攻击中的进入点和攻击目标在内的攻击路径,上述进入点表示作为该攻击向上述车载网络的侵入地点的外部通信接口,上述攻击目标表示作为该攻击的目标的控制ECU;
输出上述攻击路径。
CN202180076369.9A 2020-11-20 2021-07-02 攻击解析装置、攻击解析方法及程序 Pending CN116438496A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202063116430P 2020-11-20 2020-11-20
US63/116430 2020-11-20
PCT/JP2021/025100 WO2022107378A1 (ja) 2020-11-20 2021-07-02 攻撃解析装置、攻撃解析方法、および、プログラム

Publications (1)

Publication Number Publication Date
CN116438496A true CN116438496A (zh) 2023-07-14

Family

ID=81708693

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180076369.9A Pending CN116438496A (zh) 2020-11-20 2021-07-02 攻击解析装置、攻击解析方法及程序

Country Status (5)

Country Link
US (1) US20230283617A1 (zh)
EP (1) EP4250151A4 (zh)
JP (1) JPWO2022107378A1 (zh)
CN (1) CN116438496A (zh)
WO (1) WO2022107378A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024070859A1 (ja) * 2022-09-30 2024-04-04 株式会社デンソー 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
WO2024127789A1 (ja) * 2022-12-13 2024-06-20 パナソニックIpマネジメント株式会社 攻撃経路予測方法、攻撃経路予測装置及びプログラム
WO2024127788A1 (ja) * 2022-12-13 2024-06-20 パナソニックIpマネジメント株式会社 攻撃経路予測方法、攻撃経路予測装置及びプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5264470B2 (ja) * 2008-12-26 2013-08-14 三菱電機株式会社 攻撃判定装置及びプログラム
JP2015026252A (ja) 2013-07-26 2015-02-05 株式会社豊田中央研究所 異常検知装置及びプログラム
JP6669138B2 (ja) * 2017-07-19 2020-03-18 トヨタ自動車株式会社 攻撃監視システムおよび攻撃監視方法
JP2019174426A (ja) * 2018-03-29 2019-10-10 パナソニックIpマネジメント株式会社 異常検知装置、異常検知方法およびプログラム
JP7065444B2 (ja) * 2019-03-14 2022-05-12 パナソニックIpマネジメント株式会社 情報処理装置および情報処理システム
WO2020189668A1 (ja) * 2019-03-20 2020-09-24 パナソニックIpマネジメント株式会社 リスク分析装置及びリスク分析方法

Also Published As

Publication number Publication date
JPWO2022107378A1 (zh) 2022-05-27
WO2022107378A1 (ja) 2022-05-27
US20230283617A1 (en) 2023-09-07
EP4250151A4 (en) 2024-05-01
EP4250151A1 (en) 2023-09-27

Similar Documents

Publication Publication Date Title
CN110463142B (zh) 车辆异常检测服务器、车辆异常检测系统及车辆异常检测方法
CN116438496A (zh) 攻击解析装置、攻击解析方法及程序
US11541899B2 (en) Vehicle diagnosis apparatus, vehicle diagnosis system, and vehicle diagnosis program
CN110300686B (zh) 数据分析装置及存储介质
US20190312892A1 (en) Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof
JP4453764B2 (ja) 車両診断装置、車両診断システム、診断方法
JPWO2022107378A5 (zh)
CN112437056B (zh) 安全处理方法以及服务器
CN110494330A (zh) 车辆监视装置、不正当检测服务器、以及控制方法
CN112740185A (zh) 分析装置、分析系统、分析方法以及程序
US11886588B2 (en) Intrusion point identification device and intrusion point identification method
JP2010137644A (ja) 車両の故障診断装置
EP3842974B1 (en) Information processing device, information processing method, and program
CN112153070B (zh) 车载can总线的异常检测方法、设备、存储介质及装置
US20220006821A1 (en) Information processing apparatus, data analysis method and program
CN110325410B (zh) 数据分析装置及存储介质
JP2010206697A (ja) 車載通信ネットワークシステムおよび車載通信ネットワークシステムの異常診断方法
KR20160062259A (ko) 차량 이상 상태를 관리하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체
KR20200034036A (ko) 차량 데이터 수집 진단 장치 및 방법, 그리고 차량 시스템
CN114379570A (zh) 车辆数据操纵和机械故障的自动检测
EP4135261B1 (en) Information processing device, information processing method, and program
CN112019512A (zh) 汽车网络安全测试系统
US20220103583A1 (en) Information transmission device, server, and information transmission method
JP2006027391A (ja) 故障解析システム
EP4316918A1 (en) Vehicle abnormality detection device and vehicle abnormality detection method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination