DE102023103676A1 - Angriffswegerstellungsverfahren und Angriffswegerstellungsvorrichtung - Google Patents

Angriffswegerstellungsverfahren und Angriffswegerstellungsvorrichtung Download PDF

Info

Publication number
DE102023103676A1
DE102023103676A1 DE102023103676.9A DE102023103676A DE102023103676A1 DE 102023103676 A1 DE102023103676 A1 DE 102023103676A1 DE 102023103676 A DE102023103676 A DE 102023103676A DE 102023103676 A1 DE102023103676 A1 DE 102023103676A1
Authority
DE
Germany
Prior art keywords
attack
attack path
path
primary
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023103676.9A
Other languages
English (en)
Inventor
Takayuki Fujii
Kaoru Yokota
Shoichiro SEKIYA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Automotive Systems Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of DE102023103676A1 publication Critical patent/DE102023103676A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Angriffswegerstellungsverfahren gemäß der vorliegenden Offenbarung ist ein Angriffswegerstellungsverfahren, das durch Beziehen von Protokollen in Vorrichtungen ausgeführt wird, die mit einem Netzwerk verbunden sind, das mindestens eine von einer Abzweigung und einer Zusammenführung enthält, wobei jede Vorrichtung eine Angrifferfassungsfunktion hat. Das Verfahren enthält: Erstellen eines primären Angriffswegs ohne die Abzweigung und die Zusammenführung auf der Grundlage der bezogenen Protokolle; Erstellen eines sekundären Angriffswegs, der von dem primären Angriffsweg abzweigt oder mit dem primären Angriffsweg zusammengeführt wird, auf der Grundlage der Protokolle; und Ausgeben des erstellten primären Angriffswegs und des sekundären Angriffswegs an eine Vorrichtung, die eine Angriffbestimmung durchführt. Der sekundäre Angriffsweg ist ein Angriffsweg, der eine stromaufwärtige oder stromabwärtige Vorrichtung enthält, in der ein als ein Angriff erachtetes Ereignis innerhalb eines bestimmten Zeitraums ab einem als ein Angriff erachteten Ereignis an einer Vorrichtung auftritt, die in dem primären Angriffsweg enthalten ist und mit dem Zusammenführungs-/Abzweigungspunkt des Netzwerks verbunden ist.

Description

  • GEBIET
  • Die vorliegende Offenbarung betrifft ein Angriffswegerstellungsverfahren und eine Angriffswegerstellungsvorrichtung.
  • ALLGEMEINER STAND DER TECHNIK
  • Als eine Gegenmaßnahme gegen einen Cyberangriff wird eine Technologie offenbart, bei der Angriffsmuster, deren Auftreten in der Zukunft erwartet wird, im Voraus als Angriffsszenarien definiert werden und ein Angriffsszenario in Übereinstimmung mit einem Protokoll festgelegt wird.
  • Wenn in einem System jedoch eine Mehrzahl von Angriffswegen gleichzeitig vorliegt, ist die Bewältigung durch die vorstehende Technologie, die ein Angriffsszenario festlegt, schwierig.
  • KURZDARSTELLUNG
  • Ein durch eine Informationsverarbeitungsvorrichtung ausgeführtes Angriffswegerstellungsverfahren gemäß der vorliegenden Offenbarung enthält ein Erstellen eines Angriffswegs in einer Mehrzahl von Vorrichtungen durch Beziehen von Protokollen in der Mehrzahl von Vorrichtungen, die mit einem Netzwerk verbunden sind, das mindestens eine von einer Abzweigung und einer Zusammenführung aufweist, wobei jede Vorrichtung eine Angriffserfassungsfunktion hat. Das Angriffswegerstellungsverfahren enthält ein Erstellen eines primären Angriffswegs ohne die Abzweigung und die Zusammenführung auf der Grundlage der bezogenen Protokolle; Erstellen eines sekundären Angriffswegs, der von dem primären Angriffsweg abzweigt oder mit dem primären Angriffsweg zusammengeführt wird, auf der Grundlage der Protokolle; und Ausgeben des erstellten primären Angriffswegs und des erstellten sekundären Angriffswegs an eine Vorrichtung, die eine Angriffbestimmung durchführt. Der sekundäre Angriffsweg ist ein Angriffsweg, der eine stromaufwärtige Vorrichtung oder eine stromabwärtige Vorrichtung enthält, in dem ein Ereignis, das als ein Angriff erachtet wird, innerhalb eines bestimmten Zeitraums ab einem Ereignis, das als ein Angriff erachtet wird, an einer Vorrichtung auftritt, die in dem primären Angriffsweg enthalten ist und mit einem Zusammenführungspunkt oder einem Abzweigungspunkt des Netzwerks verbunden ist.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
    • 1 ist ein Diagramm, das ein Beispiel einer Konfiguration eines Angriffsanalysesystems gemäß einer Ausführungsform veranschaulicht;
    • 2 ist ein Blockdiagramm, das ein Beispiel einer Hardwarekonfiguration einer IDM-Vorrichtung gemäß der Ausführungsform veranschaulicht;
    • 3 ist ein Blockdiagramm, das ein Beispiel einer funktionellen Konfiguration der IDM-Vorrichtung und einer SIEM-Vorrichtung gemäß der Ausführungsform veranschaulicht;
    • 4 ist ein Diagramm, das ein Beispiel eines Protokolls veranschaulicht, das von einer IDS-Sensorgruppe durch die IDM-Vorrichtung gemäß der Ausführungsform bezogen wird;
    • 5 ist ein Diagramm, das ein Beispiel von Daten veranschaulicht, nachdem die IDM-Vorrichtung gemäß der Ausführungsform eine Gruppierungsverarbeitung an dem von der IDS-Sensorgruppe bezogenen Protokoll durchführt;
    • 6 ist ein Diagramm, das ein Beispiel von Daten veranschaulicht, die durch die IDM-Vorrichtung gemäß der Ausführungsform erhalten werden, die eine Anpassungsverarbeitung an dem von der IDS-Sensorgruppe bezogenen Protokoll durchführt;
    • 7 ist ein Diagramm, das ein Beispiel eines primären Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung gemäß der Ausführungsform erstellt wird;
    • 8 ist ein Diagramm, das Kandidaten in einem Fall des Erstellens eines sekundären Angriffswegs der IDM-Vorrichtung gemäß der Ausführungsform veranschaulicht;
    • 9 ist ein Diagramm, das eine Auftrittszeitbestimmung eines Ereignisses in jeder von fahrzeuginternen Vorrichtungen veranschaulicht, die in der IDM-Vorrichtung gemäß der Ausführungsform untersucht werden;
    • 10 ist ein Diagramm, das eine Auftrittszeitbestimmung eines Ereignisses in jeder von fahrzeuginternen Vorrichtungen veranschaulicht, die in der IDM-Vorrichtung gemäß der Ausführungsform untersucht werden;
    • 11 ist ein Diagramm, das ein Beispiel eines Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung gemäß der Ausführungsform erstellt wird;
    • 12 ist ein Diagramm, das ein Beispiel einer Datenbank bekannter Angriffe veranschaulicht, die von der IDM-Vorrichtung gemäß der Ausführungsform zum Einschätzen eines Angriffsszenarios verwendet wird;
    • 13 ist ein Flussdiagramm, das ein Beispiel eines Ablaufs einer Angriffswegerstellungsverarbeitung durch die IDM-Vorrichtung gemäß der Ausführungsform veranschaulicht;
    • 14 ist ein Flussdiagramm, das ein Beispiel eines Ablaufs einer Erstellungsverarbeitung eines sekundären Angriffswegs durch die IDM-Vorrichtung gemäß der Ausführungsform veranschaulicht;
    • 15 ist ein Blockdiagramm, das ein Beispiel funktioneller Konfigurationen einer IDM-Vorrichtung und einer SIEM-Vorrichtung gemäß Modifikation 1 der Ausführungsform veranschaulicht;
    • 16 ist ein Diagramm, das ein Beispiel von Daten veranschaulicht, die durch Durchführen einer Anpassungsverarbeitung an einem von einer IDS-Sensorgruppe bezogenen Protokoll durch die IDM-Vorrichtung gemäß Modifikation 1 der Ausführungsform erhalten werden;
    • 17 ist ein Diagramm, das eine Auftrittszeitbestimmung eines Ereignisses in jeder von fahrzeuginternen Vorrichtungen veranschaulicht, die in der IDM-Vorrichtung gemäß Modifikation 1 der Ausführungsform untersucht werden;
    • 18 ist ein Diagramm, das ein Beispiel eines Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung gemäß Modifikation 1 der Ausführungsform erstellt wird;
    • 19 ist ein Flussdiagramm, das ein Beispiel eines Ablaufs einer Erstellungsverarbeitung eines sekundären Angriffswegs durch die IDM-Vorrichtung gemäß Modifikation 1 der Ausführungsform veranschaulicht;
    • 20 ist ein Blockdiagramm, das ein Beispiel funktioneller Konfigurationen einer IDM-Vorrichtung und einer SIEM-Vorrichtung gemäß Modifikation 2 der Ausführungsform veranschaulicht;
    • 21 ist ein Diagramm, das ein Beispiel eines Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung gemäß Modifikation 2 der Ausführungsform erstellt wird;
    • 22 ist ein Diagramm, das ein Beispiel eines Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung gemäß Modifikation 2 der Ausführungsform auf der Grundlage der Zählung der Anzahl von Angriffszielen erstellt wird; und
    • 23 ist ein Flussdiagramm, das ein Beispiel eines Ablaufs einer Erstellungsverarbeitung eines Angriffswegs auf der Grundlage der Anzahl von Angriffsauftritten durch die IDM-Vorrichtung gemäß Modifikation 2 der Ausführungsform veranschaulicht.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Es ist eine Aufgabe der vorliegenden Offenbarung, ein Angriffswegerstellungsverfahren und eine Angriffswegerstellungsvorrichtung bereitzustellen, die einen Angriffsweg selbst dann festlegen können, wenn eine Mehrzahl von Vorrichtungen gleichzeitig angegriffen wird.
  • Im Folgenden werden Ausführungsformen eines Angriffswegerstellungsverfahrens und einer Angriffswegerstellungsvorrichtung gemäß der vorliegenden Offenbarung unter Bezugnahme auf die Zeichnungen beschrieben.
  • Konfigurationsbeispiel eines Angriffsanalysesystems
  • 1 ist ein Diagramm, das ein Beispiel einer Konfiguration eines Angriffsanalysesystems gemäß einer Ausführungsform veranschaulicht. Das Angriffsanalysesystem der Ausführungsform enthält eine integrierte Protokollüberwachungsvorrichtung (im Folgenden eine integrierte Erfassungsprotokollmanager, engl. „integrated detection log monitoring“ (IDM)-Vorrichtung) 10, die an einem Fahrzeug VH angebracht ist und Analyse, Gegenmaßnahmen und dergleichen des Cyberangriffs an einer fahrzeuginternen Vorrichtungsgruppe 100 unterstützt, die durch die IDM-Vorrichtung 10 überwacht wird.
  • Die fahrzeuginterne Vorrichtungsgruppe 100 enthält verschiedene fahrzeuginterne Vorrichtungen, wie ein Controller Area Network (CAN), ein fahrzeuginternes Ethernet (Ether), eine fahrzeuginterne elektronische Steuereinheit (ECU, engl.: „electronic control unit“), ein Gateway (G/W), ein Telematik-Steuergerät (TCU, engl.: „telematics control unit“), Fahrerassistenzsysteme (ADAS, engl.: „advanced driver-assistance systems“) und eine On-Board-Diagnose (OBD).
  • Die in der fahrzeuginternen Vorrichtungsgruppe 100 enthaltenen fahrzeuginternen Vorrichtungen sind über ein Netzwerk miteinander verbunden. Das Netzwerk, in dem die fahrzeuginternen Vorrichtungen miteinander verbunden sind, kann mindestens eine von einer Abzweigung (engl.: „branch“) und einer Zusammenführung (engl.: „merge“) aufweisen. Zudem haben diese fahrzeuginternen Vorrichtungen eine Angriffserfassungsfunktion, indem ein nachfolgend beschriebener Intrusion Detection System(IDS)-Sensor angebracht ist.
  • Die an der fahrzeuginternen Vorrichtung angebrachten IDS-Sensoren sind ein Netzwerk-basierter IDS (NIDS), ein Host-basierter IDS (HIDS), eine Firewall oder dergleichen und stellen eines IDS-Sensorgruppe 100a dar.
  • Die IDM-Vorrichtung 10 ist als eine Angriffswegerstellungsvorrichtung an dem Fahrzeug VH angebracht und bezieht ein Protokoll, das Erfassungsergebnisse verschiedener Ereignisse in der fahrzeuginternen Vorrichtungsgruppe 100 enthält, von der IDS-Sensorgruppe 100a. Die verschiedenen Ereignisse, die in den Protokollen aufgezeichnet sind, enthalten ein Ereignis, das als ein Angriff an einer vorbestimmten fahrzeuginternen Vorrichtung erachtet wird. Die IDM-Vorrichtung 10 überwacht die fahrzeuginterne Vorrichtungsgruppe 100 auf der Grundlage dieser Protokolle.
  • Zudem sendet die IDM-Vorrichtung 10 das Überwachungsergebnis der fahrzeuginternen Vorrichtungsgruppe 100 einschließlich des Protokolls von der IDS-Sensorgruppe 100a über ein drahtloses externes Netzwerk NTe, wie das Internet, an ein Datenzentrum 20.
  • Das Datenzentrum 20 ist mit der IDM-Vorrichtung 10 über das externe Netzwerk NTe verbunden und enthält eine Security Information and Event Management(SIEM)-Vorrichtung 21 und eine Datenbank 22. In der Datenbank 22 werden das Überwachungsergebnis der fahrzeuginternen Vorrichtungsgruppe 100 von der IDM-Vorrichtung 10 und das Protokoll der IDS-Sensorgruppe 100a eingespeichert. Die SIEM-Vorrichtung 21 verwaltet diese in der Datenbank 22 eingespeicherten Informationen zentral und identifiziert den Sicherheitsvorfall durch Korrelationsanalyse oder dergleichen.
  • Ein Überwachungszentrum 30 ist eine spezialisierte Organisation, die zu einem Security Operations Center (SOC) gehört, das auf das Überwachen eines Cyberangriffs an der fahrzeuginternen Vorrichtungsgruppe 100 und das Ergreifen von Maßnahmen gegen den Cyberangriff spezialisiert ist. Wenn die SIEM-Vorrichtung 21 des Datenzentrums 20 eine Anomalie erfasst, wird ein Bediener 31 des Überwachungszentrums 30 über die Anomalie benachrichtigt. Sobald er den Bericht von dem Bediener 31 empfängt, gibt ein Manager 32 die Alarminformationen an ein Analysezentrum 40 weiter.
  • Das Analysenzentrum 40 ist eine spezialisierte Organisation, die zu einem SOC gehört, das auf das Analysieren eines Cyberangriffs an der fahrzeuginternen Vorrichtungsgruppe 100 und das Ergreifen von Maßnahmen gegen den Cyberangriff spezialisiert ist. Sobald er die Alarminformationen von dem Überwachungszentrum 30 empfängt, analysiert ein Analytiker 41 des Analysezentrums 40 die durch die SIEM-Vorrichtung 21 erfasste Anomalie. Ein Manager 42 des Analysezentrums 40 gibt die von dem Analytiker 41 analysierten Alarminformationen an ein Security Incident Response Team (SIRT) 50 weiter.
  • Das SIRT 50 ist ein professionelles Team, das dafür eingerichtet ist, auf Sicherheitsvorfälle zu reagieren, die in Computern und Netzwerken auftreten. Die von dem Analysezentrum 40 analysierten Alarminformationen werden gemeinsam mit dem SIRT 50 bearbeitet und eine aktivere Reaktion wird forciert.
  • Wie vorstehend beschrieben, erhält die fahrzeuginterne Vorrichtungsgruppe 100 Unterstützung durch Überwachung, Analyse, Gegenmaßnahmen und dergleichen gegen den Cyberangriff von dem hierarchischen System, das die IDM-Vorrichtung 10 enthält. In einem solchen hierarchischen Angriffsanalysesystem ist es wichtig, welche Datenform von der an dem Fahrzeug VH angebrachten IDM-Vorrichtung 10 an das Datenzentrum 20 gesendet wird.
  • Indes gibt es, um ein endgültiges Angriffsziel in einem Netzwerk zu erreichen, einen Fall, in dem ein Cyberangriff wie beispielsweise die gleichzeitige Ausspähung an einer Mehrzahl von Angriffszielen durch Verfolgen des Netzwerks durchgeführt wird. In einem solchen Fall kann eine Mehrzahl von Angriffswegen gleichzeitig und häufig in einem Netzwerk auftreten.
  • Wie nachstehend beschrieben, erstellt die IDM-Vorrichtung 10 einen Angriffsweg zu einer Mehrzahl von fahrzeuginternen Vorrichtungen, die in der fahrzeuginternen Vorrichtungsgruppe 100 enthalten sind, auf der Grundlage der von der IDS-Sensorgruppe 100a gesammelten Protokolle, und lädt Daten einschließlich des Erstellungsergebnisses des Angriffswegs in die Datenbank 22 des Datenzentrums 20 hoch.
  • Konfigurationsbeispiel der IDM-Vorrichtung
  • Als nächstes wird ein Beispiel einer Hardwarekonfiguration und einer funktionellen Konfiguration der IDM-Vorrichtung 10 unter Bezugnahme auf 2 und 3 beschrieben.
  • 2 ist ein Blockdiagramm, das ein Beispiel einer Hardwarekonfiguration der IDM-Vorrichtung 10 gemäß der Ausführungsform veranschaulicht. Wie in 2 veranschaulicht, ist die IDM-Vorrichtung 10 als eine Informationsverarbeitungsvorrichtung, wie ein Computer, konfiguriert, der beispielsweise eine zentrale Verarbeitungseinheit (CPU) 11, einen Nur-LeseSpeicher (ROM) 12 und einen Arbeitsspeicher (RAM) 13 enthält.
  • Genauer enthält die IDM-Vorrichtung 10 die CPU 11, den ROM 12, den RAM 13, eine Kommunikationsschnittstelle (I/F, engl.: „interface“) 14, eine Eingang/Ausgang-I/F 15 und eine Speichervorrichtung 16. Die CPU 11, der ROM 12, der RAM 13, die Kommunikations-I/F 14, die Eingang/Ausgang-I/F 15 und die Speichervorrichtung 16 sind über einen internen Bus miteinander verbunden. Zudem ist die IDS-Sensorgruppe 100a mit der Eingang/Ausgang-I/F 15 über ein Netzwerk, wie ein fahrzeuginternes CAN, verbunden.
  • Die CPU 11 steuert die gesamte IDM-Vorrichtung 10. Der ROM 12 fungiert als ein Speicherbereich in der IDM-Vorrichtung 10. Die in dem ROM 12 gespeicherten Informationen bleiben selbst dann erhalten, wenn die IDM-Vorrichtung 10 ausgeschaltet wird. Der RAM 13 fungiert als eine primäre Speichervorrichtung und dient als ein Arbeitsbereich der CPU 11.
  • Die CPU 11 setzt die Funktion der IDM-Vorrichtung 10 um, indem sie das in dem ROM 12 gespeicherte Angriffswegerstellungsprogramm oder dergleichen in dem RAM 13 lädt und das Angriffswegerstellungsprogramm ausführt.
  • Die Kommunikations-I/F 14 ist dafür konfiguriert, mit einem drahtlosen externen Netzwerk NTe, wie dem Internet, verbindbar zu sein. Durch die Kommunikations-I/F 14 können verschiedene Arten von Informationen aus der IDM-Vorrichtung 10 in die vorstehend beschriebene Datenbank 22 des Datenzentrums 20 hochgeladen werden.
  • Die Eingang/Ausgang-I/F 15 ist mit einer externen Vorrichtung, wie der IDS-Sensorgruppe 100a, über ein Netzwerk, wie ein fahrzeuginternes CAN, verbunden. Verschiedene Arten von Informationen, darunter Protokolle, werden von einer externen Vorrichtung, wie der IDS-Sensorgruppe 100a, über die Eingang/Ausgang-I/F 15 gesammelt.
  • Die Speichervorrichtung 16 ist ein Festplattenlaufwerk (HDD, engl.: „hard disk drive“), ein Solid-State-Laufwerk (SSD, engl.: „solid state drive“) oder dergleichen und fungiert als eine Hilfsspeichervorrichtung der CPU 11.
  • Wie vorstehend beschrieben, weist die IDS-Sensorgruppe 100a eine Mehrzahl von IDS-Sensoren, wie NIDS, HIDS, eine Firewall und dergleichen, auf. Die Mehrzahl von IDS-Sensoren ist jeweils an entsprechenden fahrzeuginternen Vorrichtungen der fahrzeuginternen Vorrichtungsgruppe 100 angebracht und überwacht die fahrzeuginternen Vorrichtungen, um Protokolle zu erstellen.
  • 3 ist ein Blockdiagramm, das ein Beispiel einer funktionellen Konfiguration der IDM-Vorrichtung 10 und der SIEM-Vorrichtung 21 gemäß der Ausführungsform veranschaulicht.
  • Wie in 3 veranschaulicht, enthält die IDM-Vorrichtung 10 beispielsweise eine Bezugseinheit 101, eine Aggregationseinheit 102, eine primäre Erstellungseinheit 103, eine sekundäre Erstellungseinheit 104, eine Schätzeinheit 105, eine Ausgabeeinheit 106 und eine Speichereinheit 107.
  • Die Bezugseinheit 101 empfängt verschiedene Arten von Informationen, darunter ein Protokoll, von einer externen Vorrichtung, wie der IDS-Sensorgruppe 100a, über das Netzwerk NTc, beispielsweise das fahrzeuginterne CAN. Die Bezugseinheit 101 ist beispielsweise durch die Eingang/Ausgang-I/F 15 umgesetzt, die unter der Steuerung der CPU 11 arbeitet, die das Angriffswegerstellungsprogramm ausführt.
  • Die Aggregationseinheit 102 aggregiert die von der IDS-Sensorgruppe 100a gesammelten Protokolle. Zudem konsultiert die Aggregationseinheit 102 eine Netzwerkkonfigurationsdatenbank 107a, die in der Speichereinheit 107 gespeichert ist, und führt eine Anpassung durch, um die aggregierten Protokolle auf die fahrzeuginterne Vorrichtungsgruppe 100 in dem Netzwerk anzuwenden. Die Aggregationseinheit 102 ist beispielsweise durch die CPU 11 umgesetzt, die das Angriffswegerstellungsprogramm ausführt.
  • Die primäre Erstellungseinheit 103 erstellt einen primären Angriffsweg ohne eine Zusammenführung oder eine Abzweigung aus den Protokollen, die der Anpassungsverarbeitung unterzogen werden. Die primäre Erstellungseinheit 103 ist beispielsweise durch die CPU 11 umgesetzt, die das Angriffswegerstellungsprogramm ausführt.
  • Die sekundäre Erstellungseinheit 104 erstellt einen sekundären Angriffsweg, der von dem durch die primäre Erstellungseinheit 103 erstellten primären Angriffsweg abzweigt oder mit dem primären Angriffsweg zusammengeführt wird. Die sekundäre Erstellungseinheit 104 ist beispielsweise durch die CPU 11 umgesetzt, die das Angriffswegerstellungsprogramm ausführt.
  • Die Schätzeinheit 105 konsultiert eine Datenbank 107b bekannter Angriffe, die in der Speichereinheit 107 gespeichert ist, und schätzt ein Angriffsszenario in einem Ereignis ein, das als ein Angriff an der fahrzeuginternen Vorrichtungsgruppe 100 erachtet und durch die Aggregationseinheit 102 aus einem Angriffsmuster extrahiert wird, das mit dem durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 erstellten Angriffsweg übereinstimmt oder diesem ähnlich ist. Die Schätzeinheit 105 ist beispielsweise durch die CPU 11 umgesetzt, die das Angriffswegerstellungsprogramm ausführt.
  • Die Ausgabeeinheit 106 gibt Informationen, wie den durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 erstellten Angriffsweg und das durch die Schätzeinheit 105 eingeschätzte Angriffsszenario, an die Datenbank 22 des Datenzentrums 20 über das externe Netzwerk NTe, wie das Internet, aus. Die Ausgabeeinheit 106 ist beispielsweise durch die Kommunikations-I/F 14 umgesetzt, die unter der Steuerung der CPU 11 arbeitet, die das Angriffswegerstellungsprogramm ausführt.
  • Die Speichereinheit 107 speichert verschiedene Parameter, die für die durch die IDM-Vorrichtung 10 durchgeführte Verarbeitung, das durch die IDM-Vorrichtung 10 ausgeführte Angriffswegerstellungsprogramm und dergleichen benötigt werden. Die Speichereinheit 107 speichert auch die Netzwerkkonfigurationsdatenbank 107a und die Datenbank 107b bekannter Angriffe. Die Speichereinheit 107 ist beispielsweise durch den ROM 12, den RAM 13, die Speichervorrichtung 16 und dergleichen umgesetzt, die unter der Steuerung der CPU 11 arbeiten, die ein Informationsbereitstellungsprogramm ausführt.
  • Die Netzwerkkonfigurationsdatenbank 107a enthält Informationen über die Netzwerkkonfiguration der zu verbindenden fahrzeuginternen Vorrichtungsgruppe 100. Die Datenbank 107b bekannter Angriffe enthält Informationen über die bekannten Angriffsmuster, deren Auftreten in der Zukunft erwartet wird.
  • Die SIEM-Vorrichtung 21 weist beispielsweise eine Angriffbestimmungseinheit 201 und eine Angriffbewältigungseinheit 202 auf. Die Angriffbestimmungseinheit 201 nimmt eine Angriffbestimmung an einem Ereignis vor, das als ein Angriff an der fahrzeuginternen Vorrichtungsgruppe 100 erachtet und durch die IDS-Sensorgruppe 100a auf der Grundlage des primären oder des sekundären Angriffswegs und des eingeschätzten Angriffsszenarios, die von der IDM-Vorrichtung 10 empfangen werden, erfasst wird. Wenn die Angriffbestimmungseinheit 201 eine Angriffbestimmung vornimmt, formuliert die Angriffbewältigungseinheit 202 eine Gegenmaßnahme gegen den Angriff an der fahrzeuginternen Vorrichtungsgruppe 100.
  • Beispiel der Protokollaggregation
  • Als nächstes wird eine durch die Aggregationseinheit 102 der IDM-Vorrichtung 10 an einem Protokoll durchgeführte Aggregation unter Bezugnahme auf 4 bis 6 beschrieben. 4 ist ein Diagramm, das ein Beispiel eines Protokolls LG veranschaulicht, das von der IDS-Sensorgruppe 100a durch die IDM-Vorrichtung 10 gemäß der Ausführungsform bezogen wird.
  • Wie in 4 veranschaulicht, enthält das durch die IDM-Vorrichtung 10 von der IDS-Sensorgruppe 100a bezogene Protokoll beispielsweise Informationen, wie ein Datum und eine Uhrzeit des Auftretens einer Anomalie in der fahrzeuginternen Vorrichtungsgruppe 100, einen Typ der fahrzeuginternen Vorrichtung, einen Typ des IDS-Sensors, einen Typ der Anomalie und dergleichen, für alle Daten A, B, C ···. Hierbei ist der Typ der Anomalie ein Ereignis, das als ein Angriff an der fahrzeuginternen Vorrichtungsgruppe 100 erachtet wird.
  • Genauer zeigen die Daten A an, dass ein Authentifizierungsfehler in einer an dem TCU installierten Firewall (F/W) an einem vorbestimmten Datum und zu einer vorbestimmten Uhrzeit erfasst wird. Zudem zeigen die Daten E an, dass ein Umprogrammierungsfehler in dem an dem Gateway installierten HIDS an einem vorbestimmten Datum und zu einer vorbestimmten Uhrzeit erfasst wird. Zudem zeigen die Daten H an, dass ein Adressenfehler in dem in dem fahrzeuginternen Ethernet installierten NIDS an einem vorbestimmten Datum und zu einer vorbestimmten Uhrzeit erfasst wird. Zudem zeigen die Daten L an, dass ein Fehler mit einem Nachrichtenauthentifizierungscode (MAC) in einer in den ADAS installierten Firewall erfasst wird.
  • Die Aggregationseinheit 102 der IDM-Vorrichtung 10 gruppiert diese Protokolle jeweils für den Typ der fahrzeuginternen Vorrichtung, den Typ des IDS-Sensors und den Typ der Anomalie und ordnet die Protokolle in chronologischer Reihenfolge an. 5 veranschaulicht ein Beispiel von Daten nach dem Gruppieren durch die Aggregationseinheit 102.
  • 5 ist ein Diagramm, das ein Beispiel von Daten LGg veranschaulicht, nachdem die IDM-Vorrichtung 10 gemäß der Ausführungsform eine Gruppierungsverarbeitung an dem von der IDS-Sensorgruppe 100a bezogenen Protokoll LG durchführt.
  • Wie in 5 veranschaulicht, wird das Protokoll LG für alle Daten A, B, C ... in den Daten LGg nach der Verarbeitung durch die Aggregationseinheit 102 gruppiert, indem es jeweils in Schritte 1, 2, 3 ... für den Typ der fahrzeuginternen Vorrichtung, den Typ des IDS-Sensors und den Typ der Anomalie aufgeteilt wird. Bei der Angriffswegerstellungsverarbeitung, die später beschrieben wird, wird jeder der Schritte 1, 2, 3, ... als ein Angriffsschritt in dem erachteten Angriff behandelt.
  • Die Aggregationseinheit 102 passt die gruppierten Daten LGg an die Netzwerkkonfiguration der fahrzeuginternen Vorrichtungsgruppe 100 an. Dies bedeutet, dass die Aggregationseinheit 102 die Daten LGg auf die in der fahrzeuginternen Vorrichtungsgruppe 100 enthaltene Netzwerkkonfiguration unter Bezugnahme auf die Netzwerkkonfigurationsdatenbank 107a, die in der Speichereinheit 107 gespeichert ist, anwendet. Die Daten nach der Anpassungsverarbeitung sind in 6 gezeigt.
  • 6 ist ein Diagramm, das ein Beispiel von Daten veranschaulicht, die durch die IDM-Vorrichtung 10 gemäß der Ausführungsform erhalten werden, die die Anpassungsverarbeitung an dem von der IDS-Sensorgruppe 100a bezogenen Protokoll LG durchführt. In den Zeichnungen von 6 bis 11 sind die einzelnen fahrzeuginternen Vorrichtungen für eine zweckdienliche Beschreibung nicht festgelegt und als eine fahrzeuginterne Vorrichtung 110, 111, 112 ... oder dergleichen veranschaulicht. In dem Beispiel von 6 weist die fahrzeuginterne Vorrichtungsgruppe 100, die an dem Fahrzeug VH angebracht ist, fahrzeuginterne Vorrichtungen 110 bis 119 auf.
  • Wie in 6 veranschaulicht, sind in den Daten nach der Anpassungsverarbeitung die fahrzeuginternen Vorrichtungen 110 bis 119 veranschaulicht, die mit dem Netzwerk auf der Grundlage einer bekannten Netzwerkkonfiguration verbunden sind. Unter diesen fahrzeuginternen Vorrichtungen 110 bis 119 ist die Seite der fahrzeuginternen Vorrichtung 110 die stromaufwärtige Seite des Netzwerks und die Seite der fahrzeuginternen Vorrichtung 117 die stromabwärtige Seite.
  • In dem Beispiel von 6 enthält die Netzwerkkonfiguration der fahrzeuginternen Vorrichtungen 110 bis 119 eine Abzweigung und eine Zusammenführung.
  • Dies bedeutet, dass beispielsweise die fahrzeuginterne Vorrichtung 114 mit einem Zusammenführungspunkt des Netzwerks verbunden ist und die mehreren Vorrichtungen der fahrzeuginternen Vorrichtungen 111 und 112 an der stromaufwärtigen Seite mit der fahrzeuginternen Vorrichtung 114 verbunden sind. Weiterhin ist beispielsweise die fahrzeuginterne Vorrichtung 116 mit einem Abzweigungspunkt des Netzwerks verbunden und mehrere Vorrichtungen der fahrzeuginternen Vorrichtungen 118 und 119 an der stromabwärtigen Seite, bei denen es sich um Abzweigungsdestinationen des Netzwerks handelt, sind mit der fahrzeuginternen Vorrichtung 116 verbunden.
  • Die Aggregationseinheit 102 erstellt die in 6 veranschaulichten Daten, in denen ein Ereignis EV, das innerhalb eines bestimmten Zeitraums unter der Mehrzahl von Ereignissen EV aufgetreten ist, die in mehreren Vorrichtungen der fahrzeuginternen Vorrichtungen 110 bis 119 aufgetreten sind, als das Ereignis EV angesehen wird, das fortlaufend aufgetreten ist. Dies liegt daran, dass es schwierig ist, das Ereignis EV als Teil einer Reihe von Angriffen desselben Angreifers anzusehen, wenn das Ereignis EV, das in einer der fahrzeuginternen Vorrichtungen 110 bis 119 aufgetreten ist, weit von der Zeitbestimmung abweicht, zu der ein anderes Ereignis EV aufgetreten ist.
  • In dem Beispiel von 6 wird davon ausgegangen, dass Ereignisse EV, die als eine Reihe von Angriffen desselben Angreifers erachtet werden, in den fahrzeuginternen Vorrichtungen 111 bis 116, 118 und 119 unter den fahrzeuginternen Vorrichtungen 110 bis 119 auftreten.
  • In der vorstehend beschriebenen Netzwerkkonfiguration dienen die fahrzeuginternen Vorrichtungen 110 bis 112, die sich in dem Netzwerk am weitesten stromaufwärts befinden, als ein Eingang, d. h. ein Eintrittspunkt, bei einem Zugreifen auf das Netzwerk. Dies bedeutet, dass die fahrzeuginternen Vorrichtungen 110 bis 112 das erste Ziel des Cyberangriffs sein können.
  • Beispiel der primären Erstellung eines Angriffswegs
  • Als nächstes wird die Erstellung eines primären Angriffswegs, die durch die primäre Erstellungseinheit 103 der IDM-Vorrichtung 10 an den Daten nach der Anpassungsverarbeitung von 6 durchgeführt wird, unter Bezugnahme auf 7 beschrieben.
  • Wie vorstehend beschrieben, erstellt die primäre Erstellungseinheit 103 einen primären Angriffsweg auf der Grundlage der Daten nach der Anpassungsverarbeitung von 6. Der primäre Angriffsweg ist ein linearer Angriffsweg ohne eine Abzweigung und eine Zusammenführung.
  • Zu dieser Zeit wählt die primäre Erstellungseinheit 103 einen Angriffsweg aus, der unter den fahrzeuginternen Vorrichtungen 111 bis 116, 118 und 119, in denen das Ereignis EV aufgetreten ist, diejenige fahrzeuginterne Vorrichtung enthält, die mit einem Punkt verbunden ist, an dem keine Abzweigung oder Zusammenführung in dem Netzwerk vorliegt, oder einem Punkt, an dem es möglichst wenige Abzweigungen oder Zusammenführungen gibt. 7 veranschaulicht ein Beispiel des primären Angriffswegs, der durch die primäre Erstellungseinheit 103 erstellt wird.
  • 7 ist ein Diagramm, das ein Beispiel des primären Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung 10 gemäß der Ausführungsform erstellt wird. Die primäre Erstellungseinheit 103 erstellt so viele primäre Angriffswege wie möglich auf der Grundlage der vorstehend beschriebenen Daten von 6. In dem Beispiel von 7 erstellt die primäre Erstellungseinheit 103 zwei Angriffswege.
  • Einer dieser Angriffswege verläuft von der fahrzeuginternen Vorrichtung 111 ausgehend und erreicht die fahrzeuginterne Vorrichtung 118 über die fahrzeuginternen Vorrichtungen 113 und 115.
  • Hierbei ist die fahrzeuginterne Vorrichtung 111 mit einem Abzweigungspunkt des Netzwerks verbunden, und das Ereignis EV tritt in beiden fahrzeuginternen Vorrichtungen 113 und 114 an der stromabwärtigen Seite auf, die mit der fahrzeuginternen Vorrichtung 111 verbunden ist. Folglich werden sowohl die Möglichkeit, dass das in der fahrzeuginternen Vorrichtung 111 aufgetretene Ereignis EV die fahrzeuginterne Vorrichtung 113 dem Netzwerk folgend erreicht hat, als auch die Möglichkeit, dass das Ereignis EV die fahrzeuginterne Vorrichtung 114 erreicht hat, in Betracht gezogen.
  • Jedoch ist unter den fahrzeuginternen Vorrichtungen 111 und 112, in denen das Ereignis EV anscheinend zuerst aufgetreten ist, die fahrzeuginterne Vorrichtung 113 nur mit der fahrzeuginternen Vorrichtung 111 an einer Seite verbunden. Indes ist unter den fahrzeuginternen Vorrichtungen 111 und 112, in denen das Ereignis EV zuerst aufgetreten ist, die fahrzeuginterne Vorrichtung 114 mit beiden fahrzeuginternen Vorrichtungen 111 und 112 verbunden. Folglich kann festgehalten werden, dass unter den fahrzeuginternen Vorrichtungen 113 und 114 die fahrzeuginterne Vorrichtung 113 mit einem Punkt verbunden ist, an dem Abzweigung und Zusammenführung in einem geringeren Ausmaß vorhanden sind als jene der fahrzeuginternen Vorrichtung 114.
  • In diesem Fall erstellt die primäre Erstellungseinheit 103 als einen primären Angriffsweg einen Weg in Richtung der fahrzeuginternen Vorrichtung 113, die mit einem Punkt verbunden ist, an dem weniger Abzweigungen und Zusammenführungen vorliegen.
  • Der andere Angriffsweg der zwei Angriffswege erreicht die fahrzeuginterne Vorrichtung 119 von der fahrzeuginternen Vorrichtung 112 über die fahrzeuginternen Vorrichtungen 114 und 116.
  • Hierbei ist die fahrzeuginterne Vorrichtung 116 mit einem Abzweigungspunkt des Netzwerks verbunden, und das Ereignis EV tritt in beiden fahrzeuginternen Vorrichtungen 118 und 119 an der stromabwärtigen Seite auf, die mit der fahrzeuginternen Vorrichtung 116 verbunden ist. Folglich werden sowohl die Möglichkeit, dass das in der fahrzeuginternen Vorrichtung 116 aufgetretene Ereignis EV die fahrzeuginterne Vorrichtung 118 dem Netzwerk folgend erreicht hat, als auch die Möglichkeit, dass das Ereignis EV die fahrzeuginterne Vorrichtung 119 erreicht hat, in Betracht gezogen.
  • Jedoch ist unter den fahrzeuginternen Vorrichtungen 115 und 116, in denen das Ereignis EV an der stromaufwärtigen Seite dieser fahrzeuginternen Vorrichtungen 118 und 119 aufgetreten ist, die fahrzeuginterne Vorrichtung 119 nur mit der fahrzeuginternen Vorrichtung 116 an einer Seite verbunden. Indes ist unter den fahrzeuginternen Vorrichtungen 115 und 116 an der stromaufwärtigen Seite die fahrzeuginterne Vorrichtung 118 mit beiden fahrzeuginternen Vorrichtungen 115 und 116 verbunden. Folglich kann festgehalten werden, dass unter den fahrzeuginternen Vorrichtungen 118 und 119 die fahrzeuginterne Vorrichtung 119 mit einem Punkt verbunden ist, an dem Abzweigung und Zusammenführung in einem geringeren Ausmaß vorhanden sind als jene der fahrzeuginternen Vorrichtung 118.
  • In diesem Fall erstellt die primäre Erstellungseinheit 103 als einen primären Angriffsweg einen Weg in Richtung der fahrzeuginternen Vorrichtung 119, die mit einem Punkt verbunden ist, an dem weniger Abzweigungen und Zusammenführungen vorliegen.
  • Beispiel der sekundären Erstellung eines Angriffswegs
  • Als nächstes wird die Erstellung eines sekundären Angriffswegs, die durch die sekundäre Erstellungseinheit 104 der IDM-Vorrichtung 10 durchgeführt wird, unter Bezugnahme auf 8 bis 11 beschrieben.
  • Die sekundäre Erstellungseinheit 104 erstellt einen sekundären Angriffsweg für die Daten nach der Erstellung des primären Angriffswegs in 7. Der sekundäre Angriffsweg ist ein Angriffsweg, der von dem durch die primäre Erstellungseinheit 103 erstellten primären Angriffsweg abzweigt, oder ein Angriffsweg, der mit dem primären Angriffsweg zusammengeführt wird.
  • Zu dieser Zeit führt die sekundäre Erstellungseinheit 104 vorzugsweise die Verarbeitung von den fahrzeuginternen Vorrichtungen fort, die nicht in dem durch die primäre Erstellungseinheit 103 erstellten primären Angriffsweg unter den fahrzeuginternen Vorrichtungen 111 bis 116, 118, und 119 enthalten sind, in denen das Ereignis EV aufgetreten ist.
  • Zu dieser Zeit wählt die sekundäre Erstellungseinheit 104 auch einen Angriffsweg aus, der die fahrzeuginterne Vorrichtung enthält, die mit einem Punkt verbunden ist, an dem keine Abzweigung oder Zusammenführung in dem Netzwerk vorliegt, oder einem Punkt, an dem es möglichst wenige Abzweigungen und Zusammenführungen gibt.
  • 8 ist ein Diagramm, das Kandidaten in einem Fall des Erstellens eines sekundären Angriffswegs der IDM-Vorrichtung 10 gemäß der Ausführungsform veranschaulicht. In dem Beispiel von 8 können, wenn ein sekundärer Angriffsweg erstellt wird, zwei Kandidaten in Betracht gezogen werden.
  • Einer der zwei Kandidaten ist eine Möglichkeit des Zusammenführens des Angriffswegs von der fahrzeuginternen Vorrichtung 111 mit dem primären Angriffsweg von der fahrzeuginternen Vorrichtung 112 über die fahrzeuginterne Vorrichtung 114.
  • Der andere der zwei Kandidaten ist eine Möglichkeit eines Angriffswegs, in dem ein primärer Angriffsweg von der fahrzeuginternen Vorrichtung 116 zu der fahrzeuginternen Vorrichtung 119 hin zu der fahrzeuginternen Vorrichtung 118 abzweigt.
  • Wie vorstehend beschrieben, ist ein Punkt, an dem die Anzahl der nachverfolgbaren Angriffswege nicht als eine zur Zeit der vorstehend beschriebenen Erstellung des primären Angriffswegs durch die primäre Erstellungseinheit 103 bestimmt ist, d. h. die fahrzeuginterne Vorrichtung 114, die als ein Zusammenführungspunkt des Angriffswegs dienen kann, die fahrzeuginterne Vorrichtung 116, die als ein Abzweigungspunkt des Angriffswegs dienen kann, und dergleichen können Kandidaten zum Erstellen des sekundären Angriffswegs sein. Bei der Erstellung des sekundären Angriffswegs konzentriert sich die Betrachtung auf einen solchen Punkt, an dem der Angriffsweg nicht auf einen fixiert ist.
  • Insbesondere berücksichtigt die sekundäre Erstellungseinheit 104 die Möglichkeit eines Zusammenführens und Abzweigens auf der Grundlage der Auftrittszeitbestimmung des Ereignisses EV in jeder der fahrzeuginternen Vorrichtungen 111 und 114 und der Auftrittszeitbestimmung des Ereignisses EV in jeder der fahrzeuginternen Vorrichtungen 116 und 118.
  • 9 ist ein Diagramm, das eine Auftrittszeitbestimmung des Ereignisses EV in jeder der fahrzeuginternen Vorrichtungen 111 und 114 veranschaulicht, die in der IDM-Vorrichtung 10 gemäß der Ausführungsform untersucht werden. 9 veranschaulicht auch die Auftrittszeitbestimmung des Ereignisses EV in der fahrzeuginternen Vorrichtung 112 als Referenz.
  • Wie in 9 veranschaulicht, treten die Ereignisse EV in den fahrzeuginternen Vorrichtungen 111, 112 und 114 in dieser Reihenfolge auf. Ob eine Zusammenführung des Angriffswegs von der fahrzeuginternen Vorrichtung 111 zu der fahrzeuginternen Vorrichtung 114 vorliegt oder nicht, wird auf der Grundlage davon bestimmt, ob das Ereignis EV in der fahrzeuginternen Vorrichtung 114 innerhalb eines bestimmten Zeitraums PRa als ein zweiter Zeitraum nach dem Auftreten des Ereignisses EV in der fahrzeuginternen Vorrichtung 111 auftritt oder nicht.
  • In dem Beispiel von 9 ist das Ereignis EV nicht in der fahrzeuginternen Vorrichtung 114 innerhalb des bestimmten Zeitraums PRa ab dem Auftreten des Ereignisses EV in der fahrzeuginternen Vorrichtung 111 aufgetreten. Folglich bestimmt die sekundäre Erstellungseinheit 104, dass keine Zusammenführung des Angriffswegs von der fahrzeuginternen Vorrichtung 111 zu der fahrzeuginternen Vorrichtung 114 vorlag.
  • In dem Beispiel von 9 tritt das Ereignis EV in der fahrzeuginternen Vorrichtung 114 innerhalb eines bestimmten Zeitraums PRb ab dem Auftreten des Ereignisses EV in der fahrzeuginternen Vorrichtung 112 auf. Ebenfalls ab diesem Punkt wird geschätzt, dass ein Angriffsweg von der fahrzeuginternen Vorrichtung 112 in Richtung der fahrzeuginternen Vorrichtung 114 vorliegt, der durch die primäre Erstellungseinheit 103 erstellt wird.
  • 10 ist ein Diagramm, das eine Auftrittszeitbestimmung des Ereignisses EV in jeder der fahrzeuginternen Vorrichtungen 116 und 118 veranschaulicht, die in der IDM-Vorrichtung 10 gemäß der Ausführungsform untersucht werden. 10 veranschaulicht auch eine Auftrittszeitbestimmung des Ereignisses EV in der fahrzeuginternen Vorrichtung 119 als Referenz.
  • Wie in 10 veranschaulicht, treten die Ereignisse EV in den fahrzeuginternen Vorrichtungen 116, 118 und 119 in dieser Reihenfolge auf. Ob eine Abzweigung des Angriffswegs von der fahrzeuginternen Vorrichtung 116 zu der fahrzeuginternen Vorrichtung 118 vorliegt oder nicht, wird auf der Grundlage davon bestimmt, ob das Ereignis EV in der fahrzeuginternen Vorrichtung 118 innerhalb eines bestimmten Zeitraums PRc als ein erster Zeitraum nach dem Auftreten des Ereignisses EV in der fahrzeuginternen Vorrichtung 116 aufgetreten ist oder nicht.
  • In dem Beispiel von 10 tritt das Ereignis EV in der fahrzeuginternen Vorrichtung 118 innerhalb des bestimmten Zeitraums PRc ab dem Auftreten des Ereignisses EV in der fahrzeuginternen Vorrichtung 116 auf. Folglich bestimmt die sekundäre Erstellungseinheit 104, dass eine Abzweigung des Angriffswegs von der fahrzeuginternen Vorrichtung 116 zu der fahrzeuginternen Vorrichtung 118 vorlag.
  • In dem Beispiel von 10 tritt das Ereignis EV auch in der fahrzeuginternen Vorrichtung 119 innerhalb des bestimmten Zeitraums PRc ab dem Auftreten des Ereignisses EV in der fahrzeuginternen Vorrichtung 118 auf. Ebenfalls ab diesem Punkt wird geschätzt, dass ein Angriffsweg von der fahrzeuginternen Vorrichtung 116 in Richtung der fahrzeuginternen Vorrichtung 119 vorliegt, der durch die primäre Erstellungseinheit 103 erstellt wird.
  • Wenn eine Abzweigung oder eine Zusammenführung in dem durch die primäre Erstellungseinheit 103 erstellten primären Angriffsweg auf der Grundlage des vorstehenden Bestimmungsergebnisses vorliegt, weist die sekundäre Erstellungseinheit 104 diese Angriffswege zu. 11 veranschaulicht ein Beispiel von Daten, denen ein sekundärer Angriffsweg durch die sekundäre Erstellungseinheit 104 zugewiesen ist.
  • 11 ist ein Diagramm, das ein Beispiel eines Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung 10 gemäß der Ausführungsform erstellt wird. In dem Beispiel von 11 ist der durch die sekundäre Erstellungseinheit 104 erstellte sekundäre Angriffsweg dem durch die primäre Erstellungseinheit 103 erstellten primären Angriffsweg zugewiesen.
  • In dem vorstehend beschriebenen Beispiel von 9 wird bestimmt, dass keine Zusammenführung des Angriffswegs von der fahrzeuginternen Vorrichtung 111 zu der fahrzeuginternen Vorrichtung 114 vorliegt. Folglich wird kein sekundärer Angriffsweg von der fahrzeuginternen Vorrichtung 111 in Richtung der fahrzeuginternen Vorrichtung 114 zugewiesen.
  • In dem vorstehend beschriebenen Beispiel von 10 wird bestimmt, dass eine Abzweigung des Angriffswegs von der fahrzeuginternen Vorrichtung 116 vorlag, die zu der fahrzeuginternen Vorrichtung 118 führte. Aus diesem Grund wird ein sekundärer Angriffsweg, der von der fahrzeuginternen Vorrichtung 116 zu der fahrzeuginternen Vorrichtung 118 abzweigt, dem vorstehend beschriebenen primären Angriffsweg von der fahrzeuginternen Vorrichtung 112 zugewiesen, der über die fahrzeuginternen Vorrichtungen 114 und 116 zu der fahrzeuginternen Vorrichtung 119 führt.
  • Wie vorstehend beschrieben, wird der Angriffsweg durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 erstellt. Der durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 verarbeitete Angriffsweg kann ein sekundärer Angriffsweg sein, der mindestens eine von einer Abzweigung und einer Zusammenführung enthält, wie beispielsweise in dem vorstehend beschriebenen Beispiel von 11. Alternativ kann der durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 verarbeitete Angriffsweg ein primärer Angriffsweg sein, der weder eine Abzweigung noch eine Zusammenführung enthält.
  • Die Angriffswegerstellungsverarbeitung durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 wird durchgeführt, wenn das Ereignis EV in der fahrzeuginternen Vorrichtung innerhalb des Eintrittspunkts des Netzwerks auftritt.
  • Dies bedeutet, dass die Angriffswegerstellungsverarbeitung nicht durchgeführt wird, wenn das Ereignis EV nur in einer Vorrichtung oder mehreren Vorrichtungen der fahrzeuginternen Vorrichtungen 110 bis 112 als der Eintrittspunkt auftritt. Zusätzlich zu der einen Vorrichtung oder den mehreren Vorrichtungen der fahrzeuginternen Vorrichtungen 110 bis 112 wird die Angriffswegerstellungsverarbeitung durchgeführt, wenn das Ereignis EV in zumindest der einen Vorrichtung oder den mehreren Vorrichtungen der 113 und 114 innerhalb des Netzwerks auftritt.
  • Dies liegt daran, dass sie für die Verarbeitungslast der IDM-Vorrichtung 10 ohne Erachten des Angriffswegs grundsätzlich nicht angemessen ist, wenn das Ereignis EV nur am Eintrittspunkt auftritt. Weiterhin werden bei dem Cyberangriff hauptsächlich viele Angriffsversuche unternommen, und es ist schwierig, einen Angriff nur am Eintrittspunkt zu erachten.
  • Zudem ist die Angriffswegerstellungsverarbeitung durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 von der Bezugszeitbestimmung des Protokolls von der IDS-Sensorgruppe 100a abhängig. Folglich kann die Angriffswegerstellungsverarbeitung entweder während des Auftretens einer Reihe von Ereignissen EV in Echtzeit erfolgen oder nachdem das Auftreten einer Reihe von Ereignissen EV beendet ist.
  • Zudem wird bei Durchführung der Angriffswegerstellungsverarbeitung in Echtzeit, wenn das Ereignis EV in der fahrzeuginternen Vorrichtung an der stromabwärtigen Seite auftritt, die mit dem erstellten Angriffsweg verbunden ist, der erstellte Angriffsweg als weiter verlängert behandelt.
  • Zudem wird, wenn die Angriffswegerstellungsverarbeitung durchgeführt wird, nachdem das Auftreten einer Reihe von Ereignissen EV beendet ist, und eine fahrzeuginterne Vorrichtung, die zu keinem der erstellten Angriffswege gehört, unter den fahrzeuginternen Vorrichtungen zurückbleibt, in denen das Auftreten des Ereignisses EV beobachtet wurde, die fahrzeuginterne Vorrichtung als eine fehlerhafte Erfassung enthaltend behandelt.
  • Beispiel der Einschätzung eines Angriffsszenarios
  • Als nächstes wird die durch die Schätzeinheit 105 der IDM-Vorrichtung 10 durchgeführte Einschätzung eines Angriffsszenarios unter Bezugnahme auf 12 beschrieben. 12 ist ein Diagramm, das ein Beispiel der Datenbank 107b bekannter Angriffe veranschaulicht, die von der IDM-Vorrichtung 10 gemäß der Ausführungsform zum Einschätzen eines Angriffsszenarios verwendet wird.
  • Wie in 12 veranschaulicht, enthält die Datenbank 107b bekannter Angriffe Informationen über eine Mehrzahl von Angriffsszenarien, die bekannte Angriffsmuster darstellen. Als das Angriffsmuster sind die Reihenfolge, in welcher der Angriff begonnen wird, sowie das Ereignis EV, das in der fahrzeuginternen Vorrichtung als Angriffsziel auftreten kann, und dergleichen in der fahrzeuginternen Vorrichtungsgruppe 100 definiert. Wie vorstehend beschrieben, ist die Datenbank 107b bekannter Angriffe beispielsweise in der Speichereinheit 107 der IDM-Vorrichtung 10 gespeichert.
  • Die Schätzeinheit 105 liest die Datenbank 107b bekannter Angriffe aus der Speichereinheit 107 aus. Zudem extrahiert die Schätzeinheit 105 ein Angriffsmuster, das dem durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 erstellten Angriffsweg ähnlich ist, aus der Mehrzahl von Angriffsmustern, die in der ausgelesenen Datenbank 107b bekannter Angriffe enthalten sind. Zudem schätzt die Schätzeinheit 105 das Angriffsszenario des Ereignisses EV, das in den von der IDS-Sensorgruppe 100a bezogenen Protokollen enthalten ist, auf der Grundlage des extrahierten Angriffsmusters ein.
  • In dem Beispiel von 12 schätzt die Schätzeinheit 105, dass unter der Mehrzahl von Angriffsszenarien das Angriffsszenario der Szenario-ID 3 dem Angriffsszenario in der vorstehend beschriebenen Reihe von Ereignissen EV entspricht.
  • Angriffswegerstellungsverfahren der IDM-Vorrichtung
  • Als nächstes wird ein Beispiel eines Angriffswegerstellungsverfahrens durch die IDM-Vorrichtung 10 gemäß der Ausführungsform unter Bezugnahme auf 13 und 14 beschrieben. 13 ist ein Flussdiagramm, das ein Beispiel eines Ablaufs einer Angriffswegerstellungsverarbeitung durch die IDM-Vorrichtung 10 gemäß der Ausführungsform veranschaulicht.
  • Wie in 13 veranschaulicht, erstellt die primäre Erstellungseinheit 103 der IDM-Vorrichtung 10 auf der Grundlage der von der IDS-Sensorgruppe 100a bezogenen Protokolle einen primären Angriffsweg, bei dem es sich um einen Weg handelt, durch den das als ein Angriff erachtete Ereignis EV in das Netzwerk eindringt (Schritt S101).
  • Genauer handelt es sich bei den Daten, die von der primären Erstellungseinheit 103 verwendet werden, um Daten, die durch die Aggregationseinheit 102 aggregiert wurden und einer Anpassungsverarbeitung unterzogen wurden.
  • Nach dem Erstellen eines primären Angriffswegs bestimmt die primäre Erstellungseinheit 103, ob es keinen anderen Angriffsweg außer dem einen primären Angriffsweg gibt und die Erstellung des Angriffswegs mit dem einen primären Angriffsweg abgeschlossen ist (Schritt S102). Die Tatsache, dass die Erstellung des Angriffswegs abgeschlossen ist, bedeutet, dass alle fahrzeuginternen Vorrichtungen, in denen das als ein Angriff erachtete Ereignis EV aufgetreten ist, in dem erstellten Angriffsweg enthalten sind und es keine zurückbleibende fahrzeuginterne Vorrichtung gibt. Wenn die Erstellung mit dem einen primären Angriffsweg abgeschlossen ist (Schritt S102: Ja), beendet die IDM-Vorrichtung 10 die Verarbeitung.
  • Wenn die Erstellung mit dem einen primären Angriffsweg nicht abgeschlossen ist (Schritt S102: Nein), bestimmt die primäre Erstellungseinheit 103, ob ein primärer Angriffsweg weiter erstellt werden kann oder nicht (Schritt S103). Wenn kein anderer primärer Angriffsweg erstellt werden kann (Schritt S103: Nein), geht der Prozess zu Schritt S106 über.
  • Wenn ein anderer primärer Angriffsweg erstellt werden kann (Schritt S103: Ja), erstellt die primäre Erstellungseinheit 103 weiter einen primären Angriffsweg (Schritt S104). Zudem bestimmt die primäre Erstellungseinheit 103, ob eine Erstellung des Angriffswegs mit der Mehrzahl von primären Angriffswegen abgeschlossen werden kann oder nicht (Schritt S105). Wenn die Erstellung mit diesen primären Angriffswegen abgeschlossen werden kann (Schritt S105: Ja), beendet die IDM-Vorrichtung 10 die Verarbeitung.
  • Wenn die Verarbeitung mit der Mehrzahl von primären Angriffswegen nicht abgeschlossen ist (Schritt S105: Nein), bestimmt die sekundäre Erstellungseinheit 104, ob eine Abzweigung oder eine Zusammenführung an einem Verbindungspunkt in dem Netzwerk für mindestens eine der fahrzeuginternen Vorrichtungen, die in dem primären Angriffsweg enthalten sind, vorliegt oder nicht (Schritt S106).
  • Wenn keine Abzweigung oder Zusammenführung an dem Verbindungspunkt einer der fahrzeuginternen Vorrichtungen vorliegt (Schritt S106: Nein), beendet die IDM-Vorrichtung 10 die Verarbeitung. In diesem Fall endet die Erstellung des Angriffswegs in einem Zustand, in dem die fahrzeuginterne Vorrichtung, die nicht in dem erstellten Angriffsweg enthalten ist, zurückbleibt. Die zurückbleibende fahrzeuginterne Vorrichtung wird als eine fehlerhafte Erfassung enthaltend behandelt.
  • Wenn eine Abzweigung oder eine Zusammenführung an dem Verbindungspunkt einer der fahrzeuginternen Vorrichtungen vorliegt (Schritt S106: Ja), erstellt die sekundäre Erstellungseinheit 104 einen sekundären Angriffsweg, der mindestens eine der Abzweigung und der Zusammenführung gemäß der bekannten Netzwerkkonfiguration (NW-Konfiguration) der fahrzeuginternen Vorrichtungsgruppe 100 enthält (Schritt S107).
  • Wie vorstehend beschrieben, endet die Angriffswegerstellungsverarbeitung durch die IDM-Vorrichtung 10 gemäß der Ausführungsform.
  • 14 ist ein Flussdiagramm, das ein Beispiel eines Ablaufs einer Erstellungsverarbeitung eines sekundären Angriffswegs durch die IDM-Vorrichtung 10 gemäß der Ausführungsform veranschaulicht. Bei der in 14 gezeigten Verarbeitung handelt es sich um Einzelheiten des vorstehend beschriebenen Prozesses von Schritt S107 in 13.
  • Wie in 14 veranschaulicht, wählt die sekundäre Erstellungseinheit 104 aus den durch die vorstehend beschriebene Verarbeitung der primären Erstellungseinheit 103 erstellten primären Angriffswegen einen Weg aus, für den kein sekundärer Weg erstellt wurde und der keine Abzweigung oder Zusammenführung oder wenige Abzweigungen oder Zusammenführungen aufweist (Schritt S111).
  • Die sekundäre Erstellungseinheit 104 bestimmt, ob eine Abzweigung oder eine Zusammenführung, die einen sekundären Angriffsweg an dem ausgewählten Weg erstellen kann, vorliegt oder nicht (Schritt S112). Wenn es keine Abzweigung oder Zusammenführung gibt (Schritt S112: Nein), überspringt die sekundäre Erstellungseinheit 104 die Prozesse von Schritt S113 bis S117 und geht zu dem Prozess von Schritt S118 über.
  • Wenn es eine Abzweigung gibt, die einen sekundären Angriffsweg an dem ausgewählten Weg erstellen kann (Schritt S112: Ja (Abzweigung)), wird bestimmt, ob ein als ein Angriff erachtetes Ereignis EV in einer mit dem Abzweigungspunkt verbundenen fahrzeuginternen Vorrichtung und in einer an der stromabwärtigen Seite des Abzweigungspunkts verbundenen fahrzeuginternen Vorrichtung, jeweils innerhalb eines bestimmten Zeitraums, aufgetreten ist oder nicht (Schritt S113).
  • Wenn die Ereignisse EVs innerhalb des bestimmten Zeitraums aufgetreten sind (Schritt S113: Ja), setzt die sekundäre Erstellungseinheit 104 einen Abzweigungsweg zwischen die fahrzeuginternen Vorrichtungen (Schritt S114). Wenn die Ereignisse EVs nicht innerhalb des bestimmten Zeitraums aufgetreten sind (Schritt S113: Nein), überspringt die sekundäre Erstellungseinheit 104 die Prozesse von Schritt S114 und S117 und geht zu dem Prozess von Schritt S118 über.
  • Wenn es eine Zusammenführung gibt, die einen sekundären Angriffsweg an dem ausgewählten Weg erstellen kann (Schritt S112: Ja (Zusammenführung)), wird bestimmt, ob ein als ein Angriff erachtetes Ereignis EV in einer mit dem Zusammenführungspunkt verbundenen fahrzeuginternen Vorrichtung und in einer an der stromaufwärtigen Seite des Zusammenführungspunkts verbundenen fahrzeuginternen Vorrichtung, jeweils innerhalb eines bestimmten Zeitraums, aufgetreten ist oder nicht (Schritt S115).
  • Wenn das Ereignis EV innerhalb des bestimmten Zeitraums aufgetreten ist (Schritt S115: Ja), setzt die sekundäre Erstellungseinheit 104 einen Zusammenführungsweg zwischen die fahrzeuginternen Vorrichtungen (Schritt S116). Wenn das Ereignis EV nicht innerhalb des bestimmten Zeitraums aufgetreten ist (Schritt S115: Nein), überspringt die sekundäre Erstellungseinheit 104 die Prozesse von Schritt S116 und S117 und geht zu dem Prozess von Schritt S118 über.
  • Die sekundäre Erstellungseinheit 104 erstellt einen sekundären Angriffsweg, der eine Abzweigung enthält, wenn es einen für die mit dem Abzweigungspunkt verbundene fahrzeuginterne Vorrichtung und die an der stromabwärtigen Seite des Abzweigungspunkts verbundene fahrzeuginterne Vorrichtung gesetzten Abzweigungsweg gibt, und erstellt einen sekundären Angriffsweg, der eine Zusammenführung enthält, wenn es einen für die mit dem Zusammenführungspunkt verbundene fahrzeuginterne Vorrichtung und die an der stromaufwärtigen Seite des Zusammenführungspunkts verbundene fahrzeuginterne Vorrichtung gesetzten Zusammenführungsweg gibt (Schritt S117).
  • Zudem bestimmt die sekundäre Erstellungseinheit 104, ob die Erstellung des Angriffswegs durch die Prozesse von Schritt S111 bis S117 abgeschlossen wurde oder nicht (Schritt S118). Wenn sie mit den bislang erstellten Angriffswegen nicht abgeschlossen ist (Schritt S118: Nein), bestimmt die sekundäre Erstellungseinheit 104, ob ein anderer Angriffsweg erstellt werden kann oder nicht (Schritt S119).
  • Wenn kein anderer primärer Angriffsweg erstellt werden kann (Schritt S119: Nein), beendet die IDM-Vorrichtung 10 die Verarbeitung. In diesem Fall endet die Erstellung des Angriffswegs in einem Zustand, in dem die fahrzeuginterne Vorrichtung, die nicht in dem erstellten Angriffsweg enthalten ist, zurückbleibt. Die zurückbleibende fahrzeuginterne Vorrichtung wird als eine fehlerhafte Erfassung enthaltend behandelt.
  • Wenn ein anderer primärer Angriffsweg erstellt werden kann (Schritt S119: Ja), werden die Prozesse von Schritt S111 bis S119 in den Schleifen L1(S) bis L1(E) wiederholt, bis die Erstellung des Angriffswegs abgeschlossen ist. Wenn die Erstellung des Angriffswegs abgeschlossen ist (Schritt S118: Ja), endet die Verarbeitung der Schleifen L1 (S) bis L1 (E).
  • Wie vorstehend beschrieben, endet die sekundäre Angriffswegerstellungsverarbeitung durch die IDM-Vorrichtung 10 gemäß der Ausführungsform.
  • Anschließend gibt die Ausgabeeinheit 106 das Schätzergebnis des Angriffsszenarios durch die Schätzeinheit 105 und das Erstellungsergebnis der durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 erstellten Angriffswege an die SIEM-Vorrichtung 21 aus.
  • Die Angriffbestimmungseinheit 201 und die Angriffbewältigungseinheit 202 der SIEM-Vorrichtung 21 führen die Angriffbestimmung des durch die IDS-Sensorgruppe 100a erfassten Ereignisses EV durch, und die Planung von Gegenmaßnahmen auf der Grundlage des Erstellungsergebnisses der Angriffswege und des Schätzergebnisses des Angriffsszenarios. Beispiele für Gegenmaßnahmen gegen das Ereignis EV enthalten eine Unterbrechung der Kommunikation oder eines Netzwerks in einer spezifischen fahrzeuginternen Vorrichtung, eine Aktualisierung von Software und das Anhalten eines Systems einschließlich der fahrzeuginternen Vorrichtungsgruppe 100.
  • Vergleichsbeispiel
  • Mit dem Voranschreiten von Cyberangriffen wird es schwierig, Cyberangriffe vollständig abzuwehren, und Gegenmaßnahmen nach dem Auftreten von Cyberangriffen sind wichtig. Zudem sind Sicherheitsmaßnahmen in einem Steuersystem einer fahrzeuginternen Vorrichtungsgruppe oder dergleichen möglicherweise nicht optimal, und Fehlfunktionen oder die Zerstörung einer Vorrichtung können in sehr kurzer Zeit nach dem Auftreten eines Angriffs geschehen.
  • Beispielsweise offenbart die vorstehend beschriebene JP 6831763 B2 eine Technik, bei der, wenn eine Mehrzahl von Angriffsszenarien mit einem Protokoll übereinstimmt, eine Tabelle konsultiert wird, in der ein Angriffsweg und die Anzahl der Male der Bewältigung in Bezug gesetzt sind, und ein Angriffsweg auf der Grundlage einer Priorität gemäß der Anzahl der Male der Bewältigung festgelegt wird, selbst wenn eine Mehrzahl geschätzter Angriffe gefunden wird.
  • In einem Fall, in dem eine Mehrzahl von Knoten gleichzeitig angegriffen wird und eine Mehrzahl von Angriffswegen erstellt wird, beispielsweise bei einer Ausspähungsaktion in einem Cyberangriff, ist es jedoch schwierig, durch die vorstehend beschriebene Technik, die von einem Angriffsweg bei einem Angriff ausgeht, eine ausreichende Reaktion zu ergreifen.
  • Andererseits wird selbst bei der Erstellung einer Mehrzahl von Angriffswegen, wenn der Angriffsweg ein primärer Angriffsweg mit weder einer Abzweigung noch einer Zusammenführung ist, in Betracht gezogen, dass eine Mehrzahl von Angriffswegen festgelegt werden kann, indem die vorstehende Technik wiederholt implementiert wird. Wenn jedoch eine Mehrzahl von Angriffswegen erstellt wird und Angriffswege mit einer Abzweigung oder einer Zusammenführung enthalten sind, stellt die vorstehende Technik nach wie vor eine unzureichende Reaktion bereit.
  • Mit der IDM-Vorrichtung 10 der Ausführungsform wird ein primärer Angriffsweg ohne eine Abzweigung und eine Zusammenführung auf der Grundlage der Protokolle in der fahrzeuginternen Vorrichtungsgruppe 100 mit einer Angrifferfassungsfunktion erstellt und ein sekundärer Angriffsweg, der von dem primären Angriffsweg abzweigt oder mit dem primären Angriffsweg zusammengeführt wird, erstellt. Dadurch ist es möglich, den Angriffsweg selbst dann festzulegen, wenn eine Mehrzahl von Vorrichtungen gleichzeitig angegriffen wird.
  • Mit der IDM-Vorrichtung 10 der Ausführungsform enthält der sekundäre Angriffsweg eine fahrzeuginterne Vorrichtung, die in dem primären Angriffsweg und an der stromaufwärtigen Seite oder der stromabwärtigen Seite enthalten ist, in der das als ein Angriff erachtete Ereignis EV innerhalb eines bestimmten Zeitraums ab dem als ein Angriff erachteten Ereignisses EV an der mit dem Zusammenführungspunkt oder dem Abzweigungspunkt des Netzwerks verbundenen fahrzeuginternen Vorrichtung auftritt. Als ein Ergebnis ist es möglich, die Anwesenheit oder Abwesenheit eines sekundären Angriffswegs zu bestimmen, der den primären Angriffsweg begleitet, und es ist möglich, einen Angriffsweg, der den sekundären Angriffsweg enthält, entsprechend zu erstellen.
  • Mit der IDM-Vorrichtung 10 der Ausführungsform wird, wenn das Ereignis EV für die fahrzeuginterne Vorrichtung 116, die in dem primären Angriffsweg in der fahrzeuginternen Vorrichtungsgruppe 100 enthalten und mit dem Abzweigungspunkt des Netzwerks verbunden ist, und das Ereignis EV für die fahrzeuginterne Vorrichtung 118, die nicht in dem primären Angriffsweg enthalten ist, zu dem die fahrzeuginterne Vorrichtung 116 gehört, in den zwei oder mehr fahrzeuginternen Vorrichtungen 118 und 119, die mit der Abzweigungsdestination des Netzwerks verbunden sind, innerhalb eines bestimmten Zeitraums auftreten, ein von dem primären Angriffsweg zu der fahrzeuginternen Vorrichtung 118 abzweigender Weg erstellt. Als ein Ergebnis ist es möglich, die Anwesenheit oder Abwesenheit eines Angriffswegs zu bestimmen, der von dem primären Angriffsweg abzweigt, und es ist möglich, einen Angriffsweg, der die Abzweigung enthält, entsprechend zu erstellen.
  • Mit der IDM-Vorrichtung 10 der Ausführungsform wird, wenn das Ereignis EV für die fahrzeuginterne Vorrichtung 114, die in dem primären Angriffsweg in der fahrzeuginternen Vorrichtungsgruppe 100 enthalten und mit dem Zusammenführungspunkt des Netzwerks verbunden ist, und das Ereignis EV für die fahrzeuginterne Vorrichtung 112, die nicht in dem primären Angriffsweg enthalten ist, zu dem die fahrzeuginterne Vorrichtung 114 gehört, in den zwei oder mehr fahrzeuginternen Vorrichtungen 111 und 112, die mit dem Zusammenführungspunkt an der stromaufwärtigen Seite der fahrzeuginternen Vorrichtung 114 verbunden sind, innerhalb eines bestimmten Zeitraums auftreten, ein mit dem primären Angriffsweg von der fahrzeuginternen Vorrichtung 111 an der stromaufwärtigen Seite zusammengeführter Weg erstellt. Als ein Ergebnis ist es möglich, die Anwesenheit oder Abwesenheit eines Angriffswegs zu bestimmen, der mit dem primären Angriffsweg zusammengeführt wird, und es ist möglich, einen Angriffsweg, der die Zusammenführung enthält, entsprechend zu erstellen.
  • Mit der IDM-Vorrichtung 10 der Ausführungsform wird ein Angriffsszenario in einem Ereignis EV, das als ein Angriff erachtet wird, auf der Grundlage eines bekannten Angriffsszenarios eingeschätzt. Als ein Ergebnis ist es möglich, den Mehrwert der Informationsausgabe an die SIEM-Vorrichtung 21 weiter zu erhöhen.
  • In der vorstehend beschriebenen Ausführungsform enthält die IDM-Vorrichtung 10 die Schätzeinheit 105, und die Schätzeinheit 105 schätzt das Angriffsszenario in dem als ein Angriff erachteten Ereignis EV ein. Die Einschätzung des Angriffsszenarios kann jedoch beispielsweise in der SIEM-Vorrichtung 21 umgesetzt werden.
  • Modifikation 1
  • Als nächstes wird eine IDM-Vorrichtung 210 gemäß Modifikation 1 der Ausführungsform unter Bezugnahme auf 15 bis 19 beschrieben. Die IDM-Vorrichtung 210 der Modifikation ist von der vorstehend beschriebenen Ausführungsform insofern unterschiedlich, als eine Mehrzahl von fahrzeuginternen Vorrichtungen, die in einem erstellten Angriffsweg enthalten sind, beim Erstellen eines sekundären Angriffswegs als eine Gruppe behandelt wird.
  • 15 ist ein Blockdiagramm, das ein Beispiel funktioneller Konfigurationen der IDM-Vorrichtung 210 und der SIEM-Vorrichtung 21 gemäß Modifikation 1 der Ausführungsform veranschaulicht In 15 werden die gleichen Bezugszeichen wie jene der vorstehend beschriebenen Ausführungsform für die gleichen Konfigurationen vergeben, und die Beschreibung davon entfällt.
  • Wie in 15 veranschaulicht, enthält die IDM-Vorrichtung 210 von Modifikation 1 eine Gruppenerstellungseinheit 218 zusätzlich zu der Konfiguration der IDM-Vorrichtung 10 der vorstehend beschriebenen Ausführungsform. Die Gruppenerstellungseinheit 218 gruppiert mehrere fahrzeuginterne Vorrichtungen, die in dem erstellten Angriffsweg enthalten sind. Die Gruppenerstellungseinheit 218 ist beispielsweise durch eine CPU der IDM-Vorrichtung 210 umgesetzt, die das Angriffswegerstellungsprogramm ausführt.
  • 16 ist ein Diagramm, das ein Beispiel von Daten veranschaulicht, die durch die IDM-Vorrichtung 210 gemäß Modifikation 1 der Ausführungsform erhalten werden, welche die Anpassungsverarbeitung an den von der IDS-Sensorgruppe bezogenen Protokollen durchführt.
  • In dem Beispiel von 16 enthält die fahrzeuginterne Vorrichtungsgruppe 100, die an dem Fahrzeug angebracht ist, fahrzeuginterne Vorrichtungen 120 bis 129. Die Netzwerkkonfiguration der fahrzeuginternen Vorrichtungen 120 bis 129 ist von der Netzwerkkonfiguration der fahrzeuginternen Vorrichtungen 110 bis 119 der vorstehend beschriebenen Ausführungsform unterschiedlich.
  • Weiterhin wird in dem Beispiel von 16 davon ausgegangen, dass ein Ereignis EV, das als ein Angriff erachtet wird, an den fahrzeuginternen Vorrichtungen 120, 123 bis 126, 128 und 129 unter den fahrzeuginternen Vorrichtungen 120 bis 129 aufgetreten ist.
  • Zuerst erstellt die primäre Erstellungseinheit 103 einen primären Angriffsweg von der fahrzeuginternen Vorrichtung 120 zu der fahrzeuginternen Vorrichtung 123. Die Gruppenerstellungseinheit 218 erstellt eine Gruppe GP, die durch Gruppieren der fahrzeuginternen Vorrichtungen 120 und 123 erhalten wird.
  • Wenn die sekundäre Erstellungseinheit 104 die Anwesenheit oder Abwesenheit einer Abzweigung oder einer Zusammenführung in dem primären Angriffsweg untersucht, zu dem die fahrzeuginternen Vorrichtungen 120 und 123 gehören, wird der primäre Angriffsweg, zu dem die fahrzeuginternen Vorrichtungen 120 und 123 gehören, in Einheiten von Gruppen behandelt. In dem Beispiel von 16 ist beispielsweise zu sehen, dass die fahrzeuginterne Vorrichtung 125 mit der Gruppe GP an der stromabwärtigen Seite der Gruppe GP verbunden ist. Weiterhin ist beispielsweise zu sehen, dass die fahrzeuginterne Vorrichtung 124 von der Gruppe GP abzweigt.
  • Die sekundäre Erstellungseinheit 104 zieht die Möglichkeit eines Abzweigens des Angriffswegs von der Gruppe GP zu der fahrzeuginternen Vorrichtung 124 an der stromabwärtigen Seite der Gruppe GP in Betracht. Zu dieser Zeit bestimmt die sekundäre Erstellungseinheit 104 die Anwesenheit oder Abwesenheit der Abzweigung von der Gruppe GP zu der fahrzeuginternen Vorrichtung 124 auf der Grundlage der Auftrittszeitbestimmung des Ereignisses EV in der fahrzeuginternen Vorrichtung 124, die von der Gruppe GP abzweigt, und der fahrzeuginternen Vorrichtung 125, die mit der Gruppe GP an der stromabwärtigen Seite verbunden ist.
  • 17 ist ein Diagramm, das eine Auftrittszeitbestimmung jedes Ereignisses EV in der fahrzeuginternen Vorrichtung 124 und in der fahrzeuginternen Vorrichtung 125 veranschaulicht, die in der IDM-Vorrichtung 210 gemäß Modifikation 1 der Ausführungsform untersucht werden.
  • Wie in 17 veranschaulicht, treten die Ereignisse EV in den fahrzeuginternen Vorrichtungen 124 und 125 in dieser Reihenfolge auf. Ob eine Abzweigung des Angriffswegs von der Gruppe GP zu der fahrzeuginternen Vorrichtung 124 vorliegt oder nicht, wird auf der Grundlage davon bestimmt, ob sowohl das Ereignis EV in der fahrzeuginternen Vorrichtung 124 als auch das Ereignis EV in der fahrzeuginternen Vorrichtung 125 innerhalb eines bestimmten Zeitraums PRd als ein vierter Zeitraum auftreten oder nicht.
  • In dem Beispiel von 17 treten sowohl das Ereignis EV in der fahrzeuginternen Vorrichtung 124 als auch das Ereignis EV in der fahrzeuginternen Vorrichtung 125 innerhalb des bestimmten Zeitraums PRd auf. Folglich bestimmt die sekundäre Erstellungseinheit 104, dass eine Abzweigung des Angriffswegs von der Gruppe GP zu der fahrzeuginternen Vorrichtung 124 vorlag.
  • Selbst wenn die sekundäre Erstellungseinheit 104 ein Zusammenführen mit dem durch die primäre Erstellungseinheit 103 erstellten primären Angriffsweg in Betracht zieht, wird die Mehrzahl von fahrzeuginternen Vorrichtungen, die in dem primären Angriffsweg enthalten sind, in Einheiten von Gruppen wie vorstehend beschrieben behandelt.
  • 18 veranschaulicht ein Beispiel eines Angriffswegs, der durch die IDM-Vorrichtung 210 von Modifikation 1 erstellt wird. 18 ist ein Diagramm, das ein Beispiel eines Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung 210 gemäß Modifikation 1 der Ausführungsform erstellt wird. In dem Beispiel von 18 wird ein Angriffsweg, der von dem durch die primäre Erstellungseinheit 103 erstellten primären Angriffsweg abzweigt, durch die sekundäre Erstellungseinheit 104 zugewiesen.
  • Dies bedeutet, dass in dem Beispiel von 18 die primäre Erstellungseinheit 103 einen primären Angriffsweg von der fahrzeuginternen Vorrichtung 120 erstellt, der über die fahrzeuginterne Vorrichtung 123 zu der fahrzeuginternen Vorrichtung 125 führt. Zudem erstellt die sekundäre Erstellungseinheit 104 einen sekundären Angriffsweg, der von der fahrzeuginternen Vorrichtung 120 zu der fahrzeuginternen Vorrichtung 124 abzweigt.
  • In diesem sekundären Angriffsweg wird weiter durch die primäre Erstellungseinheit 103 ein primärer Angriffsweg von der fahrzeuginternen Vorrichtung 124 zu einer der fahrzeuginternen Vorrichtungen 128 und 129 über die fahrzeuginterne Vorrichtung 126 erstellt. Der sekundäre Angriffsweg, der zu einer der fahrzeuginternen Vorrichtungen 128 und 129 abzweigt, wird weiter durch die sekundäre Erstellungseinheit 104 bereitgestellt.
  • Als nächstes wird ein Beispiel eines Verfahrens zum Erstellen eines sekundären Angriffswegs durch die IDM-Vorrichtung 210 von Modifikation 1 unter Bezugnahme auf 19 beschrieben. 19 ist ein Flussdiagramm, das ein Beispiel eines Ablaufs einer Erstellungsverarbeitung eines sekundären Angriffswegs durch die IDM-Vorrichtung 210 gemäß Modifikation 1 der Ausführungsform veranschaulicht.
  • In der sekundären Angriffswegerstellungsverarbeitung der vorstehend beschriebenen Ausführungsform wurde die Abzweigung oder Zusammenführung für die jeweiligen fahrzeuginternen Vorrichtungen in Betracht gezogen. Andererseits wird in der sekundären Angriffswegerstellungsverarbeitung von Modifikation 1 eine Abzweigung oder Zusammenführung einer vorbestimmten fahrzeuginternen Vorrichtung in Bezug auf eine Mehrzahl von gruppierten fahrzeuginternen Vorrichtungen in Betracht gezogen. Mit anderen Worten entsprechen die Prozesse von Schritt S122 bis S126, die in 19 veranschaulicht sind, den Prozessen von Schritt S112 bis S116, die in 13 der vorstehend beschriebenen Ausführungsform veranschaulicht sind.
  • Wie in 19 veranschaulicht, bestimmt die sekundäre Erstellungseinheit 104, ob ein erstellter Angriffsweg vorliegt oder nicht, der zu der vorbestimmten fahrzeuginternen Vorrichtung benachbart ist, in der das als ein Angriff erachtete Ereignis EV aufgetreten ist (Schritt S121). Wenn kein benachbarter Angriffsweg vorliegt (Schritt S121: Nein), überspringt die sekundäre Erstellungseinheit 104 die Prozesse von Schritt S122 bis S127 und geht zu dem Prozess von Schritt S128 über.
  • Wenn ein benachbarter Angriffsweg vorliegt (Schritt S121: Ja), behandelt die sekundäre Erstellungseinheit 104 den Angriffsweg in Einheiten von Gruppen und bestimmt, ob eine Abzweigung oder eine Zusammenführung vorliegt oder nicht, die einen sekundären Angriffsweg zwischen dem Angriffsweg und der vorstehend beschriebenen fahrzeuginternen Vorrichtung, die dazu benachbart ist, erstellen kann (Schritt S122).
  • Wenn keine Abzweigung oder Zusammenführung vorliegt (Schritt S122: Nein), überspringt die sekundäre Erstellungseinheit 104 die Prozesse von Schritt S123 bis S127 und geht zu dem Prozess von Schritt S128 über.
  • Wenn eine Abzweigung vorliegt, die einen sekundären Angriffsweg zwischen dem Angriffsweg und der vorstehend beschriebenen, dazu benachbarten fahrzeuginternen Vorrichtung erstellen kann (Schritt S122: Ja (Abzweigung)), bestimmt die sekundäre Erstellungseinheit 104, ob ein als ein Angriff erachtetes Ereignis EV in der fahrzeuginternen Vorrichtung, die mit dem Angriffsweg an der stromabwärtigen Seite verbunden ist, und der vorstehend beschriebenen fahrzeuginternen Vorrichtung, die zu dem Angriffsweg benachbart ist, innerhalb eines bestimmten Zeitraums aufgetreten ist oder nicht (Schritt S123).
  • Wenn das Ereignis EV innerhalb des bestimmten Zeitraums aufgetreten ist (Schritt S123: Ja), setzt die sekundäre Erstellungseinheit 104 einen Abzweigungsweg zwischen den Angriffsweg und die fahrzeuginterne Vorrichtung (Schritt S124). Wenn das Ereignis EV innerhalb des bestimmten Zeitraums nicht aufgetreten ist (Schritt S123: Nein), überspringt die sekundäre Erstellungseinheit 104 die Prozesse von Schritt S124 und S127 und geht zu dem Prozess von Schritt S128 über.
  • Wenn eine Zusammenführung vorliegt, die einen sekundären Angriffsweg zwischen dem Angriffsweg und der vorstehend beschriebenen, dazu benachbarten fahrzeuginternen Vorrichtung erstellen kann (Schritt S122: Ja (Zusammenführung)), bestimmt die sekundäre Erstellungseinheit 104, ob ein als ein Angriff erachtetes Ereignis EV in der fahrzeuginternen Vorrichtung, die mit dem Angriffsweg an der stromaufwärtigen Seite verbunden ist, und der vorstehend beschriebenen fahrzeuginternen Vorrichtung, die zu dem Angriffsweg benachbart ist, innerhalb eines bestimmten Zeitraums aufgetreten ist oder nicht (Schritt S125).
  • Wenn das Ereignis EV innerhalb des bestimmten Zeitraums aufgetreten ist (Schritt S125: Ja), setzt die sekundäre Erstellungseinheit 104 einen Zusammenführungsweg zwischen den Angriffsweg und die fahrzeuginterne Vorrichtung (Schritt S126). Wenn das Ereignis EV innerhalb des bestimmten Zeitraums nicht aufgetreten ist (Schritt S125: Nein), überspringt die sekundäre Erstellungseinheit 104 die Prozesse von Schritt S126 und S127 und geht zu dem Prozess von Schritt S128 über.
  • Wenn ein Abzweigungsweg vorliegt, der zwischen den Angriffsweg und die vorstehend beschriebene fahrzeuginterne Vorrichtung gesetzt ist, die zu dem Angriffsweg benachbart ist, erstellt die sekundäre Erstellungseinheit 104 einen sekundären Angriffsweg, der die Abzweigung enthält, und wenn ein Zusammenführungsweg vorliegt, der zwischen den Angriffsweg und die vorstehend beschriebene fahrzeuginterne Vorrichtung gesetzt ist, die zu dem Angriffsweg benachbart ist, erstellt die sekundäre Erstellungseinheit einen sekundären Angriffsweg, der die Zusammenführung enthält (Schritt S127).
  • Zudem bestimmt die sekundäre Erstellungseinheit 104, ob die Erstellung des Angriffswegs durch die Prozesse von Schritt S121 bis S127 abgeschlossen wurde oder nicht (Schritt S128). Wenn die Erstellung mit dem bislang erstellten Angriffsweg nicht abgeschlossen ist (Schritt S128: Nein), bestimmt die sekundäre Erstellungseinheit 104, ob ein anderer Angriffsweg erstellt werden kann oder nicht (Schritt S129).
  • Wenn kein anderer primärer Angriffsweg erstellt werden kann (Schritt S129: Nein), beendet die IDM-Vorrichtung 210 die Verarbeitung. In diesem Fall endet die Erstellung des Angriffswegs in einem Zustand, in dem die fahrzeuginterne Vorrichtung, die nicht in dem erstellten Angriffsweg enthalten ist, zurückbleibt. Die zurückbleibende fahrzeuginterne Vorrichtung wird als eine fehlerhafte Erfassung enthaltend behandelt.
  • Wenn ein anderer primärer Angriffsweg erstellt werden kann (Schritt S129: Ja), werden die Prozesse von Schritt S121 bis S129 in den Schleifen L2(S) bis L2(E) wiederholt, bis die Erstellung des Angriffswegs abgeschlossen ist. Wenn die Erstellung des Angriffswegs abgeschlossen ist (Schritt S128: Ja), endet die Verarbeitung der Schleifen L2(S) bis L2(E).
  • Wie vorstehend beschrieben, endet die sekundäre Angriffswegerstellungsverarbeitung durch die IDM-Vorrichtung 210 gemäß Modifikation 1.
  • Mit der IDM-Vorrichtung 210 von Modifikation 1 wird, wenn ein Angriff an der fahrzeuginternen Vorrichtung 124 an dem Abzweigungsweg, der der Gruppe GP zugeordnet ist, und ein Angriff an der fahrzeuginternen Vorrichtung 125, die mit der Gruppe GP an der stromabwärtigen Seite verbunden ist, innerhalb eines bestimmten Zeitraums in der fahrzeuginternen Vorrichtungsgruppe 100 auftreten, ein Weg erstellt, der von der Gruppe GP zu der fahrzeuginternen Vorrichtung 124 abzweigt. Als ein Ergebnis kann die Möglichkeit des Angriffsziels umfassender untersucht werden.
  • Modifikation 2
  • Als nächstes wird eine IDM-Vorrichtung 310 gemäß Modifikation 2 der Ausführungsform unter Bezugnahme auf 20 bis 23 beschrieben. Die IDM-Vorrichtung 310 von Modifikation 2 ist von der vorstehend beschriebenen Ausführungsform insofern unterschiedlich, als sie die Anzahl der Auftritte des Ereignisses EV zählt.
  • 20 ist ein Blockdiagramm, das ein Beispiel funktioneller Konfigurationen der IDM-Vorrichtung 310 und der SIEM-Vorrichtung 21 gemäß Modifikation 2 der Ausführungsform veranschaulicht. In 20 werden die gleichen Bezugszeichen wie jene der vorstehend beschriebenen Ausführungsform für die gleichen Konfigurationen vergeben, und die Beschreibung davon entfällt.
  • Wie in 20 veranschaulicht, enthält die IDM-Vorrichtung 310 von Modifikation 2 eine Zielschätzeinheit 318 zusätzlich zu der Konfiguration der IDM-Vorrichtung 10 der vorstehend beschriebenen Ausführungsform.
  • Die Zielschätzeinheit 318 zählt die Anzahl der Auftritte des Ereignisses EV innerhalb eines bestimmten Zeitraums in den Daten, die mittels Durchführen der Anpassungsverarbeitung an den von der IDS-Sensorgruppe bezogenen Protokollen erhalten werden. Zudem schätzt die Zielschätzeinheit 318, dass eine oder mehrere fahrzeuginterne Vorrichtungen, die mit der stromabwärtigen Seite der fahrzeuginternen Vorrichtung an der Abzweigungsdestination verbunden sind, an der die Anzahl der Auftritte des Ereignisses EV unter der Mehrzahl von Abzweigungsdestinationen in dem Angriffsweg am größten ist, Angriffsziele sind. Die Zielschätzeinheit 318 ist beispielsweise durch die CPU der IDM-Vorrichtung 310 umgesetzt, die das Angriffswegerstellungsprogramm ausführt.
  • 21 ist ein Diagramm, das ein Beispiel eines Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung 310 gemäß Modifikation 2 der Ausführungsform erstellt wird.
  • In dem Beispiel von 21 enthält die fahrzeuginterne Vorrichtungsgruppe 100, die an dem Fahrzeug angebracht ist, fahrzeuginterne Vorrichtungen 130 bis 139. Die Netzwerkkonfiguration der fahrzeuginternen Vorrichtungen 130 bis 139 ist von der Netzwerkkonfiguration der fahrzeuginternen Vorrichtungen 110 bis 119 der vorstehend beschriebenen Ausführungsform unterschiedlich.
  • Weiterhin wird in dem Beispiel von 21 davon ausgegangen, dass ein als ein Angriff erachtetes Ereignis EV an den fahrzeuginternen Vorrichtungen 130 bis 133 und 135 bis 139 unter den fahrzeuginternen Vorrichtungen 130 bis 139 aufgetreten ist.
  • Die primäre Erstellungseinheit 103 erstellt einen Angriffsweg auf der Grundlage der Daten nach der Anpassung. Als ein Ergebnis wird ein primärer Angriffsweg von der fahrzeuginternen Vorrichtung 130, der über die fahrzeuginterne Vorrichtung 131 zu der fahrzeuginternen Vorrichtung 133 führt, erstellt. Weiterhin wird ein primärer Angriffsweg von der fahrzeuginternen Vorrichtung 130, der über die fahrzeuginternen Vorrichtungen 132 und 135 zu der fahrzeuginternen Vorrichtung 137 führt, erstellt.
  • Weiterhin erstellt die sekundäre Erstellungseinheit 104 einen sekundären Angriffsweg, der von der fahrzeuginternen Vorrichtung 135 zu der fahrzeuginternen Vorrichtung 138 abzweigt. Zudem wird ein sekundärer Angriffsweg erstellt, der von der fahrzeuginternen Vorrichtung 132 zu der fahrzeuginternen Vorrichtung 136 abzweigt und die fahrzeuginterne Vorrichtung 139 erreicht.
  • Unterdessen zählt die Zielschätzeinheit 318 die Anzahl der Auftritte des Ereignisses EV innerhalb eines bestimmten Zeitraums, bei dem es sich um einen dritten Zeitraum handelt, als die Anzahl von Angriffsauftritten für die fahrzeuginternen Vorrichtungen 130 bis 139.
  • In dem Beispiel von 21 wird davon ausgegangen, dass das Ereignis EV in den fahrzeuginternen Vorrichtungen 131 und 132 innerhalb eines bestimmten Zeitraums aufgetreten ist. In diesem Fall zählt die Zielschätzeinheit 318 beispielsweise die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 131 als die erste von zwei, d. h. 1/2. Zudem zählt die Zielschätzeinheit 318 beispielsweise die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 132 als die zweite von zwei, d. h. 2/2.
  • In dem Beispiel von 21 wird davon ausgegangen, dass es keine andere fahrzeuginterne Vorrichtung gibt, in der das Ereignis EV innerhalb eines bestimmten Zeitraums nach dem Auftreten des Ereignisses EV in der fahrzeuginternen Vorrichtung 133 aufgetreten ist. In diesem Fall zählt die Zielschätzeinheit 318 beispielsweise die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 133 als eine.
  • In dem Beispiel von 21 wird davon ausgegangen, dass das Ereignis EV in den fahrzeuginternen Vorrichtungen 135 und 136 innerhalb eines bestimmten Zeitraums aufgetreten ist. In diesem Fall zählt die Zielschätzeinheit 318 beispielsweise die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 135 als die erste von zwei, d. h. 1/2. Zudem zählt die Zielschätzeinheit 318 beispielsweise die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 136 als die zweite von zwei, d. h. 2/2.
  • In dem Beispiel von 21 wird davon ausgegangen, dass das Ereignis EV in den fahrzeuginternen Vorrichtungen 137 und 138 innerhalb eines bestimmten Zeitraums aufgetreten ist. In diesem Fall zählt die Zielschätzeinheit 318 beispielsweise die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 137 als die erste von zwei, d. h. 1/2. Zudem zählt die Zielschätzeinheit 318 beispielsweise die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 138 als die zweite von zwei, d. h. 2/2.
  • In dem Beispiel von 21 wird davon ausgegangen, dass es keine andere fahrzeuginterne Vorrichtung gibt, in der das Ereignis EV innerhalb eines bestimmten Zeitraums nach dem Auftreten des Ereignisses EV in der fahrzeuginternen Vorrichtung 139 aufgetreten ist. In diesem Fall zählt die Zielschätzeinheit 318 beispielsweise die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 139 als eine.
  • Nach dem Zählen der Anzahl der Angriffsauftritte für jede der fahrzeuginternen Vorrichtungen 130 bis 139 legt die Zielschätzeinheit 318 die fahrzeuginterne Vorrichtung auf der Grundlage der Zählung der Anzahl der Angriffsauftritte als das Angriffsziel fest.
  • Insbesondere liegen in dem Angriffsweg, der von der fahrzeuginternen Vorrichtung 130 ausgeht, Abzweigungen eines Wegs in Richtung der fahrzeuginternen Vorrichtungen 131 und 133 und eines Wegs in Richtung der fahrzeuginternen Vorrichtungen 132, 135 und 136 vor. In diesem Fall vergleicht die Zielschätzeinheit 318 die Anzahl der Angriffsauftritte zwischen der Abzweigungsdestination, welche die fahrzeuginternen Vorrichtungen 131 und 133 enthält, und der Abzweigungsdestination, welche die fahrzeuginternen Vorrichtungen 132, 135 und 136 enthält, unter der Mehrzahl von Abzweigungsdestinationen von der fahrzeuginternen Vorrichtung 130.
  • In dem Beispiel von 21 beträgt die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 133 an der Abzweigungsdestination, welche die fahrzeuginternen Vorrichtungen 131 und 133 enthält, 1. Zudem beträgt die Anzahl der Angriffsauftritte in den fahrzeuginternen Vorrichtungen 135 und 136 an der Abzweigungsdestination, welche die fahrzeuginternen Vorrichtungen 132, 135 und 136 enthält, 2. Folglich schätzt die Zielschätzeinheit 318, dass mindestens eine der fahrzeuginternen Vorrichtungen 137 bis 139, die mit der stromabwärtigen Seite der Abzweigungsdestinations verbunden sind, welche die fahrzeuginternen Vorrichtungen 132, 135 und 136 enthält, das Angriffsziel ist.
  • Zudem liegen in dem Angriffsweg, der von der fahrzeuginternen Vorrichtung 132 ausgeht, Abzweigungen eines Wegs in Richtung der fahrzeuginternen Vorrichtungen 135, 137 und 138 und eines Wegs in Richtung der fahrzeuginternen Vorrichtungen 136 und 139 vor. In diesem Fall vergleicht die Zielschätzeinheit 318 die Anzahl der Angriffsauftritte zwischen der Abzweigungsdestination, welche die fahrzeuginternen Vorrichtungen 135, 137 und 138 enthält, und der Abzweigungsdestination, welche die fahrzeuginternen Vorrichtungen 136 und 139 enthält, unter der Mehrzahl von Abzweigungsdestinationen von der fahrzeuginternen Vorrichtung 132.
  • In dem Beispiel von 21 beträgt die Anzahl der Angriffsauftritte in den fahrzeuginternen Vorrichtungen 137 und 138 an der Abzweigungsdestination, welche die fahrzeuginternen Vorrichtungen 135, 137 und 138 enthält, 2. Zudem beträgt die Anzahl der Angriffsauftritte in der fahrzeuginternen Vorrichtung 139 an der Abzweigungsdestination, welche die fahrzeuginternen Vorrichtungen 136 und 139 enthält, 1. Folglich schätzt die Zielschätzeinheit 318, dass mindestens eine der fahrzeuginternen Vorrichtungen 137 und 138, die mit dem am weitesten stromabwärtigen Punkt der Abzweigungsdestination verbunden sind, welche die fahrzeuginternen Vorrichtungen 135, 137 und 138 enthält, das Angriffsziel ist.
  • In der Netzwerkkonfiguration der fahrzeuginternen Vorrichtungsgruppe 100 erstellt die Zielschätzeinheit 318, wenn das Angriffsziel bis zu den fahrzeuginternen Vorrichtungen 137 bis 139 geschätzt wird, die mit dem am weitesten stromabwärtigen Punkt verbunden sind, einen Angriffsweg in Richtung der fahrzeuginternen Vorrichtungen 137 und 138, bei denen es sich um die fahrzeuginternen Vorrichtungen 137 bis 139 handelt, die mit dem am weitesten stromabwärtigen Punkt verbunden sind und die als die Angriffsziele eingeschätzt werden. 22 veranschaulicht ein Beispiel des Angriffswegs, der durch die Zielschätzeinheit 318 erstellt wird.
  • 22 ist ein Diagramm, das ein Beispiel eines Angriffswegs veranschaulicht, der durch die IDM-Vorrichtung 310 gemäß Modifikation 2 der Ausführungsform auf der Grundlage der Zählung der Anzahl der Angriffsziele erstellt wird. Wie in 22 veranschaulicht, erstellt die Zielschätzeinheit 318 einen Angriffsweg von der fahrzeuginternen Vorrichtung 130 zu der fahrzeuginternen Vorrichtung 137 über die fahrzeuginternen Vorrichtungen 132 und 135, und einen Angriffsweg zu der fahrzeuginternen Vorrichtung 138.
  • Wie vorstehend beschrieben, engt die Zielschätzeinheit 318 die fahrzeuginternen Vorrichtungen, die Angriffsziele sein könnten, selbst dann ein, wenn die durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 erstellten Angriffswege in mehrere Richtungen an der stromabwärtigen Seite des Netzwerks abzweigen.
  • Als nächstes wird ein Beispiel eines Verfahrens zum Erstellen eines Angriffswegs durch die IDM-Vorrichtung 310 von Modifikation 2 unter Bezugnahme auf 23 beschrieben.
  • 23 ist ein Flussdiagramm, das ein Beispiel eines Ablaufs einer Erstellungsverarbeitung eines Angriffswegs auf der Grundlage der Anzahl der Angriffsauftritte durch die IDM-Vorrichtung 310 gemäß Modifikation 2 der Ausführungsform veranschaulicht. Die Verarbeitung von 23 wird nach der Angriffswegerstellungsverarbeitung durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 durchgeführt.
  • Wie in 23 veranschaulicht, bestimmt die Zielschätzeinheit 318, ob eine Abzweigung an dem durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 erstellten Angriffsweg vorliegt oder nicht (Schritt S201). Wenn keine Abzweigung an dem Angriffsweg vorliegt (Schritt S201: Nein), überspringt die Zielschätzeinheit 318 den Prozess von Schritt S202 und geht zu dem Prozess von Schritt S203 über.
  • Wenn eine Abzweigung an dem Angriffsweg vorliegt (Schritt S201: Ja), wählt die Zielschätzeinheit 318 einen Angriffsweg mit einer großen Anzahl von Angriffsauftritten an der stromabwärtigen Seite der vorbestimmten Abzweigung aus (Schritt S202).
  • Zudem bestimmt die Zielschätzeinheit 318, ob die Prozesse von Schritt S201 und S202 für den gesamten durch die primäre Erstellungseinheit 103 und die sekundäre Erstellungseinheit 104 erstellten Angriffsweg abgeschlossen wurden oder nicht (Schritt S203). Wenn es einen unverarbeiteten Abschnitt in dem Angriffsweg gibt (Schritt S203: Nein), wiederholt die Zielschätzeinheit 318 die Prozesse von Schritt S201 bis S203 in den Schleifen L3(S) bis L3(E), bis die Prozesse für den gesamten Angriffsweg abgeschlossen sind. Wenn der Prozess für den gesamten Angriffsweg beendet ist (Schritt S203: Ja), wird die Verarbeitung der Schleifen L3(S) bis L3(E) beendet.
  • Wie vorstehend beschrieben, endet die Angriffswegerstellungsverarbeitung auf der Grundlage der Anzahl der Angriffsauftritte durch die IDM-Vorrichtung 310 gemäß Modifikation 2.
  • Mit der IDM-Vorrichtung 310 von Modifikation 2 wird die Anzahl von Auftritten des Ereignisses EV innerhalb eines bestimmten Zeitraums als die Anzahl der Angriffsauftritte gezählt, und wenn der sekundäre Angriffsweg abzweigt, wird ein Angriffsweg in Richtung einer Vorrichtung oder mehrerer Vorrichtungen der fahrzeuginternen Vorrichtungen 137 und 138 erstellt, die mit der stromabwärtigen Seite der fahrzeuginternen Vorrichtung 135 der Abzweigungsdestination verbunden sind, in der die Anzahl der Angriffsauftritte größer als jene von anderen Abzweigungsdestinationen unter der Mehrzahl von Abzweigungsdestinationen ist.
  • Als ein Ergebnis ist es beispielsweise möglich, die fahrzeuginternen Vorrichtungen, die zu den Angriffszielen werden könnten, selbst dann einzuengen, wenn eine große Anzahl von Abzweigungen in dem Angriffsweg an der stromabwärtigen Seite des Netzwerks auftritt. Folglich kann die Destination des Angriffswegs visualisiert werden und, wenn der Angreifer interessiert ist, makroskopisch bestimmt werden.
  • Gemäß dem Angriffswegerstellungsverfahren und der Angriffswegerstellungsvorrichtung nach der vorliegenden Offenbarung ist es möglich, einen Angriffsweg selbst dann festzulegen, wenn eine Mehrzahl von Vorrichtungen gleichzeitig angegriffen wird.
  • Während bestimmte Ausführungsformen beschrieben wurden, wurden diese Ausführungsformen lediglich beispielhaft vorgelegt und sollen den Umfang der Erfindungen nicht einschränken. Tatsächlich können die hierin beschriebenen neuen Ausführungsformen in verschiedenen anderen Formen ausgeführt werden. Weiterhin können verschiedene Weglassungen, Ersetzungen und Änderungen an der Form der hierin beschriebenen Ausführungsformen vorgenommen werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 6831763 B2 [0123]

Claims (9)

  1. Angriffswegerstellungsverfahren, ausgeführt durch eine Informationsverarbeitungsvorrichtung (10; 210; 310), die einen Angriffsweg in einer Mehrzahl von Vorrichtungen (110 ... 119; 120 ... 129; 130 ... 139) durch Beziehen von Protokollen in der Mehrzahl von Vorrichtungen (110 ... 119; 120 ... 129; 130 ... 139) erstellt, die mit einem Netzwerk verbunden sind, das mindestens eine von einer Abzweigung und einer Zusammenführung enthält, wobei jede Vorrichtung eine Angrifferfassungsfunktion hat, wobei das Angriffswegerstellungsverfahren umfasst: Erstellen eines primären Angriffswegs ohne die Abzweigung und die Zusammenführung auf der Grundlage der bezogenen Protokolle; Erstellen eines sekundären Angriffswegs, der von dem primären Angriffsweg abzweigt oder mit dem primären Angriffsweg zusammengeführt wird, auf der Grundlage der Protokolle; und Ausgeben des erstellten primären Angriffswegs und des erstellten sekundären Angriffswegs an eine Vorrichtung, die eine Angriffbestimmung durchführt, wobei der sekundäre Angriffsweg ein Angriffsweg ist, der eine stromaufwärtige oder stromabwärtige Vorrichtung enthält, in der ein als ein Angriff erachtetes Ereignis innerhalb eines bestimmten Zeitraums ab einem als ein Angriff erachteten Ereignis an einer Vorrichtung auftritt, die in dem primären Angriffsweg enthalten ist und mit einem Zusammenführungspunkt oder einem Abzweigungspunkt des Netzwerks verbunden ist.
  2. Angriffswegerstellungsverfahren nach Anspruch 1, wobei beim Erstellen des sekundären Angriffswegs ein Weg, der von dem primären Angriffsweg zu einer zweiten Vorrichtung abzweigt, erstellt wird, wenn das Ereignis für eine erste Vorrichtung, die in dem primären Angriffsweg enthalten ist und mit dem Abzweigungspunkt des Netzwerks verbunden ist, unter der Mehrzahl von Vorrichtungen und das Ereignis für die zweite Vorrichtung, die nicht in dem primären Angriffsweg enthalten ist, unter zwei oder mehr Vorrichtungen, die mit Abzweigungsdestinationen des Netzwerks verbunden sind, innerhalb eines ersten Zeitraums auftreten.
  3. Angriffswegerstellungsverfahren nach Anspruch 2, ferner umfassend: Erstellen eines ersten Angriffswegs und eines zweiten Angriffswegs als den primären Angriffsweg, wobei beim Erstellen des sekundären Angriffswegs ein Weg, der von dem ersten Angriffsweg zu einer vierten Vorrichtung abzweigt, erstellt wird, wenn das Ereignis für eine dritte Vorrichtung, die in dem ersten Angriffsweg enthalten ist und mit einem Abzweigungspunkt des Netzwerks verbunden ist, unter der Mehrzahl von Vorrichtungen und das Ereignis für die vierte Vorrichtung, die nicht in dem ersten Angriffsweg enthalten ist, unter zwei oder mehr Vorrichtungen, die mit den Abzweigungsdestinationen des Netzwerks verbunden sind, innerhalb des ersten Zeitraums auftreten.
  4. Angriffswegerstellungsverfahren nach Anspruch 1 oder 2, wobei beim Erstellen des sekundären Angriffswegs ein Weg, der mit dem primären Angriffsweg von einer sechsten Vorrichtung zusammengeführt wird, erstellt wird, wenn das Ereignis für eine fünfte Vorrichtung, die in dem primären Angriffsweg enthalten ist und mit einem Zusammenführungspunkt des Netzwerks verbunden ist, unter der Mehrzahl von Vorrichtungen und das Ereignis für die sechste Vorrichtung, die nicht in dem primären Angriffsweg enthalten ist, unter zwei oder mehr Vorrichtungen, die mit dem Zusammenführungspunkt an einer stromaufwärtigen Seite der fünften Vorrichtung verbunden sind, innerhalb eines zweiten Zeitraums auftreten.
  5. Angriffswegerstellungsverfahren nach Anspruch 4, ferner umfassend: Erstellen eines ersten Angriffswegs und eines zweiten Angriffswegs als den primären Angriffsweg, wobei beim Erstellen des sekundären Angriffswegs ein Weg, der mit dem zweiten Angriffsweg von einer achten Vorrichtung zusammengeführt wird, erstellt wird, wenn das Ereignis für eine siebte Vorrichtung, die in dem ersten Angriffsweg enthalten ist und mit einem Zusammenführungspunkt des Netzwerks verbunden ist, unter der Mehrzahl von Vorrichtungen und das Ereignis für die achte Vorrichtung, die nicht in dem ersten Angriffsweg enthalten ist, unter zwei oder mehr Vorrichtungen, die mit dem Zusammenführungspunkt an einer stromaufwärtigen Seite der siebten Vorrichtung verbunden sind, innerhalb des zweiten Zeitraums auftreten.
  6. Angriffswegerstellungsverfahren nach einem der Ansprüche 1 bis 5, umfassend: Zählen einer Anzahl von Malen von Auftritten des Ereignisses innerhalb eines dritten Zeitraum als eine Anzahl von Angriffsauftritten, und wenn der sekundäre Angriffsweg abzweigt, Erstellen eines Angriffswegs in Richtung einer oder mehrerer Vorrichtungen, die an einer stromabwärtigen Seite einer Vorrichtung an einer Abzweigungsdestination verbunden sind, deren Anzahl von Angriffsauftritten größer ist als jene anderer Abzweigungsdestinationen unter einer Mehrzahl von Abzweigungsdestinationen.
  7. Angriffswegerstellungsverfahren nach einem der Ansprüche 1 bis 4, ferner umfassend: Erstellen einer Gruppe primärer Angriffswege, die zwei oder mehr Vorrichtungen unter der Mehrzahl von Vorrichtungen enthalten, wobei beim Erstellen des sekundären Angriffswegs ein Weg, der von der Gruppe zu einer neunten Vorrichtung abzweigt, erstellt wird, wenn ein Angriff an der neunten Vorrichtung an einem Abzweigungsweg, der der Gruppe zugeordnet ist, und ein Angriff an einer zehnten Vorrichtung, die mit der Gruppe an einer stromabwärtigen Seite verbunden ist, innerhalb eines vierten Zeitraums unter der Mehrzahl von Vorrichtungen auftreten.
  8. Angriffswegerstellungsverfahren nach einem der Ansprüche 1 bis 7, umfassend: Einschätzen eines Angriffsszenarios in dem Ereignis auf der Grundlage eines bekannten Angriffsszenarios.
  9. Fahrzeuginterne Angriffswegerstellungsvorrichtung (10; 210; 310), die einen Angriffsweg in einer Mehrzahl von Vorrichtungen (110 ... 119; 120 ... 129; 130 ... 139) durch Beziehen von Protokollen in der Mehrzahl von Vorrichtungen (110 ... 119; 120 ... 129; 130 ... 139) erstellt, die mit einem Netzwerk verbunden sind, das mindestens eine von einer Abzweigung und einer Zusammenführung enthält, jeweils als eine fahrzeuginterne elektronische Steuereinheit (ECU) mit einer Angrifferfassungsfunktion konfiguriert, wobei die fahrzeuginterne Angriffswegerstellungsvorrichtung (10; 210; 310) umfasst: eine primäre Erstellungseinheit (103), die einen primären Angriffsweg ohne die Abzweigung und die Zusammenführung auf der Grundlage der bezogenen Protokolle erstellt; eine sekundäre Erstellungseinheit (104), die einen sekundären Angriffsweg, der von dem primären Angriffsweg abzweigt oder mit dem primären Angriffsweg zusammengeführt wird, auf der Grundlage der Protokolle erstellt; und eine Ausgabeeinheit (106), die den erstellten primären Angriffsweg und den erstellten sekundären Angriffsweg an eine externe Vorrichtung ausgibt, die eine Angriffbestimmung durchführt, wobei die sekundäre Erstellungseinheit (104) einen sekundären Angriffsweg erstellt, der eine stromaufwärtige oder stromabwärtige Vorrichtung enthält, in der ein als ein Angriff erachtetes Ereignis innerhalb eines bestimmten Zeitraums ab einem als ein Angriff erachteten Ereignis an einer Vorrichtung auftritt, die in dem primären Angriffsweg enthalten ist und mit einem Zusammenführungspunkt oder einem Abzweigungspunkt des Netzwerks verbunden ist.
DE102023103676.9A 2022-03-29 2023-02-15 Angriffswegerstellungsverfahren und Angriffswegerstellungsvorrichtung Pending DE102023103676A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2022-054604 2022-03-29
JP2022054604A JP2023147061A (ja) 2022-03-29 2022-03-29 攻撃経路生成方法および攻撃経路生成装置

Publications (1)

Publication Number Publication Date
DE102023103676A1 true DE102023103676A1 (de) 2023-10-05

Family

ID=88018814

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023103676.9A Pending DE102023103676A1 (de) 2022-03-29 2023-02-15 Angriffswegerstellungsverfahren und Angriffswegerstellungsvorrichtung

Country Status (3)

Country Link
US (1) US20230319085A1 (de)
JP (1) JP2023147061A (de)
DE (1) DE102023103676A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6831763B2 (ja) 2017-09-08 2021-02-17 株式会社日立製作所 インシデント分析装置およびその分析方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6831763B2 (ja) 2017-09-08 2021-02-17 株式会社日立製作所 インシデント分析装置およびその分析方法

Also Published As

Publication number Publication date
US20230319085A1 (en) 2023-10-05
JP2023147061A (ja) 2023-10-12

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP3097506B1 (de) Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur
DE112017006854T5 (de) Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
DE102018209407A1 (de) Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
DE112019006487B4 (de) Elektronische Steuereinheit, elektronisches Steuersystem und Programm
DE112018001489T5 (de) Fahrzeuggebundene Kommunikationsvorrichtung, Computerprogramm und Nachrichtenermittlungsverfahren
DE112021005629T5 (de) Anomalieerfassungsvorrichtung, anomalieerfassungsverfahren und programm
WO2019052798A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
DE102004017602B4 (de) Verfahren und Anordnung für ein Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation
DE112020007204T5 (de) Vorrichtung zur Erzeugung einer Kommunikationserlaubnisliste, Verfahren zur Erzeugung einer Kommunikationserlaubnisliste und Programm
DE102021208147A1 (de) Robustheitsquotient für fahrzeugdiagnose und -überwachung
DE102016204999A1 (de) Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
DE102023103676A1 (de) Angriffswegerstellungsverfahren und Angriffswegerstellungsvorrichtung
DE102020121540A1 (de) Bestimmungseinrichtung, Bestimmungssystem, Speichermedium, das ein Programm speichert, und Bestimmungsverfahren
WO2016169646A1 (de) System und verfahren zur überwachung der integrität einer von einem serversystem an ein clientsystem ausgelieferten komponente
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
DE102018217964A1 (de) Verfahren und Vorrichtung zur Überwachung einer Datenkommunikation
DE102019201953B4 (de) Verfahren und Detektionsvorrichtung zum Detektieren eines Eingriffs in ein Kraftfahrzeug sowie Kraftfahrzeug mit einer Detektionsvorrichtung
DE112021001385T5 (de) Verfahren und system zum sammeln und verwalten von fahrzeugdaten
DE112020005980T5 (de) Ermittlungsvorrichtung, Ermittlungsprogramm und Ermittlungsverfahren
DE102019101124A1 (de) Überwachungsvorrichtung, Überwachungsverfahren und Programm
EP1717651A2 (de) Verfahren und Vorrichtung zum Auswerten von Ereignissen aus dem Betrieb eines Fahrzeuges
DE102023103170A1 (de) Überwachungsvorrichtung und überwachungsverfahren

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP

Free format text: FORMER OWNER: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT CO., LTD., OSAKA, JP