JP2019021095A - 攻撃監視システムおよび攻撃監視方法 - Google Patents
攻撃監視システムおよび攻撃監視方法 Download PDFInfo
- Publication number
- JP2019021095A JP2019021095A JP2017139770A JP2017139770A JP2019021095A JP 2019021095 A JP2019021095 A JP 2019021095A JP 2017139770 A JP2017139770 A JP 2017139770A JP 2017139770 A JP2017139770 A JP 2017139770A JP 2019021095 A JP2019021095 A JP 2019021095A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information
- attacker
- communication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Traffic Control Systems (AREA)
Abstract
【課題】複数の移動体が無線通信を行う移動体通信網において、移動体に対する不正な通信を遮断する。【解決手段】サーバ装置と、無線通信網を構成する複数の通信装置と、を含む攻撃監視システムであって、前記サーバ装置が、前記無線通信網に接続された移動体に対する攻撃があった場合に、前記攻撃の発信元に関する情報である攻撃者情報を取得する情報取得手段と、前記攻撃者情報を、複数の前記通信装置間で共有する情報共有手段と、を有し、複数の前記通信装置のそれぞれが、共有された前記攻撃者情報に合致する発信元から発せられた通信を遮断する。【選択図】図1
Description
本発明は、ネットワークにおける攻撃監視技術に関する。
近年、車両に無線通信機能を持たせ、サーバ装置や他の車両との間で無線通信を行って各種のサービスを提供することが検討されている。無線通信網としては、携帯電話網や公衆無線LANを利用することが想定される。
一方、車両がインターネットに接続されることにより、外部ネットワークから車載機等を介して車両内のCANやECUに対する攻撃が行われるおそれがある。
一方、車両がインターネットに接続されることにより、外部ネットワークから車載機等を介して車両内のCANやECUに対する攻撃が行われるおそれがある。
このようなカーテレマティクス環境にある車両への攻撃に対して、車載機側で認証を実行して通信元の信頼性を担保したり、データの送受信時に暗号化を施したりする対策が提案されている(特許文献1および2)。
また、特許文献3には、偽情報による攻撃を通知タイミングに基づいて検知した後、偽情報を受信できないように擬似乱数により生成されたデータによる妨害信号を送信して、他の端末が偽情報を受信できないようにする技術が開示されている。
このような技術を用いることで、ネットワークにおける不正な通信をブロックすることができる。
このような技術を用いることで、ネットワークにおける不正な通信をブロックすることができる。
しかし、カーテレマティクス環境においては、複数の車両に対して無差別な攻撃が行われうる。このような場合、標的となった全ての車両が完全に攻撃に対処できるとは限らない。
一方で、ネットワークの外部から発信された攻撃を検知した場合に、ネットワーク内に不正な通信が侵入しないよう、該当する通信をゲートウェイにおいて遮断する技術が知られている。しかし、カーテレマティクス環境は公衆通信網を利用するため、通信網の内部から攻撃が発せられる場合がある。また、このような攻撃は様々な場所から発せられ得るため、特定のゲートウェイにおいてブロックすることが難しい。
すなわち、従来の技術では、車両に対して発生しうる攻撃に対して十分な対処ができないという課題があった。
すなわち、従来の技術では、車両に対して発生しうる攻撃に対して十分な対処ができないという課題があった。
本発明は上記の課題を考慮してなされたものであり、複数の移動体が無線通信を行う移動体通信網において、移動体に対する不正な通信を遮断することを目的とする。
本発明に係る攻撃監視システムは、サーバ装置と、無線通信網を構成する複数の通信装
置と、を含む攻撃監視システムである。無線通信網は、例えば携帯電話網であってもよいし、公衆無線LANネットワークであってもよい。無線通信網が携帯電話網である場合、例えば携帯電話網の基地局が本発明における通信装置となりうる。また、無線通信網が公衆無線LANネットワークである場合、例えば無線LANアクセスポイントが本発明における通信装置となりうる。もちろん、他の無線通信網および装置に適用することもできる。
置と、を含む攻撃監視システムである。無線通信網は、例えば携帯電話網であってもよいし、公衆無線LANネットワークであってもよい。無線通信網が携帯電話網である場合、例えば携帯電話網の基地局が本発明における通信装置となりうる。また、無線通信網が公衆無線LANネットワークである場合、例えば無線LANアクセスポイントが本発明における通信装置となりうる。もちろん、他の無線通信網および装置に適用することもできる。
本発明に係る攻撃監視システムは、前記サーバ装置が、前記無線通信網に接続された移動体に対する攻撃があった場合に、前記攻撃の発信元に関する情報である攻撃者情報を取得する情報取得手段と、前記攻撃者情報を、複数の前記通信装置間で共有する情報共有手段と、を有し、複数の前記通信装置のそれぞれが、共有された前記攻撃者情報に合致する発信元から発せられた通信を遮断することを特徴とする。
サーバ装置は、無線通信網に接続された移動体に対して行われた攻撃の発信元に関する情報(攻撃者情報)を収集して管理する装置である。攻撃者情報は、攻撃の発信元を識別するための情報であれば、論理アドレス(例えばIPアドレス)や物理アドレス(例えばMACアドレス)など、どのような情報であってもよい。また、攻撃者情報は、攻撃が行われた移動体から取得してもよいし、ネットワーク内に攻撃を検知する装置がある場合、当該装置から取得してもよい。
サーバ装置によって取得された攻撃者情報は、無線通信網を構成する複数の通信装置によって共有される。共有は、例えば、攻撃者情報をブロードキャストすることで行ってもよいし、複数の通信装置がサーバ装置に記憶された攻撃者情報を参照することで行ってもよい。また、通信装置は、共有された攻撃者情報に合致する発信元から発せられた通信を検知した場合に、当該通信を遮断する。
なお、無線通信網を構成する通信装置は、無線通信網の一部を構成する装置であれば、必ずしも無線通信を行う装置でなくてもよい。例えば、対象の通信網が携帯電話網である場合、通信装置は、アクセスネットワークに配置された基地局装置であってもよいし、コアネットワークに配置され、光ファイバー等によって専用網や広域ネットワーク(例えばインターネット)と有線接続された装置であってもよい。
かかる構成によると、無線による移動体通信網において移動体に対して行われた二次攻撃を効率よくブロックすることが可能になる。
なお、無線通信網を構成する通信装置は、無線通信網の一部を構成する装置であれば、必ずしも無線通信を行う装置でなくてもよい。例えば、対象の通信網が携帯電話網である場合、通信装置は、アクセスネットワークに配置された基地局装置であってもよいし、コアネットワークに配置され、光ファイバー等によって専用網や広域ネットワーク(例えばインターネット)と有線接続された装置であってもよい。
かかる構成によると、無線による移動体通信網において移動体に対して行われた二次攻撃を効率よくブロックすることが可能になる。
また、前記情報取得手段は、攻撃が行われた前記移動体から送信された前記攻撃者情報を取得することを特徴としてもよい。
移動体自身が、サーバ装置に対して攻撃されている旨を通知することで、攻撃を検知する装置を無線通信網に置く必要がなくなる。
また、本発明に係る攻撃監視システムは、自装置に対して攻撃が行われたことを検知し、前記無線通信網を介して、前記攻撃者情報を前記サーバ装置に送信する前記移動体をさらに含むことを特徴としてもよい。
このように、本発明は、攻撃を検知する機能を有する移動体をさらに含むシステムとして特定することもできる。
また、前記通信装置は、前記無線通信網における通信トラフィックを監視し、前記攻撃者情報に合致する発信元から発せられた通信を遮断することを特徴としてもよい。
ネットワークを構成する複数の通信装置が、共有された攻撃者情報と一致した発信元か
ら送信された通信を監視することで、攻撃者がどこから攻撃を行った場合であっても、通信をブロックすることができるようになる。例えば、攻撃者が携帯電話網における無線アクセスネットワーク内から攻撃を行おうとした場合、基地局装置において通信を遮断することができる。また、攻撃者が広域ネットワーク(例えばインターネット)から攻撃を行おうとした場合、ネットワークゲートウェイにおいて通信を遮断することができる。すなわち、無線アクセスネットワークに到達する前に通信を遮断することができる。
ら送信された通信を監視することで、攻撃者がどこから攻撃を行った場合であっても、通信をブロックすることができるようになる。例えば、攻撃者が携帯電話網における無線アクセスネットワーク内から攻撃を行おうとした場合、基地局装置において通信を遮断することができる。また、攻撃者が広域ネットワーク(例えばインターネット)から攻撃を行おうとした場合、ネットワークゲートウェイにおいて通信を遮断することができる。すなわち、無線アクセスネットワークに到達する前に通信を遮断することができる。
また、前記攻撃者情報は、前記攻撃を行った端末のIPアドレスまたはMACアドレスの少なくともいずれかであることを特徴としてもよい。
かかる構成によると、攻撃者が移動し、基地局間でハンドオーバーしたような場合であっても、引き続きブロックを続けることができる。
また、前記情報共有手段は、前記無線通信網を構成する複数の前記通信装置に、前記攻撃者情報を周期的に送信することを特徴としてもよい。
複数の通信装置に対して攻撃者情報を周期的にブロードキャストすることで、通信装置が有している攻撃者情報を最新状態に保つことができる。
また、前記無線通信網は、無線アクセスネットワークとコアネットワークで構成される移動体通信網であり、前記無線通信網を構成する前記通信装置は、前記無線アクセスネットワークに配置され、前記移動体との無線通信を行う基地局装置と、前記コアネットワークに配置された通信装置の双方を含むことを特徴としてもよい。
無線通信網を構成する通信装置は、移動体と直接無線通信を行う基地局装置、すなわち、無線アクセスネットワーク(RAN)を構成する通信装置と、無線アクセスネットワークと専用網(または広域ネットワーク)とを結ぶ通信装置、すなわち、コアネットワーク(CN)を構成する通信装置の双方を含んでもよい。これにより、携帯電話網などの大規模な無線通信網に発明を適用できるようになる。
また、前記通信装置は、NFV(Network Functions Virtualization)によって動作する仮想マシンであることを特徴としてもよい。
NFVは、汎用ハードウェア上においてネットワーク機能をソフトウェアで実現する技術である。仮想マシンを利用することで、本発明に係る通信装置を低コストで増設することが可能になる。
また、本発明に係る攻撃監視装置は、
無線通信網に接続された移動体に対する攻撃を検知する監視手段と、前記攻撃の発信元に関する情報である攻撃者情報を取得する取得手段と、前記攻撃者情報を、前記無線通信網を構成する複数の通信装置間で共有する共有手段と、を有することを特徴とする。
無線通信網に接続された移動体に対する攻撃を検知する監視手段と、前記攻撃の発信元に関する情報である攻撃者情報を取得する取得手段と、前記攻撃者情報を、前記無線通信網を構成する複数の通信装置間で共有する共有手段と、を有することを特徴とする。
なお、本発明は、上記手段の少なくとも一部を含む攻撃監視システム、攻撃監視装置として特定することができる。また、前記システムや装置が行う攻撃監視方法として特定することもできる。上記処理や手段は、技術的な矛盾が生じない限りにおいて、自由に組み合わせて実施することができる。
本発明によれば、複数の移動体が無線通信を行う移動体通信網において、移動体に対する不正な通信を遮断することができる。
(第一の実施形態)
第一の実施形態に係る攻撃監視システムについて、システム構成図である図1を参照しながら説明する。第一の実施形態に係る攻撃監視システムは、サーバ装置100と、基地局装置300と、車両に搭載された車載端末(車載無線通信装置)400から構成される。
第一の実施形態に係る攻撃監視システムについて、システム構成図である図1を参照しながら説明する。第一の実施形態に係る攻撃監視システムは、サーバ装置100と、基地局装置300と、車両に搭載された車載端末(車載無線通信装置)400から構成される。
第一の実施形態に係る攻撃監視システムは、携帯電話網において移動体に対してなされた攻撃を検知し、同一の攻撃者によってなされた二次攻撃をブロックするシステムである。第一の実施形態に係る攻撃監視システムが対象とする携帯電話網は、無線アクセスネットワーク(RAN)と、コアネットワーク(CN)によって構成される。無線アクセスネットワークは、携帯電話端末、無線基地局装置などによって構成される無線ネットワークである。また、コアネットワークは、無線アクセスネットワークを専用網や広域ネットワーク(インターネット)に接続するためのバックボーンネットワークである。本明細書においては、コアネットワークと無線アクセスネットワークを総称して携帯電話網と称する。
車載端末400は、無線通信機能を有し、運転者に対する情報提供や運転の補助などを行う装置である。車載端末400は、携帯電話網を介して専用網や広域ネットワークにアクセスすることで、任意の情報ソースから情報を取得することが可能な構成となっている。また、専用網を介してサーバ装置100との通信が可能な構成となっている。車載端末400は、携帯電話網を介した通信だけでなく、車々間通信などによって他の車両と通信を行う機能を有していてもよい。
車載端末400は、自端末に対して行われた攻撃を検知する機能を有している。例えば、車載端末400は、トラフィック負荷の計測や、通信パケットの中身を解析することによって攻撃を検知する。攻撃の検知手法は特に限定されず、既知の任意の手法を利用することができる。例えば、複数回の認証失敗、不正なデータ送受信タイミング、暗号データの復号失敗などを検出することで、攻撃を検知してもよい。
車載端末400は、攻撃を検知した場合に、通信パケットの発信元アドレスといった、攻撃者が用いている端末(以下、攻撃者端末)に固有の情報を収集し、後述するサーバ装置100へ送信する機能を有している。攻撃者端末に固有の情報とは、攻撃者端末の気付IPアドレス(ネットワークへの接続に用いているグローバルIPアドレス)などであるが、これ以外の情報もあってもよい。例えば、攻撃者端末を収容している無線基地局のID、攻撃の種別、攻撃を検知した日時、攻撃の履歴などを含んでいてもよい。
以降、車載端末400が、サーバ装置100へ攻撃があったことを通知するデータを攻撃検知情報と称する。なお、攻撃検知情報には、自端末(すなわち、攻撃を受けた車載端末)に関する情報を含ませてもよい。例えば、自端末を収容している無線基地局のID、自端末の気付IPアドレスなどを付加してもよい。
以降、車載端末400が、サーバ装置100へ攻撃があったことを通知するデータを攻撃検知情報と称する。なお、攻撃検知情報には、自端末(すなわち、攻撃を受けた車載端末)に関する情報を含ませてもよい。例えば、自端末を収容している無線基地局のID、自端末の気付IPアドレスなどを付加してもよい。
サーバ装置100は、車載端末400から送信された攻撃検知情報を管理するサーバ装
置である。サーバ装置100は、携帯電話網に接続された複数の車載端末400から、攻撃検知情報を受信し、当該攻撃検知情報をデータベースによって管理する。また、当該データベースの内容(すなわち、認識された攻撃者に関する情報)を、無線通信網を構成する複数の通信装置に対して周期的に配布する。なお、データベースから抽出された情報(すなわち、システムが検知した全ての攻撃者に関するリスト)を、攻撃者リストと称する。
置である。サーバ装置100は、携帯電話網に接続された複数の車載端末400から、攻撃検知情報を受信し、当該攻撃検知情報をデータベースによって管理する。また、当該データベースの内容(すなわち、認識された攻撃者に関する情報)を、無線通信網を構成する複数の通信装置に対して周期的に配布する。なお、データベースから抽出された情報(すなわち、システムが検知した全ての攻撃者に関するリスト)を、攻撃者リストと称する。
サーバ装置100は、CPUなどの演算プロセッサ、RAMなどの主記憶装置、HDDやSSDやDVD−ROM等の補助記憶装置、有線あるいは無線の通信装置、キーボードやマウスなどの入力装置、ディスプレイなどの表示装置を含むコンピュータとして構成することができる。サーバ装置100は、必ずしも1台のコンピュータから構成される必要はなく、複数台のコンピュータが連携することによって、以下で説明する機能が実現されてもよい。
サーバ装置100は、情報管理部101、攻撃者データベース102、情報配布部103を有して構成される。これらの各機能は、サーバ装置100の演算プロセッサがオペレーティングシステム(OS)やアプリケーションプログラムを実行することによって実現される。
情報管理部101は、車載端末400から送信された攻撃検知情報を取得し、管理する手段(情報取得手段)である。情報管理部101は、後述する攻撃者データベース102にアクセス可能であり、車載端末400から攻撃検知情報が送信された場合に、当該車載端末に対して攻撃を行った端末に関する情報を格納ないし更新する。
図2は、攻撃者データベース102の例である。攻撃者データベースには、例えば、攻撃者端末の物理アドレス(MACアドレス)、攻撃者端末を収容する基地局ID(例えば、携帯電話基地局や公衆無線LANの基地局)、攻撃者端末の気付IPアドレス、攻撃を検知した日時、情報が更新された日時などが含まれる。
攻撃者データベースに記録された情報から、攻撃者端末を一意に特定するための情報(キー)として、例えば、物理アドレスを用いることができる。例えば、攻撃検知情報が送信されたタイミングで、対応する物理アドレスが記録されたレコードが既にある場合、該当するレコードを更新する(例えば、収容基地局ID、気付IPアドレスなど、動的に変化する項目を更新する)ようにしてもよい。また、物理アドレスが取得できない場合、収容基地局IDと気付IPアドレスの組をキーとして扱ってもよい。
なお、情報管理部101は、攻撃検知情報を受信した場合に、さらなる情報を収集してもよい。例えば、コアネットワークや無線アクセスネットワークを構成する通信装置に対して、攻撃者に関する情報を問い合わせ、取得した情報を格納するようにしてもよい。例えば、攻撃検知情報に含まれる攻撃者端末の気付IPアドレスを受信し、当該IPアドレスに基づいて、攻撃者端末が接続している基地局装置のIDを特定してもよい。また、攻撃者端末が接続している基地局装置に対して問い合わせを行い、攻撃者端末のMACアドレスを取得するようにしてもよい。
情報配布部103は、攻撃者データベース102に記録された情報を、無線通信網を構成する複数の通信装置に対して配布する手段(情報共有手段)である。情報配布部103は、例えば、攻撃者データベース102にアクセスして攻撃者のリスト(以下、攻撃者リスト)を生成し、専用網を介して、他の通信装置に攻撃者リストを送信する。本実施形態では、攻撃者リストが、無線アクセスネットワークを構成する複数の基地局装置300へ送信される。
次に、基地局装置300について説明する。
基地局装置300は、無線アクセスネットワークを構成する携帯電話基地局である。なお、図1には一つの無線アクセスネットワーク、一つの基地局装置300が示されているが、無線アクセスネットワークは複数であってもよいし、複数の基地局装置300が同一の無線アクセスネットワーク内に存在してもよい。
基地局装置300は、無線アクセスネットワークを構成する携帯電話基地局である。なお、図1には一つの無線アクセスネットワーク、一つの基地局装置300が示されているが、無線アクセスネットワークは複数であってもよいし、複数の基地局装置300が同一の無線アクセスネットワーク内に存在してもよい。
基地局装置300は、受信増幅器・送信増幅器・変復調装置(いずれも不図示)といった、無線通信に必要な装置を有しており、これらの装置により、既知の通信方式(例えば、携帯電話網において利用される3G,LTE等)を用いて車載端末400との通信を行う。
また、第一の実施形態では、基地局装置300が監視装置301を有している。監視装置301は、サーバ装置100によって配布された攻撃者リストを一時的に記憶し、リストに存在する攻撃者情報に合致する発信元から発せられた通信を遮断する装置である。なお、監視装置301は、独立したハードウェアを有する装置であってもよいし、汎用コンピュータ上で動作するソフトウェアであってもよい。
また、第一の実施形態では、基地局装置300が監視装置301を有している。監視装置301は、サーバ装置100によって配布された攻撃者リストを一時的に記憶し、リストに存在する攻撃者情報に合致する発信元から発せられた通信を遮断する装置である。なお、監視装置301は、独立したハードウェアを有する装置であってもよいし、汎用コンピュータ上で動作するソフトウェアであってもよい。
なお、第一の実施形態では、基地局装置300は携帯電話基地局であるが、携帯電話網以外を利用する場合、基地局装置300として任意の無線通信装置を利用できる。例えば、複数の路側通信装置(RSU)が道路沿いに設置され、当該複数の路側通信装置が車両と通信する移動体通信網を利用する場合、当該路側通信装置を基地局装置300とすることができる。なお、当該移動体通信網は、路側通信装置と車載端末間で行う無線通信(路車間通信)に加え、車載端末間で行う無線通信(車々間通信)によってネットワークを形成するものであってもよい。
また、公衆無線LANネットワークを利用する場合、無線LANのアクセスポイントを基地局装置300とすることができる。
また、公衆無線LANネットワークを利用する場合、無線LANのアクセスポイントを基地局装置300とすることができる。
<処理フローチャート>
次に、第一の実施形態に係る攻撃監視システムにおける処理の流れについて、図3を参照して説明する。なお、第一の実施形態では、攻撃者が無線アクセスネットワーク内から攻撃を行う形態について述べる。
次に、第一の実施形態に係る攻撃監視システムにおける処理の流れについて、図3を参照して説明する。なお、第一の実施形態では、攻撃者が無線アクセスネットワーク内から攻撃を行う形態について述べる。
攻撃者が、車載端末400に対して攻撃を行うと、基地局装置300を介して攻撃パケットが車載端末400に送信される。
車載端末400が攻撃を検知すると、ステップS11で、攻撃検知情報がサーバ装置10(情報管理部101)へ送信される。前述したように、送信される攻撃検知情報には、攻撃対象の車載端末400の気付IPアドレス、攻撃者端末の気付IPアドレス、攻撃の種別、攻撃の履歴などが含まれる。なお、攻撃対象が個々の車載端末ではなく、ネットワーク全体である場合、IPアドレスの代わりに、攻撃されている無線基地局のIDを含ませてもよい。
車載端末400が攻撃を検知すると、ステップS11で、攻撃検知情報がサーバ装置10(情報管理部101)へ送信される。前述したように、送信される攻撃検知情報には、攻撃対象の車載端末400の気付IPアドレス、攻撃者端末の気付IPアドレス、攻撃の種別、攻撃の履歴などが含まれる。なお、攻撃対象が個々の車載端末ではなく、ネットワーク全体である場合、IPアドレスの代わりに、攻撃されている無線基地局のIDを含ませてもよい。
攻撃検知情報を受信したサーバ装置100は、ステップS12で、受信した情報に基づいて攻撃者データベース102のアップデートを行う。ここで、同一の攻撃者に関する情報が攻撃者データベースに存在しない場合、新たなレコードを生成して追加してもよいし、同一の攻撃者に関する情報が攻撃者データベースに存在する場合、既存のレコードを更新してもよい。
次に、ステップS13で、情報配布部103が、攻撃者データベース102に記録されている情報に基づいて攻撃者リストを生成し、生成した攻撃者リストを、無線アクセスネットワーク内に存在する全ての基地局装置300へ送信する。攻撃者リストは、攻撃者デ
ータベースと同様の項目を有するリストである。これにより、全ての基地局装置300が有する監視装置301が、同一の攻撃者リストを共有することとなる。
なお、ステップS13は、ステップS11〜S12のタイミングとは独立して周期的に実行されてもよい。
ータベースと同様の項目を有するリストである。これにより、全ての基地局装置300が有する監視装置301が、同一の攻撃者リストを共有することとなる。
なお、ステップS13は、ステップS11〜S12のタイミングとは独立して周期的に実行されてもよい。
複数の基地局装置300が有する監視装置301は、受信した攻撃者リストを一時的に記憶し、攻撃者リストに含まれる攻撃者情報に合致する発信元から発せられた通信を検知すると、これを遮断する(ステップS14)。例えば、攻撃者端末のものとして認識されたMACアドレスを発信元とする通信があった場合に、該当するパケットのリレーを拒否する。これにより、攻撃者が有する端末は、無線アクセスネットワークに接続することができなくなるため、二次攻撃が不可能となる。また、当該動作は、無線アクセスネットワーク内の全ての基地局装置が行うため、攻撃者端末がハンドオーバーした場合であっても、一切の通信を拒絶することが可能になる。
なお、ここではMACアドレスを例示したが、MACアドレス以外の情報を用いて、攻撃者端末が同一であることを判定してもよい。
なお、ここではMACアドレスを例示したが、MACアドレス以外の情報を用いて、攻撃者端末が同一であることを判定してもよい。
なお、一般的に、通信網を介した攻撃は、攻撃を成功させるため、また、検知されにくくするため、時間の経過とともに異なるパターンに変化することが多い。これに対処するためには、既知の攻撃データを分析し、変化の予測に活かすことや、対処方法の立案を行うことが推奨される。そこで、本実施形態では、監視装置301が、通信を遮断した場合に、遮断した通信の内容(パケット)を、自装置が有する攻撃データベースに記録する。攻撃データベースは、システムの管理者によって定期的にエクスポートされ、攻撃検知の高精度化(攻撃パターンの学習)や、攻撃対策の立案の用に供される。また、攻撃データベースは、攻撃の証拠としても利用できる。
以上説明したように、第一の実施形態によると、無線アクセスネットワークに接続した車載端末に対して攻撃がなされた場合に、攻撃者に関する情報をサーバ装置100に集約し、無線アクセスネットワークを構成する全ての基地局装置によって共有させる。かかる構成によると、攻撃者端末が基地局装置を介して無線アクセスネットワークに接続することができなくなるため、二次攻撃を防ぐことができる。
なお、ステップS14にて二次攻撃を遮断した場合、監視装置301が、攻撃者端末の現在の状態に関する情報を取得し、サーバ装置100に送信するようにしてもよい。例えば、攻撃者端末を収容している基地局装置(すなわち自基地局装置)のIDや気付IPアドレスをサーバ装置100へ送信し、サーバ装置100が、これに応答して攻撃者データベース102をアップデートするようにしてもよい。かかる構成によると、攻撃者がハンドオーバーしても追跡できるようになるため、不正な通信をより精度よくブロックできるようになる。
また、攻撃者データベース102のアップデートは、攻撃以外をトリガとして行ってもよい。例えば、全ての基地局装置300が、攻撃者リストに記録された端末を追跡し、ハンドオーバーが発生するごとに、攻撃者端末の現在の状態に関する情報を取得し、サーバ装置100に送信するようにしてもよい。
(第二の実施形態)
第二の実施形態に係る攻撃監視システムについて、システム構成図である図4を参照しながら説明する。第二の実施形態に係る攻撃監視システムは、サーバ装置100と、コアネットワークを構成する通信装置200と、車両に搭載された車載端末400から構成される。
第二の実施形態に係る攻撃監視システムについて、システム構成図である図4を参照しながら説明する。第二の実施形態に係る攻撃監視システムは、サーバ装置100と、コアネットワークを構成する通信装置200と、車両に搭載された車載端末400から構成される。
第二の実施形態では、基地局装置300の代わりに、コアネットワークを構成する通信装置200が構成要素となる。通信装置200は、コアネットワーク内においてユーザデータの中継を行う装置(SGW:Serving Gateway)であってもよいし、コアネットワー
クと外部に接続されたIPネットワーク(例えばインターネット)とを接続するゲートウェイ(PGW:Packet Data Network Gateway)であってもよい。なお、図4では一台の
通信装置200を図示しているが、通信装置200は複数あってもよい。
クと外部に接続されたIPネットワーク(例えばインターネット)とを接続するゲートウェイ(PGW:Packet Data Network Gateway)であってもよい。なお、図4では一台の
通信装置200を図示しているが、通信装置200は複数あってもよい。
第二の実施形態では、通信装置200が監視装置201を有している。監視装置201は、サーバ装置100によって配布された攻撃者リストを一時的に記憶し、リストに存在する攻撃者情報に合致する発信元から発せられた通信を遮断する装置である。なお、通信装置200ないし監視装置201は、独立したハードウェアを有する装置であってもよいし、汎用コンピュータ上で動作するソフトウェアであってもよい。
次に、第二の実施形態に係る攻撃監視システムにおける処理の流れについて、図5を参照して説明する。なお、第二の実施形態では、攻撃者が、広域ネットワーク(インターネット)上から攻撃を行う形態について述べる。
攻撃者が、車載端末400に対して攻撃を行うと、攻撃パケットが、通信装置200および基地局装置300を介して車載端末400に送信される。
車載端末400が攻撃を検知すると、第一の実施形態と同様に、ステップS11で、攻撃検知情報がサーバ装置100(情報管理部101)へ送信される。本ステップの処理は、第一の実施形態と同様であるため、詳細な説明は省略する。
車載端末400が攻撃を検知すると、第一の実施形態と同様に、ステップS11で、攻撃検知情報がサーバ装置100(情報管理部101)へ送信される。本ステップの処理は、第一の実施形態と同様であるため、詳細な説明は省略する。
攻撃検知情報を受信したサーバ装置100は、ステップS12で、受信した情報に基づいて攻撃者データベース102のアップデートを行う。本ステップの処理は、第一の実施形態と同様であるため、詳細な説明は省略する。
次に、ステップS13で、情報配布部103が、攻撃者データベース102に記録されている情報に基づいて攻撃者リストを生成し、生成した攻撃者リストを、コアネットワーク内に存在する全ての通信装置200へ送信する。これにより、全ての通信装置200が有する監視装置201が、同一の攻撃者リストを共有することとなる。
複数の通信装置200が有する監視装置201は、受信した攻撃者リストを一時的に記憶し、攻撃者リストに含まれる攻撃者情報に合致する発信元から発せられた通信を検知すると、これを遮断する。例えば、攻撃者端末のものとして認識されたMACアドレスを発信元とする通信があった場合に、該当するパケットのリレーを拒否する。これにより、攻撃者が有する端末から発せられた通信は、コアネットワークを通過することができなくなる。また、当該動作は、コアネットワーク内の全ての通信装置が行うため、インターネットを発信元とした、攻撃者から発せられた一切の通信を拒絶することが可能になる。
なお、監視装置201は、通信を遮断した場合に、攻撃においてどのような通信が試みられたかを記録するため、遮断した通信の内容(パケット)を、自装置が有する攻撃データベースに記録するようにしてもよい。
以上説明したように、第二の実施形態によると、無線アクセスネットワークに接続した車載端末に対して攻撃がなされた場合に、攻撃者に関する情報をサーバ装置100に集約し、コアネットワークを構成する全ての通信装置によって共有させる。かかる構成によると、攻撃者端末がコアネットワークを介して無線アクセスネットワークに接続することができなくなるため、二次攻撃を防ぐことができる。
なお、第二の実施形態では、ハードウェアとしての通信装置200を例示したが、通信装置200はソフトウェアによって実現されてもよい。例えば、汎用コンピュータにおいて実行される仮想マシンによって通信装置200を実現してもよい。また、当該通信装置200は、仮想ネットワーク(NFV)上に配置されていてもよい。このように、装置やネットワークを仮想化することで、ネットワークを提供する事業者ごとに攻撃監視サービスを提供できるようになる。
(変形例)
上記の実施形態はあくまでも一例であって、本発明はその要旨を逸脱しない範囲内で適宜変更して実施しうる。例えば、各実施形態を組み合わせて実施してもよい。
例えば、第一の実施形態と第二の実施形態を組み合わせ、監視装置201と監視装置301の双方を利用して通信トラフィックを監視し、不正な通信を遮断するようにしてもよい。
上記の実施形態はあくまでも一例であって、本発明はその要旨を逸脱しない範囲内で適宜変更して実施しうる。例えば、各実施形態を組み合わせて実施してもよい。
例えば、第一の実施形態と第二の実施形態を組み合わせ、監視装置201と監視装置301の双方を利用して通信トラフィックを監視し、不正な通信を遮断するようにしてもよい。
また、実施形態の説明では、携帯電話網を例示したが、本発明において利用可能な無線通信網はこれに限られず、任意の無線通信網を利用してもよい。例えば、公衆無線LANネットワークであってもよいし、路側通信装置と車両とが通信を行う移動体通信ネットワークであってもよい。また、他の無線ネットワークであってもよい。
また、実施形態の説明では、移動体として車両(車載端末)を挙げたが、車両あるいは車載端末以外の無線通信装置を用いてもよい。例えば、スマートフォン端末、移動型ロボット、IoT(Internet of Things)機器、ドローン(無人航空機)などが対象であってもよい。
また、本発明が対象とする攻撃は、例えば、移動体に対する不正なアクセスを試みるものであってもよいが、移動体のネットワーク通信を妨げる目的で行われるもの(例えばDDOS攻撃等)であってもよい。
また、情報管理部101が、攻撃者データベース102のメンテナンスを行うようにしてもよい。例えば、最後の攻撃から所定の時間が経過したレコードを削除するなどしてもよい。
100:サーバ装置
101:情報管理部
102:攻撃者データベース
103:情報配布部
200:通信装置
201:監視装置
300:基地局装置
301:監視装置
101:情報管理部
102:攻撃者データベース
103:情報配布部
200:通信装置
201:監視装置
300:基地局装置
301:監視装置
Claims (10)
- サーバ装置と、無線通信網を構成する複数の通信装置と、を含む攻撃監視システムであって、
前記サーバ装置が、
前記無線通信網に接続された移動体に対する攻撃があった場合に、前記攻撃の発信元に関する情報である攻撃者情報を取得する情報取得手段と、
前記攻撃者情報を、複数の前記通信装置間で共有する情報共有手段と、を有し、
複数の前記通信装置のそれぞれが、共有された前記攻撃者情報に合致する発信元から発せられた通信を遮断する、
攻撃監視システム。 - 前記情報取得手段は、攻撃が行われた前記移動体から送信された前記攻撃者情報を取得する、
請求項1に記載の攻撃監視システム。 - 自装置に対して攻撃が行われたことを検知し、前記無線通信網を介して、前記攻撃者情報を前記サーバ装置に送信する前記移動体をさらに含む、
請求項1または2に記載の攻撃監視システム。 - 前記通信装置は、前記無線通信網における通信トラフィックを監視し、前記攻撃者情報に合致する発信元から発せられた通信を遮断する、
請求項1から3のいずれかに記載の攻撃監視システム。 - 前記攻撃者情報は、前記攻撃を行った端末のIPアドレスまたはMACアドレスの少なくともいずれかである、
請求項1から4のいずれかに記載の攻撃監視システム。 - 前記情報共有手段は、前記無線通信網を構成する複数の前記通信装置に、前記攻撃者情報を周期的に送信する、
請求項1から5のいずれかに記載の攻撃監視システム。 - 前記無線通信網は、無線アクセスネットワークとコアネットワークで構成される移動体通信網であり、
前記無線通信網を構成する前記通信装置は、前記無線アクセスネットワークに配置され、前記移動体との無線通信を行う基地局装置と、前記コアネットワークに配置された通信装置の双方を含む、
請求項1から6のいずれかに記載の攻撃監視システム。 - 前記通信装置は、NFV(Network Functions Virtualization)によって動作する仮想マシンである、
請求項1から7のいずれかに記載の攻撃監視システム。 - 無線通信網に接続された移動体に対する攻撃を検知する監視手段と、
前記攻撃の発信元に関する情報である攻撃者情報を取得する取得手段と、
前記攻撃者情報を、前記無線通信網を構成する複数の通信装置間で共有する共有手段と、
を有する、攻撃監視装置。 - サーバ装置と、無線通信網を構成する複数の通信装置と、が行う攻撃監視方法であって
、
前記サーバ装置が、
前記無線通信網に接続された移動体に対する攻撃があった場合に、前記攻撃の発信元に関する情報である攻撃者情報を取得する情報取得ステップと、
前記攻撃者情報を、複数の前記通信装置間で共有する情報共有ステップと、
を実行し、
複数の前記通信装置のそれぞれが、共有された前記攻撃者情報に合致する発信元から発せられた通信を遮断する、
攻撃監視方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017139770A JP6669138B2 (ja) | 2017-07-19 | 2017-07-19 | 攻撃監視システムおよび攻撃監視方法 |
| US16/035,053 US20190028493A1 (en) | 2017-07-19 | 2018-07-13 | Attack monitoring system and attack monitoring method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017139770A JP6669138B2 (ja) | 2017-07-19 | 2017-07-19 | 攻撃監視システムおよび攻撃監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019021095A true JP2019021095A (ja) | 2019-02-07 |
| JP6669138B2 JP6669138B2 (ja) | 2020-03-18 |
Family
ID=65023283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017139770A Active JP6669138B2 (ja) | 2017-07-19 | 2017-07-19 | 攻撃監視システムおよび攻撃監視方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20190028493A1 (ja) |
| JP (1) | JP6669138B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024014159A1 (ja) * | 2022-07-15 | 2024-01-18 | 住友電気工業株式会社 | 車載装置、路側機、車外装置、セキュリティ管理方法、およびコンピュータプログラム |
| JP7566746B2 (ja) | 2019-02-04 | 2024-10-15 | 802・セキュア・インコーポレーテッド | 無線周波数環境の挙動ベースの監視のためのゼロ・トラスト・ワイヤレス監視システム及び方法 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020065776A1 (ja) * | 2018-09-26 | 2020-04-02 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
| US11444959B2 (en) * | 2018-12-21 | 2022-09-13 | Garrett Transportation I Inc. | Integrated equipment fault and cyber attack detection arrangement |
| CN112839007B (zh) * | 2019-11-22 | 2022-11-01 | 深圳布洛城科技有限公司 | 一种网络攻击的防御方法及装置 |
| US11588850B2 (en) * | 2020-04-13 | 2023-02-21 | At&T Intellectual Property I, L.P. | Security techniques for 5G and next generation radio access networks |
| CN116438496A (zh) * | 2020-11-20 | 2023-07-14 | 松下电器(美国)知识产权公司 | 攻击解析装置、攻击解析方法及程序 |
| US11653229B2 (en) | 2021-02-26 | 2023-05-16 | At&T Intellectual Property I, L.P. | Correlating radio access network messages of aggressive mobile devices |
| US11653234B2 (en) | 2021-03-16 | 2023-05-16 | At&T Intellectual Property I, L.P. | Clustering cell sites according to signaling behavior |
| US20220376813A1 (en) * | 2021-05-21 | 2022-11-24 | Qualcomm Incorporated | Cooperative early threat detection and avoidance in c-v2x |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007028268A (ja) * | 2005-07-19 | 2007-02-01 | Kddi Corp | 不正パケットを送信する端末の帯域割当を制限する基地局、システム及び方法 |
| JP2009253461A (ja) * | 2008-04-02 | 2009-10-29 | Nec Corp | ネットワーク、通信管理装置、有線スイッチ、無線コントローラ、不正通信の遮断方法およびプログラム |
| US20130205361A1 (en) * | 2012-02-02 | 2013-08-08 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| JP2015136107A (ja) * | 2014-01-06 | 2015-07-27 | アーガス サイバー セキュリティ リミテッド | グローバル自動車安全システム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| WO2009041686A1 (ja) * | 2007-09-28 | 2009-04-02 | Nippon Telegraph And Telephone Corporation | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| US8856924B2 (en) * | 2012-08-07 | 2014-10-07 | Cloudflare, Inc. | Mitigating a denial-of-service attack in a cloud-based proxy service |
| US10367827B2 (en) * | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
| US20150350229A1 (en) * | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
| JP6432210B2 (ja) * | 2014-08-22 | 2018-12-05 | 富士通株式会社 | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム |
| US10091219B2 (en) * | 2015-05-14 | 2018-10-02 | SunStone Information Defense, Inc. | Methods and apparatus for detecting remote control of a client device |
-
2017
- 2017-07-19 JP JP2017139770A patent/JP6669138B2/ja active Active
-
2018
- 2018-07-13 US US16/035,053 patent/US20190028493A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007028268A (ja) * | 2005-07-19 | 2007-02-01 | Kddi Corp | 不正パケットを送信する端末の帯域割当を制限する基地局、システム及び方法 |
| JP2009253461A (ja) * | 2008-04-02 | 2009-10-29 | Nec Corp | ネットワーク、通信管理装置、有線スイッチ、無線コントローラ、不正通信の遮断方法およびプログラム |
| US20130205361A1 (en) * | 2012-02-02 | 2013-08-08 | Juniper Networks, Inc. | Dynamic threat protection in mobile networks |
| JP2015136107A (ja) * | 2014-01-06 | 2015-07-27 | アーガス サイバー セキュリティ リミテッド | グローバル自動車安全システム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7566746B2 (ja) | 2019-02-04 | 2024-10-15 | 802・セキュア・インコーポレーテッド | 無線周波数環境の挙動ベースの監視のためのゼロ・トラスト・ワイヤレス監視システム及び方法 |
| WO2024014159A1 (ja) * | 2022-07-15 | 2024-01-18 | 住友電気工業株式会社 | 車載装置、路側機、車外装置、セキュリティ管理方法、およびコンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190028493A1 (en) | 2019-01-24 |
| JP6669138B2 (ja) | 2020-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6669138B2 (ja) | 攻撃監視システムおよび攻撃監視方法 | |
| US20240348635A1 (en) | System and method for providing fleet cyber-security | |
| US9503463B2 (en) | Detection of threats to networks, based on geographic location | |
| JP6968722B2 (ja) | 車載装置、インシデント監視方法 | |
| US12035147B2 (en) | Anomalous access point detection | |
| JP5682083B2 (ja) | 疑わしい無線アクセスポイントの検出 | |
| Sharma et al. | A detailed tutorial survey on VANETs: Emerging architectures, applications, security issues, and solutions | |
| CN108092970B (zh) | 一种无线网络维护方法及其设备、存储介质、终端 | |
| JP6973227B2 (ja) | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム | |
| EP4021052A1 (en) | Pathloss drop trusted agent misbehavior detection | |
| JP2017108351A (ja) | 車載通信装置、異常通知システム及び異常通知方法 | |
| JP7132632B2 (ja) | データ転送システム及びデータ転送方法 | |
| CN108141758A (zh) | 无连接的数据传输 | |
| CN114697945A (zh) | 发现响应消息的生成方法及装置、发现消息的处理方法 | |
| US11336621B2 (en) | WiFiwall | |
| US20220157090A1 (en) | On-vehicle security measure device, on-vehicle security measure method, and security measure system | |
| US10979897B2 (en) | Ranking identity and security posture for automotive devices | |
| Yakan et al. | A novel ai security application function of 5G core network for V2X c-its facilities layer | |
| US20230247435A1 (en) | Apparatuses and methods for identifying suspicious activities in one or more portions of a network or system and techniques for alerting and initiating actions from subscribers and operators | |
| JP6662267B2 (ja) | 攻撃通知システムおよび攻撃通知方法 | |
| JP7276347B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
| Bakhshiyeva et al. | Eavesdropping Attacks on Modern-Day Connected Vehicles and Their Ramifications | |
| Kumar Mishra et al. | Customized score-based security threat analysis in VANET | |
| KR20150119519A (ko) | 평판정보를 활용한 어플리케이션의 권한제어 장치 및 방법 | |
| JP2018097805A (ja) | 攻撃通知システムおよび攻撃通知方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180816 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190611 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190826 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200128 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200210 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6669138 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |