JP2020123307A - セキュリティ装置、攻撃特定方法、及びプログラム - Google Patents

セキュリティ装置、攻撃特定方法、及びプログラム Download PDF

Info

Publication number
JP2020123307A
JP2020123307A JP2019136882A JP2019136882A JP2020123307A JP 2020123307 A JP2020123307 A JP 2020123307A JP 2019136882 A JP2019136882 A JP 2019136882A JP 2019136882 A JP2019136882 A JP 2019136882A JP 2020123307 A JP2020123307 A JP 2020123307A
Authority
JP
Japan
Prior art keywords
attack
abnormality
unit
data
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019136882A
Other languages
English (en)
Inventor
泰生 山本
Yasuo Yamamoto
泰生 山本
直樹 廣部
Naoki Hirobe
直樹 廣部
泰久 渡辺
Yasuhisa Watanabe
泰久 渡辺
徹 小河原
Toru Ogawara
徹 小河原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Omron Tateisi Electronics Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp, Omron Tateisi Electronics Co filed Critical Omron Corp
Priority to PCT/JP2019/045105 priority Critical patent/WO2020158118A1/ja
Publication of JP2020123307A publication Critical patent/JP2020123307A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】機器ネットワークにセキュリティ攻撃を受けた場合、その攻撃を負荷の軽減された処理で特定することができるセキュリティ装置を提供すること。【解決手段】機器ネットワークに含まれるセキュリティ装置であって、前記機器ネットワークに対する攻撃により発生した異常を検出する異常検出部、検出された前記異常のデータを収集する異常データ収集部、収集された前記異常のデータを保持する異常データ保持部、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成される、前記攻撃毎の異常検出パターンを保持する異常検出パターン保持部、及び前記異常データ保持部に保持された前記異常のデータと、前記異常検出パターン保持部に保持されている前記異常検出パターンとに基づいて、前記異常に対応する前記攻撃の種類を特定する攻撃特定部を装備する。【選択図】 図2

Description

本発明は、セキュリティ装置、攻撃特定方法、及びプログラムに関する。
特許文献1には、クラウド上の異常検知サーバが、各車両から車載ネットワークで受信されたフレームについての情報等を集積し、機械学習等により所定モデルを調整し、ある車載ネットワークで受信されたフレームについての異常度を、そのフレームについての情報と所定モデルとの比較に係る演算処理により算定するシステムが開示されている。
特許文献1記載の異常検知サーバによれば、異常度を算定することにより、様々な攻撃フレームへの適切な対処が可能となり得るとしている。
[発明が解決しようとする課題]
しかしながら、特許文献1記載の発明では、車両と異常検知サーバとの間で通信を行う必要があるため、攻撃フレームへの適切な対処(インシデント対応)を車両単体で完結することができず、また、通信を介すため、発生した攻撃に対するインシデント対応が遅れる場合もあり、また、通信できない状況となった場合、そもそも異常度の算定やインシデント対応を行うことができないという課題があった。
また、異常検知サーバで実行される処理量は膨大であり、このような異常検知サーバの機能を車両に搭載しようとした場合、車両に搭載される装置の処理能力面、コスト面で実現が困難であるという課題があった。
特開2017−111796号公報
課題を解決するための手段及びその効果
本発明は上記課題に鑑みなされたものであって、1以上の機器が通信路を介して接続された機器ネットワークに対してセキュリティ攻撃を受けた場合、その攻撃の種類を負荷が軽減された処理で特定することができ、迅速なインシデント対応を可能とするセキュリティ装置、攻撃特定方法、及びプログラムを提供することを目的としている。
上記目的を達成するために本開示に係るセキュリティ装置(1)は、1以上の機器が通信路を介して接続された機器ネットワークに含まれるセキュリティ装置であって、
前記機器ネットワークに対する攻撃により発生した異常を検出する異常検出部と、
該異常検出部により検出された前記異常のデータを収集する異常データ収集部と、
該異常データ収集部により収集された前記異常のデータを保持する異常データ保持部と、
複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成される、前記攻撃の種類ごとの異常検出パターンを保持する異常検出パターン保持部と、
前記異常データ保持部に保持された前記異常のデータと、前記異常検出パターン保持部に保持されている前記異常検出パターンとに基づいて、前記異常に対応する前記攻撃の種類を特定する攻撃特定部とを備えていることを特徴としている。
上記セキュリティ装置(1)によれば、前記異常検出部により前記異常が検出され、検出された前記異常のデータが前記異常データ収集部により収集され、収集された前記異常のデータが前記異常データ保持部に保持される。そして、前記攻撃特定部によって、前記異常に対応する前記攻撃の種類が特定される。したがって、前記機器ネットワークが前記攻撃を受けた場合に、当該セキュリティ装置単体で、前記攻撃の種類を特定することができる。また、前記攻撃の種類の特定には、前記攻撃の種類ごとに規定された前記異常検出パターンを用いるので、機械学習等の処理量が膨大で高負荷の異常分析を行うことなく、負荷が軽減された処理によって、前記攻撃の種類を特定することができる。なお、前記通信路は、有線の通信路であってもよいし、無線の通信路であってもよいし、有線と無線とを含む通信路であってもよい。
また本開示に係るセキュリティ装置(2)は、上記セキュリティ装置(1)において、
前記複数の異常検出項目それぞれに対する重み付け値の組み合わせデータを含んで構成される、前記攻撃の種類ごとの攻撃推定パターンを保持する攻撃推定パターン保持部と、
前記攻撃特定部により前記攻撃の種類を特定することができなかった場合に、前記異常データ保持部に保持された前記異常のデータと、前記攻撃推定パターン保持部に保持されている前記攻撃推定パターンとに基づいて、前記異常に対応する前記攻撃の種類を推定する攻撃推定部とを備えていることを特徴としている。
上記セキュリティ装置(2)によれば、前記攻撃特定部により前記攻撃の種類を特定することができなかった場合であっても、前記攻撃推定部によって、前記異常に対応する前記攻撃の種類を推定することができる。また、前記攻撃の種類の推定には、前記攻撃の種類ごとに規定された前記攻撃推定パターンを用いるので、機械学習等の処理量が膨大で高負荷の異常分析を行うことなく、負荷が軽減された処理によって、前記攻撃が既知のいずれの攻撃に類似しているのかを推定することができる。
また本開示に係るセキュリティ装置(3)は、上記セキュリティ装置(1)において、
前記異常データ保持部に保持される前記異常のデータが、
前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータを含み、
前記攻撃特定部が、
前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータと、前記異常検出パターンとを照合して、前記異常に対応する前記攻撃の種類を特定するものであることを特徴としている。
上記セキュリティ装置(3)によれば、前記攻撃特定部が、前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータと、前記異常検出パターンとを照合する(換言すれば、マッチングする)ことによって、前記異常に対応する前記攻撃の種類が特定される。したがって、低負荷の処理によって、前記攻撃の種類を迅速に特定することができる。
また本開示に係るセキュリティ装置(4)は、上記セキュリティ装置(2)において、
前記異常データ保持部に保持される前記異常のデータが、
前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータを含み、
前記攻撃推定パターンが、
前記重み付け値の組み合わせデータの和を示す第1合計値を含み、
前記攻撃推定部が、
前記攻撃の種類ごとに、前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータと前記重み付け値との積の和を示す第2合計値を算出する第1算出部と、
前記攻撃の種類ごとに、前記第1合計値と前記第2合計値との一致率を算出する第2算出部と、
該第2算出部により算出された前記一致率に基づいて、前記異常に対応する前記攻撃の種類を推定する推定部とを備えていることを特徴としている。
上記セキュリティ装置(4)によれば、前記攻撃推定部によって、前記攻撃の種類ごとに前記第2合計値が算出され、前記攻撃の種類ごとの前記第1合計値と前記第2合計値との一致率が算出され、算出された前記一致率に基づいて、前記異常に対応する前記攻撃の種類が推定される。したがって、低負荷の処理によって、前記攻撃が、既知のいずれの攻撃に最も類似しているのかを迅速に推定することができる。
また本開示に係るセキュリティ制御部(5)は、上記セキュリティ装置(1)〜(4)のいずれかにおいて、
前記通信路を介して受信したメッセージが正常である場合における、前記複数の異常検出項目それぞれの正常値を保持するメッセージ正常値保持部を備え、
前記複数の異常検出項目には、前記メッセージの異常に関する1以上の項目を含み、
前記異常検出部が、
前記メッセージ正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記攻撃によるメッセージ異常を検出するメッセージ異常検出部を備え、
前記異常データ収集部が、
前記メッセージ異常検出部で検出された前記メッセージ異常のデータを収集するものであることを特徴としている。
上記セキュリティ装置(5)によれば、前記メッセージ正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記メッセージ異常が検出されるので、前記複数の異常検出項目の数が多い場合であっても、負荷が軽減された処理で、前記メッセージ異常を迅速に検出することができる。また、前記攻撃特定部では、前記メッセージ異常に対応する前記攻撃の種類を迅速に特定することが可能となり、前記攻撃推定部では、前記メッセージ異常に対応する前記攻撃の種類を迅速に推定することが可能となる。
また本開示に係るセキュリティ制御部(6)は、上記セキュリティ装置(1)〜(5)のいずれかにおいて、
前記通信路の状態が正常である場合における、前記複数の異常検出項目それぞれの正常値を保持する通信路正常値保持部を備え、
前記複数の異常検出項目には、前記通信路の異常に関する1以上の項目を含み、
前記異常検出部が、
前記通信路正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記攻撃による通信路異常を検出する通信路異常検出部を備え、
前記異常データ収集部が、
前記通信路異常検出部で検出された前記通信路異常のデータを収集するものであることを特徴としている。
上記セキュリティ装置(6)によれば、前記通信路正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記通信路異常が検出されるので、前記複数の異常検出項目の数が多い場合であっても、負荷が軽減された処理で、前記通信路異常を迅速に検出することができる。また、前記攻撃特定部では、前記通信路異常に対応する前記攻撃の種類を迅速に特定することが可能となり、前記攻撃推定部では、前記通信路異常に対応する前記攻撃の種類を迅速に推定することが可能となる。
また本開示に係るセキュリティ制御部(7)は、上記セキュリティ装置(1)〜(6)のいずれかにおいて、
当該セキュリティ装置の内部処理が正常である場合における、前記複数の異常検出項目それぞれの正常値を保持する内部処理正常値保持部を備え、
前記複数の異常検出項目には、前記内部処理の異常に関する1以上の項目を含み、
前記異常検出部が、
前記内部処理正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記内部処理の異常を検出する内部処理異常検出部を備え、
前記異常データ収集部が、
前記内部処理異常検出部で検出された前記内部処理の異常のデータを収集するものであることを特徴としている。
上記セキュリティ装置(7)によれば、前記内部処理正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記内部処理の異常(以下、内部処理異常ともいう)が検出されるので、前記複数の異常検出項目の数が多い場合であっても、負荷が軽減された処理で、前記内部処理異常を迅速に検出することができる。また、前記攻撃特定部では、前記内部処理異常に対応する前記攻撃の種類を迅速に特定することが可能となり、前記攻撃推定部では、前記内部処理異常に対応する前記攻撃の種類を迅速に推定することが可能となる。したがって、前記通信路や該通信路を介して受信したメッセージからでは検出できないような前記攻撃による異常を前記内部処理異常に基づいて特定したり、推定したりすることが可能となり、より多様な種類の攻撃の特定又は推定を行うことが可能となる。
また本開示に係るセキュリティ装置(8)は、上記セキュリティ装置(1)〜(7)のいずれかにおいて、
前記異常データ収集部が、
前記異常検出部により前記異常が検出されてから所定時間内に検出された前記異常のデータを収集するものであることを特徴としている。
上記セキュリティ装置(8)によれば、前記異常データ収集部によって、前記異常が検出されてから所定時間内に検出された前記異常のデータが収集される。したがって、前記所定時間内に検出された前記異常のデータを用いることによって、前記攻撃特定部による前記攻撃の種類の特定精度を高めることができ、また、前記攻撃推定部による前記攻撃の種類の推定精度を高めることができる。
また本開示に係るセキュリティ装置(9)は、上記セキュリティ装置(1)〜(8)のいずれかにおいて、前記異常データ収集部により収集された前記異常のデータを異常ログとして蓄積する異常ログ蓄積部を備えていることを特徴としている。
上記セキュリティ装置(9)によれば、前記異常ログ蓄積部に前記異常のデータが異常ログとして蓄積されるので、前記異常ログ蓄積部に蓄積された前記異常ログを用いて事後解析を行うことが可能となる。
また本開示に係るセキュリティ装置(10)は、上記セキュリティ装置(1)又は(3)において、前記攻撃特定部により前記異常に対応する前記攻撃の種類が特定された場合、特定された前記攻撃の種類に対する対応処理を行う第1インシデント対応部を備えていることを特徴としている。
上記セキュリティ装置(10)によれば、前記第1インシデント対応部によって、前記異常に対応する前記攻撃の種類が特定された場合、特定された前記攻撃の種類に対する対策を迅速に行うことができる。
また本開示に係るセキュリティ装置(11)は、上記セキュリティ装置(2)又は(4)において、前記攻撃推定部により前記異常に対応する前記攻撃の種類が推定された場合、推定された前記攻撃の種類に対する対応処理を行う第2インシデント対応部を備えていることを特徴としている。
上記セキュリティ装置(11)によれば、前記第2インシデント対応部によって、前記異常に対応する前記攻撃の種類が推定された場合、推定された前記攻撃の種類に対する対策を迅速に行うことができる。
また本開示に係るセキュリティ装置(12)は、上記セキュリティ装置(1)〜(11)のいずれかにおいて、前記機器ネットワークに接続された報知部を作動させて前記異常を報知する報知処理部を備えていることを特徴としている。
上記セキュリティ装置(12)によれば、前記報知処理部によって前記報知部を作動させて前記異常を報知することが可能となるので、前記報知を受けたユーザに、前記異常に対して適切な対応を実施させることができる。
また本開示に係るセキュリティ装置(13)は、上記セキュリティ装置(1)〜(12)のいずれかにおいて、前記機器ネットワークに接続された外部通報部を作動させて外部に前記異常を通報する通報処理部を備えていることを特徴としている。
上記セキュリティ装置(13)によれば、前記通報処理部によって前記外部通報部を作動させて外部に前記異常を通報することが可能となるので、前記外部から前記異常に対して適切な対応を実施することができる。
また本開示に係るセキュリティ装置(14)は、上記セキュリティ装置(1)〜(13)のいずれかにおいて、前記機器が、車両に搭載される制御装置であり、
前記機器ネットワークが、車載ネットワークであることを特徴としている。
上記セキュリティ装置(14)によれば、1以上の前記制御装置が前記通信路を介して接続された前記車載ネットワークに対してセキュリティ攻撃を受けた場合、車両単体で、前記攻撃の種類を負荷が軽減された処理で特定することができる。また、迅速なインシデント対応が可能となり、前記車両の安全性を高めることができる。
また本開示に係るセキュリティ装置(15)は、上記セキュリティ装置(1)〜(13)のいずれかにおいて、前記機器が、FA(Factory Automation)システムを構成する産業機器に搭載される制御機器であり、
前記機器ネットワークが、前記FAシステムを構成する産業機器ネットワークであることを特徴としている。
上記セキュリティ装置(15)によれば、1以上の前記制御機器が前記通信路を介して接続された前記産業機器ネットワークに対して前記攻撃を受けた場合、前記FAシステム内で、前記攻撃の種類を負荷が軽減された処理で特定することができる。また、迅速なインシデント対応が可能となり、前記産業機器のユーザ(例えば、オペレータ)は、セキュリティの脅威に対して不安を抱くことなく、より安心して前記産業機器を使用することが可能となる。
また本開示に係る攻撃特定方法(1)は、1以上の機器が通信路を介して接続された機器ネットワークに含まれる少なくとも1以上のコンピュータが実行する攻撃特定方法であって、
前記機器ネットワークに対する攻撃により発生した異常を検出する異常検出ステップと、
該異常検出ステップにより検出された前記異常のデータを収集する異常データ収集ステップと、
該異常データ収集ステップにより収集された前記異常のデータを異常データ保持部に保持する保持ステップと、
前記異常データ保持部に保持された前記異常のデータと、異常検出パターン保持部に保持されている前記攻撃の種類ごとの異常検出パターンとに基づいて、前記異常に対応する前記攻撃の種類を特定する攻撃特定ステップとを含み、
前記異常検出パターンが、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成されていることを特徴としている。
上記攻撃特定方法(1)によれば、前記攻撃の種類の特定に、前記異常検出パターンを用いるので、前記機器ネットワークが前記攻撃を受けた場合に、機械学習等の処理量が膨大で高負荷の異常分析を行うことなく、負荷が軽減された処理によって、前記攻撃の種類を特定することができる。
また本開示に係る攻撃特定方法(2)は、上記攻撃特定方法(1)において、前記攻撃特定ステップにより前記攻撃の種類を特定することができなかった場合に、前記異常データ保持部に保持された前記異常のデータと、攻撃推定パターン保持部に保持されている前記攻撃の種類ごとの攻撃推定パターンとに基づいて、前記異常に対応する前記攻撃の種類を推定する攻撃推定ステップを含み、
前記攻撃推定パターンが、前記複数の異常検出項目それぞれに対する重み付け値の組み合わせデータを含んで構成されていることを特徴としている。
上記攻撃特定方法(2)によれば、前記攻撃特定ステップにより前記攻撃の種類を特定することができなかった場合であっても、前記攻撃推定ステップによって、前記異常に対応する前記攻撃の種類を推定することができる。また、前記攻撃の種類の推定には、前記攻撃の種類ごとに規定された前記攻撃推定パターンを用いるので、機械学習等の処理量が膨大で高負荷の異常分析を行うことなく、負荷が軽減された処理によって、前記攻撃が既知のいずれの攻撃に類似しているのかを推定することができる。
また本開示に係るプログラム(1)は、1以上の機器が通信路を介して接続された機器ネットワークに含まれる少なくとも1以上のコンピュータに実行させるためプログラムであって、
前記少なくとも1以上のコンピュータに、
前記機器ネットワークに対する攻撃により発生した異常を検出する異常検出ステップと、
該異常検出ステップにより検出された前記異常のデータを収集する異常データ収集ステップと、
該異常データ収集ステップにより収集された前記異常のデータを異常データ保持部に保持する保持ステップと、
前記異常データ保持部に保持された前記異常のデータと、異常検出パターン保持部に保持されている前記攻撃の種類ごとの異常検出パターンとに基づいて、前記異常に対応する前記攻撃の種類を特定する攻撃特定ステップとを実行させるためのプログラムであり、
前記異常検出パターンが、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成されていることを特徴としている。
上記プログラム(1)によれば、前記機器ネットワークに対する前記攻撃を受けた場合に、前記少なくとも1以上のコンピュータに、前記攻撃の種類を特定する処理を実行させることができる。したがって、当該コンピュータ単体で、前記攻撃の種類を特定することが可能となる。また、前記攻撃の種類の特定には、前記異常検出パターンを用いるので、前記コンピュータは、機械学習等の処理量が膨大で高負荷の異常分析を行うことなく、負荷が軽減された処理によって、前記攻撃の種類を特定する処理を実行することが可能となる。上記プログラムは、記憶媒体に保存されたプログラムであってもよいし、通信ネットワークを介して転送可能なプログラムであってもよい。
また本開示に係るプログラム(2)は、上記プログラム(1)において、
前記少なくとも1以上のコンピュータに、
前記攻撃特定ステップにより前記攻撃の種類を特定することができなかった場合に、前記異常データ保持部に保持された前記異常のデータと、攻撃推定パターン保持部に保持されている前記攻撃の種類ごとの攻撃推定パターンとに基づいて、前記異常に対応する前記攻撃の種類を推定する攻撃推定ステップをさらに実行させるためのプログラムであり、
前記攻撃推定パターンが、前記複数の異常検出項目それぞれに対する重み付け値の組み合わせデータを含んで構成されていることを特徴としている。
上記プログラム(2)によれば、前記攻撃特定ステップにより前記攻撃の種類を特定することができなかった場合であっても、前記攻撃推定ステップによって、前記コンピュータに、前記異常に対応する前記攻撃の種類を推定する処理を実行させることができる。また、前記攻撃の種類の推定には、前記攻撃の種類ごとに規定された前記攻撃推定パターンを用いるので、前記コンピュータに、機械学習等の処理量が膨大で高負荷の異常分析を実行させることなく、負荷が軽減された処理によって、前記攻撃が既知のいずれの攻撃に類似しているのかを推定する処理を実行させることができる。
実施の形態(1)に係るセキュリティ装置が適用された車載ネットワークシステムの概略ブロック図である。 実施の形態(1)に係るゲートウェイECUの機能構成例を示すブロック図である。 異常検出パターン保持部に保持されている、攻撃の種類ごとの異常検出パターンの一例を説明するための図である。 攻撃特定部が行う攻撃特定処理により攻撃の種類を特定できた場合を説明するための図である。 攻撃特定部が行う攻撃特定処理により攻撃の種類を特定できなかった場合を説明するための図である。 攻撃推定パターン保持部に保持されている、攻撃の種類ごとの攻撃推定パターンの一例を説明するための図である。 攻撃推定部が行う攻撃推定処理の一例を説明するための図である。 攻撃推定部を構成する第1算出部により算出された第2合計値の算出結果の一例を示す図である。 攻撃推定部を構成する第2算出部により算出された一致率の一例を示す図である。 攻撃特定部により異常に対応する攻撃の種類が特定された場合に、インシデント対応部に出力される攻撃特定データの構成例である。 攻撃推定部により異常に対応する攻撃の種類が特定された場合に、インシデント対応部に出力される攻撃推定データの構成例である。 実施の形態(1)に係るゲートウェイECUを構成するセキュリティ制御部が行う処理動作を示す概略フローチャートである。 実施の形態(1)に係るゲートウェイECUを構成するセキュリティ制御部が行う異常検出処理動作を示すフローチャートである。 実施の形態(1)に係るゲートウェイECUを構成するセキュリティ制御部が行う異常収集処理動作を示すフローチャートである。 実施の形態(1)に係るゲートウェイECUを構成するセキュリティ制御部が行う攻撃特定処理動作を示すフローチャートである。 実施の形態(2)に係るゲートウェイECUの機能構成例を示すブロック図である。 異常検出パターン保持部に保持されている、攻撃の種類ごとの異常検出パターンの一例を説明するための図である。 攻撃推定パターン保持部に保持されている、攻撃の種類ごとの攻撃推定パターンの一例を説明するための図である。 実施の形態(2)に係るゲートウェイECUを構成するセキュリティ制御部が行う異常検出処理動作を示すフローチャートである。 変形例に係るFAシステムの概略ブロック図である。 別の変形例に係るFAシステムの概略ブロック図である。
以下、本発明に係るセキュリティ装置、攻撃特定方法、及びプログラムの実施の形態を図面に基づいて説明する。
[適用例]
図1は、実施の形態(1)に係るセキュリティ装置が適用された車載ネットワークシステムの概略ブロック図である。
車載ネットワーク2は、車両1に搭載された通信ネットワークシステムであり、OBDII(On-board diagnostics II)4、走行系ECU(Electronic Control Unit)群5、ボディ系ECU群6、情報系ECU群7、及びゲートウェイECU10を含んで構成されている。本実施の形態における車載ネットワーク2は、CAN(Controller Area Network)プロトコルに従って通信するネットワークである。なお、車載ネットワーク2には、CAN以外の他の通信規格が採用されてもよい。
OBDII4、走行系ECU群5、ボディ系ECU群6、及び情報系ECU群7は、それぞれ通信路であるバス3を介して、ゲートウェイECU10のCH1、CH2、CH3、及びCH4に接続されている。なお、ゲートウェイECU10の有する通信CH数は、この4つに限定されるものではない。また、図1の例では、ECU群が機能系統ごとにゲートウェイECU10に接続されたセントラルゲートウェイ方式が採用されているが、ゲートウェイECU10の接続方式は、この方式に限定されず、各ECU群の間にゲートウェイECU10が設けられた方式などであってもよい。
OBDII4は、故障診断、又は保守等を行うための診断器又はスキャンツールなどが接続されるポートを備えている。
走行系ECU群5には、駆動系ECUと、シャーシ系ECUとが含まれている。駆動系ECUには、エンジン制御、モータ制御、燃料電池制御、EV(Electric Vehicle)制御、又はトランスミッション制御等の「走る」機能に関する制御ユニットが含まれている。シャーシ系ECUには、ブレーキ制御、又はステアリング制御等の「止まる、曲がる」機能に関する制御ユニットが含まれている。
ボディ系ECU群6には、ドアロック、パワーウインドウ、エアコン、ライト、又はウインカ等の車体の機能に関する制御ユニットが含まれている。
情報系ECU群7は、インフォテイメント装置、テレマティクス装置、又はITS(Intelligent Transport Systems)関連装置が含まれている。インフォテイメント装置には、カーナビゲーション装置、又はオーディオ機器などが含まれ、テレマティクス装置には、携帯電話網等へ接続するための通信ユニットなどが含まれている。ITS関連装置には、ETC(Electronic Toll Collection System)、又はITSスポットなどの路側機との路車間通信、若しくは車々間通信を行うための通信ユニットなどが含まれている。
これらECU群に加えて、さらに安全機能系ECU群がゲートウェイECU10に接続されてもよい。安全機能系ECU群には、自動ブレーキ、車線維持制御、又は車間距離制御等、走行系ECU群5などとの連携により自動的に安全性の向上、又は快適な運転を実現する機能に関する制御ユニットが含まれている。
また、外部インターフェースがゲートウェイECU10に接続されてもよい。外部インターフェースには、例えば、Bluetooth(登録商標)、Wi-Fi(登録商標)、USB(Universal Serial Bus)ポート、又はメモリーカードスロットなどが含まれる。
ゲートウェイECU10は、車載ネットワーク2に含まれる各ECU群との間で、CANプロトコルに従ってフレームの授受を行う機能を有し、さらに本実施の形態に係るセキュリティ装置として機能する。すなわち、本実施の形態に係るセキュリティ装置は、車載ネットワーク2のバス3に接続されたゲートウェイECU10に搭載されている。
ゲートウェイECU10は、車載ネットワーク2に対する攻撃(セキュリティ攻撃、又はサイバー攻撃ともいう)が実行された場合に、車両1単体で、すなわちゲートウェイECU10において、負荷が軽減された処理でその攻撃を判定し(すなわち、攻撃の種類を特定又は推定し)、判定した攻撃に応じたインシデント対応処理を実行する。これにより、車両1の運転者は、セキュリティ攻撃の脅威に対して不安を抱くことなく、安心して車両1を運転することが可能となっている。
走行系ECU群5、ボディ系ECU群6、情報系ECU群7、及びゲートウェイECU10は、1つ以上のプロセッサ、メモリ、及び通信モジュールなどを含むコンピュータ装置で構成され、各ECUに搭載されたプロセッサが、メモリに記憶されたプログラムを読み出し、プログラムを解釈し実行することで、各ECUで所定の制御が実行されるようになっている。
[構成例1]
図2は、実施の形態(1)に係るゲートウェイECU10の機能構成例を示すブロック図である。
ゲートウェイECU10は、ゲートウェイ機能部11と、セキュリティ制御部12とを含んでいる。セキュリティ制御部12が、本実施の形態に係るセキュリティ装置の機能が実装される部分である。ゲートウェイECU10は、ハードウェアとして、制御プログラムが格納されたROM(Read Only Memory)、RAM(Random Access Memory)などを含むメモリ、該メモリからプログラムを読み出して実行するCPU(Central Processing Unit)などのプロセッサ、及び車載ネットワーク2に接続するための通信モジュールなどを含んで構成されている。
ゲートウェイ機能部11は、各ECU群とバス3を介してフレームを転送する制御を行う機能を備えており、例えば、図示しないフレーム送受信部、フレーム解釈部、及びフレーム変換部など、車載ネットワーク2の各ECU群との間でCANプロトコルに従って相互通信するために必要な構成が含まれている。本実施の形態では、バス3が、通信路の一例であり、フレームが、メッセージの一例である。
CANプロトコルにおけるフレームは、データフレーム、リモートフレーム、オーバーロードフレーム、及びエラーフレームを含んで構成されている。データフレームは、SOF(Start Of Frame)、ID、RTR(Remote Transmission Request)、IDE(Identifier Extension)、予約ビット、DLC(Data Length Code)、データフィールド、CRC(Cyclic Redundancy Check)シーケンス、CRCデリミタ(DEL)、ACK(Acknowledgement)スロット、ACKデリミタ(DEL)、及びEOF(End Of Frame)の各フィールドを含んで構成されている。
セキュリティ制御部12は、フレーム受信部21、フレーム異常検出部22、バス監視部23、バス異常検出部24、及び正常値保持部25を含んで構成されている。セキュリティ制御部12は、さらに、異常データ収集部26、異常データ保持部27、タイマー28、異常検出パターン保持部29、攻撃特定部30、攻撃推定パターン保持部31、攻撃推定部32、及びインシデント対応部33を含んで構成されている。
セキュリティ制御部12は、ハードウェアとして、制御プログラムが格納されたROM、RAMなどを含むメモリ、該メモリからプログラムを読み出して実行するプロセッサなどを含んで構成され、これらハードウェアにより、上記各部の機能が実現されるようになっている。
フレーム受信部21は、例えば、ゲートウェイ機能部11からCAN信号であるフレーム(CANフレーム)を受信し、受信したフレームをフレーム異常検出部22、及びバス監視部23に送る。
フレーム異常検出部22は、フレーム受信部21で受信したフレームに、車載ネットワーク2に対する攻撃により発生した異常(すなわち、フレーム異常)があるかどうかを、複数の異常検出項目(パラメータともいう)を確認して検出する。フレーム異常を検出するための複数の異常検出項目には、例えば、フレームのID毎に設定されるRTR、DLC、ペイロード、受信周期などのパラメータが含まれ得る。フレーム異常とは、CAN信号単体での異常を表している。フレーム異常検出部22が、メッセージ異常検出部の一例である。
バス監視部23は、ゲートウェイECU10のCH1〜CH4に接続されたバス3のそれぞれの状態を監視し、監視データをバス異常検出部24に送る。バス異常検出部24が、通信路異常検出部の一例である。
バス異常検出部24は、CH1〜CH4に接続されたバス3に、車載ネットワーク2に対する攻撃により発生した異常(すなわち、バス異常)があるかどうかを、複数の異常検出項目(パラメータともいう)を確認して検出する。バス異常を検出するための複数の異常検出項目には、例えば、CH1〜CH4に接続された各バス3のバス負荷率、バス状態(バスエラーの有無などの状態)、バス3に出現するIDなどのパラメータが含まれ得る。バス異常とは、CAN信号の状況的な異常を表している。フレーム異常検出部22、及びバス異常検出部24が、車載ネットワーク2に対する攻撃により発生した異常を検出する異常検出部の一例である。
正常値保持部25には、フレーム異常検出部22でフレーム異常があるかどうかを判断するために用いる、複数の異常検出項目それぞれのフレーム正常値(正常パターンともいう)が予め保持されている。また、正常値保持部25には、バス異常検出部24でバス異常があるかどうかを判断するために用いる、複数の異常検出項目それぞれのバス正常値(正常パターンともいう)が予め保持されている。正常値保持部25は、フレーム正常値保持部(メッセージ正常値保持部)及びバス正常値保持部(通信路正常値保持部)としての機能を備えているが、正常値保持部25に代えて、フレーム正常値保持部とバス正常値保持部とをそれぞれ個別に設けてもよい。
フレーム正常値は、例えば、各CHで受信するフレームのID毎に、受信周期、DLCのデータ長、ペイロードの特徴など、複数の項目の正常パターンで構成されている。また、バス正常値は、例えば、各CHに接続されたバス3毎に、バス負荷率、バスエラーの有無、出現IDなど、複数の項目の正常パターンで構成されている。
異常データ収集部26は、フレーム異常検出部22によりフレーム異常が検出された後、所定時間内に検出されるフレーム異常のデータを収集し、収集したフレーム異常のデータを異常データ保持部27に送る。また、異常データ収集部26は、バス異常検出部24によりバス異常が検出された後、所定時間内に検出される他のバス異常のデータを収集し、収集したバス異常のデータを異常データ保持部27に送る。
異常データ保持部27には、異常データ収集部26により収集された、フレーム異常のデータと、バス異常のデータとが一時的に保持される。タイマー28は、異常データ収集部26で異常のデータを収集するための所定時間をカウントする。所定時間は、例えば、車両1がセキュリティ攻撃を受けた場合であっても安全な走行に支障をきたさない時間に設定されている。
異常検出パターン保持部29には、攻撃の種類ごとの異常検出パターンが予め保持されている。攻撃の種類ごとの異常検出パターンは、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成される。
図3は、異常検出パターン保持部29に保持されている、攻撃の種類ごとの異常検出パターンの一例を説明するための図である。
攻撃の種類ごとの異常検出パターン29aを示すデータは、攻撃種別の項目と複数の異常検出項目とを含んで構成されている。
攻撃種別の項目には、車載ネットワーク2において想定され得る攻撃の種類(攻撃A1〜A5、・・)が設定されている。攻撃種別の欄に設定された攻撃は、車載ネットワーク2のシステムに対する脅威分析(すなわち、ゲートウェイECU10、これに接続される走行系ECU群5、ボディ系ECU群6、情報系ECU群7、及びOBDII4に接続される機器、その他、車載ネットワーク2に繋がる通信機器などについての脆弱性や脅威の分析)により抽出された既知の攻撃を表している。これら攻撃を抽出するための脅威分析の手法は特に限定されない。例えば、DFD(Date Flow Diagram)を用いた脅威抽出、STRIDEによる脅威分類、脅威ツリー、又はDREADによる脅威評価などの手法が採用され得る。攻撃種別の欄に設定される攻撃には、例えば、不正利用、不正設定、不正中継、不正挿入、情報漏洩、Dos攻撃、メッセージ喪失、又は偽メッセージなどの攻撃が設定され得る。
複数の異常検出項目には、フレーム異常F1〜F5、及びバス異常B1〜B5が含まれている。フレーム異常F1〜F5には、受信周期、ペイロード、DLC、RTRなどのフレーム異常に関するパラメータがそれぞれ設定されている。また、バス異常B1〜B5には、バス負荷率、バスエラー、出現IDなどのバス異常に関するパラメータがそれぞれ設定されている。
そして、攻撃の種類ごとに、複数の異常検出項目(フレーム異常F1〜F5、及びバス異常B1〜B5)それぞれに対する検出要否の組み合わせデータのパターンが設定されている。図3において、「AND」は、必ず検出されることを示し、「NOT」は、絶対に検出されないことを示し、「−」は、検出されるか不明であることを示している。例えば、攻撃A1では、フレーム異常F1が必ず検出され、フレーム異常F3、F5、及びバス異常B1、B4、B5は絶対に検出されず、フレーム異常F2、F4、及びバス異常B2、B3は検出されるか不明(検出されても、検出されなくてもよい)であることを表している。
攻撃特定部30は、異常データ保持部27に保持された異常のデータと、異常検出パターン保持部29に保持されている攻撃の種類ごとの異常検出パターンとに基づいて、検出した異常に対応する攻撃の種類を特定する処理を行う。また、攻撃特定部30は、攻撃特定処理を行った後、異常データ保持部27に一時された異常のデータ(検出データ)のリセット(クリア)指示を行う。
図4は、攻撃特定部30が行う攻撃特定処理により攻撃の種類を特定できた場合を説明するための図である。
攻撃特定部30は、異常データ保持部27に保持された異常のデータ27aと、異常検出パターン保持部29に保持されている攻撃の種類ごとの異常検出パターン29aとを照合して、異常のデータ27aが示す異常に対応する攻撃の種類を特定する処理を行う。
異常のデータ27aには、複数の異常検出項目(フレーム異常F1〜F5、及びバス異常B1〜B5)それぞれに対する検出有無(「1」検出有り、「0」検出無し)の結果を示すデータが含まれている。図4に例示した異常のデータ27aは、フレーム異常F1、F2、及びバス異常B1〜B5が検出され、フレーム異常F3〜F5が検出されていないデータを含んで構成されている。
図4に示す例では、攻撃特定部30により、異常のデータ27aと、攻撃の種類ごとの異常検出パターン29aとが照合された結果、今回検出された異常のデータ27aが示す異常は、異常検出パターン29a中の攻撃A3であると特定された場合を示している。次に、攻撃特定部30が行う攻撃特定処理により攻撃の種類を特定できなかった場合を説明する。
図5は、攻撃特定部30が行う攻撃特定処理により攻撃の種類を特定できなかった場合を説明するための図である。図5に例示した異常のデータ27bは、フレーム異常F1、F2、及びバス異常B2、B4、B5が検出され、フレーム異常F3〜F5、及びバス異常B1、B3が検出されていないデータを含んで構成されている。
図5に示す例では、攻撃特定部30により、異常のデータ27bと、攻撃の種類ごとの異常検出パターン29aとが照合された結果、今回検出された異常のデータ27bが示す異常は、異常検出パターン29a中のいずれの攻撃にも対応しない(一致しない)と判定された場合を示している。このように、攻撃特定部30が行う攻撃特定処理により攻撃の種類を特定できなかった(換言すれば、未知の攻撃であった)場合、次に攻撃推定部32による攻撃推定処理が行われる。
攻撃推定パターン保持部31には、攻撃の種類ごとの攻撃推定パターンが予め保持されている。攻撃の種類ごとの攻撃推定パターンは、複数の異常検出項目それぞれに対する重み付け値の組み合わせデータを含んで構成されている。
図6は、攻撃推定パターン保持部31に保持されている、攻撃の種類ごとの攻撃推定パターンの一例を説明するための図である。
攻撃の種類ごとの攻撃推定パターン31aを示すデータは、攻撃種別の項目、複数の異常検出項目、及び第1合計値の項目を含んで構成されている。
攻撃種別の項目には、図3に例示した異常検出パターン29aと同様に、車載ネットワーク2において想定され得る攻撃の種類(攻撃A11〜A15、・・)が設定されている。また、複数の異常検出項目には、図3に例示した異常検出パターン29aと同様に、フレーム異常F1〜F5、及びバス異常B1〜B5のパラメータが含まれている。
そして、攻撃の種類ごとに、複数の異常検出項目(フレーム異常F1〜F5、及びバス異常B1〜B5)それぞれに対する重み付け値(0.0〜1.0のいずれかの値)の組み合わせデータ(重み付け集合ともいう)のパターンが設定されている。なお、重み付け値が1.0に近いほど、その異常が発生する確率が高いことを表し、また、0.0に近いほど、その異常が発生する確率が低いことを表している。各攻撃の異常検出項目それぞれに対する重み付け値は、予め行った脅威分析の結果に基づいて設定してもよいし、予め行った機械学習などの結果に基づいて設定してもよい。第1合計値は、各攻撃における複数の異常検出項目それぞれに対する重み付け値の組み合わせデータ(重み付け集合)の和(集合の和ともいう)を示している。
攻撃推定部32は、攻撃特定部30により攻撃の種類を特定することができなかった場合に、異常データ保持部27に保持された異常のデータと、攻撃推定パターン保持部31に保持されている攻撃の種類ごとの攻撃推定パターン31aとに基づいて、検出された異常に対応する攻撃の種類を推定する処理を行う。
図7は、攻撃推定部32が行う攻撃推定処理の一例を説明するための図である。
攻撃推定部32は、攻撃推定パターン保持部31に保持されている攻撃の種類ごと(攻撃A11〜A15、・・)に、異常のデータ27bの各異常検出項目(フレーム異常F1〜F5、及びバス異常B1〜B5)の検出有無のデータ(1又は0)と、攻撃推定パターン31aの各異常検出項目に設定された重み付け値との積の和を示す第2合計値(積集合の和ともいう)を算出する(すなわち、第1算出部として機能する)。
図8は、攻撃推定部32を構成する第1算出部により算出された第2合計値の算出結果の一例を示す図である。
図8に示すように、各攻撃の異常検出項目(フレーム異常F1〜F5、及びバス異常B1〜B5)毎に、異常のデータ27bのそれぞれの検出有無のデータと、攻撃推定パターン31aのそれぞれの重み付け値との積の値が算出され、算出された積の値の和が第2合計値として算出される構成になっている。
次に、攻撃推定部32は、攻撃の種類ごとに、第1合計値と第2合計値との一致率を算出する(すなわち、第2算出部として機能する)。
図9は、攻撃推定部32を構成する第2算出部により算出された一致率の一例を示す図である。図9に示すように、ここでの一致率は、[第2合計値/第1合計値]×100(%)で表されている。
次に、攻撃推定部32は、第2算出部により算出された、各攻撃に対する一致率に基づいて、攻撃特定部30により特定できなかった異常に対応する攻撃の種類を推定する(すなわち、推定部として機能する)。攻撃推定部32を構成する推定部により、攻撃特定部30により特定できなかった異常が、一致率に基づいて、既存のどの攻撃の種類に類似しているのかを推定することが可能となる。図9に示す例では、攻撃A11の一致率が最も高くなっており、今回検出された異常による攻撃が、攻撃A11に最も類似していると推定することが可能となっている。
インシデント対応部33は、攻撃特定部30により異常に対応する攻撃の種類が特定された場合、特定された攻撃の種類に対する対応処理を行う第1インシデント対応部として機能する。また、インシデント対応部33は、攻撃推定部32により異常に対応する攻撃の種類が推定された場合、推定された攻撃の種類に対する対応処理を行う第2インシデント対応部として機能する。
図10は、攻撃特定部30により異常に対応する攻撃の種類が特定された場合に、インシデント対応部33に出力される攻撃特定データの一例を示している。
図10に示すように、攻撃特定データには、ゲートウェイECU10において攻撃されたCH、異常があったフレーム、特定された攻撃に関するデータが含まれている。インシデント対応部33では、攻撃特定部30から取得した攻撃特定データに基づいて、特定された攻撃の種類に対する所定の対策処理を実行する。
図11は、攻撃推定部32により異常に対応する攻撃の種類が推定された場合に、インシデント対応部33に出力される攻撃推定データの一例を示している。
図11に示すように、攻撃推定データには、ゲートウェイECU10において攻撃されたCH、異常があったフレーム、推定された攻撃に関するデータが含まれている。インシデント対応部33では、攻撃推定部32から取得した攻撃推定データに基づいて、推定された攻撃の種類に対する所定の対策処理を実行する。例えば、一致率が最も高い攻撃の種類に対する対策処理を実行する。
[動作例]
図12は、実施の形態(1)に係るゲートウェイECU10を構成するセキュリティ制御部12が行う処理動作を示した概略フローチャートである。なお、本処理動作は、攻撃者により車載ネットワーク2に何らかのセキュリティ攻撃が実施され、ゲートウェイECU10の防御機能が破られた場合を想定している。
まず、ステップS1では、セキュリティ制御部12は、車載ネットワーク2にセキュリティ攻撃による異常が発生したか否かを判断し、異常が発生していないと判断すれば処理を終える一方、異常が発生したと判断すれば、ステップS2に処理を進める。
ステップS2では、セキュリティ制御部12は、各ECU群から受信したフレーム又は各CHに接続されたバス3に発生した異常を検出する処理を行い、その後ステップS3に処理を進める。
ステップS3では、セキュリティ制御部12は、受信したフレーム又はバス3に発生した異常のデータ(すなわち、異常の検出結果)を収集する処理を行い、その後ステップS4に処理を進める。
ステップS4では、セキュリティ制御部12は、収集された異常のデータを用いて、セキュリティ攻撃の種類を特定する処理、また、攻撃の種類を特定できない場合に、その攻撃の種類を推定する処理を行い、その後ステップS5に処理を進める。ステップS5では、セキュリティ制御部12は、特定された攻撃の種類、又は推定された攻撃の種類に対応するインシデント対策を実施する処理を行い、その後処理を終える。
図13は、実施の形態(1)に係るゲートウェイECU10を構成するセキュリティ制御部12が行う異常検出処理動作を示したフローチャートである。本処理動作は、図12のステップS2で行われる異常検出処理動作の一例であり、CAN信号であるフレームを受信した場合に実行される。
まずステップS11では、セキュリティ制御部12は、ゲートウェイ機能部11からCAN信号であるフレーム(各ECU群から受信したフレーム)を受信する処理を行い、ステップS12に処理を進める。ステップS12では、セキュリティ制御部12は、受信したフレーム、又はフレームを受信したバス3で、セキュリティ攻撃による異常を検出したか否かを判断し、異常を検出していないと判断すれば、CAN信号受信時の異常検出処理を終える一方、異常を検出したと判断すれば、ステップS13に処理を進める。
ステップS13では、セキュリティ制御部12は、現在、セキュリティ攻撃による異常のデータを収集している状態(異常収集状態)であるか否か(換言すれば、異常データ収集部26が作動中か否か)を判断し、現在、異常のデータを収集している状態であると判断すれば、ステップS15に処理を進める。一方、ステップS13において、セキュリティ制御部12が、現在、異常のデータを収集している状態ではないと判断すれば、ステップS14に処理を進め、ステップS14では、セキュリティ攻撃による異常を収集する状態に遷移する(換言すれば、異常データ収集部26により異常のデータの収集を開始する)処理を行い、その後ステップS15に処理を進める。
ステップS15では、セキュリティ制御部12は、ステップS12で検出された異常が、異常収集状態に遷移後、既に検出された異常であるか否かを判断し、既に検出された異常であると判断すれば、CAN信号受信時の異常検出処理を終える。
一方、ステップS15において、セキュリティ制御部12は、既に検出された異常ではない(換言すれば、未検出の異常である)と判断すればステップS16に処理を進め、ステップS16では、検出された異常のデータを異常データ保持部27に保存し、その後CAN信号受信時の異常検出処理を終える。
なお、上記異常検出処理動作では、ステップS11でフレームを受信後、ステップS12において、フレーム異常、又はバス異常を検出したか否かを判断するようになっているが、この処理形態に限定されない。別の実施の形態では、セキュリティ制御部12が、フレーム異常とバス異常とを、別々の処理フローで検出するようにしてもよい。例えば、フレーム異常の検出は、フレームを受信後に行い、バス異常の検出は、CH1〜CH4に接続されたバス3の状態を常時監視して検出するようにしてもよい。
図14は、実施の形態(1)に係るゲートウェイECU10を構成するセキュリティ制御部12が行う異常収集処理動作を示したフローチャートである。本処理動作は、図12のステップS3で行われる異常のデータ(異常検出結果)の収集処理動作の一例である。
まずステップS21では、セキュリティ制御部12は、タイマー28で異常収集時間のカウントを開始し、その後、ステップS22に処理を進め、ステップS22では、カウントを開始してから所定時間経過したか否かを判断する。所定時間は、車両1がセキュリティ攻撃を受けた場合であっても安全な走行に支障をきたさない時間(例えば、数秒から数十秒)に設定されている。
ステップS22において、セキュリティ制御部12は、所定時間経過していないと判断すれば、所定時間経過するまでタイマー28でカウントを継続し、所定時間経過したと判断すればステップS23に進む。ステップS23では、セキュリティ制御部12は、異常のデータの収集を終了し、次のステップS24に処理を進め、ステップS24では、タイマー28のカウントをクリアして、その後処理を終える。
図15は、実施の形態(1)に係るゲートウェイECU10を構成するセキュリティ制御部12が行う攻撃特定処理動作を示したフローチャートである。当該処理動作は、図12のステップS4で行われる攻撃特定処理動作の一例であり、攻撃を特定する処理動作と攻撃を推定する処理動作とが含まれている。
まず、ステップS31では、セキュリティ制御部12は、異常データ保持部27に保存された異常のデータ(所定時間内に検出された異常のデータ)を読み出し、ステップS32に処理を進める。異常のデータは、例えば、図4に例示した異常のデータ27aに示したデータ構成(複数の異常検出項目の検出有無の結果を含むデータ構成)となっている。
ステップS32では、セキュリティ制御部12は、異常検出パターン保持部29から攻撃の種類ごとに規定された異常検出パターンを読み出し、次のステップS33に処理を進める。異常検出パターンは、例えば、図3に例示した、攻撃の種類ごとの異常検出パターン29aに示したデータ構成(複数の異常検出項目に対する検出要否の組み合わせデータが攻撃の種類ごとに設定されているデータ構成)となっている。
ステップS33では、セキュリティ制御部12は、ステップS31で読み出した異常のデータと、ステップS32で読み出した攻撃の種類ごとの異常検出パターンとを照合する処理(マッチング処理)を行い、次にステップS34に処理を進める。ステップS34では、照合の結果、異常のデータと同一の異常検出パターンが検出されたか否かを判断し、異常のデータと同一の異常検出パターンが検出されたと判断すれば、ステップS35に処理を進める。
ステップS35では、セキュリティ制御部12は、異常のデータが示す攻撃の種類が、ステップS34で判定された同一の異常検出パターンが示す攻撃であると特定し、次にステップS36に処理を進める。
ステップS36では、セキュリティ制御部12は、特定された攻撃の情報をインシデント対応部33へ出力する処理を行い、その後ステップS37に処理を進める。
一方ステップS34において、セキュリティ制御部12は、異常のデータと同一の異常検出パターンが検出されなかったと判断すれば、ステップS38に処理を進める。
ステップS38では、セキュリティ制御部12は、攻撃推定パターン保持部31から攻撃の種類ごとに規定された攻撃推定パターンを読み出し、次にステップS39に処理を進める。攻撃推定パターンは、例えば、図6に例示した、攻撃の種類ごとの攻撃推定パターン31aに示したデータ構成(複数の異常検出項目それぞれに対する重み付け値の組み合わせデータと、重み付け値の和のデータとが攻撃の種類ごとに設定されているデータ構成)となっている。
ステップS39では、セキュリティ制御部12は、異常のデータと、攻撃の種類ごと攻撃推定パターンとの積の和(第2合計値)を算出する処理を行い、ステップS40に処理を進める。ステップS40では、セキュリティ制御部12は、攻撃の種類ごとの攻撃推定パターンに規定された第1合計値(集合の和)に対する第2合計値(積集合の和)の一致率([第2合計値/第1合計値]×100(%))を算出する処理を行い、ステップS41に処理を進める。
ステップS41では、セキュリティ制御部12は、一致率に基づき攻撃の種類を推定する。例えば、今回検出された異常は、一致率が最も高い攻撃に最も類似すると推定し、ステップS42に処理を進める。ステップS42では、セキュリティ制御部12は、推定された攻撃の情報をインシデント対応部33へ出力する処理を行い、その後ステップS37に処理を進める。ステップS37では、セキュリティ制御部12は、異常データ保持部27に一時保持されたデータをクリアするリセット処理を行い、その後処理を終える。
[作用・効果]
実施の形態(1)に係るゲートウェイECU10によれば、セキュリティ制御部12を備えているので、フレーム異常検出部22によりフレーム異常が検出され、またバス異常検出部24によりバス異常が検出され、これら検出された異常が異常データ収集部26により収集され、収集された異常のデータが異常データ保持部27に保持される。そして、攻撃特定部30によって、異常に対応する攻撃の種類が特定される。
したがって、車載ネットワーク2がセキュリティ攻撃を受けた場合に、車両1単体で、すなわち、ゲートウェイECU10で、その攻撃の種類を特定することができる。また、攻撃特定部30が、複数の異常検出項目それぞれに対する検出有無の結果を示すデータと、攻撃の種類ごとの異常検出パターンとを照合する(マッチングする)ことによって、異常に対応する攻撃の種類が特定される。したがって、機械学習等の処理量が膨大で高負荷の異常分析を行うことなく、負荷が軽減された低負荷の処理によって、攻撃の種類を迅速に特定することができ、また、装置コストを低減することもでき、コスト面でも有利な装置を実現することができる。
そして、異常に対応する攻撃の種類が特定された場合、インシデント対応部33によって、特定された攻撃の種類に対する対策を迅速に行うことができる。これにより、車両1の運転者は、セキュリティの脅威に対して安心して運転を行うことが可能となる。
また、攻撃特定部30により攻撃の種類を特定することができなかった場合であっても、攻撃推定部32によって、異常に類似する攻撃の種類を推定することができる。また、攻撃の種類の推定には、攻撃の種類ごとに規定された攻撃推定パターンが用いられ、攻撃の種類ごとに第2合計値が算出され、攻撃の種類ごとの第1合計値と第2合計値との一致率が算出され、算出された一致率に基づいて、異常に対応する攻撃の種類が推定される。したがって、機械学習等の処理量が膨大で高負荷の異常分析を行うことなく、負荷が軽減された低負荷の処理によって、既知のいずれの攻撃に最も類似しているのかを迅速に推定することができる。
そして、異常に対応する攻撃の種類が推定された場合、インシデント対応部33によって、推定された攻撃の種類に対する対策を迅速に行うことができる。これにより、車両1の運転者は、セキュリティの脅威に対して安心して運転を行うことが可能となる。
[構成例2]
図16は、実施の形態(2)に係るゲートウェイECU10Aの機能構成例を示すブロック図である。なお、図2に示したゲートウェイECU10の機能構成と同一機能を有する構成には同一符号を付し、ここではその説明を省略する。
実施の形態(1)に係るゲートウェイECU10では、フレーム異常とバス異常とが検出可能に構成されていたが、実施の形態(2)に係るゲートウェイECU10Aでは、さらに内部処理異常が検出可能に構成されている点が大きく相違している。
ゲートウェイECU10Aは、ゲートウェイ機能部11と、セキュリティ制御部12Aとを含んでいる。セキュリティ制御部12Aが、本実施の形態に係るセキュリティ装置の機能が実装される部分である。
セキュリティ制御部12Aは、フレーム受信部21、フレーム異常検出部22、バス監視部23、バス異常検出部24、フレーム正常値保持部25A、及びバス正常値保持部25Bの他に、さらに内部処理監視部34、内部処理異常検出部35、及び内部処理正常値保持部36を含んで構成されている。
さらに、セキュリティ制御部12Aは、異常データ収集部26A、異常データ保持部27A、タイマー28、異常検出パターン保持部29A、攻撃特定部30A、攻撃推定パターン保持部31A、攻撃推定部32A、及びインシデント対応部33を含んで構成されている。
内部処理監視部34は、ゲートウェイ機能部11が有する各機能(例えば、フレームの受信機能、転送機能、送信機能など)が実行されているときの当該ゲートウェイECU10Aにおける内部制御処理の状態を監視する。
内部処理の監視対象には、上記機能の制御処理時間、機能実行回数、機能実行処理順、及びゲートウェイECU10Aを構成するハードウェアのリソースのうちの少なくとも1つ以上が含まれる。
制御処理時間については、例えば、予め設定された時間内で各機能の制御処理が実行されているか否かが監視される。
機能実行回数については、例えば、ゲートウェイ機能部11が有する各機能の実行回数が予め設定されている数値の範囲内にあるか否かが監視される。
機能実行処理順については、例えば、ゲートウェイ機能部11が有する各機能の処理実行の順番が予め設定されている順番で実行されているか否かが監視される。
ハードウェアのリソースには、例えば、CPU使用率、RAM使用率、コードROM(コード格納用メモリ)使用率、又はデータROM(データ格納用メモリ)使用率などが含まれる。ハードウェアのリソースについては、例えば、各ハードウェアの平均使用率が予め設定されている数値の範囲内にあるか否かが監視される。
内部処理異常検出部35は、内部処理監視部34で監視している内部処理に異常(すなわち、内部処理異常)があるかどうかを、複数の異常検出項目(パラメータともいう)を確認して検出する。内部処理異常を検出するための複数の異常検出項目には、例えば、上記した制御処理時間、機能実行回数、機能実行処理順、及びハードウェアのリソースなどのパラメータが含まれる。フレーム異常検出部22、バス異常検出部24、及び内部処理異常検出部35が、車載ネットワーク2に対する攻撃により発生した異常を検出する異常検出部の一例である。
内部処理正常値保持部36には、内部処理異常検出部35で内部処理異常があるかどうかを判断するために用いる、複数の異常検出項目それぞれの内部処理正常値(正常パターンともいう)が予め保持されている。内部処理正常値は、例えば、各機能の制御処理時間、機能実行回数、機能実行処理順、ハードウェアのリソースの平均使用率など複数の項目の正常パターンで構成されている。
異常データ収集部26Aは、フレーム異常検出部22によりフレーム異常が検出された後、所定時間内に検出されるフレーム異常のデータを収集し、収集したフレーム異常のデータを異常データ保持部27Aに送る。また、異常データ収集部26Aは、バス異常検出部24によりバス異常が検出された後、所定時間内に検出されるバス異常のデータを収集し、収集したバス異常のデータを異常データ保持部27Aに送る。また、異常データ収集部26Aは、内部処理異常検出部35により内部処理異常が検出された後、所定時間内に検出される内部処理異常のデータを収集し、収集した内部処理異常のデータを異常データ保持部27Aに送る。
異常データ保持部27Aには、異常データ収集部26Aにより収集された、フレーム異常のデータと、バス異常のデータと、内部処理異常のデータとが一時的に保持される。タイマー28は、異常データ収集部26Aで異常のデータを収集するための所定時間をカウントする。所定時間は、例えば、車両1がセキュリティ攻撃を受けた場合であっても安全な走行に支障をきたさない時間に設定されている。
異常検出パターン保持部29Aには、攻撃の種類ごとの異常検出パターンが予め保持されている。攻撃の種類ごとの異常検出パターンは、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成される。
図17は、異常検出パターン保持部29Aに保持されている、攻撃の種類ごとの異常検出パターンの一例を説明するための図である。
攻撃の種類ごとの異常検出パターン29bを示すデータは、攻撃種別の項目と複数の異常検出項目とを含んで構成されている。図3に示した異常検出パターン29aと相違する点は、複数の異常検出項目に、さらに内部処理異常が含まれている点である。
攻撃種別の項目には、車載ネットワーク2において想定され得る攻撃の種類(攻撃A21〜A25、・・)が設定されている。
複数の異常検出項目には、フレーム異常F1〜F4、バス異常B1〜B4、及び内部処理異常C1〜C4が含まれている。フレーム異常F1〜F4には、受信周期、ペイロード、DLC、RTRなどのフレーム異常に関するパラメータがそれぞれ設定されている。また、バス異常B1〜B4には、バス負荷率、バスエラー、出現IDなどのバス異常に関するパラメータがそれぞれ設定されている。また、内部処理異常C1〜C4には、各機能の制御処理時間、機能実行回数、機能実行処理順、ハードウェアのリソースなどの内部処理異常に関するパラメータがそれぞれ設定されている。
そして、攻撃の種類ごとに、複数の異常検出項目(フレーム異常F1〜F4、バス異常B1〜B4、及び内部処理異常C1〜C4)それぞれに対する検出要否の組み合わせデータのパターンが設定されている。
例えば、攻撃A21では、フレーム異常F1及び内部処理異常C4が必ず検出され、フレーム異常F3、バス異常B2、B3、及び内部処理異常C2、C3は絶対に検出されず、フレーム異常F2、F4、バス異常B1、B4、及び内部処理異常C1は検出されるか不明(検出されても、検出されなくてもよい)であることを表している。
攻撃特定部30Aは、異常データ保持部27Aに保持された異常のデータと、異常検出パターン保持部29Aに保持されている攻撃の種類ごとの異常検出パターン29bとに基づいて、検出した異常に対応する攻撃の種類を特定する処理を行う。また、攻撃特定部30Aは、攻撃特定処理を行った後、異常データ保持部27Aに一時された異常のデータ(検出データ)のリセット(クリア)指示を行う。攻撃特定部30Aは、図2に示した攻撃特定部30が行う処理動作(照合して特定する処理)と同様の処理動作を実行する。
攻撃推定パターン保持部31Aには、攻撃の種類ごとの攻撃推定パターンが予め保持されている。攻撃の種類ごとの攻撃推定パターンは、複数の異常検出項目それぞれに対する重み付け値の組み合わせデータを含んで構成されている。
図18は、攻撃推定パターン保持部31Aに保持されている、攻撃の種類ごとの攻撃推定パターンの一例を説明するための図である。
攻撃の種類ごとの攻撃推定パターン31bを示すデータは、図6に示した攻撃推定パターン31aと同様に、攻撃種別の項目、複数の異常検出項目、及び第1合計値の項目を含んで構成されている。
攻撃種別の項目には、図17に例示した異常検出パターン29bと同様に、車載ネットワーク2において想定され得る攻撃の種類(攻撃A31〜A35、・・)が設定されている。また、複数の異常検出項目には、図17に例示した異常検出パターン29bと同様に、フレーム異常F1〜F4、バス異常B1〜B4、及び内部処理異常C1〜C4のパラメータが含まれている。
そして、攻撃の種類ごとに、複数の異常検出項目(フレーム異常F1〜F4、バス異常B1〜B4、及び内部処理異常C1〜C4)それぞれに対する重み付け値(0.0〜1.0のいずれかの値)の組み合わせデータ(重み付け集合ともいう)のパターンが設定されている。第1合計値は、各攻撃における複数の異常検出項目それぞれに対する重み付け値の組み合わせデータ(重み付け集合)の和(集合の和ともいう)を示している。
攻撃推定部32Aは、攻撃特定部30Aにより攻撃の種類を特定することができなかった場合に、異常データ保持部27Aに保持された異常のデータと、攻撃推定パターン保持部31Aに保持されている攻撃の種類ごとの攻撃推定パターン31bとに基づいて、検出された異常に対応する攻撃の種類を推定する処理を行う。
より具体的には、攻撃推定部32Aは、攻撃推定パターン保持部31Aに保持されている攻撃の種類ごと(攻撃A31〜A35、・・)に、異常のデータの各異常検出項目(フレーム異常F1〜F4、バス異常B1〜B4、及び内部処理異常C1〜C4)の検出有無のデータ(1又は0)と、攻撃推定パターン31bの各異常検出項目に設定された重み付け値との積の和を示す第2合計値(積集合の和ともいう)を算出する(すなわち、第1算出部として機能する)。
次に、攻撃推定部32Aは、攻撃の種類ごとに、第1合計値と第2合計値との一致率(例えば、[第2合計値/第1合計値]×100(%))を算出する(すなわち、第2算出部として機能する)。
次に、攻撃推定部32Aは、第2算出部により算出された、各攻撃に対する一致率に基づいて、攻撃特定部30Aにより特定できなかった異常に対応する攻撃の種類を推定する(すなわち、推定部として機能する)。攻撃推定部32Aを構成する推定部により、攻撃特定部30Aにより特定できなかった異常が、一致率に基づいて、既存のどの攻撃の種類に類似しているのかを推定することが可能となる。
インシデント対応部33は、攻撃特定部30Aにより異常に対応する攻撃の種類が特定された場合、特定された攻撃の種類に対する対応処理を行う第1インシデント対応部として機能する。また、インシデント対応部33は、攻撃推定部32Aにより異常に対応する攻撃の種類が推定された場合、推定された攻撃の種類に対する対応処理を行う第2インシデント対応部として機能する。
攻撃特定部30Aにより異常に対応する攻撃の種類が特定された場合に、インシデント対応部33に出力される攻撃特定データには、例えば、ゲートウェイECU10Aにおいて攻撃されたCH、異常があったフレーム、異常があった内部処理、及び特定された攻撃に関するデータが含まれる。インシデント対応部33は、攻撃特定部30Aから取得した攻撃特定データに基づいて、特定された攻撃の種類に対する所定の対策処理を実行する。
また、攻撃推定部32Aにより異常に対応する攻撃の種類が推定された場合に、インシデント対応部33に出力される攻撃推定データには、例えば、ゲートウェイECU10Aにおいて攻撃されたCH、異常があったフレーム、異常があった内部処理、及び推定された攻撃に関するデータが含まれる。インシデント対応部33は、攻撃推定部32Aから取得した攻撃推定データに基づいて、推定された攻撃の種類に対する所定の対策処理を実行する。例えば、一致率が最も高い攻撃の種類に対する対策処理を実行する。
[動作例]
次に実施の形態(2)に係るゲートウェイECU10Aを構成するセキュリティ制御部12Aが行う処理動作について説明する。なお、実施の形態(2)に係るゲートウェイECU10Aを構成するセキュリティ制御部12Aが行う処理動作は、基本的には、実施の形態(1)に係るゲートウェイECU10を構成するセキュリティ制御部12が行う処理動作と同様であるので、同様の処理については、その説明を省略する。
実施の形態(1)との主な相違点は、実施の形態(2)に係るゲートウェイECU10Aでは、フレーム異常及びバス異常に加えて、さらに内部処理異常の検出を行い、これらの異常の組み合わせに基づいて、攻撃の種類を特定する処理を行い、また、攻撃の種類を特定できない場合に、その攻撃の種類を推定する処理を行う点である。
まず、図12に示した概略フローチャートに基づいて、実施の形態(2)に係るゲートウェイECU10Aを構成するセキュリティ制御部12Aが行う処理動作について説明する。
ステップS1では、セキュリティ制御部12Aは、車載ネットワーク2にセキュリティ攻撃による異常が発生したか否かを判断し、異常が発生していないと判断すれば処理を終える一方、異常が発生したと判断すれば、ステップS2に処理を進める。
ステップS2では、セキュリティ制御部12Aは、各ECU群から受信したフレーム、各CHに接続されたバス3、又はゲートウェイECU10Aの内部処理に発生した異常を検出する処理を行い、その後ステップS3に処理を進める。
ステップS3では、セキュリティ制御部12Aは、受信したフレーム、バス3、又はゲートウェイECU10Aの内部処理に発生した異常のデータ(すなわち、異常の検出結果)を収集する処理を行い、その後ステップS4に処理を進める。
ステップS4では、セキュリティ制御部12Aは、収集された異常のデータを用いて、セキュリティ攻撃の種類を特定する処理、また、攻撃の種類を特定できない場合に、その攻撃の種類を推定する処理を行い、その後ステップS5に処理を進める。ステップS5では、セキュリティ制御部12Aは、特定された攻撃の種類、又は推定された攻撃の種類に対応するインシデント対策を実施する処理を行い、その後処理を終える。
次に、実施の形態(2)に係るゲートウェイECU10Aを構成するセキュリティ制御部12Aが行う異常検出処理動作について説明する。セキュリティ制御部12Aが行うフレーム異常とバス異常の検出処理動作は、図13に示したフローチャートに基づいて説明した内容と略同様であるので、ここではその説明を省略する。
図19に示すフローチャートに基づいて、セキュリティ制御部12Aが行う内部処理異常の検出処理動作を説明する。本処理動作は、ゲートウェイECU10Aの動作中に実行される。
まずステップS51では、セキュリティ制御部12Aは、ゲートウェイ機能部11の各機能(例えば、フレームの受信機能、転送機能、送信機能など)が実行されているときの内部制御処理の状態を監視する処理を行い、ステップS52に処理を進める。
ステップS52では、セキュリティ制御部12Aは、監視した内部処理の状態、例えば、各機能の制御処理時間、機能実行回数、機能実行処理順、及びハードウェアのリソースのうちの少なくとも1つ以上の状態に基づいて、内部処理異常を検出したか否かを判断する。
ステップS52において、セキュリティ制御部12Aが内部処理異常を検出していないと判断すれば、ゲートウェイ機能部11の機能実行時における異常検出処理を終える一方、異常を検出したと判断すれば、ステップS53に処理を進める。
ステップS53では、セキュリティ制御部12Aは、現在、セキュリティ攻撃による異常のデータを収集している状態(異常収集状態)であるか否か(換言すれば、異常データ収集部26が作動中か否か)を判断し、現在、異常のデータを収集している状態であると判断すれば、ステップS55に処理を進める。一方、ステップS53において、セキュリティ制御部12Aが、現在、異常のデータを収集している状態ではないと判断すれば、ステップS54に処理を進め、ステップS54では、セキュリティ攻撃による異常を収集する状態に遷移する(換言すれば、異常データ収集部26Aにより異常のデータの収集を開始する)処理を行い、その後ステップS55に処理を進める。
ステップS55では、セキュリティ制御部12Aは、ステップS52で検出された内部処理異常が、異常収集状態に遷移後、既に検出された異常であるか否かを判断し、既に検出された異常であると判断すれば、ゲートウェイ機能部11の機能実行時における内部処理の異常検出処理を終える。
一方、ステップS55において、セキュリティ制御部12Aは、既に検出された内部処理異常ではない(換言すれば、未検出の異常である)と判断すればステップS56に処理を進め、ステップS56では、検出された内部処理異常のデータを異常データ保持部27Aに保存し、その後ゲートウェイ機能部11の機能実行時における内部処理の異常検出処理を終える。
実施の形態(2)に係るゲートウェイECU10Aを構成するセキュリティ制御部12Aが行う異常収集処理動作は、図14に示したフローチャートに基づいて説明した内容と略同様であるので、ここではその説明を省略する。
また、実施の形態(2)に係るゲートウェイECU10Aを構成するセキュリティ制御部12Aが行う攻撃特定処理動作は、図15に示したフローチャートに基づいて説明した内容と以下の相違点を除いて略同様であるので、その説明を省略する。
相違点の一つは、異常検出パターン保持部29Aから図17に例示したような内部処理異常を含む異常検出パターン29bを読み出し、攻撃の種類を特定する処理を行う点である。
他の相違点は、攻撃の種類を特定できなかった場合(同一の異常検出パターンが検出されなかった場合)に、攻撃推定パターン保持部31Aから図18に例示したような内部処理異常を含む攻撃推定パターン31bを読み出し、攻撃の種類を推定する処理を行う点である。
[作用・効果]
実施の形態(2)に係るゲートウェイECU10Aによれば、実施の形態(1)に係るゲートウェイECU10と同様の作用効果を得ることができる。さらに、セキュリティ制御部12Aでは、フレーム異常とバス異常に加えて、さらに内部処理異常が検出可能となっているので、これら内部処理異常を踏まえて、攻撃の種類の特定、又は攻撃の種類の推定を行うことができ、より多様な種類の攻撃の特定や推定を行うことが可能となる。
[変形例]
以上、本発明の実施の形態を詳細に説明したが、前述までの説明はあらゆる点において本発明の例示に過ぎない。本発明の範囲を逸脱することなく、種々の改良や変更を行うことができることは言うまでもない。
例えば、ゲートウェイECU10、10Aに実装されたセキュリティ制御部12、12Aを、他のECUに搭載してもよいし、セキュリティ制御部12、12Aが装備されたセキュリティECUを車載ネットワーク2に接続する構成としてもよい。
また別の実施の形態に係るゲートウェイECUでは、セキュリティ制御部12、12Aに、異常データ収集部26、26Aにより収集された異常のデータを異常ログとして蓄積する異常ログ蓄積部をさらに備えてもよい。係る構成によれば、前記異常ログ蓄積部に異常のデータが異常ログとして蓄積されるので、前記異常ログ蓄積部に蓄積された異常ログを用いて事後解析を行うことが可能となる。
また別の実施の形態に係るゲートウェイECUでは、セキュリティ制御部12、12Aに、車載ネットワーク2に接続された情報系ECU群7に含まれる報知装置を介して車内の乗員に異常を報知する報知処理部をさらに備えてもよい。報知部として機能する報知装置には、ナビゲーション装置、又はオーディオ機器などが適用され得る。係る構成によれば、前記報知処理部によって、報知装置を介して車内の乗員に異常を報知することが可能となるので、乗員に、異常に対して適切な対応を実施させることが可能となる。
また別の実施の形態に係るゲートウェイECUでは、セキュリティ制御部12、12Aに、車載ネットワーク2に接続された情報系ECU群7に含まれるテレマティクス装置、又はITS関連装置を介して車外に異常を通報する通報処理部をさらに備えてもよい。係る構成によれば、前記通報処理部によって、外部通報部として機能するテレマティクス装置、又はITS関連装置を介して車外に異常を通報することが可能となるので、例えば、周辺の他車、インフラ設備、ディーラー、メーカー、又は公的機関に、異常の発生を知らせることができ、車外から異常に対して適切な対応を実施することが可能となる。
また、上記実施の形態では、車載ネットワーク2に接続されたゲートウェイECU10、10Aに本発明に係る技術が適用された例を説明した。車載ネットワーク2は、本発明に係る技術が適用される機器ネットワークの一例である。本発明に係る技術は、他の機器ネットワーク、例えば、FA(Factory Automation)システムを構成する1以上の産業機器が通信路を介して接続された産業機器ネットワーク、家電製品などを含む家庭用機器が接続されたホーム機器ネットワーク、又は事務用機器が接続された事務機器ネットワークなどに含まれるセキュリティ装置にも適用可能である。例えば、図1〜図19に基づいて説明した車載ネットワーク2への適用例を、産業機器ネットワーク、ホーム機器ネットワーク、又は事務機器ネットワークに適用することが可能である。その場合、それぞれの機器ネットワークに対応できるように、本発明の範囲を逸脱することなく種々の改良や変形を行うことができ、実施形態に応じた具体的構成が適宜採用され得る。
上記のFAシステムには、例えば、各種物品の搬送システム、検査システム、ロボットを用いた組立システムなどが含まれる。また、これらFAシステムを構成する産業機器に搭載される制御機器には、例えば、プログラマブルコントローラ(以下、PLCという)、モーション位置制御コントローラ、フィールドネットワーク機器、無線機器、センサ、アクチュエータ、ロボット、HMI機器、及びデータ収集機器のうちの少なくとも1つが含まれてもよい。また、FAシステムにおいて各種の制御機器を接続する通信路は、有線でもよいし、無線でもよい。また、機器ネットワークにおける通信プロトコルはCANプロトコルに限定されず、機器ネットワークに適した通信プロトコルが採用され得る。
図20は、変形例に係るセキュリティ装置をFAシステムに適用した例を示す概略ブロック図である。
FAシステム100は、セキュリティ装置110と、セキュリティ装置110に接続された1以上のPLC104と、PLC104に接続された入力機器105及び出力機器106とを含んで構成され、これらがバス103を介して接続されて、産業機器ネットワーク101が構築されている。産業機器ネットワーク101は、FAシステム100を構成する通信ネットワークであり、例えば、CANなどの所定の通信プロトコルに従って通信するネットワークである。
PLC104がFAシステム100を構成する制御機器の一例である。
また、セキュリティ装置110には、SCADA(Supervisory Control And Data Acquisition)107とPC(Personal Computer)108とが接続されている。
FAシステム100では、セキュリティ装置110に本発明に係る技術が搭載されている。セキュリティ装置110は、実施の形態(1)に係るゲートウェイECU10のセキュリティ制御部12と同様のハードウェア構成及び機能構成を備えてもよいし、実施の形態(2)に係るゲートウェイECU10Aのセキュリティ制御部12Aと同様のハードウェア構成及び機能構成を備えてもよい。
この場合、異常検出パターン保持部29、29A、及び攻撃推定パターン保持部31、31Aに保持されている攻撃種別の項目(図3、図6、図17、図18を参照)には、産業機器ネットワーク101において想定され得る攻撃の種類が設定され、これら攻撃の種類ごとの異常検出パターン、攻撃推定パターンが設定されることとなる。
PLC104は、例えば、所定のプログラムを実行するプロセッサを含む制御ユニットと、入力機器105と出力機器106などが接続される入出力ユニットと、セキュリティ装置110などが接続される通信ユニットとを含んで構成されている。入力機器105には、例えば、各種のセンサ、又はスイッチなどの機器が含まれる。出力機器106には、例えば、各種のアクチュエータ、ロボット、リレー、又はバルブなどの制御対象機器が含まれる。なお、入力機器105と出力機器106は、PLC104に直接接続されてもよいし、フィールドネットワークを介して接続されてもよい。
PLC104は、入力機器105からデータを入力し、所定のプログラムにしたがって演算処理を実行し、得られた演算結果に基づいて、出力機器106に対し、オン/オフなどの動作信号を出力する制御などを実行する。
SCADA107は、FAシステム100の運用状態を監視したり、プロセス制御などを実行したりするコンピュータ装置である。PC108は、汎用のコンピュータ装置であり、PC108を操作することで、FAシステム100を構成する各種機器の設定などのメンテナンス操作が行えるようになっている。
セキュリティ装置110によれば、実施の形態(1)に係るゲートウェイECU10、又は実施の形態(2)に係るゲートウェイECU10Aと同様の構成を備えているので、ゲートウェイECU10、又はゲートウェイECU10Aと同様の効果をFAシステム100で得ることができる。
すなわち、セキュリティ装置110によれば、FAシステム100を構成する産業機器ネットワーク101に対する攻撃が実行された場合に、FAシステム100内で、すなわちセキュリティ装置110において、負荷が軽減された処理でその攻撃が判定され、判定された攻撃に応じたインシデント対応処理が実行される。これにより、迅速なインシデント対応が可能となり、FAシステム100のオペレータは、セキュリティの脅威に対して不安を抱くことなく、より安心してFAシステムを運用することが可能となる。
図21は、別の変形例に係るFAシステムを示す概略ブロック図である。但し、図20に示したFAシステム100と同一機能を有する構成には、同一符号を付し、その説明を省略することとする。
図20に示したFAシステム100では、セキュリティ装置110がPLC104とは別の装置として装備され、セキュリティ装置110がPLC104にそれぞれ接続されている構成となっている。一方、図21に示すFAシステム100Aでは、PLC104Aに、本発明に係るセキュリティ装置として機能するセキュリティ処理部1041が装備されている。セキュリティ処理部1041は、例えば、セキュリティ機能を実現するソフトウェアモジュールで構成され、実施の形態(1)に係るゲートウェイECU10のセキュリティ制御部12を構成する各部の機能が装備されてもよいし、実施の形態(2)に係るゲートウェイECU10Aのセキュリティ制御部12Aを構成する各部の機能が装備されてもよい。
この場合、FAシステム100Aに含まれる全てのPLC104Aにセキュリティ処理部1041がそれぞれ装備されてもよいし、FAシステム100Aに含まれる複数のPLC104Aのうちのいずれか1以上のPLC104Aにセキュリティ処理部1041が装備されてもよい。
セキュリティ処理部1041が装備されたPLC104Aによれば、ゲートウェイECU10、又はゲートウェイECU10Aと同様の効果をFAシステム100Aで得ることができる。
すなわち、セキュリティ処理部1041が搭載されたPLC104Aによれば、FAシステム100Aを構成する産業機器ネットワーク101に対する攻撃が実行された場合に、FAシステム100A内で、すなわちPLC104Aにおいて、負荷が軽減された処理でその攻撃が判定され、判定された攻撃に応じたインシデント対応処理が実行される。これにより、迅速なインシデント対応が可能となり、FAシステム100Aのオペレータは、セキュリティの脅威に対して不安を抱くことなく、より安心してFAシステムを運用することが可能となる。
なお、図21では、FAシステム100Aを構成するPLC104Aにセキュリティ処理部1041が装備されている場合について説明したが、さらに別の変形例では、FAシステムに含まれるPLCとは別の制御機器にセキュリティ処理部1041の機能が装備されてもよい。
[付記]
本発明の実施の形態は、以下の付記の様にも記載され得るが、これらに限定されない。
(付記1)
1以上の制御装置(5、6、7)がバス(3)を介して接続された機器ネットワーク(2)に含まれるセキュリティ装置(10)であって、
前記機器ネットワーク(2)に対する攻撃により発生した異常を検出する異常検出部(22、24)と、
該異常検出部(22、24)により検出された前記異常のデータを収集する異常データ収集部(26)と、
該異常データ収集部(26)により収集された前記異常のデータを保持する異常データ保持部(27)と、
複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成される、前記攻撃の種類ごとの異常検出パターンを保持する異常検出パターン保持部(29)と、
前記異常データ保持部(27)に保持された前記異常のデータと、前記異常検出パターン保持部(29)に保持されている前記攻撃の種類ごとの異常検出パターンとに基づいて、前記異常に対応する攻撃の種類を特定する攻撃特定部(30)とを備えていることを特徴とするセキュリティ装置(10)。
(付記2)
1以上の制御装置(5、6、7)がバス(3)を介して接続された機器ネットワーク(2)に含まれる少なくとも1以上のコンピュータ(10)が実行する攻撃特定方法であって、
前記機器ネットワーク(2)に対する攻撃により発生した異常を検出する異常検出ステップ(S2)と、
該異常検出ステップ(S2)により検出された前記異常のデータを収集する異常データ収集ステップ(S3)と、
該異常データ収集ステップ(S3)により収集された前記異常のデータを異常データ保持部(27)に保持する保持ステップ(S16)と、
前記異常データ保持部(27)に保持された前記異常のデータと、異常検出パターン保持部(29)に保持されている前記攻撃の種類ごとの異常検出パターンとに基づいて、前記異常に対応する攻撃の種類を特定する攻撃特定ステップ(S4)とを含み、
前記攻撃の種類ごとの異常検出パターンが、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成されていることを特徴とする攻撃特定方法。
(付記3)
機器ネットワーク(2)に接続されたコンピュータ(10)に実行させるためプログラムであって、
前記コンピュータ(10)に、
前記機器ネットワーク(2)に対する攻撃により発生した異常を検出する異常検出ステップ(S2)と、
該異常検出ステップにより検出された前記異常のデータを収集する異常データ収集ステップ(S3)と、
該異常データ収集ステップ(S3)により収集された前記異常のデータを異常データ保持部(27)に保持する保持ステップ(S16)と、
前記異常データ保持部(27)に保持された前記異常のデータと、異常検出パターン保持部(29)に保持されている前記攻撃の種類ごとの異常検出パターンとに基づいて、前記異常に対応する攻撃の種類を特定する攻撃特定ステップ(S4)とを実行させるためのプログラムであり、
前記攻撃の種類ごとの異常検出パターンが、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成されていることを特徴とするプログラム。
1 車両
2 車載ネットワーク(機器ネットワーク)
3 バス
4 OBDII
5 走行系ECU群
6 ボディ系ECU群
7 情報系ECU群
10、10A ゲートウェイECU(セキュリティ装置)
11 ゲートウェイ機能部
12、12A セキュリティ制御部
21 フレーム受信部
22 フレーム異常検出部
23 バス監視部
24 バス異常検出部
25 正常値保持部
25A フレーム正常値保持部
25B バス正常値保持部
26、26A 異常データ収集部
27、27A 異常データ保持部
28 タイマー
29、29A 異常検出パターン保持部
30、30A 攻撃特定部
31、31A 攻撃推定パターン保持部
32、32A 攻撃推定部
33 インシデント対応部
100、100A FAシステム
101 産業機器ネットワーク(機器ネットワーク)
103 バス
104、104A PLC
1041 セキュリティ処理部
105 入力機器
106 出力機器
107 SCADA
108 PC
110 セキュリティ装置

Claims (19)

  1. 1以上の機器が通信路を介して接続された機器ネットワークに含まれるセキュリティ装置であって、
    前記機器ネットワークに対する攻撃により発生した異常を検出する異常検出部と、
    該異常検出部により検出された前記異常のデータを収集する異常データ収集部と、
    該異常データ収集部により収集された前記異常のデータを保持する異常データ保持部と、
    複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成される、前記攻撃の種類ごとの異常検出パターンを保持する異常検出パターン保持部と、
    前記異常データ保持部に保持された前記異常のデータと、前記異常検出パターン保持部に保持されている前記異常検出パターンとに基づいて、前記異常に対応する前記攻撃の種類を特定する攻撃特定部とを備えていることを特徴とするセキュリティ装置。
  2. 前記複数の異常検出項目それぞれに対する重み付け値の組み合わせデータを含んで構成される、前記攻撃の種類ごとの攻撃推定パターンを保持する攻撃推定パターン保持部と、
    前記攻撃特定部により前記攻撃の種類を特定することができなかった場合に、前記異常データ保持部に保持された前記異常のデータと、前記攻撃推定パターン保持部に保持されている前記攻撃推定パターンとに基づいて、前記異常に対応する前記攻撃の種類を推定する攻撃推定部とを備えていることを特徴とする請求項1記載のセキュリティ装置。
  3. 前記異常データ保持部に保持される前記異常のデータが、
    前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータを含み、
    前記攻撃特定部が、
    前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータと、前記異常検出パターンとを照合して、前記異常に対応する前記攻撃の種類を特定するものであることを特徴とする請求項1記載のセキュリティ装置。
  4. 前記異常データ保持部に保持される前記異常のデータが、
    前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータを含み、
    前記攻撃推定パターンが、
    前記重み付け値の組み合わせデータの和を示す第1合計値を含み、
    前記攻撃推定部が、
    前記攻撃の種類ごとに、前記複数の異常検出項目それぞれに対する検出有無の結果を示すデータと前記重み付け値との積の和を示す第2合計値を算出する第1算出部と、
    前記攻撃の種類ごとに、前記第1合計値と前記第2合計値との一致率を算出する第2算出部と、
    該第2算出部により算出された前記一致率に基づいて、前記異常に対応する前記攻撃の種類を推定する推定部とを備えていることを特徴とする請求項2記載のセキュリティ装置。
  5. 前記通信路を介して受信したメッセージが正常である場合における、前記複数の異常検出項目それぞれの正常値を保持するメッセージ正常値保持部を備え、
    前記複数の異常検出項目には、前記メッセージの異常に関する1以上の項目を含み、
    前記異常検出部が、
    前記メッセージ正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記攻撃によるメッセージ異常を検出するメッセージ異常検出部を備え、
    前記異常データ収集部が、
    前記メッセージ異常検出部で検出された前記メッセージ異常のデータを収集するものであることを特徴とする請求項1〜4のいずれかの項に記載のセキュリティ装置。
  6. 前記通信路の状態が正常である場合における、前記複数の異常検出項目それぞれの正常値を保持する通信路正常値保持部を備え、
    前記複数の異常検出項目には、前記通信路の異常に関する1以上の項目を含み、
    前記異常検出部が、
    前記通信路正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記攻撃による通信路異常を検出する通信路異常検出部を備え、
    前記異常データ収集部が、
    前記通信路異常検出部で検出された前記通信路異常のデータを収集するものであることを特徴とする請求項1〜5のいずれかの項に記載のセキュリティ装置。
  7. 当該セキュリティ装置の内部処理が正常である場合における、前記複数の異常検出項目それぞれの正常値を保持する内部処理正常値保持部を備え、
    前記複数の異常検出項目には、前記内部処理の異常に関する1以上の項目を含み、
    前記異常検出部が、
    前記内部処理正常値保持部に保持された前記複数の異常検出項目それぞれの正常値に基づいて、前記内部処理の異常を検出する内部処理異常検出部を備え、
    前記異常データ収集部が、
    前記内部処理異常検出部で検出された前記内部処理の異常のデータを収集するものであることを特徴とする請求項1〜6のいずれかの項に記載のセキュリティ装置。
  8. 前記異常データ収集部が、
    前記異常検出部により前記異常が検出されてから所定時間内に検出された前記異常のデータを収集するものであることを特徴とする請求項1〜7のいずれかの項に記載のセキュリティ装置。
  9. 前記異常データ収集部により収集された前記異常のデータを異常ログとして蓄積する異常ログ蓄積部を備えていることを特徴とする請求項1〜8のいずれかの項に記載のセキュリティ装置。
  10. 前記攻撃特定部により前記異常に対応する前記攻撃の種類が特定された場合、特定された前記攻撃の種類に対する対応処理を行う第1インシデント対応部を備えていることを特徴とする請求項1又は請求項3記載のセキュリティ装置。
  11. 前記攻撃推定部により前記異常に対応する前記攻撃の種類が推定された場合、推定された前記攻撃の種類に対する対応処理を行う第2インシデント対応部を備えていることを特徴とする請求項2又は請求項4記載のセキュリティ装置。
  12. 前記機器ネットワークに接続された報知部を作動させて前記異常を報知する報知処理部を備えていることを特徴とする請求項1〜11のいずれかの項に記載のセキュリティ装置。
  13. 前記機器ネットワークに接続された外部通報部を作動させて外部に前記異常を通報する通報処理部を備えていることを特徴とする請求項1〜12のいずれかの項に記載のセキュリティ装置。
  14. 前記機器が、車両に搭載される制御装置であり、
    前記機器ネットワークが、車載ネットワークであることを特徴とする請求項1〜13のいずれかの項に記載のセキュリティ装置。
  15. 前記機器が、FA(Factory Automation)システムを構成する産業機器に搭載される制御機器であり、
    前記機器ネットワークが、前記FAシステムを構成する産業機器ネットワークであることを特徴とする請求項1〜13のいずれかの項に記載のセキュリティ装置。
  16. 1以上の機器が通信路を介して接続された機器ネットワークに含まれる少なくとも1以上のコンピュータが実行する攻撃特定方法であって、
    前記機器ネットワークに対する攻撃により発生した異常を検出する異常検出ステップと、
    該異常検出ステップにより検出された前記異常のデータを収集する異常データ収集ステップと、
    該異常データ収集ステップにより収集された前記異常のデータを異常データ保持部に保持する保持ステップと、
    前記異常データ保持部に保持された前記異常のデータと、異常検出パターン保持部に保持されている前記攻撃の種類ごとの異常検出パターンとに基づいて、前記異常に対応する前記攻撃の種類を特定する攻撃特定ステップとを含み、
    前記異常検出パターンが、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成されていることを特徴とする攻撃特定方法。
  17. 前記攻撃特定ステップにより前記攻撃の種類を特定することができなかった場合に、前記異常データ保持部に保持された前記異常のデータと、攻撃推定パターン保持部に保持されている前記攻撃の種類ごとの攻撃推定パターンとに基づいて、前記異常に対応する前記攻撃の種類を推定する攻撃推定ステップを含み、
    前記攻撃推定パターンが、前記複数の異常検出項目それぞれに対する重み付け値の組み合わせデータを含んで構成されていることを特徴とする請求項16記載の攻撃特定方法。
  18. 1以上の機器が通信路を介して接続された機器ネットワークに含まれる少なくとも1以上のコンピュータに実行させるためプログラムであって、
    前記少なくとも1以上のコンピュータに、
    前記機器ネットワークに対する攻撃により発生した異常を検出する異常検出ステップと、
    該異常検出ステップにより検出された前記異常のデータを収集する異常データ収集ステップと、
    該異常データ収集ステップにより収集された前記異常のデータを異常データ保持部に保持する保持ステップと、
    前記異常データ保持部に保持された前記異常のデータと、異常検出パターン保持部に保持されている前記攻撃の種類ごとの異常検出パターンとに基づいて、前記異常に対応する前記攻撃の種類を特定する攻撃特定ステップとを実行させるためのプログラムであり、
    前記異常検出パターンが、複数の異常検出項目それぞれに対する検出要否の組み合わせデータを含んで構成されていることを特徴とするプログラム。
  19. 前記少なくとも1以上のコンピュータに、
    前記攻撃特定ステップにより前記攻撃の種類を特定することができなかった場合に、前記異常データ保持部に保持された前記異常のデータと、攻撃推定パターン保持部に保持されている前記攻撃の種類ごとの攻撃推定パターンとに基づいて、前記異常に対応する前記攻撃の種類を推定する攻撃推定ステップをさらに実行させるためのプログラムであり、
    前記攻撃推定パターンが、前記複数の異常検出項目それぞれに対する重み付け値の組み合わせデータを含んで構成されていることを特徴とする請求項18記載のプログラム。
JP2019136882A 2019-01-29 2019-07-25 セキュリティ装置、攻撃特定方法、及びプログラム Pending JP2020123307A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/045105 WO2020158118A1 (ja) 2019-01-29 2019-11-18 セキュリティ装置、攻撃特定方法、プログラム、及び記憶媒体

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019012956 2019-01-29
JP2019012956 2019-01-29

Publications (1)

Publication Number Publication Date
JP2020123307A true JP2020123307A (ja) 2020-08-13

Family

ID=71992801

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019136882A Pending JP2020123307A (ja) 2019-01-29 2019-07-25 セキュリティ装置、攻撃特定方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP2020123307A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022014421A1 (ja) 2020-07-17 2022-01-20 ソニーグループ株式会社 発光装置および画像表示装置
CN114301739A (zh) * 2021-12-29 2022-04-08 北京国家新能源汽车技术创新中心有限公司 一种中央网关安全架构、系统及存储介质
WO2022185626A1 (ja) * 2021-03-01 2022-09-09 パナソニックIpマネジメント株式会社 監視システム
EP4068690A1 (en) 2021-03-29 2022-10-05 Denso Corporation Attack analyzer, attack analysis method and attack analysis program
JP7258258B1 (ja) * 2022-08-08 2023-04-14 三菱電機株式会社 プログラマブルコントローラ、プログラマブルコントローラシステム、アクセス情報共有方法及びプログラム
DE102024108447A1 (de) 2023-03-27 2024-10-02 Denso Corporation Protokollverwaltungsvorrichtung, elektronisches steuersystem, protokollverwaltungsverfahren und protokollverwaltungsprogramm

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013168763A (ja) * 2012-02-15 2013-08-29 Hitachi Ltd セキュリティ監視システムおよびセキュリティ監視方法
WO2018100783A1 (ja) * 2016-12-01 2018-06-07 住友電気工業株式会社 検知装置、検知方法および検知プログラム
WO2018186054A1 (ja) * 2017-04-07 2018-10-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
JP2019008618A (ja) * 2017-06-26 2019-01-17 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013168763A (ja) * 2012-02-15 2013-08-29 Hitachi Ltd セキュリティ監視システムおよびセキュリティ監視方法
WO2018100783A1 (ja) * 2016-12-01 2018-06-07 住友電気工業株式会社 検知装置、検知方法および検知プログラム
WO2018186054A1 (ja) * 2017-04-07 2018-10-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
JP2019008618A (ja) * 2017-06-26 2019-01-17 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法及びプログラム

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022014421A1 (ja) 2020-07-17 2022-01-20 ソニーグループ株式会社 発光装置および画像表示装置
WO2022185626A1 (ja) * 2021-03-01 2022-09-09 パナソニックIpマネジメント株式会社 監視システム
EP4068690A1 (en) 2021-03-29 2022-10-05 Denso Corporation Attack analyzer, attack analysis method and attack analysis program
JP7517223B2 (ja) 2021-03-29 2024-07-17 株式会社デンソー 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
CN114301739A (zh) * 2021-12-29 2022-04-08 北京国家新能源汽车技术创新中心有限公司 一种中央网关安全架构、系统及存储介质
CN114301739B (zh) * 2021-12-29 2023-08-22 北京国家新能源汽车技术创新中心有限公司 一种中央网关安全架构、系统及存储介质
JP7258258B1 (ja) * 2022-08-08 2023-04-14 三菱電機株式会社 プログラマブルコントローラ、プログラマブルコントローラシステム、アクセス情報共有方法及びプログラム
WO2024033971A1 (ja) * 2022-08-08 2024-02-15 三菱電機株式会社 プログラマブルコントローラ、プログラマブルコントローラシステム、アクセス情報共有方法及びプログラム
DE102024108447A1 (de) 2023-03-27 2024-10-02 Denso Corporation Protokollverwaltungsvorrichtung, elektronisches steuersystem, protokollverwaltungsverfahren und protokollverwaltungsprogramm

Similar Documents

Publication Publication Date Title
JP2020123307A (ja) セキュリティ装置、攻撃特定方法、及びプログラム
WO2020075800A1 (ja) 分析装置、分析システム、分析方法及びプログラム
CN106462702B (zh) 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统
EP3744583B1 (en) Data analysis device and program
CN108885664A (zh) 信息处理方法、信息处理系统、以及程序
US20170180370A1 (en) Communication system and information collection method executed in communication system
CN103246265A (zh) 机电设备检测维护系统及检测维护方法
CN112639909A (zh) 设备、数据发送方法及程序
CN106104556A (zh) 日志分析系统
CN109063486B (zh) 一种基于plc设备指纹识别的安全渗透测试方法与系统
CN114585983A (zh) 用于检测设备的异常运行状态的方法、装置和系统
KR101585342B1 (ko) 이상행위 탐지 장치 및 방법
CN103034802A (zh) 一种基于智能规则匹配的自动巡检系统及方法
WO2020075809A1 (ja) 情報処理装置、データ分析方法及びプログラム
US10693841B2 (en) System and method for transmitting data relating to an object
CN111989678A (zh) 信息处理装置、信息处理方法以及程序
JP7318710B2 (ja) セキュリティ装置、インシデント対応処理方法、プログラム、及び記憶媒体
WO2020158118A1 (ja) セキュリティ装置、攻撃特定方法、プログラム、及び記憶媒体
CN104794039A (zh) 服务软件的远程监测方法和装置
WO2018193571A1 (ja) 機器管理システム、モデル学習方法およびモデル学習プログラム
KR20130063866A (ko) 엠투엠 단말기 진단시스템 및 방법
KR102417752B1 (ko) 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법
JP7160206B2 (ja) セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体
JP2020009288A (ja) 演算システム、演算装置
US20230319085A1 (en) Attack path generation method and attack path generation device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190829

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220513

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230509

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20231114