JP2021510478A - 車両内ネットワークにセキュリティを提供するシステム及び方法 - Google Patents

車両内ネットワークにセキュリティを提供するシステム及び方法 Download PDF

Info

Publication number
JP2021510478A
JP2021510478A JP2020538073A JP2020538073A JP2021510478A JP 2021510478 A JP2021510478 A JP 2021510478A JP 2020538073 A JP2020538073 A JP 2020538073A JP 2020538073 A JP2020538073 A JP 2020538073A JP 2021510478 A JP2021510478 A JP 2021510478A
Authority
JP
Japan
Prior art keywords
network
detection
message
messages
collected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020538073A
Other languages
English (en)
Other versions
JP7071510B2 (ja
Inventor
ウク パク,スン
ウク パク,スン
キム,セイル
ゾ,ア−ラム
Original Assignee
ヒョンダイ モーター カンパニー
ヒョンダイ モーター カンパニー
キアモータース コーポレーション
キアモータース コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ヒョンダイ モーター カンパニー, ヒョンダイ モーター カンパニー, キアモータース コーポレーション, キアモータース コーポレーション filed Critical ヒョンダイ モーター カンパニー
Publication of JP2021510478A publication Critical patent/JP2021510478A/ja
Application granted granted Critical
Publication of JP7071510B2 publication Critical patent/JP7071510B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】本発明は、車両内ネットワークにセキュリティを提供するための侵入検知システム及び方法を提供する。【解決手段】本発明によれば、悪意的なメッセージ検知に対する強靭性を維持しながらも、全体的な検知効率を高めるために、複数の検知技法を効率的運用するシステム及び方法を提供する。【選択図】図2

Description

本発明は、車両内ネットワークにセキュリティを提供するシステム及び方法に関する。
この項目に記述した内容は、単に本発明に関する背景情報を提供するに留まり、従来の技術を構成するものではない。
侵入検知システム(Intrusion Detection System;IDS)と侵入防止システム(Intrusion Protection System;IPS)は、ネットワークのセキュリティに広く用いられてきた。IDSは、ネットワーク活動を監視し、不審な行動を検知する。IPSは、検知した侵入に対応(例えば、システムに影響を与え得る信号を遮断)する機能もしくは能力を備えたシステムをいう。通常IDSとIPSは一緒に用いられ、このようなシステムは、IDPS(Intrusion Detection and Prevention System)と称する。
車両に搭載する電子制御装置(ECU)の数が大幅に増加し、有線及び無線ネットワークを介して車両が外部ネットワークとつながるにしたがい、車両の内部ネットワークのセキュリティ脅威を検知して対応するためにIDSまたはIDPSを導入する傾向にある。
本発明は、上記従来の問題点に鑑みてなされたものであって、本発明の目的は、車両に搭載するのに適した侵入検知システムIDSのアーキテクチャと、悪意的なメッセージ検知に対する強靭性を維持しながら、必要なシステムリソースを減らすことができる複数の検知技法の効率的な運用方法を提供することにある。
上記目的を達成するためになされた本発明の一態様による侵入検知システムは、車両内ネットワークにセキュリティを提供するための侵入検知システムであって、車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、複数の検知技法に用いられるルールセットを安全に保存するためのストレージと、外部ネットワーク上のバックエンドサーバからダウンロードした新しいルールセットに、前記ストレージに保存されたルールセットをアップデートして、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対して前記複数の検知技法を段階的に適用するように構成されたルールエンジンを含むことを特徴とする。
前記ルールエンジンは、いずれかの検知技法が、前記収集したネットワークメッセージをセキュリティ脅威メッセージに決定することに応答して、前記収集したネットワークメッセージに対する残りの検知技法の適用をバイパスするように構成され得る。
前記複数の検知技法は、静的検知(static detection)技法、誤用検知(misuse detection)技法、及び変則検知(anomaly detection)技法を含み得る。
前記ルールエンジンは、前記収集したネットワークメッセージに対し、静的検知技法、誤用検知技法、変則検知技法の順に適用し得る。
前記侵入検知システムは、前記車両内ネットワークと外部ネットワークとを接続するセントラルゲートウェイ、前記車両内ネットワークの各機能ドメインと前記セントラルゲートウェイとを接続するサブゲートウェイ、及び前記各機能ドメインに属する電子制御装置(ECU)のうちのいずれかに組み込まれ得る。
前記ルールエンジンは、前記複数の検知技法のすべてが前記ネットワークメッセージをセキュリティ脅威メッセージでないと決定すること応答して、前記収集したネットワークメッセージが前記セントラルゲートウェイ、前記サブゲートウェイ、または前記電子制御装置のアプリケーションソフトウェアに伝達されることを許可するように構成され得る。
前記侵入検知システムは、前記車両内ネットワークにノードとして接続される独立したコンピューティングデバイスであり得る。
前記侵入検知システムは、前記ルールセットの暗号化及び復号化を実行して関連するキーを管理する暗号化モジュールをさらに含み得る。
前記侵入検知システムは、前記バックエンドサーバから新しいルールセットをダウンロードしたり、検知ログをバックエンドサーバに伝送できるように、前記バックエンドサーバとの通信接続を管理するインターフェースマネージャーをさらに含み得る。
前記車両内ネットワークは、CAN(Controller Area Network)ネットワークであり得る。
上記目的を達成するためになされた本発明の一態様による方法は、侵入検知システムが車両内ネットワークにセキュリティを提供する方法であって、複数の検知技法に用いられるルールセットを外部ネットワーク上のバックエンドサーバからダウンロードして、予め保存されたルールセットをアップデートするステップと、車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するステップと、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対する前記複数の検知技法を段階的に適用するステップと、を含むことをを特徴とする。
前記複数の検知技法を段階的に適用するステップは、いずれかの検知技法が、前記収集したネットワークメッセージをセキュリティ脅威メッセージに決定することに応答して、前記収集したネットワークメッセージに対する残りの検知技法の適用をバイパスするステップを含み得る。
前記方法は、少なくとも1つのプロセッサ及び命令語を記録したメモリを含む電子装置によって実行され得る。前記命令語は、前記少なくとも1つのプロセッサによって実行されるときに前記電子装置をもって、前述した方法を実行するようにし得る。
上記目的を達成するためになされた本発明の一態様によるシステムは、車両内ネットワークにセキュリティを提供するためのシステムであって、車両内ネットワーク上の第1のノードで動作する第1の電子装置及び第2のノードで動作する第2の電子装置を含み、前記第1の電子装置及び第2の電子装置は、それぞれ、車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、1つ以上の検知技法に用いられるルールセットを安全に保存するためのストレージと、外部ネットワーク上のバックエンドサーバからダウンロードした新しいルールセットで、前記ストレージに保存したルールセットをアップデートして、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対して前記1つ以上の検知技法を段階的に適用するように構成したルールエンジンと、を含み、前記第1の電子装置は、前記車両内ネットワークと外部ネットワークとを接続するセントラルゲートウェイ、または前記車両内ネットワークの各機能ドメインと前記セントラルゲートウェイとを接続するサブゲートウェイであり、前記第2の電子装置は、前記各機能ドメインに属する電子制御装置(ECU)であり、前記第1の電子装置は、静的検知技法、誤用検知技法、及び変則検知技法を用い、前記第2の電子装置は、静的検知技法、誤用検知技法、及び変則検知技法のうちの一部の技法のみを用いることを特徴とする。
本発明による方法及びシステムによれば、悪意的なメッセージ検知に対する強靭性は維持しながらも素早く攻撃メッセージを検知することができ、全体的な検知効率を高めることができる。
CANネットワーク上でIDSを配置できる位置を例示した図である。 本発明の一実施形態によるIDS(あるいはIDPS)の機能的な構成を示すブロック図である。 本発明の一実施形態によるIDSの例示的な動作を示すフローチャートである。
以下、本発明の一実施形態を例示的な図面を通じて詳しく説明する。各図面の構成要素に参照符号を付加するにあたり、同一の構成要素に対しては、可能な限り同一の符号を有するようにする。また、本発明を説明するにあたり、関連した公知の構成または機能についての具体的な説明が本発明の要旨を曖昧にすると判断した場合には、その詳しい説明は省く。
また、本発明の構成要素を説明するにあたり、第1、第2、A、B、(a)、(b)などの用語を用いる場合がある。このような用語は、その構成要素を他の構成要素と区別するためのもので、その用語によって、該当構成要素の本質や順番や順序などは限定されない。本明細書全体において、ある部分がある構成要素を「含む」、「備える」と記載するとき、これは特に異なるとの記載がない限り、他の構成要素を除外するものではなく、他の構成要素をさらに含み得ることを意味する。また、本明細書に記載した「…部」、「…モジュール」などの用語は、少なくとも1つの機能や動作を処理する単位を意味し、これはハードウェアやソフトウェアまたはハードウェア及びソフトウェアの組み合わせで具現される。
図1は、車両のCANネットワーク上でIDSが配置される位置(A、B、C、D、E)を例示した図である。セントラルゲートウェイ(central gateway;CGW)は、車両内の様々なドメイン間でデータを伝達するルータの役割を果たし、外部ネットワークと車両ネットワークとの間の通信に対するゲートの役割を果たすセントラル通信ノードである。セントラルゲートウェイ(CGW)は、車両に入ってくるすべてのデータに対するゲートとみることができる。サブゲートウェイ(sub−gateway)は、パワートレイン、シャーシ、ボディ、インフォテインメント(Infotainment)などのような特定の機能ドメインを担当するローカル通信ノードである。図1では、各機能ドメインにてECU(Electronic Control Unit)がCANバスに接続されることを前提としているが、一部の機能ドメインで別の通信プロトコル(例えば、LIN、FlexRay(登録商標)、Ethernet(登録商標)など)を用いるバスに接続されることもある。
各位置別の長所と短所は次のとおりである。
(A)セントラルゲートウェイに搭載:外部とすべてのCANドメインが接続されているここにIDSを設けると、OBDポートを介してCANネットワークに入ってくるすべての攻撃を検知できる。したがって、攻撃の意図を持ったメッセージがCANネットワークに影響を与える前に、未然に把握することができる。しかし、別の場所に比べて非常に多くのメッセージを処理しなければならないため、内部ネットワークに侵入しようとする攻撃とそうでないメッセージとを区分し難いため、攻撃に効果的に対応し難い。
(B)セントラルゲートウェイの後:セントラルゲートウェイのメッセージフィルタリングを経た後のメッセージを検査する。(A)を通る前よりは少ない数の、より強力な意志を持つ攻撃者を検知できる。また、CANバックボーンネットワークに外部から直接アクセスして悪意的なメッセージを注入するハッキングを検知することができる。
(C)サブゲートウェイに搭載:特定のCANドメインに送受信されるCANメッセージを管理する位置にIDSを設置すると、(B)でのCANメッセージと、特定のCANドメインに流れるCANメッセージとの間の不一致性を簡単に検知することができる。CANドメイン内部から別のドメインに向かう攻撃も検知できる位置であるため、CANドメイン内部の攻撃者も一定レベル以上検知できる。
(D)サブゲートウェイの後:特定の悪意的なメッセージで二重のゲートウェイを通過してシステムをハッキングすることは容易でない。しかし、内部コントローラ(ECU)が、攻撃者によって破損したり、悪意的なコントローラが交換されて偽装されている場合、そして、外部から直接該当ドメインのCANバスに接続した場合、該当ドメイン内のCANバスに悪意的なメッセージを送ることは依然として可能である。したがって、本設置位置は、内部コントローラを信頼できず、コントローラが属する特定のCANドメインのネットワークハッキングを監視しようとする際に考慮し得る場所である。
(E)ECUに搭載:ECUは、ネットワーク上に存在するすべてのメッセージを受信し、必要なCANメッセージのIDを確認して必要とするメッセージを選択的に処理する。コントローラは、コントローラの外部から受信したCAN状態メッセージと命令メッセージのコンテキスト(context)を分析した後に駆動する。したがって、ECUは、外部及び内部のすべてから保護しなければならないため、高いセキュリティレベルを必要とする。ECUにIDSを搭載するのは、ECUを変調することができる非常に能力が優れた内部/外部の攻撃者からECUが有する重要なデータの損失や機能の誤動作を防ぐためである。
図1に例示した位置にIDSを配置できる位置(A、B、C、D、E)のうちの少なくとも1つの位置に複数のIDSを設置(搭載)する場合もある。例えば、セントラルゲートウェイと複数のサブゲートウェイにそれぞれIDSを搭載してもよく、セントラルゲートウェイと主要なECUにそれぞれIDSを搭載してもよい。また、各ドメインには、監視を実行する専用の電子制御装置が設けられてもよい。このようなIDSは、相互補完的にネットワークを監視し、攻撃の試みを検知し、車両ネットワークのセキュリティを強化することができる。
図2は、本発明の一実施形態によるIDSの機能的構成を示すブロック図である。
図2に示すように、車両内のネットワークのための侵入検知システムIDSは、メッセージキューモジュール(message queue module)20、ルールエンジン(rule engine)30、暗号化モジュール(crypto module)40、インターフェースマネージャー(interface manager)50、及びストレージ(storage)60を含む。図2に示す侵入検知システムIDSは、図1に例示した(複数の)ゲートウェイもしくは(複数の)ECUに搭載(embedded)したり、車両ネットワークに接続された専用の電子制御装置で具現できる。
メッセージキューモジュール20は、CANバスから収集したすべてのCANトラフィックデータをメッセージキュー(Message Queue)に保存する。収集したトラフィックデータに対するIDSの他のモジュールのリクエストは、メッセージキューモジュール20によって処理される。
ルールエンジン(あるいは「検知エンジン」とも称する)30は、IDSの本質的な機能である検知者及び応答者として動作するモジュールである。ルールエンジン30の機能は、大きく、事前プロセス(pre−process)31、検知プロセス(detection process)32、事後プロセス(post process)33に区分される。事前プロセス31では、様々な手段(例えば、バックエンドサーバ(backend server)、USBメモリスティック、SDカードなど)を介して取得したルールセット10に、ストレージ60に保存されたルールセットをアップデートしたり、IDSをリセットする。検知プロセス32では、走行中に悪意的なメッセージを検知する。事後プロセス33では、検知した悪意的なメッセージをどのように処理するかを決定する。例えば、検知した悪意的なメッセージをドロップ(drop)したり、ロギング(logging)、またはアラーム(警告)を生成する。
暗号化モジュール40は、ルールセットと検知ログを暗号化したり復号化して、関連するキーを管理する。
インターフェースマネージャー50は、バックエンドサーバから新しいルールセット10をダウンロードしたり、検知ログをバックエンドサーバに伝送できるように、バックエンドサーバとの通信接続を管理する。ルールセット及び検知ログは、暗号化エンジンによって暗号化されてストレージ60(例えば、フラッシュメモリ)に安全に保存される。ストレージ60は、ネットワーク上の他のノードによって提供されてもよい。この場合、インターフェースマネージャー50は、他のノードに位置するストレージ60との通信接続も管理する。
図3は、本発明の一実施形態によるIDSの例示的な動作を示すフローチャートである。
IDSは、車両が始動すると、事前プロセス(pre−process)を実行し、その後車両エンジンが止まるまで検知プロセス(detection process)と事後プロセス(post−process)とを繰り返し実行するように構成される。
事前プロセス(pre−process)では、IDSが再起動されると、ルールセット(rule set)のバージョンをチェックし、現在のストレージに保存されたルールセットが最新バージョンではない場合、例えば、OTAあるいはOBDポートを介してダウンロードした最新版のルールセットにアップデートする。以降IDSはストレージに保存した、暗号化されたルールセットを復号化して内部メモリ(RAM)にロードする。事前プロセスが終了するとIDSの実質的な検知動作である検知プロセスが開始される。
ルールセットは、検知プロセスで実行される複数の検知技法が用いるセキュリティ脅威に関連するネットワークメッセージを検知するのに用いられる、予め定義されたルールの集合である。ルールセットは、後述する静的検知に用いられるCANデータベース(CAN DB)と誤用検知に用いられるブラックリスト(Black List)、変則検知に用いられるプロファイル(profile)を含む。
検知プロセス(detection process)において、IDSは、メッセージキュー(Message Queue)に新しいCANメッセージが到着すると、新しいCANメッセージがセキュリティ脅威に関連したネットワークメッセージ(以下、「セキュリティ脅威メッセージ」、「非正常メッセージ」、「悪意的なメッセージ」、「攻撃メッセージ」、あるいは「検査に失敗したメッセージ」と称する場合がある)であるか否かを判断するために、静的検知(Static Detection)、誤用検知(Misuse Detection)、及び変則検知(Anomaly Detection)の技法を順次実行する。
事後プロセス(post−process)では、CANメッセージに対する検査結果によって通過、遮断、ロギング(logging)、あるいは警告のようなアクションがとられる。例えば、検知ログがリモートネットワーク上のバックエンドサーバに伝送されるように、IDSは、CANネットワークを介して検知ログが入ったCANメッセージを、リモートネットワークに通信的に接続するゲートウェイあるいはテレマティクスデバイスに伝送する。
上述した侵入検知技法の特性と長所及び短所は次のとおりである。
静的検知(Static Detection)は、メッセージのID、メッセージの長さ(Data length code;DLC)、メッセージの伝送周期などを監視し、予め決められたルール(つまり、CANデータベースに明示した値)と比較して有効性検査をする技法である。つまり、静的検知では、収集したメッセージがメーカーで予め決めておいた「有効なメッセージ形式」に合っているのか否かをチェックする。静的検知は、誤用検知及び変則検知に比べて、システムリソースを少なく消費する。ただし、有効性検査だけではメッセージ内に含まれている悪意的なデータなどの検知が不可能である。
誤用検知(Misuse Detection)は、車両システムの脆弱性分析を通じて、予め定義しておいた攻撃パターンを検知する技法である。このような攻撃パターンは、シグネチャ(signature)と称し、それによって誤用検知は、シグネチャベースの検知とも称される。誤用検知は、車両の状態を考慮せずに、悪意的なメッセージのシグネチャが収録されたブラックリスト(Black List)をチェックし、収集したメッセージが、悪意的なメッセージであるか否かを判断する。誤用検知は、システムリソースを少なく消費し、検知確率が高いという利点があるが、新たな攻撃ごとに新しいシグネチャを定義しなければならないため、新たに出現した攻撃に対処するためには、多くの時間とセキュリティの人的資源を必要とする。この技法は、実際の攻撃を見逃し得る偽陰性(false negative;2種エラー)の問題が生じる可能性がある。
変則検知(Anomaly Detection)は、車両の状態に基づいて該当メッセージが正常メッセージの範疇内にあるか否かを確認する技法であり、車両の状態と命令メッセージに基づいた検知ルールに基づいて行われる。変則検知は、ネットワーク上での一般的な行動を収集及び分析して正常なパターン(「プロファイル」とも称する)を定義した後、正常なパターンから一定のしきい値(threshold)を超えた行動を検知する技法である。変則検知は、プロファイル(profile)ベースの検知とも称される。変則検知の場合、知られていない新たな攻撃が出現したときにも、このような攻撃が正常なパターンから外れた場合に検知が可能であり、誤用検知法に比べてセキュリティの人的資源の割合が低い。しかし、多くのシステムリソースを必要とし、設定したしきい値に応じて正常な活動を侵入として識別する偽陽性(false positive、1種エラー)の問題が生じる可能性がある。
図3に例示した動作によれば、メッセージキュー(Message Queue)に溜まった各メッセージは、3つの検知技法で構成された検知プロセス(つまり、静的検知→誤用検知→変則検知)を経てそのメッセージの遮断あるいは通過が決定される。また、正常なCANメッセージも、3つの技法で構成された検知プロセスを経て初めてIDSが搭載されたゲートウェイまたはECUのアプリケーションソフトウェアに渡されることになる。しかし、検知プロセスは、最初に適用された検知技法がCANメッセージをセキュリティ脅威メッセージに決定した場合、該当CANメッセージに対する残りの検知技法の適用はバイパスされるように構成される。ここで、3つの検知技法の適用順番に注目する必要がある。検知効率が高く、要求されるコンピューティングパワーと所要時間が少ない検知技法を最初に適用するほど、全体的な検知プロセスの効率が増加する。我々は、低いコンピューティングパワーと少ない所要時間が予想される技法を最初に適用するように検知プロセスを構成した。このような検知プロセスの構成を介して、悪意的なメッセージの検知に対する強靭性を維持しながらも、全体的な検知効率を高めることができる。
図3に例示したIDSの動作では、検知プロセスにて3つの検知技法(つまり、静的検知、誤用検知、変則検知)のすべてを用いる。しかし、IDSの設置あるいは搭載の位置によって、3つの検知技法のうち、一部の技法を省く。例えば、変則検知には、多くのコンピューティングパワーと時間がかかるため、ECUに搭載したIDSの検知プロセスでは、静的検知のみを用いたり、静的検知と誤用検知のみを用いる場合もある。一方、相対的に高いコンピューティングパワーを有する(セントラル/サブ)ゲートウェイに搭載したIDSの検知プロセスでは、3つの検知技法のすべてを用いてもよい。他の例として、セントラルゲートウェイでは、3つの検知技法のすべてを用い、サブゲートウェイでは、静的検知と誤用検知のみを用い、ECUでは、静的検知だけを用いてもよい。
上述した実施形態は、多くの異なる方式で具現できる。一実施形態において、本明細書で説明した多様な方法、デバイス、システムは、プロセッサ、メモリ、通信インターフェースなどを有する電子制御装置、ゲートウェイ等により具現したりこれらに含まれてもよい。例えば、電子制御装置は、ソフトウェア命令語をプロセッサにロードした後に、本明細書で説明した機能を実行するために命令語を実行することで、上述した方法を実行する装置として機能する。
一方、本明細書で説明した多様な方法は、1つ以上のプロセッサによって読み取られて実行される非一時的記録媒体に保存した命令語で具現してもよい。非一時的記録媒体は、例えば、コンピュータシステムによって読み取り可能な形態でデータが保存されるあらゆる種類の記録装置を含む。例えば、非一時的記録媒体は、EPROM(erasable programmable read only memory)、EEPROM(Electrically Erasable Programmable Read−Only Memory)、フラッシュメモリ、光学ドライブ、磁気ハードドライブ、ソリッドステートドライブ(SSD)のような記憶媒体を含む。
以上の説明は、本発明の技術思想を例示的に説明したに過ぎず、本発明が属する技術分野における通常の知識を有する者であれば、本発明の技術範囲から逸脱しない範囲内で様々な修正及び変形が可能である。したがって、本実施形態は、本発明の技術思想を限定するためのものではなく説明するためのものであり、このような実施形態により、本発明の技術思想の範囲が限定されるものではない。本発明の技術範囲は特許請求の範囲によって解釈され、その均等物も、本発明の権利範囲に含まれる。
本発明は、本明細書にその全体が参考として含まれる、2018年01月23日付で米国特許商標庁に出願した特許仮出願番号第62/620,754号に対して優先権を主張する。
10 ルールセット
20 メッセージキューモジュール
30 ルールエンジン
31 事前プロセス
32 検知プロセス
33 事後プロセス
40 暗号化モジュール
50 インターフェースマネージャー
60 ストレージ

Claims (13)

  1. 車両内ネットワークにセキュリティを提供するための侵入検知システムであって、
    車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、
    複数の検知技法に用いられるルールセットを安全に保存するためのストレージと、
    外部ネットワーク上のバックエンドサーバからダウンロードした新しいルールセットに、前記ストレージに保存されたルールセットをアップデートして、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対して前記複数の検知技法を段階的に適用するように構成されたルールエンジンと、
    を含むことを特徴とする侵入検知システム。
  2. 前記ルールエンジンは、
    いずれかの検知技法が、前記収集したネットワークメッセージをセキュリティ脅威メッセージとして決定することに応答して、前記収集したネットワークメッセージに対する残りの検知技法の適用をバイパスするように構成されたことを特徴とする請求項1に記載の侵入検知システム。
  3. 前記複数の検知技法は、
    静的検知(static detection)技法、誤用検知(misuse detection)技法、及び変則検知(anomaly detection)技法を含むことを特徴とする請求項1に記載の侵入検知システム。
  4. 前記ルールエンジンは、
    前記収集したネットワークメッセージに対し、静的検知技法、誤用検知技法、変則検知技法の順に適用することを特徴とする請求項1に記載の侵入検知システム。
  5. 前記侵入検知システムは、
    前記車両内ネットワークと外部ネットワークとを接続するセントラルゲートウェイ、
    前記車両内ネットワークの各機能ドメインと前記セントラルゲートウェイとを接続するサブゲートウェイ、及び
    前記各機能ドメインに属する電子制御装置(ECU)
    のうちのいずれかに埋め込まれたことを特徴とする請求項1に記載の侵入検知システム。
  6. 前記ルールエンジンは、
    前記複数の検知技法のすべてが前記ネットワークメッセージをセキュリティ脅威メッセージでないことを決定することに応答し、前記収集したネットワークメッセージが前記セントラルゲートウェイ、前記サブゲートウェイまたは前記電子制御装置のアプリケーションソフトウェアに伝達されることを許可するように構成されたことを特徴とする請求項5に記載の侵入検知システム。
  7. 前記侵入検知システムは、
    前記車両内ネットワークにノードとして接続される独立したコンピューティングデバイスであることを特徴とする請求項1に記載の侵入検知システム。
  8. 前記ルールセットの暗号化及び復号化を実行して関連するキーを管理する暗号化モジュールをさらに含む請求項1に記載の侵入検知システム。
  9. 前記バックエンドサーバから新しいルールセットをダウンロードしたり、検知ログをバックエンドサーバに伝送できるように、前記バックエンドサーバとの通信接続を管理するインターフェースマネージャーをさらに含む請求項1に記載の侵入検知システム。
  10. 前記車両内ネットワークは、CAN(Controller Area Network)ネットワークであることを特徴とする請求項1に記載の侵入検知システム。
  11. 侵入検知システムが車両内ネットワークにセキュリティを提供する方法であって、
    複数の検知技法に用いられるルールセットを外部ネットワーク上のバックエンドサーバからダウンロードして、予め保存されたルールセットをアップデートするステップと、
    車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するステップと、
    前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対する前記複数の検知技法を段階的に適用するステップと、
    を含むことを特徴とする方法。
  12. 前記複数の検知技法を段階的に適用するステップは、
    いずれかの検知技法が、前記収集したネットワークメッセージをセキュリティ脅威メッセージに決定することに応答して、前記収集したネットワークメッセージに対する残りの検知技法の適用をバイパスするステップを含むことを特徴とする請求項11に記載の方法。
  13. 車両内ネットワークにセキュリティを提供するためのシステムであって、
    車両内ネットワーク上の第1のノードで動作する第1の電子装置及び第2のノードで動作する第2の電子装置を含み、
    前記第1の電子装置及び第2の電子装置は、それぞれ、
    車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、
    1つ以上の検知技法に用いられるルールセットを安全に保存するためのストレージと、
    外部ネットワーク上のバックエンドサーバからダウンロードした新しいルールセットで、前記ストレージに保存されたルールセットをアップデートして、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対して前記1つ以上の検知技法を段階的に適用するように構成したルールエンジンと、
    を含み、
    前記第1の電子装置は、前記車両内ネットワークと外部ネットワークとを接続するセントラルゲートウェイ、または前記車両内ネットワークの各機能ドメインと前記セントラルゲートウェイとを接続するサブゲートウェイであり、前記第2の電子装置は、前記各機能ドメインに属する電子制御装置(ECU)であり、
    前記第1の電子装置は、静的検知技法、誤用検知技法、及び変則検知技法を用い、前記第2の電子装置は、静的検知技法、誤用検知技法、及び変則検知技法のうちの一部の技法のみを用いることを特徴とするシステム。
JP2020538073A 2018-01-23 2019-01-21 車両内ネットワークにセキュリティを提供するシステム及び方法 Active JP7071510B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862620754P 2018-01-23 2018-01-23
US62/620,754 2018-01-23
PCT/KR2019/000832 WO2019146976A1 (ko) 2018-01-23 2019-01-21 차량 내 네트워크에 보안을 제공하는 시스템 및 방법

Publications (2)

Publication Number Publication Date
JP2021510478A true JP2021510478A (ja) 2021-04-22
JP7071510B2 JP7071510B2 (ja) 2022-05-19

Family

ID=67396117

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020538073A Active JP7071510B2 (ja) 2018-01-23 2019-01-21 車両内ネットワークにセキュリティを提供するシステム及び方法

Country Status (6)

Country Link
US (2) US11848947B2 (ja)
JP (1) JP7071510B2 (ja)
KR (1) KR102642875B1 (ja)
CN (1) CN111434090A (ja)
DE (1) DE112019000485T5 (ja)
WO (1) WO2019146976A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3799365B1 (en) * 2018-05-23 2022-11-30 Panasonic Intellectual Property Corporation of America Anomaly detection device, anomaly detection method, and program
AT521914B1 (de) * 2018-12-13 2020-10-15 Avl List Gmbh Kommunikationsmodul
US11444959B2 (en) 2018-12-21 2022-09-13 Garrett Transportation I Inc. Integrated equipment fault and cyber attack detection arrangement
US11240061B2 (en) * 2019-06-03 2022-02-01 Progress Rail Locomotive Inc. Methods and systems for controlling locomotives
US11368471B2 (en) * 2019-07-01 2022-06-21 Beijing Voyager Technology Co., Ltd. Security gateway for autonomous or connected vehicles
US11570186B2 (en) * 2019-12-12 2023-01-31 Intel Corporation Security reporting via message tagging
US20230109507A1 (en) * 2020-02-10 2023-04-06 Hyundai Motor Company System and Method for Detecting Intrusion Into In-Vehicle Network
CN115104291A (zh) * 2020-02-14 2022-09-23 现代自动车株式会社 用于检测车载网络的入侵的系统和方法
KR102471960B1 (ko) * 2020-11-18 2022-11-30 한국자동차연구원 차량용 can 통신 보안 장치 및 방법
KR102481219B1 (ko) 2022-01-25 2022-12-26 쌍용자동차 주식회사 차량 보안 관리서버를 이용한 차량 소프트웨어 업데이트 시스템 및 방법
CN114828177B (zh) * 2022-04-18 2023-09-15 北京汽车研究总院有限公司 车载多网关协同休眠与唤醒方法、系统及存储介质
CN115102706B (zh) * 2022-04-27 2023-10-20 麦格纳斯太尔汽车技术(上海)有限公司 一种车辆ecu的host-ids安全检测系统及方法
CN114915484B (zh) * 2022-05-30 2023-04-25 重庆长安汽车股份有限公司 一种车载网关的安全检测系统及检测方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016502697A (ja) * 2012-10-17 2016-01-28 タワー−セク・リミテッド 輸送手段への攻撃の検出および防止のためのデバイス

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7458098B2 (en) * 2002-03-08 2008-11-25 Secure Computing Corporation Systems and methods for enhancing electronic communication security
US9776597B2 (en) 2006-05-16 2017-10-03 Lear Corporation Vehicle with electronic system intrusion detection
KR101325807B1 (ko) * 2009-12-17 2013-11-05 한국전자통신연구원 아이피브이식스 네트워크를 이용한 차량용 통신 장치 및 통신 방법
WO2013105916A1 (en) * 2011-12-01 2013-07-18 Intel Corporation Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules
WO2013144962A1 (en) * 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
US9185128B2 (en) * 2013-08-30 2015-11-10 Bank Of America Corporation Malware analysis methods and systems
WO2015159520A1 (ja) * 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
US9578047B2 (en) * 2015-01-13 2017-02-21 GM Global Technology Operations LLC Method and system for reflectometry based communication network monitoring, intrusion detection, and message authentication
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
CN104986347B (zh) * 2015-06-03 2017-02-22 中国民航大学 一种民机航线飞行员操作差错的实时检测方法
US10798114B2 (en) 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10129118B1 (en) * 2016-03-29 2018-11-13 Amazon Technologies, Inc. Real time anomaly detection for data streams
US11044260B2 (en) * 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
CN105825679B (zh) * 2016-04-14 2018-06-26 苏州德亚交通技术有限公司 一种实现对违规特种车辆快速、远距离在线锁定的方法
US10966070B2 (en) * 2017-01-30 2021-03-30 Veniam, Inc. Systems and methods for managing data with heterogeneous multi-paths and multi-networks in an internet of moving things
CN108965218B (zh) * 2017-05-25 2020-09-29 华为技术有限公司 一种控制器区域网总线安全通信方法、装置及系统
US10498749B2 (en) * 2017-09-11 2019-12-03 GM Global Technology Operations LLC Systems and methods for in-vehicle network intrusion detection
EP3726782B1 (en) * 2017-12-15 2022-02-02 Panasonic Intellectual Property Corporation of America Detecting unauthorized messages in a vehicle network
US20210185095A1 (en) * 2018-08-30 2021-06-17 Karamba Security Ltd. Virtualized controllers for in-vehicle and iot networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016502697A (ja) * 2012-10-17 2016-01-28 タワー−セク・リミテッド 輸送手段への攻撃の検出および防止のためのデバイス

Also Published As

Publication number Publication date
KR20200103643A (ko) 2020-09-02
JP7071510B2 (ja) 2022-05-19
US11848947B2 (en) 2023-12-19
DE112019000485T5 (de) 2020-10-22
US20240073233A1 (en) 2024-02-29
KR102642875B1 (ko) 2024-02-29
WO2019146976A1 (ko) 2019-08-01
US20210075807A1 (en) 2021-03-11
CN111434090A (zh) 2020-07-17

Similar Documents

Publication Publication Date Title
JP7071510B2 (ja) 車両内ネットワークにセキュリティを提供するシステム及び方法
US10931635B2 (en) Host behavior and network analytics based automotive secure gateway
US8302198B2 (en) System and method for enabling remote registry service security audits
US7594269B2 (en) Platform-based identification of host software circumvention
US8904529B2 (en) Automated deployment of protection agents to devices connected to a computer network
US20210200870A1 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
US11729183B2 (en) System and method for providing secure in-vehicle network
CN111327601B (zh) 异常数据响应方法、系统、装置、计算机设备和存储介质
US20230109507A1 (en) System and Method for Detecting Intrusion Into In-Vehicle Network
WO2021145144A1 (ja) 侵入経路分析装置および侵入経路分析方法
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
US8763121B2 (en) Mitigating multiple advanced evasion technique attacks
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
JP4159814B2 (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
EP4106278A1 (en) System and method for detecting intrusion into in-vehicle network
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
JP2005284523A (ja) 不正侵入検出システム及び方法並びに不正侵入検出用プログラム
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
US11356471B2 (en) System and method for defending a network against cyber-threats
US20050066193A1 (en) Selectively responding to intrusions by computers evaluating intrusion notices based on local intrusion detection system policy

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200709

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210810

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210817

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220506

R150 Certificate of patent or registration of utility model

Ref document number: 7071510

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150