JP2023028510A - 検知ルール出力方法、及び、セキュリティシステム - Google Patents

検知ルール出力方法、及び、セキュリティシステム Download PDF

Info

Publication number
JP2023028510A
JP2023028510A JP2021134255A JP2021134255A JP2023028510A JP 2023028510 A JP2023028510 A JP 2023028510A JP 2021134255 A JP2021134255 A JP 2021134255A JP 2021134255 A JP2021134255 A JP 2021134255A JP 2023028510 A JP2023028510 A JP 2023028510A
Authority
JP
Japan
Prior art keywords
information
detection
attack
vehicle
detection rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021134255A
Other languages
English (en)
Other versions
JP7523855B2 (ja
Inventor
章人 竹内
Akito Takeuchi
信貴 川口
Nobutaka Kawaguchi
唯之 鳥崎
Tadayuki Torisaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2021134255A priority Critical patent/JP7523855B2/ja
Priority to PCT/JP2022/024699 priority patent/WO2023021840A1/ja
Publication of JP2023028510A publication Critical patent/JP2023028510A/ja
Priority to US18/441,826 priority patent/US20240223581A1/en
Application granted granted Critical
Publication of JP7523855B2 publication Critical patent/JP7523855B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】検知ルールを容易に生成し出力することが可能な検知ルール出力方法等を提供する。【解決手段】検知ルール出力方法は、車両におけるログ情報に基づいて攻撃内容を判定するセキュリティシステムにおいて用いられる検知ルールを出力する検知ルール出力方法であって、車両に搭載される車載ネットワークの構成に関する車両構成情報と、車両に搭載される1以上のIDS(Intrusion Detection System)に関するIDS情報と、車両において検知する対象となる攻撃に関する検知対象攻撃情報とを取得し(S10~S30)、車両構成情報、IDS情報、及び、検知対象攻撃情報に基づいて生成した、車両において異常の発生した箇所と当該箇所で発生した異常を検知するための検知ルールを、セキュリティシステムに備えられた記憶装置に対して出力する(S50)。【選択図】図6

Description

本開示は、検知ルール出力方法、及び、セキュリティシステムに関する。
近年、自動車(車両の一例)の中のシステムには、電子制御ユニット(以下、ECU)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは、車載ネットワークと呼ばれる。このような車載ネットワークを有する車両には、例えば、インターネット等の外部ネットワークへの接続機能を有している、いわゆるコネクテッドカーと呼ばれる車両がある。コネクテッドカーでは、攻撃者が車両外部のネットワークから車載ネットワークに侵入し、車両を不正に制御する脅威が指摘されており、セキュリティの検討が進んでいる。
例えば、特許文献1には、車載通信ネットワーク(車載ネットワーク)上の通信トラフィックデータを監視して、車両動作に影響する通信トラフィックデータの異常を識別する技術が開示されている。
特許第6382724号公報
ところで、特許文献1の技術において異常を判定するためには、異常を定義するためのルール(検知ルール)が必要となる。流れる通信トラフィックデータ、及び、車載ネットワークの構成は例えば車種により異なることが想定されるため、車種毎の検知ルールが異常を検知するための装置に出力されることが望まれる。
しかしながら、車種毎に検知ルールを生成して出力するにはかなりの労力が必要であり、容易に行うことができない。また、特許文献1には、検知ルールの出力については開示されていない。
そこで、本開示は、検知ルールを容易に生成して出力することが可能な検知ルール出力方法、及び、セキュリティシステムを提供する。
本開示の一態様に係る検知ルール出力方法は、車両におけるログ情報に基づいて攻撃内容を判定するセキュリティシステムにおいて用いられる検知ルールを出力する検知ルール出力方法であって、前記車両に搭載される車載ネットワークの構成に関する車両構成情報と、前記車両に搭載される1以上のIDS(Intrusion Detection System)に関するIDS情報と、前記車両において検知する対象となる攻撃に関する検知対象攻撃情報とを取得し、前記車両構成情報、前記IDS情報、及び、前記検知対象攻撃情報に基づいて生成した、前記車両において異常の発生した箇所と当該箇所で発生した異常とを検知するための検知ルールを、前記セキュリティシステムに備えられた記憶装置に対して出力する。
本開示の一態様に係るセキュリティシステムは、上記の検知ルール出力方法で出力された検知ルールを記憶する記憶部と、前記ログ情報を取得する取得部と、前記検知ルールと、前記ログ情報とに基づいて、車両における攻撃内容を判定する判定部とを備える。
本開示の一態様によれば、検知ルールを容易に生成して出力することが可能な検知ルール出力方法等を実現することができる。
図1は、実施の形態1に係る検知ルール生成装置の機能構成を示すブロック図である。 図2Aは、実施の形態1に係る車両構成情報の一例を示す図である。 図2Bは、実施の形態1に係る接続関係を示す情報の一例を示す図である。 図3Aは、実施の形態1に係るIDS情報の一例を示す図である。 図3Bは、実施の形態1に係る出力検知ログの一例を示す図である。 図4は、実施の形態1に係る検知対象攻撃情報の一例を示す図である。 図5は、実施の形態1に係る検知ルール生成装置における検知ルールの生成を説明するための図である。 図6は、実施の形態1に係る検知ルール生成装置の動作を示すフローチャートである。 図7Aは、図6に示すステップS40の詳細の第1例を示すフローチャートである。 図7Bは、攻撃進行度合いに関する検知ルールの一例を示す図である。 図7Cは、攻撃進行度合いに関する検知ルールの他の一例を示す図である。 図8Aは、図6に示すステップS40の詳細の第2例を示すフローチャートである。 図8Bは、攻撃経路に関する検知ルールの一例を示す図である。 図9Aは、図6に示すステップS40の詳細の第3例を示すフローチャートである。 図9Bは、異常内容に関する検知ルールの一例を示す図である。 図10Aは、図6に示すステップS40の詳細の第4例を示すフローチャートである。 図10Bは、攻撃シナリオに関する検知ルールの一例を示す図である。 図11は、実施の形態2に係る検知ルール生成装置の機能構成を示すブロック図である。 図12は、実施の形態2に係る検知ルール生成装置の動作を示すフローチャートである。 図13は、実施の形態3に係る検知ルール生成装置の機能構成を示すブロック図である。 図14は、実施の形態3に係る検知ルール生成装置の動作を示すフローチャートである。 図15は、本開示に係る検知ルール生成装置が生成した検知ルールを用いた異常検知システムの機能構成の第1例を示すブロック図である。 図16は、本開示に係る検知ルール生成装置が生成した検知ルールを用いた異常検知システムの機能構成の第2例を示すブロック図である。 図17は、本実施の形態に係る異常検知システムにおける異常検知動作の第1例を示すフローチャートである。 図18は、本実施の形態に係る異常検知システムにおける異常検知動作の第2例を示すフローチャートである。
(本開示に至った経緯)
本開示の説明に先立ち、本開示に至った経緯について説明する。
例えば、車両には、車載ネットワークに発生するイベントを監視し、それを分析する事で偵察行為、又は、不正侵入などのサイバー攻撃の兆候を検知するためのIDS(Intrusion Detection System:侵入検知システム)が設けられる。例えば、ECUごとに1以上のIDSが設けられる。そして、車両には、複数のIDSからの検知ログを集約し、集約した検知ログに基づいて、車両で発生した異常を特定するための車載監視装置が搭載される。なお、車載監視装置は、車両に搭載されることに限定されず、SOC(Security Operation Center:セキュリティ オペレーションセンタ)に設けられてもよい。以下では、車載監視装置が車両に搭載される例について主に説明する。
車載監視装置は、例えば、攻撃パターンが予め定義された検知ルールを用いて、集約された1以上の検知ログの時系列データから車両に対して行われた攻撃(総合的な攻撃)を特定する。また、車載監視装置は、特定した特定結果、又は、時系列データそのものをSOCに送信する。
ここで、車両の構成(例えば、車載ネットワークの構成)、当該車両において検知したい攻撃等によって検知ルールが異なるので、例えば、車両毎、又は、車種毎に検知ルールが生成されることが望まれるが、車両毎、又は、車種毎の検知ルールの生成には工数がかかる。また、検知ルールの生成には、ノウハウが必要であり、容易に検知ルールを生成できるわけではない。検知ルールの生成が、例えば、OEM(Original Equipment Manufacturing)の車両製造時において課題となっている実情もある。
言い換えると、車種毎に検知ルールが出力されることが望まれるが、車種ごとに検知ルールを出力するにはかなりの労力が必要であり、容易に行うことができない。
このように、従来であれば、検知ルールを容易に出力することが困難である。また、検知ルールの出力については、上記の特許文献1には開示されていない。
そこで、本願発明者らは、検知ルールを容易に出力可能な検知ルール出力方法等について鋭意検討を行い、以下に示す検知ルール出力方法等を創案した。
本開示の一態様に係る検知ルール出力方法は、車両におけるログ情報に基づいて攻撃内容を判定するセキュリティシステムにおいて用いられる検知ルールを出力する検知ルール出力方法であって、前記車両に搭載される車載ネットワークの構成に関する車両構成情報と、前記車両に搭載される1以上のIDS(Intrusion Detection System)に関するIDS情報と、前記車両において検知する対象となる攻撃に関する検知対象攻撃情報とを取得し、前記車両構成情報、前記IDS情報、及び、前記検知対象攻撃情報に基づいて生成した、前記車両において異常の発生した箇所と当該箇所で発生した異常とを検知するための検知ルールを、前記セキュリティシステムに備えられた記憶装置に対して出力する。
これにより、車両構成情報、IDS情報、及び、検知対象攻撃情報を取得するだけで、例えば、車両に応じた検知ルールを生成し出力することが可能であるので、本開示に係る検知ルール出力方法によれば、検知ルールを容易に生成し出力することが可能である。
また、例えば、前記車両構成情報は、前記車両に搭載される1以上のECU(Electronic Control Unit)を示す第1ECU情報と、前記車両への攻撃のエントリーポイント、及び、アタックターゲットとなり得るECUに関する第2ECU情報と、前記1以上のECUの接続関係を示す接続情報とを含み、前記検知ルールは、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記エントリーポイントを基準とする前記1以上のECUそれぞれの深度を含むように生成された検知ルールであってもよい。
これにより、ECUにおいて異常が検知された場合に異常が検知されたECUの深度を出力可能な検知ルールを容易に生成し出力することができる。
また、例えば、前記検知ルールは、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記エントリーポイントを基準とした場合における、前記1以上のECUそれぞれの相対的な接続関係における位置を示す搭載箇所を特定し、特定された前記搭載箇所に基づいて、前記1以上のECUのそれぞれにおける異常発生時の前記深度を割り当てることで生成された検知ルールであってもよい。
これにより、特定された搭載箇所に基づいて1以上のECUのそれぞれに深度を割り当てることができるので、異常が検知されたECUの深度を出力可能な検知ルールをより容易に生成し出力することができる。
また、例えば、前記車両構成情報は、前記車両に搭載される1以上のECUを示す第1ECU情報と、前記車両への攻撃のエントリーポイント、及び、アタックターゲットとなり得るECUに関する第2ECU情報と、前記1以上のECUの接続関係を示す接続情報とを含み、前記検知ルールは、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記エントリーポイントとなり得る第1ECUを前記攻撃の起点、前記アタックターゲットとなり得る第2ECUを前記攻撃の終点とする攻撃経路を含むように生成された検知ルールであってもよい。
これにより、ECUにおいて異常が検知された順序(攻撃経路)が所定の順序である場合に車両が異常であることを示す情報を出力可能な検知ルールを容易に生成し出力することができる。
また、例えば、前記検知ルールは、前記第2ECU情報に基づいて、前記第1ECUと、前記第2ECUとを決定し、決定された前記第1ECUと前記第2ECUとの間の前記攻撃経路を前記第1ECU情報及び前記接続情報に基づいて網羅的に導出することで生成された検知ルールであってもよい。
これにより、容易かつ漏れのない攻撃経路に関する検知ルールを生成し出力することができる。
また、例えば、前記車両構成情報は、前記車両に搭載される1以上のECUを示す第1ECU情報を含み、前記IDS情報は、前記車両に搭載される1以上のECUを監視する前記1以上のIDSを示す監視IDS情報と、前記1以上のIDSがECUにおける異常を検知した際に出力する検知ログを示す出力検知ログ情報とを含み、前記検知ルールは、前記第1ECU情報、前記監視IDS情報、前記出力検知ログ情報、及び、前記検知対象攻撃情報に基づいて、前記車両における前記異常の内容を示す異常内容を含むように生成された検知ルールであってもよい。
これにより、ECUにおいて検知された異常の内容が所定の内容である場合に車両が異常であることを示す情報を出力可能な検知ルールを容易に生成し出力することができる。
また、例えば、前記検知ルールは、前記第1ECU情報と検知対象攻撃情報とに基づいて、前記1以上のECUのそれぞれに対して発生し得る攻撃を割り当て、前記監視IDS情報に基づいて、各攻撃を検知するIDSを割り当て、前記出力検知ログ情報に基づいて、攻撃検知時に前記1以上のIDSのそれぞれが出力する検知ログを割り当てることで生成された検知ルールであってもよい。
これにより、ECUと、当該ECUに対する攻撃と、当該ECUを監視するIDSと、検知ログとが対応づけられた異常内容に関する検知ルールをより容易に生成し出力することができる。
また、例えば、前記車両構成情報は、前記車両に搭載される1以上のECUを示す第1ECU情報と、前記車両への攻撃のエントリーポイント、及び、アタックターゲットとなり得るECUに関する第2ECU情報と、前記1以上のECUの接続関係を示す接続情報とを含み、前記IDS情報は、前記車両に搭載される1以上のECUを監視する前記1以上のIDSを示す監視IDS情報と、前記1以上のIDSがECUにおける異常を検知した際に出力する検知ログを示す出力検知ログ情報とを含み、前記検知ルールは、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記エントリーポイントとなり得る第1ECUを前記攻撃の起点、前記アタックターゲットとなり得る第2ECUを前記攻撃の終点とする攻撃経路を導出し、前記第1ECU情報、前記監視IDS情報、前記出力検知ログ情報、及び、攻撃検知対象情報に基づいて、前記車両における前記異常の内容を示す異常内容を導出し、前記攻撃経路と、前記異常内容とを組み合わせた前記攻撃のシナリオを含むように生成された検知ルールであってもよい。
これにより、ECUにおいて検知された異常の攻撃経路と異常内容との組み合わせ(攻撃シナリオ)が所定の内容である場合に車両が異常であることを示す情報を出力可能な検知ルールを容易に生成し出力することができる。
また、例えば、前記攻撃経路は、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記第1ECUを前記攻撃の起点、前記第2ECUを前記攻撃の終点として網羅的に導出された攻撃経路であり、前記異常内容は、複数の前記攻撃経路を構成するECUのそれぞれに対して、前記第1ECU情報、及び、前記検知対象攻撃情報に基づいて、当該ECUに対して発生し得る攻撃を割り当て、前記監視IDS情報に基づいて、各攻撃を検知するIDSを割り当て、前記出力検知ログ情報に基づいて、攻撃検知時に前記1以上のIDSが出力する検知ログを割り当てることで導出された異常内容であってもよい。
これにより、容易かつ漏れのない攻撃シナリオに関する検知ルールを生成し出力することができる。
また、例えば、前記検知ルールには、さらに、前記検知ルールに対する付加的な情報を含むルール追加情報が付与されており、前記ルール追加情報が付与された前記検知ルールが前記記憶装置に出力されてもよい。
これにより、出力される検知ルールに、ルール追加情報を付与することができるので、例えば、車両等における検知ルールを用いた異常の検知の際に、当該ルール追加情報を用いることができる。例えば、異常の通知の有無等をルール追加情報に基づいて判定することが可能となるなど、ルール追加情報は、車載監視装置の性能向上に寄与し得る。
また、例えば、前記ルール追加情報は、検知ルールの優先度、前記車両への影響に応じたリスク値、前記車両に搭載される1以上のECUに紐づいた攻撃容易性に応じた発生可能性、公知攻撃との類似度、及び、前記公知攻撃と一致する検知ルールであることを示すフラグの少なくとも1つを含んでもよい。
これにより、異常が検知された時に基準となった検知ルールの優先度、リスク値、発生可能性、類似度、及び、フラグの少なくとも1つが所定条件を満たすか否かに応じて、車両等における異常の検知に対する対応を変化させることができる。例えば、検知ルールの優先度が閾値以上である場合に、異常が通知されることで、異常を効果的に通知させることができる。
また、例えば、前記車両構成情報、前記IDS情報、及び、前記検知対象攻撃情報に基づいて、複数の前記検知ルールが生成されており、複数の前記検知ルールから前記記憶装置に出力する1以上の検知ルールを絞り込むためのルール絞り込み情報に基づいて、複数の前記検知ルールから絞り込まれた前記1以上の検知ルールが前記記憶装置に出力されてもよい。
これにより、複数の検知ルールから出力する検知ルールを絞り込むことができるので、検知する必要がない異常が検知されてしまうことを抑制することができる。
また、例えば、前記ルール絞り込み情報は、特定の攻撃経路を含む検知ルール、及び、あり得ない異常の組み合わせを含む検知ルールの少なくとも1つを除外すること、又は、前記車両への影響が所定以上である検知ルール、及び、公知攻撃と一致する検知ルールの少なくとも1つを出力することのいずれかを含んでもよい。
これにより、検知する必要がない異常が除外された検知ルール、又は、検知したい異常が含まれる検知ルールを出力することができる。
また、例えば、前記記憶装置は、前記車両、及び、前記車両を監視するSOC(Security Operation Center)におけるサーバの少なくとも一方に設けられていてもよい。
これにより、車両、又は、SOCで用いられる検知ルールを、容易に生成し出力することができる。
また、本開示の一態様に係るセキュリティシステムは、上記の検知ルール出力方法で出力された検知ルールを記憶する記憶部と、前記ログ情報を取得する取得部と、前記検知ルールと、前記ログ情報とに基づいて、車両における攻撃内容を判定する判定部とを備える。
これにより、上記の検知ルール出力方法で出力された検知ルールを用いたセキュリティシステムを実現することができる。
なお、これらの全般的又は具体的な態様は、システム、方法、集積回路、コンピュータプログラム又はコンピュータで読み取り可能なCD-ROM等の非一時的記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。プログラムは、記録媒体に予め記憶されていてもよいし、インターネット等を含む広域通信網を介して記録媒体に供給されてもよい。
以下、実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。
また、各図は、模式図であり、必ずしも厳密に図示されたものではない。したがって、例えば、各図において縮尺などは必ずしも一致しない。また、各図において、実質的に同一の構成については同一の符号を付しており、重複する説明は省略又は簡略化する。
また、本明細書において、等しいなどの要素間の関係性を示す用語、並びに、数値、及び、数値範囲は、厳格な意味のみを表す表現ではなく、実質的に同等な範囲、例えば数%程度(例えば、10%程度)の差異をも含むことを意味する表現である。
(実施の形態1)
以下、本実施の形態に係る検知ルール生成装置等について、図1~図10Bを参照しながら説明する。
[1-1.検知ルール生成装置の構成]
まず、本実施の形態に係る検知ルール生成装置の構成について、図1~図5を参照しながら説明する。図1は、本実施の形態に係る検知ルール生成装置1の機能構成を示すブロック図である。本実施の形態に係る検知ルール生成装置1は、車両構成情報、IDS情報、及び、検知対象攻撃情報を取得し、取得した車両構成情報、IDS情報、及び、検知対象攻撃情報に基づいて、車両等に搭載される車載監視装置において異常を検知するために用いられる検知ルールを生成し出力する情報処理装置である。
図1に示すように、検知ルール生成装置1は、車両構成情報取得部10と、IDS情報取得部20と、検知対象攻撃情報取得部30と、検知ルール生成部40と、制御部50とを備える。検知ルール生成装置1の各機能構成は、例えば、プロセッサがメモリに記憶されているプログラム(コンピュータプログラム)に従って動作することにより実現される。検知ルール生成装置1は、例えば、プロセッサ、メモリ、通信インタフェース等を備えるコンピュータ(例えば、サーバ装置)により実現される。
本実施の形態に係る検知ルールは、車両におけるログ情報(後述する検知ログ又は車両ログ)に基づいて攻撃内容を判定するセキュリティシステム(実施の形態4を参照)において用いられる検知ルールであり、例えば、攻撃経路、異常な内容等が記載される。例えば、検知ルールは、車両において異常の発生した箇所と当該箇所で発生した異常とを検知するための検知ルールであってもよい。
車両構成情報取得部10は、車両に搭載される車載ネットワークの構成に関する車両構成情報を取得する。車両構成情報は、車両に搭載される1以上のECUに関する搭載ECU(搭載ECU情報であり、第1ECU情報の一例)、車載ネットワークにおいてサイバー攻撃の侵入の入り口(エントリーポイント:EP)となり得るECU、及び、攻撃対象(アタックターゲット:AT)となり得るECUに関するECU情報(第2ECU情報の一例)、及び、1以上のECUの接続関係を示す情報(接続情報)の少なくとも1つを含む。接続関係を示す情報は、例えば、接続バスに関する情報を含んでいてもよい。車両構成情報取得部10は、取得した車両構成情報を記憶部(図示しない)に記憶してもよい。
車両構成情報取得部10は、外部装置から通信等により車両構成情報を取得してもよい。この場合、車両構成情報取得部10は、アンテナ等を含んで構成され、車両構成情報を受信する。また、車両構成情報取得部10は、ボタン、タッチパネル等の操作部、又は、マイクロフォンを含んで構成され、ユーザからの入力(操作又は音声)により車両構成情報を受け付けてもよい。車両構成情報取得部10は、第1取得部の一例である。
ここで、車両構成情報について、図2A及び図2Bを参照しながら説明する。図2Aは、本実施の形態に係る車両構成情報の一例を示す図である。図2Bは、本実施の形態に係る接続関係を示す情報(接続情報)の一例を示す図である。なお、図2Bでは、EPとなり得るECUが2つ(EP1及びEP2)あり、ATとなり得るECUが3つ(AT1~AT3)あり、その他のECUが3つ(ECU1~ECU3)ある場合の接続関係を示している。
図2Aに示すように、車両構成情報には、項目として、搭載ECU、EP/AT(ECU情報の一例)、及び、接続関係が含まれる。車両構成情報には、搭載ECU、EP/AT、及び、接続関係の少なくとも1つが含まれていればよい。
搭載ECUは、車両に搭載される全てのECUを示す情報であり、ECUの識別情報、及び、車両における搭載場所の少なくとも1つが含まれる。識別情報は、ECUを識別可能な情報であり、ECUごとに異なる情報である。識別情報は、製造番号、通し番号等であるが、これに限定されない。搭載場所は、EPからの相対的な位置を示す情報であり、いわゆるホップ数、層数等である。ホップ数は、EPから当該ECUまでに経由する機器(例えば、他のECU、ゲートウェイ等)の数である。層数は、EPから当該ECUまでに経由するセキュリティポリシが等しい層の数である。なお、ホップ数及び層数を、深度とも記載する。
EP/ATは、エントリーポイント(EP)とアタックターゲット(AT)とになり得るECUを特定するための情報が含まれる。ECU情報には、例えば、EPとなり得る全てのECUの識別情報、及び、ATとなり得る全てのECUの識別情報が含まれる。EPには、例えば、通信系のECU、診断コネクタ等が設定される。また、ATには、例えば、EPを基準とし、所定値以上の深度を有するECUのそれぞれが設定されるが、これに限定されず、車両に搭載される全てのECUがATに設定されてもよい。なお、EP/APは、車両構成情報に含まれていなくてもよい。
接続関係は、ECU間の接続関係を示す。接続関係を示す情報は、どのECU同士が通信可能に接続されているかを示す。
図2Bに示すように、EP1、EP2、ECU1~ECU3、及び、AT1~AT3が通信路(図2B中の黒線)により接続されている。EP1及びEP2のそれぞれは、例えば、AT1と直接接続されており、かつ、ECU1及びECU3を経由してAT2と接続されており、かつ、ECU2を経由してAT3と接続されている。このように、接続関係によれば、EPからATまでの経路を取得可能である。
なお、図2Bに示す層数(1層目、2層目、及び、3層目)は、互いにセキュリティポリシが異なる層である。1層目には、EP1及びEP2が含まれ、2層目にはECU1~ECU3が含まれ、3層目にはAT1~AT3が含まれる。例えば、AT1~AT3の深度は、3(3階層目)である。また、例えば、EP1及びEP2は、ホップ数が1である。また、EP1を例に説明すると、AT1、ECU1、及び、ECU2は、ホップ数が2であり、ECU3及びAT3は、ホップ数が3であり、AT2は、ホップ数が4である。
図1を再び参照して、IDS情報取得部20は、車両に搭載されるIDSに関するIDS情報を取得する。IDS情報は、車両に搭載される1以上のECUを監視する1以上のIDSに関する情報(監視IDS情報)、1以上のIDSがECUにおける異常を検知した際に出力する検知ログを示す出力検知ログ(出力検知ログ情報)等を含む。IDS情報取得部20は、取得したIDS情報を記憶部に記憶してもよい。
IDS情報取得部20は、外部装置から通信によりIDS情報を取得してもよい。この場合、IDS情報取得部20は、アンテナ等を含んで構成され、IDS情報を受信する。また、IDS情報取得部20は、ボタン、タッチパネル等の操作部、又は、マイクロフォンを含んで構成され、ユーザからの入力(操作又は音声)によりIDS情報を受け付けてもよい。IDS情報取得部20は、第2取得部の一例である。
ここで、IDS情報について、図3A及び図3Bを参照しながら説明する。図3Aは、本実施の形態に係るIDS情報の一例を示す図である。図3Bは、本実施の形態に係る出力検知ログ(出力検知ログ情報)の一例を示す図である。
図3Aに示すように、IDS情報には、項目として、監視IDS、及び、出力検知ログが含まれる。IDS情報には、監視IDS、及び、出力検知ログの少なくとも1つが含まれていればよい。
監視IDSは、各ECUまたは各通信バスを監視するIDSに関する情報が含まれる。監視IDSは、IDSがどのECUまたは通信バスを監視するかを示す情報、IDSの識別情報等が含まれる。また、出力検知ログは、各IDSがECUまたは通信バスの異常を検知した際に出力する検知ログが含まれる。
なお、以下では、監視IDSは、各ECUを監視するIDS(いわゆるHost型IDS)に関する情報を含む例について説明するが、各通信バスを監視するIDS(いわゆるネットワーク型IDS)に関する情報を含んでいてもよい。
図3Bに示すように、出力検知ログでは、検知ログと攻撃内容とが対応づけられている。出力検知ログは、検知ログと攻撃内容との対応関係を示すとも言える。検知ログは、IDSがECUでの異常を検知した場合に当該IDSから出力される情報である。攻撃内容は、当該異常に応じた当該ECUへの攻撃の内容を示す情報である。例えば、ECUで認証エラーが検知される場合、当該ECUにおける攻撃内容が不正機器接続であり、ECUでリプロエラーが検知される場合、当該ECUにおける攻撃内容が不正リプロであり、ECUで頻度異常が検知される場合、当該ECUにおける攻撃内容がDoS攻撃である。
図1を再び参照して、検知対象攻撃情報取得部30は、車両において検知する対象となる攻撃に関する検知対象攻撃情報を取得する。検知対象攻撃情報取得部30は、取得した検知対象攻撃情報を記憶部に記憶してもよい。検知対象攻撃情報取得部30は、第3取得部の一例である。
ここで、検知対象攻撃情報について、図4を参照しながら説明する。図4は、本実施の形態に係る検知対象攻撃情報の一例を示す図である。
図4に示すように、検知対象攻撃情報には、項目として、検知対象攻撃が含まれる。検知対象攻撃は、該当車両において、発生した場合に検知したい攻撃に関する情報が含まれる。検知対象攻撃は、例えば、公知攻撃、CAPEC(Common Attack Pattern Enumeration and Classification:セキュリティ攻撃パターン分類)に該当する攻撃等が含まれる。例えば、検知対象攻撃情報には、不正機器接続、不正リプロ、DoS攻撃等が含まれる。言い換えると、不正機器接続、不正リプロ、DoS攻撃は、該当車両において検知する対象となる攻撃である。検知対象攻撃は、独立して記述されていても、時系列順に記載されていてもよい。例えば、攻撃が順番に行われることが予想される「マルウェアダウンロード」という攻撃と「マルウェア実行」という攻撃とを例に説明すると、「マルウェアダウンロード」及び「マルウェア実行」それぞれが1つの攻撃として検知対象攻撃に含まれていてもよい(独立して記述されることの一例)し、「マルウェアダウンロード→マルウェア実行」のように1つの攻撃(一連の攻撃)として検知対象攻撃に含まれていてもよい(時系列順に記載されることの一例)。また、検知対象攻撃情報には、検知対象攻撃と、当該検知対象攻撃が検知され得るECU(例えば、ECUの種類、型番等)とが対応づけられた情報が含まれていてもよい。
なお、検知対象攻撃は、車両又は車種毎に異なる情報であってもよいし、車両又は車種毎に共通の情報であってもよい。
なお、車両構成情報取得部10、IDS情報取得部20、及び、検知対象攻撃情報取得部30は、1つの取得装置により実現されてもよいし、互いに異なる取得装置により実現されてもよい。
図1を再び参照して、検知ルール生成装置1は、各取得部により取得された、車両構成情報、IDS情報、及び、検知対象攻撃情報に基づいて、車両で発生した異常を検知するための検知ルールを生成する。検知ルール生成部40は、攻撃経路生成部41と、検知対象攻撃紐づけ部42とを有する。また、検知ルール生成部40は、生成された検知ルールを出力する出力部としても機能する。
攻撃経路生成部41は、車両構成情報に基づいて、EPを起点とし、ATを終点とする攻撃経路を生成する。攻撃経路生成部41は、車両構成情報のEP/ATに基づいて、車両に搭載される全てのECUの中から、EPとなり得るECU(第1ECUの一例)、及び、ATとなり得るECU(第2ECUの一例)を決定する。そして、攻撃経路生成部41は、搭載ECUと接続関係とに基づいて、EPを起点とし、ATを終点とする攻撃経路を生成する。攻撃経路生成部41は、例えば、攻撃経路としてあり得る全ての攻撃経路(複数の攻撃経路)を生成する。
なお、車両構成情報にEP/ATのうちATが含まれていない場合、攻撃経路生成部41は、車両に搭載される全てのECUからATとなり得るECUを抽出してもよい。攻撃経路生成部41は、例えば、EPとなり得るECUと、接続関係とに基づいて、EPからの深度が所定値以上であるECUをATとして抽出してもよい。なお、攻撃経路生成部41は、車両に搭載される全てのECUのそれぞれをATとして抽出してもよい。
検知対象攻撃紐づけ部42は、IDS情報と検知対象攻撃情報とに基づいて、攻撃経路に検知対象攻撃を紐づける。検知対象攻撃紐づけ部42は、例えば、攻撃経路に含まれるECUのそれぞれに対して、当該ECUに対する検知対象攻撃を紐づける。
ここで、検知ルール生成装置1における検知ルールの生成について、さらに図5を参照しながら説明する。図5は、本実施の形態に係る検知ルール生成装置1における検知ルールの生成を説明するための図である。
図5に示すように、検知ルールには、「Lv1:攻撃進行度合い」、「Lv2:攻撃経路」、「Lv2:異常内容」、及び、「Lv3:攻撃シナリオ」が含まれる。検知ルール生成装置1は、攻撃進行度合いに関する検知ルール、攻撃経路に関する検知ルール、異常内容に関する検知ルール、及び、攻撃シナリオに関する検知ルールの少なくとも1つの検知ルールを生成する。なお、Lv(レベル)は、検知ルールに含まれる情報量を示す。Lvの値が高いほど、検知ルールに多くの情報が含まれることを示す。つまり、Lvが高いほど、攻撃内容をより詳細に判定可能である。また、攻撃進行度合いに関する検知ルール、攻撃経路に関する検知ルール、異常内容に関する検知ルール、及び、攻撃シナリオに関する検知ルールのそれぞれは、車両において異常の発生した箇所と当該箇所で発生した異常とを検知するための検知ルールの一例である。
攻撃進行度合いに関する検知ルールは、エントリーポイント(EP)を基準とした深さ(ホップ数)、層数(1層目、2層目など)等を含む。攻撃進行度合いに関する検知ルールの生成には、少なくとも、搭載ECU、EP/AT、及び、接続関係が入力情報として用いられる。また、攻撃進行度合いに関する検知ルールの生成には、さらに、IDS情報、及び、検知対象攻撃情報の少なくとも1つが入力情報として用いられてもよい。
検知ルール生成装置1は、攻撃経路生成部41が生成した攻撃経路に基づいて、攻撃進行度合いに関する検知ルール(後述する図7B及び図7Cを参照)を生成する。
攻撃経路に関する検知ルールは、エントリーポイント(EP)を起点、アタックターゲット(AT)を終点とし、各ECUの接続関係に基づいて導出される経路を含む。攻撃経路に関する検知ルールの生成には、少なくとも、搭載ECU、EP/AT、及び、接続関係が入力情報として用いられる。また、攻撃経路に関する検知ルールの生成には、さらに、IDS情報、及び、検知対象攻撃情報の少なくとも1つが入力情報として用いられてもよい。
検知ルール生成装置1は、攻撃経路生成部41が生成した攻撃経路に基づいて、攻撃経路に関する検知ルール(後述する図8Bを参照)を生成する。
異常内容に関する検知ルールは、各ECUで検知された異常内容と、その異常を検知した時に出力される検知ログとを含む。異常内容に関する検知ルールの生成には、少なくとも、搭載ECU、監視IDS、出力検知ログ、及び、検知対象攻撃が入力情報として用いられる。
検知ルール生成装置1は、上記情報に基づいて、異常内容に関する検知ルール(後述する図9Bを参照)を生成する。
攻撃シナリオに関する検知ルールは、攻撃経路に基づいて、各ECUで発生した異常を一連の流れで表現したシナリオ(攻撃経路と異常内容との組み合わせ)を含む。攻撃シナリオに関する検知ルールの生成には、少なくとも、搭載ECU、EP/AT、接続関係、監視IDS、出力検知ログ、及び、検知対象攻撃が入力情報として用いられる。
検知ルール生成装置1は、上記情報に基づいて、攻撃シナリオに関する検知ルール(後述する図10Bを参照)を生成する。
上記のように、本実施の形態に係る検知ルール生成装置1は、例えば、車両に搭載される車載ネットワークの構成に関する車両構成情報を取得する車両構成情報取得部10(第1取得部の一例)と、車両に搭載されるIDSに関するIDS情報を取得するIDS情報取得部20(第2取得部の一例)と、車両において検知すべき攻撃を示す検知対象攻撃情報を取得する検知対象攻撃情報取得部30(第3取得部の一例)と、車両構成情報、IDS情報、及び、検知対象攻撃情報に基づいて、車両における異常を検知するための検知ルールを生成する検知ルール生成部40(生成部の一例)と、生成された検知ルールを出力する検知ルール生成部40(出力部の一例)とを備える。
[1-2.検知ルール生成装置の動作]
続いて、上記のように構成される検知ルール生成装置1における動作について、図6~図10Bを参照しながら説明する。図6は、本実施の形態に係る検知ルール生成装置1の動作(検知ルール生成方法)を示すフローチャートである。なお、検知ルール生成方法は、情報処理方法の一例である。
図6に示すように、検知ルール生成装置1は、車両構成情報取得部10を介して、車両構成情報を取得する(S10)。車両構成情報は、例えば、車載ネットワークが生成された場合、又は、車載ネットワークが変更された場合等に取得されるが、取得されるタイミングはこれに限定されない。ステップS10は、第1取得ステップの一例である。
次に、検知ルール生成装置1は、IDS情報取得部20を介して、IDS情報を取得する(S20)。IDS情報は、例えば、車載ネットワークが生成された場合、又は、搭載されるIDSが変更となった場合に取得されるが、取得されるタイミングはこれに限定されない。ステップS20は、第2取得ステップの一例である。
次に、検知ルール生成装置1は、検知対象攻撃情報取得部30を介して、検知対象攻撃情報を取得する(S30)。検知対象攻撃情報は、例えば、検知対象攻撃が生成された場合、又は、検知対象攻撃が変更された場合に取得されるが、取得されるタイミングはこれに限定されない。ステップS30は、第3取得ステップの一例である。
なお、車両構成情報、IDS情報、及び、検知対象攻撃情報を取得する順番は、特に限定されない。
次に、検知ルール生成装置1は、ステップS10~S30で取得された、車両構成情報、IDS情報、及び、検知対象攻撃情報に基づいて、車両に応じた検知ルールを生成する(S40)。ステップS40の詳細は、後述する。ステップS40は、生成ステップの一例である。なお、ステップS40で生成される検知ルールの数は特に限定されず、例えば、1つであってもよいし、複数であってもよい。
次に、検知ルール生成装置1は、生成された検知ルールを出力する(S50)。検知ルール生成装置1は、例えば、車両及びSOCの車載監視装置に、通信により検知ルールを出力する。検知ルール生成装置1は、生成された検知ルールを後述するセキュリティシステムに備えられた記録装置に出力するとも言える。これにより、車載監視装置に、当該車両に応じた検知ルールを、記憶、又は、更新させることができる。ステップS50は、出力ステップの一例である。
続いて、図6に示すステップS40の第1例について、図7A~図7Cを参照しながら説明する。図7Aは、図6に示すステップS40の詳細の第1例を示すフローチャートである。図7Bは、攻撃進行度合いに関する検知ルールの一例を示す図である。図7Cは、攻撃進行度合いに関する検知ルールの他の一例を示す図である。
図7Aに示すように、ステップS40において、まず、検知ルール生成部40は、車両構成情報に基づいて、各ECUの搭載箇所を特定する(S110)。検知ルール生成部40は、車両構成情報に基づいて、アーキテクチャにおける各ECUの搭載箇所を特定する。例えば、検知ルール生成部40は、搭載ECU、ECU情報、及び、接続関係に基づいて、1以上のECUのそれぞれにおけるEPからの相対的な位置関係を示す搭載箇所を特定する。なお、ここでの搭載箇所は、例えば、EPを基準とした場合における、1以上のECUそれぞれの相対的な接続関係における位置を意味する。また、搭載箇所は、予め車両構成情報に含まれていてもよい。搭載箇所は、例えば、EPを基準とした場合の1以上のECUそれぞれの位置を示す。
次に、検知ルール生成部40は、特定された搭載箇所に基づいて、ECU毎に異常発生時のホップ数、又は、層数を割り当てる(S120)。検知ルール生成部40は、EPからのホップ数、又は、層数を、当該ECUのホップ数、又は、層数として割り当てる。検知ルール生成部40は、特定された搭載箇所に基づいて、1以上のECUのそれぞれにおける異常発生時の深度を割り当てるとも言える。
図7Bに示すように、検知ルール生成部40は、ECU毎にホップ数を割り当てた検知ルールを生成してもよい。
これにより、検知ルール生成装置1は、例えば、ECU3で異常が検知された場合、当該ECU3に応じたホップ数である「3」を車載監視装置に出力させることが可能な検知ルールを生成することができる。つまり、検知ルールは、接続関係においてEPから何個目のECUまで侵入されているかを示す情報を車載監視装置に出力させることが可能である。
図7Cに示すように、検知ルール生成部40は、ECU毎に層数を割り当てた検知ルールを生成してもよい。
上記のように、検知ルール生成部40は、ステップS40において、搭載ECU情報、ECU情報、及び、接続関係に基づいて、EPを基準とした1以上のECUそれぞれの深度を含む検知ルールを生成する。
これにより、検知ルール生成装置1は、例えば、ECU3で異常が検知された場合、ECU3に応じた層数である「2」を車載監視装置に出力させることが可能な攻撃進行度合いに関する検知ルールを生成することができる。つまり、検知ルールは、どの階層(どのセキュリティポリシ)までが侵入されているかを示す情報を車載監視装置に出力させることが可能である。
続いて、図6に示すステップS40の第2例について、図8A及び図8Bを参照しながら説明する。図8Aは、図6に示すステップS40の詳細の第2例を示すフローチャートである。図8Bは、攻撃経路に関する検知ルールの一例を示す図である。なお、図8Bでは、No.1~No.3の3つの攻撃経路(3つの検知ルール)を示している。また、図8Bでは、EPからATまでの経由するECUを攻撃ステップとし、「STEP数」で示している。「STEP」の数値が小さい方から数値が大きい方へ攻撃が進行しているものとする。
図8Aに示すように、ステップS40において、まず、検知ルール生成部40の攻撃経路生成部41は、車両構成情報のEP/ATに基づいて、攻撃の起点(EP)と、終点(AT)とを決定する(S210)。攻撃経路生成部41は、車両構成情報のEP/ATのうちEPをステップS210におけるEPに決定し、車両構成情報のEP/ATのうちATをステップS210におけるATに決定する。なお、ステップS210において、攻撃経路生成部41は、車両構成情報の搭載ECUに含まれる全てECUをATに決定してもよい。
次に、攻撃経路生成部41は、攻撃経路を網羅的に導出する(S220)。攻撃経路生成部41は、決定されたEPとATとの間の経路を、搭載ECU及び接続関係に基づいて網羅的に導出する。攻撃経路生成部41は、EPからATへ到達するまでに経由可能な1以上のECUを含む経路の全てを導出する。
図8Bに示すように、検知ルール生成部40は、攻撃経路毎にSTEP数とECUとが対応づけられた検知ルールを生成してもよい。No.1の攻撃経路は、EP1、AT1の順に攻撃が進行し得る経路を示し、No.2の攻撃経路は、EP1、ECU1、ECU3、AT2の順に攻撃が進行し得る経路を示し、No.3の攻撃経路は、EP2、ECU2、AT3の順に攻撃が進行し得る経路を示している。
なお、図8Bは、異常が検知されたECUの時系列データを示すとも言える。
上記のように、検知ルール生成部40は、ステップS40において、搭載ECU情報、ECU情報、及び、接続関係に基づいて、EPとなり得る第1ECUを攻撃の起点、ATとなり得る第2ECUを攻撃の終点とする攻撃経路を含む検知ルールを生成する。
これにより、検知ルール生成装置1は、例えば、所定の経路で攻撃が行われた場合、車載監視装置に異常を出力させることが可能な異常内容に関する検知ルールを生成することができる。
なお、1つのEP及びATの組に対して、複数の攻撃経路が生成されてもよい。また、No.2の攻撃経路を例に説明すると、EP1、ECU1、ECU3、ECU1、ECU3、AT2の順のように攻撃経路が生成されてもよい。つまり、攻撃経路は、攻撃の進行がEPからATへ向かう方向と反対方向に進行する部分(戻る部分)を有していてもよい。また、1つのECUに複数回連続して攻撃されるような攻撃経路が生成されてもよい。
続いて、図6に示すステップS40の第3例について、図9A及び図9Bを参照しながら説明する。図9Aは、図6に示すステップS40の詳細の第3例を示すフローチャートである。図9Bは、異常内容に関する検知ルールの一例を示す図である。なお、図9Bでは、ECU、検知対象攻撃、監視IDS、及び、出力検知ログが対応づけられている。
図9Aに示すように、ステップS40において、まず、検知ルール生成部40の検知対象攻撃紐づけ部42は、搭載ECUと検知対象攻撃情報とに基づいて、各ECUのそれぞれに対して発生し得る攻撃(攻撃内容)を割り当てる(S310)。検知対象攻撃紐づけ部42は、検知対象攻撃情報が、検知対象攻撃と、当該検知対象攻撃が検知され得るECUとを対応づけた情報を含む場合、当該情報を用いて、搭載ECUに含まれる1以上のECUのそれぞれに対して当該ECUで検知され得る攻撃を割り当てる。1つのECUに割り当てられる攻撃の数は特に限定されず、1つであってもよいし、2以上であってもよい。
図9Bでは、EP1のECUには、攻撃としてポートスキャンと不正機器接続とが割り当てられ、ECU1には、不正メッセージ挿入と不正リプロとが割り当てられた例を示している。
次に、検知対象攻撃紐づけ部42は、IDS情報の監視IDSに基づいて、各攻撃を検知するIDSを割り当てる(S320)。検知対象攻撃紐づけ部42は、ステップS310で当該ECUに割り当てられた攻撃を検知可能なIDSを、車両に搭載された複数のIDSの中から監視IDSに基づいて特定し、特定されたIDSを当該ECUに対する攻撃を検知するIDSに割り当てる。
図9Bでは、ポートスキャンには「H-IDS1」が割り当てられ、不正機器接続には「防御機能」のIDSが割り当てられ、不正メッセージ挿入には「N-IDS1」が割り当てられ、不正リプロには「H-IDS2」が割り当てられる例を示している。「H-IDS1」は、ECUにおけるポートスキャンを検知可能なIDSであり、「防御機能」のIDSは、ECUにおける不正機器接続を検知可能なIDSである。また、「N-IDS1」は、ECUにおける不正メッセージ挿入を検知可能なIDSであり、「H-IDS2」は、ECUにおける不正リプロが検知可能なIDSである。このIDSと検知可能な攻撃とは、IDS情報に含まれる。
次に、検知対象攻撃紐づけ部42は、IDS情報の出力検知ログに基づいて、攻撃検知時に各IDSが出力する検知ログを割り当てる(S330)。
図9Bでは、H-IDS1には「Firewallエラー」が割り当てられ、防御機能のIDSには「認証エラー」が割り当てられ、N-IDS1には「MACエラー」が割り当てられ、H-IDS2には「リプロエラー」が割り当てられる例を示している。
上記のように、検知ルール生成部40は、ステップS40において、搭載ECU情報、監視IDS情報、出力検知ログ情報、及び、検知対象攻撃情報に基づいて、車両における異常の内容を示す異常内容を含む検知ルールを生成する。
これにより、検知ルール生成装置1は、例えば、所定の異常が検知された場合、車載監視装置に異常を出力させることが可能な異常内容に関する検知ルールを生成することができる。
続いて、図6に示すステップS40の第4例について、図10A及び図10Bを参照しながら説明する。図10Aは、図6に示すステップS40の詳細の第4例を示すフローチャートである。図10Bは、攻撃シナリオに関する検知ルールの一例を示す図である。
図10Aに示すように、検知ルールの生成方法は、図8Aに示すフローチャートと、図9Aに示すフローチャートとを含む。なお、ステップS310では、車両に搭載される複数のECUのうち、ステップS210で生成された攻撃経路に含まれる1以上のECUのそれぞれに対して、攻撃が割り当てられる。このように、例えば、車両に搭載された全てのECU(例えば、車両構成情報の搭載ECUに含まれる全てのECU)に対して、攻撃が割り振られなくてもよい。例えば、ステップS310~S330の処理は、攻撃経路に含まれる1以上のECUのそれぞれに対して実行される。
なお、ステップS210及びS220は、第1生成ステップの一例であり、例えば、第1生成ステップにより図8Bに示す攻撃経路(攻撃経路を示す情報)が生成される。また、ステップS310~S330は、第2生成ステップの一例であり、例えば、第2生成ステップにより図9Bに示す異常内容(異常内容を示す情報)が生成される。
また、上記により生成された攻撃経路と異常内容とを組み合わせた攻撃のシナリオを含む検知ルールが生成される。この検知ルールの生成は、第3生成ステップの一例である。
図10Bに示すように、検知ルールは、STEP数と、ECUと、検知対象攻撃と、監視IDSと、出力検知ログとが対応づけられている。図10Bに示す検知ルールは、攻撃経路がEP1、ECU3、AT2である場合の攻撃シナリオに関する検知ルールを示す。
検知対象攻撃紐づけ部42は、例えば,EP1に対する検知対象攻撃、監視IDS、及び、出力検知ログを、図9Bに示す情報から抽出する。図10Bの例では、検知攻撃対象が不正機器接続であり、監視IDSが防御機能であり、出力検知ログが認証エラーである情報がEP1に対応づけられている。この処理は、攻撃経路と異常内容とを組み合わせることの一例である。
なお、上記では、EP1に対応する検知対象攻撃が不正機器接続である例について説明したが、これに限定されない。例えば、EP1に複数の攻撃(検知対象攻撃)がある場合、複数の異常内容の中から、検知対象攻撃情報に含まれる攻撃(検知対象攻撃)を含む情報が抽出され、抽出された情報が当該EP1に対応づけられてもよい。なお、ここでの情報は、例えば、検知対象攻撃と、監視IDSと、出力検知ログとが対応づけられた情報である。
図10Bに示す検知ルールは、ECU、検知対象攻撃、監視IDS、及び、出力検知ログのセットの時系列データを示すとも言える。
これにより、検知ルール生成装置1は、例えば、所定の異常が所定の順序で検知された場合、車載監視装置に異常を出力させることが可能な検知ルールを生成することができる。
なお、検知ルールが車両で用いられる場合、上記の処理は、例えば、車両製造時、検知ルールを搭載する車種変更時、新規の攻撃又は新規の不具合の発生時に、検知ルールを生成又は更新するために実行される。また、検知ルールがSOCで用いられる場合、上記の処理は、例えば、新規の攻撃発生時、検知ルールにおける観点の変更時に、検知ルールを生成又は更新するために実行される。
上記の検知ルール生成方法によれば、例えば、検知ルール作成に関するノウハウを有していなくても、車両構成情報、IDS情報、及び、検知対象攻撃情報を生成するだけで検知ルールを作成可能である。
なお、上記では、検知ルール生成装置1は、図6に示すステップS40(生成ステップ)を実行する例について説明したが、これに限定されず、検知ルールを生成しなくてもよい。ステップS40は、他の装置により実行され、検知ルール生成装置1は、生成された検知ルールを取得してもよい。この場合、検知ルール生成装置1は、他の装置に車両構成情報、IDS情報、及び、検知対象攻撃情報を出力してもよい。
検知ルール生成装置1の動作(検知ルール出力方法)は、図6に示すステップS10~S30、及び、S50を実行することであってもよい。例えば、検知ルール出力方法は、車両構成情報と、IDS情報と、検知対象攻撃情報とを取得し、取得された車両構成情報、IDS情報、及び、検知対象攻撃情報に基づいて生成された、車両において異常の発生した箇所と当該箇所で発生した異常とを検知するための検知ルールを、セキュリティシステムに備えられた記憶装置に対して出力することを含む。この場合、検知ルール生成装置1は、検知ルール生成部40を有していなくてもよく、検知ルール出力装置であるとも言える。
(実施の形態2)
以下では、本実施の形態に係る検知ルール生成装置等について、図11及び図12を参照しながら説明する。なお、以下では、実施の形態1との相違点を中心に説明し、実施の形態1と同一又は類似の内容については説明を省略又は簡略化する。
[2-1.検知ルール生成装置の構成]
まず、本実施の形態に係る検知ルール生成装置の構成について、図11を参照しながら説明する。図11は、本実施の形態に係る検知ルール生成装置1aの機能構成を示すブロック図である。本実施の形態に係る検知ルール生成装置1aは、ルール追加情報取得部60、及び、ルール追加情報付与部43を備える点において、実施の形態1に係る検知ルール生成装置1と相違する。
図11に示すように、検知ルール生成装置1aは、実施の形態1に係る検知ルール生成装置1に加えて、ルール追加情報取得部60を備え、かつ、検知ルール生成部40に替えて検知ルール生成部40aを備える。検知ルール生成部40aは、実施の形態1に係る検知ルール生成部40に加えて、ルール追加情報付与部43を有する。
ルール追加情報取得部60は、攻撃経路生成部41及び検知対象攻撃紐づけ部42の少なくとも1つにより生成される検知ルールに追加するためのルール追加情報を取得する。ルール追加情報取得部60は、通信等によりルール追加情報を受信してもよいし、ユーザの入力によりルール追加情報を受け付けてもよい。
ルール追加情報は、車載監視装置での制御に用いられる情報であり、例えば、車両で異常が発生した場合に、当該異常をSOCに送信するか否かを判定するために用いられる。ルール追加情報は、生成された検知ルールに対する付加的な情報を含み、例えば、検知ルールの特徴を数値化した情報を含んでもよい。検知ルールの特徴を数値化した情報として、例えば、優先度、リスク値、発生可能性、類似度、及び、フラグ(1又は0)の少なくとも1つを含んでいてもよい。例えば、検知ルールごとに、当該少なくとも1つが追加されてもよい。
優先度は、検知する異常の優先度合いを示す情報である。例えば、特定の攻撃経路、又は、特定の異常内容を含む検知ルールに対して、高い優先度が割り当てられる。
リスク値は、検知する異常の危険合いを示す情報である。例えば、各異常内容に紐づいた車両の走行への影響度に応じて、検知ルール毎に割り当てられる。例えば、影響度が大きい検知ルールに対して、高いリスク値が割り当てられる。
発生可能性は、各ECUに紐づいた攻撃容易性に応じて、検知ルール毎に割り当てられる。攻撃容易性は、ECUへの攻撃のしやすさを示す情報であり、例えば、ECUの深度、ECU自体のセキュリティレベル等に応じて予め設定される。
類似度は、公知の攻撃(公知攻撃)との一致度合いを示す情報である。類似度は、例えば、一致度合いが大きいほど、大きな値が設定される。一致度合いは、例えば、ECU、検知対象攻撃、監視IDS、及び、出力検知ログにおいて一致した項目の数、割合等であってもよい。
フラグは、所定の条件を満たすことを示す情報である。例えば、所定の条件は、公知攻撃と一致する攻撃シナリオを有することであるが、これに限定されない。
なお、優先度、リスク値、及び、発生可能性は、攻撃経路に含まれるECUのそれぞれに対して割り当てられ、検知ルールにおける優先度、リスク値、及び、発生可能性は、ECUそれぞれに割り当てられた値の統計値であってもよい。統計値は、例えば、合計値、平均値、中央値、最頻値、最大値、最小値のいずれかであるが、これに限定されない。また、例えば、検知ルールにおける優先度、リスク値、及び、発生可能性は、ECUそれぞれに割り当てられた値を重み付け加算した値であってもよい。
なお、ルール追加情報取得部60は、取得したルール追加情報を記憶部(図示しない)に記憶してもよい。
ルール追加情報付与部43は、攻撃経路生成部41及び検知対象攻撃紐づけ部42の少なくとも1つにより生成された検知ルールに、上記のルール追加情報を付与する。ルール追加情報付与部43は、例えば、検知ルールに含まれる複数のECUのそれぞれに対して、ルール追加情報を付与してもよい。
[2-2.検知ルール生成装置の動作]
続いて、上記のように構成される検知ルール生成装置1aにおける動作について、図12を参照しながら説明する。図12は、本実施の形態に係る検知ルール生成装置1aの動作(検知ルール生成方法)を示すフローチャートである。図12に示すフローチャートは、図6に示すフローチャートに加えて、ステップS60を含む。
図12に示すように、検知ルール生成部40aのルール追加情報付与部43は、ステップS40において検知ルールが生成された後、生成された検知ルールに対してルール追加情報を付与する(S60)。ルール追加情報は、例えば、検知ルール毎に付与される。ステップS60は、付与ステップの一例である。
なお、ルール追加情報は、例えば、ステップS60より前にルール追加情報取得部60を介して取得される。ルール追加情報が取得されるステップは、第4取得ステップの一例である。
次に、ルール追加情報付与部43は、ステップS50において、ルール追加情報が付与された検知ルールを出力する。
これにより、生成された検知ルールに、ルール追加情報を付与することができるので、例えば、車両等における検知ルールを用いた異常の検知の際に、当該ルール追加情報を用いることができる。例えば、ルール追加情報に優先度が含まれる場合、検知ルールの1つを満たす異常が検知された場合、当該検知ルールの優先度に基づいて、当該異常をSOCに通知するか否かを車載監視装置が判定することが可能となる。よって、例えば、車両等において異常が検知された場合、当該異常の通知の必要の有無等を効果的に判定することが可能となり得る。
(実施の形態3)
以下では、本実施の形態に係る検知ルール生成装置等について、図13及び図14を参照しながら説明する。なお、以下では、実施の形態1との相違点を中心に説明し、実施の形態1と同一又は類似の内容については説明を省略又は簡略化する。
[3-1.検知ルール生成装置の構成]
まず、本実施の形態に係る検知ルール生成装置の構成について、図13を参照しながら説明する。図13は、本実施の形態に係る検知ルール生成装置1bの機能構成を示すブロック図である。本実施の形態に係る検知ルール生成装置1bは、ルール絞り込み情報取得部70、及び、ルール絞り込み部80を備える点において、実施の形態1に係る検知ルール生成装置1と相違する。
図13に示すように、検知ルール生成装置1bは、実施の形態1に係る検知ルール生成装置1に加えて、ルール絞り込み情報取得部70、及び、ルール絞り込み部80を備える。
ルール絞り込み情報取得部70は、複数の検知ルールから所望の検知ルールを抽出するためのルール絞り込み情報を取得する。ルール絞り込み情報取得部70は、通信等によりルール絞り込み情報を受信してもよいし、ユーザの入力によりルール絞り込み情報を受け付けてもよい。
ルール絞り込み情報は、ルール絞り込み部80における検知ルールの絞り込みの条件を示す情報である。ルール絞り込み情報は、特定の攻撃経路を含む検知ルールを除外すること、あり得ない異常の組み合わせを含む検知ルールを除外することを示す情報を含んでいてもよい。当該情報は、例えば、特定の攻撃経路、及び、あり得ない異常の組み合わせのリストを含む。特定の攻撃経路は、予め設定されており、例えば、車両に対する検査等において発生し得る異常の発生経路であってもよい。また、あり得ない異常の組み合わせは、異常が発生したECUの順序、発生した異常の検知ログの順序等が通常起こり得ない順序であること等が含まれる。
また、ルール絞り込み情報は、リスク値等の実施の形態2に記載したルール追加情報のいずれかが閾値を超える検知ルール(例えば、検知ルールのみ)を出力するように検知ルールを絞り込むこと、公知攻撃と一致する検知ルール(例えば、検知ルールのみ)を出力することを示す情報を含んでいてもよい。公知攻撃と一致することは、例えば、実施の形態2に示すフラグが立っていることであってもよい。
上記のように、ルール絞り込み情報は、例えば、複数の検知ルールの中から、優先度、リスク値、発生可能性、及び、類似度の少なくとも1つが閾値以上である検知ルールを抽出することを示す情報を含んでいてもよい。また、ルール絞り込み情報は、公知攻撃と攻撃シナリオが一致する検知ルールを抽出することを示す情報を含んでいてもよい。
なお、ルール絞り込み情報にルール追加情報に関する内容が含まれる場合、例えば、検知ルール生成装置1bは、実施の形態2に示すルール追加情報取得部60、及び、ルール追加情報付与部43を備えていてもよい。
なお、ルール絞り込み情報取得部70は、取得したルール絞り込み情報を記憶部(図示しない)に記憶してもよい。
ルール絞り込み部80は、検知ルール生成部40が生成した複数の検知ルールの中から、ルール絞り込み情報に基づいて、出力するための1以上の検知ルールを抽出する。ルール絞り込み部80は、ルール絞り込み情報と一致する部分を有するか否かに基づいて、検知ルール生成部40が生成した複数の検知ルールの中から出力するための1以上の検知ルールを抽出する。なお、ルール絞り込み部80は、出力部としても機能する。
[3-2.検知ルール生成装置の動作]
続いて、上記のように構成される検知ルール生成装置1bにおける動作について、図14を参照しながら説明する。図14は、本実施の形態に係る検知ルール生成装置1bの動作(検知ルール生成方法)を示すフローチャートである。図14に示すフローチャートは、図6に示すフローチャートに加えて、ステップS70を含む。
図14に示すように、検知ルール生成装置1bは、ステップS40において検知ルールが生成された後、生成された複数のルール(検知ルール)の中から、出力するための検知ルールを絞り込む(S70)。検知ルール生成装置1bは、ルール絞り込み情報に基づいて、複数の検知ルールの中から1以上の検知ルールを絞り込む。ステップS70は、絞り込みステップの一例である。
なお、ルール絞り込み情報は、例えば、ステップS70より前にルール絞り込み情報取得部70を介して取得される。ルール絞り込み情報が取得されるステップは、第5取得ステップの一例である。
次に、ルール絞り込み部80は、ステップS70において絞り込まれた検知ルールを出力する。
これにより、検知する必要がない攻撃が除外された検知ルール、又は、検知したい攻撃が含まれる検知ルールを出力することができる。例えば、車載監視装置において、車両に対する攻撃を効果的に検知可能となり得る。
(実施の形態4)
[4-1.異常検知システムの構成]
続いて、上記のような検知ルール生成装置が生成した検知ルールに基づいて、異常を検知する異常検知システムについて、図15~図18を参照しながら説明する。図15は、本開示に係る検知ルール生成装置(図15中では、実施の形態1に係る検知ルール生成装置1)が生成した検知ルールを用いた異常検知システムの機能構成の第1例を示すブロック図である。図15では、検知ルール生成装置1が車両100に搭載される車載統合監視部120(車載監視装置の一例)において用いられる検知ルールを生成し、当該検知ルールを車載統合監視部120に出力する場合について図示している。
なお、以下では、実施の形態1に係る検知ルール生成装置1を用いて説明するが、検知ルール生成装置1a又は1bが用いられてもよい。
図15に示すように、異常検知システムは、検知ルール生成装置1と、車両100と、SOC(Security Operation Center:セキュリティ オペレーションセンタ)200とを備える。
車両100は、IDS110と、車載統合監視部120とを有する。
IDS110は、ECUを監視し、監視対象のECUに異常が検知されると車載統合監視部120に検知ログを出力する。図15における検知ログは、ログ情報の一例である。
車載統合監視部120は、車両100内を監視し、IDS110からの検知ログの時系列データに基づいて攻撃が発生した判定されると、当該攻撃が発生したことをSOC200に出力する。車載統合監視部120は、ログ管理部121と、攻撃内容判定部122と、ログ送信判定部123と、ログ蓄積部124と、ルール記憶部125とを有する。
ログ管理部121は、各IDS110から検知ログを取得し、取得した検知ログを管理する。具体的には、ログ管理部121は、取得した検知ログを、ログ蓄積部124に記憶し、かつ、攻撃内容判定部122に出力する。ログ管理部121は、取得部として機能する。
攻撃内容判定部122は、ログ管理部121からの検知ログと、ルール記憶部125に記憶されている検知ルールとに基づいて、攻撃内容を判定する。攻撃内容判定部122は、検知ルールと一致する異常(例えば、時系列での異常の発生順序等が一致する異常)があるか否かを判定する。攻撃内容判定部122は、判定部の一例である。
ログ送信判定部123は、攻撃内容判定部122が判定した攻撃内容を車両ログとして、SOC200に送信するか否かを判定する。例えば、ログ送信判定部123は、攻撃内容と、ルール追加情報とに基づいて、車両ログをSOC200に送信するか否かを判定する。ログ送信判定部123は、例えば、攻撃内容判定部122が一致すると判定した検知ルールに対応するリスク値が閾値以上である場合、当該検知ルールの異常が発生していることを含む車両ログをSOC200に送信すると判定してもよい。なお、車両ログは、SOC200へ直接送信されてもよいし、ディーラー等の作業員が診断機を用いて車両ログを吸い上げ、作業員がSOC200へ送信してもよい。
ログ蓄積部124は、所定期間にIDS110から取得した検知ログを蓄積する。
ルール記憶部125は、検知ルール生成装置1が生成した検知ルールを蓄積する。ルール記憶部125は、セキュリティシステムに備えられた記憶装置の一例である。
ログ蓄積部124、及び、ルール記憶部125は、例えば、1つの半導体メモリ等により実現されてもよいし、互いに異なる半導体メモリ等により実現されてもよい。
なお、車載統合監視部120は、車両100におけるログ情報に基づいて攻撃内容を判定するセキュリティシステムの一例である。
なお、車載統合監視部120は、車両100に搭載されることに限定されない。図16は、本開示に係る検知ルール生成装置が生成した検知ルールを用いた異常検知システムの機能構成の第2例を示すブロック図である。図16では、検知ルールが車両SIEM210に用いられる例を示している。
図16に示すように、例えば、SOC200aの車両SIEM(Security Information and Event Management)210は、車載統合監視部120と同様、ログ管理部211(取得部の一例)と、攻撃内容判定部212(判定部の一例)と、ログ蓄積部213と、ルール記憶部214(セキュリティシステムに備えられた記憶装置の一例)とを有する。つまり、車載統合監視部120の少なくとも一部の構成は、SOC200aが備えていてもよい。
ログ管理部211、攻撃内容判定部212、ログ蓄積部213、及び、ルール記憶部214のそれぞれは、図15に示すログ管理部121、攻撃内容判定部122、ログ蓄積部124、及び、ルール記憶部125のそれぞれと同様の構成であり、説明を省略する。
図16に示すように、SOC200aの車両SIEM210は、車両100aからIDS110の検知ログを含む車両ログを取得し、取得した車両ログと、検知ルール生成装置1が生成した検知ルールとに基づいて、分析結果をオペレータHに出力する。図16における車両ログは、ログ情報の一例である。
なお、SOC200aは、車両100aにおけるログ情報に基づいて攻撃内容を判定するセキュリティシステムの一例である。また、車両SIEM210は、例えば、SOC200aが備えるサーバにより実現される。
図15及び図16に示すように、検知ルール生成装置1が生成した検知ルールは、車両100、及び、車両100aを監視するSOC200aの少なくとも一方において用いられる。
[4-2.異常検知システムの動作]
上記のように構成される異常検知システムの動作について、図17及び図18を参照しながら説明する。図17は、本実施の形態に係る異常検知システムにおける異常検知動作の第1例を示すフローチャートである。図18は、本実施の形態に係る異常検知システムにおける異常検知動作の第2例を示すフローチャートである。図15及び図16に示す異常検知システムのいずれかが、以下に示す図17又は図18に示す動作を行う。
図17に示すように、ログ管理部121は、各IDS110から検知ログを収集する(S410)。ログ管理部121は、例えば、所定期間の検知ログを収集する。
次に、攻撃内容判定部122は、ログ管理部121からの検知ログと、検知ルールとに基づいて、検知ルールを満たす異常があるか否かを判定する(S420)。攻撃内容判定部122は、検知ルールを満たす異常がある場合(S420でYes)、異常を通知し(S430)、検知ルールを満たす異常がない場合(S420でNo)、動作を終了する。
また、図18に示すように、図17に示すフローチャートにさらにステップS440を含めてもよい。ステップS440は、ルール追加情報として優先度が含まれる場合の動作を示す。
攻撃内容判定部122は、ステップS420でYesの場合、さらに、優先度が所定の条件を満たすか否かを判定する(S440)。所定の条件は、例えば、優先度が閾値以上であることである。攻撃内容判定部122は、優先度が当該検知ルールに対する閾値以上である場合(S440でYes)、ステップS430に進み、優先度が当該検知ルールに対する閾値未満である場合(S440でNo)、動作を終了する。
(その他の実施の形態)
以上、一つ又は複数の態様に係る検知ルール出力方法等について、各実施の形態に基づいて説明したが、本開示は、この各実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示に含まれてもよい。
例えば、上記各実施の形態等では、検知ルール生成装置は、車両構成情報、IDS情報、及び、検知対象攻撃情報のそれぞれに基づいて検知ルールを生成する例について説明したが、これに限定されず、例えば、車両構成情報、IDS情報、及び、検知対象攻撃情報の少なくとも1つに基づいて検知ルールを生成してもよい。
また、上記実施の形態等において、検知対象攻撃紐づけ部は、さらに、検知ルールにおけるIDSの配置漏れを判定してもよい。検知対象攻撃紐づけ部は、例えば、図9B、又は、図10Bに示す検知ルールにおいて、監視IDSが割り当てられていないECUがあるか否かを判定し、監視IDSが割り当てられていないECUがある場合、「当該ECUに対するIDSの配置漏れ」であると判定し、アラートを上げてもよい。検知対象攻撃紐づけ部は、例えば、画像、又は、音声により、「当該ECUに対するIDSの配置漏れ」であることを報知してもよい。検知対象攻撃紐づけ部は、IDS情報に漏れがあることを報知するとも言える。
また、上記実施の形態等において、検知対象攻撃紐づけ部は、さらに、検知ルールにおける攻撃の検知漏れを判定してもよい。検知対象攻撃紐づけ部は、例えば、図9B、又は、図10Bに示す検知ルールと検知対象攻撃情報とに基づいて、どのIDSにも割り当たらない検知対象攻撃が存在するか否かを判定し、どのIDSにも割り当たらない検知対象攻撃が存在する場合、「当該検知対象攻撃の検知漏れ」であると判定し、アラートを上げてもよい。検知対象攻撃紐づけ部は、例えば、画像、又は、音声により、「当該検知対象攻撃の検知漏れ」であることを報知してもよい。
また、上記実施の形態等におけるSOCは、VSOC(Vehicle Security Operation Center)とも称される。車両は、自動車に限定されず、二輪車、電車などであってもよい。なお、上記実施の形態等における検知ルールは、例えば、車両以外の移動体であって、外部装置と通信可能な移動体に適用されてもよい。当該移動体は、配送ロボット等の自立型のロボット、ドローン等の飛行体、船舶などであってもよい。
また、上記実施の形態等における車載ネットワークで用いられる通信規格は特に限定されず、CAN(Controller Area Network)、Ethernet(登録商標)、FlexRay、LIN、MOST(Media Oriented Systems Transport)等であってもよいし、それらの組み合わせであってもよい。
また、上記実施の形態等において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU又はプロセッサなどのプログラム実行部が、ハードディスク又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
また、フローチャートにおける各ステップが実行される順序は、本開示を具体的に説明するために例示するためのものであり、上記以外の順序であってもよい。また、上記ステップの一部が他のステップと同時(並列)に実行されてもよいし、上記ステップの一部は実行されなくてもよい。
また、ブロック図における機能ブロックの分割は一例であり、複数の機能ブロックを一つの機能ブロックとして実現したり、一つの機能ブロックを複数に分割したり、一部の機能を他の機能ブロックに移してもよい。また、類似する機能を有する複数の機能ブロックの機能を単一のハードウェア又はソフトウェアが並列又は時分割に処理してもよい。
また、上記実施の形態等に係る検知ルール生成装置は、単一の装置として実現されてもよいし、複数の装置により実現されてもよい。検知ルール生成装置が複数の装置によって実現される場合、当該検知ルール生成装置が有する各構成要素は、複数の装置にどのように振り分けられてもよい。また、検知ルール生成装置が複数の装置で実現される場合、当該複数の装置間の通信方法は、特に限定されず、無線通信であってもよいし、有線通信であってもよい。また、装置間では、無線通信、及び、有線通信が組み合わされてもよい。
また、上記実施の形態等で説明した各構成要素は、ソフトウェアとして実現されても良いし、典型的には、集積回路であるLSIとして実現されてもよい。これらは、個別に1チップ化されてもよいし、一部又は全てを含むように1チップ化されてもよい。ここでは、LSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路(専用のプログラムを実行する汎用回路)、又は、汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)又は、LSI内部の回路セルの接続若しくは設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。更には、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて構成要素の集積化を行ってもよい。
システムLSIは、複数の処理部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM(Read Only Memory)、RAM(Random Access Memory)などを含んで構成されるコンピュータシステムである。ROMには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。
また、本開示の一態様は、図6、7A、8A、9A、10A、12、14のいずれかに示される検知ルール生成方法もしくは検知ルール出力方法、又は、図17、図18のいずれかに示される異常検知方法に含まれる特徴的な各ステップをコンピュータに実行させるコンピュータプログラムであってもよい。
また、例えば、プログラムは、コンピュータに実行させるためのプログラムであってもよい。また、本開示の一態様は、そのようなプログラムが記録された、コンピュータ読み取り可能な非一時的な記録媒体であってもよい。例えば、そのようなプログラムを記録媒体に記録して頒布又は流通させてもよい。例えば、頒布されたプログラムを、他のプロセッサを有する装置にインストールして、そのプログラムをそのプロセッサに実行させることで、その装置に、上記各処理を行わせることが可能となる。
本開示は、車両で発生した異常を検知するための検知ルールを作成する装置等に有用である。
1、1a、1b 検知ルール生成装置
10 車両構成情報取得部(第1取得部)
20 IDS情報取得部(第2取得部)
30 検知対象攻撃情報取得部(第3取得部)
40、40a 検知ルール生成部(生成部)
41 攻撃経路生成部
42 検知対象攻撃紐づけ部
43 ルール追加情報付与部
50 制御部
60 ルール追加情報取得部
70 ルール絞り込み情報取得部
80 ルール絞り込み部
100、100a 車両
110 IDS
120 車載統合監視部
121、211 ログ管理部(取得部)
122、212 攻撃内容判定部(判定部)
123 ログ送信判定部
124、213 ログ蓄積部
125、214 ルール記憶部(記憶装置)
200、200a SOC
210 車両SIEM
H オペレータ

Claims (15)

  1. 車両におけるログ情報に基づいて攻撃内容を判定するセキュリティシステムにおいて用いられる検知ルールを出力する検知ルール出力方法であって、
    前記車両に搭載される車載ネットワークの構成に関する車両構成情報と、前記車両に搭載される1以上のIDS(Intrusion Detection System)に関するIDS情報と、前記車両において検知する対象となる攻撃に関する検知対象攻撃情報とを取得し、
    前記車両構成情報、前記IDS情報、及び、前記検知対象攻撃情報に基づいて生成した、前記車両において異常の発生した箇所と当該箇所で発生した異常とを検知するための検知ルールを、前記セキュリティシステムに備えられた記憶装置に対して出力する
    検知ルール出力方法。
  2. 前記車両構成情報は、前記車両に搭載される1以上のECU(Electronic Control Unit)を示す第1ECU情報と、前記車両への攻撃のエントリーポイント、及び、アタックターゲットとなり得るECUに関する第2ECU情報と、前記1以上のECUの接続関係を示す接続情報とを含み、
    前記検知ルールは、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記エントリーポイントを基準とする前記1以上のECUそれぞれの深度を含むように生成された検知ルールである
    請求項1に記載の検知ルール出力方法。
  3. 前記検知ルールは、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記エントリーポイントを基準とした場合における、前記1以上のECUそれぞれの相対的な接続関係における位置を示す搭載箇所を特定し、特定された前記搭載箇所に基づいて、前記1以上のECUのそれぞれにおける異常発生時の前記深度を割り当てることで生成された検知ルールである
    請求項2に記載の検知ルール出力方法。
  4. 前記車両構成情報は、前記車両に搭載される1以上のECUを示す第1ECU情報と、前記車両への攻撃のエントリーポイント、及び、アタックターゲットとなり得るECUに関する第2ECU情報と、前記1以上のECUの接続関係を示す接続情報とを含み、
    前記検知ルールは、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記エントリーポイントとなり得る第1ECUを前記攻撃の起点、前記アタックターゲットとなり得る第2ECUを前記攻撃の終点とする攻撃経路を含むように生成された検知ルールである
    請求項1に記載の検知ルール出力方法。
  5. 前記検知ルールは、前記第2ECU情報に基づいて、前記第1ECUと、前記第2ECUとを決定し、決定された前記第1ECUと前記第2ECUとの間の前記攻撃経路を前記第1ECU情報及び前記接続情報に基づいて網羅的に導出することで生成された検知ルールである
    請求項4に記載の検知ルール出力方法。
  6. 前記車両構成情報は、前記車両に搭載される1以上のECUを示す第1ECU情報を含み、
    前記IDS情報は、前記車両に搭載される1以上のECUを監視する前記1以上のIDSを示す監視IDS情報と、前記1以上のIDSがECUにおける異常を検知した際に出力する検知ログを示す出力検知ログ情報とを含み、
    前記検知ルールは、前記第1ECU情報、前記監視IDS情報、前記出力検知ログ情報、及び、前記検知対象攻撃情報に基づいて、前記車両における前記異常の内容を示す異常内容を含むように生成された検知ルールである
    請求項1に記載の検知ルール出力方法。
  7. 前記検知ルールは、
    前記第1ECU情報と検知対象攻撃情報とに基づいて、前記1以上のECUのそれぞれに対して発生し得る攻撃を割り当て、
    前記監視IDS情報に基づいて、各攻撃を検知するIDSを割り当て、
    前記出力検知ログ情報に基づいて、攻撃検知時に前記1以上のIDSのそれぞれが出力する検知ログを割り当てることで生成された検知ルールである
    請求項6に記載の検知ルール出力方法。
  8. 前記車両構成情報は、前記車両に搭載される1以上のECUを示す第1ECU情報と、前記車両への攻撃のエントリーポイント、及び、アタックターゲットとなり得るECUに関する第2ECU情報と、前記1以上のECUの接続関係を示す接続情報とを含み、
    前記IDS情報は、前記車両に搭載される1以上のECUを監視する前記1以上のIDSを示す監視IDS情報と、前記1以上のIDSがECUにおける異常を検知した際に出力する検知ログを示す出力検知ログ情報とを含み、
    前記検知ルールは、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記エントリーポイントとなり得る第1ECUを前記攻撃の起点、前記アタックターゲットとなり得る第2ECUを前記攻撃の終点とする攻撃経路を導出し、
    前記第1ECU情報、前記監視IDS情報、前記出力検知ログ情報、及び、攻撃検知対象情報に基づいて、前記車両における前記異常の内容を示す異常内容を導出し、
    前記攻撃経路と、前記異常内容とを組み合わせた前記攻撃のシナリオを含むように生成された検知ルールである
    請求項1に記載の検知ルール出力方法。
  9. 前記攻撃経路は、前記第1ECU情報、前記第2ECU情報、及び、前記接続情報に基づいて、前記第1ECUを前記攻撃の起点、前記第2ECUを前記攻撃の終点として網羅的に導出された攻撃経路であり、
    前記異常内容は、複数の前記攻撃経路を構成するECUのそれぞれに対して、前記第1ECU情報、及び、前記検知対象攻撃情報に基づいて、当該ECUに対して発生し得る攻撃を割り当て、前記監視IDS情報に基づいて、各攻撃を検知するIDSを割り当て、前記出力検知ログ情報に基づいて、攻撃検知時に前記1以上のIDSが出力する検知ログを割り当てることで導出された異常内容である
    請求項8に記載の検知ルール出力方法。
  10. 前記検知ルールには、さらに、前記検知ルールに対する付加的な情報を含むルール追加情報が付与されており、
    前記ルール追加情報が付与された前記検知ルールが前記記憶装置に出力される
    請求項1~9のいずれか1項に記載の検知ルール出力方法。
  11. 前記ルール追加情報は、検知ルールの優先度、前記車両への影響に応じたリスク値、前記車両に搭載される1以上のECUに紐づいた攻撃容易性に応じた発生可能性、公知攻撃との類似度、及び、前記公知攻撃と一致する検知ルールであることを示すフラグの少なくとも1つを含む
    請求項10に記載の検知ルール出力方法。
  12. 前記車両構成情報、前記IDS情報、及び、前記検知対象攻撃情報に基づいて、複数の前記検知ルールが生成されており、
    複数の前記検知ルールから前記記憶装置に出力する1以上の検知ルールを絞り込むためのルール絞り込み情報に基づいて、複数の前記検知ルールから絞り込まれた前記1以上の検知ルールが前記記憶装置に出力される
    請求項1~11のいずれか1項に記載の検知ルール出力方法。
  13. 前記ルール絞り込み情報は、特定の攻撃経路を含む検知ルール、及び、あり得ない異常の組み合わせを含む検知ルールの少なくとも1つを除外すること、又は、前記車両への影響が所定以上である検知ルール、及び、公知攻撃と一致する検知ルールの少なくとも1つを出力することのいずれかを含む
    請求項12に記載の検知ルール出力方法。
  14. 前記記憶装置は、前記車両、及び、前記車両を監視するSOC(Security Operation Center)におけるサーバの少なくとも一方に設けられている
    請求項1~13のいずれか1項に記載の検知ルール出力方法。
  15. 請求項1~14のいずれか1項に記載の検知ルール出力方法で出力された検知ルールを記憶する記憶部と、
    前記ログ情報を取得する取得部と、
    前記検知ルールと、前記ログ情報とに基づいて、車両における攻撃内容を判定する判定部とを備える
    セキュリティシステム。
JP2021134255A 2021-08-19 2021-08-19 検知ルール出力方法、及び、セキュリティシステム Active JP7523855B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021134255A JP7523855B2 (ja) 2021-08-19 2021-08-19 検知ルール出力方法、及び、セキュリティシステム
PCT/JP2022/024699 WO2023021840A1 (ja) 2021-08-19 2022-06-21 検知ルール出力方法、及び、セキュリティシステム
US18/441,826 US20240223581A1 (en) 2021-08-19 2024-02-14 Detection rule output method, security system, and detection rule output device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021134255A JP7523855B2 (ja) 2021-08-19 2021-08-19 検知ルール出力方法、及び、セキュリティシステム

Publications (2)

Publication Number Publication Date
JP2023028510A true JP2023028510A (ja) 2023-03-03
JP7523855B2 JP7523855B2 (ja) 2024-07-29

Family

ID=85240522

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021134255A Active JP7523855B2 (ja) 2021-08-19 2021-08-19 検知ルール出力方法、及び、セキュリティシステム

Country Status (3)

Country Link
US (1) US20240223581A1 (ja)
JP (1) JP7523855B2 (ja)
WO (1) WO2023021840A1 (ja)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6761793B2 (ja) 2017-10-13 2020-09-30 日立オートモティブシステムズ株式会社 車両用制御装置
JP7113337B2 (ja) 2018-01-12 2022-08-05 パナソニックIpマネジメント株式会社 サーバ装置、車両装置、車両用システム及び情報処理方法
RU2706887C2 (ru) 2018-03-30 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ блокирования компьютерной атаки на транспортное средство

Also Published As

Publication number Publication date
US20240223581A1 (en) 2024-07-04
JP7523855B2 (ja) 2024-07-29
WO2023021840A1 (ja) 2023-02-23

Similar Documents

Publication Publication Date Title
CN110463142B (zh) 车辆异常检测服务器、车辆异常检测系统及车辆异常检测方法
EP3621246B1 (en) Security processing method and server
US11115433B2 (en) System and method for content based anomaly detection in an in-vehicle communication network
CN106828362B (zh) 汽车信息的安全测试方法及装置
EP3407545B1 (en) Evaluation device, evaluation system, and evaluation method
US11405285B2 (en) Cyber-physical system evaluation
US20180196941A1 (en) Security system and methods for identification of in-vehicle attack orginator
WO2020261262A1 (en) Systems and methods for assessing risk in networked vehicle components
US11829472B2 (en) Anomalous vehicle detection server and anomalous vehicle detection method
US11971982B2 (en) Log analysis device
US11765191B2 (en) Information processing device and information processing method
JP7296555B2 (ja) 異常検知装置、異常検知方法及びプログラム
JP2021179935A (ja) 車両用異常検出装置及び車両用異常検出方法
CN111989678A (zh) 信息处理装置、信息处理方法以及程序
JPWO2020137743A1 (ja) 電子制御装置、電子制御システムおよびプログラム
US20240236131A1 (en) Vehicle security analysis apparatus, and method and program storage medium
US20230379344A1 (en) Information processing system, information processing method, and program
JP2023006513A (ja) 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
WO2023021840A1 (ja) 検知ルール出力方法、及び、セキュリティシステム
US20230007033A1 (en) Attack analyzer, attack analysis method and attack analysis program
WO2023223515A1 (ja) 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム
WO2023233711A1 (ja) 情報処理方法、異常判定方法、および、情報処理装置
US20240236139A1 (en) Vehicle security analysis apparatus, method, and program storage medium
JP2023147061A (ja) 攻撃経路生成方法および攻撃経路生成装置
CN118862056A (zh) 车辆安全事件处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240130

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20240304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240702

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240712

R150 Certificate of patent or registration of utility model

Ref document number: 7523855

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150