JP2023515379A - 車両内ネットワークに対する侵入検知のためのシステム及びその実行方法 - Google Patents

車両内ネットワークに対する侵入検知のためのシステム及びその実行方法 Download PDF

Info

Publication number
JP2023515379A
JP2023515379A JP2022548807A JP2022548807A JP2023515379A JP 2023515379 A JP2023515379 A JP 2023515379A JP 2022548807 A JP2022548807 A JP 2022548807A JP 2022548807 A JP2022548807 A JP 2022548807A JP 2023515379 A JP2023515379 A JP 2023515379A
Authority
JP
Japan
Prior art keywords
detection
score
security
security events
confidence score
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022548807A
Other languages
English (en)
Inventor
テ グン キム,
ア ラム ゾ,
スン ウク パク,
ファ ピョン イム,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kia Corp
Original Assignee
Kia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kia Corp filed Critical Kia Corp
Priority claimed from KR1020210019258A external-priority patent/KR20210103972A/ko
Publication of JP2023515379A publication Critical patent/JP2023515379A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】車両内ネットワークで侵入を検知するための侵入検知システム及びその実行方法を提供する。【解決手段】本発明は、車両に搭載するのに適した侵入検知システム(IDS)のアーキテクチャと、攻撃メッセージ又はセキュリティイベント検知に対する強靭性を維持しながらも要求されるシステムリソースを減らし得る複数の検知技法の効率的な運用方法を提示する。更に、本発明は、検知されたセキュリティイベントの深刻度及び信頼性を判断し、それに基づいて検知イベントに対するアクションを決定する方法を提示する。【選択図】図4

Description

本発明は、車両内ネットワークに対する侵入検知に関する。
本明細書に記載した内容は単に本発明に関する背景情報を提供するだけであって従来技術を構成するものではない。
侵入検知システム(Intrusion Detection System:IDS)及び侵入防止システム(Intrusion Protection System:IPS)は、ネットワークセキュリティに広く用いられてきた。IDSはネットワーク活動をモニタリングして疑わしい行動を検知する。IDS及びIPSは検知された侵入に対応する(例えば、システムに影響を及ぼす可能性がある信号を遮断する)機能又は能力を有する。車両に搭載された電子制御装置(ECU)の数が大幅に増加し、有線及び無線ネットワークを介して車両が外部ネットワークに繋がるにつれて、車両の内部ネットワークのセキュリティ脅威を検知して対応するためにIDSが導入されている傾向である。
本発明は、上記従来技術に鑑みてなされたものであって、本発明の目的は、車両に搭載するのに適したアーキテクチャによる車両内ネットワークで侵入を検知するための侵入検知システム(IDS)及びその実行方法を提供することにある。
上記目的を達成するためになされた本発明の一態様による車両内ネットワークで侵入を検知するための侵入検知システムは、車両内ネットワークから収集されたネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、複数の検知技法に用いられる検知ルール(detection rules)の集合であるルールセット(ruleset)を安全に保存するための保存所と、セキュリティイベントを検知するために前記収集されたネットワークメッセージに対して前記複数の検知技法を適用し、検知されたセキュリティイベントのそれぞれに対して深刻度スコア及び信頼度スコアを決定するように構成されるルールエンジンと、前記セキュリティイベントの検知に応答して検知レポートをリモートのバックエンドサーバに伝送するためのインターフェイスマネージャと、を備える。
前記侵入検知システムの実施形態は、更に次の特徴を1つ以上含む。
一実施形態で、前記深刻度スコアは、関連するセキュリティイベントが車両又はドライバーの安全にどれほど危険であるかを示す値であり、関連するセキュリティイベントの検知に成功した検知ルールに対して予め定義された重要度に基づいて決定される。
一実施形態で、前記信頼度スコアは、関連するセキュリティイベントが実際の攻撃である可能性を示す値であり、関連するセキュリティイベントの特性と前記車両内ネットワークの正常な特性との間の差に基づいて決定される。例えば、記信頼度スコアは、ネットワークメッセージが正常伝送周期とは異なる周期で伝送されるセキュリティイベントに対して前記正常伝送周期から逸脱した偏差に基づいて決定される。
一実施形態で、前記ルールエンジンは、前記深刻度スコア及び前記信頼度スコアに基づいて関連するセキュリティイベントに対するアクションを決定する。
一実施形態で、前記インターフェイスマネージャは、前記深刻度スコア及び前記信頼度スコアに基づいて前記検知レポートの伝送順序又は伝送タイミングを決定するように構成される。
一実施形態で、前記インターフェイスマネージャは、前記深刻度スコア及び前記信頼度スコアに基づいて関連するセキュリティイベントの優先順位を決定し、前記優先順位が予め定義された値よりも高いセキュリティイベントに対する検知レポートをリアルタイムで前記バックエンドサーバに伝達し、前記優先順位が予め定義された値以下のセキュリティイベントに対する検知レポートをアイドリング時間の間に前記バックエンドサーバに伝達するように構成される。
一実施形態で、前記インターフェイスマネージャは、前記セキュリティイベントの検知順に前記検知レポートを前記バックエンドサーバに伝送し、予め定義された時間区間の間に複数のセキュリティイベントを検知した場合、前記深刻度スコア及び前記信頼度スコアに基づいて各セキュリティイベントの優先順位を決定し、各セキュリティイベントに対する検知レポートを前記優先順位に従って前記バックエンドサーバに伝送するように構成される。
上記目的を達成するためになされた本発明の一態様による車両内ネットワークで侵入を検知するための侵入検知システムによって実行される方法は、車両内ネットワークから収集されたネットワークメッセージをメッセージキューに保存するステップと、セキュリティイベントを検知するために前記収集されたネットワークメッセージに対して検知ルール(detection rules)の集合であるルールセット(ruleset)を用いる複数の検知技法を適用するステップと、検知されたセキュリティイベントのそれぞれに対して深刻度スコア及び信頼度スコアを決定するステップと、前記セキュリティイベントの検知に応答して検知レポートをリモートのバックエンドサーバに伝送するステップと、を有する。
本発明によれば、車両への搭載に適した複数の検知技法の効率的な運用による侵入検知システム(IDS)のアーキテクチャにより、攻撃メッセージ又はセキュリティイベント検知に対する強靭性を維持しながらも要求されるシステム資源を減らすことができ、また検知されたセキュリティイベントの深刻度及び信頼性の判断に基づいて検知イベントに対するアクションを決定することで、限られた処理能力及び限られたネットワーク帯域幅を有する車両環境における攻撃の脅威に対する迅速な対応を可能にする。
車両のCANネットワーク上で侵入検知システム(IDS)が配置される位置を例示した図である。 本発明の一実施形態による車両内ネットワークにおけるセキュリティイベントを検知するためのIDSの機能的なブロック図である。 本発明の一実施形態によるIDSの例示的な動作を示すフローチャートである。 本発明の一実施形態による車両から検知したセキュリティイベントをリモートサーバで収集して配布する方法を示す概念図である。 本発明の一実施形態で用いられる例示的な検知レポートのメッセージフォーマットを示す図である。
以下、本発明を実施するための形態の具体例を、図面を参照しながら詳細に説明する。各図面の構成要素に参照符号を追加する際に、同一の構成要素に対しては、たとえ他の図面に表示されているとしても可能な限り同一の符号を有することに留意したい。なお、本発明の説明において、関連する公知の構成又は機能に関する具体的な説明が本発明の要旨を曖昧にすると判断した場合には、その詳しい説明を省略する。
また、本発明の構成要素を説明する際に、第1、第2、A、B、(a)、(b)などの用語を用いる場合がある。このような用語は、その構成要素を他の構成要素から区別するためのものであり、その用語によって当該構成要素の本質、順番、又は順序などが限定されるものではない。明細書全体に亘って、ある部分がある構成要素を「含む」、「具備」するとする場合、これは、特に逆の記載がない限り、他の構成要素を除外するものではなく、他の構成要素を更に含み得ることを意味する。更に、本明細書に記載の「…部分、」「モジュール」などの用語は、少なくとも1つの機能又は動作を処理する単位を意味し、これは、ハードウェアやソフトウェア、又はハードウェア及びソフトウェアの組み合わせで具現される。
図1は、車両のCAN(Controller Area Network)ネットワーク上で侵入検知システム(IDS)が配置される位置{(A)、(B)、(C)、(D)、(E)}を例示した図である。セントラルゲートウェイ(central gateway)CGWは、車両内の種々のドメイン間でデータを伝達するルータの役割を果たし、外部ネットワークと車両内ネットワークとの間の通信に関するゲートの役割をするセントラル通信ノードである。セントラルゲートウェイCGWは、車両に入ってくる全てのデータに対するゲートと見なすことができる。サブゲートウェイ(sub-gateway)は、パワートレイン、シャーシ、ボディ、インフォテインメント(Infotainment)などのような特定の機能ドメインを担当するローカル通信ノードである。図1では、各機能ドメインでECU(Electronic Control Unit)がCANバスに繋がることを前提としているが、一部の機能ドメインで他の通信プロトコル(例えば、LIN、FlexRay、Ethernetなど)を用いるバスに繋がってもよい。
各位置別の長所及び短所は次の通りである。
<(A)セントラルゲートウェイに搭載>
-外部と全てのCANドメインとが繋がるセントラルゲートウェイにIDSを設置すると、OBD(On-Board Diagnostics)ポートを通じてCANネットワークに入ってくる全ての攻撃を検知することができる。従って、攻撃意図を有するメッセージがCANネットワークに影響を与える前に未然に把握することができる。しかし、他の位置に比べて非常に多くのメッセージを処理しなければならないため、内部ネットワークに侵入しようとする攻撃とそうでないメッセージとを区別しにくいため、攻撃に対して効率的に対応しにくい。
<(B)セントラルゲートウェイの後ろ>
-セントラルゲートウェイのメッセージフィルタリングを経た後のメッセージを検査する。(A)を通過する前よりも少ない数の、しかしより強力な意志を有する攻撃者を検知することができる。また、CANバスに外部から直接アクセスして悪意のあるメッセージを注入するハッキングを検知することができる。
<(C)サブゲートウェイに搭載>
-特定のCANドメインに送受信されるCANメッセージを管理する位置にIDSをインストールすると、(B)におけるCANメッセージと特定のCANドメインから流れているCANメッセージとの間の不一致を容易に検知することができる。CANドメイン内部から他のドメインへの攻撃も検知することができる位置であることから、CANドメイン内部の攻撃者も一定レベル以上検知することができる。
<(D)サブゲートウェイの後ろ>
-特定の悪意のあるメッセージで二重のゲートウェイを通過してシステムをハッキングすることは容易ではない。但し、内部コントローラ(ECU)が攻撃者によって損傷しているか、又は悪意のあるコントローラが交換されて偽装されている場合、そして外部から直接当該ドメインのCANバスに繋がっている場合、当該ドメイン内のCANバスに悪意のあるメッセージを送ることは依然として可能である。従って、この設置位置は、内部コントローラを信頼することができずに、コントローラが属する特定のCANドメインのネットワークハッキングを監視したい場合に考慮する位置である。
<(E)ECUに搭載>
-ECUは、ネットワーク上に存在する全てのメッセージを受信し、必要なCANメッセージのIDを確認して必要とするメッセージを選択的に処理する。コントローラは、コントローラの外部から受信したCANステータスメッセージ及びCANコマンドメッセージのコンテキスト(context)を分析して駆動する。従って、ECUは、外部及び内部の両方から保護されなければならないため、高いセキュリティレベルが必要である。ECUにIDSを搭載するのは、ECUを変更することができる非常に能力の優れた内部又は外部の攻撃者からECUが有する重要データの損失や機能の誤動作を防ぐためである。
図1に例示した位置のIDSが配置される位置{(A)、(B)、(C)、(D)、(E)}のうちの少なくとも1つの位置に複数のIDSが配置される。例えば、セントラルゲートウェイ及び複数のサブゲートウェイにそれぞれIDSを埋め込むか、又はセントラルゲートウェイ及び主要ECUにそれぞれIDSを埋め込む。また、各ドメインにはドメインレベルのモニタリングを行う専用の電子制御装置を設けてもよい。これらのIDSは、相互補完的にネットワークをモニタリングして攻撃の試みを検知して車両ネットワークのセキュリティを強化する。
図2は、本発明の一実施形態による車両内ネットワークにおけるセキュリティイベントを検知するためのIDSの機能的なブロック図である。
図2に示すように、侵入検知システムIDSは、メッセージキューモジュール(message queue module)20、ルールエンジン(rule engine)30、暗号化モジュール(crypto module)40、インターフェイスマネージャ(interface manager)50、及び保存所(storage)60を含む。図2に例示した侵入検知システムIDSは、図1に例示したゲートウェイ又はECUに埋め込まれるか、或いは車両ネットワークに繋がった専用の電子制御装置で具現される。
メッセージキューモジュール20は、CANバスから収集された全てのCANトラフィックデータをメッセージキュー(message queue)に保存する。収集されたトラフィックデータに対するIDSの他のモジュールのリクエストは、メッセージキューモジュール20によって処理される。
ルールエンジン(又は「検知エンジン」とも称する)30は、IDSの本質的な機能である検知器(detector)及び応答器(responder)として動作するモジュールである。ルールエンジン30の機能は、主に事前プロセス(pre-process)31、検知プロセス(detection process)32、及び事後プロセス(post process)33に区分される。
事前プロセス(pre-process)31において、ルールエンジン30は、様々な手段(例えば、バックエンドサーバ(backend server)、USBメモリスティック、SDカードなど)を介して取得された検知ルールセット(detection ruleset)10を用いて保存所60に保存されたルールセットをアップデートするか又はIDSをリセットする。検知ルールセットは、検知プロセスで実行される複数の検知技法がセキュリティ脅威に関連するネットワークメッセージを検知するために用いる予め定義されたルールの集合である。検知プロセス(detection process)32において、ルールエンジン30は、複数の検知技法を用いて、走行中にセキュリティ脅威に関連するネットワークメッセージを検知することによってセキュリティイベントの発生を検知する。事後プロセス(post process)33において、ルールエンジン30は、検知されたセキュリティ脅威メッセージをどのように処理するかを決定する。例えば、検知された悪意のあるメッセージをドロップ(drop)したり、ロギング(logging)又はアラームを生成したりする。ルールエンジン30は、セキュリティイベントが発生すると(即ち、セキュリティ脅威メッセージを検知すると)、セキュリティイベントに対する深刻度スコア及び信頼度スコアを決定する。
暗号化モジュール40は、ルールセット及び検知ログを暗号化又は復号化し、関連するキーを管理する。
インターフェイスマネージャ50は、バックエンドサーバから新たなルールセット10をダウンロードするか又は検知ログ若しくは検知結果をバックエンドサーバに伝送するために、バックエンドサーバとの通信接続を管理する。検知ルールセット及び検知ログは、暗号化エンジンによって暗号化されて保存所(例えばフラッシュメモリ)60に安全に保存される。保存所60は、車両内ネットワーク上の他のノードによって提供されてもよい。この場合、インターフェイスマネージャ50は、他のノードに位置する保存所60との通信接続も管理する。
図3は、本発明の一実施形態によるIDSの例示的な動作を示すフローチャートである。
IDSは、車両のスターターがオンになると事前プロセス(pre-process)を実行し、その後車両のスターターがオフになるまで検知プロセス(detection process)と事後プロセス(post-process)とを繰り返し実行するように構成される。
事前プロセス(Pre-process)において、IDSが再起動すると、検知ルールセットのバージョンをチェックし、現在保存所に保存されている検知ルールセットが最新バージョンでない場合、例えばオートモーティブOTA(Automotive Over-The-Air)を介してダウンロードするか又はOBDポートを介して受信された最新バージョンの検知ルールセットにアップデートする。その後、IDSは保存所に保存されている暗号化されたルールセットを復号化して内部メモリ(RAM)にロードする。事前プロセスが終了すると、IDSの実質的な検知動作である検知プロセスが開始される。
検知プロセス(Detection process)において、IDSは、メッセージキュー(Message Queue)に新たなCANメッセージが到着すると、新たなCANメッセージがセキュリティ脅威に関連するネットワークメッセージ(以下、「セキュリティ脅威メッセージ」、「非正常メッセージ」、「悪意のあるメッセージ」、又は「攻撃メッセージ」と称する場合がある)か否かを判断するために、誤用検知(Misuse Detection)、シグネチャ検知(Signature Detection)、及び異常検知(Anomaly Detection)技法を順次に行う。
事後プロセス(Post-process)では、CANメッセージに対する検査結果に応じて、通過、遮断、ロギング(logging)、又は警告などのアクションが遂行される。セキュリティイベントが発生すると(即ち、セキュリティ脅威メッセージを検知すると)、IDSは、攻撃のソースを識別したり、攻撃の深刻度を分類したり、機能の安全に対する影響を分析したりする。更に、IDSは、例えばセキュリティイベントに関する検知ログがリモートネットワーク上のバックエンドサーバに伝送されるように、リモートネットワークに通信的に繋がれるゲートウェイ又はテレマティクスデバイスにCANネットワークを介して(又は別途の通信回線を介して)検知ログを含むメッセージ(以下、「検知レポート」又は「検知レポートメッセージ」と称する)を伝達することもできる。
上述した侵入検知技法の特性と、長所及び短所は次の通りである。
誤用検知(Misuse Detection)は、CANメッセージのID、CANメッセージの長さ(Data length code:DLC)、メッセージ伝送周期などをCANデータベースに明示された値と比較してCANメッセージの有効性(validity)検査をする技法である。即ち、誤用検知では、収集されたCANメッセージが製造会社によって予め定められた「有効なメッセージ形式」に適合するか否かを予め定義されたルールに従ってチェックする。
誤用検知は、シグネチャ検知及び異常検知に比べてシステムリソースを少なく消費する。但し、有効性検査だけではメッセージ内に含まれる悪意のあるデータなどの検知が不可能である。
シグネチャ検知(Signature Detection)は、車両システムの脆弱性分析を通じて予め定義された(即ち、既知の)攻撃パターンを検知する技法である。このような攻撃パターンはシグネチャ(signature)とも称する。シグネチャ検知は、車両の状態を考慮せずに悪意のあるメッセージのシグネチャを収録したブラックリスト(Black List)をチェックし、収集されたメッセージが悪意のあるメッセージであるか否かを判断する。
シグネチャ検知は、システムのリソースを少なく消費し、検知確率が高いという利点があるが、新たな攻撃毎に新たなシグネチャを定義しなければならないため、新たに出現した攻撃に対処するためには多くの時間及びセキュリティ人的リソースを必要とする。この技法は、実際の攻撃を逃し得る偽の音声(false-negative;2種エラー)の問題が生じる。
異常検知(Anomaly Detection)は、車両の状態に基づいて該当メッセージが正常メッセージの範疇内にあるか否かを確認する技法であり、車両の状態及びコマンドメッセージに基づく検知ルールに基づいて行われる。異常検知は、ネットワーク上の一般的な行動を収集及び分析して正常なパターン(「プロファイル」とも称する)を定義した後、正常パターンから一定のしきい値(threshold)を超えた行動を検知する技法である。異常検知は、プロファイル(profile)ベースの検知とも呼ばれる。例えば、異常検知は、CANメッセージに含まれるデータの変化率が正常範囲を超えるか、又は特定の期間に相関関係の高い2つの信号に対して突然相関関係が解除される行為を検知する。
異常検知の場合、知られていない新たな攻撃が出現した時にも、これらの攻撃が正常パターンから外れた場合、検知が可能であり、シグネチャ検知方法に比べてセキュリティ人的リソースの比重が少ない。しかし、多くのシステムリソースを必要とし、設定されたしきい値に応じて正常な活動を侵入として識別する偽陽性(false positive、1種エラー)の問題が生じ得る。
上述したように、検知ルールセットは、検知プロセスで実行される複数の検知技法がセキュリティ脅威に関連するネットワークメッセージを検知するために用いられる予め定義されたルールの集合である。検知ルールセットは、誤用検知に用いられる誤用ルールセット(misuse ruleset)、シグネチャルールセット(signature ruleset)、及び異常ルールセット(anomaly ruleset)を含む。
表1~表3は、例示的な検知ルールセットの構造を示す。表1はCANデータベースに基づいて定義された基本的なルールセットを示し、表2は信号間の相関係数マップを例示し、表3はシグネチャ検知に用いられる既知の攻撃パターンであるシグネチャを例示する。表1でCAN ID、DLC、信号ID、信号値、及びバスIDが誤用検知に用いられ、表1に定義された範囲外の値を有するメッセージは異常と見なされる。表1に例示したメッセージレート、信号値交換レート、相関信号ID、及び表2に例示した信号間の相関係数は異常検知に用いられる。
Figure 2023515379000002
Figure 2023515379000003
Figure 2023515379000004
図3に例示した動作によると、メッセージキュー(Message Que)に積み重ねられた各メッセージは、3つの検知技法で構成された検知プロセス(即ち、誤用検知→シグネチャ検知→異常検知)を経て、そのメッセージの遮断又は通過が決定される。従って、例示した検知プロセスで、通常のCANメッセージも、3つの技法で構成された検知プロセスを経た後に、初めてIDSが搭載されたゲートウェイ又はECUのアプリケーションソフトウェアに伝達される。更に、適用された検知技法がCANメッセージをセキュリティ脅威メッセージとして決定すると、当該CANメッセージに対する残りの検知技法の適用はバイパスされる。
従って、検知効率が高く、要求されるコンピューティングパワー及び所要時間の少ない検知技法が最初に適用されるほど、全体的な検知プロセスの効率が増加する。例示した検知プロセスは、低いコンピューティングパワー及び少ない所要時間が予想される技法を最初に適用するように構成されることに留意したい。このような検知プロセスの構成を通じて、悪意のあるメッセージの検知に対する強靭性を維持しながらも、全体的な検知プロセスの効率を高めることができる。
図3に例示したIDSの動作では、検知プロセスにおいて、3つの検知技法(即ち、誤用検知、シグネチャ検知、異常検知)の全てが用いられる。しかし、IDSを配置した位置に応じて3つの検知技法の中から一部の技法を省く。例えば、異常検知には多くのコンピューティングパワー及び時間がかかるため、ECUに埋め込まれたIDSの検知プロセスでは誤用探索のみを用い、誤用検知及びシグネチャ探索だけを用いる。一方、相対的に高いコンピューティングパワーを有する(セントラル/サブ)ゲートウェイに埋め込まれたIDSの検知プロセスでは、3つの検知技法を全て用いる。他の例として、セントラルゲートウェイでは3つの検知技法が全て用いられ、サブゲートウェイでは誤用検知及びシグネチャ検知のみが用いられ、ECUでは誤用検知のみが用いられる。
図4は、本発明の一実施形態による車両から検知したセキュリティイベントをリモートサーバで収集して配布する方法を示す概念図である。
各車両は、IDSで検知されたセキュリティイベントを、セキュリティイベントを管理し分析するセキュリティオペレーションセンター(security operations center:SOC)に伝達する。各車両のIDSは検知レポートを生成する。検知レポートは、機密性及び無欠性を維持するために、セキュリティチャネルを介してセキュリティオペレーションセンターのバックエンドサーバに伝送される。検知レポートは、下記のような項目を含む。
-車両識別番号(Vehicle Identification-number:VIN)
-イベント検知時点における車両状態(例えば、変速機制御ユニットで提供される車両速度、エンジン制御ユニットで提供されるエンジン冷却水温度、車体制御ユニットで提供されるステアリングホイール角度など)
-イベントタイムスタンプ(イベント日時、イベント時間)
-検知されたイベントに関連する検知ルールを識別するルール識別子(Rule ID)
-検知されたイベントに関連するCANメッセージから取得されたCAN ID
-検知されたイベントに関連するCANメッセージの内容(contents)
図5は、本発明の一実施形態で用いられる例示的な検知レポートのメッセージフォーマットを示す図である。
図5に示すように、検知レポートメッセージは、タグ、Len、VIN、車両状態、イベント日付、イベント時間、ルールID、CAN ID、及びメッセージ内容のフィールドで構成される。検知レポートで、データの機密性を保証するために、タグフィールド及びLenフィールドを除く残りのフィールドのデータを暗号化する。タグフィールドには本メッセージが検知レポートメッセージであることを識別するための値が入り、Lenフィールドには暗号化されているフィールド(VINフィールド~メッセージ内容フィールド)のデータ長を示す値が含まれ、Lenフィールドはセキュリティオペレーションセンターのバックエンドサーバで各データ項目を解析するために用いられる。更に、検知レポートの無欠性を保証するために、タグ及びLenフィールドを含む全体フィールドに対するデジタル署名が生成されて検知レポートに追加される。
セキュリティオペレーションセンターは、セキュリティ専門家によって管理されるセキュリティ情報及びイベント管理システムを含むバックエンドサーバを運営し、各車両のIDSによって生成されたセキュリティイベントを収集して統計的に分析する。セキュリティオペレーションセンターは、収集された検知レポート及び関連情報(例えば、セキュリティ脅威のレベル、推奨されるアクション)を車両メーカー(又はOEM:Original Equipment Manufacturer)、車両ドライバー、車両所有者、第三者などのデータアクセス権限を有する利害関係者に提供する。第三者には、保険会社又は走行データ分析サービスプロバイダが含まれる。
IDSは、検知されたセキュリティイベントに対して深刻度スコア及び信頼度スコアを決定する。深刻度スコアは、セキュリティイベントが車両又はドライバーの安全にどれほど危険であるかを示す値である。深刻度スコアは、セキュリティイベントに違反した特定の検知ルールの重要度によって決定される。各検知ルールの重要性は、セキュリティ専門家によって予め定義される。信頼度スコアは、IDSによって検知されたセキュリティイベントが実際の攻撃である可能性を示す値である。信頼度スコアは、IDSによって検知ルールの違反が検知される度に動的に計算され、検知ルールの違反の程度(例えば、車両内ネットワークの正常な特性から逸脱した偏差)に基づいて決定される。例えば、正常のメッセージ伝送周期に違反した2つの疑わしいメッセージが検知され、各疑わしいメッセージの伝送周期が正常の伝送周期からずれた偏差がそれぞれ10ms及び20msの場合、IDSは10msの差を示すメッセージよりも20msの差を示す疑いのあるメッセージによって大きな信頼度スコアを与える。他の例として、IDSは、疑わしいメッセージに含まれるデータ又はデータの変化率が正常の範囲をよりも大きく超えるほど、より高い信頼度スコアを与える。
IDSは、深刻度スコア及び信頼度スコアに基づき、セキュリティイベントに対するアクションを決定する。例えば、車両の安全に深刻な影響を及ぼす可能性がある高い深刻度スコアを有するセキュリティイベントを検知したとき、IDSは、車両の走行を直ちに停止することを勧告するアラームをドライバーに提供する。他の例として、低い信頼度スコアを有するセキュリティイベントが継続的に検知される場合、IDSは、車両のメンテナンス又は検査を勧告するアラームをドライバーに提供する。また他の例として、低い深刻度スコアを有するセキュリティイベントを検知した場合、その検知結果をログに記録して、ドライバーには何らアラームを提供しない。セキュリティイベントに関する頻繁なアラームにより、ドライバーが重要なアラームを見落とす可能性があるためである。
IDSは、関連するセキュリティイベントの深刻度スコア及び信頼度スコアに基づき、検知レポートの伝達順序の優先順位を決定する。伝達順序の優先順位は、セキュリティイベントの深刻度スコア及び信頼度スコアに基づいて決定される。例えば、優先順位は、深刻度スコア及び信頼度スコアの合計、加重、又は平均を用いて算術的に決定される。一実施形態で、IDSは、関連するセキュリティイベントの検知順序に従って検知レポートをバックエンドサーバに伝達し、短期間に種々のセキュリティイベントを検知した場合、検知されたセキュリティイベントの優先順位に従って関連する検知レポートをセキュリティオペレーションセンターのバックエンドサーバに伝達する。
IDSは、関連するセキュリティイベントの深刻度スコア及び信頼度スコア又は優先順位に基づき、検知レポートの伝達タイミングを決定する。例えば、IDSは、計算された優先順位(又は深刻度スコア)が予め定義された値よりも高いセキュリティイベントに対しては、検知レポートをリアルタイムで(即ち、検知直後に)セキュリティオペレーションセンターのバックエンドサーバに伝達し、そうでないセキュリティイベントについては、検知レポートを非リアルタイムで(即ちアイドリング時間の間に)セキュリティオペレーションセンターのバックエンドサーバに伝達する。
上述の報告方式は、限られた処理能力及び限られたネットワーク帯域幅を有する車両環境において、攻撃の脅威に対する迅速な対応を可能にする。
例えば、優先順位に基づいて検知レポートの伝達順序を決定することにより、優先順位の高い攻撃の脅威の発生をセキュリティオペレーションセンターによって迅速に知らせることができ、セキュリティオペレーションセンターが脅威状況から抜け出せるようにドライバーなどにすばやくガイドすることができる。車両で発生する攻撃に対して脅威の程度に拘らずに順次報告する方式の場合は、大きな脅威のないイベントを報告するために攻撃の脅威に対する報告が遅れることがあり、ドライバーの脅威対応力が大きく落ちることになる。
一実施形態で、IDSは、深刻度スコア、信頼度スコア、又は優先順位に基づき、セキュリティオペレーションセンターのバックエンドサーバへの検知レポートの伝達を省略するか否かを決定する。例えば、車両のIDSは、予め定義された値以下の深刻度スコアを有するセキュリティイベントに対して検知レポートの伝達を省く。他の例として、予め定義された値よりも高い深刻度スコアを有するセキュリティイベントに対しては、その信頼度スコアに関係なく、セキュリティオペレーションセンターのバックエンドサーバに検知レポートを伝達する。一実施形態で、予め定義された値以下の深刻度スコアを有するセキュリティイベントに対して、IDSは、上述のフォーマットの検知レポートの代わりにイベントに関する要約された検知情報をバックエンドサーバに伝送する。これは、車両の限られたリソースを効率的に用いることになり、多数の車両からの検知レポートを受信しなければならないバックエンドサーバの負荷を軽減することになる。
上述の例示的な実施形態は、多くの異なる方式で具現することができることを理解しなければならない。一実施形態で、本明細書で説明した様々な方法、装置、システムは、プロセッサ、メモリ、通信インターフェースなどを有する電子制御装置、ゲートウェイなどによって具現されるか、又はそれらに含まれる。例えば、電子制御装置は、ソフトウェア命令語をプロセッサにロードした後に、本明細書で説明した機能を実行するために命令語を実行することによって上述の方法を実行する装置として機能する。
一方、本明細書で説明した様々な方法は、1つ以上のプロセッサによって読み取られて実行される非一時的記録媒体に保存された命令語で具現される。非一時的記録媒体は、例えばコンピュータシステムによって読み取り可能な形式でデータが保存されるあらゆる種類の記録装置を含む。例えば、非一時的な記録媒体は、EPROM(Erasable Programmable Read-Only Memory)、EEPROM(Electrically Erasable Programmable Read-Only Memory)、フラッシュメモリ、光学ドライブ、磁気ハードドライブ、ソリッドステートドライブ(SSD)などの記憶媒体を含む。
以上の説明は、本発明の実施形態の技術思想を例示的に説明したものに過ぎず、本発明が属する技術分野で通常の知識を有する者であれば、本発明の本質的な特性から逸脱しない範囲で多様な修正及び変形が可能である。従って、本実施形態は、本発明の技術思想を限定するものではなく説明するためのものであり、このような実施形態によって本発明の技術思想の範囲が限定されるものではない。
[CROSS-REFERENCE TO RELATED APPLICATION]
本特許出願は、本明細書にその全体が参考として含まれる、2020年2月14日付で韓国に出願した特許出願番号第10-2020-0018611号及び2021年2月10日付で韓国に出願した特許出願番号第10-2021-0019258号に対して優先権を主張する。
10 受信した検知ルールセット(detection ruleset)
20 メッセージキューモジュール(message queue module)
30 ルールエンジン(rule engine)(又は「検知エンジン」)
31 事前プロセス(pre-process)
32 検知プロセス(detection process)
33 事後プロセス(post process)
40 暗号化モジュール(crypto module)
50 インターフェイスマネージャ(interface manager)
60 保存所(storage)

Claims (20)

  1. 車両内ネットワークで侵入を検知するための侵入検知システムであって、
    車両内ネットワークから収集されたネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、
    複数の検知技法に用いられる検知ルールの集合であるルールセットを安全に保存するための保存所と、
    セキュリティイベントを検知するために前記収集されたネットワークメッセージに対して前記複数の検知技法を適用し、検知されたセキュリティイベントのそれぞれに対して深刻度スコア及び信頼度スコアを決定するように構成されるルールエンジンと、
    前記セキュリティイベントの検知に応答して検知レポートをリモートのバックエンドサーバに伝送するためのインターフェイスマネージャと、を備えることを特徴とする侵入検知システム。
  2. 前記深刻度スコアは、関連するセキュリティイベントが車両又はドライバーの安全にどれほど危険であるかを示す値であり、関連するセキュリティイベントの検知に成功した検知ルールに対して予め定義された重要度に基づいて決定されることを特徴とする請求項1に記載の侵入検知システム。
  3. 前記信頼度スコアは、関連するセキュリティイベントが実際の攻撃である可能性を示す値であり、関連するセキュリティイベントの特性と前記車両内ネットワークの正常の特性との間の差に基づいて決定されることを特徴とする請求項1に記載の侵入検知システム。
  4. 前記信頼度スコアは、ネットワークメッセージが正常伝送周期とは異なる周期で伝送されるセキュリティイベントに対して前記正常伝送周期から逸脱した偏差に基づいて決定されることを特徴とする請求項3に記載の侵入検知システム。
  5. 前記ルールエンジンは、前記深刻度スコア及び前記信頼度スコアに基づいて関連するセキュリティイベントに対するアクションを決定するように構成されることを特徴とする請求項1に記載の侵入検知システム。
  6. 前記インターフェイスマネージャは、前記深刻度スコア及び前記信頼度スコアに基づいて前記検知レポートの伝送順序を決定するように構成されることを特徴とする請求項1に記載の侵入検知システム。
  7. 前記インターフェイスマネージャは、前記深刻度スコア及び前記信頼度スコアに基づいて前記検知レポートの伝送タイミングを決定するように構成されることを特徴とする請求項1に記載の侵入検知システム。
  8. 前記インターフェイスマネージャは、
    前記深刻度スコア及び前記信頼度スコアに基づいて関連するセキュリティイベントの優先順位を決定し、
    前記優先順位が予め定義された値よりも高いセキュリティイベントに対する検知レポートをリアルタイムで前記バックエンドサーバに伝達し、
    前記優先順位が予め定義された値以下のセキュリティイベントに対する検知レポートをアイドル時間の間に前記バックエンドサーバに伝達するように構成されることを特徴とする請求項1に記載の侵入検知システム。
  9. 前記インターフェイスマネージャは、
    前記セキュリティイベントの検知順に前記検知レポートを前記バックエンドサーバに伝送し、
    予め定義された時間区間の間に複数のセキュリティイベントを検知した場合、前記深刻度スコア及び前記信頼度スコアに基づいて各セキュリティイベントの優先順位を決定し、
    各セキュリティイベントに対する検知レポートを前記優先順位に従って前記バックエンドサーバに伝送するように構成されることを特徴とする請求項1に記載の侵入検知システム。
  10. 前記インターフェイスマネージャは、前記深刻度スコア及び前記信頼度スコアに基づいて関連するセキュリティイベントに対する検知レポートの伝送を省略するか否かを決定するように構成されることを特徴とする請求項1に記載の侵入検知システム。
  11. 車両内ネットワークで侵入を検知するための侵入検知システムによって実行される方法であって、
    車両内ネットワークから収集されたネットワークメッセージをメッセージキューに保存するステップと、
    セキュリティイベントを検知するために前記収集されたネットワークメッセージに対して検知ルールの集合であるルールセットを用いる複数の検知技法を適用するステップと、
    検知されたセキュリティイベントのそれぞれに対して深刻度スコア及び信頼度スコアを決定するステップと、
    前記セキュリティイベントの検知に応答して検知レポートをリモートのバックエンドサーバに伝送するステップと、を有することを特徴とする方法。
  12. 前記深刻度スコアは、関連するセキュリティイベントが車両又はドライバーの安全にどれほど危険であるかを示す値であり、関連するセキュリティイベントの検知に成功した検知ルールに対して予め定義された重要度に基づいて決定されることを特徴とする請求項11に記載の方法。
  13. 前記信頼度スコアは、関連するセキュリティイベントが実際の攻撃である可能性を示す値であり、関連するセキュリティイベントの特性と前記車両内ネットワークの正常の特性との間の差に基づいて決定されることを特徴とする請求項11に記載の方法。
  14. 前記信頼度スコアは、ネットワークメッセージが正常伝送周期とは異なる周期で伝送されるセキュリティイベントに対して前記正常伝送周期から逸脱した偏差に基づいて決定されることを特徴とする請求項13に記載の方法。
  15. 前記深刻度スコア及び前記信頼度スコアに基づいて関連するセキュリティイベントに対するアクションを決定するステップを更に含むことを特徴とする請求項11に記載の方法。
  16. 前記深刻度スコア及び前記信頼度スコアに基づいて前記検知レポートの伝送順序を決定するステップを更に含むことを特徴とする請求項11に記載の方法。
  17. 前記深刻度スコア及び前記信頼度スコアに基づいて前記検知レポートの伝送タイミングを決定するステップを更に含むことを特徴とする請求項11に記載の方法。
  18. 前記深刻度スコア及び前記信頼度スコアに基づいて決定される優先順位で、関連するセキュリティイベントに対する検知レポートをリアルタイムで前記バックエンドサーバに伝達するか否かを決定するステップを更に含み、
    前記優先順位が予め定義された値よりも高いセキュリティイベントに対する検知レポートは、リアルタイムで前記バックエンドサーバに伝達され、
    前記優先順位が予め定義された値以下のセキュリティイベントに対する検知レポートは、アイドリング時間の間に前記バックエンドサーバに伝達されることを特徴とする請求項11に記載の方法。
  19. 前記検知レポートをリモートのバックアンドサーバに伝送するステップは、
    前記セキュリティイベントの検知順に前記検知レポートを前記バックエンドサーバに伝送し、
    予め定義された時間区間の間に複数のセキュリティイベントを検知した場合、前記深刻度スコア及び前記信頼度スコアに基づいて各セキュリティイベントの優先順位を決定し、
    各セキュリティイベントに対する検知レポートを前記優先順位に従って前記バックエンドサーバに伝送するように構成されることを特徴とする請求項11に記載の方法。
  20. 前記深刻度スコア及び前記信頼度スコアに基づいて関連するセキュリティイベントに対する検知レポートの伝送を省略するか否かを決定するステップを更に含むことを特徴とする請求項11に記載の方法。

JP2022548807A 2020-02-14 2021-02-10 車両内ネットワークに対する侵入検知のためのシステム及びその実行方法 Pending JP2023515379A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
KR10-2021-0019258 2020-02-10
KR10-2020-0018611 2020-02-14
KR20200018611 2020-02-14
PCT/KR2021/001826 WO2021162473A1 (ko) 2020-02-14 2021-02-10 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법
KR1020210019258A KR20210103972A (ko) 2020-02-14 2021-02-10 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법

Publications (1)

Publication Number Publication Date
JP2023515379A true JP2023515379A (ja) 2023-04-13

Family

ID=77292405

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022548807A Pending JP2023515379A (ja) 2020-02-14 2021-02-10 車両内ネットワークに対する侵入検知のためのシステム及びその実行方法

Country Status (3)

Country Link
US (1) US20230109507A1 (ja)
JP (1) JP2023515379A (ja)
WO (1) WO2021162473A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760147A (zh) * 2022-05-07 2022-07-15 国汽智控(北京)科技有限公司 安全事件处理方法、安全事件处理装置、设备及介质
CN114978656B (zh) * 2022-05-17 2023-06-09 北京经纬恒润科技股份有限公司 车载以太网检测防御方法及装置
DE102022116152A1 (de) 2022-06-29 2024-01-04 Audi Aktiengesellschaft Verfahren zum Überwachen eines Datenverkehrs eines Kraftfahrzeugs und Kraftfahrzeug mit meinem Angriffserkennungssystem
CN115412327B (zh) * 2022-08-23 2023-04-07 北京天融信网络安全技术有限公司 控制器局域网络can报文的检测方法、装置、设备及介质
WO2024065093A1 (zh) * 2022-09-26 2024-04-04 华为技术有限公司 一种入侵检测方法、装置和系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101638613B1 (ko) * 2015-04-17 2016-07-11 현대자동차주식회사 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법
KR101853676B1 (ko) * 2016-08-18 2018-05-03 고려대학교 산학협력단 차량 침입 탐지 장치 및 방법
KR102642875B1 (ko) * 2018-01-23 2024-02-29 현대자동차주식회사 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
KR101902823B1 (ko) * 2018-02-02 2018-10-01 자동차부품연구원 차량 네트워크 통신보안성 평가 및 모니터링 장치
KR20210003261A (ko) * 2018-05-29 2021-01-11 엘지전자 주식회사 차량 침입 감지 및 방지 시스템

Also Published As

Publication number Publication date
WO2021162473A1 (ko) 2021-08-19
US20230109507A1 (en) 2023-04-06

Similar Documents

Publication Publication Date Title
Aliwa et al. Cyberattacks and countermeasures for in-vehicle networks
KR102642875B1 (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
Young et al. Survey of automotive controller area network intrusion detection systems
JP2023515379A (ja) 車両内ネットワークに対する侵入検知のためのシステム及びその実行方法
Carsten et al. In-vehicle networks: Attacks, vulnerabilities, and proposed solutions
US11115433B2 (en) System and method for content based anomaly detection in an in-vehicle communication network
CN111448787B (zh) 用于提供安全的车载网络的系统及方法
Elkhail et al. Vehicle security: A survey of security issues and vulnerabilities, malware attacks and defenses
Xie et al. Cybersecurity protection on in‐vehicle networks for distributed automotive cyber‐physical systems: state‐of‐the‐art and future challenges
Limbasiya et al. A systematic survey of attack detection and prevention in connected and autonomous vehicles
WO2021131193A1 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
Souma et al. Counter attacks for bus-off attacks
Cheng et al. Security patterns for connected and automated automotive systems
Lalouani et al. Mitigating voltage fingerprint spoofing attacks on the controller area network bus
EP4106278A1 (en) System and method for detecting intrusion into in-vehicle network
Möller et al. Automotive cybersecurity
Dupont et al. Network intrusion detection systems for in-vehicle network-Technical report
Francia, III Automotive vehicle security metrics
Mukherjee SAE J1939-specific cyber security for medium and heavy-duty vehicles
Amirtahmasebi et al. Vehicular networks–security, vulnerabilities and countermeasures
Okokpujie et al. Congestion Intrusion Detection-Based Method for Controller Area Network Bus: A Case for Kia Soul Vehicle
KERETRENDSZERÉNEK Information Security for Electric Cars in Accordance with Nist Critical Infrastructure Cybersecurity Framework
Oham et al. Risk Analysis Study of Fully Autonomous Vehicle
Hadi Sultani et al. Indicators of Compromise of Vehicular Systems
Olufowobi Fail-Operational Intrusion Detection Systems (FO-IDS): A Mechanism for Securing Automotive In-Vehicle Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231215