JP2024051324A - ログ分析装置、ログ分析方法、及びログ分析プログラム - Google Patents
ログ分析装置、ログ分析方法、及びログ分析プログラム Download PDFInfo
- Publication number
- JP2024051324A JP2024051324A JP2022157429A JP2022157429A JP2024051324A JP 2024051324 A JP2024051324 A JP 2024051324A JP 2022157429 A JP2022157429 A JP 2022157429A JP 2022157429 A JP2022157429 A JP 2022157429A JP 2024051324 A JP2024051324 A JP 2024051324A
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- log
- state
- analysis device
- log analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 157
- 230000005856 abnormality Effects 0.000 claims abstract description 80
- 238000000034 method Methods 0.000 claims abstract description 53
- 238000004891 communication Methods 0.000 claims description 70
- 230000008859 change Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 21
- 238000003745 diagnosis Methods 0.000 description 9
- 238000001514 detection method Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 101150008604 CAN1 gene Proteins 0.000 description 1
- 101150063504 CAN2 gene Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000011265 semifinished product Substances 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】攻撃経路等の攻撃推定に用いる前に、偽陽性のセキュリティイベントログを排除するログ分析装置、方法及びプログラムを提供する。【解決手段】車両の外部に設けられているログ分析装置と、車両に設けられ、電子制御システムと接続されているログ分析装置からなるログ分析システムにおいて、車両に設けられるログ分析装置11は、車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログを取得するログ取得部101と、異常が発生したときの車両の内部状態又は/及び外部状態を示す車両状態情報を取得する車両状態情報取得部102と、車両状態情報に基づき、セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する偽陽性判定部104と、偽陽性と判定されたセキュリティイベントログに対する処理を行う処理部106と、を備える。【選択図】図6
Description
本発明は、主に自動車をはじめとする移動体に搭載された電子制御システムに対する攻撃があった場合に出力されるセキュリティイベントログを分析する装置であるログ分析装置等に関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。
車両に発生した異常を検知して、検知した異常に基づいてサイバー攻撃を分析する手法として、様々なものがある。例えば、特許文献1には、センタ装置200の攻撃経路分析部203は、受信した異常ログを分析し車両に対する攻撃の攻撃経路を推定すること、そしてこの異常ログは、各ECUのセキュリティセンサで生成されセンタ装置200に送信されたものであること、が記載されている。
ここで、本発明者は、以下の課題を見出した。
車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログに、サイバー攻撃に起因しない異常である偽陽性のセキュリティイベントログが含まれている場合、例えば、セキュリティイベントログを分析対象とする攻撃や攻撃経路等の推定精度の低下原因となる。
車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログに、サイバー攻撃に起因しない異常である偽陽性のセキュリティイベントログが含まれている場合、例えば、セキュリティイベントログを分析対象とする攻撃や攻撃経路等の推定精度の低下原因となる。
そこで、本発明の目的は、車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する技術を提供することにある。
本開示のログ分析装置(11,12,31,32)は、
車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログを取得するログ取得部(101,301)と、
前記異常が発生したときの前記車両の内部状態又は/及び外部状態を示す車両状態情報を取得する車両状態情報取得部(102,302)と、
前記車両状態情報に基づき、前記セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する偽陽性判定部(104,304)と、
偽陽性と判定された前記セキュリティイベントログに対する処理を行う処理部(106,306)と、
を備える。
車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログを取得するログ取得部(101,301)と、
前記異常が発生したときの前記車両の内部状態又は/及び外部状態を示す車両状態情報を取得する車両状態情報取得部(102,302)と、
前記車両状態情報に基づき、前記セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する偽陽性判定部(104,304)と、
偽陽性と判定された前記セキュリティイベントログに対する処理を行う処理部(106,306)と、
を備える。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成により、本開示のログ分析装置は、車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定することができる。
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.各実施形態の前提となる構成
(1)ログ分析装置の配置
図1~図3を用いて、まず各実施形態のログ分析装置の配置を説明する。
図1は、第1の実施形態のログ分析装置11及びログ分析装置31を示す。ログ分析装
置11は「車両に設けられ」ており、同じく「車両」に搭載された電子制御システムSと接続されている。ログ分析装置31は車両の外部に設けられており、例えばSOC(Security Operations Center)やその他のサーバ装置等で実現されている。ログ分析装置11とログ分析装置31とを合わせて、ログ分析システム1とする。
ここで、
「車両に設けられ」ているとは、車両に直接固定されている場合の他、車両に固定されていないが車両と共に移動する場合も含む。例えば、車両に乗った人が所持している場合、車両に載置された積荷に搭載されている場合、が挙げられる。
「車両」とは、移動可能な物体をいい、移動速度は任意である。また車両が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、及びこれらに搭載される物を含み、またこれらに限らない。
(1)ログ分析装置の配置
図1~図3を用いて、まず各実施形態のログ分析装置の配置を説明する。
図1は、第1の実施形態のログ分析装置11及びログ分析装置31を示す。ログ分析装
置11は「車両に設けられ」ており、同じく「車両」に搭載された電子制御システムSと接続されている。ログ分析装置31は車両の外部に設けられており、例えばSOC(Security Operations Center)やその他のサーバ装置等で実現されている。ログ分析装置11とログ分析装置31とを合わせて、ログ分析システム1とする。
ここで、
「車両に設けられ」ているとは、車両に直接固定されている場合の他、車両に固定されていないが車両と共に移動する場合も含む。例えば、車両に乗った人が所持している場合、車両に載置された積荷に搭載されている場合、が挙げられる。
「車両」とは、移動可能な物体をいい、移動速度は任意である。また車両が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、及びこれらに搭載される物を含み、またこれらに限らない。
ログ分析装置11と電子制御システムSや電子制御システムSを構成する電子制御装置(以下、ECU(Electronic Control Unit)と称する)とは、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった車載通信ネットワークを介して接続されている。あるいは、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、有線無線を問わず任意の通信方式を用いて接続されてもよい。
なお、図1ではログ分析装置11は電子制御システムSの外部に設けられているが、ログ分析装置11を電子制御システムSの内部、すなわち電子制御システムSの構成の一つとして設けるようにしてもよい。
また、接続とは、データのやり取りが可能な状態をいい、異なるハードウェアが有線又は無線の通信ネットワークを介して接続されている場合はもちろん、同一のハードウェア上で実現された仮想マシン同士が仮想的に接続されている場合も含む。
なお、図1ではログ分析装置11は電子制御システムSの外部に設けられているが、ログ分析装置11を電子制御システムSの内部、すなわち電子制御システムSの構成の一つとして設けるようにしてもよい。
また、接続とは、データのやり取りが可能な状態をいい、異なるハードウェアが有線又は無線の通信ネットワークを介して接続されている場合はもちろん、同一のハードウェア上で実現された仮想マシン同士が仮想的に接続されている場合も含む。
ログ分析装置31と電子制御システムS、又はログ分析装置31とログ分析装置11とは、例えば、IEEE802.11(Wi-Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等といった、無線通信方式の通信ネットワークを介して接続されている。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。例えば、Ethernet(登録商標)等のLAN(Local Area Network)やインターネット、光回線、固定電話回線を用いることができる。
この他、無線通信方式と有線通信方式とを組み合わせた回線であってもよい。例えば、電子制御システムSとセルラーシステムにおける基地局装置との間は4G等の無線通信方式で、基地局装置とログ分析装置31との間は通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。基幹回線とインターネットとの接点にはゲートウェイ装置を設けてもよい。
この他、無線通信方式と有線通信方式とを組み合わせた回線であってもよい。例えば、電子制御システムSとセルラーシステムにおける基地局装置との間は4G等の無線通信方式で、基地局装置とログ分析装置31との間は通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。基幹回線とインターネットとの接点にはゲートウェイ装置を設けてもよい。
外部装置40は、ログ分析装置31と同様車両の外部に設けられており、例えばサーバ装置等で実現されている。外部装置40は、例えば主にログ分析装置31に対して各種の情報を提供する装置である。
外部装置40とログ分析装置31とは通常有線通信方式で接続されている。外部装置40とログ分析装置11とは、無線通信方式又は有線通信方式で接続されている。有線通信方式及び無線通信方式の例は、既に述べた通りである。
外部装置40とログ分析装置31とは通常有線通信方式で接続されている。外部装置40とログ分析装置11とは、無線通信方式又は有線通信方式で接続されている。有線通信方式及び無線通信方式の例は、既に述べた通りである。
ログ分析装置11は車両に設けられているので、電子制御システムS等から車両の内部状態を示す車両内部状態情報を主に取得するのに適している。また、ログ分析装置31は車両の外部に設けられているので、外部装置40等から車両の外部状態を示す車両外部情報を主に取得するのに適している。車両内部状態情報及び車両外部情報を併せて車両状態情報とする。実施形態1は、車両状態情報の種類によってログ分析をいずれのログ分析装置で行うかを振り分けている。
もっとも、ログ分析装置11が車両外部情報を取得したり、ログ分析装置31が車両内部状態情報を取得することを妨げるものではない。
もっとも、ログ分析装置11が車両外部情報を取得したり、ログ分析装置31が車両内部状態情報を取得することを妨げるものではない。
図2は、第2の実施形態のログ分析装置12を示す。実施形態1の場合と異なり、車両の外部に設けられたログ分析装置はなく、車両に設けられたログ分析装置12のみで構成されている。そして、実施形態2のログ分析装置12は、実施形態1のログ分析装置11及びログ分析装置31の両方の機能を有するものである。
図3は、第3の実施形態のログ分析装置32を示す。実施形態1の場合と異なり、車両に設けられたログ分析装置はなく、車両の外部に設けられたログ分析装置32のみで構成されている。そして、実施形態3のログ分析装置32は、実施形態1のログ分析装置11及びログ分析装置31の両方の機能を有するものである。
(2)電子制御システムの構成
図4は、電子制御システムSの構成例を示す図である。電子制御システムSは、既に述べた車載通信ネットワークを介して接続された、外部通信ECU及び統合ECUを含めた複数のECUから構成されている。図4は一つの外部通信ECU、一つの統合ECU、及び四つの個別ECU(ECU A,B,C,D)を例示しているが、当然のことながら、電子制御システムSは任意の数のECUから構成される。以下、外部通信ECU、統合ECU、個別ECUを包括的に指す用語として、ECU、を用いる。
図4は、電子制御システムSの構成例を示す図である。電子制御システムSは、既に述べた車載通信ネットワークを介して接続された、外部通信ECU及び統合ECUを含めた複数のECUから構成されている。図4は一つの外部通信ECU、一つの統合ECU、及び四つの個別ECU(ECU A,B,C,D)を例示しているが、当然のことながら、電子制御システムSは任意の数のECUから構成される。以下、外部通信ECU、統合ECU、個別ECUを包括的に指す用語として、ECU、を用いる。
外部通信ECUは、外部との通信を行うECUである。外部通信ECUが用いる通信方式は、上述の無線通信方式及び有線通信方式で述べた通りである。なお、複数の通信方式を実現するため、外部通信ECUを複数設けるようにしてもよい。
統合ECUは、個別ECUや外部通信ECUを仲介するゲートウェイ機能を備えたECUである。また、統合ECUに電子制御システムSの全体を制御する機能、例えばセキュリティ機能を設けるようにしてもよい。統合ECUは、ゲートウェイECU(G-ECU)やモビリティコンピュータ(MC)と呼ばれることもある。また、統合ECUは、中継装置やゲートウェイ装置であってもよい。
電子制御システムSの個別ECUは任意の機能を有するECUで構成することができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士は並列ではなく、マスタとスレーブとに分類されていてもよい。
さらに、ECUは、物理的に独立したECUである場合の他、仮想的に実現された仮想ECU(あるいは、仮想マシンと呼ぶこともある。)であってもよい。
図4の電子制御システムSにおいては、各ECUにセキュリティセンサが搭載されている。もっとも、全てのECUにセキュリティセンサが搭載されている必要は必ずしもない。
ログ分析装置11(12)を電子制御システムSの外部に設ける場合は、図2の電子制御システムSに車載通信ネットワークやその他の通信方式によるネットワークを介して接続すればよい。また、ログ分析装置11(12)を電子制御システムSの内部に設ける場合は、統合ECU内をはじめ任意のECUの内部に設けるようにすればよい。
また、ログ分析装置11(12)が電子制御システムSの外部に設けられる場合であって、車両の外部の装置と通信を行う場合は、ログ分析装置11(12)に設けられた独立した通信装置を用いてもよいが、電子制御システムSの外部通信ECUを用いるようにしてもよい。ログ分析装置11(12)が電子制御システムSの内部に設けられる場合であって、車両の外部の装置と通信を行う場合は、当然外部通信ECUを用いることができる。
(3)セキュリティイベントログの詳細
図5は、電子制御システムSを構成するECUのセキュリティセンサが生成したセキュリティイベントログの内容を示す図である。
図5は、電子制御システムSを構成するECUのセキュリティセンサが生成したセキュリティイベントログの内容を示す図である。
セキュリティイベントログは、セキュリティセンサが搭載されているECUの識別情報を示すECUID、セキュリティセンサの識別情報を示すセンサID、セキュリティイベントの識別情報を示すイベントID、イベントの発生回数を示すカウンタ、イベントの発生時刻を示すタイムスタンプ、及びセキュリティセンサの出力の詳細を示すコンテキストデータ、の各フィールドを有する。セキュリティイベントログは、さらに、プロトコルのバージョンや、各フィールドの状態を示す情報を格納したヘッダを有していてもよい。
AUTOSAR(AUTomotive Open System ARchitecture)で定めた仕様によれば、IdsM Instance IDがECUID、Sensor Instance IDがセンサID、Event Definition IDがイベントID、Countがカウンタ、Timestampがタイムスタンプ、Context Dataがコンテキストデータ、Protocol VersionやProtocol Header がヘッダ、にそれぞれ相当する。
なお、図5は異常を示す異常ログの例であるが、正常ログも図5と同じ仕様としてもよい。その場合、正常ログのコンテキストデータは省略することができる。また、ヘッダにコンテキストデータの有無を示すフラグを設定することにより、フラグを確認することで、異常ログと正常ログとを識別することができる。
また、図5は物理的に独立したECUが生成したセキュリティイベントログであるが、仮想ECUが生成したセキュリティイベントログであってもよい。
なお、セキュリティセンサが生成したセキュリティイベントログはSEv、絞り込み済の的確なセキュリティイベントログはQSEv、と呼ばれる。例えば、図2の個別ECUのセキュリティセンサはSEvを生成して図示しない侵入検知システムマネージャ(IdsM)にレポートし、IdsMでSEvが認定フィルタを通過して指定された基準を満たした場合にQSEvとして侵入検知レポータから車両の外部に送信される。本実施形態のセキュリティイベントログは、SEv及びQSEvのいずれも含む概念である。
(4)ログ分析装置の概要
電子制御システムSに対するサイバー攻撃を分析する装置として、攻撃分析装置がある。攻撃分析装置は、電子制御システムSを構成するECUのセキュリティセンサから出力されるセキュリティイベントログを取得して、サイバー攻撃の種類やサイバー攻撃の攻撃経路を分析する装置である。
電子制御システムSに対するサイバー攻撃を分析する装置として、攻撃分析装置がある。攻撃分析装置は、電子制御システムSを構成するECUのセキュリティセンサから出力されるセキュリティイベントログを取得して、サイバー攻撃の種類やサイバー攻撃の攻撃経路を分析する装置である。
もっとも、ECUやネットワークの異常を検出して生成されるセキュリティイベントログは、必ずしもサイバー攻撃に起因するものではない。ここでは、サイバー攻撃に起因しないセキュリティイベントログを偽陽性ログ、サイバー攻撃に起因しないことを偽陽性と呼ぶ。そして、各実施形態のログ分析装置は、セキュリティイベントログが示す異常が偽陽性であるか否かを判定し、偽陽性ログに対する処理を行うものである。
このような機能を有する各実施形態のログ分析装置は、攻撃分析装置に含まれていてもよいし、攻撃分析装置の処理の前段に別に設けられてもよい。また、ログ分析装置を車両側に、攻撃分析装置をサーバ側に設けてもよい。ログ分析装置は、専用のハードウェア装置で実現されても、汎用のハードウェア装置及びソフトウェアで実現されてもよい。
2.実施形態1
(1)ログ分析装置11の構成
図6は、本実施形態におけるログ分析装置11の構成を示すブロック図である。ログ分析装置11は、ログ取得部101、車両状態情報取得部102、車両シチュエーション推定部103、偽陽性判定部104、記憶部105、及び処理部106を備える。
(1)ログ分析装置11の構成
図6は、本実施形態におけるログ分析装置11の構成を示すブロック図である。ログ分析装置11は、ログ取得部101、車両状態情報取得部102、車両シチュエーション推定部103、偽陽性判定部104、記憶部105、及び処理部106を備える。
ログ取得部101は、車両に搭載されたECUのセキュリティセンサが検出した異常を示すセキュリティイベントログを取得する。ログ取得部101は電子制御システムSに接続されているので、ログ取得部101が取得するセキュリティイベントログは、例えばSEvである。取得したセキュリティイベントログは、後述の記憶部105に記憶してもよい。
セキュリティイベントログを取得するタイミングは、セキュリティイベントログが発生する度であることが望ましいが、ある一定期間内に電子制御システムS側で蓄積されたセキュリティイベントログを一括して受信するようにしてもよい。
セキュリティイベントログを取得するタイミングは、セキュリティイベントログが発生する度であることが望ましいが、ある一定期間内に電子制御システムS側で蓄積されたセキュリティイベントログを一括して受信するようにしてもよい。
車両状態情報取得部102は、「異常が発生したとき」の車両の内部状態又は/及び外部状態を示す車両状態情報を取得する。車両状態情報のうち車両の内部状態を示す情報を内部状態情報、車両状態情報のうち車両の外部状態を示す情報を外部状態情報、とする。車両状態取得部102は、車両に設けられているので、主に内部状態情報を取得する。もっとも、外部装置40等から外部状態情報を取得することを妨げるものではない。取得した車両状態情報は、後述の記憶部105に記憶してもよい。
ここで、「異常が発生したとき」とは、異常が発生した時間の他、異常を示すセキュリティイベントログが生成された時間やセキュリティイベントログを受信した時間のように、異常発生時に近接した時間であってもよい。
ここで、「異常が発生したとき」とは、異常が発生した時間の他、異常を示すセキュリティイベントログが生成された時間やセキュリティイベントログを受信した時間のように、異常発生時に近接した時間であってもよい。
異常が発生したときの車両状態情報を取得する方法は様々な方法がある。例えば、セキュリティイベントログのタイムスタンプを読み出し、タイムスタンプが示す時刻と同じ又はそれに近接した時刻に発生した車両状態情報を電子制御システムSのECUやセンサに対して要求することにより取得することができる。あるいは、車両状態情報を連続的に取得して記憶部105に記憶しておくとともに、タイムスタンプが示す時刻と同じ又はそれに近接した時刻に発生した車両状態情報を読み出すことにより取得することができる。タイムスタンプが示す時刻に代え、セキュリティイベントログの送信時刻や受信時刻をもって異常が発生したときとすることもできる。
車両状態情報の具体例は後述するが、車両状態情報には、内部状態又は外部状態が発生した「時刻」、又は内部状態又は外部状態が継続した「時間」が含まれていてもよい。
ここで、
「時刻」とは、時間軸における所定の点を示すものであればよく、狭義の時刻の他、タイマー、クロック等、時刻が間接的に示される場合も含む。
「時間」とは、時的な長さを示すものであればよく、狭義の時間の他、始点及び終点の時刻、タイマー、クロックの数、周期等、時間が間接的に示される場合も含む。
それ以外の車両状態情報の具体例とそれらを用いた偽陽性の判定方法については実施例1~3で説明する。
ここで、
「時刻」とは、時間軸における所定の点を示すものであればよく、狭義の時刻の他、タイマー、クロック等、時刻が間接的に示される場合も含む。
「時間」とは、時的な長さを示すものであればよく、狭義の時間の他、始点及び終点の時刻、タイマー、クロックの数、周期等、時間が間接的に示される場合も含む。
それ以外の車両状態情報の具体例とそれらを用いた偽陽性の判定方法については実施例1~3で説明する。
偽陽性判定部104は、車両状態情報取得部102で取得した車両状態情報に「基づき」、ログ取得部101で取得したセキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する。例えば、車両状態情報と判定基準を定めたテーブルを用いて判定したり、車両状態情報に基づく演算結果で判定すればよい。
ここで、「基づき」とは、車両状態情報を直接用いる場合の他、車両状態情報を間接的に用いる場合も含む。すなわち、車両状態譲情報から中間事実を推定し、中間事実を用い
て偽陽性判定を行う場合も含む。
ここで、「基づき」とは、車両状態情報を直接用いる場合の他、車両状態情報を間接的に用いる場合も含む。すなわち、車両状態譲情報から中間事実を推定し、中間事実を用い
て偽陽性判定を行う場合も含む。
記憶部105は、ログ取得部101で取得したセキュリティイベントログ、車両状態情報取得部102で取得した車両状態情報、偽陽性判定部104での判定結果、及びその他の情報を記憶する。もっとも、これらを記憶することは必須ではない。
処理部106は、偽陽性と判定されたセキュリティイベントログに「対する」処理を行う。
ここで、「対する」とは、セキュリティイベントログに対し直接的に処理を行う場合の他、セキュリティイベントログの判定結果を報告する等、セキュリティイベントログに対し間接的に処理を行う場合も含む。
ここで、「対する」とは、セキュリティイベントログに対し直接的に処理を行う場合の他、セキュリティイベントログの判定結果を報告する等、セキュリティイベントログに対し間接的に処理を行う場合も含む。
処理の具体的な内容としては、用途や目的に応じて定めればよい。例えば、偽陽性と判定された偽陽性ログを削除しログ分析装置11から偽陽性ログを出力しないようにする、偽陽性と判定された偽陽性ログに偽陽性であることのフラグを立てて攻撃分析装置に出力する、偽陽性ログが発生したことを外部装置等に通知する、等がある。
この他、処理部106は、偽陽性と判定されなかったセキュリティイベントログを攻撃分析装置に出力する。
この他、処理部106は、偽陽性と判定されなかったセキュリティイベントログを攻撃分析装置に出力する。
(2)ログ分析装置11における車両状態情報の種類と偽陽性の判定方法
(実施例1)車両シチュエーションを推定する情報(内部状態情報)
実施例1は、内部状態情報が、車両シチュエーションを推定する情報である場合の例である。
(実施例1)車両シチュエーションを推定する情報(内部状態情報)
実施例1は、内部状態情報が、車両シチュエーションを推定する情報である場合の例である。
実施例1においては、ログ分析装置11は、さらに車両シチュエーション推定部103を有する。
車両シチュエーション推定部103は、車両状態情報取得部102で取得した車両状態情報のうち車両の内部状態を示す内部状態情報から車両の走行に関する状態である車両シチュエーションを推定する。さらに、推定した車両シチュエーションの変化に伴う電子制御システムSを構成する各ECUの電源状態の変化を推定する。
車両シチュエーション推定部103は、車両状態情報取得部102で取得した車両状態情報のうち車両の内部状態を示す内部状態情報から車両の走行に関する状態である車両シチュエーションを推定する。さらに、推定した車両シチュエーションの変化に伴う電子制御システムSを構成する各ECUの電源状態の変化を推定する。
まず、車両シチュエーションを推定する方法を説明する。
図7は、車両シチュエーションと内部状態情報の関係を示す車両シチュエーション推定テーブルの例である。
車両シチュエーションとは、車両の走行に関する状態であるが、この例においては車両の挙動や状態をいう。車両シチュエーション推定部103は、車両シチュエーション推定テーブルを用いて、内部状態情報として、車両の挙動や状態に関係する情報であって車両に搭載されたECUやセンサから出力される情報から車両シチュエーションを推定する。車両シチュエーション推定テーブルは、記憶部105に記憶しておき、適宜読み出して参照するようにすればよい。
図7は、車両シチュエーションと内部状態情報の関係を示す車両シチュエーション推定テーブルの例である。
車両シチュエーションとは、車両の走行に関する状態であるが、この例においては車両の挙動や状態をいう。車両シチュエーション推定部103は、車両シチュエーション推定テーブルを用いて、内部状態情報として、車両の挙動や状態に関係する情報であって車両に搭載されたECUやセンサから出力される情報から車両シチュエーションを推定する。車両シチュエーション推定テーブルは、記憶部105に記憶しておき、適宜読み出して参照するようにすればよい。
図7のテーブルを用いる場合、例えば内部状態情報として、車両速度、モード、乗員数、バッテリー電圧、充電状態、シフト位置、のそれぞれを示す情報を用いて、車両シチュエーションを推定する。例えば、車両速度が微速あるいは中速であり、モードが通常モードであり、乗員が1以上であり、バッテリー電圧が既定値内であり、充電状態が開放状態であり、シフト位置がP、R以外であるときは、車両シチュエーションが市街走行中であると推定する。あるいは、車両速度が高速で、その他の内部状態情報が市街走行中の例と同じ場合は、高速走行中であると推定する。
これらの内部状態情報は例示であって、それ以外の情報も用いてもよい。また、これらの内部状態情報の全てを必ずしも用いる必要はない。車両シチュエーションの推定に際し、さらに外部状態情報も用いるようにしてもよい。
これらの内部状態情報は例示であって、それ以外の情報も用いてもよい。また、これらの内部状態情報の全てを必ずしも用いる必要はない。車両シチュエーションの推定に際し、さらに外部状態情報も用いるようにしてもよい。
次に、推定した車両シチュエーションの変化からECUの電源状態の変化を推定する方法を説明する。
図8は、車両シチュエーション毎のECUの電源状態を示す電源状態テーブルの例である。
電子制御システムSの各ECUは、必要とされる機能を提供するときに起動していれば足りる。そこで、例えば車両シチュエーションに応じて制御に不必要な一部のECUの機能を停止したりスリープ状態にすることで、電子制御システムS全体の消費電力を低減することができる。このような制御を行うことができる技術はパーシャルネットワークと呼ばれる。
図8は、車両シチュエーション毎のECUの電源状態を示す電源状態テーブルの例である。
電子制御システムSの各ECUは、必要とされる機能を提供するときに起動していれば足りる。そこで、例えば車両シチュエーションに応じて制御に不必要な一部のECUの機能を停止したりスリープ状態にすることで、電子制御システムS全体の消費電力を低減することができる。このような制御を行うことができる技術はパーシャルネットワークと呼ばれる。
例えば図8において、市街走行中にはECU A、B、D、E、F、G、Iが電源ON状態で起動しているのに対し、ECU C、H、Jはスリープ状態となっている。つまり、車両シチュエーションが推定できれば、各ECUの電源状態を特定することが可能となる。
車両シチュエーション推定部103は、図8の電源状態テーブルを用いて、推定した車両シチュエーションに対応するECUの電源状態を取得する。電源状態テーブルは、記憶部105に記憶しておき、適宜読み出して参照するようにすればよい。
このような電源状態の推定方法を用い、車両シチュエーション推定部103は、車両シチュエーションの変化を検出し、車両シチュエーションの変化に伴うECUの電源状態の変化を推定する。例えば、車両シチュエーション推定部103は、セキュリティイベントログで示された異常が発生したときを挟んだ前後の内部状態情報から、それぞれの車両シチュエーションを推定する。そして、車両シチュエーション推定部103は、車両シチュエーションが変化したことを検出した場合、変化前の車両シチュエーションと変化後の車両シチュエーションに対応する電源状態を推定し、それらがどのように変化したのかを推定する。
例えば、異常が発生する前は市街走行中であり、異常が発生した後は高速走行中であったとする。図8によれば、この車両シチュエーションの変化に伴い、ECU C、Hはスリープ状態から電源ON状態に変化し、ECU Gは電源ON状態からスリープ状態に変化したと推定できる。
そして、偽陽性判定部104は、電源状態の変化に基づき、セキュリティイベントログが示す異常が偽陽性であるか否かを判定する。具体的には、電源状態が変化した場合、電源状態が変化してから一定期間は電気的に不安定な状態に置かれていることを踏まえ、電源状態が変化したECUのセキュリティセンサから出力されたセキュリティイベントログを偽陽性と判定する。
例えば、一定期間を1秒としたとき、ECU C、G、又はHの電源状態が変化してから1秒の期間内にECU C、G、又はHのセキュリティセンサから出力されたセキュリティイベントログを偽陽性と判定する。
電気的に不安定な状態になる理由は様々であるが、例えば以下の理由が考えられる。
・ACC ON時に各ECUが初期化中のため死活判定に必要な情報を送信できず、センサ故障であると誤判定してしまう。
・電源電圧が不安定、若しくは安定電圧に達しない状態において、ソフトウェアモジュール間の連携ができず誤判定が生じてしまう。
・ACC ON時に各ECUが初期化中のため死活判定に必要な情報を送信できず、センサ故障であると誤判定してしまう。
・電源電圧が不安定、若しくは安定電圧に達しない状態において、ソフトウェアモジュール間の連携ができず誤判定が生じてしまう。
なお、上述の例は、電源ON状態からスリープ状態への変化、スリープ状態から電源ON状態への変化のいずれも対象とした。しかし、電源ON状態からスリープ状態に変化する場合は、セキュリティイベントログの送信が完了してからスリープ状態に移行することに照らせばセキュリティイベントログを送信する可能性自体が低いことから、スリープ状態から電源ON状態への変化のみを対象としてもよい。
また、異常が発生したときの内部状態情報を取得する方法としては、上述の車両状態情報を取得する方法と同じである。すなわち、セキュリティイベントログのタイムスタンプが示す時刻等を元にECUやセンサに対して内部状態情報を要求することにより取得したり、内部状態情報を連続的に取得して記憶部105に記憶しておき、タイムスタンプが示す時刻等に発生した内部状態情報を読み出すことにより取得することができる。
以上、実施例1によれば、内部状態情報から推定された車両シチュエーションの変化に伴うECUの電源状態の変化から、その変化を原因とする異常を検出した可能性のあるセキュリティイベントログを特定することができる。
(実施例2)車両の電源状態、通信ネットワークの状態、診断状態を示す情報(内部状態情報)
実施例2は、内部状態情報が、車両の電源状態、通信ネットワークの状態、診断状態を示す情報の少なくとも一つである場合の例である。
実施例2は、内部状態情報が、車両の電源状態、通信ネットワークの状態、診断状態を示す情報の少なくとも一つである場合の例である。
図9は、日時と、車両の電源状態、通信ネットワークの状態、診断状態との関係を記録したテーブルである。
車両の電源状態は、車両を構成する機器に対する電源供給状態を示すもので、通常OFF、ACC、ON、STARTのモードがあるがこれに限られない。図9のテーブルにおいては、ACC ONとACC OFFの状態の例を示している。
通信ネットワークの状態は、車載通信ネットワークの種類とその状態を示すものである。図9のテーブルにおいては、車両の電子制御システムSが、Ethernet、CAN1、CAN2の3つの車載通信ネットワークを有する場合を示している。そして、それぞれのネットワークが準備状態(Ready)か、稼働状態(Run)かを示している。
診断状態は、車両のモードが通常モードか診断モードかを示すものである。図9のテーブルにおいては、ダイアグモード、非ダイアグモードの状態の例を示している。
車両の電源状態は、車両を構成する機器に対する電源供給状態を示すもので、通常OFF、ACC、ON、STARTのモードがあるがこれに限られない。図9のテーブルにおいては、ACC ONとACC OFFの状態の例を示している。
通信ネットワークの状態は、車載通信ネットワークの種類とその状態を示すものである。図9のテーブルにおいては、車両の電子制御システムSが、Ethernet、CAN1、CAN2の3つの車載通信ネットワークを有する場合を示している。そして、それぞれのネットワークが準備状態(Ready)か、稼働状態(Run)かを示している。
診断状態は、車両のモードが通常モードか診断モードかを示すものである。図9のテーブルにおいては、ダイアグモード、非ダイアグモードの状態の例を示している。
車両状態取得部102は、図9に示すテーブルを内部状態情報として取得する。取得のタイミングは、図9においては内部状態情報が変化した時である。例えば、9:52:01は、全ての車載通信ネットワークにおいてReadyからRunに変化した時、11:08:00は、診断状態が非ダイアグモードからダイアグモードに変化した時、11:50:00は、電源状態がACC ONからACC OFFに変化するとともに、全ての車載通信ネットワークにおいてRunからReadyに変化した時、12:10:00は、電源状態がACC OFFからACC ONに変化した時、である。
この場合、図9の日時は、内部状態が発生した時刻に相当する。
この場合、図9の日時は、内部状態が発生した時刻に相当する。
図9では、車両の内部状態が変化した時の内部状態情報を記録しているが、これに代えて、又はこれと共に、定期的に内部状態情報を記録するようにしてもよい。
偽陽性判定部104は、車両の電源状態、通信ネットワークの状態、診断状態の少なくとも一つの内部状態情報に基づき、セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する。
例えば、11:08:00から11:40:00の期間は、ダイアグモードが継続するとともにダイアグモードから非ダイアグモードに切り替わって車載通信ネットワークが準備状態になっている期間であるので、修理や診断により車両が通常の使用上想定される状態にないことから、各セキュリティセンサが正常な検知ができる状態にはない。したがって、この期間に生成されたセキュリティイベントログが示す異常はサイバー攻撃に起因しない異常である可能性が高いので、偽陽性と判定する。
例えば、11:50:00から12:10:00の期間は、ACC OFFであり車載通信ネットワークが準備状態になっていない期間、及びACC ONとなったがまだ車載通信ネットワークが準備状態になっていない期間であるので、車載通信ネットワークで正常な通信ができる状態にはないことから、各セキュリティセンサが正常な検知ができる状態にはない。したがって、この期間に生成されたセキュリティイベントログが示す異常はサイバー攻撃に起因しない異常である可能性が高いので、偽陽性と判定する。
以上、実施例2によれば、車両の電源状態、通信ネットワークの状態、診断状態の少なくとも一つからなる内部状態情報を用いて、セキュリティセンサが正常な検知ができる状態であるかどうかを判定することにより、偽陽性の可能性のあるセキュリティイベントログを特定することができる。
(実施例3)ECUの状態を示す情報(内部状態情報)
実施例3は、内部状態情報が、ECUの状態を示す情報である場合の例である。
実施例3は、内部状態情報が、ECUの状態を示す情報である場合の例である。
図10は、日時と、電子制御システムSを構成する各ECUの状態を記録したテーブルである。
各ECUの状態は、各ECUが正常に稼働しているか否かを示すものである。図10のテーブルにおいては、正常に稼働している(Run)か、停止している(Stop)か、を示している。
各ECUの状態は、各ECUが正常に稼働しているか否かを示すものである。図10のテーブルにおいては、正常に稼働している(Run)か、停止している(Stop)か、を示している。
車両状態取得部102は、図10に示すテーブルを内部状態情報として取得する。取得のタイミングは、図10においては内部状態情報が変化した時である。例えば、12:10:01はECU Aが停止した時、13:30:00は、ECU Bが停止した時、13:35:00はECU A及びECU Bが稼働した時、である。ECUの稼働状態は、例えば各ECUの死活情報を元に判定すればよい。死活情報は、例えば、図5のイベントIDに格納してもよい。
この場合、図10の日時は、内部状態が発生した時刻に相当する。
この場合、図10の日時は、内部状態が発生した時刻に相当する。
図10では、車両の内部状態が変化した時のECUの状態を記録しているが、これに代えて、又はこれと共に、定期的にECUの状態を記録するようにしてもよい。
偽陽性判定部104は、ECUの状態に基づき、セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する。
例えば、12:10:01から13:35:00の期間は、ECU Aが停止しているので、この期間にECU Aのセキュリティセンサが生成したセキュリティイベントログは誤動作により生成された可能性が高い。したがって、この期間にECU Aで生成されたセキュリティイベントログに示す異常はサイバー攻撃に起因しない異常である可能性が高いので、偽陽性と判定する。
例えば、13:30:00から13:35:00の期間は、ECU Bが停止しているので、この期間にECU Bのセキュリティセンサが生成したセキュリティイベントログはサイバー攻撃とは別の要因で生成された可能性が高い。したがって、この期間にECU Bで生成されたセキュリティイベントログに示す異常はサイバー攻撃に起因しない異常である可能性が高いので、偽陽性と判定する。
以上、実施例3によれば、ECUの状態からなる内部状態情報を用いて、ECUが稼働状態か否かと矛盾するセキュリティイベントログが生成されているかどうかを判定することにより、偽陽性の可能性のあるセキュリティイベントログを特定することができる。
(3)ログ分析装置11の動作
次に、図11を参照して、ログ分析装置11の動作を説明する。図11は、ログ分析装置11で実行される攻撃分析方法を示すだけでなく、ログ分析装置11で実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図11に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。その他の実施形態のフロー図も同様である。
次に、図11を参照して、ログ分析装置11の動作を説明する。図11は、ログ分析装置11で実行される攻撃分析方法を示すだけでなく、ログ分析装置11で実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図11に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。その他の実施形態のフロー図も同様である。
ログ分析装置11のログ取得部101は、車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログを取得する(S101)。
車両状態情報取得部102は、セキュリティセンサが検出した異常が発生したときの車両の内部状態又は/及び外部状態を示す車両状態情報を取得する(S102)。
偽陽性判定部104は、S102で取得した車両状態情報に基づき、セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する(S103)。
処理部106は、S103で偽陽性と判定されたセキュリティイベントログに対する処理を行う(S104)。
車両状態情報取得部102は、セキュリティセンサが検出した異常が発生したときの車両の内部状態又は/及び外部状態を示す車両状態情報を取得する(S102)。
偽陽性判定部104は、S102で取得した車両状態情報に基づき、セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する(S103)。
処理部106は、S103で偽陽性と判定されたセキュリティイベントログに対する処理を行う(S104)。
(4)小括
以上、本実施形態のログ分析装置11によれば、車両状態情報のうち主に内部状態情報を用いてセキュリティイベントログが偽陽性であるか否かを判定するので、主に車両の内部状態に起因する偽陽性ログに対する対策を講じることができる。
また、セキュリティセンサ自体にサイバー攻撃に起因しない異常の検出を完全に排除する仕組みを設けなくても、車両において検出された異常が、サイバー攻撃に起因しない異常であるか否かを推定することが可能になる。
以上、本実施形態のログ分析装置11によれば、車両状態情報のうち主に内部状態情報を用いてセキュリティイベントログが偽陽性であるか否かを判定するので、主に車両の内部状態に起因する偽陽性ログに対する対策を講じることができる。
また、セキュリティセンサ自体にサイバー攻撃に起因しない異常の検出を完全に排除する仕組みを設けなくても、車両において検出された異常が、サイバー攻撃に起因しない異常であるか否かを推定することが可能になる。
(5)ログ分析装置31の構成
図12は、本実施形態におけるログ分析装置31の構成を示すブロック図である。ログ分析装置31は、ログ取得部301、車両状態情報取得部302、偽陽性判定部304、記憶部305、及び処理部306を備える。ログ分析装置31の構成はログ分析装置11の構成と基本的に同じであるが、接続先や処理の内容が若干異なる。以下、ログ分析装置11との相違点を中心に説明し、ログ分析装置11と同じ構成及び機能の場合は説明を省略し、ログ分析装置11の説明を引用する。
図12は、本実施形態におけるログ分析装置31の構成を示すブロック図である。ログ分析装置31は、ログ取得部301、車両状態情報取得部302、偽陽性判定部304、記憶部305、及び処理部306を備える。ログ分析装置31の構成はログ分析装置11の構成と基本的に同じであるが、接続先や処理の内容が若干異なる。以下、ログ分析装置11との相違点を中心に説明し、ログ分析装置11と同じ構成及び機能の場合は説明を省略し、ログ分析装置11の説明を引用する。
ログ取得部301は、車両に搭載されたECUのセキュリティセンサが検出した異常を示すセキュリティイベントログを取得する。例えば、電子制御システムSの外部通信ECUから送信されたセキュリティイベントログを受信することにより取得する。セキュリティイベントログは、例えばQSEvであるが、SEvであってもよい。
セキュリティイベントログを取得するタイミングは、ある一定期間に車両側で蓄積されたセキュリティイベントログを一括して受信することが望ましいが、セキュリティイベントログが発生する度に受信するようにしてもよい。
セキュリティイベントログを取得するタイミングは、ある一定期間に車両側で蓄積されたセキュリティイベントログを一括して受信することが望ましいが、セキュリティイベントログが発生する度に受信するようにしてもよい。
車両状態情報取得部302は、「異常が発生したとき」の車両の内部状態又は/及び外部状態を示す車両状態情報を取得する。車両状態取得部302は、車両の外部に設けられているので、主に外部状態情報を取得する。もっとも、電子制御システムSやログ分析装置11等から内部状態情報を取得することを妨げるものではない。
異常が発生したときの車両状態情報を取得する方法は様々な方法がある。例えば、セキュリティイベントログのタイムスタンプを読み出し、タイムスタンプが示す時刻と同じ又はそれに近接した時刻に発生した車両状態情報を外部装置40に対して要求することにより取得することができる。あるいは、車両状態情報を連続的に取得して記憶部305に記憶しておくとともに、タイムスタンプが示す時刻と同じ又はそれに近接した時刻に発生した車両状態情報を読み出すことにより取得することができる。タイムスタンプが示す時刻に代え、セキュリティイベントログの送信時刻や受信時刻をもって異常が発生したときとすることもできる。
車両状態情報の具体例は後述するが、車両状態情報には、内部状態又は外部状態が発生した「時刻」、又は内部状態又は外部状態が継続した「時間」が含まれていてもよい。
それ以外の車両状態情報の具体例とそれらを用いた偽陽性の判定方法については実施例4~6で説明する。
それ以外の車両状態情報の具体例とそれらを用いた偽陽性の判定方法については実施例4~6で説明する。
偽陽性判定部304は、車両状態情報取得部302で取得した車両状態情報に「基づき」、ログ取得部301で取得したセキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する。
記憶部305は、ログ取得部301で取得したセキュリティイベントログ、車両状態情報取得部302で取得した車両状態情報、偽陽性判定部304での判定結果、及びその他の情報を記憶する。もっとも、これらを記憶することは必須ではない。
処理部306は、偽陽性と判定されたセキュリティイベントログに「対する」処理を行う。
処理の具体的な内容としては、用途や目的に応じて定めればよい。例えば、偽陽性と判定された偽陽性ログを削除し、ログ分析装置11から偽陽性ログを出力しないようにする、偽陽性と判定された偽陽性ログに偽陽性であることのフラグを立てて攻撃分析装置に出力する、偽陽性ログが発生したことを外部装置等に通知する、等がある。
この他、処理部306は、偽陽性と判定されなかったセキュリティイベントログを攻撃分析装置に出力する。
この他、処理部306は、偽陽性と判定されなかったセキュリティイベントログを攻撃分析装置に出力する。
(6)ログ分析装置31における車両状態情報の種類と偽陽性の判定方法
(実施例4)位置情報(内部状態情報)、既知の偽陽性ログ発生パターン(外部状態情報)
実施例4は、内部状態情報が車両の位置情報であり、外部状態情報が位置に紐付けられた既知の偽陽性ログ発生パターンの場合の例である。
(実施例4)位置情報(内部状態情報)、既知の偽陽性ログ発生パターン(外部状態情報)
実施例4は、内部状態情報が車両の位置情報であり、外部状態情報が位置に紐付けられた既知の偽陽性ログ発生パターンの場合の例である。
図13は、位置と既知の偽陽性ログ発生パターンとの関係を記録したテーブルである。
イベントは、車両に対するイベントが記載されている。
イベント座標は、イベントが行われている座標を示している。
イベント時刻は、イベントが行われている期間(「時間」に相当)を示している。
既知の偽陽性ログ発生パターンは、イベントにおける既知のログ発生パターン(「ログ発生パターンを示す情報」に相当)を示している。
イベントは、車両に対するイベントが記載されている。
イベント座標は、イベントが行われている座標を示している。
イベント時刻は、イベントが行われている期間(「時間」に相当)を示している。
既知の偽陽性ログ発生パターンは、イベントにおける既知のログ発生パターン(「ログ発生パターンを示す情報」に相当)を示している。
車両状態情報取得部302は、内部状態情報として、車両の「位置情報」を取得する。例えば、車両に設けられたGPS受信機や加速度センサ等の各種センサの出力によって生成された位置情報を、車両に設けられた電子制御システムSの外部通信ECUから受信することにより取得する。取得するタイミングは、セキュリティイベントログと同時かつセキュリティイベントログと紐づけて取得することが望ましい。例えば、セキュリティイベントログのコンテキストデータに位置情報を格納したものを受信するようにすればよい。
ここで、「位置情報」とは、GPS等で取得する緯度経度で特定された位置情報の他、車両が位置する場所を特定する情報であってもよい。
ここで、「位置情報」とは、GPS等で取得する緯度経度で特定された位置情報の他、車両が位置する場所を特定する情報であってもよい。
また、車両状態情報取得部302は、図13に示すテーブルを取得する。車両状態取得部302は、例えばディーラAやカー用品店Bが随時更新する外部サーバ40から当該テーブルを取得することが望ましい。取得のタイミングは、テーブルの更新時が望ましいが、定期的に取得してもよい。
偽陽性判定部304は、位置情報、及び図13に示すテーブルに基づき、セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する。具体的には、位置情報で示される車両の位置がイベント座標を中心とする所定の範囲と一致し、セキュリティイベントログで示される異常が発生した時刻がイベント時刻の範囲に含まれる場合であって、セキュリティイベントログが既知の偽陽性ログ発生パターンと一致する場合は、当該セキュリティイベントログは偽陽性であると判定する。
例えば、位置情報が東経X1、北緯Y1であり、セキュリティイベントログのタイムスタンプがt1~t2の範囲に含まれ、セキュリティイベントログが既存ECUの未接続ログである場合、ディーラAで既存ECUを脱着するイベントが発生したために検知した異常であるとして、当該セキュリティイベントログは偽陽性であると判定する。
以上、実施例4によれば、車両の位置からなる内部状態情報、及び位置に紐づけられた偽陽性ログ発生パターンからなる外部状態情報を用いることにより、偽陽性の可能性のあるセキュリティイベントログを特定することができる。
(実施例5)車両を特定する情報(内部状態情報)、セキュリティイベントログを無効とする条件を示す情報(外部状態情報)
実施例5は、内部状態情報が車両を特定する情報であり、外部状態情報がセキュリティイベントログを無効とする条件を示す情報の場合の例である。
実施例5は、内部状態情報が車両を特定する情報であり、外部状態情報がセキュリティイベントログを無効とする条件を示す情報の場合の例である。
図14は、車両と、セキュリティイベントログを無効とする期間との関係を記録したテーブルである。
車両は、セキュリティイベントログを無効とすべき車両を示している。
状態は、車両が置かれている状態を示している。
開始時刻は、状態が開始する時刻(「時刻」又は「期間」に相当)を示している。
終了時刻は、状態が終了する時刻(「時刻」又は「期間」に相当)を示している。
つまり、図14では、セキュリティイベントログを無効とする条件として、期間を定めたものである。
車両は、セキュリティイベントログを無効とすべき車両を示している。
状態は、車両が置かれている状態を示している。
開始時刻は、状態が開始する時刻(「時刻」又は「期間」に相当)を示している。
終了時刻は、状態が終了する時刻(「時刻」又は「期間」に相当)を示している。
つまり、図14では、セキュリティイベントログを無効とする条件として、期間を定めたものである。
車両状態情報取得部302は、内部状態情報として、車両を特定する情報を取得する。例えば、車両に保存された当該車両を特定する情報を、車両に設けられた電子制御システムSの外部通信ECUから受信することにより取得する。取得するタイミングは、セキュリティイベントログと同時かつセキュリティイベントログと紐づけて取得することが望ましい。例えば、セキュリティイベントログのコンテキストデータに車両を特定する情報を格納したものを受信するようにすればよい。
また、車両状態情報取得部302は、図14に示すテーブルを取得する。車両状態取得部302は、例えばメーカやディーラが随時更新する外部装置40から当該テーブルを取得することが望ましい。取得のタイミングは、テーブルの更新時が望ましいが、定期的に取得してもよい。
偽陽性判定部304は、車両を特定する情報、及び図14に示すテーブルに基づき、セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する。具体的には、車両を特定する情報で示される車両が図14のテーブルの車両と一致し、セキュリティイベントログで示される異常が発生した時刻が図14のテーブルの開始時刻及び終了時刻の範囲にある場合は、当該セキュリティイベントログは偽陽性であると判定する。
以上、実施例5によれば、車両を特定する情報からなる内部状態情報、及びセキュリティイベントログを無効とする条件を示す情報からなる外部状態情報を用いることにより、偽陽性の可能性のあるセキュリティイベントログを特定することができる。
(実施例6)通信障害、外部装置の稼働状態(外部状態情報)
実施例6は、外部状態情報がセキュリティイベントログを無効にするイベント及びその時刻や時間帯である例であり、ここでは通信障害又は外部装置の稼働状態を示す情報について説明する。
実施例6は、外部状態情報がセキュリティイベントログを無効にするイベント及びその時刻や時間帯である例であり、ここでは通信障害又は外部装置の稼働状態を示す情報について説明する。
図15は、通信障害及び外部装置の稼働状況の期間を記録したテーブルである。
イベントは、外部通信装置又は通信障害に関するイベントが記載されている。
開始時刻は、イベントが開始する時刻(「時刻」又は「期間」に相当)を示している。
終了時刻は、イベントが終了する時刻(「時刻」又は「期間」に相当)を示している。
イベントは、外部通信装置又は通信障害に関するイベントが記載されている。
開始時刻は、イベントが開始する時刻(「時刻」又は「期間」に相当)を示している。
終了時刻は、イベントが終了する時刻(「時刻」又は「期間」に相当)を示している。
車両状態情報取得部302は、図15に示すテーブルを取得する。車両状態取得部302は、例えばサーバ運営者や通信事業者が随時更新する外部装置40から当該テーブルを取得することが望ましい。取得のタイミングは、テーブルの更新時が望ましいが、定期的に取得してもよい。
偽陽性判定部304は、図15に示すテーブルに基づき、セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する。具体的には、セキュリティイベントログで示される異常が発生した時刻が図15のテーブルの開始時刻及び終了時刻の範囲にある場合は、当該セキュリティイベントログは偽陽性であると判定する。
イベントとしては、図5の例の他、外気温が所定の温度よりも高温又は低温の場合、降雨量が所定量よりも多い場合、等、外部状態情報として得られる情報であって実施例5のようなメーカやディーラ以外から提供される情報に基づくイベントであってもよい。
以上、実施例6によれば、通信障害及び外部装置の稼働状態を示す情報からなる外部状態情報を用いることにより、偽陽性の可能性のあるセキュリティイベントログを特定することができる。
(7)ログ分析装置31の動作
ログ分析装置31の動作はログ分析装置11の動作と同じであるので、ログ分析装置11の動作の記載及び図11をログ分析装置31の動作として引用する。
ログ分析装置31の動作はログ分析装置11の動作と同じであるので、ログ分析装置11の動作の記載及び図11をログ分析装置31の動作として引用する。
(8)小括
以上、本実施形態のログ分析装置31によれば、車両状態情報のうち主に外部状態情報を用いてセキュリティイベントログが偽陽性であるか否かを判定するので、主に車両の外部状態に起因する偽陽性ログに対する対策を講じることができる。
また、セキュリティセンサ自体にサイバー攻撃に起因しない異常の検出を完全に排除する仕組みを設けなくても、車両において検出された異常が、サイバー攻撃に起因しない異常であるか否かを推定することが可能になる。
以上、本実施形態のログ分析装置31によれば、車両状態情報のうち主に外部状態情報を用いてセキュリティイベントログが偽陽性であるか否かを判定するので、主に車両の外部状態に起因する偽陽性ログに対する対策を講じることができる。
また、セキュリティセンサ自体にサイバー攻撃に起因しない異常の検出を完全に排除する仕組みを設けなくても、車両において検出された異常が、サイバー攻撃に起因しない異常であるか否かを推定することが可能になる。
3.実施形態2
本実施形態のログ分析装置12は、図2で説明した通り、車両の外部に設けられたログ分析装置はなく、車両に設けられたログ分析装置12のみで構成されている。そして、本実施形態のログ分析装置12は、実施形態1のログ分析装置11及びログ分析装置31の両方の機能を有するものである。
本実施形態のログ分析装置12は、図2で説明した通り、車両の外部に設けられたログ分析装置はなく、車両に設けられたログ分析装置12のみで構成されている。そして、本実施形態のログ分析装置12は、実施形態1のログ分析装置11及びログ分析装置31の両方の機能を有するものである。
図16は、本実施形態におけるログ分析装置12の構成を示すブロック図である。ログ分析装置12は、ログ取得部101、車両状態情報取得部102、車両シチュエーション推定部103、偽陽性判定部104、記憶部105、及び処理部106を備える。ログ分析装置12の構成はログ分析装置11の構成と基本的に同じであるのでログ分析装置11の説明を引用する。
もっとも、本実施形態では、実施形態1の実施例4、実施例5、及び実施例6についても車両に設けられたログ分析装置12で実行されるので、車両状態情報取得部102は、外部状態情報も取得することができる。外部状態情報は、例えば外部装置40から無線通信方式を用いて取得することができる。
4.実施形態3
本実施形態のログ分析装置32は、図3で説明した通り、車両に設けられたログ分析装置はなく、車両の外部に設けられたログ分析装置32のみで構成されている。そして、本実施形態のログ分析装置32は、実施形態1のログ分析装置11及びログ分析装置31の両方の機能を有するものである。
本実施形態のログ分析装置32は、図3で説明した通り、車両に設けられたログ分析装置はなく、車両の外部に設けられたログ分析装置32のみで構成されている。そして、本実施形態のログ分析装置32は、実施形態1のログ分析装置11及びログ分析装置31の両方の機能を有するものである。
図17は、本実施形態におけるログ分析装置32の構成を示すブロック図である。ログ分析装置32は、ログ取得部301、車両状態情報取得部302、車両シチュエーション推定部303、偽陽性判定部304、記憶部305、及び処理部306を備える。ログ分析装置32の構成は、車両シチュエーション推定部303を除き、ログ分析装置31の構成と基本的に同じであるのでログ分析装置31の説明を引用する。また、ログ分析装置32の車両シチュエーション推定部303は、ログ分析装置11の車両シチュエーション推定部103の構成と基本的に同じであるのでログ分析装置11の説明を引用する。
もっとも、本実施形態では、実施形態1の実施例1、実施例2、及び実施例3についても車両の外部に設けられたログ分析装置32で実行されるので、車両状態情報取得部302は、内部状態情報も取得することができる。内部状態情報は、例えば車両の電子制御システムSの外部通信ECUを介して、無線通信方式を用いて取得することができる。
3.総括
以上、本発明の各実施形態におけるログ分析装置等の特徴について説明した。
以上、本発明の各実施形態におけるログ分析装置等の特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、ブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
また、本発明のログ分析装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
またログ分析装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明のログ分析装置は、特にサーバ側で用いられることにより、各種サービスの提供を目的とするために用いられることが想定される。これらのサービスの提供に伴い、本発明のログ分析装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明のログ分析装置は、車両以外に搭載された電子制御システムのセキュリティセンサが生成するセキュリティイベントログの分析に使用してもよい。
11,12,31,32 ログ分析装置、101,301 ログ取得部、102,302 車両状態情報取得部、103,303 車両シチュエーション推定部、104,304 偽陽性判定部、105,305 記憶部、106,306 処理部、40 外部装置
Claims (13)
- 車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログを取得するログ取得部(101,301)と、
前記異常が発生したときの前記車両の内部状態又は/及び外部状態を示す車両状態情報を取得する車両状態情報取得部(102,302)と、
前記車両状態情報に基づき、前記セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定する偽陽性判定部(104,304)と、
偽陽性と判定された前記セキュリティイベントログに対する処理を行う処理部(106,306)と、を備える、
ログ分析装置(11,12,31,32)。 - 前記車両状態情報は、前記内部状態又は前記外部状態が発生した時刻、又は前記内部状態又は前記外部状態が継続した時間を含む、
請求項1記載のログ分析装置。 - さらに、前記車両状態情報のうち前記内部状態を示す内部状態情報から前記車両の走行に関する状態である車両シチュエーションを推定するとともに、前記車両シチュエーションの変化に伴う前記電子制御装置の電源状態の変化を推定する車両シチュエーション推定部(103,303)を備え、
前記偽陽性判定部は、前記電源状態の変化に基づき、前記セキュリティイベントログが示す異常が前記偽陽性であるか否かを判定する、
請求項2記載のログ分析装置。 - 前記車両状態情報のうち前記内部状態を示す内部状態情報は、前記車両の電源状態、前記車両の通信ネットワークの状態、及び前記車両の診断状態、を示す情報の少なくとも一つである、
請求項2記載のログ分析装置。 - 前記車両状態情報のうち前記内部状態を示す内部状態情報は、前記電子制御装置の状態を示す情報である、
請求項2記載のログ分析装置。 - 前記車両状態情報のうち前記内部状態を示す内部状態情報は、前記車両の位置情報であり、
前記車両状態情報のうち前記外部状態を示す外部状態情報は、位置に紐づけられた、サイバー攻撃に起因しない異常で生成されたセキュリティイベントログのログ発生パターンを示す情報である、
請求項2記載のログ分析装置。 - 前記車両状態情報のうち前記内部状態を示す内部状態情報は、前記車両を特定する情報であり、
前記外部状態情報は、さらに、セキュリティイベントログを無効とする条件を示す情報である、
請求項2記載のログ分析装置。 - 前記車両状態情報のうち前記外部状態を示す外部状態情報は、前記車両が外部装置と通信する場合の通信障害を示す情報である、
請求項2記載のログ分析装置。 - 前記車両状態情報のうち前記外部状態を示す外部状態情報は、前記車両が外部装置と通信する場合の前記外部装置の稼働状態を示す情報である、
請求項2記載のログ分析装置。 - 当該ログ分析装置は、前記車両に設けられている、
請求項1~5いずれかに記載のログ分析装置(11,12)。 - 当該ログ分析装置は、前記車両の外部に設けられている、
請求項1~2、6~9いずれかに記載のログ分析装置(31,32)。 - ログ分析装置(11,12,31,32)で実行されるログ分析方法であって、
車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログを取得し(S101)、
前記異常が発生したときの前記車両の内部状態又は/及び外部状態を示す車両状態情報を取得し(S102)、
前記車両状態情報に基づき、前記セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定し(S103)、
偽陽性と判定された前記セキュリティイベントログに対する処理を行う(S104)、
ログ分析方法。 - ログ分析装置(11,12,31,32)で実行可能なログ分析プログラムであって、
車両に搭載された電子制御装置のセキュリティセンサが検出した異常を示すセキュリティイベントログを取得し(S101)、
前記異常が発生したときの前記車両の内部状態又は/及び外部状態を示す車両状態情報を取得し(S102)、
前記車両状態情報に基づき、前記セキュリティイベントログが示す異常がサイバー攻撃に起因しない異常である偽陽性であるか否かを判定し(S103)、
偽陽性と判定された前記セキュリティイベントログに対する処理を行う(S104)、
ログ分析プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022157429A JP2024051324A (ja) | 2022-09-30 | 2022-09-30 | ログ分析装置、ログ分析方法、及びログ分析プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022157429A JP2024051324A (ja) | 2022-09-30 | 2022-09-30 | ログ分析装置、ログ分析方法、及びログ分析プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2024051324A true JP2024051324A (ja) | 2024-04-11 |
Family
ID=90622967
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022157429A Pending JP2024051324A (ja) | 2022-09-30 | 2022-09-30 | ログ分析装置、ログ分析方法、及びログ分析プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2024051324A (ja) |
-
2022
- 2022-09-30 JP JP2022157429A patent/JP2024051324A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7139257B2 (ja) | 車両セキュリティ監視装置、方法及びプログラム | |
US10798114B2 (en) | System and method for consistency based anomaly detection in an in-vehicle communication network | |
US11252180B2 (en) | System and method for content based anomaly detection in an in-vehicle communication network | |
US8924071B2 (en) | Online vehicle maintenance | |
US10178094B2 (en) | Communication system and information collection method executed in communication system | |
JP2014113860A (ja) | 中継装置、車載システム | |
JP6555559B1 (ja) | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 | |
US11667264B2 (en) | Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program | |
US11474889B2 (en) | Log transmission controller | |
JP2024051324A (ja) | ログ分析装置、ログ分析方法、及びログ分析プログラム | |
US20230007033A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
US20230007034A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
US20220019662A1 (en) | Log management device and center device | |
JP2021078033A (ja) | 情報処理装置、情報処理方法、およびプログラム | |
JP7375619B2 (ja) | 異常検知装置 | |
US20240208441A1 (en) | Electronic control unit, electronic control system, log processing method, and non-transitory computer-readable storage medium storing log processing program | |
US20240111859A1 (en) | Log determination device, log determination method, log determination program, and log determination system | |
JP6979630B2 (ja) | 監視装置、監視方法及びプログラム | |
JP2021117568A (ja) | サイバー攻撃分析支援装置 | |
WO2023149194A1 (ja) | 監視装置、車両監視システムおよび車両監視方法 | |
US20240089281A1 (en) | Attack analysis device, attack analysis method, and storage medium | |
JP2024051328A (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
JP2024051325A (ja) | 車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム | |
WO2022091754A1 (ja) | 情報処理装置、情報処理装置の制御方法及びプログラム | |
JP2024016763A (ja) | 攻撃推定検証装置、攻撃推定検証方法、及び攻撃推定検証プログラム |