JP2024052533A - Attack analysis device, attack analysis method, and attack analysis program - Google Patents
Attack analysis device, attack analysis method, and attack analysis program Download PDFInfo
- Publication number
- JP2024052533A JP2024052533A JP2023124717A JP2023124717A JP2024052533A JP 2024052533 A JP2024052533 A JP 2024052533A JP 2023124717 A JP2023124717 A JP 2023124717A JP 2023124717 A JP2023124717 A JP 2023124717A JP 2024052533 A JP2024052533 A JP 2024052533A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- log
- attack
- electronic control
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 174
- 238000004891 communication Methods 0.000 claims abstract description 520
- 238000000034 method Methods 0.000 claims abstract description 109
- 230000005856 abnormality Effects 0.000 claims description 44
- 230000001010 compromised effect Effects 0.000 claims description 32
- 238000007689 inspection Methods 0.000 claims description 16
- 230000001360 synchronised effect Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 description 100
- 230000006870 function Effects 0.000 description 75
- 238000001514 detection method Methods 0.000 description 61
- 230000001404 mediated effect Effects 0.000 description 32
- 238000012544 monitoring process Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 26
- 230000000694 effects Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 10
- 239000000543 intermediate Substances 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 230000007123 defense Effects 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000005211 surface analysis Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 208000018208 Hyperimmunoglobulinemia D with periodic fever Diseases 0.000 description 1
- 206010072219 Mevalonic aciduria Diseases 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- DTXLBRAVKYTGFE-UHFFFAOYSA-J tetrasodium;2-(1,2-dicarboxylatoethylamino)-3-hydroxybutanedioate Chemical compound [Na+].[Na+].[Na+].[Na+].[O-]C(=O)C(O)C(C([O-])=O)NC(C([O-])=O)CC([O-])=O DTXLBRAVKYTGFE-UHFFFAOYSA-J 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本開示は、攻撃分析装置、攻撃分析方法、及び攻撃分析プログラムに関する。 This disclosure relates to an attack analysis device, an attack analysis method, and an attack analysis program.
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。 In recent years, technologies for driving assistance and autonomous driving control, including V2X (vehicle-to-vehicle communication and vehicle-to-infrastructure communication), have been attracting attention. As a result, vehicles are being equipped with communication functions, and so-called connected vehicles are becoming more common. As a result, the possibility of vehicles being subject to cyber attacks, such as unauthorized access, is increasing. For this reason, it is necessary to analyze cyber attacks against vehicles and develop countermeasures.
特許文献1には、検知した異常データを収集するとともに、異常が検出された項目の組み合わせと、攻撃毎に予め設定された異常検出パターンとを照合して、異常に対応する攻撃の種類を特定するセキュリティ装置が開示されている。
本願発明者らは、車両内に構築された電子制御システムで検出された異常を示す実測異常情報と、車両が攻撃を受けた場合に電子制御システムで発生することが予測される異常を示す予測異常情報と、に基づいて、車両に対するサイバー攻撃を分析する技術を、鋭意研究している。この種の技術において、車両に対するサイバー攻撃を、高い精度で分析できることが望ましい。 The inventors of the present application are actively researching technology for analyzing cyber attacks against vehicles based on actual anomaly information indicating anomalies detected in an electronic control system built into a vehicle, and predicted anomaly information indicating anomalies predicted to occur in the electronic control system if the vehicle is attacked. It is desirable for this type of technology to be able to analyze cyber attacks against vehicles with high accuracy.
本開示の一局面は、車両に対するサイバー攻撃を高い精度で分析することができる技術を提供する。 One aspect of the present disclosure provides technology that can analyze cyber attacks against vehicles with high accuracy.
本開示の一態様は、車両(10)内に構築された電子制御システム(2)に対する攻撃であって、ネットワークを介した攻撃を分析するように構成された攻撃分析装置であって、判定部(472,S102)、を備える。判定部は、対応情報が、予め設定された攻撃の類型に合致するか否かを判定するように構成され、対象要素が侵害されているか否かを判定するように構成される。対応情報は、電子制御システムのログであるシステムログと、電子制御システムと車両外との通信のログである通信ログと、を対応付けた情報である。また、対象要素は、電子制御システムの構成要素及び電子制御システムのうちの少なくとも一方を表す。 One aspect of the present disclosure is an attack analysis device configured to analyze attacks via a network against an electronic control system (2) built in a vehicle (10), and includes a determination unit (472, S102). The determination unit is configured to determine whether the correspondence information matches a preset attack type, and to determine whether a target element has been violated. The correspondence information is information that associates a system log, which is a log of the electronic control system, with a communication log, which is a log of communication between the electronic control system and the outside of the vehicle. In addition, the target element represents at least one of a component of the electronic control system and the electronic control system.
このような構成によれば、システムログと通信ログとを対応付けた対応情報が、攻撃の類型に合致するか否かによって侵害されているか否かを判定するので、車両に対する攻撃であって、ネットワークを介した攻撃を高い精度で分析することができる。 With this configuration, whether or not a breach has occurred is determined based on whether or not the correspondence information that associates system logs with communication logs matches the type of attack, making it possible to analyze attacks against vehicles via a network with high accuracy.
以下、本開示の例示的な実施形態について図面を参照しながら説明する。
[1.第1実施形態]
[1-1.構成]
図1に示す攻撃分析システム1は、車両10内に構築された電子制御システム2に対する攻撃であって、ネットワークを介した攻撃を分析するシステムである。ネットワークを介した攻撃とは、いわゆるサイバー攻撃を意味している。
Hereinafter, exemplary embodiments of the present disclosure will be described with reference to the drawings.
[1. First embodiment]
[1-1. Configuration]
1 is a system for analyzing attacks via a network against an
攻撃分析システム1は、電子制御システム2と、車両外装置4と、を備える。
電子制御システム2は、複数の電子制御装置(以下、ECU)を備える。図1に示す例では、電子制御システム2は、ECU2a~2fを備える。ECU2a~2fは、CAN(登録商標)やEthernet(登録商標)を用いた車載ネットワークを介して接続されている。なお、CANは、Controller Area Networkの略称である。
The
The
ECU2a~2fは、それぞれ、監視部3a~3fを備える。監視部3a~3fは、ECUが備えるCPUが実行するプログラムやECUが接続されたネットワークを監視するセキュリティセンサである。ECU2a~2fは、プログラムに基づく処理を実行する際にシステムログを生成する。システムログは、電子制御システム2のログ、より詳細には電子制御システム2が生成する電子制御システム2に関するログである。システムログには、セキュリティログ、第2実施形態以下で詳述する通信仲介履歴、第4実施形態以下で詳述するアプリケーションログ等が含まれ、後述する通信ログは含まれない。なお、システムログは、車両10を離れて利用される際に、車両ログとも呼ばれる。
監視部3a~3fは、プログラムやネットワークで異常を検出すると、セキュリティログを生成する。セキュリティログには、電子制御システム2で検出された異常を示す情報が記録されており、例えば、異常を検知した時刻、異常が発生した位置を示す異常位置、異常を検知したセキュリティセンサの識別情報等が記録されている。
The
When the
図2に示すように、電子制御システム2では、攻撃に対するセキュリティ性を高めるために多層防御が採用されている。多層防御では、攻撃に対するセキュリティ機能を異ならせ、階層的・多層的に設けることで、攻撃を受けた場合に例えば一層目が突破されても、二層目が攻撃を防御ことができる可能性がある。この構成により、電子制御システム2の防御力を高めることができる。本実施形態では、電子制御システム2は、三層の防御層を有する。なお、図2では、電子制御システム2は、DLC2gを搭載している。DLCは、Data Link Connectorの略称である。ECU2e、ECU2f及びDLC2gが第一層に属し、ECU2dが第二層に属し、ECU2a及びECU2bが第三層に属している。なお、ECU2cについては、図2では記載を省略している。また、防御層は三層に限定されず、例えば四層以上の防御層を有していてもよい。
As shown in FIG. 2, the
図1に戻り、ECU2dは、監視部3dに加え、分析部3gや他のECUにデータを送信する送信部3hを備えていてもよい。分析部3gは、電子制御システム2におけるセキュリティログを管理し、車両10から車両外装置4にセキュリティログを出力する前に、一定の異常な挙動を検知してもよい。また、ECU2eは、通信部3iを備え、通信部3iは、後述する通信データ監視部41に各ECUのセキュリティログを送信する。また、ECU2fは、アプリ3jを備え、任意のアプリ機能を実行する。
Returning to FIG. 1, in addition to the
車両外装置4は、車両10の外部に設置された計算機(すなわちコンピュータ)装置であり、CPU、ROM、RAM、フラッシュメモリ等を有する周知のコンピュータを中心に構成される。CPUは、非遷移的実体的記録媒体であるROMに格納されたプログラムを実行する。当該プログラムが実行されることで、当該プログラムに対応する方法が実行される。なお、車両外装置4は、1つのコンピュータを備えてもよいし、複数のコンピュータを備えてもよい。
The off-
車両外装置4に含まれる各部の機能を実現する手法はソフトウェアに限るものではなく、その一部又は全部の機能は、一つあるいは複数のハードウェアを用いて実現されてもよい。例えば、上記機能がハードウェアである電子回路によって実現される場合、その電子回路は、デジタル回路、又はアナログ回路、あるいはこれらの組合せによって実現されてもよい。
The method of realizing the functions of each part included in the
車両外装置4は、通信データ監視部41と、車両ログ受信部42と、車両ログDB43と、検知条件DB44と、検査部45と、通信検知ログDB46と、分析部47と、を備える。
The
通信データ監視部41は、例えば、ネットワーク内外のアクセスを代理するプロキシ、又は通過する全てのパケットを収集可能なフルパケットキャプチャ装置として構成される。通信データ監視部41は、各車両10と、その車両10の外部の外部サイト5と、の間の通信を中継、監視することで、その車両10の通信ログを生成する。通信データ監視部41がプロキシであり車両10もプロキシ機能を備える場合、例えば、車両10のプロキシ機能にて通信データ監視部41を次の宛先に指定することで車両10と外部サイト5との通信が通信データ監視部41を通るように構成できる。また、通信データ監視部41がフルパケットキャプチャ装置である場合、例えば、車両10に備わるファイアウォールの転送ポリシー設定により、車両10と外部サイト5との通信が通信データ監視部41を通るように構成できる。なお、通信ログは、車両外装置4が生成するログであって、電子制御システム2と車両10外の外部サイト5との間の通信に関するログである。通信ログには、例えば図10Aに示すように、通信時刻、通信元(IPアドレスを含む)、通信先(IPアドレス及びURLを含む)、通信内容などが記録されている。
The communication
通信データ監視部41は、通信ログとは別に、例えば図10Bに示すような監視管理情報を取り扱う。監視管理情報は、例えば車両ログDB43に格納される。監視管理情報には、例えば、車両ID、通信の開始時刻、終了時刻、通信元のIPアドレス、通信元の機器等の情報が含まれる。
監視管理情報は、例えば、ECU2eの起動時や通信部3iが使用するIPアドレスの変更時等に、車両10から車両外装置4へ能動的に情報の通知を行うことで取得される。通信データ監視部41がプロキシである場合、監視管理情報は通信開始時の認証情報や車両構成管理情報により取得及び生成することもできる。
The communication
The monitoring and management information is acquired by actively notifying the
車両ログ受信部42は、各車両10からセキュリティログを受信し、車両ログDB43に登録する。
車両ログDB43は、各車両10から収集したセキュリティログを保持するデータベースである。図3に示すように、車両ログDB43には、車両ID、検知時刻、検知場所、センサIDが紐付けられたデータが格納されている。
The vehicle
The
検知条件DB44は、検査部45の構造解析部451にて使用される情報を保持するデータベースである。例えば、検知条件DB44には、脅威情報、シグネチャ、振る舞いパターン等が記憶されている。脅威情報とは、既知の悪性な通信先やファイルハッシュ値である。シグネチャとは、悪性の通信データ、ファイルデータ、プログラム機能を示すパターン情報である。振る舞いパターンとは、悪性挙動痕跡・マルウェアなど悪性のファイルの振る舞いのパターンを示す情報である。
The
検査部45は、通信ログを解析し、悪性の通信先、及び悪性の通信内容を特定する。検査部45が解析に利用する通信ログは、例えば、図10Cに示すように、図10Aに示す通信ログと、図10Bに示す監視管理情報とから、必要な情報を抽出した情報である。この情報には、例えば、車両ID、通信時刻、通信元の機器、通信先(IPアドレス及びURLを含む)、通信データの内容(種別)が含まれうる。
The
図4に示すように、検査部45は、構造解析部451と、通信先解析部452と、通信内容解析部453と、を備える。
構造解析部451は、構造解析部451や通信先解析部452にて解析すべき情報を通信ログから抽出する。具体的には、構造解析部451は、URLの構造を解析し、IPアドレスやドメイン名を抽出したり、通信内容の構造を解析し、通信先解析部452にて解析すべきデータやファイルを抽出したりする。
As shown in FIG. 4, the
The
通信先解析部452では、悪性の通信先を特定する。具体的には、通信先解析部452は、通信ログに記録された通信先や構造解析部451にて抽出された通信先が、検知条件DB44に登録されている悪性の通信先と一致するか否かを判定する。悪性の通信先として、例えば、IPアドレス、ドメイン、URLなどが登録されている。また、通信ログの通信先が、通信内容解析部453で悪性と判定されたファイルの通信先と一致するか否かも判定する。
The communication
通信内容解析部453は、悪性の通信内容を特定する。具体的には、通信内容解析部453は、構造解析部451にて抽出されたデータやファイルに対して、表層解析、静的解析、動的解析を行い、解析結果が、検知条件DB44に登録されている内容と一致するか否かを判定する。
The communication
表層解析では、ファイル自体が悪性であるかの情報やファイルのメタ情報を収集する。
静的解析では、マルウェアのプログラムコードに具備されている機能や特徴的なバイト列の情報を収集する。動的解析では動作しない潜在的な機能も対象となる。
Surface analysis involves collecting information about whether the file itself is malicious and meta-information about the file.
Static analysis collects information on the functions and characteristic byte sequences in the malware's program code, while dynamic analysis also targets potential functions that do not operate.
動的解析では、プログラムコードが実際に動作した場合にどのような痕跡が残るのか、どのような通信が発生するのかの情報を収集する。プログラムコードを実際に動作させて振る舞いを解析する。 Dynamic analysis involves collecting information on what traces are left behind and what communication occurs when program code is actually run. The program code is actually run and its behavior is analyzed.
通信検知ログDB46は、通信先解析部452又は通信内容解析部453にて解析された通信ログを保持するデータベースである。以下、通信先解析部452又は通信内容解析部453にて検知条件に合致すると判定された通信ログを、通信検知ログとも呼ぶ。通信検知ログDB46には、通信解析結果テーブルと、マルウェア解析結果テーブルと、が格納されている。通信解析結果テーブルには、図5Aに示すように、車両ID、通信時刻、通信元、通信先、検知理由、通信内容、マルウェアIDが紐付けられたデータが格納されている。マルウェア解析結果テーブルには、図5Bに示すように、マルウェアID、コンテキストタイプ、コンテキストが紐付けられたデータが格納されている。
The communication detection log DB46 is a database that holds communication logs analyzed by the communication
図6に示すように、分析部47は、ログ関連付け部471と、侵害判定部472と、攻撃・異常関係テーブル保存部473、推定部474と、出力部475と、を備える。
ログ関連付け部471は、車両ログDB43に格納されたログと、通信検知ログDB46に格納されたログと、の対応付けを行う。本実施形態では、ログ関連付け部471は、以下の処理により各ログの対応付けを行い、対応付けたログである対応情報を侵害判定部472に出力する。
As shown in FIG. 6 , the
The
まずログ関連付け部471は、通信検知ログDB46から、通信時刻が所定の時間枠T1の範囲内であるログを抽出する。また、ログ関連付け部471は、車両ログDB43から、検知時刻が所定の時間枠T1の範囲内であるログを抽出する。なお、時間枠T1とは、所定の時間毎に区切った、複数の時間の範囲のうちの1つの範囲である。
First, the
次にログ関連付け部471は、以下の観点により各ログを関連付ける。
(観点a)通信検知ログDB46の車両IDと、車両ログDB43の車両IDと、が一致していること。
Next, the
(Viewpoint a) The vehicle ID in the communication
(観点b)通信検知ログDB46の通信元・通信先と、車両ログDB43の検知場所と、が一致していること。
(観点c)通信検知ログDB46の通信時刻と、車両ログDB43の検知時刻と、が所定の時間枠T2以内であること。なお、時間枠T2とは、時間枠T1とは異なる時間の範囲であって、例えば数秒単位の時間の範囲であり、時間枠T1よりも小さい値である。
以上のように、通信検知ログとセキュリティログが同期するように対応付けられる。
(Point b) The communication source and destination in the communication
(Viewpoint c) The communication time in the communication
As described above, the communication detection log and the security log are associated so as to be synchronized.
侵害判定部472は、対応情報が、予め設定された、攻撃の類型に合致するか否かを判定する。侵害判定部472は、対応情報毎に判定を行う。具体的には、侵害判定部472は、複数の攻撃の類型のうちのいずれかに合致するかによって、電子制御システム2における、異常が生じた位置を特定する。そして、該異常が生じた位置が攻撃により侵害された位置であるか、又は、攻撃により侵害された可能性が高い位置であるかを分類可能である。つまり、侵害判定部472は、対応情報を分析し、通信元のECUが侵害されている確度である侵害確度を判定する。侵害確度には、侵害された可能性が高いと判定する場合と、侵害されたと判定する場合と、の2つの確度が含まれる。
The
なお、複数の攻撃の類型には、通信先に関する攻撃の類型及び通信内容に関する攻撃の類型の少なくとも一方が含まれうる。通信先に関する攻撃の類型には、IPアドレス、ドメイン名、URLなどの通信先自体を示す情報や、C&Cサーバのような通信先の種別を示す情報が含まれうる。通信内容に関する攻撃の類型には、例えば、図5Bに示すような、送信データや受信データなどの通信内容自体を示す情報や、マルウェアのダウンロードといった通信内容の種別を示す情報が含まれうる。また、通信以外のマルウェアの機能も含まれうる。通信以外のマルウェアの機能としては、例えば、セキュリティセンサの機能を無効化させるような、車両にとって有害なマルウェアの作動内容に関する情報が含まれうる。なお、セキュリティセンサには、セキュリティソフトウェアを含んでもよい。 The multiple attack types may include at least one of an attack type related to the communication destination and an attack type related to the communication content. The attack type related to the communication destination may include information indicating the communication destination itself, such as an IP address, a domain name, or a URL, and information indicating the type of the communication destination, such as a C&C server. The attack type related to the communication content may include, for example, information indicating the communication content itself, such as transmitted data or received data, as shown in FIG. 5B, and information indicating the type of communication content, such as downloading malware. In addition, malware functions other than communication may also be included. Examples of malware functions other than communication may include information regarding the operation of malware harmful to the vehicle, such as disabling the function of a security sensor. The security sensor may include security software.
本実施形態では、侵害判定部472は、以下の場合に、通信元のECUが侵害されたと判定する。
(イ)ユーザインタラクションに応じた処理を行わないECUからマルウェアをダウンロードする通信が発生している場合。
In this embodiment, the
(i) When communication is occurring that downloads malware from an ECU that does not perform processing in response to user interaction.
(ロ)ECUが送信した送信データが悪性と判定された場合。
(ハ)動的解析時に確認された挙動がECUにおいて発生していることが、対応情報から確認された場合。例えば、C&Cサーバへコールバック通信をするなど、マルウェア感染後の通信が記録されている場合や、不審なIDを指定したCANメッセージが記録されている場合が該当する。
(b) When the data transmitted by the ECU is determined to be malicious.
(C) When it is confirmed from the corresponding information that the behavior confirmed during dynamic analysis is occurring in the ECU, for example, when communication after malware infection, such as callback communication to a C&C server, is recorded, or when a CAN message specifying a suspicious ID is recorded, this corresponds to the case.
また、侵害判定部472は、以下の場合に、通信元のECUが侵害された可能性が高いと判定する。
(ニ)ECUが受信した受信データが悪性と判定された場合。
In addition, the
(ii) When the data received by the ECU is determined to be malicious.
(ホ)ECUが悪性と判定された通信先と通信をした場合。
なお、通信元のECUが、侵害された場合及び侵害された可能性が高い場合の両方に該当する場合には、侵害されたと判定される。図5A及び図5Bをみると、例えば、通信解析結果テーブルの1行目で、ECU-1が悪性サイトへアクセスしているとの記録があるため、ECU-1は侵害されている可能性が高い場合に該当する。また、通信解析結果テーブルの2行目及び3行目によると、ECU-1は、マルウェア解析結果テーブルの1行目に記録されている、マルウェアAの解析結果で得られた通信先Cと通信している。よって、ECU-1は、侵害された場合にも該当する。この場合、侵害された場合が優先され、ECU-1は、侵害されたと判定される。
(e) When the ECU communicates with a destination determined to be malicious.
It should be noted that if the ECU from which communication originates corresponds to both a case where it has been compromised and a case where it is highly likely to have been compromised, it is determined that it has been compromised. Looking at Figures 5A and 5B, for example, since the first row of the communication analysis result table records that ECU-1 has accessed a malicious site, ECU-1 corresponds to a case where it is highly likely to have been compromised. Also, according to the second and third rows of the communication analysis result table, ECU-1 is communicating with communication destination C obtained in the analysis results of malware A, which is recorded in the first row of the malware analysis result table. Therefore, ECU-1 also corresponds to a case where it has been compromised. In this case, the case where it has been compromised takes precedence, and ECU-1 is determined to have been compromised.
攻撃・異常関係テーブル保存部473は、攻撃の種別毎に、攻撃を受けた場合に電子制御システム2で発生することが予測される異常の組み合わせを示す予測異常情報を保持する。図7及び図8に示す予測異常情報では、攻撃の種別毎に、電子制御システム2が該当の攻撃を受けた場合に生じる異常と、異常が発生する位置と、が示されている。図7及び図8に示すように、攻撃を受けた場合、複数の位置において異常が発生することが想定される。予測異常情報では、さらに、攻撃の種別と、攻撃を受けた場合に想定される攻撃の起点及び攻撃の対象と、の対応関係も示している。なお、図7及び図8において、上図が攻撃・異常関係テーブル保存部473に保持されている予測異常情報であり、下図が推定部474により変更されたあとの予測異常情報である。
The attack/anomaly relationship
例えば、攻撃の種別が攻撃Aである攻撃を受けた場合、電子制御システム2では、第一層に位置するECU-1において、異常A及び異常Cが発生することが予測される。また、攻撃Aの攻撃の起点は、0x00が示す位置であり、攻撃の対象は0x01が示す位置である。なお、攻撃の起点と攻撃の対象とにおいて、0x00は車両外を示し、0x01~0x05はそれぞれECU-1~ECU-5を示している。
For example, if an attack of type Attack A occurs, the
推定部474は、実測異常情報と、予測異常情報と、の類似度を判定することにより、攻撃の種別を推定する。実測異常情報とは、セキュリティログに基づき生成された、実際に検出された異常の組み合わせを示すデータである。具体的には、実測異常情報は、図7及び図8の予測異常情報の異常の内容と同様の項目を有し、該当位置に実際に異常が検出されたことを示すセキュリティログがあれば1、なければ0として表したデータ列である。攻撃の種別を推定するとは、攻撃経路を推定するとも観念できる。予測異常情報のテーブルの各行に示される「攻撃を受けた場合に発生することが予測される異常の位置」が攻撃経路を構成すると観念できるためである。
The
ここで推定部474は、実測異常情報と、予測異常情報と、の類似度を判定する前に、対応情報を用いることにより、予測異常情報を変更する。
本実施形態では、推定部474は、以下の処理を行うことにより、予測異常情報を変更する。
Here, the
In this embodiment, the
(い)侵害された可能性が高いと判定されたECUに対応するテーブルエントリの係数を所定の数だけ増やす。例えば、図7のように、ECU-3が侵害された可能性が高いと判定された場合、ECU-3に発生することが予測される異常A及び異常Bの係数をプラス1し、1から2に変更する。 (i) The coefficient of the table entry corresponding to the ECU determined to have a high probability of being hacked is increased by a predetermined number. For example, as shown in FIG. 7, if it is determined that ECU-3 has a high probability of being hacked, the coefficients of abnormalities A and B predicted to occur in ECU-3 are increased by 1, changing them from 1 to 2.
(ろ)侵害されたと判定されたECUに対応するテーブルエントリの係数を所定の数だけ増やす。又は、侵害されたと判定されたECUと同じ層に位置するECUに対応するテーブルエントリの係数を所定の数に減らす。例えば、図7のように、ECU-1が侵害されたと判定された場合、ECU-1と同じ層に位置するECU-2に発生することが予測されていた異常A及び異常Cの係数をゼロにする。これは、第一層において、ECU-2ではなくECU-1が攻撃の侵入口であると特定されたことを意味する。 (b) The coefficient of the table entry corresponding to the ECU determined to have been compromised is increased by a predetermined number. Alternatively, the coefficient of the table entry corresponding to the ECU located in the same layer as the ECU determined to have been compromised is decreased by a predetermined number. For example, as shown in Figure 7, if ECU-1 is determined to have been compromised, the coefficients of abnormalities A and C that were predicted to occur in ECU-2 located in the same layer as ECU-1 are set to zero. This means that in the first layer, ECU-1, not ECU-2, has been identified as the entry point for the attack.
また、例えば、図8の予測異常情報を用いると、ECU-1が侵害されたと判定された場合、ECU-1と同じ層に位置するECU-2に発生することが予測されていたHIDS異常及び認証異常の係数をゼロにする。 For example, when the predicted anomaly information in Figure 8 is used, if it is determined that ECU-1 has been compromised, the coefficients of HIDS anomalies and authentication anomalies predicted to occur in ECU-2, which is located in the same layer as ECU-1, are set to zero.
(は)侵害されたと判定されたECU又はECUが接するネットワークにおいて、感染したマルウェアと一致する挙動がセキュリティログに記録されている場合、対応するテーブルエントリのうち、当該セキュリティログを記録したセキュリティセンサのテーブルエントリの係数を増やす。例えば、図5A及び図5Bの通信検知ログを含む対応情報に基づき、図8の予測異常情報を変更する場合を説明する。図5Bのマルウェア解析結果テーブルによると、マルウェアAは、CAN-IDSにより検知される可能性があるCANメッセージを送信する機能を具備している。よって、図8の予測異常情報において、侵害されたと判定されたECU-1と隣接するCANバスの異常を検知するECU-3のCAN-IDS異常の係数のうち、ECU-1に係る異常の係数がゼロよりも大きくなっている行において、ECU-3のCAN-IDS異常の係数をプラス1し、1から2に変更する。 (a) When behavior consistent with infected malware is recorded in the security log of an ECU determined to be compromised or a network connected to the ECU, among the corresponding table entries, the coefficient of the table entry of the security sensor that recorded the security log is increased. For example, a case will be described in which the predicted anomaly information of FIG. 8 is changed based on the correspondence information including the communication detection log of FIG. 5A and FIG. 5B. According to the malware analysis result table of FIG. 5B, malware A has a function of transmitting a CAN message that may be detected by CAN-IDS. Therefore, in the predicted anomaly information of FIG. 8, among the coefficients of the CAN-IDS anomaly of ECU-3 that detects an abnormality of the CAN bus adjacent to ECU-1 determined to be compromised, in the row where the coefficient of the anomaly related to ECU-1 is greater than zero, the coefficient of the CAN-IDS anomaly of ECU-3 is increased by 1, changing it from 1 to 2.
推定部474は、上記の処理を行い、係数を変更した予測異常情報を用いて、攻撃の種別を推定する。本実施形態では、実測異常情報と、予測異常情報と、を比較し、組み合わせがもっとも近いテーブルの行を特定する。具体的には、実測異常情報のデータ列をベクトルで表現したものと、予測異常情報のデータ列をベクトルで表現したものと、の内積を算出し、予測異常情報のベクトルにおいて0よりも大きい値になっている要素の数で内積を割った結果が、最も高い値となった予測異常情報のテーブルの行を抽出する。
The
推定部474はさらに、攻撃の種別を推定することに加えて、攻撃の起点及び攻撃の対象を推定してもよい。予測異常情報は、攻撃の種別と、攻撃の起点及び攻撃の対象と、を対応付けて保存しているため、推定部474は、予測異常情報を用いて攻撃の起点及び攻撃の対象を推定することが可能である。なお、ここで、侵害判定部472により侵害されたと判定されたECUについては、推定部474の結果によらず、被害を受けた位置としてみなしてもよい。図8の例をみると、例えば、実測異常情報が、攻撃Dの行と最も類似度が高かった場合、ECU-1からECU-3に向けて攻撃Dが行われたと推定することができる。このように、攻撃の起点及び攻撃の対象を推定すれば、攻撃の経路も推定することができる。
In addition to estimating the type of attack, the
出力部475は、推定部474より推定された攻撃の種別を、攻撃に対して対策を講じる攻撃対策装置(図示せず)に出力する。
[1-2.処理]
車両外装置4の分析部47が実施する攻撃分析処理について、図9を参照して説明する。
The
[1-2. Processing]
The attack analysis process performed by the
まず、S101で、ログ関連付け部471は、車両ログDB43からセキュリティログと、通信検知ログDB46から通信検知ログと、を取得する。そして、ログ関連付け部471は、セキュリティログと、通信検知ログと、を対応付け、対応付けたログである対応情報を侵害判定部472に出力する。
First, in S101, the
続いて、S102で、侵害判定部472は、対応情報を分析し、通信元のECUの侵害確度を判定する。侵害判定部472は、侵害確度を含む判定結果を推定部474に出力する。
Next, in S102, the
続いて、S103で、推定部474は、攻撃・異常関係テーブル保存部473に保持されている予測異常情報を取得し、対応情報についての判定結果を用いて予測異常情報を更新する。
Next, in S103, the
続いて、S104で、推定部474は、セキュリティログに基づき実際に検出された異常の組み合わせを示す実測異常情報と、S103で更新された予測異常情報と、の類似度を判定することにより、攻撃の種別を推定する。推定部474は、推定した攻撃の種別を出力部475に出力する。
Next, in S104, the
続いて、S105で、出力部475は、攻撃の種別を攻撃対策装置に出力する。
[1-3.効果]
以上詳述した第1実施形態によれば、以下の効果が得られる。
(1a)車両外装置4は、車両10内に構築された電子制御システム2に対する攻撃であって、ネットワークを介した攻撃を分析するように構成される。車両外装置4は、分析部47を備える。分析部47は、システムログと通信ログとを対応付けた対応情報が、予め設定された攻撃の類型に合致するか否かを判定するように構成され、対象要素が侵害されているか否かを判定するように構成される。
このような構成によれば、対応情報が、攻撃の類型に合致するか否かによって侵害されているか否かを判定するので、車両10に対する攻撃であって、ネットワークを介した攻撃を高い精度で分析することができる。
Next, in S105, the
[1-3. Effects]
According to the first embodiment described above in detail, the following effects can be obtained.
(1a) The off-
According to this configuration, whether or not the corresponding information has been infringed is determined based on whether or not it matches the type of attack, so that attacks against the
(1b)上記実施形態では、対応情報が、予め設定された、攻撃の類型に合致するか否かを判定する構成を例示した。対応情報は、セキュリティログと、通信検知ログとが対応付けられた情報である。このような構成によれば、セキュリティログに加えて、実際に異常を発生させた原因である攻撃コードやマルウェアの特徴を含む通信検知ログも加味して攻撃の類型に合致するか否かを判定できる。よって、セキュリティログのみを用いて攻撃の類型に合致するか否かを判定する構成と比較して、車両に対するサイバー攻撃を高い精度で分析することができる。 (1b) In the above embodiment, a configuration is exemplified in which it is determined whether the corresponding information matches a preset attack type. The corresponding information is information in which a security log and a communication detection log are associated with each other. With such a configuration, in addition to the security log, it is possible to determine whether the attack type matches by taking into account the communication detection log, which includes the attack code and malware characteristics that actually caused the abnormality. Therefore, it is possible to analyze cyber attacks against vehicles with high accuracy compared to a configuration in which it is determined whether the attack type matches using only the security log.
(1c)上記実施形態では、推定部474が、侵害判定部472により判定された対応情報についての判定結果を用いて予測異常情報を更新し、更新された予測異常情報と、実測異常情報と、の類似度を判定することにより、攻撃の種別を推定する構成を例示した。このような構成によれば、予測異常情報を更新せずにそのまま用いる場合と比較して、実際の攻撃の傾向を加味することができる。よって、車両に対するサイバー攻撃を高い精度で分析することができる。
(1c) In the above embodiment, a configuration is exemplified in which the
(1d)上記実施形態では、検査部45が、通信ログを解析し、悪性の通信先、及び悪性の通信内容を特定する構成を例示した。このような構成によれば、実際に異常を発生させた原因である通信先や通信内容を加味してサイバー攻撃を分析することができる。
(1d) In the above embodiment, a configuration was exemplified in which the
(1e)上記実施形態では、侵害判定部472が、複数の攻撃の類型のうちのいずれかに合致するかによって、通信元のECUの侵害確度を分類可能である構成を例示した。このような構成によれば、侵害確度に応じて、例えば、予測異常情報を変更する処理を異ならせることができる。具体的には、侵害されたと判定されたECUについてのテーブルエントリの係数の増加率と、侵害された可能性が高いと判定されたECUについてのテーブルエントリの係数の増加率と、を異ならせることにより、より信頼性の高い予測異常情報を生成することができる。
(1e) In the above embodiment, a configuration is exemplified in which the
(1f)上記実施形態では、セキュリティログに含まれる異常が発生した時刻と、通信検知ログに含まれる通信の時刻と、に基づき、通信検知ログとセキュリティログとが同期するように対応付けられる構成を例示した。このような構成によれば、比較的時刻の近いログ同士を対応付けることができるため、無関係の通信検知ログとセキュリティログとが対応付けられてしまう可能性を低減できる。 (1f) In the above embodiment, a configuration is exemplified in which a communication detection log and a security log are associated so as to be synchronized based on the time at which an abnormality occurred, which is included in the security log, and the time of communication, which is included in the communication detection log. With such a configuration, logs that are relatively close in time can be associated with each other, thereby reducing the possibility that unrelated communication detection logs and security logs are associated with each other.
(1g)上記実施形態では、予測異常情報は、攻撃の種別毎に、攻撃を受けた場合に電子制御システム2において異常が発生することが予測される位置を係数で表現した情報であり、係数が変更されることにより、予測される異常の組み合わせを変更可能である構成を例示した。このような構成によれば、係数により、予測される異常の組み合わせの確からしさを表現することができる。また、係数をベクトル化して類似度を算出することにより、容易に類似度を見える化することもできる。
(1g) In the above embodiment, the predicted anomaly information is information that, for each type of attack, uses coefficients to represent the location where an anomaly is predicted to occur in the
(1h)上記実施形態では、電子制御システム2は三層構造を有しており、推定部474が、異常が発生することが予測されるECUと同じ階層に位置する他のECUについては、侵害されていないと推定する構成を例示した。このような構成によれば、異常が発生することが予測されるECUについて攻撃の侵入口であることがより明確になり、より信頼性の高い予測異常情報を生成することができる。
(1h) In the above embodiment, the
(1i)上記実施形態では、車両外装置4が攻撃分析装置として車両10の外部に設置される構成を例示した。このような構成によれば、無線通信ネットワークを介してセキュリティログを攻撃分析装置が受信するため、攻撃分析装置が車両10内に搭載される場合と比較して、車両10側の処理負荷を軽減することができる。
(1i) In the above embodiment, a configuration has been exemplified in which the
[2.第2実施形態]
[2-1.第1実施形態との相違点]
第2実施形態以下の実施形態は、基本的な構成は第1実施形態と同様であるため、相違点について以下に説明する。なお、第1実施形態と同じ符号は、同一の構成を示すものであって、先行する説明を参照する。
[2. Second embodiment]
[2-1. Differences from the first embodiment]
The second and subsequent embodiments have the same basic configuration as the first embodiment, and therefore differences will be described below. Note that the same reference numerals as those in the first embodiment indicate the same configuration, and the preceding description will be referred to.
第2実施形態では、通信仲介部3m,3n、及び機能情報DB48を更に備える点で、第1実施形態と相違する。通信仲介部3m,3nは、車両内の通信を仲介するように構成される。また、第2実施形態では、攻撃・異常関係テーブル保存部473、及び推定部474が不要である点で、第1実施形態と相違する。なお、第2実施形態では、推定部474が実行する処理も不要とされる。また、第2実施形態では、車両外装置4の車両ログ受信部42は、各車両10から通信仲介履歴を受信し、車両ログDB43に登録する。
The second embodiment differs from the first embodiment in that it further includes
[2-2.構成]
第2実施形態は、図11に示すように、第二層に属するECU2dが通信仲介部3mを備え、第一層に属するECU2eが通信仲介部3nを備える。なお、第一層に属するECU2fが通信仲介部3pを更に備えてもよく、また、車両外装置5aを更に備えてもよい。車両外装置5aは、スマートフォンとして構成されてもよい。
[2-2. Configuration]
11, in the second embodiment, an
通信仲介部3m,3nは、他のECUであるECU2a~2c等が希望する通信を仲介し、更に他のECUであるECU2e等の通信部3iを介して車両外との通信を実施するように構成される。
The
機能情報DB48は、図11に示すように、例えば、車両外装置4に備えられる。機能情報DB48は、車両10における各ECU2a~2f等の通信に関する機能としてどのような機能を有するか(例えば後述する機能情報)、が格納されるデータベースである。通信に関する機能には、後述する通信先指定機能や通信仲介機能、加えて、通信プロトコル、通信速度等に関する情報が含まれうる。
The
ログ関連付け部471は、図12に示すように、車両ログDB43に格納されたログと、通信検知ログDB46に格納されたログと、機能情報DB48に格納された情報と、の対応付けを行う。本実施形態では、車両ログDB43に格納されたログとして、車両内での通信仲介履歴が含まれる。この場合、車両ログDB43に格納されたログには、セキュリティセンサのログが含まれる必要はない。
As shown in FIG. 12, the
つまり、本実施形態は、車両10のセキュリティセンサのログを用いない構成である。このため、セキュリティセンサを用いて異常を検知できなかった場合であっても、通信検知ログが取得できればその結果から通信元が侵害されていると判定できる。なお、センサを用いて異常を検知できなかった場合には、車両10のセキュリティセンサが故障した場合、セキュリティセンサの設計に不具合がある場合、或いは攻撃手法が高度化された場合などが含まれる。
In other words, this embodiment is configured not to use the log of the security sensor of the
[2-3.処理]
車両外装置4の分析部47が実施する攻撃分析処理について、図13に示すシーケンス、及び図14、図15に示すフローチャートを参照して説明する。
[2-3. Processing]
The attack analysis process performed by the
まず、S101で、ログ関連付け部471は、車両ログDB43から得られる通信仲介履歴と、通信検知ログDB46から得られる通信検知ログと、機能情報DB48から得られる機能情報と、を取得する。そして、ログ関連付け部471は、通信仲介履歴と、通信検知ログと、機能情報と、を対応付け、対応付けたログである対応情報を侵害判定部472に出力する。なお、第1実施形態では、車両内で発生した異常に関する対応情報を出力したが、第2実施形態では、車両内で発生した異常に関する情報を含まない可能性がある対応情報を出力する。
First, in S101, the
S101の詳細は、図14、図15のフローチャートで示される。図14、図15は、車両外装置4の分析部47が実施するログ関連付け処理を示すフローチャートである。なお、ログ関連付け処理では、一例として機器単位で判定することを開示しているが、この構成に限らない。例えば、機器上で動作するアプリケーション単位で記録・判定をしてもよい。
Details of S101 are shown in the flowcharts of FIG. 14 and FIG. 15. FIG. 14 and FIG. 15 are flowcharts showing the log association process performed by the
ログ関連付け処理では、図14に示すように、分析部47は、まず、S201で、車両IDが同じであり、かつ所定時間(例えば時間枠T1)内のログを各DB43,46,48から取得し、関連付けを実施する。この処理では、まず、通信検知ログ、図16に示す通信仲介履歴、及び図17に示す機能情報(例えば通信関係機能)を取得する。
As shown in FIG. 14, in the log association process, the
通信仲介履歴には、図16に示すように、ECU識別子、提供機能種別、仲介の開始時刻、仲介の終了時刻、通信元、通信先等の情報が含まれる。つまり、通信仲介履歴は、該当の識別子のECUにて、どのような種別の通信仲介機能にて、どこから(通信元)からどこへ(通信先)への通信の仲介を、いつから(開始時刻)からいつまで(終了時刻)提供したのかを示す情報である。 As shown in FIG. 16, the communication mediation history includes information such as the ECU identifier, type of function provided, start time of mediation, end time of mediation, communication source, and communication destination. In other words, the communication mediation history is information that indicates what type of communication mediation function was used by the ECU with the corresponding identifier to mediate communication from where (communication source) to where (communication destination), and from when (start time) to when (end time).
また、機能情報には、図17に示すように、ECU識別子、通信先指定機能の有無、通信仲介機能の提供の有無等の情報が含まれる。なお、通信先指定機能は、ベンダー以外の者(例えば、ユーザ等)によって通信先指定が可能な機能を示す。 As shown in FIG. 17, the function information includes information such as the ECU identifier, the presence or absence of a communication destination designation function, and the presence or absence of a communication intermediation function. Note that the communication destination designation function indicates a function that allows a party other than the vendor (e.g., a user) to designate a communication destination.
特に、ベンダーには、メーカー、サプライヤ、及び販売者のうちの何れかを含む。また、通信先指定機能には、例えばブラウザのようにユーザが通信先を指定できるアプリケーション、メーラーのように第3者が通信先を指定できるアプリケーション等が含まれる。これらのアプリケーションが搭載されている場合には、その機器について、機能「有」が対応付けられる。本機能がある場合、ユーザの操作の結果として意図せず悪性な通信先と通信する可能性が生じる。 In particular, a vendor includes any of the following: manufacturer, supplier, and seller. Furthermore, a communication destination designation function includes, for example, an application such as a browser that allows a user to designate a communication destination, and an application such as a mailer that allows a third party to designate a communication destination. If such an application is installed, the function is associated with the device. If this function is present, there is a possibility that communication with a malicious communication destination may occur unintentionally as a result of user operation.
また、通信仲介機能とは、例えば、Wi-Fi(登録商標)のアクセスポイントのように他デバイスの通信を仲介する機能、プロキシのように他のECUやアプリケーションの通信を仲介する機能等が該当する。本機能がある場合、悪性な通信先との通信が発生したとしても別デバイスや別ECUによる通信が原因である可能性が高いと判定できる。 In addition, the communication intermediation function includes, for example, a function that mediates communication between other devices, such as a Wi-Fi (registered trademark) access point, and a function that mediates communication between other ECUs or applications, such as a proxy. If this function is present, even if communication with a malicious destination occurs, it can be determined that there is a high possibility that the cause is communication with another device or ECU.
続いて、分析部47は、図14に示すS203で、関連付けられたログがあるか否かを判定する。ここでのログは、例えば、図10Cで示したような情報を検査した結果である、通信検知ログである。関連付けられたログがなければ、本処理は終了する。また、S203で関連付けられたログがあれば、本処理はS205に移行し、分析部47は、仲介通信判定処理を実施する。
Then, in S203 shown in FIG. 14, the
仲介通信判定処理は、通信元のECUに通信仲介機能があるか否かを判定し、必要に応じて通信元の機器を特定する処理である。仲介通信判定処理では、図15に示すように、分析部47は、S221で、通信検知ログ(例えば図5Aのログ)に記載されている通信元(以後、該当の通信元と称する場合がある)に通信仲介機能があるか否かを判定する。
The mediated communication determination process is a process for determining whether or not the ECU of the communication source has a communication mediation function, and for identifying the device of the communication source as necessary. In the mediated communication determination process, as shown in FIG. 15, the
該当の通信元に通信仲介機能がない場合、本処理は後述するS227に移行する。また、該当の通信元に通信仲介機能がある場合、本処理はS223に移行する。続いて、分析部47は、S223で、通信仲介履歴(図16)を参照する。続いて、S225で、通信検知ログに記載されている通信時刻に該当する該当時間帯に該当の通信元が通信検知ログに記載されている通信先と同一の宛先への通信を仲介したことの仲介履歴(以後、該当の仲介履歴と略する場合がある)があるか否かを判定する。
If the communication source does not have a communication intermediation function, the process proceeds to S227, which will be described later. If the communication source has a communication intermediation function, the process proceeds to S223. Next, in S223, the
S225で該当の仲介履歴がなければ、本処理はS227に移行する。この場合、分析部47は、S227で、通信検知ログに記載されている通信内容の通信は、該当の通信元とは別の機器による通信ではない、すなわち通信仲介機能を用いた通信ではないと判定し、仲介通信判定処理を終了する。
If there is no relevant intermediation history in S225, the process proceeds to S227. In this case, the
また、S225で該当の仲介履歴があれば、本処理はS229に移行する。この場合、分析部47は、S229で、該当の通信元が仲介した通信の通信元(以下、車両内で仲介した通信の通信元と略する場合がある)が別の車両内機器(すなわち車両10内の機器であって、現状認識されている通信元とは別の機器)であるか否かを判定する。なお、図16の例では、該当の通信元ECU1が仲介した通信の通信元は、ECU6である。この例では、ECU3によって仲介された通信であってECU6が通信元である通信を、ECU1が仲介したことが、通信仲介履歴に示されているからである。
Furthermore, if there is a corresponding intermediation history in S225, the process proceeds to S229. In this case, in S229, the
車両内で仲介した通信の通信元が別の車両内機器であれば、本処理はS231に移行する。この場合、分析部47は、S231で、通信検知ログに記載されている通信内容の通信は他の車両内機器の通信であると判定し、仲介通信判定処理を終了する。また、S229で、車両内で仲介した通信の通信元が別の車両内機器でなければ、本処理はS233に移行する。この場合、分析部47は、S233で、車両内で仲介した通信の通信元が車両外機器(例えばスマートフォン等の車両外装置5a等)であるか否かを判定する。
If the source of the communication mediated within the vehicle is another in-vehicle device, the process proceeds to S231. In this case, the
車両内で仲介した通信の通信元が車両外機器であれば、本処理はS235に移行する。この場合、分析部47は、S235で、通信検知ログに記載されている通信内容の通信は車両外機器の通信と判定し、仲介通信判定処理を終了する。また、S233で、車両内で仲介した通信の通信元が車両外機器でなければ、本処理はS237に移行する。この場合、分析部47は、S237で、通信検知ログに記載されている通信内容の通信の出元が不明であると判定し、仲介通信判定処理を終了する。
If the source of the communication mediated within the vehicle is a device outside the vehicle, the process proceeds to S235. In this case, the
仲介通信判定処理が終了すると、本処理は図14に戻り、S207に移行する。分析部47は、S207で、車両内で仲介した通信の通信元が車両外機器であると仲介通信判定処理で判定されたか否かを判定する。車両内で仲介した通信の通信元が車両外機器であれば、本処理はS209に移行する。分析部47は、S209で、通信検知ログに示されている通信内容の通信の出元を該当の通信仲介履歴に記載の通信元に設定し、S211に移行する。
When the intermediated communication determination process is completed, the process returns to FIG. 14 and proceeds to S207. In S207, the
また、S207で、車両内で仲介した通信の通信元が車両外機器でなければ、本処理はS211に移行する。この場合、分析部47は、S211で、車両内で仲介した通信の通信元が他の車両内機器であると仲介通信判定処理で判定されたか否かを判定する。車両内で仲介した通信の通信元が他の車両内機器であれば、S213に移行する。この場合、分析部47は、S213で、通信検知ログに記載されている通信内容の通信の出元を該当の通信仲介履歴に記載の通信元に設定し、ログ関連付け処理を終了する。また、S211で、車両内で仲介した通信の通信元が他の車両内機器でなければ、仲介通信判定処理を終了する。
Also, if the source of the communication mediated within the vehicle is not an external vehicle device in S207, the process proceeds to S211. In this case, the
なお、上記の通信判定処理で、S209又はS213の処理が実施された場合には、分析部47は、例えば図18に示すように、通信解析結果テーブル(即ち、対応情報に含まれる通信検知ログ)を書き換える。図18に示す通信解析結果テーブルは、図5Aで示したテーブルにおいて、通信元として記載されていたECU1との表記が、ECU6に書き換えられている。つまり、通信の仲介を車両内で行うことで、見かけ上の通信元であったECU1が、実際の通信元であるECU6に書き換えられる。
When the process of S209 or S213 is performed in the above communication determination process, the
次に、図13に戻り、S102で、侵害判定部472は、対応情報を分析し、通信元のECUの侵害確度を判定する。侵害判定部472は、侵害確度を含む判定結果(例えば推定した攻撃の種別)を出力部475に出力する。
Returning to FIG. 13, in S102, the
S102の詳細は、図19、図20のフローチャートで示される。図19、図20は、車両外装置4の分析部47(例えば侵害判定部472)が実施する侵害判定処理を示すフローチャートである。侵害判定処理は、対応情報毎に実施される。侵害判定処理では、図19に示すように、S261で、分析部47は、通信元の侵害判定を実施する。この処理では、実際の通信元に対する侵害判定を実施する。侵害判定の手順は、第1実施形態と同様に、通信元の通信の内容や通信先の情報を含む対応情報が、予め設定された複数の攻撃の類型のいずれかに合致するか否かを判定すること、及び、複数の攻撃の類型のいずれかに合致する場合は、いずれの攻撃の類型に合致するかに応じて通信元の侵害確度を判定すること、を含む。通信元の侵害確度には、通信元は侵害された可能性が高い、及び、通信元が侵害されている、という2つの分類が含まれる。なお第2実施形態はセキュリティログを用いない構成であるから、第2実施形態の侵害判定では、第1実施形態で例示した複数の攻撃の類型のうち、セキュリティログを用いないで判定を実施可能な類型を用いる。そのため、第1実施形態で記載の(ハ)の「動的解析時に確認された挙動がECUにおいて発生していることを対応情報から確認」のうち、不審なIDを指定したCANメッセージが記録されていることの確認を要するものは、第2実施形態では実施しない。第2実施形態では、第1実施形態で記載の(イ)~(ホ)におけるECUを通信元と読み替える。その理由は、第2実施形態では、後述のS265の判定の存在から示されるように、S261における通信元は、ECUである可能性に加えて、スマートフォンなどの車両外機器である可能性も前提としているためである。また第2実施形態では、(イ)を、マルウェアをダウンロードする通信が通信元から発生している場合、を含むように、第1実施形態と比べて広義に、定義する。このように広義に定義する理由は、第2実施形態では、後述のS267での人為的通信判定がなされるためである。
Details of S102 are shown in the flowcharts of FIG. 19 and FIG. 20. FIG. 19 and FIG. 20 are flowcharts showing the infringement determination process performed by the analysis unit 47 (e.g., the infringement determination unit 472) of the
続いて、S263で、分析部47は、通信元が侵害された可能性があるか否かを判定する。侵害された可能性がある場合は、対応情報が、予め設定された複数の攻撃の類型のいずれかに合致すると判定された場合であり、「侵害された」と分類された場合と、「侵害された可能性が高い」と分類された場合とが含まれる。通信元が侵害された可能性がなければ、本処理は終了する。また、通信元が侵害された可能性があれば、本処理はS265に移行する。
Next, in S263, the
続いて、S265で、分析部47は、通信元が車両外機器であるか否かを判定する。通信元が車両外機器であれば、本処理はS273に移行する。そして、S273で、分析部47は、車両は侵害されていないと判定し、侵害判定処理を終了する。
Next, in S265, the
また、S265で、分析部47は、通信元が車両外機器でなければ、本処理はS267に移行する。続いて、S267で、分析部47は、人為的通信判定処理を実施する。人為的通信判定処理は、通信元からの通信が人為的な通信の可能性があるか否かを判定する処理である。
Also, in S265, if the
人為的通信判定処理では、図20に示すように、S281で、分析部47は、通信元のECUに通信先指定機能があるか否かを判定する。通信先指定機能がなければ、本処理はS283に移行する。続いて、S283で、分析部47は、人為的な通信ではないと判定し、人為的通信判定処理を終了する。
In the intentional communication determination process, as shown in FIG. 20, in S281, the
また、S281で、通信先指定機能があれば、本処理はS285に移行する。続いて、S285で、分析部47は、人為的な通信の可能性ありと判定し、人為的通信判定処理を終了する。
Also, in S281, if the communication destination designation function is present, the process proceeds to S285. Next, in S285, the
人為的通信判定処理が終了すると、本処理は図19に戻り、S269に移行する。続いて、S269で、分析部47は、人為的な操作による通信である(即ち、人為的な通信の可能性がある)と判定されたか否かを判定する。
人為的な操作による通信であると判定されていれば、侵害判定処理は終了する。また、人為的な操作による通信でないと判定されていれば、本処理はS271に移行する。続いて、S271で、分析部47は、通信元が侵害されたと判定し、侵害判定処理は終了する。
When the intentional communication determination process is completed, the process returns to Fig. 19 and proceeds to S269. Next, in S269, the
If it is determined that the communication is the result of a human operation, the infringement determination process ends. If it is determined that the communication is not the result of a human operation, the process proceeds to S271. Then, in S271, the
次に、図13に戻り、S105で、出力部475は、攻撃の種別を攻撃対策装置に出力する。なお、本実施形態では、図9で示したS103、S104の処理を省略することができる。
Returning to FIG. 13, in S105, the
[2-4.効果]
以上詳述した第2実施形態によれば、前述した第1実施形態の効果(1a)を奏し、さらに、以下の効果を奏する。
[2-4. Effects]
According to the second embodiment described above in detail, in addition to the effect (1a) of the first embodiment described above, the following effect is further achieved.
(2a)第2実施形態の構成では、システムログは、電子制御システム2内で電子制御システム2外との通信を仲介した履歴を含み、分析部47は、通信検知ログの通信の発生元を履歴から特定した上で対象要素が侵害されているかを判定する。分析部47は、通信の通信元であるECUがその通信先をベンダー以外が指定できない電子制御装置である場合に、ECU等の対象要素が侵害されている確度が高いと判定する。
例えば、電子制御システム2が、図1に示すECU2cとしてのECU6を送信元とする通信を行う場合、ECU6は、ECU2d及びECU2eを経由して、外部サイトにアクセスする。この際の通信内容は、車両外装置4で監視され、前述のログ関連付け処理が実施される。ログ関連付け処理では、図18に示すように、送信元がECU6であることが認識される。そして、図19に示す侵害判定処理によって、通信元が侵害された可能性があり(S263でYES)、通信元が車両外機器でなく(S265でNO)、かつ人為的通信でない(S269でNO)場合に、ECU6が侵害されていると判定される。
よって、通信を仲介した構成であっても、良好に車両100が侵害されたことを判定できる。
(2a) In the configuration of the second embodiment, the system log includes a history of communication between the
For example, when the
Therefore, even in a configuration in which communication is mediated, it is possible to satisfactorily determine whether or not the vehicle 100 has been invaded.
[3.第3実施形態]
[3-1.構成]
第3実施形態は、電子制御システム2がスマートフォン等の車両外装置5aによる通信を中継し、この通信が悪性の通信である可能性がある場合に、適切に車両が侵害されたか否かを判定できる構成を提供する。
[3. Third embodiment]
[3-1. Configuration]
The third embodiment provides a configuration in which the
第3実施形態は、図11に示すように、第一層に属するECU2eが通信仲介部3nを備え、ECU2fが通信仲介部3pを備える。また、スマートフォンとして構成された車両外装置5aを備える。なお、第二層に属するECU2dが通信仲介部3mを備えてもよい。また、第3実施形態では、車両外装置4の車両ログ受信部42は、第2実施形態と同様に、各車両10から通信仲介履歴を受信し、車両ログDB43に登録する。
As shown in FIG. 11, in the third embodiment, the
[3-2.処理]
本実施形態での処理は、第2実施形態と同様である。
[3-3.効果]
以上詳述した第3実施形態によれば、前述した第1実施形態の効果(1a)を奏し、さらに、以下の効果を奏する。
[3-2. Processing]
The process in this embodiment is similar to that in the second embodiment.
[3-3. Effects]
According to the third embodiment described above in detail, in addition to the effect (1a) of the first embodiment described above, the following effect is further achieved.
(3a)例えば、電子制御システム2が、図11に示すスマートフォンとしての車両外装置5aを送信元とする通信を行う場合、車両外装置5aは、ECU2f及びECU2eを経由して、外部サイトにアクセスする。この際の通信内容は、車両外装置4で監視され、前述のログ関連付け処理が実施される。ログ関連付け処理では、分析部47は、スマートフォンとして構成された車両外装置5aからの通信が悪性の通信である可能性があると判定した場合、例えば図21に示すように、通信解析結果テーブルを書き換える。
(3a) For example, when the
図21に示す通信解析結果テーブルは、図5Aで示したテーブルにおいて、通信元として記載されていたECU1との表記が、スマートフォンAに書き換えられている。つまり、通信の仲介を行うことで、見かけ上の通信元であったECU1が、実際の通信元であるスマートフォンAに書き換えられる。この結果、送信元がスマートフォンとしての車両外装置5aであることが認識される。
In the communication analysis result table shown in FIG. 21, the
そして、図19に示す侵害判定処理では、通信元が侵害された可能性があり(S263でYES)、通信元が車両外機器である(S265でYES)、と処理が進行し、この場合、車両は侵害されていないと判定される。悪性の通信の通信元はスマートフォンであり、車両及び車両の構成要素ではないためである。 Then, in the intrusion determination process shown in FIG. 19, the process proceeds with the assumption that the source of the communication may have been intruded (YES in S263) and that the source of the communication is an external device (YES in S265), in which case it is determined that the vehicle has not been intruded. This is because the source of the malicious communication is a smartphone, not the vehicle or a component of the vehicle.
つまり、本実施形態では、分析部47は、通信の通信元が車両外装置5aである場合に、対象要素が侵害されていない可能性が高いと判定するように構成される。
このような構成によれば、車両外装置5aが存在する場合であっても、車両100が侵害されているか否かを適切に判定することができる。
That is, in this embodiment, the
According to this configuration, even if the
[4.第4実施形態]
[4-1.構成]
第4実施形態では、車両ログに、アプリケーションログ(図25参照)を含む。アプリケーションログには、ECU上で作動するアプリケーション(例えば、ECU2fのアプリ3j)に関するログであり、通信元の通信先指定機能のあるアプリケーションに関するログが含まれうる。なお、本実施形態では、車両ログにセキュリティセンサのログが含まれなくてもよい。
また、第4実施形態では、車両外装置4の車両ログ受信部42は、各車両10から通信仲介履歴、及びアプリケーションログを受信し、車両ログDB43に登録する。また、第4実施形態の構成は、第3実施形態の構成(図11参照)と同様の構成を適用できる。
[4. Fourth embodiment]
[4-1. Configuration]
In the fourth embodiment, the vehicle log includes an application log (see FIG. 25). The application log is a log related to an application (e.g., an application 3j of the
In the fourth embodiment, the vehicle
[4-2.処理]
本実施形態での通信仲介履歴は、例えば、図23に示される。なお、図23中の「-」については、合致するか否かの判定対象外である。通信仲介履歴は、時刻、通信元、通信先等を通信ログに記載されたものと比較することで、通信仲介の実施有無を、精度良く判定可能にするために利用される。
[4-2. Processing]
The communication mediation history in this embodiment is shown, for example, in Fig. 23. Note that "-" in Fig. 23 is not included in the determination of whether or not there is a match. The communication mediation history is used to make it possible to accurately determine whether or not communication mediation was performed by comparing the time, communication source, communication destination, etc. with those recorded in the communication log.
本実施形態では、図24に示すように、ECU2についての、通信先指定機能が「有」、通信仲介機能が「有」に設定される。
第4実施形態のログ関連付け処理のうちの仲介通信判定処理(図14のS205参照)は、図22のフローチャートに示すように実施される。
In this embodiment, as shown in FIG. 24, the communication destination designation function and the communication mediation function for the
The mediated communication determination process (see S205 in FIG. 14) of the log association process of the fourth embodiment is performed as shown in the flowchart in FIG.
仲介通信判定処理では、S223で、分析部47は、通信仲介履歴(図16)を参照した後、S301に移行する。S301で、分析部47は、通信先指定機能がある通信元が通信仲介履歴に含まれているか否かを判定する。通信先指定機能がある通信元がなければ、本処理は前述のS225以下に移行する。通信先指定機能がある通信元があれば、本処理はS303に移行する。なお、図16の例では、通信仲介履歴に含まれている通信元は、ECU3およびECU6である。
In the intermediation communication determination process, in S223, the
続いて、S303で、分析部47は、アプリケーションログを参照する。アプリケーションログは、ECUのアプリケーションがどこに対して通信をしたのかを示すログである。アプリケーションログは、例えば、図25に示すように、ECUを識別するECU識別子、そのECUに搭載されているアプリケーションの種別、そのアプリ―ケーションの通信の開始時刻と終了時刻と通信先(例えばURL)等とを含む。S303で、分析部47は、通信仲介履歴に含まれている通信元であって通信指定機能がある通信元に該当するECU識別子のECUに搭載されたアプリケーションがどこに対して通信をしたのかを示すアプリケーションログを参照する。
Next, in S303, the
続いて、S305で、分析部47は、通信検知ログに記載されている通信時刻に該当する時間帯におけるアプリケーションログにて該当通信先への通信履歴があるか否かを判定する(以下、S305の第1判定という)。該当通信先とは、通信検知ログに記載されている通信先、即ち通信仲介履歴に含まれる通信先である。なお、図23のECU2の通信仲介履歴のように、通信先が記録されていない通信仲介履歴もあり得る(図23の通信先「―」参照)。この場合、S305で分析部47は、通信先を判定対象外とした第2判定を実施する。詳しくはS305で分析部47は、通信検知ログに記載されている通信時刻に該当する時間帯におけるアプリケーションログがあるか否かを判定する第2判定を実施する。S305の第1判定及び第2判定の少なくとも一方で肯定判定がなされると、本処理はS307に移行する。S305の第1判定及び第2判定の少なくとも一方で肯定判定がなされなかった場合、本処理は前述のS225以下に移行する。続いて、S307で、分析部47は、通信検知ログに記載の通信内容の通信は、通信仲介履歴に含まれている通信元であって通信指定機能がある通信元である車両内機器の通信と判定し、仲介通信判定処理を終了する。
Next, in S305, the
また、本実施形態でのログ関連付け処理のうちの人為的通信判定処理では、図26に示すような処理を実施してもよい。
仲介通信判定処理では、S321で、分析部47は、通信元に通信先指定機能があるか否かを判定する。通信先指定機能がなければ、本処理はS283に移行する。続いて、S283で、分析部47は、人為的な通信ではないと判定し、人為的通信判定処理を終了する。
In the manual communication determination process in the log association process in this embodiment, a process as shown in FIG. 26 may be performed.
In the mediated communication determination process, in S321, the
また、S321で、通信先指定機能があれば、本処理はS285に移行する。続いて、S285で、分析部47は、人為的な通信の可能性ありと判定し、人為的通信判定処理を終了する。
Also, in S321, if there is a communication destination designation function, the process proceeds to S285. Next, in S285, the
[4-3.効果]
以上詳述した第4実施形態によれば、前述した第1実施形態の効果(1a)を奏し、さらに、以下の効果を奏する。
[4-3. Effects]
According to the fourth embodiment described above in detail, in addition to the effect (1a) of the first embodiment described above, the following effect is further achieved.
(4a)本実施形態では、図11に示す電子制御システム2のECU2f上にて、スマートフォンである車両外装置5aを送信元とする通信を仲介する通信仲介部3pと、ECU2fを送信元とする通信を行うアプリ3jが動作している。そして、図23のように通信仲介部3pにてスマートフォンの通信先が記録されていない場合においても、図25のようにアプリ3jのアプリケーションログが記録されている。このような構成によれば、アプリケーションログを利用して、通信の発生元を区別することができる。
これにより、スマートフォンが悪性通信の発生元である場合、車両は侵害されていないと判定される。スマートフォンは車両及び車両の構成要素ではないためである。
また、アプリ3jが悪性通信の元であり、通信先指定機能が「無」である場合には、車両が侵害されていると判定される。これは、人為的に通信先を指定できないにも関わらず悪性通信が発生したということを示しており、当該通信が攻撃により侵害されたことで発生した通信である可能性が高いためである。
(4a) In this embodiment, a communication
This ensures that if the smartphone is the source of malicious communications, the vehicle is not compromised since the smartphone is not a vehicle or a component of the vehicle.
In addition, if the application 3j is the source of malicious communication and the communication destination designation function is "absent," it is determined that the vehicle is compromised. This indicates that malicious communication has occurred even though the communication destination cannot be designated artificially, and there is a high possibility that the communication has occurred as a result of intrusion by an attack.
[5.第5実施形態]
[5-1.構成]
第5実施形態の基本的な構成は第1実施形態と第2実施形態とを組み合わせた構成である。すなわち、図27、図28に示すように、第5実施形態では、機能情報DB48を備え、ログ関連付け部471は、通信検知ログ、車両ログ(セキュリティログ、通信仲介履歴)、及び機能情報を用いてログ関連付け処理を実施する。また、侵害判定部472は、対応情報及び機能情報を用いて侵害判定処理を実施する。また、第5実施形態では、車両外装置4の車両ログ受信部42は、各車両10から通信仲介履歴、及びセキュリティログを受信し、車両ログDB43に登録する。
本実施形態では、ログ関連付け部471は、前述の(観点a)~(観点c)に加えて、以下の観点により各ログを関連付けてもよい。
[5. Fifth embodiment]
[5-1. Configuration]
The basic configuration of the fifth embodiment is a combination of the first and second embodiments. That is, as shown in Fig. 27 and Fig. 28, the fifth embodiment includes a
In this embodiment, the
(観点d)仲介通信であること。この場合、通信仲介履歴に基づいて仲介通信であるか否かが判定される。仲介通信である場合、通信元を該当の通信仲介履歴に記載の通信元に変更する。 (Point d) It is mediated communication. In this case, it is determined whether it is mediated communication or not based on the communication mediation history. If it is mediated communication, the communication source is changed to the communication source described in the corresponding communication mediation history.
また、本実施形態では、侵害判定部472は、ログ関連付け部471から受領したログについて以下の処理を行い、通信元ECUやVM(Virtual Machine)についての侵害判定を実施する。侵害判定では、例えばすでに述べた判定に加えて、下記のように判定する。
In addition, in this embodiment, the
・マルウェアをダウンロードする通信が発生しているECUやVMについて侵害された可能性が高いと判定する。
・「侵害された可能性が高い」場合について、通信先指定機能が提供されていないECUやVMからの通信である場合、当該ECUやVMが侵害されたと判定する。
・通信元が車両外機器である場合には車両は侵害されていないと判定する。
- It is determined that there is a high possibility that an ECU or VM from which communication downloading malware is occurring has been compromised.
When it is determined that a "high possibility of infringement" exists, if the communication is from an ECU or VM for which a communication destination designation function is not provided, it is determined that the ECU or VM has been infringed.
If the communication source is a device outside the vehicle, the vehicle is determined to be uninvaded.
[5-2.効果]
以上詳述した第5実施形態によれば、前述した第1実施形態の効果(1a)を奏し、さらに、以下の効果を奏する。
(5a)通信が仲介されている場合、通信が仲介されていない場合の両方において、良好に車両100が侵害されたことを判定できる。
[5-2. Effects]
According to the fifth embodiment described above in detail, in addition to the effect (1a) of the first embodiment described above, the following effect is further achieved.
(5a) It is possible to determine with success that the vehicle 100 has been invaded both in the case where communication is mediated and in the case where communication is not mediated.
[6.対応関係]
本実施形態では、車両外装置4が攻撃分析装置の一例に相当し、セキュリティログが異常ログの一例に相当し、分析部47(例えば侵害判定部472)が判定部の一例に相当する。
[6. Correspondence]
In this embodiment, the
[7.他の実施形態]
以上、本開示の実施形態について説明したが、本開示は、上記実施形態に限定されることなく、種々の形態を採り得ることは言うまでもない。
7. Other embodiments
Although the embodiments of the present disclosure have been described above, it goes without saying that the present disclosure is not limited to the above-described embodiments and can take various forms.
(7a)上記実施形態では、車両外装置4が攻撃分析装置として車両10の外部に設置される構成を例示した。しかし攻撃分析装置は、車両10の内部に設置されてもよい。このような構成によれば、攻撃分析装置が車両10の外部に設置される場合と比較して、より迅速にセキュリティログを攻撃分析装置が受信できる。
(7a) In the above embodiment, a configuration has been exemplified in which the
(7b)上記実施形態では、侵害判定部472が、侵害された場合及び侵害された可能性が高い場合を判定する構成を例示した。しかし、侵害判定部472が判定する侵害確度は、他のパターンを含んでいてもよい。例えば、仮に、検査部45により、通信ログに異常がないと判定された場合、侵害判定部472は、侵害がなかったと判定してもよい。
(7b) In the above embodiment, the
(7c)上記実施形態では、検査部45の通信先解析部452が通信先解析を行い、検査部45の通信内容解析部453が通信内容解析を行い、悪性の通信先、及び悪性の通信内容を特定する構成を例示した。しかし、検査部45は、悪性の通信先、及び悪性の通信内容の少なくとも一方を特定する構成であってもよい。つまり、検査部45は、通信先解析及び通信内容解析の一方のみを実行する構成であってもよい。
(7c) In the above embodiment, the communication
(7d)上記実施形態における1つの構成要素が有する機能を複数の構成要素として分散させたり、複数の構成要素が有する機能を1つの構成要素に統合したりしてもよい。また、上記実施形態の構成の一部を省略してもよい。また、上記実施形態の構成の少なくとも一部を、他の上記実施形態の構成に対して付加、置換等してもよい。
(7e)上記実施形態では、車両10にて記録した通信仲介履歴を車両ログ受信部42が受信して通信元を特定する構成を例示した。しかし、車両10が車両外と通信をする際に用いる通信プロトコルが通信仲介履歴を通信データに含めることができるプロトコルである場合には、通信データに含まれる通信仲介履歴を通信データ監視部41が受信してもよい。例えば、通信データ監視部41がプロキシであり、車両10がHTTP(Hypertext Transfer Protocol)プロトコルを用いて車両外と通信する仕様である場合、HTTPプロトコルにて規定されているXFF(X-Forwarded-For)ヘッダーに通信元を記載し、通信データ監視部41にてそれを参照することで通信元を特定できるように構成してもよい。
(7d) The functions of one component in the above embodiments may be distributed among multiple components, or the functions of multiple components may be integrated into one component. Also, a part of the configuration of the above embodiments may be omitted. Also, at least a part of the configuration of the above embodiments may be added to or substituted for the configuration of another of the above embodiments.
(7e) In the above embodiment, the vehicle
(7f)本開示は、前述した攻撃分析装置の他、当該攻撃分析装置を構成要素とするシステム、当該攻撃分析装置としてコンピュータを機能させるためのプログラム、このプログラムを記録した媒体、攻撃分析方法など、種々の形態で実現することができる。 (7f) The present disclosure can be realized in various forms, such as the attack analysis device described above, a system that includes the attack analysis device as a component, a program for causing a computer to function as the attack analysis device, a medium on which this program is recorded, and an attack analysis method.
[本明細書が開示する技術思想]
[項目1]
車両(10)内に構築された電子制御システム(2)に対する攻撃であって、ネットワークを介した前記電子制御システムに対する攻撃を分析するように構成された攻撃分析装置(47)であって、
前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定するように構成された判定部(472,S102)、
を備える攻撃分析装置。
[項目2]
項目1に記載の攻撃分析装置であって、
前記システムログは、前記電子制御システム内で前記電子制御システム外との通信を仲介した履歴を含み、
前記判定部は、前記通信ログの通信の発生元を前記履歴から特定した上で前記対象要素が侵害されているかを判定する
ように構成された攻撃分析装置。
[項目3]
項目1又は項目2に記載の攻撃分析装置であって、
前記判定部は、前記通信の通信元である電子制御装置がその通信先をベンダー以外が指定できない電子制御装置である場合に、前記対象要素が侵害されている確度が高いと判定する
ように構成された攻撃分析装置。
[項目4]
項目1から項目3までの何れか1項に記載の攻撃分析装置であって、
前記判定部は、前記通信の通信元が車両外機器である場合に、前記対象要素が侵害されていない可能性が高いと判定する
ように構成された攻撃分析装置。
[項目5]
項目1から項目4までの何れか1項に記載の攻撃分析装置であって、
前記システムログは、前記電子制御システムで検出された異常を示す異常ログを含み、
前記異常ログに基づき生成された、実際に検出された前記異常の組み合わせを示す実測異常情報と、前記攻撃の種別毎に、前記攻撃を受けた場合に前記電子制御システムで発生することが予測される異常の組み合わせを示す予測異常情報と、の類似度を判定することにより、前記攻撃の種別を推定するように構成された推定部(474,S103,S104)、
を更に備え、
前記予測異常情報は、前記判定部により前記攻撃の類型に合致すると判定された前記対応情報を用いることにより、予測される異常の組み合わせを変更可能である、攻撃分析装置。
[項目6]
項目1から項目5までの何れか1項に記載の攻撃分析装置であって、
前記通信ログを解析し、悪性の通信先、及び悪性の通信内容の少なくとも一方を特定するように構成された検査部(45)を更に備え、
前記対応情報の前記通信ログには、悪性の通信先、及び悪性の通信内容の少なくとも一方が含まれる、攻撃分析装置。
[項目7]
項目1から項目6までの何れか1項に記載の攻撃分析装置であって、
前記判定部は、前記対応情報が、複数の前記攻撃の類型のうちのいずれかに合致するかによって、前記電子制御システムにおける、異常が生じた位置を特定し、該異常が生じた位置が前記攻撃により侵害された位置であるか、又は、前記攻撃により侵害された可能性が高い位置であるかを分類可能である、攻撃分析装置。
[項目8]
項目5を引用する、項目1から項目7までの何れか1項に記載の攻撃分析装置であって、
前記異常ログと、前記通信ログと、は、前記異常ログに含まれる異常が発生した時刻と、前記通信ログに含まれる通信の時刻と、に基づき、同期するように対応付けられる、攻撃分析装置。
[項目9]
項目5を引用する、項目1から項目8までの何れか1項に記載の攻撃分析装置であって、
前記予測異常情報は、前記攻撃の種別毎に、前記攻撃を受けた場合に前記電子制御システムにおいて異常が発生することが予測される位置を係数で表現した情報であり、
前記予測異常情報は、前記係数が変更されることにより、予測される異常の組み合わせを変更可能である、攻撃分析装置。
[項目10]
項目5を引用する、項目1から項目9までの何れか1項に記載の攻撃分析装置であって、
前記電子制御システムは複数の電子制御装置を備え、かつ、前記複数の電子制御装置を予め準備された複数の階層のうちの何れかに対応付けた階層構造を有しており、
前記推定部は、前記判定部により前記攻撃の類型に合致すると判定された前記対応情報が示す、異常が発生することが予測される電子制御装置と同じ階層に位置する他の電子制御装置については、侵害されていないと推定する、攻撃分析装置。
[項目11]
車両(10)内に構築された電子制御システム(2)に対する攻撃であって、ネットワークを介した攻撃を分析する攻撃分析方法であって、
前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定すること(472,S102)、
を含む攻撃分析方法。
[項目12]
車両(10)内に構築された電子制御システム(2)に対する攻撃であって、ネットワークを介した攻撃を分析するように構成されたコンピュータに、
前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定する機能(472,S102)、
を実現させるための攻撃分析プログラム。
[Technical idea disclosed in this specification]
[Item 1]
An attack analysis device (47) configured to analyze an attack against an electronic control system (2) built in a vehicle (10), the attack being against the electronic control system via a network, the attack analysis device (47) comprising:
a determination unit (472, S102) configured to determine whether or not correspondence information that associates a system log, which is a log of the electronic control system, with a communication log, which is a log of communication between the electronic control system and the outside of the vehicle, matches a preset type of attack, and configured to determine whether or not a target element representing at least one of a component of the electronic control system and the electronic control system has been violated;
An attack analysis device comprising:
[Item 2]
The system log includes a history of communication between the electronic control system and an external device,
The attack analysis device is configured so that the determination unit determines whether the target element is infringed upon identifying a source of the communication in the communication log from the history.
[Item 3]
The attack analysis device according to
The determination unit is an attack analysis device configured to determine that there is a high probability that the target element has been violated when the electronic control device that is the source of the communication is an electronic control device whose communication destination cannot be specified by anyone other than the vendor.
[Item 4]
The attack analysis device according to any one of
The attack analysis device configured to determine that the target element is highly likely not compromised when a source of the communication is an external device.
[Item 5]
An attack analysis device according to any one of
the system log includes an abnormality log indicating an abnormality detected in the electronic control system;
an estimation unit (474, S103, S104) configured to estimate the type of the attack by determining a similarity between actual anomaly information, which is generated based on the anomaly log and indicates a combination of the anomalies that have actually been detected, and predicted anomaly information, which indicates a combination of anomalies that are predicted to occur in the electronic control system when the electronic control system is attacked, for each type of attack;
Further comprising:
The predicted anomaly information is capable of changing a combination of predicted anomalies by using the correspondence information that is determined by the determination unit to match the type of attack.
[Item 6]
An attack analysis device according to any one of
The method further includes an inspection unit (45) configured to analyze the communication log and identify at least one of a malicious communication destination and a malicious communication content,
The communication log of the corresponding information includes at least one of a malicious communication destination and a malicious communication content.
[Item 7]
An attack analysis device according to any one of
The determination unit is capable of identifying a location in the electronic control system where an abnormality has occurred depending on whether the corresponding information matches any of a plurality of types of attacks, and classifying the location where the abnormality has occurred as either a location that has been compromised by the attack or a location that is highly likely to have been compromised by the attack.
[Item 8]
An attack analysis device according to any one of
The abnormality log and the communication log are associated so as to be synchronized based on a time at which an abnormality occurred, which is included in the abnormality log, and a time of communication, which is included in the communication log.
[Item 9]
An attack analysis device according to any one of
the predicted anomaly information is information in which a position where an anomaly is predicted to occur in the electronic control system when the electronic control system is attacked is expressed by a coefficient for each type of attack;
The predicted anomaly information is capable of changing a combination of predicted anomalies by changing the coefficients.
[Item 10]
An attack analysis device according to any one of
the electronic control system includes a plurality of electronic control devices, and has a hierarchical structure in which the plurality of electronic control devices correspond to any one of a plurality of hierarchical levels prepared in advance;
The estimation unit estimates that other electronic control devices located at the same hierarchical level as an electronic control device in which an abnormality is predicted to occur, as indicated by the correspondence information determined by the judgment unit to match the type of attack, have not been compromised.
[Item 11]
An attack analysis method for analyzing an attack via a network against an electronic control system (2) built in a vehicle (10), comprising:
The method is configured to determine whether or not correspondence information that associates a system log, which is a log of the electronic control system, with a communication log, which is a log of communication between the electronic control system and the outside of the vehicle, matches a preset type of attack, and determines whether or not a target element that represents at least one of a component of the electronic control system and the electronic control system has been violated (472, S102);
An attack analysis method including:
[Item 12]
A computer configured to analyze an attack via a network against an electronic control system (2) built in a vehicle (10),
A function (472, S102) configured to determine whether or not correspondence information that associates a system log, which is a log of the electronic control system, with a communication log, which is a log of communication between the electronic control system and the outside of the vehicle, matches a preset type of attack, and determines whether or not a target element that represents at least one of a component of the electronic control system and the electronic control system has been violated;
An attack analysis program to achieve this.
1…攻撃分析システム、2…電子制御システム、2a~2f…ECU、3a~3f…監視部、3g…分析部、3h…送信部、3i…通信部、3j…アプリ、4…車両外装置、5…外部サイト、10…車両、41…通信データ監視部、42…車両ログ受信部、43…車両ログDB、44…検知条件DB、45…検査部、46…通信検知ログDB、47…分析部、451…構造解析部、452…通信先解析部、453…通信内容解析部、471…ログ関連付け部、472…侵害判定部、473…攻撃・異常関係テーブル保存部、474…推定部、475…出力部、T1,T2…時間枠。 1...attack analysis system, 2...electronic control system, 2a-2f...ECU, 3a-3f...monitoring unit, 3g...analysis unit, 3h...transmission unit, 3i...communication unit, 3j...application, 4...external device, 5...external site, 10...vehicle, 41...communication data monitoring unit, 42...vehicle log receiving unit, 43...vehicle log DB, 44...detection condition DB, 45...inspection unit, 46...communication detection log DB, 47...analysis unit, 451...structure analysis unit, 452...communication destination analysis unit, 453...communication content analysis unit, 471...log association unit, 472...intrusion determination unit, 473...attack/anomaly relationship table storage unit, 474...estimation unit, 475...output unit, T1, T2...time frame.
Claims (12)
前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定するように構成された判定部(472,S102)、
を備える攻撃分析装置。 An attack analysis device (47) configured to analyze an attack against an electronic control system (2) built in a vehicle (10), the attack being against the electronic control system via a network, the attack analysis device (47) comprising:
a determination unit (472, S102) configured to determine whether or not correspondence information that associates a system log, which is a log of the electronic control system, with a communication log, which is a log of communication between the electronic control system and the outside of the vehicle, matches a preset type of attack, and configured to determine whether or not a target element representing at least one of a component of the electronic control system and the electronic control system has been violated;
An attack analysis device comprising:
前記システムログは、前記電子制御システム内で前記電子制御システム外との通信を仲介した履歴を含み、
前記判定部は、前記通信ログの通信の発生元を前記履歴から特定した上で前記対象要素が侵害されているかを判定する
ように構成された攻撃分析装置。 The attack analysis device according to claim 1 ,
The system log includes a history of communication between the electronic control system and an external device,
The attack analysis device is configured so that the determination unit determines whether the target element is infringed upon identifying a source of the communication in the communication log from the history.
前記判定部は、前記通信の通信元である電子制御装置がその通信先をベンダー以外が指定できない電子制御装置である場合に、前記対象要素が侵害されている確度が高いと判定する
ように構成された攻撃分析装置。 The attack analysis device according to claim 1 or 2,
The determination unit is an attack analysis device configured to determine that there is a high probability that the target element has been violated when the electronic control device that is the source of the communication is an electronic control device whose communication destination cannot be specified by anyone other than the vendor.
前記判定部は、前記通信の通信元が車両外機器である場合に、前記対象要素が侵害されていない可能性が高いと判定する
ように構成された攻撃分析装置。 The attack analysis device according to claim 1 or 2,
The attack analysis device configured to determine that the target element is highly likely not compromised when a source of the communication is an external device.
前記システムログは、前記電子制御システムで検出された異常を示す異常ログを含み、
前記異常ログに基づき生成された、実際に検出された前記異常の組み合わせを示す実測異常情報と、前記攻撃の種別毎に、前記攻撃を受けた場合に前記電子制御システムで発生することが予測される異常の組み合わせを示す予測異常情報と、の類似度を判定することにより、前記攻撃の種別を推定するように構成された推定部(474,S103,S104)、
を更に備え、
前記予測異常情報は、前記判定部により前記攻撃の類型に合致すると判定された前記対応情報を用いることにより、予測される異常の組み合わせを変更可能である、攻撃分析装置。 The attack analysis device according to claim 1 ,
the system log includes an abnormality log indicating an abnormality detected in the electronic control system;
an estimation unit (474, S103, S104) configured to estimate the type of the attack by determining a similarity between actual anomaly information, which is generated based on the anomaly log and indicates a combination of the anomalies that have actually been detected, and predicted anomaly information, which indicates a combination of anomalies that are predicted to occur in the electronic control system when the electronic control system is attacked, for each type of attack;
Further comprising:
The predicted anomaly information is capable of changing a combination of predicted anomalies by using the correspondence information that is determined by the determination unit to match the type of attack.
前記通信ログを解析し、悪性の通信先、及び悪性の通信内容の少なくとも一方を特定するように構成された検査部(45)を更に備え、
前記対応情報の前記通信ログには、悪性の通信先、及び悪性の通信内容の少なくとも一方が含まれる、攻撃分析装置。 The attack analysis device according to claim 5,
The method further includes an inspection unit (45) configured to analyze the communication log and identify at least one of a malicious communication destination and a malicious communication content,
The communication log of the corresponding information includes at least one of a malicious communication destination and a malicious communication content.
前記判定部は、前記対応情報が、複数の前記攻撃の類型のうちのいずれかに合致するかによって、前記電子制御システムにおける、異常が生じた位置を特定し、該異常が生じた位置が前記攻撃により侵害された位置であるか、又は、前記攻撃により侵害された可能性が高い位置であるかを分類可能である、攻撃分析装置。 The attack analysis device according to claim 5 or 6,
The determination unit is capable of identifying a location in the electronic control system where an abnormality has occurred depending on whether the corresponding information matches any of a plurality of types of attacks, and classifying the location where the abnormality has occurred as either a location that has been compromised by the attack or a location that is highly likely to have been compromised by the attack.
前記異常ログと、前記通信ログと、は、前記異常ログに含まれる異常が発生した時刻と、前記通信ログに含まれる通信の時刻と、に基づき、同期するように対応付けられる、攻撃分析装置。 The attack analysis device according to claim 5 or 6,
The abnormality log and the communication log are associated so as to be synchronized based on a time at which an abnormality occurred, which is included in the abnormality log, and a time of communication, which is included in the communication log.
前記予測異常情報は、前記攻撃の種別毎に、前記攻撃を受けた場合に前記電子制御システムにおいて異常が発生することが予測される位置を係数で表現した情報であり、
前記予測異常情報は、前記係数が変更されることにより、予測される異常の組み合わせを変更可能である、攻撃分析装置。 The attack analysis device according to claim 5 or 6,
the predicted anomaly information is information in which a position where an anomaly is predicted to occur in the electronic control system when the electronic control system is attacked is expressed by a coefficient for each type of attack;
The predicted anomaly information is capable of changing a combination of predicted anomalies by changing the coefficients.
前記電子制御システムは複数の電子制御装置を備え、かつ、前記複数の電子制御装置を予め準備された複数の階層のうちの何れかに対応付けた階層構造を有しており、
前記推定部は、前記判定部により前記攻撃の類型に合致すると判定された前記対応情報が示す、異常が発生することが予測される電子制御装置と同じ階層に位置する他の電子制御装置については、侵害されていないと推定する、攻撃分析装置。 The attack analysis device according to claim 5 or 6,
the electronic control system includes a plurality of electronic control devices, and has a hierarchical structure in which the plurality of electronic control devices correspond to any one of a plurality of hierarchical levels prepared in advance;
The estimation unit estimates that other electronic control devices located at the same hierarchical level as an electronic control device in which an abnormality is predicted to occur, as indicated by the correspondence information determined by the judgment unit to match the type of attack, have not been compromised.
前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定すること(472,S102)、
を含む攻撃分析方法。 An attack analysis method for analyzing an attack via a network against an electronic control system (2) built in a vehicle (10), comprising:
The method is configured to determine whether or not correspondence information that associates a system log, which is a log of the electronic control system, with a communication log, which is a log of communication between the electronic control system and the outside of the vehicle, matches a preset type of attack, and determines whether or not a target element that represents at least one of a component of the electronic control system and the electronic control system has been violated (472, S102);
An attack analysis method comprising:
前記電子制御システムのログであるシステムログと、前記電子制御システムと車両外との通信のログである通信ログと、を対応付けた対応情報が、予め設定された前記攻撃の類型に合致するか否かを判定するように構成され、前記電子制御システムの構成要素及び前記電子制御システムのうちの少なくとも一方を表す対象要素が侵害されているか否かを判定する機能(472,S102)、
を実現させるための攻撃分析プログラム。 A computer configured to analyze an attack via a network against an electronic control system (2) built in a vehicle (10),
A function (472, S102) configured to determine whether or not correspondence information that associates a system log, which is a log of the electronic control system, with a communication log, which is a log of communication between the electronic control system and the outside of the vehicle, matches a preset type of attack, and determines whether or not a target element that represents at least one of a component of the electronic control system and the electronic control system has been violated;
An attack analysis program to achieve this.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2023/034764 WO2024071049A1 (en) | 2022-09-30 | 2023-09-25 | Attack analysis device, attack analysis method, and attack analysis program |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022157958 | 2022-09-30 | ||
JP2022157958 | 2022-09-30 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2024052533A true JP2024052533A (en) | 2024-04-11 |
Family
ID=90623384
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023124717A Pending JP2024052533A (en) | 2022-09-30 | 2023-07-31 | Attack analysis device, attack analysis method, and attack analysis program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2024052533A (en) |
-
2023
- 2023-07-31 JP JP2023124717A patent/JP2024052533A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
US9032521B2 (en) | Adaptive cyber-security analytics | |
US11522882B2 (en) | Detection of adversary lateral movement in multi-domain IIOT environments | |
US11463457B2 (en) | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance | |
US9635039B1 (en) | Classifying sets of malicious indicators for detecting command and control communications associated with malware | |
US20210306361A1 (en) | Analysis apparatus, analysis system, analysis method and program | |
EP3646218A1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
EP4437686A1 (en) | An interactive artificial intelligence-based response loop to a cyberattack | |
CN112534432A (en) | Real-time mitigation of unfamiliar threat scenarios | |
CN111327601B (en) | Abnormal data response method, system, device, computer equipment and storage medium | |
CN114006723B (en) | Network security prediction method, device and system based on threat information | |
CN113711559B (en) | System and method for detecting anomalies | |
GB2545480A (en) | Detection of coordinated cyber-attacks | |
Stiawan | Phishing detection system using machine learning classifiers | |
US10897472B1 (en) | IT computer network threat analysis, detection and containment | |
Zhang et al. | Intrusion detection and prevention in cloud, fog, and internet of things | |
CN111224928A (en) | Network attack behavior prediction method, device, equipment and storage medium | |
Papanikolaou et al. | An autoML network traffic analyzer for cyber threat detection | |
Raftopoulos et al. | A quality metric for IDS signatures: in the wild the size matters | |
WO2023223668A1 (en) | Attack path estimation system, attack path estimation device, attack path estimation method, and program | |
WO2024071049A1 (en) | Attack analysis device, attack analysis method, and attack analysis program | |
JP2024052533A (en) | Attack analysis device, attack analysis method, and attack analysis program | |
Yazdani et al. | Intelligent Detection of Intrusion into Databases Using Extended Classifier System. | |
Ulghar et al. | Blockchain Capabilities in Defending Advanced Persistent Threats Using Correlation Technique and Hidden Markov Models (HMM) | |
De Lucia et al. | Data Fidelity in the Post-Truth Era Part 1: Network Data |