JP6939907B2 - 検知装置、その方法、及びプログラム - Google Patents
検知装置、その方法、及びプログラム Download PDFInfo
- Publication number
- JP6939907B2 JP6939907B2 JP2019565789A JP2019565789A JP6939907B2 JP 6939907 B2 JP6939907 B2 JP 6939907B2 JP 2019565789 A JP2019565789 A JP 2019565789A JP 2019565789 A JP2019565789 A JP 2019565789A JP 6939907 B2 JP6939907 B2 JP 6939907B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- communication data
- target
- series
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 133
- 238000000034 method Methods 0.000 title description 32
- 238000004891 communication Methods 0.000 claims description 234
- 238000013075 data extraction Methods 0.000 claims description 21
- 230000008859 change Effects 0.000 claims description 20
- 239000000284 extract Substances 0.000 claims description 5
- 238000012545 processing Methods 0.000 description 37
- 230000006870 function Effects 0.000 description 20
- 230000005540 biological transmission Effects 0.000 description 16
- 238000013500 data storage Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 101100172132 Mus musculus Eif3a gene Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000012517 data analytics Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035807 sensation Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40032—Details regarding a bus interface enhancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
- H04L5/003—Arrangements for allocating sub-channels of the transmission path
- H04L5/0044—Arrangements for allocating sub-channels of the transmission path allocation of payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/83—Generation or processing of protective or descriptive data associated with content; Content structuring
- H04N21/835—Generation of protective data, e.g. certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、車両、工作機械、建設機械、農業機械等の機械類に搭載されたネットワーク、そのネットワークに接続された通信装置、および、それらで構成される通信システムで伝達される通信データの系列から所定の通信データを検知する検知装置、その方法、及びプログラムに関する。
車両(自動車、特殊車両、自動二輪車、自転車等)、工作機械、建設機械、農業機械等の機械類には複数の電子制御装置(ECU: Electronic Control Unit)が搭載されているものがあり、それらECU間の通信ネットワークに用いられる代表的なものに、コントローラエリアネットワーク(CAN: Controller Area Network)がある。 CANのネットワーク構成は各ECUの通信線が共有される、いわゆるバス型構成をとる。ECUのバスにおける通信手順には、CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance)、即ち、通信衝突する場合には優先順位の高い通信から順次送信する手順が用いられる。CAN上の各ECUの通信にはIDが含まれており、IDは通信調停の優先順位、ペイロードの内容や送信ノード等の識別に用いられる。ペイロードの長さはID毎に1バイトから8バイトまで1バイト刻みのいずれか規定されており、ペイロードの内容は設計者が自由に指定できる。
これらの車両機器通信ネットワークに対するサイバー攻撃の危険性が示唆されている。ネットワークへの不正なECUの接続や既存ECUの不正な動作書き換え等の手段により、攻撃対象機能と関連するIDの攻撃送信を挿入し、その対象機能の不正な動作を誘発可能であることが知られている。
これらの攻撃通信を検出する方法として、通信間隔に着目した方法とペイロードの順序関係に着目した方法とがある。通信間隔に着目した手法として非特許文献1が知られている。非特許文献1では、周期的に送信されるIDの通信間隔が周期からずれていることに基づいて攻撃を検知している。ペイロードの順序関係に着目した手法として非特許文献2が知られている。非特許文献2では、速度やドアの開閉を状態として捉え、状態の遷移を隠れマルコフモデルでモデル化し、起こる確率が低い状態の遷移を攻撃として検知している。
大塚、石郷岡、「既存ECUを変更不要な車載LAN向け侵入検知手法」、情報処理学会研究報告、Vol.2013-EMB-28, No.6, pp.31-35, 2013.
S. N. Narayanan, S. Mittal, and A. Joshi. "Using Data Analytics to Detect Anomalous States in Vehicles", arXiv:1512.08048, 2015.
しかしながら、従来の攻撃通信検知手法では、周期的に送信され、かつ運転手の操作等のイベントにも連動して送信されるID(以下、周期+イベント型と呼ぶ)に対する攻撃通信の検知は困難である。具体的には、周期+イベント型のIDではイベントが発生した際に、攻撃と同様に通信間隔が周期からずれるため、通信間隔に着目した方法では正常なイベントと攻撃通信を区別することができない。ペイロードの順序関係に着目した方法でも、攻撃者が正規のイベントによるペイロードの遷移と同一となるように攻撃通信を挿入すると検知することができない。
そこで、本発明では、ペイロードの順序関係と通信間隔の両方に着目し、周期+イベント型のIDに対して挿入された攻撃通信を検知する検知装置、その方法、及びプログラムを提供することを目的とする。
上記の課題を解決するために、本発明の一態様によれば、検知装置は、一連の通信データには同一の通番が与えられるものとし、1つ以上の電子制御装置から送信される1つ以上の通信データから、所定の条件を満たす通信データに含まれるペイロードの少なくとも一部と、その通信データの通信間隔を算出することができる情報と、その通信データの通番とを対象データとして抽出する対象データ抽出部と、抽出した対象データを用いて、同一の通番を持ち、2つ以上の対象データから、ペイロードの少なくとも一部に対応する情報と、通信間隔を示す情報とを含む部分系列を作成する部分系列作成部と、作成した部分系列を用いて、ペイロードの少なくとも一部の順序関係と通信間隔に基づいて、所定の通信データを検知する検知部とを含み、所定の条件は、周期的に送信され、かつ所定のイベントにも連動して送信される通信データのみを抽出するための条件である。
本発明によれば、周期+イベント型のIDに対して挿入された攻撃通信を検知することができるという効果を奏する。
以下、本発明の実施形態について、説明する。なお、以下の説明に用いる図面では、同じ機能を持つ構成部や同じ処理を行うステップには同一の符号を記し、重複説明を省略する。以下の説明において、ベクトルや行列の各要素単位で行われる処理は、特に断りが無い限り、そのベクトルやその行列の全ての要素に対して適用されるものとする。
<第一実施形態>
図1は第一実施形態に係る検知装置1の機能ブロック図を示す。
図1は第一実施形態に係る検知装置1の機能ブロック図を示す。
検知装置1は、対象通信入力部2と、既知通信入力部3と、対象データ抽出部4と、部分系列作成部5と、検知部6と、検知器作成部7とを含む。
検知装置1は、例えば、中央演算処理装置(CPU: Central Processing Unit)、主記憶装置(RAM: Random Access Memory)などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。検知装置1は、例えば、中央演算処理装置の制御のもとで各処理を実行する。検知装置1に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。検知装置1の各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。検知装置1が備える各記憶部は、例えば、RAM(Random Access Memory)などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ(Flash Memory)のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。
検知装置1には、学習フェーズと検知フェーズがある。図2は学習フェーズの処理フローを示し、図3は検知フェーズの処理フローを示す。
学習フェーズでは、検知装置1は、既知通信データを入力とし、検知器を生成し、生成した検知器を検知部6に設定する。
検知フェーズでは、検知装置1は、対象通信データを入力とし、検知器を用いて、所定の通信データを検知し、検知結果を出力する。
なお、各フェーズを別装置により実装してもよい。その場合、学習フェーズを実装する装置(以下、学習装置ともいう)は、対象通信入力部2と検知部6とを含まなくともよい。検知フェーズを実装する検知装置は、既知通信入力部3と検知器作成部7とを含まなくともよい。
[学習フェーズ]
まず、図1及び図2を用いて学習フェーズにおける各部の処理内容を説明する。
まず、図1及び図2を用いて学習フェーズにおける各部の処理内容を説明する。
<既知通信入力部3>
既知通信入力部3は、正常であることが既知である通信データ、または攻撃であることが既知である通信データ(以下、まとめて既知通信データともいう)を入力として許容し(S3)、出力する。
既知通信入力部3は、正常であることが既知である通信データ、または攻撃であることが既知である通信データ(以下、まとめて既知通信データともいう)を入力として許容し(S3)、出力する。
図4は、既知通信データの例を示す。既知通信データには、通番、時刻、データ種別、送信元、宛先、単数または複数のデータ、ラベルが含まれる。データ種別、送信元、宛先は、これらのうち少なくともどれか1つが含まれていればよいが、複数が含まれていてもよい。図4はデータ種別を含む例である。ただし、既知通信データに同一のデータ種別、または送信元、または宛先の通信のみが含まれている場合は、データ種別、送信元、宛先の情報が全て含まれていなくてもよい。既知通信データのデータ種別、送信元、宛先が決まっており、区別する必要がないためである。通番は同一のログに含まれる通信データ(一連の通信データ)には同一の番号が与えられる。時刻は、2017/10/30 12:00等の時刻が考えられるが、通信間隔が算出することができる情報であれば、ログの記録を開始してからの経過時間等でも良い。データ種別としてはCAN ID等が考えられるが、同一のデータ種別の通信が特定できる情報であればどのような情報であってもよい。送信元や宛先も、同一の送信元または宛先の通信が特定できる情報であればどのような情報であってもよい。データは、数値が考えられるが、文字列等の他の形式でもよい。1つの通信に含まれるデータの数はデータ種別ごとに異なっていても良いが、同一のデータ種別の通信に含まれるデータの数は同一である必要がある。ラベルは、「正常」、「攻撃」等が考えられるが、「挿入」、「書き換え」、「削除」等でもよい。ラベルは、通信ごとに記録されていることが考えられるが、通番ごと、通番内のいくつかの通信ごとに記録されていても良い。ただし、既知通信データが全て「正常」または「攻撃」等に決まっている(1つのラベルに対応するものであり統一されている)場合には、ラベルを含まなくともよい。
<対象データ抽出部4>
対象データ抽出部4は、既知通信入力部3で許容された既知通信データ(以下、単に通信データともいう)を入力とし、1つ以上の通信データから、所定の条件を満たす通信データに含まれるペイロードの少なくとも一部と、その通信データの通信間隔を算出することができる情報と、その通信データの通番と、ラベルとを対象データとして抽出し(S4)、出力する。以下、ペイロードの少なくとも一部を単にデータとも言う。なお、所定の条件を満たさない通信データは、抽出しなくともよい。抽出する対象データは、データの取り得る値の種類数が事前に決められた閾値以下のデータを対象とする方法等が考えられるが、事前に手動で他の抽出条件を設定してもよい。
対象データ抽出部4は、既知通信入力部3で許容された既知通信データ(以下、単に通信データともいう)を入力とし、1つ以上の通信データから、所定の条件を満たす通信データに含まれるペイロードの少なくとも一部と、その通信データの通信間隔を算出することができる情報と、その通信データの通番と、ラベルとを対象データとして抽出し(S4)、出力する。以下、ペイロードの少なくとも一部を単にデータとも言う。なお、所定の条件を満たさない通信データは、抽出しなくともよい。抽出する対象データは、データの取り得る値の種類数が事前に決められた閾値以下のデータを対象とする方法等が考えられるが、事前に手動で他の抽出条件を設定してもよい。
所定の条件としては、例えば、以下のような条件が考えられる。
(1)通信データに含まれるデータの取り得る値の種類数が閾値以下であること
(2)通信データに含まれるデータの種別と、通信データの送信元と、通信データの宛先との少なくとも何れかが予め定めたものであること
(3)通信データに含まれるデータの種別と、通信データの送信元と、通信データの宛先との少なくとも何れかが予め定めた変化をするものであること
図5は、検査対象データの抽出例を示す。
(1)通信データに含まれるデータの取り得る値の種類数が閾値以下であること
(2)通信データに含まれるデータの種別と、通信データの送信元と、通信データの宛先との少なくとも何れかが予め定めたものであること
(3)通信データに含まれるデータの種別と、通信データの送信元と、通信データの宛先との少なくとも何れかが予め定めた変化をするものであること
図5は、検査対象データの抽出例を示す。
このような条件を設けることで、周期+イベント型の通信データのみを抽出する。つまり、所定の条件とは、周期+イベント型の通信データのみを抽出するための条件と言える。なお、周期+イベント型の通信データとは、周期的に送信され(発生し)、かつ所定のイベント(例えば、ドアの開閉変化やライトのON/OFFの状態変化等)にも連動して送信される通信データである。
上述の(1)の条件では、一般的に周期+イベント型の通信データに含まれるデータは取り得る値の種類数が少ないという特徴を利用し、周期+イベント型の通信データのみを抽出する。なお、「データの取り得る値の種類数」は、例えば、あるデータが取り得る値が0,1なら2、0〜199を1刻みで取れるなら200である。
また、特定のイベントの発生によって生じるデータ種別、または送信元、または宛先やデータが特定できている場合は、上述の(2)の条件を設定することで、周期+イベント型の通信データのみを抽出する。
また、特定のイベントの発生によって連動して変化するデータ種別、または送信元、または宛先やデータが特定できている場合は、上述の(3)の条件を設定することで、周期+イベント型の通信データのみを抽出する。
上述の条件(2),(3)の場合、イベントの発生時のみ、特定のデータ種別等が生じる、または特定のデータ種別等に変化が生じるため、抽出の精度を向上させることができる。なお、複数のデータ種別、または送信元、または宛先の通信データを抽出する場合は、それらの通信データを抽出しうるように条件を設定すればよい。例えば、「種別」=1、または、「種別」=2であること、を所定の条件とすればよい。
通信データに含まれるペイロードに複数のデータが含まれる場合には、予め定めたデータを前述のペイロードの少なくとも一部として設定しておけばよい。例えば、図5の例では通信データに含まれるデータ1、データ2、データ3のうち、データ1をペイロードの一部としている。
<部分系列作成部5>
部分系列作成部5は、対象データ抽出部4で抽出した対象データを用いて、同一の通番を持ち、2つ以上の対象データから、データに対応する情報と、通信間隔を示す情報と、ラベルとを含む部分系列を作成し(S5)、出力する。
部分系列作成部5は、対象データ抽出部4で抽出した対象データを用いて、同一の通番を持ち、2つ以上の対象データから、データに対応する情報と、通信間隔を示す情報と、ラベルとを含む部分系列を作成し(S5)、出力する。
図6及び図7は、部分系列の作成例を示す。
例えば、同一の通番をもつ対象データの系列から、複数の対象データを抽出して部分系列を作成する。
例えば、連続する事前に決められた数の対象データを部分系列として作成してもよいが、事前に決められた時間内に送信された対象データを部分系列として作成してもよい。連続する事前に決められた数の対象データを部分系列として作成する場合、事前に決められた数の対象データがない場合には、その対象データからは部分系列を作成しない構成としてもよい(図7参照)。対象データの系列に複数のデータ種別、または送信元、または宛先が含まれる場合は、複数のデータ種別、または送信元、または宛先が混在するように部分系列を作成してもよいし、データ種別毎、または送信元毎、または宛先毎に部分系列を作成してもよい。
対象データの系列に複数のデータ種別、または送信元、または宛先からの対象データが含まれる場合は、それらの情報を部分系列に含めてもよい。
部分系列作成部5は、対象データに含まれる通信データの通信間隔を算出することができる情報から通信間隔を算出し、部分系列の一部とする。例えば、二つの通信データの送信時刻からそれら二つの通信データの通信間隔を算出して部分系列の一部とする。(i)部分系列における直前の通信データの時刻との差分を算出してもよいし、(ii)直前の同一のデータ種別、または送信元、または宛先からの通信データの時刻との差分を算出してもよい。さらに、直前のデータの時刻との差分だけでなく、(iii)2つ前や3つ前のデータとの時刻の差分を通信間隔として用いてもよい。通信間隔を示す情報としては、例えば、上述の(i)〜(iii)等が考えられる。
データに対応する情報として、(a)データそのもの、(b)二つのデータの間の変化量、(c)データの取りうる値を分類して作成された複数の集合のうち、どの集合に属しているかを示す情報等が考えられる。
<検知器作成部7>
検知器作成部7は、既知通信データに基づき作成した部分系列を入力とし、これらの値を用いて、検知器を作成し(S7)、出力する。検知器とは、入力データ(本実施形態では対象通信データから作成した部分系列)を入力したときに、検知結果(正常、攻撃等)を出力するものである。検知器は、検知部6で用いるものであり、検知の方法に合わせて作成するため、その作成方法は、検知部6で合わせて説明する。
検知器作成部7は、既知通信データに基づき作成した部分系列を入力とし、これらの値を用いて、検知器を作成し(S7)、出力する。検知器とは、入力データ(本実施形態では対象通信データから作成した部分系列)を入力したときに、検知結果(正常、攻撃等)を出力するものである。検知器は、検知部6で用いるものであり、検知の方法に合わせて作成するため、その作成方法は、検知部6で合わせて説明する。
学習フェーズで作成した検知器を検知フェーズに移る前に、同一装置、または、別装置の検知部6に設定する。
[検知フェーズ]
次に、図1及び図3を用いて検知フェーズにおける各部の処理内容を説明する。
次に、図1及び図3を用いて検知フェーズにおける各部の処理内容を説明する。
<対象通信入力部2>
対象通信入力部2は、検知対象の通信データ(対象通信データ)を入力として許容し(S2)、出力する。
対象通信入力部2は、検知対象の通信データ(対象通信データ)を入力として許容し(S2)、出力する。
図8は、対象通信データの例を示す。対象通信データに含まれる情報の種類は、例えば、既知通信データと同じである。ただし、ラベルを含まない。
<対象データ抽出部4及び部分系列作成部5>
対象データ抽出部4及び部分系列作成部5における処理S4,S5は、処理対象が既知通信データに基づくデータではなく、対象通信データに基づくデータをあることを除いて学習フェーズと同じである。なお、ラベルを含まない対象通信データに基づくデータに対して処理を行うため、ラベルに対する処理は行わない。
対象データ抽出部4及び部分系列作成部5における処理S4,S5は、処理対象が既知通信データに基づくデータではなく、対象通信データに基づくデータをあることを除いて学習フェーズと同じである。なお、ラベルを含まない対象通信データに基づくデータに対して処理を行うため、ラベルに対する処理は行わない。
<検知部6>
検知部6は、対象通信データに基づき作成した部分系列を入力とし、これらの値と検知器とを用いて、データの順序関係と通信間隔に基づいて、所定の通信データを検知し(S6)、検知結果(攻撃、正常等)を出力する。なお、ここでいう順序関係とは時間的な順序関係を意味する。
検知部6は、対象通信データに基づき作成した部分系列を入力とし、これらの値と検知器とを用いて、データの順序関係と通信間隔に基づいて、所定の通信データを検知し(S6)、検知結果(攻撃、正常等)を出力する。なお、ここでいう順序関係とは時間的な順序関係を意味する。
以下、検知方法と検知器とを例示する。以下の検知例では、所定の通信データとして、攻撃と見做される通信データを検知するが、用途に合わせて他の通信データ(「正常」、「攻撃」、「挿入」、「書き換え」、「削除」等)を検知してもよい。
(検知例1)
既知通信データから作成された部分系列に対象通信データから作成された部分系列と同一のものがあるかに基づいて所定の通信データを検知する。
既知通信データから作成された部分系列に対象通信データから作成された部分系列と同一のものがあるかに基づいて所定の通信データを検知する。
この場合、予め既知通信データから作成された部分系列を図示しない記憶部に記憶しておく。検知器は、対象通信データから作成された部分系列を入力とし、図示しない記憶部に対象通信データから作成された部分系列と同一の部分系列が存在するか否かを検索し、検索結果に基づき検知結果を求め、出力する。検知器作成部7は、既知通信データから作成された部分系列からなるデータベースと、対象通信データから作成された部分系列をデータベースの中から検索する検索機能とを含む検知器を作成する。図9は、検知例1を説明するための図である。
図9の例では、既知通信データから作成された部分系列の通番2と、対象通信データから作成された部分系列の通番1は同一であり、既知通信データから作成された部分系列の通番2のラベルは正常なので、この対象通信データから作成された部分系列は正常と判断される。攻撃を検知する場合には、この対象通信データは攻撃として検知されない。
例えば、既知通信データから作成された部分系列のラベルが攻撃の場合には、その部分系列と同一の対象通信データから作成された部分系列を、攻撃と判断し、検出する。
例えば、既知通信データが全て「正常」等に決まっており(統一されており)、既知通信データにラベルが含まれない場合には、対象通信データから作成された部分系列と同一の部分系列が図示しない記憶部に存在する場合には、その統一されたものと同一(「正常」等)であると判断する。
以下の検知例では、既知通信データとして正常な通信データのみを用いた例を示すが、正常と攻撃の通信データを用いて異常検知手法を適用してもよい。また、設計書や仕様書から検知ルールを事前に作成し、そのルールに従って検知してもよい。
(検知例2)
ベイジアンネットワークやニューラルネットワーク等の機械学習手法を用いて検知器を作成し、攻撃を検知してもよい。ベイジアンネットワークやニューラルネットワーク等の機械学習手法により、所定の通信データを検知するためのモデルを学習し、このモデルを用いて検知結果を求める。
ベイジアンネットワークやニューラルネットワーク等の機械学習手法を用いて検知器を作成し、攻撃を検知してもよい。ベイジアンネットワークやニューラルネットワーク等の機械学習手法により、所定の通信データを検知するためのモデルを学習し、このモデルを用いて検知結果を求める。
ベイジアンネットワークを用いた場合の挙動を示す(図10参照)。図10では既知通信データとして正常な通信データのみを用いて異常検知手法を適用するものとし、ラベルを省略している。ベイジアンネットワークでは、まず部分系列に含まれるデータと通信間隔間に依存関係が存在するかを推定する。図10では、2番目のデータの生起確率が、1番目のデータと通信間隔に依存していると推定された場合の例を示している。依存関係の推定が完了したら、既知通信データから条件つき確率を推定する。例えば、1番目のデータが「0」であり、通信間隔が「0’01”」である条件のとき、2番目のデータが「1」の場合が4回、「0」の場合が1回存在するため、「1」となる確率が4/(4+1)=0.8、「0」となる確率が1/(4+1)=0.2と算出される。条件付確率はこの様に求めてもよいし、事前分布を仮定して算出してもよい。条件付確率を求める処理がモデルの学習に相当する。このようにして、既知通信データを用いて、ベイジアンネットワークを含むモデルを備える検知器を作成する。
対象通信データの判定では、検知器は、対象通信データから作成された部分系列を入力とし、検知結果を出力する。例えば、検知器は、部分系列を入力とし、ベイジアンネットワークにて条件つき確率を推定し、各部分系列の2番目のデータの条件つき確率が閾値(例えば、0.3)以上の場合は正常、閾値未満の場合は攻撃と判定する。図10の例では対象通信データから作成された部分系列の通番1は条件つき確率が0.8で閾値以上のため「正常」と判定され、通番2は条件つき確率が0.2で閾値未満のため攻撃と判定される。
この場合、検知器作成部7は、既知通信データから作成された部分系列からなるデータベースから学習したモデルと、対象通信データから作成された部分系列をモデルに入力して得られる出力値(条件付き確率)と閾値との大小関係に基づき検知結果を求める判定機能とを含む検知器を作成する。なお、モデルは上述のモデルに限定されない。要は、所定の通信データを検知することができるモデルであればどのようなものであってもよく、モデルの出力がそのまま検知結果であってもよい。既知通信データに攻撃や正常等のラベルを含んだものを学習データとしてモデルを学習すれば、モデルの出力自体が攻撃や正常等を示す検知結果となる。この場合、モデル自体が検知器に相当する。
(検知例3)
図11は、互いに独立な複数のデータが含まれる場合の攻撃の検知例を示す。
図11は、互いに独立な複数のデータが含まれる場合の攻撃の検知例を示す。
この例では、データ1とは独立なデータ2が部分系列に含まれている。例えば、データ1はライトのON/OFFの状態値を示し、データ2は送信ごとに1ずつ増加するカウンタを示す。対象通信データから作成された部分系列と同一の既知通信データから作成された部分系列は存在しないため、この部分系列は攻撃と検知される。しかし、データ1の挙動は図10と同一であることから正常である。さらに、データ2がカウンタとして動作するデータであった場合、対象通信データから作成された部分系列のデータ2の挙動も正常である。したがって、図11の部分系列を攻撃と検知するのは誤りである。この部分系列からデータ1だけ抽出した場合は図10と同一となるため、正常と判定され誤検知を防ぐことができる。このように、検査対象のデータを限定することで、誤検知を削減し検知精度を向上させることができる。
この場合、検知器作成部7は、既知通信データから作成された部分系列(ただしデータ2を除く)を用いて、ベイジアンネットワークやニューラルネットワーク等の機械学習手法により、検知モデルを学習する。検知モデルは、部分系列(ただしデータ2を除く)を入力とし、検知結果を出力するモデルである。
(検知例4)
図13は、データの変化量に基づく検知例を示す。図12及び図13を用いてデータをそのまま用いた場合の検知結果とデータの変化量を用いた場合の検知結果の違いを示す。データをそのまま用いた場合では、対象通信データから作成された部分系列と同一の既知通信データから作成された部分系列が存在しないため、攻撃と検知される(図12参照)。このデータが、速度等のデータであった場合は、対象通信データから作成された部分系列はなめらかに速度が変化しており正常な動作であるため検知結果は誤りである。
図13は、データの変化量に基づく検知例を示す。図12及び図13を用いてデータをそのまま用いた場合の検知結果とデータの変化量を用いた場合の検知結果の違いを示す。データをそのまま用いた場合では、対象通信データから作成された部分系列と同一の既知通信データから作成された部分系列が存在しないため、攻撃と検知される(図12参照)。このデータが、速度等のデータであった場合は、対象通信データから作成された部分系列はなめらかに速度が変化しており正常な動作であるため検知結果は誤りである。
これらのデータから変化量を算出した場合は、対象通信データから作成された部分系列と既知通信データから作成された部分系列に同一の部分系列が存在するため、正常と判定される(図13)。このように、速度等のデータの値より変化量の方がばらつきが少ない場合は、データの変化量を算出することで、データの増加や減少等の挙動に着目して検知することができ、誤検知を削減し検知精度を向上させることができる。
この場合、予め既知通信データから作成された部分系列を用いて、部分系列に含まれるデータの変化量(例えば差分)を求め、通番と変化量と送信間隔との組合せを新たな部分系列として図示しない記憶部に記憶しておく。検知器は、対象通信データから作成された部分系列を入力とし、その部分系列に含まれるデータの変化量を求め、これを新たな部分系列とし、図示しない記憶部に対象通信データから作成された新たな部分系列が存在するか否かを検索し、検索結果に基づき検知結果を求め、出力する。検知器作成部7は、既知通信データから作成された部分系列から新たな部分系列(通番と変化量と送信間隔との組合せ)を生成する機能と、新たな部分系列からなるデータベースと、対象通信データから作成された部分系列から新たな部分系列(通番と変化量と送信間隔との組合せ)を生成する機能と、データベースの中から対象通信データに基づき生成された新たな部分系列を検索する検索機能とを含む検知器を作成する。
(検知例5)
図15にデータがどの集合に属するかに基づく検知例を示す。図14、図15を用いて、データをそのまま用いた場合の検知結果とデータがどの集合に属するかに基づいて検知した場合の違いを示す。データをそのまま用いた場合は、対象通信データから作成された部分系列と同一の既知通信データから作成された部分系列が存在しないため、攻撃として検知される(図14参照)。データがセンサから取得された値であり、誤差が生じる可能性がある場合、図14内の破線で囲まれた数字の違いは誤差と考えられ、攻撃と検知するのは誤りである。データがどの集合に属するかに基づくことで、この誤差を許容することができ、正常と判定される(図15参照)。
図15にデータがどの集合に属するかに基づく検知例を示す。図14、図15を用いて、データをそのまま用いた場合の検知結果とデータがどの集合に属するかに基づいて検知した場合の違いを示す。データをそのまま用いた場合は、対象通信データから作成された部分系列と同一の既知通信データから作成された部分系列が存在しないため、攻撃として検知される(図14参照)。データがセンサから取得された値であり、誤差が生じる可能性がある場合、図14内の破線で囲まれた数字の違いは誤差と考えられ、攻撃と検知するのは誤りである。データがどの集合に属するかに基づくことで、この誤差を許容することができ、正常と判定される(図15参照)。
この場合、予め既知通信データから作成された部分系列を用いて、部分系列に含まれるデータを2以上の集合に分類し、通番と集合と送信間隔との組合せを新たな部分系列として図示しない記憶部に記憶しておく。検知器は、対象通信データから作成された部分系列を入力とし、その部分系列に含まれるデータを2以上の集合に分類し、これを新たな部分系列とし、図示しない記憶部に対象通信データから作成された新たな部分系列が存在するか否かを検索し、検索結果に基づき検知結果を求め、出力する。検知器作成部7は、既知通信データから作成された部分系列から新たな部分系列(通番と集合と送信間隔との組合せ)を生成する機能と、新たな部分系列からなるデータベースと、対象通信データから作成された部分系列から新たな部分系列(通番と集合と送信間隔との組合せ)を生成する機能と、データベースの中から対象通信データに基づき生成された新たな部分系列を検索する検索機能とを含む検知器を作成する。
図16と図17を用いて、データの変化量に基づく場合(検知例4)の検知結果とデータがどの集合に属するかに基づいて検知した場合(検知例5)の違いを示す。データの変化量に基づく場合、図16の例では、対象通信データから作成された部分系列と同一の部分系列が既知通信データから作成された部分系列に存在するため正常と判定される。データがどの集合に属するかに基づく場合、図17の例では、集合1から集合3への変化は、既知通信データには含まれていないため、攻撃と判定される。このように、データがどの集合に属するかに基づくことで、データの多少の誤差は許容しつつ、異常なデータの変化を検知することができ、誤検出を削減することができる。
上述の通り、取りうる値の種類数が多いデータに対しては、データがどの集合に属するかを用いることで誤検知や見逃しを削減し検知精度を向上させることができる。どのデータがどの集合に属するかは手動で設定してもよいが、クラスタリング等の手法を用いて分類してもよい。
第一実施形態を自動車の車載システムおけるサイバー攻撃の検知に適用した場合の実施例を説明する。本実施例の大きな流れは以下の通りである。
(学習フェーズ)
(1-1)収集用車両にて、正常に動作している車両のデータを収集する。
(1-2)学習用システムにて、前記収集した車両のデータを入力とし、正常な部分系列の集合を求める。
(1-1)収集用車両にて、正常に動作している車両のデータを収集する。
(1-2)学習用システムにて、前記収集した車両のデータを入力とし、正常な部分系列の集合を求める。
(検知フェーズ)
(2)実行用車両に、前記正常な部分系列の集合を搭載し、同車両にて発生するサイバー攻撃による異常の検知と対処を行う。
(2)実行用車両に、前記正常な部分系列の集合を搭載し、同車両にて発生するサイバー攻撃による異常の検知と対処を行う。
以下、上記の流れに沿って具体的な動作を説明する。
手順(1-1)で用いる収集用車両の車載システムの構成例を図18に示す。
車載システムは、収集部11とデータ蓄積部12とゲートウェイ13と1台以上のECU14とを含む。図18において、ECU14は自動車を制御・監視するためのマイコンであり、それぞれ、ドアロックやブレーキ、エンジンなどを制御したり、車速や車外気温、タイヤ空気圧などのデータを観測したりなどといった固有の機能を有する。各ECU14は通信バスで接続されており、制御信号や観測データのやり取りがCANプロトコルに従って行われる。一つ一つの制御信号や観測データをCANメッセージと呼ぶ。1つのCANメッセージには、その制御信号ないし観測データが関わる機能の種別に対応するCAN-IDと、制御信号や観測データの値が一ないし複数含まれる。ゲートウェイ13は、複数のバスを接続しており、それらを跨ったECU間のCANメッセージのやりとりを可能とする。収集部11はゲートウェイ13に接続されており、すべてのバスに流れるすべてのECU14のすべてのCANメッセージを観測し、データ蓄積部12へと記録する。このとき、CANメッセージが観測された時刻を当該CANメッセージの送信時刻として、当該CANメッセージの中身(CAN-IDおよび一つ以上の値)と合わせて記録するようにしておく。以上のシステムを搭載した車両を実際に動作させて、ECU14が送受するCANメッセージを収集、蓄積する。収集作業は何度かに分けて行っても良い。その場合、分割された収集作業ごとに通番を振って蓄積したCANメッセージ群を管理するようにする。データ蓄積部12は磁気ディスクやフラッシュメモリなどで実現されており、データ蓄積部12そのものを収集用車両から取り出し、別のシステムに接続できるようになっている。蓄積したデータを別のシステムに渡すための手段としては、データ蓄積部12に通信インターフェイスを備えさせておき、通信によって行っても構わない。また、メディアドライブを具備させて置き、蓄積データを当該メディアドライブにて可搬メディアに書込み、当該メディアを別のシステムに挿入して用いても良い。
手順(1-2)で用いる学習用システムは、市販のパーソナルコンピュータやワークステーションに、本実施形態による既知通信入力部3と対象データ抽出部4と部分系列作成部5と検知器作成部7とをソフトウェア・プログラムとして実装して搭載して構成することが出来る。既知通信入力部3と対象データ抽出部4と部分系列作成部5と検知器作成部7の動作原理は、上述の通りである。また、当該パーソナルコンピュータあるいはワークステーションの記憶媒体を、手順(1-1)によって収集した正常なCANメッセージ群を格納しておくデータ蓄積部12、対象データ抽出部4と部分系列作成部5と検知器作成部7とで参照するルールを格納しておくルール蓄積部15、手順(1-2)の結果を書きだすモデル蓄積部16として用いる。
まず、手順(1-1)によって収集した送信時刻付きのCANメッセージ群を、学習用システムのデータ蓄積部12に格納し、これらを入力として対象データ抽出を行う。対象データの抽出においては、どのデータ種別を対象として、どのデータを抽出するかを予め定めておく。本実施例では、抽出対象とするCAN-IDと、そのCAN-IDのCANメッセージに含まれる値のどの位置にあるデータを抽出するかを対応付けて定めた対象データ抽出ルールをルール蓄積部15に格納しておく。その例を図20に示す。この例では、CAN-IDが0x1AAであるCANメッセージからその値の中の先頭1バイト目のデータのみを取り出し、同じく0x2BBであるCANメッセージからはその値の中の先頭から2バイト目と4バイト目のデータを取り出すことを示している。当該車両の車載システム内にて流れ得るすべてのCAN-IDについてこうしたルールを定めても良いし、特に攻撃が疑われるCAN-IDや特に攻撃がなされた場合の影響が大きいCAN-IDなどに絞って定義しても良い。
こうして抽出された対象データを対象に部分系列作成を実施する。なお、第一実施形態では、部分系列作成部5において対象データから部分系列を作成し、検知器作成部7において、検知方法に合わせて、通信データから作成された部分系列から新たな部分系列(検知例4では通番と変化量と送信間隔との組合せ、検知例5では通番と集合と送信間隔との組合せ)を生成する機能を持つ検知器を作成していたが、部分系列作成部5において、対象データから直接、上述の新たな部分系列に相当する部分系列を作成する構成としてもよい。この場合、検知器は新たな部分系列を入力とし、検知結果を出力する。何れの場合であっても、検知部6が、部分系列作成部5において作成した部分系列を用いて、データの順序関係と通信間隔に基づいて、所定の通信データを検知するという点は同じである。この実施例では、対象データから直接、上述の新たな部分系列に相当する部分系列を作成する例について説明する。
部分系列の作成においては、上述の通り、複数の方針を取りうる。複数の方針とは、例えば、
(1)CANメッセージ中の単一データ(例えばデータ1のみ)に着目するか複数データ(例えばデータ1とデータ2)に着目するか、といった着目するデータの数に関する方針
(2)CANメッセージ中に含まれていたデータの値そのものに着目するか、二つの関連するCANメッセージ(例えば連続して到着する同一CAN-IDのCANメッセージ)に含まれるデータの差分(上述の変化量にも相当)に着目するか、CANメッセージに含まれるデータをその値に応じていくつかのグループに分類してその分類先のグループ(上述の集合に相当)に着目するか、といったデータの特徴量化に関する方針
(3)関連するCANメッセージの内いくつをまとめて部分系列の作成に用いるかといった入力メッセージ数に関する方針
(4)一つのCANメッセージの中の複数のデータを抽出する場合、それらから別々の部分系列を作成するか、それらを連接して共通の部分系列を作成するかといったデータの分解能に関する方針
等である。
(1)CANメッセージ中の単一データ(例えばデータ1のみ)に着目するか複数データ(例えばデータ1とデータ2)に着目するか、といった着目するデータの数に関する方針
(2)CANメッセージ中に含まれていたデータの値そのものに着目するか、二つの関連するCANメッセージ(例えば連続して到着する同一CAN-IDのCANメッセージ)に含まれるデータの差分(上述の変化量にも相当)に着目するか、CANメッセージに含まれるデータをその値に応じていくつかのグループに分類してその分類先のグループ(上述の集合に相当)に着目するか、といったデータの特徴量化に関する方針
(3)関連するCANメッセージの内いくつをまとめて部分系列の作成に用いるかといった入力メッセージ数に関する方針
(4)一つのCANメッセージの中の複数のデータを抽出する場合、それらから別々の部分系列を作成するか、それらを連接して共通の部分系列を作成するかといったデータの分解能に関する方針
等である。
本実施例では、抽出対象とするCAN-IDとそこから抽出したデータの位置に、それらのデータからどのように部分系列を作成するか定めた生成条件を対応付けて定めた部分系列生成ルールをルール蓄積部15に格納しておく。その例を図21に示す。この例では、CAN-IDが0x1AAであるCANメッセージの先頭1バイト目から取り出したデータについては、直前の同様のデータとの差分を計算してその値を用い、同じく送信時間の差分(送信間隔)と共に特徴量として、連続する4つのCANメッセージから部分系列を生成する。CAN-IDが0x2BBであるCANメッセージの先頭から2バイト目から取り出したデータについては、その値が0から63、64から127、128から255のいずれの範囲に入っているかを判定し、その帰属する範囲の順序(例えば値が66であれば範囲は2番)を用いる。同じく0x2BBであるCANメッセージの4バイト目から取り出したデータについては、その値をそのまま用いる。0x2BBからは二か所のデータが取り出されるが、それらは別々の部分系列として生成される。一方、0x3DDからは3バイト目と5バイト目が取り出され、それらはそれぞれそのデータの値がそのまま用いられ、かつ、連接して(1つのデータとして)用いられ、共通の部分系列が生成される。
以上の処理をデータ蓄積部12に格納されている送信時刻付きのすべてのCANメッセージ群に対して実施することにより生成された、CAN-ID毎の正常な部分系列の集合は、モデル蓄積部16に格納される。
手順(2)で用いる実行用車両の車載システムの構成例を図19に示す。図19におけるECU14やゲートウェイ13は図18におけるそれらと同様である。ルール蓄積部15とモデル蓄積部16は記憶媒体である。本実施形態の対象通信入力部2と、対象データ抽出部4と、部分系列作成部5と、検知部6とを含む検知装置1は、マイコン上に実装される。検知装置1の対象データ抽出部4と部分系列作成部5は手順(1-2)にて説明したものと同様であり、検知装置1の検知部6の動作原理は、上述の<検知部6>で説明した通りである。検知装置1はまた、収集用車両(図18)の収集部11と同様、すべてのバスに流れるすべてのECU14のすべてのCANメッセージとその到着時刻を観測することができ、それらを入力として、対象データ抽出部4等を実行するよう構成されている。通知部21は、検知部6が攻撃を検知した場合に、そのことを当該車両の運転手あるいは当該車両の運行を遠隔から監視しているセンターに無線通信を使って通知する機能を持つ。運転手への通知はディスプレイ表示を通じて行ったり、ハンドルに振動を与えることで触覚を通じて行ったりする方法が取りうる。
実行用車両のルール蓄積部15に手順(1-2)で用いた対象データ抽出ルールと部分系列生成ルールを格納し、また、モデル蓄積部16に手順(1-2)で生成された部分系列の集合を格納した後、検知装置1の動作をオンにして実行用車両の利用(運行)を開始する。その後、車載システムに流れるCANメッセージはすべてゲートウェイ13を介して検知装置1にも送られる。検知装置1では、次々と到達するCANメッセージを対象に、ルール蓄積部15にある対象データ抽出ルールに従い対象データ抽出を行う。その結果、必要な数のCANメッセージが揃っている場合にはルール蓄積部15にある部分系列生成ルールに従って部分系列作成を行い、得られた部分系列を対象として、モデル蓄積部16に格納されている正常な部分系列の集合を用いて当該部分系列が正常であるか攻撃であるかを判定する。攻撃と判定した場合には、通知部21に指示し、運転手やあるいは遠隔の監視センターに対して攻撃があったことを通知し、車両の運行停止や一部機能の停止、機能の利用制限などの対処を促す。
<効果>
以上の構成により、周期+イベント型のIDに対して挿入された攻撃通信を検知することができる。対象データ抽出部4において、周期+イベント型の通信データのみを抽出し、この通信データに着目することが可能なため攻撃の見逃しを増加させることなく誤検知を削減し、検知精度を向上させることができる。
以上の構成により、周期+イベント型のIDに対して挿入された攻撃通信を検知することができる。対象データ抽出部4において、周期+イベント型の通信データのみを抽出し、この通信データに着目することが可能なため攻撃の見逃しを増加させることなく誤検知を削減し、検知精度を向上させることができる。
<変形例>
本実施形態では、ECU間の通信ネットワークにCANを用いているが、他の手法を用いてもよい。
本実施形態では、ECU間の通信ネットワークにCANを用いているが、他の手法を用いてもよい。
<その他の変形例>
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
<プログラム及び記録媒体>
また、上記の実施形態及び変形例で説明した各装置における各種の処理機能をコンピュータによって実現してもよい。その場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
また、上記の実施形態及び変形例で説明した各装置における各種の処理機能をコンピュータによって実現してもよい。その場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶部に格納する。そして、処理の実行時、このコンピュータは、自己の記憶部に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実施形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよい。さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、プログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、コンピュータ上で所定のプログラムを実行させることにより、各装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
Claims (7)
- 一連の対象通信データには同一の通番が与えられるものとし、1つ以上の電子制御装置から送信される1つ以上の対象通信データから、所定の条件を満たす対象通信データに含まれるペイロードの少なくとも一部と、その対象通信データの通信間隔を算出することができる情報と、その対象通信データの通番とを対象データとして抽出する対象データ抽出部と、
抽出した対象データを用いて、同一の通番を持ち、2つ以上の対象データから、ペイロードの少なくとも一部に対応する情報と、通信間隔を示す情報とを含む部分系列を作成する部分系列作成部と、
作成した部分系列と検知器を用いて、ペイロードの少なくとも一部の順序関係と通信間隔に基づいて、所定の対象通信データを検知する検知部とを含み、
前記所定の条件は、周期的に送信され、かつ所定のイベントにも連動して送信される対象通信データのみを抽出するための条件であり、
前記検知器は、既知通信データに基づき作成した部分系列を用いて、作成され、
前記既知通信データは、正常であることまたは攻撃であることが既知である通信データである、
検知装置。 - 請求項1の検知装置であって、
対象通信データに含まれるペイロードの少なくとも一部の取り得る値の種類数が閾値以下であることが、前記所定の条件である、
検知装置。 - 請求項1の検知装置であって、
対象通信データに含まれるデータの種別と、対象通信データの送信元と、対象通信データの宛先との少なくとも何れかが予め定めたものであること、または、対象通信データに含まれるデータの種別と、対象通信データの送信元と、対象通信データの宛先との少なくとも何れかが予め定めた変化をするものであることが、前記所定の条件である、
検知装置。 - 請求項1から請求項3の何れかの検知装置であって、
前記検知部は、
2つ以上のペイロードの少なくとも一部の変化量と通信間隔に基づいて、所定の対象通信データを検知する、
検知装置。 - 請求項1から請求項4の何れかの検知装置であって、
前記検知部は、
ペイロードの少なくとも一部の取り得る値を複数の集合に分類し、ペイロードの少なくとも一部が属している集合の順序関係と通信間隔に基づいて、所定の対象通信データを検知する、
検知装置。 - 一連の対象通信データには同一の通番が与えられるものとし、1つ以上の電子制御装置から送信される1つ以上の対象通信データから、所定の条件を満たす対象通信データに含まれるペイロードの少なくとも一部と、その対象通信データの通信間隔を算出することができる情報と、その対象通信データの通番とを対象データとして抽出する対象データ抽出ステップと、
抽出した対象データを用いて、同一の通番を持ち、2つ以上の対象データから、ペイロードの少なくとも一部に対応する情報と、通信間隔を示す情報とを含む部分系列を作成する部分系列作成ステップと、
作成した部分系列と検知器を用いて、ペイロードの少なくとも一部の順序関係と通信間隔に基づいて、所定の対象通信データを検知する検知ステップとを含み、
前記所定の条件は、周期的に送信され、かつ所定のイベントにも連動して送信される対象通信データのみを抽出するための条件であり、
前記検知器は、既知通信データに基づき作成した部分系列を用いて、作成され、
前記既知通信データは、正常であることまたは攻撃であることが既知である通信データである、
検知方法。 - 請求項1から請求項5の何れかの検知装置としてコンピュータを機能させるためのプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018005770 | 2018-01-17 | ||
| JP2018005770 | 2018-01-17 | ||
| PCT/JP2018/047278 WO2019142602A1 (ja) | 2018-01-17 | 2018-12-21 | 検知装置、その方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019142602A1 JPWO2019142602A1 (ja) | 2020-12-17 |
| JP6939907B2 true JP6939907B2 (ja) | 2021-09-22 |
Family
ID=67302294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019565789A Active JP6939907B2 (ja) | 2018-01-17 | 2018-12-21 | 検知装置、その方法、及びプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11411761B2 (ja) |
| EP (1) | EP3742677B1 (ja) |
| JP (1) | JP6939907B2 (ja) |
| CN (1) | CN111903095B (ja) |
| WO (1) | WO2019142602A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11700270B2 (en) * | 2019-02-19 | 2023-07-11 | The Aerospace Corporation | Systems and methods for detecting a communication anomaly |
| JP7011637B2 (ja) * | 2019-10-17 | 2022-01-26 | 本田技研工業株式会社 | 不正信号検出装置 |
| CN113596019B (zh) * | 2021-07-27 | 2023-03-24 | 中国南方电网有限责任公司 | 高性能网络流量数据表示和提取方法和系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4367361B2 (ja) * | 2005-03-24 | 2009-11-18 | 株式会社デンソー | 伝送装置 |
| CN101425846A (zh) * | 2007-10-29 | 2009-05-06 | 北京三星通信技术研究有限公司 | 基于信标帧结构的同步突发定时及序列号检测方法及设备 |
| JP6315905B2 (ja) * | 2013-06-28 | 2018-04-25 | 株式会社東芝 | 監視制御システム及び制御方法 |
| US9288048B2 (en) * | 2013-09-24 | 2016-03-15 | The Regents Of The University Of Michigan | Real-time frame authentication using ID anonymization in automotive networks |
| CN111181732B (zh) * | 2014-05-08 | 2024-10-01 | 松下电器(美国)知识产权公司 | 车载网络系统、电子控制单元及不正常检测方法 |
| JP6585001B2 (ja) * | 2015-08-31 | 2019-10-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、不正検知電子制御ユニット及び不正検知システム |
| JP6650343B2 (ja) * | 2016-05-16 | 2020-02-19 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
-
2018
- 2018-12-21 US US16/962,100 patent/US11411761B2/en active Active
- 2018-12-21 JP JP2019565789A patent/JP6939907B2/ja active Active
- 2018-12-21 WO PCT/JP2018/047278 patent/WO2019142602A1/ja unknown
- 2018-12-21 EP EP18900652.1A patent/EP3742677B1/en active Active
- 2018-12-21 CN CN201880086479.1A patent/CN111903095B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3742677B1 (en) | 2023-07-12 |
| US11411761B2 (en) | 2022-08-09 |
| JPWO2019142602A1 (ja) | 2020-12-17 |
| WO2019142602A1 (ja) | 2019-07-25 |
| CN111903095A (zh) | 2020-11-06 |
| EP3742677A1 (en) | 2020-11-25 |
| EP3742677A4 (en) | 2021-08-25 |
| CN111903095B (zh) | 2022-02-11 |
| US20200344083A1 (en) | 2020-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10992688B2 (en) | Unauthorized activity detection method, monitoring electronic control unit, and onboard network system | |
| JP7030046B2 (ja) | 不正通信検知方法、不正通信検知システム及びプログラム | |
| WO2019142741A1 (ja) | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 | |
| JP6847101B2 (ja) | 情報処理方法、情報処理システム、及びプログラム | |
| JP7053449B2 (ja) | 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム | |
| Tomlinson et al. | Towards viable intrusion detection methods for the automotive controller area network | |
| JP6956624B2 (ja) | 情報処理方法、情報処理システム、及びプログラム | |
| JP6939907B2 (ja) | 検知装置、その方法、及びプログラム | |
| US11840244B2 (en) | System and method for detecting behavioral anomalies among fleets of connected vehicles | |
| US20160381067A1 (en) | System and method for content based anomaly detection in an in-vehicle communication network | |
| US11928006B2 (en) | System and method for labeling bits of controller area network (CAN) messages | |
| CN109005678B (zh) | 非法通信检测方法、非法通信检测系统以及记录介质 | |
| CN109076016B9 (zh) | 非法通信检测基准决定方法、决定系统以及记录介质 | |
| US10936461B2 (en) | System and method for sequence-based anomaly detection and security enforcement for connected vehicles | |
| CN114374565A (zh) | 车辆can网络的入侵检测方法、装置、电子设备和介质 | |
| WO2020208639A2 (en) | A system and method for detection of anomalous controller area network (can) messages | |
| CN111357242A (zh) | 异常通信探测装置、异常通信探测方法、程序 | |
| Francia et al. | Applied machine learning to vehicle security | |
| WO2023223515A1 (ja) | 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム | |
| EP3493002B1 (en) | System and method for identifying application layer behaviour | |
| CN116318758A (zh) | 车辆的网络入侵防御方法、装置、车辆及存储介质 | |
| CN118869441A (zh) | 用于基于入侵检测系统来测量服务使用并针对相关联的所使用服务进行计费的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200701 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210615 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210721 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210803 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210816 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6939907 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |