JP7176564B2 - 監視装置、および、監視方法 - Google Patents
監視装置、および、監視方法 Download PDFInfo
- Publication number
- JP7176564B2 JP7176564B2 JP2020515430A JP2020515430A JP7176564B2 JP 7176564 B2 JP7176564 B2 JP 7176564B2 JP 2020515430 A JP2020515430 A JP 2020515430A JP 2020515430 A JP2020515430 A JP 2020515430A JP 7176564 B2 JP7176564 B2 JP 7176564B2
- Authority
- JP
- Japan
- Prior art keywords
- frames
- frame
- data field
- event
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/36—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with means for detecting characters not meant for transmission
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Small-Scale Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
第1の実施形態に係る抽出装置について図面を用いて説明する。はじめに、CANについて簡単に説明する。図1は、CANの構成を示すブロック図である。図1に示すように、複数のECU(Electronic Control Unit)31がCAN(Controller Area Network)バス32に接続されている。CANは、車載ネットワークの通信プロトコルの一種であり、例えば、車両のパワートレイン系、ボディ系に幅広く適用されている。ECU31は、例えば、車両に搭載されたセンサからの信号又は車両のスイッチ操作に伴う信号をフレームに含めてCANバス32に出力する。ECU31およびCANバス32は、それぞれノードおよびネットワークバスとも呼ばれる。
第1の実施形態に係る抽出装置について図面を用いて説明する。図3は、第1の実施形態に係る抽出装置10の構成を示すブロック図である。図3に示す抽出装置10は、フレーム選別部11、ルール抽出部12を備える。まず、抽出装置10は、フレームログを取得する。フレームログは、例えば、図1に示す車載ネットワークにおけるECU31がCANバスに出力したフレームの集合である。フレームログには、他のECU31が受信した、各フレームに対応するタイムスタンプ(受信時刻)も含まれる。
フレーム選別部11は、ECU31から出力された同一IDのフレームごとに、周期を維持するフレームと周期から外れるフレームに選別する。周期を維持するフレームとは、ECU31から一定周期で出力されたフレームをいう。同一IDのフレームの周期は、フレームログに含まれる同一IDのフレームの受信時刻(タイムスタンプ)から同一IDのフレームの受信間隔を導出することにより取得できる。
ルール抽出部12は、同一IDで周期から外れるフレームの集合から、フレーム間におけるデータフィールドのビット変化の特徴をイベントルールとして抽出する。具体的には、ルール抽出部12は、同一IDで周期から外れるフレームの集合をタイムスタンプに基づき受信順に並べ、フレーム前後におけるデータフィールドのビット変化の特徴を分析する。
第1の実施形態の抽出装置10によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、抽出装置10が、周期を維持するフレームを出力するノードが、イベント発生によって出力した周期から外れるフレームを識別するためのイベントルールを抽出するからである。具体的には、フレーム選別部11が、ノードに関連付けられた識別子が同一である同一識別子のフレームごとに、周期を維持するフレームと周期から外れるフレームに選別し、ルール抽出部12が、同一識別子で周期から外れるフレームから、フレーム間におけるデータフィールドのビット変化の特徴を表すイベントルールを抽出するからである。
<検知装置>
次に、第2の実施形態に係る検知装置、検知方法について、図面を用いて説明する。第2の実施形態の検知装置は、第1の実施形態の抽出装置で抽出されたイベントルールを用いて、周期から外れるフレームが正常なフレームか不正なフレームかを判定する機能を有する。
第2の実施形態の検知装置によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、判定部が検知対象となる周期から外れるフレームのデータフィールドが、抽出装置が抽出したイベントルールと合致しない場合、検知対象のフレームを不正なフレームと判定するからである。これにより、周期から外れるフレームを出力するノードが攻撃を受けて不正なノードとなった場合でも、当該ノードから出力される不正なフレームを検知することが可能となる。
第3の実施形態に係る監視装置について図面を用いて説明する。図10は、第3の実施形態に係る監視装置をCANに適用した構成を示すブロック図である。図10に示すECU31およびCANバス32は、第1の実施形態で説明した構成と同様であり、詳細な説明は省略する。監視装置30は、CANバス32と通信可能に接続されている。監視装置30は、ECU31から出力されたフレームを他のECU31と同様に受信できるものとする。監視装置30が受信したフレームの集合であるフレームログには、受信したフレームのIDにタイムスタンプ(受信時刻)が関連付けされているものとする。
第3の実施形態に係る監視装置の構成について図面を用いて説明する。図11は、第3の実施形態に係る監視装置30の構成を示すブロック図である。図11に示す監視装置30は、抽出装置40と、検知装置50を備える。
第3の実施形態の抽出装置40によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、抽出装置40が、周期を維持するフレームを出力するノードが、イベント発生によって出力した周期から外れるフレームを識別するためのイベントルールを抽出するからである。
図15は、第1の実施形態の抽出装置10の内部構成を示すハードウエア構成図である。抽出装置10は、制御を実行するプロセッサ601、プログラムおよび不揮発性データを保存するROM(Read Only Memory)602、揮発性データを保存するRAM(Random Access Memory)603、データを送受信する通信インターフェース604、装置内部の通信に用いる内部バス605を備える。なお、第1の実施形態のECU31、第2の実施形態の検知装置20、第3の実施形態の抽出装置40、検知装置50も、第1の実施形態の抽出装置10と同様に図15示すハードウエア構成を用いた装置として実現することができる。
11 フレーム選別部
12、42 ルール抽出部
20、50 検知装置
21、51 判定部
30 監視装置
421 周期ルール抽出部
422 イベントルール抽出部
511 周期ルール判定部
512 イベントルール判定部
Claims (6)
- ノードと関連付けされた識別子が同一である同一識別子のフレームの集合ごとに、周期を維持するフレームと前記周期から外れるフレームに選別するフレーム選別手段と、
前記同一識別子で前記周期から外れるフレームの集合から、イベント発生に関連するデータフィールドのビット変化の特徴をイベントルールとして抽出するルール抽出手段と、
を備える、抽出装置と、
前記抽出装置と通信可能に接続され、
検知対象となる前記周期から外れるフレームの前記データフィールドが、前記抽出装置が前記イベントルールとして抽出した前記データフィールドのビット変化の特徴と合致しない場合、前記検知対象のフレームを不正なフレームと判定する判定手段を備える、検知装置と
を備える、監視装置。 - 前記抽出装置は、
前記フレーム選別手段は、前記同一識別子のフレームの集合から前記同一識別子で前記周期を維持するフレームを除いて、前記周期から外れるフレームを選別する、請求項1に記載の監視装置。 - 前記抽出装置は、
前記データフィールドのビット変化の特徴は、前記データフィールドにおける特定位置のビットの反転である、請求項1又は2に記載の監視装置。 - 前記抽出装置は、
前記データフィールドのビット変化の特徴は、前記データフィールドにおける0と1が指定されたビットの組み合わせである、請求項1又は2に記載の監視装置。 - 前記抽出装置は、
前記データフィールドのビット変化の特徴は、前記データフィールドにおける特定位置のビットが前記イベント発生の前後で同じ値をとる、請求項1又は2に記載の監視装置。 - 通信可能に接続された抽出装置と検知装置とを含む監視装置において、
前記抽出装置が、
ノードと関連付けされた識別子が同一である同一識別子のフレームの集合ごとに、周期を維持するフレームと前記周期から外れるフレームに選別し、
前記同一識別子で前記周期から外れるフレームから、イベント発生に関連するデータフィールドのビット変化の特徴をイベントルールとして抽出し、
前記検知装置が、
検知対象となる前記周期から外れるフレームの前記データフィールドが、前記イベントルールとして抽出した前記データフィールドのビット変化の特徴と合致しない場合、前記検知対象のフレームを不正なフレームと判定する
監視方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/017202 WO2019207764A1 (ja) | 2018-04-27 | 2018-04-27 | 抽出装置、抽出方法および記録媒体、並びに、検知装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019207764A1 JPWO2019207764A1 (ja) | 2021-03-11 |
JP7176564B2 true JP7176564B2 (ja) | 2022-11-22 |
Family
ID=68293505
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020515430A Active JP7176564B2 (ja) | 2018-04-27 | 2018-04-27 | 監視装置、および、監視方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11526605B2 (ja) |
JP (1) | JP7176564B2 (ja) |
WO (1) | WO2019207764A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835627B (zh) * | 2019-04-23 | 2022-04-26 | 华为技术有限公司 | 车载网关的通信方法、车载网关及智能车辆 |
JP2023168684A (ja) * | 2022-05-16 | 2023-11-29 | 株式会社オートネットワーク技術研究所 | 検出装置、車載装置、検出方法及びコンピュータプログラム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015216469A (ja) | 2014-05-08 | 2015-12-03 | パナソニックIpマネジメント株式会社 | 送信装置 |
JP6161837B1 (ja) | 2016-02-09 | 2017-07-12 | 三菱電機株式会社 | 通信装置およびフレーム送信方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS59146696A (ja) | 1983-12-13 | 1984-08-22 | 三洋電機株式会社 | 脱水洗濯機 |
US9288048B2 (en) * | 2013-09-24 | 2016-03-15 | The Regents Of The University Of Michigan | Real-time frame authentication using ID anonymization in automotive networks |
CN106170953B (zh) * | 2014-04-17 | 2019-10-18 | 松下电器(美国)知识产权公司 | 车载网络系统、网关装置以及不正常检测方法 |
JP6423402B2 (ja) | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
US10091077B1 (en) * | 2016-06-27 | 2018-10-02 | Symantec Corporation | Systems and methods for detecting transactional message sequences that are obscured in multicast communications |
US9906545B1 (en) * | 2016-11-22 | 2018-02-27 | Symantec Corporation | Systems and methods for identifying message payload bit fields in electronic communications |
-
2018
- 2018-04-27 US US17/042,622 patent/US11526605B2/en active Active
- 2018-04-27 WO PCT/JP2018/017202 patent/WO2019207764A1/ja active Application Filing
- 2018-04-27 JP JP2020515430A patent/JP7176564B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015216469A (ja) | 2014-05-08 | 2015-12-03 | パナソニックIpマネジメント株式会社 | 送信装置 |
JP6161837B1 (ja) | 2016-02-09 | 2017-07-12 | 三菱電機株式会社 | 通信装置およびフレーム送信方法 |
Non-Patent Citations (5)
Title |
---|
伊達 友裕 ほか,車載LANのセキュリティゲートウェイにおける機械学習を用いた動的ルール生成,SCIS2016,日本,SCIS2016実行委員会,2016年01月22日,3F2-1,p.1-6 |
岸川 剛 ほか,CANトラフィック集中監視による不正ECU検知手法の提案,SCIS 2016,日本,2016年01月19日,2F4-4,p.1-7 |
栗田 萌 ほか,ログの順序パターンに基づく異常検知手法の提案とCANのログへの適用,情報処理学会研究報告,日本,情報処理学会,2017年02月23日,Vol.2017-DPS-170 No.28,p.1-7 |
矢嶋 純 ほか,非周期送信メッセージによる攻撃を検知可能にするセキュリティCANアダプタ,SCIS2016,日本,2016年01月19日,3F3-1,p.1-6 |
芳賀 智之 ほか,車載ネットワークを保護するセキュリティECUの提案:導入インパクトを抑えたCAN保護手法のコンセプト,SCIS2015,日本,2015年 暗号と情報セキュリティシンポジウム実行,2015年01月20日,3C2-3,p.1-8 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2019207764A1 (ja) | 2021-03-11 |
WO2019207764A1 (ja) | 2019-10-31 |
US20210141895A1 (en) | 2021-05-13 |
US11526605B2 (en) | 2022-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Choi et al. | Identifying ecus using inimitable characteristics of signals in controller area networks | |
KR102601578B1 (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
US11546298B2 (en) | Information processing method, information processing system, and non-transitory computer-readable recording medium storing a program | |
EP3598329B1 (en) | Information processing method, information processing system, and program | |
US11281811B2 (en) | Method, apparatus and device for storing vehicular data | |
CN109005678B (zh) | 非法通信检测方法、非法通信检测系统以及记录介质 | |
CA3074874C (en) | Message source detection in a vehicle bus system | |
CN109076016B9 (zh) | 非法通信检测基准决定方法、决定系统以及记录介质 | |
KR102517216B1 (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
US10341294B2 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
CN109076012B (zh) | 信息处理装置以及信息处理方法 | |
CN108600162B (zh) | 用户认证方法及装置、计算设备及计算机存储介质 | |
JP7176564B2 (ja) | 監視装置、および、監視方法 | |
JP7006622B2 (ja) | 抽出装置、抽出方法と抽出プログラム、ならびに、異常検知装置、異常検知方法 | |
CN111935104A (zh) | 物联网设备非法接入检测方法、装置和计算机设备 | |
CN111447166B (zh) | 车辆攻击检测方法及装置 | |
Francia et al. | Applied machine learning to vehicle security | |
CN111311912A (zh) | 车联网检测数据确定方法、装置及电子设备 | |
US10666671B2 (en) | Data security inspection mechanism for serial networks | |
US20200312060A1 (en) | Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit | |
CN114390118B (zh) | 一种工控资产识别方法、装置、电子设备及存储介质 | |
US20220174073A1 (en) | Method for checking a message in a communication system | |
CN110896393B (zh) | 汽车总线的入侵检测方法、装置及计算设备 | |
CN114172686A (zh) | 车载can总线报文入侵检测方法以及相关设备 | |
CN110765837A (zh) | 一种违章鸣笛车辆的识别方法、装置及终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200923 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200923 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20211020 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211116 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220104 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220524 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220725 |
|
C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20220725 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20220816 |
|
C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20220823 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221011 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221024 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7176564 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |