JP7176564B2 - 監視装置、および、監視方法 - Google Patents
監視装置、および、監視方法 Download PDFInfo
- Publication number
- JP7176564B2 JP7176564B2 JP2020515430A JP2020515430A JP7176564B2 JP 7176564 B2 JP7176564 B2 JP 7176564B2 JP 2020515430 A JP2020515430 A JP 2020515430A JP 2020515430 A JP2020515430 A JP 2020515430A JP 7176564 B2 JP7176564 B2 JP 7176564B2
- Authority
- JP
- Japan
- Prior art keywords
- frames
- frame
- data field
- event
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/36—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with means for detecting characters not meant for transmission
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Small-Scale Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
車両等に搭載される電子制御ユニットが通信するネットワークに関し、当該ネットワークに出力された不正なフレームを検知する抽出装置等に関する。
自動車等の車両には、電子制御ユニット(ECU:Electronic Control Unit)が複数搭載されている。これらECUを繋ぐネットワークは車載ネットワークと呼ばれ、車両を制御する様々なデータを含むフレームがECUの間で送受信されている。
一方、閉じられた車載ネットワークでフレームを送受信していたECUが、外部と接続可能となることで、セキュリティ問題の発生リスクが高くなっている。例えば、外部と通信可能なECUが攻撃を受けた場合、車載ネットワークに不正なフレームが出力されて車両が不正に制御されるおそれがある。
このような不正なフレームを検知する技術として、ECUから出力されたフレームの周期を予め登録し、検知対象のフレームが登録された周期に該当するか否かで不正なフレームを判定することが特許文献1に記載されている。
一方で、ECUが出力するフレームの中には、周期を維持するフレームの他、ドアの開閉のように、イベント発生によって出力される周期から外れるフレームがある。上述の検知技術は、ECUから出力されるフレームの周期性を利用して不正を検知するため、周期から外れるフレームに対する不正を検知することができない。
本発明の目的は、周期から外れるフレームに対する不正の検知を可能にする抽出装置等を提供することにある。
本発明の抽出装置は、ノードと関連付けられた識別子が同一である同一識別子のフレームの集合ごとに、周期を維持するフレームと周期から外れるフレームに選別するフレーム選別部と、前記同一識別子で周期から外れるフレームから、イベント発生に関連するデータフィールドのビット変化の特徴をイベントルールとして抽出するルール抽出部を備える。
本発明の抽出方法は、ノードと関連付けられた識別子が同一である同一識別子のフレームの集合ごとに、周期を維持するフレームと周期から外れるフレームに選別し、前記同一識別子で周期から外れるフレームから、イベント発生に関連するデータフィールドのビット変化の特徴をイベントルールとして抽出する。
本発明のプログラムは、ノードと関連付けされた識別子が同一である同一識別子のフレームの集合ごとに、周期を維持するフレームと周期から外れるフレームに選別し、前記同一識別子で周期から外れるフレームから、イベント発生に関連するデータフィールドのビット変化の特徴をイベントルールとして抽出する、ことをコンピュータに実行させる。
本発明によれば、周期から外れるフレームに対する不正の検知が可能になる。
本実施形態の抽出装置、検知装置等について、自動車の車載ネットワークに適用した例を用いて説明する。以下、車載ネットワークの1つであるCAN(Controller Area Network)を用いて説明する。なお、本実施形態は、車載ネットワークに好適であるが、それ以外のネットワークへの適用、例えば、産業用ネットワークへの適用を妨げるものではない。
(第1の実施形態)
第1の実施形態に係る抽出装置について図面を用いて説明する。はじめに、CANについて簡単に説明する。図1は、CANの構成を示すブロック図である。図1に示すように、複数のECU(Electronic Control Unit)31がCAN(Controller Area Network)バス32に接続されている。CANは、車載ネットワークの通信プロトコルの一種であり、例えば、車両のパワートレイン系、ボディ系に幅広く適用されている。ECU31は、例えば、車両に搭載されたセンサからの信号又は車両のスイッチ操作に伴う信号をフレームに含めてCANバス32に出力する。ECU31およびCANバス32は、それぞれノードおよびネットワークバスとも呼ばれる。
第1の実施形態に係る抽出装置について図面を用いて説明する。はじめに、CANについて簡単に説明する。図1は、CANの構成を示すブロック図である。図1に示すように、複数のECU(Electronic Control Unit)31がCAN(Controller Area Network)バス32に接続されている。CANは、車載ネットワークの通信プロトコルの一種であり、例えば、車両のパワートレイン系、ボディ系に幅広く適用されている。ECU31は、例えば、車両に搭載されたセンサからの信号又は車両のスイッチ操作に伴う信号をフレームに含めてCANバス32に出力する。ECU31およびCANバス32は、それぞれノードおよびネットワークバスとも呼ばれる。
図2は、CANのフレーム構造を説明する図である。CANのフレームは、主に識別子(ID:identification)と最大8バイト(64ビット)のデータフィールドで構成される。識別子(以後、単にIDと示す)には、フレームを出力するECUごとにユニークなIDが割り振られる。このため、IDによって、そのフレームを出力したECUの識別、あるいは、フレームに含まれるデータの種類の識別が可能となる。データの種類は、例えば、ステアリング角、エンジン回転数、車両速度、又は、ドア開閉状態である。
ただし、IDごとに割り当てられているデータの種類は、自動車メーカーごとに異なる。例えば、ある自動車メーカーではエンジン回転数にID256を割り当てたとしても、別のメーカーではエンジン回転数にID256は使用されない、もしくは、ステアリング角に割り当てられている場合がある。
データフィールドは、ECUが出力したデータの内容を表す。CANフレームのデータフィールドは、一般的に、状態を1ビットで表す0/1のフラグ、状態を複数ビットで表すもの、複数ビットで連続値を表現するものが複数含まれている。なお、データフィールドにおける各ビットが示す情報は自動車メーカーから公開されていない。
<抽出装置>
第1の実施形態に係る抽出装置について図面を用いて説明する。図3は、第1の実施形態に係る抽出装置10の構成を示すブロック図である。図3に示す抽出装置10は、フレーム選別部11、ルール抽出部12を備える。まず、抽出装置10は、フレームログを取得する。フレームログは、例えば、図1に示す車載ネットワークにおけるECU31がCANバスに出力したフレームの集合である。フレームログには、他のECU31が受信した、各フレームに対応するタイムスタンプ(受信時刻)も含まれる。
第1の実施形態に係る抽出装置について図面を用いて説明する。図3は、第1の実施形態に係る抽出装置10の構成を示すブロック図である。図3に示す抽出装置10は、フレーム選別部11、ルール抽出部12を備える。まず、抽出装置10は、フレームログを取得する。フレームログは、例えば、図1に示す車載ネットワークにおけるECU31がCANバスに出力したフレームの集合である。フレームログには、他のECU31が受信した、各フレームに対応するタイムスタンプ(受信時刻)も含まれる。
抽出装置10が、CANバス32に接続されている場合、抽出装置で受信した各フレームをフレームログとして取得してもよい。あるいは、抽出装置10がCANバス32に接続されていない場合、CANバス32に接続された装置、例えば、ECU31が受信したフレームの集合をフレームログとしてもよい。
(フレーム選別部11)
フレーム選別部11は、ECU31から出力された同一IDのフレームごとに、周期を維持するフレームと周期から外れるフレームに選別する。周期を維持するフレームとは、ECU31から一定周期で出力されたフレームをいう。同一IDのフレームの周期は、フレームログに含まれる同一IDのフレームの受信時刻(タイムスタンプ)から同一IDのフレームの受信間隔を導出することにより取得できる。
フレーム選別部11は、ECU31から出力された同一IDのフレームごとに、周期を維持するフレームと周期から外れるフレームに選別する。周期を維持するフレームとは、ECU31から一定周期で出力されたフレームをいう。同一IDのフレームの周期は、フレームログに含まれる同一IDのフレームの受信時刻(タイムスタンプ)から同一IDのフレームの受信間隔を導出することにより取得できる。
具体的には、フレーム選別部11は、フレームログのフレームに含まれるIDに基づき、IDごとのフレームの集合を生成する。さらに、フレーム選別部11は、IDごとのフレームに対応した受信時刻に基づき、IDごとにフレームの周期を抽出する。フレーム選別部11は、抽出されたIDの周期に基づき、同一IDのフレームの集合を、周期を維持するフレームの集合と周期から外れるフレームの集合に選別する。周期から外れるフレームの集合は、同一IDのフレームの集合から、周期を維持するフレームの集合を除いたフレームの集合である。同一IDの周期から外れるフレームの集合には、イベント発生による正常なフレームの他に、不正なフレームが含まれている可能性がある。フレーム選別部11は、選別された同一IDで周期から外れるフレームの集合をルール抽出部12に送る。
(ルール抽出部12)
ルール抽出部12は、同一IDで周期から外れるフレームの集合から、フレーム間におけるデータフィールドのビット変化の特徴をイベントルールとして抽出する。具体的には、ルール抽出部12は、同一IDで周期から外れるフレームの集合をタイムスタンプに基づき受信順に並べ、フレーム前後におけるデータフィールドのビット変化の特徴を分析する。
ルール抽出部12は、同一IDで周期から外れるフレームの集合から、フレーム間におけるデータフィールドのビット変化の特徴をイベントルールとして抽出する。具体的には、ルール抽出部12は、同一IDで周期から外れるフレームの集合をタイムスタンプに基づき受信順に並べ、フレーム前後におけるデータフィールドのビット変化の特徴を分析する。
図4A、図4B、および、図4Cは、それぞれ別IDのデータフィールドにおけるビット変化の特徴を説明する図である。図4Aに示す第1のビット変化の特徴は、イベント発生に関連して、フレーム前後でデータフィールドの特定位置のビットが反転する例である。図中、「F」は、ビットの反転を示し、「-」はイベント発生時の値が不定であることを示す。図4Aの例は、イベント発生によってデータフィールドの4番目のビットが反転していることを表している。
図4Bに示す第2のビット変化の特徴は、イベント発生に関連して、データフィールドで「0」又は「1」が指定されているビットについて、所定の列挙された組み合わせとなる例である。所定の列挙された組み合わせとは、例えば、「1101」あるいは「0010」のようなビット列である。
図4Cに示す第3のビット変化の特徴は、イベント発生に関連して、データフィールドの特定位置のビットがイベント発生時の直前の値と同じ値をとる例である。
ルール抽出部12は、イベント発生時の前後におけるデータフィールドのビット変化の特徴を分析し、分析結果を基に、ビット変化の特徴をIDと関連付けてイベントルールとして抽出する。
ルール抽出部12で抽出されたイベントルールは、同一IDで周期から外れるフレームのうち、イベント発生によってECU31から出力された正常なフレームとして判定するための指標となる。
次に、第1の実施形態の抽出装置の動作について図面を用いて説明する。図5は、第1の実施形態に係る抽出装置10の動作を示すフローチャートである。はじめに抽出装置10は、フレームログを取得する。抽出装置10のフレーム選別部11は、フレーム選別処理を実行する(ステップS101)。
図6は、フレーム選別処理の動作の一例を示すフローチャートである。フレーム選別部11は、フレームログのフレームに含まれるIDに基づき、IDごとのフレームの集合を生成する(ステップS1011)。フレーム選別部11は、IDごとのフレームに対応した受信時刻に基づき、IDごとにフレームの周期を抽出する(ステップS1012)。フレーム選別部11は、抽出されたIDの周期に基づき、同一IDのフレームの集合を、周期を維持するフレームと周期から外れるフレームに選別する(ステップS1013)。周期から外れるフレームは、同一IDのフレームの集合から、周期を維持するフレームの集合を除き、周期から外れるフレームの集合を選別する。
次に、ルール抽出部12は、同一IDで周期から外れるフレームの集合から、フレーム間におけるデータフィールドのビット変化の特徴を表すイベントルールを抽出するルール抽出処理を実行する(ステップS102)。
図7は、ルール抽出処理の動作の一例を示すフローチャートである。ルール抽出部12は、同一IDで周期から外れるフレームの集合を、タイムスタンプに基づき受信順に並べ、フレーム間におけるデータフィールドのビット変化の特徴を分析する(ステップS1021)。ルール抽出部12は、分析結果を基に、ビット変化の特徴を同一IDのフレームと関連付けてイベントルールとして抽出する(ステップS1022)。抽出装置10は、抽出されたイベントルールを出力する。イベントルールは、ルール抽出部12によって出力されてもよい。
(第1の実施形態の効果)
第1の実施形態の抽出装置10によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、抽出装置10が、周期を維持するフレームを出力するノードが、イベント発生によって出力した周期から外れるフレームを識別するためのイベントルールを抽出するからである。具体的には、フレーム選別部11が、ノードに関連付けられた識別子が同一である同一識別子のフレームごとに、周期を維持するフレームと周期から外れるフレームに選別し、ルール抽出部12が、同一識別子で周期から外れるフレームから、フレーム間におけるデータフィールドのビット変化の特徴を表すイベントルールを抽出するからである。
第1の実施形態の抽出装置10によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、抽出装置10が、周期を維持するフレームを出力するノードが、イベント発生によって出力した周期から外れるフレームを識別するためのイベントルールを抽出するからである。具体的には、フレーム選別部11が、ノードに関連付けられた識別子が同一である同一識別子のフレームごとに、周期を維持するフレームと周期から外れるフレームに選別し、ルール抽出部12が、同一識別子で周期から外れるフレームから、フレーム間におけるデータフィールドのビット変化の特徴を表すイベントルールを抽出するからである。
(第2の実施形態)
<検知装置>
次に、第2の実施形態に係る検知装置、検知方法について、図面を用いて説明する。第2の実施形態の検知装置は、第1の実施形態の抽出装置で抽出されたイベントルールを用いて、周期から外れるフレームが正常なフレームか不正なフレームかを判定する機能を有する。
<検知装置>
次に、第2の実施形態に係る検知装置、検知方法について、図面を用いて説明する。第2の実施形態の検知装置は、第1の実施形態の抽出装置で抽出されたイベントルールを用いて、周期から外れるフレームが正常なフレームか不正なフレームかを判定する機能を有する。
図8は、第2の実施形態に係る検知装置20の構成を示すブロック図である。第2の実施形態に係る検知装置20は、判定部21を備える。検知装置20は、検知対象のフレームと、第1の実施形態の抽出装置10が抽出したイベントルールを取得する。第2の実施形態における検知対象のフレームは、周期から外れるフレームである。
判定部21は、周期から外れるフレームのデータフィールドが、抽出装置10が抽出したイベントルールと合致するかを比較する。判定部21は、イベントルールと合致する場合、正常なフレームと判定し、イベントルールと合致しない場合、検知対象のフレームを不正なフレームと判定する。検知装置の出力部(図示せず)は、判定結果を出力する。
次に、第2の実施形態の検知装置の動作について図面を用いて説明する。図9は、第2の実施形態に係る検知装置20の動作を示すフローチャートである。検知装置20は、抽出装置10が抽出したイベントルールを取得する。さらに、検知装置20は、検知対象のフレームとして、周期から外れるフレームを取得する。
判定部21は、周期から外れるフレームのデータフィールドとイベントルールと比較する(ステップS201)。具体的には、判定部21は、周期から外れるフレームのデータフィールドのビット列がイベントルールに合致するかを調べる。
イベントルールに合致する場合(ステップS202のYes)、判定部21は、周期から外れるフレームは正常なフレームであると判定する(ステップS203)。一方、イベントルールに合致しない場合(ステップS202のNo)、判定部21は、周期から外れるフレームは不正なフレームであると判定する(ステップS204)。ステップS203、ステップS204の判定後、検知装置20の出力部(図示せず)は、判定結果を出力する。
(第2の実施形態の効果)
第2の実施形態の検知装置によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、判定部が検知対象となる周期から外れるフレームのデータフィールドが、抽出装置が抽出したイベントルールと合致しない場合、検知対象のフレームを不正なフレームと判定するからである。これにより、周期から外れるフレームを出力するノードが攻撃を受けて不正なノードとなった場合でも、当該ノードから出力される不正なフレームを検知することが可能となる。
第2の実施形態の検知装置によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、判定部が検知対象となる周期から外れるフレームのデータフィールドが、抽出装置が抽出したイベントルールと合致しない場合、検知対象のフレームを不正なフレームと判定するからである。これにより、周期から外れるフレームを出力するノードが攻撃を受けて不正なノードとなった場合でも、当該ノードから出力される不正なフレームを検知することが可能となる。
(第3の実施形態)
第3の実施形態に係る監視装置について図面を用いて説明する。図10は、第3の実施形態に係る監視装置をCANに適用した構成を示すブロック図である。図10に示すECU31およびCANバス32は、第1の実施形態で説明した構成と同様であり、詳細な説明は省略する。監視装置30は、CANバス32と通信可能に接続されている。監視装置30は、ECU31から出力されたフレームを他のECU31と同様に受信できるものとする。監視装置30が受信したフレームの集合であるフレームログには、受信したフレームのIDにタイムスタンプ(受信時刻)が関連付けされているものとする。
第3の実施形態に係る監視装置について図面を用いて説明する。図10は、第3の実施形態に係る監視装置をCANに適用した構成を示すブロック図である。図10に示すECU31およびCANバス32は、第1の実施形態で説明した構成と同様であり、詳細な説明は省略する。監視装置30は、CANバス32と通信可能に接続されている。監視装置30は、ECU31から出力されたフレームを他のECU31と同様に受信できるものとする。監視装置30が受信したフレームの集合であるフレームログには、受信したフレームのIDにタイムスタンプ(受信時刻)が関連付けされているものとする。
<監視装置>
第3の実施形態に係る監視装置の構成について図面を用いて説明する。図11は、第3の実施形態に係る監視装置30の構成を示すブロック図である。図11に示す監視装置30は、抽出装置40と、検知装置50を備える。
第3の実施形態に係る監視装置の構成について図面を用いて説明する。図11は、第3の実施形態に係る監視装置30の構成を示すブロック図である。図11に示す監視装置30は、抽出装置40と、検知装置50を備える。
監視装置30に含まれる抽出装置40は、第1の実施形態の抽出装置10と同様、同一IDで周期から外れるフレームに対して正常なフレームの指標となるイベントルールを抽出する機能を有する。第3の実施形態の抽出装置40は、イベントルールの抽出に加え、同一IDで周期を維持するフレームに対する周期ルールを抽出する機能を有する。
また、監視装置30に含まれる検知装置25は、第2の実施形態の検知装置20と同様、イベントルールを用いて周期から外れるフレームが正常なフレームか不正なフレームかを判定する機能を有する。第3の実施形態の検知装置25は、イベントルールによる周期から外れるフレームの判定に加え、周期ルールを用いて周期を維持するフレームが正常なフレームか不正なフレームかを判定する機能を有する。
以下、第3の実施形態の抽出装置40、検知装置50の説明では、第1の実施形態の抽出装置10と、第2の実施形態の検知装置20と同じ機能の構成については、詳細な説明を省略する。
第3の実施形態に係る抽出装置40について図面を用いて説明する。図12は、第3の実施形態に係る抽出装置40の構成を示すブロック図である。抽出装置40は、フレーム選別部11、ルール抽出部42を備える。
フレーム選別部11は、第1の実施形態と同様に、フレームログを取得し、同一IDのフレームの集合ごとに、周期を維持するフレームと周期から外れるフレームに選別する。フレームログは、CANバス32に接続された監視装置30が受信して蓄積したフレームの集合である。
ルール抽出部42は、周期ルール抽出部421と、イベントルール抽出部422を備える。周期ルール抽出部421は、フレーム選別部11でフレームの選別の際に使用されたIDごとの周期情報から、フレームログに含まれるIDと周期の関係を周期ルールとして抽出する。例えば、フレームログの中でID420のフレームが10msごとに出現していた場合、周期ルール抽出部421は、周期ルールとして「ID420:10(ms)」を抽出する。
イベントルール抽出部422は、第1の実施形態のルール抽出部12と同様にイベント発生時の前後におけるデータフィールドのビット変化の特徴を分析し、分析結果を基に、ビット変化の特徴をIDと関連付けてイベントルールとして抽出する。抽出された周期ルールとイベントルールは、出力部(図示なし)によって検知装置50へ出力される。
第3の実施形態に係る検知装置50について図面を用いて説明する。図13は、第3の実施形態に係る検知装置50の構成を示すブロック図である。検知装置50は、判定部51を備える。判定部51は、周期ルール判定部511と、イベントルール判定部512を有する。
周期ルール判定部511は、抽出装置40が出力した周期ルールを用いて周期を維持するフレームが正常なフレームか不正なフレームかを判定する。具体的には、検知対象となるフレームが、周期ルールに含まれるIDとその周期に合致するかを確認する。ここで、周期の合致とは、周期ごとの許容誤差を含んだ範囲であってもよい。例えば、周期が10msの場合、10ms±1msの範囲であり、周期が500msの場合、500ms±10msの範囲であるとする。
周期ルール判定部511は、検知対象となるフレームが周期と合致する場合、あるいは、許容誤差に収まっている場合、正常なフレームと判定する。一方、周期ルール判定部511は、検知対象となるフレームが周期と合致しない場合、あるいは、許容誤差から逸脱している場合、検知対象となるフレームを周期から外れるフレームとしてイベントルール判定部512に送る。
イベントルール判定部512は、抽出装置40が出力したイベントルールを用いて周期から外れるフレームが正常なフレームか不正なフレームかを判定する。イベントルール判定部512におけるイベントルールを用いた周期から外れるフレームの判定については、第2の実施形態の判定部21と同様であり、詳細な説明については省略する。
ここで、周期を維持するフレームを出力しているECUには、イベント発生によりその後に出力するフレームの基点が変わるものがある。図14は、イベント発生による周期を維持するフレームの基点の変更を説明する図である。図14中、F1~F5は、ECUによって出力された周期を維持するフレームを表している。また、Feventは、イベント発生によって出力されたフレームを表している。
図14(a)に示すフレームを出力するECUは、フレームF3の後にイベント発生によってフレームFeventが出力されるが、その後に出力される周期を維持するフレームF4は、フレームF3からの間隔Tを保って出力される。
一方、図14(b)に示すフレームを出力するECUは、フレームF3の後にイベント発生によってフレームFeventが出力されると、その後に出力される周期を維持するフレームF4は、フレームFeventからの間隔Tで出力される。図14(b)の場合、フレームF3と、その後に出力されるフレームF4以降のフレームは、周期ルール判定部511において、周期の合わないフレームとして判定されることになる。
このため、イベントルール判定部512は、周期から外れるフレームが正常なフレームであることを判定した後、周期判定の基点をイベント発生時のフレームに更新する。具体的には、イベントルール判定部512は、イベント発生時のフレームFeventの時刻情報を周期の基点とすることで、フレームF4以降のフレームの周期性をチェックすることが可能となる。
(第3の実施形態の効果)
第3の実施形態の抽出装置40によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、抽出装置40が、周期を維持するフレームを出力するノードが、イベント発生によって出力した周期から外れるフレームを識別するためのイベントルールを抽出するからである。
第3の実施形態の抽出装置40によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、抽出装置40が、周期を維持するフレームを出力するノードが、イベント発生によって出力した周期から外れるフレームを識別するためのイベントルールを抽出するからである。
第3の実施形態の検知装置50によれば、周期から外れるフレームに対する不正の検知が可能になる。その理由は、判定部51が検知対象となる周期から外れるフレームのデータフィールドが、抽出装置40が抽出したイベントルールと合致しない場合、検知対象のフレームを不正なフレームと判定するからである。これにより、周期から外れるフレームを出力するノードが攻撃を受けて不正なノードとなった場合でも、当該ノードから出力される不正なフレームを検知することが可能となる。
(ハードウエア構成)
図15は、第1の実施形態の抽出装置10の内部構成を示すハードウエア構成図である。抽出装置10は、制御を実行するプロセッサ601、プログラムおよび不揮発性データを保存するROM(Read Only Memory)602、揮発性データを保存するRAM(Random Access Memory)603、データを送受信する通信インターフェース604、装置内部の通信に用いる内部バス605を備える。なお、第1の実施形態のECU31、第2の実施形態の検知装置20、第3の実施形態の抽出装置40、検知装置50も、第1の実施形態の抽出装置10と同様に図15示すハードウエア構成を用いた装置として実現することができる。
図15は、第1の実施形態の抽出装置10の内部構成を示すハードウエア構成図である。抽出装置10は、制御を実行するプロセッサ601、プログラムおよび不揮発性データを保存するROM(Read Only Memory)602、揮発性データを保存するRAM(Random Access Memory)603、データを送受信する通信インターフェース604、装置内部の通信に用いる内部バス605を備える。なお、第1の実施形態のECU31、第2の実施形態の検知装置20、第3の実施形態の抽出装置40、検知装置50も、第1の実施形態の抽出装置10と同様に図15示すハードウエア構成を用いた装置として実現することができる。
第1、第2、第3の実施形態における各構成要素は、これらの機能を実現するプログラムをプロセッサ601が取得して実行することで実現される。抽出装置10の実現方法には、様々な変形例がある。例えば、抽出装置10は、構成要素毎にそれぞれ別個の情報処理装置とプログラムとの任意の組み合わせにより実現されてもよい。また、抽出装置が備える複数の構成要素が、一つの情報処理装置とプログラムとの任意の組み合わせにより実現されてもよい。
また、各装置の各構成要素の一部又は全部は、その他の汎用または専用の回路、プロセッサ等やこれらの組み合わせによって実現される。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。 各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
各装置の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。
以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
10、40 抽出装置
11 フレーム選別部
12、42 ルール抽出部
20、50 検知装置
21、51 判定部
30 監視装置
421 周期ルール抽出部
422 イベントルール抽出部
511 周期ルール判定部
512 イベントルール判定部
11 フレーム選別部
12、42 ルール抽出部
20、50 検知装置
21、51 判定部
30 監視装置
421 周期ルール抽出部
422 イベントルール抽出部
511 周期ルール判定部
512 イベントルール判定部
Claims (6)
- ノードと関連付けされた識別子が同一である同一識別子のフレームの集合ごとに、周期を維持するフレームと前記周期から外れるフレームに選別するフレーム選別手段と、
前記同一識別子で前記周期から外れるフレームの集合から、イベント発生に関連するデータフィールドのビット変化の特徴をイベントルールとして抽出するルール抽出手段と、
を備える、抽出装置と、
前記抽出装置と通信可能に接続され、
検知対象となる前記周期から外れるフレームの前記データフィールドが、前記抽出装置が前記イベントルールとして抽出した前記データフィールドのビット変化の特徴と合致しない場合、前記検知対象のフレームを不正なフレームと判定する判定手段を備える、検知装置と
を備える、監視装置。 - 前記抽出装置は、
前記フレーム選別手段は、前記同一識別子のフレームの集合から前記同一識別子で前記周期を維持するフレームを除いて、前記周期から外れるフレームを選別する、請求項1に記載の監視装置。 - 前記抽出装置は、
前記データフィールドのビット変化の特徴は、前記データフィールドにおける特定位置のビットの反転である、請求項1又は2に記載の監視装置。 - 前記抽出装置は、
前記データフィールドのビット変化の特徴は、前記データフィールドにおける0と1が指定されたビットの組み合わせである、請求項1又は2に記載の監視装置。 - 前記抽出装置は、
前記データフィールドのビット変化の特徴は、前記データフィールドにおける特定位置のビットが前記イベント発生の前後で同じ値をとる、請求項1又は2に記載の監視装置。 - 通信可能に接続された抽出装置と検知装置とを含む監視装置において、
前記抽出装置が、
ノードと関連付けされた識別子が同一である同一識別子のフレームの集合ごとに、周期を維持するフレームと前記周期から外れるフレームに選別し、
前記同一識別子で前記周期から外れるフレームから、イベント発生に関連するデータフィールドのビット変化の特徴をイベントルールとして抽出し、
前記検知装置が、
検知対象となる前記周期から外れるフレームの前記データフィールドが、前記イベントルールとして抽出した前記データフィールドのビット変化の特徴と合致しない場合、前記検知対象のフレームを不正なフレームと判定する
監視方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/017202 WO2019207764A1 (ja) | 2018-04-27 | 2018-04-27 | 抽出装置、抽出方法および記録媒体、並びに、検知装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019207764A1 JPWO2019207764A1 (ja) | 2021-03-11 |
| JP7176564B2 true JP7176564B2 (ja) | 2022-11-22 |
Family
ID=68293505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020515430A Active JP7176564B2 (ja) | 2018-04-27 | 2018-04-27 | 監視装置、および、監視方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11526605B2 (ja) |
| JP (1) | JP7176564B2 (ja) |
| WO (1) | WO2019207764A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835627B (zh) * | 2019-04-23 | 2022-04-26 | 华为技术有限公司 | 车载网关的通信方法、车载网关及智能车辆 |
| JP2023168684A (ja) * | 2022-05-16 | 2023-11-29 | 株式会社オートネットワーク技術研究所 | 検出装置、車載装置、検出方法及びコンピュータプログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015216469A (ja) | 2014-05-08 | 2015-12-03 | パナソニックIpマネジメント株式会社 | 送信装置 |
| JP6161837B1 (ja) | 2016-02-09 | 2017-07-12 | 三菱電機株式会社 | 通信装置およびフレーム送信方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS59146696A (ja) | 1983-12-13 | 1984-08-22 | 三洋電機株式会社 | 脱水洗濯機 |
| US9288048B2 (en) * | 2013-09-24 | 2016-03-15 | The Regents Of The University Of Michigan | Real-time frame authentication using ID anonymization in automotive networks |
| CN106170953B (zh) * | 2014-04-17 | 2019-10-18 | 松下电器(美国)知识产权公司 | 车载网络系统、网关装置以及不正常检测方法 |
| JP6423402B2 (ja) | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| US10091077B1 (en) * | 2016-06-27 | 2018-10-02 | Symantec Corporation | Systems and methods for detecting transactional message sequences that are obscured in multicast communications |
| US9906545B1 (en) * | 2016-11-22 | 2018-02-27 | Symantec Corporation | Systems and methods for identifying message payload bit fields in electronic communications |
-
2018
- 2018-04-27 US US17/042,622 patent/US11526605B2/en active Active
- 2018-04-27 WO PCT/JP2018/017202 patent/WO2019207764A1/ja active Application Filing
- 2018-04-27 JP JP2020515430A patent/JP7176564B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015216469A (ja) | 2014-05-08 | 2015-12-03 | パナソニックIpマネジメント株式会社 | 送信装置 |
| JP6161837B1 (ja) | 2016-02-09 | 2017-07-12 | 三菱電機株式会社 | 通信装置およびフレーム送信方法 |
Non-Patent Citations (5)
| Title |
|---|
| 伊達 友裕 ほか,車載LANのセキュリティゲートウェイにおける機械学習を用いた動的ルール生成,SCIS2016,日本,SCIS2016実行委員会,2016年01月22日,3F2-1,p.1-6 |
| 岸川 剛 ほか,CANトラフィック集中監視による不正ECU検知手法の提案,SCIS 2016,日本,2016年01月19日,2F4-4,p.1-7 |
| 栗田 萌 ほか,ログの順序パターンに基づく異常検知手法の提案とCANのログへの適用,情報処理学会研究報告,日本,情報処理学会,2017年02月23日,Vol.2017-DPS-170 No.28,p.1-7 |
| 矢嶋 純 ほか,非周期送信メッセージによる攻撃を検知可能にするセキュリティCANアダプタ,SCIS2016,日本,2016年01月19日,3F3-1,p.1-6 |
| 芳賀 智之 ほか,車載ネットワークを保護するセキュリティECUの提案:導入インパクトを抑えたCAN保護手法のコンセプト,SCIS2015,日本,2015年 暗号と情報セキュリティシンポジウム実行,2015年01月20日,3C2-3,p.1-8 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2019207764A1 (ja) | 2021-03-11 |
| WO2019207764A1 (ja) | 2019-10-31 |
| US20210141895A1 (en) | 2021-05-13 |
| US11526605B2 (en) | 2022-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Choi et al. | Identifying ecus using inimitable characteristics of signals in controller area networks | |
| KR102601578B1 (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
| US11546298B2 (en) | Information processing method, information processing system, and non-transitory computer-readable recording medium storing a program | |
| EP3598329B1 (en) | Information processing method, information processing system, and program | |
| US11281811B2 (en) | Method, apparatus and device for storing vehicular data | |
| CN109005678B (zh) | 非法通信检测方法、非法通信检测系统以及记录介质 | |
| CA3074874C (en) | Message source detection in a vehicle bus system | |
| CN109076016B9 (zh) | 非法通信检测基准决定方法、决定系统以及记录介质 | |
| KR102517216B1 (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
| US10341294B2 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
| CN109076012B (zh) | 信息处理装置以及信息处理方法 | |
| CN108600162B (zh) | 用户认证方法及装置、计算设备及计算机存储介质 | |
| JP7176564B2 (ja) | 監視装置、および、監視方法 | |
| JP7006622B2 (ja) | 抽出装置、抽出方法と抽出プログラム、ならびに、異常検知装置、異常検知方法 | |
| CN111935104A (zh) | 物联网设备非法接入检测方法、装置和计算机设备 | |
| CN111447166B (zh) | 车辆攻击检测方法及装置 | |
| Francia et al. | Applied machine learning to vehicle security | |
| CN111311912A (zh) | 车联网检测数据确定方法、装置及电子设备 | |
| US10666671B2 (en) | Data security inspection mechanism for serial networks | |
| US20200312060A1 (en) | Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit | |
| CN114390118B (zh) | 一种工控资产识别方法、装置、电子设备及存储介质 | |
| US20220174073A1 (en) | Method for checking a message in a communication system | |
| CN110896393B (zh) | 汽车总线的入侵检测方法、装置及计算设备 | |
| CN114172686A (zh) | 车载can总线报文入侵检测方法以及相关设备 | |
| CN110765837A (zh) | 一种违章鸣笛车辆的识别方法、装置及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200923 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200923 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20211020 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211116 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220104 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220524 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220725 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20220725 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20220816 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20220823 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221011 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221024 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7176564 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |