JP7291909B2 - 情報処理装置、情報処理方法及びプログラム - Google Patents

情報処理装置、情報処理方法及びプログラム Download PDF

Info

Publication number
JP7291909B2
JP7291909B2 JP2022558957A JP2022558957A JP7291909B2 JP 7291909 B2 JP7291909 B2 JP 7291909B2 JP 2022558957 A JP2022558957 A JP 2022558957A JP 2022558957 A JP2022558957 A JP 2022558957A JP 7291909 B2 JP7291909 B2 JP 7291909B2
Authority
JP
Japan
Prior art keywords
time
detection
acquired
condition
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022558957A
Other languages
English (en)
Other versions
JPWO2022091720A1 (ja
JPWO2022091720A5 (ja
Inventor
攻 石井
薫 横田
唯之 鳥崎
稔久 中野
潤 安齋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JPWO2022091720A1 publication Critical patent/JPWO2022091720A1/ja
Publication of JPWO2022091720A5 publication Critical patent/JPWO2022091720A5/ja
Application granted granted Critical
Publication of JP7291909B2 publication Critical patent/JP7291909B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、情報処理装置、情報処理方法及びプログラムに関する。
特許文献1には、複数の車両の各々の車内に設置されたサイバーウォッチマンと、車外に設置されたサイバーハブとを備える自動車安全システムが開示されている。サイバーウォッチマンは、車載通信ネットワークに接続され、車載通信ネットワーク上の通信トラフィックデータを取得する。サイバーハブは、例えばインターネットなどの通信ネットワークを介して、サイバーウォッチマンからサイバーウォッチマンが取得した通信トラフィックデータを受信する。これにより、サイバーハブは、複数の車両から通信トラフィックデータを集約することができ、車両のサイバー攻撃に対する高次の情報を取得することができる。
特許第6382724号公報
上記特許文献1には、車載通信ネットワーク(以下、ネットワークとも呼ぶ)への攻撃が発生した区間(例えば時間帯)を特定する手法が開示されておらず、膨大な量の通信トラフィックデータからネットワークへの攻撃の区間を抽出するためには、サイバーハブ(サーバ)の処理負担が増加する。
そこで、本開示は、ネットワークへの攻撃の区間を抽出する際の処理負担を軽減することができる情報処理装置等を提供する。
本開示の一態様に係る情報処理装置は、ネットワークにおける異常を検知する異常検知センサから、前記ネットワークにおける異常に関する検知ログ、及び、当該検知ログが示す異常の検知時刻を取得する取得部と、取得された前記検知時刻に基づいて、前記ネットワークへの攻撃の発動時刻を決定し、決定した前記発動時刻を記録する発動時刻決定部と、取得された前記検知ログに基づいて、前記ネットワークへの攻撃の終了見込み時刻を決定し、決定した前記終了見込み時刻を記録する終了時刻決定部と、を備える。
また、本開示の一態様に係る情報処理方法は、ネットワークにおける異常を検知する異常検知センサから、前記ネットワークにおける異常に関する検知ログ、及び、当該検知ログが示す異常の検知時刻を取得し、取得された前記検知時刻に基づいて、前記ネットワークへの攻撃の発動時刻を決定し、決定した前記発動時刻を記録し、取得された前記検知ログに基づいて、前記ネットワークへの攻撃の終了見込み時刻を決定し、決定した前記終了見込み時刻を記録する処理を含む。
また、本開示の一態様に係るプログラムは、上記の情報処理方法をコンピュータに実行させるためのプログラムである。
本開示の一態様に係る情報処理装置等によれば、ネットワークへの攻撃の区間を抽出する際の処理負担を軽減することができる。
図1は、実施の形態における情報処理装置の一例を示す構成図である。 図2は、実施の形態におけるテーブルの一例を示す図である。 図3は、実施の形態における情報処理装置の終了条件の決定時及び発動時刻の記録時の動作の一例を示すフローチャートである。 図4は、終了条件の決定時の動作を説明するための図である。 図5は、発動時刻の記録時の動作を説明するための図である。 図6は、終了条件の追加時の動作を説明するための図である。 図7は、終了条件の更新時の動作を説明するための図である。 図8は、実施の形態における情報処理装置の終了見込み時刻の記録時の動作の一例を示すフローチャートである。 図9は、終了条件の削除時の動作を説明するための図である。 図10は、終了見込み時刻の記録時の動作を説明するための図である。 図11は、その他の実施の形態における情報処理方法の一例を示すフローチャートである。
(実施の形態)
[情報処理装置の構成]
以下、実施の形態における情報処理装置について図面を参照しながら説明する。
図1は、実施の形態における情報処理装置10の一例を示す構成図である。なお、図1には、情報処理装置10と通信可能に接続される異常検知センサ100も示している。
異常検知センサ100は、移動体が攻撃されたときに発生する、移動体における異常を検知するセンサである。具体的には、異常検知センサ100は、移動体におけるネットワーク(例えば車載ネットワーク)が攻撃されたときに発生する、ネットワークにおける異常を検知するセンサである。なお、ネットワークにおける異常とは、ネットワークの通信の異常であってもよいし、ネットワークに接続された機器(例えばECU(Electronic Control Unit)等)の異常であってもよい。例えば、ネットワークの通信の異常は、ネットワークの通信量の異常、又は、ネットワークを流れるメッセージに含まれるメッセージIDの異常(具体的にはメッセージIDが未許可のIDとなっている異常)若しくはメッセージの送信間隔の異常等である。例えば、ネットワークに接続された機器の異常は、当該機器の故障等の異常である。異常検知センサ100は、例えばIDS(Intrusion Detection System)ECUであり、ネットワーク、又は、ネットワークに接続された機器に接続されている。異常検知センサ100は、ネットワークにおける異常を検知した場合、当該異常に関する検知ログを生成し、情報処理装置10へ送信する。検知ログには、検知された異常の種別、当該異常を検知した異常検知センサ100の情報及び当該異常を検知した検知時刻等が含まれる。例えば、異常検知センサ100は、複数設けられていてもよく、複数の異常検知センサ100のそれぞれが検知ログを送信してもよい。なお、検知ログに検知時刻が含まれていなくてもよく、異常検知センサ100は、検知ログとは別の情報として検知時刻を情報処理装置10へ送信してもよい。
なお、移動体とは、例えば自動車である、自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティであってもよい。
情報処理装置10は、異常検知センサ100から送信される検知ログを処理することで、ネットワークへの攻撃の発動時刻及び終了見込み時刻を記録するコンピュータである。情報処理装置10は、異常検知センサ100が設けられた車両等に搭載され、記録した発動時刻及び終了見込み時刻を、車両等と通信可能に接続されたサーバへ出力する。情報処理装置10は、プロセッサ、メモリ及び通信インタフェース等を含む。メモリは、ROM(Read Only Memory)及びRAM(Random Access Memory)等であり、プロセッサにより実行されるプログラムを記憶することができる。情報処理装置10は、取得部11、テーブル12、条件決定部13、保持部14、終了時刻決定部15、発動時刻決定部16及び記録部17を備える。条件決定部13、終了時刻決定部15及び発動時刻決定部16は、メモリに格納されたプログラムを実行するプロセッサ等によって実現される。取得部11は、通信インタフェースによって実現される。テーブル12は、メモリに記憶される。保持部14及び記録部17は、メモリによって実現される。プログラムが記憶されるメモリ、テーブル12が記憶されるメモリ、保持部14及び記録部17は、それぞれ別のメモリであってもよいし、1つのメモリであってもよい。なお、情報処理装置10は、異常検知センサ100が設けられた車両等と通信可能に接続されたサーバであってもよい。また、情報処理装置10を構成する構成要素は、複数のサーバに分散して配置されていてもよく、情報処理装置10は情報処理システムであってもよい。
取得部11は、ネットワークにおける異常を検知する異常検知センサ100から、ネットワークにおける異常に関する検知ログ、及び、当該検知ログが示す異常の検知時刻を取得する。例えば、取得部11は、異常検知センサ100から検知ログを取得し、検知ログに含まれる検知時刻を取得する。
テーブル12は、異常の種別と、その異常が発生したときのネットワークへの攻撃の終了の見込みとが予め対応付けられたテーブルである。テーブル12について、図2を用いて説明する。
図2は、実施の形態におけるテーブル12の一例を示す図である。
例えば、テーブル12では、異常の種別と、その異常を検知した異常検知センサ100を示す検知箇所と、その異常が発生したときのネットワークへの攻撃の終了の見込みとが予め対応付けられている。図2に示されるように、種別Aの異常は、センサ1が検知する異常であり、検知された後x秒経過したときにネットワークへの攻撃が終了すると見込まれる。種別Bの異常は、センサ1が検知する異常であり、検知された後x秒経過したときにネットワークへの攻撃が終了すると見込まれる。種別Cの異常は、センサ2が検知する異常であり、検知された後y秒経過したときにネットワークへの攻撃が終了すると見込まれる。例えば、センサ1はネットワークの通信を監視する異常検知センサ100であり、種別Aの異常はネットワークの通信量の異常であり、種別Bの異常はネットワークを流れるメッセージの異常である。例えば、センサ2は、ネットワークに接続された機器を監視する異常検知センサ100であり、種別Cの異常は当該機器の故障等の異常である。
このようなテーブル12は、ネットワークへの攻撃の終了見込み条件(以下、終了条件とも呼ぶ)を決定するために用いられる。
条件決定部13は、取得部11により取得された検知ログに基づいて、ネットワークへの攻撃の終了条件を決定する。条件決定部13の動作の詳細については後述する。
保持部14は、条件決定部13により決定された終了条件を保持する。ネットワークへの攻撃により様々な種別の異常が発生する場合があり、1つの異常検知センサ100は、発生した異常ごとに検知ログを生成し、取得部11は、複数の検知ログを1つの異常検知センサ100から取得し得る。或いは、ネットワークへの攻撃により複数の異常検知センサ100が異常を検知する場合があり、取得部11は、複数の検知ログを複数の異常検知センサ100から取得し得る。保持部14は、取得された検知ログごとに終了条件を保持し得る。つまり、保持部14は、複数の終了条件を保持し得る。
終了時刻決定部15は、取得部11により取得された検知ログに基づいて、ネットワークへの攻撃の終了見込み時刻を決定し、決定した終了見込み時刻を記録部17に記録する。終了時刻決定部15の動作の詳細については後述する。
発動時刻決定部16は、取得部11により取得された検知時刻に基づいて、ネットワークへの攻撃の発動時刻を決定し、決定した発動時刻を記録部17に記録する。発動時刻決定部16の動作の詳細については後述する。
記録部17は、発動時刻決定部16により決定されたネットワークへの攻撃の発動時刻を記録し、終了時刻決定部15により決定されたネットワークへの攻撃の終了見込み時刻を記録する。記録された発動時刻及び終了見込み時刻は、情報処理装置10に接続された機器(サーバ等)に出力され、攻撃の解析のために用いられる。
[情報処理装置の動作]
次に、情報処理装置10の動作の詳細について、図3から図10を用いて説明する。
まず、情報処理装置10の終了条件の決定時及び発動時刻の記録時の動作について、図3を用いて説明する。
図3は、実施の形態における情報処理装置10の終了条件の決定時及び発動時刻の記録時の動作の一例を示すフローチャートである。
まず、条件決定部13は、取得部11が検知ログを取得したか否かを判定する(ステップS11)。条件決定部13は、取得部11が検知ログを取得していない場合(ステップS11でNo)、取得部11が検知ログを取得するまで、ステップS11での処理を繰り返す。
条件決定部13は、取得部11が検知ログを取得した場合(ステップS11でYes)、取得された検知ログに基づいて、ネットワークへの攻撃の終了条件を決定する(ステップS12)。終了条件の決定時の条件決定部13の動作について、図4を用いて説明する。
図4は、終了条件の決定時の動作を説明するための図である。
例えば、検知ログが示す異常の種別によって、ネットワークへの攻撃の終了条件が異なってくる場合があり、テーブル12のように、異常の種別ごとに終了見込みを予め定めることができる。このため、条件決定部13は、取得部11により取得された検知ログが示す異常の種別及びテーブル12に基づいて、終了条件を決定することができる。具体的には、条件決定部13は、取得部11により取得された検知ログをテーブル12に照合し、当該検知ログが示す異常を発生させたネットワークへの攻撃の終了条件を決定する。図4に示されるように、異常検知センサ100は種別Aの異常を時刻t1に検知し、取得部11は種別Aの異常に関する検知ログ及び当該異常の検知時刻t1を取得したとする。テーブル12に示されるように、種別Aの異常が検知された後x秒経過したときにネットワークへの攻撃が終了すると見込まれるため、条件決定部13は、検知時刻t1にx秒加えた時刻t1+xを、取得部11により取得された検知ログが示す異常を発生させたネットワークへの攻撃の終了条件として決定する。
また、例えば、検知ログに含まれるパラメータによって、ネットワークへの攻撃の終了条件が異なってくる場合がある。例えば、検知ログに含まれるパラメータとしてネットワークの通信量が、多い場合と少ない場合とで終了条件が異ならせたほうが良い場合がある。例えば、条件決定部13は、ネットワークの通信量が多い場合に終了条件を厳しくする(例えば終了見込み時刻が遅くなるような終了条件を決定する)。このように、条件決定部13は、取得された検知ログに含まれるパラメータに基づいて、終了条件を決定してもよい。
また、例えば、検知ログが取得されたときの他の検知ログの取得状況によっては、ネットワークへの攻撃の終了条件が異なってくる場合がある。例えば、検知ログが取得されたときに、ネットワークに接続された機器に異常が発生していることを示す他の検知ログがすでに取得されていた場合、そのような他の検知ログが取得されていないときと比べて終了条件を異ならせたほうが良い場合がある。例えば、条件決定部13は、ネットワークに接続された機器に異常が発生していることを示す他の検知ログがすでに取得されていた場合に、終了条件を厳しくする(例えば終了見込み時刻が遅くなるような終了条件を決定する)。このように、条件決定部13は、検知ログが取得されたときの他の検知ログの取得状況に基づいて、終了条件を決定してもよい。
図3での説明に戻り、次に、発動時刻決定部16は、保持部14に終了条件が保持されているか否かを判定する(ステップS13)。
発動時刻決定部16は、保持部14に終了条件が保持されていない場合(ステップS13でNo)、保持部14に終了条件が保持されていない状態において取得された、検知ログが示す異常の検知時刻を発動時刻として決定し、記録部17に記録する(ステップS14)。発動時刻の記録時の発動時刻決定部16の動作について、図5を用いて説明する。
図5は、発動時刻の記録時の動作を説明するための図である。
図5に示されるように、保持部14の終了条件が保持されていないとする。その後、異常検知センサ100は、種別Aの異常を時刻t1に検知し、取得部11は種別Aの異常に関する検知ログ及び当該異常の検知時刻t1を取得する。保持部14には、終了条件が保持されていないため、発動時刻決定部16は、保持部14に終了条件が保持されていない状態において取得された、検知ログが示す異常の検知時刻t1を発動時刻として決定し、記録部17に記録する。保持部14に終了条件が保持されていない状態は、ネットワークへの攻撃がなされていない状態であるので、その状態で取得された検知ログが示す異常の検知時刻をネットワークへの攻撃の発動時刻として決定することができる。
図3での説明に戻り、次に、条件決定部13は、ステップS12で決定した終了条件を保持部14に書き込む(ステップS15)。これにより、保持部14に終了条件が保持される。なお、詳細は後述するが、保持部14に保持された終了条件は、成立したときに削除される。
一方で、保持部14に終了条件が保持されている場合(ステップS13でYes)、言い換えると、ステップS15で保持部14に終了条件が書き込まれた後、当該終了条件が成立する前に(つまり当該終了条件が削除される前に)ステップS11で新たな検知ログが取得された場合、条件決定部13は、取得された新たな検知ログに基づいて、保持された終了条件を更新する、又は、保持部14に新たな終了条件を追加する(ステップS16)。新たな終了条件の追加時の条件決定部13の動作について、図6を用いて説明し、終了条件の更新時の条件決定部13の動作について、図7を用いて説明する。
図6は、終了条件の追加時の動作を説明するための図である。
図6に示されるように、異常検知センサ100は、種別Aの異常を時刻t1に検知し、保持部14に終了条件(終了時刻)t1+xが保持されたとする。その後、異常検知センサ100は、種別Bの異常を時刻t2に検知し、保持部14に保持された終了条件t1+xが成立する前に新たな検知ログが取得されたとする。この場合、条件決定部13は、取得された新たな検知ログに基づいて(具体的には当該新たな検知ログをテーブル12に照合することで)、新たな終了条件t2+xを決定し、保持部14に新たな終了条件t2+xを追加する。その後、異常検知センサ100は、種別Cの異常を時刻t3に検知し、保持部14に保持された終了条件t1+x及びt2+xが成立する前に新たな検知ログが取得されたとする。この場合、条件決定部13は、取得された新たな検知ログに基づいて(具体的には当該新たな検知ログをテーブル12に照合することで)、新たな終了条件t3+yを決定し、保持部14に新たな終了条件t3+yを追加する。
図7は、終了条件の更新時の動作を説明するための図である。
図7の左下に示されるように、保持部14に、種別Aの異常についての終了条件t1+x、種別Bの異常についての終了条件t2+x、及び、種別Cの異常についての終了条件t3+yがすでに保持されているとする。その後、異常検知センサ100は、種別Aの異常を時刻t4に検知し、保持部14に保持された各終了条件が成立する前に新たな検知ログが取得されたとする。この場合、条件決定部13は、取得された新たな検知ログに基づいて(具体的には当該新たな検知ログをテーブル12に照合することで)、新たな終了条件t4+xを決定する。終了条件t4+xは、保持部14に保持された終了条件t1+xと同じ種別Aについての終了条件であるため、条件決定部13は、保持部14に保持された終了条件t1+xを終了条件t4+xに更新する。
次に、情報処理装置10の終了見込み時刻の記録時の動作について、図8を用いて説明する。
図8は、実施の形態における情報処理装置10の終了見込み時刻の記録時の動作の一例を示すフローチャートである。なお、図3に示す動作と図8に示す動作とは並行して行われる。
終了時刻決定部15は、保持部14に保持された終了条件が成立したか否かを判定する(ステップS21)。終了時刻決定部15は、保持部14に保持された終了条件が成立していない場合(ステップS21でNo)、保持部14に保持された終了条件が成立するまで、ステップS21での処理を繰り返す。
終了時刻決定部15は、保持部14に保持された終了条件が成立した場合(ステップS21でYes)、成立した終了条件を保持部14から削除する(ステップS22)。成立した終了条件の削除時の終了時刻決定部15の動作について、図9を用いて説明する。
図9は、終了条件の削除時の動作を説明するための図である。
図9の左下に示されるように、保持部14に、種別Aの異常についての終了条件t1+x、種別Bの異常についての終了条件t2+x、及び、種別Cの異常についての終了条件t3+yがすでに保持されているとする。その後、時刻がt1+xになり、終了条件t1+xが成立すると、終了時刻決定部15は、成立した終了条件t1+xを保持部14から削除する。
図8での説明に戻り、次に、終了時刻決定部15は、保持部14に終了条件が保持されているか否かを判定する(ステップS23)。図9の右下に示されるように、保持部14に終了条件が保持されている場合(ステップS23でYes)、保持部14に保持されている終了条件について、ステップS21及びステップS22での処理が行われ、保持部14に終了条件が保持されていない状態になるまで、ステップS21からステップS23までの処理が繰り返し行われる。
そして、終了時刻決定部15は、保持部14に終了条件が保持されていない場合(ステップS23でNo)、保持部14に保持されていた終了条件のうち、最後に成立した(言い換えると最後に削除された)終了条件が成立した時刻を終了見込み時刻として決定し、決定した終了見込み時刻を記録部17に記録する(ステップS24)。終了見込み時刻の記録時の終了時刻決定部15の動作について、図10を用いて説明する。
図10は、終了見込み時刻の記録時の動作を説明するための図である。
図10の左下に示されるように、保持部14に、種別Aの異常についての終了条件t4+xが保持されているとする。その後、時刻がt4+xになり、終了条件t4+xが成立すると、終了時刻決定部15は、成立した終了条件t4+xを保持部14から削除する。これにより、図10の右下に示されるように、保持部14は終了条件が保持されていない状態となり、終了時刻決定部15は、最後に成立した終了条件t4+xが成立した時刻t4+xを終了見込み時刻として決定し、終了見込み時刻t4+xを記録部17に記録する。
このように、終了時刻決定部15は、保持された終了条件が成立する時刻を終了見込み時刻として決定する。具体的には、終了時刻決定部15は、保持部14に複数の終了条件が保持されている場合、最後に削除された終了条件が成立した時刻、言い換えると、複数の終了条件のそれぞれの成立する時刻のうち最も遅い時刻を終了見込み時刻として決定する。なお、保持部14に終了条件が保持されていない状態から1つの終了条件が保持され、その後、当該1つの終了条件が成立する前に新たな検知ログが取得されなかった場合、終了時刻決定部15は、保持された当該1つの終了条件が成立する時刻を終了見込み時刻として決定し、記録部17に記録する。
なお、終了条件が成立する時刻は、検知ログが取得されてから予め定められた時間が経過したときの時刻であってもよいし、検知ログが取得されてからカウントアップするカウンタが予め定められた閾値を超えたときの時刻であってもよいし、予め定められた検知ログが取得されたときの時刻であってもよい。例えば、予め定められた時間は、異常の種別等に応じて定められる。例えば、予め定められた閾値は、異常の種別及びカウンタのカウントアップの周期に応じて定められる。例えば、予め定められた検知ログは、異常検知センサ100が異常を検知しないときに定期的に送信される正常を示す検知ログであり、終了時刻決定部15は、正常を示す検知ログが所定回数取得されたときの時刻を終了見込み時刻として決定してもよい。
[まとめ]
情報処理装置10は、ネットワークにおける異常を検知する異常検知センサ100から、ネットワークにおける異常に関する検知ログ、及び、当該検知ログが示す異常の検知時刻を取得する取得部11と、取得された検知時刻に基づいて、ネットワークへの攻撃の発動時刻を決定し、決定した発動時刻を記録する発動時刻決定部16と、取得された検知ログに基づいて、ネットワークへの攻撃の終了見込み時刻を決定し、決定した終了見込み時刻を記録する終了時刻決定部15と、を備える。
これによれば、異常検知センサ100から取得される検知ログ及び検知時刻を用いて、ネットワークへの攻撃の発動時刻及びネットワークへの攻撃の終了見込み時刻が自動で記録されるため、記録された発動時刻及び終了見込み時刻からネットワークへの攻撃の区間を容易に抽出することができる。したがって、ネットワークへの攻撃の区間を抽出する際の処理負担を軽減することができる。
例えば、情報処理装置10は、さらに、取得された検知ログに基づいて、ネットワークへの攻撃の終了条件を決定する条件決定部13と、決定された終了条件を保持する保持部14と、を備えていてもよく、終了時刻決定部15は、保持された終了条件が成立する時刻を終了見込み時刻として決定してもよい。
例えば、検知ログが示す異常の種別によって、異常の原因となったネットワークへの攻撃の終了条件が異なってくる場合がある。そこで、取得された検知ログに基づいて終了条件を決定し、当該終了条件が成立する時刻を終了見込み時刻として決定することで、取得された検知ログが示す種別に応じた終了見込み時刻を決定することができる。
例えば、条件決定部13は、さらに、保持された終了条件が成立する前に新たな検知ログが取得された場合、取得された新たな検知ログに基づいて、保持された終了条件を更新してもよい、又は、保持部14に新たな終了条件を追加してもよい。
ネットワークへの攻撃により様々な種別の異常が発生する場合があり、異常検知センサ100は、すでに保持部14に保持されている終了条件が成立する前に、当該終了条件に対応する検知ログが示す異常と同じ種別の異常を再度検知したり、異なる種別の異常を検知したりする場合がある。そこで、異常検知センサ100がすでに保持部14に保持されている終了条件に対応する検知ログが示す異常と同じ種別の異常を検知したときには、当該異常に関する新たな検知ログに基づいて保持部14に保持されている終了条件が更新される。或いは、異常検知センサ100がすでに保持部14に保持されている終了条件に対応する検知ログが示す異常とは異なる種別の異常を検知したときには、保持部14に当該異常に関する新たな検知ログに応じた新たな終了条件が追加される。これにより、ネットワークへの攻撃により複数種別又は同じ種別の異常が発生した場合に、当該攻撃により発生する1以上の異常についての終了条件を保持部14で管理することができる。
例えば、終了時刻決定部15は、保持部14に複数の終了条件が保持されている場合、複数の終了条件のそれぞれの成立する時刻のうち最も遅い時刻を終了見込み時刻として決定してもよい。
これによれば、様々な種別の異常が発生し得る攻撃の最終的な終了見込み時刻を決定することができる。
例えば、終了時刻決定部15は、さらに、成立した終了条件を保持部14から削除してもよい。
保持部14に複数の終了条件が保持されている場合に、成立した終了条件から順に削除されていくことで、最後に削除された終了条件が成立した時刻(すなわち、複数の終了条件のそれぞれの成立する時刻のうち最も遅い時刻)を終了見込み時刻として決定することができる。また、今後新たな攻撃がなされる可能性があるため、新たな攻撃に備えて保持部14から今回の攻撃に対応する終了条件を取り除いておくことができる。
例えば、発動時刻決定部16は、保持部14に終了条件が保持されていない状態において取得された、検知ログが示す異常の検知時刻を発動時刻として決定してもよい。
これによれば、保持部14に終了条件が保持されていない状態は、ネットワークへの攻撃がなされていない状態であるので、その状態で取得された検知ログが示す異常の検知時刻をネットワークへの攻撃の発動時刻として決定することができる。
例えば、条件決定部13は、取得された検知ログが示す異常の種別、取得された検知ログに含まれるパラメータ、又は、検知ログが取得されたときの他の検知ログの取得状況に基づいて、終了条件を決定してもよい。
例えば、検知ログが示す異常の種別によって、ネットワークへの攻撃の終了条件が異なってくる場合がある。このため、検知ログが示す異常の種別に基づいて、終了条件を決定することができる。また、例えば、検知ログに含まれるパラメータによって、ネットワークへの攻撃の終了条件が異なってくる場合がある。このため、検知ログに含まれるパラメータに基づいて、終了条件を決定することができる。また、例えば、検知ログが取得されたときの他の検知ログの取得状況によっては、ネットワークへの攻撃の終了条件が異なってくる場合がある。このため、検知ログが取得されたときの他の検知ログの取得状況に基づいて、終了条件を決定することができる。
例えば、終了条件が成立する時刻は、検知ログを取得されてから予め定められた時間が経過したときの時刻、検知ログが取得されてからカウントアップするカウンタが予め定められた閾値を超えたときの時刻、又は、予め定められた検知ログが取得されたときの時刻であってもよい。
このようにして、終了条件が成立する時刻を決定することができる。
例えば、情報処理装置10は、記録した発動時刻及び終了見込み時刻、又は、記録した発動時刻及び終了見込み時刻に応じた指示を出力してもよい。
例えば、情報処理装置10は、情報処理装置10に接続された機器(サーバ等)へ記録した発動時刻及び終了見込み時刻を出力することで、当該機器は、出力された発動時刻及び終了見込み時刻を活用して、サイバー攻撃の発生区間(継続時間)を少ない処理負担で導出又は特定することができる。或いは、情報処理装置10は、記録した発動時刻及び終了見込み時刻に応じた指示として、例えば発動時刻及び終了見込み時刻に応じたサイバー攻撃の発生区間を導出又は特定させる指示を、情報処理装置10に接続された機器へ出力することで、当該機器は、サイバー攻撃の発生区間を少ない処理負担で導出又は特定することができる。
(その他の実施の形態)
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。
例えば、上記実施の形態では、情報処理装置10がテーブル12及び条件決定部13を備える例について説明したが、備えていなくてもよい。例えば、終了条件が取得された検知ログに基づいて決定されなくてもよく、予め定められた終了条件が保持部14に保持されていてもよい。
なお、本開示は、情報処理装置10として実現できるだけでなく、情報処理装置10を構成する各構成要素が行うステップ(処理)を含む情報処理方法として実現できる。
図11は、その他の実施の形態における情報処理方法の一例を示すフローチャートである。
情報処理方法は、図9に示されるように、ネットワークにおける異常を検知する異常検知センサ100から、ネットワークにおける異常に関する検知ログ、及び、当該検知ログが示す異常の検知時刻を取得し(ステップS31)、取得された検知時刻に基づいて、ネットワークへの攻撃の発動時刻を決定し、決定した発動時刻を記録し(ステップS32)、取得された検知ログに基づいて、ネットワークへの攻撃の終了見込み時刻を決定し、決定した終了見込み時刻を記録する(ステップS33)処理を含む。
例えば、情報処理方法におけるステップは、コンピュータ(コンピュータシステム)によって実行されてもよい。そして、本開示は、情報処理方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。
さらに、本開示は、そのプログラムを記録したCD-ROM等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。
例えば、本開示が、プログラム(ソフトウェア)で実現される場合には、コンピュータのCPU、メモリ及び入出力回路等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、CPUがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。
また、上記実施の形態の情報処理装置10に含まれる各構成要素は、専用又は汎用の回路として実現されてもよい。
また、上記実施の形態の情報処理装置10に含まれる各構成要素は、集積回路(IC:Integrated Circuit)であるLSI(Large Scale Integration)として実現されてもよい。
また、集積回路はLSIに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なFPGA(Field Programmable Gate Array)、又は、LSI内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。
さらに、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、情報処理装置10に含まれる各構成要素の集積回路化が行われてもよい。
その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。
本開示は、例えば車載ネットワーク等を監視する装置に適用できる。
10 情報処理装置
11 取得部
12 テーブル
13 条件決定部
14 保持部
15 終了時刻決定部
16 発動時刻決定部
17 記録部
100 異常検知センサ

Claims (8)

  1. ネットワークにおける異常を検知する異常検知センサから、前記ネットワークにおける異常に関する検知ログ、及び、当該検知ログが示す異常の検知時刻を取得する取得部と、
    取得された前記検知時刻に基づいて、前記ネットワークへの攻撃の発動時刻を決定し、決定した前記発動時刻を記録する発動時刻決定部と、
    取得された前記検知ログに基づいて、前記ネットワークへの攻撃の終了見込み時刻を決定し、決定した前記終了見込み時刻を記録する終了時刻決定部と、
    取得された前記検知ログに基づいて、前記ネットワークへの攻撃の終了条件を決定する条件決定部と、
    決定された前記終了条件を保持する保持部と、を備え、
    前記条件決定部は、さらに、保持された前記終了条件が成立する前に新たな検知ログが取得された場合、取得された前記新たな検知ログに基づいて、保持された前記終了条件を更新し、又は、前記保持部に新たな終了条件を追加し、
    前記終了時刻決定部は、保持された前記終了条件が成立する時刻を前記終了見込み時刻として決定し、前記保持部に複数の終了条件が保持されている場合、前記複数の終了条件のそれぞれの成立する時刻のうち最も遅い時刻を前記終了見込み時刻として決定する、
    情報処理装置。
  2. 前記終了時刻決定部は、さらに、成立した終了条件を前記保持部から削除する、
    請求項1に記載の情報処理装置。
  3. 前記発動時刻決定部は、前記保持部に前記終了条件が保持されていない状態において取得された、前記検知ログが示す異常の前記検知時刻を前記発動時刻として決定する、
    請求項1又は2に記載の情報処理装置。
  4. 前記条件決定部は、取得された前記検知ログが示す異常の種別、取得された前記検知ログに含まれるパラメータ、又は、前記検知ログが取得されたときの他の検知ログの取得状況に基づいて、前記終了条件を決定する、
    請求項1~3のいずれか1項に記載の情報処理装置。
  5. 前記終了条件が成立する時刻は、前記検知ログが取得されてから予め定められた時間が経過したときの時刻、前記検知ログが取得されてからカウントアップするカウンタが予め定められた閾値を超えたときの時刻、又は、予め定められた検知ログが取得されたときの時刻である、
    請求項1~4のいずれか1項に記載の情報処理装置。
  6. 前記情報処理装置は、記録した前記発動時刻及び前記終了見込み時刻、又は、記録した前記発動時刻及び前記終了見込み時刻に応じた指示を出力する、
    請求項1~5のいずれか1項に記載の情報処理装置。
  7. 情報処理装置により実行される情報処理方法であって、
    ネットワークにおける異常を検知する異常検知センサから、前記ネットワークにおける異常に関する検知ログ、及び、当該検知ログが示す異常の検知時刻を取得し、
    取得された前記検知時刻に基づいて、前記ネットワークへの攻撃の発動時刻を決定し、決定した前記発動時刻を記録し、
    取得された前記検知ログに基づいて、前記ネットワークへの攻撃の終了見込み時刻を決定し、決定した前記終了見込み時刻を記録し、
    取得された前記検知ログに基づいて、前記ネットワークへの攻撃の終了条件を決定し、
    決定された前記終了条件を保持し、
    前記終了条件の決定では、さらに、保持された前記終了条件が成立する前に新たな検知ログが取得された場合、取得された前記新たな検知ログに基づいて、保持された前記終了条件を更新し、又は、新たな終了条件を追加し、
    前記終了見込み時刻の決定では、保持された前記終了条件が成立する時刻を前記終了見込み時刻として決定し、複数の終了条件が保持されている場合、前記複数の終了条件のそれぞれの成立する時刻のうち最も遅い時刻を前記終了見込み時刻として決定する、
    情報処理方法。
  8. 請求項7に記載の情報処理方法をコンピュータに実行させるためのプログラム。
JP2022558957A 2020-10-26 2021-10-06 情報処理装置、情報処理方法及びプログラム Active JP7291909B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2020179027 2020-10-26
JP2020179027 2020-10-26
PCT/JP2021/036918 WO2022091720A1 (ja) 2020-10-26 2021-10-06 情報処理装置、情報処理方法及びプログラム

Publications (3)

Publication Number Publication Date
JPWO2022091720A1 JPWO2022091720A1 (ja) 2022-05-05
JPWO2022091720A5 JPWO2022091720A5 (ja) 2023-03-16
JP7291909B2 true JP7291909B2 (ja) 2023-06-16

Family

ID=81382378

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022558957A Active JP7291909B2 (ja) 2020-10-26 2021-10-06 情報処理装置、情報処理方法及びプログラム

Country Status (4)

Country Link
US (1) US11765191B2 (ja)
JP (1) JP7291909B2 (ja)
DE (1) DE112021005651B4 (ja)
WO (1) WO2022091720A1 (ja)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004046742A (ja) 2002-07-15 2004-02-12 Ntt Data Corp 攻撃分析装置、センサ、攻撃分析方法及びプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6382724U (ja) 1986-11-18 1988-05-31
EP2892202B1 (en) * 2014-01-06 2018-06-20 Argus Cyber Security Ltd. Hosted watchman
US10798114B2 (en) 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10298612B2 (en) * 2015-06-29 2019-05-21 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
JP6555559B1 (ja) 2018-06-15 2019-08-07 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
JP7149888B2 (ja) * 2018-10-17 2022-10-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
EP4135261B1 (en) 2018-10-17 2024-04-17 Panasonic Intellectual Property Corporation of America Information processing device, information processing method, and program
JP7322806B2 (ja) * 2020-05-15 2023-08-08 トヨタ自動車株式会社 車両用異常検出装置
JP7392586B2 (ja) * 2020-06-17 2023-12-06 株式会社デンソー ログ送信制御装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004046742A (ja) 2002-07-15 2004-02-12 Ntt Data Corp 攻撃分析装置、センサ、攻撃分析方法及びプログラム

Also Published As

Publication number Publication date
DE112021005651T5 (de) 2023-09-21
US20230262080A1 (en) 2023-08-17
US11765191B2 (en) 2023-09-19
DE112021005651B4 (de) 2024-04-25
JPWO2022091720A1 (ja) 2022-05-05
WO2022091720A1 (ja) 2022-05-05

Similar Documents

Publication Publication Date Title
CN108881294B (zh) 基于网络攻击行为的攻击源ip画像生成方法以及装置
CN108205424B (zh) 基于磁盘的数据迁移方法、装置及电子设备
EP3657757A1 (en) Illegality detection electronic control unit, car onboard network system, and illegality detection method
JP7296555B2 (ja) 異常検知装置、異常検知方法及びプログラム
US10127092B1 (en) Method and apparatus for monitoring a message transmission frequency in a robot operating system
US11924225B2 (en) Information processing apparatus, information processing method, and recording medium
CN111448787B (zh) 用于提供安全的车载网络的系统及方法
US20200183373A1 (en) Method for detecting anomalies in controller area network of vehicle and apparatus for the same
CN113691432A (zh) 汽车can网络报文监测方法、装置、计算机设备和存储介质
JP2021179935A (ja) 車両用異常検出装置及び車両用異常検出方法
CN114528350B (zh) 集群脑裂的处理方法、装置、设备及可读存储介质
US11474889B2 (en) Log transmission controller
JP7291909B2 (ja) 情報処理装置、情報処理方法及びプログラム
KR102204655B1 (ko) 공격 메시지 재전송 시간을 예측하는 can 네트워크에 대한 메시지플러딩 공격 완화방법
CN114785621B (zh) 漏洞检测方法、装置、电子设备及计算机可读存储介质
WO2023223515A1 (ja) 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム
CN112068935A (zh) kubernetes程序部署监控方法、装置以及设备
US20230282040A1 (en) Monitoring apparatus and monitoring method
CN113613063B (zh) 应用异常还原方法、设备及存储介质
JP2020044917A (ja) 電子制御装置
CN111443683B (zh) 基于车辆can总线结构的电子控制单元测试方法及装置
WO2023021840A1 (ja) 検知ルール出力方法、及び、セキュリティシステム
EP3640830B1 (en) Method and system for determining risk in automotive ecu components
JP7439668B2 (ja) ログ送信制御装置
CN110166421B (zh) 基于日志监控的入侵控制方法、装置及终端设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230125

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230125

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20230125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230307

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230516

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230525

R151 Written notification of patent or utility model registration

Ref document number: 7291909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03