JP7359002B2 - サイバー攻撃分析支援装置 - Google Patents
サイバー攻撃分析支援装置 Download PDFInfo
- Publication number
- JP7359002B2 JP7359002B2 JP2020008958A JP2020008958A JP7359002B2 JP 7359002 B2 JP7359002 B2 JP 7359002B2 JP 2020008958 A JP2020008958 A JP 2020008958A JP 2020008958 A JP2020008958 A JP 2020008958A JP 7359002 B2 JP7359002 B2 JP 7359002B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- cyber attack
- analysis support
- terminal device
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 claims description 97
- 238000004891 communication Methods 0.000 claims description 46
- 238000000034 method Methods 0.000 claims description 38
- 238000013461 design Methods 0.000 claims description 31
- 230000000694 effects Effects 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 230000005856 abnormality Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 208000018777 Vulvar intraepithelial neoplasia Diseases 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000013067 intermediate product Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000011265 semifinished product Substances 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Description
車両に対するサイバー攻撃に対しては、車両のユーザであるドライバは自動車メーカーや自動車販売店に対して修理や対応の依頼を行うことが想定される。その際、ドライバはサイバー攻撃によって自ら体験した事象を報告することが考えられる。
通信ネットワークを介して端末装置(200)から送信された検知情報が入力される入力部(101)と、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶する記憶部(102)と、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成する制御部(103)と、
前記抽象的体験情報を出力する出力部(104)と、を有する。
(1)サイバー攻撃分析支援装置と端末装置の関係
図1を用いて、本実施形態のサイバー攻撃分析支援装置と端末装置の関係について、まず説明する。
「通信ネットワーク」とは、無線通信ネットワークの他、有線通信ネットワークであってもよい。また、これらを組み合わせてもよい。
「端末装置」とは、当該サイバー攻撃分析支援装置と接続される装置をいい、例えば、一般的に、電子制御システム、車載コンピュータ、車載ネットワークシステムと呼ばれるものが相当するが、電子制御装置(ECU)、半導体回路素子、パーソナルコンピュータ(PC)、スマートフォン、携帯電話等もこれに含まれる。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、端末装置200とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とサイバー攻撃分析支援装置100との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。
図2を用いて、本実施形態のサイバー攻撃分析支援装置100の構成について説明する。
サイバー攻撃分析支援装置100は、入力部101、記憶部102、制御部103、及び出力部104を有する。
検知情報のその他の例は、後述の各実施形態の変形例で説明する。
「構成装置」とは、端末装置を構成する装置であって、端末装置の機能の全部または一部を担う装置をいう。構成装置は、通常複数から構成されるが、単数であってもよい。例えば、端末装置が電子制御システムである場合、構成装置は個々の電子制御装置(ECU)が相当する。
設計情報には、端末装置200を構成する各ECUの名称と各ECUが受信又は送信する信号名とが対応づけられて記憶されている。例えば、車両の前面パネルの表示を制御するメータECUは、ドアの開閉状態を示すドア開閉状態情報、クルーズコントロール機能をON/OFFするためのスイッチの状態を示すクルーズコントロールSW情報、エアコンの温度設定を示すエアコン温度情報を受信することが記述されている。電動パワーステアリングを制御するEPS(Electric Power steering System)ECUは、クルーズコントロールSW情報を受信する。車載ネットワークの情報伝達を制御するCGW(Central GateWay)は、図3によれば信号の送受信は行っていない。車両を構成する車体の制御を行う車体ECUは、ドア開閉情報を送信する。
画像表示部に影響が出た可能性がある場合、画像表示部に対応して、『表示に影響が出た可能性があります。』との抽象的体験情報を生成する。また、攻撃対象ECUと画像表示部の組み合わせに対応して、『***の表示に影響が出た可能性があります。』との抽象的体験情報を生成する。『***』は攻撃対象ECUから特定される情報で、例えばメータECUの場合は『メータパネル』、ヘッドアップディスプレイECUの場合は『ヘッドアップディスプレイ』とすることができる。
もちろん、サイバー攻撃分析支援装置100、又は端末装置200を、LSI等の専用のハードウェアで実現してもよい。
図4を用いて、本実施形態の端末装置200の構成について説明する。
端末装置200は、電子制御装置(「構成装置」に相当)として、メータECU201、EPSECU202、車体ECU203、CGW204、通信ECU205を有する。
「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
また、各ECUはCANデータを分析し、イベントログを生成して送信する。イベントログは、例えば各ECUがCANデータに基づき各ECUで異常を検出された場合に生成されるセキュリティイベントログが挙げられる。
図5のフローチャートを用いて、サイバー攻撃分析支援装置100の動作を説明する。
なお、以下の動作は、サイバー攻撃分析支援装置100におけるサイバー攻撃分析支援方法を示すだけでなく、サイバー攻撃分析支援装置100で実行されるサイバー攻撃分析支援プログラムの処理手順を示すものである。
そして、これらの処理は、図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
以上、本実施形態だけでなく、他の実施形態や変形例においても同様である。
以上、本実施形態のサイバー攻撃分析支援装置100、及び当該装置で実行される方法及びプログラムによれば、構成装置と当該構成装置が有するUIとの関係が記述された設計情報を用いることにより、ユーザが体験したと推測される問題事象の再現を行うことができる。
(1)サイバー攻撃分析支援装置の構成
実施形態1では、サイバー攻撃分析支援装置100は、設計情報を参照して抽象的体験情報を生成、出力した。本実施形態では、さらに状態情報を参照して具体的体験情報を生成、出力する例を示す。
なお、本実施形態においても、サイバー攻撃分析支援装置と端末装置の全体の関係は図1で示されるものと同様である。また、実施形態1で説明したものと同じ構成、機能、データは、実施形態1の説明を引用する。
サイバー攻撃分析支援装置100は、入力部121、記憶部122、制御部123、及び出力部124を有する。
状態情報には、端末装置200を構成する各ECUが受信又は送信する信号の具体的な内容が、それぞれのイベントが発生した時刻と対応づけられて記憶されている。例えば、12月17日17時20分31秒に発生したイベント番号1のイベントでは、ドア開閉状態情報はドアが開いているという内容であるONが、クルーズコントロールSW情報はクルーズコントロール機能を動作させるという内容であるONが、エアコン温度情報はエアコンの設定温度が摂氏30度であるという30が、それぞれ記憶されている。
本実施形態の場合、制御部123は、具体的体験情報に加え、実施形態1で説明した抽象的体験情報を生成してもよい。
ドア開閉状態情報が攻撃対象となった場合、状態情報からドア開閉状態情報の内容を読み出して、『ドアが開いていると表示された可能性があります。』との具体的体験情報を生成する。また、クルーズコントロールSW情報が攻撃対象となった場合、状態情報からクルーズコントロールSW情報の内容を読み出して、『クルーズコントロール機能がONであると表示された可能性があります。』との具体的体験情報を生成する。エアコン温度情報が攻撃対象となった場合、状態情報からエアコン温度情報の内容を読み出して、『エアコン温度表示が***℃になっている可能性があります。』との具体的体験情報を生成する。『***』はエアコン温度情報の内容で、図7の場合は30である。
図8のフローチャートを用いて、サイバー攻撃分析支援装置120の動作を説明する。
本実施形態では、状態情報を用いることにより、抽象的体験情報よりも具体的な情報である具体的体験情報を出力するので、ユーザが体験したと推測される問題事象の再現をより具体的に行うことができる。
(1)サイバー攻撃分析支援装置の構成
実施形態1及び実施形態2では、図1に示すように、端末装置200が車両に搭載され、サイバー攻撃分析支援装置は車両の外に設けられていた。
本実施形態では、同一の車両に、端末装置200だけでなく、サイバー攻撃分析支援装置140も搭載されている例を示す。
サイバー攻撃分析支援装置140は、端末装置200と同一の移動体である車両に搭載されている。ここで、サイバー攻撃分析支援装置140は、実施形態1のサイバー攻撃分析支援装置100、又は実施形態2のサイバー攻撃分析支援装置120のいずれでもよい。
本実施形態では、サイバー攻撃分析支援装置を端末装置と同一の車両に搭載することにより、同一車両内で処理を完結することができ、通信ネットワークに対する負荷を軽減することができる。
本実施形態では、端末装置200から実施形態1~3の何れかのサイバー攻撃分析支援装置(以下、代表してサイバー攻撃分析支援装置100とする。)に送信される検知情報のバリエーションを中心に説明する。
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが定期又は不定期に送信するCANデータであってもよい。
なお、CANデータを統計的に分析することにより、まず中間生成物であるイベントログを生成し、次にイベントログの分析を行うことにより、攻撃対象ECUや攻撃対象信号を特定してもよい。
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが生成するイベントログであってもよい。
端末装置200からサイバー攻撃分析支援装置100に送信される検知情報は、端末装置200を構成する各ECUが生成するイベントログの分析を行なった結果である、攻撃対象ECU及び攻撃対象信号を特定する情報であってもよい。この変形例は、実施形態1及び実施形態2で説明した例と同じである。
イベントログから攻撃対象ECUを特定する方法の一例を説明する。
端末装置200のECUはセキュリティセンサを備え、セキュリティセンサがセキュリティ異常を検出して、イベントログを生成する。イベントログの例として、ECU名―イベント内容―エラー情報―イベント時刻、を含むデータ列を生成する。各ECUがイベントログを生成した時点で、イベントログを生成したECUが攻撃対象ECUとなっている可能性がある。ただし、故障等、サイバー攻撃以外の原因でセキュリティセンサが動作してイベントログを生成する可能性もある。そこで、イベントログが生成された原因が故障かサイバー攻撃かを特定するため、イベントログが生成された時刻と同時刻の診断情報を確認する。イベントログを生成したECUの診断情報がない場合は、故障でなくサイバー攻撃によってイベントログが生成された可能性が高いので、イベントログを生成したECUを攻撃対象ECUとする。イベントログを生成したECUの診断情報がある場合は、故障によってイベントログが生成された可能性が高いので、イベントログを生成したECUは攻撃対象ECUとは特定されない。
例えば、端末装置200のCGW204がネットワーク型IDS(Intrusion Detection System)を備える場合、CGW204がセキュリティ異常を検知し、イベントログを生成する。イベントログの例として、信号名―イベント内容―エラー情報―イベント時刻、を含むデータ列を生成する。そして、イベントログに含まれている信号名を攻撃対象信号と特定する。
以上、これらの変形例によれば、CANデータから攻撃対象ECU又は攻撃対象信号の特定までの処理を、端末装置200側で行うか、サイバー攻撃分析支援装置100側で行うかを適宜振り分けることができ、ネットワーク負荷と端末装置200の負荷とのバランスを調整することができる。
抽象的体験情報及び具体的体験情報の利用方法について、図10を用いて説明する。
以上、本発明の各実施形態におけるサイバー攻撃分析支援装置等の特徴について説明した。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置を端末装置にすることが可能である。
Claims (8)
- 通信ネットワークを介して端末装置(200)から送信された検知情報が入力される入力部(101)と、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶する記憶部(102)と、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成する制御部(103)と、
前記抽象的体験情報を出力する出力部(104)と、を有する
サイバー攻撃分析支援装置(100)。 - 前記ユーザインターフェースは、画像表示部、操作入力部、音声出力部、又は音声入力部、の少なくとも1つである、
請求項1記載のサイバー攻撃分析支援装置。 - 前記入力部には、さらに検知時刻が入力され、
前記記憶部(122)は、さらに特定の時刻における前記信号の内容を示す状態情報を記憶し、
前記制御部(123)は、前記検知情報に基づきサイバー攻撃の対象である攻撃対象信号を特定するとともに、前記状態情報及び前記検知時刻を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される具体的な事象である具体的体験情報を生成し、
前記出力部は、前記抽象的体験情報に加えて、又は前記抽象的体験情報に代えて、前記具体的体験情報を出力する、
請求項1記載のサイバー攻撃分析支援装置(120)。 - 前記入力部には、さらに前記端末装置から送信された前記状態情報が入力される、
請求項3記載のサイバー攻撃分析支援装置。 - 前記端末装置は、移動体に搭載されている、
請求項1乃至4記載のサイバー攻撃分析支援装置。 - 当該サイバー攻撃分析支援装置は、前記端末装置と同一の前記移動体に搭載されている、
請求項5記載のサイバー攻撃分析支援装置(140)。 - 通信ネットワークを介して端末装置から送信された検知情報が入力され(S101)、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶部から読み出し(S102)、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成し(S103)、
前記抽象的体験情報を出力する(S104)、
サイバー攻撃分析支援方法。 - サイバー攻撃分析支援装置で実行可能なサイバー攻撃分析支援プログラムであって、
通信ネットワークを介して端末装置から送信された検知情報が入力され(S101)、
前記端末装置を構成する構成装置が受信する信号、及び前記構成装置と当該構成装置が有するユーザインターフェースとの関係、が記述された設計情報を記憶部から読み出し(S102)、
前記検知情報に基づきサイバー攻撃の対象である攻撃対象構成装置又は攻撃対象信号を特定するとともに、前記設計情報を参照してサイバー攻撃の影響により前記端末装置のユーザが体験したと推測される事象である抽象的体験情報を生成し(S103)、
前記抽象的体験情報を出力する(S104)、
ことを含む処理を前記サイバー攻撃分析支援装置に実行させる、サイバー攻撃分析支援プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020008958A JP7359002B2 (ja) | 2020-01-23 | 2020-01-23 | サイバー攻撃分析支援装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020008958A JP7359002B2 (ja) | 2020-01-23 | 2020-01-23 | サイバー攻撃分析支援装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021117568A JP2021117568A (ja) | 2021-08-10 |
JP7359002B2 true JP7359002B2 (ja) | 2023-10-11 |
Family
ID=77174902
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020008958A Active JP7359002B2 (ja) | 2020-01-23 | 2020-01-23 | サイバー攻撃分析支援装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7359002B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2023132005A (ja) * | 2022-03-10 | 2023-09-22 | 日立Astemo株式会社 | 車両診断システム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018032254A (ja) | 2016-08-25 | 2018-03-01 | クラリオン株式会社 | 車載装置、ログ収集システム |
JP2018032355A (ja) | 2016-08-26 | 2018-03-01 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
JP2019050477A (ja) | 2017-09-08 | 2019-03-28 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
JP2019219709A (ja) | 2018-06-15 | 2019-12-26 | オムロン株式会社 | サイバー攻撃通知装置及び通知方法 |
-
2020
- 2020-01-23 JP JP2020008958A patent/JP7359002B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018032254A (ja) | 2016-08-25 | 2018-03-01 | クラリオン株式会社 | 車載装置、ログ収集システム |
JP2018032355A (ja) | 2016-08-26 | 2018-03-01 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
JP2019050477A (ja) | 2017-09-08 | 2019-03-28 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
JP2019219709A (ja) | 2018-06-15 | 2019-12-26 | オムロン株式会社 | サイバー攻撃通知装置及び通知方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2021117568A (ja) | 2021-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11934520B2 (en) | Detecting data anomalies on a data interface using machine learning | |
US10623205B2 (en) | Security device, network system, and fraud detection method | |
CN110406485B (zh) | 非法检测方法及车载网络系统 | |
US11277417B2 (en) | System and method of generating rules for blocking a computer attack on a vehicle | |
CN110324219B (zh) | 阻断对运输工具的计算机攻击的系统和方法 | |
US9843523B2 (en) | Communication management apparatus and communication management method for vehicle network | |
US10284387B2 (en) | Hybrid intra-vehicle communication network | |
JP7229783B2 (ja) | 車載型情報処理装置、車両情報通信システム、情報処理方法およびプログラム | |
EP3800623A1 (en) | Apparatus, data transmission method and program | |
EP3547191B1 (en) | System and method of generating rules for blocking a computer attack on a vehicle | |
JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
JP7359002B2 (ja) | サイバー攻撃分析支援装置 | |
JP7443832B2 (ja) | セキュリティ管理装置 | |
Stachowski et al. | An assessment method for automotive intrusion detection system performance | |
JP7392586B2 (ja) | ログ送信制御装置 | |
JP7409247B2 (ja) | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム | |
Winsen | Threat modelling for future vehicles: on identifying and analysing threats for future autonomous and connected vehicles | |
WO2021024588A1 (ja) | モビリティ制御システム、方法、および、プログラム | |
JP2023171904A (ja) | ログ管理装置及びセンタ装置 | |
EP3547192B1 (en) | System and method of blocking a computer attack on a means of transportation | |
JP6651662B2 (ja) | 不正検知電子制御ユニット及び不正検知方法 | |
JP7380473B2 (ja) | セキュリティ監視システム | |
US20230007033A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
JP7375619B2 (ja) | 異常検知装置 | |
JP7392598B2 (ja) | ログ管理装置及びセキュリティ攻撃検知・分析システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220810 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230530 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230531 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230710 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230829 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230911 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7359002 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |