JP7435929B2 - 不正通信検知装置、通信許可リスト生成装置、不正通信検知方法、通信許可リスト生成方法、不正通信検知プログラム、及び通信許可リスト生成プログラム - Google Patents
不正通信検知装置、通信許可リスト生成装置、不正通信検知方法、通信許可リスト生成方法、不正通信検知プログラム、及び通信許可リスト生成プログラム Download PDFInfo
- Publication number
- JP7435929B2 JP7435929B2 JP2023568237A JP2023568237A JP7435929B2 JP 7435929 B2 JP7435929 B2 JP 7435929B2 JP 2023568237 A JP2023568237 A JP 2023568237A JP 2023568237 A JP2023568237 A JP 2023568237A JP 7435929 B2 JP7435929 B2 JP 7435929B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- message
- periodic
- permission list
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 515
- 238000001514 detection method Methods 0.000 title claims description 55
- 238000000034 method Methods 0.000 title claims description 31
- 230000000737 periodic effect Effects 0.000 claims description 172
- 230000007704 transition Effects 0.000 claims description 67
- 238000004458 analytical method Methods 0.000 claims description 57
- 238000007405 data analysis Methods 0.000 claims description 41
- 230000008569 process Effects 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 description 55
- 238000010586 diagram Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 14
- 230000008859 change Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000001174 ascending effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002028 premature Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Description
本開示の一態様の不正通信検知装置は、通信メッセージを取得する通信取得部と、通信メッセージの時間変化する状態毎に設定された周期条件に基づき、通信メッセージが正常なメッセージか否かを判定する通信判定部と、を備え、通信判定部は、帯域負荷、送信回数、時間間隔のうち少なくとも一つに基づき、通信メッセージの状態を特定し、特定した通信メッセージの状態に対して設定された周期条件に基づき、通信メッセージが正常なメッセージか否かを判定する。
本開示では、初めに通信許可リストに基づいて不正通信検知を行う不正通信検知フェーズについて説明した後、当該通信許可リストを生成する通信許可リスト生成フェーズについて説明する。また、不正通信検知フェーズで説明する不正通信検知装置と、通信許可リスト生成フェーズで説明する通信許可リスト生成装置とを組み合わせて通信システムが構成される。
図1は、実施の形態1に係る車両システム10の構成を示す構成図である。
車両システム10は、GW(Gateway)11、ケーブル12、第一車載機器1、第二車載機器2、・・・第n車載機器nを備える。nは1以上の整数であり、実際の車両には数十から百数十個の車載機器が搭載される。
GW11は、不正通信検知装置100、GW機能部130、通信部140を備える。以下において、「部」は機能構成の要素を意味し、「部」は適宜「処理」、「工程」に読み替えてもよい。また、不正通信検知装置100の動作が不正通信検知方法に対応し、不正通信検知方法をコンピュータに実行させるプログラムが不正通信検知プログラムに対応する。
以上の処理ステップを実行した後、不正通信検知装置100は動作を終了する。
次に通信許可リスト121の生成処理について説明する。
上記のような通信許可リスト121を人が手作業で作成することは、作業負荷が高く、また、抜け漏れや記載ミスが発生する可能性が生じる。そこで、図2に示した通信許可リスト121を自動的に生成する通信許可リスト生成ツールが求められる。
以下では、通信許可リスト121を自動的に生成する通信許可リスト生成装置200について説明する。また、通信許可リスト生成装置200の動作が通信許可リスト生成方法に対応し、通信許可リスト生成方法をコンピュータに実行させるプログラムが通信許可リスト生成プログラムに対応する。
通信許可リスト生成装置200は、処理部210と記憶部220とを備える。
定義されていない場合は、直ちに本フローチャートを終了する。
以上の処理ステップを実行した後、本フローチャートを終了する。
全ての周期メッセージの解析が終了している場合は、本フローチャートを終了する。
本開示に係る不正通信検知装置及び通信許可リスト生成装置のその他の実施形態について説明する。
実施の形態1では例として車両システムにおけるCANメッセージを対象としたが、本開示に係る不正通信検知装置および通信許可リスト生成装置の適用対象は必ずしも上記に限定されない。例えば、本開示にかかる不正通信検知装置は、工場、ビル、家庭などに構築されたIoTシステム上の装置に搭載され、有線LANや無線LANを介したTCP/IP通信を検知対象としても良い。この場合、図4に示したルールリスト122を構成する項目は、IDではなく送信元と送信先のアドレス(IPアドレスとポート番号、プロトコル番号など)、DLCではなくTCP/IPメッセージのペイロード部分のデータ長、シグナル条件ではなくペイロード条件、となる。図13に示した通信仕様1021はIoTシステム上を流れるTCP/IP通信を定めた仕様書であり、図13に示した通信データ222はIoTシステム上を流れるTCP/IP通信をキャプチャしたファイルとなる。
Claims (12)
- 通信メッセージを取得する通信取得部と、
前記通信メッセージの時間変化する状態毎に設定された周期条件に基づき、前記通信メッセージが正常なメッセージか否かを判定する通信判定部と、
を備え、
前記通信判定部は、前記通信メッセージの周期誤差に影響を与える要因である遷移種別と、前記遷移種別毎に設定された複数の遷移条件とに基づいて分類される前記通信メッセージの状態に基づき、前記通信メッセージの前記周期条件を特定し、前記通信メッセージが正常なメッセージか否かを判定する
不正通信検知装置。 - 通信メッセージを取得する通信取得部と、
前記通信メッセージの時間変化する状態毎に設定された周期条件に基づき、前記通信メッセージが正常なメッセージか否かを判定する通信判定部と、
を備え、
前記通信判定部は、帯域負荷、送信回数、時間間隔のうち少なくとも一つに基づき、前記通信メッセージの状態を特定し、特定した前記通信メッセージの状態に対して設定された前記周期条件に基づき、前記通信メッセージが正常なメッセージか否かを判定する
不正通信検知装置。 - 正常な通信メッセージの仕様を定義した通信仕様を解析する通信仕様解析部と、
前記通信仕様解析部の解析結果に基づき、不正な通信メッセージの検知に用いる通信許可リストを生成する通信許可リスト出力部と、
実際の通信データに基づき、前記通信データに含まれる通信メッセージの周期誤差に変動が生じる条件を特定し、前記条件ごとに正常な周期範囲を決定し、前記通信許可リストを更新する通信データ解析部と、
を備える通信許可リスト生成装置。 - 前記通信データ解析部は、前記通信データに基づき、単位時間毎の帯域負荷を算出し、算出した前記帯域負荷を複数の段階に分類し、前記複数の段階毎の周期誤差を比較することにより、前記条件を特定する
ことを特徴とする請求項3に記載の通信許可リスト生成装置。 - 前記通信データ解析部は、一定のカウンタ間隔で前記通信メッセージの周期誤差が所定の閾値を超えているかを判定することにより、前記条件を特定する
ことを特徴とする請求項3又は4に記載の通信許可リスト生成装置。 - 前記通信データ解析部は、一定の時間間隔で前記通信メッセージの周期誤差が所定の閾値を超えているかを判定することにより、前記条件を特定する
ことを特徴とする請求項3から5のいずれか一項に記載の通信許可リスト生成装置。 - 通信メッセージを取得する通信取得部と、
前記通信メッセージの時間変化する状態毎に設定された周期条件に基づき、前記通信メッセージが正常なメッセージか否かを判定する通信判定部と、
を備える不正通信検知装置と、
請求項3から6のいずれか一項に記載の通信許可リスト生成装置と、
を備える通信システム。 - コンピュータが、通信メッセージを取得する通信取得工程と、
コンピュータが、前記通信メッセージの時間変化する状態毎に設定された周期条件に基づき、前記通信メッセージが正常なメッセージか否かを判定する通信判定工程と、
を含み、
前記通信判定工程では、コンピュータが、前記通信メッセージの周期誤差に影響を与える要因である遷移種別と、前記遷移種別毎に設定された複数の遷移条件とに基づいて分類される前記通信メッセージの状態に基づき、前記通信メッセージの前記周期条件を特定し、前記通信メッセージが正常なメッセージか否かを判定する
む不正通信検知方法。 - コンピュータが、通信メッセージを取得する通信取得工程と、
コンピュータが、前記通信メッセージの時間変化する状態毎に設定された周期条件に基づき、前記通信メッセージが正常なメッセージか否かを判定する通信判定工程と、
を含み、
前記通信判定工程では、コンピュータが、帯域負荷、送信回数、時間間隔のうち少なくとも一つに基づき、前記通信メッセージの状態を特定し、特定した前記通信メッセージの状態に対して設定された前記周期条件に基づき、前記通信メッセージが正常なメッセージか否かを判定する
を含む不正通信検知方法。 - 請求項8又は9に記載の全工程をコンピュータに実行させる不正通信検知プログラム。
- コンピュータが、正常な通信メッセージの仕様を定義した通信仕様を解析する通信仕様解析工程と、
コンピュータが、前記通信仕様解析工程での解析結果に基づき、不正な通信メッセージの検知に用いる通信許可リストを生成する通信許可リスト出力工程と、
コンピュータが、実際の通信データに基づき、前記通信データに含まれる通信メッセージの周期誤差に変動が生じる条件を特定し、前記条件ごとに正常な周期範囲を決定し、前記通信許可リストを更新する通信データ解析工程と、
を含む通信許可リスト生成方法。 - 請求項11に記載の全工程をコンピュータに実行させる通信許可リスト生成プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2022/010920 WO2023170928A1 (ja) | 2022-03-11 | 2022-03-11 | 不正通信検知装置、通信許可リスト生成装置、不正通信検知方法、通信許可リスト生成方法、不正通信検知プログラム、及び通信許可リスト生成プログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2023170928A1 JPWO2023170928A1 (ja) | 2023-09-14 |
JPWO2023170928A5 JPWO2023170928A5 (ja) | 2024-02-15 |
JP7435929B2 true JP7435929B2 (ja) | 2024-02-21 |
Family
ID=87936429
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023568237A Active JP7435929B2 (ja) | 2022-03-11 | 2022-03-11 | 不正通信検知装置、通信許可リスト生成装置、不正通信検知方法、通信許可リスト生成方法、不正通信検知プログラム、及び通信許可リスト生成プログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7435929B2 (ja) |
WO (1) | WO2023170928A1 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019087858A1 (ja) | 2017-10-30 | 2019-05-09 | 日本電信電話株式会社 | 攻撃通信検出装置、攻撃通信検出方法、プログラム |
WO2022014027A1 (ja) | 2020-07-17 | 2022-01-20 | 三菱電機株式会社 | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021005821A (ja) * | 2019-06-27 | 2021-01-14 | 矢崎総業株式会社 | 異常検出装置 |
-
2022
- 2022-03-11 JP JP2023568237A patent/JP7435929B2/ja active Active
- 2022-03-11 WO PCT/JP2022/010920 patent/WO2023170928A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019087858A1 (ja) | 2017-10-30 | 2019-05-09 | 日本電信電話株式会社 | 攻撃通信検出装置、攻撃通信検出方法、プログラム |
WO2022014027A1 (ja) | 2020-07-17 | 2022-01-20 | 三菱電機株式会社 | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム |
Non-Patent Citations (1)
Title |
---|
大須賀 節雄,データベースと知識ベース,第1版,株式会社オーム社,1989年07月30日,pp. 91-96,ISBN 4-274-07520-6 |
Also Published As
Publication number | Publication date |
---|---|
WO2023170928A1 (ja) | 2023-09-14 |
JPWO2023170928A1 (ja) | 2023-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11943233B2 (en) | Vehicle communication apparatus, in-vehicle network system, and vehicle communication method | |
JP6839963B2 (ja) | 異常検知方法、異常検知装置及び異常検知システム | |
CN100445980C (zh) | 利用动态选择性过滤标准的多级信息包筛选的装置和方法 | |
US11296965B2 (en) | Abnormality detection in an on-board network system | |
CN106105105B (zh) | 网络通信系统、不正常检测电子控制单元以及不正常应对方法 | |
EP3598329A1 (en) | Information processing method, information processing system, and program | |
CN108353015B (zh) | 中继装置 | |
CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
JP6566400B2 (ja) | 電子制御装置、ゲートウェイ装置、及び検知プログラム | |
WO2020209085A1 (ja) | 登録システム、登録方法及び登録プログラム | |
JP2008518497A (ja) | シリアルデータバスのためのスレーブバスサブスクライバ | |
CN112437920A (zh) | 异常检测装置和异常检测方法 | |
CN101834716A (zh) | 确定有限自动机的混合表示 | |
US10296746B2 (en) | Information processing device, filtering system, and filtering method | |
JP7435929B2 (ja) | 不正通信検知装置、通信許可リスト生成装置、不正通信検知方法、通信許可リスト生成方法、不正通信検知プログラム、及び通信許可リスト生成プログラム | |
EP3720061B1 (en) | Bit assignment estimating device, bit assignment estimating method, and program | |
Francia et al. | Applied machine learning to vehicle security | |
JP7170945B2 (ja) | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム | |
WO2019207764A1 (ja) | 抽出装置、抽出方法および記録媒体、並びに、検知装置 | |
JP6925889B2 (ja) | 中継装置、伝送処理プログラム | |
CN114731301B (zh) | 决定方法、决定系统以及程序记录介质 | |
Tylman | SCADA intrusion detection based on modelling of allowed communication patterns | |
EP3605966B1 (en) | Intrusion detection device, intrusion detection method, and intrusion detection system | |
KR102211804B1 (ko) | 다양한 통신 프로토콜에 적용 가능한 차량 통신 메시지 보안성 평가 방법 및 그 장치 | |
CN110535844B (zh) | 一种恶意软件通讯活动检测方法、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231106 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231106 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20231106 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240109 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240122 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7435929 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |