JPWO2019087858A1 - 攻撃通信検出装置、攻撃通信検出方法、プログラム - Google Patents
攻撃通信検出装置、攻撃通信検出方法、プログラム Download PDFInfo
- Publication number
- JPWO2019087858A1 JPWO2019087858A1 JP2019551149A JP2019551149A JPWO2019087858A1 JP WO2019087858 A1 JPWO2019087858 A1 JP WO2019087858A1 JP 2019551149 A JP2019551149 A JP 2019551149A JP 2019551149 A JP2019551149 A JP 2019551149A JP WO2019087858 A1 JPWO2019087858 A1 JP WO2019087858A1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- attack
- detection
- sum
- interval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection (CSMA-CD)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Abstract
通信間隔の設計値からのずれに対して頑強な攻撃通信検出装置を提供する。通信ネットワークにおける各電子制御装置の通信から攻撃通信を検出する攻撃通信検出装置であって、攻撃通信を含むか否かが未知である検出用通信データを受信する受信部と、検出用通信データの隣り合う二つの通信間隔の和である通信間隔和を算出する通信間隔和算出部と、攻撃通信を含まない学習用通信データの通信間隔および通信間隔和の推定分布モデルを予め記憶する推定分布モデル記憶部と、推定分布モデルと検出用通信データの通信間隔和に基づいて、検出用通信データが攻撃通信を含むか否かを検出する検出部を含む。
Description
本発明は、例えば車両、工作機械、建設機械、農業機械等の機械類に搭載されたネットワーク、そのネットワークに接続された通信装置、および、それらで構成される通信システムにおいて、攻撃通信の検出を行う攻撃通信検出装置、攻撃通信検出方法、プログラムに関する。
車両(自動車、特殊車両、自動二輪車、自転車等)、工作機械、建設機械、農業機械等の機械類には複数の電子制御装置(ECU:Electronic Control Unit)が搭載されているものがあり、それらECU間の通信ネットワークに用いられる代表的なものに、コントローラエリアネットワーク(CAN:Controller Area Network)がある。CANのネットワーク構成は各ECUの通信線が共有される、いわゆるバス型構成をとる。ECUのバスにおける通信手順には、CSMA/CR(Carrier Sense Multiple Access/Collision Resolution)、即ち、通信衝突する場合には優先順位の高い通信は衝突影響をうけず、優先順位の低い通信は再送する手順が用いられる。CAN上の各ECUの通信にはIDが含まれており、IDは通信調停の優先順位、データ内容や送信ノード等の識別に用いられる。
これらの機械制御情報通信ネットワークに対するサイバー攻撃の危険性が示唆されている。ネットワークへの不正なECUの接続や既存ECUに対する不正な動作書き換え等の手段により、攻撃対象機能と関連するIDの攻撃送信を挿入し、その対象機能の不正な動作を誘発可能であることが知られている。
これらの攻撃通信を検出する方法として、各同一ID通信の通信間隔の異常を検出する方法がある(例えば非特許文献1)。CANにおいて、重要な機能に関する通信は周期的に送出するように設計されており、その機能に関連するIDの通信の間隔は設計値に従いほぼ一定となる。ある重要機能に対しての攻撃通信が挿入された時、その攻撃対象機能に関するIDの通信間隔は設計値よりも短間隔となることから、その間隔異常を検出することで攻撃通信検出が可能となる。ただし、CSMA/CRの通信手順等により、通信間隔は設計値から一定の許容値範囲内でずれることがしばしば起こり、ずれの許容値を考慮して通信間隔異常の検出を行う必要がある。
大塚、石郷岡、「既存ECUを変更不要な車載LAN向け侵入検知手法」、情報処理学会研究報告、Vol.2013-EMB-28, No.6, pp.31-35, 2013.
従来の通信間隔に対する異常検出では、通信間隔の設計値およびずれの許容値を予め把握しておく必要がある。しかし、通信間隔の設計値通りにECUが実装されていない場合、その設計値自体が未知のECU(例えば第三者提供のECU)が使用される場合などがあり、事前の把握が困難な場合がある。ずれの許容値に関しては、通信手順自体に不確定要素を含むことから、設計値通りに実装されたECUであっても、予め把握することが困難な場合が多いと予想される。このように、通信間隔の設計値やずれの許容値を予め把握できない場合は、ID毎に間隔値を把握し、ずれに対応した調整を実施しなくてはならず、大きな手間がかかる。
また、ずれの許容値はその値が大きくなるほど、検出精度は悪化する。例えば、ずれの許容値が設計値の±10%のものと±50%のものを比べた場合、正常通信を誤検出しないように検出するならば、前者はその間隔が通常の間隔値と比較して90%以下になれば異常通信と検出できるのに対し、後者はその間隔が通常の間隔値と比較して50%以下とならないと検出できず、見逃しが多くなる。より検出精度を高めるためには、ずれ許容値へのより適切な工夫が必要となる。
そこで本発明では、通信間隔の設計値からのずれに対して頑強な攻撃通信検出装置を提供することを目的とする。
本発明の攻撃通信検出装置は、通信ネットワークにおける各電子制御装置の通信から攻撃通信を検出する装置であって、受信部と、通信間隔和算出部と、推定分布モデル記憶部と、検出部を含む。
受信部は、攻撃通信を含むか否かが未知である検出用通信データを受信する。通信間隔和算出部は、検出用通信データの隣り合う二つの通信間隔の和である通信間隔和を算出する。推定分布モデル記憶部は、攻撃通信を含まない学習用通信データの通信間隔および通信間隔和の推定分布モデルを予め記憶する。検出部は、推定分布モデルと検出用通信データの通信間隔和に基づいて、検出用通信データが攻撃通信を含むか否かを検出する。
本発明の攻撃通信検出装置は、通信間隔の設計値からのずれに対して頑強である。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
以下では、通信ネットワークのプロトコルとしてCAN(Controller Area Network)を利用するものと想定して説明を進めるが、本発明の攻撃通信検出装置が攻撃通信検出を実行する通信ネットワークのプロトコルは、必ずしもCANに限定されない。本発明の攻撃通信検出装置は、CAN以外の通信ネットワークのプロトコル(例えば、Ethernet)を攻撃通信検出対象としてもよい。
以下の実施例の攻撃通信検出装置は、通信間隔だけではなく、隣り合う二つの通信間隔を足し合わせた和(以下、通信間隔和と呼ぶ)を用い、機械制御情報通信ネットワーク上の通信の傍受または傍受により得られたデータを基に学習を行うことで通信間隔および通信間隔和の設計値およびずれ許容値を適切に推測し、これらの推測を基に、通信間隔和(または加えて通信間隔)の異常を検出することで、挿入された攻撃通信の検出を行うものである。
<通信間隔和>
まず通信間隔和を用いた異常検出(攻撃検出)について説明する。図1に示すように、通信間隔は正常通信ではほぼ一定の間隔a(通信間隔の設計値)であるが、正常通信−攻撃通信の間隔はより短いdとなる(同図における時刻S1と時刻SAの間)。dは攻撃を挿入するタイミングに応じて、0≦d≦aの範囲で、任意に変わりうる。一方、通信間隔和については、正常通信が続く場合は通信間隔の倍である2aである(例えば、同図における時刻S2とS4の間)が、正常通信−攻撃通信−正常通信のパターンにおける通信間隔和は攻撃挿入タイミングに係らず、必ずaとなる(同図における時刻S1と時刻S2の間)。攻撃通信が頻繁に挿入される場合、例えば正常通信−攻撃通信−攻撃通信では、その通信間隔和はaよりも小さな値となる。一方、正常通信−正常通信−攻撃通信の部分における通信間隔和はa+dであり(同図における時刻S0とSAの間)、攻撃通信−正常通信−正常通信の部分における通信間隔和は2a−dである(同図における時刻SAとS3の間)。
まず通信間隔和を用いた異常検出(攻撃検出)について説明する。図1に示すように、通信間隔は正常通信ではほぼ一定の間隔a(通信間隔の設計値)であるが、正常通信−攻撃通信の間隔はより短いdとなる(同図における時刻S1と時刻SAの間)。dは攻撃を挿入するタイミングに応じて、0≦d≦aの範囲で、任意に変わりうる。一方、通信間隔和については、正常通信が続く場合は通信間隔の倍である2aである(例えば、同図における時刻S2とS4の間)が、正常通信−攻撃通信−正常通信のパターンにおける通信間隔和は攻撃挿入タイミングに係らず、必ずaとなる(同図における時刻S1と時刻S2の間)。攻撃通信が頻繁に挿入される場合、例えば正常通信−攻撃通信−攻撃通信では、その通信間隔和はaよりも小さな値となる。一方、正常通信−正常通信−攻撃通信の部分における通信間隔和はa+dであり(同図における時刻S0とSAの間)、攻撃通信−正常通信−正常通信の部分における通信間隔和は2a−dである(同図における時刻SAとS3の間)。
よって攻撃通信が含まれない場合の通信間隔和は2a近辺、正常通信−攻撃通信−正常通信のパターンや、正常通信−攻撃通信−攻撃通信のパターンの通信間隔和はa近辺かそれよりも小さい値となるため、その値に大きく隔たりができ(図2参照)、より精度よく検出することが可能となる。近辺と記述したのは、ずれ許容値を見込む必要があるためであり、後述する。
<学習>
次に学習について述べる。通信間隔および通信間隔和に関する設計値およびずれ許容値については、通信間隔および通信間隔和の値の分布を仮定し、正常通信を観察することで得られる通信間隔および通信間隔和の値の標本を用いて、その分布のパラメータを推定するという学習(パラメトリック推定)により推測する。仮定の分布として正規分布を用いた場合を例として以下に説明する。正規分布は標本の算術平均と標準偏差の2つのパラメータを算出することで推定できる。設計値はその算術平均を推定値として用いることができる。ずれ許容値は通信間隔および通信間隔和の推定分布を元に調整・決定することができ、詳細は後述する。仮定の分布は正規分布に限らず、三角分布、一様連続分布、ガンマ分布等、適切な分布を用いてよい。
次に学習について述べる。通信間隔および通信間隔和に関する設計値およびずれ許容値については、通信間隔および通信間隔和の値の分布を仮定し、正常通信を観察することで得られる通信間隔および通信間隔和の値の標本を用いて、その分布のパラメータを推定するという学習(パラメトリック推定)により推測する。仮定の分布として正規分布を用いた場合を例として以下に説明する。正規分布は標本の算術平均と標準偏差の2つのパラメータを算出することで推定できる。設計値はその算術平均を推定値として用いることができる。ずれ許容値は通信間隔および通信間隔和の推定分布を元に調整・決定することができ、詳細は後述する。仮定の分布は正規分布に限らず、三角分布、一様連続分布、ガンマ分布等、適切な分布を用いてよい。
<閾値>
最後にずれに対する適切な調整について述べる。先に述べた内容を踏まえれば、通信間隔和が2aよりも小さければ、攻撃通信を含んでいると検出してよいように思える。しかし、ずれ許容値を考慮すると、誤検出を抑制するために2aよりも小さく、検出率を向上させるためにaよりも大きい、適切な閾値T以下で異常と判定する方がよい(例えば図2の閾値T)。このとき、閾値T:=通信間隔和の設計値−通信間隔和のずれ許容値であるとも言い換えられる。
最後にずれに対する適切な調整について述べる。先に述べた内容を踏まえれば、通信間隔和が2aよりも小さければ、攻撃通信を含んでいると検出してよいように思える。しかし、ずれ許容値を考慮すると、誤検出を抑制するために2aよりも小さく、検出率を向上させるためにaよりも大きい、適切な閾値T以下で異常と判定する方がよい(例えば図2の閾値T)。このとき、閾値T:=通信間隔和の設計値−通信間隔和のずれ許容値であるとも言い換えられる。
<推定分布>
前述したように、通信間隔和を用いた異常検出では、攻撃通信を含む場合であって、そのパターンが正常通信−攻撃通信−正常通信である場合には、その通信間隔和は正常時の通信間隔の値と同値になる(図1における時刻S1とS2の間)。そこで、正常通信−攻撃通信−正常通信である場合の通信間隔和の推定分布は、正常通信における通信間隔の推定分布で代用することができる。すなわち、正常通信を学習するだけで、正常時の通信間隔の推定分布と正常通信−攻撃通信−正常通信パターンにおける攻撃時の通信間隔和の推定分布の両方を得ることができる。
前述したように、通信間隔和を用いた異常検出では、攻撃通信を含む場合であって、そのパターンが正常通信−攻撃通信−正常通信である場合には、その通信間隔和は正常時の通信間隔の値と同値になる(図1における時刻S1とS2の間)。そこで、正常通信−攻撃通信−正常通信である場合の通信間隔和の推定分布は、正常通信における通信間隔の推定分布で代用することができる。すなわち、正常通信を学習するだけで、正常時の通信間隔の推定分布と正常通信−攻撃通信−正常通信パターンにおける攻撃時の通信間隔和の推定分布の両方を得ることができる。
このとき、推定分布として適切な確率密度関数(全区間の積分結果が1)を用い、許容可能な最大誤検出率(誤検出率:=異常と誤って検出した正常通信数÷全正常通信数)をp−と定めると、正常時の推定分布から以下の式を満たす最大の閾値Tを決めることができる。ただしL−は正常時の通信間隔和の推定分布である。
∫TL−(x)dx≦p−
∫TL−(x)dx≦p−
また、閾値Tが定まれば、攻撃時の推定分布から、以下の式で検出率(検出率:=異常と正しく検出した攻撃通信数÷全攻撃通信数)を予想することができる。ただしL+は(正常時の通信間隔の推定分布で代替した)攻撃時の通信間隔和の推定分布である。
予想検出率=∫TL+(x)dx
予想検出率=∫TL+(x)dx
積分値は数値計算等を用いて求めることができる。一方で、例えば、推定分布に正規分布を用いる場合、通信間隔和の平均値μ、標準偏差σ、およびz値を用いて、閾値Tを以下の通り決定してもよい。
T=μ−z×σ
T=μ−z×σ
正規分布において、積分値(確率)とz値の関係は標準正規分布表として、まとめられており、その表を参照して1−p−×2の確率に近いz値を用いればよい。最大誤検出率を0.15%とした場合、標準正規分布表での確率は100%−0.15%×2=99.7%であり、表を参照して対応するz値をz=3と決めることができる。z値は指定の最大誤検出率のみで決まる値であり、ID毎に個々に調整しなくてもよい。このように用いる分布に応じて容易に閾値Tを算出できる方法を用いることができる。
これにより、許容可能な最大誤検出率を満たし、その際の検出率を予測可能とする、ずれに対する調整を機械的に行うことができ、ID個々に対する手動調整を必要としない。一方で、特定のIDにおいて特に低い誤検出率を必要とする場合等、個別の要件がある場合には、その特定ID毎に最大誤検出率を指定する等の個別設定を行ってもよい。
また、以下の通り、許容可能な最小検出率p+を指定して、閾値Tやその予想誤検出率を求めてもよく、同様に調整を機械的に行うことができる。
∫TL+(x)dx≦p+
予想誤検出率=∫TL−(x)dx
∫TL+(x)dx≦p+
予想誤検出率=∫TL−(x)dx
通信間隔和を異常検出に用いる利点として、通信間隔よりもずれが比較的小さい点も挙げることができる。ECUの多くは内部クロックを用いて周期送出のタイミングを計っている。そのため、衝突待ち合わせで遅延した通信の直後の通信は、(設計値の間隔分あけてから送信するのではなく、クロックタイミングで送信されるために)直前に遅延した分だけ間隔が短く早期に送信されるように見える。一方で、通信間隔和はその遅延分と早着分を相殺する結果となる。そのため、通信間隔和のずれは、通信間隔のずれから予想されるよりも小さな値をとり、場合によっては通信間隔のずれよりも小さい値となることさえある。ずれが小さいことは検出精度の向上に有利となる。
以下、図3を参照して実施例1の攻撃通信検出装置の構成を説明する。同図に示すように本実施例の攻撃通信検出装置1は、受信部11と、一時保持部12と、通信間隔・通信間隔和算出部13と、学習部14と、推定分布モデル記憶部15と、検出部16を含む。以下、図4を参照して学習時の各構成要件の動作を説明する。
<受信部11(学習時)>
受信部11は、機械制御情報通信ネットワークの通信、または、通信の加工等により生成された通信データであって、攻撃通信を含まない学習用通信データを受信する(S11−1)。受信部11は、学習用通信データの各データ単位(例えば各パケット、各フレーム)に通信時刻を付与する。通信のID毎に学習用通信データが区別されるものとし、以下のステップは、各IDの学習用通信データに対して、ID毎に別々に実行されるものとする。
受信部11は、機械制御情報通信ネットワークの通信、または、通信の加工等により生成された通信データであって、攻撃通信を含まない学習用通信データを受信する(S11−1)。受信部11は、学習用通信データの各データ単位(例えば各パケット、各フレーム)に通信時刻を付与する。通信のID毎に学習用通信データが区別されるものとし、以下のステップは、各IDの学習用通信データに対して、ID毎に別々に実行されるものとする。
受信部11はネットワークやゲートウェイを傍受することで通信を得てもよいし、別途、他のモニタリング機器からログ等のデータとして通信データを得てもよい。傍受で得た通信にはその受信時刻(通信時刻)を付与するが、ログ等のデータとして通信データを得た場合であって、すでに受信時刻(通信時刻)が付与されている場合には、時刻付与を省略してよい。受信部11では、通信のIDを見て、検出対象のもののみを選別して受け入れてもよい。
<一時保持部12(学習時)>
一時保持部12は、学習用通信データの通信時刻を最新のものから複数(例えば3つ)保持する(S12−1)。
一時保持部12は、学習用通信データの通信時刻を最新のものから複数(例えば3つ)保持する(S12−1)。
<通信間隔・通信間隔和算出部13(学習時)>
通信間隔・通信間隔和算出部13は、ステップS12−1で保持された学習用通信データの通信時刻を用い、学習用通信データの通信間隔を算出する(S13−1)。また、通信間隔・通信間隔和算出部13は、前述した閾値Tを算出するために、学習用通信データの通信間隔和も併せて算出する。
通信間隔・通信間隔和算出部13は、ステップS12−1で保持された学習用通信データの通信時刻を用い、学習用通信データの通信間隔を算出する(S13−1)。また、通信間隔・通信間隔和算出部13は、前述した閾値Tを算出するために、学習用通信データの通信間隔和も併せて算出する。
<学習部14>
学習部14は、設定で指定された仮定分布や最大誤検出率(または最小検出率)を条件に、ステップS13−1で算出された通信間隔、通信間隔和を用いて、学習用通信データの通信間隔の推定分布、学習用通信データの通信間隔和の推定分布、これらの推定分布に対する閾値Tなどを学習する(S14)。これらの推定分布、閾値Tなどは、推定分布モデルとして、推定分布モデル記憶部15に記憶される。
学習部14は、設定で指定された仮定分布や最大誤検出率(または最小検出率)を条件に、ステップS13−1で算出された通信間隔、通信間隔和を用いて、学習用通信データの通信間隔の推定分布、学習用通信データの通信間隔和の推定分布、これらの推定分布に対する閾値Tなどを学習する(S14)。これらの推定分布、閾値Tなどは、推定分布モデルとして、推定分布モデル記憶部15に記憶される。
例えば、学習部14は、ステップS13−1で算出された通信間隔、通信間隔和を標本データとして、設定(装置の管理者などが入力する)で指定された仮定の分布や最大誤検出率(あるいは最小検出率)等を条件に、ID毎に推定分布や閾値Tを確定し、それらを推定分布モデルとして学習し、推定分布モデル記憶部15に記録する。
学習部14は、標本データをある程度の量をまとめ、前処理を実施してから、推定分布の確定を行う。標本データの前処理の例として、値の大小数%のデータを除去し、例外値による影響を抑制する等がある。一方、可能であれば、学習部14は、標本データをまとめず、一件ずつ逐次処理し、推定分布モデルを更新していく方法で学習を実施してもよい。例えば正規分布を用いる場合、モーメントを用いて逐次処理することができる。
<推定分布モデル記憶部15>
上述したように、推定分布モデル記憶部15に記憶される推定分布モデルは、学習用通信データの通信間隔の推定分布、学習用通信データの通信間隔和の推定分布、これらの推定分布に対する閾値Tを含んでもよいし、この他に推定分布のパラメータを含んでもよい。推定分布モデル記憶部15にはID毎に推定分布モデルが納められる。正規分布を例に取ると、推定分布モデルには、それらの平均値、標準偏差、閾値T等を含む。モデルは要件に応じて適宜必要なもののみ記憶するようにしてもよい。例えば、検出時に用いる閾値Tのみを保管してもよい。また、平均値、標準偏差のみを推定分布モデル記憶部15に記憶し、閾値Tは検出部16にて都度算出するようにしてもよい。
上述したように、推定分布モデル記憶部15に記憶される推定分布モデルは、学習用通信データの通信間隔の推定分布、学習用通信データの通信間隔和の推定分布、これらの推定分布に対する閾値Tを含んでもよいし、この他に推定分布のパラメータを含んでもよい。推定分布モデル記憶部15にはID毎に推定分布モデルが納められる。正規分布を例に取ると、推定分布モデルには、それらの平均値、標準偏差、閾値T等を含む。モデルは要件に応じて適宜必要なもののみ記憶するようにしてもよい。例えば、検出時に用いる閾値Tのみを保管してもよい。また、平均値、標準偏差のみを推定分布モデル記憶部15に記憶し、閾値Tは検出部16にて都度算出するようにしてもよい。
以下、図5を参照して検出時の各構成要件の動作を説明する。
<受信部11(検出時)>
受信部11は、機械制御情報通信ネットワークの通信、または、通信の加工等により生成された通信データであって、攻撃通信を含むか否かが未知である検出用通信データを受信する(S11−2)。
受信部11は、機械制御情報通信ネットワークの通信、または、通信の加工等により生成された通信データであって、攻撃通信を含むか否かが未知である検出用通信データを受信する(S11−2)。
<一時保持部12(検出時)>
一時保持部12は、検出用通信データの通信時刻を最新のものから複数(少なくとも3つ以上)保持する(S12−2)。通信間隔和の算出のためには、同一IDの通信の、直近3つ以上の通信時刻が必要となるため、一時保持部12はID毎に直近3つ以上の通信時刻を保持する。
一時保持部12は、検出用通信データの通信時刻を最新のものから複数(少なくとも3つ以上)保持する(S12−2)。通信間隔和の算出のためには、同一IDの通信の、直近3つ以上の通信時刻が必要となるため、一時保持部12はID毎に直近3つ以上の通信時刻を保持する。
通信が新しく到着した場合、一時保持部12は、そのIDを調べ、対応するIDの最も古い通信時刻を廃棄し、新しい通信時刻を追加する(Fast in Fast out バッファ)。
<通信間隔・通信間隔和算出部13(検出時)>
通信間隔・通信間隔和算出部13は、ステップS12−2で保持された検出用通信データの通信時刻を用い、検出用通信データの隣り合う二つの通信間隔の和である通信間隔和を算出する(S13−2)。図1の例を用いてステップS13−2を説明すると、例えば同図の例において、時刻S1の通信データの通信単位(例えばパケット、またはフレーム)が受信され、通信時刻S1が新たに記録された場合、時刻S1と、時刻S1より過去の二つの通信時刻を用いて、通信間隔和2aが算出される。同様に、時刻SAの通信データの通信単位(例えばパケット、またはフレーム)が受信され、通信時刻SAが新たに記録された場合、時刻SA、時刻S1、時刻S0を用いて、通信間隔和a+dが算出される。同様に、時刻S2の通信データの通信単位(例えばパケット、またはフレーム)が受信され、通信時刻S2が新たに記録された場合、時刻S2、時刻SA、時刻S1を用いて、通信間隔和aが算出される。従って、同図の例の場合、通信データの受信に伴い、その通信間隔和は、2a,a+d,a,2a−d,2aの順序で、順次算出されることとなる。
通信間隔・通信間隔和算出部13は、ステップS12−2で保持された検出用通信データの通信時刻を用い、検出用通信データの隣り合う二つの通信間隔の和である通信間隔和を算出する(S13−2)。図1の例を用いてステップS13−2を説明すると、例えば同図の例において、時刻S1の通信データの通信単位(例えばパケット、またはフレーム)が受信され、通信時刻S1が新たに記録された場合、時刻S1と、時刻S1より過去の二つの通信時刻を用いて、通信間隔和2aが算出される。同様に、時刻SAの通信データの通信単位(例えばパケット、またはフレーム)が受信され、通信時刻SAが新たに記録された場合、時刻SA、時刻S1、時刻S0を用いて、通信間隔和a+dが算出される。同様に、時刻S2の通信データの通信単位(例えばパケット、またはフレーム)が受信され、通信時刻S2が新たに記録された場合、時刻S2、時刻SA、時刻S1を用いて、通信間隔和aが算出される。従って、同図の例の場合、通信データの受信に伴い、その通信間隔和は、2a,a+d,a,2a−d,2aの順序で、順次算出されることとなる。
<検出部16>
検出部16は、推定分布モデルと検出用通信データの通信間隔和に基づいて、検出用通信データが攻撃通信を含むか否かを検出する(S16)。
検出部16は、推定分布モデルと検出用通信データの通信間隔和に基づいて、検出用通信データが攻撃通信を含むか否かを検出する(S16)。
より具体的には、検出部16は、ステップS13−2で順次算出される通信間隔和を、推定分布モデル記憶部15に記憶された推定分布モデルと比較し、検出用通信データの任意の時刻における通信間隔和が、推定分布に対する閾値T以下となる場合に、検出用通信データに攻撃通信が含まれていると判断し、検出結果を出力する(S16)。前述したとおり、閾値Tは予め学習時に算出しておいてもよいし、検出部16で都度算出してもよい。検出処理は通信を受信する都度行ってもよいし、ある程度通信をまとめてから行ってもよい。
検出結果は、異常か正常かを出力する形式であってもよいし、異常時のみ検出結果を出力してもよい。検出結果に検出用通信データを特定する情報、例えば受信時刻やID等を付与してもよい。同一IDに対する異常を連続して検出した場合に、それらを取りまとめ、あるいは加えて、異常検出開始時刻、終了時刻、ID等を付与して出力してもよい。検出部16は、検出結果をネットワークで送信してもよいし、他装置を経由して検出結果を送信・通知してもよい。
なお、頻繁に攻撃通信が挿入される場合、正常通信と衝突し、どちらかの通信が送出されない場合がある。この場合、受信部11はCANにて送信されるエラーフレームを受信し、エラーフレームより送出されなかった通信を推測し、その通信を通常の通信と同様に取り扱ってもよい。攻撃通信が正常通信と衝突し、攻撃通信のみが送出された場合、その通信間隔・通信間隔和は、正常時と区別できない。しかし、前述した通り、エラーフレームも加味することで、同時刻に送出された正常通信と攻撃通信の2つとして取り扱うことでき、通信間隔・通信間隔和での区別が可能となる。
攻撃通信検出装置1は、検出部16を取り除いた学習のみを行う装置、学習部14を取り除いた検出のみを行う装置としてもよい。学習のみを行う装置は、その学習の結果として推定分布モデルを推定分布モデル記憶部15に記憶する。記憶された推定分布モデルを、検出のみを行う装置の推定分布モデル記憶部15に記憶すれば、当該装置において学習なしで検出を行うことができるようになる。検出のみを行う装置については、変形例1において後述する。
周期型送出には変種が存在し、通常は一定の通信間隔で通信送出されるが、ある契機で、そのときのみ、ずれ許容値を越えて短間隔(または長間隔)で送出され、その後は元の一定間隔で送出されるものがある。この変種であるオフセットずれあり周期型についての異常検出を以下に記述する。
オフセットずれあり周期型の通信間隔および通信間隔和を図6に示す。同図に示すように、正常通信の間隔がa’(<a)と短くなっているところがあるため、設計値aより短間隔な通信間隔を攻撃通信によるものであると検出するアルゴリズムでは、a’を誤検出してしまう。一方、正常時の通信間隔和は、a+a’から2aの間に分布し、異常時の通信間隔和は、正常−攻撃−正常パターンにおいてa近傍となるため、閾値Tをa近辺とし、通信間隔和が閾値Tと等しいか閾値Tより小さい場合には、当該通信を異常と検出することができる。閾値Tは、ずれ許容値を見込んで、aからa+a’の間の適切な値とし、閾値が決まれば、通信間隔和を用いて実施例1と同様に検出を行える。
図7を参照して実施例2の攻撃通信検出装置の構成を説明する。同図に示すように、本実施例の攻撃通信検出装置2は、受信部11と、一時保持部12と、通信間隔・通信間隔和算出部13と、学習部24と、推定分布モデル記憶部15と、検出部16を含み、学習部24以外の各構成要件は、実施例1と同じである。
<学習部24>
図8を参照して学習部24の動作を説明する。前述したように、学習部24は、閾値Tを、学習用通信データの通信間隔の平均a以上、かつ平均aと予め定めた短間隔a’の和であるa+a’未満として決定し、推定分布モデルを学習する(S24)。
図8を参照して学習部24の動作を説明する。前述したように、学習部24は、閾値Tを、学習用通信データの通信間隔の平均a以上、かつ平均aと予め定めた短間隔a’の和であるa+a’未満として決定し、推定分布モデルを学習する(S24)。
学習部24は、以下のように推定分布を求める。まず、学習部24は、学習用通信データの各通信時刻に基づき、短間隔a’を除外した通信間隔の推定分布と、短間隔和a+a’を除外した通信間隔和の推定分布を求める。この除外には、値の大小数%のデータを除去してから推定分布を求める手法や尤度を用いた分布推定を行う方法がある。
次に、学習部24は、短間隔a’のみの推定分布、短間隔和a+a’のみの推定分布をそれぞれ求める。短間隔の推定分布は前述の短間隔を除外した推定分布と異なる分布を用いてよい。学習部24は、例えば前者に正規分布を用い、後者に一様連続分布を用いることができる。このように推定分布が求まれば、実施例1と同様に閾値を求めることができる。
あるECUは機械状態、例えば、車両における停車、走行、自動走行等の状態の違いによって、その送出タイミングが変化するものがある。そのような場合、周期型送出において、機械状態により、その通信間隔および通信間隔和が変更されることとなる。以下、機械状態に対応した異常検出を行う実施例3の攻撃通信検出装置3について説明する。
図9に示すように本実施例の攻撃通信検出装置3は、受信部11と、一時保持部12と、通信間隔・通信間隔和算出部13と、学習部34と、推定分布モデル記憶部15と、検出部16を含み、学習部34以外の各構成要件は、実施例1と同じである。
<学習部34>
図10を参照して学習部34の動作を説明する。学習部34は、電子制御装置の機械状態毎に、推定分布モデルを学習する(S34)。より詳細には、学習部34は、機械状態毎に推定分布モデルを定め、機械状態毎およびID毎にその推定分布モデルを推定分布モデル記憶部15に記憶する。受信部11は機械状態を示す通信・信号を受信し、その受信内容に応じて機械状態を判断し、推定分布モデル記憶部15をその機械状態用に切り替える。これにより、機械状態により変化する場合においても異常検出を行える。機械状態を示す通信・信号は、ネットワーク上を送信してもよいし、別経路にて送信してもよい。
図10を参照して学習部34の動作を説明する。学習部34は、電子制御装置の機械状態毎に、推定分布モデルを学習する(S34)。より詳細には、学習部34は、機械状態毎に推定分布モデルを定め、機械状態毎およびID毎にその推定分布モデルを推定分布モデル記憶部15に記憶する。受信部11は機械状態を示す通信・信号を受信し、その受信内容に応じて機械状態を判断し、推定分布モデル記憶部15をその機械状態用に切り替える。これにより、機械状態により変化する場合においても異常検出を行える。機械状態を示す通信・信号は、ネットワーク上を送信してもよいし、別経路にて送信してもよい。
[変形例1]
図11を参照して、変形例1の攻撃通信検出装置1Aについて説明する。本変形例の攻撃通信検出装置1Aは、実施例1の装置から学習機能を取り除き、検出のみを行う装置とした例である。同図に示すように、本変形例の攻撃通信検出装置1Aは、受信部11、一時保持部12、通信間隔和算出部13A、推定分布モデル記憶部15、検出部16を含む構成である。推定分布モデル記憶部15には、実施例1のステップS14などで学習済みの推定分布モデルが予め記憶済みである。本変形例において、検出用通信データの通信間隔和の算出は必須であるものの、検出用通信データの通信間隔の算出は必須ではないため、実施例1における通信間隔・通信間隔和算出部13は、本変形例において通信間隔和算出部13Aに名称変更した。
図11を参照して、変形例1の攻撃通信検出装置1Aについて説明する。本変形例の攻撃通信検出装置1Aは、実施例1の装置から学習機能を取り除き、検出のみを行う装置とした例である。同図に示すように、本変形例の攻撃通信検出装置1Aは、受信部11、一時保持部12、通信間隔和算出部13A、推定分布モデル記憶部15、検出部16を含む構成である。推定分布モデル記憶部15には、実施例1のステップS14などで学習済みの推定分布モデルが予め記憶済みである。本変形例において、検出用通信データの通信間隔和の算出は必須であるものの、検出用通信データの通信間隔の算出は必須ではないため、実施例1における通信間隔・通信間隔和算出部13は、本変形例において通信間隔和算出部13Aに名称変更した。
<効果>
上述の実施例、変形例の攻撃通信検出装置によれば、予め設計値・ずれを知らずとも、学習により把握可能で、様々な車種や機械へ異常検出を適応させることが容易となる。また、ID個別に手作業での調整はせずとも、許容可能な最大誤検出率等の望む精度を指定により容易に自動調整でき、効率化を図れる。通信間隔和の利用により、検出精度が向上する。
上述の実施例、変形例の攻撃通信検出装置によれば、予め設計値・ずれを知らずとも、学習により把握可能で、様々な車種や機械へ異常検出を適応させることが容易となる。また、ID個別に手作業での調整はせずとも、許容可能な最大誤検出率等の望む精度を指定により容易に自動調整でき、効率化を図れる。通信間隔和の利用により、検出精度が向上する。
<補記>
本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部、CPU(Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい)、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD−ROMなどの記録媒体を読み書きできる装置(ドライブ)などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータ、組込機器などがある。
本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置(例えば通信ケーブル)が接続可能な通信部、CPU(Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい)、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD−ROMなどの記録媒体を読み書きできる装置(ドライブ)などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータ、組込機器などがある。
ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている(外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるROMに記憶させておくこととしてもよい)。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。
ハードウェアエンティティでは、外部記憶装置(あるいはROMなど)に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にCPUで解釈実行・処理される。その結果、CPUが所定の機能(上記、…部、…手段などと表した各構成要件)を実現する。
本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。
既述のように、上記実施形態において説明したハードウェアエンティティ(本発明の装置)における処理機能をコンピュータ、組込機器によって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータ、組込機器で実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ、組込機器上で実現される。
この処理内容を記述したプログラムは、コンピュータ、組込機器で読み取り可能な記録媒体に記録しておくことができる。コンピュータ、組込機器で読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータ、組込機器にそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータ、組込機器は、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータ、組込機器は、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータ、組込機器が可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータ、組込機器にサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータ、組込機器へのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータ、組込機器に対する直接の指令ではないがコンピュータ、組込機器の処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ、組込機器上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
<学習>
次に学習について述べる。通信間隔および通信間隔和に関する設計値およびずれ許容値については、通信間隔および通信間隔和の値の分布を仮定し、正常通信を観察することで得られる通信間隔および通信間隔和の値の標本を用いて、その分布のパラメータを推定するという学習(パラメトリック推定)により推測する。仮定の分布として正規分布を用いた場合を例として以下に説明する。正規分布は標本の算術平均と標準偏差の2つのパラメータを算出することで推定できる。設計値はその算術平均を推定値として用いることができる。ずれ許容値は通信間隔および通信間隔和の推定分布を元に調整・決定することができ、詳細は後述する。仮定の分布は正規分布に限らず、三角分布、連続一様分布、ガンマ分布等、適切な分布を用いてよい。
次に学習について述べる。通信間隔および通信間隔和に関する設計値およびずれ許容値については、通信間隔および通信間隔和の値の分布を仮定し、正常通信を観察することで得られる通信間隔および通信間隔和の値の標本を用いて、その分布のパラメータを推定するという学習(パラメトリック推定)により推測する。仮定の分布として正規分布を用いた場合を例として以下に説明する。正規分布は標本の算術平均と標準偏差の2つのパラメータを算出することで推定できる。設計値はその算術平均を推定値として用いることができる。ずれ許容値は通信間隔および通信間隔和の推定分布を元に調整・決定することができ、詳細は後述する。仮定の分布は正規分布に限らず、三角分布、連続一様分布、ガンマ分布等、適切な分布を用いてよい。
通信が新しく到着した場合、一時保持部12は、そのIDを調べ、対応するIDの最も古い通信時刻を廃棄し、新しい通信時刻を追加する(First in First out バッファ)。
Claims (8)
- 通信ネットワークにおける各電子制御装置の通信から攻撃通信を検出する攻撃通信検出装置であって、
前記攻撃通信を含むか否かが未知である検出用通信データを受信する受信部と、
前記検出用通信データの隣り合う二つの通信間隔の和である通信間隔和を算出する通信間隔和算出部と、
前記攻撃通信を含まない学習用通信データの前記通信間隔および前記通信間隔和の推定分布モデルを予め記憶する推定分布モデル記憶部と、
前記推定分布モデルと前記検出用通信データの前記通信間隔和に基づいて、前記検出用通信データが前記攻撃通信を含むか否かを検出する検出部と、
を含む攻撃通信検出装置。 - 通信ネットワークにおける各電子制御装置の通信から攻撃通信を検出する攻撃通信検出装置であって、
前記攻撃通信を含まない学習用通信データと、前記攻撃通信を含むか否かが未知である検出用通信データを受信する受信部と、
前記学習用通信データの通信間隔と、前記検出用通信データの隣り合う二つの前記通信間隔の和である通信間隔和を算出する通信間隔・通信間隔和算出部と、
前記学習用通信データの前記通信間隔および前記通信間隔和の推定分布モデルを学習する学習部と、
前記推定分布モデルと前記検出用通信データの前記通信間隔和に基づいて、前記検出用通信データが前記攻撃通信を含むか否かを検出する検出部と、
を含む攻撃通信検出装置。 - 請求項1または2に記載の攻撃通信検出装置であって、
前記推定分布モデルは、
前記学習用通信データの前記通信間隔の推定分布と、前記学習用通信データの前記通信間隔和の推定分布と、これらの推定分布に対する閾値を含む
攻撃通信検出装置。 - 請求項3に記載の攻撃通信検出装置であって、
前記検出部は、
前記検出用通信データの任意の時刻における前記通信間隔和が、前記閾値以下となる場合に、前記検出用通信データに前記攻撃通信が含まれていると判断する
攻撃通信検出装置。 - 請求項3または4に記載の攻撃通信検出装置であって、
前記学習部は、
前記閾値を、前記学習用通信データの前記通信間隔の平均a以上、かつ前記平均aと予め定めた短間隔a’の和であるa+a’未満として決定する
攻撃通信検出装置。 - 請求項1から5の何れかに記載の攻撃通信検出装置であって、
前記学習部は、
前記電子制御装置の機械状態毎に、前記推定分布モデルを学習する
攻撃通信検出装置。 - 通信ネットワークにおける各電子制御装置の通信から攻撃通信を検出する攻撃通信検出方法であって、
前記攻撃通信を含むか否かが未知である検出用通信データを受信するステップと、
前記検出用通信データの隣り合う二つの通信間隔の和である通信間隔和を算出するステップと、
前記攻撃通信を含まない学習用通信データの前記通信間隔および前記通信間隔和の推定分布モデルと、前記検出用通信データの前記通信間隔和に基づいて、前記検出用通信データが前記攻撃通信を含むか否かを検出するステップと、
を含む攻撃通信検出方法。 - コンピュータを、請求項1から6の何れかに記載の攻撃通信検出装置として機能させるプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017208801 | 2017-10-30 | ||
| JP2017208801 | 2017-10-30 | ||
| PCT/JP2018/039296 WO2019087858A1 (ja) | 2017-10-30 | 2018-10-23 | 攻撃通信検出装置、攻撃通信検出方法、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019087858A1 true JPWO2019087858A1 (ja) | 2020-10-22 |
| JP6911936B2 JP6911936B2 (ja) | 2021-07-28 |
Family
ID=66333127
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019551149A Active JP6911936B2 (ja) | 2017-10-30 | 2018-10-23 | 攻撃通信検出装置、攻撃通信検出方法、プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11588827B2 (ja) |
| EP (1) | EP3706372B1 (ja) |
| JP (1) | JP6911936B2 (ja) |
| CN (1) | CN111316602B (ja) |
| WO (1) | WO2019087858A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11855971B2 (en) * | 2018-01-11 | 2023-12-26 | Visa International Service Association | Offline authorization of interactions and controlled tasks |
| JP7192747B2 (ja) * | 2019-11-13 | 2022-12-20 | 株式会社オートネットワーク技術研究所 | 車載中継装置及び情報処理方法 |
| US20210409440A1 (en) * | 2020-06-30 | 2021-12-30 | Honeywell International Inc. | Cybersecurity compliance engine for networked systems |
| JP7435929B2 (ja) | 2022-03-11 | 2024-02-21 | 三菱電機株式会社 | 不正通信検知装置、通信許可リスト生成装置、不正通信検知方法、通信許可リスト生成方法、不正通信検知プログラム、及び通信許可リスト生成プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013094072A1 (ja) * | 2011-12-22 | 2013-06-27 | トヨタ自動車 株式会社 | 通信システム及び通信方法 |
| JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040003266A1 (en) * | 2000-09-22 | 2004-01-01 | Patchlink Corporation | Non-invasive automatic offsite patch fingerprinting and updating system and method |
| US7256977B2 (en) * | 2002-12-10 | 2007-08-14 | Nippon Kouatsu Electric Co., Ltd. | Device for protection from thunder |
| CN101316266B (zh) * | 2008-07-01 | 2012-02-08 | 宁波中科集成电路设计中心有限公司 | 一种传感器网络中选择性转发攻击的防御方法 |
| US9173100B2 (en) * | 2011-11-16 | 2015-10-27 | Autoconnect Holdings Llc | On board vehicle network security |
| US10063654B2 (en) * | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
| KR101472896B1 (ko) * | 2013-12-13 | 2014-12-16 | 현대자동차주식회사 | 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치 |
| US9811658B2 (en) * | 2014-07-28 | 2017-11-07 | Iboss, Inc. | Selectively capturing video in a virtual environment based on application behavior |
| WO2016108963A1 (en) * | 2014-12-30 | 2016-07-07 | Battelle Memorial Institute | Temporal anomaly detection on automotive networks |
| US9380070B1 (en) * | 2015-01-20 | 2016-06-28 | Cisco Technology, Inc. | Intrusion detection mechanism |
| CN104660594B (zh) * | 2015-02-09 | 2018-01-09 | 中国科学院信息工程研究所 | 一种面向社交网络的虚拟恶意节点及其网络识别方法 |
| US10798114B2 (en) * | 2015-06-29 | 2020-10-06 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| US11115433B2 (en) * | 2015-06-29 | 2021-09-07 | Argus Cyber Security Ltd. | System and method for content based anomaly detection in an in-vehicle communication network |
| US10037425B2 (en) * | 2015-08-26 | 2018-07-31 | Symantec Corporation | Detecting suspicious file prospecting activity from patterns of user activity |
| WO2017046805A1 (en) * | 2015-09-17 | 2017-03-23 | Tower-Sec Ltd. | Systems and methods for detection of malicious activity in vehicle data communication networks |
| JP6423402B2 (ja) * | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| CN105871833A (zh) * | 2016-03-29 | 2016-08-17 | 北京布来得科技有限公司 | 一种基于近场通信的中继攻击的检测方法及装置 |
| US10091077B1 (en) * | 2016-06-27 | 2018-10-02 | Symantec Corporation | Systems and methods for detecting transactional message sequences that are obscured in multicast communications |
| US11055615B2 (en) * | 2016-12-07 | 2021-07-06 | Arilou Information Security Technologies Ltd. | System and method for using signal waveform analysis for detecting a change in a wired network |
| US11032300B2 (en) * | 2017-07-24 | 2021-06-08 | Korea University Research And Business Foundation | Intrusion detection system based on electrical CAN signal for in-vehicle CAN network |
| US10673883B2 (en) * | 2018-05-14 | 2020-06-02 | Cisco Technology, Inc. | Time synchronization attack detection in a deterministic network |
-
2018
- 2018-10-23 WO PCT/JP2018/039296 patent/WO2019087858A1/ja unknown
- 2018-10-23 CN CN201880070434.5A patent/CN111316602B/zh active Active
- 2018-10-23 EP EP18872403.3A patent/EP3706372B1/en active Active
- 2018-10-23 JP JP2019551149A patent/JP6911936B2/ja active Active
- 2018-10-23 US US16/755,205 patent/US11588827B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013094072A1 (ja) * | 2011-12-22 | 2013-06-27 | トヨタ自動車 株式会社 | 通信システム及び通信方法 |
| JP2014146868A (ja) * | 2013-01-28 | 2014-08-14 | Hitachi Automotive Systems Ltd | ネットワーク装置およびデータ送受信システム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019087858A1 (ja) | 2019-05-09 |
| CN111316602B (zh) | 2022-04-19 |
| EP3706372A1 (en) | 2020-09-09 |
| EP3706372B1 (en) | 2022-11-16 |
| US11588827B2 (en) | 2023-02-21 |
| CN111316602A (zh) | 2020-06-19 |
| US20200259846A1 (en) | 2020-08-13 |
| JP6911936B2 (ja) | 2021-07-28 |
| EP3706372A4 (en) | 2021-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6911936B2 (ja) | 攻撃通信検出装置、攻撃通信検出方法、プログラム | |
| US11570184B2 (en) | In-vehicle network system, fraud-detection electronic control unit, and fraud-detection method | |
| JP6956624B2 (ja) | 情報処理方法、情報処理システム、及びプログラム | |
| US20170324579A1 (en) | Communication control device and communication system | |
| US11856006B2 (en) | Abnormal communication detection apparatus, abnormal communication detection method and program | |
| WO2018168291A1 (ja) | 情報処理方法、情報処理システム、及びプログラム | |
| KR20180021287A (ko) | 차량 침입 탐지 장치 및 방법 | |
| WO2018173732A1 (ja) | 車載通信装置、コンピュータプログラム及びメッセージ判定方法 | |
| US8274889B2 (en) | Method, system and computer program product involving congestion detection in ethernet | |
| JP2019029960A (ja) | 検知装置、検知方法および検知プログラム | |
| JP6939898B2 (ja) | ビットアサイン推定装置、ビットアサイン推定方法、プログラム | |
| JP6528239B2 (ja) | 通信装置およびプログラム | |
| JP7035791B2 (ja) | サイバー攻撃を検知する異常検知装置および異常検知方法 | |
| KR101263218B1 (ko) | 단일 세션 내 단일 패킷 집성 방법 및 장치 | |
| US20230198799A1 (en) | Apparatus for a controller area network | |
| WO2023074393A1 (ja) | 検知装置、検知方法および検知プログラム | |
| JP2022117817A (ja) | 異常判定装置および異常判定方法 | |
| JP2019205089A (ja) | 通信メッセージ識別装置および通信メッセージ識別方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200325 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200325 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210608 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210621 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6911936 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |