JPWO2019207653A1 - 攻撃検知装置、攻撃検知方法及び攻撃検知プログラム - Google Patents
攻撃検知装置、攻撃検知方法及び攻撃検知プログラム Download PDFInfo
- Publication number
- JPWO2019207653A1 JPWO2019207653A1 JP2020515346A JP2020515346A JPWO2019207653A1 JP WO2019207653 A1 JPWO2019207653 A1 JP WO2019207653A1 JP 2020515346 A JP2020515346 A JP 2020515346A JP 2020515346 A JP2020515346 A JP 2020515346A JP WO2019207653 A1 JPWO2019207653 A1 JP WO2019207653A1
- Authority
- JP
- Japan
- Prior art keywords
- attack
- feature
- sensor
- detection unit
- sensor data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01D—MEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
- G01D3/00—Indicating or recording apparatus with provision for the special purposes referred to in the subgroups
- G01D3/08—Indicating or recording apparatus with provision for the special purposes referred to in the subgroups with provision for safeguarding the apparatus, e.g. against abnormal operation, against breakdown
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01C—MEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
- G01C21/00—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
- G01C21/10—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 by using measurements of speed or acceleration
- G01C21/12—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 by using measurements of speed or acceleration executed aboard the object being navigated; Dead reckoning
- G01C21/16—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 by using measurements of speed or acceleration executed aboard the object being navigated; Dead reckoning by integrating acceleration or speed, i.e. inertial navigation
- G01C21/165—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00 by using measurements of speed or acceleration executed aboard the object being navigated; Dead reckoning by integrating acceleration or speed, i.e. inertial navigation combined with non-inertial navigation instruments
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01D—MEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
- G01D21/00—Measuring or testing not otherwise provided for
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01P—MEASURING LINEAR OR ANGULAR SPEED, ACCELERATION, DECELERATION, OR SHOCK; INDICATING PRESENCE, ABSENCE, OR DIRECTION, OF MOVEMENT
- G01P21/00—Testing or calibrating of apparatus or devices covered by the preceding groups
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Automation & Control Theory (AREA)
- Measurement Of Mechanical Vibrations Or Ultrasonic Waves (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
- Burglar Alarm Systems (AREA)
- Testing Or Calibration Of Command Recording Devices (AREA)
Abstract
特徴検知部(110)は、MEMSセンサ(200)によって検出されたセンサデータを時系列データの波形として扱うことにより、センサセンサデータの波形から、波形の特徴として、互い異なる6種類の検知結果(11)から検知結果(16)を生成する。攻撃判定部(120)は、検知結果(11)から検知結果(16)に基づいて、MEMSセンサ(200)への攻撃が有ったか無かったかを判定する。
Description
本発明は、攻撃検知装置、攻撃検知方法及び攻撃検知プログラムに関する。
MEMS(Micro Electro Mechanical System)センサは、機械的な部品と電子回路とを一つに集積した構成のセンサである。
MEMSセンサは、小型であること、精度が良いこと、コストが安いことにより、用いられることが多い。
例えば、自動運転車両またはロボットのような機器の自律制御のために、MEMSジャイロセンサ及びMEMS加速度センサが用いられる。
MEMSセンサは、小型であること、精度が良いこと、コストが安いことにより、用いられることが多い。
例えば、自動運転車両またはロボットのような機器の自律制御のために、MEMSジャイロセンサ及びMEMS加速度センサが用いられる。
センサを用いた計測及び制御においては、センサデータの信頼性がシステムの信頼性に直結する。そのため、センサへの攻撃は脅威となる。マルウェアを用いてセンサデータをソフトウェア的に騙す攻撃は、従来の情報セキュリティ技術で対処可能である。
一方で、物理的な信号をセンサに照射し、物理的にセンサの状態を変動させるハードウェア的に騙す攻撃には、従来の情報セキュリティ技術だけでは対処できない。
非特許文献1、2では、超音波によりMEMSジャイロセンサとMEMS加速度センサとを騙す攻撃方法を開示している。
音波攻撃では、MEMSセンサがばねとおもりで構成されることに着目する。すなわち、ばねとおもりで構成される物体が共振周波数を持つという特性を利用する。
攻撃者は、MEMSセンサが持つ共振周波数と同じ周波数の音波をMEMSセンサに対して照射する。この照射は、MEMSセンサの機械部分を強制的に共振させ、異常なセンサデータがセンサから出力される。
非特許文献1、2では、超音波によりMEMSジャイロセンサとMEMS加速度センサとを騙す攻撃方法を開示している。
音波攻撃では、MEMSセンサがばねとおもりで構成されることに着目する。すなわち、ばねとおもりで構成される物体が共振周波数を持つという特性を利用する。
攻撃者は、MEMSセンサが持つ共振周波数と同じ周波数の音波をMEMSセンサに対して照射する。この照射は、MEMSセンサの機械部分を強制的に共振させ、異常なセンサデータがセンサから出力される。
MEMSセンサへの音波攻撃への対策としては、次の対策がある。
非特許文献1では、ハードウェアでの対策として、物理的にセンサを遮蔽すること、センサの共振周波数を変更すること、同じセンサを複数用意してセンサデータを比較することを対策方式として開示している。
非特許文献2では、ハードウェアでの対策として、センサを構成する部品を超音波攻撃の影響を受けにくい部品に変更する対策方式を開示している。さらに、非特許文献2では、ソフトウェアでの対策として、センサのサンプリング間隔を変更する対策方式を開示している。
非特許文献1では、ハードウェアでの対策として、物理的にセンサを遮蔽すること、センサの共振周波数を変更すること、同じセンサを複数用意してセンサデータを比較することを対策方式として開示している。
非特許文献2では、ハードウェアでの対策として、センサを構成する部品を超音波攻撃の影響を受けにくい部品に変更する対策方式を開示している。さらに、非特許文献2では、ソフトウェアでの対策として、センサのサンプリング間隔を変更する対策方式を開示している。
Son, Yunmok, et al. "Rocking drones with intentional sound noise on gyroscopic sensors." 24th USENIX Security Symposium (USENIX Security 15). 2015.
Timothy Trippel, Ofir Weisse, Wenyuan Xu, Peter Honeyman, and Kevin Fu. 2017. WALNUT: Waging doubt on the integrity of mems accelerometers with acoustic injection attacks. In Security and Privacy (EuroS&P), 2017 IEEE European Symposium on. IEEE, 3−18.
MEMSセンサに対する音波攻撃に関しては、非特許文献1、2でいくつかの対策が開示されているものの、次のような欠点がある。
まず、ハードウェアでの対策方式は、センサ自体の加工が必要であること、あるいは複数センサが必要である。このため、コストが高くなる。
また、センサを覆う方法は他のセンサに影響を及ぼす可能性があり、センサを覆う方法は計測性能に悪影響を及ぼす可能性がある。
また、ハードウェア構成が変更できない場合には、ハードウェアでの攻撃対策はできない。
まず、ハードウェアでの対策方式は、センサ自体の加工が必要であること、あるいは複数センサが必要である。このため、コストが高くなる。
また、センサを覆う方法は他のセンサに影響を及ぼす可能性があり、センサを覆う方法は計測性能に悪影響を及ぼす可能性がある。
また、ハードウェア構成が変更できない場合には、ハードウェアでの攻撃対策はできない。
非特許文献2で開示されるソフトウェアでの対策方式は、限られたセンサにしか適用できないという課題がある。これは、この対策方式の適用には、センサの利用者がセンサのサンプリング間隔を設定できることが前提となるためである。
本発明は、センサ自体の加工を要さず、センサの通常利用の範囲で利用可能な、センサへの攻撃を検知する攻撃検知装置の提供を目的とする。
本発明の攻撃検知装置は、
センサによって検出されたセンサデータを時系列データの波形として扱うことにより、前記センサデータの波形から、互い異なる種類の複数の基準特徴の基準特徴ごとに、前記基準特徴に対応する対応特徴を検知する特徴検知部と、
前記基準特徴ごと検知された複数の前記対応特徴に基づいて、前記センサへの攻撃が有ったか無かったかを判定する攻撃判定部と
を備える。
センサによって検出されたセンサデータを時系列データの波形として扱うことにより、前記センサデータの波形から、互い異なる種類の複数の基準特徴の基準特徴ごとに、前記基準特徴に対応する対応特徴を検知する特徴検知部と、
前記基準特徴ごと検知された複数の前記対応特徴に基づいて、前記センサへの攻撃が有ったか無かったかを判定する攻撃判定部と
を備える。
本発明によれば、センサ自体の加工を要さず、センサの通常利用の範囲で利用可能な、センサへの攻撃を検知する攻撃検知装置を提供できる。
実施の形態1.
***構成の説明***
図1は、実施の形態1の攻撃検知システム10の構成を示す。攻撃検知システム10は、攻撃検知装置100、MEMSセンサ200及びコントローラ300を備えている。攻撃検知装置100は、特徴検知部110及び攻撃判定部120を備えている。特徴検知部110は、高周波検知部111、振幅変化検知部112、周期的変化検知部113、急激変化検知部114、バイアス検知部115、単一正弦波検知部116を備えている。攻撃判定部120は閾値カウンタ122を備えている。
高周波検知部111、振幅変化検知部112、周期的変化検知部113、急激変化検知部114、バイアス検知部115、単一正弦波検知部116のそれぞれを、単に、検知部と表記する場合がある。
図1は、MEMSセンサ200とコントローラ300に、攻撃検知装置100が接続された構成を示す。
***構成の説明***
図1は、実施の形態1の攻撃検知システム10の構成を示す。攻撃検知システム10は、攻撃検知装置100、MEMSセンサ200及びコントローラ300を備えている。攻撃検知装置100は、特徴検知部110及び攻撃判定部120を備えている。特徴検知部110は、高周波検知部111、振幅変化検知部112、周期的変化検知部113、急激変化検知部114、バイアス検知部115、単一正弦波検知部116を備えている。攻撃判定部120は閾値カウンタ122を備えている。
高周波検知部111、振幅変化検知部112、周期的変化検知部113、急激変化検知部114、バイアス検知部115、単一正弦波検知部116のそれぞれを、単に、検知部と表記する場合がある。
図1は、MEMSセンサ200とコントローラ300に、攻撃検知装置100が接続された構成を示す。
図2は、攻撃検知装置100のハードウェア構成を示す。攻撃検知装置100はコンピュータである。攻撃検知装置100は、ハードウェアとして、プロセッサ910、メモリ920、センサデータ入力インタフェース930、攻撃判定結果出力インタフェース940を備える。プロセッサ910は、機能構成として、特徴検知部110及び攻撃判定部120を備える。特徴検知部110は、高周波検知部111、振幅変化検知部112、周期的変化検知部113、急激変化検知部114、バイアス検知部115及び単一正弦波検知部116の機能要素からなる。特徴検知部110及び攻撃判定部120の機能は、プログラムとして実現される。メモリ920には、特徴検知部110及び攻撃判定部120の機能を実現する攻撃検知プログラムが記憶されている。プロセッサ910が、特徴検知部110及び攻撃判定部120の機能を実現する攻撃検知プログラムを実行する。なお、攻撃検知プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよいし、プログラムプロダクトとして提供されてもよい。
攻撃検知装置100に接続されるMEMSセンサ200は複数でも良い。また、特徴検知部110の備える、攻撃特徴を検知する検知部の数は6つに限定されない。他の検知部を増やしてもよいし、高周波検知部111から単一正弦波検知部116の6つの検知部から一つ以上を減らしてもよい。
***動作の説明***
攻撃検知装置100の動作を説明する。攻撃検知装置100の動作は、攻撃検知方法に相当する。また、攻撃検知装置100の動作は、攻撃検知プログラムの処理に相当する。
攻撃検知装置100の動作を説明する。攻撃検知装置100の動作は、攻撃検知方法に相当する。また、攻撃検知装置100の動作は、攻撃検知プログラムの処理に相当する。
攻撃検知装置100の特徴は、MEMSセンサ200への攻撃が行われたときに、センサデータに生じる攻撃特徴を時系列的な変化として検知することにある。
図3は、静止状態のMEMS加速度センサ、静止状態のMEMSジャイロセンサに音波が照射されたときに、MEMS加速度センサ及びMEMSジャイロセンサから得られるセンサデータの種類を示す。MEMS加速度センサ及びMEMSジャイロセンサは、ばね及びおもりにより構成される。図3は、静止状態のMEMS加速度センサまたはMEMSジャイロセンサに音波が照射されたときに、得られるセンサデータの8つのタイプのグラフを示している。
8つのグラフの横軸は時間であり、縦軸は信号値である。
(a)バイアスは、センサデータにバイアスが含まれる。
(b)正弦波は、センサデータに高周波の正弦波が含まれる。
(c)正弦波は、センサデータに低周波の正弦波が含まれる。
(d)AM変調は、センサデータがAM変調されている。
(e)FM変調は、センサデータがFM変調されている。
(f)AM変調&FM変調は、センサデータがAM変調及びFM変調されている。
(g)ASK変調は、センサデータがASK変調されている。
(h)PSK変調は、センサデータがPSK変調されている。
図3は、静止状態のMEMS加速度センサ、静止状態のMEMSジャイロセンサに音波が照射されたときに、MEMS加速度センサ及びMEMSジャイロセンサから得られるセンサデータの種類を示す。MEMS加速度センサ及びMEMSジャイロセンサは、ばね及びおもりにより構成される。図3は、静止状態のMEMS加速度センサまたはMEMSジャイロセンサに音波が照射されたときに、得られるセンサデータの8つのタイプのグラフを示している。
8つのグラフの横軸は時間であり、縦軸は信号値である。
(a)バイアスは、センサデータにバイアスが含まれる。
(b)正弦波は、センサデータに高周波の正弦波が含まれる。
(c)正弦波は、センサデータに低周波の正弦波が含まれる。
(d)AM変調は、センサデータがAM変調されている。
(e)FM変調は、センサデータがFM変調されている。
(f)AM変調&FM変調は、センサデータがAM変調及びFM変調されている。
(g)ASK変調は、センサデータがASK変調されている。
(h)PSK変調は、センサデータがPSK変調されている。
攻撃検知装置100は、図3に示す(a)バイアスから(h)PSK変調の攻撃特徴の検知を目的とする。そのために、攻撃検知装置100は、複数の検知部からなる特徴検知部110と、各検知部による検知結果をもとにMEMSセンサ200への攻撃の有無を判定する攻撃判定部120とを有する。MEMSセンサ200への攻撃を、単に攻撃という場合がある。
攻撃検知装置100には、次の利点がある。攻撃検知装置100は、高周波検知部111から単一正弦波検知部116のような、攻撃を検知する複数の検知部を有する。よって、攻撃検知装置100は、単一の検知部だけでは検知できない攻撃特徴を相補的に検知できる。また、攻撃検知装置100では、攻撃判定部120が複数の検知部の検知結果をもとに攻撃の判断を行うので、誤検知が減少する。なお、攻撃判定部120は、後述のように、検知結果について重み付けの総和を取り、閾値と比較することで、攻撃判定部は攻撃と判断する。
以下では、攻撃検知装置100の特徴検知部110が有する、各検知部を説明する。センサデータの時系列データを、以下では、「波形」と呼ぶ場合がある。
まず、高周波検知部111について説明する。高周波検知部111によるセンサデータからの特徴検知は、MEMSセンサ200への攻撃時にセンサデータの時系列データの振幅の振れ方が異常に速くなることに着目する。高周波検知部111は、センサデータから、特徴として、高周波の特徴を検知する。
高周波検知部111による具体的な高周波の検知方法は、次の二つが考えられる。一つは、センサデータを一定の時間窓で切り出し、ローパスフィルタ通過前後の波形を比較することである。ローパスフィルタは、高周波検知部111がプログラムとし備えてもよい。あるいは、図4に示すように、攻撃検知装置100がハードウェアであるローパスフィルタ960を備えており、高周波検知部111にローパスフィルタ960の通過前の波形とローパスフィルタ960の通過後の波形とが入力されてもよい。波形に高周波が含まれていない場合には、ローパスフィルタを通過しても波形はよく似ている。相関は類似度の一種である。
二つの波形の類似度を測る方法として、ピアソンの相関係数がある。二つの系列xi,yi(i=1,2,...,n)ついて、ピアソンの相関係数は次の式で求めることができる。
ここで、
は、それぞれxi,yiの相加平均である。
二つの波形の類似度を測る方法として、ピアソンの相関係数がある。二つの系列xi,yi(i=1,2,...,n)ついて、ピアソンの相関係数は次の式で求めることができる。
高周波検知部111による具体的な高周波の検知方法のもう一つは、波形を時間窓で切り出し、FFTを実施することで時間領域のデータを周波数領域に変換し、高周波成分を直接検知することである。
高周波検知部111により、図3の攻撃時の波形のうち、(b),(d),(e),(f),(g)を検知可能である。高周波検知部111によって、低い周波数の(c)、一定の値に近くなる(a)は、検知できない。また、(f),(h)に関しては、搬送波の周波数によっては、高周波検知部111によって、高周波を検知できる場合と出来ない場合とがある。
次に、振幅変化検知部112について説明する。振幅変化検知部112による特徴の検知では、大きな時間幅で波形を見たときに、波形の振幅が一定に整っているように見えることに着目する。振幅変化検知部112は、特徴として、波形の振幅変化の一定を検知する。振幅変化検知部112による具体的な検知方法は、大きな時間幅で波形に包絡線を引き、その変化を観察する。これにより、振幅のピークの時間変化を見ることができる。したがって、振幅のピークの時間変化の幅が小さい場合には、振幅変化検知部112は、振幅変化が一定に近いことを検知できる。振幅変化検知部112は、図3の攻撃時の波形のうち、(a),(b),(e),(h)を検知可能である。振幅変化検知部112は、周波数が低い(c)、振幅変調を伴う(d),(g),(f)は検知できない。また、(e),(h)に関しては、周波数の振る範囲(周波数偏移)やキャリア周波数次第では、検知できる場合と出来ない場合とがある。
周期的変化検知部113について説明する。周期的変化検知部113による特徴の検知では、攻撃時の波形が一定周期で変化することに着目する。周期的変化検知部113は、特徴として、波形の周期的な変化を検知する。波形の周期性をみる方法として、自己相関係数がある。系列xi(i=1,2,...,n)について、自己相関係数は次の式で求めることができる。
ここで、jは系列のずらし幅である。あるずらし幅jについて高い自己相関係数が出ることは、あるずらし幅jで波形がよく似ていることを示す。すなわち、その波形は、jを周期とする規則的な波形とみなせる。したがって、高い自己相関係数が出た場合に、攻撃があると判断できる。
周期的変化検知部113により、図3の攻撃時の波形のうち、(a),(b),(c),(d),(e),(g)を検知可能である。規則性が崩れている(f),(h)は、検知できない。また、(c)は周波数が低いため、自己相関係数を計算する系列を決める時間窓の大きさによっては、(c)は検知できない可能性がある。(g)に関しても、周期の長さによっては、(c)と同様に、検知できない可能性がある。
周期的変化検知部113により、図3の攻撃時の波形のうち、(a),(b),(c),(d),(e),(g)を検知可能である。規則性が崩れている(f),(h)は、検知できない。また、(c)は周波数が低いため、自己相関係数を計算する系列を決める時間窓の大きさによっては、(c)は検知できない可能性がある。(g)に関しても、周期の長さによっては、(c)と同様に、検知できない可能性がある。
急激変化検知部114について説明する。急激変化検知部114による検知では、攻撃の開始と同時に、急激に波形が変化することに着目する。急激変化検知部114は、特徴として、波形の急激な変化を検知する。具体的な検知方法は、急激変化検知部114が、周波数の変化あるいは振幅の変化を記録する。振幅の変化を観察する場合、急激変化検知部114が、一定の時間間隔でセンサデータの値を比較する。大きな変化が観測された場合に攻撃と判断することができる。
周波数の変化を観察する場合、急激変化検知部114が一定の時間間隔でFFT(Fast Fourier Transform)を実行してピーク周波数を取得する。急激なピーク周波数の変化があった場合に攻撃と判断することができる。急激変化検知部114により、図3の攻撃時の波形のうち、(a),(b),(c),(d),(e),(g),(h)を検知可能である。急激変化検知部114は、振幅と周波数が共に変化する(f)を検知できない。
周波数の変化を観察する場合、急激変化検知部114が一定の時間間隔でFFT(Fast Fourier Transform)を実行してピーク周波数を取得する。急激なピーク周波数の変化があった場合に攻撃と判断することができる。急激変化検知部114により、図3の攻撃時の波形のうち、(a),(b),(c),(d),(e),(g),(h)を検知可能である。急激変化検知部114は、振幅と周波数が共に変化する(f)を検知できない。
次に、バイアス検知部115について説明する。バイアス検知部115による検知は、特に、バイアスを出力させる攻撃に着目する。バイアス検知部115は、特徴として、波形からバイアスを検知する。バイアス検知部115による具体的な検知方法は、次の二つが考えられる。一つは、波形の平均と分散を監視する方法である。平均が0から離れており、分散が0に近い場合、波形として、MEMSセンサ200からばらつきの無い一定値が出力されていることが分かる。すなわち、バイアスがあることが分かる。したがって、平均と分散とをそれぞれ0と比較した結果から、バイアスの有無を判定できる。もう一つは、波形の振幅変化を監視する方法である。波形の振幅変化が小さいとき、バイアスがあることが分かる。したがって、ある時間tと、次の時系列t+1という二つのセンサデータがあれば、波形の振幅変化がわかる。振幅変化とある閾値との比較によって、バイアスの有無が判定できる。
バイアス検知部115により、図3の攻撃時の波形のうち、(a)を検知可能である。バイアスを持たないそのほかの波形は検知できない。
バイアス検知部115により、図3の攻撃時の波形のうち、(a)を検知可能である。バイアスを持たないそのほかの波形は検知できない。
次に、単一正弦波検知部116について説明する。単一正弦波検知部116による検知では、強制的にMEMSセンサ200を共振させているため、その共振周波数に則った周波数が常に重畳することに着目する。すなわち、図3に示す(b),(c),(d),(g),(h)のように、規則的な正弦波が重畳し続けるという特徴がある。具体的な検知方法は、波形にFFTを実施し、ある特定の周波数が重畳し続けるかどうかを監視する。例えば、FFT後の周波数ピークの上位三つを監視することで、ある周波数が重畳し続けるかどうかが分かる。センサの監視対象の偶発的な変化により生じた周波数ピークであれば、時間経過とともに消失するので、攻撃と区別できる。単一正弦波検知部116により、図3の攻撃時の波形のうち、(b),(c),(d),(g),(h)が検知可能である。周波数が変化する(e),(f)及び複数周波数から構成される(a)は検知できない。また、周波数の大きさによっては、(c)も検知できない場合がある。
図5は、攻撃検知システム10の動作を示すシーケンス図である。図5を参照して、攻撃検知システム10の動作を説明する。図5では、各検知部は検知結果を生成し、攻撃判定部120に送信する。
特徴検知部110は、センサによって検出されたセンサデータを時系列データの波形として扱うことにより、センサデータの波形から、互い異なる種類の複数の基準特徴の基準特徴ごとに、基準特徴に対応する対応特徴を検知する。基準特徴とは、センサデータの波形から検知すべき特徴である。対応特徴とは、複数の異なる基準特徴のうち、一つの基準特徴に対応する特徴である。以下では、対応特徴は検知結果である。特徴検知部110は、それぞれの対応特徴を、対応特徴の対応する基準特徴に合致する度合いを示す得点として生成する。つまり、実施の形態1において対応特徴である検知結果とは、攻撃特徴と設定されている基準特徴に、波形がどれだけ合致するかという検知スコアである。
(1)特徴検知部110の高周波検知部111は、対応特徴として、センサデータの示す波形から、周波数の特徴を検知する。高周波検知部111では、基準特徴は高周波であり、対応特徴である検知結果11は類似度が使用される。
(2)特徴検知部110の振幅変化検知部112は、対応特徴として、センサデータの示す波形から、振幅変化の特徴を検知する。振幅変化検知部112では、基準特徴は振幅変化の一定であり、対応特徴である検知結果12は振幅のピークの時間変化の幅が使用される。
(3)特徴検知部110の周期的変化検知部113は、対応特徴として、センサデータの示す波形から、周期的な変化を検知する。周期的変化検知部113では、基準特徴は周期的な変化であり、対応特徴である検知結果13は自己相関係数が使用される。
(4)特徴検知部110の急激変化検知部114は、対応特徴として、センサデータの示す波形から、急激な変化を検知する。急激変化検知部114では、基準特徴は急激変化であり、対応特徴である検知結果14は自己相関係数が使用される。
(5)特徴検知部110のバイアス検知部115は、対応特徴として、センサデータの示す波形から、バイアスを検知する。バイアス検知部115では、基準特徴はバイアスであり、対応特徴である検知結果15は波形の平均が使用される。
(6)特徴検知部110の単一正弦波検知部116は、対応特徴として、センサデータの示す波形から、正弦波の重畳の継続を検知する。単一正弦波検知部116では、基準特徴は単一正弦波の重畳であり、対応特徴である検知結果16は、ある周波数が重畳を継続する時間である。
(7)後述のように、検知結果11から検知結果16は、対応する閾値と比較される。
(2)特徴検知部110の振幅変化検知部112は、対応特徴として、センサデータの示す波形から、振幅変化の特徴を検知する。振幅変化検知部112では、基準特徴は振幅変化の一定であり、対応特徴である検知結果12は振幅のピークの時間変化の幅が使用される。
(3)特徴検知部110の周期的変化検知部113は、対応特徴として、センサデータの示す波形から、周期的な変化を検知する。周期的変化検知部113では、基準特徴は周期的な変化であり、対応特徴である検知結果13は自己相関係数が使用される。
(4)特徴検知部110の急激変化検知部114は、対応特徴として、センサデータの示す波形から、急激な変化を検知する。急激変化検知部114では、基準特徴は急激変化であり、対応特徴である検知結果14は自己相関係数が使用される。
(5)特徴検知部110のバイアス検知部115は、対応特徴として、センサデータの示す波形から、バイアスを検知する。バイアス検知部115では、基準特徴はバイアスであり、対応特徴である検知結果15は波形の平均が使用される。
(6)特徴検知部110の単一正弦波検知部116は、対応特徴として、センサデータの示す波形から、正弦波の重畳の継続を検知する。単一正弦波検知部116では、基準特徴は単一正弦波の重畳であり、対応特徴である検知結果16は、ある周波数が重畳を継続する時間である。
(7)後述のように、検知結果11から検知結果16は、対応する閾値と比較される。
ステップS01において、MEMSセンサ200は、センサデータ201をコントローラ300に送信する。コントローラ300はセンサデータ201に応じた処理を行う。
ステップS02において、MEMSセンサ200は、センサデータ201を高周波検知部111に送信する。高周波検知部111は、センサデータ201に高周波が含まれるかどうかを検知し、検知結果11を攻撃判定部120に送信する。
ステップS03において、MEMSセンサ200は、センサデータ201を振幅変化検知部112に送信する。振幅変化検知部112は、センサデータ201の振幅変化が一定かどうかを検知し、検知結果12を攻撃判定部120に送信する。
ステップS04において、MEMSセンサ200は、センサデータ201を周期的変化検知部113に送信する。周期的変化検知部113は、センサデータ201の時間変化が周期的かどうかを検知し、検知結果13を攻撃判定部120に送信する。
ステップS05において、MEMSセンサ200は、センサデータ201を急激変化検知部114に送信する。急激変化検知部114は、センサデータ201が急に変化するかどうかを検知し、検知結果14を攻撃判定部120に送信する。
ステップS06において、MEMSセンサ200は、センサデータ201をバイアス検知部115に送信する。バイアス検知部115は、センサデータ201にバイアスが含まれるかどうかを検知し、検知結果15を攻撃判定部120に送信する。
ステップS07において、MEMSセンサ200は、センサデータ201を単一正弦波検知部116に送信する。単一正弦波検知部116は、センサデータ201に単一の正弦波が重畳し続けるかどうかを検知し、検知結果16を攻撃判定部120に送信する。
攻撃判定部120は、基準特徴ごと検知された複数の対応特徴に基づいて、センサへの攻撃が有ったか無かったかを判定する。攻撃判定部120は、それぞれの対応特徴を示す得点を用いて、センサへの攻撃が有ったか無かったかを判定する。つまり、攻撃判定部120は、検知結果11から検知結果16をもとに、後述のように閾値を用いて攻撃の有無を判定する。
ステップS08において、攻撃判定部120は、判定結果121をコントローラ300に送信する。
ステップS08において、攻撃判定部120は、判定結果121をコントローラ300に送信する。
コントローラ300は、攻撃判定部120から受信した判定結果121に応じて処理を行う。
図6は、攻撃判定部120の動作を示すフローチャートである。図6を参照して攻撃判定部120の動作を説明する。
ステップS11において、攻撃判定部120は、攻撃の有無を判断するための閾値カウンタ122をリセットする。
ステップS12において、攻撃判定部120は、検知結果を受信する。この検知結果は、検知結果11から検知結果16のいずれかである。
ステップS11において、攻撃判定部120は、攻撃の有無を判断するための閾値カウンタ122をリセットする。
ステップS12において、攻撃判定部120は、検知結果を受信する。この検知結果は、検知結果11から検知結果16のいずれかである。
ステップS13において、攻撃判定部120は、受信した検知結果と、受信した検知結果に対応する閾値とを比較する。
ここで閾値を説明する。攻撃判定部120は二種類の閾値を持つ。一方の閾値は検知部による検知結果と比較するため閾値である。他方の閾値は閾値カウンタ122の値と比較するための閾値である。一方の閾値としては、以下の閾値1から閾値6がある。
閾値1は、高周波検知部111による検知結果11と比較される。
閾値2は、振幅変化検知部112による検知結果12と比較される。
閾値3は、周期的変化検知部113による検知結果13と比較される。
閾値4は、急激変化検知部114による検知結果14と比較される。
閾値5は、バイアス検知部115による検知結果15と比較される。
閾値6は、単一正弦波検知部116による検知結果16と比較される。
閾値1は、高周波検知部111による検知結果11と比較される。
閾値2は、振幅変化検知部112による検知結果12と比較される。
閾値3は、周期的変化検知部113による検知結果13と比較される。
閾値4は、急激変化検知部114による検知結果14と比較される。
閾値5は、バイアス検知部115による検知結果15と比較される。
閾値6は、単一正弦波検知部116による検知結果16と比較される。
ステップS14において、攻撃判定部120は、検知結果が閾値を超えていた場合に閾値カウンタ122をカウントアップする。図1の構成の場合、攻撃特徴を検知する六つの検知部があるため、閾値カウンタ122は最小0、最大6となる。
なお、閾値カウンタ122がカウントアップされる条件である、検知結果が閾値を超えるとは以下の意味である。
(1)高周波成分に関する類似度を示す検知結果11については、類似度が閾値1よりも大きい場合である。
(2)振幅一定に関するピーク時間変化幅を示す検知結果12については、ピーク時間変化幅が閾値2よりも小さい場合である。
(3)周期的変化に関する自己相関係数を示す検知結果13については、自己相関係数が閾値3よりも大きい場合である。
(4)急激変化に関する単位時間あたりの振幅変化を示す検知結果14については、単位時間あたりの振幅変化が閾値4よりも大きい場合である。
(5)バイアスに関する検知結果15につては、波形の平均値が閾値5よりも大きい場合である。
(6)単一正弦波に関する検知結果16につては、ある周波数が重畳を継続する時間が閾値6よりも大きい場合である。
なお、閾値カウンタ122がカウントアップされる条件である、検知結果が閾値を超えるとは以下の意味である。
(1)高周波成分に関する類似度を示す検知結果11については、類似度が閾値1よりも大きい場合である。
(2)振幅一定に関するピーク時間変化幅を示す検知結果12については、ピーク時間変化幅が閾値2よりも小さい場合である。
(3)周期的変化に関する自己相関係数を示す検知結果13については、自己相関係数が閾値3よりも大きい場合である。
(4)急激変化に関する単位時間あたりの振幅変化を示す検知結果14については、単位時間あたりの振幅変化が閾値4よりも大きい場合である。
(5)バイアスに関する検知結果15につては、波形の平均値が閾値5よりも大きい場合である。
(6)単一正弦波に関する検知結果16につては、ある周波数が重畳を継続する時間が閾値6よりも大きい場合である。
ステップS15おいて、攻撃判定部120は、すべて検知結果と閾値比較を行ったかを確認する。ステップS15でNOの場合、処理はステップS13に進む。
ステップS15でYESの場合、処理はステップS16に進む。
ステップS17において、攻撃判定部120は、攻撃の有無を判定する。攻撃判定部120は、閾値カウンタ122の値が攻撃と判断するカウンタ閾値を超えた場合に、攻撃があったと判定する。この場合、ステップS17において、攻撃判定部120は、判定結果121として、コントローラ300に異常の通知を送信する。
ステップS17において、攻撃判定部120は、攻撃の有無を判定する。攻撃判定部120は、閾値カウンタ122の値が攻撃と判断するカウンタ閾値を超えた場合に、攻撃があったと判定する。この場合、ステップS17において、攻撃判定部120は、判定結果121として、コントローラ300に異常の通知を送信する。
閾値カウンタ122がカウンタ閾値を超えなかった場合には、攻撃判定部120は攻撃はなかったと判定する。この場合、ステップS18において、攻撃判定部120は、判定結果121として、コントローラ300に正常の通知を送信する。
高周波検知部111について補足する。高周波検知部111は、ローパスフィルタ通過前後の波形の比較により高周波を検知する場合、ローパスフィルタ通過前の波形とローパスフィルタ通過後の波形との類似度を計算するために、ピアソンの相関係数の使用を述べた。ピアソンの相関係数の代わりに、次の(1)または(2)に示す類似度の計算方法を用いても良い。
(1)類似度の計算方法は、相互相関、相互情報量、または尤度を計算することである。
(2)類似度の計算方法は、ユークリッド距離、マハラノビス距離、マンハッタン距離、チェビシェフ距離またはミンコフスキー距離のような、幾何学的距離を計算することである。
(1)類似度の計算方法は、相互相関、相互情報量、または尤度を計算することである。
(2)類似度の計算方法は、ユークリッド距離、マハラノビス距離、マンハッタン距離、チェビシェフ距離またはミンコフスキー距離のような、幾何学的距離を計算することである。
攻撃判定部120は、センサで観測する対象を加味して、閾値カウンタ122を次のような方法で実現しても良い。それぞれの検知部に応じて重み付けを行う、あるいは、閾値自体を変化させる。攻撃判定部120は、対応特徴の対応する基準特徴の種類に応じて、対応特徴を示す得点に重み付けを行い、重み付けがされた得点に基づいて、センサへの攻撃が有ったか無かったかを判定する。基準特徴の種類に応じてとは、検知部の種類に応じてということを意味する。また、得点に重み付けを行うとは、検知結果の値を変更してもよいし、検知結果と対比される閾値を変更してもよいし、カウンタ閾値を変更してもよい。
例えば、規則的な動きを行うロボットアームに取り付けられたMEMS加速度センサやMEMSジャイロセンサの場合、周期的変化検知部113から得られた検知結果13と比較を行う閾値を高くすることで、重要度を下げる。
例えば、規則的な動きを行うロボットアームに取り付けられたMEMS加速度センサやMEMSジャイロセンサの場合、周期的変化検知部113から得られた検知結果13と比較を行う閾値を高くすることで、重要度を下げる。
***実施の形態1の効果の説明***
MEMSセンサ200への攻撃が有った場合、MEMSセンサ200の波形には、高周波、振幅が一定、周期的変化、急激な変化、バイアス、単一の正弦波の重畳のような攻撃特徴が表れる。実施の形態1の攻撃検知装置100では、これらの特徴を六つの検知部で検知するので、MEMSセンサ200への攻撃が検知できる。
また、攻撃検知装置100は攻撃検知を行いたいセンサのセンサデータを入力するだけで良いため、センサ自体の加工は必要ない。
また、攻撃検知装置100は、MEMSセンサ200に限らず、多くのセンサに利用可能である。
MEMSセンサ200への攻撃が有った場合、MEMSセンサ200の波形には、高周波、振幅が一定、周期的変化、急激な変化、バイアス、単一の正弦波の重畳のような攻撃特徴が表れる。実施の形態1の攻撃検知装置100では、これらの特徴を六つの検知部で検知するので、MEMSセンサ200への攻撃が検知できる。
また、攻撃検知装置100は攻撃検知を行いたいセンサのセンサデータを入力するだけで良いため、センサ自体の加工は必要ない。
また、攻撃検知装置100は、MEMSセンサ200に限らず、多くのセンサに利用可能である。
図2で攻撃検知装置100のハードウェア構成を述べたが、ハードウェア構成の補足説明を行う。
プロセッサ910は、CPU(Central Processing Unit)またはDSP(Digital Signal Processor)である。メモリ920は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)またはSSD(Solid State Drive)である。センサデータ入力インタフェース930及び攻撃判定結果出力インタフェース940は、I2C(Inter−Integrated Circuit)インタフェース、SPI(Serial Peripheral Interface)またはEthernet(登録商標)インタフェースである。
プロセッサ910は、CPU(Central Processing Unit)またはDSP(Digital Signal Processor)である。メモリ920は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、HDD(Hard Disk Drive)またはSSD(Solid State Drive)である。センサデータ入力インタフェース930及び攻撃判定結果出力インタフェース940は、I2C(Inter−Integrated Circuit)インタフェース、SPI(Serial Peripheral Interface)またはEthernet(登録商標)インタフェースである。
また、高周波検知部111、振幅変化検知部112、周期的変化検知部113、急激変化検知部114、バイアス検知部115、単一正弦波検知部116及び攻撃判定部120の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。また、攻撃検知装置100は、ロジックIC(Integrated Circuit)、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)といった電子回路により実現されてもよい。
なお、プロセッサ及び上記の電子回路を総称してプロセッシングサーキットリーともいう。
なお、プロセッサ及び上記の電子回路を総称してプロセッシングサーキットリーともいう。
図7は、攻撃検知装置100が電子回路99で実現される図である。電子回路99によって、プロセッサ910として示す「部」の機能、メモリ920の機能、センサデータ入力インタフェース930の機能及び攻撃判定結果出力インタフェース940の機能が実現される。電子回路99は信号線99aに接続している。電子回路99は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate・Array)、ASIC(Application・Specific・Integrated・Circuit)、又は、FPGA(Field−Programmable・Gate・Array)である。
実施の形態2.
***構成の説明***
図8から図16を参照して実施の形態2の攻撃検知システム700を説明する。
図8は、実施の形態2の攻撃検知システム700の構成を示す。攻撃検知システム700は、攻撃検知装置100、制御対象500及び制御システム600を備える。
***構成の説明***
図8から図16を参照して実施の形態2の攻撃検知システム700を説明する。
図8は、実施の形態2の攻撃検知システム700の構成を示す。攻撃検知システム700は、攻撃検知装置100、制御対象500及び制御システム600を備える。
攻撃検知装置100は、特徴検知部110、攻撃判定部120、コンテクスト判断部130及び状態遷移検知部140を備える。実施の形態2の攻撃検知装置100は、実施の形態1の攻撃検知装置100に対して、さらに、コンテクスト判断部130及び状態遷移検知部140を備えている。
制御システム600は、MEMSセンサ200、コントローラ300、アクチュエータ40を備えている。制御システム600は、制御対象500をフィードバック制御する。
攻撃検知システム700では、制御システム600に対して、攻撃検知装置100が接続する構成である。
図9は、攻撃検知装置100のハードウェア構成を示す。実施の形態2の攻撃検知装置100はコンピュータである。攻撃検知装置100は、ハードウェアとして、プロセッサ910、メモリ920、センサデータ入力インタフェース930、攻撃判定結果出力インタフェース940及び制御信号入力インタフェース950を備える。また、プロセッサ910は、機能要素として、特徴検知部110、攻撃判定部120、コンテクスト判断部130及び状態遷移検知部140を持つ。特徴検知部110、攻撃判定部120、コンテクスト判断部130、状態遷移検知部140の機能は、攻撃検知プログラムとして実現される。メモリ920には、特徴検知部110、攻撃判定部120、コンテクスト判断部130、状態遷移検知部140の機能を実現する攻撃検知プログラムが記憶されている。そして、プロセッサ910が、特徴検知部110、攻撃判定部120、コンテクスト判断部130、状態遷移検知部140の機能を実現する攻撃検知プログラムを実行する。
攻撃検知装置100に接続されるMEMSセンサ200は複数でも良い。また、特徴検知部110は、実施の形態1に示すように複数の検知部により構成されていても良い。あるいは、特徴検知部110は、複数の検知部のいずれか、または、二つ以上の検知部により構成されていても良い。また、攻撃検知装置100は、制御システム600を構成するコントローラ300の構成要素として実現されても良い。また、制御システム600がアクチュエータを有さない場合、コンテクスト判断部130はセンサデータ201だけからコンテクストを判定しても良い。
***動作の説明***
実施の形態2の攻撃検知装置100の動作を説明する。攻撃検知装置100は、実施の形態1の攻撃検知装置100に対して、さらに、コンテクスト判断部130、異常状態遷移検知部140が追加されており、制御対象500の状態を考慮して、MEMSセンサ200への攻撃を検知できる。
実施の形態2の攻撃検知装置100の動作を説明する。攻撃検知装置100は、実施の形態1の攻撃検知装置100に対して、さらに、コンテクスト判断部130、異常状態遷移検知部140が追加されており、制御対象500の状態を考慮して、MEMSセンサ200への攻撃を検知できる。
コンテクストとは、制御対象500の状態を意味する。
図10は、状態遷移検知部が有する、状態遷移を判断するための状態遷移図である。例えば、制御対象500が移動ロボットの場合、図10に示すように、静止、加速、減速、等速という4つの状態が考えられる。
コンテクスト判断は、二つの効果を持つ。一つは、コンテクストに応じて特徴検知部110、攻撃判定部120の検知基準及び判定基準を変化させ、誤検知を減らすことが出来る。例えば、制御対象500がロボットの場合、移動開始時にはセンサデータが急に変化するため、急激変化検知部114の検知結果である検知スコアを減少させることが考えられる。あるいは、急激変化検知部114の検知結果と比較を行う閾値を減少させることが考えられる。
図10は、状態遷移検知部が有する、状態遷移を判断するための状態遷移図である。例えば、制御対象500が移動ロボットの場合、図10に示すように、静止、加速、減速、等速という4つの状態が考えられる。
コンテクスト判断は、二つの効果を持つ。一つは、コンテクストに応じて特徴検知部110、攻撃判定部120の検知基準及び判定基準を変化させ、誤検知を減らすことが出来る。例えば、制御対象500がロボットの場合、移動開始時にはセンサデータが急に変化するため、急激変化検知部114の検知結果である検知スコアを減少させることが考えられる。あるいは、急激変化検知部114の検知結果と比較を行う閾値を減少させることが考えられる。
コンテクスト判断のもう一つの効果は、コンテクストの異常状態を捉え、攻撃判定に用いることである。
コンテクストの異常状態を捉えるには二つの方法がある。
一つは、制御量とセンサデータとが示す制御対象500の状態の不一致により、コンテクストの異常状態を捉える。
もう一つは、コンテクストの異常状態を、状態遷移があった場合、定義されない異常な状態遷移として捉える。
コンテクストの異常状態を捉えるには二つの方法がある。
一つは、制御量とセンサデータとが示す制御対象500の状態の不一致により、コンテクストの異常状態を捉える。
もう一つは、コンテクストの異常状態を、状態遷移があった場合、定義されない異常な状態遷移として捉える。
次に、コンテクスト判断部130による、コンテクストの判断方法を説明する。コンテクストは、コンテクスト判断部130が、制御量、センサデータの時間変化により判定する。以下では、移動ロボットを例に説明を行う。移動ロボットは、PWM(pulse width modulation)で制御されるモータにより移動が制御され、加速度センサが搭載されていると想定する。制御量はコントローラ300から出力される制御信号301からわかる。制御信号301はアクチュエータ400を制御するための信号である。
図8に示すように、コンテクスト判断部130には、制御信号301とセンサデータ201が入力される。この場合、制御信号301はPWM値であり、センサデータ201は加速度である。
図8に示すように、コンテクスト判断部130には、制御信号301とセンサデータ201が入力される。この場合、制御信号301はPWM値であり、センサデータ201は加速度である。
図11は、コンテクスト判断部130がコンテクストを判断する基準を示すコンテクスト判断情報132である。このとき、図11のコンテクスト判断情報132のように、制御量であるPWM値とセンサデータである加速度の時間変化を見ることで、図10に示す、静止、加速、減速、等速という状態を判断できる。例えば、制御量が小さくなった場合は減速、制御量が大きくなった場合は加速、と判断できる。また、加速度が小さくなった場合は減速、加速度が大きくなった場合は加速と判断できる。ただし、制御量に変化が無い場合、どのコンテクストが適切かを判断することは出来ない。また、制御量が0のまま一定であるとき、減速か静止かまでは分かるが、そのどちらかを断定できない。その場合は、センサデータから求めたコンテクストと比較して判断する。
図12は、攻撃検知装置100の動作を示すシーケンス図である。図12を参照して、攻撃検知装置100の動作を説明する。
ステップS21において、MEMSセンサ200はコントローラ300にセンサデータ201を送信する。コントローラ300は、センサデータ201をもとに、アクチュエータ400をどれだけ操作するかを決定し、アクチュエータ400を制御するための制御信号301をアクチュエータ400に送信する。アクチュエータ400は、制御対象500に対して作用し、制御対象500の状態が変化する。以上がフィードバック制御による制御対象500の制御である。
ステップS21において、MEMSセンサ200はコントローラ300にセンサデータ201を送信する。コントローラ300は、センサデータ201をもとに、アクチュエータ400をどれだけ操作するかを決定し、アクチュエータ400を制御するための制御信号301をアクチュエータ400に送信する。アクチュエータ400は、制御対象500に対して作用し、制御対象500の状態が変化する。以上がフィードバック制御による制御対象500の制御である。
ステップS22において、MEMSセンサ200は、特徴検知部110にセンサデータ201を送信する。特徴検知部110は、センサデータ201に攻撃特徴が含まれるかどうかを検知し、検知結果110aを攻撃判定部120に送信する。
ステップS23において、MEMSセンサ200は、コンテクスト判断部130にセンサデータ201を送信する。
ステップS24において、コントローラ300はコンテクスト判断部130に、制御信号301を送信する。センサデータ201と、制御信号301との二つの情報をもとに、コンテクスト判断部130はコンテクストを判断する。コンテクスト判断部130は、判断した現在のコンテクスト131を、特徴検知部110、攻撃判定部120、状態遷移検知部140に送信する。
ステップS24において、コントローラ300はコンテクスト判断部130に、制御信号301を送信する。センサデータ201と、制御信号301との二つの情報をもとに、コンテクスト判断部130はコンテクストを判断する。コンテクスト判断部130は、判断した現在のコンテクスト131を、特徴検知部110、攻撃判定部120、状態遷移検知部140に送信する。
ステップS25において、状態遷移検知部140はコンテクスト131をもとに異常状態遷移を検知し、検知結果141を攻撃判定部120に送信する。
攻撃判定部120は、特徴検知部110による検知結果110a,コンテクスト判断部130によるコンテクスト131,状態遷移検知部140による検知結果141をもとに、攻撃の有無を判定する。
ステップS26において、攻撃判定部120は、判定結果121をコントローラ300に送信する。コントローラ300は、判定結果121に応じて、処理を行う。
ステップS26において、攻撃判定部120は、判定結果121をコントローラ300に送信する。コントローラ300は、判定結果121に応じて、処理を行う。
図13は、コンテクスト判断部130の動作を示すフローチャートである。図13を参照して、コンテクスト判断部130の動作を説明する。コンテクスト判断部130は、センサデータと制御対象を制御する制御信号とに基づいて、制御対象の状態を示すコンテクストを判断する。
まず、図10に示す複数のコンテクストをもとに、ステップS101において、コンテクスト判断部130は、制御信号301の示す制御量と、センサデータ201とから、個々にコンテクストを判断する。先の説明の通り、制御量からの判断ではコンテクストが定まらない場合がある。
ステップS102において、コンテクスト判断部130は、二つのコンテクストが一致するかを確認する。一致した場合、コンテクスト判断部130は、一致したコンテクストで決定する(ステップS103)。一致しない場合、コンテクスト判断部130は、コンテクストを不定と決定する。
ただし、制御量から求めたコンテクストがAまたはBであり、かつセンサデータ201から求めたコンテクストがAのときは、コンテクストをAと決定する。
ステップS104は、この内容を示す。
ステップS104は、この内容を示す。
図14は、異常状態遷移検知部140の動作を図14に示すフローチャートで説明する。図14を参照して状態遷移検知部140の動作を説明する。
ステップS201において、状態遷移検知部140はコンテクスト判断部130からコンテクスト131を受信する。
ステップS202において、状態遷移検知部140は、受信したコンテクスト131を前回に受信した直前のコンテクストと比較して状態遷移を判断する。
ステップS203において、状態遷移検知部140は、図10に示す状態遷移図をもとに、直前のコンテクストからコンテクスト131への状態遷移が規定されない状態遷移かどうかを確認する。正常な状態遷移の場合、状態遷移検知部140は、正常という検知結果を攻撃判定部120へ送信する。異常な状態遷移の場合、状態遷移検知部140は、異常という検知結果を攻撃判定部120送信する。
ステップS202において、状態遷移検知部140は、受信したコンテクスト131を前回に受信した直前のコンテクストと比較して状態遷移を判断する。
ステップS203において、状態遷移検知部140は、図10に示す状態遷移図をもとに、直前のコンテクストからコンテクスト131への状態遷移が規定されない状態遷移かどうかを確認する。正常な状態遷移の場合、状態遷移検知部140は、正常という検知結果を攻撃判定部120へ送信する。異常な状態遷移の場合、状態遷移検知部140は、異常という検知結果を攻撃判定部120送信する。
例えば、図10に示す状態遷移図において、静止から一定になる場合、状態遷移検知部140は異常状態遷移と判断できる。これは、静止状態の加速度センサへ、図3のバイアス状のセンサデータを出力させた場合に相当する。ただし、状態遷移検知部140は、あるコンテクストから不定への遷移は異常と判断し、不定からそれ以外のコンテクストへの遷移は正常と判断する。
図15は、攻撃判定部120の動作を示すフローチャートで説明する。図15を参照して、攻撃判定部120の動作を説明する。基本的な流れは、実施の形態1と同様である。
図15は、状態遷移検知部140によって、状態遷移の異常が検知されない場合のフローチャートである。実施の形態1の図6との違いは、攻撃判定部120はコンテクスト131に応じて、攻撃判定部120が閾値を変更する部分である。変更される閾値とは、検知部の検知結果と比較される閾値である。図15は図6に対して、ステップS302、ステップS303が追加されている。よって、ステップS302、ステップS303を説明する。
図15は、状態遷移検知部140によって、状態遷移の異常が検知されない場合のフローチャートである。実施の形態1の図6との違いは、攻撃判定部120はコンテクスト131に応じて、攻撃判定部120が閾値を変更する部分である。変更される閾値とは、検知部の検知結果と比較される閾値である。図15は図6に対して、ステップS302、ステップS303が追加されている。よって、ステップS302、ステップS303を説明する。
攻撃判定部120は閾値カウンタ122をリセットした後、ステップS302において、コンテクスト131を受信する。
図16は、コンテクストと閾値の変化との対応を示す対応情報123である。コンテクストが決まれば、攻撃判定部120は、対応情報123によって閾値をどのように変化させればよいかがわかる。図16の対応情報123では,図10の各コンテクストと、閾値の変化との対応を示している。
攻撃判定部120は、コンテクスト判断部130の判断結果に応じて、対応特徴を示す得点に重み付けを行い、重み付けがされた得点に基づいて、センサへの攻撃が有ったか無かったかを判定する。具体的には、ステップS303において、攻撃判定部120は、対応情報123を参照して、コンテクスト131に応じて、閾値を変化させる。
対応情報123では、加速、減速、等速、静止、不定という五つのコンテクストに応じて、どのように閾値を変化させるべきかが示されている。例えば、静止状態のとき、次に動くときは大きくセンサデータが振れることが予想できるため、急な変化検知の閾値は大きくするべきである。このような考えに基づき対応情報123は作成されている。
このように、攻撃判定部120は、受信したコンテクスト131に応じて、閾値を変更する。
攻撃判定部120は、コンテクスト判断部130の判断結果に応じて、対応特徴を示す得点に重み付けを行い、重み付けがされた得点に基づいて、センサへの攻撃が有ったか無かったかを判定する。具体的には、ステップS303において、攻撃判定部120は、対応情報123を参照して、コンテクスト131に応じて、閾値を変化させる。
対応情報123では、加速、減速、等速、静止、不定という五つのコンテクストに応じて、どのように閾値を変化させるべきかが示されている。例えば、静止状態のとき、次に動くときは大きくセンサデータが振れることが予想できるため、急な変化検知の閾値は大きくするべきである。このような考えに基づき対応情報123は作成されている。
このように、攻撃判定部120は、受信したコンテクスト131に応じて、閾値を変更する。
なお、状態遷移検知部140は、コンテクスト判断部130によって判断されたコンテクスト131と、コンテクスト131の直前のコンテクストとを用いることにより、直前のコンテクストから、コンテクスト131への状態遷移の異常を検知する。
攻撃判定部120は、状態遷移検知部140によって状態遷移の異常が検知された場合、センサへの攻撃が有ったと判定し、コントローラ300に判定結果121として異常を通知する。あるいは、攻撃判定部120は、状態遷移検知部140によって状態遷移の異常が検知された場合には攻撃があったと判定することなく、閾値1から閾値6の全部あるいはいくつかを変更してもよい。
攻撃判定部120は、状態遷移検知部140によって状態遷移の異常が検知された場合、センサへの攻撃が有ったと判定し、コントローラ300に判定結果121として異常を通知する。あるいは、攻撃判定部120は、状態遷移検知部140によって状態遷移の異常が検知された場合には攻撃があったと判定することなく、閾値1から閾値6の全部あるいはいくつかを変更してもよい。
***実施の形態2の効果の説明***
実施の形態2では、MEMSセンサ200への攻撃があった場合、実施の形態1と同様に、攻撃特徴によって攻撃を検知できる。
また、攻撃検知装置100は実施の形態1のように、センサへの加工が不要、多くのセンサで利用できるという効果のほかに、より多くの攻撃を検知でき、誤検知を減らすことが出来るという効果がある。
また、攻撃検知装置100はコンテクスト131に応じて閾値を変化させるので、攻撃の誤検知を減らすことができる。
また、攻撃検知装置100は、攻撃により異常な状態遷移が観測することで、攻撃を検知できる。
実施の形態2では、MEMSセンサ200への攻撃があった場合、実施の形態1と同様に、攻撃特徴によって攻撃を検知できる。
また、攻撃検知装置100は実施の形態1のように、センサへの加工が不要、多くのセンサで利用できるという効果のほかに、より多くの攻撃を検知でき、誤検知を減らすことが出来るという効果がある。
また、攻撃検知装置100はコンテクスト131に応じて閾値を変化させるので、攻撃の誤検知を減らすことができる。
また、攻撃検知装置100は、攻撃により異常な状態遷移が観測することで、攻撃を検知できる。
1,2,3,4,5,6 閾値、10 攻撃検知システム、11,12,13,14,15,16 検知結果、100 攻撃検知装置、110 特徴検知部、110a 検知結果、111 高周波検知部、112 振幅変化検知部、113 周期的変化検知部、114 急激変化検知部、115 バイアス検知部、116 単一正弦波検知部、120 攻撃判定部、121 判定結果、122 閾値カウンタ、123 対応情報、130 コンテクスト判断部、131 コンテクスト、132 コンテクスト判断情報、140 状態遷移検知部、141 検知結果、200 MEMSセンサ、201 センサデータ、300 コントローラ、301 制御信号、400 アクチュエータ、500 制御対象、600 制御システム、700 攻撃検知システム、910 プロセッサ、920 メモリ、930 センサデータ入力インタフェース、940 攻撃判定結果出力インタフェース、950 制御信号入力インタフェース、960 ローパスフィルタ。
Claims (13)
- センサによって検出されたセンサデータを時系列データの波形として扱うことにより、前記センサデータの波形から、互い異なる種類の複数の基準特徴の基準特徴ごとに、前記基準特徴に対応する対応特徴を検知する特徴検知部と、
前記基準特徴ごと検知された複数の前記対応特徴に基づいて、前記センサへの攻撃が有ったか無かったかを判定する攻撃判定部と
を備える攻撃検知装置。 - 前記特徴検知部は、
それぞれの前記対応特徴を、前記対応特徴の対応する前記基準特徴に合致する度合いを示す得点として生成し、
前記攻撃判定部は、
それぞれの前記対応特徴を示す前記得点を用いて、前記センサへの攻撃が有ったか無かったかを判定する請求項1に記載の攻撃検知装置。 - 前記攻撃判定部は、
前記対応特徴の対応する前記基準特徴の前記種類に応じて、前記対応特徴を示す前記得点に重み付けを行い、重み付けがされた前記得点に基づいて、前記センサへの攻撃が有ったか無かったかを判定する請求項2に記載の攻撃検知装置。 - 前記攻撃検知装置は、
前記センサデータと制御対象を制御する制御信号とに基づいて、前記制御対象の状態を示すコンテクストを判断するコンテクスト判断部を備え、
前記攻撃判定部は、
前記コンテクスト判断部の判断結果に応じて、前記対応特徴を示す前記得点に重み付けを行い、重み付けがされた前記得点に基づいて、前記センサへの攻撃が有ったか無かったかを判定する請求項2または請求項3に記載の攻撃検知装置。 - 前記攻撃検知装置は、さらに、
判断された前記コンテクストと、判断された前記コンテクストの直前のコンテクストとを用いることにより、前記直前のコンテクストから、判断された前記コンテクストへの状態遷移の異常を検知する状態遷移検知部を備え、
前記攻撃判定部は、
前記状態遷移検知部によって前記状態遷移の異常が検知された場合、前記センサへの攻撃が有ったと判定する請求項4に記載の攻撃検知装置。 - 前記特徴検知部は、
前記対応特徴として、前記センサデータの示す波形から、周波数の特徴を検知する請求項1から請求項5のいずれか一項に記載の攻撃検知装置。 - 前記特徴検知部は、
前記対応特徴として、前記センサデータの示す波形から、振幅変化の特徴を検知する請求項1から請求項6のいずれか一項に記載の攻撃検知装置。 - 前記特徴検知部は、
前記対応特徴として、前記センサデータの示す波形から、周期的な変化を検知する請求項1から請求項7のいずれか一項に記載の攻撃検知装置。 - 前記特徴検知部は、
前記対応特徴として、前記センサデータの示す波形から、急激な変化を検知する請求項1から請求項8のいずれか一項に記載の攻撃検知装置。 - 前記特徴検知部は、
前記対応特徴として、前記センサデータの示す波形から、バイアスを検知する請求項1から請求項9のいずれか一項に記載の攻撃検知装置。 - 前記特徴検知部は、
前記対応特徴として、前記センサデータの示す波形から、正弦波の重畳の継続を検知する請求項1から請求項10のいずれか一項に記載の攻撃検知装置。 - コンピュータに、
センサによって検出されたセンサデータを時系列データの波形として扱うことにより、前記センサデータの波形から、互い異なる種類の複数の基準特徴の基準特徴ごとに、前記基準特徴に対応する対応特徴を検知する処理と、
前記基準特徴ごと検知された複数の前記対応特徴に基づいて、前記センサへの攻撃が有ったか無かったかを判定する処理と
を実行させる攻撃検知プログラム。 - コンピュータが、
センサによって検出されたセンサデータを時系列データの波形として扱うことにより、前記センサデータの波形から、互い異なる種類の複数の基準特徴の基準特徴ごとに、前記基準特徴に対応する対応特徴を検知し、
前記基準特徴ごと検知された複数の前記対応特徴に基づいて、前記センサへの攻撃が有ったか無かったかを判定する攻撃検知方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/016648 WO2019207653A1 (ja) | 2018-04-24 | 2018-04-24 | 攻撃検知装置、攻撃検知方法及び攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019207653A1 true JPWO2019207653A1 (ja) | 2020-07-30 |
| JP6746038B2 JP6746038B2 (ja) | 2020-08-26 |
Family
ID=68293524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020515346A Active JP6746038B2 (ja) | 2018-04-24 | 2018-04-24 | 攻撃検知装置、攻撃検知方法及び攻撃検知プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20200387610A1 (ja) |
| EP (1) | EP3767245B1 (ja) |
| JP (1) | JP6746038B2 (ja) |
| CN (1) | CN111971532B (ja) |
| WO (1) | WO2019207653A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018220936A1 (de) * | 2018-12-04 | 2020-06-04 | Robert Bosch Gmbh | Verfahren zur Überprüfung eines Sensorwertes eines MEMS-Sensors |
| KR102491867B1 (ko) * | 2020-11-20 | 2023-01-26 | 고려대학교 산학협력단 | 센서에 대한 공격 탐지 방법 |
| CN112581975B (zh) * | 2020-12-11 | 2024-05-17 | 中国科学技术大学 | 基于信号混叠和双声道相关性的超声波语音指令防御方法 |
| JP7354521B2 (ja) | 2020-12-25 | 2023-10-03 | 公立大学法人 富山県立大学 | 匂い検出装置及び匂い検出方法 |
| DE102022001241A1 (de) | 2022-04-12 | 2023-10-12 | Mercedes-Benz Group AG | Verfahren zum Betrieb eines Fahrzeugs |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4171661B2 (ja) * | 2003-02-19 | 2008-10-22 | 岡部機械工業株式会社 | コンベヤベルトの異常検知装置 |
| EP2629221B1 (en) * | 2012-02-15 | 2017-04-05 | BlackBerry Limited | Altering sampling rate to thwart attacks that involve analyzing hardware sensor output |
| US10440046B2 (en) * | 2015-09-25 | 2019-10-08 | Intel Corporation | Technologies for anonymous context attestation and threat analytics |
| JP6298021B2 (ja) * | 2015-07-30 | 2018-03-20 | トヨタ自動車株式会社 | 攻撃検知システムおよび攻撃検知方法 |
| US10051475B2 (en) * | 2015-09-28 | 2018-08-14 | Department 13, Inc. | Unmanned aerial vehicle intrusion detection and countermeasures |
| US9998487B2 (en) * | 2016-04-25 | 2018-06-12 | General Electric Company | Domain level threat detection for industrial asset control system |
| US11132434B2 (en) * | 2016-09-26 | 2021-09-28 | Mitsubishi Electric Corporation | Signal processing device, signal processing method and computer readable medium |
-
2018
- 2018-04-24 WO PCT/JP2018/016648 patent/WO2019207653A1/ja unknown
- 2018-04-24 EP EP18916293.6A patent/EP3767245B1/en active Active
- 2018-04-24 CN CN201880092414.8A patent/CN111971532B/zh active Active
- 2018-04-24 JP JP2020515346A patent/JP6746038B2/ja active Active
-
2020
- 2020-08-25 US US17/002,240 patent/US20200387610A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| EP3767245A1 (en) | 2021-01-20 |
| CN111971532B (zh) | 2022-08-30 |
| WO2019207653A1 (ja) | 2019-10-31 |
| JP6746038B2 (ja) | 2020-08-26 |
| EP3767245B1 (en) | 2022-10-19 |
| US20200387610A1 (en) | 2020-12-10 |
| EP3767245A4 (en) | 2021-03-17 |
| CN111971532A (zh) | 2020-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6746038B2 (ja) | 攻撃検知装置、攻撃検知方法及び攻撃検知プログラム | |
| Yan et al. | Sok: A minimalist approach to formalizing analog sensor security | |
| Azmoodeh et al. | Detecting crypto-ransomware in IoT networks based on energy consumption footprint | |
| JP6208761B2 (ja) | リターン・オリエンテッド・プログラミングの脅威検出 | |
| Ravale et al. | Feature selection based hybrid anomaly intrusion detection system using K means and RBF kernel function | |
| KR20160008509A (ko) | 하드웨어 특징들을 사용한 이상 프로세스들의 비감시된 검출 | |
| US8800036B2 (en) | Method and system for adaptive anomaly-based intrusion detection | |
| US6970095B1 (en) | Theft detection system and method | |
| JP6587874B2 (ja) | 検知システム、信号処理装置及び検知方法 | |
| JP2012184989A (ja) | 目標追跡システム及び目標追跡方法 | |
| JP2003195882A (ja) | 信号処理システムおよび方法 | |
| EP3614110A1 (en) | Sound direction detection sensor and electronic apparatus including the same | |
| EP4022478B1 (en) | Methods and systems using an ai co-processor to detect anomalies caused by malware in storage devices | |
| US20200394302A1 (en) | Attack detection device, computer readable medium, and attack detection method | |
| Singh et al. | An ensemble hyper-tuned model for IoT sensors attacks and anomaly detection | |
| KR102475908B1 (ko) | 동작감지장치 및 동작감지방법 | |
| CN114124560A (zh) | 一种失陷主机的检测方法、装置、电子设备及存储介质 | |
| US11063969B1 (en) | Detection of periodic transmissions for identifying malicious computers | |
| JP2012155603A (ja) | 侵入検知装置、侵入検知方法および侵入検知プログラム | |
| JPWO2018092232A1 (ja) | レーダ装置及び制御システム | |
| Kothari | Defeating masquerade detection | |
| EP2806371A1 (en) | Secure platform implementing dynamic countermeasures | |
| US20210194901A1 (en) | Attack canceling device, attack canceling method, and computer readable medium | |
| Aoudi et al. | A Probe into Process-Level Attack Detection in Industrial Environments from a Side-Channel Perspective | |
| Tu et al. | Towards Adversarial Process Control on Inertial Sensor Systems with Physical Feedback Side Channels |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200427 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20200427 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20200630 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200707 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200804 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6746038 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |