KR101721035B1 - 차량 침입 탐지 장치 및 방법 - Google Patents

차량 침입 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101721035B1
KR101721035B1 KR1020160002114A KR20160002114A KR101721035B1 KR 101721035 B1 KR101721035 B1 KR 101721035B1 KR 1020160002114 A KR1020160002114 A KR 1020160002114A KR 20160002114 A KR20160002114 A KR 20160002114A KR 101721035 B1 KR101721035 B1 KR 101721035B1
Authority
KR
South Korea
Prior art keywords
intrusion
time interval
message
attack
vehicle
Prior art date
Application number
KR1020160002114A
Other languages
English (en)
Inventor
송현민
김하랑
김휘강
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020160002114A priority Critical patent/KR101721035B1/ko
Application granted granted Critical
Publication of KR101721035B1 publication Critical patent/KR101721035B1/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/31Detection related to theft or to other events relevant to anti-theft systems of human presence inside or outside the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/10Fittings or systems for preventing or indicating unauthorised use or theft of vehicles actuating a signalling device
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/10Fittings or systems for preventing or indicating unauthorised use or theft of vehicles actuating a signalling device
    • B60R25/1004Alarm systems characterised by the type of sensor, e.g. current sensing means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • B60R25/246Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user characterised by the challenge triggering

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Burglar Alarm Systems (AREA)
  • Alarm Systems (AREA)

Abstract

차량의 침입 탐지 방법이 개시된다. 상기 침입 탐지 방법은 차량의 침입 탐지 장치에서 수행되고, 연속하는 복수의 CAN 메시지들에 대한 타임 인터벌(time interval) 정보를 수신하는 단계, 상기 타임 인터벌을 분석하여 분석 결과를 생성하는 단계, 상기 분석 결과를 이용하여 차량 내부 네트워크에 CAN 메시지 주입에 의한 침입을 탐지하는 단계, 및 침입이 탐지된 경우, 상기 침입에 대한 알림을 제공하는 단계를 포함한다.

Description

차량 침입 탐지 장치 및 방법{APPRATUS AND METHOD FOR DETECTING VEHICLE INTRUSION}
본 발명의 개념에 따른 실시 예는 차량의 침입 탐지 장치 및 방법에 관한 것으로, 특히 CAN 메시지 발생 타임 인터벌을 분석하여 침입을 탐지하는 차량의 침입 탐지 장치 및 방법에 관한 것이다.
본 발명은 차량 내부 네트워크 중 CAN에 대한 메시지 주입 공격에 대해 메시지 발생 인터벌을 분석하는 침입 탐지 기술을 제시한다.
차량 ICT(Information and Communication Technology) 기술이 도입되어 스마트 차량으로 진화됨에 따라, 차량과 외부와의 연결성은 지속적으로 증가하고 있다. 자동차에 정보통신기술을 융합시키기 위해 ECU(Electronic Control Unit) 사용이 필수적으로 요구된다. 자동차 내부에 다량의 ECU들이 탑재되며, ECU들 사이의 효율적인 통신을 위해 CAN, LIN(Local Interconnect Network), MOST(Media Oriented System Transport), FlexRay 등 다양한 통신기법들이 자동차 내부 네트워크에 적용되어 있다. 또한, Bluetooth, Wi-Fi, 4G와 같은 무선 기술들을 통해 차량의 네트워크화가 진행 중에 있다.
IT 기술의 발전과 함께 자동차 제어시스템이 기계식에서 전자식으로 전환되는 비율이 증가하고 있다. 전자식 제어로 인해, OBD-II (ON-board Diagnosis) 단자를 통한 연결과 텔레매틱스 서비스를 통해 자동차 내부 네트워크에 접근이 용이해졌다. 이러한 기술은 인간에게 효율성과 편리성을 가져다주지만, 작은 위험 요소 하나가 운전자와 보행자의 생명과 직결될 수 있으며, 차량으로 인한 사고는 경제적, 사회적으로 큰 피해를 유발한다.
CAN은 가장 대표적인 자동차 내부 네트워크 기술로 다양한 자동차에 구축되어있다. 하지만 CAN은 브로드캐스팅 프로토콜임에도 불구하고 데이터 암호화나 인증기능을 대부분 제공하지 않기 때문에 메시지 주입 등의 공격에 취약하며, 공격자는 OBD-II 단자를 통해 자동차 내부 네트워크에 ECU로 가장하여 CAN 메시지 주입을 통해 공격 가능하며, 차량 텔레매틱스 서비스에 올라간 악성 어플리케이션을 통한 공격을 할 수 있다.
또한, 차량 내부 장치인 ECU와 텔레매틱스 장치는 하드웨어 성능이 좋지 않아 기존의 IDS 시스템(Intrusion Detection System)을 적용할 수 없는 문제점이 있다. 따라서, 차량 내부 네트워크 중 CAN에 대한 메세지 주입 공격을 신속하고 적은 연산량으로 신속하게 탐지할 수 있는 침입 탐지 방법이 필요하다. 본 발명에서는 차량 내부 네트워크 환경에서의 CAN 메시지 발생 인터벌을 분석하여 OBD-II 단자를 이용한 패킷 주입 공격, 차량 텔레매틱스 서비스에 올라간 악성 어플리케이션을 통한 공격의 침입탐지를 수행하는 시스템을 제안하고자 한다.
본 발명이 이루고자 하는 기술적인 과제는 차량 내부 네트워크 환경에서의 CAN 메시지 발생 시간 인터벌 정보를 이용하여 차량의 내부 네트워크로의 메시지 주입 공격을 탐지할 수 있는 차량 침입 탐지 장치 및 방법을 제공하는 것이다.
본 발명의 실시 예에 따른 차량의 침입 탐지 방법은 차량의 침입 탐지 장치에서 수행되고, 연속하는 복수의 CAN 메시지들에 대한 타임 인터벌(time interval) 정보를 수신하는 단계, 상기 타임 인터벌을 분석하여 분석 결과를 생성하는 단계, 상기 분석 결과를 이용하여 차량 내부 네트워크에 CAN 메시지 주입에 의한 침입을 탐지하는 단계, 및 상기 침입이 탐지된 경우, 상기 침입에 대한 알림을 제공하는 단계를 포함한다.
본 발명의 일 실시 예에 따른 차량의 침입 탐지 장치는 CAN 메시지 시간 정보를 수신하는 정보 수집부, 상기 CAN 메시지 시간 정보를 이용하여 CAN 메시지 발생 인터벌을 분석하는 분석부, 상기 CAN 메시지 발생 인터벌 분석 결과를 이용하여 차량 내부 네트워크에 대한 침입 발생 여부를 탐지하는 침입 탐지부, 및 상기 차량 내부 네트워크에 대한 침입이 탐지된 경우, 상기 침입에 대한 알림을 제공하는 알람부를 포함한다.
본 발명의 실시 예에 따른 차량 침입 탐지 장치 및 방법에 의할 경우, CAN의 메시지 발생 인터벌을 분석하여, 실시간으로 차량의 침입을 탐지하고, 이를 알릴 수 있는 효과가 있다.
또한, 차량의 CAN 메시지의 발생 인터벌을 통해 공격을 탐지하기 때문에 필요한 컴퓨터 자원이 적고, 신속하게 차량 네트워크에의 침입 여부를 탐지할 수 있는 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 상세한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 침입 탐지 장치의 기능 블럭도이다.
도 2는 차량 네트워크 침입의 일 예를 도시한다.
도 3은 CAN 메시지 발생 인터벌 정보의 일 예를 도시한다.
도 4는 CAN 메시지 발생 인터벌 정보를 그래프로 도시한 도면이다.
도 5는 도 1에 도시된 침입 탐지 장치를 이용한 차량의 침입 탐지 방법의 일 실시 예를 설명하기 위한 흐름도이다.
도 6은 도 1에 도시된 침입 탐지 장치를 이용한 차량의 침입 탐지 방법의 다른 실시 예를 설명하기 위한 흐름도이다.
도 7 및 도 8은 도 1에 도시된 침입 탐지 장치를 이용한 차량의 침입 탐지 방법의 또 다른 실시 예를 설명하기 위한 흐름도이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1 구성 요소는 제2 구성 요소로 명명될 수 있고 유사하게 제2 구성 요소는 제1 구성 요소로도 명명될 수 있다.
어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 명세서에 첨부된 도면들을 참조하여 본 발명의 실시 예들을 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 침입 탐지 장치의 기능 블럭도이다.
본 발명에 따른 침입 탐지 장치는 차량 내부 네트워크 CAN의 메시지 발생 시간 관련 정보를 수집하고, 이를 이용하여 CAN 메시지 발생 인터벌을 분석하고, 이를 통하여 차량 침입 여부를 탐지할 수 있다. 또한, 침입 탐지 장치(100)는 침입 탐지 결과를 차량 내부 알람 장치 또는 미리 정해진 단말기로 송신할 수 있다.
CAN 메시지 주입 공격에 의한 차량 침입의 한 예는 도 2에 도시되어 있다. 도 2의 (a)는 정상적인 상태(normal status)에서의 CAN 메시지 전송을 개념적으로 도시한 도면이다. 이때, CAN ID 0x2에 대한 CAN 메시지의 타임 인터벌의 평균은 약 40ms이다.
도 2의 (b)는 CAN 메시지 주입 공격(CAN message injection attack)이 발생하였을 때의 CAN 메시지 전송을 개념적으로 도시한 도면이다. CAN ID 0x2에 대한 CAN 메시지 주입 공격이 발생하였을 때, CAN ID 0x2에 대한 타임 인터벌이 약 50% 이상 현저하게 감소하였음을 볼 수 있다. 이러한, 타임 인터벌 변화를 분석하여, 차량 침입 여부를 탐지할 수 있다.
차량 침입의 신속한 탐지를 위하여 침입 탐지 장치(100)는 바람직하게는 차량 내부에 위치한다. 예를 들어, 침입 탐지 장치(100)는 ECU일 수 있다. 이와는 달리, 침입 탐지 장치(100)는 차량 외부에 위치하는 별도의 서버일 수도 있다.
도 1을 참조하면, 침입 탐지 장치(100)는 정보 수집부(110), 분석부(120), 침입 탐지부(130), 알람부(140), 저장부(180) 및 제어부(190) 중 적어도 하나 이상을 포함할 수 있다.
정보 수집부(110)는 차량 내부 네트워크 CAN의 각각의 CAN ID에 대한 CAN 메시지 시간 정보를 수집한다. CAN 메시지 시간 정보는 CAN 메시지 발생 시간 정보 및 CAN 메시지 발생 인터벌 시간 정보를 포함할 수 있다. 상기 CAN 메시지 발생 시간 정보는 CAN 메시지 발생 시 실시간으로 수집할 수 있다. 또는 실시예에 따라서는, 예를 들어 침입 탐지 장치(100)가 차량 외부에 별도로 존재하는 경우, 차량으로부터 각각의 CAN ID에 대한 CAN 메시지 발생 시간 정보를 주기적으로 또는 비주기적으로 수신할 수 있다. 수집하는 CAN 메시지 시간 정보의 일 예는 도 3에 도시되어 있다.
또한, 도 4는 차량의 주행 중에 수집한 특정 CAN ID에 대한 CAN 메시지 타임 인터벌 정보를 그래프로 도시한 도면으로써, 차량 침입(공격)이 발생하였을 때 타임 인터벌이 현저하게 줄었다는 것을 알 수 있다(도 4의 (b) 참고). 이러한 CAN 메시지 발생 인터벌 정보를 분석부(120)에서 분석하여, 차량 침입 발생 여부 및 차량 침입(공격)의 종류 등을 확인할 수 있다.
분석부(120)는 상기 수집된 각각의 CAN ID에 대한 메시지 발생 시간 정보를 이용하여 메시지 발생 인터벌을 분석한다. 실시예에 따라, 각각의 CAN ID 별로 메시지 발생 인터벌을 분석하거나, CAN ID 구분없이 전체 CAN 메시지에 대한 메시지 발생 인터벌을 분석할 수 있다.
침입 탐지부(130)는 상기 인터벌 분석 결과를 이용하여 차량 침입 여부를 탐지한다. 본 발명의 일 실시에 따라 탐지하고자 하는 차량 침입에 의한 공격의 유형은 제1 공격, 제2 공격, 및 제 3 공격으로 범주화될 수 있다. 상기 제1 공격은 특정 CAN ID 메시지를 대량으로 CAN에 주입하여 오작동을 발생시키는 메시지 주입 공격을, 상기 제2 공격은 랜덤한 CAN ID 메시지를 대량으로 CAN에 주입하여 오작동을 발생시키는 랜덤 공격(리플레이 공격), 상기 제3 공격은 CAN에 짧은 시간 대량의 메시지를 발생시켜 과부하를 발생시키는 DoS 공격을 의미할 수 있다.
상기 분석부(120)의 CAN 메시지 타임 인터벌 분석 방법 및 이에 따른 상기 침입 탐지부(130)에서의 침입 여부를 탐지하는 방법은 아래의 침입 탐지 방법에 대한 설명에서 더욱 자세히 살펴보도록 한다.
알람부(140)는 상기 침입이 탐지된 경우, 해당 차량의 알람 장치, 해당 차량의 운전자가 소지하고 있는 단말기, 또는 알림 제공을 위하여 운전자 또는 관리자에 의하여 미리 지정된 단말기 등에 상기 침입에 대한 알림을 제공한다. 예를 들어, 차량 침입 관련 정보를 포함하는 침입 알림 메시지를 송신하거나, 경고음을 발생시킬 수 있다.
저장부(180)에는 각각의 CAN ID에 대한 CAN 메시지 시간 관련 정보가 저장되어 있다. 시간 관련 정보는 CAN 메시지 발생 시간 정보 및 CAN 메시지 발생 인터벌 정보 등을 포함할 수 있다. 또한, 본 명세서에서 저장부(180)라 함은, 각각의 저장부에 대응되는 정보를 저장하는 소프트웨어 및 하드웨어의 기능적 구조적 결합을 의미할 수 있다. 저장부(180)는 프로그램 저장부와 데이터 저장부를 포함할 수 있다. 상기 프로그램 저장부에는 제품 분류 장치(100)의 동작을 제어하기 위한 프로그램들이 저장될 수 있다. 상기 데이터 저장부에는 상기 프로그램들을 수행하는 과정 중에 생성되는 데이터들이 저장될 수 있다.
제어부(190)는 침입 탐지 장치(100)의 전반적인 동작을 제어한다. 즉, 정보 수집부(110), 분석부(120), 침입 탐지부(130), 알람부(140), 및 저장부(180)의 동작을 제어할 수 있다.
도 1에 도시된 침입 탐지 장치의 구성들 각각은 기능 및 논리적으로 분리될 수 있음으로 나타내는 것이며, 반드시 각각의 구성이 별도의 물리적 장치로 구분되거나 별도의 코드로 작성됨을 의미하는 것이 아님을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
또한, 본 명세서에서 '-부'라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 '-부'는 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류의 하드웨어를 의미하는 것이 아니다.
도 5는 도 1에 도시된 침입 탐지 장치를 이용한 차량의 침입 탐지 방법의 일 실시 예를 설명하기 위한 흐름도이다.
도 1 및 도 5를 참조하면, 침입 탐지 장치(100)는 정보 수집부(110)는 적어도 하나의 메시지 시간 정보를 수집한다(S520). 메시지 시간 정보는 CAN 메시지 발생 시간 정보 및 CAN 메시지 발생 인터벌 시간 정보를 포함할 수 있다. 실시예에 따라 인터벌 시간 정보는 특정 CAN ID에 대한 타임 인터벌 정보를 의미할 수도 있으며, CAN ID와 상관없이 전체 CAN 메시지 간의 타임 인터벌 정보를 의미할 수도 있다.
다음, 차량 내부 네트워크 환경에서의 CAN 메시지 발생 시간 인터벌 정보를 분석(S540)하여, 차량의 내부 네트워크로의 차량 침입 여부, 즉 CAN 메시지 주입 공격 여부를 탐지(S560)한다.
CAN 메시지 발생 인터벌 정보 분석(S540)은 특정 CAN ID 메시지를 대량으로 CAN에 주입하여 오작동을 발생시키는 메시지 주입 공격 분석, 랜덤한 CAN ID 메시지를 대량으로 CAN에 주입하여 오작동을 발생시키는 랜덤 공격, 및 CAN에 짧은 시간 대량의 메시지를 발생시켜 과부하를 발생시키는 DoS 공격으로 구분할 수 있다.
차량 침입이 탐지된 경우, 침입에 대한 알림 메시지를 해당 차량의 알람부(미도시), 해당 차량의 운전자가 소지하고 있는 단말기, 또는 알림 메시지 수신을 위하여 미리 설정된 단말기에 송신한다(S570). 상기 알림 메시지는 침입(공격)의 유형에 대한 정보를 포함할 수 있다.
도 6은 도 1에 도시된 침입 탐지 장치를 이용한 차량의 침입 탐지 방법의 다른 실시 예를 설명하기 위한 흐름도이다.
도 6은 메시지 주입 공격에 의한 차량 침입 여부를 탐지하는 방법의 일 실시예를 도시한다. 도 1 및 도 6을 참조하면, 침입 탐지 장치(100)는 새로 발생한 CAN 메시지를 수신하고(S620), 해당 메시지의 CAN ID를 확인하여 각각의 CAN ID에 대한 CAN 메시지의 타임 인터벌을 계산(S630)하여 저장한다.
다음, 침입 탐지 장치(100)의 분석부(120)는 미리 저장된 인터벌 시간 정보를 바탕으로, 수집된 특정 CAN ID에 대한 타임 인터벌이 정상범위에 포함되는지 여부를 검사한다(S641). 특정 CAN ID에 대한 타임 인터벌의 정상범위는 관리자 등에 의하여 미리 설정할 수 있다. 예를 들어, 특정 CAN ID에 대한 타임 인터벌 평균값 또는 미리 설정된 타임 인터벌 값의 50% 이상인 경우 정상범위에 포함되는 것으로 판단할 수 있으며, 50% 미만인 경우 정상범위에 포함되지 아니하는 것으로 판단할 수 있다. 상기 퍼센티지 값는 차량의 종류 또는 CAN ID별로 다르게 설정할 수 있다.
분석부(120)는 특정 CAN ID에 대한 타임 인터벌이 정상범위에 포함되지 아니하는 경우, 해당 CAN ID에 대한 스코어(score)를 증가시킨다(S643). 또한, 분석부(120)는 특정 CAN ID에 대한 타임 인터벌이 정상범위에 포함되는 경우, 해당 CAN ID에 대한 스코어(score)를 감소시킨다(S645). 이와는 달리, 실시예에 따라 특정 CAN ID에 대한 타임 인터벌이 정상범위에 포함되는 경우, 해당 CAN ID에 대한 스코어를 감소시키는 단계는 생략하거나, 다른 방법을 이용하여 스코어를 리셋(reset)하는 것도 가능하다. 예를 들어, 일정 시간 이상 정상 범위에 포함되는 타임 인터벌만이 발생하는 경우, 또는 정상 범위에 포함되는 타임 인터벌을 갖는 CAN 메시지를 연속하여 일정 개수 이상 수신하는 경우, 해당 차량 또는 해당 차량의 특정 CAN ID를 가진 ECU에 대한 공격(침입)이 발생하지 아니한 것으로 보고 상기 스코어를 리셋할 수 있다.
다음, 탐지부(130)는 상기 특정 CAN ID에 대한 스코어가 임계치(threshold) 초과 여부를 판단하여, 상기 특정 CAN ID에 대한 스코어가 임계치를 초과한 경우, 메시지 주입 공격에 의한 차량 침입 여부를 결정할 수 있다(S650).
주입 공격에 의한 차량 침입이 탐지된 경우, 차량 침입 경고를 운전자에게 송신한다(S680). 이때, 공격의 유형에 대한 정보 및 공격받고 있는 CAN ID에 대한 정보를 포함할 수 있다.
주입 공격에 의한 차량 침입 탐지의 일 예는 도 3a에 도시되어 있다. 도 3b의 메시지 시간 정보는 CAN 메시지 발생 시간 정보 및 CAN ID 'A'에 대한 CAN 메시지 타임 인터벌 정보를 포함한다. 타임 인터벌 정보가 미리 저장된 CAN ID 'A'에 대한 타임 인터벌의 정상범위(0.1ms)에 포함되지 아니하는 경우, CAN ID 'A'에 대한 스코어를 1씩 증가시킨다. 이때, CAN ID 'A'에 대한 스코어가 미리 저장된 임계값(threshold, 2)를 초과하는 경우, 메시지 주입 공격에 의한 차향 침입으로 탐지하고, 메시지 주입 공격에 대한 알림을 송신한다.
도 7은 도 1에 도시된 침입 탐지 장치를 이용한 차량의 침입 탐지 방법의 또 다른 실시 예를 설명하기 위한 흐름도이다.
도 7은 랜덤 공격(리플레이 공격)에 의한 차량 침입 여부를 탐지하는 방법의 일 실시예를 도시한다. 도 1 및 도 7을 참조하면, 침입 탐지 장치(100)는 새로 발생한 CAN 메시지를 수신하고(S720), 해당 메시지의 CAN ID를 확인하여 각각의 CAN ID에 대한 CAN 메시지의 타임 인터벌을 계산(S730)하여 저장한다.
다음, 침입 탐지 장치(100)의 분석부(120)는 미리 저장된 인터벌 시간 정보를 바탕으로, 수집된 각각의 CAN ID에 대한 타임 인터벌이 정상범위에 포함되는지 여부를 검사한다(S741). 각각의 CAN IDn에 대한 타임 인터벌의 정상범위는 관리자 등에 의하여 미리 설정할 수 있다.
분석부(120)는 특정 CAN IDn에 대한 타임 인터벌이 정상범위에 포함되지 아니하는 경우, 해당 CAN IDn에 대한 스코어(score)를 증가시킨다(S743). 또한, 분석부(120)는 특정 CAN IDn에 대한 타임 인터벌이 정상범위에 포함되는 경우, 해당 CAN IDn에 대한 스코어(score)를 감소시킨다(S745). 구체적으로, 제1 CAN ID(CAN ID1)의 타임 인터벌이 정상범위에 포함되지 않는 경우 제1 CAN ID(CAN ID1)에 대한 제1 스코어를 증가시키고, 제2 CAN ID(CAN ID2)의 타임 인터벌이 정상범위에 포함되지 않는 경우 제2 CAN ID(CAN ID2)에 대한 제2 스코어를 증가시킨다. 또한, 제1 CAN ID(CAN ID1)의 타임 인터벌이 정상범위에 포함되는 경우 제1 스코어를 감소시키고, 제2 CAN ID(CAN ID2)의 타임 인터벌이 정상범위에 포함되는 경우 제2 스코어를 감소시킨다. 이와는 달리, 실시예에 따라 특정 CAN ID에 대한 타임 인터벌이 정상범위에 포함되는 경우, 해당 CAN ID에 대한 스코어를 감소시키는 단계는 생략하거나, 다른 방법을 이용하여 스코어를 리셋(reset)하는 것도 가능하다.
다음, 탐지부(130)는 각각의 CAN IDn에 대한 스코어가 미리 설정된 임계치(threshold)를 초과하는지를 판단하여, 특정 CAN IDn에 대한 스코어가 임계치를 초과한 경우, 메시지 주입 공격에 의한 차량 침입 여부를 결정할 수 있다(S750). 즉, 제1 스코어가 제1 임계치를 초과하는 경우 제1 CAN ID에 대한 침입이 발생한 것으로 보며, 제2 스코어가 제2 임계치를 초과하는 경우 제2 CAN ID에 대한 침입이 발생한 것으로 본다. 이와 같이, 임계치를 초과하는 CAN ID가 적어도 2 이상 발생할 경우, 여러 개의 CAN ID를 이용한 랜덤 공격이 발생한 것으로 판단한다. 이때, 각각의 CAN ID에 대한 임계치 값은 동일할 수 있다. 이와는 달리, 각각의 CAN ID에 대한 각각의 임계치 값을 다르게 설정하는 것도 가능하다.
랜덤 공격에 의한 차량 침입이 탐지된 경우, 차량 침입 경고를 운전자에게 송신한다(S680). 이때, 공격의 유형에 대한 정보 및 공격받고 있는 CAN ID에 대한 정보를 포함할 수 있다.
랜덤 공격에 의한 차량 침입 탐지의 일 예는 도 3b에 도시되어 있다. 도 3a의 메시지 시간 정보는 전체 CAN 메시지 발생 시간 정보 및 CAN ID 'A' 및 CAN ID 'B'에 대한 CAN 메시지 타임 인터벌 정보를 포함한다. CAN ID 'A'에 대한 타임 인터벌 정보가 미리 저장된 타임 인터벌의 정상범위(0.1ms)에 포함되지 아니하는 경우, CAN ID 'A'에 대한 스코어를 1씩 증가시키고, CAN ID 'B'에 대한 타임 인터벌 정보가 미리 저장된 타임 인터벌의 정상범위(0.2ms)에 포함되지 아니하는 경우, CAN ID 'B'에 대한 스코어를 1씩 증가시킨다. 이때, CAN ID 'A'에 대한 스코어(score1)가 미리 저장된 임계값(threshold, 2)를 초과하고, CAN ID 'B'에 대한 스코어(score2)가 미리 저장된 임계값(threshold, 2)를 초과하는 경우, 즉, 복수개의 CAN ID에 대하여 메시지 주입 공격이 탐지된 경우, 랜덤 공격에 의한 차량 침입으로 탐지하고, 랜덤 공격에 대한 알림을 송신한다.
도 8은 DoS 공격에 의한 차량 침입 여부를 탐지하는 방법의 또 다른 실시예를 도시한다. 도 1 및 도 8을 참조하면, 침입 탐지 장치(100)는 우선 Dos 공격 탐지를 위한 전역 스코어(global score)를 초기화한다(S810).
다음, 새로 발생한 CAN 메시지를 수신하고(S820), CAN 메시지의 타임 인터벌을 계산(S830)하여 저장한다.
다음, 침입 탐지 장치(100)의 분석부(120)는 미리 저장된 인터벌 시간 정보를 바탕으로, 수집된 타임 인터벌이 정상범위에 포함되는지 여부를 검사한다(S841). CAN 메세지 발생 타임 인터벌의 정상범위는 관리자 등에 의하여 미리 설정할 수 있다.
분석부(120)는 CAN 메시지의 타임 인터벌이 정상범위에 포함되지 아니하는 경우, 전역 스코어(global score)를 증가시킨다(S843). 또한, 분석부(120)는 CAN 메시지의 타임 인터벌이 정상범위에 포함되고, 일정 기준을 만족할 때에, 전역 스코어(global score)를 초기화한다(S810). 예를 들어, 타임 인터벌이 정상범위에 포함되고 일정 시간 이상 연속하여 정상 범위에 포함되는 타임 인터벌만 발생하는 경우, 또는 정상 범위에 포함되는 타임 인터벌을 갖는 CAN 메시지를 일정 개수 이상 연속하여 수신하는 경우, 해당 차량 또는 해당 차량의 네트워크에 DoS 공격(침입)이 발생하지 아니한 것으로 보고 글로벌 스코어를 초기화할 수 있다.
다음, 탐지부(130)는 상기 글로벌 스코어가 미리 설정된 임계치(threshold)를 초과하는지를 판단하여, 글로벌 스코어가 임계치를 초과한 경우 DoS 공격에 의한 차량 침입이 발생한 것으로 판단하고(S850), 차량 침입 경고를 운전자에게 송신한다(S880). 이때, 공격의 유형에 대한 정보를 포함할 수 있다.
DoS 공격에 의한 차량 침입 탐지의 일 예는 도 3c에 도시되어 있다. 도 3c의 메시지 시간 정보는 전체 CAN 메시지 발생 시간 정보 및 전체 CAN 메시지에 대한 CAN 메시지 타임 인터벌 정보를 포함한다. 연속하는 두 개의 CAN 메시지의 타임 인터벌이 정상범위(0.0001ms)에 포함되지 아니하는 경우, 글로벌 스코어를 1씩 증가시킨다. 이때, 글로벌 스코어가 미리 저장된 임계값(threshold, 5)를 초과하는 경우, DoS 공격에 의한 차량 침입으로 탐지하고, Dos 공격에 대한 알림을 운전자 등에게 송신한다.
본 발명은 도면에 도시된 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100 : 침입 탐지 장치
110 : 정보 수집부 120 : 분석부
130 : 침입 탐지부 140 : 알람부

Claims (8)

  1. 차량의 침입 탐지 장치에서 수행되는 침입 탐지 방법에 있어서,
    연속하는 복수의 CAN 메시지들에 대한 타임 인터벌(time interval) 정보를 수신하는 단계;
    상기 타임 인터벌을 분석하여 분석 결과를 생성하는 단계;
    상기 분석 결과를 이용하여 차량 내부 네트워크에 CAN 메시지 주입에 의한 침입을 탐지하는 단계; 및
    상기 침입이 탐지된 경우, 상기 침입에 대한 알림을 제공하는 단계를 포함하되,
    상기 분석 결과를 생성하는 단계는,
    하나의 CAN ID에 대한 메시지를 상기 차량 내부 네트워크에 주입하여 오작동을 발생시키는 제1 공격 유형을 분석하는 제1 공격 분석 과정,
    적어도 2 이상의 CAN ID에 대한 메시지를 랜덤하게 상기 차량 내부 네트워크 에 주입하여 오작동을 발생시키는 제2 공격 유형을 분석하는 제2 공격 분석 과정, 및
    상기 차량 내부 네트워크에 짧은 시간 동안 대량의 메시지를 주입하여 상기 네트워크에 과부하를 발생시키는 제3 공격 유형을 분석하는 제3 공격 과정을 포함하는 침입 탐지 방법.
  2. 제1항에 있어서,
    상기 타임 인터벌 분석 단계는,
    하나의 CAN ID에 대한 CAN 메시지들의 적어도 하나 이상의 연속하는 타임 인터벌을 수집하는 과정, 및
    상기 타임 인터벌이 상기 CAN ID에 대하여 미리 설정된 정상범위에 포함되지 아니하면 상기 CAN ID에 대한 스코어를 증가시키는 과정을 포함하고,
    상기 침입을 탐지하는 단계는,
    상기 스코어가 상기 CAN ID에 대한 미리 설정된 임계값을 초과하는 경우, 상기 CAN ID에 대한 CAN 메세지 주입에 의한 침입이 발생한 것으로 결정하는 과정을 포함하는 침입 탐지 방법.
  3. 제2항에 있어서,
    상기 타임 인터벌 분석 단계는,
    상기 타임 인터벌이 상기 CAN ID에 대하여 미리 설정된 정상범위에 포함되면 상기 CAN ID에 대한 스코어를 감소시키는 과정을 더 포함하는 침입 탐지 방법.
  4. 제1항에 있어서,
    상기 타임 인터벌 분석 단계는,
    적어도 하나 이상의 CAN ID에 대한 CAN 메시지들 중에서,
    제1 CAN ID에 대한 CAN 메시지들의 적어도 하나 이상의 연속하는 제1 타임 인터벌을 수집하는 과정,
    제2 CAN ID에 대한 CAN 메시지들의 적어도 하나 이상의 연속하는 제2 타임 인터벌을 수집하는 과정,
    상기 제1 타임 인터벌이 상기 제1 CAN ID에 대하여 미리 설정된 제1 정상범위에 포함되지 아니하면 상기 제1 CAN ID에 대한 제1 스코어를 증가시키는 과정, 및
    상기 제2 타임 인터벌이 상기 제2 CAN ID에 대하여 미리 설정된 제2 정상범위에 포함되지 아니하면 상기 제2 CAN ID에 대한 제2 스코어를 증가시키는 과정을 포함하고,
    상기 침입을 탐지하는 단계는,
    상기 제1 스코어가 상기 제1 CAN ID에 대한 미리 설정된 제1 임계값을 초과하고, 상기 제2 스코어가 상기 제2 CAN ID에 대한 미리 설정된 제2 임계값을 초과하는 경우, 랜덤 공격에 의한 침입이 발생한 것으로 결정하는 과정을 포함하는 침입 탐지 방법.
  5. 제4항에 있어서,
    상기 타임 인터벌 분석 단계는,
    상기 제1 타임 인터벌이 상기 제1 CAN ID에 대하여 미리 설정된 제1 정상범위에 포함되면 상기 제1 CAN ID에 대한 제1 스코어를 감소시키는 과정, 및
    상기 제2 타임 인터벌이 상기 제2 CAN ID에 대하여 미리 설정된 제2 정상범위에 포함되면 상기 제2 CAN ID에 대한 제2 스코어를 감소시키는 과정을 더 포함하는 침입 탐지 방법.
  6. 제1항에 있어서,
    상기 타임 인터벌 분석 단계는,
    복수의 CAN 메시지들의 적어도 하나 이상의 연속하는 타임 인터벌을 수집하는 과정 및
    상기 타임 인터벌이 DoS 공격에 대응하여 미리 설정된 정상범위에 포함되지 아니하면 글로벌 스코어를 증가시키는 과정을 포함하고,
    상기 침입을 탐지하는 단계는,
    상기 글로벌 스코어가 DoS 공격에 대응하여 미리 설정된 임계값을 초과하는 경우, DoS 공격에 의한 침입이 발생한 것으로 결정하는 과정을 포함하는 침입 탐지 방법.
  7. CAN 메시지 시간 정보를 수신하는 정보 수집부;
    상기 CAN 메시지 시간 정보를 이용하여 CAN 메시지 발생 인터벌을 분석하는 분석부;
    상기 CAN 메시지 발생 인터벌 분석 결과를 이용하여 차량 내부 네트워크에 대한 침입 발생 여부를 탐지하는 침입 탐지부; 및
    상기 차량 내부 네트워크에 대한 침입이 탐지된 경우, 상기 침입에 대한 알림을 제공하는 알람부를 포함하되,
    상기 분석부는
    하나의 CAN ID에 대한 메시지를 상기 차량 내부 네트워크에 주입하여 오작동을 발생시키는 제1 공격 유형을 분석하는 제1 공격 분석부,
    적어도 2 이상의 CAN ID에 대한 메시지를 랜덤하게 상기 차량 내부 네트워크 에 주입하여 오작동을 발생시키는 제2 공격 유형을 분석하는 제2 공격 분석부, 및
    상기 차량 내부 네트워크에 짧은 시간 동안 대량의 메시지를 주입하여 상기 네트워크에 과부하를 발생시키는 제3 공격 유형을 분석하는 제3 공격 분석부를 포함하는 차량의 침입 탐지 장치.
  8. 삭제
KR1020160002114A 2016-01-07 2016-01-07 차량 침입 탐지 장치 및 방법 KR101721035B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160002114A KR101721035B1 (ko) 2016-01-07 2016-01-07 차량 침입 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160002114A KR101721035B1 (ko) 2016-01-07 2016-01-07 차량 침입 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101721035B1 true KR101721035B1 (ko) 2017-03-30

Family

ID=58503349

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160002114A KR101721035B1 (ko) 2016-01-07 2016-01-07 차량 침입 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101721035B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019107704A1 (ko) * 2017-11-29 2019-06-06 고려대학교 산학협력단 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
KR101976717B1 (ko) * 2017-12-18 2019-08-28 네이버랩스 주식회사 Can에 대한 안전한 디바이스 인증 및 권한 제어 방법
KR20220046408A (ko) 2020-10-07 2022-04-14 고려대학교 산학협력단 의사 정상 데이터를 이용한 자가 감독 학습 기반의 차량 이상징후 탐지 장치 및 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110101972A (ko) * 2010-03-10 2011-09-16 대성전기공업 주식회사 Can 프로토콜을 사용한 데이터 통신에서 데이터 메시지에 대한 무결성 확인 방법
KR101334017B1 (ko) * 2012-06-29 2013-12-12 주식회사 만도 차량 네트워크의 메시지 무결성 체크 시스템 및 방법
KR101371902B1 (ko) * 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법
JP2014146868A (ja) * 2013-01-28 2014-08-14 Hitachi Automotive Systems Ltd ネットワーク装置およびデータ送受信システム
JP2015171092A (ja) * 2014-03-10 2015-09-28 トヨタ自動車株式会社 不正データ検出装置、及び通信システム並びに不正データ検出方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110101972A (ko) * 2010-03-10 2011-09-16 대성전기공업 주식회사 Can 프로토콜을 사용한 데이터 통신에서 데이터 메시지에 대한 무결성 확인 방법
KR101334017B1 (ko) * 2012-06-29 2013-12-12 주식회사 만도 차량 네트워크의 메시지 무결성 체크 시스템 및 방법
KR101371902B1 (ko) * 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법
JP2014146868A (ja) * 2013-01-28 2014-08-14 Hitachi Automotive Systems Ltd ネットワーク装置およびデータ送受信システム
JP2015171092A (ja) * 2014-03-10 2015-09-28 トヨタ自動車株式会社 不正データ検出装置、及び通信システム並びに不正データ検出方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019107704A1 (ko) * 2017-11-29 2019-06-06 고려대학교 산학협력단 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
KR20190063209A (ko) * 2017-11-29 2019-06-07 고려대학교 산학협력단 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
KR101995903B1 (ko) * 2017-11-29 2019-10-01 고려대학교 산학협력단 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
KR101976717B1 (ko) * 2017-12-18 2019-08-28 네이버랩스 주식회사 Can에 대한 안전한 디바이스 인증 및 권한 제어 방법
KR20220046408A (ko) 2020-10-07 2022-04-14 고려대학교 산학협력단 의사 정상 데이터를 이용한 자가 감독 학습 기반의 차량 이상징후 탐지 장치 및 방법

Similar Documents

Publication Publication Date Title
Aliwa et al. Cyberattacks and countermeasures for in-vehicle networks
Alshammari et al. Classification approach for intrusion detection in vehicle systems
Marchetti et al. Evaluation of anomaly detection for in-vehicle networks through information-theoretic algorithms
Han et al. Anomaly intrusion detection method for vehicular networks based on survival analysis
Song et al. Intrusion detection system based on the analysis of time intervals of CAN messages for in-vehicle network
US20190182267A1 (en) Vehicle security manager
CN107431709B (zh) 攻击识别方法、攻击识别装置和用于汽车的总线系统
KR102642875B1 (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
Müter et al. Entropy-based anomaly detection for in-vehicle networks
KR101853676B1 (ko) 차량 침입 탐지 장치 및 방법
CN111448787B (zh) 用于提供安全的车载网络的系统及方法
US20190260800A1 (en) Cryptic vehicle shield
De Araujo-Filho et al. An efficient intrusion prevention system for CAN: Hindering cyber-attacks with a low-cost platform
WO2021038869A1 (ja) 車両監視装置および車両監視方法
US20220182404A1 (en) Intrusion path analysis device and intrusion path analysis method
JP7255710B2 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
Kalutarage et al. Context-aware anomaly detector for monitoring cyber attacks on automotive CAN bus
KR101721035B1 (ko) 차량 침입 탐지 장치 및 방법
KR101966345B1 (ko) Can 통신 기반 우회 공격 탐지 방법 및 시스템
Dupont et al. A survey of network intrusion detection systems for controller area network
Souma et al. Counter attacks for bus-off attacks
JP2021140460A (ja) セキュリティ管理装置
KR101995903B1 (ko) 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
US20220157090A1 (en) On-vehicle security measure device, on-vehicle security measure method, and security measure system
Dupont et al. Network intrusion detection systems for in-vehicle network-Technical report

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200128

Year of fee payment: 4