KR101734505B1 - Method and apparatus for detecting attack in vehicle network - Google Patents

Method and apparatus for detecting attack in vehicle network Download PDF

Info

Publication number
KR101734505B1
KR101734505B1 KR1020160052952A KR20160052952A KR101734505B1 KR 101734505 B1 KR101734505 B1 KR 101734505B1 KR 1020160052952 A KR1020160052952 A KR 1020160052952A KR 20160052952 A KR20160052952 A KR 20160052952A KR 101734505 B1 KR101734505 B1 KR 101734505B1
Authority
KR
South Korea
Prior art keywords
message
attack
voltage value
voltage range
network
Prior art date
Application number
KR1020160052952A
Other languages
Korean (ko)
Inventor
강기동
홍재승
조민수
백영미
이성훈
손상혁
Original Assignee
재단법인대구경북과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 재단법인대구경북과학기술원 filed Critical 재단법인대구경북과학기술원
Priority to KR1020160052952A priority Critical patent/KR101734505B1/en
Application granted granted Critical
Publication of KR101734505B1 publication Critical patent/KR101734505B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]

Abstract

According to one aspect of the present invention, a method for detecting an attack in a vehicle network by using an attack detection device connected to a vehicle network comprises: a step of allowing the attack detection device to receive a message from the network and obtain the voltage value of a signal including the message; a step of obtaining an identifier (ID) of the received message; a step of comparing the obtained voltage value with a predetermined voltage range according to the ID of the received message; and a step of determining that an attack has occurred if the obtained voltage value is not included in the normal voltage range as a result of the comparison.

Description

차량용 네트워크의 공격탐지 방법 및 그 장치{METHOD AND APPARATUS FOR DETECTING ATTACK IN VEHICLE NETWORK}[0001] METHOD AND APPARATUS FOR DETECTING ATTACK IN VEHICLE NETWORK [0002]

본 발명은 차량용 네트워크의 통신방법에 관한 것으로서, 보다 구체적으로는 차량 내부 네트워크에서 외부 공격을 탐지하기 위한 방법 및 그 장치에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention [0002] The present invention relates to a communication method of a vehicle network, and more particularly, to a method and apparatus for detecting an external attack in a vehicle internal network.

차량은 여러 부품으로 이루어져 있고 최근에는 많은 부품들이 전자장비들로 이루어져 전자제어장치(ECU: Electronic Control Unit)에 의해 제어되고 있다.Vehicles are made up of several parts, and in recent years, many parts are made up of electronic equipment and controlled by an electronic control unit (ECU).

엔진, 변속기, 에어백 등 많은 부품들이 차량의 여러 곳에 흩어져 있으며, 따라서 이들을 효율적으로 제어하기 위해 차량 내에서는 CAN(Controller Area Network) 통신, LIN(Local Interconnect Network) 통신 등의 방식을 이용하여 제어명령을 전달하고 있다.Many parts such as engine, transmission and airbag are dispersed in various parts of the vehicle. Therefore, in order to control them effectively, control commands are transmitted in the vehicle using CAN (Controller Area Network) communication and LIN (Local Interconnect Network) .

종래 차량에서는 이러한 CAN 통신이나 LIN 통신을 폐쇄된 네트워크 환경에서 사용했기 때문에 보안기능이 적용되지 않고 단순히 전송에 오류가 있는지 검증하는 정도에 그쳐 제어신호의 해킹에 대한 대비가 부족한 문제가 있었다.In the conventional vehicle, since the CAN communication or the LIN communication is used in a closed network environment, there is a problem that the security function is not applied and merely verifies whether there is an error in transmission.

최근 차량 내부의 통신은 종래의 폐쇄형 네트워크에서 개방형 네트워크로 변화하고 있는데 비해 외부공격 등 해킹에 대비한 기술은 미비한 실정인데, 특히 CAN 통신의 프로토콜은 송신자, 수신자 식별정보가 없고 인증을 위한 필드가 별도로 존재하지 않기 때문에 보안에 대단히 취약한 문제가 있다.In recent years, the communication inside the vehicle has changed from the conventional closed network to the open network. However, there is not enough technology to prepare for hacking such as an external attack. In particular, the CAN communication protocol does not have the sender and receiver identification information, There is a problem that security is very weak because it does not exist separately.

또한, CAN 통신은 보안 기술의 고려 없이 설계되어서 기존의 장치들과 호환성을 유지하면서 새로운 형태의 보안방법을 적용시키는 확장성 측면에서도 한계가 존재한다.In addition, CAN communication is designed without consideration of security technology, so there is a limitation in terms of scalability to apply a new type of security method while maintaining compatibility with existing devices.

CAN에서는 새로이 장착되거나 해킹 등에 의해 감염된 장치(노드, ECU 등)가 데이터를 위조하여 전송하거나 정상 장치가 전송하는 것으로 위장하는 것을 방지하기 위해서 주로 메시지 인증 코드(Message Authentication Code)를 활용하는 방법들이 제시되었다. In CAN, methods to utilize the message authentication code mainly to prevent the device (node, ECU, etc.) infected by the newly installed or hacking by falsifying the data or disguising it as the transmission of the normal device are presented .

이러한 방법들은 해시함수와 같은 안전한 암호 알고리즘이 사용되어야 하고, ECU간 키를 관리할 수 있는 메커니즘, 비밀키를 이용한 노드간의 신분인증 기능, 키 생성 및 키 인증/관리 기능 등이 제공되어야 한다.These methods should use secure cryptographic algorithms such as hash functions, mechanisms for managing keys between ECUs, identity authentication between nodes using secret keys, key generation and key authentication / management functions.

그러나 이들을 구현하기 위해서는 높은 연산량을 필요로 하므로, 연산능력이나 메모리가 제한적인 자원으로 구성되고 실시간 제어를 요구하는 차량용 임베디드 시스템에서는 문제가 될 수 있다.However, since it requires a high computational complexity to implement them, it may constitute a problem in a vehicular embedded system which requires real-time control and is composed of limited computing resources and memory.

전술한 문제점들을 극복하기 위해 보안과 관련된 연산을 별도로 처리하는 공격탐지장치(Hardware Security Module)를 추가로 도입하는 형태로 확장성의 한계를 극복하고 있으나, 기존 네트워크에 적용하기 위해서는 하드웨어와 CAN 프레임에 수정이 필요하므로 개발 및 설치 비용이 증가하는 문제점이 있다.In order to overcome the above-mentioned problems, the present invention overcomes the limitations of the extensibility by additionally introducing a hardware security module that processes security-related operations separately. However, in order to apply it to an existing network, There is a problem that development and installation costs increase.

본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 새로운 하드웨어나 보안을 위한 인증방법의 추가 없이 기존 CAN 통신의 프로토콜을 이용하여 차량 네트워크의 공격을 탐지하여 보안을 향상시키기 위한 방법과 그 장치를 제공하는 것을 그 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been made in view of the technical background as described above, and it is an object of the present invention to provide a method and apparatus for improving security by detecting an attack of a vehicle network using a protocol of existing CAN communication without adding an authentication method for new hardware or security The purpose is to provide.

본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.

전술한 목적을 달성하기 위한 본 발명의 일면에 따른 차량용 네트워크의 공격탐지방법은, 차량용 네트워크에 접속된 공격탐지장치를 이용하여 차량용 네트워크의 공격을 탐지하는 방법에 있어서, 상기 공격탐지장치가 상기 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 단계; 상기 수신한 메시지의 식별자(ID)를 확인하는 단계; 상기 획득한 전압값과 상기 수신한 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 단계; 및 상기 비교한 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하는 단계를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method for detecting an attack of a vehicle network using an attack detection apparatus connected to a vehicle network, the method comprising: And obtaining a voltage value of a signal including the message; Confirming an identifier (ID) of the received message; Comparing a predetermined voltage range according to the obtained voltage value and an identifier of the received message; And determining that an attack is detected if the obtained voltage value is not included in the normal voltage range as a result of the comparison.

본 발명의 다른 일면에 따른 차량용 네트워크의 공격탐지장치는, 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 메시지 수신부; 상기 수신한 메시지의 식별자를 확인하는 메시지 식별부; 상기 획득한 전압값과 하기 저장부에 저장된 상기 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 전압 판단부; 상기 전압 판단부의 비교 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하여 하기 결과 출력부에 결과 출력을 제어하는 제어부; 상기 제어부의 제어에 따라 상기 네트워크에 공격 결과를 알리는 결과 출력부; 및 상기 네트워크에 접속된 각 노드와 하기 공격탐지장치와의 거리에 따라 달라지는 전압강하값을 반영한 메시지 신호의 정상 전압범위와 경계 전압범위를 저장하는 저장부를 포함한다.According to another aspect of the present invention, there is provided an apparatus for detecting an attack in a vehicle network, comprising: a message receiver for receiving a message from a network and obtaining a voltage value of a signal including the message; A message identifying unit for identifying an identifier of the received message; A voltage determination unit for comparing a predetermined voltage range according to the obtained voltage value and the identifier of the message stored in the storage unit; A control unit for determining an attack if the obtained voltage value is not included in the normal voltage range as a result of the comparison by the voltage determination unit, and controlling the output of the result to the output unit as a result; A result output unit for informing an attack result to the network under the control of the control unit; And a storage unit for storing a normal voltage range and a boundary voltage range of a message signal reflecting a voltage drop value depending on a distance between each node connected to the network and the following attack detection apparatuses.

본 발명에 따르면, 기존 차량 내부의 다른 모듈들이나 CAN 프로토콜의 수정 없이도 차량용 네트워크에 대한 공격을 차단하여 차량의 보안을 높일 수 있는 효과가 있다.According to the present invention, there is an effect that the security of a vehicle can be enhanced by blocking an attack on a vehicle network without modifying other modules in the existing vehicle or the CAN protocol.

도 1은 CAN 프로토콜의 데이터 프레임 구조를 도시한 도면.
도 2는 종래 CAN 프로토콜을 사용하는 차량 내부 네트워크의 구조도.
도 3은 본 발명의 일실시예에 따른 차량용 네트워크의 공격탐지장치가 설치된 차량 내부 네트워크의 구조도.
도 4는 본 발명의 일실시예에 따른 차량용 네트워크의 공격탐지장치의 구조도.
도 5는 본 발명에 다른 실시예에 따른 차량용 네트워크의 공격탐지방법의 흐름도.1 shows a data frame structure of a CAN protocol;
2 is a structural view of a vehicle internal network using a conventional CAN protocol.
3 is a structural view of a vehicle internal network in which an apparatus for detecting an attack of a vehicle network is installed according to an embodiment of the present invention.
4 is a structural view of an apparatus for detecting an attack of a vehicle network according to an embodiment of the present invention.
5 is a flowchart of an attack detection method for a vehicle network according to another embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and the manner of achieving them, will be apparent from and elucidated with reference to the embodiments described hereinafter in conjunction with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. It is to be understood that the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, the terms " comprises, " and / or "comprising" refer to the presence or absence of one or more other components, steps, operations, and / Or additions.

이하, 본 발명의 바람직한 실시예에 대하여 첨부한 도면을 참조하여 상세히 설명하기로 한다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 CAN 프로토콜의 데이터 프레임 구조를 나타낸다.1 shows a data frame structure of the CAN protocol.

기본적으로 CAN은 다중통신망(Multi Master Network)으로 구성되며 CSMA/CD&AMP(Carrier Sense Multiple Access/Collision Detection with Arbitration on Message Priority) 방식으로 메시지를 전송한다.Basically, CAN is composed of a multi-master network and transmits a message in CSMA / CD & AMP (Carrier Sense Multiple Access / Collision Detection with Arbitration on Message Priority).

메시지 주소 방식을 사용하기 때문에 메시지 식별자(ID: Identifier)만으로 메시지를 구별할 수 있으나 전송 노드의 식별정보는 사용하지 않는다. 즉 메시지가 어느 ECU로부터 송신된 것인지는 알 수 없는 구조이다.Since the message addressing scheme is used, messages can be distinguished only by a message identifier (ID), but identification information of a transmission node is not used. That is, it is an unknown structure from which ECU the message is transmitted.

CAN 프로토콜에서 중재 필드(Arbitration Field)는 표준 규격인 CAN 2.0A 인지 확장 규격인 CAN 2.0B 인지에 따라 11비트(CAN 2.0A) 또는 29비트(CAN 2.0E)로 구성된다.In the CAN protocol, the arbitration field is composed of 11 bits (CAN 2.0A) or 29 bits (CAN 2.0E), depending on whether the standard is CAN 2.0A or the extension standard CAN 2.0B.

각 규격에 따른 필드의 구조는 다음 표 1 및 표 2와 같다.The structure of the field according to each standard is shown in the following Tables 1 and 2.

필드 이름Field name 길이 (bits)Length (bits) 내용Contents Start-of-frame (SOF)Start-of-frame (SOF) 1One frame의 시작을 알림Notice the start of frame IdentifierIdentifier 1111 메시지의 고유 식별자이자 우선순위를 나타냄A unique identifier and priority for the message. Remote transmission request (RTR)Remote transmission request (RTR) 1One data frame에서는 0, remote request frame에서는 1로 설정0 for data frame, 1 for remote request frame Identifier extension bit (IDE)Identifier extension bit (IDE) 1One base frame format에서는 0 (extended 에서는 1)0 in base frame format (1 in extended) Reserved bit (r0)Reserved bit (r0) 1One 예약된 bit, 무조건 0으로 설정Reserved bit, unconditionally set to 0 Data length code (DLC)Data length code (DLC) 44 0~8 byte의 데이터 길이를 나타냄Represents data length of 0 ~ 8 bytes Data fieldData field 0~640 to 64 DLC에서 정해진 길이의 전송될 데이터Data to be transmitted having a predetermined length in the DLC CRCCRC 1515 Cyclic redundancy 검사Cyclic redundancy test CRC delimiterCRC delimiter 1One 반드시 1로 설정Must be set to 1 ACK slotACK slot 1One Transmitter는 1로, receiver는 0으로 설정Transmitter is set to 1 and receiver is set to 0 ACK delimiterACK delimiter 1One 반드시 1로 설정Must be set to 1 End-of-frame (EOF)End-of-frame (EOF) 77 반드시 1로 설정Must be set to 1

필드 이름Field name 길이 (bits)Length (bits) 내용Contents Start-of-frame (SOF)Start-of-frame (SOF) 1One frame의 시작을 알림Notice the start of frame Identifier AIdentifier A 1111 메시지의 첫 번째 고유 식별자이자 우선순위를 나타냄The first unique identifier and priority of the message. Substitute remote request (SRR)Substitute remote request (SRR) 1One 반드시 1로 설정Must be set to 1 Identifier extension bit (IDE)Identifier extension bit (IDE) 1One Extended frame이므로 반드시 1로 설정, 총 29 bits의 identifier 사용Since this is an extended frame, it must be set to 1, and a total of 29 bits of identifier is used. Identifier BIdentifier B 1818 메시지의 두 번째 고유 식별자이자 우선순위를 나타냄The second unique identifier and priority of the message. Remote transmission request (RTR)Remote transmission request (RTR) 1One data frame에서는 0, remote request frame에서는 1로 설정0 for data frame, 1 for remote request frame Reserved bit (r1, r0)Reserved bits (r1, r0) 1One 예약된 bit, 무조건 0으로 설정Reserved bit, unconditionally set to 0 Data length code (DLC)Data length code (DLC) 44 0~8 byte의 데이터 길이를 나타냄Represents data length of 0 ~ 8 bytes Data fieldData field 0~640 to 64 DLC에서 정해진 길이의 전송될 데이터Data to be transmitted having a predetermined length in the DLC CRCCRC 1515 Cyclic redundancy 검사Cyclic redundancy test CRC delimiterCRC delimiter 1One 반드시 1로 설정Must be set to 1 ACK slotACK slot 1One Transmitter는 1로, receiver는 0으로 설정Transmitter is set to 1 and receiver is set to 0 ACK delimiterACK delimiter 1One 반드시 1로 설정Must be set to 1 End-of-frame (EOF)End-of-frame (EOF) 77 반드시 1로 설정Must be set to 1

CAN의 각 노드를 구성하는 ECU(Electronic Control Unit)들은 CAN의 버스(Bus)가 사용중(Busy)인지 아이들(Idle) 상태인지 확인한 후 메시지를 전송한다. 여러 노드가 동시에 버스에 데이터를 전송하여 메시지의 충돌이 발생하면 중재 필드 내의 식별자(Identifier 또는 Identifier A, B)를 확인하여 우선순위를 결정한다. 이때 메시지의 식별자 값이 낮을수록 전송 우선순위가 높고, 우선순위가 가장 높은 메시지를 가진 노드만 CAN 버스 사용권한을 획득한다. 우선순위가 낮은 메시지를 가진 노드는 대기상태로 전환되어 높은 우선순위의 메시지 전송이 끝난 후 다음 버스 사이클에 재전송을 시도한다.The ECUs (Electronic Control Units) that constitute each node of the CAN check whether the bus of the CAN is Busy or Idle, and then transmit the message. If multiple nodes send data to the bus at the same time and a message collision occurs, the identifier (Identifier or Identifier A, B) in the arbitration field is checked and the priority is determined. At this time, the lower the identifier value of the message, the higher the transmission priority, and only the node having the highest priority message acquires the right to use the CAN bus. A node with a low priority message is put into a wait state, and after a high priority message transmission is completed, the node attempts to retransmit on the next bus cycle.

이러한 CAN 프로토콜의 대표적인 보안 취약점으로는 메시지에 송신자, 수신자 식별정보가 없고 또한 인증을 위한 필드도 별도로 존재하지 않기 때문에 메시지 위조 공격에 매우 취약하다는 점이 있다.A representative security vulnerability of this CAN protocol is that it is very vulnerable to message forgery attacks because there is no sender and recipient identification information in the message and there is no separate field for authentication.

도 2는 CAN을 사용하는 일반적인 차량 내부 네트워크(200)의 구조를 나타낸다.2 shows the structure of a general in-vehicle network 200 using CAN.

네트워크(200)는 하나의 CAN 버스(210)에 다수의 ECU 노드(222, 224, 226, 228)들이 연결되어 있는 구조(버스 토폴로지)로 이루어진다. 버스(210)의 양 끝단에는 종단저항(232, 234)이 설치되어 있어 버스(210)의 단말 또는 분단점에서의 반사현상을 방지할 수 있다.The network 200 has a structure (bus topology) in which a plurality of ECU nodes 222, 224, 226, and 228 are connected to a single CAN bus 210. Terminal resistors 232 and 234 are provided at both ends of the bus 210 to prevent reflection phenomenon at the terminal or the breakdown point of the bus 210.

전술한 바와 같이 노드 1(222) 내지 노드 4(228) 중 우선순위가 가장 높은 노드만이 버스(210)에 접근하여 메시지를 송신할 수 있고 다른 노드들은 대기(Listening) 모드에서 다음 버스(210) 사이클을 대기한다.As described above, only the node having the highest priority among the first node 222 to the fourth node 228 can access the bus 210 to transmit the message and the other nodes can transmit the next bus 210 ) Cycle.

도 3은 본 발명의 일실시예에 따른 차량용 네트워크의 공격탐지장치(300)가 설치된 차량 내부 네트워크의 구조를 나타낸다.FIG. 3 shows a structure of an in-vehicle network in which an apparatus 300 for detecting an attack of a vehicle network is installed according to an embodiment of the present invention.

차량용 네트워크의 공격탐지장치(300)는 종래의 CAN 버스(210)에 접속하여 각 노드들로부터 전송되는 메시지를 수신할 수 있다.The attack detection device 300 of the vehicle network can access a conventional CAN bus 210 and receive a message transmitted from each node.

공격탐지장치(300)는 메시지를 수신하여 분석하더라도 메시지에 송신자를 식별할 수 있는 필드가 없기 때문에 어떤 노드에서 메시지를 송신했는지는 알 수 없다. Even if the attack detection apparatus 300 receives and analyzes the message, it does not know which node sent the message because there is no field in the message to identify the sender.

그러나 도 3에서 나타난 바와 같이 공격탐지장치(300)로부터 각 노드에 이르는 길이(L1, L2, L3, L4)가 다르기 때문에 각 노드에서 공격탐지장치(300)까지의 물리적인 버스(210)의 길이가 달라진다. 저항값은 물리적인 버스(210)의 길이에 비례하므로, 따라서 버스(210)의 길이에 따른 저항값의 차이에 따라 전압강하의 정도가 달라지게 된다.However, since the lengths (L 1 , L 2 , L 3 , and L 4 ) from the attack detection device 300 to the respective nodes are different as shown in FIG. 3, 210 are different. Since the resistance value is proportional to the length of the physical bus 210, the degree of the voltage drop depends on the difference in the resistance value depending on the length of the bus 210.

이러한 현상을 이용하면 CAN 버스(210)에 전송된 메시지가 정상적인 노드에서 송신된 메시지인지를 확인할 수 있다. 즉, 비정상적인 노드에서 전송한 메시지는 공격탐지장치(300)까지 도달하기 위한 길이가 정상적인 노드에서 전송한 경우와 달라지기 때문에 수학식 1에 따라 계산되는 전압차이를 계산함으로써 공격에 의한 비정상적인 메시지인지 판단할 수 있다.With this phenomenon, it is possible to confirm whether a message transmitted to the CAN bus 210 is a message transmitted from a normal node. That is, since the message transmitted from the abnormal node is different from the case where the length for reaching the attack detection apparatus 300 is transmitted from the normal node, it is determined whether the message is abnormal due to the attack by calculating the voltage difference calculated according to Equation (1) can do.

Figure 112016041496487-pat00001
Figure 112016041496487-pat00001

전압강하값(Vdrop)은 버스(210)에 흐르는 전류(Iwire)와 저항(Rwire)값에 의해 정해지므로 노드 1(222) 내지 노드 4(228)는 이미 정해진 위치에 따라 전압강하값이 일정한데 반해, 비정상적인 노드에 의한 메시지는 노드 1(222) 내지 노드 4(224)에 의한 전압강하와 다른 전압강하값을 가지게 되므로 메시지의 전압강하값을 계산하여 비정상노드에서 보내진 메시지를 구별할 수 있다.Since the voltage drop value V drop is determined by the current (I wire ) and the resistance (R wire ) value flowing in the bus 210, the node 1 222 to the node 4 228 have the voltage drop value The message due to an abnormal node has a voltage drop value different from the voltage drop caused by the node 1 222 to the node 4 224. Therefore, the voltage drop value of the message is calculated to distinguish the message sent from the abnormal node .

이를 위해 차량용 네트워크의 공격탐지장치(300)는 빠른 샘플링(Sampling) 속도를 처리할 수 있는 마이크로 컨트롤러(MCU: Micro Controller Unit)와 아날로그-디지털 컨버터(ADC: Analog-to-Digital Converter) 및 에러를 알릴 수 있는 에러프레임을 임의의 시간에 생성할 수 있는 CAN 컨트롤러를 포함할 수 있다.To this end, the automotive network attack detection apparatus 300 includes a micro controller unit (MCU), an analog-to-digital converter (ADC) and an error detection unit A CAN controller capable of generating an error frame that can be notified at any time.

도 4는 본 발명의 일실시예에 따른 차량용 네트워크의 공격탐지장치(300)의 구조를 나타낸다.4 shows a structure of an apparatus 300 for detecting an attack of a vehicle network according to an embodiment of the present invention.

공격탐지장치(300)는 메시지 수신부(310), 메시지 식별부(320), 전압 판단부(330), 제어부(340), 결과 출력부(350) 및 저장부(360)로 구성된다.The attack detection apparatus 300 includes a message receiving unit 310, a message identifying unit 320, a voltage determining unit 330, a control unit 340, a result output unit 350, and a storage unit 360.

메시지 수신부(310)는 물리적인 CAN 버스(210)의 메시지 신호를 수신하여 CAN 메시지로 변환하고 동시에 메시지 신호의 전압값에 대한 샘플링을 수행한다.The message receiving unit 310 receives the message signal of the physical CAN bus 210, converts it into a CAN message, and simultaneously performs sampling on the voltage value of the message signal.

메시지 식별부(320)는 메시지 수신부(310)에서 수신한 메시지의 ID를 기반으로 메시지를 송신한 노드를 판단할 수 있다.The message identifying unit 320 can determine the node that transmitted the message based on the ID of the message received by the message receiving unit 310. [

전압 판단부(330)는 메시지 수신부(310)에서 샘플링한 메시지 신호의 전압 값들을 필터를 통해 보정한 뒤 샘플링된 값들의 평균을 구하여 이 평균값이 정상 전압범위에 속하는지 경계 전압범위에 속하는지 판단한다.The voltage determining unit 330 corrects the voltage values of the message signal sampled by the message receiving unit 310 through a filter and then calculates an average of the sampled values and determines whether the average value falls within a normal voltage range or a boundary voltage range do.

이를 위해 전압 판단부(330)는 메시지 식별부(320)에서 메시지 ID로 판단한 메시지 송신 노드와 공격탐지장치(300) 사이의 거리에 따른 메시지 신호의 정상 전압범위와 경계 전압범위를 저장부(360)로부터 불러온다.For this, the voltage determination unit 330 stores the normal voltage range and the boundary voltage range of the message signal according to the distance between the message transmission node determined by the message ID in the message identification unit 320 and the attack detection apparatus 300, .

저장부(360)는 각 노드들로부터 공격탐지장치(300)까지 거리차이에 따른 전압강하를 고려하여, 각 메시지 ID에 따른 정상 전압범위와 경계 전압범위를 저장한다. 저장부(360)에 저장된 정상 전압범위 값과 경계 전압범위 값은 고정된 값이 아니라 공격탐지장치(300)가 수신하는 새로운 메시지의 전압값에 이동평균 방법을 적용함으로써 갱신될 수 있다.The storage unit 360 stores the normal voltage range and the boundary voltage range according to each message ID, taking into account the voltage drop due to the distance difference from each node to the attack detection apparatus 300. The steady voltage range value and the boundary voltage range value stored in the storage unit 360 may be updated by applying the moving average method to the voltage value of the new message received by the attack detection apparatus 300 instead of the fixed value.

저장되는 전압값에 이동평균을 사용하는 이유는 차량내의 온도가 수시로 변하고, 그에 따라 각 노드와 공격탐지장치(300) 사이의 저항값이 달라지게 되므로 결과적으로 전압강하값에 변동이 있을 수 있기 때문이다.The reason why the moving average is used for the stored voltage value is that the temperature in the vehicle changes from time to time and thus the resistance value between each node and the attack detecting apparatus 300 changes, to be.

수학식 2는 차량 내 온도에 따른 저항의 변화를 나타낸다.Equation (2) represents a change in resistance according to the temperature in the vehicle.

Figure 112016041496487-pat00002
Figure 112016041496487-pat00002

R(T)는 온도 T에 따른 도체의 저항이며, Rref는 특정 온도에서의 기준 저항으로 통상 20℃를 기준으로 설정된다.

Figure 112016041496487-pat00003
는 온도에 따른 도체의 저항 변화 계수로, 도체의 종류에 따라 달라지며 전선으로 많이 쓰이는 구리의 경우
Figure 112016041496487-pat00004
Ω/℃이다. T는 현재 온도이고, Tref는 Rref를 측정했을때의 기준 온도를 나타낸다.R (T) is the resistance of the conductor with temperature T, and R ref is a reference resistance at a specific temperature, typically set at 20 ° C.
Figure 112016041496487-pat00003
Is the coefficient of resistance change of conductor according to temperature, it depends on the kind of conductor,
Figure 112016041496487-pat00004
Ω / ° C. T is the current temperature and T ref is the reference temperature when R ref is measured.

이와 같이 저장된 전압범위에 이동평균값을 적용함으로써 온도 변화와 같은 민감한 상황 변화에 능동적으로 적응이 가능한 효과가 있다.By applying the moving average value to the stored voltage range, it is possible to actively adapt to a sensitive situation change such as a temperature change.

저장부(360)에 저장되는 전압범위는 노드별로 변화되는 전압강하를 고려하여 개별로 저장될 수도 있고, 전압강하를 고려하여 노드별로 메시지 송신 전압을 조정함으로써 공격탐지장치(300)에서 수신하는 전압은 일정하게 할 수도 있다. 공격탐지장치(300)에서 수신하는 전압을 일정하게 조절함으로써 메시지 송신 노드가 무엇인지 구별할 필요 없이 하나의 전압범위만을 확인할 수 있고 공격 여부 판단이 더 간단해지는 장점이 있다.The voltage range stored in the storage unit 360 may be individually stored in consideration of a voltage drop that varies for each node or may be stored separately by adjusting a message transmission voltage for each node in consideration of a voltage drop, May be constant. It is possible to identify only one voltage range without distinguishing what the message transmitting node is, by adjusting the voltage received by the attack detecting device 300 constantly, and it is possible to simplify the determination of the attack.

정상 전압범위는 메시지 수신부(310)의 전압 샘플링 오차 등을 고려하여 송신 노드와 공격탐지장치(300)사이의 거리에 따른 전압강하 값이 반영된 전압의 범위를 의미한다.The steady voltage range refers to a range of voltage that reflects the voltage drop value depending on the distance between the transmitting node and the attack detecting device 300 in consideration of the voltage sampling error of the message receiving unit 310 and the like.

경계 전압범위는 정상 전압범위에 속하지는 않지만 차내 온도나 버스(210)상의 노이즈 등이 전압강하에 영향을 미칠 수 있으므로 수신한 메시지를 바로 공격에 의한 메시지로 오판할 확률을 낮추기 위해 필요한 전압범위를 의미한다.Although the boundary voltage range does not fall within the normal voltage range, since the in-vehicle temperature or noise on the bus 210 may affect the voltage drop, the voltage range necessary to lower the probability of mis- it means.

제어부(340)는 전압 판단부(330)의 판단 결과에 따른 공격탐지장치(300)의 처리를 수행한다. The control unit 340 performs processing of the attack detection device 300 according to the determination result of the voltage determination unit 330.

기본적으로 정상 전압범위가 아닌 경우 공격으로 판단할 수도 있으나, 공격 탐지 카운팅 값을 두어 카운팅 값이 일정한 임계값을 넘는 경우에만 공격으로 판단할 수도 있다. 외부 노이즈 등에 의해 일시적으로 전압값이 변화하는 경우도 고려하기 위함이다.Basically, it can be judged as an attack if it is not in the normal voltage range, but it can be judged as an attack only when the count value exceeds a predetermined threshold value by setting an attack detection count value. The voltage value temporarily changes due to external noise or the like.

정상 전압범위로 판단한 경우에는 별다른 동작을 하지 않지만 저장부(360)에 저장된 정상 전압범위를 샘플링한 전압값을 이용하여 갱신하고, 갱신하는 방법은 이동평균방법 등을 사용할 수 있다.A moving average method or the like can be used as a method of updating and updating the normal voltage range stored in the storage unit 360 by using the sampled voltage value.

판단한 전압값이 경계 전압범위에 속하는 경우 공격 확인을 위해 메시지의 재전송을 요청하고, 정상, 경계 전압범위에 모두 속하지 않는 경우 바로 공격에 의한 메시지 변조로 판단하지 않고 공격 탐지 카운터를 증가시킨다.When the determined voltage value belongs to the boundary voltage range, it requests retransmission of the message to confirm the attack. If the voltage value does not fall within the normal or boundary voltage range, it increases the attack detection counter without judging the message modulation by the attack.

공격 탐지 카운터를 증가시킨 후 카운팅값이 임계값을 초과하는 경우 공격에 의한 메시지 변조로 판단하지만, 임계값 이하인 경우에는 에러가 발생한 것으로 보아 결과 출력부(350)에 메시지 재전송을 요청할 것을 제어하고 다시 CAN 메시지 수신을 기다린다.If the count value exceeds the threshold value after the attack detection counter is increased, it is determined that the message is modulated due to an attack. If the count value is below the threshold value, control is performed to request the result output unit 350 to request the message output retransmission Waiting to receive CAN messages.

결과 출력부(350)는 전압 판단부(330)의 판단에 따른 전압값이 정상 전압범위에 속하는 경우에는 정상적인 메시지로 판단하여 아무 동작을 하지 않고, 공격 탐지 카운팅값이 임계값을 초과하는 경우 공격에 의한 메시지 변조로 판단하여 공격으로 판단하여 각 노드에 메시지를 송신하거나 차량 운전자에게 경고할 수 있다. If the voltage value determined by the voltage determination unit 330 falls within the normal voltage range, the result output unit 350 determines that the message is a normal message and does not perform any operation. If the attack detection count value exceeds the threshold value, It is determined that the message is modulated by the attacker, so that it is determined that the attack is an attack, and a message is transmitted to each node or a warning to the driver of the vehicle can be made.

각 공격을 알리는 것은 네트워크에 CAN 메시지를 송신하는 방법으로도 가능하지만 공격이 있었다면 공격을 알리는 메시지도 공격자가 위조할 가능성이 있기 때문에 결과 출력부(350)와 각 노드를 직접 연결하는 경로에 의해 공격을 알리는 방식도 가능하다.Notifying each attack is also possible by transmitting a CAN message to the network. However, if there is an attack, a message informing an attack may be falsified by an attacker. Therefore, the result output unit 350 and the node Can be used.

도 5는 본 발명의 다른 실시예에 따른 차량용 네트워크의 공격탐지방법의 흐름도를 나타낸다.5 is a flowchart illustrating a method of detecting an attack of a vehicle network according to another embodiment of the present invention.

공격탐지장치(300)는 CAN 버스에 전송되는 모든 CAN 메시지를 수신하고(S510) 수신되는 메시지의 전압값도 샘플링하여 획득한 후 샘플링된 전압값의 평균값을 구한다.The attack detection apparatus 300 receives all the CAN messages transmitted to the CAN bus (S510) and also obtains the voltage value of the received message by sampling and obtains the average value of the sampled voltage values.

CAN 메시지를 수신한 후 메시지의 ID를 확인하여(S520) 네트워크상의 어떤 노드에서 송신한 메시지인지를 확인하고, 그에 따라 미리 저장된 전압값과의 비교를 수행한다(S530).After receiving the CAN message, the ID of the message is confirmed (S520), and it is confirmed whether the message is transmitted from a node on the network, and the comparison with the previously stored voltage value is performed (S530).

노드에 따라 공격탐지장치(300)와의 거리가 다르기 때문에 저항이 달라지고 따라서 전압강하값도 달라지므로, 메시지 ID로 확인한 노드에 해당하는 전압값의 범위는 공격탐지장치(300)의 저장부에 미리 계산 또는 측정되어 저장되어 있다.The range of the voltage value corresponding to the node identified by the message ID is set in advance in the storage unit of the attack detection apparatus 300 Calculated or measured and stored.

샘플링된 전압값이 저장되어있던 메시지 ID에 해당하는 전압값의 정상범위와 비교하여(S540) 정상범위에 속하면, 저장부에 저장되어있는 정상범위를 정상범위에 속한다고 판단된 샘플링된 전압값을 반영하여 이동평균(Moving Average)을 구하는 방식으로 갱신하게 된다(S542).If the sampled voltage value is compared with the normal range of the voltage value corresponding to the stored message ID (S540), the normal range stored in the storage unit is compared with the sampled voltage value And updates the moving average by a method of calculating a moving average (S542).

샘플링된 전압값이 정상범위가 아니라면 경계범위에 있는지 판단하고(S550), 경계범위에도 속하지 않는다면 공격에 의해 메시지가 변조되었을 가능성이 있으므로 공격탐지 카운팅 값을 증가시킨다(S552).If the sampled voltage value is not within the normal range, it is determined whether the sampled voltage value is within the boundary range (S550). If the sampled voltage value is not within the normal range, the attack detection count value is increased (S552).

경계범위가 아닌 경우에 바로 공격으로 판단하지 않는 것은 차량 네트워크의 온도변화나 잡음 등에 의해 일시적으로 메시지의 전압값이 잘못 측정되었을 가능성도 있기 때문이다.The reason for not judging an attack immediately when there is not a boundary range is that the voltage value of a message may be erroneously measured due to temperature change or noise of the vehicle network.

카운팅 값을 증가시킨 후 카운팅 값이 임계값을 초과하는지 판단하고(S554), 카운팅 값이 임계값을 초과한다면 공격으로 판단하여 공격을 통보하고(S556), 카운팅 값이 임계값을 초과하지 않으면 공격인지 다시 판단을 하기 위해 메시지를 재전송할 것을 요청하게 된다(S572).If it is determined in step S554 that the count value exceeds the threshold value, the attack is determined to be an attack and the attack is notified in step S556. If the count value does not exceed the threshold value, It is requested to retransmit the message (S572).

경계범위에 있는지 판단(S550)한 결과 경계범위에 속한다면, 최초 경계범위에 속한 값으로 판단된 것인지 재전송된 메시지에 의한 것인지 다시 판단한다(S560).If it is determined that it is in the boundary range (S550), it is determined whether it is the value belonging to the initial boundary range or the retransmitted message (S560).

경계범위에 속한 것으로 처음 판단된 것이라면 추후 재전송된 메시지의 전압값과 비교를 위해 현재 경계범위에 속한 것으로 판단된 전압값을 저장하고(S570), 메시지의 재전송을 요청한다(S572).If it is the first time that it is determined to belong to the boundary range, the voltage value determined to belong to the current boundary range is stored for comparison with the voltage value of the retransmitted message in step S570, and the retransmission of the message is requested in step S572.

재전송에 의해 경계범위에 속한 것으로 다시 판단된 것이라면 전압값을 이전 경계범위에 속해서 저장된 전압값과 비교하고(S562), 정상범위에 해당하는 방향으로 이동하였는지 판단하여(S564), 정상범위에 해당하는 방향으로 이동하였다면 다시 전압값을 저장하고(S570) 메시지 재전송을 요청한다(S572). 재전송에 의해 전압값이 정상범위에 가까워졌다면 다음 재전송시에는 정상범위에 속할 수도 있기 때문이다.If the voltage value is determined to belong to the boundary range by retransmission, the voltage value is compared with the voltage value stored in the previous boundary range (S562), and it is determined whether the voltage value has moved in the direction corresponding to the normal range (S564) The voltage value is stored again (S570) and a message retransmission is requested (S572). If the voltage value approaches the normal range due to the retransmission, it may belong to the normal range at the next retransmission.

반면 경계범위에 속하면서 정상범위에 해당하는 방향으로 이동하지 않았다면 공격의 가능성이 있는 것으로 판단하여 공격탐지 카운팅값을 증가시키고(S552), 카운팅 값에 따라 공격을 판단하는 단계(S554)를 반복한다.If it is determined that there is a possibility of an attack, the attack detection count value is increased (S552), and the attack is determined according to the count value (S554).

이상과 같은 차량용 네트워크의 공격탐지장치 및 보안방법을 사용함으로써 기존 차량 내부의 다른 모듈들이나 CAN 프로토콜의 수정 없이도 차량용 네트워크에 대한 공격을 차단하여 차량의 보안을 높일 수 있는 효과가 있다.By using the above-described attack detection device and security method of the vehicle network, the security of the vehicle can be enhanced by blocking attacks against the vehicle network without modification of the CAN protocol or other modules in the existing vehicle.

이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.While the present invention has been described in detail with reference to the accompanying drawings, it is to be understood that the invention is not limited to the above-described embodiments. Those skilled in the art will appreciate that various modifications, Of course, this is possible. Accordingly, the scope of protection of the present invention should not be limited to the above-described embodiments, but should be determined by the description of the following claims.

Claims (12)

차량용 네트워크에 접속된 공격탐지장치를 이용하여 차량용 네트워크의 공격을 탐지하는 방법에 있어서,
상기 공격탐지장치가 상기 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 단계;
상기 수신한 메시지의 식별자(ID)를 확인하는 단계;
상기 획득한 전압값과 상기 수신한 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 단계; 및
상기 비교한 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하는 단계;
를 포함하는 차량용 네트워크의 공격탐지방법.A method for detecting an attack in a vehicle network using an attack detection device connected to a vehicle network,
The attack detection device receiving a message from the network and obtaining a voltage value of a signal including the message;
Confirming an identifier (ID) of the received message;
Comparing a predetermined voltage range according to the obtained voltage value and an identifier of the received message; And
Determining that an attack is made if the obtained voltage value is not included in the normal voltage range;
And detecting an attack of the vehicle network. 제1항에 있어서, 상기 판단하는 단계는
상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격탐지 카운팅값을 증가시키고, 상기 공격탐지 카운팅값이 기설정된 임계값을 초과하면 공격으로 판단하는 것
인 차량용 네트워크의 공격탐지방법.2. The method of claim 1, wherein the determining comprises:
Increasing the attack detection count value if the obtained voltage value is not included in the normal voltage range, and determining that the attack is detected when the attack detection count value exceeds a preset threshold value
A method of detecting an attack in a car network. 제1항에 있어서, 상기 판단하는 단계는
상기 획득한 전압값이 정상 전압범위에 포함되지 않으면, 상기 획득한 전압값이 경계 전압범위에 포함되는지 판단하고,
판단결과 상기 획득한 전압값이 상기 경계 전압범위에 포함되면 상기 네트워크에 상기 메시지의 재전송을 요청하는 것
인 차량용 네트워크의 공격탐지방법.2. The method of claim 1, wherein the determining comprises:
Determining whether the obtained voltage value is included in the boundary voltage range if the obtained voltage value is not included in the normal voltage range,
And requesting the network to retransmit the message if the obtained voltage value is included in the boundary voltage range
A method of detecting an attack in a car network. 제3항에 있어서, 상기 판단하는 단계는
상기 경계 전압범위에 포함되는지 판단한 결과 상기 획득한 전압값이 상기 경계 전압범위에 포함되지 않으면, 상기 수신한 메시지가 상기 재전송 요청에 의한 메시지인지 판단하고,
판단결과 상기 재전송 요청에 의한 메시지가 아니면 상기 획득한 전압값을 저장하고 상기 네트워크에 상기 메시지의 재전송을 요청하고,
판단결과 상기 재전송 요청에 의한 메시지이면 상기 저장된 전압값과 상기 재전송에 의해 획득한 전압값을 비교하여, 상기 재전송에 의해 획득한 전압값이 상기 저장된 전압값보다 상기 정상 전압범위에 가까우면 상기 네트워크에 상기 수신한 메시지의 재전송을 다시 요청하고, 상기 정상 전압범위에 가깝지 않으면 공격으로 판단하는 것
인 차량용 네트워크의 공격탐지방법.4. The method of claim 3, wherein the determining comprises:
Determining whether the received message is a message based on the retransmission request if the acquired voltage value is not included in the boundary voltage range,
Storing the acquired voltage value and requesting retransmission of the message to the network if the message is not a message based on the retransmission request,
And if the voltage value obtained by the retransmission is closer to the steady voltage range than the stored voltage value, if the message is a message based on the retransmission request, Requesting retransmission of the received message again, and determining that the attack is not close to the normal voltage range
A method of detecting an attack in a car network. 제1항에 있어서, 상기 판단하는 단계는
상기 비교한 결과 상기 획득한 전압값이 상기 정상 전압범위에 포함되면 공격이 아닌 것으로 판단하고, 상기 획득한 전압값을 상기 정상 전압범위에 반영하여 상기 정상 전압범위를 갱신하는 것
인 차량용 네트워크의 공격탐지방법.2. The method of claim 1, wherein the determining comprises:
If the obtained voltage value is included in the normal voltage range, it is determined that the voltage value is not an attack, and the normal voltage range is updated by reflecting the obtained voltage value to the normal voltage range
A method of detecting an attack in a car network. 제5항에 있어서,
상기 정상 전압범위를 갱신하는 것은 이동평균 방법을 사용하는 것
인 차량용 네트워크의 공격탐지방법.6. The method of claim 5,
Updating the steady-state voltage range may involve using a moving average method
A method of detecting an attack in a car network. 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 메시지 수신부;
상기 수신한 메시지의 식별자를 확인하는 메시지 식별부;
상기 획득한 전압값과 하기 저장부에 저장된 상기 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 전압 판단부;
상기 전압 판단부의 비교 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하여 하기 결과 출력부에 결과 출력을 제어하는 제어부;
상기 제어부의 제어에 따라 상기 네트워크에 접속된 각 노드 또는 운전자에게 공격 결과를 알리는 결과 출력부; 및
상기 네트워크에 접속된 각 노드와 하기 공격탐지장치와의 거리에 따라 달라지는 전압강하값을 반영한 메시지 신호의 정상 전압범위와 경계 전압범위를 저장하는 저장부;
를 포함하는 차량용 네트워크의 공격탐지장치.A message receiving unit for receiving a message from a network and obtaining a voltage value of a signal including the message;
A message identifying unit for identifying an identifier of the received message;
A voltage determination unit for comparing a predetermined voltage range according to the obtained voltage value and the identifier of the message stored in the storage unit;
A control unit for determining an attack if the obtained voltage value is not included in the normal voltage range as a result of the comparison by the voltage determination unit, and controlling the output of the result to the output unit as a result;
A result output unit for notifying each node or driver connected to the network of an attack result under the control of the control unit; And
A storage unit for storing a normal voltage range and a boundary voltage range of a message signal reflecting a voltage drop value depending on a distance between each node connected to the network and a following attack detection apparatus;
And an attack detection unit for detecting an attack of the vehicle network. 제7항에 있어서, 상기 제어부는
상기 획득한 전압값이 상기 정상 전압범위에 포함되지 않으면 공격탐지 카운팅값을 증가시키고, 상기 공격탐지 카운팅값이 기설정된 임계값을 초과하면 공격으로 판단하는 것
인 차량용 네트워크의 공격탐지장치.8. The apparatus of claim 7, wherein the control unit
Increasing the attack detection count value if the acquired voltage value is not included in the normal voltage range, and determining that the attack is detected when the attack detection count value exceeds a preset threshold value
Of a vehicle network. 제7항에 있어서, 상기 제어부는
상기 획득한 전압값이 상기 정상 전압범위에 포함되지 않으면, 상기 획득한 전압값이 경계 전압범위에 포함되는지 판단하고,
판단결과 상기 획득한 전압값이 상기 경계 전압범위에 포함되면 상기 네트워크에 상기 메시지의 재전송을 요청하는 것
인 차량용 네트워크의 공격탐지장치.8. The apparatus of claim 7, wherein the control unit
Determining whether the obtained voltage value is included in the boundary voltage range if the obtained voltage value is not included in the normal voltage range,
And requesting the network to retransmit the message if the obtained voltage value is included in the boundary voltage range
Of a vehicle network. 제9항에 있어서, 상기 제어부는
상기 경계 전압범위에 포함되는지 판단한 결과 상기 획득한 전압값이 상기 경계 전압범위에 포함되지 않으면, 상기 수신한 메시지가 상기 재전송 요청에 의한 메시지인지 판단하고,
판단결과 상기 재전송 요청에 의한 메시지가 아니면 상기 획득한 전압값을 저장하고 상기 네트워크에 상기 메시지의 재전송을 요청하고,
판단결과 상기 재전송 요청에 의한 메시지이면 상기 저장된 전압값과 상기 재전송에 의해 획득한 전압값을 비교하여, 상기 재전송에 의해 획득한 전압값이 상기 저장된 전압값보다 상기 정상 전압범위에 가까우면 상기 네트워크에 상기 수신한 메시지의 재전송을 다시 요청하고, 상기 정상 전압범위에 가깝지 않으면 공격으로 판단하는 것
인 차량용 네트워크의 공격탐지장치.10. The apparatus of claim 9, wherein the control unit
Determining whether the received message is a message based on the retransmission request if the acquired voltage value is not included in the boundary voltage range,
Storing the acquired voltage value and requesting retransmission of the message to the network if the message is not a message based on the retransmission request,
And if the voltage value obtained by the retransmission is closer to the steady voltage range than the stored voltage value, if the message is a message based on the retransmission request, Requesting retransmission of the received message again, and determining that the attack is not close to the normal voltage range
Of a vehicle network. 제7항에 있어서, 상기 제어부는
상기 비교한 결과 상기 획득한 전압값이 상기 정상 전압범위에 포함되면 공격이 아닌 것으로 판단하고, 상기 획득한 전압값을 상기 정상 전압범위에 반영하여 상기 정상 전압범위를 갱신하는 것
인 차량용 네트워크의 공격탐지장치.8. The apparatus of claim 7, wherein the control unit
If the obtained voltage value is included in the normal voltage range, it is determined that the voltage value is not an attack and the normal voltage range is updated by reflecting the obtained voltage value to the normal voltage range
Of a vehicle network. 제11항에 있어서,
상기 정상 전압범위를 갱신하는 것은 이동평균 방법을 사용하는 것
인 차량용 네트워크의 공격탐지장치.
12. The method of claim 11,
Updating the steady-state voltage range may involve using a moving average method
Of a vehicle network.
KR1020160052952A 2016-04-29 2016-04-29 Method and apparatus for detecting attack in vehicle network KR101734505B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160052952A KR101734505B1 (en) 2016-04-29 2016-04-29 Method and apparatus for detecting attack in vehicle network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160052952A KR101734505B1 (en) 2016-04-29 2016-04-29 Method and apparatus for detecting attack in vehicle network

Publications (1)

Publication Number Publication Date
KR101734505B1 true KR101734505B1 (en) 2017-05-11

Family

ID=58741968

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160052952A KR101734505B1 (en) 2016-04-29 2016-04-29 Method and apparatus for detecting attack in vehicle network

Country Status (1)

Country Link
KR (1) KR101734505B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107666476A (en) * 2017-05-25 2018-02-06 国家计算机网络与信息安全管理中心 A kind of CAN risk checking method and device
CN108833377A (en) * 2018-05-30 2018-11-16 武汉高仕达电气有限公司 A kind of improved CAN protocol data frame structure and data processing method
CN108965235A (en) * 2017-05-19 2018-12-07 罗伯特·博世有限公司 Method for protecting network to prevent network attack
WO2019107704A1 (en) * 2017-11-29 2019-06-06 고려대학교 산학협력단 Device for verifying condition and detecting signs of abnormality of vehicle, and system including same
US20190342115A1 (en) * 2017-01-19 2019-11-07 Conti Temic Microelectronic Gmbh Method for operating a monitoring device for a data network of a motor vehicle and monitoring device, control unit and motor vehicle

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101371902B1 (en) 2012-12-12 2014-03-10 현대자동차주식회사 Apparatus for detecting vehicle network attcak and method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101371902B1 (en) 2012-12-12 2014-03-10 현대자동차주식회사 Apparatus for detecting vehicle network attcak and method thereof

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190342115A1 (en) * 2017-01-19 2019-11-07 Conti Temic Microelectronic Gmbh Method for operating a monitoring device for a data network of a motor vehicle and monitoring device, control unit and motor vehicle
CN108965235A (en) * 2017-05-19 2018-12-07 罗伯特·博世有限公司 Method for protecting network to prevent network attack
CN107666476A (en) * 2017-05-25 2018-02-06 国家计算机网络与信息安全管理中心 A kind of CAN risk checking method and device
CN107666476B (en) * 2017-05-25 2021-06-04 国家计算机网络与信息安全管理中心 CAN bus risk detection method and device
WO2019107704A1 (en) * 2017-11-29 2019-06-06 고려대학교 산학협력단 Device for verifying condition and detecting signs of abnormality of vehicle, and system including same
CN108833377A (en) * 2018-05-30 2018-11-16 武汉高仕达电气有限公司 A kind of improved CAN protocol data frame structure and data processing method

Similar Documents

Publication Publication Date Title
KR101734505B1 (en) Method and apparatus for detecting attack in vehicle network
US10104094B2 (en) On-vehicle communication system
Matsumoto et al. A method of preventing unauthorized data transmission in controller area network
CN104717201B (en) Network device and network system
CN110324301B (en) System and method for generating rules for thwarting computer attacks on vehicles
US11256498B2 (en) Node, a vehicle, an integrated circuit and method for updating at least one rule in a controller area network
US10652256B2 (en) Real-time active threat validation mechanism for vehicle computer systems
JPWO2016185514A1 (en) Attack detection device
US11888866B2 (en) Security module for a CAN node
KR101972457B1 (en) Method and System for detecting hacking attack based on the CAN protocol
KR101882694B1 (en) Method and system for transceiving can message including mac
US11677779B2 (en) Security module for a can node
Wang et al. A delay based plug-in-monitor for intrusion detection in controller area network
Kwon et al. Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet
CN106685967A (en) Vehicle network communication encryption and intrusion monitoring device
EP3713190A1 (en) Secure bridging of controller area network buses
CN112583786B (en) Method for alarming, transmitter device and receiver device
Kneib et al. On the fingerprinting of electronic control units using physical characteristics in controller area networks
JP4093075B2 (en) Incorrect data detection method and in-vehicle device
US20230327907A1 (en) Relay device, communication network system, and communication control method
Hafeez A robust, reliable and deployable framework for in-vehicle security
KR102595722B1 (en) Communication network, method and apparatus for identifying node connected thereto
EP4099642A2 (en) Can transceiver
Hellemans et al. Yes we CAN! Towards bringing security to legacy-restricted Controller Area Networks. A review
JP2022067012A (en) Relay device, communication network system and communication control method

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant