KR101920833B1 - 지능형 자동차 보안을 위한 전용 idps 어플라이언스 모듈 및 이의 구동방법 - Google Patents

Abstract

본 발명은 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈을 개시한다. 보다 상세하게는, 외부로부터 차량에 탑재된 텔레매틱스 유닛에 대한 불법적인 침입 및 제어시도를 탐지하고 차단하는 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈 및 이의 구동방법에 관한 것이다.
본 발명의 실시예에 따르면, 차량내 라우터가 외부로부터 수신한 패킷을 캡쳐 및 디코딩하고, 패킷 스트림을 분석하여 비정상적인 특성을 검출 및 차단함으로써 외부에서 시도되는 차량 네트워크에 대한 불법적인 해킹을 방지할 수 있는 효과가 있다.

Description

지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈 및 이의 구동방법{DEVELOPMENT OF IDPS APPLIANCE MODULE FOR INTELLIGENT CAR SECURITY AND DRIVING METHOD THEREOF}

본 발명은 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈에 관한 것으로, 특히 외부로부터 차량에 탑재된 텔레매틱스 유닛에 대한 불법적인 침입 및 제어시도를 탐지하고 차단하는 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈 및 이의 구동방법에 관한 것이다.

차량에 이용되는 통신 서비스로서, 텔레매틱스(Telematics)는, 텔레커뮤니케이션(telecommunication)과 인포매틱스(informatics)의 합성어로서 차량과 무선통신기술을 결합한 새로운 개념의 차량 무선 인터넷 서비스를 가리키는 용어이다.

통상적으로, 차량 제조사들은 기술의 발전에 따라 차량에 엔진 제어장치, 변속기 제어장치, 현가 제어장치 및 제동 제어장치 등 각종 전자 제어장치들을 탑재하고 있으며, 이러한 전자 제어장치들은 차량 자기진단 및 차량운행정보 등을 헤드 유닛에 탑재되는 텔레매틱스 유닛에 의한 무선 인터넷 통신을 통해 외부 텔레매틱스 서버에 제공함으로써 차량 운행과 관련된 각종 유용한 정보들을 제공하게 된다.

또한, 차량 내부에는 네비게이션 등이 장착될 수 있고, 블루투스 또는 근거리 통신을 이용하는 오디오 장치가 장착될 수 있으며, 이들의 업데이트를 위해 텔레매틱스 서비스 서버에서 맵 및 펌웨어 업데이터 등의 업데이트 정보를 제공할 수 있다.

그러나, 이러한 텔레매틱스 유닛은 내부 게이트웨이를 통해 엔진, 브레이크, 램프 및 주행 조작 장치와 같은 ECU 기계적 장치와도 연결되며, CAN(Controller Area Network)와의 연결에 따라 해킹의 위험성에 노출되어 있으며, 원거리에서 차량에 대한 불법적인 제어가 시도될 가능성이 있다.

특히, 엔진 또는 브레이크가 불법적인 해킹에 의해 제어될 경우 차량의 안전 에 심각한 문제를 야기시킬 수 있다.

등록특허공보 제10-1714525호(공고일자: 2017.03.22.)

본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로, 본 발명은 차량의 텔레매틱스 유닛과 외부 통신망을 연결되는 라우터에 침입 탐지 및 차단(IDPS) 시스템을 탑재함으로써, 외부 네트워크로부터 전송되는 패킷들을 분석하고 공격을 차단하는 데 과제가 있다.

전술한 과제를 해결하기 위해, 본 발명의 바람직한 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈은, 외부 시스템과 연결되는 헤드 유닛을 포함하는 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈에 있어서, 정보 통신망과 연결되어 상기 외부 시스템으로부터 패킷을 수신하는 라우터와, 상기 라우터로부터 수신한 패킷을 수집 및 디코딩하고, 미리 저장된 시그니처 정보에 정의된 복수의 패킷유형에 대한 시그니처에 해당하는 패킷을 검출하고, 상기 시그니처에 매칭된 액션을 실행하는 IDPS 엔진을 포함할 수 있다.

또한, 전술한 과제를 해결하기 위한 본 발명의 바람직한 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법은, 외부 게이트웨이를 통해 외부 시스템과 연결되는 헤드 유닛을 포함하는 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법은, 상기 외부 시스템으로부터 패킷을 수신하는 단계와, 수신한 패킷을 수집 및 디코딩하는 단계와, 미리 저장된 복수의 패킷유형에 대한 시그니처가 정의된 시그니처 정보를 참조하여 시그니처에 해당하는 패킷을 검출하고, 상기 시그니처에 매칭된 액션을 실행하는 단계를 포함하고, 상기 시그니처 정보는 파일형태로 저장되며, 복수의 패킷유형에 대한 하나 이상의 시그니처 및 액션이 정의될 수 있다.

본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈은 차량내 외부 게이트웨이에 외부로부터 수신한 패킷을 캡쳐 및 디코딩하고, 패킷 스트림을 분석하여 비정상적인 특성을 검출 및 차단함으로써 외부에서 시도되는 차량 네트워크에 대한 불법적인 해킹을 방지할 수 있는 효과가 있다.

도 1은 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈이 적용된 차량의 네트워크 구조를 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구조를 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 IDPS 엔진의 구조를 나타낸 도면이다.
도 4는 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법을 나타낸 도면이다.

설명에 앞서, 명세서 전체에서 어떤 부분이 어떤 구성요소를 "구비" 또는 "포함" 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한, 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "...부(Unit)", "...모듈(module)", 및 "...시스템(System)" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어, 소프트웨어 또는, 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.

또한, 본 명세서에서 "실시예"라는 용어는 예시, 사례 또는 도해의 역할을 하는 것을 의미하나, 발명의 대상은 그러한 예에 의해 제한되지 않는다. 또한, "포함하는", "구비하는", "갖는" 및 다른 유사한 용어가 사용되고 있으나, 청구범위에서 사용되는 경우 임의의 추가적인 또는 다른 구성요소를 배제하지 않는 개방적인 전환어(Transition word)로서 "포함하는(Comprising)"이라는 용어와 유사한 방식으로 포괄적으로 사용된다.

본 명세서에 설명된 다양한 기법은 하드웨어 또는 소프트웨어와 함께 구현될 수 있거나, 적합한 경우에 이들 모두의 조합과 함께 구현될 수 있다. 본 명세서에 사용된 바와 같은 "...부(Unit)", "...모듈(module)", "...시스템(System)" 등의 용어는 마찬가지로 컴퓨터 관련 엔티티(Entity), 즉 하드웨어, 하드웨어 및 소프트웨어의 조합, 소프트웨어 또는 실행 시의 소프트웨어와 등가로 취급할 수 있다. 또한, 본 발명에서는 서버 또는 단말에서 실행되는 각 기능은 모듈단위로 구성될 수 있고, 하나의 물리적 메모리에 기록되거나, 둘 이상의 메모리 및 기록매체 사이에 분산되어 기록될 수 있다.

이하, 도면을 참조하여 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈 및 이의 구동방법을 설명한다.

도 1은 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈이 적용된 차량의 네트워크 구조를 나타낸 도면이다.

도 1을 참조하면, 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈을 포함하는 차량 네트워크(10)는 텔레매틱스 유닛(21)을 포함하고, 차량에 탑재되는 하나 이상의 전자 제어장치(ECU)의 제어신호를 출력하는 헤드 유닛(20), 차량 제어 네트워크(CAN)를 통해 하나 이상의 전자 제어장치(ECU, 35)와 헤드 유닛(20)을 연결하는 내부 게이트웨이(30), 내부 게이트웨이(30)와 연결되는 외부 게이트웨이(40) 및, 외부 시스템으로부터 수신한 캡쳐 및 디코딩하고, 패킷 스트림을 분석하여 비정상적인 특성을 검출 및 차단하는 IDPS 시스템(100)을 포함할 수 있다.

헤드 유닛(20)은 하나 이상의 전자 장치로 구성될 수 있고, 운전자의 차량의 운전 경로, 현재 위치의 교통 정보 등을 제공하는 내비게이션 장치, 차량의 운행 상황, 주차 상황에 관련된 사항을 실시간 모니터링 및 저장하는 블랙박스 장치 및 차량의 전후좌우를 촬영하고, 이를 영상으로 표시하는 차량용 어라운드 뷰 장치 등을 포함할 수 있다.

또한, 헤드 유닛(20)은 텔레매틱스 유닛(Telematics Unit) 뿐만 아니라, AVN(Audio Video Navigation) 기능이 탑재될 수 있다.

이러한 헤드 유닛(20)은 전술한 전자 장치의 기능을 구현하기 위해 후술하는 내부 게이트웨이(30)를 통해 ECU(35)와 통신할 수 있고, 외부 게이트웨이(40)를 통해 외부 시스템과도 통신할 수 있다.

내부 게이트웨이(30)는 차량내 장착된 ECU(35) 사이의 통신 시 라우팅 기능을 제공할 수 있고, 내부 게이트웨이(30)에 연결된 다양한 도메인의 네트워크들로 구성될 수 있다. 각각의 네트워크 또는 도메인은 적어도 하나의 제어기를 포함하여 구성될 수 있다. 일 예로, 도메인은 바디 도메인(Body Domain), 샤시 도메인(Chassis Domain), 운전자 지원 시스템 도메인(Driver Assistance System Domain), 파워 트레인 도메인(Power Train Doamin), 서라운드 뷰 도메인(Surround View Domain), 헤드 유닛 도메인(Head Unit Domain) 등을 포함할 수 있으며, 차량 제조사 및 차종에 따라 해당 도메인의 이름 및 종류가 상이할 수 있다.

또한, 내부 게이트웨이(30)와 네트워크 사이의 통신 방식은 도메인 별로 상이할 수도 있으며, 복수의 게이트웨이가 이용될 수 있다. 일 예로서, 내부 게이트웨이(30)는 CAN(Controller Area Network) 버스를 통한 통신 이외이도, LIN(Local Interconnect Network) 통신, FlexRay 통신, 이더넷(Ethernet) 통신 등을 포함할 수 있다.

외부 게이트웨이(40)는 다양한 프로토콜을 통해 정보 통신망을 통해 접속 시도하는 외부 시스템과 헤드 유닛을 연결할 수 있고, CAN과 연결되는 내부 게이트웨이(30)와 연결될 수 있다.

IDPS 시스템(100)은 본 발명의 실시예에 따른 침입 탐지 및 차단 시스템(Intrusion Detection and Prevention System)으로서, 정보통신망을 통해 외부 시스템으로부터 수신되는 통신 패킷(packet)을 수집하고, 이를 분석하여 분석결과에 따라 패킷을 헤드 유닛(20) 또는 텔레매틱스 유닛(21)에 전송하거나, 통신포트를 차단하게 된다.

이를 위해, IDPS 시스템(100)은 소정의 라우터를 포함할 수 있고, 이러한 라우터는 블루투스 통신 기능, 와이파이 통신 기능, 지그비(Zigbee) 통신 기능, UWB(Ultra Wideband) 통신 기능, RFID(Radio Frequency Identification) 통신 기능 등을 포함할 수 있다.

또한, IDPS 시스템(100)은 이동 통신 프로토콜로서, 3GPP(3rd Generation Partnership Project), 3GPP2 표준에 정의된 WCDMA(Wideband Code Division Multiple Access), HSDPA/HSUPA(High Speed Downlink/Uplink Packet Access), LTE(Long Term Evolution), LTE-Advanced, CDMA2000, WAVE(Wireless Access for the Vehicular) 중 적어도 하나를 통해 외부 시스템과 통신할 수 있다.

이러한 IDPS 시스템(100)은 하나 이상의 프로그램 모듈로 구성되는 IDPS 엔진을 포함할 수 있고, IDPS 엔진은 수집된 패킷을 저장된 공격 패킷에 대응하는 시그니처(signature)가 정의된 룰(rule) 정보에 비교하여 해당 패킷의 정상여부를 판단하며, 시그니처에 매칭되는 액션을 실행하게 된다.

전술한 시그니처는 패킷의 길이, 옵션정보 및 패킷 단편화 정보 중, 어느 하나의 비정상 여부, 또는 패킷에 의한 대용량 트래픽 유발여부에 따라 정의되며, 해당 패킷의 정상 또는 비정상을 판단하는 기준이 되며, 이러한 시그니처가 정의된 룰 정보는 IPDS 시스템(100)에 파일형태로 저장될 수 있다.

여기서, 패킷의 길이는 패킷에 포함된 헤더의 길이에 의해 판단될 수 있고, 패킷의 옵션정보는 IP 버전 등에 기초하여 판단될 수 있다.

전술한 구조에 따라, 본 발명의 실시예에 따른 IDPS 시스템이 적용된 차량은 외부 게이트웨이를 통해 헤드 유닛 및 텔레매틱스 유닛으로의 침입 시도를 차단할 수 있다.

이하, 도면을 참조하여 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈을 설명한다.

도 2는 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구조를 나타낸 도면이다.

도 2를 참조하면, 본 발명의 IDPS 시스템(100)은 외부 시스템과 연결되는 헤드 유닛을 포함하는 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈에 있어서, 정보 통신망과 연결되어 상기 외부 시스템으로부터 패킷을 수신하는 라우터(110) 및, 라우터(110)로부터 수신한 패킷을 수집 및 디코딩하고, 미리 저장된 룰 정보에 정의된 복수의 패킷유형에 대한 시그니처에 해당하는 패킷을 검출하고, 상기 시그니처에 매칭된 액션을 실행하는 IDPS 엔진(130)을 포함할 수 있다.

라우터(110)는 정보통신망과 연결되어 외부 시스템과 연결되며, 할당된 경로에 따라 다수의 패킷을 수신할 수 있다. 라우터(110)는 IDPS 엔진(130)과 패킷을 송수신하는 구조로 구성될 수 있다. 즉, IDPS 시스템(100)은 라우터(110)와 외부 게이트웨이(40) 사이에 탑재될 수 있다.

또한, IDPS 시스템(100)은 비정상 패킷을 판별하기 위한 룰 정보를 이용할 수 있다. 룰(rule)은 패킷의 형태에 따른 시그니처 및 액션을 정의하는 것으로, IDPS 엔진(130)은 룰에 따라 수집된 패킷이 일반적인 정상 통신 패킷인지, 아니면 공격에 해당하는 비정상 패킷인지 판단하게 된다. 시스템 설정자는 미리 공격에 해당하는 패킷의 형태를 시그니처로 지정할 수 있고, 공격 시그니처에 해당하는 패킷에 대하여 패킷 및 해당 통신 포트를 차단하는 등의 액션을 지정하여 룰 정보를 설정할 수 있다.

IDPS 엔진(130)은 라우터(110)로부터 수신한 패킷들을 수집하고, 파일형태의 시그니처를 참조하여 룰 정보에 따라 트래픽을 허용 또는 차단할 수 있다. 이러한 IDPS 엔진(130)은 하나 이상의 프로그램 모듈로 구성될 수 있고, 보다 정확한 침입 탐지를 위한 디코딩 및 TCP 스트림 재조합 등의 과정을 거쳐 비정상 패킷의 검출을 수행할 수 있다. 이러한 IDPS 엔진(130)에 대한 상세한 구조를 후술하도록 한다.

또한, 본 발명의 IDPS 시스템(100)은 외부 게이트웨이(40)와 연결되어 정상으로 판단된 패킷을 전송하기 위한 커넥터(140)를 더 포함할 수 있다.

전술한 구조에 따라, 본 발명의 실시예에 따른 IDPS 시스템은 외부 시스템으로부터 통신 패킷을 수신하고, IDPS 엔진 및 룰 정보를 통해 패킷을 수집 및 분석하여 그 결과에 따라 칩입을 탐지하고 차단할 수 있다.

이하, 도면을 참조하여 본 발명의 실시예에 따른 IDPS 엔진의 구조를 설명한다.

도 3은 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 IDPS 엔진의 구조를 나타낸 도면이다.

도 3을 참조하면, 본 발명의 실시예에 따른 IDPS 엔진(130)은 복수의 프로그램 모듈로서, 크게 분석대상인 패킷을 전처리하는 제1 모듈(131) 및, 제1 모듈(131)에 의해 준비된 패킷을 분석하고, 분석결과를 출력하는 제2 모듈(135)로 분류할 수 있다.

제1 모듈(131)은 수신한 패킷(packet)을 수집 및 디코딩 하는 전처리(preprocessing) 과정을 처리할 수 있다.

이러한 제1 모듈(131)은 상기 라우터로부터 수신한 하나 이상의 패킷을 수집하는 캡쳐 모듈(1311) 및 수집된 패킷을 식별가능한 형태로 변환하는 디코딩 모듈(1312)을 포함할 수 있다.

캡쳐 모듈(1311)은 라우터에 의해 수신되고, 경로가 지정된 패킷들을 IDPS 엔진에 의해 분석할 수 있도록 캡쳐 즉, 수집할 수 있다.

디코딩 모듈(1312)은 수집된 패킷이 변조된 비정상 패킷인 경우 표준화된 형식이 아님에 따라, 그 자체로 분석을 수행할 경우 정확도가 낮아질 수 있으므로, 전처리 과정으로서, 디코딩 모듈(1312)은 패킷의 문자열을 IDPS 엔진(130)이 식별할 수 있는 형태로 변환하는 기능을 수행할 수 있다.

제2 모듈(135)은 전처리된 패킷을 TCP 스트림으로 재조합하고, 룰에 대응하여 패킷의 정상여부를 판단할 수 있다.

이러한 제2 모듈(135)은 각 패킷을 TCP 프로토콜 형태로 재조합하는 스트림 모듈(1351), 재조합된 패킷을 설정된 룰에 따라 분석하여 상기 시그니처에 대응하는 패킷을 검출하는 검출 모듈(1352) 및, 패킷 검출결과를 출력하되, 시그니처에 대응하는 패킷의 존재시 해당 시그니처에 매칭된 액션을 실행하는 출력 모듈(1355)을 포함할 수 있다.

스트림 모듈(1351)은 IDPS 엔진(130)의 비정상 패킷의 탐지율을 높이기 위해, 패킷들을 TCP 스트림으로 재조합할 수 있다.

검출 모듈(1352)은 재조합된 TCP 스트림을 미리 저장된 룰 정보에 기초하여 패킷의 정상 및 비정상 여부를 판별할 수 있다. 룰 정보에는 패킷형태에 따른 시그니처 및 액션이 정의되어 있으며, 검출 모듈(1352)은 현재 패킷이 비정상 패킷의 시그니처에 해당되는지 판단하고, 대응되는 경우 그 시그니처에 매칭되는 액션을 추출할 수 있다.

출력 모듈(1355)은 정상 또는 비정상으로 판단된 패킷에 대하여 그 시그니처에 매칭되는 액션, 즉, 정상 패킷일 경우 허용됨에 따라 헤드 유닛 또는 텔레매틱스 유닛으로 전송(output)할 수 있고, 비정상 패킷일 경우 패킷을 폐기하거나, 그 통신 포트를 차단할 수 있다.

또한, 본 발명의 IDPS 엔진(130)은 패킷을 스레드(Thread) 단위로 처리될 수 있고, 스레드는 복수개가 존재할 수 있으며, 하나의 스레드는 전술한 제1 모듈(131) 및 제2 모듈(135)이 세분화된 캡처 모듈(1311), 디코딩 모듈(1312), 스트림 모듈(1351), 검출모듈(1353) 및 출력모듈(1355)을 통해 순차적으로 처리될 수 있음에 따라, IDPS 엔진(130)은 CPU에 의해 각 모듈마다 멀티 스레드(Multi-thread) 방식으로 처리될 수 있다.

여기서, 각 스레드는 IDPS 엔진(130)의 헤더 파일에 정의되는 플래그(flag)에 의해 작업 유형이 구분되며, 스레드내 포함된 플래그값에 의해 식별될 수 있다.

또한, 패킷은 큐(queue)에 저장되어 각 모듈을 순차적으로 거쳐 처리될 수 있고, 한번에 하나의 스레드에 의해 처리될 수 있다.

이하, 도면을 참조하여 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법을 설명한다. 이하의 설명에서 각 단계별 실행 주체는 별도의 기재가 없다 하더라도 전술한 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈 및 이에 포함되는 IDPS 엔진을 이루는 프로그램 모듈이 된다.

도 4는 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법을 나타낸 도면이다.

도 4를 참조하면, 본 발명의 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법은 외부 시스템과 연결되는 헤드 유닛을 포함하는 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법에 있어서, 외부 시스템으로부터 패킷을 수신하는 단계(S100), 수신한 패킷을 수집 및 디코딩하는 단계(S110) 및, 미리 저장된 복수의 패킷유형에 대한 시그니처가 정의된 룰 정보를 참조하여 시그니처에 해당하는 패킷을 검출하고, 시그니처에 매칭된 액션을 실행하는 단계(S120)를 포함할 수 있다.

여기서, 룰 정보는 복수의 패킷유형에 대한 하나 이상의 시그니처 및 액션이 정의될 수 있다.

상세하게는, 외부 시스템으로부터 패킷을 수신하는 단계(S100)는 본 발명의 IDPS 시스템의 라우터가 정보통신망을 통해 외부 시스템으로부터 소정의 통신 패킷을 수신하는 단계이다. S100 단계에서 수신하는 통신은 정상 또는 비정상 패킷 여부가 결정되지 않은 것으로, IDPS 시스템은 외부와 통신시 수신하는 모든 패킷을 수집하여 미리 정의된 시그니처와 대조할 수 있다.

다음으로, 수신한 패킷을 수집 및 디코딩하는 단계(S110)는 IDPS 시스템의 IDPS 엔진의 제1 모듈이 수신한 모든 패킷을 캡쳐, 즉 수집하고 그 패킷들을 디코딩하는 전처리 단계이다. 구체적으로, 캡쳐 모듈이 수신한 하나 이상의 패킷을 수집하는 단계와, 디코딩 모듈이 수집된 패킷을 식별 가능한 형태로 패킷의 문자열을 변환하는 단계를 포함할 수 있다.

이어서, 룰 정보를 참조하여 시그니처에 해당하는 패킷을 검출하고, 시그니처에 매칭된 액션을 실행하는 단계(S120)는 IDPS 엔진의 제2 모듈이 전처리된 패킷을 TCP 스트림으로 재조합하고, 룰 정보에 대응하여 정상 및 비정상 패킷을 판별하여 해당 시그니처에 매칭된 액션을 실행하는 단계이다.

구체적으로, 룰 정보는 패킷의 길이, 옵션정보 및 패킷 단편화 정보 중, 어느 하나의 비정상 여부, 또는 패킷에 의한 대용량 트래픽 유발여부를 판단하는 기준을 제공하는 것으로, 패킷의 각 형태에 따라 시그니처와, 시그니처에 따른 패킷 허용, 차단, 통신 포트 차단 등의 액션이 정의될 수 있다.

S120 단계에서는 스트림 모듈이 각 패킷을 TCP 프로토콜 형태로 재조합하여 검출 모듈에 의한 비정상 패킷의 탐지율이 향상되도록 하는 단계와, 검출 모듈이 재조합된 패킷을 설정된 룰에 따라 분석하여 시그니처에 대응하는 패킷을 검출하는 단계와, 출력 모듈이 패킷 검출결과를 출력하되, 시그니처에 대응하는 패킷의 존재시 해당 시그니처에 매칭된 액션을 실행함으로써, 정상 패킷을 허용하여 헤드 유닛으로 전송되도록 하고, 비정상 패킷 및 그 패킷이 수신된 통신 포트를 차단하는 단계를 포함할 수 있다.

전술한 단계에 따라, 본 발명의 실시예에 따른 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법에 의하면, 차량 네트워크로 접속 시도하는 외부 시스템에 대하여 패킷 수집, 디코딩, 스트림 변환, 검출 및 출력 과정을 통해 불법 침입 여부를 판별하고 차단 등의 액션을 취할 수 있다.

상기한 설명에 많은 사항이 구체적으로 기재되어 있으나 이것은 발명의 범위를 한정하는 것이라기보다 바람직한 실시예의 예시로서 해석되어야 한다. 따라서, 발명은 설명된 실시예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위에 균등한 것에 의하여 정하여져야 한다.

10 : 차량 네트워크 20 : 헤드 유닛
21 : 텔레매틱스 유닛 30 : 내부 게이트웨이
35 : 전자 제어장치(ECU) 40 : 외부 게이트웨이
100 : IDPS 시스템 110 : 라우터
130 : IDPS 시스템 140 : 커넥터

Claims (9)

1. 외부 시스템과 연결되는 헤드 유닛을 포함하는 지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈에 있어서,
   정보 통신망 및 외부 게이트웨이 사이에 연결되어 상기 외부 시스템으로부터 패킷을 수신하는 라우터; 및
   상기 라우터로부터 수신한 패킷을 수집 및 디코딩하고, 미리 저장된 룰 정보에 정의된 복수의 공격 패킷유형에 대한 시그니처에 대응하는 비정상 패킷을 검출하고, 상기 시그니처에 매칭된 액션을 실행하는 IDPS 엔진; 및
   정상으로 판단된 패킷을 상기 외부 게이트웨이로 전송하는 커넥터를 포함하고,
   상기 IDPS 엔진은,
   상기 라우터로부터 수신한 하나 이상의 패킷을 수집하는 캡쳐 모듈;
   수집된 패킷의 문자열을 식별 가능한 형태로 변환하는 디코딩 모듈;
   각 패킷을 TCP 프로토콜 형태로 재조합하여 비정상 패킷의 탐지율을 높이는 스트림 모듈;
   재조합된 패킷과 저장된 룰 정보에 따라 분석하여 상기 시그니처에 대응하는 비정상 패킷을 검출하는 검출 모듈; 및
   패킷 검출결과를 출력하되, 상기 시그니처에 대응하는 비정상 패킷의 존재시 해당 시그니처에 매칭된 액션을 실행하는 출력 모듈을 포함하고,
   상기 IDPS 엔진은, 패킷을 스레드 단위로 처리하되, 상기 캡쳐 모듈, 디코딩 모듈, 스트림 모듈, 검출 모듈, 및 출력 모듈을 통해 순차적으로 패킷을 처리하여 각 모듈마다 멀티 스레드 방식으로 패킷을 처리하도록 하고,
   상기 스레드는 IDPS 엔진의 헤더 파일에 정의되는 플래그에 의해 작업 유형이 구분되고,
   상기 룰 정보는,
   파일형태로 저장되며, 복수의 패킷 유형에 대한 하나 이상의 시그니처 및 액션이 정의되되, 패킷의 길이, 옵션정보 및 패킷 단편화 정보 중 어느 하나의 비정상 여부, 또는 패킷에 의한 대용량 트래픽 유발여부를 판단하는 기준이 정의되고,
   상기 액션은,
   비정상 패킷의 경우 패킷을 폐기 또는 통신 포트를 차단하는 것인
   지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈.
2. 삭제
3. 삭제
4. 삭제
5. 삭제
6. 외부 시스템과 연결되는 헤드 유닛을 포함하는 지능형 자동차 보안을 위한 IDPS 엔진을 탑재한 전용 IDPS 어플라이언스 모듈의 구동방법에 있어서,
   (a) 정보 통신망 및 외부 게이트웨이 사이에 연결되어, 상기 외부 시스템으로부터 패킷을 수신하는 단계;
   (b) 수신한 패킷을 수집 및 식별 가능한 형태로 디코딩하는 단계;
   (c) 미리 저장된 복수의 공격 패킷 유형에 대한 시그니처 및 액션이 정의된 룰 정보를 참조하여 시그니처에 대응하는 비정상 패킷을 검출하고, 상기 시그니처에 매칭된 액션을 실행하는 단계; 및
   (d) 정상으로 판단된 패킷을 상기 외부 게이트웨이로 전송하는 단계를 포함하고,
   상기 (c) 단계는,
   (c1) 라우터로부터 수신한 하나 이상의 패킷을 수집하는 단계;
   (c2) 수집된 패킷의 문자열을 식별 가능한 형태로 변환하는 단계;
   (c3) 각 패킷을 TCP 프로토콜 형태로 재조합하여 비정상 패킷의 탐지율을 높이는 단계;
   (c4) 재조합된 패킷을 저장된 룰 정보에 따라 분석하여 상기 시그니처에 대응하는 비정상 패킷을 검출하는 단계; 및
   (c5) 패킷 검출결과를 출력하되, 상기 시그니처에 대응하는 비정상 패킷의 존재시 해당 시그니처에 매칭된 액션을 실행하는 단계를 포함하되,
   상기 (c) 단계는, 패킷을 스레드 단위로 처리하되, 상기 (c1) 내지 (c5) 단계를 통해 순차적으로 패킷을 처리하여 멀티 스레드 방식으로 패킷을 처리하도록 하고,
   상기 스레드는 IDPS 엔진의 헤더 파일에 정의되는 플래그에 의해 작업 유형이 구분되고,
   상기 룰 정보는,
   파일형태로 저장되며, 복수의 패킷 유형에 대한 하나 이상의 시그니처 및 액션이 정의되되, 패킷의 길이, 옵션정보 및 패킷 단편화 정보 중, 어느 하나의 비정상 여부, 또는 패킷에 의한 대용량 트래픽 유발여부를 판단하는 기준이 정의되고,
   상기 액션은,
   비정상 패킷의 경우 패킷을 폐기 또는 통신 포트를 차단하는 것인
   지능형 자동차 보안을 위한 전용 IDPS 어플라이언스 모듈의 구동방법.
7. 삭제
8. 삭제
9. 삭제

Images