KR102264442B1 - 차량 침입 탐지를 위한 지문 인식 전자 제어 장치 - Google Patents

Abstract

차량 네트워크에서 사용할 수 있는 변칙-기반 침입 탐지 시스템이 개시된다. 침입 탐지 시스템은 전자 제어 장치의 지문 인식을 위해서 차량 내부의 메시지에 대한 주기 간격을 측정해서 이를 활용한다. 그런 다음, 지문 인식은 클럭 동작의 기준값을 구성하는 데 사용하는데, 예를 들어, 재귀적 최소 자승 알고리즘을 이용한다. 이러한 기준값을 기반으로, 침입 탐지 시스템은 누적 합산법을 이용하여 식별 오차의 비정상적인 이동을 탐지하는데, 이는 침입에 대한 확실한 신호가 된다. 본 방법은 양성 오류 비율이 낮으며 차량 내부의 네트워크 침입을 신속하게 식별할 수 있다.

Description

차량 침입 탐지를 위한 지문 인식 전자 제어 장치

본 출원은 2017년 3월 29일자로 출원된 미국 실용특허 출원 제15/472,861호의 우선권을 주장하며, 2016년 4월 1일자로 출원된 미국의 가출원 제62/316,932호에 대한 효력을 주장한다. 상기 모든 출원에 포함된 전체 개시 내용은 본 출원에 참고 내용으로 원용된다.

본 개시는 차량 침입 탐지를 위한 지문 인식 전자 제어 장치에 관한 것이다.

차량에 대한 새로운 형태의 보안 침입으로 인해, 차량의 보안은 현재 심각하고 현실적인 관심사가 되고 있다. 연구원들은 차량에 대한 다양한 공격 경로 (예를 들어, 블루투스, 셀룰러, 패스쓰루(PassThru))를 체계적으로 분석하였으며, 차량 내의 전자 제어 장치 (Electronic Control Units; ECUs)가 원격 공격에 의해 손상될 수 있다는 사실을 보여주었다. 침입자들은 손상된 ECU를 통해 차량 내부의 네트워크에 패킷을 주입함으로써, 차량의 동작을 제어할 수 있다. 최근에, 연구원들은 고속도로를 주행하는 지프 체로키 (Jeep Cherokee)를 손상시킴으로써 원격으로 멈출 수 있었고, 이로 인해 140만 대의 차량이 리콜되었다. 차량의 침입에 대한 이러한 현실은 차량 보안을 가장 중요한 문제 중 하나로 만들었다.

차량 내의 네트워크에 대한 이러한 공격에 대처하는 방법으로서, 메시지 인증 및 침입 탐지의 두 가지 주요한 방어 방법이 제안되었다. 메시지 인증은 인터넷 보안의 효율성과 실현 가능성에도 불구하고 일정한 수준의 보안을 제공하지만, 차량 내의 메시지에 메시지 인증 코드 (Message Authentication Code; MAC)를 추가할 수 있는 공간의 제약과, 실시간 처리 및 통신의 요구 사항으로 인해 이를 채택하기 어려운 점이 있다.

또한, 다양한 유형의 침입 탐지 시스템 (Intrusion Detection Systems; IDS)이 제안되었다. 종래(state-of-the-art) IDS의 핵심은 차량 내의 메시지에 대한 내용과 주기를 모니터링하고, 그 내부에 중요한 변경 사항이 있는지를 확인하는 것이다. 차량 내의 네트워크에는 일정하거나 예측 가능한 부분이 있기 때문에, 이러한 접근법은 대부분의 상황에서 적용될 수 있다. 그럼에도 불구하고, 기존의 IDS가 탐지하거나 예방할 수 없는 치명적인 공격이 여전히 남아있는데, 주요한 두 가지 이유는 1) 차량 내의 메시지에는 송신기에 대한 정보가 누락되어 있기 때문에, 이들이 정상적인(genuine) 송신기에서 송신되었는지를 인식할 수 없고, 2) 송신기의 정보가 부족하기 때문에, 종래의 IDS는 어떤 ECU가 공격을 당했는지를 식별하기가 매우 어렵거나 불가능하다.

이러한 제한을 극복하고, 차량에 대한 다양한 공격을 방어하기 위해서, 본 개시는 클럭-기반 IDS (Clock-based IDS; CIDS)라고 불리는 새로운 변칙-기반 IDS(anomaly-based IDS)를 제안한다. 차량에 대한 CIDS의 필요성은 차량 내의 네트워크에 대한 3가지 대표적인 공격, 즉 위조(fabrication), 수정(modification) 및 위장(masquerade) 공격에 대한 분석을 통해 착안하게 되었다. 분석 결과에 따르면, 종래의 IDS는 메시지 내에 송신기에 대한 정보가 부족하기 때문에, 특히 위장 공격을 탐지하는데 충분하지 않다는 것을 보여준다. 제안된 CIDS 방법은 차량 내의 ECUs 에서의 지문 인식을 통해 기존 IDS의 한계를 극복한다.

여기에서는 본 개시와 관련된 배경 기술을 제공하는데, 이는 반드시 종래 기술에 해당하는 것은 아니다.

차량 네트워크에 대한 침입을 탐지하는 방법이 제공된다. 복수의 메시지가 송신 ECU로부터 수신 ECU에 의해 수신되고, 여기에서 복수의 메시지는 차량 네트워크를 통해 송신 ECU로부터 수신 ECU로 주기적으로 송신되고, 복수의 메시지는 송신 ECU로부터의 어떠한 타임 스탬프(timestamp) 정보도 포함하지 않는다. 상기 방법은, 상기 복수의 메시지들로부터 상기 송신 ECU에 대한 클럭 왜곡(clock skew)을 결정하는 단계; 상기 송신 ECU의 클럭 왜곡과 송신 ECU의 클럭 왜곡에 대한 기준값을 비교함으로써 상기 송신 ECU에 대한 클럭 왜곡의 갑작스러운 변화를 검출하는 단계; 및 상기 송신 ECU에 대한 클럭 왜곡의 갑작스러운 변화를 검출하는 것에 대응하여 손상된 송신 ECU를 식별하는 단계를 포함한다.

삭제

일 실시예에서, 상기 클럭 왜곡을 결정하는 단계는 복수의 메시지 내에서 각 메시지에 대한 클럭 오프셋(clock offset)을 결정하는 단계, 여기에서 클럭 오프셋은 상기 복수의 메시지 중에서 수신된 제 1 메시지에 관해서 결정이 이루어지고; 상기 결정이 이루어진 클럭 오프셋을 모두 합산함으로써 상기 복수의 메시지에 대한 누적 클럭 오프셋을 결정하는 단계; 및 상기 누적 클럭 오프셋의 기울기를 결정하는 단계를 통해 결정된다.

상기 송신 ECU의 클럭 왜곡에 대한 기준값은 상기 송신 ECU로부터 송신되며, 상기 복수의 메시지를 수신하기 전에 상기 수신 ECU에 의해 수신되는 부가적인 메시지로부터 결정될 수 있다. 상기 클럭 왜곡에 대한 기준값은 선형 회귀 분석을 이용하여 결정될 수 있다.

일부 실시예에서, 상기 클럭 왜곡의 갑작스러운 변화는 누적 합산 방법을 이용하여 결정될 수 있다.

상기 클럭 왜곡의 갑작스러운 변화를 검출하는데 있어서, 상기 송신 ECU를 차단하는 방법을 포함하되, 이에 한정되지 않는 서로 다른 보호 동작이 구현될 수 있다.

또 다른 측면에서, 차량 네트워크에서 손상된 전자 제어 장치를 탐지하는 방법은, 복수의 메시지에서 각 메시지에 대한 클럭 오프셋을 결정하는 단계, 여기에서, 클럭 오프셋은 상기 복수의 메시지 중에서 수신된 제 1 메시지에 관하여 결정이 이루어지고; 상기 결정이 이루어진 클럭 오프셋들을 모두 합산함으로써 상기 복수의 메시지에 대한 누적 클럭 오프셋을 결정하는 단계; 상기 누적 클럭 오프셋과 기준 클럭 오프셋 사이의 차이를 계산하는 단계; 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 차이에 존재하는 갑작스러운 변화를 검출하는 단계; 및 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 차이에 존재하는 갑작스러운 변화를 검출하는데 대응하여 손상된 송신 ECU를 식별하는 단계를 더 포함한다.

클럭 오프셋은 특정 메시지에 대한 예상 도달 시간과 상기 특정 메시지에 대한 실제 도달 시간 사이의 차이를 계산함으로써 결정될 수 있다. 상기 기준 클럭 오프셋은, 예를 들어 재귀적 최소 제곱 방법 (recursive least squares method)을 사용함으로써, 상기 복수의 메시지를 수신하기 이전에, 상기 송신 ECU로부터 상기 수신 ECU에 의해 수신된 메시지에서 부분적으로 얻어질 수 있다. 재귀적 최소 제곱 방법에 의해서, 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 식별 오차가 계산되고, 상기 기준 클럭 오프셋은 상기 식별 오차의 함수로 업데이트되는데, 여기에서 상기 식별 오차는 상기 누적 클럭 오프셋, 및 상기 기준 클럭 오프셋과 상기 복수의 메시지가 송신된 경과 시간의 곱의 차이에 해당한다.

일부 실시예에서, 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 갑작스러운 변화는 누적 합산 방법을 이용하여 검출된다. 특히, 상기 식별 오차의 한계는 상기 식별 오차, 및 상기 식별 오차의 평균을 상기 식별 오차의 분산으로 나눈 값에 대한 차이의 함수로서 계산된다.

또 다른 측면에서, 지속적인(non-transitory) 컴퓨터 저장 매체는 차량 네트워크 내의 수신 전자 제어 장치 (ECU)와 관련되며, 그 내부에 명령어들을 저장한다. 프로세서에 의해 실행이 이루어지는 경우, 이들 명령어들은 송신 ECU로부터 복수의 메시지를 수신하는 단계; 상기 복수의 메시지에서 각 메시지에 대한 클럭 오프셋을 결정하는 단계, 여기에서, 상기 클럭 오프셋은 상기 복수의 메시지 중에서 수신된 제 1 메시지에 관하여 결정이 이루어지고; 상기 결정이 이루어진 클럭 오프셋들을 모두 합산함으로써 상기 복수의 메시지에 대한 누적 클럭 오프셋을 결정하는 단계; 상기 누적 클럭 오프셋과 기준 클럭 오프셋 사이의 차이를 계산하는 단계; 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 차이에 존재하는 갑작스러운 변화를 검출하는 단계; 및 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 차이에 존재하는 갑작스러운 변화를 검출하는데 대응하여 손상된 송신 ECU를 식별하는 단계를 더 포함한다

적용 가능한 또 다른 영역은 여기에서 제시된 설명으로부터 명백해질 것이다. 본 요약의 설명 및 특정한 예시는 단지 설명의 목적을 위한 것이며, 본 개시의 범위를 제한하고자 하는 것이 아니다.

여기에 기술된 도면은 단지 선택된 실시예를 예시하기 위한 목적이며, 모든 가능한 실시예를 위한 것이 아니며 본 개시의 범위를 제한하고자 하는 것이 아니다.
도 1은 CAN 데이터 프레임의 포맷을 예시로 나타낸 것이다.
도 2는 차량 내부의 네트워크에 대한 여러 가지 침입자를 나타내는 도면이다.
도 3a는 위조 공격을 보여주는 도면이다.
도 3b는 수정 공격을 보여주는 도면이다.
도 3c는 위장 공격을 보여주는 도면이다.
도 4는 차량 네트워크에 도달한 메시지에 대한 시간 분석을 보여주는 도면이다.
도 5는 차량 네트워크 내의 다른 ECU를 통해 손상된 ECU를 검출하는 방법을 나타내는 흐름도이다.
도 6a 및 도 6b는 CAN 버스 프로토타입에서 CIDS에 의해 추출된 누적 클럭 오프셋과 왜곡을 각각 보여주는 그래프이다.
도 6c 및 6d는 실제 차량에서 CIDS에 의해 추출된 누적 클럭 오프셋과 왜곡을 각각 보여주는 그래프이다.
도 7a 내지 7d는 CAN 버스 프로토타입에서 위조 공격을 시뮬레이션 하는 과정에서, CIDS에서 출력되는 누적 클럭 오프셋, 식별 오차, 및 제어 한계를 각각 보여주는 그래프이다.
도 7e 내지 7h는 실제 차량에서 위조 공격을 시뮬레이션 하는 과정에서, CIDS에서 출력되는 누적 클럭 오프셋, 식별 오차, 및 제어 한계를 각각 보여주는 그래프이다.
도 8a 내지 8c는 CAN 버스 프로토타입에서 위장 공격을 시뮬레이션 하는 과정에서, CIDS에서 출력되는 메시지 간격의 확률 질량 함수, 누적 클럭 오프셋의 변화, 및 제어 한계를 각각 보여주는 그래프이다.
도 8d 내지 8f는 실제 차량에서 위장 공격을 시뮬레이션 하는 과정에서, CIDS에서 출력되는 메시지 간격의 확률 질량 함수, 누적 클럭 오프셋의 변화, 및 제어 한계를 각각 보여주는 그래프이다.
도 9a 및 9b는 상관성이 있는 클럭 오프셋과 상관성이 없는 클럭 오프셋을 각각 보여주는 도면이다.
도 10a 내지 10c는 메시지-쌍의 검출을 통해, 최악의 위장 공격에 대한 누적 클럭 오프셋과 제어 한계를 각각 보여주는 그래프이다.
도 11은 실제 차량을 대상으로 CIDS의 ROC 커브를 보여주는 그래프이다.
대응되는 참조용 식별번호는 도면의 여러 측면에서 대응되는 부분을 나타낸다.

이하, 첨부된 도면을 참조하여, 예시적인 실시예를 보다 자세히 설명하기로 한다.

CAN은 차량 내의 통신에 가장 널리 사용되는 프로토콜로서, 다중 마스터, 메시지 방송 버스 시스템을 통해 ECU/노드들을 상호 연결한다. 데이터의 일관성을 유지하고 제어 결정을 내리기 위해서, 데이터는 CAN 프레임을 통해 ECUs 사이에서 상호 교환이 이루어지며, 그 포맷은 도 1에 도시된 바와 같다. CAN 프레임에는 ID, DLC (Data Length Code), 데이터 및 CRC와 같은 영역이 포함된다. CAN은 송신기/수신기의 주소를 포함하는 대신에 메시지-지향적이기 때문에, CAN 프레임은 우선 순위와 의미를 나타내는 고유 ID를 포함한다. 예를 들어, ID=0x20인 프레임은 바퀴의 속도 값을 포함할 수 있지만, ID=0x55인 프레임은 온도 값을 포함할 수 있다. 본 개시를 통해 CAN에 대해 언급하는 과정에서, 본 개시의 보다 넓은 측면에서 다른 유형의 차량 내 통신 프로토콜에도 적용될 수 있음을 쉽게 이해할 수 있을 것이다.

일단 CAN 버스가 유휴 상태로 검출되면, 버퍼링된 메시지를 전송하는 노드는 상기 버스에 접근하고자 한다. 다수의 노드가 상기 버스에 동시에 접근하려고 시도할 수 있는데, 다시 말해서, 버스에 접근하기 위한 경합이 발생한다. 이러한 경합은 다음과 같이 버스의 조정을 통해 해결된다. 우선, 각 노드는 CAN 프레임의 ID 값을 최상위 비트에서부터 시작해서 한 번에 한 비트씩 전송한다. CAN은 논리적으로 유선으로 연결된 AND 게이트와 같이 동작하도록 설계 되었기 때문에, 일부의 경합 노드는 1을 전송하였지만 버스에서 0이 출력되는 것을 인식하게 된다. 이러한 노드는 버스 경합에서 이탈하여 수신 모드로 전환된다. 결과적으로, 경합 노드들 중에서 가장 낮은 ID 값을 가지는 메시지를 전송한 ECU가 조정에서 승리하고, 메시지 송신을 위한 독점적인 접근 권한을 취득한다. 조정에서 탈락한 노드들은 버스가 다시 유휴 상태가 되면 송신을 재시도하게 된다.

각 ECU는 검색된 센서 데이터를 전달하기 위해서, CAN 버스에 정기적인 (또는 때에 따라서는 간헐적인) 프레임을 전파한다. 적절한 비트의 송신 및 수신을 위해서, CAN 프레임 내의 SOF (Start-of-Frame) 신호 및 비트 스터핑(bit stuffing)을 이용해서, 하드 및 소프트 비트 동기화가 수행된다. 이로 인해, 메시지 교환을 위한 비트 에지가 정렬되지만, 이들은 ECU의 클럭을 동기화하지 않는다. 즉, CAN을 통해 클럭 동기화가 이루어지지는 않는다. 따라서, ECU의 시간 순서는 내부의 쿼츠 크리스탈 클럭(quartz crystal clock)에 의해 정해지는데, 이러한 클럭은 실제로는 상이한 주파수에서 작동하므로 클럭이 무작위로 드리프트되어, 24 시간 동안 2400ms의 드리프트가 가능하게 된다.

3가지 대표적인 공격 시나리오와 함께, 적대세력 모델(adversary model)을 설명하기로 한다. 적대세력은 수많은 공격 대상과 수단을 이용해서, 하나 이상의 차량 내의 ECU를 물리적/원격으로 손상시킬 수 있다. 본 발명자는 안전-필수적(safety-critical) ECU를 조작하고자 하는 적대세력을 고려한다. 임의의 ECU는 적대세력이 그 ECU가 최초로 전송한 ID와 동일한 ID를 가진 메시지를 주입하는 경우에 조작된다고 하며, 이 때의 ID를 조작된 ID라고 한다. 이 때, 적대세력으로부터 전달된 메시지를 공격 메시지라고 한다. ECU는 ECU를 직접 손상시키거나, 다른 ECU를 손상시킨 후에 이를 통해 공격 메시지를 주입함으로써 조작될 수 있습니다. 즉, 조작된 ECU는 손상된 ECU 일 수도 있고, 그렇지 않을 수도 있다. 공격 대상, 네트워크 구조, 및 하드웨어/소프트웨어에 따라, ECU가 손상되는 경우에는 차량마다 취약점의 정도와 공격 대처능력이 달라진다. 강한 공격자와 약한 공격자의 두 가지 유형의 손상된 노드를 고려해 보도록 하자.

약한 공격자는 설치된 악성 소프트웨어의 제어 범위가 제한된 경우에 해당하는 손상된 ECU이다. 손상된 ECU의 제한 사항 (예를 들어, 하드웨어/소프트웨어 규격, 공격 대상)에 의해, 약한 공격자는 RAM 또는 FLASH (예를 들어, 공유 비밀 키)의 데이터에 접근하지 못하고, 위조된 메시지를 주입할 수 없다. 따라서 약한 공격자는 ECU가 특정 메시지를 전송하지 못하도록 하거나, ECU를 수신 전용 모드로만 유지할 수 있다.

또한, 강한 공격자는 노드를 완전히 제어할 뿐만 아니라 메모리 데이터에도 접근할 수 있는 손상된 ECU이다. 따라서, 강한 공격자는 약한 공격자가 행할 수 있는 행위 외에도, 위조/수정된 메시지를 주입함으로써 공격을 수행할 수도 있다. ECU에 보안 메커니즘 (예를 들어, 암호화 메시지 인증)이 내장되어 있더라도, 강한 공격자는 저장된 비밀정보에 접근할 수 있기 때문에, 보안 솔루션을 무력화시키고 위조된 메시지를 주입할 수 있다. 반대로 약한 공격자는 메시지 전송을 중지시키거나 메시지를 수신할 수는 있지만, 새로운 메시지 전송을 개시할 수는 없다.

이러한 두 가지 유형의 공격자가 어떻게 존재하고, 왜 존재할 수 있는지를 이해하기 위해서, 가장 일반적인 CAN 컨트롤러인 마이크로칩 MCP2515를 고려해 보도록 하자. 이러한 컨트롤러가 내장된 ECU의 경우, 사용자는 SPI (Serial Peripheral Interface)를 통해 명령어를 선택함으로써 조작, 정상, 및 수신-전용과 같은 다양한 동작 모드를 선택할 수 있다. 따라서, CAN 컨트롤러를 조작하기 위한 사용자 수준의 기능을 통해 공격자는 다른 모드 (예를 들어, 약한 공격자에 의한 수신-전용 모드)로 쉽게 진입할 수 있다. 반대로, 공격자가 위조된 메시지를 쉽게 주입할 수 있도록 제공된 기능은 없다. 즉, ECU의 하드웨어/소프트웨어의 규격은 손상이 발생되는 경우에, 적대세력을 약한 공격자로 제한하는 것만 가능하다. 강한 공격자가 요구하는 기능 - 예를 들어, 메시지 전송에 대한 모니터, 차단 및 개시 - 은 약한 공격자의 기능을 포함한다. 따라서, 적대세력이 강한 공격자보다 약한 공격자가 되기는 쉬운데, 연구원들이 아니더라도 이러한 강한 공격자를 만드는 방법이 이미 입증된 것은 물론이다.

도 2를 참조해서, ECU의

집합으로 구성된 차량 내의 네트워크를 고려해 보자.

중에서 ECU 의 일부 집합만이 취약하기 때문에, 그에 따라 강한/약한 공격자가 될 수 있는 적대세력에 의해 손상될 수 있다. 약한 공격자에게 취약한 ECU의 집합을

라 하고, 강한 공격자에게 취약한 경우를

라고 하자. 강한 공격자로서 ECU를 손상시키는 것은 약한 공격자로 하는 것보다 어렵기 때문에,

이고,

이 된다. 더욱이, 강한 공격자는 단순히 약한 공격자보다 더 많은 기능을 가진 공격자이기 때문에,

이 된다. 모든 ECU 집합 중에서 안전-필수적 (예를 들어, 브레이크, 조향, 엔진 제어) ECU를

로 정의한다. 이러한 ECU를 손상시키거나 조작한다면, 차량의 동작을 현저하게 저해할 수 있으므로, 적대세력의 주요 공격 대상이 될 수 있다. 그러나, 이들은 안전-필수적 특성으로 인해, 일반적으로 안전-임계적인(on-safety-critical) ECU보다 공격 대상과 취약점이 적다. 따라서, 소수의 ECU 만이 약한 공격자로서 손상될 수 있으며, 강한 공격자로서의 ECU 의 수는 더욱 적어진다.

지금까지 논의된 적대세력 모델에 기초하여, 차량 내의 기능을 심각하게 손상시킬 수 있는 공격만을 고려해 보도록 하자. 약한 공격자만이 시도하는 공격 (예를 들어, 도청)과 같이, 심각하지 않은 공격은 차량 자체에 손해를 끼치지 않기 때문에 고려하지 않기로 한다. 일반적으로, 차량 내의 기능을 손상시킬 수 있는 공격은 위조, 수정 및 위장의 형태를 나타낸다.

강한 공격자로 손상된 차량 내의 ECU를 통해, 적대세력은 위조된 ID, DLC, 및 데이터로 이루어진 메시지를 조작하여 버스에 주입한다. 이러한 공격의 목적은 정상적인/손상없는 안전-필수적 ECU에 의해 전송되는 주기적인 메시지를 무력화시킴으로써, 수신 ECU가 정신을 못 차리도록 하거나 작동 불능이 되도록 하는 것이다. 예를 들어, 도 3a에 도시된 바와 같이, 일반적으로는 정상적인 ECU

에 의해 전송되지만, 강한 공격자

는 ID=0xB0라는 여러 가지 공격 메시지를 높은 주파수로 주입한다. 따라서, 0xB0메시지를 정상적으로 수신한 다른 노드들은 정상적인 메시지 보다 위조된 공격 메시지를 보다 자주 수신하도록 강제되는데, 이로써,

에 의해 전송된 0xB0 메시지는 무력화된다. 이러한 경우를,

의 메시지 0xB0 또는 정상적인 송신기

에 대한 위조 공격이라고 한다. 위 사례에서,

는 손상된 ECU이고,

는 조작된 ECU이며, 0xB0은 조작 된 ID이다. 지프 체로키(Jeep Cherokee)를 정지시키고, 차량 운행을 제어하고, 우선 순위가 가장 높은 메시지를 사용하여 CAN 버스를 독점하는 것과 같이 실증된 공격이 위조 공격의 예에 해당한다.

위조 공격과 마찬가지로, 적대세력은 강한 공격자의 역할을 한다. 일반적으로, ECU는 지정된 DLC에 따라 센서를 판독하고, 전송할 메시지 데이터 필드에 판독된 값을 기록한다. 그러나, 도 3b에 도시된 바와 같이, 타인의 메시지를 무효화시키는 대신에, 적대세력은 메시지를 전송하기 이전에 DLC/데이터 값을 수정한다. 다시 말해서, 적대세력은 20mph 의 속도로 기록되어야 할 메시지 0xB0에 100mph의 속도로 기록한다. 이것은 적대세력이 메시지의 주파수와 출처를 변경하지 않고 메시지에 기록된 값만 수정하는 위조 공격과는 다르다. 위 사례에서, ECU

는 손상되었고 조작되었다. 보고된 바퀴의 속도 센서 판독 값을 공격자의 하드웨어를 통해 변경하는 것이 수정 공격의 예에 해당한다.

위장 공격을 구현하기 위해서, 적대세력은 2개의 ECU를 손상시킬 필요가 있는데, 하나는 강한 공격자이고 다른 하나는 약한 공격자이다. 도 3c는 적대세력이 강한 공격자

와 약한 공격자

를 제어하는 경우의 예를 나타낸다.

시간까지, 적대세력은 약한 공격자가 어떤 주파수로 어떤 메시지를 전송하였는지를 모니터링 해서 파악하는데, 예를 들어,

는 20ms마다 0xB0 메시지를 전송한다. 대부분의 차량 내의 네트워크 메시지는 CAN을 통해 주기적으로 전파되기 때문에, ID와 간격을 파악하기는 용이하다. 일단,

시점에 메시지의 ID와 주파수를 파악하게 되면, 적대세력은 약한 공격자의 전송을 중지하고, 강한 공격자

를 이용해서 ID=0xB0인 공격 메시지를 위조해서 주입하게 된다. 공격 메시지를 전송하기 위해서

의 전송을 중지하고

를 활용하는 이유는 약한 공격자가 메시지를 주입할 수 없는 것을 극복하기 위한 것이다.

시점 이후, 0xB0를 최초 송신한

는 더 이상 그 메시지를 전송하지 않지만, 그 대신에

가 최초의 주파수로 이를 전송하게 된다. 따라서, CAN 버스에 트래픽이 나타나는 경우에, 메시지 0xB0의 주파수는 동일하게 유지되지만 송신기는 변경되는 것이다. 이러한 경우를,

가 메시지 0xB0 또는 최초의 송신기

에 대해 위장 공격을 행하였다고 한다. 위 사례에서,

와

는 손상되었고,

는 조작되었으며, 0xB0은 조작된 ID가 된다.

위장 공격을 통해, 적대세력은 손상된/허위의 ECU로부터 임의의 메시지를 주입 할 수 있다. 이러한 "메시지 송신기의 변경"은 우선 순위의 치환 및 메시지 순서의 변경과 같이, CAN에 심각한 결과를 초래할 수 있다. 다른 ECU 대신에 메시지를 전송하는 허위의 ECU는 이전보다 송신할 메시지가 많아서 송신 버퍼를 과부하 상태로 만든다는 것을 의미한다. 이는 메시지 전송을 중단시킬 수 없고 중요한 우선 순위가 치환되는 것과 같은 심각한 문제를 순차적으로 발생시킬 수 있다. 이러한 문제는 CAN의 실시간 성능을 현저하게 떨어뜨려서 운전자/승객의 안전을 위험하게 만들기 때문에, 심각한 문제로 분류될 수 있다. 또한, 원래의 메시지 순서가 변경될 수 있으므로, 정상적인 차량의 작동을 위해 올바른 순서에 따라 순차적으로 전송되어야 하는 차량 내의 일부 메시지에 대한 요건을 충족시키지 못하게 된다. 따라서, 이러한 위장 공격은 차량 내의 네트워크에 매우 심각한 문제를 일으킬 수 있다.

효율적인 변칙-기반의 IDS를 구축하려면, 표준 행동을 모델링하는 방법을 분석할 뿐만 아니라 가능한 위협을 이해할 필요가 있다. 따라서, 3가지 대표적인 공격 시나리오에 대해서 탐지 가능성, 심각성, 및 성공 가능성의 측면에서 분석하고 비교하기로 한다. 도 2에서 고려되는 차량 내의 네트워크에 대해서, 3가지 공격 시나리오를 통해 손상되거나 조작될 수 있는 ECU 집합을 먼저 결정한다. 적대세력이 강한 공격자로서 ECU

를 손상시키는 경우, 적대세력은 위조 공격을 통해 임의의 안전-필수적인 ECU

를 조작할 수 있게 된다. 안전-필수적인 ECU를 조작하기 위해서 수정 공격을 가하는 경우, 적대세력은 강한 공격자로서 안전-필수적인 ECU, 다시 말해서, ECU

를 손상시켜야 한다. 이러한 공격은 손상된 ECU가 최초로 전송하는 메시지에 대해서만 이루어질 수 있기 때문에, (예를 들어, 손상된 ECU 만 조작), ECU

를 조작하게 된다. 결국, 안전-필수적인 ECU에 대한 위장 공격을 수행하기 위해서는 2개의 손상된 ECU가 필요한데: 하나는 강한 공격자이고 하나는 약한 공격자이며, 후자가 안전-필수적인 ECU가 된다. 즉, 적대세력은 ECU

뿐만 아니라, ECU

를 손상시켜야 한다. 그런 다음, 적대세력은

로부터 주입된 메시지를 통해 안전-필수적인 ECU

를 조작할 수 있게 된다.

3가지 서로 다른 공격 시나리오를 통해 안전-필수적인 ECU를 조작하고자 시도하는 경우, 각 시나리오는 다음의 요소에 대해서 비교가 이루어진다.

F1. 탐지 가능성 - 종래의 IDS를 통해 공격을 탐지하고 제거하는 것이 얼마나 용이한지를 측정한다.

F2. 조건 - 공격 조건, 즉 요구되는 공격자의 수/유형을 만족시키기 위해서 적대세력이 손상시켜야 하는 ECU 집합을 특정한다.

F3. 공격 공간 - 상기 조건이 만족되는 경우에, 조작 가능한 안전-필수적인 ECU 집합이다.

F1 - 탐지 가능성. 위조 공격이 개시되는 경우, 특정 메시지의 주파수가 상당히 비정상적으로 증가하게 된다. 따라서, 메시지의 주파수를 모니터링하는 종래의 IDS를 사용하는 경우에는 해당 공격을 쉽게 탐지할 수 있다. 수정 공격의 경우, 차량 내의 일부 데이터 값의 변화가 예측 가능하다는 점을 활용하는 기존의 IDS는 해당 공격을 탐지할 수 있다. 그러나, 모든 값이 예측가능한 것은 아니기 때문에, 기존의 IDS가 모든 수정 공격을 탐지할 수 있는 것은 아니다. 일반적으로, 이로 인해 수정 공격이 위조 공격보다 탐지하기 더 어렵다. 위장 공격을 수행하기 위해서, 적대세력은 메시지의 최초 주파수를 변경하지 않고 그 값도 변경하지 않는다. 따라서, 이러한 공격을 행하는 적대세력은 종래의 IDS를 회피할 수 있다. 기존의 IDS를 통해 위조 공격을 탐지하기는 쉽지만 그 밖의 공격은 그렇지 않으므로, 본 개시는 수정 공격 및 위장 공격을 비교하는데 초점을 맞추기로 한다.

F2 - 조건. 위장 공격은 손상된 ECU

와 그 밖의 ECU

를 필요로 하는 반면에, 수정 공격은 하나의 ECU

만 필요하다. 이는 위장 공격의 단점이 될 수도 있지만, 다음과 같은 이유로 수정 공격보다 실용적이고 심각하다.

1.

는

와

를 의미하지만, 반대의 경우 -

이면,

이고

를 의미하지는 않는다. 다시 말해서, 수정 공격의 조건이 주어진 차량 내의 네트워크에 부합할 수 있으면, 위장 공격의 조건에도 부합될 수 있다. 또한,

인 경우에도

와

인 집합이 여전히 공집합이 아닐 수 있는데, 즉, 수정 공격이 가능하지 않더라도 위장 공격은 여전히 가능할 수 있다.

2.

- 앞에서 논의한 바와 같이, 안전-필수적인 ECU는 안전-임계적인 ECU보다 공격 공간과 취약점이 적을 수 있다. 따라서,

의 확률은 매우 높을 수 있으며, 즉, 수정 공격이 불가능할 수도 있다. 반면에, {

}

} 이므로,

의 확률은 보다 낮을 것이며, 다시 말해서, 수정 공격보다 위장 공격을 하기가 더 쉽게 된다.

F3 - 공격 공간. {

}

} 이기 때문에, 위장 공격에 의해 조작할 수 있는 안전-필수적인 ECU의 범위가 수정 공격의 경우보다 넓어져서, 손해가 더욱 심해질 수 있다.

아래의 표 1은 F1 내지 F3에 대한 3가지 공격 시나리오를 비교해서 요약한 것이다.

F1 내지 F3 이외에도, 위장 공격에 대한 다음 사항은 탐지를 필요로 한다. 위장 공격이 이루어질 때, 적대세력이 메시지의 내용과 주파수를 변경하지 않으면, - 우선 순위의 치환이나 메시지 순서의 변경이 발생하지 않는다고 가정할 때 - 차량 내의 네트워크에 손상이 발생할 때까지는 정상적인 ECU처럼 작동할 수 있다. 그러나, 적대세력은 이후에 허위 ECU를 통해 다른 유형의 공격 (예를 들어, 위조 공격)을 행할 수도 있다. 따라서, 위장 공격에 대한 방어는 반작용에 의해 공격을 탐지할 뿐만 아니라 다른 공격을 사전에 예방하는 것을 의미한다. 이에 따라, 분석 결과에 의한 이러한 사실을 고려하면, 위장 공격과 위조 공격을 모두 탐지할 수 있는 IDS를 구축하는데 초점을 맞추게 된다. 본 과정에서, 수정 공격에 대해 새로운 IDS를 구축하는 것은 실용적이지도 않고, 기존의 IDSs나 차량의 결함을 감지하는 방법을 통해 해결될 수 있기 때문에, 이를 고려하지는 않기로 한다.

종래의 IDS가 위조 및 방해 공격과 같은 일부 기본적인 공격을 탐지할 수 있다고 하더라도, 이들은 다음과 같은 이유로 위장 공격과 같은 보다 정교한 공격을 탐지하지는 못한다. 첫째, 진위 불가 - CAN 메시지에는 송신기의 정보가 부족하다. 따라서, 기존 IDSs는 CAN 버스의 메시지가 정상적인 송신기에서 전송되었는지를 알지 못하기 때문에, 메시지 송신기의 변경을 감지할 수 없다. 둘째, 손상된 ECU의 식별 불가. 송신기의 정보가 부족하기 때문에, 종래의 IDS는 어떤 ECU가 손상되었고 공격에 이용되었는지를 식별하기가 매우 어렵거나 불가능하다.

만약 CAN 프레임 내에 송신기에 대한 어떤 정보도 포함되지 않는다면, IDS가 어떻게 이를 식별하고 위장 공격과 같은 명령어를 탐지할 수 있을까? CAN의 어떤 동작을 통해 IDS로 하여금 이러한 침입을 탐지하는 작용을 하도록 해야 할까? 이러한 질문은 메시지 주파수를 이용하여 송신기 ECU의 지문을 인식하고, 이들 지문을 기반으로 침입 탐지를 위한 표준 동작을 수행하는 새로운 IDS, CIDS를 개발함으로써 해결된다.

차량 내부의 각 ECU 의 경우, 주기적인 메시지 전송이 이루어지는 시간 순서는 쿼츠 크리스탈 클럭 (quartz crystal clock)에 의해 결정된다. 본 발명자는 NTP 규격의 클럭 명칭을 준수하였다. 특정 순간에 정상적인 시간(true time)을 보고하는 "정상(true)" 클럭을

라 하고, 비정상 클럭을

라 하자. "클럭 오프셋, 주파수, 및 왜곡"을 다음과 같이 정의한다.

오프셋: 클럭

및 정상 클럭

에 의해 보고되는 시간의 차이. 2개의 비정상 클럭 사이의 오프셋은 상대적 오프셋으로 정의한다.

주파수: 클럭

가 전파되는 비율. 따라서, 시간 t에서의 주파수는

가 된다.

왜곡: 클럭

와 정상 클럭

의 주파수 차이. 2개의 비정상 클럭 사이의 왜곡 차이는 상대적 왜곡으로 정의한다.

두 클럭의 상대적인 오프셋과 왜곡이 0인 경우를 동기화 되었다고 하고, 그 이외의 경우를 비동기화 되었다고 한다. CAN에는 클럭 동기화가 없기 때문에, 비동기화 되었다고 간주한다

비동기화된 노드의 클럭 오프셋과 왜곡은 일부의 클럭에만 관련되기 때문에, 다른 클럭과는 구별된다. 물리적인 지문인식 장치에 대해서 이러한 사실에 대한 다양한 연구를 진행하였다. 그러나, 이는 오로지 차량 내부의 네트워크에 사용할 수 없는 패킷 헤더에 포함된 타임스탬프에만 관련되기 때문에, 위 문제에 적용 할 수는 없다. 위장 공격을 포함하는 다양한 유형의 공격을 탐지할 수 있는 효율적이고 효과적인 IDS를 구축하기 위해서는, 각 메시지의 송신기를 검증할 수 있어야 한다. 그러나, 이러한 정보는 CAN 메시지 내에 존재하지 않기 때문에 그 밖의 "유출" 정보를 이용해서 ECUs의 지문을 인식해야 한다. 내장형 타임스탬프를 이용하는 기존의 접근법과는 달리, 본 개시는 메시지 주기를 이용하여 송신기의 클럭 왜곡을 추정한 다음, 송신기 ECUs의 지문을 인식하는데 사용한다.

마다 메시지를 전파하는 ECU

와 그 메시지를 주기적으로 수신하는 ECU

을 고려해 보자.

의 관점에서 볼 때, (송신기의 타임스탬프 정보가 없으므로) 자신의 타임스탬프만 사용할 수 있기 때문에, 자신의 클럭을 정상적인 클럭으로 간주하게 된다. 도 4에 도시된 바와 같이, 클럭 왜곡으로 인해, 이상적인 값 (예를 들어,

)으로부터의 작은 오프셋을 가지는 메시지가 주기적으로 전송된다. 첫 번째 메시지가

로부터 전송된 시간을 t = 0이라고 하고, t = 0이후에

번째 메시지를 전송하는 시점에서

의 클럭 오프셋을

라고 하자. 이후, 네트워크 지연

후에 ECU

은 해당 메시지를 수신하고

에 도착 타임스탬프를 추가하는데, 여기에서

는

의 타임 스탬프를 정량화하는데 있어서의 노이즈이다. 따라서, 각각의 도착 타임스탬프의 간격은

이 되는데, 여기에서

는 단계

와

사이의 차이

를 나타내고,

이 된다. 하나의 시간 단계 내에서

의 변화는 무시할 수 있고,

는 0-평균값의 가우시안 노이즈 (zero-mean Gaussian noise) 항이므로, 타임스탬프 간격의 기대값

E[

] 는 다음과 같이 표현될 수 있다.

(1)

여기에서,

는 미리 지정된 상수이기 때문에 2차적 동일성(second equality)이 유지된다. CAN의 주기적 메시지의 데이터 길이, 즉, DLC는 시간에 대해 일정하기 때문에, 여기에서 E[

]

으로 둘 수 있다. 이후, 본 개시에서는

가 일정하지 않은 경우, 및 이로 인해 CIS의 성능에 어떤 영향을 미칠 수 있는지를 고려할 것이다.

도 5는 수신 ECU (즉, ECU

)에 의해 차량 네트워크 내에 손상된 ECU를 탐지하기 위한 예시적인 방법을 도시한 것이다. 본 방법에서, 수신 ECU는 51 단계에서 차량 네트워크를 통해 하나 이상의 송신 ECU로부터 메시지를 수신한다. 메시지는 각 메시지에 포함된 메시지 식별자를 이용하여, 해당하는 송신 ECU로부터 전송된 것으로 그룹화되고 배열될 수 있다. 메시지에는 어떠한 타임스탬프나 송신 ECU의 타임 스탬프 정보가 포함되지 않는다.

송신 ECU로부터 수신된 메시지로부터, 송신 ECU에 대한 클럭 왜곡이 결정될 수 있다. 각 메시지에 대해서, 52 단계에서 클럭 오프셋이 먼저 결정되며, 여기에서 상기 클럭 오프셋은 복수의 메시지들 중에서 수신된 제 1 메시지와 관련해서 결정된다. 제 1 메시지의 도착 타임스탬프

, 및 타임스탬프 간격의 평균

를 바탕으로,

번째 메시지의 예상 도착 시간

를 추정하고, 결정한다. 여기에서, 실제 측정된 도착 시간은

이다. 후속 도착 시간은 추정되기 때문에,

는 과거의 측정값에 의해 결정된다.

는 시간에 따라 일정하고

이므로, 추정 시간과 측정 시간의 차이 평균은 다음과 같다:

(2)

다시 말해서, 메시지의 주기성에 의해서 평균 클럭 오프셋

을 추정할 수 있는데, 이는 서로 다른 송신기를 실제로 구별할 수 있게 한다. 클럭 오프셋은 서서히 변화되고 0이 아니기 때문에,

지만

이 된다.

ECU

이

개의 수신 메시지에 대한 평균 클럭 오프셋을 결정한다면, 이는 (

개의 메시지 중에서) 제 1 메시지를 참조하여 유추되었기 때문에, 새롭게 생성된 오프셋의 평균만을 나타낸다. 따라서, 53 단계에 도시된 바와 같이, 누적 클럭 오프셋이라 불리는, 생성된 오프셋의 총합을 얻기 위해서는 평균 클럭 오프셋의 절대값을 합산하여야 한다. 정의에 따라, 누적 클럭 오프셋의 기울기는 클럭 왜곡을 나타내는데, 아래에서 도시하는 바와 같이 일정한 값을 가진다. 이를 통해, CIDS는 도착 타임스탬프로부터 클럭 왜곡을 추정하고, 침입 탐지를 위해서 특정 메시지 송신기의 지문을 인식할 수 있게 된다. 이후에 CAN 버스 프로토타입과 실제 차량에 대한 실험 평가를 통해서, 이렇게 유추한 클럭 왜곡이 실제로 차량 내의 ECU에 대한 지문에 해당한다는 것으로 알게 될 것이다.

일단 클럭 왜곡을 이용해서 지문을 인식하게 되면, 클럭 왜곡에 대한 갑작스러운 변화 또는 비정상적인 변화는 침입을 나타내게 된다. 송신 ECU에 대한 클럭 왜곡의 변화는 송신 ECU의 클럭 왜곡과 송신 ECU의 클럭 왜곡에 대한 기준값을 비교함으로써 결정할 수 있다. 일 실시예에서, 클럭 왜곡에 대한 기준값은 송신 ECU로부터 송신되고 수신 ECU에 의해 수신되는 다른 메시지, 예를 들어 현재의 클럭 왜곡을 계산하기 위해서 사용되는 것과 동시에 발생한 메시지를 수신하기 이전에 수신된 메시지로부터 유추된다. 또한, 클럭 왜곡에 대한 기준값을 유추하는 또 다른 방법이 본 개시에 의해 고려될 것이다.

예시적인 실시예에서, 송신 ECU의 클럭 왜곡에 대한 기준값은 선형 회귀 분석을 통해 유추된다. 특정 메시지 ID에 대해서, CIDS는 도착 타임스탬프에 내재된 누적 클럭 오프셋을 유추한다. 클럭 왜곡은 일정하기 때문에, 누적 클럭 오프셋은 시간에 따라 선형을 나타내고, CIDS는 이를 선형 회귀 모델로 나타낸다. 선형 변수의 식별 문제는 다음과 같이 공식화된다:

(3)

단계 k에 대해,

는 누적 클럭 오프셋이고,

는 회귀 변수,

는 경과 시간이며,

식별 오차이다. 회귀 변수

는 선형 모델의 기울기를 나타내므로, 추정 클럭 왜곡을 나타낸다. 식별 오차

는 본 모델에서 설명되지 않은 나머지 부분을 나타낸다. CIDS에서

및

는

개의 메시지마다 업데이트되는데, 다시 말해서,

메시지는 단계

에서 검사가 이루어진다. 따라서, 예시적인 실시예에서, 미지의 변수 S를 결정하기 위해서 재귀적 최소 자승 (Recursive Least Squares; RLS) 알고리즘이 사용된다. 이러한 접근법은 나머지를 모델 오류의 제곱 합을 최소화하기 위한 목적 함수로 이용한다. 따라서, 재귀적 최소 자승 접근법에서, 식별 오차는 0을 향해 수렴하며, 즉, 평균값이 0이 된다.

보다 구체적으로, 누적 클럭 오프셋은 특정 메시지 ID의 도착 타임스탬프로부터 결정된다. 그런 다음, 유추된 식별 오차를 기반으로, 이득

및 공분산

가 회귀 변수 S를 식별하기 위해서 RLS 에 업데이트되어, 클럭 왜곡을 추정하게 된다. 클럭 왜곡 추정 과정은 CIDS의 동작 동안 반복적으로 계속되는데, 손상이 없는 경우에는 0으로 수렴하는 식별 오류와 일정한 클럭 왜곡이 출력된다. 이러한 방법으로, 송신기의 통상적인 클럭 동작은 기울기를 가지는 클럭 왜곡에 의한 선형 모델로 설명될 수 있다. RLS에서, 망각 요소 (forgetting factor)

는 이전 샘플에 비해 지수적으로 낮은 가중치를 부여함으로써, 새로운 값을 제공하는데 사용된다. 예시적인 실시예에서, 다른 값들도 사용될 수 있지만, λ를 0.9995로 설정하였다.

클럭 왜곡을 추정하기 위해서, RLS 이외에 직교 선형 회귀 분석 및 비선형 회귀 분석을 각각 수행하는 완전 최소 자승법 (Total Least Squares; TLS), 및 감쇠 최소 자승법 (Damped Least Squares; DLS)와 같은 알고리즘이 사용될 수도 있다. 이들 방법은 RLS보다 높은 정확도로 클럭 왜곡을 식별할 수는 있지만, 높은 복잡성으로 인해 그 이득이 상쇄된다. 예를 들어, TLS는 계산 비용이 많이 드는 특이 값 분해 (Singular Value Decomposition; SVD)가 필요하며, DLS는 곡선 적합도 (curve fitting)을 위한 수 많은 반복 절차가 필요하다. RLS는 반복 절차마다

의 계산 복잡도를 갖는 것으로 알려져 있는데, 여기에서

은 데이터 행렬의 크기이다. 그러나, CIDS에서는 식별을 위해 스칼라 클럭 오프셋만 사용되기 때문에, 계산 복잡도는 상대적으로 낮게 된다.

클럭 왜곡을 이용하여 침입을 탐지하는 방법은 다른 방법으로 이루어질 수도 있다. 특정 메시지 ID에 대해, CIDS는 클럭 왜곡 추정을 위해 RLS를 실행하고, 클럭 동작에 대한 통상적인 모델을 구성하며, 그로부터 벗어난 임의의 비정상적인 측정값이 존재하는지, 즉 침입이 있는지를 검증한다. 다시 말해서, 송신 ECU의 클럭 왜곡에 존재하는 갑작스러운 변화를 탐지함으로써 침입을 식별한다.

원래 일부의 ECU가 10ms마다 전송이 이루어지는 경우에, 적대세력이 ID=0x01 인 공격 메시지를 주입하는 위조 공격을 고려해 보자. 위조 공격은 0x01의 평균 타임스탬프 간격을 상당히 감소시키기 때문에, 평균 클럭 오프셋은 증가하게 된다. 그 결과, 누적 클럭 오프셋이 변화하는 비율이 갑자기 증가하게 되어, 식별 오차가 크게 나타난다. 마찬가지로, 위장 공격이 이루어지면, 적대세력이 원래의 ECU와는 다른 ECU를 통해 메시지를 전송하기 때문에, 누적 클럭 오프셋의 증가 비율, 즉 클럭 왜곡이 갑자기 변하게 되고, 또한 식별 오차가 높게 나타난다. 요약하면, 통상적인 클럭 동작의 경우에는 일반적으로 식별 오차의 평균이 0에 수렴하는 것과 달리, 침입이 있는 경우에는 그 평균이 0이 아닌 높은 값으로 이동하게 된다.

예시적인 실시예에서, CIDS는 누적 합산법 (Cumulative Sum; CUSUM)을 이용하는데, 이는 클럭 왜곡에 대한 갑작스러운 이동을 탐지하기 위해서 목표 값에서 벗어난 누적 합계를 추정하는 방법이다. 이는 누적 값이기 때문에, 목표 값에서 약간만 벗어나는 경우에도 누적 값이 꾸준히 증가하거나 감소하게 된다. 따라서, 이는 지속적이고 미세한 변화를 감지하는데 최적이며, 변경 지점을 탐지하는데 널리 사용된다. CIDS는 다음과 같이 CUSUM을 통해서 침입을 탐지한다. 클럭 왜곡을 추정하는 각 단계에서, CIDS는 식별 오차 (e)의 평균 및 분산,

와

을 각각 업데이트한다. CIDS의 경우, 이들 값은 e의 CUSUM 목표 값 (즉, 통상적인 클럭 동작)을 나타내므로, 적절한 추적이 필요하다. 따라서, 임의의 공격에 의한 비정상적인 값이 목표 값에 반영되는 것을 예방하기 위해서, |

< 3 에만

와

를 업데이트한다. 그런 다음, 추정된 식별 오차 e에 대해서, CUSUM의 제어 상한 및 제어 하한

and

을 다음과 같이 업데이트한다.

(4)

(5)

여기에서,

는 CIDS가 탐지하고자 하는 표준 편차의 개수를 반영하는 변수이다. 이러한 방법으로, 단계 57에서 도시된 바와 같이, 클럭 왜곡에 대한 기준값이 업데이트될 수 있다.

는 오프라인으로 또는 정상적인 차량 내의 트래픽을 모니터링함으로써 학습될 수 있음을 유의하도록 하자.

단계 55에서 클럭 왜곡의 갑작스러운 변화가 탐지되는 경우, 송신이 이루어진 ECU는 단계 56에 나타낸 바와 같이 손상된 것으로 지정될 수 있다. 예시적인 실시예에서, CUSUM의 제어 한계는 갑작스러운 변화를 탐지하는데 사용된다. 제어 한계

또는

중 하나가 임계값

을 초과하는 경우에, 갑작스러운 양의 값 또는 음의 값의 이동이 각각 탐지되며, CIDS는 이를 침입으로 선언한다. 예시적인 실시예에서, 다른 값이 사용될 수도 있지만,

를 5로 설정한다. 클럭 왜곡의 갑작스러운 변화가 감지되는 경우, 수신 ECU 및/또는 차량은 하나 이상의 보호 조치를 취할 수 있다. 예를 들어, 송신 ECU에 대한 클럭 왜곡의 갑작스러운 변화가 탐지되는 경우에, 송신 ECU가 차단될 수 있다. 다른 실시예에서, 차량의 운전자는 차량을 정지시키도록 권고받을 수 있다. 본 개시의 보다 넓은 범위 내에서, 다른 유형의 보호 조치가 취해지거나 내려질 수 있다.

위에서 설명한 예시적인 알고리즘을 요약하면 다음과 같다.

메시지에 대한 탐지 외에도, CIDS는 2개의 주기적인 메시지에 대한 평균 클럭 오프셋 간의 상관 관계를 검사함으로써, 메시지-쌍의 탐지를 통해 침입에 대한 경보도 수행한다. ECU

에 의해 주기적으로 전송되는 2개의 메시지

과

를 고려해 보자. 이들 메시지는 동일한 송신기에서 발생하였기 때문에, 순간적인 평균 클럭 오프셋은 동일할 것이다. 따라서, (각 단계에서 추정되는) 이들의 평균 클럭 오프셋 사이의 상관 계수

는 1에 가까운 높은 값, 즉 상관성이 있음을 나타내게 될 것이다. 반면, 두 개의 메시지가 서로 다른 ECU에 의해 전송되었다면,

0 , 즉 상관성이 없음을 나타내게 될 것이다.

2개의 메시지에 대한 클럭 오프셋이 고도의 상관 관계를 가진다면 (

0.8), 이들 관계는 선형일 수 있다. 따라서, CIDS는 이를 선형 회귀 모델

로 나타내게 되는데, 여기에서

는 단계

에서 메시지

의 평균 클럭 오프셋을 나타내고,

는 회귀 변수,

는 식별 오차를 나타낸다. 메시지마다 탐지하는 경우와 같이, 메시지-쌍 탐지도 선형 모델을 기반으로 한다. 따라서, 동일한 탐지 방법인 CUSUM을 적용한다. 메시지-쌍 탐지는 메시지마다 탐지하는 것과 다른 관점에서 침입을 검출하기 때문에, 양성/음성의 결과에 대한 오류를 줄여준다. 그러나, 메시지-쌍 탐지가 2개의 메시지에 대한 클럭 오프셋이 고도의 상관 관계에 있는 경우에만 적용할 수 있는 반면, 메시지마다 탐지하는 방법은 임의의 주기적인 메시지에 적용할 수 있음을 유의할 필요가 있다. 더욱이, 효과적이기는 하지만, 이는 쌍으로 계산을 요구하게 된다. 따라서, 메시지-쌍 탐지는 CIDS의 선택적 기능으로 사용될 수 있다. 이후에, 메시지-쌍 탐지가 어떻게 CIDS의 성능을 더욱 향상시키는지를 실험적 평가를 통해 보여줄 것이다.

양성/음성의 오류 가능성을 감소시키기 위해서, CIDS는 검증 과정을 수행할 수도 있다.

의

번째 메시지인

를 검증하는 과정에서, 높은 식별 오차로 인해 침입 가능성이 경고된 경우를 가정해 보자. 이러한 높은 오차는 침입으로 인한 것일 수도 있지만, 평균 클럭 오프셋의 계산 오류에 의한 것일 수도 있다.

0 인 점을 가정해서, 평균 클럭 오프셋을 추출하고 결정할 수 있다. 이는 대부분의 경우에는 사실이지만, 때로는

0인 경우가 있으며, 이 경우에는 정상적인 클럭 오프셋을 추정하는 정확도와 탐지 결과에 영향을 미치게 된다. CAN에서

0인 경우는,

를 전송하려고 시도하는 때에 버스가 사용 중이거나 송신기가 조정 필드를 상실해서

의 송신이 지연된 경우에만 나타난다. 또한, 후자는

의 송신/수신에 앞서 버스가 사용 중이라는 결과를 야기한다. 따라서, CIDS는

를 수신하기 전에 CAN 버스가 사용 중인지를 검증함으로써,

0가 침입 경보 (오류일 수 있음)의 주요 원인일 수 있는지를 체크하게 된다. 이런 방법으로, CIDS는 탐지의 정확도를 향상시킨다. 그러나, 이전에 논의 된 바와 같이, 고속으로 인해 실제 CAN 버스에서는

0이고, 메시지의 길이도 짧으며 버스의 부하가 적은 것이 일반적이다. 다시 말해서, CAN 버스 통신의 특성은 CIDS가 양성/음성의 오류를 감소시키는데 도움이 된다.

일부의 메시지 ID에서 침입이 탐지되는 경우, CIDS는 또한 어느 손상된 ECU가 공격을 수행했는지를 식별할 수 있다. 공격을 받은 메시지 ID에 대한 클럭 왜곡을 추출하고, 다른 메시지 IDs에서 추출한 다른 클럭 왜곡 값과 비교함으로써, 비교 결과를 활용하여 이들이 동일한 송신기에서 발생했는지를 결정할 수 있다. 이러한 방법은 CIDS가 공격을 수행한 (또는 수행하지 않았을 수도 있는) ECU의 범위를 최소한으로 줄일 수 있기 때문에, 근본적인 원인의 분석을 용이하게 할 수 있다. 그러나, 이를 수행하는데 있어서 CIDS의 한 가지 한계는 주기적인 메시지에서만 클럭 왜곡을 추출할 수 있기 때문에, 비주기적인 메시지에서 발생하는 공격의 근본적인 원인을 식별하기 어렵다는 것이다.

CAN 버스 프로토타입과 실제 차량에 대한 CIDS 성능 평가는 아래에 설명되어 있다. 버스 프로토타입은 3개의 CAN 노드로 구성되어 있으며, 각 노드는 아두이노 우노 (Arduino UNO) 보드와 시드스튜디오 (SeeedStudio) CAN 실드 (shield) 로 구성된다. CAN 버스 실드는 마이크로칩 MCP2515 CAN 컨트롤러, MCP2551 CAN 트랜시버, 및 120

터미널 저항으로 구성되어, CAN 버스 통신 기능을 제공한다. 이러한 프로토타입은 전형적인 CAN 버스와 마찬가지로 500kbps의 버스 속도로 동작한다. 제 1 노드

는 50

마다 메시지 0x11 및 0x13을 전송하도록 프로그래밍 되었으며, 제 2 노드

는 동일한 주파수에서 메시지 0x55를 전송하도록 프로그래밍 되었다. 제 3 노드

은 CIDS를 실행하도록 프로그래밍 되었다.

또한, 2013 혼다 어코드 (2013 Honda Accord)를 고립된 제어 (안전을 위하여) 환경에서 실험에 사용하였다. 온-보드 진단 (On-Board Diagnostic; OBD-II) 시스템 포트를 통해, CAN 버스 프로토타입 노드 - 적대세력 또는 CIDS 역할을 함 - 가 차량 내부의 네트워크에 연결되었다. OBD-II 포트를 통해, 3개의 노드는 실제 ECU와 통신이 이루어질 수 있었다. 동일한 실제 ECU에서 발생한 메시지를 식별하고, 이를 참조로 활용하기 위해서, M.D. Natale 등이 발표한 "컨트롤러 영역 네트워크 통신 프로토콜의 이해 및 활용 : 이론과 실습 (Understanding and using the controller area network communi-cation protocol: Theory and practice)"에 설명된 대로의 단순한 방법이 사용되었다. 최소 몇 분 동안의 추적에서, 동일한 ECU에서 발생해서 동일한 프리셋 메시지 간격을 가지는 메시지가 해당 버스에서 동일한 전송 수를 가지는 것으로 나타났다. 이러한 방법은 지문 인식에 있어서는 선택사항이 될 수 있지만, 쌍으로 비교하는 것이 필요하고 CIDS에서 요구하는 실시간 완료를 수행할 수는 없는데, 이는 차량 내부의 네트워크 침입 탐지에 필수적인 사항이다.

CIDS를 실행하는 동안, 수신된 20개의 샘플마다 오프셋과 왜곡이 결정되었는데, 다시 말해서,

20, 이고

5 로 설정하였다. 차량 내부의 네트워크 공격을 방어하는데 대한 CID의 성능을 평가하기 위해서는, 위조 및 위장 공격을 고려하되 이전에 논의된 이유로 수정 공격은 생략하기로 한다.

먼저, 추정된 클럭 왜곡을 기반으로 송신기의 CIDS 지문 인식에 대한 유효성을 평가한다. 왜곡 추정은 초당 마이크로 초 (

) 또는 ppm (parts per million)으로 평가된다.

도 6a 및 도 6b는 추정 CAN 버스 프로토타입에 대한 CIDS 지문 인식의 추정 결과인 누적 클럭 오프셋과 0x11, 0x13, 및 0x55메시지의 추정 클럭 왜곡을 나타낸다. 추출된 누적 클럭 오프셋은 시간적으로 선형, 즉, 추정 왜곡이 일정한 것으로 확인되었다. 노드

에서 전송된 메시지 0x11과 0x13은 모두 13.4ppm의 동일한 클럭 왜곡이 일정하게 나타났다. 반면에, 다른 노드

에서 전송된 메시지 0x55는 27.2ppm의 상이한 클럭 왜곡을 나타내었다. 따라서, CIDS에서 추출된 클럭 왜곡은 차동 ECUs (differential ECUs)에 사용될 수 있다.

실제 차량에 대한 CIDS의 평가를 위해서, CAN 프로토타입 노드를 차량 내부의 CAN 트래픽에 기록하고, 메시지 0x1B0, 0x1D0, 0x1A6, 0x294, 및 0x309에 대해 CIDS를 실행하였다. 이는 메시지 0x1B0, 및 0x1D0 는 동일한 ECU에서 전송되었지만, 다른 메시지는 다른 ECU에서 전송된 것을 확인하기 위해서 사용된 접근법이다. 이러한 사실을 이용하여, CIDS에서 추출된 클럭 오프셋 및 왜곡은 동일한 ECU로부터 전송된 메시지에 대해서만 동일하다는 결론을 도 6c 및 도 6d로부터 얻을 수 있는데, 0x1B0와 0x1D0만이 78.4ppm의 왜곡을 보인데 반해, 메시지 0x1A6, 0x294, 및 0x309는 각각 265.7ppm, 199.8ppm, 및 95.78ppm의 매우 다른 왜곡을 보였다. 이러한 결과는 서로 다른 ECU 사이의 클럭 왜곡이 구분되며, 그에 따라 해당 ECU의 지문으로 사용될 수 있음을 보여준다.

CAN 버스 프로토타입과 실제 차량의 설정에서, 위조 공격이 개시되었고 이를 탐지하는 CIDS의 효과가 평가되었다. 이를 위해, 메시지마다 탐지를 수행하는 경우에 대해서만 CIDS를 고려하고, 메시지-쌍을 탐지하는 경우의 CIDS에 대해서는 이후에 평가할 것이다.

CAN 버스 프로토타입에서 CIDS를 평가하기 위해,

400초에서 ID=0x11 의 위조된 메시지를 주입하도록

를 프로그래밍하였는데, 위 메시지는 일반적으로

가 전송하는 주기적인 메시지에 해당한다, 즉,

가

에 위조 공격을 행하는 것이다. ECU

은 메시지 0x11에 CIDS를 실행하고, 누적 클럭 오프셋 (

), 식별 오차 (e), 및 제어 한계 (

)를 얻었다. 도 7a 내지 도 7d는 공격이 있는 경우와 없는 경우에서 메시지 0x11에 대해 이러한 값들이 어떻게 변화하는지를 보여준다.

가 위조 공격을 개시하자마자, 누적 클럭 오프셋에 갑자기 양의 방향으로 이동하고, 식별 오차가 크게 발생하는 것을 볼 수 있다. 이러한 이동으로 인해, CUSUM의 제어 상한

가 급격히 증가하여 임계값

를 초과하게 되므로, 다시 말해서 침입을 탐지한다. e의 급격한 이동이 양의 방향이기 때문에, 공격에 관계없이 제어 하한

는 0을 유지한다.

실제 차량의 설정에서, 하나의 CAN 프로토타입 노드

은 CIDS를 실행하도록 프로그래밍되었고, 다른 노드

는 하나의 ECU에 대한 위조 공격을 수행하는 적대세력으로 프로그래밍되었다. 이러한 공격은 ID=0x1B0 인 위조된 공격 메시지를 주입함으로써 이루어지는데, 차량 내부의 실제의 일부 ECU에서 20ms마다 전송이 되었다. 즉,

는 0x1B0을 ECU에 전송함으로써 위조 공격을 수행하였다. 도 7e 내지 도 7h는 공격이 있는 경우와 없는 경우에 대해서

,

,

가 어떻게 변화하는지를 보여준다. 다시 말해서, t = 420 초 부근에서 주입된 공격 메시지는

, e를 갑자기 증가시켰으며,

가

5를 초과하도록 증가 시켰다. 그 결과, CIDS는 공격이 탐지되었음을 선언한다. 공격이 이루어진 후, 0x1B0은 차량 내부의 ECU에 의해 여전히 주기적으로 전송되기 때문에, 클럭 왜곡, - 즉,

그래프의 기울기 - 은 변하지 않는다.

CIDS의 방어력을 평가하기 위해서, CAN 버스 프로토타입의 위장 공격에 대해 노드

와

는 도 3c와 같이 강한 공격자와 약한 공격자로서 각각 손상된 것으로 가정한다.

는

에 대한 위장 공격을 하고,

는 메시지 0x55를 전송하는 것을 멈추고,

250 초가 경과된 후에

를 통해 이를 대신 전송하도록 프로그래밍 하였다. 일반적으로, 메시지 0x11과 0x13은

에 의해 주기적으로 전송되었고, CIDS는

에 의해 실행되었다.

도 8a (왼쪽)는 공격이 시작되기 이전과 이후의 경우에, 메시지 0x55 간격의 확률 질량 함수 (Probability Mass Function; PMF)를 보여준다. 위조 공격과는 달리, 공격자가 위장을 한 후에 원래의 주파수로 공격 메시지를 전송하기 때문에, 공격이 발생하기 전과 비교해서 분포가 크게 달라지지 않았다. 그러나,

시점에, 송신기가 하나의 노드에서 다른 노드로 전환될 때 약간의 지연이 발생하였기 때문에, 0x55의 프리셋 메시지 간격이 약 50ms가 되어야 하지만, 첫 번째 위장 공격 메시지는 이전의 송신으로부터 51.04 ms에 전송되었다. 미세하게 시간이 불일치하는 위장 공격으로 인해, PMF 그래프는 평균으로부터 비정상적인 편차가 있는 메시지 간격을 나타내게 된다.

그에 따른

에서의

,

, 와

의 변화가 도 8a (중앙 및 우측)에도 나타나고 있다. 메시지 0x55 를 전송하는 ECU 의 변화는 공격이 수행된 이후에

그래프의 기울기 (즉, 클럭 왜곡)를 변화시키게 된다.

이후

의 측정값은

의 추정 클럭 왜곡에 의해 결정되는 기대값과 크게 다르기 때문에, CIDS의 CUSUM 제어 한계가 임계값을 초과하게 되어 침입이 탐지되었음을 선언하게 된다. 0x55의 송신기가 (ECU

로) 변경되었기 때문에,

이후의 클럭 왜곡은 0x11의 클럭 왜곡과 동일하게 된다. 따라서, 근본 원인 분석을 통해 CIDS는 손상된 ECU를 ECU

로 식별하게 된다. 이전의 결과와는 달리, 기울기의 변화가 음의 방향이므로 큰 음의 값을 가지는 지속적인 식별 오차가 제어 하한

가 임계값을 초과하도록 하는 것이다.

실제 차량의 위장 공격에 대한 CIDS의 방어를 평가하기 위해, 0x1A6 및 0x1B0을 전송하는 차량 내부의 실제 ECU

와

가 각각 강한 공격자 및 약한 공격자로 손상되는 시나리오를 고려하도록 하자. OBD-II를 통해 차량 내부의 실제 네트워크에 연결된 3가지의 CAN 프로토타입 노드 (

,

, 및

) 중에서, 노드

은 차량 내부의 메시지 0x1B0 에 대해 CIDS를 실행하도록 하고, 다른 노드

는 단순히 CAN 트래픽을 기록하도록 프로그래밍 하였다.

차량 내부의 ECU

이 ECU

에 위장 공격을 수행하는 시나리오를 생성하기 위해서,

은 0x1B0 대신에 메시지 0x1A6 를 수신하지만,

= 1100 초가 경과하면 수신된 메시지의 ID가 0x1B0으로 기록되도록 프로그래밍 하였다. 다시 말해서,

은

동안에는 0x1A6을 0x1B0으로 해석하게 되는데, 즉, 0x1B0의 송신기가

에서

로 변경된다. 이러한 해석의 변화는 메시지 수신 필터가 0x1B0만을 수신하다가 0x1A6만을 수신하도록

의 프로그래밍을 수정함으로써 이루어질 수 있다. 0x1B0과 0x1A6는 항상 거의 동시에 전송되는 것으로 확인되었기 때문에, 이러한 설정은 시간 일치 위장 공격을 반복하게 된다. 이러한 과정 동안,

는 0x1B0을 계속 기록하므로 공격이 없는 상황에서의 참조를 얻을 수 있다.

도 8b (왼쪽)는 공격 전후의 0x1B0 메시지 간격에 대한 PMF를 보여준다. 메시지의 주기는 동일하게 유지되기 때문에, 메시지 간격의 분포는 변하지 않았다. 또한, 도 8a의 결과와 대조적으로, 시간 일치 위장 공격을 고려하였기 때문에, 그와 같이 비정상적인 메시지 간격은 존재하지 않는다. 이러한 결과는 비정상적인 메시지 주파수를 찾기 위한 종래의 IDS가 이러한 공격을 탐지할 수 없음을 나타낸다. 메시지 간격의 분포는 변하지 않았지만 0x1B0 를 전송하는 ECU (

) 는 변경되었기 때문에, 누적 클럭 오프셋은 변경된 다른 형태, 즉 공격 이후에 달라진 클럭 왜곡으로 갑자기 나타났다. 여기에서, 오프셋의 최초 형태의 변화는

에서 취득하는 데이터에 의해 결정되었다. 도 8b에 도시된 바와 같이, CIDS는 식별 오차에 대한 갑작스러운 변화를 탐지할 수 있었고, 그에 따라 높은 값의 CUSUM 제어 상한, 즉, 침입 탐지를 출력하였다.

결론적으로, 모델링 및 탐지 과정을 통해, CIDS는 위조 공격뿐만 아니라 위장 공격도 탐지할 수 있는데, 다시 말해서, 기존 솔루션이 할 수 있는 것뿐만 아니라 더 많은 것을 수행할 수 있게 되었다.

또한, CIDS의 메시지-쌍 탐지에 대한 실현 가능성 및 효율성을 평가하기로 한다. 현실 세계에서의 실용성을 검증하기 위해서, 먼저 실제 차량 내부에 상관된 클럭 오프셋을 가지는 메시지 쌍이 존재하는지를 확인하기로 한다 - 메시지-쌍 탐지를 실행하기 위한 CIDS의 조건.

도 9a 및 도 9b는 혼다 어코드 2013 (Honda Accord 2013)에서 수집된 차량 내부의 메시지에서 상관성이 있는 클럭 오프셋과 상관성이 없는 클럭 오프셋의 두 가지 경우를 도시한 것이다. 도 9a (왼쪽)는 메시지 0x1B0 및 0x1D0 의 평균 클럭 오프셋을 나타내는데, 이는 동일한 ECU로부터 전송되었으며, 0.9387의 고도의 상관 관계, 즉 선형 관계를 나타낸다. 반대로, 도 9b (오른쪽)에 도시된 바와 같이, 서로 다른 ECU에서 20ms마다 전송된 메시지 0x1B0 및 0x1A6의 평균 클럭 오프셋은 거의 0의 상관 관계를 보였다. 실제 차량에 대한 이러한 관찰은 CIDS에서 메시지-쌍 탐지가 가능하다는 것을 나타낸다.

양성/음성의 오류를 감소시킴으로써, 메시지-쌍 탐지를 통해 메시지마다 탐지하는 것을 지지할 수 있음을 보여주기 위해서, 공격자

이

800 초에

에 대한 위장 공격을 수행하는 시나리오를 고려해 보자.

는 차량 내부의 ECU로서, 원래 메시지 0x1B0을 전송하는 것으로 하자. 위장 공격을 탐지하는데 있어서 최악의 경우를 고려하기 위해,

과

의 클럭 왜곡은 거의 동일하다고 가정한다. 이러한 최악의 시나리오는

구간에 대해, 획득되는 오프셋을 0x1B0로 임의로 치환하고, 치환된 값을

의 출력으로 간주함으로써 실험이 이루어질 수 있다. 도 10a에 도시된 바와 같이, 이는 메시지 송신기가 하나의 ECU에서 다른 ECU로 변경되더라도 클럭 왜곡이 변하지 않는 상황을 만든다. 클럭 왜곡이 동일하더라도, 순간의 클럭 오프셋은 동일하지 않을 수 있다. 클럭 왜곡은 ECU마다 다르기 때문에, 위에서 고려된 가정은 실제 상황에서는 유지되지 않을 수도 있다. 그러나, 이러한 경우가 침입 탐지의 경계 지점에 해당 할 수 있으므로 평가에 이를 포함시키도록 하였다. 공격이 이루어진

시점에서 클럭 왜곡이 동일하게 유지되기는 하였지만, 0x1B0과 0x1D0의 오프셋 사이의 상관 관계는 0.9533에서 0.1201로, 선형에서 비선형 관계로 떨어졌다. 결과적으로, 도 10b에 도시된 바와 같이, CIDS의 메시지-쌍 탐지에 대한 제어 한계는 임계값

5를 초과하게 되었다. 반면, 공격 전후의 클럭 왜곡은 동일하기 때문에, 메시지마다 탐지하는 방법은 침입을 탐지할 수 없었다.

또한, CIDS의 경보 비율에 대한 오류를 실제 차량의 설정에 대해 조사하였다. CAN 버스 프로토타입으로부터 얻어진 결과는 중요하지 않기 때문에, 즉, 버스 트래픽은 그다지 복잡하지 않기 때문에 경보의 오류는 많이 발생하지 않으므로 생략하기로 한다. 이전의 평가에서 검색된 데이터를 사용하되, 3개의 공격 데이터 집합을 생성하도록 수정하였다. 각 데이터 집합은 서로 다른 (공격) 주사 시점 또는 클럭 왜곡의 변화를 가지는 300가지의 서로 다른 침입 - 각각 위조 공격, 시간 불일치 위장 공격, 및 시간 일치 위장 공격의 형태 - 를 포함한다. 각각의 데이터 집합에 대해, CIDS의

변수는 하나의 양성 오류 비율 (false positive rate) (오류 경보 비율)과 하나의 음성 오류 비율 (1-탐지 비율)을 얻도록 변경되었다. 도 11은 경보 오류와 탐지 사이의 균형을 나타내는 수신기 조작 특성 (Receiver Operating Characteristic; ROC) 곡선으로서, 공격 데이터 집합에 대한 CIDS의 성능을 나타낸다. 확실히, CIDS는 위조 및 위장 공격을 높은 확률로 감지할 수 있는 것으로 나타났다. 시간 일치 위장 공격은 가장 탐지하기가 어렵기 때문에, 고려된 모든 공격 시나리오 중에서 양성 오류 비율이 가장 높게 나타났다. 그러나, 양성 오류 비율이 0.12%인 경우에도, CIDS는 어떠한 이상 징후도 놓치지 않았다 (100% 정상적인 양성). 양성 오류 (false positive)가 < 0.12%인 경우에도, CIDS는 96.33%의 이상 징후를 탐지하였다. 통상적인 트래픽을 모니터링하는 경우,

를 적절하게 설정함으로써 이러한 양성-오류를 회피할 수 있다.

적대세력이 CIDS를 훼손하기 위해 시도할 수 있는 몇 가지 방법이 있을 수 있다. 첫째, 적대세력은 CIDS를 실행하는 ECU를 손상시키고 이를 비활성화 하려고 시도 할 수 있다. 그러나, CIDS에 대한 교차-검증을 수행하는 경우에는 그러한 시도를 무효화 시킬 수 있다. 침입 탐지를 위해, CIDS는 ECU로 하여금 메시지 도착에 대한 타임스탬프를 기록하도록 하기만 하면 된다. 이와 같이 오버헤드가 적기 때문에, 교차-검증을 위해서 CIDS가 차량 내부의 일부 ECU에 분산 설치하는 것이 가능하게 된다. CIDS를 사용한다고 가정하면, ECU

는 메시지

에 대한 공격을 모니터링 하고, ECU

는

를 모니터링 하며, ECU

는

를 모니터링 한다. CIDS는 수신자의 시간 클럭을 정상적인 클럭으로 간주하기 때문에, 교차-검증은 각 메시지 ID에 대한 클럭 동작에 대한 여러 가지 관점, 예를 들어,

에 대한

와

의 2가지 서로 다른 관점을 제공한다. 따라서, CIDS를 손상시키기 위해서 ECU를 실행하는 경우에도, CIDS를 통한 교차-검증으로 이러한 문제를 처리할 수 있다.

적대세력이 CIDS를 훼손시키려고 시도하는 또 다른 방법은 알고리즘이 어떻게 동작하는지를 파악하고 이를 속이는 것이다. 적대세력은 목표 ECU의 클럭 왜곡을 파악한 다음, 손상된 ECU를 가열 또는 냉각시킴으로써 클럭 왜곡이 목표의 클럭 왜곡과 매칭되도록 변경시킬 수 있다. 이러한 경우, 클럭 왜곡이 매칭될 수 있고 그에 따라 CIDS의 메시지마다 탐지하는 것을 우회할 수 있다. 그러나, 위에서 논의한 바와 같이, 적대세력이 ECU의 일시적인 작업량과 온도에 영향을 받는 순간적인 클럭 오프셋과 매칭시키지 않는다면, CIDS는 메시지-쌍 탐지를 통해 침입을 탐지 할 수 있다.

침입 탐지 시스템의 경보 오류는 특히, 차량 내부의 네트워크에서 중요하다. 따라서, CIDS는 가능한 정확하게 이를 처리해야 한다. 이러한 요구 사항을 충족시키기 위해서, 검증 과정을 통해서 침입이 확인되는 경우에도 CIDS는 다음 단계에 따라 추가적인 검사를 수행 할 수 있다.

1. 오로지 메시지마다 탐지를 함으로써 침입이 탐지된 경우에는, 메시지-쌍 탐지를 통해 추가로 검사를 진행한다.

2. 침입에 의한 경보가 발생하고, 공격받은 ECU가 안전-필수적인 ECU 인 경우에는 단계 4로 바로 진행한다.

3. 그렇지 않은 경우, 클럭 왜곡 결과에 대한 서로 다른 관점을 제공하기 위해서, 다른 ECU와 교차-검증을 시도한다. 다른 ECU와 통신하는데 너무 많은 오버헤드 (버스 부하, 처리 오버헤드 등)가 발생한다면, 원격 진단을 위해 트래픽 데이터를 전송한다.

4. 펌웨어에 대한 패치를 다시 요청하고, 운전자에게 차량을 정지시키도록 권유한다.

가장 최근의 차량 내부 네트워크는 CAN을 기반으로 하지만, 일부는 보다 복잡한 동작을 위해서 CAN-FD, TTCAN, 및 FlexRay와 같은 다른 프로토콜이 장착되어 있을 수 있다. CAN-FD는 CAN의 향상된 버전으로, 유연하고 높은 데이터 속도를 제공한다. 기본 구성 요소는 CAN을 만족하므로 여전히 동기화가 부족하기 때문에, CIDS를 CAN-FD에 적용할 수 있다. TTCAN 및 FlexRay와 같은 프로토콜의 경우, 메시지를 교환하는 시점을 결정하기 위해서 노드가 주기적으로 동기화된다. 2개의 연속적인 동기화 사이의 간격은 각 프로토콜의 구현 방법에 따라 다를 수 있다. TTCAN의 경우, 2¹⁶ = 65536 비트의 길이, 즉 500Kbps 버스에서 131ms 까지 될 수 있다. 이렇게 하면 연속된 동기화 사이에 일부의 메시지가 여러 번 전송될 수 있다. 따라서, 시간 간격이 길어지면, CIDS는 여러 번 전송된 메시지에서 클럭 왜곡을 추출할 수 있지만, 주기가 짧으면 CIDS가 실행되지 않을 수 있다. 그러나, TTCAN과 FlexRay를 구현하는데 높은 비용이 소요되고, CAN-FD는 이를 최소화할 수 있기 때문에, CAN-FD가 차세대 차량 내부의 네트워크에 가장 유력한 후보가 될 수 있다. 이는 CIDS가 현재뿐만 아니라 장래의 차량 내부 네트워크에도 적용될 수 있음을 의미한다.

특별히 상기 설명과 명백하게 달리 언급하지 않는 한, "처리" 또는 "컴퓨팅" 또는 "계산" 또는 "결정" 또는 "디스플레이" 등과 같은 용어를 사용한 설명은 컴퓨터 시스템 메모리 또는 레지스터 또는 그 밖의 정보 저장, 전송 또는 디스플레이 장치 내에서 물리적 (전자적) 양으로 표현된 데이터를 조작하고 변환하는 컴퓨터 시스템 또는 이와 유사한 전자 컴퓨팅 장치의 동작 및 프로세스를 의미한다.

위에서 설명한 기술의 특정 형태는 여기에서 알고리즘의 형태로 기술된 처리 단계 및 명령어를 포함한다. 위에서 기술된 프로세스 단계 및 명령어는 소프트웨어, 펌웨어, 또는 하드웨어 내에 구현될 수 있고, 소프트웨어 내에 구현되는 경우에는 실시간 네트워크 운영 시스템에 의해 사용되는 서로 다른 플랫폼에 상주하도록 다운로드되어 동작될 수 있다는 것을 알아야 한다.

또한, 본 개시는 본 명세서의 동작을 수행하기 위한 장치에 관한 것이다. 이 장치는 요구되는 목적을 위해 특별히 구성되거나, 컴퓨터에 의해 접속될 수 있는 컴퓨터 판독 가능한 매체에 저장된 컴퓨터 프로그램에 의해 선택적으로 활성화되거나 재구성되는 범용 컴퓨터를 포함할 수 있다. 이러한 컴퓨터 프로그램은 플로피 디스크, 광학 디스크, CD-ROM, 자기 광학 디스크, 판독 전용 메모리 (ROMs), 랜덤 억세스 메모리 (RAMs), EPROM, EEPROM, 자기 또는 광학 카드, 주문형 집적 회로 (ASIC), 또는 전자 명령을 저장하기에 적합한 임의 유형의 매체를 포함하되, 이에 한정되지 않는 컴퓨터 판독 가능한 저장 매체에 저장되며, 이들 각각은 컴퓨터 시스템 버스에 연결될 수 있다. 또한, 명세서에 언급된 컴퓨터는 단일 프로세서를 포함하거나 개선된 컴퓨팅 성능을 위해 다중 프로세서 설계를 채택한 구조일 수 있다.

여기에 제시된 알고리즘 및 동작은 임의의 특정 컴퓨터 또는 다른 장치와 필수적으로 관련된 것은 아니다. 다양한 범용 시스템이 여기에서 개시된 내용에 따라 프로그램과 함께 사용되거나, 요구된 방법 단계를 수행하기 위해 보다 특수화된 장치를 구성하는 것이 용이할 수도 있다. 이러한 다양한 시스템에 필요한 구조는 동등한 변형을 하는 것이 당업자에게 자명할 것이다. 또한, 본 개시는 임의의 특정 프로그래밍 언어를 참조하여 설명하는 것은 아니다. 여기에 설명된 바와 같이 본 명세서의 개시 내용을 구현하기 위해서 다양한 프로그래밍 언어가 사용될 수 있음을 이해할 수 있을 것이다.

상기 실시예에 대한 설명은 예시 및 설명의 목적으로 제공된 것이다. 그것은 본 개시를 완전하게 하거나 제한하기 위한 것이 아니다. 특정 실시예에서 개개의 구성 요소 또는 특징은 일반적으로 특정한 실시예에 한정되지는 않지만, 구체적으로 도시하거나 기술하지 않더라도, 적용 가능할 경우에는 상호 교환하거나 선택된 실시예에서 이용될 수 있다. 또한, 동일한 내용이 여러 측면에서 다양하게 변형될 수 있다. 이러한 변형은 본 개시의 범위를 벗어나는 것으로 간주되어서는 안되며, 그러한 모든 수정은 본 개시의 범위 내에 포함되어야 할 것이다.

Claims (20)

1. 수신 ECU (electronic control unit) 가 송신 ECU 로부터 복수의 메시지를 수신하되, 여기에서 상기 복수의 메시지는 차량 네트워크를 통해 상기 송신 ECU로부터 상기 수신 ECU로 주기적으로 송신되며, 상기 복수의 메시지는 상기 송신 ECU로부터의 어떠한 타임 스탬프 정보도 포함하지 않는 단계;
   상기 수신 ECU가 상기 복수의 메시지로부터 상기 송신 ECU에 대한 클럭 왜곡을 결정하는 단계;
   상기 수신 ECU가 상기 송신 ECU의 클럭 왜곡과 상기 송신 ECU의 클럭 왜곡에 대한 기준값을 비교함으로써 상기 송신 ECU에 대한 클럭 왜곡의 갑작스러운 변화를 검출하는 단계; 및
   상기 수신 ECU가 상기 송신 ECU에 대한 클럭 왜곡의 갑작스러운 변화를 검출하는 것에 대응하여, 손상된 송신 ECU를 식별하는 단계를 포함하는 차량 네트워크에 대한 침입을 탐지하는 방법.
2. 제 1 항에 있어서,
   상기 클럭 왜곡을 결정하는 단계는
   상기 수신 ECU가 상기 복수의 메시지 내에서 각 메시지에 대한 클럭 오프셋을 결정하되, 여기에서 상기 클럭 오프셋은 상기 복수의 메시지 중에서 수신된 제 1 메시지에 관해서 결정이 이루어지는 단계;
   상기 수신 ECU가 상기 결정이 이루어진 클럭 오프셋을 모두 합산함으로써 상기 복수의 메시지에 대한 누적 클럭 오프셋을 결정하는 단계; 및
   상기 수신 ECU가 상기 누적 클럭 오프셋의 기울기를 결정하는 단계를 포함하는 차량 네트워크에 대한 침입을 탐지하는 방법.
3. 제 1 항에 있어서,
   상기 송신 ECU로부터 송신되며, 상기 복수의 메시지를 수신하기 전에 상기 수신 ECU에 의해 수신되는 부가적인 메시지로부터 상기 송신 ECU의 클럭 왜곡에 대한 기준값을 결정하는 단계를 더 포함하는 차량 네트워크에 대한 침입을 탐지하는 방법.
4. 제 3 항에 있어서,
   선형 회귀 분석을 이용하여 상기 송신 ECU의 클럭 왜곡에 대한 기준값을 결정하는 단계를 더 포함하는 차량 네트워크에 대한 침입을 탐지하는 방법.
5. 제 3 항에 있어서,
   완전 최소 자승법을 이용하여 상기 송신 ECU의 클럭 왜곡에 대한 기준값을 결정하는 단계를 더 포함하는 차량 네트워크에 대한 침입을 탐지하는 방법.
6. 제 2 항에 있어서,
   누적 합산 방법을 이용하여 상기 누적 클럭 오프셋과 기준 클럭 오프셋 사이의 갑작스러운 변화를 검출하는 단계를 더 포함하는 차량 네트워크에 대한 침입을 탐지하는 방법.
7. 제 1 항에 있어서,
   상기 송신 ECU에 대한 클럭 왜곡의 갑작스러운 변화를 검출하는 것에 대응하여 상기 송신 ECU를 차단하는 단계를 더 포함하는 차량 네트워크에 대한 침입을 탐지하는 방법.
8. 수신 ECU (electronic control unit)가 송신 ECU로부터 전송된 복수의 메시지를 수신하되, 상기 복수의 메시지는 차량의 네트워크를 통해 상기 송신 ECU로부터 상기 수신 ECU로 전송되는 단계;
   상기 수신 ECU가 상기 복수의 메시지 내의 각 메시지에 대한 클럭 오프셋을 결정하되, 여기에서, 상기 클럭 오프셋은 상기 복수의 메시지 중에서 수신된 제 1 메시지에 관하여 결정이 이루어지는 단계;
   상기 수신 ECU가 상기 결정이 이루어진 클럭 오프셋들을 모두 합산함으로써 상기 복수의 메시지에 대한 누적 클럭 오프셋을 결정하는 단계;
   상기 수신 ECU가 상기 누적 클럭 오프셋과 기준 클럭 오프셋 사이의 차이를 계산하는 단계;
   상기 수신 ECU가 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 차이에 존재하는 갑작스러운 변화를 검출하는 단계; 및
   상기 수신 ECU가 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 차이에 존재하는 갑작스러운 변화를 검출하는데 대응하여, 손상된 송신 ECU를 식별하는 단계를 포함하는 차량 네트워크에서 손상된 전자 제어 장치를 탐지하는 방법.
9. 제 8 항에 있어서,
   상기 클럭 오프셋을 결정하는 단계는
   특정 메시지에 대한 예상 도달 시간과 상기 특정 메시지에 대한 실제 도달 시간 사이의 차이를 계산하는 단계를 더 포함하는 차량 네트워크에서 손상된 전자 제어 장치를 탐지하는 방법.
10. 제 9 항에 있어서,
    상기 기준 클럭 오프셋은 상기 복수의 메시지를 수신하기 이전에, 상기 송신 ECU로부터 상기 수신 ECU에 의해 수신된 메시지에서 부분적으로 얻어지는 차량 네트워크에서 손상된 전자 제어 장치를 탐지하는 방법.
11. 제 10 항에 있어서,
    재귀적 최소 제곱 방법을 사용하여 상기 기준 클럭 오프셋을 업데이트하는 단계를 더 포함하는 차량 네트워크에서 손상된 전자 제어 장치를 탐지하는 방법.
12. 제 11 항에 있어서,
    상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 식별 오차를 식별 오차의 함수로 결정하는 단계를 더 포함하되, 여기에서 상기 식별 오차는 상기 누적 클럭 오프셋, 및 상기 기준 클럭 오프셋과 상기 복수의 메시지가 송신된 경과 시간의 곱의 차이에 해당하는 차량 네트워크에서 손상된 전자 제어 장치를 탐지하는 방법.
13. 제 12 항에 있어서,
    누적 합산 방법을 이용하여 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 갑작스러운 변화를 검출하는 차량 네트워크에서 손상된 전자 제어 장치를 탐지하는 방법.
14. 제 13 항에 있어서,
    상기 식별 오차, 및 상기 식별 오차의 평균을 상기 식별 오차의 분산으로 나눈 값에 대한 차이의 함수로서 상기 식별 오차의 한계를 계산하는 단계를 더 포함하는 차량 네트워크에서 손상된 전자 제어 장치를 탐지하는 방법.
15. 차량 네트워크 내의 수신 ECU (electronic control unit)와 관련되며, 그 내부에 명령어들을 저장하는 지속적인 컴퓨터 저장 매체로서, 프로세서에 의해 실행이 이루어지는 경우에,
    송신 ECU로부터 전송된 복수의 메시지를 수신하되, 상기 복수의 메시지는 차량의 네트워크를 통해 상기 송신 ECU로부터 상기 수신 ECU로 전송되는 단계;
    상기 복수의 메시지 내의 각 메시지에 대한 클럭 오프셋을 결정하되, 여기에서, 상기 클럭 오프셋은 상기 복수의 메시지 중에서 수신된 제 1 메시지에 관하여 결정이 이루어지는 단계;
    상기 결정이 이루어진 클럭 오프셋들을 모두 합산함으로써 상기 복수의 메시지에 대한 누적 클럭 오프셋을 결정하는 단계;
    상기 누적 클럭 오프셋과 기준 클럭 오프셋 사이의 차이를 계산하는 단계;
    상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 차이에 존재하는 갑작스러운 변화를 검출하는 단계; 및
    상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 차이에 존재하는 갑작스러운 변화를 검출하는데 대응하여, 손상된 송신 ECU를 식별하는 단계를 수행하는 지속적인 컴퓨터 저장 매체.
16. 제 15 항에 있어서,
    상기 클럭 오프셋을 결정하는 단계는
    특정 메시지에 대한 예상 도달 시간과 상기 특정 메시지에 대한 실제 도달 시간 사이의 차이를 계산하는 단계를 더 포함하는 지속적인 컴퓨터 저장 매체.
17. 제 16 항에 있어서,
    상기 기준 클럭 오프셋은 상기 복수의 메시지를 수신하기 이전에, 상기 송신 ECU로부터 상기 수신 ECU에 의해 수신된 메시지에서 부분적으로 얻어지는 지속적인 컴퓨터 저장 매체.
18. 제 17 항에 있어서,
    재귀적 최소 제곱 방법을 사용하여 상기 기준 클럭 오프셋을 업데이트하는 단계를 더 포함하는 지속적인 컴퓨터 저장 매체.
19. 제 18 항에 있어서,
    상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 식별 오차를 식별 오차의 함수로 결정하는 단계를 더 포함하되, 여기에서 상기 식별 오차는 상기 누적 클럭 오프셋, 및 상기 기준 클럭 오프셋과 상기 복수의 메시지가 송신된 경과 시간의 곱의 차이에 해당하는 지속적인 컴퓨터 저장 매체.
20. 제 19 항에 있어서,
    누적 합산 방법을 이용하여 상기 누적 클럭 오프셋과 상기 기준 클럭 오프셋 사이의 갑작스러운 변화를 검출하는 지속적인 컴퓨터 저장 매체.
    
    

Images