KR102423886B1 - 차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법 - Google Patents

차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법 Download PDF

Info

Publication number
KR102423886B1
KR102423886B1 KR1020180161315A KR20180161315A KR102423886B1 KR 102423886 B1 KR102423886 B1 KR 102423886B1 KR 1020180161315 A KR1020180161315 A KR 1020180161315A KR 20180161315 A KR20180161315 A KR 20180161315A KR 102423886 B1 KR102423886 B1 KR 102423886B1
Authority
KR
South Korea
Prior art keywords
message
pattern
traffic pattern
transmission
traffic
Prior art date
Application number
KR1020180161315A
Other languages
English (en)
Other versions
KR20200073362A (ko
Inventor
전부선
김대원
이진용
정보흥
주홍일
최병철
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020180161315A priority Critical patent/KR102423886B1/ko
Publication of KR20200073362A publication Critical patent/KR20200073362A/ko
Application granted granted Critical
Publication of KR102423886B1 publication Critical patent/KR102423886B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40071Packet processing; Packet format
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Small-Scale Networks (AREA)
  • Air Bags (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법이 개시된다. 이상 징후 탐지 방법은 외부의 공격이 없는 정상적인 상황에서 전송되는 제1 메시지에 대한 트래픽 패턴인 제1 트래픽 패턴을 구축하는 단계, 차량의 운행 중에 전송되는 상기 제1 메시지에 대한 트래픽 패턴인 제2 트래픽 패턴을 추출하는 단계, 제2 트래픽 패턴과 제1 트래픽 패턴을 비교하는 단계, 그리고 제2 트래픽 패턴과 제1 트래픽 패턴이 서로 다른 경우 이상 징후로 판단하는 단계를 포함할 수 있다.

Description

차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법{APPARTUS AND METHOD FOR DETECTING ABNORMAL SIGN IN VEHICLE ETHERNET NETWORK}
본 발명은 차량 네트워크에서 이상 징후 탐지 장치 및 방법에 관한 것이다.
현재 차량에는 20 ~ 100여개가 넘는 전자제어유닛(Electronic Control Unit, ECU)가 탐재되어 있다. 그리고 첨단 운전자 보조 시스템(Advanced Driver Assistance System)이나 자율주행 등 지능형 서비스가 늘어감에 따라 차량 내 통신 대역폭 수요가 증가할 것으로 예상된다.
기존의 차량 통신은 CAN(Controller Area Network), LIN(Local Interconnect Network), FlexRay, MOST(Media Oriented Systems Transport) 등이 사용되고 있으며, 이 중에서도 CAN 통신이 주로 사용되고 있다. CAN 통신은 한번에 8 바이트(bytes)의 메시지 전송 가능하고 최대 1 Mbps의 속도를 가지며, 64 바이트(bytes)의 CAN-FD(CAN with Flexible Data-Rate)도 8 Mbps의 속도만 가능하다.
이러한 대역폭 요구 및 비용 절감 차원에서 차량에 이더넷(Ethernet)을 적용하고자 하는 움직임이 있다. 하지만, 차량에 이더넷이 적용되더라도 기존의 모든 레거시 통신을 모두 대체하여 이더넷만을 적용하는 것은 아주 먼 미래의 일이 될 것이다.
차량 내부에 이더넷이 사용되고 외부 네트워크와 통신하며 다양한 ICT 기술이 차량에 도입될 경우, 외부의 공격(해킹이나 사이버 공격)에 노출되게 된다.
본 발명이 해결하고자 하는 과제는 이더넷 기반의 차량 내부 통신을 모니터링하여 이상 징후를 탐지하는 장치 및 방법을 제공하는 것이다.
본 발명의 실시예에 따르면, 차량 통신 시스템이 제공된다. 상기 차량 통신 시스템은, 차량에 설치되어 있는 전자제어유닛으로부터 제1 메시지를 수신하며, 상기 제1 메시지에 대한 트래픽 패턴인 제1 트래픽 패턴을 추출하는 제1 게이트웨이, 상기 제1 게이트웨이와 이더넷 통신으로 연결되며, 상기 제1 트래픽 패턴을 수신하는 제2 게이트웨이, 그리고 외부의 공격이 없는 상황에서 미리 구축된 정상운전 정보모델과 상기 제1 트래픽 패턴을 비교하여, 이상 징후를 판단하는 이상 징후 탐지 장치를 포함할 수 있다.
상기 정상운전 정보모델은 상기 차량 통신 시스템에서 전송되는 메시지들에 대한 트래픽 패턴일 수 있다.
상기 제1 트래픽 패턴은 상기 제1 메시지에 대한, 전송 주기, 발생 빈도, 그리고 송신지와 목적지를 나타내는 전송 패턴을 포함할 수 있다.
상기 정상운전 정보모델은 외부의 공격이 없는 상황에서의 상기 제1 메시지에 대한 전송 주기, 발생 빈도, 그리고 송신지와 목적지를 나타내는 전송패턴에 대한 정보를 포함할 수 있다.
상기 제1 게이트웨이는, 상기 제1 메시지에 대한 패킷을 이더넷 패킷으로 변환하는 패킷 변환부, 그리고 상기 이더넷 패킷으로 변환된 상기 제1 메시지에 대해서 상기 전송 주기, 상기 발생 빈도, 그리고 상기 전송 패턴을 추출하는 데이터 분석부를 포함할 수 있다.
상기 이상 징후 탐지 장치는, 외부의 공격이 없는 상황에서 상기 정상운전 정보모델을 구축하는 정상운전 정보모델 구축부, 그리고 상기 정상운전 정보모델과 상기 제1 트래픽 패턴을 비교하여 이상 징후를 판단하는 이상징후 판단부를 포함할 수 있다.
상기 이상징후 판단부가 이상 징후로 판단한 경우, 이상 징후에 대한 정보를 저장하고 알람을 발생시키는 저장 및 알림부를 더 포함할 수 있다.
상기 이상 징후 감지 장치는 제2 게이트웨이로부터 상기 제1 트래픽 패턴을 수신할 수 있다.
상기 제1 게이트웨이는 도메인 게이트웨이며, 상기 제2 게이트웨이는 중앙 게이트웨이일 수 있다.
본 발명의 다른 실시예에 따르면, 차량 통신 시스템에 송수되는 메시지에 대한 이상 징후를 탐지하는 방법이 제공된다. 상기 방법은, 외부의 공격이 없는 정상적인 상황에서 전송되는 제1 메시지에 대한 트래픽 패턴인 제1 트래픽 패턴을 구축하는 단계, 차량의 운행 중에 전송되는 상기 제1 메시지에 대한 트래픽 패턴인 제2 트래픽 패턴을 추출하는 단계, 상기 제2 트래픽 패턴과 상기 제1 트래픽 패턴을 비교하는 단계, 그리고 상기 제2 트래픽 패턴과 상기 제1 트래픽 패턴이 서로 다른 경우, 이상 징후로 판단하는 단계를 포함할 수 있다.
상기 제2 트래픽 패턴은 상기 제1 메시지에 대한 전송 주기인 제1 전송 주기, 상기 제1 메시지에 대한 발생 빈도인 제1 발생 빈도, 그리고 상기 제1 메시지에 대한 송신지와 목적지를 나타내는 제1 전송 패턴을 포함할 수 있다.
상기 제1 트래픽 패턴은 상기 제1 메시지가 주기적인 메시지인 여부를 나타내는 정보, 상기 제1 메시지의 전송 주기에 대한 최소값, 소정의 기간 동안 상기 제1 메시지가 전송되는 빈도에 대한 최대값, 그리고 상기 제1 메시지에 대한 송신지와 목적지를 나타내는 제2 전송 패턴을 포함할 수 있다.
상기 비교하는 단계는 상기 제1 메시지가 주기적인 메시지인 경우, 상기 제1 전송 주기가 상기 최소값보다 작은지 여부를 비교하는 단계를 포함할 수 있으며, 상기 판단하는 단계는 상기 제1 전송 주기가 상기 최소값보다 작은 경우, 상기 이상 징후로 판단하는 단계를 포함할 수 있다.
상기 비교하는 단계는 상기 제1 발생 빈도가 상기 최대값보다 큰지 여부를 비교하는 단계를 포함할 수 있으며, 상기 판단하는 단계는 상기 제1 발생 빈도가 상기 최대값보다 큰 경우 상기 이상 징후로 판단하는 단계를 포함할 수 있다.
상기 비교하는 단계는 상기 제1 전송 패턴과 상기 제2 전송 패턴을 비교하는 단계를 포함할 수 있으며, 상기 판단하는 단계는 상기 제1 전송 패턴과 상기 제2 전송 패턴이 다른 경우 상기 이상 징후로 판단하는 단계를 포함할 수 있다.
본 발명의 또 다른 실시예에 따르면, 차량 통신 시스템에서 전송되는 이더넷 트래픽 패킷에 대한 이상 징후를 탐지하는 이상 징후 탐지 장치가 동작하는 방법이 제공된다. 상기 방법은, 외부의 공격이 없는 상황에서 상기 차량 통신 시스템에서 전송되는 제1 이더넷 트래픽 패킷들에 대한 트래픽 패턴인 제1 트래픽 패턴을 구축하는 단계, 차량이 운행되는 중에 상기 차량 통신 시스템에서 전송되는 제2 이더넷 트래픽 패킷들에 대한 트래픽 패턴인 제2 트래픽 패턴을 추출하는 단계, 그리고 상기 제1 트래픽 패턴과 상기 제2 트래픽 패턴을 비교하여 이상 징후 여부를 판단하는 단계를 포함할 수 있으며, 상기 제1 트래픽 패턴은 상기 제1 이더넷 트래픽 패킷들에 대한 전송 주기 정보, 발생 빈도 정보, 그리고 송신지와 수신지를 나타내는 전송 패턴 정보 중 적어도 하나를 포함할 수 있으며, 상기 제2 트래픽 패턴은 상기 제2 이더넷 트래픽 패킷들에 대한 전송 주기, 발생 빈도, 그리고 송신지와 수신지를 나타내는 전송 패턴 중 적어도 하나를 포함할 수 있다.
상기 전송 주기 정보는 전송 주기의 최소값을 포함할 수 있으며, 상기 판단하는 단계는 상기 제2 트래픽 패턴의 전송 주기가 상기 최소값보다 작은 경우 이상 징후로 판단하는 단계를 포함할 수 있다.
상기 발생 빈도 정보는 발생 빈도의 최대값을 포함할 수 있으며, 상기 판단하는 단계는 상기 제2 트래픽 패턴의 발생 빈도가 상기 최대값보다 큰 경우 이상 징후로 판단하는 단계를 포함할 수 있다.
상기 판단하는 단계는 상기 제2 트래픽 패턴의 전송 패턴이 상기 제1 트래픽 패턴의 전송 패턴 정보와 다른 경우 이상 징후로 판단하는 단계를 포함할 수 있다.
본 발명의 실시예에 따르면, 이더넷 기반의 차량 내부 통신에서 전송되는 메시지들에 대한 전송 패턴을 분석하여 이상 징후를 판단할 수 있다.
도 1은 본 발명의 실시예에 따른 차량 통신 시스템을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 도메인 게이트웨이를 나타내는 블록도이다.
도 3은 본 발명의 실시예에 따른 패킷 변환 방법을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 이상 징후 탐지 장치를 나타내는 블록도이다.
도 5는 본 발명의 실시예에 따른 정상운전 정보모델 구축부의 동작 방법을 나타내는 플로우차트이다.
도 6은 본 발명의 실시예에 따른 이상징후 판단부의 이상 징후 판단 방법을 나타내는 플로우차트이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명의 실시예에 따른 차량 통신 시스템을 나타내는 도면이다.
도 1에 나타낸 바와 같이, 본 발명의 실시예에 따른 차량 통신 시스템(1000)은 복수의 도메인 게이트웨이(100), 중앙 게이트웨이(200), 그리고 이상 징후 탐지 장치(300)를 포함한다.
복수의 도메인 게이트웨이(100)는 복수의 전자제어유닛(ECU)과 CAN 통신을 통해 연결되어 있다. 복수의 도메인 게이트웨이(100)는 각각 중앙 게이트웨이(200)와는 이더넷(Ethernet) 통신을 통해 연결되어 있다. 복수의 도메인 게이트웨이(100)는 전자제어유닛(ECU)로부터 수신되는 CAN 메시지를 이더넷 패킷으로 변환하고, 중앙 게이트웨이(200)로 이더넷 통신을 통해 전송한다. 복수의 도메인 게이트웨이(100)의 구체적인 동작에 대해서는 아래의 도 2에서 좀 더 상세히 설명한다.
중앙 게이트웨이(200)는 차량 내부에 전달되는 각종 메시지들을 종합적으로 수집하여 관리한다. 중앙 게이트웨이(200)는 복수의 도메인 게이트웨이(100)와 이더넷 통신을 통해 연결되어 있으며, 중앙 게이트웨이(200)는 복수의 도메인 게이트웨이(100)로부터 이더넷 통신을 통해 전송되는 메시지를 이상 징후 탐지 장치(300)로 전송한다.
본 발명의 실시예에 따른 이상 징후 탐지 장치(300)는 중앙 게이트웨이(200)로부터 수신한 정보를 분석하여 차량 내부의 이상 상황을 판단한다. 이상 징후 탐지 장치(300)는 차량 내부에 있는 차량용 인포테인먼트(Infotainment) 내부에 설치 및 구현될 수 있다. 이상 징후 탐지 장치(300)의 구체적인 동작은 아래의 도 4 내지 도 6에서 좀 더 상세히 설명한다.
도 2는 본 발명의 실시예에 따른 도메인 게이트웨이(100)를 나타내는 블록도이다.
도 2에 나타낸 바와 같이, 본 발명의 실시예에 따른 도메인 게이트웨이(100)는 패킷 변환부(110), 데이터 수집부(120), 그리고 데이터 분석부(130)를 포함한다.
패킷 변환부(110)는 각 전자제어유닛(ECU)로부터 CAN 메시지를 수신하며, 수신한 CAN 메시지에 이더넷 헤더를 붙여 이더넷 패킷으로 변환한다. 도 3은 본 발명의 실시예에 따른 패킷 변환 방법을 나타내는 도면이다. 도 3에 나타낸 바와 같아, CAN 메시지(410)는 메시지 아이디(Identifier, ID)(411)와 데이터(412)를 포함한다. 패킷 변환부(110)는 CAN 메시지(410)에 이더넷 헤더(Ethernet header)를 붙여서 이더넷 패킷(420)으로 변환한다. 즉, CAN 메시지(410)는 이더넷 패킷(420)으로 랩핑된다. 이와 같이 변환된 이더넷 패킷(420)은 이더넷 헤더(421), 메시지 ID(411), 그리고 데이터(412)를 포함한다.
데이터 수집부(120)는 차량의 이상 징후를 탐지 하기 위해 패킷 변환부(110)에서 변환된 이더넷 패킷을 수집하고 수집한 이더넷 패킷을 데이터 분석부(130)로 전송한다. 즉, 데이터 수집부(120)는 차량내부 통신 네트워크에서 송수신되는 트래픽 데이터를 수집한다.
데이터 분석부(130)는 데이터 수집부(120)가 수집한 이더넷 패킷에서 트래픽 패턴을 추출하며, 추출한 트래픽 패턴을 중앙 게이트웨이(200)를 통해 이상 징후 탐지 장치(300)로 전송한다. 여기서, 트래픽 패턴은 메시지가 발송된 주기, 빈도, 그리고 전송 패턴을 포함한다. 도 2에 나타낸 바와 같이, 데이터 분석부(130)는 주기 분석부(131), 빈도 분석부(132), 그리고 전송 패턴 분석부(133)를 포함한다. 주기 분석부(131)는 동일한 메시지 ID가 전송(재전송)되는 주기를 추출하며, 빈도 분석부(132)는 동일한 메시지 ID에 대한 발생 빈도를 추출한다. 그리고 전송 패턴 분석부(133)는 수집한 메시지 ID에 대한 송신지와 목적지(수신지)를 추출한다. 즉, 주기는 메시지 ID별 전송되는 주기를 의미하며, 빈도는 메시지 ID 별 전송되는 빈도를 의미하며, 그리고 전송 패턴은 해당 메시지 ID에 대한 송신지와 목적지를 의미한다.
도 4는 본 발명의 실시예에 따른 이상 징후 탐지 장치(300)를 나타내는 블록도이다.
도 4에 나타낸 바와 같이, 본 발명의 실시예에 따른 이상 징후 탐지 장치(300)는 이상징후 판단부(310), 정상운전 정보모델 구축부(320), 정상운전 정보모델 저장부(330), 그리고 저장 및 알림부(340)를 포함한다.
정상운전 정보모델 구축부(320)는 일정 기간 동안에 차량의 운전 정보를 축적하고, 축적한 해당 데이터들로부터 정상운전에 대한 모델을 구축한다. 즉, 정상운전 정보모델 구축부(320)는 차량이 외부의 공격이 없는 상태에서 운행되었을 때의 데이터(도 1에서 설명한 차량용 통신 시스템에서 송수신되는 메시지들)를 기반으로 정상운전에 대한 모델을 구축한다. 여기서, 정상운전 정보모델 구축부(320)는 메시지 ID 별 주기에 대한 정보를 구축하고 메시지 ID 별 빈도에 대한 정보를 구축하며 메시지 ID 별 전송패턴에 대한 정보를 구축한다.
도 5는 본 발명의 실시예에 따른 정상운전 정보모델 구축부(320)의 동작 방법을 나타내는 플로우차트이다.
먼저, 정상운전 정보모델 구축부(320)는 일정 기간 동안 정상 운전 데이터를 수집한다(S510). 즉, 정상운전 정보모델 구축부(320)는 차량 통신 시스템에서 송수신되는 메시지들(이더넷 패킷)을 수집한다.
정상운전 정보모델 구축부(320)는 S510 단계에서 수집한 데이터를 기반으로 메시지 ID별로 주기 정보를 계산한다(S520). 정상운전 정보모델 구축부(320)는 해당 메시지가 비주기적인지 주기적인지를 체크하고 주기적인 경우 주기의 최소값(min), 최대값(max), 그리고 평균(average)인 주기 정보를 계산한다. 그리고 주기 정보는 해당 메시지 ID가 비주기적인 경우 해당 메시지 ID는 비주기 메시지임을 나타내는 정보를 포함하고 있다.
정상운전 정보모델 구축부(320)는 S510 단계에서 수집한 데이터를 기반으로 메시지 ID별로 빈도 정보를 계산한다(S520). 즉, 정상운전 정보모델 구축부(320)는 메시지 ID별로 단위기간 동안의 발생빈도를 계산한다. 그리고 정상운전 정보모델 구축부(320)는 빈도의 최소값(min), 최대값(max), 그리고 평균(average)인 빈도 정보를 계산한다.
다음으로, 정상운전 정보모델 구축부(320)는 S510 단계에서 수집한 데이터에서 메시지 ID별 전송 패턴을 추출한다(S540). 즉, 정상운전 정보모델 구축부(320)는 메시지 ID별로 송신지와 목적지(수신지)를 추출한다.
정상운전 정보모델 구축부(320)는 S520 단계에서 계산한 메시지 ID별 주기 정보, S530 단계에서 계산한 메시지 ID별 빈도 정보, 그리고 S540 단계에서 계산한 메시지 ID별 전송 패턴을 포함하는 정상운전 정보모델을 구축한다(S550). 그리고 정상운전 정보모델 구축부(320)는 구축한 정상운전 정보모델을 정상운전 정보모델 저장부(330)에 저장한다.
이와 같은 정상운전 정보모델 구축부(320)는 자동차 제조사에 의해 제조 단계에서 차량이 설계 내용을 토대로 구축되어 차량 출고 시에는 정상운전 정보모델 구축부(320) 없이 정상운전 정보모델 저장부(330)만이 차량에 탑재될 수 있다. 한편, 정상운전 정보모델 구축부(320)가 차량에 탑재되어 차량 출고 초기에 해당 차량의 정상적인 운전 상황을 학습시켜 정상운전 정보모델이 구축될 수 있다.
정상운전 정보모델 저장부(330)는 상기 도 5에서 구축된 정상운전 정보모델(메시지 ID별 주기 정보, 메시지 ID별 빈도 정보, 그리고 메시지 ID별 전송 패턴)을 저장한다.
이상징후 판단부(310)는 데이터 분석부(130)로부터 수신한 트래픽 패턴과 정상운전 정보모델 구축부(320)에 저장되어 있는 정상운전 정보모델을 이용하여, 이상징후를 판단한다. 이상징후 판단부(310)가 이상징후를 판단하는 방법은 아래의 도 6에서 상세히 설명한다.
저장 및 알림부(340)는 이상징후 판단부(310)가 이상징후를 판단한 경우, 해당 정보를 저장하고 알람을 발생시켜 운전자에게 알려준다. 여기서, 저장 및 알림부(340)는 이상징후를 차량의 디스플레이(도시하지 않음)를 통해 운전자에게 알릴 수 있다.
도 6은 본 발명의 실시예에 따른 이상징후 판단부(310)의 이상 징후 판단 방법을 나타내는 플로우차트이다.
먼저, 이상징후 판단부(310)는 중앙 게이트웨이(200)를 통해 도메인 게이트웨이(100)로부터 트래픽 패턴을 수신한다(S610). 즉, 이상징후 판단부(310)는 도메인 게이트웨이(100)의 데이터 분석부(130)로부터 트래픽 패턴을 수신한다. 여기서, 트래픽 패턴은 차량 통신 시스템(1000) 내에서 현재 송수신 되는 메시지들(차량 운행 중에 실제 송수신되는 메시지들)에 대한 주기, 빈도, 그리고 전송 패턴이다. 즉, 트래픽 패턴은 메시지 ID 별 주기, 메시지 ID 별 빈도, 그리고 해당 메시지 ID에 대한 송신지와 목적지를 나타낸다.
이상징후 판단부(310)는 S610 단계에서 수신한 트래픽 패턴에서, 해당 메시지(해당 메시지 ID)가 주기적인 메시지인지 여부를 판단한다(S620). 즉, 이상징후 판단부(310)는 해당 메시지 ID를 정상운전 모델에 조회하여 주기적인 특성을 가지는 메시지인지 여부를 체크한다.
이상징후 판단부(310)는 S620 단계에서 해당 메시지가 주기적인 메시지로 판단된 경우, 데이터 분석부(130)로부터 수신한 주기가 주기 최소값(min)보다 작은지 여부를 판단한다(S620, S630). 상기 도 5에서 설명한 바와 같이 정상운전 정보모델은 주기 정보로서 최소 값(주기 최소값)을 포함하고 있으므로, 이상징후 판단부(310)는 정상운전 정보 모델을 조회하여 해당 메시지 ID의 주기가 주기 최소값보다 작은지 여부를 체크한다.
이상징후 판단부(310)는 S630 단계에서 해당 메시지 ID의 주기가 주기 최소값보다 작은 경우, 이상 징후로 판단한다(S630, S640). 차량 통신 시스템(1000)에서 실제 송수되는 메시지의 주기가 정상적인 메시지의 주기 최소 값보다 작은 경우에는 외부의 공격에 의해 해당 메시지가 전송되는 것을 의미한다. 이에 따라, 이상징후 판단부(310)는 이러한 상황을 판단하여 이상 징후로 판단한다.
이상징후 판단부(310)는 S620 단계에서 해당 메시지가 주기적인 메시지로 판단되지 않은 경우 또는 S630 단계에서 해당 메시지 ID의 주기가 주기 최소값보다 작지 않은 경우, 데이터 분석부(130)로부터 수신한 빈도가 빈도 최대값(max)보다 작은지 여부를 판단한다(S650). 상기 도 5에서 설명한 바와 같이 정상운전 정보모델은 빈도 정보로서 최대값(빈도 최대값)을 포함하고 있으므로, 이상징후 판단부(310)는 정상운전 정보모델을 조회하여 해당 메시지 ID의 빈도가 빈도 최대값보다 큰지 여부를 체크한다.
이상징후 판단부(310)는 S650 단계에서 해당 메시지 ID의 빈도가 빈도 최대값보다 큰 경우, 이상 징후로 판단한다(S650, S660). 차량 통신 시스템(1000)에서 실제 송수되는 메시지에 대한 빈도가 정상적인 메시지에 대한 빈도 최대 값보다 큰 경우에는 외부의 공격에 의해 해당 메시지가 전송되는 것을 의미한다. 이에 따라, 이상징후 판단부(310)는 이러한 상황을 판단하여 이상 징후로 판단한다.
이상징후 판단부(310)는 S650 단계에서 해당 메시지 ID의 빈도가 빈도 최대값보다 크지 않은 경우, 데이터 분석부(130)로부터 수신한 전송패턴이 새로운 전송패턴인지 여부를 판단한다(S670). 즉, 이상징후 판단부(310)는 해당 메시지 ID(차량 통신 시스템(1000)에서 차량 운행 중 실제 송수되는 메시지의 ID)에 대한 전송 패턴(송신지와 목적지)을 S610 단계에서 수신하며, 수신한 해당 메시지 ID의 전송 패턴을 정상운전 정보모델에 조회하여 새로운 전송패턴인지 여부를 체크한다.
이상징후 판단부(310)는 상기 S670 단계에서 해당 메시지 ID의 전송 패턴이 새로운 전송패턴인 경우, 이상 징후로 판단한다(S680). 메시시 ID별로 전송패턴(송신지와 목적지)가 있는데 이러한 전송 패턴이 변경된 경우에는 외부의 공격이 있음을 의미한다. 이에 따라, 이상징후 판단부(310)는 이러한 상황을 판단하여 이상 징후로 판단한다.
한편, 이상징후 판단부(310)는 상기 S670 단계에서 해당 메시지 ID의 전송 패턴이 새로운 전송 패턴이 아닌 경우에는 상기 S610 단계로 동작을 반복한다(S670, S610). 즉, 이상징후 판단부(310)는 데이터 분석부(130)로부터 수신되는 다른 메시지에 대한 트래픽 패턴을 이용하여 이상징후 여부를 판단한다.
상기 도 6에서는 주기여부, 주기가 주기 최소값에 해당하는지 여부, 발생빈도가 빈도 최대값에 해당하는지 여부, 그리고 전송패턴이 새로운 전송 패턴지 여부의 순으로 진행되는 것을 설명하였다. 그러나 이상징후 판단부(310)는 해당 메시지의 ID에 대해서, 주기가 주기 최소값보다 작은 경우, 발생 빈도도가 빈도 최대값보다 큰 경우, 그리고 전송패턴이 새로운 전송패턴인 경우 중 적어도 어느 하나에 해당하는 경우, 이상징후로 판단할 수 있다.
상기에서 설명한 본 발명의 실시예에 따른 이상징후 탐지 방법을 적용하면, 평소에 20ms 주기로 발송되던 특정 메시지 ID가 갑자기 1ms 주기로 발송되는 경우, 특정 기간 내에 10회 발송되는 특정 메시지 ID가 갑자기 100회 발송되는 경우, 또는 송시지 A에서 수신지 B 쪽으로 전송되는 메시지 ID 100번은 기존에 없던 새로운 메시지인 경우, 이상 징후로 탐지될 수 있다.
이와 같이 본 발명의 실시예에 따른 이상징후 탐지 장치(300)는 이더넷 통신 이 적용된 차량용 통신 시스템에서 메시지들의 주기, 빈도, 또는 전송 패턴을 판단하여 이상 징후(외부 공격)를 판단할 수 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (19)

  1. 차량에 설치되어 있는 전자제어유닛으로부터 제1 메시지를 수신하며, 상기 제1 메시지에 대한 트래픽 패턴인 제1 트래픽 패턴을 추출하는 제1 게이트웨이,
    상기 제1 게이트웨이와 이더넷 통신으로 연결되며, 상기 제1 트래픽 패턴을 수신하는 제2 게이트웨이, 그리고
    외부의 공격이 없는 상황에서 미리 구축된 정상운전 정보모델과 상기 제1 트래픽 패턴을 비교하여, 이상 징후를 판단하는 이상 징후 탐지 장치를 포함하며,
    상기 제1 트래픽 패턴은 상기 제1 메시지에 대한, 전송 주기, 발생 빈도, 그리고 송신지와 목적지를 나타내는 전송 패턴을 포함하며,
    상기 정상운전 정보모델은 외부의 공격이 없는 상황에서의 상기 제1 메시지에 대한 전송 주기, 발생 빈도, 그리고 송신지와 목적지를 나타내는 전송패턴에 대한 정보를 포함하는 차량 통신 시스템.
  2. 제1항에 있어서,
    상기 정상운전 정보모델은 상기 차량 통신 시스템에서 전송되는 메시지들에 대한 트래픽 패턴인 차량 통신 시스템.
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 제1 게이트웨이는,
    상기 제1 메시지에 대한 패킷을 이더넷 패킷으로 변환하는 패킷 변환부, 그리고
    상기 이더넷 패킷으로 변환된 상기 제1 메시지에 대해서 상기 전송 주기, 상기 발생 빈도, 그리고 상기 전송 패턴을 추출하는 데이터 분석부를 포함하는 차량 통신 시스템.
  6. 제1항에 있어서,
    상기 이상 징후 탐지 장치는,
    외부의 공격이 없는 상황에서 상기 정상운전 정보모델을 구축하는 정상운전 정보모델 구축부, 그리고
    상기 정상운전 정보모델과 상기 제1 트래픽 패턴을 비교하여 이상 징후를 판단하는 이상징후 판단부를 포함하는 차량 통신 시스템.
  7. 제6항에 있어서,
    상기 이상징후 판단부가 이상 징후로 판단한 경우, 이상 징후에 대한 정보를 저장하고 알람을 발생시키는 저장 및 알림부를 더 포함하는 차량 통신 시스템.
  8. 제1항에 있어서,
    상기 이상 징후 탐지 장치는 제2 게이트웨이로부터 상기 제1 트래픽 패턴을 수신하는 차량 통신 시스템.
  9. 제1항에 있어서,
    상기 제1 게이트웨이는 도메인 게이트웨이며, 상기 제2 게이트웨이는 중앙 게이트웨이인 차량 통신 시스템.
  10. 차량 통신 시스템에 송수신되는 메시지에 대한 이상 징후를 탐지하는 방법으로서,
    외부의 공격이 없는 정상적인 상황에서 전송되는 제1 메시지에 대한 트래픽 패턴인 제1 트래픽 패턴을 구축하는 단계,
    차량의 운행 중에 전송되는 상기 제1 메시지에 대한 트래픽 패턴인 제2 트래픽 패턴을 추출하는 단계,
    상기 제2 트래픽 패턴과 상기 제1 트래픽 패턴을 비교하는 단계, 그리고
    상기 제2 트래픽 패턴과 상기 제1 트래픽 패턴이 서로 다른 경우, 이상 징후로 판단하는 단계를 포함하며,
    상기 제2 트래픽 패턴은 상기 제1 메시지에 대한 전송 주기인 제1 전송 주기, 상기 제1 메시지에 대한 발생 빈도인 제1 발생 빈도, 그리고 상기 제1 메시지에 대한 송신지와 목적지를 나타내는 제1 전송 패턴을 포함하며,
    상기 제1 트래픽 패턴은 상기 제1 메시지가 주기적인 메시지인 여부를 나타내는 정보, 상기 제1 메시지의 전송 주기에 대한 최소값, 소정의 기간 동안 상기 제1 메시지가 전송되는 빈도에 대한 최대값, 그리고 상기 제1 메시지에 대한 송신지와 목적지를 나타내는 제2 전송 패턴을 포함하는 방법.
  11. 삭제
  12. 삭제
  13. 제10항에 있어서,
    상기 비교하는 단계는, 상기 제1 메시지가 주기적인 메시지인 경우, 상기 제1 전송 주기가 상기 최소값보다 작은지 여부를 비교하는 단계를 포함하며,
    상기 판단하는 단계는, 상기 제1 전송 주기가 상기 최소값보다 작은 경우, 상기 이상 징후로 판단하는 단계를 포함하는 방법.
  14. 제10항에 있어서,
    상기 비교하는 단계는, 상기 제1 발생 빈도가 상기 최대값보다 큰지 여부를 비교하는 단계를 포함하며,
    상기 판단하는 단계는, 상기 제1 발생 빈도가 상기 최대값보다 큰 경우, 상기 이상 징후로 판단하는 단계를 포함하는 방법.
  15. 제10항에 있어서,
    상기 비교하는 단계는, 상기 제1 전송 패턴과 상기 제2 전송 패턴을 비교하는 단계를 포함하며,
    상기 판단하는 단계는 상기 제1 전송 패턴과 상기 제2 전송 패턴이 다른 경우, 상기 이상 징후로 판단하는 단계를 포함하는 방법.
  16. 차량 통신 시스템에서 전송되는 이더넷 트래픽 패킷에 대한 이상 징후를 탐지하는 이상 징후 탐지 장치가 동작하는 방법으로서,
    외부의 공격이 없는 상황에서 상기 차량 통신 시스템에서 전송되는 제1 이더넷 트래픽 패킷들에 대한 트래픽 패턴인 제1 트래픽 패턴을 구축하는 단계,
    차량이 운행되는 중에 상기 차량 통신 시스템에서 전송되는 제2 이더넷 트래픽 패킷들에 대한 트래픽 패턴인 제2 트래픽 패턴을 추출하는 단계, 그리고
    상기 제1 트래픽 패턴과 상기 제2 트래픽 패턴을 비교하여 이상 징후 여부를 판단하는 단계를 포함하며,
    상기 제1 트래픽 패턴은 상기 제1 이더넷 트래픽 패킷들에 대한 전송 주기 정보, 발생 빈도 정보, 그리고 송신지와 수신지를 나타내는 전송 패턴 정보를 포함하며,
    상기 제2 트래픽 패턴은 상기 제2 이더넷 트래픽 패킷들에 대한 전송 주기, 발생 빈도, 그리고 송신지와 수신지를 나타내는 전송 패턴을 포함하는 방법.
  17. 제16항에 있어서,
    상기 전송 주기 정보는 전송 주기의 최소값을 포함하며,
    상기 판단하는 단계는 상기 제2 트래픽 패턴의 전송 주기가 상기 최소값보다 작은 경우 이상 징후로 판단하는 단계를 포함하는 방법.
  18. 제16항에 있어서,
    상기 발생 빈도 정보는 발생 빈도의 최대값을 포함하며,
    상기 판단하는 단계는 상기 제2 트래픽 패턴의 발생 빈도가 상기 최대값보다 큰 경우 이상 징후로 판단하는 단계를 포함하는 방법.
  19. 제16항에 있어서,
    상기 판단하는 단계는 상기 제2 트래픽 패턴의 전송 패턴이 상기 제1 트래픽 패턴의 전송 패턴 정보와 다른 경우, 이상 징후로 판단하는 단계를 포함하는 방법.
KR1020180161315A 2018-12-13 2018-12-13 차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법 KR102423886B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180161315A KR102423886B1 (ko) 2018-12-13 2018-12-13 차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180161315A KR102423886B1 (ko) 2018-12-13 2018-12-13 차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200073362A KR20200073362A (ko) 2020-06-24
KR102423886B1 true KR102423886B1 (ko) 2022-07-22

Family

ID=71407953

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180161315A KR102423886B1 (ko) 2018-12-13 2018-12-13 차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102423886B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210002907A (ko) * 2019-07-01 2021-01-11 현대자동차주식회사 차량용 이더넷 통신 모니터링 장치 및 그의 이더넷 통신 모니터링 방법과 그를 포함하는 차량
KR102640041B1 (ko) * 2021-12-21 2024-02-27 한성대학교 산학협력단 Ifs를 이용한 can 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치
WO2023136111A1 (ja) * 2022-01-14 2023-07-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置及び異常検知方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101630729B1 (ko) 2015-04-16 2016-06-24 현대자동차주식회사 차량에 최적화된 이더넷 통신 제공 방법 및 시스템
KR101714526B1 (ko) 2015-12-02 2017-03-09 현대자동차주식회사 차량 네트워크 해킹 방지 방법 및 장치
WO2018105321A1 (ja) * 2016-12-06 2018-06-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置及び情報処理方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101761737B1 (ko) * 2014-05-20 2017-07-26 한국전자통신연구원 제어 시스템의 이상행위 탐지 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101630729B1 (ko) 2015-04-16 2016-06-24 현대자동차주식회사 차량에 최적화된 이더넷 통신 제공 방법 및 시스템
KR101714526B1 (ko) 2015-12-02 2017-03-09 현대자동차주식회사 차량 네트워크 해킹 방지 방법 및 장치
WO2018105321A1 (ja) * 2016-12-06 2018-06-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置及び情報処理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"지능형 자동차 보안 위협 및 대응방안 보고서", 과학기술정보통신부 및 정보통신기술진흥센터(2017.11.)*

Also Published As

Publication number Publication date
KR20200073362A (ko) 2020-06-24

Similar Documents

Publication Publication Date Title
US11438355B2 (en) In-vehicle network anomaly detection system and in-vehicle network anomaly detection method
KR102423886B1 (ko) 차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법
EP3659868B1 (en) Abnormality detection device, and abnormality detection method
JP7009305B2 (ja) ネットワーク監視器、ネットワーク監視方法およびプログラム
US10484401B2 (en) In-vehicle network attack detection method and apparatus
KR20190029994A (ko) 차량용 제어 장치의 진단 방법 및 장치
CN109716711B (zh) 网关、车载通信系统、通信控制方法和计算机可读记录介质
US20210185070A1 (en) Lightweight intrusion detection apparatus and method for vehicle network
US20150236940A1 (en) Method for monitoring an Ethernet-based communication network in a motor vehicle
US20200410785A1 (en) On-vehicle communication system, switch device, communication control method, and communication control program
US20160119181A1 (en) Network state monitoring system
CN1685662A (zh) 监控电信网络单元
CN111919422A (zh) 用于运行机动车的以太网车载网络的方法、控制单元和以太网车载网络
US20090238211A1 (en) Method, system and computer program product involving congestion detection in ethernet
US20220407868A1 (en) Detection device, vehicle, detection method, and detection program
JP2019146145A (ja) 通信装置、通信方法及びプログラム
CN113169966B (zh) 用于监控数据传输系统的方法、数据传输系统和机动车
WO2021106446A1 (ja) 検知装置、車両、検知方法および検知プログラム
WO2020049871A1 (ja) 車両用通信装置
WO2020110446A1 (ja) 車両故障予測システム、監視装置、車両故障予測方法および車両故障予測プログラム
WO2022153839A1 (ja) 検知装置、検知方法および検知プログラム
CN107896214B (zh) 一种防范虚假数据注入的Lin总线主节点产生方法
KR100773076B1 (ko) 능동형 can 통신 데이터 송/수신 방법
KR20190106069A (ko) Can/lin 통합 모듈을 이용한 자동차 내부 기기 간의 기능 시험 장치 및 방법과 그 시스템
WO2023149194A1 (ja) 監視装置、車両監視システムおよび車両監視方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant