KR102640041B1 - Ifs를 이용한 can 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치 - Google Patents

Ifs를 이용한 can 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치 Download PDF

Info

Publication number
KR102640041B1
KR102640041B1 KR1020210183737A KR20210183737A KR102640041B1 KR 102640041 B1 KR102640041 B1 KR 102640041B1 KR 1020210183737 A KR1020210183737 A KR 1020210183737A KR 20210183737 A KR20210183737 A KR 20210183737A KR 102640041 B1 KR102640041 B1 KR 102640041B1
Authority
KR
South Korea
Prior art keywords
data frames
transmitted
ifs
bus
pattern
Prior art date
Application number
KR1020210183737A
Other languages
English (en)
Other versions
KR20230094513A (ko
Inventor
최원석
이세영
정연선
Original Assignee
한성대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한성대학교 산학협력단 filed Critical 한성대학교 산학협력단
Priority to KR1020210183737A priority Critical patent/KR102640041B1/ko
Publication of KR20230094513A publication Critical patent/KR20230094513A/ko
Application granted granted Critical
Publication of KR102640041B1 publication Critical patent/KR102640041B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 IFS를 이용한 CAN 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치에 관한 것이다.
본 발명에서는 외부 침입이 없는 상황에서 정상적으로 전송되는 데이터 프레임들을 최소보장IFS를 유지하면서 전송되는 데이터 프레임별로 그룹화하고, 그룹화된 데이터 프레임들로부터 항상 동일한 그룹에서 전송되는 데이터 프레임을 파악하여 제1패턴으로 분류하고, 항상 다른 그룹에서 전송되는 데이터 프레임들을 파악하여 제2패턴으로 분류하여 정상적으로 전송되는 데이터 프레임들의 그룹별 전송 패턴을 사전 구축하는 CAN 버스 공격 탐지 방법 등이 개시된다.
본 발명에서는 차량의 CAN 버스 통신에서 전송되는 메시지들이 최소보장IFS에 따라 그룹화하고 그룹화된 메시지 사이에 존재하는 일정한 전송 규칙을 이용함으로써 손쉽게 외부 침입 여부를 파악할 수 있게 되었다. 본 발명을 통해 운전자의 안전성 차량 내부 네트워크 보안성을 확보할 수 있게 되었다.

Description

IFS를 이용한 CAN 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치{CAN BUS ATTACK DETECTION METHOD USING IFS, GATEWAY AND ATTACH DETECTION DEVICE IMPLEMNETING IT}
본 발명은 IFS를 이용한 CAN 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치에 관한 것으로서, 보다 구체적으로는 최소한의 IFS를 유지하면서 연속적으로 전송되는 메시지를 그룹화하고 그룹별 메시지 전송 규칙을 사전 구축하여 외부 침입 여부를 파악하는 IFS를 이용한 CAN 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치에 관한 것이다.
차량과 운전자의 안전성과 편의성을 위해 차량 내에는 여러 ECU(Electronic Control Unit)들이 탑재되고 있으며, 대표적인 차량 내부 네트워크인 CAN (Controller Area Network) 프로토콜을 통해 전자적으로 차량을 제어한다. 차량에 더 많은 기능과 외부 통신 인터페이스가 추가됨에 따라 다양한 취약점을 바탕으로 차량 내부 네트워크를 대상으로 하는 사이버 공격의 위험성 역시 증가하고 있으며, 실제 국내·외 다수의 연구기관에서 차량 내부 네트워크 해킹을 시연하였다.
CAN 프로토콜은 차량 내부 네트워크로 가장 많이 사용되는 프로토콜로 ECU들은 CAN 버스에 유선으로 연결되어 브로드캐스팅 방식으로 서로 메시지를 전송하며 차량을 제어한다. CAN 프로토콜은 초기 개발 시 보안에 대한 고려없이 설계되었기 때문에 CAN 버스로 전송되는 메시지에 대해 어떤 ECU가 전송되었는지에 대한 인증기능을 제공하지 않는다. 따라서 공격자는 CAN 버스에 메시지를 전송하여 악의적으로 차량을 제어하는 것이 다른 통신망보다 비교적 용이하여 외부 공격을 막는 방법이 필요하게 되었다.
한국공개특허 제10-2014-0047984호 (2014.04.23 공개)
본 발명은 상기 필요성을 충족시키기 위한 것으로서, 본 발명은 CAN 버스 상으로 전송되는 데이터 프레임 사이의 시간 간격인 IFS를 이용하여 CAN 상의 공격을 탐지하는 IFS를 이용한 CAN 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치를 제공하는 것을 목적으로 한다.
본 발명의 상기 목적은 CAN 통신에서 최소보장IFS를 이용하여 외부 침입을 방지하는 IFS를 이용한 CAN 버스 공격 탐지 방법으로서, - IFS(Inter-Frame Space)는 CAN 버스상에 전송되는 데이터 프레임 사이의 시간 간격이며, 최소보장IFS는 CAN 버스상에서 연속적으로 데이터 프레임을 전송하기 위해 보장되어야 하는 최소한의 시간 간격임 - 외부 침입이 없는 상황에서 정상적으로 전송되는 데이터 프레임들을 최소보장IFS를 유지하면서 연속적으로 전송되는 데이터 프레임별로 그룹화하는 제1단계 및 제1단계에 의해 그룹화된 데이터 프레임들로부터 항상 동일한 그룹에서 전송되는 데이터 프레임을 파악하여 제1패턴으로 분류하고, 항상 다른 그룹에서 전송되는 데이터 프레임들을 파악하여 제2패턴으로 분류하여 정상적으로 전송되는 데이터 프레임들의 그룹별 전송 패턴을 사전 구축하는 제2단계를 포함하는 IFS를 이용한 CAN 버스 공격 탐지 방법에 의해서 달성 가능하다.
본 발명에 따른 IFS를 이용한 CAN 버스 공격 탐지 방법은 실시간으로 전송되는 데이터 프레임을 최소보장IFS를 유지하면서 전송되는 데이터 프레임별로 그룹화하는 제3단계와, 제3단계에 의해 그룹화된 데이터 프레임들이 상기 제2단계의 제1패턴 또는 제2패턴을 위배하는지 여부를 판별하고, 위배하는 것으로 판별될 경우 외부 침입이 있는 것으로 알림하는 제4단계에 의해서 외부 공격을 탐지할 수 있다.
전술한 외부 공격 탐지하는 기능은 CAN 버스 모니터링이 가능한 게이트웨이에 의해서 수행할 수 있으며, 또는 각 CAN 버스마다 해당 CAN 버스에 전송되는 메시지 모니터링 기능을 갖는 공격탐지장치에 의해서도 수행 가능하다.
본 발명에서는 차량의 CAN 버스 통신에서 전송되는 메시지들이 최소보장IFS에 따라 그룹화하고 그룹화된 메시지 사이에 존재하는 일정한 전송 규칙을 이용함으로써 손쉽게 외부 침입 여부를 파악할 수 있게 되었다. 본 발명을 통해 운전자의 안전성 차량 내부 네트워크 보안성을 확보할 수 있게 되었다.
도 1은 CAN 통신에서 사용되는 데이터 프레임의 구조도.
도 2는 최소보장IFS를 이용한 데이터 프레임 그룹화를 설명하는 설명도.
도 3은 외부 침입이 없는 상태에서 그룹화된 데이터 프레임의 전송 패턴을 설명하기 위한 메시지 흐름도.
도 4는 외부 침입자가 ID C 메시지를 CAN 버스 상에 주입하는 경우를 설명하는 메시지 흐름도.
도 5는 외부 침입자가 ID D 메시지를 CAN 버스 상에 주입하는 경우를 설명하는 메시지 흐름도.
도 6은 복수 개 CAN 버스가 게이트웨이로 연결된 CAN 통신망 구성도.
도 7은 본 발명에 따라 메시지를 그룹화하고 그룹내 메시지를 패턴을 파악하는 흐름도.
도 8은 본 발명에 따라 메시지를 그룹화하고 외부 침입이 있는지 여부를 탐지하는 흐름을 설명하는 흐름도.
본 발명에서 사용하는 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 명세서에서, "~ 상에 또는 ~ 상부에" 라 함은 대상 부분의 위 또는 아래에 위치함을 의미하는 것이며, 반드시 중력 방향을 기준으로 상 측에 위치하는 것을 의미하는 것은 아니다. 또한, 영역, 판 등의 부분이 다른 부분 "상에 또는 상부에" 있다고 할 때, 이는 다른 부분 "바로 상에 또는 상부에" 접촉하여 있거나 간격을 두고 있는 경우뿐 아니라 그 중간에 또 다른 부분이 있는 경우도 포함한다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에서, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
CAN 버스에 전송되는 메시지 (또는 프레임) 종류로는 데이터 프레임(Data Frame), 리모트 프레임(Remote Frame), 에러 프레임(Error Frame), 오버로드 프레임(Overload Frame)이 있으며 이중 차량 제어를 위해 가장 일반적으로 사용되는 프레임은 데이터 프레임이다. CAN 버스에 연결된 ECU들은 각각 정의된 주기로 데이터 프레임을 전송하면서 차량을 제어한다.
CAN 통신에서 사용하는 데이터 프레임 구조는 도 1과 같다. 모든 ECU는 CAN 버스를 모니터링하며 버스가 Idle(유후) 상태인 경우에 데이터 프레임 전송을 수행한다. 두 개 이상의 ECU가 동시에 데이터 전송을 수행하는 경우 ID 필드와 RTR(Remote Transmission Request) 필드로 이루어진 Arbitration 필드를 통해 데이터 프레임 전송을 위한 우선 순위를 결정한다. 동시에 전송 시도되는 데이터 프레임의 ID 필드는 서로 다르기 때문에 우선 순위에서 이긴 하나의 ECU만 지속적으로 CAN 버스를 점유하여 데이터 프레임 전송을 수행한다. 우선 순위에 밀린 ECU는 데이터 프레임 전송을 중지하고 현재 전송 중인 데이터 프레임의 전송이 완료된 이후 다시 전송을 시도한다. 일반적으로 데이터 프레임의 ID 필드 값이 A인 경우에 해당 데이터 프레임을 'ID A 메시지’라고도 부른다. 본 발명에서도 편의상 ID A 값을 가지는 데이터 프레임을 ‘ID A’ 라고 명명하기로 한다.
CAN 버스상으로 전송되는 데이터 프레임 사이의 시간 간격을 IFS(Inter-Frame Space)라고 하며 CAN 버스상으로 연속적으로 데이터 프레임을 전송하기 위해서는 최소 3bit time의 IFS가 보장되어야 한다. 즉, 어떤 ECU라도 데이터 프레임 전송을 위해서는 CAN 버스에 이미 전송되고 있는 데이터 프레임이 전송된 이후에 최소 3 bit time 대기 후에 데이터 프레임 전송을 할 수 있다. 또한 하나의 ECU가 연속적으로 데이터 프레임을 전송하는 경우에도 하나의 데이터 프레임 전송 이후에 3bit time이 지나야 다른 데이터 프레임 전송이 가능하다. 일반적인 CAN 통신의 Bit rate인 500kbps(초당 500,000bit 전송률) 속도에서 3 bit time은 6㎲(microsecond)에 해당하며, 본 발명에서는 3 bit time을 최소보장IFS라 부르기로 한다.
본 발명에서는 CAN 버스 상에서 최소보장IFS를 가지면서 연속적으로 전송되는 데이터 프레임들을 그룹화하고, 각 그룹에서 발현되는 데이터 프레임의 규칙을 파악하고, 파악된 규칙을 위반하는 데이터 프레임을 검출함으로써 외부 침입을 탐지하는 방법을 제시한다.
도 2는 최소보장IFS를 이용한 데이터 프레임 그룹화를 설명하는 설명도이다. CAN 버스 상으로 전송되는 데이터 프레임들의 시간 간격이 최소보장IFS로만 이루어진 데이터 프레임들을 하나의 그룹(G)으로 정의한다. 따라서 하나의 그룹에는 한 개 이상의 데이터 프레임이 존재할 수 있다. 도 2에 도시된 바와 같이 그룹 Gi는 최소보장IFS 간격을 형성하면서 연속적으로 전송되는 ID A 메시지, ID B 메시지 및 ID C 메시지로 이루어진다. 그룹 Gj는 ID B 메시지로만 이루어지며, 그룹 Gk는 ID A 메시지 및 ID C 메시지로 이루어진다.
CAN 버스에 연결된 ECU들은 주기적으로 데이터 프레임을 전송하기 때문에 이러한 그룹들 내에 존재하는 데이터 프레임 간 (ID 간)의 특정 패턴을 분석할 수 있다. 본 발명에서는 두 가지 패턴을 이용하여 공격을 탐지한다.
첫번째 패턴(항상 같은 그룹으로 존재하는 ID):
항상 동일한 그룹으로 전송되는 메시지 패턴을 보이는 경우를 의미한다. 특정 ID 메시지를 전송한 ECU에서 연속적으로 다른 ID 메시지를 전송한 경우이거나 다른 ECU에서 연속적으로 전송한 ID 메시지로 구성될 수도 있다.
두번째 패턴(항상 다른 그룹에서 존재하는 ID):
항상 다른 그룹으로 전송되는 메시지 패턴을 보이는 경우를 의미한다. 특정 ID를 전송한 ECU에서 항상 다른 타이밍에 다른 ID를 전송한 경우이거나 다른 ECU에서 항상 다른 타이밍에 다른 ID를 전송하는 경우로 항상 다른 그룹으로 존재한다.
도 3은 외부 침입이 없는 상태에서 그룹화된 데이터 프레임의 전송 패턴을 설명하기 위한 메시지 흐름도이다. 도 3에서 ID A 및 ID C는 첫번째 패턴을 만족하는 메시지이다. ID A 및 ID C는 그룹 Gi 및 그룹 Gk라는 동일한 그룹내에서 전송됨을 알 수 있다. 이때 ID A 및 ID C는 동일한 ECU에서 발송된 것일 수도 있으며, 서로 다른 ECU에서 발송된 것일 수 있다. 도 3에서 ID A 및 ID D 또는 ID C 및 ID D는 두번째 패턴을 만족하는 메시지이다. ID A는 그룹(Gi, Gk)에서 전송되며, ID D는 ID A가 전송되는 그룹 Gi, Gk와는 다른 그룹인 Gj, Gl에서 전송되는 경우이며, 유사하게 ID C는 그룹(Gi, Gk)에서 전송되며, ID D는 ID C가 전송되는 그룹인 Gi, Gk와는 다른 그룹 Gj, Gl에서 전송됨을 알 수 있다.
본 발명에서는 정상 전송 상태에서 최소보장IFS를 이용하여 메시지를 그룹화하고 그룹화된 메시지들 사이에서 일어나는 두가지 패턴을 미리 파악한 후 이를 이용하여 외부 침입 메시지를 판별하게 된다.
도 4는 외부 침입자가 ID C 메시지를 CAN 버스 상에 주입하는 경우를 설명하는 메시지 흐름도이다. 정상 전송 상태에서는 도 3에 도시된 바와 같이 ID C는 항상 동일한 그룹(Gi, Gk) 내에서 ID A와 함께 전송이 되어야 하는데 도 4에 도시된 바와 같이 외부 침입자가 CAN 버스 상에 ID C 메시지를 주입(Injection)하는 공격을 하면 ID C가 ID A가 속하지 않는 그룹 Gj 및 그룹 Gl에서 전송되므로 이를 감지하여 외부 침입이 있음을 알 수 있는 것이다. 도 4의 세번째 그룹 Gk의 경우는 특정 데이터 프레임(ID C) 전송을 중지(Suspension)하는 공격을 받은 경우로서 항상 동일한 그룹 내에 존재 해야하는 ID 메시지(ID A 및 ID C) 중에서 하나가 누락되어 나머지 누락되지 않은 메시지(ID A)만 모니터링 되는 경우를 도시한 것이다. 이와 같이 그룹내 메시지들의 전송 패턴을 파악함으로써 이상 패턴이 검출되면 외부 공격으로 탐지하는 것이다.
도 5는 외부 침입자가 ID D 메시지를 CAN 버스 상에 주입하는 경우를 설명하는 메시지 흐름도이다. 정상 전송 상태에서는 도 3에 도시된 바와 같이 ID D는 ID A가 속하는 그룹(Gi, Gk) 내에서 함께 전송되는 경우가 없는데 비해 도 5에 도시된 바와 같이 외부 침입자가 CAN 버스 상에 ID D 메시지를 주입(Injection)하는 공격을 하면 ID D가 ID A가 속하는 그룹 Gi 및 그룹 Gk에서 전송되는 현상이 발생하므로 이를 감지하여 외부 침입이 있음을 알 수 있는 것이다.
도 6은 복수 개 CAN 버스가 게이트웨이로 연결된 CAN 통신망의 일 실시예이다. 본 발명에 따른 외부 침입을 감지하는 방법은 CAN 버스 모니터링하는 게이트웨이에 의해서 수행 가능하다. 또 다른 실시예로는 각각의 CAN 버스별로 공격탐지장치를 부가하여 수행할 수 있다. 도 6은 제1ECU ~ 제3ECU가 연결된 제1 CAN 버스에 제1공격탐지장치를 부가하고, 제4ECU 및 제5ECU가 연결된 제2 CAN 버스에 제2공격탐지장치를 부가함으로써 본 발명에 따른 외부 침입을 판별할 수 있는 CAN 통신망을 도시한 것이다.
도 7은 본 발명에 따라 메시지를 그룹화하고 그룹내 메시지를 패턴을 파악하는 흐름도이다. 도 7 및 추후 설명하는 도 8에 제시된 흐름은 도 6에 제시된 바와 같이 게이트웨이에서 수행되거나 별도 부가 설치되는 공격탐지장치에 의해서 수행될 수 있다. CAN 버스 모니터링을 시작하고(ST61), 메시지 전송이 시작되면 IFS를 계산하고 그룹화한다(ST63). 최소보장IFS 간격으로 연속적으로 전송되는 메시지를 동일한 그룹으로 그룹화하게 된다. 그룹화 이후에 동일한 그룹내에서 전송되는 메시지 패턴이 있는 메시지 인지 여부를 판별하고(ST65), ST65 단계를 만족하는 메시지를 제1패턴 메시지로 분류한다(ST62). ST65 단계를 만족하지 않는 메시지로 판별될 경우 다음 단계로 항상 다른 그룹에서 전송되는 메시지인지 여부를 판별한다(ST67). ST67 단계의 판별 결과가 참인 경우에는 제2패턴 메시지로 분류한다(ST64). ST67 단계의 판별 결과가 거짓인 경우에는 어느 그룹에도 속하지 않는 메시지로 파악하고(ST69) 메시지 그룹화 및 분류를 종료한다. 도 7에서 ST65 단계 및 ST67 단계는 순서와 무관하게 진행할 수 있음은 물론이다.
제1패턴 메시지인지 제2패턴 메시지인지 여부에 대한 판별은 딥 러닝을 이용한 기계 학습 등 다양한 방식을 통해서 정확하게 구축할 수 있음은 물론이다.
도 3에 제시된 정상 상황의 메시지 그룹화 및 패턴을 표로 정리하면 표 1과 같다. 파악된 메시지 패턴은 메모리 내에 저장하여 외부 침입을 감시할 때 이용할 수 있다.
제1그룹에 속하는 메시지 패턴 제2그룹에 속하는 메시지 패턴
ID A 및 ID C ID A, ID C ID D
도 8은 본 발명에 따라 메시지를 그룹화하고 외부 침입이 있는지 여부를 탐지하는 흐름을 설명하는 흐름도이다. 도 7에 따라 메시지 패턴 분석을 완료한 후, CAN 버스 모니터링을 수행한다(ST71). 전송되는 메시지를 IFS를 이용하여 복수 개 그룹으로 그룹화하고 각 그룹별로 전송된 메시지들을 저장한다(ST73). 표 2는 도 4에 제시된 방식으로 메시지들이 전송될 경우 ST73 단계에 따라 각 그룹별로 저장된 메시지들을 정리한 것이다. 표 2와 같은 데이터는 공격탐지장치 또는 게이트웨이에 구비되는 레지스터 또는 데이터 버퍼에 임시 저장될 수 있다.
그룹 번호 메시지
Gi ID A, ID C
Gj ID D, ID C, ID E
Gk ID A
Gl ID D, ID C
다음으로 각 그룹별로 전송된 메시지를 표 1에 제시된 분석된 패턴과 비교하고 위배하는 메시지가 있는지 여부를 파악하고(ST75), 위배되는 메시지가 검출될 경우 공격이 탐지되었음을 알리고(ST77) 종료하게 된다.
상기에서 본 발명의 바람직한 실시예가 특정 용어들을 사용하여 설명 및 도시되었지만 그러한 용어는 오로지 본 발명을 명확히 설명하기 위한 것일 뿐이며, 본 발명의 실시예 및 기술된 용어는 다음의 청구범위의 기술적 사상 및 범위로부터 이탈되지 않고서 여러가지 변경 및 변화가 가해질 수 있는 것은 자명한 일이다. 이와 같이 변형된 실시예들은 본 발명의 사상 및 범위로부터 개별적으로 이해되어져서는 안되며, 본 발명의 청구범위 안에 속한다고 해야 할 것이다.
삭제

Claims (6)

  1. CAN 통신에서 최소보장IFS를 이용하여 외부 침입을 방지하는 IFS를 이용한 CAN 버스 공격 탐지 방법으로서,
    - IFS(Inter-Frame Space)는 CAN 버스상에 전송되는 데이터 프레임 사이의 시간 간격이며, 최소보장IFS는 CAN 버스상에서 연속적으로 데이터 프레임을 전송하기 위해 보장되어야 하는 최소한의 시간 간격임 -
    외부 침입이 없는 정상적인 전송 상태에서 전송되는 복수 개 데이터 프레임들을 최소보장IFS의 간격을 가지면서 연속적으로 전송되는 데이터 프레임별로 그룹화하는 제1단계 및
    상기 제1단계에 의해 그룹화된 데이터 프레임들로부터 항상 동일한 그룹으로 전송되는 데이터 프레임을 파악하여 제1패턴으로 분류하고, 항상 다른 그룹으로 전송되는 데이터 프레임들을 파악하여 제2패턴으로 분류하여 정상적으로 전송되는 데이터 프레임들의 그룹별 전송 패턴을 사전 구축하는 제2단계를 포함하는 IFS를 이용한 CAN 버스 공격 탐지 방법.
  2. 제1항에 있어서,
    실시간으로 전송되는 데이터 프레임을 최소보장IFS를 유지하면서 전송되는 데이터 프레임별로 그룹화하는 제3단계와,
    상기 제3단계에 의해 그룹화된 데이터 프레임들이 상기 제2단계의 제1패턴 또는 제2패턴을 위배하는지 여부를 판별하고, 위배하는 것으로 판별될 경우 외부 침입이 있는 것으로 알림하는 제4단계를 포함하는 것을 특징으로 하는 IFS를 이용한 CAN 버스 공격 탐지 방법.
  3. 복수 개 CAN 버스를 가지며, 각 CAN 버스간의 데이터 프레임 전송을 담당하는 게이트웨이에 있어서,
    외부 침입이 없는 상황에서 정상적으로 전송되는 데이터 프레임들을 최소보장IFS를 유지하면서 전송되는 데이터 프레임별로 그룹화하고, 그룹화된 데이터 프레임들로부터 항상 동일한 그룹에서 전송되는 데이터 프레임을 파악하여 제1패턴으로 분류하고, 항상 다른 그룹에서 전송되는 데이터 프레임들을 파악하여 제2패턴으로 분류하여 정상적으로 전송되는 데이터 프레임들의 그룹별 전송 패턴을 사전 구축하는
    - IFS(Inter-Frame Space)는 CAN 버스상에 전송되는 데이터 프레임 사이의 시간 간격이며, 최소보장IFS는 CAN 버스상에서 연속적으로 데이터 프레임을 전송하기 위해 보장되어야 하는 최소한의 시간 간격임 -
    것을 특징으로 하는 게이트웨이.
  4. 제3항에 있어서,
    실시간으로 전송되는 데이터 프레임을 최소보장IFS를 유지하면서 전송되는 데이터 프레임별로 그룹화하고, 실시간 전송되는 그룹화된 데이터 프레임들이 사전 구축된 제1패턴 또는 제2패턴을 위배하는지 여부를 판별하고 위배하는 것으로 판별될 경우 외부 침입이 있는 것으로 알림하는 기능을 더 구비하는 것을 특징으로 하는 게이트웨이.
  5. CAN 버스에 구비되어 CAN 버스에 전송되는 데이터 프레임을 모니터링하고 외부 침입 여부를 감지하는 공격탐지장치로서,
    외부 침입이 없는 상황에서 정상적으로 전송되는 데이터 프레임들을 최소보장IFS를 유지하면서 연속적으로 전송되는 데이터 프레임별로 그룹화하고, 그룹화된 데이터 프레임들로부터 항상 동일한 그룹에서 전송되는 데이터 프레임을 파악하여 제1패턴으로 분류하고, 항상 다른 그룹에서 전송되는 데이터 프레임들을 파악하여 제2패턴으로 분류하여 정상적으로 전송되는 데이터 프레임들의 그룹별 전송 패턴을 사전 구축하는
    - IFS(Inter-Frame Space)는 CAN 버스상에 전송되는 데이터 프레임 사이의 시간 간격이며, 최소보장IFS는 CAN 버스상에서 연속적으로 데이퍼 프레임을 전송하기 위해 보장되어야 하는 최소한의 시간 간격임 -
    것을 특징으로 하는 공격탐지장치.
  6. 제5항에 있어서,
    실시간으로 전송되는 데이터 프레임을 최소보장IFS를 유지하면서 전송되는 데이터 프레임별로 그룹화하고, 실시간 전송되는 그룹화된 데이터 프레임들이 사전 구축된 제1패턴 또는 제2패턴을 위배하는지 여부를 판별하고 위배하는 것으로 판별될 경우 외부 침입이 있는 것으로 알림하는 기능을 더 구비하는 것을 특징으로 하는 공격탐지장치.
KR1020210183737A 2021-12-21 2021-12-21 Ifs를 이용한 can 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치 KR102640041B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210183737A KR102640041B1 (ko) 2021-12-21 2021-12-21 Ifs를 이용한 can 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210183737A KR102640041B1 (ko) 2021-12-21 2021-12-21 Ifs를 이용한 can 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치

Publications (2)

Publication Number Publication Date
KR20230094513A KR20230094513A (ko) 2023-06-28
KR102640041B1 true KR102640041B1 (ko) 2024-02-27

Family

ID=86994506

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210183737A KR102640041B1 (ko) 2021-12-21 2021-12-21 Ifs를 이용한 can 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치

Country Status (1)

Country Link
KR (1) KR102640041B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101714520B1 (ko) * 2015-10-30 2017-03-09 현대자동차주식회사 차량 내 네트워크 공격 탐지 방법 및 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102077200B1 (ko) 2012-10-15 2020-02-13 현대모비스 주식회사 메세지를 이용한 캔 버스 오프 감지 방법
KR102423886B1 (ko) * 2018-12-13 2022-07-22 한국전자통신연구원 차량 이더넷 네트워크에서 이상 징후 탐지 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101714520B1 (ko) * 2015-10-30 2017-03-09 현대자동차주식회사 차량 내 네트워크 공격 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR20230094513A (ko) 2023-06-28

Similar Documents

Publication Publication Date Title
US11411681B2 (en) In-vehicle information processing for unauthorized data
Matsumoto et al. A method of preventing unauthorized data transmission in controller area network
US10691631B2 (en) Broadcast bus frame filter
WO2019146976A1 (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
US11729183B2 (en) System and method for providing secure in-vehicle network
CN107508831B (zh) 一种基于总线的入侵检测方法
WO2021162473A1 (ko) 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법
US20150236940A1 (en) Method for monitoring an Ethernet-based communication network in a motor vehicle
KR100858271B1 (ko) 분산서비스거부공격 차단장치 및 그 방법
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
WO2021131193A1 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
KR20180127222A (ko) 사이버 공격에 대한 네트워크 보호 방법
KR102640041B1 (ko) Ifs를 이용한 can 버스 공격 탐지 방법, 이를 구현하는 게이트웨이 및 공격탐지장치
CN101399709B (zh) 一种网络监控方法、装置和系统
CN110832809B (zh) 检测装置、检测方法和非瞬态的计算机可读的存储介质
EP4106278A1 (en) System and method for detecting intrusion into in-vehicle network
Talebi A Security Evaluation and Internal Penetration Testing Of the CAN-bus
CN100484043C (zh) 网络防syn洪流攻击检测方法
JP2020167570A (ja) 監視装置
KR20240043982A (ko) 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치
US20080282346A1 (en) Data Type Management Unit
KR20240044036A (ko) 차량 진단 서비스 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치
KR20240111614A (ko) Bus-off 공격 탐지방법 및 비트 에러로 인한 Bus-off 공격 탐지가 가능한 CAN 버스 시스템
Rashmi Intrusion Detection System: An Approach to Autonomous Vehicles

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant