KR20150131669A - Detecting method for malicious intrusion through network by monitoring signal of electronic apparatus and vehicle for detecting malicious intrusion through network by analysing signal of ecu - Google Patents

Detecting method for malicious intrusion through network by monitoring signal of electronic apparatus and vehicle for detecting malicious intrusion through network by analysing signal of ecu Download PDF

Info

Publication number
KR20150131669A
KR20150131669A KR1020140058690A KR20140058690A KR20150131669A KR 20150131669 A KR20150131669 A KR 20150131669A KR 1020140058690 A KR1020140058690 A KR 1020140058690A KR 20140058690 A KR20140058690 A KR 20140058690A KR 20150131669 A KR20150131669 A KR 20150131669A
Authority
KR
South Korea
Prior art keywords
signal
electronic device
ecu
abnormal state
standard
Prior art date
Application number
KR1020140058690A
Other languages
Korean (ko)
Other versions
KR101673050B1 (en
Inventor
강제원
Original Assignee
이화여자대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이화여자대학교 산학협력단 filed Critical 이화여자대학교 산학협력단
Priority to KR1020140058690A priority Critical patent/KR101673050B1/en
Publication of KR20150131669A publication Critical patent/KR20150131669A/en
Application granted granted Critical
Publication of KR101673050B1 publication Critical patent/KR101673050B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Abstract

A method for sensing a network attack by monitoring an electronic device signal includes the steps of: enabling a target device, which includes at least one electronic device and transmits and receives information to and from an external network device through a communications module, to obtain a signal of the electronic device; enabling the target device to extract the feature point from the signal; and enabling the target device to determine whether the signal is abnormal by comparing the feature point with a standard feature point which is previously prepared.

Description

전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법 및 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차{DETECTING METHOD FOR MALICIOUS INTRUSION THROUGH NETWORK BY MONITORING SIGNAL OF ELECTRONIC APPARATUS AND VEHICLE FOR DETECTING MALICIOUS INTRUSION THROUGH NETWORK BY ANALYSING SIGNAL OF ECU}TECHNICAL FIELD [0001] The present invention relates to a method of detecting a network attack by monitoring an electronic device signal and a method of detecting a network attack by analyzing an ECU signal, ECU}

이하 설명하는 기술은 외부 네트워크와 연결된 장치에 포함된 전자 장치의 신호를 기준으로 네트워크 공격을 감지하는 방법에 관한 것이다.The following description relates to a method for detecting a network attack based on a signal of an electronic device included in a device connected to an external network.

네트워크 장치 또는 네트워크와 연결된 장치는 네트워크를 통한 악의적 공격을 받거나 해킹을 당할 수 있다. 이에 네트워크 관련 기술 중 공격이나 해킹을 방어하는 기술 또는 감지하는 기술에 대한 연구가 활발하게 진행되고 있다.A network device or a device connected to the network may be subjected to malicious attack via the network or may be hacked. Therefore, researches on technologies to detect attacks or hacking among network related technologies or technologies to detect them are being actively conducted.

대부분의 네트워크 공격 감지 기법은 데이터 패킷을 분석하여 네트워크 공격을 감지한다. 한편 스마트 자동차와 같이 외부와 통신을 수행하나 기본적으로 고립된 시스템에 대해서도 보안 이슈가 부각되고 있다.Most network attack detection techniques analyze data packets to detect network attacks. On the other hand, communication with outside is carried out like smart car, but security issue is also highlighted for basically isolated system.

한국공개특허 제2012-0037865호Korea Patent Publication No. 2012-0037865 한국공개특허 제2003-0055745호Korean Patent Publication No. 2003-0055745

이하 설명하는 기술은 내부 전자 장치 사이에 신호를 주고 받는 장치에서 신호를 분석하여 외부 공격과 같은 비정상 상태인지 여부를 판단하는 방법을 제공하고자 한다.A technique to be described below is to provide a method for determining whether an abnormal state such as an external attack is detected by analyzing a signal in a device for exchanging signals between internal electronic devices.

이하 설명하는 기술의 해결과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The solutions to the technical problems described below are not limited to those mentioned above, and other solutions not mentioned can be clearly understood by those skilled in the art from the following description.

전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법은 적어도 하나의 전자 장치를 포함하고, 통신 모듈을 통해 외부 네트워크 장치와 정보를 주고 받는 타깃 장치가 전자 장치의 신호를 획득하는 단계, 타깃 장치가 신호에서 특징점을 추출하는 단계 및 타깃 장치가 특징점을 사전에 마련한 표준 특징점과 비교하여 신호가 비정상 상태인지 여부를 판단하는 단계를 포함한다.A method of monitoring an electronic device signal to detect a network attack includes at least one electronic device, the target device receiving information from and communicating with an external network device via a communication module acquiring a signal of the electronic device, Extracting feature points from the feature points, and comparing the feature points with standard feature points provided in advance to determine whether the signals are in an abnormal state.

전자 장치는 통신 장치, 오디오 장치, 비디오 장치 또는 센서 장치 중 적어도 하나일 수 있다.The electronic device may be at least one of a communication device, an audio device, a video device, or a sensor device.

전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법은 획득하는 단계 전에 타깃 장치가 사전에 정상 상태 또는 비정상 상태 중 적어도 하나의 상태에서 발생하는 전자 장치의 표준 신호를 획득하고, 표준 신호에 대한 특징점을 추출하여 표준 특징점을 추출하여 메모리 장치에 저장하는 단계를 더 포함할 수 있다.A method for monitoring an electronic device signal to detect a network attack includes acquiring a standard signal of an electronic device in which the target device has previously occurred in at least one of a steady state or an abnormal state, Extracting standard feature points and storing them in a memory device.

판단하는 단계는 타깃 장치가 전자 장치의 비정상 상태인 경우의 표준 특징점 분포와 특징점의 분포가 기준값 이상 일치하면 신호를 비정상 상태라고 판단하거나, 타깃 장치가 전자 장치의 정상 상태인 경우의 표준 특징점 분포와 특징점의 분포가 기준값 이상 불일치하면 신호를 비정상 상태라고 판단할 수 있다.Determining whether the target device is in an abnormal state of the electronic device, determining that the signal is in an abnormal state if the standard feature point distribution and the distribution of the feature points coincide with a reference value or more, If the distribution of the minutiae points do not coincide with the reference value or more, the signal can be judged to be in an abnormal state.

ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차는 외부 네트워크 장치와 데이터를 주고 받는 통신 장치, 생성한 신호를 자동차 통신 프로토콜을 사용하여 내부 통신 모듈을 통해 전달하는 전자 장치, 전자 장치의 정상 상태 또는 비정상 상태 중 적어도 하나의 상태에서 전자 장치가 생성하는 표준 신호의 표준 특징점을 저장하는 메모리 장치 및 전자 장치가 생성하는 신호에서 특징점을 추출하고, 추출한 특징점과 표준 특징점을 비교하여 비정상 상태인지 여부를 판단하는 ECU 장치를 포함한다.A vehicle that analyzes ECU signals to detect a network attack is a communication device that exchanges data with an external network device, an electronic device that transmits a generated signal through an internal communication module using a communication protocol, The method comprising: extracting feature points from a memory device that stores standard feature points of standard signals generated by an electronic device in at least one of states and states generated by an electronic device, and comparing the extracted feature points with standard feature points to determine whether they are in an abnormal state And an ECU device.

전자 장치는 조향 장치, 제동 장치, 조명 장치, 동력 발생 장치, 동력 전달 장치, 동력 제어 장치, 오디오 장치, 비디오 장치, 계기판 장치 또는 내비게이션 장치 중 적어도 하나인 ECU 신호를 분석한다.The electronic device analyzes an ECU signal that is at least one of a steering device, a braking device, a lighting device, a power generating device, a power transmitting device, a power control device, an audio device, a video device, a dashboard device or a navigation device.

이하 설명하는 기술은 자동차와 같이 전자 장치가 내부 통신을 통해 신호를 주고받는 장치에서 신호 자체를 분석하여 전자 장치의 이상 상태를 감지할 수 있다. 이하 설명하는 기술은 외부로부터 수신되는 데이터 패킷을 분석하지 않고, 장치 내부에서 전자 장치에서 생성하는 제어 신호를 분석하여 전자 장치의 이상 상태를 감지하므로, 외부 공격의 종류 등에 관계없이 범용적으로 장치의 이상 상태를 감지할 수 있다.The technique described below can detect an abnormal state of an electronic device by analyzing a signal itself in an apparatus in which an electronic apparatus communicates signals through internal communication, such as an automobile. The technique described below analyzes the control signal generated in the electronic device inside the device without analyzing the data packet received from the outside, and detects the abnormal state of the electronic device. Therefore, An abnormal state can be detected.

이하 설명하는 기술의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The effects of the techniques described below are not limited to those mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the following description.

도 1은 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법에 대한 순서도의 예이다.
도 2는 특징점을 추출하여 분석하는 과정에 대한 순서도의 예이다.
도 3은 특징점 분포에 대한 예이다.
도 4는 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차의 구성을 도시한 블록도의 예이다.Figure 1 is an example of a flowchart for a method of monitoring an electronic device signal to detect a network attack.
FIG. 2 is an example of a flowchart for extracting and analyzing minutiae.
3 is an example of a feature point distribution.
4 is an example of a block diagram showing the configuration of a vehicle that analyzes a network signal by analyzing an ECU signal.

이하 설명하는 기술은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 이하 설명하는 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 이하 설명하는 기술의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The following description is intended to illustrate and describe specific embodiments in the drawings, since various changes may be made and the embodiments may have various embodiments. However, it should be understood that the following description does not limit the specific embodiments, but includes all changes, equivalents, and alternatives falling within the spirit and scope of the following description.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 해당 구성요소들은 상기 용어들에 의해 한정되지는 않으며, 단지 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 이하 설명하는 기술의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, A, B, etc., may be used to describe various components, but the components are not limited by the terms, but may be used to distinguish one component from another . For example, without departing from the scope of the following description, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

본 명세서에서 사용되는 용어에서 단수의 표현은 문맥상 명백하게 다르게 해석되지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함한다" 등의 용어는 설시된 특징, 개수, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 의미하는 것이지, 하나 또는 그 이상의 다른 특징들이나 개수, 단계 동작 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하지 않는 것으로 이해되어야 한다.As used herein, the singular " include "should be understood to include a plurality of representations unless the context clearly dictates otherwise, and the terms" comprises & , Parts or combinations thereof, and does not preclude the presence or addition of one or more other features, integers, steps, components, components, or combinations thereof.

도면에 대한 상세한 설명을 하기에 앞서, 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다. 따라서, 본 명세서를 통해 설명되는 각 구성부들의 존재 여부는 기능적으로 해석되어야 할 것이며, 이러한 이유로 이하 설명하는 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법(100) 및 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차(500)에 따른 구성부들의 구성은 이하 설명하는 기술의 목적을 달성할 수 있는 한도 내에서 대응하는 도면과는 상이해질 수 있음을 명확히 밝혀둔다.Before describing the drawings in detail, it is to be clarified that the division of constituent parts in this specification is merely a division by main functions of each constituent part. That is, two or more constituent parts to be described below may be combined into one constituent part, or one constituent part may be divided into two or more functions according to functions that are more subdivided. In addition, each of the constituent units described below may additionally perform some or all of the functions of other constituent units in addition to the main functions of the constituent units themselves, and that some of the main functions, And may be carried out in a dedicated manner. Accordingly, the presence or absence of each of the components described herein will be interpreted as a function. For this reason, a method (100) for detecting a network attack by monitoring an electronic device signal described below and an ECU signal, It is clear that the configuration of the components according to the automobile 500 that senses the vehicle can be different from the corresponding figures in so far as the object of the technique described below can be achieved.

또, 방법 또는 동작 방법을 수행함에 있어서, 상기 방법을 이루는 각 과정들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 과정들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
Also, in performing a method or an operation method, each of the processes constituting the method may take place differently from the stated order unless clearly specified in the context. That is, each process may occur in the same order as described, may be performed substantially concurrently, or may be performed in the opposite order.

이하 설명하는 기술은 적어도 하나의 전자 장치를 포함하는 타깃 장치에서 전자 장치가 생성하여 전달하는 신호 자체를 분석하여 전자 장치 또는 타깃 장치가 정상 상태인지 여부를 판단하는 것이다. 타깃 장치는 기본적으로 적어도 하나의 전자 장치로 구성되는 완제품을 의미한다. 다만 타깃 장치가 하나의 독립적인 거래 객체여야 하는 것은 아니고, 타깃 장치 자체가 독립적인 거래 객체의 부품일 수도 있다. 전자 장치는 타깃 장치를 구성하는 부품에 해당하는 장치이다.
The technique described below analyzes the signal itself generated and transmitted by the electronic device in the target device including at least one electronic device to determine whether the electronic device or the target device is in a normal state. The target device basically means a finished product composed of at least one electronic device. The target device does not have to be an independent transaction object, but the target device itself may be a part of an independent transaction object. The electronic device is a device corresponding to a component constituting the target device.

이하 설명하는 기술은 타깃 장치 또는 타깃 장치에 포함된 전자 장치의 이상 상태 여부를 판단하는 것인데, 전자 장치 자체의 기능 이상으로 인한 이상 상태보다는 타깃 장치에 포함된 통신 장치를 통해 외부로부터 수신되는 신호 또는 데이터로 인한 오동작 여부를 판단하는 것이다. 따라서 기본적으로 타깃 장치는 통신 장치를 통해 외부 네트워크를 통해 일정한 데이터 또는 신호를 전달받는 장치에 해당한다. 다만 이하 설명하는 기술은 반드시 외부 네트워크를 통해 데이터 또는 신호를 전달받아야만 하는 것은 아니며, 타깃 장치의 인터페이스 장치를 통해 직접 데이터 또는 신호를 전달받는 경우에도 적용된다.The technique described below is for determining whether or not an electronic device included in the target device or the target device is in an abnormal state. It may be a signal received from the outside through a communication device included in the target device, It is judged whether or not there is a malfunction due to the data. Therefore, the target device basically corresponds to a device that receives certain data or signals through the external network through the communication device. However, the technique described below does not necessarily have to receive data or signals through an external network, and the present invention also applies to receiving data or signals directly through the interface device of the target device.

예컨대, 타깃 장치는 자동차일 수 있고, 전자 장치는 자동차 내부에 포함된 제동 장치, 조향 장치, 동력 전달 장치 등일 수 있다. 현재 생산되는 거의 대부분의 자동차는 CAN과 같은 자동차 통신을 이용하여 전자 장치 사이에 신호를 주고 받는다. 또한 최근 VANET과 같이 자동차와 연결되는 통신 시스템에 대한 연구가 진행되고 있다. 나아가 소위 스마트 자동차라고 불리는 분야가 연구되고 있다. 즉, 자동차도 외부 네트워크를 통해 일정한 정보 내지 제어 명령을 전달받을 수 있는 것이다. 따라서 제3자가 악의적인 공격 신호를 보내어 자동차를 제어하거나, 자동차의 오동작을 야기할 가능성이 있다. 또는 제3자가 자동으로 주행되는 스마트 자동차에 DOS(denial of service) 공격을 감행하면 대형사고가 발생할 수도 있다. 이에 스마트 자동차와 같은 분야에서도 보안 이슈가 크게 부각되고 있다.For example, the target device may be an automobile, and the electronic device may be a braking device, a steering device, a power transmission device, etc. contained in the automobile. Almost all automobiles currently produced use automotive communications, such as CAN, to send and receive signals between electronic devices. Recently, researches on communication systems connected to automobiles such as VANET are being conducted. Furthermore, a field called smart car is being studied. That is, the automobile can receive certain information or control commands through the external network. Therefore, there is a possibility that a third party sends a malicious attack signal to control the vehicle or cause malfunction of the vehicle. Or a denial of service (DOS) attack on a smart car that is automatically run by a third party may result in a major accident. In the field of smart cars, security issues are also highlighted.

물론 이하 설명하는 기술은 자동차에만 적용되는 것은 아니며 전술한 바와 같이 내부적으로 전자 장치 사이에 신호 또는 데이터 패킷을 주고 받는 다양한 타깃 장치에 적용될 수 있다.
Of course, the techniques described below are not applicable to automobiles, and can be applied to various target devices that internally exchange signals or data packets between the electronic devices as described above.

이하에서는 도면을 참조하면서 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법(100) 및 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차(500)에 관하여 구체적으로 설명하겠다.
Hereinafter, a method 100 for detecting a network attack by monitoring an electronic device signal with reference to the drawings and a vehicle 500 for detecting a network attack by analyzing an ECU signal will be described in detail.

도 1은 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법(100)에 대한 순서도의 예이다.1 is an example of a flowchart for a method 100 for monitoring an electronic device signal to detect a network attack.

타깃 장치가 내부 전자 장치의 비정상 상태를 판단하기 위해서 전자 장치가 생성하는 신호 또는 데이터 패킷에 대한 특징점을 이용한다. 전자 장치가 전자 장치를 제어하는 제어 장치(중앙 처리 장치)에 전달하는 신호를 대상으로 특징점을 추출한다. 한편 데이터 패킷이 전달되는 경우 기본적으로 데이터 패킷 자체의 내용을 분석하는 것은 아니고 데이터 패킷도 일종의 전자적인 신호에 해당하므로 이를 전자 신호로 보아 전자 신호 자체의 특징을 분석하는 것이다. 예컨대, 전자 신호는 시간의 흐름에 따라 일정한 주파수와 강도를 갖는 형태로 분석될 수 있다. 나아가 전자 신호를 분석하는 다양한 방법을 사용할 수 있다. 물론 전자 장치가 전송한 데이터 패킷 자체를 분석하여 비정상 상태인지 여부를 판단할 수도 있을 것이다.
The target device uses the characteristic point for the signal or data packet generated by the electronic device to determine the abnormal state of the internal electronic device. A feature point is extracted with respect to a signal transmitted from an electronic device to a control device (central processing unit) that controls the electronic device. Meanwhile, when a data packet is transmitted, not only the contents of the data packet itself are analyzed, but the data packet also corresponds to a kind of electronic signal. Therefore, the characteristic of the electronic signal itself is analyzed by the electronic signal. For example, an electronic signal can be analyzed in a form having a constant frequency and intensity over time. Further, various methods for analyzing electronic signals can be used. Of course, the electronic device may analyze the transmitted data packet itself to determine whether it is in an abnormal state.

타깃 장치가 현재 전달되는 신호가 비정상 상태인지 여부를 판단하기 위해서는 비정상 상태 여부를 비교할 수 있는 샘플이 필요하다. 또는 정상 상태로부터 획득한 샘플의 분포로부터 일정한 문턱치(threshold)에서 크게 벗어나는 샘플을 비정상 샘플로 정의할 수 있다. 따라서 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법(100)은 먼저 표준 특징점을 마련해야 한다(110). 표준 특징점은 타깃 장치에 포함되는 적어도 하나의 전자 장치가 정상 상태 또는 비정상 상태에서 생성하는 신호에서 추출하는 특징점을 말한다. 표준 특징점은 정상 상태 또는 비정상 상태에서 전자 장치가 생성하는 신호를 학습하여 일종의 분류기(classifier) 형태로 사전에 생성할 수 있다.In order to determine whether the signal to be transmitted by the target device is abnormality, a sample that can compare the abnormality state is required. Or a sample that deviates greatly from a distribution of samples obtained from a steady state at a certain threshold value as an abnormal sample. Accordingly, a method 100 for monitoring an electronic device signal to detect a network attack must first provide a standard feature point (110). Standard feature points are feature points that are extracted from signals generated by at least one electronic device included in the target device in a steady state or an abnormal state. Standard feature points can be pre-generated in the form of a classifier by learning signals generated by an electronic device in a steady state or an abnormal state.

이후 타깃 장치가 통신 장치 또는 통신 모듈을 통해 외부 네트워크 장치로부터 일정한 데이터를 수신하게 된다(120). 이 과정은 기본적으로 외부 신호에 의해 전자 장치의 이상 상태가 발생한다고 전제하였기 때문에 필요한 것이다. 네트워크가 아닌 다른 인터페이스 장치를 통해 신호가 입력될 수도 있을 것이다.Thereafter, the target device receives certain data from the external network device through the communication device or the communication module (120). This process is basically necessary because it is assumed that an abnormal state of the electronic device occurs due to an external signal. A signal may be input through an interface device other than the network.

이후 타깃 장치가 작동하는 전자 장치의 신호를 획득하고(130), 획득한 신호에서 특징점을 추출한다(140). 타깃 장치는 추출한 특징점과 표준 특징점을 비교하여 전자 장치가 생성한 신호가 비정상 상태인지 여부를 판단하게 된다(150). 즉 전자 장치가 외부 신호에 의해 의도하지 않은 비정상적인 신호를 생성하였는지 여부를 판단하는 것이다.
The target device then acquires the signal of the operating electronic device (130) and extracts feature points from the acquired signal (140). The target device compares the extracted feature points with standard feature points to determine whether the signal generated by the electronic device is in an abnormal state (150). That is, whether the electronic device has generated an unintended abnormal signal by an external signal.

이상 여부를 판단하기 위한 대상이 되는 신호에서 특징점을 추출하는 과정과 표준 특징점을 추출하는 과정은 사실 동일하다. 다만 표준 특징점을 추출하는 과정은 정상 상태 또는 비정상 상태에서 한 번 발생하는 신호를 대상으로 수행하지 않고 보다 정확한 비교값을 마련하기 위하여 복수의 신호를 대상으로 수행하는 것이 바람직하다. 즉, 일정한 상태에서 발생하는 복수의 신호를 대상으로 특징점을 추출하여 학습된 샘플을 마련하는 것이다.
The process of extracting feature points from the signal to be anomaly and extracting standard feature points are in fact the same. However, it is preferable that the process of extracting standard feature points is performed on a plurality of signals in order to provide a more accurate comparison value without performing a signal generated once in a normal state or an abnormal state. That is, a feature point is extracted from a plurality of signals generated in a predetermined state to prepare a learned sample.

도 2는 특징점을 추출하여 분석하는 과정(200)에 대한 순서도의 예이다. 특징점을 추출하여 분석하는 과정(200)은 전자 장치가 전송하는 신호를 회득하는 단계(210), 획득한 신호에서 노이즈를 제거하는 단계(220, 노이즈를 제거한 신호에 데이터의 특징점을 추출하는 기법을 적용하여 기저 함수 형태의 특징점을 생성하는 단계(230), 필요한 경우 특징점의 차원을 감소하는 단계(240) 및 사전에 학습된 분류기(표준 특징점)를 이용하여 특징점을 분석하는 단계(250)를 포함한다.Figure 2 is an example of a flowchart for a process 200 for extracting and analyzing minutiae. A method 200 for extracting and analyzing minutiae points comprises a step 210 of receiving a signal transmitted by an electronic device, a step 220 of removing noise from the acquired signal, a technique of extracting minutiae points of data from the noise- A step 230 of generating feature points in the form of a base function, a step 240 of reducing the dimension of the feature points if necessary, and a step 250 of analyzing the feature points using the learned classifiers (standard feature points) do.

전자 장치가 생성하는 신호는 통신 프로토콜을 통해 전송하는 데이터 패킷, 디지털 신호 또는 아날로그 신호일 수 있다.The signal generated by the electronic device may be a data packet, a digital signal, or an analog signal that is transmitted over a communication protocol.

전자 장치가 주변 데이터를 수집하는 장치 또는 사용자의 제어 명령을 수집하는 센서 장치라면, 획득한 신호는 주위 소음 또는 기계적 진동으로 인한 잡음에 노출이 되어 왜곡될 수 있다. 따라서 노이즈를 제거하는 전처리 과정(220)이 필요할 수 있다.If the electronic device is a device for collecting peripheral data or a sensor device for collecting control instructions of a user, the obtained signal may be distorted due to exposure to noise due to ambient noise or mechanical vibration. Thus, a preprocessing process 220 for removing noise may be required.

데이터, 빅데이터 등에서 특징점을 추출하는 기법은 희소 부호화 또는 주성분 분석(PCA) 등이 있다. 따라서 이후 신호를 기저 함수(base function) 형태로 만들기 위하여 희소 부호화(sparse transform) 또는 주성분 분석(PCA: principal component analysis) 등을 수행하여 특징점을 생성한다(230). 희소 부호화 또는 PCA는 특정한 데이터 또는 신호를 기저 함수로 변환하는 대표적인 방식 중 하나이다. 따라서 신호에서 특징만을 추출하는 다양한 다른 방식이 사용될 수도 있을 것이다.Techniques for extracting feature points from data, big data, etc., include sparse encoding or principal component analysis (PCA). Therefore, a sparse transform or principal component analysis (PCA) is performed to generate a feature point in order to convert the signal into a base function form (230). Sparse encoding or PCA is one of the typical ways of converting specific data or signals into basis functions. Thus, various other schemes for extracting only features from the signal may be used.

특징점은 기저함수와 계수로 표현되는데 지나친 고차원 신호는 계산량이 많이 필요하고 때로는 부정확한 결과를 유도할 수 있기 때문에 함수의 차원을 감소시킬 수도 있다(240).The feature point is expressed as a basis function and a coefficient. An excessively high-dimensional signal can reduce the dimension of the function because it requires a large amount of computation and sometimes leads to an incorrect result (240).

노이즈 제거 과정(220), 기저 함수화 과정(230) 및 차원 감소 과정(240)은 종래 신호 분석을 위한 다양한 연구에서 공개된 기술을 사용할 수 있기 때문에 자세한 설명은 생략한다.Since the noise removal process 220, the base functionization process 230, and the dimension reduction process 240 can use techniques disclosed in various studies for conventional signal analysis, a detailed description will be omitted.

이후 사전에 학습된 분류기에 해당하는 표준 특징점을 이용하여 전자 장치가 생성하거나 획득한 신호를 분석하게 된다(250).Thereafter, the signal generated or acquired by the electronic device is analyzed 250 using standard feature points corresponding to the classifier learned in advance.

한편 타깃 장치는 다양한 구동 상태를 가질 수 있다. 예컨대, 정상적인 구동 상태, 에너지를 많이 소비하는 구동 상태, 에너지를 적게 소비하는 대기 상태 등이 있을 수 있다. 따라서 타깃 장치의 각 구동 상태에 따른 표준 특징점을 사전에 마련하고 현재의 구동 상태를 판단하여 전자 장치의 현재 신호와 대응되는 표준 특징점을 비교하여 분석하는 것이 바람직하다.
Meanwhile, the target device may have various driving states. For example, there may be a normal driving state, a driving state consuming a large amount of energy, a standby state consuming less energy, and the like. Therefore, it is preferable that standard feature points according to the respective driving states of the target device are provided in advance and the current driving state is determined, and the current signals of the electronic device are compared with corresponding standard feature points.

전자 장치 및 분석 대상인 신호에 대해 좀더 설명하고자 한다. 전자 장치는 신호를 별도로 수집하는 장치 또는 중앙 제어 장치에 해당하는 연산 장치에 전달하고, 타깃 장치는 신호를 수집 내지 수신한 장치를 통해 상기 신호를 획득한다. 중앙 제어 장치가 신호를 수신한다면 중앙 제어 장치에서 해당 신호를 분석할 수 있다.Electronic devices and signals to be analyzed. The electronic device transmits the signal to a separate collecting device or a calculating device corresponding to the central control device, and the target device collects the signal or acquires the signal through the receiving device. If the central control unit receives a signal, the central control unit can analyze the signal.

전자 장치는 통신 장치, 오디오 장치, 비디오 장치 또는 센서 장치 중 적어도 하나일 수 있다. 통신 장치는 외부 네트워크에 연결된 통신 모듈 및 내부 전자 장치에 포함되어 내부 통신을 수행하는 통신 모듈을 포함하는 의미이다. 센서 장치는 주변 정보를 수집하는 장치 또는 외부 입력에 따라 특정 신호를 생성하는 장치이다. The electronic device may be at least one of a communication device, an audio device, a video device, or a sensor device. The communication device includes a communication module connected to an external network and a communication module included in the internal electronic device and performing internal communication. The sensor device is a device that collects peripheral information or a device that generates a specific signal according to an external input.

한편 타깃 장치가 분석하는 대상이 되는 신호는 하나 이상의 전자 장치가 전달한 신호일 수 있다. 즉, 복수의 전자 장치가 동시 또는 시간 간격을 두고 전달한 신호를 같이 분석할 수 있다. 이 경우 각각의 전자 장치에서 전달한 신호인 저차원 신호를 조합하여 하나의 고차원 신호를 생성하고, 고차원 신호를 대상으로 기저 하수를 생성하게 된다. 즉, 타깃 장치에 복수의 전자 장치가 존재하는 경우 또는 하나의 전자 장치에서 서로 다른 입력에 따른 신호를 생성하는 경우에는 분석 대상인 신호가 다양한 형태의 조합일 수 있다. On the other hand, the signal to be analyzed by the target device may be a signal transmitted by one or more electronic devices. That is, it is possible to analyze signals transmitted by a plurality of electronic devices simultaneously or at intervals. In this case, one low-dimensional signal, which is a signal transmitted from each electronic device, is combined to generate one high-dimensional signal, and a low-level signal is used to generate the groundwater. That is, when a plurality of electronic devices exist in the target device or when signals are generated according to different inputs in one electronic device, the signals to be analyzed may be various combinations of types.

경우에 따라서는 복수의 전자 장치에서 발생한 신호에서 각각 특징점을 추출하고, 각 전자 장치의 특징점을 조합한 특징점 집합을 대상으로 분석을 수행할 수도 있을 것이다.
In some cases, feature points may be extracted from signals generated by a plurality of electronic devices, and analysis may be performed on a set of feature points obtained by combining feature points of each electronic device.

도 3은 특징점 분포에 대한 예이다. 도 3은 3차원 좌표를 예로 도시한 것인데 각각의 축에 해당하는 변수는 다양한 값이 될 수 있다. 예컨대, 하나의 전자 장치에서 생성한 신호는 x축이 시간이고, y축이 주파수이고, z축인 신호의 세기일 수 있다. 또는 복수의 전자 장치에서 생성한 신호라면 하나의 축이 전자 장치의 종류가 될 수도 있다. 또는 다양한 방식에 의하여 조합하여 생성한 신호라면 조합하기 전 각각의 신호를 각 축에 대응하여 표현할 수 있다.3 is an example of a feature point distribution. FIG. 3 shows an example of three-dimensional coordinates. Variables corresponding to each axis can be various values. For example, the signal generated in one electronic device may be the intensity of a signal that is x-axis time, y-axis frequency, and z-axis. Or a signal generated by a plurality of electronic devices, one axis may be a type of the electronic device. Or a combination of signals by various methods, signals can be represented corresponding to respective axes before combining.

도 3은 3차원 좌표를 예로 들었으나, 특징점은 2차원 좌표에 분포할 수도 있고, 4차원 이상의 좌표에 분포할 수도 있다. 결국 특징점은 시간, 주파수, 전자 장치의 종류 및 신호의 세기 등을 포함하는 좌표축 중 적어도 2개의 축을 갖는 좌표에 위치한다고 할 수 있다. 다차원 좌표는 차원감소과정(240)에 의하여 더 작은 차수의 좌표로 대응할 수 있다.
3 illustrates an example of three-dimensional coordinates, the minutiae may be distributed in two-dimensional coordinates or in four-dimensional or more coordinates. As a result, it can be said that the feature point is located at a coordinate having at least two axes among the coordinate axes including time, frequency, kind of electronic device, signal intensity, and the like. The multidimensional coordinates may correspond to a smaller degree of coordinates by the diminishing process 240.

신호를 분석하는 단계(150, 250)에서 타깃 장치가 전자 장치의 비정상 상태인 경우의 표준 특징점 분포와 특징점의 분포가 기준값 이상 일치하면 신호를 비정상 상태라고 판단할 수 있다. 또는 타깃 장치가 전자 장치의 정상 상태인 경우의 표준 특징점 분포와 특징점의 분포가 기준값 이상 불일치하면 신호를 비정상 상태라고 판단할 수도 있다. 결국 분석 대상인 신호의 특징점의 분포와 표준 특징점의 분포를 비교하여 일정한 영역에 위치하는지 또는 해당 영역을 벗어나는지 여부로 신호의 이상 상태 여부를 판단하게 된다. In the signal analysis step 150, 250, if the distribution of the standard feature point and the distribution of the feature point in the case where the target device is in an abnormal state of the electronic device is equal to or more than the reference value, it can be determined that the signal is in an abnormal state. Or if the distribution of the standard feature points and the distribution of the feature points in the case where the target apparatus is in the normal state of the electronic apparatus is not equal to or more than the reference value, the signal may be determined as an abnormal state. As a result, the distribution of the minutiae points of the signal to be analyzed and the distribution of the standard minutiae points are compared with each other to determine whether the signals are in an abnormal state whether they are located in a certain region or are out of the region.

예컨대, 정상 상태를 나타내는 학습된 영역이 있다면 해당 영역 내에 특징점이 모두 위치하면 정상 상태이고, 특징점이 일부 정상 상태의 영역을 벗어나지만 벗어난 개수 또는 벗어난 거리가 기준값 이내라면 정상 상태라고 판단할 수 있다. 반대로 비정상 상태를 나타내는 학습된 영역이 있다면 해당 영역 내에 특징점이 모두 위치하면 비정상 상태이고, 특징점이 일부 비정상 상태의 영역을 벗어나지만 벗어난 개수 또는 벗어난 거리가 기준값 이내라면 비정상 상태라고 판단할 수도 있다.
For example, if there is a learned region showing a steady state, it can be determined that all of the feature points are located in a normal state, and the feature points are out of a region of a normal state, Conversely, if there is a learned region indicating an abnormal state, it may be determined that an abnormal state is present if all of the feature points are located in the corresponding region, and the feature point is out of the region of some abnormal state.

전술한 바와 같이 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법(100)은 다양한 타깃 장치에 적용될 수 있다. 이하 타깃 장치 중 하나에 해당하는 자동차를 대상으로 장치에 대한 설명을 하고자 한다.A method 100 for monitoring network attacks by monitoring electronic device signals as described above may be applied to a variety of target devices. Hereinafter, a description will be given of a vehicle corresponding to one of the target devices.

도 4는 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차(500)의 구성을 도시한 블록도의 예이다. ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차(500)는 외부 네트워크 장치와 데이터를 주고 받는 통신 장치(540), 생성한 신호를 자동차 통신 프로토콜을 사용하여 내부 통신 모듈을 통해 전달하는 전자 장치(510), 전자 장치의 정상 상태 또는 비정상 상태 중 적어도 하나의 상태에서 전자 장치가 생성하는 표준 신호의 표준 특징점을 저장하는 메모리 장치(530) 및 전자 장치가 생성하는 신호에서 특징점을 추출하고, 추출한 특징점과 표준 특징점을 비교하여 비정상 상태인지 여부를 판단하는 ECU 장치(520)를 포함한다.4 is an example of a block diagram showing the configuration of the automobile 500 that analyzes the ECU signal to detect a network attack. The vehicle 500 that analyzes the ECU signal to detect a network attack includes a communication device 540 that exchanges data with an external network device, an electronic device 510 that transmits the generated signal through an internal communication module using a vehicle communication protocol A memory device 530 for storing standard feature points of a standard signal generated by the electronic device in at least one of a steady state or an abnormal state of the electronic device and a feature point extraction section for extracting feature points from the signal generated by the electronic device, And an ECU device 520 for comparing standard feature points to determine whether or not the vehicle is in an abnormal state.

도 4에서 도시한 자동차(500)는 외부 네트워크와 통신을 수행하는 자동차에 해당한다. 외부 통신은 자동차의 통신 장치(540)를 통해 수행되고, 통신 장치(540)가 통신하는 직접적인 대상은 도로 주변에 위치한 로드 사이드 유닛(RSU: road side unit, 50A)이거나, 이동 통신 네트워크의 기지국 또는 근거리 무선 통신을 위한 기지국(일종의 AP, 50B)이거나, VANET에서 주변에 위치한 다른 자동차(50C)일 수 있다. 통신 장치(540)는 일정한 신호 내지 데이터를 ECU 장치(520)에 전달하고, ECU 장치(520)로부터 신호를 외부로 전달한다.The automobile 500 shown in FIG. 4 corresponds to a vehicle that performs communication with an external network. External communication is performed through the vehicle's communication device 540 and the direct object with which the communication device 540 communicates is either a road side unit (RSU) 508 located near the road or a base station It may be a base station (AP, 50B) for short-range wireless communication or another vehicle 50C located in the vicinity of the VANET. The communication device 540 transmits a predetermined signal or data to the ECU device 520 and transmits a signal from the ECU device 520 to the outside.

도 4에서는 자동차에 포함되는 다양한 전자 장치(510) 중 몇 가지를 예로 도시하였다. 감속 페달(510A), 가속 페달(510B), 제동 장치(510C) 및 엔진 장치(510D)를 전자 장치(510)에 대한 예로 도시하였다. In FIG. 4, some of the various electronic devices 510 included in the automobile are shown as an example. The deceleration pedal 510A, the accelerator pedal 510B, the braking device 510C and the engine device 510D are shown as an example for the electronic device 510. [

전술한 바와 같이 현재 자동차는 각 구성이 유선으로 연결되어 있지 않고, 사용자가 감속 페달(510A)을 밟으면 밟은 정도에 따라 일정한 신호를 자동차용 근거리 무선 통신(CAN)을 통해 중앙 처리 장치에 해당하는 ECU(electronic control unit) 장치(520)에 전달하고, ECU 장치(520)는 이 신호를 분석하여 바퀴에 장착된 제동 장치(510C)에 일정한 정도의 감속 신호를 전달한다. 또한 가속 페달(510B)을 밝은 경우도 CAN을 통해 ECU 장치(520)를 거쳐 엔진 장치(510D)에 일정한 신호가 전달된다. 감속 및 가속에 대한 구체적인 내용 및 관여하는 구체적인 부품에 대해서는 해당 분야의 상식에 해당하므로 설명을 생략한다.As described above, the current car is not connected to each other by wire, and a certain signal is transmitted to the ECU (Central Processing Unit) through a short range wireless communication (CAN) according to the degree that the user depresses the deceleration pedal 510A. (electronic control unit) device 520, and the ECU device 520 analyzes the signal and transmits a deceleration signal of a certain degree to the braking device 510C mounted on the wheel. Also, even when the accelerator pedal 510B is bright, a constant signal is transmitted to the engine device 510D via the ECU device 520 via the CAN. Details of deceleration and acceleration and specific parts involved are the same as common sense in the field, so the description is omitted.

타깃 장치가 자동차인 경우 전자 장치(510)는 조향 장치, 제동 장치, 조명 장치, 동력 발생 장치, 동력 전달 장치, 동력 제어 장치, 오디오 장치, 비디오 장치, 계기판 장치 또는 내비게이션 장치 중 적어도 하나에 해당할 수 있다. 조명 장치는 외부 조명 및 실내 조명 장치를 포함하는 의미이다. 동력 제어 장치는 가속 페달, 엔진의 밸브 등을 포함하는 의미이다.
When the target device is an automobile, the electronic device 510 corresponds to at least one of a steering device, a braking device, a lighting device, a power generating device, a power transmitting device, a power control device, an audio device, a video device, . The lighting device is meant to include an exterior lighting and an interior lighting device. The power control device includes an accelerator pedal, a valve of an engine, and the like.

ECU 장치(520)는 전자 장치의 신호에 특징점 추출 기법을 적용하여 기저 함수 형태로 특징점을 추출한다. 전술한 바와 같이 특징점 추출 기법은 희소 부호화(sparse coding) 또는 주성분 분석(PCA) 등이 있다. 표준 특징점은 사전에 정상 상태 또는 비정상 상태 중 적어도 하나의 상태에서 발생하는 전자 장치의 표준 신호에 대한 특징점에 해당한다. 특징점 추출 및 표준 특징점 준비는 전술한 과정과 동일하다.The ECU device 520 extracts feature points in the form of a basis function by applying a feature point extraction technique to the signal of the electronic device. As described above, the feature point extraction technique includes sparse coding or principal component analysis (PCA). The standard feature point corresponds to the feature point for the standard signal of the electronic device which occurs in advance in at least one of the steady state or the abnormal state. Feature point extraction and standard feature point preparation are the same as described above.

ECU 장치(520)는 전자 장치의 비정상 상태인 경우의 표준 특징점 분포와 특징점의 분포가 기준값 이상 일치하면 신호를 비정상 상태라고 판단하거나, 전자 장치의 정상 상태인 경우의 표준 특징점 분포와 특징점의 분포가 기준값 이상 불일치하면 신호를 비정상 상태라고 판단한다. 이는 전술한 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법(100)과 동일하다.The ECU apparatus 520 determines that the signal is in an abnormal state when the distribution of the standard feature point and the feature point in the abnormal state of the electronic apparatus coincide with the reference value or more or the standard feature point distribution and the distribution of the feature point in the normal state of the electronic apparatus are If it does not coincide with the reference value or more, it is judged that the signal is in an abnormal state. This is the same as the method 100 for monitoring network attacks by monitoring the electronic device signals described above.

나아가 자동차의 다양한 전자 장치(510)에서 발생하는 신호는 자동차의 주행 상태 등에 따라 달라질 수 있다. 예컨대, 정속 주행 상태, 가속 상태, 감속 상태 또는 정지 상태에 따라 전자 장치(510)에서 발생하는 신호가 다를 수 있다. 이에 따라 정속 주행 상태, 가속 상태, 감속 상태 및 정지 상태 각각에 대해 표준 특징점을 사전에 마련하고, ECU 장치(520)가 현재 자동차의 상태를 판단하여 전자 장치(510)에서 발생하는 신호와 현재 상태의 대응되는 표준 특징점을 비교하여 신호의 비정상 상태 여부를 판단하는 것이 바람직하다.
Further, the signals generated by the various electronic devices 510 of the automobile may vary depending on the running state of the automobile or the like. For example, signals generated in the electronic device 510 may vary depending on the constant speed running state, the acceleration state, the deceleration state, or the stop state. Accordingly, standard feature points are provided in advance for the constant speed running state, the acceleration state, the deceleration state, and the stop state, and the ECU device 520 determines the current state of the vehicle, It is preferable to determine whether the signal is in an abnormal state by comparing the corresponding standard feature points of the signal.

한편 ECU 장치(520)는 전자 장치가 정상 상태인지 또는 비정상 상태인지 여부에 대한 정보를 통신 장치를 통해 외부 네트워크 장치에 전달할 수도 있다. VANET 등으로 자동차를 제어하는 시스템 경우 중앙 제어 시스템에 각 자동차의 상황을 제어하기 위해 일정한 정보가 필요하기 때문이다.
On the other hand, the ECU device 520 may transmit information to the external network device via the communication device whether the electronic device is in a normal state or an abnormal state. In the case of a system that controls a vehicle using a VANET, the central control system requires certain information to control the situation of each vehicle.

본 실시예 및 본 명세서에 첨부된 도면은 전술한 기술에 포함되는 기술적 사상의 일부를 명확하게 나타내고 있는 것에 불과하며, 전술한 기술의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시예는 모두 전술한 기술의 권리범위에 포함되는 것이 자명하다고 할 것이다.It should be noted that the present embodiment and the drawings attached hereto are only a part of the technical idea included in the above-described technology, and those skilled in the art will readily understand the technical ideas included in the above- It is to be understood that both variations and specific embodiments which can be deduced are included in the scope of the above-mentioned technical scope.

500 : 자동차 510 : 전자 장치
520 : ECU 장치 530 : 메모리 장치
540 : 통신 장치 50A : RSU
50B : AP 50C : 다른 자동차500: vehicle 510: electronic device
520: ECU device 530: memory device
540: Communication device 50A: RSU
50B: AP 50C: Other cars

Claims (14)

적어도 하나의 전자 장치를 포함하고, 통신 모듈을 통해 외부 네트워크 장치와 정보를 주고 받는 타깃 장치가 상기 전자 장치의 신호를 획득하는 단계;
상기 타깃 장치가 상기 신호에서 특징점을 추출하는 단계; 및
상기 타깃 장치가 상기 특징점을 사전에 마련한 표준 특징점과 비교하여 상기 신호가 비정상 상태인지 여부를 판단하는 단계를 포함하는 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법.The method comprising: receiving at least one electronic device, wherein a target device communicating information with an external network device via a communication module obtains a signal of the electronic device;
The target device extracting feature points from the signal; And
And comparing the feature point with standard feature points previously provided by the target device to determine whether the signal is in an abnormal state. 제1항에 있어서,
상기 획득하는 단계는
상기 타깃 장치가 상기 전자 장치로부터 상기 타깃 장치 내부의 신호 수집 장치 또는 연산 장치가 수신하는 상기 신호를 획득하는 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법.The method according to claim 1,
The obtaining step
Wherein the target device is monitoring an electronic device signal from the electronic device acquiring the signal received by the signal acquisition device or computing device within the target device. 제1항에 있어서,
상기 전자 장치는
통신 장치, 오디오 장치, 비디오 장치 또는 센서 장치 중 적어도 하나인 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법.The method according to claim 1,
The electronic device
A method for monitoring a network attack by monitoring an electronic device signal that is at least one of a communication device, an audio device, a video device, or a sensor device. 제1항에 있어서,
상기 추출하는 단계에서
상기 타깃 장치가 상기 신호에 대한 특징점 분석 기법을 적용하여 기저 함수 형태로 상기 특징점을 추출하는 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법.The method according to claim 1,
In the extracting step
Wherein the target device monitors an electronic device signal extracting the minutiae points as a basis function by applying a minutia analysis technique to the signal to detect a network attack. 제4항에 있어서,
상기 특징점은 시간, 주파수, 전자 장치의 종류 및 신호의 세기를 포함하는 좌표축 중 적어도 2개의 축을 갖는 좌표에 위치하는 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법.5. The method of claim 4,
Wherein the feature point is located at a coordinate having at least two axes of a time axis, a frequency, a kind of an electronic device, and a coordinate axis including a strength of a signal. 제1항에 있어서,
상기 획득하는 단계 전에
상기 타깃 장치가 사전에 정상 상태 또는 비정상 상태 중 적어도 하나의 상태에서 발생하는 상기 전자 장치의 표준 신호를 획득하고, 상기 표준 신호에 대한 특징점을 추출하여 상기 표준 특징점을 추출하여 메모리 장치에 저장하는 단계를 더 포함하는 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법.The method according to claim 1,
Before the obtaining step
Acquiring a standard signal of the electronic device in which the target device occurs in at least one of a normal state and an abnormal state in advance, extracting characteristic points for the standard signal, extracting the standard characteristic points, and storing the standard characteristic points in a memory device Further comprising the steps of: detecting an electronic device signal, 제1항에 있어서,
상기 판단하는 단계는
상기 타깃 장치가 상기 전자 장치의 비정상 상태인 경우의 상기 표준 특징점 분포와 상기 특징점의 분포가 기준값 이상 일치하면 상기 신호를 비정상 상태라고 판단하거나, 상기 타깃 장치가 상기 전자 장치의 정상 상태인 경우의 상기 표준 특징점 분포와 상기 특징점의 분포가 기준값 이상 불일치하면 상기 신호를 비정상 상태라고 판단하는 전자 장치 신호를 모니터링하여 네트워크 공격을 감지하는 방법.The method according to claim 1,
The determining step
Determining that the signal is in an abnormal state if the distribution of the standard feature point and the distribution of the feature points in the case where the target device is in an abnormal state of the electronic device is equal to or more than a reference value, And monitoring the electronic device signal for determining that the signal is in an abnormal state if the distribution of the standard feature point and the distribution of the feature point do not match the reference value or more. 외부 네트워크 장치와 데이터를 주고 받는 통신 장치;
생성한 신호를 내부 통신 모듈을 통해 전달하는 전자 장치;
상기 전자 장치의 정상 상태 또는 비정상 상태 중 적어도 하나의 상태에서 상기 전자 장치가 생성하는 표준 신호의 표준 특징점을 저장하는 메모리 장치; 및
상기 전자 장치가 생성하는 상기 신호에서 특징점을 추출하고, 상기 추출한 특징점과 상기 표준 특징점을 비교하여 비정상 상태인지 여부를 판단하는 ECU 장치를 포함하되, 상기 통신 장치는 상기 ECU 장치로 신호를 전달하는 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차.A communication device for exchanging data with an external network device;
An electronic device for transmitting the generated signal through an internal communication module;
A memory device for storing standard feature points of a standard signal generated by the electronic device in at least one of a steady state or an abnormal state of the electronic device; And
And an ECU device for extracting a feature point from the signal generated by the electronic device and comparing the extracted feature point with the standard feature point to determine whether or not it is in an abnormal state, A car that detects network attacks by analyzing signals. 제8항에 있어서,
상기 전자 장치는
조향 장치, 제동 장치, 조명 장치, 동력 발생 장치, 동력 전달 장치, 동력 제어 장치, 오디오 장치, 비디오 장치, 계기판 장치 또는 내비게이션 장치 중 적어도 하나인 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차.9. The method of claim 8,
The electronic device
An automobile that detects a network attack by analyzing an ECU signal, which is at least one of a steering device, a braking device, a lighting device, a power generating device, a power transmitting device, a power control device, an audio device, a video device, a dashboard device or a navigation device. 제8항에 있어서,
상기 ECU 장치는
상기 신호에 대한 특징점 분석 기법을 적용하여 기저 함수 형태로 상기 특징점을 추출하는 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차.9. The method of claim 8,
The ECU device
And analyzing an ECU signal for extracting the feature points in a base function form by applying a feature point analysis technique to the signal to detect a network attack. 제8항에 있어서,
상기 표준 특징점은
사전에 정상 상태 또는 비정상 상태 중 적어도 하나의 상태에서 발생하는 상기 전자 장치의 표준 신호에 대한 특징점인 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차.9. The method of claim 8,
The standard feature points
Wherein a network attack is detected by analyzing an ECU signal which is a feature point of a standard signal of the electronic device which occurs in at least one of a normal state or an abnormal state in advance. 제9항에 있어서,
상기 ECU 장치는
상기 전자 장치의 비정상 상태인 경우의 상기 표준 특징점 분포와 상기 특징점의 분포가 기준값 이상 일치하면 상기 신호를 비정상 상태라고 판단하거나, 상기 전자 장치의 정상 상태인 경우의 상기 표준 특징점 분포와 상기 특징점의 분포가 기준값 이상 불일치하면 상기 신호를 비정상 상태라고 판단하는 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차.10. The method of claim 9,
The ECU device
Wherein the control unit determines that the signal is in an abnormal state when the distribution of the standard feature point and the distribution of the feature points in the abnormal state of the electronic apparatus are equal to or greater than a reference value or determines that the standard feature point distribution and the distribution The ECU analyzes the ECU signal to determine that the signal is in an abnormal state to detect a network attack. 제9항에 있어서,
상기 ECU 장치는
상기 전자 장치가 정상 상태인지 또는 비정상 상태인지 여부에 대한 정보를 상기 통신 장치를 통해 외부 네트워크 장치에 전달하는 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차.10. The method of claim 9,
The ECU device
Wherein the ECU analyzes the ECU signal transmitting the information on whether the electronic device is in a normal state or an abnormal state to the external network device through the communication device to detect a network attack. 제9항에 있어서,
상기 메모리 장치는 자동차의 정속 주행 상태, 가속 상태, 감속 상태 또는 정지 상태 각각에 대한 표준 특징점을 저장하고, 상기 ECU 장치는 자동차의 현재 주행 상태에 따른 표준 특징점과 상기 전자 장치에서 생성한 신호의 특징점을 비교하여 비정상 상태인지 여부를 판단하는 ECU 신호를 분석하여 네트워크 공격을 감지하는 자동차.10. The method of claim 9,
Wherein the memory device stores standard feature points for each of the constant speed running state, the acceleration state, the deceleration state, and the stop state of the automobile, and the ECU device is configured to store standard feature points according to the current driving state of the automobile and feature points And detects a network attack by analyzing an ECU signal that determines whether or not the vehicle is in an abnormal state.
KR1020140058690A 2014-05-16 2014-05-16 Detecting method for malicious intrusion through network by monitoring signal of electronic apparatus and vehicle for detecting malicious intrusion through network by analysing signal of ecu KR101673050B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140058690A KR101673050B1 (en) 2014-05-16 2014-05-16 Detecting method for malicious intrusion through network by monitoring signal of electronic apparatus and vehicle for detecting malicious intrusion through network by analysing signal of ecu

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140058690A KR101673050B1 (en) 2014-05-16 2014-05-16 Detecting method for malicious intrusion through network by monitoring signal of electronic apparatus and vehicle for detecting malicious intrusion through network by analysing signal of ecu

Publications (2)

Publication Number Publication Date
KR20150131669A true KR20150131669A (en) 2015-11-25
KR101673050B1 KR101673050B1 (en) 2016-11-04

Family

ID=54845461

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140058690A KR101673050B1 (en) 2014-05-16 2014-05-16 Detecting method for malicious intrusion through network by monitoring signal of electronic apparatus and vehicle for detecting malicious intrusion through network by analysing signal of ecu

Country Status (1)

Country Link
KR (1) KR101673050B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101857554B1 (en) * 2017-11-14 2018-05-14 조선대학교산학협력단 External data intrusion detection apparatus and method for vehicles
KR20180123557A (en) * 2016-04-01 2018-11-16 더 리젠츠 오브 더 유니버시티 오브 미시건 Fingerprint recognition electronic control device for vehicle intrusion detection

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030055745A (en) 2001-12-27 2003-07-04 주식회사 하이닉스반도체 Electronic chip attack detector device
KR20120037865A (en) 2010-10-12 2012-04-20 한국전자통신연구원 Apparatus and method for detecting abnormal host by using session monitoring
WO2014061021A1 (en) * 2012-10-17 2014-04-24 Tower-Sec Ltd. A device for detection and prevention of an attack on a vehicle

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030055745A (en) 2001-12-27 2003-07-04 주식회사 하이닉스반도체 Electronic chip attack detector device
KR20120037865A (en) 2010-10-12 2012-04-20 한국전자통신연구원 Apparatus and method for detecting abnormal host by using session monitoring
WO2014061021A1 (en) * 2012-10-17 2014-04-24 Tower-Sec Ltd. A device for detection and prevention of an attack on a vehicle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김승호, "응용 프로그램 차별화된 서비스 제공을 위한 실시간 트래픽 분류 방법 개발", 경북대학교 (2013.)* *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180123557A (en) * 2016-04-01 2018-11-16 더 리젠츠 오브 더 유니버시티 오브 미시건 Fingerprint recognition electronic control device for vehicle intrusion detection
US11044260B2 (en) 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
KR101857554B1 (en) * 2017-11-14 2018-05-14 조선대학교산학협력단 External data intrusion detection apparatus and method for vehicles

Also Published As

Publication number Publication date
KR101673050B1 (en) 2016-11-04

Similar Documents

Publication Publication Date Title
CN110494330B (en) Vehicle monitoring device, fraud detection server, and control method
Choi et al. Identifying ecus using inimitable characteristics of signals in controller area networks
CN110300686B (en) Data analysis device and storage medium
CN109215170B (en) Driving data storage method, device and equipment
CN110226310B (en) Electronic control device, fraud detection server, in-vehicle network system, in-vehicle network monitoring system, and method
Wang et al. A road quality detection method based on the mahalanobis-taguchi system
Xun et al. VehicleEIDS: A novel external intrusion detection system based on vehicle voltage signals
JP2019029961A (en) Detector, detection method and detection program
US11595431B2 (en) Information processing apparatus, moving apparatus, and method
US11180154B2 (en) Fingerprinting drivers based on vehicle turns
US11962605B2 (en) Information processing apparatus, data analysis method and program
CN110325410B (en) Data analysis device and storage medium
US11130455B2 (en) Vehicle security enhancement
CN110535650A (en) Method and apparatus for being verified to the message by bus transfer
KR101673050B1 (en) Detecting method for malicious intrusion through network by monitoring signal of electronic apparatus and vehicle for detecting malicious intrusion through network by analysing signal of ecu
US20160148447A1 (en) Method, system and computer-readable recording medium for managing abnormal state of vehicle
CN111753716B (en) Parking line pressing detection method and server
Saeed et al. A review: Cybersecurity challenges and their solutions in connected and autonomous vehicles (CAVs)
EP3642715A1 (en) Method for detecting a disruption in a vehicle's communication system by checking for abnormalities in communication
CN107111757B (en) Lane line detection method and device
JP7176564B2 (en) Monitoring device and monitoring method
EP4068690A1 (en) Attack analyzer, attack analysis method and attack analysis program
CN110997441A (en) Method and device for determining driving behavior
CN108128264B (en) Driver identity recognition method and device
Ibrahim et al. Vehicle in-cabin contactless wifi human sensing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20191001

Year of fee payment: 4