KR20200130968A - A system and method for detecting network anomalies of connected car - Google Patents

A system and method for detecting network anomalies of connected car Download PDF

Info

Publication number
KR20200130968A
KR20200130968A KR1020190055586A KR20190055586A KR20200130968A KR 20200130968 A KR20200130968 A KR 20200130968A KR 1020190055586 A KR1020190055586 A KR 1020190055586A KR 20190055586 A KR20190055586 A KR 20190055586A KR 20200130968 A KR20200130968 A KR 20200130968A
Authority
KR
South Korea
Prior art keywords
network
program
ansg
internal network
detection
Prior art date
Application number
KR1020190055586A
Other languages
Korean (ko)
Other versions
KR102234402B1 (en
Inventor
백재원
정락문
Original Assignee
씨엔비스 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 씨엔비스 (주) filed Critical 씨엔비스 (주)
Priority to KR1020190055586A priority Critical patent/KR102234402B1/en
Publication of KR20200130968A publication Critical patent/KR20200130968A/en
Application granted granted Critical
Publication of KR102234402B1 publication Critical patent/KR102234402B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a system for detecting the abnormality of a connected car network. An object of the present invention is to provide a safer autonomous driving environment for a user by detecting abnormality in real time to maximize cyber security. The system includes: an ANSG program inspecting, detecting, and blocking a packet transmitted between internal and external networks; and a simulation program simulating the security vulnerability of a target server and whether to perform network processing by transmitting a test packet and the vulnerability of the ANSG program. The ANSG program includes: a log detection module collecting information on a gateway connected to an external network and an internal network of an autonomous vehicle; an attack detection module receiving operation data in which a functional safety scenario is applied to the collected information; a threat identification module extracting a security vulnerability based on the operation data; an abnormality sign detection module determining whether an abnormality sign has been discovered based on the extracted security vulnerability; and a network separation unit separating the network of the internal network so that a mutual address cannot be known in the internal network.

Description

커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법{A SYSTEM AND METHOD FOR DETECTING NETWORK ANOMALIES OF CONNECTED CAR}A system and method for detecting network abnormalities in connected vehicles {A SYSTEM AND METHOD FOR DETECTING NETWORK ANOMALIES OF CONNECTED CAR}

본 발명은 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법에 관한 것으로서, 보다 상세하게는 자율주행자동차 네트워크 환경에서 외부로부터의 접근 및 공격을 실시간으로 탐지함으로써 사용자에게 보다 안전한 자율 주행 운전환경을 제공할 수 있는, 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for detecting network abnormalities of a connected vehicle, and more particularly, to provide a safer autonomous driving environment to users by detecting access and attacks from outside in real time in an autonomous vehicle network environment. It relates to a system and method for detecting network abnormalities in a connected vehicle.

최근 들어, 자동차는 커넥티드 카(Connected car), 스마트카(Smart car) 등으로 발전함으로써 운전자에게 다양한 편의 기능을 제공하고 있다. 자동차만이 지능형으로 진화하는 것이 아니라, 주행 도로, 신호등과 같은 교통 제어 시스템과의 연계를 통하여 궁극적으로는 교통사고 경감 및 교통 효율성을 증대시키는 지능형 교통 시스템으로 발전하고 있다. 그러나 사용자 편의가 커질수록 자동차 도난, 해킹 등의 다양한 문제가 발생하고 있다.In recent years, automobiles have developed into connected cars, smart cars, and the like, providing various convenient functions to drivers. Not only automobiles are evolving intelligently, but through linkage with traffic control systems such as driving roads and traffic lights, they are ultimately developing into intelligent transportation systems that reduce traffic accidents and increase traffic efficiency. However, as user convenience increases, various problems such as car theft and hacking occur.

차량 네트워크 환경은 기존의 인터넷 등의 네트워크 환경과 달리 보안성 확보 여부가 운전자의 생명과 직결되며 보안성이 확보되지 않는 경우에는 위험 상황이 유발될 수 있기 때문이다. This is because, unlike the existing network environment such as the Internet, in the vehicle network environment, whether or not security is secured is directly related to the life of the driver, and if the security is not secured, a dangerous situation may be caused.

특히, 최근의 차량 환경에서 제공되고 있는 운전자의 편의를 위해 제공되는 정보통신기술 중 스마트키의 경우에는 보안성의 확보가 상당히 중요하다. 스마트 키는 기존의 자동차의 도어 개폐 및 시동의 기능을 원격으로 진행할 수 있도록 하여 원격 차량 도어 개폐 및 원격 시동을 가능하게 한다. 단, 통상적인 차량 내부는 차량 소유주를 구별하는 기술적인 수단을 구비하고 있지 않으므로 이러한 스마트키가 분실되거나, 도난당할 경우 소유주가 아닌 제3자의 접근이 가능하며, 이는 범죄 및 차량 사고로 이어질 수 있다.In particular, in the case of a smart key among information and communication technologies provided for the convenience of a driver provided in a recent vehicle environment, securing security is very important. The smart key enables remote vehicle door opening and starting and remote starting by allowing the functions of the door opening and closing of the existing vehicle to be performed remotely. However, since the inside of a typical vehicle does not have a technical means to distinguish the vehicle owner, if such a smart key is lost or stolen, a third party other than the owner can access it, which can lead to crime and vehicle accidents. .

따라서, 이러한 피해는 고스란히 차량 소유주의 피해로 이어질 수 있기 때문에 자율주행 자동차의 보안기술에 대한 개발의 필요성이 대두되고 있다.Therefore, since such damage can lead to damage to the vehicle owner, the need for development of security technology for autonomous vehicles is emerging.

본 발명이 해결하고자 하는 과제는 실시간으로 이상 징후를 탐지하여 사이버 보안 요소를 극대화함으로써 사용자에게 보다 안전한 자율 주행 운전 환경을 제공할 수 있는 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법을 제공하는 것이다.The problem to be solved by the present invention is to provide a network anomaly symptom detection system and method of a connected vehicle capable of providing a safer autonomous driving environment to a user by maximizing cyber security elements by detecting anomaly in real time.

본 발명이 해결하고자 하는 또 다른 과제는 자율자동차 네트워크 환경에서 외부로부터의 접근을 통제하고 공격자의 악의적인 접근 및 공격을 탐지하여 보안 정도를 강화할 수 있는 커넥티드 차량의 네트워크 이상징후 탐지 시스템 및 방법을 제공하는 것이다.Another problem to be solved by the present invention is to provide a network anomaly detection system and method for connected vehicles capable of enhancing security by controlling external access in an autonomous vehicle network environment and detecting malicious access and attacks of attackers. To provide.

본 발명의 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems of the present invention are not limited to the problems mentioned above, and other problems that are not mentioned will be clearly understood by those skilled in the art from the following description.

전술한 바와 같은 과제를 해결하기 위하여 본 발명의 일 실시예에 따른 커넥티드 차량의 네트워크 이상징후 탐지 시스템은 내부 네트워크 및 외부 네트워크 사이에서 전송되는 패킷을 검사하고 탐지 및 차단하는 ANSG프로그램; 및 ANSG프로그램의 취약성 및 테스트 패킷을 전송하여 대상 서버의 보안 취약성 및 네트워크 처리 여부를 시뮬레이션하는 시뮬레이션 프로그램을 포함하며, ANSG프로그램은 자율주행 차량의 외부 네트워크와 차량의 내부 네트워크와 연결된 게이트웨이의 정보를 수집하는 로그 탐지 모듈; 수집한 정보에 기능안전 시나리오를 적용한 동작 데이터를 수신하는 공격 탐지 모듈; 동작 데이터를 기초로 보안 취약점을 추출하는 위협 식별 모듈; 추출된 보안 취약점을 기초로 이상징후 발견 여부를 판단하는 이상징후 탐지 모듈; 및 내부 네트워크 내에서 상호 간의 주소를 알 수 없도록 내부 네트워크의 망을 분리하는 망 분리 유닛을 포함할 수 있다.In order to solve the above-described problems, the system for detecting network abnormalities of a connected vehicle according to an embodiment of the present invention includes an ANSG program for inspecting, detecting, and blocking packets transmitted between an internal network and an external network; And a simulation program that simulates the security vulnerability and network processing of the target server by transmitting the vulnerability and test packets of the ANSG program. A log detection module; An attack detection module for receiving operation data applying a functional safety scenario to the collected information; A threat identification module for extracting a security vulnerability based on operation data; An abnormal symptom detection module that determines whether or not an abnormal symptom is found based on the extracted security vulnerability; And a network separation unit for separating a network of the internal network so that addresses between each other in the internal network are not known.

본 발명의 또다른 특징에 따르면, ANSG프로그램 및 시뮬레이션 프로그램의 동작에 필요한 데이터를 저장하는 데이터베이스를 포함하며, 데이터베이스는 ANSG프로그램에 의한 탐지로그 및 패턴을 저장하고, 이 패턴을 활용하여 탐지 및 차단되는 탐지내역과 패턴 등 설정의 변경 등에 따른 감사를 저장하는 제1 데이터베이스; 및 시뮬레이션 프로그램에 내장된 네트워크 패킷의 정보 및 취약성 스캐너의 정보를 저장하는 제2 데이터베이스를 포함할 수 있다.According to another feature of the present invention, it includes a database that stores data necessary for the operation of the ANSG program and the simulation program, and the database stores detection logs and patterns by the ANSG program, and is detected and blocked using this pattern. A first database for storing audits according to changes in settings such as detection details and patterns; And a second database for storing information on a network packet and information on a vulnerability scanner embedded in the simulation program.

본 발명의 또 다른 특징에 따르면, 망 분리 유닛에 의해 제1 내부망 및 제1 내부망과 상호 접근이 차단된 제2 내부망으로 구분될 수 있다.According to another feature of the present invention, the network separation unit can be divided into a first internal network, a first internal network, and a second internal network from which mutual access is blocked.

본 발명의 또 다른 특징에 따르면, 실시간으로 탐지 이력을 조회하는 탐지 이력 조회 모듈을 더 포함할 수 있다.According to another feature of the present invention, a detection history inquiry module for inquiring the detection history in real time may be further included.

본 발명의 또 다른 특징에 따르면, 기능안전 시나리오는 실시간으로 방화벽 내역을 탐지하고, 탐지한 방화벽 내역을 기초로 방화벽 패턴을 추출할 수 있다.According to another feature of the present invention, the functional safety scenario may detect firewall details in real time and extract a firewall pattern based on the detected firewall details.

전술한 바와 같은 과제를 해결하기 위하여 본 발명의 다른 실시예에 따른 커넥티드 차량의 네트워크 이상징후 탐지 방법은 로그 탐지 모듈에 의해 자율주행 차량의 외부 네트워크와 차량의 내부 네트워크와 연결된 게이트웨이의 정보를 수집하는 단계; 공격 탐지 모듈에 의해 수집한 정보에 기능안전 시나리오를 적용한 동작 데이터를 수신하는 단계; 위협 식별 모듈에 의해 동작 데이터를 기초로 보안 취약점을 추출하는 단계; 및 이상징후 탐지 모듈에 의해 추출된 보안 취약점을 기초로 이상징후 패턴을 검출하는 단계를 포함할 수 있다.In order to solve the above-described problem, the method for detecting network abnormalities in a connected vehicle according to another embodiment of the present invention collects information on a gateway connected to an external network of an autonomous vehicle and an internal network of the vehicle by a log detection module. Step to do; Receiving motion data obtained by applying a functional safety scenario to the information collected by the attack detection module; Extracting a security vulnerability based on operation data by a threat identification module; And detecting an abnormal symptom pattern based on the security vulnerability extracted by the abnormal symptom detection module.

본 발명의 다른 특징에 따르면, ANSG프로그램 및 시뮬레이션 프로그램의 동작에 필요한 데이터를 저장하는 데이터베이스를 포함하며, 데이터베이스는 ANSG프로그램에 의한 탐지로그 및 패턴을 저장하고, 이 패턴을 활용하여 탐지 및 차단되는 탐지내역과 패턴 등 설정의 변경 등에 따른 감사를 저장하는 제1 데이터베이스; 및 시뮬레이션 프로그램에 내장된 네트워크 패킷의 정보 및 취약성 스캐너의 정보를 저장하는 제2 데이터베이스를 포함할 수 있다.According to another feature of the present invention, it includes a database that stores data necessary for the operation of the ANSG program and the simulation program, and the database stores detection logs and patterns by the ANSG program, and detection and blocking detection using this pattern A first database for storing audits according to changes in settings, such as details and patterns; And a second database for storing information on a network packet and information on a vulnerability scanner embedded in the simulation program.

본 발명의 또 다른 특징에 따르면, 내부 네트워크는 제1 내부망 및 제1 내부망과 상호 접근이 차단된 제2 내부망을 포함할 수 있다.According to another feature of the present invention, the internal network may include a first internal network and a second internal network in which mutual access is blocked with the first internal network.

기타 실시예의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Details of other embodiments are included in the detailed description and drawings.

본 발명은 실시간으로 이상 징후를 탐지하여 사이버 보안 요소를 극대화함으로써 사용자에게 보다 안전한 자율 주행 운전 환경을 제공할 수 있다.The present invention can provide a safer autonomous driving environment to a user by maximizing cyber security factors by detecting abnormal signs in real time.

본 발명은 자율자동차 네트워크 환경에서 외부로부터의 접근을 통제하고 공격자의 악의적인 접근 및 공격을 탐지하여 보안 정도를 강화할 수 있다.The present invention can control access from the outside in an autonomous vehicle network environment and detect malicious access and attacks by an attacker to enhance the degree of security.

본 발명에 따른 효과는 이상에서 예시된 내용에 의해 제한되지 않으며, 더욱 다양한 효과들이 본 명세서 내에 포함되어 있다.The effects according to the present invention are not limited by the contents exemplified above, and more various effects are included in the present specification.

도 1은 커넥티드 차량의 네트워크 이상징후 탐지 시스템의 소프트웨어 구성도이다.
도 2는 커넥티드 차량의 네트워크 이상징후 탐지 시스템의 두 개의 프로그램 데이터베이스를 설명하기 위한 도면이다.
도 3은 커넥티드 차량의 네트워크 이상징후 탐지 시스템의 하드웨어 구성도이다.
도 4는 커넥티드 차량의 이상징후 탐지 방법을 설명하기 위한 순서도이다.
도 5는 커넥티드 차량의 이상징후 탐지 시스템의 두 프로그램을 설명하기 위한 블럭도이다.
도 6 내지 도 9는 ANSG프로그램을 설명하기 위한 예시도이다.
도 10 내지 도 12는 Simulator프로그램을 설명하기 위한 예시도이다.1 is a software configuration diagram of a network abnormality detection system for a connected vehicle.
2 is a diagram for explaining two program databases of a network abnormal symptom detection system of a connected vehicle.
3 is a hardware configuration diagram of a network abnormal symptom detection system of a connected vehicle.
4 is a flowchart illustrating a method of detecting abnormal symptoms of a connected vehicle.
5 is a block diagram illustrating two programs of an abnormal symptom detection system of a connected vehicle.
6 to 9 are exemplary diagrams for explaining an ANSG program.
10 to 12 are exemplary diagrams for explaining a Simulator program.

이하의 내용은 단지 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 발명의 원리를 구현하고 발명의 개념과 범위에 포함된 다양한 장치를 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시예들은 원칙적으로, 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와 같이 특별히 열거된 실시예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다. The following content merely illustrates the principle of the invention. Therefore, although those skilled in the art may implement the principles of the invention and invent various devices included in the concept and scope of the invention, although not clearly described or illustrated herein. In addition, it should be understood that all conditional terms and examples listed in this specification are, in principle, expressly intended only for the purpose of making the concept of the invention understood, and are not limited to the embodiments and states specifically listed as such. do.

또한, 이하의 설명에서 제1, 제2 등과 같은 서수식 표현은 서로 동등하고 독립된 객체를 설명하기 위한 것이며, 그 순서에 주(main)/부(sub) 또는 주(master)/종(slave)의 의미는 없는 것으로 이해되어야 한다.In addition, in the following description, ordinal expressions such as first, second, etc. are intended to describe objects that are equivalent and independent of each other, and in the order of main/sub or master/slave It should be understood as meaningless.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. The above-described objects, features, and advantages will become more apparent through the following detailed description in connection with the accompanying drawings, and accordingly, a person of ordinary skill in the technical field to which the invention pertains will be able to easily implement the technical idea of the invention. .

본 발명의 여러 실시예들의 각각 특징들이 부분적으로 또는 전체적으로 서로 결합 또는 조합 가능하며, 당업자가 충분히 이해할 수 있듯이 기술적으로 다양한 연동 및 구동이 가능하며, 각 실시예들이 서로에 대하여 독립적으로 실시 가능할 수도 있고 연관 관계로 함께 실시 가능할 수도 있다.Each of the features of the various embodiments of the present invention can be partially or entirely combined or combined with each other, and as those skilled in the art can fully understand, technically various interlocking and driving are possible, and each of the embodiments can be implemented independently of each other, It may be possible to do it together in a related relationship.

이하, 첨부된 도면을 참조하여 본 발명의 다양한 실시예들을 상세히 설명한다.Hereinafter, various embodiments of the present invention will be described in detail with reference to the accompanying drawings.

이하의 내용은 단지 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 발명의 원리를 구현하고 발명의 개념과 범위에 포함된 다양한 장치를 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시예들은 원칙적으로, 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와 같이 특별히 열거된 실시예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다. The following content merely illustrates the principle of the invention. Therefore, although those skilled in the art may implement the principles of the invention and invent various devices included in the concept and scope of the invention, although not clearly described or illustrated herein. In addition, it should be understood that all conditional terms and examples listed in this specification are, in principle, expressly intended only for the purpose of making the concept of the invention understood, and are not limited to the embodiments and states specifically listed as such. do.

또한, 이하의 설명에서 제1, 제2 등과 같은 서수식 표현은 서로 동등하고 독립된 객체를 설명하기 위한 것이며, 그 순서에 주(main)/부(sub) 또는 주(master)/종(slave)의 의미는 없는 것으로 이해되어야 한다.In addition, in the following description, ordinal expressions such as first, second, etc. are intended to describe objects that are equivalent and independent of each other, and in the order of main/sub or master/slave It should be understood as meaningless.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. The above-described objects, features, and advantages will become more apparent through the following detailed description in connection with the accompanying drawings, and accordingly, a person of ordinary skill in the technical field to which the invention pertains will be able to easily implement the technical idea of the invention. .

본 발명의 여러 실시예들의 각각 특징들이 부분적으로 또는 전체적으로 서로 결합 또는 조합 가능하며, 당업자가 충분히 이해할 수 있듯이 기술적으로 다양한 연동 및 구동이 가능하며, 각 실시예들이 서로에 대하여 독립적으로 실시 가능할 수도 있고 연관 관계로 함께 실시 가능할 수도 있다.Each of the features of the various embodiments of the present invention can be partially or entirely combined or combined with each other, and as those skilled in the art can fully understand, technically various interlocking and driving are possible, and each of the embodiments may be independently implemented with respect to each other. It may be possible to do it together in a related relationship.

이하, 첨부된 도면을 참조하여 본 발명의 다양한 실시예들을 상세히 설명한다.Hereinafter, various embodiments of the present invention will be described in detail with reference to the accompanying drawings.

이하에서는, 도 1 내지 도 3을 참조하여 커넥티드 차량의 네트워크 이상징후 탐지 시스템의 구성 및 동작을 상세히 설명하기로 한다.Hereinafter, the configuration and operation of a network abnormal symptom detection system of a connected vehicle will be described in detail with reference to FIGS. 1 to 3.

도 1은 커넥티드 차량의 네트워크 이상징후 탐지 시스템의 소프트웨어 구성도이다. 도 2는 커넥티드 차량의 네트워크 이상징후 탐지 시스템의 두 개의 프로그램 데이터베이스를 설명하기 위한 도면이다. 도 3은 커넥티드 차량의 네트워크 이상징후 탐지 시스템의 하드웨어 구성도이다. 1 is a software configuration diagram of a network abnormality detection system for a connected vehicle. FIG. 2 is a diagram for explaining two program databases of a network abnormal symptom detection system of a connected vehicle. 3 is a hardware configuration diagram of a network abnormal symptom detection system of a connected vehicle.

커넥티드 차량의 이상징후 탐지 시스템은 실시간으로 차량의 이상징후를 탐지하는 시스템으로써, 두개의 프로그램 데이터베이스(300, 400)를 기반으로 다양한 기능이 수행된다. 구체적으로, 자율주행 자동차의 외부 네트워크와 차량의 내부 네트워크와 연결되어 있는 게이트웨이의 정보를 수집해서 기능안전 시나리오를 적용하고, 데이터 패킷을 송신하고 동작 데이터를 수신 및 분석하고, 보안 취약점을 추출하고 방지할 수 있다. An abnormal symptom detection system of a connected vehicle is a system that detects abnormal symptoms of a vehicle in real time, and various functions are performed based on two program databases 300 and 400. Specifically, it collects information of the gateway connected to the external network of the autonomous vehicle and the internal network of the vehicle, applies a functional safety scenario, transmits data packets, receives and analyzes motion data, and extracts and prevents security vulnerabilities. can do.

또한, 커넥티드 차량의 이상징후 탐지 시스템은 CAN네트워크에서 게이트웨이의 내부에 설치될 수도 있고 독립된 개체로 버스에 연결되어 게이트웨이와 통신할 수도 있다. 또한, 게이트웨이와 각 제어기(ECU)들로부터 차량의 동작 상태 정보를 입력받을 수 있으며, 해당 CAN네트워크 상의 모든 메시지를 감시할 수도 있다.In addition, the abnormal symptom detection system of the connected vehicle may be installed inside the gateway in the CAN network or may be connected to the bus as an independent entity to communicate with the gateway. In addition, it is possible to receive vehicle operation status information from the gateway and each controller (ECU), and monitor all messages on the corresponding CAN network.

또한, 커넥티드 차량의 이상징후 탐지 시스템은 ANSG(Automotive Network Security Gateway)프로그램과 Simulator프로그램(200)을 이용하여 보안 취약점을 실시간으로 추출하는 소프트웨어 및 자율주행 자동차의 게이트웨이에 연결하여 신호를 송출 및 측정하는 하드웨어로 구성될 수 있다.In addition, the abnormal symptom detection system of connected vehicles transmits and measures signals by connecting to the gateway of autonomous vehicles and software that extracts security vulnerabilities in real time using the ANSG (Automotive Network Security Gateway) program and the Simulator program 200. It can be composed of hardware.

여기서, ANSG프로그램(100)은 네트워크의 내/외부에서 상호간에 주고받는 패킷을 검사하고 탐지 및 차단하는 역할을 수행한다. 도 2를 참조하면, ANSG 프로그램의 데이터베이스(300)에는 방화벽, 침입탐지 및 이상징후 패턴 등이 저장되고, 저장된 상기 패턴들을 활용하여 탐지 및 차단되는 탐지로그와 탐지패턴 및 이상징후 패턴 등 기 설정된 설정을 기준으로 변경된 로그가 저장될 수 있다.Here, the ANSG program 100 performs a role of inspecting, detecting, and blocking packets exchanged with each other inside/outside the network. 2, the database 300 of the ANSG program stores firewalls, intrusion detection and abnormal symptom patterns, and preset settings such as detection logs and detection patterns and abnormal symptom patterns that are detected and blocked using the stored patterns. The changed log can be saved based on.

또한, Simulator프로그램(200)은 취약성이나 테스트 패킷을 전송하여 대상 서버의 보안 취약성 및 네트워크 처리 여부를 시뮬레이션(simulation)하는 역할을 수행한다. 이때, 취약성은 잠재적 위협으로 간주될 수 있거나 위협으로 발전할 수 있는 부분을 의미한다. 도 2를 참조하면, Simulator프로그램의 데이터베이스(400)에는 내장된 네트워크 패킷의 정보와 취약성 스캐너의 정보를 저장되고 이를 활용한 시뮬레이션 로그와 설정의 변경 등에 따른 로그가 저장될 수 있다.In addition, the Simulator program 200 transmits a vulnerability or a test packet to simulate the security vulnerability of the target server and whether or not to process the network. At this time, vulnerability refers to a part that can be regarded as a potential threat or can develop into a threat. Referring to FIG. 2, information of a built-in network packet and information of a vulnerability scanner may be stored in a database 400 of a simulator program, and a simulation log using the same and a log according to a setting change may be stored.

도 3을 참조하면, 커넥티드 차량의 네트워크 이상징후 탐지 시스템은 네트워크가 후술할 망 분리 유닛에 의해 외부/내부로 분리되거나, 내부 네트워크는 또다시 제1 내부망, 제2 내부망으로 분리되도록 구성될 수 있다. 제1 내부망은 trust 구역, 즉, 신뢰되는 구역으로 정의될 수 있고, 제2 내부망은 untrust 구역, 즉, 신뢰되지 않는 구역으로 정의될 수 있다. 이때, 제1 내부망과 제2 내부망은 상호 접근이 차단되도록 설정될 수 있다. 이에 따라, 차량 네트워크에 접속되어 있는 복수의 시스템 또는 프로그램들은 상호간에 접근이 불가능하게 함으로써 사용자가 지정한 네트워크만 허용하고 나머지는 금지할 수 있어 보안 정도를 강화할 수 있다.Referring to FIG. 3, the network abnormal symptom detection system of a connected vehicle is configured such that the network is divided into external/internal by a network separation unit to be described later, or the internal network is divided into a first internal network and a second internal network again. Can be. The first internal network can be defined as a trust zone, that is, a trusted zone, and the second internal network can be defined as an untrust zone, that is, an untrusted zone. In this case, the first internal network and the second internal network may be set to block mutual access. Accordingly, since a plurality of systems or programs connected to the vehicle network cannot access each other, only the network designated by the user can be allowed and the rest can be prohibited, thereby enhancing the degree of security.

이하에서는, 도 4 내지 도 12를 참조하여 ANSG 프로그램 및 Simulator프로그램(200)의 구성 및 동작을 상세히 설명하기로 한다.Hereinafter, the configuration and operation of the ANSG program and the Simulator program 200 will be described in detail with reference to FIGS. 4 to 12.

도 4는 커넥티드 차량의 이상징후 탐지 방법을 설명하기 위한 순서도이다. 도 5는 커넥티드 차량의 이상징후 탐지 시스템의 두 프로그램을 설명하기 위한 블럭도이다. 도 6 내지 도 9는 ANSG프로그램을 설명하기 위한 예시도이다. 도 10 내지 도 12는 Simulator프로그램을 설명하기 위한 예시도이다.4 is a flowchart illustrating a method of detecting abnormal symptoms of a connected vehicle. 5 is a block diagram illustrating two programs of an abnormal symptom detection system of a connected vehicle. 6 to 9 are exemplary diagrams for explaining an ANSG program. 10 to 12 are exemplary diagrams for explaining the Simulator program.

먼저, 로그 탐지 모듈(101)에 의해 자율주행 차량의 외부 네트워크와 차량의 내부 네트워크와 연결된 게이트웨이의 정보를 수집한다(S100). 이어서, 수집한 정보에 기능안전 시나리오를 적용한 동작 데이터를 수신한다(S200). 이어서, 동작 데이터를 기초로 보안 취약점을 추출한다(S300). 이어서, 추출된 보안 취약점을 기초로 이상징후 패턴을 검출한다(S400).First, information of a gateway connected to an external network of an autonomous vehicle and an internal network of the vehicle is collected by the log detection module 101 (S100). Subsequently, operation data obtained by applying a functional safety scenario to the collected information is received (S200). Subsequently, a security vulnerability is extracted based on the operation data (S300). Subsequently, an abnormal symptom pattern is detected based on the extracted security vulnerability (S400).

도 5를 참조하면, 커넥티드 차량의 이상징후 탐지 시스템은 ANSG프로그램(100)과 Simulator프로그램(200)을 포함한다. 구체적으로, ANSG프로그램(100)은 로그 탐지 모듈(101), 공격 탐지 모듈(102), 위협 식별 모듈(103), 이상징후 탐지 모듈(104) 및 망 분리 모듈(105)을 포함할 수 있다.Referring to FIG. 5, the system for detecting abnormal symptoms of a connected vehicle includes an ANSG program 100 and a simulator program 200. Specifically, the ANSG program 100 may include a log detection module 101, an attack detection module 102, a threat identification module 103, an abnormal symptom detection module 104, and a network separation module 105.

공격 탐지 모듈(102)은 수집한 정보에 기능안전 시나리오를 적용한 동작 데이터를 수신할 수 있다. 구체적으로, 공격 탐지 모듈(102)은 CAN네트워크를 통해 연결된 모든 차량, 프로그램, 시스템 등으로부터 데이터를 수집하고, 수집한 데이터를 기초로 학습을 시킨다. 학습을 통해 생성된 기능안전 시나리오를 새로 수집되는 데이터에 적용하여 동작 데이터를 수신함으로써 시그니처 기반으로 제3자(예를들면, 해커(Hacker))로부터의 악의적인 공격을 탐지할 수 있다. 이처럼, 본 발명은 학습모드를 기반으로 공격을 탐지하는 것을 기본으로 하기 때문에 시그니처 업데이트 없이도 논리 기반으로 공격을 탐지할 수도 있다. 이에, 커넥티드 차량의 네트워크 이상징후 탐지 시스템은 프로토콜 탐지 기능을 탑재하고 있을 수 있다. 따라서, HTTP와 같은 어플리케이션 계층(L7)에서 실행되는 프로토콜 탐지를 지원할 수 있고, HTTP 이외의 다양한 프로토콜 탐지를 지원할 수도 있다.The attack detection module 102 may receive operation data in which a functional safety scenario is applied to the collected information. Specifically, the attack detection module 102 collects data from all vehicles, programs, systems, etc. connected through a CAN network, and learns based on the collected data. By applying the functional safety scenario generated through learning to newly collected data and receiving motion data, it is possible to detect a malicious attack from a third party (for example, a hacker) based on a signature. As described above, since the present invention is based on detecting an attack based on a learning mode, it is possible to detect an attack based on logic without updating the signature. Accordingly, the network abnormal symptom detection system of the connected vehicle may be equipped with a protocol detection function. Accordingly, it is possible to support detection of a protocol executed in the application layer (L7) such as HTTP, and detection of various protocols other than HTTP.

위협 식별 모듈(103)은 동작 데이터를 기초로 보안 취약점을 추출할 수도 있다. 구체적으로, CAN네트워크를 통해 연결된 모든 자율주행 차량의 보안 이벤트를 확인하고, 자율주행차량의 데이터를 분석함으로써 새로운 위협 패턴을 검출한다. 여기서, 새롭게 검출된 위협 패턴은 보안 취약점으로 판단하고, 보안에 위협이 발생했음을 확인할 수 있다. 이와 관련된 구체적인 동작은 추후 설명하기로 한다.The threat identification module 103 may extract a security vulnerability based on operation data. Specifically, it checks the security events of all autonomous vehicles connected through the CAN network and detects new threat patterns by analyzing the data of the autonomous vehicles. Here, it can be determined that the newly detected threat pattern is a security vulnerability, and that a threat has occurred in the security. Specific operations related to this will be described later.

이상징후 탐지 모듈(104)은 위협 식별 모듈(103)에 의해 추출된 보안 취약점을 기초로 이상징후 패턴을 검출할 수 있다. 이상징후 패턴은 학습을 통해 생성된 기능안전 시나리오와 상이한 패턴이 검출될 경우 이상징후 패턴이 발생한 것으로 판단할 수 있다. 이와 관련된 구체적인 동작은 추후 설명하기로 한다.The abnormal symptom detection module 104 may detect the abnormal symptom pattern based on the security vulnerability extracted by the threat identification module 103. When a pattern different from the functional safety scenario generated through learning is detected, the abnormal symptom pattern may be determined to have occurred. Specific operations related to this will be described later.

망 분리 모듈(105)은 제3자로부터의 보안을 강화하기 위해 네트워크를 내부/외부로 분리하고, 내부는 또다시 신뢰되는 구역과 신뢰되지 않는 구역으로 분리할 수 있다. 이에, 분리된 내부망들은 서로 연동되지 않기 때문에 내부주소를 알 수도 없으며, 필터링을 통해 원하는 정보만 얻을 수 있다.The network separation module 105 separates the network internally/externally in order to enhance security from a third party, and internally separates the network into a trusted area and an untrusted area. Therefore, since the separated internal networks are not interlocked with each other, the internal address cannot be known, and only desired information can be obtained through filtering.

도 6을 참조하면, 메뉴 탭(610)에서 '로그 탭(602)' 선택 후, '실시간 침입탐지 탭(607)' 메뉴를 선택할 경우, 실시간으로 탐지된 침입 탐지 내역 리스트(630)를 확인할 수 있다. 침입탐지 패턴에 의하여 탐지된 탐지 내역은 실시간으로 표시될 수 있다. 예컨대, 탐지된 탐지 내역으로는 탐지일시, 행위(허가/차단 여부), 탐지명, 네트워크 정보 및 프로토콜을 포함할 수 있다. 또한, 도 6의 동작제어버튼(620)을 이용할 경우, 로그 탐지 모듈(101)은 실시간으로 탐지된 내역을 조회하는 것을 도중에 일시정지하거나 시작할 수 있다. 이때, 침입 탐지 패턴에 의하여 HTTP 어플리케이션을 탐지할 수도 있다.Referring to FIG. 6, after selecting the'log tab 602' in the menu tab 610, and selecting the'real-time intrusion detection tab 607' menu, the intrusion detection history list 630 detected in real time can be checked. have. The detection details detected by the intrusion detection pattern can be displayed in real time. For example, the detected detection details may include a detection date and time, an action (permitted/blocked), a detection name, network information and protocol. In addition, when the operation control button 620 of FIG. 6 is used, the log detection module 101 may pause or start searching for details detected in real time. At this time, the HTTP application may be detected by the intrusion detection pattern.

도 6을 참조하면, 기본설정 탭(603)에서는 보안설정, 방화벽설정, 이상징후 설정 및 학습설정에 대한 온/오프를 통해 각각에 대한 제어를 할 수 있고, 사용자의 개인정보(예를 들면, 아이디, 비밀번호 등)를 설정할 수도 있다.Referring to FIG. 6, in the basic setting tab 603, it is possible to control each of the security settings, firewall settings, abnormal symptoms settings, and learning settings through on/off, and user's personal information (for example, ID, password, etc.) can also be set.

도 6을 참조하면, 고급설정 탭(604)에서는 탐지된 패턴들(방화벽 패턴, 침입탐지 패턴 및 이상징후 패턴)을 개별적으로 수정할 수 있다. 예컨대, 패턴을 추가하거나, 삭제하거나, 새로운 패턴을 적용할 수도 있다.Referring to FIG. 6, in the advanced setting tab 604, detected patterns (firewall pattern, intrusion detection pattern, and abnormal symptom pattern) can be individually modified. For example, a pattern may be added, deleted, or a new pattern may be applied.

또한, 로그 탐지 모듈(101)은 도 7 및 도 8에 도시된 바와 같이, CAN 네트워크의 모든 메시지를 입력받을 수 있으며, 일정 시간 동안 입력받은 CAN메시지로부터 네트워크 정보를 추출하고 추출한 네트워크 정보들로부터 각 네트워크의 통계를 산출할 수도 있다. 자율주행 차량의 외부 네트워크와 차량의 내부 네트워크와 연결된 게이트웨이(Gateway)의 정보를 수집할 수 있다. In addition, the log detection module 101 can receive all messages of the CAN network, as shown in Figs. 7 and 8, extract network information from the CAN message received for a certain period of time, and extract each from the extracted network information. You can also calculate network statistics. It is possible to collect information on the external network of the autonomous vehicle and the gateway connected to the internal network of the vehicle.

도 7을 참조하면, 메뉴 탭(610)에서 '로그 탭(602)' 선택 후, '실시간 이상징후 탭(707)' 메뉴를 선택할 경우, 실시간으로 탐지된 이상징후 내역 리스트(730)를 확인할 수 있다. 이상징후 패턴에 의하여 탐지된 이상징후 내역은 실시간으로 표시될 수 있다. 예컨대, 탐지된 이상징후 내역으로는 탐지일시, 행위(허가/차단 여부), 네트워크 정보 및 프로토콜을 포함할 수 있다. Referring to FIG. 7, when the'log tab 602' is selected in the menu tab 610 and the'real-time abnormal symptom tab 707' menu is selected, the abnormal symptom history list 730 detected in real time can be checked. have. The abnormal symptom details detected by the abnormal symptom pattern may be displayed in real time. For example, the detected abnormal symptom details may include a detection date and time, an action (whether permission/blocking), network information and protocol.

또한, 검색 일자 탭(741)을 선택하여 선택된 날짜에 기록된 모든 방화벽 내역들을 조회할 수 있고, 분류 탭(742)을 통해 IP를 선택할 수 있고, search 탭(743)에 원하는 검색어를 수동으로 입력하여 이상징후 로그를 조회할 수도 있다. In addition, you can search all firewall details recorded on the selected date by selecting the search date tab (741), select the IP through the classification tab (742), and manually enter the desired search word in the search tab (743) You can also search the log for abnormal symptoms.

도 8을 참조하면, 메뉴 탭(610)에서 '로그 탭(602)' 선택 후, '실시간 네트워크 통계 탭(807)' 메뉴를 선택할 경우, 실시간으로 탐지된 네트워크 통계 내역 리스트(830)를 확인할 수 있다. 상기 각각의 패턴에 의하여 탐지된 네트워크 통계 내역은 실시간으로 표시될 수 있다. 예컨대, 탐지된 네트워크 통계 내역으로는 통계일시, Packets, Bytes, TCP, UDP, ICMP. 허가 및 차단을 포함할 수 있다. 이때, 네트워크 통계 내역을 초 단위, 분 단위, 시 단위, 일 단위, 주 단위 등으로 목록이 갱신될 수 있다. 이때, 도 8의 네트워크 통계 내역 리스트(830)는 도 8에 도시된 바와 같이, 그래프 형태로 확인할 수도 있다.Referring to FIG. 8, after selecting the'log tab 602' in the menu tab 610, and selecting the'real-time network statistics tab 807' menu, a list of network statistics details 830 detected in real time can be checked. have. The network statistics detected by each of the patterns may be displayed in real time. For example, the detected network statistics include statistics date and time, Packets, Bytes, TCP, UDP, ICMP. May include authorization and blocking. At this time, the list of network statistics may be updated in units of seconds, minutes, hours, days, and weeks. In this case, the network statistics detail list 830 of FIG. 8 may be checked in a graph form, as shown in FIG. 8.

도 8을 참조하면, 그래프는 각 시간대별로 몇 개의 네트워크가 차단 및 허가되었는지 나타내며, 각 시간대별로 몇 개의 프로토콜이 탐지되었는지 나타낸다. 이때, 사용자가 허가 또는 차단을 클릭하면 해당 그래프를 조회하거나 또는 조회하지 않을 수 있다. Referring to FIG. 8, a graph indicates how many networks are blocked and permitted for each time period, and how many protocols are detected for each time period. At this time, when the user clicks permit or block, the graph may or may not be viewed.

또한, '로그 탭(602)' 선택 후, '감사 로그 탭(907)'을 선택할 경우, 선택한 일자에 어떤 패턴들이 추가, 수정 및 삭제되었는지 확인할 수 있다. 예컨대, 각 패턴의 적용 개수, 각 보안설정의 온(On), 오프(Off) 여부, 로그인 실패/성공 여부를 조회할 수 있다. 구체적으로 보안설정이 온(On) 상태인 경우, "정상적으로 구동되고 있습니다"라는 메시지를 출력하고, 보안설정이 오프(Off) 상태인 경우, "침입탐지가 정상적으로 구동되고 있지 않습니다"라는 메시지를 출력할 수 있다. In addition, when selecting the'log tab 602' and then selecting the'audit log tab 907', it is possible to check which patterns have been added, modified, and deleted on the selected date. For example, the number of application of each pattern, whether each security setting is on or off, and whether or not a login has failed/success can be inquired. Specifically, when the security setting is On, a message saying "It is running normally" is displayed. When the security setting is Off, a message saying "Intrusion detection is not running normally" is displayed. can do.

또한, 이상징후 패턴에 의하여 탐지된 이상징후 내역은 실시간으로 표시될 수 있다. 예컨대, 탐지된 이상징후 내역으로는 탐지일시, 행위(허가/차단 여부), 네트워크 정보 및 프로토콜을 포함할 수 있다. 또한, 도면에 도시하지는 않았지만, 국가별로 탐지된 IP를 기초로 어느 국가에서 침입 탐지가 발생하였는지 지구본의 표식을 통해 알 수도 있다. 예컨대, 지구본에 막대 형식으로 표시를 하되, 침입 탐지 횟수에 비례하도록 막대의 길이를 표시함으로써 어느 국가에서 얼마나 침입 시도를 하였는지 알 수 있다. In addition, the abnormal symptom details detected by the abnormal symptom pattern may be displayed in real time. For example, the detected abnormal symptom details may include a detection date and time, an action (whether permission/blocking), network information and protocol. In addition, although not shown in the drawing, it is possible to know from which country intrusion detection occurred based on the IP detected by country through the mark on the globe. For example, by marking the globe in the form of a bar, but displaying the length of the bar in proportion to the number of intrusion detections, it is possible to know how many intrusion attempts were made in which country.

또한, 대상자별로도 통계를 조회할 수 있다. 이때, 대상자별 통계는 침입 탐지된 대상자들의 IP주소를 이미지 형식으로 표시하되, 많이 탐지된 순으로 글자크기를 다르게 표시함으로써 어떤 대상자가 얼마나 침입 시도를 하였는지 알 수도 있다. In addition, statistics can be searched for each subject. At this time, the statistics for each target display the IP addresses of the targets detected intrusion in the form of images, but by displaying the font size differently in the order of the most detected intrusions, it is possible to know which targets attempted and how much intrusion.

Simulator프로그램(200)은 ANSG프로그램(100)이 수행한 테스트 정보, 취약성 정보, 설정 정보, 프로그램 정보 등을 조회하고 설정할 수 있는 프로그램이며, 보다 상세하게는 패킷 테스트, 스캔 점검, 패킷 설정 등의 기능을 수행할 수 있다. 도 10에 도시된 바와 같이, 테스트 탭(1112)을 선택할 경우 테스트 진행하기에서 진행된 테스트 정보들을 확인할 수 있는 테스트 정보란(1120), 취약성 점검하기에서 진행된 테스트 정보들을 확인할 수 있는 취약성 정보란(1130) 및 감사로그에서 변경된 내역들을 확인할 수 있는 사용내역 정보란(1140)이 표시될 수 있다. 이때, 테스트 정보와 취약성 정보는 결과에서 각각의 탭(진행, 중지, 완료)을 선택하여 상세한 결과를 확인할 수 있다.Simulator program 200 is a program that can inquire and set test information, vulnerability information, setting information, program information, etc. performed by the ANSG program 100, and in more detail, functions such as packet test, scan check, packet setting, etc. Can be done. As shown in FIG. 10, when the test tab 1112 is selected, the test information field 1120 for checking the test information progressed in the test proceeding, and the vulnerability information field 1130 for checking the test information progressed in the vulnerability check. ) And a usage history information field 1140 that can check the changed details in the audit log may be displayed. At this time, for test information and vulnerability information, detailed results can be checked by selecting each tab (Proceed, Stop, Finish) from the results.

구체적으로, Simulator프로그램(200)의 패킷 테스트 기능은 Simulator프로그램의 데이터베이스(400)에 저장된 카테고리 값들을 기초로 패킷을 분류하여, 사용자가 테스트하고자 하는 대상 시스템명 및 IP주소를 검색하면 패킷 별 상세정보를 확인할 수 있도록 한다. 예컨대, 패킷 별 상세정보는 테스트 중인 대상 시스템의 패킷명, 진행율, 진행상태 및 성공율 등을 포함할 수 있다.Specifically, the packet test function of the Simulator program 200 classifies packets based on the category values stored in the database 400 of the Simulator program, and when the user searches for the target system name and IP address to be tested, detailed information per packet To be able to confirm. For example, the detailed information for each packet may include the packet name, progress rate, progress status, and success rate of the target system under test.

또한, Simulator프로그램(200)의 스캔 점검 기능은 취약성을 점검하기 위해 사용되는 기능이며, Simulator프로그램의 데이터베이스(400)에 저장된 스캔들을 기초로 일반 스캐너 및 웹 스캐너로 분류를 한 후, 각각의 스캔 목록들의 진행 상황을 확인할 수 있다. 예컨대, 진행 상황은 스캔 추적 진행상태, 스캔시작일시, 스캔종료일시, 대상IP, 스캔명, 스캔결과 등을 포함할 수 있다.In addition, the scan check function of the Simulator program 200 is a function used to check for vulnerabilities, and after classifying them into general scanners and web scanners based on the scans stored in the database 400 of the Simulator program, each scan list You can check their progress. For example, the progress status may include a scan tracking progress status, a scan start date and time, a scan end date and time, a target IP, a scan name, and a scan result.

또한, 도 12에 도시된 바와 같이, 패킷별로 온(On)/오프(Off)를 하여 패킷 사용여부를 설정할 수도 있다. 이때, 패킷 별로 수정일시, 카테고리, 사용여부 등을 확인할 수 있다. Also, as shown in FIG. 12, whether to use a packet may be set by turning on/off for each packet. At this time, it is possible to check the modification date, category, usage, etc. for each packet.

따라서, 본 발명은 실시간으로 이상 징후를 탐지하여 사이버 보안 요소를 극대화함으로써 사용자에게 보다 안전한 자율 주행 운전 환경을 제공할 수 있는 효과가 있다.Accordingly, the present invention has an effect of providing a safer autonomous driving environment to a user by maximizing cyber security factors by detecting abnormal signs in real time.

본 발명은 자율자동차 네트워크 환경에서 외부로부터의 접근을 통제하고 공격자의 악의적인 접근 및 공격을 탐지하여 보안 정도를 강화할 수 있는 효과가 있다. The present invention has an effect of controlling access from the outside in an autonomous vehicle network environment, detecting malicious accesses and attacks of an attacker, and enhancing the degree of security.

이상 첨부된 도면을 참조하여 본 발명의 실시예들을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것은 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Although the embodiments of the present invention have been described in more detail with reference to the accompanying drawings, the present invention is not necessarily limited to these embodiments, and various modifications may be made without departing from the spirit of the present invention. . Accordingly, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention, but to explain the technical idea, and the scope of the technical idea of the present invention is not limited by these embodiments. Therefore, it should be understood that the embodiments described above are illustrative in all respects and not limiting. The scope of protection of the present invention should be interpreted by the following claims, and all technical ideas within the scope equivalent thereto should be interpreted as being included in the scope of the present invention.

100: ANSG프로그램 101: 로그 탐지 모듈
102: 공격 탐지 모듈 103: 위협 식별 모듈
104: 이상징후 탐지 모듈 105: 망 분리 모듈
200: Simulator프로그램 300: ANSG프로그램 DB
400: Simulator프로그램 DB 610, 1110: 메뉴 탭
620: 동작제어버튼 630: 탐지 내역 리스트
730: 이상징후 내역 리스트 630: 네트워크 통계 내역 리스트
1000: 커넥티드 차량의 네트워크 이상징후 탐지 시스템100: ANSG program 101: log detection module
102: attack detection module 103: threat identification module
104: abnormal symptom detection module 105: network separation module
200: Simulator program 300: ANSG program DB
400: Simulator program DB 610, 1110: Menu tab
620: motion control button 630: detection history list
730: abnormal symptom details list 630: network statistics details list
1000: network anomaly detection system for connected vehicles

Claims (8)

내부 네트워크 및 외부 네트워크 사이에서 전송되는 패킷을 검사하고 탐지 및 차단하는 ANSG프로그램; 및 상기 ANSG프로그램의 취약성 및 테스트 패킷을 전송하여 대상 서버의 보안 취약성 및 네트워크 처리 여부를 시뮬레이션하는 시뮬레이션 프로그램을 포함하며,
상기 ANSG프로그램은 자율주행 차량의 외부 네트워크와 차량의 내부 네트워크와 연결된 게이트웨이의 정보를 수집하는 로그 탐지 모듈; 수집한 상기 정보에 기능안전 시나리오를 적용한 동작 데이터를 수신하는 공격 탐지 모듈; 상기 동작 데이터를 기초로 보안 취약점을 추출하는 위협 식별 모듈; 상기 추출된 보안 취약점을 기초로 이상징후 발견 여부를 판단하는 이상징후 탐지 모듈; 및 상기 내부 네트워크 내에서 상호 간의 주소를 알 수 없도록 상기 내부 네트워크의 망을 분리하는 망 분리 유닛을 포함하는,
커넥티드 차량의 네트워크 이상징후 탐지 시스템.An ANSG program that inspects, detects, and blocks packets transmitted between an internal network and an external network; And a simulation program for simulating the security vulnerability and network processing of the target server by transmitting the vulnerability and test packet of the ANSG program,
The ANSG program includes: a log detection module for collecting information on an external network of an autonomous vehicle and a gateway connected to the internal network of the vehicle; An attack detection module for receiving operation data in which a functional safety scenario is applied to the collected information; A threat identification module for extracting a security vulnerability based on the operation data; An anomaly symptom detection module that determines whether an anomaly symptom is found based on the extracted security vulnerability; And a network separation unit for separating a network of the internal network so that addresses between the internal networks cannot be known within the internal network,
Network abnormality detection system for connected vehicles. 제1항에 있어서,
상기 ANSG프로그램 및 상기 시뮬레이션 프로그램의 동작에 필요한 데이터를 저장하는 데이터베이스를 포함하며,
상기 데이터베이스는 상기 ANSG프로그램에 의한 탐지로그 및 패턴을 저장하고, 이 패턴을 활용하여 탐지 및 차단되는 탐지내역과 패턴 등 설정의 변경 등에 따른 감사를 저장하는 제1 데이터베이스; 및 상기 시뮬레이션 프로그램에 내장된 네트워크 패킷의 정보 및 취약성 스캐너의 정보를 저장하는 제2 데이터베이스를 포함하는,
커넥티드 차량의 네트워크 이상징후 탐지 시스템.The method of claim 1,
And a database storing data necessary for the operation of the ANSG program and the simulation program,
The database includes: a first database that stores detection logs and patterns by the ANSG program, and stores detection details detected and blocked using the patterns and audits according to changes in settings, such as patterns; And a second database for storing information of a network packet and information of a vulnerability scanner embedded in the simulation program,
Network abnormality detection system for connected vehicles. 제1항에 있어서,
상기 내부 네트워크는,
상기 망 분리 유닛에 의해 제1 내부망 및 상기 제1 내부망과 상호 접근이 차단된 제2 내부망으로 구분되는,
커넥티드 차량의 네트워크 이상징후 탐지 시스템.The method of claim 1,
The internal network,
Divided into a first internal network and a second internal network that is mutually blocked from access by the network separation unit,
Network abnormality detection system for connected vehicles. 제1항에 있어서,
실시간으로 탐지 이력을 조회하는 탐지 이력 조회 모듈을 더 포함하는,
커넥티드 차량의 네트워크 이상징후 탐지 시스템.The method of claim 1,
Further comprising a detection history inquiry module for inquiring the detection history in real time,
Network abnormality detection system for connected vehicles. 제1항에 있어서,
상기 기능안전 시나리오는 실시간으로 방화벽 내역을 탐지하고, 탐지한 상기방화벽 내역을 기초로 방화벽 패턴을 추출하는,
커넥티드 차량의 네트워크 이상징후 탐지 시스템.The method of claim 1,
The functional safety scenario detects firewall details in real time, and extracts a firewall pattern based on the detected firewall details,
Network abnormality detection system for connected vehicles. 로그 탐지 모듈에 의해 자율주행 차량의 외부 네트워크와 차량의 내부 네트워크와 연결된 게이트웨이의 정보를 수집하는 단계;
공격 탐지 모듈에 의해 수집한 상기 정보에 기능안전 시나리오를 적용한 동작 데이터를 수신하는 단계;
위협 식별 모듈에 의해 상기 동작 데이터를 기초로 보안 취약점을 추출하는 단계; 및
이상징후 탐지 모듈에 의해 상기 추출된 보안 취약점을 기초로 이상징후 패턴을 검출하는 단계를 포함하는,
커넥티드 차량의 네트워크 이상징후 탐지 방법.Collecting information on a gateway connected to an external network of the autonomous vehicle and an internal network of the vehicle by a log detection module;
Receiving motion data obtained by applying a functional safety scenario to the information collected by the attack detection module;
Extracting a security vulnerability based on the operation data by a threat identification module; And
Including the step of detecting an abnormal symptom pattern based on the extracted security vulnerability by the abnormal symptom detection module,
Network abnormality detection method of connected vehicle. 제6항에 있어서,
ANSG프로그램 및 시뮬레이션 프로그램의 동작에 필요한 데이터를 저장하는 데이터베이스를 포함하며,
상기 데이터베이스는 상기 ANSG프로그램에 의한 탐지로그 및 패턴을 저장하고, 이 패턴을 활용하여 탐지 및 차단되는 탐지내역과 패턴 등 설정의 변경 등에 따른 감사를 저장하는 제1 데이터베이스; 및 상기 시뮬레이션 프로그램에 내장된 네트워크 패킷의 정보 및 취약성 스캐너의 정보를 저장하는 제2 데이터베이스를 포함하는,
커넥티드 차량의 네트워크 이상징후 탐지 방법.The method of claim 6,
It includes a database that stores data necessary for the operation of ANSG programs and simulation programs,
The database includes: a first database that stores detection logs and patterns by the ANSG program, and stores detection details detected and blocked using the patterns and audits according to changes in settings, such as patterns; And a second database for storing information of a network packet and information of a vulnerability scanner embedded in the simulation program,
Network abnormality detection method of connected vehicle. 제6항에 있어서,
상기 내부 네트워크는 제1 내부망 및 상기 제1 내부망과 상호 접근이 차단된 제2 내부망을 포함하는,
커넥티드 차량의 네트워크 이상징후 탐지 방법.The method of claim 6,
The internal network includes a first internal network and a second internal network in which mutual access is blocked with the first internal network,
Network abnormality detection method of connected vehicle.
KR1020190055586A 2019-05-13 2019-05-13 A system and method for detecting network anomalies of connected car KR102234402B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190055586A KR102234402B1 (en) 2019-05-13 2019-05-13 A system and method for detecting network anomalies of connected car

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190055586A KR102234402B1 (en) 2019-05-13 2019-05-13 A system and method for detecting network anomalies of connected car

Publications (2)

Publication Number Publication Date
KR20200130968A true KR20200130968A (en) 2020-11-23
KR102234402B1 KR102234402B1 (en) 2021-03-31

Family

ID=73680381

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190055586A KR102234402B1 (en) 2019-05-13 2019-05-13 A system and method for detecting network anomalies of connected car

Country Status (1)

Country Link
KR (1) KR102234402B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113688397A (en) * 2021-08-20 2021-11-23 泰安北航科技园信息科技有限公司 System for automatically detecting bus defect loophole
CN113965394A (en) * 2021-10-27 2022-01-21 北京天融信网络安全技术有限公司 Network attack information acquisition method and device, computer equipment and medium
CN114185286A (en) * 2021-10-22 2022-03-15 中汽研(天津)汽车工程研究院有限公司 Intelligent networking automobile information security threat identification method
CN115296860A (en) * 2022-07-15 2022-11-04 智己汽车科技有限公司 Vehicle safety operation and maintenance operation system based on central computing platform and vehicle
CN116015978A (en) * 2023-02-13 2023-04-25 中国南方电网有限责任公司 Heterogeneous redundant flow detection system based on mimicry safety technology
KR102566729B1 (en) * 2023-01-19 2023-08-14 주식회사 시옷 Security evaluation system for autonomous driving data

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170127849A (en) * 2016-05-13 2017-11-22 한국전자통신연구원 Method for securiting control system using whitelist and system for the same

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170127849A (en) * 2016-05-13 2017-11-22 한국전자통신연구원 Method for securiting control system using whitelist and system for the same

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113688397A (en) * 2021-08-20 2021-11-23 泰安北航科技园信息科技有限公司 System for automatically detecting bus defect loophole
CN114185286A (en) * 2021-10-22 2022-03-15 中汽研(天津)汽车工程研究院有限公司 Intelligent networking automobile information security threat identification method
CN113965394A (en) * 2021-10-27 2022-01-21 北京天融信网络安全技术有限公司 Network attack information acquisition method and device, computer equipment and medium
CN113965394B (en) * 2021-10-27 2024-02-02 北京天融信网络安全技术有限公司 Network attack information acquisition method, device, computer equipment and medium
CN115296860A (en) * 2022-07-15 2022-11-04 智己汽车科技有限公司 Vehicle safety operation and maintenance operation system based on central computing platform and vehicle
CN115296860B (en) * 2022-07-15 2023-08-15 智己汽车科技有限公司 Vehicle safety operation and maintenance operation system based on central computing platform and vehicle
KR102566729B1 (en) * 2023-01-19 2023-08-14 주식회사 시옷 Security evaluation system for autonomous driving data
KR102578554B1 (en) * 2023-01-19 2023-09-14 주식회사 시옷 Vehicle network data management system
CN116015978A (en) * 2023-02-13 2023-04-25 中国南方电网有限责任公司 Heterogeneous redundant flow detection system based on mimicry safety technology
CN116015978B (en) * 2023-02-13 2023-12-05 中国南方电网有限责任公司 Heterogeneous redundant flow detection system based on mimicry safety technology

Also Published As

Publication number Publication date
KR102234402B1 (en) 2021-03-31

Similar Documents

Publication Publication Date Title
KR102234402B1 (en) A system and method for detecting network anomalies of connected car
Thing et al. Autonomous vehicle security: A taxonomy of attacks and defences
US10931635B2 (en) Host behavior and network analytics based automotive secure gateway
CN110958262A (en) Ubiquitous Internet of things safety protection gateway system, method and deployment architecture in power industry
CN111726774A (en) Method, device, equipment and storage medium for defending attack
Harvey et al. A survey of intelligent transportation systems security: challenges and solutions
Limbasiya et al. A systematic survey of attack detection and prevention in connected and autonomous vehicles
CN111010384A (en) Self-security defense system and security defense method for terminal of Internet of things
WO2021145144A1 (en) Intrusion-path analyzing device and intrusion-path analyzing method
CN112653655A (en) Automobile safety communication control method and device, computer equipment and storage medium
CN113411295A (en) Role-based access control situation awareness defense method and system
Ahmad et al. Machine learning and blockchain technologies for cybersecurity in connected vehicles
Philipsen et al. Threats and attacks to modern vehicles
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
CN117527297A (en) Domain name based network security detection system
WO2020075808A1 (en) Information processing device, log analysis method, and program
CN112231679A (en) Terminal equipment verification method and device and storage medium
Möller et al. Automotive cybersecurity
US10701088B2 (en) Method for transmitting data
Fysarakis et al. Security Concerns in Cooperative Intelligent Transportation Systems
Dupont et al. Network intrusion detection systems for in-vehicle network-Technical report
US20170085577A1 (en) Computer method for maintaining a hack trap
CN113923021A (en) Sandbox-based encrypted flow processing method, system, device and medium
Aref et al. Autonomous vehicle cyber-attacks classification framework
Kishore et al. Intrusion Detection System a Need

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant