KR20210026246A - 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법 - Google Patents

차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법 Download PDF

Info

Publication number
KR20210026246A
KR20210026246A KR1020190106756A KR20190106756A KR20210026246A KR 20210026246 A KR20210026246 A KR 20210026246A KR 1020190106756 A KR1020190106756 A KR 1020190106756A KR 20190106756 A KR20190106756 A KR 20190106756A KR 20210026246 A KR20210026246 A KR 20210026246A
Authority
KR
South Korea
Prior art keywords
vehicle network
residual
intrusion detection
reception time
message
Prior art date
Application number
KR1020190106756A
Other languages
English (en)
Inventor
김세일
김태근
이동훈
최원석
주경호
Original Assignee
현대자동차주식회사
고려대학교 산학협력단
기아자동차주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 현대자동차주식회사, 고려대학교 산학협력단, 기아자동차주식회사 filed Critical 현대자동차주식회사
Priority to KR1020190106756A priority Critical patent/KR20210026246A/ko
Priority to US16/693,721 priority patent/US10966095B2/en
Publication of KR20210026246A publication Critical patent/KR20210026246A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40019Details regarding a bus master
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40143Bus networks involving priority mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법에 관한 것으로, 본 발명의 일 실시예에 따른 차량 네트워크 침입 탐지 장치는 캔 ID별 캔 메시지 수신 시간 및 실제 수신 시간과 평균 수신 시간의 차이인 잔차를 산출하여 차량 네트워크 침입 여부를 판단하는 프로세서; 및 상기 프로세서에 의해 획득된 상기 캔 메시지 수신 시간, 상기 잔차, 및 침입 탐지 결과 중 적어도 하나 이상을 저장하는 저장부;를 포함할 수 있다.

Description

차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법{Apparatus for detecting network intrusion of a vehicle, system having the same and method thereof}
본 발명은 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 차량 캔(CAN) 통신 네트워크 침입을 탐지할 수 있는 기술에 관한 것이다.
오늘날 차량에 탑재된 전자 제어 장치(ECU)의 비중은 크게 증가하고 있으며, 무선 네트워크를 통해 차량에서도 네트워크 접근이 가능해지고 있다.
그런데, 이와 같이 차량이 무선 통신 및 주변 네트워크 환경에 연결되면서 외부로부터 네트워크를 통해 ECU에 영향을 주는 차량 공격이 가능해진다. 외부 공격에 의한 차량 오작동은 차량 및 탑승자에게 치명적인 결과를 초래할 수 있다.
그러나, 현재 양산되는 차량들은 이에 대한 보호 수단이 전혀 마련되어 있지 않거나 미흡한 수준이며, 차량 보호를 위한 침입 감지 시스템의 연구 및 개발은 아직 시작 단계이다. 여러 침입 탐지 시스템에 대한 기술이 제안되고 있지만, 알고리즘이 복잡하고 연산량이 많기 때문에 차량 시스템으로의 구현 문제로 아직 차량에 적용하여 사용할 수 없는 상황이다.
따라서 보다 정확하고 효율적으로 차량 내 네트워크를 통한 공격의 위험성 및 공격 감지의 필요성이 빠르게 대두되고 있다. 특히, 차량에서 사용 가능하도록 캔(CAN) 네트워크에 적합한 침입 탐지 시스템이 요구된다.
본 발명의 실시예는 차량 내 장치의 소프트웨어 업데이트만으로 차량 캔 통신 네트워크 침입을 효과적으로 탐지할 수 있는 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법을 제공하고자 한다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 차량 네트워크 침입 탐지 장치는 캔 ID별 캔 메시지 수신 시간 및 실제 수신 시간과 평균 수신 시간의 차이인 잔차를 산출하여 차량 네트워크 침입 여부를 판단하는 프로세서; 및 상기 프로세서에 의해 획득된 상기 캔 메시지 수신 시간, 상기 잔차, 및 침입 탐지 결과 중 적어도 하나 이상을 저장하는 저장부;를 포함할 수 있다.
일 실시예에 있어서, 상기 프로세서는, 직전 수신한 캔 메시지의 수신 시간과 현재 수신한 캔 메시지의 수신 시간의 차이인 메시지 수신 시간 간격 및 정상 상태에서의 평균 시간 간격을 기반으로 상기 잔차를 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 프로세서는, 상기 캔 ID별 산출되는 잔차를 누적하여 업데이트하여 누적 잔차를 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 프로세서는, 수신한 캔 메시지가 적어도 하나 이상인 경우 상기 누적 잔차를 미분 연산하여 누적 잔차 미분 연산값을 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 프로세서는, 정상 상태에서 산출된 누적 잔차 미분 연산값의 평균값 및 표준 편차를 이용하여 상위 임계치 및 하위 임계치를 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 프로세서는, 상기 누적 잔차 미분 연산값이 상기 상위 임계치보다 크거나 상기 하위 임계치보다 작은 경우 차량 네트워크 침입이 탐지된 것으로 판단하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 프로세서는, 상기 잔차가 임계치 범위를 벗어나는 경우 차량 네트워크 침입이 탐지된 것으로 판단하는 것을 포함할 수 있다.
일 실시예에 있어서, 캔 버스를 통해 캔 메시지를 수신하거나 송신하는 통신부를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 차량 시스템은 캔 ID별 캔 메시지 수신 시간 및 실제 수신 시간과 평균 수신 시간의 차이인 잔차를 산출하여 차량 네트워크 침입 여부를 판단하는 차량 네트워크 침입 탐지 장치; 및 상기 차량 네트워크 침입이 탐지되면 사용자에게 알림을 수행하는 침입 탐지 알림 장치;를 포함하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 침입 탐지 알림 장치는, 시각, 청각 및 촉각 중 적어도 하나 이상을 기반으로 침입 탐지를 사용자에게 알리는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 차량 네트워크 침입 탐지 장치는, 직전 수신한 캔 메시지의 수신 시간과 현재 수신한 캔 메시지의 수신 시간의 차이인 메시지 수신 시간 간격 및 정상 상태에서의 평균 시간 간격을 기반으로 상기 잔차를 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 차량 네트워크 침입 탐지 장치는, 상기 캔 ID별 산출되는 잔차를 누적하여 업데이트하여 누적 잔차를 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 차량 네트워크 침입 탐지 장치는, 수신한 캔 메시지가 적어도 하나 이상인 경우 상기 누적 잔차를 미분 연산하여 누적 잔차 미분 연산값을 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 차량 네트워크 침입 탐지 장치는, 정상 상태에서 산출된 누적 잔차 미분 연산값의 평균값 및 표준 편차를 이용하여 상위 임계치 및 하위 임계치를 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 차량 네트워크 침입 탐지 장치는, 상기 누적 잔차 또는 상기 누적 잔차 미분 연산값을 이용하여 상기 차량 네트워크 침입 탐지 여부를 판단하는 것을 포함할 수 있다.
본 발명의 일 실시예에 따른 차량 네트워크 침입 탐지 방법은 캔 ID별 캔 메시지의 수신 시간을 측정하는 단계; 상기 캔 메시지의 실제 수신 시간과 평균 수신 시간의 차이인 잔차를 산출하는 단계; 및 상기 잔차를 기반으로 차량 네트워크 침입 여부를 판단하는 단계;를 더 포함할 수 있다.
일 실시예에 있어서, 상기 잔차를 산출하는 단계는, 직전 수신한 캔 메시지의 수신 시간과 현재 수신한 캔 메시지의 수신 시간의 차이인 메시지 수신 시간 간격 및 정상 상태에서의 평균 시간 간격을 기반으로 상기 잔차를 산출하는 것을 포함할 수 있다.
일 실시예에 있어서, 상기 캔 ID별 산출되는 잔차를 누적하여 업데이트하여 누적 잔차를 산출하는 단계를 더 포함할 수 있다.
일 실시예에 있어서, 수신한 캔 메시지가 적어도 하나 이상인 경우 상기 누적 잔차를 미분 연산하여 누적 잔차 미분 연산값을 산출하는 단계를 더 포함할 수 있다.
일 실시예에 있어서, 상기 차량 네트워크 침입 여부를 판단하는 단계는 상기 누적 잔차 또는 상기 누적 잔차 미분값이 미리 정한 임계치 범위를 벗어나는 경우 차량 네트워크 침입이 탐지된 것으로 판단하는 것을 포함할 수 있다.
본 기술은 차량 내 장치의 소프트웨어 업데이트만으로 차량 캔 통신 네트워크 침입을 효과적으로 탐지할 수 있다.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.
도 1은 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지 장치를 포함하는 차량 시스템의 구성을 나타내는 블록도이다.
도 2는 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지를 위한 메시지 수신 시간 간격을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지를 위한 임계치 설정 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 다른 실시 예에 따른 차량 네트워크 침입 탐지 방법을 설명하기 위한 순서도이다.
도 6은 본 발명의 일 실시 예에 따른 차량 네트워크 침입이 없는 정상 상황에서의 누적 잔차 및 누적 잔차 미분값의 변화를 나타내는 그래프이다.
도 7은 본 발명의 일 실시 예에 따른 차량 네트워크 메시지 주입 공격(Message Injection Attack) 시 누적 잔차 및 누적 잔차 미분값의 변화를 나타내는 그래프이다.
도 8은 본 발명의 일 실시 예에 따른 차량 네트워크 서스펜션 공격(Suspension Attack) 시 누적 잔차 및 누적 잔차 미분값의 변화를 나타내는 그래프이다.
도 9는 본 발명의 일 실시 예에 따른 컴퓨팅 시스템을 도시한다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 또한, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 발명은 차량 내부 네트워크인 캔(CAN) 네트워크에서 발생하는 사이버공격을 탐지하기 위한 IDS(Automotive Intrusion Detection System) 기술이며, 동일 ID를 가지는 패킷 간의 시간 간격 에러(time interval error)의 변화량을 측정하여 침입탐지 기능을 수행하는 기술을 개시한다.
이하, 도 1 내지 도 9를 참조하여, 본 발명의 실시예들을 구체적으로 설명하기로 한다.
도 1은 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지 장치를 포함하는 차량 시스템의 구성을 나타내는 블록도이다. 도 2는 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지를 위한 메시지 수신 시간 간격을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 일 실시 예에 따른 차량 시스템은 캔 버스(200)에 연결되는 차량 네트워크 침입 탐지 장치(100), 침입 탐지 알림 장치(300)를 포함할 수 있다.
차량 네트워크 침입 탐지 장치(100)는 캔 버스(200)를 통해 캔 메시지들을 수신하고 각 메시지의 수신 시간(timestamp)를 기록한 후 모니터링 대상이 되는 CAN ID가 수신되었을 때 이에 해당하는 메시지 수신 시간 (timestamp)과 실제 수신 시간과 평균 수신 시간의 차이인 잔차(residual)을 계산하며, 새롭게 계산된 잔차값을 잔차 누적값에 합산하여 업데이트할 수 있다.
차량 네트워크 침입 탐지 장치(100)는 모니터링 대상이 되는 CAN ID가 수신될 때마다 잔차누적값은 업데이트되며, 잔차누적을 분석함으로써 CAN 내부 네트워크에 사이버 공격으로 인한 침입이 발생하였는지 여부를 판정할 수 있다.
차량 네트워크 침입 탐지 장치(100)는 통신부(110), 저장부(120), 및 프로세서(130)를 포함할 수 있다.
통신부(110)는 캔(can) 통신, 린(LIN) 통신 등을 통해 차량 내 통신을 수행하기 위해 다양한 전자 회로로 구현되는 하드웨어 장치이다.
저장부(120)는 프로세서(130)에 의한 캔(CAN) 메시지 수신 시 수신시간(Timestamp), 잔차, 누적 잔차, 누적 잔차 미분 값, 캔 메시지, 침입 탐지 결과 등을 저장할 수 있다. 저장부(120)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 마이크로 타입(micro type), 및 카드 타입(예컨대, SD 카드(Secure Digital Card) 또는 XD 카드(eXtream Digital Card)) 등의 메모리와, 램(RAM, Random Access Memory), SRAM(Static RAM), 롬(ROM, Read-Only Memory), PROM(Programmable ROM), EEPROM(Electrically Erasable PROM), 자기 메모리(MRAM, Magnetic RAM), 자기 디스크(magnetic disk), 및 광디스크(optical disk) 타입의 메모리 중 적어도 하나의 타입의 기록 매체(storage medium)를 포함할 수 있다.
프로세서(130)는 통신부(110), 저장부(120), 표시부(130) 등과 전기적으로 연결될 수 있고, 각 구성들을 전기적으로 제어할 수 있으며, 소프트웨어의 명령을 실행하는 전기 회로가 될 수 있으며, 이에 의해 후술하는 다양한 데이터 처리 및 계산을 수행할 수 있다.
프로세서(130)는 캔 ID별 캔 메시지 수신 시간 및 실제 수신 시간과 평균 수신 시간의 차이인 잔차(residual)를 산출하여 차량 네트워크 침입 여부를 판단할 수 있다. 도 2를 참조하면, 번째 수신한 CAN 메시지와 번째 수신한 CAN 메시지와의 수신 시간 간격(time interval)과 정상 상태에서의 산출된 수신 시간의 평균값을 이용하여 잔차를 산출할 수 있다.
프로세서(130)는 직전 수신한 캔 메시지의 수신 시간과 현재 수신한 캔 메시지의 수신 시간의 차이인 메시지 수신 시간 간격 및 정상 상태에서의 평균 시간 간격을 기반으로 잔차를 산출할 수 있다.
프로세서(130)는 캔 ID별 산출되는 잔차를 누적하여 업데이트하여 누적 잔차를 산출할 수 있고, 수신한 캔 메시지가 적어도 하나 이상인 경우 누적 잔차를 미분 연산하여 누적 잔차 미분 연산값을 산출할 수 있다.
프로세서(130)는 정상 상태에서 산출된 누적 잔차 미분 연산값의 평균값 및 표준 편차를 이용하여 상위 임계치 및 하위 임계치를 산출할 수 있다.
프로세서(130)는 누적 잔차 또는 누적 잔차 미분 연산값이 상위 임계치보다 크거나 하위 임계치보다 작은 경우 차량 네트워크 침입이 탐지된 것으로 판단할 수 있다.
번째 산출된 잔차 는 수학식 1과 같이 산출될 수 있다.
[수학식 1]
Figure pat00001
여기서, 는 번째 수신한 CAN 메시지와 번째 수신한 CAN 메시지와의 time interval을 의미하며, 는 정상상태(침입 상태가 아닌)에서 산출된 평균 시간 간격(average time interval)을 의미한다. 즉 평균 시간 간격은 정상상태에서 측정된 메시지 수신 시간 간격의 평균값을 의미한다.
번째 누적 잔차는 아래 수학식 2와 같이 산출될 수 있다.
[수학식 2]
Figure pat00002
이후, 차량 네트워크 침입 탐지 장치(100)는 누적 잔차를 미분 연산하여 누적 잔차의 시간 변화량을 아래 수학식 3과 같이 산출할 수 있다.
[수학식 3]
Figure pat00003
이에 차량 네트워크 침입 탐지 장치(100)는 산출된 누적 잔차 미분값 를 분석하여 침입탐지기능을 수행할 수 있다.
[수학식 4]
Figure pat00004
여기서 는 정상상태에서 산출된 누전 잔차 미분값 의 평균이고, 는 정상상태에서 산출된 누전 잔차 미분값 의 표준편차이고, thrU는 상위 임계치(upper threshold)이고 thrL은 하위 임계치(lower threshold)를 의미한다.
차량 네트워크 침입 탐지 장치(100)는 상기 수학식 4와 같이, 누적 잔차 미분값의 평균 및 표준 편차를 이용하여 상위 임계치와 하위 임계치를 산출할 수 있으며, 누적 잔차 미분값이 상위 임계치와 하위 임계치의 범위를 벗어나는 경우 이를 침입으로 탐지할 수 있다.
이와 같이, 본 발명은 캔 메시지의 누적 잔차 미분값을 산출하여 캔 통신 네트워크에 사이버 공격으로 인한 침입을 탐지하고, 정상상태와 침입이 발생하였을 때 누적 잔차가 달라지는 차이를 이용하여 침입을 탐지함으로써 더욱 정확하게 침입 탐지를 할 수 있다.
침입 탐지 알림 장치(300)는 차량 네트워크 침입 탐지 장치(100)로부터 침입이 탐지되면, 사용자에게 침입 탐지를 알림을 한다. 이때, 알림은 시각, 청각, 및 촉각 중 적어도 하나 이상을 이용하여 수행될 수 있다.
또한, 침입 탐지 알림 장치(300)는 별도의 하드웨어 장치가 아닌, 헤드업 디스플레이(HUD), 클러스터, AVN(Audio Video Navigation) 등으로 구현될 수 있다. 또한, 침입 탐지 알림 장치(300)는 액정 디스플레이(LCD, Liquid Crystal Display), 박막 트랜지스터 액정 디스플레이(TFT LCD, Thin Film Transistor-LCD), 발광 다이오드(LED, Light Emitting Diode), 유기 발광 다이오드(OLED, Organic LED), 능동형 OLED(AMOLED, Active Matrix OLED), 플렉서블 디스플레이(flexible display), 벤디드 디스플레이(bended display), 그리고 3차원 디스플레이(3D display) 중에서 적어도 하나를 포함할 수 있다.
이하, 도 3을 참조하여 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지 방법을 설명하기로 한다. 도 3은 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지 방법을 설명하기 위한 순서도이다.
이하에서는 도 1의 차량 네트워크 침입 탐지 장치(100)가 도 3의 프로세스를 수행하는 것을 가정한다. 또한, 도 3의 설명에서, 장치에 의해 수행되는 것으로 기술된 동작은 차량 네트워크 침입 탐지 장치(100)의 프로세서(130)에 의해 제어되는 것으로 이해될 수 있다.
도 3을 참조하면 차량 네트워크 침입 탐지 장치(100)는 캔(CAN) 메시지 수신 및 수신시간 (Timestamp)을 기록한다(S100). 이때, 수신하는 모든 캔 메시지의 수신 시간을 캔 ID별로 기록할 수 있다.
이어 차량 네트워크 침입 탐지 장치(100)는 누적 잔차(Cumulative Residual)을 계산한다(S200). 차량 네트워크 침입 탐지 장치(100)는 캔 ID별로 측정된 잔차를 합산하여 누적 잔차를 산출할 수 있다. 차량 네트워크 침입 탐지 장치(100)는 직전 수신한 캔 메시지와 현재 수신한 캔 메시지의 수신 시간 간격과 정상 상태(네트워크 침입을 받지 않은 상태)에서 산출된 메시지 수신 시간 간격의 평균값을 이용하여 캔 ID별 잔차를 산출할 수 있다.
이어 차량 네트워크 침입 탐지 장치(100)는 누적 잔차 미분값(Differentiated cumulative residual)를 계산한다(S300). 차량 네트워크 침입 탐지 장치(100)는 누적 잔차를 미분연산하여 누적 잔차 미분값을 산출할 수 있다.
이에 차량 네트워크 침입 탐지 장치(100)는 누적 잔차 미분값이 임계치를 초과하였는지를 확인하여 차량 네트워크 침입 여부를 판단할 수 있다(S400).
즉, 차량 네트워크 침입 탐지 장치(100)는 누적 잔차 미분값이 임계치를 초과하면 침입이 탐지(Intrusion Detection)된 것으로 판단할 수 있다(S500). 이때 임계치는 상위 임계치 및 하위 임계치로 설정되어, 차량 네트워크 침입 탐지 장치(100)는 누적 잔차 미분값이 상위 임계치보다 작고 하위 임계치보다 큰 범위에 포함되면 정상상태이고, 누적 잔차 미분값이 상위 임계치보다 크고 하위 임계치보다 작은 범위에 포함되면 침입 상태로 판단할 수 있다.
도 4는 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지를 위한 임계치 설정 방법을 설명하기 위한 순서도이다. 도 4는 본 발명의 일 실시 예에 따른 차량 네트워크 침입 탐지를 위한 임계치 설정 방법을 설명하기 위한 순서도이다.
이하에서는 도 1의 차량 네트워크 침입 탐지 장치(100)가 도 4의 프로세스를 수행하는 것을 가정한다. 또한, 도 4의 설명에서, 장치에 의해 수행되는 것으로 기술된 동작은 차량 네트워크 침입 탐지 장치(100)의 프로세서(130)에 의해 제어되는 것으로 이해될 수 있다.
도 4를 참조하면, 엔진 구동이 시작되고, 차량 네트워크 침입 탐지 장치(100)는 캔 메시지가 수신되면(S101), 캔 메시지가 수신된 시간인 메시지 수신 시간을 측정 및 저장한다(S102). 이에 캔 ID별 캔 메시지의 수신시간이 모두 저장될 수 있다.
이어 차량 네트워크 침입 탐지 장치(100)는 직전 캔 메시지의 수신 시간과 현재 수신한 캔 메시지의 수신 시간의 차이인 수신 시간 간격을 산출하고 수신 시간 간격을 기반으로 잔차를 산출한다(S103).
차량 네트워크 침입 탐지 장치(100)는 캔 ID별 메시지의 잔차를 누적하여 누적 잔차를 산출하여 저장하고(S104), 수신한 메시지 수가 N개 이상인지를 확인한다(S105).
차량 네트워크 침입 탐지 장치(100)는 수신한 메시지 수가 N개 미만인 경우 상기 과정 S101로 복귀하여 과정 S101 내지 S105를 반복 수행한다.
한편, 수신한 메시지 수가 N개 이상인 경우 차량 네트워크 침입 탐지 장치(100)는 누적 잔차를 미분연산하여 누적 잔차 미분값을 산출한다(S105).
차량 네트워크 침입 탐지 장치(100)는 정상 상태에서 산출된 누적 잔차 미분값의 평균값 및 표준편차를 기반으로 상위 임계치 및 하위 임계치를 산출한다(S106).
도 5는 본 발명의 다른 실시 예에 따른 차량 네트워크 침입 탐지 방법을 더욱 구체적으로 설명하기 위한 순서도이다. 도 5는 본 발명의 다른 실시 예에 따른 차량 네트워크 침입 탐지 방법을 더욱 구체적으로 설명하기 위한 순서도이다. 도 5에서는 도 3의 누적 잔차 미분값이 아닌 누적 잔차를 이용하여 침입 탐지를 하는 예를 개시한다.
이하에서는 도 1의 차량 네트워크 침입 탐지 장치(100)가 도 5의 프로세스를 수행하는 것을 가정한다. 또한, 도 5의 설명에서, 장치에 의해 수행되는 것으로 기술된 동작은 차량 네트워크 침입 탐지 장치(100)의 프로세서(130)에 의해 제어되는 것으로 이해될 수 있다. 이때, 도 5의 과정은 도 4의 임계치 설정이 완료 된 상태로 가정한다.
도 5를 참조하면 차량 네트워크 침입 탐지 장치(100)는 캔 메시지가 수신되면(S201), 메시지 수신 시간을 측정하여 저장하고(S202), 메시지 수신 시간을 기반으로 잔차를 계산한다(S203).
차량 네트워크 침입 탐지 장치(100)는 캔 ID별 잔차를 누적하여 누적 잔차를 산출하고(S203), 누적 잔차의 슬로프가 임계치 범위를 만족하는 지를 체크한다(S205).
누적 잔차의 슬로프가 임계치 범위를 만족하는 경우, 차량 네트워크 침입 탐지 장치(100)는
정상 상태로 판단하여 상기 과정 S201로 복귀하여 S201 내지 S205를 반복수행한다.
한편, 누적 잔차의 슬로프가 임계치 범위를 만족하지 못하는 경우 차량 네트워크 침입 탐지 장치(100)는 침입이 탐지된 것으로 판단하고, 침입 탐지 알람을 발생시킨다(S206).
이 후 차량 네트워크 침입 탐지 장치(100)는 엔진의 구동 여부를 판단하여(S207), 엔진이 계속 구동 중이면 상기 과정 S201 내지 S206을 반복 수행하여 차량 네트워크 침입 탐지를 계속 수행하고, 에진 구동이 종료되면 차량 네트워크 침입 탐지를 종료한다.
도 6은 본 발명의 일 실시 예에 따른 차량 네트워크 침입이 없는 정상 상황에서의 누적 잔차 및 누적 잔차 미분값의 변화를 나타내는 그래프이다.
도 6의 601은 차량 네트워크의 정상 상태에서의 캔 ID별 누적 잔차를 나타내는 그래프이고, 602는 차량 네트워크의 정상 상태에서의 캔 ID별 누적 잔차 미분값을 나타내는 그래프이다. 이때, 602에서 누적 잔차 미분값의 분포가 상위 임계치와 하위 임계치 사이 범위에 포함됨을 알 수 있다.
도 7은 본 발명의 일 실시 예에 따른 차량 네트워크 메시지 주입 공격(Message Injection Attack) 시 누적 잔차 및 누적 잔차 미분값의 변화를 나타내는 그래프이다.
도 7의 701은 메시지 주입 공격 상황에서의 캔 ID별 누적 잔차를 나타내는 그래프이고, 702는 차량 네트워크의 메시지 주입 공격 상황에서의 캔 ID별 누적 잔차 미분값을 나타내는 그래프이다. 702를 참조하면 캔ID별 누적 잔차 미분값이 하위 임계치 이하임을 알 수 있다.
도 8은 본 발명의 일 실시 예에 따른 차량 네트워크 서스펜션 공격(Suspension Attack) 시 누적 잔차 및 누적 잔차 미분값의 변화를 나타내는 그래프이다.
도 8의 801은 메시지 서스펜션 공격 상황에서의 캔 ID별 누적 잔차를 나타내는 그래프이고, 802는 차량 네트워크의 서스펜션 주입 공격 상황에서의 캔 ID별 누적 잔차 미분값을 나타내는 그래프이다. 802를 참조하면 캔ID별 누적 잔차 미분값이 상위 임계치 이상임을 알 수 있다.
기존의 IDS 기술들은 메시지 주기를 모방하는 공격유형을 효과적으로 탐지 할 수 없는 한계점을 갖고 있었으나, 본 발명은 현재까지 소개된 모든 유형의 공격을 효과적으로 탐지할 수 있다.
또한, 기존 기술들은 공격유무를 탐지하기 위해 일정 개수이상의 패킷을 수집 해야만 하는 제약사항이 존재하지만, 본 발명은 단일 패킷만으로도 공격유무를 탐지할 수 있으며 이를 통해 실제 공격이 발생한 시점과 공격을 탐지한 시점의 차이 (공격탐지 시간)를 줄일 수 있다.
또한, 현재까지 제안된 기존의 IDS 기술들은 실제 저성능 디바이스로 계산 오버 헤드(computation overhead)가 높아 고성능 디바이스를 사용하여야 하나 본 발명은 침입여부를 판단하기 위한 계산 오버 헤드가 매우 낮아 원가 절감면에서 유리한 면이 있다.
또한, 본 발명은 기존 상용차량의 시스템 변형 없이도 적은 비용으로 구현 가능한 자동(Automotive) IDS 기술로써 상용화를 통해 실제 차량에 탑재할 수 있다.
또한, 본 발명은 외부 환경변화에 강인한 기술이므로 기존의 ECU의 물리적 특성을 활용하는 침입탐지기술에 비해 보다 실제 차량 환경에 적합한 기술이다.
또한, 기존에는 실제 차량에 구현 시 각각의 차량에서 일정시간 CAN 트래픽(Traffic)을 모니터링하는 훈련(Training) 과정이 필요하나, 본 발명은 동일한 CAN 네트워크 구성을 갖는 차량이라면, 동일한 훈련(training) 파라미터를 공유할 수 있기 때문에 확장성 측면에서 매우 효과적인 장점을 가질 수 있다.
도 9는 본 발명의 일 실시 예에 따른 컴퓨팅 시스템을 도시한다.
도 9를 참조하면, 컴퓨팅 시스템(1000)은 버스(1200)를 통해 연결되는 적어도 하나의 프로세서(1100), 메모리(1300), 사용자 인터페이스 입력 장치(1400), 사용자 인터페이스 출력 장치(1500), 스토리지(1600), 및 네트워크 인터페이스(1700)를 포함할 수 있다.
프로세서(1100)는 중앙 처리 장치(CPU) 또는 메모리(1300) 및/또는 스토리지(1600)에 저장된 명령어들에 대한 처리를 실행하는 반도체 장치일 수 있다. 메모리(1300) 및 스토리지(1600)는 다양한 종류의 휘발성 또는 불휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리(1300)는 ROM(Read Only Memory) 및 RAM(Random Access Memory)을 포함할 수 있다.
따라서, 본 명세서에 개시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서(1100)에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM과 같은 저장 매체(즉, 메모리(1300) 및/또는 스토리지(1600))에 상주할 수도 있다.
예시적인 저장 매체는 프로세서(1100)에 커플링되며, 그 프로세서(1100)는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서(1100)와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (20)

  1. 캔 ID별 캔 메시지 수신 시간 및 실제 수신 시간과 평균 수신 시간의 차이인 잔차를 산출하여 차량 네트워크 침입 여부를 판단하는 프로세서; 및
    상기 프로세서에 의해 획득된 상기 캔 메시지 수신 시간, 상기 잔차, 및 침입 탐지 결과 중 적어도 하나 이상을 저장하는 저장부;
    를 포함하는 차량 네트워크 침입 탐지 장치.
  2. 청구항 1에 있어서,
    상기 프로세서는,
    직전 수신한 캔 메시지의 수신 시간과 현재 수신한 캔 메시지의 수신 시간의 차이인 메시지 수신 시간 간격 및 정상 상태에서의 평균 시간 간격을 기반으로 상기 잔차를 산출하는 것을 특징으로 하는 차량 네트워크 침입 탐지 장치.
  3. 청구항 1에 있어서,
    상기 프로세서는,
    상기 캔 ID별 산출되는 잔차를 누적하여 업데이트하여 누적 잔차를 산출하는 것을 특징으로 하는 차량 네트워크 침입 탐지 장치.
  4. 청구항 3에 있어서,
    상기 프로세서는,
    수신한 캔 메시지가 적어도 하나 이상인 경우 상기 누적 잔차를 미분 연산하여 누적 잔차 미분 연산값을 산출하는 것을 특징으로 하는 차량 네트워크 침입 탐지 장치.
  5. 청구항 4에 있어서,
    상기 프로세서는,
    정상 상태에서 산출된 누적 잔차 미분 연산값의 평균값 및 표준 편차를 이용하여 상위 임계치 및 하위 임계치를 산출하는 것을 특징으로 하는 차량 네트워크 침입 탐지 장치.
  6. 청구항 5에 있어서,
    상기 프로세서는,
    상기 누적 잔차 미분 연산값이 상기 상위 임계치보다 크거나 상기 하위 임계치보다 작은 경우 차량 네트워크 침입이 탐지된 것으로 판단하는 것을 특징으로 하는 차량 네트워크 침입 탐지 장치.
  7. 청구항 1에 있어서,
    상기 프로세서는,
    상기 잔차가 임계치 범위를 벗어나는 경우 차량 네트워크 침입이 탐지된 것으로 판단하는 것을 특징으로 하는 차량 네트워크 침입 탐지 장치.
  8. 청구항 1에 있어서,
    캔 버스를 통해 캔 메시지를 수신하거나 송신하는 통신부
    를 더 포함하는 것을 특징으로 하는 차량 네트워크 침입 탐지 장치.
  9. 캔 ID별 캔 메시지 수신 시간 및 실제 수신 시간과 평균 수신 시간의 차이인 잔차를 산출하여 차량 네트워크 침입 여부를 판단하는 차량 네트워크 침입 탐지 장치; 및
    상기 차량 네트워크 침입이 탐지되면 사용자에게 알림을 수행하는 침입 탐지 알림 장치;
    를 포함하는 것을 특징으로 하는 차량 시스템.
  10. 청구항 9에 있어서,
    상기 침입 탐지 알림 장치는,
    시각, 청각 및 촉각 중 적어도 하나 이상을 기반으로 침입 탐지를 사용자에게 알리는 것을 특징으로 하는 차량 시스템.
  11. 청구항 9에 있어서,
    상기 차량 네트워크 침입 탐지 장치는,
    직전 수신한 캔 메시지의 수신 시간과 현재 수신한 캔 메시지의 수신 시간의 차이인 메시지 수신 시간 간격 및 정상 상태에서의 평균 시간 간격을 기반으로 상기 잔차를 산출하는
    하는 것을 특징으로 하는 차량 시스템.
  12. 청구항 9에 있어서,
    상기 차량 네트워크 침입 탐지 장치는,
    상기 캔 ID별 산출되는 잔차를 누적하여 업데이트하여 누적 잔차를 산출하는 것을 특징으로 하는 차량 시스템.
  13. 청구항 12에 있어서,
    상기 차량 네트워크 침입 탐지 장치는,
    수신한 캔 메시지가 적어도 하나 이상인 경우 상기 누적 잔차를 미분 연산하여 누적 잔차 미분 연산값을 산출하는 것을 특징으로 하는 차량 시스템.
  14. 청구항 13에 있어서,
    상기 차량 네트워크 침입 탐지 장치는,
    정상 상태에서 산출된 누적 잔차 미분 연산값의 평균값 및 표준 편차를 이용하여 상위 임계치 및 하위 임계치를 산출하는 것을 특징으로 하는 차량 시스템.
  15. 청구항 13에 있어서,
    상기 차량 네트워크 침입 탐지 장치는,
    상기 누적 잔차 또는 상기 누적 잔차 미분 연산값을 이용하여 상기 차량 네트워크 침입 탐지 여부를 판단하는 것을 특징으로 하는 차량 시스템.
  16. 캔 ID별 캔 메시지의 수신 시간을 측정하는 단계;
    상기 캔 메시지의 실제 수신 시간과 평균 수신 시간의 차이인 잔차를 산출하는 단계; 및
    상기 잔차를 기반으로 차량 네트워크 침입 여부를 판단하는 단계;
    를 더 포함하는 것을 특징으로 하는 차량 네트워크 침입 탐지 방법.
  17. 청구항 16에 있어서,
    상기 잔차를 산출하는 단계는,
    직전 수신한 캔 메시지의 수신 시간과 현재 수신한 캔 메시지의 수신 시간의 차이인 메시지 수신 시간 간격 및 정상 상태에서의 평균 시간 간격을 기반으로 상기 잔차를 산출하는 것을 특징으로 하는 차량 네트워크 침입 탐지 방법.
  18. 청구항 16에 있어서,
    상기 캔 ID별 산출되는 잔차를 누적하여 업데이트하여 누적 잔차를 산출하는 단계
    를 더 포함하는 것을 특징으로 하는 차량 네트워크 침입 탐지 방법.
  19. 청구항 18에 있어서,
    수신한 캔 메시지가 적어도 하나 이상인 경우 상기 누적 잔차를 미분 연산하여 누적 잔차 미분 연산값을 산출하는 단계
    를 더 포함하는 것을 특징으로 하는 차량 네트워크 침입 탐지 방법.
  20. 청구항 19에 있어서,
    상기 차량 네트워크 침입 여부를 판단하는 단계는
    상기 누적 잔차 또는 상기 누적 잔차 미분값이 미리 정한 임계치 범위를 벗어나는 경우 차량 네트워크 침입이 탐지된 것으로 판단하는 것을 특징으로 하는 차량 네트워크 침입 탐지 방법.
KR1020190106756A 2019-08-29 2019-08-29 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법 KR20210026246A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020190106756A KR20210026246A (ko) 2019-08-29 2019-08-29 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법
US16/693,721 US10966095B2 (en) 2019-08-29 2019-11-25 Vehicle network intrusion detection device, system including the same, and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190106756A KR20210026246A (ko) 2019-08-29 2019-08-29 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20210026246A true KR20210026246A (ko) 2021-03-10

Family

ID=74681993

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190106756A KR20210026246A (ko) 2019-08-29 2019-08-29 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US10966095B2 (ko)
KR (1) KR20210026246A (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11386204B2 (en) * 2020-09-24 2022-07-12 Intel Corporation Agile reconfigurable approach for real-time replacement of on-chip safety-critical modules
DE102020214945A1 (de) * 2020-11-27 2022-06-02 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
CN114615086B (zh) * 2022-04-14 2023-11-03 合肥工业大学 一种车载can网络入侵检测方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7203962B1 (en) * 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
WO2016108963A1 (en) * 2014-12-30 2016-07-07 Battelle Memorial Institute Temporal anomaly detection on automotive networks
KR101669946B1 (ko) 2015-08-28 2016-10-28 고려대학교 산학협력단 전력 신호를 이용한 ecu 식별 장치 및 방법
US11044260B2 (en) * 2016-04-01 2021-06-22 The Regents Of The University Of Michigan Fingerprinting electronic control units for vehicle intrusion detection
KR101843930B1 (ko) 2016-08-03 2018-04-02 고려대학교 산학협력단 시퀀스 마이닝 기반의 차량 이상 징후 탐지 장치
DE102017208553A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff

Also Published As

Publication number Publication date
US20210067971A1 (en) 2021-03-04
US10966095B2 (en) 2021-03-30

Similar Documents

Publication Publication Date Title
KR20210026246A (ko) 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법
KR101638613B1 (ko) 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법
EP3744583B1 (en) Data analysis device and program
KR102310252B1 (ko) 자동차 운전자 보조 시스템에 관련된 방법
US11528325B2 (en) Prioritizing data using rules for transmission over network
US11603110B2 (en) Addressing vehicle sensor abnormalities
US10051060B2 (en) Sensor data segmentation and virtualization
US11683341B2 (en) System and method for network intrusion detection based on physical measurements
US11274939B2 (en) Sensor data segmentation and virtualization
CN111600519B (zh) 伺服电机控制方法、装置、电子设备及存储介质
US11863574B2 (en) Information processing apparatus, anomaly analysis method and program
CN111311912A (zh) 车联网检测数据确定方法、装置及电子设备
CN114500315A (zh) 设备状态监控方法、装置、计算机设备及存储介质
KR102261607B1 (ko) 차량 에지 네트워크에서 실시간 크라우드 센싱 서비스를 위한 상황 인식 신뢰 추정 장치
CN110941825B (zh) 一种应用监控方法及装置
JP7234832B2 (ja) 電子制御装置
CN107562173B (zh) 一种设备处理方法、设备处理装置及设备处理系统
US11777785B2 (en) Alert throttling
KR20220139759A (ko) 차량의 ecu 업데이트 관리 시스템 및 그 방법
KR20200124470A (ko) 차량의 게이트웨이 장치, 그를 포함한 시스템 및 그 침입 탐지 방법
CN110782114A (zh) 驾驶行为挖掘方法、装置、电子设备及存储介质
US20240214124A1 (en) Abnormal frame determination device, abnormal frame determination method, and non-transitory computer readable medium
JP2024093195A (ja) 異常フレーム判定装置、異常フレーム判定方法、及び異常フレーム判定プログラム
WO2022102397A1 (ja) 車載装置、管理装置、異常判定方法および異常判定プログラム
US20220301422A1 (en) Anomaly detection system, anomaly detecting apparatus, anomaly detection method and program