KR20220082550A - 차량 - Google Patents

차량 Download PDF

Info

Publication number
KR20220082550A
KR20220082550A KR1020200172548A KR20200172548A KR20220082550A KR 20220082550 A KR20220082550 A KR 20220082550A KR 1020200172548 A KR1020200172548 A KR 1020200172548A KR 20200172548 A KR20200172548 A KR 20200172548A KR 20220082550 A KR20220082550 A KR 20220082550A
Authority
KR
South Korea
Prior art keywords
intrusion
domain
data
vehicle
occurred
Prior art date
Application number
KR1020200172548A
Other languages
English (en)
Inventor
김성윤
신승환
Original Assignee
현대자동차주식회사
기아 주식회사
현대오토에버 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 현대자동차주식회사, 기아 주식회사, 현대오토에버 주식회사 filed Critical 현대자동차주식회사
Priority to KR1020200172548A priority Critical patent/KR20220082550A/ko
Publication of KR20220082550A publication Critical patent/KR20220082550A/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/0098Details of control systems ensuring comfort, safety or stability not otherwise provided for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0005Processor details or data handling, e.g. memory registers or chip architecture
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0019Control system elements or transfer functions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 차량을 구성하는 각 도메인 별로 침입 식별 모델을 적용하여 다양한 침입을 빠른 시간으로 판별하고, 침입에 대한 효율적인 대처 수용이 가능한 차량을 제공한다.
일 실시예에 따른 차량은 복수의 제어 모듈을 포함하는 도메인; 및 상기 복수의 도메인 각각과 통신을 수행하는 중앙 프로세서;를 포함하고,
상기 도메인은, 침입이 구현되는 데이터를 수신하면,
상기 침입 유형에 대응되는 침입 감지 모델을 이용하여,
상기 도메인의 데이터 침입 발생한 것으로 판단되면, 상기 데이터 침입에 대응되는 복원 제어를 수행할 수 있다.

Description

차량{VEHICLE}
본 발명은 복수의 모듈이 마련되어 네트워크가 형성된 차량에 관련된 기술이다.
차량에 마련된 전자 모듈은 네트워크를 통해서 서로 정보를 주고 받고, 이를 통해 더욱 다양한 기능을 수행하고 있다. 즉, 차량의 전자 모듈은 CAN데이터 버스, 이더넷, UART(Universal asynchronous receiver/transmitter) 및 SPI 를 통해서 서로간에 데이터를 주고받음으로써 다양한 기능을 수행한다.특히 차량의 경우 차량의 네트워크에 사용되는 CAN(Controller Area Network) 데이터 버스(BUS)는 차량의 전자 모듈간의 데이터 전송 및 제어에 사용되는 네트워크 시스템을 의미한다.
한편 이러한 네트워크는 복수의 모듈로 구성될 수 있다. 한편 네트워크를 이용하는 모듈에서는 해킹 등의 네트워크 침입이 발생할 수 있다. 기존에는 이러한 네트워크 침입을 판단하기 위하여 침입의 유형들을 여러 개를 묶어서 관측집합을 사용하고, 이것을 단일 은닉 마르코프 모델(hidden markov model)과 연결하여 그 결과를 사용하여 네트워크 침입을 판단하였다. 다만 이런 방법을 통하여 네크워크 침입을 판단하는 동작에 있어서는 새로 발생하는 유형의 네트워크 침입을 판별하기 어렵고, 판단의 오류도 빈번하게 발생하는 문제점이 발생하였다.
본 발명은 차량을 구성하는 각 도메인 별로 침입 식별 모델을 적용하여 다양한 침입을 빠른 시간으로 판별하고, 침입에 대한 효율적인 대처 수용이 가능한 차량을 제공한다.
일 실시예에 따른 차량은 복수의 제어 모듈을 포함하는 도메인; 및 상기 복수의 도메인 각각과 통신을 수행하는 중앙 프로세서;를 포함하고,
상기 도메인은, 침입이 구현되는 데이터를 수신하면,
상기 침입 유형에 대응되는 침입 감지 모델을 이용하여,
상기 도메인의 데이터 침입 발생한 것으로 판단되면, 상기 데이터 침입에 대응되는 복원 제어를 수행할 수 있다.
상기 도메인은, 상기 침입 발생의 횟수를 카운트하고,
상기 침입 발생 횟수가 미리 결정된 횟수를 초과한 경우, 상기 도메인에 침입이 발생한 것으로 판단할 수 있다.
상기 도메인은, 상기 침입 발생 시간 동안 상기 침입 발생의 횟수를 상기 침입 발생 시간에 대하여 적분하여 침입 판단 적분 값을 결정하고,
상기 침입 판단 적분 값이 적분 기준 값을 초과하고, 상기 침입 발생 시간이 시간 기준 값을 초과하면, 상기 도메인에 침입이 발생한 것으로 판단할 수 있다.
상기 도메인은, 미확인 메시지의 발생에 대응되는 상기 침입 유형에 기초하여, 상기 도메인에 상기 데이터 침입이 발생한 것으로 판단하고,
상기 차량과 통신하는 서버 및 상기 미확인 메시지가 발생한 제어 모듈의 통신을 차단하도록 제어할 수 있다.
상기 도메인은, 미리 결정된 메시지가 수신되지 않는 대응되는 상기 침입 유형에 기초하여, 상기 도메인에 상기 데이터 침입이 발생한 것으로 판단하고,
상기 미리 결정된 메시지와 대응되지 않는 상기 복수의 제어 모듈의 협조 제어를 수행할 수 있다.
상기 도메인은, 미리 결정된 메시지 변경에 대응되는 상기 침입 유형에 기초하여, 상기 도메인에 상기 데이터 침입이 발생한 것으로 판단하고, 상기 도메인에 대응되는 데이터 주소 인증키를 변경할 수 있다.
상기 중앙 프로세서는, 상기 도메인에 새로운 유형의 침입 유형이 발생하면, 상기 침입 유형에 대응되는 침입 감지 모델을 상기 새로운 유형의 데이터 칩입에 대응하는 새로운 칩입 감지 모델로 변경할 수 있다.
일 실시예에 따른 차량은 적어도 하나의 메모리;를 더 포함하고,
상기 중앙 프로세서는, 상기 데이터 칩입을 누적하여 칩입 확률 정보가 포함된 침입 상태 데이터를 상기 저장부에 저장하고, 상기 칩입 확률이 미리 결정된 값을 초과하면,
상기 도메인이 상기 데이터의 수신을 중단하도록 제어하고,
상기 차량의 자율주행 제어를 해지할 수 있다.
일 실시예에 따른 차량은 차량을 구성하는 각 도메인 별로 침입 식별 모델을 적용하여 다양한 침입을 빠른 시간으로 판별하고, 침입에 대한 효율적인 대처 수용이 가능하다.
도1은 일 실시예에 따른 차량의 제어블럭도를 나타낸 도면이다.
도2는 일 실시예에 따른 침입 감지 모델을 설명하기 위한 도면이다.
도3은 일 실시예에 따른 침입 발생 여부를 판단하는 동작을 설명하기 위한 도면이다.
도4는 일 실시예에 따른 침입 판단 적분 값을 결정하는 동작을 설명하기 위한 도면이다.
도5은 일 실시예에 따른 새로운 칩입 감지 모델로 변경하는 동작을 설명하기 위한 도면이다.
도6은 일 실시예에 따른 순서도이다.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성요소를 지칭한다.본 명세서가 실시예들의 모든 요소들을 설명하는 것은 아니며, 본 발명이 속하는 기술분야에서 일반적인 내용 또는 실시예들 간에 중복되는 내용은 생략한다. 명세서에서 사용되는 '부, 모듈, 부재, 블록'이라는 용어는 소프트웨어 또는 하드웨어로 구현될 수 있으며, 실시예들에 따라 복수의 '부, 모듈, 부재, 블록'이 하나의 구성요소로 구현되거나, 하나의 '부, 모듈, 부재, 블록'이 복수의 구성요소들을 포함하는 것도 가능하다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 직접적으로 연결되어 있는 경우뿐 아니라, 간접적으로 연결되어 있는 경우를 포함하고, 간접적인 연결은 무선 통신망을 통해 연결되는 것을 포함한다.
또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
명세서 전체에서, 어떤 부재가 다른 부재 "상에" 위치하고 있다고 할 때, 이는 어떤 부재가 다른 부재에 접해 있는 경우뿐 아니라 두 부재 사이에 또 다른 부재가 존재하는 경우도 포함한다.
제1, 제 2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위해 사용되는 것으로, 구성요소가 전술된 용어들에 의해 제한되는 것은 아니다.
단수의 표현은 문맥상 명백하게 예외가 있지 않는 한, 복수의 표현을 포함한다.
각 단계들에 있어 식별부호는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다.
이하 첨부된 도면들을 참고하여 본 발명의 작용 원리 및 실시예들에 대해 설명한다.
도1은 일 실시예에 따른 차량(1)의 제어 블럭도를 나타낸 도면이다.
도1을 참고하면 차량(1)은 중앙 프로세서(100), 중앙 프로세서와 통신을 수행하는 복수의 제어 모듈(200-1 내지 200-9) 및 메모리(400)를 포함할 수 있다.
한편 복수의 제어 모듈(200-1 내지 200-9)은 각 모듈이 수행하는 기능별로 그루핑 되어 하나의 도메인(300-1내지 300-3)을 형성할 수 있다.
중앙 프로세서(100)는 복수의 도메인(300-1내지 300-3) 각각과 통신을 수행할 수 있다.
중앙 프로세서(100)와 복수의 도메인(300-1내지 300-3)을 구성하는 제어 모듈은 CAN이나 이더넷(Ethernet)과 같은 외부 데이터 통신을 수행할 수 있다.
CAN은 꼬여 있거나 또는 피복에 의해 차폐되어 있는 2가닥 데이터 배선을 통해 데이터를 전송한다. CAN은 마스터/슬레이브 시스템에서 다수의 ECU가 마스터(master) 기능을 수행하는 멀티-마스터(multi-master) 원리에 따라 작동한다.
CAN의 특징으로는 등급 B와 등급 C로 구별되며, 최대 데이터 전송률은 등급 B에서는 125kBd, 등급 C에서는1MBd 정도이다.
또한, CAN 데이터 버스 시스템은 2개의 배선을 이용하여 데이터를 전송한다. CAN 등급 B는 단일배선 적응능력이 있다. CAN 등급 C는 단일배선 적응능력이 없다.
여기서 단일 배선 적응능력(suitability against single line)이란 CAN데이터 버스 시스템에서 배선 하나가 단선 또는 단락 되어도 나머지 1개의 배선이 통신능력을 정확하게 그대로 유지하는 것을 말한다. 그러나 버스 시스템이 단일배선 모드로 바뀌면, 간섭 저항성은 더 이상 보장되지 않는다. 즉, 경우에 따라서 기능장애가 발생할 수도 있다.
CAN 데이터 버스 시스템은 2개의 노드(node), 2개의 터미널 저항(terminal resistor), CAN-high 배선 및 CAN-low 배선으로 구성될 수 있다.
구체적으로 노드(node)란 버스 시스템을 구성하는 복수 개의 스테이션을 의미하며, 개시된 발명에서는 송신 모듈 및 수신 모듈 각각을 의미할 수 있다. 즉 노드는 앞서 언급한 제어 모듈(300-1내지 300-3)중 택일적으로 선택된 적어도 2개의 전자 모듈(100)에 포함 될 수 있다.
한편, 버스 배선은 CAN-high 배선 및 CAN-low 배선을 포함한다. 노드의 트랜시버에 의해 CAN-high 배선에 우성 수준(Udom)이 형성되면, 이 배선의 전압은 상승한다. 동시에 CAN-low 배선의 전압은 하강한다. 이때의 논리값은 '0'이다. 즉, 두 배선은 서로 꼬여 있거나 또는 와이어-메쉬(wire mesh)에 의해 차폐되어 있다.
즉, 두 CAN-배선에서 생성되는 자장은 스위칭할 때마다 전압이 서로 반대방향으로 변화하기 때문에 상쇄된다. 따라서 두 배선은 외부에 대해서는 전자적으로 중성이며, 어떠한 외부 간섭도 일으키지 않는다. 즉, 간섭에 대한 저항성이 보장된다.
도메인(300-1내지 300-3)은 도메인이 데이터를 수신하면, 데이터의 침입 유형에 대응되는 침입 감지 모델을 이용하여 상기 도메인의 데이터 침입 발생 여부를 판단할 수 있다.
도메인(300-1내지 300-3)이 수신하는 데이터는 각종 차량을 제어하는 데이터를 의미할 수 있으며 이러한 데이터의 구조는 통상의 기술자에게 자명한 바 자세한 설명은 생략한다.
한편 차량이 이용하는 침입 감지 모델은 은닉 마르코프 모델(hidden markov model)로 구현될 수 있다.
상태(state) 정보가 은닉된 통계적 마르코프 모델. 기본 마르코프 모델에서는 시간(t)에 따른 상태(state) 정보가 관찰되나, 은닉 마르코프 모델(HMM)에서는 상태(state) 정보가 숨겨져 있고 출력(output)된 정보만 관찰된다. 따라서 출력된 정보만을 가지고 숨겨진 상태(state) 정보를 추정한다.
은닉 마르코프 모델(HMM)은 음성 인식, 자연어 처리, 몸짓 인식(gesture recognition) 등과 같이 대량으로 출력된 데이터를 통계적으로 패턴 분석하여 입력된 정보를 추론하는 데에 응용된다. 예로, 음성 인식 분야에서는 주어진 음성의 문자열(은닉 상태)을 찾기 위해 음성 신호의 변동을 확률 변수로 취급하여 입력 음성의 흔들림 등이 잘 분석된다.
한편 각 도메인(300-1내지 300-3)은 데이터를 침입 모델을 이용하여 각 도메인에 해킹 등 데이터 침입이 발생했는지 여부를 판단할 수 있다.
도메인(300-1내지 300-3)에 데이터 칩입이 발생하면, 데이터 칩입, 즉 침입 유형에 대응되는 복원 제어를 수행할 수 있다.
복원 제어는 후술하는 바와 같은 특정한 메시지를 송신하거나 다른 제어와 협조 제어를 수행하는 등의 동작을 포함할 수 있다. 이와 관련된 상세한 설명은 후술한다.
한편 도메인(300-1내지 300-3)은, 침입 발생의 횟수를 카운트하고, 침입 발생 횟수가 미리 결정된 횟수를 초과한 경우, 도메인에 침입이 발생한 것으로 판단할 수 있다.
즉 도메인(300-1내지 300-3)이 침입 감지 모델을 이용하여 감지한 침입이 오 감지일 수 있으므로 침입이 특정 횟수이상 카운트 된 경우만 침입이 발생한 것으로 판단할 수 있다.
더 나아가 도메인(300-1내지 300-3)은, 침입 발생 시간 동안 상기 침입 발생의 횟수를 칩입 발생 시간에 대하여 적분하여 침입 판단 적분 값을 결정할 수 있다.
도메인(300-1내지 300-3)은 이를 이용하여 침입 판단 적분 값이 적분 기준 값을 초과하고, 침입 발생 시간이 시간 기준 값을 초과하면, 도메인에 침입이 발생한 것으로 판단할 수 있다.
도메인(300-1내지 300-3)은, 미 확인 메시지 발생에 기초하여 상기 도메인에 데이터 침입이 발생한 것으로 판단할 수 있다.
CAN 통신 특성상 메시지마다 설계 단계에서 각 데이터에ID가 부여될 수 있다.
ID가 낮은 값일수록 우선순위가 높으며 공격자는 정의되지 않은 우선순위가 높은 메시지를 네트워크에 전송함으로 우선순위가 낮은 메시지 발송을 지연 시켜서 제어기를 오작동하게 할 수 있다. 이러한 경우 침입 감지 모델은 도메인에 침입이 발생한 것으로 판단할 수 있다.
이 때 도메인은 차량과 통신하는 서버 및 상기 미확인 메시지가 발생한 제어 모듈의 통신을 차단하도록 제어할 수 있다.
즉, 도메인(300-1내지 300-3)은 OTA(Over The Air) 또는 게이트 웨이를 차단하고 해당 메세지를 발생하는 제어 모듈을 리셋(Reset)하거나 차단할 수 있다.
또한 이때 도메인(300-1내지 300-3)은 DoS 공격으로 간주하고 운전자에게 차량 네트워크 상에 침입이 발생함을 알리고, 차량의 비상 정지를 위해서 사전에 정의된 차량 정지 메시지를 제어기에 송신할 수 있다.
도메인(300-1내지 300-3)은, 미리 결정된 메시지가 수신되지 않으면, 도메인에 상기 데이터 침입이 발생한 것으로 판단할 수 있다.
즉 도메인(300-1내지 300-3)에서 침입 데이터가 의도적으로 도메인에 포함된 제어 모듈이 송신하는 데이터를 제거하여 메시지가 발송되지 않게 할 수 있는데 이 경우 도메인은 침입이 발생한 것으로 판단할 수 있다.
한편 이 경우 도메인은 미리 결정된 메시지와 대응되지 않는 복수의 제어 모듈의 협조 제어를 수행할 수 있다.
구체적으로 도메인(300-1내지 300-3)은 특정 제어 모듈이 네트워크상에서 제거됐다고 볼 수 있으므로, 사전에 정의된 메시지를 송신하여 제거된 메시지를 송신하는 제어기와 협조 제어를 하는 제어기들이 복원 제어를 수행할 수 있게 할 수 있다.
다른 실시예에 따르면 이 경우에도 도메인(300-1내지 300-3)은 OTA 또는 게이트 웨이 차단할 수 있다.
또한 해당 메세지를 발생하는 제어 모듈을 리셋 할 수 있고 미리 형성된 예비 네트워크 사용할 수 있다.
또한 도메인(300-1내지 300-3)은, 미리 결정된 메시지가 변경되는 경우, 도메인(300-1내지 300-3)에 상기 데이터 침입이 발생한 것으로 판단할 수 있다.
이때 도메인(300-1내지 300-3)은 도메인에 대응되는 데이터 인증키를 변경할 수 있다.
데이터 주소 인증키는 MAC인증키를 포함할 수 있다.
CAN 네트워크의 특성상 버스에 접속하면 모든 메시지의 내용을 확인할 수 있고, 이런 사유로 쉽게 메시지의 변조도 가능하다. 따라서 이런 변조를 방지하기 위해서 메시지 인증 코드(MAC, Message Authentication Code)를 CAN 메시지 뒤에 붙일 수 있다. 이때 도메인은 MAC을 무시하고 메시지 변조를 하면 메시지가 변조, 메시지 이상이 발생한 것으로 판단할 수 있다.
또한 이 때 도메인(300-1내지 300-3)은 특정 제어 모듈에 대해서 메시지 공격이 있으므로, 사전에 정의된 메시지를 송신하여 공격을 받는 메시지를 송신하는 제어기와 협조 제어를 하는 제어기들이 Fail safe 동작을 수행하게 하거나, MAC의 인증키를 변경하여 MAC 노출에 의한 메시지 변조를 대비할 수 있다.
한편 중앙 프로세서(200)는, 도메인에 새로운 유형의 데이터 칩입이 발생하면, 도메인에 대응되는 침입 감지 모델을 상기 새로운 유형의 데이터 칩입에 대응하는 새로운 칩입 감지 모델로 변경할 수 있다.
또한 일 실시예에 따른 차량은 적어도 하나의 메모리를 더 포함할 수 있다.
중앙 프로세서는, 도메인에 대응되는 데이터 침입을 누적하여 침입 확률 정보가 포함된 침입 상태 데이터를 저장부에 저장할 수 있다.
저장부는 캐쉬, ROM(Read Only Memory), PROM(Programmable ROM), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM) 및 플래쉬 메모리(Flash memory)와 같은 비휘발성 메모리 소자 또는 RAM(Random Access Memory)과 같은 휘발성 메모리 소자 또는 하드디스크 드라이브(HDD, Hard Disk Drive), CD-ROM과 같은 저장 매체 중 적어도 하나로 구현될 수 있으나 이에 한정되지는 않는다. 저장부는 제어부와 관련하여 전술한 프로세서와 별개의 칩으로 구현된 메모리일 수 있고, 프로세서와 단일 칩으로 구현될 수도 있다.
즉 중앙 프로세서는 상술한 데이터 침입이 발생한 히스토리를 누적하여 데이터화 할 수 있고 이후 같은 데이터 침입이 발생한다면 이를 이용하여 데이터 칩입에 대응할 수 있다.
한편 중앙 프로세서는 차량 내 구성요소들의 동작을 제어하기 위한 알고리즘 또는 알고리즘을 재현한 프로그램에 대한 데이터를 저장하는 메모리(미도시), 및 메모리에 저장된 데이터를 이용하여 전술한 동작을 수행하는 프로세서(미도시)로 구현될 수 있다. 이때, 메모리와 프로세서는 각각 별개의 칩으로 구현될 수 있다. 또는, 메모리와 프로세서는 단일 칩으로 구현될 수도 있다.
한편 침입 확률이 미리 결정된 값을 초과하면, 도메인이 상기 데이터의 수신을 중단하도록 제어하고, 차량의 자율주행 제어를 해지할 수 있다.
즉 지속적인 침입이 발생하면 현재 자율 주행 데이터의 통신에 문제가 생긴 것으로 중앙 프로세서는 데이터의 수신 자체를 중단하고, 자율 주행의 제어를 중단하여 안전을 확보할 수 있다.
한편 상술한 제어 모듈 및 중앙 프로세서는 외부 장치와 통신을 가능하게 하는 하나 이상의 구성 요소를 포함할 수 있으며, 예를 들어 근거리 통신 모듈, 유선 통신 모듈 및 무선 통신 모듈 중 적어도 하나를 포함할 수 있다.
도1에 도시된 차량의 구성 요소들의 성능에 대응하여 적어도 하나의 구성요소가 추가되거나 삭제될 수 있다. 또한, 구성 요소들의 상호 위치는 시스템의 성능 또는 구조에 대응하여 변경될 수 있다는 것은 당해 기술 분야에서 통상의 지식을 가진 자에게 용이하게 이해될 것이다.
한편, 도 1에서 도시된 각각의 구성요소는 소프트웨어 및/또는 Field Programmable Gate Array(FPGA) 및 주문형 반도체(ASIC, Application Specific Integrated Circuit)와 같은 하드웨어 구성요소를 의미한다.
도2는 일 실시예에 따른 침입 감지 모델을 설명하기 위한 도면이다.
도2를 참고하면, 도2는 침입 감지 모델을 나타내고 있다.
도2은 은닉 마르코프 모델(이하 HMM)을 나타낸 것이다.
S1은 F1에 의한 침입이 발생한 상태이며, S2는 고장상태를 나타낸다. P(S1), P(S2)는 각각 S1, S2가 발생할 확률을 나타낸다.
한편 일 실시예에 따른 고장 상태는 메세지의 변조(제어명령 신호)가 시간동기화가 조금씩 어긋나는 것을 의미할 수 있다.
침입 즉 해킹이 발생한 것은 제어명령 신호가 전혀 다른 패턴으로 인지되는 것을 의미할 수 있다.
한편 각 침입 감지 모델은 F1에 대응하여 형성될 수 있다.
각 해킹, 고장, 일반 상태는 은닉 마르코프 모델 패턴을 통해 빠르게 인지될 수 있다.
S1에서 S1으로 상태 천이를 하는 것을 T11, S1에서 S2로 상태 천이를 하는 것을 T12, S2에서 S1로 상태 천이를 하는 것을 T21 및 S2에서 S2로 상태 천이를 하는 것을 T22로 나타낼 수 있다.
S1에서 S2로 상태 천이하는 것을 T12로 나타내고 이때의 확률은 P(T12)로 결정될 수 있다. 이상의 식을 사용해서 시간이 n일 때와 n+1일 때의 P(S1), P(S2)를 아래의 수학식1로 결정할 수 있다.
Figure pat00001
또한 S1과S2일 때 F1이 발생할 확률은 각각 P(F1|S1), P(F1|S2)로 결정할 수 있다.
한편 도메인은 상기 모델을 이용하고, 조건부확률의 연산을 이용해서 S1과 S2일 때 F1' 발생할 확률은 각각P(F1'|S1), P(F1'|S2)로 결정할 수 있다.
한편 F1는 침입을 F1'은 비침입을 의미할 수 있다.
상기 모델로로 도메인이 결정하고자 하는 것은 시간에 따라서 침입(F1)과 비침입(F1')이 발생했을 때 침입 상태를 나타내는 시퀀스이며, 이것은 S1과 S2의 연속적인 시퀀스이므로 도2와 같은 마르코프 체인으로 나타낼 수 있으며, 이 시퀀스는 침입 판단 모델을 사용하여 비터비(viterbi) 알고리즘으로 연산할 수 있다.
한편 도2에서 설명한 은닉 마크로프 모델은 본 발명을 설명하기 위한 일 실시예에 불과하며, 도메인 각각이 침입을 판단하기 위하여 이용하는 모델의 제한은 없다.
도3은 일 실시예에 따른 침입 발생 여부를 판단하는 동작을 설명하기 위한 도면이다.
도3을 참고하면, 각 도메인 별로 침입 감지 모델이 동작하고, 마르코브 체인을 구한 뒤 S1이 연속적으로 정해진 값을 초과해서 발생하면 해당 도메인에 대해서 침입이 발생한 것으로 판단할 수 있다.
구체적으로 도3에서는 S1도메인에 3번의 F1침입이 발생한 것을 나타내고 있다. 즉, 도메인은, 침입 발생의 횟수를 카운트하고, 침입 발생 횟수가 미리 결정된 횟수를 초과한 경우, 도메인에 침입이 발생한 것으로 판단할 수 있다.
이후 침입으로 판단되면 각 침입 별 복구 제어를 수행할 수 있는데 이와 관련된 자세한 설명은 생략한다.
도4는 일 실시예에 따른 침입 판단 적분 값을 결정하는 동작을 설명하기 위한 도면이다.
도3 및 도4를 참고하면 도3은 침입 발생 횟수를 카운트하는 동작이며, 도4는 도3의 동작에 이어서 침입 발생 시간을 획득하고, 침입 발생 횟수를 침입 발생 시간에 대하여 적분하는 동작을 설명하기 위한 도면이다.
도4를 참고하면, 각 도메인은 각 침입 유형의 데이터를 침입 감지 모델로부터 입력 받아 침입이 발생했을 때 각 시간으로 적분할 수 있다.
한편 도메인은 해당 적분 값을 초과하는 시간이 기준 시간을 넘는 경우 침입이 발생한 것으로 판단할 수 있다.
즉 도4에서는 침입 발생 횟수가 3번 이상이 발생한 t1시간 동안 시간에 대하여 적분하여 판단 적분 값을 도출할 수 있다. 판단 적분 값은 침입 발생 횟수를 침입 발생 시간 동안 시간에 대하여 적분한 값을 의미할 수 있다.
한편 상술한 방법으로 도메인이 도출한 판단 적분 값이 기준 적분 값을 초과하면, 도메인이 침입이 발생한 것으로 판단할 수 있다.
한편 도메인은 이 경우 이렇게 판정된 침입 상태를 비 휘발성 메모리에 저장하고, 침입 확률 값이 특정 값보다 높은 경우 해당 차량의 침입 위험도가 상당함으로 원격 업데이트를 해당 차량에서 수행하지 못하도록 제어할 수 있다. 즉 이 경우 차량에 포함된 제어 모듈에 침입이 발생한 것으로 판단하고 각 도메인이 데이터 수신 자체를 중단하도록 제어할 수 있다. 또한 이러한 상태에서 수행되는 자율 주행은 사고를 유발할 수 있는바, 중앙 프로세서는 차량의 자율 주행을 중단할 수 있다.
또한 중앙 프로세서는 자율주행 처리 장치에 네트워크 침입 상황을 통보할 수 있다.
한편 도4에서 설명한 동작은 본 발명이 침입을 판단하고 이후 복원 제어를 수행하는 일 실시예에 불과하며 도메인 또는 중앙 프로세서가 침입을 판단하는 동작에는 제한이 없다.
도5는 일 실시예에 따른 새로운 칩입 감지 모델로 변경하는 동작을 설명하기 위한 도면이다.
도5를 참고하면 침입 감지 모델은 시간이 지나면서 일부 잘못된 침입을 지속적으로 감지하고 이에 따른 경고 메시지가 지속적을 발생할 수 있다.
또한 기존 침입과 다른 침입이 탐지되는 경우 새로운 감지 모델이 추가해야 할 필요가 있다. 이 경우 기존의 단일 침입 감지 모델의 경우에는 도메인을 통합해서 HMM에 확률 값을 제공해 주는 모듈을 업데이트해야 할 필요성이 존재한다.
기존에는 여러 입력을 기반으로 한 단일 확률 값을 계산함으로 함수를 다시 만들어야 함으로 기존 침입 시퀀스를 감지하는 확률에 영향을 줄 수 있다.
본 발명의 일 실시예에 따르면 각 침입 시퀀스(F1,F2,F3,F4,F5) 각각에 대응되는 침입 감지 모델을 사용할 수 있다.
구체적으로 침입 시퀀스 단위로 침입 감지 모델을 사용해서 침입을 탐지함으로 거짓 양성이 발생하는 침입 감지 모델의 경우는 제거하고 신규 침입 시퀀스가 필요한 경우에는 해당 침입 시퀀스를 탐지하는 침입 감지 모델을 다른 모델에 관계없이 추가할 수 있다.
도5에서는 침입 시퀀스 F2에 대응되는 침입 감지 모델(HMM2)를 제거하고 칩입 시권스 F5에 대응되는 침입 감지 모델(HMM5)을 추가하는 동작을 나타내고 있다.
본 발명에서는 침입 시퀀스 마다 침입 감지 모델이 존재하므로 각 침입 시퀀스에 대응되는 침입 감지 모델을 삭제하거나 추가할 수 있다.
한편 도5에서 설명한 동작은 본 발명의 일 실시예에 불과하고 침입 시퀀스에 따라 침입 감지 모델을 삭제하거나 추가하는 동작의 제한은 없다.
도6은 일 실시예에 따른 순서도이다.
도6을 참고하면, 도메인은 데이터를 수신할 수 있다(1001).
한편 도메인이 수신한 데이터에는 침입이 존재(1002)할 수 있으며 해당 침입 유형에 대응되는 침입 감지 모델이 존재하면, 각 모델은 침입의 감지를 판단할 수 있다(1003). 또한 이에 대응되는 복구 제어를 수행할 수 있다(1004).
한편, 침입 유형에 대응되는 침입 감지 모델이 없는 경우 침입 유형 별로 침입 감지 모델을 추가하고(1005), 추가된 침입 감지 모델로 침입을 판단하여 이후 복구 제어를 수행할 수 있다.
한편, 개시된 실시예들은 컴퓨터에 의해 실행 가능한 명령어를 저장하는 기록매체의 형태로 구현될 수 있다. 명령어는 프로그램 코드의 형태로 저장될 수 있으며, 프로세서에 의해 실행되었을 때, 프로그램 모듈을 생성하여 개시된 실시예들의 동작을 수행할 수 있다. 기록매체는 컴퓨터로 읽을 수 있는 기록매체로 구현될 수 있다.
컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터에 의하여 해독될 수 있는 명령어가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다.
이상에서와 같이 첨부된 도면을 참조하여 개시된 실시예들을 설명하였다.본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고도, 개시된 실시예들과 다른 형태로 본 발명이 실시될 수 있음을 이해할 것이다. 개시된 실시예들은 예시적인 것이며, 한정적으로 해석되어서는 안 된다.
1 : 차량
100 : 중앙 프로세서
200 : 제어 모듈
300 : 도메인
400 : 메모리

Claims (8)

  1. 복수의 제어 모듈을 포함하는 도메인; 및
    상기 도메인과 통신을 수행하는 중앙 프로세서;를 포함하고,
    상기 도메인은,
    침입이 구현되는 데이터를 수신하면,
    상기 침입 유형에 대응되는 침입 감지 모델을 이용하여,
    상기 도메인의 데이터 침입이 발생한 것으로 판단되면, 상기 데이터 침입에 대응되는 복원 제어를 수행하는 차량.
  2. 제1항에 있어서,
    상기 도메인은,
    상기 침입 발생의 횟수를 카운트하고,
    상기 침입 발생 횟수가 미리 결정된 횟수를 초과한 경우, 상기 도메인에 침입이 발생한 것으로 판단하는 차량.
  3. 제2항에 있어서,
    상기 도메인은,
    상기 침입 발생 시간 동안 상기 침입 발생의 횟수를 상기 침입 발생 시간에 대하여 적분하여 침입 판단 적분 값을 결정하고,
    상기 침입 판단 적분 값이 적분 기준 값을 초과하고,
    상기 침입 발생 시간이 시간 기준 값을 초과하면,
    상기 도메인에 침입이 발생한 것으로 판단하는 차량.
  4. 제1항에 있어서,
    상기 도메인은,
    미확인 메시지의 발생에 대응되는 상기 침입 유형에 기초하여, 상기 도메인에 상기 데이터 침입이 발생한 것으로 판단하고,
    상기 차량과 통신하는 서버 및 상기 미확인 메시지가 발생한 제어 모듈의 통신을 차단하도록 제어하는 차량.
  5. 제1항에 있어서,
    상기 도메인은,
    미리 결정된 메시지가 수신되지 않는 대응되는 상기 침입 유형에 기초하여, 상기 도메인에 상기 데이터 침입이 발생한 것으로 판단하고,
    상기 미리 결정된 메시지와 대응되지 않는 상기 복수의 제어 모듈의 협조 제어를 수행하는 차량.
  6. 제1항에 있어서,
    상기 도메인은,
    미리 결정된 메시지 변경에 대응되는 상기 침입 유형에 기초하여,
    상기 도메인에 상기 데이터 침입이 발생한 것으로 판단하고,
    상기 도메인에 대응되는 데이터 주소 인증키를 변경하는 차량.
  7. 제1항에 있어서,
    상기 중앙 프로세서는,
    상기 도메인에 새로운 유형의 침입 유형이 발생하면,
    상기 침입 유형에 대응되는 침입 감지 모델을 상기 새로운 유형의 데이터 칩입에 대응하는 새로운 칩입 감지 모델로 변경하는 차량.
  8. 제1항에 있어서,
    적어도 하나의 메모리;를 더 포함하고,
    상기 중앙 프로세서는,
    상기 데이터 칩입을 누적하여 칩입 확률 정보가 포함된 침입 상태 데이터를 상기 저장부에 저장하고,
    상기 칩입 확률이 미리 결정된 값을 초과하면,
    상기 도메인이 상기 데이터의 수신을 중단하도록 제어하고,
    상기 차량의 자율주행 제어를 해지하는 차량.

KR1020200172548A 2020-12-10 2020-12-10 차량 KR20220082550A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200172548A KR20220082550A (ko) 2020-12-10 2020-12-10 차량

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200172548A KR20220082550A (ko) 2020-12-10 2020-12-10 차량

Publications (1)

Publication Number Publication Date
KR20220082550A true KR20220082550A (ko) 2022-06-17

Family

ID=82268827

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200172548A KR20220082550A (ko) 2020-12-10 2020-12-10 차량

Country Status (1)

Country Link
KR (1) KR20220082550A (ko)

Similar Documents

Publication Publication Date Title
CN109495439B (zh) 用于车内网络入侵检测的系统和方法
CN108401491B (zh) 信息处理方法、信息处理系统以及程序
KR102601578B1 (ko) 사이버 공격에 대한 네트워크 보호 방법
US10992688B2 (en) Unauthorized activity detection method, monitoring electronic control unit, and onboard network system
US10693905B2 (en) Invalidity detection electronic control unit, in-vehicle network system, and communication method
US11438350B2 (en) Unauthorized communication detection method, unauthorized communication detection system, and non-transitory computer-readable recording medium storing a program
CN106031098B (zh) 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统
JP7027592B2 (ja) ゲートウェイ装置、方法及び車載ネットワークシステム
US10911182B2 (en) In-vehicle information processing for unauthorized data
CN109495438B (zh) 用于车内网络入侵检测的系统和方法
CN106105105B9 (zh) 网络通信系统、不正常检测电子控制单元以及不正常应对方法
US20200389475A1 (en) Unauthorized communication detection reference deciding method, unauthorized communication detection reference deciding system, and non-transitory computer-readable recording medium storing a program
JP7280082B2 (ja) 不正検知方法、不正検知装置及びプログラム
US11843477B2 (en) Anomaly determination method, anomaly determination device, and recording medium
US11765186B2 (en) Unauthorized communication detection method, unauthorized communication detection system, and non-transitory computer-readable recording medium storing a program
US20230370480A1 (en) Unauthorized communication detection reference deciding method, unauthorized communication detection reference deciding system, and non-transitory computer-readable recording medium storing a program
CN114731301B (zh) 决定方法、决定系统以及程序记录介质
CN111149336B (zh) 用于检测对车辆的控制器的攻击的方法
KR20220082550A (ko) 차량
JPWO2019187350A1 (ja) 不正検知方法、不正検知装置及びプログラム
WO2018020833A1 (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP7512208B2 (ja) 異常判定方法、異常判定装置およびプログラム
JP2020096322A (ja) 不正信号処理装置