KR20240043982A - 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치 - Google Patents
차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치 Download PDFInfo
- Publication number
- KR20240043982A KR20240043982A KR1020220123115A KR20220123115A KR20240043982A KR 20240043982 A KR20240043982 A KR 20240043982A KR 1020220123115 A KR1020220123115 A KR 1020220123115A KR 20220123115 A KR20220123115 A KR 20220123115A KR 20240043982 A KR20240043982 A KR 20240043982A
- Authority
- KR
- South Korea
- Prior art keywords
- bus
- attack
- ecu
- state
- transmitted
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 10
- 238000001514 detection method Methods 0.000 claims abstract description 28
- 238000011084 recovery Methods 0.000 claims abstract description 11
- 238000012544 monitoring process Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000007704 transition Effects 0.000 description 6
- 238000013461 design Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
Abstract
본 발명은 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치에 관한 것이다.
본 발명에서는 CAN 버스를 모니터링하면서 제1ECU에 Bus-off 공격이 발생하였는지 여부를 확인하는 제1단계와, 제1ECU가 Bus-off 되었는지 판별하고, 판별 결과가 참인 경우 Bus-off 상태에서 상기 제1ECU가 정상 상태에서 전송한 메시지의 타겟 CAN ID를 확인하는 제2단계 및 Bus-off 상태에서 상기 타겟 CAN ID를 갖는 메시지 전송이 이루어지는지 여부를 판별하는 제3단계를 포함하는 것을 특징으로 하는 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법이 개시된다.
본 발명에 따른 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치에 의해서 Bus-off 공격 탐지 이후 복구 전까지 전송되는 CAN ID 메시지를 공격으로 탐지함으로써 운전자의 안정성과 안전한 차량 내부 네트워크의 보안성을 확보할 수 있게 되었다.
본 발명에서는 CAN 버스를 모니터링하면서 제1ECU에 Bus-off 공격이 발생하였는지 여부를 확인하는 제1단계와, 제1ECU가 Bus-off 되었는지 판별하고, 판별 결과가 참인 경우 Bus-off 상태에서 상기 제1ECU가 정상 상태에서 전송한 메시지의 타겟 CAN ID를 확인하는 제2단계 및 Bus-off 상태에서 상기 타겟 CAN ID를 갖는 메시지 전송이 이루어지는지 여부를 판별하는 제3단계를 포함하는 것을 특징으로 하는 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법이 개시된다.
본 발명에 따른 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치에 의해서 Bus-off 공격 탐지 이후 복구 전까지 전송되는 CAN ID 메시지를 공격으로 탐지함으로써 운전자의 안정성과 안전한 차량 내부 네트워크의 보안성을 확보할 수 있게 되었다.
Description
본 발명은 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치에 관한 것으로서, 보다 구체적으로는 Bus-off 공격 기반 가장(Masquerade) 공격을 탐지하는 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치에 관한 것이다.
차량 내부 통신 프로토콜 중 하나인 CAN(Controller Area Network)은 Bus 형태로 높은 안전성과 효율성으로 인해 가장 많이 사용되는 차량 내부 통신 프로토콜이다. 운전자의 안전성과 편의성을 위해 다양한 ECU(EIectronic Contro1 Unit)들이 차량에 탑재되고 있으며, 이러한 ECU들은 CAN 프로토콜을 이용하여 서로 통신한다. CAN 프로토콜은 두 쌍의 전기선에 흐르는 전압의 차이를 통해 신호를 주고받는다. 논리적으로 '0'을 dominant bit, '1'을 recessive bit라 한다. Dominant bit와 recessive bit가 동시에 흐르는 경우 '0'인 dominant bit가 우세하여 CAN Bus에는'0'인 dominant bit가 전송되게 된다. ECU들은 메시지 전송을 위해 CAN 데이터프레임을 사용한다. 도 1은 CAN 데이터 프레임의 구조도이다. CAN Bus에 연결된 모든 ECU는 CAN Bus가 유후(idle) 상태인 경우 메시지 전송을 수행할 수 있으며, 두 개 이상의 ECU가 동시에 데이터 프레임을 전송하는 경우, 데이터 프레임 내 Arbitration Field에 의해서 메시지 전송 우선 순위를 결정한다.
CAN 프로토콜은 초기 개발시 보안에 대한 고려없이 설계되었기 때문에 다양한 공격에 취약하다. 이러한 공격에 대응하기 위해 초기에 CAN 프로토콜에 암호화 및 인증 기능을 제공하는 암호학적인 프로토콜이 제시되어왔지만, CAN 메시지의 제한된 데이터 크기와 기존 시스템의 변경 및 통신 부하 증가로 인해 현실적으로 적용하기에는 한계가 있다.
차량의 대표적인 내부 네트워크인 CAN 네트워크상 발생 가능한 Bus-off 공격기반 가장(Masquerade) 공격은 운전자 및 도로 환경의 안전에 큰 영향을 미칠 수 있으므로 현대, 기아, BMW 등 차량 제조사는 이러한 공격에 대해서 탐지가 요구된다.
본 발명의 목적은 Bus-off 공격 기반으로 발생하는 가장(Masquerade) 공격을 탐지하는 IDS 방법 및 장치를 제공하고자 하는 것이다.
본 발명의 상기 목적은 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법에 있어서, CAN 버스를 모니터링하면서 제1ECU에 Bus-off 공격이 발생하였는지 여부를 확인하는 제1단계와, 제1ECU가 Bus-off 되었는지 판별하고, 판별 결과가 참인 경우 Bus-off 상태에서 상기 제1ECU가 정상 상태에서 전송한 메시지의 타겟 CAN ID를 확인하는 제2단계 및 Bus-off 상태에서 상기 타겟 CAN ID를 갖는 메시지 전송이 이루어지는지 여부를 판별하는 제3단계를 포함하는 것을 특징으로 하는 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법에 의해서 달성 가능하다.
본 발명의 또 다른 목적은 CAN 버스를 모니터링하면서 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지하는 Bus-off 기반 가장 공격 탐지 장치로서, CAN 버스를 모니터링하는 CAN 버스 모니터링부와, 정상 전송 상태에서 ECU별로 전송하는 CAN 메시지의 CAN ID를 저장 구비하는 ECU별 CAN ID 저장부와, Bus-off 공격이 발생하였는지 여부를 탐지하는 Bus-off 공격 탐지부와, Bus-off 공격을 받은 ECU가 Bus-off 상태에서 복구되었는지 여부를 판별하는 Bus-off 복구 판단부 및 Bus-off된 ECU가 정상 상태에서 전송하였던 CAN ID를 갖는 CAN 메시지가 Bus-off 상태에서도 전송이 이루어지는지 여부를 판별하는 가장 공격 판단부를 포함하는 것을 특징으로 하는 Bus-off 기반 가장 공격 탐지 장치에 의해서도 달성 가능하다.
본 발명에 따른 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치에 의해서 Bus-off 공격 탐지 이후 복구 전까지 전송되는 CAN ID 메시지를 공격으로 탐지함으로써 운전자의 안정성과 안전한 차량 내부 네트워크의 보안성을 확보할 수 있게 되었다.
도 1은 CAN 데이터 프레임의 구조도,
도 2는 ECU의 TEC 및 REC 값에 따른 ECU의 상태 천이도.
도 3은 Bus-off 공격 기반 가장(Masquerade) 공격 과정의 예를 보여주는 설명도.
도 4는 본 발명의 일 실시예로서, Bus-off 공격 기반 가장(Masquerade) 공격을 탐지하는 흐름도.
도 5는 본 발명에서 제시하는 Bus-off 공격 기반 가장(Masquerade) 공격탐지장치가 CAN Bus 상에 구현된 예시도.
도 6은 Bus-off 기반 가장 공격 탐지장치(500)는 논리적 구성도.
도 2는 ECU의 TEC 및 REC 값에 따른 ECU의 상태 천이도.
도 3은 Bus-off 공격 기반 가장(Masquerade) 공격 과정의 예를 보여주는 설명도.
도 4는 본 발명의 일 실시예로서, Bus-off 공격 기반 가장(Masquerade) 공격을 탐지하는 흐름도.
도 5는 본 발명에서 제시하는 Bus-off 공격 기반 가장(Masquerade) 공격탐지장치가 CAN Bus 상에 구현된 예시도.
도 6은 Bus-off 기반 가장 공격 탐지장치(500)는 논리적 구성도.
본 발명에서 사용하는 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 명세서에서, "~ 상에 또는 ~ 상부에" 라 함은 대상 부분의 위 또는 아래에 위치함을 의미하는 것이며, 반드시 중력 방향을 기준으로 상 측에 위치하는 것을 의미하는 것은 아니다. 또한, 영역, 판 등의 부분이 다른 부분 "상에 또는 상부에" 있다고 할 때, 이는 다른 부분 "바로 상에 또는 상부에" 접촉하여 있거나 간격을 두고 있는 경우뿐 아니라 그 중간에 또 다른 부분이 있는 경우도 포함한다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에서, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
침입 탐지 시스템(lntrusion Detection Sysetem, IDS)은 기존 시스템 변경 없이 단순히 CAN 통신 모니터링 후에 공격 메시지를 탐지하는 방법이기에 다양한 IDS 기법들이 제시되어 왔다. 일반적으로 ECU들은 CAN 메시지를 주기적으로 전송하기 때문에 CAN Bus에 전송되는 CAN 메시지들의 주기성은 공격 탐지를 위해 가장 많이 사용되고 있다. 공격자가 전송한 공격 CAN 메시지로 인하여 ECU들이 정상적인 주기 패턴으로 전송하는 메시지들이 모니터링 되지 않기 때문에 주기 패턴은 공격 탐지에 효과적이다.
그러나, 이러한 주기성을 유지하며 공격하는 가장(Masquerade) 공격에 대해서는 탐지할 수 없다. 가장(Masquerade) 공격은 공격자가 정상 타겟 CAN 메시지의 주기와 동일하게 공격 메시지를 주입하기 위해 정상 타겟 CAN 메시지를 전송하는 ECU의 메시지 전송을 중지시킨 후(Suspension 공격), 주기를 모방하여 공격 메시지를 주입하는 공격 유형이다. CAN Bus에서 모니터링되는 메시지의 주기가 변경되지 않았기 때문에 모든 주기 기반 1DS들의 우회가 가능하다.
한편, Bus-off 공격은 CAN 프로토콜에 정의된 Error handling 메커니즘을 악용하여 의도적으로 타겟 정상 ECU를 Bus-off 상태로 만드는 공격이다. 각 ECU는 TEC(Transmit Error Counter) 및 REC(Receive Error Counter)라는 두 개의 카운터를 이용하여 CAN 통신 중 발생하는 Error에 대해 처리한다. 특히 TEC가 256 이상인 경우에 해당 ECU는 Bus-off 상태가 되며 CAN Bus상으로 어떠한 메시지의 전송이나 수신을 할 수 없는 상태가 된다. 공격자는 타겟 ECU가 메시지를 전송 중일때, CAN Bus에 Error를 발생시킴으로써 타겟 정상 ECU의 TEC를 빠르게 증가시킬 수 있다.
도 2는 CAN 통신을 수행하는 ECU의 TEC 및 REC 값에 따른 ECU의 상태 천이도이다. CAN 네트워크는 ECU간 통신 중 발생한 에러를 처리하기 위해 Error Handling과 Fault confinement 메커니즘이 정의되어 있다. CAN 통신 중 에러를 인지한 ECU는 즉시 데이터 프레임 전송을 중지하고 Error 프레임을 CAN Bus에 전송한다. Error 프레임 전송 이후에는 이전에 실패한 데이터 프레임에 대해 재전송을 시도한다. 또한, ECU에는 에러 발생과 인지에 대한 처리를 위해 Fault confinement 메커니즘이 정의되어 있다. 도 2에 제시된 바와 같이 ECU는 TEC(Transmit Error Counter)와 REC(Receive Error Counter)를 이용하여 세 가지 상태(state)로 정의된다. ECU가 CAN 메시지 전송 중에 Error를 탐지한 경우 TEC가 8 증가하고, ECU가 CAN 메시지를 수신 중일 때 Error를 인지하면 REC가 1 증가한다.
CAN 통신을 수행하는 ECU는 초기에는 TEC(Transmit Error Counter)와 REC(Receive Error Counter)가 모두 0 인 Error Active 상태에 놓여진다. 이후, TEC 또는 REC가 128 이상인 상태가 되면 Error Passive 상태로 천이된다. Error Passive 상태에서 TEC 또는 REC가 128 이상인 경우에는 계속 해당 상태에 머물고, 두개의 카운터가 모두 127 이하로 감소하면 Error Active 상태로 돌아간다. Error Passive 상태에서 TEC가 256 이상이 되면 Bus off 상태로 천이되고 메시지 전송이 중단된다. Bus Off 상태에서 Time-out되거나 특정 복구 메커니즘(Recovery mechanism)에 따라 다시 Error Active 상태로 천이된다. CAN 표준에서는 이러한 복구 메커니즘으로 Bus-off 이후 128번의 연속된 11개의 recessive bit '1'이 모니터링 되는 경우 자동적으로 복구된다고 나타나 있다.
공격자는 Bus-off 공격을 통해 타겟 정상 ECU를 메시지 전송이 불가능한 Bus-off 상태로 천이시키고, 해당 ECU가 전송하는 CAN ID 몌시지와 동일한 주기로공격 메시지를 전송함으로써 가장(Masquerade) 공격을 수행할 수 있다. 도 3은 Bus-off 공격 기반 가장(Masquerade) 공격 과정의 예를 보여준다. 타켓 정상 ECU(Targer ECU)가 정상적인 메시지(normal message)를 전송하는 동안 공격자 ECU(Attacher ECU)는 CAN ID를 검출하고(detect CAN ID), 이후 타겟 정상 ECU가 전송한 데이터의 비트를 변경시키면 정상 ECU는 에러를 탐지하고 재전송을 반복하게 되고(Re-transmission) 이후 Bus-off 모드로 전환된다. Bus-off 모드 동안 공격자 ECU는 정상적인 메시지 주기에 맞쳐 가장 메시지를 전송하여 공격을 가하는 것이다.
우선적으로 공격자는 가장(Masquerade) 공격을 위해 타겟인 정상 ECU(Target ECU)를 대상으로 Bus-off 공격을 수행한다. 따라서 Bus-off 공격을 탐지한 이후 (해당 정상 ECU가 Bus-off 상태로 천이된 경우), 해당 정상 타겟 ECU가 기존 전승하는 CAN ID 메시지들을 확인한다. ECU가 Bus-off 상태에서 Error Active 상태로 복구되는 메커니즘 및 시간은 초기 제조사에 의해 결정된다. 즉, 정상적인 상황에서는 해당 ECU가 Bus-off 상태로 천이되었기 때문에 복구되는 시간동안 해당 정상 ECU는 메시지 전송이 불가능하다. 따라서 타겟 정상 ECU가 Bus-off된 이후, 복구되는 시간 이내에 해당 ECU에서 전송하는 CAN ID 메시지가 CAN Bus에 전송되는 경우, 이를 모두 공격 메시지로 탐지가 가능하다.
도 4는 본 발명의 일 실시예로서, Bus-off 공격 기반 가장(Masquerade) 공격을 탐지하는 흐름도이다. 시작 후 CAN 버스를 모니터링하고(ST410), 외부 공격이 없는 정상적인 상태에서 각각의 ECU가 전송하는 CAN 메시지들을 ECU별 CAN ID 저장부에 저장한다(ST415). 차량 설계시부터 각각의 ECU가 CNA 통신을 통해 전송하는 CAN 메시지가 정의되어 있다. 따라서, ECU별 CAN ID 저장부를 구축하는 가장 간단한 방법은 초기 설계치에 따라 각 ECU가 전송하는 일련의 CAN ID 메시지(타겟 CAN ID)를 테이블 형태로 구비하는 것이고, 이 경우에는 ST415 단계는 생략될 수 있다.
다으므로 Bus-off 공격이 발생하였는지 여부를 탐지한다(ST420). 타겟 ECU가 Bus-off 되었다고 판별하고(ST430), ST430 단계가 참이라고 판별되면 Bus-off 상태에 놓여진 ECU가 기존 전송하던 타겟 CAN ID를 확인한다(ST440). ST430 판별 결과 Bus-off가 아니라고 판별되면 ST410 단계부터 다시 모니터링하게 된다.
Bus-off 상태에 놓여진 ECU가 전송한 타겟 CAN ID를 확인한 후, CAN Bus를 모니터링하면서(ST450), 해당 타겟 CAN ID가 전송되는지 여부를 판별하고(ST460), 판별 결과가 참인 경우 가장(Masquerade) 공격이 탐지되었다고 보고한다(ST470).
ST 460 판별 결과가 거짓인 경우에는 Bus-off된 ECU가 복구되었는지 여부를 판별한다(ST480). ST480 판별 결과가 거짓일 경우에는 ST450 단계로 복귀하여 CAN Bus 모니터링(ST450)을 계속 수행하고, 참인 경우에는 고장 탐지 모드를 종료시킨다.
도 5는 본 발명에서 제시하는 Bus-off 공격 기반 가장(Masquerade) 공격탐지장치가 CAN Bus 상에 구현된 예시도이며, 도 6은 Bus-off 기반 가장 공격 탐지장치(500)는 논리적 구성도이다. 도 5에 도시한 바와 같이 CAN bus에는 복수 개 ECU(제1ECU, 제2ECU, 제3ECU)와 Bus-off 기반 가장 공격 탐지장치(500)가 구비된다. 도 6에 도시된 바와 같이, Bus-off 기반 가장 공격 탐지장치(500)는 각 ECU가 전송하는 메시지들의 CAN ID를 저장하는 ECU별 CAN ID 저장부(530), CAN 버스를 모니터링하는 CAN Bus 모니터링부(520), Bus-off 공격이 발생하였는지 여부를 탐지하는 Bus-off 공격 탐지부(540) 및 Bus-off된 ECU가 Bus-off 상태로부터 복구하였는지 여부를 판별하는 Bus-off 복구 판별부(550)를 구비하고, 이러한 구성들을 이용하여 Bus-off 공격 상태에서 가장(Masquerade) 공격이 발생하는지 여부를 판별하는 가장 공격 판단부(510)로 구성된다.
각 ECU 별로 주기적으로 CAN Bus로 전송하는 CAN ID 메시지들은 차량 설계시부터 정의되어 있다. ECU별 CAN ID 저장부(530)를 구축하는 가장 간단한 예로는 차량 설계 시 타겟 정상 ECU가 송부하도록 정의된 CAN ID를 테이블 형태로 구비하는 것이다. 가장 공격 판단부(510)는 Bus-off된 ECU가 정상 상태에서 전송하였던 CAN ID를 갖는 CAN 메시지가 Bus-off 상태에서도 전송이 이루어지는지 여부를 통해 가장 공격이 발생하였는지 여부를 소프트웨어 또는 하드웨어적으로 판별하는 로직부이다.
상기에서 본 발명의 바람직한 실시예가 특정 용어들을 사용하여 설명 및 도시되었지만 그러한 용어는 오로지 본 발명을 명확히 설명하기 위한 것일 뿐이며, 본 발명의 실시예 및 기술된 용어는 다음의 청구범위의 기술적 사상 및 범위로부터 이탈되지 않고서 여러가지 변경 및 변화가 가해질 수 있는 것은 자명한 일이다. 이와 같이 변형된 실시예들은 본 발명의 사상 및 범위로부터 개별적으로 이해되어져서는 안되며, 본 발명의 청구범위 안에 속한다고 해야 할 것이다.
500: Bus-off 기반 가장 공격 탐지장치
510: 공격 판단부
520: CAN Bus 모니터링부
530: ECU별 CAN ID 저장부
540: Bus-off 공격 탐지부
550: Bus-off 복구 판단부
510: 공격 판단부
520: CAN Bus 모니터링부
530: ECU별 CAN ID 저장부
540: Bus-off 공격 탐지부
550: Bus-off 복구 판단부
Claims (3)
- 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법에 있어서,
CAN 버스를 모니터링하면서 제1ECU에 Bus-off 공격이 발생하였는지 여부를 확인하는 제1단계와,
상기 제1ECU가 Bus-off 되었는지 판별하고, 판별 결과가 참인 경우 Bus-off 상태에서 상기 제1ECU가 정상 상태에서 전송한 메시지들의 타겟 CAN ID를 파악하는 제2단계 및
Bus-off 상태에서 상기 타겟 CAN ID를 갖는 메시지 전송이 이루어지는지 여부를 판별하는 제3단계를 포함하는 것을 특징으로 하는 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법.
- 제1항에 있어서,
상기 제1단계에서 CAN 버스를 모니터링할 때 정상적인 전송 상태에서 상기 제1ECU가 전송하는 CAN 메시지의 타겟 CAN ID를 저장 구비하는 제1-1단계를 더 구비하는 것을 특징으로 하는 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법.
- CAN 버스를 모니터링하면서 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지하는 Bus-off 기반 가장 공격 탐지 장치로서,
CAN 버스를 모니터링하는 CAN 버스 모니터링부와,
정상 전송 상태에서 ECU별로 전송하는 CAN 메시지의 CAN ID를 저장 구비하는 ECU별 CAN ID 저장부와,
Bus-off 공격이 발생하였는지 여부를 탐지하는 Bus-off 공격 탐지부와,
Bus-off 공격을 받은 ECU가 Bus-off 상태에서 복구되었는지 여부를 판별하는 Bus-off 복구 판단부 및
Bus-off된 ECU가 정상 상태에서 전송하였던 CAN ID를 갖는 CAN 메시지가 Bus-off 상태에서도 전송이 이루어지는지 여부를 판별하는 가장 공격 판단부를 포함하는 것을 특징으로 하는 Bus-off 기반 가장 공격 탐지 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220123115A KR20240043982A (ko) | 2022-09-28 | 2022-09-28 | 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220123115A KR20240043982A (ko) | 2022-09-28 | 2022-09-28 | 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20240043982A true KR20240043982A (ko) | 2024-04-04 |
Family
ID=90637913
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220123115A KR20240043982A (ko) | 2022-09-28 | 2022-09-28 | 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20240043982A (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140047984A (ko) | 2012-10-15 | 2014-04-23 | 현대모비스 주식회사 | 메세지를 이용한 캔 버스 오프 감지 방법 |
-
2022
- 2022-09-28 KR KR1020220123115A patent/KR20240043982A/ko unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140047984A (ko) | 2012-10-15 | 2014-04-23 | 현대모비스 주식회사 | 메세지를 이용한 캔 버스 오프 감지 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11663330B2 (en) | Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus | |
| Palanca et al. | A stealth, selective, link-layer denial-of-service attack against automotive networks | |
| Matsumoto et al. | A method of preventing unauthorized data transmission in controller area network | |
| CN109104352B (zh) | 车辆网络操作协议和方法 | |
| CA3071776C (en) | System and method for preventing malicious can bus attacks | |
| JP2018157463A (ja) | 車載通信システム、通信管理装置、車両制御装置 | |
| JP7182559B2 (ja) | ログ出力方法、ログ出力装置及びプログラム | |
| Bloom | WeepingCAN: A stealthy CAN bus-off attack | |
| KR20190125047A (ko) | 차량용 네트워크의 침입 대응 장치 및 방법 | |
| US10721241B2 (en) | Method for protecting a vehicle network against manipulated data transmission | |
| Seifert et al. | Secure automotive gateway—Secure communication for future cars | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| JP6586500B2 (ja) | データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置 | |
| Lee et al. | Ttids: Transmission-resuming time-based intrusion detection system for controller area network (can) | |
| US20230087311A1 (en) | System and method for detection and prevention of cyber attacks at in-vehicle networks | |
| US11012453B2 (en) | Method for protecting a vehicle network against manipulated data transmission | |
| JP6468133B2 (ja) | 車載ネットワークシステム | |
| US20220019669A1 (en) | Information processing device | |
| US20230052852A1 (en) | Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle | |
| KR20240043982A (ko) | 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치 | |
| CN113169966A (zh) | 用于监控数据传输系统的方法、数据传输系统和机动车 | |
| Park et al. | Flooding attack mitigator for in-vehicle CAN using fault confinement in CAN protocol | |
| JP2015192216A (ja) | 通信装置および通信方法 | |
| Brown et al. | CAN authorization using message priority bit-level access control | |
| Wang et al. | Anomaly information detection and fault tolerance control method for CAN-FD bus network |