WO2020110234A1 - 攻撃打消装置、攻撃打消方法および攻撃打消プログラム - Google Patents
攻撃打消装置、攻撃打消方法および攻撃打消プログラム Download PDFInfo
- Publication number
- WO2020110234A1 WO2020110234A1 PCT/JP2018/043814 JP2018043814W WO2020110234A1 WO 2020110234 A1 WO2020110234 A1 WO 2020110234A1 JP 2018043814 W JP2018043814 W JP 2018043814W WO 2020110234 A1 WO2020110234 A1 WO 2020110234A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- attack
- control signal
- start time
- sensor data
- time
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01D—MEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
- G01D21/00—Measuring or testing not otherwise provided for
Abstract
攻撃開始時刻特定部(223)は、アクチュエータ(111)が作用する制御対象(101)の各時刻の状態を表す各時刻のセンサデータに基づいて、各時刻のセンサデータを出力するセンサ(112)への攻撃が開始された攻撃開始時刻を特定する。攻撃打消信号生成部(224)は、前記攻撃開始時刻以降のセンサデータ系列と前記攻撃開始時刻以降のアクチュエータ制御信号系列との少なくともいずれかに基づいて、前記制御対象の状態を前記攻撃開始時刻の前の時刻における状態に戻すためのアクチュエータ制御信号系列である攻撃打消信号系列を生成する。
Description
本発明は、センサへの攻撃を打消すための技術に関するものである。
MEMSセンサは、機械的な部品と電子回路とを一つに集積した構成となっているセンサである。MEMSは、Micro Electro Mechanical Systemの略称である。
MEMSセンサは、小型であり、精度が良く、コストが安いため、よく用いられる。例えば、自動車の自動運転またはロボットの自律制御のために、MEMSジャイロセンサおよびMEMS加速度センサがよく用いられる。
MEMSセンサは、小型であり、精度が良く、コストが安いため、よく用いられる。例えば、自動車の自動運転またはロボットの自律制御のために、MEMSジャイロセンサおよびMEMS加速度センサがよく用いられる。
センサを用いた計測または制御においては、センサデータの信頼性がシステムの信頼性に直結する。そのため、センサへの攻撃は脅威となる。
但し、マルウェアを用いてセンサデータをソフトウェア的に騙す攻撃は、従来の情報セキュリティ技術で対処可能である。
但し、マルウェアを用いてセンサデータをソフトウェア的に騙す攻撃は、従来の情報セキュリティ技術で対処可能である。
一方で、物理的な信号をセンサに照射し、物理的にセンサの状態を変動させるハードウェア的な攻撃は、従来の情報セキュリティ技術では対処できない。
非特許文献1および非特許文献2では、超音波によりMEMSジャイロセンサとMEMS加速度センサとをそれぞれ騙す攻撃方法を開示している。
音波攻撃では、MEMSセンサがばねとおもりとで構成されることが着目される。すなわち、ばねとおもりとで構成される物体が共振周波数を持つ、という特性が利用される。攻撃者は、MEMSセンサが持つ共振周波数と同じ周波数の音波をMEMSセンサに対して照射することにより、MEMSセンサの機械部分を強制的に共振させる。その結果、異常なセンサ出力が得られる。
非特許文献1および非特許文献2では、超音波によりMEMSジャイロセンサとMEMS加速度センサとをそれぞれ騙す攻撃方法を開示している。
音波攻撃では、MEMSセンサがばねとおもりとで構成されることが着目される。すなわち、ばねとおもりとで構成される物体が共振周波数を持つ、という特性が利用される。攻撃者は、MEMSセンサが持つ共振周波数と同じ周波数の音波をMEMSセンサに対して照射することにより、MEMSセンサの機械部分を強制的に共振させる。その結果、異常なセンサ出力が得られる。
MEMSセンサへの音波攻撃の対策として、次の防御方法がある。
非特許文献1には、ハードウェアによる対策方式が開示されている。具体的には、物理的にセンサを遮蔽すること、センサの共振周波数を変更すること、同じセンサを複数用意してセンサデータを比較すること、が開示されている。
非特許文献2には、ハードウェアによる対策方式が開示されている。具体的には、センサを構成する部品を超音波攻撃の影響を受け辛いものに変更すること、が開示されている。さらに、非特許文献2には、ソフトウェアによる対策方式が開示されている。具体的には、センサのサンプリング間隔を変更すること、が開示されている。
非特許文献1には、ハードウェアによる対策方式が開示されている。具体的には、物理的にセンサを遮蔽すること、センサの共振周波数を変更すること、同じセンサを複数用意してセンサデータを比較すること、が開示されている。
非特許文献2には、ハードウェアによる対策方式が開示されている。具体的には、センサを構成する部品を超音波攻撃の影響を受け辛いものに変更すること、が開示されている。さらに、非特許文献2には、ソフトウェアによる対策方式が開示されている。具体的には、センサのサンプリング間隔を変更すること、が開示されている。
MEMSセンサへの音波攻撃の対策として、次の検知方法がある。
非特許文献3は、MEMSジャイロセンサおよびMEMS加速度センサが地磁気センサと一緒に使われることが多いことに着目し、ソフトウェアによる攻撃検知手法を開示している。具体的には、各種センサによって観測された物理状態の整合性を見て攻撃を検知すること、が開示されている。
非特許文献3は、MEMSジャイロセンサおよびMEMS加速度センサが地磁気センサと一緒に使われることが多いことに着目し、ソフトウェアによる攻撃検知手法を開示している。具体的には、各種センサによって観測された物理状態の整合性を見て攻撃を検知すること、が開示されている。
非特許文献4から非特許文献6については実施の形態において言及する。
Son, Yunmok, et al. "Rocking drones with intentional sound noise on gyroscopic sensors." 24th USENIX Security Symposium (USENIX Security 15). 2015.
Timothy Trippel, Ofir Weisse, Wenyuan Xu, Peter Honeyman, and Kevin Fu. 2017. WALNUT: Waging doubt on the integrity of mems accelerometers with acoustic injection attacks. In Security and Privacy (EuroS&P), 2017 IEEE European Symposium on. IEEE, 3-18.
NASHIMOTO, Shoei, et al. Sensor CON-Fusion: Defeating Kalman Filter in Signal Injection Attack. In: Proceedings of the 2018 on Asia Conference on Computer and Communications Security. ACM, 2018. p. 511-524.
Urbina, David I., et al. "Attacking Fieldbus Communications in ICS: Applications to the SWaT Testbed."SG-CRC. 2016.
Ljung, Lennart. "System identification." Signal analysis and prediction. Birkhauser, Boston, MA, 1998. 163-173.
GREWAL, MOHINDER S., and ANGUS P. ANDREWS. "Kalman Filtering: Theory and Practice Using MATLAB." (2001).
非特許文献1または非特許文献2にはハードウェアによる対策方式が開示されている。しかし、その対策方式では、センサ自体を加工する必要があるため、コストが高くなる。また、センサを覆う方法は、他のセンサに影響を及ぼす可能性がある。したがって、計測性能に悪影響を及ぼすおそれがある。
非特許文献2にはソフトウェアによる対策方式が開示されている。しかし、その対策方式には、限られたセンサにしか適用できない、という汎用性の課題がある。具体的には、サンプリング間隔を変更するという対策方式では、センサの利用者がセンサのサンプリング間隔を設定できることが前提となる。
非特許文献3にはソフトウェアによる攻撃検知方法が開示されている。しかし、非特許文献3には、攻撃が検知された場合の対処方法は開示されていない。そのため、攻撃が検知された制御対象が異常化する。
本発明は、センサへの攻撃を打消すことをできるようにすることを目的とする。
本発明の攻撃打消装置は、
アクチュエータが作用する制御対象の各時刻の状態を表す各時刻のセンサデータに基づいて、各時刻のセンサデータを出力するセンサへの攻撃が開始された攻撃開始時刻を特定する攻撃開始時刻特定部と、
前記攻撃開始時刻以降のセンサデータ系列と前記攻撃開始時刻以降のアクチュエータ制御信号系列との少なくともいずれかに基づいて、前記制御対象の状態を前記攻撃開始時刻の前の時刻における状態に戻すためのアクチュエータ制御信号系列である攻撃打消信号系列を生成する攻撃打消信号生成部と、を備える。
アクチュエータが作用する制御対象の各時刻の状態を表す各時刻のセンサデータに基づいて、各時刻のセンサデータを出力するセンサへの攻撃が開始された攻撃開始時刻を特定する攻撃開始時刻特定部と、
前記攻撃開始時刻以降のセンサデータ系列と前記攻撃開始時刻以降のアクチュエータ制御信号系列との少なくともいずれかに基づいて、前記制御対象の状態を前記攻撃開始時刻の前の時刻における状態に戻すためのアクチュエータ制御信号系列である攻撃打消信号系列を生成する攻撃打消信号生成部と、を備える。
本発明によれば、攻撃打消信号系列を生成することができる。そして、生成された攻撃打消信号系列に従ってアクチュエータが動作することにより、制御対象が攻撃前の状態に戻る。つまり、センサへの攻撃を打消すことができる。
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
攻撃打消システム100について、図1から図17に基づいて説明する。
攻撃打消システム100について、図1から図17に基づいて説明する。
***構成の説明***
図1に基づいて、攻撃打消システム100の構成を説明する。
攻撃打消システム100は、制御システム110と攻撃打消装置200とを備える。
図1に基づいて、攻撃打消システム100の構成を説明する。
攻撃打消システム100は、制御システム110と攻撃打消装置200とを備える。
制御システム110は、制御対象101とアクチュエータ111とセンサ112とコントローラ113とを備える。
制御対象101は、制御される対象となる物(特に機器)である。例えば、制御対象101はドローンである。
アクチュエータ111は、制御対象101に作用するアクチュエータである。例えば、制御対象101がドローンである場合、アクチュエータ111はローターである。
センサ112は、制御対象101の状態を観測するためのセンサである。例えば、制御対象101がドローンである場合、センサ112は、ドローンの傾きおよびドローンの姿勢を計測する傾きセンサである。
コントローラ113は、制御対象101を制御するコントローラである。例えば、制御対象101がドローンである場合、コントローラ113はフライトコントローラである。
制御対象101は、制御される対象となる物(特に機器)である。例えば、制御対象101はドローンである。
アクチュエータ111は、制御対象101に作用するアクチュエータである。例えば、制御対象101がドローンである場合、アクチュエータ111はローターである。
センサ112は、制御対象101の状態を観測するためのセンサである。例えば、制御対象101がドローンである場合、センサ112は、ドローンの傾きおよびドローンの姿勢を計測する傾きセンサである。
コントローラ113は、制御対象101を制御するコントローラである。例えば、制御対象101がドローンである場合、コントローラ113はフライトコントローラである。
攻撃打消装置200は、攻撃スコア算出部211と攻撃判定部212とセンサデータ格納部221と制御信号格納部222と攻撃開始時刻特定部223と攻撃打消信号生成部224と制御信号出力部230とを備える。
要素間のデータおよび信号の流れについては後述する。
要素間のデータおよび信号の流れについては後述する。
図2に基づいて、攻撃打消装置200の構成を説明する。
攻撃打消装置200は、プロセッサ201とメモリ202とセンサデータ入力インタフェース203と制御信号入力インタフェース204と制御信号出力インタフェース205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
攻撃打消装置200は、プロセッサ201とメモリ202とセンサデータ入力インタフェース203と制御信号入力インタフェース204と制御信号出力インタフェース205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ201は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。例えば、プロセッサ201はCPUまたはDSPである。CPUはCentral Processing Unitの略称である。DSPはDigital Signal Processorの略称である。
メモリ202は、データを記憶する。例えば、メモリ202は、RAM、ROM、フラッシュメモリ、HDD、SSDまたはそれらの組み合わせである。RAMはRandom Access Memoryの略称である。ROMはRead Only Memoryの略称である。HDDはHard Disk Driveの略称である。SSDはSolid State Driveの略称である。
センサデータ入力インタフェース203は、センサデータを受け付けるためのインタフェースである。例えば、センサデータ入力インタフェース203は、I2Cインタフェース、SPIまたはEthernetインタフェースである。I2CはInter-Integrated Circuitの略称である。SPIはSerial Peripheral Interfaceの略称である。
制御信号入力インタフェース204は、アクチュエータ制御信号を受け付けるためのインタフェースである。例えば、制御信号入力インタフェース204は、I2Cインタフェース、SPIまたはEthernetインタフェースである。
制御信号出力インタフェース205は、アクチュエータ制御信号を出力するためのインタフェースである。例えば、制御信号出力インタフェース205は、DAC(Digital Analog Converter)である。
メモリ202は、データを記憶する。例えば、メモリ202は、RAM、ROM、フラッシュメモリ、HDD、SSDまたはそれらの組み合わせである。RAMはRandom Access Memoryの略称である。ROMはRead Only Memoryの略称である。HDDはHard Disk Driveの略称である。SSDはSolid State Driveの略称である。
センサデータ入力インタフェース203は、センサデータを受け付けるためのインタフェースである。例えば、センサデータ入力インタフェース203は、I2Cインタフェース、SPIまたはEthernetインタフェースである。I2CはInter-Integrated Circuitの略称である。SPIはSerial Peripheral Interfaceの略称である。
制御信号入力インタフェース204は、アクチュエータ制御信号を受け付けるためのインタフェースである。例えば、制御信号入力インタフェース204は、I2Cインタフェース、SPIまたはEthernetインタフェースである。
制御信号出力インタフェース205は、アクチュエータ制御信号を出力するためのインタフェースである。例えば、制御信号出力インタフェース205は、DAC(Digital Analog Converter)である。
アクチュエータ制御信号は、アクチュエータ111を制御するための信号である。
「Ethernet」は登録商標である。
攻撃打消装置200は、攻撃検知部210と攻撃打消部220と制御信号出力部230といった要素を備える。これらの要素はソフトウェアで実現される。
攻撃検知部210は、攻撃スコア算出部211と攻撃判定部212とを備える。
攻撃打消部220は、センサデータ格納部221と制御信号格納部222と攻撃開始時刻特定部223と攻撃打消信号生成部224とを備える。
攻撃検知部210は、攻撃スコア算出部211と攻撃判定部212とを備える。
攻撃打消部220は、センサデータ格納部221と制御信号格納部222と攻撃開始時刻特定部223と攻撃打消信号生成部224とを備える。
メモリ202には、攻撃検知部210と攻撃打消部220と制御信号出力部230としてコンピュータを機能させるための攻撃打消プログラムが記憶されている。
プロセッサ201は、OSを実行しながら、攻撃打消プログラムを実行する。OSはOperating Systemの略称である。
攻撃打消プログラムを実行して得られるデータは、メモリ202、プロセッサ201内のレジスタ、または、プロセッサ201内のキャッシュメモリといった記憶装置に記憶される。
プロセッサ201は、OSを実行しながら、攻撃打消プログラムを実行する。OSはOperating Systemの略称である。
攻撃打消プログラムを実行して得られるデータは、メモリ202、プロセッサ201内のレジスタ、または、プロセッサ201内のキャッシュメモリといった記憶装置に記憶される。
攻撃打消装置200は、プロセッサ201を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ201の役割を分担する。
攻撃打消プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
***動作の説明***
攻撃打消システム100(特に攻撃打消装置200)の動作は攻撃打消方法に相当する。また、攻撃打消方法の手順は攻撃打消プログラムの手順に相当する。
攻撃打消システム100(特に攻撃打消装置200)の動作は攻撃打消方法に相当する。また、攻撃打消方法の手順は攻撃打消プログラムの手順に相当する。
図3から図7に基づいて、攻撃打消システム100の動作を説明する。
図3に基づいて、アクチュエータ111とセンサ112とセンサデータ格納部221とのそれぞれの動作を説明する。
アクチュエータ111は、後述する制御信号出力部230から出力されるアクチュエータ制御信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用する。
図3に基づいて、アクチュエータ111とセンサ112とセンサデータ格納部221とのそれぞれの動作を説明する。
アクチュエータ111は、後述する制御信号出力部230から出力されるアクチュエータ制御信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用する。
センサ112は、各時刻に制御対象101の状態を計測する。これにより、センサ112は、制御対象101の状態の変化を観測する。
センサ112は、各時刻にセンサデータを出力する。センサデータは、時刻と状態値とを示す。状態値は、制御対象101の状態を表す。
センサ112から出力されたセンサデータは、コントローラ113と攻撃スコア算出部211とセンサデータ格納部221とのそれぞれに入力される。
センサ112は、各時刻にセンサデータを出力する。センサデータは、時刻と状態値とを示す。状態値は、制御対象101の状態を表す。
センサ112から出力されたセンサデータは、コントローラ113と攻撃スコア算出部211とセンサデータ格納部221とのそれぞれに入力される。
センサデータ格納部221には、各時刻にセンサ112からセンサデータが入力される。センサデータ格納部221は、入力されたセンサデータを受け付ける。
センサデータ格納部221は、受け付けたセンサデータを逐次にメモリ202に格納する。
センサデータ格納部221は、受け付けたセンサデータを逐次にメモリ202に格納する。
メモリ202の容量は有限であるため、センサデータ格納部221は、リングバッファのような格納方法を利用してもよい。
リングバッファは次のようなデータ構造を持つ。リングバッファでは、格納されたデータのサイズが規定サイズになるまで、すべてのデータが格納される。しかし、格納されたデータのサイズが規定サイズを超えた場合、古いデータから順番に上書きされる。
リングバッファは次のようなデータ構造を持つ。リングバッファでは、格納されたデータのサイズが規定サイズになるまで、すべてのデータが格納される。しかし、格納されたデータのサイズが規定サイズを超えた場合、古いデータから順番に上書きされる。
センサデータ格納部221は、メモリ202に格納されたセンサデータ系列を出力する(図6参照)。
センサデータ格納部221から出力されたセンサデータ系列は、攻撃打消信号生成部224に入力される。
センサデータ系列は、時刻順に並んだ1つ以上のセンサデータである。
センサデータ格納部221から出力されたセンサデータ系列は、攻撃打消信号生成部224に入力される。
センサデータ系列は、時刻順に並んだ1つ以上のセンサデータである。
図4に基づいて、コントローラ113と制御信号格納部222とのそれぞれの動作を説明する。
コントローラ113には、アクチュエータ111を制御するための制御アルゴリズムが予め設定されている。
コントローラ113には、各時刻にセンサ112からセンサデータが入力される。コントローラ113は、入力されたセンサデータを受け付ける。
コントローラ113は、受け付けたセンサデータに対して制御アルゴリズムを実行する。これにより、アクチュエータ制御信号が生成される。
コントローラ113には、アクチュエータ111を制御するための制御アルゴリズムが予め設定されている。
コントローラ113には、各時刻にセンサ112からセンサデータが入力される。コントローラ113は、入力されたセンサデータを受け付ける。
コントローラ113は、受け付けたセンサデータに対して制御アルゴリズムを実行する。これにより、アクチュエータ制御信号が生成される。
制御対象101がドローンであり、アクチュエータ111がローターであり、センサ112が傾きセンサであると仮定する。この場合、コントローラ113には、ドローンの傾きを示す傾きデータが入力される。そして、コントローラ113は、傾きデータに基づいて、ローターへの制御信号を生成する。ローターへの制御信号は、PWM信号または交流信号である。PWMはPulse Width Modulationの略称である。
コントローラ113によって生成されるアクチュエータ制御信号を「通常制御信号」と称する。
コントローラ113は、生成した通常制御信号を出力する。
コントローラ113から出力された通常制御信号は、制御信号格納部222と制御信号出力部230とのそれぞれに入力される。
コントローラ113は、生成した通常制御信号を出力する。
コントローラ113から出力された通常制御信号は、制御信号格納部222と制御信号出力部230とのそれぞれに入力される。
制御信号格納部222には、各時刻にコントローラ113から通常制御信号が入力される。制御信号格納部222は、入力された通常制御信号を受け付ける。
制御信号格納部222は、受け付けた通常制御信号をメモリ202に格納する。なお、信号はデータに変換されて格納される。
制御信号格納部222は、受け付けた通常制御信号をメモリ202に格納する。なお、信号はデータに変換されて格納される。
メモリ202の容量は有限であるため、制御信号格納部222は、リングバッファのような格納方法を利用してもよい。
制御信号格納部222は、メモリ202から格納された通常制御信号系列を出力する(図6参照)。
制御信号格納部222から出力された通常制御信号系列は、攻撃打消信号生成部224に入力される。
通常制御信号系列は、時刻順に並んだ1つ以上の通常制御信号である。
制御信号格納部222から出力された通常制御信号系列は、攻撃打消信号生成部224に入力される。
通常制御信号系列は、時刻順に並んだ1つ以上の通常制御信号である。
図5に基づいて、攻撃スコア算出部211と攻撃判定部212と攻撃開始時刻特定部223とのそれぞれの動作を説明する。
攻撃スコア算出部211には、各時刻にセンサ112からセンサデータが入力される。攻撃スコア算出部211は、入力されたセンサデータを受け付ける。
攻撃スコア算出部211は、受け付けたセンサデータから攻撃特徴を抽出し、抽出した攻撃特徴に基づいて攻撃スコアを算出する。
攻撃特徴は、攻撃が行われている場合にセンサデータに表れる特徴である。
攻撃スコアは、攻撃が行われている可能性の高さを表す。
攻撃スコア算出部211には、各時刻にセンサ112からセンサデータが入力される。攻撃スコア算出部211は、入力されたセンサデータを受け付ける。
攻撃スコア算出部211は、受け付けたセンサデータから攻撃特徴を抽出し、抽出した攻撃特徴に基づいて攻撃スコアを算出する。
攻撃特徴は、攻撃が行われている場合にセンサデータに表れる特徴である。
攻撃スコアは、攻撃が行われている可能性の高さを表す。
攻撃スコアは、従来方法で算出することができる。例えば、攻撃スコア算出部211は、非特許文献3に開示された方法で攻撃スコアを算出する。
非特許文献3に開示された方法では、各種センサが用いられ、各種センサデータに基づいて物理状態の不整合が検証される。
具体的には、非特許文献3には、AHRSと呼ばれる傾きセンサを用いた攻撃検知方法が開示されている。AHRSは、ジャイロセンサと加速度センサと磁気センサとで構成される。AHRSはAttitude Heading Reference Systemの略称である。ジャイロセンサと加速度センサとのそれぞれは重力を計測することができる。ジャイロセンサと磁気センサとのそれぞれは地磁気を計測することができる。そのため、二通りの方法で計測された二つの重力の誤差と、二通りの方法で計測された二つの地磁気の誤差と、を求めることができる。そして、センサが攻撃された場合には各誤差が大きくなるため、攻撃を検知することができる。したがって、非特許文献3の攻撃検知方法の場合、攻撃スコアとは、二通りの方法で計測された二つの重力の誤差、および、二通りの方法で計測された二つの地磁気の誤差となる。
非特許文献3に開示された方法では、各種センサが用いられ、各種センサデータに基づいて物理状態の不整合が検証される。
具体的には、非特許文献3には、AHRSと呼ばれる傾きセンサを用いた攻撃検知方法が開示されている。AHRSは、ジャイロセンサと加速度センサと磁気センサとで構成される。AHRSはAttitude Heading Reference Systemの略称である。ジャイロセンサと加速度センサとのそれぞれは重力を計測することができる。ジャイロセンサと磁気センサとのそれぞれは地磁気を計測することができる。そのため、二通りの方法で計測された二つの重力の誤差と、二通りの方法で計測された二つの地磁気の誤差と、を求めることができる。そして、センサが攻撃された場合には各誤差が大きくなるため、攻撃を検知することができる。したがって、非特許文献3の攻撃検知方法の場合、攻撃スコアとは、二通りの方法で計測された二つの重力の誤差、および、二通りの方法で計測された二つの地磁気の誤差となる。
攻撃スコア算出部211は、算出した攻撃スコアを出力する。
攻撃スコア算出部211から出力された攻撃スコアは、攻撃判定部212と攻撃開始時刻特定部223とのそれぞれに入力される。
攻撃スコア算出部211から出力された攻撃スコアは、攻撃判定部212と攻撃開始時刻特定部223とのそれぞれに入力される。
攻撃判定部212には、各時刻に攻撃スコア算出部211から攻撃スコアが入力される。攻撃判定部212は、入力された攻撃スコアを受け付ける。
攻撃判定部212は、受け付けた攻撃スコアに基づいて、センサ112への攻撃の有無を判定する。各時刻の攻撃スコアは各時刻のセンサデータに基づいて算出されるので、攻撃判定部212は各時刻のセンサデータに基づいて各時刻における攻撃の有無を判定する、と言い換えることができる。
攻撃判定部212は、受け付けた攻撃スコアに基づいて、センサ112への攻撃の有無を判定する。各時刻の攻撃スコアは各時刻のセンサデータに基づいて算出されるので、攻撃判定部212は各時刻のセンサデータに基づいて各時刻における攻撃の有無を判定する、と言い換えることができる。
例えば、判定閾値があらかじめ設定される。そして、攻撃判定部212は、攻撃スコアを判定閾値と比較し、比較結果に基づいて攻撃の有無を判定する。
例えば、攻撃スコアが判定閾値より高い場合、攻撃判定部212は「攻撃有り」と判定する。「攻撃有り」は攻撃が行われていることを意味する。
非特許文献4には、センサデータに基づく攻撃スコアの算出、および、閾値を用いた攻撃判定の方法が説明されている。
例えば、攻撃スコアが判定閾値より高い場合、攻撃判定部212は「攻撃有り」と判定する。「攻撃有り」は攻撃が行われていることを意味する。
非特許文献4には、センサデータに基づく攻撃スコアの算出、および、閾値を用いた攻撃判定の方法が説明されている。
攻撃判定部212は、攻撃判定結果を出力する。
攻撃判定部212から出力された攻撃判定結果は、攻撃打消信号生成部224と制御信号出力部230とのそれぞれに入力される。
攻撃判定部212から出力された攻撃判定結果は、攻撃打消信号生成部224と制御信号出力部230とのそれぞれに入力される。
攻撃開始時刻特定部223には、各時刻に攻撃スコア算出部211から攻撃スコアが入力される。攻撃開始時刻特定部223は、入力された攻撃スコアを受け付ける。
攻撃開始時刻特定部223は、各時刻の攻撃スコアに基づいて、センサ112への攻撃が開始された時刻を特定する。各時刻の攻撃スコアは各時刻のセンサデータに基づいて算出されるので、攻撃開始時刻特定部223は各時刻のセンサデータに基づいて攻撃開始時刻を特定する、と言い換えることができる。
攻撃開始時刻特定部223は、各時刻の攻撃スコアに基づいて、センサ112への攻撃が開始された時刻を特定する。各時刻の攻撃スコアは各時刻のセンサデータに基づいて算出されるので、攻撃開始時刻特定部223は各時刻のセンサデータに基づいて攻撃開始時刻を特定する、と言い換えることができる。
例えば、特定閾値があらかじめ設定される。そして、攻撃開始時刻特定部223は、攻撃スコアを特定閾値と比較し、比較結果に基づいて攻撃の有無を判定する。
例えば、攻撃開始時刻特定部223は、攻撃スコアが特定閾値を超えた時刻を攻撃開始時刻として特定する。
この場合、攻撃開始時刻特定部223によって使用される特定閾値は、攻撃判定部212によって使用される判定閾値よりも低い。つまり、攻撃開始時刻特定部223の閾値は、攻撃判定部212の閾値よりも感度が高い。
例えば、攻撃開始時刻特定部223は、攻撃スコアが特定閾値を超えた時刻を攻撃開始時刻として特定する。
この場合、攻撃開始時刻特定部223によって使用される特定閾値は、攻撃判定部212によって使用される判定閾値よりも低い。つまり、攻撃開始時刻特定部223の閾値は、攻撃判定部212の閾値よりも感度が高い。
攻撃開始時刻特定部223が攻撃判定部212における方法と同様の方法で攻撃開始時刻を特定する場合、攻撃開始時刻特定部223の閾値は、攻撃判定部212の閾値よりも感度が高くなくてはならない。閾値の感度の違いは、次の事実に由来する。
攻撃検知では誤検知を減らす必要がある。そのため、閾値にある程度の余裕を持たせることが必要である。しかし、その場合、攻撃が顕在化した時刻は分かるものの、攻撃が開始された時刻は分からない。そこで、攻撃開始時刻を特定するための閾値の感度を上げる。これにより、攻撃が実際に開始された時刻により近い時刻を特定できる。
なお、攻撃検知の閾値は、制御対象101が攻撃を受けても制御対象101が異常化しないという条件において最も誤検知が低くなる値が設定されることが予想される。しかし、攻撃検知後に攻撃に対処しない場合、制御対象101の状態が異常化する可能性がある。それは、攻撃開始以降、センサ112が全く使用できない状態になるので、自然な回復が期待できないためである。
攻撃検知では誤検知を減らす必要がある。そのため、閾値にある程度の余裕を持たせることが必要である。しかし、その場合、攻撃が顕在化した時刻は分かるものの、攻撃が開始された時刻は分からない。そこで、攻撃開始時刻を特定するための閾値の感度を上げる。これにより、攻撃が実際に開始された時刻により近い時刻を特定できる。
なお、攻撃検知の閾値は、制御対象101が攻撃を受けても制御対象101が異常化しないという条件において最も誤検知が低くなる値が設定されることが予想される。しかし、攻撃検知後に攻撃に対処しない場合、制御対象101の状態が異常化する可能性がある。それは、攻撃開始以降、センサ112が全く使用できない状態になるので、自然な回復が期待できないためである。
図8に基づいて、判定閾値と特定閾値との違いを説明する。
判定閾値は、攻撃判定部212によって使用される閾値である。言い換えると、判定閾値は、攻撃検知部210における検知基準である。
特定閾値は、攻撃開始時刻特定部223によって使用される閾値である。言い換えると、特定閾値は、攻撃開始時刻特定部223における特定基準である。
[攻撃開始時刻]は、実際に攻撃が開始された時刻である。
[攻撃終了時刻]は、実際に攻撃が終了した時刻である。
横軸は時間を表し、縦軸は攻撃スコアを表している。
判定閾値は、攻撃判定部212によって使用される閾値である。言い換えると、判定閾値は、攻撃検知部210における検知基準である。
特定閾値は、攻撃開始時刻特定部223によって使用される閾値である。言い換えると、特定閾値は、攻撃開始時刻特定部223における特定基準である。
[攻撃開始時刻]は、実際に攻撃が開始された時刻である。
[攻撃終了時刻]は、実際に攻撃が終了した時刻である。
横軸は時間を表し、縦軸は攻撃スコアを表している。
図8において、ある時刻に攻撃が開始され、ある時刻に攻撃が検知され、ある時刻に制御対象101が異常化し、ある時刻に攻撃が終了している。
特定閾値は判定閾値よりも低いため、つまり、特定閾値の感度が高いため、正常な時間帯に攻撃開始時刻が特定される。実際に攻撃が開始されると攻撃スコアが上昇し、ある時刻で攻撃スコアが判定閾値を超え、攻撃が検知される。
図8に示すように、特定される攻撃開始時刻が、実際の攻撃開始時刻よりも前の時刻になる可能性がある。しかし、特定された攻撃開始時刻における制御対象101の状態は正常である。そのため、制御対象101の状態を、特定された攻撃開始時刻における状態に回復することに問題はない。逆に、特定される攻撃開始時刻が、実際の攻撃開始時刻よりも後の時刻である場合、特定された攻撃開始時刻における制御対象101の状態は異常である。そのため、制御対象101の状態を、特定された攻撃開始時刻における状態に回復することに問題がある。したがって、実際の攻撃開始時刻以前の時刻が攻撃開始時刻として特定される必要がある。
そこで、判定閾値よりも感度が高い閾値が特定閾値として用いられる。
特定閾値は判定閾値よりも低いため、つまり、特定閾値の感度が高いため、正常な時間帯に攻撃開始時刻が特定される。実際に攻撃が開始されると攻撃スコアが上昇し、ある時刻で攻撃スコアが判定閾値を超え、攻撃が検知される。
図8に示すように、特定される攻撃開始時刻が、実際の攻撃開始時刻よりも前の時刻になる可能性がある。しかし、特定された攻撃開始時刻における制御対象101の状態は正常である。そのため、制御対象101の状態を、特定された攻撃開始時刻における状態に回復することに問題はない。逆に、特定される攻撃開始時刻が、実際の攻撃開始時刻よりも後の時刻である場合、特定された攻撃開始時刻における制御対象101の状態は異常である。そのため、制御対象101の状態を、特定された攻撃開始時刻における状態に回復することに問題がある。したがって、実際の攻撃開始時刻以前の時刻が攻撃開始時刻として特定される必要がある。
そこで、判定閾値よりも感度が高い閾値が特定閾値として用いられる。
さらに、攻撃開始時刻特定部223は、攻撃スコアが特定閾値を超えた時刻を一定時間記憶する。その理由は以下の通りである。
攻撃開始後に攻撃スコアが変動して特定閾値を少しでも下回った場合、攻撃開始以前において攻撃スコアが超えた時刻を一定時間記憶しておかないと、攻撃スコアが特定閾値を超えた時刻がリセットされる。そのため、特定される攻撃開始時刻が実際の攻撃開始時刻の後の時刻になってしまう。
攻撃開始後に攻撃スコアが変動して特定閾値を少しでも下回った場合、攻撃開始以前において攻撃スコアが超えた時刻を一定時間記憶しておかないと、攻撃スコアが特定閾値を超えた時刻がリセットされる。そのため、特定される攻撃開始時刻が実際の攻撃開始時刻の後の時刻になってしまう。
そこで、攻撃開始時刻特定部223は、閾値超えカウンタを使用する。
閾値超えカウンタは、攻撃スコアが特定閾値を超えた時刻を一定時間記憶するためのカウンタである。
攻撃スコアが特定閾値を超えなかった場合、攻撃開始時刻特定部223は、閾値超えカウンタをデクリメントする。
一定時間、攻撃スコアが特定閾値を超えなかった場合、攻撃開始時刻特定部223は、攻撃開始時刻をリセットする。
これにより、一度特定された攻撃開始時刻を一定時間記憶できる。
閾値超えカウンタは、攻撃スコアが特定閾値を超えた時刻を一定時間記憶するためのカウンタである。
攻撃スコアが特定閾値を超えなかった場合、攻撃開始時刻特定部223は、閾値超えカウンタをデクリメントする。
一定時間、攻撃スコアが特定閾値を超えなかった場合、攻撃開始時刻特定部223は、攻撃開始時刻をリセットする。
これにより、一度特定された攻撃開始時刻を一定時間記憶できる。
図9および図10に基づいて、攻撃開始時刻特定部223の動作の手順を説明する。
ステップS101において、攻撃開始時刻特定部223は、攻撃スコアを受け付ける。
ステップS101において、攻撃開始時刻特定部223は、攻撃スコアを受け付ける。
ステップS102において、攻撃開始時刻特定部223は、攻撃スコアを特定閾値と比較する。
攻撃スコアが特定閾値より高い場合、処理はステップS111に進む。
攻撃スコアが特定閾値以下である場合、処理はステップS121に進む。
攻撃スコアが特定閾値より高い場合、処理はステップS111に進む。
攻撃スコアが特定閾値以下である場合、処理はステップS121に進む。
ステップS111において、攻撃開始時刻特定部223は、閾値超えカウンタに規定値を設定する。
ステップS112において、攻撃開始時刻特定部223は、攻撃開始時刻がリセット状態(0)であるか判定する。
攻撃開始時刻がリセット状態である場合、攻撃が続いていると考えられる。この場合、攻撃開始時刻は変更されず、処理はステップS113に進む。
攻撃開始時刻がリセット状態でない場合、つまり、攻撃開始時刻がある時刻である場合、処理はステップS114に進む。
攻撃開始時刻がリセット状態である場合、攻撃が続いていると考えられる。この場合、攻撃開始時刻は変更されず、処理はステップS113に進む。
攻撃開始時刻がリセット状態でない場合、つまり、攻撃開始時刻がある時刻である場合、処理はステップS114に進む。
ステップS113において、攻撃開始時刻特定部223は、現在時刻を攻撃開始時刻とする。
ステップS114において、攻撃開始時刻特定部223は、攻撃開始時刻を出力する。
ステップS114の後、処理は終了する。
ステップS114の後、処理は終了する。
ステップS121において、攻撃開始時刻特定部223は、閾値超えカウンタをデクリメントする。
ステップS122において、攻撃開始時刻特定部223は、閾値超えカウンタの値をカウンタ閾値と比較する。カウンタ閾値は予め決められた値である。例えば、カウンタ閾値は0である。
閾値超えカウンタの値がカウンタ閾値より小さい場合、処理はステップS123に進む。
閾値超えカウンタの値がカウンタ閾値以上である場合、処理はステップS124に進む。
閾値超えカウンタの値がカウンタ閾値より小さい場合、処理はステップS123に進む。
閾値超えカウンタの値がカウンタ閾値以上である場合、処理はステップS124に進む。
ステップS123において、攻撃開始時刻特定部223は、攻撃開始時刻をリセットする。具体的には、攻撃開始時刻特定部223は、「0」を攻撃開始時刻とする。
ステップS124において、攻撃開始時刻特定部223は、攻撃開始時刻を出力する。
ステップS124の後、処理は終了する。
ステップS124の後、処理は終了する。
図5に戻り、攻撃開始時刻特定部223の説明を続ける。
攻撃開始時刻特定部223は、特定した攻撃開始時刻を出力する。
攻撃開始時刻特定部223から出力された攻撃開始時刻は、攻撃打消信号生成部224に入力される。
攻撃開始時刻特定部223は、特定した攻撃開始時刻を出力する。
攻撃開始時刻特定部223から出力された攻撃開始時刻は、攻撃打消信号生成部224に入力される。
図6に基づいて、攻撃打消信号生成部224の動作を説明する。
攻撃打消信号生成部224には、各時刻に攻撃判定部212から攻撃判定結果が入力される。攻撃打消信号生成部224は、入力された攻撃判定結果を受け付ける。
攻撃打消信号生成部224には、各時刻に攻撃開始時刻特定部223から攻撃開始時刻が入力される。攻撃打消信号生成部224は、入力された攻撃開始時刻を受け付ける。
攻撃打消信号生成部224には、センサデータ格納部221からセンサデータ系列が入力される。攻撃打消信号生成部224は、入力されたセンサデータ系列を受け付ける。
攻撃打消信号生成部224には、制御信号格納部222から通常制御信号系列が入力される。攻撃打消信号生成部224は、入力された通常制御信号系列を受け付ける。
攻撃打消信号生成部224には、各時刻に攻撃判定部212から攻撃判定結果が入力される。攻撃打消信号生成部224は、入力された攻撃判定結果を受け付ける。
攻撃打消信号生成部224には、各時刻に攻撃開始時刻特定部223から攻撃開始時刻が入力される。攻撃打消信号生成部224は、入力された攻撃開始時刻を受け付ける。
攻撃打消信号生成部224には、センサデータ格納部221からセンサデータ系列が入力される。攻撃打消信号生成部224は、入力されたセンサデータ系列を受け付ける。
攻撃打消信号生成部224には、制御信号格納部222から通常制御信号系列が入力される。攻撃打消信号生成部224は、入力された通常制御信号系列を受け付ける。
攻撃打消信号生成部224は、攻撃判定結果と攻撃開始時刻とセンサデータ系列と通常制御信号系列とに基づいて、攻撃打消信号系列を生成する。
攻撃打消信号系列は、時系列に並んだ1つ以上の攻撃打消信号である。
攻撃打消信号は、制御対象101の状態を正常時の状態に戻すためのアクチュエータ制御信号である。
攻撃打消信号系列は、時系列に並んだ1つ以上の攻撃打消信号である。
攻撃打消信号は、制御対象101の状態を正常時の状態に戻すためのアクチュエータ制御信号である。
但し、攻撃打消信号生成部224は、センサデータ系列と通常制御信号系列とのうちの片方を用いて、攻撃打消信号系列を生成してもよい。
通常制御信号系列を用いずにセンサデータ系列を用いる方法を<第1の方法>と称する。<第1の方法>では、制御信号格納部222は不要である。
センサデータ系列を用いずに通常制御信号系列を用いる方法を<第2の方法>と称する。<第2の方法>において、センサデータ系列の全体は不要であるが、攻撃開始時刻の前の時刻のセンサデータが必要である。
センサデータ系列と通常制御信号系列との両方を用いる方法を<第3の方法>と称する。
通常制御信号系列を用いずにセンサデータ系列を用いる方法を<第1の方法>と称する。<第1の方法>では、制御信号格納部222は不要である。
センサデータ系列を用いずに通常制御信号系列を用いる方法を<第2の方法>と称する。<第2の方法>において、センサデータ系列の全体は不要であるが、攻撃開始時刻の前の時刻のセンサデータが必要である。
センサデータ系列と通常制御信号系列との両方を用いる方法を<第3の方法>と称する。
<第1の方法>を説明する。
<第1の方法>では、センサデータ系列が反転され、反転後のセンサデータ系列を逆順に辿りながらアクチュエータ制御信号が生成される。生成される1つアクチュエータ制御信号が攻撃打消信号系列である。
<第1の方法>では、センサデータ系列が反転され、反転後のセンサデータ系列を逆順に辿りながらアクチュエータ制御信号が生成される。生成される1つアクチュエータ制御信号が攻撃打消信号系列である。
図11に基づいて、<第1の方法>の概要を説明する。
点線の波形は、受け付けられたセンサデータ系列を表している。
実線の波形は、加工後のセンサデータ系列を表している。
横軸は時間を表し、縦軸はセンサデータの値を表している。
点線の波形は、受け付けられたセンサデータ系列を表している。
実線の波形は、加工後のセンサデータ系列を表している。
横軸は時間を表し、縦軸はセンサデータの値を表している。
まず、制御対象101が起動した後、制御対象101を待機させ、制御対象101を安定な状態にする。
そして、攻撃打消信号生成部224は、待機中のセンサデータ系列に基づいて、基準値を決定する。
基準値は、待機中における制御対象101の状態を表す値である。
そして、攻撃打消信号生成部224は、待機中のセンサデータ系列に基づいて、基準値を決定する。
基準値は、待機中における制御対象101の状態を表す値である。
次に、攻撃打消信号生成部224は、受け付けたセンサデータ系列から、攻撃開始時刻以降のセンサデータ系列を抽出する。抽出されるセンサデータ系列を「異常データ系列」と称する。
次に、攻撃打消信号生成部224は、基準値軸に対して異常データ系列を折り返す。これにより、物理的な意味が反転した異常データ系列が得られる。
さらに、攻撃打消信号生成部224は、時間軸において異常データ系列を逆順にする。つまり、攻撃打消信号生成部224は、異常データ系列における各値の並び順を古い順から新しい順に変える。
加工後の異常データ系列を「攻撃打消データ系列」と称する。
さらに、攻撃打消信号生成部224は、時間軸において異常データ系列を逆順にする。つまり、攻撃打消信号生成部224は、異常データ系列における各値の並び順を古い順から新しい順に変える。
加工後の異常データ系列を「攻撃打消データ系列」と称する。
そして、攻撃打消信号生成部224は、攻撃打消データ系列に対して制御アルゴリズムを実行する。これにより、攻撃打消信号系列が生成される。
攻撃打消信号生成部224によって実行される制御アルゴリズムは、コントローラ113によって実行される制御アルゴリズムと同じである。
攻撃打消信号系列は、時系列に並んだ1つ以上の攻撃打消信号である。攻撃打消信号系列は、異常データ系列と同様に時間幅を有する。
攻撃打消信号生成部224によって実行される制御アルゴリズムは、コントローラ113によって実行される制御アルゴリズムと同じである。
攻撃打消信号系列は、時系列に並んだ1つ以上の攻撃打消信号である。攻撃打消信号系列は、異常データ系列と同様に時間幅を有する。
<第1の方法>は、センサデータ系列が線形性を有する場合に特に有効である。センサデータ系列が線形性を有する場合、加法性が成り立つためである。
図12に基づいて、<第1の方法>の手順を説明する。
ステップS201において、攻撃打消信号生成部224は、制御対象101が安定化するまで待機する。
具体的には、攻撃打消信号生成部224は、制御対象101が起動後から一定時間が経過するまで待機する。
ステップS201において、攻撃打消信号生成部224は、制御対象101が安定化するまで待機する。
具体的には、攻撃打消信号生成部224は、制御対象101が起動後から一定時間が経過するまで待機する。
ステップS202において、攻撃打消信号生成部224は、待機中のセンサデータ系列を受け付ける。
ステップS203において、攻撃打消信号生成部224は、待機中のセンサデータ系列に基づいて、基準値を決定する。
例えば、攻撃打消信号生成部224は、待機中のセンサデータ系列における平均値、中央値または最頻値を算出する。算出される値が基準値である。
例えば、攻撃打消信号生成部224は、待機中のセンサデータ系列における平均値、中央値または最頻値を算出する。算出される値が基準値である。
ステップS201からステップS203は、制御対象101の起動時にだけ実行すればよい。
ステップS210において、攻撃打消信号生成部224は、決定した基準値を用いて、攻撃打消信号系列を生成する。
図13に基づいて、攻撃打消信号生成処理(S210)の手順を説明する。
ステップS211において、攻撃打消信号生成部224は、攻撃判定結果を受け付ける。
ステップS211において、攻撃打消信号生成部224は、攻撃判定結果を受け付ける。
ステップS212において、攻撃打消信号生成部224は、攻撃判定結果に基づいて攻撃の有無を判定する。
「攻撃有り」と判定された場合、処理はステップS213に進む。
「攻撃無し」と判定された場合、処理はステップS215に進む。
「攻撃有り」と判定された場合、処理はステップS213に進む。
「攻撃無し」と判定された場合、処理はステップS215に進む。
ステップS213において、攻撃打消信号生成部224は、攻撃開始時刻とセンサデータ系列とを受け付ける。
ステップS220において、攻撃打消信号生成部224は、ステップS213で受け付けられた攻撃開始時刻と、ステップS213で受け付けられたセンサデータ系列と、ステップS203で決定された基準値とに基づいて、攻撃打消信号系列を生成する。
攻撃打消信号生成処理(S220)の手順について後述する。
攻撃打消信号生成処理(S220)の手順について後述する。
ステップS214において、攻撃打消信号生成部224は、攻撃打消信号系列を出力する。
具体的には、攻撃打消信号生成部224は、攻撃打消信号系列に含まれる1つ以上の攻撃打消信号を時系列順に1つずつ出力する。
ステップS214の後、攻撃打消信号生成処理(S210)は終了する。
具体的には、攻撃打消信号生成部224は、攻撃打消信号系列に含まれる1つ以上の攻撃打消信号を時系列順に1つずつ出力する。
ステップS214の後、攻撃打消信号生成処理(S210)は終了する。
ステップS215において、攻撃打消信号生成部224は、攻撃打消信号系列としてダミー信号系列を出力する。
ダミー信号系列は、1つ以上のダミー値である。ダミー値はどのような値であってもよい。例えば、ダミー値は「0」である。
ステップS215の後、攻撃打消信号生成処理(S210)は終了する。
ダミー信号系列は、1つ以上のダミー値である。ダミー値はどのような値であってもよい。例えば、ダミー値は「0」である。
ステップS215の後、攻撃打消信号生成処理(S210)は終了する。
図14に基づいて、攻撃打消信号生成処理(S220)の手順を説明する。
ステップS221において、攻撃打消信号生成部224は、ステップS213で受け付けたセンサデータ系列から、攻撃開始時刻以降のセンサデータ系列を抽出する。
抽出されるセンサデータ系列を「異常データ系列」と称する。
ステップS221において、攻撃打消信号生成部224は、ステップS213で受け付けたセンサデータ系列から、攻撃開始時刻以降のセンサデータ系列を抽出する。
抽出されるセンサデータ系列を「異常データ系列」と称する。
但し、攻撃打消信号生成部224は、攻撃開始時刻よりも前の時刻以降のセンサデータ系列を抽出してもよい。これにより、制御対象101の状態を攻撃開始時刻よりも前の時刻の状態に戻すことができる。
ステップS222において、攻撃打消信号生成部224は、異常データ系列を攻撃打消データ系列に変換する。
図15に基づいて、データ系列変換処理(S222)を説明する。
ステップS2221において、攻撃打消信号生成部224は、異常データ系列の各センサデータ値を基準値に対して反転させる。
ステップS2221において、攻撃打消信号生成部224は、異常データ系列の各センサデータ値を基準値に対して反転させる。
具体的には、攻撃打消信号生成部224は、異常データ系列の各センサデータ値を基準値に対して次のように変転させる。
まず、攻撃打消信号生成部224は、センサデータ値から基準値を減算する。
次に、攻撃打消信号生成部224は、減算後のセンサデータ値の符号(正負)を反転する。
そして、攻撃打消信号生成部224は、符号反転後のセンサデータ値から基準値を減算する。
減算後のセンサデータ値が、基準値に対して反転させたセンサデータ値である。
まず、攻撃打消信号生成部224は、センサデータ値から基準値を減算する。
次に、攻撃打消信号生成部224は、減算後のセンサデータ値の符号(正負)を反転する。
そして、攻撃打消信号生成部224は、符号反転後のセンサデータ値から基準値を減算する。
減算後のセンサデータ値が、基準値に対して反転させたセンサデータ値である。
式(1)を計算することにより、異常データ系列の各センサデータ値を基準値に対して反転させることができる。
「S’」は、基準値に対して反転させたセンサデータ値である。
「S」は、異常データ系列のセンサデータ値である。
「std」は、基準値である。
「S’」は、基準値に対して反転させたセンサデータ値である。
「S」は、異常データ系列のセンサデータ値である。
「std」は、基準値である。
S’=-(S-std)+std
=2std-S (1)
=2std-S (1)
ステップS2222において、攻撃打消信号生成部224は、時系列における各センサデータ値の順序を逆転させる。
ステップS2222後の異常データ系列が攻撃打消データ系列である。
ステップS2222後の異常データ系列が攻撃打消データ系列である。
図14に戻り、ステップS223を説明する。
ステップS223において、攻撃打消信号生成部224は、攻撃打消データ系列に対して制御アルゴリズムを実行する。これによって生成されるアクチュエータ制御信号系列が攻撃打消信号系列である。
ステップS223で実行される制御アルゴリズムは、コントローラ113における制御アルゴリズムと同じである。
ステップS223において、攻撃打消信号生成部224は、攻撃打消データ系列に対して制御アルゴリズムを実行する。これによって生成されるアクチュエータ制御信号系列が攻撃打消信号系列である。
ステップS223で実行される制御アルゴリズムは、コントローラ113における制御アルゴリズムと同じである。
<第2の方法>を説明する。
<第2の方法>では、制御対象101の正常な状態と、攻撃による誤った制御によって異常化した制御対象101の状態と、を互いに比べることによって、異常な状態を正常な状態に戻すようなアクチュエータ制御信号系列が生成される。生成されるアクチュエータ制御信号系列が攻撃打消信号系列である。
<第2の方法>では、制御対象101の正常な状態と、攻撃による誤った制御によって異常化した制御対象101の状態と、を互いに比べることによって、異常な状態を正常な状態に戻すようなアクチュエータ制御信号系列が生成される。生成されるアクチュエータ制御信号系列が攻撃打消信号系列である。
制御対象101の正常な状態を判断するために、攻撃打消信号生成部224は、受け付けたセンサデータ系列から、攻撃開始時刻の直前のセンサデータ値を抽出する。
制御対象101の異常な状態を推測するために、攻撃打消信号生成部224は、受け付けた通常制御信号系列から、攻撃開始時刻以降の通常制御信号系列を抽出する。抽出される通常制御信号系列を「異常制御信号系列」と称する。
そして、攻撃打消信号生成部224は、状態推定アルゴリズムを利用することによって、制御対象101の状態がどのような異常な状態であるかを特定する。
さらに、攻撃打消信号生成部224は、制御対象101が異常な状態から正常な状態に戻るために、アクチュエータ制御信号系列を生成する。生成されるアクチュエータ制御信号系列が攻撃打消信号系列である。
制御対象101の異常な状態を推測するために、攻撃打消信号生成部224は、受け付けた通常制御信号系列から、攻撃開始時刻以降の通常制御信号系列を抽出する。抽出される通常制御信号系列を「異常制御信号系列」と称する。
そして、攻撃打消信号生成部224は、状態推定アルゴリズムを利用することによって、制御対象101の状態がどのような異常な状態であるかを特定する。
さらに、攻撃打消信号生成部224は、制御対象101が異常な状態から正常な状態に戻るために、アクチュエータ制御信号系列を生成する。生成されるアクチュエータ制御信号系列が攻撃打消信号系列である。
<第2の方法>は、センサデータ系列が非線形性を有する場合に特に有効である。
図16に基づいて、<第2の方法>の手順を説明する。
ステップS311において、攻撃打消信号生成部224は、攻撃判定結果を受け付ける。
ステップS311において、攻撃打消信号生成部224は、攻撃判定結果を受け付ける。
ステップS312において、攻撃打消信号生成部224は、攻撃判定結果に基づいて攻撃の有無を判定する。
「攻撃有り」と判定された場合、処理はステップS313に進む。
「攻撃無し」と判定された場合、処理はステップS315に進む。
「攻撃有り」と判定された場合、処理はステップS313に進む。
「攻撃無し」と判定された場合、処理はステップS315に進む。
ステップS313において、攻撃打消信号生成部224は、攻撃開始時刻と通常制御信号系列とセンサデータ系列とを受け付ける。
ステップS320において、攻撃打消信号生成部224は、攻撃開始時刻と通常制御信号系列とセンサデータ系列とに基づいて、攻撃打消信号系列を生成する。
攻撃打消信号生成処理(S320)の手順について後述する。
攻撃打消信号生成処理(S320)の手順について後述する。
ステップS314において、攻撃打消信号生成部224は、攻撃打消信号系列を出力する。
具体的には、攻撃打消信号生成部224は、攻撃打消信号系列に含まれる1つ以上の攻撃打消信号を時系列順に1つずつ出力する。
ステップS314の後、処理は終了する。
具体的には、攻撃打消信号生成部224は、攻撃打消信号系列に含まれる1つ以上の攻撃打消信号を時系列順に1つずつ出力する。
ステップS314の後、処理は終了する。
ステップS315において、攻撃打消信号生成部224は、攻撃打消信号系列としてダミー信号系列を出力する。
ダミー信号系列は、1つ以上のダミー値である。ダミー値はどのような値であってもよい。例えば、ダミー値は「0」である。
ステップS315の後、処理は終了する。
ダミー信号系列は、1つ以上のダミー値である。ダミー値はどのような値であってもよい。例えば、ダミー値は「0」である。
ステップS315の後、処理は終了する。
図17に基づいて、攻撃打消信号生成処理(S320)の手順を説明する。
ステップS321において、攻撃打消信号生成部224は、ステップS313で受け付けた通常制御信号系列から、攻撃開始時刻以降の通常制御信号系列を抽出する。
抽出される通常制御信号系列を「異常制御信号系列」と称する。
ステップS321において、攻撃打消信号生成部224は、ステップS313で受け付けた通常制御信号系列から、攻撃開始時刻以降の通常制御信号系列を抽出する。
抽出される通常制御信号系列を「異常制御信号系列」と称する。
但し、攻撃打消信号生成部224は、攻撃開始時刻よりも前の時刻以降の通常制御信号系列を抽出してもよい。これにより、制御対象101の状態を攻撃開始時刻よりも前の時刻の状態に戻すことができる。
ステップS322において、攻撃打消信号生成部224は、異常制御信号系列を用いて状態推定アルゴリズムを実行する。これにより、現在の制御対象101の状態、すなわち、制御対象101の異常な状態が推定される。異常な状態を表す値を「異常状態値」と称する。
例えば、状態推定アルゴリズムの実行のために、システム同定に基づいた状態推定器、または、カルマンフィルタ、を利用することができる。
システム同定に基づいた状態推定器については、非特許文献5で説明されている。
カルマンフィルタについては、非特許文献6で説明されている。
システム同定に基づいた状態推定器については、非特許文献5で説明されている。
カルマンフィルタについては、非特許文献6で説明されている。
ステップS323において、攻撃打消信号生成部224は、ステップS313で受け付けられたセンサデータ系列から、攻撃開始時刻の前の時刻のセンサデータを抽出する。具体的には、攻撃打消信号生成部224は、攻撃開始時刻の直前のセンサデータを抽出する。
抽出されるセンサデータは、制御対象101の正常な状態を表す。正常な状態を表す値を「正常状態値」と称する。
抽出されるセンサデータは、制御対象101の正常な状態を表す。正常な状態を表す値を「正常状態値」と称する。
但し、攻撃打消信号生成部224は、ステップS313でセンサデータ系列を受け付ける代わりに、攻撃開始時刻の前の時刻のセンサデータを受け付けてもよい。
ステップS324において、攻撃打消信号生成部224は、異常状態値と正常状態値との差分を算出する。算出される差分を「状態変化量」と称する。
状態変化量は、ステップS323で抽出されたセンサデータが表す状態から、ステップS322で推定された状態へ、の変化量である。
状態変化量は、ステップS323で抽出されたセンサデータが表す状態から、ステップS322で推定された状態へ、の変化量である。
ステップS325において、攻撃打消信号生成部224は、状態変化量に基づいて攻撃打消信号系列を生成する。
具体的には、攻撃打消信号生成部224は、状態変化量を打ち消すようなアクチュエータ制御信号系列を生成する。つまり、攻撃打消信号生成部224は、制御対象101の状態を状態変化量だけ戻すためのアクチュエータ制御信号系列を生成する。生成されるアクチュエータ制御信号系列が攻撃打消信号系列である。
具体的には、攻撃打消信号生成部224は、状態変化量を打ち消すようなアクチュエータ制御信号系列を生成する。つまり、攻撃打消信号生成部224は、制御対象101の状態を状態変化量だけ戻すためのアクチュエータ制御信号系列を生成する。生成されるアクチュエータ制御信号系列が攻撃打消信号系列である。
制御対象101がドローンであり、アクチュエータ111がローターであり、センサ112が傾きセンサであると仮定する。
傾きセンサは、世界座標系におけるドローンの傾きを計測する。世界座標系におけるドローンの傾きは、ロールとピッチとヨーとの3つの値で表される。この場合、ロール軸まわりとピッチ軸まわりとヨー軸まわりとにおいてドローンが回転した量が、状態変化量となる。
攻撃打消信号生成部224は、ロール軸まわりとピッチ軸まわりとヨー軸まわりとにおいてドローンを状態変化量だけ逆回転させるようにローターを動作させる1つ以上のアクチュエータ制御信号を生成する。生成される1つ以上のアクチュエータ制御信号が攻撃打消信号系列である。
例えば、ロール軸とピッチ軸とヨー軸とのいずれかの軸まわりのプラス10度の回転が状態変化量である場合、その軸まわりにマイナス10度回転させるためのアクチュエータ制御信号が攻撃打消信号である。
傾きセンサは、世界座標系におけるドローンの傾きを計測する。世界座標系におけるドローンの傾きは、ロールとピッチとヨーとの3つの値で表される。この場合、ロール軸まわりとピッチ軸まわりとヨー軸まわりとにおいてドローンが回転した量が、状態変化量となる。
攻撃打消信号生成部224は、ロール軸まわりとピッチ軸まわりとヨー軸まわりとにおいてドローンを状態変化量だけ逆回転させるようにローターを動作させる1つ以上のアクチュエータ制御信号を生成する。生成される1つ以上のアクチュエータ制御信号が攻撃打消信号系列である。
例えば、ロール軸とピッチ軸とヨー軸とのいずれかの軸まわりのプラス10度の回転が状態変化量である場合、その軸まわりにマイナス10度回転させるためのアクチュエータ制御信号が攻撃打消信号である。
<第3の方法>を説明する。<第3の方法>では、センサデータ系列と通常制御信号系列とを用いて攻撃打消信号系列が生成される。
攻撃打消信号生成部224は、攻撃打消信号系列を以下のように生成する。
まず、攻撃打消信号生成部224は、センサデータ系列を用いて<第1の方法>により、攻撃打消信号系列を生成する。生成される攻撃打消信号系列を「第1候補系列」と称する。
また、攻撃打消信号生成部224は、通常制御信号系列を用いて<第2の方法>により、攻撃打消信号系列を生成する。生成される攻撃打消信号系列を「第2候補系列」と称する。
そして、攻撃打消信号生成部224は、第1候補系列と第2候補系列とを用いて、攻撃打消信号系列を生成する。
例えば、攻撃打消信号生成部224は、時系列に第1候補系列における攻撃打消信号の信号値と第2候補系列における攻撃打消信号の信号値との平均を求める。求めた平均の時系列が攻撃打消信号系列となる。
まず、攻撃打消信号生成部224は、センサデータ系列を用いて<第1の方法>により、攻撃打消信号系列を生成する。生成される攻撃打消信号系列を「第1候補系列」と称する。
また、攻撃打消信号生成部224は、通常制御信号系列を用いて<第2の方法>により、攻撃打消信号系列を生成する。生成される攻撃打消信号系列を「第2候補系列」と称する。
そして、攻撃打消信号生成部224は、第1候補系列と第2候補系列とを用いて、攻撃打消信号系列を生成する。
例えば、攻撃打消信号生成部224は、時系列に第1候補系列における攻撃打消信号の信号値と第2候補系列における攻撃打消信号の信号値との平均を求める。求めた平均の時系列が攻撃打消信号系列となる。
図6に戻り、攻撃打消信号生成部224の説明を続ける。
攻撃打消信号生成部224は、生成した攻撃打消信号系列を出力する。
攻撃打消信号生成部224から出力された攻撃打消信号系列は、制御信号出力部230に入力される。
攻撃打消信号生成部224は、生成した攻撃打消信号系列を出力する。
攻撃打消信号生成部224から出力された攻撃打消信号系列は、制御信号出力部230に入力される。
図7に基づいて、制御信号出力部230の動作を説明する。
制御信号出力部230には、各時刻に攻撃判定部212から攻撃判定結果が入力される。制御信号出力部230は、入力された攻撃判定結果を受け付ける。
制御信号出力部230には、各時刻にコントローラ113から通常制御信号が入力される。制御信号出力部230は、入力された通常制御信号を受け付ける。
制御信号出力部230には、攻撃打消信号生成部224から攻撃打消信号系列が入力される。制御信号出力部230は、入力された攻撃打消信号系列を受け付ける。
制御信号出力部230には、各時刻に攻撃判定部212から攻撃判定結果が入力される。制御信号出力部230は、入力された攻撃判定結果を受け付ける。
制御信号出力部230には、各時刻にコントローラ113から通常制御信号が入力される。制御信号出力部230は、入力された通常制御信号を受け付ける。
制御信号出力部230には、攻撃打消信号生成部224から攻撃打消信号系列が入力される。制御信号出力部230は、入力された攻撃打消信号系列を受け付ける。
制御信号出力部230は、攻撃判定結果に基づいて、通常制御信号と攻撃打消信号系列とのうちのいずれか一方を選択する。
攻撃判定結果が「攻撃無し」を示す場合、制御信号出力部230は、通常制御信号を選択する。
攻撃判定結果が「攻撃有り」を示す場合、制御信号出力部230は、攻撃打消信号系列を選択する。
攻撃判定結果が「攻撃無し」を示す場合、制御信号出力部230は、通常制御信号を選択する。
攻撃判定結果が「攻撃有り」を示す場合、制御信号出力部230は、攻撃打消信号系列を選択する。
通常制御信号が選択された場合、制御信号出力部230は、通常制御信号を出力する。制御信号出力部230から出力された通常制御信号は、アクチュエータ111に入力される。
アクチュエータ111は、入力された通常制御信号を受け付け、受け付けた通常制御信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
アクチュエータ111は、入力された通常制御信号を受け付け、受け付けた通常制御信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
攻撃打消信号系列が選択された場合、制御信号出力部230は、攻撃打消信号系列を出力する。具体的には、制御信号出力部230は、仮制御信号生成部241からダミー信号が入力されるまで、仮制御信号生成部241から出力される順に攻撃打消信号を出力する。
制御信号出力部230から出力された攻撃打消信号は、アクチュエータ111に入力される。
アクチュエータ111は、入力された攻撃打消信号を受け付け、受け付けた攻撃打消信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
制御信号出力部230から出力された攻撃打消信号は、アクチュエータ111に入力される。
アクチュエータ111は、入力された攻撃打消信号を受け付け、受け付けた攻撃打消信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
***実施の形態1の効果***
実施の形態1では、攻撃開始時刻とセンサデータ系列との組、または、攻撃開始時刻とアクチュエータ制御信号系列との組が用いられる。そして、攻撃によりどのように制御対象101の状態が変化したか、あるいは誤って行った制御により制御対象101がどのような状態になったかが特定され、制御対象101を正常状態に戻すような制御を行うための攻撃打消信号が生成される。これにより、制御対象101を攻撃による異常状態から回復させることができる。
攻撃打消装置200には、制御システム110からセンサデータとアクチュエータ制御信号とを入力すればよい。そのため、センサ112を加工する必要はない。また、センサ112に悪影響を及ぼすこともない。
センサ112は、特定のセンサに限定されない。温度センサ、光センサまたは圧力センサなど、例に挙げた傾きセンサ以外のセンサ112に対しても実施の形態1は適用することができる。また、センサ112にサンプル周期を設定することが可能である、といった特別な条件もない。
攻撃打消装置200は、異常なセンサデータ、あるいは、異常なアクチュエータ制御信号を利用して攻撃打消信号を生成する。そのため、正常なセンサデータが全く利用できない状況であっても、制御対象101を攻撃による異常状態から回復させることができる。
実施の形態1では、攻撃開始時刻とセンサデータ系列との組、または、攻撃開始時刻とアクチュエータ制御信号系列との組が用いられる。そして、攻撃によりどのように制御対象101の状態が変化したか、あるいは誤って行った制御により制御対象101がどのような状態になったかが特定され、制御対象101を正常状態に戻すような制御を行うための攻撃打消信号が生成される。これにより、制御対象101を攻撃による異常状態から回復させることができる。
攻撃打消装置200には、制御システム110からセンサデータとアクチュエータ制御信号とを入力すればよい。そのため、センサ112を加工する必要はない。また、センサ112に悪影響を及ぼすこともない。
センサ112は、特定のセンサに限定されない。温度センサ、光センサまたは圧力センサなど、例に挙げた傾きセンサ以外のセンサ112に対しても実施の形態1は適用することができる。また、センサ112にサンプル周期を設定することが可能である、といった特別な条件もない。
攻撃打消装置200は、異常なセンサデータ、あるいは、異常なアクチュエータ制御信号を利用して攻撃打消信号を生成する。そのため、正常なセンサデータが全く利用できない状況であっても、制御対象101を攻撃による異常状態から回復させることができる。
***他の構成***
攻撃検知部210と攻撃打消部220とのそれぞれが、攻撃スコア算出部(211)を備えてもよい。
それぞれの攻撃スコア算出部(211)は、同じ方法で攻撃スコアを算出してもよいし、異なる方法で攻撃スコアを算出してもよい。
攻撃判定部212は、攻撃検知部210の攻撃スコア算出部211によって算出された攻撃スコアを用いる。
攻撃開始時刻特定部223は、攻撃打消部220の攻撃スコア算出部によって算出された攻撃スコアを用いる。
攻撃検知部210と攻撃打消部220とのそれぞれが、攻撃スコア算出部(211)を備えてもよい。
それぞれの攻撃スコア算出部(211)は、同じ方法で攻撃スコアを算出してもよいし、異なる方法で攻撃スコアを算出してもよい。
攻撃判定部212は、攻撃検知部210の攻撃スコア算出部211によって算出された攻撃スコアを用いる。
攻撃開始時刻特定部223は、攻撃打消部220の攻撃スコア算出部によって算出された攻撃スコアを用いる。
攻撃打消装置200とコントローラ113とを統合してもよい。
攻撃打消装置200は、複数台の装置で構成されてもよい。例えば、攻撃検知部210が外部の攻撃検知装置によって実現してもよい。
<第1の方法>で攻撃打消信号が生成される場合、攻撃打消装置200は、制御信号格納部222を備えなくてもよい。
攻撃打消装置200は、複数台の装置で構成されてもよい。例えば、攻撃検知部210が外部の攻撃検知装置によって実現してもよい。
<第1の方法>で攻撃打消信号が生成される場合、攻撃打消装置200は、制御信号格納部222を備えなくてもよい。
実施の形態2.
制御対象101を異常状態から回復させた後も続く攻撃に対処する形態について、主に実施の形態1と異なる点を図18から図25に基づいて説明する。
制御対象101を異常状態から回復させた後も続く攻撃に対処する形態について、主に実施の形態1と異なる点を図18から図25に基づいて説明する。
***構成の説明***
図18に基づいて、攻撃打消システム100の構成を説明する。
攻撃打消システム100は、実施の形態1で説明したように、制御システム110と攻撃打消装置200とを備える。
図18に基づいて、攻撃打消システム100の構成を説明する。
攻撃打消システム100は、実施の形態1で説明したように、制御システム110と攻撃打消装置200とを備える。
攻撃打消装置200は、実施の形態1で説明した要素に加えて、仮制御信号生成部241を備える。
図19に基づいて、攻撃打消装置200の構成を説明する。
攻撃打消装置200は、実施の形態1で説明した要素に加えて、仮制御部240を備える。
仮制御部240は、仮制御信号生成部241を備える。
攻撃打消プログラムは、さらに、仮制御部240としてコンピュータを機能させる。
攻撃打消装置200は、実施の形態1で説明した要素に加えて、仮制御部240を備える。
仮制御部240は、仮制御信号生成部241を備える。
攻撃打消プログラムは、さらに、仮制御部240としてコンピュータを機能させる。
***動作の説明***
図20に基づいて、仮制御信号生成部241の動作を説明する。
仮制御信号生成部241には、各時刻に攻撃判定部212から攻撃判定結果が入力される。仮制御信号生成部241は、入力された攻撃判定結果を受け付ける。
仮制御信号生成部241には、各時刻に攻撃開始時刻特定部223から攻撃開始時刻が入力される。仮制御信号生成部241は、入力された攻撃開始時刻を受け付ける。
仮制御信号生成部241には、センサデータ格納部221からセンサデータ系列が入力される。仮制御信号生成部241は、入力されたセンサデータ系列を受け付ける。
仮制御信号生成部241には、制御信号格納部222から通常制御信号系列が入力される。仮制御信号生成部241は、入力された通常制御信号系列を受け付ける。
図20に基づいて、仮制御信号生成部241の動作を説明する。
仮制御信号生成部241には、各時刻に攻撃判定部212から攻撃判定結果が入力される。仮制御信号生成部241は、入力された攻撃判定結果を受け付ける。
仮制御信号生成部241には、各時刻に攻撃開始時刻特定部223から攻撃開始時刻が入力される。仮制御信号生成部241は、入力された攻撃開始時刻を受け付ける。
仮制御信号生成部241には、センサデータ格納部221からセンサデータ系列が入力される。仮制御信号生成部241は、入力されたセンサデータ系列を受け付ける。
仮制御信号生成部241には、制御信号格納部222から通常制御信号系列が入力される。仮制御信号生成部241は、入力された通常制御信号系列を受け付ける。
仮制御信号生成部241は、攻撃判定結果と攻撃開始時刻とセンサデータ系列と通常制御信号系列とに基づいて、仮制御信号系列を生成する。
仮制御信号系列は、センサ112への攻撃が行われない場合の予測のアクチュエータ制御信号系列である。
仮制御信号系列は、時系列に並んだ1つ以上の仮制御信号から成る。
仮制御信号は、予測された正常なアクチュエータ制御信号である。
仮制御信号系列は、センサ112への攻撃が行われない場合の予測のアクチュエータ制御信号系列である。
仮制御信号系列は、時系列に並んだ1つ以上の仮制御信号から成る。
仮制御信号は、予測された正常なアクチュエータ制御信号である。
但し、仮制御信号生成部241は、センサデータ系列と通常制御信号系列とのうちの片方を用いて、仮制御信号系列を生成する。
通常制御信号系列を用いずにセンサデータ系列を用いる方法を[第1の方法]と称する。
センサデータ系列を用いずに通常制御信号系列を用いる方法を[第2の方法]と称する。
通常制御信号系列を用いずにセンサデータ系列を用いる方法を[第1の方法]と称する。
センサデータ系列を用いずに通常制御信号系列を用いる方法を[第2の方法]と称する。
[第1の方法]を説明する。
[第1の方法]では、正常なセンサデータ系列に基づいて未来の系列が予測され、予測されたセンサデータ系列に対応するアクチュエータ制御信号系列が生成される。生成されるアクチュエータ制御信号系列が仮制御信号系列である。
[第1の方法]では、正常なセンサデータ系列に基づいて未来の系列が予測され、予測されたセンサデータ系列に対応するアクチュエータ制御信号系列が生成される。生成されるアクチュエータ制御信号系列が仮制御信号系列である。
図21に基づいて、[第1の方法]の手順を説明する。
ステップS411において、仮制御信号生成部241は、攻撃判定結果を受け付ける。
ステップS411において、仮制御信号生成部241は、攻撃判定結果を受け付ける。
ステップS412において、仮制御信号生成部241は、攻撃判定結果に基づいて攻撃の有無を判定する。
「攻撃有り」と判定された場合、処理はステップS413に進む。
「攻撃無し」と判定された場合、処理はステップS417に進む。
「攻撃有り」と判定された場合、処理はステップS413に進む。
「攻撃無し」と判定された場合、処理はステップS417に進む。
ステップS413において、仮制御信号生成部241は、攻撃開始時刻とセンサデータ系列とを受け付ける。
ステップS420において、仮制御信号生成部241は、攻撃開始時刻とセンサデータ系列とに基づいて、仮制御信号系列を生成する。
仮制御信号生成処理(S420)の手順について後述する。
仮制御信号生成処理(S420)の手順について後述する。
ステップS414において、仮制御信号生成部241は、仮制御信号系列を出力する。
具体的には、仮制御信号生成部241は、仮制御信号系列に含まれる1つ以上の仮制御信号を時系列順に1つずつ出力する。
具体的には、仮制御信号生成部241は、仮制御信号系列に含まれる1つ以上の仮制御信号を時系列順に1つずつ出力する。
ステップS415において、仮制御信号生成部241は、次の攻撃判定結果を受け付ける。
ステップS416において、仮制御信号生成部241は、次の攻撃判定結果に基づいて攻撃の有無を判定する。
「攻撃有り」と判定された場合、処理はステップS414に進む。
「攻撃無し」と判定された場合、処理は終了する。
「攻撃有り」と判定された場合、処理はステップS414に進む。
「攻撃無し」と判定された場合、処理は終了する。
ステップS417において、仮制御信号生成部241は、仮制御信号系列としてダミー信号系列を出力する。
ダミー信号系列は、1つ以上のダミー値である。ダミー値はどのような値であってもよい。例えば、ダミー値は「0」である。
ステップS417の後、処理は終了する。
ダミー信号系列は、1つ以上のダミー値である。ダミー値はどのような値であってもよい。例えば、ダミー値は「0」である。
ステップS417の後、処理は終了する。
図22に基づいて、仮制御信号生成処理(S420)の手順を説明する。
ステップS421において、仮制御信号生成部241は、受け付けたセンサデータ系列から、攻撃開始時刻以前のセンサデータ系列を抽出する。
抽出されるセンサデータ系列を「正常データ系列」と称する。
ステップS421において、仮制御信号生成部241は、受け付けたセンサデータ系列から、攻撃開始時刻以前のセンサデータ系列を抽出する。
抽出されるセンサデータ系列を「正常データ系列」と称する。
ステップS422において、仮制御信号生成部241は、正常データ系列に対して予測アルゴリズムを実行する。これにより、予測データ系列が生成される。
予測アルゴリズムは、過去のセンサデータ系列に基づいて未来のセンサデータ系列を予測するためのアルゴリズムである。
予測データ系列は、攻撃開始時刻以降の予測のセンサデータ系列である。
予測アルゴリズムは、過去のセンサデータ系列に基づいて未来のセンサデータ系列を予測するためのアルゴリズムである。
予測データ系列は、攻撃開始時刻以降の予測のセンサデータ系列である。
予測アルゴリズムとして、回帰分析が挙げられる。回帰分析は、時系列データ分析としてよく用いられる。
例えば、予測アルゴリズムにより、正常データ系列に基づいてARIMAモデルが推定される。そして、ARIMAモデルに基づいて予測データ系列が生成される。ARIMAはSeasonal Autoregressive Integrated Moving Averageの略称である。
例えば、予測アルゴリズムにより、正常データ系列に基づいてARIMAモデルが推定される。そして、ARIMAモデルに基づいて予測データ系列が生成される。ARIMAはSeasonal Autoregressive Integrated Moving Averageの略称である。
攻撃開始時刻以降のセンサデータであっても、完全には異常化していなければ、利用することができる。仮制御信号生成部241は、攻撃開始時刻以降のセンサデータから、アクチュエータ111の制御に利用できる情報を部分的に取り出し、取り出した情報(正常な部分の情報)を利用してもよい。
例えば、攻撃により各センサデータにバイアスが乗るだけであることが分かっている場合、仮制御信号生成部241は、抽出したセンサデータ系列を過去のセンサデータ系列と比較し、比較結果に基づいて、抽出したセンサデータ系列からバイアスを除去し、バイアスが除去されたセンサデータ系列に基づいて予測データ系列を生成する。
例えば、各センサデータが示す3軸の値のうちの1軸の値に対して攻撃が行われている場合、仮制御信号生成部241は、各センサデータが示す残り2軸の値を利用してもよい。
例えば、攻撃により各センサデータにバイアスが乗るだけであることが分かっている場合、仮制御信号生成部241は、抽出したセンサデータ系列を過去のセンサデータ系列と比較し、比較結果に基づいて、抽出したセンサデータ系列からバイアスを除去し、バイアスが除去されたセンサデータ系列に基づいて予測データ系列を生成する。
例えば、各センサデータが示す3軸の値のうちの1軸の値に対して攻撃が行われている場合、仮制御信号生成部241は、各センサデータが示す残り2軸の値を利用してもよい。
ステップS423において、仮制御信号生成部241は、予測データ系列に対して制御アルゴリズムを実行する。これによって生成されるアクチュエータ制御信号系列が仮制御信号系列である。
ステップS423で実行される制御アルゴリズムは、コントローラ113における制御アルゴリズムと同じである。
ステップS423で実行される制御アルゴリズムは、コントローラ113における制御アルゴリズムと同じである。
[第2の方法]を説明する。
[第2の方法]では、正常なアクチュエータ制御信号系列に基づいて未来のアクチュエータ制御信号系列が予測される。予測されたアクチュエータ制御信号系列が仮制御信号系列である。
[第2の方法]では、正常なアクチュエータ制御信号系列に基づいて未来のアクチュエータ制御信号系列が予測される。予測されたアクチュエータ制御信号系列が仮制御信号系列である。
図23に基づいて、[第2の方法]の手順を説明する。
ステップS511において、仮制御信号生成部241は、攻撃判定結果を受け付ける。
ステップS511において、仮制御信号生成部241は、攻撃判定結果を受け付ける。
ステップS512において、仮制御信号生成部241は、攻撃判定結果に基づいて攻撃の有無を判定する。
「攻撃有り」と判定された場合、処理はステップS513に進む。
「攻撃無し」と判定された場合、処理はステップS517に進む。
「攻撃有り」と判定された場合、処理はステップS513に進む。
「攻撃無し」と判定された場合、処理はステップS517に進む。
ステップS513において、仮制御信号生成部241は、攻撃開始時刻と通常制御信号系列とを受け付ける。
ステップS520において、仮制御信号生成部241は、攻撃開始時刻と通常制御信号系列とに基づいて、仮制御信号系列を生成する。
仮制御信号生成処理(S520)の手順について後述する。
仮制御信号生成処理(S520)の手順について後述する。
ステップS514において、仮制御信号生成部241は、仮制御信号系列を出力する。
具体的には、仮制御信号生成部241は、仮制御信号系列に含まれる1つ以上の仮制御信号を時系列順に1つずつ出力する。
具体的には、仮制御信号生成部241は、仮制御信号系列に含まれる1つ以上の仮制御信号を時系列順に1つずつ出力する。
ステップS515において、仮制御信号生成部241は、次の攻撃判定結果を受け付ける。
ステップS516において、仮制御信号生成部241は、次の攻撃判定結果に基づいて攻撃の有無を判定する。
「攻撃有り」と判定された場合、処理はステップS514に進む。
「攻撃無し」と判定された場合、処理は終了する。
「攻撃有り」と判定された場合、処理はステップS514に進む。
「攻撃無し」と判定された場合、処理は終了する。
ステップS517において、仮制御信号生成部241は、仮制御信号系列としてダミー信号系列を出力する。
ダミー信号系列は、1つ以上のダミー値である。ダミー値はどのような値であってもよい。例えば、ダミー値は「0」である。
ステップS417の後、処理は終了する。
ダミー信号系列は、1つ以上のダミー値である。ダミー値はどのような値であってもよい。例えば、ダミー値は「0」である。
ステップS417の後、処理は終了する。
図24に基づいて、仮制御信号生成処理(S520)の手順を説明する。
ステップS521において、仮制御信号生成部241は、受け付けた通常制御信号系列から、攻撃開始時刻以前の通常制御信号系列を抽出する。
抽出される通常制御信号系列を「正常制御信号系列」と称する。
ステップS521において、仮制御信号生成部241は、受け付けた通常制御信号系列から、攻撃開始時刻以前の通常制御信号系列を抽出する。
抽出される通常制御信号系列を「正常制御信号系列」と称する。
ステップS522において、仮制御信号生成部241は、正常制御信号系列に対して予測アルゴリズムを実行する。これにより、予測制御信号系列が生成される。生成される予測制御信号系列が仮制御信号系列である。
予測アルゴリズムは、過去のアクチュエータ制御系列に基づいて未来のアクチュエータ制御信号系列を予測するためのアルゴリズムである。
予測制御信号系列は、正常制御信号系列に基づいて予測された未来のアクチュエータ制御信号系列である。
予測アルゴリズムは、過去のアクチュエータ制御系列に基づいて未来のアクチュエータ制御信号系列を予測するためのアルゴリズムである。
予測制御信号系列は、正常制御信号系列に基づいて予測された未来のアクチュエータ制御信号系列である。
予測アルゴリズムとして、回帰分析が挙げられる。回帰分析は、時系列データ分析としてよく用いられる。
例えば、予測アルゴリズムにより、正常制御信号系列に基づいてARIMAモデルが推定される。そして、ARIMAモデルに基づいて予測制御信号系列が生成される。
例えば、予測アルゴリズムにより、正常制御信号系列に基づいてARIMAモデルが推定される。そして、ARIMAモデルに基づいて予測制御信号系列が生成される。
[第1の方法]においてセンサデータ系列を部分的に利用するのと同様に、仮制御信号生成部241は、通常制御信号系列を部分的に利用してもよい。
ステップS423において、仮制御信号生成部241は、予測データ系列に対して制御アルゴリズムを実行する。これによって生成されるアクチュエータ制御信号系列が仮制御信号系列である。
ステップS423で実行される制御アルゴリズムは、コントローラ113における制御アルゴリズムと同じである。
ステップS423で実行される制御アルゴリズムは、コントローラ113における制御アルゴリズムと同じである。
図20に戻り、仮制御信号生成部241の説明を続ける。
仮制御信号生成部241は、生成した仮制御信号系列を出力する。
仮制御信号生成部241から出力された仮制御信号系列は、制御信号出力部230に入力される。
仮制御信号生成部241は、生成した仮制御信号系列を出力する。
仮制御信号生成部241から出力された仮制御信号系列は、制御信号出力部230に入力される。
図25に基づいて、制御信号出力部230の動作を説明する。
制御信号出力部230には、各時刻に攻撃判定部212から攻撃判定結果が入力される。制御信号出力部230は、入力された攻撃判定結果を受け付ける。
制御信号出力部230には、各時刻にコントローラ113から通常制御信号が入力される。制御信号出力部230は、入力された通常制御信号を受け付ける。
制御信号出力部230には、攻撃打消信号生成部224から攻撃打消信号系列が入力される。制御信号出力部230は、入力された攻撃打消信号系列を受け付ける。
制御信号出力部230には、仮制御信号生成部241から仮制御信号系列が入力される。制御信号出力部230は、入力された仮制御信号系列を受け付ける。
制御信号出力部230には、各時刻に攻撃判定部212から攻撃判定結果が入力される。制御信号出力部230は、入力された攻撃判定結果を受け付ける。
制御信号出力部230には、各時刻にコントローラ113から通常制御信号が入力される。制御信号出力部230は、入力された通常制御信号を受け付ける。
制御信号出力部230には、攻撃打消信号生成部224から攻撃打消信号系列が入力される。制御信号出力部230は、入力された攻撃打消信号系列を受け付ける。
制御信号出力部230には、仮制御信号生成部241から仮制御信号系列が入力される。制御信号出力部230は、入力された仮制御信号系列を受け付ける。
制御信号出力部230は、攻撃判定結果に基づいて、通常制御信号と、攻撃打消信号系列と仮制御信号系列との組とのいずれか一方を選択する。
攻撃判定結果が「攻撃無し」を示す場合、制御信号出力部230は、通常制御信号を選択する。
攻撃判定結果が「攻撃有り」を示す場合、制御信号出力部230は、攻撃打消信号系列と仮制御信号系列との組を選択する。
攻撃判定結果が「攻撃無し」を示す場合、制御信号出力部230は、通常制御信号を選択する。
攻撃判定結果が「攻撃有り」を示す場合、制御信号出力部230は、攻撃打消信号系列と仮制御信号系列との組を選択する。
通常制御信号が選択された場合、制御信号出力部230は、通常制御信号を出力する。制御信号出力部230から出力された通常制御信号は、アクチュエータ111に入力される。
アクチュエータ111は、入力された通常制御信号を受け付け、受け付けた通常制御信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
アクチュエータ111は、入力された通常制御信号を受け付け、受け付けた通常制御信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
攻撃打消信号系列と仮制御信号系列との組が選択された場合、制御信号出力部230は、攻撃打消信号系列を出力した後に仮制御信号系列を出力する。
具体的には、制御信号出力部230は、仮制御信号生成部241からダミー信号が入力されるまで、仮制御信号生成部241から出力される順に各攻撃打消信号を出力する。攻撃打消信号系列の出力が開始されたときから仮制御信号系列の出力が終了するまでの間、制御信号出力部230は、仮制御信号生成部241から出力された順に仮制御信号をバッファに格納する。攻撃打消信号系列の出力が終了した後、制御信号出力部230は、バッファに格納された順に各仮制御信号を出力する。
制御信号出力部230から出力された各攻撃打消信号は、アクチュエータ111に入力される。アクチュエータ111は、入力された各攻撃打消信号を受け付け、受け付けた各攻撃打消信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
制御信号出力部230から出力された各仮制御信号は、アクチュエータ111に入力される。アクチュエータ111は、入力された各仮制御信号を受け付け、受け付けた各仮制御信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
具体的には、制御信号出力部230は、仮制御信号生成部241からダミー信号が入力されるまで、仮制御信号生成部241から出力される順に各攻撃打消信号を出力する。攻撃打消信号系列の出力が開始されたときから仮制御信号系列の出力が終了するまでの間、制御信号出力部230は、仮制御信号生成部241から出力された順に仮制御信号をバッファに格納する。攻撃打消信号系列の出力が終了した後、制御信号出力部230は、バッファに格納された順に各仮制御信号を出力する。
制御信号出力部230から出力された各攻撃打消信号は、アクチュエータ111に入力される。アクチュエータ111は、入力された各攻撃打消信号を受け付け、受け付けた各攻撃打消信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
制御信号出力部230から出力された各仮制御信号は、アクチュエータ111に入力される。アクチュエータ111は、入力された各仮制御信号を受け付け、受け付けた各仮制御信号に従って動作する。これにより、アクチュエータ111は制御対象101に作用し、制御対象101は状態を変化させる。
***実施の形態2の効果***
攻撃の影響から制御対象101を回復させた後にもセンサ112への攻撃が継続する場合、攻撃打消装置200は、仮制御信号によってアクチュエータ111を動作させる。これにより、攻撃によりセンサ112が利用できない状況であっても、制御対象101に対する制御を継続させることが可能である。
攻撃の影響から制御対象101を回復させた後にもセンサ112への攻撃が継続する場合、攻撃打消装置200は、仮制御信号によってアクチュエータ111を動作させる。これにより、攻撃によりセンサ112が利用できない状況であっても、制御対象101に対する制御を継続させることが可能である。
***実施の形態の補足***
図26に基づいて、攻撃打消装置200のハードウェア構成を説明する。
攻撃打消装置200は処理回路209を備える。
処理回路209は、攻撃検知部210と攻撃打消部220と制御信号出力部230と仮制御部240とを実現するハードウェアである。
処理回路209は、専用のハードウェアであってもよいし、メモリ202に格納されるプログラムを実行するプロセッサ201であってもよい。
図26に基づいて、攻撃打消装置200のハードウェア構成を説明する。
攻撃打消装置200は処理回路209を備える。
処理回路209は、攻撃検知部210と攻撃打消部220と制御信号出力部230と仮制御部240とを実現するハードウェアである。
処理回路209は、専用のハードウェアであってもよいし、メモリ202に格納されるプログラムを実行するプロセッサ201であってもよい。
処理回路209が専用のハードウェアである場合、処理回路209は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate Arrayの略称である。
攻撃打消装置200は、処理回路209を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路209の役割を分担する。
ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate Arrayの略称である。
攻撃打消装置200は、処理回路209を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路209の役割を分担する。
攻撃打消装置200において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
このように、処理回路209はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
攻撃打消装置200の要素である「部」は、「回路」、「工程」、「手順」または「処理」に読み替えてもよい。
100 攻撃打消システム、101 制御対象、110 制御システム、111 アクチュエータ、112 センサ、113 コントローラ、200 攻撃打消装置、201 プロセッサ、202 メモリ、203 センサデータ入力インタフェース、204 制御信号入力インタフェース、205 制御信号出力インタフェース、209 処理回路、210 攻撃検知部、211 攻撃スコア算出部、212 攻撃判定部、220 攻撃打消部、221 センサデータ格納部、222 制御信号格納部、223 攻撃開始時刻特定部、224 攻撃打消信号生成部、230 制御信号出力部、240 仮制御部、241 仮制御信号生成部。
Claims (11)
- アクチュエータが作用する制御対象の各時刻の状態を表す各時刻のセンサデータに基づいて、各時刻のセンサデータを出力するセンサへの攻撃が開始された攻撃開始時刻を特定する攻撃開始時刻特定部と、
前記攻撃開始時刻以降のセンサデータ系列と前記攻撃開始時刻以降のアクチュエータ制御信号系列との少なくともいずれかに基づいて、前記制御対象の状態を前記攻撃開始時刻の前の時刻における状態に戻すためのアクチュエータ制御信号系列である攻撃打消信号系列を生成する攻撃打消信号生成部と、
を備える攻撃打消装置。 - 前記攻撃打消信号生成部は、前記攻撃開始時刻以降のセンサデータ系列を、各センサデータ値が基準値に対して反転して且つ時系列における各センサデータ値の順序が逆転した攻撃打消データ系列に変換し、前記攻撃打消データ系列に基づいて前記攻撃打消信号系列を生成する
請求項1に記載の攻撃打消装置。 - 前記攻撃打消信号生成部は、前記攻撃開始時刻以降のアクチュエータ制御信号系列に基づいて前記制御対象の状態を推定し、前記攻撃開始時刻の前の時刻のセンサデータが表す状態から、推定された状態へ、の状態変化量に基づいて前記攻撃打消信号系列を生成する
請求項1に記載の攻撃打消装置。 - 前記攻撃打消信号生成部は、
前記攻撃開始時刻以降のセンサデータ系列を、各センサデータ値が基準値に対して反転して且つ時系列における各センサデータ値の順序が逆転した攻撃打消データ系列に変換し、前記攻撃打消データ系列に基づいて攻撃打消信号系列として第1候補系列を生成し、
前記攻撃開始時刻以降のアクチュエータ制御信号系列に基づいて前記制御対象の状態を推定し、前記攻撃開始時刻の前の時刻のセンサデータが表す状態から、推定された状態へ、の状態変化量に基づいて攻撃打消信号系列として第2候補系列を生成し、
前記第1候補系列と前記第2候補系列とを用いて前記攻撃打消信号を生成する
請求項1に記載の攻撃打消装置。 - 前記攻撃打消装置は、各時刻のセンサデータに基づいて前記センサへの攻撃を検知する攻撃検知部を備え、
前記攻撃開始時刻特定部は、前記攻撃検知部における検知基準よりも低い基準を用いることによって、攻撃検知時刻よりも早い時刻を前記攻撃開始時刻として特定する
請求項1から請求項4のいずれか1項に記載の攻撃打消装置。 - 入力されたセンサデータ系列または入力されたアクチュエータ制御信号系列に基づいて、前記センサへの攻撃が行われない場合の予測のアクチュエータ制御信号系列である仮制御信号系列を生成する仮制御信号生成部を備える
請求項1から請求項5のいずれか1項に記載の攻撃打消装置。 - 前記仮制御信号生成部は、前記攻撃開始時刻以前のセンサデータ系列に基づいて前記攻撃開始時刻以降の予測のセンサデータ系列を生成し、生成した予測のセンサデータ系列に基づいて前記仮制御信号系列を生成する
請求項6に記載の攻撃打消装置。 - 前記仮制御信号生成部は、前記攻撃開始時刻以降のセンサデータ系列から前記アクチュエータの制御に利用できる情報を取り出し、取り出した情報に基づいて前記攻撃開始時刻以降の予測のセンサデータ系列を生成し、生成した予測のセンサデータ系列に基づいて前記仮制御信号系列を生成する
請求項6に記載の攻撃打消装置。 - 前記仮制御信号生成部は、前記攻撃開始時刻以前のアクチュエータ信号系列に基づいて前記仮制御信号系列を生成する
請求項6に記載の攻撃打消装置。 - 攻撃開始時刻特定部が、アクチュエータが作用する制御対象の各時刻の状態を表す各時刻のセンサデータに基づいて、各時刻のセンサデータを出力するセンサへの攻撃が開始された攻撃開始時刻を特定し、
攻撃打消信号生成部が、前記攻撃開始時刻以降のセンサデータ系列と前記攻撃開始時刻以降のアクチュエータ制御信号系列との少なくともいずれかに基づいて、前記制御対象の状態を前記攻撃開始時刻の前の時刻における状態に戻すためのアクチュエータ制御信号系列である攻撃打消信号系列を生成する
攻撃打消方法。 - アクチュエータが作用する制御対象の各時刻の状態を表す各時刻のセンサデータに基づいて、各時刻のセンサデータを出力するセンサへの攻撃が開始された攻撃開始時刻を特定する攻撃開始時刻特定処理と、
前記攻撃開始時刻以降のセンサデータ系列と前記攻撃開始時刻以降のアクチュエータ制御信号系列との少なくともいずれかに基づいて、前記制御対象の状態を前記攻撃開始時刻の前の時刻における状態に戻すためのアクチュエータ制御信号系列である攻撃打消信号系列を生成する攻撃打消信号生成処理と、
をコンピュータに実行させるための攻撃打消プログラム。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020557464A JP6824491B2 (ja) | 2018-11-28 | 2018-11-28 | 攻撃打消装置、攻撃打消方法および攻撃打消プログラム |
DE112018008092.7T DE112018008092B4 (de) | 2018-11-28 | 2018-11-28 | Angriffsabbrucheinrichtung, angriffsabbruchverfahren und angriffsabbruchprogramm |
CN201880098879.4A CN113039411A (zh) | 2018-11-28 | 2018-11-28 | 攻击消除装置、攻击消除方法以及攻击消除程序 |
PCT/JP2018/043814 WO2020110234A1 (ja) | 2018-11-28 | 2018-11-28 | 攻撃打消装置、攻撃打消方法および攻撃打消プログラム |
US17/193,979 US20210194901A1 (en) | 2018-11-28 | 2021-03-05 | Attack canceling device, attack canceling method, and computer readable medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/043814 WO2020110234A1 (ja) | 2018-11-28 | 2018-11-28 | 攻撃打消装置、攻撃打消方法および攻撃打消プログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
US17/193,979 Continuation US20210194901A1 (en) | 2018-11-28 | 2021-03-05 | Attack canceling device, attack canceling method, and computer readable medium |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2020110234A1 true WO2020110234A1 (ja) | 2020-06-04 |
Family
ID=70854209
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2018/043814 WO2020110234A1 (ja) | 2018-11-28 | 2018-11-28 | 攻撃打消装置、攻撃打消方法および攻撃打消プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20210194901A1 (ja) |
JP (1) | JP6824491B2 (ja) |
CN (1) | CN113039411A (ja) |
DE (1) | DE112018008092B4 (ja) |
WO (1) | WO2020110234A1 (ja) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018055748A1 (ja) * | 2016-09-26 | 2018-03-29 | 三菱電機株式会社 | 信号処理装置、信号処理方法及び信号処理プログラム |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5882316A (ja) * | 1981-11-10 | 1983-05-17 | Kubota Ltd | 刈取収穫機の自動刈高さ制御装置 |
JPS5981701A (ja) * | 1982-10-30 | 1984-05-11 | Diesel Kiki Co Ltd | 内燃機関制御装置用信号処理装置 |
JP2503238B2 (ja) * | 1987-10-27 | 1996-06-05 | 日産自動車株式会社 | 能動型サスペンション装置 |
JP2001322557A (ja) * | 2000-05-17 | 2001-11-20 | Toyota Motor Corp | 車両の複数輪独立操舵装置 |
JP2004034769A (ja) * | 2002-07-01 | 2004-02-05 | Ichikoh Ind Ltd | 車両用前照灯システム |
US7441275B2 (en) * | 2003-05-14 | 2008-10-21 | Northrop Grumman Corporation | Real-time recovery of compromised information |
JP4545647B2 (ja) * | 2005-06-17 | 2010-09-15 | 富士通株式会社 | 攻撃検知・防御システム |
FR2943234B1 (fr) * | 2009-03-18 | 2012-09-28 | Imra Europe Sas | Procede de surveillance d'un parametre biologique d'un occupant d'un siege avec reduction de bruit |
CN101848092A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 恶意代码检测方法和装置 |
FR2954550A1 (fr) * | 2009-12-23 | 2011-06-24 | Commissariat Energie Atomique | Procede de protection dans une communication radiofrequence sans contact. |
US8558889B2 (en) * | 2010-04-26 | 2013-10-15 | Sensormatic Electronics, LLC | Method and system for security system tampering detection |
US9102296B2 (en) * | 2013-06-24 | 2015-08-11 | Texas Instruments Incorporated | Relay attack prevention for passive entry/passive start systems |
JP6067195B2 (ja) * | 2014-09-08 | 2017-01-25 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
US9515785B2 (en) * | 2014-12-11 | 2016-12-06 | Huawei Technologies Co., Ltd. | System and method for detecting loss of signal |
US10193906B2 (en) * | 2015-12-09 | 2019-01-29 | Checkpoint Software Technologies Ltd. | Method and system for detecting and remediating polymorphic attacks across an enterprise |
US10104100B1 (en) * | 2016-03-03 | 2018-10-16 | Symantec Corporation | Systems and methods for detecting anomalies that are potentially indicative of malicious attacks |
US10027699B2 (en) | 2016-03-10 | 2018-07-17 | Siemens Aktiengesellschaft | Production process knowledge-based intrusion detection for industrial control systems |
US10372910B2 (en) | 2016-06-20 | 2019-08-06 | Jask Labs Inc. | Method for predicting and characterizing cyber attacks |
US10372569B2 (en) * | 2016-07-25 | 2019-08-06 | General Electric Company | Methods and system for detecting false data injection attacks |
CN106372505B (zh) * | 2016-08-23 | 2018-12-28 | 北京航空航天大学 | 一种针对嵌入式系统代码攻击的快速恢复方法 |
JP2018031744A (ja) * | 2016-08-26 | 2018-03-01 | 富士通株式会社 | 欺瞞検知プログラム、欺瞞検知方法及び欺瞞検知装置 |
JP6565866B2 (ja) * | 2016-10-27 | 2019-08-28 | 株式会社デンソー | 不正防止装置及び不正防止ユニット |
CN111641585B (zh) * | 2016-12-29 | 2023-11-10 | 华为技术有限公司 | 一种DDoS攻击检测方法及设备 |
CN106899435B (zh) * | 2017-02-21 | 2019-10-29 | 浙江大学城市学院 | 一种面向无线入侵检测系统的复杂攻击识别方法 |
US10771495B2 (en) * | 2017-03-02 | 2020-09-08 | General Electric Company | Cyber-attack detection and neutralization |
CN106899978B (zh) * | 2017-03-16 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 一种无线网络攻击定位方法 |
WO2018175603A1 (en) * | 2017-03-21 | 2018-09-27 | Sri International | Robust biometric access control using physiological-informed multi-signal correlation |
RU2649290C1 (ru) * | 2017-04-28 | 2018-03-30 | Акционерное общество "Лаборатория Касперского" | Система и способ фильтрации трафика при обнаружении DDoS-атаки |
CN107167037B (zh) * | 2017-06-08 | 2018-08-21 | 电子科技大学 | 一种基于声波攻击的集中控制反无人机系统 |
CN107872449B (zh) * | 2017-09-21 | 2020-04-21 | 南京邮电大学 | 一种基于预测控制的拒绝服务攻击防御方法 |
CN108628331A (zh) * | 2018-05-09 | 2018-10-09 | 北京航空航天大学 | 一种空间对抗环境下传感器受攻击的航天器姿控方法 |
US11601442B2 (en) * | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
-
2018
- 2018-11-28 WO PCT/JP2018/043814 patent/WO2020110234A1/ja active Application Filing
- 2018-11-28 DE DE112018008092.7T patent/DE112018008092B4/de active Active
- 2018-11-28 CN CN201880098879.4A patent/CN113039411A/zh active Pending
- 2018-11-28 JP JP2020557464A patent/JP6824491B2/ja active Active
-
2021
- 2021-03-05 US US17/193,979 patent/US20210194901A1/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018055748A1 (ja) * | 2016-09-26 | 2018-03-29 | 三菱電機株式会社 | 信号処理装置、信号処理方法及び信号処理プログラム |
Non-Patent Citations (1)
Title |
---|
SUGAWARA, TAKESHI ET AL.: "Safety evaluation for sensor impersonation attack of inertial measurement unit with sensor fusion", PROCEEDINGS OF 2017 SYMPOSIUM ON CRYPTOGRAPHY AND INFORMATION SECURITY, 27 January 2017 (2017-01-27), pages 1 - 6 * |
Also Published As
Publication number | Publication date |
---|---|
JPWO2020110234A1 (ja) | 2021-02-15 |
CN113039411A (zh) | 2021-06-25 |
DE112018008092B4 (de) | 2022-10-13 |
JP6824491B2 (ja) | 2021-02-03 |
US20210194901A1 (en) | 2021-06-24 |
DE112018008092T5 (de) | 2021-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI384356B (zh) | 用於驗證電腦系統之方法與系統 | |
TWI685739B (zh) | 處理故障注入攻擊的安全系統和方法 | |
EP3182067A1 (en) | Method and apparatus for determining spacecraft attitude by tracking stars | |
KR20150059564A (ko) | 전자 장치의 무결성 검증을 위한 방법, 저장 매체 및 전자 장치 | |
JP6438579B2 (ja) | 所望のターゲットを判定するための装置及び方法 | |
RU2527738C1 (ru) | Способ обезвреживания вредоносных программ, блокирующих работу пк, с использованием отдельного устройства для активации пользователем процедуры противодействия вредоносному программному обеспечению | |
JP6746037B2 (ja) | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 | |
JP6629139B2 (ja) | 制御装置、制御方法およびプログラム | |
EP3563282A1 (en) | Detecting execution of modified executable code | |
US20200314130A1 (en) | Attack detection device, attack detection method, and computer readable medium | |
CN113508381B (zh) | 用于嵌入式软件应用的基于机器学习的异常检测 | |
CN109684944B (zh) | 障碍物检测方法、装置、计算机设备和存储介质 | |
Fang et al. | Backdoor attacks on the DNN interpretation system | |
WO2020110234A1 (ja) | 攻撃打消装置、攻撃打消方法および攻撃打消プログラム | |
Le et al. | A real-time cache side-channel attack detection system on RISC-V out-of-order processor | |
KR102100328B1 (ko) | 공격검출장치 및 방법 | |
KR20160035661A (ko) | 블랙 박스에서 충격 감지 센서에 의해 감지된 잘못된 사고 영상을 구분하는 방법 | |
Shariati et al. | Oversampling in virtual visual sensors as a means to recover higher modes of vibration | |
KR101566409B1 (ko) | 프로그램 데이터 공격 검출방법 | |
JP6671557B2 (ja) | アラート頻度制御装置およびアラート頻度制御プログラム | |
Walker et al. | Ohana Means Family: Malware Family Classification using Extreme Learning Machines | |
US11836048B2 (en) | Information processing apparatus | |
WO2017047085A1 (ja) | 操作制御装置、操作制御方法及び記憶媒体 | |
US10445500B2 (en) | Reset attack detection | |
EP3706023A1 (en) | Runtime validation of internet of things devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 18941119 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2020557464 Country of ref document: JP Kind code of ref document: A |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 18941119 Country of ref document: EP Kind code of ref document: A1 |