WO2023101148A1 - Can 트래픽 모니터링을 이용한 공격 ecu 탐지 방법 및 장치 - Google Patents

Abstract

본 개시의 일 실시예에 따른, 적어도 하나의 프로세서에 의해 수행되는 CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법은, 프로세서와 연관된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송되는 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시키는 단계, 공격 ECU의 에러 패시브 상태가 유지되는 동안, 복수의 ECU 중 임의의 ECU에 할당된 적어도 하나의 식별자 중 우선 순위가 가장 높은 최우선 식별자를 포함하는 패킷에 대하여 복수의 충돌을 발생시키는 단계 및 복수의 충돌에 의해 CAN 버스로 전송된 복수의 에러 프레임 각각의 사이에 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재하는 경우, 임의의 ECU가 에러 패시브 상태로 전환된 공격 ECU인 것으로 결정하는 단계를 포함할 수 있다.

Description

CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법 및 장치

본 개시는 CAN(Controller Area Network) 트래픽 모니터링 방법에 관한 것으로, 보다 상세하게는 CAN의 오류 처리 메커니즘을 활용하여 공격 ECU(Electronic Control Unit)를 탐지하기 위한 CAN 트래픽 모니터링 방법, 시스템 및 장치에 관한 것이다.

본 발명은 과학기술정보통신부의 정보보호글로벌선도 기술개발(R&D) (과제고유번호: 1711126297, 세부과제번호: 2021-0-00111-001, 연구과제명: AI 기술을 활용한 자율주행 자동차 사이버 공격 및 방어 기술 연구)의 일환으로 수행한 연구로부터 도출된 것이다. 한편, 본 발명의 모든 측면에서 한국 정부의 재산 이익은 없다.

CAN(Controller Area Network) 은 대표적인 차량용 네트워크이며, 버스 형태 네트워크 토폴로지로 구성된 프로토콜이다. CAN은 배선 비용이 적고 무게가 가볍다는 등의 장점으로 인해, 1993년에 ISO에서 국제 표준 규격(ISO 11898)으로 제정되었다.

CAN은 브로드 캐스트 통신 방식을 사용하는데 보안 기법이 적용되지 않아 패킷 삽입 공격에 취약하다는 단점이 존재한다. 최근 차량에서 제공하는 기술과 외부와의 통신이 증가함에 따라 차량 내부 네트워크에 대한 공격 사례가 많이 발생하고 있다. 최근 차량에서 제공하는 기술과 외부와의 통신이 증가하게 되어 차량 내부 네트워크에 대한 보안 위협이 증가하였다. 이에 따라 차량 공격에 대처하기 위해 많은 보안 솔루션들이 제안되고 있다.

상술한 바와 같은 과제를 해결하기 위해 본 개시에서는 CAN의 오류 처리 메커니즘을 활용하여 공격 ECU를 탐지하기 위한 CAN 트래픽 모니터링 방법, 시스템 및 장치가 제공된다.

본 개시의 일 실시예에 따른, 적어도 하나의 프로세서에 의해 수행되는 CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법은, 프로세서와 연관된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송되는 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시키는 단계, 공격 ECU의 에러 패시브 상태가 유지되는 동안, 복수의 ECU 중 임의의 ECU에 할당된 적어도 하나의 식별자 중 우선 순위가 가장 높은 최우선 식별자를 포함하는 패킷에 대하여 복수의 충돌을 발생시키는 단계 및 복수의 충돌에 의해 CAN 버스로 전송된 복수의 에러 프레임 각각의 사이에 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재하는 경우, 임의의 ECU가 에러 패시브 상태로 전환된 공격 ECU인 것으로 결정하는 단계를 포함할 수 있다.

일 실시예에 따르면, 우선 순위가 낮은 식별자를 포함하는 패킷은 복수의 ECU 중 임의의 ECU가 아닌 다른 ECU에 의하여 CAN 버스로 전송된 패킷을 포함할 수 있다.

일 실시예에 따르면, 우선 순위가 낮은 식별자를 포함하는 패킷은 백그라운드 트래픽을 포함할 수 있다.

일 실시예에 따르면, 복수의 충돌에 의해 CAN 버스로 전송된 복수의 에러 프레임 각각의 사이에 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재하는 경우, 임의의 ECU가 공격 ECU인 것으로 결정하는 단계는, 복수의 에러 프레임 각각의 사이에 존재하는 우선 순위가 낮은 식별자를 포함하는 패킷을 탐지하는 단계, 탐지한 결과를 기초로 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재할 확률을 산출하는 단계 및 산출된 확률을 기초로, 임의의 ECU가 공격 ECU인 것으로 결정하는 단계를 포함할 수 있다.

일 실시예에 따르면, 프로세서와 연결된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송된 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시키는 단계는, 프로세서와 연결된 복수의 ECU에 할당된 복수의 식별자와 연관된 데이터를 획득하는 단계, 획득된 데이터를 기초로 공격 식별자를 식별하는 단계 및 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시키는 단계를 포함할 수 있다.

일 실시예에 따르면, 할당된 복수의 식별자 사이의 우선 순위는 사전 결정될 수 있다.

일 실시예에 따르면, 프로세서와 연결된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송된 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시키는 단계는, 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시키는 단계, 충돌에 의해 공격 식별자를 포함하는 패킷의 전송이 실패할 때 마다 공격 ECU에 포함된 레지스터의 카운트 값을 변환하는 단계 및 변환된 카운트 값과 기준 카운트 값을 비교한 결과를 기초로 공격 ECU를 에러 패시브 상태로 전환시키는 단계를 포함할 수 있다.

일 실시예에 따르면, 에러 패시브 상태로 전환된 공격 ECU가 연속적으로 임의의 제1 패킷 및 제2 패킷을 전송하는 경우, 제1 패킷을 전송한 공격 ECU는 일정 시간동안 패킷의 전송을 중단한 후 제2 패킷을 전송하도록 구성될 수 있다.

일 실시예에 따르면, 우선 순위가 낮은 식별자를 포함하는 패킷은 공격 ECU가 패킷의 전송을 중단하는 일정 시간 내에 CAN 버스로 전송될 패킷으로 결정될 수 있다.

본 개시의 다른 실시예에 따르면, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법을 실행시키도록 컴퓨터로 판독 가능한 기록 매체에 기록된 컴퓨터 프로그램이 제공될 수 있다.

본 개시의 또 다른 실시예에 따르면, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 장치는, 적어도 하나의 프로세서를 포함하고, 적어도 하나의 프로세서는 프로세서와 연결된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송되는 공격 식별자를 포함하는 패킷에 대하여 적어도 한번 이상의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시키고, 공격 ECU의 에러 패시브 상태가 유지되는 동안, 복수의 ECU 중 임의의 ECU에 할당된 적어도 하나의 식별자 중 우선 순위가 가장 높은 최우선 식별자를 포함하는 패킷에 대하여 복수의 충돌을 발생시키고, 복수의 충돌에 의해 CAN 버스로 전송된 복수의 에러 프레임 각각의 사이에 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재하는 경우, 임의의 ECU가 에러 패시브 상태로 전환된 공격 ECU인 것으로 결정하기 위한 명령어들을 실행시키도록 구성될 수 있다.

본 개시의 일부 실시예에 따르면, CAN의 오류 처리 메커니즘을 활용하여 공격 ECU를 쉽게 탐지할 수 있다.

본 개시의 일부 실시예에 따르면, CAN의 오류 처리 메커니즘을 활용하여 공격 ECU를 탐지함으로써 보안 기법이 적용되지 않아 패킷 삽입 공격에 취약하다는 CAN의 단점을 보완할 수 있다.

본 개시의 일부 실시예에 따르면, 최근 차량에서 제공하는 기술과 외부와의 통신이 증가함에 따라 빈번하게 발생하는 차량 내부 네트워크에 대한 공격을 탐지함으로써, CAN의 보안성을 향상시킬 수 있다.

도 1은 본 개시의 일 실시예에 따른 CAN(Controller Area Network) 시스템의 예시를 나타낸다.

도 2는 본 개시의 일 실시예에 따른 CAN의 버스 점유 방식을 설명하기 위한 예시이다.

도 3은 본 개시의 일 실시예에 따른 CAN의 오류 처리 메커니즘을 나타내는 예시이다.

도 4는 본 개시의 일 실시예에 따른 공격 ECU를 탐지하기 위한 CAN 시스템의 예시를 나타낸다.

도 5a 및 5b는 본 개시의 일 실시예에 따른 복수의 노드가 전송하는 데이터에 각각 5회의 연속적인 충돌을 발생시킨 예시를 나타낸다.

도 6은 본 개시의 일 실시예에 따라 실험실 환경에서 에러 패시브 상태의 ECU에 (n*30)회 발생시킨 경우 우선 순위 감소 현상의 발생 확률을 측정한 예시를 나타낸다.

도 7은 본 개시의 일 실시예에 따라 실제 차량 환경 실험에서 에러 패시브 상태의 ECU에 (n*30)회 발생시킨 경우 우선 순위 감소 현상의 발생 확률을 측정한 예시를 나타낸다.

도 8은 본 개시의 일 실시예에 따른 CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법의 예시를 나타낸다.

이하, 본 개시의 실시를 위한 구체적인 내용을 첨부된 도면을 참조하여 상세히 설명한다. 다만, 이하의 설명에서는 본 개시의 요지를 불필요하게 흐릴 우려가 있는 경우, 널리 알려진 기능이나 구성에 관한 구체적 설명은 생략하기로 한다.

첨부된 도면에서, 동일하거나 대응하는 구성요소에는 동일한 참조부호가 부여되어 있다. 또한, 이하의 실시예들의 설명에 있어서, 동일하거나 대응되는 구성요소를 중복하여 기술하는 것이 생략될 수 있다. 그러나 구성요소에 관한 기술이 생략되어도, 그러한 구성요소가 어떤 실시예에 포함되지 않는 것으로 의도되지는 않는다.

개시된 실시예의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시가 완전하도록 하고, 본 개시가 통상의 기술자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것일 뿐이다.

본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 개시된 실시예에 대해 구체적으로 설명하기로 한다. 본 명세서에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 관련 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다.

본 명세서에서의 단수의 표현은 문맥상 명백하게 단수인 것으로 특정하지 않는 한, 복수의 표현을 포함한다. 또한, 복수의 표현은 문맥상 명백하게 복수인 것으로 특정하지 않는 한, 단수의 표현을 포함한다. 명세서 전체에서 어떤 부분이 어떤 구성요소를 '포함'한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다.

또한, 명세서에서 사용되는 '모듈' 또는 '부'라는 용어는 소프트웨어 또는 하드웨어 구성요소를 의미하며, '모듈' 또는 '부'는 어떤 역할들을 수행한다. 그렇지만 '모듈' 또는 '부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '모듈' 또는 '부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '모듈' 또는 '부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 또는 변수들 중 적어도 하나를 포함할 수 있다. 구성요소들과 '모듈' 또는 '부'들은 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '모듈' 또는 '부'들로 결합되거나 추가적인 구성요소들과 '모듈' 또는 '부'들로 더 분리될 수 있다.

본 개시의 일 실시예에 따르면 '모듈' 또는 '부'는 프로세서 및 메모리로 구현될 수 있다. '프로세서'는 범용 프로세서, 중앙 처리 장치(CPU), 마이크로프로세서, 디지털 신호 프로세서(DSP), 제어기, 마이크로제어기, 상태 머신 등을 포함하도록 넓게 해석되어야 한다. 몇몇 환경에서는, '프로세서'는 주문형 반도체(ASIC), 프로그램 가능 로직 디바이스(PLD), 필드 프로그램가능 게이트 어레이(FPGA) 등을 지칭할 수도 있다. '프로세서'는, 예를 들어, DSP와 마이크로프로세서의 조합, 복수의 마이크로프로세서들의 조합, DSP 코어와 결합한 하나 이상의 마이크로프로세서들의 조합, 또는 임의의 다른 그러한 구성들의 조합과 같은 처리 디바이스들의 조합을 지칭할 수도 있다. 또한, '메모리'는 전자 정보를 저장 가능한 임의의 전자 컴포넌트를 포함하도록 넓게 해석되어야 한다. '메모리'는 임의 액세스 메모리(RAM), 판독-전용 메모리(ROM), 비-휘발성 임의 액세스 메모리(NVRAM), 프로그램가능 판독-전용 메모리(PROM), 소거-프로그램가능 판독 전용 메모리(EPROM), 전기적으로 소거가능 PROM(EEPROM), 플래쉬 메모리, 자기 또는 광학 데이터 저장장치, 레지스터들 등과 같은 프로세서-판독가능 매체의 다양한 유형들을 지칭할 수도 있다. 프로세서가 메모리로부터 정보를 판독하고/하거나 메모리에 정보를 기록할 수 있다면 메모리는 프로세서와 전자 통신 상태에 있다고 불린다. 프로세서에 집적된 메모리는 프로세서와 전자 통신 상태에 있다.

도 1은 본 개시의 일 실시예에 따른 CAN(Controller Area Network) 시스템(100)의 예시를 나타낸다. 여기서, CAN 시스템(100)은 차량 내에서 호스트 컴퓨팅 장치 없이 마이크로 컨트롤러 및/또는 장치들(즉, ECU(Electronic Control Unit))이 서로 통신하기 위해 설계된 네트워크 시스템을 지칭할 수 있다. 또한, CAN 시스템(100)은 배선 비용이 적고 무게가 가볍다는 등의 장점으로 인해 국제 표준 규격(ISO 11898)으로 제정된, 버스(Bus) 형태의 네트워크 토폴로지로 구성된 프로토콜을 지칭할 수 있다. 도시된 바와 같이, CAN 시스템(100)은 CAN 버스(110) 및 복수의 ECU(120 내지 170)를 포함할 수 있다. 한편, CAN 시스템(100)은 프로그램 및/또는 명령어(들)로 구현되어 적어도 하나의 프로세서에 의해 수행될 수 있다.

일 실시예에 따르면, CAN 버스(110)는 복수의 ECU(120 내지 170) 각각에 연결될 수 있다. 구체적으로, CAN 버스(110)는 복수의 ECU(120 내지 170) 각각에 연결되어, 복수의 ECU(120 내지 170) 사이의 통신 경로를 제공할 수 있다. 예를 들어, CAN 버스(110)는 제1 ECU(120)로부터 데이터(또는, 패킷)를 수신할 수 있다. 이에 따라, 수신된 데이터는 CAN 버스(110)를 점유할 수 있다. 그리고 나서, CAN 버스(110)는 CAN 버스(110)를 점유중인 데이터를 도착지로 전송할 수 있다.

일 실시예에 따르면, 복수의 ECU(120 내지 170) 각각에는 적어도 하나의 식별자가 할당될 수 있다. 이 경우, 할당된 식별자는 복수의 ECU(120 내지 170) 각각이 전송하는 데이터(또는, 패킷)의 일부에 표시될 수 있다. 한편, 공격 CAN 시스템(100)은 복수의 ECU(120 내지 170) 각각에 할당된 식별자들(또는, 식별자 집합)에 대한 데이터를 획득/추론할 수 있다. 이에 따라, 공격 CAN 시스템(100)은 획득/추론된 식별자들에 대한 데이터를 이용하여 복수의 ECU(120 내지 170)에 사전 할당되지 않은 공격 식별자(즉, 공격 ECU가 이용하는 식별자)를 식별할 수 있다. 이를 위해, CAN 시스템(100)은 CAN-bus mapper를 이용할 수 있으나, 이에 한정되지 않고 공격 식별자를 식별하기 위한 모든 종래 기술이 이용될 수 있다.

일 실시예에 따르면, CAN 시스템(100)은 복수의 ECU(120 내지 170) 중 공격 ECU에 의해 전송된 데이터(또는, 패킷)을 탐지할 수 있다. 이를 위해, CAN 시스템(100)은 ECU의 Clock skew 및/또는 CAN packet 주기 등의 특성을 기초로 공격 ECU를 탐지하는 기술인 IDS(Intrusion Detection System)을 이용할 수 있으나, 이에 한정되지 않고 공격 ECU에 의해 전송된 데이터를 탐지하는 종래의 모든 기술이 이용될 수 있다.

일 실시예에 따르면, 복수의 ECU(120 내지 170) 각각은 주기적으로 CAN 버스(110)에 데이터(또는, 패킷)를 전송할 수 있다. 예를 들어, 제1 ECU(120)는 제1 데이터를 제1 시간 간격마다 CAN 버스(110)에 전송할 수 있다. 다른 예를 들어, 제2 ECU(130)는 제2 데이터를 제2 시간 간격마다 CAN 버스(110)에 전송할 수 있다. 추가적으로, 복수의 ECU(120 내지 170) 각각은 연속적으로 CAN 버스(110)에 데이터(또는, 패킷)를 전송할 수 있다. 예를 들어, 제1 ECU(120)는 사전에 결정된 순서에 따라 CAN 버스(110)에 제1-1 데이터, 제1-2 데이터 및 제1-3 데이터를 연이어 전송할 수 있다.

일 실시예에 따르면, 복수의 ECU(120 내지 170)는 병렬적으로 데이터를 CAN 버스(110)에 전송할 수 있다. 예를 들어, 제1 ECU(120) 및 제2 ECU(130)는 각각 데이터를 CAN 버스(110)에 전송할 수 있다. 즉, 복수의 ECU(120 내지 170) 각각은 동일/유사한 시점에 CAN 버스(110)에 데이터를 전송하는 것을 시도할 수 있다. 이 경우, CAN 시스템(100)은 복수의 ECU(120 내지 170) 각각에 할당된 하나 이상의 식별자(ID; Identification)의 사전 결정된 우선 순위를 기초로 CAN 버스(110)를 우선 점유할 데이터를 결정할 수 있다.

상술한 바와 같이 동시에 여러 ECU에서 CAN 버스(110)에 데이터를 전송하더라도, 우선 순위를 결정하는 시스템(100) 내부의 알고리즘에 따라 우선 순위가 높은 식별자를 갖는 데이터부터 CAN 버스(110)를 점유하게 된다. 다만, 시스템(100)에 적용되는 데이터 전송 오류를 처리하는 알고리즘에 의해, 우선 순위가 낮은 식별자를 갖는 데이터가 우선 순위가 높은 식별자를 갖는 데이터보다 먼저 CAN 버스(110)를 점유하는 우선 순위 감소 현상이 발생할 수 있다. 본 개시에서는 이러한 오류 처리 알고리즘을 이용하여 모니터링 ECU(170)를 통해 공격 ECU(120)를 추적하는 방법을 제안하며, 도 2 내지 8에서 이 방법에 대한 설명이 상세히 후술된다.

도 2는 본 개시의 일 실시예에 따른 CAN의 버스 점유 방식을 설명하기 위한 예시이다. CAN의 버스 점유 방식은 ECU(예: ECU(120 내지 170))가 전송하는 데이터(또는, 패킷)(200)의 중재 영역(Arbitration Field)(210)을 통해 이루어질 수 있다. 예를 들어, 데이터(또는, 패킷)(200)의 중재 영역(210)의 비트(bit)와 다른 데이터(미도시)의 중재 영역의 비트에 대하여 Bitwise Arbitration 연산을 수행함으로써, 데이터(또는, 패킷)(200)의 우선 순위(즉, 해당 데이터의 식별자의 우선 순위)가 결정될 수 있다.

도 3은 본 개시의 일 실시예에 따른 CAN의 오류 처리 메커니즘(300)을 나타내는 예시이다. 일 실시예에 따르면, ECU(예: ECU(120 내지 170)) 각각은 레지스터를 포함할 수 있다. 예를 들어, ECU는 해당 ECU의 데이터(또는, 패킷) 전송 실패를 카운트하기 위한 TEC(Transmission Error Counter) 레지스터 및/또는 해당 ECU의 데이터 수신 실패를 카운트하기 위한 REC(Receive Error Counter) 레지스터를 포함할 수 있다.

일 실시예에 따르면, ECU가 데이터 전송에 실패한 경우, 데이터 전송 실패를 나타내는 에러 프레임(Error Frame)을 전송할 수 있다. 예를 들어, ECU가 전송하는 데이터에 충돌(collision)이 발생하면, 해당 ECU는 데이터 전송 실패를 나타내는 에러 프레임을 CAN 버스(예: CAN 버스(110))에 전송할 수 있다. 이와 동시에, 해당 ECU의 TEC 레지스터의 값은 8만큼 증가하고, 해당 ECU로부터 데이터를 수신하려던 ECU의 REC 레지스터의 값은 1만큼 증가할 수 있다. 다른 실시예에 따르면, ECU가 데이터 전송에 성공한 경우, 해당 ECU의 TEC 레지스터 및 해당 ECU로부터 데이터를 수신한 ECU의 REC 레지스터의 값은 1만큼 감소할 수 있다. 이와 같이, ECU의 데이터 전송 또는 실패에 따라 변경되는 TEC 레지스터 및/또는 REC 레지스터의 값을 기초로, 해당 ECU의 에러 상태는 에러 액티브(Error Active) 상태(310), 에러 패시브(Error Passive)상태(320) 또는 버스 오프(Bus Off) 상태(330)로 결정될 수 있다. 일반적으로, ECU의 에러 상태는 에러 액티브 상태(310)로 유지될 수 있다. ECU의 에러 상태가 에러 액티브 상태(310)인 때, 해당 ECU는 별도의 대기 시간(Suspend Transmission) 없이 주기적/연속적으로 데이터를 전송할 수 있다. 반면, ECU의 에러 상태가 에러 패시브 상태(320)인 경우, ECU는 연속적으로 데이터를 전송할 때마다 대기 시간을 갖도록 구성되고, 버스 오프 상태(330)인 경우, 데이터를 전송을 중단하고 의무적인 대기 시간을 갖거나 ECU 하드웨어의 재설정을 통해 에러 액티브 상태(310)로 돌아갈 수 있다.

도 4는 본 개시의 일 실시예에 따른 공격 ECU를 탐지하기 위한 CAN 시스템(400)의 예시를 나타낸다. 도시된 바와 같이 CAN 시스템(400)은 CAN 버스(410), 복수의 ECU(420 내지 460) 및 모니터링 ECU(470)를 포함할 수 있다. 또한, 모니터링 ECU(470)는 에러 모듈(472) 및 모니터링 모듈(474)을 포함할 수 있다. 이와 같은 CAN 시스템(400)은 공격 데이터(즉, 공격 ECU(430)에 의해 전송되는 데이터)가 탐지되었을 때, 공격 ECU(430)를 식별하기 위하여 구동될 수 있다. 여기서, 공격 데이터는 도 1에서 상술한 바와 같이 복수의 ECU(420 내지 460)에 할당되지 않은 식별자를 갖는 데이터를 지칭할 수 있다. 한편, CAN 시스템(400)은 프로그램 및/또는 명령어(들)로 구현되어 적어도 하나의 프로세서에 의해 수행될 수 있다.

일 실시예에 따르면, CAN 시스템(400)은 공격 데이터(또는, 공격 패킷)이 탐지되었을 때, 공격 데이터에 대하여 적어도 한번의 충돌을 발생시켜 해당 공격 데이터의 전송을 의도적으로 실패시킬 수 있다. 이에 따라, 공격 ECU(430)는 오류 처리 메커니즘(예: 오류 처리 메커니즘(300))에 따라 특정 시점에서 에러 패시브 상태로 전환될 수 있다.

일 실시예에 따르면, 모니터링 ECU(470)는 공격 ECU(430)의 에러 패시브 상태가 유지되는 동안, 복수의 ECU(420 내지 460) 각각에 할당된 식별자(들) 중 우선 순위가 가장 높은 식별자를 선택할 수 있다. 그리고 나서, 에러 모듈(472)은 복수의 ECU(420 내지 460) 각각의 우선 순위가 가장 높은 최우선 식별자를 갖는 데이터에 n(여기서, n은 2 이상의 자연수)번의 연속적인 충돌을 발생시킬 수 있다. 예를 들어, 에러 모듈(472)은 제1 ECU(420), 제2 ECU(440), 제3 ECU(450) 및 제4 ECU(460) 각각에 할당된 최우선 식별자를 갖는 데이터에 각각 n번의 연속적인 충돌을 발생시키고, 공격 ECU(430)의 최우선 식별자를 갖는 데이터에 n번의 연속적인 충돌을 발생시킬 수 있다. 이에 따라, 복수의 ECU(420 내지 460) 각각에서는 n번의 연속적인 충돌에 의한 (최대) n번의 데이터 전송 실패가 발생하고, 이에 따라 복수의 ECU(420 내지 460) 각각은 최대 n개의 연속적인 에러 프레임을 CAN 버스(410)에 전송할 수 있다.

일 실시예에 따르면, 모니터링 모듈(474)은 n번의 연속적인 충돌에 따라 발생한 연속적인 에러 프레임을 모니터링할 수 있다. 이 과정에서, 도 2에서 상술한 ECU의 에러 상태가 고려될 수 있다. 구체적으로, ECU의 에러 상태가 에러 액티브 상태인 때, ECU는 별도의 대기 시간(Suspend Transmission) 없이 주기적/연속적으로 데이터를 전송하고, ECU의 에러 상태가 에러 패시브 상태인 때, ECU는 연속적으로 데이터를 전송할 때마다 대기 시간을 갖도록 구성되는 점이 고려될 수 있다.

도 5a 및 5b는 본 개시의 일 실시예에 따른 복수의 노드(510 내지 560)가 전송하는 데이터에 각각 5회(즉, n=5)의 연속적인 충돌을 발생시킨 예시를 나타낸다. 도 5a 및 5b에서 각 노드(510 내지 560)에는 시간의 경과에 따라 연속적으로 관측되는 데이터들(ID_HP, ID_LP 또는 Error Frame)이 표시되어 있다. 여기서, 도 5a는 에러 액티브 상태인 제1 타겟 노드(Target Node)(510)에서 모니터링 ECU(미도시)에 의한 5회의 연속적 충돌을 발생된 예시이다. 한편, 본 개시에서 사용되는 '노드(node)'는 I/O 디바이스, CAN 인터페이스, 임베디드 컴퓨터 등과 같이 네트워크를 구성하는 '모듈'로 해석될 수 있다. 따라서, 본 개시의 '노드'는 'ECU'로 대체되어 동일하게 해석될 수 있다.

일 실시예에 따르면, 에러 액티브 상태인 제1 타겟 노드(510)는 최우선 식별자를 갖는 제1 데이터(ID_HP)의 제1 전송(512)을 개시할 수 있다. 이 경우, 모니터링 ECU(미도시)의 제1 데이터(ID_HP)에 대한 첫번째 충돌로 인해, 제1 데이터(ID_HP)의 제1 전송(512)은 실패하게 된다. 그리고 나서, 제1 타겟 노드(510)는 CAN 버스(530)에 제1 데이터(ID_HP)의 제1 전송(512) 실패에 따른 에러 프레임(Error Frame)의 제1 전송(532)을 수행할 수 있다.

일 실시예에 따르면, 제1 데이터(ID_HP)의 제1 전송(512)에 실패한 에러 액티브 상태의 제1 타겟 노드(510)는 일정한 시간(즉, 주기)가 경과한 후 제1 데이터(ID_HP)의 제2 전송(514)을 개시할 수 있다. 이 경우에도, 모니터링 ECU의 제1 데이터(ID_HP)에 대한 두번째 충돌로 인해, 제1 데이터(ID_HP)의 제2 전송(514)은 실패하게 된다. 그리고 나서, 제1 타겟 노드(510)는 다시 일정한 시간이 경과한 후 제1 데이터(ID_HP)의 제3 전송(516)을 개시할 수 있다. 이 때, 다른 노드(520)는 제1 데이터(ID_HP)의 최우선 식별자보다 우선 순위가 낮은 제2 데이터(ID_LP)의 제4 전송(522)을 개시할 수 있다. 즉, 제1 데이터(ID_HP)의 제3 전송(516)과 제2 데이터(ID_LP)의 제4 전송(522)이 동일/유사한 시점에 개시될 수 있다.

한편, 도 1에서 상술한 바와 같이, 시스템(예: CAN 시스템(100), CAN 시스템(400))은 동일/유사한 시점에 병렬적으로 발생하는 복수의 데이터의 전송을 해당 복수의 데이터 각각의 식별자들 사이의 우선 순위를 기초로 처리할 수 있다. 이에 따라, 시스템은 동일/유사한 시점에 발생한 제1 데이터(ID_HP)의 제3 전송(516)과 제2 데이터(ID_LP)의 제4 전송(522) 중 우선 순위가 높은 식별자를 갖는 데이터의 전송인 제3 전송(516)을 우선적으로 처리할 수 있다. 그러나, 모니터링 ECU의 세번째 충돌로 인해 제1 데이터(ID_HP)의 제3 전송(516) 또한 실패하고, 에러 액티브 상태인 제1 타겟 노드(510)는 CAN 버스(530)에 제1 데이터(ID_HP)의 제3 전송(516) 실패에 따른 에러 프레임(Error Frame)의 제3 전송(534)을 수행하게 된다.

상술한 과정을 거쳐 5회의 제1 데이터(ID_HP)의 전송과 5회의 충돌이 종료되면, 도시된 바와 같이 CAN 버스(530)는 5회의 제1 데이터(ID_HP) 전송 실패로 인한 5개의 에러 프레임을 수신할 수 있다. 그리고 나서, 시스템은 아직 전송되지 않은 제2 데이터(ID_LP)의 제4 전송(522)을 처리함으로써, 제2 데이터(ID_LP)의 수신(562)을 완료할 수 있다. 한편, 제2 데이터(ID_LP)는 제1 데이터(ID_HP)를 전송하는 제1 타겟 노드(510)와 상이한 다른 노드(Other Nodes)(520)가 전송하는 데이터를 지칭할 수 있다. 또한, 제2 데이터(ID_LP)는 시스템(예: CAN 시스템(100), CAN 시스템(400)) 내에 존재하는 백그라운드 트래픽(background traffic)을 지칭할 수 있다.

도 5b는 에러 패시브 상태의 제2 타겟 노드(Target Node)(540)에서 모니터링 ECU(미도시)에 의한 5회의 연속적 충돌이 발생된 예시이다.

일 실시예에 따르면, 에러 패시브 상태의 제2 타겟 노드(540)는 최우선 식별자를 갖는 제3 데이터(ID_HP)의 전송을 개시할 수 있다. 그러나, 5 회의 제3 데이터(ID_HP) 전송은 모니터링 ECU의 5회의 충돌로 인해 실패하게 된다. 다만, 제2 타겟 노드(540)는 에러 패시브 상태이므로, 제3 데이터(ID_HP) 및 에러 프레임을 전송한 후, 대기 시간(542 내지 548)을 가진 후 제3 데이터(ID_HP) 및 에러 프레임의 재전송을 수행하게 된다. 따라서, 다른 노드(550)가 제3 데이터(ID_HP)의 식별자보다 우선 순위가 낮은 식별자를 갖는 제4 데이터(ID_LP)의 전송(552)을 에러 패시브 상태의 ECU의 두번째 대기 시간(544) 내에 개시하는 경우, 시스템이 제4 데이터(ID_LP)의 전송(552)을 처리하게 됨으로써 결과적으로 CAN 버스(560)의 제4 데이터(ID_LP) 수신(562)이 수행될 수 있다. 즉, 우선 순위가 높은 제3 데이터(ID_HP)의 전송이 완료되지 않은 상황에서, 우선 순위가 낮은 제4 데이터(ID_LP)의 전송(552)이 완료되는 우선 순위 감소 현상이 발생할 수 있다.

일 실시예에 따르면, 시스템은 모니터링 모듈(예: 모니터링 모듈(474))을 통해 우선 순위 감소 현상을 탐지함으로써, 에러 모듈(예: 에러 모듈(472))의 충돌 대상인 에러 패시브 상태의 노드가 공격 노드(예: 공격 ECU(130), 공격 ECU(430))인 것으로 결정할 수 있다. 한편, 제4 데이터(ID_LP)는 제2 데이터(ID_LP)와 같이, 제3 데이터(ID_HP)를 전송하는 제2 타겟 노드(540)와 상이한 다른 노드(Other Nodes)(550)가 전송하는 데이터를 지칭할 수 있다. 또한, 제4 데이터(ID_LP)는 시스템(예: CAN 시스템(100), CAN 시스템(400)) 내에 존재하는 백그라운드 트래픽(background traffic)을 지칭할 수 있다

도 6은 본 개시의 일 실시예에 따라 실험실 환경에서 에러 패시브 상태의 ECU에 (n*30)회 발생시킨 경우 우선 순위 감소 현상의 발생 확률을 측정한 예시를 나타낸다. 도시된 바와 같이, Bus Load 50%, 75%, 100%에서 약 60%, 80%, 100%의 확률로 우선 순위 감소 현상이 발생되는 것을 확인할 수 있다. 즉, 이 실험을 통해 연속 충돌 횟수와 버스 로드(Bus Load)에 비례하여 우선 순위 감소현상의 발생 확률이 증가하는 것을 확인할 수 있다.

도 7은 본 개시의 일 실시예에 따른 실제 차량 환경 실험에서 에러 패시브 상태의 ECU에 (n*30)회 발생시킨 경우 우선 순위 감소 현상의 발생 확률을 측정한 예시를 나타낸다. 도시된 바와 같이, Vehicle A의 Bus Load 45.4%에서 연속 충돌 횟수가 각 4, 5, 6일 때, 약 30%, 40%, 50%의 확률로 우선 순위 감소 현상이 발생하였다. 이 실험을 통해 본 개시의 방법에 따른 우선 순위 감소 현상이 실제 차량에서도 발생하는 것을 확인할 수 있다. 또한, 실험 장비를 통해 버스 로드(Bus Load)를 증가시킬 경우 도 7의 실험실 환경에서의 결과와 마찬가지로 높은 확률로 우선 순위 감소 현상을 얻을 수 있음을 예상할 수 있다.

도 8은 본 개시의 일 실시예에 따른 CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법(800)의 예시를 나타낸다. 방법(800)은 공격 ECU 탐지 시스템(예: 시스템(100), 시스템(400)을 구성하는 프로그램 및/또는 명령어(들)를 실행하는 적어도 하나의 프로세서에 의해 수행될 수 있다. 도시된 바와 같이, 방법(800)은 적어도 하나의 프로세서와 연관된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송되는 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시키는 단계(S810)로 개시될 수 있다. 예를 들어, 프로세서는 프로세서와 연결된 복수의 ECU에 할당된 복수의 식별자와 연관된 데이터를 획득하고, 획득된 데이터를 기초로 공격 식별자를 식별할 수 있다. 그리고 나서, 프로세서는 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시킬 수 있다.

일 실시예에 따르면, 프로세서는 공격 ECU의 에러 패시브 상태가 유지되는 동안, 복수의 ECU 중 임의의 ECU에 할당된 적어도 하나의 식별자 중 우선순위가 가장 높은 최우선 식별자를 포함하는 패킷에 대하여 복수의 충돌을 발생시킬 수 있다(S820). 예를 들어, 프로세서는 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시키고, 충돌에 의해 공격 식별자를 포함하는 패킷의 전송이 실패할 때 마다 공격 ECU에 포함된 레지스터의 카운트 값을 변환할 수 있다. 그리고 나서, 프로세서는 변환된 카운트 값과 기준 카운트 값을 비교한 결과를 기초로 공격 ECU를 에러 패시브 상태로 전환시킬 수 있다. 이 경우, 할당된 복수의 식별자 사이의 우선 순위는 사전 결정될 수 있다.

일 실시예에 따르면, 프로세서는 복수의 충돌에 의해 CAN 버스로 전송된 복수의 에러 프레임 각각의 사이에 최우선 식별자보다 우선순위가 낮은 식별자를 포함하는 패킷이 존재하는 경우, 임의의 ECU가 에러 패시브 상태로 전환된 공격 ECU인 것으로 결정할 수 있다. 이 경우, 우선순위가 낮은 식별자를 포함하는 패킷은 복수의 ECU 중 임의의 ECU가 아닌 다른 ECU에 의하여 CAN 버스로 전송된 패킷 및/또는 백그라운드 트래픽을 포함할 수 있다.

일 실시예에 따르면, 프로세서는 복수의 에러 프레임 각각의 사이에 존재하는 우선순위가 낮은 식별자를 포함하는 패킷을 탐지할 수 있다. 그리고 나서, 프로세서는 탐지한 결과를 기초로 최우선 식별자보다 우선순위가 낮은 식별자를 포함하는 패킷이 존재할 확률을 산출하고, 산출된 확률을 기초로 임의의 ECU가 공격 ECU인 것으로 결정할 수 있다.

일 실시예에 따르면, 프로세서와 연결된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송된 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 공격 ECU를 에러 패시브 상태로 전환시키는 단계는,

일 실시예에 따르면, 에러 패시브 상태로 전환된 공격 ECU가 연속적으로 임의의 제1 패킷 및 제2 패킷을 전송하는 경우, 제1 패킷을 전송한 공격 ECU는 일정 시간동안 패킷의 전송을 중단한 후 제2 패킷을 전송하도록 구성될 수 있다. 추가적으로, 우선순위가 낮은 식별자를 포함하는 패킷은 공격 ECU가 패킷의 전송을 중단하는 일정 시간 내에 CAN 버스로 전송될 패킷으로 결정될 수 있다.

본 개시의 앞선 설명은 통상의 기술자들이 본 개시를 행하거나 이용하는 것을 가능하게 하기 위해 제공된다. 본 개시의 다양한 수정예들이 통상의 기술자들에게 쉽게 자명할 것이고, 본원에 정의된 일반적인 원리들은 본 개시의 취지 또는 범위를 벗어나지 않으면서 다양한 변형예들에 적용될 수도 있다. 따라서, 본 개시는 본원에 설명된 예들에 제한되도록 의도된 것이 아니고, 본원에 개시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위가 부여되도록 의도된다.

비록 예시적인 구현예들이 하나 이상의 독립형 컴퓨터 시스템의 맥락에서 현재 개시된 주제의 양태들을 활용하는 것을 언급할 수도 있으나, 본 주제는 그렇게 제한되지 않고, 오히려 네트워크나 분산 컴퓨팅 환경과 같은 임의의 컴퓨팅 환경과 연계하여 구현될 수도 있다. 또 나아가, 현재 개시된 주제의 양상들은 복수의 프로세싱 칩들이나 디바이스들에서 또는 그들에 걸쳐 구현될 수도 있고, 스토리지는 복수의 디바이스들에 걸쳐 유사하게 영향을 받게 될 수도 있다. 이러한 디바이스들은 PC들, 네트워크 서버들, 및 핸드헬드 디바이스들을 포함할 수도 있다.

본 명세서에서는 본 개시가 일부 실시예들과 관련하여 설명되었지만, 본 발명이 속하는 기술분야의 통상의 기술자가 이해할 수 있는 본 개시의 범위를 벗어나지 않는 범위에서 다양한 변형 및 변경이 이루어질 수 있다는 점을 알아야 할 것이다. 또한, 그러한 변형 및 변경은 본 명세서에서 첨부된 특허청구의 범위 내에 속하는 것으로 생각되어야 한다.

Claims (11)

1. 적어도 하나의 프로세서에 의해 수행되는 CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법으로서,

   상기 프로세서와 연관된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송되는 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 상기 공격 ECU를 에러 패시브 상태로 전환시키는 단계;

   상기 공격 ECU의 에러 패시브 상태가 유지되는 동안, 상기 복수의 ECU 중 임의의 ECU에 할당된 적어도 하나의 식별자 중 우선 순위가 가장 높은 최우선 식별자를 포함하는 패킷에 대하여 복수의 충돌을 발생시키는 단계; 및

   상기 복수의 충돌에 의해 상기 CAN 버스로 전송된 복수의 에러 프레임 각각의 사이에 상기 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재하는 경우, 상기 임의의 ECU가 에러 패시브 상태로 전환된 상기 공격 ECU인 것으로 결정하는 단계

   를 포함하는, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
2. 제1항에 있어서,

   상기 우선 순위가 낮은 식별자를 포함하는 패킷은 상기 복수의 ECU 중 상기 임의의 ECU가 아닌 다른 ECU에 의하여 상기 CAN 버스로 전송된 패킷을 포함하는, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
3. 제1항에 있어서,

   상기 우선 순위가 낮은 식별자를 포함하는 패킷은 백그라운드 트래픽을 포함하는, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
4. 제1항에 있어서,

   상기 복수의 충돌에 의해 상기 CAN 버스로 전송된 복수의 에러 프레임 각각의 사이에 상기 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재하는 경우, 상기 임의의 ECU가 상기 공격 ECU인 것으로 결정하는 단계는,

   상기 복수의 에러 프레임 각각의 사이에 존재하는 상기 우선 순위가 낮은 식별자를 포함하는 패킷을 탐지하는 단계;

   상기 탐지한 결과를 기초로 상기 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재할 확률을 산출하는 단계; 및

   상기 산출된 확률을 기초로, 상기 임의의 ECU가 상기 공격 ECU인 것으로 결정하는 단계

   를 포함하는, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
5. 제1항에 있어서,

   상기 프로세서와 연결된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송된 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 상기 공격 ECU를 에러 패시브 상태로 전환시키는 단계는,

   상기 프로세서와 연결된 복수의 ECU에 할당된 복수의 식별자와 연관된 데이터를 획득하는 단계;

   상기 획득된 데이터를 기초로 상기 공격 식별자를 식별하는 단계; 및

   상기 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 상기 공격 ECU를 에러 패시브 상태로 전환시키는 단계

   를 포함하는, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
6. 제5항에 있어서,

   상기 할당된 복수의 식별자 사이의 우선 순위는 사전 결정된, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
7. 제1항에 있어서,

   상기 프로세서와 연결된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송된 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시켜 상기 공격 ECU를 에러 패시브 상태로 전환시키는 단계는,

   상기 공격 식별자를 포함하는 패킷에 대하여 적어도 한번의 충돌을 발생시키는 단계;

   상기 충돌에 의해 상기 공격 식별자를 포함하는 패킷의 전송이 실패할 때 마다 상기 공격 ECU에 포함된 레지스터의 카운트 값을 변환하는 단계; 및

   변환된 상기 카운트 값과 기준 카운트 값을 비교한 결과를 기초로 상기 공격 ECU를 에러 패시브 상태로 전환시키는 단계

   를 포함하는, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
8. 제1항에 있어서,

   에러 패시브 상태로 전환된 상기 공격 ECU가 연속적으로 임의의 제1 패킷 및 제2 패킷을 전송하는 경우, 상기 제1 패킷을 전송한 상기 공격 ECU는 일정 시간동안 패킷의 전송을 중단한 후 상기 제2 패킷을 전송하도록 구성되는, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
9. 제8항에 있어서,

   상기 우선 순위가 낮은 식별자를 포함하는 패킷은 상기 공격 ECU가 패킷의 전송을 중단하는 상기 일정 시간 내에 상기 CAN 버스로 전송될 패킷으로 결정되는, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법.
10. 제1항에 기재된 CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 방법을 실행시키도록 컴퓨터로 판독 가능한 기록 매체에 기록된 컴퓨터 프로그램.
11. CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 장치로서,

    적어도 하나의 프로세서를 포함하고,

    상기 적어도 하나의 프로세서는

    상기 프로세서와 연결된 복수의 ECU 중 공격 ECU에 의해 CAN 버스로 전송되는 공격 식별자를 포함하는 패킷에 대하여 적어도 한번 이상의 충돌을 발생시켜 상기 공격 ECU를 에러 패시브 상태로 전환시키고,

    상기 공격 ECU의 에러 패시브 상태가 유지되는 동안, 상기 복수의 ECU 중 임의의 ECU에 할당된 적어도 하나의 식별자 중 우선 순위가 가장 높은 최우선 식별자를 포함하는 패킷에 대하여 복수의 충돌을 발생시키고,

    상기 복수의 충돌에 의해 상기 CAN 버스로 전송된 복수의 에러 프레임 각각의 사이에 상기 최우선 식별자보다 우선 순위가 낮은 식별자를 포함하는 패킷이 존재하는 경우, 상기 임의의 ECU가 에러 패시브 상태로 전환된 상기 공격 ECU인 것으로 결정하기 위한 명령어들을 실행시키도록 구성된, CAN 트래픽 모니터링을 이용한 공격 ECU 탐지 장치.

Images