WO2023188356A1 - Attack source identification system, attack source identification method, and program - Google Patents

Attack source identification system, attack source identification method, and program Download PDF

Info

Publication number
WO2023188356A1
WO2023188356A1 PCT/JP2022/016778 JP2022016778W WO2023188356A1 WO 2023188356 A1 WO2023188356 A1 WO 2023188356A1 JP 2022016778 W JP2022016778 W JP 2022016778W WO 2023188356 A1 WO2023188356 A1 WO 2023188356A1
Authority
WO
WIPO (PCT)
Prior art keywords
attack
identification
ids
attack source
charger
Prior art date
Application number
PCT/JP2022/016778
Other languages
French (fr)
Japanese (ja)
Inventor
弘樹 長山
幸雄 永渕
麻美 宮島
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to PCT/JP2022/016778 priority Critical patent/WO2023188356A1/en
Publication of WO2023188356A1 publication Critical patent/WO2023188356A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

An attack source identification system according to an embodiment of this invention identifies an attack source device of an attack on electric transport equipment or a charger of such electric transport equipment, in which each IDS installed in each of the electric transport equipment and the charger includes: an identification unit configured to use a learning model trained in advance to identify whether the attack source device of the attack is a charge control device already learned by the learning model; an identifying information transmission and reception unit configured to transmit first identifying information indicating an identification result by the identification unit to another IDS and receive second identifying information indicating an identification result by the identification unit included in the other IDS; and a comparison unit configured to compare the first and second identifying information and identify the attack source device of the attack.

Description

攻撃元特定システム、攻撃元特定方法及びプログラムAttack source identification system, attack source identification method and program
 本発明は、攻撃元特定システム、攻撃元特定方法及びプログラムに関する。 The present invention relates to an attack source identification system, an attack source identification method, and a program.
 自動車向けの侵入検知システム(IDS:Intrusion Detection System)が従来から知られている。また、このようなIDSにおいて、車両に搭載された各種デバイス(ECU(Electronic Control Unit)と呼ばれる電子制御ユニット等)の通信の特徴を事前に学習することで、CAN(Controller Area Network)メッセージの送信元デバイスを特定する技術も知られている(例えば、非特許文献1)。 Intrusion detection systems (IDS) for automobiles have been known for a long time. In addition, in such IDS, by learning in advance the communication characteristics of various devices installed in the vehicle (such as electronic control units called ECUs (Electronic Control Units)), it is possible to transmit CAN (Controller Area Network) messages. A technique for identifying the original device is also known (for example, Non-Patent Document 1).
 一方で、近年では、環境負荷の低減等といった目的のために、電気自動車(EV:Electric Vehicle)の普及が進められている。EVはその充電のために電気自動向けの充電器(EVSE:Electric Vehicle Supply Equipment)に接続されるが、例えば、EVSE側の充電に関するECU(以下、充電ECUという。)が既に攻撃されており、EVSE側からEV側に不正なCANメッセージが送信されてしまうことがあり得る。また、これとは逆に、EV側の充電ECUが既に攻撃されており、EV側からEVSE側に不正なCANメッセージが送信されてしまうことがあり得る。 On the other hand, in recent years, electric vehicles (EVs) have been becoming more popular for purposes such as reducing environmental impact. EVs are connected to a charger for electric vehicles (EVSE: Electric Vehicle Supply Equipment) for charging, but for example, the charging ECU on the EVSE side (hereinafter referred to as the charging ECU) has already been attacked. An incorrect CAN message may be sent from the EVSE side to the EV side. Moreover, on the contrary, there is a possibility that the charging ECU on the EV side has already been attacked and an unauthorized CAN message is sent from the EV side to the EVSE side.
 しかしながら、一般に、EVとEVSEの組み合わせは充電の都度変化することが多いい。このため、EV側のIDSは、EVSE側の充電ECUの通信の特徴を事前学習していないことが多く、その充電ECUを不正なCANメッセージの送信元と特定することができない。同様に、ESVE側にIDSが存在したとしても、そのIDSは、EV側の充電ECUの通信の特徴を事前学習していないことが多く、その充電ECUを不正なCANメッセージの送信元と特定することができない。このような問題点は、EV以外の様々な電動輸送機器(例えば、電気により駆動される自動二輪車、トラクター、船舶等)とその充電器に関しても同様に存在し得る。 However, in general, the combination of EV and EVSE often changes each time charging is performed. Therefore, the IDS on the EV side often does not learn in advance the communication characteristics of the charging ECU on the EVSE side, and cannot identify the charging ECU as the source of the unauthorized CAN message. Similarly, even if an IDS exists on the ESVE side, the IDS often does not learn in advance the communication characteristics of the charging ECU on the EV side, and may identify that charging ECU as the source of the unauthorized CAN message. I can't. Such problems may similarly exist with respect to various electric transportation devices other than EVs (for example, electrically driven motorcycles, tractors, ships, etc.) and their chargers.
 本発明の一実施形態は、上記の点に鑑みてなされたもので、電動輸送機器と電動輸送機器の充電器間で攻撃元を特定することを目的とする。 One embodiment of the present invention was made in view of the above points, and aims to identify the source of an attack between an electric transportation device and a charger for the electric transportation device.
 上記目的を達成するため、一実施形態に係る攻撃元特定システムは、電動輸送機器又は該電動輸送機器の充電器に対する攻撃の攻撃元デバイスを特定する攻撃元特定システムであって、前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々は、予め学習された学習モデルを用いて、前記攻撃の攻撃元デバイスが、前記学習モデルによって学習済みの充電制御デバイスであるか否かを特定するように構成されている特定部と、前記特定部による特定結果を示す第1の特定情報を他方のIDSに送信すると共に、前記他方のIDSが有する特定部による特定結果を示す第2の特定情報を受信するように構成されている特定情報送受信部と、前記第1の特定情報と第2の特定情報とを照合し、前記攻撃の攻撃元デバイスを特定するように構成されている照合部と、を有する。 In order to achieve the above object, an attack source identification system according to one embodiment is an attack source identification system that identifies an attack source device of an attack on an electric transportation device or a charger of the electric transportation device, Each of the IDSs installed in each of the chargers uses a pre-trained learning model to identify whether or not the attack source device of the attack is a charging control device that has been trained by the learning model. an identification unit configured to transmit first identification information indicating the identification result by the identification unit to the other IDS, and a second identification information indicating the identification result by the identification unit included in the other IDS. a specific information transmitting/receiving unit configured to receive information; and a matching unit configured to collate the first specific information and second specific information to identify the attack source device of the attack. and has.
 電動輸送機器と電動輸送機器の充電器間で攻撃元を特定することができる。 The source of the attack can be identified between the electric transportation device and the electric transportation device charger.
本実施形態に係る攻撃元特定システムの全体構成の一例を示す図である。1 is a diagram showing an example of the overall configuration of an attack source identification system according to the present embodiment. 実施例1における攻撃元特定システムの機能構成の一例を示す図である。1 is a diagram illustrating an example of a functional configuration of an attack source identification system in Example 1. FIG. 実施例1における事前学習処理の流れを示すフローチャートである。7 is a flowchart showing the flow of pre-learning processing in Example 1. FIG. 実施例1における攻撃検知及び攻撃元特定処理の流れを示すフローチャートである。5 is a flowchart showing the flow of attack detection and attack source identification processing in the first embodiment. 実施例2における攻撃元特定システムの機能構成の一例を示す図である。3 is a diagram illustrating an example of a functional configuration of an attack source identification system in Example 2. FIG. 実施例2における攻撃検知及び攻撃元特定処理の流れを示すフローチャートである。7 is a flowchart showing the flow of attack detection and attack source identification processing in Example 2. FIG. 実施例3における攻撃元特定システムの機能構成の一例を示す図である。FIG. 7 is a diagram illustrating an example of a functional configuration of an attack source identification system according to a third embodiment. 実施例3における攻撃検知及び攻撃元特定処理の流れを示すフローチャートである。12 is a flowchart showing the flow of attack detection and attack source identification processing in Example 3. 実施例4における攻撃元特定システムの機能構成の一例を示す図である。FIG. 7 is a diagram illustrating an example of a functional configuration of an attack source identification system according to a fourth embodiment. 実施例4における攻撃検知及び攻撃元特定処理の流れを示すフローチャートである。12 is a flowchart showing the flow of attack detection and attack source identification processing in Example 4.
 以下、本発明の一実施形態について説明する。本実施形態では、電動輸送機器の一例である電気自動車(EV)とその充電器(EVSE)とが接続されている場合において、攻撃が検知されたときにその攻撃元を特定することができる攻撃元特定システム1について説明する。なお、EVとEVSEとが接続されている場合とは、典型的にはEVSEによってEVを充電している場合のことであるが、これに限られるものではなく、例えば、EVからEVSEに放電している場合であってもよい。 An embodiment of the present invention will be described below. In this embodiment, when an electric vehicle (EV), which is an example of electric transportation equipment, and its charger (EVSE) are connected, an attack that allows the source of the attack to be identified when an attack is detected. The source identification system 1 will be explained. Note that the case where EV and EVSE are connected typically refers to the case where the EV is being charged by the EVSE, but it is not limited to this, and for example, the case where the EV is being discharged from the EVSE. This may be the case.
 また、電気自動車(EV)は電動輸送機器の一例であって、本実施形態は、電気自動車に限られず、例えば、電気により駆動される自動二輪車、トラクター、船舶等といった電動輸送機器全般とその充電器に対しても同様に適用可能である。 Further, an electric vehicle (EV) is an example of electric transportation equipment, and the present embodiment is not limited to electric vehicles, but includes general electric transportation equipment such as motorcycles, tractors, ships, etc. that are driven by electricity, and their charging. The same can be applied to containers.
 <攻撃元特定システム1の全体構成例>
 本実施形態に係る攻撃元特定システム1の全体構成例を図1に示す。図1に示すように、本実施形態に係る攻撃元特定システム1には、EV10と、そのEV10と充電ケーブル等を介して同一CANバス上で通信可能に接続されるEVSE20とが少なくとも含まれる。 <Example of overall configuration of attack source identification system 1>
FIG. 1 shows an example of the overall configuration of an attack source identification system 1 according to this embodiment. As shown in FIG. 1, the attack source identification system 1 according to the present embodiment includes at least an EV 10 and an EVSE 20 that is communicably connected to the EV 10 via a charging cable or the like on the same CAN bus.
 EV10には、そのEV10内のCANメッセージから攻撃を検知すると共にその攻撃元を特定可能なIDS110と、そのEV10の充電を制御する充電ECU120とが含まれる。IDS110は、充電ECU120が送受信するCANメッセージを受信可能な位置に配置されているものとする。 The EV 10 includes an IDS 110 that can detect an attack from a CAN message within the EV 10 and identify the source of the attack, and a charging ECU 120 that controls charging of the EV 10. It is assumed that IDS 110 is placed at a position where it can receive CAN messages transmitted and received by charging ECU 120.
 EVSE20には、そのEVSE20内のCANメッセージから攻撃を検知すると共にその攻撃元を特定可能なIDS210と、EV10への充電を制御する充電ECU220とが含まれる。IDS210は、充電ECU220が送受信するCANメッセージを受信可能な位置に配置されているものとする。 The EVSE 20 includes an IDS 210 that can detect an attack from a CAN message within the EVSE 20 and identify the source of the attack, and a charging ECU 220 that controls charging of the EV 10. It is assumed that IDS 210 is placed at a position where it can receive CAN messages transmitted and received by charging ECU 220.
 なお、以下、IDS110を「EV側IDS110」、充電ECU120を「EV側充電ECU120」ともいう。同様に、以下、IDS210を「EVSE側IDS210」、充電ECU220を「EVSE側充電ECU220」ともいう。 Note that, hereinafter, the IDS 110 is also referred to as "EV side IDS 110" and the charging ECU 120 is also referred to as "EV side charging ECU 120." Similarly, hereinafter, the IDS 210 will also be referred to as "EVSE side IDS 210" and the charging ECU 220 will also be referred to as "EVSE side charging ECU 220."
 ここで、以下では、主に、EV側充電ECU120又はEVSE側充電ECU220が既に攻撃を受けており、EV側充電ECU120又はEVSE側充電ECU220が不正なCANメッセージを送信することを想定する。ただし、これは一例であって、例えば、他のECUが既に攻撃を受けており、そのECUが不正なCANメッセージを送信する場合にも、本実施形態を同様に適用することが可能である。また、例えば、EV10やEVSE20に不正なデバイス(以下、不正接続デバイスともいう。)が接続されており、その不正接続デバイスが不正なCANメッセージを送信する場合にも、本実施形態を同様に適用することが可能である。 Here, in the following, it is mainly assumed that the EV side charging ECU 120 or the EVSE side charging ECU 220 has already been attacked, and that the EV side charging ECU 120 or the EVSE side charging ECU 220 transmits an unauthorized CAN message. However, this is just an example, and the present embodiment can be applied similarly even if, for example, another ECU has already been attacked and that ECU sends an unauthorized CAN message. Furthermore, for example, the present embodiment can be similarly applied when an unauthorized device (hereinafter also referred to as an unauthorized connection device) is connected to the EV10 or EVSE 20 and the unauthorized connection device sends an unauthorized CAN message. It is possible to do so.
 また、本実施形態に係る攻撃元特定システム1には、SOC(Security Operation Center)等に設置された外部サーバ30が含まれ、この外部サーバ30が攻撃元の特定を行ってもよい。 Furthermore, the attack source identification system 1 according to the present embodiment includes an external server 30 installed in a SOC (Security Operation Center) or the like, and this external server 30 may identify the attack source.
 [実施例1]
 以下、実施例1について説明する。本実施例では、EV側IDS110とEVSE側IDS210が攻撃を検知した場合に、その攻撃元が事前学習したECUであるか否かを示す情報を交換することで、攻撃元を特定する場合について説明する。 [Example 1]
Example 1 will be described below. In this embodiment, when the EV side IDS 110 and the EVSE side IDS 210 detect an attack, a case will be described in which the source of the attack is identified by exchanging information indicating whether or not the source of the attack is a pre-learned ECU. do.
 <攻撃元特定システム1の機能構成例(実施例1)>
 本実施例における攻撃元特定システム1の機能構成例を図2に示す。 <Example of functional configuration of attack source identification system 1 (Example 1)>
FIG. 2 shows an example of the functional configuration of the attack source identification system 1 in this embodiment.
  ≪EV側IDS110≫
 図2に示すように、本実施例におけるEV側IDS110は、CANメッセージ受信部111と、学習部112と、検知部113と、特定部114と、特定情報送受信部115と、照合部116とを有する。これら各部は、例えば、EV側IDS110を実現する1以上のプログラムが、プロセッサ等の演算装置に実行させる処理により実現される。また、EV側IDS110は、記憶部117を有する。記憶部117は、メモリ等の各種記憶装置により実現される。 ≪EV side IDS110≫
As shown in FIG. 2, the EV side IDS 110 in this embodiment includes a CAN message receiving section 111, a learning section 112, a detecting section 113, a specifying section 114, a specific information transmitting/receiving section 115, and a collating section 116. have Each of these units is realized, for example, by a process in which one or more programs that implement the EV side IDS 110 are executed by an arithmetic device such as a processor. Further, the EV side IDS 110 includes a storage section 117. The storage unit 117 is realized by various storage devices such as memory.
 CANメッセージ受信部111は、EV10内のCANバス上のCANメッセージを受信する。 The CAN message receiving unit 111 receives a CAN message on the CAN bus within the EV 10.
 学習部112は、EV側充電ECU120の通信の特徴を学習する。この特徴は学習モデルとして記憶部117に保存される。ここで、通信の特徴としては、ECU毎に一意に定まり、かつ、CANメッセージに付随する特徴量を用いることが可能である。例えば、EV側充電ECU120がCANメッセージを送信する際にCAN線に生じる電圧の立ち上がりパターン、CANメッセージを送信する際の送信タイミングのオフセット等を用いることができる。 The learning unit 112 learns the communication characteristics of the EV side charging ECU 120. This feature is stored in the storage unit 117 as a learning model. Here, as the communication feature, it is possible to use a feature amount that is uniquely determined for each ECU and that is associated with the CAN message. For example, it is possible to use a rise pattern of the voltage generated in the CAN line when the EV side charging ECU 120 transmits the CAN message, an offset of the transmission timing when transmitting the CAN message, etc.
 検知部113は、CANメッセージ受信部111によって受信されたCANメッセージから攻撃の発生を検知する。なお、CANメッセージから攻撃の発生を検知する手法としては既知の任意の攻撃検知手法(又は異常検知手法)を用いればよい。例えば、上記の非特許文献1に記載されている手法により攻撃の発生を検知すればよい。 The detection unit 113 detects the occurrence of an attack from the CAN message received by the CAN message reception unit 111. Note that any known attack detection method (or anomaly detection method) may be used as a method for detecting the occurrence of an attack from a CAN message. For example, the occurrence of an attack may be detected using the method described in Non-Patent Document 1 mentioned above.
 特定部114は、検知部113によって攻撃の発生が検知された場合に、記憶部117に記憶されている学習モデルを用いてその攻撃の攻撃元を特定する。すなわち、特定部114は、その攻撃の攻撃元がEV側充電ECU120であるか否かを特定する。 When the detection unit 113 detects the occurrence of an attack, the identification unit 114 uses the learning model stored in the storage unit 117 to identify the source of the attack. That is, the identifying unit 114 identifies whether or not the source of the attack is the EV-side charging ECU 120.
 特定情報送受信部115は、特定部114による特定結果を示す情報(以下、特定情報ともいう。)をEVSE側IDS210に送信すると共に、EVSE側IDS210から特定情報を受信する。 The specific information transmitting/receiving unit 115 transmits information indicating the specific result by the specifying unit 114 (hereinafter also referred to as specific information) to the EVSE side IDS 210, and receives specific information from the EVSE side IDS 210.
 照合部116は、特定部114による特定結果を示す特定情報と、EVSE側IDS210から受信した特定情報とを照合し、攻撃元が、EV側充電ECU120、EVSE側IDS210又はそれ以外、のいずれであるかを特定する。また、照合部116は、攻撃元の特定結果を所定の通知先(例えば、EV10のユーザの利用するアプリケーション等)に通知する。 The matching unit 116 matches the specific information indicating the identification result by the identifying unit 114 with the specific information received from the EVSE side IDS 210, and determines whether the attack source is the EV side charging ECU 120, the EVSE side IDS 210, or something else. to identify. Further, the matching unit 116 notifies a predetermined notification destination (for example, an application used by the user of the EV 10, etc.) of the identification result of the attack source.
 記憶部117は、学習部112によって学習された学習モデル(つまり、EV側充電ECU120の通信の特徴を表す特徴量)を記憶する。 The storage unit 117 stores the learning model learned by the learning unit 112 (that is, the feature quantity representing the communication characteristics of the EV-side charging ECU 120).
  ≪EVSE側IDS210≫
 図2に示すように、本実施例におけるEVSE側IDS210は、CANメッセージ受信部211と、学習部212と、検知部213と、特定部214と、特定情報送受信部215と、照合部216とを有する。これら各部は、例えば、EVSE側IDS210を実現する1以上のプログラムが、プロセッサ等の演算装置に実行させる処理により実現される。また、EVSE側IDS210は、記憶部217を有する。記憶部217は、メモリ等の各種記憶装置により実現される。 ≪EVSE side IDS210≫
As shown in FIG. 2, the EVSE side IDS 210 in this embodiment includes a CAN message receiving section 211, a learning section 212, a detecting section 213, a specifying section 214, a specific information transmitting/receiving section 215, and a collating section 216. have Each of these units is realized, for example, by a process in which one or more programs that implement the EVSE side IDS 210 are executed by an arithmetic device such as a processor. Further, the EVSE side IDS 210 includes a storage section 217. The storage unit 217 is realized by various storage devices such as memory.
 CANメッセージ受信部211は、EVSE20内のCANバス上のCANメッセージを受信する。 The CAN message receiving unit 211 receives CAN messages on the CAN bus within the EVSE 20.
 学習部212は、EVSE側充電ECU220の通信の特徴を学習する。この特徴は学習モデルとして記憶部217に保存される。 The learning unit 212 learns the communication characteristics of the EVSE side charging ECU 220. This feature is stored in the storage unit 217 as a learning model.
 検知部213は、CANメッセージ受信部211によって受信されたCANメッセージから攻撃の発生を検知する。 The detection unit 213 detects the occurrence of an attack from the CAN message received by the CAN message reception unit 211.
 特定部214は、検知部213によって攻撃の発生が検知された場合に、記憶部217に記憶されている学習モデルを用いてその攻撃の攻撃元を特定する。すなわち、特定部214は、その攻撃の攻撃元がEVSE側充電ECU220であるか否かを特定する。 When the detection unit 213 detects the occurrence of an attack, the identification unit 214 uses the learning model stored in the storage unit 217 to identify the source of the attack. That is, the identification unit 214 identifies whether the source of the attack is the EVSE-side charging ECU 220 or not.
 特定情報送受信部215は、特定部214による特定結果を示す特定情報をEV側IDS110に送信すると共に、EV側IDS110から特定情報を受信する。 The specific information transmitting/receiving unit 215 transmits specific information indicating the specific result by the specifying unit 214 to the EV side IDS 110, and receives the specific information from the EV side IDS 110.
 照合部216は、特定部214による特定結果を示す特定情報と、EV側IDS110から受信した特定情報とを照合し、攻撃元が、EV側充電ECU120、EVSE側IDS210又はそれ以外、のいずれであるかを特定する。また、照合部216は、攻撃元の特定結果を所定の通知先(例えば、充電サービスプロバイダやEVSE20の管理者等)に通知する。 The matching unit 216 matches the specific information indicating the identification result by the identifying unit 214 with the specific information received from the EV side IDS 110, and determines whether the attack source is the EV side charging ECU 120, the EVSE side IDS 210, or something else. to identify. Further, the collation unit 216 notifies a predetermined notification destination (for example, a charging service provider, an administrator of the EVSE 20, etc.) of the identification result of the attack source.
 記憶部217は、学習部212によって学習された学習モデル(つまり、EVSE側充電ECU220の通信の特徴を表す特徴量)を記憶する。 The storage unit 217 stores the learning model learned by the learning unit 212 (that is, the feature amount representing the communication characteristics of the EVSE-side charging ECU 220).
 <事前学習処理の流れ(実施例1)>
 実施例1における事前学習処理の流れについて、図3を参照しながら説明する。なお、事前学習処理では、EV10とEVSE20とが接続されている必要はない。 <Flow of pre-learning processing (Example 1)>
The flow of pre-learning processing in the first embodiment will be described with reference to FIG. 3. Note that in the pre-learning process, the EV 10 and the EVSE 20 do not need to be connected.
 ステップS101:EV側IDS110のCANメッセージ受信部111は、EV側充電ECU120から送信されたCANメッセージを受信する。同様に、EVSE側IDS210のCANメッセージ受信部211は、EVSE側充電ECU220から送信されたCANメッセージを受信する。 Step S101: The CAN message receiving unit 111 of the EV side IDS 110 receives the CAN message transmitted from the EV side charging ECU 120. Similarly, the CAN message receiving unit 211 of the EVSE side IDS 210 receives a CAN message transmitted from the EVSE side charging ECU 220.
 ステップS102:EV側IDS110の学習部112は、CANメッセージ受信部111によって受信されたCANメッセージを用いて、EV側充電ECU120の通信の特徴を表す特徴量を学習モデルとして記憶部117に保存する。同様に、EVSE側IDS210の学習部212は、CANメッセージ受信部211によって受信されたCANメッセージを用いて、EVSE側充電ECU220の通信の特徴を表す特徴量を学習モデルとして記憶部217に保存する。 Step S102: The learning unit 112 of the EV side IDS 110 uses the CAN message received by the CAN message receiving unit 111 to store feature quantities representing the communication characteristics of the EV side charging ECU 120 in the storage unit 117 as a learning model. Similarly, the learning unit 212 of the EVSE-side IDS 210 uses the CAN message received by the CAN message receiving unit 211 to store feature quantities representing characteristics of communication of the EVSE-side charging ECU 220 in the storage unit 217 as a learning model.
 <攻撃検知及び攻撃元特定処理の流れ(実施例1)>
 実施例1における攻撃検知及び攻撃元特定処理の流れについて、図4を参照しながら説明する。 <Flow of attack detection and attack source identification processing (Example 1)>
The flow of attack detection and attack source identification processing in the first embodiment will be described with reference to FIG. 4.
 ステップS201:EV側IDS110のCANメッセージ受信部111は、EV10内のCANバス上のCANメッセージを受信する。同様に、EVSE側IDS210のCANメッセージ受信部211は、EVSE20内のCANバス上のCANメッセージを受信する。 Step S201: The CAN message receiving unit 111 of the EV side IDS 110 receives a CAN message on the CAN bus within the EV 10. Similarly, the CAN message receiving unit 211 of the EVSE side IDS 210 receives a CAN message on the CAN bus within the EVSE 20.
 ステップS202:EV側IDS110の検知部113は、CANメッセージ受信部111によって受信されたCANメッセージから攻撃の発生を検知する。同様に、EVSE側IDS210の検知部213は、CANメッセージ受信部211によって受信されたCANメッセージから攻撃の発生を検知する。 Step S202: The detection unit 113 of the EV side IDS 110 detects the occurrence of an attack from the CAN message received by the CAN message reception unit 111. Similarly, the detection unit 213 of the EVSE side IDS 210 detects the occurrence of an attack from the CAN message received by the CAN message reception unit 211.
 ここで、攻撃の発生が検知された場合、EV側IDS110とEVSE側IDS210はステップS203に進む。一方で、攻撃の発生が検知されなかった場合、EV側IDS110とEVSE側IDS210は何もせずに処理を終了する。なお、EV側IDS110とEVSE側IDS210は同一のCANバスに接続されているため、一般に、いずれも攻撃の発生を検知するか、又は、いずれも攻撃の発生を検知しないか、のどちらかであることに留意されたい。ただし、例えば、EV側IDS110の検知部113とEVSE側IDS210の検知部213とで攻撃検知手法が異なり、その検知精度に差異がある場合等には、いずれか一方でのみ攻撃の発生が検知されることもあり得る。 Here, if the occurrence of an attack is detected, the EV side IDS 110 and the EVSE side IDS 210 proceed to step S203. On the other hand, if the occurrence of an attack is not detected, the EV side IDS 110 and the EVSE side IDS 210 end the process without doing anything. Note that since the EV side IDS 110 and the EVSE side IDS 210 are connected to the same CAN bus, generally either they both detect the occurrence of an attack, or neither of them detect the occurrence of an attack. Please note that. However, for example, if the detection unit 113 of the EV-side IDS 110 and the detection unit 213 of the EVSE-side IDS 210 use different attack detection methods and there is a difference in detection accuracy, the occurrence of an attack may be detected only in one of them. It is possible that
 ステップS203:EV側IDS110の特定部114は、記憶部117に記憶されている学習モデルを用いて、攻撃元がEV側充電ECU120であるか否かを特定する。同様に、EVSE側IDS210の特定部214は、記憶部217に記憶されている学習モデルを用いて、攻撃元がEVSE側充電ECU220であるか否かを特定する。 Step S203: The identification unit 114 of the EV side IDS 110 uses the learning model stored in the storage unit 117 to identify whether the attack source is the EV side charging ECU 120. Similarly, the identification unit 214 of the EVSE side IDS 210 uses the learning model stored in the storage unit 217 to identify whether the attack source is the EVSE side charging ECU 220.
 ステップS204:EV側IDS110の特定情報送受信部115は、攻撃元がEV側充電ECU120であるか否かを示す特定情報(以下、第1の特定情報という。)をEVSE側IDS210に送信する。同様に、EVSE側IDS210の特定情報送受信部215は、攻撃元がEVSE側充電ECU220であるか否かを示す特定情報(以下、第2の特定情報という。)をEV側IDS110に送信する。 Step S204: The specific information transmitting/receiving unit 115 of the EV side IDS 110 transmits specific information (hereinafter referred to as first specific information) indicating whether the attack source is the EV side charging ECU 120 to the EVSE side IDS 210. Similarly, the specific information transmitting/receiving unit 215 of the EVSE side IDS 210 transmits specific information (hereinafter referred to as second specific information) indicating whether the attack source is the EVSE side charging ECU 220 to the EV side IDS 110.
 ステップS205:EV側IDS110の特定情報送受信部115は、第2の特定情報をEVSE側IDS210から受信する。同様に、EVSE側IDS210の特定情報送受信部215は、第1の特定情報をEV側IDS110から受信する。 Step S205: The specific information transmitting/receiving unit 115 of the EV side IDS 110 receives the second specific information from the EVSE side IDS 210. Similarly, the specific information transmitting/receiving unit 215 of the EVSE side IDS 210 receives the first specific information from the EV side IDS 110.
 ステップS206:EV側IDS110の照合部116は、第1の特定情報と第2の特定情報とを照合し、攻撃元が、EV側充電ECU120、EVSE側IDS210又はそれ以外、のいずれであるかを特定する。同様に、EVSE側IDS210の照合部216は、第1の特定情報と第2の特定情報とを照合し、攻撃元が、EV側充電ECU120、EVSE側IDS210又はそれ以外、のいずれであるかを特定する。 Step S206: The collation unit 116 of the EV side IDS 110 collates the first specific information and the second specific information, and determines whether the attack source is the EV side charging ECU 120, the EVSE side IDS 210, or something else. Identify. Similarly, the collation unit 216 of the EVSE side IDS 210 collates the first specific information and the second specific information, and determines whether the attack source is the EV side charging ECU 120, the EVSE side IDS 210, or something else. Identify.
 ここで、例えば、第1の特定情報をxとして、上記のステップS203で「攻撃元はEV側充電ECU120」と特定されたときx=1、「攻撃元はEV側充電ECU120でない」と特定されたときx=0を取るものとする。同様に、例えば、第2の特定情報をyとして、上記のステップS203で「攻撃元はEVSE側充電ECU220」と特定されたときy=1、「攻撃元はEVSE側充電ECU220でない」と特定されたときy=0を取るものとする。このとき、照合部116及び照合部226は、(x,y)=(1,0)であれば「EV側充電ECU120」を攻撃元と特定し、(x,y)=(0,1)であれば「EVSE側充電ECU220」を攻撃元と特定し、(x,y)=(0,0)であれば「それ以外」を攻撃元と特定する。「それ以外」とは、例えば、EV側充電ECU120及びEVSE側充電ECU220以外のECUが攻撃元である場合、不正接続デバイスが攻撃元である場合等のことである。 Here, for example, if the first specific information is x, when it is specified in the above step S203 that "the attack source is the EV side charging ECU 120", x=1, and "the attack source is not the EV side charging ECU 120" is specified. Assume that x=0 when Similarly, for example, if the second specific information is y, when it is specified in step S203 that "the attack source is the EVSE side charging ECU 220", y=1, and "the attack source is not the EVSE side charging ECU 220" is specified. Assume that y=0 when At this time, the verification unit 116 and the verification unit 226 identify the "EV side charging ECU 120" as the attack source if (x, y) = (1, 0), and if (x, y) = (0, 1) If so, "EVSE side charging ECU 220" is identified as the attack source, and if (x, y) = (0, 0), "others" are identified as the attack source. "Other" means, for example, a case where the attack source is an ECU other than the EV side charging ECU 120 and the EVSE side charging ECU 220, a case where an illegally connected device is the attack source, or the like.
 なお、(x,y)=(1,1)の場合、「EV側充電ECU120」と「EVSE側充電ECU220」の両方を攻撃元と特定してもよいし、攻撃検知又は学習モデルによる特定に誤りあったものとして「特定不能」等といった情報を特定結果としてもよい。 In addition, in the case of (x, y) = (1, 1), both "EV side charging ECU 120" and "EVSE side charging ECU 220" may be identified as attack sources, or they may be identified by attack detection or learning model. Information such as "unidentifiable" may be used as the identification result, indicating that there is an error.
 ステップS207:EV側IDS110の照合部116は、攻撃元の特定結果を所定の通知先(例えば、EV10のユーザの利用するアプリケーション等)に通知する。同様に、EVSE側IDS210の照合部216は、攻撃元の特定結果を所定の通知先(例えば、充電サービスプロバイダやEVSE20の管理者等)に通知する。これにより、EV10のユーザや充電サービスプロバイダ、EVSE20の管理者等は、EV側充電ECU120又はEVSE側充電ECU220が既に攻撃されて不正な操作が行われており、不正なCANメッセージを送信して他のデバイスを攻撃していること知ることができる。 Step S207: The verification unit 116 of the EV-side IDS 110 notifies a predetermined notification destination (for example, an application used by the user of the EV 10) of the attack source identification result. Similarly, the collation unit 216 of the EVSE side IDS 210 notifies a predetermined notification destination (for example, a charging service provider, an administrator of the EVSE 20, etc.) of the identification result of the attack source. As a result, users of EV10, charging service providers, administrators of EVSE20, etc. are aware that the EV-side charging ECU 120 or the EVSE-side charging ECU 220 has already been attacked and unauthorized operations have been performed, and that they are sending unauthorized CAN messages to other users. device is being attacked.
 [実施例2]
 以下、実施例2について説明する。本実施例では、第1の特定情報と第2の特定情報の照合を外部サーバ30が行う場合について説明する。 [Example 2]
Example 2 will be described below. In this embodiment, a case will be described in which the external server 30 collates the first specific information and the second specific information.
 なお、本実施例では、主に、実施例1との相違点について説明し、実施例1と同様の構成要素については、適宜、その説明を省略する。 Note that in this example, differences from Example 1 will be mainly described, and descriptions of components similar to Example 1 will be omitted as appropriate.
 <攻撃元特定システム1の機能構成例(実施例2)>
 本実施例における攻撃元特定システム1の機能構成例を図5に示す。 <Example of functional configuration of attack source identification system 1 (Example 2)>
FIG. 5 shows an example of the functional configuration of the attack source identification system 1 in this embodiment.
  ≪EV側IDS110≫
 図5に示すように、本実施例におけるEV側IDS110は、実施例1と異なり、特定情報送受信部115と照合部116を有さず、特定情報送信部118を有する。特定情報送信部118は、例えば、EV側IDS110を実現する1以上のプログラムが、プロセッサ等の演算装置に実行させる処理により実現される。 ≪EV side IDS110≫
As shown in FIG. 5, the EV side IDS 110 in this embodiment differs from the first embodiment in that it does not have a specific information transmitting/receiving section 115 and a collating section 116, but does have a specific information transmitting section 118. The specific information transmitter 118 is realized, for example, by a process in which one or more programs that implement the EV side IDS 110 are executed by an arithmetic device such as a processor.
 特定情報送信部118は、特定部114による特定結果を示す第1の特定情報を外部サーバ30に送信する。 The specific information transmitting unit 118 transmits first specific information indicating the specific result by the specifying unit 114 to the external server 30.
  ≪EVSE側IDS210≫
 図5に示すように、本実施例におけるEVSE側IDS210は、実施例1と異なり、特定情報送受信部215と照合部216を有さず、特定情報送信部218を有する。 ≪EVSE side IDS210≫
As shown in FIG. 5, the EVSE side IDS 210 in this embodiment differs from the first embodiment in that it does not have a specific information transmitting/receiving section 215 and a collating section 216, but does have a specific information transmitting section 218.
 特定情報送信部218は、特定部214による特定結果を示す第2の特定情報を外部サーバ30に送信する。 The specific information transmitting unit 218 transmits second specific information indicating the specific result by the specifying unit 214 to the external server 30.
  ≪外部サーバ30≫
 図5に示すように、本実施例における外部サーバ30は、照合部301を有する。照合部301は、例えば、外部サーバ30にインストールされた1以上のプログラムが、プロセッサ等の演算装置に実行させる処理により実現される。 <<External server 30>>
As shown in FIG. 5, the external server 30 in this embodiment includes a collation unit 301. The matching unit 301 is realized, for example, by a process in which one or more programs installed in the external server 30 are caused to be executed by an arithmetic device such as a processor.
 照合部301は、第1の特定情報と第2の特定情報とを照合し、攻撃元が、EV側充電ECU120、EVSE側IDS210又はそれ以外、のいずれであるかを特定する。また、照合部301は、攻撃元の特定結果を所定の通知先(例えば、EV10のユーザの利用するアプリケーション、充電サービスプロバイダ、EVSE20の管理者等)に通知する。 The collation unit 301 collates the first specific information and the second specific information, and specifies whether the attack source is the EV side charging ECU 120, the EVSE side IDS 210, or something else. Further, the collation unit 301 notifies a predetermined notification destination (for example, an application used by the user of the EV 10, a charging service provider, an administrator of the EVSE 20, etc.) of the identification result of the attack source.
 <事前学習処理の流れ(実施例2)>
 実施例1と同様であるため、その説明を省略する。 <Flow of pre-learning processing (Example 2)>
Since this is the same as in Example 1, the explanation thereof will be omitted.
 <攻撃検知及び攻撃元特定処理の流れ(実施例2)>
 実施例2における攻撃検知及び攻撃元特定処理の流れについて、図6を参照しながら説明する。 <Flow of attack detection and attack source identification processing (Example 2)>
The flow of attack detection and attack source identification processing in the second embodiment will be described with reference to FIG. 6.
 ステップS301~ステップS303は、実施例1のステップS201~ステップS203とそれぞれ同様であるため、その説明を省略する。 Steps S301 to S303 are the same as steps S201 to S203 of Example 1, respectively, so their description will be omitted.
 ステップS304:EV側IDS110の特定情報送信部118は、第1の特定情報を外部サーバ30に送信する。同様に、EVSE側IDS210の特定情報送信部218は、第2の特定情報を外部サーバ30に送信する。 Step S304: The specific information transmitting unit 118 of the EV side IDS 110 transmits the first specific information to the external server 30. Similarly, the specific information transmitting unit 218 of the EVSE side IDS 210 transmits the second specific information to the external server 30.
 ステップS305:外部サーバ30の照合部301は、第1の特定情報と第2の特定情報とを照合し、攻撃元が、EV側充電ECU120、EVSE側IDS210又はそれ以外、のいずれであるかを特定する。なお、照合部301は、実施例1のステップS206と同様の手法により照合及び攻撃元の特定を行えばよい。 Step S305: The collation unit 301 of the external server 30 collates the first specific information and the second specific information, and determines whether the attack source is the EV-side charging ECU 120, the EVSE-side IDS 210, or something else. Identify. Note that the verification unit 301 may perform verification and identify the source of the attack using the same method as in step S206 of the first embodiment.
 ステップS306:外部サーバ30の照合部301は、攻撃元の特定結果を所定の通知先(例えば、EV10のユーザの利用するアプリケーション、充電サービスプロバイダ、EVSE20の管理者等)に通知する。これにより、実施例1と同様に、EV10のユーザや充電サービスプロバイダ、EVSE20の管理者等は、EV側充電ECU120又はEVSE側充電ECU220が既に攻撃されて不正な操作が行われており、不正なCANメッセージを送信して他のデバイスを攻撃していること知ることができる。 Step S306: The verification unit 301 of the external server 30 notifies a predetermined notification destination (for example, an application used by the user of the EV 10, a charging service provider, an administrator of the EVSE 20, etc.) of the identification result of the attack source. As a result, as in the first embodiment, the user of the EV 10, the charging service provider, the administrator of the EVSE 20, etc. can confirm that the EV-side charging ECU 120 or the EVSE-side charging ECU 220 has already been attacked and fraudulently operated. You can know that you are attacking other devices by sending CAN messages.
 [実施例3]
 以下、実施例3について説明する。本実施例では、EV側IDS110とは別に攻撃検知用のIDSがEV10内に存在すると共に、EVSE側IDS210とは別に攻撃検知用のIDSがEVSE20内に存在する場合について説明する。 [Example 3]
Example 3 will be described below. In this embodiment, a case will be described in which an IDS for attack detection exists in the EV 10 separately from the EV side IDS 110, and an IDS for attack detection exists in the EVSE 20 separately from the EVSE side IDS 210.
 なお、本実施例では、主に、実施例1との相違点について説明し、実施例1と同様の構成要素については、適宜、その説明を省略する。 Note that in this example, differences from Example 1 will be mainly described, and descriptions of components similar to Example 1 will be omitted as appropriate.
 <攻撃元特定システム1の機能構成例(実施例3)>
 本実施例における攻撃元特定システム1の機能構成例を図7に示す。 <Functional configuration example of attack source identification system 1 (Example 3)>
FIG. 7 shows an example of the functional configuration of the attack source identification system 1 in this embodiment.
  ≪EV側IDS110≫
 図7に示すように、本実施例におけるEV側IDS110は、実施例1と異なり、検知部113を有さず、アラート情報受信部119を有する。アラート情報受信部119は、例えば、EV側IDS110を実現する1以上のプログラムが、プロセッサ等の演算装置に実行させる処理により実現される。 ≪EV side IDS110≫
As shown in FIG. 7, the EV side IDS 110 in this embodiment differs from the first embodiment in that it does not have a detection unit 113 but has an alert information receiving unit 119. The alert information receiving unit 119 is realized, for example, by a process in which one or more programs that implement the EV side IDS 110 are executed by an arithmetic device such as a processor.
 アラート情報受信部119は、攻撃が検知用IDS130によって検知された場合、その検知用IDS130から送信されたアラート情報を受信する。ここで、検知用IDS130は攻撃検知用のIDSであり、何等か攻撃検知手法(又は異常検知手法)により攻撃を検知し、アラート情報を送信する。 When an attack is detected by the detection IDS 130, the alert information receiving unit 119 receives the alert information transmitted from the detection IDS 130. Here, the detection IDS 130 is an IDS for attack detection, detects an attack using some attack detection method (or abnormality detection method), and transmits alert information.
  ≪EVSE側IDS210≫
 図7に示すように、本実施例におけるEVSE側IDS210は、実施例1と異なり、検知部213を有さず、アラート情報受信部219を有する。アラート情報受信部219は、例えば、EVSE側IDS210を実現する1以上のプログラムが、プロセッサ等の演算装置に実行させる処理により実現される。 ≪EVSE side IDS210≫
As shown in FIG. 7, the EVSE side IDS 210 in this embodiment differs from the first embodiment in that it does not have a detection unit 213 but has an alert information receiving unit 219. The alert information receiving unit 219 is realized, for example, by a process in which one or more programs that implement the EVSE side IDS 210 are executed by an arithmetic device such as a processor.
 アラート情報受信部219は、攻撃が検知用IDS230によって検知された場合、その検知用IDS230から送信されたアラート情報を受信する。ここで、検知用IDS230は攻撃検知用のIDSであり、何等か攻撃検知手法(又は異常検知手法)により攻撃を検知し、アラート情報を送信する。 When an attack is detected by the detection IDS 230, the alert information receiving unit 219 receives the alert information transmitted from the detection IDS 230. Here, the detection IDS 230 is an IDS for attack detection, detects an attack using some attack detection method (or abnormality detection method), and transmits alert information.
 <事前学習処理の流れ(実施例3)>
 実施例1と同様であるため、その説明を省略する。 <Flow of pre-learning processing (Example 3)>
Since this is the same as in Example 1, the explanation thereof will be omitted.
 <攻撃検知及び攻撃元特定処理の流れ(実施例3)>
 実施例3における攻撃検知及び攻撃元特定処理の流れについて、図8を参照しながら説明する。 <Flow of attack detection and attack source identification processing (Example 3)>
The flow of attack detection and attack source identification processing in the third embodiment will be described with reference to FIG. 8.
 ステップS401は、実施例1のステップS201と同様であるため、その説明を省略する。 Step S401 is the same as step S201 of the first embodiment, so its description will be omitted.
 ステップS402:EV側IDS110のアラート情報受信部119は、検知用IDS130からアラート情報を受信したか否かを判定する。同様に、EVSE側IDS210のアラート情報受信部219は、検知用IDS230からアラート情報を受信したか否かを判定する。 Step S402: The alert information receiving unit 119 of the EV side IDS 110 determines whether alert information has been received from the detection IDS 130. Similarly, the alert information receiving unit 219 of the EVSE side IDS 210 determines whether alert information has been received from the detection IDS 230.
 ここで、アラート情報を受信した場合、EV側IDS110とEVSE側IDS210はステップS403に進む。一方で、アラート情報を受信しなかった場合、EV側IDS110とEVSE側IDS210は何もせずに処理を終了する。なお、EV側IDS110とEVSE側IDS210は同一のCANバスに接続されているため、一般に、いずれもアラート情報を受信するか、又は、いずれもアラート情報を受信しないか、のどちらかであることに留意されたい。ただし、例えば、EV側IDS110の検知用IDS130とEVSE側IDS210の検知用IDS230とで攻撃検知手法が異なり、その検知精度に差異がある場合等には、いずれか一方でのみ攻撃の発生が検知されることもあり得る。 Here, if alert information is received, the EV side IDS 110 and the EVSE side IDS 210 proceed to step S403. On the other hand, if the alert information is not received, the EV side IDS 110 and the EVSE side IDS 210 end the process without doing anything. Note that since the EV side IDS 110 and the EVSE side IDS 210 are connected to the same CAN bus, generally either they both receive alert information, or neither of them receives alert information. Please note. However, for example, if the attack detection method is different between the detection IDS 130 of the EV side IDS 110 and the detection IDS 230 of the EVSE side IDS 210, and there is a difference in detection accuracy, the occurrence of an attack will be detected only on one of them. It is possible that
 ステップS403~ステップS407は、実施例1のステップS203~ステップS207とそれぞれ同様であるため、その説明を省略する。 Steps S403 to S407 are the same as steps S203 to S207 of Example 1, respectively, so their explanation will be omitted.
 なお、本実施例では、EV10とEVSE20の両方が攻撃検知用のIDSを持つものとしたが、例えば、いずれか一方が実施例1と同様の構成であってもよい。この場合、EV側IDS110又はEVSE側IDS210のいずれか一方は実施例1と同様の機能構成となる。 Note that in this embodiment, both the EV 10 and the EVSE 20 have IDS for attack detection, but for example, either one may have the same configuration as in the first embodiment. In this case, either the EV side IDS 110 or the EVSE side IDS 210 has the same functional configuration as in the first embodiment.
 [実施例4]
 以下、実施例4について説明する。本実施例は、実施例2と実施例3を組み合わせた場合について説明する。 [Example 4]
Example 4 will be described below. This example describes a case where Example 2 and Example 3 are combined.
 なお、本実施例では、主に、実施例1との相違点について説明し、実施例1と同様の構成要素については、適宜、その説明を省略する。 Note that in this example, differences from Example 1 will be mainly described, and descriptions of components similar to Example 1 will be omitted as appropriate.
 <攻撃元特定システム1の機能構成例(実施例4)>
 本実施例における攻撃元特定システム1の機能構成例を図9に示す。 <Example of functional configuration of attack source identification system 1 (Example 4)>
FIG. 9 shows an example of the functional configuration of the attack source identification system 1 in this embodiment.
  ≪EV側IDS110≫
 図9に示すように、本実施例におけるEV側IDS110は、実施例1と異なり、検知部113と特定情報送受信部115と照合部116を有さず、特定情報送信部118とアラート情報受信部119とを有する。 ≪EV side IDS110≫
As shown in FIG. 9, unlike the first embodiment, the EV side IDS 110 in this embodiment does not have a detection section 113, a specific information transmitting/receiving section 115, and a collating section 116, but has a specific information transmitting section 118 and an alert information receiving section. 119.
 アラート情報受信部119は、攻撃が検知用IDS130によって検知された場合、その検知用IDS130から送信されたアラート情報を受信する。 When an attack is detected by the detection IDS 130, the alert information receiving unit 119 receives the alert information transmitted from the detection IDS 130.
 特定情報送信部118は、特定部114による特定結果を示す第1の特定情報を外部サーバ30に送信する。 The specific information transmitting unit 118 transmits first specific information indicating the specific result by the specifying unit 114 to the external server 30.
  ≪EVSE側IDS210≫
 図9に示すように、本実施例におけるEVSE側IDS210は、実施例1と異なり、検知部213と特定情報送受信部215と照合部216を有さず、特定情報送信部218とアラート情報受信部219とを有する。 ≪EVSE side IDS210≫
As shown in FIG. 9, unlike the first embodiment, the EVSE side IDS 210 in this embodiment does not have a detection section 213, a specific information transmitting/receiving section 215, and a collation section 216, but has a specific information transmitting section 218 and an alert information receiving section. 219.
 アラート情報受信部219は、攻撃が検知用IDS230によって検知された場合、その検知用IDS230から送信されたアラート情報を受信する。 When an attack is detected by the detection IDS 230, the alert information receiving unit 219 receives the alert information transmitted from the detection IDS 230.
 特定情報送信部218は、特定部214による特定結果を示す第2の特定情報を外部サーバ30に送信する。 The specific information transmitting unit 218 transmits second specific information indicating the specific result by the specifying unit 214 to the external server 30.
  ≪外部サーバ30≫
 図9に示すように、本実施例における外部サーバ30は、照合部301を有する。照合部301は、第1の特定情報と第2の特定情報とを照合し、攻撃元が、EV側充電ECU120、EVSE側IDS210又はそれ以外、のいずれであるかを特定する。また、照合部301は、攻撃元の特定結果を所定の通知先(例えば、EV10のユーザの利用するアプリケーション、充電サービスプロバイダ、EVSE20の管理者等)に通知する。 <<External server 30>>
As shown in FIG. 9, the external server 30 in this embodiment includes a collation unit 301. The collation unit 301 collates the first specific information and the second specific information, and specifies whether the attack source is the EV-side charging ECU 120, the EVSE-side IDS 210, or something else. Further, the collation unit 301 notifies a predetermined notification destination (for example, an application used by the user of the EV 10, a charging service provider, an administrator of the EVSE 20, etc.) of the identification result of the attack source.
 <事前学習処理の流れ(実施例4)>
 実施例1と同様であるため、その説明を省略する。 <Flow of pre-learning process (Example 4)>
Since this is the same as in Example 1, the explanation thereof will be omitted.
 <攻撃検知及び攻撃元特定処理の流れ(実施例4)>
 実施例4における攻撃検知及び攻撃元特定処理の流れについて、図10を参照しながら説明する。 <Flow of attack detection and attack source identification processing (Example 4)>
The flow of attack detection and attack source identification processing in the fourth embodiment will be described with reference to FIG. 10.
 ステップS501は、実施例1のステップS201と同様であるため、その説明を省略する。 Step S501 is the same as step S201 of the first embodiment, so its description will be omitted.
 ステップS502:EV側IDS110のアラート情報受信部119は、検知用IDS130からアラート情報を受信したか否かを判定する。同様に、EVSE側IDS210のアラート情報受信部219は、検知用IDS230からアラート情報を受信したか否かを判定する。 Step S502: The alert information receiving unit 119 of the EV side IDS 110 determines whether alert information has been received from the detection IDS 130. Similarly, the alert information receiving unit 219 of the EVSE side IDS 210 determines whether alert information has been received from the detection IDS 230.
 ここで、アラート情報を受信した場合、EV側IDS110とEVSE側IDS210はステップS503に進む。一方で、アラート情報を受信しなかった場合、EV側IDS110とEVSE側IDS210は何もせずに処理を終了する。なお、EV側IDS110とEVSE側IDS210は同一のCANバスに接続されているため、一般に、いずれもアラート情報を受信するか、又は、いずれもアラート情報を受信しないか、のどちらかであることに留意されたい。ただし、例えば、EV側IDS110の検知用IDS130とEVSE側IDS210の検知用IDS230とで攻撃検知手法が異なり、その検知精度に差異がある場合等には、いずれか一方でのみ攻撃の発生が検知されることもあり得る。 Here, if alert information is received, the EV side IDS 110 and the EVSE side IDS 210 proceed to step S503. On the other hand, if the alert information is not received, the EV side IDS 110 and the EVSE side IDS 210 end the process without doing anything. Note that since the EV side IDS 110 and the EVSE side IDS 210 are connected to the same CAN bus, generally either they both receive alert information, or neither of them receives alert information. Please note. However, for example, if the attack detection method is different between the detection IDS 130 of the EV side IDS 110 and the detection IDS 230 of the EVSE side IDS 210, and there is a difference in detection accuracy, the occurrence of an attack will be detected only on one of them. It is possible that
 ステップS503は、実施例1のステップS203と同様であるため、その説明を省略する。 Step S503 is the same as step S203 of the first embodiment, so its description will be omitted.
 ステップS504:EV側IDS110の特定情報送信部118は、第1の特定情報を外部サーバ30に送信する。同様に、EVSE側IDS210の特定情報送信部218は、第2の特定情報を外部サーバ30に送信する。 Step S504: The specific information transmitting unit 118 of the EV side IDS 110 transmits the first specific information to the external server 30. Similarly, the specific information transmitting unit 218 of the EVSE side IDS 210 transmits the second specific information to the external server 30.
 ステップS505:外部サーバ30の照合部301は、第1の特定情報と第2の特定情報とを照合し、攻撃元が、EV側充電ECU120、EVSE側IDS210又はそれ以外、のいずれであるかを特定する。なお、照合部301は、実施例1のステップS206と同様の手法により照合及び攻撃元の特定を行えばよい。 Step S505: The collation unit 301 of the external server 30 collates the first specific information and the second specific information, and determines whether the attack source is the EV side charging ECU 120, the EVSE side IDS 210, or something else. Identify. Note that the verification unit 301 may perform verification and identify the source of the attack using the same method as in step S206 of the first embodiment.
 ステップS506:外部サーバ30の照合部301は、攻撃元の特定結果を所定の通知先(例えば、EV10のユーザの利用するアプリケーション、充電サービスプロバイダ、EVSE20の管理者等)に通知する。これにより、実施例1と同様に、EV10のユーザや充電サービスプロバイダ、EVSE20の管理者等は、EV側充電ECU120又はEVSE側充電ECU220が既に攻撃されて不正な操作が行われており、不正なCANメッセージを送信して他のデバイスを攻撃していること知ることができる。 Step S506: The verification unit 301 of the external server 30 notifies a predetermined notification destination (for example, an application used by the user of the EV 10, a charging service provider, an administrator of the EVSE 20, etc.) of the identification result of the attack source. As a result, as in the first embodiment, the user of the EV 10, the charging service provider, the administrator of the EVSE 20, etc. can confirm that the EV-side charging ECU 120 or the EVSE-side charging ECU 220 has already been attacked and fraudulently operated. You can know that you are attacking other devices by sending CAN messages.
 <まとめ>
 以上のように、本実施形態に係る攻撃元特定システム1では、EV10とEVSE20の両方にIDSが搭載されており、これらIDSが、攻撃元のデバイスが事前学習したデバイスであるか否かを特定し、その判定結果から最終的な攻撃元デバイスを特定することができる。このため、本実施形態に係る攻撃元特定システム1によれば、EV10がより普及し、EV10を充電するために様々のEV10と様々なEVSE20とが接続される場合にEV10とEVSE20の双方のセキュリティをより向上させることが可能となる。 <Summary>
As described above, in the attack source identification system 1 according to the present embodiment, both the EV 10 and the EVSE 20 are equipped with IDS, and these IDS identify whether or not the attack source device is a device that has been learned in advance. However, the final attack source device can be identified from the determination result. Therefore, according to the attack source identification system 1 according to the present embodiment, when EV10 becomes more widespread and various EV10 and various EVSE20 are connected to charge EV10, the security of both EV10 and EVSE20 is improved. It becomes possible to further improve the
 本発明は、具体的に開示された上記の実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。 The present invention is not limited to the above-described specifically disclosed embodiments, and various modifications and changes, combinations with known techniques, etc. are possible without departing from the scope of the claims. .
 1    攻撃元特定システム
 10   EV
 20   EVSE
 30   外部サーバ
 110  IDS
 111  CANメッセージ受信部
 112  学習部
 113  検知部
 114  特定部
 115  特定情報送受信部
 116  照合部
 117  記憶部
 118  特定情報送信部
 119  アラート情報受信部
 120  充電ECU
 130  検知用IDS
 210  IDS
 211  CANメッセージ受信部
 212  学習部
 213  検知部
 214  特定部
 215  特定情報送受信部
 216  照合部
 217  記憶部
 218  特定情報送信部
 219  アラート情報受信部
 220  充電ECU
 230  検知用IDS
 301  照合部 1 Attack source identification system 10 EV
20 EVSE
30 External server 110 IDS
111 CAN message receiving section 112 Learning section 113 Detection section 114 Specification section 115 Specific information transmission/reception section 116 Collation section 117 Storage section 118 Specific information transmission section 119 Alert information reception section 120 Charging ECU
130 IDS for detection
210 IDS
211 CAN message receiving section 212 Learning section 213 Detection section 214 Specification section 215 Specific information transmission/reception section 216 Collation section 217 Storage section 218 Specific information transmission section 219 Alert information reception section 220 Charging ECU
230 IDS for detection
301 Verification section

Claims (8)

  1.  電動輸送機器又は該電動輸送機器の充電器に対する攻撃の攻撃元デバイスを特定する攻撃元特定システムであって、
     前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々は、
     予め学習された学習モデルを用いて、前記攻撃の攻撃元デバイスが、前記学習モデルによって学習済みの充電制御デバイスであるか否かを特定するように構成されている特定部と、
     前記特定部による特定結果を示す第1の特定情報を他方のIDSに送信すると共に、前記他方のIDSが有する特定部による特定結果を示す第2の特定情報を受信するように構成されている特定情報送受信部と、
     前記第1の特定情報と第2の特定情報とを照合し、前記攻撃の攻撃元デバイスを特定するように構成されている照合部と、を有する、
     攻撃元特定システム。     An attack source identification system for identifying an attack source device of an attack on electric transportation equipment or a charger of the electric transportation equipment, the system comprising:
    Each of the IDSs installed in each of the electric transportation device and the charger,
    an identification unit configured to use a learning model learned in advance to identify whether the attack source device of the attack is a charging control device learned by the learning model;
    An identification device configured to transmit first identification information indicating the identification result by the identification unit to the other IDS, and receive second identification information indicating the identification result by the identification unit included in the other IDS. an information transmitting and receiving unit;
    a collating unit configured to collate the first specific information and second specific information to identify the attack source device of the attack;
    Attack source identification system.
  2.  電動輸送機器又は該電動輸送機器の充電器に対する攻撃の攻撃元デバイスを特定する攻撃元特定システムであって、
     前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々は、
     予め学習された学習モデルを用いて、前記攻撃の攻撃元デバイスが、前記学習モデルによって学習済みの充電制御デバイスであるか否かを特定するように構成されている特定部と、
     前記特定部による特定結果を示す特定情報を外部サーバに送信するように構成されている特定情報送信部と、を有し、
     前記外部サーバは、
     前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々から受信した特定情報を照合し、前記攻撃の攻撃元デバイスを特定するように構成されている照合部、を有する、
     攻撃元特定システム。     An attack source identification system for identifying an attack source device of an attack on electric transportation equipment or a charger of the electric transportation equipment, the system comprising:
    Each of the IDSs installed in each of the electric transportation device and the charger,
    an identification unit configured to use a learning model learned in advance to identify whether the attack source device of the attack is a charging control device learned by the learning model;
    a specific information transmitting unit configured to transmit specific information indicating the identification result by the identifying unit to an external server;
    The external server is
    a collation unit configured to collate specific information received from each of the IDSs installed in each of the electric transportation equipment and the charger to identify the attack source device of the attack;
    Attack source identification system.
  3.  前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々は、
     自身が接続されたCANバス上のCANメッセージから、前記攻撃を検知するように構成されている検知部を更に有し、
     前記特定部は、
     前記攻撃が検知された場合、予め学習された学習モデルを用いて、前記攻撃の攻撃元デバイスが、前記学習モデルによって学習済みの充電制御デバイスであるか否かを特定するように構成されている、
     請求項1又は2に記載の攻撃元特定システム。     Each of the IDSs installed in each of the electric transportation device and the charger,
    further comprising a detection unit configured to detect the attack from a CAN message on a CAN bus to which the detection unit is connected;
    The specific part is
    When the attack is detected, the device is configured to use a learning model learned in advance to identify whether or not the attack source device of the attack is a charging control device that has been learned by the learning model. ,
    The attack source identification system according to claim 1 or 2.
  4.  前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々は、
     前記攻撃を検知する検知用IDSから、前記攻撃が検知されたことを示すアラート情報を受信するように構成されているアラート情報受信部を更に有し、
     前記特定部は、
     前記アラート情報を受信した場合、予め学習された学習モデルを用いて、前記攻撃の攻撃元デバイスが、前記学習モデルによって学習済みの充電制御デバイスであるか否かを特定するように構成されている、
     請求項1又は2に記載の攻撃元特定システム。     Each of the IDSs installed in each of the electric transportation device and the charger,
    further comprising an alert information receiving unit configured to receive alert information indicating that the attack has been detected from a detection IDS that detects the attack;
    The specific part is
    When the alert information is received, the device is configured to use a learning model learned in advance to identify whether or not the attack source device of the attack is a charging control device that has been learned by the learning model. ,
    The attack source identification system according to claim 1 or 2.
  5.  前記照合部は、
     前記攻撃の攻撃元デバイスを特定した結果を、前記電動輸送機器のユーザと前記充電器による充電サービスを提供する提供者と前記充電器の管理者とのうちの少なくとも1つに通知するように構成されている、
     請求項1乃至4の何れか一項に記載の攻撃元特定システム。     The matching unit is
    The device is configured to notify at least one of a user of the electric transportation equipment, a provider of charging service using the charger, and an administrator of the charger of the result of identifying the attack source device of the attack. has been,
    The attack source identification system according to any one of claims 1 to 4.
  6.  電動輸送機器又は該電動輸送機器の充電器に対する攻撃の攻撃元デバイスを特定する攻撃元特定システムに用いられる攻撃元特定方法であって、
     前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々が、
     予め学習された学習モデルを用いて、前記攻撃の攻撃元デバイスが、前記学習モデルによって学習済みの充電制御デバイスであるか否かを特定するように構成されている特定手順と、
     前記特定手順による特定結果を示す第1の特定情報を他方のIDSに送信すると共に、前記他方のIDSが有する特定手順による特定結果を示す第2の特定情報を受信するように構成されている特定情報送受信手順と、
     前記第1の特定情報と第2の特定情報とを照合し、前記攻撃の攻撃元デバイスを特定するように構成されている照合手順と、を実行する、
     攻撃元特定方法。     An attack source identification method used in an attack source identification system for identifying an attack source device of an attack on electric transportation equipment or a charger of the electric transportation equipment, the method comprising:
    Each of the IDSs installed in each of the electric transportation device and the charger,
    an identification procedure configured to use a learning model learned in advance to identify whether or not the attack source device of the attack is a charging control device learned by the learning model;
    An identification device configured to transmit first identification information indicating the identification result obtained by the identification procedure to the other IDS, and receive second identification information indicating the identification result obtained by the identification procedure possessed by the other IDS. Information transmission and reception procedures,
    performing a matching procedure configured to match the first specific information and second specific information to identify the attack source device of the attack;
    How to identify the source of the attack.
  7.  電動輸送機器又は該電動輸送機器の充電器に対する攻撃の攻撃元デバイスを特定する攻撃元特定システムに用いられる攻撃元特定方法であって、
     前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々が、
     予め学習された学習モデルを用いて、前記攻撃の攻撃元デバイスが、前記学習モデルによって学習済みの充電制御デバイスであるか否かを特定するように構成されている特定手順と、
     前記特定手順による特定結果を示す特定情報を外部サーバに送信するように構成されている特定情報送信手順と、を実行し、
     前記外部サーバが、
     前記電動輸送機器及び前記充電器のそれぞれに搭載されたIDSの各々から受信した特定情報を照合し、前記攻撃の攻撃元デバイスを特定するように構成されている照合手順、を実行する、
     攻撃元特定方法。     An attack source identification method used in an attack source identification system for identifying an attack source device of an attack on electric transportation equipment or a charger of the electric transportation equipment, the method comprising:
    Each of the IDSs installed in each of the electric transportation device and the charger,
    an identification procedure configured to use a learning model learned in advance to identify whether or not the attack source device of the attack is a charging control device learned by the learning model;
    executing a specific information sending procedure configured to send specific information indicating a specific result of the specific procedure to an external server;
    The external server is
    performing a matching procedure configured to match specific information received from each of the IDSs mounted on each of the electric transportation device and the charger to identify the source device of the attack;
    How to identify the source of the attack.
  8.  コンピュータを、請求項1乃至5の何れか一項に記載の攻撃元特定システムに含まれる電動輸送機器に搭載されたIDS又は充電器に搭載されたIDSとして機能させるプログラム。 A program that causes a computer to function as an IDS installed in an electric transportation device or an IDS installed in a charger included in the attack source identification system according to any one of claims 1 to 5.
PCT/JP2022/016778 2022-03-31 2022-03-31 Attack source identification system, attack source identification method, and program WO2023188356A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/016778 WO2023188356A1 (en) 2022-03-31 2022-03-31 Attack source identification system, attack source identification method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/016778 WO2023188356A1 (en) 2022-03-31 2022-03-31 Attack source identification system, attack source identification method, and program

Publications (1)

Publication Number Publication Date
WO2023188356A1 true WO2023188356A1 (en) 2023-10-05

Family

ID=88200377

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2022/016778 WO2023188356A1 (en) 2022-03-31 2022-03-31 Attack source identification system, attack source identification method, and program

Country Status (1)

Country Link
WO (1) WO2023188356A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014106801A (en) * 2012-11-28 2014-06-09 Pioneer Electronic Corp Information processor, information processing method, program for information processor and recording medium
WO2020080047A1 (en) * 2018-10-17 2020-04-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Incursion location identification device and incursion location identification method
US20200233956A1 (en) * 2019-01-23 2020-07-23 General Electric Company Framework for cyber-physical system protection of electric vehicle charging stations and power grid

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014106801A (en) * 2012-11-28 2014-06-09 Pioneer Electronic Corp Information processor, information processing method, program for information processor and recording medium
WO2020080047A1 (en) * 2018-10-17 2020-04-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Incursion location identification device and incursion location identification method
US20200233956A1 (en) * 2019-01-23 2020-07-23 General Electric Company Framework for cyber-physical system protection of electric vehicle charging stations and power grid

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YUKIO NAGABUCHI, HIROKI NAGAYAMA, MASAHIRO SHIRAISHI, ASAMI MIYAJIMA: "A-7-1 Research on cyber-attack countermeasures for the realization of a safe and secure electric vehicle society", PROCEEDINGS OF THE IEICE ENGINEERING SCIENCES SOCIETY/NOLTA SOCIETY CONFERENCE, IEICE, JP, 31 August 2021 (2021-08-31) - 17 September 2021 (2021-09-17), JP , pages 35, XP009549995, ISSN: 2189-700X *

Similar Documents

Publication Publication Date Title
US11748474B2 (en) Security system and methods for identification of in-vehicle attack originator
Kim et al. Cybersecurity for autonomous vehicles: Review of attacks and defense
EP3690643B1 (en) Vehicle-mounted device upgrading method and related device
CN110324301B (en) System and method for generating rules for thwarting computer attacks on vehicles
US11451579B2 (en) System and method for protecting electronics systems of a vehicle from cyberattacks
Jagielski et al. Threat detection for collaborative adaptive cruise control in connected cars
CN104145467B (en) Use required node path and the strategy of the secure packet transmission of ciphering signature
Bhatia et al. Evading Voltage-Based Intrusion Detection on Automotive CAN.
US10652256B2 (en) Real-time active threat validation mechanism for vehicle computer systems
US11528325B2 (en) Prioritizing data using rules for transmission over network
US20110082797A1 (en) Vehicle usage-based tolling privacy protection architecture
Otsuka et al. CAN security: Cost-effective intrusion detection for real-time control systems
US10637647B2 (en) Control device including direct memory access controller for securing data and method thereof
Studnia et al. Security of embedded automotive networks: state of the art and a research proposal
Cheng et al. Security patterns for automotive systems
US10977885B1 (en) Method for digital key misbehavior and sybil attack detection through user profiling
Lee et al. Ttids: Transmission-resuming time-based intrusion detection system for controller area network (can)
WO2023188356A1 (en) Attack source identification system, attack source identification method, and program
Ahmad et al. Machine learning and blockchain technologies for cybersecurity in connected vehicles
Kim et al. Shadowauth: Backward-compatible automatic can authentication for legacy ecus
US11178162B2 (en) Method and device for detecting anomalies in a computer network
Liu et al. Secure and safe automated vehicle platooning
US11528284B2 (en) Method for detecting an attack on a control device of a vehicle
Sharma et al. Review of the Security of Backward-Compatible Automotive Inter-ECU Communication
JP2013142963A (en) Authentication system for on-vehicle control device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22935496

Country of ref document: EP

Kind code of ref document: A1