CN114600423B - 分析装置及分析方法 - Google Patents
分析装置及分析方法 Download PDFInfo
- Publication number
- CN114600423B CN114600423B CN202080072972.5A CN202080072972A CN114600423B CN 114600423 B CN114600423 B CN 114600423B CN 202080072972 A CN202080072972 A CN 202080072972A CN 114600423 B CN114600423 B CN 114600423B
- Authority
- CN
- China
- Prior art keywords
- attack
- analysis
- information
- countermeasure
- scene
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 71
- 238000004891 communication Methods 0.000 claims abstract description 46
- 230000010365 information processing Effects 0.000 claims abstract description 27
- 238000000034 method Methods 0.000 claims abstract description 19
- 230000005856 abnormality Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 11
- 238000001514 detection method Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明针对网络安全攻击而在恰当的时刻执行恰当的处置。本发明为一种分析装置,其由计算机构成,所述计算机具有执行规定运算处理的运算装置和能供所述运算装置访问的存储装置,该分析装置具备:通信部,其供所述运算装置接收设备中搭载的信息处理装置的日志;攻击进行分析部,其供所述运算装置根据接收到的所述日志来算出从对所述设备侵入的侵入部位起到保护资产为止的路径上的侵害地点;以及紧急度判定部,其供所述运算装置根据所述攻击进行分析部得到的分析结果来判定针对攻击的对策的紧急度。
Description
技术领域
本发明涉及分析装置,尤其涉及安全攻击的分析技术。
背景技术
汽车等车辆在不断网联化并增加OSS(Open Source Software(开放源代码软件))的利用等,更多的漏洞被恶意使用的可能性不断上升。此外,担忧暴露在恶意软件之类的网络安全威胁之下。作为针对这样的威胁的对策,已开始引入根据受到网络安全攻击时产生的现象来检测攻击的发生的侵入检测技术。通常而言,在通过侵入检测技术检测到网络安全攻击的情况下,会执行用于维持安全的状态的对策。例如,在检测到非法的通信的情况下,在对象系统中执行将相应通信切断的对策。
然而,在重视可用性的车载系统中,即便检测到网络安全攻击,若不准确地判定所检测到的网络安全攻击的危险度,则存在出现过度的对策或对策的延误的情况。作为根据侵入检测的结果来分析攻击的影响的技术,有日本专利特开2019-046207号公报。日本专利特开2019-046207号公报中记载了一种工厂的安全处置辅助系统,其特征在于,具备:异常判定单元,其判定从工厂控制装置或监视操作装置获取到的数据的异常是否为网络攻击造成的异常;影响度判定单元,其根据网络攻击的场景、网络攻击带来的风险、以及对应于网络攻击的工厂设备的漏洞来解析被所述异常判定单元判定为所述网络攻击造成的异常的所述数据的参数信息,算出向所述工厂设备传播的可能性;以及显示单元,其根据所述影响度判定单元的判定结果来显示针对所述工厂设备的应对(参考权利要求1)。
现有技术文献
专利文献
专利文献1:日本专利特开2019-46207号公报
发明内容
发明要解决的问题
在专利文献1记载的技术中,会对受到已发生的攻击带来的影响的装置进行确定,判定受到影响的装置的重要性而选定与该重要性相应的对策,但在存在多个重要装置的系统中,难以区分所有装置的重要性。此外,重要装置有可能在受到侵害之前便陷入致命的状态。
本发明是鉴于以上问题而成,其目的在于提供一种在行驶中的车辆中检测到网络安全攻击时能在恰当的时刻执行恰当的处置的分析装置。
解决问题的技术手段
展示本申请中揭示的发明的代表性的一例如下。即,一种分析装置,其由计算机构成,所述计算机具有执行规定运算处理的运算装置和可供所述运算装置访问的存储装置,该分析装置的特征在于,具备:通信部,其供所述运算装置接收设备中搭载的信息处理装置的日志;攻击进行分析部,其供所述运算装置根据接收到的所述日志来算出从对所述设备侵入的侵入部位起到保护资产为止的路径上的侵害地点;以及紧急度判定部,其供所述运算装置根据所述攻击进行分析部得到的分析结果来判定针对攻击的对策的紧急度。
发明的效果
根据本发明的一形态,能够准确地判定网络安全攻击。前文所述以外的课题、构成及效果将通过以下实施例的说明来加以明确。
附图说明
图1为表示分析装置的构成的图。
图2为表示分析装置选定处置内容的处理的流程图。
图3A为表示系统侵害更新规则的数据结构的例子的图。
图3B为表示关联场景更新规则的数据结构的例子的图。
图4A为表示车辆势态信息(侵害度)的数据结构的例子的图。
图4B为表示车辆势态信息(场景相关度)的数据结构的例子的图。
图5为表示进行状况更新阈值信息的数据结构的例子的图。
图6为表示攻击进行信息更新规则的数据结构的例子的图。
图7为表示攻击进行信息的数据结构的例子的图。
图8为表示场景步骤信息的数据结构的例子的图。
图9为表示紧急度信息的数据结构的例子的图。
图10为表示对策选定信息的数据结构的例子的图。
具体实施方式
作为本发明的实施例,对连接于车载网络的分析装置中的侵入检测及影响分析方法、尤其是能够在检测到安全攻击时选定与攻击的进行状况相应的处置的分析装置1进行说明。
本发明的一实施例的分析装置1在检测到网络安全攻击时,根据预先准备的攻击场景来判定攻击的进行状况,选定与判定得到的进行状况相应的处置内容。
此外,在本发明的一实施例的分析装置1中,车辆势态更新部12根据接收到的日志内容来更新车辆势态信息163,由此掌握车载系统中正在发生的攻击现象,攻击进行分析部13根据所述车辆势态信息163来判定攻击的进行状况,紧急度判定部14根据判定得到的进行状况来算出对策的紧急度,由此分析所发生的现象的紧急性,对策选定部15根据分析出的紧急度来选定要实施的对策。
更优选而言,所述车辆势态更新部12对利用车载系统中搭载的各装置中的侵入检测功能采集到的日志进行采集,攻击进行分析部13使用规定了侵入口和保护对象的攻击场景以及所述车辆势态信息163来确定各攻击场景中的侵害部位,在将从某一信息处理装置3起到相邻的信息处理装置3为止的路径设为1个步骤的情况下,紧急度判定部14根据攻击场景中的从侵入部位起到保护对象为止的步骤数的剩余来算出紧急度,对策选定部15选定与相关度高的攻击场景的紧急度相应的对策。
下面,一边参考附图,一边对本发明的实施例进行详细说明。
<实施例1>
在本实施例中,对如下方法的例子进行说明:在检测到网络安全攻击时,分析装置1根据预先准备好的攻击场景来判定攻击的进行状况,选定与该进行状况相应的处置内容。但本发明的技术思想并不限定于例示的次序。
图1展示本发明的实施方式中的分析装置1的构成。
分析装置1搭载于车辆中,在车辆侧对侵害进行判定,但也可在通过通信与车辆连接的中心内设置分析装置而在中心侧对侵害进行判定。分析装置1经由通信总线2与信息处理装置3(例如ECU等电子控制装置)连接在一起。其中,通信总线2在物理上可由多个通信总线构成,这多个通信总线的规格可全部相同也可不同。这些通信总线遵循CAN(注册商标)、LIN(注册商标)、FlexRay(注册商标)、以太网(注册商标)等规格。
分析装置1具有未图示的CPU、未图示的作为非暂时性存储介质的ROM、以及未图示的RAM,通过由CPU将ROM中储存的程序展开到RAM中来加以执行,实现以下功能。也可由其他运算装置(例如FPGA(Field Programable Gate Array(现场可编程门阵列))、ASIC(Application Specific Integrated Circuit(专用集成电路))等硬件)来执行由CPU执行程序而进行的处理。即,分析装置1具有车辆势态更新部12、攻击进行分析部13、紧急度判定部14、对策选定部15作为其功能。此外,分析装置1具有作为非易失性存储装置的存储部16以及作为通信接口、进行通信所需的运算的通信部11。
通信部11经由通信总线2来接收从其他装置发送的消息,并经由通信总线2向其他装置发送消息。如前文所述,通信总线2在物理性上可由多个通信总线构成。分析装置1使用通信部11来采集用于判定各装置的异常状态的信息。车辆势态更新部12按照预先定下的规则、对使用通信部11采集到的信息加以利用来更新该车辆中的网络安全攻击下的势态(车辆势态信息)。在满足规定条件的情况下,攻击进行分析部13按照预先定下的规则、使用车辆势态信息来确定攻击的进行状况。紧急度判定部14算出与攻击场景中的侵入部位起到保护对象为止的剩余的路径数相应的紧急度。对策选定部15根据紧急度的级别来选定按每一级别设定好的对策内容。再者,也可将紧急度判定部14所判定的紧急度输出至其他信息处理装置3而不通过对策选定部15来选定对策。
存储部16存储系统侵害更新规则161、关联场景更新规则162、车辆势态信息163、进行状况更新阈值信息164、攻击进行信息更新规则165、攻击进行信息166、场景步骤信息167、紧急度信息168以及对策选定信息169。系统侵害更新规则161中对用于更新车载系统的侵害度的规则进行定义。关联场景更新规则162中对用于更新与所发生的现象相关联的攻击场景的规则进行定义。车辆势态信息163中保持在车载系统中观测到的现象。进行状况更新阈值信息164对用于判定是否更新攻击进行信息166的阈值进行保持。攻击进行信息更新规则165中对用于更新攻击进行信息166的规则进行定义。攻击进行信息166保持攻击的进行状况。场景步骤信息167中对攻击场景的总步骤数进行定义。紧急度信息168保持针对所发生的现象的对策的紧急度。对策选定信息169中对与紧急度相应的对策内容进行定义。存储部16也可存储作为分析装置1所采集到的信息的未图示的日志。
图2展示分析装置1选定处置内容的处理的流程。以下所说明的各步骤的执行主体为分析装置1的未图示的CPU,获取的日志信息为某一期间内采集到的日志信息,也可获取多个日志信息。图2所示的处理宜在车辆的点火开关被操作为导通、信息处理装置3开始动作的时刻加以执行。此外,也可在进行了针对系统的侵害的对策的时刻加以执行,只要是能够从其他装置接收消息的时刻,便可为任意时刻。
在步骤211中,分析装置1使用通信部11来采集各信息处理装置3的日志信息,并储存至分析装置1的存储器。例如,分析装置1可在规定期间内采集日志信息。
在步骤212中,车辆势态更新部12从步骤211中采集到的日志信息中获取威胁ID。再者,威胁ID是能够确定检测部位、通信源、通信目的地、关联装置、关联信道、侵害的状况等的标识符,包含在从信息处理装置3获取的日志信息中。
在步骤213中,车辆势态更新部12根据步骤212中获取到的威胁ID和系统侵害更新规则161来更新车辆势态信息163。
图3A展示步骤213中车辆势态更新部12在车辆势态信息163的更新中使用的系统侵害更新规则161的数据结构的例子。系统侵害更新规则161定义有关于显现出来的威胁现象的相关度的更新规则,包含对威胁现象进行确定的威胁ID 1611和与因该威胁现象而受到影响的装置及信道相关联的侵害度的更新差分值1612。
图4A展示步骤213中更新的车辆势态信息(侵害度)163的数据结构的例子。车辆势态信息(侵害度)163包含对正受到侵害的装置或信道进行确定的装置/通信ID 1631和表示侵害的程度的侵害度1632。
例如,在步骤212中获取到的威胁ID 1611为“0x01”的情况下,若参考系统侵害更新规则161,则可以判定列1613的“Dev1”和列1614的“Com1”正受到侵害。车辆势态更新部12从系统侵害更新规则161中获取威胁ID 1611为“0x01”的Dev1的更新差分值“10”,将车辆势态信息(侵害度)163的装置/通信ID 1631为“Dev1”的侵害度“320”更新为“330”。此外,从系统侵害更新规则161中获取威胁ID 1611为“0x01”的Com1的更新差分值“15”,将车辆势态信息(侵害度)163的装置/通信ID 1631为“Com1”的侵害度“265”更新为“280”。
车辆势态信息(侵害度)163中记录的数据宜初始值为0,且定有上限值,以避免存储器的溢出。该上限值只要是比进行状况更新阈值信息164(图5)中规定的阈值大的值即可。车辆势态信息(侵害度)163可在规定时刻设定为初始值(例如以规定时间间隔重置为0)。关于车辆势态信息(侵害度)163的初始化的时刻,例如可为点火断开时、正常/异常的判定时、异常处置时等,可与后文叙述的车辆势态信息(场景相关度)163的初始化时刻相同也可不同。此外,车辆势态信息(侵害度)163中也可存储威胁ID的产生数。
在步骤214中,车辆势态更新部12根据步骤212中获取到的威胁ID和关联场景更新规则162来更新车辆势态信息163。
图3B展示步骤214中车辆势态更新部12在车辆势态信息163的更新中使用的关联场景更新规则162的数据结构的例子。关联场景更新规则162定义有关于显现出来的威胁现象的相关度的更新规则,包含对威胁现象进行确定的威胁ID 1621和按每一场景ID与威胁ID相关联的场景相关度的更新差分值1622。
图4B展示步骤214中更新的车辆势态信息(场景相关度)163的数据结构的例子。车辆势态信息(场景相关度)163是和与所发生的现象的相关性高的攻击场景相关的数据,包含对攻击场景进行确定的场景ID 1633和所发生的现象与各场景的相关度1634。
例如,在步骤212中获取到的威胁ID 1611为“0x01”的情况下,可以推断正受到场景ID为“S1”和“S3”的侵害。车辆势态更新部12从关联场景更新规则162中获取威胁ID 1621为“0x01”的场景ID为S1的更新差分值“10”,将车辆势态信息(场景相关度)163的相应场景ID 1633为“S1”的相关度“130”更新为“140”。此外,从关联场景更新规则162中获取威胁ID1621为“0x01”的场景ID为S3的更新差分值“5”,将车辆势态信息(场景相关度)163的相应场景ID 1633为“S3”的相关度“30”更新为“35”。
车辆势态信息(场景相关度)163按每一装置ID而以规定次数(例如1次或2~3次)为上限加以更新。因此,即便一个信息处理装置3存在异常,车辆势态信息(场景相关度)163也不会变为大的值,当多个信息处理装置3存在异常时才变为大的值。宜对车辆势态信息(场景相关度)163决定好上限,以避免存储器的溢出。车辆势态信息(场景相关度)163可在规定时刻设定为初始值(例如以规定时间间隔重置为0)。车辆势态信息(场景相关度)163的初始化的时刻可与车辆势态信息(侵害度)163的初始化时刻相同也可不同。
在步骤215中,攻击进行分析部13判定步骤213中更新后的车辆势态信息(侵害度)163中保持的各装置及各信道的侵害度是否已超过进行状况更新阈值信息164。在即使有一个侵害度超过进行状况更新阈值信息164的装置或信道的情况下也前进至步骤216,在没有侵害度超过进行状况更新阈值信息164的装置或信道的情况下结束本处理。
图5展示步骤215中使用的进行状况更新阈值信息164的数据结构的例子。进行状况更新阈值信息164包含表示装置或信道的装置/通信ID 1641和装置或信道的侵害度的阈值1642。
例如,对步骤213中更新后的车辆势态信息(侵害度)163中的装置/通信ID 1631为“Dev1”的侵害度1632即“320”与进行状况更新阈值信息164中的装置/通信ID 1641为“Dev1”的侵害度的阈值1642即“150”进行比较,判定该装置的侵害度是否已超过阈值。此外,对车辆势态信息(侵害度)163中的装置/通信ID 1631为“Com1”的侵害度1632即“265”与进行状况更新阈值信息164中的装置/通信ID 1641为“Com1”的侵害度的阈值1642即“150”进行比较,判定该信道的侵害度是否已超过阈值。结果,“Dev1”“Com1”的侵害度均已超过阈值,所以判定发生了对系统的侵害。另外,在车辆势态信息(侵害度)163中的侵害度1632未超过进行状况更新阈值信息164中的阈值1642的情况下,虽然该装置及信道中发生了某些异常,但判定为是可不立即采取对策的级别。
在步骤216中,攻击进行分析部13获取步骤215中超过了阈值的装置/通信ID1631,根据与该装置/通信ID 1631相关联的攻击进行信息更新规则165来更新攻击进行信息166。
图6展示步骤216中使用的攻击进行信息更新规则165的数据结构的例子。攻击进行信息更新规则165包含对装置或信道进行确定的装置/通信ID 1651和各场景中的攻击的进行状况的攻击进行状况1652。
图7展示步骤216中更新的攻击进行信息166的数据结构的例子。攻击进行信息166是确定最新的攻击进行状况的数据,包含对攻击场景进行确定的场景ID 1661和各场景的最新的攻击进行状况1662。
例如,在攻击进行分析部13在步骤215中获取到“Dev1”和“Com1”作为超过了阈值的装置/通信ID 1631的情况下,获取“S1”的进行信息“3”和“S3”的进行信息“2”作为攻击进行信息更新规则165中的装置/通信ID为“Dev1”的场景ID的攻击进行状况1652,并将这些进行信息与攻击进行信息166中的相应场景的进行信息加以比较。继而,若攻击进行信息更新规则165中的攻击进行状况1652比攻击进行信息166中的进行信息大,则更新场景ID 1661的进行信息,若攻击进行状况1652为攻击进行信息166中的进行信息以下,则不更新场景ID1661的进行信息。同样地,获取“S1”的进行信息“4”作为攻击进行信息更新规则165中的装置/通信ID 1651为“Com1”的场景ID的攻击进行状况1652,并与攻击进行信息166中的该场景的进行信息加以比较。继而,若攻击进行信息更新规则165中的攻击进行状况1652比攻击进行信息166中的进行信息大,则更新场景ID 1661的进行信息,若攻击进行状况1652为攻击进行信息166中的进行信息以下,则不更新场景ID 1661的进行信息。
在步骤217中,紧急度判定部14获取步骤216中更新后的攻击进行信息166,根据该攻击进行信息166和场景步骤信息167来算出紧急度,并将算出的紧急度登记至紧急度信息168。
图8展示步骤217中使用的场景步骤信息167的数据结构的例子。场景步骤信息167包含对攻击场景进行确定的场景ID 1671和各场景ID下的侵入口起到保护资产(可能成为最终攻击目标的控制系统ECU)为止的路径的步骤数即总步骤数1672。
图9展示步骤217中更新的紧急度信息168的数据结构的例子。紧急度信息168包含对攻击场景进行确定的场景ID 1681以及根据总步骤数1672和攻击进行状况1662算出的剩余的步骤数即剩余步骤数1682。
例如,紧急度判定部14获取步骤216中更新后的攻击进行信息166的“S1”的攻击进行状况1662即“4”和场景步骤信息167的“S1”的总步骤数1672即“7”,将总步骤数“7”减去攻击进行状况1662即“4”得到的值“3”登记至剩余步骤数1682。
在步骤218中,在步骤217中算出的剩余步骤数1682的值为预先按每一场景ID定下的剩余步骤数的阈值以下的情况下,对策选定部15判定紧急度高而需要对策,前进至步骤219。另一方面,在剩余步骤数1682的值比剩余步骤数的阈值大的情况下,对策选定部15判定紧急度不高、并不需要立即采取对策(观望),从而结束本处理。再者,阈值可仅设定一个,也能以多个阶段进行设定而设定与各阶段相应的对策。
在步骤218中,也可根据时间而不是剩余步骤数来判定攻击的进行状况。例如,宜使用侵害到达此处的时间、到此处的步骤数以及剩余步骤数来计算发生剩余步骤数程度的侵害所需的时间。
在步骤219中,在与步骤218中被判定为紧急度高的场景ID 1681相符的车辆势态信息163的相关度1634的值比预先按每一场景ID定下的阈值大的情况下,多个信息处理装置3发生了异常,所以对策选定部15前进至步骤220。另一方面,在相关度1634的值不比阈值大的情况下,推断只是一个信息处理装置3发生了异常,所以结束本处理。由于在步骤219中对是否多个信息处理装置3发生了异常进行判定,所以能抑制误检测。再者,步骤219中的相关度的判定为可选项,也可不论场景相关度如何、在紧急度高的情况下都采取对策。
在步骤220中,对策选定部15使用对策选定信息169来确定与步骤217中判定的紧急度和步骤218中该紧急度是否超过需要对策阈值相应的对策级别1691和场景S 1692,并选定相应的对策。关于该对策级别,可根据紧急度来决定,也可根据相关度来决定,也可根据紧急度及相关度来决定。
图10展示步骤220中使用的对策选定信息169的数据结构的例子。
对策选定信息169包含步骤218中定下的紧急度(对策级别)1691和表示相应场景的场景S 1692。例如,在对策级别1691为Lv.1而且相应场景S 1692为“S1”的情况下,对策选定部15选定日志保存作为对策。
通过以上步骤,分析装置1在检测到网络安全攻击时选定处置内容。
以上,根据本发明的实施例,分析装置1在检测到网络安全攻击时根据预先准备好的攻击场景来判定攻击的进行状况,选定与该进行状况相应的处置内容。由此,能够在与网络安全攻击的紧急度相应的恰当的时刻进行处置,所以能防止过度的处置或处置的延误、维持安全且舒适的车辆行驶控制。
如以上所说明,本发明的实施例的分析装置具备:通信部11,其供分析装置1的CPU接收设备中搭载的信息处理装置(ECU)3的日志;攻击进行分析部13,其供CPU根据接收到的日志来算出从对设备侵入的侵入部位起到保护资产(可能成为最终攻击目标的控制系统ECU)为止的路径上的侵害地点;以及紧急度判定部14,其供CPU根据攻击进行分析部13得到的分析结果来判定针对攻击的对策的紧急度,所以本发明的实施例的分析装置能够准确地判定网络安全攻击。
此外,具备对策选定部15,所述对策选定部15供CPU根据判定得到的紧急度来选定应优先的对策,所以能在与网络安全攻击的紧急度相应的恰当的时刻执行恰当的对策,从而能防止过度的对策或对策的延误,可以实现安全且舒适的车辆行驶控制。
此外,通信部11对包含识别信息的日志(包含威胁ID的日志信息)进行接收,所述识别信息与信息处理装置3的侵害状况以及表示从对所述设备侵入的侵入部位起到保护资产为止的路径的攻击场景关联在一起,所以各信息处理装置无须发送侵害的详细信息,能够抑制通信总线2的流量的增加。
此外,攻击进行分析部13根据接收到的日志来确定信息处理装置3中正在发生的可能性高的场景,并对表示所确定的场景中的攻击的进行状况的攻击进行信息166进行更新,所以根据从多个信息处理装置3接收到的日志来判定攻击的进行状况,因此能抑制误检测。
此外,紧急度判定部14根据攻击进行分析部13给出的到保护资产为止的攻击的进行程度来判定紧急度,所以能通过简单的处理来了解到变为严重事态为止的缓期。
此外,对策选定部15根据所述判定得到的紧急度来选定对策内容,所以能防止过度的对策或对策的延误。
再者,本发明包含随附权利要求书的宗旨内的各种变形例及同等构成,并不限定于前文所述的实施例。例如,前文所述的实施例是为了以易于理解的方式说明本发明所作的详细说明,本发明并非一定限定于具备说明过的所有构成。此外,也可将某一实施例的构成的一部分替换为其他实施例的构成。此外,也可对某一实施例的构成加入其他实施例的构成。
此外,也可对各实施例的构成的一部分进行其他构成的追加、删除、替换。
此外,前文所述的各构成、功能、处理部、处理方法等例如可通过利用集成电路进行设计等而以硬件来实现它们的一部分或全部,也可通过由处理器解释并执行实现各功能的程序而以软件来实现。
实现各功能的程序、表格、文件等信息可以存放在存储器、硬盘、SSD(Solid StateDrive)等存储装置或者IC卡、SD卡、DVD等记录介质中。
此外,控制线和信息线展示的是认为说明上需要的部分,未必展示了部署上需要的所有控制线和信息线。实际上,可认为几乎所有构成都相互连接在一起。
符号说明
1…分析装置
2…通信总线
3…信息处理装置
11…通信部
12…车辆势态更新部
13…攻击进行分析部
14…紧急度判定部
15…对策选定部
16…存储部。
Claims (10)
1.一种分析装置,其由计算机构成,所述计算机具有执行规定运算处理的运算装置和能供所述运算装置访问的存储装置,该分析装置的特征在于,具备:
通信部,其供所述运算装置接收设备中搭载的信息处理装置的日志;
攻击进行分析部,其供所述运算装置根据接收到的所述日志来算出从对所述设备侵入的侵入部位起到保护资产为止的路径上的侵害地点;以及
紧急度判定部,其供所述运算装置根据由所述攻击进行分析部分析到的从侵害地点到保护对象为止的剩余步骤数与预定的阈值的比较结果来判定针对攻击的对策的紧急度。
2.根据权利要求1所述的分析装置,其特征在于,
具备对策选定部,所述对策选定部供所述运算装置根据判定得到的所述紧急度,从所述对策中选定应优先的对策。
3.根据权利要求1所述的分析装置,其特征在于,
所述通信部对包含识别信息的日志进行接收,所述识别信息与所述信息处理装置的侵害状况以及攻击场景关联在一起,所述攻击场景表示从对所述设备侵入的侵入部位起到保护资产为止的路径。
4.根据权利要求1所述的分析装置,其特征在于,
所述攻击进行分析部根据接收到的所述日志来确定所述信息处理装置中正在发生的可能性高的场景,
并对表示所确定的所述场景中的攻击的进行状况的攻击进行信息加以更新。
5.根据权利要求2所述的分析装置,其特征在于,
所述对策选定部根据判定得到的所述紧急度来选定对策内容。
6.一种分析方法,其供分析装置对设备中搭载的信息处理装置的状态进行分析,该分析方法的特征在于,
所述分析装置由计算机构成,所述计算机具有执行规定运算处理的运算装置和能供所述运算装置访问的存储装置,
所述分析方法包括:
通信步骤,所述运算装置对设备中搭载的信息处理装置的日志进行接收;
攻击进行分析步骤,所述运算装置根据接收到的所述日志来算出从对所述设备侵入的侵入部位起到保护资产为止的路径上的侵害地点;以及
紧急度判定步骤,所述运算装置根据所述攻击进行分析步骤中分析到的从侵害地点到保护对象为止的剩余步骤数与预定的阈值的比较结果来判定针对攻击的对策的紧急度。
7.根据权利要求6所述的分析方法,其特征在于,
包括对策选定步骤,所述运算装置根据判定得到的所述紧急度,从所述对策中选定应优先的对策。
8.根据权利要求6所述的分析方法,其特征在于,
在所述通信步骤中,所述运算装置对包含识别信息的日志进行接收,所述识别信息与所述信息处理装置的侵害状况以及攻击场景关联在一起,所述攻击场景表示从对所述设备侵入的侵入部位起到保护资产为止的路径。
9.根据权利要求6所述的分析方法,其特征在于,
在所述攻击进行分析步骤中,所述运算装置根据接收到的所述日志来确定所述信息处理装置中正在发生的可能性高的场景,并对表示所确定的所述场景中的攻击的进行状况的攻击进行信息加以更新。
10.根据权利要求7所述的分析方法,其特征在于,
在所述对策选定步骤中,所述运算装置根据判定得到的所述紧急度来选定对策内容。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019195872 | 2019-10-29 | ||
| JP2019-195872 | 2019-10-29 | ||
| PCT/JP2020/035389 WO2021084961A1 (ja) | 2019-10-29 | 2020-09-18 | 分析装置及び分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114600423A CN114600423A (zh) | 2022-06-07 |
| CN114600423B true CN114600423B (zh) | 2024-04-30 |
Family
ID=75715060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080072972.5A Active CN114600423B (zh) | 2019-10-29 | 2020-09-18 | 分析装置及分析方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220407873A1 (zh) |
| JP (1) | JP7296470B2 (zh) |
| CN (1) | CN114600423B (zh) |
| WO (1) | WO2021084961A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7509091B2 (ja) | 2021-06-30 | 2024-07-02 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
| JP7230146B1 (ja) | 2021-09-24 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ分析装置、方法およびそのプログラム |
| CN114157450B (zh) * | 2021-11-04 | 2024-03-15 | 南方电网数字平台科技(广东)有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
| JP2005257698A (ja) * | 1995-12-28 | 2005-09-22 | Fujitsu Ltd | 半導体装置の製造方法および半導体装置 |
| US7203962B1 (en) * | 1999-08-30 | 2007-04-10 | Symantec Corporation | System and method for using timestamps to detect attacks |
| CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的系统安全评估方法和装置 |
| EP2860937A1 (en) * | 2013-10-11 | 2015-04-15 | Fujitsu Limited | Log analysis device, method, and program |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| JP2015121968A (ja) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
| CN104937605A (zh) * | 2013-01-21 | 2015-09-23 | 三菱电机株式会社 | 攻击分析系统、协作装置、攻击分析协作方法和程序 |
| DE102014212419A1 (de) * | 2014-06-27 | 2015-12-31 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zur Ermittlung eines Angriffswegs in einem Systemmodell undComputerlesbares Speichermedium |
| CN105991521A (zh) * | 2015-01-30 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 网络风险评估方法和装置 |
| CN107040552A (zh) * | 2017-06-13 | 2017-08-11 | 上海斗象信息科技有限公司 | 网络攻击路径预测方法 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| JP2019125344A (ja) * | 2018-01-12 | 2019-07-25 | パナソニックIpマネジメント株式会社 | 車両用システム及び制御方法 |
| JP2019133599A (ja) * | 2018-02-02 | 2019-08-08 | クラリオン株式会社 | 車載装置、インシデント監視方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6423402B2 (ja) * | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| JP6995726B2 (ja) * | 2018-09-26 | 2022-01-17 | フォルシアクラリオン・エレクトロニクス株式会社 | 脆弱性評価装置、脆弱性評価システム及びその方法 |
| JP7149888B2 (ja) * | 2018-10-17 | 2022-10-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
-
2020
- 2020-09-18 CN CN202080072972.5A patent/CN114600423B/zh active Active
- 2020-09-18 US US17/772,704 patent/US20220407873A1/en active Pending
- 2020-09-18 JP JP2021554171A patent/JP7296470B2/ja active Active
- 2020-09-18 WO PCT/JP2020/035389 patent/WO2021084961A1/ja active Application Filing
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005257698A (ja) * | 1995-12-28 | 2005-09-22 | Fujitsu Ltd | 半導体装置の製造方法および半導体装置 |
| US7203962B1 (en) * | 1999-08-30 | 2007-04-10 | Symantec Corporation | System and method for using timestamps to detect attacks |
| JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
| CN104937605A (zh) * | 2013-01-21 | 2015-09-23 | 三菱电机株式会社 | 攻击分析系统、协作装置、攻击分析协作方法和程序 |
| CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的系统安全评估方法和装置 |
| EP2860937A1 (en) * | 2013-10-11 | 2015-04-15 | Fujitsu Limited | Log analysis device, method, and program |
| JP2015121968A (ja) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
| DE102014212419A1 (de) * | 2014-06-27 | 2015-12-31 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zur Ermittlung eines Angriffswegs in einem Systemmodell undComputerlesbares Speichermedium |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN105991521A (zh) * | 2015-01-30 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 网络风险评估方法和装置 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN107040552A (zh) * | 2017-06-13 | 2017-08-11 | 上海斗象信息科技有限公司 | 网络攻击路径预测方法 |
| CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| JP2019125344A (ja) * | 2018-01-12 | 2019-07-25 | パナソニックIpマネジメント株式会社 | 車両用システム及び制御方法 |
| JP2019133599A (ja) * | 2018-02-02 | 2019-08-08 | クラリオン株式会社 | 車載装置、インシデント監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114600423A (zh) | 2022-06-07 |
| JP7296470B2 (ja) | 2023-06-22 |
| WO2021084961A1 (ja) | 2021-05-06 |
| JPWO2021084961A1 (zh) | 2021-05-06 |
| US20220407873A1 (en) | 2022-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114600423B (zh) | 分析装置及分析方法 | |
| US11934520B2 (en) | Detecting data anomalies on a data interface using machine learning | |
| EP2860937B1 (en) | Log analysis device, method, and program | |
| EP3402125B1 (en) | Impropriety detection method, monitoring electronic control unit, and on-board network system | |
| US20240073233A1 (en) | System and method for providing security to in-vehicle network | |
| KR102210627B1 (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| US8850582B2 (en) | Security monitoring system and security monitoring method | |
| CN110612527A (zh) | 信息处理装置以及异常应对方法 | |
| US11765191B2 (en) | Information processing device and information processing method | |
| CN114268452A (zh) | 一种网络安全防护方法及系统 | |
| US11971982B2 (en) | Log analysis device | |
| US11893110B2 (en) | Attack estimation device, attack estimation method, and attack estimation program | |
| KR101657180B1 (ko) | 프로세스 접근 제어 시스템 및 방법 | |
| EP3036880B1 (en) | Method and apparatus for monitoring and filtering universal serial bus network traffic | |
| US20170346844A1 (en) | Mitigating Multiple Advanced Evasion Technique Attacks | |
| CN114124560A (zh) | 一种失陷主机的检测方法、装置、电子设备及存储介质 | |
| CN116846570A (zh) | 一种漏洞评估方法以及分析设备 | |
| US20220060485A1 (en) | Threat forecasting | |
| JP7483174B2 (ja) | 攻撃検知装置、攻撃検知方法、及び攻撃検知プログラム | |
| EP4350551A1 (en) | Integrity verification device and integrity verification method | |
| CN114070648A (zh) | 配置网络安全策略的评估方法、装置、设备及存储介质 | |
| CN116743465A (zh) | 失陷主机识别方法、装置、服务设备及存储介质 | |
| CN116319022A (zh) | 一种工控网络安全防御方法、装置、电子设备及存储介质 | |
| CN115834112A (zh) | 暴力破解的确定方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |