JP7403728B2 - 侵入検知システム - Google Patents
侵入検知システム Download PDFInfo
- Publication number
- JP7403728B2 JP7403728B2 JP2023555891A JP2023555891A JP7403728B2 JP 7403728 B2 JP7403728 B2 JP 7403728B2 JP 2023555891 A JP2023555891 A JP 2023555891A JP 2023555891 A JP2023555891 A JP 2023555891A JP 7403728 B2 JP7403728 B2 JP 7403728B2
- Authority
- JP
- Japan
- Prior art keywords
- intrusion detection
- processing time
- processing
- section
- monitoring list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 105
- 238000012544 monitoring process Methods 0.000 claims description 82
- 238000004891 communication Methods 0.000 claims description 70
- 230000005856 abnormality Effects 0.000 claims description 42
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 21
- 238000000034 method Methods 0.000 description 10
- 230000008859 change Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000009194 climbing Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/20—Means to switch the anti-theft system on or off
- B60R25/24—Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Alarm Systems (AREA)
Description
本願は、車両に搭載される侵入検知システムに関するものである。
車両を異常な挙動にしたり、車両内のデータを漏洩させたりするために、車両のネットワークに不正なデータを注入することが考えられる。これらに対して、暗号鍵あるいは侵入検知技術を用いた異常を検知する技術が提案されている。
近年、自動車の車載システムはネットワークを介して車外の装置と接続されるようになり、悪意のある第三者が外部からネットワークを介して車載システムに侵入するリスクがある。第三者が車載システムに侵入されると、車両に搭載される制御装置である、例えばECU(Electronic Control Unit)において、ECUのプログラムが改ざんされ、制御を乗っ取られ遠隔操作によって事故につながる可能性がある。
従来の車載システムでは、一部の装置が故障した場合でも、故障によって発生した異常を検知し、フェールセーフによって機能を縮退するなど、安全な走行ができるように、異常対処方法が考えられている。
しかし、プログラムが改ざんされ、故障によって異常を検知する仕組みを変更される、もしくは異常検知の対象となる情報を正常な値になりすまされると、異常として検知することが困難となる。
サイバー攻撃を受けて車両の異常を検知する仕組みとして、通信データを監視する仕組みが検討される。セキュリティの技術として、メッセージ認証あるいはディジタル署名などがあり、通信データのなりすましによる異常を検知することができるが、既知の攻撃シナリオに対して対策された技術であり、未知のサイバー攻撃に対応できるとは言えない。プログラムが改ざんされると、異常として検知することが困難となるため、通信データだけでなく車両あるいはECUの挙動を監視する必要がある。
未知のサイバー攻撃対策の一つとして、セキュアブートがあるが、起動時にメモリチェックを行うため、走行中に攻撃を受けた場合に対応できない。また、走行中、常にメモリをチェックすると処理負荷が大きい課題がある。そこで、起動時だけでなく走行中にサイバー攻撃を受けても制御処理の処理負荷を抑えつつ異常を検知し、車を安全に走行可能にする仕組みが必要である。
特許文献1は、車両の状態に応じて通信データの監視方法を変え、データ処理の負荷を増大させず、異常データを検知することができるとしている。
特許文献1は、車載装置におけるデータ処理の負荷を増大させずに不正なデータを検知する手段として、自車両の状態に基づいて、データの監視方法を変えるようにしているが、このような方法では、状態に応じて監視データリストあるいは監視グループリストが変化するため、処理時間が変動する。この変動を用いて、第三者がECUの内部情報を取得しうる。取得した情報は、第三者が攻撃をする際のヒントとなってしまう虞がある。
本願は、上記のような課題を解決するためになされたものであり、セキュリティ対策の処理時間を増加させることで、第三者が攻撃のヒントを取得しづらくすることを目的とする。
本願に開示される侵入検知システムは、通信データが正常か異常かを判定するルールを状態ごとに設定した監視リストと、通信線に流れる通信データを取得し、監視リストと比較して異常有無を判定する侵入検知部と、自車両あるいは制御装置の状態を取得し、侵入検知部が利用する監視リストを切り替える状態管理部と、侵入検知部の処理内容に応じて、侵入検知部の処理時間を増加させる処理時間管理部とを備えている。
本願の侵入検知システムによれば、車両の通信線上の不正データを検知することができるとともに、攻撃者の攻撃容易性を下げることができる。
以下、本願に開示される侵入検知システムの好適な実施の形態について、図面を用いて説明する。なお、以下では、制御装置(ECU)の具体例として制御対象を車両および車載機器とする車載制御装置に適用する場合について、詳細に説明する。本実施の形態は、制御対象である車両の制御装置に侵入する不正データを検知する侵入検知システムとして適用可能である。なお、各図において同符号は同一もしくは相当部分を示している。
実施の形態1.
図1は、実施の形態1に係る侵入検知システムを示すブロック図であって、車両(図示せず)に設けられた車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。
図1は、実施の形態1に係る侵入検知システムを示すブロック図であって、車両(図示せず)に設けられた車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。
図2は、通信データあるいは通信データ群が正常か異常かを判定するルールとなる図1における監視リスト102の構成を示しており、特に監視リストおよび状態との関連の一例を示している。
各状態で用いる監視リストは、例えば、状態が、走行(高速)では監視リスト1を用い、停止では監視リスト2を用い、ECUスリープでは監視リスト3を用い、ECU診断中では監視リスト4を用いる。
各監視リストは、監視項目として、具体的には、Ethernet(登録商標)通信ではIPアドレス、ポート番号、ペイロード、受信回数、通信帯域、通信シーケンスなどの正常データをルールとして、適宜選択して定義する。
各状態で用いる監視リストは、例えば、状態が、走行(高速)では監視リスト1を用い、停止では監視リスト2を用い、ECUスリープでは監視リスト3を用い、ECU診断中では監視リスト4を用いる。
各監視リストは、監視項目として、具体的には、Ethernet(登録商標)通信ではIPアドレス、ポート番号、ペイロード、受信回数、通信帯域、通信シーケンスなどの正常データをルールとして、適宜選択して定義する。
図1において、状態管理部101は、通信データあるいは自ECUのデータに基づいて、状態を判定する。また、取得する状態は以下のいずれか少なくとも1つ以上を考慮して、侵入検知部100が利用する監視リストを切り替える。状態を複数組み合わせて1つの状態として判断してもよい。
(A)自車の状態例:
・・走行(高速・中速・低速)/停止
・・ドライバ/システム/ドライバとシステムが車両を操作している
・・車両を構成するいずれかのECUの診断中、ソフトウェアアップデート準備/実施中
・・車外のECUあるいは他車両あるいはサーバーと通信をしているか否か(V2Xなど)
・・車両走行位置(登坂車線・走行車線・追越車線・トンネル・平地・坂道など)
・・天候(晴れ・雨・曇り・雪など)
(B)自ECUの状態例
・・通常制御中、自ECU診断中、パラメータキャリブレーション中、スリープ中、IG オン中、ACC オン中
このような状態を考慮し、例えば、図2の管理リストの表に基づき、走行状態であれば監視リスト1、停止状態であれば監視リスト2を利用する。監視リスト3、4についても適宜条件を設定することができる。
(A)自車の状態例:
・・走行(高速・中速・低速)/停止
・・ドライバ/システム/ドライバとシステムが車両を操作している
・・車両を構成するいずれかのECUの診断中、ソフトウェアアップデート準備/実施中
・・車外のECUあるいは他車両あるいはサーバーと通信をしているか否か(V2Xなど)
・・車両走行位置(登坂車線・走行車線・追越車線・トンネル・平地・坂道など)
・・天候(晴れ・雨・曇り・雪など)
(B)自ECUの状態例
・・通常制御中、自ECU診断中、パラメータキャリブレーション中、スリープ中、IG オン中、ACC オン中
このような状態を考慮し、例えば、図2の管理リストの表に基づき、走行状態であれば監視リスト1、停止状態であれば監視リスト2を利用する。監視リスト3、4についても適宜条件を設定することができる。
侵入検知部100は、ネットワークに流れる通信データを取得し、状態に対応する監視リストと比較して異常有無を判定する。
状態に対応する監視リストは、その状態でのみ流れうる通信のデータあるいはタイミングに関する情報から構成される。
選択された監視リストに書かれたルールのいずれかに合致するかを確認する。
例えば、監視リスト2が適用される状態の場合、通信データのIPアドレスがA2かつポート番号が6058かつペイロード長が4かつペイロードが0x01~0x05か0xff、またはIPアドレス(ID/IP)がB2かつポート番号が6059かつペイロード長が8かつペイロードが0x100であれば異常なしとし、いずれのルールにも合致しなければ異常ありとする。
状態に対応する監視リストは、その状態でのみ流れうる通信のデータあるいはタイミングに関する情報から構成される。
選択された監視リストに書かれたルールのいずれかに合致するかを確認する。
例えば、監視リスト2が適用される状態の場合、通信データのIPアドレスがA2かつポート番号が6058かつペイロード長が4かつペイロードが0x01~0x05か0xff、またはIPアドレス(ID/IP)がB2かつポート番号が6059かつペイロード長が8かつペイロードが0x100であれば異常なしとし、いずれのルールにも合致しなければ異常ありとする。
処理時間管理部103は、侵入検知部100の処理内容に応じて、侵入検知部100の処理時間を増加させる。処理時間の増加のさせ方は、ダミー処理(nop命令など)を行ったり、侵入検知部100以外の既存の処理と同様の処理を行ったり、IG ON時に定義されていた監視リストのルール以外での異常判定処理をする。
具体的には、侵入検知部100の処理開始前または処理の間に、受信したデータあるいはそのときの状態に基づき、増加させる時間を決定する。侵入検知処理の間または終了後に、演算処理を追加する。また、処理時間を増加させる値(幅)は、監視リストの数に応じて静的に決定してもよい。
監視リストでの判定対象が多い場合に増加させる時間を小さくし、判定対象が少ない場合に増加させる時間を大きくする、など増加させる量を変更しても良い。
具体的には、侵入検知部100の処理開始前または処理の間に、受信したデータあるいはそのときの状態に基づき、増加させる時間を決定する。侵入検知処理の間または終了後に、演算処理を追加する。また、処理時間を増加させる値(幅)は、監視リストの数に応じて静的に決定してもよい。
監視リストでの判定対象が多い場合に増加させる時間を小さくし、判定対象が少ない場合に増加させる時間を大きくする、など増加させる量を変更しても良い。
図3は、侵入検知部100の処理時間分に監視リスト1、監視リスト2、監視リスト3にあらかじめ決められた処理時間を増加させた例を示している。
次に、制御装置10による侵入検知処理について、図4のフローチャートを用いて説明する。
侵入検知部100は、通信線(ネットワーク)から通信データを受信する(ステップS401).
状態管理部101は、侵入検知部100が受信した通信データあるいは自ECUのデータに基づいて状態を判断する(ステップS402)。
例えば、通信データあるいは自ECUが備えるデータから車速0km/h、あるいはシフトレバーの位置をP(Parking)である情報を取得した場合は「停止」と判断する。このほかGPS等から得られた情報などを用いても良い。
例えば、通信データあるいは自ECUが備えるデータから車速0km/h、あるいはシフトレバーの位置をP(Parking)である情報を取得した場合は「停止」と判断する。このほかGPS等から得られた情報などを用いても良い。
状態管理部101は、全ステップで判断した状態に基づいて侵入検知部100が用いる監視リストを選択する。例えば停止となった場合は、監視リスト2を選択する(ステップS403)。
侵入検知部100は、通信線から受信した通信データが、監視リストに存在している場合は正常と判定し、監視リストに存在しない場合は異常と判定する(ステップS404)。
処理時間管理部103は、侵入検知部100が使用している監視リストの処理時間をあらかじめ決められた値に変化させるように、起動時に定義されていた監視リストのルール以外での異常判定処理をする(ステップS405)。
実施の形態1においては、侵入検知部100の処理時間を増加させるので、第三者が攻撃のヒントとなる情報を取得しづらくすることができる。
実施の形態2.
図5は、実施の形態2に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103および、異常処理部104を備えて構成されている。
この実施の形態2においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
図5は、実施の形態2に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103および、異常処理部104を備えて構成されている。
この実施の形態2においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
実施の形態2においては、図5に示すように、異常処理部104が設けられている。異常処理部104は、通信データに関する異常があった場合に、対応(データの破棄、通信遮断、外部通知、機能縮退、回復、冗長系へ切替、記録のいずれかの少なくとも1つ以上の処理)を行う。
具体的には、例えば、
(1)当該データを、自ECUが利用しないように、また自ECU以外が利用しないように破棄する。
(2)異常検知以降に当該通信線からデータを受信しないように通信を遮断する。
(3)検知した異常内容を、通信線・無線のネットワークを通じて他ECUあるいは車外機器に通知する
(4)異常を検知したのち、最低限動作させられる機能でECUを動作させる。例えばカメラが故障した場合に、車線維持装置機能を停止させて、パワーステアリング機能のみ有効にできるようにし、ドライバが人力で安全な場所まで移動させられるようにする。
(5)異常を検知したのち、以降に受信するデータを自ECUの制御に利用したり、他ECUへデータ転送したりなどを行わないようにしつつも、通信線から受信するデータの異常判定処理を継続させておき、異常が認められない状況(所定期間異常なデータを検知しなかった、または車両が攻撃されない環境に移動したなど)となった場合に、通信遮断前の通信可能な状態に回復させる。
(6)異常を検知したのち、異常が発生した通信線あるいはIPアドレスあるいはポートなどの送信先を切り替えて、別の通信経路で通信を再開する。
(7)異常を検知したのち、異常な通信データあるいは異常が発生したときの時刻を記録する。
(1)当該データを、自ECUが利用しないように、また自ECU以外が利用しないように破棄する。
(2)異常検知以降に当該通信線からデータを受信しないように通信を遮断する。
(3)検知した異常内容を、通信線・無線のネットワークを通じて他ECUあるいは車外機器に通知する
(4)異常を検知したのち、最低限動作させられる機能でECUを動作させる。例えばカメラが故障した場合に、車線維持装置機能を停止させて、パワーステアリング機能のみ有効にできるようにし、ドライバが人力で安全な場所まで移動させられるようにする。
(5)異常を検知したのち、以降に受信するデータを自ECUの制御に利用したり、他ECUへデータ転送したりなどを行わないようにしつつも、通信線から受信するデータの異常判定処理を継続させておき、異常が認められない状況(所定期間異常なデータを検知しなかった、または車両が攻撃されない環境に移動したなど)となった場合に、通信遮断前の通信可能な状態に回復させる。
(6)異常を検知したのち、異常が発生した通信線あるいはIPアドレスあるいはポートなどの送信先を切り替えて、別の通信経路で通信を再開する。
(7)異常を検知したのち、異常な通信データあるいは異常が発生したときの時刻を記録する。
また、処理時間管理部103は、侵入検知部100と異常処理部104の処理内容に応じて、処理時間を増加させる。
具体的には、異常が発生していない場合の侵入検知部100の処理時間を増加させる。また、そのほか異常が発生したのちの異常処理部104が処理後に、侵入検知部100の処理時間を増加させてもよい。侵入検知部100の処理開始前または処理の間に受信したデータあるいはそのときの状態に基づき、増加させる時間を決定する。侵入検知処理の間または終了後に、演算処理を追加する。
監視リストの判定対象が多い場合に増加させる時間を小さくし、判定対象が少ない場合に増加させる時間を大きくする、など増加させる量を変更しても良い。
具体的には、異常が発生していない場合の侵入検知部100の処理時間を増加させる。また、そのほか異常が発生したのちの異常処理部104が処理後に、侵入検知部100の処理時間を増加させてもよい。侵入検知部100の処理開始前または処理の間に受信したデータあるいはそのときの状態に基づき、増加させる時間を決定する。侵入検知処理の間または終了後に、演算処理を追加する。
監視リストの判定対象が多い場合に増加させる時間を小さくし、判定対象が少ない場合に増加させる時間を大きくする、など増加させる量を変更しても良い。
図6は、侵入検知部100、異常処理部104の処理時間分に監視リスト1、監視リスト2にあらかじめ決められた処理時間を増加させた例を示している。
実施の形態2においては、侵入検知部100および異常処理部104を合わせた処理時間を増加させるので、第三者が攻撃のヒント(正常なデータか異常なデータか)となる情報を取得しづらくすることができる。
実施の形態3.
図7は、実施の形態3に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103および、認証部105を備えて構成されている。
この実施の形態3においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
図7は、実施の形態3に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103および、認証部105を備えて構成されている。
この実施の形態3においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
実施の形態3においては、図7に示すように、認証部105が設けられている。認証部105は、侵入検知部100で処理するデータがやり取りされる通信線とは異なる通信線から受信したデータを認証する、あるいは同じ通信線で受信するが侵入検知部100で処理されないデータを認証する。これらの認証は、例えばCANプロトコルで言えば、同一通信線上において、CANID 0x100は侵入検知部100で処理するが、CANID 0x050は認証部105で処理する、といったことを指す。データの重要度あるいはECUのリソース制約等から全ての通信データを認証部105で処理できない場合がある。
なお、認証には、共通鍵暗号、公開鍵暗号、メッセージ認証符号あるいはデジタル署名等の暗号技術を用いて行う。
なお、認証には、共通鍵暗号、公開鍵暗号、メッセージ認証符号あるいはデジタル署名等の暗号技術を用いて行う。
また、処理時間管理部103は、侵入検知部100と認証部105の処理内容に応じて、侵入検知部100の処理時間を増加させる。
具体的には、認証部105の処理時間と、侵入検知部100の処理時間が同一あるいは処理時間差があらかじめ決められた範囲内になるようにする。
具体的には、認証部105の処理時間と、侵入検知部100の処理時間が同一あるいは処理時間差があらかじめ決められた範囲内になるようにする。
図8は、侵入検知部100の処理時間分に監視リスト1、監視リストにあらかじめ決められた処理時間を増加させ、また認証部105にも処理時間分に処理時間を増加させた例を示している。
実施の形態3においては、認証部105あるいは侵入検知部100の処理時間を増加させるので、第三者が攻撃のヒント(対象の通信データが認証付きか否か、暗号鍵)となる情報を取得しづらくすることができる。
実施の形態4.
図9は、実施の形態4に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103、リスト変更部106、受信履歴管理部107を備えて構成されている。
この実施の形態4においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
図9は、実施の形態4に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103、リスト変更部106、受信履歴管理部107を備えて構成されている。
この実施の形態4においては、図1に示す実施の形態1とは以下の点で異なる特徴を有している。
実施の形態4においては、図9に示すように、リスト変更部106,受信履歴管理部107が設けられている。
リスト変更部106は、受信履歴管理部107に基づき監視リストの中身を変更する(侵入検知部100の検知精度を変更(向上)させるように)。
監視リストに加えられていない正常なデータがあれば、侵入検知部100の処理時間が短い場合、あるいは重要な(ドライバの安全あるいはプライバシーあるいは利便性に関わるような)処理がECUで行われていない場合に、正常なデータを監視リストに加える。
リスト変更部106は、受信履歴管理部107に基づき監視リストの中身を変更する(侵入検知部100の検知精度を変更(向上)させるように)。
監視リストに加えられていない正常なデータがあれば、侵入検知部100の処理時間が短い場合、あるいは重要な(ドライバの安全あるいはプライバシーあるいは利便性に関わるような)処理がECUで行われていない場合に、正常なデータを監視リストに加える。
受信履歴管理部107は、あらかじめ決められた期間に受信する正常な通信データ、受信時の状態、受信回数を保持する。保持するとともに正常データを定義する。
正常な通信データとその受信回数、さらにそのときの自ECUあるいは車両の状態を合わせて記録する。あらかじめ決められた期間における統計情報から正常データを定義し、当該データを監視リストに加える対象に設定する。定義する条件は、あらかじめ決められた期間の受信回数が閾値を超えた場合、受信回数が閾値を超えた場合、受信データおよび回数の動的な変化から推測する場合、などを採用できる。
なお、通信データに関する詳細な仕様書があれば、ECUへのソフトウェア実装時、監視リストに正常なデータを詳細に定義できるが、仕様書が無い場合あるいは仕様書はあるものの通信のヘッダ情報以外を正常な通信データとして定義しきれない場合もあるため、これらの対応が活用されうる。
正常な通信データとその受信回数、さらにそのときの自ECUあるいは車両の状態を合わせて記録する。あらかじめ決められた期間における統計情報から正常データを定義し、当該データを監視リストに加える対象に設定する。定義する条件は、あらかじめ決められた期間の受信回数が閾値を超えた場合、受信回数が閾値を超えた場合、受信データおよび回数の動的な変化から推測する場合、などを採用できる。
なお、通信データに関する詳細な仕様書があれば、ECUへのソフトウェア実装時、監視リストに正常なデータを詳細に定義できるが、仕様書が無い場合あるいは仕様書はあるものの通信のヘッダ情報以外を正常な通信データとして定義しきれない場合もあるため、これらの対応が活用されうる。
図10は、監視リストを示しており、実施の形態4における監視リストの一例を示しており、特に監視リスト1(起動時)、監視リスト2(起動時)、監視リスト(更新時)の例を示している。監視リストの監視項目は、実施の形態1における図2に示す管理リストと同様に、適宜選択して定義する。図10では、ID/IP、Port、Length、Payloadを設定している。
図10に示す監視リストにおいては、1byte目、2byte目が所定範囲の値となっていることが判断できた場合、監視リストのデータを更新する。追加されるアプリケーションから送信されるPayload仕様が不明な場合があるため、受信履歴に基づいてデータを変更する。その結果、チェック対象が多くなるため処理時間が増加する。
なお、リストに追加した項目は、起動時にリストにある項目よりも“確実性”が低いことを考慮し、追加後のリストで異常検知した場合、異常処理部の処理を、追加前と追加後で変更してもよい。追加前に破棄あるいは遮断あるいは通信経路の切替を行う処理であるものを、追加後に通知あるいは記録の処理に変更することで、車両動作に影響を与える処理を即時実行しないようにする。
なお、リストに追加した項目は、起動時にリストにある項目よりも“確実性”が低いことを考慮し、追加後のリストで異常検知した場合、異常処理部の処理を、追加前と追加後で変更してもよい。追加前に破棄あるいは遮断あるいは通信経路の切替を行う処理であるものを、追加後に通知あるいは記録の処理に変更することで、車両動作に影響を与える処理を即時実行しないようにする。
図11は、侵入検知部100の処理時間分に監視リスト1、監視リスト2、監視リスト3にあらかじめ決められた処理時間を増加させ、また監視リストを更新(変更)したことによる侵入検知部100の処理時間分に処理時間を増加させた例を示している。
次に、実施の形態4における侵入検知システムによる侵入検知処理について、図12のフローチャートを用いて説明する。
ステップS1201、ステップS1202、ステップS1203、ステップS1204およびステップS1206は、図4に示した実施の形態1におけるステップS401、ステップS402、ステップS403、ステップS404およびステップS405に相当するものであり、各ステップで同様の処理を実行する。
リスト変更部106は、あらかじめ決められた更新タイミングで、監視リストの中身を変更する(ステップS1205)。更新タイミングは以下の通りである。
(1)侵入検知部100が異常判定をした後、ある監視リストを用いたときの侵入検知部100の処理時間があらかじめ決められた値よりも小さい場合は、処理を変更する(監視リストを構成するチェック対象を増加させる)。
(2)重要な処理がECUで行われていない場合、侵入検知処理とは別のタイミングで、同様の手段を用いてリストの中身を変更する。
(1)侵入検知部100が異常判定をした後、ある監視リストを用いたときの侵入検知部100の処理時間があらかじめ決められた値よりも小さい場合は、処理を変更する(監視リストを構成するチェック対象を増加させる)。
(2)重要な処理がECUで行われていない場合、侵入検知処理とは別のタイミングで、同様の手段を用いてリストの中身を変更する。
受信履歴管理部107は、侵入検知部100で受信データが正常であると判定されたときの受信時刻(またはECU起動時からの経過時間)、通信データのヘッダ、ペイロードを記録する(ステップS1207)。また、通信データを受信したときの状態も併せて記録する。そのときの位置情報あるいはドライバの情報を記録しても良い。また、記録された情報を統計処理するが、このフローチャートの手順内で実施されなくともよい。
実施の形態4においては、侵入検知部100の処理時間があらかじめ決められた値以下となる監視リストを変更して、侵入検知部100の処理時間を増加させるので、第三者が攻撃のヒント(許可された通信データが多い状態がどれか)となる情報を取得しづらくすることができる。また、異常検知できる対象を増やすことができる。
実施の形態5.
図13は、実施の形態5に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。
この実施の形態5は、図1に示す実施の形態1とは、処理時間管理部103における処理時間があらかじめ決められた一定値になるように、不足分の処理時間を増加させるところに特徴を有している点で異なっている。
図13は、実施の形態5に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。
この実施の形態5は、図1に示す実施の形態1とは、処理時間管理部103における処理時間があらかじめ決められた一定値になるように、不足分の処理時間を増加させるところに特徴を有している点で異なっている。
図14は、侵入検知部100の処理時間分に監視リスト1、監視リスト2、監視リスト3にあらかじめ決められた処理時間を増加させ、各処理時間を同じにした例を示している。
実施の形態5においては、処理時間管理部であらかじめ決められた一定値になるように処理時間を増加させることによって、第三者が攻撃のヒント(対象の通信データが認証付きか否か、暗号鍵)となる情報を取得しづらくすることができる。
実施の形態6.
図15は、実施の形態6に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。制御装置10の基本的構成は実施の形態1と同じであるが、実施の形態6では、処理時間管理部103は、増加させる時間をランダムにしていることを特徴としている。
図15は、実施の形態6に係る侵入検知システムを示すブロック図であって、車載制御装置である制御装置10、20は、通信線(ネットワーク)を介して接続されている。制御装置10は、侵入検知部100、状態管理部101、監視リスト102、処理時間管理部103を備えて構成されている。制御装置10の基本的構成は実施の形態1と同じであるが、実施の形態6では、処理時間管理部103は、増加させる時間をランダムにしていることを特徴としている。
図16は、侵入検知部100の処理時間分に増加させる処理時間を監視リスト1,監視リスト2、監視リスト3毎にランダムにした例を示している。
実施の形態6においては、処理時間管理部で増加させる時間をランダムにすることによって、第三者が攻撃のヒント(対象の通信データが認証付きか否か、暗号鍵)となる情報を、より取得しづらくすることができる。
なお、各実施の形態に用いられる監視リストに記載されるルールは、上記の限りではなく、通信線あるいは通信データに関して定義される情報から導出できるものであれば、例えばEthernetであれば、EthernetあるいはIPあるいはTCP/UDP、SOME/IP、ServiceDiscovery、HTTPなどのヘッダ情報の一部あるいは全部、またはIPパケットのペイロード部分、さらにはデータ受信のタイミングあるいは通信帯域あるいはシーケンス、パケット間のデータ相関などを用いて作成しても構わない。ほかの通信プロトコル(CAN,FlexRay,LIM,MOSTなど)でも同様に正常データを規定できればこの限りではない。
状態に応じた監視リストを1つのみ割り当てているが、複数のリストを組み合わせて、状態を定義してもよい。
状態に応じた監視リストを1つのみ割り当てているが、複数のリストを組み合わせて、状態を定義してもよい。
なお、制御装置10は、ハードウェアの一例を図17に示すように、プロセッサ11と記憶装置12から構成される。記憶装置12は、例えば、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ11は、記憶装置12から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ11にプログラムが入力される。また、プロセッサ11は、演算結果等のデータを記憶装置12の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。
本願は、様々な例示的な実施の形態及び実施例が記載されているが、1つ、または複数の実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも1つの構成要素を変形する場合、追加する場合または省略する場合、さらには、少なくとも1つの構成要素を抽出し、他の実施の形態の構成要素と組み合わせる場合が含まれるものとする。
10,20 制御装置、100 侵入検知部、101 状態管理部、102 監視リスト、103 処理時間管理部、104 異常処理部、105 認証部、106 リスト変更部、107 受信履歴管理部
Claims (6)
- 通信線を介して接続された車両の制御装置に侵入する不正データを検知する侵入検知システムにおいて、通信データが正常か異常かを判定するルールを状態ごとに設定した監視リストと、前記通信線に流れる通信データを取得し、前記監視リストと比較して異常有無を判定する侵入検知部と、自車両あるいは前記制御装置の状態を取得し、前記侵入検知部が利用する前記監視リストを切り替える状態管理部と、前記侵入検知部の処理内容に応じて、前記侵入検知部の処理時間を増加させる処理時間管理部を備えたことを特徴とする侵入検知システム。
- 前記通信データに関する異常があった場合に、異常に対する処理を行う異常処理部を備え、前記処理時間管理部は、前記侵入検知部と前記異常処理部の処理内容に応じて、前記侵入検知部の処理時間を増加させることを特徴とする請求項1に記載の侵入検知システム。
- 暗号鍵を用いて前記通信線に流れる通信データを認証して前記侵入検知部とは異なる通信データの異常有無を判定する認証部を備え、前記処理時間管理部は、前記侵入検知部あるいは前記認証部の処理内容に応じて、前記侵入検知部の処理時間を増加させることを特徴とする請求項1に記載の侵入検知システム。
- あらかじめ決められた期間に受信する正常な通信データ 、受信時の車両あるいは自制御装置の状態 、受信回数を保持する受信履歴管理部と、前記受信履歴管理部に基づき前記監視リストのルールを変更するリスト変更部を備えたことを特徴とする請求項1から請求項3のいずれか1項に記載の侵入検知システム。
- 前記処理時間管理部は、処理時間を一定値に増加させることを特徴とする請求項1から請求項4のいずれか1項に記載の侵入検知システム。
- 前記処理時間管理部は、増加させる処理時間をランダムに設定することを特徴とする請求項1から請求項4のいずれか1項に記載の侵入検知システム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/039280 WO2023073761A1 (ja) | 2021-10-25 | 2021-10-25 | 侵入検知システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2023073761A1 JPWO2023073761A1 (ja) | 2023-05-04 |
| JP7403728B2 true JP7403728B2 (ja) | 2023-12-22 |
Family
ID=86157501
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023555891A Active JP7403728B2 (ja) | 2021-10-25 | 2021-10-25 | 侵入検知システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240354398A1 (ja) |
| JP (1) | JP7403728B2 (ja) |
| CN (1) | CN118215609A (ja) |
| DE (1) | DE112021008401T5 (ja) |
| WO (1) | WO2023073761A1 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015159486A1 (ja) | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| JP2017047835A (ja) | 2015-09-04 | 2017-03-09 | 日立オートモティブシステムズ株式会社 | 車載ネットワーク装置 |
| WO2018134981A1 (ja) | 2017-01-20 | 2018-07-26 | 三菱電機株式会社 | データ判定装置、データ判定方法、および、データ判定プログラム |
| US20190081960A1 (en) | 2017-09-11 | 2019-03-14 | GM Global Technology Operations LLC | Systems and methods for in-vehicle network intrusion detection |
| JP2019073102A (ja) | 2017-10-13 | 2019-05-16 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
-
2021
- 2021-10-25 JP JP2023555891A patent/JP7403728B2/ja active Active
- 2021-10-25 CN CN202180103531.1A patent/CN118215609A/zh active Pending
- 2021-10-25 WO PCT/JP2021/039280 patent/WO2023073761A1/ja active Application Filing
- 2021-10-25 US US18/683,513 patent/US20240354398A1/en active Pending
- 2021-10-25 DE DE112021008401.1T patent/DE112021008401T5/de active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015159486A1 (ja) | 2014-04-17 | 2015-10-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法 |
| JP2017047835A (ja) | 2015-09-04 | 2017-03-09 | 日立オートモティブシステムズ株式会社 | 車載ネットワーク装置 |
| WO2018134981A1 (ja) | 2017-01-20 | 2018-07-26 | 三菱電機株式会社 | データ判定装置、データ判定方法、および、データ判定プログラム |
| US20190081960A1 (en) | 2017-09-11 | 2019-03-14 | GM Global Technology Operations LLC | Systems and methods for in-vehicle network intrusion detection |
| JP2019073102A (ja) | 2017-10-13 | 2019-05-16 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN118215609A (zh) | 2024-06-18 |
| DE112021008401T5 (de) | 2024-08-08 |
| WO2023073761A1 (ja) | 2023-05-04 |
| JPWO2023073761A1 (ja) | 2023-05-04 |
| US20240354398A1 (en) | 2024-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240073233A1 (en) | System and method for providing security to in-vehicle network | |
| RU2706887C2 (ru) | Система и способ блокирования компьютерной атаки на транспортное средство | |
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| KR102524204B1 (ko) | 차량용 네트워크의 침입 대응 장치 및 방법 | |
| US11522878B2 (en) | Can communication based hacking attack detection method and system | |
| CN112204578A (zh) | 使用机器学习在数据接口上检测数据异常 | |
| CN111225834B (zh) | 车辆用控制装置 | |
| JPWO2019216306A1 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
| JP6782444B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| US11971982B2 (en) | Log analysis device | |
| WO2021131193A1 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
| US12039050B2 (en) | Information processing device | |
| Oyler et al. | Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors | |
| CN111669352B (zh) | 防拒绝服务攻击方法和装置 | |
| JP7403728B2 (ja) | 侵入検知システム | |
| JP2023170125A (ja) | セキュリティ方法、および、セキュリティ装置 | |
| WO2020008872A1 (ja) | 車載セキュリティシステムおよび攻撃対処方法 | |
| Efstathiadis et al. | Smart cars and over-the-air updates | |
| van Roermund | In-vehicle networks and security | |
| Zhong et al. | Security modeling and analysis on intra vehicular network | |
| US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
| KR102411797B1 (ko) | 하드웨어 기반의 차량 사이버보안시스템 | |
| CN115668191B (zh) | 控制系统 | |
| JP7408033B2 (ja) | 車載制御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230920 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230920 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231114 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231212 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7403728 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |