CN115134109A - 攻击分析器、攻击分析方法和存储介质 - Google Patents
攻击分析器、攻击分析方法和存储介质 Download PDFInfo
- Publication number
- CN115134109A CN115134109A CN202210300869.2A CN202210300869A CN115134109A CN 115134109 A CN115134109 A CN 115134109A CN 202210300869 A CN202210300869 A CN 202210300869A CN 115134109 A CN115134109 A CN 115134109A
- Authority
- CN
- China
- Prior art keywords
- attack
- electronic control
- control system
- common
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 28
- 230000005856 abnormality Effects 0.000 claims abstract description 153
- 238000012795 verification Methods 0.000 claims description 30
- 230000002159 abnormal effect Effects 0.000 claims description 25
- 230000005540 biological transmission Effects 0.000 claims description 9
- 239000010410 layer Substances 0.000 description 27
- 230000006870 function Effects 0.000 description 24
- 238000000034 method Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 22
- 238000004891 communication Methods 0.000 description 13
- 230000000875 corresponding effect Effects 0.000 description 12
- 238000006243 chemical reaction Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 239000011241 protective layer Substances 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 230000001965 increasing effect Effects 0.000 description 2
- 240000006829 Ficus sundaica Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000011265 semifinished product Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
公开了一种攻击分析器、攻击分析方法和存储介质。该攻击分析器包括:公共日志获取单元(201),其获取公共安全日志,该公共安全日志包括指示由电子控制***检测到的异常的异常信息以及公共异常位置,公共异常位置指示被转换为在电子控制***与其他电子控制***之间公共的异常的异常位置;攻击/异常关系表存储单元(202),其存储攻击/异常关系表;估计单元(203);以及输出单元(205),其输出包括攻击类型的攻击信息。
Description
技术领域
本公开内容总体上涉及对安装在诸如汽车的可移动体上的电子控制***的攻击进行分析的装置,包括攻击分析器、攻击分析方法和存储介质。
背景技术
近年来,用于驾驶支持和自动驾驶控制的技术(包括诸如车辆到车辆的通信以及道路到车辆的通信的V2X)一直吸引注意。因此,车辆具有了通信功能,并且促进了车辆的所谓的连通性。因此,车辆更有可能受到诸如未授权访问的网络攻击。因此,有必要对车辆的网络攻击进行分析并且制定对策。
存在用于检测车辆中发生的异常并且基于检测到的异常分析网络攻击的各种方法。作为比较示例,在专利文献1(日本未审查专利公布第2020-123307号)中,公开了在收集检测到的异常数据的同时,通过对检测到异常的项目的组合与针对每个攻击预先指定的异常检测模式进行核对,能够识别与该异常对应的攻击类型。
本公开内容的申请人已经发现关于上述的以下问题。由于安装在车辆上的车载***的配置取决于车辆的类型、型号年份和制造商而在车辆与车辆之间不同,所以由接收网络攻击而引起的异常的组合可能取决于车载***的配置而不同。因此,为了使用异常的组合来识别网络攻击,需要针对车载***中的每个车载***设置异常检测模式和分析规则。
此外,近年来,构成电子控制***的电子控制装置的数目随着车辆的功能的数目的增加而增加。因此,如果设置与许多电子控制装置对应的异常检测模式和分析规则,除了增加处理负荷之外,从开发和维护方面来看也不是优选的。
发明内容
本公开内容的目的是实现一种攻击分析器等,其能够在不考虑/不管安装在车辆上的电子控制***的配置的情况下分析网络攻击。
本公开内容的攻击分析器包括:
公共日志获取单元,其获取公共安全日志,所述公共安全日志包括:
(a)异常信息,其指示由电子控制***检测到的异常,以及
(b)公共异常位置,其指示被转换为在电子控制***与其他电子控制***之间公共的异常的异常位置;
攻击/异常关系表存储单元,其存储指示以下之间的关系的攻击/异常关系表:
(c)对电子控制***的攻击的攻击类型,
(d)预测异常信息,其指示预测当电子控制***被攻击时要发生的预测异常,以及
(e)公共预测异常位置,其指示被转换为在电子控制***与其他电子控制***之间公共的预测异常的预测异常位置;
估计单元,其根据以下的组合来估计由电子控制***接收到的攻击的攻击类型:(A)预测异常信息,其与(a)异常信息和(b)公共异常位置的组合对应,以及(B)公共预测异常位置;以及
输出单元,其输出包括攻击类型的攻击信息。
本部分中描述的权利要求的范围以及附于本公开内容的权利要求要素的括号中的数字指示本公开内容与下述的实施方式之间的关系,并且不旨在限制本公开内容。
利用上述的配置,本公开内容的攻击分析器可以估计和分析网络攻击的内容,而不管安装在受到网络攻击的车辆上的车载***的配置。
附图说明
本公开内容的目的、特征和优点将从以下参照附图的详细描述中变得更加明显,在附图中:
图1是示出第一实施方式的攻击分析***的配置示例的框图;
图2A和图2B是示出根据第一实施方式的攻击分析器的说明图;
图3是示出已经被第一实施方式和第二实施方式的攻击分析器的分析目标攻击的电子控制***的图;
图4是示出第一实施方式和第二实施方式的公共安全日志生成单元的配置示例的框图;
图5是示出第一实施方式和第二实施方式的位置关系表的图;
图6是示出根据第一实施方式和第二实施方式的攻击估计单元的配置示例的框图;
图7是示出第一实施方式和第二实施方式的攻击/异常关系表的图;
图8是示出第一实施方式和第二实施方式的个体攻击信息生成单元的配置示例的框图;
图9是示出第一实施方式和第二实施方式的估计结果验证单元的配置示例的框图;
图10是示出第一实施方式和第二实施方式的攻击分析***的操作的流程图;
图11是示出第二实施方式的攻击分析***的配置示例的框图;
图12是示出根据第二实施方式的攻击分析器的说明图;
图13是示出第二实施方式的修改示例的攻击分析器的说明图;以及
图14是示出第二实施方式的另一修改示例的攻击分析器的说明图。
具体实施方式
下面将参照附图描述本公开内容的实施方式。本公开内容不限于以下实施方式。
在本公开内容中,应当注意的是,本公开内容不限于以下实施方式。此外,至少在引号中的词语和短语可以表示在权利要求的部分或在上述部分中描述的词语和短语,并且不限于以下实施方式。
在权利要求部分的从属权利要求中描述的配置和方法是在权利要求的独立条款中描述的公开内容中的说明性配置和方法。与从属权利要求中描述的配置和方法对应的实施方式的配置和方法、以及仅在权利要求中未被描述的实施方式中描述的配置和方法是本公开内容中的说明性配置和方法。当权利要求的描述比实施方式的描述更广泛时,在实施方式中描述的配置和方法就其是本公开内容的配置和方法的示例的意义上而言也是本公开内容中的说明性配置和方法。在任一情况下,独立权利要求中的描述提供了本公开内容的基本配置和方法。
实施方式中描述的任何效果是通过作为本公开内容的示例的实施方式的配置获得的效果,并且不一定是本公开内容的效果。
当存在多个实施方式时,每个实施方式中公开的配置不限于每个实施方式,而是可以跨实施方式进行组合。例如,在一个实施方式中公开的配置可以与其他实施方式进行组合。可以收集和组合多个实施方式中公开的配置。
上述的困难不是公知的事情,而是由本申请的申请人最初发现的,并且是与本申请中描述的配置和方法一起确认/证明本申请的非显而易见性的事实。
1.(第一实施方式)
将参照图1描述本实施方式的攻击分析器10。攻击分析器10是分析电子控制***S(将在后面描述)上的网络攻击的装置。攻击分析器10包括公共安全日志生成单元100、攻击估计单元200、个体攻击信息生成单元300和估计结果验证单元400。在以下实施方式中,具有攻击分析器10的***被称为攻击分析***。因此,图1也是示出本实施方式的攻击分析***1的图。
在下述的实施方式中的每个实施方式中,将接收网络攻击的电子控制***S描述为被实施为安装在车辆上的车载***的示例。然而,电子控制***S不限于车载***,并且可以被应用于包括多个ECU的任何电子控制***。例如,电子控制***S可以是“安装”在任意“可移动体”上的电子控制***,或者可以被安装在静止体而不是可移动体上。
“可移动对象”是指可移动的对象,并且可移动对象的移动速度是任意的。当然,上述也包括可移动对象停止的情况。移动对象的示例包括但不限于汽车、摩托车、自行车、行人、轮船、飞机以及安装在其上的对象。此外,“安装”不仅包括其被直接地固定于可移动体的情况,还包括其不被固定于可移动体但是与可移动体一起移动的情况。例如,上述可以是骑在可移动体上的人携带对象的情况,或者是对象被安装在置于可移动体上的负载中的情况。
图2A和图2B是示出本实施方式的攻击分析器10的图。在本实施方式中,如图2A所示,攻击分析器10被安装在配备有电子控制***S的车辆上,并且如图2B所示,假设攻击分析器10被布置在车辆外部。
如图2A所示,当车辆配备有电子控制***S和攻击分析器10时,攻击分析器10可以在电子控制***S接收到网络攻击时无延迟地分析该网络攻击,因此,可以快速响应网络攻击。
另一方面,如图2B所示,当攻击分析器10是服务器装置时,当安装在车辆上的电子控制***S中发生异常时,服务器装置经由无线通信网络从车辆接收由安全传感器(将在后面描述)检测和生成的个体安全日志。因此,与攻击分析器10被安装在车辆上的情况相比,分析网络攻击并且将分析结果反馈回车辆需要时间,但是可以减少车辆侧的处理负荷。
(1)关于电子控制***S
将参照图3描述电子控制***S。电子控制***S由多个电子控制装置(在下文中称为ECU)组成。在如图3所示的示例中,电子控制***S由ECU A至ECU E组成,每个ECU经由车载网络连接。
构成电子控制***S的ECU配备有安全传感器,该安全传感器监视ECU内部和ECU所连接的网络。当安全传感器检测到ECU内部或网络中发生的异常时,安全传感器生成安全日志并且将安全日志输出至公共安全日志生成单元100(将在后面描述)。在下文中,将由安全传感器生成并且输出的安全日志称为个体安全日志。个体安全日志包括指示由安全传感器检测到的异常的异常信息以及指示由安全传感器检测到的异常发生的位置的异常位置。个体安全日志还可以包括:用于识别电子控制***S的识别信息、用于检测到异常的安全传感器的识别信息、用于配备有安全传感器的ECU的识别信息、当检测到异常时的时间、检测到异常的次数、检测异常的顺序、与在异常检测之前接收的数据的内容有关的信息以及IP地址(即,这样的数据传输的源和目的地)等。
(2)公共安全日志生成单元100的配置
将参照图4描述公共安全日志生成单元100。公共安全日志生成单元100包括个体日志获取单元101、位置关系表存储单元102、公共性转换器单元103和输出单元104。
个体日志获取单元101获取个体安全日志,该个体安全日志包括指示由电子控制***S检测到的异常的异常信息以及发生了异常的异常“位置”。
此处,“位置”包括例如个体电子控制装置和网络。
位置关系表存储单元102是存储位置关系表的存储单元,该位置关系表示出(a)个***置与(b)公共位置之间的关系,个***置是电子控制***S中的位置,公共位置是使个***置成为在电子控制***S与其他电子控制***之间公共的位置。也可以理解为,个***置是将公共位置个体化为电子控制***S中的位置的位置。图5是示出位置关系表的示例的图。在图5所示的位置关系表中,图3所示的电子控制***S的每个ECU和每个ECU的公共位置被相互关联地存储。
个***置与公共位置之间的关联是基于例如电子控制***的安全保护层(即基于“安全级别”)来建立的。许多电子控制***采用多层保护来提高抵抗攻击的安全性。多层保护以分层和多层的方式提供安全功能,作为抵抗攻击的对策,使得即使一个对策(即第一层)在攻击事件中被破坏,下一个对策(即,第二层)可以提供抵抗攻击的保护,这被称为用于增强电子控制***的保护能力的方法。因此,在采用多层保护的电子控制***中,存在具有不同安全级别的多个层。因此,电子控制***S根据安全级别被划分为多个层,并且,作为电子控制***S独有的位置的个***置取决于个***置属于多个层中的哪一层而与公共位置相关联。即,在上述示例中,公共位置对应于电子控制***S中的保护层的位置。
此处,“安全级别”是指示抵抗攻击的安全性或抵抗攻击的威慑性的指标。
图3所示的电子控制***S具有三层保护。在上述示例中,ECU-A和ECU-B属于第一层,ECU-C属于第二层,ECU-D和ECU-E属于第三层。例如,ECU-A和ECU-B是分别具有与外部的通信功能的通信ECU,并且这些ECU配备有用于监视从车辆的外部进入车辆的内部的数据的安全功能。在上述示例中,由具有这样的安全功能的ECU监视的区域是第一层。另一方面,ECU-C是例如网关ECU,该网关ECU配备有用于监视在(a)到达连接至车辆的外部的ECU的网络与(b)到达执行车辆控制的ECU的网络之间传递的数据的安全功能。ECU-C采取与以上提及的ECU-A和ECU-B的安全措施不同的安全措施,可以理解为,由ECU-C监视的区域的安全级别与由ECU-A和ECU-B保护的区域的安全级别不同,即,与第一层的安全级别不同。因此,在上述示例中,将由ECU-C监视的区域设置为第二层。ECU-D和ECU-E是例如控制车辆的移动/行为的车辆控制ECU。也可以理解为ECU-D和ECU-E监视/覆盖下述区域,在所述区域中仅传递已经通过ECU-C的安全功能的数据并且所述区域具有与第二层的安全级别不同的安全级别。因此,这些ECU属于与ECU-C的层不同的层,即属于第三层。然后,在图5所示的位置关系表中,图3所示的每个ECU的名称和标识号与图3所示的层号及其标识号相互关联地存储。
注意,图3和本实施方式所示的电子控制***S的保护层、以及构成保护层的安全功能仅为示例,本公开内容不限于此。例如,电子控制***S可以具有四个或更多个保护层。此外,即使当两个或更多个ECU具有相同的安全功能时,可以通过监视不同的数据来提供不同的保护层。
即使电子控制***的物理配置可能取决于车辆类型等而不同,但在采用多层保护的电子控制***中通常布置/设置有多个安全功能。因此,在具有任何配置的电子控制***中,可以按安全功能(即安全级别)、根据保护层将电子控制***划分为多个层。因此,通过将电子控制***的配置所独有的位置抽象为属于保护层的位置,可以将电子控制***S中的位置(即,个***置)处理为/视为电子控制***S与其他电子控制***之间的公共位置。
注意,在图3所示的示例中,描述了仅根据安全级别将电子控制***划分为多个层的示例。然而,可以通过使用除安全级别之外的其他参数来建立个***置与公共位置之间的关联。例如,个***置和公共位置可以根据连接至ECU的网络而相互关联。例如,即使属于同一安全级别的某些ECU也可以与不同的公共位置相关联,这取决于连接至某些ECU的网络是控制器局域网(CAN)还是以太网。
作为另一示例,个***置和公共位置可以基于ECU的功能相互关联。例如,图3中的ECU-D和ECU-E是属于同一安全级别的ECU。然而,在ECU-D是控制发动机并且需要高安全性的ECU而ECU-E是控制空调并且不需要高安全性的ECU的情况下,ECU-D和ECU-E分别与不同的公共位置相关联。
注意,当ECU具有虚拟机时,同一ECU上的虚拟机可以与不同的公共位置相关联。例如,在一个ECU上,虚拟机A具有作为用于车辆控制的ECU的入口点的功能并且也具有安全功能,并且另一虚拟机B具有车辆控制功能,则虚拟机A结果是属于第一层,而虚拟机B结果是属于第二层,第二层是具有与虚拟机A不同的安全级别的层。
公共性转换器单元103使用存储在位置关系表存储单元102中的位置关系表,将由个体日志获取单元101获取的个体安全日志中包括的异常位置转换为公共异常位置,公共异常位置是电子控制***S与其他电子装置之间的公共位置。具体地,公共性转换器单元103识别与个体安全日志的异常位置对应的位置关系表的个***置,并且然后识别与个***置相关联的公共位置。所识别的公共位置是公共异常位置。
注意,如图2B所示,当攻击分析器10是服务器装置时,公共安全日志生成单元100从大量的车辆中获取个体安全日志并且生成公共安全日志。因此,位置关系表存储单元102需要存储与这些车辆中的每个车辆的电子控制***对应的大量的位置关系表。因此,为了容易地识别由公共性转换器单元103所使用的位置关系表,当攻击分析器10是服务器装置时,个体安全日志可以期望地包括识别电子控制***的标识信息。以这样的方式,公共性转换器单元103可以容易地识别用于转换包括在个体安全日志中的异常位置的位置关系表。
输出单元104将包括异常信息和由公共性转换器单元103转换的公共异常位置的公共安全日志输出至攻击估计单元200(将在后面描述)。除了异常信息和公共异常位置之外,公共安全日志还可以包括在个体安全日志中包括的信息,例如,由公共性转换器单元103转换之前的异常位置,以及关于安全传感器的信息。
(3)攻击估计单元200的配置
将参照图6描述攻击估计单元200。攻击估计单元200包括公共日志获取单元201、攻击/异常关系表存储单元202、估计单元203、匹配度计算单元204和输出单元205。
公共日志获取单元201从公共安全日志生成单元100获取公共安全日志。
攻击/异常关系表存储单元202是存储攻击/异常关系表的存储单元。攻击/异常关系表是示出了以下之间的关系的关系表:(c)攻击类型,其是电子控制***被预期接收的攻击的类型、(d)预测异常信息,其指示预测当接收这样的攻击时在电子控制***中要发生的异常、以及(e)预测异常位置,其是所预测的异常发生的位置。由于预测异常位置是电子控制***S与其他电子控制***之间的公共位置,因此预测异常位置被称为公共预测异常位置。
图7是示出攻击/异常关系表的示例的图。在图7所示的攻击/异常关系表中,对于每种类型的网络攻击(攻击A到攻击X),当电子控制***接收到网络攻击时所发生的异常以及异常发生的位置也被示出为第一层至第三层。如图7所示,当接收到网络攻击时,假设多个地方/位置发生多个异常。因此,优选地,攻击/异常关系表示出当接收到攻击时发生的多个异常及其各自位置的组合。图7还示出了以下之间的关系:(i)网络攻击的类型与(ii)接收到网络攻击时的攻击开始位置和攻击目标位置。注意,由于攻击开始位置和攻击目标位置都不是电子控制***S的配置所独有的,而是与其他电子控制***的公共位置,因此将这些位置指定为公共攻击开始位置和公共攻击目标位置。
例如,当接收到其攻击类型为攻击A的网络攻击时,预测电子控制***的第一层将发生异常A、异常C和异常D。此外,攻击A的攻击开始位置是由标识号[0000]指示的位置,并且攻击目标位置是由标识号[0x01]指示的位置。应当注意的是,假设攻击开始位置不仅是电子控制***内部的位置,并且还是电子控制***外部的位置。攻击开始位置在电子控制***外部意指从车辆外部接收到网络攻击。
估计单元203通过使用攻击/异常关系表来估计电子控制***S接收到的网络攻击的类型。具体地,估计单元203从攻击/异常关系表中识别(A)预测异常信息与(B)预测公共异常信息的组合,即(A)下述预测异常信息与(B)上述预测公共异常信息的组合,该(A)预测异常信息“对应于以下的组合”:(a)异常信息和(b)由公共日志获取单元201获取的公共安全日志中包括的公共异常信息。注意,如果在攻击/异常关系表中不存在与异常信息和公共异常位置的组合完全相同的预测异常信息和预测的公共异常信息的组合,则估计单元203从包括在攻击/异常关系表中的预测异常信息和预测的公共异常信息的组合中,识别其最接近的组合。然后,估计指示最接近的组合的攻击类型是由电子控制***接收的网络攻击的类型。
此处,“对应于组合”意指某个组合与主题组合匹配或相似。
当公共安全日志包括由异常信息指示的异常发生的顺序和次数时,估计单元203在估计攻击类型时还可以使用这样的信息。在这种情况下,攻击/异常关系表包括异常发生的顺序和次数作为预测异常信息。
当存在多个最接近的组合时(例如,攻击A和攻击B),估计单元203估计由电子控制***接收的网络攻击的类型是攻击A或是攻击B。替选地,估计单元203可以识别与由电子控制***接收的网络攻击对应的攻击类型不存在于攻击/异常关系表中。
估计单元203除了估计由电子控制***接收的攻击的类型之外,还可以估计攻击的攻击开始位置和攻击目标位置。如图7所示,由于攻击/异常关系表将攻击类型、攻击开始位置和攻击目标位置相互关联地存储,所以估计单元203能够通过使用攻击/异常关系表来估计攻击开始位置和攻击目标位置。
估计单元203还可以根据(i)异常信息和公共异常位置的组合与(ii)预测异常信息和预测的公共异常信息的组合之间的差异来估计将来将在电子控制***S中发生的异常和将来将接收到的攻击。例如,当由异常信息指示的异常的数目小于由预测异常信息指示的异常的数目时,在由预测异常信息指示的异常之中存在以下风险:将来将发生未包括在由异常信息指示的异常中的异常。因此,估计单元203估计(i)由预测异常信息指示的异常与(ii)由异常信息指示的异常之间的差异是将来将在电子控制***中发生的异常。在这种情况下,输出单元205(将在后面描述)可以输出指示由预测异常信息指示的异常与由异常信息指示的异常之间的差异的将来异常信息。
此外,当由异常信息指示的异常的数目小于由预测异常信息指示的异常的数目时,由异常信息指示的异常是在接收到网络攻击之前发生的异常,并且在将来受到(即,当接收到)网络攻击时可能发生另外的异常。因此,估计单元203估计所估计的攻击类型的攻击是电子控制***S将来可能接收到的攻击。在这种情况下,输出单元205(将在后面描述)可以输出将来攻击信息,其指示包括在攻击信息中的攻击类型是电子控制***将来将接收到的攻击。
当(i)异常信息和公共异常位置的组合与(ii)预测异常信息和预测的公共异常信息的组合不完全相同时,匹配度计算单元204计算这些组合的匹配度。例如,由下述数值表示匹配的程度,该数值通过将(i)由异常信息指示的异常的数目与由预测异常信息指示的异常的数目之差除以(ii)由异常信息或预测异常信息指示的异常的数目来获得。
输出单元205将包括由估计单元203估计的攻击类型的攻击信息输出至个体攻击信息生成单元300(将在后面描述)。攻击信息还可以包括由估计单元203估计的攻击开始位置和攻击目标位置,以及由匹配度计算单元204计算的匹配度。
此外,如上所述,当估计单元203估计将来将在电子控制***中发生的异常或者电子控制***S将来可能接收到的攻击时,输出单元205可以输出将来攻击信息或者包括将来异常信息的攻击信息。
(4)个体攻击信息生成单元300的配置
将参照图8描述个体攻击信息生成单元300。个体攻击信息生成单元300包括攻击信息获取单元301、位置关系表存储单元302、个体性转换器单元303和个体攻击信息输出单元304。
攻击信息获取单元301获取从攻击估计单元200输出的攻击信息。
位置关系表存储单元302存储与公共安全日志生成单元100的位置关系表存储单元102相同的位置关系表。注意,如图1所示,在本实施方式中,由于公共安全日志生成单元100和个体攻击信息生成单元300被设置在一个攻击分析器10中,所以可以将位置关系表存储单元102和位置关系表存储单元302配置为相同的存储单元。
个体性转换器单元303通过使用位置关系表,将攻击信息中包括的公共攻击开始位置和公共攻击目标位置转换为电子控制***S的(一个或多个)个***置。具体地,个体性转换器单元303识别位置关系表中与公共攻击开始位置对应的公共位置,并且然后,将与所识别的公共位置相关联的个***置识别为个体攻击开始位置。类似地,个体性转换器单元303识别位置关系表中与公共攻击目标位置对应的公共位置,并且然后,将与所识别的公共位置相关联的个***置识别为个体攻击目标位置。即,将公共攻击开始位置转换为个***置的位置是个体攻击开始位置,将公共攻击目标位置转换为个***置的位置是个体攻击目标位置。
注意,如图5的位置关系表所示,多个个体号(即,标识号:0x0004、0x0005)与第三层(即,具有标识号:0x03)相关联。因此,当公共攻击目标位置是第三层中的位置时,无法识别个***置是ECU-D还是ECU-E。个体性转换器单元303可以将包括在第一层中的所有ECU的个***置识别为个体目标位置的候选,但是在这种情况下,有可能无法识别详细的攻击目标位置。因此,个体性转换器单元303可以参照包括在个体安全日志中的异常位置、将公共攻击开始位置和公共攻击目标位置转换为分别是个***置的个体攻击开始位置和个体攻击目标位置。如果包括在个体安全日志中的异常位置也包括在从公共安全日志生成单元100输出的公共安全日志中并且也包括在攻击信息中,则个体性转换器单元303包括在攻击信息中。可以参考所包括的异常位置。替选地,在本实施方式中,由于公共安全日志生成单元100和个体攻击信息生成单元300被设置在一个攻击分析器10中,所以攻击信息生成单元300可以从由公共安全日志生成单元100获取的个体安全日志中获取异常信息。
个体攻击信息输出单元304输出个体攻击信息,个体攻击信息包括攻击类型、由个体性转换器单元303转换的个体攻击开始位置和个体攻击目标位置。
(5)估计结果验证单元400的配置
将参照图9描述估计结果验证单元400。估计结果验证单元400包括个体攻击信息获取单元401和验证单元402。
个体攻击信息获取单元401获取从个体攻击信息生成单元300输出的个体攻击信息。
验证单元402验证包括在个体攻击信息中的内容。例如,验证单元402根据包括在个体攻击信息中的匹配度来验证攻击估计单元200的估计结果的准确性或确定性。例如,当匹配度低于预定匹配度时,验证单元402确定攻击估计单元200的估计结果不正确。替选地,攻击估计单元200可以被指示与过去或将来的个体安全日志的估计结果一起(即,鉴于过去或将来的个体安全日志的估计结果)再次执行分析。
验证单元402还可以根据匹配度验证攻击/异常关系表的准确性或确定性。例如,当连续出现低匹配度的估计结果时,这样的情况被确定为(a)包括在攻击/异常关系表中的预测异常信息与公共预测异常位置之间的关联不准确,(b)需要重置或更新表。
验证单元402可以验证包括在个体攻击信息中的个体攻击开始位置和个体攻击目标位置是否正确。例如,个体安全日志可以包括关于引起异常的数据的IP地址(例如,传输的源和目的地)的信息,该信息在安全传感器检测到异常之前由ECU接收。在这种情况下,通过IP地址“指示”数据的目的地的目的地位置很可能是攻击目标位置,并且通过IP地址“指示”数据的源的源位置很可能是攻击开始位置。因此,当个体安全日志包含IP地址时,验证单元402验证由IP地址指示的数据的传输的源位置是否与包括在个体攻击信息中的个体攻击开始位置匹配。类似地,验证单元402验证由IP地址指示的数据的传输的目的地位置是否与包括在个体攻击信息中的个体攻击目标位置匹配。当个体攻击开始位置与数据传输的源不匹配时,验证单元402可以将个体攻击开始位置更新为数据源位置。类似地,如果个体攻击目标位置和数据传输的目的地不匹配,则验证单元402可以将攻击目标位置更新为数据传输目的地位置。
此处,“指示”不限于意指直接指示源位置或目的地位置,还可以意指诸如IP地址等识别位置的信息。
(6)攻击分析器10的操作
接下来,将参照图10描述攻击分析器10的操作。攻击分析器10的操作也可以被认为是攻击分析***1的操作。图10不仅示出了由攻击分析器10和攻击分析***1执行的攻击分析方法,还示出了可以由攻击分析器10和攻击分析***1执行的攻击分析程序的处理过程。此外,处理过程的顺序不限于图10所示的顺序。即只要不存在诸如在某个步骤中使用前一步骤的结果的关系的限制,就可以改变顺序。
公共安全日志生成单元100从构成电子控制***S的ECU获取包括异常信息和异常位置的个体安全日志(S101)。公共安全日志生成单元100的公共性转换器单元103将包括在个体安全日志中的异常位置转换为公共异常位置(S102),该公共异常位置是在电子控制***S与其他电子控制***之间公共的位置。输出单元104输出包括异常信息和在S102中转换的公共异常位置的公共安全日志(S103)。
一旦获取到公共安全日志,攻击估计单元200使用攻击/异常关系表来估计由电子控制***S接收的服务器攻击的类型(S104)。在这样的时刻,可以一起估计公共攻击开始位置和公共攻击目标位置。当存储在攻击/异常关系表中的预测异常信息与包括在公共安全日志中的异常信息之间存在差异时,攻击估计单元200的匹配度计算单元204计算预测异常信息与异常信息之间的匹配度(S105)。然后,攻击信息输出单元205输出包括估计攻击类型、公共攻击开始位置、公共攻击目标位置和匹配度的攻击信息(S106)。
当个体攻击信息生成单元300获取攻击信息时,个体攻击信息生成单元300将包括在攻击信息中的攻击开始位置和攻击目标位置转换为作为电子控制***的个***置的个体攻击开始位置和个体攻击目标位置(S107)。然后,输出包括攻击类型、转换后的个体攻击开始位置和个体攻击目标位置的个体攻击信息(S108)。
当估计结果验证单元400获取个体攻击信息时,估计结果验证单元400验证包括在个体攻击信息中的攻击估计结果(S109)。
(7)总结
如上所述,根据本公开内容的攻击分析器10,当电子控制***接收到网络攻击时,作为电子控制***所独有的位置的个***置被转换为其他电子控制***共有的公共位置,并且然后,估计网络攻击的类型。以这种方式,即使在存在具有不同配置的多个电子控制***时,也可以将本公开内容的攻击分析***应用于电子控制***中的任何一个来分析攻击。
此外,根据本公开内容的攻击分析器10,不需要针对构成电子控制***的大量的ECU中的每个ECU提供用于估计和分析网络攻击的工具,因此易于管理用于攻击分析的装置和程序,同时减少附加分析所需的处理负荷。此外,即使构成电子控制***的ECU的数目或配置将来发生变化,也可以应用上述内容。
2.(第二实施方式)
在第二实施方式中,重点集中在与第一实施方式的区别的情况下描述了下述配置:攻击分析器包括攻击估计单元200,并且公共安全日志生成单元100、个体攻击信息生成单元300和估计结果验证单元400中的至少一部分被设置在与攻击分析器不同的装置中。由于公共安全日志生成单元100、攻击估计单元200、个体攻击信息生成单元300和估计结果验证单元400的配置和操作与第一实施方式中的这些相同,所以将省略对其的描述。
图11是示出包括本实施方式的攻击分析器20的攻击分析***的示例的图。在图11的示例中,攻击分析器20仅包括攻击估计单元200,并且公共安全日志生成单元100、个体攻击信息生成单元300和估计结果验证单元400被设置/布置在转换验证装置21中。攻击分析器20和转换验证装置21被组合以形成攻击分析***2。
图12是示出本实施方式的攻击分析器20的图。如图12所示,在本实施方式中,布置在车辆外部的服务器装置是攻击分析器20,并且车辆配备有转换验证装置21。
在本实施方式中,从公共安全日志生成单元100输出的公共安全日志经由无线通信网络被发送至攻击估计单元200。类似地,从攻击估计单元200输出的攻击信息经由无线通信网络被发送至个体攻击信息生成单元300。因此,虽然在图11中未示出,攻击分析器20和转换验证装置21可以包括无线通信单元和天线,或者公共安全日志生成单元100的输出单元104或者个体攻击信息生成单元300的攻击信息获取单元301可以提供作为无线通信单元的功能。
在由攻击分析***执行的处理中,估计由电子控制***S接收的服务器攻击的处理(即攻击估计单元200的处理)具有最高的负荷。因此,如果服务器装置包括具有攻击估计单元200的攻击估计装置20,则可以显著降低车辆的处理负荷。
(1)第二实施方式的修改示例
图13示出第二实施方式的修改示例1。在该修改示例中,攻击分析器20除了攻击估计单元200之外还包括公共安全日志生成单元100。在这种情况下,攻击分析器20可以是如图12所示的配置中的服务器装置,而攻击分析器20是安装在车辆上的装置,并且转换验证装置21可以实现为服务器装置。在这种情况下,在服务器装置上执行攻击估计单元200对攻击估计结果的验证,在服务器装置中,为了验证多个电子控制***中的网络攻击的估计结果,例如,基于主题***的估计结果与其他电子控制***的估计结果的比较,可以确定是否需要重置或更新攻击/异常关系表。
另外,图14示出第二实施方式的修改示例2。在该修改示例中,攻击分析器20除了攻击估计单元200之外还包括个体性转换器单元300和估计结果验证单元400。然后,公共安全日志生成单元100被设置在转换装置22中。在该修改示例中,具有分别具有高处理负荷的攻击估计单元200和估计结果验证单元400的攻击分析器20可以优选地是服务器装置,但是不限于这样的配置。
3.(概括)
上面已经描述了在本公开内容的实施方式中的每个实施方式中的攻击分析器等的特征。
由于在每个实施方式中使用的术语都是示例,所以这些术语可以被替换为同义或包括同义功能的术语。
用于描述实施方式的框图是通过针对功能中的每一个功能对装置的配置进行分类和布置而获得的。可以通过任意地组合硬件和软件来实现个体功能块。此外,由于框图示出了功能,所以框图可以被理解为方法和实现该方法的程序的公开。
可以被理解为在各个实施方式中描述的过程、流程和方法的功能块可以按顺序改变,只要不存在诸如在一个步骤中使用先前其他步骤的结果的关系的限制。
在实施方式中的每个实施方式和权利要求中使用的诸如第一、第二到第N(其中N是整数)的术语被用于区分相同种类的两个或更多个配置和方法,并不旨在限制顺序或优越性。
基于用于分析安装在车辆上的电子控制***的服务器攻击的车辆攻击分析器的假设而提供实施方式中的每个实施方式,但是除非在权利要求的范围内另有限制,否则本公开内容包括其他专用或通用装置。
此外,作为本公开内容的攻击分析器的示例形式,可以提及以下内容。部件的形式的示例包括半导体装置、电子电路、模块和微型计算机。半成品的形式的示例包括电子控制装置(即,电子控制单元或ECU)和***板。成品的形式的示例包括移动手机、智能手机、平板电脑、个人电脑(PC)、工作站以及服务器。示例形式还可以包括具有通信功能等的装置,例如视频相机、静态相机和汽车导航***。
此外,可以将诸如天线、通信接口等必要功能添加到攻击分析器。
假设本公开内容的攻击分析器用于提供各种服务的目的,特别是通过在服务器侧使用。为了提供这样的服务,将使用本公开内容的攻击分析器,将使用本公开内容的方法,和/或将执行本公开内容的程序。
此外,本公开内容不仅通过具有关于实施方式中的每个实施方式描述的配置和功能的专用硬件来实现,而且也通过以下的组合来实现:(i)用于实现本公开内容的程序,该程序记录在诸如存储器、硬盘等这样的记录介质上,以及(ii)能够执行程序的通用硬件,包括专用或通用CPU、存储器等。
存储在专用或通用硬件的非暂态、有形存储介质(例如,外部存储设备(硬盘、USB存储器、CD/BD等)中、或存储在内部存储设备(RAM、ROM等))中的程序可以经由记录介质提供至专用或通用硬件,或者经由通信线路从服务器提供而不使用记录介质。以这种方式,可以通过更新程序始终提供最新的功能。
(工业适用性)
本公开内容的攻击分析器主要旨在用于或针对分析由安装在汽车上的电子控制***接收的网络攻击的装置,但也可以旨在用于或针对分析对未安装在汽车上的正常***的攻击的装置。
Claims (17)
1.一种攻击分析器,包括:
公共日志获取单元(201),其获取公共安全日志,所述公共安全日志包括:
(a)异常信息,其指示由电子控制***检测到的异常,以及
(b)公共异常位置,其指示被转换为在所述电子控制***与其他电子控制***之间公共的所述异常的异常位置;
攻击/异常关系表存储单元(202),其存储指示以下之间的关系的攻击/异常关系表:
(c)对所述电子控制***的攻击的攻击类型,
(d)预测异常信息,其指示预测当所述电子控制***被攻击时要发生的预测异常,以及
(e)公共预测异常位置,其指示被转换为在所述电子控制***与所述其他电子控制***之间公共的所述预测异常的预测异常位置;
估计单元(203),其根据以下的组合来估计由所述电子控制***接收到的攻击的攻击类型:(A)所述预测异常信息,其与(a)所述异常信息和(b)所述公共异常位置的组合对应,以及(B)所述公共预测异常位置;以及
输出单元(205),其输出包括所述攻击类型的攻击信息。
2.根据权利要求1所述的攻击分析器,其中,
所述公共异常位置是根据所述电子控制***的按安全级别划分的多个层之中的、所述异常位置所属的层而被转换为公共的位置。
3.根据权利要求2所述的攻击分析器,其中,
所述异常位置是构成所述电子控制***的电子控制装置的位置,并且
所述公共异常位置是除了根据所述异常位置所属的层之外还根据所述电子控制装置所连接的网络而被转换为公共的位置。
4.根据权利要求2所述的攻击分析器,其中,
所述异常位置是构成所述电子控制***的电子控制装置的位置,并且
所述公共异常位置是除了根据所述异常位置所属的层之外还根据所述电子控制装置的功能而被转换为公共的位置。
5.根据权利要求1所述的攻击分析器,其中,
所述攻击/异常关系表还指示(i)攻击类型与(ii)公共攻击开始位置以及公共攻击目标位置之间的关系,所述公共攻击开始位置和所述公共攻击目标位置分别是被转换为在所述电子控制***与所述其他电子控制***之间公共的攻击开始位置和攻击目标位置,并且
所述攻击信息还包括所述公共攻击开始位置和所述公共攻击目标位置。
6.根据权利要求1所述的攻击分析器,其中,
所述估计单元估计与(i)所述预测异常信息和(ii)所述公共预测异常位置的组合对应的攻击类型,作为对所述电子控制***的攻击的攻击类型,所述预测异常信息最接近于(a)所述异常信息和(b)所述公共异常位置的组合。
7.根据权利要求6所述的攻击分析器,还包括:
匹配度计算单元(204),其计算(A)所述异常信息和所述公共异常位置的组合与(B)所述预测异常信息和所述公共预测异常位置的组合之间的匹配度,其中,
所述攻击信息还包括所述匹配度。
8.根据权利要求1所述的攻击分析器,其中,
所述估计单元估计由所述异常信息指示的异常与由所述预测异常信息指示的异常之间的差异是将来在所述电子控制***中将发生的异常,并且
所述攻击信息还包括指示所述差异的将来异常信息。
9.根据权利要求1所述的攻击分析器,其中,
所述电子控制***是安装在下述可移动体上的电子控制***:所述可移动体具有生成公共安全日志的公共安全日志生成单元(100),
所述攻击分析器是布置在所述可移动体外部的服务器装置,并且
所述公共日志获取单元获取由所述公共安全日志生成单元生成的所述公共安全日志。
10.根据权利要求1所述的攻击分析器,还包括:
公共安全日志生成单元(100),其生成所述公共安全日志,其中,
所述公共日志获取单元获取由所述公共安全日志生成单元生成的所述公共安全日志,
所述公共安全日志生成单元包括:
个体日志获取单元(101),其获取包括所述异常信息和所述异常位置的个体安全日志;
位置关系表存储单元(102),其存储位置关系表,所述位置关系表示出以下之间的关系:(i)个***置,其是所述电子控制***中的位置,以及(ii)公共位置,其是被转换为在所述电子控制***与所述其他电子控制***之间公共的位置;以及
公共性转换器单元(103),其通过使用所述位置关系表将所述异常位置转换为所述公共异常位置。
11.根据权利要求10所述的攻击分析器,其中,
所述电子控制***是安装在可移动体上的电子控制***,
所述攻击分析器是布置在所述可移动体外部的服务器装置,
所述公共日志获取单元除了获取所述公共安全日志之外,还获取识别所述电子控制***的标识信息,并且
所述公共性转换器单元基于所述标识信息识别待使用的所述位置关系表。
12.根据权利要求1或10所述的攻击分析器,其中,
所述攻击/异常关系表还指示(i)攻击类型与(ii)公共攻击开始位置以及公共攻击目标位置之间的关系,所述公共攻击开始位置和所述公共攻击目标位置分别是被转换为在所述电子控制***与所述其他电子控制***之间公共的攻击开始位置和攻击目标位置,
所述攻击信息还包括所述公共攻击开始位置和所述公共攻击目标位置,
所述攻击分析器还包括个体攻击信息生成单元(300),
所述个体攻击信息生成单元包括:
位置关系表存储单元(302),其存储所述位置关系表,所述位置关系表示出以下之间的关系:(i)所述公共位置,其是被转换为在所述电子控制***与所述其他电子控制***之间公共的位置,以及(ii)个***置,所述个***置从所述公共位置被个体化到所述电子控制***中的位置;以及
个体性转换器单元(303),其通过使用所述位置关系表,将所述公共攻击开始位置转换为是所述电子控制***中的位置的个体攻击开始位置,并且还将所述公共攻击目标位置转换为是所述电子控制***中的位置的个体攻击目标位置。
13.根据权利要求12所述的攻击分析器,其中,
所述公共安全日志还包括源位置,所述源位置指示引起所述异常的数据的传输源,
所述攻击分析器还包括:
估计结果验证单元(400),其具有验证所述个体攻击开始位置和所述源位置是否匹配的验证单元(402),并且当所述个体攻击开始位置和所述源位置不匹配时,验证单元(402)将所述个体攻击开始位置更新为所述源位置。
14.根据权利要求12所述的攻击分析器,其中,
所述公共安全日志还包括目的地位置,所述目的地位置指示引起所述异常的数据的传输目的地,
所述攻击分析器还包括:
估计结果验证单元(400),其具有验证所述个体攻击目标位置和所述目的地位置是否匹配的验证单元(402),并且当所述个体攻击目标位置和所述目的地位置不匹配时,验证单元(402)将所述个体攻击目标位置更新为所述目的地位置。
15.一种由攻击分析器执行的攻击分析方法,所述攻击分析器分析对电子控制***的攻击,所述攻击分析器设置有攻击/异常关系表存储单元(202),所述攻击/异常关系表存储单元(202)存储攻击/异常关系表,所述攻击/异常关系表指示以下之间的关系:(c)由所述电子控制***接收到的攻击的攻击类型,(d)预测异常信息,其指示预测当所述电子控制***接收到攻击时要发生的预测异常,以及(e)公共预测异常位置,其指示被转换为在所述电子控制***与其他电子控制***之间公共的所述预测异常的预测异常位置,所述攻击分析方法包括:
获取公共安全日志的步骤(S103),所述公共安全日志包括:
(i)异常信息,其指示由所述电子控制***检测到的异常,以及
(ii)公共异常位置,其是被转换为在所述电子控制***与所述其他电子控制***之间公共的异常的异常位置;
根据以下的组合来估计由所述电子控制***接收到的攻击的攻击类型的步骤(S104):
(A)(d)所述预测异常信息,其对应于(a)所述异常信息和(b)所述公共异常位置的组合,以及
(B)(e)所述公共预测异常位置;以及
输出包括所述攻击类型的攻击信息的步骤(S106)。
16.一种非暂态计算机可读存储介质,其包括指令,所述指令在被处理器执行时控制计算机用作分析对电子控制***的攻击的攻击分析器,所述攻击分析器包括攻击/异常关系表存储单元(202),其存储攻击/异常关系表,所述攻击/异常关系表指示以下之间的关系:(c)由所述电子控制***接收到的攻击的攻击类型,(d)预测异常信息,其指示预测当所述电子控制***接收到所述攻击时要发生的预测异常,以及(e)公共预测异常位置,其指示被转换为在所述电子控制***与其他电子控制***之间公共的所述预测异常的预测异常位置,所述指令包括:
获取公共安全日志的步骤(S103),所述公共安全日志包括:
(i)异常信息,其指示由所述电子控制***检测到的异常,以及
(ii)公共异常位置,其是被转换为在所述电子控制***与其他电子控制***之间公共的异常的异常位置;
根据以下的组合来估计由所述电子控制***接收到的攻击的攻击类型的步骤(S104):
(A)(d)所述预测异常信息,其对应于(a)所述异常信息和(b)所述公共异常位置的组合,以及
(B)(e)所述公共预测异常位置;以及
输出包括所述攻击类型的攻击信息的步骤(S106)。
17.一种由攻击分析器执行的攻击分析方法,所述攻击分析器分析对电子控制***的攻击,所述攻击分析器包括攻击/异常关系表存储单元(202),其存储攻击/异常关系表,所述攻击/异常关系表指示以下之间的关系:(c)由所述电子控制***接收到的攻击的攻击类型,(d)预测异常信息,其指示预测当所述电子控制***接收到所述攻击时要发生的预测异常,以及(e)公共预测异常位置,其指示被转换为在所述电子控制***与其他电子控制***之间公共的所述预测异常的预测异常位置,所述攻击分析方法包括:
获取由所述电子控制***检测到的所述攻击的异常信息以及发生所述异常的异常位置的步骤(S101);
通过使用位置关系表将所述异常位置转换为公共异常位置的步骤(S102),所述位置关系表示出了个***置与公共位置之间的关系,所述个***置是所述电子控制***中的位置,所述公共位置是其中所述个***置被转换为在所述电子控制***与所述其他电子控制***之间公共的位置;
获取包括所述异常信息和所述公共异常位置的公共安全日志的步骤(S103);
根据以下的组合来估计由所述电子控制***接收到的攻击的攻击类型的步骤(S104):
(A)(d)所述预测异常信息,其对应于(a)所述异常信息和(b)所述公共异常位置的组合,以及
(B)(e)所述公共预测异常位置;以及
输出包括所述攻击类型、所述公共攻击开始位置和所述公共攻击目标位置的所述攻击信息的步骤(S106);以及
将所述公共攻击目标位置转换为是所述电子控制***中的位置的个体攻击目标位置、并且将所述公共攻击开始位置转换为是所述电子控制***中的位置的个体攻击开始位置的步骤(S107)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021056122A JP2022153081A (ja) | 2021-03-29 | 2021-03-29 | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
JP2021-056122 | 2021-03-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115134109A true CN115134109A (zh) | 2022-09-30 |
Family
ID=80930102
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210300869.2A Pending CN115134109A (zh) | 2021-03-29 | 2022-03-25 | 攻击分析器、攻击分析方法和存储介质 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20220309153A1 (zh) |
EP (1) | EP4068690A1 (zh) |
JP (1) | JP2022153081A (zh) |
CN (1) | CN115134109A (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116015894B (zh) * | 2022-12-28 | 2023-07-21 | 深圳市神飞致远技术有限公司 | 一种信息安全管理方法及*** |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7045286B2 (ja) * | 2018-01-22 | 2022-03-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | データ解析装置、データ解析方法及びプログラム |
JP2020123307A (ja) | 2019-01-29 | 2020-08-13 | オムロン株式会社 | セキュリティ装置、攻撃特定方法、及びプログラム |
WO2020203352A1 (ja) * | 2019-03-29 | 2020-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法及び異常検知装置 |
-
2021
- 2021-03-29 JP JP2021056122A patent/JP2022153081A/ja active Pending
-
2022
- 2022-03-14 US US17/693,469 patent/US20220309153A1/en active Pending
- 2022-03-22 EP EP22163474.4A patent/EP4068690A1/en active Pending
- 2022-03-25 CN CN202210300869.2A patent/CN115134109A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2022153081A (ja) | 2022-10-12 |
EP4068690A1 (en) | 2022-10-05 |
US20220309153A1 (en) | 2022-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11128657B2 (en) | Electronic control device, fraud detection server, in-vehicle network system, in-vehicle network monitoring system, and in-vehicle network monitoring method | |
US11875612B2 (en) | Vehicle monitoring apparatus, fraud detection server, and control methods | |
CN110300686B (zh) | 数据分析装置及存储介质 | |
CN112889051A (zh) | 车辆用***以及控制方法 | |
US11595431B2 (en) | Information processing apparatus, moving apparatus, and method | |
US20150039174A1 (en) | Vehicular Communication Device and Communication Management System | |
JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
EP3798840A1 (en) | Information processing device, data analysis method, and program | |
JP2019073102A (ja) | 車両用制御装置 | |
CN110325410B (zh) | 数据分析装置及存储介质 | |
CN115134109A (zh) | 攻击分析器、攻击分析方法和存储介质 | |
US11971982B2 (en) | Log analysis device | |
KR20160009156A (ko) | 차량 정비 서비스 제공 시스템 및 방법 | |
US20230007033A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
US20230007034A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
US20220019662A1 (en) | Log management device and center device | |
US20240089280A1 (en) | Attack analysis device, attack analysis method, and storage medium | |
US20240039949A1 (en) | Attack estimation verification device, attack estimation verification method, and storage medium storing attack estimation verification program | |
CN115803737A (zh) | 日志管理装置以及安全攻击检测/分析*** | |
US20240089281A1 (en) | Attack analysis device, attack analysis method, and storage medium | |
US20240114044A1 (en) | Log determination device, log determination method, log determination program, and log determination system | |
JP2024051328A (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
JP2024051844A (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
US20240111859A1 (en) | Log determination device, log determination method, log determination program, and log determination system | |
WO2024071120A1 (ja) | 情報処理装置、情報処理システム、情報処理プログラム、情報処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |