JP2020092325A - 不正信号処理装置 - Google Patents

不正信号処理装置 Download PDF

Info

Publication number
JP2020092325A
JP2020092325A JP2018228243A JP2018228243A JP2020092325A JP 2020092325 A JP2020092325 A JP 2020092325A JP 2018228243 A JP2018228243 A JP 2018228243A JP 2018228243 A JP2018228243 A JP 2018228243A JP 2020092325 A JP2020092325 A JP 2020092325A
Authority
JP
Japan
Prior art keywords
unit
signal
time
communication network
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018228243A
Other languages
English (en)
Inventor
怜史 西本
Reishi Nishimoto
怜史 西本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2018228243A priority Critical patent/JP2020092325A/ja
Publication of JP2020092325A publication Critical patent/JP2020092325A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】単位時間当たりのデータ量の検出に必要な記憶容量を低減する。【解決手段】不正信号処理装置100は、通信網に入力されるデータ信号を検出する信号検出部52と、特定の時刻から信号検出部52によりデータ信号が検出された検出時刻までの経過時間を所定時間で除算して商と剰余とを算出する除算部54と、除算部54により算出された商および剰余を記憶する記憶部51と、記憶部51に記憶された商および剰余に基づいて、所定時間よりも長い判定時間内に信号検出部52により検出されたデータ信号の信号数を算出し、算出された信号数に基づいて通信網に対する攻撃が発生したか否かを判定する攻撃判定部55とを備える。【選択図】図4

Description

本発明は、通信網に入力される不正な信号を処理する不正信号処理装置に関する。
従来、車両に搭載されたECUに対する車外の装置からのDoS攻撃(Denial of Service attack)を検出するようにした装置が知られている。例えば特許文献1記載の装置では、単位時間当たりに車外の装置から車載通信網に対して入力されるデータ量を検出し、予め設定された閾値以上のデータ量が検出されると、DoS攻撃が発生したと判定する。
特許文献1:特開2016−143963号公報
ところで、一般に、単位時間当たりのデータ量を検出するためには、データ信号が入力された時刻データを記憶する必要がある。しかしながら、単位時間分の時刻データを記憶するためには記憶容量の大きなメモリが必要になり、コストの上昇を招く。
本発明の一態様である不正信号処理装置は、通信網に入力されるデータ信号を検出する信号検出部と、特定の時刻から信号検出部によりデータ信号が検出された検出時刻までの経過時間を所定時間で除算して商と剰余とを算出する除算部と、除算部により算出された商および剰余を記憶する記憶部と、記憶部に記憶された商および剰余に基づいて、所定時間よりも長い判定時間内に信号検出部により検出されたデータ信号の信号数を算出し、算出された信号数に基づいて通信網に対する攻撃が発生したか否かを判定する攻撃判定部と、を備える。
本発明によれば、単位時間当たりのデータ量の検出に必要な記憶容量を低減することができる。
本発明の実施形態に係る不正信号処理装置を概略的に示す図。 車載通信網に入力される正当なデータ信号について説明するための図。 車載通信網に対する攻撃について説明するための図。 本発明の実施形態に係る不正信号処理装置の要部構成を示すブロック図。 図4の除算部により算出される経過時間について説明するための図。 図4の除算部により算出される商および剰余の一例について説明するための図。 図4の記憶部に記憶される時刻データの一例について説明するための図。 本発明の実施形態に係る不正信号処理装置により実行される処理の一例を示すフローチャート。
以下、図1〜図8を参照して本発明の実施形態について説明する。図1は、本発明の実施形態に係る不正信号処理装置100を概略的に示す図である。
不正信号処理装置100が適用される車両1には、複数(図1の例では、4個)のECU(電子制御ユニット)2が搭載される。複数のECU2には、エンジン制御用ECU、変速機制御用ECU、操舵制御用ECUなどの車両の動作に直接的な影響を与えるECU、エアコンやナビゲーションなどの車両の動作に直接的な影響を与えない機器の制御用ECU等、機能の異なるECUが含まれる。
各ECU2は、CAN(コントローラエリアネットワーク)等の車載通信網により互いに通信可能に接続される。各ECU2は、演算処理を行うCPU、揮発性メモリ(RAM)、書き換え可能な不揮発性メモリ(フラッシュメモリやEEPROM等)、その他の周辺回路を有するコンピュータを含んで構成される。各ECU2は、予め不揮発性メモリに記憶されたプログラムに従い、各種センサからの出力値に基づいて各種制御を実行する。
さらにECU2には、車載通信網を介して、外部との無線通信を行うTCU(テレマティクス制御ユニット)3、ECU2に記憶された故障コードを読み出して車両1の故障診断を行う、あるいはECU2のプログラムを更新する診断機を接続可能なDLC(データリンクコネクタ)4が接続される。ECU2、TCU3およびDLC4の間にはゲートウェイ5が設けられ、車載通信網と車外との通信あるいは複数の車載通信網間の通信を中継する。
図2は、車載通信網に入力される正当なデータ信号LSについて説明するための図である。複数のECU2は、それぞれのプログラムに従って各種制御を実行するための演算を行うとともに、それぞれの演算結果を含むデータ信号を相互に送受信して共有することで、複数のECU2による協調制御を実行する。図2に示すように、協調制御を行うために送受信される正当なデータ信号LSは、一定の周期Tf(例えば、10ms)で車載通信網に入力される。
図3は、車載通信網に対する攻撃について説明するための図である。悪意のある第三者が車載通信網に対して不正なデータ信号ISを大量に送信(入力)し、車載通信網における正当なデータ信号LSの送受信を妨害する攻撃、いわゆるDoS攻撃(Denial of Service attack)を試みることがある。このようなDoS攻撃が行われると、車載通信網に接続された各ECU2が正常に動作できなくなる可能性がある。
車載通信網に対するDoS攻撃の発生は、単位時間当たりに車載通信網に入力されるデータ信号の信号数をカウントし、カウントされた信号数を設計許容値と比較することで検知することができる。この場合、単位時間当たりに車載通信網に入力された各データ信号LS,ISの入力時刻tの時刻データをバッファ領域に一時的に記憶する必要がある。
DoS攻撃の発生を確実に検知するには、正当なデータ信号LSの入力周期Tfよりも十分長い、例えば、入力周期Tfの10倍程度の判定時間Tw当たりの信号数をカウントすることが望ましい。しかしながら、判定時間Twを長く設定すると、バッファ領域に記憶される時刻データのデータ数が増大するため、メモリ容量が必要となるとともに、順次検出されるデータ信号と連動した時刻データのずらし処理による演算負荷も増大する。
そこで、本発明の実施形態に係る不正信号処理装置100は、各データ信号LS,ISの入力時刻tを桁数の小さい数値に変換した上でバッファ領域に記憶するよう、以下のように構成する。
図4は、不正信号処理装置100の要部構成を示すブロック図である。図1および図4に示すように、不正信号処理装置100は、車両1に搭載されたECU2と、TCU3と、DLC4と、ECU2、TCU3およびDLC4の間に設けられたゲートウェイ5とを備えた車載通信網として構成される。
図4に示すように、ゲートウェイ5は、CPU等の演算部50と、ROM,RAM,ハードディスク等の記憶部51と、その他の周辺回路とを有するコンピュータを含んで構成される。演算部50は、機能的構成として、信号検出部52と、信号中継部53と、除算部54と、攻撃判定部55と、通信制限部56とを有する。
信号検出部52は、車載通信網を介して入力された全てのデータ信号LS,ISを検出する。すなわち、TCU3やDLC4を介して車外から入力されるデータ信号や、車内のECU2から入力されるデータ信号だけでなく、改ざんされたECU2や、車載通信網に挿入された不正な外部機器から入力される、なりすまし等のデータ信号も含む全てのデータ信号LS,ISを検出する。
信号中継部53は、ECU2、TCU3およびDLC4の間で送受信される通信信号(データ信号)を中継する。すなわち、信号中継部53は、送信元から車載通信網に入力されて信号検出部52により検出されたデータ信号を送信先へと転送(中継)する。
除算部54は、信号検出部52により新たなデータ信号LS,ISが検出されると、その検出時刻を入力時刻t1として、判定時間Twにおいて前回までに検出されたデータ信号LS,ISの入力時刻t2,t3,…,tnからの経過時間tp2,tp3,…,tpnを順次算出する。
図5は、除算部54により算出される経過時間について説明するための図である。図5に示すように、除算部54は、判定時間Twにおける前回までのデータ信号LS,ISの入力時刻t2〜t13のそれぞれから最新の入力時刻t1までの経過時間tp2〜tp13を算出する。
さらに除算部54は、算出した経過時間tp2〜tp13を、正当なデータ信号LSの入力周期Tfで除算して商Q2〜Q13と剰余C2〜C13とを算出する。なお、経過時間tp1および経過時間tp1に対応する商Q1、剰余C1は、「0」とする。除算部54により算出された商Q1〜Q13および剰余C1〜C13は、入力時刻t1〜t13の時刻データとして記憶部51に記憶される。
図6は、除算部54により算出される商および剰余の一例について説明するための図であり、図7は、記憶部51に記憶される入力時刻t1〜t13の時刻データの一例について説明するための図である。図6の例では、経過時間tp2は、正当なデータ信号LSの入力周期Tf(例えば、10ms)より短いため、商Q2=0となり、剰余C2は、入力周期Tfより小さい値となる。また、経過時間tp3は、Tf×1より長くTf×2より短いため、商Q3=1となり、剰余C3は、入力周期Tfより小さい値となる。
このように、経過時間tpnは、0から10まで、すなわち2桁以下の整数である商Qnと、0から入力周期Tf=10msまでの値、すなわち2桁以下の値である剰余Cnとを用いて、Tf×Qn+Cnとして表すことができる。
時刻tnそのものを記憶する場合には、経過時間tpnに変換したとしても、0から判定時間Tw=100msまでの値、すなわち3桁以下の値を記憶部51に記憶する必要がある。一方、図7に示すように、入力時刻tnそのものに代えて、経過時間tpnを正当なデータ信号LSの入力周期Tfで除算したときの商Qnおよび剰余Cnを時刻tnの時刻データとして記憶部51に記憶することで、記憶部51に記憶される時刻データの桁数を削減することができる。
さらに、信号検出部52により新たなデータ信号LS,ISが検出されると、除算部54は、新たに検出されたデータ信号LS,ISの検出時刻を入力時刻t1として、記憶部51(バッファ領域)に記憶された時刻データのずらし処理を行う。記憶部51に記憶される時刻データの桁数が削減されることで、ずらし処理による演算負荷も低減することができる。
攻撃判定部55は、記憶部51に記憶された時刻データ(商Qnおよび剰余Cn)に基づいて、判定時間Twにおいて信号検出部52により検出されたデータ信号LS,ISの信号数をカウント(算出)する。図3および図7の例では、13個のデータ信号LS,ISがカウントされる。
さらに攻撃判定部55は、判定時間Twにおいて信号検出部52により検出されたデータ信号LS,ISの信号数に基づいて、車載通信網に対するDoS攻撃が発生したか否かを判定する。DoS攻撃が発生していない正常な状態で、判定時間Twにおいて信号検出部52により検出されるデータ信号LSの信号数の設計値は、(判定時間Tw=100ms)/(正当なデータ信号LSの入力周期Tf=10ms)=10個となる。
攻撃判定部55は、判定時間Twにおいて信号検出部52により検出されるデータ信号LS,ISの信号数が、設計値に所定値(例えば、3)を加算した閾値を超えると、車載通信網に対するDoS攻撃が発生したと判定する。すなわち、例えば、判定時間Twにおいて信号検出部52により検出されるデータ信号LS,ISの信号数が14以上となると、車載通信網に対するDoS攻撃が発生したと判定する。
通信制限部56は、攻撃判定部55により、車載通信網に対するDoS攻撃が発生したと判定されると、必要に応じて通信制限を行う。例えば、送信元から送信先へのデータ信号のゲートウェイ5による中継を禁止(遮断)する。
図8は、不正信号処理装置100により実行される処理の一例を示すフローチャートである。このフローチャートに示す処理は、例えば、車両1が起動されて車載通信網に電源が供給されると開始され、所定周期で繰り返される。
まず、ステップS1で、信号検出部52での処理により、新たなデータ信号LS,ISを検出したか否かを判定する。ステップS1は肯定されるまで繰り返される。ステップS1で肯定されるとステップS2に進み、ステップS1で検出されたデータ信号LS,ISの検出時刻を入力時刻t1として決定する。
次いで、ステップS3で、除算部54での処理により、判定時間Twにおいて前回までに検出されたデータ信号LS,ISの入力時刻t2〜t13を、正当なデータ信号LSの入力周期Tfで除算して、商Q2〜Q13と剰余C2〜C13とを算出する。すなわち、入力時刻t2〜t13を商Q2〜Q13および剰余C2〜C13に変換し、時刻データとして記憶部51に記憶する。
次いで、ステップS4で、攻撃判定部55での処理により、ステップS3で変換されて記憶部51に記憶された時刻データに基づいて、判定時間Twにおいて検出されたデータ信号LS,ISの信号数をカウントする。次いで、ステップS5で、ステップS4でカウントされた信号数が閾値以下であるか否かを判定する。
ステップS5で肯定されると処理を終了する一方、否定されると、ステップS6に進み、車載通信網に対するDoS攻撃が発生したと判定する。これにより、車載通信網に対するDoS攻撃が発生したと判定されるときは、必要に応じて、信号中継部53による通信信号の中継を禁止することができる。
本実施形態に係る不正信号処理装置100の主要な動作についてより具体的に説明する。車両1の車載通信網に対し、例えば、TCU3(図1)を介して車外から不正なデータ信号ISが大量に入力されると、ゲートウェイ5(図1)がDoS攻撃の発生を検知し、必要に応じて通信制限を行う(図8のステップS1〜S6)。すなわち、車載通信網全体の通信信号を監視するゲートウェイ5により、車載通信網に対するDoS攻撃の発生を判定し、必要に応じて通信信号の中継を禁止し、車載通信網に対する攻撃を制限することができる。
本実施形態によれば以下のような作用効果を奏することができる。
(1)不正信号処理装置100は、車載通信網に入力されるデータ信号LS,ISを検出する信号検出部52と、特定の入力時刻t1から信号検出部52によりデータ信号LS,ISが検出された入力時刻(検出時刻)tnまでの経過時間tpnを正当なデータ信号LSの入力周期Tfで除算して商Qnと剰余Cnとを算出する除算部54と、除算部54により算出された商Qnおよび剰余Cnを記憶する記憶部51と、記憶部51に記憶された商Qnおよび剰余Cnに基づいて、入力周期Tfよりも長い判定時間Tw内に信号検出部52により検出されたデータ信号LS,ISの信号数を算出し、算出された信号数に基づいて車載通信網に対するDoS攻撃が発生したか否かを判定する攻撃判定部55とを備える(図4)。
DoS攻撃の発生を検知するためにカウントすべきデータ信号の時刻データを、桁数の小さい数値に変換した上でバッファ領域(記憶部51)に記憶することで、必要なメモリ容量を低減することができる。また、順次検出されるデータ信号と連動した時刻データのずらし処理による演算負荷を低減することができる。
(2)不正信号処理装置100は、車載通信網に接続された外部機器から車載通信網に入力されるデータ信号を中継する信号中継部53と、攻撃判定部55による判定結果に応じて、信号中継部53によりデータ信号の中継を禁止する通信制限部56と、をさらに備える(図4)。これにより、必要に応じてデータ信号の中継を禁止し、車載通信網に対する攻撃を制限することができる。
(3)不正信号処理装置100は、ユニット化された記憶部51と、信号検出部52と、信号中継部53と、除算部54と、攻撃判定部55と、通信制限部56と、を有するゲートウェイ5をさらに備える(図4)。車載通信網全体の通信信号を監視するゲートウェイ5がDoS攻撃の発生を検知し、必要に応じて通信制限を行うため、不正信号処理装置100全体を簡易な構成とすることができる。
上記実施形態は種々の形態に変更することができる。以下、変形例について説明する。上記実施形態では、不正信号処理装置100を、記憶部51、信号検出部52、除算部54および攻撃判定部55を有するゲートウェイ5として例示したが、不正信号処理装置の構成はこれに限らない。例えば、ゲートウェイ5とは別の、車載通信網全体の通信信号を監視する専用の機器に、記憶部51、信号検出部52、除算部54および攻撃判定部55を設けてもよい。
上記実施形態では、通信網としてCAN通信による車載通信網を例示したが、不正信号処理装置が適用される通信網はこのようなものに限らない。通信網は、データ信号が入力されるものであれば、どのようなものでもよい。
以上の説明はあくまで一例であり、本発明の特徴を損なわない限り、上述した実施形態および変形例により本発明が限定されるものではない。上記実施形態と変形例の1つまたは複数を任意に組み合わせることも可能であり、変形例同士を組み合わせることも可能である。
1 車両、2 ECU、3 TCU、4 DLC、5 ゲートウェイ、50 演算部、51 記憶部、52 信号検出部、53 信号中継部、54 除算部、55 攻撃判定部、56 通信制限部、100 不正信号処理装置

Claims (3)

  1. 通信網に入力されるデータ信号を検出する信号検出部と、
    特定の時刻から前記信号検出部により前記データ信号が検出された検出時刻までの経過時間を所定時間で除算して商と剰余とを算出する除算部と、
    前記除算部により算出された前記商および前記剰余を記憶する記憶部と、
    前記記憶部に記憶された前記商および前記剰余に基づいて、前記所定時間よりも長い判定時間内に前記信号検出部により検出された前記データ信号の信号数を算出し、算出された信号数に基づいて前記通信網に対する攻撃が発生したか否かを判定する攻撃判定部と、を備えることを特徴とする不正信号処理装置。
  2. 請求項1に記載の不正信号処理装置において、
    前記通信網に接続された外部機器から前記通信網に入力されるデータ信号を中継する信号中継部と、
    前記攻撃判定部による判定結果に応じて、前記信号中継部によるデータ信号の中継を禁止する通信制限部と、をさらに備えることを特徴とする不正信号処理装置。
  3. 請求項2に記載の不正信号処理装置において、
    ユニット化された前記記憶部と、前記信号検出部と、前記信号中継部と、前記除算部と、前記攻撃判定部と、前記通信制限部と、を有する中継装置をさらに備えることを特徴とする不正信号処理装置。
JP2018228243A 2018-12-05 2018-12-05 不正信号処理装置 Pending JP2020092325A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018228243A JP2020092325A (ja) 2018-12-05 2018-12-05 不正信号処理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018228243A JP2020092325A (ja) 2018-12-05 2018-12-05 不正信号処理装置

Publications (1)

Publication Number Publication Date
JP2020092325A true JP2020092325A (ja) 2020-06-11

Family

ID=71013174

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018228243A Pending JP2020092325A (ja) 2018-12-05 2018-12-05 不正信号処理装置

Country Status (1)

Country Link
JP (1) JP2020092325A (ja)

Similar Documents

Publication Publication Date Title
US20230164159A1 (en) Anomaly detection device, anomaly detection method, and recording medium
JP7173039B2 (ja) 情報処理装置、移動装置、および方法、並びにプログラム
US20070036021A1 (en) Data reprogramming method and system
JP6369341B2 (ja) 車載通信システム
WO2019074000A1 (ja) 車両用制御装置
JP6418217B2 (ja) 通信システムで実行される情報集約方法
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
CN111989678A (zh) 信息处理装置、信息处理方法以及程序
US20220407873A1 (en) Analysis device and analysis method
US11694489B2 (en) Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit
CN113328983B (zh) 非法信号检测装置
WO2014005914A1 (en) Method for error diagnosis of can communication
JP6036569B2 (ja) セキュリティ装置
US11971982B2 (en) Log analysis device
JP2020092325A (ja) 不正信号処理装置
JP6404848B2 (ja) 監視装置、及び、通信システム
JP2020145547A (ja) 不正送信データ検知装置
JP7011637B2 (ja) 不正信号検出装置
JP6913869B2 (ja) 監視装置、監視システムおよびコンピュータプログラム
JP2020096320A (ja) 不正信号処理装置
JP2009147555A (ja) 車載用電子制御ユニットの故障予測システム
JP6968137B2 (ja) 車両用制御装置
KR102001420B1 (ko) 전자제어유닛, 차량 통신 보안시스템 및 보안방법
JP2020005113A (ja) 通信監視装置
WO2019215807A1 (ja) 監視装置、学習装置、監視方法、学習方法及び記憶媒体