JP7255710B2 - 攻撃監視用センター装置、及び攻撃監視用端末装置 - Google Patents
攻撃監視用センター装置、及び攻撃監視用端末装置 Download PDFInfo
- Publication number
- JP7255710B2 JP7255710B2 JP2021566822A JP2021566822A JP7255710B2 JP 7255710 B2 JP7255710 B2 JP 7255710B2 JP 2021566822 A JP2021566822 A JP 2021566822A JP 2021566822 A JP2021566822 A JP 2021566822A JP 7255710 B2 JP7255710 B2 JP 7255710B2
- Authority
- JP
- Japan
- Prior art keywords
- pattern
- attack
- event log
- attack monitoring
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本出願は、2019年12月25日に出願された日本特許出願番号2019-234450号に基づくもので、ここにその記載内容を援用する。
本出願は、サイバー攻撃を監視するシステムであって、主に移動体に搭載される攻撃監視用端末装置、及び移動体の外部に設けられた攻撃監視用センター装置、からなる攻撃監視用システムに関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。車両は高速で移動するため、サイバー攻撃に伴い車両のコントロールを失うと人身に影響を及ぼす事故が発生する危険性が高く、サイバー攻撃に対してより強固な防御手段が必要となる。
ここで、コンピュータシステムの分野においては、以前からサイバー攻撃に対する対応策が講じられている。
例えば、特許文献1には、接続された複数の機器から取得したログ内容を照合した場合に、論理的に異常の可能性が導き出せるログ内容の組み合わせがあることに着目し、予めこの組み合わせを異常パターンとして記憶部に記憶しておき、実際のログとの照合を行うことにより、不正の疑いがある監視対象を早期に発見することができるログ監視方法及び装置が記載されている。
ここで、本発明者は、以下の課題を見出した。
従来のコンピュータシステムの分野と異なり、車両に搭載されるコンピュータはCPUやメモリなどのリソースが非力であり、複雑なイベントログの分析が難しい。これに対し、イベントログの分析を、車両外のサーバ等のようなリソースが豊富な機器で行う場合、車両とサーバとは無線通信を用いて接続する必要がある。しかし、無線通信は環境によって接続が不安定になることがあり、車両に対してリアルタイムに対応を行うことが難しい場合が生じる。この結果、サイバー攻撃にさらされる危険性が高くなる。
また、リソースが非力でない場合においても、イベントログの分析を車両外のサーバ等で行うとすると、ネットワーク接続が不安定である場合に同様の問題が生じる。
従来のコンピュータシステムの分野と異なり、車両に搭載されるコンピュータはCPUやメモリなどのリソースが非力であり、複雑なイベントログの分析が難しい。これに対し、イベントログの分析を、車両外のサーバ等のようなリソースが豊富な機器で行う場合、車両とサーバとは無線通信を用いて接続する必要がある。しかし、無線通信は環境によって接続が不安定になることがあり、車両に対してリアルタイムに対応を行うことが難しい場合が生じる。この結果、サイバー攻撃にさらされる危険性が高くなる。
また、リソースが非力でない場合においても、イベントログの分析を車両外のサーバ等で行うとすると、ネットワーク接続が不安定である場合に同様の問題が生じる。
本開示は、リソースが非力、かつ/又は、ネットワーク接続が不安定な場合においても、サイバー攻撃の判定を遅滞なく行うことができる攻撃監視用センター装置、攻撃監視用端末装置、及びこれらに用いられる方法及びプログラムを実現することを目的とする。
なお、課題として車両に搭載される場合を例に挙げているが、これは課題の一例である。車両に搭載されない場合も、リソースが非力である、かつ/又は、ネットワーク接続が不安定になる可能性があるという課題が生じうる。また、ネットワーク接続は、有線であっても不安定になる可能性があるのは当然である。
なお、課題として車両に搭載される場合を例に挙げているが、これは課題の一例である。車両に搭載されない場合も、リソースが非力である、かつ/又は、ネットワーク接続が不安定になる可能性があるという課題が生じうる。また、ネットワーク接続は、有線であっても不安定になる可能性があるのは当然である。
本開示の一態様による攻撃監視用センター装置は、通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信する受信部と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、を記述したイベントログ発生パターンデータベース(DB)を記憶する記憶部と、前記イベントログ及び前記第1のパターンに基づき、異常の検出を行うイベントログ分析部と、前記イベントログ分析部で異常を検出した場合、前記第2のパターンを前記攻撃監視用端末装置に送信する送信部と、を有する。
また、本開示の他の態様による攻撃監視用端末装置は、接続された各装置からイベントログを収集するイベントログ収集部と、前記イベントログを、通信ネットワークを介して攻撃監視用センター装置に送信する送信部と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、のうち前記第2のパターンのみを前記攻撃監視用センター装置から受信する受信部と、前記第2のパターンを保存する保存部(205)と、前記第2のパターンを前記保存部から読み出すとともに、前記イベントログ及び前記第2のパターンに基づき、異常の検出を行う攻撃判定部と、を有する。
また、本開示の他の態様による、攻撃監視用センター装置における攻撃監視方法は、通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信し、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、を記述したイベントログ発生パターンデータベース(DB)から、前記第1のパターン及び前記第2のパターンを読み出し、前記イベントログ及び前記第1のパターンに基づき、異常の検出を行い、異常を検出した場合、前記第2のパターンを前記攻撃監視用端末装置に送信する。
また、本開示の他の態様による、攻撃監視用センター装置で実行可能な攻撃監視用プログラムは、通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信し、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、を記述したイベントログ発生パターンデータベース(DB)から、前記第1のパターン及び前記第2のパターンを読み出し、前記イベントログ及び前記第1のパターンに基づき、異常の検出を行い、異常を検出した場合、前記第2のパターンを前記攻撃監視用端末装置に送信する。
また、本開示の他の態様による、攻撃監視用端末装置で実行可能な攻撃監視用プログラムは、接続された各装置からイベントログを収集し、前記イベントログを、通信ネットワークを介して攻撃監視用センター装置に送信し、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、のうち前記第2のパターンのみを前記攻撃監視用センター装置から受信し、前記第2のパターンを保存し、前記第2のパターンを読み出すとともに、前記イベントログ及び前記第2のパターンに基づき、異常の検出を行う。
また、本開示の他の態様による攻撃監視システムは、攻撃監視用センター装置及び攻撃監視用端末装置からなる攻撃監視システムであって、前記攻撃監視用センター装置は、通信ネットワークを介して前記攻撃監視用端末装置から送信されたイベントログを受信する第1の受信部と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、を記述したイベントログ発生パターンデータベース(DB)を記憶する記憶部と、前記イベントログ及び前記第1のパターンに基づき、異常の検出を行うイベントログ分析部と、前記イベントログ分析部で異常を検出した場合、前記第2のパターンを前記攻撃監視用端末装置に送信する第1の送信部と、を有し、前記攻撃監視用端末装置は、接続された各装置からイベントログを収集するイベントログ収集部と、前記イベントログを、通信ネットワークを介して前記攻撃監視用センター装置に送信する第2の送信部と、サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、のうち前記第2のパターンのみを前記攻撃監視用センター装置から受信する第2の受信部と、前記第2のパターンを保存する保存部と、前記第2のパターンを前記保存部から読み出すとともに、前記イベントログ及び前記第2のパターンに基づき、異常の検出を行う攻撃判定部と、を有する。
なお、請求の範囲に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成により、攻撃監視用端末装置のリソースが非力、かつ/又は、攻撃監視用センター装置とのネットワーク接続が不安定な場合においても、サイバー攻撃の判定を遅滞なく行うことができる。
以下、本開示の実施形態について、図面を参照して説明する。
なお、以下に示す本発明とは、請求の範囲に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともダブルクォーテーション内の語句は、請求の範囲に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
請求の範囲の従属項に記載の構成及び方法は、請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
本開示に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本開示の構成及び方法と共に発明の進歩性を肯定する事実である。
1.実施形態
(1)攻撃監視用端末装置の構成
図1を用いて、本実施形態の攻撃監視用端末装置200の構成について説明する。
(1)攻撃監視用端末装置の構成
図1を用いて、本実施形態の攻撃監視用端末装置200の構成について説明する。
本実施形態では、車両に複数の電子制御装置であるECU(Electric Control Unit)を搭載した例を示している。図1では、内部ECU(A)、内部ECU(B)、内部ECU(C)、GW(Gateway)ECU、通信ECUを搭載し、全体として電子制御システムを構成している。そして、GWECUに、内部ECU(A)、内部ECU(B)、内部ECU(C)、及び通信ECUが接続されている。
これらのECU同士は車載ネットワークで接続されており、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
内部ECU(A)、内部ECU(B)、内部ECU(C)は任意のECUであるが、例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士が並列ではなく、マスターとスレーブとに分類されていてもよい。
攻撃監視用端末装置200は、本実施形態ではGWECUに相当し、GWECUに攻撃監視用端末装置200の機能が搭載されている。もっとも、攻撃監視用端末装置200は、この他の車載用ECUにその機能が搭載されていてもよい。例えば、専用の攻撃監視用ECUや、通信ECUに搭載されていてもよい。
攻撃監視用端末装置200(“攻撃監視用端末装置”に相当)は、セキュリティイベント検知部201、イベントログ収集部202、送信部203、受信部204、保存部205、攻撃判定部206を有する。
また、内部ECU(A)、内部ECU(B)、内部ECU(C)、通信ECUにも、それぞれセキュリティイベント検知部211、212、213、214を有している。
以降、これらのセキュリティイベント検知部をまとめて称呼するときは各セキュリティイベント検知部と記載する。
また、内部ECU(A)、内部ECU(B)、内部ECU(C)、通信ECUにも、それぞれセキュリティイベント検知部211、212、213、214を有している。
以降、これらのセキュリティイベント検知部をまとめて称呼するときは各セキュリティイベント検知部と記載する。
ここで、“攻撃監視用端末装置”とは、サイバー攻撃をはじめとする外部からの攻撃を監視する装置であれば足りる。例えば、一般的に、電子制御装置、監視装置、ゲートウェイ装置と呼ばれるものが相当し、具体的には、電子制御装置(ECU)、半導体回路素子、パーソナルコンピュータ(PC)、スマートフォン、携帯電話等が含まれる。
攻撃監視用端末装置200は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図1に記載の各機能ブロックの機能を発揮させるように構成することができる。後述の図2で示さる攻撃監視用センター装置100においても同様である。
もちろん、攻撃監視用端末装置200を、LSI等の専用のハードウェアで実現してもよい。
もちろん、攻撃監視用端末装置200を、LSI等の専用のハードウェアで実現してもよい。
攻撃監視用端末装置200及びその他のECUは、本実施形態では“移動体”である車両に“搭載されている”。もっとも、攻撃監視用端末装置200は、移動体でなく固定物に搭載されていてもよい。
ここで、“移動体”とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
“搭載されている”とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
“搭載されている”とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
それぞれのECUが有する各セキュリティイベント検知部は、それぞれのECUの機能に応じたセキュリティイベントを検知する。例えば、セキュリティイベント検知部201は、GWECUに対して外部接続ツールが接続された場合の認証エラーを検知する。セキュリティイベント検知部211、212、213は、それぞれの内部ECUで取得されるメッセージのメッセージ認証エラーを検知する。セキュリティイベント検知部214は、通信ECUに対するファイヤーウォールエラーを検知する。なお、これらは各セキュリティイベント検知部のセキュリティイベント検知機能の一例であって、これらに限られない。また、各セキュリティイベント検知機能は、複数であってもよい。
そして、各セキュリティイベント検知部は、その検知結果としてイベントログを生成し、記憶する。例えばイベントログは、イベント発生時刻、イベントが発生したECU名、機能名、イベント名からなるが、これらすべてを取得し記憶する必要はなく、またこれら以外の情報も併せて取得し記憶してもよい。
イベントログ収集部202は、接続された各ECUから、各セキュリティイベント検知部で生成したイベントログを収集する。収集されたイベントログは、図示しない保存部に保存してもよい。イベントログ収集部202は、収集したイベントログを、送信部203に出力する。
さらに、イベントログ収集部202は、収集したイベントログを、後述の攻撃判定部206に出力する。
さらに、イベントログ収集部202は、収集したイベントログを、後述の攻撃判定部206に出力する。
送信部203は、イベントログ収集部202から出力されたイベントログを、通信ECUの通信部215、及び“通信ネットワーク”を介して、攻撃監視用センター装置100(“攻撃監視用センター装置”に相当)に送信する。
ここで、“通信ネットワーク”とは、無線通信ネットワークの他、有線通信ネットワークであってもよい。また、これらを組み合わせてもよい。
“攻撃監視用センター装置”とは、サイバー攻撃をはじめとする外部からの攻撃を監視する装置であれば足りる。例えば一般的にサーバ装置、監視装置、支援装置と呼ばれるものが相当し、具体的には各種サーバ装置、ワークステーション、パーソナルコンピュータ(PC)、が挙げられるが、電子制御装置(ECU)、半導体回路素子、スマートフォン、携帯電話等であってもよい。
ここで、“通信ネットワーク”とは、無線通信ネットワークの他、有線通信ネットワークであってもよい。また、これらを組み合わせてもよい。
“攻撃監視用センター装置”とは、サイバー攻撃をはじめとする外部からの攻撃を監視する装置であれば足りる。例えば一般的にサーバ装置、監視装置、支援装置と呼ばれるものが相当し、具体的には各種サーバ装置、ワークステーション、パーソナルコンピュータ(PC)、が挙げられるが、電子制御装置(ECU)、半導体回路素子、スマートフォン、携帯電話等であってもよい。
通信ネットワークは、無線通信方式の場合、例えば、IEEE802.11(Wi-Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
受信部204は、通信ネットワーク及び通信ECUの通信部215を介して、攻撃監視用センター装置100から、イベントログ発生パターンのうち、“第2のパターン”のみを“受信する”。イベントログ発生パターンの詳細は図3を用いて後述する。
ここで、“第2のパターン・・・を受信する”とは、第2のパターンそのものを受信する場合の他、第2のパターンを生成又は復元可能な情報を受信する場合も含む。
保存部205は、受信部204で受信した第2のパターンを保存する。
攻撃判定部206は、保存部205から第2のパターンを読み出すとともに、イベントログ収集部202から出力されたイベントログ及び第2のパターンに基づき、異常の検出を行う。具体的には、イベントログ収集部202から出力されたイベントログと、第2のパターンとが一致するか否かを比較し、一致する場合は異常であると判定し、サイバー攻撃を受けたとの判定を行う。攻撃判定部206の攻撃判定動作の詳細は図6等を用いて後述する。
(2)攻撃監視用センター装置の構成
図2を用いて、本実施形態の攻撃監視用センター装置100の構成について説明する。
図2を用いて、本実施形態の攻撃監視用センター装置100の構成について説明する。
攻撃監視用センター装置100(“攻撃監視用センター装置”に相当)は、受信部101、記憶部102、イベントログ分析部103、及び送信部104を有する。
受信部101は、“通信ネットワーク”を介して、攻撃監視用端末装置200(“攻撃監視用端末装置”に相当)から送信されたイベントログを受信する。
記憶部102は、サイバー攻撃を受けた際に想定されるイベントログ発生パターンを記述したイベントログ発生パターンデータベース(DB)を記憶する。
図3は、イベントログ発生パターンの具体例を示したものである。図3において、攻撃パターン1~nは、サイバー攻撃において発生が予想される一連のイベントログのうち各イベントログに対応する個別パターンを、予想される発生順に時系列に並べたものである。例えば、攻撃パターン1は、まず通信ECUにおいてファイヤーウォール機能に基づく通信拒否イベントが発生し、次にGWECUにおいてツール認証機能に基づく認証エラーイベントが発生し、最後にGWECUにおいてNIDS機能に基づく周期異常イベントが発生することを示している。
ファイヤーウォール機能とは、車両が外部からのTCP/IP通信を受信した際、許可されていない送受信IPアドレス、ポートへのアクセスを検知する機能である。
NIDS(Network-based Intrusion Detection System)とは、ネットワーク型侵入検知システムであり、ネットワーク上を流れる信号のパターン、周期、又は値を監視する機能である。
ツール認証機能とは、正規のツールかどうかを認証する機能である。
この他、メッセージ認証機能とは、受信した認証子付メッセージの認証子が正しいかどうかを検証する機能である。
以下、攻撃パターン1に着目して説明する。その他の攻撃パターンについては後述する。
ファイヤーウォール機能とは、車両が外部からのTCP/IP通信を受信した際、許可されていない送受信IPアドレス、ポートへのアクセスを検知する機能である。
NIDS(Network-based Intrusion Detection System)とは、ネットワーク型侵入検知システムであり、ネットワーク上を流れる信号のパターン、周期、又は値を監視する機能である。
ツール認証機能とは、正規のツールかどうかを認証する機能である。
この他、メッセージ認証機能とは、受信した認証子付メッセージの認証子が正しいかどうかを検証する機能である。
以下、攻撃パターン1に着目して説明する。その他の攻撃パターンについては後述する。
また、各攻撃パターンには、攻撃監視用センター装置100で異常の検出を行う場合に参照される個別パターン(“第1のパターン”に相当)と、攻撃監視用端末装置200で異常の検出を行う場合に参照される個別パターン(“第2のパターン”に相当)とが区別される情報が記述されている。図3の例では、攻撃監視用端末装置200で参照すべき個別パターンの情報として記述されており、例えば攻撃パターン1においては、個別パターン3が第2のパターンとなる。また、反射的に、個別パターン1及び2が第1のパターンとなる。
これに代えて、それぞれの個別パターンごとに、第1のパターンと第2のパターンとを区別するフラグを設けてもよい。例えば、フラグが0なら第1のパターン、フラグが1なら第2のパターンを示すようにしてもよい。
記憶部102に記憶されているイベントログ発生パターンは、イベントログに対して攻撃監視用センター装置100で異常の検出を行うか、それともイベントログに対して攻撃監視用端末装置200で異常の検出を行うかを記述したものと把握することもできる。例えば、第1のパターンにサイバー攻撃の前兆挙動を示すイベントを割り当て、第2のパターンにサイバー攻撃の本攻撃挙動を示すイベントを割り当てることにより、サイバー攻撃のうち最も危険な挙動に限り車両側で異常の検出を行うよう構成することができる。このような割り当てにすることで、攻撃監視用端末装置200のリソースが非力で、かつ通信ネットワークが不安定な場合においても、攻撃監視用端末装置200側でサイバー攻撃を判定することができ、この結果サイバー攻撃に対する対応策を遅延なく実行することができる。
この他、例えば、第1のパターンに異常を検出するために多くのリソースを必要とするイベントを割り当て、第2のパターンに異常を検出するためにより少ないリソースで足りるイベントを割り当てるようにしてもよい。つまり、第1のパターンを用いて異常を検出するために必要なリソースは、第2のパターンを用いて異常を検出するために必要なリソースよりも多い。ここで、リソースの例として、CPUの処理量やメモリサイズが挙げられる。このような割り当てとすることにより、異常を検出するために多くのリソースを必要とするイベントは、リソースが豊富な攻撃監視用センター装置100でイベントログの分析や異常の検出を行うことができ、攻撃監視用端末装置200の負担を軽減することができる。
イベントログ分析部103は、受信部101で受信したイベントログ、及び記憶部102から読み出したイベントログ発生パターンの第1のパターンに基づき、異常の検出を行う。具体的には、受信部101で受信したイベントログと、記憶部102から読み出した第1のパターンとが一致するか否かを比較し、一致した場合には異常であると判定する。例えば、受信部で受信したイベントログが、通信ECU―ファイヤーウォール機能―通信拒否イベント、及びGWECU―ツール認証機能―認証エラーイベントである場合、図3の攻撃パターン1の個別パターン1及び個別パターン2に相当する。つまりイベントログ分析部103は、攻撃パターン1において、個別パターン1及び個別パターン2に相当する異常、すなわち攻撃パターン1の前兆挙動の異常を検出する。かかる異常を検出した場合、イベントログ分析部103は、攻撃パターン1の個別パターン3(“第2のパターン”に相当)を読み出し、送信部104に送信を指示する。
送信部104は、“第2のパターン”である攻撃パターン1の個別パターン3を攻撃監視用端末装置200に“送信する”。
ここで、“第2のパターン・・・を送信する”とは、第2のパターンそのものを送信する場合の他、第2のパターンを生成又は復元可能な情報を送信する場合も含む。
イベントログ分析部103は、上述の例では、受信部101で受信したイベントログをそのまま用いているが、異常の検出の前提として、受信部101で受信した複数のイベントログに対し統計計算を施してイベントの分析を行ってもよい。
図4は、イベントログ分析部103のイベントログの分析方法の一例を示すものである。
イベントログ分析部103は、受信部101で受信した複数のイベントログを、イベント毎に、イベントログの発生数とイベントログの発生時刻でプロットする。
図4(a)は、通信ECU―ファイヤーウォール機能―通信拒否イベントの属性を持つイベントログAを、イベントログの発生数とイベントログの発生時刻でプロットしたものである。また、図4(b)は、GWECU―ツール認証機能―認証エラーイベントの属性を持つイベントログBを、同様にプロットしたものである。
イベントログ分析部103は、受信部101で受信した複数のイベントログを、イベント毎に、イベントログの発生数とイベントログの発生時刻でプロットする。
図4(a)は、通信ECU―ファイヤーウォール機能―通信拒否イベントの属性を持つイベントログAを、イベントログの発生数とイベントログの発生時刻でプロットしたものである。また、図4(b)は、GWECU―ツール認証機能―認証エラーイベントの属性を持つイベントログBを、同様にプロットしたものである。
図4(a)においては、通常時と比べて、時刻t1を頂点としてイベントログAの異常な発生が見られる。また、図4(b)においては、時刻t2を頂点として、イベントログBの異常な発生が見られる。そして、t1<t2であることから、イベントログA、イベントログBの順で、異常が発生している。
通常このような統計計算が必要なイベントは、イベントログ単体では異常とまでは判定できないものであるが、このように統計的に観察することにより異常が発生していると認識することができる。このような統計計算は、リソースが豊富な攻撃監視用センター装置100で行うことが望ましい。
そして、イベントログA、イベントログBの順及びイベントの種類は、図3の攻撃パターン1の個別パターン1及び個別パターン2に相当する。イベントログ分析部103は、上述の通り、攻撃パターン1において、個別パターン1及び個別パターン2に相当する異常、すなわち攻撃パターン1の前兆挙動の異常を検出する。
以上のように、本実施形態の攻撃監視用端末装置200及び攻撃監視用センター装置100によれば、第1のパターンと第2のパターンを区別する情報を有するイベントログ発生パターンDBを用いているので、サイバー攻撃の段階や、使用するリソースの多少により、いずれの装置で異常検出処理を行うかを割り当てることが可能である。
また、これにより、攻撃監視用端末装置200のリソースが非力で、ネットワークの接続が不安定な場合においても、攻撃監視用端末装置200側で、遅延なく適時にサイバー攻撃を判定することが可能となる。
さらに、攻撃監視用端末装置200でサイバー攻撃を判定するので、車両を運転するドライバに遅延なくサイバー攻撃の発生を通知することができるとともに、安全確保のための車両制御を通信ネットワークを介することなく実行することが可能である。
また、これにより、攻撃監視用端末装置200のリソースが非力で、ネットワークの接続が不安定な場合においても、攻撃監視用端末装置200側で、遅延なく適時にサイバー攻撃を判定することが可能となる。
さらに、攻撃監視用端末装置200でサイバー攻撃を判定するので、車両を運転するドライバに遅延なくサイバー攻撃の発生を通知することができるとともに、安全確保のための車両制御を通信ネットワークを介することなく実行することが可能である。
(3)攻撃監視用端末装置及び攻撃監視用センター装置の動作の概要
図5のフローチャートを用いて、攻撃監視用端末装置200及び攻撃監視用センター装置100の動作の概要を説明する。
なお、以下の動作は、攻撃監視用端末装置200における攻撃監視方法を示すだけでなく、攻撃監視用端末装置200で実行される攻撃監視用プログラムの処理手順を示すものである。また、攻撃監視用センター装置100における攻撃監視方法を示すだけでなく、攻撃監視用センター装置100で実行される攻撃監視用プログラムの処理手順を示すものである。
そして、これらの処理は、図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
図5のフローチャートを用いて、攻撃監視用端末装置200及び攻撃監視用センター装置100の動作の概要を説明する。
なお、以下の動作は、攻撃監視用端末装置200における攻撃監視方法を示すだけでなく、攻撃監視用端末装置200で実行される攻撃監視用プログラムの処理手順を示すものである。また、攻撃監視用センター装置100における攻撃監視方法を示すだけでなく、攻撃監視用センター装置100で実行される攻撃監視用プログラムの処理手順を示すものである。
そして、これらの処理は、図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
車両に搭載されたそれぞれのECUの各セキュリティイベント検知部は、それぞれのECUの機能に応じたセキュリティイベントを検知する。そして、攻撃監視用端末装置200のイベントログ収集部202は、接続された各ECUから、各セキュリティイベント検知部で生成したイベントログを収集する(S201)。収集したイベントログは、送信部203、および攻撃判定部206に出力する。
送信部203は、S201で収集したイベントログを、通信ECUの通信部215、及び通信ネットワークを介して、攻撃監視用センター装置100に送信する(S202)。
攻撃監視用センター装置100の受信部101は、攻撃監視用端末装置200から送信されたイベントログを受信する(S101)。
サイバー攻撃を受けた際に想定されるイベントログ発生パターンを記述したイベントログ発生パターンの第1のパターン及び第2のパターンを、記憶部102に記憶されているイベントログ発生パターンデータベースから読み出す(S102)。
イベントログ分析部103は、S101で受信したイベントログ、及びS102で読み出したイベントログ発生パターンの第1のパターンに基づき、異常の検出を行う(S103)。異常を検出した場合、送信部104は、S102で読み出した第2のパターンを攻撃監視用端末装置200に送信して(S104)、処理を終了する。異常を検出しなかった場合も、処理を終了する。
受信部204は、通信ネットワーク及び通信ECUの通信部215を介して、攻撃監視用センター装置100から、第2のパターンを受信する(S203)。
保存部205は、S203で受信した第2のパターンを保存する。
攻撃判定部206は、保存部205から第2のパターンを読み出すとともに、S201で収集したイベントログ及びS203で受信した第2のパターンに基づき、異常の検出を行う(S205)。異常を検出した場合、攻撃監視用端末装置200は、サイバー攻撃を検出したとして、各種の防御処理を行って(S206)、処理を終了する。異常を検出しなかった場合も、処理を終了する。
防御処理としては、例えば、車両の制御、ネットワーク通信の停止又は制限、ECUの機能停止又は制限、サービスの停止又は制限、等を行うことにより、車両の制御を安全に保つことが考えられる。制御する範囲、例えばネットワークを対象にするか個別のECUを対象にするかは、攻撃対象をどこまで特定できているかに依存する。制御の程度、例えば制限か停止か、は、攻撃によって生じる影響の危険度に依存する。
例えば、攻撃監視用端末装置200のある特定のネットワークにおいてサイバー攻撃が検知された場合、そのネットワークの信頼性は低下していると考え、そのネットワーク上のECUが持つ機能を制限し、安全側に制御する。同時に、そのネットワークから他のネットワークへ送信される通信も信頼性は低いと考え、その通信を利用するECUの機能やサービスを制限する。
この他、攻撃元のIPアドレスやポート、端末情報が特定できている場合は、それらの情報をファイヤーウォールのアクセス拒否リストに追加することによって拒否するようにしてもよい。
防御処理としては、例えば、車両の制御、ネットワーク通信の停止又は制限、ECUの機能停止又は制限、サービスの停止又は制限、等を行うことにより、車両の制御を安全に保つことが考えられる。制御する範囲、例えばネットワークを対象にするか個別のECUを対象にするかは、攻撃対象をどこまで特定できているかに依存する。制御の程度、例えば制限か停止か、は、攻撃によって生じる影響の危険度に依存する。
例えば、攻撃監視用端末装置200のある特定のネットワークにおいてサイバー攻撃が検知された場合、そのネットワークの信頼性は低下していると考え、そのネットワーク上のECUが持つ機能を制限し、安全側に制御する。同時に、そのネットワークから他のネットワークへ送信される通信も信頼性は低いと考え、その通信を利用するECUの機能やサービスを制限する。
この他、攻撃元のIPアドレスやポート、端末情報が特定できている場合は、それらの情報をファイヤーウォールのアクセス拒否リストに追加することによって拒否するようにしてもよい。
(4)攻撃監視用端末装置及び攻撃監視用センター装置の動作の詳細
次に具体例を挙げながら、適宜図5を参照して、攻撃監視用端末装置200及び攻撃監視用センター装置100の動作の詳細を説明する。
攻撃者が車両を危殆化させることを目的として、第1に車両に対し遠隔から通信を行い、第2に車両の内部のGWECUの権限を奪取し、第3に内部ECUに不正な信号を送って車両に不正な挙動を起こさせようとする攻撃を行うという例を想定する。
次に具体例を挙げながら、適宜図5を参照して、攻撃監視用端末装置200及び攻撃監視用センター装置100の動作の詳細を説明する。
攻撃者が車両を危殆化させることを目的として、第1に車両に対し遠隔から通信を行い、第2に車両の内部のGWECUの権限を奪取し、第3に内部ECUに不正な信号を送って車両に不正な挙動を起こさせようとする攻撃を行うという例を想定する。
車両は、攻撃者によって許可されていない通信元から車両に対して通信があった場合は、通信ECUのセキュリティイベント検知部214のファイヤーウォール機能によりセキュリティイベントを検知する。セキュリティイベント検知部214は、その通信を遮断するとともに、イベントログA(通信ECU―ファイヤーウォール機能―通信拒否イベント)を生成する。
その後、攻撃者は、通信ECUがよくアクセスするウェブサイトを改ざんし、通信ECUが改ざんされたウェブサイトにアクセスしたことをトリガーとして通信ECUの脆弱性を突いた不正なマルウェアをインストールし、不正なマルウェアによって通信ECUのファイヤーウォール設定を変更し、ファイヤーウォールを突破する。そして、攻撃者はGWECUに対して権限昇格のためにツール認証を試行する。これに対して、GWECUのセキュリティイベント検知部201のツール認証機能によりセキュリティイベントを検知する。セキュリティイベント検知部201は、ツール認証を否認するとともに、イベントログB(GWECU―ツール認証機能―認証エラーイベント)を生成する。
イベントログ収集部202は、イベントログA及びイベントログBを収集し、送信部203を介して攻撃監視用センター装置100に送信する(S201)。また、攻撃判定部206にも出力する。もっとも、保存部205には、イベントログA及びイベントログBに対応するイベントログ発生パターンである第2のパターンは保存されていないので、攻撃判定部206はこの時点では異常を検出しない(S205)。
攻撃監視用センター装置100の受信部101は、攻撃監視用端末装置200から送信されたイベントログA及びイベントログBを受信する(S101)。イベントログ分析部103は、図4で説明した通りイベントログA及びイベントログBの分析を行い、イベントログAは時刻t1に、イベントログBは時刻t2に異常が発生したとされる。そして、異常が発生したイベントログの時刻に基づき時系列に並べる。この場合、イベントログA、イベントログBの順に並べられる。
イベントログ分析部103は、記憶部102に記憶されているイベントログ発生パターンを読み出すとともに(S102)、読み出したイベントログ発生パターンの第1のパターンに基づき、異常の検出を行う(S103)。この例の場合、図3によれば、イベントログA、イベントログBの種類及び順番と同じ個別パターン1及び個別パターン2からなる列が攻撃パターン1に含まれているので、攻撃パターン1の前兆挙動が発生しているという異常を検出することになる。
そこで、イベントログ分析部103は、送信部104に対し、攻撃パターン1に含まれている本攻撃挙動を示す第2のパターンである個別パターン3の送信を指示し、送信部104は個別パターン3(GWECU-NIDS機能-周期異常イベント)を攻撃監視用端末装置200に送信する(S104)。
攻撃監視用端末装置200の受信部204は個別パターン3を受信し、受信した個別パターン3は保存部204に保存される。図6は、送信部104から送信され、受信部204で受信され、保存部204に保存されている第2のパターンを示している。
攻撃者は、その後ツール認証も突破し、車両内部へ車両の挙動に影響のある信号が送信可能になったとする。攻撃者が内部ECUに対して攻撃のための信号を仕様と異なる周期で送信すると、GWECUのセキュリティイベント検知部201のNIDS機能によりセキュリティイベントを検知する。セキュリティイベント検知部201は、イベントログC(GWECU-NIDS機能-周期異常イベント)を生成する。
イベントログ収集部202は、イベントログCを収集し、送信部203を介して攻撃監視用センター装置100に送信する(S201)。また、攻撃判定部206にも出力する。
攻撃判定部206は、保存部205から図6で示される個別パターン3を読み出すとともに、S201で収集したイベントログC及び読み出した個別パターン3に基づき、異常の検出を行う(S205)。この例の場合、イベントログCは、GWECU-NIDS機能-周期異常イベントを示し、個別パターン3と一致するので、攻撃判定部206は、イベントログCの異常を検出したことになる。そこで、攻撃監視用端末装置200は、サイバー攻撃を検出したとして、各種の防御処理を行う(S206)。
このように、攻撃監視用端末装置200は、サイバー攻撃の本攻撃挙動を示す第2のパターンを事前に攻撃監視用センター装置100から受信しているので、イベントログを攻撃監視用センター装置100に送信することなく、サイバー攻撃の検出を行うことができる。また、イベントログとの比較処理が軽い第2のパターンを用いることにより、比較的リソースが少ない攻撃監視用端末装置200でもサイバー攻撃の検出を行うことができる。
2.変形例
上述の実施形態は一例であり、以下のように変形してもよい。
上述の実施形態は一例であり、以下のように変形してもよい。
(1)イベントログ発生パターンDBにおける時系列情報
図3のイベントログ発生パターンは、個別パターンを予想される発生順に時系列順に並べているが、これに代えて、個別パターンの発生順を示す情報を付与してもよい。例えば、個別パターン毎に発生順を示す番号を付与してもよい。
すなわち、イベントログ発生パターンDBの第1のパターン及び第2のパターンは、それぞれ時系列が特定されていればよく、その特定方法は任意である。
また、攻撃パターンは、必ずしも個別パターンが時系列順に複数発生するものとは限らないので、その場合は時系列を特定する必要はない。例えば、発生順を任意にして、個別パターン1と個別パターン2が何れも発生していることを条件とする場合は、個別パターン1と個別パターン2の前後関係を特定する必要はない。
図3のイベントログ発生パターンは、個別パターンを予想される発生順に時系列順に並べているが、これに代えて、個別パターンの発生順を示す情報を付与してもよい。例えば、個別パターン毎に発生順を示す番号を付与してもよい。
すなわち、イベントログ発生パターンDBの第1のパターン及び第2のパターンは、それぞれ時系列が特定されていればよく、その特定方法は任意である。
また、攻撃パターンは、必ずしも個別パターンが時系列順に複数発生するものとは限らないので、その場合は時系列を特定する必要はない。例えば、発生順を任意にして、個別パターン1と個別パターン2が何れも発生していることを条件とする場合は、個別パターン1と個別パターン2の前後関係を特定する必要はない。
(2)イベントログ発生パターンDBにおける他の攻撃パターンの例
図3のイベントログ発生パターンは、攻撃パターン1以外に攻撃パターン2~5を有する。
攻撃パターン2は、攻撃パターン1の個別パターン1及び2は共通であるが、GWECUで周期異常が発生することなく、内部ECUに攻撃が送られる場合を示す。この場合、個別パターン3として、内部ECUにおいてメッセージ認証機能に基づきMAC認証エラーイベントが発生する。そして、この個別パターン3が、攻撃監視用端末装置200で異常の検出を行う場合に参照される第2のパターンとなる。
攻撃パターン3は、攻撃パターン2の個別パターン2の部分が異なり、GWECUにおいてIDフィルタリング機能に基づくフィルタリングエラーイベントが発生する場合を示している。
攻撃パターン4は、攻撃パターン1の個別パターン1の部分が異なり、通信ECUにおいてNIDS機能に基づきパターン異常イベントが発生する場合を示している。
攻撃パターン5は、車両に物理的にツールを接続し、車両内部に不正な信号を送信する場合を示している。
図3のイベントログ発生パターンは、攻撃パターン1以外に攻撃パターン2~5を有する。
攻撃パターン2は、攻撃パターン1の個別パターン1及び2は共通であるが、GWECUで周期異常が発生することなく、内部ECUに攻撃が送られる場合を示す。この場合、個別パターン3として、内部ECUにおいてメッセージ認証機能に基づきMAC認証エラーイベントが発生する。そして、この個別パターン3が、攻撃監視用端末装置200で異常の検出を行う場合に参照される第2のパターンとなる。
攻撃パターン3は、攻撃パターン2の個別パターン2の部分が異なり、GWECUにおいてIDフィルタリング機能に基づくフィルタリングエラーイベントが発生する場合を示している。
攻撃パターン4は、攻撃パターン1の個別パターン1の部分が異なり、通信ECUにおいてNIDS機能に基づきパターン異常イベントが発生する場合を示している。
攻撃パターン5は、車両に物理的にツールを接続し、車両内部に不正な信号を送信する場合を示している。
なお、複数の攻撃パターンが該当する場合は、イベントログ分析部103は、該当する攻撃パターンの全ての第2のパターンを読み出し、送信部104に送信を指示する。例えば、攻撃パターン1と攻撃パターン2は、個別パターン1及び個別パターン2が同じであるので、受信部で受信したイベントログが、通信ECU―ファイヤーウォール機能―通信拒否イベント、及びGWECU―ツール認証機能―認証エラーイベントである場合、図3の攻撃パターン1及び攻撃パターン2のそれぞれの個別パターン1及び個別パターン2に相当する。かかる異常を検出した場合、イベントログ分析部103は、攻撃パターン1及び攻撃パターン2のそれぞれの個別パターン3を読み出し、送信部104に送信を指示する。
(3)イベントログの分析
上述の実施形態では、図4のようにイベントログの発生数とイベントログの発生時刻との関係に基づき異常の発生を認識するようにしたが、分析方法はこの方法に限られない。例えば、二種類のイベントログを受信した場合、イベントログの内容が互いに矛盾する内容であるか否かを分析するようにしてもよい。
また、上述の実施形態では、イベントログの分析が必要な場合は、攻撃監視用センター装置100で分析を行うようにしているが、攻撃監視用端末装置200で分析を行うことを排除するものではない。
上述の実施形態では、図4のようにイベントログの発生数とイベントログの発生時刻との関係に基づき異常の発生を認識するようにしたが、分析方法はこの方法に限られない。例えば、二種類のイベントログを受信した場合、イベントログの内容が互いに矛盾する内容であるか否かを分析するようにしてもよい。
また、上述の実施形態では、イベントログの分析が必要な場合は、攻撃監視用センター装置100で分析を行うようにしているが、攻撃監視用端末装置200で分析を行うことを排除するものではない。
(4)第2のパターンの送信方法
上述の実施形態では、第2のパターンを攻撃監視用端末装置200に送信する方法として、図3の個別パターンをそのまま送信しているが、これに代えて、第2のパターンを攻撃監視用端末装置200側で生成又は復元可能な情報を送信してもよい。例えば、個別パターンのリストを、攻撃監視用センター装置100及び攻撃監視用端末装置200で予め保持しておき、該当する個別パターンの番号を送信するようにしてもよい。
上述の実施形態では、第2のパターンを攻撃監視用端末装置200に送信する方法として、図3の個別パターンをそのまま送信しているが、これに代えて、第2のパターンを攻撃監視用端末装置200側で生成又は復元可能な情報を送信してもよい。例えば、個別パターンのリストを、攻撃監視用センター装置100及び攻撃監視用端末装置200で予め保持しておき、該当する個別パターンの番号を送信するようにしてもよい。
(5)攻撃監視用センター装置100と攻撃監視用端末装置200との関係
上述の実施形態では、攻撃監視用センター装置100を車両外の装置、攻撃監視用端末装置200を車載の端末装置とする例に基づき説明した。
しかし、これは代表的な一例であって、以下のような態様も可能である。
攻撃監視用端末装置200は、車載ではなく、歩行者や車両のドライバが保持する端末装置であってもよい。
攻撃監視用端末装置200、及び攻撃監視用センター装置100のいずれも、それぞれ別の車両に搭載された装置であってもよい。この場合は、セルラーネットワークや車車間の直接通信を用いた通信ネットワークで接続されることが必要になる。
攻撃監視用端末装置200は、有線LANやインターネットに接続された端末装置、攻撃監視用センター装置は当該有線LANやインターネットに接続されたサーバ装置であってもよい。あるいは、両装置とも、有線LANやインターネットに接続された端末装置であってもよい。すなわち、従来のコンピュータシステムの分野にも適用することが可能である。
上述の実施形態では、攻撃監視用センター装置100を車両外の装置、攻撃監視用端末装置200を車載の端末装置とする例に基づき説明した。
しかし、これは代表的な一例であって、以下のような態様も可能である。
攻撃監視用端末装置200は、車載ではなく、歩行者や車両のドライバが保持する端末装置であってもよい。
攻撃監視用端末装置200、及び攻撃監視用センター装置100のいずれも、それぞれ別の車両に搭載された装置であってもよい。この場合は、セルラーネットワークや車車間の直接通信を用いた通信ネットワークで接続されることが必要になる。
攻撃監視用端末装置200は、有線LANやインターネットに接続された端末装置、攻撃監視用センター装置は当該有線LANやインターネットに接続されたサーバ装置であってもよい。あるいは、両装置とも、有線LANやインターネットに接続された端末装置であってもよい。すなわち、従来のコンピュータシステムの分野にも適用することが可能である。
3.総括
以上、本開示の各実施形態における攻撃監視用センター装置及び攻撃監視用端末装置等の特徴について説明した。
以上、本開示の各実施形態における攻撃監視用センター装置及び攻撃監視用端末装置等の特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される車両用の攻撃監視用端末装置を前提としているが、本発明は、請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の攻撃監視用端末装置も含むものである。
各実施形態では、各実施形態に開示の攻撃監視用端末装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
また、本発明の攻撃監視用端末装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
また攻撃監視用端末装置や攻撃監視用センター装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明の攻撃監視用センター装置は、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明の攻撃監視用センター装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本開示の攻撃監視用端末装置は、主として自動車に搭載される車両用の電子制御装置として説明したが、自動二輪車、電動機付自転車、鉄道はもちろん、歩行者、船舶、航空機等、移動する移動体全般に適用することが可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。
Claims (11)
- 通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信する受信部(101)と、
サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、を記述したイベントログ発生パターンデータベース(DB)を記憶する記憶部(102)と、
前記イベントログ及び前記第1のパターンに基づき、異常の検出を行うイベントログ分析部(103)と、
前記イベントログ分析部で異常を検出した場合、前記第2のパターンを前記攻撃監視用端末装置に送信する送信部(104)と、を有する
攻撃監視用センター装置(100)。 - 前記イベントログ分析部は、前記イベントログの発生数と前記イベントログの発生時刻との関係に基づき、異常を検出する、
請求項1記載の攻撃監視用センター装置。 - 前記イベントログ発生パターンDBの前記第1のパターン及び前記第2のパターンは、それぞれ時系列が特定されている、
請求項1記載の攻撃監視用センター装置。 - 前記第1のパターンは、サイバー攻撃の前兆挙動を示し、
前記第2のパターンは、サイバー攻撃の本攻撃挙動を示す、
請求項1記載の攻撃監視用センター装置。 - 前記第1のパターンを用いて異常を検出するために必要なリソースは、前記第2のパターンを用いて異常を検出するために必要なリソースよりも多い、
請求項1記載の攻撃監視用センター装置。 - 接続された各装置からイベントログを収集するイベントログ収集部(202)と、
前記イベントログを、通信ネットワークを介して攻撃監視用センター装置に送信する送信部(203)と、
サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、のうち前記第2のパターンのみを前記攻撃監視用センター装置から受信する受信部(204)と、
前記第2のパターンを保存する保存部(205)と、
前記第2のパターンを前記保存部から読み出すとともに、前記イベントログ及び前記第2のパターンに基づき、異常の検出を行う攻撃判定部(206)と、を有する
攻撃監視用端末装置(200)。 - 当該攻撃監視用端末装置は、移動体に搭載されている、
請求項6記載の攻撃監視用端末装置。 - 攻撃監視用センター装置によって実行される攻撃監視方法であって、
通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信し(S101)、
サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、を記述したイベントログ発生パターンデータベース(DB)から、前記第1のパターン及び前記第2のパターンを読み出し(S102)、
前記イベントログ及び前記第1のパターンに基づき、異常の検出を行い(S103)、
異常を検出した場合、前記第2のパターンを前記攻撃監視用端末装置に送信する(S104)、
攻撃監視方法。
- 通信ネットワークを介して攻撃監視用端末装置から送信されたイベントログを受信し(S101)、
サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、を記述したイベントログ発生パターンデータベース(DB)から、前記第1のパターン及び前記第2のパターンを読み出し(S102)、
前記イベントログ及び前記第1のパターンに基づき、異常の検出を行い(S103)、
異常を検出した場合、前記第2のパターンを前記攻撃監視用端末装置に送信する(S104)、
攻撃監視用センター装置で実行可能な攻撃監視用プログラム。 - 接続された各装置からイベントログを収集し(S201)
前記イベントログを、通信ネットワークを介して攻撃監視用センター装置に送信し(S202)、
サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、のうち前記第2のパターンのみを前記攻撃監視用センター装置から受信し(S203)、
前記第2のパターンを保存し(S204)、
前記第2のパターンを読み出すとともに、前記イベントログ及び前記第2のパターンに基づき、異常の検出を行う(S205)
攻撃監視用端末装置で実行可能な攻撃監視用プログラム。 - 攻撃監視用センター装置及び攻撃監視用端末装置からなる攻撃監視システムであって、
前記攻撃監視用センター装置は、
通信ネットワークを介して前記攻撃監視用端末装置から送信されたイベントログを受信する第1の受信部(101)と、
サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、当該攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び前記攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、を記述したイベントログ発生パターンデータベース(DB)を記憶する記憶部(102)と、
前記イベントログ及び前記第1のパターンに基づき、異常の検出を行うイベントログ分析部(103)と、
前記イベントログ分析部で異常を検出した場合、前記第2のパターンを前記攻撃監視用端末装置に送信する第1の送信部(104)と、を有し、
前記攻撃監視用端末装置は、
接続された各装置からイベントログを収集するイベントログ収集部(202)と、
前記イベントログを、通信ネットワークを介して前記攻撃監視用センター装置に送信する第2の送信部(203)と、
サイバー攻撃を受けた際に想定されるイベントログ発生パターンであって、前記攻撃監視用センター装置で異常の検出を行う場合に参照される第1のパターン、及び当該攻撃監視用端末装置で異常の検出を行う場合に参照される第2のパターン、のうち前記第2のパターンのみを前記攻撃監視用センター装置から受信する第2の受信部(204)と、
前記第2のパターンを保存する保存部(205)と、
前記第2のパターンを前記保存部から読み出すとともに、前記イベントログ及び前記第2のパターンに基づき、異常の検出を行う攻撃判定部(206)と、を有する
攻撃監視システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019234450 | 2019-12-25 | ||
| JP2019234450 | 2019-12-25 | ||
| PCT/JP2020/036208 WO2021131193A1 (ja) | 2019-12-25 | 2020-09-25 | 攻撃監視用センター装置、及び攻撃監視用端末装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021131193A1 JPWO2021131193A1 (ja) | 2021-07-01 |
| JP7255710B2 true JP7255710B2 (ja) | 2023-04-11 |
Family
ID=76575863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021566822A Active JP7255710B2 (ja) | 2019-12-25 | 2020-09-25 | 攻撃監視用センター装置、及び攻撃監視用端末装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220247772A1 (ja) |
| JP (1) | JP7255710B2 (ja) |
| WO (1) | WO2021131193A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7230146B1 (ja) * | 2021-09-24 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ分析装置、方法およびそのプログラム |
| JP2023132005A (ja) * | 2022-03-10 | 2023-09-22 | 日立Astemo株式会社 | 車両診断システム |
| CN114553596B (zh) * | 2022-04-21 | 2022-07-19 | 国网浙江省电力有限公司杭州供电公司 | 适用于网络安全的多维度安全情况实时展现方法及*** |
| WO2024071049A1 (ja) * | 2022-09-30 | 2024-04-04 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002251374A (ja) | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2017111796A (ja) | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| JP2019159600A (ja) | 2018-03-09 | 2019-09-19 | 株式会社デンソー | 車両用マスタ電子制御装置、車両用スレーブ電子制御装置、車両用ログ収集システム及び車両用ログ収集プログラム |
| WO2019193786A1 (ja) | 2018-04-06 | 2019-10-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ログ出力方法、ログ出力装置及びプログラム |
| US20190312892A1 (en) | 2018-04-05 | 2019-10-10 | Electronics And Telecommunications Research Institute | Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10298598B1 (en) * | 2013-12-16 | 2019-05-21 | Amazon Technologies, Inc. | Countering service enumeration through imposter-driven response |
| DE112018005352T5 (de) * | 2017-11-08 | 2020-06-25 | Sony Corporation | Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm |
| US10621141B2 (en) * | 2018-01-31 | 2020-04-14 | Oracle International Corporation | Multivariate memory vectorization technique to facilitate intelligent caching in time-series databases |
| US10944770B2 (en) * | 2018-10-25 | 2021-03-09 | EMC IP Holding Company LLC | Protecting against and learning attack vectors on web artifacts |
-
2020
- 2020-09-25 JP JP2021566822A patent/JP7255710B2/ja active Active
- 2020-09-25 WO PCT/JP2020/036208 patent/WO2021131193A1/ja active Application Filing
-
2022
- 2022-04-20 US US17/724,970 patent/US20220247772A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002251374A (ja) | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2017111796A (ja) | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| JP2019159600A (ja) | 2018-03-09 | 2019-09-19 | 株式会社デンソー | 車両用マスタ電子制御装置、車両用スレーブ電子制御装置、車両用ログ収集システム及び車両用ログ収集プログラム |
| US20190312892A1 (en) | 2018-04-05 | 2019-10-10 | Electronics And Telecommunications Research Institute | Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof |
| WO2019193786A1 (ja) | 2018-04-06 | 2019-10-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ログ出力方法、ログ出力装置及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021131193A1 (ja) | 2021-07-01 |
| JPWO2021131193A1 (ja) | 2021-07-01 |
| US20220247772A1 (en) | 2022-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
| Aliwa et al. | Cyberattacks and countermeasures for in-vehicle networks | |
| US11934520B2 (en) | Detecting data anomalies on a data interface using machine learning | |
| US20240073233A1 (en) | System and method for providing security to in-vehicle network | |
| CN111448787B (zh) | 用于提供安全的车载网络的***及方法 | |
| JP7182559B2 (ja) | ログ出力方法、ログ出力装置及びプログラム | |
| JPWO2019216306A1 (ja) | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 | |
| US11711387B2 (en) | Security management device, security management method, and computer program executed by security management device | |
| US11971982B2 (en) | Log analysis device | |
| US11528284B2 (en) | Method for detecting an attack on a control device of a vehicle | |
| JP7392586B2 (ja) | ログ送信制御装置 | |
| JP7409247B2 (ja) | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム | |
| US20230007034A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
| JP7509091B2 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| JP7392598B2 (ja) | ログ管理装置及びセキュリティ攻撃検知・分析システム | |
| JP7380473B2 (ja) | セキュリティ監視システム | |
| Mukherjee | SAE J1939-specific cyber security for medium and heavy-duty vehicles | |
| KR20210103972A (ko) | 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법 | |
| JP7523855B2 (ja) | 検知ルール出力方法、及び、セキュリティシステム | |
| JP2024051323A (ja) | ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム | |
| Hadi Sultani et al. | Indicators of Compromise of Vehicular Systems | |
| JP2024051327A (ja) | 更新装置、更新方法、及び更新プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211108 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230215 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230228 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230313 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7255710 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |