KR101734505B1 - 차량용 네트워크의 공격탐지 방법 및 그 장치 - Google Patents

차량용 네트워크의 공격탐지 방법 및 그 장치 Download PDF

Info

Publication number
KR101734505B1
KR101734505B1 KR1020160052952A KR20160052952A KR101734505B1 KR 101734505 B1 KR101734505 B1 KR 101734505B1 KR 1020160052952 A KR1020160052952 A KR 1020160052952A KR 20160052952 A KR20160052952 A KR 20160052952A KR 101734505 B1 KR101734505 B1 KR 101734505B1
Authority
KR
South Korea
Prior art keywords
message
attack
voltage value
voltage range
network
Prior art date
Application number
KR1020160052952A
Other languages
English (en)
Inventor
강기동
홍재승
조민수
백영미
이성훈
손상혁
Original Assignee
재단법인대구경북과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 재단법인대구경북과학기술원 filed Critical 재단법인대구경북과학기술원
Priority to KR1020160052952A priority Critical patent/KR101734505B1/ko
Application granted granted Critical
Publication of KR101734505B1 publication Critical patent/KR101734505B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명의 일면에 따른 차량용 네트워크의 공격탐지방법은, 차량용 네트워크에 접속된 공격탐지장치를 이용하여 차량용 네트워크의 공격을 탐지하는 방법에 있어서, 상기 공격탐지장치가 상기 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 단계; 상기 수신한 메시지의 식별자(ID)를 확인하는 단계; 상기 획득한 전압값과 상기 수신한 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 단계; 및 상기 비교한 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하는 단계를 포함하는 것을 특징으로 한다.

Description

차량용 네트워크의 공격탐지 방법 및 그 장치{METHOD AND APPARATUS FOR DETECTING ATTACK IN VEHICLE NETWORK}
본 발명은 차량용 네트워크의 통신방법에 관한 것으로서, 보다 구체적으로는 차량 내부 네트워크에서 외부 공격을 탐지하기 위한 방법 및 그 장치에 관한 것이다.
차량은 여러 부품으로 이루어져 있고 최근에는 많은 부품들이 전자장비들로 이루어져 전자제어장치(ECU: Electronic Control Unit)에 의해 제어되고 있다.
엔진, 변속기, 에어백 등 많은 부품들이 차량의 여러 곳에 흩어져 있으며, 따라서 이들을 효율적으로 제어하기 위해 차량 내에서는 CAN(Controller Area Network) 통신, LIN(Local Interconnect Network) 통신 등의 방식을 이용하여 제어명령을 전달하고 있다.
종래 차량에서는 이러한 CAN 통신이나 LIN 통신을 폐쇄된 네트워크 환경에서 사용했기 때문에 보안기능이 적용되지 않고 단순히 전송에 오류가 있는지 검증하는 정도에 그쳐 제어신호의 해킹에 대한 대비가 부족한 문제가 있었다.
최근 차량 내부의 통신은 종래의 폐쇄형 네트워크에서 개방형 네트워크로 변화하고 있는데 비해 외부공격 등 해킹에 대비한 기술은 미비한 실정인데, 특히 CAN 통신의 프로토콜은 송신자, 수신자 식별정보가 없고 인증을 위한 필드가 별도로 존재하지 않기 때문에 보안에 대단히 취약한 문제가 있다.
또한, CAN 통신은 보안 기술의 고려 없이 설계되어서 기존의 장치들과 호환성을 유지하면서 새로운 형태의 보안방법을 적용시키는 확장성 측면에서도 한계가 존재한다.
CAN에서는 새로이 장착되거나 해킹 등에 의해 감염된 장치(노드, ECU 등)가 데이터를 위조하여 전송하거나 정상 장치가 전송하는 것으로 위장하는 것을 방지하기 위해서 주로 메시지 인증 코드(Message Authentication Code)를 활용하는 방법들이 제시되었다.
이러한 방법들은 해시함수와 같은 안전한 암호 알고리즘이 사용되어야 하고, ECU간 키를 관리할 수 있는 메커니즘, 비밀키를 이용한 노드간의 신분인증 기능, 키 생성 및 키 인증/관리 기능 등이 제공되어야 한다.
그러나 이들을 구현하기 위해서는 높은 연산량을 필요로 하므로, 연산능력이나 메모리가 제한적인 자원으로 구성되고 실시간 제어를 요구하는 차량용 임베디드 시스템에서는 문제가 될 수 있다.
전술한 문제점들을 극복하기 위해 보안과 관련된 연산을 별도로 처리하는 공격탐지장치(Hardware Security Module)를 추가로 도입하는 형태로 확장성의 한계를 극복하고 있으나, 기존 네트워크에 적용하기 위해서는 하드웨어와 CAN 프레임에 수정이 필요하므로 개발 및 설치 비용이 증가하는 문제점이 있다.
본 발명은 전술한 바와 같은 기술적 배경에서 안출된 것으로서, 새로운 하드웨어나 보안을 위한 인증방법의 추가 없이 기존 CAN 통신의 프로토콜을 이용하여 차량 네트워크의 공격을 탐지하여 보안을 향상시키기 위한 방법과 그 장치를 제공하는 것을 그 목적으로 한다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
전술한 목적을 달성하기 위한 본 발명의 일면에 따른 차량용 네트워크의 공격탐지방법은, 차량용 네트워크에 접속된 공격탐지장치를 이용하여 차량용 네트워크의 공격을 탐지하는 방법에 있어서, 상기 공격탐지장치가 상기 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 단계; 상기 수신한 메시지의 식별자(ID)를 확인하는 단계; 상기 획득한 전압값과 상기 수신한 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 단계; 및 상기 비교한 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하는 단계를 포함하는 것을 특징으로 한다.
본 발명의 다른 일면에 따른 차량용 네트워크의 공격탐지장치는, 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 메시지 수신부; 상기 수신한 메시지의 식별자를 확인하는 메시지 식별부; 상기 획득한 전압값과 하기 저장부에 저장된 상기 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 전압 판단부; 상기 전압 판단부의 비교 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하여 하기 결과 출력부에 결과 출력을 제어하는 제어부; 상기 제어부의 제어에 따라 상기 네트워크에 공격 결과를 알리는 결과 출력부; 및 상기 네트워크에 접속된 각 노드와 하기 공격탐지장치와의 거리에 따라 달라지는 전압강하값을 반영한 메시지 신호의 정상 전압범위와 경계 전압범위를 저장하는 저장부를 포함한다.
본 발명에 따르면, 기존 차량 내부의 다른 모듈들이나 CAN 프로토콜의 수정 없이도 차량용 네트워크에 대한 공격을 차단하여 차량의 보안을 높일 수 있는 효과가 있다.
도 1은 CAN 프로토콜의 데이터 프레임 구조를 도시한 도면.
도 2는 종래 CAN 프로토콜을 사용하는 차량 내부 네트워크의 구조도.
도 3은 본 발명의 일실시예에 따른 차량용 네트워크의 공격탐지장치가 설치된 차량 내부 네트워크의 구조도.
도 4는 본 발명의 일실시예에 따른 차량용 네트워크의 공격탐지장치의 구조도.
도 5는 본 발명에 다른 실시예에 따른 차량용 네트워크의 공격탐지방법의 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
이하, 본 발명의 바람직한 실시예에 대하여 첨부한 도면을 참조하여 상세히 설명하기로 한다.
도 1은 CAN 프로토콜의 데이터 프레임 구조를 나타낸다.
기본적으로 CAN은 다중통신망(Multi Master Network)으로 구성되며 CSMA/CD&AMP(Carrier Sense Multiple Access/Collision Detection with Arbitration on Message Priority) 방식으로 메시지를 전송한다.
메시지 주소 방식을 사용하기 때문에 메시지 식별자(ID: Identifier)만으로 메시지를 구별할 수 있으나 전송 노드의 식별정보는 사용하지 않는다. 즉 메시지가 어느 ECU로부터 송신된 것인지는 알 수 없는 구조이다.
CAN 프로토콜에서 중재 필드(Arbitration Field)는 표준 규격인 CAN 2.0A 인지 확장 규격인 CAN 2.0B 인지에 따라 11비트(CAN 2.0A) 또는 29비트(CAN 2.0E)로 구성된다.
각 규격에 따른 필드의 구조는 다음 표 1 및 표 2와 같다.
필드 이름 길이 (bits) 내용
Start-of-frame (SOF) 1 frame의 시작을 알림
Identifier 11 메시지의 고유 식별자이자 우선순위를 나타냄
Remote transmission request (RTR) 1 data frame에서는 0, remote request frame에서는 1로 설정
Identifier extension bit (IDE) 1 base frame format에서는 0 (extended 에서는 1)
Reserved bit (r0) 1 예약된 bit, 무조건 0으로 설정
Data length code (DLC) 4 0~8 byte의 데이터 길이를 나타냄
Data field 0~64 DLC에서 정해진 길이의 전송될 데이터
CRC 15 Cyclic redundancy 검사
CRC delimiter 1 반드시 1로 설정
ACK slot 1 Transmitter는 1로, receiver는 0으로 설정
ACK delimiter 1 반드시 1로 설정
End-of-frame (EOF) 7 반드시 1로 설정
필드 이름 길이 (bits) 내용
Start-of-frame (SOF) 1 frame의 시작을 알림
Identifier A 11 메시지의 첫 번째 고유 식별자이자 우선순위를 나타냄
Substitute remote request (SRR) 1 반드시 1로 설정
Identifier extension bit (IDE) 1 Extended frame이므로 반드시 1로 설정, 총 29 bits의 identifier 사용
Identifier B 18 메시지의 두 번째 고유 식별자이자 우선순위를 나타냄
Remote transmission request (RTR) 1 data frame에서는 0, remote request frame에서는 1로 설정
Reserved bit (r1, r0) 1 예약된 bit, 무조건 0으로 설정
Data length code (DLC) 4 0~8 byte의 데이터 길이를 나타냄
Data field 0~64 DLC에서 정해진 길이의 전송될 데이터
CRC 15 Cyclic redundancy 검사
CRC delimiter 1 반드시 1로 설정
ACK slot 1 Transmitter는 1로, receiver는 0으로 설정
ACK delimiter 1 반드시 1로 설정
End-of-frame (EOF) 7 반드시 1로 설정
CAN의 각 노드를 구성하는 ECU(Electronic Control Unit)들은 CAN의 버스(Bus)가 사용중(Busy)인지 아이들(Idle) 상태인지 확인한 후 메시지를 전송한다. 여러 노드가 동시에 버스에 데이터를 전송하여 메시지의 충돌이 발생하면 중재 필드 내의 식별자(Identifier 또는 Identifier A, B)를 확인하여 우선순위를 결정한다. 이때 메시지의 식별자 값이 낮을수록 전송 우선순위가 높고, 우선순위가 가장 높은 메시지를 가진 노드만 CAN 버스 사용권한을 획득한다. 우선순위가 낮은 메시지를 가진 노드는 대기상태로 전환되어 높은 우선순위의 메시지 전송이 끝난 후 다음 버스 사이클에 재전송을 시도한다.
이러한 CAN 프로토콜의 대표적인 보안 취약점으로는 메시지에 송신자, 수신자 식별정보가 없고 또한 인증을 위한 필드도 별도로 존재하지 않기 때문에 메시지 위조 공격에 매우 취약하다는 점이 있다.
도 2는 CAN을 사용하는 일반적인 차량 내부 네트워크(200)의 구조를 나타낸다.
네트워크(200)는 하나의 CAN 버스(210)에 다수의 ECU 노드(222, 224, 226, 228)들이 연결되어 있는 구조(버스 토폴로지)로 이루어진다. 버스(210)의 양 끝단에는 종단저항(232, 234)이 설치되어 있어 버스(210)의 단말 또는 분단점에서의 반사현상을 방지할 수 있다.
전술한 바와 같이 노드 1(222) 내지 노드 4(228) 중 우선순위가 가장 높은 노드만이 버스(210)에 접근하여 메시지를 송신할 수 있고 다른 노드들은 대기(Listening) 모드에서 다음 버스(210) 사이클을 대기한다.
도 3은 본 발명의 일실시예에 따른 차량용 네트워크의 공격탐지장치(300)가 설치된 차량 내부 네트워크의 구조를 나타낸다.
차량용 네트워크의 공격탐지장치(300)는 종래의 CAN 버스(210)에 접속하여 각 노드들로부터 전송되는 메시지를 수신할 수 있다.
공격탐지장치(300)는 메시지를 수신하여 분석하더라도 메시지에 송신자를 식별할 수 있는 필드가 없기 때문에 어떤 노드에서 메시지를 송신했는지는 알 수 없다.
그러나 도 3에서 나타난 바와 같이 공격탐지장치(300)로부터 각 노드에 이르는 길이(L1, L2, L3, L4)가 다르기 때문에 각 노드에서 공격탐지장치(300)까지의 물리적인 버스(210)의 길이가 달라진다. 저항값은 물리적인 버스(210)의 길이에 비례하므로, 따라서 버스(210)의 길이에 따른 저항값의 차이에 따라 전압강하의 정도가 달라지게 된다.
이러한 현상을 이용하면 CAN 버스(210)에 전송된 메시지가 정상적인 노드에서 송신된 메시지인지를 확인할 수 있다. 즉, 비정상적인 노드에서 전송한 메시지는 공격탐지장치(300)까지 도달하기 위한 길이가 정상적인 노드에서 전송한 경우와 달라지기 때문에 수학식 1에 따라 계산되는 전압차이를 계산함으로써 공격에 의한 비정상적인 메시지인지 판단할 수 있다.
Figure 112016041496487-pat00001
전압강하값(Vdrop)은 버스(210)에 흐르는 전류(Iwire)와 저항(Rwire)값에 의해 정해지므로 노드 1(222) 내지 노드 4(228)는 이미 정해진 위치에 따라 전압강하값이 일정한데 반해, 비정상적인 노드에 의한 메시지는 노드 1(222) 내지 노드 4(224)에 의한 전압강하와 다른 전압강하값을 가지게 되므로 메시지의 전압강하값을 계산하여 비정상노드에서 보내진 메시지를 구별할 수 있다.
이를 위해 차량용 네트워크의 공격탐지장치(300)는 빠른 샘플링(Sampling) 속도를 처리할 수 있는 마이크로 컨트롤러(MCU: Micro Controller Unit)와 아날로그-디지털 컨버터(ADC: Analog-to-Digital Converter) 및 에러를 알릴 수 있는 에러프레임을 임의의 시간에 생성할 수 있는 CAN 컨트롤러를 포함할 수 있다.
도 4는 본 발명의 일실시예에 따른 차량용 네트워크의 공격탐지장치(300)의 구조를 나타낸다.
공격탐지장치(300)는 메시지 수신부(310), 메시지 식별부(320), 전압 판단부(330), 제어부(340), 결과 출력부(350) 및 저장부(360)로 구성된다.
메시지 수신부(310)는 물리적인 CAN 버스(210)의 메시지 신호를 수신하여 CAN 메시지로 변환하고 동시에 메시지 신호의 전압값에 대한 샘플링을 수행한다.
메시지 식별부(320)는 메시지 수신부(310)에서 수신한 메시지의 ID를 기반으로 메시지를 송신한 노드를 판단할 수 있다.
전압 판단부(330)는 메시지 수신부(310)에서 샘플링한 메시지 신호의 전압 값들을 필터를 통해 보정한 뒤 샘플링된 값들의 평균을 구하여 이 평균값이 정상 전압범위에 속하는지 경계 전압범위에 속하는지 판단한다.
이를 위해 전압 판단부(330)는 메시지 식별부(320)에서 메시지 ID로 판단한 메시지 송신 노드와 공격탐지장치(300) 사이의 거리에 따른 메시지 신호의 정상 전압범위와 경계 전압범위를 저장부(360)로부터 불러온다.
저장부(360)는 각 노드들로부터 공격탐지장치(300)까지 거리차이에 따른 전압강하를 고려하여, 각 메시지 ID에 따른 정상 전압범위와 경계 전압범위를 저장한다. 저장부(360)에 저장된 정상 전압범위 값과 경계 전압범위 값은 고정된 값이 아니라 공격탐지장치(300)가 수신하는 새로운 메시지의 전압값에 이동평균 방법을 적용함으로써 갱신될 수 있다.
저장되는 전압값에 이동평균을 사용하는 이유는 차량내의 온도가 수시로 변하고, 그에 따라 각 노드와 공격탐지장치(300) 사이의 저항값이 달라지게 되므로 결과적으로 전압강하값에 변동이 있을 수 있기 때문이다.
수학식 2는 차량 내 온도에 따른 저항의 변화를 나타낸다.
Figure 112016041496487-pat00002
R(T)는 온도 T에 따른 도체의 저항이며, Rref는 특정 온도에서의 기준 저항으로 통상 20℃를 기준으로 설정된다.
Figure 112016041496487-pat00003
는 온도에 따른 도체의 저항 변화 계수로, 도체의 종류에 따라 달라지며 전선으로 많이 쓰이는 구리의 경우
Figure 112016041496487-pat00004
Ω/℃이다. T는 현재 온도이고, Tref는 Rref를 측정했을때의 기준 온도를 나타낸다.
이와 같이 저장된 전압범위에 이동평균값을 적용함으로써 온도 변화와 같은 민감한 상황 변화에 능동적으로 적응이 가능한 효과가 있다.
저장부(360)에 저장되는 전압범위는 노드별로 변화되는 전압강하를 고려하여 개별로 저장될 수도 있고, 전압강하를 고려하여 노드별로 메시지 송신 전압을 조정함으로써 공격탐지장치(300)에서 수신하는 전압은 일정하게 할 수도 있다. 공격탐지장치(300)에서 수신하는 전압을 일정하게 조절함으로써 메시지 송신 노드가 무엇인지 구별할 필요 없이 하나의 전압범위만을 확인할 수 있고 공격 여부 판단이 더 간단해지는 장점이 있다.
정상 전압범위는 메시지 수신부(310)의 전압 샘플링 오차 등을 고려하여 송신 노드와 공격탐지장치(300)사이의 거리에 따른 전압강하 값이 반영된 전압의 범위를 의미한다.
경계 전압범위는 정상 전압범위에 속하지는 않지만 차내 온도나 버스(210)상의 노이즈 등이 전압강하에 영향을 미칠 수 있으므로 수신한 메시지를 바로 공격에 의한 메시지로 오판할 확률을 낮추기 위해 필요한 전압범위를 의미한다.
제어부(340)는 전압 판단부(330)의 판단 결과에 따른 공격탐지장치(300)의 처리를 수행한다.
기본적으로 정상 전압범위가 아닌 경우 공격으로 판단할 수도 있으나, 공격 탐지 카운팅 값을 두어 카운팅 값이 일정한 임계값을 넘는 경우에만 공격으로 판단할 수도 있다. 외부 노이즈 등에 의해 일시적으로 전압값이 변화하는 경우도 고려하기 위함이다.
정상 전압범위로 판단한 경우에는 별다른 동작을 하지 않지만 저장부(360)에 저장된 정상 전압범위를 샘플링한 전압값을 이용하여 갱신하고, 갱신하는 방법은 이동평균방법 등을 사용할 수 있다.
판단한 전압값이 경계 전압범위에 속하는 경우 공격 확인을 위해 메시지의 재전송을 요청하고, 정상, 경계 전압범위에 모두 속하지 않는 경우 바로 공격에 의한 메시지 변조로 판단하지 않고 공격 탐지 카운터를 증가시킨다.
공격 탐지 카운터를 증가시킨 후 카운팅값이 임계값을 초과하는 경우 공격에 의한 메시지 변조로 판단하지만, 임계값 이하인 경우에는 에러가 발생한 것으로 보아 결과 출력부(350)에 메시지 재전송을 요청할 것을 제어하고 다시 CAN 메시지 수신을 기다린다.
결과 출력부(350)는 전압 판단부(330)의 판단에 따른 전압값이 정상 전압범위에 속하는 경우에는 정상적인 메시지로 판단하여 아무 동작을 하지 않고, 공격 탐지 카운팅값이 임계값을 초과하는 경우 공격에 의한 메시지 변조로 판단하여 공격으로 판단하여 각 노드에 메시지를 송신하거나 차량 운전자에게 경고할 수 있다.
각 공격을 알리는 것은 네트워크에 CAN 메시지를 송신하는 방법으로도 가능하지만 공격이 있었다면 공격을 알리는 메시지도 공격자가 위조할 가능성이 있기 때문에 결과 출력부(350)와 각 노드를 직접 연결하는 경로에 의해 공격을 알리는 방식도 가능하다.
도 5는 본 발명의 다른 실시예에 따른 차량용 네트워크의 공격탐지방법의 흐름도를 나타낸다.
공격탐지장치(300)는 CAN 버스에 전송되는 모든 CAN 메시지를 수신하고(S510) 수신되는 메시지의 전압값도 샘플링하여 획득한 후 샘플링된 전압값의 평균값을 구한다.
CAN 메시지를 수신한 후 메시지의 ID를 확인하여(S520) 네트워크상의 어떤 노드에서 송신한 메시지인지를 확인하고, 그에 따라 미리 저장된 전압값과의 비교를 수행한다(S530).
노드에 따라 공격탐지장치(300)와의 거리가 다르기 때문에 저항이 달라지고 따라서 전압강하값도 달라지므로, 메시지 ID로 확인한 노드에 해당하는 전압값의 범위는 공격탐지장치(300)의 저장부에 미리 계산 또는 측정되어 저장되어 있다.
샘플링된 전압값이 저장되어있던 메시지 ID에 해당하는 전압값의 정상범위와 비교하여(S540) 정상범위에 속하면, 저장부에 저장되어있는 정상범위를 정상범위에 속한다고 판단된 샘플링된 전압값을 반영하여 이동평균(Moving Average)을 구하는 방식으로 갱신하게 된다(S542).
샘플링된 전압값이 정상범위가 아니라면 경계범위에 있는지 판단하고(S550), 경계범위에도 속하지 않는다면 공격에 의해 메시지가 변조되었을 가능성이 있으므로 공격탐지 카운팅 값을 증가시킨다(S552).
경계범위가 아닌 경우에 바로 공격으로 판단하지 않는 것은 차량 네트워크의 온도변화나 잡음 등에 의해 일시적으로 메시지의 전압값이 잘못 측정되었을 가능성도 있기 때문이다.
카운팅 값을 증가시킨 후 카운팅 값이 임계값을 초과하는지 판단하고(S554), 카운팅 값이 임계값을 초과한다면 공격으로 판단하여 공격을 통보하고(S556), 카운팅 값이 임계값을 초과하지 않으면 공격인지 다시 판단을 하기 위해 메시지를 재전송할 것을 요청하게 된다(S572).
경계범위에 있는지 판단(S550)한 결과 경계범위에 속한다면, 최초 경계범위에 속한 값으로 판단된 것인지 재전송된 메시지에 의한 것인지 다시 판단한다(S560).
경계범위에 속한 것으로 처음 판단된 것이라면 추후 재전송된 메시지의 전압값과 비교를 위해 현재 경계범위에 속한 것으로 판단된 전압값을 저장하고(S570), 메시지의 재전송을 요청한다(S572).
재전송에 의해 경계범위에 속한 것으로 다시 판단된 것이라면 전압값을 이전 경계범위에 속해서 저장된 전압값과 비교하고(S562), 정상범위에 해당하는 방향으로 이동하였는지 판단하여(S564), 정상범위에 해당하는 방향으로 이동하였다면 다시 전압값을 저장하고(S570) 메시지 재전송을 요청한다(S572). 재전송에 의해 전압값이 정상범위에 가까워졌다면 다음 재전송시에는 정상범위에 속할 수도 있기 때문이다.
반면 경계범위에 속하면서 정상범위에 해당하는 방향으로 이동하지 않았다면 공격의 가능성이 있는 것으로 판단하여 공격탐지 카운팅값을 증가시키고(S552), 카운팅 값에 따라 공격을 판단하는 단계(S554)를 반복한다.
이상과 같은 차량용 네트워크의 공격탐지장치 및 보안방법을 사용함으로써 기존 차량 내부의 다른 모듈들이나 CAN 프로토콜의 수정 없이도 차량용 네트워크에 대한 공격을 차단하여 차량의 보안을 높일 수 있는 효과가 있다.
이상, 본 발명의 구성에 대하여 첨부 도면을 참조하여 상세히 설명하였으나, 이는 예시에 불과한 것으로서, 본 발명이 속하는 기술분야에 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 변형과 변경이가능함은 물론이다. 따라서 본 발명의 보호 범위는 전술한 실시예에 국한되어서는 아니되며 이하의 특허청구범위의 기재에 의하여 정해져야 할 것이다.

Claims (12)

  1. 차량용 네트워크에 접속된 공격탐지장치를 이용하여 차량용 네트워크의 공격을 탐지하는 방법에 있어서,
    상기 공격탐지장치가 상기 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 단계;
    상기 수신한 메시지의 식별자(ID)를 확인하는 단계;
    상기 획득한 전압값과 상기 수신한 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 단계; 및
    상기 비교한 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하는 단계;
    를 포함하는 차량용 네트워크의 공격탐지방법.
  2. 제1항에 있어서, 상기 판단하는 단계는
    상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격탐지 카운팅값을 증가시키고, 상기 공격탐지 카운팅값이 기설정된 임계값을 초과하면 공격으로 판단하는 것
    인 차량용 네트워크의 공격탐지방법.
  3. 제1항에 있어서, 상기 판단하는 단계는
    상기 획득한 전압값이 정상 전압범위에 포함되지 않으면, 상기 획득한 전압값이 경계 전압범위에 포함되는지 판단하고,
    판단결과 상기 획득한 전압값이 상기 경계 전압범위에 포함되면 상기 네트워크에 상기 메시지의 재전송을 요청하는 것
    인 차량용 네트워크의 공격탐지방법.
  4. 제3항에 있어서, 상기 판단하는 단계는
    상기 경계 전압범위에 포함되는지 판단한 결과 상기 획득한 전압값이 상기 경계 전압범위에 포함되지 않으면, 상기 수신한 메시지가 상기 재전송 요청에 의한 메시지인지 판단하고,
    판단결과 상기 재전송 요청에 의한 메시지가 아니면 상기 획득한 전압값을 저장하고 상기 네트워크에 상기 메시지의 재전송을 요청하고,
    판단결과 상기 재전송 요청에 의한 메시지이면 상기 저장된 전압값과 상기 재전송에 의해 획득한 전압값을 비교하여, 상기 재전송에 의해 획득한 전압값이 상기 저장된 전압값보다 상기 정상 전압범위에 가까우면 상기 네트워크에 상기 수신한 메시지의 재전송을 다시 요청하고, 상기 정상 전압범위에 가깝지 않으면 공격으로 판단하는 것
    인 차량용 네트워크의 공격탐지방법.
  5. 제1항에 있어서, 상기 판단하는 단계는
    상기 비교한 결과 상기 획득한 전압값이 상기 정상 전압범위에 포함되면 공격이 아닌 것으로 판단하고, 상기 획득한 전압값을 상기 정상 전압범위에 반영하여 상기 정상 전압범위를 갱신하는 것
    인 차량용 네트워크의 공격탐지방법.
  6. 제5항에 있어서,
    상기 정상 전압범위를 갱신하는 것은 이동평균 방법을 사용하는 것
    인 차량용 네트워크의 공격탐지방법.
  7. 네트워크로부터 메시지를 수신하고 상기 메시지를 포함하는 신호의 전압값을 획득하는 메시지 수신부;
    상기 수신한 메시지의 식별자를 확인하는 메시지 식별부;
    상기 획득한 전압값과 하기 저장부에 저장된 상기 메시지의 식별자에 따라 기설정된 전압범위를 비교하는 전압 판단부;
    상기 전압 판단부의 비교 결과 상기 획득한 전압값이 정상 전압범위에 포함되지 않으면 공격으로 판단하여 하기 결과 출력부에 결과 출력을 제어하는 제어부;
    상기 제어부의 제어에 따라 상기 네트워크에 접속된 각 노드 또는 운전자에게 공격 결과를 알리는 결과 출력부; 및
    상기 네트워크에 접속된 각 노드와 하기 공격탐지장치와의 거리에 따라 달라지는 전압강하값을 반영한 메시지 신호의 정상 전압범위와 경계 전압범위를 저장하는 저장부;
    를 포함하는 차량용 네트워크의 공격탐지장치.
  8. 제7항에 있어서, 상기 제어부는
    상기 획득한 전압값이 상기 정상 전압범위에 포함되지 않으면 공격탐지 카운팅값을 증가시키고, 상기 공격탐지 카운팅값이 기설정된 임계값을 초과하면 공격으로 판단하는 것
    인 차량용 네트워크의 공격탐지장치.
  9. 제7항에 있어서, 상기 제어부는
    상기 획득한 전압값이 상기 정상 전압범위에 포함되지 않으면, 상기 획득한 전압값이 경계 전압범위에 포함되는지 판단하고,
    판단결과 상기 획득한 전압값이 상기 경계 전압범위에 포함되면 상기 네트워크에 상기 메시지의 재전송을 요청하는 것
    인 차량용 네트워크의 공격탐지장치.
  10. 제9항에 있어서, 상기 제어부는
    상기 경계 전압범위에 포함되는지 판단한 결과 상기 획득한 전압값이 상기 경계 전압범위에 포함되지 않으면, 상기 수신한 메시지가 상기 재전송 요청에 의한 메시지인지 판단하고,
    판단결과 상기 재전송 요청에 의한 메시지가 아니면 상기 획득한 전압값을 저장하고 상기 네트워크에 상기 메시지의 재전송을 요청하고,
    판단결과 상기 재전송 요청에 의한 메시지이면 상기 저장된 전압값과 상기 재전송에 의해 획득한 전압값을 비교하여, 상기 재전송에 의해 획득한 전압값이 상기 저장된 전압값보다 상기 정상 전압범위에 가까우면 상기 네트워크에 상기 수신한 메시지의 재전송을 다시 요청하고, 상기 정상 전압범위에 가깝지 않으면 공격으로 판단하는 것
    인 차량용 네트워크의 공격탐지장치.
  11. 제7항에 있어서, 상기 제어부는
    상기 비교한 결과 상기 획득한 전압값이 상기 정상 전압범위에 포함되면 공격이 아닌 것으로 판단하고, 상기 획득한 전압값을 상기 정상 전압범위에 반영하여 상기 정상 전압범위를 갱신하는 것
    인 차량용 네트워크의 공격탐지장치.
  12. 제11항에 있어서,
    상기 정상 전압범위를 갱신하는 것은 이동평균 방법을 사용하는 것
    인 차량용 네트워크의 공격탐지장치.
KR1020160052952A 2016-04-29 2016-04-29 차량용 네트워크의 공격탐지 방법 및 그 장치 KR101734505B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160052952A KR101734505B1 (ko) 2016-04-29 2016-04-29 차량용 네트워크의 공격탐지 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160052952A KR101734505B1 (ko) 2016-04-29 2016-04-29 차량용 네트워크의 공격탐지 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR101734505B1 true KR101734505B1 (ko) 2017-05-11

Family

ID=58741968

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160052952A KR101734505B1 (ko) 2016-04-29 2016-04-29 차량용 네트워크의 공격탐지 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR101734505B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107666476A (zh) * 2017-05-25 2018-02-06 国家计算机网络与信息安全管理中心 一种can总线风险检测方法和装置
CN108833377A (zh) * 2018-05-30 2018-11-16 武汉高仕达电气有限公司 一种改进的can协议数据帧结构及数据处理方法
CN108965235A (zh) * 2017-05-19 2018-12-07 罗伯特·博世有限公司 用于保护网络防止网络攻击的方法
WO2019107704A1 (ko) * 2017-11-29 2019-06-06 고려대학교 산학협력단 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
US20190342115A1 (en) * 2017-01-19 2019-11-07 Conti Temic Microelectronic Gmbh Method for operating a monitoring device for a data network of a motor vehicle and monitoring device, control unit and motor vehicle

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101371902B1 (ko) 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101371902B1 (ko) 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190342115A1 (en) * 2017-01-19 2019-11-07 Conti Temic Microelectronic Gmbh Method for operating a monitoring device for a data network of a motor vehicle and monitoring device, control unit and motor vehicle
CN108965235A (zh) * 2017-05-19 2018-12-07 罗伯特·博世有限公司 用于保护网络防止网络攻击的方法
CN107666476A (zh) * 2017-05-25 2018-02-06 国家计算机网络与信息安全管理中心 一种can总线风险检测方法和装置
CN107666476B (zh) * 2017-05-25 2021-06-04 国家计算机网络与信息安全管理中心 一种can总线风险检测方法和装置
WO2019107704A1 (ko) * 2017-11-29 2019-06-06 고려대학교 산학협력단 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
CN108833377A (zh) * 2018-05-30 2018-11-16 武汉高仕达电气有限公司 一种改进的can协议数据帧结构及数据处理方法

Similar Documents

Publication Publication Date Title
KR101734505B1 (ko) 차량용 네트워크의 공격탐지 방법 및 그 장치
US10104094B2 (en) On-vehicle communication system
US11271965B2 (en) Security system for electronic equipment
Matsumoto et al. A method of preventing unauthorized data transmission in controller area network
CN104717201B (zh) 网络装置以及网络***
CN110324301B (zh) 生成用于阻止对车辆的计算机攻击的规则的***和方法
US11256498B2 (en) Node, a vehicle, an integrated circuit and method for updating at least one rule in a controller area network
US10652256B2 (en) Real-time active threat validation mechanism for vehicle computer systems
JPWO2016185514A1 (ja) 攻撃検出装置
US11888866B2 (en) Security module for a CAN node
US11677779B2 (en) Security module for a can node
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
KR101882694B1 (ko) Mac을 포함하는 can 메시지 송수신을 위한 방법 및 시스템
Wang et al. A delay based plug-in-monitor for intrusion detection in controller area network
CN106685967A (zh) 一种车载网络通信加密和入侵监测装置
EP3713190A1 (en) Secure bridging of controller area network buses
CN112583786B (zh) 用于警报的方法、发送器设备和接收器设备
Kneib et al. On the fingerprinting of electronic control units using physical characteristics in controller area networks
JP4093075B2 (ja) 不正データ検出方法及び車載機器
US20230327907A1 (en) Relay device, communication network system, and communication control method
KR20180072340A (ko) 운송 수단 내부 네트워크에서의 제어 데이터를 보안 전송하는 방법
Hafeez A robust, reliable and deployable framework for in-vehicle security
KR102595722B1 (ko) 통신 네트워크, 이에 연결된 노드를 식별하는 방법 및 장치
EP4099642A2 (en) Can transceiver
Hellemans et al. Yes we CAN! Towards bringing security to legacy-restricted Controller Area Networks. A review

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant