KR102414334B1 - Method and apparatus for detecting threats of cooperative-intelligent transport road infrastructure - Google Patents
Method and apparatus for detecting threats of cooperative-intelligent transport road infrastructure Download PDFInfo
- Publication number
- KR102414334B1 KR102414334B1 KR1020210119351A KR20210119351A KR102414334B1 KR 102414334 B1 KR102414334 B1 KR 102414334B1 KR 1020210119351 A KR1020210119351 A KR 1020210119351A KR 20210119351 A KR20210119351 A KR 20210119351A KR 102414334 B1 KR102414334 B1 KR 102414334B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- threat
- data
- model
- confidentiality
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000001514 detection method Methods 0.000 claims abstract description 212
- 238000010219 correlation analysis Methods 0.000 claims abstract description 34
- 230000002159 abnormal effect Effects 0.000 claims description 42
- 238000013499 data model Methods 0.000 claims description 42
- 238000004891 communication Methods 0.000 claims description 37
- 238000012544 monitoring process Methods 0.000 claims description 17
- 238000007726 management method Methods 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 11
- 230000010076 replication Effects 0.000 claims description 11
- 238000012546 transfer Methods 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 7
- 230000009466 transformation Effects 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims description 4
- 230000037430 deletion Effects 0.000 claims description 4
- 238000002347 injection Methods 0.000 claims description 4
- 239000007924 injection Substances 0.000 claims description 4
- 238000000746 purification Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 14
- 235000013923 monosodium glutamate Nutrition 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 230000003442 weekly effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000000835 fiber Substances 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 238000006731 degradation reaction Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003252 repetitive effect Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010201 enrichment analysis Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009440 infrastructure construction Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W30/00—Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
- B60W30/08—Active safety systems predicting or avoiding probable or impending collision or attempting to minimise its consequences
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
- B60W60/0015—Planning or execution of driving tasks specially adapted for safety
- B60W60/0018—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
- B60W60/00184—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to infrastructure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
- B60W2050/0005—Processor details or data handling, e.g. memory registers or chip architecture
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0043—Signal treatments, identification of variables or parameters, parameter estimation or state estimation
- B60W2050/0057—Frequency analysis, spectral techniques or transforms
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2552/00—Input parameters relating to infrastructure
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Automation & Control Theory (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Traffic Control Systems (AREA)
Abstract
자율협력주행 도로인프라 위협탐지 방법 및 장치가 제공된다. 상기 방법은, 자율협력주행 관련 시스템으로부터 수집된 자율협력주행 관련 데이터를 인리치먼트(enrichment)하는 단계, 기 설정된 위협 유형별 탐지 정책에 기초하여, 상기 인리치먼트된 데이터를 상관분석하는 단계 및 상기 상관분석된 결과에 기초하여, 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 위협 중 적어도 하나를 탐지하는 단계를 포함한다. A method and apparatus for detecting threats to autonomous cooperative driving road infrastructure are provided. The method includes the steps of: enriching autonomous cooperative driving-related data collected from an autonomous cooperative driving-related system; correlating the enriched data based on a preset detection policy for each type of threat; and detecting at least one of an integrity threat, a confidentiality threat, an availability threat, and an authentication threat based on the correlation analysis result.
Description
본 발명은 자율협력주행 도로인프라 위협탐지 방법 및 장치에 관한 것이다. The present invention relates to a method and apparatus for detecting threats to road infrastructure for autonomous cooperative driving.
미래자동차 핵심 산업인 자율주행차가 안전하게 운행하기 위한 스마트 도로인프라를 개발하기 위하여 전 세계 주요국가가 핵심기술개발 및 도로인프라 구축을 경쟁적으로 추진하고 있다.In order to develop smart road infrastructure for the safe operation of autonomous vehicles, the core industry of future automobiles, major countries around the world are competitively promoting core technology development and road infrastructure construction.
자율협력주행 도로인프라란 주요 도로에 완전한 자율주행 자동차들이 실제로 달릴 수 있도록 도로인프라와 차량 간 실시간 교통정보공유를 위한 법제도, 통신 시설, 정밀 지도, 현장 센서, 교통 관제 등이 구비된 스마트 도로를 말한다.Autonomous cooperative driving road infrastructure is a smart road equipped with a legal system, communication facilities, precise maps, on-site sensors, traffic control, etc. for sharing real-time traffic information between road infrastructure and vehicles so that fully autonomous vehicles can actually run on major roads. say
자율협력주행 도로인프라는 가용성, 무결성, 기밀성 및 인증과 관련한 보안 위협이 발생하는 경우 운전자 또는 보행자에게 심각한 피해를 줄 수 있어, 자율협력주행 도로 인프라의 모든 영역에 대해서 신속하고 정확하게 보안 위협을 탐지할 수 있는 효율적인 시스템이 필요하다.Autonomous cooperative driving road infrastructure can cause serious damage to drivers or pedestrians when security threats related to availability, integrity, confidentiality and authentication occur, so it is possible to quickly and accurately detect security threats in all areas of autonomous cooperative driving road infrastructure. You need an efficient system that can do that.
본 발명이 해결하고자 하는 과제는 자율협력주행 도로인프라 위협탐지 방법 및 장치를 제공하는 것이다.The problem to be solved by the present invention is to provide a method and apparatus for detecting threats to autonomous cooperative driving road infrastructure.
본 발명이 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the problems mentioned above, and other problems not mentioned will be clearly understood by those skilled in the art from the following description.
상술한 과제를 해결하기 위한 본 발명의 일 면에 따른 자율협력주행 도로인프라 위협탐지 방법은, 자율협력주행 관련 시스템으로부터 수집된 자율협력주행 관련 데이터를 인리치먼트(enrichment)하는 단계, 기 설정된 위협 유형별 탐지 정책에 기초하여, 상기 인리치먼트된 데이터를 상관분석하는 단계 및 상기 상관분석된 결과에 기초하여, 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 위협 중 적어도 하나를 탐지하는 단계를 포함하고, 상기 인리치먼트하는 단계는, 상기 수집된 자율협력주행 관련 데이터를 기반으로 데이터 모델을 생성하는 단계 및 상기 생성된 데이터 모델의 데이터 소스 별로 파싱하여 메타 데이터를 생성하는 단계를 포함한다.In an autonomous cooperative driving road infrastructure threat detection method according to an aspect of the present invention for solving the above-mentioned problems, the step of enriching autonomous cooperative driving-related data collected from autonomous cooperative driving-related systems, a preset threat Correlating the enriched data based on a detection policy for each type and detecting at least one of an integrity threat, a confidentiality threat, an availability threat, and an authentication threat based on the correlation analysis result, The enriching includes generating a data model based on the collected autonomous cooperative driving-related data, and generating metadata by parsing the generated data model for each data source.
본 발명에서, 상기 데이터 모델은, 로컬 데이터 모델 및 글로벌 데이터 모델을 포함하고, 상기 로컬 데이터 모델은, 무결성 모델, 기밀성 모델, 가용성 모델, 작업 정보, 통계 정보 및 차량 정보를 포함하고, 상기 글로벌 데이터 모델은 인증 정보, 위협 정보 및 자산 정보를 포함할 수 있다.In the present invention, the data model includes a local data model and a global data model, wherein the local data model includes an integrity model, confidentiality model, availability model, operation information, statistical information and vehicle information, and the global data The model may include authentication information, threat information, and asset information.
본 발명에서, 상기 무결성 모델의 데이터 소스는, 위치기반 교통정보, 도로 위험구간 정보, 도로 작업구간 정보, 차량 긴급상황 경고 정보, 노면상태 정보, 기상 정보, vcpe 로그 및 도로 방화벽 로그를 포함하고, 상기 기밀성 모델의 데이터 소스는, c-its 데이터베이스 접근기록, 운영관리 웹로그, 데이터 접근 정보, OS 로그, 방화벽 로그, vcpe 로그 및 도로인프라 개폐기기 정보를 포함하고, 상기 가용성 모델의 데이터 소스는, c-its 트래픽 정보, 스마트 플러그 및 sdn 로그를 포함할 수 있다.In the present invention, the data source of the integrity model includes location-based traffic information, road danger section information, road work section information, vehicle emergency warning information, road surface condition information, weather information, vcpe log and road firewall log, The data source of the confidentiality model includes c-its database access record, operation management web log, data access information, OS log, firewall log, vcpe log and road infrastructure opening and closing device information, and the data source of the availability model is, It can include c-its traffic information, smart plugs and sdn logs.
본 발명에서, 상기 수집된 자율협력주행 관련 데이터에 대해 변환 및 정제, 태깅(tagging), 통계 데이터 생성 및 이관 중 적어도 하나를 수행하여, 상기 데이터 소스 별로 위협탐지를 위한 메타 데이터를 생성할 수 있다.In the present invention, meta data for threat detection can be generated for each data source by performing at least one of transformation and purification, tagging, and statistical data generation and transfer on the collected autonomous cooperative driving-related data. .
본 발명에서, 상기 상관분석 단계는, 기 설정된 무결성 위협탐지 관련 정책, 기밀성 위협탐지 관련 정책 및 가용성 위협탐지 관련 정책 중 적어도 하나에 기초하여, 상기 데이터 소스 별로 생성된 메타 데이터에 대해 인-메모리(in-memory) 기반 로컬 상관분석을 수행하고, 기 설정된 인증 위협탐지 관련 정책, 이벤트공격 심각도 분석 관련 정책 및 내부자 이상행위탐지 관련 정책 중 적어도 하나에 기초하여, 상기 데이터 소스 별로 생성된 메타 데이터에 대해 검색 기반 글로벌 상관분석을 수행할 수 있다.In the present invention, the correlation analysis step includes in-memory ( in-memory) based local correlation analysis, and based on at least one of a preset authentication threat detection-related policy, an event attack severity analysis-related policy, and an insider anomaly detection-related policy, on the metadata generated for each data source Search-based global correlation analysis can be performed.
본 발명에서, 상기 무결성 위협은, 잘못된 메시지 주입 공격(false messages inject attack), 재전송 공격(replay attack), 비정상 접근 시도 및 이상 노드를 포함하고, 상기 기밀성 위협은, 프라이버시 정보 유출, V2X 인증서 데이터 유출, 시스템 구성정보 정찰 및 도로인프라 비인가 접근을 포함하고, 상기 가용성 위협은, c-its 메시지 홍수 공격(c-its msg flooding attack), 서버 가용성, 블랙홀 공격(blackhole attack), 전원장애 및 플러딩(flooding)을 포함하고, 상기 인증 위협은, 인증서 복제 공격(certificate replication attack), 시빌 공격(Sybil attack), 위장 공격(masquerading attack), 익명인증서 부정사용 및 비정상 시스템 접근을 포함할 수 있다.In the present invention, the integrity threat includes a false messages inject attack, a replay attack, an abnormal access attempt, and an abnormal node, and the confidentiality threat is privacy information leakage, V2X certificate data leakage , system configuration information reconnaissance and road infrastructure unauthorized access, the availability threats include c-its message flooding attack (c-its msg flooding attack), server availability, blackhole attack, power failure and flooding ), and the authentication threat may include a certificate replication attack, a Sybil attack, a masquerading attack, an illegal use of an anonymous certificate, and an abnormal system access.
본 발명에서, 상기 무결성 위협, 상기 기밀성 위협, 상기 가용성 위협 및 상기 인증 위협 중 적어도 하나가 탐지되면, 탐지된 위협을 모니터링하고 분석하는 이벤트 모니터링을 수행하는 단계, 상기 탐지된 위협에 관련한 보고서를 생성하는 단계 및 상기 탐지된 위협에 기초하여 위협탐지시스템의 장애, 성능 및 용량 관리와 관련한 관제환경정보 설정을 수행하고, 상기 탐지된 위협에 대한 정책의 등록, 변경 및 삭제와 관련한 위협탐지 정책 설정을 수행하는 단계를 더 포함할 수 있다.In the present invention, when at least one of the integrity threat, the confidentiality threat, the availability threat, and the authentication threat is detected, performing event monitoring for monitoring and analyzing the detected threat, generating a report related to the detected threat and setting control environment information related to failure, performance, and capacity management of the threat detection system based on the detected threats, and setting the threat detection policy related to registration, change, and deletion of policies for the detected threats. It may further include the step of performing.
상술한 과제를 해결하기 위한 본 발명의 다른 면에 따른 자율협력주행 도로인프라 위협탐지 장치는, 통신부, 자율협력주행 도로인프라 위협탐지를 위한 적어도 하나의 프로세스를 저장하고 있는 메모리 및 상기 프로세스에 따라 동작하는 프로세서를 포함하고, 상기 프로세서는, 상기 프로세스를 기반으로, 상기 통신부를 통해 자율협력주행 관련 시스템으로부터 수집된 자율협력주행 관련 데이터를 인리치먼트(enrichment)하고, 기 설정된 위협 유형별 탐지 정책에 기초하여, 상기 인리치먼트된 데이터를 상관분석하고, 상기 상관분석된 결과에 기초하여, 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 위협 중 적어도 하나를 탐지하고, 상기 프로세서가, 상기 인리치먼트 시, 상기 수집된 자율협력주행 관련 데이터를 기반으로 데이터 모델을 생성하고, 상기 생성된 데이터 모델의 데이터 소스 별로 파싱하여 메타 데이터를 생성한다.An autonomous cooperative driving road infrastructure threat detection apparatus according to another aspect of the present invention for solving the above-described problems operates according to a communication unit, a memory storing at least one process for autonomous cooperative driving road infrastructure threat detection, and the process and a processor that, based on the process, enriches the autonomous cooperative driving-related data collected from the autonomous cooperative driving-related system through the communication unit, and based on a preset detection policy for each type of threat to correlate the enriched data, and based on the correlation analysis result, detect at least one of an integrity threat, a confidentiality threat, an availability threat, and an authentication threat, and when the processor performs the enrichment, A data model is generated based on the collected autonomous cooperative driving-related data, and meta data is generated by parsing the generated data model for each data source.
본 발명에서, 상기 데이터 모델은, 로컬 데이터 모델 및 글로벌 데이터 모델을 포함하고, 상기 로컬 데이터 모델은, 무결성 모델, 기밀성 모델, 가용성 모델, 작업 정보, 통계 정보 및 차량 정보를 포함하고, 상기 글로벌 데이터 모델은 인증 정보, 위협 정보 및 자산 정보를 포함할 수 있다.In the present invention, the data model includes a local data model and a global data model, wherein the local data model includes an integrity model, confidentiality model, availability model, operation information, statistical information and vehicle information, and the global data The model may include authentication information, threat information, and asset information.
본 발명에서, 상기 무결성 모델의 데이터 소스는, 위치기반 교통정보, 도로 위험구간 정보, 도로 작업구간 정보, 차량 긴급상황 경고 정보, 노면상태 정보, 기상 정보, vcpe 로그 및 도로 방화벽 로그를 포함하고, 상기 기밀성 모델의 데이터 소스는, c-its 데이터베이스 접근기록, 운영관리 웹로그, 데이터 접근 정보, OS 로그, 방화벽 로그, vcpe 로그 및 도로인프라 개폐기기 정보를 포함하고, 상기 가용성 모델의 데이터 소스는, c-its 트래픽 정보, 스마트 플러그 및 sdn 로그를 포함할 수 있다.In the present invention, the data source of the integrity model includes location-based traffic information, road danger section information, road work section information, vehicle emergency warning information, road surface condition information, weather information, vcpe log and road firewall log, The data source of the confidentiality model includes c-its database access record, operation management web log, data access information, OS log, firewall log, vcpe log and road infrastructure opening and closing device information, and the data source of the availability model is, It can include c-its traffic information, smart plugs and sdn logs.
이 외에도, 본 발명을 구현하기 위한 다른 방법, 다른 시스템 및 상기 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.In addition to this, another method for implementing the present invention, another system, and a computer-readable recording medium for recording a computer program for executing the method may be further provided.
본 발명의 자율협력주행 도로인프라 위협탐지시스템은 다양한 종류의 위협을 효율적으로 탐지할 수 있다.The autonomous cooperative driving road infrastructure threat detection system of the present invention can efficiently detect various types of threats.
본 발명의 위협탐지시스템은 종래의 범용 IT 시스템과 비교했을 때 도 1과 같은 차이가 있다.The threat detection system of the present invention has a difference as shown in FIG. 1 when compared with the conventional general-purpose IT system.
본 발명에 따르면, 네트워크 중심의 기존 범용 보안관제데이터 수집 방식은 통신 암호화로 인하여 위협을 탐지하기 위한 데이터 수집 및 식별이 불가한 반면, 본 발명의 자율협력주행 환경은 통신 환경이 폐쇄적이고 제한된 어플리케이션 및 프로토콜을 사용하며 데이터의 다양성이 적고 데이터의 장기간 보관이 필요하지 않는 휘발성 데이터를 사용한다는 이점이 있다.According to the present invention, the existing network-oriented general-purpose security control data collection method cannot collect and identify data to detect threats due to communication encryption, whereas the autonomous cooperative driving environment of the present invention has a closed communication environment and limited applications and It uses a protocol and has the advantage of using volatile data that has less data diversity and does not require long-term storage of the data.
또한, 종래에는 C-ITS 서비스 보안 컨텍스트(context) 기반 데이터 수집이 불가하여 시스템 데이터에서 보안관제데이터를 추출하므로 과도한 오탐이 발생하는 반면, 본 발명은 C-ITS 서비스 어플리케이션의 트래픽 수신부에서 트래픽을 라우팅 처리하여 자율주행 컨텍스트 기반 데이터 모델링 및 전처리 실시함으로써 자율주행에 특화된 데이터 추출이 가능하다.In addition, conventionally, it is impossible to collect data based on the C-ITS service security context, so excessive false positives occur because security control data is extracted from system data, whereas the present invention routes traffic in the traffic receiver of the C-ITS service application. It is possible to extract data specialized for autonomous driving by performing data modeling and pre-processing based on autonomous driving context.
또한, 종래에는 불필요한 대량의 데이터 수집 및 처리로 성능 상의 이슈 발생 및 탐지의 정확도가 떨어지며, 인공지능 기반 이상탐지는 오탐이 많고 탐지 건수가 많아 관제 요원의 경보 처리 피로가 극심하고 실시간 대응이 불가능한 반면, 본 발명은 위협 유형 별로 코릴레이션(correlation) 분석을 통해 신속하고 정확한 위협 탐지가 가능하다.In addition, conventionally, performance issues occur and the accuracy of detection is lowered due to the collection and processing of unnecessary large amounts of data, and the AI-based anomaly detection has a lot of false positives and a large number of detections. , the present invention enables rapid and accurate threat detection through correlation analysis for each threat type.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.Effects of the present invention are not limited to the effects mentioned above, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.
도 1은 본 발명의 위협탐지시스템과 종래의 범용 IT 시스템 간의 차이를 나타낸 도면이다.
도 2는 본 발명에 따른 자율협력주행 도로인프라 위협탐지시스템을 설명하기 위한 도면이다.
도 3은 본 발명에 따른 자율협력주행 도로인프라 위협탐지 방법의 순서도이다.
도 4는 본 발명에 따른 이벤트 코릴레이션(event correlation)을 설명하기 위한 도면이다.
도 5는 본 발명에 따른 자율협력주행 도로인프라 위협탐지 장치를 설명하기 위한 도면이다.1 is a diagram showing the difference between the threat detection system of the present invention and the conventional general-purpose IT system.
2 is a view for explaining the autonomous cooperative driving road infrastructure threat detection system according to the present invention.
3 is a flowchart of a method for detecting threats to autonomous cooperative driving road infrastructure according to the present invention.
4 is a diagram for explaining event correlation according to the present invention.
5 is a view for explaining an autonomous cooperative driving road infrastructure threat detection device according to the present invention.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. Advantages and features of the present invention and methods of achieving them will become apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various different forms, and only the present embodiments allow the disclosure of the present invention to be complete, and those of ordinary skill in the art to which the present invention pertains. It is provided to fully understand the scope of the present invention to those skilled in the art, and the present invention is only defined by the scope of the claims.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.The terminology used herein is for the purpose of describing the embodiments and is not intended to limit the present invention. In this specification, the singular also includes the plural unless specifically stated otherwise in the phrase. As used herein, “comprises” and/or “comprising” does not exclude the presence or addition of one or more other components in addition to the stated components. Like reference numerals refer to like elements throughout, and "and/or" includes each and every combination of one or more of the recited elements. Although "first", "second", etc. are used to describe various elements, these elements are not limited by these terms, of course. These terms are only used to distinguish one component from another. Accordingly, it goes without saying that the first component mentioned below may be the second component within the spirit of the present invention.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used herein will have the meaning commonly understood by those of ordinary skill in the art to which this invention belongs. In addition, terms defined in a commonly used dictionary are not to be interpreted ideally or excessively unless specifically defined explicitly.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
설명에 앞서 본 명세서에서 사용하는 용어의 의미를 간략히 설명한다. 그렇지만 용어의 설명은 본 명세서의 이해를 돕기 위한 것이므로, 명시적으로 본 발명을 한정하는 사항으로 기재하지 않은 경우에 본 발명의 기술적 사상을 한정하는 의미로 사용하는 것이 아님을 주의해야 한다.Before the description, the meaning of the terms used in this specification will be briefly described. However, it should be noted that, since the description of the term is for the purpose of helping the understanding of the present specification, it is not used in the meaning of limiting the technical idea of the present invention unless explicitly described as limiting the present invention.
본 명세서에서 '장치'는 연산처리를 수행하여 사용자에게 결과를 제공할 수 있는 다양한 장치들이 모두 포함된다. 예를 들어, 장치는 컴퓨터 또는 이동 단말기 형태가 될 수 있다. 상기 컴퓨터는 클라이언트로부터 요청을 수신하여 정보처리를 수행하는 서버 형태가 될 수 있다. 또한, 컴퓨터에는 시퀀싱을 수행하는 시퀀싱 장치가 해당될 수 있다. 상기 이동 단말기는 휴대폰, 스마트 폰(smart phone), PDA(personal digital assistants), PMP(portable multimedia player), 네비게이션, 노트북 PC, 슬레이트 PC(slate PC), 태블릿 PC(tablet PC), 울트라북(ultrabook), 웨어러블 디바이스(wearable device, 예를 들어, 워치형 단말기 (smartwatch), 글래스형 단말기 (smart glass), HMD(head mounted display)) 등이 포함될 수 있다.As used herein, the term 'device' includes various devices capable of providing a result to a user by performing arithmetic processing. For example, the device may be in the form of a computer or mobile terminal. The computer may be in the form of a server that receives a request from a client and processes information. In addition, the computer may correspond to a sequencing device for performing sequencing. The mobile terminal includes a mobile phone, a smart phone, a personal digital assistant (PDA), a portable multimedia player (PMP), a navigation system, a notebook PC, a slate PC, a tablet PC, and an ultrabook. ), a wearable device, for example, a watch-type terminal (smartwatch), a glass-type terminal (smart glass), a head mounted display (HMD), etc. may be included.
도 2는 본 발명에 따른 자율협력주행 도로인프라 위협탐지시스템을 설명하기 위한 도면이다.2 is a view for explaining the autonomous cooperative driving road infrastructure threat detection system according to the present invention.
도 3은 본 발명에 따른 자율협력주행 도로인프라 위협탐지 방법의 순서도이다.3 is a flowchart of a method for detecting threats to autonomous cooperative driving road infrastructure according to the present invention.
도 4는 본 발명에 따른 이벤트 코릴레이션(event correlation)을 설명하기 위한 도면이다.4 is a diagram for explaining event correlation according to the present invention.
도 5는 본 발명에 따른 자율협력주행 도로인프라 위협탐지 장치를 설명하기 위한 도면이다.5 is a view for explaining an autonomous cooperative driving road infrastructure threat detection device according to the present invention.
이하에서는 도 2를 참조하여, 본 발명에 따른 자율협력주행 도로인프라 위협탐지시스템에 대해서 설명하도록 한다.Hereinafter, with reference to FIG. 2, an autonomous cooperative driving road infrastructure threat detection system according to the present invention will be described.
이에 앞서, 자율협력주행 도로인프라의 보안위협의 종류에 대해 설명하도록 한다.Prior to this, the types of security threats of autonomous cooperative driving road infrastructure will be described.
보안위협은 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 및 접근제어 위협을 포함할 수 있다.Security threats may include integrity threats, confidentiality threats, availability threats, and authentication and access control threats.
먼저, 무결성 위협은 정보가 무단으로 수정되는 것과 관련된 위협을 포함할 수 있다. 보다 상세하게, 무결성 위협은 재전송 공격(Replay attack), 잘못된 메시지 주입 공격(false messages inject attack), 즉 위·변조 공격을 포함할 수 있다. 그러나 이에 제한되지 않고 무결성 위협은 의도하지 않은 수정과 관련한 모든 종류의 위협을 포함할 수 있다.First, integrity threats may include threats related to unauthorized modification of information. In more detail, the integrity threat may include a replay attack, a false messages inject attack, that is, a forgery attack. However, without being limited thereto, integrity threats may include all kinds of threats related to unintended modification.
여기서, 재전송 공격의 위협 내용은 C-ITS 서버, V2X 서버에 무단 침입하여 오작동을 유발하고 허위 데이터를 생성하여 전송하는 것일 수 있다.Here, the threat content of the retransmission attack may be unauthorized intrusion into the C-ITS server or V2X server, causing malfunctions, and generating and transmitting false data.
위·변조 공격의 위협 내용은 현장 시스템, 차량 시스템 및 중앙 시스템에서 송수신되는 메시지에 대한 가로채기, 변조, 삭제 및 딜레이를 수행하거나 위변조하여 저장 또는 송수신하는 것일 수 있다.The threat content of a forgery attack may include interception, alteration, deletion, and delay of messages transmitted and received in the field system, vehicle system, and central system, or storing or transmitting/receiving by forgery.
다음으로, 기밀성 위협은 민감하다고 간주되는 정보의 무단 공개와 관련된 위협을 포함할 수 있다. 보다 상세하게, 기밀성 위협은 데이터 유출, 구성 정보 유출, 프라이버시 정보 유출을 포함할 수 있다. 그러나 이에 제한되지 않고 기밀성 위협은 성능 저하 또는 거부와 관련한 모든 종류의 위협을 포함할 수 있다.Second, confidentiality threats may include threats related to the unauthorized disclosure of information deemed sensitive. More specifically, confidentiality threats may include data leakage, configuration information leakage, and privacy information leakage. However, without being limited thereto, confidentiality threats may include all kinds of threats related to performance degradation or denial.
여기서, 데이터 유출은 C-ITS 서비스 및 V2X 시스템 등에 저장된 정보를 다운로드하여 유출하는 것일 수 있다.Here, the data leakage may be downloading and leaking information stored in the C-ITS service and the V2X system.
구성 정보 유출은 중앙 시스템, 지원 시스템 및 현장 시스템의 구성 정보를 파악하여 2차 침입 또는 공격을 위한 시스템 구성 정보를 파악하는 것일 수 있다.Configuration information leakage may be identifying system configuration information for secondary intrusion or attack by identifying configuration information of the central system, support system, and field system.
프라이버시 정보 유출은 LDM 서버, V2X 인증서버 등에 무단 접근을 통하여 개인 서명, 주민등록번호, 차량정보, 운행정보, 위치정보 등과 같은 개인정보를 유출하는 것일 수 있다.Privacy information leakage may be leakage of personal information such as personal signature, resident registration number, vehicle information, driving information, location information, etc. through unauthorized access to the LDM server, V2X authentication server, etc.
다음으로, 가용성 위협은 ITS 서비스의 성능 저하 또는 거부와 관련된 위협을 포함할 수 있다. 보다 상세하게, 가용성 위협은 블랙홀 공격(blackhole attack), 플러딩 공격(flooding attack) 및 멀웨어(malware) 유입을 포함할 수 있다. 그러나 이에 제한되지 않고 가용성 위협은 정보의 무단 공개와 관련한 모든 종류의 위협을 포함할 수 있다.Next, availability threats may include threats related to performance degradation or denial of ITS services. More specifically, availability threats may include blackhole attacks, flooding attacks, and malware intrusion. However, without being limited thereto, availability threats may include all kinds of threats related to unauthorized disclosure of information.
여기서, 블랙홀 공격은 노드를 감염시켜 메시지 전송을 중지 또는 지연하여 서비스의 기능을 마비시키는 공격일 수 있다.Here, the black hole attack may be an attack that paralyzes the function of a service by infecting a node to stop or delay message transmission.
플러딩 공격은 수많은 더미 메시지를 V2X 서버, 차량과 RSU(Road-Sied Unit, 노변장치)에 송신하여 시스템의 오버헤드를 유발하여 서비스의 성능 및 가용성을 저하 또는 마비시키는 공격일 수 있다.A flooding attack may be an attack that reduces or paralyzes the performance and availability of services by sending numerous dummy messages to the V2X server, vehicle, and RSU (Road-Sied Unit) to induce system overhead.
멀웨어 유입은 중앙 센터 또는 도로 장비에 불법적인 악성코드를 설치하고 중요 파일들을 암호화 시켜 서비스를 마비시키거나, 봇넷을 통하여 악성활동을 수행하는 것일 수 있다. 예를 들어, (메시지 전송중단, 위변조, 개인정보 유출, 구성정보 스캔 등일 수 있다.Malware inflow may be to install illegal malicious code in the central center or road equipment and to encrypt important files to paralyze the service, or to perform malicious activities through a botnet. For example, it may be (message transmission interruption, forgery, personal information leakage, configuration information scan, etc.).
다음으로, 인증 및 접근제어 위협은 사용자 및 기기의 ID를 부정으로 사용하는 것과 관련된 위협일 수 있다. 보다 상세하게, 인증 및 접근제어 위협은 시빌 어택(Sybil attack), 즉 다중사용, 인증서 복제 공격(certificate replication attack), 비정상 로그인(brute force attack) 및 도로인프라 물리적 비인가 접근을 포함할 수 있다. 그러나 이에 제한되지 않고 인증 및 접근제어 위협은 ID 부정사용과 관련한 모든 종류의 위협을 포함할 수 있다.Next, authentication and access control threats may be threats related to the fraudulent use of user and device IDs. In more detail, authentication and access control threats may include Sybil attack, that is, multi-use, certificate replication attack, brute force attack, and road infrastructure physical unauthorized access. However, without being limited thereto, authentication and access control threats may include all kinds of threats related to identity fraud.
여기서, 시빌 어택은 악의적인 스테이션(예를 들어, 현장센서 및 기기)이 여러 개의 스테이션으로 위장하여 스테이션이 여러개인 것처럼 위장하는 것일 수 있다.Here, the civil attack may be one in which a malicious station (eg, on-site sensor and device) disguises itself as a plurality of stations to disguise it as if there are several stations.
인증서 복제 공격은 블랙 리스트에서 인증서를 삭제하기 위하여 불법으로 인증서를 복사하여 부정으로 사용하는 것일 수 있다.A certificate cloning attack may be illegally copying a certificate and using it illegally to delete a certificate from the black list.
비정상 로그인은 가능한 모든 키값을 확인하는 공격으로 C-ITS 스테이션 객체의 인증서를 불법적으로 획득하는 것일 수 있다.Abnormal login is an attack that checks all possible key values and may be illegally acquiring the certificate of the C-ITS station object.
도로인프라 물리적 비인가 접근은 도로인프라에 대한 물리적 접근으로 인한 비인가 접근일 수 있다.Road infrastructure physical unauthorized access may be unauthorized access due to physical access to road infrastructure.
도 2를 참조하면, 본 발명의 위협탐지시스템은 자율협력주행 관련 시스템(구체적으로, 자율협력주행 C-ITS 어플리케이션 및 통합보안인증시스템)에서 라우팅한 트래픽을 수신하고, 수신된 데이터에 대해 인리치먼트(enrichment) 수행하고 코릴레이션(correlation) 분석을 수행함으로써 자율협력주행 도로인프라의 보안위협을 탐지할 수 있다.2, the threat detection system of the present invention receives the traffic routed by the autonomous cooperative driving related system (specifically, the autonomous cooperative driving C-ITS application and the integrated security authentication system), and enriches the received data. By performing enrichment and correlation analysis, it is possible to detect security threats of autonomous and cooperative driving road infrastructure.
데이터 모델은 자율협력주행 도로인프라 보안 위협의 종류별로, 즉 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 및 접근제어 위협(이하, 인증 위협) 각각에 대한 모델로 구성되고, 이벤트 코릴레이션(correlation)에 필요한 자율협력주행 도로인프라 자산정보, 유지보수 작업정보 및 글로벌 위협정보 모델로 구성될 수 있다.The data model consists of a model for each type of autonomous cooperative driving road infrastructure security threat, i.e., integrity threat, confidentiality threat, availability threat, and authentication and access control threat (hereinafter, authentication threat). It can consist of necessary autonomous cooperative driving road infrastructure asset information, maintenance work information, and global threat information model.
데이터 인리치먼트는 자율협력주행 C-ITS 어플리케이션 및 통합보안인증시스템에서 라우팅한 트래픽을 수신하고, 수신한 정보를 파싱하고 자유협력주행 도로인프라 컨텍스트(context) 정보를 추가하는 태깅, 위협탐지 코릴레이션(correlation)에 불필요한 노이즈 데이터 제거, 데이터 변환 및 주기적인 통계 데이터를 생성하고, 탐지 성능 및 자원 사용 최적화를 위하여 주기적으로 과거 데이터를 이관하는 기능으로 구성될 수 있다.Data enrichment receives traffic routed by the autonomous cooperative driving C-ITS application and integrated security authentication system, parses the received information, and adds tagging and threat detection correlation information to the free cooperative driving road infrastructure context It may consist of functions of removing unnecessary noise data for correlation, data conversion, and periodic statistical data generation, and periodically migrating past data to optimize detection performance and resource use.
위협탐지 코릴레이션은 자율협력주행 도로인프라 보안 위협의 종류별로, 즉 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 위협을 탐지하는 룰(rule) 기반 탐지 정책과 이를 처리하는 상관분석엔진으로 구성될 수 있다.Threat detection correlation can be composed of a rule-based detection policy that detects each type of autonomous cooperative driving road infrastructure security threat, that is, an integrity threat, confidentiality threat, availability threat, and authentication threat, and a correlation analysis engine that processes them. .
모니터링은 상관분석엔진에서 탐지한 보안 위협을 모니터링하고 분석하는 이벤트 모니터링, 탐지 정책을 등록, 변경, 삭제하는 탐지 정책 설정, 위협탐지시스템의 장애, 성능 및 용량을 관리하는 모니터링 기능으로 구성될 수 있다.Monitoring can consist of event monitoring to monitor and analyze security threats detected by the correlation analysis engine, detection policy settings to register, change, and delete detection policies, and monitoring functions to manage failure, performance and capacity of the threat detection system. .
여기서, 본 발명의 위협탐지시스템은 통신망을 통해서 자율협력주행 관련 시스템으로부터 각종 데이터를 수신할 수 있다.Here, the threat detection system of the present invention may receive various data from the autonomous cooperative driving-related system through a communication network.
여기서, 자율협력주행 관련 시스템은, 자율주행 서비스를 운영하기 위한 중앙 시스템, 노변 네트워크에 근접한 현장 시스템 및 도로 상에서 운행 중인 차량과 관련한 차량 시스템을 포함할 수 있다.Here, the autonomous cooperative driving-related system may include a central system for operating an autonomous driving service, a field system close to a roadside network, and a vehicle system related to a vehicle running on a road.
여기서, 통신망은 다양한 형태의 통신망이 이용될 수 있으며, 예컨대, WLAN(Wireless LAN), 와이파이(Wi-Fi), 와이브로(Wibro), 와이맥스(Wimax), HSDPA(High Speed Downlink Packet Access) 등의 무선 통신방식 또는 이더넷(Ethernet), xDSL(ADSL, VDSL), HFC(Hybrid Fiber Coax), FTTC(Fiber to The Curb), FTTH(Fiber To The Home) 등의 유선 통신방식이 이용될 수 있다.Here, as the communication network, various types of communication networks may be used, for example, wireless LAN (Wireless LAN), Wi-Fi, Wibro, Wimax, High Speed Downlink Packet Access (HSDPA), etc. A communication method or a wired communication method such as Ethernet, xDSL (ADSL, VDSL), HFC (Hybrid Fiber Coax), FTTC (Fiber to The Curb), FTTH (Fiber To The Home) may be used.
한편, 통신망은 상기에 제시된 통신방식에 한정되는 것은 아니며, 상술한 통신방식 이외에도 기타 널리 공지되었거나 향후 개발될 모든 형태의 통신 방식을 포함할 수 있다.Meanwhile, the communication network is not limited to the communication method presented above, and may include all types of communication methods that are well known or to be developed in the future in addition to the above communication methods.
이하에서는 도 3 및 도 4를 참조하여, 위협탐지시스템의 서버가 자율협력주행 도로인프라의 위협을 탐지하는 방법을 설명하도록 한다. Hereinafter, a method in which the server of the threat detection system detects a threat of autonomous cooperative driving road infrastructure will be described with reference to FIGS. 3 and 4 .
도 3을 참조하면, 서버는 자율협력주행 관련 시스템으로부터 수집된 자율협력주행 관련 데이터를 인리치먼트(enrichment)할 수 있다(S110).Referring to FIG. 3 , the server may enrich autonomous cooperative driving-related data collected from the autonomous cooperative driving-related system ( S110 ).
단계 S110에서, 서버는 상기 수집된 자율협력주행 관련 데이터를 기반으로 데이터 모델을 생성하고, 상기 생성된 데이터 모델의 데이터 소스 별로 파싱하여 메타 데이터를 생성할 수 있다.In step S110, the server may generate a data model based on the collected autonomous cooperative driving-related data, and parse the generated data model for each data source to generate metadata.
여기서, 데이터 모델은 로컬 데이터 모델 및 글로벌 데이터 모델을 포함할 수 있다.Here, the data model may include a local data model and a global data model.
구체적으로, 도 2에 도시된 바와 같이, 상기 로컬 데이터 모델은, 무결성 모델, 기밀성 모델, 가용성 모델, 작업 정보, 통계 정보 및 차량 정보를 포함하고, 상기 글로벌 데이터 모델은 인증 정보, 위협 정보 및 자산 정보를 포함할 수 있다.Specifically, as shown in FIG. 2 , the local data model includes an integrity model, confidentiality model, availability model, operation information, statistical information and vehicle information, and the global data model includes authentication information, threat information and assets may contain information.
상기와 같이 자율협력주행 관련 데이터는 각각 적절한 데이터 모델로 분류되어 이후 위협 탐지를 위한 데이터 소스로 사용될 수 있다.As described above, each of the autonomous cooperative driving-related data is classified into an appropriate data model and can be used as a data source for subsequent threat detection.
여기서, 각각의 위협은 서로 다른 종류의 공격 유형을 포함할 수 있다. Here, each threat may include different types of attack types.
먼저, 무결성 위협은, 잘못된 메시지 주입 공격(false messages inject attack), 재전송 공격(replay attack), 비정상 접근 시도 및 이상 노드를 포함할 수 있다.First, the integrity threat may include a false messages inject attack, a replay attack, an abnormal access attempt, and an abnormal node.
이러한 무결성 위협의 공격 유형을 탐지하기 위해선 상기 무결성 모델에 포함된 데이터들을 데이터 소스로 사용할 수 있다. 무결성 모델의 데이터 소스는, 위치기반 교통정보, 도로 위험구간 정보, 도로 작업구간 정보, 차량 긴급상황 경고 정보, 노면상태 정보, 기상 정보, vcpe 로그 및 도로 방화벽 로그를 포함할 수 있다. 무결성 모델의 데이터 소스는 공격 유형에 따라 상이할 수 있다.In order to detect an attack type of such an integrity threat, data included in the integrity model may be used as a data source. The data source of the integrity model may include location-based traffic information, road danger section information, road work section information, vehicle emergency warning information, road surface condition information, weather information, vcpe log, and road firewall log. The data source of the integrity model may be different depending on the attack type.
- C-ITS 도로인프라 MSG 무결성 위협- C-ITS road infrastructure MSG integrity threat
- 도로 작업구간 정보
- 차량긴급상황 경고 정보
- 노면상태 기상 정보- Location-based traffic information- Road danger section information
- Road work section information
- Vehicle emergency warning information
- Road surface condition weather information
- C-ITS 도로인프라 Device 무결성 위협- C-ITS road infrastructure device integrity threat
상기의 표 1 및 표 2에 도시된 바와 같이, 잘못된 메시지 주입 공격, 비정상 접근 시도, 블랙홀 공격, 미등록 이상 노드 각각의 공격 유형에 대해 각각 상이한 데이터 소스가 사용될 수 있다. 다음으로, 기밀성 위협은, 프라이버시 정보 유출, V2X 인증서 데이터 유출, 시스템 구성정보 정찰 및 도로인프라 비인가 접근을 포함할 수 있다.As shown in Tables 1 and 2 above, different data sources may be used for each attack type of an erroneous message injection attack, an abnormal access attempt, a black hole attack, and an unregistered abnormal node. Next, confidentiality threats may include privacy information leakage, V2X certificate data leakage, system configuration information reconnaissance, and unauthorized access to road infrastructure.
이러한 기밀성 위협의 공격 유형을 탐지하기 위해선 상기 기밀성 모델에 포함된 데이터들을 데이터 소스로 사용할 수 있다. 기밀성 모델의 데이터 소스는, c-its 데이터베이스 접근기록, 운영관리 웹로그, 데이터 접근 정보, OS 로그, 방화벽 로그, vcpe 로그 및 도로인프라 개폐기기 정보를 포함할 수 있다. 기밀성 모델의 데이터 소스는 공격 유형에 따라 상이할 수 있다.In order to detect an attack type of such a confidentiality threat, data included in the confidentiality model may be used as a data source. The data source of the confidentiality model may include c-its database access record, operation management web log, data access information, OS log, firewall log, vcpe log, and road infrastructure switchgear information. The data source of the confidentiality model may be different depending on the attack type.
- 중앙시스템 기밀성- Central system confidentiality
- 프라이버시 정보 유출- Data breach
- Privacy information leak
- 도로시스템 기밀성- Road system confidentiality
상기의 표 3 및 표 4에 도시된 바와 같이, 프라이버시 정보 유출, 인증서 데이터 유출, 구성 정보 유출, 비인가 물리적 접근 각각의 공격 유형에 대해 각각 상이한 데이터 소스가 사용될 수 있다. 다음으로, 가용성 위협은, c-its 메시지 홍수 공격(c-its msg flooding attack), 서버 가용성, 블랙홀 공격(blackhole attack), 전원장애 및 플러딩(flooding)을 포함할 수 있다.As shown in Tables 3 and 4 above, different data sources may be used for each attack type of privacy information leakage, certificate data leakage, configuration information leakage, and unauthorized physical access. Next, availability threats may include c-its msg flooding attack, server availability, blackhole attack, power failure and flooding.
이러한 가용성 위협의 공격 유형을 탐지하기 위해선 상기 가용성 모델에 포함된 데이터들을 데이터 소스로 사용할 수 있다. 가용성 모델의 데이터 소스는, c-its 트래픽 정보, 스마트 플러그 및 sdn 로그를 포함할 수 있다. 가용성 모델의 데이터 소스는 공격 유형에 따라 상이할 수 있다.In order to detect the attack type of the availability threat, data included in the availability model may be used as a data source. Data sources of the availability model may include c-its traffic information, smart plugs and sdn logs. The data source of the availability model may be different depending on the attack type.
- 중앙시스템 DDOS Attack- Central System DDOS Attack
- 도로시스템 Device Failure- Road system Device Failure
상기의 표 5 및 표 6에 도시된 바와 같이, C-ITS msg 플러딩 공격, 전원장애(power failure), 통신장애, 트래픽 플러딩 각각의 공격 유형에 대해 각각 상이한 데이터 소스가 사용될 수 있다. 다음으로, 인증 위협은, 인증서 복제 공격(certificate replication attack), 시빌 공격(Sybil attack), 위장 공격(masquerading attack), 익명인증서 부정사용 및 비정상 시스템 접근을 포함할 수 있다.As shown in Tables 5 and 6 above, different data sources may be used for each attack type of the C-ITS msg flooding attack, power failure, communication failure, and traffic flooding. Next, the authentication threat may include a certificate replication attack, a Sybil attack, a masquerading attack, an illegal use of an anonymous certificate, and an abnormal system access.
이러한 인증 위협의 공격 유형을 탐지하기 위해선 상기 인증 모델에 포함된 데이터들을 데이터 소스로 사용할 수 있다. 인증 모델의 데이터 소스는, C/A, R/A 인증 감사 로그를 포함할 수 있다. In order to detect an attack type of such an authentication threat, data included in the authentication model may be used as a data source. The data source of the authentication model may include C/A and R/A authentication audit logs.
- Device 인증 무결성- Device authentication integrity
- brute force attack(비정상 로그인 시도)- certificate replication attack - Sybil attack
- brute force attack
공격 유형 이외에도, 서버는 자산 유형에 따라 상이한 데이터 소스를 활용할 수 있다. 구체적으로, 차량 위치 데이터 모델의 경우, 자율주행차량, 속도 변화량, 위치 변화량 메시지 발생 건수 등을 포함하는 자산 유형에 따라 상이한 데이터 소스를 활용할 수 있다. 또한, 자산 데이터 모델의 경우, HW 자산정보, SW 자산정보, C-ITS 어플리케이션 정보, 네트워크 프로토콜 정보, 인증서 블랙리스트, IP 블랙리스트 등을 포함하는 자산 유형에 따라 상이한 데이터 소스를 활용할 수 있다. 또한, 작업정보 데이터 모델의 경우, 작업정보에 따라 상이한 데이터 소스를 활용할 수 있다.In addition to the attack type, the server can utilize different data sources depending on the asset type. Specifically, in the case of the vehicle location data model, different data sources may be utilized depending on the asset type including the autonomous vehicle, the amount of speed change, the number of occurrences of the location change amount message, and the like. In addition, in the case of the asset data model, different data sources may be utilized depending on the asset type, including HW asset information, SW asset information, C-ITS application information, network protocol information, certificate blacklist, IP blacklist, and the like. In addition, in the case of the work information data model, different data sources may be utilized according to the work information.
또한, 단계 S110에서, 서버는 상기 수집된 자율협력주행 관련 데이터에 대해 변환 및 정제, 태깅(tagging), 통계 데이터 생성 및 이관 중 적어도 하나를 수행(전처리)하여, 상기 데이터 소스 별로 위협탐지를 위한 메타 데이터를 생성할 수 있다.In addition, in step S110, the server performs (pre-processing) at least one of transformation and refinement, tagging, generation and transfer of statistical data on the collected autonomous cooperative driving-related data, to detect threats for each data source. You can create metadata.
상기 변환 및 정제는 c-its message(v2x message) 및 log 기반 수집데이터를 대상으로 할 수 있다. 상기 변환 및 정제는 데이터에서 특징점을 필드로 추출하기 위한 구분자를 정의하고, 정규식 데이터를 정제하고, 사용자 정의 필드 값을 추가하고, 필드 데이터를 복제 및 삭제하고, 필드 값을 매핑하고, 데이터 타입을 변경할 수 있다.The transformation and refinement may target c-its message (v2x message) and log-based collected data. The transformation and refinement defines delimiters for extracting feature points from data as fields, refines regular expression data, adds user-defined field values, duplicates and deletes field data, maps field values, and sets data types can be changed
실시예에 따라, 데이터 식별키 생성, IP 숫자값 추가, 자산 여부 등 데이터 필드를 추가할 수도 있고, 데이터 필드 변환, 코드북 또는 사전 데이터로 변환, 및 필드에서 특정 값을 추출하여 변환할 수도 있다.Depending on the embodiment, data fields such as data identification key generation, IP numeric value addition, asset status, etc. may be added, data field conversion, codebook or dictionary data conversion, and a specific value extracted from the field may be converted.
상기 태깅은 외부 위협정보 시스템에서 수집한 신규취약점, 신규위협정보를 오픈 API를 통해서 연계할 수 있다.The tagging can link new vulnerabilities and new threat information collected from an external threat information system through an open API.
실시예에 따라, 자율협력주행 도로인프라에서 운영 중인 자산 정보, 작업정보 데이터베이스를 연계하여 자산데이터 모델 및 작업정보데이터 모델을 생성할 수 있다.According to an embodiment, an asset data model and a work information data model may be generated by linking the asset information and work information database operated in the autonomous cooperative driving road infrastructure.
상기 통계 데이터 생성은 기 설정된 룰에 따라 C-ITS 트래픽(traffic) 통계 정보, C-ITS 데이터베이스 접근기록 통계 정보, 인증서 데이터베이스 접근기록 통계 정보를 생성할 수 있다. The statistical data generation may generate C-ITS traffic statistical information, C-ITS database access record statistical information, and certificate database access record statistical information according to a preset rule.
여기서, 상기 C-ITS 트래픽(traffic) 통계 정보는 통신 패킷(packet) 수, PPS(packet/sec), 통신 바이트 값, BPS(bytes/sec), MSG 건수, MSG 발생 시간 등을 포함할 수 있다.Here, the C-ITS traffic statistical information may include the number of communication packets, PPS (packet/sec), communication byte value, BPS (bytes/sec), number of MSG cases, MSG occurrence time, etc. .
상기 C-ITS 데이터베이스 접근기록 통계 정보는 반복적인 쿼리(query) 정보, 접근기간, 쿼리 결과 건수, 데이터 전송과 관련한 시간, 건수, 전송량(bytes) 및 패킷량(packets) 등을 포함할 수 있다.The C-ITS database access record statistical information may include repetitive query information, access period, number of query results, time related to data transmission, number of cases, transmission amount (bytes), packet amount (packets), and the like.
상기 인증서 데이터베이스 접근기록 통계 정보는 접근기록 통계 정보는 반복적인 쿼리(query) 정보, 접근기간, 쿼리 결과 건수, 데이터 전송과 관련한 시간, 건수, 전송량(bytes) 및 패킷량(packets) 등을 포함할 수 있다.The access record statistical information of the certificate database may include repetitive query information, access period, number of query results, time related to data transmission, number of cases, transmission amount (bytes) and packet amount (packets), etc. can
상기 이관은 주기적으로 과거 데이터를 이관하기 위해 이관 범위, 조건, 방식 및 이관작업일시 등을 포함하는 이관 정책을 설정하고, 이를 주기적으로 수행할 수 있다. 이로써, 탐지 성능 및 자원 사용의 최적화가 가능하다.In the transfer, a transfer policy including a transfer range, conditions, method, and date and time of transfer operation may be set to periodically transfer past data, and this may be performed periodically. Thereby, optimization of detection performance and resource usage is possible.
이하에서는 상기 S110에서 인리치먼트 수행을 통해 생성된 데이터 소스 별 메타 데이터를 표를 통해 설명한다.Hereinafter, metadata for each data source generated by performing the enrichment in S110 will be described through tables.
- C-ITS 도로인프라 MSG 무결성- C-ITS road infrastructure MSG integrity
- 도로 작업구간 정보
- 차량긴급상황 경고 정보
- 노면상태 기상 정보- Location-based traffic information- Road danger section information
- Road work section information
- Vehicle emergency warning information
- Road surface condition weather information
- MSG ID
- MSG 발생시간
- 발생 위치정보
- MSG contents- RSU ID
- MSG ID
- MSG generation time
- Occurrence location information
- MSG contents
- C-ITS 도로인프라 Device 무결성- C-ITS road infrastructure device integrity
- 방화벽 허용/거부 정보(유해접속설정)- node ID (vcpe) - road firewall logs and events
- Firewall allow/reject information (malicious access settings)
- 노드별 주기별 데이터 발생 건수 통계- node ID
- Statistics on the number of data occurrences per cycle by node
- 자산정보에 등록 여부- node ID
- Whether to register in asset information
- 중앙시스템 기밀성- Central system confidentiality
- 프라이버시 정보 유출- Data breach
- Privacy information leak
- D-Device정보(ip, 객체유형, 프로토콜, 측위)
- 반복적인 query 정보, 시간, query, query결과 건수
-데이터 전송: 시간, 건수, 전송량(bytes), 패킷량(packets)- S-Device information (ip, object type, protocol, location)
- D-Device information (ip, object type, protocol, location)
- Repeated query information, time, query, number of query results
-Data transmission: time, number of cases, transmission amount (bytes), packet amount (packets)
- s-ip, d-port
- http_status
-url, query, method, referrer, user agent- origin ip, name
- s-ip, d-port
- http_status
-url, query, method, referrer, user agent
- 인증시스템 query 정보(시간, query, query결과 건수)
- 인증서 데이터 전송(시간, 전송량, 패킷량)- Authentication system login information (departure information, login ID, time)
- Authentication system query information (time, query, number of query results)
- Certificate data transmission (time, transmission amount, packet amount)
-내부망 방화벽 스캔로그
-탐지정책 명
- 프로토콜 명- Date of detection
-Internal network firewall scan log
-Detection policy name
- Protocol name
- 도로시스템 기밀성- Road system confidentiality
- 발생일시,
- 모듈 이름
- action type(ex, deny)
- action 정책명
- 프로토콜 명- Road sensor ID- serial NO.
- Date of occurrence,
- module name
- action type (ex, deny)
- action policy name
- Protocol name
- 도로시스템 개폐기 close 일시- Asset ID- Road system opening date and time
- Road system switch close date and time
- 중앙시스템 DDOS Attack- Central System DDOS Attack
- 통신 패킷 수, PPS(packets/sec)
- 통신 바이트 값, BPS(bytes/sec)
- MSG 건수
- MSG 발생시간- node ID (source) - c-its MSG ID
- Number of communication packets, PPS (packets/sec)
- Communication byte value, BPS (bytes/sec)
- Number of MSG cases
- MSG generation time
- 도로시스템 Device Failure- Road system Device Failure
- 상태정보 주기적 모니터링(스크립트 방식- Road sensor ID- power on/off information, flag
- Periodic monitoring of status information (script method)
- Device 인증 무결성- Device authentication integrity
- brute force attack(비정상 로그인 시도)- certificate replication attack - Sybil attack
- brute force attack
- 인증서 device 유형
- 인증서 유형(실명, 익명)
- 인증서 유효기간
- 인증서 요청행위 유형(발급, 폐기, 사용요청, 사용종료)
- 인증서 사용정보(요청일시, 요청 시 측위)
- 인증서 사용 요청 결과(성공/실패, 사용)
- 인증서 DN 정보- Certificate ID, serial number
- Certificate device type
- Certificate type (real name, anonymous)
- Certificate validity period
- Type of certificate request action (issuance, revocation, request for use, termination of use)
- Certificate usage information (request date, location upon request)
- Result of certificate use request (success/failure, use)
- Certificate DN information
다음으로, 서버는 기 설정된 위협 유형별 탐지 정책에 기초하여, 상기 인리치먼트된 데이터를 상관분석할 수 있다(S120). 다음으로, 서버는 상기 상관분석된 결과에 기초하여, 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 위협 중 적어도 하나를 탐지할 수 있다(S130).Next, the server may correlate the enriched data based on a preset detection policy for each threat type ( S120 ). Next, the server may detect at least one of an integrity threat, a confidentiality threat, an availability threat, and an authentication threat, based on the result of the correlation analysis ( S130 ).
상기 단계 S110에서 인리치먼트를 통해 생성된 메타데이터를 상관분석(코릴레이션(correlation) 분석)하여 무결성 위협, 기밀성 위협, 가용성 위협 또는 인증 위협을 탐지할 수 있다.In step S110, by performing correlation analysis (correlation analysis) of the metadata generated through the enrichment, an integrity threat, a confidentiality threat, an availability threat, or an authentication threat may be detected.
도 4에 도시된 바와 같이, 상관분석은 검색기반 글로벌 상관분석(global correlation) 및 인-메모리(in-memory) 기반 로컬 상관분석(local correlation)을 통해 수행될 수 있다. As shown in FIG. 4 , the correlation analysis may be performed through a search-based global correlation analysis and an in-memory-based local correlation analysis.
구체적으로, 도 2를 참조하면, 단계 S120에서, 서버는 기 설정된 무결성 위협탐지 관련 정책, 기밀성 위협탐지 관련 정책 및 가용성 위협탐지 관련 정책 중 적어도 하나에 기초하여, 상기 데이터 소스 별로 생성된 메타 데이터에 대해 인-메모리(in-memory) 기반 로컬 상관분석을 수행할 수 있다. Specifically, referring to FIG. 2 , in step S120, the server stores metadata generated for each data source based on at least one of a preset integrity threat detection-related policy, confidentiality threat detection-related policy, and availability threat detection-related policy. It is possible to perform in-memory-based local correlation analysis.
서버는 기 설정된 인증 위협탐지 관련 정책, 이벤트공격 심각도 분석 관련 정책 및 내부자 이상행위탐지 관련 정책 중 적어도 하나에 기초하여, 상기 데이터 소스 별로 생성된 메타 데이터에 대해 검색 기반 글로벌 상관분석을 수행할 수 있다.The server may perform a search-based global correlation analysis on the metadata generated for each data source based on at least one of a preset authentication threat detection-related policy, an event attack severity analysis-related policy, and an insider anomaly detection-related policy. .
여기서, 자율주행 도로인프라는 센터시스템, 현장시스템, OFFICE 등 폐쇄된 환경에서 인증된 시스템, 사용자, 디바이스만이 연결된 환경으로 일반 불특정 사용자를 위한 시스템과는 달리 서비스, 시스템 유형, 통신 프로토콜 등 IT환경 구성요소 복잡성은 적어 수신된 모든 메시지에 대해 기본적인 타당성 및 일관성 검사 적용을 통하여 이상행위 탐지가 가능하며 고속으로 이동하는 차량을 보호하기 위하여 신속한 탐지가 필수적이다. 본 발명은 인-메모리(in-memory) 기반 로컬 상관분석을 통해, 수신된 모든 메시지에 대해 기본적인 타당성 및 일관성 검사를 빠르게 계산하고 규칙에 위반되는 이상행위를 효율적으로 탐지할 수 있다.Here, autonomous driving road infrastructure is an environment in which only authenticated systems, users, and devices are connected in a closed environment such as center system, field system, and office system. Unlike systems for general unspecified users, IT environment such as service, system type, communication protocol Since the component complexity is small, it is possible to detect anomalies through the application of basic validity and consistency checks to all received messages, and rapid detection is essential to protect vehicles moving at high speed. The present invention can quickly calculate basic validity and consistency checks for all received messages through in-memory-based local correlation analysis and efficiently detect anomalies that violate rules.
또한, 지능화되고 고도화된 사이버 공격을 탐지하기 위해서는 어떤 특정한 도메인에서 일반적으로 예상되는 특성을 따르지 않는 데이터나, 정상(normal)으로 규정된 데이터와 다른 특징을 가지는 데이터를 찾아내는 것이 필요하다. 본 발명은 검색 기반 글로벌 상관분석을 통해 정해진 규칙을 따르지 않고 다양한 방식의 탐지가 필요한 경우를 대비할 수 있다.In addition, in order to detect an intelligent and advanced cyber attack, it is necessary to find data that does not follow the characteristics generally expected in a specific domain or data that has characteristics different from those defined as normal. The present invention can prepare for cases in which detection of various methods is required without following a set rule through search-based global correlation analysis.
서버는 메타 데이터에 대해 각 위협 별 공격 유형에 대해 기 설정된 탐지 정책에 기반하여 인-메모리(in-memory) 기반 로컬 상관분석 및 검색 기반 글로벌 상관분석을 수행함으로써 각 위협을 탐지할 수 있다.The server can detect each threat by performing in-memory-based local correlation analysis and search-based global correlation analysis on metadata based on a detection policy preset for each attack type for each threat.
먼저, 인-메모리(in-memory) 기반 로컬 상관분석에 대해 설명하도록 한다.First, an in-memory-based local correlation analysis will be described.
설명에 앞서, 본 발명에서는 c-its 서비스 무결성 위협탐지를 수행하기 위해서, 타당성 원칙, 일관성 원칙, 변화량 원칙을 사용하여 인-메모리(in-memory) 기반 로컬 상관분석을 위한 규칙이 설정될 수 있다.Prior to the description, in the present invention, in order to perform c-its service integrity threat detection, rules for in-memory-based local correlation analysis can be established using the validity principle, the consistency principle, and the variance principle. .
먼저, 타당성 원칙은, 타당성 유형, 범위 타당성, 위치 타당성, 속도 타당성을 포함할 수 있다. 타당성 유형은 범위 타당성, 위치 타당성, 속도 타당성, 이동 타당성을 포함할 수 있다. 범위 타당성은 송신 ITS Station 위치는 최대 무선 수신 범위 내에 있어야 함을 원칙으로 할 수 있다. 위치 타당성은 송신 ITS Station의 위치는 논리적으로 합당한 위치에 있어야 함을 원칙으로 할 수 있다. 예를 들면, 도로 위, 물리적 장애물이 겹치지 않음 등을 의미할 수 있다. 속도 타당성은 보내는 ITS Station이 알리는 속도는 사전 정의된 임계 값 미만이어야 함을 원칙으로 할 수 있다.First, the feasibility principle may include feasibility type, range plausibility, location plausibility, and velocity plausibility. Feasibility types may include range validity, location validity, velocity validity, and movement validity. Range validity can be based on the principle that the location of the transmitting ITS station should be within the maximum wireless reception range. Location validity can be based on the principle that the location of the transmitting ITS station should be in a logically reasonable location. For example, it may mean that physical obstacles do not overlap on a road. The rate validity can be in principle that the rate advertised by the sending ITS station must be less than a predefined threshold.
다음으로, 일관성 원칙 및 변화량 원칙은, 여러 참가자의 패킷 간의 관계를 사용하여 새로 수신된 데이터의 신뢰성을 결정함을 원칙으로 할 수 있다(예를 들어, 이전에 계산된 고속도로의 차량 평균 속도에서 벗어난 메시지). 또한, 동일한 ITS에서 오는 두 개의 연속 비콘은 유사한 분리 거리를 가지고 있음을 원칙으로 할 수 있다(위치 일관성). 또한, 동일한 ITS에서 오는 두 개의 연속 비콘은 유사한 가속 또는 감속을 가져야함을 원칙으로 할 수 있다(속도 일관성). 또한, 동일한 ITS에서 오는 두 개의 연속 비콘은 일정한 속도와 분리 거리를 가져야 함을 원칙으로 할 수 있다(위치 속도 일관성).Next, the consistency principle and the variance principle may in principle use relationships between packets from different participants to determine the reliability of newly received data (e.g., deviations from previously calculated average vehicle speeds on highways). message). Also, it can be in principle that two consecutive beacons coming from the same ITS have similar separation distances (positional coherence). Also, it can be in principle that two consecutive beacons coming from the same ITS should have similar accelerations or decelerations (speed consistency). In addition, two consecutive beacons from the same ITS should have a constant velocity and separation distance in principle (position velocity consistency).
먼저, 상술한 바와 같이, 상기 무결성 위협은, 잘못된 메시지 주입 공격(false messages inject attack), 비정상 접근 시도 및 이상 노드를 포함할 수 있다.First, as described above, the integrity threat may include a false messages inject attack, an abnormal access attempt, and an abnormal node.
이때, 잘못된 메시지 주입 공격에 대해서는 false 기상정보 탐지 정책, false 차량상태 탐지 정책, false congestion 정보 탐지 정책, false broadcasting 정보 탐지 정책과 같은 무결성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for an erroneous message injection attack, integrity threat detection-related policies such as false weather information detection policy, false vehicle status detection policy, false congestion information detection policy, and false broadcasting information detection policy may be preset.
실시예에 따라, false 기상정보 탐지 정책은 기상정보의 단시간 내 급격한 변화 여부, 동일 RSU에서 차량 노드가 수신한 기상 정보 간 내용의 비교, 인접(전방 및 후방) RSU에서 차량 노드가 수신한 기상 정보 간 내용의 비교를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 잘못된 기상정보를 탐지할 수 있고, 이에 따라 서비스 무결성 위협을 탐지할 수 있다.According to the embodiment, the false weather information detection policy is based on whether the weather information changes rapidly within a short time, comparison of the contents between the weather information received by the vehicle node in the same RSU, and the weather information received by the vehicle node from the adjacent (front and rear) RSUs. Comparisons of the contents may be included. The server may detect erroneous weather information according to this detection policy, and thus may detect a service integrity threat.
실시예에 따라, false 차량상태 탐지 정책은 동일 RSU 내 여러 차량 정보의 유사 여부, 인접(전방 및 후방) RSU에서 차량 노드가 발신한 차량 정보의 유사 여부(일정시간 동안의 속도 및 RPM의 유사 여부), 차량에서 RSU로 발신하는 msg 유형이 차량데이터 유형인지의 여부를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 잘못된 차량상태를 탐지할 수 있고, 이에 따라 서비스 무결성 위협을 탐지할 수 있다.According to the embodiment, the false vehicle state detection policy determines whether multiple vehicle information within the same RSU is similar, whether vehicle information transmitted by vehicle nodes from adjacent (front and rear) RSUs is similar (speed and RPM for a certain period of time) ), whether the msg type transmitted from the vehicle to the RSU is a vehicle data type. The server may detect an incorrect vehicle state according to this detection policy, and thus may detect a service integrity threat.
실시예에 따라, false congestion 정보 탐지 정책은 동일 RSU에서 발생한 차량 노드(node) 댓수 계산, 차량 노드 간 간격 및 속도 정보를 통한 혼잡도 계산, 계산된 혼잡도가 기준에 부합하는지의 여부를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 잘못된 혼잡(congestion) 정보를 탐지할 수 있고, 이에 따라 서비스 무결성 위협을 탐지할 수 있다.According to the embodiment, the false congestion information detection policy may include calculating the number of vehicle nodes occurring in the same RSU, calculating the congestion level using the interval and speed information between vehicle nodes, and whether the calculated congestion level meets the criteria. . The server may detect erroneous congestion information according to such a detection policy, and thus may detect a service integrity threat.
실시예에 따라, false broadcasting 정보 탐지 정책은 위험구간알림, 신호알림, 돌발상황감지, 기상정보, 교통통제, 노면작업구간정보 등과 같은 이벤트성 알림정보, RSU에서 차량으로 브로드캐스팅(broadcasting)한 정보와 센터로 브로드캐스팅한 정보의 연관 분석을 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 잘못된 브로드캐스팅 정보를 탐지할 수 있고, 이에 따라 서비스 무결성 위협을 탐지할 수 있다.According to the embodiment, the false broadcasting information detection policy includes event notification information such as danger section notification, signal notification, emergency detection, weather information, traffic control, road surface work section information, and information broadcast by vehicle from RSU. and correlation analysis of information broadcast to the center. The server may detect erroneous broadcasting information according to this detection policy, and thus may detect a service integrity threat.
이때, 비정상 접근 시도 공격에 대해서는 네트워크 접근 탐지 정책, 서비스 접근 탐지 정책, 비정상 접근 행위 탐지 정책과 같은 무결성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for the abnormal access attempt attack, integrity threat detection-related policies such as a network access detection policy, a service access detection policy, and an abnormal access behavior detection policy may be preset.
실시예에 따라, 네트워크 접근 탐지 정책, 서비스 접근 탐지 정책은 내부망 네트워크 로그, 내부망 로그 및 이벤트(방화벽, IDS/IPS), 취약한 어플리케이션 스캔(Application SCAN) 시도(CVE 기준) 및 불필요한 서비스 포트 스캔(Port SCAN) 시도를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 네트워크 및 서비스에 대한 비정상 접근을 탐지할 수 있고, 이에 따라 서비스 무결성 위협을 탐지할 수 있다.According to the embodiment, the network access detection policy and service access detection policy include internal network network logs, internal network logs and events (firewall, IDS/IPS), vulnerable application scan (Application SCAN) attempts (based on CVE), and unnecessary service port scans. (Port SCAN) attempt. The server may detect abnormal access to networks and services according to this detection policy, and thus may detect service integrity threats.
실시예에 따라, 비정상 접근 행위 탐지 정책은 방화벽 허용/거부(유해접속설정) 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 비정상 접근 행위를 탐지할 수 있고, 이에 따라 도로시스템 무결성 위협을 탐지할 수 있다.According to an embodiment, the abnormal access behavior detection policy may include firewall permission/denial (malicious access setting) detection. The server may detect an abnormal approach behavior according to such a detection policy, and thus may detect a road system integrity threat.
이때, 이상 노드에 대해서는 비활동 이상노드 탐지 정책, 신규/미등록 노드 탐지 정책과 같은 무결성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for the abnormal node, integrity threat detection related policies such as an inactive abnormal node detection policy and a new/unregistered node detection policy may be preset.
실시예에 따라, 비활동 이상노드 탐지 정책은 일정기간 동안 C-ITS MSG가 임계치 이하로 발생, 일정기간 동안 VCPE가 임계치 이하로 발생, C-ITS와 VCPE 로그 상관 분석을 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 비활동 이상 노드를 탐지할 수 있고, 이에 따라 도로시스템 무결성 위협을 탐지할 수 있다.According to an embodiment, the inactive anomaly node detection policy may include C-ITS MSG occurrence below a threshold value for a certain period of time, VCPE occurrence below a threshold value for a certain period of time, and C-ITS and VCPE log correlation analysis. The server can detect an inactive abnormal node according to this detection policy, and thus can detect a road system integrity threat.
실시예에 따라, 신규/미등록 노드 탐지 정책은 과거 일정기간 동안 발생하지 않은 C-ITS, 과거 일정기간 동안 발생하지 않은 VCPE 로그, C-ITS와 VCPE 로그 상관 분석을 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 신규/미등록 노드를 탐지할 수 있고, 이에 따라 도로시스템 무결성 위협을 탐지할 수 있다.According to an embodiment, the new/unregistered node detection policy may include C-ITS that has not occurred for a predetermined period in the past, a VCPE log that has not occurred for a predetermined period of the past, and correlation analysis between C-ITS and VCPE logs. The server can detect new/unregistered nodes according to this detection policy, and thus can detect road system integrity threats.
다음으로, 상술한 바와 같이, 상기 기밀성 위협은, 데이터 유출, 프라이버시 정보 유출, V2X 인증서 데이터 유출, 시스템 구성정보 정찰 및 도로인프라 비인가 접근을 포함할 수 있다.Next, as described above, the confidentiality threat may include data leakage, privacy information leakage, V2X certificate data leakage, system configuration information reconnaissance, and unauthorized access to road infrastructure.
이때, 데이터 유출, 프라이버시 정보 유출에 대해서는 c-its 정보 비정상 접근 탐지 정책, 차량 위치 정보 추적 탐지 정책과 같은 기밀성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for data leakage and privacy information leakage, confidentiality threat detection-related policies such as c-its information abnormal access detection policy and vehicle location information tracking detection policy may be preset.
실시예에 따라, c-its 정보 비정상 접근 탐지 정책은 접근허용이 안된 IP에서 C-ITS DB 관리자 페이지에 접근 시도 탐지, 임계치 초과 반복적인 쿼리 정보 탐지, 업무 외 시간에 다수의 C-ITS DB 접근 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 C-ITS정보 비정상 접근을 탐지할 수 있고, 이에 따라 서비스 기밀성 위협을 탐지할 수 있다.According to the embodiment, the c-its information abnormal access detection policy detects an attempt to access the C-ITS DB administrator page from an IP that is not allowed access, detects repeated query information exceeding the threshold, and accesses multiple C-ITS DBs during off-hours It may include detection. The server can detect abnormal access to C-ITS information according to this detection policy, and thus can detect service confidentiality threats.
이때, V2X 인증서 데이터 유출에 대해서는 인증서 데이터 부정 접근 탐지 정책, 인증서 데이터 부정 유출 탐지 정책과 같은 기밀성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for V2X certificate data leakage, confidentiality threat detection-related policies such as a certificate data unauthorized access detection policy and a certificate data fraud detection policy may be preset.
실시예에 따라, 인증서 데이터 부정 접근 탐지 정책은 접근허용이 안된 IP에서 인증시스템 관리자 페이지에 접근 시도 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 인증서 데이터 부정 접근을 탐지할 수 있고, 이에 따라 서비스 기밀성 위협을 탐지할 수 있다.According to an embodiment, the certificate data illegal access detection policy may include detection of an access attempt to the authentication system manager page from an IP to which access is not permitted. The server may detect unauthorized access to certificate data according to this detection policy, and thus may detect a service confidentiality threat.
실시예에 따라, 인증서 데이터 부정 유출 탐지 정책은 임계치 초과 반복적인 쿼리 정보 탐지, 업무 외 시간에 다수의 C-ITS DB 접근 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 인증서 데이터 부정 유출을 탐지할 수 있고, 이에 따라 서비스 기밀성 위협을 탐지할 수 있다.According to an embodiment, the certificate data fraud detection policy may include detection of repeated query information exceeding a threshold and detection of multiple C-ITS DB accesses outside of business hours. The server may detect the illegal leakage of certificate data according to this detection policy, and thus may detect a service confidentiality threat.
이때, 시스템 구성정보 정찰에 대해서는 시스템 구성정보 유출 위협 탐지 정책, 정보 스캔 탐지 정책과 같은 기밀성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for system configuration information reconnaissance, confidentiality threat detection-related policies such as system configuration information leakage threat detection policy and information scan detection policy may be preset.
실시예에 따라, 시스템 구성정보 유출 위협 탐지 정책은 네트워크 호스트 스캔(Host SCAN), 포트 스캔(Port SCAN) 이벤트 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 시스템 구성정보 유출을 탐지할 수 있고, 이에 따라 서비스 기밀성 위협을 탐지할 수 있다.According to an embodiment, the system configuration information leakage threat detection policy may include network host scan (Host SCAN) and port scan (Port SCAN) event detection. The server may detect the leakage of system configuration information according to such a detection policy, and thus may detect a service confidentiality threat.
실시예에 따라, 정보 스캔 탐지 정책은 네트워크 호스트 스캔(Host SCAN), 포트 스캔(Port SCAN) 이벤트 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 정보 스캔을 탐지할 수 있고, 이에 따라 도로시스템 기밀성 위협을 탐지할 수 있다.According to an embodiment, the information scan detection policy may include network host scan (Host SCAN) and port scan (Port SCAN) event detection. The server may detect the information scan according to this detection policy, and thus may detect the road system confidentiality threat.
이때, 도로인프라 비인가 접근에 대해서는 무단 on/off 탐지 정책과 같은 기밀성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for unauthorized access to road infrastructure, confidentiality threat detection-related policies such as unauthorized on/off detection policy may be preset.
실시예에 따라, 무단 on/off 탐지 정책은 도로인프라 작업 일정시간 외 도로인프라 온오프 체크를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 무단 온오프를 탐지할 수 있고, 이에 따라 도로시스템 기밀성 위협을 탐지할 수 있다.According to an embodiment, the unauthorized on/off detection policy may include a road infrastructure on/off check outside of a predetermined time for the road infrastructure work. The server can detect unauthorized on-off according to this detection policy, and thus can detect road system confidentiality threats.
다음으로, 상술한 바와 같이, 상기 가용성 위협은, c-its 메시지 홍수 공격(c-its msg flooding attack), 서버 가용성, 블랙홀 공격(blackhole attack), 전원장애 및 플러딩(flooding)을 포함할 수 있다.Next, as described above, the availability threat may include c-its msg flooding attack, server availability, blackhole attack, power failure and flooding. .
이때, c-its 메시지 홍수 공격(c-its msg flooding attack)에 대해서는 msg flooding 탐지 정책, attack node 탐지 정책과 같은 가용성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for a c-its msg flooding attack, availability threat detection-related policies such as a msg flooding detection policy and an attack node detection policy may be preset.
실시예에 따라, msg flooding 탐지 정책, attack node 탐지 정책은 시간대별 일간/주간/월간 평균 변화량을 기준 임계치 기반 탐지(여기서, 탐지 기준은 메시지 건수, 통신 패킷 수, 바이트 등)를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 msg flooding 및 attack node를 탐지할 수 있고, 이에 따라 서비스 가용성 위협을 탐지할 수 있다.According to an embodiment, the msg flooding detection policy and attack node detection policy may include standard threshold-based detection based on the daily/weekly/monthly average change for each time period (here, the detection criteria are the number of messages, the number of communication packets, bytes, etc.). . The server can detect msg flooding and attack nodes according to these detection policies, and thus can detect service availability threats.
이때, 서버 가용성에 대해서는 자원정보 모니터링 탐지 정책, network traffic 모니터링 탐지 정책과 같은 가용성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for server availability, availability threat detection-related policies such as a resource information monitoring detection policy and a network traffic monitoring detection policy may be preset.
실시예에 따라, 자원정보 모니터링 탐지 정책, network traffic 모니터링 탐지 정책은 서버의 CPU, Memory 값의 일간/주간/월간 변화량을 기준 임계치 기반 탐지, 서버의 네트워크 트래픽량의 일간/주간/월간 변화량을 기준 임계치 기반 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 자원 정보 모니터링 및 네트워크 트래픽 모니터링할 수 있고, 이에 따라 서비스 가용성 위협을 탐지할 수 있다.According to the embodiment, the resource information monitoring detection policy and the network traffic monitoring detection policy are based on the daily/weekly/monthly variation of the CPU and Memory values of the server based on threshold-based detection, and the daily/weekly/monthly variation of the server’s network traffic volume based on the threshold It may include threshold-based detection. The server may monitor resource information and network traffic according to such a detection policy, and thus may detect a service availability threat.
이때, 블랙홀 공격(blackhole attack)에 대해서는 비활성 노드 탐지 정책(통신장치 포함)과 같은 가용성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for a blackhole attack, an availability threat detection-related policy such as an inactive node detection policy (including a communication device) may be preset.
실시예에 따라, 비활성 노드 탐지 정책(통신장채 포함)은 인접지역의 객체의 통신을 비교하여 미발생 노드를 탐지, 일정시간 동안 도로노드시스템에서 메시지를 송수신하지 않는 도로노드 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 비 활성 노드(통신장애 포함)를 탐지할 수 있고, 이에 따라 도로시스템 가용성 위협을 탐지할 수 있다.According to an embodiment, the inactive node detection policy (including communication block) may include detecting non-occurring nodes by comparing the communication of objects in adjacent areas, and detecting road nodes that do not transmit or receive messages in the road node system for a certain period of time. . The server can detect inactive nodes (including communication failures) according to this detection policy, and thus can detect road system availability threats.
이때, 전원장애에 대해서는 도로시스템 node 전원 장애 탐지 정책과 같은 가용성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.At this time, for power failure, availability threat detection-related policies such as road system node power failure detection policy may be preset.
실시예에 따라, 도로시스템 node 전원 장애 탐지 정책은 도로센서 별 파워 온오프정보 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 도로시스템 노드 전원 장애를 탐지할 수 있고, 이에 따라 도로시스템 가용성 위협을 탐지할 수 있다.According to an embodiment, the road system node power failure detection policy may include power on/off information detection for each road sensor. The server may detect a road system node power failure according to this detection policy, and thus may detect a road system availability threat.
이때, 플러딩(flooding)에 대해서는 traffic flooding(RSU) 탐지 정책과 같은 가용성 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for flooding, an availability threat detection-related policy such as a traffic flooding (RSU) detection policy may be preset.
실시예에 따라, traffic flooding(RSU) 탐지 정책은 노드의 네트워크 트래픽량의 일간/주간/월간 변화량을 기준 임계치 기반 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 트래픽 플러딩를 탐지할 수 있고, 이에 따라 도로시스템 가용성 위협을 탐지할 수 있다.According to an embodiment, the traffic flooding (RSU) detection policy may include a threshold-based detection of a daily/weekly/monthly variation of a network traffic amount of a node. The server may detect traffic flooding according to this detection policy, and thus may detect a road system availability threat.
다음으로, 검색 기반 글로벌 상관분석에 대해 설명하도록 한다.Next, the search-based global correlation analysis will be described.
먼저, 상술한 바와 같이, 상기 인증 위협은, 인증서 복제 공격(certificate replication attack), 시빌 공격(Sybil attack), 익명인증서 부정사용 및 비정상 시스템 접근을 포함할 수 있다.First, as described above, the authentication threat may include a certificate replication attack, a Sybil attack, illegal use of an anonymous certificate, and an abnormal system access.
이때, 인증서 복제 공격(certificate replication attack)에 대해서는 익명인증서 복제 사용 탐지 정책과 같은 인증 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for a certificate replication attack, an authentication threat detection-related policy such as an anonymous certificate replication use detection policy may be preset.
실시예에 따라, 익명인증서 복제 사용 탐지 정책은 C/A에 저장된 익명 인증서의 실명 인증서 정보 수집, 실명 인증서로 동일 시간대에 접속한 익명 인증서 차량 노드 탐지, 여러 개의 차량 노드에서 하나의 실명 인증서 사용 탐지, 여러 RSU에서 하나의 실명 인증서 사용 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 익명 인증서 복제 사용을 탐지할 수 있고, 이에 따라 인증 위협을 탐지할 수 있다.According to the embodiment, the anonymous certificate duplication detection policy is to collect real-name certificate information of an anonymous certificate stored in C/A, detect an anonymous certificate vehicle node accessed at the same time with a real-name certificate, and detect use of one real-name certificate in multiple vehicle nodes , may include detection of the use of a single real-name certificate across multiple RSUs. The server may detect the use of anonymous certificate replication according to this detection policy, and may detect authentication threats accordingly.
이때, 시빌 공격(Sybil attack)에 대해서는 익명인증서 다중사용 탐지 정책과 같은 인증 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for a Sybil attack, an authentication threat detection-related policy such as an anonymous certificate multiple use detection policy may be preset.
실시예에 따라, 익명인증서 다중사용 탐지 정책은 detection scheme을 사용(detection scheme using proofs of work and location), 시빌 궤적이 물리적으로 하나의 차량 내의 존재하는지 여부, 운행시간 제약(두 개의 연속 RSU를 이용하는 시간 제약), 궤적거리 제약(일정시간 단일 차량이 이동하는 최대 RSU 수), 차량 위치를 비교하여 물리적으로 이동할 수 없는 거리에서 동일한 익명 인증서 사용, RSU 내 차량에서 발생하는 익명 인증서 건수, RSU에서 차량 노드가 수신하는 동일 MSG 건수를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 익명 인증서 다중 사용을 탐지할 수 있고, 이에 따라 인증 위협을 탐지할 수 있다.According to the embodiment, the anonymous certificate multi-use detection policy uses a detection scheme (detection scheme using proofs of work and location), whether the Sybil trajectory is physically present in one vehicle, and time restrictions (using two consecutive RSUs) time constraint), trajectory distance constraint (maximum number of RSUs that a single vehicle travels for a given period of time), use of the same anonymous certificate at a distance that cannot be physically moved by comparing vehicle locations, the number of anonymous certificates generated from vehicles within RSU, and vehicles from RSU It may contain the same number of MSGs that a node receives. The server may detect multiple use of anonymous certificates according to this detection policy, and may detect authentication threats accordingly.
이때, 익명인증서 부정사용에 대해서는 비정상로그인 시도 탐지 정책과 같은 인증 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for the illegal use of anonymous certificates, authentication threat detection-related policies such as an abnormal login attempt detection policy may be preset.
실시예에 따라, 비정상로그인 시도 탐지 정책은 자율협력주행 도로인프라 객체 인증 요청 실패 건수를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 비정상로그인 시도를 탐지할 수 있고, 이에 따라 인증 위협을 탐지할 수 있다.According to an embodiment, the abnormal login attempt detection policy may include the number of failed requests for autonomous cooperative driving road infrastructure object authentication. The server can detect an abnormal login attempt according to this detection policy, and thus can detect an authentication threat.
이때, 비정상 시스템 접근에 대해서는 허용되지 않는 사용자 접근 시도 탐지 정책과 같은 인증 위협탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, an authentication threat detection-related policy, such as a user access attempt detection policy that is not allowed for abnormal system access, may be preset.
실시예에 따라, 허용되지 않는 사용자 접근 시도 탐지 정책은 내부자 IP 이외에서 운영관리 관리자 페이지 접근 시도, 로그인 실패 횟수 계산, 단위시간 내 로그인 시도 횟수 계산을 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 허용되지 않은 사용자 접근 시도를 탐지할 수 있고, 이에 따라 인증 위협을 탐지할 수 있다.According to an embodiment, the disallowed user access attempt detection policy may include an attempt to access the operation management manager page other than the insider IP, count the number of login failures, and count the number of login attempts within a unit time. The server may detect unauthorized user access attempts according to this detection policy, and may detect authentication threats accordingly.
다음으로, 이벤트 공격 심각도 분석은, 공격지 위험도 분석 및 공격 피해여부 분석을 포함할 수 있다.Next, the event attack severity analysis may include an attack site risk analysis and an attack damage analysis.
이때, 공격지 위험도 분석에 대해서는 글로벌 위협정보 탐지 정책과 같은 이벤트공격 심각도 분석 관련 정책이 기 설정되어 있을 수 있다.In this case, for the attack site risk analysis, an event attack severity analysis-related policy such as a global threat information detection policy may be preset.
실시예에 따라, 글로벌 위협정보 탐지 정책은 취약점 code(CVE), IOC 정보(IP, MD5, HASH, C2 URL)을 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 글로벌 위협정보를 탐지할 수 있고, 이에 따라 이번트공격 심각도를 분석할 수 있다.According to an embodiment, the global threat information detection policy may include vulnerability code (CVE) and IOC information (IP, MD5, HASH, C2 URL). The server can detect global threat information according to this detection policy, and can analyze the severity of the event attack accordingly.
이때, 공격 피해여부 분석에 대해서는 자산정보 탐지 정책과 같은 이벤트공격 심각도 분석 관련 정책이 기 설정되어 있을 수 있다.In this case, for the analysis of whether or not there is an attack damage, an event attack severity analysis-related policy such as an asset information detection policy may be preset.
실시예에 따라, 자산정보 탐지 정책은 취약점 자산 구성정보 상세 조회/분석, 해당 자산관련 로그 조회/분석, 해당 자산관련 이벤트 조회/분석을 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 자산정보를 탐지할 수 있고, 이에 따라 이벤트공격 심각도를 분석할 수 있다.According to an embodiment, the asset information detection policy may include detailed inquiry/analysis of weak asset configuration information, inquiry/analysis of the corresponding asset-related log, and inquiry/analysis of the corresponding asset-related event. The server can detect asset information according to this detection policy, and can analyze the event attack severity accordingly.
다음으로, 내부자 이상행위 탐지는, 악성코드 유입, 내부정찰, 내부 정보 유출, 비인가 접근을 포함할 수 있다.Next, insider anomaly detection may include malicious code inflow, internal reconnaissance, internal information leakage, and unauthorized access.
이때, 악성코드 유입에 대해서는 내부자 이상행위 탐지 정책이 기 설정되어 있을 수 있다.In this case, an insider anomaly detection policy may be preset for the inflow of malicious code.
실시예에 따라, 내부자 이상행위 탐지 정책은 차단된 사이트 접근 시도 사용자 검출, 특정 사용자가 접근 시도한 사이트명과 횟수 출력, 특정 사용자가 1시간 동안 특정 횟수 이상 접근 시도 검출, 특정 사용자가 1시간 동안 N개 이상의 사이트 접근 시도 검출을 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 내부자 이상행위를 탐지할 수 있다.According to the embodiment, the insider anomaly detection policy detects users attempting to access a blocked site, outputs the site name and number of times that a specific user has attempted to access, detects a specific user accesses more than a specific number of times in 1 hour, and N attempts by a specific user in 1 hour It may include detecting more than one site access attempt. The server can detect insider anomalies according to this detection policy.
이때, 내부정찰에 대해서는 시나리오 기반 스캔 탐지 정책과 같은 내부자 이상행위탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for the internal reconnaissance, an insider anomaly detection related policy such as a scenario-based scan detection policy may be preset.
실시예에 따라, 시나리오 기반 스캔 탐지 정책은 TCP_FLAG 이상행위, NETWORK SCAN 접근시도, PING SCAN 접근시도, PORT SCAN 접근시도, 특정서버로 과다접속 탐지, 장기간 세션유지 사용자 탐지를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 시나리오 기반 스캔을 탐지할 수 있다. 이에 따라 내부자 이상행위를 탐지할 수 있다.Depending on the embodiment, the scenario-based scan detection policy may include TCP_FLAG abnormal behavior, NETWORK SCAN access attempt, PING SCAN access attempt, PORT SCAN access attempt, excessive access to a specific server detection, and long-term session maintenance user detection. The server can detect scenario-based scans according to these detection policies. Accordingly, it is possible to detect insider anomalies.
이때, 내부 정보 유출에 대해서는 의심스러운 데이터 전송 탐지 정책과 같은 내부자 이상행위탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for inside information leakage, an insider anomaly detection related policy such as a suspicious data transmission detection policy may be preset.
실시예에 따라, 의심스러운 데이터 전송 탐지 정책은 고정된 데이터를 지속적 전송, 대량의 데이터 유출, 지속적인 파일다운로드를 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 의심스러운 데이터 전송을 탐지할 수 있다. 이에 따라 내부자 이상행위를 탐지할 수 있다.According to an embodiment, the suspicious data transmission detection policy may include continuous transmission of fixed data, a large amount of data leakage, and continuous file download. The server can detect suspicious data transmission according to this detection policy. Accordingly, insider anomalies can be detected.
이때, 비인가 접근에 대해서는 관리자 계정접근 탐지 정책과 같은 내부자 이상행위탐지 관련 정책이 기 설정되어 있을 수 있다.In this case, for unauthorized access, an insider anomaly detection related policy such as an administrator account access detection policy may be preset.
실시예에 따라, 관리자 계정접근 탐지 정책은 웹서버 관리자 계정 접근, 서버 관리자 계정 접근, dbms 관리자 계정 접근, 웹서버 관리자 계정접근, CA/RA 서버 관리자 계정 접근을 포함할 수 있다. 서버는 이러한 탐지 정책에 따라 관리자 계정접근을 탐지할 수 있다. 이에 따라 내부자 이상행위를 탐지할 수 있다.According to an embodiment, the administrator account access detection policy may include web server administrator account access, server administrator account access, dbms administrator account access, web server administrator account access, and CA/RA server administrator account access. The server can detect administrator account access according to this detection policy. Accordingly, insider anomalies can be detected.
이와 같이 단계 S120 및 단계 S130에서, 위협 별 탐지 정책을 가지고 위협 별 필요한 메타 데이터를 분석하여 상기 무결성 위협, 상기 기밀성 위협, 상기 가용성 위협 및 상기 인증 위협 중 적어도 하나가 탐지되면, 서버는 탐지된 위협에 대한 모니터링 및 보고를 수행할 수 있다(S140). 그리고, 서버는 탐지된 위협에 기초하여 관제환경정보 설정 및 위협탐지 정책 설정을 수행할 수 있다(S150).As such, in steps S120 and S130, when at least one of the integrity threat, the confidentiality threat, the availability threat, and the authentication threat is detected by analyzing the necessary metadata for each threat with a detection policy for each threat, the server detects the detected threat can be monitored and reported (S140). Then, the server may perform control environment information setting and threat detection policy setting based on the detected threat (S150).
구체적으로, 단계 S140에서, 서버는 탐지된 위협을 모니터링하고 분석하는 이벤트 모니터링을 수행할 수 있다. 서버는 탐지시스템에서 발생한 이벤트 및 근거데이터(로그 등)를 조회, 분석 및 확인할 수 있다. 서버는 데이터베이스에 저장된 로그 및 이벤트에 대하여 정규화 로그, 검색할 수 있다. 서버는 발생한 로그에 대하여 통계분석하고, 근거 이벤트를 조회할 수 있다.Specifically, in step S140, the server may perform event monitoring to monitor and analyze the detected threat. The server can inquire, analyze, and confirm events and evidence data (logs, etc.) that have occurred in the detection system. The server can search the normalized log for logs and events stored in the database. The server can perform statistical analysis on the generated log and inquire about the underlying event.
또한, 단계 S140에서, 서버는 상기 탐지된 위협에 관련한 보고서를 생성할 수 있다. 서버는 이벤트 모니터링에서 발생한 이벤트에 대하여 발생지 IP, 이벤트 유형, 공격 근거 데이터 등을 분석하여 중앙 MA(Misbehavior agency)에 이상행위 보고서를 전송할 수 있다. 서버는 탐지 정책에서 설정한 임계치를 초과하는 이벤트에 대하여 보고서를 자동 생성하여 전송할 수 있다. 이때, 보고서 포맷은 생성 시간, 발신자 ID, 보고된 ID 및 보고서 유형 등 헤더 컨테이너와 MA가 이벤트를 조사하고 결론을 뒷받침할 수 있도록 지원하는 Evidence Container로 구성될 수 있다.Also, in step S140, the server may generate a report related to the detected threat. The server can transmit an abnormal behavior report to the central MA (Misbehavior Agency) by analyzing the source IP, event type, attack basis data, etc. for the event generated in the event monitoring. The server can automatically generate and transmit a report for an event exceeding the threshold set in the detection policy. In this case, the report format may be composed of a header container such as generation time, sender ID, reported ID and report type, and an Evidence Container that supports the MA to investigate the event and support the conclusion.
또한, 단계 S140에서, 서버는 시스템 모니터링을 수행할 nt dlTek. 서버는 센터시스템, 현장시스템에서 발생하는 보안관제정보의 트래픽, 수집상태를 모니터링할 수 있다. 서버는 서버, 보안장비, 네트워크 장비 시스템의 자원 성능(CPU, MEMORY, 저장소사용율 등)을 모니터링할 수 있다. 서버는 서버, 보안장비, 네트워크 장비 시스템의 프로세스 동작, 응답시간, 장애발생 등 장애 모니터링을 수행할 수 있다.Further, in step S140, the server nt dlTek to perform system monitoring. The server can monitor the traffic and collection status of security control information generated in the center system and field system. The server can monitor the resource performance (CPU, MEMORY, storage usage rate, etc.) of the server, security equipment, and network equipment system. The server can perform failure monitoring such as process operation, response time, and failure occurrence of the server, security equipment, and network equipment system.
단계 S150에서, 서버는 상기 탐지된 위협에 기초하여 위협탐지시스템의 장애, 성능 및 용량 관리와 관련한 관제환경정보 설정을 수행하고, 상기 탐지된 위협에 대한 정책의 등록, 변경 및 삭제와 관련한 위협탐지 정책 설정을 수행할 수 있다.In step S150, the server configures control environment information related to failure, performance and capacity management of the threat detection system based on the detected threat, and detects threats related to registration, change, and deletion of policies for the detected threat Policy settings can be performed.
관제환경정보 설정을 수행함에 있어서, 서버는 R/A 및 C/A서버에서 블랙리스트(CRL: Ceritficate revocation list) 인증서 데이터 복제할 수 있다. 이는 유복제, API 방식 등으로 CRL 정보를 복제하여 동기화하는 것일 수 있다. 또한, 서버는 블랙리스트 IP/ IP대역을 등록관리할 수 있다. 이는, 유해 IP, 유해 URL을 등록, 수정, 삭제 및 조회하고, 예외처리 IP/ IP대역을 등록, 수정 및 삭제하고, white IP/URL을 등록, 수정, 삭제 및 조회하는 것일 수 있다. 또한, 서버는 운영자 및 사용자 정보, ID 및 권한, SMS/Email 주소록을 관리할 수 있다. 이는, 사용자 정보, ID, 패스워드를 등록, 수정 및 삭제하고, 사용자 권한/role을 등록, 수정 및 삭제하고, SMS 정보를 등록, 수정 및 삭제하는 것일 수 있다.In performing the control environment information setting, the server can duplicate the certificate data of the blacklist (CRL: Ceritficate revocation list) in the R/A and C/A servers. This may be to synchronize CRL information by duplicating replication, API method, or the like. In addition, the server may register and manage the blacklist IP/IP band. This may include registering, modifying, deleting and inquiring harmful IPs and harmful URLs, registering, modifying and deleting exception handling IP/IP bands, and registering, modifying, deleting and inquiring white IP/URLs. In addition, the server may manage operator and user information, ID and authority, and an SMS/Email address book. This may be registering, modifying and deleting user information, ID, password, registering, modifying and deleting user authority/role, and registering, modifying and deleting SMS information.
위협탐지 정책 설정을 수행함에 있어서, 서버는 실시간 정책을 설정, 수정, 삭제 및 조회할 수 있다. 또한, 서버는 임계치, 필터링을 이용하여 실시간으로 수집되는 로그에 대하여 정책 설정 및 조회할 수 있다. 또한, 서버는 분포도 등의 그룹화 기능을 적용하여 로그에 대하여 정책 설정 및 조회할 수 있다. 또한, 서버는 탐지된 이벤트에 대하여 주요 필드에 대한 통계를 생성, 저장 및 조회할 수 있다. 또한, 서버는 탐지된 이벤트에 대하여 중앙 MA 기관에 보고서를 자동 전송하기 위한 임계치 기반 정책을 등록 및 조회할 수 있다.In performing the threat detection policy setting, the server may set, modify, delete, and inquire a real-time policy. In addition, the server can set policies and inquire about logs collected in real time by using thresholds and filtering. In addition, the server can apply a grouping function such as a distribution map to set policies and inquire about the log. In addition, the server can generate, store, and inquire statistics on key fields for the detected event. In addition, the server can register and inquire a threshold-based policy for automatically sending a report to the central MA authority for the detected event.
도 3은 단계 S110 내지 단계 S150을 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 3에 기재된 순서를 변경하여 실행하거나 단계 S110 내지 단계 S150 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 3은 시계열적인 순서로 한정되는 것은 아니다.3 shows that steps S110 to S150 are sequentially executed, but this is merely illustrative of the technical idea of this embodiment, and those of ordinary skill in the art to which this embodiment belongs. As it will be applicable by changing the order described in FIG. 3 and executing it or executing one or more of steps S110 to S150 in parallel within a range that does not deviate from the essential characteristics, it will be possible to apply various modifications and variations, FIG. 3 is a time series sequence It is not limited.
한편, 상술한 설명에서, 단계 S110 내지 단계 S150은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다. 아울러, 기타 생략된 내용이라 하더라도 후술하는 도 5의 내용은 도 2 내지 도 4를 참조하여 설명한 자율협력주행 도로인프라 위협탐지 방법에도 적용될 수 있다.Meanwhile, in the above description, steps S110 to S150 may be further divided into additional steps or combined into fewer steps according to an embodiment of the present invention. In addition, some steps may be omitted if necessary, and the order between steps may be changed. In addition, even if other contents are omitted, the contents of FIG. 5 to be described later may also be applied to the autonomous cooperative driving road infrastructure threat detection method described with reference to FIGS. 2 to 4 .
이하에서는 도 5를 참조하여 본 발명에 따른 자율협력주행 도로인프라 위협탐지 장치(200)를 설명하도록 한다.Hereinafter, the autonomous cooperative driving road infrastructure
도 5를 참조하면, 자율협력주행 도로인프라 위협탐지 장치(200)(이하, 장치)는 통신부(210), 메모리(220) 및 프로세서(230)를 포함한다.Referring to FIG. 5 , the autonomous cooperative driving road infrastructure threat detection device 200 (hereinafter, the device) includes a
통신부(210)는 자율협력주행 관련 시스템으로부터 자율협력주행 관련 데이터를 수집할 수 있다. The
메모리(220)에는 자율협력주행 도로인프라 위협탐지를 위한 적어도 하나의 프로세스가 저장된다.At least one process for detecting threats to the autonomous cooperative driving road infrastructure is stored in the
프로세서(230)는 메모리(220)에 저장된 프로세스를 실행시킨다. 프로세서(230)는 메모리(520)에 저장된 프로세스를 실행시킴에 따라, 상기 통신부(210)를 통해 자율협력주행 관련 시스템으로부터 수집된 자율협력주행 관련 데이터를 인리치먼트(enrichment)하고, 기 설정된 위협 유형별 탐지 정책에 기초하여, 상기 인리치먼트된 데이터를 상관분석하고, 상기 상관분석된 결과에 기초하여, 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 위협 중 적어도 하나를 탐지한다.The
이때, 상기 프로세서가, 상기 인리치먼트 시, 상기 수집된 자율협력주행 관련 데이터를 기반으로 데이터 모델을 생성하고, 상기 생성된 데이터 모델의 데이터 소스 별로 파싱하여 메타 데이터를 생성할 수 있다.In this case, during the enrichment, the processor may generate a data model based on the collected autonomous cooperative driving-related data, and parse the generated data model for each data source to generate metadata.
도 5를 참조하여 설명한 장치(200)는 상술한 위협탐지시스템의 서버로서 제공될 수 있다.The
이상에서 전술한 본 발명의 일 실시예에 따른 방법은, 하드웨어인 컴퓨터와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다. 여기서, 컴퓨터는 앞에서 설명한 위협탐지시스템의 서버일 수 있다.The method according to an embodiment of the present invention described above may be implemented as a program (or application) to be executed in combination with a computer, which is hardware, and stored in a medium. Here, the computer may be a server of the aforementioned threat detection system.
상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.The above-described program is C, C++, JAVA, machine language, etc. that a processor (CPU) of the computer can read through a device interface of the computer in order for the computer to read the program and execute the methods implemented as a program It may include code (Code) coded in the computer language of Such code may include functional code related to a function defining functions necessary for executing the methods, etc., and includes an execution procedure related control code necessary for the processor of the computer to execute the functions according to a predetermined procedure. can do. In addition, the code may further include additional information necessary for the processor of the computer to execute the functions or code related to memory reference for which location (address address) in the internal or external memory of the computer to be referenced. have. In addition, when the processor of the computer needs to communicate with any other computer or server located remotely in order to execute the above functions, the code uses the communication module of the computer to determine how to communicate with any other computer or server remotely. It may further include a communication-related code for whether to communicate and what information or media to transmit and receive during communication.
본 발명의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.The steps of a method or algorithm described in connection with an embodiment of the present invention may be implemented directly in hardware, as a software module executed by hardware, or by a combination thereof. A software module may include random access memory (RAM), read only memory (ROM), erasable programmable ROM (EPROM), electrically erasable programmable ROM (EEPROM), flash memory, hard disk, removable disk, CD-ROM, or It may reside in any type of computer-readable recording medium well known in the art to which the present invention pertains.
이상, 첨부된 도면을 참조로 하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.In the above, embodiments of the present invention have been described with reference to the accompanying drawings, but those of ordinary skill in the art to which the present invention pertains can realize that the present invention can be embodied in other specific forms without changing the technical spirit or essential features thereof. you will be able to understand Therefore, it should be understood that the embodiments described above are illustrative in all respects and not restrictive.
200: 장치
210: 통신부
220: 메모리
230: 프로세서200: device
210: communication department
220: memory
230: processor
Claims (10)
자율협력주행 관련 시스템으로부터 수집된 보안관제정보를 인리치먼트(enrichment)하는 단계;
기 설정된 위협 유형별 탐지 정책에 기초하여, 상기 인리치먼트된 데이터를 상관분석하는 단계; 및
상기 상관분석된 결과에 기초하여, 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 위협 중 적어도 하나를 탐지하는 단계;를 포함하고,
상기 인리치먼트하는 단계는,
상기 수집된 보안관제정보를 기반으로 데이터 모델을 생성하는 단계; 및
상기 생성된 데이터 모델의 데이터 소스 별로 파싱하여 메타 데이터를 생성하는 단계;를 포함하고,
상기 메타 데이터 생성 단계는,
상기 수집된 보안관제정보에 대해 변환 및 정제, 태깅(tagging), 통계 데이터 생성 및 이관 중 적어도 하나를 수행하여, 상기 데이터 소스 별로 위협탐지를 위한 메타 데이터를 생성하고,
상기 데이터 모델은, 로컬 데이터 모델 및 글로벌 데이터 모델을 포함하고,
상기 로컬 데이터 모델은, 무결성 모델, 기밀성 모델, 가용성 모델, 작업 정보, 통계 정보 및 차량 정보를 포함하고,
상기 글로벌 데이터 모델은, 인증 정보, 위협 정보 및 자산 정보를 포함하고,
상기 무결성 모델의 데이터 소스는, 위치기반 교통정보, 도로 위험구간 정보, 도로 작업구간 정보, 차량 긴급상황 경고 정보, 노면상태 정보, 기상 정보, vcpe 로그 및 도로 방화벽 로그를 포함하고,
상기 기밀성 모델의 데이터 소스는, c-its 데이터베이스 접근기록, 운영관리 웹로그, 데이터 접근 정보, OS 로그, 방화벽 로그, vcpe 로그 및 도로인프라 개폐기기 정보를 포함하고,
상기 가용성 모델의 데이터 소스는, c-its 트래픽 정보, 스마트 플러그 및 sdn 로그를 포함하고,
상기 무결성 위협은, 잘못된 메시지 주입 공격(false messages inject attack), 재전송 공격(replay attack), 비정상 접근 시도 및 비활동 및 미등록 이상 노드를 포함하고,
상기 기밀성 위협은, 프라이버시 정보 유출, V2X 인증서 데이터 유출, 시스템 구성정보 정찰 및 도로인프라 비인가 접근을 포함하고,
상기 가용성 위협은, c-its 메시지 홍수 공격(c-its msg flooding attack), 서버 가용성, 블랙홀 공격(blackhole attack), 전원장애 및 플러딩(flooding)을 포함하고,
상기 무결성 모델의 데이터 소스 중 상기 위치기반 교통정보, 상기 도로 위험구간 정보, 상기 도로 작업구간 정보, 상기 차량 긴급상황 경고 정보, 상기 노면상태 정보, 상기 기상 정보는 상기 무결성 위협 중 상기 잘못된 메시지 주입 공격을 탐지하는 데 이용되고,
상기 무결성 모델의 데이터 소스 중 상기 vcpe 로그는 상기 무결성 위협 중 상기 비정상 접근 시도를 탐지하는 데 이용되고,
상기 무결성 모델의 데이터 소스 중 상기 vcpe 로그 및 상기 도로 방화벽 로그는 상기 무결성 위협 중 상기 비활동 및 미등록 이상노드를 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 c-its 데이터베이스 접근기록 및 상기 운영관리 웹로그는 상기 기밀성 위협 중 상기 프라이버시 정보 유출을 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 데이터 접근 정보는 상기 기밀성 위협 중 상기 V2X 인증서 데이터 유출을 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 OS 로그 및 상기 방화벽 로그는 상기 기밀성 위협 중 제1 시스템 구성정보 정찰을 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 vcpe 로그는 상기 기밀성 위협 중 제2 시스템 구성정보 정찰을 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 도로인프라 개폐기기 정보는 상기 기밀성 위협 중 상기 도로인프라 비인가 물리적 접근을 탐지하는 데 이용되고,
상기 가용성 모델의 데이터 소스 중 상기 c-its 트래픽 정보는 상기 가용성 위협 중 상기 c-its 메시지 홍수 공격을 탐지하는 데 이용되고,
상기 가용성 모델의 데이터 소스 중 상기 스마트 플러그는 상기 가용성 위협 중 상기 전원장애를 탐지하는 데 이용되고,
상기 가용성 모델의 데이터 소스 중 상기 sdn 로그는 상기 가용성 위협 중 상기 플러딩을 탐지하는 데 이용되는, 방법.In the autonomous cooperative driving road infrastructure threat detection method performed by the server,
Enriching the security control information collected from the autonomous cooperative driving-related system (enrichment);
Correlating the enriched data based on a preset detection policy for each threat type; and
Detecting at least one of an integrity threat, a confidentiality threat, an availability threat, and an authentication threat based on the correlation analysis result;
The enriching step is
generating a data model based on the collected security control information; and
Including; parsing for each data source of the generated data model to generate meta data;
The meta data generation step is
By performing at least one of transformation and purification, tagging, generation and transfer of statistical data on the collected security control information, metadata for threat detection is generated for each data source,
The data model includes a local data model and a global data model,
The local data model includes an integrity model, confidentiality model, availability model, work information, statistical information and vehicle information,
The global data model includes authentication information, threat information, and asset information,
The data source of the integrity model includes location-based traffic information, road danger section information, road work section information, vehicle emergency warning information, road surface condition information, weather information, vcpe log and road firewall log,
The data source of the confidentiality model includes c-its database access record, operation management web log, data access information, OS log, firewall log, vcpe log, and road infrastructure switching device information,
The data sources of the availability model include c-its traffic information, smart plugs and sdn logs,
The integrity threat includes a false messages inject attack, a replay attack, an abnormal access attempt, and inactive and unregistered abnormal nodes,
The confidentiality threat includes privacy information leakage, V2X certificate data leakage, system configuration information reconnaissance, and unauthorized access to road infrastructure,
The availability threats include c-its message flooding attack (c-its msg flooding attack), server availability, blackhole attack, power failure and flooding,
Among the data sources of the integrity model, the location-based traffic information, the road danger section information, the road work section information, the vehicle emergency warning information, the road surface condition information, and the weather information are the erroneous message injection attacks among the integrity threats. used to detect
Among the data sources of the integrity model, the vcpe log is used to detect the abnormal access attempt among the integrity threats,
Among the data sources of the integrity model, the vcpe log and the road firewall log are used to detect the inactive and unregistered abnormal nodes among the integrity threats,
Among the data sources of the confidentiality model, the c-its database access record and the operation management weblog are used to detect the privacy information leakage among the confidentiality threats,
The data access information among the data sources of the confidentiality model is used to detect the V2X certificate data leakage among the confidentiality threats,
Among the data sources of the confidentiality model, the OS log and the firewall log are used to detect a first system configuration information reconnaissance among the confidentiality threats,
Among the data sources of the confidentiality model, the vcpe log is used to detect a second system configuration information reconnaissance among the confidentiality threats,
Among the data sources of the confidentiality model, the road infrastructure switchgear information is used to detect unauthorized physical access to the road infrastructure among the confidentiality threats,
The c-its traffic information among the data sources of the availability model is used to detect the c-its message flood attack among the availability threats;
The smart plug among the data sources of the availability model is used to detect the power failure among the availability threats,
The sdn log of the data sources of the availability model is used to detect the flooding of the availability threat.
상기 상관분석 단계는,
기 설정된 무결성 위협탐지 관련 정책, 기밀성 위협탐지 관련 정책 및 가용성 위협탐지 관련 정책 중 적어도 하나에 기초하여, 상기 데이터 소스 별로 생성된 메타 데이터에 대해 인-메모리(in-memory) 기반 로컬 상관분석을 수행하고,
기 설정된 인증 위협탐지 관련 정책, 이벤트공격 심각도 분석 관련 정책 및 내부자 이상행위탐지 관련 정책 중 적어도 하나에 기초하여, 상기 데이터 소스 별로 생성된 메타 데이터에 대해 검색 기반 글로벌 상관분석을 수행하는, 방법.According to claim 1,
The correlation analysis step is
Based on at least one of a preset integrity threat detection-related policy, confidentiality threat detection-related policy, and availability threat detection-related policy, in-memory-based local correlation analysis is performed on the metadata generated for each data source do,
A method of performing a search-based global correlation analysis on the metadata generated for each data source based on at least one of a preset authentication threat detection-related policy, an event attack severity analysis-related policy, and an insider anomaly detection-related policy.
상기 인증 위협은, 인증서 복제 공격(certificate replication attack), 시빌 공격(Sybil attack), 위장 공격(masquerading attack), 익명인증서 부정사용 및 비정상 시스템 접근을 포함하는, 방법.According to claim 1,
The authentication threat includes a certificate replication attack, a Sybil attack, a masquerading attack, an anonymous certificate fraudulent use, and an abnormal system access.
상기 무결성 위협, 상기 기밀성 위협, 상기 가용성 위협 및 상기 인증 위협 중 적어도 하나가 탐지되면,
탐지된 위협을 모니터링하고 분석하는 이벤트 모니터링을 수행하는 단계;
상기 탐지된 위협에 관련한 보고서를 생성하는 단계; 및
상기 탐지된 위협에 기초하여 위협탐지시스템의 장애, 성능 및 용량 관리와 관련한 관제환경정보 설정을 수행하고, 상기 탐지된 위협에 대한 정책의 등록, 변경 및 삭제와 관련한 위협탐지 정책 설정을 수행하는 단계;를 더 포함하는, 방법.According to claim 1,
When at least one of the integrity threat, the confidentiality threat, the availability threat, and the authentication threat is detected,
performing event monitoring to monitor and analyze detected threats;
generating a report related to the detected threat; and
Setting up control environment information related to failure, performance and capacity management of the threat detection system based on the detected threat, and setting up a threat detection policy related to registration, change, and deletion of policies for the detected threat ; further comprising a method.
통신부;
자율협력주행 도로인프라 위협탐지를 위한 적어도 하나의 프로세스를 저장하고 있는 메모리; 및
상기 프로세스에 따라 동작하는 프로세서;를 포함하고,
상기 프로세서는, 상기 프로세스를 기반으로,
상기 통신부를 통해 자율협력주행 관련 시스템으로부터 수집된 보안관제정보를 인리치먼트(enrichment)하고,
기 설정된 위협 유형별 탐지 정책에 기초하여, 상기 인리치먼트된 데이터를 상관분석하고,
상기 상관분석된 결과에 기초하여, 무결성 위협, 기밀성 위협, 가용성 위협 및 인증 위협 중 적어도 하나를 탐지하고,
상기 프로세서가, 상기 인리치먼트 시,
상기 수집된 보안관제정보를 기반으로 데이터 모델을 생성하고,
상기 생성된 데이터 모델의 데이터 소스 별로 파싱하여 메타 데이터를 생성하고,
상기 프로세서는 상기 인리치먼트 시에,
상기 수집된 보안관제정보에 대해 변환 및 정제, 태깅(tagging), 통계 데이터 생성 및 이관 중 적어도 하나를 수행하여, 상기 데이터 소스 별로 위협탐지를 위한 메타 데이터를 생성하고,
상기 데이터 모델은, 로컬 데이터 모델 및 글로벌 데이터 모델을 포함하고,
상기 로컬 데이터 모델은, 무결성 모델, 기밀성 모델, 가용성 모델, 작업 정보, 통계 정보 및 차량 정보를 포함하고,
상기 글로벌 데이터 모델은, 인증 정보, 위협 정보 및 자산 정보를 포함하고,
상기 무결성 모델의 데이터 소스는, 위치기반 교통정보, 도로 위험구간 정보, 도로 작업구간 정보, 차량 긴급상황 경고 정보, 노면상태 정보, 기상 정보, vcpe 로그 및 도로 방화벽 로그를 포함하고,
상기 기밀성 모델의 데이터 소스는, c-its 데이터베이스 접근기록, 운영관리 웹로그, 데이터 접근 정보, OS 로그, 방화벽 로그, vcpe 로그 및 도로인프라 개폐기기 정보를 포함하고,
상기 가용성 모델의 데이터 소스는, c-its 트래픽 정보, 스마트 플러그 및 sdn 로그를 포함하고,
상기 무결성 위협은, 잘못된 메시지 주입 공격(false messages inject attack), 재전송 공격(replay attack), 비정상 접근 시도 및 비활동 및 미등록 이상 노드를 포함하고,
상기 기밀성 위협은, 프라이버시 정보 유출, V2X 인증서 데이터 유출, 시스템 구성정보 정찰 및 도로인프라 비인가 접근을 포함하고,
상기 가용성 위협은, c-its 메시지 홍수 공격(c-its msg flooding attack), 서버 가용성, 블랙홀 공격(blackhole attack), 전원장애 및 플러딩(flooding)을 포함하고,
상기 무결성 모델의 데이터 소스 중 상기 위치기반 교통정보, 상기 도로 위험구간 정보, 상기 도로 작업구간 정보, 상기 차량 긴급상황 경고 정보, 상기 노면상태 정보, 상기 기상 정보는 상기 무결성 위협 중 상기 잘못된 메시지 주입 공격을 탐지하는 데 이용되고,
상기 무결성 모델의 데이터 소스 중 상기 vcpe 로그는 상기 무결성 위협 중 상기 비정상 접근 시도를 탐지하는 데 이용되고,
상기 무결성 모델의 데이터 소스 중 상기 vcpe 로그 및 상기 도로 방화벽 로그는 상기 무결성 위협 중 상기 비활동 및 미등록 이상노드를 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 c-its 데이터베이스 접근기록 및 상기 운영관리 웹로그는 상기 기밀성 위협 중 상기 프라이버시 정보 유출을 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 데이터 접근 정보는 상기 기밀성 위협 중 상기 V2X 인증서 데이터 유출을 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 OS 로그 및 상기 방화벽 로그는 상기 기밀성 위협 중 제1 시스템 구성정보 정찰을 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 vcpe 로그는 상기 기밀성 위협 중 제2 시스템 구성정보 정찰을 탐지하는 데 이용되고,
상기 기밀성 모델의 데이터 소스 중 상기 도로인프라 개폐기기 정보는 상기 기밀성 위협 중 상기 도로인프라 비인가 물리적 접근을 탐지하는 데 이용되고,
상기 가용성 모델의 데이터 소스 중 상기 c-its 트래픽 정보는 상기 가용성 위협 중 상기 c-its 메시지 홍수 공격을 탐지하는 데 이용되고,
상기 가용성 모델의 데이터 소스 중 상기 스마트 플러그는 상기 가용성 위협 중 상기 전원장애를 탐지하는 데 이용되고,
상기 가용성 모델의 데이터 소스 중 상기 sdn 로그는 상기 가용성 위협 중 상기 플러딩을 탐지하는 데 이용되는, 장치.In the autonomous cooperative driving road infrastructure threat detection device,
communication department;
a memory storing at least one process for autonomous cooperative driving road infrastructure threat detection; and
Including; a processor operating according to the process;
The processor, based on the process,
Enrich the security control information collected from the autonomous cooperative driving-related system through the communication unit,
Correlating the enriched data based on a preset detection policy for each type of threat,
Detect at least one of an integrity threat, a confidentiality threat, an availability threat, and an authentication threat based on the correlation analysis result,
When the processor, the enrichment,
Create a data model based on the collected security control information,
Parsing for each data source of the generated data model to generate metadata,
When the processor is enriched,
By performing at least one of transformation and purification, tagging, generation and transfer of statistical data on the collected security control information, metadata for threat detection is generated for each data source,
The data model includes a local data model and a global data model,
The local data model includes an integrity model, confidentiality model, availability model, work information, statistical information and vehicle information,
The global data model includes authentication information, threat information, and asset information,
The data source of the integrity model includes location-based traffic information, road danger section information, road work section information, vehicle emergency warning information, road surface condition information, weather information, vcpe log and road firewall log,
The data source of the confidentiality model includes c-its database access record, operation management web log, data access information, OS log, firewall log, vcpe log, and road infrastructure switching device information,
The data sources of the availability model include c-its traffic information, smart plugs and sdn logs,
The integrity threat includes a false messages inject attack, a replay attack, an abnormal access attempt, and inactive and unregistered abnormal nodes,
The confidentiality threat includes privacy information leakage, V2X certificate data leakage, system configuration information reconnaissance, and unauthorized access to road infrastructure,
The availability threats include c-its message flooding attack (c-its msg flooding attack), server availability, blackhole attack, power failure and flooding,
Among the data sources of the integrity model, the location-based traffic information, the road danger section information, the road work section information, the vehicle emergency warning information, the road surface condition information, and the weather information are the erroneous message injection attacks among the integrity threats. used to detect
Among the data sources of the integrity model, the vcpe log is used to detect the abnormal access attempt among the integrity threats,
Among the data sources of the integrity model, the vcpe log and the road firewall log are used to detect the inactive and unregistered abnormal nodes among the integrity threats,
Among the data sources of the confidentiality model, the c-its database access record and the operation management weblog are used to detect the privacy information leakage among the confidentiality threats,
The data access information among the data sources of the confidentiality model is used to detect the V2X certificate data leakage among the confidentiality threats,
Among the data sources of the confidentiality model, the OS log and the firewall log are used to detect a first system configuration information reconnaissance among the confidentiality threats,
Among the data sources of the confidentiality model, the vcpe log is used to detect a second system configuration information reconnaissance among the confidentiality threats,
Among the data sources of the confidentiality model, the road infrastructure switchgear information is used to detect unauthorized physical access to the road infrastructure among the confidentiality threats,
The c-its traffic information among the data sources of the availability model is used to detect the c-its message flood attack among the availability threats;
The smart plug among the data sources of the availability model is used to detect the power failure among the availability threats,
wherein the sdn log of data sources of the availability model is used to detect the flooding of the availability threat.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210119351A KR102414334B1 (en) | 2021-09-07 | 2021-09-07 | Method and apparatus for detecting threats of cooperative-intelligent transport road infrastructure |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210119351A KR102414334B1 (en) | 2021-09-07 | 2021-09-07 | Method and apparatus for detecting threats of cooperative-intelligent transport road infrastructure |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102414334B1 true KR102414334B1 (en) | 2022-06-29 |
Family
ID=82270541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210119351A KR102414334B1 (en) | 2021-09-07 | 2021-09-07 | Method and apparatus for detecting threats of cooperative-intelligent transport road infrastructure |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102414334B1 (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102591591B1 (en) * | 2023-05-10 | 2023-10-19 | 한국정보기술 주식회사 | Method and Apparatus for Security Management of Traffic Information Center |
| CN116992460A (en) * | 2023-09-25 | 2023-11-03 | 成都市蓉通数智信息技术有限公司 | Software operation management system based on intelligent collaboration |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150075774A (en) | 2013-12-26 | 2015-07-06 | 한국전자통신연구원 | Autonomous driving vehicle and infra for supporting autonomous drive |
| KR101814368B1 (en) * | 2017-07-27 | 2018-01-04 | 김재춘 | Information security network integrated management system using big data and artificial intelligence, and a method thereof |
| KR102293397B1 (en) * | 2020-11-27 | 2021-08-25 | 주식회사 이글루시큐리티 | Cooperative-intelligent transport systems and method for generating security control information thereof |
-
2021
- 2021-09-07 KR KR1020210119351A patent/KR102414334B1/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150075774A (en) | 2013-12-26 | 2015-07-06 | 한국전자통신연구원 | Autonomous driving vehicle and infra for supporting autonomous drive |
| KR101814368B1 (en) * | 2017-07-27 | 2018-01-04 | 김재춘 | Information security network integrated management system using big data and artificial intelligence, and a method thereof |
| KR102293397B1 (en) * | 2020-11-27 | 2021-08-25 | 주식회사 이글루시큐리티 | Cooperative-intelligent transport systems and method for generating security control information thereof |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102591591B1 (en) * | 2023-05-10 | 2023-10-19 | 한국정보기술 주식회사 | Method and Apparatus for Security Management of Traffic Information Center |
| CN116992460A (en) * | 2023-09-25 | 2023-11-03 | 成都市蓉通数智信息技术有限公司 | Software operation management system based on intelligent collaboration |
| CN116992460B (en) * | 2023-09-25 | 2024-02-02 | 成都市蓉通数智信息技术有限公司 | Software operation management system based on intelligent collaboration |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106411562B (en) | Electric power information network safety linkage defense method and system | |
| WO2018177210A1 (en) | Defense against apt attack | |
| CN108092948B (en) | Network attack mode identification method and device | |
| CN107251513B (en) | System and method for accurate assurance of malicious code detection | |
| US9215244B2 (en) | Context aware network security monitoring for threat detection | |
| US9239929B1 (en) | Location data quarantine system | |
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| US20160191352A1 (en) | Network asset information management | |
| CN109462599B (en) | Honeypot management system | |
| KR102414334B1 (en) | Method and apparatus for detecting threats of cooperative-intelligent transport road infrastructure | |
| CN113660224A (en) | Situation awareness defense method, device and system based on network vulnerability scanning | |
| CN104135474A (en) | Network anomaly behavior detection method based on out-degree and in-degree of host | |
| US20220103584A1 (en) | Information Security Using Blockchain Technology | |
| CN116132989B (en) | Industrial Internet security situation awareness system and method | |
| CN113382076A (en) | Internet of things terminal security threat analysis method and protection method | |
| CN113411295A (en) | Role-based access control situation awareness defense method and system | |
| CN113783886A (en) | Intelligent operation and maintenance method and system for power grid based on intelligence and data | |
| CN112651021A (en) | Information security defense system based on big data | |
| Ahmad et al. | A novel context-based risk assessment approach in vehicular networks | |
| Beigh et al. | Intrusion detection and prevention system: issues and challenges | |
| Deri et al. | Using deep packet inspection in cybertraffic analysis | |
| KR20170046001A (en) | System and method for improvement invasion detection | |
| KR20110131627A (en) | Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof | |
| CN113660222A (en) | Situation awareness defense method and system based on mandatory access control | |
| Alnabulsi et al. | Protecting code injection attacks in intelligent transportation system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AMND | Amendment | ||
| X091 | Application refused [patent] | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant |