KR20220104977A - Method and apparatus for detecting attacks on image data of networks in automotive ethernet - Google Patents

Method and apparatus for detecting attacks on image data of networks in automotive ethernet Download PDF

Info

Publication number
KR20220104977A
KR20220104977A KR1020210007443A KR20210007443A KR20220104977A KR 20220104977 A KR20220104977 A KR 20220104977A KR 1020210007443 A KR1020210007443 A KR 1020210007443A KR 20210007443 A KR20210007443 A KR 20210007443A KR 20220104977 A KR20220104977 A KR 20220104977A
Authority
KR
South Korea
Prior art keywords
attack
packets
packet
transmitted
accumulated
Prior art date
Application number
KR1020210007443A
Other languages
Korean (ko)
Inventor
전부선
김대원
김익균
이상우
이진용
정보흥
주홍일
최병철
최중용
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020210007443A priority Critical patent/KR20220104977A/en
Publication of KR20220104977A publication Critical patent/KR20220104977A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40117Interconnection of audio or video/imaging devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Traffic Control Systems (AREA)

Abstract

Disclosed are an attack detection method and a device for image information of a vehicle Ethernet network. The attack detection method includes the step of: collecting packets transmitted and received between nodes of vehicle Ethernet; examining headers of collected packets; extracting source and destination addresses of the collected packets; accumulating the entropy of the source address and destination address, a time interval, the number of transmitted bytes, and the number of packets during a predetermined time window; and detecting an attack by comparing information accumulated during the time window with information accumulated in normal traffic. Accordingly, the stability of a vehicle can be increased.

Description

차량 이더넷 네트워크의 영상 정보에 대한 공격 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING ATTACKS ON IMAGE DATA OF NETWORKS IN AUTOMOTIVE ETHERNET}Method and device for detecting attacks on video information of vehicle Ethernet network

본 발명은 차량 이더넷 네트워크의 영상 정보에 대한 공격 탐지 방법 및 장치에 관한 것으로, 보다 구체적으로는 차량 이더넷 네트워크에서 오디오 비디오 브리징 프로토콜이 적용된 영상 정보 및 시간 동기화 정보에 대한 공격을 탐지하는 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for detecting an attack on image information in a vehicle Ethernet network, and more particularly, to a method and apparatus for detecting an attack on image information and time synchronization information to which an audio video bridging protocol is applied in a vehicle Ethernet network. it's about

자동차 분야에서는 ECU와 인포테인먼트에 기능에 대한 수요가 증가함에 따라 실시간성을 갖고 품질을 보장할 수 있는 오디오 비디오 브리징(AVB: Audio Video Bridging) 기술을 차량용 이더넷 네트워크에 적용하는 장치가 개발되고 있다.In the automotive field, as the demand for functions in ECUs and infotainment increases, devices that apply audio video bridging (AVB) technology that can ensure quality with real-time performance to an automotive Ethernet network are being developed.

오디오 비디오 브리징 기술은 오디오/비디오, 제어데이터가 gPTP, SRP (Stream Reservation Protocol)를 지원하는 TSN (Time-Sensitive Networking) 네트워크 상에서 전송되도록 하는 프로토콜이다. AVTP는 데이터와 시간 정보가 전송되는 방식을 정의하여 AVB 토커(talker)로부터 전송되는 오디오와 비디오 또는 제어 정보가 AVB 리스너(listener)에서 재현되도록 할 수 있다. 그리고, 스트리밍 정보에 대하여 짧은 지연 시간과 고품질 전송을 가능하게 하는 AVB 통신은 차량에서 영상 정보를 전송하는데 사용되고 있다.The audio-video bridging technology is a protocol that allows audio/video and control data to be transmitted over a Time-Sensitive Networking (TSN) network supporting gPTP and SRP (Stream Reservation Protocol). AVTP defines how data and time information are transmitted so that audio and video or control information transmitted from an AVB talker can be reproduced by an AVB listener. In addition, AVB communication, which enables short delay time and high quality transmission of streaming information, is used to transmit image information in a vehicle.

그러나, 차량용 이더넷 네트워크에 공격을 수행함으로써, AVB 통신을 통하여 전송되는 영상 정보에 거짓 영상을 추가하는 경우, 영상 정보에 기초한 차량 제어에 문제가 발생하여 사고가 발생할 가능성이 있다.However, when a false image is added to image information transmitted through AVB communication by performing an attack on the vehicle Ethernet network, there is a possibility that an accident may occur due to a problem in vehicle control based on the image information.

따라서, AVB를 사용한 차량용 이더넷 네트워크에 대한 공격을 탐지하는 방법이 요청되고 있다.Accordingly, there is a need for a method for detecting an attack on the vehicle Ethernet network using AVB.

본 발명은 차량 이더넷의 AVB 패킷을 모니터링하여 차량 내에 가해진 공격을 탐지할 수 있는 방법 및 장치를 제공한다.The present invention provides a method and apparatus capable of detecting an attack applied to a vehicle by monitoring AVB packets of vehicle Ethernet.

본 발명의 일실시예에 따른 공격 탐지 방법은 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집하는 단계; 수집한 패킷의 헤더를 검사하는 단계; 수집한 패킷의 소스 주소와 목적지 주소를 추출하는 단계; 기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하는 단계; 및 상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 단계를 포함할 수 있다.An attack detection method according to an embodiment of the present invention includes collecting packets transmitted and received between nodes of a vehicle Ethernet; examining the headers of the collected packets; extracting a source address and a destination address of the collected packet; accumulating the entropy of the source address and the destination address, a time interval, the number of transmitted bytes and the number of packets during a preset time window; and detecting an attack by comparing information accumulated during the time window with information accumulated in normal traffic.

본 발명의 일실시예에 따른 공격 탐지 방법의 상기 헤더를 검사하는 단계는, 상기 수집한 패킷이 AVB(Audio Video Bridging) 패킷이거나, PTP(Precision Time Protocol) 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사할 수 있다.The step of examining the header of the attack detection method according to an embodiment of the present invention may include, when the collected packet is an Audio Video Bridging (AVB) packet or a PTP (Precision Time Protocol) packet, the header of the collected packet is added. It may be checked whether information other than a preset value or a value is included.

본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시킬 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention includes an address different from the source address and destination address accumulated in normal traffic among the source address and destination address accumulated during the time window. In this case, an alarm may be generated to request confirmation from the user.

본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention includes: a time interval accumulated during the time window, the number of bytes transmitted and the number of packets, and a time interval accumulated in normal traffic, transmitted bytes When a difference between at least one of the number of and the number of packets is equal to or greater than a threshold, it may be determined that an attack has occurred.

본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention may include, when the transmission order of packets accumulated during the time window by type is different from the transmission order of packets accumulated in normal traffic by type, abnormal The count of the sequence is increased, and when the count of the abnormal sequence is equal to or greater than the reference, it may be determined that an attack has occurred.

본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention may include determining that an attack has occurred when a packet transmitted only from a talker among the nodes is transmitted from a node other than the talker. can

본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention includes comparing the transmission order by type of packets accumulated during the time window with the transmission order by type of packets accumulated in normal traffic to drop packets. , and when the number of dropped packets is equal to or greater than the standard, it can be determined that an attack has occurred.

본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention comprises: a listener among the nodes in response to a packet transmitted by a talker among the nodes based on information accumulated in normal traffic. A packet transmitted by the talker is identified in response to a packet transmitted and a packet transmitted by the listener, and when a packet different from the packet identified among the information accumulated during the time window is transmitted, it can be determined that an attack has occurred. have.

본 발명의 일실시예에 따른 공격 탐지 장치는 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집하는 통신 인터페이스; 및 수집한 패킷의 헤더를 검사하고, 수집한 패킷의 소스 주소와 목적지 주소를 추출하며, 기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하고, 상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 프로세서를 포함할 수 있다.An attack detection apparatus according to an embodiment of the present invention includes: a communication interface for collecting packets transmitted and received between nodes of a vehicle Ethernet; and inspecting the header of the collected packet, extracting the source address and the destination address of the collected packet, and determining the entropy of the source address and the destination address, the time interval, the number of transmitted bytes and the number of packets during a preset time window. and a processor for detecting an attack by accumulating and comparing information accumulated during the time window with information accumulated in normal traffic.

본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 수집한 패킷이 AVB 패킷이거나, PTP 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사할 수 있다.When the collected packet is an AVB packet or a PTP packet, the processor of the attack detection apparatus according to an embodiment of the present invention determines whether information or a value other than a preset value is included in the header of the collected packet. can be inspected.

본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시킬 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention, when an address different from the source address and destination address accumulated in normal traffic is included among the source address and destination address accumulated during the time window, confirms to the user You can generate an alarm requesting

본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention, the time interval accumulated during the time window, the number of transmitted bytes and the number of packets, and the accumulated time interval in normal traffic, the number of transmitted bytes, and the number of packets When a difference between at least one of the numbers is equal to or greater than a threshold value, it may be determined that an attack has occurred.

본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention increases the count of the abnormal sequence when the transmission order for each type of packets accumulated during the time window is different from the transmission order for each type of packets accumulated in normal traffic. and when the count of the abnormal sequence is equal to or greater than the reference, it can be determined that an attack has occurred.

본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention may determine that an attack has occurred when a packet transmitted only from a talker among the nodes is transmitted from a node other than the talker.

본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention compares a transmission order by type of packets accumulated during the time window with a transmission order by type of packets accumulated in normal traffic to detect packet omission, and If the number of packets is greater than or equal to the standard, it can be determined that an attack has occurred.

본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention includes a packet transmitted by a listener among the nodes in response to a packet transmitted by a talker among the nodes based on information accumulated in normal traffic, and the When a packet transmitted by the talker is identified in response to a packet transmitted by the listener, and a packet different from the packet identified among information accumulated during the time window is transmitted, it may be determined that an attack has occurred.

본 발명의 일실시예에 의하면, AVB 패킷을 모니터링하여 차량 내에 가해진 AVB나 PTP 인젝션(Injection) 공격 등으로 인해 삽입된 비정상적인 패킷을 감지함으로써, 차량의 안정성을 높일 수 있다.According to an embodiment of the present invention, by monitoring AVB packets and detecting abnormal packets inserted due to AVB or PTP injection attacks applied to the vehicle, the stability of the vehicle can be improved.

도 1은 본 발명의 일실시예에 따른 공격 탐지 장치가 포함된 차량 이더넷 네트워크를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 차량 이더넷 네트워크에서 사용하는 AVB 프로토콜 스텍의 일례이다.
도 3은 본 발명의 일실시예에 따른 차량 이더넷 네트워크에 포함된 토커와 리스너 간의 정보 전송을 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 공격 탐지 방법을 도시한 플로우차트이다.
도 5는 본 발명의 일실시예에 따른 차량 이더넷 네트워크에서?? PTP 패킷의 시퀀스의 일례이다.
도 6은 본 발명의 일실시예에 따른 공격 탐지 장치가 공격을 감지하는 지표의 일례이다.1 is a diagram illustrating a vehicle Ethernet network including an attack detection device according to an embodiment of the present invention.
2 is an example of an AVB protocol stack used in a vehicle Ethernet network according to an embodiment of the present invention.
3 is a diagram illustrating information transmission between a talker and a listener included in a vehicle Ethernet network according to an embodiment of the present invention.
4 is a flowchart illustrating an attack detection method according to an embodiment of the present invention.
5 is a diagram in a vehicle Ethernet network according to an embodiment of the present invention. This is an example of a sequence of PTP packets.
6 is an example of an indicator for detecting an attack by the attack detection apparatus according to an embodiment of the present invention.

이하에서, 첨부된 도면을 참조하여 실시예들을 상세하게 설명한다. 그러나, 실시예들에는 다양한 변경이 가해질 수 있어서 특허출원의 권리 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 실시예들에 대한 모든 변경, 균등물 내지 대체물이 권리 범위에 포함되는 것으로 이해되어야 한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, since various changes may be made to the embodiments, the scope of the patent application is not limited or limited by these embodiments. It should be understood that all modifications, equivalents and substitutes for the embodiments are included in the scope of the rights.

실시예에서 사용한 용어는 단지 설명을 목적으로 사용된 것으로, 한정하려는 의도로 해석되어서는 안된다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Terms used in the examples are used for the purpose of description only, and should not be construed as limiting. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present specification, terms such as “comprise” or “have” are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, but one or more other features It is to be understood that this does not preclude the possibility of the presence or addition of numbers, steps, operations, components, parts, or combinations thereof.

또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 실시예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.In addition, in the description with reference to the accompanying drawings, the same components are assigned the same reference numerals regardless of the reference numerals, and the overlapping description thereof will be omitted. In the description of the embodiment, if it is determined that a detailed description of a related known technology may unnecessarily obscure the gist of the embodiment, the detailed description thereof will be omitted.

이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 공격 탐지 장치가 포함된 차량 이더넷 네트워크를 도시한 도면이다.1 is a diagram illustrating a vehicle Ethernet network including an attack detection device according to an embodiment of the present invention.

차량에 설치되는 차량 이더넷 네트워크는 도 1에 도시된 바와 같이 카메라(110), AVB 토커(120), 도메인 게이트웨이(130), AVB 리스너(140), ADAS(150), 자율 주행 시스템(160) 및 공격 탐지 장치(170)를 포함할 수 있다. As shown in FIG. 1 , the vehicle Ethernet network installed in the vehicle includes a camera 110 , an AVB talker 120 , a domain gateway 130 , an AVB listener 140 , an ADAS 150 , an autonomous driving system 160 and It may include an attack detection device 170 .

카메라(110)는 차량의 장착되며, 차량의 전방, 후방, 또는 측방 중 적어도 한 방향을 촬영하여 영상 정보를 생성할 수 있다.The camera 110 may be mounted on the vehicle, and may generate image information by photographing at least one of the front, rear, and side directions of the vehicle.

AVB 토커(Talker)(120)는 카메라(110)가 생성한 영상 정보를 AVB 프레임의 AVB 패킷으로 변환하여 도메인 게이트웨이(130)로 전송할 수 있다. 예를 들어, AVB 토커(120)는 영상 정보를 AVB 패킷으로 변환하는 프로세서 및 카메라(110)와 도메인 게이트웨이(130)에 유선으로 연결된 통신 인터페이스로 구성될 수 있다. The AVB talker 120 may convert the image information generated by the camera 110 into an AVB packet of an AVB frame and transmit it to the domain gateway 130 . For example, the AVB talker 120 may include a processor that converts image information into AVB packets, and a communication interface connected to the camera 110 and the domain gateway 130 by wire.

도메인 게이트웨이(130)는 AVB 토커(120)로부터 수신한 AVB 패킷을 목적지인 AVB 리스너(140)로 전송할 수 있다.The domain gateway 130 may transmit the AVB packet received from the AVB talker 120 to the destination AVB listener 140 .

이때, 도메인 게이트웨이(130)는 도메인 게이트웨이(130)를 통과하는 모든 패킷에 대하여 미러링된 패킷을 생성하여 공격 탐지 장치(170)가 연결된 미러링 포트로 출력할 수 있다.In this case, the domain gateway 130 may generate mirrored packets for all packets passing through the domain gateway 130 and output them to the mirroring port to which the attack detection device 170 is connected.

AVB 리스너(Listener)(140)는 도메인 게이트웨이(130)로부터 수신한 AVB 패킷을 영상 정보로 변환하여 디스플레이(145)에 표시할 수 있다. 예를 들어, AVB 리스너(140)는 AVB 패킷을 영상 정보로 변환하는 프로세서 및 도메인 게이트웨이(130), ADAS(150), 자율 주행 시스템(160)에 유선으로 연결된 통신 인터페이스로 구성될 수 있다. 이때, 또한, AVB 리스너(140)는 영상 정보를 ADAS(150), 또는 자율 주행 시스템(160)에 제공할 수도 있다.The AVB listener 140 may convert the AVB packet received from the domain gateway 130 into image information and display it on the display 145 . For example, the AVB listener 140 may include a processor that converts AVB packets into image information, and a communication interface connected to the domain gateway 130 , the ADAS 150 , and the autonomous driving system 160 by wire. In this case, the AVB listener 140 may also provide image information to the ADAS 150 or the autonomous driving system 160 .

또한, AVB 리스너(140)는 인포테인먼트(infotainment)에 영상 정보를 표시할 수 있다. Also, the AVB listener 140 may display image information in infotainment.

ADAS(Advanced Driver Assistance Systems)(150)는 차량의 주행 중 발생할 수 있는 상황을 인지하여 차량을 제어할 수 있다. 이때, ADAS(150)는 AVB 리스너(140)로부터 제공받은 영상 정보에 따라 차량의 상황을 인지할 수 있다.ADAS (Advanced Driver Assistance Systems) 150 may control the vehicle by recognizing a situation that may occur while the vehicle is driving. In this case, the ADAS 150 may recognize the situation of the vehicle according to the image information provided from the AVB listener 140 .

자율 주행 시스템(160)은 차량 주변의 상황에 따라 차량을 자율 주행할 수 있다. 이때, 자율 주행 시스템(160)은 AVB 리스너(140)로부터 제공받은 영상 정보에 따라 차량의 상황을 인지할 수 있다. 또한, 자율 주행 시스템(160)은 ADAS(150)에 포함될 수도 있다.The autonomous driving system 160 may autonomously drive the vehicle according to circumstances around the vehicle. In this case, the autonomous driving system 160 may recognize the vehicle situation according to the image information provided from the AVB listener 140 . Also, the autonomous driving system 160 may be included in the ADAS 150 .

공격 탐지 장치(170)는 도메인 게이트웨이(130)로부터 전송된 패킷들을 수집하여 모니터링함으로써, 차량 이더넷 네트워크에 대한 공격을 탐지할 수 있다. 예를 들어, 공격 탐지 장치(170)는 도메인 게이트웨이(130)로부터 전송된 패킷들을 수신하여 수집하는 통신 인터페이스 및, 패킷들을 모니터링하여 공격을 탐지하는 프로세서로 구성될 수 있다. The attack detection device 170 may detect an attack on the vehicle Ethernet network by collecting and monitoring packets transmitted from the domain gateway 130 . For example, the attack detection apparatus 170 may include a communication interface that receives and collects packets transmitted from the domain gateway 130 , and a processor that monitors the packets to detect an attack.

구체적으로, 공격 탐지 장치(170)는 도메인 게이트웨이(130)를 통하여 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집할 수 있다. 이때, 차량 이더넷의 노드들은 AVB 토커(120), 및 AVB 리스너(140)이며, ADAS(150)와 자율 주행 시스템(160)이 더 포함될 수도 있다.Specifically, the attack detection device 170 may collect packets transmitted and received between nodes of the vehicle Ethernet through the domain gateway 130 . In this case, the nodes of the vehicle Ethernet are the AVB talker 120 and the AVB listener 140 , and the ADAS 150 and the autonomous driving system 160 may be further included.

다음으로, 공격 탐지 장치(170)는 수집한 패킷의 헤더를 검사할 수 있다. 수집한 패킷이 AVB(Audio Video Bridging) 패킷이거나, PTP(Precision Time Protocol) 패킷인 경우, 공격 탐지 장치(170)는 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사할 수 있다. 또한, 수집한 패킷이 AVB 패킷이거나, PTP 패킷이 아닌 경우, 공격 탐지 장치(170)는 해당 패킷에 대한 공격 탐지 동작을 생략할 수 있다.Next, the attack detection apparatus 170 may examine the header of the collected packet. When the collected packet is an AVB (Audio Video Bridging) packet or a PTP (Precision Time Protocol) packet, the attack detection device 170 determines whether information or a value other than a preset value is included in the header of the collected packet can be inspected. Also, when the collected packet is an AVB packet or is not a PTP packet, the attack detection apparatus 170 may omit an attack detection operation for the corresponding packet.

그 다음으로, 공격 탐지 장치(170)는 수집한 패킷의 소스 주소와 목적지 주소를 추출할 수 있다. 이때, 공격 탐지 장치(170)는 수집한 패킷 간의 타임 인터벌을 추출할 수 있다.Next, the attack detection apparatus 170 may extract a source address and a destination address of the collected packet. In this case, the attack detection apparatus 170 may extract a time interval between the collected packets.

다음으로, 공격 탐지 장치(170)는 기 설정된 타임 윈도우 동안 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하여 저장할 수 있다.Next, the attack detection apparatus 170 may accumulate and store the entropy of the source address and the destination address, the time interval, the number of transmitted bytes and the number of packets during a preset time window.

그 다음으로, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지할 수 있다.Next, the attack detection apparatus 170 may detect an attack by comparing information accumulated during the time window with information accumulated in normal traffic.

이때, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 소스 주소와 목적지 주소와 다른 주소가 포함되었는지 여부를 확인할 수 있다. 그리고, 타임 윈도우 동안 누적된 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 공격 탐지 장치(170)는 사용자에게 확인을 요청하는 알람을 발생시킬 수 있다. 그리고, 공격 탐지 장치(170)는 사용자로부터 해당 주소가 차량에 새로 추가된 ECU(electronic control unit)의 주소인지, 또는 공격자가 메시지를 전송하기 위하여 사용한 주소인지에 대한 정보를 입력받을 수 있다.In this case, the attack detection apparatus 170 may check whether an address different from the source address and the destination address accumulated in normal traffic is included among the source address and the destination address accumulated during the time window. And, when an address different from the source address and destination address accumulated in normal traffic is included among the source addresses and destination addresses accumulated during the time window, the attack detection device 170 may generate an alarm requesting confirmation from the user. . In addition, the attack detection device 170 may receive information on whether the corresponding address is an address of an electronic control unit (ECU) newly added to the vehicle or an address used by an attacker to transmit a message from the user.

해당 주소가 차량에 새로 추가된 ECU의 주소인 경우, 공격 탐지 장치(170)는 정상적인 트래픽에서 정보에 해당 주소를 추가할 수 있다. 또한, 해당 주소가 공격자가 메시지를 전송하기 위하여 사용한 주소인 경우, 공격 탐지 장치(170)는 공격에 사용된 이력이 있는 주소들의 리스트인 블랙 리스트에 해당 주소를 추가할 수 있다.When the corresponding address is the address of the ECU newly added to the vehicle, the attack detection device 170 may add the corresponding address to information in normal traffic. Also, when the corresponding address is an address used by an attacker to transmit a message, the attack detection apparatus 170 may add the corresponding address to a black list, which is a list of addresses having a history used in an attack.

또한, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인지 여부를 확인할 수 있다. 그리고, 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.In addition, the attack detection device 170 detects a difference between at least one of the accumulated time interval, the number of transmitted bytes and the number of packets during the time window, and the accumulated time interval, the number of transmitted bytes, and the number of packets in normal traffic. It can be checked whether or not it is above a threshold value. And, when the difference between at least one of the accumulated time interval, the number of transmitted bytes and the number of packets during the time window and at least one of the accumulated time interval, the number of transmitted bytes, and the number of packets in normal traffic is equal to or greater than a threshold value, an attack is detected The device 170 may determine that an attack has occurred.

그리고, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 동일한지 여부를 확인할 수 있다. 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 공격 탐지 장치(170)는 비정상 시퀀스의 카운트를 증가시킬 수 있다. 그리고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.In addition, the attack detection apparatus 170 may check whether the transmission order of packets accumulated during the time window for each type is the same as the transmission order of packets accumulated for each type in normal traffic. When the transmission order for each type of packets accumulated during the time window is different from the transmission order for each type of packets accumulated in normal traffic, the attack detection apparatus 170 may increase the count of the abnormal sequence. And, when the count of the abnormal sequence is equal to or greater than the reference, the attack detection apparatus 170 may determine that an attack has occurred.

또한, AVB 토커(120)에서만 전송하는 패킷이 AVB 토커(120)가 아닌 다른 노드에서 전송된 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.Also, when a packet transmitted only from the AVB talker 120 is transmitted from a node other than the AVB talker 120 , the attack detection apparatus 170 may determine that an attack has occurred.

그리고, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출할 수 있다. 누락된 패킷의 개수가 기준 이상인 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.Also, the attack detection apparatus 170 may detect packet omission by comparing the transmission order by type of packets accumulated during the time window with the transmission order by type of packets accumulated in normal traffic. When the number of dropped packets is equal to or greater than the standard, the attack detection apparatus 170 may determine that an attack has occurred.

또한, 공격 탐지 장치(170)는 정상적인 트래픽에서 누적된 정보를 기초로 AVB 토커(120)가 전송한 패킷에 대응하여 노드들 중 AVB 리스너(140)가 전송하는 패킷 및 AVB 리스너(140)가 전송한 패킷에 대응하여 AVB 토커(120)가 전송하는 패킷을 식별할 수 있다. 그리고, 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.In addition, the attack detection apparatus 170 responds to packets transmitted by the AVB talker 120 based on information accumulated in normal traffic, and a packet transmitted by the AVB listener 140 among nodes and the packet transmitted by the AVB listener 140 A packet transmitted by the AVB talker 120 corresponding to one packet may be identified. And, when a packet different from the identified packet from among the information accumulated during the time window is transmitted, the attack detection apparatus 170 may determine that an attack has occurred.

공격 탐지 장치(170)는 차량 이더넷의 AVB 패킷을 모니터링하여 공격을 탐지할 수 있는 기법을 제공한다. The attack detection device 170 provides a technique capable of detecting an attack by monitoring AVB packets of vehicle Ethernet.

자율주행 차량 등과 같이, 영상 정보가 중요하게 사용되는 차량이 늘고 있는 시점에서, 영상 정보가 왜곡된다면 자칫 큰 위험을 초래할 수도 있다. 공격 탐지 장치(170)는 AVB 패킷을 모니터링하여 차량 내에 가해진 AVB나 PTP 인젝션(Injection) 공격 등으로 인해 삽입된 비정상적인 패킷을 감지함으로써, 차량의 안정성을 높일 수 있다.At a time when the number of vehicles in which image information is important is increasing, such as autonomous vehicles, if image information is distorted, it may cause a great risk. The attack detection device 170 monitors AVB packets and detects abnormal packets inserted due to AVB or PTP injection attacks applied to the vehicle, thereby improving vehicle stability.

도 2는 본 발명의 일실시예에 따른 차량 이더넷 차량 이더넷(Automotive Ethernet) 네트워크 내에서 사용되는 AVB 프로토콜 스택(Protocol Stack)의 일례이다.2 is an example of an AVB protocol stack used in a vehicle Ethernet (Automotive Ethernet) network according to an embodiment of the present invention.

차량 내 각종 장치들은 네트워크 상황이 상이하기 때문에, 시간을 동기화 시키는 프로토콜이 필요하다. 시간에 민감한 네트워크 큐잉 시스템이 사용되는 오디오 비디오 브리징 기술을 위한 시간 동기화로 PTP 동기화 프로토콜이 사용될 수 있다.Since various devices in the vehicle have different network conditions, a protocol for synchronizing time is required. The PTP synchronization protocol may be used as a time synchronization for audio video bridging techniques where a time-sensitive network queuing system is used.

PTP 는 네트워크 기기 간의 동기화가 필요한 경우 사용하는 표준 시간 전송 프로토콜이다. PTP는 근거리 통신망의 클럭을 마이크로 초 미만의 정밀도로 동기화하도록 설계된다. 그리고, 오디오/비디오 및 자동차/산업제어와 같은 장치는 이벤트 동기화를 수행하기 위해 PTP에서 제공하는 시간에 의존할 수 있다.PTP is a standard time transfer protocol used when synchronization between network devices is required. PTP is designed to synchronize the clocks of local area networks with sub-microsecond precision. In addition, devices such as audio/video and automobile/industrial control may rely on the time provided by the PTP to perform event synchronization.

PTP는 IEEE 1588 규약을 따르고 있으며 PTP v1과 PTP v2로 나뉘어 있다. 차량용 이더넷에서는 차량 내에 설치된 다양한 기기 간의 네트워크 타임스탬프를 동일하게 만들기 위해 차량용으로 수정된 PTP v2에 기반하는 gPTP를 사용할 수 있다.PTP follows the IEEE 1588 protocol and is divided into PTP v1 and PTP v2. Automotive Ethernet allows the use of gPTP based on PTP v2 modified for vehicles to make the network timestamps identical between the various devices installed in the vehicle.

또한, gPTP는 AVB 네트워크에 포함된 모든 앤드 포인트의 정밀한 시간 동기화를 수행할 수 있고, 오디오/비디오 스트림 전송에 필요한 시간 정보를 제공할 수 있다.In addition, gPTP can perform precise time synchronization of all endpoints included in the AVB network, and can provide time information required for audio/video stream transmission.

도 3은 본 발명의 일실시예에 따른 차량 이더넷 네트워크에 포함된 토커와 리스너 간의 정보 전송을 도시한 도면이다.3 is a diagram illustrating information transmission between a talker and a listener included in a vehicle Ethernet network according to an embodiment of the present invention.

단계(310)에서 AVB 토커(120), 및 AVB 리스너(140)는 도메인 게이트 웨이를 통하여 초기 설정을 위한 핸드셰이킹(Handshaking) 프로토콜들을 송수신할 수 있다.In step 310 , the AVB talker 120 and the AVB listener 140 may transmit and receive handshaking protocols for initial setup through the domain gateway.

단계(320)에서 AVB 토커(120)는 MPEG 영상 스트림을 AVTP 스트리밍 정보(Streaming Data) 프레임으로 AVB 리스너(140)에 전송할 수 있다.In operation 320 , the AVB talker 120 may transmit the MPEG video stream to the AVB listener 140 as an AVTP streaming data frame.

단계(330)에서 AVB 토커(120), 및 AVB 리스너(140)는 시간 동기화를 위한 PTP 패킷을 수신할 수 있다.In operation 330 , the AVB talker 120 and the AVB listener 140 may receive a PTP packet for time synchronization.

단계(340)는 단계(330)에서 시간 동기화가 완료된 후 수행되며, 단계(320)과 동일하게 동작할 수 있다. 또한, 동기화되지 않고 지연이 발생하는 경우, 지연에 따라 설정을 변경하는 프로토콜들을 송수신하는 단계(350)가 수행될 수도 있다.Step 340 is performed after time synchronization is completed in step 330 , and may operate in the same manner as step 320 . In addition, when a delay occurs without synchronization, the step 350 of transmitting and receiving protocols for changing settings according to the delay may be performed.

AVB의 프레임 인젝션(Frame Injection) 공격은 정상 영상의 특정 부분에 해당되는 MPEG 프레임을 다시 정상 영상에 지속적으로 인젝션하는 공격이다. 프레임 인젝션 공격에 의하여 한 개의 패킷이 지속적으로 빠르게 인젝션 공격을 하거나, 미리 저장된 다른 주행 영상이 지속적으로 주입되는 경우, 영상을 분석하여 동작을 수행하는 ADAS(150), 자율 주행 시스템(160)와 같은 시스템이 외부 물체를 인식하기 어려울 수 있다. AVB's Frame Injection attack is an attack that continuously injects MPEG frames corresponding to a specific part of a normal video back into a normal video. ADAS 150 and autonomous driving system 160 that analyzes and performs an operation when one packet continuously and rapidly injects a packet due to a frame injection attack or another driving image stored in advance is continuously injected. It may be difficult for the system to recognize foreign objects.

PTP 싱크 인젝션(sync injection) 공격은 PTP의 동기화 과정 중 싱크 메시지의 시간 정보를 변조하거나 플로딩(Flooding)하여 시간 동기화에 시간 딜레이를 유발하는 공격이다. PTP 싱크 인젝션 공격은 PTP의 초기 동기화 과정에서 잘못된 싱크 메시지를 인젝션하여 마스터(master)-슬레이브(slave) 간의 시간 동기화가 불가능하도록 하여 오작동을 유발할 수 있다.A PTP sync injection attack is an attack that causes a time delay in time synchronization by modulating or flooding time information of a sync message during the PTP synchronization process. The PTP sync injection attack may cause malfunction by injecting an incorrect sync message during the initial synchronization of PTP to make time synchronization impossible between master and slave.

따라서, 공격 탐지 장치(170)는 AVB의 프레임 인젝션(Frame Injection) 공격이나, PTP 싱크 인젝션(sync injection) 공격을 탐지하기 위하여 도 4에 도시된 바와 같은 공격 탐지 방법을 수행할 수 있다.Accordingly, the attack detection apparatus 170 may perform an attack detection method as shown in FIG. 4 to detect an AVB frame injection attack or a PTP sync injection attack.

도 4는 본 발명의 일실시예에 따른 공격 탐지 방법을 도시한 플로우차트이다.4 is a flowchart illustrating an attack detection method according to an embodiment of the present invention.

단계(410)에서 공격 탐지 장치(170)는 도메인 게이트웨이(130)를 통하여 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집할 수 있다. In step 410 , the attack detection device 170 may collect packets transmitted and received between nodes of the vehicle Ethernet through the domain gateway 130 .

단계(420)에서 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷이 AVB 패킷 또는, PTP 패킷인지 여부를 확인할 수 있다. 단계(410)에서 수집한 패킷이 AVB 패킷 또는, PTP 패킷이 아닌 경우, 공격 탐지 장치(170)는 AVB 패킷 또는, PTP 패킷이 수집될 때까지 단계(410)을 수행할 수 있다. 단계(410)에서 수집한 패킷이 AVB 패킷 또는, PTP 패킷인 경우, 공격 탐지 장치(170)는 단계(430)를 수행할 수 있다.In step 420 , the attack detection apparatus 170 may determine whether the packet collected in step 410 is an AVB packet or a PTP packet. If the packet collected in step 410 is not an AVB packet or a PTP packet, the attack detection apparatus 170 may perform step 410 until the AVB packet or PTP packet is collected. When the packet collected in step 410 is an AVB packet or a PTP packet, the attack detection apparatus 170 may perform step 430 .

단계(430)에서 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷의 헤더를 검사할 수 있다. 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷의 헤더에 VLAN 값과 같은 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사할 수 있다. 예를 들어, 공격 탐지 장치(170)는 동일한 스위치 내에서 VLAN을 1과 2로 구역을 나누어 지정할 수 있다. 그리고, 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷의 헤더에 1, 2 외의 값이 포함되었는지 여부를 검사할 수 있다. 단계(410)에서 수집한 패킷의 헤더에 1, 2 외의 값이 포함된 경우, 단계(480)에서 공격 탐지 장치(170)는 공격이 탐지된 것으로 판단할 수 있다.In step 430 , the attack detection apparatus 170 may examine the header of the packet collected in step 410 . The attack detection apparatus 170 may examine whether the header of the packet collected in step 410 includes information other than a preset value, such as a VLAN value, or a value. For example, the attack detection device 170 may divide VLANs into zones 1 and 2 within the same switch and designate them. Then, the attack detection apparatus 170 may check whether a value other than 1 and 2 is included in the header of the packet collected in step 410 . When values other than 1 and 2 are included in the header of the packet collected in step 410 , in step 480 , the attack detection apparatus 170 may determine that an attack has been detected.

단계(440)에서 공격 탐지 장치(170)는 수집한 패킷의 소스 MAC 주소(Media Access Control Address)와 목적지 MAC 주소를 추출할 수 있다. In step 440, the attack detection apparatus 170 may extract a source MAC address (Media Access Control Address) and a destination MAC address of the collected packet.

단계(450)에서 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷 간의 타임 인터벌을 추출할 수 있다.In step 450 , the attack detection apparatus 170 may extract a time interval between the packets collected in step 410 .

단계(460)에서 공격 탐지 장치(170)는 기 설정된 타임 윈도우 동안 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하여 저장할 수 있다.In step 460, the attack detection apparatus 170 may accumulate and store the entropy of the source address and the destination address, the time interval, the number of transmitted bytes, and the number of packets during a preset time window.

단계(470)에서 공격 탐지 장치(170)는 기 설정된 타임 윈도우가 종료되었는지 여부를 확인할 수 있다. 기 설정된 타임 윈도우가 종료된 경우, 정보의 누적이 종료되었으므로, 공격 탐지 장치(170)는 단계(480)를 수행할 수 있다. 기 설정된 타임 윈도우가 종료되지 않은 경우, 정보의 누적이 더 필요한 상태이므로, 공격 탐지 장치(170)는 단계(410)을 수행함으로써, 기 설정된 타임 윈도우가 종료될 때까지 단계(410) 내지 단계(460)이 반복 수행되도록 할 수 있다.In step 470 , the attack detection device 170 may check whether a preset time window has ended. When the preset time window has ended, since the accumulation of information has ended, the attack detection apparatus 170 may perform step 480 . If the preset time window has not expired, since the accumulation of information is further required, the attack detection apparatus 170 performs step 410 by performing steps 410 through steps 410 until the preset time window ends ( 460) may be repeatedly performed.

단계(480)에서 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지되는지 여부를 확인할 수 있다. 공격이 탐지된 경우, 공격 탐지 장치(170)는 단계(490)를 수행할 수 있다. 또한, 공격이 탐지되지 않은 경우, 공격 탐지 장치(170)는 단계(410)를 수행할 수 있다.In step 480 , the attack detection apparatus 170 may determine whether an attack is detected by comparing information accumulated during the time window with information accumulated in normal traffic. When an attack is detected, the attack detection apparatus 170 may perform step 490 . Also, when no attack is detected, the attack detection apparatus 170 may perform step 410 .

예를 들어, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 소스 주소와 목적지 주소와 다른 주소가 포함되었는지 여부를 확인할 수 있다. 그리고, 타임 윈도우 동안 누적된 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 공격 탐지 장치(170)는 사용자에게 확인을 요청할 수 있다. 그리고, 공격 탐지 장치(170)는 사용자로부터 해당 주소가 차량에 새로 추가된 ECU(electronic control unit)의 주소인지, 또는 공격자가 메시지를 전송하기 위하여 사용한 주소인지에 대한 정보를 입력받을 수 있다.For example, the attack detection apparatus 170 may check whether an address different from the source and destination addresses accumulated in normal traffic is included among the source addresses and destination addresses accumulated during the time window. In addition, when an address different from the source address and destination address accumulated in normal traffic is included among the source addresses and destination addresses accumulated during the time window, the attack detection apparatus 170 may request confirmation from the user. In addition, the attack detection device 170 may receive information on whether the corresponding address is an address of an electronic control unit (ECU) newly added to the vehicle or an address used by an attacker to transmit a message from the user.

해당 주소가 차량에 새로 추가된 ECU의 주소인 경우, 공격 탐지 장치(170)는 공격이 탐지되지 않은 것으로 판단하여 단계(410)를 수행할 수 있다. 반면, 해당 주소가 공격자가 메시지를 전송하기 위하여 사용한 주소인 경우, 공격 탐지 장치(170)는 공격이 탐지된 것으로 판단하여 단계(490)를 수행할 수 있다.When the corresponding address is the address of the ECU newly added to the vehicle, the attack detection apparatus 170 may determine that an attack has not been detected and may perform step 410 . On the other hand, when the corresponding address is the address used by the attacker to transmit the message, the attack detection apparatus 170 may determine that an attack has been detected and perform step 490 .

단계(490)에서 공격 탐지 장치(170)는 사용자에게 공격이 발생한 것을 알리고, 사용자에게 공격과 관련된 정보를 제공할 수 있다.In step 490 , the attack detection device 170 may notify the user that an attack has occurred and provide the user with information related to the attack.

도 5는 본 발명의 일실시예에 따른 차량 이더넷 네트워크에서의 PTP 패킷의 시퀀스의 일례이다.5 is an example of a sequence of a PTP packet in a vehicle Ethernet network according to an embodiment of the present invention.

도 5에서 AVB 토커(120), 및 AVB 리스너(140)가 각각 출력하는 패킷은 해칭을 통하여 구분하였다.In FIG. 5 , packets output by the AVB talker 120 and the AVB listener 140 are identified through hatching.

차량 이더넷 네트워크에서의 PTP 패킷의 시퀀스가 정상인 경우, 도 5의 케이스 1(Case 1)에 도시된 바와 같이 AVB 토커(120)가 Sync 패킷, Follow Up 패킷, Delay Request 패킷을 순차적으로 전송하고, AVB 리스너(140)가 Delay Response 패킷, Delay Response Follow Up 패킷을 순차적으로 전송할 수 있다.When the sequence of the PTP packets in the vehicle Ethernet network is normal, the AVB talker 120 sequentially transmits a Sync packet, a Follow Up packet, and a Delay Request packet as shown in Case 1 of FIG. 5, and the AVB The listener 140 may sequentially transmit a Delay Response packet and a Delay Response Follow Up packet.

즉, 도 5의 케이스 2(Case 2)에 도시된 바와 같이 AVB 토커(120)가 Sync 패킷, Follow Up 패킷을 전송한 후, Delay Request 패킷을 전송하기 전에 AVB 리스너(140)가 Delay Response 패킷을 전송하는 것은 비정상일 수 있다.That is, as shown in Case 2 of FIG. 5 , after the AVB talker 120 transmits the Sync packet and the Follow Up packet, before transmitting the Delay Request packet, the AVB listener 140 transmits the Delay Response packet. Transmitting may be abnormal.

따라서, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 다른 경우, 비정상으로 판단할 수 있다.Accordingly, when the transmission order of packets accumulated during the time window for each type is different from the transmission order of packets accumulated for each type in normal traffic, the attack detection apparatus 170 may determine that the transmission order is abnormal.

다만, 정상 상태에서도 패킷의 누락이 발생할 가능성도 있다. 그러나, 차량 이더넷 네트워크는 구성이 고정적이며, 정보의 손실이 초래할 치명적인 위험도를 감안하여 신뢰도를 보장하는 방향으로 구성되어 있다. 따라서, 차량 이더넷 네트워크에서 패킷의 누락은 발생 가능성이 낮으므로, 패킷의 비정상적인 시퀀스의 발생이 기준 이상으로 발생한다면 공격 또는 기기의 오작동을 의심해 볼 수 있다.However, there is a possibility that packets may be dropped even in a normal state. However, the vehicle Ethernet network has a fixed configuration and is configured in a way that guarantees reliability in consideration of the fatal risk of information loss. Therefore, since the probability of packet omission in the vehicle Ethernet network is low, if the occurrence of an abnormal sequence of packets exceeds the standard, an attack or malfunction of the device may be suspected.

그러므로, 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 공격 탐지 장치(170)는 비정상 시퀀스의 카운트를 증가시킬 수 있다. 그리고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.Therefore, when the transmission order for each type of packets accumulated during the time window is different from the transmission order for each type of packets accumulated in normal traffic, the attack detection apparatus 170 may increase the count of the abnormal sequence. And, when the count of the abnormal sequence is equal to or greater than the reference, the attack detection apparatus 170 may determine that an attack has occurred.

또한, PTP 패킷 중 Sync, Follow up 패킷은 마스터 노드인 AVB 토커(120)에서만 전송하는 패킷이므로, AVB 토커(120) 이외의 노드에서 해당 패킷이 전송된 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.Also, among the PTP packets, the Sync and Follow up packets are transmitted only by the AVB talker 120, which is the master node. can be considered to have occurred.

그리고, Delay Resp, Delay Resp Followup 패킷은 AVB 토커(120)가 Delay Request 패킷을 전송한 경우, AVB 리스너(140)에서 전송되는 패킷일 수 있다. 또한, Delay Resp, Delay Resp Followup 패킷은 AVB 리스너(140)가 Delay Request 패킷을 전송한 경우, AVB 토커(120)가 전송하는 패킷이다.In addition, the Delay Resp and Delay Resp Followup packets may be packets transmitted from the AVB listener 140 when the AVB talker 120 transmits the Delay Request packet. In addition, the Delay Resp and Delay Resp Followup packets are packets transmitted by the AVB talker 120 when the AVB listener 140 transmits a Delay Request packet.

즉, 상기 순서에 대응하지 않는 패킷이 전송된 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다. 예를 들어, AVB 토커(120)가 Delay Request 패킷을 전송하지 않은 상태에서 AVB 리스너(140)가 Delay Resp, Delay Resp Followup 패킷을 전송하거나, AVB 리스너(140)가 Delay Request 패킷을 전송하지 않은 상태에서 AVB 토커(120)가 Delay Resp, Delay Resp Followup 패킷을 전송하는 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.That is, when a packet that does not correspond to the above sequence is transmitted, the attack detection apparatus 170 may determine that an attack has occurred. For example, in a state in which AVB talker 120 does not transmit Delay Request packet, AVB listener 140 transmits Delay Resp, Delay Resp Followup packet, or AVB listener 140 does not transmit Delay Request packet. When the AVB talker 120 transmits Delay Resp and Delay Resp Followup packets in , the attack detection device 170 may determine that an attack has occurred.

도 6은 본 발명의 일실시예에 따른 공격 탐지 장치가 공격을 감지하는 지표의 일례이다.6 is an example of an index for detecting an attack by the attack detection apparatus according to an embodiment of the present invention.

공격 탐지 장치(170)는 정상 패킷들과 공격 패킷들에 대하여 도 6에 도시된 지표들의 값을 추출하여 학습할 수 있다.The attack detection apparatus 170 may learn by extracting values of the indicators shown in FIG. 6 with respect to normal packets and attack packets.

구체적으로, 공격 탐지 장치(170)는 정상 패킷들에서 도 6에 도시된 지표들의 값을 이용하여 머신 러닝 모델을 학습 시킬 수 있다. 그리고, 공격 탐지 장치(170)는 단계(460)에서 누적된 정보들을 학습된 머신 러닝 모델에 입력함으로써, 공격을 탐지할 수 있다. 이때, 머신 러닝 모델은 도 6에 도시된 지표들을 종합하여 공격 발생 여부를 탐지할 수 있다. Specifically, the attack detection apparatus 170 may train a machine learning model by using the values of the indicators shown in FIG. 6 in normal packets. Then, the attack detection apparatus 170 may detect an attack by inputting the information accumulated in step 460 into the learned machine learning model. In this case, the machine learning model may detect whether an attack has occurred by synthesizing the indicators shown in FIG. 6 .

AVTP Src-Dest MAC Entropy는 타임 윈도우(time-window) 내의 모든 프로토콜에 대한 소스(Source) MAC 주소와 목적지(Destination) MAC 주소 쌍의 엔트로피(Entropy)일 수 있다.AVTP Src-Dest MAC Entropy may be an entropy of a pair of a source MAC address and a destination MAC address for all protocols within a time-window.

AVTP Time Interval는 타임 윈도우 내의 AVTP 프로토콜에 대한 타임 인터벌(time interval)의 사분범위 값일 수 있다.The AVTP Time Interval may be a value within a quadrant of a time interval for the AVTP protocol within the time window.

AVTP BPS는 타임 윈도우 내의 AVTP 프로토콜에 대한 초당 바이트 수일 수 있다.AVTP BPS may be bytes per second for AVTP protocol within a time window.

AVTP PPS는 타임 윈도우 내의 AVTP 프로토콜에 대한 초당 패킷 수일 수 있다. AVTP PPS may be the number of packets per second for AVTP protocol within a time window.

PTP BPS는 타임 윈도우 내의 PTP 프로토콜에 대한 초당 바이트 수일 수 있다.The PTP BPS may be the number of bytes per second for the PTP protocol within the time window.

PTP Time Interval는 타임 윈도우 내의 PTP 프로토콜에 대한 타임 인터벌의 사분범위 값일 수 있다.The PTP Time Interval may be a value in the quadrant of the time interval for the PTP protocol within the time window.

PTP Packet Sequence는 PTP 패킷의 시퀀스 패턴일 수 있다.The PTP Packet Sequence may be a sequence pattern of a PTP packet.

이때, AVTP Src-Dest MAC Entropy, AVTP Time Interval, AVTP BPS, AVTP PPS, PTP BPS, PTP Time Interval는 머신 러닝 모델에서 판단 지표로 사용되는 특징(Feature)들일 수 있다. At this time, AVTP Src-Dest MAC Entropy, AVTP Time Interval, AVTP BPS, AVTP PPS, PTP BPS, and PTP Time Interval may be features used as a decision index in a machine learning model.

또한, PTP Packet Sequence는 도 5에 도시된 바와 같은 타입별 전송 순서를 식별하기 위한 정보일 수 있다. 즉, 도 5의 케이스 2(Case 2)에 도시된 바와 같이 패킷들의 전송 순서가 비 정상인 경우, 수집한 패킷들의 PTP Packet Sequence는 정상 패킷들에서 추출된 PTP Packet Sequence와 서로 다를 수 있다.In addition, the PTP Packet Sequence may be information for identifying a transmission order for each type as shown in FIG. 5 . That is, when the transmission order of packets is abnormal as shown in Case 2 of FIG. 5 , the PTP Packet Sequence of the collected packets may be different from the PTP Packet Sequence extracted from the normal packets.

본 발명은 AVB 패킷을 모니터링하여 차량 내에 가해진 AVB나 PTP 인젝션(Injection) 공격 등으로 인해 삽입된 비정상적인 패킷을 감지함으로써, 차량의 안정성을 높일 수 있다.The present invention monitors AVB packets and detects abnormal packets inserted due to AVB or PTP injection attacks applied to the vehicle, thereby improving vehicle stability.

한편, 본 발명에 따른 공격 탐지 장치 또는 공격 탐지 방법은 컴퓨터에서 실행될 수 있는 프로그램으로 작성되어 마그네틱 저장매체, 광학적 판독매체, 디지털 저장매체 등 다양한 기록 매체로도 구현될 수 있다.On the other hand, the attack detection apparatus or attack detection method according to the present invention is written as a program that can be executed on a computer and can be implemented in various recording media such as magnetic storage media, optical reading media, digital storage media, and the like.

본 명세서에 설명된 각종 기술들의 구현들은 디지털 전자 회로조직으로, 또는 컴퓨터 하드웨어, 펌웨어, 소프트웨어로, 또는 그들의 조합들로 구현될 수 있다. 구현들은 데이터 처리 장치, 예를 들어 프로그램가능 프로세서, 컴퓨터, 또는 다수의 컴퓨터들의 동작에 의한 처리를 위해, 또는 이 동작을 제어하기 위해, 컴퓨터 프로그램 제품, 예를 들어 기계 판독가능 저장 장치(컴퓨터 판독가능 매체)에서 유형적으로 구체화된 컴퓨터 프로그램으로서 구현될 수 있다. 상술한 컴퓨터 프로그램(들)과 같은 컴퓨터 프로그램은 컴파일된 또는 인터프리트된 언어들을 포함하는 임의의 형태의 프로그래밍 언어로 기록될 수 있고, 독립형 프로그램으로서 또는 모듈, 구성요소, 서브루틴, 또는 컴퓨팅 환경에서의 사용에 적절한 다른 유닛으로서 포함하는 임의의 형태로 전개될 수 있다. 컴퓨터 프로그램은 하나의 사이트에서 하나의 컴퓨터 또는 다수의 컴퓨터들 상에서 처리되도록 또는 다수의 사이트들에 걸쳐 분배되고 통신 네트워크에 의해 상호 연결되도록 전개될 수 있다.Implementations of the various techniques described herein may be implemented in digital electronic circuitry, or in computer hardware, firmware, software, or combinations thereof. Implementations may be implemented for processing by, or controlling the operation of, a data processing device, eg, a programmable processor, computer, or number of computers, in a computer program product, eg, a machine-readable storage device (computer readable available medium) as a computer program tangibly embodied in it. A computer program, such as the computer program(s) described above, may be written in any form of programming language, including compiled or interpreted languages, and may be written as a standalone program or in a module, component, subroutine, or computing environment. may be deployed in any form, including as other units suitable for use in A computer program may be deployed to be processed on one computer or multiple computers at one site or to be distributed across multiple sites and interconnected by a communications network.

컴퓨터 프로그램의 처리에 적절한 프로세서들은 예로서, 범용 및 특수 목적 마이크로프로세서들 둘 다, 및 임의의 종류의 디지털 컴퓨터의 임의의 하나 이상의 프로세서들을 포함한다. 일반적으로, 프로세서는 판독 전용 메모리 또는 랜덤 액세스 메모리 또는 둘 다로부터 명령어들 및 데이터를 수신할 것이다. 컴퓨터의 요소들은 명령어들을 실행하는 적어도 하나의 프로세서 및 명령어들 및 데이터를 저장하는 하나 이상의 메모리 장치들을 포함할 수 있다. 일반적으로, 컴퓨터는 데이터를 저장하는 하나 이상의 대량 저장 장치들, 예를 들어 자기, 자기-광 디스크들, 또는 광 디스크들을 포함할 수 있거나, 이것들로부터 데이터를 수신하거나 이것들에 데이터를 송신하거나 또는 양쪽으로 되도록 결합될 수도 있다. 컴퓨터 프로그램 명령어들 및 데이터를 구체화하는데 적절한 정보 캐리어들은 예로서 반도체 메모리 장치들, 예를 들어, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 롬(ROM, Read Only Memory), 램(RAM, Random Access Memory), 플래시 메모리, EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM) 등을 포함한다. 프로세서 및 메모리는 특수 목적 논리 회로조직에 의해 보충되거나, 이에 포함될 수 있다.Processors suitable for processing a computer program include, by way of example, both general and special purpose microprocessors, and any one or more processors of any kind of digital computer. Generally, a processor will receive instructions and data from either read-only memory or random access memory or both. Elements of a computer may include at least one processor that executes instructions and one or more memory devices that store instructions and data. In general, a computer may include one or more mass storage devices for storing data, for example magnetic, magneto-optical disks, or optical disks, receiving data from, sending data to, or both. may be combined to become Information carriers suitable for embodying computer program instructions and data are, for example, semiconductor memory devices, for example, magnetic media such as hard disks, floppy disks and magnetic tapes, Compact Disk Read Only Memory (CD-ROM). ), an optical recording medium such as a DVD (Digital Video Disk), a magneto-optical medium such as a floppy disk, a ROM (Read Only Memory), a RAM , Random Access Memory), flash memory, EPROM (Erasable Programmable ROM), EEPROM (Electrically Erasable Programmable ROM), and the like. Processors and memories may be supplemented by, or included in, special purpose logic circuitry.

또한, 컴퓨터 판독가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용매체일 수 있고, 컴퓨터 저장매체를 모두 포함할 수 있다.Also, the computer-readable medium may be any available medium that can be accessed by a computer, and may include any computer storage medium.

본 명세서는 다수의 특정한 구현물의 세부사항들을 포함하지만, 이들은 어떠한 발명이나 청구 가능한 것의 범위에 대해서도 제한적인 것으로서 이해되어서는 안되며, 오히려 특정한 발명의 특정한 실시형태에 특유할 수 있는 특징들에 대한 설명으로서 이해되어야 한다. 개별적인 실시형태의 문맥에서 본 명세서에 기술된 특정한 특징들은 단일 실시형태에서 조합하여 구현될 수도 있다. 반대로, 단일 실시형태의 문맥에서 기술한 다양한 특징들 역시 개별적으로 혹은 어떠한 적절한 하위 조합으로도 복수의 실시형태에서 구현 가능하다. 나아가, 특징들이 특정한 조합으로 동작하고 초기에 그와 같이 청구된 바와 같이 묘사될 수 있지만, 청구된 조합으로부터의 하나 이상의 특징들은 일부 경우에 그 조합으로부터 배제될 수 있으며, 그 청구된 조합은 하위 조합이나 하위 조합의 변형물로 변경될 수 있다.While this specification contains numerous specific implementation details, these are not to be construed as limitations on the scope of any invention or claim, but rather as descriptions of features that may be specific to particular embodiments of particular inventions. should be understood Certain features that are described herein in the context of separate embodiments may be implemented in combination in a single embodiment. Conversely, various features that are described in the context of a single embodiment may also be implemented in multiple embodiments, either individually or in any suitable subcombination. Furthermore, although features operate in a particular combination and may be initially depicted as claimed as such, one or more features from a claimed combination may in some cases be excluded from the combination, the claimed combination being a sub-combination. or a variant of a sub-combination.

마찬가지로, 특정한 순서로 도면에서 동작들을 묘사하고 있지만, 이는 바람직한 결과를 얻기 위하여 도시된 그 특정한 순서나 순차적인 순서대로 그러한 동작들을 수행하여야 한다거나 모든 도시된 동작들이 수행되어야 하는 것으로 이해되어서는 안 된다. 특정한 경우, 멀티태스킹과 병렬 프로세싱이 유리할 수 있다. 또한, 상술한 실시형태의 다양한 장치 컴포넌트의 분리는 그러한 분리를 모든 실시형태에서 요구하는 것으로 이해되어서는 안되며, 설명한 프로그램 컴포넌트와 장치들은 일반적으로 단일의 소프트웨어 제품으로 함께 통합되거나 다중 소프트웨어 제품에 패키징 될 수 있다는 점을 이해하여야 한다.Likewise, although acts are depicted in the figures in a particular order, it should not be construed that all acts shown must be performed or that such acts must be performed in the specific order or sequential order shown to achieve desirable results. In certain cases, multitasking and parallel processing may be advantageous. Further, the separation of the various device components of the above-described embodiments should not be construed as requiring such separation in all embodiments, and the program components and devices described may generally be integrated together into a single software product or packaged into multiple software products. You have to understand that you can.

한편, 본 명세서와 도면에 개시된 본 발명의 실시 예들은 이해를 돕기 위해 특정 예를 제시한 것에 지나지 않으며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 자명한 것이다.On the other hand, the embodiments of the present invention disclosed in the present specification and drawings are merely presented as specific examples to aid understanding, and are not intended to limit the scope of the present invention. It will be apparent to those of ordinary skill in the art to which the present invention pertains that other modifications based on the technical spirit of the present invention can be implemented in addition to the embodiments disclosed herein.

120: AVB 토커
140: AVB 리스너
170: 공격 탐지 장치120: AVB Talker
140: AVB listener
170: attack detection device

Claims (17)

차량 이더넷의 노드들 간에 송수신하는 패킷을 수집하는 단계;
수집한 패킷의 헤더를 검사하는 단계;
수집한 패킷의 소스 주소와 목적지 주소를 추출하는 단계;
기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하는 단계; 및
상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 단계
를 포함하는 공격 탐지 방법.collecting packets transmitted and received between nodes of vehicle Ethernet;
examining the headers of the collected packets;
extracting a source address and a destination address of the collected packets;
accumulating the entropy of the source address and the destination address, a time interval, the number of transmitted bytes and the number of packets during a preset time window; and
detecting an attack by comparing information accumulated during the time window with information accumulated in normal traffic;
An attack detection method comprising 제1항에 있어서,
상기 헤더를 검사하는 단계는,
상기 수집한 패킷이 AVB(Audio Video Bridging) 패킷이거나, PTP(Precision Time Protocol) 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사하는 공격 탐지 방법.According to claim 1,
Checking the header includes:
When the collected packet is an AVB (Audio Video Bridging) packet or a PTP (Precision Time Protocol) packet, an attack detection method for checking whether information or a value other than a preset value is included in the header of the collected packet . 제1항에 있어서,
상기 공격을 탐지하는 단계는,
상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시키는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
When an address different from the source address and destination address accumulated in normal traffic is included among the source address and destination address accumulated during the time window, an alarm is generated to request confirmation from the user. 제1항에 있어서,
상기 공격을 탐지하는 단계는,
상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
When the difference between the accumulated time interval, the number of transmitted bytes and the number of packets during the time window and at least one of the accumulated time interval, the number of transmitted bytes, and the number of packets in normal traffic is equal to or greater than a threshold value, an attack has occurred An attack detection method that is judged to be 제1항에 있어서,
상기 공격을 탐지하는 단계는,
상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
If the transmission order by type of packets accumulated during the time window is different from the transmission order by type of packets accumulated in normal traffic, the count of the abnormal sequence is incremented. How to detect an attack to judge. 제1항에 있어서,
상기 공격을 탐지하는 단계는,
상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.The method of claim 1,
The step of detecting the attack is
An attack detection method for determining that an attack has occurred when a packet transmitted only from a talker among the nodes is transmitted from a node other than the talker. 제1항에 있어서,
상기 공격을 탐지하는 단계는,
상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
omission of packets is detected by comparing the transmission order by type of packets accumulated during the time window with the transmission order by type of packets accumulated in normal traffic; How to detect an attack. 제1항에 있어서,
상기 공격을 탐지하는 단계는,
정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
Based on information accumulated in normal traffic, a packet transmitted by a listener among the nodes in response to a packet transmitted by a talker among the nodes and a packet transmitted by the talker in response to a packet transmitted by the listener An attack detection method for identifying and determining that an attack has occurred when a packet different from the identified packet from among the information accumulated during the time window is transmitted. 제1항 내지 제8항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록된 컴퓨터에서 판독 가능한 기록 매체.A computer-readable recording medium in which a program for executing the method of any one of claims 1 to 8 is recorded. 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집하는 통신 인터페이스; 및
수집한 패킷의 헤더를 검사하고, 수집한 패킷의 소스 주소와 목적지 주소를 추출하며, 기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하고, 상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 프로세서
를 포함하는 공격 탐지 장치.a communication interface that collects packets transmitted and received between nodes of vehicle Ethernet; and
The header of the collected packet is inspected, the source address and the destination address of the collected packet are extracted, and the entropy of the source address and the destination address, the time interval, the number of transmitted bytes and the number of packets are accumulated during a preset time window. and a processor for detecting an attack by comparing information accumulated during the time window with information accumulated from normal traffic.
An attack detection device comprising a. 제10항에 있어서,
상기 프로세서는,
상기 수집한 패킷이 AVB 패킷이거나, PTP 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사하는 공격 탐지 장치.11. The method of claim 10,
The processor is
When the collected packet is an AVB packet or a PTP packet, an attack detection device for checking whether information or a value other than a preset value is included in a header of the collected packet. 제10항에 있어서,
상기 프로세서는,
상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시키는 공격 탐지 장치.11. The method of claim 10,
The processor is
When an address different from the source address and destination address accumulated in normal traffic is included among the source address and destination address accumulated during the time window, an alarm to request confirmation from the user is generated. 제10항에 있어서,
상기 프로세서는,
상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.11. The method of claim 10,
The processor is
When the difference between the accumulated time interval, the number of transmitted bytes and the number of packets during the time window and at least one of the accumulated time interval, the number of transmitted bytes, and the number of packets in normal traffic is equal to or greater than a threshold value, an attack has occurred An attack detection device that judges to be 제10항에 있어서,
상기 프로세서는,
상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.11. The method of claim 10,
The processor is
If the transmission order by type of packets accumulated during the time window is different from the transmission order by type of packets accumulated in normal traffic, the count of the abnormal sequence is incremented. An attack detection device that judges. 제10항에 있어서,
상기 프로세서는,
상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.11. The method of claim 10,
The processor is
An attack detection device for determining that an attack has occurred when a packet transmitted only from a talker among the nodes is transmitted from a node other than the talker. 제10항에 있어서,
상기 프로세서는,
상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.11. The method of claim 10,
The processor is
omission of packets is detected by comparing the transmission order by type of packets accumulated during the time window with the transmission order by type of packets accumulated in normal traffic; attack detection device. 제10항에 있어서,
상기 프로세서는,
정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.
11. The method of claim 10,
The processor is
Based on information accumulated in normal traffic, a packet transmitted by a listener among the nodes in response to a packet transmitted by a talker among the nodes and a packet transmitted by the talker in response to a packet transmitted by the listener An attack detection apparatus for identifying and determining that an attack has occurred when a packet different from the identified packet from among the information accumulated during the time window is transmitted.
KR1020210007443A 2021-01-19 2021-01-19 Method and apparatus for detecting attacks on image data of networks in automotive ethernet KR20220104977A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210007443A KR20220104977A (en) 2021-01-19 2021-01-19 Method and apparatus for detecting attacks on image data of networks in automotive ethernet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210007443A KR20220104977A (en) 2021-01-19 2021-01-19 Method and apparatus for detecting attacks on image data of networks in automotive ethernet

Publications (1)

Publication Number Publication Date
KR20220104977A true KR20220104977A (en) 2022-07-26

Family

ID=82609659

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210007443A KR20220104977A (en) 2021-01-19 2021-01-19 Method and apparatus for detecting attacks on image data of networks in automotive ethernet

Country Status (1)

Country Link
KR (1) KR20220104977A (en)

Similar Documents

Publication Publication Date Title
EP2950482B1 (en) Network device and data sending and receiving system
EP3358788B1 (en) Illegality detection electronic control unit, vehicle onboard network system, and communication method
US9319239B2 (en) Data network with a time synchronization system
EP3206361A1 (en) Controller area network (can) message filtering
US20210185070A1 (en) Lightweight intrusion detection apparatus and method for vehicle network
JP7232832B2 (en) Fraud detection method and fraud detection device
EP2381627B1 (en) Data transmission device
KR20150100790A (en) Data transmission using a protocol exception state
WO2017110056A1 (en) Fraudulent message detection device, electronic control apparatus equipped with fraudulent message detection device, fraudulent message detection method, and fraudulent message detection program
CN110865626A (en) Method and system for detecting message injection anomalies
US8792350B2 (en) Network relay system, network relay device, and congested state notifying method
CN110832809B (en) Detection device, detection method, and non-transitory computer-readable storage medium
EP3599743A1 (en) Method and device for communicating data frames on a multi-master bus
CN114846752A (en) Method for checking sensor data validity of Ethernet vehicle-mounted network
CN110597226A (en) Abnormity early warning method and device for vehicle-mounted Ethernet
JP5262674B2 (en) Delay measuring method and communication apparatus
KR20220104977A (en) Method and apparatus for detecting attacks on image data of networks in automotive ethernet
KR102204655B1 (en) A mitigation method against message flooding attacks for secure controller area network by predicting attack message retransfer time
KR102204656B1 (en) A mitigation system against message flooding attacks for secure controller area network by predicting transfer delay of normal can message
CN101626320A (en) Method and device for detecting loopback of channel
US10447384B2 (en) Communication apparatus, communication method, and program
US7698395B2 (en) Controlling start up in a network
US20220069973A1 (en) Safety Extension for Precision Time Protocol (PTP)
KR101481132B1 (en) Apparatus and method for synchronizing data output time in vehicle network
US9942123B2 (en) Device and method for monitoring communication in network including a plurality of nodes