KR20220104977A - Method and apparatus for detecting attacks on image data of networks in automotive ethernet - Google Patents
Method and apparatus for detecting attacks on image data of networks in automotive ethernet Download PDFInfo
- Publication number
- KR20220104977A KR20220104977A KR1020210007443A KR20210007443A KR20220104977A KR 20220104977 A KR20220104977 A KR 20220104977A KR 1020210007443 A KR1020210007443 A KR 1020210007443A KR 20210007443 A KR20210007443 A KR 20210007443A KR 20220104977 A KR20220104977 A KR 20220104977A
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- packets
- packet
- transmitted
- accumulated
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40104—Security; Encryption; Content protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40117—Interconnection of audio or video/imaging devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Traffic Control Systems (AREA)
Abstract
Description
본 발명은 차량 이더넷 네트워크의 영상 정보에 대한 공격 탐지 방법 및 장치에 관한 것으로, 보다 구체적으로는 차량 이더넷 네트워크에서 오디오 비디오 브리징 프로토콜이 적용된 영상 정보 및 시간 동기화 정보에 대한 공격을 탐지하는 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for detecting an attack on image information in a vehicle Ethernet network, and more particularly, to a method and apparatus for detecting an attack on image information and time synchronization information to which an audio video bridging protocol is applied in a vehicle Ethernet network. it's about
자동차 분야에서는 ECU와 인포테인먼트에 기능에 대한 수요가 증가함에 따라 실시간성을 갖고 품질을 보장할 수 있는 오디오 비디오 브리징(AVB: Audio Video Bridging) 기술을 차량용 이더넷 네트워크에 적용하는 장치가 개발되고 있다.In the automotive field, as the demand for functions in ECUs and infotainment increases, devices that apply audio video bridging (AVB) technology that can ensure quality with real-time performance to an automotive Ethernet network are being developed.
오디오 비디오 브리징 기술은 오디오/비디오, 제어데이터가 gPTP, SRP (Stream Reservation Protocol)를 지원하는 TSN (Time-Sensitive Networking) 네트워크 상에서 전송되도록 하는 프로토콜이다. AVTP는 데이터와 시간 정보가 전송되는 방식을 정의하여 AVB 토커(talker)로부터 전송되는 오디오와 비디오 또는 제어 정보가 AVB 리스너(listener)에서 재현되도록 할 수 있다. 그리고, 스트리밍 정보에 대하여 짧은 지연 시간과 고품질 전송을 가능하게 하는 AVB 통신은 차량에서 영상 정보를 전송하는데 사용되고 있다.The audio-video bridging technology is a protocol that allows audio/video and control data to be transmitted over a Time-Sensitive Networking (TSN) network supporting gPTP and SRP (Stream Reservation Protocol). AVTP defines how data and time information are transmitted so that audio and video or control information transmitted from an AVB talker can be reproduced by an AVB listener. In addition, AVB communication, which enables short delay time and high quality transmission of streaming information, is used to transmit image information in a vehicle.
그러나, 차량용 이더넷 네트워크에 공격을 수행함으로써, AVB 통신을 통하여 전송되는 영상 정보에 거짓 영상을 추가하는 경우, 영상 정보에 기초한 차량 제어에 문제가 발생하여 사고가 발생할 가능성이 있다.However, when a false image is added to image information transmitted through AVB communication by performing an attack on the vehicle Ethernet network, there is a possibility that an accident may occur due to a problem in vehicle control based on the image information.
따라서, AVB를 사용한 차량용 이더넷 네트워크에 대한 공격을 탐지하는 방법이 요청되고 있다.Accordingly, there is a need for a method for detecting an attack on the vehicle Ethernet network using AVB.
본 발명은 차량 이더넷의 AVB 패킷을 모니터링하여 차량 내에 가해진 공격을 탐지할 수 있는 방법 및 장치를 제공한다.The present invention provides a method and apparatus capable of detecting an attack applied to a vehicle by monitoring AVB packets of vehicle Ethernet.
본 발명의 일실시예에 따른 공격 탐지 방법은 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집하는 단계; 수집한 패킷의 헤더를 검사하는 단계; 수집한 패킷의 소스 주소와 목적지 주소를 추출하는 단계; 기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하는 단계; 및 상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 단계를 포함할 수 있다.An attack detection method according to an embodiment of the present invention includes collecting packets transmitted and received between nodes of a vehicle Ethernet; examining the headers of the collected packets; extracting a source address and a destination address of the collected packet; accumulating the entropy of the source address and the destination address, a time interval, the number of transmitted bytes and the number of packets during a preset time window; and detecting an attack by comparing information accumulated during the time window with information accumulated in normal traffic.
본 발명의 일실시예에 따른 공격 탐지 방법의 상기 헤더를 검사하는 단계는, 상기 수집한 패킷이 AVB(Audio Video Bridging) 패킷이거나, PTP(Precision Time Protocol) 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사할 수 있다.The step of examining the header of the attack detection method according to an embodiment of the present invention may include, when the collected packet is an Audio Video Bridging (AVB) packet or a PTP (Precision Time Protocol) packet, the header of the collected packet is added. It may be checked whether information other than a preset value or a value is included.
본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시킬 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention includes an address different from the source address and destination address accumulated in normal traffic among the source address and destination address accumulated during the time window. In this case, an alarm may be generated to request confirmation from the user.
본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention includes: a time interval accumulated during the time window, the number of bytes transmitted and the number of packets, and a time interval accumulated in normal traffic, transmitted bytes When a difference between at least one of the number of and the number of packets is equal to or greater than a threshold, it may be determined that an attack has occurred.
본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention may include, when the transmission order of packets accumulated during the time window by type is different from the transmission order of packets accumulated in normal traffic by type, abnormal The count of the sequence is increased, and when the count of the abnormal sequence is equal to or greater than the reference, it may be determined that an attack has occurred.
본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention may include determining that an attack has occurred when a packet transmitted only from a talker among the nodes is transmitted from a node other than the talker. can
본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention includes comparing the transmission order by type of packets accumulated during the time window with the transmission order by type of packets accumulated in normal traffic to drop packets. , and when the number of dropped packets is equal to or greater than the standard, it can be determined that an attack has occurred.
본 발명의 일실시예에 따른 공격 탐지 방법의 상기 공격을 탐지하는 단계는, 정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단할 수 있다.The step of detecting the attack of the attack detection method according to an embodiment of the present invention comprises: a listener among the nodes in response to a packet transmitted by a talker among the nodes based on information accumulated in normal traffic. A packet transmitted by the talker is identified in response to a packet transmitted and a packet transmitted by the listener, and when a packet different from the packet identified among the information accumulated during the time window is transmitted, it can be determined that an attack has occurred. have.
본 발명의 일실시예에 따른 공격 탐지 장치는 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집하는 통신 인터페이스; 및 수집한 패킷의 헤더를 검사하고, 수집한 패킷의 소스 주소와 목적지 주소를 추출하며, 기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하고, 상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 프로세서를 포함할 수 있다.An attack detection apparatus according to an embodiment of the present invention includes: a communication interface for collecting packets transmitted and received between nodes of a vehicle Ethernet; and inspecting the header of the collected packet, extracting the source address and the destination address of the collected packet, and determining the entropy of the source address and the destination address, the time interval, the number of transmitted bytes and the number of packets during a preset time window. and a processor for detecting an attack by accumulating and comparing information accumulated during the time window with information accumulated in normal traffic.
본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 수집한 패킷이 AVB 패킷이거나, PTP 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사할 수 있다.When the collected packet is an AVB packet or a PTP packet, the processor of the attack detection apparatus according to an embodiment of the present invention determines whether information or a value other than a preset value is included in the header of the collected packet. can be inspected.
본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시킬 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention, when an address different from the source address and destination address accumulated in normal traffic is included among the source address and destination address accumulated during the time window, confirms to the user You can generate an alarm requesting
본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention, the time interval accumulated during the time window, the number of transmitted bytes and the number of packets, and the accumulated time interval in normal traffic, the number of transmitted bytes, and the number of packets When a difference between at least one of the numbers is equal to or greater than a threshold value, it may be determined that an attack has occurred.
본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention increases the count of the abnormal sequence when the transmission order for each type of packets accumulated during the time window is different from the transmission order for each type of packets accumulated in normal traffic. and when the count of the abnormal sequence is equal to or greater than the reference, it can be determined that an attack has occurred.
본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention may determine that an attack has occurred when a packet transmitted only from a talker among the nodes is transmitted from a node other than the talker.
본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention compares a transmission order by type of packets accumulated during the time window with a transmission order by type of packets accumulated in normal traffic to detect packet omission, and If the number of packets is greater than or equal to the standard, it can be determined that an attack has occurred.
본 발명의 일실시예에 따른 공격 탐지 장치의 프로세서는, 정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단할 수 있다.The processor of the attack detection apparatus according to an embodiment of the present invention includes a packet transmitted by a listener among the nodes in response to a packet transmitted by a talker among the nodes based on information accumulated in normal traffic, and the When a packet transmitted by the talker is identified in response to a packet transmitted by the listener, and a packet different from the packet identified among information accumulated during the time window is transmitted, it may be determined that an attack has occurred.
본 발명의 일실시예에 의하면, AVB 패킷을 모니터링하여 차량 내에 가해진 AVB나 PTP 인젝션(Injection) 공격 등으로 인해 삽입된 비정상적인 패킷을 감지함으로써, 차량의 안정성을 높일 수 있다.According to an embodiment of the present invention, by monitoring AVB packets and detecting abnormal packets inserted due to AVB or PTP injection attacks applied to the vehicle, the stability of the vehicle can be improved.
도 1은 본 발명의 일실시예에 따른 공격 탐지 장치가 포함된 차량 이더넷 네트워크를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 차량 이더넷 네트워크에서 사용하는 AVB 프로토콜 스텍의 일례이다.
도 3은 본 발명의 일실시예에 따른 차량 이더넷 네트워크에 포함된 토커와 리스너 간의 정보 전송을 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 공격 탐지 방법을 도시한 플로우차트이다.
도 5는 본 발명의 일실시예에 따른 차량 이더넷 네트워크에서?? PTP 패킷의 시퀀스의 일례이다.
도 6은 본 발명의 일실시예에 따른 공격 탐지 장치가 공격을 감지하는 지표의 일례이다.1 is a diagram illustrating a vehicle Ethernet network including an attack detection device according to an embodiment of the present invention.
2 is an example of an AVB protocol stack used in a vehicle Ethernet network according to an embodiment of the present invention.
3 is a diagram illustrating information transmission between a talker and a listener included in a vehicle Ethernet network according to an embodiment of the present invention.
4 is a flowchart illustrating an attack detection method according to an embodiment of the present invention.
5 is a diagram in a vehicle Ethernet network according to an embodiment of the present invention. This is an example of a sequence of PTP packets.
6 is an example of an indicator for detecting an attack by the attack detection apparatus according to an embodiment of the present invention.
이하에서, 첨부된 도면을 참조하여 실시예들을 상세하게 설명한다. 그러나, 실시예들에는 다양한 변경이 가해질 수 있어서 특허출원의 권리 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 실시예들에 대한 모든 변경, 균등물 내지 대체물이 권리 범위에 포함되는 것으로 이해되어야 한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, since various changes may be made to the embodiments, the scope of the patent application is not limited or limited by these embodiments. It should be understood that all modifications, equivalents and substitutes for the embodiments are included in the scope of the rights.
실시예에서 사용한 용어는 단지 설명을 목적으로 사용된 것으로, 한정하려는 의도로 해석되어서는 안된다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Terms used in the examples are used for the purpose of description only, and should not be construed as limiting. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present specification, terms such as “comprise” or “have” are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, but one or more other features It is to be understood that this does not preclude the possibility of the presence or addition of numbers, steps, operations, components, parts, or combinations thereof.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 실시예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.In addition, in the description with reference to the accompanying drawings, the same components are assigned the same reference numerals regardless of the reference numerals, and the overlapping description thereof will be omitted. In the description of the embodiment, if it is determined that a detailed description of a related known technology may unnecessarily obscure the gist of the embodiment, the detailed description thereof will be omitted.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일실시예에 따른 공격 탐지 장치가 포함된 차량 이더넷 네트워크를 도시한 도면이다.1 is a diagram illustrating a vehicle Ethernet network including an attack detection device according to an embodiment of the present invention.
차량에 설치되는 차량 이더넷 네트워크는 도 1에 도시된 바와 같이 카메라(110), AVB 토커(120), 도메인 게이트웨이(130), AVB 리스너(140), ADAS(150), 자율 주행 시스템(160) 및 공격 탐지 장치(170)를 포함할 수 있다. As shown in FIG. 1 , the vehicle Ethernet network installed in the vehicle includes a
카메라(110)는 차량의 장착되며, 차량의 전방, 후방, 또는 측방 중 적어도 한 방향을 촬영하여 영상 정보를 생성할 수 있다.The
AVB 토커(Talker)(120)는 카메라(110)가 생성한 영상 정보를 AVB 프레임의 AVB 패킷으로 변환하여 도메인 게이트웨이(130)로 전송할 수 있다. 예를 들어, AVB 토커(120)는 영상 정보를 AVB 패킷으로 변환하는 프로세서 및 카메라(110)와 도메인 게이트웨이(130)에 유선으로 연결된 통신 인터페이스로 구성될 수 있다. The AVB
도메인 게이트웨이(130)는 AVB 토커(120)로부터 수신한 AVB 패킷을 목적지인 AVB 리스너(140)로 전송할 수 있다.The
이때, 도메인 게이트웨이(130)는 도메인 게이트웨이(130)를 통과하는 모든 패킷에 대하여 미러링된 패킷을 생성하여 공격 탐지 장치(170)가 연결된 미러링 포트로 출력할 수 있다.In this case, the
AVB 리스너(Listener)(140)는 도메인 게이트웨이(130)로부터 수신한 AVB 패킷을 영상 정보로 변환하여 디스플레이(145)에 표시할 수 있다. 예를 들어, AVB 리스너(140)는 AVB 패킷을 영상 정보로 변환하는 프로세서 및 도메인 게이트웨이(130), ADAS(150), 자율 주행 시스템(160)에 유선으로 연결된 통신 인터페이스로 구성될 수 있다. 이때, 또한, AVB 리스너(140)는 영상 정보를 ADAS(150), 또는 자율 주행 시스템(160)에 제공할 수도 있다.The
또한, AVB 리스너(140)는 인포테인먼트(infotainment)에 영상 정보를 표시할 수 있다. Also, the AVB
ADAS(Advanced Driver Assistance Systems)(150)는 차량의 주행 중 발생할 수 있는 상황을 인지하여 차량을 제어할 수 있다. 이때, ADAS(150)는 AVB 리스너(140)로부터 제공받은 영상 정보에 따라 차량의 상황을 인지할 수 있다.ADAS (Advanced Driver Assistance Systems) 150 may control the vehicle by recognizing a situation that may occur while the vehicle is driving. In this case, the ADAS 150 may recognize the situation of the vehicle according to the image information provided from the AVB
자율 주행 시스템(160)은 차량 주변의 상황에 따라 차량을 자율 주행할 수 있다. 이때, 자율 주행 시스템(160)은 AVB 리스너(140)로부터 제공받은 영상 정보에 따라 차량의 상황을 인지할 수 있다. 또한, 자율 주행 시스템(160)은 ADAS(150)에 포함될 수도 있다.The
공격 탐지 장치(170)는 도메인 게이트웨이(130)로부터 전송된 패킷들을 수집하여 모니터링함으로써, 차량 이더넷 네트워크에 대한 공격을 탐지할 수 있다. 예를 들어, 공격 탐지 장치(170)는 도메인 게이트웨이(130)로부터 전송된 패킷들을 수신하여 수집하는 통신 인터페이스 및, 패킷들을 모니터링하여 공격을 탐지하는 프로세서로 구성될 수 있다. The
구체적으로, 공격 탐지 장치(170)는 도메인 게이트웨이(130)를 통하여 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집할 수 있다. 이때, 차량 이더넷의 노드들은 AVB 토커(120), 및 AVB 리스너(140)이며, ADAS(150)와 자율 주행 시스템(160)이 더 포함될 수도 있다.Specifically, the
다음으로, 공격 탐지 장치(170)는 수집한 패킷의 헤더를 검사할 수 있다. 수집한 패킷이 AVB(Audio Video Bridging) 패킷이거나, PTP(Precision Time Protocol) 패킷인 경우, 공격 탐지 장치(170)는 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사할 수 있다. 또한, 수집한 패킷이 AVB 패킷이거나, PTP 패킷이 아닌 경우, 공격 탐지 장치(170)는 해당 패킷에 대한 공격 탐지 동작을 생략할 수 있다.Next, the
그 다음으로, 공격 탐지 장치(170)는 수집한 패킷의 소스 주소와 목적지 주소를 추출할 수 있다. 이때, 공격 탐지 장치(170)는 수집한 패킷 간의 타임 인터벌을 추출할 수 있다.Next, the
다음으로, 공격 탐지 장치(170)는 기 설정된 타임 윈도우 동안 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하여 저장할 수 있다.Next, the
그 다음으로, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지할 수 있다.Next, the
이때, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 소스 주소와 목적지 주소와 다른 주소가 포함되었는지 여부를 확인할 수 있다. 그리고, 타임 윈도우 동안 누적된 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 공격 탐지 장치(170)는 사용자에게 확인을 요청하는 알람을 발생시킬 수 있다. 그리고, 공격 탐지 장치(170)는 사용자로부터 해당 주소가 차량에 새로 추가된 ECU(electronic control unit)의 주소인지, 또는 공격자가 메시지를 전송하기 위하여 사용한 주소인지에 대한 정보를 입력받을 수 있다.In this case, the
해당 주소가 차량에 새로 추가된 ECU의 주소인 경우, 공격 탐지 장치(170)는 정상적인 트래픽에서 정보에 해당 주소를 추가할 수 있다. 또한, 해당 주소가 공격자가 메시지를 전송하기 위하여 사용한 주소인 경우, 공격 탐지 장치(170)는 공격에 사용된 이력이 있는 주소들의 리스트인 블랙 리스트에 해당 주소를 추가할 수 있다.When the corresponding address is the address of the ECU newly added to the vehicle, the
또한, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인지 여부를 확인할 수 있다. 그리고, 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.In addition, the
그리고, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 동일한지 여부를 확인할 수 있다. 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 공격 탐지 장치(170)는 비정상 시퀀스의 카운트를 증가시킬 수 있다. 그리고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.In addition, the
또한, AVB 토커(120)에서만 전송하는 패킷이 AVB 토커(120)가 아닌 다른 노드에서 전송된 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.Also, when a packet transmitted only from the
그리고, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출할 수 있다. 누락된 패킷의 개수가 기준 이상인 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.Also, the
또한, 공격 탐지 장치(170)는 정상적인 트래픽에서 누적된 정보를 기초로 AVB 토커(120)가 전송한 패킷에 대응하여 노드들 중 AVB 리스너(140)가 전송하는 패킷 및 AVB 리스너(140)가 전송한 패킷에 대응하여 AVB 토커(120)가 전송하는 패킷을 식별할 수 있다. 그리고, 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.In addition, the
공격 탐지 장치(170)는 차량 이더넷의 AVB 패킷을 모니터링하여 공격을 탐지할 수 있는 기법을 제공한다. The
자율주행 차량 등과 같이, 영상 정보가 중요하게 사용되는 차량이 늘고 있는 시점에서, 영상 정보가 왜곡된다면 자칫 큰 위험을 초래할 수도 있다. 공격 탐지 장치(170)는 AVB 패킷을 모니터링하여 차량 내에 가해진 AVB나 PTP 인젝션(Injection) 공격 등으로 인해 삽입된 비정상적인 패킷을 감지함으로써, 차량의 안정성을 높일 수 있다.At a time when the number of vehicles in which image information is important is increasing, such as autonomous vehicles, if image information is distorted, it may cause a great risk. The
도 2는 본 발명의 일실시예에 따른 차량 이더넷 차량 이더넷(Automotive Ethernet) 네트워크 내에서 사용되는 AVB 프로토콜 스택(Protocol Stack)의 일례이다.2 is an example of an AVB protocol stack used in a vehicle Ethernet (Automotive Ethernet) network according to an embodiment of the present invention.
차량 내 각종 장치들은 네트워크 상황이 상이하기 때문에, 시간을 동기화 시키는 프로토콜이 필요하다. 시간에 민감한 네트워크 큐잉 시스템이 사용되는 오디오 비디오 브리징 기술을 위한 시간 동기화로 PTP 동기화 프로토콜이 사용될 수 있다.Since various devices in the vehicle have different network conditions, a protocol for synchronizing time is required. The PTP synchronization protocol may be used as a time synchronization for audio video bridging techniques where a time-sensitive network queuing system is used.
PTP 는 네트워크 기기 간의 동기화가 필요한 경우 사용하는 표준 시간 전송 프로토콜이다. PTP는 근거리 통신망의 클럭을 마이크로 초 미만의 정밀도로 동기화하도록 설계된다. 그리고, 오디오/비디오 및 자동차/산업제어와 같은 장치는 이벤트 동기화를 수행하기 위해 PTP에서 제공하는 시간에 의존할 수 있다.PTP is a standard time transfer protocol used when synchronization between network devices is required. PTP is designed to synchronize the clocks of local area networks with sub-microsecond precision. In addition, devices such as audio/video and automobile/industrial control may rely on the time provided by the PTP to perform event synchronization.
PTP는 IEEE 1588 규약을 따르고 있으며 PTP v1과 PTP v2로 나뉘어 있다. 차량용 이더넷에서는 차량 내에 설치된 다양한 기기 간의 네트워크 타임스탬프를 동일하게 만들기 위해 차량용으로 수정된 PTP v2에 기반하는 gPTP를 사용할 수 있다.PTP follows the IEEE 1588 protocol and is divided into PTP v1 and PTP v2. Automotive Ethernet allows the use of gPTP based on PTP v2 modified for vehicles to make the network timestamps identical between the various devices installed in the vehicle.
또한, gPTP는 AVB 네트워크에 포함된 모든 앤드 포인트의 정밀한 시간 동기화를 수행할 수 있고, 오디오/비디오 스트림 전송에 필요한 시간 정보를 제공할 수 있다.In addition, gPTP can perform precise time synchronization of all endpoints included in the AVB network, and can provide time information required for audio/video stream transmission.
도 3은 본 발명의 일실시예에 따른 차량 이더넷 네트워크에 포함된 토커와 리스너 간의 정보 전송을 도시한 도면이다.3 is a diagram illustrating information transmission between a talker and a listener included in a vehicle Ethernet network according to an embodiment of the present invention.
단계(310)에서 AVB 토커(120), 및 AVB 리스너(140)는 도메인 게이트 웨이를 통하여 초기 설정을 위한 핸드셰이킹(Handshaking) 프로토콜들을 송수신할 수 있다.In
단계(320)에서 AVB 토커(120)는 MPEG 영상 스트림을 AVTP 스트리밍 정보(Streaming Data) 프레임으로 AVB 리스너(140)에 전송할 수 있다.In
단계(330)에서 AVB 토커(120), 및 AVB 리스너(140)는 시간 동기화를 위한 PTP 패킷을 수신할 수 있다.In
단계(340)는 단계(330)에서 시간 동기화가 완료된 후 수행되며, 단계(320)과 동일하게 동작할 수 있다. 또한, 동기화되지 않고 지연이 발생하는 경우, 지연에 따라 설정을 변경하는 프로토콜들을 송수신하는 단계(350)가 수행될 수도 있다.Step 340 is performed after time synchronization is completed in
AVB의 프레임 인젝션(Frame Injection) 공격은 정상 영상의 특정 부분에 해당되는 MPEG 프레임을 다시 정상 영상에 지속적으로 인젝션하는 공격이다. 프레임 인젝션 공격에 의하여 한 개의 패킷이 지속적으로 빠르게 인젝션 공격을 하거나, 미리 저장된 다른 주행 영상이 지속적으로 주입되는 경우, 영상을 분석하여 동작을 수행하는 ADAS(150), 자율 주행 시스템(160)와 같은 시스템이 외부 물체를 인식하기 어려울 수 있다. AVB's Frame Injection attack is an attack that continuously injects MPEG frames corresponding to a specific part of a normal video back into a normal video.
PTP 싱크 인젝션(sync injection) 공격은 PTP의 동기화 과정 중 싱크 메시지의 시간 정보를 변조하거나 플로딩(Flooding)하여 시간 동기화에 시간 딜레이를 유발하는 공격이다. PTP 싱크 인젝션 공격은 PTP의 초기 동기화 과정에서 잘못된 싱크 메시지를 인젝션하여 마스터(master)-슬레이브(slave) 간의 시간 동기화가 불가능하도록 하여 오작동을 유발할 수 있다.A PTP sync injection attack is an attack that causes a time delay in time synchronization by modulating or flooding time information of a sync message during the PTP synchronization process. The PTP sync injection attack may cause malfunction by injecting an incorrect sync message during the initial synchronization of PTP to make time synchronization impossible between master and slave.
따라서, 공격 탐지 장치(170)는 AVB의 프레임 인젝션(Frame Injection) 공격이나, PTP 싱크 인젝션(sync injection) 공격을 탐지하기 위하여 도 4에 도시된 바와 같은 공격 탐지 방법을 수행할 수 있다.Accordingly, the
도 4는 본 발명의 일실시예에 따른 공격 탐지 방법을 도시한 플로우차트이다.4 is a flowchart illustrating an attack detection method according to an embodiment of the present invention.
단계(410)에서 공격 탐지 장치(170)는 도메인 게이트웨이(130)를 통하여 차량 이더넷의 노드들 간에 송수신하는 패킷을 수집할 수 있다. In
단계(420)에서 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷이 AVB 패킷 또는, PTP 패킷인지 여부를 확인할 수 있다. 단계(410)에서 수집한 패킷이 AVB 패킷 또는, PTP 패킷이 아닌 경우, 공격 탐지 장치(170)는 AVB 패킷 또는, PTP 패킷이 수집될 때까지 단계(410)을 수행할 수 있다. 단계(410)에서 수집한 패킷이 AVB 패킷 또는, PTP 패킷인 경우, 공격 탐지 장치(170)는 단계(430)를 수행할 수 있다.In
단계(430)에서 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷의 헤더를 검사할 수 있다. 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷의 헤더에 VLAN 값과 같은 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사할 수 있다. 예를 들어, 공격 탐지 장치(170)는 동일한 스위치 내에서 VLAN을 1과 2로 구역을 나누어 지정할 수 있다. 그리고, 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷의 헤더에 1, 2 외의 값이 포함되었는지 여부를 검사할 수 있다. 단계(410)에서 수집한 패킷의 헤더에 1, 2 외의 값이 포함된 경우, 단계(480)에서 공격 탐지 장치(170)는 공격이 탐지된 것으로 판단할 수 있다.In
단계(440)에서 공격 탐지 장치(170)는 수집한 패킷의 소스 MAC 주소(Media Access Control Address)와 목적지 MAC 주소를 추출할 수 있다. In
단계(450)에서 공격 탐지 장치(170)는 단계(410)에서 수집한 패킷 간의 타임 인터벌을 추출할 수 있다.In
단계(460)에서 공격 탐지 장치(170)는 기 설정된 타임 윈도우 동안 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하여 저장할 수 있다.In
단계(470)에서 공격 탐지 장치(170)는 기 설정된 타임 윈도우가 종료되었는지 여부를 확인할 수 있다. 기 설정된 타임 윈도우가 종료된 경우, 정보의 누적이 종료되었으므로, 공격 탐지 장치(170)는 단계(480)를 수행할 수 있다. 기 설정된 타임 윈도우가 종료되지 않은 경우, 정보의 누적이 더 필요한 상태이므로, 공격 탐지 장치(170)는 단계(410)을 수행함으로써, 기 설정된 타임 윈도우가 종료될 때까지 단계(410) 내지 단계(460)이 반복 수행되도록 할 수 있다.In
단계(480)에서 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지되는지 여부를 확인할 수 있다. 공격이 탐지된 경우, 공격 탐지 장치(170)는 단계(490)를 수행할 수 있다. 또한, 공격이 탐지되지 않은 경우, 공격 탐지 장치(170)는 단계(410)를 수행할 수 있다.In
예를 들어, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 소스 주소와 목적지 주소와 다른 주소가 포함되었는지 여부를 확인할 수 있다. 그리고, 타임 윈도우 동안 누적된 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 공격 탐지 장치(170)는 사용자에게 확인을 요청할 수 있다. 그리고, 공격 탐지 장치(170)는 사용자로부터 해당 주소가 차량에 새로 추가된 ECU(electronic control unit)의 주소인지, 또는 공격자가 메시지를 전송하기 위하여 사용한 주소인지에 대한 정보를 입력받을 수 있다.For example, the
해당 주소가 차량에 새로 추가된 ECU의 주소인 경우, 공격 탐지 장치(170)는 공격이 탐지되지 않은 것으로 판단하여 단계(410)를 수행할 수 있다. 반면, 해당 주소가 공격자가 메시지를 전송하기 위하여 사용한 주소인 경우, 공격 탐지 장치(170)는 공격이 탐지된 것으로 판단하여 단계(490)를 수행할 수 있다.When the corresponding address is the address of the ECU newly added to the vehicle, the
단계(490)에서 공격 탐지 장치(170)는 사용자에게 공격이 발생한 것을 알리고, 사용자에게 공격과 관련된 정보를 제공할 수 있다.In
도 5는 본 발명의 일실시예에 따른 차량 이더넷 네트워크에서의 PTP 패킷의 시퀀스의 일례이다.5 is an example of a sequence of a PTP packet in a vehicle Ethernet network according to an embodiment of the present invention.
도 5에서 AVB 토커(120), 및 AVB 리스너(140)가 각각 출력하는 패킷은 해칭을 통하여 구분하였다.In FIG. 5 , packets output by the
차량 이더넷 네트워크에서의 PTP 패킷의 시퀀스가 정상인 경우, 도 5의 케이스 1(Case 1)에 도시된 바와 같이 AVB 토커(120)가 Sync 패킷, Follow Up 패킷, Delay Request 패킷을 순차적으로 전송하고, AVB 리스너(140)가 Delay Response 패킷, Delay Response Follow Up 패킷을 순차적으로 전송할 수 있다.When the sequence of the PTP packets in the vehicle Ethernet network is normal, the
즉, 도 5의 케이스 2(Case 2)에 도시된 바와 같이 AVB 토커(120)가 Sync 패킷, Follow Up 패킷을 전송한 후, Delay Request 패킷을 전송하기 전에 AVB 리스너(140)가 Delay Response 패킷을 전송하는 것은 비정상일 수 있다.That is, as shown in
따라서, 공격 탐지 장치(170)는 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 다른 경우, 비정상으로 판단할 수 있다.Accordingly, when the transmission order of packets accumulated during the time window for each type is different from the transmission order of packets accumulated for each type in normal traffic, the
다만, 정상 상태에서도 패킷의 누락이 발생할 가능성도 있다. 그러나, 차량 이더넷 네트워크는 구성이 고정적이며, 정보의 손실이 초래할 치명적인 위험도를 감안하여 신뢰도를 보장하는 방향으로 구성되어 있다. 따라서, 차량 이더넷 네트워크에서 패킷의 누락은 발생 가능성이 낮으므로, 패킷의 비정상적인 시퀀스의 발생이 기준 이상으로 발생한다면 공격 또는 기기의 오작동을 의심해 볼 수 있다.However, there is a possibility that packets may be dropped even in a normal state. However, the vehicle Ethernet network has a fixed configuration and is configured in a way that guarantees reliability in consideration of the fatal risk of information loss. Therefore, since the probability of packet omission in the vehicle Ethernet network is low, if the occurrence of an abnormal sequence of packets exceeds the standard, an attack or malfunction of the device may be suspected.
그러므로, 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 공격 탐지 장치(170)는 비정상 시퀀스의 카운트를 증가시킬 수 있다. 그리고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.Therefore, when the transmission order for each type of packets accumulated during the time window is different from the transmission order for each type of packets accumulated in normal traffic, the
또한, PTP 패킷 중 Sync, Follow up 패킷은 마스터 노드인 AVB 토커(120)에서만 전송하는 패킷이므로, AVB 토커(120) 이외의 노드에서 해당 패킷이 전송된 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.Also, among the PTP packets, the Sync and Follow up packets are transmitted only by the
그리고, Delay Resp, Delay Resp Followup 패킷은 AVB 토커(120)가 Delay Request 패킷을 전송한 경우, AVB 리스너(140)에서 전송되는 패킷일 수 있다. 또한, Delay Resp, Delay Resp Followup 패킷은 AVB 리스너(140)가 Delay Request 패킷을 전송한 경우, AVB 토커(120)가 전송하는 패킷이다.In addition, the Delay Resp and Delay Resp Followup packets may be packets transmitted from the
즉, 상기 순서에 대응하지 않는 패킷이 전송된 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다. 예를 들어, AVB 토커(120)가 Delay Request 패킷을 전송하지 않은 상태에서 AVB 리스너(140)가 Delay Resp, Delay Resp Followup 패킷을 전송하거나, AVB 리스너(140)가 Delay Request 패킷을 전송하지 않은 상태에서 AVB 토커(120)가 Delay Resp, Delay Resp Followup 패킷을 전송하는 경우, 공격 탐지 장치(170)는 공격이 발생한 것으로 판단할 수 있다.That is, when a packet that does not correspond to the above sequence is transmitted, the
도 6은 본 발명의 일실시예에 따른 공격 탐지 장치가 공격을 감지하는 지표의 일례이다.6 is an example of an index for detecting an attack by the attack detection apparatus according to an embodiment of the present invention.
공격 탐지 장치(170)는 정상 패킷들과 공격 패킷들에 대하여 도 6에 도시된 지표들의 값을 추출하여 학습할 수 있다.The
구체적으로, 공격 탐지 장치(170)는 정상 패킷들에서 도 6에 도시된 지표들의 값을 이용하여 머신 러닝 모델을 학습 시킬 수 있다. 그리고, 공격 탐지 장치(170)는 단계(460)에서 누적된 정보들을 학습된 머신 러닝 모델에 입력함으로써, 공격을 탐지할 수 있다. 이때, 머신 러닝 모델은 도 6에 도시된 지표들을 종합하여 공격 발생 여부를 탐지할 수 있다. Specifically, the
AVTP Src-Dest MAC Entropy는 타임 윈도우(time-window) 내의 모든 프로토콜에 대한 소스(Source) MAC 주소와 목적지(Destination) MAC 주소 쌍의 엔트로피(Entropy)일 수 있다.AVTP Src-Dest MAC Entropy may be an entropy of a pair of a source MAC address and a destination MAC address for all protocols within a time-window.
AVTP Time Interval는 타임 윈도우 내의 AVTP 프로토콜에 대한 타임 인터벌(time interval)의 사분범위 값일 수 있다.The AVTP Time Interval may be a value within a quadrant of a time interval for the AVTP protocol within the time window.
AVTP BPS는 타임 윈도우 내의 AVTP 프로토콜에 대한 초당 바이트 수일 수 있다.AVTP BPS may be bytes per second for AVTP protocol within a time window.
AVTP PPS는 타임 윈도우 내의 AVTP 프로토콜에 대한 초당 패킷 수일 수 있다. AVTP PPS may be the number of packets per second for AVTP protocol within a time window.
PTP BPS는 타임 윈도우 내의 PTP 프로토콜에 대한 초당 바이트 수일 수 있다.The PTP BPS may be the number of bytes per second for the PTP protocol within the time window.
PTP Time Interval는 타임 윈도우 내의 PTP 프로토콜에 대한 타임 인터벌의 사분범위 값일 수 있다.The PTP Time Interval may be a value in the quadrant of the time interval for the PTP protocol within the time window.
PTP Packet Sequence는 PTP 패킷의 시퀀스 패턴일 수 있다.The PTP Packet Sequence may be a sequence pattern of a PTP packet.
이때, AVTP Src-Dest MAC Entropy, AVTP Time Interval, AVTP BPS, AVTP PPS, PTP BPS, PTP Time Interval는 머신 러닝 모델에서 판단 지표로 사용되는 특징(Feature)들일 수 있다. At this time, AVTP Src-Dest MAC Entropy, AVTP Time Interval, AVTP BPS, AVTP PPS, PTP BPS, and PTP Time Interval may be features used as a decision index in a machine learning model.
또한, PTP Packet Sequence는 도 5에 도시된 바와 같은 타입별 전송 순서를 식별하기 위한 정보일 수 있다. 즉, 도 5의 케이스 2(Case 2)에 도시된 바와 같이 패킷들의 전송 순서가 비 정상인 경우, 수집한 패킷들의 PTP Packet Sequence는 정상 패킷들에서 추출된 PTP Packet Sequence와 서로 다를 수 있다.In addition, the PTP Packet Sequence may be information for identifying a transmission order for each type as shown in FIG. 5 . That is, when the transmission order of packets is abnormal as shown in
본 발명은 AVB 패킷을 모니터링하여 차량 내에 가해진 AVB나 PTP 인젝션(Injection) 공격 등으로 인해 삽입된 비정상적인 패킷을 감지함으로써, 차량의 안정성을 높일 수 있다.The present invention monitors AVB packets and detects abnormal packets inserted due to AVB or PTP injection attacks applied to the vehicle, thereby improving vehicle stability.
한편, 본 발명에 따른 공격 탐지 장치 또는 공격 탐지 방법은 컴퓨터에서 실행될 수 있는 프로그램으로 작성되어 마그네틱 저장매체, 광학적 판독매체, 디지털 저장매체 등 다양한 기록 매체로도 구현될 수 있다.On the other hand, the attack detection apparatus or attack detection method according to the present invention is written as a program that can be executed on a computer and can be implemented in various recording media such as magnetic storage media, optical reading media, digital storage media, and the like.
본 명세서에 설명된 각종 기술들의 구현들은 디지털 전자 회로조직으로, 또는 컴퓨터 하드웨어, 펌웨어, 소프트웨어로, 또는 그들의 조합들로 구현될 수 있다. 구현들은 데이터 처리 장치, 예를 들어 프로그램가능 프로세서, 컴퓨터, 또는 다수의 컴퓨터들의 동작에 의한 처리를 위해, 또는 이 동작을 제어하기 위해, 컴퓨터 프로그램 제품, 예를 들어 기계 판독가능 저장 장치(컴퓨터 판독가능 매체)에서 유형적으로 구체화된 컴퓨터 프로그램으로서 구현될 수 있다. 상술한 컴퓨터 프로그램(들)과 같은 컴퓨터 프로그램은 컴파일된 또는 인터프리트된 언어들을 포함하는 임의의 형태의 프로그래밍 언어로 기록될 수 있고, 독립형 프로그램으로서 또는 모듈, 구성요소, 서브루틴, 또는 컴퓨팅 환경에서의 사용에 적절한 다른 유닛으로서 포함하는 임의의 형태로 전개될 수 있다. 컴퓨터 프로그램은 하나의 사이트에서 하나의 컴퓨터 또는 다수의 컴퓨터들 상에서 처리되도록 또는 다수의 사이트들에 걸쳐 분배되고 통신 네트워크에 의해 상호 연결되도록 전개될 수 있다.Implementations of the various techniques described herein may be implemented in digital electronic circuitry, or in computer hardware, firmware, software, or combinations thereof. Implementations may be implemented for processing by, or controlling the operation of, a data processing device, eg, a programmable processor, computer, or number of computers, in a computer program product, eg, a machine-readable storage device (computer readable available medium) as a computer program tangibly embodied in it. A computer program, such as the computer program(s) described above, may be written in any form of programming language, including compiled or interpreted languages, and may be written as a standalone program or in a module, component, subroutine, or computing environment. may be deployed in any form, including as other units suitable for use in A computer program may be deployed to be processed on one computer or multiple computers at one site or to be distributed across multiple sites and interconnected by a communications network.
컴퓨터 프로그램의 처리에 적절한 프로세서들은 예로서, 범용 및 특수 목적 마이크로프로세서들 둘 다, 및 임의의 종류의 디지털 컴퓨터의 임의의 하나 이상의 프로세서들을 포함한다. 일반적으로, 프로세서는 판독 전용 메모리 또는 랜덤 액세스 메모리 또는 둘 다로부터 명령어들 및 데이터를 수신할 것이다. 컴퓨터의 요소들은 명령어들을 실행하는 적어도 하나의 프로세서 및 명령어들 및 데이터를 저장하는 하나 이상의 메모리 장치들을 포함할 수 있다. 일반적으로, 컴퓨터는 데이터를 저장하는 하나 이상의 대량 저장 장치들, 예를 들어 자기, 자기-광 디스크들, 또는 광 디스크들을 포함할 수 있거나, 이것들로부터 데이터를 수신하거나 이것들에 데이터를 송신하거나 또는 양쪽으로 되도록 결합될 수도 있다. 컴퓨터 프로그램 명령어들 및 데이터를 구체화하는데 적절한 정보 캐리어들은 예로서 반도체 메모리 장치들, 예를 들어, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 롬(ROM, Read Only Memory), 램(RAM, Random Access Memory), 플래시 메모리, EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM) 등을 포함한다. 프로세서 및 메모리는 특수 목적 논리 회로조직에 의해 보충되거나, 이에 포함될 수 있다.Processors suitable for processing a computer program include, by way of example, both general and special purpose microprocessors, and any one or more processors of any kind of digital computer. Generally, a processor will receive instructions and data from either read-only memory or random access memory or both. Elements of a computer may include at least one processor that executes instructions and one or more memory devices that store instructions and data. In general, a computer may include one or more mass storage devices for storing data, for example magnetic, magneto-optical disks, or optical disks, receiving data from, sending data to, or both. may be combined to become Information carriers suitable for embodying computer program instructions and data are, for example, semiconductor memory devices, for example, magnetic media such as hard disks, floppy disks and magnetic tapes, Compact Disk Read Only Memory (CD-ROM). ), an optical recording medium such as a DVD (Digital Video Disk), a magneto-optical medium such as a floppy disk, a ROM (Read Only Memory), a RAM , Random Access Memory), flash memory, EPROM (Erasable Programmable ROM), EEPROM (Electrically Erasable Programmable ROM), and the like. Processors and memories may be supplemented by, or included in, special purpose logic circuitry.
또한, 컴퓨터 판독가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용매체일 수 있고, 컴퓨터 저장매체를 모두 포함할 수 있다.Also, the computer-readable medium may be any available medium that can be accessed by a computer, and may include any computer storage medium.
본 명세서는 다수의 특정한 구현물의 세부사항들을 포함하지만, 이들은 어떠한 발명이나 청구 가능한 것의 범위에 대해서도 제한적인 것으로서 이해되어서는 안되며, 오히려 특정한 발명의 특정한 실시형태에 특유할 수 있는 특징들에 대한 설명으로서 이해되어야 한다. 개별적인 실시형태의 문맥에서 본 명세서에 기술된 특정한 특징들은 단일 실시형태에서 조합하여 구현될 수도 있다. 반대로, 단일 실시형태의 문맥에서 기술한 다양한 특징들 역시 개별적으로 혹은 어떠한 적절한 하위 조합으로도 복수의 실시형태에서 구현 가능하다. 나아가, 특징들이 특정한 조합으로 동작하고 초기에 그와 같이 청구된 바와 같이 묘사될 수 있지만, 청구된 조합으로부터의 하나 이상의 특징들은 일부 경우에 그 조합으로부터 배제될 수 있으며, 그 청구된 조합은 하위 조합이나 하위 조합의 변형물로 변경될 수 있다.While this specification contains numerous specific implementation details, these are not to be construed as limitations on the scope of any invention or claim, but rather as descriptions of features that may be specific to particular embodiments of particular inventions. should be understood Certain features that are described herein in the context of separate embodiments may be implemented in combination in a single embodiment. Conversely, various features that are described in the context of a single embodiment may also be implemented in multiple embodiments, either individually or in any suitable subcombination. Furthermore, although features operate in a particular combination and may be initially depicted as claimed as such, one or more features from a claimed combination may in some cases be excluded from the combination, the claimed combination being a sub-combination. or a variant of a sub-combination.
마찬가지로, 특정한 순서로 도면에서 동작들을 묘사하고 있지만, 이는 바람직한 결과를 얻기 위하여 도시된 그 특정한 순서나 순차적인 순서대로 그러한 동작들을 수행하여야 한다거나 모든 도시된 동작들이 수행되어야 하는 것으로 이해되어서는 안 된다. 특정한 경우, 멀티태스킹과 병렬 프로세싱이 유리할 수 있다. 또한, 상술한 실시형태의 다양한 장치 컴포넌트의 분리는 그러한 분리를 모든 실시형태에서 요구하는 것으로 이해되어서는 안되며, 설명한 프로그램 컴포넌트와 장치들은 일반적으로 단일의 소프트웨어 제품으로 함께 통합되거나 다중 소프트웨어 제품에 패키징 될 수 있다는 점을 이해하여야 한다.Likewise, although acts are depicted in the figures in a particular order, it should not be construed that all acts shown must be performed or that such acts must be performed in the specific order or sequential order shown to achieve desirable results. In certain cases, multitasking and parallel processing may be advantageous. Further, the separation of the various device components of the above-described embodiments should not be construed as requiring such separation in all embodiments, and the program components and devices described may generally be integrated together into a single software product or packaged into multiple software products. You have to understand that you can.
한편, 본 명세서와 도면에 개시된 본 발명의 실시 예들은 이해를 돕기 위해 특정 예를 제시한 것에 지나지 않으며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 자명한 것이다.On the other hand, the embodiments of the present invention disclosed in the present specification and drawings are merely presented as specific examples to aid understanding, and are not intended to limit the scope of the present invention. It will be apparent to those of ordinary skill in the art to which the present invention pertains that other modifications based on the technical spirit of the present invention can be implemented in addition to the embodiments disclosed herein.
120: AVB 토커
140: AVB 리스너
170: 공격 탐지 장치120: AVB Talker
140: AVB listener
170: attack detection device
Claims (17)
수집한 패킷의 헤더를 검사하는 단계;
수집한 패킷의 소스 주소와 목적지 주소를 추출하는 단계;
기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하는 단계; 및
상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 단계
를 포함하는 공격 탐지 방법.collecting packets transmitted and received between nodes of vehicle Ethernet;
examining the headers of the collected packets;
extracting a source address and a destination address of the collected packets;
accumulating the entropy of the source address and the destination address, a time interval, the number of transmitted bytes and the number of packets during a preset time window; and
detecting an attack by comparing information accumulated during the time window with information accumulated in normal traffic;
An attack detection method comprising
상기 헤더를 검사하는 단계는,
상기 수집한 패킷이 AVB(Audio Video Bridging) 패킷이거나, PTP(Precision Time Protocol) 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사하는 공격 탐지 방법.According to claim 1,
Checking the header includes:
When the collected packet is an AVB (Audio Video Bridging) packet or a PTP (Precision Time Protocol) packet, an attack detection method for checking whether information or a value other than a preset value is included in the header of the collected packet .
상기 공격을 탐지하는 단계는,
상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시키는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
When an address different from the source address and destination address accumulated in normal traffic is included among the source address and destination address accumulated during the time window, an alarm is generated to request confirmation from the user.
상기 공격을 탐지하는 단계는,
상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
When the difference between the accumulated time interval, the number of transmitted bytes and the number of packets during the time window and at least one of the accumulated time interval, the number of transmitted bytes, and the number of packets in normal traffic is equal to or greater than a threshold value, an attack has occurred An attack detection method that is judged to be
상기 공격을 탐지하는 단계는,
상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
If the transmission order by type of packets accumulated during the time window is different from the transmission order by type of packets accumulated in normal traffic, the count of the abnormal sequence is incremented. How to detect an attack to judge.
상기 공격을 탐지하는 단계는,
상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.The method of claim 1,
The step of detecting the attack is
An attack detection method for determining that an attack has occurred when a packet transmitted only from a talker among the nodes is transmitted from a node other than the talker.
상기 공격을 탐지하는 단계는,
상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
omission of packets is detected by comparing the transmission order by type of packets accumulated during the time window with the transmission order by type of packets accumulated in normal traffic; How to detect an attack.
상기 공격을 탐지하는 단계는,
정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법.According to claim 1,
The step of detecting the attack is
Based on information accumulated in normal traffic, a packet transmitted by a listener among the nodes in response to a packet transmitted by a talker among the nodes and a packet transmitted by the talker in response to a packet transmitted by the listener An attack detection method for identifying and determining that an attack has occurred when a packet different from the identified packet from among the information accumulated during the time window is transmitted.
수집한 패킷의 헤더를 검사하고, 수집한 패킷의 소스 주소와 목적지 주소를 추출하며, 기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하고, 상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 프로세서
를 포함하는 공격 탐지 장치.a communication interface that collects packets transmitted and received between nodes of vehicle Ethernet; and
The header of the collected packet is inspected, the source address and the destination address of the collected packet are extracted, and the entropy of the source address and the destination address, the time interval, the number of transmitted bytes and the number of packets are accumulated during a preset time window. and a processor for detecting an attack by comparing information accumulated during the time window with information accumulated from normal traffic.
An attack detection device comprising a.
상기 프로세서는,
상기 수집한 패킷이 AVB 패킷이거나, PTP 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사하는 공격 탐지 장치.11. The method of claim 10,
The processor is
When the collected packet is an AVB packet or a PTP packet, an attack detection device for checking whether information or a value other than a preset value is included in a header of the collected packet.
상기 프로세서는,
상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시키는 공격 탐지 장치.11. The method of claim 10,
The processor is
When an address different from the source address and destination address accumulated in normal traffic is included among the source address and destination address accumulated during the time window, an alarm to request confirmation from the user is generated.
상기 프로세서는,
상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.11. The method of claim 10,
The processor is
When the difference between the accumulated time interval, the number of transmitted bytes and the number of packets during the time window and at least one of the accumulated time interval, the number of transmitted bytes, and the number of packets in normal traffic is equal to or greater than a threshold value, an attack has occurred An attack detection device that judges to be
상기 프로세서는,
상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.11. The method of claim 10,
The processor is
If the transmission order by type of packets accumulated during the time window is different from the transmission order by type of packets accumulated in normal traffic, the count of the abnormal sequence is incremented. An attack detection device that judges.
상기 프로세서는,
상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.11. The method of claim 10,
The processor is
An attack detection device for determining that an attack has occurred when a packet transmitted only from a talker among the nodes is transmitted from a node other than the talker.
상기 프로세서는,
상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.11. The method of claim 10,
The processor is
omission of packets is detected by comparing the transmission order by type of packets accumulated during the time window with the transmission order by type of packets accumulated in normal traffic; attack detection device.
상기 프로세서는,
정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치.
11. The method of claim 10,
The processor is
Based on information accumulated in normal traffic, a packet transmitted by a listener among the nodes in response to a packet transmitted by a talker among the nodes and a packet transmitted by the talker in response to a packet transmitted by the listener An attack detection apparatus for identifying and determining that an attack has occurred when a packet different from the identified packet from among the information accumulated during the time window is transmitted.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210007443A KR20220104977A (en) | 2021-01-19 | 2021-01-19 | Method and apparatus for detecting attacks on image data of networks in automotive ethernet |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210007443A KR20220104977A (en) | 2021-01-19 | 2021-01-19 | Method and apparatus for detecting attacks on image data of networks in automotive ethernet |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20220104977A true KR20220104977A (en) | 2022-07-26 |
Family
ID=82609659
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210007443A KR20220104977A (en) | 2021-01-19 | 2021-01-19 | Method and apparatus for detecting attacks on image data of networks in automotive ethernet |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20220104977A (en) |
-
2021
- 2021-01-19 KR KR1020210007443A patent/KR20220104977A/en unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2950482B1 (en) | Network device and data sending and receiving system | |
EP3358788B1 (en) | Illegality detection electronic control unit, vehicle onboard network system, and communication method | |
US9319239B2 (en) | Data network with a time synchronization system | |
EP3206361A1 (en) | Controller area network (can) message filtering | |
US20210185070A1 (en) | Lightweight intrusion detection apparatus and method for vehicle network | |
JP7232832B2 (en) | Fraud detection method and fraud detection device | |
EP2381627B1 (en) | Data transmission device | |
KR20150100790A (en) | Data transmission using a protocol exception state | |
WO2017110056A1 (en) | Fraudulent message detection device, electronic control apparatus equipped with fraudulent message detection device, fraudulent message detection method, and fraudulent message detection program | |
CN110865626A (en) | Method and system for detecting message injection anomalies | |
US8792350B2 (en) | Network relay system, network relay device, and congested state notifying method | |
CN110832809B (en) | Detection device, detection method, and non-transitory computer-readable storage medium | |
EP3599743A1 (en) | Method and device for communicating data frames on a multi-master bus | |
CN114846752A (en) | Method for checking sensor data validity of Ethernet vehicle-mounted network | |
CN110597226A (en) | Abnormity early warning method and device for vehicle-mounted Ethernet | |
JP5262674B2 (en) | Delay measuring method and communication apparatus | |
KR20220104977A (en) | Method and apparatus for detecting attacks on image data of networks in automotive ethernet | |
KR102204655B1 (en) | A mitigation method against message flooding attacks for secure controller area network by predicting attack message retransfer time | |
KR102204656B1 (en) | A mitigation system against message flooding attacks for secure controller area network by predicting transfer delay of normal can message | |
CN101626320A (en) | Method and device for detecting loopback of channel | |
US10447384B2 (en) | Communication apparatus, communication method, and program | |
US7698395B2 (en) | Controlling start up in a network | |
US20220069973A1 (en) | Safety Extension for Precision Time Protocol (PTP) | |
KR101481132B1 (en) | Apparatus and method for synchronizing data output time in vehicle network | |
US9942123B2 (en) | Device and method for monitoring communication in network including a plurality of nodes |