(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】2021510478
(43)【公表日】20210422
(54)【発明の名称】車両内ネットワークにセキュリティを提供するシステム及び方法
(51)【国際特許分類】
   H04L 12/28 20060101AFI20210326BHJP
【FI】
   !H04L12/28 200Z
   !H04L12/28 100A
【審査請求】有
【予備審査請求】未請求
【全頁数】20
(21)【出願番号】2020538073
(86)(22)【出願日】20190121
(85)【翻訳文提出日】20200709
(86)【国際出願番号】KR2019000832
(87)【国際公開番号】WO2019146976
(87)【国際公開日】20190801
(31)【優先権主張番号】62/620,754
(32)【優先日】20180123
(33)【優先権主張国】US
(81)【指定国】 AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DJ,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JO,JP,KE,KG,KH,KN,KP,KR,KW,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT
(71)【出願人】
【識別番号】512297583
【氏名又は名称】ヒョンダイ モーター カンパニー
【住所又は居所】大韓民国,ソウル 137−938,ソチョ−グ,ホンルン路,12
(71)【出願人】
【識別番号】512297594
【氏名又は名称】キアモータース コーポレーション
【住所又は居所】大韓民国,ソウル 137−938,ソチョ−グ,ホンルン路,12
(74)【代理人】
【識別番号】110000051
【氏名又は名称】特許業務法人共生国際特許事務所
(72)【発明者】
【氏名】パク,スン ウク
【住所又は居所】大韓民国,06797,ソウル,ソチョ−グ,ホンルン−ロ,12
(72)【発明者】
【氏名】キム,セイル
【住所又は居所】大韓民国,06797,ソウル,ソチョ−グ,ホンルン−ロ,12
(72)【発明者】
【氏名】ゾ,ア−ラム
【住所又は居所】大韓民国,06797,ソウル,ソチョ−グ,ホンルン−ロ,12
【テーマコード(参考)】
5K033
【Fターム(参考)】
5K033AA08
5K033BA06
5K033DA05
5K033DA13
5K033DB19
5K033DB20
5K033EA02
5K033EA07
(57)【要約】
【課題】本発明は、車両内ネットワークにセキュリティを提供するための侵入検知システム及び方法を提供する。
【解決手段】本発明によれば、悪意的なメッセージ検知に対する強靭性を維持しながらも、全体的な検知効率を高めるために、複数の検知技法を効率的運用するシステム及び方法を提供する。
【選択図】図2
【特許請求の範囲】
【請求項1】
車両内ネットワークにセキュリティを提供するための侵入検知システムであって、
車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、
複数の検知技法に用いられるルールセットを安全に保存するためのストレージと、
外部ネットワーク上のバックエンドサーバからダウンロードした新しいルールセットに、前記ストレージに保存されたルールセットをアップデートして、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対して前記複数の検知技法を段階的に適用するように構成されたルールエンジンと、
を含むことを特徴とする侵入検知システム。
【請求項2】
前記ルールエンジンは、
いずれかの検知技法が、前記収集したネットワークメッセージをセキュリティ脅威メッセージとして決定することに応答して、前記収集したネットワークメッセージに対する残りの検知技法の適用をバイパスするように構成されたことを特徴とする請求項1に記載の侵入検知システム。
【請求項3】
前記複数の検知技法は、
静的検知(static detection)技法、誤用検知(misuse detection)技法、及び変則検知(anomaly detection)技法を含むことを特徴とする請求項1に記載の侵入検知システム。
【請求項4】
前記ルールエンジンは、
前記収集したネットワークメッセージに対し、静的検知技法、誤用検知技法、変則検知技法の順に適用することを特徴とする請求項1に記載の侵入検知システム。
【請求項5】
前記侵入検知システムは、
前記車両内ネットワークと外部ネットワークとを接続するセントラルゲートウェイ、
前記車両内ネットワークの各機能ドメインと前記セントラルゲートウェイとを接続するサブゲートウェイ、及び
前記各機能ドメインに属する電子制御装置(ECU)
のうちのいずれかに埋め込まれたことを特徴とする請求項1に記載の侵入検知システム。
【請求項6】
前記ルールエンジンは、
前記複数の検知技法のすべてが前記ネットワークメッセージをセキュリティ脅威メッセージでないことを決定することに応答し、前記収集したネットワークメッセージが前記セントラルゲートウェイ、前記サブゲートウェイまたは前記電子制御装置のアプリケーションソフトウェアに伝達されることを許可するように構成されたことを特徴とする請求項5に記載の侵入検知システム。
【請求項7】
前記侵入検知システムは、
前記車両内ネットワークにノードとして接続される独立したコンピューティングデバイスであることを特徴とする請求項1に記載の侵入検知システム。
【請求項8】
前記ルールセットの暗号化及び復号化を実行して関連するキーを管理する暗号化モジュールをさらに含む請求項1に記載の侵入検知システム。
【請求項9】
前記バックエンドサーバから新しいルールセットをダウンロードしたり、検知ログをバックエンドサーバに伝送できるように、前記バックエンドサーバとの通信接続を管理するインターフェースマネージャーをさらに含む請求項1に記載の侵入検知システム。
【請求項10】
前記車両内ネットワークは、CAN(Controller Area Network)ネットワークであることを特徴とする請求項1に記載の侵入検知システム。
【請求項11】
侵入検知システムが車両内ネットワークにセキュリティを提供する方法であって、
複数の検知技法に用いられるルールセットを外部ネットワーク上のバックエンドサーバからダウンロードして、予め保存されたルールセットをアップデートするステップと、
車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するステップと、
前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対する前記複数の検知技法を段階的に適用するステップと、
を含むことを特徴とする方法。
【請求項12】
前記複数の検知技法を段階的に適用するステップは、
いずれかの検知技法が、前記収集したネットワークメッセージをセキュリティ脅威メッセージに決定することに応答して、前記収集したネットワークメッセージに対する残りの検知技法の適用をバイパスするステップを含むことを特徴とする請求項11に記載の方法。
【請求項13】
車両内ネットワークにセキュリティを提供するためのシステムであって、
車両内ネットワーク上の第1のノードで動作する第1の電子装置及び第2のノードで動作する第2の電子装置を含み、
前記第1の電子装置及び第2の電子装置は、それぞれ、
車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、
1つ以上の検知技法に用いられるルールセットを安全に保存するためのストレージと、
外部ネットワーク上のバックエンドサーバからダウンロードした新しいルールセットで、前記ストレージに保存されたルールセットをアップデートして、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対して前記1つ以上の検知技法を段階的に適用するように構成したルールエンジンと、
を含み、
前記第1の電子装置は、前記車両内ネットワークと外部ネットワークとを接続するセントラルゲートウェイ、または前記車両内ネットワークの各機能ドメインと前記セントラルゲートウェイとを接続するサブゲートウェイであり、前記第2の電子装置は、前記各機能ドメインに属する電子制御装置(ECU)であり、
前記第1の電子装置は、静的検知技法、誤用検知技法、及び変則検知技法を用い、前記第2の電子装置は、静的検知技法、誤用検知技法、及び変則検知技法のうちの一部の技法のみを用いることを特徴とするシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両内ネットワークにセキュリティを提供するシステム及び方法に関する。
【背景技術】
【0002】
この項目に記述した内容は、単に本発明に関する背景情報を提供するに留まり、従来の技術を構成するものではない。
【0003】
侵入検知システム(Intrusion Detection System;IDS)と侵入防止システム(Intrusion Protection System;IPS)は、ネットワークのセキュリティに広く用いられてきた。IDSは、ネットワーク活動を監視し、不審な行動を検知する。IPSは、検知した侵入に対応(例えば、システムに影響を与え得る信号を遮断)する機能もしくは能力を備えたシステムをいう。通常IDSとIPSは一緒に用いられ、このようなシステムは、IDPS(Intrusion Detection and Prevention System)と称する。
【0004】
車両に搭載する電子制御装置(ECU)の数が大幅に増加し、有線及び無線ネットワークを介して車両が外部ネットワークとつながるにしたがい、車両の内部ネットワークのセキュリティ脅威を検知して対応するためにIDSまたはIDPSを導入する傾向にある。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明は、上記従来の問題点に鑑みてなされたものであって、本発明の目的は、車両に搭載するのに適した侵入検知システムIDSのアーキテクチャと、悪意的なメッセージ検知に対する強靭性を維持しながら、必要なシステムリソースを減らすことができる複数の検知技法の効率的な運用方法を提供することにある。
【課題を解決するための手段】
【0006】
上記目的を達成するためになされた本発明の一態様による侵入検知システムは、車両内ネットワークにセキュリティを提供するための侵入検知システムであって、車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、複数の検知技法に用いられるルールセットを安全に保存するためのストレージと、外部ネットワーク上のバックエンドサーバからダウンロードした新しいルールセットに、前記ストレージに保存されたルールセットをアップデートして、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対して前記複数の検知技法を段階的に適用するように構成されたルールエンジンを含むことを特徴とする。
【0007】
前記ルールエンジンは、いずれかの検知技法が、前記収集したネットワークメッセージをセキュリティ脅威メッセージに決定することに応答して、前記収集したネットワークメッセージに対する残りの検知技法の適用をバイパスするように構成され得る。
【0008】
前記複数の検知技法は、静的検知(static detection)技法、誤用検知(misuse detection)技法、及び変則検知(anomaly detection)技法を含み得る。
【0009】
前記ルールエンジンは、前記収集したネットワークメッセージに対し、静的検知技法、誤用検知技法、変則検知技法の順に適用し得る。
【0010】
前記侵入検知システムは、前記車両内ネットワークと外部ネットワークとを接続するセントラルゲートウェイ、前記車両内ネットワークの各機能ドメインと前記セントラルゲートウェイとを接続するサブゲートウェイ、及び前記各機能ドメインに属する電子制御装置(ECU)のうちのいずれかに組み込まれ得る。
【0011】
前記ルールエンジンは、前記複数の検知技法のすべてが前記ネットワークメッセージをセキュリティ脅威メッセージでないと決定すること応答して、前記収集したネットワークメッセージが前記セントラルゲートウェイ、前記サブゲートウェイ、または前記電子制御装置のアプリケーションソフトウェアに伝達されることを許可するように構成され得る。
【0012】
前記侵入検知システムは、前記車両内ネットワークにノードとして接続される独立したコンピューティングデバイスであり得る。
【0013】
前記侵入検知システムは、前記ルールセットの暗号化及び復号化を実行して関連するキーを管理する暗号化モジュールをさらに含み得る。
【0014】
前記侵入検知システムは、前記バックエンドサーバから新しいルールセットをダウンロードしたり、検知ログをバックエンドサーバに伝送できるように、前記バックエンドサーバとの通信接続を管理するインターフェースマネージャーをさらに含み得る。
【0015】
前記車両内ネットワークは、CAN(Controller Area Network)ネットワークであり得る。
【0016】
上記目的を達成するためになされた本発明の一態様による方法は、侵入検知システムが車両内ネットワークにセキュリティを提供する方法であって、複数の検知技法に用いられるルールセットを外部ネットワーク上のバックエンドサーバからダウンロードして、予め保存されたルールセットをアップデートするステップと、車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するステップと、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対する前記複数の検知技法を段階的に適用するステップと、を含むことをを特徴とする。
【0017】
前記複数の検知技法を段階的に適用するステップは、いずれかの検知技法が、前記収集したネットワークメッセージをセキュリティ脅威メッセージに決定することに応答して、前記収集したネットワークメッセージに対する残りの検知技法の適用をバイパスするステップを含み得る。
【0018】
前記方法は、少なくとも1つのプロセッサ及び命令語を記録したメモリを含む電子装置によって実行され得る。前記命令語は、前記少なくとも1つのプロセッサによって実行されるときに前記電子装置をもって、前述した方法を実行するようにし得る。
【0019】
上記目的を達成するためになされた本発明の一態様によるシステムは、車両内ネットワークにセキュリティを提供するためのシステムであって、車両内ネットワーク上の第1のノードで動作する第1の電子装置及び第2のノードで動作する第2の電子装置を含み、前記第1の電子装置及び第2の電子装置は、それぞれ、車両内ネットワークから収集したネットワークメッセージをメッセージキューに保存するためのメッセージキューモジュールと、1つ以上の検知技法に用いられるルールセットを安全に保存するためのストレージと、外部ネットワーク上のバックエンドサーバからダウンロードした新しいルールセットで、前記ストレージに保存したルールセットをアップデートして、前記収集したネットワークメッセージがセキュリティ脅威メッセージであるか否かを決定するために、前記収集したネットワークメッセージに対して前記1つ以上の検知技法を段階的に適用するように構成したルールエンジンと、を含み、前記第1の電子装置は、前記車両内ネットワークと外部ネットワークとを接続するセントラルゲートウェイ、または前記車両内ネットワークの各機能ドメインと前記セントラルゲートウェイとを接続するサブゲートウェイであり、前記第2の電子装置は、前記各機能ドメインに属する電子制御装置(ECU)であり、前記第1の電子装置は、静的検知技法、誤用検知技法、及び変則検知技法を用い、前記第2の電子装置は、静的検知技法、誤用検知技法、及び変則検知技法のうちの一部の技法のみを用いることを特徴とする。
【発明の効果】
【0020】
本発明による方法及びシステムによれば、悪意的なメッセージ検知に対する強靭性は維持しながらも素早く攻撃メッセージを検知することができ、全体的な検知効率を高めることができる。
【図面の簡単な説明】
【0021】
【図1】CANネットワーク上でIDSを配置できる位置を例示した図である。
【図2】本発明の一実施形態によるIDS(あるいはIDPS)の機能的な構成を示すブロック図である。
【図3】本発明の一実施形態によるIDSの例示的な動作を示すフローチャートである。
【発明を実施するための形態】
【0022】
以下、本発明の一実施形態を例示的な図面を通じて詳しく説明する。各図面の構成要素に参照符号を付加するにあたり、同一の構成要素に対しては、可能な限り同一の符号を有するようにする。また、本発明を説明するにあたり、関連した公知の構成または機能についての具体的な説明が本発明の要旨を曖昧にすると判断した場合には、その詳しい説明は省く。
【0023】
また、本発明の構成要素を説明するにあたり、第1、第2、A、B、(a)、(b)などの用語を用いる場合がある。このような用語は、その構成要素を他の構成要素と区別するためのもので、その用語によって、該当構成要素の本質や順番や順序などは限定されない。本明細書全体において、ある部分がある構成要素を「含む」、「備える」と記載するとき、これは特に異なるとの記載がない限り、他の構成要素を除外するものではなく、他の構成要素をさらに含み得ることを意味する。また、本明細書に記載した「…部」、「…モジュール」などの用語は、少なくとも1つの機能や動作を処理する単位を意味し、これはハードウェアやソフトウェアまたはハードウェア及びソフトウェアの組み合わせで具現される。
【0024】
図1は、車両のCANネットワーク上でIDSが配置される位置(A、B、C、D、E)を例示した図である。セントラルゲートウェイ(central gateway;CGW)は、車両内の様々なドメイン間でデータを伝達するルータの役割を果たし、外部ネットワークと車両ネットワークとの間の通信に対するゲートの役割を果たすセントラル通信ノードである。セントラルゲートウェイ(CGW)は、車両に入ってくるすべてのデータに対するゲートとみることができる。サブゲートウェイ(sub−gateway)は、パワートレイン、シャーシ、ボディ、インフォテインメント(Infotainment)などのような特定の機能ドメインを担当するローカル通信ノードである。図1では、各機能ドメインにてECU(Electronic Control Unit)がCANバスに接続されることを前提としているが、一部の機能ドメインで別の通信プロトコル(例えば、LIN、FlexRay(登録商標)、Ethernet(登録商標)など)を用いるバスに接続されることもある。
【0025】
各位置別の長所と短所は次のとおりである。
【0026】
(A)セントラルゲートウェイに搭載:外部とすべてのCANドメインが接続されているここにIDSを設けると、OBDポートを介してCANネットワークに入ってくるすべての攻撃を検知できる。したがって、攻撃の意図を持ったメッセージがCANネットワークに影響を与える前に、未然に把握することができる。しかし、別の場所に比べて非常に多くのメッセージを処理しなければならないため、内部ネットワークに侵入しようとする攻撃とそうでないメッセージとを区分し難いため、攻撃に効果的に対応し難い。
【0027】
(B)セントラルゲートウェイの後:セントラルゲートウェイのメッセージフィルタリングを経た後のメッセージを検査する。(A)を通る前よりは少ない数の、より強力な意志を持つ攻撃者を検知できる。また、CANバックボーンネットワークに外部から直接アクセスして悪意的なメッセージを注入するハッキングを検知することができる。
【0028】
(C)サブゲートウェイに搭載:特定のCANドメインに送受信されるCANメッセージを管理する位置にIDSを設置すると、(B)でのCANメッセージと、特定のCANドメインに流れるCANメッセージとの間の不一致性を簡単に検知することができる。CANドメイン内部から別のドメインに向かう攻撃も検知できる位置であるため、CANドメイン内部の攻撃者も一定レベル以上検知できる。
【0029】
(D)サブゲートウェイの後:特定の悪意的なメッセージで二重のゲートウェイを通過してシステムをハッキングすることは容易でない。しかし、内部コントローラ(ECU)が、攻撃者によって破損したり、悪意的なコントローラが交換されて偽装されている場合、そして、外部から直接該当ドメインのCANバスに接続した場合、該当ドメイン内のCANバスに悪意的なメッセージを送ることは依然として可能である。したがって、本設置位置は、内部コントローラを信頼できず、コントローラが属する特定のCANドメインのネットワークハッキングを監視しようとする際に考慮し得る場所である。
【0030】
(E)ECUに搭載:ECUは、ネットワーク上に存在するすべてのメッセージを受信し、必要なCANメッセージのIDを確認して必要とするメッセージを選択的に処理する。コントローラは、コントローラの外部から受信したCAN状態メッセージと命令メッセージのコンテキスト(context)を分析した後に駆動する。したがって、ECUは、外部及び内部のすべてから保護しなければならないため、高いセキュリティレベルを必要とする。ECUにIDSを搭載するのは、ECUを変調することができる非常に能力が優れた内部/外部の攻撃者からECUが有する重要なデータの損失や機能の誤動作を防ぐためである。
【0031】
図1に例示した位置にIDSを配置できる位置(A、B、C、D、E)のうちの少なくとも1つの位置に複数のIDSを設置(搭載)する場合もある。例えば、セントラルゲートウェイと複数のサブゲートウェイにそれぞれIDSを搭載してもよく、セントラルゲートウェイと主要なECUにそれぞれIDSを搭載してもよい。また、各ドメインには、監視を実行する専用の電子制御装置が設けられてもよい。このようなIDSは、相互補完的にネットワークを監視し、攻撃の試みを検知し、車両ネットワークのセキュリティを強化することができる。
【0032】
図2は、本発明の一実施形態によるIDSの機能的構成を示すブロック図である。
【0033】
図2に示すように、車両内のネットワークのための侵入検知システムIDSは、メッセージキューモジュール(message queue module)20、ルールエンジン(rule engine)30、暗号化モジュール(crypto module)40、インターフェースマネージャー(interface manager)50、及びストレージ(storage)60を含む。図2に示す侵入検知システムIDSは、図1に例示した(複数の)ゲートウェイもしくは(複数の)ECUに搭載(embedded)したり、車両ネットワークに接続された専用の電子制御装置で具現できる。
【0034】
メッセージキューモジュール20は、CANバスから収集したすべてのCANトラフィックデータをメッセージキュー(Message Queue)に保存する。収集したトラフィックデータに対するIDSの他のモジュールのリクエストは、メッセージキューモジュール20によって処理される。
【0035】
ルールエンジン(あるいは「検知エンジン」とも称する)30は、IDSの本質的な機能である検知者及び応答者として動作するモジュールである。ルールエンジン30の機能は、大きく、事前プロセス(pre−process)31、検知プロセス(detection process)32、事後プロセス(post process)33に区分される。事前プロセス31では、様々な手段(例えば、バックエンドサーバ(backend server)、USBメモリスティック、SDカードなど)を介して取得したルールセット10に、ストレージ60に保存されたルールセットをアップデートしたり、IDSをリセットする。検知プロセス32では、走行中に悪意的なメッセージを検知する。事後プロセス33では、検知した悪意的なメッセージをどのように処理するかを決定する。例えば、検知した悪意的なメッセージをドロップ(drop)したり、ロギング(logging)、またはアラーム(警告)を生成する。
【0036】
暗号化モジュール40は、ルールセットと検知ログを暗号化したり復号化して、関連するキーを管理する。
【0037】
インターフェースマネージャー50は、バックエンドサーバから新しいルールセット10をダウンロードしたり、検知ログをバックエンドサーバに伝送できるように、バックエンドサーバとの通信接続を管理する。ルールセット及び検知ログは、暗号化エンジンによって暗号化されてストレージ60(例えば、フラッシュメモリ)に安全に保存される。ストレージ60は、ネットワーク上の他のノードによって提供されてもよい。この場合、インターフェースマネージャー50は、他のノードに位置するストレージ60との通信接続も管理する。
【0038】
図3は、本発明の一実施形態によるIDSの例示的な動作を示すフローチャートである。
【0039】
IDSは、車両が始動すると、事前プロセス(pre−process)を実行し、その後車両エンジンが止まるまで検知プロセス(detection process)と事後プロセス(post−process)とを繰り返し実行するように構成される。
【0040】
事前プロセス(pre−process)では、IDSが再起動されると、ルールセット(rule set)のバージョンをチェックし、現在のストレージに保存されたルールセットが最新バージョンではない場合、例えば、OTAあるいはOBDポートを介してダウンロードした最新版のルールセットにアップデートする。以降IDSはストレージに保存した、暗号化されたルールセットを復号化して内部メモリ(RAM)にロードする。事前プロセスが終了するとIDSの実質的な検知動作である検知プロセスが開始される。
【0041】
ルールセットは、検知プロセスで実行される複数の検知技法が用いるセキュリティ脅威に関連するネットワークメッセージを検知するのに用いられる、予め定義されたルールの集合である。ルールセットは、後述する静的検知に用いられるCANデータベース(CAN DB)と誤用検知に用いられるブラックリスト(Black List)、変則検知に用いられるプロファイル(profile)を含む。
【0042】
検知プロセス(detection process)において、IDSは、メッセージキュー(Message Queue)に新しいCANメッセージが到着すると、新しいCANメッセージがセキュリティ脅威に関連したネットワークメッセージ(以下、「セキュリティ脅威メッセージ」、「非正常メッセージ」、「悪意的なメッセージ」、「攻撃メッセージ」、あるいは「検査に失敗したメッセージ」と称する場合がある)であるか否かを判断するために、静的検知(Static Detection)、誤用検知(Misuse Detection)、及び変則検知(Anomaly Detection)の技法を順次実行する。
【0043】
事後プロセス(post−process)では、CANメッセージに対する検査結果によって通過、遮断、ロギング(logging)、あるいは警告のようなアクションがとられる。例えば、検知ログがリモートネットワーク上のバックエンドサーバに伝送されるように、IDSは、CANネットワークを介して検知ログが入ったCANメッセージを、リモートネットワークに通信的に接続するゲートウェイあるいはテレマティクスデバイスに伝送する。
【0044】
上述した侵入検知技法の特性と長所及び短所は次のとおりである。
【0045】
静的検知(Static Detection)は、メッセージのID、メッセージの長さ(Data length code;DLC)、メッセージの伝送周期などを監視し、予め決められたルール(つまり、CANデータベースに明示した値)と比較して有効性検査をする技法である。つまり、静的検知では、収集したメッセージがメーカーで予め決めておいた「有効なメッセージ形式」に合っているのか否かをチェックする。静的検知は、誤用検知及び変則検知に比べて、システムリソースを少なく消費する。ただし、有効性検査だけではメッセージ内に含まれている悪意的なデータなどの検知が不可能である。
【0046】
誤用検知(Misuse Detection)は、車両システムの脆弱性分析を通じて、予め定義しておいた攻撃パターンを検知する技法である。このような攻撃パターンは、シグネチャ(signature)と称し、それによって誤用検知は、シグネチャベースの検知とも称される。誤用検知は、車両の状態を考慮せずに、悪意的なメッセージのシグネチャが収録されたブラックリスト(Black List)をチェックし、収集したメッセージが、悪意的なメッセージであるか否かを判断する。誤用検知は、システムリソースを少なく消費し、検知確率が高いという利点があるが、新たな攻撃ごとに新しいシグネチャを定義しなければならないため、新たに出現した攻撃に対処するためには、多くの時間とセキュリティの人的資源を必要とする。この技法は、実際の攻撃を見逃し得る偽陰性(false negative;2種エラー)の問題が生じる可能性がある。
【0047】
変則検知(Anomaly Detection)は、車両の状態に基づいて該当メッセージが正常メッセージの範疇内にあるか否かを確認する技法であり、車両の状態と命令メッセージに基づいた検知ルールに基づいて行われる。変則検知は、ネットワーク上での一般的な行動を収集及び分析して正常なパターン(「プロファイル」とも称する)を定義した後、正常なパターンから一定のしきい値(threshold)を超えた行動を検知する技法である。変則検知は、プロファイル(profile)ベースの検知とも称される。変則検知の場合、知られていない新たな攻撃が出現したときにも、このような攻撃が正常なパターンから外れた場合に検知が可能であり、誤用検知法に比べてセキュリティの人的資源の割合が低い。しかし、多くのシステムリソースを必要とし、設定したしきい値に応じて正常な活動を侵入として識別する偽陽性(false positive、1種エラー)の問題が生じる可能性がある。
【0048】
図3に例示した動作によれば、メッセージキュー(Message Queue)に溜まった各メッセージは、3つの検知技法で構成された検知プロセス(つまり、静的検知→誤用検知→変則検知)を経てそのメッセージの遮断あるいは通過が決定される。また、正常なCANメッセージも、3つの技法で構成された検知プロセスを経て初めてIDSが搭載されたゲートウェイまたはECUのアプリケーションソフトウェアに渡されることになる。しかし、検知プロセスは、最初に適用された検知技法がCANメッセージをセキュリティ脅威メッセージに決定した場合、該当CANメッセージに対する残りの検知技法の適用はバイパスされるように構成される。ここで、3つの検知技法の適用順番に注目する必要がある。検知効率が高く、要求されるコンピューティングパワーと所要時間が少ない検知技法を最初に適用するほど、全体的な検知プロセスの効率が増加する。我々は、低いコンピューティングパワーと少ない所要時間が予想される技法を最初に適用するように検知プロセスを構成した。このような検知プロセスの構成を介して、悪意的なメッセージの検知に対する強靭性を維持しながらも、全体的な検知効率を高めることができる。
【0049】
図3に例示したIDSの動作では、検知プロセスにて3つの検知技法(つまり、静的検知、誤用検知、変則検知)のすべてを用いる。しかし、IDSの設置あるいは搭載の位置によって、3つの検知技法のうち、一部の技法を省く。例えば、変則検知には、多くのコンピューティングパワーと時間がかかるため、ECUに搭載したIDSの検知プロセスでは、静的検知のみを用いたり、静的検知と誤用検知のみを用いる場合もある。一方、相対的に高いコンピューティングパワーを有する(セントラル/サブ)ゲートウェイに搭載したIDSの検知プロセスでは、3つの検知技法のすべてを用いてもよい。他の例として、セントラルゲートウェイでは、3つの検知技法のすべてを用い、サブゲートウェイでは、静的検知と誤用検知のみを用い、ECUでは、静的検知だけを用いてもよい。
【0050】
上述した実施形態は、多くの異なる方式で具現できる。一実施形態において、本明細書で説明した多様な方法、デバイス、システムは、プロセッサ、メモリ、通信インターフェースなどを有する電子制御装置、ゲートウェイ等により具現したりこれらに含まれてもよい。例えば、電子制御装置は、ソフトウェア命令語をプロセッサにロードした後に、本明細書で説明した機能を実行するために命令語を実行することで、上述した方法を実行する装置として機能する。
【0051】
一方、本明細書で説明した多様な方法は、1つ以上のプロセッサによって読み取られて実行される非一時的記録媒体に保存した命令語で具現してもよい。非一時的記録媒体は、例えば、コンピュータシステムによって読み取り可能な形態でデータが保存されるあらゆる種類の記録装置を含む。例えば、非一時的記録媒体は、EPROM(erasable programmable read only memory)、EEPROM(Electrically Erasable Programmable Read−Only Memory)、フラッシュメモリ、光学ドライブ、磁気ハードドライブ、ソリッドステートドライブ(SSD)のような記憶媒体を含む。
【0052】
以上の説明は、本発明の技術思想を例示的に説明したに過ぎず、本発明が属する技術分野における通常の知識を有する者であれば、本発明の技術範囲から逸脱しない範囲内で様々な修正及び変形が可能である。したがって、本実施形態は、本発明の技術思想を限定するためのものではなく説明するためのものであり、このような実施形態により、本発明の技術思想の範囲が限定されるものではない。本発明の技術範囲は特許請求の範囲によって解釈され、その均等物も、本発明の権利範囲に含まれる。
【0053】
本発明は、本明細書にその全体が参考として含まれる、2018年01月23日付で米国特許商標庁に出願した特許仮出願番号第62/620,754号に対して優先権を主張する。
【符号の説明】
【0054】
10 ルールセット
20 メッセージキューモジュール
30 ルールエンジン
31 事前プロセス
32 検知プロセス
33 事後プロセス
40 暗号化モジュール
50 インターフェースマネージャー
60 ストレージ
【図1】
【図2】
【図3】
【国際調査報告】