JP7296470B2 - 分析装置及び分析方法 - Google Patents
分析装置及び分析方法 Download PDFInfo
- Publication number
- JP7296470B2 JP7296470B2 JP2021554171A JP2021554171A JP7296470B2 JP 7296470 B2 JP7296470 B2 JP 7296470B2 JP 2021554171 A JP2021554171 A JP 2021554171A JP 2021554171 A JP2021554171 A JP 2021554171A JP 7296470 B2 JP7296470 B2 JP 7296470B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- analysis
- progress
- information
- urgency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、分析装置に関し、特に、セキュリティ攻撃の分析技術に関する。
自動車などの車両は、コネクテッド化、OSS(Open Source Software)の利用増加等が進み、より多くの脆弱性を悪用される可能性が高くなっている。また、マルウェアのようなサイバーセキュリティ脅威に曝されることが懸念されている。このような脅威への対策として、サイバーセキュリティ攻撃を受けたときに生じる事象に基づいて、攻撃の発生を検知する侵入検知技術が導入され始めている。一般的に、侵入検知技術によってサイバーセキュリティ攻撃を検知した場合、安全な状態を維持するための対策が実行される。例えば、不正な通信を検知した場合、対象システムでは該当通信を遮断する対策を実行する。
しかしながら、可用性を重視する車載システムでは、サイバーセキュリティ攻撃を検知しても、検知したサイバーセキュリティ攻撃の危険度を的確に判定しなければ、過度な対策や対策の遅延になることがある。侵入検知の結果に基づいて、攻撃の影響を分析する技術として、特開2019-046207号公報がある。特開2019-046207号公報には、プラント制御装置、又は監視操作装置より取得したデータの異常がサイバー攻撃によるものであるか否かを判定する異常判定手段、前記異常判定手段により前記サイバー攻撃によるものであると判定した前記データのパラメータ情報を、サイバー攻撃のシナリオ、サイバー攻撃によるリスク、及びサイバー攻撃に対するプラント設備の脆弱性に基づいて解析し、前記プラント設備への伝播の可能性を算出する影響度判定手段、前記影響度判定手段の判定結果に基づき、前記プラント設備への対応を表示する表示手段を備えたことを特徴とするプラントのセキュリティ対処支援システムが記載されている(請求項1参照)。
特許文献1に記載された技術では、発生した攻撃による影響が及ぶ装置を特定し、影響が及ぶ装置の重要性を判定し、その重要性に応じた対策を選定するが、重要な装置が複数存在するシステムでは、すべての装置の重要性を区別することは困難である。また、重要性な装置が侵害を受ける前に致命的な状態に陥る可能性がある。
本発明は、以上の問題に鑑みなされたものであり、走行中の車両においてサイバーセキュリティ攻撃を検知したときに、適切なタイミングで適切な対処を実行可能な分析装置を提供することを目的とする。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、所定の演算処理を実行する演算装置と、前記演算装置がアクセス可能な記憶装置とを有する計算機によって構成される分析装置であって、前記演算装置が、機器に搭載された情報処理装置のログを受信する通信部と、前記演算装置が、前記受信したログから、前記機器への侵入箇所から保護資産までの経路における侵害地点を算出する攻撃進行分析部と、前記演算装置が、前記攻撃進行分析部によって分析された侵害地点から保護対象までの残りのステップ数と所定の閾値との比較結果に基づいて、攻撃への対策の緊急度を判定する緊急度判定部とを備えることを特徴とする。
本発明の一態様によれば、サイバーセキュリティ攻撃を的確に判定できる。前述した以外の課題、構成及び効果は、以下の実施例の説明によって明らかにされる。
本発明の実施例として、車載ネットワークに接続された分析装置における侵入検知及び影響分析方法、特に、セキュリティ攻撃を検知したときに、攻撃の進行状況に応じた対処を選定することが可能な分析装置1について説明する。
本発明の一実施例の分析装置1は、サイバーセキュリティ攻撃を検知したときに、予め用意された攻撃シナリオに基づいて、攻撃の進行状況を判定し、判定された進行状況に応じた対処内容を選定する。
また、本発明の一実施例の分析装置1では、車両情勢更新部12が受信したログ内容に応じて車両情勢情報163を更新することにより、車載システムで発生している攻撃事象を把握し、攻撃進行分析部13が前記車両情勢情報163から攻撃の進行状況を判定し、緊急度判定部14が判定された進行状況に応じて対策の緊急度を算出することによって、発生した事象の緊急性を分析し、対策選定部15が分析された緊急度に基づいて実施する対策を選定する。
より好ましくは、前記車両情勢更新部12は、車載システムに搭載された各装置における侵入検知機能から収集したログを収集し、攻撃進行分析部13は、侵入口と保護対象を定めた攻撃シナリオと前記車両情勢情報163を用いて、各攻撃シナリオにおける侵害箇所を特定し、緊急度判定部14は、ある情報処理装置3から隣接する情報処理装置3までの経路を1ステップとした場合、攻撃シナリオにおける侵入箇所から保護対象までのステップ数の残りに応じて緊急度を算出し、対策選定部15は、相関度が高い攻撃シナリオの緊急度に応じた対策を選定する。
以下、本発明の実施例について、図面を参照しながら詳細に説明する。
<実施例1>
本実施例では、サイバーセキュリティ攻撃を検知したときに、分析装置1が、予め用意しておいた攻撃シナリオに基づいて、攻撃の進行状況を判定し、当該進行状況に応じた対処内容を選定する方法の例を説明する。但し、本発明の技術的思想は、例示される手順に限定されるものではない。
本実施例では、サイバーセキュリティ攻撃を検知したときに、分析装置1が、予め用意しておいた攻撃シナリオに基づいて、攻撃の進行状況を判定し、当該進行状況に応じた対処内容を選定する方法の例を説明する。但し、本発明の技術的思想は、例示される手順に限定されるものではない。
図1に、本発明の実施形態における分析装置1の構成を示す。
分析装置1は、車両に搭載されており、車両側で侵害を判定するものであるが、車両と通信で接続されたセンタに分析装置を設け、センタ側で侵害を判定してもよい。分析装置1は、通信バス2を介して情報処理装置3(例えば、ECUなどの電子制御装置)に接続されている。但し、通信バス2は物理的には複数の通信バスから構成されてもよく、これらの複数の通信バスの規格は全て同じでも異なってもよい。これら通信バスは、CAN(登録商標)、LIN(登録商標)、FlexRay(登録商標)、イーサネット(登録商標)などの規格に準拠する。
分析装置1は、不図示のCPU、不図示の非一時的記憶媒体であるROM、及び不図示のRAMを有し、ROMに格納されたプログラムをCPUがRAMに展開して実行することによって以下の機能を実現する。CPUがプログラムを実行して行う処理を、他の演算装置(例えば、FPGA(Field Programable Gate Array)やASIC(Application Specific Integrated Circuit)などのハードウェア)で実行してもよい。すなわち分析装置1は、その機能として、車両情勢更新部12、攻撃進行分析部13、緊急度判定部14、対策選定部15を有する。また、分析装置1は、不揮発性の記憶装置である記憶部16、及び通信インタフェースであり通信に必要な演算を行う通信部11を有する。
通信部11は、通信バス2を介して他の装置から送信されたメッセージを受信し、通信バス2を介して他の装置にメッセージを送信する。前述のとおり、通信バス2は物理的に複数の通信バスから構成されてもよい。分析装置1は、通信部11を用いて各装置の異常状態を判定するための情報を収集する。車両情勢更新部12は、予め定められたルールに従って、通信部11を用いて収集された情報を用いて当該車両におけるサイバーセキュリティ攻撃による情勢(車両情勢情報)を更新する。攻撃進行分析部13は、所定の条件を満たす場合に、予め定められたルールに従って、車両情勢情報を用いて攻撃の進行状況を特定する。緊急度判定部14は、攻撃シナリオにおける侵害地点から保護対象までの残りの経路数に応じた緊急度を算出する。対策選定部15は、緊急度のレベルに応じて、レベルごとに設定された対策内容を選定する。なお、対策選定部15によって対策を選定せずに、緊急度判定部14が判定した緊急度を他の情報処理装置3に出力してもよい。
記憶部16は、システム侵害更新ルール161、関連シナリオ更新ルール162、車両情勢情報163、進行状況更新閾値情報164、攻撃進行情報更新ルール165、攻撃進行情報166、シナリオステップ情報167、緊急度情報168及び対策選定情報169を記憶する。システム侵害更新ルール161には、車載システムの侵害度を更新するためのルールが定義される。関連シナリオ更新ルール162には、発生した事象に関連する攻撃シナリオを更新するためのルールが定義される。車両情勢情報163には、車載システムで観測された事象が保持される。進行状況更新閾値情報164は、攻撃進行情報166を更新するかを判定するための閾値を保持する。攻撃進行情報更新ルール165には、攻撃進行情報166を更新するためのルールが定義される。攻撃進行情報166は、攻撃の進行状況を保持する。シナリオステップ情報167には、攻撃シナリオの総ステップ数が定義される。緊急度情報168は、発生した事象に対する対策の緊急度を保持する。対策選定情報169には、緊急度に応じた対策内容が定義される。記憶部16は、分析装置1が収集した情報である不図示のログを記憶してもよい。
図2に、分析装置1が対処内容を選定する処理のフローを示す。以下に説明する各ステップの実行主体は、分析装置1の不図示のCPUであり、取得するログ情報は、ある期間内に収集できたログ情報であり、複数のログ情報を取得してもよい。図2に示す処理は、車両のイグニッションスイッチがオンに操作され、情報処理装置3が動作を開始したタイミングで実行されるとよい。また、システムの侵害に対する対策が行われたタイミングで実行されてもよく、他装置からメッセージを受信できるタイミングであればいつでもよい。
ステップ211では、分析装置1は、通信部11を用いて各情報処理装置3のログ情報を収集し、分析装置1のメモリに格納する。例えば、分析装置1は、所定の期間においてログ情報を収集してもよい。
ステップ212では、車両情勢更新部12は、ステップ211において収集したログ情報から脅威IDを取得する。なお、脅威IDは、検知箇所、通信元、通信先、関連装置、関連通信路、侵害の状況等を特定可能な識別子であり、情報処理装置3から取得するログ情報に含まれている。
ステップ213では、車両情勢更新部12は、ステップ212で取得した脅威IDとシステム侵害更新ルール161に基づいて、車両情勢情報163を更新する。
図3Aに、ステップ213において車両情勢更新部12が車両情勢情報163の更新に用いるシステム侵害更新ルール161のデータ構造の例を示す。システム侵害更新ルール161は、顕在化した脅威事象に関する相関度の更新ルールを定義しており、脅威事象を特定する脅威ID1611と、当該脅威事象によって影響を受ける装置及び通信路に関連する侵害度の更新差分値1612を含む。
図4Aに、ステップ213において更新される車両情勢情報(侵害度)163のデータ構造の例を示す。車両情勢情報(侵害度)163は、侵害を受けている装置又は通信路を特定する装置/通信ID1631と、侵害の度合いを示す侵害度1632を含む。
例えば、ステップ212で取得した脅威ID1611が「0x01」の場合、システム侵害更新ルール161を参照すると、カラム1613の「Dev1」と、カラム1614の「Com1」が侵害を受けていると判定できる。車両情勢更新部12は、システム侵害更新ルール161から脅威ID1611が「0x01」のDev1の更新差分値「10」を取得し、車両情勢情報(侵害度)163の装置/通信ID1631が「Dev1」の侵害度「320」を「330」に更新する。また、システム侵害更新ルール161から脅威ID1611が「0x01」のCom1の更新差分値「15」を取得し、車両情勢情報(侵害度)163の装置/通信ID1631が「Com1」の侵害度「265」を「280」に更新する。
車両情勢情報(侵害度)163に記録されるデータは、初期値が0であり、上限値を決めておき、メモリのオーバーフローを避けるとよい。この上限値は、進行状況更新閾値情報164(図5)に定められる閾値より大きい値であればよい。車両情勢情報(侵害度)163は所定のタイミングで初期値に設定されてもよい(例えば、所定時間間隔で0にリセットする)。車両情勢情報(侵害度)163の初期化のタイミングは、例えば、イグニッションオフ時、正常/異常の判定時、異常対処時などでよく、後述する車両情勢情報(シナリオ相関度)163の初期化タイミングと同じでも異なってもよい。また、車両情勢情報(侵害度)163に脅威IDの発生数を記憶してもよい
ステップ214では、車両情勢更新部12は、ステップ212で取得した脅威IDと関連シナリオ更新ルール162に基づいて、車両情勢情報163を更新する。
図3Bに、ステップ214において車両情勢更新部12が車両情勢情報163の更新に用いる関連シナリオ更新ルール162のデータ構造の例を示す。関連シナリオ更新ルール162は、顕在化した脅威事象に関する相関度の更新ルールを定義しており、脅威事象を特定する脅威ID1621と、シナリオID毎に脅威IDに関連するシナリオ相関度の更新差分値1622を含む。
図4Bに、ステップ214において更新される車両情勢情報(シナリオ相関度)163のデータ構造の例を示す。車両情勢情報(シナリオ相関度)163は、発生した事象と相関性が高い攻撃シナリオに関するデータで、攻撃シナリオを特定するシナリオID1633と、発生した事象と各シナリオとの相関度1634を含む。
例えば、ステップ212で取得した脅威ID1611が「0x01」の場合、シナリオIDが「S1」と「S3」の侵害を受けていると推定できる。車両情勢更新部12は、関連シナリオ更新ルール162から脅威ID1621が「0x01」のシナリオIDがS1の更新差分値「10」を取得し、車両情勢情報(シナリオ相関度)163の該当するシナリオID1633が「S1」の相関度「130」を「140」に更新する。また、関連シナリオ更新ルール162から脅威ID1621が「0x01」のシナリオIDがS3の更新差分値「5」を取得し、車両情勢情報(シナリオ相関度)163の該当するシナリオID1633が「S3」の相関度「30」を「35」に更新する。
車両情勢情報(シナリオ相関度)163は、装置ID毎に所定回数(例えば、1回又は2~3回)を上限として更新される。このため、車両情勢情報(シナリオ相関度)163は、一つの情報処理装置3に異常があっても大きな値にはならず、複数の情報処理装置3に異常があると大きな値になる。車両情勢情報(シナリオ相関度)163に上限を決めておき、メモリのオーバーフローを避けるとよい。車両情勢情報(シナリオ相関度)163は所定のタイミングで初期値に設定されてもよい(例えば、所定時間間隔で0にリセットする)。車両情勢情報(シナリオ相関度)163の初期化のタイミングは、車両情勢情報(侵害度)163の初期化タイミングと同じでも異なってもよい。
ステップ215では、攻撃進行分析部13は、ステップ213で更新された車両情勢情報(侵害度)163に保持される各装置及び各通信路の侵害度が進行状況更新閾値情報164を超過しているかを判定する。侵害度が進行状況更新閾値情報164を超過する装置又は通信路が一つでもある場合は、ステップ216に進み、侵害度が進行状況更新閾値情報164を超過する装置又は通信路がない場合は本処理を終了する。
図5に、ステップ215において使用される進行状況更新閾値情報164のデータ構造の例を示す。進行状況更新閾値情報164は、装置又は通信路を示す装置/通信ID1641と、装置又は通信路の侵害度の閾値1642を含む。
例えば、ステップ213で更新された車両情勢情報(侵害度)163における装置/通信ID1631が「Dev1」の侵害度1632の「320」と進行状況更新閾値情報164における装置/通信ID1641が「Dev1」の侵害度の閾値1642の「150」とを比較し、当該装置の侵害度が閾値を超過しているかを判定する。また、車両情勢情報(侵害度)163における装置/通信ID1631が「Com1」の侵害度1632の「265」と進行状況更新閾値情報164における装置/通信ID1641が「Com1」の侵害度の閾値1642の「150」を比較し、当該通信路の侵害度が閾値を超過しているかを判定する。その結果、「Dev1」「Com1」共に、侵害度が閾値を超過しているので、システムへの侵害が生じていると判定される。なお、車両情勢情報(侵害度)163における侵害度1632が進行状況更新閾値情報164における閾値1642を超過していない場合、当該装置及び通信路において何らかの異常が生じているが、直ぐに対策をしなくてもよいレベルであると判定される。
ステップ216では、攻撃進行分析部13は、ステップ215において閾値を超過した装置/通信ID1631を取得し、当該装置/通信ID1631に関連する攻撃進行情報更新ルール165に基づいて攻撃進行情報166を更新する。
図6に、ステップ216において使用される攻撃進行情報更新ルール165のデータ構造の例を示す。攻撃進行情報更新ルール165は、装置又は通信路を特定する装置/通信ID1651と、各シナリオにおける攻撃の進行状況の攻撃進行状況1652を含む。
図7に、ステップ216において更新される攻撃進行情報166のデータ構造の例を示す。攻撃進行情報166は、最新の攻撃進行状況を特定するデータで、攻撃シナリオを特定するシナリオID1661と、各シナリオの最新の攻撃進行状況1662を含む。
例えば、攻撃進行分析部13はステップ215において閾値を超過した装置/通信ID1631として「Dev1」と「Com1」を取得した場合、攻撃進行情報更新ルール165における装置/通信IDが「Dev1」に該当するシナリオIDの攻撃進行状況1652として、「S1」の進行情報「3」と「S3」の進行情報「2」を取得し、攻撃進行情報166における該当シナリオの進行情報と比較する。そして、攻撃進行情報更新ルール165における攻撃進行状況1652が攻撃進行情報166における進行情報より大きければシナリオID1661の進行情報を更新し、攻撃進行状況1652が攻撃進行情報166における進行情報以下であればシナリオID1661の進行情報を更新しない。同様に、攻撃進行情報更新ルール165における装置/通信ID1651が「Com1」に該当するシナリオIDの攻撃進行状況1652として、「S1」の進行情報「4」を取得し、攻撃進行情報166における当該シナリオの進行情報と比較する。そして、攻撃進行情報更新ルール165における攻撃進行状況1652が攻撃進行情報166における進行情報より大きければシナリオID1661の進行情報を更新し、攻撃進行状況1652が攻撃進行情報166における進行情報以下であればシナリオID1661の進行情報を更新しない。
ステップ217では、緊急度判定部14は、ステップ216において更新された攻撃進行情報166を取得し、当該攻撃進行情報166とシナリオステップ情報167に基づいて緊急度を算出し、緊急度情報168に登録する。
図8に、ステップ217において使用されるシナリオステップ情報167のデータ構造の例を示す。シナリオステップ情報167は、攻撃シナリオを特定するシナリオID1671と、各シナリオIDにおける侵入口から保護資産(最終攻撃ターゲットになりうる制御系ECU)に至るまでの経路のステップ数である総ステップ数1672を含む。
図9に、ステップ217において更新される緊急度情報168のデータ構造の例を示す。緊急度情報168は、攻撃シナリオを特定するシナリオID1681と、総ステップ数1672と攻撃進行状況1662に基づいて算出される残りのステップ数である残ステップ数1682を含む。
例えば、緊急度判定部14はステップ216において更新された攻撃進行情報166の「S1」の攻撃進行状況1662「4」と、シナリオステップ情報167の「S1」の総ステップ数1672「7」を取得し、総ステップ数「7」から攻撃進行状況1662「4」を減じた値「3」を残ステップ数1682に登録する。
ステップ218では、対策選定部15は、ステップ217において算出された残ステップ数1682の値が、予めシナリオIDごとに定められた残ステップ数の閾値以下である場合に緊急度が高く、対策が必要であると判定して、ステップ219に進む。一方、残ステップ数1682の値が残ステップ数の閾値より大きい場合は緊急度が高くはなく、直ちに対策が必要ではない(様子見)と判定し、本処理を終了する。なお、閾値は一つだけ設定してもよいし、複数段階で設定して、各段階に応じた対策を設定してもよい。
ステップ218において、攻撃の進行状況を残ステップ数で判定せずに、時間で判定してもよい。例えば、侵害がここまで至る時間とここまでのステップ数と残ステップ数とを用いて、残ステップ数分が侵害されるために必要な時間を計算するとよい。
ステップ219では、対策選定部15は、ステップ218において緊急度が高いと判定されたシナリオID1681に該当する車両情勢情報163の相関度1634の値が、予めシナリオID毎に定められた閾値より大きい場合、複数の情報処理装置3に異常が生じているので、ステップ220に進む。一方、閾値よりも大きくない場合、一つの情報処理装置3に異常が生じているだけであると推定されるので、本処理を終了する。ステップ219では、複数の情報処理装置3で異常が生じているかが判定されるので、誤検知を抑制できる。なお、ステップ219における相関度の判定はオプションであり、シナリオ相関値に依らず、緊急度が高い場合に対策を行ってもよい。
ステップ220では、対策選定部15は、対策選定情報169を用いて、ステップ217において判定された緊急度と、ステップ218において当該緊急度が要対策閾値を超えるかの判定結果に応じた対策レベル1691とシナリオS1692を特定し、該当する対策を選定する。この対策レベルは、緊急度によって定めてもよいし、相関度によって定めてもよいし、緊急度及び相関度によって定めてもよい。
図10に、ステップ220で使用される対策選定情報169のデータ構造の例を示す。
対策選定情報169は、ステップ218で定めた緊急度(対策レベル)1691と、該当するシナリオを示すシナリオS1692を含む。例えば、対策選定部15は、対策レベル1691がLv.1、かつ該当シナリオS1692が「S1」である場合、対策としてログ保存を選定する。
対策選定情報169は、ステップ218で定めた緊急度(対策レベル)1691と、該当するシナリオを示すシナリオS1692を含む。例えば、対策選定部15は、対策レベル1691がLv.1、かつ該当シナリオS1692が「S1」である場合、対策としてログ保存を選定する。
以上のステップにより、分析装置1は、サイバーセキュリティ攻撃を検知したときに、対処内容を選定する。
以上、本発明の実施例によれば、分析装置1は、サイバーセキュリティ攻撃を検知したときに、予め用意しておいた攻撃シナリオに基づいて攻撃の進行状況を判定し、当該進行状況に応じた対処内容を選定する。これにより、サイバーセキュリティ攻撃の緊急度に応じた適切なタイミングで対処できるため、過度な対処や対処の遅延を防止し、安全で快適な車両走行制御を維持できる。
以上に説明したように、本発明の実施例の分析装置は、分析装置1のCPUが、機器に搭載された情報処理装置(ECU)3のログを受信する通信部11と、CPUが、受信したログから、機器への侵入箇所から保護資産(最終攻撃ターゲットなりうる制御系ECU)までの経路における侵害地点を算出する攻撃進行分析部13と、CPUが、攻撃進行分析部13による分析結果に基づいて、攻撃への対策の緊急度を判定する緊急度判定部14とを備えるので、サイバーセキュリティ攻撃を的確に判定できる。
また、CPUが、判定された緊急度に基づいて、優先すべき対策を選定する対策選定部15を備えるので、サイバーセキュリティ攻撃の緊急度に応じた適切なタイミングで、適切な対策を実行でき、過度な対策や、対策の遅延を防止でき、安全で快適な車両走行制御を実現できる。
また、通信部11は、情報処理装置3の侵害状況、及び前記機器への侵入箇所から保護資産までの経路を示す攻撃シナリオと関連付けられた識別情報を含むログ(脅威IDを含むログ情報)を受信するので、各情報処理装置が侵害の詳細な情報を送信する必要がなく、通信バス2のトラフィックの増加を抑制できる。
また、攻撃進行分析部13は、受信したログから、情報処理装置3で発生している可能性が高いシナリオを特定し、特定されたシナリオにおける攻撃の進行状況を示す攻撃進行情報166を更新するので、複数の情報処理装置3から受信したログによって攻撃の進行状況を判定するので、誤検知を抑制できる。
また、緊急度判定部14は、攻撃進行分析部13による保護資産までの攻撃の進行度合いによって緊急度を判定するので、深刻な事態になるまでの猶予が簡単な処理で分かる。
また、対策選定部15は、前記判定された緊急度に応じて対策内容を選定するので、過度な対策や、対策の遅延を防止できる。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。
また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。
また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、ICカード、SDカード、DVD等の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
1 分析装置
2 通信バス
3 情報処理装置
11 通信部
12 車両情勢更新部
13 攻撃進行分析部
14 緊急度判定部
15 対策選定部
16 記憶部
2 通信バス
3 情報処理装置
11 通信部
12 車両情勢更新部
13 攻撃進行分析部
14 緊急度判定部
15 対策選定部
16 記憶部
Claims (12)
- 所定の演算処理を実行する演算装置と、前記演算装置がアクセス可能な記憶装置とを有する計算機によって構成される分析装置であって、
前記演算装置が、機器に搭載された情報処理装置のログを受信する通信部と、
前記演算装置が、前記受信したログから、前記機器への侵入箇所から保護資産までの経路における侵害地点を算出する攻撃進行分析部と、
前記演算装置が、前記攻撃進行分析部によって分析された侵害地点から保護対象までの残りのステップ数と所定の閾値との比較結果に基づいて、攻撃への対策の緊急度を判定する緊急度判定部とを備えることを特徴とする分析装置。 - 請求項1に記載の分析装置であって、
前記演算装置が、前記判定された緊急度に基づいて、優先すべき対策を選定する対策選定部を備えることを特徴とする分析装置。 - 請求項1に記載の分析装置であって、
前記通信部は、前記情報処理装置の侵害状況、及び前記機器への侵入箇所から保護資産までの経路を示す攻撃シナリオと関連付けられた識別情報を含むログを受信することを特徴とする分析装置。 - 請求項1に記載の分析装置であって、
前記攻撃進行分析部は、
前記受信したログから、前記情報処理装置で発生している可能性が高いシナリオを特定し、
前記特定されたシナリオにおける攻撃の進行状況を示す攻撃進行情報を更新することを特徴とする分析装置。 - 請求項1に記載の分析装置であって、
前記緊急度判定部は、前記攻撃進行分析部による前記保護資産までの攻撃の進行度合いによって緊急度を判定することを特徴とする分析装置。 - 請求項2に記載の分析装置であって、
前記対策選定部は、前記判定された緊急度に応じて対策内容を選定することを特徴とする分析装置。 - 分析装置が、機器に搭載された情報処理装置の状態を分析する分析方法であって、
前記分析装置は、所定の演算処理を実行する演算装置と、前記演算装置がアクセス可能な記憶装置とを有する計算機によって構成されており、
前記分析方法は、
前記演算装置が、機器に搭載された情報処理装置のログを受信する通信手順と、
前記演算装置が、前記受信したログから、前記機器への侵入箇所から保護資産までの経路における侵害地点を算出する攻撃進行分析手順と、
前記演算装置が、前記攻撃進行分析手順において分析された侵害地点から保護対象までの残りのステップ数と所定の閾値との比較結果に基づいて、攻撃への対策の緊急度を判定する緊急度判定手順とを含むことを特徴とする分析方法。 - 請求項7に記載の分析方法であって、
前記演算装置が、前記判定された緊急度に基づいて、優先すべき対策を選定する対策選定手順を含むことを特徴とする分析方法。 - 請求項7に記載の分析方法であって、
前記通信手順では、前記演算装置が、前記情報処理装置の侵害状況、及び前記機器への侵入箇所から保護資産までの経路を示す攻撃シナリオと関連付けられた識別情報を含むログを受信することを特徴とする分析方法。 - 請求項7に記載の分析方法であって、
前記攻撃進行分析手順では、前記演算装置が、前記受信したログから、前記情報処理装置で発生している可能性が高いシナリオを特定し、前記特定されたシナリオにおける攻撃の進行状況を示す攻撃進行情報を更新することを特徴とする分析方法。 - 請求項7に記載の分析方法であって、
前記緊急度判定手順では、前記演算装置が、前記攻撃進行分析手順で分析された前記保護資産までの攻撃の進行度合いによって緊急度を判定することを特徴とする分析方法。 - 請求項8に記載の分析方法であって、
前記対策選定手順では、前記演算装置が、前記判定された緊急度に応じて対策内容を選定することを特徴とする分析方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019195872 | 2019-10-29 | ||
| JP2019195872 | 2019-10-29 | ||
| PCT/JP2020/035389 WO2021084961A1 (ja) | 2019-10-29 | 2020-09-18 | 分析装置及び分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021084961A1 JPWO2021084961A1 (ja) | 2021-05-06 |
| JP7296470B2 true JP7296470B2 (ja) | 2023-06-22 |
Family
ID=75715060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021554171A Active JP7296470B2 (ja) | 2019-10-29 | 2020-09-18 | 分析装置及び分析方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220407873A1 (ja) |
| JP (1) | JP7296470B2 (ja) |
| CN (1) | CN114600423B (ja) |
| WO (1) | WO2021084961A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7509091B2 (ja) | 2021-06-30 | 2024-07-02 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
| JP7230146B1 (ja) | 2021-09-24 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ分析装置、方法およびそのプログラム |
| CN114157450B (zh) * | 2021-11-04 | 2024-03-15 | 南方电网数字平台科技(广东)有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005136526A (ja) | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
| JP2019125344A (ja) | 2018-01-12 | 2019-07-25 | パナソニックIpマネジメント株式会社 | 車両用システム及び制御方法 |
| JP2019133599A (ja) | 2018-02-02 | 2019-08-08 | クラリオン株式会社 | 車載装置、インシデント監視方法 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3725538B2 (ja) * | 1995-12-28 | 2005-12-14 | 富士通株式会社 | 半導体装置の製造方法 |
| US7203962B1 (en) * | 1999-08-30 | 2007-04-10 | Symantec Corporation | System and method for using timestamps to detect attacks |
| CN104937605B (zh) * | 2013-01-21 | 2018-08-28 | 三菱电机株式会社 | 攻击分析系统、协作装置、攻击分析协作方法 |
| CN104348652A (zh) * | 2013-08-06 | 2015-02-11 | 南京理工大学常熟研究院有限公司 | 基于关联分析的系统安全评估方法和装置 |
| JP6201614B2 (ja) * | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
| JP6104149B2 (ja) * | 2013-12-24 | 2017-03-29 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
| DE102014212419A1 (de) * | 2014-06-27 | 2015-12-31 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zur Ermittlung eines Angriffswegs in einem Systemmodell undComputerlesbares Speichermedium |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN105991521B (zh) * | 2015-01-30 | 2019-06-21 | 阿里巴巴集团控股有限公司 | 网络风险评估方法和装置 |
| US10185832B2 (en) * | 2015-08-12 | 2019-01-22 | The United States Of America As Represented By The Secretary Of The Army | Methods and systems for defending cyber attack in real-time |
| JP6423402B2 (ja) * | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN107040552A (zh) * | 2017-06-13 | 2017-08-11 | 上海斗象信息科技有限公司 | 网络攻击路径预测方法 |
| CN107454103B (zh) * | 2017-09-07 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| JP6995726B2 (ja) * | 2018-09-26 | 2022-01-17 | フォルシアクラリオン・エレクトロニクス株式会社 | 脆弱性評価装置、脆弱性評価システム及びその方法 |
| JP7149888B2 (ja) * | 2018-10-17 | 2022-10-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
-
2020
- 2020-09-18 US US17/772,704 patent/US20220407873A1/en active Pending
- 2020-09-18 CN CN202080072972.5A patent/CN114600423B/zh active Active
- 2020-09-18 WO PCT/JP2020/035389 patent/WO2021084961A1/ja active Application Filing
- 2020-09-18 JP JP2021554171A patent/JP7296470B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005136526A (ja) | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
| JP2019125344A (ja) | 2018-01-12 | 2019-07-25 | パナソニックIpマネジメント株式会社 | 車両用システム及び制御方法 |
| JP2019133599A (ja) | 2018-02-02 | 2019-08-08 | クラリオン株式会社 | 車載装置、インシデント監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021084961A1 (ja) | 2021-05-06 |
| CN114600423B (zh) | 2024-04-30 |
| US20220407873A1 (en) | 2022-12-22 |
| JPWO2021084961A1 (ja) | 2021-05-06 |
| CN114600423A (zh) | 2022-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7296470B2 (ja) | 分析装置及び分析方法 | |
| JP7071510B2 (ja) | 車両内ネットワークにセキュリティを提供するシステム及び方法 | |
| US8272059B2 (en) | System and method for identification and blocking of malicious code for web browser script engines | |
| JP4088082B2 (ja) | 未知コンピュータウイルスの感染を防止する装置およびプログラム | |
| KR101638613B1 (ko) | 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 | |
| JP5374485B2 (ja) | 情報セキュリティ保護ホスト | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| US20230396634A1 (en) | Universal intrusion detection and prevention for vehicle networks | |
| CN110612527A (zh) | 信息处理装置以及异常应对方法 | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| CN111225834A (zh) | 车辆用控制装置 | |
| WO2023059938A1 (en) | Universal intrusion detection and prevention for vehicle networks | |
| KR20190021673A (ko) | 랜섬웨어 방지 장치 및 방법 | |
| US12086244B2 (en) | Onboard information processing device, information processing method, and non-transitory recording medium | |
| CN113098827A (zh) | 基于态势感知的网络安全预警方法及装置 | |
| CN106899977B (zh) | 异常流量检验方法和装置 | |
| US20220391507A1 (en) | Malware identification | |
| US12086240B2 (en) | Electronic device and attack detection method of electronic device | |
| US20180260563A1 (en) | Computer system for executing analysis program, and method of monitoring execution of analysis program | |
| KR20210103972A (ko) | 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법 | |
| JP5955165B2 (ja) | 管理装置、管理方法及び管理プログラム | |
| WO2020109252A1 (en) | Test system and method for data analytics | |
| KR20150133368A (ko) | 지능형 지속 위협 탐지 방법 및 장치 | |
| JP6819610B2 (ja) | 診断装置、診断方法、及び、診断プログラム | |
| KR20140044954A (ko) | 툴바를 통한 이중 안티 피싱 방법 및 서버 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230110 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230308 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230530 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230612 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7296470 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |