[go: up one dir, main page]

JP2024051321A - ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム - Google Patents

ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム Download PDF

Info

Publication number
JP2024051321A
JP2024051321A JP2022157425A JP2022157425A JP2024051321A JP 2024051321 A JP2024051321 A JP 2024051321A JP 2022157425 A JP2022157425 A JP 2022157425A JP 2022157425 A JP2022157425 A JP 2022157425A JP 2024051321 A JP2024051321 A JP 2024051321A
Authority
JP
Japan
Prior art keywords
log
security
predicted
logs
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022157425A
Other languages
English (en)
Other versions
JP2024051321A5 (ja
Inventor
知範 幾世
Tomonori Ikuyo
桂太 早川
Keita Hayakawa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2022157425A priority Critical patent/JP2024051321A/ja
Priority to US18/473,373 priority patent/US20240111859A1/en
Publication of JP2024051321A publication Critical patent/JP2024051321A/ja
Publication of JP2024051321A5 publication Critical patent/JP2024051321A5/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】セキュリティログが車両のメンテナンスによって生成されたログであるか否かを判定するログ判定装置、方法、プログラム及びシステムを提供する。
【解決手段】ログ判定装置10は、電子制御システム内で検知された異常を示す異常情報と、異常が検知された電子制御システム内の位置を示す位置情報と、をそれぞれ含む複数のセキュリティログを取得し、システムのメンテナンスによって発生することが予測されるセキュリティログの発生パターンを保存する。発生パターンは、システムで検知されることが予測される異常を示す予測異常情報と、予測される異常が検知されるシステム内の位置を示す予測異常位置情報とをそれぞれ含む。ログ判定装置はさらに、複数のセキュリティログと、発生パターンとを比較して、複数のセキュリティログが、メンテナンスによって発生した異常が検知されたことで生成された偽陽性ログであるか否かを判定し、判定結果を出力する。
【選択図】図4

Description

本発明は、電子制御システムで生成されるセキュリティログを判定する装置であって、ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システムに関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することの必要性が増している。
例えば、特許文献1には、電子制御装置が異常を検出した場合に、電子制御装置に搭載された防御機能や防御機能以外の機能が正常であるか異常であるかの判定結果を用いて、不正な情報を遮断するための措置を決定することで、不正な情報の侵入を防止する装置が開示されている。
特開2022-17873号公報
ここで、本発明者は、詳細な検討の結果、以下の課題を見出した。
車両に発生する異常には、サイバー攻撃を受けたことによって発生する異常だけでなく、サイバー攻撃以外の理由によって発生する異常がある。例えば、車両のメンテナンスを実施した場合、メンテナンス中又はその直後は電子制御システムがそれまでとは異なる状態にあるため、それをセンサが異常と判断してログを生成することがある。そのため、収集されたログには、サイバー攻撃による異常に関するログだけでなく、このようなメンテナンスによって発生した異常に関するログが混在している可能性がある。ところが、このようなログが混在した状態でサイバー攻撃の分析を行うと、分析精度が低下するおそれがある。
そこで、本発明は、センサによって生成されたログが、メンテナンスを行うことによって生成されたログであるか否かを判定することを目的とする。
本開示のログ判定装置(10、11)は、電子制御システム内で検知された異常を示す異常情報と、前記異常が検知された前記電子制御システム内の位置を示す位置情報と、をそれぞれ含む複数のセキュリティログを取得するログ取得部(101)と、前記電子制御システムのメンテナンスによって発生することが予測されるセキュリティログの発生パターンであって、前記電子制御システムで検知されることが予測される異常を示す予測異常情報と、前記予測される異常が検知される前記電子制御システム内の位置を示す予測異常位置情報とをそれぞれ含む複数のセットからなる前記発生パターンを保存するパターン保存部(103)と、前記複数のセキュリティログと、前記発生パターンとを比較して、前記複数のセキュリティログが前記メンテナンスによって発生した異常が検知されたことにより生成された偽陽性ログであるか否かを判定し、判定結果を出力する、偽陽性ログ判定部(104)と、を備える。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成によれば、電子制御システムで生成されたログが車両のメンテナンスによって発生した異常に関するログであるか否かを判定することができ、その判定結果を考慮してサイバー攻撃の分析を行うことでサイバー攻撃の分析精度を高めることが可能となる。
各実施形態のログ判定装置と電子制御装置システムの配置を説明する説明図 各実施形態の電子制御システム及び電子制御装置の構成を説明する説明図 各実施形態の電子制御装置のセキュリティセンサが生成するセキュリティログを説明する説明図 実施形態1のログ判定装置の構成例を示すブロック図 実施形態1のログ保存部に保存される情報を説明する図 実施形態1のパターン保存部に保存される情報を説明する図 実施形態1のパターン保存部に保存される情報を説明する図 実施形態1のログ判定装置の動作を説明する図 実施形態1のログ判定装置の動作を説明する図 実施形態2のログ判定装置の構成例を示すブロック図 実施形態2のログの判定方法を説明する図 実施形態2のログの判定方法を説明する図 実施形態2のログ判定装置の動作を説明する図 実施形態2のログ判定装置の動作を説明する図
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.各実施形態の前提となる構成
(1)ログ判定装置10と電子制御システムSの配置
ログ判定システム1は、ログ判定装置10と、電子制御システムSを構成する電子制御装置20とから構成されるシステムである。図1を用いて、ログ判定システム1を構成する各実施形態のログ判定装置10の配置を説明する。例えば、図1(a)や図1(b)に示すように、ログ判定装置10が電子制御システムSを構成する電子制御装置20とともに「移動体」である車両に「搭載」されている場合と、図1(c)に示すように、電子制御システムSを構成する電子制御装置20が「移動体」である車両に「搭載」され、ログ判定装置10が車両の外部に設けられたサーバ装置やSOC(Security Operation Center)等で実現する場合と、が想定される。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
図1(a)に示す例では、ログ判定システム1は電子制御システムSであるともいえる。また、図1(c)に示す例では、ログ判定システム1は、車両の外部に設けられたログ判定装置10と、複数の車両に搭載されたそれぞれの電子制御システムSとからなるシステムである。
ログ判定装置10は、電子制御システムSを構成する複数の電子制御装置(以下、ECU(Electronic Control Unit)と称する)20からセキュリティログを取得して、ログを判定する装置である。
図2は、電子制御システムSの構成例を示す図である。電子制御システムSは、複数のECU20から構成されている。図2は5つのECU(ECU20a~ECU20e)を例示しているが、当然のことながら、電子制御システムSは任意の数のECUから構成される。以後の説明では、単数又は複数の電子制御装置全体を包括して説明する場合はECU20や各ECU20、個々の電子制御装置を特定して説明する場合はECU20a、ECU20b、ECU20c・・・のように記載している。
図2の電子制御システムSにおいては、ECU20a、ECU20c、ECU20d、ECU20eはそれぞれセキュリティセンサ201を有している。これに対し、ECU20bにはセキュリティセンサが搭載されていない。このように、電子制御システムSを構成する複数のECU20にセキュリティセンサが搭載されていればよく、必ずしも全てのECU20にセキュリティセンサが搭載されている必要はない。ECU20はさらに、セキュリティセンサが生成したセキュリティログを送信するログ送信部202を有している。
セキュリティセンサ201(「ログ生成部」に相当)は、電子制御システム内、例えば、ECU20や、ECU20に接続されたネットワーク等に発生した異常を検知した場合にセキュリティログを生成する。電子制御システムSにおけるネットワーク上の通信を監視して、通信内容や通信の頻度に関する異常を検知するセキュリティセンサは、ネットワーク型IDS(Intrusion Detection System)とも称される。
ログ送信部202は、セキュリティセンサ201が生成したセキュリティログをログ判定装置10に「送信」する。
ここで、「送信」する、とは、有線通信又は無線通信のいずれを用いて送信してもよい。また、無線通信を用いて送信する場合には、通信機能を有する装置を介して送信する場合も含む。
なお、以下に説明する各実施形態では、セキュリティログが、図2に示すセキュリティセンサ201によって生成されるログである場合を例に挙げて説明している。しかしながら、本開示におけるセキュリティログは、車載SIEM(Security Information and Event Management)と呼ばれる、電子制御システム内で発生したイベントに関する情報を収集して管理する機能によって生成されるログであってもよい。
電子制御システムSは任意のECUで構成することができる。例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士が並列ではなく、マスタとスレーブとに分類されていてもよい。また、電子制御システムSに、電子制御装置同士を接続するゲートウェイECUやセントラルECU(C-ECU)、外部との通信を行う外部通信ECUを設けてもよい。例えば、ECU20aを外部通信ECU、ECUcをC-ECUとしてもよい。また、ECU20同士の通信は、第三者による成りすましを防止するために、メッセージ認証が用いられてもよい。さらに、ECU20は、物理的に独立したECUである場合の他、仮想的に実現された仮想ECU(あるいは、仮想マシンと呼ぶこともある。)であってもよい。
図1(a)や図1(b)の場合、ログ判定装置10と各ECU20とは、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった車載通信ネットワークを介して接続されている。あるいは、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、有線無線を問わず任意の通信方式を用いて接続されてもよい。なお、接続とは、データのやり取りが可能な状態をいい、異なるハードウェアが有線又は無線の通信ネットワークを介して接続されている場合はもちろん、同一のハードウェア上で実現された仮想マシン同士が仮想的に接続されている場合も含む。
図1(a)は、電子制御システムSの内部に独立したログ判定装置10を設けたもの、又は電子制御システムSを構成するECU20の少なくとも一つ、例えばC-ECUや外部通信ECUにログ判定装置10の機能を内蔵したものである。
図1(b)は、電子制御システムSの外部にログ判定装置10を設けたものであるが、接続の形態の視点では、実質的には図1(a)と同じである。
図1(c)の場合も電子制御システムSの外部にログ判定装置10を設けたものであるが、ログ判定装置10は車両の外部に設けられているので、接続の形態は図1(a)や図1(b)とは異なる。ログ判定装置10と電子制御システムSとは、例えば、IEEE802.11(Wi-Fi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等の無線通信方式といった通信ネットワークを介して接続されている。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。車両が駐車場に駐車されていたり、修理工場に収容されている場合は、無線通信方式に代えて、有線通信方式を用いることができる。例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
図1(c)の場合、ECU20のうち一のECU(例えば、ECU20a)が各ECU20のセキュリティセンサ201が生成したセキュリティログを集約して、ログ判定装置10にまとめて送信する。このときのECU20aは、AUTOSAR(AUTomotive Open System Architecture)で定めた仕様のIDSR(Intrusion Detection System Reporter)に相当する。あるいは、ECU20aは、各ECU20のセキュリティセンサが生成したセキュリティログを、順次ログ判定装置10に送信してもよい。
図1(a)や図1(b)の場合、車両でログの判定処理を行うことにより、後述する偽陽性ログであると判定されなかったセキュリティログのみを、車両の外部に設けられたサーバ装置等に送信することができる。そのため、車両とサーバ装置間の通信量を削減することができる。さらに、サーバ装置は、受信した偽陽性ログ以外のセキュリティログのみを分析すればよいため、サーバ装置におけるログの分析処理を抑制することができる。
これに対し、図1(c)の場合、サーバ装置の豊富なリソースを利用してログの判定処理を実行することができる。さらに、既存の車両に新たな装置やプログラムを実装することなく、各実施形態のログ判定処理を実現することができる。
以下の各実施形態では、図1(c)に示す配置の場合を例に説明する。
各実施形態では、電子制御システムSは車両に搭載された車載システムである例を挙げて説明するが、電子制御システムSは車載システムに限定されるものではなく、複数のECUからなる任意の電子制御システムに適用することができる。例えば、電子制御システムSは、移動体ではなく静止体に搭載されるものであってもよい。
また、図1には図示していないが、ログ判定装置10はさらに、当該ログ判定装置10で判定されたセキュリティログを分析して、車両に対して行われたサイバー攻撃の分析を行う攻撃分析装置(図示せず)に接続されていてもよい。あるいは、後述するログ判定装置10の各機能は、攻撃分析装置に内蔵された機能を指すものであってもよい。以下、サイバー攻撃を単に攻撃と称する。
なお、図1、及びこれに関する(1)の上述の説明において、実施形態1のログ判定装置10を例に挙げて説明したが、図1に示す各配置は実施形態2のログ判定装置11にも適用することができる。
(2)セキュリティログの詳細
図3は、ECU20のセキュリティセンサ201が生成するセキュリティログの内容の一例を示す図である。
セキュリティログは、セキュリティセンサ201が搭載されているECUの識別情報を示すECU-ID(「位置情報」に相当)、セキュリティセンサの識別情報を示すセンサID、セキュリティセンサが検知したイベントの識別情報を示すイベントID(「異常情報」に相当)、イベントが検知された回数を示すカウンタ、イベントが検知された時刻を示すタイムスタンプ(「時刻情報」に相当)、及びセキュリティセンサの出力の詳細を示すコンテキストデータ、の各フィールドを有する。セキュリティログは、さらに、プロトコルのバージョンや、各フィールドの状態を示す情報を格納したヘッダを有していてもよい。
AUTOSARで定めた仕様によれば、IdsM Instance IDがECU-ID、Sensor Instance IDがセンサID、Event Definition IDがイベントID、Countがカウンタ、Timestampがタイムスタンプ、Context Dataがコンテキストデータ、Protocol VersionやProtocol Header がヘッダ、にそれぞれ相当する。
セキュリティセンサ201は、電子制御システム内の異常を検知すると、検知された異常を示すイベントIDを含む、図3に示すようなセキュリティログを生成する。
なお、以下に説明する各実施形態では、電子制御システム内で検知された異常を示す情報としてイベントIDを、異常が検知された電子制御システム内の「位置」を示す情報としてECU-IDを用いて、セキュリティログを判定する構成を説明している。しかしながら、ログ判定装置10がセキュリティログの判定に用いる情報は、イベントID及びECU-IDに限定されるものではない。例えば、電子制御システム内で検知された異常を示す情報として、コンテキストデータに格納された情報を用いてもよい。また、異常が検知された電子制御システム内の位置を示す情報として、センサIDを使用してもよい。あるいは、異常がネットワークで検知された場合には、異常が発生したネットワークの識別情報を使用してもよい。
ここで、「位置」とは、例えば、個別の電子制御装置、電子制御装置に搭載される機能、ネットワークの位置である。
図3は異常が発生した場合に生成されるログの例であるが、異常が発生していない場合(例えば、イベントが成功した場合)に生成される正常ログも図3と同じ仕様としてもよい。その場合、例えば、異常が発生した場合とイベントが成功した場合とで異なるイベントIDを使用することで、異常ログと正常ログとを識別することができる。また、ヘッダにコンテキストデータの有無を示すフラグを設定することにより、かかるフラグを確認することで、異常ログと正常ログとを識別してもよい。
また、図3は物理的に独立したECU20が生成したセキュリティログであるが、仮想ECUが生成したセキュリティログであってもよい。
(3)メンテナンスによって発生するセキュリティログの事例
車両に搭載された電子制御システムSにメンテナンスを行う場合、セキュリティセンサ201は、メンテナンスの内容に応じて、特定のセキュリティログを生成することが予測される。そこで、以下に、電子制御システムSに対するメンテナンスの事例(a)~(d)と、これらのメンテナンスによって生成されることが予測されるセキュリティログについて説明する。当然のことながら、電子制御システムSのメンテナンスの内容や、メンテナンスによって生成されるセキュリティログは例示にすぎず、これらに限定されるものではない。
(a)メンテナンスの事例1(ECUの交換)
修理工場やディーラにおいて、電子制御システムSを構成するECU20(例えば、ECU20c)をECU20c2に交換するメンテナンスの事例を説明する。ECU20cは、周期的に他のECU20にメッセージを送信するECUである。ECU20の交換では、メンテナンスの作業者は以下の(i)~(v)の作業を行うことが想定されている。
(i)作業者は、ECU20cをECU20c2に交換する。
(ii)作業者は、(i)の作業が完了すると、ECU20c2が正常に動作するか否かを確認するために、車両の電源を入れて、ECU20c2の認証情報の初期値を用いて交換したECU20c2にアクセスをする。
(iii)作業者は、ECU20c2との間で共通鍵を用いたメッセージ認証を行う他のECU20(例えば、ECU20d)とを同期させることにより、ECU20c2とECU20dに新たな共通鍵を設定する。
(iv)作業者は、ECU20c2の認証情報を、セキュリティ性の低い初期値から新たな認証情報に設定する。
(v)作業者は、認証情報の変更が完了したことを確認するために、認証情報の初期値を用いてECU20c2にアクセスをする。認証情報の初期値を用いてECU20c2にアクセスできない場合、ECU20c2の認証情報の変更が完了したとみなす。
上記(ii)の作業において車両の電源を入れたことで、ECU20c2は、周期的なメッセージをECU20dに送信する。このとき、交換直後のECU20c2と、ECU20dが有する共通鍵とは異なっているため、ECU20dのセキュリティセンサ201dは、鍵の不一致を示す異常を検知してセキュリティログ(a1)を生成する。
また、上記(v)の作業により、ECU20cのセキュリティセンサ201cは、正常な認証情報とは異なる認証情報(認証情報の初期値)を用いてアクセスされたことを示す異常を検知して、セキュリティログ(a2)を生成する。
以上のとおり、ECU20cの交換するメンテナンスによって、セキュリティログ(a1)及び(a2)が生成されることが予測される。
(b)メンテナンスの事例2(ソフトウェアの変更)
ECU20に搭載されたソフトウェアの設定を変更するメンテナンスの事例を説明する。具体的には、ECU20(例えば、ECU20e)に搭載されたソフトウェアであって、周期的に他のECU20にメッセージを送信するソフトウェアについて、メッセージを送信する周期を変更する場合を例に挙げて説明する。
ECU20eに搭載されたソフトウェアの設定が変更されている間、当該ソフトウェアは通信を行うことができない。そのため、ECU20eに接続された他のECU20に搭載されたセキュリティセンサ201は、例えば死活監視機能を利用して、ECU20eが動作していないことを示す異常を検知し、セキュリティログ(b1)を生成する。
ECU20eのソフトウェアの設定変更が完了した後、ECU20eのソフトウェアはメッセージの送信を再開する。ところが、車載ネットワーク上で送受信されるデータの通信周期は設定変更前とは異なるため、ネットワークを監視するセキュリティセンサ201(例えば、セキュリティセンサ201c)は、このような通信周期の変化を異常として検知してセキュリティログ(b2)を生成する。
ここで、変更後の通信周期を異常と検知しないようにセキュリティセンサ201cの設定を調整することで、セキュリティセンサ201cは通信周期の変化を異常と検知しなくなる。しかしながら、セキュリティセンサ201cにおいて設定の調整があったことを、他のセキュリティセンサ201(例えば、セキュリティセンサ201d)が異常と検知して、セキュリティログ(b3)を生成する。
以上のとおり、ECU20eのソフトウェアの設定を変更するメンテナンスによって、セキュリティログ(b1)、(b2)及び(b3)が生成されることが予測される。
(c)メンテナンスの事例3(ECUの追加)
ECU20(例えば、ECU20f)を電子制御システムSに追加するメンテナンスの事例を説明する。
電子制御システムSに新たなECU20fを追加した場合、ECU20fが送信したデータが車載ネットワークを介して他のECU20に通信される。このデータは、ECU20fを追加するまで存在しなかったデータであるため、セキュリティセンサ201(例えば、201c)は、車載ネットワーク上で過去にないデータが通信されたことを異常として検知して、セキュリティログを生成する(c1)。
ここで、新たに追加したECU20fによるデータ通信を異常と検知しないように、セキュリティセンサ201cの設定を調整することで、セキュリティセンサ201cは異常を検知しなくなる。しかしながら、セキュリティセンサ201cにおいて設定に調整があったことを、他のセキュリティセンサ201(例えば、セキュリティセンサ201d)が異常と検知して、セキュリティログ(c2)を生成する。
以上のとおり、電子制御システムSに新たなECU20を追加するメンテナンスによって、セキュリティログ(c1)及び(c2)が生成されることが予測される。
なお、本事例では、ECUを追加する場合のメンテナンスの事例を説明したが、ECU20に新たなソフトウェアを追加する場合も、同様のセキュリティログが生成されることが予測される。
(d)メンテナンスの事例4(ECUの削除)
電子制御システムSから、ECU20(例えば、ECU20e)を削除するメンテナンスの事例を説明する。
電子制御システムSからECU20eを削除した場合、セキュリティセンサ201cは、車載ネットワーク上で通信されるはずECU20eによるデータが通信されないことを異常として検知して、セキュリティログを生成する(d1)。
上述した(c)と同様、セキュリティセンサ201cの設定を調整することで、セキュリティセンサ201cは異常を検知しなくなる。しかしながら、セキュリティセンサ201cにおける設定に調整があったことを、他のセキュリティセンサ201(例えば、セキュリティセンサ201d)が異常と検知して、セキュリティログ(d2)を生成する。
以上のとおり、ECU20からソフトウェアを削除するメンテナンスによって、セキュリティログ(d1)及び(d2)が生成されることが予測される。
なお、本事例では、ECUの追加する場合のメンテナンスの事例を説明したが、ECU20に新たなソフトウェアを追加する場合も、同様のセキュリティログが生成されることが予測される。
2.実施形態1
(1)ログ判定装置10の構成
図4は、本実施形態におけるログ判定装置10の構成を示すブロック図である。ログ判定装置10は、ログ取得部101、ログ保存部102、パターン保存部103、偽陽性ログ判定部104、情報付与部105、及び送信部107を備える。本実施形態の情報付与部105は、偽陽性情報付与部106を実現する。
ログ取得部101は、ECU20に搭載されたセキュリティセンサ201が生成したセキュリティログを取得する。電子制御システムSの構成は図2、セキュリティログの内容は図3でそれぞれ説明した通りである。
ログ判定装置10が図1(c)の配置を採る場合、ログ取得部101は、無線通信方式を用いた通信ネットワークを介してセキュリティログを受信することにより取得する。上述したように、ログ取得部101は、集約された複数のセキュリティログをまとめて取得してもよく、あるいは、生成されたセキュリティログを順次取得してもよい。
ログ保存部102は、ログ取得部101が取得したログを保存する記憶部である。図5は、ログ保存部102に保存される情報の一例を示している。図5に示す例では、ログ保存部102は、セキュリティログに含まれるECU-ID、イベントID、検知時刻に加えて、電子制御システムSを搭載する車両の識別情報(以下、車両ID)、及び、それぞれのセキュリティログに割り当てられたログの識別情報(以下、ログID)を保存している。説明を容易にするために、図5に示すログIDは、車両IDと、ログ取得部101がログを取得した順番との組み合わせで表している。
パターン保存部103は、電子制御システムSの「メンテナンス」によって発生することが予測されるセキュリティログの発生パターンを保存する記憶部である。1.(3)で上述したように、電子制御システムSをメンテナンスした場合、メンテナンスの内容に応じて、所定のセキュリティログが発生することが予測できる。
ここで、電子制御システムの「メンテナンス」とは、電子制御システムを構成する電子制御装置、電子制御装置に搭載されるソフトウェア、電子制御装置同士を接続するネットワーク等に対して何らかの変更を加えることをいい、例えば、電子制装置等の削除、追加、交換、更新等が挙げられる。
図6は、パターン保存部103に保存される情報の一例を示している。図6の例では、パターン保存部103は、メンテナンスの識別番号(以下、メンテナンスID)、発生パターン、及び予測期間を保存している。図6の発生パターンは、電子制御システムSで検知されることが予測される異常を示す予測イベントID(「予測異常情報」に相当)と、予測される異常が検知される電子制御システム内の「位置」を示す予測ECU-ID(「予測異常位置情報」に相当)と、予測される異常が発生する「回数」を示す予測回数と、これらのセットの番号と、を含む複数のセットと、複数のセットの発生順序からなる。また、図5に示す予測期間とは、予測される異常が最初に検知される時刻から、予測される異常が最後に検知される時刻までの予測される期間を示している。なお、図6に示す発生パターンは一例にすぎず、図6に限定されるものではない。例えば、発生パターンは、予測イベントID及び予測ECU-IDを含む複数のセットのみからなるパターンであってもよい。
「回数」とは、特定の値で定義されることはもちろん、最大値及び/又は最小値によって定義されてもよい。
例えば、図6に示すメンテナンスID[0001]の場合の発生パターンは、ECU20cで異常aが1回検知された後(発生順序:1)、ECU20dで異常bが2回検知され(発生順序:2)、その後、ECU20eで異常bが2回検知される(発生順序:3)、ことを示している。さらに、メンテナンスID[0001]の場合の予測期間は20分であるが、これは、ECU20cに異常aが検知される時刻から、ECU20eで2回目の異常bが検知される時刻までの予測される期間が20分以内であることを示している。
また、図6に示すメンテナンスID[0002]の場合の発生パターンは、ECU20aで異常cが2回以上検知される、又は、ECU20bで異常cが2回以上検知された後(発生順序:1)、ECU20dで異常cが2~4回検知され、且つ、ECU20eで異常cが2~4回検知され(発生順序:2)、その後、ECU20cで異常bが最大5回検知される(発生順序:3)、ことを示している。さらに、メンテナンスID[0002]の場合の予測期間は30分であるが、これは、ECU20a又はECU20bで最初の異常cが検知される時刻から、ECU20cで異常bが最後に検知される時刻までの予測される期間が30分以内であることを示している。
パターン保存部103はさらに、電子制御システムSのメンテナンスによって発生しないことが予測されるセキュリティログ(以下、不検知ログと称する)に関する情報を保存してもよい。図7は、パターン保存部103に保存される不検知ログに関する情報の一例を示している。図7の例では、パターン保存部103は、メンテナンスIDと、メンテナンスによって異常が検知されないことが予測される電子制御システム内の「位置」を示す不検知ECU-ID(「予測不検知位置情報」に相当)と、不検知ECU-IDが示すECUで検知されないことが予測される異常を示す不検知イベント種別(「予測不検知異常情報」に相当)と含むセットを保存している。
例えば、図7に示すメンテナンスID[0001]の場合、図6に示すメンテナンスID[0001]の予測期間である20分以内に、ECU20aで異常cが検知されないことを示している。また、メンテナンスID[0002]の場合、メンテナンスID[0002]の予測期間である30分以内に、ECU20aで異常aが検知されず、且つ、ECU20bで異常aが検知されないことを示している。
図6、図7では、電子制御システム内の位置を示す情報として、ECUの識別情報(すなわち、予測ECU-ID)を用いている。しかしながら、発生パターンは、電子制御システム内の位置を示す情報として、セキュリティセンサやネットワークの識別情報を用いてもよい。
なお、メンテナンスによって発生するパターンは、車両の種別(例えば車種、年式、モデル)によって異なる可能性がある。そのため、パターン保存部103は、車両の種別毎に発生パターンや予測期間を保存していてもよい。
パターン保存部103に保存される発生パターンや予測期間は、車両の製造メーカ、ディーラ、整備工場等によって設定される。例えば、発生パターンや予測期間は、ディーラ等におけるメンテナンスの作業完了目安時間の設定及びメンテナンス手順の作成のため実施する試験的な作業において記録したログに基づいて設定されてもよい。発生パターンや予測期間はさらに、実際にサイバー攻撃を受けた際に発生した、又は実際のサイバー攻撃を模した試験的な攻撃の際に発生した、セキュリティログログに基づいて設定されてもよい。例えば、メンテナンスによって発生することが予測される発生パターンと一致するセキュリティログであっても、サイバー攻撃を受けた際に発生することが予測されるパターンと一致するセキュリティログについては、偽陽性ログであると判定されることが回避されるように、発生パターンや予測期間を設定してもよい。
偽陽性ログ判定部104は、ログ保存部103に保存した複数のセキュリティログ及び複数のセキュリティログの発生順序と、パターン保存部103に保存されている発生パターンとを比較して、ログ取得部101が取得した複数のセキュリティログが、メンテナンスによって発生した異常が検知されたことにより生成された偽陽性ログであるか否かを判定して、判定結果を出力する。ここで、偽陽性ログとは、電子制御システムSが攻撃を受けたことによって発生する異常とは異なる異常をセキュリティセンサが検知して生成されたセキュリティログを指す。本開示では、電子制御システムSのメンテナンスによって発生した異常をセキュリティセンサが検知して生成した偽陽性ログを判定する。
例えば、偽陽性ログ判定部104は、図5に示すセキュリティログの内容と、図6に示す発生パターンとを比較する。図5、図6によれば、図5に示すログID[01-2]のECU-ID及びイベントIDは、図6に示すメンテナンスID[0001]のセット番号[1]の予測ECU-ID及び予測イベントIDと一致する。ログID[01-3]、[01-4]のECU-ID及びイベントID、並びにセキュリティログの数(すなわち、2つ)は、セット番号[2]の予測ECU-ID及び予測イベントID、並びに予測回数と一致する。また、ログID[01-6]、[01-7]のECU-ID及びイベントID、並びにセキュリティログの数(すなわち、2つ)は、セット番号[3]の予測ECU-ID及び予測イベントID、並びに予測回数と一致する。また、ログID[01-2]、[01-3]及び[01-4]、[01-6]及び[01-7]の発生順序は、メンテナンスID[0001]の発生パターンの発生順序と一致する。
偽陽性ログ判定部104はさらに、上述したセキュリティログのうち、検知時刻が最も早いログID[01-2]の検知時刻(10:00:00)から、検知時刻が最も遅いログID[01-7]の検知時刻(10:14:00)までの期間と、図6に示す予測期間とを比較する。この場合、検知時刻(10:00:00)から(10:14:00)までの期間は予測期間内である。
偽陽性ログ判定部104はさらに、最も早い検知時刻から最も遅い検知時刻までの間に、不検知ログに相当するセキュリティログが検知されたか否かを判定する。図5によれば、図6に示す不検知ログ(すなわち、ECU20aで異常c)に相当するセキュリティログは検知されていない。
そこで、偽陽性ログ判定部104は、ログID[01-2]、[01-3]、[01-4]、[01-6]及び[01-7]のセキュリティログは、偽陽性ログであると判定する。
これに対し、ログ保存部102に保存されているセキュリティログのうち、上述したログID以外のセキュリティログは、パターン保存部103に保存されている発生パターンと一致しない。そのため、偽陽性ログ判定部104は、これらのセキュリティログは、偽陽性ログではない、すなわち、電子制御システムSに発生した異常が検知されたことにより生成されたセキュリティログであると判定する。
本実施形態の偽陽性ログ判定部104は、周期的に、又は所定のイベントが発生したタイミングで偽陽性ログの判定処理を行う。所定のイベントが発生するタイミングとは、例えば、車両の電源を入れる又は切るタイミング、車両が特定の挙動をしたタイミング、あるいは、ログ取得部101が新たなセキュリティログを取得したタイミング等が挙げられる。
なお、図4に示すブロック図では、偽陽性ログ判定部104は、判定結果を、後述する陽性情報付与部105に出力する構成を例示しているが、偽陽性ログ判定部104は、例えば、RAM(Random Access Memory)等のメモリ(図示せず)に判定結果を出力してもよい。
情報付与部105は、偽陽性ログ判定部104から出力された判定結果に基づいて、セキュリティログに情報を付与する。本実施形態の情報付与部105は、偽陽性情報付与部106を実現する。
偽陽性情報付与部106は、偽陽性ログ判定部104から出力された判定結果に基づいて、偽陽性ログを特定する情報である「偽陽性情報」をセキュリティログに付与する。なお、偽陽性ログ判定部104の判定結果がRAM等のメモリ(図示せず)に出力され保存されている場合には、偽陽性情報付与部104は、メモリに保存されている判定結果に基づいて、偽陽性情報をセキュリティログに付与する。
ここで、「偽陽性情報」とは、セキュリティログが偽陽性であることを示す情報はもちろん、セキュリティログが偽陽性ではないことを示す情報であってもよい。
例えば、偽陽性情報付与部106は、偽陽性ログ判定部104が偽陽性ログであると判定したセキュリティログに、当該セキュティログが偽陽性ログであることを示すフラグを偽陽性情報として付与する。偽陽性情報は、例えば、図3に示すセキュリティログのコンテキストデータに格納されることで付与されてもよい。このように、セキュリティログに対して偽陽性情報としてフラグを付与することで、攻撃によって生成されたセキュリティログと、メンテナンスに起因して生成されたセキュリティログとを容易に判別することが可能となる。
以下に示す実施形態では、偽陽性情報付与部106が、偽陽性ログであると判定されたセキュリティログに対して偽陽性情報を付与する場合を説明しているが、偽陽性情報付与部106は、偽陽性ログ判定部104が偽陽性ログではないと判定したセキュリティログに対して、偽陽性情報を付与するものであってもよい。この場合の偽陽性情報は、当該情報が付与されたセキュリティログが偽陽性ログではないことを示す情報を示している。
送信部107は、偽陽性ログであると判定されていないセキュリティログ、及び偽陽性ログであると判定されたセキュリティログを送信する。例えば、送信部107は、これらのセキュリティログを分析する攻撃分析装置(図示せず)にセキュリティログを送信する。セキュリティログを受信する攻撃分析装置では、セキュリティログに付与された偽陽性情報に基づいて、セキュリティログが偽陽性ログであるか否かを判断することができる。
あるいは、送信部107は、偽陽性であると判定されていないセキュリティログのみを送信してもよい。図1(a)及び図1(b)に示すログ判定装置10の場合、偽陽性ログであると判定されていないセキュリティログのみを、車両の外部に設けられた攻撃分析装置(図示せず)に送信することで、車両と攻撃分析装置との間の通信量を削減することができる。
なお、本実施形態では、送信部107は、ログ判定装置10からセキュリティログを送信する構成を説明している。しかしながら、送信部107は、セキュリティログに代えて、又は、セキュリティログに加えて、偽陽性ログ判定部104による判定結果を送信してもよい。
(2)ログ判定装置10の動作
図8、図9を参照して、ログ判定装置10の動作を説明する。図8、図9は、ログ判定装置10で実行されるログ判定方法を示すだけでなく、ログ判定装置10で実行可能なログ判定プログラムの処理手順を示すものでもある。そして、これらの処理は、図8、図9に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。後述する実施形態2の図13、図14についても同様である。
ログ取得部101は、電子制御システムSを構成する複数のECU20のそれぞれに搭載されたセキュリティセンサ201が異常を検知した場合に生成するセキュリティログを取得する(S101)。
ログ保存部102は、ログ取得部101が取得したセキュリティログを保存する(S102)。
ここで、偽陽性ログ判定部104は、ログの判定タイミングである場合(S103:Y)、例えば、周期的なタイミングでログの判定処理を行う場合であって、前回にログを判定してから一定時間が経過した場合に、ログ保存部102に保存されたセキュリティログが偽陽性ログであるか否かを判定する(S104)。S104に処理の詳細は後述する。
S104での判定結果に基づいて、セキュリティログが偽陽性ログであると判定した場合(S105:Y)、偽陽性情報付与部106は、偽陽性ログであると判定されたセキュリティログに偽陽性情報を付与する(S106)。
次いで、送信部107は、偽陽性ログであると判定されていないセキュリティログ、及び、偽陽性ログであると判定され、偽陽性情報が付与されたセキュリティログを送信する(S107)。
次に、図9を参照して、S104における、セキュリティログが偽陽性ログであるか否かの判定処理について説明する。なお、図9には明示していないが、図9の処理は、パターン保存部103に保存されている発生パターンの数だけ繰り返して実行される。
偽陽性ログ判定部104は、ログ保存部102に保存されている複数のセキュリティログ、及びその発生順序と、パターン保存部103に保存されている発生パターンとを比較する(S201)。
セキュリティログと発生パターンとを比較した結果、複数のセキュリティログ及びその発生順序と、発生パターンとが一致している場合(S202:Y)、偽陽性ログ判定部104はさらに、複数のセキュリティログのうち最も早い時刻情報から最も遅い時刻情報までの期間と、発生パターンに設定された予測期間とを比較する(S203)。
そして、最も早い時刻情報から最も遅い時刻情報までの期間が予測期間内である場合(S203:Y)、偽陽性ログ判定部104はさらに、最も早い時刻情報から最も遅い時刻情報までの期間に検知されたセキュリティログに、パターン保存部103に保存されている不検知ログに相当するセキュリティログが含まれているか否かを判定する(S204)。
ここで、不検知ログに相当するセキュリティログが含まれていない場合(S204:N)、偽陽性ログ判定部104は、複数のセキュリティログが偽陽性ログであると判定する(S205)。
これに対し、複数のセキュリティログ及びその発生順序と発生パターンとが一致しない場合(S202:N)、最も早い時刻情報から最も遅い時刻情報までの期間が予測期間内ではない場合(S203:N)、又は、複数のセキュリティログに不検知ログに相当するセキュリティログが含まれている場合(S204:Y)には、偽陽性ログ判定部104は、複数のセキュリティログが偽陽性ログではないと判定する(S206)。
そして、偽陽性ログ判定部104は、判定結果を出力する(S207)。
(3)小括
以上、本実施形態によれば、車両のメンテナンスに起因して生成されたセキュリティログを偽陽性ログであると判定することができる。これにより、セキュリティログを用いて攻撃を分析する装置では、車両のメンテナンスに起因して生成されたセキュリティログを除くセキュリティログを用いて攻撃の分析をすることができるため、攻撃の分析精度を高めることができる。
さらに、本実施形態によれば、偽陽性ログであると判定されたセキュリティログを送信しないことで、ログ判定装置と攻撃分析装置との間の通信量を削減することができる。
3.実施形態2
本実施形態では、実施形態1とは異なる方法を用いて、セキュリティログが偽陽性ログであるか否かを判定する方法を説明する。図10は、本実施形態のログ判定装置11の構成を示すブロック図である。実施形態1のログ判定装置10と同じ構成は同じ符号を付している。本実施形態のログ判定装置11について、実施形態1との相違点を中心に以下に説明する。
(1)ログ判定装置11の構成
本実施形態の偽陽性ログ判定部104は、ログ取得部101がセキュリティログを取得すると、セキュリティログが偽陽性ログであるか否かの判定を順次行う。なお、上述した実施形態1において、ログの判定を行うタイミングの一例として、ログ取得部101が新たなセキュリティログを取得したタイミングを説明した。実施形態1では、偽陽性ログ判定部104が、ログ保存部102に保存されている複数のセキュリティログ及びその発生順序と発生パターンとを比較し、完全に一致するか否かに応じて偽陽性ログであるか否かを判定したのに対し、本実施形態では、新たに取得したセキュリティログ及びログ保存部102に保存されているセキュリティログ及びその発生順序と発生パターンの一部とが一致するか否かを、新たにセキュリティログを取得したタイミングで判定するものである。
本実施形態の偽陽性ログ判定部104は、新たに取得したセキュリティログ(以下、取得セキュリティログ)及びログ保存部102に保存されているセキュリティログ(以下、保存セキュリティログ)、並びにその発生順序と、発生パターンの一部とが一致するか否かを判定する。そして、取得セキュリティログ及び保存セキュリティログ、並びにそれらの発生順序と、発生パターンの一部とが一致している場合には、取得セキュリティログ及び保存セキュリティログ、並びにその発生順序と、発生パターンとのマッチング度を算出する。
偽陽性ログ判定部104は、算出したマッチング度が100%である場合、取得セキュリティログ及び保存セキュリティログが偽陽性ログであると判定する。
これに対し、偽陽性ログ判定部104は、予測期間内にマッチング度が100%にならない場合、取得セキュリティログ及び保存セキュリティログは、偽陽性ログではないと判定する。
本実施形態の情報付与部105は、偽陽性情報付与部106に加えて、仮情報付与部111を実現する。仮情報付与部付与部111は、偽陽性ログ判定部104が算出したマッチング度が、所定の閾値「より」も高い場合には、取得セキュリティログ及び保存セキュリティログに、偽陽性ログである可能性があることを示す仮情報を付与する。
「より」とは、比較対象と同じ値を含む場合及び含まない場合の両方が含まれる。
図11、図12を参照して、本実施形態の偽陽性ログ判定部104及び仮情報付与部111についてさらに詳しく説明する。図11、図12は、取得セキュリティログ及び保存セキュリティログと発生パターンとの比較と、そのマッチング度を示している。図11、図12の四角はセキュリティログを示しており、白い四角はログ取得部101が新たに取得したセキュリティログを、斜線の四角はログ保存部102に保存されているセキュリティログを表している。また、以下に示す例では、マッチング度の閾値が70%であるとする。
図11(a)は、ログ取得部101が、ECU20cで異常aが検知されたことを示すログAを取得した状態を示している。ログAと、図5に示すメンテナンスID[0001]の発生パターンの一部は一致している。そのため、偽陽性ログ取得部104は、マッチング度を算出する。この例では、メンテナンスID[0001]の発生パターンは、合計5つのセット、すなわち、ECU20cと異常aのセットが1つ、ECU20dと異常bのセットが2つ、及びECU20eと異常bのセットが2つ、を含んでいる。そのため、5つのセットのうち、1つのセットが一致しているためマッチング度は20%となる。このマッチング度は閾値以下である。
図11(b)は、ログ取得部101が、ECU20dで異常bが検知されたことを示すログBを取得した状態を示している。ログA及びログBと、メンテナンスID[0001]の発生パターンの一部は一致しているため、偽陽性ログ取得部104は、マッチング度を算出する。図11(b)でマッチング度は40%であり、閾値以下である。同様に、図11(c)は、ログ取得部101が、ECU20dで異常bが検知されたことを示すログCを取得した状態を示している。ログA~Cと、メンテナンスID[0001]の発生パターンの一部は一致しているため、偽陽性ログ取得部104は、マッチング度を算出する。図11(c)でマッチング度は60%であり、閾値以下である。
図11(d)は、ログ取得部101が、ECU20eで異常bが検知されたことを示すログDを取得した状態を示している。ログA~Dと、メンテナンスID[0001]の発生パターンの一部は一致しているため、偽陽性ログ取得部104は、マッチング度を算出する。図11(d)でマッチング度は80%であり、マッチング度の閾値よりも高い。そこで、仮情報付与部111は、ログA~Dに仮情報を付与する。そして、図11(e)は、ログ取得部101が、ECU20eで異常bが検知されたことを示すログEを取得した状態を示している。ログA~Eと、メンテナンスID[0001]の発生パターンは一致しているため、偽陽性ログ取得部104は、マッチング度を算出する。図11(e)でのマッチング度は100%である。そのため、偽陽性ログ判定部104は、ログA~Eは偽陽性ログであると判定する。そして、偽陽性情報付与部116は、ログA~Eに偽陽性情報を付与する。
図12(a)~図12(d)は、図11(a)~図11(d)と同じであるが、図12(e)は図11(e)とは異なっている。図12(e)では、ログEに代えて、ECU20aで異常cが検知されたことを示すログFを取得した状態を示している。図6によれば、ECU20aで異常cが検知されたことを示すログは、メンテナンスID[0001]の不検知ログに相当する。そのため、図12(e)の場合、偽陽性ログ判定部104は、ログA~Fは偽陽性ログではないと判定する。そして、偽陽性ログ判定部104は、図12(d)で付与した仮情報を削除する。なお、図12(e)は、不検知ログを取得した場合を例に挙げて説明しているが、ログAを取得した時刻から予測期間内に、図11(e)のログEに相当するログを取得しない場合も同様である。
(2)ログ判定装置11の動作
図13、図14を参照して、ログ判定装置11の動作を説明する。ログ判定装置10と共通の処理については、図8又は図9と同じ符号を付している。
図13は、ログ取得部101がセキュリティログを取得してから、セキュリティログが偽陽性ログであるか否かを判定し、セキュリティログを送信するまでの一連の処理を示している。図8とは異なり、図13では、セキュリティログの判定タイミングであるか否かを判定する処理が含まれておらず、S101においてログ取得部101がセキュリティログを取得し、S102において取得したセキュリティログを保存すると、常に、偽陽性ログ判定部104はセキュリティログが偽陽性ログであるか否かの判定(S104)を行う。
次に、図14を参照して、図13のS104における、セキュリティログが偽陽性ログであるか否かの判定処理について説明する。
偽陽性ログ判定部104は、図13のS101で取得したセキュリティログ(すなわち、取得セキュリティログ)及びログ保存部102に保存されている保存セキュリティログ、並びにそれらの発生順序と、発生パターンとを比較する(S301)。
取得セキュリティログ及び保存セキュリティログ、並びにその発生順序と、発生パターンの一部とが一致している場合(S302:Y)、偽陽性ログ判定部104はさらに、保存セキュリティログのうち最も早い時刻情報から、取得セキュリティログの時刻情報までの期間と、発生パターンに設定された予測期間とを比較する(S303)。
そして、最も早い時刻情報から取得セキュリティログの時刻情報までの期間が予測期間内である場合(S303:Y)、偽陽性ログ判定部104はさらに、最も早い時刻情報から取得セキュリティログの時刻情報までに検知されたセキュリティログに、不検知ログに相当するセキュリティログが含まれているかを判定する(S304)。
不検知ログに相当するセキュリティログが含まれていない場合(S304:N)、偽陽性ログ判定部104は、取得セキュリティログ及び保存セキュリティログと、発生パターンとのマッチング度を算出する(S305)。
ここで、算出したマッチング度が100%である場合(S306)、取得セキュリティログ及び保存セキュリティログが偽陽性ログであると判定する(S307)。
一方、算出したマッチング度が100%ではない場合、偽陽性ログ判定部104はさらに、マッチング度が閾値よりも高いか否かを判定する(S306)。
マッチング度が閾値よりも高い場合、仮情報付与部111は、取得セキュリティログ及び保存セキュリティログに仮情報を付与(S309)し、図13の処理に戻る。
これに対し、マッチング度が閾値以下の場合、図13のS101の処理に戻る。
保存セキュリティログの最も早い時刻情報から取得セキュリティログの時刻情報までの期間が予測期間内ではない場合(S303:N)、又は、不検知ログに相当するセキュリティログが含まれている場合(S304:Y)には、偽陽性ログ判定部104は、判定したセキュリティログに仮情報が付与されているか否かを判定する(S310)。
ここで、セキュリティログに仮情報が付与されている場合には、当該仮情報を削除する(S311)。
そして、偽陽性ログ判定部104は、取得セキュリティログ及び保存セキュリティログが偽陽性ログではないと判定する(S312)。
また、S302において、取得セキュリティログ及び保存セキュリティログが発生パターンの一部と一致しない場合(S302:N)にも、偽陽性ログ判定部104は、取得セキュリティログ及び保存セキュリティログが偽陽性ログではないと判定する(S312)。
そして、偽陽性ログ判定部104は、セキュリティログが偽陽性ログであるか否かの判定結果を出力する(S308)。
(3)小括
以上、本実施形態によれば、発生パターンに対応する全てのセキュリティログが取得されていない状態であっても、セキュリティログが偽陽性ログである可能性があるか否かを判定することができる。
4.総括
以上、本発明の各実施形態におけるログ判定装置等の特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される電子制御装置のセキュリティセンサで生成されたセキュリティログを判定するための車両用のログ判定装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
また、本発明のログ判定装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
またログ判定装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明のログ判定装置は、特にサーバ側で用いられることにより、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明のログ判定装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明のログ判定装置は、主として自動車に搭載された電子制御システムに搭載された電子制御装置のセキュリティセンサが生成したセキュリティログを判定する装置を対象としているが、自動車に搭載されない通常のシステムや装置で生成されたログを分析する装置を対象としてもよい。
1 ログ判定システム、10(11) ログ判定装置、101 ログ取得部、103 パターン保存部、104 偽陽性ログ判定部、106 偽陽性情報付与部、107 送信部、111 仮情報付与部、201 セキュリティセンサ、202 ログ送信部

Claims (13)

  1. 電子制御システム内で検知された異常を示す異常情報と、前記異常が検知された前記電子制御システム内の位置を示す位置情報と、をそれぞれ含む複数のセキュリティログを取得するログ取得部(101)と、
    前記電子制御システムのメンテナンスによって発生することが予測されるセキュリティログの発生パターンであって、前記電子制御システムで検知されることが予測される異常を示す予測異常情報と、前記予測される異常が検知される前記電子制御システム内の位置を示す予測異常位置情報とをそれぞれ含む複数のセットからなる前記発生パターンを保存するパターン保存部(103)と、
    前記複数のセキュリティログと、前記発生パターンとを比較して、前記複数のセキュリティログが前記メンテナンスによって発生した異常が検知されたことにより生成された偽陽性ログであるか否かを判定し、判定結果を出力する、偽陽性ログ判定部(104)と、
    を備える、ログ判定装置(10、11)。
  2. 前記発生パターンは、前記複数のセットに加えて、前記複数のセットの発生順序からなり、
    前記偽陽性ログ判定部は、前記複数のセキュリティログ及び前記複数のセキュリティログの発生順序と、前記発生パターンとを比較して、前記複数のセキュリティログが前記偽陽性ログであるか否かを判定する、
    請求項1記載のログ判定装置。
  3. 前記複数のセキュリティログはさらに、前記異常が検知された時刻を示す時刻情報をそれぞれ含んでおり、
    前記パターン保存部はさらに、前記予測される異常が最初に検知される時刻から前記予測される異常が最後に検知される時刻までの予測される期間を示す予測期間を保存しており、
    前記偽陽性ログ判定部はさらに、前記時刻情報のうち最も早い時刻情報である第1の時刻情報から最も遅い時刻情報である第2の時刻情報までの期間と、前記予測期間とを比較して、前記複数のセキュリティログが前記偽陽性ログであるか否かを判定する、
    請求項1記載のログ判定装置。
  4. 前記複数のセットはさらに、前記予測される異常が発生する回数を示す予測回数をそれぞれ含んでおり、
    前記偽陽性ログ判定部は、前記複数のセキュリティログのうち前記異常情報及び前記位置情報が共通しているセキュリティログの数と、前記予測回数とを比較して、前記複数のセキュリティログが偽陽性ログであるか否かを判定する、
    請求項1記載のログ判定装置。
  5. 前記パターン保存部はさらに、前記メンテナンスによって異常が検知されないことが予測される前記電子制御システム内の位置を示す予測不検知位置情報と、前記予測不検知位置情報が示す位置で検知されないことが予測される異常を示す予測不検知異常情報と、を保存しており、
    前記偽陽性ログ判定部はさらに、前記複数のセキュリティログと、前記予測不検知異常情報及び前記予測不検知位置情報とを比較して、前記複数のセキュリティログが前記偽陽性ログであるか否かを判定する、
    請求項1記載のログ判定装置。
  6. 当該ログ判定装置はさらに、前記判定結果に基づいて、前記偽陽性ログを特定する偽陽性情報を前記複数のセキュリティログに付与する偽陽性情報付与部(106)と、
    前記偽陽性情報が付与された前記セキュリティログを送信する送信部(107)と、を備える、
    請求項1記載のログ判定装置。
  7. 前記偽陽性ログ判定部はさらに、前記複数のセキュリティログと、前記発生パターンと、のマッチング度を算出し、
    当該ログ判定装置はさらに、
    前記マッチング度が閾値よりも高い場合に、前記複数のセキュリティログが前記偽陽性ログである可能性があることを示す仮情報を前記複数のセキュリティログに付与する仮情報付与部(111)を備える、
    請求項1記載のログ判定装置。
  8. 前記複数のセキュリティログはさらに、前記異常が検知された時刻を示す時刻情報をそれぞれ含んでおり、
    前記パターン保存部はさらに、前記予測される異常が最初に検知される時刻から前記予測される異常が最後に検知される時刻までの予測される期間を示す予測期間を保存しており、
    前記時刻情報のうち最も早い時刻情報から前記予測期間が経過するまでに前記マッチング度が100%にならない場合、前記偽陽性ログ判定部は、前記複数のセキュリティログは前記偽陽性ログではないと判定し、前記仮情報を削除する、
    請求項7記載のログ判定装置。
  9. 前記電子制御システム及び当該ログ判定装置は、移動体に搭載されている、
    請求項1~8のいずれかに記載のログ判定装置。
  10. 前記電子制御システムは、移動体に搭載されており、
    当該ログ判定装置は、前記移動体の外部に設けられている、
    請求項1~8のいずれかに記載のログ判定装置。
  11. ログ判定装置(10、11)で実行されるログ判定方法であって、
    前記ログ判定装置は、電子制御システムのメンテナンスによって発生することが予測されるセキュリティログの発生パターンであって、前記電子制御システムで検知されることが予測される異常を示す予測異常情報と、前記予測される異常が検知される前記電子制御システム内の位置を示す予測異常位置情報とをそれぞれ含む複数のセットからなる前記発生パターンを保存するパターン保存部(103)を備え、
    当該ログ判定方法は、
    前記電子制御システム内で検知された異常を示す異常情報と、前記異常が検知された前記電子制御システム内の位置を示す位置情報と、をそれぞれ含む複数のセキュリティログを取得し(S101)、
    前記複数のセキュリティログと、前記発生パターンとを比較して、前記複数のセキュリティログが前記メンテナンスによって発生した異常が検知されたことにより生成された偽陽性ログであるか否かを判定し、判定結果を出力する(S104)、
    ログ判定方法。
  12. ログ判定装置(10、11)で実行可能なログ判定プログラムであって、
    前記ログ判定装置は、電子制御システムのメンテナンスによって発生することが予測されるセキュリティログの発生パターンであって、前記電子制御システムで検知されることが予測される異常を示す予測異常情報と、前記予測される異常が検知される前記電子制御システム内の位置を示す予測異常位置情報とをそれぞれ含む複数のセットからなる前記発生パターンを保存するパターン保存部(103)を備え、
    当該ログ判定プログラムは、前記ログ判定装置において、
    前記電子制御システム内で検知された異常を示す異常情報と、前記異常が検知された前記電子制御システム内の位置を示す位置情報と、をそれぞれ含む複数のセキュリティログを取得し(S101)、
    前記複数のセキュリティログと、前記発生パターンとを比較して、前記複数のセキュリティログが前記メンテナンスによって発生した異常が検知されたことにより生成された偽陽性ログであるか否かを判定し、判定結果を出力する(S104)、
    ログ判定プログラム。
  13. 電子制御システム(S)とログ判定装置(10、11)とを有するログ判定システム(1)であって、
    前記電子制御システムは、
    前記電子制御システム内で異常を検知した場合に、前記異常を示す異常情報と、前記異常が検知された前記電子制御システム内の位置を示す位置情報と、を含むセキュリティログを生成するログ生成部(201)と、
    前記セキュリティログを前記ログ判定装置に送信するログ送信部(202)と、を備え、
    前記ログ判定装置は、
    前記ログ送信部から送信された複数のセキュリティログを取得するログ取得部(101)と、
    前記電子制御システムのメンテナンスによって発生することが予測されるセキュリティログの発生パターンであって、前記電子制御システムで検知されることが予測される異常を示す予測異常情報と、前記予測される異常が検知される前記電子制御システム内の位置を示す予測異常位置情報とをそれぞれ含む複数のセットからなる前記発生パターンを保存するパターン保存部(103)と、
    前記複数のセキュリティログと、前記発生パターンとを比較して、前記複数のセキュリティログが前記メンテナンスによって発生した異常が検知されたことにより生成された偽陽性ログであるか否かを判定し、判定結果を出力する、偽陽性ログ判定部(104)と、を備える、
    ログ判定システム。
JP2022157425A 2022-09-30 2022-09-30 ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム Pending JP2024051321A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022157425A JP2024051321A (ja) 2022-09-30 2022-09-30 ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム
US18/473,373 US20240111859A1 (en) 2022-09-30 2023-09-25 Log determination device, log determination method, log determination program, and log determination system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022157425A JP2024051321A (ja) 2022-09-30 2022-09-30 ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム

Publications (2)

Publication Number Publication Date
JP2024051321A true JP2024051321A (ja) 2024-04-11
JP2024051321A5 JP2024051321A5 (ja) 2025-06-30

Family

ID=90470851

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022157425A Pending JP2024051321A (ja) 2022-09-30 2022-09-30 ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム

Country Status (2)

Country Link
US (1) US20240111859A1 (ja)
JP (1) JP2024051321A (ja)

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7639611B2 (en) * 2006-03-10 2009-12-29 Alcatel-Lucent Usa Inc. Method and apparatus for payload-based flow estimation
JP6502832B2 (ja) * 2015-11-13 2019-04-17 株式会社東芝 検査装置、通信システム、移動体および検査方法
US12438894B2 (en) * 2017-05-30 2025-10-07 Plaxidityx Ltd System and method for providing fleet cyber-security
US10664594B2 (en) * 2017-06-30 2020-05-26 Microsoft Technology Licensing, Llc Accelerated code injection detection using operating system controlled memory attributes
WO2019225257A1 (ja) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知方法およびプログラム
US11899763B2 (en) * 2018-09-17 2024-02-13 Microsoft Technology Licensing, Llc Supervised learning system for identity compromise risk computation
US11388184B2 (en) * 2019-06-26 2022-07-12 Saudi Arabian Oil Company Network security system and method for preemptively identifying or remediating security vulnerabilities
US11165815B2 (en) * 2019-10-28 2021-11-02 Capital One Services, Llc Systems and methods for cyber security alert triage
US11811588B2 (en) * 2020-04-22 2023-11-07 Samsung Electronics Co., Ltd. Configuration management and analytics in cellular networks
JP2022142504A (ja) * 2021-03-16 2022-09-30 本田技研工業株式会社 整備システム、整備方法及びプログラム
US12223041B2 (en) * 2021-06-07 2025-02-11 Paypal, Inc. Automated adjustment of security alert components in networked computing systems
CN115481673A (zh) * 2021-06-14 2022-12-16 雷德本德有限公司 使用分阶段机器学习来增强车辆网络安全
JP2023027580A (ja) * 2021-08-17 2023-03-02 トヨタ自動車株式会社 整備情報管理装置及び整備情報管理方法
US20230275907A1 (en) * 2022-02-28 2023-08-31 Microsoft Technology Licensing, Llc Graph-based techniques for security incident matching

Also Published As

Publication number Publication date
US20240111859A1 (en) 2024-04-04

Similar Documents

Publication Publication Date Title
US11128657B2 (en) Electronic control device, fraud detection server, in-vehicle network system, in-vehicle network monitoring system, and in-vehicle network monitoring method
US10798114B2 (en) System and method for consistency based anomaly detection in an in-vehicle communication network
US20160381059A1 (en) System and method for time based anomaly detection in an in-vehicle communication network
US20200183373A1 (en) Method for detecting anomalies in controller area network of vehicle and apparatus for the same
JP7255710B2 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
US12177239B2 (en) Attack analyzer, attack analysis method and attack analysis program
JP2021140460A (ja) セキュリティ管理装置
US10666671B2 (en) Data security inspection mechanism for serial networks
US12367276B2 (en) Log management device and center device
US11474889B2 (en) Log transmission controller
JP2024051321A (ja) ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム
US20240039949A1 (en) Attack estimation verification device, attack estimation verification method, and storage medium storing attack estimation verification program
US20230007033A1 (en) Attack analyzer, attack analysis method and attack analysis program
JP2024051325A (ja) 車両用攻撃分析装置、攻撃分析システム、攻撃分析方法、及び攻撃分析プログラム
JP2024051323A (ja) ログ判定装置、ログ判定方法、ログ判定プログラム、及びログ判定システム
US20250077651A1 (en) Abnormality monitoring device, center device, abnormality monitoring method, and abnormality monitoring program
US20250323793A1 (en) Log generation device, sensor module, log generation module, and electronic control system
US20250350618A1 (en) Log management device, log management system, method and storage medium thereof
US20250045396A1 (en) Attack analysis device, attack analysis method, and storage medium
US12515598B2 (en) Electronic control unit, electronic control system, log processing method, and non-transitory computer-readable storage medium storing log processing program
US12526300B2 (en) Attack analysis device, attack analysis method, and storage medium
JP2025137250A (ja) ログ判定方法、ログ判定装置、及びログ判定プログラム
US20240422546A1 (en) Log determination device, log determination method, log determination program, log determination support device, log determination support method, and log determination support program
CN120979683A (zh) 日志管理装置、日志管理方法、日志管理程序、以及日志管理系统
JP2026003426A (ja) ログ管理装置、ログ管理方法、及びログ管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20250407

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250609