特許ウォッチ

公開番号2024041334
公報種別公開特許公報(A)
公開日2024-03-27
出願番号2022146081
出願日2022-09-14
発明の名称攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
出願人株式会社デンソー
代理人個人,個人
主分類G06F 21/55 20130101AFI20240319BHJP(計算;計数)
要約【課題】セキュリティログを効率的に分析・照合することができ、その結果攻撃の検知精度を高めることができる攻撃分析装置、攻撃分析方法及び攻撃分析プログラムを提供する。
【解決手段】攻撃分析装置10は、電子制御システムを構成する複数の電子制御装置のそれぞれに搭載されたセキュリティセンサが生成したセキュリティログを取得するログ取得部101と、複数の前記セキュリティログをまとめたログパッケージを設定するログパッケージ設定部102と、前記ログパッケージに基づき前記電子制御システムが受けた攻撃を推定する推定部103と、推定された攻撃を示す攻撃情報を出力する出力部105と、を備える。
【選択図】図4
特許請求の範囲【請求項１】
電子制御システムを構成する複数の電子制御装置のそれぞれに搭載されたセキュリティセンサが生成したセキュリティログを取得するログ取得部（１０１，１１１）と、
複数の前記セキュリティログをまとめたログパッケージを設定するログパッケージ設定部（１０２，１１２）と、
前記ログパッケージに基づき前記電子制御システムが受けた攻撃を推定する推定部（１０３，１１３）と、
推定された攻撃を示す攻撃情報を出力する出力部（１０５，１１５）と、を備える、
攻撃分析装置（１０、１１）。
続きを表示（約 1,200 文字）【請求項２】
前記ログパッケージ設定部は、前記セキュリティログに示された異常の発生時刻が所定期間内の前記セキュリティログをまとめた前記ログパッケージを設定する、
請求項１記載の攻撃分析装置。
【請求項３】
前記所定期間は、第１の所定期間及び第２の所定期間であり、
前記ログパッケージ設定部は、
前記異常の発生時刻が前記第１の所定期間内の前記セキュリティログをまとめた第１のログパッケージ、及び、
前記異常の発生時刻が前記第２の所定期間内の前記セキュリティログをまとめた第２のログパッケージ、を設定し、
前記推定部は、前記第１のログパッケージ及び前記第２のログパッケージのそれぞれに基づき、前記電子制御システムが受けた攻撃を推定し、
前記出力部は、前記第１のログパッケージ又は／及び前記第２のログパッケージで推定された攻撃を示す前記攻撃情報を出力する、
請求項２記載の攻撃分析装置。
【請求項４】
前記ログパッケージ設定部は、前記セキュリティログに含まれる情報であって、前記電子制御装置を特定するＥＣＵ種別情報を用いて前記ログパッケージを設定する、
請求項１記載の攻撃分析装置。
【請求項５】
前記ログパッケージ設定部は、前記セキュリティログに含まれる情報であって、前記セキュリティセンサを特定するセンサ種別情報を用いて前記ログパッケージを設定する、
請求項１記載の攻撃分析装置。
【請求項６】
前記ログパッケージ設定部は、既に設定された前記ログパッケージに含まれる前記セキュリティログであって、前記推定部における推定に用いなかった前記セキュリティログを、新たに設定する前記ログパッケージに含める、
請求項１記載の攻撃分析装置。
【請求項７】
前記セキュリティログは、前記電子制御システムで検知された異常を示す異常情報と、前記電子制御システムを構成する複数の前記電子制御装置のうち前記異常が発生した前記電子制御装置の位置である異常位置を前記電子制御システムと他の電子制御システムとで共通化された共通化異常位置に変換した共通化異常位置情報と、を含む共通化セキュリティログである、
請求項１記載の攻撃分析装置（１１）。
【請求項８】
前記ログパッケージ設定部は、前記セキュリティログに含まれる情報であって、前記共通化位置情報を用いて前記ログパッケージを設定する、
請求項７に記載の攻撃分析装置。
【請求項９】
前記電子制御システムは、移動体に搭載されており、
当該攻撃分析装置は、前記移動体の外部に設けられている、
請求項１～８いずれかに記載の攻撃分析装置。
【請求項１０】
前記電子制御システム及び当該攻撃分析装置は、移動体に搭載されている、
請求項１～８いずれかに記載の攻撃分析装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、主に自動車をはじめとする移動体に搭載された電子制御システムに対する攻撃を分析する装置であって、攻撃分析装置、攻撃分析方法、及び攻撃分析プログラムに関する。
続きを表示（約 1,800 文字）【背景技術】
【０００２】
近年、車車間通信や路車間通信のようなＶ２Ｘをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。
【０００３】
車両に発生した異常を検知して、検知した異常に基づいてサイバー攻撃を分析する手法として、様々なものがある。例えば、特許文献１には、検知した異常データを収集するとともに、異常が検出された項目の組み合わせと、攻撃毎に予め特定された異常検出パターンとを照合して、異常に対応する攻撃の種類を特定することが記載されている。
【先行技術文献】
【特許文献】
【０００４】
特開２０２０－１２３３０７号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
ここで、本発明者は、以下の課題を見出した。
特許文献１のような既存の攻撃特定手法においては、検知した異常データと異常検出パターンとを照合するが、検知した異常データをどのようなまとまりで用いるか、すなわち分析・照合時のセキュリティログの単位については明示されていない。散発的に上がってくるセキュリティログに対し、セキュリティログ群を意味のある単位で区切ることにより、分析・照合の効率が上がることが期待される。
【０００６】
そこで、本発明は、セキュリティログを効率的に分析・照合することができ、その結果攻撃の検知精度を高めることができる攻撃分析装置等を実現することを目的とする。
【課題を解決するための手段】
【０００７】
本開示の攻撃分析装置（１０，１１）は、
電子制御システムを構成する複数の電子制御装置のそれぞれに搭載されたセキュリティセンサが生成したセキュリティログを取得するログ取得部（１０１，１１１）と、
複数の前記セキュリティログをまとめたログパッケージを設定するログパッケージ設定部（１０２，１１２）と、
前記ログパッケージに基づき前記電子制御システムが受けた攻撃を推定する推定部（１０３，１１３）と、
推定された攻撃を示す攻撃情報を出力する出力部（１０５，１１５）と、
を備える。
【０００８】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【０００９】
上述のような構成により、本開示の攻撃分析装置は、セキュリティログを効率的に分析・照合することができ、その結果攻撃の検知精度を高めることが可能となる。
【図面の簡単な説明】
【００１０】
各実施形態の攻撃分析装置と電子制御装置システムＳの配置を説明する説明図
各実施形態の電子制御装置の構成を説明する説明図
各実施形態の電子制御装置のセキュリティセンサが生成するセキュリティログを説明する説明図
実施形態１の攻撃分析装置の構成例を示すブロック図
実施形態１の攻撃分析装置のログパッケージ設定部で設定するログパッケージを説明する説明図
実施形態１の攻撃分析装置のテーブル保存部に保存されている攻撃・異常関係テーブルを説明する説明図
実施形態１の攻撃分析装置のログパッケージ設定部の設定方法（所定期間の場合）を説明する説明図
実施形態１の攻撃分析装置の動作を説明する説明図
実施形態１の攻撃分析装置の動作１を説明する説明図
実施形態１の攻撃分析装置の動作２を説明する説明図
実施形態１の攻撃分析装置の動作３を説明する説明図
実施形態２の攻撃分析装置の構成例を示すブロック図
実施形態２の攻撃分析装置の共通化セキュリティログ生成部及び個別攻撃情報生成部で用いる位置関係テーブルを説明する説明図
【発明を実施するための形態】
（【００１１】以降は省略されています）

関連特許