知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-08
(45)【発行日】2024-07-17
(54)【発明の名称】攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240709BHJP
【FI】
G06F21/55 320
【請求項の数】
25
(21)【出願番号】P 2021056122
(22)【出願日】2021-03-29
(65)【公開番号】P2022153081
(43)【公開日】2022-10-12
【審査請求日】2023-06-14
(73)【特許権者】
【識別番号】000004260
【氏名又は名称】株式会社デンソー
(74)【代理人】
【識別番号】230120499
【弁護士】
【氏名又は名称】藤江 和典
(74)【代理人】
【識別番号】100201385
【弁理士】
【氏名又は名称】中安 桂子
(72)【発明者】
【氏名】長柄 啓悟
(72)【発明者】
【氏名】安部 泰司
(72)【発明者】
【氏名】井本 礼一郎
【審査官】小林 秀和
(56)【参考文献】
【文献】特開2020-119090(JP,A)
【文献】特開2008-009850(JP,A)
【文献】特開2020-123307(JP,A)
【文献】国際公開第2021/019636(WO,A1)
【文献】国際公開第2021/260984(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を、前記電子制御システムと他の電子制御システムとで共通化された位置に変換した共通化異常位置と、を含む共通化セキュリティログを、共通化セキュリティログ生成部(100)から取得する共通化ログ取得部(201)と、前記電子制御システムが受ける攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定するとともに、前記異常情報が示す異常と、前記予測異常情報が示す異常との差分が、前記電子制御システムに将来発生する異常であると推定する推定部(203)と、
前記攻撃種別と前記差分を示す将来異常情報とを含む攻撃情報を出力する出力部(205)と、
を備え、
前記共通化セキュリティログ生成部は、
前記異常情報と前記異常位置とを含む個別セキュリティログを取得する個別ログ取得部(101)と、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを保存する位置関係テーブル保存部(102)と、
前記位置関係テーブルを用いて、前記異常位置を前記共通化異常位置に変換する共通化変換部(103)と、を備える、
攻撃分析装置(10,20)。
【請求項2】
電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を、前記電子制御システムと他の電子制御システムとで共通化された位置に変換した共通化異常位置と、を含む共通化セキュリティログを、共通化セキュリティログ生成部(100)から取得する共通化ログ取得部(201)と、前記電子制御システムが受ける攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置、前記攻撃の起点位置である共通化攻撃起点位置並びに前記攻撃の対象位置である共通化攻撃対象位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定する推定部(203)と、
前記攻撃種別、前記共通化攻撃起点位置、及び前記共通化攻撃対象位置を含む攻撃情報を出力する出力部(205)と、
個別攻撃情報生成部(300)であって、
前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置と、前記共通化位置を前記電子制御システムにおける位置に個別化した位置である個別位置との対応関係を示す第1の位置関係テーブルを保存する位置関係テーブル保存部(302)と、
前記第1の位置関係テーブルを用いて、前記共通化攻撃起点位置を前記電子制御システムにおける位置である個別攻撃起点位置に変換するとともに、前記共通化攻撃対象位置を前記電子制御システムにおける位置である個別攻撃対象位置に変換する個別化変換部(303)と、を有する前記個別攻撃情報生成部と、
を備え、
前記共通化セキュリティログ生成部は、
前記異常情報と前記異常位置とを含む個別セキュリティログを取得する個別ログ取得部(101)と、
前記共通化位置と前記個別位置との対応関係を示す第2の位置関係テーブルを用いて、前記異常位置を前記共通化異常位置に変換する共通化変換部(103)と、を備える、
攻撃分析装置(10,20)。
【請求項3】
前記共通化異常位置は、前記電子制御システムをセキュリティレベルに応じて分割した複数の層のうち、前記異常位置が属する層に応じて共通化された位置である、請求項1又は2記載の攻撃分析装置。
【請求項4】
前記異常位置は前記電子制御システムを構成する電子制御装置の位置であり、前記共通化異常位置は、前記異常位置が属する前記層に加えて、前記電子制御装置が接続されたネットワークに応じて共通化された位置である、
請求項3記載の攻撃分析装置。
【請求項5】
前記異常位置は前記電子制御システムを構成する電子制御装置の位置であり、前記共通化異常位置は、前記異常位置が属する前記層に加えて、前記電子制御装置の機能に応じて共通化された位置である、
請求項3記載の攻撃分析装置。
【請求項6】
前記攻撃・異常関係テーブルはさらに、前記攻撃種別と、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記攻撃の起点位置である共通化攻撃起点位置及び前記攻撃の対象位置である共通化攻撃対象位置との対応関係を示し、前記攻撃情報はさらに、前記共通化攻撃起点位置及び前記共通化攻撃対象位置を含む、
請求項1記載の攻撃分析装置。
【請求項7】
前記推定部は、前記異常情報及び前記共通化異常位置の組み合わせに最も近い前記予測異常情報及び前記共通化予測異常位置の組み合わせに対応する攻撃種別を、前記電子制御システムが受けた攻撃種別であると推定する、請求項1又は2記載の攻撃分析装置。
【請求項8】
当該攻撃分析装置はさらに、前記異常情報及び前記共通化異常位置の組み合わせと、前記予測異常情報及び前記共通化予測異常位置の組み合わせとのマッチング度を算出するマッチング度算出部(204)、を備え、
前記攻撃情報はさらに前記マッチング度を含む、
請求項7記載の攻撃分析装置。
【請求項9】
前記推定部は、前記異常情報が示す異常と、前記予測異常情報が示す異常との差分が、前記電子制御システムに将来発生する異常であると推定し、前記攻撃情報はさらに、前記差分を示す将来異常情報を含む、
請求項2記載の攻撃分析装置。
【請求項10】
前記電子制御システムは、前記共通化セキュリティログ生成部を有する移動体に搭載された電子制御システムであり、当該攻撃分析装置は、前記移動体の外部に配置されたサーバ装置である、
請求項1又は2記載の攻撃分析装置(20)。
【請求項11】
当該攻撃分析装置はさらに、前記共通化セキュリティログ生成部を備える、請求項1又は2記載の攻撃分析装置(10)。
【請求項12】
前記電子制御システムは、移動体に搭載された電子制御システムであり、当該攻撃分析装置は、前記移動体の外部に配置されたサーバ装置であり、
前記共通化ログ取得部は、前記共通化セキュリティログに加えて、前記電子制御システムを特定する識別情報を取得し、
前記共通化変換部は、前記識別情報に基づいて使用する前記位置関係テーブルを特定する、
請求項11記載の攻撃分析装置。
【請求項13】
前記攻撃・異常関係テーブルはさらに、前記攻撃種別と、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記攻撃の起点位置である共通化攻撃起点位置及び前記攻撃の対象位置である共通化攻撃対象位置との対応関係を示し、前記攻撃情報はさらに、前記共通化攻撃起点位置及び前記共通化攻撃対象位置を含み、
当該攻撃分析装置はさらに、個別攻撃情報生成部(300)を備え、
前記個別攻撃情報生成部は、
前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置と、前記共通化位置を前記電子制御システムにおける位置に個別化した位置である個別位置との対応関係を示す位置関係テーブルを保存する位置関係テーブル保存部(302)と、
前記位置関係テーブルを用いて、前記共通化攻撃起点位置を前記電子制御システムにおける位置である個別攻撃起点位置に変換するとともに、前記共通化攻撃対象位置を前記電子制御システムにおける位置である個別攻撃対象位置に変換する個別化変換部(303)、を有する、
請求項1記載の攻撃分析装置(10)。
【請求項14】
前記共通化セキュリティログはさらに、前記異常の原因となるデータの送信元を示す送信元位置を含み、当該攻撃分析装置はさらに、
前記個別攻撃起点位置と前記送信元位置とが一致するかどうかを検証し、前記個別攻撃起点位置と前記送信元位置とが一致しない場合に、前記個別攻撃起点位置を前記送信元位置に更新する検証部(402)を有する推定結果検証部(400)を備える、
請求項2又は13記載の攻撃分析装置。
【請求項15】
前記共通化セキュリティログはさらに、前記異常の原因となるデータの送信先を示す送信先位置を含み、当該攻撃分析装置はさらに、
前記個別攻撃対象位置と前記送信先位置とが一致するかどうかを検証し、前記個別攻撃対象位置と前記送信先位置とが一致しない場合に、前記個別攻撃対象位置を前記送信先位置に更新する検証部(402)を有する推定結果検証部(400)を備える、
請求項2又は13記載の攻撃分析装置。
【請求項16】
電子制御システムが受ける攻撃を分析する攻撃分析装置(10,20)で実行される攻撃分析方法であって、前記攻撃分析装置は、前記電子制御システムが受ける前記攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)を備え、
前記電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を、前記電子制御システムと前記他の電子制御システムとで共通化された位置に変換した共通化異常位置と、を含む共通化セキュリティログを、共通化セキュリティログ生成部から取得し(S103)、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定するとともに、前記異常情報が示す異常と、前記予測異常情報が示す異常との差分が、前記電子制御システムに将来発生する異常であると推定し(S104)、
前記攻撃種別と前記差分を示す将来異常情報とを含む攻撃情報を出力し(S106)、
前記共通化セキュリティログ生成部は、
前記異常情報と前記異常位置とを含む個別セキュリティログを取得する個別ログ取得部(101)と、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを保存する位置関係テーブル保存部(102)と、
前記位置関係テーブルを用いて、前記異常位置を前記共通化異常位置に変換する共通化変換部(103)と、を備える、
攻撃分析方法。
【請求項17】
電子制御システムが受ける攻撃を分析する攻撃分析装置(10,20)で実行される攻撃分析方法であって、前記攻撃分析装置は、
前記電子制御システムが受ける前記攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置、前記攻撃の起点位置である共通化攻撃起点位置並びに前記攻撃の対象位置である共通化攻撃対象位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置と、前記共通化位置を前記電子制御システムにおける位置に個別化した位置である個別位置との対応関係を示す第1の位置関係テーブルを保存する位置関係テーブル保存部(302)と、を備え、
前記電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を、前記電子制御システムと前記他の電子制御システムとで共通化された位置に変換した共通化異常位置と、を含む共通化セキュリティログを、共通化セキュリティログ生成部から取得し(S103)、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定し(S104)、
前記攻撃種別、前記共通化攻撃起点位置、及び前記共通化攻撃対象位置を含む攻撃情報を出力し(S106)、
前記第1の位置関係テーブルを用いて、前記共通化攻撃起点位置を前記電子制御システムにおける位置である個別攻撃起点位置に変換するとともに、前記共通化攻撃対象位置を前記電子制御システムにおける位置である個別攻撃対象位置に変換し(S107)、
前記共通化セキュリティログ生成部は、
前記異常情報と前記異常位置とを含む個別セキュリティログを取得する個別ログ取得部(101)と、
前記共通化位置と前記個別位置との対応関係を示す第2の位置関係テーブルを用いて、前記異常位置を前記共通化異常位置に変換する共通化変換部(103)と、を備える、
攻撃分析方法。
【請求項18】
電子制御システムが受ける攻撃を分析する攻撃分析装置(10,20)で実行可能な攻撃分析プログラムであって、前記攻撃分析装置は、前記電子制御システムが受ける前記攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)を備え、
前記電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を、前記電子制御システムと前記他の電子制御システムとで共通化された位置に変換した共通化異常位置と、を含む共通化セキュリティログを、共通化セキュリティログ生成部から取得し(S103)、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定するとともに、前記異常情報が示す異常と、前記予測異常情報が示す異常との差分が、前記電子制御システムに将来発生する異常であると推定し(S104)、
前記攻撃種別と前記差分を示す将来異常情報とを含む攻撃情報を出力する(S106)、
処理を前記攻撃分析装置に実行させ、
前記共通化セキュリティログ生成部は、
前記異常情報と前記異常位置とを含む個別セキュリティログを取得する個別ログ取得部(101)と、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを保存する位置関係テーブル保存部(102)と、
前記位置関係テーブルを用いて、前記異常位置を前記共通化異常位置に変換する共通化変換部(103)と、を備える、
攻撃分析プログラム。
【請求項19】
電子制御システムが受ける攻撃を分析する攻撃分析装置(10,20)で実行可能な攻撃分析プログラムであって、前記攻撃分析装置は、
前記電子制御システムが受ける前記攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置、前記攻撃の起点位置である共通化攻撃起点位置並びに前記攻撃の対象位置である共通化攻撃対象位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置と、前記共通化位置を前記電子制御システムにおける位置に個別化した位置である個別位置との対応関係を示す第1の位置関係テーブルを保存する位置関係テーブル保存部(302)と、を備え、
前記電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を、前記電子制御システムと前記他の電子制御システムとで共通化された位置に変換した共通化異常位置と、を含む共通化セキュリティログを、共通化セキュリティログ生成部から取得し(S103)、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定し(S104)、
前記攻撃種別、前記共通化攻撃起点位置、及び前記共通化攻撃対象位置を含む攻撃情報を出力し(S106)、
前記第1の位置関係テーブルを用いて、前記共通化攻撃起点位置を前記電子制御システムにおける位置である個別攻撃起点位置に変換するとともに、前記共通化攻撃対象位置を前記電子制御システムにおける位置である個別攻撃対象位置に変換する(S107)、
処理を前記攻撃分析装置に実行させ、
前記共通化セキュリティログ生成部は、
前記異常情報と前記異常位置とを含む個別セキュリティログを取得する個別ログ取得部(101)と、
前記共通化位置と前記個別位置との対応関係を示す第2の位置関係テーブルを用いて、前記異常位置を前記共通化異常位置に変換する共通化変換部(103)と、を備える、
攻撃分析プログラム。
【請求項20】
電子制御システムが受ける攻撃を分析する攻撃分析装置(10,20)を有する攻撃分析システムで実行される攻撃分析方法であって、前記攻撃分析装置は、前記電子制御システムが受ける前記攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、前記電子制御システムと他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置、前記攻撃の起点位置である共通化攻撃起点位置及び前記攻撃の対象位置である共通化攻撃対象位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)を備え、
前記電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を取得し(S101)、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを用いて、前記異常位置を共通化異常位置に変換し(S102)、
前記異常情報と、前記共通化異常位置と、を含む共通化セキュリティログを取得し(S103)、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定し(S104)、
前記攻撃種別、前記共通化攻撃起点位置、及び前記共通化攻撃対象位置を含む攻撃情報を出力し(S106)、
前記位置関係テーブルを用いて、前記共通化攻撃対象位置を前記電子制御システムにおける位置である個別攻撃対象位置に変換するとともに、前記共通化攻撃起点位置を前記電子制御システムにおける位置である個別攻撃起点位置に変換する(S107)、
攻撃分析方法。
【請求項21】
共通化セキュリティログ生成部(100)と、攻撃推定部(200)と、個別攻撃情報生成部(300)と、を有する攻撃分析システムであって、
前記共通化セキュリティログ生成部は、
電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を取得する個別ログ取得部(101)と、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す第1の位置関係テーブルを用いて、前記異常位置を共通化異常位置に変換する共通化変換部(103)と、を備え、
前記攻撃推定部は、
前記異常情報と、前記共通化異常位置と、を含む共通化セキュリティログを前記共通化セキュリティログ生成部から取得する共通化ログ取得部(201)と、
前記電子制御システムが受ける攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置、前記攻撃の起点位置である共通化攻撃起点位置並びに前記攻撃の対象位置である共通化攻撃対象位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定する推定部(203)と、
前記攻撃種別、前記共通化攻撃起点位置、及び前記共通化攻撃対象位置を含む攻撃情報を出力する出力部(205)と、を備え、
前記個別攻撃情報生成部は、
前記共通化位置と前記個別位置との対応関係を示す第2の位置関係テーブルを用いて、前記共通化攻撃対象位置を前記電子制御システムにおける位置である個別攻撃対象位置に変換するとともに、前記共通化攻撃起点位置を前記電子制御システムにおける位置である個別攻撃起点位置に変換する個別変換部(303)を備える、
攻撃分析システム。
【請求項22】
共通化セキュリティログ生成部(100)と攻撃推定部(200)とを有する攻撃分析システムであって、前記共通化セキュリティログ生成部は、
電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を取得する個別ログ取得部(101)と、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを保存する位置関係テーブル保存部(102)と、
前記位置関係テーブルを用いて、前記異常位置を共通化異常位置に変換する共通化変換部(103)と、を備え、
前記攻撃推定部は、
前記異常情報と、前記共通化異常位置と、を含む共通化セキュリティログを前記共通化セキュリティログ生成部から取得する共通化ログ取得部(201)と、
前記電子制御システムが受ける攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定するとともに、前記異常情報が示す異常と、前記予測異常情報が示す異常との差分が、前記電子制御システムに将来発生する異常であると推定する推定部(203)と、
前記攻撃種別と前記差分を示す将来異常情報とを含む攻撃情報を出力する出力部(205)と、を備える、
攻撃分析システム。
【請求項23】
電子制御システムが受ける攻撃を分析する攻撃分析装置(10,20)を有する攻撃分析システムで実行される攻撃分析方法であって、
前記攻撃分析装置は、前記電子制御システムが受ける前記攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)を備え、
前記電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を取得し(S101)、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを用いて、前記異常位置を共通化異常位置に変換し(S102)、
前記異常情報と、前記共通化異常位置と、を含む共通化セキュリティログを取得し(S103)、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定するとともに、前記異常情報が示す異常と、前記予測異常情報が示す異常との差分が、前記電子制御システムに将来発生する異常であると推定し(S104)、
前記攻撃種別と前記差分を示す将来異常情報とを含む攻撃情報を出力する(S106)、
攻撃分析方法。
【請求項24】
共通化セキュリティログ生成部(100)と攻撃推定部(200)とを有する攻撃分析システムであって、
前記共通化セキュリティログ生成部は、
電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を取得する個別ログ取得部(101)と、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを保存する位置関係テーブル保存部(102)と、
前記位置関係テーブルを用いて、前記異常位置を共通化異常位置に変換する共通化変換部(103)と、を備え、
前記攻撃推定部は、
前記異常情報と、前記共通化異常位置と、を含む共通化セキュリティログを前記共通化セキュリティログ生成部から取得する共通化ログ取得部(201)と、
前記電子制御システムが受ける攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定する推定部(203)と、
前記攻撃種別を含む攻撃情報を出力する出力部(205)と、を備え、
前記共通化異常位置は、前記電子制御システムをセキュリティレベルに応じて分割した複数の層のうち、前記異常位置が属する層に応じて共通化された位置である、
攻撃分析システム。
【請求項25】
電子制御システムが受ける攻撃を分析する攻撃分析装置(10,20)を有する攻撃分析システムで実行される攻撃分析方法であって、
前記攻撃分析装置は、前記電子制御システムが受ける前記攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)を備え、
前記電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を取得し(S101)、
前記電子制御システムにおける位置である個別位置と、前記個別位置を前記電子制御システムと前記他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを用いて、前記異常位置を共通化異常位置に変換し(S102)、
前記異常情報と、前記共通化異常位置と、を含む共通化セキュリティログを取得し(S103)、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定し(S104)、
前記攻撃種別を含む攻撃情報を出力し(S106)、
前記共通化異常位置は、前記電子制御システムをセキュリティレベルに応じて分割した複数の層のうち、前記異常位置が属する層に応じて共通化された位置である、
攻撃分析方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、主に自動車をはじめとする移動体に搭載された電子制御システムに対する攻撃を分析する装置であって、攻撃分析装置、攻撃分析方法、及び攻撃分析プログラムに関する。
【背景技術】
【0002】
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に対するサイバー攻撃を分析して、その対応策を構築することが必要とされている。
【0003】
車両に発生した異常を検知して、検知した異常に基づいてサイバー攻撃を分析する手法として、様々なものがある。例えば、特許文献1には、検知した異常データを収集するとともに、異常が検出された項目の組み合わせと、攻撃毎に予め特定された異常検出パターンとを照合して、異常に対応する攻撃の種類を特定することが記載されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2020-123307号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ここで、本発明者は、以下の課題を見出した。
車両に搭載される車載システムの構成は、車両の種別や年式、製造メーカによって異なるため、サイバー攻撃を受けることによって生じる異常の組み合わせは、車載システムの構成によって異なる可能性がある。そのため、異常の組み合わせを利用してサイバー攻撃を特定するためには、車載システム毎に異常検出パターンや分析ルールを設定する必要がある。
車両に搭載される車載システムの構成は、車両の種別や年式、製造メーカによって異なるため、サイバー攻撃を受けることによって生じる異常の組み合わせは、車載システムの構成によって異なる可能性がある。そのため、異常の組み合わせを利用してサイバー攻撃を特定するためには、車載システム毎に異常検出パターンや分析ルールを設定する必要がある。
【0006】
さらに、近年、車両の多機能化に伴って電子制御システムを構成する電子制御装置の数は増加しつつあるため、多くの電子制御装置に対応する異常検出パターンや分析ルールを設定すると、処理負荷が増大することに加えて、開発及びメンテナンスの側面から好ましくない。
【0007】
そこで、本発明は、車両に搭載される電子制御システムの構成によらずにサイバー攻撃を分析することができる攻撃分析装置等を実現することを目的とする。
【課題を解決するための手段】
【0008】
本開示の攻撃分析装置は、
電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を、前記電子制御システムと他の電子制御システムとで共通化された位置に変換した共通化異常位置と、を含む共通化セキュリティログを取得する共通化ログ取得部(201)と、
前記電子制御システムが受ける攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定する推定部(203)と、
前記攻撃種別を含む攻撃情報を出力する出力部(205)と、
を備える。
電子制御システムで検知された異常を示す異常情報と、前記異常が発生した異常位置を、前記電子制御システムと他の電子制御システムとで共通化された位置に変換した共通化異常位置と、を含む共通化セキュリティログを取得する共通化ログ取得部(201)と、
前記電子制御システムが受ける攻撃の種別である攻撃種別と、前記攻撃を受けた場合に発生することが予測される異常を示す予測異常情報、及び、前記電子制御システムと前記他の電子制御システムとで共通化された位置であって、前記予測される異常が発生する位置である共通化予測異常位置との対応関係を示す攻撃・異常関係テーブルを保存する攻撃・異常関係テーブル保存部(202)と、
前記異常情報及び前記共通化異常位置の組み合わせに対応する前記予測異常情報及び前記共通化予測異常位置の組み合わせから、前記電子制御システムが受けた攻撃種別を推定する推定部(203)と、
前記攻撃種別を含む攻撃情報を出力する出力部(205)と、
を備える。
【0009】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【0010】
上述のような構成により、本開示の攻撃分析装置は、サイバー攻撃を受けた車両に搭載された車載システムの構成によらずに、サイバー攻撃の内容を推定して分析することが可能となる。
【図面の簡単な説明】
【0011】
【図1】実施形態1の攻撃分析システムの構成例を示すブロック図
【図2】実施形態1の攻撃分析装置を説明する説明図
【図3】実施形態1、2の攻撃分析装置による分析対象の攻撃を受けた電子制御システムを説明する図
【図4】実施形態1、2の共通化セキュリティログ生成部の構成例を示すブロック図
【図5】実施形態1、2の位置関係テーブルを説明する図
【図6】実施形態1、2の攻撃推定部の構成例を示すブロック図
【図7】実施形態1、2の攻撃・異常関係テーブルを説明する図
【図8】実施形態1、2の個別攻撃情報生成部の構成例を示すブロック図
【図9】実施形態1、2の推定結果検証部の構成例を示すブロック図
【図10】実施形態1、2の攻撃分析システムの動作を示すフローチャート
【図11】実施形態2の攻撃分析システムの構成例を示すブロック図
【図12】実施形態2の攻撃分析装置を説明する説明図
【図13】実施形態2の変形例の攻撃分析装置を説明する説明図
【図14】実施形態2の変形例の攻撃分析装置を説明する説明図
【発明を実施するための形態】
【0012】
以下、本発明の実施形態について、図面を参照して説明する。
【0013】
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
【0014】
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
【0015】
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
【0016】
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
【0017】
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
【0018】
1.第1の実施形態
図1を参照して、本実施形態の攻撃分析装置10を説明する。攻撃分析装置10は、後述する電子制御システムSに対するサイバー攻撃を分析する装置である。攻撃分析装置10は、共通化セキュリティログ生成部100、攻撃推定部200、個別攻撃情報生成部300、及び推定結果検証部400を備える。以下の実施形態では、攻撃分析装置10を有するシステムを攻撃分析システムと称する。したがって、図1は、本実施形態の攻撃分析システム1を示す図でもある。
図1を参照して、本実施形態の攻撃分析装置10を説明する。攻撃分析装置10は、後述する電子制御システムSに対するサイバー攻撃を分析する装置である。攻撃分析装置10は、共通化セキュリティログ生成部100、攻撃推定部200、個別攻撃情報生成部300、及び推定結果検証部400を備える。以下の実施形態では、攻撃分析装置10を有するシステムを攻撃分析システムと称する。したがって、図1は、本実施形態の攻撃分析システム1を示す図でもある。
【0019】
以下に説明する各実施形態では、サイバー攻撃を受ける電子制御システムSは、車両に搭載された車載システムである例を挙げて説明する。しかしながら、電子制御システムSは車載システムに限定されるものではなく、複数のECUからなる任意の電子制御システムに適用することができる。例えば、電子制御システムSは、任意の「移動体」に「搭載」される電子制御システムであってもよく、あるいは、移動体ではなく静止体に搭載されるものであってもよい。
【0020】
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
【0021】
図2は、本実施形態の攻撃分析装置10を説明する図である。本実施形態では、図2aに示すように、攻撃分析装置10が電子制御システムSを搭載する車両に搭載される場合と、図2bに示すように、攻撃分析装置10が、車両の外部に配置されたサーバ装置である場合と、が想定される。
【0022】
図2aに示すように、車両が、電子制御システムS及び攻撃分析装置10を搭載する場合、攻撃分析装置10は、電子制御システムSがサーバ攻撃を受けると遅滞なく、サイバー攻撃を分析することができ、ひいてはサイバー攻撃に対する対応を迅速に行うことが可能である。
【0023】
一方、図2bに示すように、攻撃分析装置10がサーバ装置である場合、サーバ装置は、車両に搭載された電子制御システムSに異常が発生すると、無線通信ネットワークを介して、後述するセキュリティセンサが検知して生成した個別化セキュリティログを車両から受信する。そのため、攻撃分析装置10が車両に搭載される場合と比較して、サイバー攻撃を分析し、分析結果を車両にフィードバックするまでに時間を要するが、車両側の処理負荷を軽減することが可能である。
【0024】
(1)電子制御システムSについて
図3を参照して、電子制御システムSについて説明する。電子制御システムSは、複数の電子制御装置(以下、ECU)から構成される。図3に示す例では、電子制御システムSはECU-A~Eから構成されており、それぞれのECUは車載ネットワークを介して接続されている。
図3を参照して、電子制御システムSについて説明する。電子制御システムSは、複数の電子制御装置(以下、ECU)から構成される。図3に示す例では、電子制御システムSはECU-A~Eから構成されており、それぞれのECUは車載ネットワークを介して接続されている。
【0025】
電子制御システムSを構成するECUには、ECU内部やECUが接続されたネットワークを監視するセキュリティセンサが搭載される。セキュリティセンサがECU内部又はネットワークに発生した異常を検知すると、セキュリティログを生成して、後述する共通化セキュリティログ生成部100に出力する。以下、セキュリティセンサが生成して出力するセキュリティログを、個別セキュリティログと称する。個別セキュリティログは、セキュリティセンサが検知した異常を示す異常情報と、セキュリティセンサが検知した異常が発生した位置を示す異常位置を含む。個別セキュリティログはさらに、電子制御システムSを特定する識別情報、異常を検知したセキュリティセンサの識別情報、セキュリティセンサが搭載されたECUの識別情報、異常を検知した時刻、異常を検知した回数、異常を検知した順番、異常の検知前に受信したデータの内容やIPアドレス(送信元及び送信先)の情報、等を含んでもよい。
【0026】
(2)共通化セキュリティログ生成部100の構成
図4を参照して、共通化セキュリティログ生成部100を説明する。共通化セキュリティログ生成部100は、個別ログ取得部101、位置関係テーブル保存部102、共通化変換部103、及び、出力部104を備える。
図4を参照して、共通化セキュリティログ生成部100を説明する。共通化セキュリティログ生成部100は、個別ログ取得部101、位置関係テーブル保存部102、共通化変換部103、及び、出力部104を備える。
【0027】
個別ログ取得部101は、電子制御システムSで検知された異常を示す異常情報と、異常が発生した異常「位置」とを含む個別セキュリティログを取得する。
【0028】
ここで、「位置」とは、例えば、個別の電子制御装置、ネットワークが挙げられる。
【0029】
位置関係テーブル保存部102は、電子制御システムSにおける位置である個別位置と、個別位置を電子制御システムSと他の電子制御システムとで共通化した位置である共通化位置との対応関係を示す位置関係テーブルを保存する記憶部である。なお、個別位置とは、共通化位置を、電子制御システムSにおける位置に個別化した位置であるともいえる。図5は、位置関係テーブルの一例を示す図である。図5に示す位置関係テーブルでは、図3に示した電子制御システムSの各ECUと、それぞれのECUの共通化位置とが対応付けて保存されている。
【0030】
個別位置と共通化位置との対応付けは、例えば、電子制御システムのセキュリティの防御層、すなわち「セキュリティレベル」に基づいて行われる。多くの電子制御システムでは、攻撃に対するセキュリティ性を高めるために多層防御が採用されている。多層防御は、攻撃に対する対策としてセキュリティ機能を階層的・多層的に設けることで、攻撃を受けた場合に一の対策(すなわち、一層目)が突破されても、次の対策(すなわち、二層目)が攻撃を防御することができるため、電子制御システムの防御力を高める手法として知られている。そのため、多層防御を採用した電子制御システムでは、セキュリティレベルが異なる複数の層が存在することとなる。そこで、電子制御システムSをセキュリティレベルに応じて複数の層に分割し、電子制御システムSに固有の位置である個別位置が、これらの複数の層のうちのいずれの層に属するかに応じて共通化位置に対応付ける。つまり、この例では、共通化位置は、電子制御システムSにおける防御層の位置に相当する。
【0031】
ここで、「セキュリティレベル」とは、攻撃に対する安全性、又は攻撃に対する抑止力を示す指標である。
【0032】
図3に示す電子制御システムSは三層の防御層を有する。この例では、ECU-A及びECU-Bが第一層に属し、ECU-Cが第二層に属し、ECU-D及びECU-Eが第三層に属している。例えば、ECU-A、ECU-Bは外部との通信機能を有する通信ECUであり、これらのECUには、車両外部から車両内部に入ってくるデータを監視するセキュリティ機能が搭載されている。このようなセキュリティ機能を有するECUによって監視される領域を、本例では第一層としている。一方、ECU-Cは、例えば、車両外部に接続されるECUへのネットワークと車両制御を行うECUへのネットワークとの間で通信されるデータを監視するセキュリティ機能が搭載された、ゲートウェイECUである。ECU-Cは、上述したECU-A、ECU-Bとは異なるセキュリティ対策を行うものであり、ECU-Cによって監視される領域は、ECU-A、ECU-Bによって防御される領域である第一層とは異なるセキュリティレベルを有するといえる。そこで、本例では、ECU-Cによって監視される領域を第二層とする。ECU-D、ECU-Eは、例えば、車両の動きを制御する車両制御ECUである。ECU-D、ECU-Eは、ECU-Cのセキュリティ機能を通過したデータのみが通信され、第二層とは異なるセキュリティレベルを有する領域であるといえる。そのため、これらのECUは、ECU-Cとは異なる層、第三層に属することになる。そして、図5に示す位置関係テーブルでは、図3に示す各ECUの名称及びその識別番号と、図3に示す層の番号及びその識別番号と、が対応付けて保存されている。
【0033】
なお、図3及び本実施形態で示す電子制御システムSの防御層、及び防御層を構成するセキュリティ機能は一例にすぎず、これらに限定されるものではない。例えば、電子制御システムSは4以上の防御層を有してもよい。また、2以上のECUが同じセキュリティ機能を有する場合であっても、異なるデータを監視対象とすることによって異なる防御層を構成してもよい。
【0034】
電子制御システムの物理的な構成が車種等によって異なる場合であっても、多層防御を採用する電子制御システムでは、共通して複数のセキュリティ機能が配置される。そのため、いかなる構成を有する電子制御システムにおいても、セキュリティ機能による防御層、すなわちセキュリティレベルに応じて電子制御システムを複数の層に分割することができる。そこで、電子制御システムの構成に固有の位置を、防御層に属する位置として抽象化することで、電子制御システムSにおける位置(すなわち、個別位置)を、電子制御システムSと他の電子制御システムとで共通化した位置(すなわち、共通化位置)として処理することが可能となる。
【0035】
なお、図3に示す例では、セキュリティレベルのみに応じて電子制御システムを複数の層に分割する例を説明しているが、セキュリティレベルに加えて、その他のパラメータを利用して個別位置と共通化位置とを対応付けてもよい。例えば、ECUに接続されているネットワークに応じて、個別位置と共通化位置とを対応付けてもよい。例えば、同じセキュリティレベルに属するECUであっても、ECUに接続されたネットワークがCANであるか、Ethernetであるかに応じて、それぞれ異なる共通化位置に対応付けられる。
【0036】
別の例として、ECUの機能に基づいて個別位置と共通化位置とを対応付けてもよい。例えば、図3のECU-DとECU-Eとは同じセキュリティレベルに属するECUである。しかしながら、ECU-Dがエンジンを制御するECUであって、高い安全性が求められるECUであり、ECU-Eが空調を制御するECUであって、高い安全性が求められないECUの場合には、それぞれ異なる共通化位置に対応付けられる。
【0037】
なお、ECUが仮想マシンを搭載している場合、同じECU上の仮想マシンであっても異なる共通化位置に対応付けられてもよい。例えば、一のECU上で、仮想マシンAが、車両制御用のECUへのエントリポイントとしての機能を有するとともに、セキュリティ機能を有しており、他の仮想マシンBが車両制御の機能を有する場合、仮想マシンAは第一層に属し、仮想マシンBは、仮想マシンAとはセキュリティレベルが異なる層である第二層に属することになる。
【0038】
共通化変換部103は、位置関係テーブル保存部102に保存された位置関係テーブルを用いて、個別ログ取得部101が取得した個別セキュリティログに含まれる異常位置を、電子制御システムSと他の電子制御システムとで共通化された位置である共通化異常位置に変換する。具体的には、共通化変換部103は、個別セキュリティログの異常位置に対応する位置関係テーブルの個別位置を特定し、次いで、個別位置に対応付けられた共通化位置を特定する。特定された共通化位置が共通化異常位置である。
【0039】
なお、図2bに示すように、攻撃分析装置10がサーバ装置である場合、共通化セキュリティログ生成部100は多数の車両から個別セキュリティログを取得して、共通化セキュリティログを生成する。そのため、位置関係テーブル保存部102は、それぞれの車両が有する電子制御システムに対応した位置関係テーブルを多数保存しておく必要がある。そこで、共通化変換部103が使用する位置関係テーブルを容易に特定するために、攻撃分析装置10がサーバ装置である場合には、個別セキュリティログは電子制御システムを特定する識別情報を含むことが望ましい。これにより、共通化変換部103は、個別セキュリティログに含まれる異常位置を変換するために利用する位置関係テーブルを容易に特定することができる。
【0040】
出力部104は、異常情報と、共通化変換部103で変換された共通化異常位置とを含む共通化セキュリティログを、後述する攻撃推定部200に出力する。なお、共通化セキュリティログは、異常情報及び共通化異常位置の他に、個別セキュリティログに含まれていた情報、例えば、共通化変換部103で変換される前の異常位置や、セキュリティセンサに関する情報をさらに含んでもよい。
【0041】
(3)攻撃推定部200の構成
図6を参照して、攻撃推定部200を説明する。攻撃推定部200は、共通化ログ取得部201、攻撃・異常関係テーブル保存部202、推定部203、マッチング度算出部204、及び、出力部205を備える。
図6を参照して、攻撃推定部200を説明する。攻撃推定部200は、共通化ログ取得部201、攻撃・異常関係テーブル保存部202、推定部203、マッチング度算出部204、及び、出力部205を備える。
【0042】
共通化ログ取得部201は、共通化セキュリティログ生成部100から、共通化セキュリティログを取得する。
【0043】
攻撃・異常関係テーブル保存部202は、攻撃・異常関係テーブルを保存する記憶部である。攻撃・異常関係テーブルは、電子制御システムが受けることが想定される攻撃の種別である攻撃種別と、攻撃を受けた場合に電子制御システムにおいて発生することが予測される異常を示す予測異常情報、及び、予測される異常が発生する位置である予測異常位置との対応関係を示すテーブルである。予測異常位置は、電子制御システムSと他の電子制御システムとで共通化された位置であるため、共通化予測異常位置と称する。
【0044】
図7は、攻撃・異常関係テーブルの一例を示す図である。図7に示す攻撃・異常関係テーブルでは、サイバー攻撃の種別(攻撃A~X)毎に、電子制御システムが当該サイバー攻撃を受けた場合に生じる異常と、異常が発生する位置が第一層~第三層のいずれであるかを示している。図7に示すように、サイバー攻撃を受けた場合、複数の場所で複数の異常が発生することが想定される。したがって、攻撃・異常関係テーブルは、攻撃を受けた場合に生じる複数の異常と、それらの位置との組み合わせを示すものであることが好ましい。図7はさらに、サイバー攻撃の種別と、当該サイバー攻撃を受けた場合に想定される攻撃の起点位置及び攻撃の対象位置との対応関係を示している。なお、攻撃起点位置及び攻撃対象位置はいずれも、電子制御システムSの構成に固有の位置ではなく、他の電子制御システムとで共通の共通化位置であるため、これらの位置は共通化攻撃起点位置及び共通化攻撃対象位置と称する。
【0045】
例えば、攻撃種別が攻撃Aであるサイバー攻撃を受けた場合、電子制御システムでは、第一層において、異常A、異常C、及び異常Dの異常が発生することが予測される。また、攻撃Aの攻撃起点位置は識別番号[0000]が示す位置であり、攻撃対象位置は識別番号[0x01]が示す位置である。なお、攻撃起点位置は、電子制御システム内部の位置である場合の他、電子制御システムの外部である場合が想定される。攻撃起点位置が電子制御システムの外部であるとは、車外からサイバー攻撃を受けている場合である。
【0046】
推定部203は、攻撃・異常関係テーブルを用いて、電子制御システムSが受けたサイバー攻撃の種別を推定する。具体的には、推定部203は、攻撃・異常関係テーブルから、共通化ログ取得部201が取得した共通化セキュリティログに含まれる異常情報及び共通化異常位置の「組み合わせに対応する」予測異常情報及び共通化予測異常情報の組み合わせを特定する。なお、異常情報及び共通化異常位置の組み合わせと全く同じ予測異常情報及び共通化予測異常情報の組み合わせが攻撃・異常関係テーブルに存在しない場合、推定部203は、攻撃・異常関係テーブルに含まれる予測異常情報及び共通化予測異常情報の組み合わせの中から、最も近い組み合わせを特定する。そして、最も近い組み合わせを示す攻撃種別を、電子制御システムが受けたサイバー攻撃の種別であると推定する。
【0047】
ここで、「組み合わせに対応する」とは、組み合わせが一致する、又は類似する組み合わせであることをいう。
【0048】
共通化セキュリティログが、異常情報が示す異常の発生順序や回数を含む場合、推定部203は、攻撃種別を推定する際に、これらの情報をさらに用いてもよい。この場合、攻撃・異常関係テーブルには、予測異常情報として、異常の発生順序や回数が含まれている。
【0049】
なお、最も近い組み合わせが複数(例えば、攻撃A、攻撃B)存在する場合には、推定部203は、電子制御システムが受けたサイバー攻撃の種別が攻撃A又は攻撃Bのいずれかであると推定する。あるいは、推定部203は、電子制御システムが受けたサイバー攻撃に対応する攻撃種別が攻撃・異常関係テーブルには存在しないことを特定してもよい。
【0050】
推定部203はさらに、電子制御システムが受けた攻撃種別を推定することに加えて、当該攻撃の攻撃起点位置及び攻撃対象位置を推定してもよい。図7に示す通り、攻撃・異常関係テーブルは、攻撃種別と、攻撃起点位置及び攻撃対象位置とを対応付けて保存しているため、推定部203は、攻撃・異常関係テーブルを用いて攻撃起点位置及び攻撃対象位置を推定することが可能である。
【0051】
推定部203はさらに、異常情報及び共通化異常位置の組み合わせと予測異常情報及び共通化予測異常情報の組み合わせとの差分から、電子制御システムSに将来発生する異常や、将来受ける攻撃を推定してもよい。例えば、異常情報が示す異常の数が、予測異常情報が示す異常の数よりも少ない場合、予測異常情報が示す異常のうち、異常情報が示す異常に含まれていない異常が将来的に発生するおそれがある。そこで、推定部203は、予測異常情報が示す異常と異常情報が示す異常との差分が、電子制御システムに将来発生する異常であると推定する。このような場合、後述する出力部205は、予測異常情報が示す異常と異常情報が示す異常との差分を示す将来異常情報を出力してもよい。
【0052】
また、異常情報が示す異常の数が、予測異常情報が示す異常の数よりも少ない場合、異常情報が示す異常がサイバー攻撃を受ける前段階で発生する異常であり、将来的にサイバー攻撃を受けて更なる異常が発生する可能性がある。そこで、推定部203は、推定した攻撃種別の攻撃が、電子制御システムSが将来的に受ける可能性がある攻撃であると推定する。このような場合、後述する出力部205は、攻撃情報に含まれる攻撃種別が、電子制御システムが将来受ける攻撃であることを示す将来攻撃情報を出力してもよい。
【0053】
マッチング度算出部204は、異常情報及び共通化異常位置の組み合わせと予測異常情報及び共通化予測異常情報の組み合わせとが全く同じではない場合に、これらの組み合わせのマッチング度を算出する。マッチング度は、例えば、異常情報が示す異常の数と、予測異常情報が示す異常の数との差分を、異常情報又は予測異常情報が示す異常の数で除算した数値によって表される。
【0054】
出力部205は、推定部203が推定した攻撃種別を含む攻撃情報を、後述する個別攻撃情報生成部300に出力する。攻撃情報はさらに、推定部203が推定した攻撃起点位置及び攻撃対象位置、マッチング度算出部204が算出したマッチング度を含んでもよい。
【0055】
また、上述したとおり、推定部203が、電子制御システムに将来発生する異常や、電子制御システムSが将来的に受ける可能性がある攻撃を推定した場合には、出力部205は将来攻撃情報又は将来異常情報を含む攻撃情報を出力してもよい。
【0056】
(4)個別攻撃情報生成部300の構成
図8を参照して、個別攻撃情報生成部300を説明する。個別攻撃情報生成部300は、攻撃情報取得部301、位置関係テーブル保存部302、個別化変換部303、個別攻撃情報出力部304を備える。
図8を参照して、個別攻撃情報生成部300を説明する。個別攻撃情報生成部300は、攻撃情報取得部301、位置関係テーブル保存部302、個別化変換部303、個別攻撃情報出力部304を備える。
【0057】
攻撃情報取得部301は、攻撃推定部200から出力された攻撃情報を取得する。
【0058】
位置関係テーブル保存部302は、共通化セキュリティログ生成部100の位置関係テーブル保存部102と同じ位置関係テーブルを保存する。なお、図1に示すとおり、本実施形態では、共通化セキュリティログ生成部100及び個別攻撃情報生成部300は、一の攻撃分析装置10に設けられているため、位置関係テーブル保存部102及び位置関係テーブル保存部302は同じ保存部として構成されてもよい。
【0059】
個別化変換部303は、位置関係テーブルを用いて、攻撃情報に含まれる共通化攻撃起点位置及び共通化攻撃対象位置を、電子制御システムSの個別位置に変換する。具体的には、個別化変換部303は、共通化攻撃起点位置に対応する位置関係テーブルの共通化位置を特定し、次いで、特定した共通化位置に対応付けられた個別位置を個別攻撃起点位置として特定する。同様に、個別化変換部303は、共通化攻撃対象位置に対応する位置関係テーブルの共通化位置を特定し、次いで、特定した共通化位置に対応付けられた個別位置を、個別攻撃対象位置として特定する。つまり、共通化攻撃起点位置を個別位置に変換した位置が個別攻撃起点位置であり、共通化攻撃対象位置を個別位置に変換した位置が個別攻撃対象位置である。
【0060】
なお、図5の位置関係テーブルに示すように、第三層(識別番号:0x03)には、複数の個別番号(識別番号:0x0004、0x0005)が対応付けられている。そのため、共通化攻撃対象位置が第三層の位置である場合、個別位置がECU-D、ECU-Eのいずれであるかを特定することはできない。個別化変換部303は、第一層に含まれる全てのECUの個別位置を、個別対象位置の候補として特定してもよいが、その場合、詳細な攻撃対象位置を特定できないおそれがある。そこで、個別化変換部303は、個別セキュリティログに含まれていた異常位置を参照して、共通化攻撃起点位置及び共通化攻撃対象位置を、個別位置である個別攻撃起点位置及び個別攻撃対象位置に変換してもよい。個別セキュリティログに含まれる異常位置が、共通化セキュリティログ生成部100から出力された共通化セキュリティログにも含まれ、さらに攻撃情報にも含まれている場合、個別化変換部303は攻撃情報に含まれる異常位置を参照することができる。あるいは、本実施形態では、共通化セキュリティログ生成部100と個別攻撃情報生成部300とが一の攻撃分析装置10に設けられているため、攻撃情報生成部300は、共通化セキュリティログ生成部100が取得した個別セキュリティログから異常情報を取得してもよい。
【0061】
個別攻撃情報出力部304は、攻撃種別と、個別化変換部303で変換された個別攻撃起点位置及び個別攻撃対象位置とを含む個別攻撃情報を出力する。
【0062】
(5)推定結果検証部400の構成
図9を参照して、推定結果検証部400を説明する。推定結果検証部400は、個別攻撃情報取得部401、及び検証部402を備える。
図9を参照して、推定結果検証部400を説明する。推定結果検証部400は、個別攻撃情報取得部401、及び検証部402を備える。
【0063】
個別攻撃情報取得部401は、個別攻撃情報生成部300から出力された個別攻撃情報を取得する。
【0064】
検証部402は、個別攻撃情報に含まれる内容を検証する。例えば、検証部402は、個別攻撃情報に含まれるマッチング度から、攻撃推定部200の推定結果の確度を検証する。例えば、検証部402は、マッチング度が所定のマッチング度よりも低い場合には、攻撃推定部200による推定結果は正しくないと判定する。あるいは、過去又は将来の個別セキュリティログの推定結果と併せて再度、分析を行うことを攻撃推定部200に指示をしてもよい。
【0065】
検証部402はさらに、マッチング度から、攻撃・異常関係テーブルの確度を検証してもよい。例えば、マッチング度が低い推定結果が連続して発生している場合には、攻撃・異常関係テーブルに含まれる予測異常情報と共通化予測異常位置との対応付けが正確ではなく、テーブルの再設定や更新が必要であると判定する。
【0066】
検証部402は、個別攻撃情報に含まれる個別攻撃起点位置及び個別攻撃対象位置が正しいか否かを検証してもよい。例えば、個別セキュリティログに、セキュリティセンサが異常を検知する前にECUが受信した、異常の原因となるデータのIPアドレス(例えば、送信元、送信先)の情報が含まれている場合がある。このような場合、IPアドレスのデータの送信先を「示す」送信先位置が攻撃対象となる位置であり、送信元を「示す」送信元位置が攻撃起点となる位置である可能性が高い。そこで、検証部402は、個別セキュリティログにIPアドレスが含まれているよう場合は、IPアドレスが示すデータの送信元位置と、個別攻撃情報に含まれる個別攻撃起点位置とが一致するかどうかを検証する。同様に、検証部402は、IPアドレスが示すデータの送信先位置と、個別攻撃情報に含まれる個別攻撃対象位置とが一致するかどうかを検証する。
そして、個別攻撃起点位置とデータの送信元とが一致しない場合には、検証部402は個別攻撃起点位置をデータの送信元位置に更新してもよい。同様に、個別攻撃対象位置とデータの送信先とが一致しない場合には、攻撃対象位置をデータの送信先位置に更新してもよい。
そして、個別攻撃起点位置とデータの送信元とが一致しない場合には、検証部402は個別攻撃起点位置をデータの送信元位置に更新してもよい。同様に、個別攻撃対象位置とデータの送信先とが一致しない場合には、攻撃対象位置をデータの送信先位置に更新してもよい。
【0067】
ここで、「示す」とは、送信元位置又は送信先位置を直接示す場合の他、例えば、IPアドレス等といった、位置が特定される情報であれば足りる。
【0068】
(6)攻撃分析装置10の動作
次に、図10を参照して、攻撃分析装置10の動作を説明する。なお、攻撃分析装置10の動作は、攻撃分析システム1の動作であるとも観念できる。図10は、攻撃分析装置10や攻撃分析システム1で実行される攻撃分析方法を示すだけでなく、攻撃分析装置10や攻撃分析システム1で実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図10に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
次に、図10を参照して、攻撃分析装置10の動作を説明する。なお、攻撃分析装置10の動作は、攻撃分析システム1の動作であるとも観念できる。図10は、攻撃分析装置10や攻撃分析システム1で実行される攻撃分析方法を示すだけでなく、攻撃分析装置10や攻撃分析システム1で実行可能な攻撃分析プログラムの処理手順を示すものでもある。そして、これらの処理は、図10に示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0069】
共通化セキュリティログ生成部100は、電子制御システムSを構成するECUから、異常情報及び異常位置を含む個別セキュリティログを取得する(S101)。
共通化セキュリティログ生成部100の共通化変換部103は、個別セキュリティログに含まれる異常位置を、電子制御システムSと他の電子制御システムとで共通化された位置である共通化異常位置に変換する(S102)。
出力部104は、異常情報と、S102で変換された共通化異常位置とを含む共通化セキュリティログを出力する(S103)。
共通化セキュリティログ生成部100の共通化変換部103は、個別セキュリティログに含まれる異常位置を、電子制御システムSと他の電子制御システムとで共通化された位置である共通化異常位置に変換する(S102)。
出力部104は、異常情報と、S102で変換された共通化異常位置とを含む共通化セキュリティログを出力する(S103)。
【0070】
攻撃推定部200は、共通化セキュリティログを取得すると、攻撃・異常関係テーブルを用いて、電子制御システムSが受けたサーバ攻撃の種別を推定する(S104)。このとき、共通化攻撃起点位置及び共通化攻撃対象位置を併せて推定してもよい。
攻撃推定部200のマッチング度算出部204は、攻撃・異常関係テーブルに保存された予測異常情報と共通化セキュリティログに含まれる異常情報とに差分がある場合、予測異常情報と異常情報とのマッチング度を算出する(S105)。
そして、攻撃情報出力部205は、推定した攻撃種別、共通化攻撃起点位置、共通化攻撃対象位置、及びマッチング度を含む攻撃情報を出力する(S106)。
攻撃推定部200のマッチング度算出部204は、攻撃・異常関係テーブルに保存された予測異常情報と共通化セキュリティログに含まれる異常情報とに差分がある場合、予測異常情報と異常情報とのマッチング度を算出する(S105)。
そして、攻撃情報出力部205は、推定した攻撃種別、共通化攻撃起点位置、共通化攻撃対象位置、及びマッチング度を含む攻撃情報を出力する(S106)。
【0071】
個別攻撃情報生成部300は、攻撃情報を取得すると、攻撃情報に含まれる攻撃起点位置及び攻撃対象位置を、電子制御システムの個別位置である個別攻撃起点位置及び個別攻撃対象位置に変換する(S107)。
そして、攻撃種別、及び変換した個別攻撃起点位置及び個別攻撃対象位置を含む個別攻撃情報を出力する(S108)。
そして、攻撃種別、及び変換した個別攻撃起点位置及び個別攻撃対象位置を含む個別攻撃情報を出力する(S108)。
【0072】
推定結果検証部400は、個別攻撃情報を取得すると、個別攻撃情報に含まれる攻撃推定結果を検証する(S109)。
【0073】
(7)小括
以上、本開示の攻撃分析装置10によれば、電子制御システムがサイバー攻撃を受けた場合に、電子制御システムに固有の位置である個別位置を他の電子制御システムと共通の共通化位置に変換してから、サイバー攻撃の種別を推定する。これにより、構成が異なる複数の電子制御システムが存在する場合であっても、いずれの電子制御システムに対しても本開示の攻撃分析システムを適用して攻撃の分析を行うことが可能となる。
以上、本開示の攻撃分析装置10によれば、電子制御システムがサイバー攻撃を受けた場合に、電子制御システムに固有の位置である個別位置を他の電子制御システムと共通の共通化位置に変換してから、サイバー攻撃の種別を推定する。これにより、構成が異なる複数の電子制御システムが存在する場合であっても、いずれの電子制御システムに対しても本開示の攻撃分析システムを適用して攻撃の分析を行うことが可能となる。
【0074】
さらに、本開示の攻撃分析装置10によれば、電子制御システムを構成する多数のECUそれぞれについて、サイバー攻撃を推定して分析するツールを設ける必要がなくなるため、攻撃分析のための装置やプログラムの管理が容易になるとともに、攻撃の分析に要する処理負荷を軽減することができる。
さらに、将来的に電子制御システムを構成するECUの数や構成が変化した場合にも適用することが可能となる。
さらに、将来的に電子制御システムを構成するECUの数や構成が変化した場合にも適用することが可能となる。
【0075】
2.第2の実施形態
第2の実施形態は、攻撃分析装置が攻撃推定部200を備え、共通化セキュリティログ生成部100、個別攻撃情報生成部300、及び推定結果検証部400の少なくとも一部が攻撃分析装置とは異なる装置に設けられる構成を、第1の実施形態との相違点を中心に説明する。なお、共通化セキュリティログ生成部100、攻撃推定部200、個別攻撃情報生成部300、及び推定結果検証部400の各構成や動作は第1の実施形態と同じであるため、説明は省略する。
第2の実施形態は、攻撃分析装置が攻撃推定部200を備え、共通化セキュリティログ生成部100、個別攻撃情報生成部300、及び推定結果検証部400の少なくとも一部が攻撃分析装置とは異なる装置に設けられる構成を、第1の実施形態との相違点を中心に説明する。なお、共通化セキュリティログ生成部100、攻撃推定部200、個別攻撃情報生成部300、及び推定結果検証部400の各構成や動作は第1の実施形態と同じであるため、説明は省略する。
【0076】
図11は、本実施形態の攻撃分析装置20を備える攻撃分析システムの一例を示す図である。図11の例では、攻撃分析装置20は攻撃推定部200のみを備え、共通化セキュリティログ生成部100、個別攻撃情報生成部300、及び推定結果検証部400は、変換検証装置21に設けられる。攻撃分析装置20及び変換検証装置21を併せて、攻撃分析システム2とする。
【0077】
【0078】
本実施形態では、共通化セキュリティログ生成部100から出力された共通化セキュリティログは、無線通信ネットワークを介して攻撃推定部200に送信される。同様に、攻撃推定部200から出力された攻撃情報は、無線通信ネットワークを介して個別化変換部300に送信される。したがって、図11には図示していないが、攻撃分析装置20及び変換検証装置21は無線通信部及びアンテナを備えてもよく、あるいは、共通化セキュリティログ生成部100の出力部104、及び個別攻撃情報生成部300の攻撃情報取得部301が、無線通信部としての機能を有していてもよい。
【0079】
攻撃分析システムで実行される処理では、電子制御システムSが受けたサーバ攻撃を推定する処理、すなわち、攻撃推定部200における処理が最も負荷が高い。そこで、サーバ装置が攻撃推定部200を有する攻撃推定装置20を備えることにより、車両における負荷を大幅に低減することが可能となる。
【0080】
(1)第2の実施形態の変形例
図13は、実施形態2の変形例1を示している。本変形例では、攻撃分析装置20は、攻撃推定部200に加えて、共通化セキュリティログ生成部100を備えている。この場合、図12に示す構成と同様、攻撃分析装置20はサーバ装置であってもよいが、攻撃分析装置20は車両に搭載される装置であって、変換検証装置21がサーバ装置として実現されてもよい。この場合、攻撃推定部200による攻撃推定結果の検証がサーバ装置で行われる。サーバ装置では、複数の電子制御システムにおけるサイバー攻撃の推定結果を検証するため、例えば、攻撃・異常関係テーブルの再設定や更新が必要かどうかを、他の電子制御システムにおける推定結果と比較して判定することが可能となる。
図13は、実施形態2の変形例1を示している。本変形例では、攻撃分析装置20は、攻撃推定部200に加えて、共通化セキュリティログ生成部100を備えている。この場合、図12に示す構成と同様、攻撃分析装置20はサーバ装置であってもよいが、攻撃分析装置20は車両に搭載される装置であって、変換検証装置21がサーバ装置として実現されてもよい。この場合、攻撃推定部200による攻撃推定結果の検証がサーバ装置で行われる。サーバ装置では、複数の電子制御システムにおけるサイバー攻撃の推定結果を検証するため、例えば、攻撃・異常関係テーブルの再設定や更新が必要かどうかを、他の電子制御システムにおける推定結果と比較して判定することが可能となる。
【0081】
また、図14は、実施形態2の他の変形例2を示している。本変形例では、攻撃分析装置20は、攻撃推定部200に加えて、個別化変換部300及び推定結果検証部400を備えている。そして、共通化セキュリティログ生成部100は、変換装置22に設けられる。本変形例では、処理負荷が大きい攻撃推定部200及び推定結果検証部400を有する攻撃分析装置20はサーバ装置であることが好ましいが、この構成に限定されるものではない。
【0082】
3.総括
以上、本発明の各実施形態における攻撃分析装置等の特徴について説明した。
以上、本発明の各実施形態における攻撃分析装置等の特徴について説明した。
【0083】
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
【0084】
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
【0085】
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
【0086】
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
【0087】
各実施形態は、車両に搭載される電子制御システムに対するサーバ攻撃を分析するための車両用攻撃分析装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用の装置も含むものである。
【0088】
また、本発明の攻撃分析装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
【0089】
また攻撃分析装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
【0090】
本発明の攻撃分析装置は、特にサーバ側で用いられることにより、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明の攻撃分析装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
【0091】
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
【0092】
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
【産業上の利用可能性】
【0093】
本発明の攻撃分析装置は、主として自動車に搭載された電子制御システムが受けたサイバー攻撃を分析する装置を対象としているが、自動車に搭載されない通常のシステムに対する攻撃を分析する装置を対象としてもよい。
【符号の説明】
【0094】
10,20 攻撃分析装置、100 共通化セキュリティログ生成部、101 個別ログ取得部、102,302 位置関係テーブル保存部、103 共通化変換部、201 共通化ログ取得部、202 攻撃・異常関係テーブル保存部、203 推定部、204 マッチング度算出部、205 出力部、300 個別攻撃情報生成部、303 個別化変換部、400 推定結果検証部、402 検証部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
