canメッセージにおける振る舞い検知手法に関する …ecu ecu: electronic control...

12th WOCS2

1/21/2015

CANメッセージにおける振る舞い検知手法に関する考察

パナソニック株式会社氏家良浩

岸川剛田邉正人芳賀智之北村嘉彦松島秀樹安齋潤

Copyright © 2015 Panasonic Corporation All Rights Reserved. 1

12th WOCS2

1/21/2015

背景


自動車の急速な電子化を支える車載ネットワークの重要性の高まり車載ネットワークが外部と接続するようになり脅威が増大

現在外部ネットワークと複数の経路でつながるCAN

ECU ECU

ドア

ブレーキ ECU

ライトエンジン

ECU ウィンドウ

自動車内部の装置のみがつながるCAN (Controller Area Network)

従来

ECU

ECU: Electronic Control Unit

車載ネットワークに対するセキュリティ対策が急務

CAN

テレマティクス経由

ECU ECU

ECU

ECU

ECU

診断ポート経由

カーナビ経由

12th WOCS2

1/21/2015

自動車に対する攻撃事例 IEEE Symposium on Security and Privacy(2010)

K.Koscher, et al. : “Experimental Security Analysis of a Modern Automobile.”, 2010 S. Checkoway, et al. : “Comprehensive Experimental Analyses of Automotive Attack Surfaces.”,2011

• ワシントン大Kohnoらが、診断ポート(OBD-Ⅱ)に繋いだノートPC経由で、並走する車から遠隔でのブレーキ操作等を実証。

• 翌2011年には、3G経由での遠隔操作を実証。

DEFCON 21(2013)

C. Miller, et al. : "Adventures in Automotive Networks and Control Units", 2013

• Charlie Miller, Chris Valasekが、車内からの攻撃手法を調査。

• 外からのドアロック解除や、ハンドル操作支援機能の乗っ取りに成功。


http://www.autosec.org/pubs/cars-oakland2010.pdf

http://illmatics.com/car_hacking.pdf

12th WOCS2

1/21/2015

CAN(Controller Area Network) CANの歴史

• 1983年独 Robert Bosch 社によって開発着手 • 1986年 CANプロトコルの正式発表 • 1992年独 Mercedes-Benz 社により、初の商用化 • 1994年正式に国際規格（ISO 11898）となる

CAN の特徴

• バス型構成で、メッセージはブロードキャスト送信 • メッセージに含まれるIDを使ったCSMA/CA優先度判定


ECU ECU ECU

送信受信受信

※ECU: Electronics Control Unit

メッセージ

12th WOCS2

1/21/2015

CANにおける課題 CANメッセージフォーマット

• データと、データの意味を表すIDが含まれる

課題：送信元を検証する手段を持たない • 特定IDのメッセージを送信することで、“なりすまし”可能

⇒“なりすまし”攻撃による、不正制御が容易に実現可能


“なりすまし”攻撃への対策が重要

SOF

ID RTR

IDE

r DLC DATA (１～8bytes) CRC

DEL

ACK

DEL

EOF

Ex) ID:0x001 → エンジン回転数 ID:0x002 → 走行速度・・・

12th WOCS2

1/21/2015

前提：攻撃の想定攻撃者種別

• CAN メッセージ送信可能 • 通信仕様は熟知していない ⇒ 結果的にランダムに近い “なりすまし攻撃“ となる

攻撃種別


攻撃は、上記攻撃種別の組み合わせで発生すると想定

攻撃種別内容なりすまし：不正ID IDが不正な値なりすまし：不正データ IDは実際に使われている値だが、データの値が不正なりすまし：再送攻撃 ID、データの値共に実際に使われている値

DoS メッセージを大量送信

12th WOCS2

1/21/2015

大塚他：「既存ECUを変更不要な車載LAN向け侵入検知手法」 (2013) 大塚敏史他：既存ECUを変更不要な車載LAN向け侵入検知手法，情報処理学会(2013)

• 送信メッセージの周期性に着目。不正な周期で送信されたメッセージを検知。

Michael Müter他：「Entropy-Based Anomaly Detection for In-Vehicle Networks 」 (2011)

M. Müter et al. ：Entropy-Based Anomaly Detection for In-Vehicle Networks，IEEE Intelligent Vehicle Symposium (2011)

• 送信メッセージの出現頻度等からエントロピーを算出し、攻撃発生を検知。

従来研究


周期マージン

時間マージン

保留 NG

OK ：不正のECUから送信されたメッセージ

：正規のECUから送信されたメッセージ

単体のフィルタリング方式には限界想定攻撃種別への網羅的な対策／アルゴリズム改良による検知精度向上

周期的なメッセージに対応

大量のメッセージ送信に対応

12th WOCS2

1/21/2015

提案手法：CANフィルタ複数フィルタの組み合わせによる不正検知手法

• 対象の異なる４フィルタを組み合わせ


ヘッドユニット(HU)

ECU CANコントローラ

外部ネットワーク

アプリケーション

CANフィルタＩＤＤＬＣ

送信周期

ルールルール

ルール

結果判定送信頻度ルール

攻撃

メッセージ

攻撃

複数フィルタにより適用範囲を広げ、検知精度向上 10

12th WOCS2

1/21/2015

各フィルタ詳細と効果４フィルタを組み合わせにより、攻撃への対策を実現


フィルタ攻撃種別

ID DLC 送信周期送信頻度

なりすまし (不正規ID) ○ －－－なりすまし

(不正データ) － △ △＊１ △ なりすまし

(再送) －－ △＊１ △ Dos －－ △＊１ △

個々のフィルタをシンプルに実装し、高速化

(○100%検知可能，△100%ではないが検知可能，-検知不可) ＊1は周期的に送信されるメッセージに限られることを意味する

12th WOCS2

1/21/2015

評価 - 検知精度 - 複数フィルタにおける評価指標算出方法

目標値：検知率99%以上(不正見逃し率1%未満)、誤検知率1%未満

送信メッセージ集合誤検知率

＝正規を誤って攻撃と判断 B1 %

B2 %

B3 %

フィルタ１

各フィルタの誤検知率を抑える必要あり

誤検知メッセージ集合

フィルタ２

フィルタ３

フィルタ通過メッセージ集合

計：B1 + B2 + B3 計：A1 * A2 * A3

A1 %

A2 %

A3 %

複数組み合わせることで、値が小さくなる

不正見逃し率 =攻撃を誤って正規と判断

複数組み合わせることで、値が大きくなる


12th WOCS2

1/21/2015

送信周期アルゴリズム改良

誤検知率低減に向けた取り組み


周期

OK NG OK OK

マージン

時間

マージン

OK

マージン内のメッセージをすべて正しい →誤検知率0%

周期マージン

時間マージン

保留 NG

OK

従来手法

改良手法

12th WOCS2

1/21/2015

評価結果 - 検知精度 - 各フィルタを組み合わせた結果となる指標を算出

• ランダムに値を変化し送信する攻撃を送信メッセージ集合と想定。 • フィルタ通過メッセージにはID数：85に対してDLC＋周期 / 頻度の値を設定


IDフィルタ

送信メッセージ集合

DLCフィルタ

100% 不正見逃し率誤検知率

0%

送信周期フィルタ (ルール適用35%)

送信頻度フィルタ (ルール適用65%)

0% ＝検知率99.48% 0.52%

＝検知率99.62% 0.38% 目標クリア

＝検知率95.85% 4.15% 0%

送信周期＋送信頻度フィルタの検知率25.88%

IDフィルタの検知率95.85%

DLCフィルタの検知率87.5%

フィルタ通過メッセージ集合誤検知メッセージ集合

12th WOCS2

1/21/2015

評価 - 処理性能 - 想定機器を設定し、以下２環境にて測定


ECUのようなマイコン環境下での動作も可能

Chip - A Chip - B

想定機器インフォテイメントシステムＥＣＵ

スペック • ARM Dual Core • 1.5GHz

• 16bitマイコン • 64MHz

処理時間 /フレーム約１～２μ秒約30μ秒

※参考： CAN 500Kbps 環境下で1フレーム(Data: 8Bytes)受信にかかる時間は、約222μ秒

12th WOCS2

1/21/2015

周期フィルタの課題課題：適切な周期マージンの設定


実環境でのデータを元に、適切なマージン設定が必要

周期

OK OK OK

マージン

OK

時刻

OK

周期

OK NG NG

マージン

NG

時刻

NG

• マージンが広すぎると・・・ - 不正なメッセージが

多数マージン内に入る ⇒ 不正見逃しが多数発生

• マージンが狭すぎると・・・ - 正規のメッセージまで、

マージン内に入らない ⇒ 誤検知発生

12th WOCS2

1/21/2015

実験環境目的

• CANメッセージの振る舞いを調査すべく、実際の車のCANメッセージデータを取得する

対象 • A社が一般ユーザ向けに販売している車種X

実験手順 • 診断ポート(OBD-Ⅱ)に計測・記録用のツールを接続し、車を運

転。ツールと接続したノートPCにてリアルタイムに受信・記録。 - ツール：ZMP 社様「カートモ UP PRO」

結果： • 約7分間の走行で約50万行、

18MBytes程度のログデータを取得。


ZMP社「カートモ UP Pro」：http://www.zmp.co.jp/products/obd2

http://www.zmp.co.jp/products/obd2



12th WOCS2

1/21/2015

解析手順手順

1. 送信周期の近いIDを複数抽出。 2. それぞれのIDを送信周期間隔でマッピング

解析結果の一例


1022.0

1022.5

1023.0

1023.5

1024.0

1024.5

1025.0

1025.5

0 100 200 300 400 500

送信周期(msec)

出現順

ID: XXXX 近似曲線

出現順

送信周期(msec)

12th WOCS2

1/21/2015

解析結果例１：安定型１つの周期に集約


マージンの範囲を適切に設定することで、検知可能

1022.0

1022.5

1023.0

1023.5

1024.0

1024.5

1025.0

1025.5

1026.0

0 100 200 300 400 500

送信周期(msec)

送信順

ID: 0x0AAD

12th WOCS2

1/21/2015

解析結果例２：衝突発生型２つの周期に集約

⇒ 衝突による通信調停が発生した可能性大

21

998.0

998.5

999.0

999.5

1000.0

1000.5

1001.0

1001.5

1002.0

0 100 200 300 400 500

送信周期(msec)

送信順

ID: 0x0AAC

ID毎に異なる “通信調停発生率” への対策が必要 Copyright © 2015 Panasonic Corporation All Rights Reserved.

12th WOCS2

1/21/2015

まとめと今後の展望まとめ

• 複数のフィルタを用いたCANフィルタ手法を提案し、高い検知精度(99.62%)を達成。

• 実際の車のデータを用いて、更なる改善案の知見を提示。

今後の展望

• データフィールドの値を用いたフィルタの開発。 • 更なる高度な攻撃者を想定し、実車データに基づい

たフィルタリング技術検知精度の向上。


canメッセージにおける 振る舞い検知手法に関する …ecu ecu: electronic control...

Documents

canメッセージにおける振る舞い検知手法に関する …ecu ecu: electronic control...