canメッセージにおける 振る舞い検知手法に関する …ecu ecu: electronic control...
TRANSCRIPT
12th WOCS2
1/21/2015
CANメッセージにおける 振る舞い検知手法に関する考察
パナソニック株式会社 氏家 良浩
岸川剛 田邉正人 芳賀智之 北村嘉彦 松島秀樹 安齋潤
Copyright © 2015 Panasonic Corporation All Rights Reserved. 1
12th WOCS2
1/21/2015
背景
Copyright © 2015 Panasonic Corporation All Rights Reserved. 4
自動車の急速な電子化を支える車載ネットワークの重要性の高まり 車載ネットワークが外部と接続するようになり脅威が増大
現在 外部ネットワークと複数の経路でつながるCAN
ECU ECU
ドア
ブレーキ ECU
ライト エンジン
ECU ウィンドウ
自動車内部の装置のみがつながるCAN (Controller Area Network)
従来
ECU
ECU: Electronic Control Unit
車載ネットワークに対するセキュリティ対策が急務
CAN
テレマティクス経由
ECU ECU
ECU
ECU
ECU
診断ポート経由
カーナビ経由
12th WOCS2
1/21/2015
自動車に対する攻撃事例 IEEE Symposium on Security and Privacy(2010)
K.Koscher, et al. : “Experimental Security Analysis of a Modern Automobile.”, 2010 S. Checkoway, et al. : “Comprehensive Experimental Analyses of Automotive Attack Surfaces.”,2011
• ワシントン大Kohnoらが、診断ポート(OBD-Ⅱ)に繋いだノートPC経由で、並走する車から遠隔でのブレーキ操作等を実証。
• 翌2011年には、3G経由での遠隔操作を実証。
DEFCON 21(2013)
C. Miller, et al. : "Adventures in Automotive Networks and Control Units", 2013
• Charlie Miller, Chris Valasekが、 車内からの攻撃手法を調査。
• 外からのドアロック解除や、 ハンドル操作支援機能の乗っ取りに成功。
Copyright © 2015 Panasonic Corporation All Rights Reserved. 5
http://www.autosec.org/pubs/cars-oakland2010.pdf
http://illmatics.com/car_hacking.pdf
12th WOCS2
1/21/2015
CAN(Controller Area Network) CANの歴史
• 1983年 独 Robert Bosch 社によって開発着手 • 1986年 CANプロトコルの正式発表 • 1992年 独 Mercedes-Benz 社により、初の商用化 • 1994年 正式に国際規格(ISO 11898)となる
CAN の特徴
• バス型構成で、メッセージはブロードキャスト送信 • メッセージに含まれるIDを使ったCSMA/CA優先度判定
Copyright © 2015 Panasonic Corporation All Rights Reserved. 6
ECU ECU ECU
送信 受信 受信
※ECU: Electronics Control Unit
メッセージ
12th WOCS2
1/21/2015
CANにおける課題 CANメッセージフォーマット
• データと、データの意味を表すIDが含まれる
課題:送信元を検証する手段を持たない • 特定IDのメッセージを送信することで、“なりすまし”可能
⇒“なりすまし”攻撃による、不正制御が容易に実現可能
Copyright © 2015 Panasonic Corporation All Rights Reserved. 7
“なりすまし”攻撃への対策が重要
SOF
ID RTR
IDE
r DLC DATA (1~8bytes) CRC
DEL
ACK
DEL
EOF
Ex) ID:0x001 → エンジン回転数 ID:0x002 → 走行速度 ・・・
12th WOCS2
1/21/2015
前提:攻撃の想定 攻撃者種別
• CAN メッセージ送信可能 • 通信仕様は熟知していない ⇒ 結果的にランダムに近い “なりすまし攻撃“ となる
攻撃種別
Copyright © 2015 Panasonic Corporation All Rights Reserved. 8
攻撃は、上記攻撃種別の組み合わせで発生すると想定
攻撃種別 内容 なりすまし:不正ID IDが不正な値 なりすまし:不正データ IDは実際に使われている値だが、データの値が不正 なりすまし:再送攻撃 ID、データの値共に実際に使われている値
DoS メッセージを大量送信
12th WOCS2
1/21/2015
大塚他:「既存ECUを変更不要な車載LAN向け侵入検知手法」 (2013) 大塚敏史他:既存ECUを変更不要な車載LAN向け侵入検知手法,情報処理学会(2013)
• 送信メッセージの周期性に着目。不正な周期で送信されたメッセージを検知。
Michael Müter他:「Entropy-Based Anomaly Detection for In-Vehicle Networks 」 (2011)
M. Müter et al. :Entropy-Based Anomaly Detection for In-Vehicle Networks,IEEE Intelligent Vehicle Symposium (2011)
• 送信メッセージの出現頻度等からエントロピーを算出し、攻撃発生を検知。
従来研究
Copyright © 2015 Panasonic Corporation All Rights Reserved. 9
周期 マージン
時間 マージン
保留 NG
OK :不正のECUから 送信されたメッセージ
:正規のECUから 送信されたメッセージ
単体のフィルタリング方式には限界 想定攻撃種別への網羅的な対策 / アルゴリズム改良による検知精度向上
周期的なメッセージに対応
大量のメッセージ送信に対応
12th WOCS2
1/21/2015
提案手法:CANフィルタ 複数フィルタの組み合わせによる不正検知手法
• 対象の異なる4フィルタを組み合わせ
Copyright © 2015 Panasonic Corporation All Rights Reserved. 10
ヘッドユニット(HU)
ECU CANコントローラ
外部 ネットワーク
アプリケーション
CANフィルタ ID DLC
送信周期
ルール ルール
ルール
結果判定 送信頻度 ルール
攻撃
メッセージ
攻撃
複数フィルタにより適用範囲を広げ、検知精度向上 10
12th WOCS2
1/21/2015
各フィルタ詳細と効果 4フィルタを組み合わせにより、攻撃への対策を実現
Copyright © 2015 Panasonic Corporation All Rights Reserved. 11
フィルタ 攻撃種別
ID DLC 送信周期 送信頻度
なりすまし (不正規ID) ○ - - - なりすまし
(不正データ) - △ △*1 △ なりすまし
(再送) - - △*1 △ Dos - - △*1 △
個々のフィルタをシンプルに実装し、高速化
(○100%検知可能,△100%ではないが検知可能,-検知不可) *1は周期的に送信されるメッセージに限られることを意味する
12th WOCS2
1/21/2015
評価 - 検知精度 - 複数フィルタにおける評価指標算出方法
目標値:検知率99%以上(不正見逃し率1%未満)、誤検知率1%未満
送信メッセージ集合 誤検知率
=正規を誤って攻撃と判断 B1 %
B2 %
B3 %
フィルタ1
各フィルタの誤検知率を抑える必要あり
誤検知 メッセージ集合
フィルタ2
フィルタ3
フィルタ通過 メッセージ集合
計:B1 + B2 + B3 計:A1 * A2 * A3
A1 %
A2 %
A3 %
複数組み合わせることで、 値が小さくなる
不正見逃し率 =攻撃を誤って正規と判断
複数組み合わせることで、 値が大きくなる
Copyright © 2015 Panasonic Corporation All Rights Reserved. 12
12th WOCS2
1/21/2015
送信周期アルゴリズム改良
誤検知率低減に向けた取り組み
Copyright © 2015 Panasonic Corporation All Rights Reserved. 13
周期
OK NG OK OK
マージン
時間
マージン
OK
マージン内のメッセージをすべて正しい →誤検知率0%
周期 マージン
時間 マージン
保留 NG
OK
従来手法
改良手法
12th WOCS2
1/21/2015
評価結果 - 検知精度 - 各フィルタを組み合わせた結果となる指標を算出
• ランダムに値を変化し送信する攻撃を送信メッセージ集合と想定。 • フィルタ通過メッセージにはID数:85に対してDLC+周期 / 頻度の値を設定
Copyright © 2015 Panasonic Corporation All Rights Reserved. 14
IDフィルタ
送信メッセージ集合
DLCフィルタ
100% 不正見逃し率 誤検知率
0%
送信周期フィルタ (ルール適用35%)
送信頻度フィルタ (ルール適用65%)
0% =検知率99.48% 0.52%
=検知率99.62% 0.38% 目標クリア
=検知率95.85% 4.15% 0%
送信周期+送信頻度 フィルタの検知率25.88%
IDフィルタの検知率95.85%
DLCフィルタの検知率87.5%
フィルタ通過メッセージ集合 誤検知メッセージ集合
12th WOCS2
1/21/2015
評価 - 処理性能 - 想定機器を設定し、以下2環境にて測定
Copyright © 2015 Panasonic Corporation All Rights Reserved. 15
ECUのようなマイコン環境下での動作も可能
Chip - A Chip - B
想定機器 インフォテイメントシステム ECU
スペック • ARM Dual Core • 1.5GHz
• 16bitマイコン • 64MHz
処理時間 /フレーム 約1~2μ秒 約30μ秒
※参考: CAN 500Kbps 環境下で1フレーム(Data: 8Bytes)受信にかかる時間は、約222μ秒
12th WOCS2
1/21/2015
周期フィルタの課題 課題:適切な周期マージンの設定
Copyright © 2015 Panasonic Corporation All Rights Reserved. 16
実環境でのデータを元に、適切なマージン設定が必要
周期
OK OK OK
マージン
OK
時刻
OK
周期
OK NG NG
マージン
NG
時刻
NG
• マージンが広すぎると・・・ - 不正なメッセージが
多数マージン内に入る ⇒ 不正見逃しが多数発生
• マージンが狭すぎると・・・ - 正規のメッセージまで、
マージン内に入らない ⇒ 誤検知発生
12th WOCS2
1/21/2015
実験環境 目的
• CANメッセージの振る舞いを調査すべく、 実際の車のCANメッセージデータを取得する
対象 • A社が一般ユーザ向けに販売している車種X
実験手順 • 診断ポート(OBD-Ⅱ)に計測・記録用のツールを接続し、車を運
転。ツールと接続したノートPCにてリアルタイムに受信・記録。 - ツール:ZMP 社 様「カートモ UP PRO」
結果: • 約7分間の走行で約50万行、
18MBytes程度のログデータを取得。
Copyright © 2015 Panasonic Corporation All Rights Reserved. 17
ZMP社「カートモ UP Pro」:http://www.zmp.co.jp/products/obd2
12th WOCS2
1/21/2015
解析手順 手順
1. 送信周期の近いIDを複数抽出。 2. それぞれのIDを送信周期間隔でマッピング
解析結果の一例
Copyright © 2015 Panasonic Corporation All Rights Reserved. 19
1022.0
1022.5
1023.0
1023.5
1024.0
1024.5
1025.0
1025.5
0 100 200 300 400 500
送信周期(msec)
出現順
ID: XXXX 近似曲線
出現順
送信周期(msec)
12th WOCS2
1/21/2015
解析結果例1:安定型 1つの周期に集約
Copyright © 2015 Panasonic Corporation All Rights Reserved. 20
マージンの範囲を適切に設定することで、検知可能
1022.0
1022.5
1023.0
1023.5
1024.0
1024.5
1025.0
1025.5
1026.0
0 100 200 300 400 500
送信周期(msec)
送信順
ID: 0x0AAD
12th WOCS2
1/21/2015
解析結果例2:衝突発生型 2つの周期に集約
⇒ 衝突による通信調停が発生した可能性 大
21
998.0
998.5
999.0
999.5
1000.0
1000.5
1001.0
1001.5
1002.0
0 100 200 300 400 500
送信周期(msec)
送信順
ID: 0x0AAC
ID毎に異なる “通信調停発生率” への対策が必要 Copyright © 2015 Panasonic Corporation All Rights Reserved.
12th WOCS2
1/21/2015
まとめと今後の展望 まとめ
• 複数のフィルタを用いたCANフィルタ手法を提案し、高い検知精度(99.62%)を達成。
• 実際の車のデータを用いて、更なる改善案の知見を提示。
今後の展望
• データフィールドの値を用いたフィルタの開発。 • 更なる高度な攻撃者を想定し、実車データに基づい
たフィルタリング技術検知精度の向上。
Copyright © 2015 Panasonic Corporation All Rights Reserved. 22
12th WOCS2
1/21/2015 Copyright © 2015 Panasonic Corporation All Rights Reserved. 24
fin ご静聴ありがとうございました