| 1 |
1
차량 이더넷의 노드들 간에 송수신하는 패킷을 수집하는 단계;수집한 패킷의 헤더를 검사하는 단계;수집한 패킷의 소스 주소와 목적지 주소를 추출하는 단계;기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하는 단계; 및상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 단계를 포함하는 공격 탐지 방법
|
| 2 |
2
제1항에 있어서,상기 헤더를 검사하는 단계는,상기 수집한 패킷이 AVB(Audio Video Bridging) 패킷이거나, PTP(Precision Time Protocol) 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사하는 공격 탐지 방법
|
| 3 |
3
제1항에 있어서,상기 공격을 탐지하는 단계는,상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시키는 공격 탐지 방법
|
| 4 |
4
제1항에 있어서,상기 공격을 탐지하는 단계는,상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법
|
| 5 |
5
제1항에 있어서,상기 공격을 탐지하는 단계는,상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법
|
| 6 |
6
제1항에 있어서,상기 공격을 탐지하는 단계는,상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법
|
| 7 |
7
제1항에 있어서,상기 공격을 탐지하는 단계는,상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법
|
| 8 |
8
제1항에 있어서,상기 공격을 탐지하는 단계는,정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 방법
|
| 9 |
9
제1항 내지 제8항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록된 컴퓨터에서 판독 가능한 기록 매체
|
| 10 |
10
차량 이더넷의 노드들 간에 송수신하는 패킷을 수집하는 통신 인터페이스; 및수집한 패킷의 헤더를 검사하고, 수집한 패킷의 소스 주소와 목적지 주소를 추출하며, 기 설정된 타임 윈도우 동안 상기 소스 주소와 목적지 주소의 엔트로피, 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수를 누적하고, 상기 타임 윈도우 동안 누적된 정보와 정상적인 트래픽에서 누적된 정보를 비교하여 공격을 탐지하는 프로세서를 포함하는 공격 탐지 장치
|
| 11 |
11
제10항에 있어서,상기 프로세서는,상기 수집한 패킷이 AVB 패킷이거나, PTP 패킷인 경우, 수집한 패킷의 헤더에 기 설정된 값 이외의 정보, 또는 값이 포함되어 있는지 여부를 검사하는 공격 탐지 장치
|
| 12 |
12
제10항에 있어서,상기 프로세서는,상기 타임 윈도우 동안 누적된 상기 소스 주소와 목적지 주소 중에서 정상적인 트래픽에서 누적된 상기 소스 주소와 목적지 주소와 다른 주소가 포함된 경우, 사용자에게 확인을 요청하는 알람을 발생시키는 공격 탐지 장치
|
| 13 |
13
제10항에 있어서,상기 프로세서는,상기 타임 윈도우 동안 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수와 정상적인 트래픽에서 누적된 타임 인터벌, 전송된 바이트의 개수 및 패킷의 개수 중 적어도 하나 간의 차이가 임계값 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치
|
| 14 |
14
제10항에 있어서,상기 프로세서는,상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서가 서로 다른 경우, 비정상 시퀀스의 카운트를 증가시키고, 비정상 시퀀스의 카운트가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치
|
| 15 |
15
제10항에 있어서,상기 프로세서는,상기 노드들 중 토커(Talker)에서만 전송하는 패킷이 상기 토커가 아닌 다른 노드에서 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치
|
| 16 |
16
제10항에 있어서,상기 프로세서는,상기 타임 윈도우 동안 누적된 패킷들의 타입별 전송 순서와 정상적인 트래픽에서 누적된 패킷들의 타입별 전송 순서를 비교하여 패킷의 누락을 검출하고, 누락된 패킷의 개수가 기준 이상인 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치
|
| 17 |
17
제10항에 있어서,상기 프로세서는,정상적인 트래픽에서 누적된 정보를 기초로 상기 노드들 중 토커가 전송한 패킷에 대응하여 상기 노드들 중 리스너(Listener)가 전송하는 패킷 및 상기 리스너가 전송한 패킷에 대응하여 상기 토커가 전송하는 패킷을 식별하고, 상기 타임 윈도우 동안 누적된 정보들 중에서 식별한 패킷과 다른 패킷이 전송된 경우, 공격이 발생한 것으로 판단하는 공격 탐지 장치
|
