1 |
1
CAN 방식을 통해 제어되는 차량 네트워크의 공격 탐지 시스템에 있어서,상기 차량 네트워크의 CAN 패킷으로부터 공격 탐지를 위한 CAN 패킷 특징을 추출하고, 상기 CAN 패킷 특징을 기초로 기계 학습 모델에 의해 CAN 패킷 단위로 공격 여부를 판단하도록 구성되는 제어부;를 포함하고,상기 CAN 패킷 특징은 상기 CAN 패킷에 선행하여 수신된 선행 CAN 패킷에 대한 상기 CAN 패킷의 비트 위치 별 비트 플립 정보를 포함하는, 차량 네트워크의 공격 탐지 시스템
|
2 |
2
제1항에 있어서,학습용 CAN 패킷으로부터 추출된 학습용 CAN 패킷 특징을 입력 변수로 하고, 상기 학습용 CAN 패킷의 정상 여부 정보를 출력 변수로 설정하여 기계 학습(Machine Learning) 방식을 통해 상기 기계 학습 모델을 생성하도록 구성되는 기계학습부;를 더 포함하는 차량 네트워크의 공격 탐지 시스템
|
3 |
3
제1항에 있어서,상기 기계 학습 모델은 랜덤 포레스트 모델을 포함하는, 차량 네트워크의 공격 탐지 시스템
|
4 |
4
제1항에 있어서,상기 제어부는,상기 차량 네트워크의 타겟 CAN 패킷 및 제1 CAN 패킷 간의 제1 수신시간 차이를 산출하고,상기 제1 수신시간 차이 및 상기 기계 학습 모델에 기초하여 상기 CAN 패킷 단위로 공격 여부를 판단하도록 구성되고,상기 제1 CAN 패킷은 상기 타겟 CAN 패킷 기준으로 가장 최근에 생성된 CAN 패킷인 차량 네트워크의 공격 탐지 시스템
|
5 |
5
제1항에 있어서,상기 제어부는,제2 CAN 패킷에 대한 상기 CAN 패킷의 비트 위치별 비트 플립 정보를 산출하고,상기 비트 플립 정보를 포함하는 상기 CAN 패킷 특징을 기초로 상기 기계 학습 모델에 의해 상기 CAN 패킷 단위로 공격 여부를 판단하도록 구성되고,상기 제2 CAN 패킷은 타겟 CAN 패킷과 동일한 CAN ID를 가진 CAN 패킷 중 상기 타겟 CAN 패킷 기준으로 가장 최근에 생성된 CAN 패킷인 차량 네트워크의 공격 탐지 시스템
|
6 |
6
제1항에 있어서,상기 제어부는,상기 차량 네트워크의 타겟 CAN 패킷 및 제3 CAN 패킷 간의 제3 수신시간 차이를 산출하고,상기 제3 수신시간 차이 및 상기 기계 학습 모델에 기초하여 상기 CAN 패킷 단위로 공격 여부를 판단하도록 구성되고,상기 제3 CAN 패킷은 상기 타겟 CAN 패킷을 기준으로 미리 설정된 숫자 이전에 생성된 CAN 패킷인 차량 네트워크의 공격 탐지 시스템
|
7 |
7
제1항에 있어서,상기 제어부는,상기 차량 네트워크의 타겟 CAN 패킷을 기준으로 가장 최근에 생성된 CAN 패킷의 CAN ID 및 상기 기계 학습 모델에 기초하여 상기 CAN 패킷 단위로 공격 여부를 판단하도록 구성되는 차량 네트워크의 공격 탐지 시스템
|
8 |
8
제1항에 있어서,상기 제어부는,상기 차량 네트워크의 타겟 CAN 패킷에 포함된 카운터 값 및 제2 CAN 패킷에 포함된 카운터 값의 차이를 산출하고,상기 카운터 값의 차이 및 상기 기계 학습 모델에 기초하여 상기 CAN 패킷 단위로 공격 여부를 판단하도록 구성되고,상기 제2 CAN 패킷은 상기 타겟 CAN 패킷과 동일한 CAN ID를 가진 CAN 패킷 중 상기 타겟 CAN 패킷 기준으로 가장 최근에 생성된 CAN 패킷인 차량 네트워크의 공격 탐지 시스템
|
9 |
9
제1항에 있어서,상기 제어부는,상기 CAN 패킷의 CAN ID 및 데이터 페이로드의 크기 중 적어도 하나에 기초하여 상기 CAN 패킷 단위로 공격 여부를 판단하도록 구성되는 차량 네트워크의 공격 탐지 시스템
|
10 |
10
제2항에 있어서,상기 기계학습부는,상기 학습용 CAN 패킷 특징을 기반으로 상기 기계 학습 모델에 의해 상기 학습용 CAN 패킷이 정상이라고 판단됨과 동시에, 상기 학습용 CAN 패킷의 CAN ID 또는 데이터 페이로드의 크기 중 어느 하나에 기초하여 상기 학습용 CAN 패킷에 대한 공격이 있는 것으로 판단되는 경우, 상기 학습용 CAN 패킷의 상태를 비정상 상태로 분류하여 상기 기계 학습 모델을 업데이트하도록 구성되는 차량 네트워크의 공격 탐지 시스템
|
11 |
11
제1항에 있어서,상기 제어부는:상기 CAN 패킷으로부터 CAN ID 및 데이터 페이로드의 크기를 추출하고;상기 CAN 패킷에 선행하여 수신된 제1 CAN 패킷의 CAN ID와, 상기 제1 CAN 패킷 및 상기 CAN 패킷 간의 제1 수신시간 차이를 산출하고;상기 CAN 패킷과 동일한 CAN ID를 가진 CAN 패킷들 중 상기 CAN 패킷을 기준으로 가장 최근에 생성된 제2 CAN 패킷과 상기 CAN 패킷 간의 제2 수신시간 차이를 산출하고;상기 제2 CAN 패킷에 대한 상기 CAN 패킷의 비트 위치별 비트 플립 정보를 산출하고;상기 CAN 패킷을 기준으로 2 이상의 설정된 패킷 윈도우 전에 발생된 제3 CAN 패킷과, 상기 CAN 패킷 간의 제3 수신시간 차이를 산출하고; 그리고상기 CAN 패킷의 CAN ID, 상기 데이터 페이로드의 크기, 상기 제1 CAN 패킷의 CAN ID, 상기 비트 플립 정보, 상기 제1 수신시간 차이, 상기 제2 수신시간 차이, 및 제3 수신시간 차이를 포함하는 상기 CAN 패킷 특징을 기초로 상기 기계 학습 모델에 의해 상기 CAN 패킷 단위로 공격 여부를 판단하도록 구성되는, 차량 네트워크의 공격 탐지 시스템
|
12 |
12
CAN 방식을 통해 제어되는 차량 네트워크의 공격 탐지 방법에 있어서,제어부에 의해, 상기 차량 네트워크의 CAN 패킷으로부터 공격 탐지를 위한 CAN 패킷 특징을 추출하는 단계; 및상기 제어부에 의해, 상기 CAN 패킷 특징을 기초로 기계 학습 모델에 의해 CAN 패킷 단위로 공격 여부를 판단하는 단계;를 포함하고,상기 CAN 패킷 특징은 상기 CAN 패킷에 선행하여 수신된 선행 CAN 패킷에 대한 상기 CAN 패킷의 비트 위치 별 비트 플립 정보를 포함하는, 차량 네트워크의 공격 탐지 방법
|
13 |
13
제12항에 있어서,기계학습부가 학습용 CAN 패킷으로부터 추출된 학습용 CAN 패킷 특징을 입력 변수로 하고, 상기 학습용 CAN 패킷의 정상 여부 정보를 출력 변수로 설정하여 기계 학습 방식을 통해 상기 기계 학습 모델을 생성하는 단계;를 더 포함하는 차량 네트워크의 공격 탐지 방법
|
14 |
14
제12항에 있어서,상기 CAN 패킷 특징을 추출하는 단계는:상기 차량 네트워크의 타겟 CAN 패킷 및 제1 CAN 패킷 간의 제1 수신시간 차이를 산출하는 단계;를 더 포함하고,상기 CAN 패킷 단위로 공격 여부를 판단하는 단계는,상기 제1 수신시간 차이 및 상기 기계 학습 모델에 기초하여 상기 CAN 패킷 단위로 공격 여부를 판단하는 단계;를 포함하고,상기 제1 CAN 패킷은 상기 타겟 CAN 패킷 기준으로 가장 최근에 생성된 CAN 패킷인 차량 네트워크의 공격 탐지 방법
|
15 |
15
제12항에 있어서,상기 CAN 패킷 특징을 추출하는 단계는:제2 CAN 패킷에 대한 상기 CAN 패킷의 비트 위치별 비트 플립 정보를 산출하는 단계;를 더 포함하고,상기 CAN 패킷 단위로 공격 여부를 판단하는 단계는,상기 비트 플립 정보를 포함하는 상기 CAN 패킷 특징을 기초로 상기 기계 학습 모델에 의해 상기 CAN 패킷 단위로 공격 여부를 판단하는 단계;를 포함하고,상기 제2 CAN 패킷은 타겟 CAN 패킷과 동일한 CAN ID를 가진 CAN 패킷 중 상기 타겟 CAN 패킷 기준으로 가장 최근에 생성된 CAN 패킷인 차량 네트워크의 공격 탐지 방법
|
16 |
16
제12항에 있어서,상기 CAN 패킷 특징을 추출하는 단계는:상기 차량 네트워크의 타겟 CAN 패킷 및 제3 CAN 패킷 간의 제3 수신시간 차이를 산출하는 단계;를 더 포함하고,상기 CAN 패킷 단위로 공격 여부를 판단하는 단계는,상기 제3 수신시간 차이 및 상기 기계 학습 모델에 기초하여 상기 CAN 패킷 단위로 공격 여부를 판단하는 단계;를 포함하고,상기 제3 CAN 패킷은 상기 타겟 CAN 패킷을 기준으로 미리 설정된 숫자 이전에 생성된 CAN 패킷인 차량 네트워크의 공격 탐지 방법
|
17 |
17
제12항에 있어서,상기 CAN 패킷 특징을 추출하는 단계는:상기 차량 네트워크의 타겟 CAN 패킷에 포함된 카운터 값 및 제2 CAN 패킷에 포함된 카운터 값의 차이를 산출하는 단계; 및상기 카운터 값의 차이 및 상기 기계 학습 모델에 기초하여 상기 CAN 패킷 단위로 공격 여부를 판단하는 단계;를 더 포함하고,상기 제2 CAN 패킷은 상기 타겟 CAN 패킷과 동일한 CAN ID를 가진 CAN 패킷 중 상기 타겟 CAN 패킷 기준으로 가장 최근에 생성된 CAN 패킷인 차량 네트워크의 공격 탐지 방법
|
18 |
18
제12항에 있어서,상기 CAN 패킷 특징을 추출하는 단계는:상기 CAN 패킷으로부터 CAN ID 및 데이터 페이로드의 크기를 추출하는 단계;상기 CAN 패킷에 선행하여 수신된 제1 CAN 패킷의 CAN ID와, 상기 제1 CAN 패킷 및 상기 CAN 패킷 간의 제1 수신시간 차이를 산출하는 단계;상기 CAN 패킷과 동일한 CAN ID를 가진 CAN 패킷들 중 상기 CAN 패킷을 기준으로 가장 최근에 생성된 제2 CAN 패킷과 상기 CAN 패킷 간의 제2 수신시간 차이를 산출하는 단계;상기 제2 CAN 패킷에 대한 상기 CAN 패킷의 비트 위치별 비트 플립 정보를 산출하는 단계; 및상기 CAN 패킷을 기준으로 2 이상의 설정된 패킷 윈도우 전에 발생된 제3 CAN 패킷과, 상기 CAN 패킷 간의 제3 수신시간 차이를 산출하는 단계;를 포함하고,상기 CAN 패킷 단위로 공격 여부를 판단하는 단계는:상기 CAN 패킷의 CAN ID, 상기 데이터 페이로드의 크기, 상기 제1 CAN 패킷의 CAN ID, 상기 비트 플립 정보, 상기 제1 수신시간 차이, 상기 제2 수신시간 차이, 및 제3 수신시간 차이를 포함하는 상기 CAN 패킷 특징을 기초로 상기 기계 학습 모델에 의해 상기 CAN 패킷 단위로 공격 여부를 판단하는 단계;를 포함하는 차량 네트워크의 공격 탐지 방법
|
19 |
19
제12항 내지 제18항 중 어느 한 항의 상기 차량 네트워크의 공격 탐지 방법을 실행시키도록 기록매체에 저장된 컴퓨터 프로그램
|