차량 네트워크 이상징후 탐지 알고리즘 구현 및 시각화 프로그램 개발

 

사례

최근에 큰 마음을 먹고 자동차를 구매한 H씨는 최근 자동차 해킹이 빈번하게 시도되고 있다는 뉴스를 접하게되어 자신이 구매한 자동차에 대해서도 공격이 시도되고 있는지 K대학교 연구실에 데이터 분석 의뢰를 하였습니다.

K대학교 연구실에서 분석한 결과  메시지 삽입 공격이 이뤄지고 있는 것을 발견하였습니다.

차량 내 CAN (Controller Area Network) 프로토콜은 버스에 흐르는 메시지에 대한 검증 과정이 존재하지 않습니다. 따라서 공격자는 악의적인 명령을 위해 CAN 버스에 임의의 메시지를 삽입하더라도 차량은 메시지의 이상 여부를 측정할 수 없습니다.

차량 공격으로는 정상 메시지를 지연시키거나 전송되는 것을 막는 도스(DoS) 공격, 차량이 이상 행위를 하도록 하는 퍼지(Fuzzy) 공격, 정상 메시지를 일정 기간 동안 덤프하여 그대로 삽입하는 재사용(Replay) 공격이 이루어질 수 있습니다.

위 상황과 같은 공격이 시행될 때 운전자와 차량의 안전을 위해 이상 징후를 탐지할 수 있는 IDS가 필요한 실정입니다.

 

 

문제


데이터셋을 분석하여 아래 사항을 실시간으로 탐지할 수 있는 이상징후 탐지 알고리즘과 시각화 프로그램을 제시해주시기 바랍니다.

  • 도스 공격
  • 퍼지 공격

 

 

데이터셋(KU-CISC2017-OTIDS) 설명


공격이 없는 상황에서 CAN 버스에 연결 된 각 노드는 주어진 역할을 수행하기 위해 주기적으로 특정 식별자를 갖는 데이터 프레임을 전송합니다. CAN 프로토콜은 브로드캐스트 방식으로 통신을 하기 때문에, 각 수신자 노드는 메시지가 도착할 때 마다 필요에 따라 수신을 결정됩니다.

제공된 데이터셋에서 정상 패킷과 두 가지의 메시지 삽입 공격 유형으로 구성되었습니다.

  1. 정상패킷
    • CAN 버스의 각 ECU는 정상패킷만 전송하고 공격이 없는 상황임
    • 모든 식별자는 각자의 주기를 갖고 패킷을 전송함
  2. 도스공격
    • 공격 노드는 우선순위가 상대적으로 높은 패킷을 빠른 주기로 전송함
    • 우선순위가 낮은 정상 패킷들의 전송은 미루어짐
  3. 퍼지공격
    • 주입되는 메이시는 실제 역할이 있는 패킷이므로 차량 기능을 마비시킴
    • 공격노드는 차량에서 실제 사용하는 패킷의 식별자를 랜덤하게 선택하여 빠른 주기로 전송함

 

  • 약 65분 동안 위와 같이 정의된 공격이 임의의 시간에 공격이 시도된 데이터가 포함되어 있습니다.

 

예선 데이터셋 내용
  • KU-CISC2017-OTIDS-1st
         도스 +  퍼지 공격
    • 위와 같이 정의된 공격이 임의의 시간에 공격이 시도된 데이터가 포함되어 있습니다.
    • 본선 진행 시 예선에서 제공한 데이터셋과 다른 새로운 데이터셋을 2번 나누어 제공합니다.
    • 본선 진출자는 본선 당일 제공받은 새로운 데이터셋을 기반으로 탐지 정확도를 측정하고, 재사용 공격에 대한 탐지 알고리즘을 개발해야 합니다.
    • 본선에는 새로운 공격 유형이 추가될 가능성이 있습니다.
    본선 데이터셋 내용
  • KU-CISC2017-OTIDS-2nd
         도스 +  퍼지 + 재사용 공격
  • KU-CISC2017-OTIDS-3rd
         도스 +  퍼지 + 재사용 공격