@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00208551,
 author = {松林, 勝 and 小山, 卓麻 and 岡野, 靖 and 田中, 政志 and 宮島, 麻美 and Masaru, Matsubayashi and Takuma, Koyama and Yasushi, Okano and Masashi, Tanaka and Asami, Miyajima},
 book = {コンピュータセキュリティシンポジウム2020論文集},
 month = {Oct},
 note = {自動車の制御通信プロトコルとしてController Area Network (CAN) がある．このCANの通信に対してのメッセージ挿入攻撃を検知する手法が多く提案されている．その中には，周期的な送信方式とイベントドリブンな送信方式が混在する「イベント送信付き周期型CAN通信」を対象とした手法がある．その手法は，CANメッセージの送信間隔やペイロードの値・変化量などの正常性を学習し，学習した正常性を基に異常検知を行っている．しかしペイロードの値・変化量のバリエーションは多く，その正常性を網羅的に学習するコストが高い．また学習漏れにより，False Positive (FP) が多く発生するという問題もその手法には存在する．そこで本研究では，イベント送信付き周期型CAN通信を分析し，バリエーションの多い特徴量の学習を行わずとも高精度で挿入攻撃を検知するのに有効な3つの特性を明らかにした．提案手法ではその特性をルール化し，そのルールを用いてイベント送信付き周期型CAN通信への挿入攻撃を検知する．実車に対して挿入攻撃を実施しつつ収集したデータを用いた評価によりTrue Positive Rate = 97.26%，FP Rate = 0.0002%を実現できたことを示す．, Controller Area Network (CAN) is a protocol used in vehicle control networks. It has been proposed that methods for detecting message injection attacks into CAN messages. Some of these are methods for detecting message injection attacks into mixed interval CAN messages that include periodic and sporadic transmissions. These methods detect anomalous CAN messages by learning normality of transmission intervals and payload. However, costs of learning the normality become high. Besides, these methods produce many false positives (FPs). We reveal three characteristics, which are effective to achieve high detection performance without learning normality. Our proposed method defines rules based on the three characteristics and detects message injection attacks to mixed interval CAN messages by using the rules. Our result shows that the proposed method achieved high detection performance: a true positive rate of 97.26% and a FP rate of 0.0002%.},
 pages = {883--890},
 publisher = {情報処理学会},
 title = {イベント送信付き周期型CAN通信に適したルールベース異常検知},
 year = {2020}
}