SOME/IP Intrusion Detection System Using RealTime and Retroactive Anomaly Detection

Takuma Koyama, Masashi Tanaka, Asami Miyajima, Shintaro Ukai, Takeshi Sugashima, Masumi Egawa 

논문 순서
1페이지 : 논문기본정보, abstract, contribution
2페이지 : 논문 결과
3페이지 : 데이터셋 설명, 전처리 방법
4페이지 : 어택시나리오
5페이지 : 사용 모델
6페이지 : 방법론

□SOME/IP protocol의 2가지 communication methods를 이용해 현실적인 공격 시나리오 3가지 제안

•Request/Response method

•Notification Events methods

-Value에 변화가 있을 때 전송되는 Events

-주기적이거나 Value에 변화가 있는 경우 둘 다 전송되는 Events

 

•MITM attack

 

•Send anomaly packets

•Send Normal & anomaly packets

□SOME/IP protocol의 2가지 communication methods의 normal/anomaly dataset

motivation
(1. 형식이 잘못된 패킷이나 프로토콜이 알맞지 않은 데이터는 탐지가 쉽기 때문에 제외한 데이터셋 사용)
우리는 클라이언트가 구독하는 이벤트 그룹에 주기적으로 전송되는 이벤트가 포함되어 있지 않고 전송에 상태 변경이 필요하지 않은 사용 사례를 구현한다.

공격 시나리오
1. connection of the attacker`s device = MITM(Relay) - 패킷을 중간에 가로채 공격 정보 삽입

2. remote intrusion = Anomaly only - 공격자가 직접 공격 정보가 담긴 패킷 전송

3. node modification = Normal & anomaly - normal 패킷 전송 시 공격 패킷 동시 전송

 

 

데이터 셋
Request/Response, Notification Event에 대한 normal, anomaly dataset을 이용
3가지의 Notification Events 사용
1. 서버에 의해 주기적으로 전송되는 Events -> 이미 많은 연구가 진행되어 있는 상태라 본 논문에선 제외
2. Value에 변화가 있을 때 전송되는 Events
3. 주기적이거나 Value에 변화가 있을 때 둘다 전송되는 Events(?)

따라서 RR과 2,3 type에 대한 normal, anomaly 6가지 데이터셋을 이용

25개의 anomaly dataset. 데이터 프레임이 맞지않거나 타이밍 이슈를 제외하고 그럴듯한 공격들로 데이터셋 구성.

 

Normal dataset 설명

 

Normal_RR dataset(6,455 packets)

Normal_RR dataset에서 2개의 ECU는 SOME/IP-SD를 이용해 publish/subscribe => 이거 뭔지 모르겠음.(publish : 상태정보를 알림, subscribe : 정보를 받겠다고 알림)

그리고 RR연결을 SOME/IP를 이용. 응답은 OK이거나 서버가 응답을 할 수 없는 NG를 사용

 

Normal_NEpc dataset의 사용사례(255,128 packets)

1.RR communication에서 같은 service ID나 다른 method ID를 사용하는 경우

2. communication contents에 따른 상태 변화

해당 데이터 셋은 Normal_RR dataset을 포함

 

Normal_NEc dataset의 사용사례(1,722,011 packets)

Normal_NEpc와 같지만 다른 service ID 경우도 포함한다.

마찬가지로 Normal_NEpc 데이터 셋을 포함

 

anomaly dataset 설명

Anomaly_RR dataset은 Normal_RR에 대해 MITM을 실행

Normal_RR에 대한 attack scenario

MITM 공격

ECU2에 연결되어 있는 attacker가 정상 클라이언트/서버 소통과정에서 ARP 테이블 조작해 ARP spoofing 공격

-> 공격자는 publish/subscribe 상태를 SOME/IP-SD를 통해 형성

 

normal + attack

SOME/IP-SD를 통한 정상 서버의 서비스를 공격자가 정보를 요청(subscribe), 공격자는 정상서버와 RR 소통이 가능

공격자는 페이로드 값의 변화가 있는 패턴과 없는 패턴을 포함해 전송

 

only attack

정상 클라이언트와 공격자 모두 SOME/IP-SD를 통해 정상 서버에 subscribe

이 때 정상 서버가 아무것도 보내지 않는다면 공격자는 request를 전송

 

Normal_NEc에 대한 공격 시나리오

클라이언트가 공격 서버로부터 패킷을 받는 경우

- 공격자는 ARP spoofing으로 클라이언트가 사용하는 서버의 MAC address를 조작해 작성 -> 클라이언트가 정상 서버로부터 subscribe 불가능

-공격 서버는 SOME/IP-SD를 이용해 publish/subscribe 형성