CN109076016B9

CN109076016B9 - 非法通信检测基准决定方法、决定***以及记录介质

Info

Publication number: CN109076016B9
Application number: CN201880001447.7A
Authority: CN
Inventors: 前田学; 岸川刚; 国宗大介
Original assignee: Panasonic Intellectual Property Corp of America
Current assignee: Panasonic Intellectual Property Corp of America
Priority date: 2017-04-07
Filing date: 2018-02-27
Publication date: 2022-02-15
Anticipated expiration: 2038-02-27
Also published as: EP3609139B1; US20230370480A1; CN109076016B; EP3609139A1; EP3609139A4; WO2018186054A1; CN109076016A

Abstract

提供一种非法通信检测基准决定方法、非法通信检测基准决定***以及程序。非法通信检测所使用的基准消息的决定方法包括：通信模式识别步骤，从与对于车载网络***的攻击消息有关的信息，识别表示与攻击消息的数据值的变化或者通信定时有关的特征的通信模式；通信模式判定步骤，判定被送出到网络的消息是否符合通过通信模式识别步骤识别出的通信模式；基准消息决定步骤，使用通信模式判定步骤的判定结果，决定用于判定被送出的消息是否为攻击消息的基准的基准消息。

Description

非法通信检测基准决定方法、决定***以及记录介质

技术领域

本公开涉及对车载网络中的非法消息的通信进行检测的检测方法等。

背景技术

近年来，在汽车中的***配置有大量的被称为电子控制单元(ECU： Electronic Control Unit，以下也标记为“ECU”)的装置。连接这些ECU 的通信网络被称为车载网络。车载网络存在大量的通信标准。其中最主流的车载网络的标准之一有控制器局域网络(Controller Area Network，以下记为“CAN”)。

在依据CAN标准的网络(以下也称为“CAN网络”)中，通信路径(总线)由2条线缆构成，与总线连接的ECU也称为节点。与总线连接的各节点以被称为帧或者消息的单位来收发数据。另外，在CAN中，不使用表示数据的发送目的地或者发送源的识别符。发送帧的节点(以下也称为 “发送节点”)对各消息附加表示消息的种类的被称为消息ID的ID来进行发送、也即是向总线送出信号。接收消息的节点(以下也称为“接收节点”) 仅接收包含预先确定的消息ID的消息、也即是从总线读取信号。同一ID 的消息以预定的一定周期被发送。

如上述所，在汽车中的***大量配置的ECU分别与CAN网络连接，在彼此交换各种各样的消息的同时进行工作。在此，具有与CAN网络的外部的通信功能的ECU可能会因被从外部攻击等而被劫持，可能会引起对CAN网络发送非法的消息(以后记为“攻击消息”)。这样的被劫持了的 ECU(以下也称为“非法ECU”)可能会通过例如伪装成其他ECU来发送攻击消息，从而非法地控制汽车。作为用于检测这样的所谓的欺骗攻击的方法，例如有专利文献1记载的方法。

在先技术文献

专利文献1：国际公开第2014/115455号

发明内容

发明要解决的技术问题

但是，在专利文献1记载的方法中存在如下问题：仅能够检测正在发生的欺骗攻击，无法判断哪个消息是攻击消息。

本公开是解决上述技术问题的，提供一种为了判定被送出到总线的各个消息是否为攻击消息而被利用为基准的消息的非法通信检测基准决定方法、非法通信检测基准决定***等。

用于解决技术问题的技术方案

为了解决上述技术问题，本公开的一技术方案涉及的非法通信检测基准决定方法，由包括存储部的信息处理***执行，且是包括网络及与所述网络连接的1个以上的电子控制单元的车载网络***中的非法通信的检测所使用的基准消息的决定方法，包括：通信模式识别步骤，从与对于所述车载网络***的攻击消息有关的信息，识别表示所述攻击消息的特征的通信模式；通信模式判定步骤，判定被送出到所述网络的消息是否符合通过所述通信模式识别步骤识别到的通信模式；基准消息决定步骤，使用所述通信模式判定步骤的判定结果，决定判定被送出到所述网络的消息是否为攻击消息的基准所使用的基准消息。

此外，这些总括性或者具体的的技术方案既可以由***、装置、方法、集成电路、计算机程序或者计算机能读取的CD-ROM等非瞬时性的记录介质来实现，也可以由***、装置、方法、集成电路、计算机程序以及记录介质的任意组合来实现。

发明的效果

根据本公开的一技术方案涉及的非法通信检测基准决定方法等，能够决定成为用于判定被送出到总线的个别消息是否为攻击消息的基准的消息。

附图说明

图1是表示实施方式1中的车载网络***的整体结构的框图。

图2是表示CAN协议的数据帧格式的图。

图3是表示本公开中的车载网络***所包含的网关的功能结构的一例的框图。

图4是表示实施方式1中的接收ID列表的数据结构的一例的图。

图5是表示实施方式1中的由网关保持的转送规则的数据结构的一例的图。

图6是表示实施方式1中的非法检测处理功能组的功能结构的一例的框图。

图7是表示实施方式1中的非法检测部的功能结构的框图。

图8是表示实施方式1中的非法检测处理功能组的功能结构的其他例子的框图。

图9是表示实施方式1中的上述车载网络***所包含的ECU的功能结构的一例的框图。

图10是表示实施方式1中的非法检测处理的一例的流程图。

图11表示实施方式1中的转送处理的一例的流程图。

图12是表示实施方式2中的非法检测处理功能组的功能结构的一例的框图。

图13是表示实施方式2中的非法检测处理功能组的功能结构的其他例子的框图。

图14是表示实施方式2中的非法检测处理的一例的流程图。

图15是表示实施方式3中的车载网络***的整体结构的框图。

图16是表示本公开中的车载网络***所包含的网关的功能结构的其他例子的框图。

图17是表示实施方式3中的非法检测处理功能组的功能结构的一例的框图。

图18是表示实施方式3中的非法检测处理功能组的功能结构的其他例子的框图。

图19是表示实施方式3中的服务器的构成的一例的框图。

图20是表示变形例中的非法检测处理功能组的功能结构的一例的图。

图21是表示变形例中的非法检测处理功能组的功能结构的其他例子的框图。

图22是表示变形例中的非法检测处理功能组的功能结构的其他例子的框图。

图23是表示变形例中的非法检测处理功能组的功能结构的其他例子的框图。

图24是表示变形例中的ECU的功能结构的一例的框图。

图25是表示变形例中的ECU的功能结构的一例的框图。

图26是表示变形例中的ECU的功能结构的一例的框图。

具体实施方式

(成为本公开的基础的见解)

当从非法ECU开始发送攻击消息时，在CAN网络中，会在相同的ID 的消息中混合存在正常消息和攻击消息。在这样的状况下，有时正常的消息的发送定时和攻击消息的发送定时极为接近、或者由攻击者有意地使之接近的结果，攻击消息的发送定时也落为允许差内。在这样的情况下，会难以区别正常消息与攻击消息，发生误检测的可能性提高。不仅是对于消息的发送定时，对于消息包含的数据值也会发生同样的情形。

于是，本公开的一技术方案涉及的非法通信检测基准决定方法，由包括存储部的信息处理***执行，且是包括网络及与所述网络连接的1个以上的电子控制单元的车载网络***中的非法通信的检测所使用的基准消息的决定方法，包括：通信模式识别步骤，从与对于所述车载网络***的攻击消息有关的信息，识别表示所述攻击消息的特征的通信模式；通信模式判定步骤，判定被送出到所述网络的消息是否符合通过所述通信模式识别步骤识别到的通信模式；基准消息决定步骤，使用所述通信模式判定步骤的判定结果，决定判定被送出到所述网络的消息是否为攻击消息的基准所使用的基准消息。

由此，能适当地选择用作判定被送出到车载网络***的消息是否为攻击消息的基准的基准消息。其结果，能更高精度地执行各个消息是否为攻击消息的判定。

另外，例如也可以为，在所述通信模式识别步骤中，作为所述通信模式，识别与被送出到所述网络的多个消息的接收时刻有关的模式，在所述基准消息决定步骤中，将根据所述多个消息各自的基于与所述接收时刻有关的模式的接收预定时刻和实际的接收时刻的比较结果而从所述多个消息中选择的一个消息决定为所述基准消息。

由此，通过基于攻击消息与正常消息各自的接收时刻所表现的特征，能更高精度地选择基准消息。

另外，例如也可以为，在所述通信模式识别步骤中，作为所述通信模式，识别与被送出到所述网络的多个消息所包含的数据值的变化有关的模式，在所述基准消息决定步骤中，将基于所述多个消息各自包含的数据值从所述多个消息中选择的一个消息决定为所述基准消息。更具体而言，也可以为，与所述数据值的变化有关的模式是与所述多个消息所包含的表示相同种类的数据量的多个消息各自所包含的所述数据值的变化的有无有关的模式、与所述表示相同种类的数据量的多个消息所包含的数据量的增加或者减少的比例有关的模式、或者与所述表示相同种类的数据量的消息所包含的数据值和表示其他种类的数据量的消息所包含的数据值之间的差量或比有关的模式。

由此，通过基于攻击消息与正常消息各自的数据值所表现的特征，能更高精度地选择基准消息。

另外，例如也可以为，进一步，在所述基准消息决定步骤中，在由于不存在所述通信模式判定步骤的判定结果判定为不符合通信模式的消息而无法决定基准消息的情况下，不使用所述通信模式判定步骤的判定结果而按照预定规则来决定所述基准消息。或者，也可以为，进一步，在所述基准消息决定步骤中，在存在多个所述通信模式判定步骤的判定结果判定为不符合通信模式的消息的情况下，将按照预定规则从判定为不符合所述通信模式的多个消息中选择的一个消息决定为所述基准消息。更具体而言，也可以为，所述预定规则是与所述被送出的消息的发送时刻或接收时刻、或者数据值有关的预定规则。

由此，即使在仅基于接收时刻或者数据值的特征无法选择基准消息的候选的情况下，也能够准备基准消息来执行非法检测。

另外，例如也可以为，在所述通信模式识别步骤中，通过取得对与所述攻击消息有关的信息执行统计学的处理而得到的模型来作为所述通信模式，从而识别所述通信模式，所述非法通信检测方法还包括使用所述通信模式算出接下来接收的消息所包含的数据值的预测值的数据值预测步骤，在所述通信模式判定步骤中，基于所述预测值与所述接收到的消息包含的数据值的比较结果，判定该接收到的消息是否符合所述通信模式。更具体而言，也可以为，在所述通信模式识别步骤中，作为所述模型，取得AR (Auto Regressive，自回归)模型、ARMA(AutoRegressive Moving Average，自回归移动平均)模型、HMM(Hidden Markov Model，隐马尔可夫)或者贝叶斯(Bayesian，贝叶斯)模型。

由此，在各个消息是否为攻击消息的判定中使用被预测为攻击消息可能具有的值的数据值，因此，即使是不是如实际有过的攻击模式那样的攻击也能够检测的可能性提高。因此，能够更可靠地保护车载网络***的安全。

另外，本公开的一技术方案涉及的非法通信检测基准决定***，是包括网络及与所述网络连接的1个以上的电子控制单元的车载网络***中的非法通信的检测所使用的基准消息的决定***，包括：1个以上的处理器；和存储部，所述1个以上的处理器，从与对于所述车载网络***的攻击消息有关的信息，识别表示与所述攻击消息的数据值的变化或者通信定时有关的特征的通信模式，判定被送出到所述网络的消息是否符合识别出的所述通信模式，使用是否符合所述通信模式的判定结果，决定判定被送出到所述网络的消息是否为攻击消息的基准所使用的基准消息。

另外，本公开的一技术方案涉及的程序是用于在上述的非法通信检测基准决定***中使所述1个以上的处理器实施上述的非法通信检测基准决定方法的任一方法的程序。

以下，参照附图对实施方式进行具体的说明。

此外，以下说明的实施方式均是表示总括性或者具体的例子。以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置以及连接方式、步骤、步骤的顺序等是一个例子，并不是意在限定本公开。以下实施方式的构成要素中的未记载在表示最上位概念的独立权利要求项的构成要素作为可任意包含的构成要素来说明。

(实施方式1)

[1.概要]

在此，将进行所发送的消息是否为攻击消息的判定的车载网络***用作例子，参照附图对实施方式1进行说明。

[1.1车载网络***的整体结构]

图1是表示一实施方式中的车载网络***10的整体结构的框图。

车载网络***10由CAN网络构成，包括ECU100(图中的ECU100a、 ECU100b、ECU100c以及ECU100d，以下将这些ECU总括性地也称为 ECU100，或者在指不特定的一部分时也称为ECU100)、总线200(图中的总线200a以及总线200b，以下将这些总线总括性地也称为总线200，或者在指不特定的一部分时也称为总线200)以及网关300。

ECU100a与发动机101连接，ECU100b与制动器102连接，ECU100c 与门开闭传感器103连接，ECU100d与窗开闭传感器104连接。ECU100 取得各自连接的设备的状态，将表示所取得的状态的消息周期性地送出至总线200。例如ECU100a取得作为发动机101的一状态的转速，对包含表示该转速的数据值的消息附加预定ID而送出至总线200。另外，各ECU100 从总线200读出其他ECU100发送的消息，根据附加于消息的ID来选择性地进行接收。对于该选择性的接收，将在后面进行描述。

网关300将连接有ECU100a及ECU100b的总线200a与连接有 ECU100c及ECU100d的总线200b相连接。网关300具有将从一方的总线接收到的消息转送至另一方的总线的功能。另外，在CAN网络上，网关 300也是一个节点。

此外，车载网络***10是用于对进行消息是否为攻击消息的判定的非法通信检测***等能够应用的对象进行说明的例子，其应用对象不限定于车载网络***10。

[1.2消息的数据格式]

图2是表示CAN协议的消息的格式的图。在此，示出CAN协议中的标准ID格式的消息。

消息包括帧起始(Start Of Frame，图中及以下也称为SOF)、ID字段、远程传输请求(Remote Transimission Request，图中及以下也称为 RTR)、标识符扩展(IDentifier Extension，图中及以下也称为IDE)、预留位(图中及以下也称为r)、数据长度码(图中及以下也称为DLC)、数据字段、循环冗余校验(Cycric Redundancy Check，图中及以下也称为 CRC)时序、CRC定界符(图中为左边的DEL)、应答(Acknowledgement，图中及以下也称为ACK)间隙、ACK定界符(图中为右边的DEL)、帧结束(图中及以下也称为EOF)。

SOF是1比特的显性。所谓显性(优性之意)是指，在数据传输使用数字方式的CAN网络中，在构成总线以发送“0”的值的两条线缆上施加了电压的状态、或者所发送的该“0”的值。与此相对，在构成总线的两条线缆上施加了电压以发送“1”的值的状态、或者所发送的该“1”的值被称为的隐性(劣性之意)。在从两个节点向总线同时发送了“0”的值和“1”的值的情况下，“0”的值优先。空闲时的总线为隐性。各ECU100通过使总线200的状态从隐性向显性变化来开始消息的发送，其他ECU100读取该变化来进行同步。表示构成图2中的消息的显性或者隐性的线为实线的部分表示可取得显性或者隐性的各值。SOF是固定为显性的，因此，显性的线为实线，隐性的线为虚线。

所谓ID是指表示消息包含的数据的种类的11比特(bit)的值。另外，在CAN中设计为：在多个节点同时开始了发送的消息之间的通信仲裁中， ID值更小的消息为更高的优先级。

所谓RTR是指表示帧为消息(数据帧)的1bit的显性。

IDE和r分别是1bit的显性。

DLC是表示接着的数据字段的长度的4bit的值。

数据字段是表示所发送的数据的内容的值，最大长度为64bit，能够以 8bit为单位来调整长度。与对所发送的数据的该部分的分配有关的规格依赖于车种和/或制造者。

CRC序列是根据SOF、ID字段、控制字段、数据字段的发送值算出的15bit的值。

CRC定界符是1bit的固定为隐性的、表示CRC序列的结束的分隔符号。接收节点通过将从接收到的消息的SOF、ID字段、控制字段以及数据字段的值算出的结果与CRC序列的值进行比较来判定有无异常。

ACK间隙的长度是1bit，发送节点用该部分发送隐性。接收节点如果到CRC序列为止都正常地完成了接收，则发送显性来作为确认响应。由于显性优先，因此，若1个消息的通信到CRC序列为止都是正常进行的，则发送ACK间隙的期间的总线200为显性。

ACK定界符是1bit的固定为隐性的、表示ACK间隙的结束的分隔符号。

EOF是7bit的固定为隐性的，表示消息结束。

[1.3网关的构成]

图3是表示车载网络***10所包含的网关300的构成的图。网关300 具备帧收发部310、帧解释部320、接收ID判定部330、接收ID列表保持部340、帧处理部350、转送规则保持部360、非法检测处理功能组370、帧生成部380。

此外，这些构成要素是功能构成要素，网关300例如可以作为具备由处理器实现的处理部、由半导体存储器等实现的存储部、由输入输出端口实现的输入输出部等的信息处理装置来提供。上述所举出的各功能构成要素可通过处理部读出及执行存储部所保持的程序、存储部保持预定数据或经由输入输出部收发数据、或者这些的组合来实现。

帧收发部310相对于总线200a、200b分别收发遵循CAN协议的消息。更具体而言，帧收发部310以每1bitt的方式读出被送出到总线200的消息，将所读出的消息转送至帧解释部320。另外，帧收发部310根据由帧生成部380接受到通知的总线信息，将消息按每1bit地送出到总线200a及 200b。通过将从总线200a接收到的消息发送至总线200b，将从总线200b 接收到的消息发送至总线200a，从而执行总线200间的消息的转送。

帧解释部320通过帧收发部310接收消息的值，以与CAN协议中的各字段进行映射(mapping)的方式进行帧(消息)的解释。在该解释中，帧解释部320将判断为ID字段的值的一系列值转送给接收ID判定部330。

帧解释部320进一步根据从接收ID判定部330通知的判定结果，决定是将消息的ID字段的值及在ID字段以后出现的数据字段转送给帧处理部350、还是中止消息的接收。

另外，帧解释部320在判定为不遵循CAN协议的消息的情况下，为了发送错误帧而要求帧生成部380。错误帧是指在CAN网络上发生了错误的情况下从节点发送的、与上述消息不同的、由CAN协议规定的预定格式的帧。当错误标志被送出到总线时，该网络中的最近的消息的发送被中断。

另外，帧解释部320在判定为接收到其他节点发送的错误帧的情况下，废弃读取中的消息。

接收ID判定部330从帧解释部320接受ID字段的值，按照接收ID 列表保持部340保持的消息ID的列表，进行是否接收所读出的消息的判定。接收ID判定部330将该判定的结果通知给帧解释部320。

接收ID列表保持部340保持网关300接收的消息ID的列表(以下也称为“接收ID列表”)。图4是表示接收ID列表的数据结构的一例的图。接收ID列表的详细情况将使用该例子来在后面进行描述。

帧处理部350按照转送规则保持部360保持的转送规则，根据接收到的消息的ID，决定转送目的地的总线，将转送目的地的总线、由帧解释部 320通知的消息ID以及要转送的数据交给帧生成部380。

另外，帧处理部350将由帧解释部320接受到的消息发送给非法检测处理功能组370，该消息要求是否为攻击消息的判定。帧处理部350不转送由非法检测处理功能组370判定为是攻击消息的消息。

转送规则保持部360保持关于各总线的数据转送的规则(以下也称为 “转送规则”)。图5是表示转送规则的数据结构的一例的图。转送规则的详细情况将使用该例子在后面进行描述。

非法检测处理功能组370是判定接收中的消息是否为攻击消息的功能组。非法检测处理功能组370所包含的功能结构的详细情况将在后面进行描述。

帧生成部380根据来自帧解释部320的发送错误帧的要求，构成错误帧来使帧收发部310进行送出。

另外，帧生成部380使用由帧处理部350接受的消息ID及数据来构成消息帧，与总线信息一起发送给帧收发部310。

[1.4接收ID列表]

图4是表示作为网关300接收的消息ID的列表的接收ID列表的数据结构的一例的图。在该例子中，各行包含作为网关300从总线200接收来进行处理的对象的消息的ID。该例子的由接收ID列表进行的设定中，网关300接收消息ID为“1”、“2”、“3”或者“4”的消息。具有接收ID列表所不包含的ID的消息的接收被中止。此外，该例子中的ID的值及列表所包含的ID的个数是用于说明的例子，并不是限定网关300中使用的接收ID 列表的结构。

[1.5转送规则]

图5表示网关300中保持的转送规则的数据结构的一例。在该例子中，各行包含消息的转送源的总线和转送目的地的总线(在该例子中，由与参照标号相同的名称200a及200b表示)的组合、以及转送对象的消息的ID。在该例子的由转送规则进行的设定中，无论ID是什么，网关300都将从总线200a接收的消息转送至总线200b。另外，从总线200b接收的消息中，仅ID为“3”的消息被转送至总线200a。

[1.6非法检测处理功能组的构成]

图6是表示网关300具备的非法检测处理功能组370的功能结构的框图。非法检测处理功能组370包括非法检测部371、消息保存处理部372、攻击消息信息保持部373、通信模式(pattern)识别部374、通信模式判定部375。

此外，这些功能构成要素也可以通过在网关300中由处理部读出及执行保持于存储部的程序、由存储部保持预定数据或经由输入输出部收发数据、或者它们的组合来实现。

非法检测部371判定从帧处理部350接受到的消息是否为攻击消息。

非法检测部371具有多个种类的判定功能。在各判定功能中，参照预先设定而保持于存储部的不同的规则(未图示)，检查使用该规则接收到的消息，也即是判定各消息是否符合该规则。并且，基于各判定功能的判定结果，判定接收到的消息是否为攻击消息。若接收到的消息是攻击消息，则非法检测部371检知为发生非法(不正常)。

图7示出非法检测部371的构成例。图7是表示非法检测部371的功能结构的一例的框图。在该例子中，非法检测部371具有检查消息的预定点的6种判定功能。具体而言，是检查消息的ID字段的功能(ID判定功能)、检查消息的数据长度的功能(数据长度判定功能)、检查发送消息的周期(时间间隔)的功能(发送周期判定功能)、检查发送消息的频度的功能(发送频度判定功能)、检查消息的数据字段的值(数据值)的功能(数据值判定功能)、基于这些判定功能的判定结果、发送周期、频度、数据值、或者数据值的变化量等识别车辆的状态而检查车辆状态的功能(车辆状态判定功能)。进一步，非法检测部371具有如下的综合判定功能：根据这些判定功能的判定结果综合地判定所接收到的消息是否为攻击消息。综合判定功能的结果成为非法检测部371的非法检测的结果。

此外，网关300具备的这些功能构成要素也可以通过在网关300中由处理部读出及执行保持于存储部的程序、由存储部保持预定数据或经由输入输出部收发数据、或者这些的组合来实现。

返回图6的说明，非法检测部371对通信模式判定部375要求进行接收到的消息是否符合攻击消息的通信模式的判定。

消息保存处理部372接受非法检测部371的判定结果，在判定为接收到的消息是攻击消息、且需要保存的情况下，向攻击消息信息保持部373 发送并使攻击消息信息保持部373保持接收到的攻击消息、接收到攻击消息的时刻、与具有同一ID或者特定的不同的ID的其他消息的接收收时间的差、数据值的变化量等的关于攻击消息的信息。

攻击消息信息保持部373保持与由消息保存处理部372指示了保存的攻击消息有关的信息。具体而言，被存在于网关300具备的存储部。另外，攻击消息信息保持部373根据来自通信模式识别部374的要求，输出与保持的攻击消息有关的信息。

通信模式识别部374从攻击消息信息保持部373取得与攻击消息有关的信息，识别在接收到的攻击消息中发现的模式(以下记为“通信模式”)。

通信模式是指例如与数据值的变化有关的模式。作为更具体的例子，可举出与表示同一ID、也即是相同种类的数据值的数据字段的值(既有时为整体，也有时为特定部分的值)的变化的有无有关的模式、与增加或者减少的量、比例或者频度有关的模式、与其他特定ID的消息之间的数据值的差量或比有关的模式。

另外，例如通信模式是指与攻击消息的通信定时有关的模式，例如可举出与同一ID的多个消息的实际发送时刻的间隔的偏差有关的模式、与某ID的消息的消息彼此或者某ID的消息和其他特定ID的消息之间的发送时刻的差量有关的模式。作为更具体的例子，也可以作为攻击消息在紧接着正常消息之前或之后被发送的模式、或者正常消息和攻击消息空开一定时间被发送的模式来被识别。

为了识别这样的通信模式，通信模式识别部374从攻击消息信息保持部373取得与攻击消息有关的信息。

所谓与攻击消息有关的信息，是指各个攻击消息的数据值、接收时刻等的用于上述通信模式的识别的信息。

通信模式识别部374经过所取得的信息的比较、统计性的处理等来导出并识别如上所述的通信模式。与用于识别的攻击消息有关的信息的量例如也可以考虑识别处理的负荷和精度来决定。

另外，通信模式识别部374在识别了通信模式之后，将表示作为识别结果而得到的通信模式的信息、和该通信模式的判定所需的信息通知给通信模式判定部375。所谓通信模式的判定所需的信息，例如是指若是数据字段的特定部分的值为一定的值的模式，则为该部分以及值，若是发现数据值以一定比例变化(增加或者减少)的模式，则为其比例，若是数据值与其他特定ID的消息的数据值为一定的差的模式，则为该一定的差量。

这样的由通信模式识别部374进行的通信模式的识别可以在各种定时来执行。例如，也可以是与关于攻击消息的信息的追加相关联的定时。更具体而言，既可以每当攻击消息信息保持部373新保持关于攻击消息的信息时被执行，或者也可以在与攻击消息信息保持部373保持的攻击消息有关的信息达到了一定量(容量或者件数)时被执行。另外，也可以是与关于攻击消息的信息的追加不关联的定时。例如，既可以每一定的经过时间时被执行，也可以是车辆变为了预定状态时、或者车辆的状态进行了预定变化时。另外，也可以是满足了组合如这些的状况的条件时。执行识别的定时也可以例如考虑识别处理的负荷、通信模式的追加或者更新的必要性来决定。

通信模式判定部375根据来自非法检测部371的要求，判定接收到的消息是否符合作为通信模式识别部374的识别结果而得到的通信模式。

通信模式判定部375在关于接收到的消息对通信模式的符合的判定中，除了该判定对象的接收到的消息以外，还例如使用更早接收到的消息、从通信模式识别部374通知的表示识别到的通信模式的信息、通信模式之外的判定所需的信息等。

例如，对于与数据字段的特定部分的值为一定值的通信模式相符合的判定，可基于接收到的消息的数据字段的值是否与从通信模式识别部374 通知的该部分及该部分的值一致来进行。

另外，例如对于与数据值以一定比例或者量增加或者减少的模式相符合的判定，可以算出前一个接收到的消息的数据值与判定对象的消息的数据值的差量或者比，基于该算出结果是否与从通信模式识别部374通知的变化的比例或者量相匹配来进行。

另外，例如对于与数据值相对于其他特定ID的消息的数据值为一定的差或者比的模式相符合的判定，可以算出接收到的消息的数据值与以对应的周期接收到的其他特定ID的消息的数据值的差或者比，基于该算出结果是否与从通信模式识别部374通知的差或者比一致来进行。

另外，例如对于与攻击消息在紧接着其他消息之前或者之后被发送的模式、或者在经过一定时间后被发送的模式相符合的的判定，可以基于该其他消息的发送时刻与判定对象的接收到的消息的发送时刻之的差量是否处于预定范围内来进行。此外，在此的其他消息既可以是同一ID的前后的消息，也可以是其他特定ID的消息。

另外，通信模式识别部374识别与数据字段的值的变化或者通信定时相关的通信模式，通信模式判定部375判定接收到的消息是否符合该通信模式，但网关300具备的非法检测处理功能组的构成并不限定于此。网关 300也可以代替非法检测处理功能组370而具备例如图8所示那样的、还包括通信模式预测部376a的非法检测处理功能组370a。图8是表示本实施方式中的非法检测处理功能组的功能结构的其他例子的框图。对于非法检测处理功能组370a的功能构成要素中的、与非法检测处理功能组370 同样的部分，使用相同的参照标号来表示，省略其详细的说明。

在图8中，通信模式识别部374a使用统计处理或者概率理论，取得关于攻击消息的信息的AR(Auto Regressive，自回归)模型、ARMA(Auto Regressive Moving Average，自回归移动平均)模型、HMM(Hidden Markov Model，隐马尔可夫模型)、或者贝叶斯模型(Bayesian Inference，贝叶斯推理)等模型，将该模型作为通信模式。

通信模式预测部376a将通信模式识别部374a识别出的模型用作通信模式，算出与接收的消息的数据值或者通信定时有关的预测值。

通信模式判定部375a根据通信模式预测部376a算出的预测值和关于接收到的消息的信息，判定该接收到的消息是否符合通信模式。

此外，到此为止，说明了通信模式判定部375或者通信模式判定部375a 判定是否符合通信模式。该“符合”这一用语不限定于仅在被比较的数据值或者时刻的一致时判定为符合的含义。例如，在本公开中使用“符合”这一用语意在表达根据处于预定的允许差内而判定为符合。

例如，对于与数据字段的特定部分的值为一定的通信模式相适合，也可以不是与该一定的值是否一致，而是基于是否落入从该值起算的事前设计的容限内来进行判定。

另外，例如对于与数据值以一定的比例增加的通信模式相适合，也可以基于从以该一定的比例增加后的结果的值起算是否落入事前设计的容限内来进行判定。同样地，对于与以一定的比例减少的通信模式相适合，也可以基于从以该一定的比例减少后的结果的值起算是否落入事前设计的容限内来进行判定。

另外，例如对于与相对于其他ID的消息的数据值加上了一定的值而得到的值的通信模式相符合，也可以基于从对该其他ID的消息的数据值加上了一定的值后的结果的值起算是否落入事前设计的容限内来进行判定。同样地，对于与对其他ID的消息的数据值减去了一定的值而得到的值的通信模式相符合，也可以基于从该其他ID的消息的数据值减去一定的值后的结果的值起算是否落入事前设计的容限来进行判定。

另外，例如对于与攻击消息在紧接着其他消息的发送之前被发送的通信模式相符合，也可以基于从事前定义的紧接着之前的时刻起算是否落入事前设计的容限来进行判定。同样地，对于与攻击消息在紧接着其他消息的发送之后被发送的通信模式相符合，也可以基于从事前定义的紧接着之后的时刻起算是否落入事前设计的容限来进行判定。对于与攻击消息在从其他消息的发送经过一定时间后被发送的通信模式相符合，也可以基于从其他消息的发送经过一定时间后的时刻起算是否落入事前设计的容限来进行判定。

进一步，在由通信模式预测部376a预测数据值的情况下，也可以基于接收到的消息的数据值是否落入从预测值起算的事前设计的容限 (margin)内来判定是否与通信模式一致。另外，在由通信模式预测部376a 预测了通信定时的情况下，也可以基于接收到的消息的发送或者接收的时刻与其他消息的发送或者接收时刻的差是否落入事前设定的阈值以下来判定是否与通信模式一致。

此外，消息保存处理部372设为了在接收到的消息是攻击消息、且判定为需要保存的情况下保存关于攻击消息的信息，但不限定于此。也可以在由通信模式识别部374或者通信模式识别部374a的识别中也需要关于正常消息的信息的情况下，消息保存处理部372还保存关于正常消息的信息。在该情况下，例如也可以是关于各消息的非法检测部371的判定结果作为与各消息有关的信息而一并被保存。

此外，接收到的消息被保存于网关300的存储部。但是，存储部的容量是有限的，因此，关于是否需要保存消息，在例如使用基于空开间隔的攻击消息的信息也能够识别通信模式的识别方法的情况下，对于各攻击消息判定是否需要保存，以使得所保存的消息不会多到所需以上的数量。或者，也可以对保存于存储部的消息的件数或者容量预先设定上限，每当产生保存对象的消息时，以从旧的消息开始消去、先入先出的方式进行消息的保存管理。

[1.7ECU的构成]

图9是表示车载网络***10所包含的ECU100的功能结构的框图。 ECU100具备帧收发部110、帧解释部120、接收ID判定部130、接收ID 列表保持部140、帧处理部150、数据取得部170、帧生成部180。

此外，这些构成要素是功能构成要素，ECU100作为具备例如由处理器实现的处理部、由半导体存储器等实现的存储部、由输入输出端口实现的输入输出部等的信息处理装置来被提供。上述举出的各功能构成要素可通过由处理部读出及执行保持于存储部的程序、存储部保持预定数据或经由输入输出部收发数据、或者这些的组合来实现。

帧收发部110相对于总线200收发遵循CAN协议的消息。更具体而言，帧收发部110以每1bit的方式读出被送出到总线200的消息，将读出的消息转送至帧解释部120。另外，帧收发部110将由帧生成部180接受到通知的消息送出至总线200。

帧解释部120通过帧收发部110接受消息的值，以与CAN协议中的各字段进行映射的方式进行帧(消息)的解释。帧解释部120将在该解释中判定为ID字段的一系列的值转送给接收ID判定部130。

帧解释部120进一步根据从接收ID判定部130通知的判定结果，决定是将消息的ID字段的值及在ID字段以后出现的数据字段转送给帧处理部150、还是中止消息的接收。

另外，帧解释部120在判断为是未遵循CAN协议的消息的情况下，为了发送错误帧而对帧生成部180进行要求。

另外，帧解释部120在判断为接收到其他节点发送的错误帧的情况下，废弃读取中的消息。

接收ID判定部130从帧解释部120接受ID字段的值，按照接收ID 列表保持部140保持的消息ID的列表，进行是否接收读出的消息的判定。接收ID判定部130将该判定的结果通知给帧解释部120。

接收ID列表保持部140保持作为ECU100接收的消息ID的列表的接收ID列表。接收ID列表与图4是同样的，在此省略说明。

帧处理部150进行与接收到的消息的数据相应的处理。处理的内容根据各ECU100而不同。例如，在ECU100a中，在时速超过30km时，当接收到表示门打开着的消息时，执行用于鸣叫报警音的处理。ECU100c若在接收到表示未开启制动器的消息时门打开，则执行用于鸣叫报警音的处理。这些处理是以说明为目的举出的例子，ECU100也可以执行上述以外的处理。帧处理部150使帧生成部180生成为了执行这样的处理而要送出的帧。

数据取得部170取得表示与各ECU100连接的设备状态或者传感器的计测值等的输出数据，并转送至帧生成部180。

帧生成部180按照从帧解释部120通知的发送错误帧的要求，构成错误帧并发送给帧收发部110。

另外，帧生成部180对由数据取得部170接受到的数据的值附加预先确定的消息ID来构成消息帧，并发送给帧收发部110。

[1.8非法检测处理]

图10是表示非法检测处理功能组370的非法检测处理的一例的流程图。

首先，非法检测部371从帧处理部350接收消息(步骤S1001)。

接收到消息的非法检测部371利用ID判定功能等各种判定功能，进行该消息是攻击消息、还是正常消息的判定。并且，非法检测部371将该判定结果通知给消息保存处理部372。此时，非法检测部371进一步向通信模式判定部375请求判定接收到的消息是否符合攻击消息的通信模式。非法检测部371的综合判定功能根据ID判定功能等各种判定功能的判定结果和通信模式判定部375的判定结果，综合进行关于该消息的最终的判定(步骤S1002)。

消息保存处理部372在从非法检测部371接收到所接收的消息是攻击消息这一内容的通知来作为最终的判定结果的情况下(步骤S1003：是)，进入步骤S1004。在消息保存处理部372接收到的通知是所接收到的消息不是攻击消息这一通知的情况下，非法检测处理功能组370的非法检测处理结束(步骤S1003：否)。

在步骤S1003中为“是”的情况下，消息保存处理部372使攻击消息信息保持部373保持关于攻击消息的信息(步骤S1004)。

在向攻击消息信息保持部373的关于攻击消息的信息被保存之后，通信模式识别部374判定执行通信模式的识别的条件是否满足(步骤S1005)。对于是否需要识别的判定，例如可基于所保持的攻击消息的件数是否处于能够进行通信模式的识别的程度来执行。

在步骤S1005中判定为通信模式识别部374需要识别通信模式的情况下(步骤S1005：是)，通信模式识别部374从与攻击消息信息保持部373 所保持的攻击消息相关联的信息识别攻击模式(步骤S1006)。

在步骤S1005中判定为通信模式识别部374不需要识别通信模式的情况下(步骤S1005：否)，非法检测处理功能组370的非法检测处理结束。

识别到的通信模式被保存在网关300的存储部，由通信模式判定部375 或者通信模式判定部375a在对接收消息的判定时进行参照。并且，该判定的结果被用于非法检测处理(步骤S1002)中的综合判定功能。由此，各个消息是否为攻击消息的判定能以更高的精度来执行。

此外，非法检测处理功能组370中的上述非法检测处理中，由非法检测部371进行的非法检测的步骤和由通信模式判定部375或者通信模式判定部375a进行的判定步骤针对各接收消息来执行，但其以外的步骤在步骤 S1003或者步骤S1005的预定条件满足了情况下被执行，因此，并不必须针对各接收消息执行。

另外，设为非法检测部371根据ID判定功能等各种判定功能的判定结果和通信模式判定部375的判定结果，综合地执行接收消息是否为攻击消息的最终的判定来进行了说明，但不限定于此。例如，也可以根据各种判定功能的判定结果暂且进行判定，根据该判定结果进行通信模式判定部 375的判定，然后，进行最终的判定。另外，相反地，也可以先进行通信模式判定部375的判定，根据其结果进行ID判定功能等各种判定功能的判定。

另外，也可以按接收到的各消息决定所执行的判定。由此，对于根据接收到的消息而例如仅通过非法检测部371中的ID判定功能等各种判定功能的判定即可的消息，能够使得与其结果无关地不执行通信模式判定部 375的判定。另外，对于仅通过通信模式判定部375的判定即可的消息，能够使得与其结果无关地不执行非法检测部371中的各种判定功能的判定。

由此，能够根据判定结果和/或接收到的消息，省略各种判定功能或者通信模式判定部375的判定处理，因此，能够期待非法检测处理功能组370 整体的判定处理的高速化以及省电化的效果。

[1.9转送处理]

图11是表示网关300进行的转送处理的一例的流程图。该转送处理的内容与转送的方向无关而实质上是共同的处理，因此，以下对于该转送处理，以网关300将从总线200a接收到的消息转送给总线200b的情况为例进行说明。

首先，帧收发部310从总线200a读出消息(步骤S1101)。帧收发部 310将读出的消息的各字段的数据转送给帧解释部320。

接着，帧解释部320与接收ID判定部330协同地根据读出的消息的 ID字段的值(消息ID)判定是否为接收并处理的对象的消息(步骤S1102)。在帧解释部320判定为不是要处理的对象的消息的情况下(步骤S1102：否)，不进行该消息的转送。

帧解释部320在步骤S1102中判断为是要接收并处理的对象的消息的情况下(步骤S1102：是)，向帧处理部350转送消息内的各字段的值。然后，帧处理部350按照保持于转送规则保持部360的转送规则，决定转送目的地的总线(步骤S1103)。

帧处理部350将从帧解释部320接受到的消息内的各字段的值通知给非法检测处理功能组370，要求是否为攻击消息的判定。

非法检测处理功能组370根据被通知的消息的各字段的值判定所通知的消息是否为攻击消息(步骤S1104)，将其判定的结果通知给帧处理部 350。在非法检测处理功能组370判定为是攻击消息的情况下(步骤S1104：是)，不进行该消息的转送。

在步骤S1104中判定为消息不是攻击消息而是正常消息的情况下(步骤S1104：否)，帧处理部350向帧生成部380要求将该消息转送至在步骤 S1103中决定的转送目的地的总线。帧生成部380接受来自帧处理部350 的要求，生成消息以使得所指定的转送目的地进行接收，使帧收发部310 送出该消息(步骤S1105)。

此外，在上述的例子中，在接收到的消息的转送目的地的决定(步骤 S1103)之后进行该消息是否为攻击消息的判定(步骤S1104)，但不限定于此。也可以在接收到的消息是否为攻击消息的判定之后，进行该消息的转送目的地的决定。另外，也可以并行地进行接收到的消息的转送目的地的决定和是否为攻击消息的判定。

[1.10效果]

在本实施方式中，非法检测处理功能组370监视在车载网络***的网络中流动的消息，判定接收到的消息是否与通信模式一致，由此判定是否为攻击消息。所谓通信模式是指表示攻击消息的特征的、与消息的数据值的变化或者通信定时有关的模式。这样的通信模式可以基于与已经判定为攻击消息的消息有关的信息来识别取得。由此，对于难以仅根据如在以往的非法检测的技术中使用的例如与一个接收消息有关的信息判定是正常消息还是攻击消息的消息，也能够以更高的精度进行判定。其结果，车载网络***的安全性提高。

(实施方式2)

[2.概要]

作为实施方式2，参照附图对如下的非法检测处理功能组进行说明，即，将上述通信模式利用在为了算出与非法检测处理的对象的接收消息有关的信息、也即是接收到的消息的数据值或者接收时刻而被利用为基准的消息(以下也称为基准消息)的决定中。这样的非法检测处理功能组可以代替图3中的非法检测处理功能组370而包含在网关中。此外，包含该非法检测处理功能组的网关以及具备该网关的车载网络***与实施方式1基本上是同样的即可，因此，省略对于其构成的说明。

[2.1非法检测处理功能组的构成]

图12是表示本实施方式中的非法检测处理功能组370b的功能结构的框图。在图12中，对于与图6相同的构成要素使用相同的标号，并省略说明。另外，对于相同的构成要素的一部分省略图示。以下，对于非法检测处理功能组370b，以与非法检测处理功能组370的不同点为中心进行说明。

非法检测处理功能组370b除了实施方式1中的非法检测处理功能组 370的结构之外，还包括基准消息决定部377b以及基准消息候选保持部 378b。另外，非法检测处理功能组370b中，代替非法检测部371而包括非法检测部371b，代替通信模式判定部375而包括通信模式判定部375b。这些构成要素也是功能构成要素，可通过在网关中由处理部读出及执行保持于存储部的程序、由存储部保持预定数据或经由输入输出部收发数据、或者它们的组合来实现。

基准消息决定部377b决定在由非法检测部371b的发送周期判定功能进行的以同一ID从前一消息的发送时间之差的算出、以及由数据值判定功能进行的以同一ID从前一消息的变化量的算出中用作基准的基准消息。

例如关于周期性地发送的消息，在接收预定时刻T的前后考虑了时间长度α的容限的情况下，有时会在该容限内发送多个消息。此时，基准消息决定部377b从这些多个消息决定用作基准消息的消息。

非法检测部371b在从接收到的消息识别到转变到了接下来的接收周期时，对基准消息决定部377b要求取得基准消息。

基准消息决定部377b从基准消息候选保持部378b取得与成为基准消息的候选的消息有关的信息，从该候选决定用作基准消息的消息并通知给非法检测部371b。

基准消息决定部377b在决定基准消息时，向信模式判定部375b通知基准消息的候选。

通信模式判定部375b执行作为候选的各消息是否与某一通信模式一致、或者与各通信模式的接近度的判定。

基准消息决定部377b根据通信模式判定部375b判定的结果，从候选除去判定为与某一通信模式一致、或者接近到超过预定程度的消息。在该阶段剩余的候选的消息为一个的情况下，基准消息决定部377b将该消息决定为基准消息。另外，基准消息决定部377b在候选中剩下多个消息的情况下，按照事前决定的规则决定基准消息。

也可以按照事前决定的规则，例如将实际的接收时刻与接收预定时刻 T最接近的消息决定为基准消息。另外，例如也可以在候选的消息中，将在比接收预定时刻T晚的时刻发送了的、实际的接收时刻与接收预定时刻 T最接近的消息决定为基准消息。或者相反地，也可以将在比接收预定时刻T早的时刻接收到的、实际的接收时刻与接收预定时刻T最接近的消息决定为基准消息。作为又一其他例子，也可以根据在前一个或者前两个被发送了的消息相对于接收预定时刻T是晚还是早，来切换是选择比接收预定时刻T晚的时刻的消息、还是选择比其早的时刻的消息。另外，也可以根据消息是否被连续发送了来切换是选择实际的接收时刻更接收预定时刻 T的消息、还是选择更远离接收预定时刻T的消息。

另外，事前决定的规则也可以是使用数据值而决定基准消息的规则。

例如既可以将与具有同一ID或者特定的不同的ID的、表示相同种类的数据量的其他消息的数据值接近的消息决定为基准消息，也可以将包含与从表示相同种类的数据量的其他消息的数据值算出的值接近的数据值的消息决定为基准消息。在数据的变化量能够预测的情况下，也可以与其预测值相比，将接近的数据值的消息决定为基准消息。

基准消息候选保持部378b保持由基准消息决定部377b提示的基准消息候选。

非法检测部371b根据接收到的消息，将与成为基准消息的候选的消息有关的信息通知给基准消息候选保持部378b。基准消息候选保持部378b 预先保持与成为从非法检测部371b接受到通知的基准消息的候选的消息有关的信息，根据来自基准消息决定部377b的要求，将与成为基准消息的候选的消息有关的信息通知给基准消息决定部377b。

此外，在上述中，设为了非法检测部371b根据接收到的消息识别到转变为了接下来的接收周期时对基准消息决定部377b请求基准消息的取得来进行了说明，但不限定于此。例如，也可以在接收预定时刻T的容限内接收到第一个消息时，将接收到的消息作为基准消息候选来使基准消息候选保持部378b保持与该消息有关的信息，以后，每当在该接收预定时刻T的容限内接收消息时，对基准消息决定部377b要求基准消息的决定。

在该情况下，基准消息决定部377b将新接收到的消息作为基准消息候选，决定将基准消息候选保持部378b保持的基准消息的候选中的哪个保留为基准消息候选。该决定按照在上述基准消息的决定中使用的规则来进行。该决定的结果，保留下来的基准消息的候选被继续保持于基准消息候选保持部378b。然后，在转变到接下来的接收周期的时间点剩下来的基准消息候选成为接下来使用的基准消息。

由此，作为基准消息的候选而保持的总是仅为一个消息即可，因此，能够节约用于保持候选的资源。

此外，设为基准消息决定部377b在从基准消息的候选决定基准消息时根据通信模式判定部375b的判定结果从候选中除去候选消息的几个，从剩下的候选的消息中按照事前决定的规则而决定基准消息来进行了说明，但不限定于此。例如，基准消息决定部377b也可以在首先按照事前决定的规则筛选了候选之后，要求通信模式判定部375b判定通信模式，根据其判定结果决定基准消息。另外，在通信模式判定部375b中判定为全部候选消息与某通信模式一致的情况下，或者在事前决定的规则下的判定的结果判定为全部候选消息未成为基准消息的情况下，也即是在判定为全部的候选的消息不适于基准消息的情况下，基准消息决定部377b也可以决定为没有基准消息。或者，也可以另外定义在判定为全部的候选的消息不适于基准消息的情况下所利用的规则，基准消息决定部377b也可以基于该规则决定基准消息。

另外定义的该规则也可以是专用地定义的规则。例如，也可以是用于决定事前决定的基准消息的规则、在通信模式的判定时对基准消息的适合度进行评分并基于其分数来决定基准消息这一规则。

另外，也可以定义如下规则：在通信模式判定部375b中判定为全部候选的消息与某通信模式一致的情况下，对于全部候选的消息再次应用事前决定的规则，决定基准消息。另外，也可以定义如下规则：相反地，事前决定的规则下的判断的结果，在判定为全部候选消息未成为基准消息的情况下，对全部候选的消息再次询问通信模式判定部375b，根据其结果决定基准消息。

另外，与图8所示的实施方式1中的构成同样地，也可以是如下构成：在与通信模式相符合的判定中，对关于攻击消息的信息进行模型化，将该模型用作通信模式。图13是表示本实施方式中的在与通信模式相符合的判定中将对关于攻击消息的信息进行模型化而取得的模型作为通信模式来进行判定的非法检测处理功能组370c的构成的一例的图。非法检测处理功能组370c可以代替非法检测处理功能组370b而包含于在实施方式1的网关 300。

通信模式判定部375c具备与通信模式判定部375b相同的功能，还具备使用通信模式预测部376c的预测值判定通信模式的功能。

通信模式预测部376c具备与通信模式预测部376a相同的功能，具备根据来自通信模式判定部375c的要求通知预测值的功能。

该预测值是通信模式预测部376c将通信模式识别部374c识别到的模型用作通信模式而算出的。

通信模式识别部374c具备与通信模式识别部374a相同的功能。

非法检测处理功能组370c的这些构成要素也是功能构成要素，可通过在网关中由处理部读出及执行存储部所保持的程序、由存储部保持预定数据或经由输入输出部收发数据、或者这些的组合来实现。

[2.2非法检测处理]

图14是表示非法检测处理功能组370b的非法检测处理的一例的流程图。对于与图10共同的步骤，在图14中使用相同的参照标号来表示，省略一部分说明。

首先，非法检测部371b从帧处理部350接收消息(步骤S1001)。

接收到消息的非法检测部371b判定周期性地被发送的消息的接收周期是否转变为接下来的周期(步骤S1402)。

在步骤S1402中非法检测部371b判定为转变为接下来的接收周期的情况下，决定新的基准消息(步骤S1403)。

在步骤S1403中决定了新的基准消息之后、或者在步骤S1402中判定为未转变到接下来的接收周期的情况下，进行非法检测处理(步骤S1404)。

非法检测部371b利用ID判定功能等各种判定功能，进行接收到的消息是攻击消息、还是正常消息的判定。此时，非法检测部371b的各种判定功能根据需要而使用在步骤S1403中决定的基准消息来进行判定。并且，非法检测部371将其判定结果通知给消息保存处理部372。

步骤S1404的其他处理与图10的步骤S1002的非法检测处理是同样的。

步骤S1003以后的处理是与图10共同的，因此，省略说明。

[2.3效果]

在本实施方式中，在非法检测处理功能组370b的非法检测处理中，在决定非法检测部371b的各种判定功能利用的基准消息时，判定候选的消息是否符合通信模式，从不符合通信模式的候选的消息决定基准消息。由此，能够抑制以往可能发生的、将攻击消息用作基准消息的结果会发生无法准确地进行非法检测的状况，能够以更高的精度判定是否为攻击消息。其结果，车载网络***的安全性提高。

(实施方式3)

[3.概要]

在此，作为实施方式3，参照附图对非法检测处理功能组的一部分功能配置于车辆外的服务器、网关与服务器进行通信的车载网络***进行说明。

[3.1车载网络***的整体结构]

图15是表示本实施方式的车载网络***10a的整体结构的框图。在图 15中，对于与图1所示的车载网络***10共同的构成要素使用共同的参照标号来表示，并省略其说明。

车载网络***10a由CAN网络构成，包括ECU100(图中的ECU100a、 ECU100b、ECU100c以及ECU100d，以下将这些ECU总括地也称为 ECU100，或者指示不特定的一部分而也称为ECU100)、总线200(图中的总线200a及总线200b，以下将这些总线也总括地称为总线200，或者指示不特定的一方而也称为总线200)、网关300d、外部网络400、服务器 500。

网关300d将连接有ECU100a及ECU100b的总线200a与连接有 ECU100c及ECU100d的总线200b相连接。网关300d具有将从一方的总线接收到的消息转送给另一方的总线的功能。在CAN网络上，网关300d 也是一个节点。

外部网络400是用于网关300d与服务器500进行通信的通信网络。外部网络400的通信方法既可以是有线，也可以是无线。另外，无线通信方式也可以例如是作为现有技术的Wi-Fi、3G或者LTE。

服务器500经由外部网络400与网关300d进行通信。

网关300d和服务器500分别分担地具备实施方式1的非法检测处理功能组370的一部分功能，通过服务器500与网关300d协同地进行工作，执行上述的非法检测处理。

[3.2网关的构成]

图16是表示网关300d的功能结构的一例的框图。在图16中，对与图3共同的构成要素以共同的参照标号进行表示，并省略说明。以下，对于网关300d，以与网关300的不同点为中心进行说明。

网关300d代替网关300的构成中的非法检测处理功能组370而具备非法检测处理功能组370d，另外，还具备外部通信部390，这些为不同点。这些构成要素也是功能构成要素，可通过在网关300d中由处理部读出及执行保持于存储部的程序、由存储部保持预定数据或经由输入输出部收发数据、或者它们的组合来实现。

非法检测处理功能组370d与服务器500通信，协同地执行接收到的消息是否为攻击消息的判定。对于非法检测处理功能组370d所包含的构成的详细情况，将在后面进行描述。

外部通信部390进行与服务器500的通信。

[3.3非法检测处理功能组的构成]

图17是表示非法检测处理功能组370d的功能结构的一例的框图。在图17中，与图6共同的构成要素以共同的参照标号表示，并省略说明。

非法检测处理功能组370d包括非法检测部371、消息保存处理部 372d、通信模式判定部375d。

消息保存处理部372d接受非法检测部371的判定结果，在判定为接收到的消息是攻击消息、且需要保存的情况下，经由外部通信部390与服务器500进行通信，向服务器500发送与攻击消息有关的信息并使之进行保存。对于正常消息的保存、是否需要保存消息的判定，与实施方式1是同样的。

通信模式判定部375d根据来自非法检测部371的判定要求，判定接收到的消息是否符合通信模式。通信模式判定部375d经由外部通信部390 与服务器500进行通信，接收由服务器500执行的通信模式的识别结果，使用该接收到的结果进行该判定。

此外，在服务器500的通信模式的识别中，也可以如通信模式识别部 374a那样使用统计处理或者概率理论，取得与攻击消息有关的信息的模型，将该模型作为通信模式。在该情况下，网关300d中，也可以代替非法检测处理功能组370d而具备如图18所示那样还包括通信模式预测部 376e的非法检测处理功能组370e。图18是表示本实施方式的非法检测处理功能组的功能结构的其他例子的框图。

通信模式预测部376e经由外部通信部390接收服务器500识别出的模型，将该模型用作通信模式，如通信模式预测部376a所进行的那样算出预测值。通信模式判定部375e根据该预测值和与接收到的消息有关的信息，判定是否与通信模式一致。

[3.4服务器的构成]

图19是表示服务器500的功能结构的一例的框图。服务器500具备攻击消息信息保持部373d和通信模式识别部374d。这些构成要素是功能构成要素，服务器500是所谓的服务器计算机，可由具备处理器等的信息处理装置、半导体存储器等的存储装置、包括输入输出端口的输入输出部等的1台以上的计算机实现。上述所举出的各功能构成要素可通过由处理部读出及执行存储部所保持的程序、由存储部保持预定数据或经由输入输出部收发数据、或者这些的组合来实现。

攻击消息信息保持部373d保持与被从网关300d的消息保存处理部 372d指示了保存的攻击消息有关的信息。另外，根据来自通信模式识别部 374d的要求，输出与所保持的攻击消息有关的信息。

通信模式识别部374d从攻击消息信息保持部373d取得与攻击消息有关的信息，识别在接收到的攻击消息中发现的通信模式。具体的识别方法与上述各实施方式的通信模式识别部相同，因此，省略说明。

另外，通信模式识别部374d根据来自网关300d的通信模式判定部 375d、或者通信模式预测部376e的要求，发送识别到的通信模式。

此外，服务器500也可以与多个车辆进行通信，对各车辆负担非法检测处理功能组的一部分功能。在该情况下，服务器500既可以相对于各个车辆具备个别的攻击消息信息保持部373d及通信模式识别部374d，也可以相对于进行通信的多个车辆具备一组的攻击消息信息保持部373d及通信模式识别部374d。另外，服务器500也可以相对于要进行通信的多个车辆的一部分具备一组的攻击消息信息保持部373d及通信模式识别部374d。在相对于多个车辆具备一组的情况下，攻击消息信息保持部373d将与从各车辆取得的攻击消息有关的信息与识别各车辆的信息一起进行保持。

另外，通信模式识别部374d既可以从由各车辆接收到的信息个别地识别通信模式，将个别的识别结果发送给各车辆，也可以使用综合了来自各车辆的信息而得到的结果来识别通信模式，向各车辆发送其识别结果。

在此，综合来自各车辆的信息的方法既可以例如综合来自全部车辆的信息，也可以按各车辆的制造厂商或者车种、进一步的车型、等级来进行综合。或者，也可以按各车辆的车辆级别(大小、排气量等)、各车辆的所在地、或者各车辆具有的功能(自动驾驶功能、驾驶辅助功能、通信功能等)来进行综合。或者，也可以按由各车辆上的ECU等执行的固件或者软件的种类、或者进一步的版本进行综合。另外，也可以是这些综合方法的组合。

[3.5效果]

在本实施方式中，车辆外部的服务器500与网关300d进行通信，非法检测处理功能组370d或者非法检测处理功能组370e的一部分功能由服务器500承担。

以往，仅从在各个车辆收集的信息识别通信模式，能够判定的通信模式是有限的。但是，在本实施方式中，通过在服务器500保持信息，能够从多个车辆的信息识别通信模式。由此，能基于更多的攻击消息迅速或高精度地识别通信模式。并且，在各车辆中，通过使用该通信模式，能够进行更高精度的是否为攻击消息的识别。其结果，车载网络***的安全性提高。另外，关于攻击消息的信息被保持于服务器500，因此，不需要在网关300d具备大容量的信息保持装置，也能够抑制各车辆的制造及维护的成本。

[4.其他的变形例]

本公开当然不限定于上述说明的各实施方式，只要不脱离本公开的宗旨，对实施方式实施本领域技术人员能够想到的各种变形而得到的方式以及组合不同的实施方式中的构成要素而构建的方式也包含在本公开的范围内。例如如以下那样的变形例也包含在本公开中。

(1)在上述的实施方式中，设为非法检测处理功能组370c具备非法检测部371、消息保存处理部372、攻击消息信息保持部373、通信模式识别部374c、通信模式判定部375c、通信模式预测部376c、基准消息决定部377b以及基准消息候选保持部378b来进行了说明，但不限定于此。

如图20所示，也可以具备非法检测部371、消息保存处理部372f、攻击消息信息保持部373f、通信模式识别部374f、通信模式判定部375f、通信模式预测部376c、基准消息决定部377b、基准消息候选保持部378b、车辆状态识别部379f。另外，也可以为其他实施方式中的非法检测处理功能组(370、370a、370b、370d、370e)还具备车辆状态识别部379f(未图示)。

在此，车辆状态识别部379f从CAN消息的内容、或者各种开关的状态等识别车辆为何种状态。作为车辆状态识别部379f识别的状态，例如是关于车辆的自动驾驶的状态。更具体而言，例如是车辆当前正为驾驶员进行驾驶行为(认知、判断及操作)的大致全部工作来操作车辆进行行驶的“通常行驶模式”、车辆正辅助、支援驾驶行为的一部分的“驾驶支援模式”、或者驾驶员不进行驾驶行为而车辆正自动驾驶的“自动驾驶模式”等。或者，也可以是车辆的“行驶中”、“停车(stopping)中”或者“驻车中(发动机关闭)”中的任一状态。另外，也可以识别这些状态中的能够并存的多个状态。或者，也可以是用于实现自动驾驶的各种功能(以下也称为“自动驾驶功能”)中一个以上的功能的有效或者无效这一状态。

例如消息保存处理部372f也可以在关于攻击消息的信息的基础，还一起保存此时车辆状态识别部379f识别并输出的表示状态的信息。另外，消息保存处理部372f也可以仅在接收到表示特定状态的信息的情况下，保存关于攻击消息的信息。

另外，通信模式识别部374f及通信模式判定部375f也可以根据车辆状态识别部379f输出的信息所表示的预定的不同状态来分别进行工作。

举更具体的例子来说，通信模式识别部374f在“通常行驶模式”的期间、或者从“通常行驶模式”向“驾驶支援模式”或者“自动驾驶模式”切换的定时识别通信模式。另一方面，通信模式判定部375f在“驾驶支援模式” 或者“自动驾驶模式”时，判定通信模式。作为其他的例子，通信模式识别部374f在“停车中”或者“驻车中”时识别通信模式，通信模式判定部375f 在“行驶中”时判定通信模式。

由此，能够在车辆处于容易判定攻击的状态时，执行关于攻击消息的信息的收集及保持以及通信模式的识别，在车辆处于难以判定攻击时进行使用了通信模式的判定。更具体而言，在车辆中未执行自动驾驶功能时， ECU所连接的传感器的输出信息包含不需要的信息，来自对于致动器等的 ECU的控制信号也是不需要的。因此，与正执行自动驾驶功能时相比，节点间的通信少，攻击消息难以混进其他消息，因此，判定攻击的精度容易提高。其结果，能够进一步提高非法检测精度、降低处理成本。

(2)设为非法检测处理功能组370具备非法检测部371、消息保存处理部372、攻击消息信息保持部373、通信模式识别部374、通信模式判定部375来进行了说明，但不限定于此。非法检测处理功能组也可以由更少的构成要素构成。例如如图21所示，也可以是具备非法检测部371g和通信模式判定部375g的非法检测处理功能组370g。

另外，设为非法检测处理功能组370b具备非法检测部371、消息保存处理部372、攻击消息信息保持部373、通信模式识别部374、通信模式判定部375、基准消息决定部377b以及基准消息候选保持部378b来进行了说明，但不限定于此。例如如图22所示，也可以是具备作为更少的构成要件的非法检测部371h、通信模式判定部375h、基准消息决定部377b、基准消息候选保持部378b的非法检测处理功能组370h。

在上述中，通信模式判定部375g及通信模式判定部375h事先保持关于通信模式的信息，使用该信息进行是否符合通信模式的判定。由此，攻击消息信息的保持成为不需要，能够节约与用于保持攻击消息的攻击消息信息保持装置相应的成本。

(3)设为非法检测处理功能组370具备非法检测部371、消息保存处理部372、攻击消息信息保持部373、通信模式识别部374以及通信模式判定部375来进行了说明，但不限定于此。如图23所示，也可以是具备非法检测部371i、通信模式判定部375g以及车辆状态识别部379f的非法检测处理功能组370i。在该情况下，非法检测部371i根据车辆状态识别部379f 识别到的车辆的状态，决定是否将通信模式判定部375g的判定结果利用于非法检测处理中。

由此，能够在适当的定时进行通信模式判定部375g的判定处理，例如能够省略不需要的定时的判定处理。

(4)在上述实施方式中，设为ECU100具备帧收发部110、帧解释部 120、接收ID判定部130、接收ID列表保持部140、帧处理部150、数据取得部170以及帧生成部180来进行了说明，但本公开的车载网络***所具备的ECU的构成并不限定于此。

例如如图24所示的ECU100e那样，车载网络***具备的ECU也可以还具备非法检测处理功能组370。在该情况下，既可以为帧处理部150 向非法检测处理功能组370要求是否为攻击消息的判定，也可以为帧解释部120进行要求。

另外，如图25所示的ECU100f那样，车载网络***具备的ECU也可以由帧收发部110、帧解释部120、帧生成部180构成。在该情况下，帧解释部120也可以例如与ID无关地接收全部的消息，对于全部的消息请求非法检测处理功能组370进行是否为攻击消息的判定。

另外，ECU100也可以在图25的构成的基础上，还具备接收ID判定部130和接收ID列表保持部140，仅接收具有接收ID列表保持部保持的接收ID列表所记载的消息ID的消息，关于该消息，请求非法检测处理功能组370进行是否为攻击消息的判定。此外，非法检测处理功能组370也可以代替为上述的370a～370i的某个。

由此，不仅是网关，在ECU也能够判定被发送到总线的消息是否为攻击消息。其结果，例如车载网络***中的用于非法通信的结构的冗余度提高，能更高地确保安全性。

进一步，如图26所示的ECU100g那样，车载网络***具备的ECU 也可以具备从其他连接设备或者外部等取得向总线200发送的数据的发送数据取得部171。ECU100g具备的非法检测处理功能组370j也可以对于从发送数据取得部171接收到的数据是否为攻击消息也进行判定，仅在判定为不是攻击消息的情况下，向帧生成部180请求消息的发送。此外，非法检测处理功能组370j的构成也可以与非法检测处理功能组370、370a～370i 的某个是共同的。

由此，例如在如与车载导航一起利用的ECU被从被劫持的车载导航发送攻击消息这样的情况下，能够抑制该消息向网络的扩散。或者，能够抑制从车外尝试送入的攻击消息向车载网络***内部的侵入。

(5)在上述实施方式中，作为与非法的检测相应的行动，示出了不转送接收到的消息的例子，但不限定于此。例如具备上述的非法检测处理功能组的网关或者ECU也可以在消息的接收中进行非法检测处理，在判定为是攻击消息的时间点通过发送错误帧来将网络接收期间的消息无效化。

由此，能够防止与发现了攻击消息的总线连接的其他ECU接收攻击消息。同样的行动也可以应用于不转送的消息。

另外，具备上述的非法检测处理功能组的网关或者ECU也可以进一步执行向用户或者外部的服务器等通知非法的发生、向日志记录非法的发生、或者向车辆的失效保护(fail safe)模式的转变。

由此，能够进行非法检测后的灵活的应对。另外，也可以将判定为攻击消息的多个消息作为数据的1以上的序列来处理，对各序列学习数据的值和/或接收间隔的集合来作为非法的标签。

(6)在上述实施方式中，设为消息保存处理部372在接收到的消息是攻击消息、且判定为需要保存的情况下保持关于攻击消息的信息来进行了说明，但不限定于此。例如消息保存处理部372也可以进一步将在消息的接收时既没能判定为是攻击消息、也没能判定为是正常消息的消息作为灰色消息来保持关于此的信息。

对作为灰色消息保持的消息，在预定的定时再次进行是正常消息、还是攻击消息的判定。另外，既可以从作为该结果而新判定为攻击消息的消息识别通信模式，也可以将作为灰色消息保存的信息重新保存为关于攻击消息的信息、并与其他关于攻击消息的信息一起使用来进行通信模式的识别。

作为判定灰色消息的定时，既可以是保存了例如与10件的消息等、事先决定的数量的攻击消息有关的信息时，也可以是1分钟等、每个事先决定的时间或者切换了由车辆状态识别部379f判定的车辆的状态时。

另外，作为对于灰色消息的是正常消息、还是攻击消息的判定方法，既可以再次通过非法检测部371按各消息进行判定，也可以将多个灰色消息视为数据的1个以上的序列，并判定该序列是正常消息的序列、还是攻击消息的序列。例如，也可以单纯地将数据值落在一定范围内的灰色消息彼此作为一个序列而分为多个序列，对各序列判定是正常消息的序列、还是攻击消息的序列。或者，也可以在将灰色消息按时间序列排列时，通过将数据值变化一定的大小以上的消息判定为是其他序列的数据来分为多个序列，判定是正常消息的序列、还是攻击消息的序列。或者，也可以使用机器学习领域的聚类(clustering)的方法来分序列，判定是正常消息的序列、还是攻击消息的序列。

作为判定是正常消息的序列、还是攻击消息的序列的方法，例如既可以预先计算与正常消息的一个之前的消息之间的接收时刻的差的方差值等的统计量，基于哪个序列接近预先计算的统计量来判定是正常消息的序列、还是攻击消息的序列，也可以通过算出经由正常消息的序列的接收时刻差和评价对象消息的序列的接收时刻差的密度比推定的异常度，来求出攻击消息的序列。

另外，识别通信模式的定时既可以是刚刚从灰色消息重新保存为攻击消息保存之后，也可以是其他定时。

(7)在上述实施方式中，示出了标准格式的ID下的例子，但也可以是扩展格式的ID。

(8)在上述实施方式中，示出了消息以明文来发送的例子，但也可以被进行加密。另外，也可以在消息中包含消息认证码。

(9)在上述实施方式中，示出了以明文保持正常模型和接收日志(log) 的例子，但也可以对这些进行加密来保持。

(10)在上述实施方式中，示出了车载网络作为遵循CAN协议进行通信的网络通信***的例子。本公开涉及的技术并不限定于车载网络，除了机器人、工业设备等的网络之外，还能够应用于车载网络以外的遵循 CAN协议进行通信的网络通信***。

另外，使用了CAN协议来作为车载网络，但不限定于此。例如，也可以使用CAN－FD(CAN with Flexible Data Rate，具有灵活数据传输率的CAN)、FlexRay、Ethernet、LIN(Local Interconnect Network，本地互联网)、MOST(Media Oriented Systems Transport，面向媒体的***传输)等。或者，也可以是将这些网络作为子网络而组合的网络。

(11)具体而言，上述实施方式中的各装置是由微处理器、ROM、 RAM、硬盘单元、显示单元、键盘、鼠标等构成的计算机***。在所述 RAM或者硬盘单元记录有计算机程序。通过所述微处理器按照所述计算机程序进行工作，各装置实现其功能。在此，计算机程序是为了实现预定的功能而组合多个表示对于计算机的指令的命令代码所构成的。

(12)上述实施方式中的构成各装置的构成要素的一部分或全部也可以由1个***LSI(Large Scale Integration：大规模集成电路)构成。系统LSI是在一个芯片上集成多个构成部而制造出的超多功能LSI，具体而言，是构成为包括微处理器、ROM、RAM等的计算机***。在RAM中记录有计算机程序。微处理器按照计算机程序进行工作，由此***LSI实现其功能。

另外，构成上述各装置的构成要素的各部分既可以单独地单芯片化，也可以以包括一部分或全部的方式单芯片化。

另外，在此，虽然此处设为***LSI，但根据集成度不同，也可以称为IC、LSI、超大LSI(super LSI)，特大LSI(ultra LSI)。另外，集成电路化的方法不限于LSI，也可以通过专用电路或通用处理器来实现。也可以利用能够在LSI制造后进行编程的FPGA(Field Programmable Gate Array：现场可编程门阵列)和/或可以对LSI内部的电路单元的连接和/ 或设定进行重构的可重构处理器(reconfigurable processor)。

再者，随着半导体技术的发展或派生的其他技术的出现，如果出现能够代替LSI的集成电路化的技术，当然也可以使用该技术进行功能模块的集成化。也存在应用生物技术等的可能性。

(13)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。IC卡或模块是由微处理器、ROM、 RAM等构成的计算机***。IC卡或模块也可以包括上述的超多功能LSI。微处理器按照计算机程序进行工作，由此IC卡或模块实现其功能。该IC 卡或该模块可以具有防篡改性能。

(14)本公开也可以是如上述所示的方法。另外，既可以是通过计算机实现这些方法的计算机程序，也可以是包含计算机程序的数字信号。

另外，本公开也可以为将计算机程序或数字信号记录于计算机可读取的记录介质、例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、 DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外，也可以是记录在这些记录介质中的数字信号。

另外，本公开也可以为将计算机程序或数字信号经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等进行传输。

另外，本公开也可以是具备微处理器和存储器的计算机***，存储器记录有上述计算机程序，微处理器按照计算机程序进行工作。

另外，通过将程序或数字信号记录在记录介质中来移送，或者经由网络等将程序或数字信号进行移送，可以通过独立的其他的计算机***来实施。

(15)也可以为组合各个上述实施方式及上述变形例。

以上，基于实施方式及其变形例对一个或者多个技术方案涉及的车载网络中的、用于决定用作将非法消息的非法控制为目的的非法通信检测的基准的消息的技术进行了说明。在这些各实施方式及其变形例中，通过与车载网络***连接而进行通信的网关或者ECU、或者它们与服务器计算机的组合来决定用作非法通信检测的基准的消息。在本公开中，将执行这样的非法通信检测的、包含1个以上的处理器及存储部的***称为非法通信检测基准决定***。因此，非法通信检测基准决定***既包含如与车载网络***连接的1台网关那样由1个装置实现的，也包含这样的网关与ECU 的组合、或者如网关或ECU与处于远程的服务器计算机的组合那样的由多个装置实现的。

另外，该技术在上述各实施方式或者其变形例中，也可以作为包含各构成要素执行的处理的步骤的一部分或者全部的方法、或者由非法通信检测基准决定***的处理器执行的用于使得非法通信检测基准决定***实施该方法的程序来实现。

另外，也可以在上述实施方式或者其变形例中，替代特定的构成要素而由其他的构成要素执行特定的构成要素所执行的处理。另外，既可以变更多个处理的顺序，也可以并行地执行多个处理。

产业上的可利用性

本公开涉及的非法通信检测基准决定方法等通过识别攻击消息的通信模式、并判定接收到的消息是否符合通信模式来决定用于对非法进行检测的基准消息。由此，关于在以往难以识别正常消息和攻击消息的消息，也能够高精度地对正常的消息进行识别，能够保护车载网络。

标号说明

10、10a 车载网络***

100、100a、100b、100c、100d、100e、100f、100g ECU

101 发动机

102 制动器

103 门开闭传感器

104 窗开闭传感器

110 帧收发部

120 帧解释部

130 接收ID判定部

140 接收ID列表保持部

150 帧处理部

170 数据取得部

171 发送数据取得部

180 帧生成部

200、200a、200b 总线

300、300d 网关

310 帧收发部

320 帧解释部

330 接收ID判定部

340 接收ID列表保持部

350 帧处理部

360 转送规则保持部

370、370a、370b、370c、370d、370e、370f、370g、370h、370i、370j 非法检测处理功能组

371、371b、371g、371h、371i 非法检测部

372、372d、372f 消息保存处理部

373、373d、373f 攻击消息信息保持部

374、374a、374c、374d、374f 通信模式识别部

375、375a、375b、375c、375d、375e、375f、375g、375h 通信模式判定部

376a、376c、376e 通信模式预测部

377b 基准消息决定部

378b 基准消息候选保持部

379f 车辆状态识别部

380 帧生成部

390 外部通信部

400 外部网络

500 服务器

Claims

1.一种非法通信检测基准决定方法，由包括存储部的信息处理***执行，且是包括网络及与所述网络连接的1个以上的电子控制单元的车载网络***中的非法通信的检测所使用的基准消息的决定方法，包括：

通信模式识别步骤，从与对于所述车载网络***的攻击消息有关的信息，识别表示所述攻击消息的特征的通信模式；

通信模式判定步骤，判定被送出到所述网络的消息是否符合通过所述通信模式识别步骤识别到的通信模式；

基准消息决定步骤，使用所述通信模式判定步骤的判定结果，从被判定为不符合通过所述通信模式识别步骤识别到的通信模式的、被送出到所述网络的消息中，决定判定被送出到所述网络的消息是否为攻击消息的基准所使用的基准消息。

2.根据权利要求1所述的非法通信检测基准决定方法，

在所述通信模式识别步骤中，作为所述通信模式，识别与被送出到所述网络的多个消息的接收时刻有关的模式，

在所述基准消息决定步骤中，将根据所述多个消息各自的基于与所述接收时刻有关的模式的接收预定时刻和实际的接收时刻的比较结果而从所述多个消息中选择的一个消息决定为所述基准消息。

3.根据权利要求1所述的非法通信检测基准决定方法，

在所述通信模式识别步骤中，作为所述通信模式，识别与被送出到所述网络的多个消息所包含的数据值的变化有关的模式，

在所述基准消息决定步骤中，将基于所述多个消息各自包含的数据值从所述多个消息中选择的一个消息决定为所述基准消息。

4.根据权利要求3所述的非法通信检测基准决定方法，

与所述数据值的变化有关的模式是与所述多个消息所包含的表示相同种类的数据量的多个消息各自所包含的所述数据值的变化的有无有关的模式、与所述表示相同种类的数据量的多个消息所包含的数据量的增加或者减少的比例有关的模式、或者与所述表示相同种类的数据量的消息所包含的数据值和表示其他种类的数据量的消息所包含的数据值之间的差量或比有关的模式。

5.根据权利要求1～4中任一项所述的非法通信检测基准决定方法，

进一步，在所述基准消息决定步骤中，

在由于不存在所述通信模式判定步骤的判定结果判定为不符合通信模式的消息而无法决定基准消息的情况下，不使用所述通信模式判定步骤的判定结果而按照预定规则来决定所述基准消息。

6.根据权利要求1～4中任一项所述的非法通信检测基准决定方法，

进一步，在所述基准消息决定步骤中，

在存在所述通信模式判定步骤的判定结果判定为不符合通信模式的多个消息的情况下，将按照预定规则从判定为不符合所述通信模式的多个消息中选择的一个消息决定为所述基准消息。

7.根据权利要求5所述的非法通信检测基准决定方法，

所述预定规则是与所述被送出的消息的发送时刻或接收时刻、或者数据值有关的预定规则。

8.根据权利要求6所述的非法通信检测基准决定方法，

9.根据权利要求1～4中任一项所述的非法通信检测基准决定方法，

在所述通信模式识别步骤中，通过取得对与所述攻击消息有关的信息执行统计学的处理而得到的模型来作为所述通信模式，从而识别所述通信模式，

所述非法通信检测基准决定方法还包括使用所述通信模式算出接下来接收的消息所包含的数据值的预测值的数据值预测步骤，

在所述通信模式判定步骤中，基于所述预测值与所述接收到的消息包含的数据值的比较结果，判定该接收到的消息是否符合所述通信模式。

10.根据权利要求9所述的非法通信检测基准决定方法，

在所述通信模式识别步骤中，取得自回归模型、自回归移动平均模型、隐马尔可夫模型或者贝叶斯模型来作为所述模型。

11.一种非法通信检测基准决定***，是包括网络及与所述网络连接的1个以上的电子控制单元的车载网络***中的非法通信的检测所使用的基准消息的决定***，包括：

1个以上的处理器；和

存储部，

所述1个以上的处理器，

从与对于所述车载网络***的攻击消息有关的信息，识别表示与所述攻击消息的数据值的变化或者通信定时有关的特征的通信模式，

判定被送出到所述网络的消息是否符合识别出的所述通信模式，

使用是否符合所述通信模式的判定结果，从被判定为不符合识别出的所述通信模式的、被送出到所述网络的消息中，决定判定被送出到所述网络的消息是否为攻击消息的基准所使用的基准消息。

12.一种计算机可读的记录介质，存储有程序，该程序用于在包括1 个以上的处理器和存储部的非法通信检测***中使所述1个以上的处理器实施权利要求1所述的非法通信检测基准决定方法，所述非法通信检测系统是用于检测包括网络及与所述网络连接的1个以上的电子控制单元的车载网络***中的非法通信的***。