CN110463142B - 车辆异常检测服务器、车辆异常检测***及车辆异常检测方法 - Google Patents
车辆异常检测服务器、车辆异常检测***及车辆异常检测方法 Download PDFInfo
- Publication number
- CN110463142B CN110463142B CN201980001799.7A CN201980001799A CN110463142B CN 110463142 B CN110463142 B CN 110463142B CN 201980001799 A CN201980001799 A CN 201980001799A CN 110463142 B CN110463142 B CN 110463142B
- Authority
- CN
- China
- Prior art keywords
- vehicle
- abnormality
- frame
- information
- abnormality detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Small-Scale Networks (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
具备:通信部(810),与车辆进行通信,接收该车辆所具备的车载网络的日志;日志收集对象车辆选出部(855),在取得了表示作为通信对象的多台车辆中的一台的第一车辆中发生异常的信息的情况下,从多台车辆中选出与该异常相应的异常关联车辆;日志收集部(830),经由通信部(810)向异常关联车辆发送请求发送该异常关联车辆所搭载的车载网络的日志的第一请求;以及日志分析部(840),基于根据第一请求而从异常关联车辆发送且由通信部(810)接收到的日志所表示的信息,判定异常关联车辆中有无异常发生。
Description
技术领域
本发明涉及用于在搭载于车辆的电子控制单元进行通信的车载网络中可被发送的攻击帧的检测、应对等的安全技术。
背景技术
近年,在汽车中配置有多个被称之为电子控制单元(ECU:Electronic ControlUnit)的装置。连接这些ECU的通信网络被称为车载网络。作为被应用于车载网络的主要通信标准可举出ISO11898-1中规定的控制器局域网络(Controller Area Network)(CAN(注册商标))、以太网(Ethernet)(注册商标)。伴随着汽车的高性能化,基于经由这样的车载网络在ECU间被收发的数据而决定并提供各ECU所进行的控制的内容的功能在逐渐增加。在这样的控制***中有可能发生这样的攻击:非法安装的ECU或通过服务器攻击而劫持的ECU发送数据的内容被篡改的帧等伪帧,从而使其他ECU执行非法的控制。
作为用于检测并防御这种攻击的技术,已知有对于在车载网络中具有相同消息ID的帧预先登记假定的发送周期,并且基于实际发送周期与该假定的发送周期的比较来判别是否非法的技术(参见专利文献1)。
此外,已知有通过各车辆的车载网络收发的帧被发送到服务器,并且由服务器推算该帧的异常程度,并基于该异常程度适当地处理各种攻击帧的技术(参见专利文献2)。
现有技术文献
专利文献
专利文献1:特开2014-146868号公报
专利文献2:特开2017-111796号公报
发明内容
发明所要解决的课题
然而,在上述结构中,如果向服务器发送数据的车辆变多,则在基于该数据的处理来应对异常为止发生了瓶颈的情况下,不能迅速地采取适当的措施,例如出现可能成为攻击对象的车辆增加等、攻击受害变得严重的可能性变高这样的课题。
因此,本发明提供一种不论监视对象车辆的多少、都能够迅速且适当地执行从异常检测到应对处理的车辆异常检测装置等。
用于解决课题的手段
本发明一方式的车辆异常检测服务器具备:通信部,与车辆进行通信,接收该车辆所具备的车载网络的日志;车辆选出部,在取得了表示作为上述通信对象的多台车辆中的一台车辆即第一车辆中发生异常的信息的情况下,从上述多台车辆选出与上述第一车辆的异常对应的异常关联车辆;日志收集部,经由上述通信部向上述异常关联车辆发送第一请求,该第一请求请求发送上述异常关联车辆所具备的车载网络的日志;以及日志分析部,基于响应于上述第一请求而从上述异常关联车辆发送且由上述通信部接收到的日志所表示的信息,判定上述异常关联车辆中有无异常发生。
此外,本发明一方式的车辆异常检测***包括:上述车辆异常检测服务器、以及与上述车辆异常检测服务器进行通信的多台车辆,该车辆响应于来自上述车辆异常检测服务器的请求将上述日志向上述车辆异常检测服务器发送。
此外,本发明一方式的车辆异常检测方法,是上述车辆异常检测***中执行的车辆异常检测方法,上述车辆异常检测***中,在取得了表示作为上述多台车辆中的一台车辆即第一车辆中发生异常的信息的情况下,从上述多台车辆选出与上述第一车辆的异常对应的异常关联车辆,从上述车辆异常检测***向上述异常关联车辆发送请求发送上述异常关联车辆所具备的车载网络的日志的第一请求,上述车辆异常检测***基于响应于上述第一请求而从上述异常关联车辆发送的日志所表示的信息,判定上述异常关联车辆中有无异常发生。
另外,这些总体或者具体的方式可以通过集成电路、计算机程序或者计算机可读取记录介质来实现,也可以通过装置、***、方法、计算机程序以及记录介质的任意组合来实现。
发明效果
本公开中的车辆异常检测装置等,不论监视对象车辆的多少,都能够迅速且适当地执行从异常检测到应对处理。
另外,根据本说明书以及附图的公开内容将明确本公开进一步的效果以及优点。上述进一步的效果以及优点可以通过本说明书以及附图中公开的实施方式以及特征单独提供,并且不必提供全部的效果以及优点。
附图说明
图1是表示实施方式中的车辆异常检测***的服务体系的例子的框图。
图2是表示上述车辆异常检测***中包含的云服务器的运营体系的例子的框图。
图3是表示实施方式中的车辆异常检测***的整体结构的例子的概念图。
图4是表示上述车辆异常检测***中包含的车辆所具备的车载网络的结构的例子的框图。
图5是表示上述车辆异常检测***中包含的车辆异常检测服务器的功能构成例子的框图。
图6是表示实施方式中的车辆日志保存数据库中保存的车辆日志信息的数据构成的例子的框图。
图7是表示实施方式中的车辆信息数据库中保存的车辆信息的数据构成例子的图。
图8是表示实施方式中的车辆信息数据库中保存的分车型信息的数据构成例子的图。
图9是表示实施方式中的安全信息数据库中所保存的攻击阶段信息的数据构成例子的图。
图10是表示实施方式中的ECU信息数据库中所保存的ECU ID转换表的一例的图。
图11是表示实施方式中的ECU信息数据库中所保存的消息ID转换表的一例的图。
图12是表示实施方式中的ECU信息数据库中所保存的分车型消息ID-ECU关联表的一例的图。
图13是表示实施方式中的ECU信息数据库中所保存的分车型ECU关联表的一例的图。
图14是表示上述车辆异常检测***中包含的车辆所具备的网关的功能构成例子的框图。
图15是表示上述车辆异常检测***中的直至异常检测的处理步骤示例的时序图。
图16是表示上述车辆异常检测***中所包含的车辆异常检测服务器在通常时选出作为异常检测处理的对象的样本车辆的步骤示例的流程图。
图17是表示上述车辆异常检测***中包含的车辆异常检测服务器进行的异常检测的步骤示例的流程图。
图18是表示上述车辆异常检测***中包含的车辆异常检测服务器选出追加调査对象车辆的处理的步骤示例的流程图。
图19是表示上述车辆异常检测***中的通信的概要的时序图。
具体实施方式
(本公开的基础知识)
本发明人发现关于“背景技术”部分中记载的技术,会发生以下的问题。
当通过车载网络被收发的帧从多个车辆向服务器发送时,设想有如下情况:连接车辆和服务器的通信网络中的通信数据量、或服务器中的处理对象的数据量相对于各自的处理能力过剩,而造成不能适时地检测异常或不能针对检测出的异常适时地应对。为了避免这种状况,考虑了从车辆的母集团中采样并选择成为服务器进行异常检测处理的对象的车辆,被选择的车辆将通过各车辆的车载网络收发的数据、或其日志向服务器发送。由此,抑制通信数据量的增加以及服务器的处理负荷的增加。但是,对于没有被选择为对象的车辆,只要不被选择为监视对象,就不会在服务器进行异常检测处理。也就是说,没有被选择的车辆中所发生的异常不被处理,或者直至处理需要花费时间。如果该异常是由于网络攻击引起的,那么在没有对异常进行处理的期间,由于该攻击的影响而产生的重大故障会在该车辆上发生,或者攻击扩大到其他车辆等,危害可能会加重。
为了解决这样的问题,本发明的一方式的车辆异常检测服务器具有:通信部,与车辆进行通信,接收该车辆所具有的车载网络的日志;车辆选出部,在取得了表示作为上述通信对象的多台车辆中的一台车辆即第一车辆中发生异常的信息的情况下,从上述多台车辆中选出与上述第一车辆的异常对应的异常关联车辆;日志收集部,经由上述通信部向上述异常关联车辆发送第一请求,该第一请求请求发送上述异常关联车辆所具备的车载网络的日志;以及日志分析部,基于根据上述第一请求而从上述异常关联车辆发送并由上述通信部接收的日志所表示的信息,判定上述异常关联车辆中有无异常发生。
由此,根据某车辆中检测出的异常,对于被认为发生同样的异常的可能性高的其他车辆,与以往相比能够优先实施异常判定。并且,能够尽早检测异常的发生,从而也能够迅速进行对应,抑制攻击对于该车辆的影响变得严重、或进而攻击向其他车辆扩大。
例如,上述车辆选出部从上述多台车辆中选出第一样本车辆,上述日志收集部经由上述通信部向被选出的上述第一样本车辆发送第二请求,该第二请求请求发送上述第一样本车辆所具备的车载网络的日志,上述日志分析部基于根据上述第二请求而从上述第一车辆发送并由上述通信部接收的日志所表示的信息,进行上述第一样本车辆中有无异常发生的判定,在由上述日志分析部判定为上述第一样本车辆中没有发生异常的情况下,上述车辆选出部从上述多台车辆中选出不同于上述第一样本车辆的第二样本车辆,上述日志收集部经由上述通信部将第三请求向选出的上述第二样本车辆发送,该第三请求请求发送上述第二样本车辆所具备的车载网络的日志。
由此,作为有无发生异常的判定对象的车辆是监视对象的全体车辆的一部分,并且监视对象被切换。因而,既抑制了通信数据量的增加以及为了进行异常检测而由服务器分析的数据量的增加,又实现了广泛监视多样性的监视对象的车辆这样高效的监视。
例如,上述日志可以是通过上述车载网络收发的帧所包含的信息中的至少一部分信息的时间序列数据、或与上述帧相关的信息的时间序列数据。
由此,有无发生异常的判定能够基于帧所包含的数据的内容或发送的周期性等以高精度来执行。
例如,上述车辆选出部对于上述异常关联车辆,可以选出车型与发生了上述异常的车辆共通的车辆作为上述异常关联车辆。
车型相同的车辆具备相同类型的信息处理装置(ECU)的情况较多,存在容易发生的故障、未发现的漏洞、或对于网络攻击的脆弱性等的共通的问题的可能性较高。也就是说,对于车型相同的车辆而言,与在一台车辆中所检测到的异常相同的异常在其他车辆中也发生的可能性,比其他车型高。通过将这样的车辆作为异常关联车辆来对待,并作为用于分析的数据的收集对象,从而能够高效地检测异常的发生,进行迅速的应对。
例如,还具备存储部,该存储部保持第一车辆信息,上述第一车辆信息表示在上述车载网络中收发的帧的种类与发送上述帧的信息处理装置之间的对应,上述车辆选出部参照上述第一车辆信息,从上述多台车辆中确定具备发送种类与有关上述第一车辆中发生的异常的帧相同的帧的信息处理装置的车辆,并选出所确定的上述车辆作为上述异常关联车辆。
如上述,相同类型的ECU存在共通的问题的可能性较高。也就是说,从某一台车辆具备的ECU发送了非法帧(发生了异常)情况下,具备相同类型的ECU的其他车辆的车载网络中也发送同样的非法帧的可能性,相比不具备相同类型的ECU的车辆要高。通过将这样的车辆作为异常关联车辆来对待,并使其发送用于分析的数据,从而能够高效地检测异常的发生,并能够迅速地进行应对。
例如,上述存储部还保存第二车辆信息,该第二车辆信息表示对上述车载网络中收发的帧的种类进行表示的消息ID在车型间的对应,上述车辆选出部参照上述第二车辆信息,确定与上述第一车辆不同的车型所具备的车载网络中收发的帧的消息ID,该消息ID是与关于上述第一车辆中发生的异常的帧的消息ID对应的消息ID,参照上述第一车辆信息从上述多台车辆确定具备发送所确定的上述消息ID表示的种类的帧的信息处理装置的车辆,选出所确定的上述车辆作为上述异常关联车辆。
在网络攻击中,例如可以假设以包含与车辆的加速控制相关的数据在内的帧等特定种类的帧为目标来进行的攻击。但是,表示帧的种类的ID除了一部分以外,各车辆的***设计者能够任意地设定,并且在车型之间不一定共通。根据上述的结构,对于与被检测出异常的帧相同类型的帧,能够跨越车型间的ID的差异而有效地检测异常的发生,并迅速地进行应对。
例如,还可以具备保存车辆ID列表的存储部,该车辆ID列表是用于识别作为上述第一请求的发送目的地的候选的车辆的车辆ID的分车型的列表,上述车辆选出部使用上述车辆ID列表来选出上述异常关联车辆。此外例如,上述车辆ID列表表示对应于与作为上述第一请求的发送目的地的候选的上述车辆关联的地域的上述车辆ID的区分,上述车辆选出部基于上述车辆ID列表所表示的地域来选出上述异常关联车辆。
由此,使得从发生与检测出的异常相同的异常的可能性更高的车辆发送用于分析的数据,从而能够高效地检测异常的发生,并能够迅速地进行应对。即使作为车型标准的型号是共通的,也有根据制造地点(或制造工场)或出货目的地而搭载的ECU的规格不同,或多个车型中采用规格共通的ECU的情况。或者,也有在某一时间在特定的地域行驶的车辆成为网络攻击的目标的情况。因而,基于这样的地理性条件选定异常关联车辆,对于提高异常判定的效率也是有效的。
例如,上述车辆ID列表表示对应于与作为上述第一请求的发送目的地的候选的上述车辆相关的地域的上述车辆ID的区分,上述车辆选出部基于上述车辆ID列表所表示的地域来选出上述异常关联车辆。
假设即使不是与发送检测到异常的帧的ECU同种类型的ECU,也容易受到该异常的不利影响的情况。例如,属于与发送检测到异常的帧的ECU相同功能域的ECU、或接收检测到异常的帧并进行处理的ECU,与其他ECU相比容易受到这种异常的不良影响。将搭载有这样的ECU的车辆作为异常关联车辆进行对待,并使其发送用于分析的数据,从而能够高效地检测异常的发生,并能迅速地进行应对。
此外,本发明的一方式的车辆异常检测***包括:上述任一车辆异常检测服务器;以及与上述车辆异常检测服务器进行通信的多台车辆,该车辆根据来自上述车辆异常检测服务器的请求而向上述车辆异常检测服务器发送上述日志。
由此,根据某一车辆中检测到的异常,对于被认为发生相同异常的可能性较高的其他车辆,与以往相比能够优先实施异常判定。并且,由于能够尽早检测异常的发生,从而也能够迅速地进行应对,抑制攻击对于该车辆的影响变得严重、或进而对其他车辆的影响扩大。
此外,本发明的一方式的车辆异常检测方法是上述车辆异常检测***所执行的车辆异常检测方法,上述车辆异常检测***中,在取得了表示上述多台车辆中的一台车辆即第一车辆中发生异常的信息的情况下,从上述多台车辆中选出与上述第一车辆的异常对应的异常关联车辆,从上述车辆异常检测***向上述异常关联车辆发送请求发送上述异常关联车辆所具备的车载网络的日志的第一请求,上述车辆异常检测***基于根据上述第一请求而从上述异常关联车辆发送的日志所表示的信息,判定上述异常关联车辆中有无异常发生。
由此,根据某一车辆中检测到的异常,对于被认为发生相同异常的可能性较高的其他车辆,与以往相比能够优先实施异常判定。并且,由于能够尽早检测异常的发生,从而也能够迅速地应对,抑制攻击对于该车辆的影响变得严重、或进而对其他车辆的影响扩大。
另外这些总括的或具体的各方式也可以通过集成电路、计算机程序或者计算机可读取CD-ROM等记录介质来实现,或者也可以通过装置、***、方法、集成电路、计算机程序或记录介质的任意组合来实现。
以下,参照附图对实施方式进行具体的说明。另外,以下说明的实施方式表示概括或具体的例子。以下的实施方式中所示的数值、形状、材料、结构要素、结构要素的配置位置及连接方式、步骤、步骤的顺序等仅是一例,而并非旨在限定本发明。此外,以下实施方式中的结构要素之中的、独立权利要求中没有记载的结构要素,作为任意的结构要素进行说明。此外,各图是示意图,而并非严密的图示。
(实施方式)
[1车辆异常检测***的概要]
首先,使用例子说明实施方式中的车辆异常检测***的概要。图1是表示该车辆异常检测***的服务体系例子的框图。
该例中的车辆异常检测***包括:位于接受信息安全服务提供的用户(服务用户)1000处的多个车辆1010、数据中心运营公司1100管理下的云服务器1110、以及以提供上述信息安全服务为业务的服务提供商1200管理下的服务器1210。
第一车辆以及第二车辆是车辆1010的例子,是各自具备车载网络的汽车。各车载网络中包括网关1020。实际驾驶车辆1010的是驾驶员D10。通过车载网络收发的数据其日志从多个车辆1010被发送至云服务器1110(箭头1310)。此外,从云服务器1110向车辆1010发送这样的日志发送请求(箭头1360)。如此,车辆1010的车载网络能够与外部进行通信。车载网络的详细结构将后述。
云服务器1110通过各自具备CPU(Central Processing Unit)等处理器、HDD(HardDisk Drive)、RAM(Random Access Memory)以及ROM(Read-only Memory)等存储装置、以及NIC(Network Interface Controller)等通信接口的多台计算机来实现。云服务器1110经由互联网等通信网络从多台车辆1010接收日志(箭头1310),此外,保持所接收到的日志以向服务器1210提供(箭头1320)。
服务器1210通过具备CPU等处理器、HDD、RAM以及ROM等存储装置、以及NIC等通信接口的一台或多台计算机来实现。服务器1210分析从云服务器1110取得的日志并判断有无发生异常。该判断的结果例如经由服务器1210向管理用户U10提示(箭头1340)。此外,例如被向云服务器1110发送(箭头1350)并被保管,此外,从云服务器1110向车辆1010提供(箭头1360)。管理用户U10例如属于服务提供商1200,负责运用该车辆异常检测***、监视车辆异常检测***所进行的服务提供状况等。另外,判定的结果也可以从服务器1210向车辆1010直接提供(箭头1330)。在车辆1010,该结果例如被记录在记录介质,或者通过用户界面向驾驶员D10提示。另外,在表示异常的结果的情况下,与该异常对应的控制例如使异常发生的***无效的控制、使受到异常影响的功能退缩的控制、用于车辆1010的退避的驾驶等的控制,通过驾驶员D10的操作、或车辆1010具备的话由自动控制***来执行。
这里,使用例子进一步说明数据中心运营公司。图2是表示本实施方式中的车辆异常检测***的运营体系例子的框图。数据中心运营公司例如由制造车辆1010的汽车制造商、和对能够持续地收集及保存来自车辆1010的数据的设备进行提供和管理的管理公司来设置,并向车辆异常检测***提供云服务器1110。
上述服务体系以及运营体系是一例,只要能够实现以下说明的实施方式或其变形,能够进行各种变形。例如请求车辆1010向云服务器1110发送日志的发送请求,既可以由云服务器1110基于从服务器1210发送的指示来发送(箭头1350、1360),也可以从服务器1210向车辆1010的各自直接发送(箭头1330)。此外,分析日志并判断有无异常发生也可以由云服务器1110执行,这种情况下,服务器1210仅提供取得该判定结果以及向监视人员或车辆1010提示的功能。此外,在该例中云服务器1110和服务器1210通过不同的主体提供,但也可以通过相同的主体来提供,通过共通的一台计算机、或多台计算机构成的云计算来实现。此外,例如图2所示的管理公司也可以与服务提供商1200是相同的主体。
在以下更具体地说明的本实施方式中的车辆异常检测***中所包含的车辆异常检测服务器,提供上述说明中云服务器1110,或者进而服务器1210所负责的各功能。
[2车辆异常检测***的结构]
[2.1车辆异常检测***整体结构]
图3是表示本实施方式中的车辆异常检测***的整体结构例子的图。车辆异常检测***通过将车辆异常检测服务器80与车辆1010a、1010b、1010c、1010d、1010e、1010f由作为通信路发挥功能的网络81连接而构成。
网络81例如是能够用于实现诸如3G、4G、5G等远程信息处理的通信网络,可以包括因特网、移动电话网络等网络。
车辆异常检测服务器80功能上相当于图1所示的云服务器1110、或者还有服务器1210。
车辆1010a、1010b、1010c、1010d、1010e、以及1010f相当于图1所示的多个车辆1010。另外,有在下述中将这些车辆汇总、或指定非特定的一台以上车辆的某一个而称为车辆1010的情况。
车辆1010中包含有多个车型。在该例中,车辆1010a、1010b、1010c以及1010d是车型A,车辆1010e是车型B,1010f是车型C。车型相同的车辆,例如款式(车辆款式)相同,是作为车辆识别信息的车辆ID的一部分相同的车辆。如举出具体例,例如车型相同的车辆其车辆编号中的型号的值或车辆识别号码(VIN:Vehicle Identification Number)中的从开头到序列号之前的位数的值相同。
车辆1010分别具备:控制装置、传感器、致动器、用户界面装置等各种设备,以及包含作为连接于这些各设备的信息处理装置的经由车内总线(CAN总线)进行帧相关的通信的多个ECU在内的车载网络。车载网络上的各ECU,根据CAN协议进行相互通信。CAN协议中的帧有数据帧、远程帧、过载帧以及错误帧。以下主要关注数据帧来进行说明。在CAN协议中,数据帧被规定为包含ID字段、表示数据长度的DLC(Data Length Code)、及存储数据的数据字段等,上述ID字段存储表示与存储的数据所表示的信息对应的种类的ID(以下也称为消息ID)。
[2.2车载网络的结构]
图4是表示车辆1010所具备的车载网络结构的一例的图。
车辆1010等中的车载网络包含通过总线(CAN总线)10~70被连接的多个ECU(ECU100、101、200、201、300、301、302、400、401、500、600、700)以及网关90这样的多个节点。另外,车载网络中可以包括更多的ECU,但在图示中进行了省略。
ECU是包括处理器(微处理器)、存储器等数字电路、模拟电路、通信电路等的本实施方式中的信息处理装置的例子。存储器是ROM、RAM等,能够存储处理器执行的控制程序(计算机程序),或者还存储执行该控制程序时所参照的数据。可以在存储器的能够写入的部分,保持该控制程序执行的中间或最终阶段所生成的数据。ECU通过处理器根据该控制程序进行动作从而提供各种规定功能。另外,计算机程序由表示针对处理器的指令的指令代码以达成规定的功能的方式组合多个而构成。
总线10上连接有包括分别连接于发动机110、变速器111的ECU(发动机ECU)100以及ECU(变速器ECU)101在内的、与马达、燃料、电池的控制这种车辆“行驶”(行驶或加速)的控制有关的驱动***的ECU。
总线20上连接有包括分别连接于制动器210、转向器211的ECU(制动器ECU)200以及ECU(转向器ECU)201在内的、与车辆的“转弯”(转向)以及“停止”(制动)控制有关的底盘***的ECU。
总线30上连接有包括分别连接于自动制动***310、车道保持***311、车车间通信***312的ECU300、ECU301以及ECU302在内的、与车间距离维持功能、冲撞防止功能、安全气囊工作等相关的安全功能***的ECU和车车间通信***用的ECU。
总线40上连接有包括分别与车门410、车灯411连接的ECU400以及ECU401在内的、与空调、车窗、后视镜、方向指示器等装备的控制有关的车身***的ECU。
总线50上连接有包括与音响主体单元510连接的ECU500在内的、与仪表板、车载导航***、音频***等有关的信息娱乐***的ECU。另外,仪表盘与音响主体单元的功能分担可以是任意的。
总线60上连接有包括与ITS(智能交通***:Intelligent Transport Systems)装置610连接的ECU600在内的、对应于ETC(电子收费***:Electronic Toll CollectionSystem)等高度道路交通***的ECU。
总线70上连接有与例如OBD2(On-Board Diagnostics 2)等作为用于与外部故障诊断工具等进行通信的接口的诊断端口710连接的ECU700。另外,也可以除去ECU700将诊断端口710连接到总线70。
另外,与连接在上述各总线的ECU连接的设备以及***仅是用于说明车载网络***概念的例子。这些设备以及***的各自可以置换为一台或多台其他设备,并且它们并不是必需的。
ECU(ECU100、200等)的各自取得表示所连接的设备(发动机110、制动器210等)或***的状态或动作内容的信息或传感信息等信息,将包含所取得的信息的数据在内的帧(数据帧)向车载网络、即CAN总线周期性地发送。
网关90是将多个通信路(CAN总线)中继并在通信路间转发数据的信息处理装置。网关90与总线10、总线20、总线30、总线40、总线50、总线60以及总线70连接。也就是说,网关90是具有将从一条总线接收到的帧在规定条件下向其他总线(即根据条件而选择的转发目的地总线)转发的功能的一种ECU。此外,网关90具备经由网络81与车辆1010外部的车辆异常检测服务器80进行通信的通信装置(通信电路等),例如,具有将关于从各总线接收到的帧的信息向车辆异常检测服务器80发送(上载)的功能。关于网关90的结构,将在后续详细说明。
在此,除非特别说明,以下均是基于车型相同的车辆其车载网络的结构相同这一假设进行说明的。即,车型A、B及C中既包含与图4所示结构相同的结构的车型,也包含一部分不同结构的车型。但是,与各种设备或***连接的多个ECU连接于CAN总线这一点、跨CAN总线间的通信通过网关进行中继这一点、有关由车载网络收发的帧的信息向车外的车辆异常检测服务器发送这一点是共通的。与车辆异常检测服务器通信的功能例如也可以通过由不同于网关的其他的ECU来实现的TCU(远程信息控制单元:Telematics Control Unit)来提供。此外,ECU间的通信路中也可以包含Ethernet、FlexRay(登录商标)等根据不同于CAN的协议而构筑的网络。但是,以下以根据CAN协议而构筑的车载网络的情况为例进行说明。
另一方面,除非特别说明,以下基于如下假设进行说明:在相同车型的多个车辆中,与车载网络的CAN总线中流动的数据帧(消息)的利用相关的规格、例如表示数据帧的种类的每个消息ID的数据字段的内容的规定等是相同的。
另外,也存在车型不同的车辆具备相同类型的ECU的情况。相同类型的ECU是指结构相同的ECU,例如,由相同制造厂商(ECU开发商)制造的相同款式的ECU,此外,或指用于实现主要功能的结构相同的ECU。其中,在搭载于不同车型的车辆的相同类型的ECU间,所发送的帧的ID(消息ID)可以相互不同。
[2.3车辆异常检测服务器的结构]
图5是表示车辆异常检测服务器80的功能构成例的框图。
用来应对由车辆1010的车载网络收发的帧发生异常的车辆异常检测服务器80通过上述云服务器1110、或者还有服务器1210来实现,即,是具备处理器、存储装置、通信接口等的一台或多台计算机。
车辆异常检测服务器80包括通信部810、认证处理部820、日志收集部830、日志分析部840、安全信息生成部850、日志收集对象车辆选出部855、车辆信息数据库(以下,记作DB)860、ECU信息DB865、车辆日志存储DB870、分析结果存储DB880、以及安全信息DB890而构成。认证处理部820、日志收集部830、日志分析部840、安全信息生成部850以及日志收集对象车辆选出部855例如是通过处理器执行存储装置中保存的控制程序并对信息进行处理从而可以实现的功能性的结构要素。此外,车辆信息DB860、ECU信息DB865、车辆日志存储DB870、分析结果存储DB880以及安全信息DB890例如是处理器执行存储装置中保存的控制程序并在存储装置上对数据进行管理(生成,编集,保存)从而可以实现的功能性结构要素。实现这些数据库的存储装置是本实施方式中存储部的例子。
通信部810由通信接口、执行存储器中所保存的控制程序的处理器等来实现。通信部810经由网络81与车辆1010的各自进行通信,从而接收各车辆1010的车载网络的CAN总线上流动的帧(消息)所包含的信息、或包含表示与帧相关的信息等的时间序列数据在内的日志。帧所包含的信息例如是指通过车载网络从CAN总线接收的帧的ID(消息ID)、DLC所表示的数据字段的长度、帧(消息)的数据字段中所保存的数据的内容。此外,与帧相关的信息例如是指与相同消息ID的帧的接收定时(间隔,频度等)相关的信息。以下,这样的帧所包含的信息、以及与帧相关且能够在日志中表示的信息,统称为帧信息。
通信部810作为通过从各车辆接收日志从而取得关于在各车辆的车载网络中收发的帧的这样的帧信息的取得部发挥功能。此外,通信部810发送安全信息生成部850所生成的与安全相关的发送用信息。发送用信息例如是用于以车辆的乘员为对象的警报通知(警告)的提示用信息、表示车辆行驶等的控制指示的控制信息、用于指示更新车辆中应用加密处理时使用的密钥的控制信息、用于在车辆侧检测涉及帧的非法的非法检测用信息等。此外,通信部810向日志收集对象车辆选出部855(后述)所选出的日志收集对象车辆发送日志的发送请求。该请求也可以包括帧的ID、或表示作为发送对象的与帧相关的ECU的ECU ID等、与需要对象车辆提供的日志中所包含的信息相关的指示。
认证处理部820具备加密处理功能,在与车辆1010进行通信时,负责在车辆1010与车辆异常检测服务器80之间进行相互认证的处理,通过加密处理来确立安全的通信路。例如认证处理部820可以通过加密处理功能,基于相互认证,将通信部810所接收的来自车辆的加密后的日志进行解密,并对用于向车辆发送的发送用信息进行加密。此外,也存在车辆异常检测服务器80中所保持的各种DB是对于相关者(例如图2的汽车制造商以及管理公司)而言的保密信息的情况。在这种情况下,在车辆异常检测服务器80,为了在各种DB中将信息加密而保存,利用了认证处理部820的加密处理功能。
日志收集部830将作为从各车辆1010收集的日志的内容的各种信息(关于通过车载网络收发的帧的帧信息等)保存在车辆日志存储DB870。日志收集部830也可以在将各种数据向车辆日志存储DB870保存时,对各种数据实施规定的标准化等处理。后续将使用其他图对车辆日志存储DB870中存储的数据(车辆日志信息)进行说明。
日志分析部840通过分析从各车辆1010收集并保存(集积)在车辆日志存储DB870中的日志,推算异常度,该异常度是与由车辆1010的车载网络接收的帧是否异常(攻击者是否向该车载网络发送了攻击帧)相关联的指标。日志分析部840可以对于集积的日志所表示的关于从各车辆收集的多个帧的帧信息进行例如统计处理等。日志分析部840作为推算部发挥功能,其基于通信部810所取得的关于多个帧的帧信息、及通信部810在关于该多个帧的帧信息之后取得的关于一台车辆1010(例如车辆1010a)的车载网络中接收到的帧的帧信息,推算该一台车辆1010的车载网络中接收到的该帧的异常度(异常的程度)。
日志分析部840也可以例如构筑关于正常的车载网络中收发的各帧的规定模型,且该规定模型能够用于与异常的车载网络中收发的各帧进行比较,然后基于所取得的日志使用机器学习将规定模型调整(更新)为更适当的模型。此外,也可以在依次取得日志的情况下,依次进行规定模型的更新。由此,能够针对未知的攻击模式迅速地采取适当的应对。
这些情况下,日志分析部840针对集积的日志所示的有关多个帧的帧信息适当地实施加工处理(例如多变量解析等),可供用于规定模型的学习。规定模型的学习可以使用监督学习、无监督学习的任一方式。例如,各车辆1010的车载网络***中,在具有基于规定规则而检测不符合该规则的帧(非法帧)在CAN总线中流动的非法检测功能的情况下,表示是非法帧或不是非法帧的区别的信息可以包含在日志中,在日志分析部840中也可以基于表示该区别的信息进行规定模型的监督学习。
此外,例如也可以是日志分析部840从各车辆1010收集有关不是非法帧的帧的日志,或不区别是否是非法帧而收集日志,基于收集的日志进行规定模型的无监督学***均值和方差确定的正态分布)的标准偏差乘以规定系数(例如3)而确定的,此外,通过使用多个规定系数从而能够以多个阶段推算异常度。作为用于构筑用来推算异常度的规定模型的方法,有偏差值检测、检测时间序列上的急剧变化的变化点检测等。
这样日志分析部840基于集积的日志(车辆日志)表示的关于各车辆1010的车载网络所接收的多个帧的帧信息,在接收关于该多个帧的帧信息之后,推算关于某一车辆1010的车载网络中接收的帧的帧信息的异常度。某一车辆1010的车载网络中接收的帧的帧信息也能够从该车辆1010的日志获得。并且,日志分析部840所推算的异常度用于决定安全信息生成部850所生成的发送用信息的内容、决定发送用信息的发送目的地车辆1010的范围、决定发送用信息的发送定时(时期)等。在根据针对某一车辆1010的车载网络所接收的帧而推算出的异常度、判定为有异常的情况(即检测到攻击帧的情况)下,日志分析部840使安全信息生成部850向该车辆以及在一定条件下向其他车辆1010进行发送用信息的发送(警告通知等)。此外,日志分析部840进行基于集积的日志信息的统计处理、规定模型的更新(学习)、某一车辆1010的车载网络中接收到的帧的异常度的推算等各种分析处理。并且,日志分析部840将该分析处理的结果(例如表示更新后的规定模型的信息、与推算出的异常度相关的信息等)保存在分析结果保存DB880,用于下一次的分析处理(帧的异常度的推算等)。
安全信息生成部850参照车辆信息DB860保持的车辆信息(参照图7)、和安全信息DB890中存储的攻击阶段信息(参照图9)以及警报级别信息,根据日志分析部840所推算出的关于某一车辆1010的车载网络接收到的帧的异常度,决定与安全相关的发送用信息的内容,决定发送用信息的发送目的地的车辆的范围(例如,是否向相同车型的车辆发送规定的发送用信息),决定发送用信息的发送时期。关于这些决定使用图7以及图8之后进行说明。安全信息生成部850根据这些决定进行发送用信息的发送控制,即、使通信部810向发送目的地的车辆1010发送发送用信息。
通过适当应用上述这样的统计处理、多变量解析、或机器学习等的方法,依照预先确定的规则的方法没有被判断为异常的现象,例如攻击预兆、基于未知的攻击模式的攻击帧的发生等通过多阶段的异常度来表示,根据该多阶段的异常度,可以更灵活、更恰当地应对。
[2.4车辆日志信息]
图6是表示车辆异常检测服务器80所具备的车辆日志存储DB870中存储的车辆日志信息的数据构成一例的图。如图6所示的车辆日志信息针对各汽车制造商制造的车辆,表示车型、用于按每个车型识别车辆的车辆ID、用于识别搭载于车辆的各ECU的ID与作为关于该各ECU发送的帧的帧信息的日志(在图中记为CAN日志)之间的关联关系。该车辆日志信息通过车辆异常检测服务器80集积从各车辆1010取得的日志而生成。这里CAN日志是例如CAN的帧的识别信息(ID(消息ID))、帧的DLC所示的数据长、帧的数据字段的内容等帧中所包含的信息、以及帧的发送周期(接收周期)等表示与帧相关的信息的数据,基于从各车辆1010接收到的日志。另外,CAN日志所示的信息也可以是基于日志所示的上述信息的、将关于CAN的帧的特征量(例如特征矢量等)进行正规化得到的信息。
日志分析部840通过该车辆日志信息的分析,对于各车辆1010的车载网络接收到的帧推算异常度等,从而判定各车辆1010中有无异常发生。
[2.5车辆信息DB]
图7是表示车辆异常检测服务器80所具备的车辆信息DB860的数据构成一例的图。如图7所示车辆信息按每个车型,表示用于识别该车型车辆搭载的ECU的ID(例如用于识别ECU的类别的款式等)与用于识别该ECU发送的帧的种类的ID(CAN的消息ID)之间的对应。车辆信息按每个车型,包含搭载于该车型车辆的全部ECU的ID、和该各ECU发送的帧的CAN的消息ID,但为了方便说明,在图7中仅表示了一部分ECU的ID及该ECU发送的一部分帧的ID。
图7的例中,车辆信息表861关于车型A的各车辆,表示了具备ID“001”的ECU以及ID“002”的ECU,并且ID“001”的ECU发送消息ID“100”的帧和消息ID“101”的帧,以及ID“002”的ECU发送CAN的消息ID“200”的帧。此外,车辆信息表861还关于车型B的各车辆,表示了具备ID“001”的ECU以及ID“003”的ECU,并且ID“001”的ECU发送消息ID“110”的帧和消息ID“111”的帧,以及ID“003”的ECU发送CAN的消息ID“301”的帧。另外,即使ECU的ID共通,搭载于不同的车型车辆上的ECU也不限于相同类型的ECU。在该情况下,通过参照ECU信息DB865而取得不同车型间的ECU ID的关联。此外,通过例如预先参照ECU信息DB865,将各车型中使用的ECU ID转换为车辆异常检测服务器80中使用的统一ECU ID后进行处理,在图7所示的车辆信息DB中相同ECU ID的ECU即使车型不同,也可以作为相同类型(同一种类)的ECU来对待。
通过参照车辆信息表861以及ECU信息DB865,日志收集对象车辆选出部855能够选出搭载特定的ECU的车型。此外,通过参照车辆信息表861,安全信息生成部850在对应于异常度的一定条件下,能够使得搭载与某一车辆中发送了异常的帧的ECU相同类型的ECU的车型的车辆包含在与安全相关的发送用信息的发送目的地中。
图8是表示车辆异常检测服务器80的车辆信息DB中还包含的分车型信息的数据构成一例的图。如图8所示,分车型信息是关于各汽车制造商的各车型的分地域表示可以作为异常检测对象的车辆的车辆ID的信息。另外,地域例如是对象车辆的登记地域、通信结果最后确认了车辆所在的地域、制造场所(制造工场)、出货目的地。分车型信息是本实施方式中的车辆ID列表的例子。
[2.6攻击阶段信息]
图9表示安全信息DB890所保持的攻击阶段信息的一例。攻击阶段信息是将基于攻击帧的发送所产生的对车辆的攻击区分为多个阶段(这里为四个攻击阶段),针对各攻击阶段对应地赋予了警报级别的信息。在图9的例中,攻击阶段信息将攻击阶段及检测到该攻击阶段的攻击的数量(检测数量)N的组合、与5等级的各警报级别建立对应。该检测数量既可以是累积的检测数量,也可以是一定的单位期间中的检测数量。警报等级表示安全上的重要度,被用于日志收集对象车辆选出部855选出日志收集对象车辆时。此外,也是用于区分车辆异常检测服务器80向车辆发送的与安全相关的发送用信息的发送方式的指标。
在该例中,攻击阶段大致分为攻击预兆和攻击。四个攻击阶段之中的、从严重程度低起的三个阶段1~3是攻击预兆的攻击阶段。此外,严重程度最高的阶段4是攻击的攻击阶段。另外,预想攻击从严重程度最低的阶段1开始依次执行的情况较多,但是并不一定按此顺序执行。
以下,按每个攻击阶段说明设想的攻击预兆或攻击的方法、攻击阶段的判别方法的例子、以及警报级别。
[2.6.1阶段1]
一般在车载网络中使用的CAN的帧(消息)的规格(例如每个消息ID的帧的内容、用途等)是非公开的。因此,作为攻击的准备,攻击者首先针对1台车辆经由诊断端口(例如图4的诊断端口710)向车载网络非法发送多种CAN的帧(消息),一边确认车辆的动作一边解析CAN的帧的规格。该解析行为通过反复进行试错来进行,直到所希望的攻击消息的CAN帧的规格中的至少利用于攻击的部分被破解为止。此外,除了解析CAN帧的规格之外,还探索用于将攻击帧发送到CAN总线的车载网络的漏洞。在攻击阶段信息中,将该攻击准备的阶段定义为攻击预兆的阶段1。
安全信息生成部850例如在表示发生异常的异常度被算出的帧的消息ID是被规定为车载网络正常状态下连接于车载网络的各ECU所发送的消息ID以外的消息ID的情况下、或者该帧的接收间隔(发送间隔)与常规的帧不同等情况下,可以判别是攻击预兆的阶段1。此外,安全信息生成部850例如在表示发生异常的异常度被算出的帧的消息ID是表示为诊断指令的消息ID、且为不符合比阶段1(严重程度)更高的阶段的ID的情况下,可以判别是攻击预兆的阶段1。诊断指令例如是预先规定为连接在诊断端口的正规的诊断工具所利用的包含特定消息ID(诊断用消息ID)的帧。另外,也可以使用其他任何方法作为攻击预兆的阶段1的判别方法。
图9中例示的攻击阶段信息中,阶段1与检测数量无关地与警报级别“1”建立对应。因此,安全信息生成部850,在判别为阶段1的情况下,进行以与警报级别“1”对应的发送方式向车辆发送发送用信息的控制。
[2.6.2阶段2]
如果发现某车型车辆的车载网络的设备或ECU的漏洞,则攻击者试图突破该漏洞,例如将该设备或ECU置于控制之下。例如,音响主体单元能够从外部网络下载应用程序等软件,设音响主体单元中存在没有被防范的漏洞。该情况下,攻击者例如伪装并发布面向音响主体单元的恶意软件(进行非法动作的恶意软件等),使用户无意中下载恶意软件,从而突破漏洞。此外,攻击者也可能经由连接于音响主体单元的外部设备,试探该漏洞。例如,如果音响主体单元能够与智能手机连接,则攻击者在互联网上的网站等伪装并发布恶意软件,使用户无意中下载到智能手机上。从而,在用户将智能手机与音响主体单元连接时,有可能从智能手机上的恶意软件试探音响主体单元的漏洞。并且通常认为,为了试探音响主体单元的漏洞、构筑用于非法访问CAN总线的攻击基盘,攻击者通过恶意软件,非法改写音响主体单元中的软件(固件等)而将音响主体单元置于控制下。在攻击阶段信息中,将该攻击的准备阶段定义为攻击预兆的阶段2。此外,如果V2X(车车间通信(V2V:Vehicle to Vehicle)以及路车间通信(V2I:Vehicle to Infrastructure))用的ECU(图4例中ECU302)那样的与外部网络直接连接的ECU存在漏洞,则攻击者可能不经由音响主体单元等而劫持该ECU从而非法改写该ECU的软件。使得成为能够非法访问这些CAN总线的状态的行为阶段也相当于攻击预兆的阶段2。即,将进行非法改写ECU的软件(固件等)的处理的阶段作为攻击预兆的阶段2。
安全信息生成部850例如在表示异常发生的异常度被算出的帧的消息ID是被规定为ECU的固件更新用的帧的ID的消息ID的情况等下,可以判别为是攻击预兆的阶段2。另外,也可以使用其他任何方法作为攻击预兆的阶段2的判别方法。例如,也可以使用确认固件更新用的帧在不是适当的更新时期却流经CAN总线的方法。
图9中例示的攻击阶段信息中,阶段2检测数量为1的情况下与警报等级“2”建立对应,检测数超过1的情况下与警报等级“3”建立对应。因此,安全信息生成部850进行控制,以在判别为阶段2的情况中如果该阶段2被检测的数量为1,则以与警报级别“2”对应的发送方式向车辆发送发送用信息,如果阶段2被检测的数量为多个,则以与警报级别“3”对应的发送方式向车辆发送发送用信息。
[2.6.3阶段3]
在攻击预兆的阶段2中恶意软件非法改写ECU的软件等,由此在对于某一特定车型车辆的车载网络构筑了攻击基盘后,恶意软件为了确认恶意软件本身当前正在访问的车辆的车型等信息而向CAN总线发送诊断指令等,从而取得车辆ID、ECU信息(ECU ID、ECU的名称等)等。在攻击阶段信息中,将该阶段定义为攻击预兆的阶段3。
安全信息生成部850例如在表示发生异常的异常度被算出的帧的消息ID是用于取得车辆ID、ECU信息等的诊断指令的消息ID的情况下,可以判别为是攻击预兆的阶段3。另外,也可以使用其他任何方法作为攻击预兆的阶段3的判别方法。
图9例示的攻击阶段信息中,阶段3中,检测数量为1的情况下与警报等级“3”建立对应,检测数量超过1的情况下与警报等级“4”建立对应。因此,安全信息生成部850进行控制,以在判别为阶段3的情况中若该阶段3被检测的数量为1则以与警报级别“3”对应的发送方式向车辆发送发送用信息;若阶段3被检测的数量为多个则以与警报级别“4”对应的发送方式向车辆发送发送用信息。
[2.6.4阶段4]
在攻击预兆的阶段3中恶意软件取得车型等信息后,恶意软件访问攻击者的非法服务器,从非法服务器接收表示与相应车型对应的CAN的攻击用的帧的发送步骤等的CAN攻击集。CAN攻击集例如是攻击者准备的、表示用于针对每个车型的车辆的车载网络来非法控制车辆的行驶等的帧组的内容、以及发送顺序等。恶意软件基于CAN攻击集向CAN总线发送攻击帧,从而执行攻击,并对车辆进行非法控制。攻击阶段信息中,将该阶段定义为攻击阶段4。
安全信息生成部850例如在表示发生异常的异常度被算出的帧的消息ID相当于被规定为接收到该帧的车辆中重要的控制用帧的ID的多个消息ID的某一个的情况下,可以判别为攻击阶段4。重要的控制用帧能够根据重要性任意地规定,例如是与行驶有关的帧。这里所说的与行驶有关的帧,例如是规定为由与“行进”、“转弯”、“停止”等车辆的行驶及行为的控制相关的驱动***及底盘***的ECU(例如发动机ECU、变速器ECU、制动器ECU、转向器ECU等)发送的帧。另外,也可以使用其他任何方法作为攻击阶段4的判别方法。例如,也可以使用如下方法:将表示车辆内致动器的控制指示的帧的内容、与表示反映了致动器作用的车辆的状态的帧的内容进行比较,从而判别是否进行了攻击。
在图9例示的攻击阶段信息中,阶段4中,检测数量为1的情况下与警报级别“4”建立对应、检测数量超过1的情况下与警报级别“5”建立对应。因此,安全信息生成部850进行控制,以在判别为阶段4的情况中如果该阶段4被检测的数量为1则以与警报警报级别“4”对应的发送方式向车辆发送发送用信息;如果阶段4被检测的数量为多个则以与警报级别“5”对应的发送方式向车辆发送发送用信息。
[2.7ECU信息DB]
图10是表示车辆异常检测服务器80具备的ECU信息DB865中所包含的ECU ID转换表的数据构成的一例的图。即使是同一种类的ECU,根据汽车制造商、车型而用于识别ECU的ECU ID也有时不同。图10所示的ECU ID转换表是用于将某一车型的ECU ID变换为其他车型的ECU ID的表。在图10的ECU ID转换表中,各行表示相同种类的ECU。例如,根据图10的ECUID转换表,可以知道:车型A中由ECU ID“001”标识的ECU,在车型B中也由ECU ID“001”来标识,车型C、车型D中没有搭载种类相同的ECU。此外,可以知道:车型A中由ECU ID“002”标识的ECU,是在车型B中由ECU ID“104”标识的ECU,是在车型C中由ECU ID“012”标识的ECU,在车型D中没有搭载。日志收集对象车辆选出部855在选出搭载有某一种类的ECU的车型时通过参照该ECU ID转换表,能够毫无遗漏地选出搭载有在车型间由不同的ID标识的相同类型ECU的车型。相同类型的ECU可以被搭载于多个车型的车辆。搭载于不同的车型的各车辆上的、相同类型ECU各自所发送的帧,仅帧的消息ID可能不同,帧的其他内容(DLC表示的数据长度,数据字段的数据等)、帧的发送周期等是共通的。
此外,ECU信息DB865中也可以包含图11中表示数据构成的一例的消息ID转换表。即使与数据字段的数据所表示的信息对应的帧的种类是共通的,根据汽车制造商、车型,也存在用于识别该帧的种类的消息ID不同的情况。图11所示的消息ID转换表是用于将某一车型的消息ID转换为其他车型的消息ID的表。在图11的消息ID转换表中,表示各行是相同种类的帧。例如,根据图11的消息ID转换表,可以知道:车型A中由消息ID“000”标识的帧,在车型B、车型C、车型D的任一个中也由消息ID“000”标识。此外,可以知道:车型A中由消息ID“001”标识的ECU,是在车型B中由消息ID“010”标识的帧,是在车型C中由消息ID“002”标识的帧,是在车型D中由消息ID“005”标识的帧。日志收集对象车辆选出部855在选出搭载有发送某一种类的帧的ECU的车型时,通过参照该消息ID转换表,能够毫无遗漏地选出搭载有发送在车型间由不同的ID标识的相同类型的帧的ECU的车型。图11是本实施方式中的第二车辆信息的例子。
此外,ECU信息DB865也可以包含图12中例示的分车型消息ID-ECU关联表。在根据某一车型的某一帧信息推算的异常度超过一定等级、因而判定为发生了异常的情况下,通过使用该分车型消息ID-ECU关联表能够从该帧的消息ID取得关联的ECU的ECU ID。例如根据图12所示的分车型消息ID-ECU关联表,在车型A的某一帧的帧信息的异常度为高的情况下,该帧的消息ID(图中标题“Msg.ID”的右栏)为“001”时,与该帧相关的、即被推测为与异常相关的ECU是ECU ID“002”的ECU和ECU ID“004”的ECU。这里相关的ECU,例如可以是发送或接收该消息ID的帧的ECU。分车型消息ID-ECU关联表是本实施方式中的第一车辆信息的例子。
此外,ECU信息DB865也可以包含图13中例示的分车型ECU关联表。在根据与某一车型的某一帧相关的信息推算出的异常度超过一定等级、由此判定为发生了异常的情况下,通过使用该分车型ECU关联表,能够取得与发送了该帧的ECU相关的ECU的ECU ID。例如根据图13所示的分车型ECU关联表,与车型A的ECU ID“001”相关的ECU的ECU ID是ECU ID“002”以及“004”。这里相关的ECU是可以是该帧的发送目的地,可以是与该ECU进行帧的收发的ECU,也可以是用于实现共通的功能的ECU。分车型ECU关联表是本实施方式中的关联信息处理装置信息的例子。
[2.8网关的结构]
图14是表示车辆1010的车载网络中的网关90的功能构成例的框图。如同图所示,网关90包括帧收发部901、帧解释部902、非法帧检测部903、规则保持部904、帧生成部905、转发控制部906、转发规则保持部907、密钥处理部920、密钥保持部921、帧上传部950、非法检测通知部930、以及更新处理部940作为功能性结构要素。这些各结构要素例如通过网关90中的通信电路、执行存储器中所保存的控制程序的处理器或数字电路等来实现。例如,帧上传部950以及更新处理部940通过用来与车辆异常检测服务器80进行通信的通信电路等来实现。
帧收发部901针对总线10、总线20、总线30、总线40、总线50、总线60、以及总线70的各自,收发依照CAN协议的帧。帧收发部901按每次1bit从总线接收帧,并通知帧解释部902。此外,基于从帧生成部905接收到通知的表示转发目的地的总线的总线信息以及发送用的帧,将该帧的内容向总线10、总线20、总线30、总线40、总线50、总线60、以及总线70之中的转发目的地的总线按每次1bit发送。
帧解释部902从帧收发部901接受帧的值,并对其进行解释以将其映射到由CAN协议规定的帧格式中的各字段。帧解释部902将接收到的帧的各字段的信息向非法帧检测部903通知。另外,帧解释部902在判断为所接受的帧不是符合CAN协议的帧的情况下,向帧生成部905通知以使其发送错误帧。此外,帧解释部902在接收到其他ECU所发送的错误帧的情况下、即根据接受到的帧中的值解释为是错误帧的情况下,之后丢弃该帧,即中止帧的解释。
非法帧检测部903参照规则保持部904所保持的、表示是否是非法帧的判定用(非法帧的检测用)的规则或算法(例如非法检测用程序等)的信息(非法检测用信息),判定所接收的帧是否是非法帧。作为表示非法帧的检测用的规则或算法的信息的一例,可以举出列举了被允许接收的CAN的帧(消息)的条件(用于进行确定的信息)的白名单、列举了不被允许接收的条件的黑名单等。非法帧是不符合非法帧的检测用的规则的帧。在被判定为非法帧的情况下,非法帧检测部903进行控制,以在非法帧被发送的途中,向在发送非法帧的总线发送错误帧,从而使非法帧无效化。即在非法帧被检测到的情况下,非法帧检测部903通过使帧收发部901发送错误帧,从而使非法帧无效化。此外,非法帧检测部903将是否是非法帧的判定结果向帧解释部902通知。在没有被非法帧检测部903判定为非法帧的情况下,解释部902将该帧的各字段的信息向转发控制部906通知。此外,非法帧检测部903在判定为非法帧的情况(检测到非法帧的情况)下将关于该非法帧的信息(例如,表示检测为非法的信息,或者,表示检测为非法以及非法帧的内容的信息)向非法检测通知部930通知。另外,也可以是为了在判定为非法帧的情况下充分取得表示非法帧的内容的信息,非法帧检测部903在等到接收到非法帧的特定部分(例如数据字段)之后迅速进行将非法帧无效化的错误帧的发送。
转发控制部906根据转发规则保持部907所保持的转发规则信息,相应于接收到的帧的ID(消息ID)、以及转发源总线(即接收到该帧的总线)来选择转发目的地的总线,并将表示转发目的地的总线的总线信息、应被转发的帧的内容(例如由帧解释部902通知的消息ID、DLC(数据长度)、数据(数据字段的内容)等)向帧生成部905通知,并请求发送。
转发规则保持部907保持表示关于每个总线的帧的转发的规则的转发规则信息。转发规则信息针对可以作为转发源的各总线,表示该总线接收的应转发的帧的消息ID和转发目的地的总线。此外转发规则信息包括表示各总线是否是被规定为将帧内容加密的总线,以及,各总线是否是被规定为对帧赋予MAC的总线(连接有MAC对应ECU的总线)的信息。通过参照该信息,转发控制部906在转发帧时,进行分别与加密以及MAC的赋予关联的处理。例如,转发控制部906进行控制,以在转发目的地与MAC对应的情况下,使密钥处理部920使用密钥保持部921所保持的MAC密钥生成MAC,将MAC赋予帧并进行转发。此外,转发控制部906在转发源与加密对应的情况下,使用密钥保持部921所保持的、与连接于转发源的总线的各ECU共有的密钥,使密钥处理部920对帧的内容进行解密。并且,在转发目的地与加密对应的情况下,转发控制部906进行控制,以使密钥处理部920使用密钥保持部921所保持的、与连接于转发目的地的总线的各ECU共有的密钥,对帧的内容进行加密并进行转发。密钥处理部920可以使用任何的方式对于帧的内容加密以及基于帧的内容等生成MAC。MAC例如可以基于帧的数据字段内的一部分的值来生成,也可以基于该值与其他字段的值或其他信息(例如对帧的接收次数进行计数的计数值等)结合而得到的值来生成。例如能够使用HMAC(基于哈希的消息验证码:Hash-based Message Authentication Code),CBC-MAC(密码区块链-消息验证码:Cipher Block Chaining Message Authentication Code)等作为MAC计算方法。
帧生成部905根据来自转发控制部906的发送请求,使用由转发控制部906通知的帧的内容构成发送用的帧,将该发送用的帧以及总线信息(例如转发目的地的总线的标识符等)向帧收发部901通知。
非法检测通知部930为了在非法帧检测部903检测到非法帧的情况下将检测为非法之意向驾驶员等通知,进行将有关非法帧的信息(例如,表示检测为非法之意的信息,或者表示检测为非法之意以及非法帧的内容的信息)向音响主体单元通知的控制(帧收发部901的控制等)。此外,非法检测通知部930也可以在非法帧检测部903检测到非法帧的情况下,例如进行将包含表示检测为非法之意的信息和关于该非法帧的信息在内的日志信息等向车辆异常检测服务器80通知的控制。根据该检测为非法之意将非法帧与不是非法的帧区别的日志信息,例如在车辆异常检测服务器80中可以用于监督学习。此外,表示检测为非法之意的信息也可以被车辆异常检测服务器80利用于例如各种通知(例如向汽车制造商,ECU开发商等各种发送目的地的发送等)。
更新处理部940基于从车辆异常检测服务器80取得的信息,更新规则保持部904所保持的、表示非法帧的检测用的规则或算法的信息(白名单、黑名单等)。
帧上传部950依次取得由帧收发部901从任一总线接收的帧,基于日志发送判定部960的判定,将表示关于接收到的帧的帧信息(例如帧的内容,接收间隔,接收频度等)的日志向车辆异常检测服务器80发送(上传)。帧上传部950在日志中包含搭载有网关90的车辆的识别信息(车辆ID)。此外,帧上传部950也可以在日志中包含其他各种信息(例如车辆状态信息、车辆的位置信息等)。作为有关接收到的帧的信息,帧上传部950也可以实施将帧的内容、接收间隔、接收频度等进行加工的加工处理,以使得车辆异常检测服务器80进行统计处理、机器学习等的情况下容易进行处理。这里,帧的接收间隔例如是该帧的接收时刻与上次接收到与该帧相同ID的帧的时刻之差。此外,帧的接收频度例如是在一定的单位时间中接收到与该帧相同ID的帧的数量。该加工处理例如是涉及与帧相关的数据的整形、数据的分析(包含主成分分析等的多变量解析等)的处理。加工处理例如从帧的内容、接收间隔、接收频度等特征提取特征量,进行标准化等,进行特征量的信息量的缩减等。例如通过将特征量使用作为各成分的特征矢量来表示,基于与车辆异常检测服务器80联合而得到的信息,通过主成分分析来削减特征矢量的维数等,由此来实现特征量的信息量的缩减。此外,帧上传部950例如为了减少与车辆异常检测服务器80的通信量,可以无条件地或根据通信状况压缩日志后进行发送,也可以是仅针对一部分的ID的帧、例如由日志发送判定部960指示的ID的帧将帧信息包含在日志中。
日志发送判定部960基于来自车辆异常检测服务器80的发送请求,决定是否向车辆异常检测服务器80发送日志。在接受到来自车辆异常检测服务器80的发送请求的情况下,可以是一定期间内,每当帧收发部901从总线接收帧,就向车辆异常检测服务器80发送包含有关该帧的帧信息在内的日志,也可以是在接收到多个帧的阶段,向车辆异常检测服务器80发送包含有关该各帧的信息在内的日志信息。其中,当将有关从总线接收到的帧的帧信息迅速地向车辆异常检测服务器80传递时,可以使车辆异常检测服务器80迅速地检测该帧是否异常从而能够进行迅速的应对。此外,日志发送判定部960可以对帧上传部950进行指示,使得不是将帧收发部901从总线接收到的帧之中的全部帧的帧信息包含在日志中,而仅是将关于来自车辆异常检测服务器80的发送请求所指示的一个或多个ID的帧的帧信息包含在日志中。另外,由发送请求所确定的,可以不是帧的ID而是与该帧的收发有关的ECU ID。该情况下,日志发送判定部960将根据来自车辆异常检测服务器80的发送请求确定的ECU ID的ECU所收发的帧的消息ID,作为日志信息发送对象的帧ID向帧上传部950通知。
另外,对应于从车辆异常检测服务器80发送了发送用信息(警报,控制信息等)的情况,网关90接收该发送用信息,根据发送用信息,经由总线将必要的信息向预先确定的ECU发送等,由此实现针对驾驶员或周边车辆的警告的提示、车辆1010的行驶控制、功能缩退的控制等。
[2.9车辆异常检测服务器基于与车辆的协作的异常检测]
接着,说明本实施方式中的车辆异常检测***中、基于如上所述构成的车辆异常检测服务器80与车辆1010的协作的异常检测的处理。
图15是表示车辆异常检测服务器80基于与车辆1010的协作进行到异常检测为止的处理步骤等的一例的时序图。图15所示的例中,主要将包含关于由车辆1010中的一台搭载的车载网络所收发的帧的帧信息(在该例中,对有关帧的信息进行加工处理而得到的特征矢量)在内的日志向车辆异常检测服务器80发送,由车辆异常检测服务器80进行帧的异常度的推算等处理(异常检测处理)。具体而言,是通过车辆1010的网关90经由车载网络的总线接收其他ECU发送的一个帧时的动作中进行的处理。该例使用车辆1010中的一台(例如车辆1010a)向车辆异常检测服务器80发送日志的情况进行了说明,但是其他车辆1010(车辆1010b、1010c、1010d、1010e、1010f等)也同样对车辆异常检测服务器80发送日志。以下,按照图15进行说明。
与车辆1010的车载网络中的总线10连接的一个ECU(例如发动机ECU100,变速器ECU101等)开始向总线10发送CAN的帧(步骤S101)。
车辆1010的网关90中,从总线10接收步骤S101中发送的帧(步骤S102)。
在步骤S101发送帧的期间中,网关90由非法帧检测部903通过参照表示非法帧的检测用的规则或算法的信息,来对步骤S102中接收的帧是否是非法进行判定(步骤S103)。在步骤S103中判定为非法的情况下(步骤S103中是),网关90在完成步骤S101中开始发送的帧的发送之前,发送由帧生成部905生成的错误帧从而使非法帧无效化(步骤S104)。另外,发送了帧的ECU在经由总线10接收该错误帧的情况下(步骤S105中是),中断该帧的发送(步骤S106)。此外,连接于总线10的其他ECU也在接收该错误帧的情况下,中止接收通过步骤S101开始发送的帧。
在步骤S103中没有被判定为非法的情况下(步骤S103中否)、发送步骤S104中的错误帧之后,网关90确认是否从车辆异常检测服务器80接收到发送请求(步骤S116)。在没有接收到发送请求的情况下(步骤S116中否),该车辆1010未被车辆异常检测服务器80选择为该时刻的监视对象。因此,网关90不向车辆异常检测服务器80发送帧信息而前进到帧转发处理(步骤S110)。此外,在接收到发送请求的情况下(步骤S116中是),基于步骤S102中接收到的帧的内容、接收间隔、接收频度等确定(计算)特征量(步骤S107)。
接下来在网关90中,由帧上传部950基于步骤S107中计算出的帧的特征量进行加工处理(步骤S108)。帧上传部950将包含作为加工处理的结果而取得的关于该帧的特征矢量(帧信息)在内的日志向车辆异常检测服务器80发送(步骤S109)。
此外,网关90除了接收到的帧在步骤S103中被判定为非法的情况外,由转发控制部906进行帧的转发(基于转发规则信息进行帧的转发的处理)(步骤S110)。图15的例中,步骤S102中接收到的帧通过该帧转发处理被转发至总线20,连接于总线20的制动器ECU200或转向器ECU201接收所转发的该帧(步骤S111)。
车辆异常检测服务器80选出成为异常检测的监视对象的车辆(步骤S114),对于被选出的对象车辆发送日志的发送请求(步骤S115)。有关车辆选出将使用图16进行后述。此外,从网关90接收包含关于由车辆1010的车载网络收发的帧的特征矢量(帧信息)在内的日志(步骤S112)。并且,车辆异常检测服务器80利用所接收到的包含特征矢量在内的日志,进行异常检测处理(步骤S113)。关于异常检测处理,将使用图17进行后述。
[2.10监视对象车辆的选出处理]
图16是表示车辆异常检测服务器80中的、通常时对于成为异常检测的监视对象的车辆的选出处理(图15的步骤S114)的一例的流程图。以下,按照图16对车辆的选出处理进行说明。
车辆异常检测服务器80中,日志收集对象车辆选出部855具有用于按每个车型选出成为监视对象、即成为异常判定中所用的帧信息的发送请求对象的车辆(以下,称为对象车辆)的索引(步骤S1601),使用该索引并参照车辆信息DB所保持的分车型信息(图8)来决定对象车辆的车辆ID(步骤S1602)。此外,在经过一定的时间成为更新索引的定时的情况下(步骤S1603),日志收集对象车辆选出部855更新索引(步骤S1604),并再次参照分车型信息来决定对象车辆的车辆ID(步骤S1602)。
通过如此选出使之发送帧信息的车辆,从而对监视对象的车辆进行采样,与全部车辆发送帧信息的情况相比,抑制了网络81的拥堵、以及车辆异常检测服务器80的过负荷的发生。
另外,用于选出对象车辆的索引的个数、即同时期将帧信息向车辆异常检测服务器80发送的车辆1010的台数,可以按每个车型存在有多个,也可以存在与例如各车型的总数量对应的个数的索引。此外,可以在通信业务拥堵的情况下限定对象车辆,在不拥堵的情况下扩大对象车辆等,根据拥堵情况进行变更。由此,抑制了车辆异常检测***使得网络81的通信量增加。此外,也可以根据车辆异常检测服务器80所具有的计算资源的余量进行变更。
此外,索引的更新可以如上述例子那样通过等值的加法或减法来进行,也可以是基于随机数等的随机的选择。
此外,也可以考虑与车辆相关的地域,从某一地域集中地选择、或从多个地域分散地选择。
[2.11异常检测处理]
图17是表示车辆异常检测服务器80中的异常检测处理(图15的步骤S113)的一例的流程图。以下,按照图17对异常检测处理进行说明。
车辆异常检测服务器80中,日志分析部840基于从各车辆1010发送的日志(有关各车辆的车载网络收发的帧的帧信息的时间序列数据),执行统计性异常检测处理(步骤S201)。统计性异常检测处理包含如下处理:参照从各车辆1010取得的日志(即日志收集部830进行收集从而作为车辆日志存储在车辆日志存储DB870中的日志),进行有关车载网络收发的帧的帧信息的统计处理、多变量解析等,从而进行能够用于与异常状态进行比较的规定模型的构建、或进行基于机器学习的规定模型的更新。此外,统计性异常检测处理包括如下处理:通过使用了基于过去各车辆1010的车载网络收发的帧的该规定模型、与最后从某一车辆(这里假设为车辆1010a)所取得的日志中包含的有关该车辆的车载网络接收到的帧的帧信息(特征矢量等)的运算处理(比较等),推算该车辆1010a接收到的帧的异常度。该运算处理可以包括例如用于偏离值检测、检测时间序列上的剧烈变化的变化点检测等的处理。日志分析部840执行这些处理,并推算帧的异常度。另外,车辆异常检测服务器80中,作为异常度推算对象的帧并不限于车辆1010a的车载网络收发的帧,也可以是其他车辆1010的车载网络接收的帧。
接着车辆异常检测服务器80中,由日志分析部840根据在步骤S201的统计性异常检测处理中针对帧推算的异常度是否高于预定的阈值,进行帧是否异常的判定(异常检测)(步骤S202)。
在步骤S202中判定为帧为异常的情况(步骤S202中是)下,日志分析部840进而根据判定为异常的帧的识别信息(消息ID)等,例如判别是攻击预兆、攻击等哪一阶段的攻击阶段,由此使用攻击阶段信息(参照图9)进行警报级别的判定(即决定发送用信息的内容、发送时期、发送目的地的车辆的范围等的发送方式),以基于决定的警报级别的发送方式从安全信息生成部850进行发送用信息(警报、控制信息等)的发送(步骤S203)。
接着车辆异常检测服务器80中,表示步骤S202中的判定结果或步骤S201的统计性异常检测处理中的更新后的规定模型的信息被保存在分析结果存储DB880中,从车辆1010最后接收的日志被保存在车辆日志存储DB中(步骤S204)。
此外,在步骤S202中判定为帧为异常的情况下(步骤S202中是),车辆异常检测服务器80中,由日志收集对象车辆选出部855使用被判定为异常的帧的识别信息(消息ID)等,选定发送异常检测的发送请求的追加调査对象车辆(步骤S205)。有关追加调査对象车辆的选定处理将在后述。并且,对于被选定的追加对象车辆,从车辆异常检测服务器80发送日志的发送请求(步骤S206)。追加对象车辆是1台至多台车辆1010,针对各对象车辆依次发送日志的发送请求。在根据发送请求而从各车辆接收到包含帧信息(特征矢量信息)在内的日志的情况下(步骤S207),针对这些日志执行步骤S201的统计性异常检测处理。
此外,在步骤S202中判定为帧不是异常的(步骤S202中否)情况下,在车辆异常检测服务器80中,也与步骤S204相同地将表示步骤S202中的判定结果或步骤S201的统计性异常检测处理中的更新后的规定模型的信息保存在分析结果存储DB880中,将从车辆1010最后接收到的日志保存在车辆日志存储DB中(步骤S208)。
另外,车辆异常检测服务器80中的基于机器学习的规定模型的更新,例如可以不是在步骤S201的统计性异常检测处理内执行,而是在步骤S204或步骤S208中执行。
[2.12追加调査对象车辆选定处理]
图18是表示追加调査对象车辆的选定处理的步骤示例的流程图。
车辆异常检测服务器80中的追加调査对象车辆的选定,由日志收集对象车辆选出部855参照车辆信息DB860以及ECU信息DB865来进行。在该例中所示的追加调査对象车辆的选出中,使用了被检测到异常的帧的消息ID、作为被检测到异常的帧的发送源的ECU的ECUID、与被检测到异常的帧对应的帧的消息ID这3种类的信息。
参照图18的流程图,日志收集对象车辆选出部85 5判定是否已实施基于消息ID的追加调査对象车辆的探索(步骤S1801)。在基于消息ID的探索未实施的情况(步骤S1801中否)下,日志收集对象车辆选出部855使用分车型消息ID-ECU关联表(参照图12),取得与被判定为异常的帧的消息ID相关的ECU ID(步骤S1804)。
在基于消息ID的探索已经实施完成的情况(步骤S1801中是)或步骤S1804之后,日志收集对象车辆选出部855判定是否已经实施基于与ECU的关联的追加调査对象车辆的探索(步骤S1802)。在基于与ECU的关联的探索未实施的情况下(步骤S1802中否),日志收集对象车辆选出部855使用分车型ECU关联表(参照图13)以及车辆信息表861(参照图7),取得与发送了被判定为异常的帧的ECU关联的ECU ID(步骤S1804)。
在基于与ECU的关联的探索已经实施完成的情况(步骤S1802中是)或步骤S1805之后,日志收集对象车辆选出部855判定是否已经实施基于对应的消息ID的追加调査对象车辆的探索(步骤S1803)。在基于对应的消息ID的探索未实施的情况下(步骤S1803中否),日志收集对象车辆选出部855使用对应消息ID转换表(参照图11)以及车辆信息表861(参照图7),取得发送与被判定为异常的帧对应的帧的ECU的ECU ID(步骤S1806)。
接着日志收集对象车辆选出部855使用ECU ID转换表(参照图10),取得具备已经取得的ECU ID的ECU的车型的信息、以及具备与该ECU对应的ECU的其他车型的信息(步骤S1807)。
接着日志收集对象车辆选出部855使用分车型信息(参照图8),取得在步骤S1807中取得的信息所表示的各车型的按地域的车辆列表(步骤S1808),选出该车辆列表中记载的车辆作为追加调査的对象车辆(步骤S1809)。
如上所述,日志收集对象车辆选出部855使用与被检测的异常相关联的帧所相关的信息从而选出追加调査的对象车辆。如上选出的车辆1010具有与发生了异常的车辆相同的漏洞等的可能性较高,也就是说,与异常相同的异常在车载网络中发生的可能性高。因而,将这些车辆1010作为有无发生异常的追加调査对象,从而能够尽早且有效地执行针对以上的应对。如此这样,由日志收集对象车辆选出部855使用与被检测异常相关联的帧所相关的信息从而选出的车辆1010是本实施方式中的异常关联车辆的例子。
另外,在上述说明中,步骤S1809中使用分车型信息来取得各车型的分地域的车辆列表,但也可以是不分地域地作为全地域中分一个车型的车辆列表来获取。此外,追加调査的对象车辆也可以不是车辆列表中记载的全部车辆。对象车辆例如也可以根据异常度的判定结果从车辆列表进一步缩小而选出。此处异常度的判定结果例如是警报级别的判定(步骤S203)。此外,车辆列表中记载的车辆的数量可以根据网络81的拥堵状况、或车辆异常检测服务器80的负荷大小进行变更。
此外,图18所示流程图中使用了3种类的信息,但是并不限于此。例如也可以仅使用这些3种类的信息的一部分,进而也可以使用其他信息。
[2.13车辆异常检测服务器进行的各车辆的异常监视]
接着,使用例子说明本实施方式的车辆异常检测***中的车辆异常检测服务器80进行的多个车辆的异常监视的流程。图19是表示为了车辆异常检测服务器80进行的车型A的多台车辆(车辆1010a、车辆1010b、车辆1010c)的异常监视而进行的通信的概要的时序图。
假设在该时序图所示的时间轴的开始处、车辆异常检测***为通常时,即,在车辆异常检测服务器80中检测的车辆没有异常。并且在车辆异常检测服务器80中,选出作为异常检测的监视对象的对象车辆(步骤S1901)。该对象车辆的选出例如根据图16所示的车辆选出处理的步骤来进行。在该例中,车辆1010a被选出,从车辆异常检测服务器80向车辆1010a发送日志的发送请求(步骤S1902)。至此为止的步骤相当于图15所示的步骤S114以及S115。
在接收到请求的车辆1010a中,在日志发送判定的定时进行日志发送判定,并将车辆1010a的车载网络中收发的帧的帧信息、该例中为特征矢量作为日志向车辆异常检测服务器80发送(步骤S1950)。该步骤相当于图15所示的步骤S116以及步骤S107至S109。
在接收到根据请求而从车辆1010a发送的日志(特征矢量)的车辆异常检测服务器80中,根据特征矢量表示的信息、和基于至此为止所接收的信息的模型,推算异常度,进行基于该异常度是否超过规定阈值来判定有无发生异常的异常检测处理(步骤S1903)。至此为止的步骤相当于图15所示的步骤S112以及S113。
在该异常检测处理中没有被判定为异常的情况下,重复进行步骤S1901、S1902、S1950、S1903的步骤直到对象车辆的更新定时到来。在该例中,假设上述一系列步骤的重复期间中车辆1010a终始没有被判定为异常的情况下进行说明。
当经过一定的时间到达对象车辆的更新定时时,车辆异常检测服务器80再次进行对象车量的选出(步骤S1911)。在该例中,如果此次车辆选出处理的结果是车辆1010b被选为对象车辆,则在车辆异常检测服务器80中,进行与从步骤S1901到步骤1903相同的步骤S1911、S1912以及S1913,车辆1010b中,也进行与车辆1010a中所进行的步骤S1950相同的步骤S1960。由此,接收到根据请求而从车辆1010b发送来的日志(特征矢量)的车辆异常检测服务器80进行异常检测处理。在该例中假设上述一系列步骤的重复期间,车辆1010b终始没有被判定为异常而进行说明。
进而,在经过一定的时间而对象车辆的更新定时再次到来的情况下,车辆异常检测服务器80再次进行对象车辆的选出(步骤S1913)。在该例中,如果此次车辆选出处理的结果是车辆1010c被选为对象车辆,则在车辆异常检测服务器80中进行与从步骤S1901到步骤1903为止相同的步骤S1921、S1922以及S1923,在车辆1010c中进行与车辆1010a中所进行的步骤S1950相同的步骤S1970。在该例中,假设车辆异常检测服务器80使用根据请求而从车辆1010c发送的日志而进行的异常检测处理的结果是判定为发生了异常。该情况下,在车辆异常检测服务器80中,不是重复从步骤S1921开始的一系列的步骤,而是进行追加调査对象车辆选出处理(步骤S1931)。追加调査对象车辆的选出根据例如图18所示的追加调査对象车辆选出处理的步骤来进行。在此,假设选出了与检测到异常的车辆相同车型的车辆,即选出车辆1010a与车辆1010b进行说明。
接着从车辆异常检测服务器80向车辆1010a以及车辆1010b发送日志发送请求(步骤S1932),从车辆1010a以及车辆1010b,响应于该请求而将特征矢量作为日志向车辆异常检测服务器80发送(步骤S1955、S1965)。
接收了从车辆1010a以及车辆1010b发送的特征矢量的车辆异常检测服务器80,分别对其进行异常检测处理(步骤S1933)。
在以上说明的一系列的处理步骤中,在步骤S1931中执行追加调査对象车选出处理的日志收集对象车辆选出部855是本实施方式中的车辆选出部的例子,选出的车辆是异常关联车辆的例子。此外,步骤S1932中发送的日志的发送请求是第一请求的例子。
此外,例如直到步骤S1911为止的步骤中,步骤S1901中选出的车辆1010a是本实施方式中的第一样本车辆的例子,向车辆1010a发送的请求是第二请求的例子。进而,步骤S1911中选出的车辆1010b是本实施方式中的第二样本车辆的例子,向车辆1010b发送的请求是第三请求的例子。
另外,图19所示的步骤中,车辆异常检测服务器80分别从车辆1010a以及车辆1010b接受特征矢量之后进行异常检测处理(步骤S1933),但也可以是每当从车辆1010接收特征矢量时则进行异常检测处理(步骤S1916)。
此外,在该例中,通过由车辆异常检测服务器80的日志分析部840进行的日志分析来判定各车辆1010的车载网络中收发的帧有无异常(步骤S1903、S1913、S1923),但是并不限于此。例如,也可以是通过各车辆1010的非法帧检测部903、或其他提供数据安全功能或自诊断功能的设备,判定该车辆有无发生异常,表示该结果的数据被提供给车辆异常检测服务器80。该情况下,也可以是在日志分析部840中,代替日志分析而通过取得表示该结果的数据,取得表示作为发送源的车辆1010中有无发生异常的信息,并根据有无发生来执行接下来的步骤。此时,在车辆1010检测到发生异常的情况下,从该车辆向车辆异常检测服务器80提供与非法帧相关的帧信息。车辆异常检测服务器80使用该帧信息进行警报级别的判定、追加调査对象车辆的选出等。
此外,在该例子中选出了1台通常时的对象车辆,但是也可以是多台。此外,对象车辆的更新定时设为经过一定时间,但也可以在其他定时进行更新。此外,追加调査对象车辆的选出方法可以使用之前列举的其他选出方法,也可以跨汽车制造商或车型来选出对象车辆。此外,在图19中,虽然省略了警报的通知,但是也可以伴随着异常的检测来进行警报通知。
[2.14补充事项]
为了避免说明变得复杂而到目前为止没有涉及,以下描述了设想的变形等。
在上述中关于车型相同,以款式以及车辆ID的共通性进行了说明,但并不限于此。例如,也可以认为,由于具有对于网络攻击的共通的漏洞这样的理由,具有搭载的ECU的结构、或者进而车载网络上的配置相同的车辆组而车型相同。因而,例如,即使款式相同,搭载的ECU的供应商不同的车辆也可以作为其他车型而不是相同车型来对待。此外,相反,即使ECU的供应商不同,但只要控制规格相同则可以将ECU的结构作为相同来对待。此外,即使是相同供应商、进而相同型号的ECU,但在ECU搭载的软件(包含固件)的版本不同的情况下,也可以作为其他种类的ECU对待。
此外,再选出对象车辆(图19的步骤S1911、S1921)的定时并不限于从上次选出起经过一定时间。也可以根据服务器所进行的设定、或来自OEM(原始设备制造商:OriginalEquipment Manufacturer),SOC(安全管理中心:Security Operation Center)的指示进行变更,也可以随时执行。
此外,如上所述,发送日志的各个车辆的选出可以不是在车辆异常检测服务器80中进行。例如,可以是,在车辆异常检测服务器80中设定时刻以及地域等条件而向全部车辆通知该条件,在各车辆中根据自车固有的信息、时刻信息、位置信息等判定是否符合对象车辆,在符合的情况下将日志向车辆异常检测服务器80发送。
此外,上述中,在车辆异常检测服务器80中将没有推算出超过规定阈值的异常度时设为通常时,进行通常时的处理并不限于此。例如,也可以能够根据来自OEM或SOC的指示、来自ITS等其他***的通知切换通常时的处理或异常发生时的处理。
此外,从车辆异常检测服务器80发送的日志发送请求也可以是通常时(图19的步骤S1902、S1912、S1922)与异常检测时(步骤S1932)其内容不同。例如,在日志发送请求中包含紧急标志区域,在异常检测时设立紧急标志。与此相对,在车辆1010中例如也可以提高日志发送处理的优先级,或者准备与通常时的内容不同的日志、例如更详细或简单内容的日志向车辆异常检测服务器80发送。此外,除通常时以外,根据攻击阶段或警报级别而请求以及日志各自的内容也可以不同。
(其他变形例)
如以上所述,作为本发明的技术的例示说明了实施方式。但是,本发明的技术并不限定于该实施方式的内容,也能够应用于进行了适宜变更、置换、附加、省略等的实施方式中。例如,以下的变形例也包含在本发明的一个实施方式中。
(1)上述实施方式中,使用车辆具有基于CAN协议进行通信的车载网络(车载网络***)的例子来进行说明,但本发明的技术能够适用的网络类别(通信协议)并不限定于此。例如,车载网络可以是基于CAN-FD、Ethernet、LIN(本地互联网络:Local InterconnectNetwork),或FlexRay等协议的网络,或者是基于从这些以及CAN选择的多个协议的网络的组合。
(2)上述实施方式中例示了,通过车辆1010所具备的网关90的帧上传部950来进行包含特征矢量的制作处理等在内的发送前的加工处理。该加工处理可以由车辆1010内的结构要素和车辆异常检测服务器80的任一个来执行,也可以由车辆1010内的结构要素以及车辆异常检测服务器80双方来分担。分担的分配可以作为设计事项适当决定。
(3)在上述实施方式中,车辆1010的网关90向车辆异常检测服务器80发送的日志中包含的是与车上非法检测结果无关的帧信息。取而代之,也可以是网关90在执行根据检测到非法帧而向车载网络发送错误帧的应对处理的情况下,不向车辆异常检测服务器80发送有关该非法帧的信息(特征矢量等),即,不向车辆异常检测服务器80通知车载网络中发生异常。
(4)在上述实施方式中,通常时,车辆异常检测服务器80选出向车辆异常检测服务器80发送日志的车辆1010,并将发送请求进行发送,或将条件进行发送,但各车辆1010也可以具有决定是否将日志向车辆异常检测服务器80发送的***。例如,可以是在通常时,各车辆1010中反复判定车辆ID末尾的数字与当前时刻末尾的数字是否一致,在一致的情况下发送日志。在该例子的情况下,车辆异常检测服务器80在检测为异常时的请求发送也从车辆异常检测服务器80向各车辆发送。此外,也可以是与车辆异常检测服务器80不同的服务器进行对象车辆的选定。
(5)在上述实施方式中,举出了如下例子:由车辆异常检测服务器80进行统计性异常检测处理,从而推算某帧的异常度,在基于异常度判定为异常的情况下,决定警报级别。另外,车辆异常检测服务器80也可以具有,不依赖于统计性异常检测处理而通过例如预先确定的算法等推算该帧的异常度、并根据异常度(例如根据是否有异常)决定警报级别的功能。例如,也可以在确定为该帧是具有针对固件更新用的帧预先规定的消息ID的帧、且该帧在固件的适当更新时期以外流向CAN总线情况下,推算表示有异常的异常度并决定警报级别而进行警报通知等。或者,该情况下可以视为攻击预兆的阶段2而使用攻击阶段信息(参照图9)来决定警报级别。此外,例如更简单地,可以使用基于黑名单或白名单等所示的非法帧检测用的规则的判定方法。并且在车辆异常检测服务器80中,也可以通过并用统计性异常检测处理、和使用非法帧检测用的预先确定的规则或算法来检测非法帧的处理,从而推算异常度。在该情况下,对于被检测为非法帧的帧,以表示存在异常的方式推算异常度。
(6)上述实施方式所示的各种处理的步骤(例如图15,图16,图17,图18,图19所示的步骤等)的执行顺序,不一定限定于根据图示如上述的顺序。这些执行顺序在不脱离发明的要旨的范围内能够进行更换、并行执行多个步骤、或者省略该步骤的一部分。
(7)上述实施方式中的网关及其他ECU,例如以包含处理器、存储器等数字电路、模拟电路、通信电路等的装置进行了说明,但只要是信息处理装置即可,以上是其例子。该信息处理装置也可以包括硬盘装置等存储装置、以及作为显示器、键盘、鼠标等输入输出装置的硬件结构要素。此外,车辆异常检测服务器80例如是具备处理器、存储装置、通信接口等的计算机,但也可以包括作为显示器、键盘、鼠标等输入输出装置的硬件结构要素。此外,上述实施方式所示的各装置(ECU、车辆异常检测服务器80等),由处理器执行存储器中存储的控制程序来以软件方式实现功能,取而代之,也可以通过专用的硬件(数字电路等)实现该功能的至少一部分。
(8)构成上述实施方式中的各装置的结构要素的一部分或全部可以由一个***LSI(Large Scale Integration:大规模集成电路)构成。***LSI是将多个构成部集成在一个芯片上而制造的超多功能LSI,具体而言,是包括微处理器、ROM、RAM等而构成的计算机***。在该ROM中记录有计算机程序。并且,通过该微处理器根据ROM中记录的计算机程序进行动作,由此***LSI实现该功能。此外,构成上述各装置的结构要素的各部分可以个别地进行单芯片化,也可以以包含一部分或全部的方式进行单芯片化。此外,这里,虽然设为***LSI,但根据集成度的不同,也有称为IC、LSI,超级LSI,超LSI的情况。此外,集成电路化的方法不限于LSI,也可以由专用电路或通用处理器来实现。也可以利用在LSI制造后可编程的FPGA(现场可编程门阵列:Field Programmable Gate Array)、和能够重构LSI内部的电路单元的连接和设定的可重构处理器。进而,根据半导体技术的进步或派生的其他技术如果出现置换LSI的集成电路化的技术,则当然也可以使用该技术进行功能块的集成化。生物技术的应用等也可以作为一种可能性。
(9)构成上述各装置的结构要素的一部分或全部可以由可装卸于各装置的IC卡或单个模块构成。上述IC卡或上述模块是由微处理器、ROM、RAM等构成的计算机***。上述IC卡或上述模块也可以包含上述超多功能LSI。微处理器根据计算机程序进行动作,由此上述IC卡或上述模块实现该功能。该IC卡或该模块也可以具有防篡改性。
(10)通过将上述实施方式以及上述变形例所示的各结构要素以及功能进行任意组合而实现的形态也包含在本发明的范围中。
另外,虽然表示了各实施方式中对于车载***的应用,但是本发明并不仅限于车载***,在产业用途、智能工厂等工厂控制用途中,在进行远程控制时也有效。
工业实用性
本公开用于进行多个车辆的异常检测的车辆异常检测***中。
附图标记说明:
10、20、30、40、50、60、70 总线
80 车辆异常检测服务器
81 网络
90 网关
100、101、200、201、300、301、302、400、401、500、600、700 ECU
110 发动机
111 变速器
210 制动器
211 转向器
310 自动制动***
311 车道保持***
312 车车间通信***
410 车门
411 车灯
510 音响主体单元
610 ITS装置
710 诊断端口
810 通信部(取得部)
820 认证处理部
830 日志收集部
840 日志分析部
850 安全信息生成部
855 日志收集对象车辆选出部
860 车辆信息数据库
861 车辆信息表
865 ECU信息数据库
870 车辆日志存储数据库
880 分析结果存储数据库
890 安全信息数据库
901 帧收发部
902 帧解释部
903 非法帧检测部
904 规则保持部
905 帧生成部
920 密钥处理部
921 密钥保持部
930 非法检测通知部
940 更新处理部
950 帧上传部
960 日志发送判定部
1000 服务用户
1010、1010a、1010b、1010c、1010d、1010e、1010f 车辆
1020 网关
1100 数据中心运营公司
1110 云服务器
1200 服务提供商
1210 服务器
D10 驾驶员
U10 管理用户。
Claims (11)
1.一种车辆异常检测服务器,具备:
通信部,与车辆进行通信,接收该车辆所具备的车载网络的日志;
日志分析部,基于由所述通信部接收到的日志所表示的信息,判定作为所述通信的对象的多台车辆中的一台车辆即第一车辆中有无异常发生;
车辆选出部,在被判定为所述第一车辆中发生异常的情况下,从所述多台车辆选出与所述第一车辆的异常相应的异常关联车辆;以及
日志收集部,经由所述通信部向所述异常关联车辆发送第一请求,该第一请求用于请求发送所述异常关联车辆所具备的车载网络的日志;
所述日志分析部进而基于根据所述第一请求而从所述异常关联车辆发送且由所述通信部接收到的日志所表示的信息,判定所述异常关联车辆中有无异常发生。
2.如权利要求1所述的车辆异常检测服务器,
所述车辆选出部从所述多台车辆选出第一样本车辆,其中所述第一样本车辆是作为有无异常发生的判定对象的监视对象车辆,
所述日志收集部经由所述通信部向被选出的所述第一样本车辆发送第二请求,该第二请求用于请求发送所述第一样本车辆所具备的车载网络的日志,
所述日志分析部基于根据所述第二请求而从所述第一样本车辆发送且由所述通信部接收到的日志所表示的信息,判定所述第一样本车辆中有无异常发生,
在由所述日志分析部判定为所述第一样本车辆中没有异常发生的情况下,所述车辆选出部从所述多台车辆选出与所述第一样本车辆不同的第二样本车辆,其中所述第二样本车辆是作为有无异常发生的判定对象的监视对象车辆,
所述日志收集部经由所述通信部向被选出的所述第二样本车辆发送第三请求,该第三请求用于请求发送所述第二样本车辆所具备的车载网络的日志。
3.如权利要求2所述的车辆异常检测服务器,
所述日志是车载网络中收发的帧所包含的信息的至少一部分的时间序列数据或与所述帧相关的信息的时间序列数据。
4.如权利要求3所述的车辆异常检测服务器,
所述车辆选出部选出车型与发生了所述异常的车辆共通的车辆,作为所述异常关联车辆。
5.如权利要求1所述的车辆异常检测服务器,
所述车辆异常检测服务器还具备保持第一车辆信息的存储部,该第一车辆信息表示在所述车载网络中收发的帧的种类与发送所述帧的信息处理装置之间的对应,
所述车辆选出部参照所述第一车辆信息,从所述多台车辆中,确定具备发送种类与关联于所述第一车辆中发生的异常的帧相同的帧的信息处理装置的车辆,并选出所确定的所述车辆作为所述异常关联车辆。
6.如权利要求5所述的车辆异常检测服务器,
所述存储部还保持第二车辆信息,该第二车辆信息表示消息ID在车型间的对应,该消息ID表示所述车载网络中收发的帧的种类,
所述车辆选出部参照所述第二车辆信息,确定如下消息ID:该消息ID是与所述第一车辆不同的车型所具备的车载网络中收发的帧的消息ID,而且是与关联于所述第一车辆中发生的异常的帧的消息ID对应的消息ID,所述车辆选出部参照所述第一车辆信息,从所述多台车辆中,确定具备发送所确定的所述消息ID表示的种类的帧的信息处理装置的车辆,并选出所确定的所述车辆作为所述异常关联车辆。
7.如权利要求1所述的车辆异常检测服务器,
所述车辆异常检测服务器还具备保持车辆ID列表的存储部,该车辆ID列表是对作为所述第一请求的发送目的地的候选的车辆进行识别的车辆ID的分车型的列表,
所述车辆选出部使用所述车辆ID列表,选出所述异常关联车辆。
8.如权利要求7所述的车辆异常检测服务器,
所述车辆ID列表表示与地域相应的所述车辆ID的区分,该地域是与作为所述第一请求的发送目的地的候选的所述车辆相关联的地域,
所述车辆选出部基于所述车辆ID列表表示的地域,选出所述异常关联车辆。
9.如权利要求1所述的车辆异常检测服务器,
所述车辆异常检测服务器还具备保持关联信息处理装置信息的存储部,该关联信息处理装置信息表示与所述车载网络连接的多个信息处理装置间的关联,
所述车辆选出部参照所述关联信息处理装置信息,从所述多台车辆中,确定具备与发送了关联于所述第一车辆中发生的异常的帧的信息处理装置相关联的信息处理装置的车辆,并选出所确定的所述车辆作为所述异常关联车辆。
10.一种车辆异常检测***,包括:
如权利要求1~9中任一项所述的车辆异常检测服务器;以及
与所述车辆异常检测服务器进行通信的多台车辆,根据来自所述车辆异常检测服务器的请求,向所述车辆异常检测服务器发送所述日志。
11.一种车辆异常检测方法,是由如权利要求10所述的车辆异常检测***执行的车辆异常检测方法,
所述车辆异常检测***中,
与车辆进行通信,接收该车辆所具备的车载网络的日志,
基于接收到的日志所表示的信息,判定作为所述通信的对象的多台车辆中的一台车辆即第一车辆中有无异常发生,
在被判定为所述第一车辆中发生异常的情况下,从所述多台车辆选出与所述第一车辆的异常相应的异常关联车辆,
从所述车辆异常检测***向所述异常关联车辆发送第一请求,该第一请求用于请求发送所述异常关联车辆所具备的车载网络的日志,
所述车辆异常检测***进而基于根据所述第一请求而从所述异常关联车辆发送的日志所表示的信息,判定所述异常关联车辆中有无异常发生。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862620152P | 2018-01-22 | 2018-01-22 | |
| US62/620,152 | 2018-01-22 | ||
| PCT/JP2019/000720 WO2019142741A1 (ja) | 2018-01-22 | 2019-01-11 | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110463142A CN110463142A (zh) | 2019-11-15 |
| CN110463142B true CN110463142B (zh) | 2022-03-01 |
Family
ID=67301024
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980001799.7A Active CN110463142B (zh) | 2018-01-22 | 2019-01-11 | 车辆异常检测服务器、车辆异常检测***及车辆异常检测方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11363045B2 (zh) |
| EP (2) | EP4106298B1 (zh) |
| JP (2) | JP7247089B2 (zh) |
| CN (1) | CN110463142B (zh) |
| WO (1) | WO2019142741A1 (zh) |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7247089B2 (ja) * | 2018-01-22 | 2023-03-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 |
| US11108804B2 (en) * | 2018-02-27 | 2021-08-31 | Blackberry Limited | Providing secure inter-vehicle data communications |
| US11110895B2 (en) * | 2018-04-09 | 2021-09-07 | Cisco Technology, Inc. | Vehicle network intrusion detection system (IDS) using vehicle state predictions |
| EP3799365B1 (en) * | 2018-05-23 | 2022-11-30 | Panasonic Intellectual Property Corporation of America | Anomaly detection device, anomaly detection method, and program |
| US11354406B2 (en) * | 2018-06-28 | 2022-06-07 | Intel Corporation | Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles |
| EP3623965A1 (en) * | 2018-09-14 | 2020-03-18 | United Technologies Corporation | Fabricated data detection method |
| DE102018215945A1 (de) * | 2018-09-19 | 2020-03-19 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Anomalie-Erkennung in einem Fahrzeug |
| KR102486151B1 (ko) * | 2018-10-16 | 2023-01-10 | 현대자동차주식회사 | 통신 장치, 그를 가지는 차량 및 그 제어 방법 |
| US11700270B2 (en) * | 2019-02-19 | 2023-07-11 | The Aerospace Corporation | Systems and methods for detecting a communication anomaly |
| US11233650B2 (en) * | 2019-03-25 | 2022-01-25 | Micron Technology, Inc. | Verifying identity of a vehicle entering a trust zone |
| JP7294427B2 (ja) * | 2019-07-31 | 2023-06-20 | 日本電気株式会社 | 異常検知システム、異常検知方法、および、異常検知プログラム |
| US20210053574A1 (en) * | 2019-08-21 | 2021-02-25 | Micron Technology, Inc. | Monitoring controller area network bus for vehicle control |
| JP7284673B2 (ja) * | 2019-09-17 | 2023-05-31 | 株式会社日立ソリューションズ | 変換装置、変換方法、および変換プログラム |
| JP7226248B2 (ja) * | 2019-10-31 | 2023-02-21 | トヨタ自動車株式会社 | 通信装置および異常判定装置 |
| JP7065356B2 (ja) * | 2019-11-11 | 2022-05-12 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法、およびプログラム |
| JP7347534B2 (ja) * | 2019-11-20 | 2023-09-20 | 日本電信電話株式会社 | ネットワーク監視装置、方法およびプログラム |
| DE102019218045A1 (de) * | 2019-11-22 | 2021-05-27 | Volkswagen Aktiengesellschaft | Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus, sowie zentrale Überwachungsvorrichtung zum Anschluss an einen Kommunikationsbus |
| CN110874355B (zh) * | 2019-11-28 | 2022-08-23 | 以萨技术股份有限公司 | 车辆徘徊绕圈异常行为的检测方法、***、终端及介质 |
| JP6861789B1 (ja) * | 2019-12-20 | 2021-04-21 | 三菱電機株式会社 | 車載記録装置および情報記録方法 |
| CN111163340A (zh) * | 2019-12-31 | 2020-05-15 | 武汉光庭信息技术股份有限公司 | 一种基于车联网的ivi***远程log上报方法和装置 |
| CN113157758A (zh) * | 2020-01-07 | 2021-07-23 | 微软技术许可有限责任公司 | 定制化异常检测 |
| JP7363510B2 (ja) * | 2020-01-21 | 2023-10-18 | 株式会社オートネットワーク技術研究所 | 管理装置、車載装置の識別情報割り当て方法、車載システム、及びデータ構造 |
| KR20210103972A (ko) * | 2020-02-14 | 2021-08-24 | 현대자동차주식회사 | 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법 |
| JP7322806B2 (ja) * | 2020-05-15 | 2023-08-08 | トヨタ自動車株式会社 | 車両用異常検出装置 |
| JP7392586B2 (ja) * | 2020-06-17 | 2023-12-06 | 株式会社デンソー | ログ送信制御装置 |
| US11616798B2 (en) * | 2020-08-21 | 2023-03-28 | Palo Alto Networks, Inc. | Malicious traffic detection with anomaly detection modeling |
| US11386204B2 (en) * | 2020-09-24 | 2022-07-12 | Intel Corporation | Agile reconfigurable approach for real-time replacement of on-chip safety-critical modules |
| JP7373803B2 (ja) * | 2020-09-29 | 2023-11-06 | パナソニックIpマネジメント株式会社 | 情報送信装置、サーバ、及び、情報送信方法 |
| CN112199266B (zh) * | 2020-10-23 | 2022-11-29 | 中国第一汽车股份有限公司 | 车机***的日志传输方法、***、车辆及存储介质 |
| US20220158843A1 (en) * | 2020-11-13 | 2022-05-19 | Ford Global Technologies, Llc | Diagnostic over ip authentication |
| KR20220080915A (ko) * | 2020-12-08 | 2022-06-15 | 삼성전자주식회사 | 스토리지 장치와 호스트 장치의 구동 방법 및 스토리지 장치 |
| CN112660145A (zh) * | 2020-12-24 | 2021-04-16 | 李敏 | 一种无人驾驶车辆的控制***及其控制方法 |
| JP2022112318A (ja) * | 2021-01-21 | 2022-08-02 | トヨタ自動車株式会社 | 情報処理システム、通信端末、及び情報処理方法 |
| JP7273875B2 (ja) * | 2021-03-03 | 2023-05-15 | 本田技研工業株式会社 | 判定装置、移動体、判定方法及びプログラム |
| JP7447848B2 (ja) | 2021-03-05 | 2024-03-12 | 株式会社デンソー | 車両用装置、サーバ、及び通信管理方法 |
| CN113050630B (zh) * | 2021-03-10 | 2022-07-15 | 哈尔滨工程大学 | 一种网络攻击下无人船的事件驱动航向安全控制方法 |
| CN113783930B (zh) * | 2021-07-27 | 2023-11-03 | 亚投财富信息科技(北京)有限公司 | 基于野外可部署5g车载平台的空地网络***及搭建方法 |
| CN114124679A (zh) * | 2021-09-03 | 2022-03-01 | 深圳市有方科技股份有限公司 | 物联网终端日志的上传方法、装置、物联网终端 |
| JP7230147B1 (ja) | 2021-09-24 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ分析装置、方法およびそのプログラム |
| WO2023233710A1 (ja) * | 2022-05-31 | 2023-12-07 | パナソニックIpマネジメント株式会社 | 情報処理方法、情報処理システム及びプログラム |
| CN115320538A (zh) * | 2022-07-20 | 2022-11-11 | 国汽智控(北京)科技有限公司 | 智能网联汽车入侵检测***及方法 |
| JP2024030833A (ja) * | 2022-08-25 | 2024-03-07 | 株式会社デンソー | 移動体管理装置、移動体制御装置、移動体管理システム、移動体管理方法、移動体制御方法、移動体管理プログラム、及び移動体制御プログラム |
| WO2024069264A1 (ja) * | 2022-09-26 | 2024-04-04 | ロベルト•ボッシュ•ゲゼルシャフト•ミト•ベシュレンクテル•ハフツング | 機能管理システム、および機能管理方法 |
| WO2024070078A1 (ja) * | 2022-09-27 | 2024-04-04 | パナソニックオートモーティブシステムズ株式会社 | 情報処理装置、情報処理装置の制御方法及びプログラム |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013250929A (ja) * | 2012-06-04 | 2013-12-12 | Mitsubishi Electric Building Techno Service Co Ltd | 設備点検計画支援装置及びプログラム |
| CN103632211A (zh) * | 2013-12-06 | 2014-03-12 | 清华大学 | 一种机动车故障预警和召回预测*** |
| CN105721238A (zh) * | 2014-11-03 | 2016-06-29 | 通用汽车环球科技运作有限责任公司 | 用于车辆群集感测应用的自适应采样的方法和设备 |
| CN106062847A (zh) * | 2015-01-20 | 2016-10-26 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| WO2017104112A1 (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | セキュリティ処理方法及びサーバ |
| WO2017119089A1 (ja) * | 2016-01-07 | 2017-07-13 | 三菱電機株式会社 | センサ機器、データ伝送処理装置及びデータ伝送処理方法 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4736828B2 (ja) * | 2006-02-03 | 2011-07-27 | 株式会社デンソー | 電子制御装置 |
| JP4270301B2 (ja) * | 2007-04-13 | 2009-05-27 | 株式会社デンソー | 車載データ収集装置と通信するセンタ |
| JP5333501B2 (ja) * | 2011-03-31 | 2013-11-06 | 株式会社デンソー | 車両の挙動データ記憶制御システム及び記憶装置 |
| JP5522160B2 (ja) * | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | 車両ネットワーク監視装置 |
| JP5949417B2 (ja) * | 2012-10-09 | 2016-07-06 | 株式会社デンソー | 中継装置 |
| JP5919205B2 (ja) | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| CN103607327B (zh) * | 2013-12-03 | 2017-01-18 | 北京经纬恒润科技有限公司 | 一种诊断方法及集成ecu |
| JP6032265B2 (ja) * | 2014-12-10 | 2016-11-24 | トヨタ自動車株式会社 | 車両データのリモート収集システム |
| JP6330737B2 (ja) * | 2015-06-15 | 2018-05-30 | トヨタ自動車株式会社 | 情報収集システム、車載装置、及びサーバー |
| US10798114B2 (en) * | 2015-06-29 | 2020-10-06 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| JP6675271B2 (ja) * | 2015-09-14 | 2020-04-01 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、車載ネットワークシステム及びファームウェア更新方法 |
| KR102464898B1 (ko) * | 2016-01-05 | 2022-11-09 | 삼성전자주식회사 | 차량과 관련된 영상 정보를 공유하는 방법 및 장치 |
| JP6414580B2 (ja) * | 2016-10-14 | 2018-10-31 | トヨタ自動車株式会社 | リチウムイオン二次電池の容量回復システム |
| CN111448783B (zh) * | 2017-12-15 | 2021-11-19 | 松下电器(美国)知识产权公司 | 车载网络异常检测***及车载网络异常检测方法 |
| JP7247089B2 (ja) * | 2018-01-22 | 2023-03-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 |
| WO2020021713A1 (ja) * | 2018-07-27 | 2020-01-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知方法および不正検知電子制御装置 |
| WO2021144860A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両ログ保存装置、車両ログ送信装置、車両ログ収集システムおよび車両ログ保存方法 |
-
2019
- 2019-01-11 JP JP2019530507A patent/JP7247089B2/ja active Active
- 2019-01-11 WO PCT/JP2019/000720 patent/WO2019142741A1/ja unknown
- 2019-01-11 EP EP22189128.6A patent/EP4106298B1/en active Active
- 2019-01-11 EP EP19741153.1A patent/EP3745654B1/en active Active
- 2019-01-11 CN CN201980001799.7A patent/CN110463142B/zh active Active
- 2019-10-16 US US16/654,728 patent/US11363045B2/en active Active
-
2022
- 2022-05-16 US US17/744,862 patent/US20220279005A1/en active Pending
-
2023
- 2023-03-15 JP JP2023040284A patent/JP7492622B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013250929A (ja) * | 2012-06-04 | 2013-12-12 | Mitsubishi Electric Building Techno Service Co Ltd | 設備点検計画支援装置及びプログラム |
| CN103632211A (zh) * | 2013-12-06 | 2014-03-12 | 清华大学 | 一种机动车故障预警和召回预测*** |
| CN105721238A (zh) * | 2014-11-03 | 2016-06-29 | 通用汽车环球科技运作有限责任公司 | 用于车辆群集感测应用的自适应采样的方法和设备 |
| CN106062847A (zh) * | 2015-01-20 | 2016-10-26 | 松下电器(美国)知识产权公司 | 不正常应对方法以及电子控制单元 |
| JP2017111796A (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| WO2017104112A1 (ja) * | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | セキュリティ処理方法及びサーバ |
| WO2017119089A1 (ja) * | 2016-01-07 | 2017-07-13 | 三菱電機株式会社 | センサ機器、データ伝送処理装置及びデータ伝送処理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2019142741A1 (ja) | 2020-11-19 |
| US20220279005A1 (en) | 2022-09-01 |
| EP3745654A4 (en) | 2020-12-02 |
| EP4106298B1 (en) | 2023-11-29 |
| JP7492622B2 (ja) | 2024-05-29 |
| US20200053112A1 (en) | 2020-02-13 |
| US11363045B2 (en) | 2022-06-14 |
| EP3745654B1 (en) | 2022-09-14 |
| WO2019142741A1 (ja) | 2019-07-25 |
| JP2023068037A (ja) | 2023-05-16 |
| CN110463142A (zh) | 2019-11-15 |
| EP3745654A1 (en) | 2020-12-02 |
| EP4106298A1 (en) | 2022-12-21 |
| JP7247089B2 (ja) | 2023-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110463142B (zh) | 车辆异常检测服务器、车辆异常检测***及车辆异常检测方法 | |
| US10798117B2 (en) | Security processing method and server | |
| US11949705B2 (en) | Security processing method and server | |
| US10992688B2 (en) | Unauthorized activity detection method, monitoring electronic control unit, and onboard network system | |
| CN110494330B (zh) | 车辆监视装置、不正当检测服务器、以及控制方法 | |
| CN110300686B (zh) | 数据分析装置及存储介质 | |
| EP3915843A1 (en) | Vehicle security monitoring device, method, and program | |
| US11411761B2 (en) | Detection device, detection method, and program | |
| CN118355383A (zh) | 威胁信息扩展***、威胁信息扩展方法以及程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |