CN111052681A - 异常检测电子控制单元、车载网络***及异常检测方法 - Google Patents
异常检测电子控制单元、车载网络***及异常检测方法 Download PDFInfo
- Publication number
- CN111052681A CN111052681A CN201980003808.6A CN201980003808A CN111052681A CN 111052681 A CN111052681 A CN 111052681A CN 201980003808 A CN201980003808 A CN 201980003808A CN 111052681 A CN111052681 A CN 111052681A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- abnormality
- state
- message
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W40/00—Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
- B60W40/10—Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to vehicle motion
- B60W40/105—Speed
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W40/00—Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
- B60W40/08—Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to drivers or passengers
- B60W40/09—Driving style or behaviour
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W50/045—Monitoring control system parameters
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/08—Interaction between the driver and the control system
- B60W50/14—Means for informing the driver, warning the driver or prompting a driver intervention
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V20/00—Scenes; Scene-specific elements
- G06V20/50—Context or environment of the image
- G06V20/59—Context or environment of the image inside of a vehicle, e.g. relating to seat occupancy, driver state or inner lighting conditions
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0808—Diagnosing performance data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W50/045—Monitoring control system parameters
- B60W2050/046—Monitoring control system parameters involving external transmission of data to or from the vehicle, e.g. via telemetry, satellite, Global Positioning System [GPS]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2520/00—Input parameters relating to overall vehicle dynamics
- B60W2520/04—Vehicle stop
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2520/00—Input parameters relating to overall vehicle dynamics
- B60W2520/10—Longitudinal speed
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2556/00—Input parameters relating to data
- B60W2556/45—External transmission of data to or from the vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2720/00—Output or target parameters relating to overall vehicle dynamics
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2756/00—Output or target parameters relating to data
- B60W2756/10—Involving external transmission of data to or from the vehicle
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W60/00—Drive control systems specially adapted for autonomous road vehicles
- B60W60/001—Planning or execution of driving tasks
- B60W60/0015—Planning or execution of driving tasks specially adapted for safety
- B60W60/0018—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
- B60W60/00188—Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Transportation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Multimedia (AREA)
- Computing Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
与车载网络连接的异常检测电子控制单元(11)具备:接收部(111),接收表示搭载车载网络的车辆的速度信息的第一通信消息、以及表示车辆的周边信息的第二通信消息;行驶状态判定部(112),基于速度信息判定车辆的第一行驶状态,基于周边信息判定第二行驶状态;异常判定部(113),对行驶状态判定部(112)所判定的第一行驶状态与第二行驶状态进行比较,在不一致的情况下,将第一通信消息判定为异常;以及异常处理部(115),在判定为第一通信消息异常的情况下,执行用于应对异常的处理。
Description
技术领域
本发明涉及对车载网络等中被发送的非法的消息进行检测并进行应对的安全性对策技术。
背景技术
近年来,在汽车之中的***中,大量配置了被称为电子控制单元(ECU:ElectronicControl Unit)的装置。将这些ECU相连的网络被称为车载网络。在车载网络中,存在多个通信标准。作为其中最主流的通信标准的一个,有ISO11898中规定的CAN(Controller AreaNetwork:控制器域网)这样的标准。
在依照CAN的标准的车载网络(以下也称为CAN网络)中,通信路径(总线)由两根线缆构成,与总线连接的ECU也被称为节点。与总线连接的各节点基于被称为帧或者消息的单位来收发数据。另外在CAN网络中,不使用表示数据的发送目的地或者发送源的标识符。
发送消息的节点(以下也称为发送节点)按每个消息附加表示消息的种类的被称为消息ID的ID来发送,也就是说向总线送出信号。接收消息的节点(以下也称为接收节点)仅接收包含预先决定的消息ID的消息,也就是说从总线读取信号。同一ID的消息按照规定的一定周期被发送。
如上所述,在汽车之中的***中大量配置的ECU一边经由所连接的CAN网络相互授受各种消息一边进行动作。
在此,与CAN网络的外部具有通信功能的ECU有可能被从外部攻击等而被劫持,而对CAN网络发送非法的消息。这样的被劫持的ECU(以下也称为非法ECU)例如可能冒充其他ECU发送非法的消息,对汽车非法地进行控制。
因此,公开了攻击者通过访问CAN网络并发送非法的消息来对ECU非法地进行控制的方法。
例如,作为对汽车的非法的远程操作,在非专利文献1中公开了:从对用于进行车辆的诊断的诊断用设备进行连接的端口,攻击者使用正规的诊断机来发送非法的车辆的诊断消息,从而可能对车辆造成很大影响。
另外,根据非专利文献2,公开了几个汽车厂商通过在汽车行驶中不受理诊断消息,从而针对非专利文献1中使用的攻击进行安全应对。进而,在非专利文献2中还公开了:如果攻击者篡改并发送汽车的速度信息,则在行驶中的汽车中,有可能使汽车误认为是停止中,如果在行驶中受理并服从,则即使是危险的内容的诊断消息也有可能受理。
在先技术文献
非专利文献
非专利文献1:Charlie Miller&Chris Valasek,Remote Exploitation of anUnaltered Passenger Vehicle,2015/8/10
非专利文献2:Charlie Miller&Chris Valasek,CAN Message Injection,2016/6/28
发明内容
本发明要解决的课题
基于如上所述的方法的攻击,有可能对行驶中的车辆的控制造成很大影响并导致事故等。需要能够针对这样的攻击进行适当的检测和应对的对策。
本发明提供能够对由于这样的攻击导致的异常进行检测并适当地进行应对的异常检测电子控制单元(异常检测ECU)、车载网络***及异常检测方法。
用于解决课题的手段
为了达成上述目的,本发明的一个方式所涉及的异常检测ECU是与多个电子控制单元在通信中使用的车载网络连接的异常检测电子控制单元,所述异常检测电子控制单元具备:接收部,接收表示搭载所述车载网络的车辆的速度信息的第一通信消息及表示所述车辆的周边信息的第二通信消息;行驶状态判定部,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;异常判定部,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及异常处理部,在所述异常判定部将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
另外,本发明的一个方式所涉及的车载网络***是包含经由车载网络进行通信的多个电子控制单元以及与所述车载网络连接的异常检测电子控制单元的车载网络***,所述多个电子控制单元包含第一电子控制单元、第二电子控制单元、第三电子控制单元、以及与外部网络进行通信的外部通信装置,所述第一电子控制单元将表示搭载所述车载网络的车辆的速度信息的第一通信消息向所述车载网络发送,所述外部通信装置将从所述外部网络接收的外部消息向所述车载网络发送,所述第二电子控制单元将表示所述车辆的周边信息的第二通信消息向所述车载网络发送,所述第三电子控制单元在接收到所述第一通信消息的情况下,保持所述第一通信消息的值,在接收到所述外部消息的情况下,根据保持的所述第一通信消息的值进行与所述外部消息对应的处理,所述异常检测电子控制单元具备:接收部,接收所述第一通信消息及所述第二通信消息;行驶状态判定部,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;异常判定部,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及异常处理部,在将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
另外,本发明的一个方式所涉及的异常检测方法是与多个电子控制单元在通信中使用的车载网络连接的异常检测电子控制单元中的异常检测方法,包含:接收步骤,接收表示搭载所述车载网络的车辆的速度信息的第一通信消息及表示所述车辆的周边信息的第二通信消息;行驶状态判定步骤,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;异常判定步骤,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及异常应对步骤,在将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
此外,这些概括性或者具体性的方式也可以通过集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质实现,也可以通过装置、***、方法、集成电路、计算机程序及记录介质的任意组合实现。
发明效果
根据本发明,能够对下述攻击所导致的异常进行检测并进行应对,该供给包含将表示篡改后的速度信息的消息向车载网络发送。
附图说明
图1是表示实施方式所涉及的车载网络***的整体构成的图。
图2是表示实施方式所涉及的CAN协议的数据帧的格式的图。
图3是表示实施方式所涉及的异常检测ECU的构成的图。
图4是表示实施方式所涉及的异常可能性判定表的一例的图。
图5是表示实施方式所涉及的制动器ECU的构成的图。
图6是表示实施方式所涉及的接收ID列表的一例的图。
图7是表示实施方式所涉及的异常检测处理的一例的流程图。
图8是表示实施方式所涉及的车辆的行驶状态的判定处理的一例的流程图。
图9是表示实施方式所涉及的基于周边信息判定车辆的行驶状态的判定处理的一例的流程图。
图10是表示实施方式所涉及的异常可能性的判定处理的一例的流程图。
具体实施方式
本发明的一个实施方式的异常检测电子控制单元是与多个电子控制单元在通信中使用的车载网络连接的异常检测电子控制单元,所述异常检测电子控制单元具备:接收部,接收表示搭载所述车载网络的车辆的速度信息的第一通信消息及表示所述车辆的周边信息的第二通信消息;行驶状态判定部,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;异常判定部,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及异常处理部,在所述异常判定部将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
由此,即使包含表示篡改的车辆的速度的信息在内的非法的消息被发送至车载网络,也能够适当地检测该消息的异常并进行应对。
例如也可以是,所述行驶状态判定部根据所述速度信息所示的所述车辆的速度,以高速行驶状态、低速行驶状态及停止状态的至少3个阶段表示所述第一行驶状态,进而,所述行驶状态判定部根据所述速度信息所示的所述车辆的速度,以高速行驶状态、低速行驶状态及停止状态的至少3个阶段表示所述第二行驶状态,所述异常判定部根据表示所述第一行驶状态的所述阶段与表示所述第二行驶状态的所述阶段之差的大小,判定所述第一通信消息的异常的可能性的高低,所述异常处理部所进行的所述处理根据所述异常的可能性的高低而内容不同。
由此,能够执行与车辆中检测到的异常的可能性的高低相应的适当的应对。例如,所述处理也可以包含向所述车辆的使用者通知所述异常的发生。例如,所述处理也可以包含用于介入所述车辆的驾驶操作的指示。
例如也可以是,在所述第一行驶状态与所述第二行驶状态不一致的情况下,在所述第二行驶状态是高速行驶状态时,与所述第二行驶状态是低速行驶状态时相比,所述异常判定部将所述异常的可能性判定得更高。
一般而言随着车辆的速度升高,事故等的危险性增加,受害变大。通过以将更高速行驶的车辆的异常的可能性判定得高的方式进行处理,能够执行适当的应对。
例如也可以是,所述第二通信消息表示3种类以上的周边信息,所述行驶状态判定部在基于所述3种类以上的周边信息的各个来判定的所述车辆的行驶状态中包含不同的行驶状态的情况下,将使用所述3种类以上的消息的各个来判定的行驶状态之中的最多的行驶状态,判定为所述第二行驶状态。另外也可以是,所述行驶状态判定部在基于所述3种类以上的周边信息的各个来判定的所述车辆的行驶状态之中的最多的行驶状态以相同数量存在多个的情况下,将所述多个最多的行驶状态之中的使用最新的所述第二通信消息来判定的行驶状态,判定为所述第二行驶状态。
由此,关于表示行驶状态的信息,使用不同的信息进行验证,即使表示行驶状态的信息被篡改,也能够提高对该异常能够准确地进行检测的可能性。
例如也可以是,所述第二通信消息包含由所述车辆所具备的车载相机摄影的图像的图像信息,所述行驶状态判定部使用所述图像信息来判定所述车辆的行驶状态。另外也可以是,所述第二通信消息包含表示所述车辆的使用者向所述车辆的方向盘、踏板及座椅中的至少一个进行了接触的时刻的接触时刻信息,所述行驶状态判定部使用所述接触时刻信息来判定所述车辆的行驶状态。另外也可以是,所述第二通信消息包含表示所述车辆的当前地点的当前地点信息,所述行驶状态判定部使用所述当前地点信息来判定所述车辆的行驶状态。
由此,能够使用相关联的信息来推测汽车的行驶状态,即使在车载网络中传送的表示行驶状态的信息被篡改的情况下,也能够提高对异常能够准确地进行检测的可能性。
例如也可以是,所述车载网络上还连接了与外部网络进行通信的外部通信装置,所述接收部接收由所述外部通信装置从所述外部网络接收的外部消息,在将所述第一通信消息判定为异常的情况下,所述异常处理部还使得所述外部消息无效。
由此,能够抑制通过使用诊断用端口等的路径输入非法的消息来进行的攻击所导致的影响。
例如也可以是,所述车载网络上还连接了与外部网络进行通信的外部通信装置,所述外部通信装置经由所述外部网络与监视服务器连接,所述异常处理部将所述异常判定部所进行的判定的结果向所述监视服务器发送。
由此,能够将向一台汽车的网络攻击的信息,作为供多台汽车的安全性对策而共享的资产进行利用。
例如也可以是,在所述接收部未接收到所述第一通信消息及所述第二通信消息中的至少一方的情况下,与所述接收部接收到所述第一通信消息及所述第二通信消息的双方的情况相比,所述异常判定部将所述异常的可能性判定得更高。
由此,在对表示行驶状态的信息进行验证时使用的信息由于网络攻击而没有齐备的情况下,能够执行更安全的应对。
本发明的一个方式所涉及的车载网络***是包含经由车载网络进行通信的多个电子控制单元以及与所述车载网络连接的异常检测电子控制单元的车载网络***,所述多个电子控制单元包含第一电子控制单元、第二电子控制单元、第三电子控制单元、以及与外部网络进行通信的外部通信装置,所述第一电子控制单元将表示搭载所述车载网络的车辆的速度信息的第一通信消息向所述车载网络发送,所述外部通信装置将从所述外部网络接收的外部消息向所述车载网络发送,所述第二电子控制单元将表示所述车辆的周边信息的第二通信消息向所述车载网络发送,所述第三电子控制单元在接收到所述第一通信消息的情况下,保持所述第一通信消息的值,在接收到所述外部消息的情况下,根据保持的所述第一通信消息的值,进行与所述外部消息对应的处理,所述异常检测电子控制单元具备:接收部,接收所述第一通信消息及所述第二通信消息;行驶状态判定部,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;异常判定部,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及异常处理部,在将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
由此,即使包含表示篡改的车辆的速度的信息在内的非法的消息被发送至车载网络,也能够适当地检测该消息的异常并进行应对。
本发明的一个方式所涉及的异常检测方法是与多个电子控制单元在通信中使用的车载网络连接的异常检测电子控制单元中的异常检测方法,包含:接收步骤,接收表示搭载所述车载网络的车辆的速度信息的第一通信消息及表示所述车辆的周边信息的第二通信消息;行驶状态判定步骤,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;异常判定步骤,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及异常应对步骤,在将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
由此,即使包含表示篡改的车辆的速度的信息在内的非法的消息被发送至车载网络,也能够适当地检测该消息的异常并进行应对。
以下,关于本发明的异常检测电子控制单元、异常检测***及异常检测方法,使用附图详细地进行说明。此外,以下说明的实施方式都表示本发明的优选的一个具体例。因此,以下的实施方式中示出的数值、形状、材料、构成要素、构成要素的配置及连接方式、步骤、步骤的顺序等是一例,其意图不在于限定本发明。因此,以下的实施方式中的构成要素之中的在独立权利要求中未记载的构成要素不是为了达成课题所必需的,而作为构成更优选的方式的构成要素进行说明。
此外,为了本领域技术人员充分理解本发明而提供了附图及以下的说明,但意图不在于通过这些来限定权利要求书中记载的主题。
另外,各图均为示意图,并不必须严密地图示。在各图中,针对实质上相同的构成要素附加相同的标记,并有时省略或者简化重复的说明。
(实施方式)
关于本实施方式所涉及的车载网络***,参照附图进行说明。
[1.构成]
以下,作为本实施方式,使用附图说明包含实现异常检测方法的异常检测ECU的车载网络***,该异常检测方法用于根据被发送至车载网络的多个种类的消息,对车辆的行驶状态进行多重判定,基于判定的车辆的行驶状态,实施对于车辆的速度信息是否被篡改的判定,阻止基于被篡改的消息执行处理。
[1.1.车载网络***的整体构成]
图1是表示本实施方式所涉及的车载网络***的整体构成的图。如图1所述,车载网络***10包含异常检测ECU11、发动机ECU100、制动器ECU200、车载相机ECU300、转向器ECU400、GPS(Global Positioning System:全球定位***)ECU500和外部通信装置600,这些构成经由车载网络700被连接。车载网络700由CAN网络构成。车载网络***10被搭载于作为汽车的车辆1。
此外,在图1中虽然省略,车载网络***10中除了上述的ECU以外还可能包含若干个ECU,但在此为了方便,着眼于上述的ECU进行说明。另外,在图示的ECU之中还可能包含连接传感器、促动器等各种设备的ECU,但为了方便省略图示及包罗性的说明,在以下的说明中根据需要提及。
上述的各ECU例如是包含处理器(微处理器)、存储器等的数字电路、模拟电路、通信电路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如处理器依照控制程序(计算机程序)进行动作,从而ECU实现各种功能。此外,计算机程序是为了达成规定的功能而组合了多个表示针对处理器的指令的命令码而成的。
另外,在此以车载网络700上有可能连接了发送非法的消息的非法ECU作为前提来进行说明。
车载网络***10经由外部网络1000与外部设备800及监视服务器900连接。
异常检测ECU11针对被发送至车载网络700的消息之中的表示速度信息的消息,判定异常可能性。另外,异常检测ECU11具有如下功能:执行用于与异常的可能性的高低相应的规定的应对的处理。异常检测ECU11的详细的构成留待后述。
发动机ECU100与车辆1的发动机(未图示)连接,从发动机取得表示车辆1的速度的速度信息,向表示所取得的速度信息的消息赋予规定的ID,并周期性地向车载网络700发送。例如,表示速度信息的消息的ID的值是“1”,速度信息表示时速(km/小时),速度信息的值是0km/小时。表示速度信息的该消息是本实施方式中的第一通信消息的例子。
制动器ECU200与车辆1的制动器连接,从制动器取得表示制动器的制动状况的制动器信息。例如,在制动器信息中,制动器被最大限度制动的状态设为100%,完全没有使制动器制动的状态设为0%,制动状况以比例被示出。制动器ECU200向表示所取得的制动器信息的消息赋予规定的ID,并周期性地向车载网络700发送。例如,表示制动器信息的消息的ID的值是“2”,该消息所表示的制动器信息的值是50%。此外,在本实施方式的说明中,有时将针对制动器ECU200从外部发送诊断消息的情况用作例子。
车载相机ECU300例如与以能够对车辆1的行进方向的前方进行摄影的方式设置的车载相机连接,取得表示由车载相机摄影的图像的图像数据。车载相机ECU300还取得与所取得的图像数据相关的信息,向表示该信息的消息赋予规定的ID,并周期性地向车载网络700发送。例如,表示与图像数据相关的信息的消息的ID的值是“3”,该消息所表示的与图像数据相关的信息的值,例如是将图像的特征作为数值来表现的特征量的值。该特征量是后述的异常检测ECU11在判定车辆1的行驶状态中使用的周边信息的一例。此外,以下也指代该图像的特征量而称为图像信息。另外,表示图像信息的该消息是本实施方式中的第二通信消息的一例。
转向器ECU400与车辆1的方向盘连接,从方向盘取得表示车辆1的使用者对方向盘发生了接触的最新的时刻的接触时刻信息。然后,转向器ECU400向表示所取得的接触时刻信息的消息赋予规定的ID,并周期性地向车载网络700发送。例如,表示接触时刻信息的消息的ID的值是“4”,该消息所表示的接触时刻信息的值是“2018年4月17日19时42分30秒”。该接触时刻信息是后述的异常检测ECU11在判定车辆1的行驶状态中使用的周边信息的一例。另外,表示接触时刻信息的该消息是本实施方式中的第二通信消息的一例。
GPS ECU500与搭载于车辆1的GPS接收机连接,从GPS接收机取得表示车辆1的当前地点的坐标的当前地点信息。然后,GPS ECU500向表示所取得的当前地点信息的消息赋予规定的ID,并周期性地向车载网络700发送。例如,表示当前地点信息的消息的ID的值是“5”,该消息所表示的当前地点信息表示(纬度,经度),当前地点信息的值是(34.741567,135.571486)。该当前地点信息是后述的异常检测ECU11在判定车辆1的行驶状态中使用的周边信息的一例。另外,表示当前地点信息的该消息是本实施方式中的第二通信消息的一例。
另外,各ECU将其他ECU所发送的消息从车载网络700读出,并根据消息中被赋予的ID,选择性地接收消息。
外部通信装置600对车辆1的外部与车载网络700的通信进行中介。即,从车辆1的外部接收数据,向表示接收的数据的消息赋予与该数据的种类相应的规定的ID并向车载网络700发送。另外,外部通信装置600读出从各ECU向车载网络700发送的消息,根据消息中被赋予的ID,选择性地接收消息,将消息所包含的信息根据需要向车辆1的外部发送。在图1中,示出了外部通信装置600与作为上述通信的对方的位于车辆1外部的外部设备800及监视服务器900经由外部网络1000进行通信。
外部网络1000是供外部通信装置600与外部设备800及监视服务器900进行通信的通信网络。外部网络1000的通信方法可以基于有线或者无线或者它们双方。另外,无线通信方式既可以基于作为现有技术的Wi-Fi(注册商标)、3G或者LTE(Long Term Evolution:长期演进),或者也可以基于更新的技术。
外部设备800例如是汽车的故障诊断机(以下也称为诊断工具),发送用于对搭载于车辆1的发动机或者制动器等进行诊断的消息(本公开中称为诊断消息)。诊断消息由车载网络***10的外部通信装置600接收,进而从外部通信装置600向车载网络700发送。在诊断消息中,也有的使汽车所具备的装置执行特定的动作。例如,如果外部通信装置600接收了使制动器进行特定的动作的诊断消息,则该诊断消息经由车载网络700被制动器ECU200接收。制动器ECU200依照诊断消息所示的特定的动作的指示来控制制动器。
监视服务器900经由外部网络1000与外部通信装置600进行通信,例如取得与车载网络***10中发生的异常相关的信息。
[1.2.消息的格式]
图2是表示CAN协议的消息的格式的图。在此,表示CAN协议中的标准ID格式的数据帧的消息的格式。
数据帧的消息由Start Of Frame(帧起始,在图中及以下也称为SOF),ID字段、Remote Transmission Request(远程传输请求,在图中及以下也称为RTR)、IDentifierExtension(标识符扩展,在图中及以下也称为IDE)、预约比特(在图中及以下也称为r)、数据长度码(在图中及以下也称为DLC)、数据字段、Cycric Redundancy Check(循环冗余校验,在图中及以下也称为CRC)序列、CRC定界符(在图中为左侧的DEL)、Acknowledgement(应答,在图中及以下也称为ACK)时隙、ACK定界符(在图中为右侧的DEL)及End Of Frame(帧结束,在图中及以下也称为EOF)的多个字段构成。
SOF是1bit的显性。所谓显性(dominant之意),指的是在数据的传达中使用数字方式的车载网络700中,以向构成总线的两根线缆发送“0”的值的方式被施加了电压的总线的状态、或者被发送的该“0”的值。与此相对,以向该两根线缆发送“1”的值的方式被施加了电压的总线的状态、或者被发送的该“1”的值被称为隐性(recessive之意)。显性及隐性的名称表示这些值的关系,在从车载网络***10的两个节点向车载网络700的总线同时发送了“0”的值和“1”的值的情况下,“0”的值优先。空闲时的总线的状态是隐性。各ECU通过使总线的状态从隐性向显性变化,从而开始消息的发送,其他ECU读取该变化并进行同步。在图2中,位于构成消息的字段的上下的表示显性或者隐性的线为实线的部分,表示该字段能够取显性或者隐性的各值。例如,SOF所包含的值仅为显性,因此在图2的SOF的部分中显性的线是实线,隐性的线是虚线。
ID字段包含表示消息所包含的数据的种类的由11bit的值来表示的ID。另外在CAN中,在由多个节点同时开始了发送的消息间的通信调停中,被设计为ID的值越小的消息其优先度越高。
RTR是表示消息是数据帧的1bit的显性。
IDE和r分别是1bit的显性。
DLC是表示后续的数据字段的长度的4bit的值。
数据字段是表示被发送的数据的内容的值,最大为64bit长,能够以8bit为单位调整长度。与被发送的数据向该部分的分配相关的规格依赖于车型或者制造者。
CRC序列是根据该消息中在先的SOF、ID字段、控制字段及数据字段的发送值被计算的15bit的值。
CRC定界符是1bit的固定为隐性的表示CRC序列的结束的划分记号。接收节点通过将根据接收的消息的SOF、ID字段、控制字段及数据字段的值计算出的结果与CRC序列的值进行比较,来判断是否正常地接收了消息。
ACK时隙为1bit长,发送节点在该部分中发送隐性。在相同时间,接收节点如果能够正常地接收直到CRC序列,则发送显性作为确认响应。总线的状态以显性优先,因此只要1个消息的通信直到CRC序列被正常进行,则ACK时隙的发送时的总线的状态是显性。
ACK定界符是1bit的固定为隐性的表示ACK时隙的结束的划分记号。
EOF是7bit且固定为隐性,表示消息的结束。
关于CAN中规定的数据帧的消息的格式,为了使得以下的本实施方式的说明容易理解而如上进行了说明。此外,在CAN中作为消息的格式另外还规定了远程帧、过载帧及错误帧。远程帧被用于请求数据帧。过载帧在使下一帧的开始延迟的情况下被使用。错误帧在检测节点中的各种错误时被发送,使得CAN网络上最近的帧的发送中断。关于数据帧以外的这些格式的详细情况省略说明。
[1.3.异常检测ECU的构成]
接下来,说明异常检测ECU11的详细的构成。图3是表示本实施方式所涉及的异常检测ECU11的构成的图。如图3所示,异常检测ECU11具备收发部111、行驶状态判定部112、异常判定部113、解释部114、生成部115、异常可能性判定表保持部116和通信部117。
异常检测ECU11例如是包含处理器(微处理器)、存储器等的数字电路、模拟电路、通信电路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如,通过处理器依照该控制程序进行动作,异常检测ECU11实现各种功能。另外,异常检测ECU11的上述的构成要素是例如由处理器执行存储器中存储的1个或者多个计算机程序从而实现的功能性的构成要素。此外,计算机程序是通过将表示针对处理器的指令的命令码以达成规定的功能的方式组合而成的。
收发部111针对车载网络700,收发依照CAN协议的消息。即,收发部111作为在车载网络700上开始了消息的发送的情况下接收消息的所谓接收部发挥作用,另外,作为将与异常检测ECU11中的处理的结果相应的消息等向车载网络700发送的所谓发送部发挥作用。即,收发部111从车载网络700逐1bit接收消息,并向解释部114转送。另外,收发部111将从生成部115接受了通知的消息的内容向车载网络700发送。
解释部114从收发部111接受构成消息的各bit的值,以向CAN协议中规定的上述的消息格式下的各字段映射的方式进行解释。解释部114将消息的ID字段的值及比ID字段靠后出现的数据字段向行驶状态判定部112转送。
行驶状态判定部112接受从解释部114通知的ID字段的值,判定ID字段的值是否相应于规定的值。
该规定的值,是示出所接收的消息是表示速度信息的消息、表示图像信息的消息、表示接触时刻信息的消息及表示当前地点信息的消息中的某一个消息的ID的值。具体而言,行驶状态判定部112判定ID的值是否相应于“1”、“3”、“4”及“5”中的某一个。
行驶状态判定部112在判定为所接收的消息的ID的值相应于上述的规定的值的情况下,使用该消息的数据字段的值来判定车辆1的行驶状态。行驶状态判定部112所判定的车辆1的行驶状态由停止状态、低速行驶状态及高速行驶状态的3阶段来表示。关于行驶状态判定部112对车辆1的行驶状态的判定的具体的内容留待后述。
行驶状态判定部112在接收了ID的值是“1”的消息、也就是说表示速度信息的消息的情况下,基于速度信息所示的车辆1的速度来判定车辆1的行驶状态。
另外,行驶状态判定部112在接收了ID的值是“3”、“4”及“5”的消息的情况下,也就是说接收了分别表示作为周边信息的图像信息、接触时刻信息及当前地点信息的消息的情况下,首先,基于各种类的周边信息判定车辆1的行驶状态。进而,行驶状态判定部112基于作为判定的结果而得到的这些行驶状态,决定基于周边信息的车辆的行驶状态。具体而言,行驶状态判定部112在基于3种类的周边信息来判定的车辆1的行驶状态之中的2个以上相同的情况下,将该行驶状态作为周边信息所表示的车辆1的行驶状态。另外,在使用3个消息来判定的车辆1的行驶状态全部不同的情况下,将基于接收时刻最新的消息所表示的周边信息来判定的车辆1的行驶状态,作为基于周边信息的车辆1的行驶状态。
如上判定的基于速度信息的行驶状态及基于周边信息的行驶状态被从行驶状态判定部112向异常判定部113通知。像这样从行驶状态判定部112向异常判定部113通知的行驶状态之中,基于速度信息来判定的车辆1的行驶状态是本实施方式中的第一行驶状态的例子,基于1种类以上的周边信息来判定的车辆1的行驶状态是本实施方式中的第二行驶状态的例子。
异常判定部113使用从行驶状态判定部112通知的第一行驶状态及第二行驶状态,判定被发送至车载网络700的表示速度信息的消息(第一通信消息)异常的可能性的高低。使用异常的可能性的高低以等级0(无异常)、等级1(异常可能性:低)、等级2(异常可能性:中)、等级3(异常可能性:高)的4等级表示的例子,说明本实施方式。异常判定部113对异常的可能性的判定例如使用异常可能性判定表(参照图4)来进行。异常可能性判定表由异常可能性判定表保持部116保持。关于异常可能性判定表的说明留待后述。
此外,第一通信消息中,如上所述发动机ECU100将从发动机取得的速度信息包含在数据字段中并向车载网络700发送的第一通信消息是正常的。作为在车载网络700中异常的第一通信消息发生的例子,可以举出被攻击者劫持的发动机ECU100将包含虚假的速度信息的消息向车载网络700发送的情况。另外,还有攻击者所设置的ECU冒充发动机ECU100将包含虚假的速度信息的消息向车载网络700发送的情况。另外,还有冒充诊断工具等外部设备经由外部通信装置600将包含虚假的速度信息的消息输入车载网络700的情况。
异常判定部113执行与异常的可能性的高低相应的处理。例如也可以是,在将异常的可能性判定为等级3的情况下,异常判定部113将异常可能性为等级3向解释部114通知。另外也可以是,异常判定部113在判定的异常的可能性为等级2或者3的情况下,向生成部115通知以发送表示发生异常的错误发生显示消息。例如也可以是,向该错误发生显示消息赋予的ID被预先决定,如果车辆1的音响主机(未图示)接收到该ID的消息,则向车辆1的使用者进行规定的错误发生显示。另外例如也可以是,异常判定部113在判定为表示速度信息的消息有异常的情况下,也就是说判定的异常的可能性为等级1以上的任一个等级的情况下,向生成部115通知,以将用于通知发生异常的消息向车载网络700发送。例如也可以是,用于向其他ECU通知发生异常的消息的ID被预先决定,该ID的消息被包含在与车载网络700连接的全部ECU的后述的接收ID列表中。另外也可以是,在有异常的可能性的情况下,异常判定部113进而使用与接收并用于判定的多个消息相关联的信息、例如所接收的消息的内容、接收时刻等生成日志,将生成的日志向通信部117通知。另外例如也可以是,异常判定部113在判定的异常的可能性为规定的等级以上的情况下,向生成部115通知针对其他ECU的规定的功能的限制或者规定的功能的执行、例如介入车辆1的驾驶操作的指示的消息、或者使消息无效的消息(错误消息)的生成及发送。
像这些用于与判定的异常的可能性的高低相应的应对异常的处理的例子留待后述。
通信部117向外部通信装置600通知,以便将从异常判定部113接受的日志向监视服务器900发送。
生成部115依照来自异常判定部113的用于指示发送上述的错误发生显示消息的通知,将错误发生显示消息向收发部111通知并使其发送。进而,生成部115依照来自异常判定部113的用于指示发送用于向其他ECU通知上述异常发生的上述消息的通知,将用于通知异常发生的消息向收发部111通知并使其发送。另外也可以是,生成部115按照来自异常判定部113的通知,生成表示向其他ECU的指示的上述消息,将该消息向收发部111通知并使其发送。
像这样,在表示速度信息的消息有异常的情况下,执行用于应对该异常的处理的异常判定部113、通信部117及生成部115分别是本实施方式中的异常处理部的例子。
[1.4.异常可能性判定表的构成]
图4是表示本实施方式所涉及的异常可能性判定表的一例的图。在图4中,异常可能性判定表中,横排表示基于速度信息的车辆1的行驶状态、也就是说第一行驶状态,纵列表示基于周边信息的车辆1的行驶状态、也就是说第二行驶状态。
在第一行驶状态与第二行驶状态一致的情况下,可以考虑是:对示出车辆1的虚假速度的信息进行表示的消息未由非法ECU等向车载网络700发送。在本实施方式的例子中基于该考虑,在第一行驶状态是“停止状态”,而且第二行驶状态是“停止状态”的情况下,由于2个信息分别表示的行驶状态一致,因此设为表示无异常的“等级0”。同样,在第一行驶状态是“低速行驶状态”,而且第二行驶状态是“低速行驶状态”的情况下,在第一行驶状态是“高速行驶状态”,而且第二行驶状态是“高速行驶状态”的情况下,由于2个信息分别表示的行驶状态相同,因此设为表示无异常的“等级0”。
另外,有时虽然第一行驶状态与第二行驶状态不一致,但其差的大小处于在对示出车辆1的虚假速度的速度信息进行表示的消息(以下也称为非法消息)未被发送时也可能产生的范围内。另外,有时该差虽然在非法消息被向车载网络700发送时也可能产生,但并没有该差对车辆1的动作造成影响的可能性,或者虽然有可能性但极小(能够控制)。在本实施方式的例子中,在第一行驶状态是“停止状态”,而且第二行驶状态是“低速行驶状态”的情况下,在第一行驶状态是“低速行驶状态”,而且第二行驶状态是“停止状态”或者“高速行驶状态”的情况下,在第一行驶状态是“高速行驶状态”,而且第二行驶状态是“低速行驶状态”的情况下,2个信息分别表示的行驶状态间的差是如上所述的较小的差,设为表示速度信息异常的可能性低的“等级1”。
另外,有时第一行驶状态与第二行驶状态不一致,其差的大小在非法消息未被发送时产生的可能性低。另外,有时由于该差,车辆1的动作有可能发生异常。在本实施方式的例子中,在第一行驶状态是“高速行驶状态”,而且第二行驶状态是“停止状态”的情况下,2个信息所表示的行驶状态间的差是如上所述的差,设为表示速度信息异常的可能性为中等程度的“等级2”。
另外,有时第一行驶状态与第二行驶状态不一致,其差的大小在非法消息未被发送时产生的可能性低。另外,有时由于该差,车辆1有可能发生可导致事故的异常的动作或者故障或者显著的损耗。在本实施方式的例子中,在第一行驶状态是“停止状态”,而且第二行驶状态是“高速行驶状态”的情况下,2个信息所表示的行驶状态间的差是如上所述的差,设为表示速度信息异常的可能性高的“等级3”。
[1.5.其他ECU的构成]
接下来,关于与车载网络700连接的除了异常检测ECU11以外的图1所示的ECU的详细构成,以制动器ECU200为例进行说明。此外,发动机ECU100、车载相机ECU300、转向器ECU400、GPS ECU500的构成与制动器ECU200基本相同。关于根据ECU不同而不同的点,在以下的说明中举出。
图5是表示制动器ECU200的构成的图。制动器ECU200具备收发部201、解释部202、接收ID判断部203、接收ID列表保持部204、处理部205、生成部206和取得部207。制动器ECU200通过通信电路、存储器、执行存储器中存放的控制程序(计算机程序)的处理器或者数字电路等实现。制动器ECU200的上述的构成要素例如是由处理器执行存储器中存储的1个或者多个计算机程序从而实现的功能性的构成要素。
收发部201针对车载网络700收发依照CAN协议的帧。即,收发部201从车载网络700逐1bit接收消息,并向解释部202转送。另外,收发部201将从生成部206接受了通知的消息向车载网络700发送。
解释部202从收发部201接受构成消息的各bit的值,以向CAN协议中规定的上述的消息格式下的各字段映射的方式进行解释。解释部202将消息的ID字段的值向接收ID判断部203转送。解释部202根据从接收ID判断部203通知的判定结果,将ID字段的值、以及比ID字段靠后出现的数据字段向处理部205转送,或者在从接收ID判断部203接受了判定结果以后中止该消息的接收,也就是说决定是否中止作为消息的解释。
接收ID判断部203接受从解释部202通知的ID字段的值,依照接收ID列表保持部204所保持的所接收的消息的ID的列表(接收ID列表),判定是否接收该消息的比ID字段靠后的各字段。该判定结果被接收ID判断部203向解释部202通知。
接收ID列表保持部204保持作为制动器ECU200所接收的消息ID的列表的接收ID列表。图6是表示接收ID列表的一例的图。根据图6中例示的接收ID列表,在制动器ECU200所接收的消息中,包含上述的各ECU所发送的消息之中的表示速度信息的消息(ID“1”)、表示图像信息的消息(ID“3”)、表示接触时刻信息的消息(ID“1”)及表示当前地点信息的消息(ID“5”)。此外,接收ID列表保持部204中保持的接收ID列表可以按每个ECU而成为不同的内容。关于接收ID列表的构成留待后述。
处理部205根据接收的消息的数据,进行按每个ECU不同的功能所涉及的处理。制动器ECU200与制动器连接,从制动器取得表示制动器的制动状况的制动器信息。在此,制动器ECU200例如与用于鸣响警报音的扬声器(未图示)也连接,设想具备如下功能:如果在制动器未制动时车辆1的门打开,则从该扬声器鸣响警报音。该功能通过如下实现:制动器ECU200的处理部205基于从其他ECU接收的数据所示的表示门的开闭状态的信息、以及从制动器取得的制动器信息所示的制动器的制动状况,在一定条件下进行鸣响警报音的处理等。
作为制动器ECU200所具备的处理部205所进行的其他处理例,处理部205如果接收了指示制动器的特定的动作的诊断消息,则在满足规定的条件的情况下使制动器执行该特定的动作。具体而言,接收了表示速度信息的消息的处理部205保持该速度信息的值。然后,处理部205在进一步接收了指示制动器的特定的动作的诊断消息的情况下,在保持的速度信息的值是0km/小时时,进行该诊断消息所示的制动器的动作的控制处理,在保持的速度信息的值不是0km/小时时,不进行该诊断消息所示的制动器的动作的控制处理。另外,在从异常检测ECU11接收了通知异常发生的消息的情况下进一步接收了指示制动器的特定的动作的诊断消息时,处理部205无论保持的速度信息的值如何,都不进行该诊断消息所示的制动器的动作的控制处理。
此外,作为其他ECU所具备的处理部205的处理内容的例子,例如也可以包含:发动机ECU100所具备的处理部205在时速超过30km而且车辆1的门打开的情况下鸣响警报音的功能所涉及的处理。另外,各ECU所具备的功能不限定于本公开中例示的功能。
取得部207从制动器ECU200所连接的传感器等设备取得表示状态等的数据,将取得的数据的值向生成部206通知。例如,取得部207从制动器ECU200所连接的制动器所具备的传感器,取得表示制动器的制动状况的数据作为制动器信息。
生成部206针对从取得部207通知的数据的值,赋予预定的ID并生成上述的消息格式的消息,将该消息向收发部201通知。例如,从取得部207取得了上述的制动器信息的生成部206生成在ID字段中包含ID的值“2”且在数据字段中包含制动器信息的值的消息,并向收发部201通知。
[1.6.接收ID列表的构成]
图6是表示在制动器ECU200中保持的接收ID列表的一例的图。该图中例示的接收ID列表被用于选择性地接收包含ID(消息ID)的值是“1”、“3”、“4”、“5”及“6”中的某一个值的消息ID的帧并进行处理。例如,如果在制动器ECU200的接收ID列表保持部204中保持着图6的接收ID列表,则针对消息ID的值不是“1”、“3”、“4”、“5”及“6”中的任一个值的帧,消息的比ID字段靠后的字段的解释在解释部202中被中止。
[2.异常检测处理]
图7是表示异常检测ECU11所进行的本实施方式所涉及的异常检测处理的一例的流程图。异常检测ECU11通过上述的各构成要素发挥其功能从而执行以下的处理。
(S101)异常检测ECU11从车载网络700接收消息。
(S102)异常检测ECU11根据接收的消息的ID的值,判定接收的消息是否是在异常检测处理中使用的消息。具体而言,异常检测ECU11判定消息的ID的值是否是“1”、“3”、“4”、“5”中的某一个。在消息的ID的值是“1”、“3”、“4”、“5”中的某一个的情况(是的情况)下,异常检测ECU11向步骤S103的处理前进,在消息的ID的值不是“1”、“3”、“4”、“5”中的任一个的情况(否的情况)下,异常检测ECU11结束异常检测处理。
(S103)异常检测ECU11使用消息的数据字段的值,判定车辆1的行驶状态。关于该判定的处理的详细情况留待后述。此外,使用ID的值为“1”的消息来判定的车辆1的行驶状态是本实施方式中的第一行驶状态。
(S104)异常检测ECU11根据接收的消息的ID的值,判定消息的种类是否是周边信息、也就是说图像信息、接触时刻信息及当前地点信息中的某一个。具体而言,异常检测ECU11判定消息的ID的值是否是“3”、“4”、“5”中的某一个。在消息的ID的值是“3”、“4”、“5”中的某一个的情况(是的情况)下,异常检测ECU11向步骤S105的处理前进,在消息的ID的值不是“3”、“4”、“5”中的任一个的情况下,即,消息的ID的值是表示速度信息的消息的“1”的情况(否的情况)下,异常检测ECU11向步骤S106的处理前进。
(S105)异常检测ECU11分别使用表示图像信息、接触时刻信息及当前位置信息的种类的消息,判定车辆1的行驶状态。然后,异常检测ECU11基于作为通过该判定得到的3个判定结果的行驶状态,决定基于周边信息的车辆1的行驶状态(第二行驶状态)。关于详细情况留待后述。
(S106)异常检测ECU11使用第一行驶状态和第二行驶状态,针对接收的速度信息,判定是非法消息的异常的可能性的高低(异常的有无)。
[2.1.车辆的行驶状态的判定处理]
接下来,说明异常检测处理中的车辆的行驶状态的判定处理(图7的步骤S103)。图8是表示异常检测ECU11所进行的本实施方式所涉及的车辆1的行驶状态的判定处理的一例的流程图。
(S201)异常检测ECU11根据接收的消息的数据字段的值,判定车辆的行驶状态是否是停止状态。具体而言,根据接收的消息的种类如下判定。
在接收的消息表示速度信息的情况下,异常检测ECU11判定数据字段的值是否是0km/小时。在数据字段的值是0km/小时的情况(是的情况)下,异常检测ECU11使处理前进至步骤S203,在数据字段的值不是0km/小时的情况(否的情况)下,异常检测ECU11使处理前进至步骤S202。
在接收的消息表示图像信息的情况下,异常检测ECU11对作为数据字段的值的特征量与规定的时间前取得的特征量进行比较,计算2个特征量的相似度,判定相似度是否比规定的值高。在计算的相似度比规定的值高的情况(是的情况)下,异常检测ECU11使处理前进至步骤S203,在计算的相似度为规定的值以下的情况(否的情况)下,异常检测ECU11使处理前进至步骤S202。
在接收的消息表示接触时刻信息的情况下,异常检测ECU11将作为数据字段的值的车辆的使用者对方向盘进行了接触的最新的时刻与当前时刻进行比较,判定数据字段的值所表示的时刻是否比从当前时刻回溯的规定的期间(第1期间)更靠前。在数据字段的值所表示的时刻比第1期间更靠前的情况(是的情况)下,异常检测ECU11使处理前进至步骤S203,在数据字段的值所表示的时刻位于第1期间以内的情况(否的情况)下,异常检测ECU11使处理前进至步骤S202。
在接收的消息表示当前地点信息的情况下,异常检测ECU11对作为数据字段的值的当前地点信息的值与规定的位置信息、例如上次取得的当前地点信息或者规定的时间前取得的当前地点信息的值进行比较,判定位置的变化是否处于规定的范围(第1范围)内。在位置的变化处于第1范围内的情况(是的情况)下,异常检测ECU11使处理前进至步骤S203,在位置的变化不处于第1范围内的情况(否的情况)下,异常检测ECU11使处理前进至步骤S202。
(S202)异常检测ECU11根据接收的消息的数据字段的值,判定车辆的行驶状态是否是低速行驶状态。具体而言,根据接收的消息的种类如下判定。
在接收的消息表示速度信息的情况下,异常检测ECU11判定数据字段的值是否比0km/小时大且为规定的值以下。在数据字段的值比0km/小时大且为规定的值以下的情况(是的情况)下,异常检测ECU11使处理前进至步骤S204,在数据字段的值不是比0km/小时大且为规定的值以下,即数据字段的值超过规定的值的情况(否的情况)下,异常检测ECU11使处理前进至步骤S205。
在接收的消息表示图像信息的情况下,异常检测ECU11判定在步骤S201中计算的相似度是否处于比步骤S201中使用的规定的值高的规定的范围内。在计算的相似度处于规定的范围内的情况(是的情况)下,异常检测ECU11使处理前进至步骤S204,在计算的相似度不处于规定的范围内的情况(否的情况)下,异常检测ECU11使处理前进至步骤S205。
在接收的消息表示接触时刻信息的情况下,异常检测ECU11判定在步骤S201中数据字段的值所表示的时刻是否在第1期间以内,而且比短于第1期间的从当前时刻回溯的规定的期间(第2期间)更靠前。在数据字段的值所表示的时刻在第1期间以内而且比第2期间更靠前的情况(是的情况)下,异常检测ECU11使处理前进至步骤S204,在第2期间以内的情况(否的情况)下,异常检测ECU11使处理前进至步骤S205。
在接收的消息表示当前地点信息的情况下,异常检测ECU11判定通过步骤S201中的比较而取得的位置的变化是否处于比第1范围大的规定的范围(第2范围)内。在位置的变化处于第2范围内的情况(是的情况)下,异常检测ECU11使处理前进至步骤S204,在位置的变化未处于第2范围内的情况(否的情况)下,异常检测ECU11使处理前进至步骤S205。
(S203)异常检测ECU11判定为接收的消息所表示的车辆1的行驶状态是停止状态。如果接收的消息是表示图像信息的消息,例如在车辆1的行进方向的前方的景色没有变化或变化极小,也就是说车辆1完全或者几乎没有行驶的情况下,像这样被判定的可能性高。另外,如果接收的消息是表示接触时刻信息的消息,例如在没有转向操作的状态持续了长到在一般的道路上行驶时可能性低的程度的规定时间的情况下,像这样被判定的可能性高。另外,如果接收的消息是表示当前地点信息的消息,在位置信息相对于上次取得时车辆1的位置没有变化或变化极小的情况下,像这样被判定的可能性高。
(S204)异常检测ECU11判定为接收的消息所表示的车辆1的行驶状态是低速行驶状态。如果接收的消息是表示图像信息的消息,例如在车辆1在规定的时间内行使了行进方向的前方的景色不大为变化的程度的短距离的情况下,像这样被判定的可能性高。另外,如果接收的消息是表示接触时刻信息的消息,例如在从车辆1的使用者为了驾驶所执行的最后的转向操作经过了若干时间的情况下,像这样被判定的可能性高。另外,如果接收的消息是表示当前地点信息的消息,在位置信息相对于上次取得时车辆1的位置虽然变化不大但发生了变化的情况下,像这样被判定的可能性高。
(S205)异常检测ECU11判定为接收的消息所表示的车辆1的行驶状态是高速行驶状态。如果接收的消息是表示图像信息的消息,例如在车辆1在规定的时间内行驶了行进方向的前方的景色大为变化的长距离的情况下,像这样被判定的可能性高。另外,如果接收的消息是表示接触时刻信息的消息,例如在车辆1的使用者刚为了驾驶而执行的最后的转向操作之后的情况下,像这样被判定的可能性高。另外,如果接收的消息是表示当前地点信息的消息,在位置信息相对于上次取得时车辆1的位置大为变化的情况下,像这样被判定的可能性高。
[2.2.周边信息的车辆的行驶状态的判定处理]
接下来,说明异常检测处理中的基于周边信息的车辆的行驶状态即第二行驶状态的判定处理(图7的步骤S105)。异常检测ECU11基于在异常检测处理的步骤S103中判定的、基于周边信息即消息的种类为图像信息、接触时刻信息、当前位置信息的各个来判定的车辆1的行驶状态的3个判定结果,判定车辆1的第二行驶状态。图9是表示异常检测ECU11所进行的本实施方式所涉及的车辆1的第二行驶状态的判定处理的一例的流程图。
(S301)异常检测ECU11判定在基于图像信息、接触时刻信息、当前位置信息的各个来判定而得到的行驶状态的3个判定结果中,是否有比其他行驶状态更多地得到的行驶状态。也就是说,在该情况下,在某个行驶状态在2个以上的判定结果中被示出的情况(是的情况)下,异常检测ECU11使处理向步骤S303前进,在没有在2个以上的判定结果中示出的行驶状态,也就是说3个判定结果全部不同的情况(否的情况)下,异常检测ECU11使处理向步骤S302前进。
(S302)异常检测ECU11将作为使用接收时刻最新的消息而得到的判定结果的行驶状态,作为车辆1的第二行驶状态。
(S303)异常检测ECU11将在2个以上的判定结果中示出的行驶状态,作为车辆1的第二行驶状态。
[2.3.异常可能性的判定处理]
接下来,说明异常的可能性(异常的有无)的判定处理(图7的步骤S106)的详细情况。在异常的可能性的判定处理中,异常检测ECU11使用车辆1的第一行驶状态和第二行驶状态,判定被发送的表示行驶信息的消息是非法的消息这样的异常的可能性的高低。另外,本实施方式中的异常的可能性的判定处理中还包含与判定的异常的可能性的高低相应的应对。图10是表示异常检测ECU11所进行的本实施方式所涉及的异常的可能性的判定处理的一例的流程图。
(S401)异常检测ECU11判定车辆1的第一行驶状态与第二行驶状态是否一致。在一致的情况(是的情况)下,异常检测ECU11使处理向步骤S404前进,在不一致的情况(否的情况)下,异常检测ECU11使处理向步骤S402前进。
(S402)异常检测ECU11判定车辆1的第一行驶状态与第二行驶状态之差是否大。在此的第一行驶状态与第二行驶状态之差的大小,是以3阶段来表示的各行驶状态的阶段的差的大小,例如,如果速度信息所表示的车辆1的行驶状态是“停止状态”,而且,周边信息所表示的车辆1的行驶状态是“高速行驶状态”,则异常检测ECU11判定为第一行驶状态与第二行驶状态之差大。另外,如果速度信息所表示的车辆1的行驶状态是“停止状态”,而且周边信息所表示的车辆1的行驶状态是“低速行驶状态”,则异常检测ECU11判定为第一行驶状态与第二行驶状态之差不大。也就是说在该例中,在速度信息所表示的车辆1的行驶状态与周边信息所表示的车辆1的行驶状态之间,按照表示行驶状态的3阶段存在2阶段的差的情况下,判定为大为不同,如果没有差或者差为1阶段,则判定为行驶状态的差大。在差大的情况(是的情况)下,异常检测ECU11使处理向步骤S403前进,在行驶状态的差不大的情况(否的情况)下,异常检测ECU11使处理向步骤S405前进。
(S403)异常检测ECU11判定车辆1的第二行驶状态是否是“高速行驶状态”。在第二行驶状态是“高速行驶状态”的情况(是的情况)下,异常检测ECU11使处理向步骤S407前进,在第二行驶状态不是“高速行驶状态”的情况(否的情况)下,异常检测ECU11使处理向步骤S406前进。
(S404)异常检测ECU11判定为无异常(等级0)。异常检测ECU11所进行的异常检测处理结束。
(S405)异常检测ECU11决定为表示行驶信息的消息有低的可能性是异常的(等级1)。
(S406)异常检测ECU11判定为表示行驶信息的消息有中等程度的可能性是异常的(等级2)。
(S407)异常检测ECU11判定为表示行驶信息的消息有高的可能性是异常的(等级3)。
此外,异常检测ECU11也可以参照图4的异常可能性判定表来进行上述的步骤S401至S407。
以后的处理作为与判定的异常的可能性的高低相应的异常应对而被进行。
(S408)异常检测ECU11将表示用于使车辆1的ADAS(Advanced Driver AssistanceSystem:高级驾驶辅助***)功能停止的指示的消息,向车载网络700发送。该应对是在有中等程度的异常可能性的情况下执行的应对的例子。
(S409)异常检测ECU11将表示用于通过自动驾驶功能使车辆1向路肩等退避的指示的消息,向车载网络700发送。该应对是在有高的异常可能性的情况下执行的应对的例子。
(S410)异常检测ECU11将用于使车辆1的音响主机等向车辆1的使用者进行与异常相关的规定的错误发生显示的错误发生显示消息,向车载网络700发送。该应对是在有中等程度或者高的异常可能性的情况下执行的应对的例子。
(S411)异常检测ECU11使得在车载网络700中传输的诊断消息无效。例如异常检测ECU11通过发送错误帧来使车载网络700上的诊断消息的发送中断,从而使得该诊断消息无效。由此,防止在车辆1中依照包含向车载装置的动作指示在内的非法诊断消息执行动作。
(S412)异常检测ECU11将用于向与车载网络700连接的全部ECU通知异常发生的消息,向车载网络700发送。
(S413)异常检测ECU11使用与接收并用于判定的多个消息相关联的信息、例如接收的消息的内容、接收时刻等生成日志,将生成的日志向监视服务器900发送。
[3.实施方式的效果]
在本实施方式所涉及的车载网络***10中,判定使用从与车载网络700连接的ECU发送的表示速度信息的消息来判定的车辆1的行驶状态(第一行驶状态)与使用从其他ECU同样向车载网络700发送的表示周边信息的消息来判定的车辆1的行驶状态(第二行驶状态)是否一致。在不一致的情况下,针对表示速度信息的消息,进一步基于行驶状态的差异的大小判定速度信息的异常的可能性的高低,执行与异常的可能性的高低相应的处理。
由此,例如即使攻击者将表示篡改的速度信息的消息向车载网络700发送,进而从作为外部设备800的诊断工具经由外部通信装置600将诊断消息向车载网络700发送,也检测出表示速度信息的消息的异常。
此外,能够使用基于多个种类的周边信息的各个来判定的行驶状态的判定结果,来判定第二行驶状态。例如在取得了3种类的周边信息的情况下,在作为基于各周边信息的判定结果而得到的行驶状态之中,如果在2个判定结果中是相同的行驶状态,则判定为该行驶状态是第二行驶状态。由此,能够提高基于也可能受到车辆1的速度以外的变化影响的周边信息而得到的行驶状态的准确性。例如,在交叉点处转弯的紧前和紧后,图像信息的变化有可能与高速行驶状态同样大。但是,在交叉点处转弯的紧前及紧后,接触时刻信息及当前地点信息可能示出与车辆的速度相应的变化。因此,在这样的情况下,第二行驶状态也以准确地反映车辆的速度的方式被判定的可能性也很高。
另外,通过也执行应对表示速度信息的消息的异常的处理,车辆1能够维持为更安全的状态。另外,作为应对异常的处理,执行与异常的可能性的高低相应的处理。例如,即使受到设想的攻击,在车辆行驶中特别是高速行驶时也抑制攻击的影响,在危险性的方面是重要的,因此判定的异常的可能性越高,则执行越周到的内容的处理。另外,在异常的可能性低的情况下,执行不损害车辆1的使用者的便利性的内容的处理。例如在图10的流程图所示的处理例中,除了判定为没有异常的情况以外,无论异常的可能性的高低如何,都使得诊断消息无效,由此阻止使用篡改的诊断消息的攻击。另外,向车载网络700上的其他ECU通知异常的发生,以及向监视服务器900提供日志,实现了对攻击的警戒或者抑制异常的扩大。另外,在异常的可能性更高的情况下,停止ADAS等的高级的功能,抑制车辆1的行驶受到由于攻击而发送的非法的消息影响的可能性。进而在车辆1高速行驶时,通过使车辆1迅速地移动到安全的位置之后使其行驶功能停止(退避),避免车辆1发生事故并维持安全。另外,在使ADAS停止或者退避那样,为了确保安全而发生了向与车辆1的驾驶操作相关的功能的介入的情况下,关于该介入向使用者进行通知。
(其他实施方式)
如上所述,作为本发明所涉及的技术的例示说明了实施方式。但是,本发明所涉及的技术不限定于此,也能够适用于适宜地进行了变更、置换、附加、省略等而成的实施方式。例如,如下的变形例也包含在本发明的一个实施方式中。
(1)在上述实施方式中,在车载网络***10中,关于如上所述进行异常检测的功能,说明了通过与其他ECU独立的专用的异常检测ECU所具备的构成来提供,但不限定于此。
进行异常检测的功能只要是与车载网络700连接的ECU即可,无需是异常检测专用的ECU,也可以兼具与进行异常检测的功能不同的功能。例如异常检测ECU11的上述的构成也可以是制动器ECU200等具有其他功能的一个ECU的构成的一部分。
另外,也可以将异常检测ECU11中的功能的一部分设为其他ECU的功能。例如,异常检测ECU11的上述的构成要素的一部分或者全部也可以被分割地包含在具有其他功能的多个ECU中。在该情况下,这些ECU经由车载网络700或者专用线授受数据并协作,提供上述的异常检测ECU11的功能。
另外,也可以将异常检测ECU11中的异常检测功能由其他的任意ECU进行。例如,接收消息并根据消息的内容进行车辆的控制的ECU等也可以构成与异常检测ECU11同样的异常检测的功能。
此外,在上述实施方式的说明中,各种周边信息由个别的消息表示,但不限定于此。例如,可以考虑如下情况:承担解释部114的功能的ECU将多个种类的周边信息汇聚至一个消息并向承担行驶状态判定部112的功能的ECU发送。另外,在可以作为周边信息使用的信息中,有后文中例示的除了上述以外的种类的信息,也可以考虑其中的多个种类从一个ECU被提供给异常检测ECU的情况。
另外,例如也可以是,在车载网络***包含多个车载网络,包含对多个车载网络间的消息进行转送的网关ECU的情况下,该网关ECU具有异常检测的功能。网关ECU由于对各车载网络的状态进行监视,因此是有用的。
在这样的构成的网关ECU中,在判定为接收的消息中存在异常的可能性的情况下,不对接收的诊断消息进行转送,这也是本发明中使得诊断消息无效的一个方式。
另外,也可以由作为外部通信装置600发挥功能的ECU具有异常检测的功能。
另外,也可以将上述的异常检测ECU11的异常检测的功能包含在进行秘密密钥的管理的密钥管理主ECU中。
(2)在上述实施方式中,作为异常检测ECU11中在车辆1的第二行驶状态的判定中使用的周边信息,使用了图像信息的相似度、车辆1的使用者对方向盘的接触时刻、车辆1的当前地点的坐标(经纬度),但这些不过是周边信息的例子。
作为周边信息,除了上述之外,还可以使用车辆所具备的各种传感器中的感知时刻及传感器值、例如对踏板或者座椅的接触时刻。另外,接触时刻不限定于发生了接触的时刻,也可以是不再感知到接触的时刻。其他,也能够将车轮的旋转速度、偏航率、加速度、转向角、加速器位置或者加速器踏板的踩下量、制动等级、发动机的转速、电动机的转速、点火开关的状态、把手(方向盘)的转向扭矩、前方障碍物的有无、后方障碍物的有无、到前方障碍物的距离、到后方障碍物的距离、左右的区划线的识别状态、到左右的区划线的距离等作为周边信息利用。
进而,在上述实施方式中,异常检测ECU11在车辆的第二行驶状态的判定中使用了3种类的消息,但这不过是一例。使用的消息既可以是1种类也可以是2种类还可以是4种类以上。另外,使用的消息的组合也可以在上述的各种消息之中任意组合。
此外,在作为使用各个消息来判定的结果而得到的行驶状态之中,被判定为第二行驶状态的条件不限定于最多的行驶状态。例如,也可以还设定下限。例如在使用7种类的消息的情况下,也可以设为如下条件:是最多的行驶状态,而且是在使用3种类以上的消息进行的判定的结果中一致的行驶状态。或者,也可以将超过半数设为条件。
另外,例如在最多的行驶状态以相同数量存在多个的情况下,也可以将使用更新的消息来判定的行驶状态,作为基于周边信息的车辆的行驶状态。例如在使用5种类的消息的情况下,在2个判定结果是停止状态而2个判定结果是低速行驶状态的情况下,将停止状态与低速行驶状态之中的使用更新的消息来判定的结果,判定为基于周边信息的车辆的行驶状态。在全部的判定结果的行驶状态都不同的情况下,也可以作为其一例对待。
(3)在上述实施方式中,关于在车辆的行驶状态的判定中使用的第一通信消息或者第二通信消息的取得定时没有限定,但也可以限定。例如也可以是,在第二行驶状态的判定中使用的多个行驶状态被限定为使用在规定的时间宽度内取得的多个种类的第二通信消息来判定的行驶状态。另外,例如也可以是,在使用在规定的时间宽度内取得的第一通信消息和第二通信消息来分别判定的第一行驶状态与第二行驶状态之间,进行第一行驶状态与第二行驶状态的比较。通过使用基于在更接近的时刻取得的信息来判定的车辆的行驶状态,判定的精度得以提高。或者也可以是,根据在第一行驶状态及第二行驶状态各自的判定中使用的第一通信消息与第二通信消息的时间差,变更将第一行驶状态与第二行驶状态判定为一致的基准。例如也可以是,该时间差越小,则通过将行驶状态划分为更多阶段来表示,使得能够被判定为处于相同阶段的第一行驶状态与第二行驶状态的速度差的允许范围变小。
(4)上述实施方式中使用各种周边信息判定车辆的行驶状态的判定方法分别不过是一例,也可以将使用周边信息的其他方法用于行驶状态的判定。如果举出其他方法的例子,则如果周边信息是图像信息,则也可以使用通过对该图像信息进行处理而取得的光流来判定车辆的行驶状态。另外,例如在接触时刻信息的情况下,也可以使用接触时刻信息以及由ECU所具备的计时器计时的时间,或者使用从当前回溯多次量的已取得的接触时刻信息以及该取得的时间间隔,统计性地判定车辆的行驶状态。另外,例如在车辆的当前位置信息的情况下,也可以使用从当前回溯多次量的已取得的当前位置信息以及该取得的时间间隔,统计性地判定车辆的行驶状态。
(5)在上述实施方式中,作为车辆的行驶状态,使用了停止状态、低速行驶状态、高速行驶状态的3阶段,但不过是一例。作为车辆的行驶状态,至少有停止状态和非停止状态即可。在该情况下,如果第一行驶状态与第二行驶状态一致则判定为没有异常,在不一致的情况下判定为有异常或者有异常的可能性。另外,也可以使用被划分为更多的阶段的非停止状态。或者也可以是,通过将基于各消息所表示的信息推测的速度值如上述的阶段那样使用,来判定行驶状态。在该情况下,作为第一行驶状态被使用的是速度信息所表示的速度值即可。另外,作为第二行驶状态被使用的速度值也可以根据基于各种周边信息来推测的速度值而统计性地求出。例如也可以是,在推测的速度值之中,将处于规定的差量内的速度值的平均作为第二行驶状态使用。另外也可以是,在推测的速度值的差异、或者作为基础的行驶信息被取得的时间差比规定的基准大的情况下,将基于最新的行驶信息来推测的速度值作为第二行驶状态使用。另外也可以是,速度信息的异常的有无或者可能性的判定基于作为第一行驶状态的速度值与作为第二行驶状态的速度值之间的差量的大小来进行。在该情况下,例如,如果两个速度值处于规定的差量内,则判定为基于速度信息的行驶状态与基于周边信息的车辆的行驶状态一致。另外,在基于速度信息的行驶状态与基于周边信息的车辆的行驶状态不一致的情况下,根据两个速度值的差量的大小判定异常的可能性。
(6)根据攻击的方法不同,有时异常检测ECU无法接收第一通信消息或者第二通信消息。例如,在CAN总线上被输入了大量的包的情况下,有时产生接收侧无法接收的程度的延迟,或者消息自身丢失。另外作为其他例子,通过将特定的诊断命令输入CAN总线,能够使得作为对象的ECU在规定的时间中停止包发送。在这样的情况下,也可以与使用所接收的双方来执行行驶状态的判定的情况相比,将异常的可能性判定得更高。例如,在基于第一通信消息所表示的速度信息的行驶状态、也就是说第一行驶状态是低速行驶状态的情况下,根据图4的异常可能性表,异常的可能性是等级0或1。但是,在无法接收第二通信消息的情况下,异常检测ECU也可以将异常的可能性判定为等级2。另外,例如也可以是,在异常检测ECU中,在虽然正使用被取得的第一通信消息来判定第一行驶状态,但无法取得第二通信消息的状态持续超过规定时间长度的情况下,判定为有比图4的异常可能性表所包含的等级更高等级的异常的可能性,执行用于比上述说明的更高度的异常的应对的处理。
(7)在上述实施方式中,示出了标准格式的ID下的例子,但也可以是扩展格式的ID。
(8)在上述实施方式中,示出了消息以明文被发送的例子,但也可以被加密。另外,也可以在消息中包含消息认证码。
(9)在上述实施方式中,作为车载网络示出了依照CAN协议进行通信的网络通信***的例子。本发明所涉及的技术不限定于在车载网络中利用,也可以在机器人、工业设备等的网络等、除了车载网络以外的依照CAN协议进行通信的网络通信***中利用。
另外,作为车载网络使用了CAN协议,但不限于此。例如,也可以使用CAN-FD(CANwith Flexible Data Rate:灵活数据速率的CAN)、FlexRay、以太网、LIN(LocalInterconnect Network:局部互联网)、MOST(Media Oriented Systems Transport:面向媒体的***传输)等。或者也可以是将这些网络作为子网络而组合的网络。
(10)在上述实施方式中,说明了作为汽车的车辆中搭载的车载网络中的安全性对策,但适用范围不限于此。车辆不限于汽车,也可以适用于建筑机械、农业机械、船舶、铁路、飞机等的移动体。即,能够作为移动网络及移动网络***中的安全性对策适用。
(11)上述的实施方式中的各装置具体而言是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机***。在RAM或者硬盘单元中,记录着计算机程序。通过微处理器依照计算机程序而动作,各装置达成该功能。在此,计算机程序是为了达成规定的功能而将表示针对计算机的指令的命令码组合多个而构成的。
(12)上述的实施方式中的各装置中,构成的构成要素的一部分或者全部也可以由1个***LSI(Large Scale Integration:大规模集成电路)构成。***LSI是将多个构成部集成在1个芯片上来制造的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机***。在RAM中,记录着计算机程序。通过微处理器依照计算机程序而动作,***LSI达成该功能。
另外,构成上述的各装置的构成要素的各部既可以个别地作为1个芯片,也可以以包含一部分或者全部的方式作为1个芯片。
另外,在此设为***LSI,但根据集成度的差别,也有时称为IC、LSI、超级LSI、特级LSI。另外,集成电路化的方法不限于LSI,也可以通过专用电路或者通用处理器实现。也可以使用在LSI制造后可编程的FPGA(Field Programmable Gate Array:现场可编程逻辑门阵列)或可重构LSI内部的电路单元的连接或设定的可重构处理器。
进而,如果由于半导体技术的进步或者衍生的其他技术而出现了形成置换LSI的集成电路的技术,当然,也可以使用该技术进行功能模块的集成。生物技术的适用等是有可能的。
(13)构成上述的各装置的构成要素的一部分或者全部也可以由各装置上可拆装的IC卡或者单体的模组构成。IC卡或者模组是由微处理器、ROM、RAM等构成的计算机***。IC卡或者模组也可以包含上述的超多功能LSI。通过微处理器依照计算机程序而动作,IC卡或者所述模组达成其功能。该IC卡或者该模组也可以具有耐篡改性。
(14)本发明也可以是包含图7所示的处理的各工序的方法。另外,既可以是将该方法通过计算机实现的计算机程序,也可以是表示计算机程序的数字信号。
另外,本发明也可以是将上述的计算机程序或者数字信号记录在计算机可读取的记录介质、例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)盘)、半导体存储器等上的方式。另外,也可以是这些记录介质中记录的数字信号。
另外,本发明也可以是将上述的计算机程序或者数字信号经由电气通信线路、无线或者有线通信线路、以互联网作为代表的网络、数据广播等传送的方式。
另外,本发明也可以是具备微处理器及存储器的计算机***,存储器记录上述计算机程序,微处理器依照计算机程序而动作。
另外,本发明也可以是与车载网络连接且各自具备处理器及存储器的多个ECU所连接的车载网络***。多个ECU中包含此前说明的异常检测ECU、外部通信装置、以及发动机ECU及制动器ECU等与车载装置连接的ECU。另外,也有时包含车辆的厂商或者使用者不知晓的非法ECU。这些ECU之中,将向车载网络送出表示车辆的速度信息的第一通信消息的ECU作为第一ECU。另外,将把表示周边信息的第二通信消息向车载网络送出速度信息的ECU作为第二ECU。另外,将接收从诊断工具等外部设备经由外部通信装置向车载网络发送的外部消息,并根据第一通信消息的值执行与外部消息对应的处理的ECU作为第三ECU。与外部消息对应的处理,例如是执行外部消息所包含的车载装置的控制指示。该控制指示在基于第一通信消息的值来判定的车辆的第一行驶状态是停止状态的情况下,由第三ECU执行。但是,在基于周边信息来判定的车辆的第二行驶状态与第一行驶状态不一致的情况下,即使第一行驶状态是停止状态,该控制指示也不被第三ECU执行。这是基于:判定为第一行驶状态与第二行驶状态不一致、也就是说第一通信消息有异常的可能性的异常检测ECU例如使得外部消息无效来作为应对异常的处理。
另外,也可以通过将上述的计算机程序或者数字信号向记录介质记录并转送,或者通过将上述的计算机程序或者数字信号经由网络等转送,从而由独立的其他计算机***实施。
工业实用性
本发明能够在包含车载网络的车载网络***中利用。
附图标记说明
1 车辆
10 车载网络***
11 异常检测ECU
100 发动机ECU
111、201 收发部
112 行驶状态判定部
113 异常判定部(异常处理部)
114、202 解释部
115、206 生成部(异常处理部)
116 异常可能性判定表保持部
117 通信部(异常处理部)
200 制动器ECU
203 接收ID判断部
204 接收ID列表保持部
205 处理部
207 取得部
300 车载相机ECU
400 转向器ECU
500 GPS ECU
600 外部通信装置
700 车载网络
800 外部设备
900 监视服务器
1000 外部网络
Claims (15)
1.一种异常检测电子控制单元,与多个电子控制单元在通信中使用的车载网络连接,
所述异常检测电子控制单元具备:
接收部,接收表示搭载所述车载网络的车辆的速度信息的第一通信消息、以及表示所述车辆的周边信息的第二通信消息;
行驶状态判定部,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;
异常判定部,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及
异常处理部,在所述异常判定部将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
2.如权利要求1所述的异常检测电子控制单元,
所述行驶状态判定部根据所述速度信息所示的所述车辆的速度,将所述第一行驶状态通过高速行驶状态、低速行驶状态及停止状态的至少3个阶段表示,
进而,所述行驶状态判定部根据所述速度信息所示的所述车辆的速度,将所述第二行驶状态通过高速行驶状态、低速行驶状态及停止状态的至少3个阶段表示,
所述异常判定部根据表示所述第一行驶状态的所述阶段与表示所述第二行驶状态的所述阶段之差的大小,判定所述第一通信消息的异常的可能性的高低,
所述异常处理部所进行的所述处理根据所述异常的可能性的高低而内容不同。
3.如权利要求2所述的异常检测电子控制单元,
在所述第一行驶状态与所述第二行驶状态不一致的情况下,在所述第二行驶状态是高速行驶状态时,与所述第二行驶状态是低速行驶状态时相比,所述异常判定部将所述异常的可能性判定得更高。
4.如权利要求2或3的异常检测电子控制单元,
所述第二通信消息表示3种类以上的周边信息,
所述行驶状态判定部在基于所述3种类以上的周边信息的各个来判定的所述车辆的行驶状态中包含不同的行驶状态的情况下,将使用所述3种类以上的消息的各个来判定的行驶状态之中的最多的行驶状态,判定为所述第二行驶状态。
5.如权利要求4所述的异常检测电子控制单元,
所述行驶状态判定部在基于所述3种类以上的周边信息的各个来判定的所述车辆的行驶状态之中的最多的行驶状态以相同数量存在多个的情况下,将所述多个最多的行驶状态之中的使用最新的所述第二通信消息来判定的行驶状态,判定为所述第二行驶状态。
6.如权利要求1至5中的任一项所述的异常检测电子控制单元,
所述第二通信消息包含由所述车辆所具备的车载相机摄影的图像的图像信息,
所述行驶状态判定部使用所述图像信息来判定所述车辆的行驶状态。
7.如权利要求1至6的任一项所述的异常检测电子控制单元,
所述第二通信消息包含表示所述车辆的使用者向所述车辆的方向盘、踏板及座椅中的至少一个进行了接触的时刻的接触时刻信息,
所述行驶状态判定部使用所述接触时刻信息来判定所述车辆的行驶状态。
8.如权利要求1至7的任一项所述的异常检测电子控制单元,
所述第二通信消息包含表示所述车辆的当前地点的当前地点信息,
所述行驶状态判定部使用所述当前地点信息来判定所述车辆的行驶状态。
9.如权利要求1至8的任一项所述的异常检测电子控制单元,
所述处理包含向所述车辆的使用者通知所述异常的发生。
10.如权利要求1至9的任一项所述的异常检测电子控制单元,
所述处理包含用于介入所述车辆的驾驶操作的指示。
11.如权利要求1至10中的任一项所述的异常检测电子控制单元,
在所述车载网络上,还连接着与外部网络进行通信的外部通信装置,
所述接收部接收由所述外部通信装置从所述外部网络接收的外部消息,
在将所述第一通信消息判定为异常的情况下,所述异常处理部还使得所述外部消息无效。
12.如权利要求1至10中的任一项所述的异常检测电子控制单元,
在所述车载网络上,还连接着与外部网络进行通信的外部通信装置,
所述外部通信装置经由所述外部网络与监视服务器连接,
所述异常处理部将所述异常判定部所进行的判定的结果向所述监视服务器发送。
13.如权利要求1至12中的任一项所述的异常检测电子控制单元,
在所述接收部未接收到所述第一通信消息及所述第二通信消息中的至少一方的情况下,与所述接收部接收到所述第一通信消息及所述第二通信消息的双方的情况相比,所述异常判定部将所述异常的可能性判定得更高。
14.一种车载网络***,包含经由车载网络进行通信的多个电子控制单元以及与所述车载网络连接的异常检测电子控制单元,
所述多个电子控制单元包含第一电子控制单元、第二电子控制单元、第三电子控制单元、以及与外部网络进行通信的外部通信装置,
所述第一电子控制单元将表示搭载所述车载网络的车辆的速度信息的第一通信消息向所述车载网络发送,
所述外部通信装置将从所述外部网络接收的外部消息向所述车载网络发送,
所述第二电子控制单元将表示所述车辆的周边信息的第二通信消息向所述车载网络发送,
所述第三电子控制单元在接收到所述第一通信消息的情况下,保持所述第一通信消息的值,在接收到所述外部消息的情况下,根据保持的所述第一通信消息的值,进行与所述外部消息对应的处理,
所述异常检测电子控制单元具备:
接收部,接收所述第一通信消息及所述第二通信消息;
行驶状态判定部,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;
异常判定部,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及
异常处理部,在将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
15.一种异常检测方法,是与多个电子控制单元在通信中使用的车载网络连接的异常检测电子控制单元中的异常检测方法,包含:
接收步骤,接收表示搭载所述车载网络的车辆的速度信息的第一通信消息、以及表示所述车辆的周边信息的第二通信消息;
行驶状态判定步骤,基于所述速度信息判定所述车辆的第一行驶状态,基于所述周边信息判定所述车辆的第二行驶状态;
异常判定步骤,对所述第一行驶状态与所述第二行驶状态进行比较,在不一致的情况下,将所述第一通信消息判定为异常,在一致的情况下,将所述第一通信消息判定为正常;以及
异常应对步骤,在将所述第一通信消息判定为异常的情况下,执行用于应对异常的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018090228 | 2018-05-08 | ||
| JP2018-090228 | 2018-05-08 | ||
| PCT/JP2019/018227 WO2019216306A1 (ja) | 2018-05-08 | 2019-05-07 | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111052681A true CN111052681A (zh) | 2020-04-21 |
| CN111052681B CN111052681B (zh) | 2022-06-10 |
Family
ID=68467491
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980003808.6A Active CN111052681B (zh) | 2018-05-08 | 2019-05-07 | 异常检测电子控制单元、车载网络***及异常检测方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11398116B2 (zh) |
| EP (1) | EP3793141B1 (zh) |
| JP (1) | JP7231559B2 (zh) |
| CN (1) | CN111052681B (zh) |
| WO (1) | WO2019216306A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111688613A (zh) * | 2020-07-01 | 2020-09-22 | 陈泽 | 一种用于无人驾驶装置的监控方法及*** |
| CN112298208A (zh) * | 2020-10-21 | 2021-02-02 | 长城汽车股份有限公司 | 自动驾驶横向辅助控制方法及横向辅助*** |
| CN113212460A (zh) * | 2021-06-17 | 2021-08-06 | 广州文远知行科技有限公司 | 一种车辆控制方法、装置、设备和存储介质 |
| WO2022047617A1 (zh) * | 2020-09-01 | 2022-03-10 | 华为技术有限公司 | 提高车辆安全性的方法和*** |
| CN114615103A (zh) * | 2020-12-08 | 2022-06-10 | 丰田自动车株式会社 | 车载网络*** |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7243465B2 (ja) * | 2019-06-03 | 2023-03-22 | トヨタ自動車株式会社 | 車両システム |
| US11130455B2 (en) * | 2019-10-22 | 2021-09-28 | Ford Global Technologies, Llc | Vehicle security enhancement |
| CN111431895B (zh) * | 2020-03-20 | 2022-04-22 | 宁波和利时信息安全研究院有限公司 | ***异常处理方法、装置及*** |
| EP4283966A3 (en) * | 2020-10-28 | 2024-02-21 | Furuno Hellas S.A. | Apparatus and method for remote monitoring |
| CN112668523B (zh) * | 2020-12-31 | 2024-06-07 | 深圳云天励飞技术股份有限公司 | 车辆行驶异常检测方法、装置、电子设备及存储介质 |
| WO2023026750A1 (ja) | 2021-08-26 | 2023-03-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 遠隔監視システム、異常検知システム、遠隔監視方法およびプログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040093146A1 (en) * | 2001-11-06 | 2004-05-13 | Volvo Trucks North America, Inc. | Vehicle tampering protection system |
| US20170013005A1 (en) * | 2015-06-29 | 2017-01-12 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| JP2017047835A (ja) * | 2015-09-04 | 2017-03-09 | 日立オートモティブシステムズ株式会社 | 車載ネットワーク装置 |
| CN107031535A (zh) * | 2015-09-11 | 2017-08-11 | 株式会社万都 | 车辆控制装置及方法 |
| TW201735669A (zh) * | 2016-03-25 | 2017-10-01 | 高通公司 | 用於使用從多個感測器收集之資訊來保護車輛免受惡意軟體及攻擊之方法及系統 |
| WO2018008453A1 (ja) * | 2016-07-05 | 2018-01-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007253861A (ja) * | 2006-03-24 | 2007-10-04 | Fujitsu Ten Ltd | 車両制御装置 |
| JP2009051407A (ja) * | 2007-08-28 | 2009-03-12 | Denso Corp | 車両制御装置およびプログラム |
| KR101461880B1 (ko) * | 2013-03-18 | 2014-11-14 | 현대자동차 주식회사 | 차량의 주행 정보 제공 방법 및 시스템 |
| CN105981336B (zh) * | 2014-12-01 | 2020-09-01 | 松下电器(美国)知识产权公司 | 不正常检测电子控制单元、车载网络***以及不正常检测方法 |
| JP6649215B2 (ja) * | 2015-12-14 | 2020-02-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ装置、ネットワークシステム及び攻撃検知方法 |
| JP6846991B2 (ja) * | 2016-07-05 | 2021-03-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 |
| JP7059684B2 (ja) * | 2018-02-23 | 2022-04-26 | トヨタ自動車株式会社 | 異常検知データ識別装置、および異常識別システム |
-
2019
- 2019-05-07 WO PCT/JP2019/018227 patent/WO2019216306A1/ja unknown
- 2019-05-07 CN CN201980003808.6A patent/CN111052681B/zh active Active
- 2019-05-07 JP JP2019557883A patent/JP7231559B2/ja active Active
- 2019-05-07 EP EP19799873.5A patent/EP3793141B1/en active Active
-
2020
- 2020-07-01 US US16/918,036 patent/US11398116B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040093146A1 (en) * | 2001-11-06 | 2004-05-13 | Volvo Trucks North America, Inc. | Vehicle tampering protection system |
| US20170013005A1 (en) * | 2015-06-29 | 2017-01-12 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| JP2017047835A (ja) * | 2015-09-04 | 2017-03-09 | 日立オートモティブシステムズ株式会社 | 車載ネットワーク装置 |
| CN107031535A (zh) * | 2015-09-11 | 2017-08-11 | 株式会社万都 | 车辆控制装置及方法 |
| TW201735669A (zh) * | 2016-03-25 | 2017-10-01 | 高通公司 | 用於使用從多個感測器收集之資訊來保護車輛免受惡意軟體及攻擊之方法及系統 |
| WO2018008453A1 (ja) * | 2016-07-05 | 2018-01-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111688613A (zh) * | 2020-07-01 | 2020-09-22 | 陈泽 | 一种用于无人驾驶装置的监控方法及*** |
| WO2022047617A1 (zh) * | 2020-09-01 | 2022-03-10 | 华为技术有限公司 | 提高车辆安全性的方法和*** |
| CN112298208A (zh) * | 2020-10-21 | 2021-02-02 | 长城汽车股份有限公司 | 自动驾驶横向辅助控制方法及横向辅助*** |
| CN112298208B (zh) * | 2020-10-21 | 2022-05-17 | 长城汽车股份有限公司 | 自动驾驶横向辅助控制方法及横向辅助*** |
| CN114615103A (zh) * | 2020-12-08 | 2022-06-10 | 丰田自动车株式会社 | 车载网络*** |
| CN114615103B (zh) * | 2020-12-08 | 2023-12-29 | 丰田自动车株式会社 | 车载网络*** |
| CN113212460A (zh) * | 2021-06-17 | 2021-08-06 | 广州文远知行科技有限公司 | 一种车辆控制方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019216306A1 (ja) | 2019-11-14 |
| EP3793141B1 (en) | 2023-11-29 |
| JPWO2019216306A1 (ja) | 2021-04-08 |
| EP3793141A1 (en) | 2021-03-17 |
| US11398116B2 (en) | 2022-07-26 |
| EP3793141A4 (en) | 2021-08-11 |
| US20200334926A1 (en) | 2020-10-22 |
| JP7231559B2 (ja) | 2023-03-01 |
| CN111052681B (zh) | 2022-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111052681B (zh) | 异常检测电子控制单元、车载网络***及异常检测方法 | |
| CN106031098B (zh) | 不正常帧应对方法、不正常检测电子控制单元以及车载网络*** | |
| US11425128B2 (en) | Unauthorized control suppression method, unauthorized control suppression device, and onboard network system | |
| JP7410223B2 (ja) | 不正検知サーバ、及び、方法 | |
| CN110494330B (zh) | 车辆监视装置、不正当检测服务器、以及控制方法 | |
| US20190141070A1 (en) | Anomaly detection electronic control unit, onboard network system, and anomaly detection method | |
| CN107925600B (zh) | 安全处理方法以及服务器 | |
| CN109076001B (zh) | 帧传送阻止装置、帧传送阻止方法及车载网络*** | |
| US10440120B2 (en) | System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network | |
| US20180375881A1 (en) | Information processing device, information processing method, and non-transitory computer readable recording medium | |
| WO2018110046A1 (ja) | 制御装置、制御システム、制御方法、制御プログラムおよび記憶媒体 | |
| CN112367318A (zh) | 安全处理方法以及计算机 | |
| US20180375879A1 (en) | Vehicle network operating protocol and method | |
| JP6839846B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| WO2020085330A1 (ja) | 電子制御装置、電子制御方法及びプログラム | |
| CN111066001A (zh) | 日志输出方法、日志输出装置以及程序 | |
| JP2019146145A (ja) | 通信装置、通信方法及びプログラム | |
| JP2019209961A (ja) | 情報処理装置、監視方法、プログラム及びゲートウェイ装置 | |
| CN113556271A (zh) | 非法控制抑止方法、非法控制抑止装置和车载网络*** | |
| WO2018179630A1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| JP2019172261A (ja) | 制御装置、制御システム、及び制御プログラム | |
| JP6519829B1 (ja) | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 | |
| CN113783958A (zh) | 网关装置、方法及车载网络*** | |
| JP2019146144A (ja) | 情報処理装置、情報処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |