CN113348683A - 车辆监视装置以及车辆监视方法 - Google Patents

车辆监视装置以及车辆监视方法 Download PDF

Info

Publication number
CN113348683A
CN113348683A CN202080009672.2A CN202080009672A CN113348683A CN 113348683 A CN113348683 A CN 113348683A CN 202080009672 A CN202080009672 A CN 202080009672A CN 113348683 A CN113348683 A CN 113348683A
Authority
CN
China
Prior art keywords
vehicle
credit score
frame
monitoring
activity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080009672.2A
Other languages
English (en)
Inventor
岸川刚
平野亮
氏家良浩
芳贺智之
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN113348683A publication Critical patent/CN113348683A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/08Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to drivers or passengers
    • B60W40/09Driving style or behaviour
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W40/00Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models
    • B60W40/12Estimation or calculation of non-directly measurable driving parameters for road vehicle drive control systems not related to the control of a particular sub unit, e.g. by using mathematical models related to parameters of the vehicle itself, e.g. tyre models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • B60W2050/143Alarm means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • B60W2050/146Display means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/10Accelerator pedal position
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/12Brake pedal position
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/18Steering angle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2756/00Output or target parameters relating to data
    • B60W2756/10Involving external transmission of data to or from the vehicle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Human Computer Interaction (AREA)
  • Small-Scale Networks (AREA)

Abstract

车辆监视装置,是具备一个以上的电子控制单元的车载网络***的车辆监视装置,具备:帧接收部(61),接收所述车载网络***中流动的帧;以及信用得分计算部(63),根据帧接收部(61)接收的帧以及包括与在接收该帧之前由帧接收部(61)接收的一个以上的帧有关的信息的车辆数据,检测与通常的驾驶行为不同的可疑行为,根据检测结果,计算示出搭载车载网络***的车辆(200)正在被进行逆向工程的可能性的信用得分。

Description

车辆监视装置以及车辆监视方法
技术领域
本公开涉及,监视由一个以上的电子控制单元(以下,ECU(Electronic ControlUnit))构成的车载网络***的车辆监视装置以及车辆监视方法。
背景技术
近几年,在汽车之中的***中,配置有称为ECU的多个装置。将连接这些ECU的网络,称为车载网络。作为车载网络,存在多个标准,作为其中最主流的车载网络之一,存在Controller Area Network(以后,CAN(注册商标,以下同样))的标准。并且,进一步,随着自动驾驶或互联汽车的普及,估计车载网络通信量增大,车载Ethernet(注册商标,以下同样)正在普及。
另一方面,也有侵入车载***,对车辆进行不正当控制的威胁的报告。针对这样的威胁,非专利文件1公开,利用以往的Internet Protocol(IP)通信中利用的密码通信,防止基于不正当的节点的通信的不正控制。并且,专利文献1公开,检测车载网络的异常的通信,遮断不正当的帧的方法。
(现有技术文献)
(专利文献)
专利文献1:日本专利第5664799号公报
(非专利文献)
非专利文件1:RFC5406:Guidelines for Specifying the Use of IPsecVersion2,2009年2月
然而,根据非专利文件1的方法,利用密码通信,因此,需要基于收发节点的加密、解密处理,发生开销。并且,密码通信中利用的密钥管理成为重要,在被夺取ECU的控制、正规的密钥被利用的情况下,能够进行基于不正当的帧发送的不正当控制。
并且,专利文献1的方法是,针对由攻击者发送不正当的帧时的对应方法,并不防止攻击的发生。如此,对于车载网络的安全性,有改善的余地。
发明内容
于是,本公开的目的在于提供,能够更提高车载网络的安全性的车辆监视装置以及车辆监视方法。
本公开的一个形态涉及的车辆监视装置,对具备一个以上的电子控制单元的车载网络***进行监视,所述车辆监视装置具备:帧接收部,接收所述车载网络***中流动的帧;以及信用得分计算部,根据所述帧接收部接收的所述帧以及包括与在接收该帧之前由所述帧接收部接收的一个以上的帧有关的信息的车辆数据,检测与通常的驾驶行为不同的可疑行为,根据检测结果,计算信用得分,该信用得分示出搭载所述车载网络***的车辆正在被进行逆向工程的可能性。
本公开的一个形态涉及的车辆监视方法,对具备一个以上的电子控制单元的车载网络***进行监视,所述车辆监视方法包括:接收步骤,接收所述车载网络***中流动的帧;以及信用得分计算步骤,根据所述接收步骤中接收的所述帧以及包括与在接收该帧之前接收的一个以上的帧有关的信息的车辆数据,检测与通常的驾驶行为不同的可疑行为,根据检测结果,计算信用得分,该信用得分示出搭载所述车载网络***的车辆正在被进行逆向工程的可能性。
根据本公开的一个形态涉及的车辆监视装置等,能够更提高车载网络的安全性。
附图说明
图1是示出实施方式1的车载网络***的全体结构的图。
图2是示出实施方式1的ECU的结构的图。
图3是示出实施方式1的网关的结构的图。
图4A是示出实施方式1的信用得分的一个例子的图。
图4B是示出实施方式1的车辆数据的一个例子的图。
图5是示出实施方式1的传输规则的一个例子的图。
图6是示出实施方式1的网关的处理的流程图。
图7是示出实施方式1的网关的信用得分计算的流程图。
图8是示出实施方式1的网关的监视等级变更的流程图。
图9是示出实施方式1的网关的工作序列的图。
图10是示出实施方式1的网关的工作序列的图。
图11A是示出实施方式1的向驾驶员通知的显示内容的一个例子的图。
图11B是示出实施方式1的向驾驶员通知显示内容的另一个例子的图。
图12是示出实施方式2的网关的处理的流程图。
图13是实施方式2的网关的可疑得分计算的流程图。
图14是实施方式2的网关的监视等级变更的流程图。
具体实施方式
(得到本公开的经过)
在说明本公开的实施方式等之前,说明得到本公开的基础的经过。
如上所述,根据专利文献1以及非专利文件1公开的技术,从提高车载网络的安全性的观点有改善的余地。
一般估计为,试图车辆的不正当控制的攻击者,预先对车载网络进行用于引起车辆的不正当控制的帧的调查等的逆向工程来建立攻击方法。
若能够掌握执行车辆的不正当控制之前的车载网络的调查阶段的攻击者的活动,则视为攻击发生的预兆,能够进行妨碍攻击者的逆向工程、或重点监视对象车辆来预先掌握攻击内容等的行动。
于是,本申请发明人们,专心研讨能够掌握车载网络的调查阶段的攻击者的活动的车辆监视装置,提出了以下说明的车辆监视装置等。例如,本申请发明人们发现了,监视车载网络的帧,掌握因攻击者的逆向工程而发生的与通常不同的车辆的行为,计算车辆被逆向工程的可能性,从而能够掌握车载网络的调查阶段的攻击者的活动。
本公开的一个实施方式的车辆监视装置,对具备一个以上的电子控制单元的车载网络***进行监视,所述车辆监视装置具备:帧接收部,接收所述车载网络***中流动的帧;以及信用得分计算部,根据所述帧接收部接收的所述帧以及包括与在接收该帧之前由所述帧接收部接收的一个以上的帧有关的信息的车辆数据,检测与通常的驾驶行为不同的可疑行为,根据检测结果,计算信用得分,该信用得分示出搭载所述车载网络***的车辆正在被进行逆向工程的可能性。
据此,能够计算对车载网络***进行逆向工程的可疑性(信用得分),能够掌握更可疑的车辆,因此是有效的。也就是说,车辆监视装置,能够根据信用得分,掌握执行车辆的不正当控制实前的对车载网络的调查阶段的攻击者的活动,因此,能够更提高车辆的车载网络的安全性。
并且,也可以是,在检测出监视装置的连接、错误帧、网络的瞬间中断、蓄电池拆下的任意一个的情况下,所述可疑行为作为被动监视活动而被检测,所述信用得分计算部,在检测出所述被动监视活动的情况下,使所述信用得分减少。
据此,能够掌握攻击者,尝试获得车载网络***的日志的情况,因此是有效的。也就是说,车辆监视装置能够,根据信用得分,掌握被动监视活动,因此,能够更提高车辆的车载网络的安全性。
并且,也可以是,在规定的第一时间内的、车内的按钮的操作次数、异常的驾驶行为的检测次数的任意一个为规定数以上、或驾驶支援功能的发动间隔小于规定值的情况下,所述可疑行为作为主动监视活动而被检测,所述驾驶支援功能是,自动停车支援、自动巡航控制、紧急制动、车道保持辅助的任意一个,所述异常的驾驶行为是指,加速器开度、制动压力、规定时间内的操舵角的变化量为规定值以上,所述信用得分计算部,在检测出所述主动监视活动的情况下,使所述信用得分减少。
据此,能够掌握攻击者,尝试积极获得用于进行不正当控制的启发的车载网络日志的活动,因此是有效的。也就是说,车辆监视装置能够,根据信用得分,掌握主动监视活动,因此,能够更提高车辆的车载网络的安全性。
并且,也可以是,在规定的第一时间内的、所述帧的接收量、诊断指令的接收量的任意一个为规定数以上的情况下,所述可疑行为作为注入活动而被检测,所述信用得分计算部,在检测出所述注入活动的情况下,使所述信用得分减少。
据此,能够掌握攻击者,尝试向车载网络,注入某个帧的活动,因此是有效的。也就是说,车辆监视装置,能够根据信用得分,掌握注入活动,因此,能够更提高车辆的车载网络的安全性。
并且,也可以是,在规定的第一时间内的、更新指令的接收量、同一属性的帧的接收量的任意一个为规定数以上的情况下,所述可疑行为作为细化活动而被检测,所述同一属性的帧是指,所述帧中包括的标识符、IP地址、MAC地址、端口号的任意一个、或任意两个以上的组合相同的帧,所述信用得分计算部,在检测出所述细化活动的情况下,使所述信用得分减少。
据此,能够掌握攻击者,为了实现车辆的不正当控制,而尝试更洗练的攻击,因此是有效的。也就是说,车辆监视装置,能够根据信用得分,掌握细化活动,因此,能够更提高车辆的车载网络的安全性。
并且,也可以是,所述车辆监视装置还具备,监视等级变更部,所述监视等级变更部,在所述信用得分成为小于规定的值的情况下,根据所述信用得分的值,执行所述车辆的功能的限制、向所述车辆的驾驶员的注意提醒、向近邻车辆或服务器的信用得分的通知、以及所述车载网络***的监视强化的任意一个以上。
据此,能够重点监视攻击者的逆向工程活动的可疑性高的车辆,因此是高效率的。并且,监视等级变更部,根据信用得分的值进行各种对应,因此,能够期待抑制在进行逆向工程的情况下,攻击者继续进行逆向工程的效果。
并且,也可以是,所述可疑行为具有,示出所述逆向工程的各个阶段的多个种类,所述信用得分计算部,在所述可疑行为的所述多个种类的每一个中计算信用得分。
据此,能够按攻击者的每个逆向工程活动的阶段掌握可疑行为的可疑性,因此是有效的。也就是说,车辆监视装置,能够根据多个种类的信用得分,掌握执行车辆的不正当控制前的对车载网络的调查阶段的攻击者的活动的调查,因此,能够更提高车辆的车载网络的安全性。
并且,也可以是,所述可疑行为的所述多个种类包括,被动监视活动、主动监视活动、注入活动、细化活动的至少两个,所述被动监视活动是,用于获得所述车辆数据的行动,所述主动监视活动是,用于获得所述车辆的特定功能工作中或特定状况下的所述车辆数据的工作,所述注入活动是,用于尝试向所述车载网络***注入帧的行动,所述细化活动是,用于尝试注入用于提高注入到所述车载网络***的帧的精度的帧的行动。
据此,能够掌握攻击者的逆向工程活动的阶段是,被动监视活动、主动监视活动、注入活动以及细化活动的至少两个之中的哪个活动。也就是说,车辆监视装置,能够更详细地获得正在进行的逆向工程活动的阶段,因此,能够更提高车辆的车载网络的安全性。
并且,在检测出监视装置的连接、错误帧、网络的瞬间中断、蓄电池拆下的任意一个的情况下,所述可疑行为作为所述被动监视活动而被检测,在规定的第一时间内的、驾驶支援功能的发动次数、车内的按钮的操作次数、异常的驾驶行为的检测次数的任意一个为规定数以上的情况下,所述可疑行为作为所述主动监视活动而被检测,在规定的第一时间内的、所述帧的接收次数、诊断指令的接收次数的任意一个为规定数以上的情况下,所述可疑行为作为所述注入活动而被检测,在规定的第一时间内的、更新指令的接收次数、同一属性的帧的接收次数的任意一个为规定数以上的情况下,所述可疑行为作为所述细化活动而被检测。
据此,不利用用于计算信用得分的专用的信息,也能够获得攻击者的逆向工程活动的阶段。也就是说,车辆监视装置,能够更简单地获得攻击者的逆向工程活动的阶段。
并且,也可以是,所述车辆监视装置还具备,监视等级变更部,所述监视等级变更部,根据所述可疑行为的所述多个种类、以及与所述可疑行为的所述多个种类分别对应的信用得分的值,执行所述车辆的一部分的功能的限制、向所述车辆的驾驶员的注意提醒、以及向近邻车辆或服务器的信用得分的通知的任意一个以上。
据此,能够进行基于攻击者的逆向工程活动的阶段的对应,对车载网络的安全性有效的。
并且,也可以是,所述信用得分计算部,在规定的第二时间经过或对所述车辆执行了规定的第一操作的情况下,使所述信用得分上升。并且,也可以是,所述信用得分计算部,在规定的第三时间经过或对所述车辆执行了规定的第二操作的情况下,复位所述信用得分。
据此,信用得分计算部,能够恢复信用得分。在由车辆的驾驶员(不是攻击者的通常的驾驶员)进行信用得分降低的驾驶的情况下,能够自动校正信用得分。因此,车辆监视装置,能够更可靠地掌握对车载网络的调查阶段的攻击者的活动。
并且,本公开的一个实施方式的车辆监视方法,对具备一个以上的电子控制单元的车载网络***进行监视,所述车辆监视方法包括:接收步骤,接收所述车载网络***中流动的帧;以及信用得分计算步骤,根据所述接收步骤中接收的所述帧以及包括与在接收该帧之前接收的一个以上的帧有关的信息的车辆数据,检测与通常的驾驶行为不同的可疑行为,根据检测结果,计算信用得分,该信用得分示出搭载所述车载网络***的车辆正在被进行逆向工程的可能性。
据此,能够获得与上述的车辆监视装置同样的效果。例如,根据车辆监视方法,能够计算车载网络***正在被进行逆向工程的可疑性,能够掌握更可疑的车辆,因此是有效的。
以下,参照附图,说明本公开的实施方式涉及的车载网络异常检测***。而且,以下说明的实施方式,都示出本公开的优选的一个具体例子。也就是说,以下的实施方式示出的数值、形状、材料、构成要素、构成要素的配置以及连接形态、步骤、步骤的顺序等是本公开的一个例子,不是限定本公开的宗旨。本公开,根据实施方案的记载而被确定。因此,以下的实施方式的构成要素之中的、示出本公开的最上位概念的实施方案中没有记载的构成要素,为了实现本公开的课题而并不一定需要,但是,作为构成更优选的形态的构成要素而被说明。
并且,各个图是示意图,并不一定是严密示出的图。并且,在各个图中,对实际相同的结构附上相同的符号,会有省略或简化重复说明的情况。
(实施方式1)
以下,说明搭载多个电子控制单元(ECU)进行通信的车载网络(车载网络***)的车辆中的、车辆监视装置以及车辆监视方法。更具体而言,说明根据车载网络***中流动的帧,计算表示攻击者执行逆向工程而导致的车辆行为的不正当度的信用得分,按照计算出的信用得分变更车辆的监视功能的车载网络安全技术。
[1.1车载网络***的全体结构]
图1是示出本实施方式的车载网络***的全体结构的图。如图1示出,车载网络***具备,ECU10、11、20、21、30、31、40、41、诊断端口50、以及网关60。
ECU10以及ECU11与总线1连接,ECU20以及ECU21与总线2连接,ECU30以及ECU31与总线3连接,ECU40以及ECU41与总线4连接。并且,诊断端口50,与总线5连接。网关60,与所有的总线连接。
各个ECU,相互由Controller Area Network(CAN)连接,进行帧的通信。各个总线也可以,例如,按照车辆200的每个功能以域分离。例如,总线1,配置有传动系的ECU,进行与发动机的控制等有关的通信。并且,例如,总线2,配置有底盘系的ECU,进行用于实现转向器的控制或制动器控制的通信。并且,总线3,配置有信息系的ECU,进行汽车导航以及信息娱乐系的通信。并且,总线4,配置有车身系的ECU,进行用于进行基于搭乘者的按钮按压的空调控制或电动窗等的控制的通信。
网关60进行的处理是,接收所有的总线的信息,若需要则将接收的帧,向其他的总线传输。例如,在总线5中,诊断用的帧流动的情况下,进行将该帧向总线1至4传输的处理等。网关60是,车辆监视装置的一个例子。网关60,进行由一个以上的ECU构成的车载网络***中的处理等。
而且,在本实施方式中,各个总线由CAN实现,但是,通信协议,不仅限于此。例如,也可以是CAN-FD(CAN with Flexible Data Rate))、FlexRay(注册商标,以下同样)、Ethernet,也可以按每个总线,通信协议不同。
[1.2ECU10的结构]
图2是示出本实施方式的ECU10的结构的图。而且,ECU11、ECU20、ECU21、ECU30、ECU31、ECU40、ECU41,结构与ECU10同样,但是,分别连接的传感器或执行器不同,因此,实现的功能不同。
ECU10,例如,由具备处理器、存储器、通信接口等的计算机实现。如图2示出,ECU10具有,通信部100以及主机部101。
通信部100,与总线1连接,进行总线1中流动的帧的收发。也可以说是,通信部100,进行车载网络***中流动的帧的收发。通信部100由通信控制器或收发器等实现。
主机部101是,进行ECU10的主要处理的部分,由CPU(Central Processing Unit)以及存储器实现。主机部101,解释从通信部100接收的帧,执行与通信内容(解释结果)对应的处理。例如,将ECU10设为,进行发动机控制的ECU。在以巡航控制的功能将车辆速度的增加请求帧从其他的ECU接收的情况下,以成为所希望的车辆速度的方式,该ECU10的主机部101,进行使发动机转速上升的控制等。并且,在ECU10接收发动机转速的信息的情况下,该ECU10的主机部101,进行为了向其他的ECU通知而发送帧等的处理。
[1.3网关60的结构]
图3是示出本实施方式的网关60的结构的图。网关60,例如,由具备处理器、存储器、通信接口等的计算机实现。
如图3示出,网关60具有,帧收发部61、帧解释部62、信用得分计算部63、监视控制部64、传输控制部65、帧生成部66、服务器通信部67、信用得分保持部68、以及传输规则保持部69。
帧收发部61是,与总线1至5连接的通信接口,由通信控制器或收发器等实现。帧收发部61,将由各个总线接收的帧传输到帧解释部62。并且,帧收发部61,根据来自帧生成部66的发送请求,进行帧的发送。帧收发部61是,帧接收部的一个例子。
帧解释部62,进行从帧收发部61传输的帧的解释,进行与帧对应的处理。并且,帧收发部61,将接收的帧,通知给信用得分计算部63。
信用得分计算部63,根据从帧解释部62通知的帧、以及信用得分保持部68保持的车辆信息(车辆数据),计算车辆200的信用得分,更新信用得分保持部68所存储的车辆200的信用得分以及车辆信息。
信用得分计算部63,将车辆200被进行与通常不同的利用的程度,计算为信用得分。信用得分计算部63,特别是,为了掌握攻击者以对车辆200进行逆向工程的目的进行活动的预兆而计算信用得分。
信用得分是示出,例如,正在进行逆向工程的可能性(例如,攻击者正在进行逆向工程的可疑性)的指标。并且,信用得分是,例如,能够判断正在被进行逆向工程的可能性的指标。并且,也可以说是,信用得分是,例如,示出进行通常的驾驶员不会进行、或进行的可能性低的车辆200的利用的指标。而且,本说明书的逆向工程是指,分析车载网络***。因此,也可以说是,信用得分是,例如,示出进行车辆200的车载网络***的分析的可能性、或分析的程度的指标。
在本实施方式中,信用得分计算部63,根据帧收发部61接收的帧、以及与该帧的接收之前由帧收发部61接收的一个以上的帧有关的车辆数据,检测与通常的驾驶行为不同的可疑行为,根据可疑行为的检测结果计算示出搭载车载网络***的车辆200正在被进行逆向工程的可能性的信用得分。也可以说是,信用得分计算部63,根据帧收发部61接收的帧以及车辆数据,更新接收该帧之前的信用得分。
如此,信用得分计算部63,根据包括帧收发部61接收的帧的帧的时间序列数据计算信用得分。信用得分计算部63,例如,根据现在接收的帧、以及与现在相比过去接收的帧(车辆数据中包括的帧),计算现在的信用得分。
而且,通常的驾驶行为是,估计为不进行逆向工程的驾驶员驾驶车辆200时能够进行的行为。并且,在此,驾驶行为包括,车辆200的行驶时的驾驶状态的行为(例如,后述的图4B示出的紧急制动发动间隔等)、以及车辆200的内部处理的行为(例如,后述的图4B示出的错误帧发生间隔等)的双方。并且,以下,以例子示出在怎样的可疑行为时减少信用得分,但是,可疑行为,不仅限于以下的例子。
例如,也可以认为相对于点火开动的时间,停车的时间的比例高的情况是,对停车中的车辆200,进行某种调查的预兆,因此,信用得分计算部63,减少信用得分。
并且,在数秒至数分那样的短时间内,反复利用车辆200的驾驶支援功能(例如,紧急制动,巡航控制,自动停车支援等的任意一个以上)的情况下,也会有由攻击者,为了分析引起不正当控制的帧,而进行车载网络的日志获得的可能性,因此,信用得分计算部63,减少信用得分。并且,驾驶支援功能也可以包括,车道保持辅助功能(行车线越出防止支援功能)。
并且,在车辆200的极端的驾驶状态(例如,急加速,急制动,急打方向盘等)的检测间隔短的情况下,或者,在为了控制空调、灯等的车身系而配置在车内的按钮被反复按压的情况下,也会有由攻击者,进行用于车载网络分析的日志获得的可能性,因此,信用得分计算部63,减少信用得分。
并且,在车载网络中发生错误帧的间隔短的情况下,也会有出现由攻击者连接不正当的设备的影响的可能性,因此,信用得分计算部63,减少信用得分。
并且,在车载网络的帧被瞬间中断的时间发生规定期间(例如数秒左右)的情况下,也会存在由攻击者进行,将用于进行车载网络的记录的设备、或用于注入不正当的帧的设备连接的工作的可能性,因此,信用得分计算部63,减少信用得分。
并且,在车载网络中流动的诊断指令为规定量以上的情况下,会存在由攻击者,反复进行诊断指令注入时的车辆200的影响调查、或因攻击尝试的影响而产生的故障代码的消去工作的可能性,因此,信用得分计算部63,减少信用得分。
另外,按照用于进行更新的帧数、进行蓄电池的电压降低或蓄电池的拆下的频度、包括通常不被观测的IP地址或端口号的数据包数等,信用得分计算部63可以,减少信用得分。
减少上述的信用得分的状况,并不一定是由攻击者进行的活动。因此,信用得分计算部63也可以,预先由非易失性存储器保持计算出的信用得分,若规定的时间(规定的第二时间的一个例子)经过,则(例如按每一天)使信用得分按每规定值(例如1)上升。信用得分计算部63也可以,还进行恢复信用得分的处理,从而适当地检测减少信用得分的活动被反复观测的车辆200。而且,信用得分计算部63也可以,若对车辆200执行了规定的操作(规定的第一操作的一个例子),则使信用得分按每规定值上升。规定的第一操作,例如,也可以是开动点火的操作,也可以是其他的操作。
信用得分计算部63,将接收的帧通知给监视控制部64。
监视控制部64,根据信用得分保持部68保持的信用得分,决定针对被通知的帧的处理。监视控制部64,例如,根据信用得分,变更示出针对逆向工程的监视的等级的监视等级。监视控制部64是,监视等级变更部的一个例子。
在信用得分,比规定的阈值高的情况下,不对被通知的帧进行特别的处理,信用得分计算部63,将被通知的帧通知给传输控制部65。
在信用得分为,规定的阈值以下的情况下,为了进入缩退模式,监视控制部64,进行被通知的帧的废弃、或向传输控制部65的缩退模式通知帧的通知等。缩退模式通知帧是,示出发送用于进行向其他的ECU示出进入缩退模式的通知的帧的通知。并且,为了通知信用得分减少,监视控制部64,而将车辆日志(车辆数据)以及信用得分通知给服务器通信部67。在此,车辆日志,可以包括车载网络中观测的帧的信息。
传输控制部65,根据传输规则保持部69保持的传输规则,以传输被通知的帧的方式,向帧生成部66通知。
帧生成部66,向帧收发部61进行,针对从传输控制部65通知的帧的请求发送。
服务器通信部67,将从监视控制部64通知的内容通知给服务器,接收来自服务器的通知,向监视控制部64通知内容。
信用得分保持部68存储,车辆200的信用得分、以及用于计算信用得分的数据。对于信用得分保持部68存储的信息,利用图4A以及图4B在后面进行详细说明。
传输规则保持部69存储,用于帧的传输的规则。对于传输规则,利用图5在后面进行详细说明。
而且,车辆200的外部的装置(例如,服务器装置)也可以具有,网关60具有的各个构成要素的一部分或全部。在此情况下,车辆200,将接收的帧以及车辆数据发送到外部的装置。外部的装置,根据来自车辆200的帧以及车辆数据计算信用得分,发送到车辆200。
[1.4信用得分保持部68存储的信用得分以及车辆数据的一个例子]
图4A是示出本实施方式的信用得分的一个例子的图。图4B是示出本实施方式的车辆数据的一个例子的图。信用得分以及车辆数据,由信用得分保持部68存储。并且,也可以将车辆数据,用于信用得分的计算。并且,图4B示出的项目是,判断为可疑行为的项目。
图4A示出,信用得分为80。信用得分,可取0至100的值,初始值为100。也就是说,图4A示出,检测出行为可疑,因此,初始值为100的信用得分,减少到80的例子。而且,图4A示出的80示出,例如,现在的信用得分。
并且,在图4B的车辆数据中,作为开动点火后的数据,存储有此次值以及上次值。作为上次值,存储有上次点火开动后断开的期间的数据。作为车辆数据,存储有关于示出车辆200的速度为时速0公里的比例的停车时间比例、示出紧急制动开动后、下次紧急制动开动为止的间隔的紧急制动发动间隔、巡航控制发动间隔、自动停车支援发动间隔、示出接收了示出加速器开度为100%的帧的间隔的急加速检测间隔、急制动检测间隔、急打方向盘检测间隔、示出接收了错误帧的间隔的错误帧发生间隔、消息瞬间中断时间、蓄电池电压降低有无或蓄电池的拆下的有无、诊断指令接收次数、更新指令接收次数、控制车内存在的空调或灯等的按钮在单位时间内(例如1分钟)被按压的次数的按钮连续按压次数、第三方装置的连接的有无的信息。而且,发动间隔意味着,发动的时间间隔,检测间隔意味着,检测的时间间隔。第三方装置是,监视装置的一个例子。并且,上述的接收次数是,接收量的一个例子,按钮连续按压次数是,操作次数的一个例子。而且,接收量,不仅限于接收次数,也可以是数据量。例如,在图4B中也可以,代替诊断指令接收次数而是诊断指令的数据量(规定的第一时间的数据的共计量)。
图4B示出,作为存储的车辆数据,停车时间比例,此次为70%,对此,上次为50%。并且,紧急制动发动间隔示出,此次为60秒,对此,上次为“-”,此次紧急制动没有发动两次以上。并且,巡航控制的发动间隔示出,此次为“-”,此次没有发动两次以上,对此,上次以1000秒间隔发动。并且,自动停车支援发动间隔示出,此次以30秒间隔发动,对此,上次为“-”,自动停车支援没有发动两次以上。
急加速检测间隔示出,此次、上次均为“-”,没有检测两次以上的急加速。同样,急制动检测间隔、急打方向盘检测间隔也示出,上次、此次也均为“-”,没有接收两次以上的该帧。而且,急加速、急制动以及急打方向盘是,异常的驾驶行为的一个例子。
错误帧发生间隔,此次为1秒间隔,上次为“-”。示出此次,以1秒间隔接收该帧,对此,上次,没有接收两次以上的该帧。并且,消息瞬间中断时间示出,此次为3秒,上次为0秒(即,小于1秒)。
蓄电池电压降低有无示出,此次检测出蓄电池电压降低,上次没有检测出蓄电池电压降低。诊断指令接收次数、更新指令接收次数示出,上次、此次均为0次。
按钮连续按压次数示出,此次被按压30次,上次为三次。
第三方装置的连接的有无示出,此次连接,对此,上次没有连接。
而且,图4B示出的关于时间间隔的项目(例如,紧急制动发动间隔,急加速检测间隔等)也可以是,规定的第一时间内的发动次数或检测次数。并且,图4B示出的关于次数的项目(例如,诊断指令或更新指令接收次数,按钮连续按压次数等)也可以是,基于上次的接收时刻或按压时刻、以及此次的接收时刻或按压时刻的时间间隔。信用得分计算部63,利用图4B示出的项目中的时间间隔或次数的任意一个计算信用得分即可。车辆数据包括,例如,车载网络中观测的各个项目中的帧的信息。车辆数据包括,例如,示出帧的接收时刻的时刻信息或示出帧的接收量的信息等。也可以说是,车辆数据包括,例如,关于比现在以前(过去)由帧收发部61接收的一个以上的帧的信息。并且,图4B示出的车辆数据是,日志信息的一个例子。并且,将车辆数据也记载为车辆日志或车辆信息。
而且,在本实施方式中,以明文字保持信用得分以及车辆数据,但是,也可以加密来保持。
[1.5传输规则保持部存储的传输规则的一个例子]
图5是本实施方式的传输规则的一个例子。传输规则保持部69,如该图所示,按每个帧的ID,存放存储有传输源以及传输目的地的表(传输规则)。
图5示出,ID为0x100的帧的传输源为总线1,该帧,被传输到总线2、3、4。同样示出,ID为0x200的帧的传输源为总线2,被传输到总线3,ID为0x250的帧的传输源为总线2,被传输到总线4,ID为0x300的帧的传输源为总线3,被传输到总线1。
[1.6示出网关60的处理的流程图]
图6是示出本实施方式的网关60的处理的流程图。
如图6示出,网关60,判断是否接收帧(S10)。
在接收帧的情况下(S10的“是”),网关60,计算信用得分(S11)。在没有接收帧的情况下(S10的“否”),网关60,等待到接收帧为止。
网关60,计算信用得分后,确认计算出的信用得分是否为规定值以下(S12)。监视控制部64,判断信用得分计算部63计算出的信用得分是否为规定值以下。
在信用得分为规定值以下的情况下(S12的“是”),网关60,变更监视等级(S13),执行传输处理(S14)。
在信用得分比规定值大的情况下(S12的“否”),网关60,不变更监视等级而执行传输处理(S14)。
接着,网关60的信用得分计算部63,判断规定的时间是否经过(S15)。规定的时间是,例如,上次步骤S15中判断为“是”后的经过时间,但是,不仅限于此,也可以是信用得分复位后的经过时间,也可以是信用得分复位后的驾驶时间。
信用得分计算部63,在规定的时间经过的情况下(S15的“是”),将信用得分递增1,或者,复位信用得分(S16),结束处理。信用得分计算部63,在将信用得分递增1的情况下,将现在的信用得分递增1后的信用得分存储到信用得分保持部68。并且,信用得分计算部63,在复位信用得分的情况下,与现在的信用得分无关,而将信用得分的初始值(例如,100)存储到信用得分保持部68。
并且,信用得分计算部63,在规定的时间没有经过的情况下(S15的“否”),不变更信用得分,而结束处理。
而且,步骤S15的判断,不仅限于根据规定的时间判断,也可以对车辆200执行了规定的操作来进行。规定的操作,例如,也可以是示出执行步骤S16的处理的操作(例如,对按钮的操作),也可以是开动或断开点火的操作。用于递增信用得分的操作是,规定的第一操作的一个例子,用于复位信用得分的操作是,规定的第二操作的一个例子。
而且,也可以进行递增多次后,复位信用得分。也就是说,复位信用得分时的时间(规定的第三时间的一个例子)也可以是,比递增信用得分时的时间(规定的第二时间的一个例子)长的时间。
[1.7网关60的信用得分计算的流程图]
图7是本实施方式的网关60的信用得分计算的流程图。具体而言,图7是详细示出,图6的步骤S11的计算信用得分的处理的流程图。而且,在图7中说明判断为可疑行为的项目是,诊断指令或更新指令的接收次数、开动驾驶支援功能的指令的接收间隔(例如,紧急制动的发动间隔)、以及急制动、急打方向盘、急加速的检测间隔的例子。
如图7示出,网关60,确认接收的帧是否是诊断指令或更新指令(S1101)。信用得分计算部63,判断接收的帧是否是诊断指令或更新指令。
信用得分计算部63,在接收的帧是诊断指令或更新指令的情况下(S1101的“是”),更新该指令的接收次数(S1102)。信用得分计算部63,例如,将信用得分保持部68存储的该指令的接收次数递增1。
接着,网关60,判断该指令的接收次数是否为规定值以上(例如100次以上)(S1103)。信用得分计算部63,例如,判断更新后的该指令的接收次数是否为规定值以上。用于步骤S1103的判断的规定值,由信用得分保持部68预先存储。
在规定的第一时间内的该指令的接收次数为规定值以上的情况下(S1103的“是”),网关60,将信用得分递减1(S1104),结束处理。并且,在规定的第一时间内的该指令的接收次数比规定值小的情况下(S1103的“否”),网关60,结束处理。也就是说,信用得分计算部63,在该指令的接收次数为规定值以上的情况下,更新信用得分,在该指令的接收次数比规定值小的情况下,不进行信用得分的更新。而且,规定的第一时间,例如,也可以是用于步骤S15的判断的时间,也可以是用于图7所示的判断处理的专用的时间。规定的第一时间,例如,由信用得分保持部68预先存储。并且,图7的说明中使用的其他的规定的第一时间也是同样的。
如此,信用得分计算部63,在可疑行为是,规定的第一时间内的诊断指令或更新指令的接收次数的任意一个为规定数以上的情况下,减少信用得分。
并且,也可以说是,信用得分计算部63,在规定的第一时间内的、诊断指令的接收次数为规定数以上的情况下,将该可疑行为检测为注入活动,在检测出注入活动的情况下,减少信用得分。而且,检测为注入活动的可疑行为,不仅限于诊断指令的接收次数,例如,也可以是规定的第一时间内的帧的接收次数。
并且,信用得分计算部63也可以,在规定的第一时间内的、更新指令的接收次数为规定数以上的情况下,将该可疑行为检测为细化活动,在检测出细化活动的情况下,减少信用得分。检测为细化活动的可疑行为,不仅限于更新指令的接收次数为规定次数以上,例如,也可以是规定的第一时间内的同一属性的帧的接收次数为规定次数以上。
同一属性的帧是,帧中包括的标识符、IP地址、MAC地址、端口号的任意一个、或任意两个以上的组合相同的帧。并且,属性是,确定帧的信息,并且是帧中包括的标识符、IP地址、MAC地址、端口号等。
在步骤S1101中,在接收的帧不是诊断指令或更新指令的情况下(S1101的“否”),网关60,确认接收的帧是否是,开动驾驶支援功能的指令(S1105)。也可以说是,信用得分计算部63,在可疑行为没有被检测为注入活动、或细化活动的情况下,进行到步骤S1105。
接着,在接收的帧是驾驶支援功能开动指令的情况下(S1105的“是”),网关60,对于该功能更新从上次该功能开动的时刻(例如,接收该开动指令的时刻)的经过时间(S1106)。信用得分计算部63,从信用得分保持部68获得上次接收驾驶支援功能开动指令的帧的时刻,根据获得的时刻以及接收步骤S1105中判断为“是”的帧的时刻,更新经过时间。信用得分计算部63,例如,将经过时间设为该两个时刻的时间差。
接着,网关60,确认更新的经过时间是否小于规定值(例如小于5分)(S1107)。信用得分计算部63,判断更新的经过时间是否小于规定值。用于步骤S1107的判断的规定值,由信用得分保持部68预先存储。
在规定的第一时间内的经过时间小于规定值的情况下(S1107的“是”),网关60,将信用得分递减1(S1104),并且,结束。
在规定的第一时间内的经过时间为规定值以上的情况下(S1107的“否”),网关60,不进行特别的处理而结束。也就是说,信用得分计算部63,在经过时间小于规定值的情况下,更新信用得分,在经过时间为规定值以上的情况下,不进行信用得分的更新。
如此,信用得分计算部63,在可疑行为是,规定的第一时间内的驾驶支援功能的发动间隔小于规定值的情况下,减少信用得分。而且,信用得分计算部63也可以,在规定的第一时间内的、驾驶支援功能的发动次数为规定数以上的情况下,在步骤S1107中判断为“是”。驾驶支援功能的发动次数,也可以是驾驶支援功能发动的次数,也可以是接收驾驶支援功能开动指令的次数。
并且,信用得分计算部63也可以,在规定的第一时间内的经过时间小于规定值的情况下,或者,在规定的第一时间内的驾驶支援功能的发动次数为规定数以上的情况下,将该可疑行为检测为主动监视活动,在检测出主动监视活动的情况下,减少信用得分。检测为主动监视活动的可疑行为,不仅限于关于驾驶支援功能,例如,也可以是规定的第一时间内的车内的按钮的操作次数(例如,图4B所示的按钮连续按压次数)为规定次数以上。
在步骤S1105中,在接收的帧不是驾驶支援功能开动指令的情况下(S1105的“否”),网关60,确认从接收的帧,是否检测急制动、急打方向盘、急加速的任意一个(S1108)。信用得分计算部63,判断接收的帧是否是急制动、急打方向盘、急加速的任意一个。
在检测出急制动、急打方向盘、急加速的任意一个的情况下(S1108的“是”),网关60,更新从上次的检测时刻的经过时间(S1109)。信用得分计算部63,从信用得分保持部68获得上次接收急制动、急打方向盘、急加速的任意一个的帧的时刻,根据获得的时刻以及接收步骤S1108中判断为“是”的帧的时刻更新经过时间。信用得分计算部63,例如,将经过时间设为该两个时刻的时间差。经过时间是,检测间隔的一个例子。
网关60,确认经过时间,是否小于规定值(例如小于5分)(S1110)。信用得分计算部63,判断更新后的经过时间是否小于规定值。用于步骤S1110的判断的规定值,由信用得分保持部68预先存储。
在规定的第一时间内的经过时间小于规定值的情况下(S1110的“是”),网关60,将信用得分递减1(S1104),并且,结束。
在规定的第一时间内的经过时间为规定值以上的情况下(S1110的“否”),网关60,不进行特别的处理而结束。也就是说,信用得分计算部63,在经过时间小于规定值的情况下,更新信用得分,在经过时间为规定值以上的情况下,不进行信用得分的更新。
如此,也可以说是,信用得分计算部63,在可疑行为是,规定的第一时间内的、急制动、急打方向盘、急加速的任意一个(异常的驾驶行为的一个例子)的经过时间小于规定值的情况下,减少信用得分。
并且,也可以说是,信用得分计算部63,在规定的第一时间内的、制动、急打方向盘、急加速的任意一个的经过时间小于规定值的情况下,将该可疑行为检测为主动监视活动,在检测出主动监视活动的情况下,减少信用得分。
而且,可疑行为也可以是,规定的第一时间内的异常驾驶行为的检测次数为规定值以上。异常的驾驶行为也可以是,加速器开度、制动压力、规定时间内的操舵角的变化量为规定值以上。
在步骤S1108中,没有检测到接收的帧的急制动、急打方向盘以及急加速的全都的情况下(S1108的“否”),网关60,确认接收的帧是否是错误帧(S1111)。信用得分计算部63,判断接收的帧是否是错误帧。
在不是错误帧的情况下(S1111的“否”),网关60,不进行特别的处理而结束。
在错误帧的情况下(S1111的“是”),网关60,更新从上次的检测时刻的经过时间(S1112)。信用得分计算部63,从信用得分保持部68获得上次接收错误帧的时刻,根据获得的时刻以及接收步骤S1111中判断为“是”的帧的时刻更新经过时间。信用得分计算部63,例如,将经过时间设为该两个时刻的时间差。经过时间是,发生间隔的一个例子。
网关60,确认经过时间是否小于规定值(例如小于5分)(S1113)。信用得分计算部63,判断更新后的经过时间是否小于规定值。用于步骤S1113的判断的规定值,由信用得分保持部68预先存储。
在规定的第一时间内的经过时间小于规定值的情况下(S1113的“是”),网关60,将信用得分递减1(S1104),并且,结束。
在规定的第一时间内的经过时间为规定值以上的情况下(S1113的“否”),网关60,不进行特别的处理而结束。也就是说,信用得分计算部63,在经过时间小于规定值的情况下,更新信用得分,在经过时间为规定值以上的情况下,不进行信用得分的更新。
如此,信用得分计算部63,在可疑行为是,规定的第一时间内的错误帧的经过时间小于规定值的情况下,减少信用得分。
并且,也可以说是,信用得分计算部63,在规定的第一时间内的、错误帧的经过时间为规定值以上的情况下,将该可疑行为检测为被动监视活动,在检测出被动监视活动的情况下,减少信用得分。而且,检测为被动监视活动的可疑行为也可以是,检测出错误帧。并且,检测为被动监视活动的可疑行为也可以是,检测出第三方装置(监视装置的一个例子)的连接、网络的瞬间中断(例如,消息的瞬间中断)、蓄电池电压的降低或蓄电池的拆下的任意一个,也可以是该任意一个的经过时间小于规定值。并且,检测为被动监视活动的可疑行为也可以是,停车时间比例(例如,相对于规定的第一时间而停车的时间的比例)为规定比例以上。
而且,信用得分计算部63,进行图7所示的步骤S1101、S1105、S1108以及S1111之中的至少一个判断即可。信用得分计算部63能够,例如,将被动监视活动、主动监视活动、注入活动以及细化活动的至少一个检测为可疑行为即可。
[1.8网关60的监视等级变更的流程图]
图8是本实施方式的网关60的监视等级变更的流程图。具体而言,图8是,详细示出图6的步骤S13的变更监视等级的处理的流程图。而且,图8示出的工作,例如,由监视控制部64执行。
如图8示出,网关60,在步骤S12中,在信用得分为规定值以下的情况下(S12的“是”),判断信用得分是否为30以下(S1301)。监视控制部64,例如,判断步骤S11中计算出的信用得分是否为规定值以下。用于步骤S1301的判断的规定值,由信用得分保持部68预先存储。并且,信用得分30是,第一阈值的一个例子。
在信用得分为30以下的情况下(S1301的“是”),网关60,向缩退模式转移(S1302)。缩退模式是,使驾驶支援功能的一部分或全部无效化的模式。为了进行向缩退模式转移的处理,网关60,向其他的ECU进行通知,进行向驾驶员通知(提醒注意)功能的无效化的显示,或者,由网关60,停止一部分的帧的传输。然后,网关60,结束处理。而且,向缩退模式转移是,限制车辆200的功能的一个例子。并且,网关60也可以,向近邻车辆或服务器通知现在的信用得分。
并且,在车载网络***中包括侵入检测***的情况下,向缩退模式的转移也可以是,侵入检测***的有效化。侵入检测***的有效化是,车载网络的监视的强化的一个例子。
网关60,在信用得分为30以下的情况下,执行车辆200的功能的限制、向车辆200的驾驶员的注意提醒、向近邻车辆或服务器的信用得分的通知、车载网络的监视强化的任意一个以上即可。
在信用得分比30大的情况下(S1301的“否”),网关60,判断信用得分是否为50以下(S1303)。也可以说是,监视控制部64,在步骤S1303中,判断信用得分是否比30大且为50以下。并且,信用得分50是,第二阈值的一个例子。
在信用得分为50以下的情况下(S1303的“是”),网关60,将用于对驾驶员进行注意提醒的帧,发送到例如进行仪表组等的显示器的控制的ECU,从而对驾驶员进行注意提醒,并且,向服务器通知信用得分或车辆日志(S1304),从而结束处理。而且,在步骤S1304中,进行向驾驶员的注意提醒以及向服务器的通知的任意一个即可。并且,网关60也可以,在步骤S1304中,向近邻车辆通知信用得分。
在信用得分比50大的情况下(S1303的“否”),网关60,确认信用得分是否为80以下(S1305)。也可以说是,监视控制部64,在步骤S1305中,判断信用得分是否比50大且为80以下。并且,信用得分80是,第三阈值的一个例子。
在信用得分为80以下的情况下(S1305的“是”),网关60,向服务器通知信用得分(S1306)。
在信用得分比80大的情况下(S1305的“否”),网关60,不进行特别的处理而结束。而且,在步骤S1305的“否”的情况下,也可以进行向服务器的通知。
如此,监视控制部64,在信用得分成为规定的值以下的情况下,根据信用得分的值,执行车辆200的功能的限制、向车辆200的驾驶员的注意提醒、向近邻车辆或服务器的信用得分的通知、车载网络的监视强化的任意一个以上。监视控制部64,例如,以若信用得分低,则加强监视等级的方式,执行所述任意一个以上。监视控制部64,在信用得分为第一阈值以下的情况下,执行与第一监视等级对应的工作,在信用得分比第一阈值大且为比该第一阈值大的第二阈值以下的情况下,执行与监视等级比第一监视等级低的第二监视等级对应的工作,在信用得分比第二阈值大且为比该第二阈值大的第三阈值以下的情况下,执行与监视等级比第二监视等级低的第三监视等级对应的工作。第一阈值是,例如,比信用得分的最小值(例如,0)大的值,第三阈值是,例如,比信用得分的初始值(例如,100)低的值。而且,与第一阈值至第三阈值、以及第一监视等级至第三监视等级对应的工作,由信用得分保持部68预先存储。
[1.9网关工作序列(信用得分成为50以下的情况)]
图9是示出本实施方式的网关60的工作序列的图。具体而言,图9是示出,在网关60中的信用得分为51时,因可疑的驾驶行为而信用得分成为50以下时的工作序列的图。ECU20是,发送指示紧急制动的帧的ECU,ECU30是,进行显示器的控制的ECU。
如图9示出,ECU20,发送请求开动紧急制动的帧(S100),网关60,接收被发送的请求开动紧急制动的帧。而且,控制制动器的ECU,也接收被发送的请求开动紧急制动的帧,使紧急制动发动,但是,省略图示。
接着,ECU20,在开动紧急制动的帧的发送结束后,发送请求断开紧急制动的帧(S101),网关60,接收被发送的请求断开紧急制动的帧。
然后,ECU20,再次,发送请求开动紧急制动的帧(S102),网关60接收被发送的请求开动紧急制动的帧。
网关60,在从步骤S100中的请求开动紧急制动的帧的接收、到步骤S102中的请求开动紧急制动的帧的接收为止的时间(检测间隔的一个例子)比规定值(例如5分)短的情况下,使信用得分减少1(S103)。步骤S103的处理,相当于图7示出的步骤S1107中判断为“是”之后执行的步骤S1104的处理。
关60,在信用得分减少1的结果为,现在的信用得分为50,因此,发送用于对驾驶员进行注意提醒的帧(S104)。步骤S104的处理,相当于图8示出的步骤S1304的处理。
ECU30,接收用于对驾驶员进行注意提醒显示的帧,在显示器显示注意提醒(S105)。显示器的显示内容是,例如,如图11A示出的显示。图11A是示出,本实施方式的向驾驶员通知的显示内容的一个例子的图。如图11A示出,在步骤S105中,显示示出检测出异常的行为的信息、以及对此的对应方法(例如,向中心通知)。
网关60,向服务器通知包括信用得分的车辆日志(S106)。
[1.10网关工作序列(信用得分成为30以下的情况)]
图10是示出,本实施方式的网关60的工作序列的图。具体而言,图10是,在网关60的信用得分为31时,因可疑驾驶行为而信用得分成为30以下时的工作序列。设想为,ECU20、以及ECU30,与图9中说明的作用同样。
如图10示出,ECU20,发送请求开动紧急制动的帧(S110),网关60,接收被发送的请求开动紧急制动的帧。
接着,ECU20,在开动紧急制动的帧的发送结束后,发送请求断开紧急制动的帧(S111),网关60,接收被发送的请求断开紧急制动的帧。
然后,ECU20,再次,发送请求开动紧急制动的帧(S112),网关60,接收被发送的请求开动紧急制动的帧。
网关60,在从步骤S110中的请求开动紧急制动的帧的接收、到步骤S112中的请求开动紧急制动的帧的接收为止的时间(检测间隔的一个例子)比规定值(例如5分)短的情况下,使信用得分减少1(S113)。步骤S113的处理,相当于图7示出的步骤S1107中判断为“是”之后执行的步骤S1104的处理。
网关60,信用得分减少1的结果为,现在信用得分成为30以下,因此,发送用于向缩退模式转移的帧(缩退模式请求帧)(S114)。网关60,在缩退模式中包括紧急制动的无效的情况下,向EUC20发送用于向缩退模式转移的帧。步骤S144的处理,相当于图8示出的步骤S1302的处理。
ECU20,接收被发送的缩退模式请求帧,使以后的请求开动紧急制动的帧的发送无效(S115)。
ECU30,接收被发送的缩退模式请求帧,在显示器进行用于通知功能限制的显示(S116)。显示器的显示内容是,例如,如图11B示出的显示。图11B是示出,本实施方式的向驾驶员通知的显示内容的另一个例子的图。如图11B示出,在步骤S116中,显示示出异常的行为的继续的信息、示出一部分的功能的限制的信息、以及询问目的地。
[1.11实施方式1的效果]
实施方式1涉及的网关60(车辆监视装置的一个例子),针对怀疑攻击者的车载网络***的逆向工程活动的活动,计算信用得分。网关60,还根据信用得分,决定对应。网关60,对服务器进行通知,据此,在服务器侧能够掌握可疑的车辆,将该车辆确定为重点的监视对象。并且,网关60,针对更可疑的车辆,限制车辆的功能的一部分,从而能够妨碍逆向工程活动。据此,网关60,能够提高车载网络***的安全性。
(实施方式2)
以下,说明搭载多个电子控制单元(ECU)通信的车载网络(车载网络***)的车辆200的车辆监视方法。而且,本实施方式是,与实施方式1同样的车载网络***结构,因此,省略示出车载网络***的全体结构的图,仅说明与实施方式1不同的网关的处理流程图。
而且,在本实施方式中说明,在检测出可疑行为的情况下,信用得分增加的例子。在此情况下,信用得分的初始值是,例如,0。并且,以下,将在检测出可疑行为时得分增加的信用得分,与实施方式1区别,记载为可疑得分。
[2.1示出网关的处理的流程图]
图12是示出本实施方式的网关60的处理的流程图。而且,对于图12示出的步骤S20、24、25以及26的每一个,与图6示出的步骤S10、14、15以及16的每一个对应,以下省略或简化说明。
如图12示出,网关60,判断是否接收帧(S20)。
在接收帧的情况下(S20的“是”),网关60,计算各种可疑得分(S21)。在没有接收帧的情况下(S20的“否”),网关60,等待到接收帧为止。
网关60,在计算可疑得分后,判断计算出的可疑得分之中的、某个可疑得分是否为规定值以上(S22)。
在某个可疑得分为规定值以上的情况下(S22的“是”),网关60,变更监视等级(S23)。
在所有的可疑得分小于规定值的情况下(S22的“否”),网关60,进行传输处理(S24),进入步骤S25。
[2.2网关的可疑得分计算的流程图]
图13是本实施方式的网关60的可疑得分计算的流程图。具体而言,图13是详细示出,图12的步骤S21的可疑得分计算处理的流程图。
如图13示出,网关60,在接收帧的时刻,判断是否发生向诊断端口50的第三方装置(监视装置的一个例子)的连接检测、错误帧的检测、网络的瞬间中断检测、以及蓄电池拆下的检测的某个(S2101)。并且,网关60也可以,在步骤S2101中,进行停车时间比例是否为所定比例以上的判断。
在步骤S2101中检测出任意一个的情况下(S2101的“是”),网关60,将该可疑行为检测为被动监测活动,使被动监视得分增加1(S2102),结束处理。被动监测活动是,例如,用于获得车载网络***的车辆数据的行动。被动监视得分示出,针对车载网络***的逆向工程活动之中的、针对被动监视活动的可疑得分。也就是说,被动监视得分示出,进行被动监视活动的可能性,被动监视得分高示出,对车辆200进行被动监视活动的可能性高。也可以说是,信用得分计算部63,在步骤S2102中,根据帧收发部61接收的帧以及车辆数据,更新接收该帧之前的被动监视得分。
在步骤S2101中没有检测到全都的情况下(S2101的“否”),网关60,还判断是否反复检测出紧急制动等的驾驶支援功能的开动、或急制动等的异常工作(S2103)。网关60,例如,在步骤S2103中,判断规定的第一时间内的、驾驶支援功能的发动次数、或异常的驾驶行为的检测次数的任意一个是否为规定数以上。并且,网关60也可以,判断驾驶支援功能的发动次数、车内的按钮的操作次数、或异常的驾驶行为的检测次数的任意一个是否为规定数以上。
在步骤S2103中检测出某个的情况下(S2103的“是”),网关60,将该可疑行为检测为主动监视活动,使主动监视得分增加1(S2104),结束处理。主动监视活动是,例如,用于获得车辆200的特定功能工作中或特定状况下的车载网络的车辆数据的工作。主动监视得分示出,针对车载网络***的逆向工程活动之中的、针对主动监视活动的可疑得分。也就是说,主动监视得分示出,进行主动监视活动的可能性,主动监视得分高示出,针对车辆200进行主动监视活动的可能性高。也可以说是,信用得分计算部63,在步骤S2104中,根据帧收发部61接收的帧以及车辆数据,更新接收该帧之前的主动监视得分。
在步骤S2103中没有检测到全都的情况下(S2103的“否”),网关60,还判断帧的接收次数、或诊断指令的接收次数是否比规定的阈值大(S2105)。接收次数是,接收量的一个例子。
在步骤S2105中任意一个的接收次数比规定的阈值大的情况下(S2105的“是”),网关60,将该该可疑行为检测为注入活动,使注入得分增加1(S2106),结束处理。注入活动是,例如,用于尝试向车载网络***的帧的注入的行动。也就是说,注入活动示出,由攻击者进行不正当的帧的注入的尝试的阶段。
并且,注入得分示出,针对车载网络***的逆向工程活动之中的、针对注入活动的可疑得分。也就是说,注入得分示出,进行注入活动的可能性,注入得分高示出,针对车辆200进行注入活动的可能性高。也可以说是,信用得分计算部63,在步骤S2106中,根据帧收发部61接收的帧以及车辆数据,更新接收该帧之前的注入得分。
在步骤S2105中接收次数全部为阈值以下的情况下(S2105的“否”),网关60,还判断更新指令或同一ID帧的接收次数是否超过规定的阈值(S2107)。而且,同一ID帧是,同一属性的帧的一个例子。在步骤S2107中也可以,根据同一属性的帧的接收次数进行判断。并且,接收次数是,接收量的一个例子。
在步骤S2107中更新指令或同一ID帧的接收次数超过规定的阈值的情况下(S2107的“是”),网关60,将该可疑行为检测为细化活动,使细化得分增加1(S2108),结束处理。细化活动是,例如,用于尝试注入用于提高注入到车载网络***的帧的精度的帧的行动。也就是说,细化活动示出,与注入活动相比洗练了攻击者的攻击内容的阶段。
并且,细化得分示出,针对车载网络***的逆向工程活动之中的、针对细化活动的可疑得分。也就是说,细化得分示出,进行细化活动的可能性,细化得分高示出,对车辆200进行细化活动的可能性高。也可以说是,信用得分计算部63,在步骤S2108中,根据帧收发部61接收的帧以及车辆数据,更新该帧接收之前的细化得分。
在步骤S2107中更新指令或同一ID帧的接收次数为规定的阈值以下的情况下(S2107的“否”),信用得分计算部63,不进行特别的处理而结束。
在此,第三方装置的连接检测是,因从诊断端口50流动特定的诊断指令而能够检测的。错误帧的检测是,因网关60的错误计数器或错误中断处理而能够检测的。网络瞬间的中断检测是,总是保持帧的接收时刻,在接收帧时,上次接收帧的时刻与现在的时刻的差分超过规定的阈值时能够检测的。蓄电池拆下的检测是,向网关60的电源供给被遮断,再次供给电源时,检测出上次电源供给被遮断而能够检测的。
如上所述,在本实施方式中,网关60(具体而言,信用得分计算部63),在示出逆向工程的各个阶段的被动监视活动、主动监视活动、注入活动以及细化活动的每一个,计算可疑得分。被动监视活动、主动监视活动、注入活动以及细化活动是,示出逆向工程的各个阶段的多个种类的一个例子。也就是说,可疑行为具有,多个种类。而且,信用得分计算部63,计算针对可疑行为的多个种类的每一个的可疑得分。
多个种类包括,两个以上的种类即可。可疑行为的多个种类包括,例如,被动监视活动、主动监视活动、注入活动以及细化活动的至少两个即可。换而言之,信用得分计算部63,进行图13示出的步骤S2101、S2103、S2105以及S2107之中的、至少两个判断即可。信用得分计算部63能够,例如,将被动监视活动、主动监视活动、注入活动以及细化活动的至少两个检测为可疑行为即可。
而且,示出按照细化活动、注入活动、主动监视活动以及被动监视活动的顺序进行逆向工程活动,即按照该顺序进行车载网络的分析。
[2.3网关的监视等级变更的流程图]
图14是本实施方式的网关60的监视等级变更的流程图。具体而言,图14是详细示出,图12的步骤S23的监视等级变更处理的流程图。而且,图14示出的工作,例如,由监视控制部64执行。
如图14示出,网关60,判断细化得分是否比3大(S2301)。3是,用于判断是否存在进行细化活动的可能性的第四阈值,例如,由信用得分保持部68预先存储。而且,第四阈值,不仅限于3。
在细化得分比3大的情况下(S2301的“是”),网关60,将向缩退模式转移的请求帧发送到各个ECU,并且,将包括各个可疑得分的车辆数据通知给服务器(S2302),结束处理。
在细化得分为3以下的情况下(S2301的“否”),网关60,还判断注入得分是否比3大(S2303)。3是,用于判断是否存在进行注入活动的可能性的第五阈值,例如,由信用得分保持部68预先存储。而且,第五阈值,不仅限于3。
在注入得分比3大的情况下(S2303的“是”),网关60,限制车辆200的一部分的功能,并且,将包括各个可疑得分的车辆数据通知给服务器(S2304),结束处理。
在注入得分为3以下的情况下(S2303的“否”),网关60,还判断主动监视得分是否比3大(S2305)。3是,用于判断是否存在进行主动监视活动的可能性的第六阈值,例如,由信用得分保持部68预先存储。而且,第六阈值,不仅限于3。
在主动监视得分比3大的情况下(S2305的“是”),网关60,发送进行向驾驶员的注意提醒的帧,并且,将包括各个可疑得分的车辆数据通知给服务器(S2306),结束处理。
在主动监视得分为3以下的情况下(S2305的“否”),网关60,还判断被动监视得分是否比3大(S2307)。3是,用于判断是否存在进行被动监视活动的可能性的第七阈值,例如,由信用得分保持部68预先存储。而且,第七阈值,不仅限于3。
在被动监视得分比3大的情况下(S2307的“是”),网关60,将包括各个可疑得分的车辆数据通知给服务器(S2308),结束处理。
在被动监视得分为3以下的情况下(S2307的“否”),网关60,不进行特别的处理而结束。
如此,监视控制部64,根据可疑行为的多个种类、以及与可疑行为的多个种类的每一个对应的可疑得分(信用得分的一个例子)的值,执行车辆200的功能的一部分的限制、向车辆200的驾驶员的注意提醒、向近邻车辆或服务器的信用得分的通知的任意一个以上。并且,监视控制部64也可以,执行车载网络的监视强化。监视控制部64,例如,若逆向工程活动的阶段进展,则以加强监视等级的方式,执行车辆200的功能的一部分的限制、向车辆200的驾驶员的注意提醒、向近邻车辆或服务器的信用得分的通知以及车载网络的监视强化的任意一个以上。
监视控制部64,在细化得分比第四阈值大的情况下,执行与第四监视等级对应的工作。并且,监视控制部64,在注入得分比第五阈值大、且细化得分为第四阈值以下的情况下,执行与监视等级比第四监视等级低的第五监视等级对应的工作。并且,监视控制部64,在主动监视得分比第六阈值大、且细化得分为第四阈值以下、以及注入得分为第五阈值以下的情况下,执行与监视等级比第五监视等级低的第六监视等级对应的工作。并且,监视控制部64,在被动监视得分比第七阈值大、且细化得分为第四阈值以下、注入得分为第五阈值以下、以及主动监视得分为第六阈值以下的情况下,执行与监视等级比第六监视等级低的第七监视等级对应的工作。
而且,第四阈值是,例如,比细化得分的最小值(例如,0,初始值)大、且细化得分的最大值(例如,100)以下的值。第五阈值,例如,比注入得分的最小值(例如,0,初始值)大、且注入得分的最大值(例如,100)以下的值。第六阈值是,例如,比主动监视得分的最小值(例如,0,初始值)大、且主动监视得分的最大值(例如,100)以下的值。第七阈值是,例如,比被动监视得分的最小值(例如,0,初始值)大、且被动监视得分的最大值(例如,100)以下的值。
而且,与第四监视等级至第七监视等级对应的工作,由信用得分保持部68预先存储。
[2.4实施方式2的效果]
在实施方式2涉及的网关60(车辆监视装置的一个例子)中,针对怀疑攻击者的车载网络***的逆向工程活动的活动,按照活动的阶段计算可疑得分。网关60,还根据各种可疑得分的值决定对应方法,从而能够对怀疑攻击阶段更进展的车辆200,进行更重点的监视,据此能够更提高车载网络***的安全性。
[其他的变形例]
而且,根据所述各个实施方式说明了本公开,但是,当然,本公开,不仅限于所述各个实施方式。
以下的情况也包括在本公开中。
(1)在所述实施方式中,总线是CAN,但是,通信协议,不仅限于CAN,也可以是例如CAN-FD(CAN with Flexible Data Rate)、FlexRay、Ethernet。
(2)在所述实施方式中,服务器通信部作为网关的构成要素存在,服务器通信部也可以,不是网关的必须的构成要素。例如,也可以另外存在与服务器进行通信的装置,网关也可以经由该装置进行通知。
(3)在所述实施方式中,信用得分计算部是,网关的构成要素,但是,并不一定需要是网关的构成要素。例如,也可以是其他的ECU的构成要素,信用得分计算部也可以作为虚拟机上的应用程序发挥功能。
(4)在所述实施方式中,信用得分,可取0至100的值,但是,信用得分可取的值,不仅限于此,也可以是例如0至10的10阶段,阶段性地示出逆向工程的可疑性的等级即可。
(5)在所述实施方式中示出了,将信用得分的初始值设为100,在观测到可疑的行为的情况下,信用得分减少的例子,但是,并不需要是信用得分,也可以作为可疑得分,在可疑的行为的观测时,得分上升。信用得分是,阶段性地示出逆向工程的可疑性的等级即可。
(6)在所述实施方式中示出了,信用得分减少的条件,但是,也可以存在信用得分上升的条件。例如,也可以按每一天(规定的第二时间的一个例子)经过时信用得分上升,也可以在点火开动时,信用得分上升。并且,例如,也可以按每一天(规定的第三时间的一个例子)经过时复位信用得分。并且,也可以由诊断指令,复位信用得分,也可以根据来自服务器的通知,复位信用得分。据此,正规的驾驶员,即使在因可疑的行为偶然反复发生,而信用得分降低的情况下,也能够恢复为正常的信用得分。
(7)在所述实施方式中,在符合信用得分减少的条件的情况下,信用得分减少1,但是,信用得分的减少量,不仅限于1。例如,也可以按照观测到的可疑的行为,使减少量发生变化,也可以反复观测到可疑的行为,来使减少量变大。据此,针对通常的利用中观测的可能性低的可疑的行为,能够使信用得分更大幅度减少,能够容易确定可疑的车辆,因此是有效的。
(8)在所述实施方式中,同样处理减少信用得分的条件,但是,也可以分类阶段,按每个阶段计算信用得分。例如,也可以阶段性地分为,攻击者单纯地想要获得车载网络的日志的被动监视、攻击者想要获得车辆的特定功能工作中以及特定状况的车载网络的日志的主动监视、攻击者尝试对车载网络日志进行帧注入的注入监视、以及攻击者尝试更洗练的攻击的细化。据此,能够掌握攻击者的逆向工程的阶段,能够对阶段进展的攻击者进行重点的监视,因此是有效的。被动监视能够,例如,根据向诊断端口的第三方设备的连接的检测、用于监控装置(监视装置的一个例子)连接的网络的瞬间中断、蓄电池的拆下、错误帧的检测次数或检测间隔等而被判断。主动监视能够,例如,根据驾驶支援功能的利用间隔以及利用量、车内配置的按钮的每单位时间的按压次数、观测到极端的加速器、制动器、方向盘操作的频度等而被判断。注入能够,根据帧的接收量或接收间隔、诊断指令的接收量或接收间隔等而被判断。细化能够,根据对同一IID帧的接收量的增加或接收间隔的变化、更新指令的接收量或接收间隔等而被判断。
(9)在所述实施方式中,信用得分保持部,保持用于计算信用得分的车辆数据的这次值以及上次值,但是,也可以不保存上次值,而保存过去减少了信用得分的实际成绩。例如,也可以保持过去一周的、得分的减少量。而且,信用得分计算部,在信用得分保持部存储过去得分减少的实际成绩的情况下,也可以将观测到存在过去得分减少的实际成绩的可疑的行为观测时的信用得分的减少量设为,比观测到过去得分没有减少的实际成绩的、或减少的量小的可疑行为观测时的信用得分的减少量、或者、预先设定的减少量大。据此,在反复观测到可疑的行为时,能够判断为执行逆向工程的可能性更高,因此是有效的。
(10)在所述实施方式中,将信用得分通知给服务器,但是,通知目的地,不仅限于服务器,也可以通过V2X通信,向近邻车辆或路侧机通知信用得分。据此,对于因互联网连接被遮断而不能将信用得分通知给服务器的车辆也能够发现可疑的车辆,对安全性的提高有效的。
(11)在所述实施方式中,根据车载网络帧的日志计算信用得分,但是,也可以将近邻车辆的信用得分用于本车辆的信用得分的计算。信用得分计算部也可以,例如,在信用得分为规定值以下的多个车辆在规定区域内存在规定期间的情况下,设为攻击者将本车辆也作为分析目标用的车辆的可能性高,来校正(例如,减少)信用得分。信用得分计算部也可以,例如,在针对可疑行为的多个种类的每一个的信用得分的任意一个为规定值以下的多个车辆(为其他的车辆)在规定区域内存在规定期间的情况下,按照信用得分为规定值以下的可疑行为的种类,校正(例如,减少)本车辆的信用得分。信用得分计算部也可以,例如,减少与其他的车辆中规定值以下的可疑行为的种类相同的可疑行为的种类的本车辆中的信用得分。
(12)在所述实施方式2中,可疑得分的计算时,按照被动监视得分、主动监视得分、注入得分、细化得分的顺序,进行得分计算,但是,不限定处理的顺序。同样,不限定监视等级变更时的各个可疑得分的判断处理的顺序。例如,处理的顺序也可以相反,也可以在执行所有的判断处理后,进行得分计算、监视等级的变更等。
(13)在所述实施方式1、2中,在信用得分(可疑得分)低于(超过)规定的阈值的情况下,进行服务器的通知,但是,进行服务器通知的定时,不仅限于此。例如,也可以定期向服务器通知车辆日志,也可以是按照信用得分(可疑得分)的值,变更向服务器的通知频度或通知量的对应。据此,从可疑的车辆通知更详细的车辆日志,从而能够实现重点的监视,因此是有效的。并且,车辆日志也可以,除了车辆的信用得分(可疑得分)以外,还包括从车载网络***中流动的帧获得的信息。例如,也可以是车辆的速度或转向角度那样的车辆的传感信息,也可以包括成为信用得分变化的依据的、信用得分保持部存储的车辆数据。
(14)在所述实施方式中,在帧接收时,进行了得分计算,但是,也可以不是在帧接收时进行。例如,也可以由内置定时器定期地进行得分计算。
(15)在所述实施方式中,在监视等级变更时设定得分的阈值,但是,阈值,不仅限于本实施方式所示的值。也可以为了提高可疑的车辆的检测、对应的灵敏度而将阈值设定为高(或低),也可以以降低灵敏度的方式设定。并且,也可以按照逆向工程的状况(例如,信用得分的变化速度,逆向工程的阶段等),动态地变更阈值。
(16)在所述实施方式2中,根据同一ID帧的接收量,使细化得分上升,但是,在Ethernet中,也可以是同一端口号、同一IP地址、MAC地址的帧的接收量。或者,也可以是由这些头信息的组合定义的同一流的接收量。并且,接收量也可以是接收数据包数以及接收数据尺寸的任意一个。
(17)在所述实施方式1以及2中,也可以将信用得分(可疑得分)的计算条件、或与得分对应的处理内容作为另外规则保持。
(18)在所述实施方式1以及2中,信用得分(可疑得分)由非易失性存储器保存,断开点火后也被保持,但是,也可以不由非易失性存储器保持,而按每个点火被复位。据此,不需要非易失性存储器,能够以低成本实现车辆监视装置。
(19)在所述实施方式中,按照信用得分(可疑得分)的值,进行了服务器通知、车辆的功能限制、向驾驶员的通知等的对应,但是,对应方法,不仅限于此。例如,也可以在车载网络存在侵入检测***,将侵入检测***有效化。据此,通常时不需要使侵入检测***工作,成为省电力,因此是有效的。或者,也可以开始车载网络日志保存。据此,能够保持可疑的行为发生时的车载网络日志,对存储器使用量削减有效的。或者,也可以变更向服务器的车载网络日志的通知量、通知频度。据此,从可疑的车辆获得更多的信息,从通常的车辆(信用得分为规定值以上,估计为没有被进行逆向工程的车辆)获得少的信息即可,因此,对通信量的削减有效的。或者,也可以与电话服务中心进行通话。据此,牵制攻击者的活动,对逆向工程的抑制有效的。
(20)在所述实施方式中,特别是,在计算信用得分时没有设定模式,但是,也可以存在计算信用得分的模式。例如,在反复进行冲撞实验的试验车辆中也可以,为了抑制信用得分被计算为低,而设定试验模式。在试验模式中设定为,相对于异常的行为,信用得分难以减少。也可以是,试验模式,由与服务器的认证成为有效,试验模式的车辆,由服务器掌握信用得分。
(11)在所述实施方式中,作为搭载在汽车的车载网络的安全对策进行了说明,但是,所述实施方式的网关的适用范围,不仅限于此。网关,不仅限于汽车,也可以适用于建筑机械、农业机械、船舶、铁路、飞机等的移动体。
也就是说,所述实施方式的网关,作为移动体网络以及移动体网络***的网络安全对策能够适用的。
并且,所述实施方式的网关,也可以适用于工厂以及大楼等的工业控制***中利用的通信网络、或用于控制嵌入式设备的通信网络等。
(22)具体而言,上述的实施方式的各个装置是,由微处理器、ROM、RAM、硬盘单元、显示单元、键盘、鼠标等构成的计算机***。在RAM或硬盘单元记录有计算机程序。微处理器,根据计算机程序进行工作,据此,各个装置实现其功能。在此,计算机程序是,为了实现规定的功能,而组合示出针对计算机的指令的多个指令码来构成的。
(23)构成上述的实施方式的各个装置的构成要素的一部分或全部,也可以由一个***LSI(Large Scale Integration:大规模集成电路)构成。***LSI是,将多个构成部集成在一个芯片上而制造的超多功能LSI,具体而言,包括微处理器、ROM、RAM等而构成的计算机***。在RAM记录有计算机程序。微处理器,根据计算机程序进行工作,据此,***LSI实现其功能。
并且,构成所述各个装置的构成要素的各个部分,也可以个别地单片化,也可以以包含一部分或全部的方式单片化。
并且,在此,设为***LSI,但是,也会有根据集成度的不同,称为IC、LSI、超LSI、特大LSI的情况。并且,集成电路化的方法,不仅限于LSI,也可以由专用电路或通用处理器来实现。也可以利用在制造LSI后能够编程的FPGA(Field Programmable Gate Array)、或能够重构LSI内部的电路单元的连接以及设定的可重构处理器。
进而,若因半导体技术的进步或派生的其他的技术而出现代替LSI的集成电路化的技术,当然,也可以利用该技术进行功能块的集成化。会有生物技术的适用等的可能性。
(24)构成上述的各个装置的构成要素的一部分或全部,也可以由与各个装置能够装卸的IC卡或单体的模块构成。IC卡或模块是,由微处理机、ROM、RAM等构成的计算机***。IC卡或模块也可以包括,所述超多功能LSI。微处理机根据计算机程序工作,从而IC卡或模块实现其功能。该IC卡或模块也可以具有,防篡改性。
(25)并且,本公开也可以是,上述的方法。并且,也可以是这些方法由计算机实现的计算机程序,也可以是由计算机程序构成的数字信号。
并且,本公开,也可以将计算机程序或数字信号记录到计算可读取的记录介质、例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。并且,也可以是这些记录介质所记录的数字信号。
并且,本公开,也可以将计算机程序或数字信号,经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等传输。
并且,本公开是,具备微处理器以及存储器的计算机***,存储器存储有,所述计算机程序,微处理器,根据计算机程序进行工作。
并且,也可以将程序或数字信号记录到记录介质来传输,或者,将程序或数字信号经由网络等来传输,从而由独立的其他的计算机***执行。
(26)也可以分别组合所述实施方式以及所述变形例。
本公开,有用于存在由攻击者进行逆向工程活动的可能性的移动体。
符号说明
1,2,3,4,5 总线
10,11,20,21,30,31,40,41 ECU
50 诊断端口
60 网关
61 帧收发部
62 帧解释部
63 信用得分计算部
64 监视控制部
65 传输控制部
66 帧生成部
67 服务器通信部
68 信用得分保持部
69 传输规则保持部
100 通信部
101 主机部
200 车辆

Claims (13)

1.一种车辆监视装置,对具备一个以上的电子控制单元的车载网络***进行监视,所述车辆监视装置具备:
帧接收部,接收所述车载网络***中流动的帧;以及
信用得分计算部,根据所述帧接收部接收的所述帧以及包括与在接收该帧之前由所述帧接收部接收的一个以上的帧有关的信息的车辆数据,检测与通常的驾驶行为不同的可疑行为,根据检测结果,计算信用得分,该信用得分示出搭载所述车载网络***的车辆正在被进行逆向工程的可能性。
2.如权利要求1所述的车辆监视装置,
在检测出监视装置的连接、错误帧、网络的瞬间中断、蓄电池拆下的任意一个的情况下,所述可疑行为作为被动监视活动而被检测,
所述信用得分计算部,在检测出所述被动监视活动的情况下,使所述信用得分减少。
3.如权利要求1或2所述的车辆监视装置,
在规定的第一时间内的、车内的按钮的操作次数、异常的驾驶行为的检测次数的任意一个为规定数以上、或驾驶支援功能的发动间隔小于规定值的情况下,所述可疑行为作为主动监视活动而被检测,
所述驾驶支援功能是,自动停车支援、自动巡航控制、紧急制动、车道保持辅助的任意一个,
所述异常的驾驶行为是指,加速器开度、制动压力、规定时间内的操舵角的变化量为规定值以上,
所述信用得分计算部,在检测出所述主动监视活动的情况下,使所述信用得分减少。
4.如权利要求1至3的任一项所述的车辆监视装置,
在规定的第一时间内的、所述帧的接收量、诊断指令的接收量的任意一个为规定数以上的情况下,所述可疑行为作为注入活动而被检测,
所述信用得分计算部,在检测出所述注入活动的情况下,使所述信用得分减少。
5.如权利要求1至4的任一项所述的车辆监视装置,
在规定的第一时间内的、更新指令的接收量、同一属性的帧的接收量的任意一个为规定数以上的情况下,所述可疑行为作为细化活动而被检测,
所述同一属性的帧是指,所述帧中包括的标识符、IP地址、MAC地址、端口号的任意一个、或任意两个以上的组合相同的帧,
所述信用得分计算部,在检测出所述细化活动的情况下,使所述信用得分减少。
6.如权利要求1至5的任一项所述的车辆监视装置,
所述车辆监视装置还具备,监视等级变更部,
所述监视等级变更部,在所述信用得分成为小于规定的值的情况下,根据所述信用得分的值,执行所述车辆的功能的限制、向所述车辆的驾驶员的注意提醒、向近邻车辆或服务器的信用得分的通知、以及所述车载网络***的监视强化的任意一个以上。
7.如权利要求1所述的车辆监视装置,
所述可疑行为具有,示出所述逆向工程的各个阶段的多个种类,
所述信用得分计算部,在所述可疑行为的所述多个种类的每一个中计算信用得分。
8.如权利要求7所述的车辆监视装置,
所述可疑行为的所述多个种类包括,被动监视活动、主动监视活动、注入活动、细化活动的至少两个,
所述被动监视活动是,用于获得所述车辆数据的行动,
所述主动监视活动是,用于获得所述车辆的特定功能工作中或特定状况下的所述车辆数据的工作,
所述注入活动是,用于尝试向所述车载网络***注入帧的行动,
所述细化活动是,用于尝试注入用于提高注入到所述车载网络***的帧的精度的帧的行动。
9.如权利要求8所述的车辆监视装置,
在检测出监视装置的连接、错误帧、网络的瞬间中断、蓄电池拆下的任意一个的情况下,所述可疑行为作为所述被动监视活动而被检测,在规定的第一时间内的、驾驶支援功能的发动次数、车内的按钮的操作次数、异常的驾驶行为的检测次数的任意一个为规定数以上的情况下,所述可疑行为作为所述主动监视活动而被检测,在规定的第一时间内的、所述帧的接收次数、诊断指令的接收次数的任意一个为规定数以上的情况下,所述可疑行为作为所述注入活动而被检测,在规定的第一时间内的、更新指令的接收次数、同一属性的帧的接收次数的任意一个为规定数以上的情况下,所述可疑行为作为所述细化活动而被检测。
10.如权利要求7至9的任一项所述的车辆监视装置,
所述车辆监视装置还具备,监视等级变更部,
所述监视等级变更部,根据所述可疑行为的所述多个种类、以及与所述可疑行为的所述多个种类分别对应的信用得分的值,执行所述车辆的一部分的功能的限制、向所述车辆的驾驶员的注意提醒、以及向近邻车辆或服务器的信用得分的通知的任意一个以上。
11.如权利要求1至10的任一项所述的车辆监视装置,
所述信用得分计算部,在规定的第二时间经过或对所述车辆执行了规定的第一操作的情况下,使所述信用得分上升。
12.如权利要求1至11的任一项所述的车辆监视装置,
所述信用得分计算部,在规定的第三时间经过或对所述车辆执行了规定的第二操作的情况下,复位所述信用得分。
13.一种车辆监视方法,对具备一个以上的电子控制单元的车载网络***进行监视,所述车辆监视方法包括:
接收步骤,接收所述车载网络***中流动的帧;以及
信用得分计算步骤,根据所述接收步骤中接收的所述帧以及包括与在接收该帧之前接收的一个以上的帧有关的信息的车辆数据,检测与通常的驾驶行为不同的可疑行为,根据检测结果,计算信用得分,该信用得分示出搭载所述车载网络***的车辆正在被进行逆向工程的可能性。
CN202080009672.2A 2019-08-30 2020-08-19 车辆监视装置以及车辆监视方法 Pending CN113348683A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2019/034263 WO2021038869A1 (ja) 2019-08-30 2019-08-30 車両監視装置および車両監視方法
JPPCT/JP2019/034263 2019-08-30
PCT/JP2020/031228 WO2021039523A1 (ja) 2019-08-30 2020-08-19 車両監視装置および車両監視方法

Publications (1)

Publication Number Publication Date
CN113348683A true CN113348683A (zh) 2021-09-03

Family

ID=74685330

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080009672.2A Pending CN113348683A (zh) 2019-08-30 2020-08-19 车辆监视装置以及车辆监视方法

Country Status (5)

Country Link
US (1) US11995181B2 (zh)
EP (1) EP4024250A4 (zh)
JP (1) JPWO2021039523A1 (zh)
CN (1) CN113348683A (zh)
WO (2) WO2021038869A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7439669B2 (ja) * 2020-07-14 2024-02-28 株式会社デンソー ログ分析装置
WO2022049497A1 (en) * 2020-09-03 2022-03-10 Marvell Asia Pte Ltd Safety extension for precision time protocol (ptp)
JP7307117B2 (ja) * 2021-04-07 2023-07-11 矢崎総業株式会社 車載システム
CN114132342B (zh) * 2021-11-24 2023-09-22 重庆长安汽车股份有限公司 一种自动驾驶***的监控方法
US11968075B2 (en) * 2022-01-14 2024-04-23 Juniper Networks, Inc. Application session-specific network topology generation for troubleshooting the application session
US11991046B2 (en) * 2022-01-17 2024-05-21 Juniper Networks, Inc. Determining an organizational level network topology
US11878707B2 (en) * 2022-03-11 2024-01-23 International Business Machines Corporation Augmented reality overlay based on self-driving mode

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5664799U (zh) 1979-10-23 1981-05-30
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
CN103999410B (zh) 2011-12-22 2017-04-12 丰田自动车株式会社 通信***及通信方法
GB2520987B (en) * 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
WO2016151566A1 (en) * 2015-03-26 2016-09-29 Tower-Sec Ltd Security system and methods for identification of in-vehicle attack originator
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
JP6525825B2 (ja) * 2015-08-31 2019-06-05 国立大学法人名古屋大学 通信装置
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
WO2018168291A1 (ja) * 2017-03-13 2018-09-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理方法、情報処理システム、及びプログラム
JP6956624B2 (ja) 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
WO2018208777A1 (en) * 2017-05-08 2018-11-15 Bae Systems Information And Electronic Systems Integration Inc. System and method for cryptographic verification of vehicle authenticity
US10652256B2 (en) * 2017-06-20 2020-05-12 International Business Machines Corporation Real-time active threat validation mechanism for vehicle computer systems
JP6891671B2 (ja) * 2017-06-29 2021-06-18 富士通株式会社 攻撃検知装置および攻撃検知方法
EP3665601A4 (en) * 2017-08-10 2021-04-21 Argus Cyber Security Ltd SYSTEM AND METHOD FOR DETECTING USING A COMPONENT CONNECTED TO AN IN-VEHICLE NETWORK
US10841329B2 (en) * 2017-08-23 2020-11-17 International Business Machines Corporation Cognitive security for workflows
JP7003544B2 (ja) * 2017-09-29 2022-01-20 株式会社デンソー 異常検知装置、異常検知方法、プログラム及び通信システム
US10701102B2 (en) * 2017-10-03 2020-06-30 George Mason University Hardware module-based authentication in intra-vehicle networks
US10887349B2 (en) * 2018-01-05 2021-01-05 Byton Limited System and method for enforcing security with a vehicle gateway
WO2019142180A1 (en) * 2018-01-16 2019-07-25 C2A-Sec, Ltd. Intrusion anomaly monitoring in a vehicle environment
JP7178346B2 (ja) 2018-01-22 2022-11-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両監視装置、不正検知サーバ、および、制御方法
US11785029B2 (en) * 2018-03-05 2023-10-10 British Telecommunications Public Limited Company Vehicular network security
US20190312892A1 (en) * 2018-04-05 2019-10-10 Electronics And Telecommunications Research Institute Onboard cybersecurity diagnostic system for vehicle, electronic control unit, and operating method thereof
WO2019227076A1 (en) * 2018-05-25 2019-11-28 Securethings U.S., Inc. Cybersecurity on a controller area network in a vehicle
CA3074874C (en) * 2018-07-24 2020-10-13 Enigmatos Ltd. Message source detection in a vehicle bus system
US11711384B2 (en) * 2018-08-27 2023-07-25 Lear Corporation Method and system for detecting message injection anomalies
US11539782B2 (en) * 2018-10-02 2022-12-27 Hyundai Motor Company Controlling can communication in a vehicle using shifting can message reference
US20200216027A1 (en) * 2019-01-04 2020-07-09 Byton North America Corporation Detecting vehicle intrusion using command pattern models
US10965709B2 (en) * 2019-04-15 2021-03-30 Qualys, Inc. Domain-specific language simulant for simulating a threat-actor and adversarial tactics, techniques, and procedures
US11368471B2 (en) * 2019-07-01 2022-06-21 Beijing Voyager Technology Co., Ltd. Security gateway for autonomous or connected vehicles
US11546353B2 (en) * 2019-07-18 2023-01-03 Toyota Motor North America, Inc. Detection of malicious activity on CAN bus

Also Published As

Publication number Publication date
JPWO2021039523A1 (zh) 2021-03-04
EP4024250A1 (en) 2022-07-06
EP4024250A4 (en) 2022-10-26
US20210349977A1 (en) 2021-11-11
US11995181B2 (en) 2024-05-28
WO2021038869A1 (ja) 2021-03-04
WO2021039523A1 (ja) 2021-03-04

Similar Documents

Publication Publication Date Title
CN113348683A (zh) 车辆监视装置以及车辆监视方法
JP7410223B2 (ja) 不正検知サーバ、及び、方法
CN110494330B (zh) 车辆监视装置、不正当检测服务器、以及控制方法
US11411917B2 (en) Method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
CN108028784B (zh) 不正常检测方法、监视电子控制单元以及车载网络***
CN111052681B (zh) 异常检测电子控制单元、车载网络***及异常检测方法
EP3484106B1 (en) Method for inhibiting unauthorized control, device for inhibiting unauthorized control, and vehicle-mounted network system
JP2010531515A5 (zh)
CN110053630B (zh) 车辆控制方法及装置
JP6558703B2 (ja) 制御装置、制御システム、及びプログラム
US11621967B2 (en) Electronic control unit, electronic control system, and recording medium
JP2020108132A (ja) 電子制御システム、電子制御装置、制御方法及びプログラム
KR101721035B1 (ko) 차량 침입 탐지 장치 및 방법
CN107945576A (zh) 车辆故障监测方法
WO2020105657A1 (ja) 車載中継装置及び中継方法
WO2021019635A1 (ja) セキュリティ装置、攻撃対応処理方法、コンピュータプログラム、及び記憶媒体

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination