CN117677540A - 异常探测装置、安全***以及异常通知方法 - Google Patents
异常探测装置、安全***以及异常通知方法 Download PDFInfo
- Publication number
- CN117677540A CN117677540A CN202180100800.9A CN202180100800A CN117677540A CN 117677540 A CN117677540 A CN 117677540A CN 202180100800 A CN202180100800 A CN 202180100800A CN 117677540 A CN117677540 A CN 117677540A
- Authority
- CN
- China
- Prior art keywords
- abnormality
- information
- communication
- vehicle
- abnormality detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005856 abnormality Effects 0.000 title claims abstract description 133
- 238000001514 detection method Methods 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 title claims description 16
- 238000004891 communication Methods 0.000 claims abstract description 103
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 19
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 description 17
- 230000002159 abnormal effect Effects 0.000 description 8
- 239000000872 buffer Substances 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000010365 information processing Effects 0.000 description 6
- 238000003745 diagnosis Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
Abstract
CPU(21)基于与探测出的异常的种类、内容、次数、频度、倾向、探测量、影响度和/或风险程度相应的优先级,来判定在与外部装置的通信时使用的数据量和/或与外部装置通信的时机,按照数据量和/或时机来进行与外部装置的通信。
Description
技术领域
本发明涉及一种异常探测装置、安全***以及异常通知方法。
背景技术
近年,在汽车搭载了电子控制装置(ECU(Electronic Control Unit))等各个种类的车载设备。这些车载设备通过CAN(Controller Area Network:控制器局域网)等车载网络相互连接,通过车载设备彼此间进行通信能够实现相互协作。为了防止对车载设备的非法访问等,对车载网络要求高的安全性。
例如在专利文献1中公开了一种能够从外部高速且安全地获取对在通信装置间发送接收的信息进行收集而得到的诊断信息的通信***。具体地说,输出装置向外部装置输出经由高速的干线获得的诊断信息,由此能够从外部高速地获取诊断信息。
现有技术文献
专利文献
专利文献1:日本特开2015-113002号公报
发明内容
发明要解决的问题
然而,根据专利文献1中公开的技术,在输出装置向外部装置输出信息的情况下,输出了存储于车辆的存储装置的全部信息,因此,存在与外部装置的通信所需的数据量增大这一问题。
也考虑了如下情况:通常不将存储于车辆的存储装置的全部的详细的信息输出,而仅在存在来自外部服务器的请求的情况下发送全部的详细的信息,由此抑制与外部服务器的通信所需的数据量,但是认为在这样的方法中,不仅在通常时外部服务器能够获知的内容受到了限定,而且对于能够作为日志保存的详细的信息等而言也存在限制,因此,如果在详细的信息被发送给外部服务器之前探测出新的异常、或者在外部服务器侧进行的判断时花费时间,详细信息的日志会被新的日志覆盖。
本发明是鉴于上述问题而完成的,其目的在于,提供一种根据状况向外部服务器发送表示异常的内容的信息,由此能够抑制详细信息等日志在向外部服务器的通知前消失的异常探测装置、安全***以及异常通知方法。
用于解决问题的方案
本发明的一个方式所涉及的异常探测装置具有:控制器(CPU 21),其探测供搭载于车辆的多个车载设备相互进行通信的车载网络中的异常;以及存储装置(存储部23),其保存信息,控制器(CPU 21)基于与探测出的异常的种类、内容、次数、频度、倾向、探测量、影响度和/或风险程度相应的优先级,来判定在与外部装置(管理服务器100)的通信时使用的数据量和/或与外部装置通信的时机,按照数据量和/或所述时机来进行与外部装置(管理服务器100)的通信。
发明的效果
根据本发明,根据状况判定对表示异常的内容的信息进行通知的量和/或时机,来向外部服务器发送表示异常的内容的信息,由此能够抑制详细信息等日志在向外部服务器的通知前消失。
附图说明
图1是示意性地示出本实施方式所涉及的安全***的结构的图。
图2是示出本实施方式所涉及的车辆的结构的框图。
图3是示出网关的结构的框图。
图4是示出与详细信息有关的处理的过程的说明图。
图5是示出与摘要信息有关的处理的过程的说明图。
图6是示出与信息的读出等有关的处理的过程的说明图。
图7是示出变形例所涉及的车辆的结构的框图。
具体实施方式
下面,参照附图来说明本发明的实施方式。在附图的记载中,对于相同的部分赋予相同的附图标记并省略说明。
参照图1~图3,来说明本实施方式所涉及的安全***的结构。安全***是对在车辆内构建的车载网络的异常进行管理的***。
安全***以作为外部服务器装置的管理服务器100和1台以上的车辆10为主体来构成。管理服务器100和各个车辆10构成为能够经由外部网络200相互通信。外部网络200例如列举出便携电话网等移动通信网。但是,外部网络200也可以是互联网等。在图1所示的例子中,示出了2台车辆10,但是不限于此。
车辆10以网关20、多个ECU(Electronic Control Unit:电子控制单元)30、31以及TCU(Telematics Communication Unit:远程信息处理通信单元)50为主体来构成。网关20、多个ECU 30以及TCU 50与通信总线40、41、42连接,来构建车载网络。
具体地说,多个ECU 30经由通信总线40以能够相互通信的方式来与通信总线40连接。多个ECU 31经由通信总线41以能够相互通信的方式来与通信总线41连接。能够根据车辆控制的需要在各通信总线40、41分别连接任意数量的ECU 30、31。另外,TCU 50与通信总线42连接。此外,车辆的框结构当然不限于该例子(图2)。
此外,在下面的说明中,设为车载网络是CAN(Controller Area Network)。然而,车载网络例如也可以是遵循除CAN以外的通信协议的网络、例如LIN(Local InterconnectNetwork:本地互联网络)、FlexRay(注册商标)、Ethernet(注册商标)等。另外,在车载网络中也可以混合存在分别遵循不同的通信协议的多个网络。
网关20与通信总线40、41、42分别连接。网关20在通信总线40与通信总线41之间传输通信数据,或者在通信总线40或通信总线41与通信总线42之间传输通信数据。
另外,网关20担负作为用于探测对车载网络的攻击等安全异常、并向管理服务器100通知该安全异常的异常探测装置的功能。网关20使用ECU(电子控制装置)来实现。
ECU 30、31是具备微处理器、ROM、RAM、输入输出接口等的电子控制装置。在各ECU30、31连接有车辆10的部件或传感器。ECU 30、31基于传感器的检测值、部件的状态来执行各种控制。
作为ECU 30、31,包括控制包括发动机的动力传动***的动作的ECU、控制变速器的ECU、控制电气部件的ECU等。另外,ECU 30、31包括执行与导航***有关的控制的ECU、执行与安全行驶及自动行驶有关的控制的ECU等。ECU 30、31包括与功能、用途相应的各种ECU。
TCU 50是通过外部网络200来与其它车辆10或车辆外部的外部装置(包括管理服务器100)进行通信的通信单元。TCU 50也使用ECU(电子控制装置)来实现。此外,TCU 50也可以是IVC(Inter-Vehicle Communication:车间通信)***。
TCU 50经由网关20向对应的ECU 30、31传输从外部装置或其它车辆10发送的信息。TCU 50经由网关20向外部装置或其它车辆10发送从ECU 30、31发送的信息。另外,TCU50向管理服务器100发送从网关20发送的信息,并向网关20发送从管理服务器100发送的信息。
此外,TCU 50和网关20除了通过通信总线42连接以外,也可以通过专用的通信线路连接。
另外,在网关20设置有未图示的端口,经由该端口从车辆外部连接诊断装置(未图示)。诊断装置经由通信总线40、41来与ECU 30、31通信。诊断装置从ECU 30、31收集与控制动作有关的诊断数据,并且向ECU 30、31发送诊断数据的收集所需的测定参数等诊断信息。此外,诊断装置也可以是经由TCU 50来与ECU 30、31通信的结构。
在网关20中,对通信总线40、41、42以及诊断装置用的端口赋予了用于识别它们的信道编号。
在图2中,网关20具有CPU 21、存储器22、存储部23以及多个通信部24。
CPU 21读入存储于存储器22等的各种计算机程序,来执行程序所包含的各种命令。通过执行程序,CPU 21作为网关20所具备的多个信息处理电路发挥功能。此外,在本实施方式中,示出通过软件来实现网关20所具备的多个信息处理电路的例子。当然,也能够准备用于执行在下面示出的各信息处理的专用的硬件来构成信息处理电路。另外,也可以由单独的硬件构成多个信息处理电路。
CPU 21具备处理部21a、探测部21b、详细信息生成部21c、摘要信息生成部21d以及读出部21e来作为多个信息处理电路。处理部21a主要担负作为网关20的固有的功能,探测部21b、详细信息生成部21c、摘要信息生成部21d以及读出部21e担负作为异常探测装置的功能。
处理部21a在通信总线40所连接的ECU 30与通信总线41所连接的ECU 31之间进行通信数据的传输。另外,处理部21a在通信总线40、41所连接的ECU 30、31与通信总线42所连接的TCU 50之间进行数据的传输。
处理部21a按照由CAN通信协议规定的通信数据来进行通信。通信数据由多个帧构成。各个帧由ID、数据字段等各种字段构成,在各个字段保存有表示数据的种类的值即ID(CANID)、数据。
探测部21b探测车载网络中的异常。在构建于车辆10的车载网络中,可能经由TCU50、故障诊断用的端口、导航***等那样独自具备通信功能的***等来发起非法的攻击。探测部21b探测伴随对车载网络的攻击而引起的侵害等安全异常。
详细信息生成部21c生成详细地表示异常的内容的详细信息。详细信息生成部21c将所生成的详细信息记录于存储部23。详细信息生成部21c通过读出部21e的控制向TCU 50输出详细信息,由此向管理服务器100发送详细信息。
摘要信息生成部21d基于保存于存储部23的详细信息来生成摘要信息。摘要信息生成部21d也可以将所生成的摘要信息记录于存储部23。摘要信息相当于与详细信息相比对异常的内容进行了概括所得到的信息。摘要信息生成部21d通过读出部21e的控制向TCU50输出摘要信息,由此向管理服务器100发送摘要信息。
读出部21e根据状况在适当的时机从存储部23等读出需要的信息的全部信息或一部分信息(例:详细信息、摘要信息等)。此外,读出部21e也可以根据状况使摘要信息生成部21d生成摘要信息,由此读出摘要信息。读出部21e通过向TCU 50输出所读出的信息,来向管理服务器100发送信息。
作为与状况相应的发送的具体例,读出部21e基于与探测出的异常的种类、内容、次数、频度、倾向、探测量、影响度和/或风险程度相应的优先级,来判定在与管理服务器100的通信时使用的数据量和/或与管理服务器100通信的时机。在此,除了上述以外,读出部21e也可以还基于与存储部23的容量(例:剩余量)、以前进行通知的时机以及以前进行通知的频度中的至少一方相应的优先级,来判定数据量和/或时机。由此,读出部21e能够以判定出的数据量和/或时机向TCU 50输出所读出的信息,由此向管理服务器100发送信息。此外,不限于控制表示异常的内容的信息(日志),读出部21e也可以控制表示存在异常的异常通知(例:侵害通知)的数据量和/或通知时机。此外,作为一例,各信息、优先级规则的保存目的地、保持目的地也可以是以下。
下述内容由探测部21b判定,作为详细信息进行记录,并且一部分作为摘要信息进行记录,并且由读出部21e使用。
·异常的种类
·内容(探测)
·频度(探测)
·倾向(探测)
·探测量
·影响度
·风险程度
下述内容由读出部21e保持。
·以前进行通知的时机
·(过去的通知的)频度
·优先级的规则
在此,读出部21e也可以在从管理服务器100接收到基于异常的通知或信息发送的删除指示的情况下、或者在向管理服务器100的异常的通知或信息通信成功了的情况下,删除存储于存储部23的信息的全部信息或一部分信息。换言之,读出部21e能够根据状况来控制向存储部23记录的记录内容(将详细信息和摘要信息中的哪个作为日志来保留等)。由此,能够向管理服务器100提供需要的通知、信息,并且抑制伴随对车载网络的攻击而引起的信息流出。或者,能够有效利用受限的存储容量,根据状况将适当的信息保存为日志。
作为优先级的具体例,优先级也可以是在由探测部21b根据获取到的数据检测出安全违反信号作为异常的情况下的、基于安全违反的程度或者从安全违反信号的获取件数历史记录来看增加倾向风险的程度而对***带来的影响度。而且,也可以是,该影响度越大、即优先级越高,则读出部12e进行使向管理服务器100的通信所需的数据量越多和/或使向管理服务器100的通知时机越早的控制。
另外,关于影响度/优先级,也可以根据阈值例如进行下面的处理。也可以是,作为第一阈值,当影响度/优先级超过第一规定值时,仅通信/发送安全违反信号的种类、通知的频度或者探测量。而且,也可以是,作为第二阈值,当影响度/优先级超过比第一规定值大的第二规定值时,还通信/发送包含安全违反信号的数据帧的内容或发送目的地。并且,也可以是,作为第三阈值,当影响度/优先级超过比第二规定值大的第三规定值时,通信/发送获取到的数据帧整体。此外,可以设置与时间或次数有关的阈值,可以当安全违反信号持续规定时间或获取到规定数量以上的安全违反信号时,除了通信/发送所获取到的数据帧以外,还将通信序列也包含在内地进行通信/发送。另外,也可以是,作为第四阈值,当影响度/优先级超过比第三规定值大的第四规定值时,通信/发送来自其它车载设备的数据帧或车辆的状态。
此外,作为本实施方式的前提,也可以进行以下假设。即,读出部21e等CPU 21发送异常探测类型等概要(摘要信息)作为定期的通知。在初次探测到异常、从前次通知起经过了固定时间、或者日志保持量为固定以上的情况下,CPU 21以能够进行Ethernet通信的状态发送详细信息(计数器、探测到的帧等)。而且,CPU 21也可以在详细信息(详细日志)通知后消除日志来控制数据保持量。
存储部23保存各种信息。例如,存储部23保存在详细信息生成部21c中生成的详细信息。存储部23也可以保存在摘要信息生成部21d中生成的摘要信息。作为具体例,在存储部23按探测部21b探测出的每个异常保存详细信息。针对各个详细信息,按探测部21b探测出的每个异常关联有用于识别该异常的异常ID。
在此,存储部23也可以是能够利用多层缓冲器进行日志记录的存储器。例如,也可以能够是下面两种的缓冲器。
高优先缓冲器:是将信息可靠地保留的缓冲器,在向管理服务器100的通知后能够进行删除。该高优先缓冲器对安全的影响大,也可以被称为写入***、IDPS。此外,既可以记录与IDPS相关联的日志,也可以不记录与IDPS相关联的日志。
临时(casual)缓冲器:是能够覆盖的缓冲器,对安全的影响小,也可以被称为读取***、IDS。此外,既可以记录与IDS相关联的日志,也可以不记录与IDS相关联的日志。
多个通信部24、25、26与多个通信总线40、41、42相对应地设置,并与通信总线40、41、42连接。各个通信部24、25、26按照CAN通信协议从通信总线40、41、42接收帧,并暂时保存所接收到的帧(接收帧)。保存于各个通信部24、25、26的接收帧由CPU 21读出。另外,各个通信部24、25、26保存从CPU 21输入到通信部24、25、26的应发送的帧(发送帧)。各个通信部24、25、26按照CAN通信协议发送所保存的发送帧。
管理服务器100以计算机110和存储装置120为主体来构成。管理服务器100在本实施方式中实现尽可能收集并监视、分析侵害车辆的安全的侵害信息的安全管理中心(Security Operation Center)。
计算机110使用一台以上的具备CPU和存储器的计算机来构成。计算机110基于经由外部网络200从车辆10接收到的数据来对车载网络的异常进行管理(为控制器)。关于计算机110进行的管理,列举出异常的分析、实时监控、用于后续开发的反馈、防御报告、事故报告等。计算机110执行规定的程序来提供这样的功能。
CPU读入存储于存储器等的各种计算机程序,来执行程序所包含的各种命令。通过执行程序,CPU实现管理服务器100所具备的多个功能。在本实施方式中,示出通过软件来实现管理服务器100所具备的功能的例子,但是,当然,也能够准备用于执行在下面示出的功能的专用的硬件,来构成信息处理电路。
在本实施方式中,计算机110从网关20获取侵害通知等信息,并将其保存于存储装置120。在此,也可以是,计算机110基于从网关20接收到的侵害信息,选择是否需要详细信息,在选择为需要详细信息的情况下,对网关20发送详细信息的发送请求。当对此进行应答而从网关20发送详细信息时,计算机110能够接收详细信息。此外,如上所述,在读出部21e根据状况/优先级判定出要发送详细信息的情况下,从最初开始就从网关20向计算机110发送详细信息。
在存储装置120记录经由外部网络200从车辆10接收到的信息。具体地说,在存储装置120记录侵害通知(也可以包含摘要信息)、摘要信息、详细信息等。
下面,参照图4~图6,来说明安全***中的处理的流程。
参照图4,来说明与详细信息有关的处理的流程。首先,探测部21b探测出车载网络中的异常、具体地说探测出安全异常(S10)。作为安全异常,列举出CANID异常、数据量异常、数据值异常等。
CANID异常是CANID中的异常,例如,使用了没有预定要在车载网络中使用的CANID的情况等符合这种异常。数据量异常是与在通信总线40、41、42流动的通信数据的数据量有关的异常。例如,在每单位时间流动的帧量比规定的基准值多的情况下,判断为数据量的异常。另外,设想为同种的帧以固定的周期流动。因此,在同种的帧未以固定的周期流动的情况下,判断为数据量的异常。并且,数据值异常是与在通信总线40、41、42中流动的通信数据的数据值有关的异常。设想为同种的帧在数据内容中具有连续性。因此,在存在具有与之前的帧的数据值大不相同的数据值的帧的情况下,判断为数据值的异常。
当探测出安全异常时,探测部21b向详细信息生成部21c通知探测出(S11)。
详细信息生成部21c基于探测部21b探测出的异常来生成详细地表示异常的内容的详细信息(S12)。作为一例,详细信息也可以包含类型信息、部位信息、时机信息、状态信息、对象数据以及探测量信息等。详细信息例如由25K字节的数据构成。
作为一例,类型信息是表示异常的类型的信息,描述CANID异常、数据量异常、数据值异常等的类型。作为一例,部位信息是表示被探测出异常的部位的信息,描述被探测出异常的信道。作为一例,时机信息是表示被探测出异常的时机的信息,描述以网关20初次启动的时机为起点直到探测出异常为止的经过时间、或在探测出异常的时机的行驶距离等。作为一例,状态信息是表示以多个不同的动作模式进行动作的网关20在探测出异常时以哪个动作模式进行着动作的信息。作为一例,对象数据信息是探测出异常的帧所包含的数据本身。作为一例,探测量信息是表示到当前为止探测出的异常的总量的信息。探测部21b保有按异常的每个类型测量探测次数的计数器,在探测信息中描述各计数器的计数值。
详细信息生成部21c当生成详细信息时,进行用于在存储部23进行记录的格式转换。然后,详细信息生成部21c将详细信息记录于存储部23(S13)。此时,详细信息生成部21c将用于识别探测部21b探测出的异常的异常ID与详细信息相关联地记录该详细信息。
参照图5,来说明与摘要信息有关的处理的流程。首先,探测部21b探测出车载网络中的异常、具体地说探测出安全异常或车载网络侵害(S10)。然后,探测部21b向摘要信息生成部21d通知探测出(S21)。
摘要信息生成部21d参照存储部23中的由详细信息生成部21c记录的详细信息(S22)。然后,摘要信息生成部21d基于从详细信息中提取出的信息,来生成与详细信息相比对异常的内容进行了概括所得到的摘要信息(S23)。
摘要信息例如由相当于1帧的数据字段的8字节构成,并由比详细信息少的数据量构成。摘要信息至少包含能够确定异常的类型的信息。具体地说,摘要信息包含异常类型标志、异常检测量。
异常类型标志是按异常的每个类型的表示在各信道中是否产生了异常的标志。异常检测量是表示每单位时间的所有计数器的增加量的信息。
在此,后述的读出部21e也可以基于与由探测部21b探测出的异常的种类、内容、次数、频度、倾向、探测量、影响度、风险程度、存储部23的容量、以前进行通知的时机、以前进行通知的频度等相应的优先级,来判定数据量(例:是详细信息还是摘要信息)和/或发送时机。读出部21e也可以判定是否对管理服务器100立即发送详细信息。是否立即发送例如根据检测出的异常的类型等来判定。如下面这样,对于对安全的影响大的异常,判定为立即发送,对于对安全的影响小的异常,判定为也可以不立即发送。此外,摘要信息包含与用于确定对应的详细信息的异常ID。
当摘要信息生成部21d生成摘要信息时,通过由读出部21e进行的按照数据量和/或时机的控制来向TCU 50输出来自存储部23的详细信息或所生成的摘要信息,以向管理服务器100发送信息(S24)。
TCU 50向管理服务器100发送包含摘要信息等的侵害通知或详细信息(S25)。具体地说,TCU 50利用按照由读出部21e判定出的数据量和/或时机的控制,能够向管理服务器100进行信息发送。此外,TCU 50也可以直到规定的发送周期等时机到来为止保持信息。然后,也可以是,当发送时机到来时,TCU 50向管理服务器100发送信息。TCU 50也可以对信息赋予用于确定车辆10的车辆ID来进行信息发送。
当从TCU 50获取到信息时,管理服务器100的计算机110在是摘要信息、侵害信息的情况下,选择是否需要详细信息。是否需要详细信息的选择也可以在管理服务器100的操作者分析了摘要信息、侵害通知等之后、按照与分析结果相应的操作者的操作来进行。另外,也可以是,计算机110分析摘要信息、侵害通知等,将符合预先决定的基准(例如,特定的异常的类型)的信息选择为需要详细信息的信息。
参照图6,来说明与由读出部21e进行的信息的读出等有关的处理的流程。如上所述,读出部21e根据伴随状况的优先级来判定适当的数据量、时机,并进行下面的各种处理。在下面详细叙述,但是,如果概括来说,读出部21e在接收到与由探测部21b探测出的异常有关的信息的帧的情况、或从前次发送起经过了固定时间的情况下(S30),进行基于异常的内容等的探测判定(S31)、与此相应的优先级(风险)判定(S32)、探测出异常的频度的判定(S33)、存储部23的剩余容量判定(S34)、经过时间判定(S35、S36、S37)等,并根据这些判定结果,来进行通知处理、记录处理、通知结果记录、日志删除等(S38~S44)。
更具体地说,在由探测部21b未探测出异常的情况下(S31:“否”)且在从前次通知起经过了固定时间的情况下(S37:“是”),读出部21e通过向TCU 50输出摘要信息来向管理服务器100发送(S43)。另一方面,在从前次通知起未经过固定时间的情况下(S37:“否”),什么也不进行(S44)。此外,作为一例,摘要信息也可以包含异常(Violation:违反)的种类、探测出/未探测出、ID、诊断、通信量、认证、固定时间内的探测次数的信息。另外,详细信息也可以包含探测出各个异常的内容、ID、帧、什么时候(日期时间)等信息。
另外,在由探测部21b探测出异常的情况下(S31:“是”),读出部21e根据异常的种类、是否为初次、探测到异常的频度、探测量、倾向等来判定优先级(风险)(S32)。例如,在风险低的情况下,读出部21e设定为建立概要(摘要)等级的标志,仅通知统计探测出的异常的种类(S41、S42)。此外,在固定期间内初次探测出的情况下(S36:“是”),马上发送摘要信息(S41),在并非如此的情况下(S36:“否”),进行直到下一次发送时机为止不进行发送而待机的设定(S42)。此外,在这些低优先级的情况下(S41、S42),设定为容许详细信息等的覆盖,但是不进行主动的日志删除。
像这样,能够根据优先级(风险),使通知的信息的内容、地址等级变化。例如,在单个探测的情况下,控制为通知具有帧本身、何时探测出等细致的内容的信息。另外,例如,在安全等级高、隐私等级超过中、金融等级超过中等的情况下,也可以以重要程度来改变信息量的浓度。另外,能够根据优先级(风险)的高低使持续记录的等级也变化。例如,也可以是,根据优先级(风险)的高低,持续记录连续的帧流整体,或以缩小信道(Ch)的范围的方式进行限定来记录。另外,根据优先级(风险)的高低,也可以通知其它ECU的状态、其它车的状态。
在图6的S32中,在判定为优先级(风险)高的情况下(S32:“是”),并且在该异常在固定期间内初次被探测出的情况下(S33:“是”)、在即使是并非如此的情况(S33:“否”)但存储部23的日志容量为固定以上的情况下(S34:“是”)、或者在即使是并非如此的情况(S34:“否”)但从前次详细通知起经过了固定时间的情况下(S35:“否”),读出部21e进行通知详细信息的设定(S38、S39)。此外,在详细信息的通知成功了的情况下,读出部21e设定为删除存储于存储部23的详细信息。另一方面,在除了上述以外的情况下,即虽然判定为优先级(风险)高(S32:“是”)但是该异常并非在固定期间内初次被探测出(S33:“否”)且存储部23的日志容量并非固定以上的情况(S34:“否”)并且从前次详细通知起未经过固定时间的情况下(S35:“是”),读出部21e设定为通知摘要信息,并设定为不允许删除存储于存储部23的详细信息的日志(S40)。
此外,在优先级高而进行详细记录的情况下(S38~S40),读出部21e也可以以异常的种类而从日志的角度来控制量。另外,关于其它车辆的ECU信息也是,也可以根据需要来记录何种信息、何时的信息等。也可以暂时获取全部日志,同时进行发送,最初帧等也进行记录详细内容也进行记录,但若是多次相同的探测则设定为能够进行覆盖。
以上,根据本实施方式,读出部21e基于与探测出的异常的种类、内容、次数、频度、倾向、探测量、影响度和/或风险程度相应的优先级,来判定在与管理服务器100的通信时使用的数据量和/或与管理服务器100通信的时机,并向管理服务器100发送。根据该结构,根据状况判定对表示异常的内容的信息进行通知的量和/或时机,来向外部服务器发送表示异常的内容的信息,由此能够抑制详细信息等的日志在向外部服务器的通知前消失。
另外,根据本实施方式,不限于控制表示异常的内容的信息(日志),读出部21e也控制表示存在异常的异常通知(例:侵害通知)的数据量和/或通知时机。因而,能够根据状况,来适当地控制通知侵害的信息的数据量和/或通知时机。
另外,根据本实施方式,读出部21e进行按照判定出的数据量来发送摘要信息和详细信息中的哪个的控制。由此,能够根据适当的状况而分别将两种等级的信息向管理服务器100发送。
另外,根据本实施方式,在对来自不是车载设备的外部的侵害即异常的探测时进行使用,由此能够在来自外部的侵害时,将详细信息保管于管理服务器100并删除本车的日志等,来确保安全。
另外,根据本实施方式,读出部21e也可以在从管理服务器100接收到基于异常的通知或信息发送的删除指示的情况下、或者在向管理服务器100的异常的通知或信息通信成功了的情况下,删除存储于存储部23的信息的全部信息或一部分信息。换言之,读出部21e能够根据状况来控制向存储部23记录的记录内容(将详细信息和摘要信息中的哪个作为日志来保留等)。由此,能够向管理服务器100提供需要的通知、信息,并且抑制伴随对车载网络的攻击而引起的信息流出。或者,能够有效利用受限的存储容量,根据状况将适当的信息保存为日志。
另外,根据本实施方式,除上述以外,读出部21e还基于与存储部23的容量(例:剩余量)、以前进行通知的时机、以前进行通知的频度等相应的优先级,来判定数据量和/或时机。由此,读出部21e以判定出的数据量和/或时机向TCU 50输出所读出的信息,由此能够向管理服务器100发送信息。
另外,根据本实施方式,优先级是在由探测部21b根据获取到的数据检测出安全违反信号来作为异常的情况下的、基于安全违反的程度或者从安全违反信号的获取件数历史记录来看增加倾向风险的程度而对***带来的影响度。由此,能够根据与安全违反信号的内容、倾向相应的对***带来的风险,适当地控制通信数据量、时机。
另外,根据本实施方式,影响度越大、即优先级越高、则读出部12e进行使向管理服务器100的通信所需的数据量越多和/或使向管理服务器100的通知时机越早的控制。由此,能够在对***带来的影响度高而风险高的情况下,在较早的时机将详细的信息保管于管理服务器100。
另外,根据本实施方式,对影响度/优先级设定阈值来进行下面的处理。也可以是,作为第一阈值,当影响度/优先级超过第一规定值时,通信/发送对安全违反信号的种类、通知的频度或者探测量。而且,也可以是,作为第二阈值,当影响度/优先级超过比第一规定值大的第二规定值时,还通信/发送包含安全违反信号的数据帧的内容或发送目的地。并且,也可以是,作为第三阈值,当影响度/优先级超过比第二规定值大的第三规定值时,通信/发送获取到的数据帧整体。此外,可以设置与时间或次数有关的阈值,可以当安全违反信号持续规定时间或获取到规定数量以上的安全违反信号时,除了通信/发送所获取到的数据帧以外,还将通信序列也包含在内地进行通信/发送。另外,也可以是,作为第四阈值,当影响度/优先级超过比第三规定值大的第四规定值时,通信/发送来自其它车载设备的数据帧或车辆的状态。像这样,根据对***带来的风险设定适当的阈值,由此能够以简便的判定处理适当地提高安全性。
此外,在本实施方式中,网关20的CPU 21在探测出车载网络的异常的时机发送摘要信息。然而,CPU 21也可以在探测出异常的时机之后的任意的时机发送摘要信息。
另外,在本实施方式中,网关20具备网关固有的功能和异常探测装置的功能。在该情况下,能够在车载网络的出入口探测异常,因此,能够在早期探测出安全异常。
然而,也可以在车载网络内以与网关20独立的方式设置异常探测装置。例如,在图7中,网关20a仅具有处理部21a的功能,异常探测装置20b具有探测部21b、详细信息生成部21c、摘要信息生成部21d以及读出部21e的各功能。另外,探测部21b、详细信息生成部21c、摘要信息生成部21d以及读出部21e的全部不需要由一个硬件资源构成,也可以由多个硬件资源构成。
另外,在本实施方式中,使用TCU 50来实现与管理服务器100的通信。然而,与管理服务器100的通信方法不限于此。例如,也可以是在进行Wi-Fi(注册商标)等无线通信的通信适配器连接网关20的结构。在与车载网络连接的***(例如导航***)通过无线通信或有线通信来与便携电话或智能手机等通信终端连接的情况下,也可以利用通信终端的通信功能。在与故障诊断用的端口连接的诊断装置具备通信功能的情况下,也可以利用诊断装置的通信功能。
另外,网关20也可以使用通过车载网络连接的仪表单元或信息提供装置来显示探测出异常的意思的信息。所显示的信息既可以是通知探测到异常的图或记号,也可以是表示异常的类型的文字、图或记号。
像这样记载了本发明的实施方式,但是不应理解为构成本公开的一部分的论述和附图用于限定本发明。根据本公开,本领域技术人员能够明确各种代替实施方式、实施例以及运用技术。
附图标记说明
10:车辆;20:网关;21:CPU(控制器);21a:处理部;21b:探测部;21c:详细信息生成部;21d:摘要信息生成部;21e:读出部;22:存储器;23:存储部(存储装置);24、25、26:通信部;30、31:ECU;40、41、42:通信总线;50:TCU(通信装置);100:管理服务器;110:计算机(控制器);120:存储装置。
Claims (15)
1.一种异常探测装置,具有:
控制器,其探测供搭载于车辆的多个车载设备相互进行通信的车载网络中的异常;以及
存储装置,其保存信息,
其中,所述控制器基于与探测出的异常的种类、内容、次数、频度、倾向、探测量、影响度和/或风险程度相应的优先级,来判定在与外部装置的通信时使用的数据量和/或与外部装置通信的时机,
所述控制器按照所述数据量和/或所述时机来进行与所述外部装置的通信。
2.根据权利要求1所述的异常探测装置,其中,
作为与所述外部装置的通信,按照所述数据量和/或所述时机来向所述外部装置发送所述异常的通知和/或存储于所述存储装置的信息的全部信息或一部分信息。
3.根据权利要求2所述的异常探测装置,其中,
所述控制器生成表示所述异常的内容的详细信息以及与该详细信息相比进行了概括所得到的摘要信息并存储于所述存储装置,
所述控制器从所述存储装置读出所述详细信息并按照所述数据量向作为所述外部装置的管理服务器发送所述详细信息或所述摘要信息,其中,所述管理服务器设置于所述车辆的外部,用于对所述车载网络的所述异常进行管理。
4.根据权利要求1~3中的任一项所述的异常探测装置,其中,
所述异常是来自不是所述车载设备的外部的侵害。
5.根据权利要求1~4中的任一项所述的异常探测装置,其中,
在从所述外部装置接收到基于所述异常的通知或信息发送的删除指示的情况下、或者在向所述外部装置的所述异常的通知或信息通信成功了的情况下,删除存储于所述外部装置的信息的全部信息或一部分信息。
6.根据权利要求1~5中的任一项所述的异常探测装置,其中,
还基于与所述存储装置的容量、以前进行通知的时机以及以前进行通知的频度中的至少一者相应的所述优先级,来判定所述数据量和/或所述时机。
7.根据权利要求1~6中的任一项所述的异常探测装置,其中,
所述优先级是当根据获取到的数据检测出安全违反信号来作为所述异常时、基于所述安全违反的程度或从安全违反信号的获取件数历史记录来看增加倾向风险的程度而对***带来的影响度。
8.根据权利要求7所述的异常探测装置,其中,
所述影响度越大,则使向所述外部装置的通信所需的数据量越多和/或使向所述外部装置的通知时机越早。
9.根据权利要求7或8所述的异常探测装置,其中,
当所述影响度超过第一规定值时,仅通信所述安全违反信号的种类、通知的频度或者探测量。
10.根据权利要求7~9中的任一项所述的异常探测装置,其中,
当所述影响度超过比所述第一规定值大的所述第二规定值时,还通信包含安全违反信号的数据帧的内容或发送目的地。
11.根据权利要求7~9中的任一项所述的异常探测装置,其中,
当所述影响度超过比所述第二规定值大的所述第三规定值时,通信所获取到的数据帧整体。
12.根据权利要求7~11中的任一项所述的异常探测装置,其中,
当所述安全违反信号持续规定时间或获取到规定次数以上的所述安全违反信号时,除了通信所获取到的数据帧以外,还将通信序列也包含在内地进行通信。
13.根据权利要求7~12中的任一项所述的异常探测装置,其中,
当所述影响度超过比所述第三规定值大的第四规定值时,通信来自其它车载设备的数据帧或车辆的状态。
14.一种安全***,具有:
车辆,其构建有供多个车载设备相互进行通信的车载网络;以及
管理服务器,其与所述车辆之间进行通信,
其中,所述车辆具备异常探测装置,所述异常探测装置具有:控制器,其探测所述车载网络中的异常;以及存储装置,其保存信息,
在所述异常探测装置的所述控制器中,
所述控制器基于与探测出的异常的种类、内容、次数、频度、倾向、探测量、影响度和/或风险程度相应的优先级,来判定在与外部装置的通信时使用的数据量和/或时机,
所述控制器按照所述数据量和/或所述时机来进行与所述管理服务器的通信,
所述管理服务器具有对所述车载网络的所述异常进行管理的控制器,
所述管理服务器的所述控制器进行与所述异常探测装置的通信。
15.一种异常通知方法,在异常探测装置中执行,所述异常探测装置具有:控制器,其探测供搭载于车辆的多个车载设备相互进行通信的车载网络中的异常;以及存储装置,其保存信息,所述异常通知方法包括在所述控制器中执行的以下处理:
基于与探测出的异常的种类、内容、影响度和/或风险程度相应的优先级,来判定在与外部装置的通信时使用的数据量和/或时机;以及
按照所述数据量和/或所述时机来进行与所述外部装置的通信。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/027417 WO2023002634A1 (ja) | 2021-07-21 | 2021-07-21 | 異常検知装置、セキュリティシステム及び異常通知方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117677540A true CN117677540A (zh) | 2024-03-08 |
Family
ID=84979041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180100800.9A Pending CN117677540A (zh) | 2021-07-21 | 2021-07-21 | 异常探测装置、安全***以及异常通知方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240259399A1 (zh) |
| EP (1) | EP4375146A4 (zh) |
| JP (1) | JPWO2023002634A1 (zh) |
| CN (1) | CN117677540A (zh) |
| WO (1) | WO2023002634A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116233903B (zh) * | 2023-05-08 | 2023-07-28 | 中汽智联技术有限公司 | V2x设备的通信异常检测方法、设备和介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015113002A (ja) | 2013-12-11 | 2015-06-22 | 株式会社オートネットワーク技術研究所 | 車載通信システム |
| JP6471739B2 (ja) * | 2016-11-18 | 2019-02-20 | トヨタ自動車株式会社 | 車載通信システム |
| JP6846706B2 (ja) * | 2017-03-22 | 2021-03-24 | パナソニックIpマネジメント株式会社 | 監視装置、監視方法およびコンピュータプログラム |
| DE112017006854T5 (de) * | 2017-01-18 | 2019-10-02 | Panasonic Intellectual Property Management Co., Ltd. | Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm |
| JP6695820B2 (ja) * | 2017-03-09 | 2020-05-20 | 日立オートモティブシステムズ株式会社 | 移動体用診断システムおよび方法 |
| JP6992318B2 (ja) * | 2017-08-10 | 2022-01-13 | 株式会社デンソー | 電子制御装置 |
| EP3720055A4 (en) * | 2017-12-01 | 2021-01-06 | Panasonic Intellectual Property Corporation of America | ELECTRONIC CONTROL DEVICE, SERVER FOR DETECTING AUTHORIZED USE, VEHICLE-MOUNTED NETWORK SYSTEM, VEHICLE-MOUNTED NETWORK MONITORING SYSTEM AND VEHICLE-MOUNTED NETWORK MONITORING METHOD |
-
2021
- 2021-07-21 EP EP21950984.1A patent/EP4375146A4/en active Pending
- 2021-07-21 WO PCT/JP2021/027417 patent/WO2023002634A1/ja active Application Filing
- 2021-07-21 US US18/290,589 patent/US20240259399A1/en active Pending
- 2021-07-21 CN CN202180100800.9A patent/CN117677540A/zh active Pending
- 2021-07-21 JP JP2023536319A patent/JPWO2023002634A1/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023002634A1 (ja) | 2023-01-26 |
| JPWO2023002634A1 (zh) | 2023-01-26 |
| EP4375146A1 (en) | 2024-05-29 |
| US20240259399A1 (en) | 2024-08-01 |
| EP4375146A4 (en) | 2024-08-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7437359B2 (en) | Merging multiple log entries in accordance with merge properties and mapping properties | |
| CN113272794B (zh) | 车载型信息处理装置、用户终端、信息处理方法以及程序 | |
| CN106559431B (zh) | 一种用于汽车安全检测的可视化分析方法和装置 | |
| US20200183373A1 (en) | Method for detecting anomalies in controller area network of vehicle and apparatus for the same | |
| US11935341B2 (en) | Data storage device and non-transitory tangible computer readable storage medium | |
| CN112333044B (zh) | 分流设备性能测试方法、装置、***、电子设备以及介质 | |
| CN114374565A (zh) | 车辆can网络的入侵检测方法、装置、电子设备和介质 | |
| CN110750790B (zh) | Can总线漏洞的检测方法、装置、终端设备及介质 | |
| CN102624721B (zh) | 一种特征码验证平台装置及特征码验证方法 | |
| CN107797902A (zh) | 用于监控机器人操作***的消息传输频率的方法和装置 | |
| CN117677540A (zh) | 异常探测装置、安全***以及异常通知方法 | |
| KR101736296B1 (ko) | 텔레메틱스 서비스 품질 점검 시스템 | |
| KR20160062259A (ko) | 차량 이상 상태를 관리하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체 | |
| CN116582905A (zh) | 车辆数据传输方法、装置、电子设备及存储介质 | |
| JP6913869B2 (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
| CN213182719U (zh) | 一种用于称重数据采集、存储、分发和监测设备及*** | |
| JP7360888B2 (ja) | 異常検知装置、セキュリティシステム及び異常検知方法 | |
| KR20210103972A (ko) | 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법 | |
| CN112783942A (zh) | 基于区块链的数据采集质量核验方法及***及装置及介质 | |
| WO2022091754A1 (ja) | 情報処理装置、情報処理装置の制御方法及びプログラム | |
| CN112770337A (zh) | 一种路测方法、装置、终端及存储介质 | |
| US20230179570A1 (en) | Canbus cybersecurity firewall | |
| WO2024092384A1 (zh) | 数据管理方法及装置、车载设备和终端设备 | |
| CN109218119B (zh) | 网络丢包诊断方法及网络设备 | |
| CN116030545A (zh) | 数据采集方法及***、自动驾驶控制器及移动设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |