CN118104217A - 检测装置、检测方法和检测程序 - Google Patents
检测装置、检测方法和检测程序 Download PDFInfo
- Publication number
- CN118104217A CN118104217A CN202280068105.3A CN202280068105A CN118104217A CN 118104217 A CN118104217 A CN 118104217A CN 202280068105 A CN202280068105 A CN 202280068105A CN 118104217 A CN118104217 A CN 118104217A
- Authority
- CN
- China
- Prior art keywords
- message
- determination
- vehicle
- determination result
- improper
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 69
- 230000005540 biological transmission Effects 0.000 claims abstract description 77
- 238000012545 processing Methods 0.000 claims description 40
- 238000005259 measurement Methods 0.000 claims description 27
- 238000004891 communication Methods 0.000 description 41
- 238000000034 method Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 8
- 230000005856 abnormality Effects 0.000 description 6
- 230000000737 periodic effect Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
检测装置检测搭载于车辆的车载网络中的不正当消息,其中,所述检测装置具备:消息取得部,取得所述车载网络中的发送消息;以及判定部,通过进行针对由所述消息取得部取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,所述判定部除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是由所述消息取得部取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
Description
技术领域
本公开涉及一种检测装置、检测方法和检测程序。
本申请主张以在2021年10月26日申请的日本申请特愿2021-174792号为基础的优先权,将其公开的全部内容引入本文。
背景技术
在专利文献1(日本特开2019-29961号公报)中,公开了如下的不正当检测方法。即,在由在车载网络***中连接于网络的监视电子控制单元使用的不正当检测方法中,使用表示关于具有第一标识符的帧与具有第二标识符的帧的内容的关系的条件即第一条件的不正当检测规则信息,判定从网络接收到的帧的集合是否满足该第一条件,使用表示关于具有第一标识符的帧与具有第三标识符的帧的内容的关系的条件即第二条件的不正当检测规则信息,判定从网络接收到的帧的集合是否满足该第二条件,根据被判定为不满足的条件的数量来推算与所述第一种帧的发送相关的异常程度,根据推算出的异常程度来发送规定帧。
现有技术文献
专利文献
专利文献1:日本特开2019-29961号公报
发明内容
本公开的检测装置检测搭载于车辆的车载网络中的不正当消息,其中,所述检测装置具备:消息取得部,取得所述车载网络中的发送消息;以及判定部,通过进行针对由所述消息取得部取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,所述判定部除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是由所述消息取得部取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
本公开的检测方法是检测搭载于车辆的车载网络中的不正当消息的检测装置中的检测方法,其中,所述检测方法包括如下步骤:取得所述车载网络中的发送消息;以及通过进行针对所取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,在与所述不正当消息相关的判定中,除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是所取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
本公开的检测程序是在检测搭载于车辆的车载网络中的不正当消息的检测装置中使用的检测程序,其中,所述检测程序用于使计算机作为以下单元发挥作用:消息取得部,取得所述车载网络中的发送消息;以及判定部,通过进行针对由所述消息取得部取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,所述判定部除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是由所述消息取得部取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
本公开的一种方式不仅能够实现为具备这样的有特征的处理部的检测装置,还能够实现为实现检测装置的一部分或者全部的半导体集成电路,或者能够实现为包含检测装置的车载通信***。
附图说明
图1是示出本公开的实施方式所涉及的车载通信***的结构的图。
图2是示出本公开的实施方式所涉及的总线连接装置组的结构的图。
图3是示出本公开的实施方式所涉及的车载通信***中的网关装置的结构的图。
图4是用于说明进行车载网络中的不正当消息的检测时的课题的图。
图5是确定由本公开的实施方式所涉及的检测装置中的判定部实施的与不正当消息相关的判定的动作次序的概要的流程图。
图6是确定由本公开的实施方式所涉及的检测装置中的判定部实施的与不正当消息相关的判定的、包含不明判定处理的详细内容的动作次序的流程图。
图7是确定由本公开的实施方式所涉及的检测装置中的判定部实施的与不正当消息相关的判定的、包含变形例2所涉及的不明判定处理的详细内容的动作次序的流程图。
具体实施方式
以往,开发出一种用于提升车载网络中的安全性的车载网络***。
[本公开所要解决的课题]
在进行从车载网络中的车载装置发送的消息是否为不正当消息的判定的情况下,设想通过在该消息中包含的数据的值等难以进行明确判定的情况。
本公开是为了解决上述课题而完成的,其目的在于,提供一种能够更准确地进行车载网络中的不正当消息的检测的检测装置、检测方法和检测程序。
[本公开的效果]
根据本公开,能够更准确地进行车载网络中的不正当消息的检测。
[本公开的实施方式的说明]
首先,列举本公开的实施方式的内容来说明。
(1)本公开的实施方式所涉及的检测装置检测搭载于车辆的车载网络中的不正当消息,其中,所述检测装置具备:消息取得部,取得所述车载网络中的发送消息;以及判定部,通过进行针对由所述消息取得部取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,所述判定部除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是由所述消息取得部取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
通过这样的结构,例如,在针对难以明确判定是否为不正当消息的发送消息的判定中,能够输出第二判定结果,所以,能够防止关于该发送消息是否为不正当消息的错误判定。因此,能够更准确地进行车载网络中的不正当消息的检测。
(2)所述判定部也可以在输出了所述第一判定结果的情况下和输出了所述第二判定结果的情况下,对于所述发送消息进行互不相同的处理。
通过这样的结构,能够进行例如关于能够明确判定是否为不正当消息的发送消息而进行日志数据的生成等并且关于难以明确判定是否为不正当消息的发送消息而将日志数据的生成等搁置等、与判定结果相对应的更合适的处理。
(3)所述判定部也可以计算所述第二判定结果的统计值,基于计算出的所述统计值判定是否存在所述不正当消息。
通过这样的结构,能够得到一定期间内的第二判定结果的输出次数等、在统计上考虑多次输出的第二判定结果的、更准确的判定结果。
(4)所述第二判定结果也可以包含多种判定结果,所述判定部也可以在所述统计值的计算中进行与所述种类相对应的加权。
通过这样的结构,例如,作为第二判定结果,能够输出与作为判定对象的发送消息是不正当消息的可能性相对应的种类的判定结果,所以,能够得到更加准确的判定结果。
(5)所述判定部也可以在输出了所述第二判定结果的情况下,生成日志数据,该日志数据表示输出了所述第二判定结果的情况。
通过这样的结构,例如,关于难以明确判定是否为不正当消息的发送消息,能够另行进行解析等。
(6)所述判定部也可以在作为第一判定而输出了所述第二判定结果的情况下,针对与设为判定对象的所述发送消息不同的其他所述发送消息,进行内容不同的第二判定,基于所述第二判定的判定结果判定是否存在所述不正当消息。
通过这样进行内容互不相同的第一判定和第二判定这两者的结构,能够使不正当消息的检测性能进一步提升。
(7)作为所述第一判定的判定对象的所述发送消息与作为所述第二判定的判定对象的其他所述发送消息也可以表示与所述车辆相关的种类互不相同的测量结果。
通过这样的结构,能够防止由一个测量仪器的异常等导致的错误判定,得到关于是否存在不正当消息的更准确的判定结果。
(8)作为所述第一判定的判定对象的所述发送消息也可以表示所述车辆的车速的测量结果,所述判定部也可以根据所述车速的测量结果是否满足规定条件而改变所述第二判定的判定基准。
在这里,车辆低速行驶的情况下的该车辆的发动机转速、舵角、油门开度或者车身加速度等的测量结果与该车辆高速行驶的情况下的该测量结果具有互不相同的倾向的情况较多。
因此,通过上述那样的结构,在第二判定中,能够使用考虑了与车辆相关的测量结果的根据该车辆的车速而变化的倾向的更合适的判定基准,所以,能够得到关于是否存在不正当消息的更准确的判定结果。
(9)由所述消息取得部取得的所述发送消息也可以表示所述车辆的车速的测量结果,所述检测装置也可以还具备存储部,该存储部存储正常时车速以及第一阈值和第二阈值,所述正常时车速是不存在所述不正当消息的正常时的所述车速的测量结果,所述第一阈值和所述第二阈值基于所述正常时车速确定且具有大小关系,所述判定部也可以对所述发送消息表示的所述车速的测量结果与所述正常时车速之差和所述第一阈值及所述第二阈值进行比较,根据比较结果输出所述第一判定结果或者所述第二判定结果。
通过这样的结构,能够容易地掌握与正常时的车辆的状态的差异,容易地进行与不正当消息相关的判定。
(10)所述存储部也可以还存储第三阈值,该第三阈值大于所述第一阈值且小于所述第二阈值,所述判定部也可以在所述差大于所述第一阈值并且是所述第二阈值以下的情况下,输出所述第二判定结果,所述判定部也可以在输出了所述第二判定结果的情况下,针对所述发送消息,使用保存于所述存储部的所述第三阈值,进行与所述不正当消息相关的判定。
通过这样在输出了第二判定结果的情况下进行使用了第三阈值的更详细的判定的结构,能够得到更准确的判定结果。
(11)所述检测装置也可以还具备计数器,所述判定部也可以根据所述差与所述第一阈值、所述第二阈值和所述第三阈值的大小关系,变更所述计数器的递增计数值,使用所述计数器的计数值,进行与所述不正当消息相关的判定。
通过这样的结构,例如,能够使发送消息表示的车辆的车速的测量结果与正常时车速之差、即该发送消息是不正当消息的可能性反映于计数值,所以,能够得到更加准确的判定结果。
(12)所述判定部也可以在所述计数器的计数值是规定值以上的情况下,判定为存在所述不正当消息,所述规定值也可以大于所述计数器的多个所述递增计数值的最大值。
通过这样的结构,多次输出第二判定结果成为用于得到存在不正当消息这样的判定结果的条件之一,所以,能够得到更准确的判定结果。
(13)作为所述第一判定的判定对象的所述发送消息也可以表示所述车辆的车速的测量结果,作为所述第二判定的判定对象的所述发送消息也可以表示所述车辆的发动机转速的测量结果,所述检测装置也可以还具备存储部,该存储部存储正常时发动机转速以及第四阈值,所述正常时发动机转速是不存在所述不正当消息的正常时的所述发动机转速的测量结果,所述第四阈值基于所述正常时发动机转速确定,所述判定部也可以在所述第二判定中,对所述发送消息表示的所述发动机转速的测量结果与所述正常时发动机转速之差和所述第四阈值进行比较。
通过这样的结构,能够防止由测量车速的传感器的异常等导致的错误判定,得到关于是否存在不正当消息的更准确的判定结果。另外,能够容易地掌握与正常时的车辆的状态的差异,容易地进行与不正当消息相关的判定。
(14)本公开的实施方式所涉及的检测方法是检测搭载于车辆的车载网络中的不正当消息的检测装置中的检测方法,其中,所述检测方法包括如下步骤:取得所述车载网络中的发送消息;以及通过进行针对所取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,在与所述不正当消息相关的判定中,除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是所取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
通过这样的方法,例如,在针对难以明确判定是否为不正当消息的发送消息的判定中,能够输出第二判定结果,所以,能够防止关于该发送消息是否为不正当消息的错误判定。因此,能够更准确地进行车载网络中的不正当消息的检测。
(15)本公开的实施方式所涉及的检测程序是在检测搭载于车辆的车载网络中的不正当消息的检测装置中使用的检测程序,其中,所述检测程序用于使计算机作为以下单元发挥作用:消息取得部,取得所述车载网络中的发送消息;以及判定部,通过进行针对由所述消息取得部取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,所述判定部除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是由所述消息取得部取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
通过这样的结构,例如,在针对难以明确判定是否为不正当消息的发送消息的判定中,能够输出第二判定结果,所以,能够防止关于该发送消息是否为不正当消息的错误判定。因此,能够更准确地进行车载网络中的不正当消息的检测。
下面,关于本公开的实施方式,使用附图来进行说明。此外,对图中相同或者相当部分附加相同标号,不重复进行其说明。另外,也可以将下面记载的实施方式的至少一部分任意组合。
<结构和基本动作>
[整体结构]
图1是示出本公开的实施方式所涉及的车载通信***的结构的图。参照图1,车载通信***301具备网关装置(检测装置)101、多个车载通信设备111和多个总线连接装置组121。
图2是示出本公开的实施方式所涉及的总线连接装置组的结构的图。参照图2,总线连接装置组121包含多个控制装置122。此外,总线连接装置组121不限于具备多个控制装置122的结构,也可以是包含一个控制装置122的结构。
再次参照图1,车载通信***301搭载于在道路上行驶的车辆(下面也称为对象车辆)1。车载网络12包含多个作为对象车辆1的内部的装置的车载装置。具体来说,车载网络12是车载装置的一个例子,包含多个车载通信设备111和图2所示的多个控制装置122。
此外,车载网络12只要是包含多个车载装置的结构,则既可以是包含多个车载通信设备111并且不包含控制装置122的结构,也可以是不包含车载通信设备111并且包含多个控制装置122的结构,还可以是包含一个车载通信设备111和一个控制装置122的结构。
在车载网络12中,车载通信设备111例如与对象车辆1的外部的装置进行通信。具体来说,车载通信设备111例如是TCU(Telematics Communication Unit,远程信息处理通信单元)、近距离无线终端装置和ITS(Intelligent Transport Systems,智能交通***)无线设备。
网关装置101例如能够经由端口112而与对象车辆1的外部的外部装置发送接收固件的更新等的数据和由网关装置101蓄积的数据等。
网关装置101例如是中央网关(Central Gateway:CGW),经由总线13、14而与车载装置连接。具体来说,总线13、14例如是依照CAN(Controller Area Network,控制器局域网)(注册商标)、FlexRay(注册商标)、MOST(Media Oriented Systems Transport,面向媒体的***传输)(注册商标)、以太网(注册商标)和LIN(Local Interconnect Network,本地互联网络)等标准的总线。
例如,车载通信设备111经由依照以太网的标准的对应的总线14而与网关装置101连接。另外,例如,总线连接装置组121中的各控制装置122经由依照CAN的标准的对应的总线13而与网关装置101连接。控制装置122能够控制对象车辆1中的测量仪器、发动机和制动器等功能部。
此外,不限于对总线13连接控制装置122的结构,也可以连接控制装置122以外的装置,例如传感器。
网关装置101例如进行中继处理,所述中继处理对在对象车辆1中连接于不同的总线13的控制装置122之间交换的信息、在各车载通信设备111之间交换的信息、在控制装置122和车载通信设备111之间交换的信息进行中继。
更详细地说,在对象车辆1中,例如,依照规定的协定,从某个车载装置往其他车载装置周期性地发送消息。消息的发送既可以通过广播来进行,也可以通过单播来进行。下面,将周期性地发送的消息也称为周期消息。
另外,在对象车辆1中,除了周期消息以外,还存在从某个控制装置122往其他控制装置122不定期地发送的消息。在消息中,包含消息的内容和用于识别发送源等的ID。能够通过ID来识别消息是否为周期消息。
下面,关于从某个控制装置122往其他控制装置122发送的消息进行说明,但关于在控制装置122和车载通信设备111之间发送的消息以及在各车载通信设备111之间发送的消息,也一样。
[网关装置的结构]
图3是示出本公开的实施方式所涉及的车载通信***中的网关装置的结构的图。参照图3,网关装置101作为IDS(Intrusion Detection System,入侵检测***)中的检测装置而发挥作用,检测搭载于对象车辆1的车载网络12中的不正当消息。
更详细地说,网关装置101具备通信处理部51、存储部52、计数器53、判定部54和消息取得部55。通信处理部51、判定部54和消息取得部55例如通过CPU(Central ProcessingUnit,中央处理单元)和DSP(Digital Signal Processor,数字信号处理器)等处理器来实现。存储部52例如是非易失性存储器。
通信处理部51如果从某个控制装置122经过对应的总线13接收消息,则进行将接收到的消息经过对应的总线13发送往其他控制装置122的中继处理。
更详细地说,通信处理部51如果接收来自控制装置122的消息,则例如如后面所述,保持该消息并待机直至从消息取得部55或者判定部54收到允许该消息的中继处理的意思的指示为止。然后,通信处理部51如果从消息取得部55或者判定部54收到允许该消息的中继处理的意思的指示,则进行该消息的中继处理。
消息取得部55取得车载网络12中的发送消息、即成为由通信处理部51实施的中继处理的对象的消息,将所取得的消息保存于存储部52。
更详细地说,在存储部52中,登记有表示用于车载网络12中的不正当消息的检测的数据的种类的检测条件信息。数据的种类例如是发动机转速、车速、横摆率、舵角、油门开度和车身加速度等各测量结果。关于检测条件信息的详细内容,在后面叙述。
消息取得部55参照登记于存储部52的检测条件信息,识别自己应该设为监视对象的数据的种类。然后,消息取得部55监视在通信处理部51进行中继的消息中包含的数据,每当检测到包含作为监视对象的种类的数据的消息,从通信处理部51取得所检测到的消息。然后,消息取得部55对所取得的消息附加表示该消息的接收时刻的时间戳,将附加有时间戳的消息保存于存储部52。
另外,消息取得部55在通信处理部51保持的消息不包含作为监视对象的种类的数据的情况下,例如,对通信处理部51进行允许该消息的中继处理的意思的指示。
登记于存储部52的检测条件信息除了用于不正当消息的检测的数据的种类之外,进一步地,还针对每个数据的种类,表示判定包含该数据的消息是否为不正当消息时的判定基准等。
具体来说,检测条件信息例如表示用于不正当消息的检测的数据的种类是车速、以及成为判定包含表示车速的数据的消息是否为不正当消息时的判定基准的阈值。成为判定基准的阈值例如基于在车载网络12中不存在不正当消息的正常时的车速的测量结果来预先确定。
判定部54通过进行针对由消息取得部55取得的消息的判定,从而进行与车载网络12中的不正当消息相关的判定。更详细地说,判定部54取得在由消息取得部55保存于存储部52的消息中包含的数据。然后,判定部54例如基于所取得的数据,判定包含该数据的消息是否为不正当消息。
另外,判定部54例如在判定为该消息不是不正当消息的情况下,对通信处理部51进行允许该消息的中继处理的意思的指示。
[课题的说明]
图4是用于说明进行车载网络中的不正当消息的检测时的课题的图。在这里,设为表示车速的消息(下面也称为“车速消息”)是判定对象。图4所示的坐标图的横轴表示与正常时的车速之差D,纵轴表示在表示车速的多个消息中包含的正常消息与不正当消息的比例的计算结果的一个例子。正常时的车速例如是正常时的对象车辆1行驶时的车速的平均值。
参照图4,在差D是0<D<D1的范围内包含的多个车速消息中,100%是正常消息。另外,在差D是D=D2(>D1)的多个车速消息中,80%是正常消息,20%是不正当消息。
另外,在差D是D=D3(>D2)的多个车速消息中,50%是正常消息,50%是不正当消息。另外,在差D是D=D4(>D3)的多个车速消息中,20%是正常消息,80%是不正当消息。另外,在差D是D>D5(>D4)的范围内包含的多个车速消息中,100%是不正当消息。
这样,在成为判定对象的消息表示的车速与正常时的车速之差D是D1~D5的范围内的情况下,该消息具有正常消息和不正当消息这两者的可能性,在关于是否为不正当消息的判定中难以进行明确判定,可能产生错误判定。特别是,该差D越是与D3接近的值,则关于是否为不正当消息的判定的难易度越高,产生错误判定的可能性越高。因此,在本公开的实施方式所涉及的检测装置中,通过如下的结构和动作来解决这样的课题。
<由判定部实施的与不正当消息相关的判定的动作的流程>
[动作的流程的概要]
车载通信***301中的各装置具备包含存储器的计算机,该计算机中的CPU等运算处理部从该存储器分别读出包含下面的流程图的各步骤的一部分或者全部的程序来执行。这些多个装置的程序能够分别从外部安装。这些多个装置的程序分别以储存于记录介质的状态流通。
图5是确定由本公开的实施方式所涉及的检测装置中的判定部实施的与不正当消息相关的判定的动作次序的概要的流程图。
在这里,设为表示车速的消息是判定对象。另外,设为在存储部52中,登记有表示正常时的车速以及与正常时的车速之差D的阈值的检测条件信息。例如,设为作为阈值而保存有具有大小关系的两个阈值Ta(第一阈值)、Tb(第二阈值)。这两个阈值Ta、Tb的大小关系是Ta<Tb。
参照图5,首先,判定部54如果由消息取得部55取得的应该设为判定对象的消息新保存到存储部52,则取得在新保存的消息中包含的数据。然后,判定部54计算所取得的数据表示的车速与保存于存储部52的正常时的车速之差D(步骤S11)。
接下来,判定部54进行对计算出的差D与保存于存储部52的两个阈值Ta、Tb进行比较并输出与比较结果相对应的种类的判定结果的判定X1(步骤S12)。
在判定X1中,判定部54除了能够输出关于包含所取得的数据的消息是否为不正当消息的第一判定结果之外,还能够输出与该消息相关的第二判定结果。
具体来说,判定部54在计算出的差D是阈值Ta以下的情况下(D≤Ta)(在步骤S12中是“A”),作为第一判定结果,输出该消息是正常消息的意思的判定结果A。另外,判定部54在计算出的差D大于阈值Tb的情况下(Tb<D)(在步骤S12中是“B”),作为第一判定结果,输出该消息是不正当消息的意思的判定结果B。
另外,判定部54在计算出的差D大于阈值Ta并且是阈值Tb以下的情况下(Ta<D≤Tb)(在步骤S12中是“C”),作为第二判定结果,输出该消息是无法明确判定是正常消息还是不正当消息的消息(下面也称为“不明消息”)的意思的判定结果C。
接下来,判定部54在输出了判定结果A、B的情况与输出了判定结果C的情况下,关于该消息进行互不相同的处理。例如,判定部54当在判定X1中输出了判定结果A的情况下(在步骤S12中是“A”),进行将该消息的ID和在该消息中包含的数据等保存于存储部52、并且对通信处理部51进行允许该消息的中继处理的意思的指示等正常判定用处理(步骤S13)。
另一方面,判定部54当在判定X1中输出了判定结果C的情况下(在步骤S12中是“C”),如后述那样,进行计算判定结果C的统计值、并基于计算出的统计值来判定在车载网络12中是否存在不正当消息的不明判定用处理(步骤S14)。
另外,判定部54当在判定X1中输出了判定结果B的情况下(在步骤S12中是“B”),例如,进行IPS(Intrusion Prevention System,入侵防御***)处理等不正当判定用处理。
具体来说,作为不正当判定用处理,例如,判定部54确定不正当消息的发送源,对所确定的车载通信设备111或者控制装置122进行重置,丢弃在该不正当消息中包含的数据,替换成表示替代值的数据,指示通信处理部51进行替换后的消息的中继处理。另外,作为不正当判定用处理,例如,判定部54将正在传输不正当消息的情形经过通信处理部51通知给对象车辆1内或者对象车辆1外的上级装置(步骤S15)。
如果应该设为判定对象的消息新保存到存储部52,则判定部54再次进行步骤S11之后的动作。
此外,判定部54不限于将对象车辆1的车速等在成为判定对象的消息中包含的数据表示的测量结果用于判定X1的结构。判定部54例如也可以是在成为判定对象的消息是周期消息的情况下在判定X1中对周期消息的发送间隔与该周期消息的正常时的发送间隔进行比较的结构。
另外,检测不正当消息的检测装置不限于网关装置,也可以是不进行消息的中继处理的装置。在该情况下,相当于判定部54的该装置中的判定部也可以是在输出了判定结果A的情况下不进行正常判定用处理(步骤S13)的结构。
[不明判定处理的详细内容]
图6是确定由本公开的实施方式所涉及的检测装置中的判定部实施的与不正当消息相关的判定的、包含不明判定处理的详细内容的动作次序的流程图。在图6中,示出图5所示的不明判定用处理(步骤S14)的详细内容,进一步地,对图5追加了多个步骤。
在这里,设为在存储部52中,除了阈值Ta、Tb之外,还保存有阈值Tc(第三阈值)。阈值Ta、Tb、Tc的大小关系是Ta<Tc<Tb。
参照图6,判定部54当在判定X1中输出了判定结果C的情况下(在步骤S12中是“C”),使用阈值Tc来进行与不正当消息相关的判定X2,在判定X2中,输出与作为判定对象的消息是不正当消息的可能性相对应的种类的判定结果。
更详细地说,判定部54进行对在步骤S11中计算出的差D与保存于存储部52的三个阈值Ta、Tb、Tc进行比较、并输出与比较结果相对应的种类的判定结果的判定X2(步骤S21)。
具体来说,判定部54在计算出的差D大于阈值Ta并且是阈值Tc以下的情况下(Ta<D≤Tc),输出作为判定对象的消息是正常的可能性高的不明消息的意思的判定结果C1(在步骤S21中是“C1”)。
另外,判定部54在计算出的差D大于阈值Tc并且是阈值Tb以下的情况下(Tc<D≤Tb),输出作为判定对象的消息为是不正当消息的可能性高的不明消息的意思的判定结果C2(在步骤S21中是“C2”)。
接下来,作为判定结果C的统计值,判定部54计算判定X2的多次量的统计值。例如,作为判定结果C的统计值,判定部54对判定结果C的输出次数、即判定X2中的判定结果C1或者判定结果C2的输出次数进行计数。
此时,判定部54根据差D与阈值Ta、Tb、Tc的大小关系,变更递增计数值。换言之,判定部54在计数值的计算中,进行与判定结果C的种类相对应的加权。即,判定部54根据判定结果C的种类进行递增计数值的加权。
例如,判定部54当在判定X2中输出了判定结果C1的情况下(在步骤S21中是“C1”),使计数器53的计数值增加一(步骤S22)。
另一方面,判定部54当在判定X2中输出了判定结果C2的情况下(在步骤S21中是“C2”),使计数器53的计数值增加n。n是2以上的整数(步骤S23)。
接下来,判定部54确认计数值是否为m以上。m大于计数器53的多个递增计数值的最大值。在这里,m是大于作为该最大值的n的整数。(步骤S24)。
接下来,判定部54在计数值低于m的情况下(在步骤S24中是“否”),例如,对通信处理部51进行允许作为判定对象的消息的中继处理的意思的指示(步骤S25)。
接下来,判定部54待机直至应该设为判定对象的消息新保存到存储部52为止。然后,如果应该设为判定对象的消息新保存到存储部52,则判定部54再次进行步骤S11之后的动作。
接下来,判定部54当在针对新保存的消息的判定X1中输出了判定结果A的情况下(在步骤S12中是“A”),对计数值进行重置(步骤S26),进行正常判定用处理(步骤S13)。
另一方面,判定部54当在针对新保存的消息的判定X1中输出了判定结果B的情况下(在步骤S12中是“B”),对计数值进行重置(步骤S27),进行不正当判定用处理(步骤S15)。
另外,判定部54当在针对新保存的消息的判定X1中输出了判定结果C的情况下(在步骤S12中是“C”),再次进行步骤S21之后的动作。
另外,判定部54当在步骤S24中计数值是m以上的情况下(在步骤S24中是“是”),判定为在车载网络12中存在不正当消息。然后,判定部54对计数值进行重置(步骤S27),对例如作为最近的判定对象的消息进行不正当判定用处理(步骤S15)。
通过这样在多次连续输出了判定结果C的情况下判定为存在不正当消息的结构,能够防止与不正当消息相关的错误判定,进行更准确的判定。
另外,通过与输出判定结果C1的情况相比使输出判定结果C2的情况下的计数值的增加量增大的结构,与输出判定结果C1相比,输出判定结果C2一方更容易得到存在不正当消息这样的判定结果,能够进行更加准确的判定。
此外,不限于在存储部52中保存有三个阈值Ta、Tb、Tc的结构,也可以保存有两个阈值或者四个以上的阈值。另外,判定部54当在存储部52中保存有四个以上的阈值的情况下,在步骤S21的判定X2中,能够使用四个以上的阈值,输出三种以上的判定结果C1、C2、C3、…。
另外,判定部54不限于作为判定结果C的统计值而计算基于判定结果C1、C2的输出次数的计数值的结构。判定部54也可以作为判定结果C的统计值而计算例如判定结果C2的输出次数相对于判定X2的判定次数的比例。
具体来说,判定部54例如每当在判定X1中输出判定结果C时,进行判定X2,当在最近10次量的判定X2的判定结果当中输出了判定结果C2的次数是规定数量以上的情况下,判定为在车载网络12中存在不正当消息。
[不明判定用处理的变形例1]
再次参照图5,判定部54不限定于当在判定X1中输出了判定结果C的情况下进行图6所示的不明判定用处理的结构,例如,也可以是作为不明判定用处理(步骤S14)而生成表示输出了判定结果C的日志数据的结构。
在该情况下,判定部54例如将作为判定对象的消息是不明消息的意思、该不明消息的ID以及在该消息中包含的数据等作为日志数据保存于存储部52,另外,对通信处理部51进行允许该消息的中继处理的意思的指示。
[不明判定用处理的变形例2]
图7是确定由本公开的实施方式所涉及的检测装置中的判定部实施的与不正当消息相关的判定的、包含变形例2所涉及的不明判定处理的详细内容的动作次序的流程图。图7示出图5所示的不明判定用处理(步骤S14)的详细内容。
参照图7,判定部54当在判定X1中输出了判定结果C的情况下(在步骤S12中是“C”),针对与设为判定对象的消息不同的其他消息,进行内容与判定X1不同的判定X3,基于判定X3的判定结果,判定在车载网络12中是否存在不正当消息。
更详细地说,判定部54当在判定X1中输出了判定结果C的情况下(在步骤S12中是“C”),例如,针对包含与在作为判定X1的判定对象的消息中包含的数据不同的种类的、表示与对象车辆1相关的测量结果的数据的其他消息,进行判定X3。
在这里,设为判定部54将表示车速的消息设为判定X1的判定对象、并将表示发动机转速的消息设为判定X3的判定对象。另外,设为在存储部52中登记有表示正常时的发动机转速以及与正常时的发动机转速之差Ds的阈值Ts(第四阈值)的检测条件信息。正常时的发动机转速例如是正常时的对象车辆1行驶时的发动机转速的平均值。
在该情况下,判定部54例如取得在由消息取得部55保存于存储部52的多个消息中的表示发动机转速的消息中包含的数据。然后,判定部54计算所取得的数据表示的发动机转速与保存于存储部52的正常时的发动机转速之差Ds(步骤S31)。
接下来,判定部54进行对计算出的差Ds与保存于存储部52的阈值Ts进行比较的判定X3(步骤S32)。
然后,判定部54在计算出的差Ds是阈值Ts以下的情况下(Ds≤Ts)(在步骤S32中是“是”),判定为在车载网络12中不存在不正当消息,进行正常判定用处理(步骤S13)。
另一方面,判定部54在计算出的差Ds大于阈值Ts的情况下(Ts<Ds)(在步骤S32中是“否”),判定为在车载网络12中存在不正当消息,进行不正当判定用处理(步骤S15)。
此外,判定部54也可以是在判定X1(步骤S12)中根据车速的测量结果是否满足规定条件而改变判定X3(步骤S32)的判定基准的结构。
在这里,在对象车辆1高速行驶的情况下,与低速行驶的情况相比,发动机转速难以上升。因此,判定部54例如在对象车辆1高速行驶的情况下,与对象车辆1低速行驶的情况相比,将判定X3中的用于判定为存在不正当消息的基准设定得较低。
更详细地说,设为在存储部52中保存有成为对象车辆1是否低速行驶的判断基准的车速P。在该情况下,判定部54当在判定X1中输出了判定结果C的情况下(在步骤S12中是“C”),对设为判定对象的消息表示的车速与保存于存储部52的车速P进行比较。
然后,判定部54在该消息表示的车速是车速P以下的情况下,判定为对象车辆1低速行驶。另一方面,判定部54在该消息表示的车速大于车速P的情况下,判定为对象车辆1高速行驶。
然后,判定部54在判定为对象车辆1高速行驶的情况下,在判定X3中,作为用于判定为存在不正当消息的基准,使用阈值Ts1。另一方面,判定部54在判定为对象车辆1低速行驶的情况下,在判定X3中,作为用于判定为存在不正当消息的基准,使用大于阈值Ts1的阈值Ts2。
具体来说,判定部54在判定为对象车辆1高速行驶的情况下、并且作为判定X3的判定对象的消息表示的发动机转速与正常时的发动机转速之差Ds是阈值Ts1以下的情况下(Ds≤Ts1),判定为在车载网络12中不存在不正当消息。
另一方面,判定部54在判定为对象车辆1高速行驶的情况下、并且差Ds大于阈值Ts1的情况下(Ts1<Ds),判定为在车载网络12中存在不正当消息。
另外,判定部54在判定为对象车辆1低速行驶的情况下、并且差Ds是阈值Ts2以下的情况下(Ds≤Ts2),判定为在车载网络12中不存在不正当消息。
另一方面,判定部54在判定为对象车辆1高速行驶的情况下、并且差Ds大于阈值Ts2的情况下(Ts2<Ds),判定为在车载网络12中存在不正当消息。
另外,用于判定X1的数据的种类与用于判定X3的数据的种类也可以相同。例如,判定部54也可以将新保存于存储部52的表示车速的消息设为判定X1的判定对象,将保存于存储部52的表示过去的车速的消息设为判定X3的判定对象。
应该认为,上述实施方式在所有方面都是示例性的,而非限制性的内容。本发明的范围不通过上述说明而是通过权利要求书来表示,旨在包含与权利要求书等同的含义和范围内的全部变更。
以上的说明包含下面附记的特征。
[附记1]
一种检测装置,检测搭载于车辆的车载网络中的不正当消息,其中,
所述检测装置具备:
消息取得部,取得所述车载网络中的发送消息;以及
判定部,通过进行针对由所述消息取得部取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,
所述判定部除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是由所述消息取得部取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果,
所述判定部在输出了所述第二判定结果的情况下,进行与不正当消息相关的其他判定,在所述其他判定中,输出与作为判定对象的所述发送消息是不正当消息的可能性相对应的种类的判定结果,
所述判定部基于所述其他判定的多次量的统计值,判定是否存在所述不正当消息。
标号说明
1 对象车辆
12 车载网络
13、14 总线
51 通信处理部
52 存储部
53 计数器
54 判定部
55 消息取得部
101 网关装置(检测装置)
111 车载通信设备
112 端口
121 总线连接装置组
122 控制装置
301 车载通信***。
Claims (15)
1.一种检测装置,检测搭载于车辆的车载网络中的不正当消息,其中,
所述检测装置具备:
消息取得部,取得所述车载网络中的发送消息;以及
判定部,通过进行针对由所述消息取得部取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,
所述判定部除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是由所述消息取得部取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
2.根据权利要求1所述的检测装置,其中,
所述判定部在输出了所述第一判定结果的情况下和输出了所述第二判定结果的情况下,对于所述发送消息进行互不相同的处理。
3.根据权利要求2所述的检测装置,其中,
所述判定部计算所述第二判定结果的统计值,基于计算出的所述统计值判定是否存在所述不正当消息。
4.根据权利要求3所述的检测装置,其中,
所述第二判定结果包含多种判定结果,
所述判定部在所述统计值的计算中进行与所述种类相对应的加权。
5.根据权利要求2所述的检测装置,其中,
所述判定部在输出了所述第二判定结果的情况下,生成日志数据,该日志数据表示输出了所述第二判定结果的情况。
6.根据权利要求2所述的检测装置,其中,
所述判定部在作为第一判定而输出了所述第二判定结果的情况下,针对与设为判定对象的所述发送消息不同的其他所述发送消息,进行内容不同的第二判定,基于所述第二判定的判定结果判定是否存在所述不正当消息。
7.根据权利要求6所述的检测装置,其中,
作为所述第一判定的判定对象的所述发送消息与作为所述第二判定的判定对象的其他所述发送消息表示与所述车辆相关的种类互不相同的测量结果。
8.根据权利要求6或者7所述的检测装置,其中,
作为所述第一判定的判定对象的所述发送消息表示所述车辆的车速的测量结果,
所述判定部根据所述车速的测量结果是否满足规定条件而改变所述第二判定的判定基准。
9.根据权利要求1至8中的任一项所述的检测装置,其中,
由所述消息取得部取得的所述发送消息表示所述车辆的车速的测量结果,
所述检测装置还具备存储部,该存储部存储正常时车速以及第一阈值和第二阈值,所述正常时车速是不存在所述不正当消息的正常时的所述车速的测量结果,所述第一阈值和所述第二阈值基于所述正常时车速确定且具有大小关系,
所述判定部对所述发送消息表示的所述车速的测量结果与所述正常时车速之差和所述第一阈值及所述第二阈值进行比较,根据比较结果输出所述第一判定结果或者所述第二判定结果。
10.根据权利要求9所述的检测装置,其中,
所述存储部还存储第三阈值,该第三阈值大于所述第一阈值且小于所述第二阈值,
所述判定部在所述差大于所述第一阈值并且是所述第二阈值以下的情况下,输出所述第二判定结果,
所述判定部在输出了所述第二判定结果的情况下,针对所述发送消息,使用保存于所述存储部的所述第三阈值,进行与所述不正当消息相关的判定。
11.根据权利要求10所述的检测装置,其中,
所述检测装置还具备计数器,
所述判定部根据所述差与所述第一阈值、所述第二阈值和所述第三阈值的大小关系,变更所述计数器的递增计数值,使用所述计数器的计数值,进行与所述不正当消息相关的判定。
12.根据权利要求11所述的检测装置,其中,
所述判定部在所述计数器的计数值是规定值以上的情况下,判定为存在所述不正当消息,
所述规定值大于所述计数器的多个所述递增计数值的最大值。
13.根据权利要求6或者7所述的检测装置,其中,
作为所述第一判定的判定对象的所述发送消息表示所述车辆的车速的测量结果,
作为所述第二判定的判定对象的所述发送消息表示所述车辆的发动机转速的测量结果,
所述检测装置还具备存储部,该存储部存储正常时发动机转速以及第四阈值,所述正常时发动机转速是不存在所述不正当消息的正常时的所述发动机转速的测量结果,所述第四阈值基于所述正常时发动机转速确定,
所述判定部在所述第二判定中,对所述发送消息表示的所述发动机转速的测量结果与所述正常时发动机转速之差和所述第四阈值进行比较。
14.一种检测方法,是检测搭载于车辆的车载网络中的不正当消息的检测装置中的检测方法,其中,
所述检测方法包括如下步骤:
取得所述车载网络中的发送消息;以及
通过进行针对所取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,
在与所述不正当消息相关的判定中,除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是所取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
15.一种检测程序,在检测搭载于车辆的车载网络中的不正当消息的检测装置中使用,其中,
所述检测程序用于使计算机作为以下单元发挥作用:
消息取得部,取得所述车载网络中的发送消息;以及
判定部,通过进行针对由所述消息取得部取得的所述发送消息的判定来进行与所述车载网络中的不正当消息相关的判定,
所述判定部除了能够输出第一判定结果之外,还能够输出第二判定结果,所述第一判定结果是由所述消息取得部取得的所述发送消息是否为所述不正当消息的判定结果,所述第二判定结果是与所述发送消息相关的判定结果。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021174792A JP2023064480A (ja) | 2021-10-26 | 2021-10-26 | 検知装置、検知方法および検知プログラム |
JP2021-174792 | 2021-10-26 | ||
PCT/JP2022/038213 WO2023074393A1 (ja) | 2021-10-26 | 2022-10-13 | 検知装置、検知方法および検知プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118104217A true CN118104217A (zh) | 2024-05-28 |
Family
ID=86157910
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280068105.3A Pending CN118104217A (zh) | 2021-10-26 | 2022-10-13 | 检测装置、检测方法和检测程序 |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP2023064480A (zh) |
CN (1) | CN118104217A (zh) |
WO (1) | WO2023074393A1 (zh) |
-
2021
- 2021-10-26 JP JP2021174792A patent/JP2023064480A/ja active Pending
-
2022
- 2022-10-13 WO PCT/JP2022/038213 patent/WO2023074393A1/ja unknown
- 2022-10-13 CN CN202280068105.3A patent/CN118104217A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2023074393A1 (ja) | 2023-05-04 |
JP2023064480A (ja) | 2023-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108885664B (zh) | 信息处理方法、信息处理***、以及介质 | |
US20180337938A1 (en) | Method for protecting a network against a cyberattack | |
US10713106B2 (en) | Communication device, communication method and non-transitory storage medium | |
JP2008236408A (ja) | 車載用多重通信装置 | |
JP7276670B2 (ja) | 検知装置、検知方法および検知プログラム | |
CN110832809B (zh) | 检测装置、检测方法和非瞬态的计算机可读的存储介质 | |
US11856006B2 (en) | Abnormal communication detection apparatus, abnormal communication detection method and program | |
US20220294638A1 (en) | Method for monitoring a network | |
CN112152870A (zh) | 异常检测装置 | |
CN111316602A (zh) | 攻击通信检测装置、攻击通信检测方法、程序 | |
JP2021078087A5 (zh) | ||
JP5064161B2 (ja) | 電子制御ユニット | |
CN118104217A (zh) | 检测装置、检测方法和检测程序 | |
CN114503518B (zh) | 检测装置、车辆、检测方法及检测程序 | |
CN114762299B (zh) | 检测装置、车载***及检测方法 | |
WO2021024786A1 (ja) | 情報処理装置および正規通信判定方法 | |
US20230022923A1 (en) | Detection device, management device, detection method, and detection program | |
WO2023218815A1 (ja) | 監視装置、車両監視方法および車両監視プログラム | |
WO2023149194A1 (ja) | 監視装置、車両監視システムおよび車両監視方法 | |
US20240031382A1 (en) | In-vehicle apparatus, fraud detection method, and computer program | |
CN112448942A (zh) | 用于识别网络中的变差的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |