JP7462431B2

JP7462431B2 - 不正信号検出装置

Info

Publication number: JP7462431B2
Application number: JP2020032906A
Authority: JP
Inventors: 怜史西本; 浩臣根本; 健介山本
Original assignee: Honda Motor Co Ltd
Current assignee: Honda Motor Co Ltd
Priority date: 2020-02-28
Filing date: 2020-02-28
Publication date: 2024-04-05
Anticipated expiration: 2040-02-28
Also published as: JP2021136631A; CN113328983B; CN113328983A; US20210273956A1

Description

本発明は、通信網に入力される不正信号を検出する不正信号検出装置に関する。

この種の装置として、車載通信網に対する車外の装置からのＤｏＳ攻撃（Denial of Service attack）を検出する装置が知られている（例えば特許文献１参照）。特許文献１記載の装置では、車外の装置から車載通信網に入力されるデータ量を検出し、予め設定された閾値以上のデータ量が検出されると、ＤｏＳ攻撃が発生したと判定する。

特開２０１６－１４３９６３号公報

しかしながら、特許文献１記載の装置では、予め設定された閾値以上のデータ量が検出されるまでＤｏＳ攻撃の発生の有無を判定できず、ＤｏＳ攻撃が発生したと判定するまでに時間を要する。

本発明の一態様である不正信号検出装置は、所定周期で入力される正常信号および所定周期よりも短い周期で入力される異常信号を読み込む信号読込部と、信号読込部により読み込まれた異常信号の読込回数をカウントするカウント部と、信号読込部により読み込まれた異常信号が所定の単位時間内に含まれる異常状態が、所定時間にわたって連続して発生するとき、カウント部によりカウントされたカウント値が所定の閾値以上であるか否かを判定する判定部と、を備える。カウント部は、信号読込部により読み込まれる異常信号の読込回数の増加に伴い、カウント値が読込回数よりも増加するようにカウント値に対し重み付けする。

本発明によれば、車載通信網に対するＤｏＳ攻撃の発生の有無を判定するのに要する時間を短くすることができる。

本発明の実施形態に係る不正信号検出装置が適用される車両を概略的に示す図。車載通信網に入力される正常なデータ信号について説明する図。車載通信網に対するＤｏＳ攻撃について説明する図。本発明の実施形態に係る不正信号検出装置の要部構成を示すブロック図。異常信号の読込回数とカウント値との関係について説明する図。カウント部によりカウントされるカウント値とＤｏＳ攻撃の検知時間との関係について説明する図。異常信号の読込回数と重み付け値との関係について説明するための図。重み付け設定部により設定される重み付け値の一例を説明する図。本発明の実施形態に係る不正信号検出装置により実行される処理の一例を示すフローチャート。

以下、図１～図９を参照して本発明の実施形態について説明する。図１は、本発明の実施形態に係る不正信号検出装置１００が適用される車両１を概略的に示す図である。図１に示すように、不正信号検出装置１００が適用される車両１には、複数（図１の例では、４個）のＥＣＵ（電子制御ユニット）２が搭載される。複数のＥＣＵ２には、エンジン制御用ＥＣＵ、変速機制御用ＥＣＵ、操舵制御用ＥＣＵなどの車両１の動作に直接的な影響を与えるＥＣＵや、エアコンやナビゲーションなどの車両１の動作に直接的な影響を与えない機器の制御用ＥＣＵ等、機能の異なるＥＣＵが含まれる。

各ＥＣＵ２は、ＣＡＮ（コントローラエリアネットワーク）等の車載通信網により互いに通信可能に接続される。各ＥＣＵ２は、ＣＰＵ、ＲＡＭ、ＲＯＭ、その他の周辺回路を有するコンピュータを含んで構成される。各ＥＣＵ２は、予めメモリに記憶されたプログラムに従い、各種センサからの出力値に基づいて各種制御を実行する。

さらにＥＣＵ２には、車載通信網を介して、外部との無線通信を行うＴＣＵ（テレマティクス制御ユニット）３、ＥＣＵ２に記憶された故障コードを読み出して車両１の故障診断を行う、あるいはＥＣＵ２のプログラムを更新する診断機を接続可能なＤＬＣ（データリンクコネクタ）４が接続される。ＥＣＵ２、ＴＣＵ３およびＤＬＣ４の間にはゲートウェイ５が設けられ、ゲートウェイ５は、車載通信網と車外との通信あるいは複数の車載通信網間の通信を中継する。

図２は、車載通信網に入力される正常なデータ信号（以下、「正常信号ＬＳ」ともいう）について説明するための図である。複数のＥＣＵ２は、それぞれのプログラムに従って各種制御を実行するための演算を行うとともに、それぞれの演算結果を含むデータ信号を相互に送受信して共有することで、複数のＥＣＵ２による協調制御を実行する。協調制御を行うために送受信される正常信号ＬＳは、所定周期Ｔｆで車載通信網に入力される。より詳細には、正常信号ＬＳは、図２に示すように、所定の単位時間Ｔ１（例えば、５０ｍｓ）あたりに所定周期Ｔｆ（例えば、１０ｍｓ）で、例えば５つの信号が車載通信網に入力される。

図３は、車載通信網に対するＤｏＳ攻撃について説明するための図である。車載通信網は、悪意のある第三者により不正なデータ信号が大量に送信（入力）されることで、正常信号ＬＳの送受信が妨害される攻撃、いわゆるＤｏＳ攻撃（Denial of Service attack）を受けることがある。このようなＤｏＳ攻撃を受けると、車載通信網に接続された各ＥＣＵ２が正常に動作できなくなる可能性がある。

図３に示すように、車載通信網に対するＤｏＳ攻撃の発生を検出するには、所定周期Ｔｆよりも短い周期Ｔｓで入力されるデータ信号（以下、「異常信号ＩＳ」ともいう）を読み込む。この場合、読み込まれた異常信号ＩＳには、一時的に発生し得る通信のばらつき等により短周期となったデータ信号が含まれる。そのため、ＤｏＳ攻撃の発生を確実に検知するには、異常信号ＩＳの読込回数のカウント値が予め設定された閾値以上であることが必要となる。

しかし、読込回数を単にカウントしたカウント値を用いると、ＤｏＳ攻撃の発生を判定するための時間が長くなる。そのため、その間の車載通信網に加わる負荷が増加し、車載通信網に接続された各ＥＣＵが正常に動作できなくなるおそれがある。そこで、本発明の実施形態に係る不正信号検出装置１００は、判定に要する時間を短くするよう、以下のように構成する。

図４は、本実施形態に係る不正信号検出装置１００の要部構成を示すブロック図である。本実施形態に係る不正信号検出装置１００は、車両１の車載通信網に接続されたＥＣＵ２、ゲートウェイ５または専用の機器により構成することができる。また不正信号検出装置１００の有する機能をこれらに分散させて構成することもできる。以下では、不正信号検出装置１００がゲートウェイ５により構成された例を説明する。

図４に示すように、ゲートウェイ５は、ＣＰＵ等の演算部５１と、ＲＯＭ、ＲＡＭおよびハードディスク等の記憶部５２と、その他の周辺回路とを有するコンピュータを含んで構成される。演算部５１は、機能的構成として、信号読込部５３と、カウント部５４と、重み付け設定部５５と、中継部５６と、判定部５７と、通信制限部５８とを有する。

信号読込部５３は、車載通信網を介してゲートウェイ５に入力された全てのデータ信号を読み込む。読み込まれたデータ信号には、所定周期Ｔｆで入力される正常信号ＬＳおよび所定周期Ｔｆよりも短い周期Ｔｓで入力される異常信号ＩＳが含まれる。正常信号ＬＳには、ＴＣＵ３およびＤＬＣ４を介して車外から入力されるデータ信号や、車内の各ＥＣＵ２から入力されるデータ信号が含まれる。異常信号ＩＳには、一時的に発生し得る通信のばらつき等により所定周期Ｔｆよりも短い短周期となったデータ信号だけでなく、改ざんされたＥＣＵや車載通信網に接続された不正な外部機器から入力される、なりすまし等の不正なデータ信号も含まれる。

カウント部５４は、信号読込部５３により読み込まれた異常信号ＩＳの読込回数をカウントする。より詳細には、カウント部５４は、信号読込部５３により読み込まれる異常信号ＩＳの読込回数の増加に伴ってカウント値が読込回数よりも増加するように、実際のカウント値（読込回数）に対して重み付けしたカウントを行う。すなわち、カウント部５４は、読込回数の増加に伴うカウント値の増加率が読込回数（実際のカウント値）の増加率よりも大きくなるように、実際のカウント値に対して重み付けしたカウントを行う。例えば、実際のカウント値に対して重み付けをした値を累積するカウントを行う。

図５は、異常信号ＩＳの読込回数とカウント値との関係について説明するための図である。図５のｆ１は、実際のカウント値（読込回数）に対して重み付けをすることなくカウントしたカウント値ｎの特性を示し、ｆ２は、実際のカウント値（読込回数）に対して重み付けをしてカウントしたカウント値ｍの特性を示す。カウント部５４は、信号読込部５３により異常信号ＩＳが読み込まれる度に加算されるカウント値の増分が増加するように実際のカウント値（読込回数）に重み付けする。

図５の特性ｆ１に示すように、実際のカウント値に重み付けをすることなくカウントした場合には、カウント値ｎは、常時、異常信号ＩＳの読込回数と同数（カウント値ｎ＝読込回数）となる。この場合のカウント値ｎは読込回数の増加率と同じ増加率にて増加するので、特性ｆ１は傾きが１の直線となる。一方特性ｆ２は、カウント値の増加率が読込回数の増加率よりも大きくなればよいので、傾きが１よりも大きい直線または曲線であればよい。図５には傾きがｍ／ｎ（ｍ＞ｎ）の曲線の特性ｆ２が示されており、図５の特性ｆ２に示すように、重み付けされるカウント値ｍの特性を傾きが１よりも大きい曲線（または直線）とすることで、重み付けされるカウント値ｍの増加率を読込回数の増加率よりも大きくすることができる。

図６は、カウント部５４によりカウントされるカウント値ｍ，ｎとＤｏＳ攻撃の検知時間ｔとの関係について説明するための図である。図６の特性ｆ１および特性ｆ２は、図５の特性ｆ１およびｆ２に対応する。図６に示すように、実際のカウント値に重み付けしたカウント値ｍは、重み付けしないカウント値ｎよりも異常信号ＩＳの読込回数の増加に伴う増加率が高いため、読込回数が増加する時間ｔの経過に伴ってカウント値の増加率も高くなる。そのため、予め設定された閾値（設定許容値）Ｑを超えるまでの時間ｔが、重み付けしない場合よりも短くなり（ｔ１＜ｔ２）、ＤｏＳ攻撃の発生の有無を判定する時間を短くすることができる。

重み付け設定部５５は、カウント部５４により重み付けされる実際のカウント値に対する重み付け値αを設定する。重み付け設定部５５は、信号読込部５３により読み込まれる異常信号ＩＳの読込回数の増加に伴い、カウント値ｍが読込回数よりも増加されるように重み付け値αを設定する。カウント部５４は、重み付け設定部５５により設定された重み付け値αを実際のカウント値ｎに乗算または加算して、重み付け値αが乗算または加算されたカウント値を重み付けされたカウント値ｍとしてカウントする。

図７は、異常信号ＩＳの読込回数と重み付け値との関係について説明するための図である。図７のｆ３は、重み付け値が１、すなわち重み付けをしない場合の特性を示し、ｆ４およびｆ５は、重み付けした場合の重み付け値αの特性を示す。特性ｆ４に示すように、重み付け値αは、連続して増加するように設定してもよく、特性ｆ３に示すように、段階的に増加するように設定してもよい。連続して増加する場合には、直線状（一次的）に増加させてもよく、曲線状（二次的）に増加させてもよい。段階的に増加する場合には、読込回数の増加に伴って増加率が高くなるようにしてもよい。

図８は、重み付け設定部５５により設定される重み付け値αの一例を説明するための図である。図８に示すように、信号読込部５３により読み込まれた異常信号ＩＳが単位時間Ｔ１内に含まれる異常状態が、所定時間Ｔｗにわたって連続して発生するとき、異常状態が連続して発生する単位時間Ｔ１の総数をｂ個（Ｔｗ＝Ｔ１×ｂ時間）とすると、異常状態が連続した単位時間Ｔ１の数はｂ－１個である。重み付け設定部５５は、所定値Ａを底、連続した単位時間の数ｂ－１を指数とした値、すなわち、所定値Ａに、異常状態が連続した単位時間の数ｂ－１を累乗した値Ａ^b-1を重み付け値αとして設定することができる。このような重み付け値αを設定することで、カウント値ｍの増加率Ｒを、読込回数の増加率（図５）よりも大きくすることができる。すなわち、読込回数の増加に伴い、読込回数よりもカウント値を大きくすることができる。

なお、重み付け設定部５５は、例えば、所定値Ａに、異常状態が連続して発生する単位時間の総数ｂを累乗した値Ａ^bを重み付け値αとして設定することもできる。また所定値Ａは、任意に設定することができるが、所定値Ａを大きな値に設定することにより、重み付けしたカウント値ｍの増加率Ｒを読込回数の増加に伴って高くなるようにさせることもできる。

中継部５６は、ＥＣＵ２、ＴＣＵ３およびＤＬＣ４の間で送受信される通信信号（データ信号）を中継する。すなわち、中継部５６は、送信元から車載通信網に入力されて信号読込部５３により読み込まれたデータ信号を送信先へと転送（中継）する。

判定部５７は、信号読込部５３により読み込まれた異常信号ＩＳが単位時間Ｔ１内に含まれる異常状態が、所定時間Ｔｗにわたって連続して発生するとき、カウント部５４によりカウントされた重み付けされたカウント値ｍが所定の閾値Ｑ以上であるか否かを判定する（図８）。すなわち、ＤｏＳ攻撃が発生したか否かを判定する。

より詳細には、判定部５７は、第１判定部５７１と、第２判定部５７２とを有する。第１判定部５７１は、異常状態が所定時間Ｔｗにわたって連続して発生したか否かを判定する。第２判定部５７２は、第１判定部５７１により異常状態が連続して発生したと判定された場合に、カウント部５４によりカウントされたカウント値ｍが所定の閾値Ｑ以上であるか否かを判定する。第２判定部５７２は、第１判定部５７１により異常状態の連続性が判定される毎に、閾値Ｑ以上か否かを判定する。カウント部５４は、第１判定部５７１により異常状態が連続していないと判定された場合には、カウント値ｍをリセットする。

なお、第１判定部５７１および第２判定部５７２は必ずしも必要ではなく、判定部５７のみにより上記を判定させる構成であってもよい。また第２判定部５７２は、第１判定部５７１により判定される異常状態の連続性が所定回数以上の場合に、カウント値ｍの判定を行ってもよい。例えば、３回以上連続した場合に判定を開始して、その後、連続性が判定される度に判定してもよく、２連続する毎に判定してもよい。判定のタイミングをこのようにすることで、効率的に判定を行うことができる。

通信制限部５８は、判定部５７によりＥＣＵに対するＤｏＳ攻撃が発生したと判定されると、必要に応じて通信制限を行う。例えば、送信元から送信先へのデータ信号の中継を禁止（遮断）する。

図９は、不正信号検出装置１００により実行される処理の一例を示すフローチャートである。このフローチャートに示す処理は、例えば、車両１が起動されて車載通信網に電源が供給されると開始され、所定周期で繰り返し実行される。

まず、ステップＳ１で、信号読込部５３での処理により、新たなデータ信号ＬＳ，ＩＳを読み込んだか否かを判定する。ステップＳ１は肯定されるまで繰り返される。ステップＳ１で肯定されるとステップＳ２に進み、カウント部５４での処理により、異常信号ＩＳの読込回数をカウントする。

次いで、ステップＳ３で、第１判定部５７１での処理により、異常状態が所定時間にわたって連続発生したか否かを判定する。ステップＳ３で否定されるとステップＳ４に進み、カウント部５４での処理により、カウント値をリセットする。一方、ステップＳ３で肯定されるとステップＳ５に進み、第２判定部５７２での処理により、カウント部５４がカウントしたカウント値が所定の閾値Ｑ以上か否かを判定する。

ステップＳ５で否定されると処理を終了する一方、肯定されるとステップＳ６に進み、判定部５７での処理により、車載通信網に対するＤｏＳ攻撃が発生したと判定する。これにより、車載通信網に対するＤｏＳ攻撃が発生したと判定されたときは、必要に応じて、通信制限部５８による通信制限、例えば、データ信号の中継を禁止（遮断）することができる。

本実施形態に係るゲートウェイ（不正信号検出装置１００）５の主要な動作について、より具体的に説明する。車両１の車載通信網に対し、例えば、ＴＣＵ３（図１）を介して車外から不正なデータ信号が大量に入力されると、ゲートウェイ５（図１）が異常信号ＩＳの読込回数をカウントする（図９のステップＳ２）。このときゲートウェイ５は、読み込んだ異常信号ＩＳに重み付けしたカウント値ｍに基づいて読込回数をカウントする。カウント値が所定の閾値以上になると、車載通信網がＤｏＳ攻撃を受けていると判定し（図９のステップＳ３～Ｓ６）、必要に応じて通信制限を行う。すなわち、車載通信網全体の通信信号を監視するゲートウェイ５により、車載通信網に対するＤｏＳ攻撃の発生の有無を判定し、必要に応じて通信信号の中継を禁止し、車載通信網に対する攻撃を制限することができる。

本実施形態によれば以下のような作用効果を奏することができる。
（１）ゲートウェイ５は、所定周期Ｔｆで入力される正常信号ＬＳおよび所定周期Ｔｆよりも短い周期Ｔｓで入力される異常信号ＩＳを読み込む信号読込部５３と、信号読込部５３により読み込まれた異常信号ＩＳの読込回数をカウントするカウント部５４と、信号読込部５３により読み込まれた異常信号ＩＳが所定の単位時間Ｔ１内に含まれる異常状態が、所定時間Ｔｗにわたって連続して発生するとき、カウント部５４によりカウントされたカウント値ｍが所定の閾値Ｑ以上であるか否かを判定する判定部５７と、を備える（図４）。カウント部５４は、信号読込部５３により読み込まれる異常信号ＩＳの読込回数の増加に伴い、カウント値ｍが読込回数よりも増加するように実際のカウント値に対し重み付けする（図５）。

この構成により、異常信号ＩＳの読込回数の増加に伴ってカウント値ｍが読込回数よりも増加するように実際のカウント値に対し重み付けされるので、車載通信網に対するＤｏＳ攻撃の発生の有無を判定するための時間を短くすることができる。そのため、判定するまでの間に車載通信網に加わる負荷が増加することが抑制され、車載通信網に接続されたＥＣＵが正常に動作できなくなることを抑制することができる。また、通常の運転時に発生する正常信号ＬＳは、継続時間が限られ、Ｄｏｓ攻撃よりも十分に短いため、重み付けされたカウント値ｍが増大する前に正常信号ＬＳは停止するため、閾値に達することが無く、正常信号ＬＳを誤って異常信号ＩＳと判定することを抑制することができる。

（２）カウント部５４は、読込回数の増加に伴い、信号読込部５３により異常信号が読み込まれる度に加算されるカウント値の増分が増加するように、実際のカウント値に対し重み付けする。すなわち、カウント部５４は、読込回数の増加に伴い、カウント値ｍの増加率Ｒが高くなるように実際のカウント値に重み付けする。これにより、カウント値ｍが所定の閾値Ｑを超えやすくなるので、車載通信網に対するＤｏＳ攻撃の発生の有無を判定するための時間をより短くすることができる。

（３）カウント部５４により重み付けされる、実際のカウント値に対する重み付け値αを設定する重み付け設定部５５をさらに備える。カウント部５４は、重み付け設定部５５により設定された重み付け値αを、実際のカウント値に乗算して、実際のカウント値に対して重み付けする。これにより、読込回数の増加に伴うカウント値ｍの増加率Ｒがより一層高くなるので、カウント値ｍが所定の閾値Ｑを超えやすく、車載通信網に対するＤｏＳ攻撃の発生の有無を判定するための時間をより一層短くすることができる。

（４）重み付け設定部５５は、異常状態が所定時間Ｔｗにわたって連続して発生するとき、所定値Ａに、異常状態が連続した単位時間Ｔ１の数ｂ－１を累乗した値Ａ^b-1を重み付け値αとして設定する。これにより、読込回数の増加に伴うカウント値ｍの増加率Ｒを、より一層高くすることができる。

上記実施形態では、不正信号検出装置１００を、信号読込部５３、カウント部５４、重み付け設定部５５および判定部５７を有するゲートウェイ５として例示したが、不正信号検出装置の構成はこれに限らない。例えば、ゲートウェイ５とは別の、車載通信網全体の通信信号を監視する専用の機器に、信号読込部５３、カウント部５４、重み付け設定部５５および判定部５７を設けてもよく、これらを、ゲートウェイ５、ＥＣＵ２、専用機器等に分散させて設けてもよい。

上記実施形態では、カウント部５４は、重み付け設定部５５にて設定された重み付け値αを実際のカウント値ｎに乗算する重み付けを行ったが、重み付け設定部５５にて設定された重み付け値を実際のカウント値ｎに加算する重み付けであってもよい。

上記実施形態では、通信網としてＣＡＮ通信による車載通信網を例示したが、不正信号検出装置が適用される通信網はこのようなものに限らない。通信網は、データ信号が入力されるものであれば、どのようなものでもよい。

以上の説明はあくまで一例であり、本発明の特徴を損なわない限り、上述した実施形態および変形例により本発明が限定されるものではない。上記実施形態と変形例の１つまたは複数を任意に組み合わせることも可能であり、変形例同士を組み合わせることも可能である。

１車両、２ＥＣＵ、３ＴＣＵ、４ＤＬＣ、５ゲートウェイ、５１演算部、５２記憶部、５３信号読込部、５４カウント部、５５重み付け設定部、５６中継部、５７判定部、５８通信制限部、１００不正信号検出装置

Claims

所定周期で入力される正常信号および前記所定周期よりも短い周期で入力される異常信号を読み込む信号読込部と、
前記信号読込部により読み込まれた異常信号の読込回数をカウントするカウント部と、
前記信号読込部により読み込まれた異常信号が所定の単位時間内に含まれる異常状態が、所定時間にわたって連続して発生するとき、前記カウント部によりカウントされたカウント値が所定の閾値以上であるか否かを判定する判定部と、を備え、
前記カウント部は、前記信号読込部により読み込まれる異常信号の読込回数の増加に伴い、前記カウント値が前記読込回数よりも増加するように前記カウント値に対し重み付けすることを特徴とする不正信号検出装置。
請求項１に記載の不正信号検出装置において、
前記カウント部は、前記読込回数の増加に伴い、前記信号読込部により異常信号が読み込まれる度に加算されるカウント値の増分が増加するように前記カウント値に対し重み付けすることを特徴とする不正信号検出装置。
請求項１または２に記載の不正信号検出装置において、
前記カウント部により重み付けされる前記カウント値に対する重み付け値を設定する重み付け設定部をさらに備え、
前記カウント部は、前記重み付け設定部により設定された前記重み付け値を、前記カウント値に乗算または加算して、前記カウント値に対して重み付けすることを特徴とする不正信号検出装置。
請求項３に記載の不正信号検出装置において、
前記重み付け設定部は、前記異常状態が所定時間にわたって連続して発生するとき、所定値に、前記異常状態が連続した単位時間の数を累乗した値を前記重み付け値として設定する、ことを特徴とする不正信号検出装置。