WO2021111685A1

WO2021111685A1 - 検知装置、車両、検知方法および検知プログラム

Info

Publication number: WO2021111685A1
Application number: PCT/JP2020/032583
Authority: WO
Inventors: 塚本博之; 上田浩史; 足立直樹; 相羽慎一; 石川史也; 上口翔悟
Original assignee: 住友電気工業株式会社; 住友電装株式会社; 株式会社オートネットワーク技術研究所
Priority date: 2019-12-05
Filing date: 2020-08-28
Publication date: 2021-06-10
Also published as: JPWO2021111685A1; JP7480786B2; US20220407868A1

Abstract

検知装置は、前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える。

Description

検知装置、車両、検知方法および検知プログラム

　本開示は、検知装置、車両、検知方法および検知プログラムに関する。
　この出願は、２０１９年１２月５日に出願された日本出願特願２０１９－２１９９９３号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２０１４－１４６８６８号公報）には、以下のようなネットワーク装置が開示されている。すなわち、ネットワーク装置は、データを受信する通信部と、データを受信した受信時間を管理する時間管理部と、受信したデータを処理する制御部とを有し、周期的にデータを受信して処理するネットワーク装置において、前記制御部は、前記通信部で受信したデータが有する識別子毎に前記時間管理部における受信時刻を記録し、基準とするデータと同じ識別子を持つデータを受信した間隔が所定周期より短い第１のデータを受信した場合に、前記基準とするデータを受信した時刻から前記所定周期経過するまでに前記第１のデータと同じ識別子を持つ第２のデータを受信した時には、周期異常検出時処理を行い、前記所定周期経過するまでに前記第１のデータと同じ識別子を持つデータを受信しなかった時には、前記第１のデータについて所定の処理を行う。

　また、特許文献２（米国特許出願公開第２０１７／２８６６７５号明細書）には、以下のような検出方法が開示されている。すなわち、検出方法は、車両ネットワーク内の侵入を検出する方法であって、受信側ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）において、送信側ＥＣＵから車両ネットワーク経由で前記受信側ＥＣＵへ定期的に送信される、タイムスタンプ情報を含まない複数のメッセージを受信し、受信側ＥＣＵにおいて、複数のメッセージに基づいて前記送信側ＥＣＵのクロックスキューを決定し、受信側ＥＣＵにおいて、前記送信側ＥＣＵのクロックスキューをベースライン値と比較することにより、前記送信側ＥＣＵのクロックスキューの突然の変化を検出し、受信側ＥＣＵにおいて、前記送信側ＥＣＵのクロックスキューの突然の変化の検出に基づいて、前記送信側ＥＣＵが危険にさらされていると特定する。

特開２０１４－１４６８６８号公報米国特許出願公開第２０１７／０２８６６７５号明細書

Ｏ．Ｃａｐｐｅ、外１名、"Ｏｎｌｉｎｅ　ｅｘｐｅｃｔａｔｉｏｎ　ｍａｘｉｍｉｚａｔｉｏｎ　ａｌｇｏｒｉｔｈｍ　ｆｏｒ　ｌａｔｅｎｔ　ｄａｔａ　ｍｏｄｅｌｓ"、Ｊｏｕｒｎａｌ　ｏｄ　ｔｈｅ　Ｒｏｙａｌ　Ｓｔａｔｉｓｔｉｃｓ　Ｓｏｃｉｅｔｙ：　Ｓｅｒｉｅｓ　Ｂ　（Ｓｔａｔｉｓｔｉｃａｌ　Ｍｅｔｈｏｄｏｌｏｇｙ）、Ｖｏｌ．７１、Ｐ．５９３－６１３、２００９

　本開示の検知装置は、車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える。

　本開示の検知方法は、車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得するステップと、取得した前記対象分布の一部を所定の基準に従って抽出するステップと、抽出した前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含む。

　本開示の検知プログラムは、車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部、として機能させるためのプログラムである。

　本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得たり、検知装置を備えるシステムとして実現され得る。また、本開示の一態様は、検知装置を備えるシステムの一部または全部を実現する半導体集積回路として実現され得たり、検知装置を備えるシステムにおける処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。

図１は、本開示の実施の形態に係る車載通信システムの構成を示す図である。図２は、本開示の実施の形態に係るバス接続装置群の構成を示す図である。図３は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。図４は、本開示の実施の形態に係るゲートウェイ装置における抽出部より生成される確率密度関数および累積分布関数の一例を示す図である。図５は、本開示の実施の形態に係るゲートウェイ装置における抽出部により生成される確率密度関数および累積分布関数の一例を示す図である。図６は、本開示の実施の形態に係るゲートウェイ装置において検知部により算出される標準偏差の時間変化を示す図である。図７は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図８は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置が確率密度関数の抽出区間の基準を決定する際の動作手順の一例を定めたフローチャートである。図９は、本発明の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。図１０は、本願発明者らの検証結果を示す図である。図１１は、本願発明者らの検証結果を示す図である。図１２は、本願発明者らの検証結果を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための技術が開発されている。

　［本開示が解決しようとする課題］
　特許文献１および２に記載の技術を超えて、車載ネットワークにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける不正メッセージをより正しく検知することが可能な検知装置、車両、検知方法および検知プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおける不正メッセージをより正しく検知することが可能である。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。

　（１）本開示の実施の形態に係る検知装置は、車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える。

　このように、対象分布の一部を所定の基準に従って抽出し、抽出した対象分布の一部に基づいて不正メッセージを検知する構成により、たとえば、対象分布から、送信元の車載装置におけるクロック周波数等の特性が反映された部分を抽出し、抽出部分に基づいて、送信元の車載装置が不正な車載装置であるか否かを識別することができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（２）好ましくは、前記抽出部は、所定条件を満たす状況下において送信される前記周期メッセージの受信間隔の分布である参照分布を用いて、前記対象分布の一部を抽出する。

　このような構成により、条件を指定した参照分布を用いて、対象分布から、たとえば送信元の車載装置におけるクロック周波数等の特性がより強く反映された部分を抽出することができるため、不正メッセージをより正しく検知することができる。

　（３）より好ましくは、前記所定条件は、前記車載ネットワークの利用率が、前記対象分布が取得されるときの前記車載ネットワークの利用率よりも低いことである。

　このような構成により、車載ネットワークの利用率に応じた周期メッセージの送信遅延等の影響が低減された参照分布を用いて、対象分布から、車載ネットワークの利用率に応じた影響が比較的小さい部分を抽出することができるため、不正メッセージをより正しく検知することができる。

　（４）好ましくは、前記検知部は、前記対象分布の前記一部における前記周期メッセージの受信間隔の標準偏差に基づいて、前記検知処理を行う。

　対象分布の一部における周期メッセージの受信間隔の標準偏差を算出する際の計算負荷は、対象分布の一部におけるピークの数および尖度を算出する際の計算負荷と比べて小さい。したがって、上記のような構成により、対象分布に対する簡易な演算処理で検知処理を行うことができる。

　（５）好ましくは、前記検知部は、前記対象分布の前記一部におけるピークの数に基づいて、前記検知処理を行う。

　対象分布の一部におけるピークの数を算出する際の計算負荷は、対象分布の一部における尖度を算出する際の計算負荷と比べて小さい。したがって、上記のような構成により、対象分布に対する比較的簡易な演算処理で、回避され難い検知処理を行うことができる。

　（６）好ましくは、前記検知部は、前記対象分布の前記一部における尖度に基づいて、前記検知処理を行う。

　このような構成により、回避され難い検知処理を行うことができる。

　（７）好ましくは、前記検知装置は、さらに、前記取得部によって取得された前記対象分布に基づいて、前記周期メッセージの受信間隔の統計値を算出する算出部を備え、前記検知部は、前記算出部によって算出された前記統計値と、所定値との比較結果に基づいて、前記検知処理を行う。

　このような構成により、たとえば、送信元の車載装置における、実際の送信周期と設計上の送信周期との誤差が反映された統計値に基づいて、多様な検知処理を行うことができる。

　（８）本開示の実施の形態に係る車両は、前記検知装置を備える。

　このような構成により、検知装置を備える車両において、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（９）本開示の実施の形態に係る検知方法は、車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得するステップと、取得した前記対象分布の一部を所定の基準に従って抽出するステップと、抽出した前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含む。

　このように、対象分布の一部を所定の基準に従って抽出し、抽出した対象分布の一部に基づいて不正メッセージを検知する方法により、たとえば、対象分布から、送信元の車載装置におけるクロック周波数等の特性が反映された部分を抽出し、抽出部分に基づいて、送信元の車載装置が不正な車載装置であるか否かを識別することができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（１０）本開示の実施の形態に係る検知プログラムは、車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部、として機能させるためのプログラムである。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　［構成および基本動作］
　図１は、本開示の実施の形態に係る車載通信システムの構成を示す図である。

　図１を参照して、車載通信システム３０１は、ゲートウェイ装置１０１と、複数の車載通信機１１１と、複数のバス接続装置群１２１とを備える。車載通信システム３０１は、車両１に搭載される。

　図２は、本開示の実施の形態に係るバス接続装置群の構成を示す図である。

　図２を参照して、バス接続装置群１２１は、制御装置１２２Ａ，１２２Ｂ，１２２Ｃを含む。以下、制御装置１２２Ａ，１２２Ｂ，１２２Ｃの各々を制御装置１２２とも称する。なお、バス接続装置群１２１は、３つの制御装置１２２を備える構成に限らず、１つ、２つまたは４つ以上の制御装置１２２を含む構成であってもよい。

　車載ネットワーク１２は、車載装置の一例である、ゲートウェイ装置１０１、複数の車載通信機１１１および複数の制御装置１２２を含む。なお、車載ネットワーク１２は、複数の車載通信機１１１を含みかつ制御装置１２２を含まない構成であってもよいし、車載通信機１１１を含まずかつ複数の制御装置１２２を含む構成であってもよいし、１つの車載通信機１１１および１つの制御装置１２２を含む構成であってもよい。

　車載ネットワーク１２において、車載通信機１１１は、たとえば、車両１の外部における装置と通信する。具体的には、車載通信機１１１は、たとえば、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）１１１Ａ、近距離無線端末装置１１１Ｂ、およびＩＴＳ（Ｉｎｔｅｌｌｉｇｅｎｔ　Ｔｒａｎｓｐｏｒｔ　Ｓｙｓｔｅｍｓ）無線機１１１Ｃである。

　ＴＣＵ１１１Ａは、たとえば、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）または３Ｇ等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＴＣＵ１１１Ａは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびＦＯＴＡ（Ｆｉｒｍｗａｒｅ　Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）等のサービスに用いる情報を中継する。

　近距離無線端末装置１１１Ｂは、たとえば、Ｗｉ－Ｆｉ（登録商標）およびＢｌｕｅｔｏｏｔｈ（登録商標）等の通信規格に従って、車両１に乗車している人間すなわち搭乗者の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置１１１Ｂは、たとえば、エンターテイメント等のサービスに用いる情報を中継する。

　また、近距離無線端末装置１１１Ｂは、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とＬＦ（Ｌｏｗ　Ｆｒｅｑｕｅｎｃｙ）帯またはＵＨＦ（Ｕｌｔｒａ　Ｈｉｇｈ　Ｆｒｅｑｕｅｎｃｙ）帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置１１１Ｂは、たとえば、スマートエントリおよびＴＰＭＳ（Ｔｉｒｅ　Ｐｒｅｓｓｕｒｅ　Ｍｏｎｉｔｏｒｉｎｇ　Ｓｙｓｔｅｍ）等のサービスに用いる情報を中継する。

　ＩＴＳ無線機１１１Ｃは、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびＩＴＳスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＩＴＳ無線機１１１Ｃは、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。

　ゲートウェイ装置１０１は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置１０１により蓄積されたデータ等を車両１の外部における整備用端末装置とポート１１２を介して送受信することが可能である。

　ゲートウェイ装置１０１は、たとえばバス１３，１４を介して車載ネットワーク１２における他の車載装置と接続される。具体的には、バス１３，１４は、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）、イーサネット（登録商標）、およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の規格に従うバスである。

　この例では、車載通信機１１１は、イーサネットの規格に従う対応のバス１４を介してゲートウェイ装置１０１と接続されている。また、バス接続装置群１２１における各制御装置１２２は、ＣＡＮの規格に従う対応のバス１３を介してゲートウェイ装置１０１と接続されている。

　バス１３は、たとえば系統別に設けられる。具体的には、バス１３は、たとえば、駆動系バス、シャーシ／安全系バス、ボディ／電装系バスおよびＡＶ／情報系バスである。

　駆動系バスには、制御装置１２２の一例であるエンジン制御装置、ＡＴ（Ａｕｔｏｍａｔｉｃ　Ｔｒａｎｓｍｉｓｓｉｏｎ）制御装置およびＨＥＶ（Ｈｙｂｒｉｄ　Ｅｌｅｃｔｒｉｃ　Ｖｅｈｉｃｌｅ）制御装置が接続されている。エンジン制御装置、ＡＴ制御装置およびＨＥＶ制御装置は、エンジン、ＡＴ、およびエンジンとモータとの切替をそれぞれ制御する。

　シャーシ／安全系バスには、制御装置１２２の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。

　ボディ／電装系バスには、制御装置１２２の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。

　ＡＶ／情報系バスには、制御装置１２２の一例であるナビゲーション制御装置、オーディオ制御装置、ＥＴＣ（Ｅｌｅｃｔｒｏｎｉｃ　Ｔｏｌｌ　Ｃｏｌｌｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）（登録商標）制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ＥＴＣ制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ＥＴＣ装置および携帯電話をそれぞれ制御する。

　また、バス１３には、制御装置１２２が接続される構成に限らず、制御装置１２２以外の装置が接続されてもよい。

　ゲートウェイ装置１０１は、たとえば、セントラルゲートウェイ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ：ＣＧＷ）であり、他の車載装置と通信を行うことが可能である。

　ゲートウェイ装置１０１は、たとえば、車両１において異なるバス１３に接続された制御装置１２２間でやり取りされる情報、各車載通信機１１１間でやり取りされる情報、制御装置１２２および車載通信機１１１間でやり取りされる情報を中継する中継処理を行う。

　より詳細には、車両１では、たとえば、所定の取り決めに従って、ある車載装置から他の車載装置へ周期的にメッセージが送信される。この例では、ある制御装置１２２から他の制御装置１２２へ周期的に送信されるメッセージについて説明するが、制御装置１２２および車載通信機１１１間において送信されるメッセージ、ならびに各車載通信機１１１間において送信されるメッセージについても同様である。

　メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよい。以下、周期的に送信されるメッセージを周期メッセージとも称する。なお、「周期メッセージ」とは、厳密に周期的に送信されたメッセージに限らず、周期的に送信されるべき種類のメッセージを意味するものとする。

　車両１では、周期メッセージの他に、ある制御装置１２２から他の制御装置１２２へ不定期に送信されるメッセージが存在する。メッセージには、メッセージの内容およびメッセージの送信元を識別するためのＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）と、メッセージ番号とが含まれる。メッセージに含まれるＩＤによって、当該メッセージが周期メッセージであるか否かを識別することが可能である。

　［ゲートウェイ装置の構成］
　図３は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。

　図３を参照して、ゲートウェイ装置１０１は、通信処理部５１と、取得部５２と、抽出部５３と、算出部５４と、検知部５５と、記憶部５６とを備える。

　通信処理部５１、取得部５２、抽出部５３、算出部５４および検知部５５は、たとえば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）およびＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等のプロセッサによって実現される。記憶部５６は、たとえばフラッシュメモリである。

　ゲートウェイ装置１０１は、検知装置として機能し、車載ネットワーク１２における不正メッセージを検知する検知処理を行う。

　［通信処理部］
　通信処理部５１は、制御装置１２２間で伝送されるメッセージ、車載通信機１１１間で伝送されるメッセージ、および制御装置１２２と車載通信機１１１との間で伝送されるメッセージを中継する中継処理を行う。

　たとえば、通信処理部５１は、ある制御装置１２２から対応のバス１３経由でメッセージを受信すると、受信したメッセージに、当該メッセージの受信時刻を示すタイムスタンプを付与する。そして、通信処理部５１は、タイムスタンプが付与されたメッセージを他の制御装置１２２へ対応のバス１３経由で送信する。

　［取得部］
　取得部５２は、車載ネットワーク１２において送信される周期メッセージの受信間隔の分布である対象分布を取得する。

　たとえば、取得部５２は、通信処理部５１によって中継されるメッセージを監視することにより、ゲートウェイ装置１０１における検知処理の対象となる周期メッセージの受信時刻ｔを取得する。以下、ゲートウェイ装置１０１における検知処理の対象となる周期メッセージを、対象メッセージとも称する。

　対象メッセージは、ある制御装置１２２から送信される１種類の周期メッセージであってもよいし、複数の制御装置１２２の各々から送信される複数種類の周期メッセージあってもよい。以下では、ゲートウェイ装置１０１が、制御装置１２２Ａから送信される周期メッセージを「対象メッセージＭ」として検知処理を行う例について説明する。

　たとえば、記憶部５６は、対象メッセージの種類ごとのＩＤを記憶している。以下、対象メッセージＭのＩＤを対象ＩＤとも称する。

　取得部５２は、中継処理を行うべきメッセージを通信処理部５１が受信すると、通信処理部５１によって受信されたメッセージに含まれるＩＤ、および記憶部５６における対象ＩＤを確認する。

　そして、取得部５２は、通信処理部５１によって受信されたメッセージに含まれるＩＤが対象ＩＤと一致する場合、通信処理部５１によって受信されたメッセージが対象メッセージＭであると認識し、当該対象メッセージＭに付与されたタイムスタンプを参照することにより、対象メッセージＭの受信時刻ｔを取得する。

　取得部５２は、対象メッセージＭの受信時刻ｔを取得すると、当該受信時刻ｔと、直前の対象メッセージＭの受信時刻ｔとの差分を対象メッセージＭの受信間隔ｘとして算出する。

　より詳細には、取得部５２は、通信処理部５１によって受信されたｎ回目の対象メッセージＭｎの受信時刻ｔｎと、通信処理部５１によって受信された（ｎ－１）回目の対象メッセージＭ（ｎ－１）の受信時刻ｔ（ｎ－１）との差分を算出し、算出した差分を対象メッセージＭｎの受信間隔ｘｎとして記憶部５６に保存する。ここで、ｎは正の整数である。

　そして、取得部５２は、記憶部５６における複数の受信間隔ｘに基づいて、所定の期間である対象期間Ｔａ内に通信処理部５１によって受信された対象メッセージＭの、受信間隔ｘの度数分布Ｄを生成し、生成した度数分布Ｄを記憶部５６に保存する。度数分布Ｄは、対象分布の一例である。以下、対象期間Ｔａ内に通信処理部５１によって受信された対象メッセージＭを、対象期間Ｔａにおける対象メッセージＭとも称する。また、対象期間Ｔａ内に通信処理部５１によって受信された対象メッセージＭの受信間隔ｘの度数分布Ｄを、対象期間Ｔａにおける度数分布Ｄとも称する。

　たとえば、取得部５２は、周期Ｔ１に従う生成タイミングにおいて、時刻（Ｔ１×ｍ）から始まる対象期間Ｔａにおける度数分布Ｄを新たに生成し、記憶部５６における度数分布Ｄを、新たに生成した度数分布Ｄに更新する。ここで、ｍは正の整数である。

　なお、周期Ｔ１が対象期間Ｔａと同じであることにより、各対象期間Ｔａが時間的に連続してもよい。また、周期Ｔ１が対象期間Ｔａよりも短いことにより、各対象期間Ｔａが時間的に一部重複してもよい。また、周期Ｔ１が対象期間Ｔａよりも長いことにより、各対象期間Ｔａが間欠的に設けられてもよい。

　［抽出部］
　抽出部５３は、取得部５２によって取得された対象分布の一部を所定の基準に従って抽出する。

　たとえば、抽出部５３は、混合ガウスモデルを用いて、記憶部５６における度数分布Ｄを近似する確率密度関数を生成する。そして、抽出部５３は、生成した当該確率密度関数の一部を、所定の基準に従って抽出する。

　（確率密度関数による近似）
　たとえば、抽出部５３は、記憶部５６おける度数分布Ｄを、以下の式（１）に示す、変数をｘとする確率密度関数Ｐにより近似する。

　ここで、Ｋ、ｃｋ、ｘｋバーおよびσｋ＾２は、パラメータであり、それぞれ正規分布の混合数、ｋ番目の正規分布関数ｐの混合比、ｋ番目の正規分布の平均値およびｋ番目の正規分布の分散である。ここで、ｋは１～Ｋまでの整数である。なお、「ａ＾ｂ」は、ａのｂ乗を意味する。

　また、式（１）におけるｋ番目の正規分布関数ｐは、以下の式（２）により表される。

　たとえば、抽出部５３は、取得部５２によって記憶部５６おける度数分布Ｄが更新されるたびに、非特許文献１（Ｏ．Ｃａｐｐｅ、外１名、”Ｏｎｌｉｎｅ　ｅｘｐｅｃｔａｔｉｏｎ　ｍａｘｉｍｉｚａｔｉｏｎ　ａｌｇｏｒｉｔｈｍ　ｆｏｒ　ｌａｔｅｎｔ　ｄａｔａ　ｍｏｄｅｌｓ”、Ｊｏｕｒｎａｌ　ｏｄ　ｔｈｅ　Ｒｏｙａｌ　Ｓｔａｔｉｓｔｉｃｓ　Ｓｏｃｉｅｔｙ：　Ｓｅｒｉｅｓ　Ｂ　（Ｓｔａｔｉｓｔｉｃａｌ　Ｍｅｔｈｏｄｏｌｏｇｙ）、Ｖｏｌ．７１、Ｐ．５９３－６１３、２００９）に記載のＳｔｅｐｗｉｓｅ－ＥＭ法を用いて、確率密度関数Ｐにおけるｃ１～ｃＫ、ｘ１バー～ｘＫバーおよびσ１＾２～σＫ＾２を更新する。

　より詳細には、抽出部５３は、ＥステップおよびＭステップにおいて、ｉ＝１～Ｋの各々についてＳｔｅｐｗｉｓｅ－ＥＭ法を適用することでｃｉ、ｘｉバーおよびσｉ＾２を算出する。

　具体的には、抽出部５３は、Ｅステップにおいて、以下の式（３）を用いて減衰係数ηｔを算出する。

　また、抽出部５３は、以下の式（４）を用いてｉ番目の負担率γｉ（ｓ）を算出する。

　抽出部５３は、以下の式（５）および（６）を用いて、十分統計量Ｓｉ（ｓ）および更新後の十分統計量Ｓ（ｓ）を算出する。

　ここで、ｓ（ｓ－１）は、１つ前のＥステップにおける十分統計量である。

　抽出部５３は、Ｍステップでは、以下の式（７）、（８）および（９）を用いてｉ番目の混合比ｃｉ（ｓ）、ｉ番目の平均値ｘｉバー（ｓ）およびｉ番目の分散σｉ＾２（ｓ）を算出する。

　そして、抽出部５３は、以下の式（１０）を用いて計算回数ｗをインクリメントする。

　抽出部５３は、上述の演算処理により、対象期間Ｔａにおける度数分布Ｄを近似する確率密度関数Ｐを生成する。以下、度数分布Ｄを近似する確率密度関数Ｐを、度数分布Ｄに基づく確率密度関数Ｐとも称する。

　（確率密度関数の一部の抽出）
　図４は、本開示の実施の形態に係るゲートウェイ装置における抽出部より生成される確率密度関数および累積分布関数の一例を示す図である。図４において、実線は確率密度関数Ｐを示し、一点鎖線は累積分布関数Ａを示す。また、図４において、横軸は受信間隔ｘ［秒］を示し、確率密度関数Ｐについての縦軸は確率密度を示し、累積分布関数Ａについての縦軸は確率を示す。

　図４を参照して、抽出部５３は、生成した確率密度関数Ｐを定積分することにより、累積分布関数Ａを生成する。

　たとえば、抽出部５３は、度数分布Ｄのうち、生成した累積分布関数Ａにおける確率の値が所定範囲内となるときの受信間隔ｘの値の範囲における分布を抽出する。

　より詳細には、抽出部５３は、生成した累積分布関数Ａにより表される確率の値が所定範囲内となるときの受信間隔ｘの値の範囲を抽出区間として決定し、決定した抽出区間に基づいて確率密度関数Ｐの一部を抽出する。

　たとえば、記憶部５６は、累積分布関数Ａにより表される確率の所定範囲における、下限値である所定値ｙａおよび上限値である所定値ｙｂを記憶している。

　抽出部５３は、累積分布関数Ａを生成すると、生成した累積分布関数Ａおよび記憶部５６における所定値ｙａ，ｙｂに基づいて、累積分布関数Ａにより表される確率が所定値ｙａとなるときの受信間隔ｘａ、および累積分布関数Ａにより表される確率が所定値ｙｂとなるときの受信間隔ｘｂを特定する。

　そして、抽出部５３は、受信間隔ｘがｘａ以上かつｘｂ以下の範囲を抽出区間［ｘａ，ｘｂ］として決定し、抽出区間［ｘａ，ｘｂ］における確率密度関数Ｐを抽出する。

　たとえば、抽出部５３は、対象期間Ｔａにおける度数分布Ｄに基づく確率密度関数ＰにおけるＫ、ｃ１～ｃＫ、ｘ１バー～ｘＫバーおよびσ１＾２～σＫ＾２、ならびに決定した抽出区間［ｘａ，ｘｂ］を含む抽出情報を検知部５５へ出力する。

　（所定値ｙａ，ｙｂの設定）
　たとえば、抽出部５３は、所定条件を満たす状況下において送信される周期メッセージの受信間隔ｘの分布である参照分布を用いて、度数分布Ｄの一部を抽出する。

　たとえば、上記所定条件は、車載ネットワーク１２の利用率が、対象メッセージＭの受信間隔ｘの度数分布Ｄが取得されるときの車載ネットワーク１２の利用率よりも低いことである。

　ここで、使用中の車両１における車載ネットワーク１２の利用率は、一般的に約４０％程度であることから、対象メッセージＭの受信間隔ｘの度数分布Ｄが取得されるときの車載ネットワーク１２の利用率も同様に、４０％程度である。

　そこで、抽出部５３は、車載ネットワーク１２の利用率がゼロ％の状況下において送信される周期メッセージの度数分布を用いて、確率密度関数Ｐの一部を抽出する。

　より詳細には、記憶部５６における所定値ｙａ，ｙｂは、車載ネットワーク１２の利用率がゼロ％の状況下において、制御装置１２２Ａから送信される周期メッセージの、ゲートウェイ装置１０１における受信間隔ｘの度数分布Ｄ（ＵＲ０）を用いて予め決定される。度数分布Ｄ（ＵＲ０）は、参照分布の一例である。

　抽出部５３は、度数分布Ｄ（ＵＲ０）を用いて予め決定された所定値ｙａ，ｙｂを用いて、確率密度関数Ｐの抽出区間［ｘａ，ｘｂ］を決定する。

　図５は、本開示の実施の形態に係るゲートウェイ装置における抽出部により生成される確率密度関数および累積分布関数の一例を示す図である。図５において、実線は確率密度関数Ｐを示し、一点鎖線は累積分布関数Ａを示す。また、図５において、横軸は受信間隔ｘ［秒］を示し、確率密度関数Ｐについての縦軸は確率密度を示し、累積分布関数Ａについての縦軸は確率を示す。

　図５を参照して、取得部５２は、たとえば車両１の出荷前に、車両１の生産工場等における作業者によって車載ネットワーク１２の利用率がゼロ％に設定された状況下において、制御装置１２２Ａから送信される周期メッセージの受信間隔ｘの度数分布Ｄ（ＵＲ０）を生成する。

　同様に、取得部５２は、車両１の生産工場等における作業者によって車載ネットワーク１２の利用率が４０％に設定された状況下において、制御装置１２２Ａから送信される周期メッセージの受信間隔ｘの度数分布Ｄ（ＵＲ４０）を生成する。なお、取得部５２が度数分布Ｄ（ＵＲ０），Ｄ（ＵＲ４０）を生成する際に制御装置１２２Ａから送信される周期メッセージには、不正メッセージは含まれないものとする。

　抽出部５３は、取得部５２によって生成された度数分布Ｄ（ＵＲ０）を近似する確率密度関数Ｐ（ＵＲ０）および累積分布関数Ａ（ＵＲ０）を生成する。また、抽出部５３は、取得部５２によって生成された度数分布Ｄ（ＵＲ４０）を近似する確率密度関数Ｐ（ＵＲ４０）および累積分布関数Ａ（ＵＲ４０）を生成する。

　次に、抽出部５３は、累積分布関数Ａ（ＵＲ０）により表される確率がゼロであるときの受信間隔ｘｐ、および累積分布関数Ａ（ＵＲ０）により表される確率が１に到達するときの受信間隔ｘｑを特定する。

　次に、抽出部５３は、累積分布関数Ａ（ＵＲ４０）において、受信間隔ｘｐに対応する確率ｙｐ、および受信間隔ｘｑに対応する確率ｙｑを特定し、確率ｙｐおよび確率ｙｑを所定値ｙａおよび所定値ｙｂとしてそれぞれ記憶部５６に保存する。

　上述したように、抽出部５３は、取得部５２によって対象期間Ｔａにおける度数分布Ｄが生成されるたびに、確率密度関数Ｐを生成するとともに、生成した確率密度関数Ｐを定積分することにより累積分布関数Ａを生成する。そして、抽出部５３は、生成した累積分布関数Ａおよび上述のようにして決定した所定値ｙａ，ｙｂに基づいて、抽出区間［ｘａ，ｘｂ］を決定し、決定した抽出区間［ｘａ，ｘｂ］における確率密度関数Ｐを抽出する。

　［算出部］
　算出部５４は、取得部５２によって取得された度数分布Ｄに基づいて、周期メッセージの受信間隔の統計値を算出する。

　算出部５４は、取得部５２によって記憶部５６おける度数分布Ｄが更新されると、更新後の度数分布Ｄを構成する複数の受信間隔ｘの平均値Ａｖを算出する。そして、算出部５４は、算出した平均値Ａｖを検知部５５へ出力する。

　［検知部］
　検知部５５は、抽出部５３によって抽出された対象分布の一部に基づいて、不正メッセージを検知する検知処理を行う。

　より詳細には、検知部５５は、抽出部５３から抽出情報を受けると、受けた抽出情報に基づいて、検知処理を行う。

　（検知処理の例１）
　検知部５５は、対象分布の一部における周期メッセージの受信間隔ｘの標準偏差に基づいて、検知処理を行う。

　より詳細には、検知部５５は、抽出部５３から抽出情報を受けると、記憶部５６を参照して、対象期間Ｔａにおける度数分布Ｄを構成する複数の受信間隔ｘのうち、抽出部５３から受けた抽出情報が示す抽出区間［ｘａ，ｘｂ］の範囲内の受信間隔ｘを抽出し、抽出した受信間隔ｘの標準偏差Ｓｄを算出する。

　たとえば、記憶部５６は、標準偏差Ｓｄに関するしきい値ＴｈＡ，ＴｈＢを記憶している。なお、しきい値ＴｈＡは、しきい値ＴｈＢよりも小さいものとする。

　検知部５５は、標準偏差Ｓｄを算出すると、算出した標準偏差Ｓｄと記憶部５６におけるしきい値ＴｈＡ，ＴｈＢとを比較し、比較結果に基づいて不正メッセージを検知する。たとえば、検知部５５は、標準偏差Ｓｄが、しきい値ＴｈＡより小さいか、またはしきい値ＴｈＢより大きい場合、対象期間Ｔａにおける対象メッセージＭの一部または全部が不正メッセージであると判断する。

　たとえば、検知部５５は、シューハート管理図、Ｘｂａｒ－Ｒ管理図、ＣＵＳＵＭ（Ｃｕｍｕｌａｔｉｖｅ　Ｓｕｍ）管理図、ＥＷＭＡ（Ｅｘｐｏｎｅｎｔｉａｌｌｙ　Ｗｅｉｇｈｔｅｄ　Ｍｏｖｉｎｇ　Ａｖｅｒａｇｅ）管理図、ＭＥＷＭＡ（Ｍｕｌｔｉｖａｒｉａｔｅ　Ｅｘｐｏｎｅｎｔｉａｌｌｙ　Ｗｅｉｇｈｔｅｄ　Ｍｏｖｉｎｇ　Ａｖｅｒａｇｅ）管理図、およびＭＥＷＭＣ（Ｍｕｌｔｉｖａｒｉａｔｅ　Ｅｘｐｏｎｅｎｔｉａｌｌｙ　Ｗｅｉｇｈｔｅｄ　Ｍｏｖｉｎｇ　Ｃｏｖａｒｉａｎｃｅ　Ｍａｔｒｉｘ）管理図等の管理図を用いて、検知処理を行う。

　図６は、本開示の実施の形態に係るゲートウェイ装置において検知部により算出される標準偏差の時間変化を示す図である。図６において、横軸は時間［秒］を示し、縦軸は標準偏差Ｓｄを示している。

　図６を参照して、検知部５５は、対象期間Ｔａごとに算出される標準偏差Ｓｄの時間変化をモニタし、標準偏差Ｓｄが上限管理限界線ＵＣＬを超えた場合、標準偏差Ｓｄが下限管理限界線ＬＣＬを下回った場合、一定時間連続して標準偏差Ｓｄが中心線ＣＬを超えた場合、または一定時間連続して標準偏差Ｓｄが中心線ＣＬを下回った場合、対象期間Ｔａにおける対象メッセージＭの一部または全部が不正メッセージであると判断する。

　たとえば、下限管理限界線ＬＣＬは、記憶部５６におけるしきい値ＴｈＡであり、上限管理限界線ＵＣＬは、記憶部５６におけるしきい値ＴｈＢである。

　（検知処理の例２）
　検知部５５は、対象分布の一部におけるピークの数に基づいて、検知処理を行う。

　より詳細には、検知部５５は、抽出部５３から受けた抽出情報に含まれるＫ、ｃ１～ｃＫ、ｘ１バー～ｘＫバーおよびσ１＾２～σＫ＾２が示す確率密度関数Ｐにおいて、抽出情報が示す抽出区間［ｘａ，ｘｂ］に存在するピークの数Ｐｓを算出する。

　たとえば、記憶部５６は、ピークの数Ｐｓに関するしきい値ＴｈＣを記憶している。

　検知部５５は、ピークの数Ｐｓを算出すると、算出したピークの数Ｐｓと記憶部５６におけるしきい値ＴｈＣとを比較し、比較結果に基づいて不正メッセージを検知する。たとえば、検知部５５は、ピークの数Ｐｓがしきい値ＴｈＣより大きい場合、対象期間Ｔａにおける対象メッセージＭの一部または全部が不正メッセージであると判断する。

　（検知処理の例３）
　検知部５５は、対象分布の一部における尖度に基づいて、検知処理を行う。

　より詳細には、検知部５５は、抽出部５３から受けた抽出情報に含まれるＫ、ｃ１～ｃＫ、ｘ１バー～ｘＫバーおよびσ１＾２～σＫ＾２が示す確率密度関数Ｐにおいて、抽出情報が示す抽出区間［ｘａ，ｘｂ］に存在するピークの尖度Ｋｓを算出する。

　たとえば、記憶部５６は、尖度Ｋｓに関するしきい値ＴｈＤを記憶している。

　検知部５５は、ピークの尖度Ｋｓを算出すると、算出した尖度Ｋｓと記憶部５６におけるしきい値ＴｈＤとを比較し、比較結果に基づいて不正メッセージを検知する。たとえば、検知部５５は、尖度Ｋｓがしきい値ＴｈＤより小さい場合、対象期間Ｔａにおける対象メッセージＭの一部または全部が不正メッセージであると判断する。

　（検知処理の例４）
　検知部５５は、算出部５４によって算出された平均値Ａｖ等の統計値と、所定値との比較結果に基づいて、検知処理を行う。

　たとえば、記憶部５６は、受信間隔ｘの平均値Ａｖに関するしきい値ＴｈＥ，ＴｈＦを記憶している。なお、しきい値ＴｈＥは、しきい値ＴｈＦよりも小さいものとする。

　検知部５５は、算出部５４から平均値Ａｖを受けると、受けた平均値Ａｖと記憶部５６におけるしきい値ＴｈＥ，ＴｈＦとを比較し、比較結果に基づいて不正メッセージを検知する。たとえば、検知部５５は、平均値Ａｖが、しきい値ＴｈＥより小さいか、またはしきい値ＴｈＦより大きい場合、対象期間Ｔａにおける対象メッセージＭの一部または全部が不正メッセージであると判断する。

　なお、検知部５５は、検知処理の例２～４において、検知処理の例１と同様に、管理図を用いて検知処理を行う構成であってもよい。

　また、検知部５５は、受信間隔ｘの標準偏差Ｓｄ、ピークの数Ｐｓ、ピークの尖度Ｋｓおよび受信間隔ｘの平均値Ａｖのうちの一部または全部を用いて、対象メッセージＭの異常度合いを示すスコアを算出し、管理図を用いて、算出したスコアの時間変化に基づく検知処理を行う構成であってもよい。

　検知部５５は、対象期間Ｔａにおける対象メッセージＭの一部または全部が不正メッセージであると判断した場合、以下の処理を行う。

　すなわち、検知部５５は、対象期間Ｔａ内に送信された対象メッセージＭの情報を記録する。また、検知部５５は、車載ネットワーク１２において不正メッセージが伝送されていることを示す警報情報を通信処理部５１経由で車両１内または車両１外における上位装置へ送信する。上位装置は、たとえば、警報情報を用いて所定の処理を行うサーバ等の装置である。

　［動作の流れ］
　本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。

　図７は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。

　図７を参照して、まず、ゲートウェイ装置１０１は、車載ネットワーク１２において送信されるメッセージを監視し、対象メッセージＭを受信すると、受信した対象メッセージＭの受信時刻ｔに基づいて対象メッセージＭの受信間隔ｘを算出し、算出した受信間隔ｘを記憶部５６に蓄積する（ステップＳ１０２）。

　次に、ゲートウェイ装置１０１は、対象期間Ｔａが経過するまで受信間隔ｘの蓄積を繰り返し（ステップＳ１０４でＮＯ）、対象期間Ｔａが経過すると（ステップＳ１０４でＹＥＳ）、記憶部５６に蓄積した各受信間隔ｘに基づいて、対象期間Ｔａにおける対象メッセージＭの受信間隔ｘの度数分布Ｄを生成する（ステップＳ１０６）。

　次に、ゲートウェイ装置１０１は、生成した度数分布Ｄを構成する各受信間隔ｘの平均値Ａｖを算出する（ステップＳ１０８）。

　次に、ゲートウェイ装置１０１は、生成した度数分布Ｄを近似する確率密度関数Ｐを生成するとともに、生成した確率密度関数Ｐを定積分することにより、累積分布関数Ａを生成する（ステップＳ１１０）。

　次に、ゲートウェイ装置１０１は、累積分布関数Ａにより表される確率が所定値ｙａとなるときの受信間隔ｘａ、および累積分布関数Ａにより表される確率が所定値ｙｂとなるときの受信間隔ｘｂに基づいて、抽出区間［ｘａ，ｘｂ］を決定する（ステップＳ１１２）。

　次に、ゲートウェイ装置１０１は、度数分布Ｄの一部を抽出する。より詳細には、ゲートウェイ装置１０１は、抽出区間［ｘａ，ｘｂ］における確率密度関数Ｐを抽出する（ステップＳ１１４）。

　次に、ゲートウェイ装置１０１は、抽出した確率密度関数ＰにおけるＫ、ｃ１～ｃＫ、ｘ１バー～ｘＫバーおよびσ１＾２～σＫ＾２、ならびに決定した抽出区間［ｘａ，ｘｂ］を含む抽出情報に基づいて、標準偏差Ｓｄ、ピークの数Ｐｓおよびピークの尖度Ｋｓを算出する（ステップＳ１１６）。

　次に、ゲートウェイ装置１０１は、平均値Ａｖ、標準偏差Ｓｄ、ピークの数Ｐｓおよびピークの尖度Ｋｓに基づいて、検知処理を行う（ステップＳ１１８）。

　次に、ゲートウェイ装置１０１は、検知処理の結果、対象期間Ｔａにおける対象メッセージＭは不正メッセージではないと判断した場合（ステップＳ１２０でＮＯ）、新たな対象メッセージＭを受信し、受信間隔ｘを記憶部５６に蓄積する（ステップＳ１０２）。

　次に、ゲートウェイ装置１０１は、検知処理の結果、対象期間Ｔａにおける対象メッセージＭの一部または全部が不正メッセージであると判断した場合（ステップＳ１２０でＹＥＳ）、不正メッセージが伝送されていることを示す警報情報を車両１内または車両１外における上位装置へ送信する（ステップＳ１２２）。

　次に、ゲートウェイ装置１０１は、新たな対象メッセージＭを受信し、受信間隔ｘを記憶部５６に蓄積する（ステップＳ１０２）。

　なお、ゲートウェイ装置１０１は、ステップＳ１０２の処理と、ステップＳ１０６～Ｓ１２２の処理とを並行して行う構成であってもよい。

　図８は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置が確率密度関数の抽出区間の基準を決定する際の動作手順の一例を定めたフローチャートである。

　図８を参照して、まず、ゲートウェイ装置１０１は、たとえば車両１の出荷前に、車両１の生産工場等における作業者によって車載ネットワーク１２の利用率がゼロ％に設定された状況下において、制御装置１２２Ａから送信される周期メッセージの受信間隔ｘの度数分布Ｄ（ＵＲ０）を生成する（ステップＳ２０２）。

　次に、ゲートウェイ装置１０１は、車両１の生産工場等における作業者によって車載ネットワーク１２の利用率が４０％に設定された状況下において、制御装置１２２Ａから送信される周期メッセージの受信間隔ｘの度数分布Ｄ（ＵＲ４０）を生成する（ステップＳ２０４）。

　次に、ゲートウェイ装置１０１は、度数分布Ｄ（ＵＲ０）を近似する確率密度関数Ｐ（ＵＲ０）および累積分布関数Ａ（ＵＲ０）、ならびに度数分布Ｄ（ＵＲ４０）を近似する確率密度関数Ｐ（ＵＲ４０）および累積分布関数Ａ（ＵＲ４０）を生成する（ステップＳ２０６）。

　次に、ゲートウェイ装置１０１は、累積分布関数Ａ（ＵＲ０）により表される確率がゼロであるときの受信間隔ｘｐ、および累積分布関数Ａ（ＵＲ０）により表される確率が１に到達するときの受信間隔ｘｑを特定する（ステップＳ２０８）。

　次に、ゲートウェイ装置１０１は、累積分布関数Ａ（ＵＲ４０）において、受信間隔ｘｐに対応する確率ｙｐ、および受信間隔ｘｑに対応する確率ｙｑを特定し、確率ｙｐおよび確率ｙｑをそれぞれ所定値ｙａおよび所定値ｙｂとして記憶部５６に保存する（ステップＳ２１０）。

　なお、本開示の実施の形態に係る車載通信システム３０１では、ゲートウェイ装置１０１が、車載ネットワーク１２における不正メッセージを検知する構成であるとしたが、これに限定するものではない。車載通信システム３０１では、ゲートウェイ装置１０１とは別の装置が、検知装置として車載ネットワーク１２における不正メッセージを検知する構成であってもよい。

　また、本開示の実施の形態に係る車載通信システム３０１では、検知装置として機能するゲートウェイ装置１０１がバス１３に直接接続される構成であるとしたが、これに限定するものではない。

　図９は、本発明の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。

　図９を参照して、検知装置１５１が、車載装置たとえば制御装置１２２を介してバス１３に接続される構成であってもよい。この場合、検知装置１５１は、たとえば、当該車載装置が送受信するメッセージを監視することにより、バス１３に伝送される不正メッセージを検知する。

　図９に示す例では、たとえば、検知装置１５１の取得部５２は、制御装置１２２が受信する対象メッセージの受信時刻ｔを取得する。そして、取得部５２は、取得した受信時刻ｔに基づいて受信間隔ｘを算出し、受信間隔ｘの度数分布Ｄを生成する。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、取得部５２は、通信処理部５１によって中継されるメッセージを監視することにより対象メッセージＭの受信時刻ｔを取得し、取得した受信時刻ｔと、直前の対象メッセージＭの受信時刻ｔとの差分を対象メッセージＭの受信間隔ｘとして算出する構成であるとしたが、これに限定するものではない。取得部５２は、ゲートウェイ装置１０１の外部の装置から通信処理部５１経由で受信間隔ｘを受信する構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、検知部５５は、標準偏差Ｓｄ、ピークの数Ｐｓ、ピークの尖度Ｋｓおよび平均値Ａｖに基づいて検知処理を行う構成であるとしたが、これに限定するものではない。検知部５５は、標準偏差Ｓｄ、ピークの数Ｐｓ、ピークの尖度Ｋｓおよび平均値Ａｖのうちの、いずれか１つ、２つまたは３つに基づいて、検知処理を行う構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、検知部５５は、抽出情報に基づいて、標準偏差Ｓｄ、ピークの数Ｐｓおよびピークの尖度Ｋｓを算出する構成であるとしたが、これに限定するものではない。検知部５５は、たとえば、車両１の外部におけるサーバ等の外部装置へ抽出情報を送信し、送信した抽出情報に基づいて算出される標準偏差Ｓｄ、ピークの数Ｐｓおよびピークの尖度Ｋｓを当該外部装置から受信する構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、算出部５４は、受信間隔ｘの統計値として、受信間隔ｘの平均値Ａｖを算出する構成であるとしたが、これに限定するものではない。算出部５４は、各受信間隔ｘの中央値等の、平均値Ａｖ以外の統計値を算出する構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１は、算出部５４を備える構成であるとしたが、これに限定するものではない。ゲートウェイ装置１０１は、算出部５４を備えない構成であってもよい。この場合、検知部５５は、標準偏差Ｓｄ、ピークの数Ｐｓおよびピークの尖度Ｋｓのうちの少なくともいずれか１つに基づいて、検知処理を行う。

　また、算出部５４は、たとえば、車両１の外部におけるサーバ等の外部装置に設けられていてもよい。この場合、検知部５５は、度数分布Ｄから算出される平均値Ａｖを当該外部装置から受信する構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、抽出部５３は、参照分布の一例である度数分布Ｄ（ＵＲ０）を用いて予め決定される所定値ｙａ，ｙｂに基づいて、抽出区間［ｘａ，ｘｂ］を決定し、決定した抽出区間［ｘａ，ｘｂ］における確率密度関数Ｐを抽出する構成であるとしたが、これに限定するものではない。抽出部５３は、参照分布を用いることなく抽出区間［ｘａ，ｘｂ］を決定し、決定した抽出区間［ｘａ，ｘｂ］における確率密度関数Ｐを抽出する構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、抽出部５３は、車載ネットワーク１２の利用率がゼロ％の状況下における受信間隔ｘの度数分布Ｄ（ＵＲ０）を用いて予め決定される所定値ｙａ，ｙｂを用いて、確率密度関数Ｐの一部を抽出する構成であるとしたが、これに限定するものではない。抽出部５３は、車載ネットワーク１２の利用率がたとえば１０％の状況下における受信間隔ｘの度数分布Ｄ（ＵＲ１０）を用いて予め決定される所定値を用いて、確率密度関数Ｐの一部を抽出する構成であってもよい。

　ところで、車載ネットワークにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。

　たとえば、不正な車載装置による攻撃モデルとして、正常な車載装置からの正当メッセージを停止させるとともに、正当メッセージと同一の送信周期の不正メッセージを送信するという、いわゆる占有バス型の攻撃モデルが想定される。特許文献１に記載の技術では、このような占有バス型の攻撃モデルに従って送信される不正メッセージを検知することは困難である。

　また、占有バス型の攻撃モデルに対する対策として、たとえば周期メッセージの受信間隔の標準偏差等の、周期メッセージの受信時刻に関する統計値をフィンガープリント情報として用いて、送信元が不正な車載装置であるか否かを識別するという検知方法が知られている。

　しかしながら、占有バス型の攻撃モデルにおいて、不正な車載装置が、正常な車載装置からの正当メッセージの送信時刻を機械学習し、送信間隔の標準偏差が正当メッセージの送信間隔の標準偏差と略同一となるように不正メッセージを送信するという、いわゆるクロックフィッシングを用いた不正メッセージの送信が想定される。特許文献２に記載の技術等の従来技術では、このようなクロックフィッシングにより検知機能が容易に回避されるおそれがある。

　具体的には、本願発明者らの検証によれば、－３０％～３０％以内の精度で送信間隔の標準偏差を偽装することによって正当メッセージになりすました不正メッセージを送信された場合、フィンガープリント情報を用いて不正メッセージを検知することは困難である。

　また、本願発明者らは、以下の手順により、周期メッセージの受信間隔の標準偏差をフィンガープリント情報として用いる検知方法を評価した。

　初めに、本願発明者らは、クロック周波数が８ＭＨｚであり、かつ周波数偏差がプラスマイナス３０ｐｐｍである振動子Ａを備える車載装置、およびロガーをＣＡＮバスに接続することにより、模擬車載ネットワークを生成した。

　そして、本願発明者らは、車載装置から送信される周期メッセージの周期を１００ミリ秒に設定し、車載装置における周期メッセージの送信間隔をオシロスコープを用いてモニタした。また、本願発明者らは、当該模擬車載ネットワークを、ネットワークの利用率すなわちトラフィックをゼロ％、４０％および８０％の各状況に設定し、各状況下において、車載装置からの周期メッセージのロガーにおける受信間隔をモニタした。

　次に、本願発明者らは、振動子Ａの代わりに、クロック周波数が８ＭＨｚであり、かつ周波数偏差がプラスマイナス２０ｐｐｍである振動子Ｂを車載装置に搭載し、同様にして、トラフィックについての各状況下において、車載装置における周期メッセージの送信間隔およびロガーにおける受信間隔をモニタした。

　また、本願発明者らは、振動子Ａの代わりに、クロック周波数が８ＭＨｚであり、かつ周波数偏差がプラスマイナス３０ｐｐｍである振動子Ｃを車載装置に搭載し、同様にして、トラフィックについての各状況下において、車載装置における周期メッセージの送信間隔およびロガーにおける受信間隔をモニタした。

　図１０～１２は、本願発明者らの検証結果を示す図である。図１０は、車載装置に搭載される振動子ごとの、車載装置における周期メッセージの送信間隔の標準偏差を示している。図１１は、車載装置に搭載される振動子ごとの、トラフィックが４０％のときのロガーにおける周期メッセージの受信間隔の標準偏差を示している。図１２は、車載装置に搭載される振動子ごとの、トラフィックが８０％のときのロガーにおける周期メッセージの受信間隔の標準偏差を示している。

　図１０～１２を参照して、車載装置に搭載される振動子の別に応じて、車載装置における周期メッセージの送信間隔の標準偏差に差異が現れている一方、トラフィックが４０％，８０％のときのロガーにおける周期メッセージの受信間隔の標準偏差には差異が現れていない。

　以上より、周期メッセージの受信間隔の標準偏差に基づいて振動子の別を判断することは困難であることから、周期メッセージの受信間隔の標準偏差をフィンガープリント情報として用いる従来技術の検知方法では、送信元が不正な車載装置であるか否かを識別することは困難であるとの知見を得た。

　これに対して、本開示の実施の形態に係るゲートウェイ装置１０１では、取得部５２は、車載ネットワーク１２において送信される周期メッセージの受信間隔の分布である対象分布を取得する。抽出部５３は、取得部５２によって取得された対象分布の一部を所定の基準に従って抽出する。検知部５５は、抽出部５３によって抽出された対象分布の一部に基づいて、不正メッセージを検知する検知処理を行う。

　本開示の実施の形態に係る検知方法は、車載ネットワーク１２における不正メッセージを検知するゲートウェイ装置１０１における検知方法である。この検知方法では、まず、ゲートウェイ装置１０１が、車載ネットワーク１２において送信される周期メッセージの受信間隔の分布である対象分布を取得する。次に、ゲートウェイ装置１０１が、取得した対象分布の一部を所定の基準に従って抽出する。次に、ゲートウェイ装置１０１が、抽出した対象分布の一部に基づいて、不正メッセージを検知する検知処理を行う。

　このように、対象分布の一部を所定の基準に従って抽出し、抽出した対象分布の一部に基づいて不正メッセージを検知する構成および方法により、たとえば、対象分布から、送信元の車載装置におけるクロック周波数等の特性が反映された部分を抽出し、抽出部分に基づいて、送信元の車載装置が不正な車載装置であるか否かを識別することができる。

　したがって、本開示の実施の形態に係るゲートウェイ装置および検知方法では、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、
　前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、
　前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備え、
　前記抽出部は、前記対象分布を近似する確率密度関数および前記確率密度関数に基づく累積分布関数を生成し、
　前記抽出部は、前記対象分布のうち、生成した前記累積分布関数における確率の値が所定範囲内となるときの受信間隔の値の範囲における分布を抽出する、検知装置。

　［付記２］
　車両に搭載される車載ネットワークにおける不正メッセージを検知する、プロセッサを備える検知装置であって、
　前記プロセッサは、
　前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、
　前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、
　前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを実現する、検知装置。

　１　　　車両
　１２　　車載ネットワーク
　１３　　バス
　１４　　バス
　５１　通信処理部
　５２　取得部
　５３　抽出部
　５４　算出部
　５５　検知部
　５６　記憶部
　１０１　ゲートウェイ装置
　１１１　車載通信機
　１１１Ａ　ＴＣＵ（車載通信機）
　１１１Ｂ　近距離無線端末装置（車載通信機）
　１１１Ｃ　ＩＴＳ無線機（車載通信機）
　１１２　ポート
　１２１　バス接続装置群
　１２２，１２２Ａ，１２２Ｂ，１２２Ｃ　制御装置
　１５１　検知装置
　３０１　車載通信システム

Claims

　車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、
　前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、
　前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える、検知装置。
　前記抽出部は、所定条件を満たす状況下において送信される前記周期メッセージの受信間隔の分布である参照分布を用いて、前記対象分布の一部を抽出する、請求項１に記載の検知装置。
　前記所定条件は、前記車載ネットワークの利用率が、前記対象分布が取得されるときの前記車載ネットワークの利用率よりも低いことである、請求項２に記載の検知装置。
　前記検知部は、前記対象分布の前記一部における前記周期メッセージの受信間隔の標準偏差に基づいて、前記検知処理を行う、請求項１から請求項３のいずれか１項に記載の検知装置。
　前記検知部は、前記対象分布の前記一部におけるピークの数に基づいて、前記検知処理を行う、請求項１から請求項４のいずれか１項に記載の検知装置。
　前記検知部は、前記対象分布の前記一部における尖度に基づいて、前記検知処理を行う、請求項１から請求項５のいずれか１項に記載の検知装置。
　前記検知装置は、さらに、
　前記取得部によって取得された前記対象分布に基づいて、前記周期メッセージの受信間隔の統計値を算出する算出部を備え、
　前記検知部は、前記算出部によって算出された前記統計値と、所定値との比較結果に基づく前記不正メッセージの検知処理をさらに行う、請求項１から請求項６のいずれか１項に記載の検知装置。
　請求項１から請求項７のいずれか１項に記載の検知装置を備える、車両。
　車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、
　前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得するステップと、
　取得した前記対象分布の一部を所定の基準に従って抽出するステップと、
　抽出した前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含む、検知方法。
　車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、
　コンピュータを、
前記車載ネットワークにおいて送信される周期メッセージの受信間隔の分布である対象分布を取得する取得部と、
　前記取得部によって取得された前記対象分布の一部を所定の基準に従って抽出する抽出部と、
　前記抽出部によって抽出された前記対象分布の一部に基づいて、前記不正メッセージを検知する検知処理を行う検知部、
として機能させるための、検知プログラム。