WO2023058212A1

WO2023058212A1 - 制御装置

Info

Publication number: WO2023058212A1
Application number: PCT/JP2021/037278
Authority: WO
Inventors: 俊樹池頭; 裕司奥山; 祐介瀬戸
Original assignee: 三菱電機株式会社
Priority date: 2021-10-08
Filing date: 2021-10-08
Publication date: 2023-04-13
Also published as: CN118056199A; JPWO2023058212A1; JP7471532B2

Abstract

サイバー攻撃を受けても制御対象の異常を検知し、安全に制御することを可能とする。状態取得部（１０１）で取得した制御対象の状態遷移情報と記憶部（１０２）に記憶した正常時の通信データのリストの関係性から、制御対象の状態が切り替わる所定の時間よりも前に通信データを受信した場合に、リストを変えるまたは変えないことを決定する監視決定部（１０３）と、監視決定部（１０３）で決定した対象のリストの通信データを監視する通信監視部（１０４）と、通信監視部（１０４）の監視結果とリストを比較し、不正データであるか判定する異常判定部（１０５）を備えている。

Description

制御装置

　本願は、制御装置に関するものである。

　近年、自動車の車載システムはネットワークを介して車外の装置と接続されるようになり、悪意のある第三者が外部からネットワークを介して車載システムに侵入するリスクがある。車載システムに侵入されると、車両に搭載される制御装置である、例えばＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）において、ＥＣＵのプログラムが改ざんされ、制御を乗っ取られ遠隔操作によって事故につながる可能性がある。

　従来の車載システムでは、一部の装置が故障した場合でも、故障によって発生した異常を検知し、フェールセーフによって機能を縮退するなど、安全な走行ができるように、異常対処方法が考えられている。

　しかし、プログラムが改ざんされ、故障によって異常を検知する仕組みを変更される、もしくは異常検知の対象となる情報を正常な値になりすまされると、異常として検知することが困難となる。

　サイバー攻撃を受けて車両の異常を検知する仕組みとして、不正な通信データを監視して異常を検知する仕組みが検討される。正常時の通信データと受信した通信データを比較して、不正な通信データでないか異常を検知する仕組みが検討される。

　しかし、正常時の通信データと受信した通信データを比較して不正な通信データでないか異常を検知する場合、通信データが膨大であると、データ処理も増大する課題がある。そこで、サイバー攻撃を受けても処理負荷を抑えつつ誤検知あるいは見逃しがないよう異常を検知し、車を安全に走行可能にする仕組みが必要である。

　特許文献１は、車両の状態に応じて通信データの監視方法を変え、データ処理の負荷を増大させず、異常データを検知することができるとしている。

特許第６５３１０１１号公報

　しかしながら、特許文献１に記載されている従来技術には、以下のような課題がある。特許文献１では、状態が切り替わる直前で通信データを受信する場合、状態を正しく取得できないと、本来監視すべき状態の通信データとは異なる状態の通信データを監視することになり、異常検知の誤検知あるいは見逃しが起きる可能性がある。

　本願は、このような問題を解決するためになされたものであり、制御対象の状態と制御対象状態の状態遷移情報と通信データのリストの関係性により、監視した通信データとリストを比較して不正データであるか判定することにより、サイバー攻撃を受けても通信データの異常を検知し、制御対象の異常を検知することができる制御装置を得ることを目的とする。

　本願に開示される制御装置は、制御対象との間でデータの通信を行う制御装置において、
制御対象に対して制御装置で通信データを送受信する通信部と、制御対象の状態を取得する状態取得部と、通信部の通信データの正常時の通信データをリストして記憶する記憶部と、状態取得部で取得した制御対象状態の状態遷移情報と記憶部のリストの関係性から、制御対象の状態が切り替わるあらかじめ決められた時間よりも前に通信データを受信した場合に、リストを変えるまたは変えないことを決定する監視決定部と、監視決定部で決定した対象のリストの通信データを監視する通信監視部と、通信監視部の監視結果とリストを比較し、不正データであるか判定する異常判定部を備えている

　本願の制御装置によれば、状態が切り替わるあらかじめ決められた時間よりも前に通信データを受信した場合でも誤検知あるいは見逃しをすることなく不正データを検知することで制御対象の異常を検知し、制御対象を安全に制御することができる。

実施の形態１に係る制御装置の機能ブロック図である。実施の形態１に係る制御装置の状態遷移管理部が抽出する遷移する状態の組み合わせを示す図である。実施の形態１に係る制御装置の監視決定部において２種類の状態のリストを結合したリストに決定する方法を説明する図である。実施の形態１に係る制御装置の監視決定部において３種類の状態のリストを結合したリストに決定する方法を説明する図である。実施の形態１に係る制御装置のリスト作成部において２種類の状態のリストを結合する方法を説明する図である。実施の形態１に係る制御装置の異常検知処理を示すフローチャートである。実施の形態１に係る制御装置の監視方法を決定する処理を示すフローチャートである。実施の形態１に係る制御装置のハードウェア構成の一例を示す図である。

　以下に、本願に開示される制御装置の好適な実施の形態について、図面を用いて説明する。なお、以下では、制御装置の具体例として、制御対象を車両および車載機器とする車載制御装置（ＥＣＵ）に適用する場合について、詳細に説明する。本実施の形態は、制御対象である車両に制御装置における侵入検知システムとして適用可能である。

　実施の形態１．
　図１は、実施の形態１に係る制御装置を適用した車載制御装置（ＥＣＵ）の機能ブロック図である。本実施の形態１における車載制御装置（以下、制御装置１０と称する）は、通信部１００、状態取得部１０１、記憶部１０２、監視決定部１０３、通信監視部１０４、異常判定部１０５、状態遷移管理部１０６、時間計測部１０７およびリスト作成部１０８を備えて構成されている。

　制御装置１０は、車両の制御を行う車載制御装置である。制御装置１０は、車両内部の他の制御装置と、図示しない通信線、例えばＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、を介して接続されている。

　通信部１００は、他の制御装置と通信データを送受信する機能を有している。例えばＣＡＮ通信の通信データを送受信する機能である。

　状態取得部１０１は、制御対象である車両の状態を取得する。状態取得部１０１は、制御装置１０の制御状態、車両制御システムの制御状態、車両の周辺環境状態、車両の位置情報、制御装置１０の通信状態、車内の運転者の状態、制御装置の処理負荷状態、制御装置１０の攻撃状態のいずれかの状態を取得する。

　制御装置１０の制御状態とは、具体的には、制御装置の起動状態あるいはスリープ状態などである。

　車両制御システムの制御状態は、具体的には、車両動作の走る、曲がる、止まるといった動作状態である。また、細かく分類してもよい。具体的には、走る状態において、高速、中速、低速などである。

　車両の周辺環境状態は、具体的には、渋滞などの交通状況あるいは雪などの天候である。

　車両の位置情報は、具体的には、トンネル内あるいは交差点などである。

　制御装置１０の通信状態は、具体的には、制御装置が通信中であるか通信中ではないかである。また、通信状態は細かく分類してもよい。

　車内の運転者の状態は、具体的には、運転者が寝ている、疲れているなどの状態である。

　制御装置の処理負荷状態は、具体的には、制御装置１０の処理負荷が小さくて処理に余裕があるか、処理負荷が大きくて処理に余裕がないかなどである。また、状態は細かく分類してもよい。

　制御装置１０の攻撃状態は、具体的には、異常判定部１０５で異常と判定された場合である。例えば、受信した通信データとは異なるバスで攻撃を受けている場合などである。

　記憶部１０２は、制御装置１０の制御処理である動作プログラムおよび動作時に使用する制御値、通信部１００が正常時に受信する通信データのリストが記録されているメモリを有する。リストを記憶するメモリはＲＯＭあるいはＲＡＭである。

　監視決定部１０３は、状態取得部１０１で取得した状態の状態遷移情報と記憶部１０２の通信データのリストの関係性より、通信監視部１０４の監視対象となる通信データのリストを変えるまたは変えないことを決定する。

　通信監視部１０４は、通信部１００で受信する通信データを監視する。具体的には、通信ＩＤ、データ長、データ値、データ値の変化量、通信周期、通信頻度などを取得する。

　異常判定部１０５は、通信監視部１０４で取得した通信データを監視結果として、記憶部１０２の通信データのリストを通信データの正常値として、監視結果と正常値を比較する。

　異常判定部１０５は、監視結果と正常値の比較結果が一致しなかった場合、異常と判定する。

　異常判定部１０５は、異常と判定した場合、異常対応処理に移行してもよい。例えば、通信線の切り替え、待機用制御装置への切り替え、制御装置の機能縮退などを実行する。正常と判定した場合、通常の制御処理を引き続き実行する。

　状態遷移管理部１０６は、状態取得部１０１で取得した状態の遷移状態情報を基に、遷移する状態を抽出する。具体的には、状態取得部１０１で取得した一つ前の状態の遷移情報を抽出する。例えば、車両制御システムの制御状態の車両動作の走る状態において、停止状態の次に遷移する状態は低速状態などである。また、抽出する状態は複数でもよい。

　監視決定部１０３は、状態取得部１０１で取得した状態が、状態遷移管理部１０６で抽出した状態と一致しなかった場合、異常であることを異常判定部１０５へ通知する。

　異常判定部１０５は、状態取得部１０１で取得した状態が、状態遷移管理部１０６で抽出した状態と不一致で、異常であることを監視決定部１０３から通知された場合、異常と判定する。

　監視決定部１０３は、状態取得部１０１で取得した状態が、状態遷移管理部１０６で抽出した状態と一致した場合かつ、状態に変更がない場合、状態取得部１０１で取得した状態における記憶部１０２の通信データのリストを、通信監視部１０４の監視対象となる通信データのリストとして決定する。

　監視決定部１０３は、状態取得部１０１で取得した状態が、状態遷移管理部１０６で抽出した状態と一致した場合かつ、状態が遷移した場合、状態取得部１０１で取得した状態における記憶部１０２の通信データのリストと、状態取得部１０１で取得した一つ前の状態のリストを結合したリストを、通信監視部１０４の監視対象となる通信データのリストとして決定する。

　監視決定部１０３は、状態取得部１０１で取得した状態のリストと状態取得部１０１で取得した一つ前の状態のリストを結合したリストの中で、結合する時に重複する通信データを優先的に監視することを決定する。

　時間計測部１０７は、状態取得部１０１で取得した状態が次に遷移する状態までの時間を計測する。

　監視決定部１０３は、時間計測部１０７が計測した状態遷移時間が所定の時間よりも短い場合、通信監視部１０４の監視対象となるリストを、状態遷移管理部１０６で抽出した状態遷移情報を基に、状態取得部１０１で取得した状態のリストと状態取得部１０１で取得した一つ前の状態のリストと状態取得部１０１で取得した二つ前の状態のリストを結合したリストに決定する。

　監視決定部１０３は、状態取得部１０１で取得した状態のリストと状態取得部１０１で取得した一つ前の状態のリストと状態取得部１０１で取得した二つ前の状態のリストを結合したリストの中で、結合する時に重複する通信データを優先的に監視することを決定する。

　リスト作成部１０８は、監視決定部１０３が、状態取得部１０１で取得した状態のリストと状態取得部１０１で取得した一つ前の状態のリストを結合したリストに決定し、結合したリストが存在しない場合、結合したリストを作成する。

　リスト作成部１０８は、監視決定部１０３が、状態取得部１０１で取得した状態のリストと状態取得部１０１で取得した一つ前の状態のリストと状態取得部１０１で取得した二つ前の状態のリストを結合したリストに決定し、結合したリストが存在しない場合、結合したリストを作成する。

　状態遷移管理部１０６が抽出する遷移する状態の組合せを図２に示す。状態取得部１０１で取得する状態として、例として車両制御システムの制御状態の車両動作の走るにあたる走行状態を示す。走行状態は高速、中速、低速、停止の四つに分類され、各状態の次に遷移する状態を抽出する。走行状態は細かく分類してもよい。他の状態でも同様に遷移する状態を抽出する。

　監視決定部１０３が状態取得部１０１で取得した状態のリストと一つ前の状態のリスト、即ち２種類の状態のリストを結合したリストに決定する方法を図３に示す。状態が停止の場合、状態遷移管理部より、遷移する状態は低速である。状態が停止から低速に切り替わる直前で通信データＴ４を受信し、状態取得部１０１で状態Ｓ４を取得した場合、Ｔ４での状態は停止だが、Ｓ４で取得した状態は低速となり、通信データ受信時の状態と状態取得時の状態が一致しない。状態によって監視対象のリストを決定すると異なる状態のリストを監視してしまい、誤検知あるいは見逃しが起きる可能性がある。よって、状態取得部１０１で取得した状態のリストと一つ前の状態のリストを結合したリストを監視対象のリストとすることで、誤検知あるいは見逃しを防ぐことができる。Ｔ４の検査Ｐ４では、Ｓ４で取得した状態低速と一つ前のＳ３で取得した状態停止のリストを結合したリストを用いて監視する。

　監視決定部１０３が、時間計測部１０７が計測した状態遷移時間があらかじめ決められた時間（所定の時間）よりも短い場合、状態取得部１０１で取得した状態のリストと一つ前の状態のリストと二つ前の状態のリスト、即ち３種類の状態のリストを結合したリストに決定する方法を図４に示す。状態が停止の場合、状態遷移管理部より、遷移する状態は低速、状態が低速である場合、状態遷移管理部より、遷移する状態は中速、停止である。所定の時間より短い間隔で状態が停止と低速に切り替わる場合、状態のリストと一つ前の状態のリストを結合したリストを監視対象のリストにするには、誤検知あるいは見逃しが起きるケースが存在する。状態が停止から低速に切り替わる直前で通信データＴ５を受信し、状態取得部１０１で状態Ｓ５を取得した場合、Ｔ５での状態は停止だが、Ｓ５で取得した状態は低速となり、通信データ受信時の状態と状態取得時の状態が一致しない。状態取得部１０１で取得した状態のリストと一つ前の状態のリストを結合したリストを監視対象のリストにした場合、Ｔ５の検査Ｐ５では、Ｓ５で取得した状態低速と一つ前のＳ４で取得した状態低速のリストを結合したリストを用いて監視した場合、異なる状態のリストを監視してしまい、誤検知あるいは見逃しが起きる可能性がある。よって、状態取得部１０１で取得した状態のリストと一つ前の状態のリストと二つ前の状態のリストを結合したリストを監視対象のリストとすることで、誤検知あるいは見逃しを防ぐことができる。Ｔ５の検査Ｐ５では、Ｓ５で取得した状態低速と一つ前のＳ４で取得した状態低速と二つ前のＳ３で取得した状態停止のリストを結合したリストを用いて監視する。

　リスト作成部１０８が状態取得部１０１で取得した状態のリストと一つ前の状態のリストを結合したリストを作成する方法を図５に示す。状態取得部１０１で取得した状態低速のリストと一つ前の状態停止のリストを結合する。低速のリストのルール番号１と停止のリストのルール番号１で重複するルールは一つにする。重複するルールは優先的に監視するためにルール番号を小さい数字にする。そのほかに優先すべきルールがあれば、ルール番号を変更してもよい。

　次に、制御装置１０の異常検知処理について、図６を用いて詳細に説明する。図６は、実施の形態１に係る通信部１００の通信データ受信から異常検知処理を経て、判定結果の処理を実行するまでの処理の流れを示すフローチャートである。

　ステップＳ６０１において、通信部１００は、通信データを受信する。ステップＳ６０１終了後、ステップＳ６０２へ進む。

　ステップＳ６０２において、状態取得部１０１は車両状態を取得する。
ステップＳ６０２終了後、ステップＳ６０３へ進む。

　ステップＳ６０３において、監視決定部１０３は通信監視部１０４の監視対象を決定する。
ステップＳ６０３終了後、ステップＳ６０４へ進む。

　ステップＳ６０４において、監視決定部１０３は状態取得部１０１が取得した状態が正常な状態遷移である場合、ステップＳ６０５へ進む。正常な状態遷移でない場合、ステップＳ６０６へ進む。

　ステップＳ６０５において、通信監視部１０４は監視決定部１０３で決定した監視対象である監視する記憶部１０２のリストの通信データを監視する。ステップＳ６０５終了後、ステップＳ６０６へ進む。

　ステップＳ６０６において、異常判定部１０５は通信監視部１０４の監視結果と記憶部１０２のリストと比較し、不正データによる異常であるか判定する。監視決定部１０３で正常な状態遷移でない場合も異常と判定される。ステップＳ６０６終了後、ステップＳ６０７へ進む。

　ステップＳ６０７において、異常判定部１０５が異常と判定した場合、ステップＳ６０８へ進む。異常判定部１０５が正常と判断した場合、異常検知処理を終了する。

　ステップＳ６０８において、異常判定時の処理を実行する。ステップＳ６０８終了後、異常検知処理を終了する。

　次に、図６における監視方法決定（ステップＳ６０３）について、図７を用いて詳細に説明する。図７は、実施の形態１に係る制御装置１０の監視方法決定処理の流れを示すフローチャートである。

　ステップＳ７０１において、状態遷移管理部１０６は、状態取得部１０１で取得した状態より一つ前に取得した状態から次に遷移する状態を抽出する。遷移する状態は複数あってもよい。ステップＳ７０１終了後、ステップＳ７０２へ進む。

　ステップＳ７０２において、監視決定部１０３は、状態遷移管理部１０６が抽出した遷移状態と状態取得部１０１が取得した状態が一致するか比較する。一致する場合、ステップＳ７０３へ進む。一致しない場合、異常と見なし、監視方法決定処理を終了する。

　ステップＳ７０３において、状態取得部１０１で取得した状態が一つ前に取得した状態から遷移した状態であるので、通信部１００の通信データの受信時の状態として決定する。ステップＳ７０３終了後、ステップＳ７０４へ進む。

　ステップＳ７０４において、ステップＳ７０３で決定した状態が一つ前の状態から別の状態へ遷移したか確認する。ステップＳ７０３で決定した状態が一つ前の状態から別の状態へ遷移した場合、ステップＳ７０５へ進む。一つ前の状態から別の状態へ遷移していない場合はステップＳ７１０へ進む。

　ステップＳ７０５において、時間計測部１０７は遷移前の状態から遷移後の状態までの時間を計測する。ステップＳ７０５終了後、ステップＳ７０６へ進む。

　ステップＳ７０６において、時間計測部１０７が計測した時間が所定の時間よりも短い場合、ステップＳ７０７へ進む。所定の時間よりも長い場合はステップＳ７１０へ進む。

　ステップＳ７０７において、監視決定部１０３は通信監視部１０４の監視対象として、ステップＳ７０３で決定した状態で定義される記憶部１０２に記憶されている通信データのリストと一つ前に取得した状態で定義される記憶部１０２に記憶されている通信データのリストと二つ前に取得した状態で定義される記憶部１０２に記憶されている通信データのリストを結合したリストに決定する。
ステップＳ７０７終了後、ステップＳ７０８へ進む。

　ステップＳ７０８において、ステップＳ７０７で決定したリストが存在する場合、ステップＳ７１３へ進む。ステップＳ７０７で決定したリストが存在しない場合、ステップＳ７０９へ進む。

　ステップＳ７０９において、リスト作成部１０８はステップＳ７０３で決定した状態で定義される記憶部１０２に記憶されている通信データのリストと一つ前に取得した状態で定義される記憶部１０２に記憶されている通信データのリストと二つ前に取得した状態で定義される記憶部１０２に記憶されている通信データのリストを結合したリストを作成する。ステップＳ７０９終了後、ステップＳ７１３へ進む。

　ステップＳ７１０において、監視決定部１０３は通信監視部１０４の監視対象として、ステップＳ７０３で決定した状態で定義される記憶部１０２に記憶されている通信データのリストと一つ前に取得した状態で定義される記憶部１０２に記憶されている通信データのリストを結合したリストに決定する。
ステップＳ７１０終了後、ステップＳ７１１へ進む。

　ステップＳ７１１において、ステップＳ７１０で決定したリストが存在する場合、ステップＳ７１３へ進む。ステップＳ７１０で決定したリストが存在しない場合、ステップＳ７１２へ進む。

　ステップＳ７１２において、リスト作成部１０８はステップＳ７０３で決定した状態で定義される記憶部１０２に記憶されている通信データのリストと一つ前に取得した状態で定義される記憶部１０２に記憶されている通信データのリストを結合したリストを作成する。ステップＳ７１２終了後、ステップＳ７１３へ進む。

　ステップＳ７１３において、監視決定部１０３は通信監視部１０４へ監視対象のリストを通知する。ステップＳ７１３終了後、監視決定処理を終了する。

　なお、制御装置１０は、ハードウェアの一例を図８に示すように、プロセッサ１１と記憶装置１２から構成される。記憶装置１２は、例えば、ランダムアクセスメモリ等の揮発性記憶装置と、フラッシュメモリ等の不揮発性の補助記憶装置とを具備する。また、フラッシュメモリの代わりにハードディスクの補助記憶装置を具備してもよい。プロセッサ１１は、記憶装置１２から入力されたプログラムを実行する。この場合、補助記憶装置から揮発性記憶装置を介してプロセッサ１１にプログラムが入力される。また、プロセッサ１１は、演算結果等のデータを記憶装置１２の揮発性記憶装置に出力してもよいし、揮発性記憶装置を介して補助記憶装置にデータを保存してもよい。

　なお、以上説明した実施の形態１では、制御装置を車載制御装置として使用する例について説明した。しかしながら、本願に係る制御装置は、これに限られるものでない。例えば、高いセキュリティ強度を有し、かつ、早期に制御装置の異常を検知する仕組みを必要とする、通信線に接続された制御装置に利用することができる。

　以上説明した実施の形態１によれば、制御処理において以下のような効果が得られる。
　従来の制御装置においては、車両状態に基づいて通信データの監視方法を変え、異常なデータを検知する異常検知方法であった。これに対して、本実施の形態１に係る制御装置は、状態遷移情報と通信データのリストの関係性から、状態が切り替わる所定の時間より前に通信データを受信した場合に、リストを変えるまたは変えないことを決定し、監視結果と正常値が一致するか比較することで、制御装置の異常を検知する構成を備えている。
　これにより、状態が切り替わる所定の時間よりも前にサイバー攻撃によって受信した不正通信データの異常を誤検知、見逃しすることなく検知することができる。

　また、本実施の形態１に係る制御装置は、車両状態を取得する状態取得部と状態遷移情報を基に、状態取得部が取得する状態の遷移する状態を抽出する状態遷移管理部を備えている。これにより一つの状態だけでなく、状態と遷移する状態で使用するリストの中身を絞ることができる。

　さらに、本実施の形態１に係る制御装置は、監視決定部において、状態遷移管理部で抽出した状態に基づいて、状態取得部で取得した状態と、状態取得部で取得した一つ前の状態のリストを結合したリストに決定することができる構成を備えている。これにより状態が変更しても異なる状態のリストへ切り替えることなく監視することができる。

　さらに、本実施の形態１に係る制御装置は、状態取得部が状態を取得して次の状態に遷移するまでの時間を計測する時間計測部の計測した時間が所定の時間よりも短い場合、状態取得部で取得した状態のリストと、状態取得部で取得した一つ前の状態のリストと、二つ前の状態のリストを結合したリストに決定することができる構成を備えている。これにより状態が短い期間で変更しても異なる状態のリストへ切り替えることなく監視することができる。

　さらに、本実施の形態１に係る制御装置は、監視決定部で、状態取得部で取得した状態と状態取得部で取得した一つ前の状態のリストを結合するリストがない場合、リスト作成部によって結合したリストを作成する構成を備えている。これにより状態が変更しても異なる状態のリストへ切り替えることなく監視することができる。

　さらに、本実施の形態１に係る制御装置は、監視決定部で、状態取得部で取得した状態と状態取得部で取得した一つ前の状態のリストと、二つ前の状態のリストを結合するリストがない場合、リスト作成部によって結合したリストを作成する構成を備えている。これにより状態が変更しても異なる状態のリストへ切り替えることなく監視することができる。

　さらに、本実施の形態１に係る制御装置は、監視決定部で、状態取得部で取得した状態と状態取得部で取得した一つ前の状態のリストを結合し、結合したリストの中で重複する通信データを優先的に監視する構成を備えている。これにより可能性の高い通信データから検査することで処理時間の向上を図る状態が変更しても異なる状態のリストへ切り替えることなく監視することができる。

　さらに、本実施の形態１に係る制御装置は、監視決定部で、状態取得部で取得した状態と状態取得部で取得した一つ前の状態のリストと二つ前の状態のリストを結合し、結合したリストの中で重複する通信データを優先的に監視する構成を備えている。これにより可能性の高い通信データから検査することで処理時間の向上を図る状態が変更してもリストを切り替えることなく監視することができる。

　本願は、例示的な実施の形態が記載されているが、実施の形態に記載された様々な特徴、態様、及び機能は特定の実施の形態の適用に限られるのではなく、単独で、または様々な組み合わせで実施の形態に適用可能である。
　従って、例示されていない無数の変形例が、本願明細書に開示される技術の範囲内において想定される。例えば、少なくとも１つの構成要素を変形する場合、追加する場合または省略する場合が含まれるものとする。

　１０　制御装置、１００　通信部、１０１　状態取得部、１０２　記憶部、１０３　監視決定部、１０４　通信監視部、１０５　異常判定部、１０６　状態遷移管理部、１０７　時間計測部、１０８　リスト作成部

Claims

　制御対象との間でデータの通信を行う制御装置において、前記制御対象に対して制御装置で通信データを送受信する通信部と、前記制御対象の状態を取得する状態取得部と、前記通信部の通信データの正常時の通信データをリストして記憶する記憶部と、前記状態取得部で取得した前記状態の状態遷移情報と前記記憶部の前記リストの関係性から、前記制御対象の状態が切り替わるあらかじめ決められた時間よりも前に前記通信データを受信した場合に、前記リストを変えるまたは変えないことを決定する監視決定部と、前記監視決定部で決定した対象の前記リストの通信データを監視する通信監視部と、前記通信監視部の監視結果と前記リストを比較し、不正データであるか判定する異常判定部と、を備えていることを特徴とする制御装置。
　前記状態取得部で取得した前記状態の状態遷移情報を基に、遷移する状態を抽出する状態遷移管理部を備え、前記監視決定部は、前記状態取得部で取得した前記制御対象の状態と前記状態遷移管理部で抽出した遷移する状態と前記記憶部の前記リストの関係性から、前記制御対象の状態が切り替わるあらかじめ決められた時間よりも前に前記通信データを受信した場合に、前記リストを変えるまたは変えないことを決定することを特徴とする請求項１に記載の制御装置。
　前記監視決定部は、前記状態遷移管理部で抽出した遷移する状態に基づいて、前記状態取得部で取得した前記制御対象の状態の前記リストと前記状態取得部で取得した一つ前の状態のリストを結合したリストに決定することを特徴とする請求項２に記載の制御装置。
　前記状態取得部が状態を取得して次の状態に遷移するまでの時間を計測する時間計測部を備え、前記監視決定部は、　前記時間計測部の計測した時間があらかじめ決められた時間よりも短い場合、前記状態遷移管理部で抽出した遷移する状態に基づいて、前記状態取得部で取得した前記制御対象の状態の前記リストと前記状態取得部で取得した一つ前の状態のリストと二つ前の状態のリストを結合したリストに決定することを特徴とする請求項２に記載の制御装置。
　前記状態遷移管理部で抽出した遷移する状態に基づいて、前記状態取得部で取得した前記制御対象の状態の前記リストと一つ前の状態のリストを結合したリストがない場合、結合したリストを作成するリスト作成部を備え、前記監視決定部は、前記リスト作成部で作成した前記リストに決定することを特徴とする請求項２に記載の制御装置。
　前記リスト作成部は、前記状態遷移管理部で抽出した遷移する状態に基づいて、前記状態取得部で取得した前記制御対象の状態の前記リストと一つ前の状態のリストと二つ前の状態のリストを結合したリストがない場合、結合したリストを作成し、前記監視決定部は、前記リスト作成部で作成した前記リストに決定することを特徴とする請求項５に記載の制御装置。
　前記監視決定部は、前記状態遷移管理部で抽出した遷移する状態に基づいて、前記状態取得部で取得した前記制御対象の状態と一つ前の状態のリストを結合したリストに決定し、監視するリストを結合したリストの中で重複する通信データを優先的に監視することを特徴とする請求項２に記載の制御装置。
　前記監視決定部は、前記状態遷移管理部で抽出した遷移する状態に基づいて、前記制御対象の状態と一つ前の状態のリストと二つ前の状態のリストを結合したリストに決定し、監視するリストを結合したリストの中で重複する通信データを優先的に監視することを特徴とする請求項２に記載の制御装置。