CN104956626B - 网络装置以及数据收发系统 - Google Patents

Abstract

本发明的目的在于，在车载网络等网络系统中，为了检测并防止非法数据侵入从而进行误动作的攻击，根据网络的周期信息进行非法的检测以及防止非法的数据的传送。本发明的网络装置具有：接收数据的通信部、管理接收到数据的接收时间的时间管理部以及处理数据的控制部，在控制部中，对于设为基准的接收数据，在接收到具有相同的识别符且接收间隔比预定周期短的第1数据的情况下，从设为基准的接收数据的接收时间开始直到经过预定周期为止等待具有与第1数据相同的识别符的数据的接收，当在该期间接收到具有与第1数据相同的识别符的第2数据时，判断为发生了非法而进行检测出周期异常时处理(参照图1)。

Description

网络装置以及数据收发系统

技术领域

本发明涉及一种网络装置以及数据收发系统。

背景技术

作为检测通信异常来对通信的中继进行控制的技术，在日本特开2008－236408公报中，为了提供一种存在发送了错误帧的ECU检测成为异常通信的总线，并且确定与该总线连接的消息帧的发送周期为异常的ECU的信息处理装置，记载了如下的中继装置：经由中继连接单元连接经由多路通信用总线连接的多个ECU，通过该中继连接单元中继ECU的通信，该中继连接单元作为通信异常的检测单元具备：计数器，其针对向各消息帧附加的每个ID(识别符)对经由总线从ECU接收的消息帧m的数量进行计数；以及计数值检查单元，其将计数器的计数数值与预先决定的单位时间的基准值进行比较来判定消息帧是否为通信异常。

此外，在日本特表2007－528621号公报中记载的中继装置检测非法访问来切断通信路径，并且为了确保其他通信路径，根据访问模式DB验证接收到的数据包的通信头部来判定是否检测出非法访问，在判定为检测出非法访问的情况下，识别数据包的发送源的车载通信装置，发送用于切断车载通信装置的连接的控制信号。此外，发送控制信号，并且更新路径控制表来确保经由其他车载通信装置的通信路径。

现有技术文献

专利文献

专利文献1：日本特开2008-236408号公报

专利文献2：日本特开2004-193903号公报

发明内容

经由网络，非法装置发送非法数据而引起装置的异常动作的非法攻击(后述的欺骗攻击等)成为问题。

在对于由这样的非法攻击引起的通信异常应用了专利文献1的技术的情况下，将消息帧的发送周期与接收周期基准值的下限值进行比较来判定异常等，成为将周期信息与正常值进行比较。此外，根据专利文献2的技术，根据接收到的数据的头部信息检测非法访问。

但是，在专利文献1中并没有考虑针对欺骗攻击的应对方法，在专利文献2中，因为欺骗攻击将头部进行了伪装，所以无法检测欺骗攻击。

本发明是鉴于上述状况提出的，其目的在于检测并防御欺骗攻击。

解决问题的手段

为了解决上述问题，在发生欺骗攻击时，根据具有相同识别符的数据的数据发送周期成为比设计周期短的周期，在网络装置中判定数据的接收周期，在通过比设计周期短的周期接收到数据的情况下，检测出发生了非法的攻击，进行针对攻击的防御动作(故障安全、防止非法传送、数据的废弃、状态的记录、向用户或其他系统的警告通知等)。

发明效果

根据本发明，当在网络上发生了非法攻击(例如，后述的欺骗攻击)的情况下能够进行防御动作来应对非法攻击。

此外，还能够降低非法检测时的误检测，降低数据确认时的负荷。

附图说明

图1是表示数据接收时的控制部的周期判定处理的流程图。

图2是网络系统的例子。

图3是网络系统的结构图。

图4是网络装置的结构图。

图5是网络装置的软件模块结构的例子。

图6是网络上的通信协议的数据结构的例子。

图7是表示网络上的数据发送以及欺骗攻击的例子。

图8是过滤表的例子。

图9是检测出短周期时的控制部的流程图。

图10是周期异常通知处理中的消息信息显示画面的例子。

图11是第2实施例中的数据接收时的控制部的流程图。

图12是第3实施例的过滤表的例子。

图13是接收时刻表的例子。

图14是第2实施例的检测出短周期时处理的流程图。

图15是第2实施例的过滤表的例子。

图16是异常关联信息日志的例子。

具体实施方式

以下，作为本发明的优选的实施方式的例子(实施例)，以车载网络等进行周期性数据收发的网络中的装置以及系统为例来说明发明的细节。本发明适合于车载网络装置以及车载网络中的数据收发系统，但并不妨碍向网络装置以及数据收发系统以外的应用。

实施例1

＜网络系统的结构＞

图2表示具备网络系统的控制系统的概要，该网络系统具有使用了本发明的网络装置。

设置在汽车内部的控制系统1具备：网络系统2，其通过车载网络(CAN、FlexRay(注册商标)、以太网(注册商标)等)构成；无线通信部3，其与控制系统1的外部进行无线通信(例如移动电话的通信、使用了无线LAN、WAN等协议的通信)；网络系统4，其使用了与网络系统2不同的协议或相同的协议；有线通信部5，其具备OBD(On Board Diagnosis，车载诊断)端子等诊断用端子、以太网(Ethernet)端子、外部存储介质(例如USB存储器、SD卡等)端子等外部连接端子，通过经由该外部连接端子的有线连接进行向网络系统2的访问；以及液晶显示器或警告灯或扬声器等输出装置6，其与网络系统2有线或无线连接，接收从网络系统2发送的数据，显示或输出基于接收到的数据的消息信息(例如影像、声音)等信息。

网络系统2与网络系统4、无线通信部3、有线通信部5、输出装置6等装置连接，在与各个装置之间进行信息的收发。

图3表示网络系统2的内部结构。将该网络系统上的网络装置与网络总线301连接，网络总线301例如是CAN总线等。在网络总线301上连接了ECU(Electronic Control Unit：电子控制单元)302和网关(以下称为GW)303，其中，ECU302与未图示的硬件连接，进行各硬件的控制和与网络总线的数据收发；网关303将网络总线之间连接与各个网络总线进行数据的收发。

GW303可以是具有GW功能的ECU，并且ECU302可以是具有ECU功能的GW，有时GW303和ECU302各自具有双方的功能。

此外，将GW303、ECU302等通过网络总线连接的装置统称为网络装置。网络装置有时控制与自身连接的硬件。例如，ECU302与未图示的执行器连接，ECU302通过操作该执行器来对控制对象进行控制。此外，输出装置6与网络总线连接，并如后所述网络装置经由网络总线对输出装置6进行控制。

GW303与多个网络总线连接，对各个网络总线赋予ID，在进行GW303的内部处理时，根据该ID识别是针对哪个网络总线的处理。将进行该识别的ID成为总线ID。也将总线ID称为“通道ID”。

此外，在图3的例子中，作为网络系统2的拓扑，表示了在CAN中使用的总线型连接，但本发明同样可以应用于星型、网格型、环型等不同的拓扑。

图4是表示作为本发明的网络装置的GW303的内部结构的图。GW303具备：CPU等处理器401，其具有高速缓存器、寄存器等存储元件并执行控制；通信I/F402，其对多个网络总线301进行数据的收发；定时器403，其使用未图示的时钟进行时间和时刻的管理；ROM(ReadOnly Memory，只读存储器)404，其保存程序和非易失性的数据；RAM(Random AccessMemory，随机存取存储器)405，其保存易失性的数据；以及内部总线406，其在网络装置内部的通信中使用。

ECU302的内部结构也与GW303的内部结构相同，但不同点在于，在ECU302具备GW的功能的情况下，不在各网络总线间进行数据的传送处理。

接着，图5表示在网络装置中动作的软件模块的结构。在网络装置中，将后述的过滤表504、后述的接收时刻表505存储在RAM405中。此外，通过处理器401执行通信管理部502、时间管理部503以及控制部501等各模块，其中，通信管理部502管理通信I/F402的动作和状态，经由内部总线406向通信I/F402进行指示，时间管理部503管理定时器403来进行与时间相关的信息取得和控制；控制部501进行从通信I/F402取得的数据解析、软件模块全体的控制。此外，具有记录后述的异常关联信息的异常关联信息日志506。将异常关联信息日志506记录在RAM405中。

关于该图5的结构表示了处理器401上的动作概念，从ROM404和RAM405适当取得动作时所需要的信息来进行动作。

＜网络协议的例子＞

图6表示在网络总线302中使用的通信协议的数据结构的例子。在该图6中表示了CAN通信协议中的帧的数据结构。该图所示的数值表示用于构成帧的各字段的比特数。

在CAN中在相同总线上连接的网络装置在进行发送时将总线信号设定为显性(0)，在进行发送时或接收时通过检测总线信号的显性(0)或隐性(1)来进行通信。

SOF(Start Of Frame帧开始)表示帧的开始位置，还用于取得帧的同步。

识别符(ID)表示通过帧发送的数据的ID(以下，称为数据ID)，通过数据ID能够识别通过帧发送的数据的种类。

将由识别符(ID)和RTR(Remote Transmission Request，远程传输请求)比特构成的部分称为仲裁字段，根据该仲裁字段的值进行总线的仲裁(调解)。

控制字段的RB1、RB0是保留比特，在图6(a)的格式的例子中无论哪个都设定显性。此外，数据长度代码表示数据字段的数据长度(字节数)。但是，在对RB0的值设定了隐性的情况下，仲裁字段表示图6(b)那样的扩展格式，在该扩展格式中可用29比特来表现识别符(ID)。接着扩展格式的控制字段的数据字段及其之后的结构与图6(a)相同。

数据字段表示发送的数据的内容，以可变长度发送N字节的数据。

在CRC字段输入帧的CRC，CRC边界是与确认(acknowledge)的边界，始终以隐性发送。

在接收节点(本实施例中的ECU302、GW303)，正确地接收了数据的情况下，为了进行响应通过将该确认的比特设定为显性来返回发送数据的响应。

EOF(End Of Frame帧结束)表示帧的终端，成为7比特的隐性。

在CAN总线中，通过以上那样的格式在网络装置之间进行数据的收发。

在车载网络中，特定的网络装置进行定期对网络发送该网络装置观测到的值(例如传感器的值)来对其他的网络装置通知状态(观测到的传感器的值)的处理等。

在CAN中在进行数据的发送时通过仲裁字段进行调解，在多个网络装置同时开始了发送的情况下，优先度低的网络装置中断发送。在CAN的规格中，越是ID大的，即根据调解期间较少地发送了显性的数据帧，越将优先度定义得低。因此，即便在各网络装置想要周期性地发送数据的情况下，即使在数据的发送定时能够进行发送，作为基于仲裁字段进行调解的结果，有可能在发送处理中发生中断，或者在发送开始定时其他网络装置已经发送了数据的情况下无法发送数据从而发送周期偏离。将这样的数据的发送定时重复或者在想要发送数据时总线已被使用等的状态称为冲突。

在此以CAN为例进行了说明，但是例如在Flexray(注册商标)等协议中也进行周期性的数据的收发。此外，在以太网等例子中也以不同的格式进行数据的收发，进行周期性发送信息等的处理，同样能够应用本发明。

＜通信I/F中的数据收发处理＞

作为通信I/F402的数据接收处理，处理器401从过滤表504读出例如在设计时决定的该网络装置需要接收的数据ID，并向通信I/F402进行指定。接受了需要接收的数据ID的指定的通信I/F402进行如下的数据接收处理：监视通过连接了该网络装置的网络总线301发送的信号，当在网络总线301上发送了具有指定的数据ID的数据帧的情况下，接收具有该数据ID的数据帧，将接收到的数据与该数据帧的数据一起通知给处理器401。

另一方面，作为通信I/F402中的数据发送处理，在从处理器401接收到数据的发送处理指示和发送的数据的情况下，在附加需要的信息后，以符合网络协议的数据形式对网络总线301发送数据。

＜输出装置的消息信息的输出方法＞

说明向输出装置6输出消息信息的方法。输出装置6通过专用线路或网络总线301等通信线路与GW303、ECU302连接，例如作为通过上述的网络协议决定的格式的数据，将数据ID为0x300的数据决定为警告画面显示请求，将数据ID为0x301的数据决定为在警告画面显示的后述的周期异常日志信息，从这样的通信线路接收从GW303、ECU302发送来的数据帧，生成与该数据对应的图形或文字信息等影像信息并在输出装置6所具有的显示器上进行显示。

或者，例如将数据ID为0x302的数据决定为警告灯点亮请求，在该数据的有效负载中存储的值指定警告灯的点亮模式，在接收到这样的数据时可以点亮警告灯。

或者，例如将数据ID为0x303的数据决定为警告声音输出请求，通过该数据的有效负载指定警告声音的模式，在接收到这样的数据的情况下，输出装置6可以向扬声器输出从内部保存的声音模式的声音中指定的声音。

通过这样的输出控制，输出针对检测出的控制系统的状态(尤其是发生异常)的消息信息，由此向用户通知控制系统的状态。

＜欺骗攻击的例子＞

接着，使用图7说明成为本发明的主要的防御对象的欺骗攻击的例子。

图7(a)表示正常时的数据发送动作的例子，随着横轴所示的时间的经过表示了数据帧701的发送周期，表示了按照一定周期(T)从某网络装置发送了图6所示的格式的数据帧701的状态。在此，为了简化，表示了仅发送具有某特定的数据ID的数据帧的状态。在此，表示了在时间T2由于与具有未图示的其他的数据ID的数据帧的冲突，在发送时刻中产生了延迟的状态。

图7(b)表示进行了欺骗攻击时的数据发送的状态。通过欺骗攻击发送的数据帧703具有与正规的数据帧702相同的数据ID，但在与本来的数据帧702的发送定时不同的定时以与数据帧702相同的周期发送数据。因此，接收该数据ID的数据的网络装置无法判定哪个数据是正确的，有可能进行错误的动作。

通过这样的欺骗攻击，具有特定的数据ID的数据帧在网络总线上的发生周期比本来的发送周期T短，在接收侧的网络装置中，例如在图7(b)的每个时间X或每个时间T－X接收数据。

关于本发明的第1实施方式，如下所示。在此，表示对图3的GW303应用了本发明的例子。

使用图8说明GW303具有的过滤表504的数据结构。在过滤表504中存储有接收的数据帧的数据ID802、每个数据ID的数据发送周期803(以下称为预定周期)。此外，如GW303那样在与多个网络总线连接的情况下，还有时具有连接了发送具有各个数据ID的数据帧的网络装置的网络总线的总线ID即数据发生总线ID804。在本发明中，根据这些信息进行有无欺骗攻击的判定。在过滤表504中登录的这些信息全部是在系统设计时决定的，并在系统启动之前已进行了登录。

在GW303中，在通信I/F402从网络总线301接收到数据帧的情况下，通信管理部502检测该接收。然后，通信管理部502在检测到数据帧的接收的定时，从时间管理部503取得该数据的接收时刻，并向控制部501通知接收到的数据的内容和数据的接收时刻。

从通信管理部502接收到该通知的控制部501进行接收到的数据的周期判定处理。图1表示周期判定处理的流程图。在周期判定处理中，首先，判定接收数据的数据ID是否存在于过滤表504中(S101)，在接收数据的数据ID不存在于过滤表504中的情况下(S101：否)，因为发送了具有本来不会发送来的数据ID的数据帧，因此进行检测出ID异常时处理(S102)。

在进行检测出ID异常时处理S102的状态下，因为在网络总线上发送了具有预想以外的数据ID的数据，因此判断为发生非法攻击的可能性高，作为该检测出ID异常时处理，视为发生了与ID相关的异常进行后述的检测出异常时处理。

在S101中的接收数据的数据ID是否存在于过滤表504的判定中，当在过滤表504中记载有数据发生总线ID的情况下，还确认接收到数据的网络总线ID与过滤表504的数据发生总线是否一致。由此，不仅能够确认数据ID的一致还能够确认数据发生总线的一致，因此能够掌握来自本来进行发送的网络总线以外的数据发送，从而更加容易地检测周期异常。

在步骤S101的处理中，在接收数据的数据ID存在于过滤表504中的情况下(S101：是)，接着进行步骤S103的处理。

在步骤S103的处理中，控制部501将来自通信管理部502的通知中包含的接收时刻与在后述的结束时处理中控制部501在接收时刻表505中存储的同一数据ID的上次接收时刻进行比较，来计算接收数据的数据ID表示的数据帧的接收周期，并进行将计算出的结果的接收周期与过滤表504的周期进行比较的周期判定。关于该周期判定的结果在判定为异常的情况下(S103：否)，进行检测出短周期时处理(S104)。将在后面对于检测出短周期时处理进行叙述。

通过该周期判定判定为异常的情况是指根据上次接收时刻计算出的接收周期比过滤表504中存储的该数据ID的周期小的情况。在此在进行比较时，除了与过滤表504的周期直接进行比较外，还可以计算针对误差的裕度，来进行判定。具体而言，当在过滤表中存储的周期为10ms的情况下采取10％的裕度，在接收周期比9ms小的情况下判定为短周期。由此，在因冲突等扰乱了周期的情况下，误判定为短周期的可能性减小。

在将计算出的结果的周期与过滤表504进行比较从而判定为不是异常的情况下(S103：是)，执行结束时处理(S105)。作为在此的结束时处理S105，将接收到数据ID的接收时刻存储在图13所示的接收时刻表505中，将其作为数据ID所示的数据的上次接收时刻来使用。成为在接收时刻表505中，针对每个数据ID(1301)记录数据帧的接收时刻的结构，在结束时处理，在与数据ID对应的上次接收时刻(1302)的栏中记录接收时刻。

如上所述，在控制部501中进行通过比预先决定的周期短的周期发送了数据帧的状态的检测。

＜检测出短周期时处理＞

接着，以图9所示的流程图为基础，说明在通过周期判定检测出数据帧发送周期的短周期时由控制部501执行的检测出短周期时处理。在该检测出短周期时处理中，是判定为通过比预先决定的周期短的周期接收到具有相同数据ID的数据帧时的处理，进一步判定是否在一定时间内接收到下一个相同的数据ID的数据帧。

因此，控制部501等待具有检测出短周期的数据ID的数据帧的数据接收。因此，监视从通信管理部502通知的数据帧的数据ID，在通知了检测出短周期的数据ID的数据帧的接收的情况下(S901：是)，执行后述的检测出周期异常时处理(S902)。在没有接收到检测出短周期的数据ID的数据的情况下(S901：否)，对通知了接收的数据帧并行进行图1的处理，并且在步骤S903的处理中进行是否没有经过等待时间的确认。

等待时间表示在检测出短周期(比假定的周期短的周期中的数据接收)情况下，对于成为基准的上次接收时刻直到假定的正常的周期中的数据接收时刻为止的时间，相当于图7(b)的周期T－时间X的时间。具体地说，能够通过如下所述的公式(式1)来求出。

等待时间＝过滤表的周期－(数据接收时刻－上次接收时刻)…(式1)

关于该等待时间，可以与周期判定的情况同样地，进行包含裕度的计算。例如在计算出的结果的等待时间为2ms(例如，在假定了10ms间隔的接收的情况下，从上次的接收开始8ms后接收相同数据ID的数据)的情况下，可以使等待时间不是通过计算求出的2ms，而是考虑了因发生冲突等导致的发送周期的混乱从而将过滤表中登录的周期的时间的20％设为等待时间的裕度，将相加相当于该裕度的2ms而得到的4ms设为等待时间。由此，能够调整在检测出短周期后直到接收以正常周期发送的数据帧为止的时间，能够防止在接收到异常数据后因冲突等在正常周期没有接收到正常数据的情况下，误判定为没有非法的情况。

控制部501在当前时间没有经过等待时间的情况下(S903：否)，进行预定时间处理的等待，再次执行步骤S901。此外，在等待时间到达的情况下(S903：是)，进行超时处理(S904)。

在超时处理S904中，在发生了超时的情况下(经过了等待时间的情况下)，检测出短周期的数据实际上因网络总线上的发送周期的混乱，是仅周期变短的正常数据，未接收欺骗数据的可能性高，因此对暂且判定为短周期的数据执行在判定为正常接收了该数据的情况下实施的处理(例如，数据的传送处理)。

如上所述，对于具有检测出数据的短周期的数据ID的数据帧确认周期性，并确认是否没有非法的数据发送。

作为等待时间的其他计算例，有时存储上次的误差，对待机时间进行修正。例如，具有过滤表的周期为10ms，上次的数据的接收间隔为12ms的情况、其下个周期中的数据接收间隔在发送定时恒定的情况下8ms到达的情况。为了不会在该情况下误判定为短周期，使用上次接收误差(在上述的例子中，12ms－10ms＝2ms)，如式(式2)那样计算等待时间。

等待时间＝过滤表的周期－(数据接收时刻－上次接收时刻)－上次接收误差…(式2)

通过这样进行计算，能够防止因临时冲突等导致的周期混乱而误判定为短周期的情况。

关于在过滤表504中登录的周期，除了如以上说明的那样预先登录在系统设计时决定的周期以外，例如还可以在系统启动时等以一定时间(例如10秒左右)接收数据，将该周期登录在过滤表504中。例如处理器401在启动或从等待状态恢复后开始在一定时间中，经由通信I/F402监视数据帧的接收周期，并登录在过滤表504中。由此，不需要预先在过滤表504中登录设计周期。

＜检测出周期异常时处理＞

作为检测出周期异常时处理，根据周期为异常的信息，实施后述的检测出异常时处理。

＜检测出异常时处理＞

作为检测出异常时处理，在接收的ID异常的情况下或检测出周期的异常的情况下通过控制部501来执行。

作为检测出异常时处理的例子，进行以下等处理：(1)不处理接收到的数据而废弃；(2)将检测出发生了异常的异常种类(ID异常、周期异常)和异常发生次数(累计值)一同登录在异常日志信息中；(3)执行用于通知异常的异常通知处理。

＜基于异常通知处理的消息信息输出＞

为了通知发生了异常，例如检测到异常的网络装置经由通信线路对输出装置6通知后述的异常关联信息，输出装置6显示该异常关联信息来作为检测到异常的主旨的消息信息。关于消息信息的输出处理，如上述所述。

图10表示消息信息显示的例子。在图10中表示了在输出装置6所具有的显示器1000中显示消息信息1001的例子。作为消息信息的内容，表示了显示如下信息的例子，即：检测出异常的数据帧的数据ID即“数据ID”(1002)、表示与该数据ID相关联的“车辆速度”等具体的数据种类的“数据种类”(1003)、表示累计的异常发生次数的“发生次数”(1004)、检测出异常的最近的时刻即“最新发生时刻”(1005)、检测出异常的网络总线的总线ID即“发生总线ID”(1006)等。将这些消息信息表示的信息称为异常关联信息。然后，通过提示这些信息，能够将网络中的异常发生和其详细内容作为警告向用户进行通知。

＜基于异常通知处理的故障安全实施＞

作为其他的检测出周期异常时的检测出异常时处理，为了使整个网络系统成为故障安全状态，控制部501进行将预先决定的特定信号(警告信号)发送给网络总线301的异常通知处理。接收到特定信号的ECU302或GW303等网络装置在检测出在网络上发生了周期异常的情况下，例如执行在将自身控制的硬件控制成预先决定的安装状态后停止系统，并对其他的通信设备通知执行了故障安全控制的宗旨等处理。由此，在检测出周期异常的情况下能够使系统在安全状态下停止。

作为检测出周期异常的网络装置发送警告信号的对象，在为无线通信部3、有线通信部5或与多个网络总线连接的网络装置的情况下，向检测出周期异常的网络总线以外的网络总线或其他的网络系统等进行通知，由此能够使整个系统成为故障安全状态。

＜向异常日志信息的记录＞

在检测出异常时处理中，检测到异常的网络装置或接收到周期异常通知处理的网络装置保存异常关联信息来作为网络装置内部的异常关联信息日志506。图16表示该异常关联信息日志506的数据结构。在此，作为异常关联信息日志，将上述的异常关联信息内的判定为发生了异常的数据帧的数据ID记录在数据ID1601中，将发生了异常的累计次数记录在发生次数1602中，并将判定为异常的时刻记录在最终发生时刻1603中，将发生了异常的网络总线的总线ID记录在发生总线ID1604中。

＜通过废弃接收数据来应对通信线路饱和攻击＞

此外，在发生周期异常时，作为检测出异常时处理不对接收到的数据进行处理地将其废弃，由此例如即使在通过DoS(Denial of Service拒绝服务)等通信线路饱和攻击大量发送了具有正常识别符的数据的情况下，如果是以预定周期以下的间隔发送的数据则将其废弃，从而能够防止攻击。

实施例2

接着，作为实施例2说明在检测出短周期时处理中增加了比较接收到的数据的内容的类似性判定处理来判断有无周期异常的例子。

实施例2的网络装置的结构与实施例1的情况相同，控制部501中的检测出短周期时处理成为图14所示的流程图的处理从而代替图9的处理。

在实施例2中，如图14所示在检测出短周期时处理S104中，在通知了接收到具有成为判定对象的数据ID的数据帧的情况下(S901：是)，进行将检测出周期异常时的数据帧与之后直到经过等待时间为止接收到的数据帧的数据的内容进行比较的类似性判定处理(S1401)。在该判定结果为正常(S1401：是)的情况下，不进行检测出周期异常时处理S902，作为接收了正常的数据帧的处理执行超时处理S904。

类似性判定处理的判定结果为正常表示例如2个数据帧中的数据字段的差分值在预先决定的一定量(差分上限)或一定比率以下，或者表示的状态相同(表示开/关的状态都为开等)，在设计基准值(正常范围)以内等在根据数据字段所示的数据种类而决定的值的范围内。该情况下，认为即使如通常那样处理双方的数据在系统的控制状态中也不会发生大的变化，不会发生异常动作，判断为不是欺骗攻击而是由于冲突导致周期缩短，从而对接收到的数据进行正常接收到数据时实施的必要的处理。

并且，相反，类似性判定处理的判定结果为异常是指差分值比差分上限大，状态(值)不一致、某个值在正常范围外等情况。在该情况(S1401：否)下，判定为通过处理接收到的数据，系统的控制状态有可能大幅度变化，发生异常动作的可能性高，此外是欺骗攻击的可能性高，不对数据进行处理地将其废弃，进行检测出周期异常时处理S902。

图15表示实施例2中的过滤表504的数据结构。在实施例2，在过滤表504中存储在类似性判定处理中使用的与数据字段的差分值进行比较的值。作为与数据字段的差分值进行比较的值，有设计基准值(正常范围)1501、差分上限1502。关于这些值，在针对每个数据ID进行系统设计时，例如在数据类别为“车辆速度”的数据的情况下，对于与此对应的数据ID：0x001预先决定为正常范围:0～300、差分上限：5等，并将其登录在过滤表504中。

这样在检测出周期异常后，在进一步确认具有该数据ID的数据帧的数据内容后判定周期异常的发生，由此能够防止正常时的冲突发生引起的误检测并能够检测出周期异常。

此外，仅在检测出周期异常后进行对数据内容进行确认的处理，由此不需要通常时始终进行确认数据内容的处理，从而能够实现处理负载的削减。

实施例3

接着，说明GW303进行数据传送时的检测出周期异常时处理和与此相伴的非法传送防止处理。与实施例1的不同点在于，通过控制部501执行的处理如图11所示在进行了检测出周期异常时处理后进行传送处理S1102以及过滤表504如图12所示包含数据传送目的地总线ID的信息。以下，使用图11的流程图说明控制部501中的处理。

控制部501接收到数据接收的通知时的S101～S104的处理与实施例1的情况相同。然后，与实施例1同样地进行周期判定(S103)的处理，在将计算出的结果的周期与过滤表504进行比较从而判定为不是异常的情况下(S103：是)，进行该数据ID是否是传送对象数据的判定(S1101)。关于是否是传送对象数据的判定，根据图12所示的过滤表504调查与接收数据的数据ID对应的数据传送目的地总线ID(1201)的值，在记载有传送目的地的网络总线的总线ID的情况下，判定为该数据是传送对象。例如在图12所示的过滤表504的例子中，在数据ID为0x001的数据帧的情况下，因为对数据传送目的地总线ID设定了“B”，所以可知需要对具有总线ID“B”的网络总线进行数据帧的传送处理，判定该数据为传送对象数据。另一方面，在数据ID为0x101的数据帧的情况下，在数据传送目的地总线ID中没有值的记载，因此不需要进行数据帧的传送处理而判定为不是传送对象数据。

作为以上判定的结果，在接收数据不是传送对象数据的情况下(S1101：否)，不进行数据帧的传送处理地向结束时处理S105前进。此外，在判定为接收数据是传送对象数据的情况下(S1101：是)，进行传送处理S1102向结束时处理前进。当在步骤S103中判定为接收周期正常的情况下如此进行处理。

另一方面，在周期判定的处理结果为判定是异常的情况下(S103：否)，进行检测出短周期时处理(S104)时的控制部501的处理与实施例1的情况相同，但超时处理S904中的处理不同。在实施例1的超时处理S904中，对暂且判定为短周期的数据实施判定为正常地接收了该数据的情况下所实施的处理(例如，数据传送处理)，但在实施例3的情况下，在通过与S1101相同的判定处理对暂且判定为短周期的接收数据进行了是否是传送对象数据的判定后，在判定为是传送对象数据的情况下，进行数据的传送。

由此，对于检测出短周期的数据，不是立即对其他网络总线进行数据帧的传送，而是临时通过GW303进行保存，之后，在检测出周期异常的情况下将数据废弃，由此能够防止非法的数据传送。

此外，在S902的检测出周期异常时处理中，作为与实施例2同样地进行数据比较而判定了类似性的结果，在数据字段的差分小的情况下，可以同样地进行传送处理等处理。由此，在检测出短周期时，在比较数据内容后能够判定是否需要传送数据帧，能够防止数据帧的非法传送以及误检测。

实施例4

在到此为止的实施例中说明了通过任意的ECU或GW进行周期判定的例子，但在实施例4中说明通过成为实际接收数据的一侧的ECU302进行周期判定，防止非法的处理数据的例子。该实施例3的ECU302的结构例与在实施例1中说明的结构相同，但是关于控制部501的处理，检测出短周期时处理S104中的检测出周期异常时处理S902以及超时处理S904的内容不同。

即，在超时处理904中，关于通过短周期接收到的数据，因为直到经过等待时间为止没有接收到后续的非法的数据，因此判定为不是欺骗攻击而是周期的混乱，通过该ECU对于接收到的数据实施正常接收时的处理。

此外，在检测出周期异常时处理S902中，在接收到短周期数据后还接收到相同数据ID的数据，发生欺骗攻击的可能性高，因此对于接收到的数据进行接收的ECU不实施正常接收时的处理，而是直接将接收数据废弃。

通过这样进行控制，ECU302在判断为接收到欺骗攻击的情况下，能够防止进行非法的处理。

实施例5

在实施例5中进行以下的处理：使用在检测出异常发生时作为异常关联信息日志506记录的异常关联信息，在异常发生以后使用该记录的异常关联信息向用户通知异常，此外根据异常发生次数实施不同的处理。

在实施例5中，控制部501在启动、结束、诊断等特定的定时读出在周期异常日志信息506中记录的异常关联信息，并与上述的基于异常通知处理的消息信息输出同样地经由通信线路向输出装置6输出，由此在周期异常发生之后也能够确认异常关联信息。

此外，在检测出异常时处理中，仅在异常发生次数为一定值(例如，10次左右)的情况下，进行上述的基于异常通知处理的消息信息输出，由此即使在周期判定和类似性判定处理中进行了误判定的情况下，也能够防止立即发生警告从而用户给出误解的情况。

在上述的实施例1至实施例5中，关于设为非法检测对象的识别符(ID)，不只是将网络上的全部数据的识别符设为对象，还可以缩减为特定的识别符的数据来将其设为非法检测的对象。具体而言，在上述的通信I/F402中的数据接收处理中，以仅将特定的数据ID设为接收对象的方式进行处理。通过限定非法检测处理的对象，能够降低处理器401中的处理负载，并且能够节约通信I/F402中的数据接收区域：邮件箱等在非法检测中所使用的资源。

此外，在过滤表504中，作为数据的重要度例如还可登录数据相关的功能的ASIL(Automotive Safety Integrity Level汽车安全完整性等级)，例如仅将ASIL A以上的重要度高的数据设为非法检测的对象。

并且，在将非法检测的对象缩减为特定识别符的数据的情况下，也可以周期性地变更非法检测的对象。具体而言，在上述的通信I/F402中的数据接收处理中，进行对于成为接收对象的特定的数据ID依次进行切换的处理。例如，在由于资源制约将非法检测对象的识别符限制为10个种类，在网络上的识别符的种类为30个的情况下，按照一定的定时切换登录了非法检测对象的识别符的表，由此以每10个种类3个模式的方式对设为处理对象的识别符进行变更，从而能够在节约了资源的基础上检测非法。此外，通过根据上述数据的重要度，对模式的切换进行使重要度高的数据长时间成为非法检测对象的调度，由此在节约了资源的基础上使针对重要度高的数据的非法检测变得容易。

根据以上说明的实施例，在由于非法攻击等发生了发送的数据的短周期的情况下，能够进行检测，进行异常发生的通知和数据的废弃，并执行系统的故障安全。此外，作为短周期的计算方法，通过对周期的裕度使用固定值或上次接收误差，从而能够防止误检测的发生。

此外，在周期异常发生时，比较各个数据的内容来判定是否为非法，由此能够防止由于周期异常导致的误检测，此外，通过仅在周期异常发生时比较数据的内容，由此能够减轻数据比较的处理负荷。

此外，在周期异常发生时，对输出装置或外部系统等通知包含发生了异常以及各种异常关联信息的消息信息，由此能够对用户等通知发生了非法及其详细的信息。此外，通过保存信息，对于过去发生了非法时的信息能够进行确认。

此外，在GW中的数据传送时等，对于由于非法攻击等导致的周期异常的数据，能够防止传送数据。此外，在ECU中的数据传送时，能够防止接收非法的数据进行处理。

符号说明

1 控制系统

2 网络系统

3 无线通信部

4 网络系统

5 有线通信部

6 输出装置

301 网络总线

302 ECU

303 网关(GW)

401 处理器

402 通信I/F

403 定时器

404 ROM

405 RAM

406 内部总线

501 控制部

502 通信管理部

503 时间管理部

504 过滤表

505 接收时刻表

506 异常关联信息日志

1000 显示器

1001 消息信息

Claims (10)

1.一种网络装置，其具有接收数据的通信部、对接收到数据的接收时间进行管理的时间管理部以及处理接收到的数据的控制部，并且周期性地接收数据来进行处理，该网络装置的特征在于，

所述控制部针对通过所述通信部接收到的数据所具有的每个识别符记录所述时间管理部的接收时刻，在接收到具有与成为基准的数据相同的识别符的接收到数据的间隔比预定周期短的第1数据的情况下，从接收到所述成为基准的数据的时刻开始直到经过所述预定周期为止接收到具有与所述第1数据相同的识别符的第2数据时，进行检测出周期异常时处理，在直到经过所述预定周期为止没有接收到具有与所述第1数据相同的识别符的数据时，对所述第1数据进行传送处理。

2.根据权利要求1所述的网络装置，其特征在于，

所述控制部在接收到接收所述数据的间隔比预定周期短的第1数据的情况下，在直到所述预定周期为止接收到具有与所述第1数据相同的识别符的第2数据时，还对第1数据和第2数据实施类似性判定处理，在所述类似性判定处理的结果为非类似的情况下，实施检测出周期异常时处理，在判定为类似的情况下，对所述第1数据和第2数据进行所述预定的处理。

3.根据权利要求1或2所述的网络装置，其特征在于，

所述控制部废弃所述第1数据和第2数据来作为所述检测出周期异常时处理。

4.根据权利要求3所述的网络装置，其特征在于，

所述控制部在所述检测出周期异常时处理中进行以下的处理：存储检测出周期异常的识别符、周期异常发生次数、周期异常的发生时刻、检测到周期异常的总线ID中的任意的一个以上的信息来作为异常关联信息。

5.根据权利要求4所述的网络装置，其特征在于，

具有输出警告信息的用户警告部，

所述控制部在进行所述检测出周期异常时处理时向所述用户警告部发送所述异常关联信息来作为警告指示，

所述用户警告部进行基于接收到的警告指示的警告。

6.根据权利要求1所述的网络装置，其特征在于，

所述控制部在接收到接收所述数据的间隔比预定周期短的第1数据的情况下，在直到所述预定周期为止接收到具有与所述第1数据相同的识别符的第2数据时，不对所述第1数据和第2数据进行传送处理地将其废弃，在直到所述预定周期为止没有接收到具有与所述第1数据相同的识别符的第2数据时，进行将所述第1数据传送给预定的网络的传送处理。

7.根据权利要求1所述的网络装置，其特征在于，

所述控制部在等待时间内接收到所述第1数据和所述第2数据的情况下，在所述第1数据和所述第2数据具有相同的识别符，且所述第1数据的周期比所述第2数据的周期短时，确定为检测出异常，并执行防御措施来应对异常，

在所述第1数据和所述第2数据具有相同的标识符，且在所述等待时间中没有接收到所述第2数据的情况下，允许所述第1数据经过预定的网络，

所述等待时间表示在检测出比所述预定周期短的周期中的数据接收的情况下，对于成为基准的上次接收时刻直到预定的正常的周期中的数据接收时刻为止的时间，即，所述等待时间＝所述预定周期-(所述数据接收时刻-所述上次接收时刻)。

8.一种数据收发系统，其由向网络发送警告指示的第1网络装置和接收向所述网络发送的警告指示的第2网络装置构成，其特征在于，具有：

在所述第1网络装置中接收数据，发送警告指示的通信部；

在所述第1网络装置中，对接收到所述数据的接收时间进行管理的时间管理部；

在所述第1网络装置中，对所述数据进行处理的控制部；

在所述第2网络装置中，接收所述警告指示的通信部；以及

在所述第2网络装置中，管理所述通信部，处理警告指示的控制部，

所述第1网络装置中的控制部在接收到具有与成为基准的数据相同的识别符的接收所述数据的间隔比预定周期短的第1数据的情况下，在直到所述预定周期为止接收到具有与所述第1数据相同的识别符的第2数据时，所述第1网络装置对所述第2网络装置发送警告指示，所述第2网络装置中的控制部处理所述警告指示。

9.根据权利要求8所述的数据收发系统，其特征在于，

在所述警告指示的处理中执行故障安全处理。

10.根据权利要求8所述的数据收发系统，其特征在于，

所述第1网络装置中的控制部在等待时间内接收到所述第1数据和所述第2数据的情况下，在所述第1数据和所述第2数据具有相同的识别符，且所述第1数据的周期比所述第2数据的周期短时，确定为检测出异常，并执行防御措施来应对异常，

在所述第1数据和所述第2数据具有相同的标识符，且在所述等待时间中没有接收到所述第2数据的情况下，允许所述第1数据经过预定的网络，

所述等待时间表示在检测出比所述预定周期短的周期中的数据接收的情况下，对于成为基准的上次接收时刻直到预定的正常的周期中的数据接收时刻为止的时间，即，所述等待时间＝所述预定周期-(所述数据接收时刻-所述上次接收时刻)。