CN107925600B - 安全处理方法以及服务器 - Google Patents
安全处理方法以及服务器 Download PDFInfo
- Publication number
- CN107925600B CN107925600B CN201680050843.XA CN201680050843A CN107925600B CN 107925600 B CN107925600 B CN 107925600B CN 201680050843 A CN201680050843 A CN 201680050843A CN 107925600 B CN107925600 B CN 107925600B
- Authority
- CN
- China
- Prior art keywords
- vehicle
- information
- frame
- abnormality
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0808—Diagnosing performance data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
- H04W4/08—User group management
Abstract
本公开涉及安全处理方法以及服务器,用于应对在一车辆的车载网络发送的异常帧的服务器即异常检测服务器(80)具备:作为取得部的通信部(810),其通过接收来取得关于在包括一车辆的一个或多个车辆的车载网络中接收到的帧的信息;作为估算部的日志分析处理部(840),其基于由取得部取得的关于多个帧的信息和在关于该多个帧的信息的取得之后由取得部取得的关于在一车辆的车载网络中接收到的帧的信息,估算在一车辆的车载网络中接收到的该帧的异常度。
Description
技术领域
本公开涉及用于攻击帧的检测、应对等的安全技术,所述攻击帧是可能会在供搭载于车辆的电子控制单元进行通信的车载网络中发送的帧。
背景技术
近年来,在汽车中的系统内,配置有许多被称为电子控制单元(ECU:ElectronicControl Unit)的装置。连接这些ECU的网络称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在由ISO11898-1规定的CAN(Controller Area Network:控制器局域网络)这一标准。
在CAN中,通信路径是由两条线构成的总线(CAN总线),与总线连接的ECU称为节点。与CAN总线连接的各节点收发帧(消息)。另外,在CAN中,不存在指示发送目的地和发送源的标识符,发送节点对每个帧附加被称为消息ID的ID来进行发送,各接收节点仅接收预先确定的消息ID。在汽车中的系统中,许多ECU分别进行各种帧的授受。
存在如下可能性:通过将不正常(非法)节点连接于CAN总线、或者攻击具有与便携信息终端、车外的通信装置等通信的功能的ECU等来使不正常节点发生变化等,攻击者向CAN总线发送攻击帧,不正常地控制汽车。攻击帧是由不正常的攻击者发送到CAN总线的帧,是在车载网络的正常状态下本来不会发送的帧。
作为检测这样的攻击帧并进行防御的技术,已知如下技术:对于在车载网络中应周期性发送的消息ID的帧,预先登记所设想的周期,基于设想周期来进行是否不正常的判别(参照专利文献1)。
现有技术文献
专利文献1:日本特开2014-146868号公报
发明内容
发明要解决的技术问题
然而,在专利文献1的技术中,能够检测的攻击帧被限定于能够使用所登记的设想周期进行判别的攻击帧,因此对多种多样的攻击帧的检测、防御等未必有效。
因此,本公开提供为了适当地应对可能在车载网络发送的多种多样的攻击帧而有用的安全处理方法。另外,本公开提供为了适当地应对多种多样的攻击帧而有用的服务器(服务器装置)。
用于解决问题的技术方案
本公开的一技术方案的安全处理方法,是用于应对在一车辆的车载网络发送的异常帧的安全处理方法,取得关于在一个或多个车辆的车载网络中接收到的多个帧的信息;基于关于所述取得的多个帧的信息,估算在关于该多个帧的所述接收之后在所述一车辆的车载网络中接收到的帧的异常度。
此外,这些概括性或具体的技术方案既可以通过装置、系统、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过装置、系统、方法、计算机程序和记录介质的任意组合来实现。
发明的效果
根据本公开,可估算在某车载网络接收到的帧的异常度(即异常的程度),因此,结果是,可能会变得能够适当应对在车载网络的正常状态下本来不会发送的各种攻击帧。
此外,本公开的进一步的效果以及优点可由本说明书以及附图的公开内容明确。上述进一步的效果以及优点也可以由本说明书以及附图所公开的各种实施方式以及特征来个别地提供,未必需要提供所有的效果以及优点。
附图说明
图1A是表示实施方式的车载网络管理系统所提供的服务的形态的一例的概念图。
图1B是表示实施方式的数据中心运营公司的一例的概念图。
图2是表示实施方式1的车载网络管理系统的整体结构的图。
图3是表示实施方式1的车载网络系统的结构的一例的图。
图4是实施方式1的异常检测服务器的构成图。
图5是表示实施方式1的异常检测服务器的车辆日志保存数据库(DB:database)的内容例的图。
图6是表示实施方式1的异常检测服务器的车辆信息DB所保持的车辆信息的一例的图。
图7是表示实施方式1的异常检测服务器的安全信息DB所保持的攻击进程(phase)信息的一例的图。
图8是表示实施方式1的异常检测服务器的安全信息DB所保持的警告等级信息的一例的图。
图9是实施方式1的车载网络中的网关的构成图。
图10是表示实施方式1的异常检测服务器与车辆的合作工作的一例的时序图。
图11是表示实施方式1的异常检测服务器中的异常检测处理的一例的流程图。
图12A是表示实施方式1的警告等级决定用信息的例1的图。
图12B是表示实施方式1的警告等级决定用信息的例2的图。
图12C是表示实施方式1的警告等级决定用信息的例3的图。
图12D是表示实施方式1的警告等级决定用信息的例4的图。
图12E是表示实施方式1的警告等级决定用信息的例5的图。
图13是表示由实施方式2的异常检测服务器进行的不正常检测用信息(规则等)的发布的工作例的时序图。
图14是表示实施方式3的异常检测服务器所使用的MAC/加密保护对象消息ID列表的一例的图。
图15是表示实施方式3的异常检测服务器的密钥更新请求的工作例的时序图。
图16是表示车载网络管理系统所提供的服务(类型1)的概念图。
图17是表示车载网络管理系统所提供的服务(类型2)的概念图。
图18是表示车载网络管理系统所提供的服务(类型3)的概念图。
图19是表示车载网络管理系统所提供的服务(类型4)的概念图。
具体实施方式
本公开的一技术方案的安全处理方法,是用于应对在一车辆的车载网络发送的异常帧的安全处理方法,取得关于在一个或多个车辆的车载网络中接收到的多个帧的信息;基于关于所述取得的多个帧的信息,估算在关于该多个帧的所述接收之后在所述一车辆的车载网络中接收到的帧的异常度。在安全处理方法中,取得(收集)关于已经在车载网络接收到的多个帧的信息,由此,例如通过统计处理、多变量解析、机器学习等的适用,可能会变得能够进行适当的异常度的估算。由此,所估算出的异常度可以表示通过基于黑名单等既有规则的不正常检测方法无法检测的异常(例如攻击预兆、未知攻击等所涉及的攻击帧)。基于该异常度,可能会变得能够适当地应对攻击帧。
另外,例如可以是,关于所述取得的帧的所述信息,至少包含该帧的内容的一部分,关于所述多个帧的信息的所述取得,是关于所述多个帧各自的信息的逐次取得,在所述安全处理方法中,基于所述逐次取得的关于帧的信息,逐次更新预定模型,对于在所述一车辆的车载网络中接收到的帧的异常度的所述估算,通过使用了关于该接收到的帧的信息和所述预定模型的运算处理来进行。由此,例如,通过预定模型与异常度的估算对象的帧之间的比较、算术运算、逻辑运算、条件判断等这样的各种处理的一个以上处理的组合即运算处理,可估算异常度,所述预定模型是反映了关于在各车辆的车载网络接收到的帧的信息的模型。预定模型例如为了将异常度分成多个阶段而有用。例如,预定模型可通过统计处理、机器学习等来更新。因为预定模型可逐次更新,所以存在能够对应于各车辆的最近状况来适当地进行异常度的估算的可能性。
另外,例如可以是,在所述安全处理方法中,基于所述逐次取得的关于帧的信息,通过机器学习来逐次更新所述预定模型。由此,通过机器学习,可适当地进行异常度的估算。并且,基于所估算出的异常度,可能会变得能够应对未知的攻击。
另外,例如可以是,所述安全处理方法包括:第1接收步骤,能够与所述多个车辆以及所述一车辆通信的服务器从所述多个车辆的各车辆接收关于在该车辆的车载网络中接收到的多个帧的信息,由此进行所述取得;第2接收步骤,所述服务器从所述一车辆接收关于在该车辆的车载网络中接收到的帧的信息;估算步骤,基于通过所述第1接收步骤接收到的关于多个帧的信息,进行通过所述第2接收步骤接收到的关于帧的信息所涉及的该帧的异常度的所述估算;决定步骤,根据通过所述估算步骤估算出的异常度,决定应向所述一车辆发送的发送用信息的内容;以及发送步骤,所述服务器向所述一车辆发送通过所述决定步骤决定的内容的发送用信息。由此,根据对在一车辆的车载网络接收到的帧而估算出的异常度,可从服务器(例如云服务器等这样的车辆外部的计算机)进行发送用信息的发送,因此,在帧为异常的情况下,在接收发送用信息的车辆中,会变得能够进行活用了发送用信息的应对(警告通知、车辆的控制等)。
另外,例如可以是,通过所述第2接收步骤接收的关于帧的信息,包含该帧的识别信息,在所述决定步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,根据该帧的识别信息,进行发送用信息的内容的所述决定。由此,例如可能会变得能够采取与可由异常帧的识别信息区别的攻击进程(攻击预兆、攻击等的各进程,phase)对应的适当的安全对策。
另外,例如可以是,在所述决定步骤中,在通过所述估算步骤估算出表示是异常的异常度的帧的识别信息为预定识别信息的况下,进行所述决定,以使得所述发送用信息包含指示所述一车辆的行驶停止或行驶速度的减速的控制信息。由此,通过将预定识别信息确定为针对车辆的行驶上重要的帧而预先确定的识别信息(消息ID),会变得能够采取使车辆适当地向更安全状态的状态转变的安全对策。
另外,例如可以是,在所述发送步骤中,根据通过所述估算步骤估算出的异常度,决定是否对与所述一车辆具有预定关系的车辆发送预定的发送用信息,按照该决定来进行该预定的发送用信息的发送的控制。由此,不仅对被攻击者攻击的车辆(在车载网络中流动了攻击帧的车辆),还对与该车辆具有预定关系的车辆(例如相同车型的车辆、具有同种ECU的车辆等)发送安全用的信息,因此可能会变得能够采取用于将对具有预定关系的车辆的攻击防患于未然的安全对策等。
另外,例如可以是,通过所述第2接收步骤接收的关于帧的信息,包含该帧的识别信息,在所述发送步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,根据该帧的识别信息,决定是否对车载网络的结构与所述一车辆相同的车辆发送所述预定的发送用信息,按照该决定来进行该预定的发送用信息的发送的控制。由此,例如,根据可由异常帧的识别信息区别的攻击进程,可以对车载网络的结构与被检测到异常帧的车辆相同的车辆(例如相同车型的车辆)发送用于确保安全的信息等。因此,可能会变得能够采取用于抑制对例如相同车型的多个车辆的攻击的受损的安全对策等。
另外,例如可以是,通过所述第2接收步骤接收的关于帧的信息,包含该帧的识别信息,在所述发送步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,根据该帧的识别信息,决定是否对搭载有与在所述一车辆的车载网络中发送由该识别信息识别的帧的电子控制单元同种的电子控制单元的车辆发送所述预定的发送用信息,按照该决定来进行该预定的发送用信息的发送的控制。由此,例如,根据可由异常帧的识别信息区别的攻击进程,可以对搭载有与在被检测到异常帧的车辆中发送该帧的ECU同种的ECU的车辆(例如与被检测到异常的车辆相同车型的车辆、搭载有相同型式的ECU的其他车型的车辆等)发送用于确保安全的信息等。因此,可能会变得能够采取用于抑制对搭载有与攻击者为了发送攻击帧而置于控制下的ECU同种的ECU的各车辆的攻击的受损的安全对策等。
另外,例如可以是,在所述发送步骤中,根据通过所述估算步骤估算出的异常度,决定应向所述一车辆发送的发送用信息的发送时期,在所决定的发送时期向所述一车辆发送该发送用信息。由此,可能会以例如异常度越高则越迅速地发送等方式使得在适当的时期发送安全用的信息(例如警告通知等)。
另外,例如可以是,在所述决定步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,当在车载网络的结构与所述一车辆相同的一个或多个车辆中已经产生了与该帧所涉及的异常相同的异常时,基于该产生了相同异常的车辆的个数或者所述一车辆与该产生了相同异常的车辆的距离,进行应向所述一车辆发送的发送用信息的内容的所述决定。相同异常例如是同种ECU发送的帧的异常、具有相同识别信息的帧的异常等。通过与例如一车辆同样地对一车辆以外的车辆也估算异常度,由此能够区别是否异常。产生了相同异常的车辆的个数既可以是总数也可以是每单位时间的个数。由此,可推定攻击者的攻击的规模等,根据该规模等,可能会变得能够通过必要信息的发送来采取适当的安全对策。
另外,例如可以是,在所述决定步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,进行所述决定以使得所述发送用信息包含不正常检测用信息,所述不正常检测用信息表示用于在车载网络中检测与该异常相同的异常的规则或算法。由此,会变得能够从服务器发布用于在车辆的本地环境下进行不正常检测的不正常检测用信息,因此会变得能够提高车辆的安全性。
另外,例如可以是,通过所述第2接收步骤接收的关于帧的信息,包含该帧的识别信息,在所述决定步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,在该帧的识别信息为用于适用加密处理技术来传输数据的帧用的预先规定的识别信息时,进行所述决定以使得所述发送用信息包含控制信息,所述控制信息指示在该加密处理技术的适用时所利用的密钥的更新。由此,例如,与受加密处理技术保护的帧所涉及的攻击的检测关联地,采取密钥的更新这一安全对策,因此可能会变得能够使因密钥泄露等引起的受损降低。
另外,本公开的一技术方案的服务器,是用于应对在一车辆的车载网络发送的异常帧的服务器,具备:取得部,其通过接收来取得关于在包括所述一车辆的一个或多个车辆的车载网络中接收到的帧的信息;和估算部,其基于由所述取得部取得的关于多个帧的信息和在关于该多个帧的所述取得之后由所述取得部取得的关于在所述一车辆的车载网络中接收到的帧的信息,估算在所述一车辆的车载网络中接收到的该帧的异常度。基于由该服务器估算出的异常度,可能会变得能够适当地应对多种多样的攻击帧。
另外,本公开的一技术方案的安全处理方法,是用于应对在一车辆的车载网络发送的异常帧的安全处理方法,估算在所述一车辆的车载网络中接收到的帧的异常度;根据所估算出的所述异常度,决定是否对与所述一车辆具有预定关系的车辆发送发送用信息,按照所述决定来进行该发送用信息的发送的控制。由此,根据一车辆中的帧的异常度,能够切换是否将作为安全对策的信息发送给其他车辆,因此可能会变得能够采取适当的安全对策。
此外,这些概括性或具体的技术方案既可以通过系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序或记录介质的任意组合来实现。
以下,参照附图对包括实施方式的服务器且使用安全处理方法的车载网络管理系统进行说明。在此所示的实施方式都表示公开的一具体例。因此,以下的实施方式中示出的数值、构成要素、构成要素的配置及连接形态、以及步骤(工序)及步骤的顺序等是一例,并非限定本公开。关于以下的实施方式中的构成要素中的未记载在独立权利要求中的构成要素,是能够任意附加的构成要素。另外,各图是示意图,未必是严格图示的。
(所提供的服务的全貌)
首先,对本实施方式的车载网络管理系统所提供的服务的形态进行说明。
图1A是表示本实施方式的车载网络管理系统所提供的服务的形态的一例的图。车载网络管理系统具备组1000、数据中心运营公司1100以及服务提供商1200。
组1000例如是企业、团体或家庭等,其规模不限。组1000包括多个车辆1010(第一车辆、第二车辆等),各车辆具备网关1020。多个车辆1010包括能够与互联网连接的装置(网关1020、主控单元、Telematics模块等)以及凭其自身不能与互联网连接的装置(例如,发动机ECU等)。多个车辆1010的各车辆可以包括能够通过车内的网络(车载网络)等并经由网关1020或主控单元、Telematics模块等与互联网连接的各种ECU等装置。此外,各车辆也可以未必包括网关1020。用户1001可以使用多个车辆1010中的车辆。
数据中心运营公司1100具备云服务器1110。云服务器1110是经由互联网与各种设备合作的计算机,例如虚拟服务器。云服务器1110例如对通过通常的数据库管理工具等难以处理的庞大数据(大数据)等进行管理。数据中心运营公司1100进行数据的管理、云服务器1110的管理、进行这些管理的数据中心的运营等。此外,数据中心运营公司1100不限于只进行数据的管理或者云服务器1110的管理的管理公司,也可以是一并经营其他事业的公司,例如,也可以是开发或制造多个车辆1010的全部或一部分车辆的汽车制造从业者(车辆制造商)。另外,数据中心运营公司1100不限于一个公司,例如,如图1B所示,在车辆制造商和管理公司共同或分担地进行数据的管理或者云服务器1110的管理的情况下,车辆制造商以及管理公司这两者可以相当于数据中心运营公司1100。另外,也可以是车辆制造商和管理公司的仅一方作为数据中心运营公司1100发挥功能。此外,上述的云服务器1110可以通过用于实现数据的管理等所需的功能的特定程序来实现。
服务提供商1200具备服务器1210。服务器1210例如由一台或多台计算机来实现,其规模不限,既可以具备大容量的硬盘等储存器(storage)来作为存储介质,也可以只具备例如PC内的存储器等。此外,也可以是服务器1210本身不具备存储介质而利用外部的存储介质。另外,服务提供商1200有时也会不具备服务器1210。
接着,说明上述形式的车载网络管理系统中的信息的流动。
首先,组1000的多个车辆1010(第一车辆、第二车辆等)分别向数据中心运营公司1100的云服务器1110发送在各车辆中逐次取得的信息即日志信息。云服务器1110接收并汇集各车辆的日志信息。在此,各车辆向云服务器1110发送的日志信息,例如是与在构成车载网络的CAN总线上流动的帧(消息)的内容、接收定时(间隔、频度等)有关的信息。对于日志信息,作为在CAN总线上流动的帧的内容或者作为另外的信息,可包括加速器、制动器等的变位量、变速杆(变速齿轮)的状态、发动机的转速、转向机构的操舵角、车速等车辆状态信息、和/或车辆位置的信息等。各车辆所发送的日志信息还包括车辆的识别信息(车辆ID),另外,也可以包括通过路车间通信、车车间通信等从与该车辆无线连接的设备取得的各种信息。此外,日志信息可经由互联网从多个车辆1010的各车辆自身直接地或经由路侧机等其他装置向云服务器1110发送。
接着,数据中心运营公司1100的云服务器1110向服务提供商1200提供基于所汇集的日志信息的信息。例如,云服务器1110将基于所汇集的日志信息的信息实时地或在任意的时刻向服务提供商1200的服务器1210发送。该基于日志信息的信息既可以是包括与日志信息的至少一部分相同信息的信息,也可以不包括该相同信息而是作为对日志信息实施了运算等处理的结果的信息。另外,该基于日志信息的信息的发送的单位也可以是任何单位。服务器1210取得来自云服务器1110的信息。
并且,服务提供商1200(例如服务器1210)对应于来自云服务器1110的信息,确定用于向用户1001或多个车辆1010提供的提供用信息,将该提供用信息向云服务器1110发送以便能够向用户1001或多个车辆1010提供。提供用信息例如可以是用于向用户1001警告的信息、用于车辆的行驶控制等的信息等。云服务器1110将来自服务器1210的提供用信息向多个车辆1010中的一台以上的车辆转送或者将作为对该提供用信息实施了运算等处理(以符合向用户提供的服务的方式对信息进行整理的处理等)的结果的信息向该车辆发送。接收到该信息的车辆基于该信息进行动作,例如通过显示器等用户接口向用户1001提供信息。被提供信息的用户既可以是使用多个车辆1010的某一车辆的用户1001,也可以是外部的用户1002。用户1002例如也可以是车辆制造商、ECU供应商(ECU vendor,ECU supplier)等。此外,也可以取代服务提供商1200而是数据中心运营公司1100的云服务器1110将基于日志信息的信息整理成符合向用户1001提供的服务。另外,也可以是云服务器1110将如此整理后的信息向服务提供商1200发送。另外,也可以是服务器1210不经由云服务器1110而通过与多个车辆1010中的一台以上的车辆进行通信,由此进行日志信息的取得以及提供用信息的提供。另外,也可以是,省略服务提供商1200,云服务器1110基于所汇集的日志信息,确定提供用信息,并将该提供用信息向用户1001或多个车辆1010提供。
另外,车载网络管理系统也可以是与上述的例子不同的形式。例如,在车载网络管理系统中,也可以省略数据中心运营公司1100以及服务提供商1200。例如,也可以是,多个车辆1010的某一车辆具备与从本车辆以及一台以上的其他车辆汇集日志信息的云服务器1110同样的功能,基于所汇集的日志信息来确定提供用信息,将该提供用信息由本车辆活用或者向其他车辆提供。
(实施方式1)
以下,对包括搭载有供多个电子控制单元(ECU)经由CAN总线进行通信的车载网络(车载网络系统)的多台车辆和服务器(异常检测服务器)的车载网络管理系统、以及作为在该车载网络管理系统中使用的安全技术的安全处理方法进行说明。安全处理方法是如下方法:为了能够适当地应对在某车辆的车载网络中被发送到搭载于该车辆的各ECU间的通信所使用的CAN总线上的帧被怀疑是攻击帧等情况,针对该帧进行异常度的估算等。异常度的估算,对于针对异常帧灵活地采取安全对策(警告通知、防御等)是有用的。攻击帧是由不正常的攻击者发送到CAN总线的帧,例如是实施针对车辆的行驶功能(行走、拐弯、停止等功能)的攻击的帧或者这样的攻击实施的前阶段(攻击预兆)用的帧等。
在此,以异常检测服务器为中心来说明车载网络管理系统,所述异常检测服务器是会从多个车辆(汽车)收集并分析日志信息(在车载网络发送的帧的信息、车辆ID等)的异常检测服务器,针对被发送到某车辆内的CAN总线上的帧进行异常度的估算,根据异常度向该车辆或其他车辆发送信息(用于警告、行驶控制等的信息)。此外,异常检测服务器既可以是搭载于一台车辆的装置,也可以是上述的云服务器1110或者服务器1210,但在此设想是上述的云服务器1110的例子来进行说明。
[1.1车载网络管理系统的整体结构]
图2是表示本实施方式的车载网络管理系统的整体结构的图。车载网络系统是异常检测服务器80和车辆1010a、1010b、1010c、1010d、1010e、1010f由成为通信路径的网络81连接而构成的。网络81可包括互联网等。异常检测服务器80相当于图1A所示的云服务器1110,车辆1010a、1010b、1010c、1010d、1010e、1010f相当于图1A所示的多个车辆1010。车辆1010a、1010b、1010c、1010d、1010e、1010f具备车载网络,该车载网络连接于车内的控制装置、传感器、致动器、用户接口装置等各种设备,包括经由车内的总线(CAN总线)进行涉及帧的通信的多个ECU而构成。在各车辆的车载网络中,各ECU遵循CAN协议进行通信。CAN协议中的帧有数据帧、远程帧、过载帧以及错误帧。在此,主要着眼于数据帧来进行说明。此外,在CAN中,数据帧被规定为包括保存ID(消息ID)的ID域、表示数据长度的DLC(Data LengthCode,数据长度码)、保存数据的数据域等。
车辆1010a、1010b为车型A,车辆1010c、1010d为车型B,车辆1010e、1010f为车型C。在此,车型相同的车辆彼此的车载网络的结构相同。即,在此的车型相同的车辆例如是型式(车辆型式)相同的车辆,是作为车辆的识别信息的车辆ID的一部分相同的车辆。作为一例,车型相同的车辆是车台编号中的型式的值或者车辆识别编号(VIN:VehicleIdentification Number)中的从开头到序列编号之前为止的位的值相同的车辆。在相同车型的多个车辆中,与在车载网络的CAN总线中流动的数据帧(消息)的利用有关的规格(每个消息ID的数据域的内容的规定等)相同。另外,在车型不同的车辆彼此中,有时也具备同种ECU。所谓同种ECU,是结构相同的ECU,例如是由相同的制造从业者(ECU供应商)制造的同型式的ECU,另外,也可以包括用于实现主要功能的结构相同的ECU。当在车型不同的车辆彼此中搭载有同种ECU的情况下,该各车辆的同种ECU所发送的帧的ID(消息ID)可能会互不相同。
[1.2车载网络系统的结构]
图3是表示车型A的车辆1010a(车辆1010b也同样)中的车载网络系统的结构的一例的图。在其他车型的车辆中,具备与图3所示的结构同样的结构或者局部不同的结构等。
车辆1010a等中的车载网络系统构成为包括利用总线(CAN总线)10~70连接的多个ECU(ECU100、101、200、201、300、301、302、400、401、500、600、700)和网关90等各节点。此外,虽然在图3中进行了省略,但在车载网络系统中可能会包括更多ECU。ECU例如是包括处理器(微处理器)、存储器等数字电路、模拟电路、通信线路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如通过处理器按照控制程序(计算机程序)进行工作,ECU会实现各种功能。此外,计算机程序是为了达成预定功能而组合多个表示对处理器的指令的命令码而构成的。
在总线10上,连接有包括分别与发动机110、变速器111连接的ECU(发动机ECU)100以及ECU(变速器ECU)101在内的与马达、燃料、电池的控制这样的车辆的“行走”(行驶)关联的驱动系统的ECU。
在总线20上,连接有包括分别与制动器210、转向机构(steering)211连接的ECU(制动器ECU)200以及ECU(转向机构ECU)201在内的与“拐弯”、“停止”等这样的车辆的举动等的控制关联的底盘系统的ECU。
在总线30上,连接有包括分别与自动制动器310、车道维持装置311、车车间通信装置312连接的ECU300、ECU301以及ECU302在内的与车间距离维持功能、防撞功能、安全气囊等关联的安全舒适功能系统的ECU和车车间通信用的ECU。
在总线40上,连接有包括分别与车门410、车灯411连接的ECU400以及ECU401在内的与空调机、方向指示器(winker)等这样的车辆装备的控制关联的车体系统的ECU。
在总线50上,连接有包括与仪表板510连接的ECU500(主控单元,head unit)在内的与车载导航、音频等关联的信息系统的ECU。此外,仪表板510和主控单元(ECU500)的功能分担可以是任何形式的。
在总线60上,连接有包括与ITS(Intelligent Transport Systems,智能传输系统)装置610连接的ECU600在内的与ETC(Electronic Toll Collection System,电子收费系统)等高速道路交通系统关联的ITS系统的ECU。
在总线70上,连接有与用于与例如OBD2(On-Board Diagnostics2)等这样的外部的诊断工具(故障诊断工具)等通信的接口即诊断端口710连接的ECU700。此外,也可以除去ECU700而将诊断端口710连接于总线70。在此所示的与连接于各总线的ECU连接的设备只不过是一例,例如也可以替换为其他的一台或多台设备,还可以省略。
ECU(ECU100、200等)分别取得所连接的设备(发动机110、制动器210等)的状态,定期地向车载网络即CAN总线发送表示状态的帧等。
与总线10连接的ECU100、101、与总线20连接的ECU200、201以及与总线30连接的ECU300、301、302是支持MAC之ECU,具有处理消息认证码(MAC)的功能(MAC的生成功能、MAC的验证功能)。另外,与总线40连接的ECU400、401、与总线50连接的ECU500、与总线60连接的ECU600以及与总线70连接的ECU700是不支持MAC之ECU,不具有处理MAC的功能(MAC的生成功能、MAC的验证功能)。
网关90是连接不同的多个通信路径并在通信路径间转送数据的网关装置。网关90与总线10、总线20、总线30、总线40、总线50、总线60以及总线70连接。也就是说,网关90是具有将从一方的总线接收到的帧(数据帧)在一定条件下向其他总线(即,根据条件选择出的转送目的地总线)转送的功能的一种ECU。网关90具备用于与车辆外部的异常检测服务器80通信的通信装置(通信线路等),例如具有将关于从各总线接收到的帧的信息发送(上传)到异常检测服务器80的功能。关于网关90的结构,在后面进行详细说明。
[1.3异常检测服务器的结构]
图4是服务器(异常检测服务器)80的构成图。用于应对在车辆1010a等的车载网络发送的异常帧的异常检测服务器80,例如通过具备处理器、存储器、通信接口等的计算机来实现,构成为包括通信部810、认证处理部820、日志收集处理部830、日志分析处理部840、安全信息生成部850、车辆信息DB860、车辆日志保存DB870、分析结果保存DB880以及安全信息DB890。车辆信息DB860、车辆日志保存DB870、分析结果保存DB880以及安全信息DB890例如可通过存储器、硬盘这样的存储介质等来实现。另外,认证处理部820、日志收集处理部830、日志分析处理部840以及安全信息生成部850各自的功能,例如可通过由处理器执行存储器所保存的控制程序来实现。
通信部810通过通信接口、执行存储器所保存的控制程序的处理器等来实现。通信部810通过经由网络81与车辆1010a、1010b、1010c、1010d、1010e、1010f进行通信,逐次接收与在各车载网络的CAN总线上流动的帧(消息)有关的信息等日志信息。日志信息例如包含与在车载网络从CAN总线接收到的帧(消息)的内容、接收定时(间隔、频度等)有关的信息。通信部810作为通过接收来取得关于在各车辆的车载网络中接收到的帧的信息的取得部发挥功能。另外,通信部810发送与安全信息生成部850所生成的安全性有关的发送用信息。发送用信息例如是将车辆的乘员等作为对象的用于警告(alarm)通知的提示用信息、表示车辆的行驶等的控制指示的控制信息、用于指示在车辆中适用加密处理时所使用的密钥的更新的控制信息、用于在车辆侧检测涉及帧的不正常的不正常检测用信息等。
认证处理部820具备加密处理功能,在与车辆(车辆1010a、1010b、1010c、1010d、1010e、1010f)通信时,负责在车辆与异常检测服务器80之间进行的相互认证,通过加密处理来建立安全的通信路径。例如,认证处理部820可通过加密处理功能,基于相互认证,对通信部810接收到的来自车辆的加密后的日志信息进行解密,对用于向车辆发送的发送用信息进行加密。另外,异常检测服务器80在将信息加密地保存于各种DB时,利用认证处理部820的加密处理功能。
日志收集处理部830将从各车辆收集到的日志信息的内容即各种数据(关于在车载网络接收到的帧的信息等)保存于车辆日志保存DB870。日志收集处理部830也可以在将各种数据向车辆日志保存DB870进行保存时,对各种数据实施预定的标准化等的处理。关于车辆日志保存DB870所保存的数据(车辆日志信息),后面使用图5来说明。
日志分析处理部840具有如下功能:通过使用车辆日志保存DB870所保存(蓄积)的从各车辆收集到的日志信息进行分析,估算与在某车辆的车载网络接收到的帧是否异常(是否因攻击者而在该车载网络中流动了攻击帧)关联的指标即异常度。日志分析处理部840可针对所汇集的日志信息所表示的关于从各车辆收集到的多个帧的信息(多个帧各自的内容、接收定时等信息),例如进行统计处理等。日志分析处理部840作为如下的估算部发挥功能,该估算部基于由通信部810(取得部)取得的关于多个帧的信息和在关于该多个帧的取得之后由取得部取得的关于在一车辆(例如车辆1010a)的车载网络中接收到的帧的信息,估算在该一车辆的车载网络中接收到的该帧的异常度。
日志分析处理部840例如也可以构建预定模型,基于逐次取得的日志信息使用机器学习将预定模型调整(更新)为更适当的模型,所述预定模型是关于在正常状态下在车载网络中流动的各帧的预定模型,能够用于与异常状态的比较用。该情况下,日志分析处理部840可对所汇集的日志信息所表示的关于多个帧的信息适当实施加工处理(例如多变量解析等),为了预定模型的学习而供给。在预定模型的学习中,可以使用有教师学习、无教师学习的任一方式。例如,在各车辆的车载网络系统中,具有基于预定规则对有不符合该规则的帧(不正常帧)在CAN总线中流动这一情况进行检测的不正常检测功能的情况下,也可以使表示是不正常帧还是非不正常的帧的区别的信息包含于日志信息,在日志分析处理部840中,也可以基于该表示区别的信息,针对预定模型进行有教师学习。另外,在日志分析处理部840中,也可以从各车辆收集关于非不正常帧的帧的日志信息或者不对是否为不正常帧进行区别而收集日志信息,基于这些日志信息,对预定模型进行无教师学习。该预定模型被利用于关于在某车辆的车载网络接收到的帧的异常度(异常的程度)的估算。预定模型的内容只要是能够在该帧的异常度的估算中使用即可。对于异常度,例如通过关于该帧的信息与预定模型的比较(即,使用了关于帧的信息和预定模型的运算处理)来估算。日志分析处理部840例如可基于相同车型的各车辆中的日志信息,以表现关于在正常状态下在车载网络接收的帧的特征量(包括帧的内容、接收间隔、接收频度等各成分的特征向量等)的分布的方式构建预定模型,来作为用于估算异常度的预定模型。此外,预定模型例如也可以是以异常度为目标变量且以日志信息为说明变量的情况下的目标变量与说明变数之间的关系的模型。对于异常度,例如可规定为以无异常(正常)为0(零)、在有异常的情况下取与异常的程度相应的正数值。对于异常度,也可以取0(例如无异常)和1(例如有异常)这二值,还可以将有异常分成多个阶段来取三值以上。也可以是在异常度超过预定阈值的情况下判别为有异常这样的活用。作为一例,对于在某车辆的车载网络接收到的帧的异常度,能够通过该帧的特征量是否位于如下范围内来进行估算,所述范围以对与基于已汇集的日志信息确定的预定模型所表示的特征量的分布(例如由平均值和方差确定的正态分布)对应的标准偏差乘以预定系数(例如3)而确定的阈值作为边界,另外,能够通过使用多个预定系数来按多个阶段估算异常度。作为用于估算异常度的预定模型的构建所使用的方法,存在离群值检测、检测时间序列上的急剧变化的变化点检测等。
如此,日志分析处理部840基于所汇集的日志信息(车辆日志信息)所表示的关于在各车辆的车载网络接收到的多个帧的信息,估算在关于该多个帧的接收之后在某车辆的车载网络中接收到的帧的异常度。在某车辆的车载网络中接收到的帧的信息,也能够从该车辆的日志信息来获得。并且,由日志分析处理部840估算出的异常度,被用于由安全信息生成部850生成的发送用信息的内容的决定、发送用信息的发送目的地的车辆的范围的决定、发送用信息的发送定时(时期)的决定等。在通过针对在某车辆的车载网络接收到的帧估算出的异常度而判别为有异常的情况(即检测到攻击帧的情况)下,日志分析处理部840使安全信息生成部850由该车辆在一定条件下向其他车辆发送发送用信息(警告的通知等)。日志分析处理部840逐次进行基于所汇集的日志信息的统计处理、预定模型的更新(学习)、在某车辆的车载网络接收到的帧的异常度的估算等各种分析处理。并且,日志分析处理部840将该分析处理的结果(例如表示更新后的预定模型的信息、与所估算出的异常度有关的信息等)保存并存储于分析结果保存DB880,在下次的分析处理(帧的异常度的估算等)中进行利用。
安全信息生成部850参照车辆信息DB860所保持的车辆信息(参照图6)和安全信息DB890所保存的攻击进程信息(参照图7)及警告等级信息(参照图8),根据由日志分析处理部840估算出的关于在某车辆的车载网络接收到的帧的异常度,决定与安全性有关的发送用信息的内容,决定发送用信息的发送目的地的车辆的范围(是否向相同车型的车辆发送预定的发送用信息等),决定发送用信息的发送时期。关于这些决定,后面使用图6~图8来叙述。按照这些决定,安全信息生成部850进行发送用信息的发送的控制,即,使通信部810向发送目的地的车辆发送发送用信息。
[1.4车辆日志信息]
图5是表示异常检测服务器80的车辆日志保存DB的内容即车辆日志信息的一例的图。如该图所示,车辆日志信息是针对车辆制造商所制造的各种车辆,对车型、用于按每个车型识别车辆的车辆ID、关于搭载于车辆的各ECU的ID、以及关于该各ECU所发送的帧的信息即CAN日志进行关联地表示的信息。该车辆日志信息通过异常检测服务器80汇集从各车辆取得的日志信息来生成。在此,CAN日志例如表示CAN的帧的识别信息(ID(消息ID))、帧的发送周期(接收周期)、帧的DLC所表示的数据长度、作为帧的数据域的内容的数据等,是基于从各车辆接收到的日志信息的内容而得到的信息。此外,CAN日志的各信息也可以是对关于日志信息所表示的CAN的帧的特征量(例如特征向量等)进行了标准化后的信息。此外,车辆日志信息中的车型例如可基于车辆ID来确定。
通过基于该车辆日志信息的分析处理,在日志分析处理部840中,进行关于在某车辆的车载网络接收到的帧的异常度的估算等。
[1.5车辆信息DB]
图6是表示异常检测服务器80的车辆信息DB所保持的车辆信息的一例的图。如该图所示,车辆信息是按每个车型使该车型的车辆所搭载的ECU的ID(用于识别ECU的种类的型式等)与该ECU所发送的帧的ID(CAN的消息ID)相关联的信息。车辆信息按每个车型包含搭载于该车型的车辆的全部ECU的ID和该各ECU要发送的帧所涉及的CAN的消息ID,但为了便于说明,在图6中只示出了一部分ECU的ID以及该ECU所发送的一部分帧的ID。
图6的例子示出车型A的各车辆搭载有发送CAN的消息ID“100”的帧和消息ID“101”的帧的、ECU的ID“001”的ECU和发送CAN的消息ID“200”的帧的、ECU的ID“002”的ECU。另外,示出车型B的各车辆具备发送CAN的消息ID“110”的帧和消息ID“111”的帧的、ECU的ID“001”的ECU和发送CAN的消息ID“301”的帧的、ECU的ID“003”的ECU。在该例中,示出了:车型A的车辆和车型B的车辆搭载有同种(相同种类)的ECU(ID“001”的ECU),但关于各个ECU所发送的帧的CAN的消息ID互不相同。如此,同种ECU可搭载于多个车型的车辆。关于搭载于不同车型的各车辆的同种ECU分别发送的帧,仅是帧的消息ID可能不同,其他的帧的内容(DLC所表示的数据长度、数据域的数据等)、帧的发送周期等相同。
通过参照该车辆信息,安全信息生成部850能够在与异常度相应的一定条件下,使搭载有与在某车辆发送了异常帧的ECU同种的ECU的车型的车辆包含于与安全性有关的发送用信息的发送目的地。根据图6的例子,在由车型A的某车辆的车载网络接收到的CAN的消息ID为“100”的帧的异常度符合有异常的情况下,ECU的ID“001”的ECU有可能正被攻击者控制。该情况下,在一定条件下,安全信息生成部850进行控制,以对搭载有同种的ID“001”的ECU的车型A以及车型B的各车辆,发送与安全性有关的预定的发送用信息。
[1.6攻击进程信息]
图7表示安全信息DB890所保持的攻击进程信息的一例。攻击进程信息是将因发送攻击帧而实现的攻击者的攻击分成多个阶段(在此为4个攻击进程)并对各攻击进程关联有警告等级的信息。在图7的例子中,攻击进程信息使攻击进程以及检测到该攻击进程的攻击的次数(检测数)的组合与5阶段的各警告等级相关联。该检测数既可以是累计的检测数也可以是一定单位期间内的检测数。警告等级表示安全性上的重要度,是为了对异常检测服务器80向车辆发送的与安全性有关的发送用信息所涉及的发送形式进行区别而使用的指标。关于与警告等级相应的发送用信息的各发送形式,后面使用图8来叙述。
如图7所示,攻击进程被大致分为攻击预兆和攻击。分成3阶段的进程1~3是攻击预兆的攻击进程。另外,进程4是攻击的攻击进程。对于攻击进程,设想通过攻击者大致按进程1、2、3、4的顺序来执行,但不一定按进程1、2、3、4的顺序执行。
以下,按每个攻击进程,对所设想的攻击者的攻击预兆或攻击、攻击进程的判别方法的例子、以及警告等级进行说明。
[1.6.1进程1]
通常,车载网络所使用的CAN的帧(消息)所涉及的规格(例如各消息ID的帧的内容、用途等)是非公开的。因此,作为攻击的准备,攻击者首先针对一台车辆,经由诊断端口(例如图3的诊断端口710),不正常地向车载网络输入各种各样的CAN的帧(消息),一边确认车辆的举动一边解析CAN的帧所涉及的规格。该解析行为通过反复试错(try and error)来进行,直到弄清楚所希望的攻击消息的CAN的帧所涉及的规格为止。另外,为了在CAN的帧所涉及的规格的解析之外向CAN总线送入攻击帧,寻找车载网络的缺陷(脆弱性)。在攻击进程信息中,将该攻击的准备阶段设定为攻击预兆的进程1。
安全信息生成部850例如在被估算出表示有异常的异常度的帧的消息ID为规定为除在车载网络的正常状态下与车载网络连接的各ECU要发送的消息ID之外的消息ID、或者该帧的接收间隔(发送间隔)与正规帧不同等情况下,可判别为是攻击预兆的进程1。另外,安全信息生成部850例如在被估算出表示有异常的异常度的帧的消息ID是诊断命令的消息ID、且是不符合进程1之上(重要度高)的进程的ID的情况下,可判别为是攻击预兆的进程1。此外,诊断命令例如是包含作为与诊断端口连接的正规的诊断工具要利用而预先规定的特定的消息ID(诊断用消息ID)在内的帧。此外,作为攻击预兆的进程1的判别方法,也可以使用其他的任何方法。
攻击进程信息使进程1与检测数无关而与警告等级的“1”相关联。因此,安全信息生成部850在判别为进程1的情况下,以与警告等级的“1”对应的发送形式,进行向车辆发送发送用信息的控制。
[1.6.2进程2]
如果在某特定车型的车辆的车载网络所涉及的设备或者ECU发现了脆弱性,则攻击者尝试冲破该脆弱性,例如使该设备或ECU处于控制下。例如,设为主控单元(ECU500)存在脆弱性、且主控单元是能够从外部网络下载应用程序等软件的规格。该情况下,设为攻击者公开面向主控单元的恶意软件(存在进行不正常动作的恶意的软件等),使用户下载恶意软件,欲冲破脆弱性。另外,攻击者也可能会经由与主控单元连接的外部设备来冲破其脆弱性。例如,如果主控单元能够与智能手机连接,则攻击者在互联网上的网站等公开智能手机用的恶意软件,使用户下载,在用户将智能手机与主控单元进行了连接时,可能会由智能手机上的恶意软件冲破主控单元的脆弱性。并且,攻击者为了冲破主控单元的脆弱性并构建用于不正常地访问CAN总线的攻击基础,考虑通过恶意软件来不正常地改写主控单元中的软件(固件等)来使主控单元处于控制下。在攻击进程信息中,将该攻击准备的阶段设定为攻击预兆的进程2。另外,如果V2X(车车间通信(V2V:Vehicle to Vehicle)以及路车间通信(V2I:Vehicle to Infrastructure))用的ECU(例如ECU302)这样的与外部网络直接连接的ECU存在脆弱性,则攻击者可能不经由主控单元等而驾驭该ECU并不正常地改写该ECU的软件。这些成为能够不正常地访问CAN总线的状态的行为的阶段,也相当于攻击预兆的进程2。即,将进行不正常地改写ECU的软件(固件等)的处理的阶段设为攻击预兆的进程2。
安全信息生成部850例如在被估算出表示有异常的异常度的帧的消息ID为作为ECU的固件更新用的帧的ID而规定的消息ID等情况下,可判别为是攻击预兆的进程2。此外,作为攻击预兆的进程2的判别方法,也可以使用其他的任何方法。例如,也可以使用对固件更新用的帧未在适当的更新时期却在CAN总线上进行了流动进行确认的方法。
攻击进程信息使进程2在检测数为1的情况下与警告等级的“2”相关联,在检测数超过1的情况下与警告等级的“3”相关联。因此,安全信息生成部850在判别为进程2的情况下,如果检测到该进程2的次数为1,则以与警告等级的“2”对应的发送形式,进行向车辆发送发送用信息的控制,如果检测到进程2的次数为多次,则以与警告等级的“3”对应的发送形式,进行向车辆发送发送用信息的控制。
[1.6.3进程3]
设为,当通过在攻击预兆的进程2中恶意软件不正常地改写ECU的软件等而在某特定车型的车辆的车载网络中构建了攻击基础之后,恶意软件为了确认恶意软件自身当前访问的车辆的车型等的信息,向CAN总线发送诊断命令等,由此取得车辆ID、ECU信息(ECU ID、ECU的名称等)等。在攻击进程信息中,将该阶段设定为攻击预兆的进程3。
安全信息生成部850例如在被估算出表示有异常的异常度的帧的消息ID为用于取得车辆ID、ECU信息等的诊断命令的消息ID的情况下,可判别为是攻击预兆的进程3。此外,作为攻击预兆的进程3的判别方法,也可以是其他的任何方法。
攻击进程信息使进程3在检测数为1的情况下与警告等级的“3”相关联,在检测数超过1的情况下与警告等级的“4”相关联。因此,安全信息生成部850在判别为进程3的情况下,如果检测到该进程3的次数为1,则以与警告等级的“3”对应的发送形式,进行向车辆发送发送用信息的控制,如果检测到进程3的次数为多次,则以与警告等级的“4”对应的发送形式,进行向车辆发送发送用信息的控制。
[1.6.4进程4]
当在攻击预兆的进程3中恶意软件取得了车型等信息之后,恶意软件访问攻击者的不正常服务器,从不正常服务器接收表示与该车型对应的CAN的攻击用帧的发送步骤等的CAN攻击集(set)。CAN攻击集例如是攻击者准备的集,以针对每个车型的车辆的车载网络表示用于不正常地控制车辆的行驶等的帧群的内容以及发送顺序等。恶意软件通过基于CAN攻击集来向CAN总线发送攻击帧,由此推动攻击并不正常地控制车辆。在攻击进程信息中,将该阶段设定为攻击的进程4。
安全信息生成部850例如在被估算出表示有异常的异常度的帧的消息ID符合在接收到该帧的车辆中作为重要控制用的帧的ID而规定的多个消息ID的某一个的情况下,可判别为是攻击的进程4。重要控制用的帧能够鉴于重要性而任意规定,但例如是与行驶关联的帧。与行驶关联的帧例如是规定为由与“行走”、“拐弯”、“停止”等车辆的行驶以及举动的控制关联的驱动系统以及底盘系统的ECU(例如发动机ECU、变速器ECU、制动器ECU、转向机构ECU等)发送的帧。此外,作为攻击的进程4的判别方法,也可以使用其他的任何方法。例如,也可以使用如下方法:通过对表示车辆内的致动器的控制指示的帧的内容与表示对致动器的作用进行了反映的车辆的状态的帧的内容进行比较,判别是否正受到攻击。
攻击进程信息使进程4在检测数为1的情况下与警告等级的“4”相关联,在检测数超过1的情况下与警告等级的“5”相关联。因此,安全信息生成部850在判别为进程4的情况下,如果检测到该进程4的次数为1,则以与警告等级的“4”对应的发送形式,进行向车辆发送发送用信息的控制,如果检测到进程4的次数为多次,则以与警告等级的“5”对应的发送形式,进行向车辆发送发送用信息的控制。
[1.7警告等级信息]
图8表示安全信息DB890所保持的警告等级信息的一例。警告等级信息是表示每个警告等级的发送用信息的发送形式的信息。在图8的例子中,将警告等级分成5阶段。大致上,警告等级越高,则重要度越高。对于发送形式的要素,存在发送目的地的车辆的范围、发送用信息的内容、发送用信息的发送时期等。在图8的例子中,将发送目的地的车辆的范围分类为3个类别(类别A、B、C)。类别A表示将观测到攻击预兆或攻击的车辆(即在车载网络中接收到攻击帧的车辆)设为发送目的地。类别B以及类别C,是针对与在车载网络中接收到攻击帧的车辆具有预定关系的车辆(相同车型或者具有同种ECU的车辆)而规定的。类别B表示将与观测到攻击预兆或攻击的车辆相同车型的车辆设为发送目的地。类别C表示将具有与观测到攻击预兆或攻击的ECU(即在车载网络中接收到攻击帧的车辆中发送与攻击帧相同ID的帧的ECU)同种的ECU且其他车型的车辆设为发送目的地。另外,在图8的例子中,作为发送用信息的内容,示出了警告(用于对车辆的乘员等进行警告的信息即对警告的提示进行指示的信息)和控制信息(指示向预先确定的安全行驶转换的信息、动力转向功能的抑制、自动驾驶的抑制等这样的指示功能退缩的信息等)。指示向预先确定的安全行驶转换的信息,例如是指示低速驾驶(行驶速度的减速)的信息、指示车辆行驶的停止(在路边停车等)的信息等。另外,在图8的例子中,关于发送信息的发送时期,分成即时通知(即时发送)和通知(车辆的发动机启动时的通知、按1日1次等的通知等进行发送)。
安全信息生成部850按照与警告等级信息所表示的警告等级对应的发送形式,决定发送用信息的内容并进行发送用信息的发送的控制。在图8的例子中,警告等级的“5”对应于如下的发送形式:向类别A的车辆即时通知(发送)警告和使车辆向安全状态转换的控制信息,向类别B、C的车辆即时通知警告。警告等级的“4”对应于如下的发送形式:向类别A的车辆即时通知(发送)警告和使车辆向安全状态转换的控制信息,向类别B、C的车辆不进行通知。警告等级的“3”对应于如下的发送形式:向类别A、B的车辆即时通知警告,向类别C的车辆不即时地通知警告。警告等级的“2”对应于如下的发送形式:仅向类别A的车辆即时通知警告,向类别B、C的车辆不进行通知。警告等级的“1”对应于如下的发送形式:仅向类别A的车辆不即时地通知警告,向类别B、C的车辆不进行通知。此外,安全信息生成部850不仅进行向车辆发送发送用信息的控制,还可以进行向车辆制造商、ECU供应商的计算机等这样的装置发送表示警告通知的信息等的控制。
在从异常检测服务器80接收到以上述的警告作为内容的发送用信息的车辆中,以使车辆的驾驶员等乘员识别的方法进行警告的提示。对于该警告的提示,例如通过在仪表板510显示警告标记或劝告去往汽车经销商的警告消息、鸣响警报、点亮警告灯等、对方向盘(steering wheel)和/或制动器踏板等施加振动等来实现。另外,在从异常检测服务器80接收到以上述的控制信息作为内容的发送用信息的车辆中,车辆内的ECU等各种设备进行与基于控制信息的指示相应的动作。基于控制信息的指示,除了低速驾驶、在路边停车等向预先确定的安全行驶转换的指示、功能退缩的指示等之外,也可以是用于使车辆成为安全状态的任何指示。
[1.8网关的结构]
图9表示某车辆(例如车辆1010a)的车载网络中的网关90的结构。如该图所示,网关90构成为包括帧收发部901、帧解释部902、不正常帧检测部903、规则保持部904、帧生成部905、转送控制部906、转送规则保持部907、密钥处理部920、密钥保持部921、帧上传部950、不正常检测通知部930以及更新处理部940。这些各构成要素的各功能例如通过网关90中的通信线路、执行存储器所保存的控制程序的处理器或数字电路等来实现。例如,帧上传部950以及更新处理部940通过用于与异常检测服务器80通信的通信线路等来实现。
帧收发部901相对于总线10、总线20、总线30、总线40、总线50、总线60以及总线70的各总线,收发遵循CAN协议的帧。帧收发部901逐比特地从总线接收帧并向帧解释部902通知。另外,基于从帧生成部905收到了通知的表示转送目的地的总线的总线信息以及发送用帧,将该帧的内容逐比特地发送到总线10、总线20、总线30、总线40、总线50、总线60以及总线70中的转送目的地的总线。
帧解释部902从帧收发部901接收帧的值,进行解释以使得向由CAN协议规定的帧格式下的各域进行映射。帧解释部902将接收到的帧的各域的信息通知给不正常帧检测部903。此外,帧解释部902在判断为所接收到的帧是未遵循CAN协议的帧的情况下,向帧生成部905进行通知,以使得发送错误帧。另外,帧解释部902在接收到错误帧的情况下、即在根据所接收到的帧的值而解释为成为错误帧的情况下,自此之后丢弃该帧,即中止帧的解释。
不正常帧检测部903参照规则保持部904所保持的表示是否为不正常帧的判定用(不正常帧的检测用)的规则或算法(例如不正常检测用程序等)的信息(不正常检测用信息),判定所接收到的帧是否为不正常帧。作为表示不正常帧的检测用的规则或算法的信息的一例,举例对允许接收的CAN的帧(消息)的条件(用于确定的信息)进行了列举的白名单、对不允许接收的条件进行了列举的黑名单等。不正常帧是不符合不正常帧的检测用的规则的帧。在判定为不正常帧的情况下,不正常帧检测部903进行控制,使得:在不正常帧正在被发送的途中,向不正常帧正在被发送的总线发送错误帧,由此使不正常帧无效化。也就是说,在检测到不正常帧的情况下,不正常帧检测部903通过使帧收发部901发送错误帧来使不正常帧无效化。另外,不正常帧检测部903将是否为不正常帧的判定结果通知给帧解释部902。在由不正常帧检测部903未判定不正常帧的情况下,帧解释部902将该帧的各域的信息通知给转送控制部906。另外,不正常帧检测部903在判定为不正常帧的情况(检测到不正常帧的情况)下,将关于该不正常帧的信息(例如,表示不正常检测之意(检测到不正常之意)的信息、或者表示不正常检测之意以及不正常帧的内容的信息)通知给不正常检测通知部930。此外,不正常帧检测部903也可以在判定为不正常帧的情况下,为了充分取得表示不正常帧的内容的信息,在等到接收到不正常帧的特定部分(例如数据域部分)之后迅速地进行使不正常帧无效化的错误帧的发送。
转送控制部906按照转送规则保持部907所保持的转送规则信息,根据接收到的帧的ID(消息ID)以及转送源总线(即接收到该帧的总线),选择转送目的地的总线,将表示转送目的地的总线的总线信息和应转送的帧的内容(例如从帧解释部902通知的消息ID、DLC(数据长度)、数据(数据域的内容)等)通知给帧生成部905,请求进行发送。
转送规则保持部907保持表示关于每条总线的帧的转送的规则的转送规则信息。转送规则信息针对可能会成为转送源的各总线,表示由该总线接收到的应转送的帧的消息ID和转送目的地的总线。另外,转送规则信息包含表示各总线是否为规定为对帧内容进行加密的总线、以及是否为规定为对帧附加MAC的总线(与支持MAC之ECU连接的总线)的信息。通过参照该信息,转送控制部906在帧的转送时进行与加密以及MAC的附加分别有关的处理。例如,转送控制部906在转送目的地支持MAC的情况下,进行控制,以使用密钥保持部921所保持的MAC密钥使密钥处理部920生成MAC,对帧附加MAC并进行转送。另外,转送控制部906在转送源支持加密的情况下,使用密钥保持部921所保持的与连接于转送源的总线的各ECU共享的加密密钥,使密钥处理部920对帧的内容进行解密。并且,在转送目的地支持加密的情况下,转送控制部906进行控制,以使用密钥保持部921所保持的与连接于转送目的地的总线的各ECU共享的加密密钥,使密钥处理部920对帧的内容进行加密并进行转送。在密钥处理部920中,关于帧的内容的加密以及基于帧的内容等进行的MAC的生成的各处理中,可以使用任何方式。MAC既可以基于例如帧的数据域内的一部分的值来生成,也可以基于将该值和其他域的值或其他信息(例如对帧的接收次数进行计数的计数器值等)进行了结合而得到的值来生成。作为MAC的计算方法,例如可以使用HMAC(Hash-based MessageAuthentication Code,基于散列运算的消息认证码)、CBC-MAC(Cipher Block ChainingMessage Authentication Code:密码块链接消息认证码)等。
帧生成部905按照来自转送控制部906的发送的请求,使用从转送控制部906通知的帧的内容来构成发送用帧,将该发送用帧以及总线信息(例如转送目的地的总线的标识符等)通知给帧收发部901。
不正常检测通知部930为了在不正常帧检测部903检测到不正常帧的情况下向驾驶员等通知不正常检测之意,进行将关于不正常帧的信息(例如,表示不正常检测之意的信息、或者表示不正常检测之意以及不正常帧的内容的信息)通知给主控单元的控制(帧收发部901的控制等)。另外,不正常检测通知部930在不正常帧检测部903检测到不正常帧的情况下,例如也可以进行将包含表示不正常检测之意的信息和关于该不正常帧的信息在内的日志信息等通知给异常检测服务器80的控制。通过该不正常检测之意将不正常帧与非不正常的帧进行区别的日志信息,例如可在异常检测服务器80中用于有教师学习。另外,表示不正常检测之意的信息,也可以通过异常检测服务器80例如为了各种通知(例如向车辆制造商、ECU供应商等这样的各种发送目的地的发送等)而利用。
更新处理部940基于从异常检测服务器80取得的信息,对规则保持部904所保持的表示不正常帧的检测用的规则或算法的信息(白名单、黑名单等)进行更新。
帧上传部950从帧收发部901逐次取得从某一条CAN总线接收到的帧,将包含关于接收到的帧的信息(例如帧的内容、接收间隔、接收频度等)的日志信息发送(上传到)异常检测服务器80。帧上传部950在日志信息中包含搭载有网关90的车辆的识别信息(车辆ID)。另外,帧上传部950也可以在日志信息中包含其他的各种信息(例如车辆状态信息、车辆位置的信息等)。作为关于接收到的帧的信息,帧上传部950也可以实施对帧的内容、接收间隔、接收频度等进行加工的加工处理,以使得在由异常检测服务器80进行统计处理、机器学习等的情况下容易处理。在此,帧的接收间隔例如是该帧的接收时刻与上次接收到和该帧相同ID的帧的时刻之差。另外,帧的接收频度例如是在一定单位时间内接收到与该帧相同ID的帧的次数。该加工处理例如是与帧有关的数据的整形、数据的分析(包括主成分分析等的多变量解析等)所涉及的处理。对于加工处理,例如是从帧的内容、接收间隔、接收频度等特征中提取特征量,进行标准化等,进行特征量的信息量的缩减等。对于特征量的信息量的缩减,例如通过如下方法等来实现:将特征量由作为各成分的特征向量来表示,基于与异常检测服务器80合作而获得的信息,通过主成分分析来削减特征向量的维数。另外,帧上传部950既可以在每当帧收发部901从CAN总线接收到帧时,将包含关于该帧的信息的日志信息发送给异常检测服务器80,也可以在接收到多个帧的阶段将包含关于该各帧的信息的日志信息发送给异常检测服务器80。但是,若将关于从CAN总线接收到的帧的信息迅速地向异常检测服务器80传达,则可能会能够使异常检测服务器80迅速地检测该帧是否异常并进行迅速的应对。另外,帧上传部950为了削减例如与异常检测服务器80的通信量,也可以无条件地或者根据通信状况来压缩日志信息并发送给异常检测服务器80,还可以不是将关于帧收发部901从CAN总线接收到的帧中的全部帧的信息而是将关于仅特定的一个或多个ID的帧的信息包含于日志信息并进行发送。
此外,对应于从异常检测服务器80进行了发送用信息的发送的情况,网关90接收该发送用信息,按照发送用信息(警告、控制信息等),经由CAN总线向预先确定的ECU发送所需信息等,由此实现警告的提示、车辆行驶的控制、功能退缩的控制等。
[1.9异常检测服务器与车辆的合作工作]
图10是表示异常检测服务器80与车辆的合作工作的一例的时序图。该图主要表示如下工作例:某车辆(车辆1010a)将包含关于由车载网络的CAN总线接收到的帧的信息(对帧的信息进行加工处理而得到的特征向量)在内的日志信息发送给异常检测服务器80、并由异常检测服务器80进行帧的异常度的估算等的处理(异常检测处理)。具体而言,示出了某车辆的网关90接收一个帧时的工作例。在该例中,示出车辆1010a将日志信息发送给异常检测服务器80的例子,但其他的各车辆(车辆1010b、1010c、1010d、1010e、1010f等)同样地对异常检测服务器80发送日志信息。以下,结合图10来说明工作例。
车辆1010a的车载网络中的与总线10连接的一个ECU(例如发动机ECU100、变速器ECU101等)开始向总线10发送CAN的帧(步骤S101)。
车辆1010a的网关90从总线10接收通过步骤S101发送的帧(步骤S102)。
网关90在正在通过步骤S101发送帧的期间,利用不正常帧检测部903,通过参照表示不正常帧的检测用的规则或算法的信息来判定通过步骤S102接收到的帧是否不正常(步骤S103)。网关90在通过步骤S103判定为不正常的情况(不正常检测的情况)下,在通过步骤S101开始了发送的帧的发送完成之前,发送错误帧来使不正常帧无效化(步骤S104)。此外,通过该错误帧的发送,会在与总线10连接的正在发送不正常帧的ECU中接收错误帧(步骤S105),当接收到错误帧时中断帧的发送(步骤S106)。另外,与总线10连接的其他ECU也通过错误帧的接收而中止通过步骤S101开始了发送的帧的接收。
网关90在通过步骤S103未判定为不正常的情况下、或者在通过步骤S104中的错误帧的发送之后,基于通过步骤S102接收到的帧的内容、接收间隔、接收频度等来确定(算出)特征量(步骤S107)。
接着,网关90通过帧上传部950,基于通过步骤S107算出的关于帧的特征量来进行加工处理(步骤S108)。帧上传部950将作为加工处理的结果的、包含关于帧的特征向量的日志信息发送给异常检测服务器80(步骤S109)。
另外,网关90除了通过步骤S103将所接收到的帧判定为不正常的情况之外,通过转送控制部906,进行帧转送处理(基于转送规则信息进行帧的转送的处理)(步骤S110)。在图10的例子中,通过帧转送处理,网关90向总线20转送帧,与总线20连接的制动器ECU200或者转向机构ECU201接收所转送的帧(步骤S111)。
异常检测服务器80从网关90接收包含关于在车辆1010a的车载网络接收到的帧的特征向量在内的日志信息(步骤S112)。然后,异常检测服务器80利用包含所接收到的特征向量的日志信息,进行异常检测处理(步骤S113)。接着,使用图11对异常检测处理进行说明。
[1.10异常检测服务器中的异常检测处理]
图11是表示异常检测服务器80中的异常检测处理的一例的流程图。以下,结合该图来说明异常检测处理。
异常检测服务器80基于从各车辆发送来的日志信息(包含关于在各车辆的车载网络接收到的帧的信息在内的日志信息),进行统计性异常检测处理(步骤S201)。统计性异常检测处理包括如下处理:参照从各车辆取得的日志信息(即作为车辆日志信息而汇集的各日志信息),基于关于在车载网络接收到的帧的信息来进行统计处理、多变量解析等,由此进行能够用于与异常状态的比较的预定模型的构建或基于机器学习的预定模型的更新。另外,统计性异常检测处理包括如下处理:通过使用了基于过去在各车辆的车载网络接收到的帧而得到的该预定模型、和从某车辆(在此设为车辆1010a。)最后取得的日志信息所包含的关于在该车辆的车载网络接收到的帧的信息(特征向量等)的运算处理(比较等),对在该车辆1010a接收到的帧的异常度进行估算。该运算处理例如可包括用于离群值检测、检测时间序列上的急剧变化的变化点检测等的处理。在异常检测服务器80中,通过上述的日志分析处理部840来估算帧的异常度。此外,异常检测服务器80对异常度进行估算的帧,并不限定于在车辆1010a的车载网络接收到的帧,也可以是在其他车辆的车载网络接收到的帧。
异常检测服务器80通过利用步骤S201的统计性异常检测处理针对帧所估算出的异常度是否高于预先确定的阈值,进行帧是否异常的判定(异常检测)(步骤S202)。
在通过步骤S202判定为帧异常的情况下,异常检测服务器80根据被判定为异常的帧的识别信息(消息ID)等,判别是例如攻击预兆、攻击等哪个阶段的攻击进程,由此使用攻击进程信息(参照图7)来进行警告等级的决定(即发送用信息的内容、发送时期、发送目的地的车辆的范围等这样的发送形式的决定)(步骤S203)。
接着,异常检测服务器80以与通过步骤S203决定的警告等级相应的发送形式进行发送用信息(警告、控制信息等)的发送(步骤S204)。由此,按照警告等级信息(参照图8),会将用于警告通知、行驶控制等的发送用信息向一台或多台车辆发送。
在步骤S204之后或者通过步骤S202判定为帧非异常的情况下,异常检测服务器80将步骤S202中的判定结果或者表示步骤S201中的统计性异常检测处理的更新后的预定模型的信息保存并存储于分析结果保存DB880(步骤S205)。另外,异常检测服务器80使从车辆1010a最后接收到的数据(日志信息)包含于车辆日志信息来进行存储(步骤S206)。此外,异常检测服务器80中的基于机器学习的预定模型的更新,例如也可以不在步骤S201的统计性异常检测处理内而在步骤S206中执行。
[1.11警告等级决定方法的变形例]
设为,针对在车辆1010a等的车载网络接收到的帧,异常检测服务器80在所估算出的异常度表示有异常的情况下,为了决定警告等级而参照图7所示那样的攻击进程信息。异常检测服务器80也可以取代使用该攻击进程信息并基于上述的帧的消息ID等判别攻击进程来决定警告等级的方法,而使用与以下所示的警告等级决定用信息相应的警告等级的决定方法。
图12A表示警告等级决定用信息的例1。该例是如下例子:以异常检测服务器80所估算出的关于想车辆的车载网络接收到的帧的异常度表示有异常时的车辆的累计数(累计台数)作为基准,根据该累计台数来使警告等级变化。累计台数越多,则警告等级越高。异常检测服务器80例如可按相同车型的车辆来估算累计台数。
图12B表示警告等级决定用信息的例2。该例是如下例子:以异常检测服务器80所估算出的关于在车辆的车载网络接收到的帧的异常度表示有异常时的车辆的每单位时间(例如数十小时等)的数量(检测台数)作为基准,根据该检测台数来使警告等级变化。每单位时间的检测台数越多,则警告等级越高。如此,通过对每单位时间的检测台数进行区别,能够在攻击急剧增加的情况下提高警告等级来进行应对。异常检测服务器80例如可按相同车型的车辆来估算检测台数。
图12C表示警告等级决定用信息的例3。该例是如下例子:以异常检测服务器80所估算出的关于在车辆的车载网络接收到的帧的异常度表示有异常时的与相同车型的车辆的位置之间的距离(例如最小距离、最大距离、平均距离等)作为基准,根据该距离来使警告等级变化。此外,除了将产生涉及帧的异常的车辆与相同车型且产生相同异常的一个或多个车辆之间的距离作为基准之外,也可以以这些全部的车辆间的相对距离的最小值、最大值或者平均值等作为基准来使警告等级变化。距离越短,则警告等级越高。如此,通过对产生了异常的车辆的距离进行区别,能够在局部产生了攻击的情况下提高警告等级来进行应对。此外,为了决定警告等级,也可以取代使用该例3这样的有异常的车辆间的距离,而使用有异常的车辆群的密度。
图12D表示警告等级决定用信息的例4。该例是如下例子:以异常检测服务器80所估算出的关于在车辆的车载网络接收到的帧的异常度表示有异常时的该帧的识别信息(CAN的消息ID)作为基准,根据该消息ID来使警告等级变化。作为警告等级决定用信息,预先按每个警告等级规定消息ID。例如,有用的是,帧的数据对车辆行驶的影响越大,则对该帧的消息ID关联越高的警告等级。
与从异常检测服务器80向车辆发送发送用信息的各种发送形式对应的警告等级的决定方法,并不限于上述的决定方法,可以使用任何基准。例如,作为警告等级的决定方法,也可以将由警告等级决定用信息的例1~例4使用的基准组合几个来进行利用。
除了根据由异常检测服务器80估算出的帧的异常度,在异常度表示有异常的情况下使用某种基准来决定警告等级的上述的各决定方法之外,也可以根据帧的异常度直接决定警告等级。图12E表示用于根据帧的异常度直接决定警告等级的警告等级决定用信息的例5。该例是如下例子:以异常检测服务器80所估算出的关于在车辆的车载网络接收到的帧的异常度作为基准,根据该异常度来使警告等级变化。异常度越高,则警告等级越高。此外,在该例5中,将异常度用整数值来表示,但异常度也可以以任何表现方式来表示。另外,也可以是,将异常度区分为多个阶段并使该各区分与上述的各攻击进程相当,基于攻击进程信息(参照图7)来决定警告等级。此外,由警告等级确定的发送形式(发送用信息的内容、发送时期、发送目的地的范围等)也可以是任何内容,例如,作为发送用信息的内容,可以使对被检测出异常帧的车辆发送的发送用信息和对与该车辆具有预定关系的车辆发送的发送用信息(预定的发送用信息)相同,也可以使其不同。
[1.12实施方式1的效果]
在实施方式1的车载网络管理系统中,执行如下的安全处理方法:异常检测服务器80从各车辆汇集关于在车载网络接收到的帧的信息等,通过机器学习等来调整预定模型,将关于在某车载网络接收到的帧的异常度通过关于该帧的信息与预定模型的比较所涉及的运算处理来估算。在预定模型中,例如大致可反映在正常状态下的各车辆的车载网络中流动的帧在什么时刻包含什么样的内容等的特征性分布。因此,可通过异常检测服务器80来检测通过基于黑名单等既有规则的不正常检测方法无法检测的异常(例如攻击预兆、未知的攻击等所涉及的攻击帧)。在异常检测服务器80中,通过进行统计性异常检测处理,也可检测非正常即异常帧中的不是不符合既有规则的帧(不正常帧)的帧。如此,通过异常检测服务器80,各车辆的车载网络的安全性可能会提高。
另外,异常检测服务器80根据所估算出的异常度,直接或并用其他基准来决定警告等级,以与警告等级对应的发送形式,向一台或多台车辆发送与安全性有关的发送用信息(警告通知等)。由此,可实现促使车辆的驾驶员等注意异常、或者控制车辆来向更安全的状态转换等。通过异常检测服务器80,例如根据攻击进程使警告等级变化等,由此可根据攻击预兆、攻击等的程度、规模等来采取适当的安全对策。异常检测服务器80在一定条件下,不仅向被检测到攻击预兆或攻击的车辆,甚至还向与该车辆相同车型的车辆或具备与被设为攻击对象的ECU同种的ECU的其他车型的车辆发送警告通知等。因此,可能变得能够将当前的攻击或者之后的攻击的影响抑制为最小限。
另外,异常检测服务器80能够检测多台车辆中的异常,因此对于检测同时频繁发生的攻击并进行应对是有用的。异常检测服务器80通过在一定条件下向车辆的驾驶员、车辆制造商、ECU供应商等发送警告通知,可能变得能够对适当地应对攻击(例如,用于将攻击防患于未然等的应对等)。
如上所述,异常检测服务器80具有基于关于帧的信息来估算该帧的异常度的功能等。因此,车辆在判定为在车载网络接收到的帧是难以判别是否为攻击帧的灰色地带(grayzone)的帧的情况下,也可以将关于该帧的信息传达给异常检测服务器80,请求进行异常度的估算或者基于该异常度判定是否异常等这样的异常检测。在该情况下,车辆通过采纳异常检测结果,变得能够适当地应对灰色地带的帧。
另外,例如,在作为安全信息共享组织的ISAC(Information Sharing andAnalysis Center)中的进行关于对汽车的网络攻击的威胁、脆弱性的信息共享、分析、对策研究等的Auto-ISAC或者同种安全性组织等中,也变得能够将异常检测服务器80所汇集的车载日志信息(从各车辆收集的各日志信息)在发生了意外事件后的分析(汽车黑匣子的分析)中进行活用。
(实施方式2)
在实施方式1中,对在异常检测服务器80检测到在某车辆的车载网络接收到的帧异常的情况下作为向车辆发送的发送用信息的内容而主要表示警告通知以及车辆的行驶等的控制指示的控制信息进行了说明。在本实施方式中,对发送用信息的内容是用于在车辆侧检测涉及帧的不正常的不正常检测用信息的例子进行说明。本实施方式中示出的车载网络管理系统的结构与实施方式1中示出的车载网络管理系统的结构(参照图2)同样。
[2.1发布不正常检测用信息的异常检测服务器]
对于异常检测服务器80,在此未特别示出之处是,具备实施方式1中示出的结构(参照图4)。
异常检测服务器80基于关于在某车辆的车载网络接收到的帧的信息来估算该帧的异常度。在该帧的异常度表示为异常的情况下,异常检测服务器80将包含表示用于在车载网络中检测与该异常相同的异常的规则或算法的不正常检测用信息在内的发送用信息发送(发布)到该车辆以及与该车辆相同车型的车辆。此外,异常检测服务器80针对各车型对管理信息(例如不正常检测用信息的版本编号等)进行管理,该管理信息识别由车辆的网关90的规则保持部904保持的表示是否为不正常帧的判定用(不正常帧的检测用)的规则或算法的不正常检测用信息的内容。
[2.2不正常检测用信息的发布的工作例]
图13是表示由异常检测服务器80进行的不正常检测用信息(规则等)的发布的工作例的时序图。
异常检测服务器80基于从各车辆发送来的日志信息,进行统计性异常检测处理(步骤S301)。该步骤S301的统计性异常检测处理与实施方式1中示出的步骤S201的处理同样。在此,以车型A的车辆1010a中的攻击帧的检测为例来说明。在步骤S301中,通过使用了基于过去在各车辆的车载网络接收到的帧而得到的该预定模型和从车辆1010a取得的日志信息所包含的关于在该车辆的车载网络接收到的帧的信息(特征向量等)的运算处理(比较等),可估算在该车辆1010a接收到的帧的异常度。
异常检测服务器80通过步骤S301的统计性异常检测处理,根据针对在车辆1010a的车载网络接收到的帧而估算出的异常度是否高于预先确定的阈值,进行帧是否异常的判定(异常检测)(步骤S302)。
在通过步骤S302判定为帧异常(即是攻击帧)的情况下,异常检测服务器80基于不正常检测用信息的管理信息等,确认是否能够利用由车辆1010a的网关90的规则保持部904保持的不正常检测用信息所表示的规则或算法来检测该异常的攻击帧(步骤S303)。
在通过步骤S303确认为不能利用由网关90的规则保持部904保持的不正常检测用信息所表示的规则或算法来检测该异常(攻击帧)的情况下,异常检测服务器80生成用于检测该异常的攻击帧的新的规则或算法(步骤S304)。此外,异常检测服务器80在通过步骤S304生成新的规则等时,也可以通过经由用户接口接收操作者等的指示来进行该生成。在通过步骤S302判定为非异常的情况下、或者在通过步骤S303确认为能够利用车辆所保持的规则等来检测该异常的攻击帧的情况下,不进行不正常检测用信息的发布。
异常检测服务器80进行关于将所生成的新的规则或算法在车辆中用于攻击帧的检测而是否没有产生问题的验证测试,仅在该验证测试成功的情况下(步骤S305),将包含表示该规则或算法的不正常检测用信息的发送用信息向包括车辆1010a的车型A的车辆发布(步骤S306)。此外,验证测试例如在模拟车辆的环境下进行。另外,在验证测试不成功的情况下,进行新的规则或算法的调整等,可在使得验证测试成功之后进行表示进行了该调整等之后的规则或算法的不正常检测用信息的发布。
接到不正常检测用信息的发布的车辆(即接收到包含不正常检测用信息的发送用信息的车辆)的网关90,通过更新处理部940,基于从异常检测服务器80取得的不正常检测用信息,更新规则保持部904所保持的表示用于不正常检测的规则或算法的不正常检测用信息(步骤S307)。
[2.3实施方式2的效果]
在实施方式2的车载网络管理系统中,在根据异常检测服务器80针对在某车辆的车载网络接收到的帧而估算出的异常度,判定为该帧为异常(攻击帧)的情况下,在一定条件下,向与该车辆相同车型的车辆,发布表示用于在车辆侧检测该异常(该攻击帧)的规则或算法的不正常检测用信息。
由此,在同样的攻击帧被发送的情况下,能够通过车辆内的装置(例如网关90)使用该不正常检测用信息,将该攻击帧检测为不符合规则的不正常帧。因此,各车辆的车载网络的安全性可能会提高。
(实施方式3)
在本实施方式中,对如下例子进行说明:异常检测服务器80对应于以通过适用加密处理技术(加密或者MAC赋予)传输数据来保护数据的方式规定的帧的异常的检测,向车辆发送密钥更新请求(包含用于指示在车辆中适用加密处理技术时所使用的密钥的更新的控制信息在内的发送用信息)。本实施方式中示出的车载网络管理系统的结构与实施方式1中示出的车载网络管理系统的结构(参照图2)同样。
[3.1异常检测服务器]
对于异常检测服务器80,在此未特别示出之处,具备实施方式1示出的结构(参照图4)。
异常检测服务器80基于关于在某车辆的车载网络接收到的帧的信息来估算该帧的异常度。在该帧的异常度表示为异常的情况下,当满足了一定条件时,异常检测服务器80向该车辆(被检测到异常帧的车辆)和与该车辆具有预定关系的车辆发送密钥更新请求。与被检测到异常帧的车辆具有预定关系的车辆例如是相同车型的车辆、搭载有同种ECU的车辆等。具有该预定关系的车辆只要是能够基于与被检测到异常帧的车辆有关的信息而确定的车辆即可,也可以是具有其他的一定关系的车辆。另外,上述的一定条件是用于推定为密码密钥(例如加密密钥)或者MAC密钥已泄露的条件,例如设为在异常帧是密钥关联消息时(即,在规定为对帧内容进行加密的帧、或者规定为对帧附加MAC的帧时)满足该一定条件。另外,对于该一定条件,还可以添加车辆的行驶状态等变得异常等的条件(用于更高精度地推定密码密钥或MAC密钥已泄露的条件)。异常检测服务器80也可以通过使用了从车辆取得的日志信息和预定模型的运算处理,判别是否能够推定为密码密钥或MAC密钥已泄露。
异常检测服务器80为了检测通过加密或MAC保护的帧的异常,使用预先确定的MAC/加密保护对象消息ID列表。图14是表示MAC/加密保护对象消息ID列表的一例的图。MAC/加密保护对象消息ID列表如图14所示,是按每个车型使该车型的车辆所搭载的ECU的ID(用于识别ECU的种类的型式等)、该ECU所发送的帧的ID(CAN的消息ID)、该消息ID的帧是否支持MAC(受MAC保护)、以及该消息ID的帧是否支持加密(受加密保护)相关联的信息。MAC/加密保护对象消息ID列表按每个车型而包含搭载于该车型的车辆的全部ECU的ID和该各ECU所发送的帧所涉及的CAN的消息ID,但为了便于说明,在图14中仅示出一部分ECU的ID以及该ECU所发送的一部分帧的ID。通过MAC/加密保护对象消息ID列表,能够确定用于适用加密处理技术来传输数据的帧用的预先规定的识别信息(消息ID)。
图14的MAC/加密保护对象消息ID列表的例子示出了由车型A的各车辆所搭载的ID“001”的ECU发送的CAN的消息ID“100”的帧受MAC保护且不受加密保护。另外,示出了由该ECU发送的CAN的消息ID“101”的帧不受MAC保护而受加密保护。另外,示出了由车型B的各车辆所搭载的ID“001”的ECU发送的CAN的消息ID“111”的帧受MAC和加密这两方保护。
[3.2与异常检测相应的密钥更新请求的工作例]
图15是表示异常检测服务器80对应于检测到被推定为密码密钥或MAC密钥已泄露的异常来进行密钥更新请求的工作例的时序图。
异常检测服务器80进行统计性异常检测处理(图11的S201),估算在某车辆(例如车辆1010a)的车载网络接收到的帧的异常度,通过该帧的异常度是否超过预定阈值来判定是否有异常(步骤S401)。
基于通过步骤S401判定为有异常的帧的消息ID,异常检测服务器80判定该帧是否为密钥关联消息(规定为对帧内容进行加密的帧或者规定为对帧附加MAC的帧)(步骤S402)。
在通过步骤S402判定为在密钥关联消息检测到异常的情况(即判定为有异常的帧是密钥关联消息的情况)下,异常检测服务器80向检测到该帧的车辆1010a以及与车辆1010a具有预定关系的车辆(在本工作例中是相同车型的车辆1010b),发送密钥更新请求(即包含用于指示在车辆中适用加密处理(加密或者MAC赋予)时所使用的密钥的更新的控制信息在内的发送用信息)(步骤S403)。
对应于此,车辆1010a的网关90接收密钥更新请求(步骤S404),按照该密钥更新请求,更新密钥保持部921所保持的密钥(步骤S405)。异常检测服务器80发送且网关90接收的密钥更新请求也可以是包含新密钥的信息。异常检测服务器80也可以使指定与异常帧关联的密钥是密码密钥、是MAC密钥还是该两方的密钥的指定信息包含于密钥更新请求。在车辆1010a中,变得能够基于该密钥指定信息来进行适当的密钥的更新。
另外,同样地,车辆1010b的网关90接收密钥更新请求(步骤S406),按照该密钥更新请求,更新密钥保持部921所保持的密钥(步骤S407)。在网关90中,如果在密钥更新请求中包含新密钥的信息则向该密钥更新,如果不包含新密钥的信息则通过预先确定的步骤生成新密钥并向该密钥更新。
此外,异常检测服务器80也可以在步骤S403中,不仅向车辆发送表示密钥更新请求的发送用信息,还向车辆制造商、ECU供应商的计算机等这样的装置发送与在车载网络中用于加密处理的密钥(密码密钥或MAC密钥)的泄露有关的信息。
[3.3实施方式3的效果]
在实施方式3的车载网络管理系统中,在根据异常检测服务器80针对在某车辆的车载网络接收到的帧而估算出的异常度等,判定为作为密钥关联消息的帧异常的情况下,在一定条件下,对与该车辆具有预定关系的车辆发送表示密钥更新请求的发送用信息。由此,变得能够应对ECU被攻击者支配而不正常地利用加密处理所使用的密钥(密码密钥或MAC密钥)这一情况,可实现车载网络的安全性的确保。
(其他实施方式)
对于上述实施方式中示出的车载网络管理系统所涉及的技术,除了上述的服务的形态(参照图1A)之外,例如还可在以下的云服务的类型中实现。但是,对于上述实施方式中示出的技术的适用,并不限于在此说明的云服务的类型。
(服务的类型1:本公司数据中心型云服务)
图16是表示服务的类型1(本公司数据中心型云服务)的车载网络管理系统所提供的服务的全貌的图。在本类型中,服务提供商1200从组1000取得信息,向用户1002提供服务。在本类型中,服务提供商1200具有数据中心运营公司的功能。即,服务提供商1200保有对大数据进行管理的云服务器2030(相当于云服务器1110)。因此,不存在数据中心运营公司。上述的异常检测服务器80的一部分或者全部例如可作为云服务器2030来实现。在本类型中,服务提供商1200具有作为数据中心的云服务器2030,进行运营以及管理。另外,服务提供商1200管理操作系统(OS)2020以及应用(应用程序)2010。服务提供商1200使用OS2020以及应用2010来提供服务。该服务的类型1或者以下的类型2~4中的服务的提供(例如信息的提供)的对象,并不限于用户1002(例如车辆制造商、ECU供应商等经营商、特定的个人、团体等),也可以是使用车辆的用户1001或者多个车辆1010中的车辆(例如车辆1010a等)本身。例如,服务提供商1200可使用OS2020以及应用2010,通过云服务器2030与车辆1010a的装置(网关90等)通信,由此提供服务。
(服务的类型2:IaaS利用型云服务)
图17是表示服务的类型2(IaaS利用型云服务)的车载网络管理系统所提供的服务的全貌的图。在此,IaaS是基础设施即服务(Infrastructure as a Service)的简称,是将用于构建及运行计算机系统的基础本身作为经由互联网的服务来提供的云服务提供模型。
在本类型中,数据中心运营公司1100对数据中心(云服务器)2030进行运营以及管理。另外,服务提供商1200管理OS2020以及应用2010。服务提供商1200使用服务提供商1200所管理的OS2020以及应用2010来提供服务。
(服务的类型3:PaaS利用型云服务)
图18是表示服务的类型3(PaaS利用型云服务)的车载网络管理系统所提供的服务的全貌的图。在此,PaaS是平台即服务(Platform as a Service)的简称,是将成为用于构建及运行软件的根基的平台作为经由互联网的服务来提供的云服务提供模型。
在本类型中,数据中心运营公司1100管理OS2020,对数据中心(云服务器)2030进行运营以及管理。另外,服务提供商1200管理应用2010。服务提供商1200使用数据中心运营公司1100所管理的OS2020以及服务提供商1200所管理的应用2010来提供服务。
(服务的类型4:SaaS利用型云服务)
图19是表示服务的类型4(SaaS利用型云服务)的车载网络管理系统所提供的服务的全貌的图。在此,SaaS是软件即服务(Software as a Service)的简称。SaaS利用型云服务例如是具有如下功能的云服务提供模型,即未保有数据中心(云服务器)的公司或个人等利用者能够经由互联网等网络使用保有数据中心(云服务器)的平台提供商所提供的应用。
在本类型中,数据中心运营公司1100管理应用2010,管理OS2020,对数据中心(云服务器)2030进行运营以及管理。另外,服务提供商1200使用数据中心运营公司1100所管理的OS2020以及应用2010来提供服务。
以上,不论在哪种云服务的类型中都是服务提供商1200提供服务。另外,例如,服务提供商或者数据中心运营公司既可以自己开发OS、应用或者大数据的数据库等,另外也可以让第三方进行开发。
(其他变形例)
如上所述,作为本公开的技术性的例示,说明了实施方式1~3。然而,本公开的技术并不限定于此,在适当进行了变更、替换、附加、省略等的实施方式中也能够适用。例如,以下这样的变形例也包含在本公开的一个实施方式中。
(1)在上述实施方式中,使用车辆具有进行遵循CAN协议的通信的车载网络(车载网络系统)的例子进行了说明,但并不限定于此,网络种类(通信协议)可以是任意的。例如,车载网络可以是CAN-FD、Ethernet(注册商标)、LIN(Local Interconnect Network)、Flexray(注册商标)等,也可以是将它们进行组合而成的结构。
(2)在上述实施方式中,示出了如下的统计性异常检测处理的例子:异常检测服务器80取得关于在多个车辆的车载网络中接收到的多个帧的信息,基于关于该取得的多个帧的信息,进行基于预定模型的机器学习实现的更新等,通过与该预定模型的比较所涉及的运算处理等,估算在关于该多个帧的接收之后在车辆1010a的车载网络中接收到的帧的异常度。但是,也可以取代异常检测服务器80而通过车辆1010a内部的装置(例如网关90等ECU)来进行统计性异常检测处理的全部或者一部分。例如,也可以是,通过车辆1010a的网关90取得关于在一个或多个车辆的车载网络(例如既可以仅是车辆1010a的车载网络,也可以是其他车辆的车载网络。)中接收到的多个帧的信息,基于关于该取得的多个帧的信息,进行基于预定模型的机器学习实现的更新等,通过与该预定模型的比较所涉及的运算处理等,估算在关于该多个帧的接收之后在车辆1010a的车载网络中接收到的帧的异常度。并且,网关90也可以根据所估算出的异常度,进行是否异常的判定、有异常的情况下的向驾驶员等的警告(警告通知)、车辆的行驶的控制、车辆中的加密处理适用时所使用的密钥的更新、向其他车辆的发送用信息(警告通知、控制信息等)的发送等。此外,车辆1010a内部的装置也可以将进行了统计性异常检测处理的全部或一部分而得到的结果发送给云服务器(例如异常检测服务器80),在云服务器中活用(向用户提供信息等)该结果。
(3)在上述实施方式中,示出了由相当于云服务器等的异常检测服务器80执行统计性异常检测处理的例子,但也可以由与本地环境(车辆)更近的终端服务器来执行统计性异常检测处理,由此,可降低通信延迟。例如也可以是,终端服务器是路侧机,车辆向路侧机上传关于在车载网络接收到的帧的信息,路侧机进行统计性异常检测处理并向云服务器上传异常检测的结果。
(4)在上述实施方式中,示出了由车辆的网关90的帧上传部950进行包括制作特征向量的处理等在内的加工处理的例子。但是,也可以由车辆内的装置(帧上传部950等)和异常检测服务器80的某一方来进行关于在该车辆的车载网络接收到的帧的信息的加工处理,还可以由车辆内的服务器以及异常检测服务器80这双方按任意的分配来分担进行加工处理。
(5)在上述实施方式中,车辆的网关90不管是否为不正常帧而将包含关于接收到的帧的信息的日志信息发送到异常检测服务器80。但是,车辆的网关90也可以在检测到是不正常帧并发送错误帧的情况下,不将关于该不正常帧的信息(特征向量等)发送到异常检测服务器80。
(6)在上述实施方式中,示出了异常检测服务器80可进行向车辆制造商、ECU供应商的计算机等这样的装置发送表示警告通知的信息等的控制。该警告通知也可以发送到任意的发送目的地。例如,异常检测服务器80也可以将警告通知等发送用信息发送到用户拥有的信息终端等,还可以发送到可供多个车辆制造商共同利用的安全提供商。
(7)在上述实施方式中,异常检测服务器80通过进行统计性异常检测处理来估算某帧的异常度,在异常度例如为有异常的情况下,决定警告等级。另外,异常检测服务器80也可以具有如下功能:不依赖统计性异常检测处理,而通过预先确定的算法等来估算该帧的异常度,根据异常度(例如根据是否有异常)来决定警告等级。例如,在确认到该帧是具有针对固件更新用帧而预先规定的消息ID的帧、且该帧在适当的更新时期以外流动在CAN总线上的情况下,也可以估算表示有异常的异常度来决定警告等级并进行警告通知等,在该情况下也可以看做与攻击预兆的进程2相当并使用攻击进程信息(参照图7)来决定警告等级。另外,异常检测服务器80也可以通过并用统计性异常检测处理和使用不正常帧的检测用的预先确定的规则或算法来检测不正常帧的处理,由此进行异常度的估算,该情况下,针对被检测为不正常帧的帧,进行异常度的估算以使得表示有异常。
(8)上述实施方式中示出的各种处理的步骤(例如图10、图11、图13、图15所示的步骤等)的执行顺序,未必限制为上述那样的顺序,在不脱离公开要旨的范围内,可以调换执行顺序、并行地进行多个步骤、和/或省略该步骤的一部分。
(9)上述实施方式中的网关等ECU例如是包括处理器、存储器等数字电路、模拟电路、通信线路等的装置,但也可以包括硬盘装置、显示器、键盘、鼠标等硬件构成要素。另外,异常检测服务器80例如是具备处理器、存储器、通信接口等的计算机,但也可以包括硬盘装置、显示器、键盘、鼠标等硬件构成要素。另外,上述实施方式中示出的各装置(ECU、异常检测服务器80等)也可以取代通过由处理器执行存储器所存储的控制程序以软件方式实现功能,而通过专用的硬件(数字电路等)来实现该功能。
(10)上述实施方式中的构成各装置的构成要素的一部分或者全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成于1个芯片上而制造出的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。所述RAM中存储有计算机程序。所述微处理器按照所述计算机程序进行工作,由此系统LSI达成其功能。另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。另外,虽然此处设为LSI,但根据集成度不同,也可以称为IC、LSI、超大LSI(super LSI)、特大LSI(ultra LSI)。另外,集成电路化的方法不限于LSI,也可以通过专用电路或者通用处理器实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable Gate Array;现场可编程门阵列)或者能够对LSI内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurable processor)。进而,随着半导体技术的发展或者派生的其他技术的出现,如果出现能够替代LSI的集成电路化的技术,当然也可以利用该技术进行功能块的集成化。也可能会存在适用生物技术的可能性。
(11)构成上述各装置的构成要素的一部分或者全部也可以由能够装卸于各装置的IC卡或者单体模块构成。所述IC卡或者所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或者所述模块也可以包含上述超多功能LSI。微处理器按照计算机程序进行工作,由此所述IC卡或者所述模块达成其功能。该IC卡或者该模块也可以具有抗篡改性。
(12)作为本公开的一技术方案,例如也可以是包括图10、图11、图13、图15等所示的处理步骤的全部或一部分的安全处理方法。例如,安全处理方法是用于应对在一车辆(例如车辆1010a)的车载网络发送的异常帧的安全处理方法,取得关于在一个或多个车辆(例如车辆1010b等)的车载网络中接收到的多个帧的信息,基于关于该取得的多个帧的信息,估算在关于该多个帧的在各车载网络的接收之后在一车辆(例如车辆1010a)的车载网络中接收到的帧的异常度。该安全处理方法例如可以包括:第1接收步骤,能够与多个车辆(例如车型A的多个车辆)以及一车辆(例如车辆1010a)通信的异常检测服务器80,从该多个车辆分别接收关于在该车辆的车载网络中接收到的多个帧的信息,由此进行上述的取得(例如从车型A的多个车辆分别接收帧所涉及的特征向量等的步骤S112);第2接收步骤,异常检测服务器80从一车辆接收关于在一车辆的车载网络中接收到的帧的信息(例如从车辆1010a的网关90接收帧所涉及的特征向量等的步骤S112);估算步骤,基于通过第1接收步骤接收到的关于多个帧的信息,进行关于通过第2接收步骤接收到的帧的信息所涉及的该帧的异常度的估算(例如统计性异常检测处理的步骤S201);决定步骤,根据通过估算步骤估算出的异常度来决定应向一车辆发送的发送用信息的内容(例如与发送形式有关的警告等级的决定的步骤S203);以及发送步骤,异常检测服务器80向一车辆发送通过决定步骤决定的内容的发送用信息(例如发送的步骤S204)。此外,关于估算步骤以及决定步骤中的处理(例如使与异常对应的不正常检测用信息包含于发送用信息的情况下的不正常检测用信息的内容的确定等),例如也可以通过车辆制造商、ECU供应商等从业者等或者该从业者等的计算机等来执行。另外,例如,安全处理方法是用于应对在一车辆(例如车辆1010a)的车载网络发送的异常帧的安全处理方法,估算在一车辆的车载网络中接收到的帧的异常度,根据所估算出的异常度,决定是否向与一车辆具有预定关系的车辆(例如相同车型的车辆、搭载同种ECU的车辆等)发送发送用信息,按照决定来进行发送用信息的发送的控制。另外,作为本公开的一技术方案,也可以是通过计算机实现该安全处理方法所涉及的处理的计算机程序,还可以是由所述计算机程序形成的数字信号。另外,作为本公开的一技术方案,也可以将所述计算机程序或者所述数字信号记录于计算机可读取的记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本公开的一技术方案,也可以将所述计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传输。另外,作为本公开的一技术方案,也可以是具有微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器按照所述计算机程序进行工作。另外,也可以通过将所述程序或所述数字信号记录在所述记录介质中转移、或经由所述网络等将所述程序或所述数字信号进行转移,由此通过独立的其他计算机系统来实施。
(13)通过将上述实施方式以及上述变形例中示出的各构成要素以及功能进行任意组合而实现的实施方式也包含在本公开的范围中。
产业上的可利用性
本公开能够利用于适当地应对可能在车载网络发送的多种多样的攻击帧。
标号的说明
10、20、30、40、50、60、70 总线(CAN总线)
80 服务器(异常检测服务器)
81 网络
90、1020 网关
100、101、200、201、300、301、302、400、401、500、600、700 电子控制单元(ECU)
110 发动机
111 变速器
210 制动器
211 转向机构
310 自动制动器
311 车道维持装置
312 车车间通信装置
410 车门
411 车灯
510 仪表板
610 ITS装置
710 诊断端口
810 通信部(取得部)
820 认证处理部
830 日志收集处理部
840 日志分析处理部(估算部)
850 安全信息生成部
860 车辆信息DB
870 车辆日志保存DB
880 分析结果保存DB
890 安全信息DB
901 帧收发部
902 帧解释部
903 不正常帧检测部
904 规则保持部
905 帧生成部
906 转送控制部
907 转送规则保持部
920 密钥处理部
921 密钥保持部
930 不正常检测通知部
940 更新处理部
950 帧上传部
1000 组
1001、1002 用户
1010、1010a、1010b、1010c、1010d、1010e、1010f 车辆
1100 数据中心运营公司
1110、2030 云服务器
1200 服务提供商
1210 服务器
2010 应用程序(应用)
2020 操作系统(OS)
Claims (15)
1.一种安全处理方法,是用于应对在一车辆的车载网络发送的异常帧的安全处理方法,所述车载网络为所述车辆内部的、用于搭载于所述车辆的多个电子控制单元进行涉及帧的通信的网络,
取得关于在一个或多个车辆的所述车载网络中接收到的多个帧的信息;
基于关于所述取得的多个帧的信息,估算在关于该多个帧的所述接收之后在所述一车辆的所述车载网络中接收到的帧的异常度。
2.根据权利要求1所述的安全处理方法,
关于所述取得的帧的所述信息,至少包含该帧的内容的一部分,
关于所述多个帧的信息的所述取得,是关于所述多个帧各自的信息的逐次取得,
在所述安全处理方法中,基于所述逐次取得的关于帧的信息,逐次更新预定模型,
对于在所述一车辆的车载网络中接收到的帧的异常度的所述估算,通过使用了关于该接收到的帧的信息和所述预定模型的运算处理来进行。
3.根据权利要求2所述的安全处理方法,
在所述安全处理方法中,基于所述逐次取得的关于帧的信息,通过机器学习来逐次更新所述预定模型。
4.根据权利要求1~3中任一项所述的安全处理方法,
所述安全处理方法包括:
第1接收步骤,能够与所述多个车辆以及所述一车辆通信的服务器从所述多个车辆的各车辆接收关于在该车辆的车载网络中接收到的多个帧的信息,由此进行所述取得;
第2接收步骤,所述服务器从所述一车辆接收关于在该车辆的车载网络中接收到的帧的信息;
估算步骤,基于通过所述第1接收步骤接收到的关于多个帧的信息,进行通过所述第2接收步骤接收到的关于帧的信息所涉及的该帧的异常度的所述估算;
决定步骤,根据通过所述估算步骤估算出的异常度,决定应向所述一车辆发送的发送用信息的内容;以及
发送步骤,所述服务器向所述一车辆发送通过所述决定步骤决定的内容的发送用信息。
5.根据权利要求4所述的安全处理方法,
通过所述第2接收步骤接收的关于帧的信息,包含该帧的识别信息,
在所述决定步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,根据该帧的识别信息,进行发送用信息的内容的所述决定。
6.根据权利要求5所述的安全处理方法,
在所述决定步骤中,在通过所述估算步骤估算出表示是异常的异常度的帧的识别信息为预定识别信息的情况下,进行所述决定,以使得所述发送用信息包含指示所述一车辆的行驶停止或行驶速度的减速的控制信息。
7.根据权利要求4所述的安全处理方法,
在所述发送步骤中,根据通过所述估算步骤估算出的异常度,决定是否对与所述一车辆具有预定关系的车辆发送预定的发送用信息,按照该决定来进行该预定的发送用信息的发送的控制。
8.根据权利要求7所述的安全处理方法,
通过所述第2接收步骤接收的关于帧的信息,包含该帧的识别信息,
在所述发送步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,根据该帧的识别信息,决定是否对车载网络的结构与所述一车辆相同的车辆发送所述预定的发送用信息,按照该决定来进行该预定的发送用信息的发送的控制。
9.根据权利要求7所述的安全处理方法,
通过所述第2接收步骤接收的关于帧的信息,包含该帧的识别信息,
在所述发送步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,根据该帧的识别信息,决定是否对搭载有与在所述一车辆的车载网络中发送由该识别信息识别的帧的电子控制单元同种的电子控制单元的车辆发送所述预定的发送用信息,按照该决定来进行该预定的发送用信息的发送的控制。
10.根据权利要求4所述的安全处理方法,
在所述发送步骤中,根据通过所述估算步骤估算出的异常度,决定应向所述一车辆发送的发送用信息的发送时期,在所决定的发送时期向所述一车辆发送该发送用信息。
11.根据权利要求4所述的安全处理方法,
在所述决定步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,当在车载网络的结构与所述一车辆相同的一个或多个车辆中已经产生了与该帧所涉及的异常相同的异常时,基于该产生了相同的异常的车辆的个数或者所述一车辆与该产生了相同的异常的车辆的距离,进行应向所述一车辆发送的发送用信息的内容的所述决定。
12.根据权利要求4所述的安全处理方法,
在所述决定步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,进行所述决定以使得所述发送用信息包含不正常检测用信息,所述不正常检测用信息表示用于在车载网络中检测与该异常相同的异常的规则或算法。
13.根据权利要求4所述的安全处理方法,
通过所述第2接收步骤接收的关于帧的信息,包含该帧的识别信息,
在所述决定步骤中,在通过所述估算步骤估算出的帧的异常度表示是异常的情况下,在该帧的识别信息为用于适用加密处理技术来传输数据的帧用的预先规定的识别信息时,进行所述决定以使得所述发送用信息包含控制信息,所述控制信息指示在该加密处理技术的适用时所利用的密钥的更新。
14.一种服务器,是用于应对在一车辆的车载网络发送的异常帧的服务器,所述车载网络为所述车辆内部的、用于搭载于所述车辆的多个电子控制单元进行涉及帧的通信的网络,具备:
取得部,其通过接收来取得关于在包括所述一车辆的一个或多个车辆的所述车载网络中接收到的帧的信息;和
估算部,其基于由所述取得部取得的关于多个帧的信息和在关于该多个帧的所述取得之后由所述取得部取得的关于在所述一车辆的所述车载网络中接收到的帧的信息,估算在所述一车辆的所述车载网络中接收到的该帧的异常度。
15.一种安全处理方法,是用于应对在一车辆的车载网络发送的异常帧的安全处理方法,所述车载网络为所述车辆内部的、用于搭载于所述车辆的多个电子控制单元进行涉及帧的通信的网络,
估算在所述一车辆的所述车载网络中接收到的帧的异常度;
根据所估算出的所述异常度,决定是否对与所述一车辆具有预定关系的车辆发送发送用信息,按照所述决定来进行该发送用信息的发送的控制。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011238827.8A CN112367318B (zh) | 2015-12-16 | 2016-11-29 | 安全处理方法以及计算机 |
| CN202011251967.9A CN112437056B (zh) | 2015-12-16 | 2016-11-29 | 安全处理方法以及服务器 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562268116P | 2015-12-16 | 2015-12-16 | |
| US62/268,116 | 2015-12-16 | ||
| JP2016201780A JP6423402B2 (ja) | 2015-12-16 | 2016-10-13 | セキュリティ処理方法及びサーバ |
| JP2016-201780 | 2016-10-13 | ||
| PCT/JP2016/004992 WO2017104112A1 (ja) | 2015-12-16 | 2016-11-29 | セキュリティ処理方法及びサーバ |
Related Child Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011251967.9A Division CN112437056B (zh) | 2015-12-16 | 2016-11-29 | 安全处理方法以及服务器 |
| CN202011238827.8A Division CN112367318B (zh) | 2015-12-16 | 2016-11-29 | 安全处理方法以及计算机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107925600A CN107925600A (zh) | 2018-04-17 |
| CN107925600B true CN107925600B (zh) | 2020-11-20 |
Family
ID=59081688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680050843.XA Active CN107925600B (zh) | 2015-12-16 | 2016-11-29 | 安全处理方法以及服务器 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10798117B2 (zh) |
| EP (2) | EP3393086B1 (zh) |
| JP (3) | JP6423402B2 (zh) |
| CN (1) | CN107925600B (zh) |
Families Citing this family (114)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6423402B2 (ja) | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| WO2017104112A1 (ja) | 2015-12-16 | 2017-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | セキュリティ処理方法及びサーバ |
| EP3823242A1 (en) * | 2016-04-06 | 2021-05-19 | Karamba Security | Centralized controller management and anomaly detection |
| JP6903901B2 (ja) * | 2016-11-28 | 2021-07-14 | 富士通株式会社 | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 |
| US10382466B2 (en) * | 2017-03-03 | 2019-08-13 | Hitachi, Ltd. | Cooperative cloud-edge vehicle anomaly detection |
| US10757113B2 (en) * | 2017-03-17 | 2020-08-25 | Cylance Inc. | Communications bus signal fingerprinting |
| CN111095955B (zh) | 2017-07-27 | 2023-09-08 | 上游安全有限公司 | 用于联网车辆网络安全的系统和方法 |
| JP7007632B2 (ja) * | 2017-08-03 | 2022-01-24 | 住友電気工業株式会社 | 検知装置、検知方法および検知プログラム |
| EP3665601A4 (en) * | 2017-08-10 | 2021-04-21 | Argus Cyber Security Ltd | SYSTEM AND METHOD FOR DETECTING USING A COMPONENT CONNECTED TO AN IN-VEHICLE NETWORK |
| US10630699B2 (en) | 2017-08-14 | 2020-04-21 | Argus Cyber Security Ltd. | Automotive cybersecurity |
| KR101920833B1 (ko) * | 2017-09-06 | 2018-11-21 | (주)에이치씨인포 | 지능형 자동차 보안을 위한 전용 idps 어플라이언스 모듈 및 이의 구동방법 |
| DE102017217195A1 (de) | 2017-09-27 | 2019-03-28 | Continental Teves Ag & Co. Ohg | Verfahren zum Erfassen eines Angriffs auf ein Steuergerät eines Fahrzeugs |
| JP6556207B2 (ja) * | 2017-10-19 | 2019-08-07 | 三菱電機株式会社 | 車両用セキュリティ装置およびセキュリティ方法 |
| US11588827B2 (en) | 2017-10-30 | 2023-02-21 | Nippon Telegraph And Telephone Corporation | Attack communication detection device, attack communication detection method, and program |
| CN115361213A (zh) | 2017-12-01 | 2022-11-18 | 松下电器(美国)知识产权公司 | 不正当检测服务器及其所执行的方法 |
| US11321464B2 (en) * | 2017-12-22 | 2022-05-03 | Wipro Limited | Method and system for generating cognitive security intelligence for detecting and preventing malwares |
| JP7113337B2 (ja) * | 2018-01-12 | 2022-08-05 | パナソニックIpマネジメント株式会社 | サーバ装置、車両装置、車両用システム及び情報処理方法 |
| JP6964274B2 (ja) * | 2018-01-12 | 2021-11-10 | パナソニックIpマネジメント株式会社 | 監視装置、監視システム及び監視方法 |
| CN110325410B (zh) * | 2018-01-22 | 2022-04-26 | 松下电器(美国)知识产权公司 | 数据分析装置及存储介质 |
| WO2019142456A1 (ja) | 2018-01-22 | 2019-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常判定装置、異常検知モデル作成サーバ及びプログラム |
| EP3744584A4 (en) | 2018-01-22 | 2021-06-02 | Panasonic Intellectual Property Corporation of America | VEHICLE MONITORING DEVICE, COUNTERFEIT DETECTION SERVER, AND CONTROL METHOD |
| JP7118757B2 (ja) * | 2018-01-22 | 2022-08-16 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | サーバ、プログラム、及び、方法 |
| WO2019142474A1 (ja) * | 2018-01-22 | 2019-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | データ解析装置及びプログラム |
| JP7247089B2 (ja) * | 2018-01-22 | 2023-03-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 |
| JP7045286B2 (ja) * | 2018-01-22 | 2022-03-31 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | データ解析装置、データ解析方法及びプログラム |
| GB2578268B (en) * | 2018-01-29 | 2021-12-29 | Ge Aviat Systems Ltd | Configurable network switch for industrial control systems including deterministic networks |
| US11924238B2 (en) | 2018-02-20 | 2024-03-05 | Darktrace Holdings Limited | Cyber threat defense system, components, and a method for using artificial intelligence models trained on a normal pattern of life for systems with unusual data sources |
| JP7030559B2 (ja) * | 2018-02-27 | 2022-03-07 | 本田技研工業株式会社 | データ登録システム |
| RU2706887C2 (ru) * | 2018-03-30 | 2019-11-21 | Акционерное общество "Лаборатория Касперского" | Система и способ блокирования компьютерной атаки на транспортное средство |
| EP3547191A1 (en) * | 2018-03-30 | 2019-10-02 | AO Kaspersky Lab | System and method of generating rules for blocking a computer attack on a vehicle |
| RU2725033C2 (ru) | 2018-03-30 | 2020-06-29 | Акционерное общество "Лаборатория Касперского" | Система и способ создания правил |
| WO2019193786A1 (ja) * | 2018-04-06 | 2019-10-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ログ出力方法、ログ出力装置及びプログラム |
| US11110895B2 (en) * | 2018-04-09 | 2021-09-07 | Cisco Technology, Inc. | Vehicle network intrusion detection system (IDS) using vehicle state predictions |
| JP6552674B1 (ja) * | 2018-04-27 | 2019-07-31 | 三菱電機株式会社 | 検査システム |
| US11526605B2 (en) | 2018-04-27 | 2022-12-13 | Nec Corporation | Extraction device, extraction method, recording medium, and detection device |
| EP3799365B1 (en) * | 2018-05-23 | 2022-11-30 | Panasonic Intellectual Property Corporation of America | Anomaly detection device, anomaly detection method, and program |
| JP6519830B1 (ja) * | 2018-05-31 | 2019-05-29 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
| DE102019113818B4 (de) | 2018-05-31 | 2023-03-30 | Panasonic Intellectual Property Management Co., Ltd. | Elektronische steuerungseinrichtung, überwachungsverfahren, programm und gateway-einrichtung |
| JP6519829B1 (ja) * | 2018-05-31 | 2019-05-29 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
| JP7378089B2 (ja) * | 2018-06-13 | 2023-11-13 | パナソニックIpマネジメント株式会社 | 不正通信検知装置、不正通信検知方法及び製造システム |
| US11354406B2 (en) * | 2018-06-28 | 2022-06-07 | Intel Corporation | Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles |
| JP7000271B2 (ja) | 2018-07-25 | 2022-01-19 | 株式会社日立製作所 | 車両不正アクセス対策装置、及び車両不正アクセス対策方法 |
| WO2020021714A1 (ja) * | 2018-07-27 | 2020-01-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正防止方法およびセキュアスターカプラ |
| WO2020021713A1 (ja) * | 2018-07-27 | 2020-01-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正検知方法および不正検知電子制御装置 |
| DE102018213038A1 (de) * | 2018-08-03 | 2020-02-06 | Continental Teves Ag & Co. Ohg | Verfahren zum fahrzeuginternen Verwalten von kryptographischen Schlüsseln |
| CN109117313B (zh) * | 2018-08-28 | 2022-03-18 | 成都信息工程大学 | 一种带隔离灾备管控机制的车辆智慧安全网关及管控方法 |
| US20200074761A1 (en) * | 2018-08-31 | 2020-03-05 | Denso Ten Limited | On-vehicle device, data collection system, and data collection apparatus |
| EP3798840A4 (en) * | 2018-10-11 | 2022-03-02 | Nippon Telegraph And Telephone Corporation | INFORMATION PROCESSING DEVICE, DATA ANALYSIS METHOD AND PROGRAM |
| EP3842944A4 (en) | 2018-10-11 | 2022-04-27 | Nippon Telegraph And Telephone Corporation | INFORMATION PROCESSING DEVICE, ANOMALITY ANALYSIS METHOD AND PROGRAM |
| WO2020075800A1 (ja) * | 2018-10-11 | 2020-04-16 | 日本電信電話株式会社 | 分析装置、分析システム、分析方法及びプログラム |
| KR102486151B1 (ko) * | 2018-10-16 | 2023-01-10 | 현대자동차주식회사 | 통신 장치, 그를 가지는 차량 및 그 제어 방법 |
| WO2020079943A1 (ja) * | 2018-10-17 | 2020-04-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
| JP7346397B2 (ja) | 2018-10-17 | 2023-09-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 侵入地点特定装置、および、侵入地点特定方法 |
| JP7350517B2 (ja) * | 2018-10-17 | 2023-09-26 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
| WO2020079928A1 (ja) * | 2018-10-17 | 2020-04-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
| JP7344009B2 (ja) * | 2018-10-17 | 2023-09-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
| EP3648414A1 (en) * | 2018-10-31 | 2020-05-06 | Siemens Healthcare GmbH | Communication system, method for operating a communication system and medical imaging device |
| JP7319039B2 (ja) * | 2018-11-08 | 2023-08-01 | 住友電気工業株式会社 | 処理異常検知のための情報管理装置、システム、コンピュータプログラム及び方法 |
| CN112912282A (zh) * | 2018-11-27 | 2021-06-04 | 住友电气工业株式会社 | 车辆故障预测系统、监视装置、车辆故障预测方法及车辆故障预测程序 |
| EP3889783A4 (en) * | 2018-11-30 | 2022-01-26 | Panasonic Intellectual Property Corporation of America | DEVICE FOR TRANSMITTING A VEHICLE LOG, SYSTEM FOR ANALYZING A VEHICLE LOG AND METHOD FOR TRANSMITTING/RECEIVING A VEHICLE LOG |
| CN112789600A (zh) * | 2018-11-30 | 2021-05-11 | 松下电器(美国)知识产权公司 | 车辆日志发送装置、车辆日志分析服务器、车辆日志分析系统以及车辆日志收发方法 |
| WO2020121390A1 (ja) * | 2018-12-11 | 2020-06-18 | 株式会社オートネットワーク技術研究所 | ジョイントコネクタ |
| JP7132132B2 (ja) * | 2019-01-09 | 2022-09-06 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信制御装置、車載通信装置、コンピュータプログラム、通信制御方法及び通信方法 |
| JP7229783B2 (ja) * | 2019-01-10 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車載型情報処理装置、車両情報通信システム、情報処理方法およびプログラム |
| JP7139257B2 (ja) * | 2019-01-21 | 2022-09-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ監視装置、方法及びプログラム |
| JP7139971B2 (ja) * | 2019-01-23 | 2022-09-21 | トヨタ自動車株式会社 | ソフトウェア配布システムおよびソフトウェア配布方法 |
| US11700270B2 (en) * | 2019-02-19 | 2023-07-11 | The Aerospace Corporation | Systems and methods for detecting a communication anomaly |
| JP6997124B2 (ja) | 2019-03-04 | 2022-01-17 | 三菱電機株式会社 | 通信監視装置 |
| US11233650B2 (en) * | 2019-03-25 | 2022-01-25 | Micron Technology, Inc. | Verifying identity of a vehicle entering a trust zone |
| WO2020203352A1 (ja) * | 2019-03-29 | 2020-10-08 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知方法及び異常検知装置 |
| JP7149219B2 (ja) * | 2019-03-29 | 2022-10-06 | 株式会社日立製作所 | リスク評価対策立案システム及びリスク評価対策立案方法 |
| JP7211224B2 (ja) * | 2019-04-09 | 2023-01-24 | 住友電気工業株式会社 | 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム |
| JP2020184651A (ja) * | 2019-04-26 | 2020-11-12 | 日本電産モビリティ株式会社 | 車載制御装置、及び情報処理装置 |
| WO2021002013A1 (ja) * | 2019-07-04 | 2021-01-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置および異常検知方法 |
| CN110322721A (zh) * | 2019-07-04 | 2019-10-11 | 安徽富煌科技股份有限公司 | 一种基于车载自动报站装置的车辆数据传输运维方法 |
| DE102019210227A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Anomalieerkennung in einem Kommunikationsnetzwerk |
| AU2020210203A1 (en) * | 2019-07-30 | 2021-02-18 | Darktrace Holdings Limited | A cyber threat defense system, components, and a method for using artificial intelligence models trained on a normal pattern of life for systems with unusual data sources |
| US20210053574A1 (en) * | 2019-08-21 | 2021-02-25 | Micron Technology, Inc. | Monitoring controller area network bus for vehicle control |
| WO2021038870A1 (ja) * | 2019-08-30 | 2021-03-04 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常車両検出サーバおよび異常車両検出方法 |
| WO2021038869A1 (ja) * | 2019-08-30 | 2021-03-04 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両監視装置および車両監視方法 |
| JP7226248B2 (ja) * | 2019-10-31 | 2023-02-21 | トヨタ自動車株式会社 | 通信装置および異常判定装置 |
| JP7312965B2 (ja) * | 2019-11-01 | 2023-07-24 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法、およびプログラム |
| JP7209614B2 (ja) * | 2019-11-05 | 2023-01-20 | ルネサスエレクトロニクス株式会社 | 路側無線機および無線通信システム |
| JP7065356B2 (ja) | 2019-11-11 | 2022-05-12 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法、およびプログラム |
| JP2021079855A (ja) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | 車両診断装置、車両診断システム及び移動体診断装置 |
| US11388598B2 (en) * | 2019-12-19 | 2022-07-12 | Intel Corporation | Recover from vehicle security breach via vehicle to anything communication |
| JP2021099764A (ja) * | 2019-12-24 | 2021-07-01 | コベルコ建機株式会社 | 改ざん対象機器特定システム、改ざん対象機器特定プログラム、および改ざん対象機器特定方法 |
| WO2021131193A1 (ja) * | 2019-12-25 | 2021-07-01 | 株式会社デンソー | 攻撃監視用センター装置、及び攻撃監視用端末装置 |
| CN113157758A (zh) * | 2020-01-07 | 2021-07-23 | 微软技术许可有限责任公司 | 定制化异常检测 |
| US11132897B2 (en) * | 2020-02-14 | 2021-09-28 | Gm Global Technology Operations, Llc | Methods, systems, and apparatuses for edge based notification through crowdsourced live fleet streamed communications |
| CN111460885B (zh) * | 2020-02-21 | 2022-01-11 | 中国电子技术标准化研究院 | 一种基于汽车计算平台的信息监测方法 |
| CN112164223B (zh) * | 2020-02-27 | 2022-04-29 | 浙江恒隆智慧科技集团有限公司 | 基于云平台的智能交通信息处理方法及装置 |
| CN111460483A (zh) * | 2020-04-16 | 2020-07-28 | 郑州铁路职业技术学院 | 一种基于加密的财务信息化数据处理方法 |
| US11695574B2 (en) * | 2020-04-29 | 2023-07-04 | Blackberry Limited | Method and system for establishing trust for a cybersecurity posture of a V2X entity |
| JP7409247B2 (ja) * | 2020-07-14 | 2024-01-09 | 株式会社デンソー | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム |
| JP7380473B2 (ja) | 2020-07-29 | 2023-11-15 | 株式会社デンソー | セキュリティ監視システム |
| US11411766B2 (en) | 2020-09-03 | 2022-08-09 | Toyota Motor North America, Inc. | Secure controller area network (CAN) transceiver |
| CN112187936B (zh) * | 2020-09-29 | 2024-03-29 | 北京车和家信息技术有限公司 | 车辆数据处理方法、装置、设备、存储介质及车辆 |
| KR20220059579A (ko) * | 2020-11-03 | 2022-05-10 | 현대자동차주식회사 | 자율주행 차량의 통신 리던던시 시스템 |
| US11425005B2 (en) | 2020-11-10 | 2022-08-23 | Fleet Defender, Inc. | Controller area network anomaly detection |
| CN112233278A (zh) * | 2020-12-09 | 2021-01-15 | 智道网联科技(北京)有限公司 | 远程故障分析方法及车载终端、服务器、设备及介质 |
| CN112822244B (zh) * | 2020-12-30 | 2022-06-24 | 莫毓昌 | 一种基于边缘云的物联网时间序列预测系统及方法 |
| JP7447848B2 (ja) | 2021-03-05 | 2024-03-12 | 株式会社デンソー | 車両用装置、サーバ、及び通信管理方法 |
| US11363048B1 (en) | 2021-03-25 | 2022-06-14 | Bank Of America Corporation | Information security system and method for security threat detection in data transmission |
| DE102021112661A1 (de) | 2021-05-17 | 2022-11-17 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Vorrichtung, Computerprogramm und computerlesbares Speichermedium zur Ermittlung von fehlerbehafteten Fahrzeugen |
| US20220376813A1 (en) * | 2021-05-21 | 2022-11-24 | Qualcomm Incorporated | Cooperative early threat detection and avoidance in c-v2x |
| JPWO2022259496A1 (zh) * | 2021-06-10 | 2022-12-15 | ||
| US11941926B2 (en) * | 2021-08-04 | 2024-03-26 | Ford Global Technologies, Llc | Vehicle variation remediation |
| US20230048368A1 (en) * | 2021-08-16 | 2023-02-16 | Toyota Motor North America, Inc. | Transport onboard security check |
| WO2023095258A1 (ja) * | 2021-11-25 | 2023-06-01 | 日本電信電話株式会社 | 監視装置、監視方法、および、監視プログラム |
| JP2023106720A (ja) * | 2022-01-21 | 2023-08-02 | 株式会社日立産機システム | ゲートウェイ装置と解析システム及び解析方法 |
| WO2023166779A1 (ja) * | 2022-03-03 | 2023-09-07 | パナソニックIpマネジメント株式会社 | 情報提供方法及び情報処理装置 |
| CN115452936B (zh) * | 2022-07-11 | 2023-04-07 | 合肥贵专电磁科技有限公司 | 一种基于无线传输的钢丝绳探测结果评估系统 |
| CN115412370B (zh) * | 2022-10-31 | 2023-03-21 | 广汽埃安新能源汽车股份有限公司 | 车辆通信数据检测方法、装置、电子设备和可读介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102073319A (zh) * | 2011-01-25 | 2011-05-25 | 武汉理工大学 | 一种多功能综合型电控汽车故障诊断系统 |
| CN102684832A (zh) * | 2011-03-15 | 2012-09-19 | 株式会社东海理化电机制作所 | 发送装置、接收装置、以及通信系统 |
| CN103036649A (zh) * | 2012-12-17 | 2013-04-10 | 上海应用技术学院 | 基于高速列车的故障预警信息异构复用无线传输方法 |
| CN103295178A (zh) * | 2012-03-01 | 2013-09-11 | 通用汽车环球科技运作有限责任公司 | 交通工具健康预测 |
| CN103856519A (zh) * | 2012-11-30 | 2014-06-11 | 英业达科技有限公司 | 在检测出异常车载信息时产生对应提示的系统及其方法 |
| CN103959718A (zh) * | 2011-12-02 | 2014-07-30 | 株式会社自动网络技术研究所 | 发送消息生成装置以及车载通信系统 |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8140658B1 (en) * | 1999-10-06 | 2012-03-20 | Borgia/Cummins, Llc | Apparatus for internetworked wireless integrated network sensors (WINS) |
| DE10251839A1 (de) * | 2002-11-07 | 2004-05-19 | Robert Bosch Gmbh | Verfahren zur sicheren Überprüfung eines Speicherbereiches eines Mikrocontrollers in einem Steuergerät und Steuergerät mit einem geschützten Mikrocontroller |
| JP2005100100A (ja) * | 2003-09-25 | 2005-04-14 | Toyota Motor Corp | 車輪情報処理装置および車輪情報処理方法 |
| US7715961B1 (en) * | 2004-04-28 | 2010-05-11 | Agnik, Llc | Onboard driver, vehicle and fleet data mining |
| US7330103B2 (en) * | 2005-07-21 | 2008-02-12 | International Business Machines Corporation | Vehicle collision avoidance system enhancement using in-car air bag deployment system |
| JP2007076402A (ja) | 2005-09-12 | 2007-03-29 | Fujitsu Ten Ltd | 車両状態解析装置および車両状態解析システム |
| US7733224B2 (en) * | 2006-06-30 | 2010-06-08 | Bao Tran | Mesh network personal emergency response appliance |
| US9776597B2 (en) * | 2006-05-16 | 2017-10-03 | Lear Corporation | Vehicle with electronic system intrusion detection |
| US9787702B2 (en) * | 2006-05-16 | 2017-10-10 | Lear Corporation | Electronic control unit with vehicle intrusion detection |
| JP2007312193A (ja) * | 2006-05-19 | 2007-11-29 | Auto Network Gijutsu Kenkyusho:Kk | 異常監視ユニット |
| WO2009038028A1 (ja) | 2007-09-18 | 2009-03-26 | Toyota Jidosha Kabushiki Kaisha | 異常検出装置、異常検出システム、サーバ、異常検出方法 |
| JP4453764B2 (ja) * | 2008-02-22 | 2010-04-21 | トヨタ自動車株式会社 | 車両診断装置、車両診断システム、診断方法 |
| US8909416B2 (en) * | 2008-04-14 | 2014-12-09 | Innova Electronics, Inc. | Handheld scan tool with fixed solution capability |
| JP2009294004A (ja) | 2008-06-03 | 2009-12-17 | Fujitsu Ten Ltd | 異常解析装置及び異常解析方法 |
| JP2012526497A (ja) * | 2009-05-08 | 2012-10-25 | オービーディーエッジ, エルエルシー | 車両操作者によるモバイル装置の使用をポリシーに基づき制御および監視するシステム、方法、および装置 |
| US8676432B2 (en) * | 2010-01-13 | 2014-03-18 | GM Global Technology Operations LLC | Fault prediction framework using temporal data mining |
| US8954225B2 (en) * | 2010-04-22 | 2015-02-10 | Mission Motor Company | Remote monitoring of a plurality of vehicles |
| US8863256B1 (en) * | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| US8519838B2 (en) * | 2011-03-24 | 2013-08-27 | Clever Devices, Ltd | Method and system for on-board vehicle detection of harmful material |
| JP2013131055A (ja) * | 2011-12-21 | 2013-07-04 | Toyota Motor Corp | 車両用情報処理システム |
| JP5664799B2 (ja) * | 2011-12-22 | 2015-02-04 | トヨタ自動車株式会社 | 通信システム及び通信方法 |
| JP5915492B2 (ja) * | 2012-10-10 | 2016-05-11 | 株式会社デンソー | 車両用ダイアグノーシス装置 |
| KR102281914B1 (ko) * | 2012-10-17 | 2021-07-27 | 타워-섹 리미티드 | 차량에 대한 공격의 검출 및 예방을 위한 디바이스 |
| JP5919205B2 (ja) | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| US20140247348A1 (en) * | 2013-03-01 | 2014-09-04 | Hertz System, Inc. | Virtual rent-a-car system and method with in-car concierge device |
| GB2513395B (en) * | 2013-04-26 | 2017-01-04 | Jaguar Land Rover Ltd | Vehicle diagnostics apparatus, diagnostics unit and methods |
| US9621566B2 (en) * | 2013-05-31 | 2017-04-11 | Adi Labs Incorporated | System and method for detecting phishing webpages |
| JP6382724B2 (ja) | 2014-01-06 | 2018-08-29 | アーガス サイバー セキュリティ リミテッド | グローバル自動車安全システム |
| EP3133774B1 (en) | 2014-04-17 | 2020-11-25 | Panasonic Intellectual Property Corporation of America | Vehicle-mounted network system, abnormality detection electronic control unit and abnormality detection method |
| JP6263437B2 (ja) * | 2014-05-07 | 2018-01-17 | 日立オートモティブシステムズ株式会社 | 検査装置、検査システム及び検査方法 |
| CN110696746B (zh) * | 2014-05-08 | 2023-03-24 | 松下电器(美国)知识产权公司 | 不正常应对方法、车载网络系统及电子控制单元 |
| WO2016108963A1 (en) * | 2014-12-30 | 2016-07-07 | Battelle Memorial Institute | Temporal anomaly detection on automotive networks |
| JP6603617B2 (ja) * | 2015-08-31 | 2019-11-06 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ゲートウェイ装置、車載ネットワークシステム及び通信方法 |
| JP6423402B2 (ja) | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
-
2016
- 2016-10-13 JP JP2016201780A patent/JP6423402B2/ja active Active
- 2016-11-29 CN CN201680050843.XA patent/CN107925600B/zh active Active
- 2016-11-29 EP EP16875101.4A patent/EP3393086B1/en active Active
- 2016-11-29 EP EP19205319.7A patent/EP3621246B1/en active Active
-
2018
- 2018-06-11 US US16/004,492 patent/US10798117B2/en active Active
- 2018-08-09 JP JP2018150171A patent/JP6908563B2/ja active Active
-
2020
- 2020-08-27 US US17/004,533 patent/US11575699B2/en active Active
-
2021
- 2021-07-01 JP JP2021109868A patent/JP7197638B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102073319A (zh) * | 2011-01-25 | 2011-05-25 | 武汉理工大学 | 一种多功能综合型电控汽车故障诊断系统 |
| CN102684832A (zh) * | 2011-03-15 | 2012-09-19 | 株式会社东海理化电机制作所 | 发送装置、接收装置、以及通信系统 |
| CN103959718A (zh) * | 2011-12-02 | 2014-07-30 | 株式会社自动网络技术研究所 | 发送消息生成装置以及车载通信系统 |
| CN103295178A (zh) * | 2012-03-01 | 2013-09-11 | 通用汽车环球科技运作有限责任公司 | 交通工具健康预测 |
| CN103856519A (zh) * | 2012-11-30 | 2014-06-11 | 英业达科技有限公司 | 在检测出异常车载信息时产生对应提示的系统及其方法 |
| CN103036649A (zh) * | 2012-12-17 | 2013-04-10 | 上海应用技术学院 | 基于高速列车的故障预警信息异构复用无线传输方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3393086A1 (en) | 2018-10-24 |
| JP2017111796A (ja) | 2017-06-22 |
| US20180295147A1 (en) | 2018-10-11 |
| JP6908563B2 (ja) | 2021-07-28 |
| US11575699B2 (en) | 2023-02-07 |
| EP3393086A4 (en) | 2018-11-14 |
| JP6423402B2 (ja) | 2018-11-14 |
| JP7197638B2 (ja) | 2022-12-27 |
| EP3621246A1 (en) | 2020-03-11 |
| EP3621246B1 (en) | 2021-11-24 |
| US20200396238A1 (en) | 2020-12-17 |
| US10798117B2 (en) | 2020-10-06 |
| JP2018190465A (ja) | 2018-11-29 |
| JP2021152977A (ja) | 2021-09-30 |
| EP3393086B1 (en) | 2020-01-01 |
| CN107925600A (zh) | 2018-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107925600B (zh) | 安全处理方法以及服务器 | |
| CN112367318B (zh) | 安全处理方法以及计算机 | |
| CN110463142B (zh) | 车辆异常检测服务器、车辆异常检测系统及车辆异常检测方法 | |
| WO2019142458A1 (ja) | 車両監視装置、不正検知サーバ、および、制御方法 | |
| CN108028784B (zh) | 不正常检测方法、监视电子控制单元以及车载网络系统 | |
| EP3113529B1 (en) | System and method for time based anomaly detection in an in-vehicle communication network | |
| CN110226310B (zh) | 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及方法 | |
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| US20170013005A1 (en) | System and method for consistency based anomaly detection in an in-vehicle communication network | |
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| CN107428294A (zh) | 不正常检测规则更新方法、不正常检测电子控制单元以及车载网络系统 | |
| Winsen | Threat modelling for future vehicles: on identifying and analysing threats for future autonomous and connected vehicles | |
| Hirnschal | Securing Electronic Control Units against emerging vehicle technology threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |