CN108028784B - 不正常检测方法、监视电子控制单元以及车载网络系统 - Google Patents

不正常检测方法、监视电子控制单元以及车载网络系统 Download PDF

Info

Publication number
CN108028784B
CN108028784B CN201680051842.7A CN201680051842A CN108028784B CN 108028784 B CN108028784 B CN 108028784B CN 201680051842 A CN201680051842 A CN 201680051842A CN 108028784 B CN108028784 B CN 108028784B
Authority
CN
China
Prior art keywords
frame
abnormality
condition
data
abnormality detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680051842.7A
Other languages
English (en)
Other versions
CN108028784A (zh
Inventor
岸川刚
氏家良浩
安斋润
松岛秀树
田边正人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority claimed from PCT/JP2016/004993 external-priority patent/WO2017119027A1/ja
Publication of CN108028784A publication Critical patent/CN108028784A/zh
Application granted granted Critical
Publication of CN108028784B publication Critical patent/CN108028784B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)

Abstract

提供不正常检测方法,该不正常检测方法在具备经由总线进行通信的多个电子控制单元(ECU)的车载网络系统中,即使在ECU由于固件的不正常改写等而处于攻击者的支配下的情况下,也能够通过监视总线上发送的帧来检测不正常状态的产生。不正常检测方法用于检测车载网络系统中不正常状态的产生,在不正常检测方法中,使用表示第1条件的不正常检测规则信息,判定从所述总线接收到的帧的集合是否满足该第1条件,所述第1条件是关于具有第1标识符的帧、与具有和第1标识符不同的标识符的帧的内容的关系的条件;在不满足该第1条件的情况下,检测为产生了不正常状态。

Description

不正常检测方法、监视电子控制单元以及车载网络系统
技术领域
本公开涉及检测电子控制单元进行通信的车载网络中的不正常(improper,不正当、非法)帧的发送的技术。
背景技术
近年来,在汽车中的系统内,配置有许多被称为电子控制单元(ECU:ElectronicControl Unit)的装置。连接这些ECU的网络被称为车载网络。车载网络存在多种标准。作为其中最主流的车载网络之一,存在由ISO11898-1规定的CAN(Controller Area Network:控制器局域网络)这一标准。
在CAN中,通信路径是由两条电线构成的总线,与总线连接的ECU被称为节点。与总线连接的各节点收发被称为帧的消息。发送帧的发送节点通过在两条总线上施加电压,并在总线间产生电位差,从而发送被称为隐性(recessive)的“1”的值和被称为显性(dominant)的“0”的值。多个发送节点在完全相同的定时(timing)发送了隐性和显性的情况下,优先发送显性。接收节点在接收到的帧的格式(format)存在异常的情况下,发送被称为错误帧(error frame)的帧。错误帧是通过连续地发送6比特(bit)的显性来向发送节点和/或其他接收节点通知帧的异常的帧。
另外,在CAN中不存在指示发送目的地和/或发送源的标识符,发送节点对每一帧附加ID而进行发送(也就是向总线送出信号),各接收节点仅接收预先确定的ID的帧(也就是从总线读取信号)。另外,采用CSMA/CA(Carrier Sense Multiple Access/CollisionAvoidance:载波侦听多路访问/冲突避免)方式,在多个节点同时发送时基于消息ID进行仲裁(调停),优先发送消息ID的值小的帧。
关于CAN的车载网络系统,存在攻击者通过访问总线并发送不正常帧(用于攻击的帧)从而不正常地控制ECU这样的威胁,安全对策正在被进行研究。
例如专利文献1中所记载的车载网络监视装置进行如下不正常检测方法:在针对发送给CAN的总线的帧测定的接收间隔与预先规定的通信间隔之差偏离于规定的基准范围的情况下,将该帧判断为不正常。
现有技术文献
专利文献1:日本专利第5664799号公报
专利文献2:国际公开第2015/041161号
发明内容
发明所要解决的问题
然而,在如专利文献1那样的不正常检测方法中,在攻击者通过不正常地改写(重写)正规ECU的固件(firmware)来进行支配,并使该ECU以在车载网络系统中规定的正规的发送间隔发送用于攻击的帧的情况下,则无法检测到该用于攻击的帧。另外,即使ECU的固件不能被改写,但若在ECU上执行了恶意软件(不正常的程序),也会产生同样的状况,无法检测到该ECU向CAN的总线发送的用于攻击的帧。另外,专利文献2表示了通过与ECU通信来检测ECU的程序或者数据的不正常改写的技术,但为了使用该技术对与车载网络的总线连接的各ECU的不正常改写随时进行确认,需要进行与各ECU的通信,导致产生总线通信流量增大这一弊病。
于是,本公开提供一种即使在ECU由于固件的不正常改写、恶意软件的执行等而变为不正常状态的情况下也能够通过监视在总线上发送的帧来检测不正常状态(异常)的产生的不正常检测方法。另外,本公开提供使用该不正常检测方法的车载网络系统、以及在该车载网络系统中进行不正常检测的监视电子控制单元(监视ECU)。
用于解决问题的技术方案
本公开的一个技术方案涉及的不正常检测方法,是用于检测车载网络系统中不正常状态的产生的不正常检测方法,所述车载网络系统具备经由总线进行通信的多个电子控制单元,所述不正常检测方法包括:使用表示第1条件的不正常检测规则信息,判定从所述总线接收到的帧的集合是否满足该第1条件,所述第1条件是关于具有第1标识符的帧、与具有和第1标识符不同的标识符的帧的内容的关系的条件;在不满足该第1条件的情况下,检测为产生了不正常状态。
此外,这些总括性的或者具体的技术方案既可以通过装置、系统、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以通过装置、系统、方法、计算机程序以及记录介质的任意组合来实现。
发明效果
根据本公开,能够在ECU由于固件的不正常改写或者恶意软件的执行而变为不正常状态的情况下,根据该ECU发送的帧与其他ECU发送的帧的关系变得杂乱等,检测到产生了不正常状态。
此外,本公开的进一步的效果以及优点可由本说明书以及附图的公开内容来明确。上述进一步的效果以及优点也可以由本说明书以及附图所公开的各种实施方式以及特征来个别地提供,未必需要提供所有的效果以及优点。
附图说明
图1是表示实施方式1涉及的车载网络系统的整体结构的图。
图2是表示由CAN协议规定的数据帧的格式的图。
图3是表示由CAN协议规定的错误帧的格式的图。
图4是实施方式1涉及的监视ECU的构成图。
图5是表示实施方式1涉及的监视ECU的帧接收历史记录保持部所保持的帧接收历史记录的一例的图。
图6是表示实施方式1涉及的监视ECU的不正常检测规则保持部所保持的不正常检测规则信息的一例的图。
图7是表示实施方式1涉及的监视ECU的不正常判定结果保持部所保持的不正常判定结果的一例的图。
图8是表示实施方式1涉及的监视ECU的ECU信息表(table)保持部所保持的ECU信息表的一例的图。
图9是实施方式1涉及的ECU的构成图。
图10是表示实施方式1涉及的ECU所发送的数据帧的一例的图。
图11是表示实施方式1涉及的监视ECU的工作的一例的流程图。
图12是表示实施方式1涉及的车载网络系统中的总线监视的工作例的图。
图13是表示实施方式2涉及的车载网络系统的整体结构的图。
图14是实施方式2涉及的监视ECU的构成图。
图15是表示实施方式2涉及的监视ECU的帧接收历史记录保持部所保持的帧接收历史记录的一例的图。
图16是表示实施方式2涉及的监视ECU的侵入检测规则保持部所保持的侵入检测规则信息的一例的图。
图17是表示实施方式2涉及的监视ECU的侵入判定结果保持部所保持的侵入判定结果的一例的图。
图18是表示实施方式2涉及的监视ECU的异常应对表保持部所保持的异常应对表的一例的图。
图19是表示实施方式2涉及的监视ECU的工作的一例的流程图。
图20是表示实施方式2涉及的车载网络系统中的总线监视的工作例1的图。
图21是表示实施方式2涉及的车载网络系统中的总线监视的工作例2的图。
图22是表示实施方式3涉及的车载网络系统的整体结构的图。
图23是实施方式3涉及的监视ECU的构成图。
图24是实施方式3涉及的监视ECU的MAC验证部的构成图。
图25是表示实施方式3涉及的监视ECU的帧接收历史记录保持部所保持的帧接收历史记录的一例的图。
图26是表示实施方式3涉及的监视ECU的不正常判定结果保持部所保持的不正常判定结果的一例的图。
图27是表示实施方式3涉及的监视ECU的侵入判定结果保持部所保持的侵入判定结果的一例的图。
图28是表示实施方式3涉及的监视ECU的异常应对表保持部所保持的异常应对表的一例的图。
图29是实施方式3涉及的ECU的构成图。
图30是表示实施方式3涉及的车载网络系统中的总线监视的工作例1的图。
图31是表示实施方式3涉及的车载网络系统中的总线监视的工作例2的图。
具体实施方式
本公开的一个技术方案涉及的不正常检测方法,是用于检测车载网络系统中不正常状态的产生的不正常检测方法,所述车载网络系统具备经由总线进行通信的多个电子控制单元,所述不正常检测方法包括:使用表示第1条件的不正常检测规则信息,判定从所述总线接收到的帧的集合是否满足该第1条件,所述第1条件是关于具有第1标识符的帧、与具有和第1标识符不同的标识符的帧的内容的关系的条件;在不满足该第1条件的情况下,检测为产生了不正常状态。由此,例如只要预先规定第1条件以使其在正常状态下得到满足,则能够在电子控制单元(ECU)由于固件的不正常改写或者恶意软件的执行而变为不正常状态的情况下,由于该ECU发送的帧例如与其他ECU发送的帧的关系变得杂乱,从而变得不满足第1条件,所以能够通过总线的监视,检测到产生了不正常状态。
另外,也可以为,所述多个电子控制单元经由所述总线,按照CAN协议即控制器局域网络(Controller Area Network)协议进行数据帧的授受,所述不正常检测规则信息表示关于第1种帧与第2种帧的数据域的内容的关系的所述第1条件,所述第1种帧是具有所述第1标识符的数据帧,所述第2种帧是具有与所述第1标识符不同的第2标识符的数据帧,所述不正常检测方法包括:接收步骤,连接于所述总线的监视电子控制单元逐次接收被发送到所述总线上的数据帧;和不正常判定步骤,判定在所述接收步骤中接收到的所述第1种帧以及所述第2种帧是否满足所述不正常检测规则信息所示的所述第1条件。由此,能够当在用于在ECU间进行帧的授受的遵循CAN的车载网络中产生了不正常状态的情况下适当地进行检测。
另外,也可以为,所述不正常检测规则信息规定基于一个以上的所述第1种帧中的数据域的内容所确定的值、与一个以上的所述第2种帧的数据域的内容之间的关系作为所述第1条件,在所述不正常判定步骤中,通过执行预定运算处理来进行所述判定,所述预定运算处理使用第1值和第2值,区分是否满足所述第1条件,所述第1值是基于在一个单位时间或多个单位时间的每一个中通过所述接收步骤接收到的、各所述第1种帧中的数据域的内容的值,所述第2值是基于在所述一个单位时间或多个单位时间中的从最后起的一个以上的单位时间的每一个中通过所述接收步骤接收到的、各所述第2种帧中的数据域的内容的值。由此,能够在具有互不相同的ID(标识符)的两种数据帧的序列间的同时期的内容间的关系变为与正常状态相区分的状态的情况下,检测到不正常状态的产生。
另外,也可以为,所述不正常检测规则信息规定基于多个所述第1种帧中的数据域的内容所确定的值、与一个以上的所述第2种帧的数据域的内容之间的关系作为所述第1条件,在所述不正常判定步骤中,通过执行预定运算处理来进行所述判定,所述预定运算处理使用第1值和第2值,区分是否满足所述第1条件,所述第1值是基于在多个单位时间的每一个中通过所述接收步骤接收到的、各所述第1种帧中的数据域的内容的值,所述第2值是基于在所述多个单位时间中的从最后起的一个以上的单位时间的每一个中通过所述接收步骤接收到的、各所述第2种帧中的数据域的内容的值。由此,能够在具有互不相同的ID(标识符)的两种(两个序列)的数据帧中的、一方序列中的多个数据帧的内容的差量(变化量)、合计(累计量)等这样的通过运算所计算出的第1值、与基于另一方序列中的一个或多个数据帧的内容的第2值之间的关系变为与正常状态相区分的状态的情况下,检测到不正常状态的产生。
另外,也可以为,所述预定运算处理是如下处理:基于对每个质变量(分类变量)的值规定了量变量(数值变量)的值的范围的基准,根据所述第1值是否属于使用所述第2值作为质变量的值而计算的量变量的值的范围,区分是否满足所述第1条件。由此,能够在如具有互不相同的ID的两种数据帧的内容中的、一方内容例如对车辆的状态(齿轮的状态等)进行划分这样的情况下,根据另一方内容是否落入由该车辆的状态所确定的一定范围内,检测不正常状态的产生。
另外,也可以为,所述预定运算处理是如下处理:基于表示反应变量(目的变量)与解释变量(说明变量)的关系的关系式,根据所述第2值是否属于使用所述第1值作为解释变量的值而计算的反应变量的值的范围,区分是否满足所述第1条件。由此,能够在如具有互不相同的ID的两种数据帧的内容中的、一方内容与另一方内容在正常状态下例如具有一定的因果关系这样的情况下,通过预先将该关系确定作为条件,检测不正常状态的产生。
另外,也可以为,所述不正常检测规则信息通过使用了皮尔森(Pearson)积矩相关系数、最大信息系数或者典型相关系数的关系式来规定一个以上的所述第1种帧中的数据域的内容与一个以上的所述第2种帧的数据域的内容之间的关系作为所述第1条件。由此,能够根据用关系式对具有互不相同的ID的两种数据帧的内容进行了规定的条件,检测不正常状态的产生。
另外,也可以为,所述不正常检测规则信息还表示第2条件,所述第2条件是关于所述第1种帧与第3种帧的数据域的内容的关系的条件,所述第3种帧是具有不同于所述第1标识符也不同于所述第2标识符的第3标识符的数据帧,在所述不正常判定步骤中,还判定在所述接收步骤中接收到的所述第1种帧以及所述第3种帧是否满足所述不正常检测规则信息所示的所述第2条件,所述不正常检测方法还包括:异常度计算步骤,根据所述第1条件和所述第2条件中在所述不正常判定步骤中被判定为不满足的条件的数量,计算与所述第1种帧的发送有关的异常度;和发送步骤,在由所述异常度计算步骤计算出的异常度满足预定异常条件的情况下,所述监视电子控制单元以使发送所述第1种帧的电子控制单元能够接收的方式发送预定帧。由此,反映与不正常状态(异常)的产生的关联性的高低来计算异常度,因此能够根据异常度来进行对不正常状态的产生源的特定等。另外,例如在将预定帧用于各个ECU的诊断的情况下,能够根据异常度来筛选(检索)应该诊断状态的ECU并进行发送,因此能够抑制由用于ECU的诊断的通信引起的总线通信流量的增大。
另外,也可以为,所述不正常检测方法还包括:侵入判定步骤,使用表示关于对数据帧的每个标识符所确定的数据帧的条件的侵入检测规则信息,判定在所述接收步骤中从所述总线接收到的数据帧是否满足该侵入检测规则信息所示的该条件;和应对步骤,根据所述不正常判定步骤中的判定结果和所述侵入判定步骤中的判定结果的组合来决定应对处理的内容,按照决定来执行应对处理,所述侵入检测规则信息所示的关于一个标识符的数据帧的所述条件包含与具有该标识符的数据帧间的接收间隔、一定时间内所接收的具有该标识符的数据帧的数量、和在具有该标识符的数据帧间的作为从数据域提取的值的差异的变化量中的某一方有关的条件。由此,通过基于侵入检测规则信息的侵入判定,能够检测从外部发送不正常的数据帧这一情况。另外,能够至少根据基于不正常检测规则信息的不正常判定和基于侵入检测规则信息的侵入判定的组合,对由攻击者进行的攻击的内容等进行分类,因此能够针对攻击决定(选定)适当的应对处理并进行应对。
另外,也可以为,所述不正常检测方法还包括对从所述总线接收到的数据帧中的认证用的认证符的正当性进行验证的验证步骤,在所述应对步骤中,根据所述不正常判定步骤中的判定结果、所述侵入判定步骤中的判定结果和所述验证步骤中的验证结果的组合来进行对应对处理的内容的所述决定,在一定条件下,决定密钥更新处理作为该应对处理的内容,所述密钥更新处理是关于认证用的密钥的更新的处理。由此,能够根据基于不正常检测规则信息的不正常判定、基于侵入检测规则信息的侵入判定和认证符的验证结果的组合,对由攻击者进行的攻击的内容或者影响等进行分类,因此能够根据需要进行认证涉及的密钥更新等、针对攻击决定(选定)适当的应对处理并进行应对。
另外,也可以为,所述不正常检测方法还包括追加应对步骤,在该追加应对步骤中,对于在通过所述应对步骤执行了所述密钥更新处理后通过所述接收步骤接收到的数据帧进行所述不正常判定步骤中的所述判定、所述侵入判定步骤中的所述判定以及所述验证步骤中的所述验证,在该不正常判定步骤中的判定结果、该侵入判定步骤中的判定结果和该验证步骤中的验证结果的组合满足预定条件的情况下,进行与所述密钥更新处理不同的应对处理。由此,能够通过预先规定预定条件以使得能够检测到状况没有由密钥更新处理的执行得到改善等情况,从而在没有由密钥更新处理改善的状况下通过其他应对处理适当地进行应对。
另外,也可以为,所述不正常检测方法还包括:在检测到产生了所述不正常状态的情况下,确定与该不正常状态的产生有关的发送了帧的子网络、发送该帧的电子控制单元、和该帧的标识符中的某一方。由此,若确定出与不正常状态的产生有关的信息,则能够对由攻击者进行攻击的内容等更详细地进行分类,因此能够更适当地对攻击进行应对。
另外,也可以为,所述不正常检测方法还包括:在检测到产生了所述不正常状态的情况下,执行应对处理,所述应对处理包括如下处理中的某一方:以使连接于所述总线的特定的电子控制单元能够接收的方式发送诊断用的帧;通过挑战应答(challenge andresponse)认证来确认连接于所述总线的特定的电子控制单元的正当性;进行用于催促所述总线中的诊断端口的确认的通知;进行用于催促搭载所述车载网络系统的车辆的驾驶员停车或者慢行的通知;进行用于催促搭载所述车载网络系统的车辆的驾驶员前往经销商(dealer)的通知;对搭载所述车载网络系统的车辆的驾驶员进行产生了不正常状态的通知;对连接于所述总线的电子控制单元进行具有特定的标识符的数据帧不正常的通知;对搭载所述车载网络系统的车辆的外部服务器进行不正常的数据帧被发送的通知;向搭载所述车载网络系统的车辆的邻近的车辆或者路侧设备进行产生了不正常状态的通知;将所述车载网络系统切换为预先确定的安全模式(fail safe mode);和将产生了不正常状态这一情况作为日志进行记录。由此,能够适当地对攻击进行应对。
另外,也可以为,在所述不正常检测方法中,通过基于从所述总线接收到的帧的集合的多变量解析,确定在具有互不相同的标识符的帧彼此之间的帧的内容的关系,生成或更新所述不正常检测规则信息以使其表示表现所确定的关系的条件。由此,能够进行对不正常检测规则信息的适当的生成等以使得能够适当地检测不正常状态的产生。
另外,本公开的一个技术方案涉及的监视电子控制单元(监视ECU),其在具备经由总线进行通信的多个电子控制单元的车载网络系统中连接于所述总线,所述监视电子控制单元具备:不正常检测规则保持部,其保持表示第1条件的不正常检测规则信息,所述第1条件是关于具有第1标识符的帧、与具有和第1标识符不同的标识符的帧的内容的关系的条件;接收部,其从所述总线逐次接收帧;以及不正常判定部,其判定由所述接收部从所述总线接收到的帧的集合是否满足所述不正常检测规则信息所示的所述第1条件。由此,能够在电子控制单元(ECU)由于固件的不正常改写或者恶意软件的执行而变为不正常状态的情况下,根据该ECU发送的帧与具有其他标识符的帧的关系变得杂乱,检测到产生了不正常状态。
另外,本公开的一个技术方案涉及的车载网络系统,是具备经由总线进行通信的多个电子控制单元的车载网络系统,所述车载网络系统具备:不正常检测规则保持部,其保持表示第1条件的不正常检测规则信息,所述第1条件是关于具有第1标识符的帧、与具有和第1标识符不同的标识符的帧的内容的关系的条件;以及不正常判定部,其为了判定是否产生了不正常状态,对从所述总线接收到的帧的集合是否满足所述不正常检测规则信息所示的所述第1条件进行判定。由此,能够根据不正常判定部的判定结果,检测到电子控制单元(ECU)由于固件的不正常改写或者恶意软件的执行而变为不正常状态。
此外,这些总括性的或者具体的技术方案既可以通过系统、方法、集成电路、计算机程序或者计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序以及记录介质的任意组合来实现。
以下,参照附图,对实施方式涉及的车载网络系统进行说明。在此所示的实施方式均表示本公开的一具体例。因此,在以下实施方式中示出的数值、构成要素、构成要素的配置及连接方式、步骤(工序)及步骤的顺序等仅为一例而并非限定本公开。关于以下的实施方式中的构成要素中的未记载在独立权利要求中的构成要素,是能够任意附加的构成要素。另外,各附图仅为示意图,不一定是严格图示。
(实施方式1)
以下,作为本公开的实施方式,使用附图,说明在多个电子控制单元(ECU)经由总线进行通信的车载网络系统中使用的不正常检测方法。不正常检测方法是检测由不正常节点(例如由攻击者支配的ECU等)向总线发送不正常帧这一情况的方法,主要由连接于总线的监视ECU来执行。车载网络系统中的监视ECU基于具有互不相同的两个标识符(消息ID)的数据帧(消息)彼此的内容的关系,检测不正常状态的产生(不正常数据帧被发送这一情况)。
[1.1车载网络系统10的整体结构]
图1是表示车载网络系统10的整体结构的图。
车载网络系统10是遵循CAN协议进行通信的网络通信系统的一例,是搭载有控制装置、传感器、致动器、用户接口装置等各种设备的车辆中的网络通信系统。车载网络系统10具备经由构成车载网络的CAN的总线进行与帧相关的通信的多个装置,并使用不正常检测方法。具体而言,如图1所示,车载网络系统10构成为包括总线300;和监视ECU100、连接于各种设备的ECU200a、ECU200b、ECU200c、ECU200d等各ECU这样的连接于总线300的各节点。此外,在车载网络系统10中,除了监视ECU100以及ECU200a、200b、200c、200d以外还可以包含若干个ECU,但在此为了方便而着眼于监视ECU100以及ECU200a、200b、200c、200d来进行说明。ECU例如是包括处理器(微处理器)、存储器等数字电路、模拟电路、通信电路等的装置。存储器是ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如通过处理器按照控制程序(计算机程序)进行工作,ECU实现各种功能。此外,计算机程序是为了实现预定的功能而组合多个表示对处理器的指令的命令码而构成的。
ECU200a、ECU200b、ECU200c以及ECU200d与总线300连接,分别连接于速度传感器210、加速度传感器220、齿轮(变速机构)230、仪表板(instrument panel)240。ECU200a周期性地从速度传感器210取得车辆的速度,周期性地向总线300发送通知所取得的速度的数据帧。ECU200b周期性地从加速度传感器220取得车辆的加速度,周期性地向总线300发送通知所取得的加速度的数据帧。ECU200c周期性地取得齿轮230的状态,周期性地向总线300发送通知齿轮230的状态的数据帧。ECU200d接收通知车辆的速度或者齿轮的状态的各数据帧,更新由仪表板240显示的信息。
监视ECU100是连接于总线300的一种ECU,进行不正常检测处理,该不正常检测处理是用于监视在总线上流通的数据帧(也就是出现在总线上的数据帧)从而进行是否被发送了不正常数据帧的判定(不正常判定)的处理。
在车载网络系统10中,各ECU遵循CAN协议进行帧的授受。CAN协议中的帧有数据帧、远程帧、超载帧以及错误帧。在此以数据帧为中心进行说明。
[1.2数据帧格式]
以下,对作为在遵循CAN协议的网络中使用的帧之一的数据帧进行说明。
图2是表示由CAN协议规定的数据帧的格式的图。在该图中,表示了由CAN协议规定的标准ID格式的数据帧。数据帧由SOF(Start Of Frame:帧起始)、ID域、RTR(RemoteTransmission Request:远程传输请求)、IDE(Identifier Extension:标识符扩展)、预留位“r”、DLC(Data Length Code:数据长度码)、数据域、CRC(Cyclic Redundancy Check:循环冗余校验)序列、CRC定界符“DEL”、ACK(Acknowledgement:应答)间隙、ACK定界符“DEL”以及EOF(End Of Frame:帧结束)的各个域构成。
SOF由1比特的显性构成。总线空闲的状态成为隐性,通过由SOF变更为显性来通知帧的发送开始。
ID域是由11比特构成的、保存表示数据的种类的值即ID(消息ID)的域。在多个节点同时开始发送的情况下,为了通过该ID域进行通信仲裁,设计成使ID小的值的帧具有高优先级。
RTR是用于标识数据帧和远程帧的值,在数据帧中由1比特的显性构成。
IDE和“r”双方都由1比特的显性构成。
DLC由4比特构成,是表示数据域的长度的值。
数据域是最大由64比特构成的表示要发送的数据的内容的值。能够按每8比特来调整长度。关于所发送的数据的规格,并不在CAN协议中规定,而是在车载网络系统10中设定。因此,成为取决于车型、制造者(制造商)等的规格。
CRC序列由15比特构成。可根据SOF、ID域、控制域以及数据域的发送值来算出。
CRC定界符是由1比特的隐性构成的、表示CRC序列的结束的分隔符号。此外,将CRC序列和CRC定界符统称为CRC域。
ACK间隙由1比特构成。发送节点将ACK间隙设为隐性并进行发送。如果到CRC序列为止都正常地完成了接收,则接收节点将ACK间隙设为显性并发送。由于显性比隐性优先,因此,只要在发送后ACK间隙为显性,发送节点就能够确认某个接收节点成功地进行了接收。
ACK定界符是由1比特的隐性构成的、表示ACK的结束的分隔符号。
EOF由7比特的隐性构成,表示数据帧的结束。
[1.3错误帧格式]
图3是表示由CAN协议规定的错误帧的格式的图。错误帧构成为包括错误标志(初级(primary))、错误标志(次级(secondary))和错误定界符。
错误标志(初级)为了向其他节点通知错误的产生而使用。检测到错误的节点为了向其他节点通知错误的产生而连续发送6比特的显性。该发送违反CAN协议的位填充(bitstuffing)规则(不连续发送6比特以上的相同值),引起来自其他节点的错误帧(次级)的发送。
错误标志(次级)由为了向其他节点通知错误的产生而使用的连续的6比特的显性构成。接收到错误标志(初级)而检测到违反了位填充规则的全部节点会发送错误标志(次级)。
错误定界符“DEL”是8比特的连续的隐性,表示错误帧的结束。
[1.4监视ECU100的构成]
图4是监视ECU100的构成图。监视ECU100构成为包括帧收发部110、帧处理部120、不正常判定部130、不正常应对部140、帧生成部150、帧接收历史记录保持部160、不正常检测规则保持部170、不正常判定结果保持部180以及ECU信息表保持部190。图4所示的监视ECU100的各构成要素能够通过监视ECU100的存储器等存储介质、通信电路、执行保存于存储器的程序的处理器等来实现。
帧收发部110向CAN总线300发送、从CAN总线300接收遵循CAN协议的帧(数据帧等)。帧收发部110具有作为从总线300逐比特地接收帧的接收部的功能。帧收发部110在无错误地完成数据帧的接收时,将数据帧内的ID、DLC以及数据这样的信息传送给帧处理部120。另外,帧收发部110在判断为是没有遵循CAN协议的数据帧的情况下,发送错误帧。另外,帧收发部110在接收数据帧期间接收到错误帧的情况下,也就是根据接收到的数据帧中的值解释为成为错误帧的情况下,自此之后将该数据帧废弃。帧收发部110在从帧生成部150接收到数据帧的发送请求的情况下,将该数据帧的内容逐比特地发送到总线300。通信仲裁这样的遵循CAN的协议的处理也在帧收发部110中实现。
帧处理部120从帧收发部110接收数据帧的信息,并解释数据帧的内容。帧处理部120取得从ECU200a、200b、200c各自发送来的数据帧所示的车速、加速度或者齿轮的状态等信息,基于取得的信息,更新保存于帧接收历史记录保持部160的与各数据帧有关的信息(帧接收历史记录)。
不正常判定部130以预定单位时间(例如100ms)为周期,周期性地基于不正常检测规则保持部170所保持的不正常检测规则信息、和帧接收历史记录保持部160所保持的帧接收历史记录,进行对是否接收到不正常数据帧的判定(涉及是否被发送了不正常数据帧的不正常判定)。不正常判定部130根据对于不正常检测规则信息所示的涉及多个具有不同的ID的帧之间的关系的每个条件,条件是否得到满足,来进行不正常判定,例如在不满足条件的情况下判定为不正常。不正常判定部130基于不正常判定的结果,更新不正常判定结果保持部180所保持的不正常判定结果。此外,不正常判定部130对帧的各ID,根据关于该ID的帧基于不正常检测规则信息所示的条件而检测为不正常的数量(例如没有满足的条件的数量),计算异常度,将异常度附加于不正常判定结果保持部180所保持的不正常判定结果。如果检测为不正常的数量为0则异常度为0,异常度为0表示没有检测到异常。另外,不正常判定部130在作为不正常判定的结果而判定为不正常的情况下(也就是检测到不正常状态的产生的情况下),将检测到不正常这一情况通知给不正常应对部140。
不正常应对部140在由不正常判定部130通知检测到不正常时,参照不正常判定结果保持部180所保存的不正常判定结果、和ECU信息表保持部190所保存的ECU信息表,决定作为对不正常的应对的应对处理的内容。不正常应对部140在决定了应对处理的情况下,进行用于该应对处理的执行的控制。例如,不正常应对部140在根据不正常判定结果,与具有特定ID的数据帧关联地检测到不正常的情况下(作为一例为,在检测到不正常并且计算出的异常度最高的情况下),参照ECU信息表,请求帧生成部150生成对于发送该数据帧的ECU的诊断消息。
帧生成部150在被请求生成应该发送的数据帧的情况下生成该数据帧,并使帧收发部110发送该数据帧。例如,帧生成部150在被请求生成诊断消息的情况下,生成表示预先确定的诊断消息的数据帧,将该数据帧经由帧收发部110向总线300发送。
帧接收历史记录保持部160保持帧接收历史记录(参照图5),该帧接收历史记录是与监视ECU100逐次接收到的数据帧有关的信息。
不正常检测规则保持部170保持不正常判定部130为了进行不正常判定而参照的不正常检测规则信息(参照图6)。
不正常判定结果保持部180保持不正常判定结果(参照图7),该不正常判定结果是作为不正常判定部130判定是否与不正常检测规则信息所示的规则(条件)相适而得到的结果。
ECU信息表保持部190保持ECU信息表(参照图8),该ECU信息表针对各ID关联与发送该ID的数据帧的ECU有关的信息而构成。
[1.5帧接收历史记录]
图5表示帧接收历史记录保持部160所保持的帧接收历史记录的一例。帧接收历史记录是与监视ECU100从过去到当前为止接收到的数据帧的内容有关的信息,在该图的例子中,表示了帧接收历史记录中的、关于三个ID各自的、从当前(最新)到前三次为止的每隔单位时间(例如100ms)接收到的数据帧的内容所示的特定值(表示车速、加速度、齿轮的状态的各方的值)。本例表示了与车速有关的具有0x100这一ID的数据帧中的、最新接收到的数据帧所示的车速的值为18.0km/h、前一次接收到的数据帧的车速的值为19.2km/h、前两次(之前第二次)接收到的值为19.6km/h、前三次(之前第三次)接收到的值为20.0km/h。另外,表示了与加速度有关的具有0x200这一ID的数据帧中的、从最新到前三次为止接收到的数据帧所示的加速度的值分别为0.10m/s^2、0.10m/s^2、0.20m/s^2、0.20m/s^2。另外,表示了与齿轮的状态有关的具有0x300这一ID的数据帧中的、从最新到前三次为止接收到的数据帧所示的齿轮的状态的值全部为表示“D”(驱动档)的状态的值。
该帧接收历史记录由不正常判定部130为了确认具有互不相同的ID的数据帧间的内容的关系(是否满足不正常检测规则信息所示的条件的判定)而使用。在图5中,仅表示了从最新到前三次接收到的数据帧的内容所示的值,而帧接收历史记录能够构成为包含不正常判定部130使用不正常检测规则信息所进行的不正常判定中所需的信息。例如,帧接收历史记录可以是表示在车辆开始行驶时(例如发动机启动时)等之后监视ECU100接收到的所有数据帧的内容的信息。此外,帧接收历史记录保持部160例如也可以具有一个用于存储加速度的积分值的区域。
[1.6不正常检测规则信息]
图6表示不正常检测规则保持部170所保持的不正常检测规则信息的一例。不正常检测规则信息含有一个以上(在图6的例子中为三个)的条件(规则),所述条件涉及互不相同的ID的数据帧的内容间的关系。
在图6的例子中,作为规则号码1的规则,不正常检测规则信息含有关于ID为0x100的数据帧的内容(车速)与ID为0x200的数据帧的内容(加速度)的关系的条件。该条件为如下条件:在某个单位时间(例如100ms)内接收到的ID为0x100的数据帧所示的车速(速度)的值落入将在该单位时间及较之以前的单位时间(例如车辆开始行驶时之后的各单位时间)接收到的ID为0x200的数据帧所示的加速度的值进行累计而成的、加速度的积分值的±1km/h的范围内。如果满足该条件,则成为保持着合理关系的正常状态,如果不满足该条件,则由不正常判定部130判定为不正常(也就是产生了不正常状态)。此外,加速度的积分值例如能够包含单位换算地用下式来计算。
积分值=(Σ(接收到的ID为0x200的数据帧所示的加速度×3.6))÷(1/ID为0x200的数据帧的发送周期)
另外,在图6的例子中,作为规则号码2的规则,不正常检测规则信息含有关于ID为0x100的数据帧的内容(车速)与ID为0x300的数据帧的内容(齿轮的状态)的关系的条件。该条件为如下条件:当在某个单位时间内接收到的ID为0x300的数据帧所示的齿轮的状态的值表示“D”(驱动档)的情况下,在相同的单位时间内接收到的ID为0x100的数据帧所示的车速的、从在前一次单位时间内接收到的数据帧所示的车速的变化量(例如差量)抑制于1.0km/h以下,在并非表示“D”而是表示“R”(倒车档)的情况下,该车速的变化量抑制于0.5km/h以下。如果不满足该条件,则由不正常判定部130判定为不正常。
另外,在图6的例子中,作为规则号码3的规则,不正常检测规则信息含有关于ID为0x200的数据帧的内容(加速度)与ID为0x300的数据帧的内容(齿轮的状态)的关系的条件。该条件为如下条件:当在某个单位时间内接收到的ID为0x300的数据帧所示的齿轮的状态的值表示“D”(驱动档)的情况下,在相同的单位时间内接收到的ID为0x200的数据帧所示的加速度的、从在前一次单位时间内接收到的数据帧所示的加速度的变化量(例如差量)抑制于1.0m/s^2以下,在并非表示“D”而是表示“R”(倒车档)的情况下,该加速度的变化量抑制于0.5m/s^2以下。如果不满足该条件,则由不正常判定部130判定为不正常。
[1.7不正常判定结果]
图7表示不正常判定结果保持部180所保持的不正常判定结果的一例。在图7的例子中,不正常判定结果表示,关于数据帧的各ID(该图左端),是否由不正常判定部130基于涉及该ID的数据帧与其他ID的数据帧之间的关系的条件,判定为不正常(是否判定为合理)。此外,在图7中,除了是否判定为不正常之外,还附记有该判定所使用的、关于不正常检测规则信息中的规则(条件)的规则号码。本例表示了由不正常判定部130判定为不满足规则号码1的条件和规则号码2的条件(也就是判定为不正常)、判定为满足规则号码3的条件(也就是判定为合理)的例子。
另外,在不正常判定结果中,附加有由不正常判定部130对于各ID的帧根据被判定(检测)为不正常的数量所计算出的异常度。如图7所示,ID为0x100的数据帧由于在规则号码1的条件下被判定为不正常并且在规则号码2的条件下也被判定为不正常,因此异常度计算为2。ID为0x200的数据帧由于在规则号码1的条件下被判定为不正常而在规则号码3的条件下没有被判定为不正常,因此异常度计算为1。ID为0x300的数据帧由于在规则号码2的条件下被判定为不正常而在规则号码3的条件下没有被判定为不正常,因此异常度计算为1。
[1.8ECU信息表]
图8表示ECU信息表保持部190所保持的ECU信息表的一例。如该图所示,ECU信息表是对数据帧的每个ID关联有关于该ID的数据帧的发送源的ECU的信息(发送ECU信息)的表。图8的例子表示了ID为0x100的数据帧由ECU200a发送、ID为0x200的数据帧由ECU200b发送、0x300的数据帧由ECU200c发送。虽然在图8中进行了省略,但ECU信息表所示的、关于ECU的发送ECU信息例如可以包含为了确定诊断消息的内容所需的信息等,所述诊断消息是针对该ECU,为了诊断该ECU的状态所发送的数据帧。为了诊断某个ECU的状态所发送的诊断消息例如包含用于标识该ECU的标识信息、该ECU的诊断所需的信息等。通过监视ECU100发送诊断消息而开始的ECU的诊断例如是按照预先确定的方式所做出的、对ECU的固件是否被不正常地进行了改写的诊断,例如ECU构成为与该诊断对应地,进行将诊断用信息(例如存储器内容的哈希值等)发送给监视ECU100等这样的预先确定的处理。
[1.9ECU200a的构成]
图9是ECU200a的构成图。ECU200a构成为包括帧收发部201、帧处理部202、设备输入输出部203以及帧生成部204。这些各构成要素为功能性构成要素,其各功能通过ECU200a中的通信电路、执行保存于存储器的控制程序的处理器或数字电路等来实现。此外,ECU200b、ECU200c以及ECU200d也具有与ECU200a大致同样的构成。
帧收发部201向CAN总线300发送、从CAN总线300接收遵循CAN的协议的帧(数据帧等)。帧收发部201从总线300逐比特地接收数据帧,在无错误地完成数据帧的接收时,将数据帧内的ID、DLC、数据这样的信息传送给帧处理部202。帧收发部201在判断为是没有遵循CAN协议的数据帧的情况下,发送错误帧。帧收发部201在接收数据帧期间接收到错误帧的情况下,自此之后将该数据帧废弃。另外,帧收发部201将从帧生成部204收到了通知的帧的内容发送给总线300。通信仲裁这样的遵循CAN的协议的处理也在帧收发部201中实现。
帧处理部202解释所接收到的数据帧的内容。若以具备与ECU200a同样的构成的ECU200d为例进行说明,则在ECU200d的帧处理部202中,对从ECU200a以及ECU200c分别发送来的数据帧所包含的车速(速度传感器210的信息)、齿轮的状态(齿轮230的状态的信息)进行解释,将为了更新仪表板240的显示等所需的信息通知给ECU200d的设备输入输出部203。另外,帧处理部202例如能够在从监视ECU100接收到作为诊断消息的数据帧的情况下,进行预先确定的处理,将诊断用信息以监视ECU100能够接收的方式经由帧收发部201发送到总线300。
在ECU200a、ECU200b或者ECU200c中,设备输入输出部203与连接于该ECU的设备进行通信。例如在与速度传感器210连接的ECU200a中,设备输入输出部203从速度传感器210取得当前的车辆的速度并通知给帧生成部204。在与加速度传感器220连接的ECU200b中,设备输入输出部203从加速度传感器220取得当前的车辆的加速度并通知给帧生成部204。在与齿轮230连接的ECU200c中,设备输入输出部203取得当前的齿轮的变速杆位置并通知给帧生成部204。在与仪表板240连接的ECU200d中,设备输入输出部203通过基于从帧处理部202通知的值来将控制信息向仪表板240送出,进行对仪表板240的显示的更新等。
帧生成部204基于从设备输入输出部203通知的信息来生成向总线300发送的数据帧,将生成的数据帧经由帧收发部201向总线发送。例如在ECU200a中,帧生成部204以预先确定的周期(例如间隔100ms)生成含有从设备输入输出部203通知的来自速度传感器210的车速的信息的数据帧,并通知给帧收发部201。接着,使用图10,对ECU200a、ECU200b、ECU200c分别发送的数据帧的例子进行说明。
[1.10ECU发送的数据帧]
图10表示由ECU200a、ECU200b以及ECU200c分别发送的数据帧的例子。
ECU200a发送的数据帧401的ID为0x100,DLC为2,其数据域用第1字节和第2字节合起来的两个字节表示车速(0.1km/h单位)。在图10中,示出了表示20.0km/h(0xC8)的车速的例子。
ECU200b发送的数据帧402的ID为0x200,DLC为2,其数据域用第1字节和第2字节合起来的两个字节表示加速度(0.01m/s^2单位)。在图10中,示出了表示0.10m/s^2的加速度的例子。
ECU200c发送的数据帧403的ID为0x200,DLC为1,其数据域示出了表示齿轮230的状态的值。该值在齿轮230为“N”(空档)状态下为0、在“R”(倒车档)状态下为1、在“D”(驱动档)状态下为2。在图10中,示出了表示齿轮230的状态为“D”的例子。
[1.11监视ECU100的工作]
图11是表示监视ECU100的工作例的流程图。监视ECU100每隔预定单位时间(例如100ms)周期性地进行不正常检测处理(不正常判定)。
监视ECU100进行等待直至到周期性地进行不正常判定的定时(步骤S1101),进行基于总线300的监视的不正常判定(步骤S1102)。
在步骤S1102中,监视ECU100通过不正常判定部130,参照帧接收历史记录保持部160所保持的帧接收历史记录,基于是否满足不正常检测规则保持部170所保持的不正常检测规则信息所示的各规则(条件),判定是合理还是不正常。
监视ECU100通过不正常判定部130,将步骤S1102中的判定的结果作为不正常判定结果记录于不正常判定结果保持部180,并根据不正常判定结果来计算异常度,将计算出的异常度以附加于不正常判定结果的方式进行记录(步骤S1103)。例如如果计算出的异常度为0,则表示没有检测到异常,如果异常度大于0,则表示检测到了异常。
监视ECU100根据不正常判定的结果,判别是否检测到异常(步骤S1104)。在没有检测到异常的情况下,监视ECU100移至步骤S1101,等待下一不正常判定的定时的到来。
在检测到异常(不正常状态的产生)的情况下,监视ECU100通过不正常应对部140,决定作为对不正常的应对的应对处理的内容。具体而言,在检测到异常的情况下,监视ECU100通过参照ECU信息表保持部190的ECU信息表,取得关于对具有在不正常判定结果保持部180所保持的不正常判定结果中异常度最高的ID的数据帧进行发送的ECU的信息,确定ECU(步骤S1105),并通过将对于所确定的ECU的诊断消息发送给该ECU,例如根据从该ECU接收诊断用信息等来确认该ECU的状态(步骤S1106)。在步骤S1106之后,监视ECU100移至步骤S1101,等待下一不正常判定的定时的到来。此外,在根据步骤S1106中的ECU的状态的确认而检测到该ECU发生了异常的情况下,监视ECU100能够进行用于对车辆的驾驶员等的警告通知、对外部服务器的信息通知及其他应对的控制。
[1.12车载网络系统10中的总线300的监视工作]
图12是表示车载网络系统10中的总线300的监视的工作例的图。
本例表示了从ECU200a、ECU200b以及ECU200c分别周期性地向总线300发送ID为0x100的数据帧(表示车速的数据帧)、ID为0x200的数据帧(表示加速度的数据帧)以及ID为0x300的数据帧(表示齿轮的状态的数据帧)的情形。本例进而表示了如下例子:ECU200a的固件被攻击者不正常地改写,ECU200a从某个时间点起,将从速度传感器210通知的车速篡改,向总线300发送表示不正常的车速的数据帧。
监视ECU100从刚刚接收到ID为0x300的数据帧的定时之后,以100ms为周期定期地进行不正常判定(不正常检测处理)。如果将该进行不正常判定的定时作为各单位时间(100ms)的结束期,则关于在最初的三次单位时间的每一次从总线300接收到的数据帧,根据不正常检测规则保持部170所保存的不正常检测规则信息所示的规则号码1至3中的任一个规则,都没有检测到不正常。假设在本例的最初的时间点,加速度的积分值为20.0km/h。因此,加速度的积分值根据从第1次到第4次的表示加速度的各数据帧的接收,逐次变化为20.072、20.144、20.18、20.21km/h。监视ECU100由于在第4次接收到的车速的数据帧所示的车速(18.0km/h)与基于加速度的数据帧所示的加速度的积分值(20.21km/h)之差(变化量)超过了1.0km/h,因此不满足规则号码1的规则(条件)而检测到不正常。再者,监视ECU100当在第4次接收到的数据帧所示的齿轮的状态为“D”(驱动档)的情况下,由于速度的变化量(第4次接收到的车速的数据帧所示的车速18.0km/h与前一次接收到的数据帧所示的车速19.2km/h之差)超过了1.0km/h,因此检测到规则号码2的不正常。由此,监视ECU100通过参照ECU信息表保持部190所保持的ECU信息表,将因不满足两个规则(条件)从而异常度被计算为2即成为最高的、ID为0x100的数据帧的发送源确定为是ECU200a。然后,监视ECU100向ECU200a发送诊断消息。
[1.13实施方式1的效果]
在实施方式1涉及的车载网络系统10中,监视ECU100基于具有互不相同的多个ID的数据帧的内容间的关系来检测不正常。由此,即使由攻击者通过不正常地改写ECU的固件、或者在ECU上执行不正常的程序等,从而在正规的发送定时发送不正常内容的数据帧,也能够根据ID不同的数据帧间的内容的关系走样(崩溃),检测到不正常数据帧的发送。例如,即使攻击者支配某个ECU而发送不正常数据帧,由于基于与其他ECU发送的数据帧之间的关系而检测到不正常,因而攻击者也难以不被检测到不正常地进行攻击。
另外,监视ECU100通过基于以不正常检测规则信息所示的多个条件为基础进行不正常判定而得到的结果,计算异常度,从而筛选不正常数据帧的ID及其发送源的ECU,高效地进行诊断消息的发送等。如此为了发送与ECU对应的诊断消息而对ECU进行筛选对于为了抑制总线300的通信流量的增大是有用的,即使在进行除诊断消息的发送以外的应对的情况下,为了高效地进行对成为不正常状态的产生原因的ECU的应对,通过计算异常度来筛选ECU也是有用的。
(实施方式2)
以下,对将实施方式1中示出的车载网络系统10进行一部分变形而成的车载网络系统11进行说明。
本实施方式涉及的车载网络系统11中的监视ECU除了基于具有互不相同的ID的数据帧的内容间的关系来检测不正常状态的产生的方法(实施方式1中示出的不正常判定的方法)之外,还使用关于单一ID的数据帧基于按每个ID确定的规则(条件)来检测不正常状态的产生的方法,综合地决定应对处理。
[2.1车载网络系统11的整体结构]
图13是表示车载网络系统11的整体结构的图。
车载网络系统11构成为包括总线300;和监视ECU2100、连接于传感器等各种设备的ECU200a、ECU200b、ECU200c、ECU200d等各ECU这样的连接于总线300的各节点。在车载网络系统11中,还存在连接于总线300的诊断端口2400。对于在此没有特别进行说明之处,车载网络系统11与实施方式1中示出的车载网络系统10(参照图1)是相同的,对于与车载网络系统10同样的构成要素,在图13中,赋予与图1相同的标号并省略在此的说明。
监视ECU2100是对实施方式1中示出的监视ECU100局部进行变形而得到的ECU,其监视流通于总线300的数据帧,进行是否被发送了不正常数据帧的判定(不正常判定以及侵入判定),检测不正常状态的产生。再者,监视ECU2100根据被发送了不正常数据帧的状况(不正常判定以及侵入判定的结果)来决定应对处理的内容,进行应对处理。
诊断端口2400是能够访问总线300的端口。经由诊断端口2400,能够进行由诊断工具等这样的设备向总线300的访问。即,能够对诊断端口2400连接诊断工具等,诊断与总线300相连的ECU的状态。由于能够由该诊断端口2400向总线300发送、从总线300接收数据帧,因而也考虑攻击者经由诊断端口2400发送不正常数据帧的情况。在此,也将经由诊断端口2400向总线300注入(发送)不正常数据帧称为侵入。
[2.2监视ECU2100的构成]
图14是监视ECU2100的构成图。监视ECU2100构成为包括帧收发部110、帧处理部120、不正常判定部130、侵入判定部2131、异常应对部2140、帧生成部150、帧接收历史记录保持部2160、不正常检测规则保持部170、侵入检测规则保持部2171、不正常判定结果保持部180、侵入判定结果保持部2181、ECU信息表保持部190以及异常应对表保持部2191。在图14中,对具有与实施方式1同样的功能的构成要素赋予与图4相同的标号,并省略在此的说明。图14所示的监视ECU2100的各构成要素能够通过监视ECU2100的存储器等存储介质、通信电路、执行保存于存储器的程序的处理器等来实现。
侵入判定部2131以预定单位时间(例如100ms)为周期,周期性地基于侵入检测规则保持部2171所保持的侵入检测规则信息、和帧接收历史记录保持部2160所保持的帧接收历史记录,进行对是否从外部对总线300注入了不正常数据帧的判定(涉及是否被注入了不正常数据帧的侵入判定)。侵入判定部2131基于侵入判定的结果,更新侵入判定结果保持部2181所保持的侵入判定结果。另外,侵入判定部2131在作为侵入判定的结果而判定为侵入、也就是检测到异常产生的情况下,将检测到侵入这一情况通知给异常应对部2140。
异常应对部2140在由不正常判定部130或者侵入判定部2131通知检测到不正常或者侵入(异常产生)时,参照不正常判定结果保持部180所保存的不正常判定结果、侵入判定结果保持部2181所保存的侵入判定结果、ECU信息表保持部190所保存的ECU信息表、和异常应对表保持部2191所保存的异常应对表,决定作为对异常的应对的应对处理的内容。异常应对部2140在决定了应对处理的情况下,进行用于该应对处理的执行的控制。例如,异常应对部2140在取得包含特定ID的数据帧异常(例如不正常且计算出的异常度最高等)这一不正常判定结果、和关于该包含特定ID的数据帧判定为侵入的侵入判定结果的情况下,由于经由诊断端口2400被注入了不正常数据帧的可能性高,因此请求帧生成部150生成用于为了催促用户(驾驶员等)确认是否有不正常的设备连接于诊断端口2400而发送的数据帧。另外,例如异常应对部2140在取得没有检测到包含特定ID的数据帧的侵入这一侵入判定结果、和检测到该包含特定ID的数据帧的异常的不正常判定结果的情况下,设为ECU的固件被不正常地进行了改写的可能性高,参照ECU信息表,请求帧生成部150生成针对发送该数据帧的ECU的诊断消息。
帧接收历史记录保持部2160保持帧接收历史记录(参照图15),该帧接收历史记录是与监视ECU2100逐次接收到的数据帧有关的信息。
侵入检测规则保持部2171保持侵入检测规则信息(参照图16),该侵入检测规则信息表示侵入判定部2131为了进行侵入判定而参照的关于单一ID的数据帧按每个ID确定的条件。
侵入判定结果保持部2181保持侵入判定结果(参照图17),该侵入判定结果是作为侵入判定部2131判定是否满足侵入检测规则信息所示的条件而得到的结果。
异常应对表保持部2191保持为了根据不正常判定结果以及侵入判定结果,针对不正常或者侵入的发生来决定适当的应对处理的内容所使用的异常应对表(参照图18)。
[2.3帧接收历史记录]
图15表示帧接收历史记录保持部2160所保持的帧接收历史记录的一例。帧接收历史记录是与监视ECU2100从过去到当前为止接收到的数据帧的内容有关的信息,在该图的例子中,表示了帧接收历史记录中的、关于三个ID各自的、从当前(最新)到前两次为止接收到的数据帧的接收时刻与数据帧的内容所示的特定值(表示车速、加速度、齿轮的状态的各方的值)。本例表示了与车速有关的具有0x100这一ID的数据帧中的、最新的数据帧的接收时刻为210ms、接收到的数据帧所示的车速的值为18.0km/h;前一次的接收时刻为110ms、接收到的数据帧的车速的值为19.2km/h;前两次的接收时刻为10ms、接收到的值为19.6km/h。另外,表示了与加速度有关的具有0x200这一ID的数据帧中的、从最新到前两次为止接收到的数据帧的接收时刻分别为220ms、120ms、20ms,接收到的各数据帧所示的加速度的值分别为0.10m/s^2、0.10m/s^2、0.20m/s^2。另外,表示了与齿轮的状态有关的具有0x300这一ID的数据帧中的、从最新到前两次为止接收到的数据帧的接收时刻分别为230ms、130ms、30ms,接收到的各数据帧所示的齿轮的状态的值全部为表示“D”(驱动档)的状态的值。
该帧接收历史记录在由不正常判定部130进行的不正常判定以及由侵入判定部2131进行的侵入判定中使用。在图15中,仅表示了从最新到前两次接收到的数据帧的内容所示的值,而帧接收历史记录能够构成为包含不正常判定部130使用不正常检测规则信息所进行的不正常判定中所需的信息、以及侵入判定部2131使用侵入检测规则信息所进行的侵入判定中所需的信息。例如,帧接收历史记录可以是表示在车辆开始行驶时(例如发动机启动时)等之后监视ECU2100接收到的所有数据帧的内容的信息。此外,帧接收历史记录保持部2160例如也可以具有一个用于存储加速度的积分值的区域。
[2.4侵入检测规则信息]
图16表示侵入检测规则保持部2171所保持的侵入检测规则信息的一例。侵入检测规则信息按每个ID含有关于具有该ID的数据帧而应该满足的条件(规则)。由侵入判定部2131为了进行侵入判定来确认是否满足侵入检测规则信息所示的条件。通过检测不满足该条件的数据帧,侵入判定部2131检测侵入。在图16的例子中,侵入检测规则信息按每个ID,表示了用于规定条件的接收间隔、余量(margin)以及数据变化量。接收间隔表示对应的ID的数据帧所被接收的间隔,余量表示接收间隔的波动的容许范围。在图16的例子中,例如关于ID为0x100的数据帧,接收间隔为100ms,余量为5ms,因此如果接收到ID为0x100的数据帧的间隔在95ms至105ms的范围内,则满足条件,当满足条件时在侵入判定中判定为正常(非侵入)。在不满足该条件的情况下,在侵入判定中判定为异常(检测到侵入)。数据变化量表示对应的ID的、从由前一次接收到的数据帧的数据域中提取出的数据值到由当前接收到的数据帧的数据域中提取出的数据值为止发生变化的变化量(值的差异)的上限这一条件。在图16的例子中,例如关于ID为0x100的数据帧(车速)的数据变化量是2km/h,因此如果ID为0x100的连续接收到的数据帧的数据(车速)间的变化量是2km/h以内的变化,则满足上限条件,当满足条件时在侵入判定中判定为正常(非侵入)。例如如果从接收到表示车速19.2km/h的ID为0x100的数据帧起,接着接收的ID为0x100的数据帧的车速的值是17.2~21.2km/h,则监视ECU2100判定为正常。在不满足该条件的情况下,在侵入判定中判定为异常(侵入)。在图16的例子中,作为关于ID为0x200的数据帧的条件,规定了接收间隔100ms、余量5ms以及数据变化量5m/s^2。另外,作为关于ID为0x300的数据帧的条件,规定了接收间隔100ms以及余量5ms,但没有规定数据变化量。这意味着没有与数据变化量有关的条件。如此,作为侵入检测规则信息所示的关于各ID的数据帧的条件,规定为如下条件是有用的:在该ID的正常的数据帧被周期性地发送的状况下,当从外部注入了具有该ID的不正常的数据帧时,由于在与正常的数据帧之间产生不一致(龃龉)因而变得不满足条件。图16的例子鉴于根据正常的数据帧与从外部注入的不正常的数据帧混在一起从而变得不满足接收间隔以及数据变化量所涉及的条件的可能性,规定了该条件。
[2.5侵入判定结果]
图17表示侵入判定结果保持部2181所保持的侵入判定结果的一例。在图17的例子中,侵入判定结果表示,关于数据帧的各ID,基于该ID的数据帧所涉及的条件,由侵入判定部2131判定为正常(非侵入)、还是判定为异常(检测到侵入)。图17的例子表示了通过侵入判定部2131,ID为0x100的数据帧被判定为正常、ID为0x200的数据帧被判定为异常、ID为0x300的数据帧被判定为正常。
[2.6异常应对表]
图18表示异常应对表保持部2191所保持的异常应对表的一例。参照该异常应对表,异常应对部2140基于不正常判定结果以及侵入判定结果来决定作为对异常的应对的应对处理的内容。如图18所示,根据不正常判定结果和侵入判定结果的组合,应对发生变化。在图18的例子中,异常应对表表示在不正常判定结果为正常(例如异常度为0)且侵入判定结果为正常的情况下,作为应对处理,不特别做什么(不进行任何应对)。
另外,本例的异常应对表表示在不正常判定结果为异常(例如异常度大于0)且侵入判定结果为正常的情况下,将通过向与异常的数据帧的发送源相符的ECU发送诊断消息来确认状况作为应对处理的内容。虽然没有从外部注入不正常消息(用于攻击的数据帧)但互不相同的ID的数据帧的内容间的关系出现了走样,因而存在相关ECU的固件被不正常地进行了改写的可能性,所以该向相关ECU发送诊断消息是为了对此进行应对而有用的处理。
另外,本例的异常应对表表示在不正常判定结果为正常且侵入判定结果为异常的情况下,将进行催促用户确认诊断端口2400等外部设备连接用的接口的通知作为应对处理的内容。虽然没有通过由攻击者对ECU的固件的改写等的对ECU的支配,但存在从外部重新发送正常的消息等被进行攻击的试行的可能性,所以该向用户的通知是为了对此进行应对而有用的处理。向用户的通知例如能够通过如下控制等来实现:从监视ECU2100向总线300发送预定ID的数据帧,在ECU200d接收到该预定ID的数据帧时将预先确定的消息显示于仪表板240。
另外,本例的异常应对表表示在不正常判定结果为异常且侵入判定结果也为异常的情况下,将进行催促用户确认诊断端口2400等外部设备连接用的接口的通知、以及向各ECU发送通知产生了异常这一情况的帧(异常通知消息)作为应对处理的内容。这是对于在假定存在从外部注入了攻击帧从而ECU被进行了支配的可能性且对车辆的控制的危险度高的情况的应对的一例。此外,车载网络系统11中的各ECU能够构成为在接收到异常通知消息的情况下进行预先确定的安全对策(例如使车辆减速、停止等行驶控制、自动行驶功能的弱化等)。
[2.7监视ECU2100的工作]
图19是表示监视ECU2100的工作例的流程图。监视ECU2100例如每隔100ms周期性地进行不正常检测处理(不正常判定)以及侵入检测处理(侵入判定)。
监视ECU2100进行等待直至到周期性地进行不正常判定的定时(步骤S2101),进行基于总线300的监视的不正常判定(步骤S2102)。在步骤S2102中,监视ECU2100通过不正常判定部130,参照帧接收历史记录保持部2160所保持的帧接收历史记录,基于是否满足不正常检测规则保持部170所保持的不正常检测规则信息所示的各规则(条件),判定是合理还是不正常。此外,不正常判定部130将不正常判定结果保存于不正常判定结果保持部180,将异常度的计算结果附加于不正常判定结果。
接着,监视ECU2100进行侵入判定(步骤S2103)。在步骤S2103中,监视ECU2100通过侵入判定部2131,参照帧接收历史记录保持部2160所保持的帧接收历史记录,基于是否满足侵入检测规则保持部2171所保持的侵入检测规则信息所示的条件,判定是正常还是异常(检测到侵入)。此外,侵入判定部2131将侵入判定结果保存于侵入判定结果保持部2181。
接着,监视ECU2100基于不正常判定结果以及侵入判定结果,按照异常应对表保持部2191所保持的异常应对表,决定应对处理的内容(步骤S2104)。
然后,监视ECU2100执行在步骤S2104中决定的内容的应对处理(步骤S2105),并移至步骤S2101。此外,监视ECU2100在不正常判定结果以及侵入判定结果两方均为正常的情况下,不特别执行应对处理。
[2.8车载网络系统11中的总线300的监视的工作例1]
图20表示车载网络系统11中的总线300的监视的工作例1。
本例表示了从ECU200a、ECU200b以及ECU200c分别周期性地向总线300发送ID为0x100的数据帧(表示车速的数据帧)、ID为0x200的数据帧(表示加速度的数据帧)以及ID为0x300的数据帧(表示齿轮的状态的数据帧)的情形。本例进而表示了在某个时间点由攻击者从诊断端口2400注入(发送)了ID为0x200的不正常的数据帧的例子。
监视ECU2100对总线300进行监视,当从诊断端口2400注入了ID为0x200的不正常的数据帧(表示加速度-1.50的数据帧)时,变得不满足不正常检测规则信息(参照图6)所示的规则号码3的条件(涉及齿轮的状态“D”与加速度的变化量的关系的条件)。因此,由监视ECU2100在不正常判定中判定为不正常,由此检测到异常。另外,由于该不正常的数据帧的注入,ID为0x200的数据帧的接收间隔变为50ms,变得不满足侵入检测规则信息(参照图16)所示的、关于ID为0x200的数据帧的由接收间隔以及余量规定的条件。因此,由监视ECU2100在侵入判定中检测到异常。然后,监视ECU2100由于在不正常判定以及侵入判定的两方中均检测到异常,因此按照异常应对表(参照图18),执行催促用户确认诊断端口2400并且向各ECU通知车载网络中产生了异常这一情况的应对处理(预先确定的数据帧的发送等)。
[2.9车载网络系统11中的总线300的监视的工作例2]
图21表示车载网络系统11中的总线300的监视的工作例2。
与工作例1同样地,本例表示了从ECU200a、ECU200b以及ECU200c分别周期性地向总线300发送表示车速的数据帧、表示加速度的数据帧以及表示齿轮的状态的数据帧的情形。本例进而表示了在某个时间点由攻击者从诊断端口2400注入(发送)了ID为0x100的不正常的数据帧的例子。
在本例中,由于从诊断端口2400注入了不正常的数据帧,ID为0x100的数据帧的接收间隔变为80ms,变得不满足侵入检测规则信息所示的、关于ID为0x100的数据帧的由接收间隔以及余量规定的条件。因此,虽然在监视ECU2100中的不正常判定中没有判定为不正常(也就是没有检测到异常),但在侵入判定中检测到了异常。然后,监视ECU2100由于仅在侵入判定中检测到异常,因此按照异常应对表(参照图18),执行催促用户确认诊断端口2400的应对处理(预先确定的数据帧的发送等)。
[2.10实施方式2的效果]
在实施方式2涉及的车载网络系统11中,监视ECU2100除了基于具有互不相同的多个ID的数据帧的内容间的关系来检测不正常的不正常判定之外,还进行关于单一ID的数据帧基于按每个ID确定的条件来检测侵入的侵入判定。而且,根据不正常判定结果和侵入判定结果的组合,决定应对处理的内容,执行应对处理。由此,即使由攻击者通过不正常地改写ECU的固件、或者在ECU上执行不正常的程序等,从而在正规的发送定时发送不正常内容的数据帧,也能够根据ID不同的数据帧间的内容的关系走样,检测到不正常数据帧的发送。例如,即使攻击者支配某个ECU而发送不正常数据帧,由于基于与其他ECU发送的数据帧之间的关系而检测到不正常,因而攻击者也难以不被检测到不正常地进行攻击。再者,也能够适当地对攻击者从外部注入不正常的数据帧的情况进行检测,能够根据不正常判定结果和侵入判定结果的组合,进行与攻击的状况相应的适当应对。
(实施方式3)
以下,对将实施方式2中示出的车载网络系统11进行一部分变形而成的车载网络系统12进行说明。
本实施方式涉及的车载网络系统12中的监视ECU除了基于具有互不相同的ID的数据帧的内容间的关系来检测不正常状态的产生的方法、以及关于单一ID的数据帧基于按每个ID确定的规则(条件)来检测不正常状态的产生的方法之外,还使用判别附于数据帧的消息认证码(MAC:Message Authentication Code)的验证是否成功的方法,综合地决定应对处理。
[3.1车载网络系统12的整体结构]
图22是表示车载网络系统12的整体结构的图。
车载网络系统12构成为包括总线300;监视ECU3100、连接于传感器等各种设备的ECU3200a、ECU3200b、ECU3200c、ECU3200d等各ECU这样的连接于总线300的各节点;和连接于总线300的诊断端口2400。对于在此没有特别进行说明之处,车载网络系统12与实施方式2中示出的车载网络系统11(参照图13)是相同的,对于与车载网络系统11同样的构成要素,在图22中,赋予与图13相同的标号并省略在此的说明。
监视ECU3100是对实施方式2中示出的监视ECU2100局部进行变形而得到的ECU,其监视流通于总线300的数据帧,进行是否被发送了不正常数据帧的判定(不正常判定以及侵入判定),检测不正常状态的产生。再者,监视ECU3100对流通于总线300的数据帧附带的MAC进行验证,根据MAC的验证结果和被发送了不正常数据帧的状况(不正常判定以及侵入判定的结果)来决定应对处理的内容,进行应对处理。
ECU3200a、ECU3200b、ECU3200c以及ECU3200d与总线300连接,分别连接于速度传感器210、加速度传感器220、齿轮230、仪表板240。ECU3200a周期性地从速度传感器210取得车辆的速度,周期性地向总线300发送包含表示所取得的速度的信息和MAC的数据帧。ECU3200b周期性地从加速度传感器220取得车辆的加速度,周期性地向总线300发送包含表示所取得的加速度的信息和MAC的数据帧。ECU3200c周期性地取得齿轮230的状态,周期性地向总线300发送包含表示齿轮230的状态的信息和MAC的数据帧。ECU3200d接收包含表示车辆的速度的信息或者表示齿轮的状态的信息的各数据帧,对附于数据帧的MAC进行验证,在验证成功的情况下(能够验证为MAC正当的情况下),更新由仪表板240显示的信息。
监视ECU3100、ECU3200a、ECU3200b、ECU3200c以及ECU3200d共享共通的密钥,例如根据AES(Advanced Encryption Standard,高级加密标准)-CMAC(Cipher-based MAC)算法来生成及验证MAC。另外,在车载网络系统12中,各ECU遵循CAN协议进行帧的授受。
[3.2监视ECU3100的构成]
图23是监视ECU3100的构成图。监视ECU3100构成为包括帧收发部110、帧处理部120、不正常判定部3130、侵入判定部3131、异常应对部3140、帧生成部150、MAC验证部3500、MAC生成部3510、帧接收历史记录保持部3160、不正常检测规则保持部170、侵入检测规则保持部2171、不正常判定结果保持部3180、侵入判定结果保持部3181、ECU信息表保持部190以及异常应对表保持部3191。在图23中,对具有与实施方式1的监视ECU100或者实施方式2的监视ECU2100同样的功能的构成要素赋予与图4或者图14相同的标号,并省略在此的说明。图23所示的监视ECU3100的各构成要素能够通过监视ECU3100的存储器等存储介质、通信电路、执行保存于存储器的程序的处理器等来实现。
不正常判定部3130是对实施方式1中示出的不正常判定部130局部进行变形而得到的,其以预定单位时间(例如100ms)为周期,周期性地基于不正常检测规则保持部170所保持的不正常检测规则信息、和包含MAC的验证结果的帧接收历史记录保持部3160所保持的帧接收历史记录,进行对是否接收到不正常数据帧的判定(涉及是否被发送了不正常数据帧的不正常判定)。对于在此没有特别表示之处,不正常判定部3130与不正常判定部130是同样的。不正常判定部3130基于不正常判定的结果,更新不正常判定结果保持部3180所保持的不正常判定结果。另外,不正常判定部3130在作为不正常判定的结果而判定为不正常的情况下(也就是检测到不正常状态的产生的情况下),将检测到不正常这一情况通知给异常应对部3140。
侵入判定部3131以预定单位时间(例如100ms)为周期,周期性地基于侵入检测规则保持部2171所保持的侵入检测规则信息、和帧接收历史记录保持部3160所保持的帧接收历史记录,进行对是否从外部对总线300注入了不正常数据帧的判定(涉及是否被注入了不正常数据帧的侵入判定)。侵入判定部3131基于侵入判定的结果,更新侵入判定结果保持部3181所保持的侵入判定结果。另外,侵入判定部3131在作为侵入判定的结果而判定为侵入、也就是检测到异常产生的情况下,将检测到侵入这一情况通知给异常应对部3140。
异常应对部3140在由不正常判定部3130或者侵入判定部3131通知检测到不正常或者侵入(异常产生)时,参照不正常判定结果保持部3180所保存的不正常判定结果、侵入判定结果保持部3181所保存的侵入判定结果、ECU信息表保持部190所保存的ECU信息表、和异常应对表保持部3191所保存的异常应对表,决定作为对异常的应对的应对处理的内容。异常应对部3140在决定了应对处理的情况下,进行用于该应对处理的执行的控制。例如,异常应对部3140在MAC的验证成功而不正常判定结果表示异常且侵入检测结果没有表示异常的情况下,由于ECU的固件被不正常地进行了改写并被利用了认证用密钥(MAC生成所使用的密钥)的可能性高,因此请求帧生成部150生成应该向异常所涉及的数据帧的发送源的ECU发送的诊断消息,进而请求帧生成部150生成为了催促密钥的更新而向其他ECU发送的、预先确定的更新用消息(更新用的数据帧)。
如图24所示,MAC验证部3500构成为包括MAC生成部3510以及MAC比较部3520。MAC生成部3510构成为包括数据处理部3511、AES加密部3512以及密钥保持部3513。数据处理部3511在接收到的数据帧中提取被确定为MAC的生成所使用的部分(例如将ID与数据域中的MAC以外的部分等连结),并进行填充(padding)等处理以使得与AES加密部3512的输入尺寸相适。AES加密部3512例如作为加密函数等实现(实装),将数据处理部3511处理后的数据用密钥保持部3513所保持的密钥进行加密,将通过加密获得的值的一部分生成为MAC,并通知给MAC比较部3520。数据处理部3511也可以使逐次递增(count-up)的计数值包含于加密对象的数据来作为再发送攻击对策。MAC比较部3520对从MAC生成部3510通知的MAC与接收到的数据帧的数据域所含的MAC进行比较,判断是否相等。MAC验证部3500在根据MAC比较部3520的比较,两个MAC相等的情况下输出表示MAC正当(验证成功)的验证结果,在不相等的情况下输出表示MAC不正当(验证失败)的验证结果。此外,由MAC验证部3500得到的MAC的验证结果与由帧收发部110接收到的数据帧的信息一起被通知给帧处理部120。在帧处理部120中,基于取得的数据帧的信息和MAC的验证结果,更新帧接收历史记录保持部3160所保存的与各数据帧有关的信息(帧接收历史记录)。
帧接收历史记录保持部3160保持帧接收历史记录(参照图25),该帧接收历史记录是与监视ECU3100逐次接收到的数据帧有关的信息,是包含MAC的验证结果的信息。
不正常判定结果保持部3180保持不正常判定结果(参照图26),该不正常判定结果是作为不正常判定部3130判定是否与不正常检测规则信息所示的规则(条件)相适而得到的结果。
侵入判定结果保持部3181保持侵入判定结果(参照图27),该侵入判定结果是作为侵入判定部3131判定是否满足侵入检测规则信息所示的条件而得到的结果。
异常应对表保持部3191保持为了根据不正常判定结果、侵入判定结果以及MAC的验证结果,针对不正常或者侵入的发生来决定适当的应对处理的内容所使用的异常应对表(参照图28)。
[3.3帧接收历史记录]
图25表示帧接收历史记录保持部3160所保持的帧接收历史记录的一例。帧接收历史记录是与监视ECU3100从过去到当前为止接收到的数据帧的内容以及MAC的验证结果有关的信息,在该图的例子中,表示了帧接收历史记录中的、关于三个ID各自的、从当前(最新)到前两次为止接收到的数据帧的接收时刻、MAC的验证结果以及数据帧的内容所示的特定值(表示车速、加速度、齿轮的状态的各方的值)。本例表示了与车速有关的具有0x100这一ID的数据帧中的、最新的数据帧的接收时刻为210ms、MAC为正当、接收到的数据帧所示的车速的值为18.0km/h;前一次的接收时刻为110ms、MAC为正当、接收到的数据帧的车速的值为19.2km/h;前两次的接收时刻为10ms、MAC为不正当、接收到的值为0.0km/h。另外,表示了与加速度有关的具有0x200这一ID的数据帧中的、从最新到前两次为止接收到的数据帧的接收时刻分别为220ms、120ms、20ms,接收到各数据帧所示的加速度的值分别为0.10m/s^2、0.10m/s^2、0.20m/s^2,MAC全部为正当。另外,表示了与齿轮的状态有关的具有0x300这一ID的数据帧中的、从最新到前两次为止接收到的数据帧的接收时刻分别为230ms、130ms、30ms,接收到的各数据帧所示的齿轮的状态的值全部为表示“D”(驱动档)的状态的值,MAC全部为正当。
该帧接收历史记录在由不正常判定部3130进行的不正常判定以及由侵入判定部3131进行的侵入判定中使用。在图25中,仅表示了从最新到前两次接收到的数据帧的内容所示的值,而帧接收历史记录能够构成为包含不正常判定部3130使用不正常检测规则信息所进行的不正常判定中所需的信息、以及侵入判定部3131使用侵入检测规则信息所进行的侵入判定中所需的信息。例如,帧接收历史记录可以是表示在车辆开始行驶时(例如发动机启动时)等之后监视ECU3100接收到的所有数据帧的内容的信息。此外,帧接收历史记录保持部3160例如也可以具有一个用于存储加速度的积分值的区域。
[3.4不正常判定结果]
图26表示不正常判定结果保持部3180所保持的不正常判定结果的一例。在该图的例子中,不正常判定结果表示,关于数据帧的各ID(该图左端),是否由不正常判定部3130基于涉及该ID的数据帧与其他ID的数据帧之间的关系的条件,判定为不正常(是否判定为合理)。此外,在图26中,除了是否判定为不正常之外,还附记有该判定所使用的、关于不正常检测规则信息中的规则(条件)的规则号码。本例表示了由不正常判定部3130判定为不满足规则号码1的条件和规则号码2的条件(也就是判定为不正常)、判定为满足规则号码3的条件(也就是判定为合理)的例子。
另外,在不正常判定结果中,附加有由不正常判定部3130对于各ID的帧根据被判定(检测)为不正常的数量所计算出的异常度。如图26所示,ID为0x100的数据帧由于在规则号码1的条件下被判定为不正常并且在规则号码2的条件下也被判定为不正常,因此异常度计算为2。ID为0x200的数据帧由于在规则号码1的条件下被判定为不正常而在规则号码3的条件下没有被判定为不正常,因此异常度计算为1。ID为0x300的数据帧由于在规则号码2的条件下被判定为不正常而在规则号码3的条件下没有被判定为不正常,因此异常度计算为1。
再者,在不正常判定结果中,由不正常判定部3130按每个ID附加有关于该ID的数据帧的MAC的验证结果为不正当的数量。不正常判定部3130通过基于帧接收历史记录,对MAC的验证结果成为不正当的数量进行计数,从而将计数结果作为MAC的不正当次数附加于不正常判定结果。
[3.5侵入判定结果]
图27表示侵入判定结果保持部3181所保持的侵入判定结果的一例。在图27的例子中,侵入判定结果表示,关于数据帧的各ID,基于该ID的数据帧所涉及的条件,由侵入判定部3131判定为正常(非侵入)、还是判定为异常(检测到侵入)。
再者,在侵入判定结果中,由侵入判定部3131按每个ID附加有关于该ID的数据帧的MAC的验证结果。侵入判定部3131基于帧接收历史记录,将MAC的正当性的验证结果附加于侵入判定结果。
图27的例子表示了通过侵入判定部3131,ID为0x100的数据帧被判定为正常,同样地ID为0x200以及0x300的各数据帧也被判定为正常。另外,本例表示了对ID为0x100的数据帧附加了不正当的MAC、表示了对ID为0x200以及0x300的各数据帧附加了正当的MAC。
[3.6异常应对表]
图28表示异常应对表保持部3191所保持的异常应对表的一例。按照该异常应对表,异常应对部3140基于不正常判定结果、侵入判定结果以及MAC的验证结果(MAC是否正当),决定作为对异常的应对的应对处理的内容。如图28所示,根据不正常判定结果、侵入判定结果和MAC的验证结果的组合,应对发生变化。在图28的例子中,异常应对表表示在不正常判定结果为正常(例如异常度为0)且侵入判定结果为正常的情况下,当MAC为正当时,作为应对处理,不特别做什么(不进行任何应对)。另外,本例的异常应对表表示在不正常判定结果为正常且侵入判定结果为正常的情况下,当MAC为不正当时,将通过向与附加了不正当的MAC的数据帧的发送源相符的ECU发送诊断消息来确认状况、和进行密钥的更新(密钥更新处理)(例如发送MAC生成用的密钥的更新所涉及的更新用消息)作为应对处理的内容。该应对处理是鉴于如下可能性的应对:由于MAC不正当,因此ECU中的密钥的共享、作为再发送攻击对策使用的计数的同步等中可能存在问题。此外,各ECU能够构成为在接收到更新用消息的情况下进行密钥的更新、计数的复位(reset)等。此外,在发送更新用消息使ECU更新密钥的情况下,监视ECU3100用与该更新对应的同样的方法,更新密钥保持部3513中的密钥。
另外,本例的异常应对表表示在不正常判定结果为异常(例如异常度大于0)且侵入判定结果为正常的情况下,当MAC为正当时,将通过向与异常的数据帧的发送源相符的ECU发送诊断消息来确认状况、和进行密钥更新处理作为应对处理的内容。虽然没有从外部注入不正常消息(用于攻击的数据帧)但互不相同的ID的数据帧的内容间的关系出现了走样,因而存在相关ECU的固件被不正常地进行了改写的可能性,且MAC为正当的,因而存在密钥泄漏的可能性,所以该应对处理是为了对此进行应对而有用的处理。另外,本例的异常应对表表示在不正常判定结果为异常且侵入判定结果为正常的情况下,当MAC为不正当时,将通过向与异常的数据帧的发送源相符的ECU发送诊断消息来确认状况作为应对处理的内容。虽然没有从外部注入不正常消息但互不相同的ID的数据帧的内容间的关系出现了走样,因而存在相关ECU的固件被不正常地进行了改写的可能性,且MAC为不正当的,因而假定密钥没有泄漏的可能性高,所以该应对处理是有用的应对。
另外,本例的异常应对表表示在不正常判定结果为正常且侵入判定结果为异常的情况下,当MAC为正当时,将进行催促用户确认诊断端口2400等外部设备连接用的接口的通知、和进行密钥更新处理作为应对处理的内容。虽然互不相同的ID的数据帧的内容间的关系没有走样,但从外部注入了不正常消息,且由于MAC为正当的,因此存在重新发送正常的数据帧等被进行攻击的试行的可能性,所以该应对处理是为了对此进行应对而有用的处理。通过该应对处理中的密钥更新处理,能够防止包含正当的MAC的数据帧的从外部的注入。另外,本例的异常应对表表示在不正常判定结果为正常且侵入判定结果为异常的情况下,当MAC为不正当时,将进行催促用户确认诊断端口2400等外部设备连接用的接口的通知作为应对处理的内容。由于虽然存在从外部重新发送正常的消息等被进行攻击的试行的可能性,但假定密钥没有泄漏的可能性高,因此这是有用的应对。向用户的通知例如能够通过如下控制等来实现:从监视ECU3100向总线300发送预定ID的数据帧,在ECU3200d接收到该预定ID的数据帧时将预先确定的消息显示于仪表板240。
另外,本例的异常应对表表示在不正常判定结果为异常且侵入判定结果也为异常的情况下,当MAC为正当时,将进行催促用户确认诊断端口2400等外部设备连接用的接口的通知、向各ECU发送通知产生了异常这一情况的帧(异常通知消息)、以及进行密钥更新处理作为应对处理的内容。假定从外部注入了不正常消息的可能性高、密钥也被泄漏、对车辆的控制的不良影响大,所以该应对处理是有用的应对。另外,本例的异常应对表表示在不正常判定结果为异常且侵入判定结果也为异常的情况下,当MAC为不正当时,将进行催促用户确认诊断端口2400等外部设备连接用的接口的通知、以及向各ECU发送异常通知消息作为应对处理的内容。虽然从外部注入了攻击帧存在ECU被支配的可能性,但假定密钥没有泄漏的可能性高,所以这是有用的应对。此外,车载网络系统12中的各ECU能够构成为在接收到异常通知消息的情况下进行预先确定的安全对策(例如使车辆减速、停止等行驶控制、自动行驶功能的弱化等)。
[3.7ECU3200a的构成]
图29是ECU3200a的构成图。ECU3200a构成为包括帧收发部201、帧处理部202、设备输入输出部203、帧生成部204、MAC验证部3500以及MAC生成部3510。这些各构成要素为功能性构成要素,其各功能通过ECU3200a中的通信电路、执行保存于存储器的控制程序的处理器或数字电路等来实现。此外,ECU3200b、ECU3200c以及ECU3200d也具有与ECU3200a大致同样的构成。在图29中,对于与实施方式1中示出的ECU200a(参照图9)同样的构成要素,赋予与图9相同的标号,在此省略说明。另外,MAC验证部3500和MAC生成部3510与图24所示的监视ECU3100的构成要素是同样的,因此在此省略说明。
帧处理部3202解释由帧收发部201接收到的、作为MAC验证部3500中的验证结果确定MAC为正当的数据帧的内容。例如在具备与ECU3200a同样的构成的ECU3200d的帧处理部3202中,解释分别从ECU3200a以及ECU3200c发送来的数据帧所包含的车速(速度传感器210的信息)、齿轮的状态(齿轮230的状态的信息),将为了更新仪表板240的显示等所需的信息通知给ECU3200d的设备输入输出部203。另外,帧处理部3202例如能够在从监视ECU3100接收到作为诊断消息的数据帧的情况下,进行预先确定的处理,将诊断用信息以监视ECU3100能够接收的方式经由帧收发部201发送到总线300。
[3.8监视ECU3100的工作]
监视ECU3100与实施方式2中示出的监视ECU2100同样地,例如每隔100ms周期性地进行不正常检测处理(不正常判定)以及侵入检测处理(侵入判定)(参照图19)。但是,在帧接收历史记录中,还保存从总线300接收到的数据帧中的MAC的验证结果。而且,监视ECU3100基于不正常判定结果、侵入判定结果以及MAC的验证结果,按照异常应对表,决定应对处理的内容。然后,监视ECU3100执行所决定的内容的应对处理。
[3.9车载网络系统12中的总线300的监视的工作例1]
图30表示车载网络系统12中的总线300的监视的工作例1。
本例表示了从ECU3200a、ECU3200b以及ECU3200c分别周期性地向总线300发送ID为0x100的数据帧(表示车速的数据帧)、ID为0x200的数据帧(表示加速度的数据帧)以及ID为0x300的数据帧(表示齿轮的状态的数据帧)的情形。本例进而表示了如下例子:ECU3200a的固件被攻击者不正常地改写,ECU3200a从某个时间点起,将从速度传感器210通知的车速篡改,向总线300发送表示不正常的车速的数据帧。在本例中,假定密钥被泄漏,所有数据帧所包含的MAC为正当的状况。
监视ECU3100从刚刚接收到ID为0x300的数据帧的定时之后,以100ms为周期定期地进行不正常判定(不正常检测处理)。如果将该进行不正常判定的定时作为各单位时间(100ms)的结束期,则关于在最初的三次单位时间的每一次从总线300接收到的数据帧,根据不正常检测规则保持部170所保存的不正常检测规则信息所示的规则号码1至3中的任一个规则,都没有检测到不正常。假设在本例的最初的时间点,加速度的积分值为20.0km/h。因此,加速度的积分值根据从第1次到第3次的表示加速度的各数据帧的接收,逐次变化为20.072、20.144、20.18km/h。监视ECU3100由于在第3次接收到的车速的数据帧所示的车速(18.0km/h)与基于加速度的数据帧所示的加速度的积分值(20.18km/h)之差(变化量)超过了1.0km/h,因此不满足规则号码1的规则(条件)而检测到不正常。再者,监视ECU3100在接收到的数据帧所示的齿轮的状态为“D”(驱动档)的情况下,由于速度的变化量(第3次接收到的车速的数据帧所示的车速18.0km/h与前一次接收到的数据帧所示的车速19.6km/h之差)超过了1.0km/h,因此检测到规则号码2的不正常。由此,监视ECU3100由于不正常判定结果为异常、侵入判定结果为正常并且MAC的验证结果为正当,因此按照异常应对表,将向相关ECU发送诊断消息以及密钥更新处理决定作为应对处理的内容,进行应对处理。即,监视ECU3100通过参照ECU信息表保持部190所保持的ECU信息表,将因不满足两个规则(条件)从而异常度被计算为2即成为最高的、ID为0x100的数据帧的发送源确定为是ECU3200a,并向ECU3200a发送诊断消息。另外,监视ECU3100对各ECU进行催促密钥更新处理的通知(密钥的更新所涉及的更新用消息的发送)。
[3.10车载网络系统12中的总线300的监视的工作例2]
图31表示车载网络系统12中的总线300的监视的工作例2。图31的工作例2表示了状况与监视ECU3100的工作例1相似、但密钥没有泄漏、ECU3200a发送的数据帧所包含的MAC成为不正当的例子。在本例中,监视ECU3100由于不正常判定结果为异常、侵入判定结果为正常并且MAC的验证结果为不正当,因此按照异常应对表,将对相关ECU(也就是ECU3200a)发送诊断消息决定作为应对处理的内容,并进行应对处理。
[3.11实施方式3的效果]
在实施方式3涉及的车载网络系统12中,监视ECU3100が、基于具有互不相同的多个ID的数据帧的内容间的关系来检测不正常的不正常判定、关于单一ID的数据帧基于按每个ID确定的条件来检测侵入的侵入判定、和MAC的正当性的验证结果的组合,决定应对处理的内容,并执行应对处理。由此,即使由攻击者通过不正常地改写ECU的固件、或者在ECU上执行不正常的程序等,从而在正规的发送定时发送不正常内容的数据帧,也能够根据ID不同的数据帧间的内容的关系走样,检测到不正常数据帧的发送。例如,即使攻击者支配某个ECU而发送不正常数据帧,由于基于与其他ECU发送的数据帧之间的关系而检测到不正常,因而攻击者也难以不被检测到不正常地进行攻击。再者,也能够适当地对攻击者从外部注入不正常的数据帧的情况进行检测,能够根据不正常判定结果、侵入判定结果和MAC的验证结果的组合,进行与攻击的状况相应的适当应对。
(其他实施方式)
如上所述,作为本公开涉及的技术的示例,对实施方式1~3进行了说明。然而,本公开涉及的技术并不限定于此,也能够适用于进行了适当的变更、替换、附加、省略等的实施方式。例如,如下的变形例也包含在本公开的一个实施方式中。
(1)在上述实施方式中,说明了进行总线300的监视和与监视结果相应的应对的监视ECU,但只要是在车载网络系统中连接于总线的ECU,监视ECU无需是监视专用的ECU,也可以一并具有不同于监视以及应对的功能。另外,例如也可以使监视ECU中的一个以上的构成要素移到其他ECU。例如,也可以使监视ECU中的用于不正常判定的构成(不正常判定部等)、用于侵入判定的构成(侵入判定部等)等包含于其他ECU。例如也可以为在由多条总线构成车载网络的情况下的进行在总线间的数据帧的传送的网关ECU具有不正常判定部,还可以为进行密钥管理的密钥管理主(master)ECU具有不正常判定部、侵入判定部、MAC验证部等。
(2)在上述实施方式中,以标准ID格式描述了CAN协议中的数据帧,但也可以是扩展ID格式,作为数据帧的标识符的ID也可以是扩展ID格式下的扩展ID等。
(3)在上述实施方式中,示出了监视ECU例如以100ms为周期定期地进行不正常检测处理(不正常判定)以及侵入检测处理(侵入判定)的例子,但周期是任意的,另外不一定必须周期性地进行。例如,监视ECU也可以在每次接收到数据帧时,进行不正常判定或者侵入判定。另外,不正常判定与侵入判定也可以分别在不同的定时执行。
(4)上述实施方式中示出的帧接收历史记录保持部也可以保持任意次的接收历史记录来作为帧接收历史记录。另外,帧接收历史记录保持部也可以通过基于实际接收到的数据帧的信息的数据插值,将作为实际上没有接收到的时刻的接收历史记录的信息保持为帧接收历史记录。
(5)在上述实施方式中,示出了帧接收历史记录保持部保持接收时刻、MAC的正当性的验证结果、数据域的内容所示的值等作为帧接收历史记录的例子,但也可以保持除此之外的信息。帧接收历史记录保持部保持不正常检测处理(不正常判定)或者侵入检测处理(侵入判定)所需的任意信息即可。另外,在如数据域的内容表示多个值那样的情况下,也可以区分保持各个值,在监视ECU中,也可以进行使用表示与该各个值关联的条件的不正常检测规则信息或者侵入检测规则信息的不正常判定或者侵入判定。
(6)在上述实施方式中,作为不正常检测规则信息所示的规则(条件),示例了涉及速度(车速)与加速度的关系的条件、涉及齿轮的状态与车速的变化量的关系的条件、涉及齿轮的状态与加速度的变化量的关系的条件,但这仅为一例。只要是在正常时,在互不相同的ID的多个数据帧所示的数据之间,保持一定的关系,可以是任意的。尤其使用由传感器测定到的数据间的关系是有用的。另外,不仅数据域所示的数据的值之间的关系,也可以加上如对于不定期发送的多个数据帧流通于总线的时刻的关系等这样的数据帧的接收时刻的关系等作为用于不正常判定的条件。另外,不正常检测规则信息例如也可以为,作为条件,表示落入表现具有一个ID的数据帧的数据域的内容所示的值y与具有其他ID的数据帧的数据域的内容所示的值x的关系的关系式y=f(x)等的一定误差的范围内。
(7)在上述实施方式中,作为不正常检测规则信息所示的规则(条件),示例了涉及基于ID为0x200的多个数据帧的数据域的内容所确定的、加速度的积分值、与ID为0x100的一个数据帧的数据域的内容所示的车速之间的关系的条件(涉及反应变量与解释变量的关系的条件)等,但该关系仅为一例。以下,列举不正常检测规则信息表示关于作为具有某个ID(第1标识符)的数据帧的第1种帧、与作为具有与该第1标识符不同的ID(第2标识符)的数据帧的第2种的、数据域的内容的关系的条件的例子,对关系的例子进行说明。不正常检测规则信息所示的条件例如规定基于一个以上(或者多个)的第1种帧中的数据域的内容所确定的值、与一个以上的第2种帧的数据域的内容的关系。基于第1种帧中的数据域的内容所确定的值可以是数值,也可以是大、中、小等表示程度的值,还可以是区分状态的字符串等。例如,不正常检测规则信息所示的条件也可以是通过使用了皮尔森积矩相关系数、最大信息系数或者典型相关系数的关系式规定的一个以上的第1种帧中的数据域的内容与一个以上的第2种帧的数据域的内容的关系。例如,针对车速与加速度的各时间序列数据,既可以通过求取作为表现线性关系的强弱的指标的相关系数(皮尔森积矩相关系数),规定对于该相关系数的高低的条件,也可以规定对于作为也表现非线性关系的指标的最大信息系数的高低的条件,还可以规定在多变量数据中许多变量构成两个变量组时对于作为表现变量组间的相互关系的指标的典型相关系数的高低的条件。此外,除了求取对于车速与加速度的各时间序列数据的相关系数等,还可以通过求取对于车速与轮胎的转速的各时间序列数据的相关系数等来规定条件,也可以通过求取车速与轮胎的转速的关系式来规定条件。另外,作为成为基于相关系数、关系式等规定不正常检测规则信息中的条件的对象的数量,例如可列举加速度与车速的变化量的组、加速器的变位与车速的变化量的组、制动器的变位与车速的变化量的组、转向器角度(操舵角)与偏航角速度的组等。
(8)在上述实施方式中,不正常判定部基于关于从总线接收到的数据帧的信息(帧接收历史记录),判定是否满足不正常检测规则信息所示的条件。该判定(不正常判定)能够根据不正常检测规则信息所示的条件,用任意的具体方法来实现。该不正常判定例如通过执行预定运算处理来实现,预定运算处理使用第1值和第2值,区分是否满足不正常检测规则信息所示的条件,第1值是基于在一个单位时间或多个单位时间的每一个中从总线接收到的、上述的各第1种帧中的数据域的内容的值,第2值是基于在该一个单位时间或多个单位时间中的从最后起的一个以上的单位时间的每一个中从总线接收到的、上述的各第2种帧中的数据域的内容的值。在此,预定运算处理只要是至少使用第1值和第2值来区分是否满足不正常检测规则信息所示的条件的运算处理,可以是任何运算处理。预定运算处理例如可以是如下处理:基于对每个质变量的值规定了量变量的值的范围的基准,根据第1值是否属于使用第2值作为质变量的值而计算的量变量的值的范围,区分是否满足不正常检测规则信息所示的条件。例如第1值可以是与由传感器测定出的物理量等关联的值(车速、车速的变化量等)。另外,第2值可以是表示车辆的状态的标志值(表示齿轮的状态的标志值、表示车道维持功能的工作状态的标志值、表示自动驻车辅助功能的工作状态的标志值、表示巡航控制(Cruise Control)功能的工作状态的标志值等)。另外,预定运算处理例如也可以是如下处理:基于表示反应变量与解释变量的关系的关系式,根据第2值是否属于使用第1值作为解释变量的值而计算的反应变量的值的范围,区分是否满足不正常检测规则信息所示的条件。该第1值与第2值例如是与具有因果关系的物理事象有关的值。
(9)在上述实施方式中,使用两种(两个不同的ID)数据帧的内容间的关系来作为不正常检测规则信息所示的条件,但不限于两种,也可以使用3种以上(3个以上的ID)的数据帧的内容间的关系。例如,不正常检测规则信息也可以表示基于在相同的单位时间内接收到的3个以上不同的预定ID的数据帧的内容所示的各个值的预定运算(例如算术运算、逻辑运算等)的结果超过预定阈值等这样的条件。
(10)在上述实施方式中,示出了确定对不正常判定部计算出的异常度最高的ID的数据帧进行发送的ECU,执行对于该ECU的发送诊断消息等应对处理的例子,但也可以对异常度设定阈值,确定对阈值以上的异常度的ID的数据帧进行发送的ECU,执行对于该ECU的发送诊断消息等应对处理。
(11)在上述实施方式中,示出了监视ECU的不正常判定部计算异常度并将其附加于不正常判定结果的例子,但也可以不必计算异常度。监视ECU在不计算异常度的情况下,也可以通过对被判定为不正常的多个数据帧各自的发送源的ECU发送诊断消息来进行诊断。此外,通过异常度的计算,筛选因不满足不正常检测规则信息所示的条件而被判定为不正常的多个数据帧各自的发送源的ECU中的、发送诊断消息的对象,对于为了抑制总线通信流量的增大等是有用的。对于不正常检测规则信息表示关于作为具有某个ID(第1标识符,例如0x100这一ID)的数据帧的第1种帧、与作为具有与第1标识符不同的ID(第2标识符,例如0x200这一ID)的数据帧的第2种帧的、数据域的内容的关系的第1条件(例如图6所示的规则号码1的条件),还表示了作为关于该第1种帧、与作为具有不同于第1标识符也不同于第2标识符的ID(第3标识符,例如0x300这一ID)的数据帧的第3种帧的、数据域的内容的关系的条件的第2条件(例如图6所示的规则号码2的条件)的情况,能够在不正常判定中根据第1条件和第2条件中被判定为不满足的条件的数量来计算与第1种帧的发送有关的异常度。而且,能够在计算出的异常度满足预定异常条件(例如比阈值高、或者比另行计算出的其他种类的与帧的发送有关的异常度高等)的情况下,通过以使发送第1种帧的ECU能够接收的方式发送预定帧(诊断消息等),实现总线通信流量的增大抑制等。
(12)在上述实施方式中,示出了监视ECU将不正常判定结果用在ID间赋予关系的表的形式进行保持的例子,但不正常判定部只要在判定了从总线接收到的帧的集合是否满足不正常检测规则信息所示的条件时,将表示判定结果的任何信息(例如表示规则号码与基于该规则号码所涉及的条件的判定结果的组的信息等)存储于监视ECU所具备的存储器、硬盘等这样的存储介质就足够,可以用任何形式保持信息。当由不正常判定部进行了不正常判定时,存储介质中将会保存表示其判定结果的某些信息。
(13)在上述实施方式中,作为侵入检测规则信息所示的条件,示例了涉及与单一ID的数据帧有关的接收间隔以及数据的变化量的条件,但这仅为一例,也可以是其他条件,例如也可以是涉及接收频度(在一定时间内接收到具有该单一ID的数据帧的数量等)的条件。作为侵入检测规则信息所示的条件,规定了正常的数据帧应该满足的条件。而且,规定条件以使得在从外部注入了用于攻击的数据帧而变为不正常的数据帧与正常的数据帧双方流通于总线的状态的情况下变得不满足该条件是有用的。
(14)在上述实施方式中,示出了侵入判定结果保持部按每个ID保持区分是正常还是异常(检测到侵入)的侵入判定结果的例子,但侵入判定结果不限于此,例如也可以不区分ID而将在一定期间内判定为正常的数量或者判定为异常的数量等作为侵入判定结果。侵入判定结果只要是与基于侵入检测规则信息的侵入判定的结果关联的信息即可,由此,在监视ECU中,能够以基于侵入检测规则信息的侵入判定结果和基于不正常检测规则信息的不正常判定结果的组合为基础,决定与异常对应的应对处理。
(15)在上述实施方式中,示出了在MAC的生成中使用AES-CMAC的例子,但MAC的生成方法不限于此。例如也可以使用AES以外的块密码,还可以使用HMAC(Hash-basedMessage Authentication Code,哈希运算消息认证码)等。
(16)在上述实施方式中,为了生成MAC,将ID与数据域的值作为AES加密部(例如加密函数)的输入,但输入值不限于此。例如既可以只将数据域的值作为输入,也可以使DLC包含于输入。另外,作为再发送攻击对策,除了计数值之外,也可以使时刻信息等包含于其输入。
(17)在上述实施方式中,作为与不正常判定结果相应的应对或者与不正常判定结果和侵入判定结果的组合等相应的应对(应对处理的内容),示例了向相关ECU发送诊断消息、认证用密钥的更新(密钥更新处理)、催促用户确认诊断端口等的通知、向各ECU发送异常通知消息等。然而,应对处理的内容也可以是上述以外的内容。应对处理例如也可以为,以使连接于总线的特定的ECU能够接收的方式发送诊断用的帧;通过挑战应答认证来确认连接于总线的特定的ECU的正当性;进行用于催促总线中的诊断端口的确认的通知;进行用于催促搭载车载网络系统的车辆的驾驶员停车或者慢行的通知;进行用于催促搭载车载网络系统的车辆的驾驶员前往经销商的通知;对搭载车载网络系统的车辆的驾驶员进行产生了不正常状态的通知;对连接于总线的ECU进行具有特定ID(标识符)的数据帧不正常的通知;对搭载车载网络系统的车辆的外部服务器(例如车辆制造商等运用的服务器等)进行不正常的数据帧被发送的通知;向搭载车载网络系统的车辆的邻近的车辆或者路侧设备进行产生了不正常状态的通知;将车载网络系统切换为可以包含诊断端口的切断、自动控制功能的弱化等的、预先确定的安全模式;将产生了不正常状态这一情况作为日志进行记录等。监视ECU可以在不正常判定部计算出的异常度满足预定异常条件的情况(例如超过阈值等情况)下,执行上述的应对处理中的任一个以上。另外,监视ECU也可以变更应对处理的内容以使得反映不正常判定部计算出的异常度的高低。
(18)在上述实施方式中,监视ECU根据不正常判定部中的判定(不正常判定)的结果(不正常判定结果)、侵入判定部中的判定(侵入判定)的结果(侵入判定结果)、和MAC验证部中的认证符(MAC)的正当性的验证结果的组合,决定应对处理的内容,并在一定条件下(例如在不正常判定结果或者侵入判定结果为异常且MAC为正当的情况下),将与认证用密钥的更新有关的密钥更新处理决定作为应对处理并执行。再者,监视ECU也可以在执行了密钥更新处理之后,对从总线接收到的数据帧进行不正常判定、侵入判定以及MAC的验证,在该不正常判定结果、侵入判定结果和验证结果的组合满足预定条件的情况下(例如在MAC为正当但不正常判定结果或者侵入判定结果为异常的状态持续着这样的情况等),进行与密钥更新处理不同的应对处理(对用户的危险状态的通知、对服务器的通知等)。该与密钥更新处理不同的应对处理能够在密钥的更新没有有效地发挥作用等情况下变得有用。
(19)在上述实施方式中,示出了不正常检测规则保持部保持有表示涉及互不相同的ID的数据帧的内容间的关系的条件的不正常检测规则信息的例子,但不正常检测规则信息也可以使用对流通于总线的数据帧进行监视以及分析从而学习得到的结果来随时更新。也可以通过将关于流通于总线的各ID的数据帧的内容的信息进行集聚并进行统计处理、多变量解析等,求取互不相同的多个ID的数据帧的内容间的相关系数,使成为预先确定的阈值以上的相关系数的值的、数据帧的内容间的关系作为应该满足的新的条件包含于不正常检测规则信息,例如也可以使解释变量与反应变量的关系式等通过用于推定的回归分析、多元回归分析、判别分析等所获得的解释变量与反应变量的关系作为条件包含于不正常检测规则信息。即,监视ECU也可以通过基于从总线接收到的数据帧的集合的多变量解析,确定在具有互不相同的ID的数据帧彼此之间的数据帧的内容的关系,生成或更新不正常检测规则信息以使其表示表现所确定的关系的条件。
(20)在上述实施方式中,基于MAC的验证结果,不正常判定部对不正常判定结果附加了MAC的不正当次数,侵入判定部对侵入判定结果附加了MAC的正当性,但不正常判定结果以及侵入判定结果也可以不包含基于MAC的验证结果的信息。异常应对部例如可以从帧接收历史记录保持部所保持的帧接收历史记录中取得MAC的验证结果。此外,在不正常判定部根据MAC的验证结果来确定不正常判定结果的情况下,该不正常判定结果能够应用在异常应对部进行各种应对时。
(21)在上述实施方式中,示出了监视ECU在不正常判定结果或者侵入判定结果为异常且作为MAC的验证结果MAC为正当的情况下,基于密钥泄漏的可能性而将密钥更新处理作为应对处理来执行的例子,但也可以基于MAC为正当的次数作为验证结果,区分是否将密钥更新处理作为应对处理的内容。监视ECU在不正常判定结果或者侵入判定结果为异常的情况下,例如也可以在MAC的验证成功了预先确定的次数N次时,由于密钥泄漏的可能性高,因此执行密钥更新处理。此外,作为该次数N,例如在逐次发送了逐次附加了随机的值作为MAC后的数据帧的情况下,设定如使得在N次验证中MAC被判定为正当的概率足够低这样的次数是有用的。
(22)在上述实施方式中,示出了监视ECU根据不正常判定结果、侵入判定结果和MAC的验证结果的组合等来决定(选定)并执行应对处理的内容的例子。根据不正常判定结果、侵入判定结果和MAC的验证结果的组合,能够将不正常状态(特定ID的数据帧的异常、异常度高的数据帧、异常的可能性高的ECU、不同的ID的数据帧间的关系的异常等)分为多个类别并分别进行适当的应对。监视ECU也可以使用不正常判定结果、侵入判定结果和MAC的验证结果中的任一个以上,进行应对处理的决定,进而也可以区分攻击范围,也利用该区分,决定适当的应对处理。例如,监视ECU也可以在检测到产生了不正常状态的情况下,确定与该不正常状态的产生有关的发送了数据帧的子网络、发送该帧的ECU、和该数据帧的ID中的某一方,并在确定时将该确定出的结果记录于存储器等存储介质。通过将该确定出的子网络、ECU、ID等与上述的不正常判定结果、侵入判定结果和MAC的验证结果合起来使用等,能够进行对不正常状态(异常)的详细的掌握(例如基于ID,在与驾驶辅助功能等这样的特定功能有关的数据帧的组中的异常产生的掌握等),这种对不正常状态涉及的信息的收集能够在攻击目的、攻击范围等的确定中变得有用。
(23)在上述实施方式中,示出了不正常检测规则信息所示的条件涉及的互不相同的两个ID的数据帧的各发送源的ECU不同的例子(参照图12等),但这仅为一例。一个ECU也可以发送互不相同的多个ID的数据帧,因此,也可以使得不正常检测规则信息表示关于同一ECU发送的多个ID的数据帧的内容间的关系的条件。由此,例如能够在如由于攻击者利用不正常的程序篡改了ECU发送的数据帧,因而与同一ECU发送的其他ID的数据帧的关系走样这样的情况下,检测到不正常状态的产生。
(24)在上述实施方式中,示出了遵循CAN协议进行通信的车载网络。该CAN协议应该作为也包括CANFD(CAN with Flexible Data Rate)等派生协议在内的广义的协议来处理。另外,在网络系统中,也可以使用CAN协议以外的通信协议、例如Ethernet(注册商标)、LIN(Local Interconnect Network)、MOST(注册商标)(Media Oriented SystemsTransport)、FlexRay(注册商标)等。另外,也可以组合使用这些各个协议的子网络来构成车载网络。
(25)上述实施方式中示出的各种处理的步骤(例如图11、图19所示的步骤等)的执行顺序不一定限定为上述那样的顺序,在不脱离公开要旨的范围内,可以调换执行顺序、并行地进行多个步骤、和/或省略该步骤的一部分。
(26)上述实施方式中的监视ECU及其他ECU例如是包括处理器、存储器等数字电路、模拟电路、通信线路等的装置,但也可以包括硬盘装置、显示器、键盘、鼠标等硬件构成要素。另外,上述实施方式中示出的各装置(监视ECU等)也可以取代由处理器执行存储器所存储的控制程序并以软件方式来实现功能,而通过专用的硬件(数字电路等)来实现其功能。
(27)上述实施方式中的构成各装置的构成要素的一部分或者全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成于1个芯片上而制造出的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。所述RAM中存储有计算机程序。所述微处理器按照所述计算机程序进行工作,由此系统LSI达成其功能。另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。另外,虽然此处设为LSI,但根据集成度不同,也可以称为IC、LSI、超大LSI(super LSI)、特大LSI(ultra LSI)。另外,集成电路化的方法不限于LSI,也可以通过专用电路或者通用处理器实现。也可以在LSI制造后利用FPGA(FieldProgrammable Gate Array;现场可编程门阵列)或者可以对LSI内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurable processor)。进而,随着半导体技术的发展或者派生的其他技术的出现,如果出现能够替代LSI的集成电路化的技术,当然也可以利用该技术进行功能块的集成化。也可能会存在适用生物技术的可能性。
(28)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。所述IC卡或所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或所述模块也可以包括上述的超多功能LSI。微处理器按照计算机程序进行工作,由此所述IC卡或所述模块实现其功能。该IC卡或该模块可以具有防篡改性能。
(29)作为本公开的一个技术方案,例如也可以是包括图11、图19等所示的处理步骤的全部或者一部分的不正常检测方法。例如,不正常检测方法是用于检测车载网络系统中不正常状态的产生的不正常检测方法,所述车载网络系统具备经由总线进行通信的多个ECU,所述不正常检测方法包括:使用表示第1条件的不正常检测规则信息,判定从总线接收到的帧的集合是否满足第1条件,所述第1条件是关于具有第1标识符的帧、与具有和第1标识符不同的标识符的帧的内容的关系的条件;在不满足第1条件的情况下,检测为产生了不正常状态。例如也可以为,该多个ECU经由总线,按照CAN协议进行数据帧的授受,不正常检测规则信息表示关于第1种帧与第2种帧的数据域的内容的关系的第1条件,第1种帧是具有ID(第1标识符)的数据帧,第2种帧是具有与第1标识符不同的ID(第2标识符)的数据帧,不正常检测方法包括:接收步骤,连接于总线的监视ECU逐次接收被发送到总线上的数据帧;和不正常判定步骤,判定在接收步骤中接收到的第1种帧以及第2种帧是否满足不正常检测规则信息所示的第1条件(例如步骤S1102、S2102)。另外,在不正常判定步骤中,也可以判定是否满足第1种帧以及第3种帧(具有不同于第1标识符也不同于第2标识符的ID的数据帧)的内容间的关系涉及的第2条件,不正常检测方法也可以包括根据第1条件和第2条件中在不正常判定步骤中被判定为不满足的条件的数量来计算与第1种帧的发送有关的异常度的异常度计算步骤(例如步骤S1103)。不正常检测方法也可以包括在由异常度计算步骤计算出的异常度满足预定异常条件的情况下,监视ECU以使发送第1种帧的ECU能够接收的方式发送预定帧(例如诊断用的帧)的发送步骤(例如步骤S1104~S1106)。另外,不正常检测方法也可以包括:使用表示关于对数据帧的每个ID(标识符)所确定的数据帧的条件的侵入检测规则信息,判定在接收步骤中从总线接收到的数据帧是否满足侵入检测规则信息所示的该条件的侵入判定步骤(例如步骤S2103);以及根据不正常判定步骤中的判定结果和侵入判定步骤中的判定结果的组合来决定应对处理的内容并按照决定来执行应对处理的应对步骤(例如步骤S2104、S2105)。另外,不正常检测方法也可以包括对从总线接收到的数据帧中的认证用的认证符的正当性进行验证的验证步骤。此外,也可以使不正常判定步骤、异常度计算步骤以及侵入判定步骤中的处理的至少一部分通过监视ECU以外的装置(例如能够与监视ECU通信的车辆外部的服务器或者其他ECU等)来执行。另外,作为本公开的一个技术方案,也可以是通过计算机实现该不正常检测方法所涉及的处理的计算机程序,还可以是由所述计算机程序形成的数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或者所述数字信号记录于计算机可读取的记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本公开的一个技术方案,也可以将所述计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等进行传输。另外,作为本公开的一个技术方案,也可以是具备微处理器和存储器的计算机系统,所述存储器记录有上述计算机程序,所述微处理器按照所述计算机程序进行工作。另外,也可以通过将所述程序或所述数字信号记录在所述记录介质中转移、或经由所述网络等将所述程序或所述数字信号进行转移,由此通过独立的其他的计算机系统来实施。
(30)通过将上述实施方式及上述变形例中示出的各构成要素以及功能任意地进行组合而实现的方式也包含在本公开的范围内。
产业上的可利用性
本公开能够利用于检测对于车载网络的攻击并适当地应对。
标号说明
10、11、12:车载网络系统
100、2100、3100:监视电子控制单元(监视ECU)
110、201:帧收发部
120、202:帧处理部
130、3130:不正常判定部
140:不正常应对部
150、204:帧生成部
160、2160、3160:帧接收历史记录保持部
170:不正常检测规则保持部
180、3180:不正常判定结果保持部
190:ECU信息表保持部
200a~200d、3200a~3200d:电子控制单元(ECU)
203:设备输入输出部
210:速度传感器
220:加速度传感器
230:齿轮(变速机构)
240:仪表板
300:总线
2131、3131:侵入判定部
2140、3140:异常应对部
2171:侵入检测规则保持部
2181、3181:侵入判定结果保持部
2191、3191:异常应对表保持部
2400:诊断端口
3202:帧处理部
3500:MAC验证部
3510:MAC生成部
3511:数据处理部
3512:AES加密部
3513:密钥保持部
3520:MAC比较部

Claims (16)

1.一种不正常检测方法,是用于检测车载网络系统中不正常状态的产生的不正常检测方法,所述车载网络系统具备经由总线进行通信的多个电子控制单元,所述不正常检测方法包括:
接收步骤,连接于所述总线的监视电子控制单元逐次接收被发送到所述总线上的数据帧;
保持步骤,保持帧接收历史记录,所述帧接收历史记录包括与所述监视电子控制单元逐次接收到的所述数据帧的内容有关的信息;
参照所述帧接收历史记录,使用表示第1条件的不正常检测规则信息,判定从所述总线接收到的所述数据帧的集合是否满足该第1条件,所述第1条件是关于具有第1标识符的数据帧、与具有和第1标识符不同的标识符的数据帧的内容的关系的条件;
在不满足该第1条件的情况下,检测为产生了不正常状态。
2.根据权利要求1所述的不正常检测方法,
所述多个电子控制单元经由所述总线,按照CAN协议即控制器局域网络协议进行数据帧的授受,
所述不正常检测规则信息表示关于第1种帧与第2种帧的数据域的内容的关系的所述第1条件,所述第1种帧是具有所述第1标识符的数据帧,所述第2种帧是具有与所述第1标识符不同的第2标识符的数据帧,
所述不正常检测方法包括:
不正常判定步骤,判定在所述接收步骤中接收到的所述第1种帧以及所述第2种帧是否满足所述不正常检测规则信息所示的所述第1条件。
3.根据权利要求2所述的不正常检测方法,
所述不正常检测规则信息规定基于一个以上的所述第1种帧中的数据域的内容所确定的值、与一个以上的所述第2种帧的数据域的内容之间的关系作为所述第1条件,
在所述不正常判定步骤中,通过执行预定运算处理来进行所述判定,所述预定运算处理使用第1值和第2值,区分是否满足所述第1条件,所述第1值是基于在一个单位时间或多个单位时间的每一个中通过所述接收步骤接收到的、各所述第1种帧中的数据域的内容的值,所述第2值是基于在所述一个单位时间或多个单位时间中的从最后起的一个以上的单位时间的每一个中通过所述接收步骤接收到的、各所述第2种帧中的数据域的内容的值。
4.根据权利要求2所述的不正常检测方法,
所述不正常检测规则信息规定基于多个所述第1种帧中的数据域的内容所确定的值、与一个以上的所述第2种帧的数据域的内容之间的关系作为所述第1条件,
在所述不正常判定步骤中,通过执行预定运算处理来进行所述判定,所述预定运算处理使用第1值和第2值,区分是否满足所述第1条件,所述第1值是基于在多个单位时间的每一个中通过所述接收步骤接收到的、各所述第1种帧中的数据域的内容的值,所述第2值是基于在所述多个单位时间中的从最后起的一个以上的单位时间的每一个中通过所述接收步骤接收到的、各所述第2种帧中的数据域的内容的值。
5.根据权利要求3或4所述的不正常检测方法,
所述预定运算处理是如下处理:基于对每个质变量的值规定了量变量的值的范围的基准,根据所述第1值是否属于使用所述第2值作为质变量的值而计算的量变量的值的范围,区分是否满足所述第1条件。
6.根据权利要求3或4所述的不正常检测方法,
所述预定运算处理是如下处理:基于表示反应变量与解释变量的关系的关系式,根据所述第2值是否属于使用所述第1值作为解释变量的值而计算的反应变量的值的范围,区分是否满足所述第1条件。
7.根据权利要求2所述的不正常检测方法,
所述不正常检测规则信息通过使用了皮尔森积矩相关系数、最大信息系数或者典型相关系数的关系式来规定一个以上的所述第1种帧中的数据域的内容与一个以上的所述第2种帧的数据域的内容之间的关系作为所述第1条件。
8.根据权利要求2至4中任一项所述的不正常检测方法,
所述不正常检测规则信息还表示第2条件,所述第2条件是关于所述第1种帧与第3种帧的数据域的内容的关系的条件,所述第3种帧是具有不同于所述第1标识符也不同于所述第2标识符的第3标识符的数据帧,
在所述不正常判定步骤中,还判定在所述接收步骤中接收到的所述第1种帧以及所述第3种帧是否满足所述不正常检测规则信息所示的所述第2条件,
所述不正常检测方法还包括:
异常度计算步骤,根据所述第1条件和所述第2条件中在所述不正常判定步骤中被判定为不满足的条件的数量,计算与所述第1种帧的发送有关的异常度;和
发送步骤,在由所述异常度计算步骤计算出的异常度满足预定异常条件的情况下,所述监视电子控制单元以使发送所述第1种帧的电子控制单元能够接收的方式发送预定帧。
9.根据权利要求2至4中任一项所述的不正常检测方法,
所述不正常检测方法还包括:
侵入判定步骤,使用表示关于对数据帧的每个标识符所确定的数据帧的条件的侵入检测规则信息,判定在所述接收步骤中从所述总线接收到的数据帧是否满足该侵入检测规则信息所示的该条件;和
应对步骤,根据所述不正常判定步骤中的判定结果和所述侵入判定步骤中的判定结果的组合来决定应对处理的内容,按照决定来执行应对处理,
所述侵入检测规则信息所示的关于一个标识符的数据帧的所述条件包含与具有该标识符的数据帧间的接收间隔、一定时间内所接收的具有该标识符的数据帧的数量、和在具有该标识符的数据帧间的作为从数据域提取的值的差异的变化量中的某一方有关的条件。
10.根据权利要求9所述的不正常检测方法,
所述不正常检测方法还包括对从所述总线接收到的数据帧中的认证用的认证符的正当性进行验证的验证步骤,
在所述应对步骤中,根据所述不正常判定步骤中的判定结果、所述侵入判定步骤中的判定结果和所述验证步骤中的验证结果的组合来进行对应对处理的内容的所述决定,在一定条件下,决定密钥更新处理作为该应对处理的内容,所述密钥更新处理是关于认证用的密钥的更新的处理。
11.根据权利要求10所述的不正常检测方法,
所述不正常检测方法还包括追加应对步骤,
在该追加应对步骤中,对于在通过所述应对步骤执行了所述密钥更新处理后通过所述接收步骤接收到的数据帧进行所述不正常判定步骤中的所述判定、所述侵入判定步骤中的所述判定以及所述验证步骤中的所述验证,在该不正常判定步骤中的判定结果、该侵入判定步骤中的判定结果和该验证步骤中的验证结果的组合满足预定条件的情况下,进行与所述密钥更新处理不同的应对处理。
12.根据权利要求1至4中任一项所述的不正常检测方法,
所述不正常检测方法还包括:
在检测到产生了所述不正常状态的情况下,确定与该不正常状态的产生有关的发送了数据帧的子网络、发送该数据帧的电子控制单元、和该数据帧的标识符中的某一方。
13.根据权利要求1至4中任一项所述的不正常检测方法,
所述不正常检测方法还包括:在检测到产生了所述不正常状态的情况下,执行应对处理,
所述应对处理包括如下处理中的某一方:
以使连接于所述总线的特定的电子控制单元能够接收的方式发送诊断用的帧;
通过挑战应答认证来确认连接于所述总线的特定的电子控制单元的正当性;
进行用于催促所述总线中的诊断端口的确认的通知;
进行用于催促搭载所述车载网络系统的车辆的驾驶员停车或者慢行的通知;
进行用于催促搭载所述车载网络系统的车辆的驾驶员前往经销商的通知;
对搭载所述车载网络系统的车辆的驾驶员进行产生了不正常状态的通知;
对连接于所述总线的电子控制单元进行具有特定的标识符的数据帧不正常的通知;
对搭载所述车载网络系统的车辆的外部服务器进行不正常的数据帧被发送的通知;
向搭载所述车载网络系统的车辆的邻近的车辆或者路侧设备进行产生了不正常状态的通知;
将所述车载网络系统切换为预先确定的安全模式;和
将产生了不正常状态这一情况作为日志进行记录。
14.根据权利要求1至4中任一项所述的不正常检测方法,
在所述不正常检测方法中,通过基于从所述总线接收到的数据帧的集合的多变量解析,确定在具有互不相同的标识符的数据帧彼此之间的数据帧的内容的关系,生成或更新所述不正常检测规则信息以使其表示表现所确定的关系的条件。
15.一种监视电子控制单元,其在具备经由总线进行通信的多个电子控制单元的车载网络系统中连接于所述总线,
所述监视电子控制单元具备:
不正常检测规则保持部,其保持表示第1条件的不正常检测规则信息,所述第1条件是关于具有第1标识符的数据帧、与具有和第1标识符不同的标识符的数据帧的内容的关系的条件;
接收部,其从所述总线逐次接收数据帧;
帧接收历史记录保持部,其保持帧接收历史记录,所述帧接收历史记录包括与所述监视电子控制单元逐次接收到的所述数据帧的内容有关的信息;以及
不正常判定部,其参照所述帧接收历史记录,判定由所述接收部从所述总线接收到的数据帧的集合是否满足所述不正常检测规则信息所示的所述第1条件。
16.一种车载网络系统,是具备经由总线进行通信的多个电子控制单元的车载网络系统,
所述车载网络系统具备:
接收部,其从所述总线逐次接收数据帧;
帧接收历史记录保持部,其保持帧接收历史记录,所述帧接收历史记录包括与所述接收部逐次接收到的所述数据帧的内容有关的信息;
不正常检测规则保持部,其保持表示第1条件的不正常检测规则信息,所述第1条件是关于具有第1标识符的数据帧、与具有和第1标识符不同的标识符的数据帧的内容的关系的条件;以及
不正常判定部,其为了判定是否产生了不正常状态,参照所述帧接收历史记录,对从所述总线接收到的数据帧的集合是否满足所述不正常检测规则信息所示的所述第1条件进行判定。
CN201680051842.7A 2016-01-08 2016-11-29 不正常检测方法、监视电子控制单元以及车载网络系统 Active CN108028784B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201662276400P 2016-01-08 2016-01-08
US62/276,400 2016-01-08
JP2016-208084 2016-10-24
JP2016208084A JP6684690B2 (ja) 2016-01-08 2016-10-24 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
PCT/JP2016/004993 WO2017119027A1 (ja) 2016-01-08 2016-11-29 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム

Publications (2)

Publication Number Publication Date
CN108028784A CN108028784A (zh) 2018-05-11
CN108028784B true CN108028784B (zh) 2021-01-01

Family

ID=59306036

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680051842.7A Active CN108028784B (zh) 2016-01-08 2016-11-29 不正常检测方法、监视电子控制单元以及车载网络系统

Country Status (4)

Country Link
US (1) US10992688B2 (zh)
EP (1) EP3402125B1 (zh)
JP (2) JP6684690B2 (zh)
CN (1) CN108028784B (zh)

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6352325B2 (ja) * 2016-03-15 2018-07-04 本田技研工業株式会社 通信システム
US10530793B2 (en) * 2016-06-29 2020-01-07 Argus Cyber Security Ltd. System and method for detection and prevention of attacks on in-vehicle networks
US20180032421A1 (en) * 2016-07-29 2018-02-01 Wipro Limited Method and system for debugging automotive applications in an electronic control unit of an automobile
JP6956624B2 (ja) * 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
US10275615B2 (en) * 2017-03-17 2019-04-30 Cylance Inc. Communications bus data transmission using relative ground shifting
JP2019005202A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005191A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005195A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005190A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005204A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005201A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005188A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005189A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005187A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005203A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005192A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005194A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP2019005193A (ja) * 2017-06-23 2019-01-17 株式会社三洋物産 遊技機
JP7094670B2 (ja) * 2017-07-03 2022-07-04 矢崎総業株式会社 設定装置及びコンピュータ
JP6766766B2 (ja) * 2017-07-10 2020-10-14 住友電気工業株式会社 認証制御装置、認証制御方法および認証制御プログラム
JP7033499B2 (ja) 2017-07-26 2022-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置および異常検知方法
JP7007632B2 (ja) * 2017-08-03 2022-01-24 住友電気工業株式会社 検知装置、検知方法および検知プログラム
JP6828632B2 (ja) * 2017-08-03 2021-02-10 住友電気工業株式会社 検知装置、検知方法および検知プログラム
CN111279657B (zh) * 2017-12-15 2023-05-23 松下电器(美国)知识产权公司 不正当检测装置、车载网络系统及不正当检测方法
US11558404B2 (en) 2018-02-28 2023-01-17 Autonetworks Technologies, Ltd. On-board communication system, switching device, verification method, and verification program
JP7010087B2 (ja) * 2018-03-16 2022-01-26 トヨタ自動車株式会社 プログラム更新管理装置、プログラム更新管理方法、およびプログラム
KR102524204B1 (ko) * 2018-04-27 2023-04-24 한국전자통신연구원 차량용 네트워크의 침입 대응 장치 및 방법
JP7178408B2 (ja) * 2018-05-23 2022-11-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検出装置、異常検出システム及び制御方法
DE102018209407A1 (de) * 2018-06-13 2019-12-19 Robert Bosch Gmbh Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk
JP6555559B1 (ja) * 2018-06-15 2019-08-07 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
US11354406B2 (en) * 2018-06-28 2022-06-07 Intel Corporation Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles
WO2020021714A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正防止方法およびセキュアスターカプラ
WO2020021713A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知方法および不正検知電子制御装置
WO2020021715A1 (ja) * 2018-07-27 2020-01-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法、不正対処装置および通信システム
DE102018212657A1 (de) * 2018-07-30 2020-01-30 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
WO2020079874A1 (ja) * 2018-10-18 2020-04-23 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
US10958470B2 (en) * 2018-11-06 2021-03-23 Lear Corporation Attributing bus-off attacks based on error frames
JP6862615B2 (ja) * 2018-11-16 2021-04-21 三菱電機株式会社 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム
JP7124679B2 (ja) * 2018-12-07 2022-08-24 トヨタ自動車株式会社 監視装置
DE102018221954A1 (de) * 2018-12-17 2020-06-18 Robert Bosch Gmbh Recheneinrichtung und Verfahren zum Betreiben einer Recheneinrichtung
JP7182470B2 (ja) * 2019-01-11 2022-12-02 富士通株式会社 メッセージ処理装置およびメッセージ処理方法
DE102019000976A1 (de) * 2019-02-11 2020-08-13 Giesecke+Devrient Mobile Security Gmbh Sicherheitsmodus bei ersetzten ECUs
US11233650B2 (en) 2019-03-25 2022-01-25 Micron Technology, Inc. Verifying identity of a vehicle entering a trust zone
US11323275B2 (en) 2019-03-25 2022-05-03 Micron Technology, Inc. Verification of identity using a secret key
US11218330B2 (en) 2019-03-25 2022-01-04 Micron Technology, Inc. Generating an identity for a computing device using a physical unclonable function
US11361660B2 (en) 2019-03-25 2022-06-14 Micron Technology, Inc. Verifying identity of an emergency vehicle during operation
JP7234832B2 (ja) * 2019-07-03 2023-03-08 株式会社デンソー 電子制御装置
JP7215378B2 (ja) * 2019-09-18 2023-01-31 トヨタ自動車株式会社 車載制御装置、情報処理装置、車両用ネットワークシステム、アプリケーションプログラムの提供方法、及びプログラム
JP7247875B2 (ja) * 2019-12-06 2023-03-29 株式会社オートネットワーク技術研究所 判定装置、判定プログラム及び判定方法
CN111030908A (zh) * 2019-12-25 2020-04-17 东风汽车集团有限公司 一种车辆内部网络系统的信息安全监控系统及方法
CN114762299B (zh) * 2020-01-09 2024-03-01 住友电气工业株式会社 检测装置、车载系统及检测方法
JP7420623B2 (ja) 2020-03-30 2024-01-23 矢崎総業株式会社 車載通信システム及び通信制御方法
EP3979590A4 (en) * 2020-04-29 2022-07-27 Huawei Technologies Co., Ltd. METHOD AND DEVICE FOR IDENTIFYING ABNORMAL MESSAGES
US20220024423A1 (en) * 2020-07-22 2022-01-27 Toyota Motor North America, Inc. Authorizing functionality of a transport component
US11449691B2 (en) * 2020-08-20 2022-09-20 Assa Abloy Ab Relay attack detection for interfaces using command-response pair
WO2022185370A1 (ja) 2021-03-01 2022-09-09 株式会社オートネットワーク技術研究所 車載装置、プログラム及び情報処理方法
JP7491240B2 (ja) 2021-03-04 2024-05-28 トヨタ自動車株式会社 情報処理装置、情報処理方法、およびプログラム
KR20220141985A (ko) * 2021-04-14 2022-10-21 현대자동차주식회사 차량공장의 스마트 제어 장치 및 이를 이용한 차량 제어 방법
DE102021112331A1 (de) * 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021112329A1 (de) * 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen einer Manipulation einer Nachricht eines Bussystems durch ein Steuergerät eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021112332A1 (de) * 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen einer unzulässigen Nachricht eines manipulierten Steuergeräts eines Fahrzeugs durch ein zweites Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
KR102567820B1 (ko) * 2021-11-24 2023-08-16 현대오토에버 주식회사 차량에 대한 악의적인 외부 침입을 탐지하는 방법 및 그 장치
WO2024018683A1 (ja) * 2022-07-20 2024-01-25 日立Astemo株式会社 侵入検知装置及び侵入検知方法
JP2024073252A (ja) * 2022-11-17 2024-05-29 株式会社オートネットワーク技術研究所 中継装置、不正フレーム検出方法及び車載装置
CN116781263B (zh) * 2023-08-23 2023-10-20 合肥工业大学 车内ecu间身份认证及密钥自更新方法、可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102951107A (zh) * 2011-08-25 2013-03-06 日产自动车株式会社 车辆系统的异常判断装置
CN103873319A (zh) * 2012-12-12 2014-06-18 现代自动车株式会社 用于检测车内网络攻击的装置与方法
CN204536901U (zh) * 2015-04-29 2015-08-05 陕西中交天健车联网信息技术有限公司 自动测试重型汽车发动机ecu软件版本的装置
CN104956626A (zh) * 2013-01-28 2015-09-30 日立汽车系统株式会社 网络装置以及数据收发系统
CN105050868A (zh) * 2012-10-17 2015-11-11 安全堡垒有限责任公司 用于检测和防止对交通工具的攻击的设备

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8111626B2 (en) * 2008-04-17 2012-02-07 At&T Intellectual Property I, L.P. Method and apparatus for providing statistical event correlation in a network
JP2011170530A (ja) * 2010-02-17 2011-09-01 Tokai Rika Co Ltd 認証システムの暗号演算式設定装置
JP2012220286A (ja) * 2011-04-06 2012-11-12 Denso Corp 車両用制御装置
JP5770602B2 (ja) * 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
WO2013094072A1 (ja) 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
EP3651437B1 (en) * 2012-03-29 2021-02-24 Arilou Information Security Technologies Ltd. Protecting a vehicle electronic system
DE102013013623B4 (de) * 2012-08-29 2022-06-30 Kanzaki Kokyukoki Mfg. Co., Ltd. Motorsteuersystem für ein mit elektrischem Motor angetriebenes Fahrzeug
JP6040360B2 (ja) * 2012-12-07 2016-12-07 株式会社 神崎高級工機製作所 モータ駆動車両の制御システム
JP5796612B2 (ja) * 2013-09-13 2015-10-21 トヨタ自動車株式会社 通信システム
JP6181493B2 (ja) 2013-09-20 2017-08-16 国立大学法人名古屋大学 書換検出システム、書換検出装置及び情報処理装置
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
US9401923B2 (en) * 2013-10-23 2016-07-26 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
JP6126980B2 (ja) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
WO2016151566A1 (en) * 2015-03-26 2016-09-29 Tower-Sec Ltd Security system and methods for identification of in-vehicle attack originator
EP3128699B1 (en) * 2014-04-03 2021-04-28 Panasonic Intellectual Property Corporation of America Network communication system, fraud detection electronic control unit and fraud handling method
US8955130B1 (en) * 2014-04-10 2015-02-10 Zephyr Technology Co., Limited Method for protecting vehicle data transmission system from intrusions
WO2015159520A1 (ja) * 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
CN111181732A (zh) * 2014-05-08 2020-05-19 松下电器(美国)知识产权公司 车载网络系统、电子控制单元及不正常检测方法
WO2015170453A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正対処方法
CN104320295B (zh) * 2014-10-08 2018-05-29 清华大学 Can报文异常检测方法及系统
US20170041764A1 (en) * 2015-08-03 2017-02-09 David Nizgoda Method and system for limiting the functionality of a mobile communications device associated with a vehicle

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102951107A (zh) * 2011-08-25 2013-03-06 日产自动车株式会社 车辆系统的异常判断装置
CN105050868A (zh) * 2012-10-17 2015-11-11 安全堡垒有限责任公司 用于检测和防止对交通工具的攻击的设备
CN103873319A (zh) * 2012-12-12 2014-06-18 现代自动车株式会社 用于检测车内网络攻击的装置与方法
CN104956626A (zh) * 2013-01-28 2015-09-30 日立汽车系统株式会社 网络装置以及数据收发系统
CN204536901U (zh) * 2015-04-29 2015-08-05 陕西中交天健车联网信息技术有限公司 自动测试重型汽车发动机ecu软件版本的装置

Also Published As

Publication number Publication date
CN108028784A (zh) 2018-05-11
JP2020102886A (ja) 2020-07-02
EP3402125A4 (en) 2019-01-09
US20180302422A1 (en) 2018-10-18
EP3402125B1 (en) 2020-11-18
JP2017123639A (ja) 2017-07-13
JP6684690B2 (ja) 2020-04-22
EP3402125A1 (en) 2018-11-14
US10992688B2 (en) 2021-04-27
JP6887040B2 (ja) 2021-06-16

Similar Documents

Publication Publication Date Title
CN108028784B (zh) 不正常检测方法、监视电子控制单元以及车载网络系统
US10951631B2 (en) In-vehicle network system, fraud-detection electronic control unit, and fraud-detection method
US11595422B2 (en) Method for preventing electronic control unit from executing process based on malicious frame transmitted to bus
WO2017119027A1 (ja) 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
CN106031098B (zh) 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统
CN107925600B (zh) 安全处理方法以及服务器
US10137862B2 (en) Method for handling transmission of fraudulent frames within in-vehicle network
CN107113214B (zh) 不正常检测电子控制单元、车载网络系统以及通信方法
US10798114B2 (en) System and method for consistency based anomaly detection in an in-vehicle communication network
CN110226310B (zh) 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及方法
CN112367318B (zh) 安全处理方法以及计算机
Carsten et al. In-vehicle networks: Attacks, vulnerabilities, and proposed solutions
CN110406485B (zh) 非法检测方法及车载网络系统
JP7231559B2 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
WO2018020833A1 (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
JP7199467B2 (ja) 不正対処方法、および電子制御ユニット

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant