CN110300686A - 数据分析装置及程序 - Google Patents

数据分析装置及程序 Download PDF

Info

Publication number
CN110300686A
CN110300686A CN201880011417.4A CN201880011417A CN110300686A CN 110300686 A CN110300686 A CN 110300686A CN 201880011417 A CN201880011417 A CN 201880011417A CN 110300686 A CN110300686 A CN 110300686A
Authority
CN
China
Prior art keywords
vehicle
data
result
abnormal
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880011417.4A
Other languages
English (en)
Other versions
CN110300686B (zh
Inventor
佐佐木崇光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority claimed from PCT/JP2018/042237 external-priority patent/WO2019142476A1/ja
Publication of CN110300686A publication Critical patent/CN110300686A/zh
Application granted granted Critical
Publication of CN110300686B publication Critical patent/CN110300686B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • G08G1/0962Arrangements for giving variable traffic instructions having an indicator mounted inside the vehicle, e.g. giving voice messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00188Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/01Detecting movement of traffic to be counted or controlled
    • G08G1/0104Measuring and analyzing of parameters relative to traffic conditions
    • G08G1/0108Measuring and analyzing of parameters relative to traffic conditions based on the source of data
    • G08G1/0112Measuring and analyzing of parameters relative to traffic conditions based on the source of data from the vehicle, e.g. floating car data [FCD]
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/01Detecting movement of traffic to be counted or controlled
    • G08G1/0104Measuring and analyzing of parameters relative to traffic conditions
    • G08G1/0125Traffic data processing
    • G08G1/0133Traffic data processing for classifying traffic situation
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/01Detecting movement of traffic to be counted or controlled
    • G08G1/0104Measuring and analyzing of parameters relative to traffic conditions
    • G08G1/0137Measuring and analyzing of parameters relative to traffic conditions for specific applications
    • G08G1/0141Measuring and analyzing of parameters relative to traffic conditions for specific applications for traffic information dissemination
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • G08G1/0962Arrangements for giving variable traffic instructions having an indicator mounted inside the vehicle, e.g. giving voice messages
    • G08G1/0967Systems involving transmission of highway information, e.g. weather, speed limits
    • G08G1/096708Systems involving transmission of highway information, e.g. weather, speed limits where the received information might be used to generate an automatic action on the vehicle control
    • G08G1/096725Systems involving transmission of highway information, e.g. weather, speed limits where the received information might be used to generate an automatic action on the vehicle control where the received information generates an automatic action on the vehicle control
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • G08G1/0962Arrangements for giving variable traffic instructions having an indicator mounted inside the vehicle, e.g. giving voice messages
    • G08G1/0967Systems involving transmission of highway information, e.g. weather, speed limits
    • G08G1/096733Systems involving transmission of highway information, e.g. weather, speed limits where a selection of the information might take place
    • G08G1/096741Systems involving transmission of highway information, e.g. weather, speed limits where a selection of the information might take place where the source of the transmitted information selects which information to transmit to each vehicle
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • G08G1/0962Arrangements for giving variable traffic instructions having an indicator mounted inside the vehicle, e.g. giving voice messages
    • G08G1/0967Systems involving transmission of highway information, e.g. weather, speed limits
    • G08G1/096733Systems involving transmission of highway information, e.g. weather, speed limits where a selection of the information might take place
    • G08G1/09675Systems involving transmission of highway information, e.g. weather, speed limits where a selection of the information might take place where a selection from the received information takes place in the vehicle
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/09Arrangements for giving variable traffic instructions
    • G08G1/0962Arrangements for giving variable traffic instructions having an indicator mounted inside the vehicle, e.g. giving voice messages
    • G08G1/0967Systems involving transmission of highway information, e.g. weather, speed limits
    • G08G1/096766Systems involving transmission of highway information, e.g. weather, speed limits where the system is characterised by the origin of the information transmission
    • G08G1/096775Systems involving transmission of highway information, e.g. weather, speed limits where the system is characterised by the origin of the information transmission where the origin of the information is a central station
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2816Controlling appliance services of a home automation network by calling their functionalities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/32Detection related to theft or to other events relevant to anti-theft systems of vehicle dynamic parameters, e.g. speed or acceleration
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2520/00Input parameters relating to overall vehicle dynamics
    • B60W2520/10Longitudinal speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/18Steering angle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2552/00Input parameters relating to infrastructure
    • B60W2552/30Road curve radius
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2554/00Input parameters relating to objects
    • B60W2554/80Spatial relation or speed relative to objects
    • B60W2554/804Relative longitudinal speed
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2555/00Input parameters relating to exterior conditions, not covered by groups B60W2552/00, B60W2554/00
    • B60W2555/60Traffic rules, e.g. speed limits or right of way
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2556/00Input parameters relating to data
    • B60W2556/45External transmission of data to or from the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2756/00Output or target parameters relating to data
    • B60W2756/10Involving external transmission of data to or from the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/005Moving wireless networks

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Analytical Chemistry (AREA)
  • Chemical & Material Sciences (AREA)
  • Atmospheric Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Traffic Control Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

数据分析装置具备:车辆数据取得部(210),其取得表示第一车辆的行驶状态的车辆数据;车外数据取得部(210),其从第一车辆正在行驶的区域中的第一车辆以外的第二车辆或交通基础系统的至少一方取得表示第一车辆的车外状况的车外数据;以及判定部(230),其执行第一判定并输出关于第一车辆的第一判定的结果,该第一判定对车辆数据所表示的第一车辆的行驶状态与车外数据所表示的车外状况是否存在不匹配进行判定。

Description

数据分析装置及程序
技术领域
本发明涉及针对具备车载网络的车辆的网络攻击的安全技术。
背景技术
提出了针对对具备车载网络的车辆的网络攻击的安全技术。例如,提出了一种技术,该技术通过分析在遵循作为通信标准的CAN(Controller Area Network,控制器局域网)的车载网络中流动的CAN数据来检测在CAN数据中潜在的攻击的非法数据(参照专利文献1和专利文献2)。
现有技术文献
专利文献
专利文献1:日本特开2014-146868号公报
专利文献2:日本特开2008-114806号公报
发明内容
本发明要解决的问题
但是,有可能无法检测到通过假冒方法等而高度化的攻击。
因此,本发明提供一种即使是高度化的攻击也能够以更高的精度进行检测的数据分析装置。
解决问题的手段
本发明的一个方式的数据分析装置具备:车辆数据取得部,其取得表示第一车辆的行驶状态的车辆数据;车外数据取得部,其从所述第一车辆正在行驶的区域中的所述第一车辆以外的第二车辆或交通基础系统的至少一方取得表示所述第一车辆的车外状况的车外数据;以及判定部,其执行第一判定并输出关于所述第一车辆的所述第一判定的结果,所述第一判定对所述车辆数据表示的所述第一车辆的行驶状态与所述车外数据表示的所述车外状况是否存在不匹配进行判定。
此外,这些总括性或具体的技术方案可以通过系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序以及记录介质的任意组合来实现。
发明的效果
根据本发明的一个方式的数据分析装置,即使是高度化的攻击也能够以更高的精度进行检测。
附图说明
图1是用于说明包含实施方式1中的数据分析装置的网络安全系统的概要的图。
图2是表示图1所记载的网络安全系统中的车载网络的结构例的图。
图3是表示上述车载网络的功能结构例的框图。
图4是示出图1中描述的数据分析服务器的功能结构例的框图。
图5是表示从图1所记载的车辆向数据分析服务器提供的车辆数据的数据结构的一例的图。
图6是表示上述车辆的行驶状态的车辆数据的数据结构的其他例子的图。
图7是示出从图1所示的交通基础系统提供给数据分析服务器的车外数据的数据结构的一例的图。
图8是表示实施方式1中的数据分析服务器的处理步骤的一例的流程图。
图9是在实施方式1中判定为车辆发生了异常的情况下的时序图。
图10是在实施方式1中判定为在交通基础系统中发生了异常的情况下的时序图。
图11是表示实施方式1中的车辆数据分析装置的处理的步骤的一例的流程图。
图12是表示实施方式1中的交通基础系统的处理的步骤的一例的流程图。
图13A是表示实施方式1中的数据分析服务器的处理步骤的一个具体例的流程图。
图13B是表示实施方式1中的数据分析服务器的处理步骤的一个具体例的流程图。
图13C是表示实施方式1中的数据分析服务器的处理步骤的一个具体例的流程图。
图13D是示出实施方式1中的数据分析服务器的处理步骤的一个具体例的流程图。
图13E是示出实施方式1中的数据分析服务器的处理步骤的一个具体例的流程图。
图13F是表示实施方式1中的数据分析服务器的处理步骤的一个具体例的流程图。
图14是表示在实施方式2中各车辆所具备的车辆数据分析装置的处理的步骤的一例的流程图。
图15是示出在实施方式2中为了判定异常级别而执行的车辆数据的分析的结果的数据结构的一个例子的图。
图16A是表示实施方式2中的数据分析服务器的处理步骤的一例的流程图。
图16B是表示实施方式2中的数据分析服务器的处理步骤的其他例子的流程图。
图17是实施方式2中的网络安全系统的时序图。
图18是表示在实施方式3中由各车辆所具备的车辆数据分析装置进行的处理的步骤的一例的流程图。
图19是表示实施方式3中的数据分析服务器的处理步骤的一例的流程图。
图20是示出在实施方式3中使用的、表示车载的信息处理装置(ECU)与发送CAN消息的关联的数据的例子的图。
图21是示出在实施方式3中使用的、表示构成车载网络的总线与连接于各总线的ECU之间的关联的数据的例子的图。
图22是实施方式3中的网络安全系统的时序图。
图23是表示实施方式3中的向网络安全系统的用户提示信息的步骤的一个例子的流程图。
具体实施方式
(成为本发明的基础的见解)
本发明人发现,关于在“背景技术”栏中记载的安全技术,产生以下的问题。
当今的汽车具备多个被称为ECU(Electronic Control Unit,电子控制单元)的信息处理装置。这些ECU发挥用于提高安全性、便利性或舒适性的各种功能,并且,经由CAN网络等车载网络交换数据并协作,还能够实现包括自动驾驶的更有高度的功能。另外,本发明中的ECU的用语是指根据各自的用途而包括IVI(In-Vehicle Infotainment,车辆信息)、TCU(Telematics Communication Unit,电信单元)、网关等被称为其他名称的、与车载网络连接而发送或者接收数据的各种设备在内来使用。
在对车辆的网络攻击中,以往有例如通过从连接于车载网络的非法设备、或程序被非法改写的ECU传输攻击数据,从而使该车辆的功能混乱的方法。专利文献1或2所记载的技术是作为针对这种攻击方法的对抗手段而被提出的。
但是,现有技术是通过比较对象车辆的正常数据和攻击数据来检测攻击数据的技术,存在难以检测高度地模仿正常数据的攻击数据的问题。
此外,即使现有技术能够检测发送的非法数据以防止攻击的不利影响,但是没有将发送非法数据的装置的确定作为对象,有时难以从更根本上解决发送非法数据的装置的停止等。
此外,为了实现更有高度的功能,还出现了搭载有车载网络的车辆,该车载网络直接或经由因特网等通信网络与其他车辆或交通基础系统等的外部收发数据。这样扩大的数据的流通路径可能是非法的数据的传播路径,并且很可能扩大损害。然而,现有技术不能防止导致扩大危害的非法数据的传播。
为了解决这样的问题,本发明的一个方式的数据分析装置具备:车辆数据取得部,其取得表示第一车辆的行驶状态的车辆数据;车外数据取得部,其从所述第一车辆正在行驶的区域中的所述第一车辆以外的第二车辆或交通基础系统的至少一方取得表示所述第一车辆的车外状况的车外数据;以及判定部,其执行第一判定并输出关于所述第一车辆的所述第一判定的结果,所述第一判定对所述车辆数据所表示的所述第一车辆的行驶状态与所述车外数据所表示的所述车外状况是否存在不匹配进行判定。
由此,能够以更高的精度检测在车辆单体的数据中难以检测的攻击。
例如,所述车辆数据取得部可以从所述区域内的多个所述第一车辆取得车辆数据,所述判定部对来自所述多个第一车辆的车辆数据执行所述第一判定,输出关于所述多个第一车辆各自的所述第一判定的结果,执行第二判定,该第二判定与在针对所述多个第一车辆各自的所述第一判定的结果中表示存在不匹配的结果的件数是否为规定基准以上有关,在所述第二判定中判定为表示存在不匹配的结果的数量为所述规定基准以上的情况下,输出表示所述车外数据存在异常的所述第二判定的结果,在所述第二判定中判定为表示存在不匹配的结果的数量小于所述规定基准的情况下,输出表示在所述第一判定中判定为存在不匹配的所述第一车辆存在异常的所述第二判定的结果。
由此,能够以更高的准确度判定异常的发生场所是车辆还是交通基础系统等车辆外部。
例如,也可以还具备信息发送部,所述信息发送部,在所述判定部输出了表示所述车外数据存在异常的所述第二判定的结果的情况下,向所述多个第一车辆、所述第二车辆以及所述交通基底系统的至少一部分,发送表示所述车外数据存在异常的第一通知,在所述判定部输出了表示所述第一车辆存在异常的所述第二判定的结果的情况下,向所述多个第一车辆、所述第二车辆以及所述交通基底系统的至少一部分,发送表示存在异常的所述第一车辆的第二通知。
由此,共享关于以高准确度检测出的异常及其发生场所的信息。
例如,所述信息发送部也可以在所述判定部输出了表示所述车外数据存在异常的所述第二判定的结果的情况下,向所述多个第一车辆、所述第二车辆以及所述交通基础系统的至少一部分发送不利用所述车外数据的指示,在所述判定部输出了表示所述第一车辆存在异常的所述第二判定的结果的情况下,向所述多个第一车辆、所述第二车辆以及所述交通基础系统的至少一部分发送不利用表示所述第一车辆的行驶状态的车辆数据的指示。
由此,能够抑制由发生了异常的数据引起的损害的扩散。
例如,所述信息发送部也可以在所述判定部输出了表示所述第一车辆存在异常的所述第二判定的结果的情况下,向该第一车辆发送执行异常发生时的动作的指示。
由此,在发生了异常的车辆中,能够执行针对异常的规定的措施。
例如,所述车外数据和所述车辆数据可以分别指示时刻,并且所述判定部可以从所述车外数据中取得表示从所述车辆数据指示的时刻回溯的规定时间内的时刻的车外数据、或者从所述车辆数据指示的时刻回溯的规定件数的车外数据,作为用于所述第一判定的所述车外数据。
由此,将更好地反映了现状的车外数据用作与车辆数据进行比较的数据,能够得到更适于现状的异常判定的结果。
此外,这些概括性或具体的技术方案可以通过系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以通过系统、方法、集成电路、计算机程序或记录介质的任意组合来实现。
以下,参照附图对实施方式的数据分析装置进行说明。
另外,以下的各实施方式均表示本发明的概括性或具体的例子。因此,以下的实施方式所示的数值、构成要素的配置以及连接方式、以及步骤(工序)以及步骤的顺序等是一例,并不限定本发明。在以下的实施方式的构成要素中,对于独立权利要求中未记载的构成要素,是能够任意附加的构成要素。另外,各图是示意图,并非严格地图示。
(实施方式1)
[1.概要]
图1是用于说明包含实施方式1中的数据分析装置的网络安全系统的概要的图。网络安全系统1是用于针对以进行V2X通信的车辆及其通信对方为攻击对象的网络攻击的对策的安全系统。如图1所示,在网络安全系统1中,车辆10A和车辆10B(以下,将它们汇总或者不进行区分,将一方称为车辆10),数据分析服务器200和交通基础系统300通过使用因特网等通信线路构筑的通信网络900交换数据。此外,车辆10A和车辆10B可以相互或直接与交通基础系统300交换数据。交通基础系统300是指交通信号机、ETC(电子收费)门、交通量测算装置等设置在车辆10行驶的道路旁的各种交通基础相关装置(在本发明中,这些装置也被称为路侧设备,未示出)以及用于与这些路侧设备通信、控制和管理的系统。
在网络安全系统1中,能够高精度地检测以车辆10或者交通基础系统300为对象的网络攻击,从而能够谋求用于抑制受害扩大的措施。以下,以由数据分析服务器200提供承担这种网络攻击的检测的数据分析装置的功能的情况为例,说明本实施方式。
[2.结构]
[2-1.车辆的信息系统结构]
以车辆10A为例说明车辆10的信息系统结构。图2是示出了车辆10A具有的车载网络100的结构例的图。
车辆10A具备车载网络100。从车辆10A通过V2X通信发送到车辆10B、数据分析服务器200以及交通基础系统300的数据是在车载网络100中流动的数据。
车载网络100包括外部通信装置110、网关120、车辆数据分析装置130以及多个ECU150。在该示例中,ECU150按照信息系统、控制系统等每个功能系统连接到公共总线,以构成一个功能系统网络。这些功能系统是示例,并且车载网络100中可以包括另外的功能系统,例如车身系统等。在各ECU150上连接有未图示的车载的传感器、开关或致动器等设备,ECU150将表示该传感器测算的结果的感测数据向总线送出,或者将传感器的测算结果作为输入而处理的程序所输出的控制信号向开关或致动器送出。另外,在以下说明中,有时以车载网络100使用CAN网络为例,然而,本实施方式及后述的其变型例也可以应用于遵循CAN之外的通信协议的车载网络。另外,车载网络100可以混合符合不同协议的网络。
外部通信装置110和网关120也分别使用ECU来实现,如上所述,使用与用途对应的称呼来表示。外部通信装置110是具有用于与外部通信网络900或其他车辆10B通信的通信模块的信息处理装置,例如被称为TCU。网关120是信息处理装置,具有上述各功能系统之间、以及各功能系统与外部通信装置110之间的数据的转送功能,在该转送时,根据需要进行与通信协议的不同相应的数据的转换。
车辆数据分析装置130对流过车载网络100的车辆数据进行分析,并将分析结果提供给数据分析服务器200。在本实施方式的说明中使用的结构例中,车载网络100是通过网关120所具备的处理器执行程序而实现的功能性构成要素。图3是用于更详细地说明车辆数据分析装置130的功能结构的框图。
车辆数据分析装置130具备车辆数据取得部131、车外数据取得部132、行驶状态分析部133、蓄积部135、分析结果发送部136以及车辆控制数据发送部137。
车辆数据取得部131取得在车载网络100中流动的、表示车辆10A的行驶状态的车辆数据。在表示该行驶状态的车辆数据的例子中,包含从上述ECU150送出的感测数据。
车外数据取得部132取得外部通信装置110通过V2X通信接收到的数据。该数据包括由周边车辆、在本示例中为车辆10B或交通基础系统300取得的数据。更具体地,车辆10A从车辆10B取得在车辆10B的车载网络中流动的车辆数据,并且从交通基础系统300取得通过路侧设备具有的测定功能或通信功能获得的数据作为车外数据。
行驶状态分析部133分析车辆数据取得部131取得的车辆数据,并且作为其结果获得关于车辆10A的行驶状态的信息。该信息例如可以包括车速、转弯曲率、加速度、横摆率、加速器开度、转向量、档位、车辆的位置信息等。
蓄积部135根据需要保持车辆数据取得部131取得的车内数据、车外数据取得部132取得的车外数据、或行驶状态分析部133的分析结果的数据。在该例中,存储部135使用网关120所具备的存储装置来实现。
分析结果发送部136将行驶状态分析部133的分析结果的数据经由外部通信装置110发送给数据分析服务器200。
车辆控制数据发送部137基于行驶状态分析部133的分析结果或车外数据取得部132,发送用于进行根据有无异常或异常级别而应该执行的规定动作的指示。该指示被发送到连接于网关120的总线,并且由相关联的ECU150接收。
如上所述,网关120上的车辆数据分析装置130是车载网络100上的车辆数据分析装置130的安装方式的一个例子,也可以以其他方式安装。例如也可以使用与车载网络100连接的、与网关120分开的一台以上的信息处理装置来实现。
另外,对于与网络安全系统1连接的车辆10而言,上述结构的信息系统并不是必须的。例如,车辆10B所具有的车载网络100上的信息系统可以不具有行驶状态分析部133,而是具有用于将感测数据等未分析的车辆数据发送到外部的发送部,来代替分析结果发送部136。在这种情况下,基于车辆10B的车辆数据的行驶状态的分析可以在车辆10B的外部、例如由数据分析服务器200执行,该数据分析服务器200接收车辆10B的车辆数据。或者,也可以由车辆10A或交通基础系统300执行。当车辆10A或交通基础系统300执行车辆10B的行驶状态的分析时,其结果可以经由通信网络900提供给数据分析服务器200。
[2-2.数据分析服务器的结构]
接着,对数据分析服务器200的结构进行说明。图4是表示数据分析服务器200的功能结构例的框图。另外,数据分析服务器200使用具备处理器及存储器的一台以上的计算机资源来实现。数据分析服务器200分析通过通信网络900从车辆10和交通基础系统300接收的数据,检测由网络攻击引起的异常,或者进一步执行异常级别的判定,并且根据需要向车辆10或交通基础系统300提供信息。数据分析服务器200执行规定的程序来提供这样的功能。另外,在该程序中,例如使用通过机器学习而生成的异常检测模型、或者进一步使用分类模型。
数据分析服务器200具有数据取得部210、数据分析部220、判定部230、蓄积部240、关联ECU指定部250、访问权管理部260、信息发送部270和信息提示部280。这些是功能性的构成要素,通过在数据分析服务器200中由处理器执行上述规定的程序来实现。
数据取得部210取得表示车辆10的行驶状态的车辆数据。这里,表示车辆10的行驶状态的车辆数据是例如从上述车辆10A发送的、作为行驶状态分析部133的分析结果的数据。此外,如果发送至数据分析服务器200的数据是上述车辆10B那样的未分析的数据,则为通过数据分析部220对该数据进行分析后的结果的数据。即,数据分析部220执行与行驶状态分析部133同样的分析。
图5以及图6是表示数据取得部210取得的、表示车辆10的行驶状态的车辆数据的数据结构的一个例子的图。
在图5所示的例子中,以时间序列存储有表示在一定间隔(在图示的例子中为5秒)的不同时刻测定出的车辆10的行驶状态的值。在图6所示的例子中,作为表示车辆10的行驶状态的值,以时间序列存储有根据遍及一定期间(在图示的例子中为10分钟)的测定值而计算出的平均值等。另外,车辆数据的内容不限于这些例子。图中的速度、转弯曲率等各项目是为了例示而示出的,并不是必须的,另外,也可以包括其他项目。此外,各项目的值例如可以是每隔一定期间的最大值和最小值、在一定期间内是否超过或低于规定的阈值、在一定期间内超过或低于规定的阈值的时间长度等。另外,分析结果还可以以车辆10中发生的事件、例如用户或自动驾驶系统的规定驾驶操作(例如,启动、停止、换档)为契机而取得。在这种情况下,还可以有表示已发生的事件的项目。另外,在图5和图6中,位置信息用经纬度表示,但不限于此。例如,可以使用车辆行驶的地点的地名或道路、路段、十字路口名、最近的地标的名称或邮政编码等、或者表示这些的识别信息(例如表示道路的路段或其上下方向的ID)。此外,在从各车辆10发送的数据中附加唯一地识别作为发送源的车辆的识别信息,数据分析服务器200将车辆数据的各项与该识别信息相关联地进行管理。
数据取得部210还从交通基础系统300取得表示在车辆10所行驶的区域中的车辆10的车外被识别的状况(以下,称为车外状况)的车外数据。
所谓车外数据所表示的车外状况,更具体而言,例如是道路信息或交通信息。
图7是示出从交通基础系统300提供给数据分析服务器200的车外数据的数据结构的一例的图。
在图7所示的例子中,作为表示车外状况的数据,按照时间序列存储有根据路侧设备的一定期间(在图示的例子中为5分钟)内的测定值计算出的平均值等。这样的数据是路侧设备的感测数据的分析结果,该分析可以在路侧设备或交通基础系统300中执行,或者可以由数据分析部220分析。另外,车外数据的内容不限于该例。图中的限制速度、限制等各项目是以例示的目的表示的,并不是必须的,另外,也可以包含其他项目。此外,各项目的值例如可以是每隔一定期间的最大值和最小值、在一定期间内是否超过或低于规定的阈值、在一定期间内超过或低于规定的阈值的时间长度等。此外,分析结果也可以以交通基础系统300中发生的事件、例如限制速度的变更为契机取得。在这种情况下,还可以有表示已发生的事件的项目。另外,在图7的例子中,作为表示车外状况的数据的发送源的各路侧设备的位置信息,使用了表示设置有该路侧设备的道路的区间的识别信息即道路ID。此外,在从交通基础系统300发送的车外数据中,也可以附加唯一地识别生成了车外数据的路侧设备的识别信息。
判定部230判定由数据取得部210取得到的、车辆数据所表示的车辆10的行驶状态与车外数据所表示的车外状况是否存在不匹配,并输出该判定的结果。
蓄积部240根据需要保持数据取得部210所取得的车辆数据和车外数据、判定部230的判定结果的数据等数据分析服务器200的各功能性构成要素生成或使用的数据。在该例子中,使用数据分析服务器200所具备的存储装置来实现蓄积部240。
关联ECU确定部250在由判定部230判定为车辆10中发生异常的情况下,确定与该异常关联的ECU。
访问权管理部260管理数据分析服务器200的用户对数据取得部210所取得的数据、数据分析部220的分析结果的数据、或判定部230的判定结果等的数据的访问权。另外,这里的数据分析服务器200的用户例如是车辆10或其部件的制造商。
信息发送部270将表示与由判定部230执行的判定的结果对应的信息的数据发送到车辆10、交通基础系统300或二者。信息提示部280向用户显示与判定部230所进行的判定的结果对应的信息。关于与判定结果对应的信息,将在后面叙述。
[3.动作]
接着,对本实施方式中提供数据分析装置的功能的数据分析服务器200的动作进行说明。图8是表示数据分析服务器200的处理步骤的一例的流程图。另外,在该说明中还适当参照表示网络安全系统1中的数据(信息)的流程的图9以及图10的时序图。此外,也可适当参照表示在车辆10和交通基础系统300中执行的处理的步骤的图11和图12的流程图。
在数据分析服务器200中,数据取得部210从车辆10接收并取得车辆数据,从交通基础系统300接收并取得车外数据(步骤S10、S11)。在该例子中,车辆数据在车辆10中进行分析后提供给数据分析服务器200。图11是表示从车辆10中的车辆数据的取得到向数据分析服务器200的发送为止的步骤(步骤S20~S22)的流程图。此外,车外数据在交通基础系统300中进行分析后被提供给数据分析服务器200。图12是示出从交通基础系统300中取得车外数据到将车外数据发送到数据分析服务器200的步骤(步骤S30~S32)的流程图。
在接下来由数据分析服务器200执行的步骤S12中,对车辆数据和车外数据进行比较,判定车辆10的行驶状态和该车辆10的车外状况之间是否存在不匹配。该车辆数据以及车外数据在该比较的步骤之前被分析,如图5至图7所例示那样整理信息即可,该分析的场所(主体)可以是各数据的提供源,也可以是接受了数据的提供的数据分析服务器200。在本发明中,不特别区分该分析的前后,而称为车辆数据或车外数据。此外,关于车辆10的行驶状态与该车辆10的车外状况之间的不匹配,使用例子在后面叙述。
步骤S12由判定部230执行。判定部230使用车辆数据所表示的时刻以及位置信息、车外数据所表示的时刻以及位置信息,选择与判定对象的车辆数据进行比较的车外数据。在车辆数据和车外数据中以不同的形式表现时刻或位置信息的情况下,可以参照保存在蓄积部240中的对应表(未图示),或者执行用于换算的计算。另外,在判定部230中,也可以不是在时刻信息以及位置信息必须完全一致的数据彼此之间进行比较,而是选择各自部分地、或者至少一方重复的数据彼此作为比较的对象。此外,即使没有重复,也可以将表示从某个车辆数据包含的时刻信息所表示的时刻回溯的规定时间内的时刻的车外数据、或回溯的规定件数的车外数据选择为比较的对象。由于在时间上接近,因此通过使用更好地反映当前的交通量、当前的交通管制等当前的车外状况的可能性高的车外数据,能够得到更适于现状的异常判定的结果。此外,如果是表示与车辆数据所包含的位置信息表示的位置在地理上相邻(例如,一定距离或道路范围内、或者由规定的网格划定的区域中的同一区域亦或其周围的区域)的区域的车外状况的车外数据,则也可以作为表示车辆10的车外状况的车外数据来处理,并选择为与该车辆数据进行比较的对象。
如果判定部230判定不存在不匹配(步骤S13中的否),则作为在车辆10和交通基础系统300中都不存在由于从接收到的各数据中判别出的网络攻击而导致的异常,数据分析服务器200中的处理终止。
在判定部230判定为存在不匹配的情况下(步骤S13中的是),判定部230判定为车辆10以及车外数据的任意一方发生了异常。这样,通过不仅使用车辆数据,还使用车外数据来进行异常判定,与单独使用车辆数据进行异常判定的情况相比,能够高精度地判定异常。即,在某个车辆10被网络攻击非法控制的情况下,在非法控制的行驶状态属于该车辆10单体的行驶状态的可能范畴的情况下,难以通过车辆单体数据来检测异常。例如,某个车辆10在以时速30km/h行驶中,网络攻击的结果,以时速100km/h行驶。此时,由于该车辆10自身可能以时速100km/h行驶,所以仅通过该情况无法判定为异常。然而,通过比较车辆数据和车外数据,即使在这样非法控制的范畴是作为该车辆单体的行驶状态而可能存在的行驶状态的情况下,也能够检测异常。例如,在之前的例子中,设存在受到网络攻击的车辆10的周围车辆都以时速30km/h行驶的车外数据。于是,可知车辆10的行驶状态明显脱离了能够与周围车辆协调行驶的行驶状态,能够判定为车辆10发生了异常。
另外,在判定部230判定为存在不匹配的情况下(步骤S13中为是),判定部230还从蓄积部240取得针对从位置信息所表示的位置处于上述区域内的其他车辆10提供的车辆数据与过去进行的车外数据的比较的判定结果。如上所述,将基于其他车辆10的车辆数据与车外数据的比较的判定结果与各件车辆数据相关联地进行管理,参照作为发送源的车辆的识别信息来选择。另外,此时取得判定结果的其他车辆数据例如可以从所示的时刻在时间上接近的数据起取得一定件数的数据,也可以是所示的时刻在追溯一定期间的范围内的全部件。
然后,判定部230判定作为表示存在不匹配的结果的车辆数据的件数是否为规定基准以上(步骤S14)。该判定的基准例如可以如50%以上那样以比例设定,也可以以具体的件数的值设定,或者也可以并用这些(例如30%以上且5件以上)。
在作为表示存在不匹配的结果的车辆数据的件数小于规定基准的情况下(在步骤S14中为否),判定部230判定为在作为在步骤S43中被判定为不匹配的车辆数据的发送源的车辆10中发生了网络攻击所引起的异常(步骤S15)。从判定部230将该判定结果输出到信息发送部270。接收到该判定结果的输入的信息发送部270至少向交通基础系统300发送表示该车辆10的信息(步骤S16)。另外,信息发送部270向该车辆10发送执行异常发生时的动作的信息(步骤S17)。该信息可以是简单地表示判定结果的信息,也可以是由针对该车辆10的控制信号表示的信息。在图8中,示出了向车辆10发送的是控制信号的例子。
图9表示在图8所示的一系列步骤中,在步骤S14中为否时的网络安全系统1中的数据(信息)的流程。
在接收到在步骤S16中从信息发送部270发送的表示异常的车辆10的信息(图中“异常车辆信息”)的交通基础系统300中,停止利用从该车辆10通过V2I通信(车辆和交通基础系统进行的通信)接收到的数据。从受到网络攻击的车辆10提供的信息可能包括虚假内容。即,如果在交通基础系统300中进行使用了这样的信息的判定,则有可能产生进行与实际的交通状况不相符的动作等不良影响。因此,通过向交通基础系统300提供表示由于受到网络攻击而发生异常的车辆10的信息,可以抑制这样的网络攻击的不利影响的扩大。此外,这样的信息不仅可以提供给交通基础系统300,也可以提供给在发生异常的车辆10的周边行驶的其他车辆10。这是因为,在进行V2V通信(车辆与车辆直接进行的通信)的车辆10中,有时根据来自其他车辆10的数据进行动作的判定,防止根据虚假的信息进行该判定。
另外,受到网络攻击的车辆10有可能进行异常的动作。因此,通过从信息发送部270向该车辆10发送上述信息或控制信号,使该车辆10进行用于向周边的车辆或其驾驶员报知异常的发生的动作等,能够抑制事故的发生的可能性。用于通知异常的发生的动作是指例如危险警告灯的警告等。或者,在该车辆10与远程操作对应的情况下,也可以执行退避动作。
另一方面,在作为表示存在不匹配的结果的车辆数据的件数为规定基准以上的情况下(在步骤S14中为是),判定部230判定为在作为在步骤S13中被判定为与车辆数据不匹配的车外数据的发送源的交通基础系统300或者作为其一部分的路侧设备中发生了网络攻击所引起的异常(步骤S18)。从判定部230将该判定结果输出到信息发送部270。接收到该判定结果的输入的信息发送部270至少向交通基础系统300发送例如与发送了被判定为发生了该异常的车外数据的路侧设备有关的信息(步骤S19)。与路侧设备有关的信息例如可以是唯一地表示生成了该车外数据的异常的路侧设备的识别信息,另外,也可以是该车外数据表示的位置信息。图8示出了发送到交通基础系统300的信息是表示异常路侧设备的信息的示例。
另外,图10表示在图8所示的一系列步骤中,步骤S14中为是的情况下的网络安全系统1中的数据(信息)的流动。
在接收到在步骤S19中从信息发送部270发送的表示异常的车辆10的信息(图中“异常路侧设备信息”)的交通基础系统300中,停止利用由该路侧设备通过测算等生成的车外数据。由此,抑制网络攻击的恶劣影响的扩大。此外,这样的信息不仅可以提供给交通基础系统300,还可以提供给发送了成为步骤S13中的判定对象的车辆数据的车辆10、或者在异常的路侧设备的周边行驶的其他车辆10。这是因为在进行V2I通信的车辆10中,有时根据来自路侧设备的数据进行动作的判定,防止根据虚假的信息进行该判定。
此外,在此前的说明中,使用了与数据分析服务器200从车辆10接收到的车辆数据进行比较的车外数据是从交通基础系统300提供的数据的例子,但与车辆数据进行比较的数据不限于来自交通基础系统300的数据。例如,从在车辆10A的周边行驶的车辆10B接收到的数据也可以被用作与从车辆10A接收到的车辆数据进行比较的车外数据。例如,可以分析车辆10B搭载的用于拍摄周边的图像传感器生成的图像数据,并且在数据分析服务器200中,判定由该图像数据表示的图像中反映的车辆10A的状况是否与从车辆10A的车载网络取得的车辆数据所表示的车辆10A的行驶状态不匹配。另外,也可以判定车辆10A的车辆数据所表示的车辆10A的加减速、转向等行驶状态、车辆10B的车辆数据所表示的车辆10B的加减速、转向等行驶状态是否不匹配。即,就与车辆10A的关系而言,车辆10B的车辆数据是表示在车辆10A的车外被识别出的状况的车外数据,在数据分析服务器200中,能够用作与步骤S13中的车辆10A的车辆数据进行比较的比较对象。另外,即使调换车辆10A和车辆10B也可以说是同样的。
以下,列举包括执行这样的判定的情况的不匹配的具体例。
图13A至图13F分别是表示在本实施方式中,数据分析服务器200的处理步骤的一个具体例的流程图。但是,由于与图8的流程图的差异都是与步骤S13的不匹配有关的判定的步骤,所以省略关于其他步骤的说明。
在图13A的步骤S13A中,判定由车内数据表示的车辆10的行驶速度与由车外数据表示的车辆10行驶的区域的限制速度之间的不匹配。例如,该限制速度的信息使用图7所示的来自交通基础系统300的车外数据的“速度限制”栏中所包括的信息。另外,作为其他的例子,也可以是从其他车辆发送到数据分析服务器200的图像数据。在这种情况下,将包含在该图像数据的分析结果中的、表示限制速度的道路标识或者道路标志的显示内容与车内数据所表示的车辆10的行驶速度进行比较。例如,当该行驶速度与限制速度之差在规定的大小以上、或者在针对显示内容所示的限制速度而在预先确定的规定的速度范围外时,在步骤S13A中判定为是。
在图13B的步骤S13B中,判定车内数据所示的车辆10的行驶速度与车外数据所示的在该车辆10的周边行驶的其他车辆的行驶速度之间的不匹配。该其他车辆的行驶速度的信息利用例如图7所示的交通基础系统300车外数据的“平均行驶速度”栏所包含的信息。另外,作为其他例子,也可以是从其他车辆发送到数据分析服务器200的车内数据所表示的速度或其平均值。这样,在网络安全系统1中,有时也将某个车辆的车内数据作为其他车辆的车外数据来使用。例如,当这些行驶速度之间的差在规定的大小以上时,在步骤S13B中判定为是。
如这些例子所示,即使在某一台车辆10的速度按照行驶性能在正常范围内的情况下,数据分析服务器200也能够根据限制速度或周围车辆的行驶速度这样的周围状况来判定是正常还是有可能是异常。
在图13C的步骤S13C中,判定由车内数据表示的车辆10的转向角与由车外数据表示的车辆10行驶的区域(道路)的道路曲率之间的不匹配。该道路曲率的信息利用例如来自交通基础系统300的车外数据中包含的信息(未图示)。在该情况下,对车外数据所包含的道路曲率和车内数据所示的车辆10的转向角进行比较。例如,如果该道路曲率与转向角之间的差在规定值以上,则在步骤S13C中判定为是。
如该例子所示,数据分析服务器200即使在某一台车辆10的转向角按照转向性能处于正常范围内的情况下,也能够参照道路的形状这样的周围状况来判定是正常还是存在异常的可能性。
在图13D的步骤S13D中,判定车内数据所示的车辆10的行驶速度与车外数据所示的由在该车辆10的周边行驶的其他车辆所测算的该车辆10的行驶速度之间的不匹配。该车外数据是作为其他车辆所具备的雷达等能够测算周围物体的相对速度的设备的感测数据的分析结果而得到的该车辆的速度。或者,也可以通过对由上述那样的其他车辆中的图像传感器生成的图像数据进行分析来获得。例如,当这些行驶速度之间的差在规定的大小以上时,在步骤S13D中判定为是。
如该例子所示,数据分析服务器200即使在某一台车辆10的行驶速度按照行驶性能处于正常范围内的情况下,也能够参照由周围的车辆识别出的本车的行驶速度这样的周围状况来判定是正常还是存在异常的可能性。
在图13E的步骤S13E中,判定车内数据所示的车辆10的制动灯的动作状态与车外数据所示的车辆10的制动灯的动作状态之间的不匹配。该情况下的车外数据例如可以是从车辆10的后续车发送到数据分析服务器200的图像数据。将包含在该图像数据的分析结果中的、车辆10的制动灯的经时性的动作状态与从车辆10发送的车内数据所表示的车辆10的制动灯的经时性的动作状态进行比较。例如,当该动作状态有一定以上的差异时,在步骤S13E中判定为是。
如该例所示,即使在某一台车辆10的制动灯的动作在规格上处于正常范围内的情况下,数据分析服务器200也能够参照由周围的车辆中识别到的本车的制动灯的动作这一周围的状况来判定是正常还是存在异常的可能性。
在图13F的步骤S13F中,判定车内数据所示的车辆10的行驶状态与车外数据所示的其他车辆的行驶状态之间的不匹配。该情况下的车外数据例如可以是从车辆10的前车向数据分析服务器200发送的车内数据所示的、该前车的行驶状态(速度、转向角等)的时间序列数据。即,在该例子中,也将对于某个车辆而言的车内数据作为对于其他车辆而言的车外数据来利用。将该前车的车内数据的分析结果所包含的行驶状态的时间序列数据与车辆10的车内数据的分析结果所包含的行驶状态的时间序列数据进行比较。例如,当该行驶状态有一定以上的差异时,在步骤S13F中判定为是。
如该例子所示,即使在根据性能或规格,某一台车辆10的整个行驶状态在正常范围内的情况下,数据分析服务器200也能够参照在相同道路上行驶的其他车辆的行驶状态这样的周围状况来判定是正常还是存在异常的可能性。
这样,关于对某个车辆的网络攻击的发生的判定,通过将来自该车辆的数据(车辆数据)与来自交通基础系统或其他车辆等判定对象的车辆的外部的数据、即表示该车辆行驶的环境或该车辆的状况的数据(车外数据)进行比较,确认其匹配性,与仅利用该车辆单体的数据进行判定相比,能够以更高的精度进行检测。
此外,由于以高精度检测网络攻击,因此即使在数据通信频繁的V2X通信的普及度增加的情况下,也可以抑制由于非法数据的扩散而导致的损害的扩大。
此外,交通基础系统也有可能因信息化的发展而成为网络攻击的对象。在本实施方式的网络安全系统1中执行的异常判定的方法,作为检测对该交通基础系统的网络攻击的方法也是有用的。通过这样的一系列判定,能够实现包括车辆和交通基础系统在内,网络攻击的检测灵敏度更高、能够抑制其损害的扩大的汽车社会。
此外,在上述说明中,以由数据分析服务器200提供承担对车辆的网络攻击的检测的数据分析装置的功能的情况作为例子使用,但本实施方式不限于此。例如,可以通过车辆10上的车载的车辆数据分析装置130提供与上述数据分析服务器200相当的功能。例如,在车辆数据分析装置130中,判定通过经由外部通信装置110的V2X通信从周围的其他车辆或路侧设备取得的车外数据所表示的状况、与车辆数据所表示的车辆10的行驶状态之间是否存在不匹配。在存在不匹配的情况下,还可以从蓄积部135所蓄积的数据取得与车辆10正在行驶的区域中的不匹配的发生状况有关的信息,或者经由外部通信装置110向周边的车辆或路侧设备查询而取得。
(实施方式2)
[1.概要]
将描述根据另一种方法的实施方式,其提高在执行V2X通信的情况下网络攻击检测的精度。
在V2X通信被执行的情况下使用的网络安全系统中,如果在数据分析服务器或者车载的车辆数据分析装置所执行的与车辆数据的异常有关的分析中,进行异常级别、其他的显示,则有时车辆中的网络攻击的发生概率成为中等程度的结果。在以往的结构中,根据车辆单体的数据,这样的车辆数据不能用于网络攻击的发生的判定,或者在能够以实用的可靠性利用之前需要时间。在本实施方式中,使用验证这样的车辆数据的分析结果并利用于网络攻击的发生的判定的新方法,与以往相比实现高精度且迅速的判定。
更具体地说,在本实施方式的网络安全系统中,根据多个车辆的异常级别的判定结果,将不需要立即进行应对的中等程度的异常的状况,作为需要立即应对的异常来处理。
本实施方式也以由数据分析服务器200提供承担网络攻击的检测的数据分析装置的功能的情况为例进行说明。关于结构,由于与实施方式1相同,所以省略说明,各结构要素用图1至图4所示的附图标记表示。
以下,对本实施方式中的数据分析服务器200的动作进行说明。
[2.动作]
在本实施方式的网络安全系统1中,从多个车辆10向数据分析服务器200发送表示由网络攻击引起的异常级别的数据,该数据是根据由各车辆10的车辆数据分析装置130执行的车辆数据的分析结果判定的。
图14是表示在本实施方式中由每个车辆10所具有的车辆数据分析系统130执行的处理的步骤的一例的流程图。
车辆数据分析装置130在取得流过车载网络的车辆数据时(步骤S40),分析该车辆数据并判定异常级别(步骤S41)。异常级别的判定例如根据与表示正常状态的基准的背离程度来决定。例如在表示正常状态的基准的最大速度为时速100km的情况下,如果车辆数据所表示的行驶速度为时速180km,则判定为异常级别高,如果车辆数据所表示的行驶速度为时速140km,则判定异常级别为中。若举出其他例子,则在表示正常状态的基准的最大转向旋转角为720度的情况下,若车辆数据所表示的转向旋转角为900度,则判定为异常级别为高,若车辆数据所表示的转向旋转角为750度,则判定为异常级别为中。基于这种网络攻击的发生概率的异常级别的判定的基准,可以在车辆10的信息系统的设计时确定,也可以根据使用履历动态地设定。
在步骤S41中的判定结果为高的情况下(在步骤S42中为是),在车辆10中执行攻击应对措施(步骤S43)。这里,作为攻击应对措施的例子,包括通过危险警告灯的动作向附近车辆进行通知或者将车辆10停止在诸如道路侧带等不阻碍交通的位置处的强制避让动作。另外,在步骤S41中执行的分析结果被发送到数据分析服务器200(步骤S44)。图15是表示在步骤S44中发送到数据分析服务器200的、用于异常级别的判定的车辆数据的分析结果的数据结构的一例的图。该例子是在依据CAN的车载网络中发生了高级别的异常的情况下的分析结果的数据。在该例子中,除了车辆10中的异常的发生位置、表示异常的级别以及有异常的CAN消息的种类的CAN消息的ID这样的与判定为异常的数据有关的信息以外,还包含用于唯一地识别车辆10的车辆ID、表示检测到异常时的车辆10的位置的信息。另外,在发生异常时发送到数据分析服务器200的数据中包含的信息不限于此。例如,可以包括与组相关的信息,这将在下面描述。
在步骤S41中的判定结果为中的情况下(在步骤S42中为否,在步骤S45中为是),将在步骤S41中执行的分析结果发送到数据分析服务器200(步骤S46)。在这种情况下的数据结构与图15所示的相同。此外,在异常级别为中的情况下,在车辆10中不执行攻击应对措施。
如果步骤S45中的判定结果为否,即,如果异常级别为低(或正常),则对在步骤S41中取得的车辆数据的异常级别判定处理直接结束。
接下来,说明数据分析服务器200接收在步骤S44或S46中从多个车辆10发送的分析结果的数据的处理的步骤。图16A是表示本实施方式中的数据分析服务器200的处理步骤的一例的流程图。
在数据分析服务器200中,数据取得部210从多个车辆10的每一个取得表示基于对该车辆10的网络攻击的发生概率的异常级别的分析结果的数据(步骤S50)。另外,在该处理的说明中,为了方便,以异常级别为高、中、低三个阶段为前提。
接着,数据分析部220根据数据取得部210取得的分析结果,更新蓄积部240中保持的分析结果的统计(步骤S51)。该统计是针对根据规定条件将分析结果分类的每个组而取得的。这里所说的规定条件是以下条件中的一个或多个的组合:关于作为分析结果的发送源的车辆10,(1)在规定期间内行驶在规定的地域内,(2)车型相同,(3)制造商相同,(4)搭载的车载网络的结构相同,以及(5)生成所分析的车内数据的时间段相同。在这样的条件中包含的具有共通性的车载网络彼此之间,例如有可能从相同的路侧设备或者车辆通过V2X通信接收相同的非法消息,或者具有共通的脆弱性。即,以这样的条件缩减的车辆10的组受到相同的网络攻击的可能性高。因此,通过以在这样的条件下缩减的车辆10的组为单位进行观察,能够以更高的精度判定异常级别的可能性提高。此外,条件(4)的车载网络的结构涉及所遵循的通信标准、所连接的ECU的机种及其固件。
此外,该组的判别可以基于如上述那样从各车辆10发送的分析结果所附加的信息来执行,也可以参照保存于蓄积部240的、表示与各车辆ID对应的组的数据来执行。
然后,判定部230从蓄积部240取得与作为异常级别的验证对象的分析结果的数据的发送源即车辆10同一组的统计(步骤S52)。
接下来,判定部230确认由作为验证对象的分析结果表示的异常级别是否为高(步骤S53)。在高时(步骤S53中是),结束处理。
在步骤S53中为否的情况下,判定部230进一步确认该异常级别是否为中(步骤S54)。
当异常级别为中时(步骤S54中为是),接着,判定部230判定在步骤S52中取得的组内异常级别高的件数是否为规定基准以上(步骤S55A)。即,判定在关于受到网络攻击的可能性具有共通性的车辆10的组内是否比某种程度更多地发生了高级别的异常。该判定的基准例如可以如50%以上那样以比例设定,也可以以具体的件数的值设定,或者也可以并用这些(例如30%以上且5件以上)。
当步骤S55A中为是时,从信息发送部270向作为该验证的对象的分析结果的数据的发送源即车辆10发送将异常级别从中变为高的指示(步骤S56)。此外,当在步骤S54或步骤S55A中为否时,结束处理。
图16B是表示本实施方式中的数据分析服务器200的处理步骤的其他例子的流程图。
该其他例子中的处理与图16A所示的处理相比,接收到的异常级别为中的情况(步骤S54中是)下的以后的步骤的内容不同。在图16A所示的处理中,在异常级别为中的分析结果的数据的验证中,在与该数据发送源的车辆10同一组的车辆10中异常级别为高的分析结果的件数为规定基准以上的情况下,将该验证对象的分析结果的异常级别提高。即,在具有共通性的组中,受到网络攻击的概率高或者切实地受到网络攻击的事例多,因此是即使在发生了中等级别的异常的车辆中也采取更慎重的应对的处理。
与之相对,在图16B所示的处理中,如果在具有中等异常级别的分析结果的数据的验证中,与作为该数据发送源的车辆10属于同一组的车辆10具有中等异常级别的分析结果的数量在规定标准(例如,50%)以上(S55B中的是),则将作为该验证对象的分析结果的异常级别提高。即,在具有共通性的组中,即使受到网络攻击的概率高或确实受到网络攻击的事例不多,在发生了中等级别的异常的事例为规定基准(例如70%)以上的情况下,也是在发生了中等级别的异常的车辆中采取更慎重的应对的处理。在这种情况下,步骤S56的指示可以仅发送给作为验证对象的分析结果的数据的发送源的车辆10,或者为了快速提高对交通网络攻击的安全性,也可以发送给发送了分析结果的所有车辆10,该分析结果为在与车辆10相同的组中已经发生了中等级别的异常。
图17是本实施方式中的网络安全系统1的时序图。为了方便,图17示出了发送了作为分析结果的验证对象的数据的车辆10,该车辆10独立于其他车辆10。
如图17所示,从各车辆10向数据分析服务器200发送表示通过分析判定为异常级别为中或高的结果的数据。在数据分析服务器200中,使用接收到的数据来更新统计。在验证分析结果时,从最新的统计中取得相应的组的统计。在验证对象的分析结果所表示的异常级别为中、且取得的统计所表示的异常级别为高或中的件数为规定基准以上的情况下,将验证对象的分析结果所表示的级别修正为高。该高级别是本实施方式中的修正级别的例子。然后,从数据分析服务器200向车辆10发送将异常级别变更为修正级别的变更指示。在接收到该变更指示的车辆10中,与图14所示的步骤S42中判定为是的情况同样地,执行步骤S43中的攻击应对措施。
另外,在接收到步骤S56的变更指示的车辆10中,除了攻击应对措施之外,还可以改变行驶状态分析部133对车辆数据的分析基准。即,即使对于以前通过分析判定为中等级别的异常的车辆数据,在下次以后由车辆数据分析装置130取得时,也可以变更基准以判定为是高级别。由此,在车载网络100中,车辆10针对以后的同种攻击的攻击应对措施被更迅速地执行。
此外,为了方便,以上描述了在高、中、低三级的异常级别之间的验证和校正,但是本实施方式的构思也可以应用于在两级或四级以上的异常级别之间的验证和修正。即,可以使用在具有受相同网络攻击的影响的可能性高的其他车辆中判定的异常级别来验证和修正通过在车辆中的分析所判定的异常级别,而与所设定的异常级别的级数无关。
另外,在设定了四级以上的异常级别的情况下,也可以根据同一组的统计中的更高的异常级别的判定状况(件数或其比例),变更提高的级别数。即,也可以根据同一组内的异常级别的判定状况,从数据分析服务器200发出将异常级别每次提升2个级别以上的指示。例如,假设异常级别以升序设定为级别1~5,级别2~4在步骤S54中被判定为中的情况。在该情况下的以后的步骤中,例如在“中”的件数为规定以上、且占其过半数的是级别2或3的情况下,如果所接收到的异常级别是级别2,则可以提高1个级别到级别3,如果是级别3,则提高1个级别至级别4,如果占其过半数的是级别4,则可以提高1个级别或2个级别,如果所接收到的异常级别是级别2,则提高至级别4,如果是级别3或4,则提高至级别5。作为其他例子,在“中”的件数为规定以上、且占其过半数的是级别2或3的情况下,无论所接收到的异常级别是级别2还是级别3,都可以提高1个级别或2个级别到级别4,在占过半数的是级别4的情况下,无论所接收到的异常级别是级别2~4中的哪一个,都可以提高1至3个级别到级别5。
此外,在车辆10中不执行异常级别的判定,而将车辆数据发送到数据分析服务器200,在接收到车辆数据的数据分析服务器200中,也可以在数据分析部220分析车辆数据而判定异常级别之后进行步骤S51以后的处理。
(实施方式3)
[1.概要]
说明用于在执行V2X通信的情况下提高网络攻击检测的精度的另一方式的实施方式。
在以往的使用车辆单体的车辆数据进行基于网络攻击的异常检测的方式中,即使能够检测非法数据,但由于假冒等高级方式、或者所采用的通信协议的制约,有时也无法确定送出该非法数据的设备。例如,在CAN中,发送的数据(消息)不包括用于确定发送源的信息。在消息中包含表示消息的种类的ID,能够根据该ID确定设计上的发送源。然而,发送非法数据的设备在技术上还可能冒充其发送源。在本实施方式中,即使在这样的状况下,也能够缩小作为非法数据的发生源的设备的范围。
更具体地说,在本实施方式的网络安全系统中,从与在各个车辆中发生的异常相关的设备(ECU)中,找出与任意异常相关的设备。
本实施方式也以由数据分析服务器200提供承担网络攻击的检测的数据分析装置的功能的情况为例进行说明。关于结构,由于与实施方式1相同,所以省略说明,各结构要素用图1至图4所示的附图标记表示。
以下,对本实施方式中的数据分析服务器200的动作进行说明。
[2.动作]
在本实施方式的网络安全系统1中,从多个车辆10向数据分析服务器200发送表示有无网络攻击引起的异常的数据,该数据是根据各车辆10的车辆数据分析装置130所执行的车辆数据的分析结果来判定的。
图18是示出了由在本实施例中各车辆10所具有的车辆数据分析装置130执行的处理的步骤的一例的流程图。
当车辆数据分析装置130取得在车载网络中传输的车辆数据时(步骤S60),车辆数据分析装置130分析该车辆数据并判定异常级别(步骤S61)。此时,确定非法车辆数据,在该例子中确定包含用于攻击的非法内容的CAN消息(以下,称为攻击CAN消息)(步骤S62)。当在步骤S62中确定了攻击CAN消息、即发生了攻击时(步骤S63中为是),将确定并表示该攻击CAN消息的数据发送到数据分析服务器200(步骤S64)。这里发送的数据也可以是例如与实施方式2的说明中参照的图15同样的数据。在该数据中,使用消息ID来确定攻击CAN消息(参照攻击CAN消息ID的栏)。
接下来,说明在步骤S64中接收从多个车辆10中的每一个发送的数据的数据分析服务器200的处理步骤。图19是表示本实施方式中的数据分析服务器200的处理步骤的一例的流程图。
在数据分析服务器200中,数据取得部210从车辆10取得异常分析结果的数据,该异常分析结果的数据确定并表示使该车辆10发生异常的攻击CAN消息(步骤S70)。异常分析结果所表示的攻击CAN消息是本实施方式中的异常数据的一个例子。
接着,关联ECU确定部250使用数据取得部210取得的异常分析结果的数据,确定作为具有攻击CAN消息的消息ID的CAN消息在设计上的原本的发送源的ECU(以下也称为一级ECU)(步骤S71、S72)。在该确定中,参照保存于蓄积部240的、将由该车辆10发送的CAN消息的ID与作为设计上的发送源的ECU关联起来的数据。图20是示出了本实施方式中的、表示构成车辆10的车载网络100的ECU与由各个ECU发送的CAN消息之间的关联的数据的例子的图。例如在步骤S70中接收到的分析结果的数据是图15所示的数据的情况下,参照该分析结果的数据来取得攻击CAN消息的ID、CAN-001(步骤S71)。接着,关联ECU确定部250参照图20的数据,将在与ECU ID相关联的发送消息ID中包含有作为攻击CAN消息ID的CAN-001的ECU、即在该例子中ECU ID为ECU-001的ECU确定为一级ECU(步骤S72)。
一级ECU是在设计上发送与攻击CAN消息相同的消息ID的CAN消息的ECU,因此可以说是发送了攻击CAN消息的可能性高的ECU。例如,一级ECU被非法侵占并且可能执行设计上并非意图的动作的情况。但是,不能说确实发送了攻击CAN消息。这是因为,例如,存在一级ECU以外的ECU被侵占并且发送具有在设计上不发送的消息ID的攻击CAN消息的可能性。
因此,接下来,包括一级ECU以外的ECU在内,将有可能发送了上述那样的攻击CAN消息的某ECU确定为二级ECU组。
关联ECU确定部250在车辆10的车载网络100中,将与在步骤S72中确定的一级ECU处于同一总线上的ECU确定为二级ECU组(步骤S73)。在该确定中,参照保持在蓄积部240中的、将该车辆10的车载网络100中的总线和与各总线连接的ECU关联起来的数据。图21是示出了本实施方式中表示构成车辆10的车载网络100的总线与连接于各总线的ECU之间的关联的数据的例子的图。使用在步骤S72中确定的一级ECU的例子时,在步骤S73中确定的二级ECU组中包括ECU-001、ECU-002、ECU-003、ECU-004以及ECU-005。当存在在步骤S74中确定出的二级ECU组时(步骤S74中为是),所确定出的二级ECU组被临时保存在蓄积部240中。
由于二级ECU组是连接于与发送了攻击CAN消息的总线相同总线的ECU组,因此可以说该二级ECU组中的任一个ECU发送了攻击CAN消息的可能性非常高。然而,针对二级ECU组中的所有ECU分析各ECU的动作或收发数据以调查是否发送了攻击CAN消息,这消耗大量计算资源和时间。
因此,为了进一步缩减从该二级ECU组中发送了攻击CAN消息的可能性高的ECU的范围,关联ECU确定部250将该二级ECU组与针对属于其他组的车辆10执行步骤S70至S73而确定的二级ECU组进行比较,判定是否包含共通的ECU(步骤S75)。在此所说的另一组是指满足以下任意一个或多个组合构成的条件,即,(1)规定期间内的行驶地域不同、(2)车型不同、(3)制造商不同、(4)搭载的车载网络的结构不同、以及(5)生成车内数据的时间段不同。另外,所谓(4)车载网络的结构,涉及所遵循的通信标准、所连接的ECU的机种及其固件。
比较受到攻击或检测到异常的车辆10的二级ECU组彼此,如果存在共通的ECU,则可以说该共通ECU是发送了攻击CAN消息的可能性高的ECU、或者具有允许攻击者侵入车载网络100的脆弱性的可能性高的ECU。这里,在属于根据上述条件划分的另一组的车辆10的二级ECU组之间,与属于同一组的车辆10的二级ECU组之间相比,共通ECU的数量少的可能性高。因此,通过比较属于不同组的车辆10的二级ECU组,能够将受到攻击的ECU缩减到更少的候补而高效地确定。
此外,各ECU是否是共通的(制造商、机型名称、型号、所搭载的处理器、处理器的固件的版本、以及处理器的制造商中的一个以上相同)的判定,例如在蓄积部240中保持每个ECU ID的数据库(未图示),参照该数据库来进行。
在步骤S75的比较结果为存在一个以上的共通的ECU的情况下(步骤S76中为是),关联ECU确定部250将该共通ECU确定为攻击关联ECU(步骤S77)。另外,信息提示部280将所确定的攻击关联ECU提示给数据分析服务器200的用户(步骤S78)。这里所说的攻击关联ECU是指例如作为攻击CAN消息的发送源的可能性高的ECU,或者不管是否是攻击CAN消息的发送源,但具有允许攻击者侵入车载网络100的脆弱性的可能性高的ECU。攻击关联ECU是本实施方式中的异常关联ECU的一个例子。
当在步骤S74中不存在二级ECU组的情况下(步骤S74中为否)、或者在多个二级ECU组中不存在共通ECU或者不存在作为比较对象的二级ECU组的情况下(步骤S76中为否),不进行攻击关联ECU的确定而结束处理。
这样,在本实施方式中的数据分析服务器200的处理中,通过组合针对多个车辆10的分析结果,能够高效地确定受到攻击的ECU。
图22是与图19所示的数据分析服务器200的处理相对应的网络安全系统1的时序图。如图22所示,也可以响应于用户的请求来向用户提示信息。另外,在提示的信息中,不仅包含在步骤S77中确定的攻击关联ECU,还可以包含有助于脆弱性的解决的其他数据、例如在S70中从车辆10接收的数据、一级ECU、二级ECU组等的信息。但是,网络安全系统1的多个用户中有时包括车辆或者ECU以及其他供给部件不同的制造商。在这种情况下,从数据分析服务器200能够提示的信息有时包括根据用户而需要隐匿的信息。在这种情况下,在数据分析服务器200中,管理用户的访问权的访问权管理部260管理各用户对每个数据(信息)的访问权,并且提示与该访问权相对应的信息。图23是表示本实施方式中的向网络安全系统1的用户提示信息的步骤的一个例子的流程图。
数据分析服务器200通过未图示的用户接口从用户接收信息提示请求(步骤S80)。该用户例如使用唯一的ID和密码登录到数据分析服务器200。访问权管理部260参照蓄积部240中保持的访问权管理信息(未图示),来确认由ID确定的该用户的访问权的内容(步骤S81)。然后,访问权管理部260根据所确认的访问权的内容,通过信息提示部280向用户提示该用户可以访问的信息或其一览(步骤S82)。例如,设访问权被管理成使得属于某车辆制造商的用户可以仅访问该制造商的车辆的信息。在这种情况下,在步骤S82中向该用户进行提示能够仅取得在作为该用户所属的公司的产品的车辆中产生的攻击CAN消息、与该攻击CAN消息相关联的一级ECU、其二级ECU组以及最终被确定为攻击关联ECU的信息。
通过并用这样的访问权管理,促使包括处理对其他公司应隐匿的数据的厂商在内的多种用户去利用数据分析服务器200。如果实现了多种用户的利用,则从更多且更多样的车辆收集车辆数据到数据分析服务器200中,并且存在更多在本实施方式的步骤S75中作为比较对象的二级ECU组的可能性增加。其结果,能够确定攻击关联ECU的可能性也提高。
另外,在上述说明中,作为网络攻击的结果而发送攻击CAN消息的ECU、或者具有对于侵入车载网络100的脆弱性较高的ECU是确定的对象,但本实施方式的技术不限于网络攻击,也能够应用于具有由制造不良引起的机械缺陷、漏洞、或者使用上的故障等各种异常的可能性高的ECU的确定。在该情况下,在数据分析服务器200中,代替攻击CAN消息而使用异常的消息来执行图19所示的处理。即,取得异常分析结果,该异常分析结果确定并示出由于这些异常而从ECU发送的异常消息。该异常消息是本实施方式中的异常数据的其他例子。另外,关联ECU确定部250在步骤S77中将找到的共通ECU确定为异常关联ECU。
另外,在本实施方式中,数据取得部210所取得的数据也不限于在各车辆10中分析的攻击等异常的结果。例如,也可以是从不具有有无异常的分析功能的车辆10发送的CAN消息通过数据分析部220分析后的结果。
(其他实施方式)
如上所述,作为本发明的技术的例示说明了实施方式。但是,本发明的技术并不限定于此,也能够应用于适当地进行了变更、置换、附加、省略等的实施方式。
例如,在上述的各实施方式中,各构成要素可以由专用的硬件构成,或者通过执行适合于各构成要素的软件程序来实现。各构成要素也可以通过CPU或处理器等程序执行部读出并执行记录在硬盘或半导体存储器等记录介质中的软件程序来实现。
该程序例如是如下程序:使具备处理器和存储器的计算机取得表示第一车辆的行驶状态的车辆数据,从所述第一车辆正在行驶的区域中的所述第一车辆以外的第二车辆或交通基础系统的至少一方取得表示所述第一车辆的车外状况的车外数据,执行第一判定并输出关于所述第一车辆的所述第一判定的结果,所述第一判定判定所述车辆数据表示的所述第一车辆的行驶状态与所述车外数据表示的所述车外状况是否存在不匹配。
另外,通过将上述实施方式以及上述变形例所示的各构成要素以及功能任意地组合而实现的方式也包含在本发明的范围内。
工业实用性
本发明能够用于包含车载网络的车载安全系统。
附图标记说明
1 网络安全系统
10、10A、10B 车辆
100 车载网络
110 外部通信装置
120 网关
130 车辆数据分析装置
131 车辆数据取得部
132 车外数据取得部
133 行驶状态分析部
135 蓄积部
136 分析结果发送部
137 车辆控制数据发送部
150 ECU
200 数据分析服务器
210 数据取得部
220 数据分析部
230 判定部
240 蓄积部
250 关联ECU确定部
260 访问权管理部
270 信息发送部
280 信息提示部
300 交通基础系统
900 通信网络

Claims (7)

1.一种数据分析装置,其中,具备:
车辆数据取得部,其取得表示第一车辆的行驶状态的车辆数据;
车外数据取得部,其从所述第一车辆正在行驶的区域中的所述第一车辆以外的第二车辆或交通基础系统中的至少一方取得表示所述第一车辆的车外状况的车外数据;以及
判定部,其执行第一判定,并输出关于所述第一车辆的所述第一判定的结果,所述第一判定对所述车辆数据表示的所述第一车辆的行驶状态和所述车外数据表示的所述车外状况是否存在不匹配进行判定。
2.根据权利要求1所述的数据分析装置,其中,
所述车辆数据取得部从所述区域内的多个所述第一车辆取得车辆数据,
所述判定部对来自所述多个第一车辆的车辆数据执行所述第一判定并输出关于所述多个第一车辆的每一个的所述第一判定的结果,
所述判定部执行第二判定,所述第二判定是关于对所述多个第一车辆的每一个的所述第一判定的结果中表示存在不匹配的结果的件数是否为规定基准以上的判定,
在所述第二判定中判定为表示存在不匹配的结果的数量为所述规定基准以上的情况下,输出表示所述车外数据中存在异常的所述第二判定的结果,在所述第二判定中判定为表示存在不匹配的结果的数量小于所述规定基准的情况下,输出表示在所述第一判定中判定为存在不匹配的所述第一车辆中存在异常的所述第二判定的结果。
3.根据权利要求2所述的数据分析装置,其中,
还具有信息发送部,
所述信息发送部在所述判定部输出了表示所述车外数据中存在异常的所述第二判定的结果的情况下,向所述多个第一车辆、所述第二车辆及所述交通基础系统的至少一部分,发送表示所述车外数据中存在异常的第一通知,
所述信息发送部在所述判定部输出了表示所述第一车辆存在异常的所述第二判定的结果的情况下,向所述多个第一车辆、所述第二车辆以及所述交通基础系统的至少一部分,发送表示存在异常的所述第一车辆的第二通知。
4.根据权利要求3所述的数据分析装置,其中,
所述信息发送部在所述判定部输出了表示所述车外数据中存在异常的所述第二判定的结果的情况下,向所述多个第一车辆、所述第二车辆以及所述交通基础系统的至少一部分,发送不利用所述车外数据的指示,
所述信息发送部在所述判定部输出了表示所述第一车辆存在异常的所述第二判定的结果的情况下,向所述多个第一车辆、所述第二车辆及所述交通基础系统的至少一部分,发送不利用表示所述第一车辆的行驶状态的车辆数据的指示。
5.根据权利要求4所述的数据分析装置,其中,
所述信息发送部在所述判定部输出了表示所述第一车辆存在异常的所述第二判定的结果的情况下,向该第一车辆发送执行异常发生时的动作的指示。
6.根据权利要求1至5中任一项所述的数据分析装置,其中,
所述车外数据和所述车辆数据分别表示时刻,
所述判定部取得所述车外数据中的、表示从所述车辆数据表示的时刻回溯的规定时间内的时刻的车外数据、或从所述车辆数据表示的时刻回溯的规定件数的车外数据,作为在所述第一判定中使用的所述车外数据。
7.一种程序,使具备处理器和存储器的计算机执行如下处理:
取得表示第一车辆的行驶状态的车辆数据,
从所述第一车辆正在行驶的区域中的所述第一车辆以外的第二车辆或交通基础系统的至少一方取得表示所述第一车辆的车外状况的车外数据,
执行第一判定,并输出关于所述第一车辆的所述第一判定的结果,所述第一判定对所述车辆数据表示的所述第一车辆的行驶状态和所述车外数据表示的所述车外状况是否存在不匹配进行判定。
CN201880011417.4A 2018-01-22 2018-11-15 数据分析装置及存储介质 Active CN110300686B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862620108P 2018-01-22 2018-01-22
US62/620108 2018-01-22
JP2018-161967 2018-08-30
JP2018161967A JP7045288B2 (ja) 2018-01-22 2018-08-30 データ解析装置、データ解析方法及びプログラム
PCT/JP2018/042237 WO2019142476A1 (ja) 2018-01-22 2018-11-15 データ解析装置及びプログラム

Publications (2)

Publication Number Publication Date
CN110300686A true CN110300686A (zh) 2019-10-01
CN110300686B CN110300686B (zh) 2022-09-16

Family

ID=67472487

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880011417.4A Active CN110300686B (zh) 2018-01-22 2018-11-15 数据分析装置及存储介质

Country Status (4)

Country Link
US (1) US11380197B2 (zh)
EP (1) EP3744583B1 (zh)
JP (1) JP7045288B2 (zh)
CN (1) CN110300686B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111724502A (zh) * 2020-06-09 2020-09-29 星觅(上海)科技有限公司 车辆行驶数据处理方法、装置、设备和存储介质
CN112491814A (zh) * 2020-11-11 2021-03-12 同济大学 一种车联网网联交叉口网络攻击检测方法及系统

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11037382B2 (en) * 2018-11-20 2021-06-15 Ford Global Technologies, Llc System and method for evaluating operation of environmental sensing systems of vehicles
JP2020095672A (ja) * 2018-11-28 2020-06-18 オムロン株式会社 コントローラシステム
US11646886B2 (en) * 2019-06-28 2023-05-09 Intel Corporation Data offload and time synchronization for ubiquitous visual computing witness
WO2021038870A1 (ja) * 2019-08-30 2021-03-04 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常車両検出サーバおよび異常車両検出方法
DE102020200133A1 (de) * 2020-01-08 2021-07-08 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Betreiben eines automatisierten Fahrzeugs
US11521491B2 (en) * 2020-01-24 2022-12-06 Ford Global Technologies, Llc Priority vehicle management
US11695574B2 (en) * 2020-04-29 2023-07-04 Blackberry Limited Method and system for establishing trust for a cybersecurity posture of a V2X entity
JP7351805B2 (ja) * 2020-07-01 2023-09-27 トヨタ自動車株式会社 情報処理方法、プログラム、車載装置及び車両
WO2022049637A1 (ja) * 2020-09-01 2022-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常監視装置および異常監視方法
CN112298208B (zh) * 2020-10-21 2022-05-17 长城汽车股份有限公司 自动驾驶横向辅助控制方法及横向辅助系统
JP7528731B2 (ja) * 2020-11-11 2024-08-06 株式会社オートネットワーク技術研究所 車載装置、管理装置、異常判定方法および異常判定プログラム
WO2022107379A1 (ja) * 2020-11-20 2022-05-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両攻撃イベント連続性判定方法、車両攻撃イベント連続性判定装置、および、プログラム
US20220189294A1 (en) * 2020-12-10 2022-06-16 Argo AI, LLC Data integrity verification and misbehavior detection and reporting of connected vehicles through smart infrastructure
US20210097854A1 (en) * 2020-12-14 2021-04-01 Intel Corporation Monitoring system, apparatus of a vehicle, apparatus of a roadside unit, traffic infrastructure system, and methods thereof
JP2022107990A (ja) * 2021-01-12 2022-07-25 本田技研工業株式会社 地図情報システム
DE102021203994A1 (de) * 2021-04-21 2022-10-27 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Betreiben eines wenigstens teilweise automatisierten Fahrzeugs
JP2022175060A (ja) * 2021-05-12 2022-11-25 株式会社日立製作所 移動体管制システム、攻撃通知方法
EP4377179A1 (en) * 2021-11-24 2024-06-05 Volkswagen Aktiengesellschaft Method for operating an autonomous driving vehicle
KR20230093834A (ko) * 2021-12-20 2023-06-27 현대자동차주식회사 자율 주행 차량, 그와 정보를 공유하는 관제 시스템 및 그 방법
WO2023223480A1 (ja) * 2022-05-18 2023-11-23 日本電信電話株式会社 攻撃元特定システム、攻撃元特定装置、攻撃元特定方法及びプログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000203388A (ja) * 1999-01-13 2000-07-25 Denso Corp 車載用盗難防止装置
CN101890932A (zh) * 2010-08-11 2010-11-24 奇瑞汽车股份有限公司 基于车载通讯系统的汽车智能防盗装置
CN103183005A (zh) * 2011-12-30 2013-07-03 中国移动通信集团公司 一种车辆状态检测方法、装置、系统及车辆防盗终端
CN103359057A (zh) * 2013-07-12 2013-10-23 浙江吉利汽车研究院有限公司杭州分公司 车辆报警系统及报警方法
CN106407806A (zh) * 2015-07-30 2017-02-15 丰田自动车株式会社 攻击检测系统以及攻击检测方法
WO2017163611A1 (ja) * 2016-03-23 2017-09-28 クラリオン株式会社 車載装置および車両

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3839708B2 (ja) * 2001-11-28 2006-11-01 三菱電機株式会社 車両盗難検出システム
JP5286659B2 (ja) 2006-11-07 2013-09-11 株式会社オートネットワーク技術研究所 車載装置中継システム、車載装置中継方法及び中継装置
US8050855B2 (en) * 2008-08-07 2011-11-01 General Motors Llc Method and system for transmitting data to a traffic information server
JP5766074B2 (ja) * 2011-09-09 2015-08-19 三菱電機株式会社 通信装置
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
JP5342082B1 (ja) * 2013-06-07 2013-11-13 株式会社野村総合研究所 ネットワーク障害解析システムおよびネットワーク障害解析プログラム
WO2016046819A1 (en) * 2014-09-25 2016-03-31 Tower-Sec Ltd. Vehicle correlation system for cyber attacks detection and method thereof
EP3744584A4 (en) * 2018-01-22 2021-06-02 Panasonic Intellectual Property Corporation of America VEHICLE MONITORING DEVICE, COUNTERFEIT DETECTION SERVER, AND CONTROL METHOD
US11037382B2 (en) * 2018-11-20 2021-06-15 Ford Global Technologies, Llc System and method for evaluating operation of environmental sensing systems of vehicles

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000203388A (ja) * 1999-01-13 2000-07-25 Denso Corp 車載用盗難防止装置
CN101890932A (zh) * 2010-08-11 2010-11-24 奇瑞汽车股份有限公司 基于车载通讯系统的汽车智能防盗装置
CN103183005A (zh) * 2011-12-30 2013-07-03 中国移动通信集团公司 一种车辆状态检测方法、装置、系统及车辆防盗终端
CN103359057A (zh) * 2013-07-12 2013-10-23 浙江吉利汽车研究院有限公司杭州分公司 车辆报警系统及报警方法
CN106407806A (zh) * 2015-07-30 2017-02-15 丰田自动车株式会社 攻击检测系统以及攻击检测方法
WO2017163611A1 (ja) * 2016-03-23 2017-09-28 クラリオン株式会社 車載装置および車両

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111724502A (zh) * 2020-06-09 2020-09-29 星觅(上海)科技有限公司 车辆行驶数据处理方法、装置、设备和存储介质
CN112491814A (zh) * 2020-11-11 2021-03-12 同济大学 一种车联网网联交叉口网络攻击检测方法及系统

Also Published As

Publication number Publication date
CN110300686B (zh) 2022-09-16
EP3744583A1 (en) 2020-12-02
US11380197B2 (en) 2022-07-05
JP7045288B2 (ja) 2022-03-31
US20200051434A1 (en) 2020-02-13
EP3744583A4 (en) 2021-01-27
EP3744583B1 (en) 2023-01-04
JP2019129529A (ja) 2019-08-01

Similar Documents

Publication Publication Date Title
CN110300686A (zh) 数据分析装置及程序
US11418519B2 (en) Systems and methods for detection of malicious activity in vehicle data communication networks
US10798117B2 (en) Security processing method and server
JP7045286B2 (ja) データ解析装置、データ解析方法及びプログラム
Ganesan et al. Exploiting consistency among heterogeneous sensors for vehicle anomaly detection
CN110494330A (zh) 车辆监视装置、不正当检测服务器、以及控制方法
CN110325410A (zh) 数据分析装置及程序
US11482100B2 (en) Technologies for detection of anomalies in vehicle traffic patterns
US20240250976A1 (en) Security processing method and server
CN110463142A (zh) 车辆异常检测服务器、车辆异常检测系统及车辆异常检测方法
CN110226310A (zh) 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及车载网络监视方法
US20140122014A1 (en) Method and device for detecting at least one unevenness of the road surface
WO2020075809A1 (ja) 情報処理装置、データ分析方法及びプログラム
CN101648550B (zh) 允许或抑制向用户呈现信息的请求的方法
Wideberg et al. A smartphone application to extract safety and environmental related information from the OBD-II interface of a car
Stachowski et al. An assessment method for automotive intrusion detection system performance
Winsen Threat modelling for future vehicles: on identifying and analysing threats for future autonomous and connected vehicles
KR20160062259A (ko) 차량 이상 상태를 관리하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체
WO2019142474A1 (ja) データ解析装置及びプログラム
WO2019142476A1 (ja) データ解析装置及びプログラム
JP2019129528A (ja) データ解析装置及びプログラム
CN115384536B (zh) 一种驾驶辅助系统控制器的评估方法、装置、设备及介质
KR20160124044A (ko) 차량운행정보를 제공하는 방법 및 장치
Wu et al. Risk Assessment and Enhancement Suggestions for Automated Driving Systems through Examining Testing Collision and Disengagement Reports
Lee et al. A Study on the Driving Performance Analysis for Autonomous Vehicles Through the Real-Road Field Operational Test Platform

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant