CN110546921A - 不正当检测方法、不正当检测装置以及程序 - Google Patents

Abstract

一种不正当检测方法，包括：周期异常判定步骤(S1002)，判定对车载网络反复送出的消息的周期是否异常；仲裁检测步骤(S1004)，检测消息向车载网络送出时是否发生了仲裁；以及消息判定步骤(S1006)，在消息的周期异常、消息向车载网络送出时未发生仲裁的情况下，将消息判定为异常消息。

Description

不正当检测方法、不正当检测装置以及程序

技术领域

本公开涉及检测车载网络中的异常消息的不正当检测方法等。

背景技术

近年来，在汽车中的系统中大多配置有被称为电子控制单元(ECU：ElectronicControl Unit)的装置。连接这些ECU的通信网络被称为车载网络。车载网络存在多种通信标准。其中，作为最主流的车载网络的规格之一，有Controller Area Network(CAN)。

在基于CAN标准的网络(CAN网络)中，通信路径(总线)由两条电缆构成，与总线连接的ECU也被称为节点。连接到总线的各节点以被称为帧或消息的单位收发数据。此外，在CAN中，不使用示出数据的发送目的地或发送源的标识符。

发送帧的节点(发送节点)对每个消息附加被称为消息ID的ID并将消息发送，即，将信号送出到总线，该消息ID示出消息种类。接收消息的节点(接收节点)仅接收包含预先决定的消息ID的消息，即，从总线读取信号。相同ID的消息以一定的周期被发送。

如上所述，在汽车中的系统中配置有多个ECU，它们分别与CAN网络连接，一边相互交换各种消息一边进行动作。

在此，与CAN网络的外部具有通信功能的ECU由于从外部被不正当访问等而被某人不正当控制，可能会发生对CAN网络发送异常消息(攻击消息)的情况。被这样的某人不正当控制的ECU(不正当ECU)例如能够冒充其他ECU而发送异常消息，从而不正当地控制车辆。例如在专利文献1中公开了用于检测这样的所谓的冒充并攻击的方法。

在先技术文献

专利文献

专利文献1：国际公开第2014/115455号

发明内容

发明要解决的问题

然而，在专利文献1所公开的方法中，存在如下问题：在因CAN网络总线上的发送周期的紊乱而导致正常消息的发送周期变长的情况下，无法进行正确的判断。

本公开是为解决上述课题而提出的，其目的在于提供一种判定向总线送出的各个消息是否为异常消息的不正当检测方法、不正当检测装置等。

解决问题的手段

为了解决上述课题，本公开的一个方式的不正当检测方法是检测车载网络中的异常消息的方法，其中，包括：周期异常判定步骤，判定对所述车载网络反复送出的消息的周期是否异常；仲裁检测步骤，检测在所述信息被送出到所述车载网络时是否发生了仲裁；以及消息判定步骤，在所述消息的周期为异常、所述消息被送出到所述车载网络时未发生仲裁的情况下，将所述消息判定为异常消息。

此外，这些总括性或具体的技术方案可以通过系统、装置、方法、集成电路、计算机程序或计算机可读取的CD-ROM等非暂时性的记录介质来实现，也可以通过系统、装置、方法、集成电路、计算机程序以及记录介质的任意组合来实现。

发明的效果

根据本公开的一个技术方案的不正当检测方法等，能够判定被送出到总线的单独的消息是否为异常消息。

附图说明

图1是示出实施方式1中的车载网络系统的整体结构的框图。

图2是示出实施方式1中的CAN协议的消息(数据帧)的格式的图。

图3是示出实施方式1中的车载网络系统所包含的网关的结构的框图。

图4是示出实施方式1中的接收ID列表的一例的图。

图5是示出实施方式1中的转送规则的一例的图。

图6是示出实施方式1中的不正当检测处理功能组的一例的框图。

图7A是示出实施方式1中的仲裁发生时的消息的接收模式的图。

图7B是示出实施方式1中的仲裁发生时的消息的接收模式的其他图。

图8是示出实施方式1中的不正当检测处理功能组的另一例的框图。

图9是示出实施方式1中的车载网络系统所包含的ECU的一例的框图。

图10是示出实施方式1中的不正当检测处理的一例的流程图。

图11是示出实施方式1中的转送处理的一例的流程图。

图12是示出实施方式2中的不正当检测处理功能组的一例的框图。

图13是示出实施方式2中的不正当检测处理的一例的流程图。

图14是示出变形例中的不正当检测处理功能组的一例的图。

图15是示出变形例中的不正当检测处理功能组的一例的图。

图16是示出变形例中的ECU的一例的框图。

图17是示出变形例中的ECU的一例的框图。

图18是示出变形例中的ECU的一例的框图。

具体实施方式

(成为本公开的基础的见解)

在CAN网络上连接有多个ECU的情况下，当各个ECU要独立地发送消息时，消息的发送定时相同的可能性变高。

在这种情况下，CAN网络具有被称为“仲裁”的功能，具有小的ID的消息被优先发送，具有大的ID的消息等待发送。如果这样做，则由于发送消息的发送定时产生了偏差，所以根据消息的发送间隔来判定是正常消息还是异常消息的功能可能进行误动作，将正常消息判定为异常消息。

因此，本公开的一个方式的不正当检测方法是由包括存储部的信息处理系统执行的、对车载网络系统中的异常消息进行检测的不正当检测方法，包括：周期异常判定步骤，判定对所述车载网络反复送出的消息的周期是否异常；仲裁检测步骤，检测在所述信息被送出到所述车载网络时是否发生了仲裁；以及消息判定步骤，在所述消息的周期为异常、所述消息被送出到所述车载网络时未发生仲裁的情况下，将所述消息判定为异常消息。

由此，在送出到车载网络系统的消息由于仲裁等而产生了发送延迟的情况下，能够适当地判定接收到的消息是否为正常消息。结果，以更高的精度执行每个消息是否为异常消息的判定。

此外，例如，还可以包括周期起点决定步骤，将成为在所述周期异常判定步骤中判定是否异常的周期的起点的时刻决定为所述消息的受理时刻或受理预定时刻，在所述周期异常判定步骤中，将在所述周期起点决定步骤中决定的时刻用作所述起点来判定周期。

由此，即使在存在多个发生了仲裁时的消息发送方法的情况下，也可以通过基于在消息的接收时刻出现的特征来判断是否为正常消息，以更高的精度判定异常消息。

另外，例如，也可以包括发送类型判定步骤，判定所述消息的发送类型，在所述周期起点决定步骤中，根据所述发送类型将成为所述起点的时刻决定为所述消息的受理时刻或受理预定时刻。

由此，能够进行与送出到车载网络的消息的发送类型相应的仲裁检测。

此外，例如，也可以在所述仲裁检测步骤中，在所述消息包含在如下的一个以上的消息中的情况下，判定为发生了仲裁，该一个以上的消息是从在接收所述消息的周期的正常范围内的时刻所接收的其他消息起连续接收到的一个以上的消息。

由此，即使在由于仲裁等而产生了消息的发送延迟的情况下，也可以适当地判定接收到的消息是否为正常消息。

另外，本公开的一个方式的不正当检测装置是检测车载网络系统中的异常消息的不正当检测装置，其中，包括：一个以上的处理器；以及存储部，所述一个以上的处理器使用所述存储部，进行：周期异常判定步骤，判定对所述车载网络反复送出的消息的周期是否异常；仲裁检测步骤，检测在所述信息被送出到所述车载网络时是否发生了仲裁；以及消息判定步骤，在所述消息的周期为异常、所述消息被送出到所述车载网络时未发生仲裁的情况下，将所述消息判定为异常消息。

由此，即使送出到车载网络系统的消息由于仲裁等而产生发送延迟，也能够适当地判定是否为正常消息。结果，以更高的精度执行每个消息是否为异常消息的判定。

另外，本公开的一个技术方案的程序是用于在上述的不正当检测装置中使上述一个以上的处理器实施上述的不正当检测方法中的任意一个的程序。

由此，即使送出到车载网络系统的消息由于仲裁等而产生发送延迟，也能够适当地判定是否为正常消息。结果，以更高的精度执行每个消息是否为异常消息的判定。

以下，参照附图对实施方式进行具体说明。

另外，以下说明的实施方式均示出总括性或具体性的例子。以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置以及连接方式、步骤、步骤的顺序等是一例，并非限定本公开的意思。以下的实施方式中的构成要素中，示出最上位概念的独立权利要求中未记载的构成要素作为任意包含的构成要素而被说明。

(实施方式1)

[1.概要]

在本实施方式中，参照附图对在车载网络系统中进行所发送的消息是否为异常消息的判定的情况进行说明。另外，在此，异常消息基本上是不正当的消息。

[1.1车载网络系统的整体构成]

图1是示出本实施方式中的车载网络系统10的整体结构的框图。

在图1中，车载网络系统10由CAN网络构成，包括ECU100a、ECU100b、ECU100c及ECU100d、总线200a及总线200b、网关300。

以下，有时将ECU100a、ECU100b、ECU100c、ECU100d集合地设为ECU100。另外，指ECU100a、ECU100b、ECU100c、ECU100d中的某一个有时作为ECU100进行说明。

另外，以下，有时将总线200a、总线200b集合地设为总线200。另外，指总线200a及总线200b的某一个有时作为总线200。

ECU100a与发动机101连接，ECU100b与制动器102连接。另外，ECU100c与门开闭传感器103连接，ECU100d与窗开闭传感器104连接。

ECU100取得所连接的设备的状态，并周期性地向总线200送出示出所取得的状态的消息。例如ECU100a取得发动机101的转速，对包含示出该转速的数据值的消息附加规定的ID并向总线200送出。

另外，各ECU100从总线200读出从其他ECU100发送的消息，并根据附加于消息的ID选择性地接收消息。关于该选择性的接收将在后面叙述。

网关300将连接有ECU100a及ECU100b的总线200a、和连接有ECU100c及ECU100d的总线200b连接。网关300具有将从一方的总线接收到的消息转送到另一方的总线的功能。网关300也是CAN网络上的一个节点。

此外，车载网络系统10是用于说明能够应用进行消息是否为异常消息的判定的不正当通信检测系统等的对象的例子，其应用对象不限定于车载网络系统10。也可以应用于使用了LAN(Local Area Network)等的各种网络系统或者分散数据库等。

[1.2消息的数据格式]

图2是示出CAN协议的消息(数据帧)的格式的图。在此，示出CAN协议中的标准ID格式的消息。

消息由Start Of Frame(SOF)、ID字段、Remote Transimission Request(RTR)、IDE(Identifier Extension)、预约bit(r)、数据长度代码(DLC)、数据字段、CRC(CycricRedundancy Check)序列、CRC定界符(图中左侧的DEL)、ACK(Acknowledgement)时隙、ACK定界符(图中右侧的DEL)、以及EOF(End Of Frame)构成。

SOF是1bit的显性。显性是占优势的意思。显性是在数据的传递中使用数字方式的CAN网络中，在构成总线的两条电缆上施加电压以发送“0”的值的状态、或者发送的该“0”的值。与此相对，将在构成总线的两条电缆上施加电压以发送“1”的值的状态下或者所发送的该“1”的值称为隐性。隐性是劣势的意思。在从两个节点同时向总线发送“0”的值和“1”的值的情况下，“0”的值优先。空闲时的总线处于隐性状态。各ECU100通过使总线200的状态从隐性向显性变化来开始消息的发送，其他ECU100读取该变化并同步。在图2中，示出构成消息的显性或隐性的线为实线的部分示出取得显性或隐性的各值的情况。由于SOF固定在显性状态，所以显性的线是实线，隐性的线是虚线。

ID是指示出消息所包含的数据的种类的11bit的值。另外，在CAN中，在多个节点同时开始发送的消息间的通信仲裁中，设计成ID的值小的消息具有更高的优先级。

RTR是指示出帧是消息(数据帧)的1bit的显性。

IDE是指分别为1bit的显性。

DLC是示出持续数据字段的长度的4bit的值。

数据字段是示出所发送的数据的内容的值，在最大64bit长中，能够以8bit为单位调整长度。与发送的数据向该部分的分配相关的规格取决于车种或制造者。

CRC序列是由SOF、ID字段、控制字段、数据字段的发送值算出的15bit的值。

CRC定界符是表示1bit的隐性固定的CRC序列的结束的划分记号。接收节点通过将根据接收到的消息的SOF、ID字段、控制字段、以及数据字段的值算出的结果与CRC序列的值进行比较，来判断有无异常。

ACK时隙为1bit长，发送节点在该部分发送隐性。如果直到CRC序列为止能够正常地接收，则接收节点发送显性作为确认响应。由于显性优先，所以如果一个消息的通信正常进行直到CRC序列为止，则ACK时隙的发送中的总线200是显性。

ACK定界符被固定在1bit的隐性，是示出ACK时隙的结束的划分记号。

EOF被固定在7bit的隐性，示出消息的结束。

[1.3网关的结构]

图3是示出本实施方式中的车载网络系统10所包含的网关300的结构的框图。在图3中，网关300具备帧收发部310、帧解释部320、接收ID判定部330、接收ID列表保持部340、帧处理部350、转送规则保持部360、不正当检测处理功能组370、以及帧生成部380。

另外，这些结构是示出功能的结构，网关300例如作为具备由处理器实现的处理部、由半导体存储器等实现的存储部、由输入输出端口实现的输入输出部等的信息处理装置而被提供。

示出上述功能的结构通过由处理部读出并执行保持在存储部中的程序，并向存储部记录规定的数据来实现。或者，也可以代替向存储部记录规定的数据，而通过经由输入输出部执行数据的收发来实现这些结构。或者，示出上述功能的结构也可以通过它们的组合来实现。

帧收发部310对总线200a、200b分别收发按照CAN协议的消息。

更具体而言，帧收发部310逐个bit地读出向总线200送出的消息，并将读出的消息向帧解释部320转送。

另外，帧收发部310根据由帧生成部380发送的总线信息，将消息逐个bit地送出到总线200a及总线200b。

帧收发部310将从总线200a接收到的消息向总线200b发送，将从总线200b接收到的消息向总线200a发送，由此执行总线200间的消息的转送。

帧解释部320从帧收发部310接受消息的值，映射到CAN协议中的各字段，进行接收到的消息的解释。帧解释部320将解释为ID字段的值的一连串的值向接收ID判定部330转送。

帧解释部320还根据从接收ID判定部330通知的判定结果，决定是将消息的ID字段的值以及ID字段以后出现的数据字段向帧处理部350转送、还是中止消息的接收。

另外，帧解释部320在判断为接收到的消息是未遵循CAN协议的消息的情况下，向帧生成部380请求发送错误帧。

错误帧是在CAN网络上发生了错误的情况下从节点发送的、与上述消息不同的、由CAN协议规定的规定格式的帧。当错误帧被送出到总线时，在该网络上的消息的发送被中断。

另外，帧解释部320在解释为接收到其他节点发送的错误帧的情况下，将读取中的消息废弃。

接收ID判定部330从帧解释部320接受ID字段的值，按照接收ID列表保持部340保持的消息ID的列表，进行是否接收所读出的消息的判定。接收ID判定部330将该判定的结果向帧解释部320通知。

接收ID列表保持部340保持网关300接收的消息ID的列表(接收ID列表)。图4是示出本实施方式中的接收ID列表的一例的图。图4中的接收ID列表的详细情况将在后面叙述。

帧处理部350按照转送规则保持部360保持的与数据转送有关的规则，根据接收到的消息的ID来决定成为转送目的地的总线200，将成为转送目的地的总线200、从帧解释部320通知的消息ID、和转送的数据向帧生成部380通知。

另外，帧处理部350将由帧解释部320接受到的消息向不正当检测处理功能组370发送，对不正当检测处理功能组370以进行该消息是否为异常消息的判定的方式来请求。帧处理部350不转送在不正当检测处理功能组370中被判定为异常消息的消息。

转送规则保持部360保持与各总线200的数据转送相关的规则(以下也称为转送规则)。图5是示出本实施方式中的转送规则的一例的图。图5中的转送规则的详细情况将在后面叙述。

不正当检测处理功能组370是判定接收中的消息是否为异常消息的功能组。不正当检测处理功能组370所包含的功能结构的详细情况将在后面叙述。

帧生成部380按照来自帧解释部320的错误帧发送的请求，生成错误帧，并使帧收发部310送出错误帧。

另外，帧生成部380使用由帧处理部350接受到的消息ID以及数据来生成消息帧，并将消息帧与总线信息一起送出到帧收发部310。

[1.4接收ID列表]

图4是示出本实施方式中的接收ID列表的一例的图。接收ID列表是网关300接收并处理的消息的消息ID的列表。

在图4中，接收ID列表在各行中存储有消息的ID。图4的接收ID列表的消息ID是“1”、“2”、“3”及“4”，网关300接收这些消息ID的消息。网关300中止接收ID列表中未包含的消息ID的消息的接收。

另外，ID的值和接收ID列表中包含的ID的个数是用于说明的一例，网关300中使用的接收ID列表的结构不限定于此。

[1.5转送规则]

图5是示出本实施方式中的转送规则的一例的图。在图5中，转送规则在各行中存储有消息的转送源的总线和转送目的地的总线、以及转送对象的消息ID的组合。

具体而言，转送规则的第1行是转送源“总线200a”、转送目的地“总线200b”、ID“*”，网关300是无论ID是什么都将从总线200a接收的消息转送到总线200b的规则。转送规则的第2行是转送源“总线200b”、转送目的地“总线200a”、ID“3”，网关300是如果从总线200b接收的消息是ID为“3”的消息则向总线200a转送的规则。

[1.6不正当检测处理功能组的结构]

图6是示出本实施方式中的网关300具备的不正当检测处理功能组370的一例的框图。在图6中，不正当检测处理功能组370包括周期判定部371、规则判定信息保持部372、仲裁检测部373、以及接收消息信息保持部374。

另外，这些结构是示出功能的结构，在网关300中通过处理部读出并执行保持在存储部中的程序，向存储部保持规定的数据。或者，也可以代替向存储部记录规定的数据，而通过经由输入输出部执行数据的收发来实现这些结构。或者，这些结构也可以通过上述的组合来实现。

周期判定部371对于具有相同ID的每个消息判定接收到消息的周期(经过时间)是否收敛于能够判定为正常的范围内。

周期判定部371根据从帧处理部350接收到的消息取得消息的ID，取得为了判定与该ID关联的周期所需要的信息。具体而言，从规则判定信息保持部372取得规则、上次接收时刻。

周期判定部371取得接收到当前消息的时刻与从规则判定信息保持部372取得的上次接收时刻之差，并且判定该差值(经过时间)是否包含在从规则判定信息保持部372取得的规则所示的范围内。

周期判定部371在上述经过时间包含在规则所示的范围内的情况下判定为OK，在上述经过时间为规则所示的范围以外的情况下判定为NG。

在此，规则可以是关于自上次接收具有相同ID的消息起经过的时间的上限和下限的信息。此外，规则也可以是成为基准的经过时间的值、和从成为基准的时间起判定为OK的范围的宽度的信息。

此外，周期判定部371中的判定为进行接收到消息的时刻与上次接收时刻之差是否包含在规则所示的范围内的判定，但本发明不限定于此。例如，周期判定部371可以通过将规则所示的经过时间的范围加到上次接收时刻来求出期待的接收时刻的范围，判定本次接收到的消息的接收时刻是否包含在该期待的接收时刻的范围内。

此外，周期判定部371向仲裁检测部373询问在接收到消息时是否发生了仲裁。周期判定部371从仲裁检测部373取得示出是否发生了仲裁的信息和在发生了仲裁的情况下该发生的仲裁的开始时刻。

周期判定部371在判定为NG的情况下，在发生了仲裁的情况下、在仲裁的开始时刻比上述规则所示的范围的上限早的情况下、即值小的情况下，将判定变更为OK。另外，在未发生仲裁的情况下，将判定保持为NG而不变更。

此外，周期判定部371可以在每次接收消息时向仲裁检测部373询问是否发生了仲裁。此外，可以仅在对从规则判定信息保持部372取得的规则的判定为NG的情况下，才向仲裁检测部373询问是否发生了仲裁。

当周期判定部371仅在对从规则判定信息保持部372取得的规则的判定为NG的情况下向仲裁检测部373询问是否发生了仲裁时，周期判定部371在每次接收消息时向仲裁检测部373通知消息的接收时刻或者向接收消息信息保持部374保存接收时刻。

此外，当在仲裁检测部373中发生了仲裁的情况下消息接收时刻小于成为基准的经过时间的值时，周期判定部371可以将判定变更为OK。

此外，在判定为OK的情况下，周期判定部371向规则判定信息保持部372通知该时刻接收到的消息的接收时刻。

规则判定信息保持部372保持由周期判定部371使用的规则和包含于消息中的每个ID的消息的接收时刻。规则可以是从上次接收相同ID的消息起的经过时间的上限和下限的信息。另外，也可以是示出成为基准的经过时间的值、和根据成为基准的经过时间的值的判定为OK的范围的宽度的信息。

仲裁检测部373根据来自周期判定部371的询问，在接收到该消息时检测是否发生了仲裁。图7A、图7B是示出本实施方式中的仲裁发生时的消息的接收模式的图。在图7A、图7B中，三角形记号示出一个消息，横轴示出时间，T1、T2示出接收消息的预定的时刻。α示出从规则判定信息保持部372取得的对规则的判定成为OK的范围的宽度。

在图7A、图7B中，例如，时刻(T1-α)是周期判定部371在时刻T1处判定为OK的下限值，时刻(T1+α)是周期判定部371在时刻T1处判定为OK的上限值。

另外，消息M1、消息M3是预想为在时刻T1由周期判定部371接收的消息，消息M2、消息M4是仲裁开始了的消息。仲裁检测部373向周期判定部371通知消息M2或消息M4的接收时刻作为仲裁的开始时间。

仲裁检测部373在以预先决定的时间间隔以下接收到消息时，判定为发生了仲裁。例如，在图7A中，由于从消息M2到消息M1连续地发送消息，所以判定为从消息M2到消息M1发生了仲裁。在图7B中，由于消息M4和在消息M4之前的时刻T1接收到的消息M5的时间间隔宽，所以根据消息M4判定为发生了仲裁。

在图6中，仲裁检测部373从周期判定部371接受消息的接收时刻，取得存储在接收消息信息保持部374中的上次消息的接收时刻，判定是否发生了仲裁。仲裁检测部373在判定为发生有仲裁的情况下，从接收消息信息保持部374取得示出是否发生有仲裁的信息即仲裁发生状态信息。在所取得的仲裁发生状态信息示出未发生仲裁的情况下，仲裁检测部373在接收消息信息保持部374中保持消息的接收时刻，作为仲裁发生开始时刻。此外，仲裁检测部373在接收消息信息保持部374中保持本次的消息的接收时刻作为上次的消息的接收时刻，并且在接收消息信息保持部374中保持仲裁发生状态信息。

此外，仲裁检测部373在从周期判定部371有是否发生有仲裁的询问的情况下，根据消息的接收时刻，判定是否发生有仲裁。而且，在发生了仲裁的情况下，从接收消息信息保持部374取得仲裁发生开始时刻，与发生有仲裁的判定结果一起向周期判定部371通知。另一方面，仲裁检测部373在未发生仲裁的情况下，仅通知示出未发生仲裁的意思的判定结果。

此外，仲裁检测部373在未发生仲裁的情况下，仅通知示出未发生仲裁的意思的判定结果，但不限定于此。例如，仲裁检测部373也可以与判定结果一起通知示出仲裁发生开始时刻的值，也可以通知上次仲裁发生时的仲裁发生开始时刻。

接收消息信息保持部374保持仲裁检测部373使用的上次的消息的接收时刻、仲裁发生状态信息以及仲裁发生开始时刻。

另外，不正当检测处理功能组370作为进行周期判定的功能组进行了说明，但不限定于此。图8是示出本实施方式中的不正当检测处理功能组370的另一例的图，示出了不正当检测处理功能组370的变形例。在图8中，不正当检测处理功能组370a包含六种判定功能。具体而言，作为判定功能，具有检查消息的ID字段的功能即ID判定功能、检查消息的数据长的功能即数据长判定功能、检查发送消息的周期(时间间隔)的功能即发送周期判定功能、检查消息发送的频率的功能即发送频率判定功能、以及检查消息的数据字段的值(数据值)的功能即数据值判定功能，进而包含车辆状态判定功能，该车辆状态判定功能基于这些判定功能的判定结果、发送周期、频率、数据值或者数据值的变化量等识别车辆的状态，检查车辆状态的功能。进而，不正当检测处理功能组370a包含综合判定功能，该综合判定功能根据这些判定功能的判定结果综合地判定接收到的消息是否为异常消息。综合判定功能的结果成为不正当检测处理功能组370a的不正当检测的结果。

此外，图6中的不正当检测处理功能组370的周期判定部371、规则判定信息保持部372、仲裁检测部373、接收消息信息保持部374也可以组装到图8中的不正当检测处理功能组370a的发送周期判定功能中。

另外，这些结构是示出功能的结构，在网关300中通过处理部读出并执行保持在存储部中的程序，向存储部存储规定的数据，或者经由输入输出部执行数据的收发，由此实现。或者，这些结构也可以通过上述的组合来实现。

[1.7ECU的结构]

图9是示出本实施方式中的车载网络系统10所包含的ECU100的一例的框图。在图9中，ECU100具备帧收发部110、帧解释部120、接收ID判定部130、接收ID列表保持部140、帧处理部150、数据取得部170、帧生成部180。

另外，这些结构是示出功能的结构，并且ECU100作为具备例如由处理器实现的处理部、由半导体存储器等实现的存储部、由输入输出端口实现的输入输出部等的信息处理装置而被提供。

示出上述功能的结构通过由处理部读出并执行保持在存储部中的程序，向存储部保持规定的数据，或者经由输入输出部执行数据的收发来实现。或者，这些结构也可以通过上述的组合来实现。

帧收发部110对总线200收发按照CAN协议的消息。

更具体而言，帧收发部110将向总线200送出的消息逐个bit地读出，并将读出的消息向帧解释部120转送。

另外，帧收发部110将从帧生成部180接受了通知的消息向总线200送出。

帧解释部120由帧收发部110接受消息的值，以映射到CAN协议中的各字段的方式进行消息的解释。帧解释部120将解释为ID字段的一连串的值向接收ID判定部130转送。

帧解释部120还根据从接收ID判定部130通知的判定结果，决定是将消息的ID字段的值以及ID字段以后出现的数据字段向帧处理部150转送、还是中止消息的接收。

另外，帧解释部120在判断为接收到的消息是未遵循CAN协议的消息的情况下，向帧生成部180请求发送错误帧。

另外，帧解释部120在判断为接收到其他节点发送的错误帧的情况下，废弃读取中的消息。

接收ID判定部130从帧解释部120接受ID字段的值。然后，按照接收ID列表保持部140所保持的消息ID的列表，进行是否接收所读出的消息的判定。接收ID判定部130将该判定的结果向帧解释部120通知。

接收ID列表保持部140保持ECU100接收的接收ID列表。接收ID列表是与图4相同的形式，因此在此省略其说明。

帧处理部150进行与接收到的消息的数据相应的处理。处理的内容每个ECU100而不同。

例如，在ECU100a中，如果在汽车的时速超过30km时接收示出门打开的消息，则执行用于鸣响警报声的处理。ECU100c如果在接收示出未施加制动的消息时打开门，则执行用于鸣响警报声的处理。

这些处理仅是为了说明而作为一例举出的，ECU100也可以执行上述以外的处理。帧处理部150使帧生成部180生成为了执行这样的处理而送出的帧。

数据取得部170取得示出与ECU100连接的设备的状态的数据或示出传感器的测量值等的输出数据，并将该数据转送到帧生成部180。

帧生成部180按照来自帧解释部120的错误帧发送的请求，构成错误帧并向帧收发部110发送。

此外，帧生成部180对由数据取得部170接受的数据的值附加预先决定的消息ID而构成消息帧，并向帧收发部110发送。

[1.8不正当检测处理]

图10是示出本实施方式中的不正当检测处理的一例的流程图。

首先，不正当检测处理功能组370的周期判定部371从帧处理部350接受消息(步骤S1001)。

在周期判定部371中，接受到的消息针对于具有相同ID的消息判定接收到的消息的周期(经过时间)是否收敛于能够判定为正常的范围内(步骤S1002)。

在接收到的消息不收敛于能够判定为正常的范围内的情况下(在步骤S1003中为是的情况)，周期判定部371向步骤S1004前进。在接收到的消息收敛于能够判定为正常的范围内的情况下(在步骤S1003中为否的情况)，周期判定部371向步骤S1007前进。

在周期判定部371在步骤S1003中判定为接收到的消息未收敛于能够判定为正常的范围内的情况下(在步骤S1003中为是的情况)，仲裁检测部373进行在接收消息时是否发生了仲裁的检测(步骤S1004)。

在接收消息时发生了仲裁的情况下(在步骤S1005中为是的情况)，仲裁检测部373向步骤S1007前进。在接收消息时未发生仲裁的情况下(在步骤S1005中为否的情况)，仲裁检测部373向步骤S1006前进。

在步骤S1005中，在仲裁检测部373中检测到发生有仲裁的情况下(在步骤S1005中为否的情况下)，周期判定部371判定为接收到的消息不是正常消息，即，是异常消息(步骤S1006)。然后，结束不正当检测处理功能组370中的不正当检测处理。

在步骤S1003中，周期判定部371判定为接收到的消息收敛于能够判定为正常的范围内的情况下(在步骤S1003中为否的情况)、或者在步骤S1005中，仲裁检测部373检测到在接收消息时发生了仲裁的情况下(在步骤S1005中为是的情况)，周期判定部371判定为接收到的消息是正常消息(步骤S1007)。然后，结束不正当检测处理功能组370中的不正当检测处理。

[1.9转送处理]

图11是示出本实施方式中的转送处理的一例的流程图。网关300进行的转送处理与转送的方向无关而实质上是共通的，因此以网关300将从总线200a接收到的消息向总线200b转送的情况为例进行说明。

首先，帧收发部310从总线200a读出消息(步骤S1101)。帧收发部310将读出的消息的各字段的数据向帧解释部320通知。

接着，帧解释部320与接收ID判定部330协作，根据读出的消息的ID字段的值(消息ID)，判定是否为接收并处理的对象的消息(步骤S1102)。在判定为不是帧解释部320处理的对象的消息的情况下(在步骤S1102中为否的情况)，不进行该消息的转送。

在步骤S1102中判断为是接收并处理的对象的消息的情况下(在步骤S1102中为是的情况)，帧解释部320向帧处理部350转送消息内的各字段的值。之后，帧处理部350按照在转送规则保持部360中保持的转送规则，决定转送目的地的总线(步骤S1103)。

帧处理部350将从帧解释部320接受到的消息内的各字段的值向不正当检测处理功能组370通知，请求是否为异常消息的判定。不正当检测处理功能组370根据所通知的消息的各字段的值，判定所通知的消息是否为异常消息，并将该判定的结果向帧处理部350通知(步骤S1104)。

在步骤S1104中不正当检测处理功能组370判定为消息是异常消息的情况下(在步骤S1105中为是的情况)，不进行该消息的转送。

在步骤S1104中不正当检测处理功能组370判定为消息不是异常消息而是正常消息的情况下(在步骤S1105中为否的情况)，帧处理部350向帧生成部380请求将该消息向在步骤S1103中决定的转送目的地的总线转送。

帧生成部380接受来自帧处理部350的请求，生成指定的转送目的地要接收的消息，并将该消息送出到帧收发部310(步骤S1106)。

另外，在上述的例子中，在决定接收到的消息的转送目的地(步骤S1103)之后，进行该消息是否为异常消息的判定(步骤S1104)，但不限定于此。也可以在判定接收到的消息是否为异常消息之后，进行该消息的转送目的地的决定。另外，也可以并行地进行接收到的消息的转送目的地的决定和是否为异常消息的判定。

[1.10效果]

在本实施方式中，不正当检测处理功能组370监视在车载网络系统的网络中流动的消息，在比规定的周期延迟地接收到消息的情况下，通过判定是否由于仲裁而延迟，判定是否为异常消息。由此，在以往的不正当检测的技术中使用的、例如在以比规定的周期短的时间间隔接收到消息时判断为发生了不正当的技术中，即使对于难以判定是正常消息还是异常消息的消息，也能够以更高的精度判定是否为异常消息。结果，车载网络系统的安全性提高。

(实施方式2)

[2.概要]

在实施方式2中，代替实施方式1的不正当检测处理功能组370，而使用不正当检测处理功能组370b。在不正当检测处理功能组370b中，周期判定部在向规则判定信息保持部通知的消息的接收时刻的决定中，利用仲裁检测部373的检测结果。这样的不正当检测处理功能组370b能够代替在实施方式1中说明的图3中的不正当检测处理功能组370而包含于网关300。

另外，包含该不正当检测处理功能群370b的网关、以及具备该网关的车载网络系统与实施方式1基本上共通，因此省略关于其结构的说明。

[2.1不正当检测处理功能组的结构]

图12是示出本实施方式中的不正当检测处理功能组370b的框图。在图12中，对与图6相同的构成要素使用相同的附图标记，并省略说明。另外，对于相同结构的一部分，省略图示。以下，以与不正当检测处理功能组370的差异点为中心，对不正当检测处理功能组370b进行说明。

不正当检测处理功能组370b除了实施方式1中的不正当检测处理功能组370的结构以外，还包括周期起点决定部375和发送类型判定部376。另外，不正当检测处理功能组370b包括周期判定部371b来代替周期判定部371。

这些结构是示出功能的结构，在网关300中通过处理部读出并执行保持在存储部中的程序，向存储部保持规定的数据。或者，代替向存储部记录规定的数据，而通过经由输入输出部执行数据的收发来实现。或者，这些结构通过上述的组合来实现。

周期起点决定部375在周期判定部371b判定接收到消息的周期(经过时间)是否收敛于能够判断为正常的范围内时，决定作为用于计算经过时间的起点而利用的“上次接收时刻”的值。周期起点决定部375接受来自周期判定部371b的询问，决定作为用于计算经过时间的起点而利用的“上次接收时刻”的值，并向周期判定部371b通知。

周期起点决定部375将接收到的消息的ID向发送类型判定部376通知，委托发送类型的判定。周期起点决定部375根据发送类型判定部376判定的结果，决定“上次接收时刻”的值。

例如，设有发送类型(A类型)和发送类型(B类型)，所述发送类型(A类型)将消息的接收时刻(本次接收时刻)设为“上次接收时刻”的值，所述发送类型(B类型)向接收消息的预定的时刻(接收预定时刻)即上次接收时刻加上作为规则保持的成为基准的经过时间所得的值设为“上次接收时刻”的值。

此时，当发送类型判定部376将发送类型判定为A类型时，周期起点决定部375将本次接收时刻作为“上次接收时刻”向周期判定部371b通知。此外，当发送类型判定部376判定发送类型是B类型时，周期起点判定部375将接收预定时刻作为“上次接收时刻”向周期判定部371B通知。

此外，周期起点决定部375也可以与从周期判定部371b接收到的消息一起，取得在接收到该消息时是否发生了仲裁的信息，根据是否发生了仲裁来决定成为起点的时刻。

例如，在接收到该消息时未发生仲裁的情况下，周期起点决定部375始终将本次接收时刻作为“上次接收时刻”向周期判定部371b通知。并且，也可以仅在接收到该消息时产生了仲裁的情况下，周期起点决定部375向发送类型判定部376委托发送类型的判定，根据所得到的发送类型以上述的方法等来决定成为起点的时刻。

发送类型判定部376根据来自周期起点决定部375的询问，根据接收到的消息的ID来判定发送类型，并向周期起点决定部375通知。

发送类型的判定例如，发送类型判定部376事前保持记载有ID和该ID的发送类型的组的表，根据来自周期起点决定部375的询问，从事前保持的表中判定与接收到的消息的ID对应的发送类型。

周期判定部371b进行与实施方式1中的周期判定部371相同的处理，在判定为接收到的消息最终为正常消息时，向周期起点决定部375委托如下决定：委托规则判定信息保持部372保持的上次接收时刻的决定。即，周期判定部371b将周期起点判定部375通知的上次接收时刻向规则判定信息保持部372通知，并委托保持。

此外，周期起点决定部375从周期判定部371b取得在接收到消息时是否发生了仲裁的信息，但不限定于此。例如，也可以在周期起点决定部375直接从仲裁检测部373取得在接收到消息时是否发生了仲裁的信息。

[2.2不正当检测处理]

图13是示出本实施方式中的不正当检测处理的一例的流程图。对于与图10中共通的步骤，在图13中使用相同的参照附图标记示出，并省略部分说明。

首先，不正当检测处理功能组370b的周期判定部371b从帧处理部350接受消息(步骤S1001)。

步骤S1002至步骤S1007的处理与图10共通，因此省略说明。

当周期判定部371在步骤S1007中判定接收到的消息是正常消息时，周期判定部371向周期起点判定部375委托上次接收时刻。周期判定部371b向规则判定信息保持部372通知由周期起点判定部375通知的上次接收时刻，更新由规则判定信息保持部372保持的上次接收时刻(S1008)。然后，不正当检测处理功能组370b中的不正当检测处理结束。

[2.3效果]

在本实施方式中，在不正当检测处理功能组370b中的不正当检测处理中，根据发送类型或是否发生了仲裁，灵活地决定周期判定部371在判定接收到消息的周期(经过时间)是否收敛于能够判断为正常的范围内时利用的“上次接收时刻”的值。由此，即使在以往发生的、对每个ID发送方法不同的情况下，或者在发生了仲裁时由于发送定时的偏差而无法正确地进行周期检测的情况下，也能够以更高的精度判定是否为异常消息。结果，车载网络系统的安全性提高。

[3.其他变形例]

本公开不限定于上述说明的各实施方式。只要不脱离本公开的主旨，对实施方式实施本领域技术人员想到的各种变形而得到的方式、以及将不同的实施方式中的构成要素组合而构建的方式也包含在本公开的范围内。例如，以下的变形例也包含于本公开。

(1)在上述实施方式2中，说明了不正当检测处理功能组370b具备周期判定部371b、规则判定信息保持部372、仲裁检测部373、接收消息信息保持部374、周期起点决定部375、以及发送类型判定部376，但不限定于此。

图14是示出变形例中的不正当检测处理功能组的一例的图。如图14所示，不正当检测处理功能组370c具备周期判定部371c、规则判定信息保持部372、仲裁检测部373、接收消息信息保持部374、周期起点决定部375c、发送类型判定部376c、周期类型学习部377、以及周期类型保持部378。

周期类型学习部377以从周期判定部371c接收的信息为基础，判定每个ID的周期类型。作为判定方法，例如，周期类型学习部377按每个ID记录(蓄积)接收到的消息的接收时刻，在蓄积了一定数量的接收时刻的定时，按每个ID分别求出与接收时刻的前一个接收时刻之差(经过时间)。

周期类型学习部377在该接收时刻之差与对每个ID决定的经过时间的基准值比较时，判定是(1)与基准值为相同程度，还是(2)比基准值短，还是(3)比基准值长。

在此，在与基准值是否为相同程度的判定中，使用预先决定的阈值(上限用和下限用)。周期类型学习部377在经过时间包含在从基准值减去下限用阈值后的值到基准值加上上限用阈值后的值之间的情况下，判定为“与基准值相同程度”，在经过时间比从基准值减去下限用阈值后的值小的情况下，判定为“比基准值短”，在经过时间比基准值加上上限用阈值后的值大的情况下，判定为“比基准值长”。

周期类型学习部377将判定的结果(1.与基准值相同程度、2.比基准值短、3.比基准值长)的数量与ID一起向周期类型保持部378通知。

周期类型保持部378保持从周期类型学习部377通知的周期类型的判定结果，根据来自发送类型判定部376的询问，通知周期类型。周期类型保持部378在接受到来自周期类型学习部377的通知时，在保持有与已经通知的ID相同的ID的判断结果的情况下，可以用新通知的判断结果来覆写，也可以用在已经保持的值上加上的值来更新。

周期判定部371c将接收到的消息中与最终判定为OK的消息有关的信息向周期类型学习部377通知。

发送类型判定部376c在从周期起点决定部375c委托了发送类型的判定时，由周期类型保持部378取得将与所委托的ID关联的每个接收定时的经过时间和经过时间的基准值进行比较的结果。发送类型判定部376在判定为(2)比基准值短的数比判定为(3)比基准值长的数少的情况下，将发送类型判定为A类型，在判定为(2)比基准值短的数与判定为(3)比基准值长的数大致相同数量的情况下，将发送类型判定为B类型，除此以外的情况判定为不能判定发送类型。判定为(2)比基准值短的数比判定为(3)比基准值长的数少的判定，可以通过判定出的数本身是否存在预先决定的数以上的差来进行判定，也可以通过判定出的数的比是否比预先决定的值小来进行判定。也可以分别求出(1)与基准值大致相同、(2)比基准值短、(3)比基准值长的比例，通过该比例是否存在预先决定的值以上的差来进行判定。判定为(2)比基准值短的数与判定为(3)比基准值长的数为大致相同数的判定，可以通过所判定的数本身是否收敛于预先决定的数以内的差之中来进行判定，也可以通过判定的数的比是否比预先决定的值大、或者是否收敛于预先决定的范围内来进行判定。也可以求出(1)与基准值相同、(2)比基准值短、(3)比基准值长的各自的比例，通过该比例是否收敛于预先决定的值以内的差来进行判定。

发送类型判定部376c根据来自周期起点决定部375c的请求，通知判定的结果。发送类型判定部376c在无法判定出发送类型的情况下，将预先决定的类型向周期起点决定部375c通知。

另外，周期类型学习部377按每个ID记录接收到的消息的接收时刻，在能够蓄积一定数量的接收时刻的定时，按每个ID求出各个接收时刻与前一个接收时刻之差(经过时间)，但不限定于此。

例如，周期类型学习部377也可以在车辆从工厂出厂前设置学习周期类型的时间，将在该期间接收到的消息的接收时刻进行蓄积，按每个ID求出各个接收时刻与前一个接收时刻之差(经过时间)。

此外，周期类型学习部377也可以在从工厂出厂后将接收时刻进行蓄积，在将接收时刻蓄积了一定数量或一定时间的定时，按每个ID求出各个接收时刻与前一个接收时刻之差(经过时间)。

另外，周期类型学习部377也可以从车辆外部的设备接受指示以蓄积消息的接收时刻，蓄积接收时刻，在从外部的设备接受停止蓄积的指示之前将接收时刻蓄积了一定数量或一定时间的定时，按每个ID求出各个接收时刻与前一个接收时刻之差(经过时间)。

此外，周期类型学习部377可以在每次接收消息时记录接收时刻，在蓄积了一定数量或一定时间的接收时刻之后，在每次接收消息时求出接收时刻与前一个接收时刻之差(经过时间)。

另外，周期类型学习部377记录接收时刻，在某个定时按每个ID求出各个接收时刻与前一个接收时刻之差(经过时间)，但不限定于此。例如，周期类型学习部377也可以在每次接收消息时求出与先前消息的接收时刻之差(经过时间)，记录(蓄积)经过时间，记录最新的接收时刻。

另外，在是否与基准值相同的判定中，使用了预先决定的阈值(上限用和下限用)，但不限定于此。例如，可以使用一个阈值，下限和上限都使用相同的值，也可以不使用基准值和阈值的组合，而使用下限值和上限值这两个值。

此外，周期类型学习部377将判定的结果((1)与基准值相同、(2)比基准值短、(3)比基准值长)的数向周期类型保持部378通知，但不限定于此。例如，可以通知比例，如果存在已经向周期类型保持部378保持的值，则也可以通知在该值上加上了本次的值的数。

由此，不事前设定发送类型，就能够自动地判定发送类型。此外，即使在由于修理等而更换了ECU的情况下，也能够自动地判定发送类型。结果，能够进一步提高不正当检测精度，或者降低处理成本、制造成本。

(2)在上述实施方式2中，说明了不正当检测处理功能组370b具备周期判定部371b、规则判定信息保持部372、仲裁检测部373、接收消息信息保持部374、周期起点决定部375、以及发送类型判定部376，但不限定于此。

图15是示出变形例中的不正当检测处理功能组的一例的图。如图15所示，不正当检测处理功能组370d具备周期判定部371b、规则判定信息保持部372、仲裁检测部373、接收消息信息保持部374、以及周期起点决定部375d。

周期起点决定部375d根据在接收消息时是否发生了仲裁来决定周期的起点。例如，在未发生仲裁的情况下，周期起点决定部375d将本次接收时刻作为“上次接收时刻”向周期判定部371b通知，在发生了仲裁的情况下，周期起点决定部375d将接收预定时刻作为“上次接收时刻”向周期判定部371b通知。

此外，周期起点决定部375d向周期判定部371b通知将本次接收时刻设为“上次接收时刻”还是将接收预定时刻设为“上次接收时刻”，但不限定于此。

例如，周期起点决定部375d也可以在发生了仲裁的第一次将本次接收时刻作为“上次接收时刻”，之后，每当仲裁连续发生时，将如下时刻作为“上次接收时刻”向周期判定部371b通知，该时刻是将以预先决定的时间或预先决定的比例接近接收预定时刻的时刻。另外，也可以将从发生了仲裁的第一次接近接收预定时刻的时刻作为“上次接收时刻”向周期判定部371b通知。

另外，周期起点决定部375d也可以事前针对各个ID，例如使用偏斜度(Skewness)或峰度(Kurtosis)等统计的数值事先计算出将从本次接收时刻向接收预定时刻接近了多少的时刻作为“上次接收时刻”向周期判定部371b通知，并将从本次接收时刻向接收预定时刻接近了该事前计算出的值的时刻作为“上次接收时刻”向周期判定部371b通知。

另外，也可以不仅使用偏斜度或峰度，使用根据中央值或平均值、最频值等求出的值或标准偏差等的值，来决定从本次接收时刻向接收预定时刻接近了多少的时刻作为“上次接收时刻”。此时，可以单独利用各个值，也可以使用根据几个值计算出的值。另外，也可以通过周期类型学习部377学习这些。

由此，与以二选一的方式决定上次时刻相比，能够更灵活地决定，因此能够进一步提高检测精度。

(3)在上述各实施方式中，说明了ECU100具备帧收发部110、帧解释部120、接收ID判定部130、接收ID列表保持部140、帧处理部150、数据取得部170、以及帧生成部180，但本公开中的车载网络系统所具备的ECU100的结构不限定于此。

图16是示出变形例中的ECU的一例的框图。图16所示的ECU100e还具备不正当检测处理功能组370。在该情况下，帧处理部150可以向不正当检测处理功能组370请求是否为异常消息的判定，也可以帧解释部120请求是否为异常消息的判定。

图17是示出变形例中的ECU的一例的框图。图17所示的ECU100f由帧收发部110、帧解释部120、以及帧生成部180构成。在该情况下，帧解释部120例如也可以不依赖ID而接收全部的消息，针对全部的消息向不正当检测处理功能组370委托是否为异常消息的判定。

另外，ECU100f在图17的结构的基础上，还可以具备接收ID判定部130和接收ID列表保持部140，仅接收具有接收ID列表保持部所保持的接收ID列表中记载的消息ID的消息，关于该消息，向不正当检测处理功能组370委托是否为异常消息的判定。此外，不正当检测处理功能组370也可以被上述370a～370d的任意一个代替。

由此，不仅网关，ECU100也能够判定发送到总线的消息是否为异常消息。结果，例如车载网络系统中的用于不正当检测的结构的冗余性提高，更高度地确保安全。

图18是示出变形例中的ECU的一例的框图。图18所示的ECU100g也可以具备发送数据取得部171，该发送数据取得部171从其他连接设备或外部等取得向总线200发送的数据。ECU100g所具备的不正当检测处理功能组370e也可以判定从发送数据取得部171接收到的数据是否为异常消息，仅在判定为不是异常消息的情况下，委托向帧生成部180发送消息。另外，不正当检测处理功能组370e的结构也可以与不正当检测处理功能组370、370a、370b、370c、370d中的任意一个的结构共通。

由此，例如，与汽车导航一起利用的ECU100f在从被入侵的汽车导航发送异常消息的情况下，能够抑制该消息向网络的扩散。或者能够抑制尝试从车外送入的异常消息的向车载网络系统内部的侵入。

(4)在上述各实施方式中，作为与不正当的检测对应的动作，示出了不转送所接收到的消息的例子，但不限定于此。例如，具备上述的不正当检测处理功能组的网关或ECU100也可以在消息的接收中进行不正当检测处理，在判定为是异常消息的时间点，发送错误帧，从而使从网络接收中的消息无效化。

由此，能够防止与发现异常消息的总线连接的其他ECU100接收异常消息。同样的动作也可以对不转送的消息应用。

另外，具备上述的不正当检测处理功能组的网关300或ECU100还可以执行向用户或外部的服务器等通知不正当的发生、向不正当的发生的日志的记录、或车辆向故障安全模式的转移。

由此，能够进行不正当检测后的灵活的应对。此外，被判定为异常消息的多个消息可以被作为数据的一个以上的系列进行处理，针对各系列，可以将数据的值或接收间隔的集合作为不正确标签进行学习。

(5)在上述各实施方式中，示出了标准格式的ID中的例子，但也可以是扩展格式的ID。

(6)在上述各实施方式中，示出了消息以明文方式发送的例子，但也可以进行加密。另外，消息中可以包括消息认证代码。

(7)在上述实施方式中，示出了以明文方式保持正常模型和接收日志的例子，但也可以对它们进行加密来保持。

(8)在上述实施方式中，作为按照CAN协议进行通信的网络通信系统的例子，示出了车载网络。根据本公开的技术不限定于在车载网络中的利用，也可以利用于机器人、工业设备等的网络、以及按照车载网络以外的CAN协议进行通信的网络通信系统。

另外，作为车载网络系统10使用了CAN协议，但不限定于此。例如，也可以使用CAN-FD(CAN with Flexible Data Rate，随机数数据率)、FlexRay、Ethernet、LIN(LocalInterconnect Network，局域网)、MOST(Media Oriented Systems Transport，媒体定向系统传输)等。或者也可以是将这些网络作为子网络而组合的网络。

(9)上述实施方式中的各装置具体而言是由微处理器、ROM(Read Only Memory)、RAM(Random Access Memory)、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在RAM或硬盘单元中记录有计算机程序。微处理器按照计算机程序进行动作，由此各装置实现其功能。这里，计算机程序是为了实现规定的功能而组合多个示出对计算机的指令的命令代码而构成的。

(10)上述实施方式中的各装置，构成的构成要素的一部分或者全部也可以由一个系统LSI(Large Scale Integration，大规模集成电路)构成。系统LSI是将多个构成部集成在一个芯片上而制造的超多功能LSI，具体而言，是包含微处理器、ROM、RAM等而构成的计算机系统。在RAM中记录有计算机程序。微处理器按照计算机程序进行动作，由此系统LSI实现其功能。

此外，构成上述各装置的构成要素的各部可以单独地单片化，也可以以包含一部分或全部的方式单片化。

此外，在此设为系统LSI，但根据集成度的不同，有时也称为IC(IntegratedCircuit)、LSI、超级LSI、以及超大规模LSI。另外，集成电路化的方法不限于LSI，也可以通过专用电路或通用处理器来实现。在制造LSI之后，可以使用可编程的FPGA(FieldProgrammable Gate Array，现场可编程门阵列)或可重构处理器，该可重构处理器可重构LSI内部的电路单元的连接或设定。

而且，如果因半导体技术的进步或派生的其他技术而出现置换LSI的集成电路化的技术，则当然也可以使用该技术进行功能块的集成化。也有可能应用生物技术等。

(11)构成上述各装置的构成要素的一部分或全部也可以由能够在各装置上装卸的IC卡或单体模块构成。IC卡或模块是由微处理器、ROM、RAM等构成的计算机系统。IC卡或模块也可以包含上述的超多功能LSI。微处理器按照计算机程序进行动作，由此IC卡或所述模块实现其功能。该IC卡或该模块也可以具有防篡改性。

(12)本公开也可以是上述所示的方法。另外，也可以是通过计算机实现这些方法的计算机程序，也可以是由计算机程序构成的数字信号。

另外，本公开也可以将计算机程序或者数字信号记录于计算机可读取的记录介质，例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。另外，也可以是记录在这些记录介质中的数字信号。

另外，本公开也可以经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等传送计算机程序或数字信号。

另外，本公开也可以是具备微处理器和存储器的计算机系统，存储器记录有上述计算机程序，微处理器按照计算机程序进行动作。

另外，也可以通过将程序或数字信号记录在记录介质中进行移送，或者将程序或数字信号经由网络等进行移送，由此通过独立的其他计算机系统来实施。

(13)也可以将上述实施方式以及上述变形例分别组合。

以上，基于实施方式及其变形例，对一个或多个方式的车载网络中的、用于决定消息的技术进行了说明，该消息被用作以基于异常消息的不正当控制为目的的不正当通信检测的基准。在这些各实施方式及其变形例中，通过与车载网络系统连接而进行通信的网关或ECU、或者它们与服务器计算机的组合，来决定用作不正当通信检测的基准的消息。在本公开中，将执行这样的不正当通信检测的、包括一个以上的处理器以及存储部的系统称为不正当通信检测基准决定系统。因此，不正当通信检测基准决定系统既包括如与车载网络系统连接的一台网关那样由一个装置实现的系统，也包括如这样的网关与ECU的组合、或者，网关或ECU与位于远程的服务器计算机的组合那样由多个装置实现的系统。

另外，该技术在上述各实施方式或其变形例中，也可以作为包含各构成要素执行的处理的步骤的一部分或全部的方法，或者作为由不正当通信检测基准决定系统的处理器执行，不正当通信检测基准决定系统由用于实施该方法的程序来实现。

此外，在上述实施方式或其变形例中，特定的构成要素执行的处理也可以由其他的构成要素代替特定的构成要素来执行。另外，可以变更多个处理的顺序，也可以并行执行多个处理。

工业适用性

可适用于本公开的车载网络系统等。

附图标记的说明

10车载网络系统

100、100a、100b、100c、100d、100e、100f、100gECU

101发动机

102制动部

103门开闭传感器

104窗开闭传感器

110帧收发部

120帧解释部

130接收ID判定部

140接收ID列表保持部

150帧处理部

170数据取得部

171发送数据取得部

180、380帧生成部

200、200a、200b总线

300网关

310帧收发部

320帧解释部

330接收ID判定部

340接收ID列表保持部

350帧处理部

360转送规则保持部

370、370a、370b、370c、370d、370e不正当检测处理功能组

371、371b、371c周期判定部

372规则判定信息保持部

373仲裁检测部

374接收消息信息保持部

375、375c、375d周期起点决定部

376、376c发送类型判定部

377周期类型学习部

378周期类型保持部

Claims (6)

1.一种不正当检测方法，检测车载网络中的异常消息，其中，包括：

周期异常判定步骤，判定对所述车载网络反复送出的消息的周期是否异常；

仲裁检测步骤，检测在所述信息被送出到所述车载网络时是否发生了仲裁；以及

消息判定步骤，在所述消息的周期为异常、所述消息被送出到所述车载网络时未发生仲裁的情况下，将所述消息判定为异常消息。

2.根据权利要求1所述的不正当检测方法，其中，

包括周期起点决定步骤，将成为在所述周期异常判定步骤中判定是否异常的周期的起点的时刻决定为所述消息的受理时刻或受理预定时刻，

在所述周期异常判定步骤中，将在所述周期起点决定步骤中决定的时刻用作所述起点来判定周期。

3.根据权利要求2所述的不正当检测方法，其中，

包括发送类型判定步骤，判定所述消息的发送类型，

在所述周期起点决定步骤中，根据所述发送类型将成为所述起点的时刻决定为所述消息的受理时刻或受理预定时刻。

4.根据权利要求1或2所述的不正当检测方法，其中，

在所述仲裁检测步骤中，在所述消息包含在如下的一个以上的消息中的情况下，判定为发生了仲裁，该一个以上的消息是从在接收所述消息的周期的正常范围内的时刻所接收的其他消息起连续接收到的一个以上的消息。

5.一种不正当检测装置，检测车载网络中的异常消息，其中，包括：

一个以上的处理器；以及

存储部，

所述一个以上的处理器使用所述存储部，进行：

周期异常判定步骤，判定对所述车载网络反复送出的消息的周期是否异常；

仲裁检测步骤，检测在所述信息被送出到所述车载网络时是否发生了仲裁；以及

消息判定步骤，在所述消息的周期为异常、所述消息被送出到所述车载网络时未发生仲裁的情况下，将所述消息判定为异常消息。

6.一种程序，用于使计算机执行权利要求1所述的不正当检测方法。