CN110771099A - 异常检测装置、异常检测方法以及程序 - Google Patents

异常检测装置、异常检测方法以及程序 Download PDF

Info

Publication number
CN110771099A
CN110771099A CN201980002473.6A CN201980002473A CN110771099A CN 110771099 A CN110771099 A CN 110771099A CN 201980002473 A CN201980002473 A CN 201980002473A CN 110771099 A CN110771099 A CN 110771099A
Authority
CN
China
Prior art keywords
message
list
received
abnormality detection
detection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980002473.6A
Other languages
English (en)
Other versions
CN110771099B (zh
Inventor
高桥良太
佐佐木崇光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN110771099A publication Critical patent/CN110771099A/zh
Application granted granted Critical
Publication of CN110771099B publication Critical patent/CN110771099B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40117Interconnection of audio or video/imaging devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Multimedia (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)

Abstract

异常检测装置(110a)被配置在总线(130)与ECU(101a)之间,具备:通信部(111),从ECU(101a)接收报文并将该报文发送给总线(130),从总线(130)接收报文并将该报文发送给ECU(101a);已接收ID列表保持部(114),保持通信部(111)从总线(130)接收并发送给ECU(101a)的报文的ID的列表的已接收ID列表;以及控制部(112),控制部(112)在通信部(111)从总线(130)接收的报文的ID,不存在于已接收ID列表中的情况下,将该ID追加到已接收ID列表,在通信部(111)从ECU(101a)接收的报文的ID,存在于已接收ID列表中的情况下,不将该报文发送给总线(130)。

Description

异常检测装置、异常检测方法以及程序
技术领域
本公开涉及在车载网络等使用的异常检测装置等。
背景技术
电子化普及的汽车与电子化没有普及的汽车进行比较时,车载网络的重要性越来越高。在汽车上搭载了控制各种系统的多个电子控制单元(Electronic Control Unit,以下记载为ECU)。ECU与车载网络连接,为了实现汽车的诸多功能,经由该车载网络进行通信。CAN(Controller Area Network)是这样的车载网络的标准之一,作为在ISO11898、ISO11519规格化的标准技术,在多个国家以及地区被采用。
依据CAN协议的网络,在1台车上能够构筑闭合的通信路径。然而,在汽车构筑并搭载能够从外部访问的网络,不足为奇。例如在车载网络中,设置端口取出流到网络的信息,其目的是用于对搭载在汽车的各系统进行诊断,或者与汽车导航系统连接,其具备提供无线LAN的功能。通过能够从外部访问车载网络从而汽车用户的便利性提高,但是另一方面也增加了危险。
例如,2013年证实了对车载网络滥用来自外部的停车支援功能等,能够不正当地控制车辆的事实。此外,2015年证实了对特定车型能够进行远程不正当控制,该证实成为契机,发展成召回该车型。
这样的由于来自外部访问引起的不正当地控制车辆,成为汽车行业不能忽视的问题,车载网络的安全对策处为急需解决的状况。
作为攻击车载网络的一个方法有如下,从外部访问与车载网络连接的ECU,并侵占,从侵占的ECU向车载网络发送用于攻击的报文(以下称为不正当报文或异常报文),不正当地控制汽车。
针对这样的攻击,在非专利文献1中公开了如下的方法,将从发送到车载网络的报文中检测不正当报文的被称为IDS(Intrusion Detection System:入侵检测系统)ECU的节点追加到车载网络,IDSECU将不正当的报文的散列值发送到网络,这个散列值与各个ECU发送的报文的散列值进行比较,确定发送不正当的报文的不正当ECU,从车载网络遮断。
此外,在非专利文献2中公开了如下的方法,以车载网络中多个ECU不发送具有相同的ID的报文为前提,在各个ECU接收了具有自己发送的ID的报文时,将该报文作为不正当报文而遮断。
(现有技术文献)
(非专利文献)
非专利文献1:Smart CAN cable,Another proposal of intrusion preventionsystem(IPS)for in-vehicle networks-LAC Co.,Ltd.,Symposium on Cryptography andInformation Security,2018.
非专利文献2:A Method of Preventing Unauthorized Data Transmission incontroller area network-Yokohama National University:Vehicular TechnologyConference,2012
然而,在非专利文献1的方法中,出现在车载网络内追加IDSECU的成本,以及向网络发送不正当的报文散列值,导致网络通信量的增加。
此外,在非专利文献2的方法中,为了进行不正当报文的遮断,需要改造CAN控制器(例如,预先存储各个ECU发送的报文的ID),导入成本大。
发明内容
于是,本公开为了解决所述课题,提供一种能够容易在车载网络中检测异常的异常检测装置等。
为了解决上述课题,本发明的一个方案涉及的异常检测装置,被配置在车载网络,该车载网络由多个电子控制单元、网络总线、所述异常检测装置构成,所述异常检测装置,被配置在所述网络总线与第一电子控制单元之间,所述第一电子控制单元是所述多个电子控制单元中的任一个,所述异常检测装置具备:通信部,从所述第一电子控制单元接收报文,并将该报文发送给所述网络总线,从所述网络总线接收报文,并将该报文发送给所述第一电子控制单元;已接收ID列表保持部,保持已接收ID列表,该已接收ID列表是所述通信部从所述网络总线接收并发送给所述第一电子控制单元的报文的ID的列表;以及控制部,对所述通信部以及所述已接收ID列表保持部进行控制,所述控制部,在所述通信部从所述网络总线接收的报文的ID,不存在于所述已接收ID列表中的情况下,将该ID追加到所述已接收ID列表,在所述通信部从所述第一电子控制单元接收的报文的ID,存在于所述已接收ID列表中的情况下,不将该报文发送给所述网络总线。
另外,这些概括或者具体的方案,可以通过系统、装置、方法、集成电路、计算机程序或者计算机可读取的记录光盘等记录介质来实现,也可以任意组合系统、装置、方法、集成电路、计算机程序以及记录介质来实现。计算机可读取的记录介质,例如包括CD-ROM(Compact Disc-Read Only Memory)等非易失性记录介质。
通过本公开,能够容易地检测车载网络中的异常。
附图说明
图1是示出实施方式1中的车载网络的全体构成图。
图2是示出实施方式1中的车载网络的全体构成的变形例1的图。
图3是示出实施方式1中的车载网络的全体构成的变形例2的图。
图4是示出实施方式1中的CAN协议的数据帧格式的图。
图5是示出实施方式1中的构成车载网络的ECU发送的ID的规格的图。
图6是实施方式1中的IDSECU的构成图。
图7是实施方式1中的异常检测装置的构成图。
图8是实施方式1中的具有异常检测功能的ECU的构成图。
图9是示出实施方式1中的已接收ID列表的一例的图。
图10是示出实施方式1中的已发送ID列表的一例的图。
图11是示出实施方式1中的已接收ID列表的更新处理的序列的图。
图12是示出实施方式1中的使用已接收ID列表的异常检测处理的序列的图。
图13是示出实施方式1中的已发送ID列表的更新处理的序列的图。
图14是示出实施方式1中的使用已发送ID列表的异常检测处理的序列的图。
图15是示出实施方式1中的IDSECU检测出异常的情况下的处理序列的图。
图16是示出实施方式1中的异常检测装置的整体处理的流程图。
图17是实施方式1中的已接收ID列表更新处理的流程图。
图18是实施方式1中的已发送ID列表更新处理的流程图。
图19是实施方式1中的根据已接收ID列表进行的异常检测处理的流程图。
图20是实施方式1中的根据已接收ID列表进行的异常检测处理的变形例的流程图。
图21是实施方式1中的根据已发送ID列表进行的异常检测处理的流程图。
图22是实施方式1中的异常检测装置从IDSECU接收了异常通知的情况下的处理的流程图。
图23是实施方式1中的异常检测装置的全体处理的变形例的流程图。
图24是实施方式1中的异常检测装置的车辆关机时的处理的流程图。
图25是实施方式1中的低频度已接收ID的保存的处理的流程图。
图26是实施方式1中的低频度已发送ID的保存的处理的流程图。
图27是实施方式1中的异常检测装置的车辆启动时的处理的流程图。
具体实施方式
本公开的异常检测装置,被配置在车载网络,该车载网络由多个电子控制单元、网络总线、所述异常检测装置构成,所述异常检测装置,被配置在所述网络总线与第一电子控制单元之间,所述第一电子控制单元是所述多个电子控制单元中的任一个,所述异常检测装置具备:通信部,从所述第一电子控制单元接收报文,并将该报文发送给所述网络总线,从所述网络总线接收报文,并将该报文发送给所述第一电子控制单元;已接收ID列表保持部,保持已接收ID列表,该已接收ID列表是所述通信部从所述网络总线接收并发送给所述第一电子控制单元的报文的ID的列表;以及控制部,对所述通信部以及所述已接收ID列表保持部进行控制,所述控制部,在所述通信部从所述网络总线接收的报文的ID,不存在于所述已接收ID列表中的情况下,将该ID追加到所述已接收ID列表,在所述通信部从所述第一电子控制单元接收的报文的ID,存在于所述已接收ID列表中的情况下,不将该报文发送给所述网络总线。
异常检测装置,将从网络总线接收的报文的ID,追加到已接收ID列表。换言之,异常检测装置,在多个ECU中,将经由自身与网络总线连接的第一ECU以外的ECU向网络总线发送的报文的ID,追加到已接收ID列表。通常,在车载网络中的多个ECU彼此之间,不发送包括相同的ID的报文的规格的情况较多。按照该规格,已接收ID列表,成为第一ECU不发送的报文的ID的列表。对于此,异常检测装置从第一ECU接收的报文(换言之,第一ECU发送的报文)的ID存在于已接收ID列表中的情况下,第一ECU发送了本来不应该由第一ECU发送的报文。换言之,能够知道第一ECU发送了异常的报文。从而,在这样的情况下,来自第一ECU的报文,不发送给网络总线,从而能够抑制异常的报文流入网络总线。这样,不需要在车载网络内追加IDSECU(换言之,网络信息流通量以及成本增大),或者不需要预先存储各个ECU发送的报文的ID,就能够容易地检测车载网络中的异常。此外,只要攻击者不在正规报文流入网络总线之前,将不正当报文发送给网络总线,则能够没有误检测地遮断异常报文。
此外,例如可以是所述控制部,在所述通信部从所述第一电子控制单元接收的报文的ID存在于所述已接收ID列表中的情况下,将所述第一电子控制单元从所述网络总线隔离。
在这个情况下,因为第一ECU为不正当的ECU,所以能够将不正当的ECU从网络总线隔离(例如,从第一ECU发送的全部报文,在异常检测装置遮断,不发送给网络总线),与只遮断异常报文的情况相比,能够更加减少不正当的ECU给车载网络带来的影响。
此外,例如可以是所述控制部,在所述通信部从所述网络总线接收到异常ID信息的情况下,从所述已接收ID列表删除所述异常ID信息示出的ID,所述异常ID信息是从所述多个电子控制单元中的与所述第一电子控制单元不同的第二电子控制单元发送的示出异常的ID的信息。
可以想到在正规报文流入网络总线之前,攻击者将不正当报文发送到网络总线的情况。在这个情况下,在已接收ID列表中追加不正当报文包括的ID。例如,正规的第一ECU发送的报文中包括的ID,包括在不正当报文的情况下,将从正规的第一ECU发送的正规报文判断为是不正当报文。换言之,以后正规报文不能发送到网络总线,攻击者冒充第一ECU将不正当报文发送给网络总线。对于此,作为第二ECU例如IDSECU等配置在车载网络,就能够检测攻击者发送的不正当报文。因此,即使在正规报文流入网络总线之前,攻击者将不正当报文发送给网络总线的情况下(换言之,已接收ID列表被污染的情况下),也能够修改已接收ID列表,从已接收ID列表删除追加到已接收ID列表中的不正当报文包括的ID(换言之第一ECU发送的报文中包括的ID),从而能够防止异常检测装置将正规报文误检测为不正当报文。
此外,例如可以是所述已接收ID列表保持部,具有用于记录所述已接收ID列表中的每个ID的报文接收次数的区域,所述控制部,在所述通信部从所述网络总线接收到报文时,将针对该报文的ID记录的报文接收次数进行更新,在搭载了所述车载网络的车辆关机时,将所述已接收ID列表包括的ID中,记录在所述已接收ID列表保持部的报文接收次数、或者基于该报文接收次数的报文接收频度为规定的值以下的ID保存到非易失性存储器,在所述车辆启动时,将保存到所述非易失性存储器的所述ID追加到所述已接收ID列表。
报文接收次数或报文接收频度为规定值以下的ID(以低频度接收的报文包括的ID),从车辆启动之后,到包括该ID的报文流入网络总线为止,有时需要时间。换言之可能有如下情况,直到包括该ID的正规报文流入网络总线为止,攻击者将包括该ID的不正当报文发送到网络总线,不正当报文包括的ID被追加到已接收ID列表中(换句话说,已接收ID列表被不正当ID所污染)。对于此,在车辆启动时,将保存到非易失性存储器的以低频度接收的报文中包括的ID,追加到已接收ID列表,从而能够避免在以低频度接收的报文最初流入到网络总线之前,攻击者发送不正当报文,从而已接收ID列表被污染。此外,以高频度接收的报文中包括的ID不保存到非易失性存储器,从而能够减少其存储容量。
此外,例如可以是所述控制部,在所述车辆启动时,从前一次启动之后所述第一电子控制单元的固件信息有变更的情况下,删除保存到所述非易失性存储器的所述ID,不将该ID追加到所述已接收ID列表。
随着第一ECU的固件更新,第一ECU的固件信息有变更的情况下,从第一ECU发送来的报文包括的ID的规格有时发生变更。因此,在这个情况下,删除保存到非易失性存储器的ID,通过不将该ID追加到已接收ID列表,从而能够防止因为规格被变更的ID所产生的对正常报文的错误遮断。
此外,例如可以是所述异常检测装置,还具备:已发送ID列表保持部,保持已发送ID列表,该已发送ID列表是所述通信部从所述第一电子控制单元接收,并发送给所述网络总线的报文的ID的列表,所述控制部,进一步,控制所述已发送ID列表保持部,在所述通信部从所述第一电子控制单元接收的报文的ID,不存在于所述已发送ID列表中的情况下,将该ID追加到所述已发送ID列表,在所述通信部从所述网络总线接收的报文的ID,存在于所述已发送ID列表中的情况下,不将该报文发送给所述第一电子控制单元。
异常检测装置,从第一ECU接收的报文的ID追加到已发送ID列表。按照在车载网络中的多个ECU的各自,按照不发送包括相同的ID的报文的规格,已发送ID列表成为多个ECU中第一ECU以外的ECU等不发送的报文的ID的列表。对于此,异常检测装置从网络总线接收的报文(换言之,第一ECU以外的ECU发送的报文)的ID存在于已发送ID列表的情况下,由第一ECU以外的ECU等发送本来不应该由第一ECU以外的ECU等发送的报文。换言之,能够知道第一ECU以外的ECU等发送异常报文。从而,在这样的情况下,来自第一ECU以外的ECU等的报文,不发送给第一ECU,从而能够抑制异常的报文发送给第一ECU。这样,不需要在车载网络内追加IDSECU(换言之,网络信息流通量以及成本增大),或者不需要预先存储各个ECU发送的报文的ID,就能够容易地检测车载网络中的异常。此外,只要攻击者不在正规报文流入网络总线之前,将不正当报文发送给网络总线,则能够没有误检测地检测异常报文。
此外,例如可以是所述已发送ID列表保持部,具有用于记录所述已发送ID列表中的每个ID的报文发送次数的区域,所述控制部,在所述通信部从所述第一电子控制单元接收到报文时,将针对该报文的ID记录的报文发送次数进行更新,在搭载了所述车载网络的车辆关机时,将所述已发送ID列表包括的ID中,记录在所述已发送ID列表保持部的报文发送次数、或者基于该报文发送次数的报文发送频度为规定的值以下的ID保存到非易失性存储器,在所述车辆启动时,将保存到所述非易失性存储器的所述ID追加到所述已发送ID列表。
报文发送次数或者报文发送频度成为规定值以下的ID(以低频度从第一ECU发送来的报文中包括的ID),在车辆启动之后,包括该ID的报文由异常检测装置从第一ECU接收为止有时需要时间。换言之,会产生如下的情况,到包括该ID的正规报文由异常检测装置接收为止,攻击者攻击第一ECU从不正当的第一ECU将不正当报文发送给异常检测装置,在已发送ID列表被追加不正当报文包括的ID(换句话说,已发送ID列表被不正当ID所污染)。对于此,在车辆启动时,将保存到非易失性存储器的以低频度发送的报文包括的ID,追加到已发送ID列表,从而能够防止在由异常检测装置接收以低频度发送的报文之前,攻击者发送不正当报文来污染已发送ID列表。此外,以高频度接收的报文中包含的ID,不保存到非易失性存储器,从而能够节省其存储容量。
此外,例如可以是所述控制部,在所述车辆启动时,从前一次启动之后所述第一电子控制单元的固件信息有变更的情况下,删除保存到所述非易失性存储器的所述ID,不将该ID追加到所述已发送ID列表。
随着第一ECU的固件更新,第一ECU的固件信息有变更的情况下,从第一ECU发送来的报文包括的ID的规格有时发生变更。因此,在这个情况下,删除保存到非易失性存储器的ID,通过不将该ID追加到已发送ID列表,从而能够防止因为规格被变更的ID所产生的对正常报文的错误遮断。
本公开的异常检测方法,是由异常检测装置执行的方法,所述异常检测装置被配置在车载网络,该车载网络由多个电子控制单元、网络总线、以及所述异常检测装置构成,所述异常检测装置,被配置在所述网络总线与第一电子控制单元之间,所述第一电子控制单元是所述多个电子控制单元中的任一个,所述异常检测装置具备:通信部,从所述第一电子控制单元接收报文,并将该报文发送给所述网络总线,从所述网络总线接收报文,并将该报文发送给所述第一电子控制单元;以及已接收ID列表保持部,保持已接收ID列表,该已接收ID列表是所述通信部从所述网络总线接收并发送给所述第一电子控制单元的报文的ID的列表,在所述异常检测方法中,在所述通信部从所述网络总线接收的报文的ID,不存在于所述已接收ID列表中的情况下,将该ID追加到所述已接收ID列表,在所述通信部从所述第一电子控制单元接收的报文的ID,存在于所述已接收ID列表中的情况下,不将该报文发送给所述网络总线。
从而,能够提供能够容易地检测车载网络中的异常的异常检测方法。
本公开的程序是使计算机执行所述异常检测方法的程序。
从而,能够提供能够容易地检测车载网络中的异常的程序。
以下,参考附图来说明实施方式涉及的异常检测装置。这里示出的实施方式,均示出本公开的一个具体例子。因此,以下的实施方式示出的数值、构成要素、构成要素的配置以及连接形式、以及步骤(工序)以及步骤的顺序等都是一例,并非限制本公开。
此外,以下的实施方式的构成要素中的独立技术方案没有记载的构成要素,是任意的构成要素。此外,各图是示意图,并非是严谨的图示。
此外,有关以下包括的CAN以及异常检测装置的说明,宗旨主要是帮助理解本公开,在该说明中没有包括在技术方案中的事项的记述,并不是用于限定本公开。
(实施方式1)
[1-1.车载网络构成]
图1是车载网络100的全体构成图。另外,在图1示出搭载了车载网络100的车辆10。车辆10在其内部具有车载网络100。车辆10例如是汽车。
车载网络100,由多个ECU、网络总线、异常检测装置构成。例如,在图1示出的例子中,车载网络100具备多个异常检测装置,该多个异常检测装置被设置为分别对应于多个ECU的各自。例如,车载网络100,作为多个ECU,由ECU101a、101b、101c、101d、101e、101f、总线130(网络总线)、异常检测装置110a、110b、110c、110d、110e以及110f构成。ECU101a与总线130中间经由异常检测装置110a来连接,进行通信。ECU101b与总线130中间经由异常检测装置110b来连接,进行通信。ECU101c与总线130中间经由异常检测装置110c来连接,进行通信。ECU101d与总线130中间经由异常检测装置110d来连接,进行通信。ECU101e与总线130中间经由异常检测装置110e来连接,进行通信。ECU101f与总线130中间经由异常检测装置110f来连接,进行通信。例如,关注异常检测装置110a时,异常检测装置110a被配置在总线130与多个ECU中任一个的第一ECU(在这里是ECU101a)之间。ECU101a向总线130发送报文时、以及ECU101a接收来自总线130的报文时,经由异常检测装置110a进行报文的收发。
在车载网络100中,例如按照CAN(Controller Area Network)协议进行通信。
作为构成车载网络100的ECU101a、101b、101c、101d、101e以及101f是例如关于转向装置、刹车、引擎、门或窗等的ECU,这些ECU进行行使控制或者仪表盘的控制等车辆10的各种控制。
ECU是包括例如处理器、存储器等数字电路、模拟电路、通信电路等的装置。存储器是ROM(Read Only Memory)、RAM(Random Access Memory)等,能够存储由处理器执行的程序。例如处理器按照程序进行动作,从而ECU实现各种功能。ECU,例如按照CAN协议,经由车载网络中的网络总线,进行报文的收发。
各个ECU,针对网络总线,对按照CAN协议的报文进行收发。例如,从网络总线接收其他的ECU发送的报文,此外,生成包括希望向其他的ECU发送的内容的报文,并向总线发送。具体而言,各ECU按照接收的报文的内容进行处理,此外,生成表示与ECU连接的设备、传感器等的状态的报文或者针对其他的ECU的指示值(控制值)等报文并发送。
关于异常检测装置在后边详细叙述。
[1-2.车载网络构成(变形例1)]
图2是示出车载网络系统100的全体构成的变形例1的图。在图1的车载网络100中,全部ECU与异常检测装置连接,但是图2的车载网络100是,一部分ECU没有与异常检测装置连接的情况的一例。换言之,车载网络100中的多个ECU,可以包括不经由异常检测装置而与总线130连接的ECU。
在图2中,具体而言ECU101c以及101e没有与异常检测装置连接而直接与总线130连接。如图2所示,异常检测装置不一定需要与全部ECU连接。例如,也可以只在给车辆安全性带来很大影响的可能性高的行使控制有关的ECU与总线130之间连接异常检测装置,从而降低成分。
[1-3.车载网络构成(变形例2)]
图3是示出车载网络系统100的全体构成的变形例2的图,针对图1以及图2的车载网络100,存在具有异常检测功能的节点。以后具有异常检测功能的节点也可以记载为IDSECU。在图3中,IDSECU120,对在总线130流动的报文进行异常检测,在检测出异常的时候,将该信息通知给车载网络内的异常检测装置110a、110b、110d、110f。为了和经由异常检测装置与总线130连接的ECU(第一ECU)进行区分,将IDSECU120称为第二ECU。
[1-4.CAN报文的格式]
图4是示出CAN协议的数据帧格式的图。在这里表示CAN协议中的标准ID格式中的数据帧。数据帧由Start Of Frame(SOF)、ID字段、Remote Transimission Request(RTR)、IDentifier Extension(IDE)、预约bit(r)、数据长度码(DLC)、数据字段、CRC序列、CRC界定符(DEL)、Acknowledgement槽(ACK),ACK界定符(DEL)、以及帧的末尾(EOF)来构成。在ID字段,存放各个ECU发送的报文固有的ID。
[1-5.ECU的发送ID的规格]
图5是示出构成车载网络100的ECU发送的ID的规格的图。
本实施方式的车载网络100中,如图5所示,多个ECU不发送相同的ID的报文。例如刹车ECU或门控制ECU不发送由引擎ECU发送的包括“0x13”的ID的报文。多个ECU不发送相同ID的报文这样的规格,在使用CAN的通信中是普遍的。异常检测装置,通过利用这样的规格,在车载网络100中能够容易地检测异常。
[1-6.IDSECU的构成]
图6是IDSECU120的构成图。IDSECU120是具有对CAN报文进行收发的通信部121、以及对接收报文的异常进行检测的异常检测部122的ECU,并且IDSECU120是多个ECU中的与第一ECU(例如ECU101a、ECU101b、ECU101d以及ECU101f)不同的第二ECU。
通信部121,接收在总线130流动的报文,此外将在总线130流动的报文中包括的示出异常ID的异常ID信息,发送给总线130。
异常检测部122,对通信部121接收的总线130中流动的报文进行异常检测。例如,IDSECU120,保持用于判断异常的判断规则,异常检测部122,将从总线130接收的报文与判断规则进行对照,从而进行报文的异常检测。具体而言,异常检测部122,根据判断规则,在总线130流动的报文的发送周期有异常,或者在总线130流动的报文中包括的指示值有异常的情况下,将该报文检测为异常。
IDSECU120,将在通信部121接收的报文,在异常检测部122检测为异常的情况下,将该报文包括的表示异常的ID的异常ID信息,从通信部121经由总线130发送到车载网络100内的异常检测装置(在图3示出的例子中是异常检测装置110a、110b、110d以及110f)。从而,各个异常检测装置能够识别异常的ID。
[1-7.异常检测装置的构成]
图7是异常检测装置110a的构成图。在图7中除了异常检测装置110a之外,还示出与异常检测装置110a直接连接的ECU101a以及总线130。在本实施方式中,着眼于多个异常检测装置中的异常检测装置110a来说明。
异常检测装置110a,配置在总线130与ECU101a之间。
异常检测装置110a具备通信部111、控制部112、已发送ID列表保持部113以及已接收ID列表保持部114。异常检测装置110a例如是包括处理器、存储器等数字电路、模拟电路、通信电路等的装置。存储器是ROM,RAM等,能够存储由处理器执行的程序。例如,处理器按照程序来动作,从而异常检测装置110a能够实现控制部112。通信部111,例如由通信电路来实现。已发送ID列表保持部113以及已接收ID列表保持部114,例如由存储器来实现。
通信部111是从ECU101a接收报文,将该报文发送给总线130,从总线130接收报文,将该报文发送给ECU101a的通信电路。通信部111,具有将从总线130发送给ECU101a的报文以及从ECU101a发送给总线130的报文进行中继的功能。
已发送ID列表保持部113,保持已发送ID列表,该已发送ID列表是通信部111从ECU101a接收并发送给总线130的报文的ID的列表。关于已发送ID列表在后面说明。
已接收ID列表保持部114,保持已接收ID列表,该已接收ID列表是通信部111从总线130接收并发送给ECU101a的报文的ID的列表。关于已接收ID列表在后面说明。
控制部112,对通信部111、已发送ID列表保持部113以及已接收ID列表保持部114进行控制。控制部112,进行以下处理(各个处理的详细内容后述)。
控制部112,在由通信部111从总线130接收的报文的ID不存在于已接收ID列表中的情况下,将该ID追加到已接收ID列表。此外,控制部112,在由通信部111从ECU101a接收的报文的ID存在于已接收ID列表中的情况下,不将该报文发送给总线130。例如,控制部112,在由通信部111从ECU101a接收的报文的ID在已接收ID列表中的情况下,将ECU101a从总线130隔离。
此外,控制部112,在由通信部111从总线130接收异常ID信息的情况下,从已接收ID列表中删除异常ID信息示出的ID,该异常ID信息是从多个ECU中的其他的ECU(具体而言是IDSECU120)发送来的示出异常的ID的信息。
此外,控制部112,在通信部111从总线130接收报文时,将针对该报文的ID记录的报文接收次数进行更新。此外,控制部112,在搭载了车载网络100的车辆10关机时,将在已接收ID列表包括的ID中的、已接收ID列表保持部114中记录的报文接收次数、或者基于该报文接收次数的报文接收频度为规定值以下的ID,保存到非易失性存储器,在车辆10启动时,将保存到非易失性存储器的ID,追加到已接收ID列表。此外,控制部112,在车辆10启动时,从上一次启动后ECU101a的固件信息有变更的情况下,删除保存到非易失性存储器的ID,不将该ID追加到已接收ID列表。
此外,控制部112,在从ECU101a接收的报文的ID不存在于已发送ID列表中的情况下,将该ID追加到已发送ID列表。此外,控制部112,在通信部111从总线130接收的报文的ID存在于已发送ID列表中的情况下,不将该报文发送给ECU101a。
此外,控制部112,在由通信部111从ECU101a接收报文时,将针对该报文的ID记录的报文发送次数进行更新。此外,控制部112,在搭载了车载网络100的车辆10关机时,将在已发送ID列表包括的ID中的、已发送ID列表保持部113中记录的报文发送次数、或者基于该报文发送次数的报文发送频度为规定值以下的ID,保存到非易失性存储器,在车辆10启动时,将保存到非易失性存储器的ID,追加到已发送ID列表。此外,控制部112,在车辆10启动时,从上一次启动后ECU101a的固件信息有变更的情况下,删除保存到非易失性存储器的ID,不将该ID追加到已发送ID列表。
另外,异常检测装置110b、110c、110d、110e以及110f是与异常检测装置110a相同的构成,与异常检测装置110a的说明相同,所以省略说明。但不同之处是与异常检测装置110b、110c、110d、110e以及110f连接的ECU分别是ECU101b、101c、101d、101e以及101f。
[1-8.具有异常检测功能的ECU的构成]
图8是具有异常检测功能的ECU101g的构成图。在图8的ECU101g示出将图7示出的异常检测装置110a安装在ECU的情况下的构成。具体而言,将异常检测装置110a具有的功能作为异常检测部110g来表示,将ECU101a具有的进行车辆控制等有关的处理的功能,作为ECU处理部115来表示。在这个情况下,异常检测部110g(与异常检测装置110a对应)被配置在总线130与ECU处理部115(与ECU101a对应)之间。如图8所示,异常检测功能可以直接安装在ECU。
[1-9.已接收ID列表例]
图9是示出已接收ID列表的一例的图。已接收ID列表,保持在已接收ID列表保持部114。已接收ID列表保持部114具有用于记录如下的区域,即与异常检测装置110a连接的ECU101a接收的报文的ID、以及已接收ID列表中的每个ID的报文接收次数。换句话说,在已接收ID列表中包括如下:例如与异常检测装置110a连接的ECU101a接收的报文的ID、从车辆10的启动之后接收具有该ID的报文的报文接收次数、以及基于报文接收次数的报文接收频度(例如最近1分种接收的次数)。另外,ECU101a接收的报文是指,异常检测装置110a从总线130接收,并且异常检测装置110a发送给ECU101a的报文。控制部112,通过对已接收ID列表保持部114进行控制,从而更新已接收ID列表包括的这些信息。具体而言,控制部112,由通信部111从总线130接收报文,将该报文发送给ECU101a时,该报文中包括的ID追加到已接收ID列表。此外,控制部112,从车辆10启动开始,针对按照每个报文包括的ID,将报文发送给ECU101a的次数进行计数,从而按照每个ID,将ECU101a接收报文的接收次数进行更新。此外,控制部112,例如按照每一分钟,更新最近1分种接收的次数。
在图9中示出关于作为ID的0x25、0x27、0x89的报文各自的接收次数以及最近1分种的接收次数,保持在已接收ID列表保持部114。
另外,在图9中示出了最近1分种的接收次数,但是已接收ID列表保持部114的构成可以是保持将最近30分种或者最近1小时等的接收次数、或者从车辆启动时开始的接收次数除以车辆启动时间的次数等。
[1-10.已发送ID列表例]
图10是示出已发送ID列表的一例的图。已发送ID列表,保持在已发送ID列表保持部113。已发送ID列表保持部113具有用于记录如下的区域,即与异常检测装置110a连接的ECU101a发送的报文的ID、以及已发送ID列表中的每个ID的报文发送次数。换句话说,在已发送ID列表中包括如下:例如与异常检测装置110a连接的ECU101a发送的报文的ID、从车辆10的启动之后发送具有该ID的报文的报文发送次数、以及基于报文发送次数的报文发送频度(例如最近的1分种发送的次数)。另外,ECU101a发送的报文是指,异常检测装置110a从ECU101a接收,并且异常检测装置110a发送给总线130的报文。控制部112,通过对已发送ID列表保持部113进行控制,从而更新已发送ID列表包括的这些信息。具体而言,控制部112,由通信部111从ECU101a接收报文,将该报文发送给总线130时,该报文中包括的ID追加到已发送ID列表。此外,控制部112,从车辆10启动开始,针对按照每个报文包括的ID,将报文发送给总线130的发送次数进行计数,从而按照每个ID,将ECU101a发送报文的发送次数进行更新。此外,控制部112,例如按照每一分钟,更新最近1分种发送的次数。
在图10中示出关于ID为0x253、0x272、0x349的报文各自的发送次数以及最近1分种的发送次数,保持在已发送ID列表保持部113。
另外,在图10中示出了最近1分种的发送次数,但是已发送ID列表保持部113的构成可以是保持最近30分种或者最近1小时等的发送次数等。
[1-11.已接收ID列表的更新处理序列]
图11是示出已接收ID列表的更新处理的序列的图。在图11中示出异常检测装置110a,从总线130接收到已接收ID列表中不存在的ID的报文的情况下,已接收ID列表的更新处理的序列的一例。
在步骤S111,从总线130向异常检测装置110a发送报文。
在步骤S112,异常检测装置110a读出从总线130接收的报文的ID。
在步骤S113,异常检测装置110a,确认在步骤S112读出的ID是否存在于已接收ID列表中,在判断为读出的ID不存在于已接收ID列表中的情况下,将读出的ID追加到已接收ID列表。
在步骤S114,将异常检测装置110a从总线130接收的报文转送给ECU101a。
这样,异常检测装置110a,将从总线130接收的报文的ID追加到已接收ID列表。换言之,异常检测装置110a,将多个ECU中除了经由自身与总线130连接的ECU101a以外的ECU向总线130发送的报文的ID,追加到已接收ID列表中。在车载网络100中的多个ECU的各自不发送包括相同ID的报文的规格的基础上,已接收ID列表成为ECU101a不发送的报文的ID的列表。
[1-12.基于已接收ID列表的异常检测处理序列]
图12是示出使用已接收ID列表的异常检测处理的序列的图。图12是ECU101a发送了已接收ID列表中的ID的报文(换言之,ECU101a不发送的报文)的情况下的序列的一例。
在步骤S121,从ECU101a向异常检测装置110a发送报文。从而,异常检测装置110a接收从ECU101a发送来的报文。
在步骤S122,读出异常检测装置110a接收的报文的ID。
在步骤S123,异常检测装置110a,确认在步骤S122读出的ID是否存在于已接收ID列表中,判断出读出的ID存在于已接收ID列表中。在这个情况下,ECU101a发送了本来不应该由ECU101a发送的报文。换言之,可以知道ECU101a发送了异常的报文。
在步骤S124,异常检测装置110a,中止将ECU101a发送的报文发送给总线130。在这样的情况下,不将来自ECU101a的报文发送给总线130,从而能够抑制异常的报文流入总线130。
在步骤S125,异常检测装置110a,将ECU101a是异常之事发送给总线130,向与总线130连接的ECU101a以外的各个节点通知ECU101a有异常。例如,由ECU101a以外的各个节点认识到ECU101a有异常之事,从而各个节点能够按照ECU101a的功能来恰当地进行处理。例如,ECU101a是与车辆10的行使有关的ECU的情况下,各个节点,能够进行使车辆10停止的处理。
在步骤S126,异常检测装置110a,将ECU101a有异常的通知发送到ECU101a自身。通过ECU101a认识到自身有异常,从而ECU101a例如能够激活失效安全功能,这根据ECU101a有异常的程度而不同。
[1-13.已发送ID列表的更新处理序列]
图13是示出已发送ID列表的更新处理的序列的图。图13是异常检测装置110a从与自己连接的ECU101a接收了已发送ID列表中不存在的ID的情况下的已发送ID列表的更新处理的序列的一例。
在步骤S131,从ECU101a向异常检测装置110a发送报文。
在步骤S132,由异常检测装置110a接收ECU101a发送的报文,并读出ID。
在步骤S133,异常检测装置110a,确认在步骤S132读出的ID是否在已发送ID列表中,判断为读出的ID不存在于已发送ID列表中的情况下,将读出的ID追加到已发送ID列表。
在步骤S134,将异常检测装置110a从ECU101a接收的报文转送给总线130。
这样,异常检测装置110a,将从ECU101a接收的报文的ID追加到已发送ID列表。换言之,异常检测装置110a,将多个ECU中的经由自身与总线130连接的ECU101a向总线130发送的报文的ID,追加到已发送ID列表中。在车载网络100中的多个ECU的各自不发送相同ID的报文的规格的基础上,已发送ID列表成为ECU101a以外的ECU等不发送的报文的ID的列表。
[1-14.根据已发送ID列表的异常检测处理序列]
图14是示出使用已发送ID列表的异常检测处理的序列的图。图14是向总线130发送了已发送ID列表中存在的ID的报文(换言之,ECU101a以外的ECU等不发送的报文)的情况下的序列。
在步骤S141,从总线130向异常检测装置110a发送报文。从而,异常检测装置110a,接收来自总线130的报文。
在步骤S142,读出异常检测装置110a接收的报文的ID。
在步骤S143,异常检测装置110a,确认在步骤S142读出的ID是否存在于已发送ID列表中,判断为读出的ID存在于已接收ID列表中。在这个情况下,ECU101a以外的ECU等发送了本来不应该由ECU101a以外的ECU等发送的报文。换言之,可以知道ECU101a以外的ECU等发送了异常报文。
在步骤S144,异常检测装置110a,中止将总线130发送的报文发送给ECU101a。在这样的情况下,不将来自ECU101a以外的ECU等的报文发送给ECU101a,从而能够抑制异常的报文流入ECU101a。
在步骤S145,异常检测装置110a,将车载网络100中存在异常的ECU等之事通知给ECU101a。例如异常的ECU等使用在ECU101a发送的报文中包括的ID发送不正当报文,所以有可能冒充ECU101a。因此,ECU101a,按照自身具有的功能,能够进行恰当的处理。例如,在ECU101a是与车辆10的行使有关的ECU的情况下,ECU101a能够进行使车辆10停止的处理。
在步骤S146,异常检测装置110a,将车载网络100中存在异常的ECU等之事通知给总线130。换言之,异常检测装置110a,向与总线130连接的ECU101a以外的ECU101b、101c、101d、101e、101f通知该事项。从而,各个ECU能够按照ECU101a具有的功能能够进行恰当的处理。
[1-15.IDSECU检测出异常的情况下的序列]
从图11到图14中,将已发送ID列表中包括的ID以及已接收ID列表中包括的ID为正规的ID来进行了说明。这是因为基本上车辆10启动之后马上开始接收来自各个ECU的报文,在已发送ID列表以及已接收ID列表中马上追加正规的ID。
但是有可能出现如下情况,在车辆10启动之后,在已发送ID列表以及已接收ID列表中追加正规的ID之前,受到攻击者的攻击从而异常的ID追加到已发送ID列表或已接收ID列表中的情况。
以下说明在正规的ID追加之前,异常的ID(例如ECU101a发送的正规的报文中包括的ID)追加到异常检测装置110a的已接收ID列表中的情况下的处理。
图15是示出IDSECU120检测出异常的情况下的处理序列的图。图15是如图3所示,在车载网络100存在IDSECU120的情况下,IDSECU120检测出异常的情况下的处理的序列的一例。在IDSECU120检测出异常的情况下,将检测出的异常的报文中包括的异常的ID,从异常检测装置110a保持的已接收ID列表中消除。
在步骤S151,从总线130向IDSECU120发送报文。
在步骤S152,IDSECU120进行接收的报文的异常判断,将已接收的报文判断为是异常。
在步骤S153,IDSECU120,将判断为异常的报文的示出异常的ID的异常ID信息,发送给总线130。
在步骤S154,与总线130连接的异常检测装置110a接收被发送到总线130的、在IDSECU120判断为异常的报文有关的异常ID信息。另外,在IDSECU120判断为异常的报文有关的异常ID信息,通知给与总线130连接的全部异常检测装置,即异常检测装置110a、110b、110d、110f。
在步骤S155,异常检测装置110a从已接收ID列表删除在IDSECU120判断为异常的报文的ID(换言之异常ID信息示出的ID)。
这样即时在正规报文流入总线130之前,攻击者已经将不正当报文发送到总线130的情况下,也可以修改已接收ID列表,从已接收ID列表中消除追加到已接收ID列表的不正当报文中包括的ID(例如ECU101a发送的报文包括的ID),从而能够避免异常检测装置110a将正规报文(例如正规的ECU101a发送的报文)误检测为不正当报文。即,正规的ECU101a发送的报文中包括的ID不存在于已接收ID列表中,所以能够从正规的ECU101a向总线130发送报文。
[1-16.异常检测装置的整体处理流程]
图16是示出实施方式1中的异常检测装置110a的整体处理的流程图。异常检测装置110a,接收与异常检测装置110a连接的ECU101a和总线130之间进行收发的报文,按照报文是从总线130发送到ECU101a,还是从ECU101a发送到总线130,来更新已接收ID列表或已发送ID列表以及对报文的异常进行判断,在检测到异常的情况下,中止针对ECU101a或总线130的报文的转送。
在步骤S161,异常检测装置110a从总线130或者与异常检测装置110a连接的ECU101a接收报文。
在步骤S162,异常检测装置110a,判断接收的报文是从ECU101a发送来的报文、还是从总线130发送来的报文。例如,异常检测装置110a具有与ECU101a连接的输入输出端子、以及与总线130连接的输入输出端子,可以按照是从哪一个输入输出端子接收了报文来进行上述判断。
步骤S163以及S164是接收的报文是从总线130发送来的情况下(在步骤S162中的“总线”的情况下)的处理,异常检测装置110a进行已接收ID列表的更新处理以及基于已发送ID列表的异常检测处理。
步骤S165以及步骤S166是接收的报文是从ECU101a发送来的情况下(步骤S162中的“ECU”的情况下)的处理,异常检测装置110a进行已发送ID列表更新处理以及基于已接收ID列表的异常检测处理。
关于步骤S163,利用图17在后边说明,关于步骤S164,利用图21在后边说明,关于步骤S165,利用图18在后边说明,关于步骤S166,利用图19以及图20在后边说明。
[1-17.已接收ID列表更新处理流程]
图17是已接收ID列表更新处理的流程图。图17是图16的步骤S163的已接收ID列表更新处理的详细的处理流程。异常检测装置110a,在从总线130发送来报文时,更新已接收ID列表保持部114保持的已接收ID列表。
在步骤S171,异常检测装置110a读出从总线130接收的报文的ID。
在步骤S172,异常检测装置110a,判断在已接收ID列表中是否存在步骤S171中读出的ID。
异常检测装置110a,在已接收ID列表不存在读出的ID的情况下(在步骤S172的否的情况下),在步骤S173,在已接收ID列表追加读出的ID。异常检测装置110a,在已接收ID列表存在读出的ID的情况下(在步骤S172的是的情况下),进行步骤S174的处理。
在步骤S174,异常检测装置110a针对读出的ID,将记录在已接收ID列表保持部114的报文接收次数更新为加1。
[1-18.已发送ID列表更新处理流程]
图18是已发送ID列表更新处理的流程图。图18是图16的步骤S165的已发送ID列表更新处理的详细的处理流程。异常检测装置110a,在从ECU101a发送来报文时,更新已发送ID列表保持部113保持的已发送ID列表。
在步骤S181,异常检测装置110a读出从ECU101a接收的报文的ID。
在步骤S182,异常检测装置110a,判断在已发送ID列表中是否存在步骤S181中读出的ID。
异常检测装置110a,在已发送ID列表不存在读出的ID的情况下(在步骤S182的否的情况下),在步骤S183,在已发送ID列表追加读出的ID。异常检测装置110a,在已发送ID列表存在读出的ID的情况下(在步骤S182的是的情况下),进行步骤S184的处理。
在步骤S184,异常检测装置110a针对读出的ID,将记录在已发送ID列表保持部113的报文发送次数更新为加1。
[1-19.根据已接收ID列表的异常检测处理流程]
图19是已接收ID列表进行的异常检测处理的流程图。图19是基于图16的步骤S166的已接收ID列表的、与异常检测装置110a连接的ECU101a的异常检测处理的详细的处理流程。
在步骤S191,异常检测装置110a读出从ECU101a接收的报文的ID。
在步骤S192,异常检测装置110a判断读出的ID是否存在于已接收ID列表中。
异常检测装置110a,在已接收ID列表中存在读出的ID的情况下(在步骤S192的是的情况下),检测出从ECU101a接收的报文有异常,进行步骤S193、S194以及S195的处理。异常检测装置110a,在已接收ID列表中不存在读出的ID的情况下(在步骤S192的否的情况下),检测出从ECU101a接收的报文是正常,进行步骤S196的处理。
在步骤S193,异常检测装置110a废弃接收的报文。换言之异常检测装置110a,不将从ECU101a接收的报文发送给总线130。不将来自ECU101a的报文发送给总线130,从而能够抑制异常的报文流入到总线130。
在步骤S194,异常检测装置110a向总线130通知ECU101a有异常。
在步骤S195,异常检测装置110a向ECU101a通知ECU101a有异常。
另一方面,在步骤S196,异常检测装置110a,从ECU101a接收的报文是正常的报文,所以向总线130转送该报文。
[1-20.根据已接收ID列表的异常检测处理流程(变形例)]
图20是已接收ID列表进行的异常检测处理的变形例的流程图。图20是图16的步骤S166的已接收ID列表进行的异常检测处理的变形例的详细处理流程图。在图19的已接收ID列表进行的异常检测处理中,在接收的报文的ID存在于已接收ID列表的情况下,异常检测装置110a进行将在步骤S193接收的报文废弃,不转送给总线130的处理,但是图20的变形例中,不实施步骤S193的处理,而是实施步骤S201的处理。具体而言,异常检测装置110a,将ECU101a从总线130隔离。更具体而言,异常检测装置110a将从ECU101a接收的报文全部遮断。从而,将ECU101a从总线130隔离,避免受害扩大,与只遮断异常报文的情况相比,能够进一步减轻不正当ECU对车载网络100带来的影响。另外,例如,异常检测装置110a与ECU101a之间可以设置开关,该开关对异常检测装置110a与ECU101a的连接以及非连接进行切换,通过该开关的切换,使异常检测装置110a与ECU101a不连接,从而使ECU101a从总线130隔离。
[1-21.根据已发送ID列表的异常检测处理序列]
图21是已发送ID列表进行的异常检测处理的流程图。图21是根据图16的步骤S164的已发送ID列表进行的与总线130连接的ECU的异常检测处理的详细的处理流程。
在步骤S211,异常检测装置110a读出从总线130接收的报文的ID。
在步骤S212,异常检测装置110a判断读出的ID是否存在于已发送ID列表中。
异常检测装置110a,在已发送ID列表存在读出的ID的情况下(在步骤S212的是的情况下),检测出从总线130接收的报文有异常,进行步骤S213、S214以及S215的处理。异常检测装置110a,在读出的ID不存在于已发送ID列表的情况下(在步骤S212的否的情况下),检测出从总线130接收的报文是正常的报文,进行步骤S216的处理。
在步骤S213,异常检测装置110a废弃接收的报文。换言之异常检测装置110a,不将从总线130接收的报文发送给ECU101a。不将来自与总线130连接的ECU的报文发送给ECU101a,从而能够抑制异常的报文发送到ECU101a。
在步骤S214,异常检测装置110a向总线130通知与总线130连接有异常的ECU。
在步骤S215,异常检测装置110a向ECU101a通知与总线130连接有异常的ECU。
另一方面,在步骤S216,异常检测装置110a从总线130接收的报文是正常的报文,所以向ECU101a转送该报文。
如上所述,在车载网络100内不一定追加IDSECU120(换言之,网络信息流通量以及成本增大),或者不需要预先存储各个ECU发送的报文的ID,就能够容易地检测车载网络100中的异常。
[1-22异常检测装置从IDSECU接收到异常通知的情况下的处理流程]
图22是异常检测装置从IDSECU120接收到异常通知的情况下的处理的流程图。另外,图22还示出异常检测装置从IDSECU120接收异常通知之前的在IDSECU120中的处理(从步骤S221到步骤S224)。
在步骤S221,IDSECU120从总线130接收报文。
在步骤S222,IDSECU120对接收的报文进行异常判断。
在步骤S223,判断步骤S222的异常判断的结果是否为异常。IDSECU120在异常判断的结果是异常的情况下(在步骤S223中的是的情况下),进行步骤S224的处理,在异常判断的结果不是异常的情况下(在步骤S223中的否的情况下),结束处理。
在步骤S224,IDSECU120将被判断为异常的报文包括的示出异常的ID的异常ID信息,通知给与总线130连接的异常检测装置110a、110b、110d以及110f。在这里,着眼于异常检测装置110a进行说明。
在步骤S225,异常检测装置110a,从总线130接收由IDSECU120发送的示出异常的ID的异常ID信息。异常检测装置110a,在从总线130接收由IDSECU120发送的示出异常的ID的异常ID信息的情况下,从已接收ID列表中删除异常ID信息示出的ID。具体而言进行以下处理。
在步骤S226,异常检测装置110a,判断接收的异常ID信息示出的异常的ID是否存在于已接收ID列表中。在异常的ID存在于已接收ID列表中的情况下(在步骤S226中的是的情况下),异常检测装置110a进行步骤S227的处理,异常的ID不存在于已接收ID列表的情况下(在步骤S226中的否的情况下),异常检测装置110a结束处理。
在步骤S227,异常检测装置110a从已接收ID列表删除异常的ID。
可以想到在正规报文流入总线130之前,攻击者将不正当报文发送到总线130的情况。在这个情况下,在已接收ID列表追加了不正当报文中包括的ID。例如,正规的ECU101a发送的报文中包括的ID包括在不正当报文的情况下,从正规的ECU101a发送的正规报文被判断为是不正当报文。换言之,之后正规报文不能够发送到总线130,攻击者冒充ECU101a,将不正当报文发送到总线130。对于此,如所述说明,例如通过IDSECU120配置在车载网络100,就能够检测攻击者发送的不正当报文。因此,即使在正规的报文流入总线130之前,攻击者将不正当报文发送给总线130的情况下(换言之,已接收ID列表被污染的情况下),也能够修改已接收ID列表,从已接收ID列表消除被追加到已接收ID列表的不正当报文中包括的ID(例如ECU101a发送的报文中包括的ID),从而能够避免异常检测装置110a进行误检测,将正规报文认为是不正当报文。
[1-23.异常检测装置的整体处理流程(变形例)]
图23是异常检测装置110a的整体处理的变形例的流程图。图23是图16的异常检测装置110a的整体处理的流程图的变形例。具体而言,在图23中,除了图16的整体处理之外,还追加了以下处理,即步骤S167的判断是否有车辆关机操作的处理、步骤S231的车辆10的启动时的处理、以及步骤S232的车辆10的关机时的处理。
关于步骤S231,在后边利用图27进行详细说明。
在步骤S167中,异常检测装置110a在有车辆关机操作时(在步骤S167的是的情况下),进行步骤S232,在没有车辆关机操作时(在步骤S167的否的情况下),返回步骤S161。关于步骤S232,利用图24到图26进行详细说明。
[1-24.车辆关机时的处理流程]
图24是异常检测装置110a的车辆关闭时的处理的流程图。图24是图23的步骤S232的异常检测装置110a的车辆关闭时的处理的详细流程图。
在步骤S241中,异常检测装置110a,进行低频度已接收ID保存处理。关于步骤S241的处理,在图25详细说明。
在步骤S242中,异常检测装置110a,进行低频度已发送ID保存处理。关于步骤S242的处理,在图26详细说明。
[1-25.低频度已接收ID的保存处理流程]
图25是低频度已接收ID的保存的处理的流程图。图25是图24的步骤S241的低频度已接收ID的保存处理的详细处理的流程图。
在步骤S251中,异常检测装置110a,从已接收ID列表中,选择在低频度已接收ID的保存的处理中还没有选择的ID。
在步骤S252中,异常检测装置110a,针对选择的ID,算出基于在已接收ID列表保持部114记录的报文接收次数的报文接收频度。例如,异常检测装置110a,将报文接收次数除以从车辆10的启动到关机为止的时间,从而算出报文接收频度。另外,异常检测装置110a可以针对选择的ID,获得记录在已接收ID列表保持部114的报文接收次数。报文接收次数,例如可以是在关机之前一分种、三十分种或一小时等规定时间内,ECU101a从总线130接收报文的次数。
在步骤S253,异常检测装置110a,对在步骤S252算出的报文接收频度是否在预先设定的规定值以下进行判断。异常检测装置110a,在报文接收频度在规定值以下时(在步骤S253中的是的情况下),将报文接收频度为规定值以下的ID,判断为是低频度已接收ID,进行步骤S254的处理,在报文接收频度比规定值大时(在步骤S253中的否的情况下),进行步骤S255的处理。另外,异常检测装置110a,在步骤S252,针对选择的ID,获得在已接收ID列表保持部114记录的报文接收次数的情况下,对在步骤S252获得的报文接收次数是否为预先设定的规定值以下进行判断。而且,异常检测装置110a,在报文接收次数是规定值以下时,报文接收次数为规定值以下的ID判断为低频度已接收ID,进行步骤S254的处理,在报文接收次数比规定值大时,进行步骤S255的处理。这样,报文接收次数减少时,视为报文接收频度也低,在步骤S252,可以不算出基于报文接收次数的报文接收频度,而是只获得报文接收次数。
在步骤S254,异常检测装置110a,将选择的ID保存到非易失性存储器。
而且,在步骤S255中,异常检测装置110a,判断在已接收ID列表中是否存在未选择的ID。在存在的情况下(在步骤S255中的是的情况下),返回步骤S251,在不存在的情况下(在步骤S255中的否的情况下),结束处理。从而,能够将多个低频度已接收ID保存到非易失性存储器。
[1-26.低频度已发送ID的保存处理流程]
图26是低频度已发送ID的保存的处理的流程图。图26是图24的步骤S242的低频度已发送ID的保存处理的详细处理的流程图。
在步骤S261中,异常检测装置110a,从已发送ID列表,选择低频度已发送ID的保存的处理中还没有选择的ID。
在步骤S262,异常检测装置110a针对选择的ID,算出基于记录在已发送ID列表保持部113的报文发送次数的报文发送频度。例如,异常检测装置110a,将报文发送次数除以从车辆10的启动到关机为止的时间,从而算出报文发送频度。另外,异常检测装置110a可以针对选择的ID,获得记录在已发送ID列表保持部113的报文发送次数。报文发送次数,例如可以是在关机之前一分种、三十分种或一小时等规定时间内,ECU101a向总线130发送报文的次数。
在步骤S263,异常检测装置110a,对在步骤S262算出的报文发送频度是否在预先设定的规定值以下进行判断。异常检测装置110a,在报文发送频度在规定值以下时(在步骤S263中的是的情况下),将报文发送频度为规定值以下的ID,判断为是低频度已发送ID,进行步骤S264的处理,在报文发送频度比规定值大时(在步骤S263中的否的情况下),进行步骤S265的处理。另外,异常检测装置110a,在步骤S262,针对选择的ID,获得在已发送ID列表保持部113记录的报文发送次数的情况下,对在步骤S262获得的报文发送次数是否为预先设定的规定值以下进行判断。而且,异常检测装置110a,在报文发送次数是规定值以下时,报文发送次数为规定值以下的ID判断为低频度已发送ID,进行步骤S264的处理,在报文发送次数比规定值大时,进行步骤S265的处理。这样,报文发送次数越少,视为报文发送频度越低,从而异常检测装置110a,在步骤S262可以不算出基于报文发送次数的报文发送频度,而是只获得报文发送次数。
在步骤S264,异常检测装置110a将选择的ID保存到非易失性存储器。
而且,在步骤S265中,异常检测装置110a,判断在已发送ID列表中是否存在未选择的ID。在存在的情况下(在步骤S255中的是的情况下),返回步骤S261,在不存在的情况下(在步骤S255中的否的情况下),结束处理。从而,能够将多个低频度已发送ID保存到非易失性存储器。
[1-27.车辆启动时的处理流程]
图27是异常检测装置110a的车辆启动时的处理的流程图。图27是图23的步骤S231的异常检测装置110a的车辆启动时的处理的流程图。
在步骤S271,异常检测装置110a,在车辆10启动时,确认与异常检测装置110a连接的ECU101a的固件信息。
而且,在步骤S272,异常检测装置110a,将当前的固件信息进行保存,从而在下一次车辆10的启动时进行的步骤S271的处理中使用。
接着,在步骤S273,异常检测装置110a,判断从前一次的车辆10启动之后是否有ECU101a的固件信息的变更(更新)。在固件信息有变更的情况下(在步骤S273中的是的情况下),异常检测装置110a,进行步骤S274的处理。在固件信息没有变更的情况下(在步骤S273中的否的情况下),异常检测装置110a,进行步骤S276的处理。另外,在车辆10的第一次启动时,不存在前一次固件信息,所以作为固件信息没有变更来处理。此外,车辆10的前一次启动时的ECU101a的固件信息,在前一次启动时的步骤S272的处理中被保存。换言之,在每次车辆10启动时,进行图27表示的处理。
在步骤S274,异常检测装置110a,对在图25的步骤S254保存到非易失性存储器的低频度已接收ID进行复位。
进而,在步骤S275,异常检测装置110a,对在图26的步骤S264保存到非易失性存储器的低频度已发送ID进行复位。
随着ECU的固件更新,ECU的固件信息被变更的情况下,从ECU发送来的报文包括的ID的规格有时发生变更。因此,在这个情况下,删除保存到非易失性存储器的ID,通过不将该ID追加到已接收ID列表或已发送ID列表,从而能够防止因为规格被变更的ID所产生的对正常报文的错误遮断。
在步骤S276,异常检测装置110a,将在图25的步骤S254保存到非易失性存储器的低频度已接收ID,读入到异常检测装置110a的已接收ID列表。
报文接收次数或者报文接收频度为规定值以下的ID(以低频度接收的报文中包括的ID),在车辆10启动之后,包括该ID的报文流入总线130为止有时需要时间。换言之,会产生如下的情况,到包括该ID的正规报文在总线130流动为止,攻击者将包括该ID的不正当报文发送给总线130,在已接收ID列表被追加不正当报文包括的ID(换句话说,已接收ID列表被不正当ID所污染)。对于此,在车辆10启动时,将保存到非易失性存储器的以低频度接收的报文包括的ID,追加到已接收ID列表,从而能够防止在以低频度接收的报文最开始流入到网络总线之前,攻击者发送不正当报文来污染已接收ID的列表。此外,以高频度接收的报文中包括的ID,不保存到非易失性存储器,从而能够节省该存储容量。
进而,在步骤S277,异常检测装置110a,将在图26的步骤S264保存到非易失性存储器的低频度已发送ID,读入到异常检测装置110a的已发送ID列表。
报文发送次数或者报文发送频度为规定值以下的ID(以低频度从ECU101a发送来的报文中包括的ID),在车辆10启动之后,由异常检测装置110a从ECU101a接收包括该ID的报文为止有时需要时间。换言之,会产生如下的情况,到由异常检测装置110a接收包括该ID的正规报文为止,攻击者攻击ECU101a从不正当ECU101a向异常检测装置110a发送不正当的报文,在已发送ID列表被追加不正当报文包括的ID(换句话说,已发送ID列表被不正当ID所污染)。对于此,在车辆10启动时,将保存到非易失性存储器的以低频度发送的报文包括的ID,追加到已发送ID列表,从而能够防止在由异常检测装置110a接收以低频度发送的报文之前,攻击者发送不正当报文来污染已发送ID的列表。此外,以高频度发送的报文中包括的ID,不保存到非易失性存储器,从而能够节省该存储容量。
另外,异常检测装置110a,在车辆10启动时,可以不进行固件信息的确认,而将保存到非易失性存储器的ID追加到已接收ID列表或已发送ID列表。换言之,在车辆10启动时,不进行从步骤S271到步骤S275的处理,而是进行步骤S276以及步骤S277的处理。
(其他实施方式)
例如,在所述实施方式,异常检测装置具备了已发送ID列表保持部113,但是也可以不具备。在这个情况下,控制部112,可以不进行与已发送ID列表保持部113有关的控制。
此外,例如,在所述实施方式中,异常检测装置具备了已接收ID列表保持部114,但是也可以不具备。在这个情况下,控制部112,可以不进行与已接收ID列表保持部114有关的控制。
此外,例如,在所述实施方式中,控制部112,在通信部111从ECU接收的报文的ID存在于已接收ID列表的情况下,从总线130隔离该ECU,但是可以不隔离,只设为不将该报文发送到总线130。
此外,例如,在所述实施方式中,已接收ID列表保持部114,具有记录已接收ID列表包括的每个ID的报文接收次数的区域,但是也可以不具有。在这个情况下,控制部112,可以不进行与报文接收次数有关的控制。
此外,例如,在所述实施方式中,已发送ID列表保持部113,具有记录已发送ID列表包括的每个ID的报文发送次数的区域,但是也可以不具有。在这个情况下,控制部112,可以不进行与报文发送次数有关的控制。
本公开的车载网络100,典型的是如上述的车载CAN网络,但是不限定于此。例如,CAN-FD(CAN with Flexible Data rate)、FlexRay(注册商标)、Ethernet(注册商标)、LIN(Local Interconnect Network)、MOST(Media Oriented Systems Transport)等的网络也可以。或者可以将这些网络作为子网,与CAN网络组合的车载网络。
此外,在所述实施方式中,作为在汽车搭载的车载网络100中的安全对策进行了说明,但是本公开的适用范围不限于此。本公开不限定于汽车,也可以适用于建机、农机、船舶、铁路、飞机等的移动设备。也就是,本公开可以适用于移动网络以及移动网络系统中的网络安全对策。
所述实施方式中的各个装置,具体而言是微处理机、ROM、RAM、硬盘装置等构成的计算机系统。RAM或硬盘装置中记录有计算机程序。微处理机,按照计算机程序动作,从而各个装置达成各自的功能。在这里计算机程序是为了达成规定的功能,由示出对计算机的指令的命令代码多个组合而构成的。
在所述实施方式中,构成各个装置的构成要素的一部或全部,可以由1个系统LSI(Large Scale Integration:大规模集成电路)来构成。系统LSI,是将多个构成部集积在1个芯片上制造的超多功能LSI,具体而言是包括微处理机、ROM、RAM而构成的计算机系统。RAM记录有计算机程序。微处理机,按照计算机程序动作,从而系统LSI达成其功能。
此外,构成所述各个装置的构成要素的各部分,可以分别单片化,也可以以包括一部分或全部的方式单片化。
此外,在这里称为系统LSI,但是根据集成度的不同,还称为IC、LSI、超大LSI、特大LSI。此外,集成电路化的方法不限于LSI,可以用专用电路或者通用处理器来实现。也可以使用在LSI制造后可编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)、或者可重构LSI内部的电路单元的连接以及设定的可重构处理器。
进而,随着半导体技术的进步或者派生出的别的技术,出现能够替代LSI的集成电路化技术时,当然可以使用该技术进行功能块的集成化。有可能适用生物技术等。
构成所述各个装置的构成要素的一部分或全部,可以由能够在各个装置装拆的IC卡或单体的模块构成。IC卡或模块是由微处理机、ROM、RAM等构成的计算机系统。IC卡或模块,可以包括所述超多功能LSI。微处理机,按照计算机程序进行动作,从而IC卡或模块达成其功能。该IC卡或者该模块,可以具有耐篡改性。
在本公开中,不仅作为异常检测装置来实现,还作为包括构成异常检测装置的各个构成要素进行的步骤(处理)的异常检测方法来实现。
异常检测方法是由异常检测装置执行的异常检测方法,该异常检测装置配置在车载网络100,该车载网络100由多个ECU、总线130、异常检测装置构成,该异常检测装置,被配置在总线130与多个ECU中的任一个的第一ECU之间,该异常检测装置具备:通信部111,从第一ECU接收报文,并将该报文发送给总线130,从总线130接收报文,并将该报文发送给第一ECU;已接收ID列表保持部114,保持已接收ID列表,该已接收ID列表是通信部111从总线130接收并发送给第一ECU的报文的ID的列表;在异常检测方法中,在通信部111从总线130接收的报文的ID,不存在于已接收ID列表中的情况下(图17的步骤S172中的否的情况下),将该ID追加到已接收ID列表(图17的步骤S173),在通信部111从第一ECU接收的报文的ID,存在于已接收ID列表中的情况下(图19的步骤S192中的是的情况下),不将该报文发送给总线130(图19的步骤S193)。
此外,也可以是将这些方法由计算机实现的计算机程序,也可以是由计算机程序构成的数字信号。
此外,本公开也可以是记录了计算机程序或数字信号的计算机可读取的记录介质,例如软磁盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。此外,也可以是记录在这些记录介质上的数字信号。
此外,本公开也可以是将计算机程序或数字信号,经由电通信线路、无线或有线通信线路、以及以因特网为代表的网络、数据广播等来传输。
此外,本公开可以是具备微处理机和存储器的计算机系统,存储器可以记录计算机程序,微处理机按照计算机程序进行动作。
此外,可以将程序或者数字信号记录在记录介质并移送,或者将程序或数字信号经由网络等移送,从而由独立的其他计算机系统来实施。
以上基于实施方式对一个或者多个方案涉及的异常检测装置等进行了说明,不过本公开并非受上述的实施方式的限制。在不超出本公开的宗旨的范围内,将本领域技术人员想出的各种变形实施在本实施方式、或者将不同实施方式中的构成要素进行组合构筑的形式,也包括在一个或多个方案的范围内。
例如,在所述实施方式,特定的构成要素执行的处理可以由另外的构成要素来执行,而不是由特定的构成要素执行。此外,多个处理的顺序可以变更,也可以并行执行多个处理。
本公开可以利用于搭载车载网络的车辆等。
符号说明
10 车辆
100 车载网络
101a,101b,101c,101d,101e,101f,101g ECU
110a,110b,110c,110d,110e,110f 异常检测装置
110g 异常检测部
111 通信部
112 控制部
113 已发送ID列表保持部
114 已接收ID列表保持部
115 ECU处理部
120 IDSECU
121 通信部
122 异常检测部
130 总线

Claims (10)

1.一种异常检测装置,被配置在车载网络,该车载网络由多个电子控制单元、网络总线、所述异常检测装置构成,其特征在于,
所述异常检测装置,被配置在所述网络总线与第一电子控制单元之间,所述第一电子控制单元是所述多个电子控制单元中的任一个,
所述异常检测装置具备:
通信部,从所述第一电子控制单元接收报文,并将该报文发送给所述网络总线,从所述网络总线接收报文,并将该报文发送给所述第一电子控制单元;
已接收ID列表保持部,保持已接收ID列表,该已接收ID列表是所述通信部从所述网络总线接收并发送给所述第一电子控制单元的报文的ID的列表;以及
控制部,对所述通信部以及所述已接收ID列表保持部进行控制,
所述控制部,
在所述通信部从所述网络总线接收的报文的ID,不存在于所述已接收ID列表中的情况下,将该ID追加到所述已接收ID列表,
在所述通信部从所述第一电子控制单元接收的报文的ID,存在于所述已接收ID列表中的情况下,不将该报文发送给所述网络总线。
2.如权利要求1所述的异常检测装置,其特征在于,
所述控制部,在所述通信部从所述第一电子控制单元接收的报文的ID存在于所述已接收ID列表中的情况下,将所述第一电子控制单元从所述网络总线隔离。
3.如权利要求1或者2所述的异常检测装置,其特征在于,
所述控制部,在所述通信部从所述网络总线接收到异常ID信息的情况下,从所述已接收ID列表删除所述异常ID信息示出的ID,所述异常ID信息是从所述多个电子控制单元中的与所述第一电子控制单元不同的第二电子控制单元发送的示出异常的ID的信息。
4.如权利要求1至3的任一项所述的异常检测装置,其特征在于,
所述已接收ID列表保持部,具有用于记录所述已接收ID列表中的每个ID的报文接收次数的区域,
所述控制部,
在所述通信部从所述网络总线接收到报文时,将针对该报文的ID记录的报文接收次数进行更新,
在搭载了所述车载网络的车辆关机时,将所述已接收ID列表包括的ID中,记录在所述已接收ID列表保持部的报文接收次数、或者基于该报文接收次数的报文接收频度为规定的值以下的ID保存到非易失性存储器,
在所述车辆启动时,将保存到所述非易失性存储器的所述ID追加到所述已接收ID列表。
5.如权利要求4所述的异常检测装置,其特征在于,
所述控制部,在所述车辆启动时,从前一次启动之后所述第一电子控制单元的固件信息有变更的情况下,删除保存到所述非易失性存储器的所述ID,不将该ID追加到所述已接收ID列表。
6.如权利要求1至5的任一项所述的异常检测装置,其特征在于,
所述异常检测装置,还具备:
已发送ID列表保持部,保持已发送ID列表,该已发送ID列表是所述通信部从所述第一电子控制单元接收,并发送给所述网络总线的报文的ID的列表,
所述控制部,进一步,
控制所述已发送ID列表保持部,
在所述通信部从所述第一电子控制单元接收的报文的ID,不存在于所述已发送ID列表中的情况下,将该ID追加到所述已发送ID列表,
在所述通信部从所述网络总线接收的报文的ID,存在于所述已发送ID列表中的情况下,不将该报文发送给所述第一电子控制单元。
7.如权利要求6所述的异常检测装置,其特征在于,
所述已发送ID列表保持部,具有用于记录所述已发送ID列表中的每个ID的报文发送次数的区域,
所述控制部,
在所述通信部从所述第一电子控制单元接收到报文时,将针对该报文的ID记录的报文发送次数进行更新,
在搭载了所述车载网络的车辆关机时,将所述已发送ID列表包括的ID中,记录在所述已发送ID列表保持部的报文发送次数、或者基于该报文发送次数的报文发送频度为规定的值以下的ID保存到非易失性存储器,
在所述车辆启动时,将保存到所述非易失性存储器的所述ID追加到所述已发送ID列表。
8.如权利要求7所述的异常检测装置,其特征在于,
所述控制部,在所述车辆启动时,从前一次启动之后所述第一电子控制单元的固件信息有变更的情况下,删除保存到所述非易失性存储器的所述ID,不将该ID追加到所述已发送ID列表。
9.一种异常检测方法,是由异常检测装置执行的方法,所述异常检测装置被配置在车载网络,该车载网络由多个电子控制单元、网络总线、以及所述异常检测装置构成,其特征在于,
所述异常检测装置,被配置在所述网络总线与第一电子控制单元之间,所述第一电子控制单元是所述多个电子控制单元中的任一个,
所述异常检测装置具备:
通信部,从所述第一电子控制单元接收报文,并将该报文发送给所述网络总线,从所述网络总线接收报文,并将该报文发送给所述第一电子控制单元;以及
已接收ID列表保持部,保持已接收ID列表,该已接收ID列表是所述通信部从所述网络总线接收并发送给所述第一电子控制单元的报文的ID的列表,
在所述异常检测方法中,
在所述通信部从所述网络总线接收的报文的ID,不存在于所述已接收ID列表中的情况下,将该ID追加到所述已接收ID列表,
在所述通信部从所述第一电子控制单元接收的报文的ID,存在于所述已接收ID列表中的情况下,不将该报文发送给所述网络总线。
10.一种程序,是使计算机执行权利要求9所述的异常检测方法的程序。
CN201980002473.6A 2018-05-23 2019-04-22 异常检测装置、异常检测方法以及记录介质 Active CN110771099B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018098855 2018-05-23
JP2018-098855 2018-05-23
PCT/JP2019/017014 WO2019225257A1 (ja) 2018-05-23 2019-04-22 異常検知装置、異常検知方法およびプログラム

Publications (2)

Publication Number Publication Date
CN110771099A true CN110771099A (zh) 2020-02-07
CN110771099B CN110771099B (zh) 2022-08-26

Family

ID=68615624

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980002473.6A Active CN110771099B (zh) 2018-05-23 2019-04-22 异常检测装置、异常检测方法以及记录介质

Country Status (5)

Country Link
US (2) US11575538B2 (zh)
EP (1) EP3799365B1 (zh)
JP (2) JP7121737B2 (zh)
CN (1) CN110771099B (zh)
WO (1) WO2019225257A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113434163A (zh) * 2021-05-24 2021-09-24 瑞浦能源有限公司 适用于电子控制单元的在线标定方法、系统、设备及介质
CN114942623A (zh) * 2022-05-31 2022-08-26 中国第一汽车股份有限公司 控制器的测试方法、装置、车辆及计算机可读存储介质

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111344192B (zh) * 2017-08-17 2021-06-22 雷德本德有限公司 禁用恶意电子控制单元的系统、方法和计算机程序产品
JP6962301B2 (ja) * 2018-09-25 2021-11-05 株式会社オートネットワーク技術研究所 中継装置
WO2021065069A1 (ja) * 2019-09-30 2021-04-08 株式会社オートネットワーク技術研究所 検知装置、車両、検知方法および検知プログラム
JP7435616B2 (ja) 2019-09-30 2024-02-21 株式会社オートネットワーク技術研究所 検知装置、車両、検知方法および検知プログラム
WO2021144858A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知システム、異常検知装置、及び異常検知方法
JP7247905B2 (ja) * 2020-01-22 2023-03-29 トヨタ自動車株式会社 第1中継装置、第2中継装置、第1中継方法、第2中継方法、第1中継プログラム、第2中継プログラム、及び中継システム
JP7449193B2 (ja) * 2020-07-31 2024-03-13 日立Astemo株式会社 演算装置および車両制御装置
US11386204B2 (en) * 2020-09-24 2022-07-12 Intel Corporation Agile reconfigurable approach for real-time replacement of on-chip safety-critical modules
US11966503B2 (en) * 2021-09-24 2024-04-23 Intel Corporation Glitch attack mitigation for in-vehicle networks
US11820392B2 (en) * 2021-11-18 2023-11-21 GM Global Technology Operations LLC Eliminatinon of safety enable hardware through use of can transceiver wakeup functions

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104301177A (zh) * 2014-10-08 2015-01-21 清华大学 Can报文异常检测方法及系统
US20150113638A1 (en) * 2013-10-23 2015-04-23 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
CN106105105A (zh) * 2014-04-03 2016-11-09 松下电器(美国)知识产权公司 网络通信系统、不正常检测电子控制单元以及不正常应对方法
CN106170953A (zh) * 2014-04-17 2016-11-30 松下电器(美国)知识产权公司 车载网络系统、不正常检测电子控制单元以及不正常检测方法
US20170026373A1 (en) * 2015-07-24 2017-01-26 Fujitsu Limited Communication relay device, communication network, and communication relay method
JP2017091280A (ja) * 2015-11-12 2017-05-25 富士通株式会社 監視方法および監視システム
JP2017195524A (ja) * 2016-04-21 2017-10-26 三菱電機株式会社 ネットワークシステム
CN107428294A (zh) * 2015-01-20 2017-12-01 松下电器(美国)知识产权公司 不正常检测规则更新方法、不正常检测电子控制单元以及车载网络系统

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5935543B2 (ja) 2012-06-29 2016-06-15 トヨタ自動車株式会社 通信システム
WO2015008114A1 (en) * 2013-07-18 2015-01-22 Freescale Semiconductor, Inc. Illegal message destroyer
JP2015098312A (ja) 2013-11-20 2015-05-28 トヨタ自動車株式会社 車載ネットワークシステム
US10369942B2 (en) * 2014-01-06 2019-08-06 Argus Cyber Security Ltd. Hosted watchman
JP6490058B2 (ja) * 2014-04-17 2019-03-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム及び不正検知方法
US9158962B1 (en) * 2014-05-07 2015-10-13 Lytx, Inc. Passive driver identification
EP3151462B1 (en) 2014-05-29 2018-10-24 Panasonic Intellectual Property Management Co., Ltd. Transmission device, reception device, transmission method, and reception method
WO2016108963A1 (en) * 2014-12-30 2016-07-07 Battelle Memorial Institute Temporal anomaly detection on automotive networks
US9380070B1 (en) 2015-01-20 2016-06-28 Cisco Technology, Inc. Intrusion detection mechanism
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
US10708293B2 (en) * 2015-06-29 2020-07-07 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
JP6520515B2 (ja) 2015-07-17 2019-05-29 富士通株式会社 ネットワーク監視システム、ネットワーク監視プログラム及びネットワーク監視方法
JP2017050795A (ja) 2015-09-04 2017-03-09 日立オートモティブシステムズ株式会社 自動車用電子制御装置間のデータ転送方法
US9756024B2 (en) * 2015-09-18 2017-09-05 Trillium Incorporated Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same
JP6566400B2 (ja) * 2015-12-14 2019-08-28 パナソニックIpマネジメント株式会社 電子制御装置、ゲートウェイ装置、及び検知プログラム
CN112367318B (zh) * 2015-12-16 2023-04-07 松下电器(美国)知识产权公司 安全处理方法以及计算机
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
WO2017119246A1 (ja) * 2016-01-08 2017-07-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知方法、異常検知装置及び異常検知システム
JP6839963B2 (ja) 2016-01-08 2021-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、異常検知装置及び異常検知システム
US10142358B1 (en) * 2016-02-29 2018-11-27 Symantec Corporation System and method for identifying an invalid packet on a controller area network (CAN) bus
US10382196B2 (en) * 2016-04-29 2019-08-13 Olympus Sky Technologies, S.A. System and method for secure communications based on locally stored values
JP6846991B2 (ja) * 2016-07-05 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
JP6849528B2 (ja) * 2016-07-28 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
EP3373553B1 (en) * 2017-03-09 2024-05-08 Argus Cyber Security Ltd System and method for providing cyber security to an in-vehicle network
JP6494821B2 (ja) * 2017-04-07 2019-04-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
EP3609139B1 (en) * 2017-04-07 2022-03-30 Panasonic Intellectual Property Corporation of America Method for determining reference for unauthorized communication detection, system for determining reference for unauthorized communication detection, and program
US20180300477A1 (en) * 2017-04-13 2018-10-18 Argus Cyber Security Ltd. In-vehicle cyber protection
WO2019021403A1 (ja) * 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 制御ネットワークシステム、車両遠隔制御システム及び車載中継装置
US10630699B2 (en) * 2017-08-14 2020-04-21 Argus Cyber Security Ltd. Automotive cybersecurity
US10931635B2 (en) * 2017-09-29 2021-02-23 Nec Corporation Host behavior and network analytics based automotive secure gateway
JP7288162B2 (ja) * 2018-01-16 2023-06-07 シー2エー-エスイーシー、リミテッド 車両環境における侵入異常モニタリング
WO2019142741A1 (ja) * 2018-01-22 2019-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
WO2019146976A1 (ko) * 2018-01-23 2019-08-01 현대자동차주식회사 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
US11501572B2 (en) * 2018-03-26 2022-11-15 Nvidia Corporation Object behavior anomaly detection using neural networks
WO2019225259A1 (ja) 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信制御装置、不正検知電子制御ユニット、モビリティネットワークシステム、通信制御方法、不正検知方法およびプログラム

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150113638A1 (en) * 2013-10-23 2015-04-23 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
CN106105105A (zh) * 2014-04-03 2016-11-09 松下电器(美国)知识产权公司 网络通信系统、不正常检测电子控制单元以及不正常应对方法
CN106170953A (zh) * 2014-04-17 2016-11-30 松下电器(美国)知识产权公司 车载网络系统、不正常检测电子控制单元以及不正常检测方法
CN104301177A (zh) * 2014-10-08 2015-01-21 清华大学 Can报文异常检测方法及系统
CN107428294A (zh) * 2015-01-20 2017-12-01 松下电器(美国)知识产权公司 不正常检测规则更新方法、不正常检测电子控制单元以及车载网络系统
US20170026373A1 (en) * 2015-07-24 2017-01-26 Fujitsu Limited Communication relay device, communication network, and communication relay method
JP2017091280A (ja) * 2015-11-12 2017-05-25 富士通株式会社 監視方法および監視システム
JP2017195524A (ja) * 2016-04-21 2017-10-26 三菱電機株式会社 ネットワークシステム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LIU, JIAJIA, ET AL: ""In-vehicle network attacks and countermeasures: Challenges and future directions."", 《IEEE NETWORK》 *
WANG, CHUNDONG, ET AL.: ""A distributed anomaly detection system for in-vehicle network using HTM."", 《IEEE ACCESS》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113434163A (zh) * 2021-05-24 2021-09-24 瑞浦能源有限公司 适用于电子控制单元的在线标定方法、系统、设备及介质
CN114942623A (zh) * 2022-05-31 2022-08-26 中国第一汽车股份有限公司 控制器的测试方法、装置、车辆及计算机可读存储介质

Also Published As

Publication number Publication date
JP7121737B2 (ja) 2022-08-18
JPWO2019225257A1 (ja) 2021-04-22
JP2022140785A (ja) 2022-09-27
US11848755B2 (en) 2023-12-19
US20200204395A1 (en) 2020-06-25
EP3799365B1 (en) 2022-11-30
EP3799365A1 (en) 2021-03-31
CN110771099B (zh) 2022-08-26
JP7362856B2 (ja) 2023-10-17
EP3799365A4 (en) 2021-07-14
US20230164159A1 (en) 2023-05-25
WO2019225257A1 (ja) 2019-11-28
US11575538B2 (en) 2023-02-07

Similar Documents

Publication Publication Date Title
CN110771099B (zh) 异常检测装置、异常检测方法以及记录介质
US10909237B2 (en) Method of updating fraud detection rules for detecting malicious frames, fraud detecting electronic control unit, and on-board network system
EP3659868B1 (en) Abnormality detection device, and abnormality detection method
JP7197638B2 (ja) セキュリティ処理方法及びサーバ
US20210312043A1 (en) Vehicle communications bus data security
CN106031098B (zh) 不正常帧应对方法、不正常检测电子控制单元以及车载网络系统
EP3968575A1 (en) Security processing method and server
EP3337120A1 (en) Network message authentication and verification
US20200412756A1 (en) Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium
EP3813333B1 (en) Irregularity detection rule update for an on-board network
US20240097935A1 (en) Controller area network system and a method for the system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant