CN110998576A - 接收装置、监视机及计算机程序 - Google Patents

接收装置、监视机及计算机程序 Download PDF

Info

Publication number
CN110998576A
CN110998576A CN201880044348.7A CN201880044348A CN110998576A CN 110998576 A CN110998576 A CN 110998576A CN 201880044348 A CN201880044348 A CN 201880044348A CN 110998576 A CN110998576 A CN 110998576A
Authority
CN
China
Prior art keywords
value
unit
count value
data
increased
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880044348.7A
Other languages
English (en)
Other versions
CN110998576B (zh
Inventor
立石博志
上田浩史
田中亮
野田哲矢
上口翔悟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Publication of CN110998576A publication Critical patent/CN110998576A/zh
Application granted granted Critical
Publication of CN110998576B publication Critical patent/CN110998576B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3041Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is an input/output interface
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/81Threshold
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/88Monitoring involving counting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

在中继装置(2)中,ECU中继机(20)的收发部(60a)接收数据。第一计数值在收发部(60a)每单位时间接收的数据的量超过第一阈值的情况下增大。第二计数值在收发部(60a)每单位时间接收的数据的量超过第二阈值的情况下增大。第二阈值比第一阈值大。总线中继机(21)的控制部(70)反复监视第一计数值。控制部(70)在第一计数值增大的情况下缩短对第二计数值进行监视的周期。

Description

接收装置、监视机及计算机程序
技术领域
本发明涉及一种接收数据的接收装置、对数据的接收状态进行监视的监视机及计算机程序。
背景技术
在车辆搭载有对多个电气设备各自的动作进行控制的多个ECU(ElectronicControl Unit:电子控制单元)。而且,多个ECU彼此通信的通信系统搭载于大量的车辆。作为多个ECU彼此通信的通信系统,考虑具备从一个ECU接收数据的接收装置并将接收装置接收到的数据向其他ECU发送的通信系统。
作为使接收装置的功能下降的结构,考虑例如对向接收装置发送数据的ECU的控制程序进行篡改而使ECU以较短的时间间隔持续地向接收机发送不需要的数据的结构。在接收装置以较短的时间间隔持续地接收数据并对接收到的数据执行了通常的处理的情况下,接收装置始终对从控制程序被篡改的ECU接收到的数据进行处理。其结果是,接收装置几乎无法对从与该ECU不同的其他ECU接收到的数据进行处理,接收装置的功能下降。以较短的时间间隔持续地向接收装置发送不需要的数据的攻击被称为DoS(Denial ofService:拒绝服务)攻击。
专利文献1公开了对DoS攻击进行检测的结构。在该结构中,每当经过一定期间时,开始对接收到数据的接收次数进行计数。并且,在一定期间内计数的接收次数达到阈值以上的情况下检测到DoS攻击。
现有技术文献
专利文献
专利文献1:日本特开2004-320636号公报
发明内容
发明要解决的课题
作为以往的接收装置,存在具备对数据进行接收的接收机的接收装置。在该接收机中存储有变量值,接收机使变量值周期性地增大预定值。另外,接收机每当接收数据时使变量值减小。所减小的变量值的幅度例如为接收到的数据的字节数。例如,在接收到的数据的字节数为500字节的情况下,使变量值减小500。
在接收机中,在接收到数据的情况下,当减小之前的变量值小于接收到的数据的字节数时,丢弃接收到的数据,并使计数值加1。此时,不改变变量值而维持在当前的值。接收装置还具备例如微型计算机(以下,称为微机),微机周期性地监视接收机的计数值,并判定计数值是否相对于上次的计数值增大。微机在判定为计数值增大的情况下检测到DoS攻击。微机在检测到DoS攻击的情况下,例如,改变接收机的设定而使接收机丢弃与计数值无关地从控制程序被篡改的ECU接收到的数据。
在接收机中,即使在丢弃了接收到的数据之后也使变量值周期性地增大预定值。由此,在时间经过的情况下,关于丢弃接收到的数据之后的数据的接收,减小之前的变量值大于接收到的数据的字节数。如上所述,在减小之前的变量值大于接收到的数据的字节数的情况下,接收机对与DoS攻击相关的数据进行处理,该数据被发送到一个ECU。
其结果是,在接收机中,在丢弃接收到的数据之后,只要接收机的设定未变更,则对与DoS攻击相关的数据进行处理,该数据被发送到一个ECU。关于与DoS攻击相关的数据被发送到ECU,由于存在接收到该数据的ECU执行非预期的处理的可能性,因此是不优选的。因此,为了抑制与DoS攻击相关的数据被发送的次数,微机需要尽可能提前地检测DoS攻击。
作为提前地检测DoS攻击的结构,考虑将微机对计数值进行监视的监视周期设定为较短的周期的结构。但是,在该结构中,计数值即与DoS攻击的监视相关的微机的处理量较大。微机通常执行各种处理。由此,在与DoS攻击的监视相关的微机的处理量较大的情况下,微机存在无法高效地执行其他处理这样的问题。
本发明鉴于上述情形而完成,其目的在于,提供能够提前地检测以较短的时间间隔持续地发送不需要的数据的攻击且与该攻击的监视相关的处理量较小的接收装置、监视机及计算机程序。
用于解决课题的方案
本发明涉及的接收装置具备:接收机,具有接收数据的接收部;以及监视机,对该接收部所进行的接收的状态进行监视,所述接收装置的特征在于,所述接收机具有:第一调整部,使第一变量值周期性地增大第一预定值,并且,每当所述接收部接收数据时,使所述第一变量值减小与该接收部接收到的数据的量相应的数据值;第一计数器,在所述接收部接收到数据的情况下由该第一调整部减小之前的所述第一变量值小于所述数据值时,使第一计数值增大;第二调整部,使第二变量值周期性地增大比所述第一预定值大的第二预定值,并且,每当所述接收部接收数据时,使所述第二变量值减小所述数据值;以及第二计数器,在所述接收部接收到数据的情况下由该第二调整部减小之前的所述第二变量值小于所述数据值时,使第二计数值增大,所述监视机具有:第一判定部,反复监视所述第一计数值,判定该第一计数值是否增大;第二判定部,周期性地监视所述第二计数值,判定该第二计数值是否增大;以及缩短部,在由所述第一判定部判定为所述第一计数值增大的情况下,缩短所述第二判定部对所述第二计数值进行监视的监视周期。
在本发明中,第二预定值比第一预定值大。由此,第一计数值易于增大,第二计数值难以增大。在判定为第二计数值增大的情况下,检测到以较短的时间间隔持续地发送不需要的数据的攻击。在判定为第一计数值未增大的情况下,受到上述的攻击的可能性较低,对第二计数值进行监视的监视周期较长。在判定为第一计数值增大的情况下,受到上述的攻击的可能性较高,对第二计数值进行监视的监视周期较短。
由于在判定为第一计数值增大的情况下监视周期被缩短,上述的攻击被提前地检测。另外,由于直到判定为第一计数值增大为止监视周期较长,与上述的攻击即第二计数值的监视相关的处理量较小。
本发明涉及的接收装置的特征在于,在由所述第一判定部判定为所述第一计数值增大的情况下,所述监视机的所述缩短部将所述监视周期从预定的第一周期缩短为比该第一周期短的预定的第二周期,在所述监视周期为该第二周期的状态下由所述第一判定部判定为所述第一计数值未增大的情况下,所述监视机的所述缩短部使所述监视周期返回到所述第一周期。
在本发明中,第二周期比第一周期短。监视机在判定为第一计数值增大的情况下,将监视周期从第一周期缩短为第二周期。监视机在以第二周期监视第二计数值的状态下判定为第一计数值未增大的情况下,受到上述的攻击的可能性降低,使监视周期返回到第一周期。由此,与上述的攻击的监视相关的处理量更小。
本发明涉及的接收装置的特征在于,所述监视机的所述第二判定部在判定为所述第二计数值增大之后也以所述监视周期来判定所述第二计数值是否增大,在由所述第一判定部判定为所述第一计数值增大的情况下,所述监视机的所述缩短部将所述监视周期从预定的第一周期缩短为比该第一周期短的第二周期,在由所述第二判定部判定为所述第二计数值增大之后,所述监视机的所述缩短部将所述监视周期调整为所述第二周期。
在本发明中,第二周期比第一周期短。监视机在判定为第一计数值增大的情况下将监视周期从第一周期缩短为第二周期。监视机在判定为第二计数值增大而检测到上述的攻击之后也以第二周期监视第二计数值,并判定第二计数值相对于上次监视到的值是否增大。监视机在判定为相对于上次监视到的值未增大的情况下,例如视作上述的攻击已停止。
在监视机判定为第二计数值增大的情况下,例如停止接收机接收到的数据的处理。其后,在监视机判定为第二计数值相对于上次监视到的值增大的情况下,再次开始接收机接收到的数据的处理。由于在检测到上述的攻击之后监视机对第二计数值进行监视的周期为第二周期,在上述的攻击已停止的情况下能够提前地再次开始接收机接收到的数据的处理。
本发明涉及的接收装置的特征在于,所述监视机的所述第二判定部在判定为所述第二计数值增大之后以所述监视周期来判定所述第二计数值是否增大,在由所述第一判定部判定为所述第一计数值增大的情况下,所述监视机的所述缩短部将所述监视周期从预定的第一周期缩短为比该第一周期短的预定的第二周期,在由所述第二判定部判定为所述第二计数值增大之后,所述监视机的所述缩短部将所述监视周期调整为所述第一周期。
在本发明中,第二周期比第一周期短。监视机在判定为第一计数值增大的情况下,将监视周期从第一周期缩短为第二周期。监视机在判定为第二计数值增大而检测到上述的攻击之后也对第二计数值进行监视,并判定第二计数值相对于上次的第二计数值是否增大。监视机在判定为相对于上次的第二计数值未增大的情况下,例如视作上述的攻击已停止。在监视机检测到上述的攻击之后,对第二计数值进行监视的监视周期为第一周期。由此,与监视机检测到上述的攻击之后的监视相关的处理量较小。
本发明涉及的接收装置的特征在于,所述监视机具有对所述接收机的所述接收部接收到的数据进行发送的发送部,在由所述第二判定部判定为所述第二计数值增大的情况下,该发送部停止所述接收部接收到的数据的发送。
在本发明中,监视机将接收机从一个外部装置接收到的数据向其他外部装置发送。监视机在判定为第二计数值增大的情况下,停止接收机接收到的数据的发送。由此,抑制与上述的攻击相关的数据被发送的次数。
本发明涉及的接收装置的特征在于,在停止所述发送的状态下由所述第二判定部判定为所述第二计数值未增大的情况下,所述发送部再次开始所述发送。
在本发明中,监视机在判定为第二计数值增大而停止接收机接收到的数据的发送之后,也判定第二计数值相对于上次的第二计数值是否增大。监视机在停止发送之后判定为第二计数值相对于上次的第二计数值未增大的情况下再次开始发送。
本发明涉及的接收装置的特征在于,所述监视机具有保存部,在由所述第二判定部判定为所述第二计数值增大之后,每当对所述接收部接收到的N(N:2以上的整数)个数据进行接收时,该保存部对所述接收部接收到的N个数据中的一个数据进行保存。
在本发明中,在判定为第二计数值增大之后,每当对接收机接收到的N个数据进行接收时,例如为了分析上述的攻击,监视机对这些数据中的一个数据进行保存。
本发明涉及的监视机周期性地监视数据的接收状态,所述监视机的特征在于,具备:第一判定部,反复监视在每单位时间接收的数据的量超过第一阈值的情况下增大的第一计数值,并判定该第一计数值是否增大;第二判定部,周期性地监视在每单位时间接收的数据的量超过比所述第一阈值大的第二阈值的情况下增大的第二计数值,并判定该第二计数值是否增大;以及缩短部,在由所述第一判定部判定为所述第一计数值增大的情况下,缩短所述第二判定部对所述第二计数值进行监视的监视周期。
本发明涉及的计算机程序的特征在于,使计算机执行如下的处理:反复获取在每单位时间接收的数据的量超过第一阈值的情况下增大的第一计数值;判定该第一计数值是否增大;周期性地获取在每单位时间接收的数据的量超过比所述第一阈值大的第二阈值的情况下增大的第二计数值;以及在判定为所述第一计数值增大的情况下,缩短获取所述第二计数值的周期。
在本发明涉及的监视机及计算机程序中,在判定为第一计数值未增大的情况下,受到以较短的时间间隔持续地发送不需要的数据的攻击的可能性较低,获取并监视第二计数值的监视周期较长。由此,与上述的攻击即第二计数值的监视相关的处理量较小。另外,在判定为第一计数值增大的情况下,受到上述的攻击的可能性较高,获取并监视第二计数值的周期较短。由此,上述的攻击被提前地检测。
发明效果
根据本发明,能够提前地检测以较短的时间间隔持续地发送不需要的数据的攻击,并且与该攻击的监视相关的处理量较小。
附图说明
图1是表示实施方式1中的通信系统的主要部分结构的框图。
图2是表示中继装置的主要部分结构的框图。
图3是表示设定信息的内容的图表。
图4是表示计数值信息的内容的图表。
图5是第一令牌值及第二令牌值的增减的说明图。
图6是增大动作的说明图。
图7是接收动作的说明图。
图8是表示监视处理的步骤的流程图。
图9是总线中继机的状态转移的说明图。
图10是表示实施方式2中的监视处理的步骤的流程图。
具体实施方式
以下,针对本发明,基于表示其实施方式的附图来详细叙述。
(实施方式1)
图1是表示实施方式1中的通信系统1的主要部分结构的框图。通信系统1适当地搭载于车辆,具备中继装置2及ECU3a、3b、3c、40、41、50、51。在中继装置2单独地连接有三个ECU3a、3b、3c。在中继装置2还单独地连接有两个通信总线42、52。在通信总线42除了中继装置2之外还单独地连接有两个ECU40、41。在通信总线52除了中继装置2之外还单独地连接有两个ECU50、51。
ECU3a、3b、3c、40、41、50、51各自连接于未图示的电气设备,并对与本装置连接的电气设备的动作进行控制。进而,ECU3a、3b、3c、40、41、50、51作为通信装置而发挥功能并彼此通信。例如,ECU3a将表示与ECU3a连接的电气设备从使用者受理的指示的数据向ECU40发送。ECU40基于从ECU3a接收到的数据,对与本装置连接的电气设备的动作进行控制。
三个ECU3a、3b、3c经由中继装置2而彼此通信。中继装置2与ECU3a、3b、3c中的一个ECU的通信依照第一协议来进行。第一协议例如是以太网(注册商标)的通信协议。
ECU40、41经由通信总线42而彼此通信。进而,ECU40、41各自经由中继装置2而与ECU50、51通信。同样地,ECU50、51经由通信总线42而彼此通信。进而,ECU50、51各自经由中继装置2而与ECU40、41通信。
中继装置2经由通信总线42与ECU40、41各自通信,并且经由通信总线52与ECU50、51各自通信。分别经由通信总线42、52的通信依照第二协议来进行。第二协议为CAN(Controller Area Network:控域网)协议或CAN-FD(Controller Area Network withFlexible Datarate:具有可变数据速率的控域网)协议等,与第一协议不同。
中继装置2及ECU40、41各自经由通信总线42而发送的数据在中继装置2及ECU40、41中由除去数据的发送源以外的其他全部的装置接收。同样地,中继装置2及ECU50、51各自经由通信总线52而发送的数据在中继装置2及ECU50、51中由除去数据的发送源以外的其他全部的装置接收。
ECU3a、3b、3c各自经由中继装置2与ECU40、41、50、51通信。
中继装置2对ECU3a、3b、3c、40、41、50、51发送的数据进行中继。
图2是表示中继装置2的主要部分结构的框图。中继装置2具有ECU中继机20及总线中继机21。ECU中继机20单独地连接于总线中继机21及ECU3a、3b、3c。总线中继机21还单独地连接于通信总线42、52。
ECU中继机20从ECU3a、3b、3c分别接收数据。ECU3a、3b、3c发送的数据包括表示发送目的地的发送目的地信息。在ECU中继机20中,与从ECU3a、3b、3c各自接收到的数据的中继相关的中继设定为“允许”或“禁止”。中继设定由总线中继机21单独地变更。
ECU中继机20在从ECU3a、3b、3c中的一个ECU接收到数据的情况下接收到的数据的中继设定为“禁止”时,丢弃所接收到的数据,或者,将接收到的数据作为应该保存的保存数据向总线中继机21输出。总线中继机21在从ECU中继机20被输入保存数据的情况下,保存所输入的保存数据。
ECU中继机20在从ECU3a、3b、3c中的一个ECU接收到数据的情况下接收到的数据的中继设定为“允许”时,对接收到的数据进行中继。ECU中继机20在接收到的数据所包括的发送目的地信息所示的发送目的地为ECU3a、3b、3c中的一个ECU时,将接收到的数据向发送目的地信息所示的发送目的地发送。
ECU中继机20在从ECU3a、3b、3c中的一个ECU接收到中继设定为“允许”的数据的情况下,假设接收到的数据所包括的发送目的地信息所示的发送目的地为ECU40、41、50、51中的一个ECU。在该情况下,ECU中继机20将接收到的数据作为向ECU40、41、50、41中的一个ECU发送的发送数据而向总线中继机21输出。
总线中继机21在从ECU中继机20被输入发送数据的情况下,基于输入的发送数据所包括的发送目的地信息,从通信总线42、52中确定对发送数据进行发送的介质,并将输入的发送数据的形式从第一协议的形式转换成第二协议的形式。总线中继机21将转换了形式的发送数据经由确定的介质来进行发送。
例如,在ECU中继机20从ECU3a接收包括将ECU40示出为发送目的地的发送目的地信息的数据且该数据的中继设定为“允许”的情况下,ECU中继机20将接收到的数据作为发送数据向总线中继机21输出。总线中继机21基于从ECU中继机20输入的发送数据所包括的发送目的地信息,将通信总线42确定为对发送数据进行发送的介质,并将发送数据的形式从第一协议的形式转换到第二协议的形式。总线中继机21将转换了形式的发送数据经由通信总线42向ECU40发送。
总线中继机21经由通信总线42、52来接收数据。经由通信总线42、52分别发送的数据包括用于对自身(数据)进行识别的识别信息。总线中继机21在经由通信总线42、52中的一个通信总线而接收到数据的情况下,基于接收到的数据所包括的识别信息,判定是否应该丢弃所接收到的数据。总线中继机21在判定为应该丢弃所接收到的数据的情况下,丢弃所接收到的数据。
总线中继机21在判定为不应该丢弃所接收到的数据的情况下,基于接收到的数据所包括的识别信息来确定所接收到的数据的发送目的地。总线中继机21在确定的发送目的地为ECU40、41、50、51中的一个ECU的情况下,经由通信总线42、52中的一个通信总线将接收到的数据向确定出接收到的数据的发送目的地发送。总线中继机21在确定的发送目的地为ECU3a、3b、3c中的一个ECU的情况下,将接收到的数据的形式从第二协议的形式转换到第一协议的形式,并将转换了形式的数据向ECU中继机20输出。转换了形式的数据包括示出总线中继机21所确定的发送目的地的发送目的地信息。
ECU中继机20在从总线中继机21被输入数据的情况下,将输入的数据向输入的数据所包括的发送目的地信息所示的发送目的地发送。
ECU中继机20具有收发部60a、60b、60c、输入输出部61、62、存储部63及调整部64。收发部60a、60b、60c各自连接于ECU3a、3b、3c。输入输出部61、62各自连接于总线中继机21。
收发部60a、60b、60c各自向ECU3a、3b、3c发送数据且从ECU3a、3b、3c接收数据。收发部60a、60b、60c各自作为接收部来发挥功能,ECU中继机20作为接收机来发挥功能。
输入输出部61将发送数据及保存数据向总线中继机21输出。从总线中继机21向ECU中继机20的输入输出部61输出数据。
从总线中继机21向ECU中继机20的输入输出部62输入对ECU中继机20的存储部63所存储的存储内容的变更进行指示的指示信号和请求表示该存储内容的信号的输出的请求信号。输入输出部62在被输入请求信号的情况下,将表示存储部63所存储的存储内容的信号向总线中继机21输出。
在存储部63存储有表示从收发部60a、60b、60c各自接收的数据的中继设定的设定信息。图3是表示设定信息的内容的图表。在设定信息中,作为收发部60a、60b、60c各自接收的数据的中继设定,设定中继的“允许”或“禁止”。在图3所示的设定信息中,收发部60a接收到的数据的中继被禁止,收发部60b、60c接收到的数据的中继被允许。
总线中继机21向输入输出部62输出对收发部60a、60b、60c各自接收的数据的中继设定的变更进行指示的指示信号。依据被输入到输入输出部62的指示信号,收发部60a、60b、60c各自接收的数据的中继设定单独地变更。例如,在将收发部60a接收的数据的中继设定变更为“允许”的指示信号被输入到输入输出部62的情况下,在设定信息中,收发部60a接收的数据的中继设定被变更为“允许”。
每当收发部60a、60b、60c各自接收数据时,ECU中继机20所进行的接收动作根据存储部63所存储的设定信息所示的中继设定而不同。
在存储部63针对收发部60a、60b、60c的各收发部存储有表示用于对以较短的时间间隔持续地发送不需要的数据的攻击即所谓的DoS攻击进行检测的三个计数值的计数值信息。设定绿色值、黄色值及红色值作为三个计数值。
图4是表示计数值信息的内容的图表。如图4所示,对于收发部60a、60b、60c各自接收的数据存储有绿色值、黄色值及红色值。这些值由调整部64单独地变更。
总线中继机21向ECU中继机20的输入输出部62输出对表示存储部63所存储的计数值信息的内容的计数值信号的输出进行请求的请求信号。ECU中继机20的输入输出部62在被输入请求信号的情况下,将表示计数值信息的内容的计数值信号向总线中继机21输出。
对于收发部60a、60b、60c各自接收的数据,在存储部63存储有第一令牌值及第二令牌值。调整部64对与收发部60a、60b、60c各自接收的数据相关的第一令牌值及第二令牌值进行调整。
图5是第一令牌值及第二令牌值的增减的说明图。以下,对与收发部60a接收的数据相关的第一令牌值及第二令牌值进行说明。对于第一令牌值及第二令牌值各自预先设定有上限值及下限值。第一令牌值及第二令牌值的上限值相同或大致相同。第一令牌值及第二令牌值的下限值为0。
调整部64每当经过预定时间时,执行使第一令牌值及第二令牌值增大的增大动作。另外,调整部64每当收发部60a接收数据时,执行接收动作,在接收动作中使第一令牌值及第二令牌值减小。
图6是增大动作的说明图。在存储部63存储有第一基准值。第一基准值为预先设定的自然数,且是固定的。在经过了预定时间的时刻下第一令牌值与第一基准值之和为第一令牌值的上限值以下的情况下,调整部64使第一令牌值增大第一基准值。
只要第一令牌值与第一基准值之和为第一令牌值的上限值以下,则调整部64使第一令牌值周期性地增大第一基准值。第一令牌值及第一基准值各自相当于第一变量值及第一预定值。
另外,在经过了预定时间的时刻下第一令牌值与第一基准值之和超过第一令牌值的上限值的情况下,调整部64将第一令牌值调整为第一令牌值的上限值。
调整部64每当经过预定时间时也使第二令牌值与第一令牌值同样地增大。在存储部63存储有第二基准值。第二基准值与第一基准值同样地为预先设定自然数,且是固定的。不过,第二基准值比第一基准值大。第一基准值例如为1000,第二基准值例如为1500。
在经过了预定时间的时刻下第二令牌值与第二基准值之和为第二令牌值的上限值以下的情况下,调整部64使第二令牌值增大第二基准值。
只要第二令牌值与第二基准值之和为第二令牌值的上限值以下,则调整部64使第二令牌值周期性地增大第二基准值。第二令牌值及第二基准值各自相当于第二变量值及第二预定值。
另外,在经过了预定时间的时刻下第二令牌值与第二基准值之和超过第二令牌值的上限值的情况下,调整部64将第二令牌值调整为第二令牌值的上限值。
图7是接收动作的说明图。如上所述,ECU中继机20每当收发部60a从ECU3a接收数据时,执行接收动作。根据存储部63所存储的设定信息所示的中继设定,接收动作不同。以下,将收发部60a接收到的数据的字节数记载为接收字节数。接收字节数为收发部60a接收到的数据的量,且为与该数据的量相应的值。接收字节数相当于数据值。
在收发部60a接收到500字节的数据的情况下,接收字节数为500。
在收发部60a接收的数据的中继设定为“允许”的情况下的接收动作中,在第一令牌值及第二令牌值各自为接收字节数以上时,调整部64使第一令牌值及第二令牌值各自减小接收字节数。另外,调整部64在存储部63所存储的计数值信息中使与收发部60a接收的数据相关的绿色值增大1。进而,ECU中继机20对收发部60a接收到的数据进行中继。
在收发部60a接收的数据的中继设定为“允许”的情况下的接收动作中,在第一令牌值小于接收字节数且第二令牌值为接收字节数以上时,调整部64不变更第一令牌值,且使第二令牌值减小接收字节数。另外,调整部64在存储部63所存储的计数值信息中使与收发部60a接收的数据相关的黄色值增大1。进而,ECU中继机20对收发部60a接收到的数据进行中继。
在收发部60a接收的数据的中继设定为“允许”的情况下的接收动作中,在第一令牌值及第二令牌值各自小于接收字节数时,调整部64不变更第一令牌值及第二令牌值。另外,调整部64在存储部63所存储的计数值信息中使与收发部60a接收的数据相关的红色值增大1。进而,ECU中继机20丢弃收发部60a接收到的数据。
在收发部60a接收的数据的中继设定为“禁止”的情况下的接收动作中,调整部64所进行的第一令牌值及第二令牌值的调整与在收发部60a接收的数据的中继设定为“允许”的情况下的接收动作中调整部64所进行的第一令牌值及第二令牌值的调整相同。
另外,在收发部60a接收的数据的中继设定为“禁止”的情况下的接收动作中,调整部64所进行的绿色值、黄色值及红色值的调整与在收发部60a接收的数据的中继设定为“允许”的情况下的接收动作中调整部64所进行的绿色值、黄色值及红色值的调整相同。
因此,只要减小之前的第一令牌值为接收字节数以上,则调整部64每当收发部60a接收数据时,使第一令牌值减小接收字节数。调整部64作为第一调整部而发挥功能。
另外,调整部64在收发部60a接收到数据的情况下减小之前的第一令牌值小于接收字节数时使黄色值增大1。因此,调整部64也作为第一计数器而发挥功能,黄色值为第一计数值。
在每单位时间接收的数据的接收字节数超过每单位时间增大的第一令牌值的幅度的情况下,减小之前的第一令牌值小于第一基准值,黄色值增大。每单位时间增大的第一令牌值的幅度是能够通过以第一基准值除以周期的长度而获得的值。因此,黄色值在每单位时间收发部60a接收的数据的量超过预定的第一阈值的情况下增大。
同样地,只要减小之前的第二令牌值为接收字节数以上,则调整部64每当收发部60a接收数据时使第二令牌值减小接收字节数。调整部64作为第二调整部而发挥功能。
另外,调整部64在收发部60a接收到数据的情况下减小之前的第二令牌值小于接收字节数时,使红色值增大1。因此,调整部64也作为第二计数器而发挥功能,红色值为第二计数值。
在每单位时间接收的数据的接收字节数超过每单位时间增大的第二令牌值的幅度的情况下,第二令牌值小于第二基准值,红色值增大。每单位时间增大的第二令牌值的幅度是能够通过以第二基准值除以周期的长度而获得的值。因此,红色值在每单位时间收发部60a接收的数据的量超过预定的第二阈值的情况下增大。第二基准值比第一基准值大,且使第一令牌值增大第一基准值的周期的长度与使第二令牌值增大第二基准值的周期的长度一致或大致一致。由此,第二阈值比第一阈值大。
此外,如上所述,调整部64每当经过预定时间时,使第一令牌值增大第一基准值,并且使第二令牌值增大第二基准值,第二基准值比第一基准值大。进而,在收发部60a接收到数据的情况下,调整部64使第一令牌值及第二令牌值减小相同的接收字节数。由此,第一令牌值易于达到小于接收字节数的状态,第二令牌值难以达到小于接收字节数的状态。因此,黄色值易于增大,红色值难以增大。在收发部60a受到DoS攻击的情况下,首先,黄色值增大,接着,红色值增大。在红色值增大的情况下,检测到DoS攻击。
在收发部60a接收的数据的中继设定为“禁止”的情况下的接收动作中,收发部60a接收到的数据与第一令牌值及第二令牌值无关地被丢弃或者作为保存数据而通过输入输出部61向总线中继机21输出。
在收发部60a接收的数据的中继设定为“禁止”的情况下,每当收发部60a接收N个数据时,输入输出部61将收发部60a接收到的N个数据中的一个数据作为保存数据向总线中继机21输出。具体地说,输入输出部61在输出保存数据之后,将收发部60a接收到的第N个数据作为保存数据再次输出。如上所述,总线中继机21保存从输入输出部61输入的保存数据。N是2以上的整数,且是固定的。
在对接收动作中收发部60a接收到的数据进行中继的情况下,在收发部60a接收到的数据所包括的发送目的地信息所示的发送目的地为ECU3b、3c中的一个ECU时,收发部60b、60c中的一个收发部将收发部60a接收到的数据向发送目的地信息所示的发送目的地发送。
在同样的情况下,在收发部60a接收到的数据所包括的发送目的地信息所示的发送目的地为ECU40、41、50、51中的一个ECU时,输入输出部62将收发部60a接收到的数据作为发送数据向总线中继机21输出。
与收发部60b、60c各自接收的数据相关的第一令牌值及第二令牌值和与收发部60a接收的数据相关的第一令牌值及第二令牌值同样地被调整。
通过在与收发部60a接收的数据相关的第一令牌值及第二令牌值的说明中将收发部60a替换成收发部60b,能够对与收发部60b接收的数据相关的第一令牌值及第二令牌值进行说明。同样地,通过在与收发部60a接收的数据相关的第一令牌值及第二令牌值的说明中将收发部60a替换成收发部60c,能够对与收发部60c接收的数据相关的第一令牌值及第二令牌值进行说明。
另外,收发部60b、60c各自涉及的增大动作及接收动作与收发部60a涉及的增大动作及接收动作相同。
通过在收发部60a涉及的增大动作及接收动作的说明中将收发部60a、60b及ECU3b各自替换成收发部60b、60a及ECU3a,能够对收发部60b涉及的增大动作及接收动作进行说明。同样地,通过在收发部60a涉及的增大动作及接收动作的说明中将收发部60a、60c及ECU3c各自替换成收发部60c、60a及ECU3a,能够对收发部60c涉及的增大动作及接收动作进行说明。
收发部60a、60b、60c各自对应于ECU3a、3b、3c。总线中继机21向ECU中继机20的输入输出部61输出数据。在输入输出部61被输入数据的情况下,收发部60a、60b、60c中的一个收发部将输入到输入输出部61的数据向发送目的地发送。对输入到输入输出部61的数据进行发送的收发部是与该数据所包括的发送目的地信息所示的发送目的地对应的收发部。例如,在发送目的地信息将ECU3a示出为发送目的地的情况下,收发部60a将输入到输入输出部61的数据向ECU3a发送。
如图2所示,总线中继机21具有控制部70、输入输出部71、72、存储部73及通信部74、75。这些部分单独地连接于内部总线76。除了内部总线76之外,输入输出部71、72还各自连接于ECU中继机20的输入输出部61、62。除了内部总线76之外,通信部74、75还各自连接于通信总线42、52。
ECU中继机20的输入输出部61向总线中继机21的输入输出部71输出发送数据及保存数据。总线中继机21的输入输出部71依照控制部70的指示而将数据向ECU中继机20的输入输出部61输出。
ECU中继机20的输入输出部62将计数值信号向总线中继机21的输入输出部72输出。如上所述,计数值信号表示ECU中继机20的存储部63所存储的计数值信息的内容。总线中继机21的输入输出部71依照控制部70的指示而将指示信号及请求信号向ECU中继机20的输入输出部61输出。
通信部74对ECU40、41中的一个ECU经由通信总线42发送的数据进行接收。另外,通信部74依照控制部70的指示,经由通信总线42向ECU40、41发送数据。
同样地,通信部75对ECU50、51中的一个ECU经由通信总线52发送的数据进行接收。另外,通信部75依照控制部70的指示,经由通信总线52向ECU50、51发送数据。
在存储部73存储有计算机程序P1。控制部70具有未图示的CPU(CentralProcessing Unit:中央处理单元)。控制部70的CPU通过执行计算机程序P1来执行第一中继处理、第二中继处理、保存处理及监视处理。
第一中继处理是与从ECU中继机20的输入输出部61输入到输入输出部71的数据的中继相关的处理。第二中继处理是与通信部74、75中的一个通信部接收到的数据的中继相关的处理。保存处理是对从ECU中继机20的输入输出部61输入到总线中继机21的输入输出部61的保存数据进行保存的处理。监视处理是对ECU中继机20的存储部63所存储的计数值信息所示的黄色值及红色值即收发部60a、60b、60c所进行的数据的接收的状态进行监视的处理。计算机程序P1用于使控制部70执行第一中继处理、第二中继处理、保存处理及监视处理。
此外,计算机程序P1也可以以控制部70的CPU能够读取的方式存储在存储介质A1中。在该情况下,通过未图示的读取装置从存储介质A1读取的计算机程序P1被存储于存储部73。存储介质A1为光盘、软盘、磁盘、磁光盘或半导体存储器等。光盘为CD(CompactDisc)-ROM(Read Only Memory)、DVD(Digital Versatile Disc)-ROM或BD(Blu-ray(注册商标)Disc)等。磁盘例如为硬盘。另外,也可以从与未图示的通信网连接的未图示的外部装置下载计算机程序P1并将下载的计算机程序P1存储到存储部73。
控制部70每当输入输出部71被输入发送数据时执行第一中继处理。在第一中继处理中,控制部70基于输入到输入输出部71的发送数据所包括的发送目的地信息,从通信部74、75中确定对发送数据进行发送的通信部。这相当于,基于发送目的地信息而从通信总线42、52中确定对发送数据进行发送的介质。
接着,控制部70将输入到输入输出部71的发送数据的形式从第一协议的形式转换成第二协议的形式。并且,控制部70对所确定的通信部指示变更了形式的发送数据的发送。由此,控制部70所确定的通信部经由通信总线42、52中的一个通信总线来发送转换了形式的发送数据。例如,在控制部70所确定的通信部为通信部74的情况下,控制部70对通信部74指示发送数据的发送,通信部74经由通信总线42来对发送数据进行发送。
如上所述,发送数据为收发部60a、60b、60c中的一个收发部接收到的数据。因此,通信部74、75各自作为发送部而发挥功能。
控制部70所确定的通信部发送的发送数据的识别信息基于输入到输入输出部71的发送数据所包括的发送目的地信息来生成。
控制部70在指示了发送数据的发送之后结束第一中继处理。
控制部70每当通信部74、75中的一个通信部接收数据时执行第二中继处理。控制部70基于通信部74、75中的一个通信部接收到的数据所包括的识别信息,判定是否应该丢弃通信部74、75中的一个通信部接收到的数据。控制部70在判定为应该丢弃数据的情况下,丢弃通信部74、75中的一个通信部接收到的数据,并结束第二中继处理。
控制部70在判定为不应该丢弃数据的情况下,基于通信部74、75中的一个通信部接收到的数据所包括的识别信息,确定该数据的发送目的地。控制部70在所确定的发送目的地为ECU40、41中的一个ECU的情况下,对通信部74指示通信部75接收到的数据的发送。由此,通信部74经由通信总线42向控制部70所确定的发送目的地发送通信部75接收到的数据。控制部70在所确定的发送目的地为ECU50、51中的一个ECU的情况下,对通信部75指示通信部74接收到的数据的发送。由此,通信部75经由通信总线52向控制部70所确定的发送目的地发送通信部74接收到的数据。
控制部70在对通信部74或通信部75指示了数据的发送之后结束第二中继处理。
控制部70在基于识别信息而确定的发送目的地为ECU3a、3b、3c中的一个ECU的情况下,将通信部74、75中的一个通信部接收到的数据的形式从第二协议的形式转换成第一协议的形式,并对输入输出部71指示转换了形式的数据的发送。由此,输入输出部71将控制部70转换了形式的数据向ECU中继机20的输入输出部61输出。转换了形式的数据包括表示控制部70所确定的发送目的地的发送目的地信息。
在ECU中继机20中,在如上所述地输入输出部61被输入数据的情况下,与该数据所包括的发送目的地信息所示的发送目的地对应的收发部将输入到输入输出部61的数据向发送目的地发送。
控制部70在对输入输出部71指示了变更了形式的数据的输出之后结束第二中继处理。
控制部70每当ECU中继机20的输入输出部61向总线中继机21的输入输出部71输出保存数据时执行保存处理。在保存处理中,控制部70将输入到输入输出部71的保存数据保存到存储部73,并结束保存处理。
图8是表示监视处理的步骤的流程图。总线中继机21的控制部70每当经过监视周期时执行监视处理。监视周期设定为短周期或长周期。监视周期通过控制部70来变更为短周期或长周期。短周期及长周期各自预先设定,且是固定的。短周期比长周期短。短周期例如为1秒,长周期例如为10秒。长周期及短周期各自相当于第一周期及第二周期。
另外,不仅是ECU中继机20的存储部63,而且在总线中继机21的存储部73中也存储有计数值信息。
在监视处理中,如后文所述地,对输入输出部72指示对计数值信号的发送进行请求的请求信号的输出,输入输出部72将请求信号向ECU中继机20的输入输出部62输出。其后,输入输出部62输出的计数值信号被输入到输入输出部72。
对于收发部60a、60b、60c各自接收的数据,存储部73所存储的计数值信息的绿色值、黄色值及红色值各自每当计数值信号输入到输入输出部72时通过控制部70而更新为输入到输入输出部72的计数值信号所示的绿色值、黄色值及红色值。监视处理反复执行。因此,对于收发部60a、60b、60c各自接收的数据,总线中继机21的存储部73所存储的计数值信息所示的绿色值、黄色值及红色值各自在监视处理被执行的时刻下为在上次的监视处理中输入到输入输出部72的计数值信号所示的绿色值、黄色值及红色值。
在监视处理中,控制部70首先对输入输出部72指示对计数值信号的输出进行请求的请求信号的输出(步骤S1)。由此,输入输出部72向ECU中继机20的输入输出部62输出请求信号。ECU中继机20的输入输出部62在被输入了请求信号的情况下,将计数值信号向输入输出部72输出。如上所述,计数值信号对于收发部60a、60b、60c各自接收的数据示出存储部63所存储的计数值信息的内容即绿色值、黄色值及红色值。控制部70从输入输出部72获取计数值信号所示的内容即存储部63所存储的计数值信息所示的绿色值、黄色值及红色值。
控制部70在执行步骤S1之后判定计数值信号是否输入到输入输出部72(步骤S2)。控制部70在判定为计数值信号输入到输入输出部72的情况下(S2:“否”),再次执行步骤S2,待机直到计数值信号输入到输入输出部72为止。
控制部70在判定为计数值信号输入到输入输出部72的情况下(S2:“是”),对于收发部60a、60b、60c各自接收的数据,从存储部73读取总线中继机21的计数值信息即在上次的监视处理中输入到输入输出部72的计数值信号所示的绿色值、黄色值及红色值(步骤S3)。
接着,控制部70对于收发部60a、60b、60c中的至少一个收发部接收的数据判定ECU中继机20的存储部63所存储的计数值信息所示的红色值是否增大(步骤S4)。具体地说,在步骤S4中,控制部70对于收发部60a、60b、60c中的至少一个收发部接收的数据,判定执行本次的监视处理的时刻下的ECU中继机20的红色值是否大于执行上次的监视处理的时刻下的ECU中继机20的红色值。
控制部70在对于收发部60a、60b、60c中的至少一个收发部接收的数据判定为红色值增大的情况下(S4:“是”),对输入输出部72指示对红色值增大的数据的中继设定向“禁止”的变更进行指示的指示信号的输出(步骤S5)。由此,输入输出部72向ECU中继机20的输入输出部62输出对红色值增大的数据的中继设定向“禁止”的变更进行指示的指示信号。在指示信号输入到输入输出部62的情况下,在存储部63的设定信息中将红色值增大的数据的中继设定变更为“禁止”。
例如,在控制部70对于收发部60c接收的数据判定为红色值增大的情况下,收发部60c接收的数据的中继设定变更为“禁止”。
控制部70在执行步骤S5之后将监视周期变更为短周期(步骤S6)。
控制部70在对于收发部60a、60b、60c各自接收的数据判定为红色值未增大的情况下(S4:“否”),对输入输出部72指示对收发部60a、60b、60c各自接收的数据的中继设定向“允许”的变更进行指示的指示信号的输出(步骤S7)。由此,输入输出部72向ECU中继机20的输入输出部62输出对收发部60a、60b、60c各自接收的数据的中继设定向“允许”的变更进行指示的指示信号。在指示信号输入到输入输出部62的情况下,在存储部63的设定信息中将收发部60a、60b、60c各自接收的数据的中继设定变更为“允许”。
接着,控制部70对于收发部60a、60b、60c中的至少一个收发部接收的数据判定ECU中继机20的存储部63所存储的计数值信息所示的黄色值是否增大(步骤S8)。即,在步骤S7中,控制部70对于收发部60a、60b、60c中的至少一个收发部接收的数据,判定执行本次的监视处理的时刻下的ECU中继机20的黄色值是否大于执行上次的监视处理的时刻下的ECU中继机20的黄色值。
控制部70在对于收发部60a、60b、60c中的至少一个收发部接收的数据判定为黄色值增大的情况下(S8:“是”),将监视周期变更为短周期(步骤S9)。控制部70在对于收发部60a、60b、60c各自接收的数据判定为黄色值未增大的情况下(S8:“否”),将监视周期变更为长周期(步骤S10)。
控制部70在执行步骤S6、S9、S10中的一个步骤之后,将总线中继机21的计数值信息的内容更新为在本次的监视处理中输入到输入输出部72的计数值信号所示的内容(步骤S11)。由此,对于收发部60a、60b、60c各自接收的数据,存储部73所存储的计数值信息的绿色值、黄色值及红色值各自更新为输入到输入输出部72的计数值信号所示的绿色值、黄色值及红色值。
控制部70在执行步骤S11之后结束监视处理。
图9是总线中继机21的状态转移的说明图。在周期性地执行的监视处理中,总线中继机21的状态向各种状态转移。对于收发部60a、60b、60c各自接收的数据,在黄色值及红色值这两方未增大的情况下,总线中继机21为通常状态。在总线中继机21为通常状态的情况下,总线中继机21的控制部70以长周期执行监视处理,以长周期获取并监视ECU中继机20的计数值信息所示的黄色值及红色值。
在总线中继机21为通常状态的情况下,假设为,总线中继机21的控制部70对于收发部60a、60b、60c中的至少一个收发部接收的数据判定为黄色值增大且对于收发部60a、60b、60c各自接收的数据判定为红色值未增大。此时,总线中继机21的状态从通常状态转换到监视强化状态。在总线中继机21为监视强化状态的情况下,总线中继机21的控制部70将监视周期从长周期缩短为短周期,以短周期执行监视处理。其结果是,控制部70以短周期获取并监视ECU中继机20的计数值信息所示的黄色值及红色值。控制部70作为缩短部而发挥功能。
在总线中继机21为监视强化状态的情况下,总线中继机21的控制部70在对于收发部60a、60b、60c分别判定为黄色值及红色值未增大时,总线中继机21的状态从监视强化状态返回到通常状态。因此,控制部70使监视周期从短周期返回到长周期。
在总线中继机21为监视强化状态的情况下,总线中继机21的控制部70在对于收发部60a、60b、60c中的至少一个收发部判定为红色值增大时,总线中继机21的状态从监视强化状态转移到中继禁止状态。在总线中继机21为中继禁止状态的情况下,将红色值增大的数据的中继设定变更为“禁止”。由此,红色值增大的数据的中继被禁止。其结果是,总线中继机21的通信部74、75各自在收发部60a、60b、60c接收到的数据中停止红色值增大的数据的发送。例如,在与收发部60a接收到的数据相关的红色值增大的情况下,收发部60a接收的数据的中继设定被变更为“禁止”,通信部74、75各自停止收发部60a接收到的数据的发送。由此,抑制与DoS攻击相关的数据由通信部74、75发送的次数。
如上所述,对于收发部60a、60b、60c各自接收到的数据中中继设定为“禁止”的数据,每当接收N个数据时,接收到的N个数据中的一个数据被作为保存数据从ECU中继机20的输入输出部61向总线中继机21的输入输出部71输出。ECU中继机20的控制部70将输入到输入输出部71的保存数据保存到存储部73。
例如,对于收发部60a接收到的数据,在中继设定为“禁止”的情况下,每当收发部60a接收N个数据时,收发部60a接收到的N个数据中的一个数据被作为保存数据从ECU中继机20的输入输出部61向总线中继机21的输入输出部71输出。ECU中继机20的控制部70将输入到输入输出部71的保存数据保存到存储部73。保持于存储部73的数据例如用于分析DoS攻击。保存于存储部73的数据例如通过未图示的无线设备而以无线方式发送到设置在车辆的外侧的服务器。控制部70也作为保存部而发挥功能。
即使在总线中继机21为中继禁止状态的情况下,控制部70也以短周期执行监视处理。因此,控制部70在对于收发部60a、60b、60c中的至少一个收发部判定为红色值增大之后,也以监视周期获取并监视ECU中继机20的计数值信息所示的黄色值及红色值,并以监视周期来判定红色值是否增大。在此,控制部70将监视周期调整为短周期。
在总线中继机21为中继禁止状态的情况下,假设为,总线中继机21的控制部70对于收发部60a、60b、60c中的至少一个收发部接收的数据判定为黄色值增大,并且,对于收发部60a、60b、60c各自接收的数据判定为红色值未增大。此时,总线中继机21的状态从中继禁止状态返回到监视强化状态。其结果是,总线中继机21的通信部74、75各自再次开始收发部60a、60b、60c接收到的数据中已停止的数据的发送。
另外,在总线中继机21为中继禁止状态的情况下,总线中继机21的控制部70在对于收发部60a、60b、60c各自接收的数据判定为黄色值及红色值未增大的情况下,总线中继机21的状态从中继禁止状态返回到通常状态。其结果是,总线中继机21的通信部74、75各自再次开始收发部60a、60b、60c接收到的数据中已停止的数据的发送。
在总线中继机21为通常状态的情况下,在总线中继机21的控制部70对于收发部60a、60b、60c中的至少一个收发部接收的数据判定为红色值增大时,总线中继机21的状态从通常状态转移到监视强化状态。
如上所述,总线中继机21的控制部70以短周期或长周期执行对ECU中继机20的收发部60a、60b、60c所进行的接收的状态进行监视的监视处理。因此,总线中继机21作为监视机而发挥功能,中继装置2作为接收装置而发挥功能。
另外,控制部70通过在周期性地执行的监视处理中对输入输出部72指示请求信号的输出,对于收发部60a、60b、60c各自接收的数据获取并监视ECU中继机20的计数值信息所示的绿色值、黄色值及红色值。进而,控制部70判定黄色值及红色值各自是否增大。因此,控制部70也作为第一判定部及第二判定部而发挥功能。
在如上所述地构成的中继装置2中,在总线中继机21的控制部70判定为与收发部60a、60b、60c中的至少一个收发部相关的红色值增大的情况下,检测到DoS攻击。在总线中继机21为通常状态的情况下,受到DoS攻击的可能性较低,监视周期被调整为长周期,因此与DoS攻击的监视相关的控制部70的处理量较小。在总线中继机21为监视强化状态的情况下,受到DoS攻击的可能性较高,监视周期被调整为短周期,因此提前地检测DoS攻击。
监视周期为执行监视处理的周期,因此相当于获取ECU中继机20的存储部63所存储的计数值信息所示的绿色值、黄色值及红色值的周期。
另外,在总线中继机21的状态从监视强化状态转移到通常状态的情况下,受到DoS攻击的可能性降低,监视周期从短周期返回到长周期,因此与DoS攻击的监视相关的控制部70的处理量更小。
进而,在总线中继机21的状态为中继禁止状态的情况下,在DoS攻击停止时,即,在控制部70判定为与收发部60a、60b、60c各自接收到的数据相关的红色值未增大时,将设定成“禁止”的中继设定变更为“允许”。总线中继机21的状态为中继禁止状态的情况下的监视周期为短周期,因此能够将中继设定提前地从“禁止”变更为“允许”而提前地再次开始中继设定为“禁止”的数据的处理。
(实施方式2)
图10是表示实施方式2中的监视处理的步骤的流程图。
以下,针对实施方式2,对与实施方式1不同的点进行说明。对于除去后述的结构以外的其他结构,由于与实施方式1相同,对与实施方式1相同的结构部标注与实施方式1相同的附图标记并省略其说明。
在对实施方式1中的通信系统1与实施方式2中的通信系统1进行了比较的情况下,监视处理的步骤不同。总线中继机21的控制部70以监视周期执行实施方式2中的监视处理。实施方式2中的监视处理的步骤S21~S25、S27~S31各自与实施方式1中的监视处理的步骤S1~S5、S7~S11相同。由此,省略步骤S21~S25、S27~S31的详细的说明。
控制部70在执行步骤S25之后,将监视周期变更为长周期(步骤S26)。控制部70在执行步骤S26、S29、S30中的一个步骤之后执行步骤S31。
在实施方式2中,与实施方式1同样地,即使在总线中继机21为中继禁止状态的情况下,控制部70也以监视周期执行监视处理。因此,控制部70在对于收发部60a、60b、60c中的至少一个收发部判定为红色值增大之后,也以监视周期获取并监视ECU中继机20的计数值信息所示的黄色值及红色值,并以监视周期来判定红色值是否增大。在实施方式2中,在总线中继机21为中继禁止状态的情况下,控制部70不将监视周期调整为短周期,而是调整为长周期。因此,与检测到DoS攻击之后的DoS攻击的监视相关的处理量较小。
实施方式2中的中继装置2同样地获得实施方式1中的中继装置2所实现的效果之中除去在总线中继机21为中继禁止状态的情况下通过将监视周期调整为短周期而获得的效果之外的其他效果。
此外,在实施方式1、2中的总线中继机21为中继禁止状态的情况下,也可以是,在接收红色值增大的数据的收发部的数量减小时,将红色值不再增大的数据的中继设定变更为“允许”。例如,也可以是,控制部70在判定为与收发部60a、60b各自接收的数据相关的红色值增大之后的监视处理中判定为仅与收发部60b接收的数据相关的红色值增大的情况下,将收发部60a接收的数据的中继设定从“禁止”变更为“允许”。
另外,设定为监视周期的周期的数量不限定于2。在监视处理中,也可以是,控制部70在判定为与收发部60a、60b、60c各自接收的数据相关的黄色值增大的情况下,将监视周期调整为例如比当前的周期短的周期。另外,也可以是,控制部70在判定为与收发部60a、60b、60c各自接收的数据相关的黄色值未增大的情况下,将监视周期调整为比当前的周期长的周期。
进而,也可以是,总线中继机21的控制部70对于收发部60a、60b、60c各自接收的数据单独地执行监视处理。在该情况下,控制部70执行三个监视处理。在各监视处理中,控制部70判定与对应于监视处理的收发部接收到的数据相关的红色值及黄色值各自是否增大。另外,控制部70对输入输出部72指示对与监视处理对应的收发接收到的数据的中继设定向“允许”或“禁止”的变更进行指示的指示信号的输出。进而,控制部70针对三个监视处理,将监视周期单独地设为短周期或长周期。控制部70针对总线中继机的计数值信息的内容仅更新与对应于监视周期的收发部接收的数据相关的绿色值、黄色值及红色值。总线中继机21的状态也根据收发部60a、60b、60c各自接收的数据而不同。
另外,ECU中继机20所具有的收发部的数量不限定于3,也可以是1、2或4以上。
进而,与总线中继机21连接的通信总线的数量不限定于2,也可以是1或3以上。进而,与一个通信总线连接的ECU的数量不限定于2,也可以是1或3以上。另外,与一个通信总线连接的ECU的数量也可以与连接于其他通信总线中的至少一个通信总线的ECU的数量不同。
另外,对于接收动作的第一令牌值的调整,也可以是,在第一令牌值小于接收字节数的情况下,调整部64将第一令牌值调整为例如下限值(=0)。同样地,对于接收动作的第二令牌值的调整,也可以是,在第二令牌值小于接收字节数的情况下,调整部64将第二令牌值调整为例如下限值(=0)。进而,第一令牌值及第二令牌值各自减小的值不限定于接收字节数,只要是与收发部接收到的数据的量相应的数据值即可。数据值可以是通过将收发部接收到的数据的字节值除以1000来计算的值。
应该认为,所公开的实施方式1、2在全部的方面均为示例,而不是限制性的内容。本发明的范围不由上述的意思示出,而由权利要求书示出,意在包含与权利要求书相等的意思及范围内的全部的变更。
附图标记说明
2中继装置(接收装置)
20ECU中继机(接收机)
21总线中继机(监视机)
60a、60b、60c收发部(接收部)
64调整部(第一调整部、第一计数器、第二调整部、第二计数器)
70控制部(第一判定部、第二判定部、缩短部、保存部)
74、75通信部(发送部)
P1计算机程序

Claims (9)

1.一种接收装置,具备:
接收机,具有接收数据的接收部;以及
监视机,对该接收部所进行的接收的状态进行监视,
所述接收装置的特征在于,
所述接收机具有:
第一调整部,使第一变量值周期性地增大第一预定值,并且,每当所述接收部接收数据时,使所述第一变量值减小与该接收部接收到的数据的量相应的数据值;
第一计数器,在所述接收部接收到数据的情况下由该第一调整部减小之前的所述第一变量值小于所述数据值时,使第一计数值增大;
第二调整部,使第二变量值周期性地增大比所述第一预定值大的第二预定值,并且,每当所述接收部接收数据时,使所述第二变量值减小所述数据值;以及
第二计数器,在所述接收部接收到数据的情况下由该第二调整部减小之前的所述第二变量值小于所述数据值时,使第二计数值增大,
所述监视机具有:
第一判定部,反复监视所述第一计数值,判定该第一计数值是否增大;
第二判定部,周期性地监视所述第二计数值,判定该第二计数值是否增大;以及
缩短部,在由所述第一判定部判定为所述第一计数值增大的情况下,缩短所述第二判定部对所述第二计数值进行监视的监视周期。
2.根据权利要求1所述的接收装置,其特征在于,
在由所述第一判定部判定为所述第一计数值增大的情况下,所述监视机的所述缩短部将所述监视周期从预定的第一周期缩短为比该第一周期短的预定的第二周期,
在所述监视周期为该第二周期的状态下由所述第一判定部判定为所述第一计数值未增大的情况下,所述监视机的所述缩短部使所述监视周期返回到所述第一周期。
3.根据权利要求1或2所述的接收装置,其特征在于,
所述监视机的所述第二判定部在判定为所述第二计数值增大之后也以所述监视周期来判定所述第二计数值是否增大,
在由所述第一判定部判定为所述第一计数值增大的情况下,所述监视机的所述缩短部将所述监视周期从预定的第一周期缩短为比该第一周期短的第二周期,
在由所述第二判定部判定为所述第二计数值增大之后,所述监视机的所述缩短部将所述监视周期调整为所述第二周期。
4.根据权利要求1或2所述的接收装置,其特征在于,
所述监视机的所述第二判定部在判定为所述第二计数值增大之后以所述监视周期来判定所述第二计数值是否增大,
在由所述第一判定部判定为所述第一计数值增大的情况下,所述监视机的所述缩短部将所述监视周期从预定的第一周期缩短为比该第一周期短的预定的第二周期,
在由所述第二判定部判定为所述第二计数值增大之后,所述监视机的所述缩短部将所述监视周期调整为所述第一周期。
5.根据权利要求1~4中任一项所述的接收装置,其特征在于,
所述监视机具有对所述接收机的所述接收部接收到的数据进行发送的发送部,
在由所述第二判定部判定为所述第二计数值增大的情况下,该发送部停止所述接收部接收到的数据的发送。
6.根据权利要求5所述的接收装置,其特征在于,
在停止所述发送的状态下由所述第二判定部判定为所述第二计数值未增大的情况下,所述发送部再次开始所述发送。
7.根据权利要求1~6中任一项所述的接收装置,其特征在于,
所述监视机具有保存部,在由所述第二判定部判定为所述第二计数值增大之后,每当对所述接收部接收到的N个数据进行接收时,所述保存部对所述接收部接收到的N个数据中的一个数据进行保存,其中N为2以上的整数。
8.一种监视机,周期性地监视数据的接收状态,所述监视机的特征在于,具备:
第一判定部,反复监视在每单位时间接收的数据的量超过第一阈值的情况下增大的第一计数值,并判定该第一计数值是否增大;
第二判定部,周期性地监视在每单位时间接收的数据的量超过比所述第一阈值大的第二阈值的情况下增大的第二计数值,并判定该第二计数值是否增大;以及
缩短部,在由所述第一判定部判定为所述第一计数值增大的情况下,缩短所述第二判定部对所述第二计数值进行监视的监视周期。
9.一种计算机程序,其特征在于,使计算机执行如下的处理:
反复获取在每单位时间接收的数据的量超过第一阈值的情况下增大的第一计数值;
判定该第一计数值是否增大;
周期性地获取在每单位时间接收的数据的量超过比所述第一阈值大的第二阈值的情况下增大的第二计数值;以及
在判定为所述第一计数值增大的情况下,缩短获取所述第二计数值的周期。
CN201880044348.7A 2017-07-19 2018-06-28 接收装置、监视机及记录介质 Active CN110998576B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017-140247 2017-07-19
JP2017140247A JP6743778B2 (ja) 2017-07-19 2017-07-19 受信装置、監視機及びコンピュータプログラム
PCT/JP2018/024481 WO2019017174A1 (ja) 2017-07-19 2018-06-28 受信装置、監視機及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
CN110998576A true CN110998576A (zh) 2020-04-10
CN110998576B CN110998576B (zh) 2023-05-23

Family

ID=65016612

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880044348.7A Active CN110998576B (zh) 2017-07-19 2018-06-28 接收装置、监视机及记录介质

Country Status (5)

Country Link
US (1) US11637718B2 (zh)
JP (1) JP6743778B2 (zh)
CN (1) CN110998576B (zh)
DE (1) DE112018003697T5 (zh)
WO (1) WO2019017174A1 (zh)

Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152204A (ja) * 2000-11-15 2002-05-24 Hitachi Information Systems Ltd ネットワーク監視装置と方法およびネットワーク監視プログラム
JP2004320636A (ja) * 2003-04-18 2004-11-11 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
CN1674558A (zh) * 2004-03-25 2005-09-28 株式会社日立制作所 信息中继装置和数据流统计信息收集方法
JP2006237892A (ja) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
JP2007116405A (ja) * 2005-10-20 2007-05-10 Alaxala Networks Corp 異常トラヒックの検出方法およびパケット中継装置
US20070140275A1 (en) * 2005-12-21 2007-06-21 Chris Bowman Method of preventing denial of service attacks in a cellular network
US20070153689A1 (en) * 2006-01-03 2007-07-05 Alcatel Method and apparatus for monitoring malicious traffic in communication networks
US20070245417A1 (en) * 2006-04-17 2007-10-18 Hojae Lee Malicious Attack Detection System and An Associated Method of Use
CN101917445A (zh) * 2010-08-27 2010-12-15 电子科技大学 软交换平台下号码段的拒绝服务攻击检测方法
WO2013093591A1 (en) * 2011-12-21 2013-06-27 Toyota Jidosha Kabushiki Kaisha Vehicle network monitoring method and apparatus
JP2013223005A (ja) * 2012-04-13 2013-10-28 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃検出装置
CN104956626A (zh) * 2013-01-28 2015-09-30 日立汽车系统株式会社 网络装置以及数据收发系统
CN105230037A (zh) * 2013-05-22 2016-01-06 三菱电机株式会社 监视系统、设备管理装置、监视方法以及程序
CN105471933A (zh) * 2014-08-07 2016-04-06 腾讯科技(深圳)有限公司 服务器过载保护方法、服务器过载保护系统及服务器
JP2016143963A (ja) * 2015-01-30 2016-08-08 株式会社デンソー 車載通信システム
EP3110103A1 (en) * 2015-06-24 2016-12-28 Verisign, Inc. Systems and methods for automatically mitigating denial of service attacks
US9705678B1 (en) * 2014-04-17 2017-07-11 Symantec Corporation Fast CAN message authentication for vehicular systems

Patent Citations (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152204A (ja) * 2000-11-15 2002-05-24 Hitachi Information Systems Ltd ネットワーク監視装置と方法およびネットワーク監視プログラム
JP2004320636A (ja) * 2003-04-18 2004-11-11 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
CN1674558A (zh) * 2004-03-25 2005-09-28 株式会社日立制作所 信息中继装置和数据流统计信息收集方法
JP2006237892A (ja) * 2005-02-23 2006-09-07 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
JP2007116405A (ja) * 2005-10-20 2007-05-10 Alaxala Networks Corp 異常トラヒックの検出方法およびパケット中継装置
US20070140275A1 (en) * 2005-12-21 2007-06-21 Chris Bowman Method of preventing denial of service attacks in a cellular network
US20070153689A1 (en) * 2006-01-03 2007-07-05 Alcatel Method and apparatus for monitoring malicious traffic in communication networks
US20070245417A1 (en) * 2006-04-17 2007-10-18 Hojae Lee Malicious Attack Detection System and An Associated Method of Use
CN101460983A (zh) * 2006-04-17 2009-06-17 恒接信息科技公司 恶意攻击检测系统和相关的使用方法
CN101917445A (zh) * 2010-08-27 2010-12-15 电子科技大学 软交换平台下号码段的拒绝服务攻击检测方法
WO2013093591A1 (en) * 2011-12-21 2013-06-27 Toyota Jidosha Kabushiki Kaisha Vehicle network monitoring method and apparatus
CN104012065A (zh) * 2011-12-21 2014-08-27 丰田自动车株式会社 车辆网络监测方法及车辆网络监测装置
US20150066239A1 (en) * 2011-12-21 2015-03-05 Toyota Jidosha Kabushiki Kaisha Vehicle network monitoring method and apparatus
JP2013223005A (ja) * 2012-04-13 2013-10-28 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃検出装置
CN104956626A (zh) * 2013-01-28 2015-09-30 日立汽车系统株式会社 网络装置以及数据收发系统
CN105230037A (zh) * 2013-05-22 2016-01-06 三菱电机株式会社 监视系统、设备管理装置、监视方法以及程序
US9705678B1 (en) * 2014-04-17 2017-07-11 Symantec Corporation Fast CAN message authentication for vehicular systems
CN105471933A (zh) * 2014-08-07 2016-04-06 腾讯科技(深圳)有限公司 服务器过载保护方法、服务器过载保护系统及服务器
JP2016143963A (ja) * 2015-01-30 2016-08-08 株式会社デンソー 車載通信システム
EP3110103A1 (en) * 2015-06-24 2016-12-28 Verisign, Inc. Systems and methods for automatically mitigating denial of service attacks

Also Published As

Publication number Publication date
CN110998576B (zh) 2023-05-23
JP6743778B2 (ja) 2020-08-19
US11637718B2 (en) 2023-04-25
WO2019017174A1 (ja) 2019-01-24
JP2019021129A (ja) 2019-02-07
US20200145249A1 (en) 2020-05-07
DE112018003697T5 (de) 2020-04-02

Similar Documents

Publication Publication Date Title
US10693889B2 (en) Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
US10931634B2 (en) Security apparatus, attack detection method, and storage medium
JP6836340B2 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法
CN111934966B (zh) 不正常检测电子控制单元、车载网络系统以及不正常检测方法
US10986093B2 (en) Monitoring device, monitoring method, and computer program
US9225544B2 (en) Communication system and communication method
US20150019897A1 (en) Communication system, relay device, and method for controlling power supply
EP2852100A1 (en) Vehicle-specific network communication management device and communication management method
CN110610092A (zh) 车载网络系统、网关装置以及不正常检测方法
US11336618B2 (en) Security apparatus, attack detection method, and storage medium
WO2018110046A1 (ja) 制御装置、制御システム、制御方法、制御プログラムおよび記憶媒体
US10432496B2 (en) Apparatus and method for controlling message communications load
US20200274729A1 (en) In-vehicle communication device, in-vehicle communication system and in-vehicle communication method
US10447384B2 (en) Communication apparatus, communication method, and program
CN110998576A (zh) 接收装置、监视机及计算机程序
CN108632242B (zh) 通信装置及接收装置
EP3273656A1 (en) Communications system
KR102204954B1 (ko) Can 컨트롤러 및 이를 이용한 데이터 전송 방법
WO2020105657A1 (ja) 車載中継装置及び中継方法
JP7420285B2 (ja) 車載装置、不正検知方法及びコンピュータプログラム
WO2023149205A1 (ja) 車載中継装置、車載中継方法および車載中継プログラム
CN113392102A (zh) 网关装置和计算机可读介质
WO2017056395A1 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant