CN112654969A - 信息处理装置、数据分析方法及程序 - Google Patents
信息处理装置、数据分析方法及程序 Download PDFInfo
- Publication number
- CN112654969A CN112654969A CN201980057865.2A CN201980057865A CN112654969A CN 112654969 A CN112654969 A CN 112654969A CN 201980057865 A CN201980057865 A CN 201980057865A CN 112654969 A CN112654969 A CN 112654969A
- Authority
- CN
- China
- Prior art keywords
- information
- data
- log
- environment
- environmental information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 18
- 230000010365 information processing Effects 0.000 title claims description 14
- 238000007405 data analysis Methods 0.000 title claims description 4
- 230000007613 environmental effect Effects 0.000 claims abstract description 62
- 238000012545 processing Methods 0.000 claims abstract description 26
- 238000004891 communication Methods 0.000 claims description 42
- 230000008859 change Effects 0.000 claims description 5
- 230000003068 static effect Effects 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 description 50
- 238000012544 monitoring process Methods 0.000 description 35
- 238000004458 analytical method Methods 0.000 description 27
- 238000010586 diagram Methods 0.000 description 17
- 238000001514 detection method Methods 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 7
- 230000001133 acceleration Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000000630 rising effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000010687 lubricating oil Substances 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0736—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
- G06F11/0739—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/40—Data acquisition and logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/81—Threshold
Abstract
具有:存储处理部,将由一个或多个设备中的任意一个设备输出的第1数据与第1环境信息相关联地保存在存储部中,所述第1环境信息与所述第1数据相关;及判断部,在从一个或多个设备中的任意一个设备接收到第2数据的情况下,获取与所述第2数据相关的第2环境信息,并根据接收到的所述第2数据和获取到的所述第2环境信息以及保存在所述存储部中的所述第1数据和所述第1环境信息,判断是否需要对接收到的所述第2数据进行分析。
Description
技术领域
本发明涉及信息处理装置、数据分析方法及程序。
背景技术
在即将普及的互联汽车((connected car)与外部网络连接的车辆)中,期望便利性得到改善,例如可藉由无线方式执行先前需要在经销商处进行的ECU(ElectronicControl Unit)的软件升级等这样的工作。
另一方面,也指出了,由于车辆及其控制装置连接至外部网络,所以与现有的IT设备同样地,这样的车辆及其控制装置也可能成为来自恶意攻击者的网络攻击的目标。此外还有研究指出,通过从外部网络进行访问,可非法篡改实际安装在车辆上的ECU,由此对车辆的控制进行接管。
针对这样的威胁,已经研究出了各种预先可进行应对的技术,但仍然不存在能够完全预防网络攻击的风险的对策。所以需要准备(考虑)当万一发生了网络攻击时的有效的事后应对措施。在考虑通过篡改ECU来对车辆的控制进行接管这样的攻击的情况下,作为车辆中的应对策略,存在一种对车载网络中发生的通信进行连续监视以检测异常的方法。然而,一般而言车载设备的计算资源在很多情况下并不丰富,所以难以使用计算负荷较大的异常检测方法。
因此,正在研究一种通过云计算对车辆的外部通讯设备至ECU的通信路径的日志(log)进行分析从而识别网络攻击的技术(例如,非专利文献1)。
[引证文件]
[非专利文献]
[非专利文献1]安齋潤、今本吉治“自動走行車向け侵入検知·防御系统に関する提案”、暗号と情報セキュリティシンポジウムSCIS 2018、Jan 23-26,2018
发明内容
[要解决的技术问题]
从所检测到的异常事件的总数来看,对车辆进行的网络攻击的数量通常极少。换言之,存在着如下问题,即,即使检测到了异常事件的发生,为了对该异常事件是否是由网络攻击引起的异常事件进行分析,也需要分析大量的日志,这将耗费大量的时间和劳力。
需要说明的是,上述问题并不限于车辆,可被认为是连接至网络的各种设备中存在的普遍性问题。
本发明是鉴于上述问题而提出的,其目的在于降低对由设备输出的数据进行分析的成本。
[技术方案]
因此,为了解决上述问题,信息处理装置具有:存储处理部,将由一个或多个设备中的任意一个设备输出的第1数据与第1环境信息相关联地保存在存储部中,所述第1环境信息与所述第1数据相关;及判断部,在从一个或多个设备中的任意一个设备接收到第2数据的情况下,获取与所述第2数据相关的第2环境信息,并根据接收到的所述第2数据和获取到的所述第2环境信息以及保存在所述存储部中的所述第1数据和所述第1环境信息,判断是否需要对接收到的所述第2数据进行分析。
[有益效果]
能够减低对由设备输出的数据进行分析的成本。
附图说明
[图1]本发明的实施方式中的系统构成例的示意图。
[图2]本发明的实施方式中的监视服务器10的硬件构成例的示意图。
[图3]本发明的实施方式中的车辆20的硬件构成例的示意图。
[图4]本发明的实施方式中的车辆20和监视服务器10的功能构成例的示意图。
[图5]用于对日志生成时的处理步骤的一例进行说明的流程图。
[图6A]日志的构成例的示意图。
[图6B]日志的构成例的示意图。
[图7]控制类日志DB271的构成例的示意图。
[图8]传感器日志DB272的构成例的示意图。
[图9]用于对日志接收时的处理步骤的一例进行说明的流程图。
[图10]环境信息DB173的构成例的示意图。
[图11]用于对步骤S203~S205的一例进行说明的流程图。
具体实施方式
下面基于附图对本发明的实施方式进行说明。图1是本发明的实施方式中的系统构成例的示意图。图1中,多个(plural)车辆20是经由互联网(Internet)等的网络N1与各种服务器(监视服务器10、服务提供服务器30a、服务提供服务器30b等)连接的汽车(互联汽车)。例如,各车辆20经由移动通信网络等的无线网络与网络N1连接,并与各种服务器进行通信。
服务提供服务器30a、服务提供服务器30b等(在不进行区分的情况下也将其统称为“服务提供服务器30”)是向车辆20提供预定服务或基于从车辆20收集的信息向车辆20提供预定服务的一个以上的计算机。例如,服务提供服务器30a可提供远程信息处理业务(telematics service)。另外,服务提供服务器30b可提供基于从各车辆20收集的数据的服务。
监视服务器10是根据从车辆20发送(上传)来的数据进行车辆20的异常的发生的检测、异常的内容的解析等的一个以上的计算机。作为异常的一例,可列举出经由网络对车辆20进行的网络攻击等。
图2是本发明的实施方式中的监视服务器10的硬件构成例的示意图。图2中,监视服务器10具有分别藉由总线B而相互连接的驱动装置100、辅助存储装置102、存储(memory)装置103、CPU104、接口装置105等。
用于实现监视服务器10中的处理的程序由CD-ROM等的存储介质101提供。存储有程序的存储介质101被放入驱动装置100后,程序可从存储介质101经由驱动装置100而被安装(install)至辅助存储装置102。需要说明的是,程序的安装不必非得从存储介质101进行,也可采用经由网络从其它计算机下载的方式进行。辅助存储装置102对所安装的程序进行保存,并且还对所需的文件、数据等进行保存。
在具有(接收到)程序的启动指示的情况下,存储装置103从辅助存储装置102读取程序并对其进行保存。CPU104根据存储装置103中保存的程序执行与监视服务器10相关的功能。接口装置105是用于与网络进行连接的接口。
图3是本发明的实施方式中的车辆20的硬件构成例的示意图。图3中,车辆20包含通信装置210、信息类子系统220、控制类子系统230、网关(gateway)240等。
通信装置210包含用于与网络N1连接的通信模块、用于与其它车辆20或道路上的设备等进行通信的通信模块、用于与智能手机等经由无线LAN或近距离无线通信进行连接的通信模块等。
信息类子系统220是对基于所安装的程序的信息处理进行执行的部分,包括CPU221、存储装置222、辅助存储装置223、显示装置224、输入装置225等。辅助存储装置223中可存储安装的程序、由该程序使用的各种数据等。存储装置222从辅助存储装置223读取作为启动对象(目标)的程序并对其进行保存。CPU221根据存储装置222中保存的程序执行与信息类子系统220相关的功能。显示装置224对基于程序的GUI(Graphical UserInterface)等进行显示。输入装置225是按钮等或触屏等的操作部件,用于输入各种各样的操作指示。需要说明的是,例如,汽车导航系统、汽车音响主机等的车载设备是信息类子系统220的一例。
控制类子系统230是对车辆20的举动(behavior)进行控制的部分,包括用于进行各种控制的多个微电脑(微型计算机)231等。例如,ECU(Electronic Control Unit)是微电脑231的一例。
网关240是用于与信息类子系统220和控制类子系统230进行连接的网间连接器(例如,CGW(Central Gateway))。即,信息类子系统220中使用的通信协议例如为IP协议,控制类子系统230中与微电脑231进行通信时使用的通信协议是专用于控制的非IP协议(例如,CAN(Controller Area Network))。所以需要设置用于对这些通信协议之间的差异进行吸收的网关240。
需要说明的是,图3所示的硬件结构仅为一例。只要可实现后述的功能,对车辆20的硬件结构并无特定限定。
图4是本发明的实施方式中的车辆20和监视服务器10的功能构成例的示意图。图4中,车辆20的信息类子系统220具有控制类日志获取部251、传感器日志生成部252、异常判定部253、环境(context)信息生成部254、日志发送部255等。这些部件中的每个都可通过信息类子系统220中安装的一个以上的程序使CPU221执行的处理而实现。信息类子系统220还具有控制类日志DB271、传感器日志DB272、检测算法DB273等的数据库(存储部)。这些数据库(存储部)中的每个例如都可通过使用存储装置222、辅助存储装置223等而实现。
控制类日志获取部251获取控制类日志,并将其保存(存储)至控制类日志DB271。控制类日志是指,与控制类子系统230中的各微电脑231所进行的通信相关的日志数据。通信内容的数据本身可为控制类日志。所以任意一个微电脑231每次进行通信时都会生成控制类日志。需要说明的是,该通信的内容例如可为表示诸如车辆20的控制、音响、导航的信息类的信息的内容、表示与车辆20内的指示器(indicator)的显示等有关的通信等的内容等。
传感器日志生成部252生成传感器日志,并将其保存在传感器日志DB272中。传感器日志是指,包含从配置在车辆20的各个位置的传感器(例如,加速度仪、GPS(GlobalPositioning System)接收机等)获取的数据(例如,传感器的计测值等)的日志数据。就来自各传感器的数据的获取和基于该数据的传感器日志的生成而言,例如可按一定的周期执行、或在发生了特定事件等的特定时间(timing)执行。每个传感器的传感器日志的生成时间都可不同。此外,生成传感器日志的传感器也可为车辆20所具有的全部传感器中的一部分。
异常判定部253根据控制类日志和传感器日志(在不进行区分的情况下也将其统称为“日志”)并使用检测算法DB273中存储的检测算法对异常的程度(level)进行判定。具体而言,异常判定部253对用于表示由车辆20生成的日志的异常的程度的指标值(也称“异常分数(score)”)进行计算。需要说明的是,异常分数的计算可仅利用控制类日志,也可仅使用传感器日志。计算出的异常分数保存在控制类日志DB271或传感器日志DB272中。
环境信息生成部254生成与日志相关的信息(也称“环境信息”),该信息表示获取或生成日志时的车辆20的静止状态、动态变化信息、与通信相关的信息等的情形。例如,计算异常分数时,环境信息生成部254生成日志被获取或生成时的与车辆20相关的环境信息。就环境信息而言,可根据控制类日志DB271或传感器日志DB272中保存的日志来生成,也可根据从通信装置210获取的信息来生成。
当向监视服务器10进行发送(上传)的时间(timing)(也称“发送定时”)到来时,日志发送部255将环境信息赋予至控制类日志DB271或传感器日志DB272中存储的日志并将它们一起发送至监视服务器10。
另一方面,监视服务器10具有日志接收部151、环境信息内插(补充)部152、比较部153、日志存储处理部154、分析结果接收部155等。这些部件的每个都可藉由监视服务器10中安装的一个以上的程序使CPU104执行的处理而实现。此外,监视服务器10还使用控制类日志DB171、传感器日志DB172、环境信息DB173等的数据库(存储部)。控制类日志DB171、传感器日志DB172及环境信息DB173被统称为知识DB174。这些数据库(存储部)的每个例如都可通过使用辅助存储装置102、能够经由网络与监视服务器10连接的存储装置等来实现。
日志接收部151对从车辆20发送(上传)来的日志进行接收。日志接收部151中接收到的日志在监视服务器10中被当作可疑事件。可疑事件中被赋予了环境信息(也称“可疑环境”或“可疑信息”)。
在可疑信息不足(不充分)的情况下,环境信息内插部152通过生成不足的环境信息而对可疑信息进行内插(补充)。例如,诸如车辆20内的设备的种类的不同、是否具有选项(option)、车辆20内的设备的一部分发生了故障等这样的原因可能会导致可疑信息出现不足或发生错误。环境信息内插部152可根据经由接口装置105从外部获取的信息来生成不足的环境信息,也可根据监视服务器10的环境信息DB173中保存的其它环境信息来生成不足的环境信息。
比较部153将可疑事件和可疑信息与知识DB174中保存的过去的事件(也称“已知事件”)和过去的环境信息(也称“已知环境”或“已知信息”)进行比较,由此判断是否有必要对可疑事件进行分析。就与可疑事件和可疑信息进行比较的已知事件和已知信息而言,可与不同的车辆相关,也可与相同的车辆相关(即在不同时间获得的事件和环境信息)。
例如,比较部153提取控制类日志DB171或传感器日志DB172中保存的任意的已知事件,并计算可疑事件和已知事件的相似度。另外,比较部153还提取环境信息DB173中保存的任意的已知信息,并计算可疑信息和已知信息的相似度。根据这些相似度,在可疑事件和可疑信息的组中存在一致或相似的已知事件和已知信息的组的情况下,比较部153认为分析已经结束了,并判断为不需要对可疑事件进行分析。另一方面,在可疑事件和可疑信息的组中不存在一致或相似的已知事件和已知信息的组的情况下,比较部153判断为需要对可疑事件进行分析。无论是在判断为需要对可疑事件进行分析的情况下,还是在判断为不需要对可疑事件进行分析的情况下,比较部153都可将与已知事件和已知信息进行比较而得的比较结果连同可疑事件和可疑信息通知给分析人员等,以请求对可疑事件进行分析。
日志存储处理部154将可疑事件保存在控制类日志DB171或传感器日志DB172中。此外,日志存储处理部154还将输出该可疑事件的微电脑231或传感器的识别信息、可疑环境信息等保存在环境信息DB173中。即,知识DB174中可存储从车辆20发送的日志和环境信息,存储的信息中除了包含藉由网络攻击而发生的事件之外,还包含藉由设备故障而发生事件、藉由使用者的错误操作而发生的事件、藉由设备的错误检测而发生的事件等。日志存储处理部154还可将控制类日志DB171、传感器日志DB172及环境信息DB173内的记录中的旧(时间上比较早的)记录删除。
分析结果接收部155接收分析人员等响应来自比较部153的请求而输入的分析结果。分析结果例如为表示1(正常)和2(异常)中的任意一个的标签(label)。2(异常)的标签可细分为2-1(故障)、2-2(网络攻击)及2-3(错误检测),也可使用基于故障和网络攻击的内容进行了更细分的标签(例如,2-1-i、2-2-i等)。分析结果从日志存储处理部154被登记(register)至环境信息DB173。
需要说明的是,图4中,对异常分数的计算和环境信息的生成由车辆20执行的例子进行了说明,但异常分数的计算或环境信息的生成也可在监视服务器10中进行。另外,异常分数或环境信息还可由分析人员等手工输入。
当异常分数的计算在监视服务器10中进行时,日志发送部255在发送定时到来时将日志发送给监视服务器10。监视服务器10的异常判定部(未图示)与车辆20的异常判定部253同样地对异常分数进行计算,并将异常分数保存在控制类日志DB171或传感器日志DB172中。
当环境信息的生成在监视服务器10中进行时,监视服务器10的环境信息内插部152与车辆20的环境信息生成部254同样地生成环境信息,并将环境信息保存在环境信息DB173中。就环境信息而言,可根据监视服务器10的控制类日志DB171或传感器日志DB172中保存的日志进行生成,也可根据经由接口装置105获取的信息进行生成。
下面对车辆20的信息类子系统220所执行的处理步骤进行说明。图5是用于对日志生成时的处理步骤的一例进行说明的流程图。
藉由控制类日志获取部251所进行的控制类日志的获取、传感器日志生成部252所进行的传感器日志的生成等,任意一个日志(也称“目标日志”)可被保存在控制类日志DB271和传感器日志DB272中(S101)。
图6A和图6B是日志的构成例的示意图。图6A表示控制类日志的一例。控制类日志包含日期和时间、车辆ID及要素ID、以及Data[0]、Data[1]、Data[2]、Data[3]、Data[4]···等(也称“Data[]”)。日期和时间是控制类日志被获取时的日期和时间(与该控制类日志相关的通信被执行时的日期和时间)。车辆ID是车辆20的识别信息。要素ID是车辆20的构成要素的识别信息。控制类日志中的要素ID是执行了与该控制类日志有关的通信的微电脑231的识别信息。Data[]是该通信中包含的数据。例如,如果该通信是与引擎的控制相关的通信,则与引擎的控制相关的各参数的值为各Data[]的值。需要说明的是,不只是与引擎的控制相关的各参数的值,校验和(checksum)、计数器等的数据也可包含在Data[]中。
另一方面,图6B表示传感器日志的一例。传感器日志包含日期和时间、车辆ID及要素ID、以及与该传感器日志有关的传感器特有的数据。日期和时间是传感器日志被生成时的日期和时间。车辆ID是车辆20的识别信息。要素ID是输出与该传感器日志有关的数据的传感器的识别信息。此外,就图6B中的传感器日志而言,由于是基于从加速度传感器获取的数据的传感器日志,所以也包含作为加速度传感器特有的数据的Acc_X、Acc_Y及Acc_Z。Acc_X、Acc_Y及Acc_Z分别是X轴方向的加速度、Y轴方向的加速度及Z轴方向的加速度。
图7是控制类日志DB271的构成例的示意图。如图7所示,控制类日志DB271的各记录包含图6A所示的各项目和异常分数。其中,在步骤S101的时点,异常分数的值为空。其原因在于,异常分数的值在步骤S102中才被确定。
图8是传感器日志DB272的构成例的示意图。如图8所示,传感器日志DB272的各记录包括图6B所示的各项目和异常分数。其中,在步骤S101的时点,异常分数的值出于与控制类日志DB271同样的理由而为空。需要说明的是,传感器日志的形式按照每个传感器而不同。例如,如果是GPS接收机的传感器日志,则包含纬度、经度等。所以传感器日志DB272中可按照每个传感器(每个要素ID)进行区分,由此将传感器日志保存在不同的表中。
异常判定部253对与目标日志有关的异常分数进行判定(计算),并将其保存在控制类日志DB271或传感器日志DB272中(S102)。就异常分数的判定而言,可按一定的周期进行,也可响应于包含特定值的日志的生成而进行,还可在每次保存了异常判定所需的一定量的日志时进行。
与目标日志有关的异常分数的判定(计算)可采用公知技术进行。例如,可根据微电脑231之间的通信间隔、由微电脑231输出的数据值等进行异常分数的判定。另外,例如还可通过将目标日志输入至藉由使日志作为输入并使异常分数作为输出而训练出的模型(例如,神经网络)来进行异常分数的判定。异常分数可为表示异常的有无的0或1,还可为对异常的程度采用最小值(例如,0)至最大值(例如,1)的范围进行表示的值。此外,异常分数的判定也可不使用控制类日志和传感器日志这两者。例如,可仅使用控制类日志和传感器日志中的任意一个来进行异常分数的判定。
当在异常判定部253中对异常分数进行了判定时,环境信息生成部254生成与目标日志有关的环境信息(S103)。
环境信息生成部254生成表示车辆20的静止状态的静态环境信息、表示车辆20的动态变化信息的动态环境信息、表示与车辆20和外部连接设备之间的通信相关的信息的通信环境信息等。
静态环境信息的例子可为设备种类、型号、型号年份、制造年月日、出厂年月日、设备编号、代理店等的经营商、设备内软件信息(ROM数据、版本信息等)等。动态环境信息的例子可为当前位置、移动路径、气候(气温、天气、风速等)、使用者(驾驶者、同乘者等)、外部连接设备、消耗品(电池、汽油、润滑油等)的残量、传感器信息(温度、物体检测、角度、转数等)、致动器信息(角度、转数等)等。通信环境信息的例子可为与外部连接设备的通信时刻、通信时间带、通信内容、基于通信的车辆状态的变化等。需要说明的是,这些环境信息的分类仅是为了方便起见而进行的,例如,在存在车辆20的软件的更新的可能性的情况下,设备内软件信息也可被分类至动态环境信息。此外,还可使用上述环境信息的任意的组合,也可使用其它环境信息。
例如,在经由通信装置210从智能手机、外部服务器等获取气候、气温等的信息的情况下,环境信息生成部254生成表示气象环境的动态环境信息。例如,环境信息生成部254根据传感器日志DB272中保存的GPS接收机的传感器日志生成表示车辆20的位置的动态环境信息。例如,环境信息生成部254使用传感器日志DB272中保存的GPS接收机的传感器日志和控制类日志DB271中保存的车速的控制类日志生成表示车辆20的速度和加速度的动态环境信息。就动态环境信息和通信环境信息而言,可作为瞬时值而生成,也可作为某期间内的连续值或离散值而生成。例如,表示某时刻的外部连接设备的通信环境信息和表示某时刻的驾驶者的动态环境信息可作为瞬时值而生成。例如,表示某期间的移动路径的动态环境信息和表示某期间的基于通信的车辆状态的变化的通信环境信息可作为连续值或离散值而生成。
当发送定时到来时,日志发送部255将环境信息赋予至目标日志并将它们一起发送至监视服务器10(S104)。
需要说明的是,异常分数的判定(S102)和环境信息的生成(S103)也可在监视服务器10接收到目标日志之后再由监视服务器10执行。
下面对监视服务器10所执行的处理步骤进行说明。图9是用于对接收日志时的处理步骤的一例进行说明的流程图。
日志接收部151对目标日志(可疑事件)连同环境信息(可疑信息)一起进行接收(S201)。
环境信息内插部152在检测到可疑信息的不足的情况下对环境信息进行内插(S202)。例如,在缺少车辆20的当前位置的情况下,可确定正在与该车辆20通过V2V(Vehicle-to-Vehicle)进行通信的其它车辆,并将其它车辆的当前位置从环境信息DB173中提取出来,以对环境信息进行内插,也可根据正在通过V2I(Vehicle-to-Infrastructure)与车辆20进行通信的外部设备等对车辆20的当前位置进行推测,由此对环境信息进行内插。需要说明的是,环境信息内插部152在检测到可疑信息与从外部设备等获得的环境信息不一致或矛盾的情况下,可请求其它分析器、分析人员等对可疑事件进行分析。其原因在于,环境信息的不一致或矛盾有可能起因于故障或网络攻击。
比较部153提取控制类日志DB171或传感器日志DB172中保存的任意的已知事件。控制类日志DB171和传感器日志DB172分别与图7和图8同样被构成。比较部153计算可疑事件和已知事件的相似度,并提取与可疑事件之间相似度超过了阈值的已知事件。同样,比较部153提取环境信息DB173中保存的任意的可疑信息,计算可疑信息和已知信息的相似度,并提取与可疑信息之间的相似度超过了阈值的已知信息(S203)。
图10是环境信息DB173的构成例的示意图。如图10所示,环境信息DB173的各记录除了包含控制类日志DB171或传感器日志DB172中的日期和时间、车辆ID及要素ID之外,还包含环境信息和标签。环境信息中保存日志接收部151接收的根据需要由环境信息内插部152进行了内插的环境信息。表示分析结果的标签根据分析人员等的分析而定。藉由车辆ID和要素ID的组合,可对输出可疑事件的车辆20和微电脑231或传感器进行识别。需要说明的是,就环境信息DB173的记录和控制类日志DB171或传感器日志DB172的记录之间的对应关系而言,可通过日期和时间、车辆ID及要素ID的组来进行识别,也可通过将表示控制类日志DB171或传感器日志DB172的记录的日志ID追加至环境信息DB173而进行识别。
比较部153中的相似的已知事件或已知信息的提取可采用公知技术进行。例如,可采用马氏距离(Mahalanobis distance)的测定、k-近邻法等的模式匹配方法。此外,可疑信息和已知信息的相似度的计算还可使用基于环境信息的权重。
比较部1 53的相似度的计算中可进行比较对象的抽象化(abstraction)。其目的在于,减少不存在与可疑事件一致或相似的已知事件的情形和/或不存在与可疑信息一致或相似的已知信息的情形。抽象化的方法可根据环境信息而定。在此以温度的环境信息为例进行说明。例如,当外气温为30℃且引擎内温度为140℃时发生了可疑事件的情况下,首先将温度一致的已知信息从环境信息DB173中取出。在温度一致的已知信息不存在于环境信息DB173的情况下,进行外气温为25℃以上35℃以下且引擎内温度为130℃以上的已知信息、外气温和引擎内温度之差为110℃以上的已知信息、单位时间内外气温的上升小于0.1%而引擎内温度却上升了50%以上的已知信息等的可疑信息的抽象化,然后将与被进行了抽象化的可疑信息一致的已知信息从环境信息DB173中取出。这样,通过使比较对象的粒度逐渐变粗就可提取出的相似的已知事件和已知信息。抽象化的粒度可反映至相似度。在不进行抽象化的情况下,可对相似度乘以1的系数。例如,在进行了粒度较细的抽象化的情况下,可对相似度乘以0.8的系数,在进行了粒度较粗的抽象化的情况下,可对相似度乘以0.5的系数。需要说明的是,在即使进行了与温度相关的抽象化也没有找到相似的环境信息的情况下,也可忽略温度的环境信息而计算与其它环境信息之间的相似度。在预定数量以上的环境信息一致或相似的情况下,可判断为环境信息相似。
在相似的已知事件或已知信息被提取出的情况下,比较部153将环境信息DB173中登记的已知事件或已知信息的标签赋予至可疑事件和可疑信息(S204)。需要说明的是,在事件和环境信息这两者都一致的情况下,可赋予确定的标签。在事件一致但环境信息不一致的情况或环境信息一致但事件不一致的情况下,可赋予暂定的标签。
比较部153输出对可疑事件和可疑信息进行比较的比较结果(S205)。具体而言,比较部153将可疑事件从日志存储处理部154保存至控制类日志DB171或传感器日志DB172,并将可疑信息从日志存储处理部154保存至环境信息DB173。之后,比较部153生成用于请求其它分析器、分析人员等对可疑事件和可疑信息进行分析的分析请求。在赋予了确定的标签的情况下,比较部153可判断为不需要对可疑事件进行分析,并将确定的标签从日志存储处理部154保存至环境信息DB173。
其它分析器、分析人员等响应分析请求对可疑事件和可疑信息进行分析,以确定作为分析结果的标签(异常、故障、网络攻击、错误检测等)。由于日志被赋予了环境信息,所以也可判定是否存在发生了网络攻击等的大规模异常(多个车辆20同时发生的异常)的可能性。可对该异常的发生进行分析的方法不限定于预定的方法。例如,可根据训练出的模型(神经网络等)来进行分析,也可采用其它公知技术进行分析。另外,就是否存在发生了异常的可能性的判定而言,可利用汽车公司的CERT(Computer Emergency Response Team)、其它企业的SOC(Security Operation Center)、安全供应商(Security vendor)等发布的信息。分析结果接收部155接收由其它分析器、分析人员等确定的标签,日志存储处理部154将所接收的标签登记至环境信息DB173内的相应的记录。
下面对步骤S203~S205进行更详细的说明。图11是用于对步骤S203~S205的一例进行说明的流程图。图11表示日志接收部151每次接收到可疑事件和可疑信息时比较部153所进行的处理。
比较部153获取日志接收部151中接收到的可疑事件和可疑信息(S301),并从知识DB174获取一个或多个已知事件(也称“已知事件群”)以及一个或多个已知信息(也称“已知信息群”)(S302)。
比较部153计算可疑事件和已知事件群的相似度(S303)。在存在相似度超过了阈值的已知事件的情况下(S304:“是”),将针对该已知事件在环境信息DB173中已经登记了的标签暂时赋予给可疑事件(S305)。在存在相似的多个已知事件的情况下,可赋予相似度最高的已知事件的标签,在该多个已知事件的标签相同的情况或该多个已知事件中具有相同标签的已知事件的比例大于等于阈值的情况下,可赋予该标签。
同样,比较部153计算可疑信息和已知信息群的相似度(S306)。在存在相似度超过了阈值的已知信息的情况下(S307:“是”),获取针对该已知信息在环境信息DB173中已经登记了的标签。在存在相似的多个已知信息的情况下,可赋予相似度最高的已知信息的标签,在该多个已知信息的标签相同的情况或在该多个已知信息中具有相同标签的已知信息的比例大于等于阈值的情况下,可赋予该标签。
在暂时赋予至可疑事件的标签与相似的已知信息的标签一致的情况下(S308:“是”),比较部153将赋予至可疑事件的标签设定为确定标签(S309)。然后,将确定标签也赋予给可疑信息(S310)。此情况下,赋予给可疑事件的标签与赋予给可疑信息的标签相同。即,赋予至可疑事件的标签与赋予至可疑信息的标签相同意味着该标签是确定标签。
比较部153生成包含被赋予了确定标签的可疑事件和可疑信息的比较结果(S311)。比较结果中还可包含与已知事件之间的相似度、与已知信息之间的相似度等的信息。比较结果不需要其它分析器、分析人员等进行分析,确定标签可被登记至环境信息DB173。此外,当比较结果被通知给其它分析器、分析人员等并且分析结果接收部155接收到由其它分析器、分析人员等输入的标签时,也可将该标签登记至环境信息DB173。
另一方面,在不存在相似度超过了阈值的已知信息的情况(S307:“否”)或暂时赋予给可疑事件的标签与相似的已知信息的标签不一致的情况下(S308:“否”),比较部153生成包含暂时被赋予了标签的可疑事件和可疑信息的比较结果(S312)。此情况下,标签被暂时赋予给可疑事件,但没有被赋予给可疑信息。即,仅对可疑事件赋予了标签意味着该标签是暂定标签。比较结果中还可包含与已知事件之间的相似度、与已知信息之间的相似度等的信息。比较结果需要其它分析器、分析人员等进行分析,所以被通知给其它分析器、分析人员等。当分析结果接收部155接收到由其它分析器、分析人员等输入的标签时,可将该标签登记至环境信息DB173。
在不存在相似度超过了阈值的已知事件的情况下(S304:“否”),比较部153计算可疑信息和已知信息群的相似度(S313)。在存在相似度超过了阈值的已知信息的情况下(S314:“是”),获取针对该已知信息在环境信息DB173中已经登记了的标签,并将该标签暂时赋予给可疑信息(S315)。在存在相似的多个已知信息的情况下,可赋予相似度最高的已知信息的标签,在该多个已知信息的标签相同的情况或该多个已知信息中具有相同标签的已知信息的比例大于等于阈值的情况下,可赋予该标签。
比较部153生成包含被暂时赋予了标签的可疑事件和可疑信息的比较结果(S316)。此情况下,标签被暂时赋予给可疑信息,但没有被赋予至可疑事件。即,仅对可疑信息赋予了标签意味着该标签是暂定标签。比较结果还可包含与已知事件之间的相似度、与已知信息之间的相似度等的信息。比较结果需要其它分析器、分析人员等进行分析,所以被通知给其它分析器、分析人员等。当分析结果接收部155接收到由其它分析器、分析人员等输入的标签时,可将该标签登记至环境信息DB173。
另一方面,在不存在相似度超过了阈值的已知信息的情况下(S314:“否”),比较部153生成包含没有被赋予标签的可疑事件和可疑信息的比较结果(S317)。此情况下,标签既没有被赋予至可疑事件也没有被赋予给可疑信息。即,标签没有被赋予意味着可疑事件为未知事件。比较结果中还可包含与已知事件之间的相似度、与已知信息之间的相似度等的信息。比较结果需要其它分析器、分析人员等进行分析,所以被通知给其它分析器、分析人员等。当分析结果接收部155接收到由其它分析器、分析人员等输入的标签时,可将该标签登记至环境信息DB173。
需要说明的是,上述流程图中,计算完可疑事件和已知事件的相似度之后,对可疑信息和已知信息的相似度进行了计算,但是,对这些相似度的计算顺序并无特别限定,也可采用相反的顺序进行,还可同时进行。
这样,本实施方式中,由于可对分析所需的可疑事件和可疑信息进行缩减,所以可降低分析所要的成本。此外,通过将分析结果反映至数据库,还能避免多次执行相同分析的情形。
需要说明的是,本实施方式中,以车辆20作为设备的一例进行了说明,但本实施方式也适用于具有通信功能的其它设备。例如,就工厂中的机器人等的工业用控制设备、配置在各个位置的传感器、音响设备、家电产品、通信终端(智能手机、平板终端等)以及一般被称为IoT(Internet of Things)设备的设备而言,都可以应用本实施方式。
如上所述,根据本实施方式,车辆20中所生成的数据(日志)被赋予环境信息,然后被发送给监视服务器10。监视服务器10将发送来的日志与环境信息捆绑在一起并将其保存在知识DB174中,通过参照知识DB174中保存的已知事件和已知信息,可减少分析人员等应进行分析的日志的数量。
此外,监视服务器10向分析人员等应进行分析的日志赋予基于与已知事件和已知信息之间的相似度而得的标签,由此可辅助分析人员等进行分析。
另外,监视服务器10通过进行环境信息的内插、抽象化后的比较对象的相似判定等,还可减少不存在相似的已知事件或已知信息的情形。
需要说明的是,本实施方式中,车辆20是设备的一例。监视服务器10是信息处理装置的一例。日志接收部151和日志存储处理部154是存储处理部的一例。比较部153是判断部的一例。环境信息内插部152是内插部的一例。
以上对本发明的实施方式进行了详述,但本发明并不限定于这些特定的实施方式,在权利要求书记载的本发明的主旨的范围内还可进行各种各样的变形和变更。
本国际申请主张基于2018年10月11日申请的日本国专利申请第2018-192416号的优先权,并将该2018-192416号申请的内容全部援引于本国际申请。
[附图标记说明]
10 监视服务器
20 车辆
30a 服务提供服务器
30b 服务提供服务器
100 驱动装置
101 存储介质
102 辅助存储装置
103 存储装置
104 CPU
105 接口装置
151 日志接收部
152 环境信息内插部
153 比较部
154 日志存储处理部
155 分析结果接收部
171 控制类日志DB
172 传感器日志DB
173 环境信息DB
174 知识DB
210 通信装置
221 CPU
222 存储装置
223 辅助存储装置
224 显示装置
225 输入装置
220 信息类子系统
230 控制类子系统
231 微电脑
240 网关
251 控制类日志获取部
252 传感器日志生成部
253 异常判定部
254 环境信息生成部
255 日志发送部
271 控制类日志DB
272 传感器日志DB
273 检测算法DB
B 总线。
Claims (8)
1.一种信息处理装置,具有:
存储处理部,将由一个或多个设备中的任意一个设备输出的第1数据与第1环境信息相关联地保存在存储部中,所述第1环境信息与所述第1数据相关;及
判断部,在从一个或多个设备中的任意一个设备接收到第2数据的情况下,获取与所述第2数据相关的第2环境信息,并根据接收到的所述第2数据和获取到的所述第2环境信息以及保存在所述存储部中的所述第1数据和所述第1环境信息,判断是否需要对接收到的所述第2数据进行分析。
2.如权利要求1所述的信息处理装置,其中,
所述判断部
计算所述第2数据和所述第1数据之间的数据相似度,并计算所述第2环境信息和所述第1环境信息之间的环境相似度;及
将根据所述数据相似度和所述环境相似度确定出的标签赋予给所述第2数据和所述第2环境信息。
3.如权利要求2所述的信息处理装置,其中,
在所述数据相似度超过了阈值的条件和所述环境相似度超过了阈值的条件都满足了的情况下,所述判断部判断为不需要对接收到的所述第2数据进行分析。
4.如权利要求2所述的信息处理装置,其中,
在所述数据相似度超过了阈值的条件和所述环境相似度超过了阈值的条件中的一个条件满足了的情况下,所述判断部将表示存在与所述第2数据相似的数据或环境信息的标签赋予给所述第2数据和所述第2环境信息。
5.如权利要求1至4中的任一项所述的信息处理装置,还具有:
内插部,对所述第2环境信息的一部分进行内插。
6.如权利要求1至5中的任一项所述的信息处理装置,其中,
所述第1环境信息和所述第2环境信息包含表示设备的静止状态的静态环境信息、表示设备的动态变化信息的动态环境信息、及表示与设备和外部连接设备之间的通信相关的信息的通信环境信息中的至少一种信息。
7.一种数据分析方法,其中,
由信息处理装置执行
存储处理步骤,将由一个或多个设备中的任意一个设备输出的第1数据与第1环境信息相关联地保存在存储部中,所述第1环境信息与所述第1数据相关;及
判断步骤,在从一个或多个设备中的任意一个设备接收到第2数据的情况下,获取与所述第2数据相关的第2环境信息,并根据接收到的所述第2数据和获取到的所述第2环境信息以及保存在所述存储部中的所述第1数据和所述第1环境信息,判断是否需要对接收到的所述第2数据进行分析。
8.一种程序,使信息处理装置作为权利要求1至6中的任一项中记载的各部的而发挥功能。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018192416 | 2018-10-11 | ||
| JP2018-192416 | 2018-10-11 | ||
| PCT/JP2019/040032 WO2020075809A1 (ja) | 2018-10-11 | 2019-10-10 | 情報処理装置、データ分析方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112654969A true CN112654969A (zh) | 2021-04-13 |
Family
ID=70164584
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980057865.2A Pending CN112654969A (zh) | 2018-10-11 | 2019-10-10 | 信息处理装置、数据分析方法及程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11962605B2 (zh) |
| EP (1) | EP3798840A4 (zh) |
| JP (1) | JP7103427B2 (zh) |
| CN (1) | CN112654969A (zh) |
| WO (1) | WO2020075809A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11335141B2 (en) * | 2019-10-22 | 2022-05-17 | Argo AI, LLC | Checkpoint-based tracing for monitoring a robotic system |
| US11755683B2 (en) | 2019-12-23 | 2023-09-12 | Western Digital Technologies, Inc. | Flexible accelerator for sparse tensors (FAST) in machine learning |
| US11797830B2 (en) * | 2020-03-25 | 2023-10-24 | Western Digital Technologies, Inc. | Flexible accelerator for sparse tensors in convolutional neural networks |
| WO2022049636A1 (ja) * | 2020-09-01 | 2022-03-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 制御モード切替装置、および制御モード切替方法 |
| JP7373803B2 (ja) * | 2020-09-29 | 2023-11-06 | パナソニックIpマネジメント株式会社 | 情報送信装置、サーバ、及び、情報送信方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009134470A (ja) * | 2007-11-29 | 2009-06-18 | Fujitsu Ltd | 故障原因推測方法、故障原因推測プログラム、及び故障原因推測装置 |
| CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
| JP2015036891A (ja) * | 2013-08-13 | 2015-02-23 | 日本電信電話株式会社 | 監視情報分析装置及び方法 |
| CN104937886A (zh) * | 2013-01-30 | 2015-09-23 | 日本电信电话株式会社 | 日志分析装置、信息处理方法以及程序 |
| JP2016173762A (ja) * | 2015-03-17 | 2016-09-29 | 株式会社リコー | 情報処理システム、電子タグ及び校正値算出方法 |
| WO2017104119A1 (ja) * | 2015-12-14 | 2017-06-22 | 日本電気株式会社 | ログ分析システム、方法およびプログラム |
| US20170300690A1 (en) * | 2016-04-15 | 2017-10-19 | Sophos Limited | Endpoint malware detection using an event graph |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7337179B1 (en) * | 2000-11-01 | 2008-02-26 | Versata Development Group, Inc. | Context subsystems for system configurations |
| US20050187368A1 (en) * | 2004-02-19 | 2005-08-25 | International Business Machines Corporation | Methods and apparatus for complementing user entries associated with events of interest through context |
| WO2010076871A1 (ja) * | 2009-01-05 | 2010-07-08 | 日本電気株式会社 | コンテキスト収集装置、コンテキスト収集プログラム、およびコンテキスト収集方法 |
| US9407603B2 (en) * | 2010-06-25 | 2016-08-02 | Salesforce.Com, Inc. | Methods and systems for providing context-based outbound processing application firewalls |
| US9558677B2 (en) * | 2011-04-08 | 2017-01-31 | Wombat Security Technologies, Inc. | Mock attack cybersecurity training system and methods |
| US9824609B2 (en) * | 2011-04-08 | 2017-11-21 | Wombat Security Technologies, Inc. | Mock attack cybersecurity training system and methods |
| US9373267B2 (en) * | 2011-04-08 | 2016-06-21 | Wombat Security Technologies, Inc. | Method and system for controlling context-aware cybersecurity training |
| US9934368B2 (en) * | 2012-10-02 | 2018-04-03 | Banjo, Inc. | User-generated content permissions status analysis system and method |
| EP2817787A4 (en) * | 2013-04-15 | 2015-10-21 | Flextronics Ap Llc | RECORDING AND DISPLAYING A VEHICLE IMMERSION ALARM |
| US20140310277A1 (en) * | 2013-04-15 | 2014-10-16 | Flextronics Ap, Llc | Suspending user profile modification based on user context |
| JP5946423B2 (ja) * | 2013-04-26 | 2016-07-06 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | システム・ログの分類方法、プログラム及びシステム |
| RU2541120C2 (ru) * | 2013-06-06 | 2015-02-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов |
| US20170279957A1 (en) * | 2013-08-23 | 2017-09-28 | Cellepathy Inc. | Transportation-related mobile device context inferences |
| KR102317599B1 (ko) * | 2014-05-26 | 2021-10-26 | 삼성전자 주식회사 | 전자 장치 및 전자 장치의 단편화 분석 방법 |
| US20160014078A1 (en) * | 2014-07-10 | 2016-01-14 | Sven Schrecker | Communications gateway security management |
| US20180130006A1 (en) * | 2015-03-31 | 2018-05-10 | Brighterion, Inc. | Addrressable smart agent data technology to detect unauthorized transaction activity |
| US10507807B2 (en) * | 2015-04-28 | 2019-12-17 | Mobileye Vision Technologies Ltd. | Systems and methods for causing a vehicle response based on traffic light detection |
| US10798114B2 (en) * | 2015-06-29 | 2020-10-06 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| US11115433B2 (en) * | 2015-06-29 | 2021-09-07 | Argus Cyber Security Ltd. | System and method for content based anomaly detection in an in-vehicle communication network |
| US20170046510A1 (en) * | 2015-08-14 | 2017-02-16 | Qualcomm Incorporated | Methods and Systems of Building Classifier Models in Computing Devices |
| US11397801B2 (en) * | 2015-09-25 | 2022-07-26 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
| JP6423402B2 (ja) * | 2015-12-16 | 2018-11-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | セキュリティ処理方法及びサーバ |
| US10893059B1 (en) * | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10452840B2 (en) * | 2016-07-14 | 2019-10-22 | Qualcomm Incorporated | Devices and methods for classifying an execution session |
| US10235532B2 (en) * | 2016-09-23 | 2019-03-19 | Harman International Industries, Incorporated | Device access control |
| US10440120B2 (en) * | 2016-10-13 | 2019-10-08 | Argus Cyber Security Ltd. | System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network |
| GB2558062A (en) * | 2016-11-18 | 2018-07-04 | Lionbridge Tech Inc | Collection strategies that facilitate arranging portions of documents into content collections |
| EP3373553B1 (en) * | 2017-03-09 | 2024-05-08 | Argus Cyber Security Ltd | System and method for providing cyber security to an in-vehicle network |
| US10762201B2 (en) * | 2017-04-20 | 2020-09-01 | Level Effect LLC | Apparatus and method for conducting endpoint-network-monitoring |
| JP6801576B2 (ja) | 2017-05-16 | 2020-12-16 | 王子ホールディングス株式会社 | 塗工装置、衛生用品の製造装置、塗工方法、および、衛生用品の製造方法 |
| US10186156B2 (en) * | 2017-05-25 | 2019-01-22 | Uber Technologies, Inc. | Deploying human-driven vehicles for autonomous vehicle routing and localization map updating |
| WO2018233889A1 (en) * | 2017-06-23 | 2018-12-27 | Robert Bosch Gmbh | METHOD FOR DETECTING AN INTERRUPTION IN A COMMUNICATION SYSTEM OF A VEHICLE BY VERIFYING ANOMALIES DURING COMMUNICATION |
| US10318729B2 (en) * | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
| US10445597B2 (en) * | 2017-10-17 | 2019-10-15 | Toyota Research Institute, Inc. | Systems and methods for identification of objects using audio and sensor data |
| US11003767B2 (en) * | 2018-08-21 | 2021-05-11 | Beijing Didi Infinity Technology And Development Co., Ltd. | Multi-layer data model for security analytics |
-
2019
- 2019-10-10 JP JP2020551225A patent/JP7103427B2/ja active Active
- 2019-10-10 EP EP19871063.4A patent/EP3798840A4/en active Pending
- 2019-10-10 WO PCT/JP2019/040032 patent/WO2020075809A1/ja unknown
- 2019-10-10 CN CN201980057865.2A patent/CN112654969A/zh active Pending
- 2019-10-10 US US17/280,835 patent/US11962605B2/en active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009134470A (ja) * | 2007-11-29 | 2009-06-18 | Fujitsu Ltd | 故障原因推測方法、故障原因推測プログラム、及び故障原因推測装置 |
| CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
| CN104937886A (zh) * | 2013-01-30 | 2015-09-23 | 日本电信电话株式会社 | 日志分析装置、信息处理方法以及程序 |
| JP2015036891A (ja) * | 2013-08-13 | 2015-02-23 | 日本電信電話株式会社 | 監視情報分析装置及び方法 |
| JP2016173762A (ja) * | 2015-03-17 | 2016-09-29 | 株式会社リコー | 情報処理システム、電子タグ及び校正値算出方法 |
| WO2017104119A1 (ja) * | 2015-12-14 | 2017-06-22 | 日本電気株式会社 | ログ分析システム、方法およびプログラム |
| US20180365124A1 (en) * | 2015-12-14 | 2018-12-20 | Nec Corporation | Log analysis system, log analysis method, and log analysis program |
| US20170300690A1 (en) * | 2016-04-15 | 2017-10-19 | Sophos Limited | Endpoint malware detection using an event graph |
Also Published As
| Publication number | Publication date |
|---|---|
| US11962605B2 (en) | 2024-04-16 |
| EP3798840A1 (en) | 2021-03-31 |
| JP7103427B2 (ja) | 2022-07-20 |
| WO2020075809A1 (ja) | 2020-04-16 |
| EP3798840A4 (en) | 2022-03-02 |
| JPWO2020075809A1 (ja) | 2021-09-02 |
| US20220006821A1 (en) | 2022-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112654969A (zh) | 信息处理装置、数据分析方法及程序 | |
| CN110300686B (zh) | 数据分析装置及存储介质 | |
| EP3915843A1 (en) | Vehicle security monitoring device, method, and program | |
| EP4106298B1 (en) | Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method | |
| US20220224700A1 (en) | System and method for connected vehicle cybersecurity | |
| US20210306361A1 (en) | Analysis apparatus, analysis system, analysis method and program | |
| US11528325B2 (en) | Prioritizing data using rules for transmission over network | |
| US11178164B2 (en) | Data analysis apparatus | |
| CN110494330A (zh) | 车辆监视装置、不正当检测服务器、以及控制方法 | |
| CN110325410B (zh) | 数据分析装置及存储介质 | |
| US11539724B2 (en) | Centralized detection techniques for cyber-attacks directed at connected vehicles | |
| US11863574B2 (en) | Information processing apparatus, anomaly analysis method and program | |
| US20240089280A1 (en) | Attack analysis device, attack analysis method, and storage medium | |
| Singh et al. | Vehicular Data Analytics and Research Findings on Security, Economy and Safety |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |