CN112751822A - 通信装置及操作方法、异常判定装置及方法、存储介质 - Google Patents
通信装置及操作方法、异常判定装置及方法、存储介质 Download PDFInfo
- Publication number
- CN112751822A CN112751822A CN202011193269.8A CN202011193269A CN112751822A CN 112751822 A CN112751822 A CN 112751822A CN 202011193269 A CN202011193269 A CN 202011193269A CN 112751822 A CN112751822 A CN 112751822A
- Authority
- CN
- China
- Prior art keywords
- communication
- abnormality
- data
- type
- determination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 280
- 230000005856 abnormality Effects 0.000 title claims abstract description 264
- 238000000034 method Methods 0.000 title claims description 48
- 238000001514 detection method Methods 0.000 claims abstract description 163
- 230000001629 suppression Effects 0.000 claims abstract description 62
- 230000002159 abnormal effect Effects 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Small-Scale Networks (AREA)
- Near-Field Transmission Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Monitoring And Testing Of Transmission In General (AREA)
Abstract
本发明提供一种通信装置,其包括:第一判定部,其基于检测规则对接收到的数据进行通信异常的判定;以及设定部,其将在本次流程中由所述第一判定部判定为通信异常的数据的类别与在过去的流程中由所述第一判定部判定为通信异常的数据的类别进行比较,将在n次流程中均被判定为通信异常的数据的类别、或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,设定为抑制被所述第一判定部判定为通信异常的抑制对象,其中,n≥2。
Description
技术领域
本发明涉及通信装置、异常判定装置、通信装置的操作方法、异常判定方法及存储介质。
背景技术
在日本特开第2014-146868号公报中公开了一种技术,即,对于作为基准的接收数据,在接收到具有相同的标识符且接收间隔比预定周期短的第一数据的情况下,从作为基准的接收数据的接收时间开始直到经过预定周期为止,等待接收与第一数据具有相同的标识符的数据。在该技术中,当在等待接收的期间接收到与第一数据具有相同的标识符的第二数据时,判断为发生了欺诈(欺骗攻击等)而执行检测出周期异常时处理。
如日本特开第2014-146868号公报中所记载的技术那样,在进行通信异常的判定的技术中,以符合每台车辆既定的车载系统的通信规范的方式创建作为判定是否存在通信异常的基准的检测规则,否则会发生通信异常的错误判定。然而,在针对车载系统的通信规范互不相同的每台车辆创建检测规则的情况下,创建检测规则所需的成本较高。
发明内容
本发明是鉴于上述事实而做出的,提供一种通信装置、异常判定装置、通信装置的操作方法、异常判定方法及存储介质,其无需针对车载系统的通信规范互不相同的每台车辆创建检测规则就能够提高异常的检测精度。
本发明的第一方式提供一种通信装置,包括:第一判定部,其基于检测规则对接收到的数据进行通信异常的判定;以及设定部,其将在本次流程中由所述第一判定部判定为通信异常的数据的类别与在过去的流程中由所述第一判定部判定为通信异常的数据的类别进行比较,将在n次流程中均被判定为通信异常的数据的类别或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,设定为抑制被所述第一判定部判定为通信异常的抑制对象,其中,n≥2。
在第一方式中,基于检测规则对接收到的数据进行通信异常的判定。在此,在检测规则包括不符合车载系统的通信规范的部分的情况下,对于与该部分对应的类别的数据,反复判定为通信异常。对此,在技术方案1所述的公开内容中,将在n次流程中被反复判定为通信异常的数据的类别设定为抑制被判定为通信异常的抑制对象。
由此,将与检测规则之中不符合车载系统的通信规范的部分对应的数据的类别作为抑制对象来学习,能够无需针对车载系统的通信规范互不相同的每台车辆创建检测规则就提高异常的检测精度。另外,由于车载系统的通信规范互不相同的车辆的检测规则可以通用,因此能够削减创建检测规则等所需的成本。
在第一方式中,所述设定部也可以对于在所述n次流程中的至少一次流程中未被判定为通信异常的数据的类别或者在所述n次流程中被判定为通信异常的频率小于预定值的数据的类别,不设定为所述抑制对象。
在上述构成中,由于将在n次流程中被判定为通信异常的频率低的数据的类别不设定为抑制对象,所以能够避免将欺骗攻击等引起的通信异常设定为抑制对象。
在第一方式中,也可以对于在所述n次流程中均被判定为通信异常的数据的类别或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,所述设定部将用于抑制被所述第一判定部判定为通信异常的标识设定为有效,对于基于所述检测规则检测到通信异常的数据之中所述标识设定为有效的类别的数据,所述第一判定部不判定为通信异常。
在上述构成中,通过设定用于抑制被判定为通信异常的标识这样的简单处理,来实现将在n次流程中被反复判定为通信异常的数据的类别设定为抑制被判定为通信异常的抑制对象。
在第一方式中,也可以是所述数据为CAN通信帧,所述第一判定部基于所述检测规则,将所述帧的ID(IDentifier)异常、DLC(Data Length Code,数据长度码)异常及发送周期异常之中的至少一个检测为所述通信异常。
在CAN通信中,由欺骗攻击等引起的通信异常大多表现为CAN通信的帧的ID异常、DLC异常及发送周期异常之中的任何一个。在上述构成中,将上述各异常之中的至少一个检测为通信异常,因此能够检测欺骗攻击等引起的通信异常。
在第一方式中,所述检测规则可以是在车载系统的通信规范互不相同的多种车辆中通用的规则。
在上述构成中,由于在车载系统的通信规范互不相同的多种车辆中检测规则是通用的,因此能够削减创建检测规则等所需的成本。
在本发明的第二方式中,提供一种异常判定装置,包括:获取部,其从各自搭载有第一方式的通信装置且车载系统的通信规范相同的多台车辆,分别获取被设定为抑制对象的数据的类别;以及第二判定部,其对分别从所述多台车辆获取的、设定为所述抑制对象的数据的类别进行相互比较,并将设定为所述抑制对象的数据的类别与其他车辆均不相同的车辆或者设定为所述抑制对象的数据的类别相同的车辆相对较少的车辆判定为异常。
在第二方式中,获取部从各自搭载有通信装置且车载系统的通信规范相同的多台车辆,分别获取设定为抑制对象的数据的类别。在此,由于多台车辆的车载系统的通信规范相同,所以原理上设定为抑制对象的数据的类别相同,但对于受到欺骗攻击等的车辆而言,设定为抑制对象的数据的类别可能与其他车辆不同。
在第二方式中,通过利用这种情况,对分别从多台车辆获取的设定为抑制对象的数据的类别进行相互比较,将设定为所述抑制对象的数据的类别与其他车辆均不相同的车辆或者设定为抑制对象的数据的类别相同的车辆相对较少的车辆判定为异常。从而,无需针对车载系统的通信规范互不相同的每台车辆创建检测规则就能够提高对欺骗攻击等引起的异常的检测精度。
在第二方式中,所述第二判定部将设定为所述抑制对象的数据的类别与所述通信规范进行比较,将设定为所述抑制对象的数据的类别不符合所述通信规范的车辆也判定为异常。
在受到欺骗攻击等的车辆中,设定为抑制对象的数据的类别有时会包括不符合通信规范的数据的类别。在技术方案7所述的公开内容中,对于设定为抑制对象的数据的类别不符合通信规范的车辆也会判定为异常,因此能够进一步提高对欺骗攻击等引起的异常的检测精度。
在本发明的第三方式中,提供一种车载通信装置的操作方法,包括下述步骤:基于检测规则对接收到的数据进行通信异常的判定,将通过所述判定而在本次流程中被判定为通信异常的数据的类别与在过去的流程中被判定为通信异常的数据的类别进行比较,将在n次流程中均被判定为通信异常的数据的类别或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,设定为抑制被判定为通信异常的抑制对象,其中,n≥2。
在本发明的第四方式中,提供一种异常判定方法,包括:从车载系统的通信规范相同并且搭载有车载通信装置的多个车辆,分别获取通过第三方式的车载通信装置的操作方法设定为所述抑制对象的数据的类别,对获取的设定为所述抑制对象的所述数据的类别进行相互比较,将设定为所述抑制对象的数据的类别与其他车辆均不相同的车辆或者设定为所述抑制对象的数据的类别相同的车辆相对较少的车辆判定为异常。
在本发明的第五方式中,提供一种存储有使计算机执行通信处理的程序的非易失性存储介质,其中,所述通信处理包括下述步骤:基于检测规则对接收到的数据进行通信异常的判定,将通过所述判定而在本次流程中被判定为通信异常的数据的类别与在过去的流程中被判定为通信异常的数据的类别进行比较,将在n次流程中均被判定为通信异常的数据的类别或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,设定为抑制被判定为通信异常的抑制对象,其中,n≥2。
在本发明的第六方式中,提供一种存储有使计算机执行异常判定处理的程序的非易失性存储介质,其中,所述异常判定处理包括:在车载系统的通信规范相同的多个车辆中,从所述多个车辆分别获取通过第五方式的通信处理设定为所述抑制对象的数据的类别,
对获取的设定为所述抑制对象的所述数据的类别进行相互比较,将设定为所述抑制对象的数据的类别与其他车辆均不相同的车辆或者设定为所述抑制对象的数据的类别相同的车辆相对较少的车辆判定为异常。
通过本发明,能够无需针对车载系统的通信规范互不相同的每台车辆创建检测规则就提高对异常的检测精度。
附图说明
图1是示出实施方式所涉及的异常判定系统的概略构成的框图。
图2是通信监视ECU的功能框图。
图3是异常判定服务器的功能框图。
图4是示出由通信监视ECU执行的异常检测处理的流程图。
图5是示出误检测学习结果的一个例子的图表。
图6是示出由异常判定服务器执行的异常判定处理的流程图。
图7是用于说明根据多台车辆的误检测学习结果来判定异常的处理的概念图。
图8是用于说明通过将误检测学习结果与通信规范进行比较来判定异常的处理的概念图。
图9是示出误检测学习结果的另一个例子的图表。
图10是示出误检测学习结果的另一个例子的图表。
具体实施方式
以下,将参考附图详细描述本发明的实施方式的一个示例。如图1所示,实施方式所涉及的异常判定系统10包括,搭载于互不相同的多台车辆的多个车载系统12、及异常判定服务器50。多个车载系统12与异常判定服务器50可通过网络70进行通信。
车载系统12包括一个通信监视ECU(Electronic Control Unit,电子控制单元)14、及具备互不相同的功能的多个ECU 46。多个ECU 46各自经由CAN(Controller AreaNetwork,控制器局域网)通信总线48连接至通信监视ECU 14,在通信监视ECU 14与ECU 46之间执行遵循车载系统12的通信规范的CAN通信。另外,尽管在图1中示出了四个ECU 46,但是车载系统12所包括的ECU 46的数量不限于此。
通信监视ECU 14包括:CPU(Central Processing Unit,中央处理单元)16;ROM(Read Only Memory,只读存储器)、RAM(Random Access Memory,随机存取存储器)等存储器18;HDD(Hard Disk Drive,硬盘驱动器)、SSD(Solid State Drive,固态驱动器)等非易失性存储部20;CAN通信控制部22及无线通信控制部24。CPU 16、存储器18、存储部20、CAN通信控制部22及无线通信控制部24经由内部总线26彼此可通信地连接。
存储部20中存储有异常检测程序28,并设有结果存储区域30。通过异常检测程序28被从存储部20读取并在存储器18中展开,在存储器18中展开的异常检测程序28由CPU 16执行,从而通信监视ECU 14作为图2所示的CAN通信部32、通信异常检测部34、误检测学习部44及记录部38发挥功能。由此,通信监视ECU 14作为通信装置的一个示例发挥功能。
CAN通信部32与CAN通信控制部22协作而从CAN通信总线48接收CAN通信帧。对于由CAN通信部32接收的CAN通信帧,通信异常检测部34基于车载系统12的通信规范并基于预先规定的检测规则36来进行通信异常的判定。在本实施方式中,通信异常检测部34所检测的通信异常为以下三种类型。
(1)欺诈ID判定:将未在检测规则36中定义的ID的CAN通信帧判定为由欺骗攻击等欺诈引起的通信异常。
(2)欺诈DLC判定:将未在检测规则36中定义的DLC的CAN通信帧判定为由欺骗攻击等欺诈引起的通信异常。
(3)欺诈周期判定:将与检测规则36不同的发送周期的CAN通信帧判定为由欺骗攻击等的欺诈引起的通信异常。
另外,在本实施方式中,在搭载有车载系统12的多台车辆中,并存着车载系统12的通信规范彼此不同的车辆,而检测规则36是在车载系统的通信规范彼此不同的多种车辆中通用的规则。
误检测学习部44判定由通信异常检测部34判定为通信异常的结果是否为误检测。更具体地,误检测学习部44将在本次流程中由通信异常检测部34判定为通信异常的数据的类别,与在前一次流程中由通信异常检测部34判定为通信异常的数据的类别进行比较,并将在本次流程和前一次流程中均判定为通信异常的数据的类别作为误检测学习结果40,设定为抑制被通信异常检测部34判定为通信异常的抑制对象。
记录部38用于将误检测学习部44的检测结果(前一次流程的异常检测结果42)及误检测学习部44的学习结果(误检测学习结果40)记录在结果存储区域30中。另外,通信异常检测部34为第一判定部的一个示例,误检测学习部44为设定部的一个示例。
异常判定服务器50包括:CPU 52;ROM、RAM等存储器54;HDD、SSD等非易失性存储部56以及通信控制部58。CPU 52、存储器54、存储部56及通信控制部58经由内部总线60彼此可通信地连接。
在存储部56中存储有异常判定程序62。异常判定程序62被从存储部56读取并在存储器54中展开,在存储器54中展开的异常判定程序62由CPU 52执行,从而异常判定服务器50作为图3所示的获取部64及异常判定部66发挥功能。由此,异常判定服务器50作为异常判定装置的一个示例发挥功能。
获取部64从车载系统12的通信规范相同的多台车辆的车载系统12中分别获取设定为抑制对象的数据的类别(误检测学习结果40)。异常判定部66对分别从多台车辆中获取的、设定为抑制对象的数据的类别(误检测学习结果40)进行相互比较,将设定为抑制对象的数据的类别与其他车辆均不相同的车辆判定为异常。获取部64为获取部的一个示例,异常判定部66为第二判定部的一个示例。
接下来,作为本实施方式的作用,首先参照图3,将说明在诸如当车辆的点火开关被接通等定时由通信监视ECU 14执行的异常检测处理。
在异常检测处理的步骤100中,误检测学习部44从记录部38读取记录于记录部38的前一次流程的异常检测结果42及误检测学习结果40。在步骤102中,误检测学习部44将在步骤100中从记录部38读取的误检测学习结果40发送给通信异常检测部34。
在步骤104中,CAN通信部32将例如车辆的点火开关被断开等作为触发,判定是否终止操作。在步骤104中的判定为否定的情况下,转移到步骤106。在步骤106中,CAN通信部32判定是否接收到来自ECU46的CAN通信帧。在步骤106中的判定为否定的情况下,返回到步骤104,并重复步骤104、步骤106,直至步骤104或步骤106中的判定为肯定。
如果CAN通信部32从ECU 46接收到CAN通信帧,则在步骤106中的判定为肯定,并转移到步骤108。在步骤108中,通信异常检测部34从CAN通信部32收取由CAN通信部32接收的CAN通信帧,并基于检测规则36来判定是否存在通信异常(欺诈ID判定/欺诈DLC判定/欺诈周期判定)。
在步骤110中,通信异常检测部34判定在步骤108中是否判定为存在通信异常。在接收到的CAN通信帧不属于欺诈ID判定、欺诈DLC判定及欺诈周期判定中的任何一个的情况下,步骤110中的判定为否定并且返回至步骤104。
另一方面,在接收到的CAN通信帧属于欺诈ID判定、欺诈DLC判定及欺诈周期判定中的至少一个的情况下,步骤110中的判定为肯定并且转移到步骤112。在步骤112中,通信异常检测部34将本次的异常检测结果与误检测学习结果40进行比较。
在本实施方式所涉及的误检测学习结果40中,作为示例,如图5所示,针对CAN ID,可按ID、DLC、周期的各类别,能够设定表示对于判定为通信异常的掩码为有效(=有掩码)还是无效(=无掩码)的标识。在本实施方式中,掩码(标识)的初始值全部为“无效”,在判定为发生了通信异常的误检测的情况下,将对应的CAN ID及类别的掩码(标识)变更设定为“有效”。
在步骤114中,通信异常检测部34基于步骤112中的比较结果,判定与CAN ID及判定为通信异常的数据的类别(ID/DLC/周期)对应的掩码是否被设定为“有效”。在步骤114中的判定为否定的情况下,转移到步骤116,在步骤116中,通信异常检测部34将本次的异常检测结果作为本次流程的异常检测结果进行保持。另外,在步骤114的判定为肯定的情况下,转移到步骤118,在步骤118中,通信异常检测部34丢弃本次的异常检测结果。
另外,在步骤104中的判定为肯定的情况下,转移到步骤120。在步骤120中,通信异常检测部34将本次流程的异常检测结果发送给误检测学习部44。在步骤122中,误检测学习部44对前一次流程的异常检测结果42与本次流程的异常检测结果进行比较。在步骤124中,误检测学习部44基于步骤122中的异常检测结果的比较,判定在本次流程的异常检测结果中是否存在前一次流程的异常检测结果42所包括的异常。
在步骤124中的判定为否定的情况下,转移到步骤130。另一方面,在本实施方式中,由于将检测规则36设为在车载系统的通信规范互不相同的多种车辆中通用的规则,所以检测规则36有可能包括不符合车载系统的通信规范的部分。而且,在检测规则36包括不符合车载系统的通信规范的部分的情况下,对于与该部分对应的类别的数据,反复判定为通信异常(在前一次流程与本次流程中均判定为通信异常),从而步骤124中的判定成为肯定。
在步骤124中的判定为肯定的情况下,转移到步骤126。在步骤126中,误检测学习部44将本次流程的异常检测结果中的、前一次流程的异常检测结果42所包括的异常添加到误检测学习结果40(将对应的数据的类别的掩码(标识)设定为“有效”)。然后,误检测学习部44将误检测学习结果40输出至记录部38,记录部38将误检测学习结果40记录在结果存储区域30中。另外,在步骤128中,误检测学习部44将从本次流程的异常检测结果添加到误检测学习结果40的异常从本次流程的异常检测结果中删除。
在步骤130中,误检测学习部44将本次流程的异常检测结果发送给通信异常检测部34。然后,在步骤132中,通信异常检测部34将本次流程的异常检测结果输出至记录部38,记录部38将从通信异常检测部34输入的本次流程的异常检测结果作为异常检测结果42记录在结果存储区域30中。
接下来,参考图6,将描述以诸如每周一次的定时,由异常判定服务器50定期执行的异常判定处理。
在异常判定处理的步骤150中,获取部64通过网络70分别从车载系统的通信规范相同的多台车辆的车载系统12收集误检测学习结果40。在步骤152中,异常判定部66对在步骤150中分别从多台车辆收集的误检测学习结果40进行相互比较。然后,在步骤154中,异常判定部66基于在步骤152中对误检测学习结果40进行相互比较的结果,判定是否存在误检测学习结果40与其他车辆均不相同的车辆。
作为一个示例,图7示出的例子为,从车辆A~车辆C收集误检测学习结果A~误检测学习结果C并进行相互比较的结果,来自车辆B的误检测学习结果B在CAN ID为0x100时,“周期”的掩码(标识)为“有效”的部分(图7中用虚线包围而示出的部分)与来自其他的车辆A、车辆C的误检测学习结果A、误检测学习结果C不同。在这种情况下,步骤154中的判定为肯定,并转移到步骤160。
在步骤160中,异常判定部66将误检测学习结果40与其他车辆均不相同的车辆,判定为因受到欺骗攻击等而发生了异常的车辆。然后,在步骤162中,异常判定部66执行将判定为发生了异常的车辆进行通知的异常输出处理,并终止异常判定处理。另外,作为异常输出处理,例如可以列举使设置在异常判定服务器50的显示部显示判定为发生了异常的车辆的处理、或向判定为发生了异常的车辆的车载系统12通知异常的发生的处理等。
另外,在步骤154中的判定为否定的情况下,转移到步骤156。在步骤156中,异常判定部66将每台车辆的误检测学习结果40与通信规范分别进行比较。然后,在步骤158中,异常判定部66判定是否存在误检测学习结果40不符合通信规范的车辆。
作为一个示例,图8示出的例子为,将某个车辆的误检测学习结果与通信规范进行比较的结果,在误检测学习结果中存在未在通信规范中规定的CAN ID为0x220的掩码(标识)串(图8中用虚线包围的部分)。在这种情况下,步骤158中的判定为肯定,并转移到步骤160。然后,将误检测学习结果40不符合通信规范的车辆判定为因受到欺骗攻击等而发生了异常的车辆(步骤160),并进行异常输出处理(步骤162)。另外,在步骤158中的判定为否定的情况下,终止异常判定处理。
如以上说明所示,在本实施方式中,通信异常检测部34基于检测规则36,对CAN通信部32接收到的数据(CAN通信帧)进行通信异常的判定。误检测学习部44将在本次流程中由通信异常检测部34判定为通信异常的数据的类别,与在前一次流程中由通信异常检测部34判定为通信异常的数据的类别进行比较。然后,误检测学习部44将在本次流程和前一次流程这两次(n=2)流程中均判定为通信异常的数据的类别,设定为抑制被通信异常检测部34判定为通信异常的抑制对象。从而,无需针对车载系统12的通信规范互不相同的每台车辆创建检测规则36就能够提高异常的检测精度。另外,由于车载系统12的通信规范互不相同的车辆可以通用检测规则36,因此能够削减创建检测规则等所需的成本。
另外,在本实施方式中,误检测学习部44将在本次流程和前一次流程这两次(n=2)流程中的至少一次流程中未被判定为通信异常的数据的类别不设定为所述抑制对象。由此,能够抑制将欺骗攻击等引起的通信异常设定为抑制对象。
另外,在本实施方式中,误检测学习部44对于在本次流程和前一次流程这两次(n=2)流程中均判定为通信异常的数据的类别,将用于抑制被通信异常检测部34判定为通信异常的标识设定为有效。并且,通信异常检测部34对于基于检测规则36检测到通信异常的数据之中所述标识被设定为有效的类别的数据,不判定为通信异常。由此,通过设定用于抑制被判定为通信异常的标识这样的简单处理,能够实现将在两次流程中均被判定为通信异常的数据的类别设定为抑制被判定为通信异常的抑制对象。
进一步地,在本实施方式中,接收到的数据为CAN通信帧,通信异常检测部34基于检测规则36,将CAN通信帧的ID异常、DLC异常及发送周期异常中的至少一个检测为通信异常。由此,能够检测欺骗攻击等引起的通信异常。
另外,在本实施方式中,将检测规则36设为在车载系统12的通信规范互不相同的多种车辆中通用的规则。由此,能够削减创建检测规则等所需的成本。
另外,在本实施方式中,获取部64从各自搭载有通信监视ECU 14且车载系统12的通信规范相同的多台车辆中,分别获取设定为抑制对象的数据的类别(误检测学习结果40)。异常判定部66对分别从多台车辆中获取的误检测学习结果40进行相互比较,将误检测学习结果40与其他车辆均不相同的车辆判定为异常。从而,无需针对车载系统12的通信规范互不相同的每台车辆创建检测规则36就能够提高对欺骗攻击等引起的异常的检测精度。
另外,在本实施方式中,异常判定部66将误检测学习结果40与车载系统12的通信规范进行比较,并将误检测学习结果40不符合车载系统12的通信规范的车辆也判定为异常。由此,能够进一步提高对欺骗攻击等引起的异常的检测精度。
另外,虽然在上述描述了如下的方式,即,将在本次流程和前一次流程这两次(n=2)流程中均判定为通信异常的数据的类别,设定为抑制被通信异常检测部34判定为通信异常的抑制对象,但并不限于此。例如,也可以将在包括本次流程的三次以上(n≧3)流程中均判定为通信异常的数据的类别,设定为抑制被通信异常检测部34判定为通信异常的抑制对象。另外,例如,也可以将在n次流程中判定为通信异常的频率为预定值以上的数据的类别,设定为抑制被通信异常检测部34判定为通信异常的抑制对象。
另外,在上述中,作为误检测学习结果40的一个示例,说明了图5所示的构成,但并不限于该构成。作为一个示例,图9所示的误检测学习结果可以针对CAN ID、CAN通信总线、ID、DLC、周期的各类别来设定掩码(标识)。在图9所示的示例中,在判定为发生了通信异常的误检测的情况下,将对应于CAN ID、CAN通信总线及类别的掩码(标识)变更设定为“有效”。另外,作为一个示例,图10所示的误检测学习结果可以针对每个CAN ID来设定掩码(标识),在判定为发生了通信异常的误检测的情况下,将对应于CAN ID的掩码(标识)变更设定为“有效”。误检测学习结果40可以是图9或图10所示的构成。
另外,在上述说明中,作为通信异常,说明了分别检测CAN通信帧的ID异常、DLC异常及发送间隔异常的方式,但并不限于此,也可以检测选自ID异常、DLC异常及发送间隔异常中的一个或多个异常。
另外,在上述说明了如下的方式,即,在异常判定处理(图6)中,将误检测学习结果40与其他车辆均不相同的车辆判定为因受到欺骗攻击等而发生了异常的车辆,但并不限于此。也可以将误检测学习结果40相同的车辆很少的车辆,判定为因受到欺骗攻击等而发生了异常的车辆。
另外,在上述说明中,作为车载系统中的通信的一个示例描述了CAN通信,但本发明并不限于CAN通信,例如也可以应用于LIN(局域互连网络)、FlexRay等公知的其他通信。
Claims (11)
1.一种通信装置,包括:
第一判定部,其基于检测规则对接收到的数据进行通信异常的判定;以及
设定部,其将在本次流程中由所述第一判定部判定为通信异常的数据的类别与在过去的流程中由所述第一判定部判定为通信异常的数据的类别进行比较,将在n次流程中均被判定为通信异常的数据的类别、或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,设定为抑制被所述第一判定部判定为通信异常的抑制对象,其中,n≥2。
2.根据权利要求1所述的通信装置,其中,
所述设定部对于在所述n次流程中的至少一次流程中未被判定为通信异常的数据的类别、或者在所述n次流程中被判定为通信异常的频率小于预定值的数据的类别,不设定为所述抑制对象。
3.根据权利要求1或2所述的通信装置,其中,
对于在所述n次流程中均被判定为通信异常的数据的类别、或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,所述设定部将用于抑制被所述第一判定部判定为通信异常的标识设定为有效,
对于基于所述检测规则检测到通信异常的数据之中所述标识设定为有效的类别的数据,所述第一判定部不判定为通信异常。
4.根据权利要求1至3中任意一项所述的通信装置,其中,
所述数据为CAN通信帧,
所述第一判定部基于所述检测规则,将所述帧的ID异常、DLC异常及发送周期异常之中的至少一个检测为所述通信异常。
5.根据权利要求1至4中任意一项所述的通信装置,其中,
所述检测规则是在车载系统的通信规范互不相同的多种车辆中通用的规则。
6.一种异常判定装置,包括:
获取部,其从分别搭载有权利要求1至5中任意一项所述的通信装置且车载系统的通信规范相同的多台车辆,分别获取设定为所述抑制对象的数据的类别;以及
第二判定部,其对所述获取的、设定为所述抑制对象的数据的类别进行相互比较,并将设定为所述抑制对象的数据的类别与其他车辆均不相同的车辆、或者设定为所述抑制对象的数据的类别相同的车辆相对较少的车辆判定为异常。
7.根据权利要求6所述的异常判定装置,其中,
所述第二判定部将设定为所述抑制对象的数据的类别与所述通信规范进行比较,将设定为所述抑制对象的数据的类别不符合所述通信规范的车辆也判定为异常。
8.一种车载通信装置的操作方法,包括:
基于检测规则对接收到的数据进行通信异常的判定,
将通过所述判定而在本次流程中被判定为通信异常的数据的类别与在过去的流程中被判定为通信异常的数据的类别进行比较,将在n次流程中均被判定为通信异常的数据的类别、或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,设定为抑制被判定为通信异常的抑制对象,其中,n≥2。
9.一种异常判定方法,包括:
从车载系统的通信规范相同并且搭载有车载通信装置的多个车辆,分别获取通过权利要求8所述的车载通信装置的操作方法设定为所述抑制对象的数据的类别,
对所述获取的、设定为所述抑制对象的数据的类别进行相互比较,将设定为所述抑制对象的数据的类别与其他车辆均不相同的车辆、或者设定为所述抑制对象的数据的类别相同的车辆相对较少的车辆判定为异常。
10.一种存储介质,其为存储有使计算机执行通信处理的程序的非易失性存储介质,其中,
所述通信处理包括:
基于检测规则对接收到的数据进行通信异常的判定,
将通过所述判定而在本次流程中被判定为通信异常的数据的类别与在过去的流程中被判定为通信异常的数据的类别进行比较,将在n次流程中均被判定为通信异常的数据的类别、或者在所述n次流程中被判定为通信异常的频率为预定值以上的数据的类别,设定为抑制被判定为通信异常的抑制对象,其中,n≥2。
11.一种存储介质,其为存储有使计算机执行异常判定处理的程序的非易失性存储介质,其中,
所述异常判定处理包括:
在车载系统的通信规范相同的多个车辆中,从所述多个车辆分别获取通过权利要求10所述的通信处理设定为所述抑制对象的数据的类别,
对所述获取的、设定为所述抑制对象的数据的类别进行相互比较,将设定为所述抑制对象的数据的类别与其他车辆均不相同的车辆、或者设定为所述抑制对象的数据的类别相同的车辆相对较少的车辆判定为异常。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019199374A JP7226248B2 (ja) | 2019-10-31 | 2019-10-31 | 通信装置および異常判定装置 |
| JP2019-199374 | 2019-10-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112751822A true CN112751822A (zh) | 2021-05-04 |
| CN112751822B CN112751822B (zh) | 2023-04-07 |
Family
ID=73013197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011193269.8A Expired - Fee Related CN112751822B (zh) | 2019-10-31 | 2020-10-30 | 通信装置及操作方法、异常判定装置及方法、存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11388566B2 (zh) |
| EP (1) | EP3817325A3 (zh) |
| JP (1) | JP7226248B2 (zh) |
| CN (1) | CN112751822B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103959718A (zh) * | 2011-12-02 | 2014-07-30 | 株式会社自动网络技术研究所 | 发送消息生成装置以及车载通信系统 |
| CN105981336A (zh) * | 2014-12-01 | 2016-09-28 | 松下电器(美国)知识产权公司 | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 |
| CN106023586A (zh) * | 2015-03-28 | 2016-10-12 | 英特尔公司 | 用于检测车辆交通模式中的异常的技术 |
| US20170345294A1 (en) * | 2014-12-26 | 2017-11-30 | Panasonic Intellectual Property Management Co., Ltd. | Abnormality detection device, abnormality detection system, and program |
| CN107534560A (zh) * | 2015-10-09 | 2018-01-02 | 松下电器(美国)知识产权公司 | 安全装置、攻击检测方法以及程序 |
| CN107925600A (zh) * | 2015-12-16 | 2018-04-17 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| CN108886480A (zh) * | 2016-07-05 | 2018-11-23 | 松下电器(美国)知识产权公司 | 异常检测电子控制单元、车载网络系统以及异常检测方法 |
| CN109716414A (zh) * | 2016-12-30 | 2019-05-03 | 同济大学 | 一种多模态道路交通异常检测方法 |
| CN110191018A (zh) * | 2019-05-28 | 2019-08-30 | 百度在线网络技术(北京)有限公司 | 车辆can总线的异常监测方法、装置和计算机设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5700000B2 (ja) | 2012-08-27 | 2015-04-15 | トヨタ自動車株式会社 | 車両 |
| JP5919205B2 (ja) | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| DE102015205670A1 (de) * | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug |
| JP6298021B2 (ja) * | 2015-07-30 | 2018-03-20 | トヨタ自動車株式会社 | 攻撃検知システムおよび攻撃検知方法 |
| JP6849528B2 (ja) * | 2016-07-28 | 2021-03-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム |
| US11856006B2 (en) * | 2017-11-27 | 2023-12-26 | Nippon Telegraph And Telephone Corporation | Abnormal communication detection apparatus, abnormal communication detection method and program |
| EP3745654B1 (en) * | 2018-01-22 | 2022-09-14 | Panasonic Intellectual Property Corporation of America | Vehicle abnormality detection server, vehicle abnormality detection system, and vehicle abnormality detection method |
-
2019
- 2019-10-31 JP JP2019199374A patent/JP7226248B2/ja active Active
-
2020
- 2020-10-20 US US17/074,702 patent/US11388566B2/en active Active
- 2020-10-22 EP EP20203262.9A patent/EP3817325A3/en not_active Withdrawn
- 2020-10-30 CN CN202011193269.8A patent/CN112751822B/zh not_active Expired - Fee Related
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103959718A (zh) * | 2011-12-02 | 2014-07-30 | 株式会社自动网络技术研究所 | 发送消息生成装置以及车载通信系统 |
| CN105981336A (zh) * | 2014-12-01 | 2016-09-28 | 松下电器(美国)知识产权公司 | 不正常检测电子控制单元、车载网络系统以及不正常检测方法 |
| US20170345294A1 (en) * | 2014-12-26 | 2017-11-30 | Panasonic Intellectual Property Management Co., Ltd. | Abnormality detection device, abnormality detection system, and program |
| CN106023586A (zh) * | 2015-03-28 | 2016-10-12 | 英特尔公司 | 用于检测车辆交通模式中的异常的技术 |
| CN107534560A (zh) * | 2015-10-09 | 2018-01-02 | 松下电器(美国)知识产权公司 | 安全装置、攻击检测方法以及程序 |
| CN107925600A (zh) * | 2015-12-16 | 2018-04-17 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| CN108886480A (zh) * | 2016-07-05 | 2018-11-23 | 松下电器(美国)知识产权公司 | 异常检测电子控制单元、车载网络系统以及异常检测方法 |
| CN109716414A (zh) * | 2016-12-30 | 2019-05-03 | 同济大学 | 一种多模态道路交通异常检测方法 |
| CN110191018A (zh) * | 2019-05-28 | 2019-08-30 | 百度在线网络技术(北京)有限公司 | 车辆can总线的异常监测方法、装置和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7226248B2 (ja) | 2023-02-21 |
| EP3817325A2 (en) | 2021-05-05 |
| EP3817325A3 (en) | 2021-07-14 |
| US20210136541A1 (en) | 2021-05-06 |
| CN112751822B (zh) | 2023-04-07 |
| JP2021072582A (ja) | 2021-05-06 |
| US11388566B2 (en) | 2022-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10911182B2 (en) | In-vehicle information processing for unauthorized data | |
| US10992688B2 (en) | Unauthorized activity detection method, monitoring electronic control unit, and onboard network system | |
| KR102601578B1 (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
| WO2018168291A1 (ja) | 情報処理方法、情報処理システム、及びプログラム | |
| CN111970229B (zh) | 一种针对多种攻击方式的can总线数据异常检测方法 | |
| CN111133727B (zh) | 用于识别对串行通信系统的攻击的方法和设备 | |
| US11694489B2 (en) | Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit | |
| CN111311912B (zh) | 车联网检测数据确定方法、装置及电子设备 | |
| CN110147090B (zh) | 控制器局域网总线关闭故障处理方法及系统 | |
| CN111903095B (zh) | 检测装置及其方法以及记录介质 | |
| CN111130935A (zh) | CAN Bus off快、慢恢复时间测试方法与装置和设备及存储介质 | |
| CN112751822B (zh) | 通信装置及操作方法、异常判定装置及方法、存储介质 | |
| CN113328983A (zh) | 非法信号检测装置 | |
| CN108965234B (zh) | 用于保护网络防止网络攻击的方法 | |
| JP7273875B2 (ja) | 判定装置、移動体、判定方法及びプログラム | |
| JP2020145547A (ja) | 不正送信データ検知装置 | |
| CN115664788B (zh) | 一种通信数据劫持监控方法及存储介质、电子设备 | |
| CN111010325A (zh) | 用于基于规则的异常识别的装置和方法 | |
| US20230231794A1 (en) | Information processing device, vehicle, information processing method, and storage medium | |
| US20240080179A1 (en) | Signal determination device, movable object, signal determination method, and computer readable storage medium | |
| US12141222B2 (en) | Communication permission list generation device, communication permission list generation method, and non-transitory computer readable-medium | |
| US20240080331A1 (en) | Abnormality determination apparatus, mobile object, abnormality determination method, and computer-readable storage medium | |
| CN117640281A (zh) | 装置和方法 | |
| CN116168534A (zh) | 一种道路拥堵检测方法、服务器及系统 | |
| CN112448942A (zh) | 用于识别网络中的变差的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20230407 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |