CN113676441B - 车辆用异常检测装置及车辆用异常检测方法 - Google Patents
车辆用异常检测装置及车辆用异常检测方法 Download PDFInfo
- Publication number
- CN113676441B CN113676441B CN202110281418.4A CN202110281418A CN113676441B CN 113676441 B CN113676441 B CN 113676441B CN 202110281418 A CN202110281418 A CN 202110281418A CN 113676441 B CN113676441 B CN 113676441B
- Authority
- CN
- China
- Prior art keywords
- abnormality
- control device
- vehicle
- cause
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
车辆用异常检测装置在经由防火墙而以多层构成的车载网络中,如果发送接收部接收某个控制装置的异常信息,则异常原因候选获取部获取可能成为某个控制装置的异常的原因的其他控制装置的候选。并且,如果在异常原因候选获取部获取到的候选中存在检测到某个控制装置的异常的时刻之前产生异常的其他控制装置,则异常信息管理部将符合的其他控制装置与某个控制装置一起作为异常原因控制装置进行管理。
Description
技术领域
本发明涉及一种车辆用异常检测装置及车辆用异常检测方法。
背景技术
在日本特开2019-038331中公开了一种用于把握车辆控制的状态的电子控制装置。具体地,该电子控制装置配置为,在预先设定的监视前提条件成立时,对包含控制输入数据及执行内容数据中的至少一方的监视数据进行累积。此外,在接受了数据发送请求时,通过将累积的监视数据发送给外部装置,外部装置能够使用控制输入数据及执行内容数据等来解析导致控制输出结果的主要原因。
发明内容
但是,在上述日本特开2019-038331记载的技术中,仅能够对车载网络上产生了异常这一情况进行检测,解析异常产生的原因花费工时。
本发明鉴于上述事实,其目的在于提供一种车辆用异常检测装置及车辆用异常检测方法,其能够高效地解析在车载网络上产生的异常的原因。
本发明的第一方式为一种车辆用异常检测装置,具有:发送接收部,其在经由防火墙而以多层构成的车载网络中,接收多个控制装置中被检测到异常的某个控制装置的异常信息;异常原因候选获取部,其获取可能成为由所述发送接收部接收到的所述某个控制装置的异常的原因的、其他控制装置的候选;以及异常信息管理部,如果在所述异常原因候选获取部获取到的候选中存在检测到所述某个控制装置的异常的时刻之前产生异常的所述其他控制装置,则所述异常信息管理部将符合的其他控制装置与所述某个控制装置一起作为异常原因控制装置进行管理。
在本发明的第一方式的车辆用异常检测装置中,车载网络经由防火墙而以多层构成,具有多个控制装置。在此,发送接收部接收被检测到异常的某个控制装置的异常信息。此外,异常原因候选获取部获取可能成为异常的原因的其他控制装置的候选。
进一步地,在异常原因候选获取部获取的候选中存在检测到某个控制装置的异常的时刻之前产生异常的其他控制装置的情况下,异常信息管理部将符合的其他控制装置作为异常原因控制装置进行管理。此时,异常信息管理部将某个控制装置和其他控制装置一起作为异常原因控制装置进行管理,因此能够容易地确定成为异常产生的原因的控制装置。
本发明的第二方式为,在上述方式中,在存在所述异常原因控制装置的异常被检测到的时刻之前产生异常的其他控制装置的情况下,将符合的其他控制装置作为新的异常原因控制装置进行管理。
在本发明的第二方式的车辆用异常检测装置中,在某个控制装置的异常检测时刻之前产生了异常的其它控制装置被作为异常原因控制装置进行管理,在该异常原因控制装置的异常检测时刻之前产生了异常的其它控制装置被作为新的异常原因控制装置进行管理。由此,能够容易地把握成为异常的起因的控制装置。
本发明的第三方式为,在上述第一或第二方式中,所述车载网络配置为包含具有外部通信装置的第一层,所述异常原因候选获取部获取与所述某个控制装置同一层的控制装置、以及将在所述第一层侧与所述同一层相邻的层和所述同一层连接的控制装置作为候选。
在本发明的第三方式的车辆用异常检测装置中,通过获取与具有外部通信装置的第一层侧相邻的控制装置作为候选,能够尽早地检测由于来自外部的攻击而产生的异常。
本发明的第四方式为,在上述第一至第三方式中,还具有攻击确定部,所述攻击确定部在由所述异常信息管理部所管理的所述异常原因控制装置的异常为与外部通信相关的异常的情况下,确定为存在来自外部的攻击。
在本发明的第四方式的车辆用异常检测装置中,通过由攻击确定部确定来自外部的攻击,从而能够尽早地实施针对攻击的对策和复原。
本发明的第五方式为,在上述第一至第四方式中,在车辆中设置有实现所述发送接收部、所述异常原因候选获取部以及所述异常信息管理部的功能的模块。
在本发明的第五方式的车辆用异常检测装置中,与模块设置在车辆外部的构成相比,能够迅速地实施针对攻击产生的检测。
本发明的第六方式为一种车辆用异常检测方法,具有:接收步骤,在该步骤中,在以多层构成且含有多个控制装置的车载网络中,接收被检测到异常的某个控制装置的信息;异常原因候选获取步骤,在该步骤中,获取可能成为在所述接收步骤中接收到的所述某个控制装置的异常的原因的、其他控制装置的候选;以及异常信息管理步骤,在该步骤中,如果在所述异常原因候选获取步骤中获取到的候选中存在检测到所述某个控制装置的异常的时刻之前产生异常的所述其他控制装置,则将符合的其他控制装置作为异常原因控制装置进行管理。
如上所述,根据本发明涉及的车辆用异常检测装置和车辆用异常检测方法,能够高效地解析在车载网络上产生的异常的原因。
附图说明
下面将参照附图描述本发明的示例性实施例的特征、优点以及技术和工业意义,其中相同的附图标记表示相同的元素,并且其中:
图1是表示包含第一实施方式涉及的车辆用异常检测装置的车载网络的整体构成的框图。
图2是表示第一实施方式涉及的车辆用异常检测装置的硬件构成的框图。
图3是表示第一实施方式涉及的车辆用异常检测装置的功能构成的框图。
图4是表示由第一实施方式涉及的车辆用异常检测装置进行的异常检测处理的流程的一个例子的流程图。
图5是表示包含第二实施方式涉及的车辆用异常检测装置的车载网络的整体构成的框图。
图6是表示包含第三实施方式涉及的车辆用异常检测装置的车载网络的整体构成的框图。
具体实施方式
<第一实施方式>
参照附图,对第一实施方式涉及的车辆用异常检测装置10(以下,适当地称为“异常检测装置10”)进行说明。
图1表示应用了异常检测装置10的车载网络12的整体构成。车载网络12配置为经由防火墙而以多层构成,在本实施方式中,作为一个例子,由第一层CL1、第二层CL2和第三层CL3这三个层构成。
第一层CL1是最外侧的层,是采用具有外部通信装置的控制装置的层。在本实施方式中,例如第一层CL1具有TCU(Telematics Communication Unit:车载通信单元)14以及IVI(In-Vehicle Infotainment:车载信息)16。此外,TCU 14和IVI 16分别为作为控制装置的ECU(Electronic Control Unit)之一,具有用于记录该ECU的本机日志的存储区域。另外,IVI 16指的是通过车载IT设备等而提供信息及娱乐的系统。此外,TCU 14构成为能够与车辆11外部的中心18实施无线通信,中心18具有存储区域,该存储区域存储作为与车辆11之间的数据的发送接收的历史的OTA历史。
第二层CL2具有以太网交换机20、网关22、以太网IDS(Intrusion DetectionSystem:入侵检测系统)24,第一层CL1和第二层CL2经由作为防火墙的以太网交换机20连接。以太网交换机20、网关22和以太网IDS 24均为ECU,以太网交换机20、TCU 14、IVI 16分别经由以太网(注册商标)的通信线而连接。
此外,以太网交换机20和以太网IDS 24通过以太网的通信线而连接,以太网交换机20和网关22通过以太网的通信线而连接。此外,本实施方式的异常检测装置10与以太网交换机20及网关22连接。具体地,异常检测装置10和以太网交换机20通过以太网的通信线而连接,异常检测装置10和网关22通过CAN(Controller Area Network)的通信线而连接。关于异常检测装置10的详细情况将在后面说明。
第三层CL3具有ECUa 26、ECUb 28、ECUc 30以及CANIDS 32,它们通过CAN的通信线与网关22连接。即,第二层CL2和第三层CL3经由作为防火墙的网关22而连接。
ECUa 26、ECUb 28以及ECUc 30是分别实施不同的车辆控制的ECU,特别地,ECUa26是实施行驶控制的高性能的ECU,具有用于记录该ECU的本机日志的存储区域。
(异常检测装置10的硬件构成)
图2中图示了异常检测装置10的硬件构成的框图。如该图2所示,异常检测装置10构成为包含CPU(Central Processing Unit)42、ROM(Read Only Memory)44、RAM(RandomAccess Memory)46、寄存器48以及通信接口50。各构成经由总线52以能够相互通信的方式连接。此外,CPU 42是处理器的一个例子,RAM 46是存储器的一个例子。
CPU 42是中央运算处理单元,执行各种程序,控制各部件。即,CPU 42从ROM 44或寄存器48读取程序,将RAM 46作为作业区域执行程序。CPU42根据在ROM 44或寄存器48中记录的程序,实施上述各构成的控制及各种运算处理。
ROM 44存储各种程序和各种数据。RAM 46作为作业区域临时存储程序或数据。寄存器48由HDD(Hard Disk Drive:硬盘驱动器)或者SSD(Solid State Drive:固态硬盘驱动器)构成,并存储包含操作系统的各种程序以及各种数据。在本实施方式中,在ROM 44中存储有用于实施异常检测处理的异常检测程序等。
通信接口50是用于异常检测装置10通过计算机网络与其他控制装置进行通信的接口,例如使用以太网、CAN等的标准。
(车辆用异常检测装置10的功能构成)
车辆用异常检测装置10使用上述硬件资源来实现各种功能。参照图3,说明车辆用异常检测装置10实现的功能构成。
如图3所示,车辆用异常检测装置10配置为,作为功能构成包含发送接收部54、车载网络信息管理部56、车载网络信息存储部58、车载日志管理部60、车载日志存储部62、正常定义信息管理部64、正常定义信息存储部66、异常信息管理部68、异常信息存储部70、异常原因候选获取部72、异常判断部74以及攻击确定部76。各功能构成通过CPU 42读取存储在ROM 44或者寄存器48中的程序并进行执行而实现。
发送接收部54经由以太网以及CAN等而实施车载网络12上的各ECU的日志以及解析结果等的发送接收。此外,发送接收部54构成为,接收构成车载网络12的各ECU中检测到异常的ECU的异常信息。进一步地,发送接收部54具有将异常信息管理部68管理的异常信息以及攻击确定部76确定为来自外部的攻击的事件发送至中心18的功能。
车载网络信息管理部56管理与车载网络12的构成相关的信息、以及车载网络12上的各ECU记录的日志的信息。此外,车载网络信息存储部58为存储车载网络12的信息的功能,在本实施方式中,车载网络信息存储部58存储有配置信息和ECU信息。配置信息指的是车载网络12的层数以及与连接到各层的ECU相关的信息。此外,ECU信息指的是与各ECU处理的协议和由各ECU记录的日志信息相关的信息。因此,如果参照ECU信息,则可知例如在TCU14中记录外部通信日志、系统监查日志以及故障代码日志。并且,车载网络信息管理部56在配置信息以及ECU信息被改变的情况下,实施在车载网络信息存储部58存储的信息的更新。
车载日志管理部60获取并管理由车载网络12上的ECU记录的日志。此外,车载日志存储部62具有存储由车载日志管理部60获取的日志的功能,并将中心18的OTA历史等存储为日志。车载日志管理部60也可以通过从各ECU自动地发送日志来获取日志。此外,也可以通过车载日志管理部60命令向各ECU发送日志来获取日志。在此,全部的日志通过在车辆中同步的时钟而被赋予时间戳。例如,作为TCU 14的外部通信日志记录有被赋予了时间戳的日志,该外部通信日志被存储于车载日志存储部62。
正常定义信息管理部64管理在各ECU中记录的日志的正常定义信息。此外,正常定义信息存储部66针对每个ECU存储正常定义信息。在此,正常定义信息指的是与正常定义相关的规则、以及白名单等。并且,正常定义信息存储部66针对在车载网络信息存储部58存储的ECU信息中记载的ECU的各种日志而存储正常定义。即,正常定义信息存储部66针对存储在车载日志存储部62中的车载日志而分别存储正常定义。因此,当通过车载网络信息管理部56更新ECU信息时,车载日志管理部60管理的日志的信息也被更新,正常定义信息管理部64更新与日志对应的正常定义信息。
异常信息管理部68具有管理在车辆11中检测到的异常信息的功能,例如,异常信息管理部68管理以太网IDS 24以及CANIDS 32的检测结果。此外,异常信息管理部68将车载日志中的正常定义之外的事件作为异常信息来管理。此时,异常信息以攻击确定的解析为单位被集中管理。异常信息存储部70为存储车辆11中的异常信息的功能,存储来自车载网络12上的ECU的异常通知。
异常原因候选获取部72获取由发送接收部54接收的可能成为某个ECU的异常的原因的其他ECU的候选作为异常原因ECU。具体地,异常原因候选获取部72获取与某个ECU同一层的ECU、以及针对同一层而将与第一层CL1侧相邻的层和同一层连接的ECU作为异常原因ECU。例如,在图1中,在发送接收部54从CANIDS 32接收到异常信息的情况下,异常原因候选获取部72获取与CANIDS 32同一层的ECU即ECUa 26作为异常原因ECU。此外,异常原因候选获取部72针对CANIDS 32而获取网关22作为异常原因ECU,所述网关22将与第一层CL1侧相邻的第二层CL2和第三层CL3连接。此外,关于本实施方式的异常原因候选获取部72,即使是作为与CANIDS 32同一层的ECU的不保持日志的ECUb 28及ECUc 30,也不会获取其作为异常原因的候选。
异常判断部74比较车载日志和正常定义信息,并将车载日志中正常定义之外信息的事件判断为异常。即,异常判断部74获取存储在车载日志存储部62中的车载日志和存储在正常定义信息存储部66中的正常定义信息,通过比较这些信息来判断是否为异常的事件。然后,在判断为异常的情况下,由异常信息管理部68作为异常信息进行管理。
在此,异常信息管理部68在异常原因候选获取部72获取的候选中存在检测到的某个ECU的异常的时刻之前产生了异常的其他ECU的情况下,将其他ECU与某个ECU一起作为异常原因ECU进行管理。
此外,异常信息管理部68在某个ECU与其它ECU一起被作为异常原因ECU进行管理的情况下,在还存在检测到其它异常原因ECU的异常的时刻之前就产生了异常的其它的ECU情况下,将符合的ECU重新作为异常原因ECU进行管理。即,异常信息管理部68根据发送接收部54接收的某个ECU的异常信息而追溯时刻,与此同时将产生了异常的ECU汇总作为异常原因ECU并存储于异常信息存储部70。
攻击确定部76将基于以太网IDS 24及CANIDS 32的异常检测作为触发而对来自外部的攻击进行确定。具体地,攻击确定部76在由异常信息管理部68管理的异常原因ECU的异常为与外部通信相关的异常的情况下,确定为来自外部的攻击。
(作用)
接着,对本实施方式的作用进行说明。
(异常检测处理的一个例子)
图4是表示基于车辆用异常检测装置的异常检测处理的流程的一个例子的流程图。该异常检测处理以如下方式执行:通过CPU 42从ROM 44或者寄存器48读取程序,在RAM46展开并执行。此外,本实施方式的异常检测处理在由发送接收部54接收到异常信息的情况下被执行(接收步骤)。
如图4所示,CPU 42在步骤S102中对异常信息实际上是否记录在日志中进行判断。具体地,CPU 42通过参考在异常产生时刻的车载日志来确认在车载日志存储部62中存储的车载日志中是否存在异常日志。然后,在步骤S102中确认了异常日志的情况下,CPU 42转移至步骤S104的处理。
另一方面,CPU 42在步骤S102中在异常产生时刻未确认异常日志的情况下,向步骤S124的处理转移。CPU 42在步骤S124中实施误报处理。即,CPU 42保留表示误报的记录。然后,CPU 42结束异常检测处理。
CPU 42在确认了异常日志的情况下,在步骤S104中获取作为异常产生的原因候选的ECU(异常原因候选获取步骤)。具体地,CPU 42通过异常原因候选获取部72的功能,获取由发送接收部54接收到的可能成为某个ECU的异常的原因的其他ECU的候选作为异常原因ECU。即,CPU 42获取与某个ECU同一层的ECU、以及针对同一层而将与第一层CL1侧相邻的层和同一层连接的ECU作为异常原因ECU。
接着,CPU 42在步骤S106中按照解析的优先级高的顺序将ECU排序。具体地,CPU42根据规定的规则,对由异常原因候选获取部72获取的多个异常原因ECU进行排序。此处所谓的规定的规则指的是向各ECU实施加权并根据该加权的数值的大小而对异常原因ECU进行排序,例如,也可以设定为随着从第三层CL3朝向第一层CL1地,加权的数值变大。此外,也可以设定为具有外部通信装置的ECU与不具有外部通信装置的ECU相比而权重的数值大。进一步地,也可以设定为越是高性能的ECU,权重的数值越大。
接着,CPU 42针对在步骤S108中以解析的优先级顺序排序的ECU,按顺序地判断在异常的产生检测时刻之前是否存在故障日志。具体地,CPU 42参照存储在车载网络信息存储部58中的各ECU的日志信息,在异常的产生检测时刻之前存在故障日志的情况下,转移到步骤S122的处理。然后,CPU42将在步骤S122中由发送接收部54接收到的异常信息作为由故障引起的异常信息而向中心18输出解析结果。此时,CPU 42向中心18通知故障代码。然后,CPU 42结束异常检测处理。
另一方面,CPU 42在异常的产生检测时刻之前没有故障日志的情况下,转移至步骤S110的处理,针对按优先级顺序排序的各ECU,列出除了故障日志之外的全部车载日志。
接着,CPU 42对在步骤S112中列举的车载日志与正常定义进行比较。具体地,CPU42通过异常判断部74的功能,依次对车载日志和正常定义信息进行比较。
CPU 42在步骤S114中判断在异常的产生检测时刻之前是否有异常日志。具体地,CPU 42在步骤S112中比较车载日志与正常定义,并在确认了正常定义之外的日志的时刻转移到步骤S114,判断为存在异常,并转移到步骤S116的处理。即,在步骤S112中,在确认了异常日志的时刻,结束车载日志与正常定义之间的比较的处理。关于步骤S116的处理,此后叙述。
CPU 42在步骤S114中判断在异常的产生的检测时刻之前不存在异常日志的情况下,即,在步骤S112中列出的全部车载日志与正常定义之间的比较结果中未确认异常日志的情况下,转移至步骤S120的处理。
CPU 42将解析结果输出到中心18,指示在步骤S120中由发送接收部54接收的异常的原因无法判定。此时,CPU 42为了将解析转交给人,向中心18通知在步骤S112中与正常定义实施了比较的车载日志的信息。然后,CPU42结束异常检测处理。
另一方面,在转移到步骤S114而判断为存在异常的情况下,CPU 42在步骤S116中判断是否为外部通信的日志。具体地,CPU 42在步骤S114中检测到的异常日志是与外部通信相关的日志的情况下,转移到步骤S118的处理。
CPU 42在步骤S118中通过攻击确定部76的功能,确定由发送接收部54接收的异常信息为来自外部的攻击,并向中心18输出解析结果。此时,CPU 42将解析中使用的一组异常信息向中心18通知。然后,CPU 42结束异常检测处理。
此外,CPU 42在步骤S116中在异常日志不是与外部通信相关的日志的情况下,转移到步骤S126的处理。然后,CPU 42在步骤S126中通过异常信息管理部68的功能,将对在步骤S114中检测的异常日志进行保持的ECU重新作为异常原因ECU进行管理(异常信息管理步骤)。然后,针对新的异常原因ECU,转移至步骤S104的处理。
如上所述,在本实施方式中,在异常原因候选获取部72获取的候选中存在检测到的某个ECU的异常的时刻之前产生了异常的其他ECU的情况下,将符合的其他ECU作为异常原因ECU进行管理(参照步骤S126)。此时,异常信息管理部68通过将某个ECU和其他ECU一起作为异常原因ECU进行管理,能够容易地确定成为异常产生的原因的ECU。由此,能够高效地进行复原。
此外,在本实施方式中,针对在步骤S126中被作为新的异常原因ECU进行管理的ECU,在步骤S114中检测到在异常检测时刻之前产生了异常的另一ECU的情况下,将符合的ECU作为新的异常原因ECU进行管理。由此,能够追溯并解析成为异常的原因的ECU,能够容易地把握成为异常的起因的ECU。
进一步地,在本实施方式中,在步骤S116的处理中,在异常日志是与外部通信相关的日志的情况下,攻击确定部76确定为攻击。由此,能够收集表示与来自外部的攻击的关联性的信息。
再进一步地,在本实施方式中,在步骤S104中通过获取与具有外部通信装置的第一层侧相邻的ECU作为候选,能够尽早地把握由于来自外部的攻击而产生的异常。如上所述,在本实施方式中,能够高效地解析在车载网络上产生的异常的原因。
此外,在上述实施方式的步骤S118中,确定由发送接收部54接收的异常信息是来自外部的攻击并向中心18输出解析结果,但也可以在此基础上向中心18通知基于攻击的影响程度。此时,在最初由发送接收部54接收的异常信息不是第三层CL3的异常(CAN层中的异常)的情况下,也可以检查是否在CAN层中产生异常。然后,在检测到异常日志的情况下,也可以将基于攻击的影响程度通知给中心18,在未检测到异常日志的情况下,也可以将影响程度未知的情况通知给中心18。
<第二实施方式>
参照图5,对第二实施方式涉及的车辆用异常检测装置80(以下,适当地称为“异常检测装置80”)进行说明。另外,对于与第一实施方式相同的构成标注相同的附图标记并适当省略说明。
在第一实施方式中,实现发送接收部54、异常原因候选获取部72以及异常信息管理部68的功能的车辆用异常检测装置10(模块)设置于车辆11,与此相对,在本实施方式中,该模块设置于车辆11的外部这一点不同。
如图5所示,本实施方式的异常检测装置80与中心18连接,该异常检测装置80与第一实施方式的异常检测装置10为相同的构成。即,异常检测装置80具有图3所示的功能构成。
此外,在车载网络12设置有临时存储部82,该临时存储部82具有车载日志存储部62以及异常信息存储部70的功能。
(作用)
接着,对本实施方式的作用进行说明。
在本实施方式中,由于异常检测装置80设置在车辆11的外部,所以使用车辆11的外部的资源进行解析。此外,解析所需的数据从车辆侧的TCU 14等被发送。因此,与第一实施方式相比,能够抑制车辆侧的资源的使用。其他作用与第一实施方式相同。
此外,在车辆11与中心18之间不能够进行通信的状态的情况下,临时存储部82作为从车辆11进行PUSH通知的数据的缓存器发挥功能。
<第三实施方式>
参照图6,对第三实施方式涉及的车辆用异常检测装置90(以下,适当地称为“异常检测装置90”)进行说明。此外,对于与第一实施方式相同的构成标注相同的附图标记并适当省略说明。
如图6所示,异常检测装置90具有与以太网交换机20以及网关22连接的第一检测装置92以及第二检测装置94。第一检测装置92及第二检测装置94分别形成为与第一实施方式的异常检测装置10相同的构成。即,第一检测装置92和第二检测装置94分别具有图3所示的功能构成。
(作用)
接着,对本实施方式的作用进行说明。
在本实施方式中,即使在第一检测装置92和第二检测装置94中的一方产生故障或异常的情况下,也能够通过第一检测装置92和第二检测装置94中的另一方来检测故障或异常。
此外,在第一检测装置92和第二检测装置94检测的检测结果不同的情况下,可知某一检测装置为故障或异常,因此中心18和车辆11不接受来自异常检测装置90的指示。由此,即使在第一检测装置92或第二检测装置94为异常的情况下,也能够良好地保护车载网络12不受外部的攻击。
另外,在本实施方式中,为了抑制使用资源是第一实施方式的异常检测装置10的两倍,也可以共用一部分功能。例如,也可以与第二检测装置94共用构成第一检测装置92的车载网络信息存储部58、车载日志存储部62、正常定义信息存储部66以及异常信息存储部70。
以上,对实施方式以及变形例进行了说明,但在不脱离本发明的主旨的范围内能够以各种方式实施是不言自明的。例如,在上述实施方式中,由第一层CL1、第二层CL2以及第三层CL3构成了车载网络12,但不限于此。例如,也可以具有第四层以上的层。在这种情况下,相邻的层也经由防火墙连接。
此外,在上述实施方式中,仅在第一层CL1配置了具有外部通信装置的ECU,但不限于此。例如,具有外部通信装置的ECU可以配置在作为第一层CL1的下层的第二层CL2。这样的ECU在异常检测处理的步骤S106中被设定为优先级比其他ECU高。
此外,在上述实施方式中由CPU 42读取软件(程序)并执行的异常检测处理,也可以由CPU以外的各种处理器执行。作为这种情况下的处理器,例示了FPGA(Field-Programmable Gate Array)等能够在制造后变更电路结构的PLD(Programmable LogicDevice)、以及ASIC(Application Specific Integrated Circuit)等具有为了用于执行特定的处理而专门设计的电路结构的处理器的专用电路等。此外,异常检测处理可以由这些各种处理器之中的一种处理器执行,也可以由相同种类或者不同种类的两种以上的处理器的组合(例如多个FPGA、以及CPU与FPGA的组合等)执行。此外,更详细而言,这些各种处理器的硬件构造是由半导体元件等电路元件组合而成的电路。
Claims (6)
1.一种车辆用异常检测装置,其具有:
发送接收部,其在经由防火墙而以多层构成的车载网络中,接收多个控制装置中被检测到异常的某个控制装置的异常信息;
异常原因候选获取部,其获取可能成为由所述发送接收部接收到的所述某个控制装置的异常的原因的、其他控制装置的候选;以及
异常信息管理部,如果在所述异常原因候选获取部获取到的候选中存在检测到所述某个控制装置的异常的时刻之前产生异常的所述其他控制装置,则所述异常信息管理部将符合的其他控制装置与所述某个控制装置一起作为异常原因控制装置进行管理。
2.根据权利要求1所述的车辆用异常检测装置,其中,
在存在所述异常原因控制装置的异常被检测到的时刻之前产生异常的其他控制装置的情况下,将符合的其他控制装置作为新的异常原因控制装置进行管理。
3.根据权利要求1或2所述的车辆用异常检测装置,其中,
所述车载网络配置为包含具有外部通信装置的第一层,
所述异常原因候选获取部获取与所述某个控制装置为同一层的控制装置、以及将在所述第一层侧与所述同一层相邻的层和所述同一层连接的控制装置作为候选。
4.根据权利要求1至3中任一项所述的车辆用异常检测装置,其中,
还具有攻击确定部,所述攻击确定部在由所述异常信息管理部所管理的所述异常原因控制装置的异常为与外部通信相关的异常的情况下,确定为存在来自外部的攻击。
5.根据权利要求1至4中任一项所述的车辆用异常检测装置,其中,
在车辆中设置有实现所述发送接收部、所述异常原因候选获取部以及所述异常信息管理部的功能的模块。
6.一种车辆用异常检测方法,具有:
接收步骤,在该步骤中,在以多层构成且含有多个控制装置的车载网络中,接收被检测到异常的某个控制装置的信息;
异常原因候选获取步骤,在该步骤中,获取可能成为在所述接收步骤中接收到的所述某个控制装置的异常的原因的、其他控制装置的候选;以及
异常信息管理步骤,在该步骤中,如果在所述异常原因候选获取步骤中获取到的候选中存在检测到所述某个控制装置的异常的时刻之前产生异常的所述其他控制装置,则将符合的其他控制装置作为异常原因控制装置进行管理。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020-086331 | 2020-05-15 | ||
| JP2020086331A JP7322806B2 (ja) | 2020-05-15 | 2020-05-15 | 車両用異常検出装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113676441A CN113676441A (zh) | 2021-11-19 |
| CN113676441B true CN113676441B (zh) | 2022-12-30 |
Family
ID=78511630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110281418.4A Active CN113676441B (zh) | 2020-05-15 | 2021-03-16 | 车辆用异常检测装置及车辆用异常检测方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11785023B2 (zh) |
| JP (1) | JP7322806B2 (zh) |
| CN (1) | CN113676441B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022091720A1 (ja) * | 2020-10-26 | 2022-05-05 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法及びプログラム |
| DE102020214945A1 (de) * | 2020-11-27 | 2022-06-02 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem |
| KR102411797B1 (ko) * | 2021-12-24 | 2022-06-22 | 쌍용자동차 주식회사 | 하드웨어 기반의 차량 사이버보안시스템 |
| JP2023149712A (ja) * | 2022-03-31 | 2023-10-13 | パナソニックIpマネジメント株式会社 | 車載装置およびログ管理方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4255366B2 (ja) | 2003-11-28 | 2009-04-15 | 富士通株式会社 | ネットワーク監視プログラム、ネットワーク監視方法、およびネットワーク監視装置 |
| JP4492702B2 (ja) * | 2008-01-11 | 2010-06-30 | トヨタ自動車株式会社 | 異常検出装置 |
| JP5639611B2 (ja) * | 2012-03-21 | 2014-12-10 | 富士重工業株式会社 | 車両の制御装置 |
| JP2014226946A (ja) * | 2013-05-17 | 2014-12-08 | トヨタ自動車株式会社 | 車両用通信装置の異常対応システム及び車両用通信装置の異常対応方法 |
| JP5849990B2 (ja) * | 2013-05-29 | 2016-02-03 | 株式会社デンソー | 車載制御装置及び車載制御システム |
| US11329953B2 (en) | 2017-03-09 | 2022-05-10 | Argus Cyber Security Ltd. | System and method for providing cyber security to an in-vehicle network |
| JP7095240B2 (ja) | 2017-08-23 | 2022-07-05 | 株式会社デンソー | 電子制御装置 |
| US10931635B2 (en) * | 2017-09-29 | 2021-02-23 | Nec Corporation | Host behavior and network analytics based automotive secure gateway |
| EP4106298B1 (en) * | 2018-01-22 | 2023-11-29 | Panasonic Intellectual Property Corporation of America | Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method |
| US11843628B2 (en) * | 2018-02-20 | 2023-12-12 | Darktrace Holdings Limited | Cyber security appliance for an operational technology network |
| JP7068912B2 (ja) | 2018-04-25 | 2022-05-17 | 三菱電機株式会社 | 情報処理装置、機器、不具合解析システム、不具合解析方法およびプログラム |
-
2020
- 2020-05-15 JP JP2020086331A patent/JP7322806B2/ja active Active
-
2021
- 2021-02-17 US US17/177,675 patent/US11785023B2/en active Active
- 2021-03-16 CN CN202110281418.4A patent/CN113676441B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20210360008A1 (en) | 2021-11-18 |
| US11785023B2 (en) | 2023-10-10 |
| JP7322806B2 (ja) | 2023-08-08 |
| JP2021179935A (ja) | 2021-11-18 |
| CN113676441A (zh) | 2021-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113676441B (zh) | 车辆用异常检测装置及车辆用异常检测方法 | |
| JP5640167B1 (ja) | ログ分析システム | |
| US8126597B2 (en) | Formulation of a preventive maintenance message relating to the functional degradations of an aircraft | |
| JP5640166B1 (ja) | ログ分析システム | |
| US9110951B2 (en) | Method and apparatus for isolating a fault in a controller area network | |
| CN110888783A (zh) | 微服务系统的监测方法、装置以及电子设备 | |
| CN105549508B (zh) | 一种基于信息合并的报警方法及装置 | |
| WO2022085260A1 (ja) | 異常検知装置、異常検知方法及びプログラム | |
| US11765191B2 (en) | Information processing device and information processing method | |
| CN111147521B (zh) | 一种企业专用网络安全事件管理系统 | |
| US10846439B2 (en) | Functional safety over trace-and-debug | |
| CN112422495B (zh) | 判定装置、判定系统、存储程序的存储介质以及判定方法 | |
| US11330013B2 (en) | Method and device for monitoring data communications | |
| US20220103583A1 (en) | Information transmission device, server, and information transmission method | |
| US20230319084A1 (en) | On-vehicle device and log management method | |
| JP2023006572A (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| JP4155208B2 (ja) | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム | |
| WO2023021840A1 (ja) | 検知ルール出力方法、及び、セキュリティシステム | |
| WO2022075076A1 (ja) | 車両用ログ収集プログラム、車載装置、車両用ログ収集システムおよび車両用ログ収集方法 | |
| WO2023233711A1 (ja) | 情報処理方法、異常判定方法、および、情報処理装置 | |
| US20240236139A1 (en) | Vehicle security analysis apparatus, method, and program storage medium | |
| JP2023128289A (ja) | 監視装置、監視システムおよび監視方法 | |
| JP2023042954A (ja) | 情報処理装置及びこれを備えた車両、情報処理方法、並びにプログラム | |
| JP6035445B2 (ja) | 情報処理システム、情報処理方法およびプログラム | |
| JP2015198455A (ja) | 処理システム、処理装置、処理方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |