CN114450683A - 异常检测方法、程序以及异常检测系统 - Google Patents

异常检测方法、程序以及异常检测系统 Download PDF

Info

Publication number
CN114450683A
CN114450683A CN202080067597.5A CN202080067597A CN114450683A CN 114450683 A CN114450683 A CN 114450683A CN 202080067597 A CN202080067597 A CN 202080067597A CN 114450683 A CN114450683 A CN 114450683A
Authority
CN
China
Prior art keywords
detection result
detection
received
result
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080067597.5A
Other languages
English (en)
Inventor
氏家良浩
岸川刚
平野亮
芳贺智之
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN114450683A publication Critical patent/CN114450683A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

异常检测方法是多个ECU相连的车载网络系统中的异常检测方法,多个ECU中的至少一个ECU分别具有针对接收到的消息判定是否满足预定规则的检测部,并将判定出的检测结果发送至网络,异常检测方法包括如下处理:(i)从网络接收检测结果,将接收到的检测结果存储于存储器;(ii)判定在预定时间内是否接收到检测结果,将判定结果与检测结果关联而存储于存储器;(iii)将包含关联有判定结果的检测结果的消息向外部输出。

Description

异常检测方法、程序以及异常检测系统
技术领域
本公开涉及用于在车载网络系统中检测异常的异常检测方法、程序以及异常检测系统。
背景技术
近年来,在汽车内的系统中配置有许多被称为电子控制装置(ECU:ElectronicControl Unit)的装置。连接这些ECU的网络被称为车载网络。车载网络存在许多标准。其中最主流的车载网络之一是ISO11898-1中规定的CAN(Controller Area Network,控制器域网)这一标准。在CAN中,通信路径由两条总线构成,连接于总线的ECU被称为节点。连接于总线的各节点收发(发送和接收)被称为帧的消息(报文)。在CAN中,不存在指出发送目的地节点或发送源节点的标识符,发送节点对每帧赋予被称为消息ID的ID进行发送,各接收节点仅接收预先确定的消息ID。因此,存在如下威胁:通过将ECU连接于CAN的总线,冒充正规的ECU来发送包含异常的控制命令的帧,能够不正常地(非法地)控制汽车。
为了应对所述威胁,提出了一般通过对CAN中的数据域附加消息认证码(以下记作MAC)来进行发送从而检测不正常消息的方法(专利文献1)。另外,作为不使用加密密钥的不正常消息的检测方法,提出了通过观测消息间的周期来检测不正常消息的注入的方法(专利文献2)。
现有技术文献
专利文献1:日本专利第5770602号公报
专利文献2:日本专利第5919205号公报
发明内容
发明所要解决的问题
然而,在上述专利文献1中,由于通过由双方保持加密密钥来实现不正常消息的检测,因此不仅成本高,而且存在如在密钥泄漏时会被无效这样的问题。另外,在上述专利文献2中,存在如下问题:在通过周期等的观测来单独进行不正常消息的注入的检测的情况下,该检测功能本身成为攻击对象,该检测功能被无效。
于是,本公开为了解决上述问题,目的在于提供能够实现更安全的车载网络系统的异常检测方法等。
用于解决问题的技术方案
为了达成上述目的,作为本公开的一个技术方案的异常检测方法是多个电子控制装置相连的车载网络系统中的异常检测方法,所述多个电子控制装置中的至少一个电子控制装置分别具有针对接收到的消息判定是否满足预定规则的检测部,并将判定出的检测结果发送至网络,所述异常检测方法包括如下处理:(i)从所述网络接收检测结果,将接收到的检测结果存储于存储器;(ii)判定在预定时间内是否接收到检测结果,将判定结果与检测结果关联而存储于所述存储器;(iii)将包含关联有所述判定结果的检测结果的消息向外部输出。
发明效果
根据本公开,能够实现更安全的车载网络系统。
附图说明
图1是表示实施方式1中的车载网络系统的整体构成的一例的图。
图2是表示实施方式1中的ECU的构成的一例的图。
图3是表示实施方式1中的检测规则的一例的图。
图4是表示实施方式1中的GW-ECU的构成的一例的图。
图5是表示实施方式1中的检测结果状态消息的格式的一例的图。
图6是表示实施方式1中的检测结果管理表的一例的图。
图7是表示实施方式1中的通信ECU的构成的一例的图。
图8是表示实施方式1中的服务器的构成的一例的图。
图9是表示实施方式1中的与检测结果通信有关的时序(sequence)的一例的图。
图10是表示实施方式1中的与标志(flag)设定有关的时序的一例的图。
图11是表示实施方式1的变形例中的ECU的构成的一例的图。
图12是表示实施方式2中的车载网络系统的整体构成的一例的图。
图13是表示实施方式2中的检测规则的一例的图。
图14是表示实施方式2中的GW-ECU的构成的一例的图。
图15是表示实施方式2中的检测结果状态消息的格式的一例的图。
图16是表示实施方式2中的检测结果管理表的一例的图。
图17是表示实施方式2中的通信ECU的构成的一例的图。
图18是表示实施方式2中的IVI的构成的一例的图。
图19是表示实施方式2中的与检测结果通信有关的时序的一例的图。
图20是表示实施方式2中的与标志设定有关的时序的一例的图。
图21是表示实施方式2的变形例1中的检测结果状态消息的格式的一例的图。
图22是表示实施方式2的变形例2中的GW-ECU的构成的一例的图。
图23是表示实施方式2的变形例3中的GW-ECU的构成的一例的图。
图24是表示实施方式2的变形例3中的与标志设定有关的时序的一例的图。
具体实施方式
本公开的一个实施方案中的异常检测方法是多个电子控制装置相连的车载网络系统中的异常检测方法,所述多个电子控制装置中的至少一个电子控制装置分别具有针对接收到的消息判定是否满足预定规则的检测部,并将判定出的检测结果发送至网络,所述异常检测方法包括如下处理:(i)从所述网络接收检测结果,将接收到的检测结果存储于存储器;(ii)判定在预定时间内是否接收到检测结果,将判定结果与检测结果关联而存储于所述存储器;(iii)将包含关联有所述判定结果的检测结果的消息向外部输出。
车载网络系统中相连的电子控制装置虽然设置有用于检测车载网络系统中的异常的检测部,但是存在检测部受到攻击等而检测部自身发生异常的情况。检测部会将判定出的检测结果发送至网络,但在检测部自身发生异常的情况下,有时会无法在预定时间内从网络接收到检测结果。换言之,当在预定时间内无法从网络接收到检测结果的情况下,存在检测部自身发生了异常的可能性。于是,本公开中,将表示在预定时间内是否接收到检测结果的判定结果与检测结果关联,并将包含关联有判定结果的检测结果的消息向车辆的外部输出。由此,车辆外部的装置通过分析关联有判定结果的检测结果,能够适当地区分是车载网络系统内发生了异常还是检测发生的异常的检测部自身发生了异常。因此,能够担保车辆整体的安全性,能够实现更安全的车载网络系统。
另外,也可以,在所述(i)中,定期地从所述网络接收检测结果,且每次将接收到的检测结果存储于所述存储器,在所述(ii)中,当没有在所述预定时间内接收到检测结果的情况下,将所述判定结果与最后接收到的检测结果关联而存储于所述存储器。
检测部会定期地将判定出的检测结果发送至网络,但在检测部自身发生异常的情况下,有时会无法在预定时间内从网络接收到检测结果。于是,在本方案中,当没有在预定时间内接收到检测结果的情况下,将判定结果与最后接收到的检测结果关联,并将包含关联有判定结果的最后接收到的检测结果的消息向车辆的外部输出。由此,车辆外部的装置通过分析关联有判定结果的检测结果,能够适当地区分是车载网络系统内发生了异常还是检测发生的异常的检测部自身发生了异常。
另外,也可以,在所述(i)中,还对接收到的检测结果关联进行了接收的时刻而存储,在所述(ii)中,当没有在所述预定时间内接收到检测结果的情况下,基于与最后接收到的检测结果相关联的时刻,判定最后接收到的检测结果是否为最新的检测结果,在最后接收到的检测结果不是最新的检测结果的情况下,将所述判定结果与最后接收到的检测结果关联而存储于所述存储器。
例如,根据接收到检测结果的时刻,能够判定检测结果是否为最新的检测结果。当没有在预定时间内接收到检测结果的情况下,在最后接收到的检测结果不是最新的检测结果的情况下,存在检测部自身发生了异常的可能性,因此将判定结果与最后接收到的检测结果关联。另一方面,即使在没有在预定时间内接收到检测结果的情况下,在最后接收到的检测结果是最新的检测结果的情况下,也认为现状没有问题,能够使得判定结果不与最后接收到的检测结果关联。此外,在时间进一步经过也还是没有接收到检测结果,且最后接收到的检测结果变得不是最新的检测结果的情况下,判定结果将会与最后接收到的检测结果关联。
另外,也可以,在所述(ii)中,当在所述预定时间内接收到检测结果的情况下,在该检测结果表示异常时,将包含该检测结果的消息向外部输出。
据此,即使在预定时间内接收到检测结果的情况下,在该检测结果表示异常时,也能够将包含表示异常的检测结果的消息向外部输出。由此,车辆外部的装置能够分析发生的异常。
另外,也可以,所述至少一个电子控制装置为至少两个电子控制装置,在所述(ii)中,按所述至少两个电子控制装置中的每一个,判定在所述预定时间内是否接收到检测结果,在所述至少两个电子控制装置中存在没有在所述预定时间内接收到检测结果的电子控制装置的情况下,将所述判定结果与关于该电子控制装置的检测结果关联而存储于所述存储器。
如此,也可以在车载网络系统中相连的至少两个电子控制装置中设置用于检测车载网络系统中的异常的检测部。
另外,也可以,在所述(iii)中向外部输出的消息包含所述至少两个电子控制装置中的每一个的检测结果、和与所述至少两个电子控制装置中的每一个的检测结果相关联的所述判定结果。
据此,至少两个电子控制装置中的每一个的检测结果以及与该检测结果相关联的判定结果被汇总于一个消息,因此能够削减通信量。
另外,也可以,所述异常检测方法还包括:判定所述车载网络系统中的车辆的状态,在所述(ii)中,根据所述车辆的状态,判定是否将所述判定结果与检测结果关联。
根据车辆的状态,存在也可以不将判定结果与检测结果关联的情况。于是,如本方案这样,通过根据车辆的状态,判定是否将判定结果与检测结果关联,能够输出与车辆的状态相应的适当的信息。
另外,也可以,所述网络是所述多个电子控制装置进行消息的收发的车载网络。
如此,发送检测部的检测结果的网络也可以是多个电子控制装置进行消息的收发的车载网络。
另外,也可以,所述网络是所述至少一个电子控制装置内的网络。
如此,发送检测部的检测结果的网络也可以是电子控制装置内的网络。
另外,也可以,所述检测部对控制器域网即CAN(Controller Area Network)消息、以太网即Ethernet(注册商标)消息或者电子控制装置的系统日志(system log),作为接收到的消息,判定是否满足所述预定规则。
据此,能够判定CAN消息、Ethernet消息或者电子控制装置的系统日志的异常。
本公开的一个实施方案中的程序是用于使计算机执行上述异常检测方法的程序。
据此,能提供能够实现更安全的车载网络系统的程序。
本公开的一个实施方案中的异常检测系统是多个电子控制装置相连的车载网络系统中的异常检测系统,所述多个电子控制装置中的至少一个电子控制装置分别具有针对接收到的消息判定是否满足预定规则的检测部,并将判定出的检测结果发送至网络,所述异常检测系统具备:存储器,其存储从所述网络接收到的检测结果;检测结果管理部,其判定在预定时间内是否接收到检测结果,并将判定结果与检测结果关联而存储于所述存储器;以及通信部,其将包含关联有所述判定结果的检测结果的消息向外部输出。
据此,能提供能够实现更安全的车载网络系统的异常检测系统。
以下,参照附图,对本公开的实施方式所涉及的异常应对方法进行说明。此外,以下说明的实施方式均表示本公开的优选的一具体例子。也即是说,以下的实施方式中所示的数值、形状、材料、构成要素、构成要素的配置和连接形态、步骤和步骤的顺序等是本公开的一例,并非旨在限定本公开。本公开基于权利要求书的记载而确定。因此,以下的实施方式中的构成要素中的没有记载在本公开的表示最上位概念的独立权利要求中的构成要素并非是为了达成本公开的课题所必须的,而作为构成更优选的方式的构成要素来说明。
(实施方式1)
[1.系统的构成]
在此,作为本公开的实施方式1,参照附图对车载网络系统1000进行说明。
[1.1车载网络系统1000的整体构成]
图1是表示实施方式1中的车载网络系统1000的整体构成的一例的图。
车载网络系统1000由车辆1001以及经由网络与车辆1001连接而工作的服务器1400构成。在车载网络系统1000中,经由各种车载网络进行消息收发的多个电子控制装置(以下称为ECU)相连接。
车辆1001构成为包括:通过各种车载网络连接的ECU1100a、1100b和1100c;作为各ECU的控制对象的制动器(刹车)1011、方向盘1012和加速器(油门)1013;对ECU1100a~1100c各自的连接进行中继的GW-ECU1200;以及经由车载网络与GW-ECU1200进行通信的通信ECU1300。
ECU1100a~1100c通过车载网络,相互收发通信消息,从而实现车辆的控制。车载网络例如使用CAN。
GW-ECU1200通过车载网络与其他ECU进行通信,负责进行传送(转发)的处理。
通信ECU1300与服务器1400进行通信,实施服务器1400与车辆1001内的其他ECU间的消息的收发。
服务器1400从远程实施用于担保车辆1001的安全性的监视。
车载网络系统1000中设置有异常检测系统。异常检测系统是用于实现更安全的车载网络系统的系统,具备存储器、检测结果管理部和通信部。在实施方式1中,异常检测系统由GW-ECU1200实现。通过这样的使用于实现更安全的车载网络系统的功能集中于特定的装置(在此为GW-ECU1200),能够降低车辆内网络的负荷。另一方面,也可以将这种用于实现更安全的车载网络系统的功能分散地配置于车辆内的多个装置,在该情况下,能够减轻各个装置的负荷,能够有助于整体成本的降低。
车载网络系统1000中的多个ECU中的至少一个ECU分别具有检测部。在实施方式1中,作为至少一个ECU,着眼于ECU1100a进行说明。
[1.2ECU1100a的构成图]
图2是表示实施方式1中的ECU1100a的构成的一例的图。ECU1100a由通信部1101、消息转换部1102、检测部1103和检测规则保持部1104构成。此外,ECU1100b和1100c也与ECU1100a为同样的构成,因此,在此省略说明。
通信部1101进行与各种传感器或者通过车载网络的其他ECU的通信。通信部1101将接收到的消息或者传感器值通知给消息转换部1102。另外,通信部1101将由消息转换部1102或者检测部1103通知的消息发送给其他ECU或者各种传感器。
消息转换部1102将经由通信部1101从各种传感器通知的传感器值基于车载网络的格式进行转换,并经由通信部1101向其他ECU发送。另外,消息转换部1102将由通信部1101接收到的通信消息转换为传感器値或者设定信息,并经由通信部1101发送给各种传感器。另外,消息转换部1102将接收到的传感器值或者消息通知给检测部1103。
检测部1103针对接收到的消息,判定是否满足预定规则。具体而言,检测部1103使用检测规则保持部1104所保持的检测规则,对接收到的消息进行判定。检测部1103将判定出的检测结果(换言之是表示检测部1103的判定的结果的检测结果)发送(具体而言是定期地发送)至网络。在实施方式1中,该网络是多个ECU进行消息的收发的车载网络。
检测规则保持部1104保持由检测部1103使用的检测规则。图3中表示检测规则的一例。
[1.3检测规则的一例]
图3是表示实施方式1中的检测规则的一例的图。图3所示的检测规则包含用于检测车载网络的消息的异常的规则。具体而言,检测规则包含规则的编号(No.)、被判定的数据的类别、成为对象的数据的ID、该ID的数据的内容以及判定规则(预定规则)。例如,在接收到的消息所包含的数据在判定规则的范围外的情况下,检测结果为错误(NG),在接收到的消息所包含的数据在判定规则的范围内的情况下,检测结果为正常(OK)。例如,ECU1100a的检测部1103针对从制动器1011取得的消息,判定是否满足预定规则。检测部1103在该消息所包含的ID1的数据(刹车踩踏量)表示的值在0~100的范围外的情况下,作为检测结果而判定为NG,并将判定结果发送至车载网络。
[1.4GW-ECU1200的构成图]
图4是表示实施方式1中的GW-ECU1200的构成的一例的图。如上所述,在实施方式1中,GW-ECU1200是异常检测系统的一例。GW-ECU1200由通信部1201、检测结果管理部1202、检测结果保持部1203和传送处理部1204构成。
通信部1201经由车载网络与其他ECU进行通信,并将接收消息通知给检测结果管理部1202和传送处理部1204。另外,通信部1201将从检测结果管理部1202和传送处理部1204通知的消息发送给其他ECU。
检测结果管理部1202根据从通信部1201通知的与检测结果有关的接收消息,取得检测结果,并与周边信息一起向检测结果保持部1203保存(存储)。另外,检测结果管理部1202从检测结果保持部1203的保持内容,判定各ECU(例如ECU1100a)的检测结果状态,并经由通信部1201向通信ECU1300发送检测结果状态消息。图5表示检测结果状态消息的消息格式的一例。详情后述,检测结果管理部1202判定在预定时间内是否接收到检测结果,并将判定结果与检测结果关联而存储于检测结果保持部1203。将包含关联有判定结果的检测结果的消息称为检测结果状态消息。
检测结果保持部1203是存储从网络接收到的检测结果的存储器的一例。检测结果保持部1203存储并保持从检测结果管理部1202收到通知的检测结果数据。另外,检测结果保持部1203根据来自检测结果管理部1202的读取指示,通知该检测结果数据。图6表示具体的保持内容的一例。
传送处理部1204按照预先决定的规则,实施车辆1001内的消息的传送处理。在本实施方式中,设为将接收到的消息向其他的所有ECU传送。
[1.5检测结果状态消息的格式的一例]
图5是表示实施方式1中的检测结果状态消息的格式的一例的图。有效载荷(payload)由检测结果头(header)D1101、检测部ID D1102、标志D1103和检测结果有效载荷D1104构成。
检测结果头D1101是用于保存之后紧接的数据的类别和表示其数量的值的区域。通过将预先决定的编号放在开头,从而在表现之后的数据是表示检测结果状态的消息的同时,担负将其里面的内容传达给接收者的作用。
检测部ID D1102保存用于确定在ECU1100a、1100b和1100c中的检测部1103的数字。换言之,对ECU1100a、1100b和1100c各自的检测部1103关联有各不相同的检测部ID,根据检测部ID D1102,能够确定所接收到的检测结果是哪个ECU的检测部1103判定出的结果。
标志D1103表示是否正常地接收到了来自根据检测部ID D1102确定的检测部1103的检测结果的判定结果。换言之,标志D1103是表示在预定时间内是否接收到检测结果的判定结果的一例。关于是否正常地接收到了检测结果的判定,能够根据在预定时间内是否接收到检测结果来判定。在标志D1103中的判定结果表示没有在预定时间内接收到检测结果的情况下,存在检测部1103变为并非定期发送检测结果的状态、检测部1103自身发生了异常的可能性。
检测结果有效载荷D1104是检测部1103判定出的检测结果的一例。在存储于检测结果保持部1203的检测结果状态消息中,对检测结果关联有判定结果。
[1.6检测结果管理表的一例]
图6是表示实施方式1中的检测结果管理表的一例的图。检测结果管理表由检测结果保持部1203保持。检测结果管理表由检测部ID、对象数据、最终检测结果和最终检测结果接收时刻构成。
检测部ID是用于确定搭载于各ECU的检测部的编号。例如,检测部ID为“1”的检测部,能够确定为是搭载于ECU1100a的检测部1103,检测部ID为“2”的检测部,能够确定为是搭载于ECU1100b的检测部1103,检测部ID为“3”的检测部,能够确定为是搭载于ECU1100c的检测部1103。
所谓对象数据,表示所保存的检测结果是以什么数据为对象进行检测得到的结果。例如,ECU1100a~1100c各自的检测部1103中的检测结果表示以CAN消息为对象进行检测得到的结果。
所谓最终检测结果,表示从检测部1103定期接收的检测结果中的最后接收到的检测结果。
最终检测结果接收时刻是指接收到最后接收到的检测结果的时刻。在检测结果保持部1203中,对接收到的检测结果关联进行了接收的时刻而存储。
[1.7通信ECU1300的构成图]
图7是表示实施方式1中的通信ECU1300的构成的一例的图。通信ECU1300由车内通信部1301、转换部1302和车外通信部1303构成。
车内通信部1301将从车辆1001内的其他ECU接收到的消息通知给转换部1302。另外,车内通信部1301将由转换部1302通知的消息发送给车辆1001内的其他ECU。
转换部1302将经由车内通信部1301接收到的消息中的需要传送的数据转换为预先决定的格式,并向车外通信部1303发送。另外,转换部1302将经由车外通信部1303接收到的消息中的需要传送的数据转换为预先决定的格式,并向车内通信部1301发送。
车外通信部1303将从服务器1400接收到的消息通知给转换部1302。另外,车外通信部1303将由转换部1302通知的消息发送给服务器1400。
[1.8服务器1400的构成图]
图8表示实施方式1中的服务器1400的构成图。服务器1400由通信部1401和车辆管理部1402构成。
通信部1401进行与车辆1001的通信,将接收到的消息通知给车辆管理部1402。另外,将从车辆管理部1402通知的内容发送给车辆1001。
车辆管理部1402经由通信部1401与车辆1001进行通信,并基于从车辆1001接收到的包含关联有判定结果的检测结果的消息,管理车辆1001内的用于检测异常的检测部是否在正常工作。
[1.9检测结果通信时序的一例]
图9是表示实施方式1中的与检测结果通信有关的时序的一例的图。此外,图9也是表示实施方式1中的异常检测方法的一例的时序图。在图9中,表示了ECU1100a向GW-ECU1200通知检测结果、且向通信ECU1300传达在GW-ECU1200中进行判定得到的结果的时序的一例。
(S1101)GW-ECU1200在预先规定的预定时间内等待接收来自ECU1100a的检测结果。ECU1100a将检测结果(具体而言是包含检测结果的消息)发送至网络,GW-ECU1200从网络接收检测结果,并将接收到的检测结果存储在既定的地方(例如检测结果保持部1203)。具体而言,ECU1100a定期将检测结果发送至网络,GW-ECU1200定期从网络接收检测结果,且每次将接收到的检测结果存储于检测结果保持部1203。此外,ECU1100b和1100c也与ECU1100a同样地发送检测结果,GW-ECU1200也接收来自ECU1100b和1100c的检测结果,但在此也着眼于ECU1100a进行说明。
(S1102)GW-ECU1200判定在预定时间内(例如从最后接收到检测结果起预定时间内)是否接收到检测结果。GW-ECU1200在没有在预定时间内接收到检测结果的情况下前进至S1103,在接收到的情况下前进至S1104。预定时间没有特别限定,例如可根据定期从正常的ECU1100a接收的检测结果的接收间隔来确定。
(S1103)GW-ECU1200进行用于对消息设立标志的处理。处理的详情利用图10来说明。
(S1104)GW-ECU1200当在预定时间内接收到检测结果的情况下,进行所接收到的检测结果是否包含NG结果的判定,并在不包含的情况下前进至S1101,在包含的情况下前进至S1105。
(S1105)GW-ECU1200按照预先决定的算法,判断发送来检测结果的ECU1100a的状态。在本实施方式中,哪怕只有一次接收到NG结果,也判断为ECU1100a受到了攻击。另外,在接收到OK结果的情况下,判断为该ECU正常。
(S1106)GW-ECU1200向通信ECU1300发送S1105的判断结果。例如,GW-ECU1200当在预定时间内接收到检测结果的情况下,在该检测结果表示异常时,将包含该检测结果的消息向外部(服务器1400)输出。另外,GW-ECU1200将关联有表示在预定时间内是否接收到检测结果的判定结果的检测结果经由通信ECU1300向外部输出。
(S1107)GW-ECU1200完成一系列处理,返回到S1101。
[1.10标志处理时序的一例]
图10是表示实施方式1中的与标志设定有关的时序的一例的图。图10表示GW-ECU1200在预定时间内没能从ECU1100a接收到检测结果的情况下的设立标志的处理的时序的一例。
(S1201)GW-ECU1200取得最后接收到的检测结果的信息。具体而言,GW-ECU1200在没有在预定时间内接收到检测结果的情况下,取得接收到最后接收到的检测结果的时刻。
(S1202)GW-ECU1200判定是否成功接收到最新的检测结果。具体而言,GW-ECU1200在没有在预定时间内接收到检测结果的情况下,基于与最后接收到的检测结果相关联的时刻,判定最后接收到的检测结果是否为最新的检测结果。在最后接收到的检测结果不是最新的检测结果的情况下,即最终检测结果是旧的信息的情况下,前进至S1203。
(S1203)GW-ECU1200设定用于通知ECU1100a的状态的消息(图5所示的检测结果状态消息)的标志区域。具体而言,GW-ECU1200将表示预定时间内没有接收到检测结果这一情况的判定结果与最后接收到的检测结果关联而存储于检测结果保持部1203。换言之,表示存在ECU1100a的检测部1103自身发生了异常的可能性的判定结果与最后接收到的检测结果相关联而存储。而且,包含该检测结果的消息被输出到车辆1001的外部并被解析。
(实施方式1的效果)
在实施方式1所示的车载网络系统1000中,能够由车辆1001外部的装置(例如服务器1400)适当地区分是车载网络系统1000内发生了异常还是检测发生的异常的检测部1103自身发生了异常,能够担保车辆1001整体的安全性。
(实施方式1的变形例)
在实施方式1所示的车载网络系统1000中,说明了有别于具有检测部1103的ECU1100a的GW-ECU1200具有检测结果管理部1202的例子,但也可以为,具有检测部的ECU保持检测结果管理部。此外,对于与实施方式1同样的附图,省略说明,因此在此仅对与ECU1100a构成不同的ECU11100a进行说明。
在实施方式1的变形例中,作为具有检测部的至少一个ECU,着眼于ECU11100a进行说明。在实施方式1的变形例中,异常检测系统由ECU11100a实现。
[1.11ECU11100a的构成图]
图11是表示实施方式1的变形例中的ECU11100a的构成的一例的图。ECU11100a由通信部1101、消息转换部1102、检测部11103、检测规则保持部1104、检测结果管理部11105和检测结果保持部11106构成。此外,与实施方式1中的ECU1100b和1100c对应的ECU11100b和11100c(未图示)也与ECU11100a为同样的构成,因此,在此省略说明。
检测部11103针对接收到的消息,判定是否满足预定规则。具体而言,检测部11103使用检测规则保持部1104所保持的检测规则,对接收到的消息进行判定。检测部11103将判定出的检测结果发送(具体而言是定期地发送)至网络,通知给检测结果管理部11105。在实施方式1的变形例中,该网络是ECU11100a内的网络,具体而言是在ECU11100a内连接检测部11103与检测结果管理部11105的总线。
检测结果管理部11105将从检测部11103通知的检测结果与周边信息一起向检测结果保持部11106保存。另外,检测结果管理部11105从检测结果保持部11106的保持内容判定检测部11103的检测结果状态,并经由通信部1101向通信ECU1300发送检测结果状态消息。检测结果状态消息的消息格式的一例与图5所示的相同,因此省略说明。另外,检测结果管理部11105的其他功能与实施方式1中的检测结果管理部1202相同,因此省略说明。
检测结果保持部11106存储并保持从检测结果管理部11105收到通知的检测结果数据。另外,根据来自检测结果管理部11105的读取指示,通知该检测结果数据。具体的保持内容的一例与图6所示的相同,因此省略说明。
(实施方式1的变形例的效果)
在实施方式1的变形例所示的车载网络系统中,ECU11100a~11100c各自具备检测结果管理部11105,且进行自身的检测部11103本身是否发生了异常的判定。因此,即使在车载网络的多处(具体而言是ECU11100a~11100c中的两个以上的ECU)同时发生了异常的情况下,也能够由外部的装置适当地区分是车载网络系统内发生了异常还是检测发生的异常的检测部11103本身发生了异常,能够担保车辆整体的安全性。另外,由于在ECU内这一车辆内接近实际的异常的发生源的地方进行判定,因此能够在早期进行应对。另外,通过一个ECU具有检测部11103和检测结果管理部11105,能够减轻车辆内的网络的负荷。
(实施方式2)
在实施方式1所示的车载网络系统1000中,如图5所示,表示了在一个检测结果状态消息中仅包含一个特定的ECU所具有的检测部1103的检测结果的例子,而在实施方式2中,参照附图,对一个检测结果状态消息包含多个检测部的检测结果的例子进行说明。此外,对于与实施方式1同样的附图,省略说明。
[2.系统的构成]
在此,作为本公开的实施方式2,参照附图对车载网络系统2000进行说明。此外,对于与实施方式1同样的构成,在附加相同的编号的基础上省略说明。
[2.1车载网络系统2000的整体构成]
图12是表示实施方式2中的车载网络系统2000的整体构成的一例的图。在车载网络系统2000中,经由各种车载网络进行消息收发的多个ECU相连接。
车载网络系统2000由车辆2001以及经由网络与车辆2001连接而工作的服务器1400构成。
车辆2001构成为包括:通过各种车载网络连接的ECU1100a、1100b和1100c;作为各ECU的控制对象的制动器1011、方向盘1012和加速器1013;对ECU1100a~1100c的连接进行中继的GW-ECU2200;经由车载网络与GW-ECU2200进行通信的通信ECU2300;以及具有能够向驾驶员提示信息的画面的IVI(In-Vehicle Infotaiment system,车内信息娱乐系统)2500。
GW-ECU2200通过车载网络与其他ECU进行通信,负责进行传送的处理。
通信ECU2300与服务器1400进行通信,实施服务器1400与车辆2001内的其他ECU间的消息的收发。
IVI2500是经由GW-ECU2200与其他ECU通信并将车辆2001内的信息提示给驾驶员的ECU。IVI2500例如经由Ethernet与GW-ECU2200连接。
车载网络系统2000中设置有异常检测系统。异常检测系统是用于实现更安全的车载网络系统的系统,具备存储器、检测结果管理部和通信部。在实施方式2中,异常检测系统由GW-ECU2200实现。
车载网络系统2000中的多个ECU中的至少两个ECU分别具有检测部。在实施方式2中,作为至少两个ECU,着眼于ECU1100a~1100c、通信ECU2300以及IVI2500进行说明。
[2.2检测规则的一例]
图13是表示实施方式2中的检测规则的一例的图。图13所示的检测规则包含用于检测车载网络的消息的异常的规则。具体而言,检测规则包含规则的编号(No.)、被判定的数据的类别、成为对象的数据的ID、该ID的数据的内容以及判定规则(预定规则)。例如,在接收到的消息或者日志所包含的数据在判定规则的范围外的情况下,检测结果为错误(NG),在接收到的消息或者日志所包含的数据在判定规则的范围内的情况下,检测结果为正常(OK)。
例如,ECU1100a的检测部1103针对从制动器1011取得的消息,判定是否满足预定规则。ECU1100a的检测部1103在该消息所包含的ID1的数据(刹车踩踏量)表示的值在0~100的范围外的情况下,作为检测结果而判定为NG,并将判定结果发送至车载网络。
例如,ECU1100b的检测部1103针对从方向盘1012取得的消息,判定是否满足预定规则。ECU1100b的检测部1103在该消息所包含的ID2的数据(方向盘角度)表示的值在-540~540的范围外的情况下,作为检测结果而判定为NG,并将判定结果发送至车载网络。
例如,ECU1100c的检测部1103针对从加速器1013取得的消息,判定是否满足预定规则。ECU1100c的检测部1103在该消息所包含的ID3的数据(加速器开度)表示的值在0~100的范围外的情况下,作为检测结果而判定为NG,并将判定结果发送至车载网络。
例如,IVI2500的检测部2503(参照后述的图18)针对Ether消息,判定是否满足预定规则。检测部2503在该消息所包含的ID1的数据(单位时间发送频率)表示的值在100以上的情况下,作为检测结果而判定为NG,并将判定结果发送至车载网络。
例如,通信ECU2300的检测部2304(参照后述的图17)针对系统日志,判定是否满足预定规则。检测部2304在该系统日志所包含的ID1的数据(通信错误频率)表示的值在100以上的情况下,作为检测结果而判定为NG,并将判定结果发送至车载网络。
[2.3GW-ECU2200的构成图]
图14是表示实施方式2中的GW-ECU2200的构成的一例的图。如上所述,在实施方式2中,GW-ECU2200是异常检测系统的一例。GW-ECU2200由通信部1201、检测结果管理部2202、检测结果保持部2203和传送处理部1204构成。
检测结果管理部2202根据从通信部1201通知的与检测结果有关的接收消息,取得检测结果,并与周边信息一起向检测结果保持部2203保存。另外,检测结果管理部2202从检测结果保持部2203的保持内容判定各ECU(例如ECU1100a~1100c、通信ECU2300和IVI2500)的检测结果状态,并经由通信部1201向通信ECU2300发送检测结果状态消息。图15表示检测结果状态消息的消息格式的一例。详情后述,检测结果管理部2202按ECU1100a~1100c、通信ECU2300和IVI2500的每一个,判定在预定时间内是否接收到检测结果,当ECU1100a~1100c、通信ECU2300和IVI2500中存在没有在预定时间内接收到检测结果的ECU的情况下,将判定结果与关于该ECU的检测结果关联而存储于检测结果保持部2203。
检测结果保持部2203是存储从网络接收到的检测结果的存储器的一例。检测结果保持部2203存储并保持从检测结果管理部2202收到通知的检测结果数据。另外,检测结果保持部2203根据来自检测结果管理部2202的读取指示,通知该检测结果数据。图16表示具体的保持内容的一例。
[2.4检测结果状态消息的格式的一例]
图15是表示实施方式2中的检测结果状态消息的格式的一例的图。有效载荷由检测结果头D1101、检测部ID D1102、标志D1103和检测结果有效载荷D1104构成。结构的内容与实施方式1同样,因此省略说明,但如本图所示,也可以将面向多个检测部的标志放入一个消息。换言之,在实施方式2中,检测结果状态消息包含ECU1100a~1100c、通信ECU2300和IVI2500各自的检测结果、以及与ECU1100a~1100c、通信ECU2300和IVI2500各自的检测结果相关联的标志(判定结果)。
[2.5检测结果管理表的一例]
图16是表示实施方式2中的检测结果管理表的一例的图。检测结果管理表由检测结果保持部2203保持。检测结果管理表由检测部ID、对象数据、最终检测结果和最终检测结果接收时刻构成。对于与实施方式1同样的结构,省略说明。
例如,检测部ID为“4”的检测部,能够确定为是搭载于IVI2500的检测部2503,检测部ID为“5”的检测部,能够确定为是搭载于通信ECU2300的检测部2304。
例如,IVI2500的检测部2503中的检测结果表示以Ether消息为对象进行检测得到的结果,通信ECU2300的检测部2304中的检测结果表示以系统日志为对象进行检测得到的结果。
[2.6通信ECU2300的构成图]
图17是表示实施方式2中的通信ECU2300的构成的一例的图。通信ECU2300由车内通信部2301、转换部1302、车外通信部2303、检测部2304和检测规则保持部2305构成。
车内通信部2301将从车辆2001内的其他ECU接收到的消息通知给转换部1302。另外,车内通信部2301将由转换部1302和检测部2304通知的消息发送给车辆2001内的其他ECU。
车外通信部2303将从服务器1400接收到的消息通知给转换部1302。另外,车外通信部2303将由转换部1302通知的消息发送给服务器1400。再者,车外通信部2303将涉及通信的系统日志通知给检测部2304。
检测部2304针对接收到的消息(具体而言是涉及通信的系统日志),判定是否满足预定规则。具体而言,检测部2304使用检测规则保持部2305所保持的检测规则,将由车外通信部2303通知的涉及通信的系统日志进行细查,并将是否没有发生通信错误,经由车内通信部2301定期地发送至网络,通知给GW-ECU2200。在实施方式2中,该网络是多个ECU进行消息的收发的车载网络。
检测规则保持部2305保持由检测部2304使用的检测规则。由于已经在图13中说明了检测规则的一例,因此在此省略说明。
[2.7IVI2500的构成图]
图18是表示实施方式2中的IVI2500的构成的一例的图。IVI2500由通信部2501、显示部2502、检测部2503和检测规则保持部2505构成。
通信部2501通过车载网络进行与其他ECU的通信。通信部2501将接收到的消息通知给显示部2502和检测部2503。另外,通信部2501将由检测部2503通知的消息发送给GW-ECU2200。
显示部2502显示经由通信部2501接收到的内容。另外,显示部2502将驾驶员的操作内容经由通信部2501通知给其他ECU。
检测部2503针对接收到的消息,判定是否满足预定规则。具体而言,检测部2503按照检测规则保持部2505所保持的检测规则,检测朝向车内的通信中的异常,并将该检测结果经由通信部2501定期发送至网络,通知给GW-ECU2200。在实施方式2中,该网络是多个ECU进行消息的收发的车载网络。
检测规则保持部2505保持由检测部2503使用的检测规则。由于已经在图13中说明了检测规则的一例,因此在此省略说明。
[2.8检测结果通信时序的一例]
图19是表示实施方式2中的与检测结果通信有关的时序的一例的图。此外,图19也是表示实施方式2中的异常检测方法的一例的时序图。在图19中,表示了ECU1100a~1100c、通信ECU2300和IVI2500向GW-ECU2200通知检测结果、且向通信ECU2300传达在GW-ECU2200中进行判定得到的结果的时序的一例。此外,关于与实施方式1相同的处理步骤,附加相同的编号,并省略说明。
(S2101)GW-ECU2200在预先规定的预定时间内等待接收来自ECU1100a~ECU1100c、通信ECU2300和IVI2500的检测结果。ECU1100a~1100c、通信ECU2300和IVI2500分别定期将检测结果发送至网络,GW-ECU2200定期从网络接收检测结果,且每次将接收到的检测结果存储在既定的地方(例如检测结果保持部2203)。
(S2102)GW-ECU2200按ECU1100a~1100c、通信ECU2300和IVI2500的每一个,判定在预定时间内(例如从最后接收到检测结果起预定时间内)是否接收到检测结果。换言之,GW-ECU2200判定是否存在没有在预定时间内接收到检测结果的检测部。GW-ECU2200在存在没有在预定时间内接收到检测结果的检测部(具有该检测部的ECU)的情况下前进至S2103,在预定时间内从所有的ECU接收到检测结果的情况下前进至S2104。预定时间没有特别限定,例如根据定期从正常的ECU1100a~1100c、通信ECU2300和IVI2500接收的检测结果的接收间隔来确定。另外,预定时间既可以按每个ECU确定,也可以是根据ECU而不同的时间。
(S2103)GW-ECU2200进行用于对消息设立标志的处理。处理的详情利用图20来说明。
(S2104)GW-ECU2200当在预定时间内从所有的ECU接收到检测结果的情况下,进行所接收到的检测结果是否包含NG结果的判定,并在不包含的情况下前进至S2101,在包含的情况下前进至S2105。
(S2105)GW-ECU2200按照预先决定的算法,判断发送来检测结果的所有ECU的状态。在本实施方式中,哪怕只有一次接收到NG结果,也判断为成为对象的ECU受到了攻击。另外,在接收到OK结果的情况下,判定为该ECU正常。
[2.9标志处理时序的一例]
图20是表示实施方式2中的与标志设定有关的时序的一例的图。图20表示GW-ECU2200在存在预定时间内没能接收到检测结果的ECU的情况下的设立标志的处理的时序的一例。此外,关于与实施方式1相同的处理步骤,附加相同的编号,并省略说明。
(S2204)GW-ECU2200按成为对象的ECU数量,开始对于S1201~S1203的反复处理。具体而言,GW-ECU2200在ECU1100a~1100c、通信ECU2300和IVI2500中存在没有在预定时间内接收到检测结果的ECU的情况下,将判定结果与关于该ECU的检测结果关联而存储于检测结果保持部2203。更具体而言,GW-ECU2200在ECU1100a~1100c、通信ECU2300和IVI2500中存在没有在预定时间内接收到检测结果的ECU的情况下,在关于该ECU最后接收到的检测结果不是最新的检测结果时,将判定结果与关于该ECU的检测结果关联而存储于检测结果保持部2203。
(S2205)GW-ECU2200按成为对象的ECU数量,实施反复处理后,结束处理。
(实施方式2的效果)
实施方式2中所示的车载网络系统2000能够由车辆2001外部的装置适当地区分是车载网络系统2000内发生了异常还是检测发生的异常的检测部自身发生了异常,能够担保车辆2001整体的安全性。另外,如图15所示,由于将多个检测结果汇总于一个消息,因此无需将各检测结果分为多个消息而向车辆2001外发送,能够削减通信量。
(实施方式2的变形例1)
在实施方式2所示的车载网络系统2000中,如图15所示,说明了按每个具有检测部的ECU制作检测结果(检测结果有效载荷D1104)的例子,但也可以判断作为车辆而综合的检测结果。此外,对于与实施方式2同样的附图,省略说明,因此在此仅对检测结果状态消息的格式进行说明。
[2.10检测结果状态消息的格式的一例]
图21是表示实施方式2的变形例1中的检测结果状态消息的格式的一例的图。有效载荷由检测结果头D1101、检测部ID D1102、标志D1103和检测结果有效载荷D2104构成,且在最后的检测结果有效载荷D2104中,保存将所有检测结果综合而判断得到的结果。例如,也可以保存综合判断结果:在图13中规定的检测规则全部满足的情况下判定为OK,在即便有一个不满足的规则的情况下判定为NG。
(实施方式2的变形例1的效果)
实施方式2的变形例1所示的车载网络系统能够由车辆外部的装置适当地区分是车载网络系统内发生了异常还是检测发生的异常的检测部自身发生了异常,能够担保车辆整体的安全性。另外,如图21所示,由于将多个检测结果汇总于一个消息来发送,因此无需将各检测结果分为多个消息而向车辆外发送,能够削减通信量。再者,通过将个别的检测部的检测结果综合而汇总为一个判断结果,能够进一步削减通信量。
(实施方式2的变形例2)
在实施方式2所示的车载网络系统2000中,设为各ECU具有检测部进行了说明,但也可以为,GW-ECU具有与各ECU所具有的检测部相当的功能。此外,对于与实施方式2同样的附图,省略说明,在此对与GW-ECU2200构成不同的GW-ECU22200进行说明。
[2.11GW-ECU22200的构成图]
图22是表示实施方式2的变形例2中的GW-ECU22200的构成的一例的图。在实施方式2的变形例2中,GW-ECU22200也是异常检测系统的一例。GW-ECU22200由通信部22201、检测结果管理部22202、检测结果保持部2203、传送处理部1204、CAN检测部22205、检测规则保持部22206、Ether检测部22207和检测规则保持部22208构成。
通信部22201经由车载网络与其他ECU进行通信,并将接收消息通知给CAN检测部22205、Ether检测部22207和传送处理部1204。另外,通信部22201将从检测结果管理部22202和传送处理部1204通知的消息发送给其他ECU。
检测结果管理部22202将从CAN检测部22205和Ether检测部22207通知的检测结果与周边信息一起向检测结果保持部2203保存。另外,检测结果管理部22202从检测结果保持部2203的保持内容判定各ECU的检测结果状态,并经由通信部22201向通信ECU2300发送检测结果状态消息。检测结果状态消息的消息格式的一例与图15所示的相同,因此省略说明。另外,关于检测结果管理部22202的其他功能,由于与实施方式2中的检测结果管理部2202相同,因此省略说明。
CAN检测部22205是针对接收到的消息判定是否满足预定规则的检测部的一例,是与实施方式2中的ECU1100a~1100c所具有的检测部1103相当的检测部。CAN检测部22205使用检测规则保持部22206所保持的检测规则,判定所接收到的CAN消息。CAN检测部22205将判定出的检测结果发送(具体而言是定期地发送)至网络,通知给检测结果管理部22202。在实施方式2的变形例2中,该网络是GW-ECU22200内的网络,具体而言是在GW-ECU22200内连接CAN检测部22205与检测结果管理部22202的总线。
检测规则保持部22206保持由CAN检测部22205使用的检测规则。由于已经在图13中说明了检测规则的一例,因此在此省略说明。
Ether检测部22207是针对接收到的消息判定是否满足预定规则的检测部的一例,是与实施方式2中的IVI2500所具有的检测部2503相当的检测部。Ether检测部22207使用检测规则保持部22208所保持的检测规则,判定所接收到的Ether消息。Ether检测部22207将判定出的检测结果发送(具体而言是定期地发送)至网络,通知给检测结果管理部22202。在实施方式2的变形例2中,该网络是GW-ECU22200内的网络,具体而言是在GW-ECU22200内连接Ether检测部22207与检测结果管理部22202的总线。
检测规则保持部22208保持由Ether检测部22207使用的检测规则。由于已经在图13中说明了检测规则的一例,因此在此省略说明。
(实施方式2的变形例2的效果)
在实施方式2的变形例2所示的车载网络系统中,能够由车辆外部的装置适当地区分是车载网络系统内发生了异常还是检测发生的异常的检测部自身发生了异常,能够担保车辆整体的安全性。另外,通过一个GW-ECU22200具有检测部和检测结果管理部22202,能够减轻车辆内的网络的负荷。
(实施方式2的变形例3)
在实施方式2所示的车载网络系统2000中,说明了与车辆2001的状态无关地进行处理的例子,但也可以为,检测结果管理部根据车辆的状态而变更处理。此外,对于与实施方式2同样的附图,省略说明,在此对与GW-ECU2200构成不同的GW-ECU32200和标志处理时序进行说明。
[2.12GW-ECU32200的构成图]
图23是表示实施方式2的变形例3中的GW-ECU32200的构成的一例的图。在实施方式2的变形例3中,GW-ECU32200是异常检测系统的一例。GW-ECU32200由通信部1201、检测结果管理部32202、检测结果保持部2203、传送处理部1204和车辆状态管理部32201构成。
检测结果管理部32202根据从通信部1201通知的与检测结果有关的接收消息,取得检测结果,并与周边信息一起向检测结果保持部2203保存。另外,检测结果管理部32202根据检测结果保持部2203的保持内容和从车辆状态管理部32201通知的车辆的状态,判定各ECU的检测结果状态,并经由通信部1201向通信ECU2300发送检测结果状态消息。检测结果状态消息的消息格式的一例与图15所示的相同,因此省略说明。
车辆状态管理部32201判定车载网络系统中的车辆的状态,并将判定出的车辆的状态通知给检测结果管理部32202。例如,车辆状态管理部32201判定车辆处于行驶中还是停止中状态。
[2.13标志处理时序的一例]
图24是表示实施方式2的变形例3中的与标志设定有关的时序的一例的图。图24表示GW-ECU32200在存在没能在预定时间内接收到检测结果的ECU的情况下的根据车辆的状态设立标志的处理的时序的一例。此外,关于与实施方式1和2相同的处理步骤,附加相同的编号,并省略说明。
(S32202)GW-ECU32200判定是否成功接收到最新的检测结果,并在最后接收到的检测结果不是最新的检测结果的情况下,即最终检测结果是旧的信息的情况下,前进至S32206。
(S32206)GW-ECU32200判定车辆的状态。具体而言,GW-ECU32200判定车辆是否处于行驶中的状态。仅在车辆处于行驶的状态的情况下,前进至S1203。
如此,在实施方式2的变形例3中,GW-ECU32200根据车辆的状态,判定是否将判定结果关联于检测结果。
(实施方式2的变形例3的效果)
实施方式2的变形例3所示的车载网络系统为了判定是否将判定结果关联于检测结果,进而组合地使用车辆的状态,由此能够进行与发生异常的情况下的损失相应的判定,能够担保车辆整体的安全性。
(其他变形例)
此外,虽然基于上述各实施方式以及上述各变形例对本公开进行了说明,但本公开当然不限定于上述各实施方式以及上述各变形例。如下的情况也包含于本公开。
(1)在上述的实施方式中,说明了使用Ethernet、CAN协议作为车载网络的例子,但并不限于此。例如,也可以使用CAN-FD(CAN with Flexible Data Rate)、LIN(LocalInterconnect Network)、MOST(Media Oriented Systems Transport)等作为车载网络。或者,车载网络也可以是将这些网络作为子网组合而成的网络结构。
(2)在上述实施方式中,关于基于检测部和检测结果管理部的异常检测方法,说明了若干个组合,但不限定于此。既有物理上分别的ECU保持检测部和检测结果管理部的实例,也可以有同一ECU保持检测部和检测结果管理部的实例。再者,也可以有检测部和检测结果管理部分别存在一个或多个的情况,还可以有检测部为一个且存在多个检测结果管理部的情况、或者检测部为多个且存在一个检测结果管理部的情况。再者,也可以通过一个ECU或者关联性高的多个ECU所具有的多个检测结果管理部协同工作来共享标志信息(判定结果)而附加于检测结果状态消息。也即是说,在某个ECU发送的检测结果状态消息由该ECU所具有的检测结果管理部设定有标志的情况下,该ECU所具有的其他检测结果管理部或者关联性高的ECU所具有的其他检测结果管理部也可以与上述某个ECU所具有的检测结果管理部设定同样的标志。
(3)在上述实施方式中,说明了同一ECU(具体而言是GW-ECU22200)仅具有CAN和Ether的检测部的例子,但并不限定于此,并不排除还包括系统日志的检测部在内的任何组合。
(4)在上述实施方式中,说明了判定行驶状态作为车辆的状态的例子,但既可以设为由特定的ECU判定行驶状态,其他ECU经由车载网络从特定ECU取得行驶状态,也可以设为各ECU独自判定行驶状态。另外,作为车辆的状态,也可以除了行驶中、停车中或者泊车中之类的状态以外,还判定附件开启(ON)、点火开关接通(ON)、低速行驶中或高速行驶中等状态。
(5)在上述实施方式中,说明了按每个检测部设定标志的例子,但并不限定于此,也可以对多个检测部汇总设定一个标志。另外,也可以不是标志这一实现方式,而是利用特定的消息码等。
(6)在上述实施方式中,说明了指定通信错误频率作为使用系统日志的检测规则的例子,但并不限定于此,并不排除使用系统输出的日志的任何检测单元。例如,作为检测规则,也可以使用与来自外部的端口扫描结果或者系统引导时检查完整性的安全引导的失败结果等有关的规则。
(7)在上述实施方式中,作为CAN或Ethernet的通信消息中的异常检测方法,说明了使用有效载荷的值或者发送频率等的例子,但并不限定于此,并不排除使用车内的通信消息的任何检测手段。例如,也可以使用周期或者有效载荷的变化量等。
(8)上述的实施方式中的各装置具体而言是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘和鼠标等构成的计算机系统。在RAM或者硬盘单元中记录有计算机程序。微处理器按照计算机程序进行工作,由此各装置达成其功能。在此计算机程序是为了达成预定功能而组合多个表示对于计算机的指令的命令码而构成的。
(9)在上述的实施方式中的各装置中,构成的构成要素的一部分或者全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成于1个芯片上而制造出的超多功能LSI,具体而言,是包含微处理器、ROM、RAM等而构成的计算机系统。RAM中记录有计算机程序。微处理器按照计算机程序进行工作,由此系统LSI达成其功能。
另外,构成上述各装置的构成要素的各部既可以单独地单芯片化,也可以以包含一部分或全部的方式单芯片化。
另外,虽然此处设为系统LSI,但根据集成度不同,也可以称为IC、LSI、超大LSI(super LSI)、特大LSI(ultra LSI)。另外,集成电路化的方法不限于LSI,也可以通过专用电路或者通用处理器实现。也可以在LSI制造后利用可编程的FPGA(Field ProgrammableGate Array;现场可编程门阵列)或者可以对LSI内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurable processor)。
进而,随着半导体技术的发展或者派生的其他技术的出现,如果出现能够替代LSI的集成电路化的技术,当然也可以利用该技术进行功能块的集成化。作为可能性,生物技术的应用等是可能的。
(10)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的IC卡或单体模块构成。所述IC卡或所述模块是由微处理器、ROM、RAM等构成的计算机系统。所述IC卡或所述模块也可以包括上述的超多功能LSI。微处理器按照计算机程序进行工作,由此所述IC卡或所述模块达成其功能。该IC卡或该模块也可以具有防篡改性。
(11)本公开也可以是上述所示的异常检测方法。另外,本公开也可以是由计算机实现异常检测方法的计算机程序,还可以是由计算机程序形成的数字信号。
另外,本公开也可以将计算机程序或者数字信号记录于计算机可读取的非瞬时性的记录介质例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)或者半导体存储器等。另外,本公开也可以是记录在这些记录介质中的数字信号。
另外,本公开也可以将计算机程序或者数字信号经由电通信线路、无线或有线通信线路、以互联网为代表的网络或者数据广播等进行传输。
另外,本公开也可以是具备微处理器和存储器的计算机系统,存储器记录有计算机程序,微处理器按照计算机程序进行工作。
另外,也可以通过将程序或数字信号记录在记录介质中转移、或者经由网络等将程序或数字信号进行转移,由此通过独立的其他的计算机系统来实施。
(12)也可以将上述实施方式以及上述变形例分别进行组合。
产业上的可利用性
本公开例如能够应用于车载网络系统。
标号说明
1000、2000:车载网络系统
1001、2001:车辆
1100a、1100b、1100c、11100a、11100b、11100c:ECU
1011:制动器
1012:方向盘
1013:加速器
1101、1201、1401、2501、22201:通信部
1102:消息转换部
1103、11103、2304、2503:检测部
1104、2305、2505、22206、22208:检测规则保持部
1200、2200、22200、32200:GW-ECU
1202、11105、2202、22202、32202:检测结果管理部
1203、11106、2203:检测结果保持部
1204:传送处理部
1300、2300:通信ECU
1301、2301:车内通信部
1302:转换部
1303、2303:车外通信部
1400:服务器
1402:车辆管理部
2500:IVI
2502:显示部
22205:CAN检测部
22207:Ether检测部
32201:车辆状态管理部
D1101:检测结果头
D1102:检测部ID
D1103:标志
D1104、D2104:检测结果有效载荷。

Claims (12)

1.一种异常检测方法,是多个电子控制装置相连的车载网络系统中的异常检测方法,
所述多个电子控制装置中的至少一个电子控制装置分别具有针对接收到的消息判定是否满足预定规则的检测部,并将判定出的检测结果发送至网络,
所述异常检测方法包括如下处理:
(i)从所述网络接收检测结果,将接收到的检测结果存储于存储器;
(ii)判定在预定时间内是否接收到检测结果,将判定结果与检测结果关联而存储于所述存储器;
(iii)将包含关联有所述判定结果的检测结果的消息向外部输出。
2.根据权利要求1所述的异常检测方法,
在所述(i)中,定期地从所述网络接收检测结果,且每次将接收到的检测结果存储于所述存储器,
在所述(ii)中,当没有在所述预定时间内接收到检测结果的情况下,将所述判定结果与最后接收到的检测结果关联而存储于所述存储器。
3.根据权利要求2所述的异常检测方法,
在所述(i)中,还对接收到的检测结果关联进行了接收的时刻而存储,
在所述(ii)中,当没有在所述预定时间内接收到检测结果的情况下,基于与最后接收到的检测结果相关联的时刻,判定最后接收到的检测结果是否为最新的检测结果,在最后接收到的检测结果不是最新的检测结果的情况下,将所述判定结果与最后接收到的检测结果关联而存储于所述存储器。
4.根据权利要求1至3中任一项所述的异常检测方法,
在所述(ii)中,当在所述预定时间内接收到检测结果的情况下,在该检测结果表示异常时,将包含该检测结果的消息向外部输出。
5.根据权利要求1至4中任一项所述的异常检测方法,
所述至少一个电子控制装置为至少两个电子控制装置,
在所述(ii)中,
按所述至少两个电子控制装置中的每一个,判定在所述预定时间内是否接收到检测结果,
在所述至少两个电子控制装置中存在没有在所述预定时间内接收到检测结果的电子控制装置的情况下,将所述判定结果与关于该电子控制装置的检测结果关联而存储于所述存储器。
6.根据权利要求5所述的异常检测方法,
在所述(iii)中向外部输出的消息包含所述至少两个电子控制装置中的每一个的检测结果、和与所述至少两个电子控制装置中的每一个的检测结果相关联的所述判定结果。
7.根据权利要求1至6中任一项所述的异常检测方法,
所述异常检测方法还包括:判定所述车载网络系统中的车辆的状态,
在所述(ii)中,根据所述车辆的状态,判定是否将所述判定结果与检测结果关联。
8.根据权利要求1至7中任一项所述的异常检测方法,
所述网络是所述多个电子控制装置进行消息的收发的车载网络。
9.根据权利要求1至7中任一项所述的异常检测方法,
所述网络是所述至少一个电子控制装置内的网络。
10.根据权利要求1至9中任一项所述的异常检测方法,
所述检测部对控制器域网即CAN消息、以太网即Ethernet(注册商标)消息或者电子控制装置的系统日志,作为接收到的消息,判定是否满足所述预定规则。
11.一种用于使计算机执行权利要求1至10中任一项所述的异常检测方法的程序。
12.一种异常检测系统,是多个电子控制装置相连的车载网络系统中的异常检测系统,
所述多个电子控制装置中的至少一个电子控制装置分别具有针对接收到的消息判定是否满足预定规则的检测部,并将判定出的检测结果发送至网络,
所述异常检测系统具备:
存储器,其存储从所述网络接收到的检测结果;
检测结果管理部,其判定在预定时间内是否接收到检测结果,并将判定结果与检测结果关联而存储于所述存储器;以及
通信部,其将包含关联有所述判定结果的检测结果的消息向外部输出。
CN202080067597.5A 2020-01-14 2020-12-11 异常检测方法、程序以及异常检测系统 Pending CN114450683A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JPPCT/JP2020/000920 2020-01-14
PCT/JP2020/000920 WO2021144858A1 (ja) 2020-01-14 2020-01-14 異常検知システム、異常検知装置、及び異常検知方法
PCT/JP2020/046434 WO2021145116A1 (ja) 2020-01-14 2020-12-11 異常検知方法、プログラム及び異常検知システム

Publications (1)

Publication Number Publication Date
CN114450683A true CN114450683A (zh) 2022-05-06

Family

ID=76863977

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080067597.5A Pending CN114450683A (zh) 2020-01-14 2020-12-11 异常检测方法、程序以及异常检测系统

Country Status (5)

Country Link
US (1) US20220263849A1 (zh)
EP (1) EP4092552A4 (zh)
JP (1) JPWO2021145116A1 (zh)
CN (1) CN114450683A (zh)
WO (2) WO2021144858A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11711384B2 (en) * 2018-08-27 2023-07-25 Lear Corporation Method and system for detecting message injection anomalies

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5919205B2 (ja) 1980-09-04 1984-05-04 株式会社アスク研究所 地盤の掘削方法
JP3849675B2 (ja) * 2003-07-25 2006-11-22 トヨタ自動車株式会社 車両診断方法、車両診断システム、車両およびセンター
JP5668926B2 (ja) * 2010-03-31 2015-02-12 株式会社リコー ログ管理システム、伝送システム、ログ管理方法、ログ管理プログラム
JP2012086601A (ja) * 2010-10-15 2012-05-10 Toyota Motor Corp 電子制御ユニット、車載システム、ノード監視方法
JP5770602B2 (ja) 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
JP6299182B2 (ja) * 2013-11-28 2018-03-28 サクサ株式会社 死活監視システム
JP6839963B2 (ja) * 2016-01-08 2021-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、異常検知装置及び異常検知システム
WO2018105321A1 (ja) * 2016-12-06 2018-06-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置及び情報処理方法
JP7071998B2 (ja) * 2017-12-15 2022-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
JP6964274B2 (ja) * 2018-01-12 2021-11-10 パナソニックIpマネジメント株式会社 監視装置、監視システム及び監視方法
JP7113337B2 (ja) * 2018-01-12 2022-08-05 パナソニックIpマネジメント株式会社 サーバ装置、車両装置、車両用システム及び情報処理方法
JP2019174426A (ja) * 2018-03-29 2019-10-10 パナソニックIpマネジメント株式会社 異常検知装置、異常検知方法およびプログラム
JP2019197390A (ja) * 2018-05-10 2019-11-14 株式会社デンソー 移動体異常時制御装置、移動体異常時制御システムおよびその方法
WO2019225257A1 (ja) * 2018-05-23 2019-11-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知方法およびプログラム

Also Published As

Publication number Publication date
US20220263849A1 (en) 2022-08-18
WO2021145116A1 (ja) 2021-07-22
JPWO2021145116A1 (zh) 2021-07-22
EP4092552A1 (en) 2022-11-23
EP4092552A4 (en) 2023-06-14
WO2021144858A1 (ja) 2021-07-22

Similar Documents

Publication Publication Date Title
WO2019142458A1 (ja) 車両監視装置、不正検知サーバ、および、制御方法
EP3133774B1 (en) Vehicle-mounted network system, abnormality detection electronic control unit and abnormality detection method
EP3598329B1 (en) Information processing method, information processing system, and program
EP3659868B1 (en) Abnormality detection device, and abnormality detection method
US10974669B2 (en) Gateway device, vehicle network system, and transfer method
CN112437056B (zh) 安全处理方法以及服务器
CN111052681B (zh) 异常检测电子控制单元、车载网络系统及异常检测方法
CN110771099B (zh) 异常检测装置、异常检测方法以及记录介质
US20210226974A1 (en) Vehicle log transmission device, vehicle log analysis server, vehicle log analysis system, and vehicle log transmission/reception method
CN109005678B (zh) 非法通信检测方法、非法通信检测系统以及记录介质
CN109076016B9 (zh) 非法通信检测基准决定方法、决定系统以及记录介质
US11621967B2 (en) Electronic control unit, electronic control system, and recording medium
CN111492625B (zh) 非法检测方法以及非法检测装置
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
WO2018173732A1 (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
CN114450683A (zh) 异常检测方法、程序以及异常检测系统
JP2019146145A (ja) 通信装置、通信方法及びプログラム
JP6223498B2 (ja) ネットワークシステム
EP3889783A1 (en) Vehicle log transmission device, vehicle log analysis system, and vehicle log transmission/reception method
US20220286473A1 (en) Anomaly detection system and anomaly detection method
WO2023112493A1 (ja) 脅威情報展開システム、脅威情報展開方法およびプログラム
WO2022176253A1 (ja) 電子制御システム
CN118175536A (zh) 用于车辆的安全状态分析方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination