CN114731301B - 决定方法、决定系统以及程序记录介质 - Google Patents
决定方法、决定系统以及程序记录介质 Download PDFInfo
- Publication number
- CN114731301B CN114731301B CN202080081066.1A CN202080081066A CN114731301B CN 114731301 B CN114731301 B CN 114731301B CN 202080081066 A CN202080081066 A CN 202080081066A CN 114731301 B CN114731301 B CN 114731301B
- Authority
- CN
- China
- Prior art keywords
- message
- reference message
- unit
- candidates
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 128
- 230000002159 abnormal effect Effects 0.000 claims abstract description 75
- 238000004891 communication Methods 0.000 claims abstract description 40
- 238000012545 processing Methods 0.000 claims description 126
- 238000001514 detection method Methods 0.000 claims description 112
- 238000003860 storage Methods 0.000 claims description 27
- 230000006870 function Effects 0.000 description 106
- 230000005540 biological transmission Effects 0.000 description 59
- 238000010586 diagram Methods 0.000 description 42
- 238000012986 modification Methods 0.000 description 22
- 230000004048 modification Effects 0.000 description 22
- 230000008569 process Effects 0.000 description 17
- 238000004590 computer program Methods 0.000 description 14
- 230000008859 change Effects 0.000 description 13
- 230000005856 abnormality Effects 0.000 description 12
- 239000000470 constituent Substances 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000010354 integration Effects 0.000 description 6
- 125000000524 functional group Chemical group 0.000 description 5
- 239000004065 semiconductor Substances 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000012706 support-vector machine Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 239000006185 dispersion Substances 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
Abstract
一种决定方法,是用于包括网络以及与网络连接的一个以上的电子控制单元的车载网络系统(10)中的非法通信的检测的基准消息的决定方法,基准消息是在判断向网络发出的消息是否是异常消息时作为基准来使用的消息,决定方法,包括:保存步骤(S1007),保存与作为基准消息的候选的一个以上的基准消息候选有关的候选信息;第1决定步骤(S1106),根据一个以上的基准消息候选决定用于从保存步骤中保存的候选信息包括的一个以上的基准消息候选中决定基准消息的决定方法;以及第2决定步骤(S1107),利用决定方法,从一个以上的基准消息候选中决定基准消息。
Description
技术领域
本公开涉及用于网络系统中的非法通信的检测的基准消息的决定方法等。
背景技术
近年来,在汽车之中的系统中,大量配置了被称为电子控制单元(ECU:ElectronicControl Unit,以下,也记载为ECU)的装置。将这些ECU相连的网络被称为车载网络。在车载网络中,存在多个通信标准。作为其中最主流的车载网络的标准的一个,有ControllerArea Network(以下,也记载为CAN)。
在依照CAN的标准的网络(以下,也记载为CAN网络)中,通信路径(总线)由两根线缆构成,与总线连接的ECU也被称为节点。与总线连接的各节点基于被称为帧或者消息的单位来收发数据。另外在CAN中,不使用表示数据的发送目的地或者发送源的标识符。发送帧的节点(以下,也记载为发送节点)按每个消息附加表示消息的种类的被称为消息ID的ID来发送,也就是说向总线发出信号。接收消息的节点(以下,也记载为接收节点)仅接收包含预先决定的消息ID的消息,也就是说从总线读取信号。同一ID的消息按照规定的一定周期被发送。
上述那样,汽车之中的系统中配置的多个ECU,分别与CAN网络连接,在相互授受各种消息的同时进行动作。在此,与CAN网络的外部具有通信功能的ECU有可能被从外部攻击等而被劫持,而对CAN网络发送非法的消息(以下,也记载为异常消息)。这样的被劫持的ECU(以下,也记载为非法ECU)例如可能冒充其他ECU发送异常消息,对汽车非法地进行控制。用于检测这样的所谓冒充攻击的方法有,例如专利文献1所记载的方法。
(现有技术文献)
(专利文献)
专利文献1:国际公开第2014/115455号
然而,专利文献1所记载的方法中存在的为问题是,仅能够检测发生的冒充攻击,不能判断哪个消息是异常消息。为了解决该问题,可以考虑一种方法,即,决定用于判断是否是异常消息的基准消息,根据决定的基准消息个别地判断消息是否是异常消息。在此情况下,希望适当地设定基准消息。
发明内容
于是,为了解决上述课题,本公开提供一种基准消息的决定方法等,即,适当地决定用于判断向网络发出的个别的消息是否是异常消息的基准消息。
为了解决上述问题,本公开的一个形态所涉及的决定方法,是用于车载网络系统中的非法通信的检测的基准消息的决定方法,所述车载网络系统包括网络以及与所述网络连接的一个以上的电子控制单元,所述基准消息是在判断向所述网络发出的消息是否是异常消息时作为基准来使用的消息,所述决定方法,包括:保存步骤,保存候选信息,该候选信息与作为所述基准消息的候选的一个以上的基准消息候选有关;第1决定步骤,根据所述一个以上的基准消息候选决定所述决定方法,所述决定方法用于从所述保存步骤中保存的所述候选信息包括的所述一个以上的基准消息候选中决定所述基准消息;以及第2决定步骤,利用所述第1决定步骤中决定的所述决定方法,从所述一个以上的基准消息候选中决定所述基准消息。
并且,本公开的一个形态所涉及的决定系统,是用于车载网络系统中的非法通信的检测的基准消息的决定系统,所述车载网络系统包括网络以及与所述网络连接的一个以上的电子控制单元,所述决定系统具备一个以上的处理器、以及存储部,所述基准消息是在判断向所述网络发出的消息是否是异常消息时作为基准来使用的消息,所述一个以上的处理器,利用所述存储部进行如下处理,即,保存候选信息,该候选信息与作为所述基准消息的候选的一个以上的基准消息候选有关,根据所述一个以上的基准消息候选决定所述决定方法,所述决定方法用于从保存的所述候选信息包括的所述一个以上的基准消息候选中决定所述基准消息,利用所述决定方法,从所述一个以上的基准消息候选中决定所述基准消息。
并且,本公开的一个形态所涉及的程序记录介质是,用于使计算机执行上述的决定方法的程序记录介质。
另外,这些总括性或具体形态,也可以由系统、装置、方法、集成电路、计算机程序或计算机可读取的CD-ROM等的非暂时性的记录介质实现,也可以由系统、装置、方法、集成电路、计算机程序以及记录介质的任意组合实现。
根据本公开的一个形态所涉及的决定方法等,能够适当地决定用于判断向网络发出的个别的消息是否是异常消息的基准消息。
附图说明
图1是示出实施方式1的车载网络系统的整体结构的方框图。
图2是示出CAN协议的数据帧格式的图。
图3是示出实施方式1的车载网络系统中包括的网关的功能结构的一个例子的方框图。
图4是示出实施方式1的接收ID列表的数据结构的一个例子的图。
图5是示出实施方式1的网关保持的传输规则的数据结构的一个例子的图。
图6是示出实施方式1的非法检测处理功能组的功能结构的一个例子的方框图。
图7是示出实施方式1的非法检测部的功能结构的一个例子的方框图。
图8是示出实施方式1的消息的接收模式的图。
图9是示出实施方式1的车载网络系统中包括的ECU的功能结构的一个例子的方框图。
图10是示出实施方式1的非法检测处理的一个例子的流程图。
图11是示出实施方式1的基准消息决定处理的一个例子的流程图。
图12是示出实施方式2的车载网络系统的整体结构的方框图。
图13是示出实施方式2的车载网络系统中包括的网关的功能结构的一个例子的方框图。
图14是示出实施方式2的非法检测处理功能组的功能结构的一个例子的方框图。
图15是示出实施方式2的服务器的功能结构的一个例子的方框图。
图16是示出其他的变形例的非法检测处理功能组的功能结构的第一例的方框图。
图17是示出其他的变形例的非法检测处理的一个例子的流程图。
图18是示出其他的变形例的非法检测处理功能组的功能结构的第二例的方框图。
图19是示出其他的变形例的非法检测处理功能组的功能结构的第三例的方框图。
图20是示出其他的变形例的ECU的功能结构的第一例的方框图。
图21是示出其他的变形例的ECU的功能结构的第二例的方框图。
图22是示出其他的变形例的ECU的功能结构的第三例的方框图。
具体实施方式
(作为本公开的基础的知识)
若从非法ECU开始发送异常消息,则导致CAN网络的相同ID的消息中正常消息和异常消息混在一起。在这样的状况下,正常消息的发送的定时与异常消息的发送的定时非常近,或着,由攻击者故意接近,其结果为,有时异常消息的发送的定时也处于允许误差偏差内(与预测发送正常消息的定时的差处于允许偏差内)。在这样的情况下,难以区别正常消息和异常消息,误检测的发生的可能性提高。不仅消息的发送的定时,关于消息包括的数据值也会发生同样的情况。在根据这样的允许偏差内的正常消息以及异常消息决定用于判断是否是异常消息的基准消息的情况下,希望适当地设定基准消息。例如,希望将正常消息以及异常消息中的正常消息设定为基准消息。
于是,本公开的一个形态所涉及的决定方法,是用于车载网络系统中的非法通信的检测的基准消息的决定方法,所述车载网络系统包括网络以及与所述网络连接的一个以上的电子控制单元,所述基准消息是在判断向所述网络发出的消息是否是异常消息时作为基准来使用的消息,所述决定方法,包括:保存步骤,保存候选信息,该候选信息与作为所述基准消息的候选的一个以上的基准消息候选有关;第1决定步骤,根据所述一个以上的基准消息候选决定所述决定方法,所述决定方法用于从所述保存步骤中保存的所述候选信息包括的所述一个以上的基准消息候选中决定所述基准消息;以及第2决定步骤,利用所述第1决定步骤中决定的所述决定方法,从所述一个以上的基准消息候选中决定所述基准消息。
据此,决定与一个以上的基准消息候选对应的决定方法,因此,例如,在一个以上的基准消息候选中包括异常消息的情况下,能够抑制该异常消息被设定为基准消息。因此,能够决定更适当的基准消息。并且,例如,与基准消息的决定方法为固定的情况相比,能够决定更适当的基准消息。
并且,在所述第1决定步骤中也可以,计算表示对在用于决定所述基准消息的多个决定方法的每一个中,利用该决定方法从所述一个以上的基准消息候选中决定所述基准消息的适合程度的适合度,根据计算出的所述适合度决定所述决定方法。
据此,能够根据适合度,适当地决定用于决定基准消息的决定方法。
并且,在所述第1决定步骤中也可以,将所述多个决定方法中的所述适合度最高的决定方法决定为,用于从所述一个以上的基准消息候选中决定所述基准消息的决定方法。
据此,能够根据适合度,更适当地决定用于决定基准消息的决定方法。
并且,也可以是,所述适合度被计算为第2差,所述第2差为两个以上的第1差之间的差,所述第1差被计算为针对向所述网络发出的消息的预测值、与所述一个以上的基准消息候选所表示的值的每一个的差。
在基准消息候选中包括正常消息以及异常消息的情况下,有可能正常消息中的第1差的值与异常消息中的第1差的值不同。也就是说,在基准消息候选中包括异常消息时,有可能第2差变大。
于是,通过将第2差变大的决定方法决定为基准消息的决定方法,从而能够在包括正常消息以及异常消息的基准消息候选中将正常消息决定为基准消息,因此,能够更适当地决定基准消息。
并且,在所述第1决定步骤中也可以,在所述一个以上的基准消息候选所表示的值有三个以上的情况下,提取接近所述预测值的两个所述值,根据提取的两个所述值以及所述预测值计算出两个所述第1差。
据此,能够根据接近预测值的两个值、即认为适于基准消息的两个值进行决定方法的决定,因此,能够决定更适于基准消息的决定的决定方法。
并且,所述预测值也可以是,根据过去决定的所述基准消息所表示的值而被计算出的。
据此,能够利用过去的基准消息示出的值计算预测值,因此,能够减少预测值的计算中的处理量。
并且,所述预测值也可以是,通过向预先制作的预测模型输入具有同一ID的所述一个以上的基准消息候选而被获得的。
据此,通过利用预测模型,从而能够容易计算预测值。
并且,所述决定方法也可以包括用于根据向所述网络发出的消息被发送的周期来决定所述基准消息的周期判断方法以及用于根据向所述网络发出的消息中包括的数据的值来决定所述基准消息的数据判断方法的至少一个。
据此,能够利用网络中一般使用的指标即周期或数据值的任一方的判断类别,来决定基准消息。
并且,也可以是,所述决定方法还包括判断步骤,判断向所述网络发出的消息是否是异常消息,在所述一个以上的基准消息候选中包括所述判断步骤中判断为异常的所述异常消息,在所述第2决定步骤中,将所述一个以上的基准消息候选中的所述异常消息以外的消息决定为所述基准消息。
据此,在包括异常消息的情况下,能够抑制该异常消息被决定为基准消息。也就是说,能够更适当地决定基准消息。
并且,也可以是,所述决定方法还包括判断步骤,判断向所述网络发出的消息是否是异常消息,在所述第2决定步骤中,将当前的接收周期中判断为正常的一个以上的消息作为基准消息候选,在下一个接收周期之前决定所述下一个接收周期中的基准消息。
据此,在当前的接收周期内,决定下一个接收周期的基准消息,因此,能够在当前的接收周期内删除决定的基准消息以外的基准消息候选。因此,能够减少执行基准消息的决定方法的装置具有的存储装置的容量。
并且,本公开的一个形态所涉及的决定系统,是用于车载网络系统中的非法通信的检测的基准消息的决定系统,所述车载网络系统包括网络以及与所述网络连接的一个以上的电子控制单元,所述决定系统具备一个以上的处理器、以及存储部,所述基准消息是在判断向所述网络发出的消息是否是异常消息时作为基准来使用的消息,所述一个以上的处理器,利用所述存储部进行如下处理,即,保存候选信息,该候选信息与作为所述基准消息的候选的一个以上的基准消息候选有关,根据所述一个以上的基准消息候选决定所述决定方法,所述决定方法用于从保存的所述候选信息包括的所述一个以上的基准消息候选中决定所述基准消息,利用所述决定方法,从所述一个以上的基准消息候选中决定所述基准消息。并且,本公开的一个形态所涉及的程序记录介质是,用于使计算机执行上述的决定方法的程序记录介质。
据此,获得与上述的基准消息决定方法同样的效果。
以下,对于实施方式,参照附图进行具体说明。
另外,以下说明的实施方式,都示出总括性或具体例子。也就是说,以下的实施方式所示的数值、构成要素、构成要素的配置以及连接方式、步骤、步骤的顺序等是一个例子,其主旨并非是限定本公开。本公开是根据实施方案的记载确定的。因此,以下的实施方式中的构成要素之中的在本公开的实施方案中未记载的构成要素不是为了达成本公开的课题所必需的,而作为构成更优选的方式的构成要素进行说明。
(实施方式1)
[1.概要]
在此,利用进行发送的消息是否是异常消息的判断的车载网络系统的例子,参照附图说明实施方式1。
[1.1车载网络系统的整体结构]
图1是示出本实施方式的车载网络系统10的整体结构的方框图。车载网络系统10被搭载在例如车辆1。
车载网络系统10,由CAN网络构成,具备ECU(是图中的ECU100a、ECU100b、ECU100c、以及ECU100d,以下将这些ECU集合地记载为ECU100,或者指出不确定的一部分来记载为ECU100)、总线(是图中的总线200a以及总线200b,以下将这些总线集合地记载为总线200,或者指出不确定的一方来记载为总线200)、以及网关300。
ECU100a与发动机101连接,ECU100b与制动器102连接,ECU100c与门开闭传感器103连接,ECU100d与窗开闭传感器104连接。ECU100,获得分别连接的设备的状态,周期性地向总线200发出表示获得的状态的消息。例如,ECU100a,获得作为发动机101的一个状态的旋转数,向包括表示该旋转数的数据值的消息赋予规定的ID,并发出给总线200。并且,各ECU100,从总线200中读出其他的EUC100发送的消息,按照赋予到消息的ID选择性地进行接收。关于该选择性的接收留待后述。
网关300,将连接有ECU100a以及ECU100b的总线200a、与连接有ECU100c以及ECU100的总线200b连接。网关300具有将从一方的总线接收的消息传输给另一方的总线的功能。网关300也是CAN网络上的一个节点。
另外,车载网络系统10是,用于说明能够应用消息是否是异常消息的判断的非法通信检测基准决定系统(例如,基准消息的决定系统)等的对象的例子,其应用对象并不限于车载网络系统10。
[1.2消息的数据格式]
图2是示出CAN协议的数据帧格式(消息的格式)的图。在此,示出CAN协议中的标准ID格式中的消息。
消息,由Start OfFrame(帧起始,在图中及以下也记载为SOF)、ID字段、RemoteTransmission Request(远程传输请求,在图中及以下也记载为RTR)、IDentifierExtension(标识符扩展,在图中及以下也记载为IDE)、预约比特(在图中及以下也记载为r)、数据长度码(在图中及以下也也记载为DLC)、数据字段、Cycric Redundancy Check(循环冗余校验,在图中及以下也称为CRC)序列、CRC定界符(在图中为左侧的DEL)、Acknowledgement(应答,在图中及以下也记载为ACK)时隙、ACK定界符(在图中为右侧的DEL)及帧结束(在图中及以下也记载为EOF)构成。
SOF是1bit的显性。所谓显性(dominant之意),指的是在数据的传达中使用数字方式的CAN网络中,以发送“0”的值的方式构成总线的两根线缆被施加了电压的状态、或者被发送的该“0”的值。与此相对,以向该两根线缆发送“1”的值的方式被施加了电压的状态、或者被发送的该“1”的值被称为隐性(recessive之意)。在从两个节点向总线同时发送了“0”的值和“1”的值的情况下,“0”的值优先。空闲时的总线是隐性。各ECU100通过使总线200的状态从隐性向显性变化,从而开始消息的发送,其他ECU100读取该变化并进行同步。图2中的表示构成消息的显性或者隐性的线为实线的部分,表示能够取显性或者隐性的各值。SOF固定为显性,因此显性的线是实线,隐性的线是虚线。
ID是表示消息所包含的数据的种类的11bit的值。另外在CAN中,在由多个节点同时开始了发送的消息间的通信调停中,被设计为ID的值越小的消息其优先度越高。
RTR是表示帧是消息(数据帧)的1bit的显性。
IDE和r分别是1bit的显性。
DLC是表示后续的数据字段的长度的4bit的值。
数据字段是表示被发送的数据的内容的值,最大为64bit长,能够以8bit为单位调整长度。与被发送的数据向该部分的分配相关的规格依赖于车型或者制造者。
CRC序列是根据SOF、ID字段、控制字段及数据字段的发送值被计算的15bit的值。
CRC定界符是1bit的固定为隐性的表示CRC序列的结束的划分记号。接收节点通过将根据接收的消息的SOF、ID字段、控制字段及数据字段的值计算出的结果与CRC序列的值进行比较,来判断接收的消息的异常的有无。
ACK时隙为1bit长,发送节点在该部分中发送隐性。接收节点如果能够正常地接收直到CRC序列,则发送显性作为确认响应。显性优先,因此只要一个消息的通信直到CRC序列被正常进行则ACK时隙的发送时的总线200是显性。
ACK定界符是1bit的固定为隐性的表示ACK时隙的结束的划分记号。
EOF是7bit且固定为隐性,表示消息的结束。
另外,消息的数据格式是,用于说明判断消息是否是异常消息的非法通信检测基准决定系统等能够应用的对象的例子,其应用对象并不限于本数据格式。
[1.3网关的结构]
图3是示出车载网络系统10中包括的网关300的功能结构的一个例子的方框图。网关300具备,帧收发部310、帧解释部320、接收ID判断部330、接收ID列表保持部340、帧处理部350、传输规则保持部360、非法检测处理功能组370、以及帧生成部380。网关300,决定用于包括网络以及与网络连接的一个以上的电子控制单元(ECU)的车载网络系统10中的非法通信的检测的基准消息。
另外,这些构成要素是功能构成要素,网关300,作为例如具备由处理器实现的处理部、由半导体存储器等实现的存储部、由输入输出端口实现的输入输出部等的信息处理装置而被提供。上述的列举出的各功能构成要素,通过存储部保持的程序由处理部的读出以及执行、由存储部的规定的数据的保持、或经由输入输出部的数据的收发、或者这些组合来实现。
帧收发部310,对总线200a、200b分别收发依据CAN的协议的消息。更具体而言,帧收发部310,按每1bit读出发出到总线200的消息,将读出的消息传输给帧解释部320。并且,帧收发部310,按照从帧生成部380通知的总线信息,按每1bit将消息发出给总线200a以及200b。帧收发部310,通过将从总线200a接收的消息发送给总线200b,将从总线200b接收的消息发送给总线200a,从而执行总线200间的消息的传输。
帧解释部320,从帧收发部310接受消息的值,以向CAN协议中的各字段映射的方式进行帧(消息)的解释。帧解释部320将该解释中判断为ID字段的值的一连串的值,传输给接收ID判断部330。
帧解释部320,进一步,按照从接收ID判断部330通知的判断结果,决定是将消息的ID字段的值以及ID字段以后出现的数据字段传输给帧处理部350、还是中止消息的接收。
并且,帧解释部320,在判断为不遵照CAN协议的消息的情况下,向帧生成部380请求发送错误帧。错误帧是,在CAN网络上发生错误的情况下从节点发送的、与上述的消息不同的由CAN协议规定的规定的格式的帧。例如,若错误标志被发出到总线,则在该网络中的最近的消息的发送被中断。
并且,帧解释部320,在判断为接收到其他的节点发送的错误帧的情况下,废弃读取中的消息。
接收ID判断部330,从帧解释部320接受ID字段的值,根据接收ID列表保持部340保持的消息ID的列表,进行是否接收读出的消息的判断。接收ID判断部330,将该判断的结果通知给帧解释部320。
接收ID列表保持部340,保持网关300接收的消息ID的列表(以下,也称为接收ID列表)。图4是示出接收ID列表的数据结构的一个例子的图。关于接收ID列表的细节,留待利用该例子进行后述。
帧处理部350,根据传输规则保持部360保持的传输规则,并且,按照接收的消息ID决定传输目的地的总线,将传输目的地的总线、从帧解释部320通知的消息ID、以及传输的数据传递给帧生成部380。
并且,帧处理部350,将由帧解释部320接受的消息发送给非法检测处理功能组370,请求判断该消息是否是异常消息。帧处理部350,不将非法检测处理功能组370中判断为异常消息的消息传输。
传输规则保持部360,保持与每个总线的数据传输有关的规则(以下,也称为传输规则)。图5是示出传输规则的数据结构的一个例子的图。关于传输规则的细节,留待利用该例子进行后述。
非法检测处理功能组370是,判断接收中的消息是否是异常消息的功能组。关于非法检测处理功能组370中包括的功能结构的细节留待后述。
帧生成部380,根据来自帧解释部320的错误帧发送的请求,构成错误帧,并使帧收发部310发出错误帧。
并且,帧生成部380,利用由帧处理部350接受的消息ID以及数据构成消息帧,与总线信息一起,发送给帧收发部310。
[1.4接收ID列表]
图4是示出实施方式1的接收ID列表的数据结构的一个例子的图。接收ID列表是,网关300接收的消息ID的列表。在该例子中,在各行中包括网关300从总线200接收并处理的对象即消息的ID。在基于该例子的接收ID列表的设定中,网关300,接收消息ID为“1”、“2”、“3”或“4”的消息。具有接收ID列表中没有包括的ID的消息的接收被中止。另外,该例子的ID的值以及列表中包括的ID的个数是用于说明的例子,并不限制网关300中利用的接收ID列表的结构。
[1.5传输规则]
图5是示出本实施方式的网关300保持的传输规则的数据结构的一个例子的图。在该例子中,在各行中包括消息的传输源的总线与传输目的地的总线(在该例子中表示200a以及200b)的组合、以及传输对象的消息的ID。在基于该例子的传输规则的设定中,网关300,无论ID是什么都将从总线200a接收的消息传输给总线200b。
并且,关于从总线200b接收的消息,仅将消息ID为“3”的消息传输给总线200a。
[1.6非法检测处理功能组的结构]
图6是示出本实施方式的非法检测处理功能组370的功能结构的一个例子的方框图。图6是示出网关300具备的非法检测处理功能组370的功能结构的方框图。非法检测处理功能组370具有,非法检测部371、基准消息信息保持部372、消息保存处理部373、正常消息信息保持部374、基准消息决定部375、判断类别决定部376、周期判断部377、以及数据判断部378。
另外,这些功能构成要素,也通过网关300中的存储部保持的程序由处理部的读出以及执行、由存储部的规定的数据的保持、或经由输入输出部的数据的收发、或者这些组合来实现。
非法检测部371,判断从帧处理部350接受的消息是否是异常消息。
非法检测部371具有多种判断功能。在各判断功能中,参照预先设定而保存(存储)在存储部的、各判断功能中互不相同的规则(未图示),利用参照的规则进行接收的消息的检查,即进行各消息是否符合该规则的判断。另外,非法检测部371,根据各判断功能的判断结果,判断接收的消息是否是异常消息。若接收的消息是异常消息,则非法检测部371检测非法的发生。
图7是示出本实施方式的非法检测部371的功能结构的一个例子的方框图。在该例子中,非法检测部371,具有检查消息的规定的点的6种判断功能。具体而言,6种判断功能包括,检查消息的ID字段的功能(ID判断功能)、检查消息的数据长度的功能(数据长度判断功能)、检查发送消息的周期(时间间隔)的功能(发送周期判断功能)、检查发送消息的频度的功能(发送频度判断功能)、检查消息的数据字段的值(数据值)的功能(数据值判断功能)、以及利用这些判断功能的判断结果、发送周期、频度、数据值、或数据值的变化量等来识别车辆的状态,并检查车辆状态的功能(例如,车辆状态判断功能)。进一步,非法检测部371具有最终结果判断功能,即,根据这些判断功能的判断结果,来综合地判断接收的消息是否是异常消息。最终结果判断功能的结果成为非法检测部371的非法的检测的结果。
另外,这些功能构成要素,也通过网关300中的存储部保持的程序由处理部的读出以及执行、由存储部的规定的数据的保持、或经由输入输出部的数据的收发、或者这些组合来实现。
在上述的各判断功能中检查消息的规定的点时,有时以过去接收的同一ID的消息的信息、或相关联的消息的信息为基准进行检查。各判断功能,从基准消息信息保持部372获得成为基准的消息的信息。
返回到图6的说明,非法检测部371,根据接收的消息,将与成为基准消息的候选的消息有关的信息,通知给基准消息信息保持部372。非法检测部371,将接收的消息中的、由最终结果判断功能判断为“正常消息”的消息作为成为基准消息的候选的消息(基准消息候选)通知给基准消息信息保持部372。基准消息候选是,用于向网络发出的消息是否是异常消息的判断基准的基准消息的候选。
非法检测部371,将由最终结果判断功能判断为“正常消息”的消息还通知给消息保存处理部373。
基准消息信息保持部372,保持与非法检测部371利用的基准消息有关的信息、以及与基准消息的候选有关的信息。例如,在周期性地发送的消息的情况下,一个周期前的同一ID的消息是基准消息。另一方面,在当前的周期中接收的消息是,有可能相对于一个周期后的消息而成为基准消息的消息(基准消息候选),因此,在当前的周期作为基准消息候选保持。
另外,与基准消息有关的信息是,示出例如基准消息决定部375决定的基准消息的信息。并且,与基准消息的候选有关的信息是,候选信息的一个例子,例如,是示出一个以上的基准消息候选的信息。与基准消息有关的信息是,示出例如候选信息中包括的一个以上的基准消息候选中的一个基准消息候选的信息。
另外,基准消息信息保持部372还可以保持,在没有保存基准消息候选的情况下能够用作基准消息的消息。基准消息信息保持部372也可以,预先保持该消息。
基准消息信息保持部372,保持从非法检测部371通知的与成为基准消息的候选的消息有关的信息。并且,基准消息信息保持部372,按照来自基准消息决定部375的请求,将与成为基准消息的候选的消息有关的信息通知给基准消息决定部375。进一步,基准消息信息保持部372,还保持与基准消息决定部375决定的基准消息有关的信息,按照来自非法检测部371的请求,向非法检测部371通知与基准消有关的信息。基准消息信息保持部372,在基准消息决定部375,根据基准消息候选决定了基准消息的情况下,删除此时利用的基准消息候选。
消息保存处理部373,进行将与从非法检测部371通知的消息有关的信息,保存到正常消息信息保持部374的处理。并且,消息保存处理部373,在某周期中将多个同一ID的消息作为正常消息保存时,若基准消息决定部375,从这些多个同一ID的消息中将一个消息选择为基准,则仅留下该选择为基准消息的消息,来删除其他的消息,或者,一起保存示出哪个消息被选择为基准消息的信息。
正常消息信息保持部374,保持与非法检测部371判断为正常消息的消息有关的信息。该信息是,在周期判断部377或数据判断部378根据过去接收的消息来计算当前接收的消息的接收时刻或数据的值的预测值算时利用的。
基准消息决定部375,根据非法检测部371的发送周期判断功能中的与一个周期前的同一ID的消息的发送时间的差、以及数据值判断功能中的相对于一个周期前的同一ID的消息的变化量的计算,决定用作基准的基准消息。
例如,对于周期性地发送的消息,在接收预定时刻(例如,参照图8所示的接收估计时刻T1)的前后考虑时间长度α(参照图8)的余量,在数据的变化量的前后考虑数据值的余量的情况下,有时发送从哪个余量都不偏离的多个消息。此时,基准消息决定部375,将这些多个消息作为基准消息候选,决定用作用于一个周期后的同一ID的消息的基准消息的消息。
基准消息决定部375,从基准消息信息保持部372获得与成为基准消息的候选的消息(基准消息候选)有关的信息,利用判断类别决定部376决定的决定方法,从该候选中决定用作基准消息的消息。
基准消息决定部375,在决定基准消息时,向判断类别决定部376通知基准消息的候选,利用与判断类别决定部376决定的结果对应的判断类别,从基准消息候选中决定基准消息。
判断类别决定部376,根据一个以上的基准消息候选决定用于从一个以上的基准消息候选中决定基准消息的决定方法。决定方法包括两个以上的判断方法,即,包括进行用于根据向网络发出的消息被发送的周期来决定基准消息的判断的周期判断方法、以及进行用于根据向网络发出的消息中包括的数据的值来决定基准消息的判断的数据判断方法的至少一个。在本实施方式中,决定方法包括周期判断方法以及数据判断方法。
判断类别决定部376,例如,获得从基准消息决定部375通知的基准消息候选、以及非法检测部371保持的规则的值,委托周期判断部377以及数据判断部378进行判断。判断类别决定部376,根据作为周期判断部377的判断结果得到的明确度以及作为数据判断部378的判断结果得到的明确度,决定利用周期判断和数据值判断的哪个判断类别来从一个以上的基准消息候选中决定基准消息即可,并通知给基准消息决定部375。
另外,关于明确度的计算方法留待后述,但是,明确度表示是否能够从一个以上的基准消息候选中明确决定基准消息的程度。也可以说明确度,表示一个以上的基准消息候选中的该基准消息候选是基准消息的适合程度。并且,也可以说明确度,表示在多个决定方法的每一个中,利用该决定方法从一个以上的基准消息候选中决定基准消息的适合程度。明确度是适合度的一个例子。
例如,在存在作为基准消息候选的消息M1(参照图8)以及消息M2(参照图8),与当前的基准消息比较时,在消息M1和消息M2与基准消息的差相同的情况下,明确度低,在消息M1和消息M2与基准消息的差大不相同的情况下,明确度高。另外,判断类别决定部376,从周期判断和数据值判断中选择明确度高的判断类别。例如,判断类别决定部376,从周期判断和数据值判断中选择最高(第一高)的明确度的判断类别。也可以说判断类别决定部376,例如,在多个决定方法的每一个中计算明确度,将多个决定方法中的明确度最高的决定方法决定为,用于从一个以上的基准消息候选中决定基准消息的决定方法。
据此,能够不利用与基准消息的差是在基准消息候选的消息间相似的差且难以判断的判断类别,而利用与基准消息的差在基准消息候选的消息间大不相同且明显能够判断的判断类别来选择基准消息,因此,能够更可靠地进行基准消息决定部375的基准消息的选择。
判断类别决定部376,在对从周期判断部377得到的明确度与从数据判断部378得到的明确度进行比较时,例如,为了将各明确度的大小一致,而以各规则的余量来归一化。例如,判断类别决定部376,在针对接收时刻的余量为估计值T1±α的宽度(参照图8)的情况下,利用从周期判断部377得到的明确度除以2α的值来决定判断类别。另外,在后述的图8中,估计值T1示出时刻的估计值T1,也记载为接收估计时刻T1。
另外,关于明确度的归一化方法,以规则中的余量来归一化,但并不限于此。例如,在余量为估计值T1±α的宽度的情况下,也可以不是明确度除以2α,而是明确度除以α,也是明确度除以估计值T1(预测值)来进行归一化。并且,也可以预先利用测试数据等测量估计值T1与实际的接收时刻或数据值的偏离量,计算偏离量的分散值σ,以该分散值(σ,2σ,3σ等)来进行归一化。并不限于此,只要能够将不同单位的值归一化的方法即可。并且,若预先已知周期判断和数据判断具有判断结果的明确性(明确度)的差,则可以考虑该差来进行归一化。例如,若周期判断的明确度比数据判断的明确度高,则可以进一步对归一化后的周期判断的明确度乘以系数、或加上常数等。
周期判断部377,根据当前的基准消息的接收时刻、以及非法检测部371的发送周期判断功能参照的规则中包括的周期的信息,将当前的周期中的接收估计时刻(T1)作为接收时刻的预测值来计算。周期判断部377,通过对从判断类别决定部376通知的多个基准消息候选的接收时刻、与预测值即接收估计时刻(T1)进行比较,从而从多个基准消息候选中选择基准消息。
图8是示出本实施方式的消息的接收模式的图。例如,如图8所示,在消息M1的接收时刻为T11、消息M2的接收时刻为T12的情况下,T11和T12都处于规则的余量的范围即T1-α与T1+α之间,因此,非法检测部371判断为都是正常消息。但是,需要将任一方选择为基准消息。于是,周期判断部377,将消息M1的接收时刻(T11)和消息M2的接收时刻(T12)中的接近预测值即接收估计时刻(T1)的消息,选择为基准消息。在图8中,周期判断部377,由于消息M1与消息M2相比更接近接收估计时刻(T1),因此,将消息M1选择为基准消息。
周期判断部377,根据多个基准消息候选的接收时刻与预测值即接收估计时刻的差,计算明确度。例如,在图8中,将消息M1的接收时刻T11和接收估计时刻T1的差(T11-T1)、与消息M2的接收时刻T12和接收估计时刻T1的差(T1-T12)之差(|(T11-T1)-(T1-T12)|,或||T11-T1|-|T12-T1||)定义为明确度。在此,“|A|”示出A的绝对值。例如,以接收估计时刻T1为中心,在消息M1与消息M2相隔相同程度的情况下,即,在|T11-T1|与|T12-T1|的值为相同的值的情况下,明确度低。另一方面,如图8示出,在消息M1的接收时刻T11与消息M2的接收时刻T12相比更接近接收估计时刻T1的情况下,即,在|T11-T1|比|T12-T1|充分小的情况下,明确度高。
另外,差(T11-T1)、以及差(T1-T12)是,第1差的一个例子,差(|(T11-T1)-(T1-T12)|、或差(|T11-T1|-|T12-T1||)是,第2差的一个例子。明确度是,例如正的值(例如绝对值)。在本实施方式中,第2差意味着明确度。并且,也可以说明确度,表示一个以上的基准消息候选中包括异常消息的程度。
另外,周期判断部377,也可以根据正常消息信息保持部374保持的同一ID的多个消息的接收时刻的信息,计算接收的消息的接收估计时刻即预测值,也可以根据与接收时刻相关联的不同ID的一个以上的消息接收时刻的信息,计算接收的消息的接收估计时刻即预测值。
返回到图6的说明,数据判断部378,根据当前的基准消息的数据值、与非法检测部371的数据值判断功能参照的规则中包括的数据值的变化量的信息,将当前的周期中的估计数据值(D1)作为数据值的预测值来计算。数据判断部378,通过对从判断类别决定部376通知的多个基准消息候选的数据值,与预测值即估计数据值(D1)进行比较,从而从多个基准消息候选中选择基准消息。
并且,数据判断部378,根据多个基准消息候选的数据值与预测值即估计数据值的差,计算明确度。例如,与周期判断部377的情况同样,将消息M1的数据值D11和估计数据值D1的差(D11-D1)、与消息M2的数据值D12和估计数据值D1的差(D1-D12)之差(|(D11-D1)-(D1-D12)|、或||D11-D1|-|D12-D1||)定义为明确度。另外,差(D11-D1)、以及差(D1-D12)是,第1差的一个例子,差(|(D11-D1)-(D1-D12)|、或||D11-D1|-|D12-D1||)是,第2差的一个例子。在本实施方式中,第2差意味着明确度。并且,也可以说明确度,表示一个以上的基准消息候选中包括异常消息的程度。
如上所述,判断方法,计算针对向网络发出的消息的预测值、与关于基准消息候选的信息的值的每一个的差,将各个差(第1差)的差(第2差)作为明确度。据此,能够按照保存为基准消息的候选的消息,计算明确度。
另外,数据判断部378,可以根据正常消息信息保持部374保持的同一ID的多个消息的数据值,计算接收的消息的估计数据值即预测值,也可以根据与数据值相关联的不同ID的一个以上的消息的数据值的信息,计算接收的消息的估计数据值即预测值。
周期判断部377、或数据判断部378,也可以根据预先制作的、能够计算预测值的预测模型对预测值进行预测。周期判断部377或数据判断部378也可以,例如,获得将同一ID的多个消息的数据值或同一ID的多个消息的接收时刻作为输入数据输入到预测模型而得到的输出数据(数据值或接收时刻的预测值),以作为预测值。例如,周期判断部377、或数据判断部378也可以,利用机器学习、统计处理、或概率论,根据与正常消息有关的信息生成AR(AutoRegressive)模型、ARMA(AutoRegressive Moving Average)模型、HMM(HiddenMarkov Model)、贝叶斯网络模型(Bayesian Model)、SVM(SupportVector Machine)、神经网络、或Deep Learning等的模型,利用该模型,计算与接收的消息的接收估计时刻、或估计数据值有关的预测值。
并且,周期判断部377、或数据判断部378也可以,将当前(当前帧)或过去(过去的帧)的基准消息示出的值作为用于决定下一个接收周期的基准消息的预测值。数据判断部378也可以,例如,将当前或过去的基准消息示出的值(数据值)作为用于决定下一个接收周期的基准消息的预测值。例如,也可以根据过去的基准消息示出的值计算预测值。例如,预测值,也可以是过去的基准消息示出的值的平均值、中央值、众数,也可以是与最近的基准消息示出的值相同的值。另外,在本实施方式中,基准消息示出的值是,例如接收时刻或数据值。
另外,周期判断部377、或数据判断部378也可以,在有三个以上的基准消息候选的消息的情况下,在从所有的基准消息候选的消息中将一个消息M1判断为基准消息之后,从没有判断为基准消息的剩余的消息中,判断其次会成为基准消息的候选的消息M2,根据最初判断为基准消息的消息M1和其次判断为基准消息的消息M2的两个消息计算明确度。例如,周期判断部377、或数据判断部378也可以,在有三个以上的基准消息候选的情况下(例如,在一个以上的基准消息候选示出的值有三个以上的情况下),提取接近预测值的两个基准消息候选(例如,两个值),根据提取的两个基准消息候选示出的值和预测值计算明确度。
另外,在周期判断部377、或数据判断部378中,将与预测值的单纯的值的差小的消息判断为基准消息,但并不限于此。周期判断部377、或数据判断部378,只要能够从多个基准消息候选中,将一个消息判断为基准消息的方法即可,例如,在将实际的正常消息的接收时刻以及数据值等作为真值时,也可以利用测试数据等,预先学习真值与预测值的偏离量,考虑该偏离量的分布,判断基准消息。例如,周期判断部377、或数据判断部378也可以,若实际的接收时刻从预测值向延迟的方向偏离的情况少,则即使稍微延迟也使与预测值的差变大,在比预测值早的情况下,即使差大也使差变少。并且,周期判断部377、或数据判断部378,也可以利用偏离量以外的指标,也可以不是预先学习,而是实时地学习接收到的消息。此时,在明确度的计算中,也考虑分布来计算。
另外,周期判断部377、或数据判断部378,根据多个基准消息候选的信息与预测值的差,计算明确度,但并不限于此。周期判断部377、或数据判断部378也可以,预先按每个判断类别计算明确度。此时,判断类别决定部376也可以,将非法检测部371保持的与接收的消息相关联的规则中的明确度最高的判断类别决定为,为了决定基准消息而利用的判断类别。
另外,作为基准消息信息保持部372保持的与基准消息的候选有关的信息,例如,保持消息ID、DLC、数据值、接收时刻等的信息。并且,基准消息信息保持部372也可以,保持决定基准消息时需要的每个消息ID的规则的信息。并且,关于数据值,也可以保持接收的所有的数据值,也可以仅保存接收的数据值中的特定的区域的数据值,也可以照原样保存数据值,也可以保存对数据值进行了某种运算的结果。
另外,非法检测部371,将接收的消息中的由最终结果判断功能判断为“正常消息”的消息作为成为基准消息的候选的消息通知给基准消息信息保持部372,但并不限于此。例如,也可以除了判断是否是正常消息的规则以外,还具有判断是否是基准消息的规则,将满足该规则的消息作为基准消息候选,通知给基准消息信息保持部372。据此,非法检测部371能够,仅将正常消息中的更适于基准消息的消息作为基准消息候选。并且,反而,非法检测部371也能够,将与正常消息稍微偏离的异常消息作为基准消息候选,能够从更宽广的范围的消息中决定基准消息。
[1.7ECU的结构]
图9是示出本实施方式的车载网络系统10中包括的ECU100的功能结构的一个例子的方框图。ECU100具有,帧收发部110、帧解释部120、接收ID判断部130、接收ID列表保持部140、帧处理部150,数据获得部170、以及帧生成部180。
另外,这些构成要素是功能构成要素,ECU100,作为例如具备由处理器实现的处理部、由半导体存储器等实现的存储部、由输入输出端口实现的输入输出部等的信息处理装置而被提供。上述的列举出的各功能构成要素,通过存储部保持的程序由处理部的读出以及执行、由存储部的规定的数据的保持、或经由输入输出部的数据的收发、或者这些组合来实现。
帧收发部110,对总线200收发依据CAN的协议的消息。更具体而言,帧收发部110,按每1bit读出发出到总线200的消息,将读出的消息传输给帧解释部120。并且,帧收发部110,将从帧生成部180接受通知的信息发出给总线200。
帧解释部120,从帧收发部110接受消息的值,以向CAN协议中的各字段映射的方式进行帧(消息)的解释。帧解释部120将该解释中判断为ID字段的一连串的值,传输给接收ID判断部130。
帧解释部120,进一步,按照从接收ID判断部130通知的判断结果,决定是将消息的ID字段的值以及ID字段以后出现的数据字段传输给帧处理部150、还是中止消息的接收。
并且,帧解释部120,在判断为不遵照CAN协议的消息的情况下,向帧生成部180请求发送错误帧。
并且,帧解释部120,在判断为接收到其他的节点发送的错误帧的情况下,废弃读取中的消息。
接收ID判断部130,从帧解释部120接受ID字段的值,根据接收ID列表保持部140保持的消息ID的列表,进行是否接收读出的消息的判断。接收ID判断部130,将该判断的结果通知给帧解释部120。
接收ID列表保持部140,保持ECU100接收的消息ID的列表即接收ID列表。接收ID列表,与图4同样,在此省略说明。
帧处理部150进行与接收到的消息的数据相应的处理。处理的内容按每个ECU100而不同。例如,在ECU100a中,如果在时速超过30km时接收示出门打开的消息,则执行用于鸣响警报声的处理。ECU100c如果在接收示出未施加制动的消息时打开门,则执行用于鸣响警报声的处理。这些处理是为了说明而作为例子举出的,ECU100也可以执行上述以外的处理。帧处理部150使帧生成部180生成为了执行这样的处理而发出的帧。
数据获得部170获得示出与各ECU100连接的设备的状态的数据或传感器的测量值等的输出数据,并传输给帧生成部180。
帧生成部180按照从帧解释部120通知的错误帧发送的请求,构成错误帧并发送给帧收发部110。
并且,帧生成部180对由数据获得部170接受的数据的值附加预先决定的消息ID而构成消息帧,并发送给帧收发部110。
[1.8非法检测处理]
图10是示出本实施方式的非法检测处理的一个例子的流程图。具体而言,图10是示出非法检测处理功能组370的非法检测处理的一个例子的流程图。
首先,非法检测部371,从帧处理部350接受消息(步骤S1001)。
接受到消息的非法检测部371,判断周期性地发送的消息的接收周期是否转移到下一个接收周期(步骤S1002)。
在步骤S1002中,非法检测部371判断为转移到下一个接收周期的情况下(S1002的“是”),非法检测部371委托基准消息决定部375决定新的基准消息,基准消息决定部375决定基准消息(步骤S1003)。
在步骤S1003中决定新的基准消息后,或者,在步骤S1002中判断为没有转移到下一个接收周期的情况下(S1002的“否”),帧处理部350,按照传输规则保持部360所保持的传输规则,决定传输目的地的总线(步骤S1004)。
帧处理部350,将从帧解释部320接受的消息内的各字段的值通知给非法检测处理功能组370,请求判断是否是异常消息。非法检测部371,进行非法检测处理(步骤S1005)。非法检测部371,利用ID判断功能等的各种判断功能,进行接收的消息是异常消息还是正常消息的判断。此时,非法检测部371的各种判断功能,根据需要,利用步骤S1003中决定的基准消息进行判断。
非法检测部371的最终结果判断功能,根据ID判断功能等的各种判断功能的判断的结果综合地进行针对该消息的最终判断、即接收的消息是否是异常消息的判断(步骤S1006),将该判断的结果通知给帧处理部350。步骤S1006是,判断步骤的一个例子。
在非法检测部371判断为是异常消息的情况下(步骤S1006的“是”),不进行该消息的保存以及传输。
在步骤S1006中判断为消息不是异常消息而是正常消息的情况下(步骤S1006的“否”),非法检测部371,委托消息保存处理部373保存正常消息,进行由消息保存处理部373将关于正常消息的信息保存(存放)到正常消息信息保持部374的处理、以及由非法检测部371将消息作为基准消息候选保存(存放)基准消息信息保持部372的处理(S1007)。步骤S1007是,保存步骤的一个例子。
然后,帧处理部350,向帧生成部380请求将该消息传输给步骤S1004中决定的传输目的地的总线。帧生成部380,接受来自帧处理部350的请求,以指定的传输目的地接收的方式生成消息,使帧收发部310发出该消息。也就是说,帧生成部380,将消息经由帧收发部310传输给传输目的地(步骤S1008)。
[1.9基准消息决定处理]
图11是示出本实施方式的基准消息决定处理的一个例子的流程图。具体而言,图11是示出非法检测处理功能组370的基准消息的决定处理的一个例子的流程图。
首先,基准消息决定部375,从基准消息信息保持部372获得基准消息候选(S1101)。
基准消息决定部375,判断从基准消息信息保持部372获得的成为基准消息候选的消息有多个还是一个(S1102)。
在步骤S1102中,在成为基准消息候选的消息有多个的情况下(步骤S1102的“是”),基准消息决定部375,委托判断类别决定部376决定用于决定基准消息的判断方式。另外,多个基准消息候选中可以包括异常消息。
判断类别决定部376,从非法检测部371获得与消息ID相关联的规则,确认是否存在关于周期的规则、以及关于数据值的变化的规则的两个规则(S1103)。
在步骤S1103中,在存在关于周期的规则、以及关于数据值的变化的规则两者的规则的情况下(步骤S1103的“是”),判断类别决定部376,委托周期判断部377基于周期的判断,周期判断部377根据多个基准消息候选的接收时刻判断基准消息(S1104)。进一步,判断类别决定部376,委托数据判断部378基于数据值的变化的判断,数据判断部378根据多个基准消息候选的数据值判断基准消息(S1105)。
判断类别决定部376,根据周期判断部377的判断结果、以及数据判断部378的判断结果,决定应该利用哪个判断类别(判断方法)(S1106),通知给基准消息决定部375。判断类别决定部376,例如,根据周期判断部377获得的明确度、以及数据判断部378获得的明确度,进行步骤S1106的判断。例如,判断结果也可以包括明确度。步骤S1106是第1决定步骤的一个例子。
基准消息决定部375,利用从判断类别决定部376通知的判断方法,决定最终基准消息(S1107)。基准消息决定部375,根据明确度决定基准消息,从而能够将一个以上的基准消息候选中的异常消息以外的消息决定为基准消息。步骤S1107是第2决定步骤的一个例子。
在步骤S1103的“否”的情况下,判断类别决定部376,确认是否存在关于周期的规则(S1108)。在步骤S1108中存在关于周期的规则的情况下(步骤S1108的“是”),判断类别决定部376,委托周期判断部377基于周期的判断,周期判断部377根据多个基准消息候选的接收时刻判断基准消息(S1109)。判断类别决定部376,将周期判断部377判断的基准消息决定为最终基准消息(S1110)。
在步骤S1108的“否”的情况下,判断类别决定部376,确认是否存在关于数据变化的规则(S1111)。在步骤S1111中存在关于数据变化的规则的情况下(S1111的“是”),判断类别决定部376,委托数据判断部378基于数据值的变化的判断,数据判断部378根据多个基准消息候选的数据值的变化量判断基准消息(S1112)。判断类别决定部376,将数据判断部378判断的基准消息决定为最终基准消息(S1113)。
在步骤S1111的“否”的情况下,判断类别决定部376向基准消息决定部375通知不能判断。基准消息决定部375,根据预先决定的方法,从多个基准消息候选中,决定最终基准消息(S1114)。
并且,在步骤S1102的“否”的情况下,即,在成为基准消息候选的消息只有一个的情况下,基准消息决定部375,将该一个基准消息候选决定为基准消息(S1115)。在此情况下,不进行计算明确度的处理。
另外,基准消息决定部375也可以,判断是否存在关于周期的规则以及关于数据值的变化的规则两者的规则,仅在存在两者的规则的情况下,委托判断类别决定部376判断应该利用哪个判断类别。此时,基准消息决定部375也可以,在仅存在关于周期的规则的情况下,委托周期判断部377基于周期的判断,在仅存在关于数据值的规则的情况下,委托数据判断部378基于数据值的判断,在哪个规则都没有的情况下,通过预先决定的方法进行判断,决定基准消息。即使在没有关于周期以及数据值的规则的情况下,在能够预测接收时刻、或数据值的情况下,也可以利用该预测值,决定基准消息。
[1.10效果]
在本实施方式中,在非法检测处理功能组370的非法检测处理中,在决定非法检测部371的各种判断功能利用的基准消息时,从周期判断和数据值判断中选择能够更明确地判断的判断类别,根据选择出的判断类别的判断结果决定基准消息。据此,能够抑制以往会发生的、因将异常消息作为基准消息利用而产生的、不能准确地进行非法检测的状况,因此,能够更高精度地判断是否是异常消息。其结果为,车载网络系统10的安全性提高。
(实施方式2)
[2.概要]
在此,作为实施方式2,对于在车辆外的服务器配置非法检测处理功能组的一部分的功能,网关与服务器进行通信的车载网络系统,参照附图进行说明。
[2.1车载网络系统的整体结构]
图12是示出本实施方式的车载网络系统10a的整体结构的方框图。在图12中,对于与图1所示的车载网络系统10共同的构成要素,利用共同的附图标记来表示,省略其说明。
车载网络系统10a,由CAN网络构成,具备ECU(是图中的ECU100a、ECU100b、ECU100c、以及ECU100d,以下将这些ECU集合地记载为ECU100,或者指出不确定的一部分来记载为ECU100)、总线(是图中的总线200a以及总线200b,以下将这些总线集合地记载为总线200,或者指出不确定的一方来记载为总线200)、网关300b、外部网络400、以及服务器500。
网关300b,将连接有ECU100a以及ECU100b的总线200a、与连接有ECU100c以及ECU100的总线200b连接。网关300b具有将从一方的总线接收的消息传输给另一方的总线的功能。网关300b也是CAN网络上的一个节点。
外部网络400是,用于网关300b与服务器500进行通信的通信网络。外部网络400的通信方法,也可以是有线,也可以是无线。并且,对于无线通信方式,没有特别限定,但可以是例如现有技术的Wi-Fi、3G、或LTE(Long Term Evolution)。
服务器500,经由外部网络400与网关300b进行通信。
网关300b和服务器500,分别分担并具备实施方式1的非法检测处理功能组370的一部分的功能,网关300b与服务器500协同工作,从而执行实施方式1的非法检测处理功能组370的非法检测处理。
[2.2网关的结构]
图13是示出本实施方式的车载网络系统10a中包括的网关300b的功能结构的一个例子的方框图。在图13中,对于与图3共同的构成要素,利用共同的附图标记来表示,省略说明。以下,对于网关300b,以与网关300不同之处为中心进行说明。
网关300b与网关300不同之处是,代替网关300的结构中的非法检测处理功能组370而具有非法检测处理功能组370b,并且,还具有外部通信部390。这些构成要素也是功能构成要素,通过网关300b中存储部保持的程序由处理部的读出以及执行、由存储部的规定的数据的保持、或经由输入输出部的数据的收发、或者这些组合来实现。
非法检测处理功能组370b,与服务器500进行通信,协同执行接收的消息是否是异常消息的判断。关于非法检测处理功能组370b中包括的结构的细节留待后述。
外部通信部390与服务器500进行通信。
[2.3非法检测处理功能组的结构]
图14是示出本实施方式的非法检测处理功能组370b的功能结构的一个例子的方框图。在图14中,对于与图6共同的构成要素,利用共同的附图标记来表示,省略说明。
非法检测处理功能组370b具有,非法检测部371、消息保存处理部373b、周期判断部377b、以及数据判断部378b。
消息保存处理部373b,接受非法检测部371的判断结果,在接收的消息是正常消息,且判断为需要保存的情况下,经由外部通信部390与服务器500进行通信,将关于正常消息的信息发送并保存到服务器500。对于是否需要保存消息的判断,与实施方式1同样。
周期判断部377b以及数据判断部378b,按照来自判断类别决定部376的判断请求,根据多个基准消息候选判断基准消息。周期判断部377b以及数据判断部378b,在进行该判断时,经由外部通信部390与服务器500进行通信,接收服务器500中生成的预测模型,利用该接收的预测模型计算预测值。
另外,在服务器500中的预测模型的生成中也可以,利用机器学习、统计处理或概率论等的方式,获得关于正常消息的信息的模型,将该模型作为预测模型。并且,也可以是,在服务器500中,进行从预测模型的生成到与来自周期判断部377b以及数据判断部378b的委托对应的预测值的计算,周期判断部377b以及数据判断部378b,仅进行根据预测值判断基准消息的处理。
另外,对于非法检测处理功能组370b与服务器500的处理的分担,并不限于上述,适当地决定即可。
[2.4服务器的结构]
图15是示出本实施方式的服务器500的功能结构的一个例子的方框图。服务器500具有正常消息信息保持部374b、以及预测模型生成部379。这些构成要素是功能构成要素,服务器500是,所谓服务器计算机,由具备处理器等的信息处理装置、半导体存储器等的存储装置、包括输入输出端口的输入输出部等的一台以上的计算机实现。上述的列举出的各功能构成要素,通过存储部保持的程序由处理部的读出以及执行、由存储部的规定的数据的保持、或经由输入输出部的数据的收发、或者这些组合来实现。
正常消息信息保持部374b,保持与从网关300b的消息保存处理部373接受到保存的指示的正常消息有关的信息。并且,按照来自预测模型生成部379的请求,输出保持的与正常消息有关的信息。
预测模型生成部379,从正常消息信息保持部374b,获得与正常消息有关的信息,根据过去接收的正常消息预测接收估计时刻、以及数据值的至少一方。此时,对于接收估计时刻的预测,也可以仅利用接收时刻信息来预测,也可以还利用数据值来预测。并且,也可以仅利用同一ID的消息来预测,也可以还利用其他的ID的消息来预测。关于具体的预测方法,也可以利用机器学习、统计处理、或概率论,根据与正常消息有关的信息生成AR(AutoRegressive)模型、ARMA(AutoRegressive MovingAverage)模型、HMM(Hidden MarkovModel)、贝叶斯网络模型(Bayesian Model)、SVM(SupportVectorMachine)、神经网络、或Deep Learning等的模型(网络),利用该模型,计算与接收的消息的接收估计时刻、或估计数据值有关的预测值。并且,也可以利用上述中没有示出的预测方法来预测。
并且,预测模型生成部379,按照来自网关300b的周期判断部377b、或数据判断部378b的请求,发送预测模型。
另外,服务器500也可以,与多个车辆1进行通信,承担各车辆1的非法检测处理功能组的一部分的功能。在此情况下,服务器500,也可以针对各车辆1,具有个别的正常消息信息保持部374b以及预测模型生成部379,也可以针对通信的多个车辆1,具有一组正常消息信息保持部374b以及预测模型生成部379。并且,服务器500也可以,针对通信的多个车辆1的一部分,具有一组正常消息信息保持部374b以及预测模型生成部379。在针对多个车辆1具备一组的情况下,正常消息信息保持部374b,将从各车辆1获得的与正常消息有关的信息,与识别各车辆1的信息一起保持。
并且,预测模型生成部379,也可以根据从各车辆1接收的信息个别生成预测模型,将个别的模型发送给各车辆1,也可以利用整合来自各车辆1的信息而得到的信息来生成预测模型,将该模型发送给各车辆1。
在此,关于整合来自各车辆1的信息的方法,例如,也可以整合来自所有的车辆1的信息,也可以按照各车辆1的制造厂或车型、以及型式、等级进行整合。或者,也可以按照各车辆1的车辆等级(大小,排气量等)、按照各车辆1的所在地、或按照各车辆1具有的功能(例如,自动驾驶功能,驾驶支援功能,通信功能等)进行整合。或者,也可以按照各车辆1上的ECU100等执行的固件或软件的种类或版本进行整合。并且,也可以是这些整合方法的组合。
[2.5效果]
在本实施方式中,网关300b与车辆1的外部的服务器500进行通信,实施方式1的非法检测处理功能组370的一部分的功能,由服务器500承担。
以往,仅根据各车辆1收集的信息生成预测模型,预测模型的精度受到限制。但是,在本实施方式中,服务器500保持信息,因此,能够根据多个车辆1的信息生成预测模型。据此,能够根据更多的正常消息迅速或更高精度地生成预测模型。另外,在各车辆1中,通过利用该预测模型,从而能够更高精度地判断基准消息。其结果为,车载网络系统10a的安全性提高。并且,与正常消息有关的信息由服务器500保持,因此,网关300b不需要具备大容量的信息保持装置,也能够抑制各车辆1的制造以及维护成本。
[3.其他的变形例]
本公开,当然并不限于上述说明的各实施方式,只要不脱离本公开的宗旨,对实施方式执行本领域技术人员想到的各种变形的形态,以及组合不同的实施方式的构成要素来构成的形态,包含在本公开的范围内。例如,如下变形例也包含在本公开中。
(1)在上述的实施方式中,非法检测处理功能组370的非法检测部371由基准消息决定部375委托决定基准消息,但并不限于此。图16是示出本变形例的非法检测处理功能组370c的功能结构的第一例的方框图。例如,如图16所示,也可以由帧处理部350决定基准消息的决定定时,由帧处理部350委托基准消息决定部375决定基准消息。
据此,能够根据需要在任意的定时决定基准消息。
(2)在上述的实施方式中,在非法检测处理中,在周期性地发送的消息的接收周期转移到下一个周期时,从基准消息候选中决定基准消息,但并不限于此。图17是示出本变形例的非法检测处理的一个例子的流程图。例如,如图17所示,在判断接收的消息为正常消息的情况下(步骤S1006的“否”),非法检测部371,判断在相同的接收周期内判断为正常的消息是否有多个(S1010)。
在步骤S1010中判断为有多个的情况下(步骤S1010的“是”),非法检测部371,委托基准消息决定部375决定针对下一个接收周期的基准消息,基准消息决定部375决定下一个接收周期中的基准消息(S1011)。该处理,与实施方式1的决定基准消息的处理(S1003,图11)相同,因此,省略详细说明。
在步骤S1010中判断为没有多个的情况下,即,在判断为是接收周期中第一个正常消息的情况下(步骤S1010的“否”),非法检测部371,将作为正常消息的接收消息决定为针对下一个接收周期的基准消息候选(S1012)。
如此,非法检测处理功能组370c的基准消息决定部375,将当前的接收周期中判断为正常的一个以上的消息作为基准消息候选,在下一个接收周期之前决定下一个接收周期中的基准消息。步骤S1011以及1012是,第2决定步骤的一个例子。
以后,与实施方式1同样,非法检测部371,将正常消息保存到正常消息信息保持部374,将基准消息候选保存到基准消息信息保持部372(S1007),帧处理部350,向传输目的地传输消息(S1008)。省略各个详细说明。
并且,非法检测部371,在周期性地发送的消息的接收周期转移到下一个周期时(步骤S1002的“是”),将基准消息信息保持部372中保存的仅一个基准消息候选更新为新的接收周期中的基准消息(S1009)。
据此,总是有一个基准消息候选,能够削减由基准消息信息保持部372保持的数据量。特别是,在连续发送异常的消息的情况下,能够抑制应该保存为基准消息候选的数据量的增加。并且,在实施方式1中,基准消息候选的数量在系统工作时动态地变化,因此,需要将保存基准消息候选的消息的区域设为可变长度,或者,预先决定上限来保存基准消息候选,在超过上限的情况下更换或废弃,但是,能够将基准消息候选设为一个,因此,能够实现系统的简化。
(3)在上述实施方式中,周期判断部377以及数据判断部378分别个别计算预测值,但并不限于此。图18是示本变形例的非法检测处理功能组370d的功能结构的第二例的方框图。例如,如图18所示,非法检测处理功能组370d也可以具有预测模型生成部379,由周期判断部377以及数据判断部378利用生成的预测模型来计算预测值,预测模型生成部379本身也可以,利用生成的预测模型来计算预测值,通知给周期判断部377以及数据判断部378。预测模型生成部379具有,实施方式2中说明的功能。
据此,不需要由周期判断部377和数据判断部378两者具有预测模型,能够实现存储区域的成本的节省、模型生成处理或预测值的计算处理等的减少。并且,不进行周期判断部377中仅利用接收时刻的预测或数据判断部378中仅利用数据值的预测,而进行利用多个信息的预测模型的生成以及预测,由此预测精度提高,最后,能够提高非法检测部371的检测精度。
(4)在上述实施方式中,非法检测处理功能组370具有,非法检测部371、基准消息信息保持部372、消息保存处理部373、正常消息信息保持部374、基准消息决定部375、判断类别决定部376、周期判断部377、以及数据判断部378,但并不限于此。图19是示出本变形例的非法检测处理功能组370e的功能结构的第三例的方框图。例如,如图19所示,非法检测处理功能组370e也可以具有,非法检测部371、基准消息信息保持部372、基准消息决定部375、判断类别决定部376、周期判断部377、以及数据判断部378,也可以还包括其他的构成要素。在此情况下,例如,周期判断部377以及数据判断部378,利用基准消息信息保持部372保持的基准消息进行判断处理。
(5)在上述实施方式中,ECU100,由帧收发部110、帧解释部120、接收ID判断部130、接收ID列表保持部140、帧处理部150、数据获得部170、以及帧生成部180构成,但并不限于此。
图20是示出本变形例的ECU100e的功能结构的第一例的方框图。例如,如图20所示,ECU100e也可以具备非法检测处理功能组370。此时,帧处理部150也可以,委托非法检测处理功能组370判断是否是异常消息,帧解释部120也可以,委托非法检测处理功能组370判断是否是异常消息。另外,多个ECU100e的每一个也可以具有非法检测处理功能组370,至少一个ECU100e也可以具有非法检测处理功能组370。在此情况下,网关300也可以不具有非法检测处理功能组370。
图21是示出本变形例的ECU100f的功能结构的第二例的方框图。例如,如图21所示,ECU100f也可以,由帧收发部110、帧解释部120、帧生成部180、以及非法检测处理功能组370构成。在此情况下,帧解释部120,接收所有的消息,委托非法检测处理功能组370判断是否是异常消息。
并且,ECU100f也可以,除了图21的结构以外,还具有接收ID判断部130、以及接收ID列表保持部140,仅接收具有接收ID列表保持部保持的接收ID列表中记载的消息ID的消息,关于该消息,委托非法检测处理功能组370判断是否是异常消息。另外,非法检测处理功能组370的结构也可以是,非法检测处理功能组370、370b的任一方。
据此,除了网关300以外,还在ECU100中也能够,判断发送到总线200的消息是否是异常消息。
图22是示出本变形例的ECU100g的功能结构的第三例的方框图。进一步,如图22所示,ECU100g也可以,具有从其他的设备获得向总线200发送的数据的发送数据获得部171,非法检测处理功能组370,判断从发送数据获得部171接收的数据是否是异常消息,仅在判断为不是异常消息的情况下,向帧生成部180委托消息的发送。
据此,关于与汽车导航系统等一起利用的ECU100g,在从汽车导航系统等发送异常消息的情况下,能够防止异常消息的发送。
另外,也可以将上述的图20至图22所述的非法检测处理功能组370替换为,非法检测处理功能组370b至370e的任意一个。
(6)在上述实施方式中,作为检测到非法的动作,示出了不传输接收的消息的例子,但是,检测到非法后的动作,并不限于此。例如,网关300也可以,通过在消息的接收中进行非法检测处理,从而在判断为异常消息的阶段,发送错误帧来使接收中的消息无效。
据此,能够使与发现了异常消息的网络连接的其他的ECU100,不能接收异常消息。并且,也可以对不传输的消息应用。
进一步,网关300,也可以向用户通知发生了异常,也可以使车辆转移到故障安全模式,也可以将发生的异常记录到日志,也可以将发生的异常,经由手机网络等,通知给服务器。
据此,能够进行非法检测后的灵活的应对。并且,针对判断为异常消息的系列,也可以将数据的值或接收间隔的集合作为异常的标签进行学习。
并且,ECU100也可以,通过在消息的接收中进行非法检测处理,从而在判断为异常消息的阶段,发送错误帧来使接收中的消息无效。据此,能够使与发现了异常消息的网络连接的其他的ECU,不能接收异常消息。
(7)在上述实施方式中,示出了标准格式的ID的例子,但也可以是扩展格式的ID。
(8)在上述实施方式中,示出了以明文发送消息的例子,但也可以进行加密。并且,消息中也可以包括消息认证码。
(9)在上述实施方式中,示出了将与正常消息有关的信息以及与基准消息有关的信息不加密而保持的例子,但也可以将这些信息加密来保持,也可以利用能够检测窜改的结构来保存。
(10)在上述实施方式中,作为根据CAN协议进行通信的网络通信系统的例子,示出了车载网络。本公开所涉及的技术,并不限于车载网络中的利用,也可以用于机器人、工业机器等的网络、按照车载网络以外的CAN协议进行通信的网络通信系统。
并且,对于车载网络,利用了CAN协议,但是,并不限于此。例如,也可以利用CAN-FD(CAN with Flexible Data Rate)、FlexRay、Ethernet、LIN(Local InterconnectNetwork)、MOST(Media Oriented Systems Transport)等。或者,也也可以是将这些网络作为子网络而组合的网络。
(11)上述实施方式的各装置具体而言是由微处理器、ROM、RAM、SSD、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在RAM或硬盘单元中记录有计算机程序。通过由微处理器按照计算机程序动作,各装置达成其功能。这里,计算机程序是为了达成规定的功能而将多个表示对于计算机的指令的命令代码组合而构成的。
(12)构成上述实施方式的各装置的构成要素的一部分或全部也可以由一个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成到一个芯片上而制造出的超多功能LSI,具体而言,是包括微处理器、ROM、RAM等而构成的计算机系统。在RAM中记录有计算机程序。通过由微处理器按照计算机程序动作,系统LSI达成其功能。
并且,构成上述的各装置的构成要素的各部可以个别地作为一个芯片,也可以以包含一部分或全部的方式作为一个芯片。
此外,这里设为系统LSI,但根据集成度的差异,有时也称为IC、LSI、超级LSI、特级LSI。另外,集成电路化的方法不限于LSI,也可以由专用电路或者通用处理器实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable GateArray:现场可编程逻辑门阵列)或能够重构LSI内部的电路单元的连接或设定的可重构处理器。
进而,若由于半导体技术的进步或者衍生的其他技术而出现了形成置换LSI的集成电路的技术,当然,也可以使用该技术进行功能模块的集成。会有生物技术的适用等的可能性。
(13)构成上述各装置的构成要素的一部分或全部也可以由相对于各装置可拆装的IC卡或单体的模块构成。IC卡或模块是由微处理器、ROM、RAM等构成的计算机系统。IC卡或模块也可以包括上述的超多功能LSI。通过由微处理器按照计算机程序动作,IC卡或模块达成其功能。该IC卡或该模块也可以具有防篡改性。
(14)本公开也可以是上述所示的方法。此外,也可以是通过计算机实现这些方法的计算机程序,也可以是由计算机程序构成的数字信号。
并且,本公开,也可以将计算机程序或数字信号记录到计算机可读取的记录介质、例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等。并且,也可以是这些记录介质中记录的数字信号。
并且,本公开,也可以将计算机程序或数字信号,经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等传输。
并且,本公开,也可以是具备微处理器以及存储器的计算机系统,存储器记录有,所述计算机程序,微处理器,根据计算机程序进行工作。
并且,也可以将程序或数字信号记录到记录介质来传输,或者,将程序或数字信号经由网络等来传输,从而由独立的其他的计算机系统执行。
(15)也可以将上述实施方式及上述变形例分别组合。
(16)并且,方框图中的功能块的分割为一个例子,多个功能块可以作为一个功能块来实现,一个功能块也可以分割为多个,一部分的功能也可以移动到其他的功能块。并且,具有类似的功能的多个功能块的功能也可以由单一的硬件或软件进行并行处理或者进行时间分割处理。
(17)并且,上述实施方式中说明的多个处理的顺序是一个例子。多个处理的顺序可以变更,多个处理也可以并行执行。并且,也可以不执行多个处理的一部分。
(18)并且,上述实施方式的执行基准消息的决定方法的基准消息的决定系统具备,一个以上的处理器、以及存储部。这里决定系统,也可以由多个装置构成,也可以由一个装置构成。
(19)并且,在上述实施方式中,说明了将基准消息的决定方法,用于车载网络系统中的非法通信的检测的例子,但并不限于此。也可以将基准消息的决定方法,用于建筑物内(例如,室内,大楼内)的网络系统等中的非法通信的检测。也可以将基准消息的决定方法,用于例如预先决定了消息的发送定时的网络系统中的非法通信的检测。
以上,基于实施方式及其变形例,对一个或多个形态所涉及的车载网络中的、用于决定消息的技术进行了说明,该消息被用作以基于异常消息的非法控制为目的的非法通信检测的基准。在这些各实施方式及其变形例中,通过与车载网络系统连接而进行通信的网关或ECU、或者它们与服务器计算机的组合,来决定用作非法通信检测的基准的消息。在本公开中,将执行这样的非法通信检测的、包括一个以上的处理器以及存储部的系统称为非法通信检测基准决定系统。因此,非法通信检测基准决定系统既包括如与车载网络系统连接的一台网关那样由一个装置实现的系统,也包括如这样的网关与ECU的组合、或者网关或ECU与位于远程的服务器计算机的组合那样由多个装置实现的系统。
另外,该技术在上述各实施方式或其变形例中,也可以作为包含各构成要素执行的处理的步骤的一部分或全部的方法,或者作为由非法通信检测基准决定系统的处理器执行,非法通信检测基准决定系统由用于实施该方法的程序来实现。
此外,在上述实施方式或其变形例中,特定的构成要素执行的处理也可以由其他的构成要素代替特定的构成要素来执行。另外,可以变更多个处理的顺序,也可以并行执行多个处理。
本公开所涉及的决定方法等,通过利用多个判断方式的判断结果中的、能够高明确度地判断的判断方式的判断结果从基准消息候选中选择基准消息,从而决定用于检测异常的基准消息。据此,关于以往的难以识别正常消息和异常消息的消息,也能够高精度地识别正常的消息,够保护网络。
符号说明
1 车辆
10,10a 车载网络系统
100,100a,100b,100c,100d,100e,100f,100g ECU
101 发动机
102 制动器
103 门开闭传感器
104 窗开闭传感器
110,310 帧收发部
120,320 帧解释部
130,330 接收ID判断部
140,340 接收ID列表保持部
150,350 帧处理部
170 数据获得部
171 发送数据获得部
180,380 帧生成部
200,200a,200b 总线
300,300b 网关
360 传输规则保持部
370,370b,370c,370d,370e 非法检测处理功能组
371 非法检测部
372 基准消息信息保持部
373,373b 消息保存处理部
374,374b 正常消息信息保持部
375 基准消息决定部
376 判断类别决定部
377,377b 周期判断部
378,378b 数据判断部
379 预测模型生成部
390 外部通信部
400 外部网络
500 服务器
Claims (12)
1.一种决定方法,是用于车载网络系统中的非法通信的检测的基准消息的决定方法,所述车载网络系统包括网络以及与所述网络连接的一个以上的电子控制单元,
所述基准消息是在判断向所述网络发出的消息是否是异常消息时作为基准来使用的消息,
所述决定方法,包括:
保存步骤,保存候选信息,该候选信息与作为所述基准消息的候选的一个以上的基准消息候选有关;
第1决定步骤,根据所述保存步骤中保存的所述候选信息包括的所述一个以上的基准消息候选,从多个规则中决定用于决定所述基准消息的规则;以及
第2决定步骤,利用所述第1决定步骤中决定的所述规则,从所述一个以上的基准消息候选中决定所述基准消息,
在所述第1决定步骤中,针对所述多个规则分别计算适合度,根据针对所述多个规则分别计算出的所述适合度决定用于决定所述基准消息的规则,所述适合度表示从所述一个以上的基准消息候选中决定所述基准消息的规则的适合程度。
2.如权利要求1所述的决定方法,
在所述第1决定步骤中,将所述多个规则中的所述适合度最高的规则决定为,用于从所述一个以上的基准消息候选中决定所述基准消息的规则。
3.如权利要求2所述的决定方法,
所述适合度被计算为第2差,所述第2差为两个以上的第1差之间的差,所述第1差被计算为针对向所述网络发出的消息的预测值、与所述一个以上的基准消息候选所表示的值的每一个的差。
4.如权利要求3所述的决定方法,
在所述第1决定步骤中,在所述一个以上的基准消息候选所表示的值有三个以上的情况下,提取接近所述预测值的两个所述值,根据提取的两个所述值以及所述预测值计算出两个所述第1差。
5.如权利要求3或4所述的决定方法,
所述预测值是,根据过去决定的所述基准消息所表示的值而被计算出的。
6.如权利要求3或4所述的决定方法,
所述预测值是,通过向预先制作的预测模型输入具有同一ID的所述一个以上的基准消息候选而被获得的。
7.如权利要求1至4的任一项所述的决定方法,
所述多个规则包括周期判断规则以及数据判断规则的至少一个,所述周期判断规则是指,用于根据向所述网络发出的消息被发送的周期来决定所述基准消息的规则,所述数据判断规则是指,用于根据向所述网络发出的消息中包括的数据的值来决定所述基准消息的规则。
8.如权利要求1至4的任一项所述的决定方法,
所述决定方法还包括判断步骤,判断向所述网络发出的消息是否是异常消息,
在所述一个以上的基准消息候选中包括所述判断步骤中判断为异常的所述异常消息,
在所述第2决定步骤中,将所述一个以上的基准消息候选中的所述异常消息以外的消息决定为所述基准消息。
9.如权利要求1至4的任一项所述的决定方法,
所述决定方法还包括判断步骤,判断向所述网络发出的消息是否是异常消息,
在所述第2决定步骤中,将当前的接收周期中判断为正常的一个以上的消息作为基准消息候选,在下一个接收周期之前决定所述下一个接收周期中的基准消息。
10.如权利要求1至4的任一项所述的决定方法,
所述一个以上的基准消息候选包括判断为正常的一个以上的所述消息。
11.一种决定系统,是用于车载网络系统中的非法通信的检测的基准消息的决定系统,所述车载网络系统包括网络以及与所述网络连接的一个以上的电子控制单元,
所述决定系统具备一个以上的处理器、以及存储部,
所述基准消息是在判断向所述网络发出的消息是否是异常消息时作为基准来使用的消息,
所述一个以上的处理器,利用所述存储部进行如下处理,即,
保存候选信息,该候选信息与作为所述基准消息的候选的一个以上的基准消息候选有关,
根据保存的所述候选信息包括的所述一个以上的基准消息候选,从多个规则中决定用于决定所述基准消息的规则,
利用决定的规则,从所述一个以上的基准消息候选中决定所述基准消息,
在用于决定所述基准消息的规则的决定中,针对所述多个规则分别计算适合度,根据针对所述多个规则分别计算出的所述适合度决定用于决定所述基准消息的规则,所述适合度表示从所述一个以上的基准消息候选中决定所述基准消息的规则的适合程度。
12.一种程序记录介质,用于使计算机执行权利要求1至10的任一项所述的决定方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019-231730 | 2019-12-23 | ||
| JP2019231730 | 2019-12-23 | ||
| PCT/JP2020/046435 WO2021131824A1 (ja) | 2019-12-23 | 2020-12-11 | 決定方法、決定システム及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114731301A CN114731301A (zh) | 2022-07-08 |
| CN114731301B true CN114731301B (zh) | 2024-04-05 |
Family
ID=76574453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080081066.1A Active CN114731301B (zh) | 2019-12-23 | 2020-12-11 | 决定方法、决定系统以及程序记录介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220311781A1 (zh) |
| EP (1) | EP4084418A4 (zh) |
| JP (1) | JPWO2021131824A1 (zh) |
| CN (1) | CN114731301B (zh) |
| WO (1) | WO2021131824A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111434077B (zh) * | 2018-05-23 | 2023-02-24 | 松下电器(美国)知识产权公司 | 通信控制装置、移动网络系统、通信控制方法以及存储介质 |
| JP7480786B2 (ja) * | 2019-12-05 | 2024-05-10 | 住友電気工業株式会社 | 検知装置、車両、検知方法および検知プログラム |
| DE102020214945A1 (de) * | 2020-11-27 | 2022-06-02 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008017179A (ja) * | 2006-07-06 | 2008-01-24 | Nec Corp | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム |
| WO2013122211A1 (ja) * | 2012-02-17 | 2013-08-22 | 株式会社資生堂 | サービス決定装置、サービス決定方法、及びサービス決定プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| WO2014115455A1 (ja) * | 2013-01-28 | 2014-07-31 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| CN104717202A (zh) * | 2013-12-13 | 2015-06-17 | 现代自动车株式会社 | 用于增强车载通信网络的安全性的方法和设备 |
| CN109005678A (zh) * | 2017-04-07 | 2018-12-14 | 松下电器(美国)知识产权公司 | 非法通信检测方法、非法通信检测系统以及程序 |
| CN109076016A (zh) * | 2017-04-07 | 2018-12-21 | 松下电器(美国)知识产权公司 | 非法通信检测基准决定方法、非法通信检测基准决定系统以及程序 |
| CN110546921A (zh) * | 2018-03-29 | 2019-12-06 | 松下电器(美国)知识产权公司 | 不正当检测方法、不正当检测装置以及程序 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7593429B2 (en) * | 2004-10-14 | 2009-09-22 | Temic Automotive Of North America, Inc. | System and method for time synchronizing nodes in an automotive network using input capture |
| JP6566400B2 (ja) * | 2015-12-14 | 2019-08-28 | パナソニックIpマネジメント株式会社 | 電子制御装置、ゲートウェイ装置、及び検知プログラム |
| JP6846991B2 (ja) * | 2016-07-05 | 2021-03-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 |
| JP6539363B2 (ja) * | 2017-04-07 | 2019-07-03 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正通信検知方法、不正通信検知システム及びプログラム |
| JP6494821B2 (ja) * | 2017-04-07 | 2019-04-03 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム |
| CN110463142B (zh) * | 2018-01-22 | 2022-03-01 | 松下电器(美国)知识产权公司 | 车辆异常检测服务器、车辆异常检测系统及车辆异常检测方法 |
| CN112889244A (zh) * | 2018-10-18 | 2021-06-01 | 住友电气工业株式会社 | 检测装置、网关装置、检测方法和检测程序 |
| WO2020084908A1 (ja) * | 2018-10-26 | 2020-04-30 | 住友電気工業株式会社 | 検知装置、ゲートウェイ装置、検知方法および検知プログラム |
| WO2021062328A1 (en) * | 2019-09-27 | 2021-04-01 | The Regents Of The University Of Michigan | Automated can message translator |
-
2020
- 2020-12-11 CN CN202080081066.1A patent/CN114731301B/zh active Active
- 2020-12-11 EP EP20907308.9A patent/EP4084418A4/en active Pending
- 2020-12-11 WO PCT/JP2020/046435 patent/WO2021131824A1/ja active Search and Examination
- 2020-12-11 JP JP2021567259A patent/JPWO2021131824A1/ja active Pending
-
2022
- 2022-06-14 US US17/840,224 patent/US20220311781A1/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008017179A (ja) * | 2006-07-06 | 2008-01-24 | Nec Corp | アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム |
| WO2013122211A1 (ja) * | 2012-02-17 | 2013-08-22 | 株式会社資生堂 | サービス決定装置、サービス決定方法、及びサービス決定プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| WO2014115455A1 (ja) * | 2013-01-28 | 2014-07-31 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| CN104717202A (zh) * | 2013-12-13 | 2015-06-17 | 现代自动车株式会社 | 用于增强车载通信网络的安全性的方法和设备 |
| CN109005678A (zh) * | 2017-04-07 | 2018-12-14 | 松下电器(美国)知识产权公司 | 非法通信检测方法、非法通信检测系统以及程序 |
| CN109076016A (zh) * | 2017-04-07 | 2018-12-21 | 松下电器(美国)知识产权公司 | 非法通信检测基准决定方法、非法通信检测基准决定系统以及程序 |
| CN110546921A (zh) * | 2018-03-29 | 2019-12-06 | 松下电器(美国)知识产权公司 | 不正当检测方法、不正当检测装置以及程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2021131824A1 (zh) | 2021-07-01 |
| US20220311781A1 (en) | 2022-09-29 |
| CN114731301A (zh) | 2022-07-08 |
| WO2021131824A1 (ja) | 2021-07-01 |
| EP4084418A4 (en) | 2023-01-25 |
| EP4084418A1 (en) | 2022-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7030046B2 (ja) | 不正通信検知方法、不正通信検知システム及びプログラム | |
| US10986008B2 (en) | Abnormality detection in an on-board network system | |
| US11757903B2 (en) | Unauthorized communication detection reference deciding method, unauthorized communication detection reference deciding system, and non-transitory computer-readable recording medium storing a program | |
| US10911182B2 (en) | In-vehicle information processing for unauthorized data | |
| CN114731301B (zh) | 决定方法、决定系统以及程序记录介质 | |
| US11296965B2 (en) | Abnormality detection in an on-board network system | |
| CN109076016B9 (zh) | 非法通信检测基准决定方法、决定系统以及记录介质 | |
| CN110546921B (zh) | 不正当检测方法、不正当检测装置以及程序 | |
| CN109005678B (zh) | 非法通信检测方法、非法通信检测系统以及记录介质 | |
| CN111066001B (zh) | 日志输出方法、日志输出装置以及存储介质 | |
| CN115580471A (zh) | 不正当检测方法、不正当检测装置以及存储介质 | |
| EP3609138B1 (en) | Method for detecting unauthorized communication, system for detecting unauthorized communication, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |