CN114868365A - 信息处理装置、异常检测方法以及计算机程序 - Google Patents
信息处理装置、异常检测方法以及计算机程序 Download PDFInfo
- Publication number
- CN114868365A CN114868365A CN202080084034.7A CN202080084034A CN114868365A CN 114868365 A CN114868365 A CN 114868365A CN 202080084034 A CN202080084034 A CN 202080084034A CN 114868365 A CN114868365 A CN 114868365A
- Authority
- CN
- China
- Prior art keywords
- communication
- unit
- information processing
- processing apparatus
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 79
- 230000005856 abnormality Effects 0.000 title claims description 42
- 230000010365 information processing Effects 0.000 title claims description 40
- 238000004590 computer program Methods 0.000 title claims description 11
- 238000004891 communication Methods 0.000 claims abstract description 299
- 230000002159 abnormal effect Effects 0.000 claims abstract description 46
- 238000012546 transfer Methods 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims description 47
- 238000000034 method Methods 0.000 claims description 33
- 230000008569 process Effects 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 abstract description 91
- 230000004048 modification Effects 0.000 description 51
- 238000012986 modification Methods 0.000 description 51
- 230000006870 function Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 19
- 238000001914 filtration Methods 0.000 description 7
- 230000007123 defense Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 239000000470 constituent Substances 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0706—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
- G06F11/0712—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a virtual computing platform, e.g. logically partitioned systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/301—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3013—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
在ECU(12)中,VM(Virtual Machine:虚拟机)(16)和VM(18)通过虚拟化软件进行动作。VM(18)的传输部(32)受理从VM(16)发送的发往VM(18)的通信数据。传输部(32)基于受理的通信数据生成与VM间的通信相关的参数。VM(18)的检测部(38)基于由传输部(32)生成的参数来检测异常的通信。
Description
技术领域
本公开涉及数据处理技术,尤其涉及信息处理装置,异常检测方法以及计算机程序。
背景技术
提出了通过网关连接车辆内的多个网络,另外,监视在多个网络中流动的数据是否是不正当的数据的技术。
[在先技术文献]
[专利文献]
专利文献1:日本特开2013-131907号公报
发明内容
[发明要解决的课题]
根据虚拟化技术的发展,考虑通过1个物理ECU上的多个VM(Virtual Machine:虚拟机)来执行至今为止由多个物理ECU(Electronic Control Unit:电子控制单元)执行的多个功能的结构得到普及。多个VM间通过逻辑信道进行通信,但检测VM间通信中的异常(攻击等)的技术至今尚未充分提出。
本公开鉴于以上课题而完成,其目的之一在于提供一种检测VM间通信中的异常的技术。
[用于解决技术课题的技术方案]
为了解决上述课题,本公开的一个方案的信息处理装置是第一VM和第二VM通过虚拟化软件进行动作的装置,其包括:受理从第一VM发送的发往第二VM的通信数据的受理部;基于由受理部受理的通信数据生成与VM间的通信相关的参数的生成部;以及基于由生成部生成的参数来检测异常的通信的检测部。
本公开的其他方案是异常检测方法。该方法使第一VM(Virtual Machine:虚拟机)和第二VM通过虚拟化软件进行动作的装置受理从第一VM发送的发往第二VM的通信数据,基于受理的通信数据生成与VM间的通信相关的参数,并基于生成的参数来检测异常的通信。
此外,将以上的构成要素的任意组合、本公开的表述在系统、计算机程序、记录有计算机程序的记录介质、搭载有信息处理装置的车辆等之间进行转换的方案,作为本公开的方案也是有效的。
[发明效果]
根据本公开能够提供一种检测VM间通信中的异常的技术。
附图说明
图1是示意性地表示VM间通信的机制的图。
图2是表示实施例的ECU的功能模块的框图。
图3是详细地表示图2的传输部的框图。
图4是表示传输参数的构成的图。
图5是表示管理表的示例的图。
图6是表示ECU的VM间通信中的动作的时序图。
图7是表示传输部的动作的流程图。
图8是表示检测部和对应部的动作的流程图。
图9是表示第1变形例的ECU的功能模块的框图。
图10是表示第2变形例的ECU的功能模块的框图。
图11是概略地表示第3变形例的ECU的功能模块的框图。
图12是表示第4变形例的ECU的功能模块的框图。
图13是表示第5变形例的管理表的图。
图14是表示第6变形例的检测部的构成的图。
具体实施方式
实施例的信息处理装置(后述说明的ECU12)基于在VM间通信中使用的控制信息计测通信模式,检测异常的通信(例如除了基于攻击的通信,还包含由故障或漏洞引起的通信)。具体而言,实施例的信息处理装置将VM间通信的通信数据表示的控制信息传输到检查模块(后述说明的检测部38)。另外,在存在恶意使用VM间的正常的通信路径的进程的情况下,数据量或控制模式会发生变化,实施例的信息处理装置利用这种情况来检测异常。另外,实施例的信息处理装置基于检测到的信息执行防御处理,例如,使安全功能有效化。
以下,在VM间通信中,也将从发送源VM向目的地VM传递的内容称为通信有效载荷(payload),将用于VM间通信的控制信息称为通信信号。另外,将包含通信有效载荷和通信信号的数据称为“通信数据”。
图1示意性地表示VM间通信的机制。在图1中,VM1和VM2在HV(HyperVisor:管理程序)上进行动作。在VM2中执行的应用通过系统调用向VM2的驱动器(OS的通信处理器)传递通信数据。VM2的驱动器将通信有效载荷存储于共享存储器。另外,VM2的驱动器将通信信号传递给HV,具体而言,进行指定了请求编号X的管理程序调用(HyperVisor Call)。HV通过指定了中断编号A的中断处理,将通信信号传递给VM1的驱动器。VM1的驱动器基于通信信号从共享存储器读取通信有效载荷,并将通信有效载荷传递给VM1上的应用。此外,作为虚拟化系统的种类,除了管理程序型的虚拟化系统之外,还有主机OS(host OS)型的虚拟化系统等。在管理程序型的虚拟化系统中,硬件的各种资源的分配等处理由管理程序进行,在主机OS型的虚拟化系统中,硬件的各种资源的分配等处理由在主机OS上动作的虚拟化应用进行。即,在管理程序型的虚拟化系统中,管理程序作为软件进行动作,在主机OS型的虚拟化系统中,主机OS和虚拟化应用作为虚拟化软件进行动作。在本实施方式中,以管理程序型的虚拟化系统为例进行说明,但也可以是客户OS(guest OS)型的虚拟化系统。
从VM1向VM2的通信也是同样。在VM1中执行的应用通过系统调用向VM1的驱动器传递通信数据。VM1的驱动器将通信有效载荷存储于共享存储器。另外,VM1的驱动器将通信信号传递给HV,具体而言,进行指定了请求编号Y的管理程序调用。HV通过指定了中断编号B的中断处理,将通信信号传递给VM2的驱动器。VM2的驱动器基于通信信号从共享存储器读取通信有效载荷,并将通信有效载荷传递给VM2上的应用。
图2是表示实施例的ECU12的功能模块的框图。ECU12是被搭载于车辆10的微控制器。另外,ECU12是提供TCU(Telematics Communication Unit:远程通信单元)的功能(例如与车辆10外部的设备的通信功能)和ADAS(Advanced Driver-Assistance System:高级驾驶辅助系统)的功能(例如碰撞损害减轻制动或巡航控制)的综合ECU。
本公开的框图中所示的各块在硬件上能够通过以计算机的CPU/存储器为代表的元件、机械装置来实现,在软件上通过计算机程序等实现,在此描述通过它们的协作而实现的功能模块。本领域技术人员应该理解,这些功能模块能够通过硬件、软件的组合而以各种形式实现。
例如,包含与图2所示的ECU12的多个功能模块中的至少一部分功能模块对应的模块的计算机程序也可以被存储于ECU12的ROM。ECU12的CPU也可以通过将该计算机程序读出到RAM并执行来发挥图2所示的各功能模块的功能。
图2的“系统权限”区域中所配置的功能模块表示被以系统权限执行的功能,例如VM的OS(Operating System:操作系统)的功能。另外,被配置于“用户权限”区域的功能模块表示被以用户权限执行的功能,例如在OS上动作的应用的功能。另外,被配置于“HV权限”区域的功能模块表示被以HV权限执行的功能。
ECU12包括HV14、在该HV14上进行动作的VM16、VM18。VM16提供TCU的功能,在实施例中成为攻击的入口。VM18提供ADAS的功能,在实施例中成为被攻击的一侧。ECU12还包括HV14、VM16、VM18的任意一者均可访问的共享存储器(未图示)。
VM16包括通信请求部20和事件生成部22。通信请求部20将在应用的处理中产生的要发往VM18的通信数据通过系统调用传递给事件生成部22。
事件生成部22将通信数据中的通信有效载荷存储于共享存储器,并将基于通信数据的通信信号通过管理程序调用向HV14输出。该通信信号(管理程序调用)包含发送源VM即VM16的ID和请求编号。请求编号是与存储有通信有效载荷的共享存储器的地址对应的。
HV14包括传输信息存储部24、事件接收部26、虚拟通信部28。传输信息存储部24存储发送源VM和请求编号的组合与目的地VM和中断编号的组合的对应关系。事件接收部26接收到来自VM16的管理程序调用时,解决目的地VM和中断编号,具体而言,事件接收部26参照传输信息存储部24,确定与管理程序调用表示的发送源VM和请求编号的组合相对应的目的地VM和中断编号的组合。
虚拟通信部28对由事件接收部26确定的VM(在此为VM18),进行指定了由事件接收部26确定的中断编号的中断,从而将通信信号传递给VM18。该通信信号(中断)包含发送源VM(VM16)的ID、请求编号、目的地VM(VM18)的ID、中断编号。
VM18包括通信处理器30、传输部32、通信接收部34、通信处理器36、通信接收部34、检测部38、对应部40。通信接收部34接收由传输部32传输的通信数据,即从VM16发送的发往VM18的通信数据。VM18上的应用基于由通信接收部34接收到的通信数据来执行ADAS的各种功能。
通信处理器30接收从HV14通过中断而输入的通信信号。通信处理器30从与通信信号表示的请求编号对应的共享存储器的区域读入通信有效载荷,并将包含通信信号的内容和通信有效载荷的内容的通信数据传递给传输部32。
图3是详细地表示图2的传输部32的框图。传输部32包括策略存储部42、受理部44、策略强制部46、数据传输部48、参数生成部50、参数发送部52、策略更新部54。
策略存储部42存储与通信数据相关的安全策略。安全策略也可以包含针对通信数据的过滤的条件。过滤的条件例如可以是通信数据中包含的值、数据大小、与已知的攻击模式的类似程度。
受理部44经由通信处理器30受理从VM16发送并由HV14传输的要发往VM18的通信数据。策略强制部46按照策略存储部42中存储的安全策略,执行针对由受理部44受理的通信数据的过滤处理。策略强制部46也可以将违反安全策略的通信数据、换言之将符合过滤条件的通信数据丢弃。另外,策略强制部46也可以将该通信数据记录于日志,也可以保存于外部的服务器。
数据传输部48将由受理部44受理的通信数据按照规定的安全策略传输到上位的应用(通信接收部34)。具体而言,数据传输部48将被判定为通过策略强制部46与安全策略匹配的通信数据或被判定为不违反安全策略的通信数据传输到通信接收部34。此外,作为传输部48的动作,可以是推动型的传输和拉动型的传输的任意一者,也可以包含经由共享存储器等而共享数据的动作,没有特别限定。
参数生成部50基于由受理部44受理的通信数据,换言之,基于数据传输部48向通信接收部34传输的通信数据,生成与VM间通信相关的参数(以下称为“传输参数”)。传输参数可以说是在VM间通信中使用的参数,也可以说是VM间通信所必需的参数。
图4表示传输参数的构成。传输参数包含发送源VM的ID、请求编号、目的地VM的ID、中断编号、协议编号、数据尺寸。参数生成部50也可以从通信数据中提取传输参数的项目,并进行计测、生成。另外,在表示存储有传输参数的值的存储器地址的指针包含于通信数据中的情况下,参数生成部50也可以从该存储器地址读入值,并设定为传输参数。此外,图4所示的传输参数只是一个示例,能够确定通信路径即可,例如也可以是发送源VM的ID、目的地VM的ID的组合或者它们与协议编号(协议种类)的组合等。
返回图3,参数发送部52将由参数生成部50生成的传输参数向检测部38(在实施例中为通信处理器36)发送。策略更新部54按照从对应部40发送的更新请求,更新应用于策略强制部46的安全策略,换言之,更新应用于针对通信数据的过滤的安全策略。
返回图2,通信处理器36接收从传输部32发送的传输参数,并将接收到的传输参数传递给检测部38。检测部38基于管理表和从传输部32发送的传输参数,来检测异常的通信。
管理表包含VM间通信的模式和与VM间通信相关的统计信息。图5表示管理表的示例。图5的管理表的各记录包含通信模式ID、发送源VM的ID、请求编号、目的地VM的ID、中断编号、通信种类(通信协议)、频度(通信次数/秒)。检测部38受理从传输部32发送的传输参数时,确定与该传输参数表示的作为通信模式的发送源VM、请求编号、目的地VM、中断编号、通信种类的组合一致的记录(称为“更新对象记录”)。检测部38基于传输参数表示的数据尺寸,更新作为更新对象记录中记录的统计信息的频度。
检测部38可以在以下情况下检测到发生了异常的通信。(1)更新对象记录的频度超过预先确定的阈值。(2)传输参数表示的数据尺寸超过预先确定的阈值。(3)在对管理表中每单位时间的数据尺寸(即通信量)进行管理的情况下,更新对象记录中的通信量超过预先确定的阈值。(4)传输参数表示的通信模式(例如发送源VM、请求编号、目的地VM、中断编号、通信种类的组合)为管理表中未登录的通信模式。(5)在管理表中对每个通信模式的TCP会话数或文件打开数进行管理的情况下,该TCP会话数或文件打开数超过预先确定的阈值。即,检测部38也可以在如上述这样判定VM间的通信满足规定的条件的情况下,检测是异常的通信。此外,是否满足规定的条件不限定于基于规则的判定方法,例如也可以是使用机械学习模型等AI技术进行判定的构成。
返回图2,对应部40根据基于检测部38的检测结果,执行针对异常通信的对策。实施例的对应部40在通过检测部38检测到异常的通信的情况下,更新通过传输部32的策略强制部46应用的安全策略。对应部40也可以通过将安全策略的更新请求发送到传输部32,从而使传输部32的策略更新部54更新安全策略。更新请求也可以是指示将策略存储部42中存储的安全策略更新为比至今为止提高安全的内容(使通信数据容易符合过滤的对象)的请求。另外,更新请求也可以是指示应用策略存储部42中存储的多个安全策略中安全性相对较高的安全策略的请求。
作为变形例,对应部40也可以管理警报等级,根据检测部38的检测结果来更新警报等级。在这种情况下,对应部40也可以根据警报等级来选择检测部38的检测规则。另外,对应部40与未图示的运转控制部协作来执行规定的安全处理(例如车辆10的加速抑制或紧急制动等)。另外,对应部40也可以将检测到异常的通信和作为该源信息的传输参数记录于日志,也可以向车辆10外部的服务器进行通知。
对基于以上构成的ECU12的动作进行说明。
图6是表示ECU12的VM间通信中的动作的时序图。VM16的通信请求部20将应传递给VM18的通信数据传递给事件生成部22。VM16的事件生成部22向共享存储器写入通信数据(S10)。VM16的事件生成部22通过管理程序调用向HV14传递通信信号(S12)。HV14的事件接收部26解决目的地VM(在此为VM18)和中断编号(S14)。HV14的虚拟通信部28通过中断向VM18传递通信信号(S16)。
VM18的通信处理器30基于从HV14传递的通信信号,读出VM16存储于共享存储器的通信有效载荷(S18)。VM18的应用(通信接收部34)经由传输部32受理通信数据,并执行基于该通信数据的处理(S20)。VM18的检测部38受理由传输部32生成的传输参数,并基于该传输参数检测异常(S22)。
图7是表示传输部32的动作的流程图。受理部44从通信处理器30受理包含从HV14传递的通信信号的内容和从共享存储器读出的通信有效载荷的内容的通信数据。另外,受理部44受理从对应部40发送的、包含安全策略的更新请求的通信数据(S30)。
若通信数据不是安全策略的更新请求(S32的否),则策略强制部46判定通信数据是否满足安全策略。若通信数据满足安全策略(S34的是),则数据传输部48将通信数据传递给上位的应用(通信接收部34)。参数生成部50基于通信数据生成传输参数(S38)。参数发送部52经由通信处理器36将传输参数传递给检测部38(S40)。
若通信数据违反安全策略(S34的否),则策略强制部46执行规定的防御处理,例如丢弃通信数据(S42)。若通信数据是安全策略的更新请求(S32的是),则策略更新部54更新应用于通信数据的过滤的安全策略(S44)。传输部32在每次受理通信数据时反复执行本图中记载的处理。
图8是表示检测部38和对应部40的动作的流程图。系统开始时(例如车辆10的电源接通时),检测部38将管理表初始化(S50)。检测部38经由通信处理器36接收由传输部32生成的传输参数时(S52的是),更新管理表(S54)。在与传输参数对应的通信模式的通信频度超过规定的阈值的情况等满足异常检测的条件的情况下(S56的是),对应部40执行规定的防御处理(S58)。例如,对应部40更新应用于基于传输部32的过滤处理的安全策略。
若不满足异常检测的条件(S56的否),则S58的处理被跳过。若检测部38未接收传输参数(S52的否),则S54~S58的处理被跳过。若不满足系统的结束条件(例如若维持车辆10的电源接通)(S60的否),则返回S52。若满足系统的结束条件(例如若车辆10的电源切换未断开)(S60的是),则结束本图的流程。
在存在恶意使用VM间的正常的通信路径的进程的情况下,数据量或控制模式会变化,实施例的ECU12利用这种情况来检测异常。由此,能够有效地检测VM间通信中的异常。另外,根据实施例的ECU12,能够通过执行针对检测到的异常的通信的对策而提高ECU12及车辆10的安全性。另外,根据实施例的ECU12,基于检测到异常的通信,容易适当地更新与通信数据的传输相关的安全策略。
以上,基于实施例说明了本公开。本领域技术人员应该理解,该实施例仅为示例,实施例的各构成要素或者各处理工艺的组合能够有各种变形例,并且这样的变形例也包含在本公开的范围中。
对第1变形例进行说明。图9是表示第1变形例的ECU12的功能模块的框图。对第1变形例的ECU12的功能模块中与实施例的ECU12的功能模块相同或对应的功能模块标注与实施例相同的附图标记。以下,对在实施例中说明过的内容省略再次说明,主要对与实施例不同的点进行说明。
第1变形例的ECU12还包括提供对VM间通信进行中继的网关(GW)功能的VM60。VM60包括通信处理器62、事件生成部64、传输部32。另外,被攻击的一侧的VM18(ADAS)包括通信处理器30、通信接收部34、检测部38、对应部40。
VM60的传输部32经由HV14受理从VM16发送的发往VM18的通信数据。传输部32将该通信数据经由HV14向VM18传输。VM18的应用通过通信接收部14接收从VM16发送的发往VM18的通信数据,并执行基于该通信数据的处理。
另外,VM60的传输部32基于受理的发往VM18的通信数据生成传输参数。传输部32将该传输参数经由HV14向VM18发送。VM18的检测部38基于从VM60发送的传输参数来检测异常的通信。在检测到异常的通信的情况下,VM18的对应部40执行更新传输部32的安全策略等针对异常的通信的对策。第1变形例的ECU12也与实施例的ECU12起到同样的效果。
对第2变形例进行说明。图10是表示第2变形例的ECU12的功能模块的框图。对第2变形例的ECU12的功能模块中与实施例的ECU12的功能模块相同或对应的功能模块标注与实施例相同的附图标记。以下,对在实施例中说明过的内容省略再次说明,主要对与实施例不同的点进行说明。
第2变形例的ECU12在还包括提供IDS(Intrusion Detection System:入侵检测系统)功能的VM70这一点、以及HV14包括传输部32这一点上与实施例的ECU12不同。VM70(IDS)包括通信处理器72、检测部38、对应部40。另外,被攻击的一侧的VM18(ADAS)包括通信处理器30和通信接收部34。
HV14的传输部32受理从VM16发送的发往VM18的通信数据(通信信号)。传输部32将该通信数据(通信信号)传递给VM18。VM18的通信处理器30基于通信信号从共享存储器读出通信有效载荷。VM18的应用通过通信接收部34接收包含通信有效载荷的通信数据,并执行基于该通信数据的处理。
HV14的传输部32基于通信信号从共享存储器读出通信有效载荷。传输部32基于包含通信信号和通信有效载荷的通信数据生成传输参数,并将该传输参数向VM70发送。VM70的检测部38基于从HV14发送的传输参数来检测异常的通信。在检测到异常的通信的情况下,VM70的对应部40执行更新传输部32的安全策略等针对异常的通信的对策。第2变形例的ECU12也与实施例的ECU12起到同样的效果。
对第3变形例进行说明。图11是概略地表示第3变形例的ECU12的功能模块的框图。第3变形例的ECU12还包括专门执行认证等安全相关的处理的安全世界(secure world)部80。安全世界部80包括检测部38和对应部40。
HV14、VM16、VM18的执行环境也被称为正常世界(normal world),正常世界的进程仅通过调用安全世界部80所确定的API(Application Programming Interface:应用编程接口)就能够访问安全世界部80的进程。图11所示的ECU12的构成也可以理解为将图10所示的第2变形例的VM70(IDS)置换为安全世界部80的构成。
受到攻击一侧的VM18的传输部32基于受理的发往VM18的通信数据生成传输参数。传输部32将该传输参数经由HV14向安全世界部80发送。例如,HV14通过将传输参数作为自变量来调用安全世界部80的规定的API,由此向安全世界部80的检测部38传递传输参数。
安全世界部80的检测部38基于从VM18发送的传输参数来检测异常的通信。在检测到异常的通信的情况下,安全世界部80的对应部40执行更新VM18的传输部32的安全策略等针对异常的通信的对策。第3变形例的ECU12也与实施例的ECU12起到同样的效果。
如实施例和第1变形例~第3变形例所示那样,传输部32(包括参数生成部50)期望被安装于可靠度比成为攻击的入口的VM16高的执行环境。如上所述,VM16由于作为TCU而与车辆10外部的设备进行通信,因此容易成为攻击的入口,可靠度相对较低。另一方面,VM18(ADAS)或VM60(GW)、HV14由于不具有与车辆10外部的设备的直接的接口,因此可靠度相对较高。
因此,生成作为检测异常的通信的基础的传输参数的传输部32,期望被安装于VM18(ADAS)(实施例及第3变形例),或被安装于VM60(GM)(第1变形例),或被安装于HV14(第2变形例)。由此,容易防止传输部32被攻击而异常检测的精度及准确度降低。
另外,如实施例和第1变形例~第3变形例所示那样,检测部38和对应部40期望被安装于可靠度比成为攻击的入口的VM16高的执行环境。如上所述,VM16由于作为TCU而与车辆10外部的设备进行通信,因此容易成为攻击的入口,可靠度相对较低。另一方面,VM18(ADAS)或VM70(IDS)、安全世界部80由于不具有与车辆10外部的设备的直接的接口,因此可靠度相对较高。
因此,检测异常的通信的检测部38和执行针对异常的通信的对策的对应部40,期望被安装于VM18(ADAS)(实施例、第1变形例),或被安装于VM70(IDS)(第2变形例),或被安装于安全世界部80(第3变形例)。由此,容易防止检测部38被攻击而异常检测的精度及准确度降低。另外,容易防止对应部40被攻击而难以采取针对异常的适当的对策。
对第4变形例进行说明。图12是表示第4变形例的ECU12的功能模块的框图。第4变形例的ECU12除HV14、VM16、VM18之外,包括与第3变形例的安全世界部80对应的安全OS82和安全监视器86。安全OS82和安全监视器86是可靠度比虚拟化软件(例如HV14、VM16、VM18)高的执行环境。
安全OS82包括执行规定的保护处理的保护处理部84。保护处理是对应该防止被从外部不正当取得的信息等进行操作的处理,另外,是应该以由虚拟化软件限定的权限执行的处理。例如,保护处理也可以包括使用了被保护的密钥的加密处理及解密处理。
VM16包括保护处理请求部90,HV14包括保护处理请求接收部92,安全监视器86包括保护处理请求传输部88。VM16的保护处理请求部90根据通信请求部20(即VM16中动作的应用)的请求,将保护处理的请求向HV14输出。HV14的保护处理请求接收部92从VM16接收保护处理的请求,通过调用安全监视器86的API,将保护处理的请求传递给安全监视器86。安全监视器86的保护处理请求传输部88将从HV14受理的保护处理的请求向安全OS82的保护处理部84传输。安全OS82的保护处理部84根据从保护处理请求传输部88传输的请求来执行保护处理。保护处理部84也可以使保护处理的执行结果(例如加密数据或解密后的明文数据)返回到通信请求部20(即VM16中动作的应用)。
VM18的对应部40在通过检测部38检测到异常的情况下,阻止与来自VM16的请求相应的保护处理部84中的保护处理的执行。在本变形例中,在由检测部38检测到异常的情况下,对应部40将指示不使从VM16输出的保护处理的请求传递给安全监视器86的信号、换言之,将指示对从VM16输出的保护处理的请求进行屏蔽的信号向保护处理请求接收部92发送。
根据本变形例,在通过检测部38检测到异常的情况下,即,在保护处理的请求源的状态被判定为异常的情况下,对针对保护处理部84的保护处理的请求进行屏蔽。由此,能够防止保护处理部84中被输入不正当的数据,基于不正当的数据的保护处理被执行等,能够进一步提高ECU12的安全性。
对第5变形例进行说明。图13表示第5变形例的管理表。管理表的各记录所确定的通信模式是在包含1个或多个VM的组间的通信模式。图13所示的组1包含图5所示的VM1和VM2。另外,图13所示的组2包含图5所示的VM3。检测部38保持多个VM与多个组的对应关系。检测部38受理传输参数时,确定与传输参数表示的发送源VM所属的发送源组、传输参数表示的目的地VM所属的发送源组、传输参数表示的请求编号、中断编号、通信种类一致的记录,并更新该记录的统计信息(例如频度),判定是否是异常的通信。
根据该变形例,能够以包含多个VM的组单位生成通信的统计信息,另外,能够以组单位检测异常。例如,通过按照动力传动系、车身、底盘、车载信息设备等每个域对VM进行分组,从而能够以域单位生成通信的统计信息或以域单位检测异常。作为进一步的变形方式,也可以(1)按照每个VM ID(是发送源VM和目的地VM的组合,不包含请求编号和中断编号)、(2)按照每个通信种类、(3)按照各VM上的每个应用(应用ID)、(4)按照每个进程ID、或(5)按照每个会话ID进行分组。
对第6变形例进行说明。图14表示第6变形例的检测部38的构成。检测部38包括异常检测部38a和解析部38b。异常检测部38a与实施例的检测部38对应,基于从传输部32发送的传输参数来检测异常的通信。另一方面,解析部38b在通过异常检测部38a检测到异常的通信的情况下,对从传输部32发送的发往VM18的通信数据进行解析。
在第6变形例中,异常检测部38a(或对应部40)也可以在检测到异常的通信的情况下,将该情况向传输部32进行通知。接受到该通知的传输部32也可以将包含通信有效载荷的通信数据向解析部38b发送。解析部38b按照预先确定的规则或攻击模式,若通信有效载荷中存在异常的内容,则对该情况进行检测。对应部40基于解析部38b的解析结果或检测结果,执行规定的防御处理。例如,可以更新传输部32保持的安全策略,或者也可以将解析部38b的解析结果或检测结果记录于日志或保存于服务器。
根据该变形例,在基于传输参数检测到异常的通信的情况下对通信数据本身进行解析,从而既抑制处理负荷的增加,又容易得到与异常的通信相关的进一步的信息。
对第7变形例进行说明。VM16的事件生成部22也可以将VM16中的各种事件的信息与通信事件同样地、经由HV14向VM18进行通知。各种事件例如也可以包括表示连接了USB设备的事件、表示音频功能被开启的事件。例如,在USB设备为连接状态的情况下USB用的通信增加是正常的通信,但在USB设备为未连接的情况下USB用的通信增加就可以检测为异常的通信。另外,表示事件的种类的信息也可以作为通信种类(协议种类)而进行设定。在这种情况下,VM18的检测部38在从VM16发送的通信数据中设定有不正当的通信种类的情况下,也可以检测为是异常的通信。例如,在VM16提供TCU功能的情况下,通信种类为表示USB事件或音频事件的值时,也可以判定为是不正当的通信种类。另外,例如,在根据来自VM16的文件打开请求、打开的文件的种类而BlockDevice(块设备)的通信增加的情况下,也可以将与文件相应的通信速度按阈值而判定为正常或异常。
在实施例及上述变形例中,作为物理ECU,示出了1个ECU12,但HV14、VM16、VM18等也可以通过多个物理ECU来实现。即,也可以在多个物理ECU协作的系统中发挥实施例及上述变形例中记载的HV、VM的功能。
上述实施例及变形例的任意组合作为本公开的实施方式也是有用的。由组合产生的新的实施方式兼具被组合的实施例及变形例各自的效果。另外,本领域技术人员应该理解,权利要求所记载的各构成要件应该发挥的功能通过实施例及变形例中所示的各构成要素的单体或它们的协作而实现。
实施例及变形例所记载的技术也可以通过以下项目来确定。
[项目1]
一种信息处理装置,是第一VM(Virtual Machine:虚拟机)和第二VM通过虚拟化软件进行动作的装置,其包括:
受理部,其受理从所述第一VM发送的发往所述第二VM的通信数据;
生成部,其基于由所述受理部受理的通信数据生成与VM间的通信相关的参数;以及
检测部,其基于由所述生成部生成的参数来检测异常的通信。
根据该信息处理装置,能够高效地检测VM间通信中的异常。
[项目2]
如项目1所记载的信息处理装置,
所述检测部在基于由所述生成部生成的所述参数,判定所述VM间的通信满足规定的条件的情况下,检测为是异常的通信。
根据该信息处理装置,能够高效地检测VM间通信中的异常。
[项目3]
如项目1或2所记载的信息处理装置,
还包括数据传输部,其按照包含与所述参数相关的策略的规定的安全策略,将由所述受理部受理的通信数据传输到所述第二VM的应用。
根据该信息处理装置,能够提高VM间通信的安全性。
[项目4]
如项目1至3的任意一项所记载的信息处理装置,
还包括对应部,其根据所述检测部的检测结果,来执行针对所述异常的通信的对策。
根据该信息处理装置,能够通过执行针对检测到的异常的通信的对策(例如防御处理)而提高安全性。
[项目5]
如项目1或2所记载的信息处理装置,还包括:
数据传输部,其按照包含与所述参数相关的策略的规定的安全策略,将由所述受理部受理的通信数据传输到所述第二VM的应用;以及
对应部,其根据所述检测部的检测结果,来更新所述数据传输部的安全策略。
根据该信息处理装置,能够基于检测到异常的通信而适当地更新与通信数据的传输相关的安全策略。
[项目6]
如项目1至5的任意一项所记载的信息处理装置,
所述生成部被安装于可靠度比所述第一VM高的执行环境。
根据该信息处理装置,容易防止因生成部被攻击而异常检测的精度和准确度降低的情况。
[项目7]
如项目1至6的任意一项所记载的信息处理装置,
所述检测部被安装于可靠度比所述第一VM高的执行环境。
根据该信息处理装置,容易防止因检测部被攻击而异常检测的精度和准确度降低的情况。
[项目8]
如项目1至7的任意一项所记载的信息处理装置,
还包括解析部,其在通过所述检测部检测到异常的通信的情况下,对所述发往第二VM的通信数据进行解析。
根据该信息处理装置,在基于参数检测到异常的通信的情况下对通信数据本身进行解析,从而抑制处理负荷的增加,并且容易得到与异常的通信相关的进一步的信息。
[项目9]
如项目1至8的任意一项所记载的信息处理装置,
所述生成部生成包含所述第一VM的ID和所述第二VM的ID的参数作为所述参数。
根据该信息处理装置,能够高效地且高精度地检测VM间通信中的异常。
[项目10]
如项目4或5所记载的信息处理装置,
还包括保护处理部,其被安装于可靠度比所述虚拟化软件高的执行环境,并执行规定的保护处理,
所述对应部在通过所述检测部检测到异常的情况下,阻止与来自所述第一VM的请求相应的所述保护处理部中的所述保护处理的执行。
根据该信息处理装置,能够提高装置的安全性。
[项目11]
一种异常检测方法,其使第一VM(Virtual Machine:虚拟机)和第二VM通过虚拟化软件进行动作的装置执行:
受理从所述第一VM发送的发往所述第二VM的通信数据,
基于受理的通信数据生成与VM间的通信相关的参数,以及
基于生成的参数来检测异常的通信。
根据该异常检测方法,能够高效地检测VM间通信中的异常。
[项目12]
一种计算机程序,其用于使第一VM(Virtual Machine:虚拟机)和第二VM通过虚拟化软件进行动作的装置执行:
受理从所述第一VM发送的发往所述第二VM的通信数据,
基于受理的通信数据生成与VM间的通信相关的参数,以及
基于生成的参数来检测异常的通信。
根据该计算机程序,能够有效地检测VM间通信中的异常。
[工业可利用性]
本公开的技术能够应用于VM(Virtual Machine:虚拟机)通过虚拟化软件进行动作的信息处理装置。
[附图标记说明]
10 车辆,12 ECU,14 HV,16 VM,18 VM,32 传输部,38 检测部,38b 解析部,40 对应部,44 受理部,48 数据传输部。
Claims (12)
1.一种信息处理装置,是第一VM(Virtual Machine:虚拟机)和第二VM通过虚拟化软件进行动作的装置,其包括:
受理部,其受理从所述第一VM发送的发往所述第二VM的通信数据,
生成部,其基于由所述受理部受理的通信数据生成与VM间的通信相关的参数,以及
检测部,其基于由所述生成部生成的参数来检测异常的通信。
2.如权利要求1所述的信息处理装置,
所述检测部在基于由所述生成部生成的所述参数,判定所述VM间的通信满足规定的条件的情况下,检测为是异常的通信。
3.如权利要求1或2所述的信息处理装置,
还包括数据传输部,其按照包含与所述参数相关的策略的规定的安全策略,将由所述受理部受理的通信数据传输到所述第二VM的应用。
4.如权利要求1至3的任意一项所述的信息处理装置,
还包括对应部,其根据所述检测部的检测结果来执行针对所述异常的通信的对策。
5.如权利要求1或2所述的信息处理装置,
还包括:数据传输部,其按照包含与所述参数相关的策略的规定的安全策略,将由所述受理部受理的通信数据传输到所述第二VM的应用,以及
对应部,其根据所述检测部的检测结果来更新所述数据传输部的安全策略。
6.如权利要求1至5的任意一项所述的信息处理装置,
所述生成部被安装于可靠度比所述第一VM高的执行环境。
7.如权利要求1至6的任意一项所述的信息处理装置,
所述检测部被安装于可靠度比所述第一VM高的执行环境。
8.如权利要求1至7的任意一项所述的信息处理装置,
还包括解析部,其在通过所述检测部检测到异常的通信的情况下,对所述发往第二VM的通信数据进行解析。
9.如权利要求1至8的任意一项所述的信息处理装置,
所述生成部生成包含所述第一VM的ID和所述第二VM的ID的参数作为所述参数。
10.如权利要求4或5所述的信息处理装置,
还包括保护处理部,其被安装于可靠度比所述虚拟化软件高的执行环境,并执行规定的保护处理;
所述对应部在通过所述检测部检测到异常的情况下,阻止与来自所述第一VM的请求相应的所述保护处理部中的所述保护处理的执行。
11.一种异常检测方法,其使第一VM(Virtual Machine:虚拟机)和第二VM通过虚拟化软件进行动作的装置执行:
受理从所述第一VM发送的发往所述第二VM的通信数据,
基于受理的通信数据生成与VM间的通信相关的参数,以及
基于生成的参数来检测异常的通信。
12.一种计算机程序,其用于使第一VM(Virtual Machine:虚拟机)和第二VM通过虚拟化软件进行动作的装置执行:
受理从所述第一VM发送的发往所述第二VM的通信数据,
基于受理的通信数据生成与VM间的通信相关的参数,以及
基于生成的参数来检测异常的通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019-220119 | 2019-12-05 | ||
| JP2019220119A JP7411895B2 (ja) | 2019-12-05 | 2019-12-05 | 情報処理装置、異常検知方法およびコンピュータプログラム |
| PCT/JP2020/033896 WO2021111692A1 (ja) | 2019-12-05 | 2020-09-08 | 情報処理装置、異常検知方法およびコンピュータプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114868365A true CN114868365A (zh) | 2022-08-05 |
Family
ID=76220495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080084034.7A Pending CN114868365A (zh) | 2019-12-05 | 2020-09-08 | 信息处理装置、异常检测方法以及计算机程序 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220291944A1 (zh) |
| JP (1) | JP7411895B2 (zh) |
| CN (1) | CN114868365A (zh) |
| DE (1) | DE112020005949T5 (zh) |
| WO (1) | WO2021111692A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116866154A (zh) * | 2023-09-05 | 2023-10-10 | 湖北华中电力科技开发有限责任公司 | 一种基于虚拟机集群的配电网通讯服务智能调度管理系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023136111A1 (ja) * | 2022-01-14 | 2023-07-20 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置及び異常検知方法 |
| WO2023238444A1 (ja) * | 2022-06-10 | 2023-12-14 | パナソニックIpマネジメント株式会社 | 監視装置及び監視方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104685507A (zh) * | 2012-10-21 | 2015-06-03 | 迈克菲股份有限公司 | 向虚拟云基础结构提供虚拟安全装置架构 |
| JP2017174158A (ja) * | 2016-03-24 | 2017-09-28 | 日本電気株式会社 | 監視システム、監視方法および監視プログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5522160B2 (ja) | 2011-12-21 | 2014-06-18 | トヨタ自動車株式会社 | 車両ネットワーク監視装置 |
| JP2013242644A (ja) | 2012-05-18 | 2013-12-05 | Panasonic Corp | 仮想計算機システム、制御方法、およびプログラム |
| WO2018221118A1 (ja) | 2017-06-01 | 2018-12-06 | 株式会社Seltech | 仮想ネットワークシステム、および仮想ネットワークシステムの通信方法 |
| JP7026298B2 (ja) | 2017-09-29 | 2022-02-28 | 積水ハウス株式会社 | セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム |
-
2019
- 2019-12-05 JP JP2019220119A patent/JP7411895B2/ja active Active
-
2020
- 2020-09-08 DE DE112020005949.9T patent/DE112020005949T5/de active Pending
- 2020-09-08 WO PCT/JP2020/033896 patent/WO2021111692A1/ja active Application Filing
- 2020-09-08 CN CN202080084034.7A patent/CN114868365A/zh active Pending
-
2022
- 2022-06-01 US US17/830,104 patent/US20220291944A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104685507A (zh) * | 2012-10-21 | 2015-06-03 | 迈克菲股份有限公司 | 向虚拟云基础结构提供虚拟安全装置架构 |
| JP2017174158A (ja) * | 2016-03-24 | 2017-09-28 | 日本電気株式会社 | 監視システム、監視方法および監視プログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116866154A (zh) * | 2023-09-05 | 2023-10-10 | 湖北华中电力科技开发有限责任公司 | 一种基于虚拟机集群的配电网通讯服务智能调度管理系统 |
| CN116866154B (zh) * | 2023-09-05 | 2023-11-28 | 湖北华中电力科技开发有限责任公司 | 一种基于虚拟机集群的配电网通讯服务智能调度管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021111692A1 (ja) | 2021-06-10 |
| US20220291944A1 (en) | 2022-09-15 |
| JP7411895B2 (ja) | 2024-01-12 |
| DE112020005949T5 (de) | 2022-09-29 |
| JP2021090160A (ja) | 2021-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109644153B (zh) | 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法 | |
| EP3566400B1 (en) | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof | |
| US10148693B2 (en) | Exploit detection system | |
| CN114868365A (zh) | 信息处理装置、异常检测方法以及计算机程序 | |
| KR101713045B1 (ko) | 보안 환경에서 엔드포인트 하드웨어 지원형 네트워크 방화벽을 위한 시스템 및 방법 | |
| CN111434089B (zh) | 数据处理装置,总装置及用于运行数据处理装置或总装置的方法 | |
| Apvrille et al. | Secure automotive on-board electronics network architecture | |
| EP3476101B1 (en) | Method, device and system for network security | |
| EP3683712B1 (en) | Protecting integrity of log data | |
| EP3291119B1 (en) | Automotive monitoring and security system | |
| US10521613B1 (en) | Adaptive standalone secure software | |
| Gürgens et al. | A hardware based solution for freshness of secure onboard communication in vehicles | |
| Hamad et al. | Intrusion response system for vehicles: Challenges and vision | |
| EP3904161A1 (en) | Information processing device | |
| US11528284B2 (en) | Method for detecting an attack on a control device of a vehicle | |
| CN113961939B (zh) | 嵌入式操作系统安全的防护方法和系统 | |
| Corbett et al. | Leveraging hardware security to secure connected vehicles | |
| Potteiger et al. | A tutorial on moving target defense approaches within automotive cyber-physical systems | |
| Potteiger | A Moving Target Defense Approach Towards Security and Resilience in Cyber-Physical Systems | |
| US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
| Idrees et al. | Effective and efficient security policy engines for automotive on-board networks | |
| Andréasson et al. | Device Attestation for In-Vehicle Network | |
| Rasmussen | An Evaluation Framework for Intrusion Prevention Systems on Serial Data Bus Networks | |
| Bolignano | Proven security for the internet of things | |
| Malipatlolla et al. | Evaluating the impact of integrating a security module on the real-time properties of a system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240314 Address after: Kanagawa Prefecture, Japan Applicant after: Panasonic Automotive Electronic Systems Co.,Ltd. Country or region after: Japan Address before: Osaka, Japan Applicant before: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT Co.,Ltd. Country or region before: Japan |