CN117355832A - 监视装置、监视系统及监视方法 - Google Patents

监视装置、监视系统及监视方法 Download PDF

Info

Publication number
CN117355832A
CN117355832A CN202280036869.4A CN202280036869A CN117355832A CN 117355832 A CN117355832 A CN 117355832A CN 202280036869 A CN202280036869 A CN 202280036869A CN 117355832 A CN117355832 A CN 117355832A
Authority
CN
China
Prior art keywords
monitoring
unit
virtual machine
software
execution authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280036869.4A
Other languages
English (en)
Inventor
平野亮
氏家良浩
岸川刚
芳贺智之
安斋润
今本吉治
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN117355832A publication Critical patent/CN117355832A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/301Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Debugging And Monitoring (AREA)

Abstract

监视装置具备分别将软件及通信日志中的至少一个作为监视对象进行监视的3个以上的监视部;3个以上的监视部包括第一监视部、第二监视部以及第三监视部,第一监视部以第一执行权限动作,第二监视部以可靠性比第一执行权限低的第二执行权限动作,第三监视部以可靠性与第二执行权限相同或可靠性比第二执行权限低的第三执行权限动作;第一监视部对第二监视部的软件进行监视;第一监视部及第二监视部中的至少一个对第三监视部的软件进行监视。

Description

监视装置、监视系统及监视方法
技术领域
本公开涉及对软件及通信日志进行监视的监视装置、监视系统及监视方法。
背景技术
在专利文献1中,公开了通过由虚拟软件上的监视用虚拟机对虚拟软件上的监视对象虚拟机进行监视来检测监视对象虚拟机中的异常的方法。
现有技术文献
专利文献
专利文献1:日本特开2019-144785号公报
发明内容
发明要解决的课题
本公开用于解决以往的课题,提供即使在安装于可靠度低的区域中的监视程序被篡改的情况下也能够检测到在ECU中发生的异常的监视装置等。
用来解决课题的手段
有关本公开的一技术方案的监视装置,具备3个以上的监视部,该3个以上的监视部分别将软件及通信日志中的至少一个作为监视对象进行监视;上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以可靠性与上述第二执行权限相同或可靠性比上述第二执行权限低的第三执行权限动作;上述第一监视部对上述第二监视部的软件进行监视;上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视。
有关本公开的一技术方案的监视系统,是由监视装置和监视服务器构成的监视系统,上述监视装置具备:3个以上的监视部,分别将软件及通信日志中的至少一个作为监视对象进行监视;以及监视服务器通信部,将监视部识别符、监视对象识别符、正常判定时刻、以及异常判定时刻中的至少两个作为监视结果发送给上述监视服务器;上上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以可靠性与上述第二执行权限相同或可靠性比上述第二执行权限低的第三执行权限动作;上述第一监视部对上述第二监视部的软件进行监视;上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视;上述监视服务器具备监视结果显示部,该监视结果显示部接收上述监视结果,并将上述监视结果显示在图形用户接口上。
有关本公开的一技术方案的监视方法,是由具备3个以上的监视部的监视装置执行的监视方法,上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以与上述第二执行权限可靠性相同或可靠性比上述第二执行权限低的第三执行权限动作;上述第一监视部对上述第二监视部的软件进行监视;上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视。
发明效果
根据本公开的监视装置,即使在安装于可靠度低的区域中的监视程序被篡改的情况下也能够检测到在ECU中发生的异常。
附图说明
图1是表示实施方式的监视系统的整体构成图的图。
图2是表示实施方式的车载系统的构成图的图。
图3是表示实施方式的整合ECU的构成图的图。
图4是表示实施方式的整合ECU的构成图的详细的图。
图5是表示实施方式的外部应用的构成图的图。
图6是表示实施方式的控制应用的构成图的图。
图7是表示实施方式的影像应用的构成图的图。
图8是表示实施方式的外部虚拟机的构成图的图。
图9是表示实施方式的控制虚拟机的构成图的图。
图10是表示实施方式的影像虚拟机的构成图的图。
图11是表示实施方式的虚拟机监视器的构成图的图。
图12是表示实施方式的安全应用的构成图的图。
图13是表示实施方式的监视服务器的构成图的图。
图14是表示实施方式的监视信息的一例的图。
图15是表示实施方式的监视信息的一例的图。
图16是表示实施方式的系统状态的一例的图。
图17是表示实施方式的监视构成的一例的图。
图18是表示实施方式的监视构成的一例的图。
图19是表示实施方式的监视构成的一例的图。
图20是表示实施方式的监视构成的一例的图。
图21是表示实施方式的监视变更规则的一例的图。
图22是表示实施方式的监视结果显示的一例的图。
图23是表示实施方式的监视结果显示的一例的图。
图24是表示实施方式的应用监视部的监视处理的次序的图。
图25是表示实施方式的VM监视部的监视处理的次序的图。
图26是表示实施方式的HV监视部的监视处理的次序的图。
图27是表示实施方式的SA监视部的监视处理的次序的图。
图28是表示实施方式的监视服务器通知处理的次序的图。
图29是表示实施方式的从管理部进行监视变更的处理的次序的图。
图30是表示实施方式的监视处理的流程图的图。
图31是表示实施方式的监视变更处理的流程图的图。
图32是表示实施方式的整合ECU的构成图的详细的变形例1的图。
图33是表示实施方式的整合ECU的构成图的详细的变形例2的图。
具体实施方式
近年来,为了向使用者提供自动驾驶等的先进功能,车载系统正在复杂化。为了解决伴随于复杂化而增大的开发期间及成本的课题,以往有将分开搭载在多个ECU(Electronic Control Unit:电子控制单元)中的功能整合到1个ECU的动向。在ECU的整合中,为了由1个ECU使多个虚拟的计算机动作而利用虚拟化技术。该虚拟的计算机被称为虚拟机,作为使多个虚拟机动作的虚拟化基础平台的软件被称为虚拟机监视器(hypervisor)。
在虚拟机监视器内的虚拟软件或设备驱动器中包含的脆弱性或规格的不良状况显著的情况下,存在对虚拟机监视器或虚拟机分配的存储器区域可能被篡改的问题。作为其对策,专利文献1中记载有如下的方法:在虚拟软件上配置监视用的虚拟机和作为监视对象的虚拟机,通过从监视用的虚拟机对监视对象进行监视,来检测监视对象中的异常。
此外,在车辆系统中,在将能够自由地安装第三方的应用的IVI(In-VehicleInfotainment:车载信息娱乐系统)系统和通过指示车辆的行进、停止、转弯等的控制来对自动驾驶进行辅助的ADAS(Advanced Driver Assistance System:高级驾驶辅助系统)整合到1个ECU的情况下,如果与ADAS的控制方法关联的存储器区域被第三方的有恶意的应用篡改,则有可能给车辆的驾驶带来障碍。
但是,专利文献1的方法在监视用的虚拟机没有被篡改的情况下能够检测监视对象的异常,但在监视用的虚拟机自身被第三方的有恶意的应用篡改了的情况下,有不能检测异常的课题。
为了解决上述课题,有关本公开的一技术方案的监视装置,具备3个以上的监视部,该3个以上的监视部分别将软件及通信日志中的至少一个作为监视对象进行监视;上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以可靠性与上述第二执行权限相同或可靠性比上述第二执行权限低的第三执行权限动作;上述第一监视部对上述第二监视部的软件进行监视;上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视。
由此,可以想到侵入到系统中的攻击者在获得较弱的第三执行权限后,以获得更强的第二执行权限、第一执行权限为目标,所以有如下效果:在比第二执行权限弱的第三执行权限被劫持之后尝试想要通过篡改第三监视部的软件来避开监视的情况下,也能够从第一监视部或第二监视部检测第三监视部的软件的异常。此外,可以想到以较强的执行权限使程序动作的环境与以较弱的执行权限使程序动作的环境被分离,所以有如下效果:通过使用执行权限不同的3个等级的监视部,能够跨3种环境对大范围的监视对象进行监视。此外,可以想到以较强的执行权限动作的软件通过简单的算法来安装以免包含脆弱性,所以有如下效果:在以较强的执行权限动作的监视部中能够采用简单的算法,在以较弱的执行权限动作的监视部中能够采用高级且复杂的算法。
此外,也可以是,上述3个以上的监视部具备4个以上的监视部;上述4个以上的监视部包括上述第一监视部、上述第二监视部、上述第三监视部以及第四监视部,上述第四监视部以可靠性与上述第三执行权限相同或可靠性比上述第三执行权限低的第四执行权限动作;上述第一监视部、上述第二监视部及上述第三监视部中的至少一个对上述第四监视部的软件进行监视。
由此,可以想到侵入到系统中的攻击者在获得较弱的第四执行权限后,以获得更强的第三执行权限、更强的第二执行权限、第一执行权限为目标,所以有如下效果:在比第三执行权限弱的第四执行权限被劫持之后尝试想要通过篡改第四监视部的软件来避开监视的情况下,也能够从第一监视部或第二监视部、第三监视部检测第四监视部的软件的异常。此外,可以想到以较强的执行权限使程序动作的环境与以较弱的执行权限使程序动作的环境被分离,所以有如下效果:通过使用执行权限不同的4个等级的监视部,能够跨4种环境对大范围的监视对象进行监视。此外,可以想到以较强的执行权限动作的软件通过简单的算法来安装以免包含脆弱性,所以有如下效果:在以较强的执行权限动作的监视部中能够采用简单的算法,在以较弱的执行权限动作的监视部中能够采用高级且复杂的算法。
此外,也可以是,上述监视装置在安全应用、虚拟软件基础平台及1个以上的虚拟机上动作;上述第一执行权限是安全应用的执行权限、虚拟软件基础平台的执行权限、以及虚拟机的核心执行权限中的1个;上述第二执行权限是上述虚拟软件基础平台的执行权限、上述虚拟机的核心执行权限、以及上述虚拟机的用户权限中的1个;上述第三执行权限是上述虚拟机的核心执行权限以及上述虚拟机的用户权限中的1个;上述安全应用的执行权限与上述虚拟软件基础平台的执行权限相比可靠性高;上述虚拟软件基础平台的执行权限与上述虚拟机的核心执行权限相比可靠性高;上述虚拟机的核心执行权限与上述虚拟机的用户权限相比可靠性高。
由此,可以想到对于虚拟机的用户应用的脆弱性获得了虚拟机的用户权限的攻击者以获得虚拟机的核心权限、虚拟机监视器的执行权限、安全应用的执行权限为目标,所以有如下效果:即使在虚拟机的用户权限、虚拟机的核心权限、虚拟机监视器的执行权限被劫持后尝试想要篡改以所劫持的执行权限动作的监视部的软件来避开监视的情况下,也能够从更强的执行权限的监视部检测较弱的执行权限的监视部的异常。此外,可以想到在安全应用的执行权限或虚拟机监视器的执行权限下,难以取得虚拟机的用户空间的软件、虚拟机的用户空间的网络日志、虚拟机的用户空间与核心空间之间的系统调用之类的通信日志,所以有如下效果:通过按每个执行权限将监视部分离,能够对更大范围的监视对象进行监视。此外,可以想到以安全应用的执行权限和虚拟机监视器的执行权限、虚拟机的核心权限动作的软件通过简单的算法来安装以免包含脆弱性,所以有如下效果:在以较强的执行权限动作的监视部中能够采用简单的算法,在以较弱的执行权限动作的监视部中能够采用高级且复杂的算法。
此外,也可以是,上述监视装置在虚拟软件基础平台及2个以上的虚拟机上动作;在以分配给上述虚拟机的执行权限动作的监视部存在2个以上的情况下,以分配给上述虚拟机的执行权限动作的2个以上的监视部中的第一虚拟机的监视部将上述2个以上的监视部中的第二虚拟机的监视部的软件包含在监视对象中;上述2个以上的虚拟机根据被攻击者篡改的可能性被分类为上述第一虚拟机及上述第二虚拟机中的某1个。
由此,可以想到从外部网络侵入到系统而获得了与外部网络连接的虚拟机的用户权限及核心权限的攻击者以获得其他虚拟机的功能为目标,所以有如下效果:即使与外部网络连接的篡改风险高的第二虚拟机的监视部被劫持的情况下,也能够从不与外部网络连接的篡改风险低的第一虚拟机的监视部检测第二虚拟机的监视部的软件的异常。此外,具有车辆的控制功能的虚拟机在被篡改的情况下的对安全性的影响大,容易成为攻击者的对象,所以有如下效果:通过从更可靠的虚拟机的监视部进行监视,能够维持安全性。或者,可以想到具有车辆的控制功能的虚拟机被从外部网络隔离,为了满足较高的功能安全等级的要求而充分考虑了安全的设计和安装,所以有能够将具有车辆的控制功能的虚拟机当作可靠的第一虚拟机的效果。此外,如果仅考虑执行权限,则篡改风险高的第二监视机的监视部需要从安全应用或虚拟机监视器的执行权限进行监视,但由于能够从执行权限相同的第一监视机的监视部对第二监视机的监视部进行监视,所以有能够使以安全应用的执行权限和虚拟机监视器的执行权限动作的软件简单化的效果。此外,可以想到从外部网络侵入到系统而获得了特定的虚拟机的用户权限及核心权限的攻击者以获得其他虚拟机的功能为目标,所以有如下效果:通过第一虚拟机的监视部和第二虚拟机进行相互监视或循环监视,即使在特定的虚拟机被劫持的情况下也能够从其以外的虚拟机的监视部检测到特定的虚拟机的异常。
此外,也可以是,上述监视装置在安全应用、主机操作系统、1个以上的虚拟软件基础平台及1个以上的虚拟机上动作,或者在1个以上的容器虚拟化基础平台及2个以上的容器上动作;上述第一执行权限、上述第二执行权限、上述第三执行权限和上述第四执行权限是安全应用的执行权限、主机操作系统的执行权限、虚拟软件基础平台的执行权限、虚拟机的核心执行权限、虚拟机的用户执行权限和容器的执行权限中的1个;在以相同的执行权限动作的虚拟机的监视部存在2个以上的情况下,以上述相同的执行权限动作的2个以上的虚拟机的2个以上的监视部中的第一虚拟机的监视部将上述2个以上的虚拟机的上述2个以上的监视部中的第二虚拟机的监视部的软件包含在监视对象中;上述2个以上的虚拟机根据被攻击者篡改的可能性被分类为上述第一虚拟机及上述第二虚拟机中的某1个;在以相同的执行权限动作的容器的监视部存在2个以上的情况下,以上述相同的执行权限动作的2个以上的容器的2个以上的监视部中的第一容器的监视部将上述2个以上的容器的上述2个以上的监视部中的第二容器的监视部的软件包含在监视对象中;上述2个以上的容器根据被攻击者篡改的可能性被分类为上述第一容器及上述第二容器中的某1个。
由此,可以想到在作为主机的操作系统在使用作为虚拟软件基础平台的虚拟机监视器执行及管理多个虚拟机的情况下,或使用以Docker、Kubernetes等为代表的容器虚拟化基础平台执行及管理多个容器的情况下,根据有无与外部网络的连接功能等被篡改的可能性,虚拟机或容器的可靠度不同,所以通过对于多个监视部构建监视的信任链,有如下效果:即使在可靠度低的第二虚拟机或第二容器的监视部被劫持的情况下,也能够从可靠度高的第一虚拟机的监视部或第一容器的监视部检测异常。
此外,也可以是,上述3个以上的监视部分别根据事件发生的定时,开始对上述监视对象的监视,上述事件包括规定的时间经过、规定的外部网络连接时间经过、系统启动、系统重启、外部网络连接建立及外部设备连接中的至少一个。
由此,不是采用如在系统启动时验证软件的完全性的安全引导那样被前级的监视部验证了完全性的监视部对后级的监视部进行验证这样的串联的监视方法,而是非同步地按照软件的篡改风险高的事件实施监视,从而有能够缩短监视处理的中断时间的效果。进而,有如下效果:利用每个虚拟机的CPU的空闲时间进行监视处理等,能够不对系统添加负荷而灵活地分配监视处理的负担。
此外,也可以是,上述监视装置在车载系统上动作;上述3个以上的监视部分别根据事件发生的定时,开始对上述监视对象的监视,上述事件包括规定的行驶时间经过、规定的停止时间经过、规定的行驶距离经过、行驶模式的切换、供油或供电的结束、车辆诊断的实施及紧急警报的发出中的至少一个。
由此,有如下效果:在车载系统中,每当发生软件的篡改风险高的事件就对监视对象进行监视,从而能够有效地实施非同步监视。
此外,也可以是,上述3个以上的监视部分别根据达到了其他监视部的监视处理的执行次数、在监视处理中判定为异常的次数、以及在监视处理中判定为正常的次数中的至少一个次数的定时,开始对上述监视对象的监视。
由此,有如下效果:例如在作为第一监视部的监视对象的第二监视部执行全部监视对象的数量的监视处理后,第一监视部实施第二监视部的软件的监视处理,从而能够将用来信任全部的第二监视部的监视结果的监视处理的次数削减为1次。此外,有如下效果:例如在作为第一监视部的监视对象的第二监视部检测到1次异常的情况下,第一监视部执行第二监视部的软件的监视处理,从而仅在第二监视部的监视对象中发生了异常的情况下执行监视处理,能够削减监视处理的次数。此外,有如下效果:例如在作为第一监视部的监视对象的第二监视部检测到5次正常的情况下,第一监视部执行1次第二监视部的软件的监视处理,从而能够减少第一监视部的监视处理,能够削减监视处理的次数。这可以想到为了使较强的执行权限的软件动作而需要执行模式的切换的情况,所以有如下效果:通过削减执行模式的切换次数,能够削减开销。
此外,也可以是,上述3个以上的监视部分别在上述监视对象是软件的情况下,取得存储在存储器或储存器中的作为上述监视对象的软件的哈希值、掩码值及复制值中的至少一个信息作为取得值,将作为事前定义的正解值的期望值与上述取得值进行比较,在上述期望值与上述取得值一致的情况下判定为上述软件正常,在上述期望值与上述取得值不一致的情况下判定为上述软件异常。
由此,在被进行了软件的篡改的情况下,期望值与取得值不同,所以有能够判定有无软件篡改的效果。此外,有如下效果:通过使用哈希值,能够比复制值更有效地判定篡改,通过使用掩码值,能够比复制值更有效地判定有无篡改。此外,有如下效果:通过使用复制值,能够比哈希值更正确地判定篡改,通过使用掩码值,能够比哈希值更正确地判定篡改。
此外,也可以是,上述软件包括虚拟软件基础平台的程序及设定文件的组合、虚拟机的核心程序及设定文件的组合、虚拟机上的用户应用的程序及设定文件的组合、以及上述3个以上的监视部各自的程序及设定文件的组合中的至少一个组合。
由此,能够判定与虚拟机监视器、虚拟机、用户应用及监视部相关联的软件有无篡改。
此外,也可以是,上述3个以上的监视部分别在上述监视对象是通信日志的情况下,取得通信日志;使用许可列表、拒绝列表和正常时的统计信息中的至少一个对上述通信日志进行验证;进行以下判定中的某1个判定:(i)第一判定,在包含在上述许可列表中的情况下判定为上述通信日志正常,在不包含在上述许可列表中的情况下判定为上述通信日志异常;(ii)第二判定,在不包含在上述拒绝列表中的情况下判定为上述通信日志正常,在包含在上述拒绝列表中的情况下判定为上述通信日志异常;以及(iii)第三判定,在没有脱离上述正常时的统计信息的情况下判定为上述通信日志正常,在脱离了上述正常时的统计信息的情况下判定为上述通信日志异常。
由此,在收发了异常的通信的情况下,不包含在许可列表中,而包含在拒绝列表中,脱离正常时的统计信息,所以能够判定通信的异常。进而,有如下效果:能够取得异常的通信的发送源、目的地信息,能够掌握发送源的软件被篡改的可能性高、目的地的软件成为下一个攻击对象的可能性高。
此外,也可以是,上述通信日志包含以太网、CAN协议、FlexRay协议、SOME/IP协议、SOME/IP-SD协议、系统调用和超级调用中的至少一个。
由此,有如下效果:通过以搭载在车载系统中的网络协议为监视对象,能够使用协议特有的参数判定通信的异常。进而,有如下效果:能够从被判定为异常的通信日志取得发送源和目的地,能够确定可能发生异常的监视部或监视对象。进而,有如下效果:通过以作为特权命令的系统调用、超级调用为监视对象,能够判定在执行权限的边界发生的异常,能够确定可能发生异常的监视部或监视对象。
此外,也可以是,上述3个以上的监视部分别根据按每个上述监视对象设定的优先级,变更上述监视对象的监视频度、上述监视对象的验证方法、以及上述监视对象的选择方法中的至少一个。
由此,可以想到按每个监视对象在被篡改的可能性以及被篡改的情况下的影响的大小上有差别,所以有如下效果:通过按每个监视对象设定适当的优先级,能够在有限的资源内对篡改风险高的监视对象重点进行监视。
此外,也可以是,上述优先级根据以下中的至少一个来设定:上述监视对象的执行权限、上述3个以上的监视部中的1个监视部或上述监视进行动作的虚拟机是否具有外部网络连接功能、以及上述1个监视部或上述监视进行动作的虚拟机是否具有车辆控制功能。
由此,可以想到以较强的执行权限动作的软件通过简单的算法来安装以免包含脆弱性,因此被篡改的可能性低,所以有能够将优先级设定得低的效果。此外,不与外部网络连接的虚拟机及拥有可靠的车辆的控制功能的虚拟机被篡改的可能性低,所以有能够将优先级设定得低的效果。
此外,也可以是,上述监视装置还包括管理部,上述管理部根据上述监视装置动作的系统的状态或事件,变更监视信息中包含的优先级、以及作为上述监视对象中包含的监视担当者及监视对象的组合的监视构成中的至少一个。
由此,可以想到在根据系统的状态或事件而在监视对象的重要度上有差别的情况下,难以将监视信息设定为适当的固定值,所以有如下效果:通过在系统启动后也灵活地变更监视信息和监视构成,能够有效地进行监视。例如,有如下效果:通过灵活地变更优先级,并根据优先级来变更监视对象的监视频度、监视精度和监视手段,能够在有限的资源内重点监视篡改风险高的监视对象。此外,有如下效果:通过在1个虚拟机重启等一部分监视部成为不能动作的状态的情况下,变更监视信息以使其他监视部继续进行不能动作的监视对象的监视,能够持续地对监视对象进行监视。此外,有如下效果:通过例如在1个虚拟机被判定为异常的情况下由其他监视部继续进行监视对象的监视,能够从可靠的监视部对监视对象进行监视。此外,有如下效果:通过例如在1个虚拟机被判定为异常的情况下由其他监视部追加实施监视对象的监视,能够由多个监视部强化监视。此外,有如下效果:例如在1个虚拟机的CPU或存储器的资源紧张的情况下,通过由其他监视部继续进行监视对象的监视,能够降低因资源紧张带来的系统影响。
此外,也可以是,上述管理部根据以下中的至少一个来变更上述优先级:是否正在外部网络连接中、外部网络连接建立事件有无发生、监视机的系统状态、上述监视部的监视结果、检测到异常的监视部的执行权限、检测到异常的软件的执行权限、以及检测到异常的通信日志的目的地或发送源。
由此,由于与网络连接有关的状态对攻击可能性带来影响,所以有能够根据监视对象的攻击可能性的变化来变更优先级的效果。进而,可以想到在判定出软件的异常的情况下,在与异常软件相同的虚拟机的软件、以相同的执行权限动作的软件、判定出异常的监视部的软件中发生攻击的可能性高,所以有能够根据攻击可能性的变化来变更优先级的效果。进而,在判定出通信的异常的情况下,在通信的发送源中发生异常的可能性高,对通信的发送目的地展开攻击的可能性高,所以有能够根据攻击可能性的变化来变更优先级的效果。
此外,也可以是,上述监视装置在车载系统上动作;上述管理部根据车辆的行驶状态,变更在具有车辆的控制功能的虚拟机上动作的监视对象的优先级;车辆的行驶状态是停止中、手动驾驶中、高级驾驶辅助中、以及自动驾驶中的某一个。
由此,可以想到在自动驾驶中或高级驾驶辅助中的情况下,从具有车辆的控制功能的控制虚拟机的软件发送与车辆的行进、转弯、停止有关的控制命令,对引擎、转向、制动等进行控制的控制ECU遵循控制命令,并且软件篡改的影响大,所以有能够提高具有车辆的控制功能的控制虚拟机的软件的优先级而重点进行监视的效果。另一方面,可以想到在停止中或手动行驶中的情况下,处于控制ECU不遵循控制命令的状态,并且软件篡改的影响小,所以有如下效果:通过降低具有车辆的控制功能的控制虚拟机的软件的监视的优先级,能够使其他监视对象的监视处理优先。
此外,也可以是,上述管理部以即使在上述监视构成的变更后也能够构建监视的信任链的方式变更监视构成,上述监视的信任链中对于可靠度低的监视部的软件由与上述可靠度低的监视部相比可靠度高的监视部进行监视。
由此,有如下效果:即使变更监视构成,也能够从较强的执行权限的监视部对较弱的执行权限的监视部的软件进行监视,能够从被篡改的可能性低的虚拟机的监视部对被篡改的可能性高的虚拟机的监视部的软件进行监视,所以即使在某一个较弱的执行权限监视部被劫持的情况下也能够判定异常。
此外,也可以是,上述管理部根据以下中的至少一个来变更监视构成:是否正在外部网络连接中、外部网络连接建立事件有无发生、虚拟机的系统状态、上述监视部的监视结果、检测到异常的监视部的执行权限、检测到异常的软件的执行权限、以及检测到异常的通信日志的目的地或发送源。
由此,由于与网络连接有关的状态对攻击可能性带来影响,所以有能够根据监视对象的攻击可能性的变化来变更监视构成的效果。此外,有如下效果:通过在1个虚拟机重启等一部分监视部成为无效化状态的情况下由其他监视部继续进行监视对象的监视,能够对监视对象持续地进行监视。进而,有如下效果:通过在1个虚拟机被判定为异常的情况下由其他监视部继续进行监视对象的监视,能够从可靠的监视部对监视对象进行监视。进而,有如下效果:通过在1个虚拟机被判定为异常的情况下由其他监视部追加实施监视对象的监视,能够由多个监视部强化监视。进而,有如下效果:在1个虚拟机的CPU或存储器的资源紧张的情况下,通过由其他监视部继续进行监视对象的监视,能够降低因资源紧张带来的系统影响。
此外,也可以是,上述监视装置在车载系统上动作;上述管理部根据车辆的行驶状态,变更与具有车辆的控制功能的虚拟机有关的监视构成;上述车辆的行驶状态是停止中、手动驾驶中、高级驾驶辅助中、自动驾驶中的某一个。
由此,可以想到在自动驾驶中或高级驾驶辅助中的情况下,从具有车辆的控制功能的控制虚拟机的软件发送与车辆的行进、转弯、停止有关的控制命令,对引擎、转向、制动等进行控制的控制ECU遵循控制命令,并且软件篡改的影响大,所以有如下效果:能够变更监视构成,以由多个监视部对控制虚拟机的软件进行监视。可以想到在停止中或手动行驶中的情况下,处于控制ECU不遵循控制命令的状态,并且软件篡改的影响小,所以有能够仅由1个监视部实施负荷小的通常的监视的效果。
此外,也可以是,上述管理部通过以下手段中的至少一个手段来变更上述监视构成:(i)从预先定义的2个以上的监视构成中选择1个监视构成的手段;(ii)将上述监视构成作为以2个以上的监视部为顶点、以监视担当者为路径起点、以监视对象为路径终点的有向图表进行存储,并以规定的算法重新构建有向图表的手段;以及(iii)将上述监视构成作为以上述2个以上的监视部为节点、以上述监视担当者为父节点、以上述监视对象为子节点的树结构进行存储,并以规定的算法重新构建树结构的手段。
由此,有能够从多个监视构成的样式中根据当前的系统状况及事件而变更为适当的监视构成的效果。此外,有如下效果:通过以有向图表的数据结构保持监视构成,在一部分监视部无效化或在一部分监视部中判定出异常等的情况下,能够重新计算监视构成,以使得能够由至少一个监视部对监视对象进行监视。此外,上述管理部是通过作为以监视部为节点、以监视担当者为父节点、以监视对象为子节点的树结构存储监视构成,并用规定的算法重新构建树结构,来变更监视构成的监视装置。此外,有如下效果:通过用树结构的数据结构保持监视构成,在一部分监视部无效化或在一部分监视部中判定出异常等的情况下,能够重新计算监视构成,以使得能够由至少一个监视部对监视对象进行监视。
此外,也可以是,上述监视装置还具备向监视服务器通知监视结果的监视服务器通信部。
由此,有如下效果:能够经由监视服务器将监视结果通知给安全分析官,在发生了异常的情况下能够研究软件的更新等对策。
有关本公开的一技术方案的监视系统,是由监视装置和监视服务器构成的监视系统,上述监视装置具备:3个以上的监视部,分别将软件及通信日志中的至少一个作为监视对象进行监视;以及监视服务器通信部,将监视部识别符、监视对象识别符、正常判定时刻、以及异常判定时刻中的至少两个作为监视结果发送给上述监视服务器;上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以可靠性与上述第二执行权限相同或可靠性比上述第二执行权限低的第三执行权限动作;上述第一监视部对上述第二监视部的软件进行监视;上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视;上述监视服务器具备监视结果显示部,该监视结果显示部接收上述监视结果,并将上述监视结果显示在图形用户接口上。
由此,有如下效果:安全分析官能够在视觉上掌握监视结果,在发生了异常的情况下能够迅速地研究软件的更新等对策。
此外,也可以是,上述监视结果显示部以如下手段中的至少一个手段将监视结果显示在图形用户接口上:将上述监视结果与系统架构建立关联而显示,将检测到异常的监视部或被检测到异常的监视对象强调的手段;以及将监视结果与规定的时间线建立关联而显示,将正常判定时刻或异常判定时刻强调的手段。
由此,有如下效果:安全分析官能够直观地掌握监视部的场所、监视对象的场所和监视结果,在发生了异常的情况下能够更迅速地研究软件的更新等对策。此外,有如下效果:安全分析官能够直观地掌握监视结果的时间序列,在发生了异常的情况下能够更迅速地研究软件的更新等对策。
此外,也可以是,上述监视服务器还具备监视信息变更部,该监视信息变更部受理上述监视对象、对上述监视对象进行监视的监视部、上述监视对象的优先级、以及与上述优先级对应的监视方法中的至少一个监视信息的变更,并对上述监视装置请求上述变更;上述监视装置还具备监视信息更新部,上述监视信息更新部根据上述监视信息变更部的请求,更新上述监视信息。
由此,有如下效果:在安全分析官对监视结果进行分析的结果判断为需要进行监视对象或监视部、优先级、每个优先级的监视方法等的修正的情况下能够迅速地将修正反映到系统中。
有关本公开的一技术方案的监视方法,是由具备3个以上的监视部的监视装置执行的监视方法,上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以可靠性与上述第二执行权限相同或可靠性比上述第二执行权限低的第三执行权限动作;上述第一监视部对上述第二监视部的软件进行监视;上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视。
由此,可以想到侵入到系统中的攻击者在获得较弱的第三执行权限后,以获得更强的第二执行权限、第一执行权限为目标,所以有如下效果:在比第二执行权限弱的第三执行权限被劫持之后尝试想要通过篡改第三监视部的软件来避开监视的情况下,也能够从第一监视部或第二监视部检测第三监视部的软件的异常。此外,可以想到以较强的执行权限使程序动作的环境与以较弱的执行权限使程序动作的环境被分离,所以有如下效果:通过使用执行权限不同的3个等级的监视部,能够跨3种环境对大范围的监视对象进行监视。此外,可以想到以较强的执行权限动作的软件通过简单的算法来安装以免包含脆弱性,所以有如下效果:在以较强的执行权限动作的监视部中能够采用简单的算法,在以较弱的执行权限动作的监视部中能够采用高级且复杂的算法。
另外,这些包含性或具体的技术方案也可以由系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等的记录介质实现,也可以由系统、方法、集成电路、计算机程序及记录介质的任意的组合来实现。
以下,参照附图对有关实施方式的监视装置进行说明。这里表示的实施方式都表示本公开的一具体例。因而,在以下的实施方式中表示的数值、构成要素、构成要素的配置位置及连接形态、以及作为处理的要素的步骤及步骤的顺序等是一例,并不是要限定本公开。此外,以下的实施方式的构成要素中的、在独立权利要求中没有记载的构成要素是能够任意地附加的构成要素。此外,各图是示意图,并不一定是严密地图示的。
(实施方式)
[监视系统的整体构成图]
图1是实施方式的监视系统的整体构成图。
监视系统具备监视服务器10和车载系统20。监视服务器10和车载系统20经由外部网络30连接。
外部网络30例如是因特网。外部网络30的通信方法既可以是有线也可以是无线。此外,无线通信方式也可以是作为现有技术的Wi-Fi(注册商标)、3G/LTE(Long TermEvolution:长期演进)、Bluetooth(注册商标)、V2X通信方式。
监视服务器10是从车载系统20取得作为与车载系统20的安全状态有关的信息的监视结果,并使用图形用户接口显示监视结果的装置。例如,在安全操作中心中由安全分析官确认监视结果,在车载系统20中发生了异常的情况下研究软件更新等的对策时使用监视服务器10。
车载系统20是实施通信的控制、车辆的控制及影像的输出等,监视车载系统20的安全状态,向监视服务器10通知安全状态的监视结果的装置。在图1中,仅记载了1台车载系统20,但1个以上的车载系统20分别向监视服务器10发送安全状态的监视结果。车载系统20的详细情况后述。
[车载系统20的整体构成图]
图2是表示实施方式的车载系统的构成图的图。
车载系统20具备整合ECU200、网关ECU300、转向ECU400a、制动ECU400b、区域(Zone)ECU500、前摄像机ECU600a和后摄像机ECU600b。
整合ECU200和网关ECU300经由作为网络协议的一种的CAN(Control AreaNetwork:控制局域网络)的CAN40连接。这里使用的网络协议并不限于CAN,也可以是CAN-FD、FlexRay协议等的由车载系统使用的网络协议。
此外,网关ECU300、转向ECU400a和制动ECU400b经由CAN41连接。
此外,整合ECU200和区域ECU500经由作为网络协议的一种的Ethernet(注册商标)的协议的以太网50连接。以太网50例如是SOME/IP(Scalable Service-OrientedMiddlewarE over IP:基于IP的可扩展的面向服务的中间件)协议。这里使用的网络协议也可以不是SOME/IP,也可以是SOME/IP-SD、CAN-XL等由车载系统使用的网络协议。
此外,区域ECU500、前摄像机ECU600a和后摄像机ECU600b经由以太网51连接。以太网51既可以是与以太网50相同的网络协议,也可以是不同的网络协议。
此外,整合ECU200和监视服务器10经由外部网络30连接。
整合ECU200是实施经由外部网络30、CAN40及以太网50收发消息的通信控制、经由CAN40及以太网50向网关ECU300及区域ECU500指示车辆的控制的车辆控制、以及向信息娱乐系统或仪表板的影像输出的ECU。此外,整合ECU200是监视整合ECU200的安全状态并将监视结果向监视服务器10通知的ECU。整合ECU200的详细情况后述。
网关ECU300是对在整合ECU200与转向ECU400a及制动ECU400b之间收发的消息进行中介的ECU。
转向ECU400a是控制基于搭载在车辆上的方向盘的操舵的ECU。
制动ECU400b是对搭载在车辆上的制动器进行控制的ECU。
车载系统20除了转向ECU400a及制动ECU400b以外,还使用对车辆的引擎或车身进行控制的ECU实现车辆的行进、转弯、停止之类的控制。
区域ECU500是对在整合ECU200与前摄像机ECU600a及后摄像机ECU600b之间收发的消息进行中介的ECU。
前摄像机ECU600a是取得搭载在车辆的前方并拍摄车辆的前方的摄像机的影像的ECU。
后摄像机ECU600b是取得搭载在车辆的后方并拍摄车辆的后方的摄像机的影像的ECU。
在图2中,仅记载了前摄像机ECU和后摄像机ECU,但使用收集GPS等的各种传感器信息的ECU来实现自动驾驶、自适应巡航控制、自动驻车等的先进驾驶辅助功能。
[整合ECU的构成图]
图3是实施方式的整合ECU200的构成图。整合ECU200具备外部应用A100、控制应用A200、影像应用A300、外部虚拟机VM100、控制虚拟机VM200、影像虚拟机VM300、虚拟机监视器(Hypervisor)HV100、安全应用SA100和安全操作系统SOS100。另外,以下有时将外部应用A100、控制应用A200和影像应用A300统称为应用。此外,有时将外部虚拟机VM100、控制虚拟机VM200和影像虚拟机VM300统称为虚拟机。整合ECU200是监视装置的一例。
虚拟机监视器HV100是虚拟机监视器等的虚拟软件基础平台,是执行及管理1个以上的虚拟机的软件。通常,将虚拟机监视器区分为被称为类型1的裸机型虚拟机监视器和被称为类型2的主机型。在嵌入系统中,通常考虑由虚拟机监视器进行的处理的开销而使用类型1。类型1的虚拟机监视器由于代码尺寸小,所以包含脆弱性的可能性低,可以想到与应用或虚拟机相比更可靠。
在实施方式中,对虚拟化系统由类型1的虚拟机监视器实现的例子进行说明,但虚拟化系统也可以由类型2的虚拟机监视器实现,也可以由容器型的虚拟化应用实现。
安全操作系统SOS100是以不包含脆弱性的方式安装的可靠的操作系统。进而,在系统启动时从可靠的硬件的Root Of Trust起对操作系统的软件进行验证,所以可以想到其在应用、虚拟机及虚拟机监视器HV100中是最可靠的。安全操作系统SOS100例如使用被称为TEE(Trusted Execution Environment:可信执行环境)的执行环境的控制来实现。此外,安全操作系统SOS100例如可以由ARM类的CPU(Central Processing Unit:中心处理单元)中的在Cortex-A族中作为标准功能之一的TrustZone机构实现。此外,安全操作系统SOS100也可以由Apple的SEP(Secure Enclave Processor:安全隔离区处理器)或Google的TitanM等实现。
安全应用SA100是以不包含脆弱性的方式安装的可靠的应用。安全应用SA100由于在可靠的安全操作系统SOS100上动作,所以可以想到比应用、虚拟机及虚拟机监视器HV100更可靠。另一方面,安全应用SA100被要求不包含脆弱性的安装,所以安全应用SA100的程序被要求是简单的。
外部应用A100是经由外部网络30与监视服务器10通信的应用。外部应用A100由于与可能成为攻击者的侵入口的外部网络30连接,所以可以想到比没有与外部网络30连接的控制应用A200及影像应用A300脆弱。
外部虚拟机VM100是使外部应用A100动作的操作系统。外部虚拟机VM100由于使可能成为攻击者的侵入口的外部应用A100动作,所以可以想到比控制虚拟机VM200及影像虚拟机VM300脆弱。
控制应用A200是经由CAN40与网关ECU300通信,并对与具备车载系统20的车辆的行驶有关的动作进行控制的应用。控制应用A200由于不与外部网络30连接,所以可以想到比外部应用A100更可靠。进而,控制应用A200由于在关于与车辆的行驶的动作有关的控制的软件开发中适用于功能安全标准,所以进行安全的设计及安装。因此,可以想到控制应用A200比外部应用A100更可靠。但是,控制应用A200在被劫持的情况下攻击者能够使用与车辆的行驶有关的动作的控制的功能,所以可以想到对于与车辆的行驶有关的动作的影响大。
控制虚拟机VM200是使控制应用A200动作的操作系统。控制虚拟机VM200由于没有与外部网络30连接,所以可以想到可能成为攻击者的侵入口的可能性低。进而,控制虚拟机VM200在关于与车辆的行驶有关的动作的控制的软件开发中适用于功能安全标准,所以进行安全的设计及安装。因此,可以想到控制虚拟机VM200比外部应用A100或外部虚拟机VM100更可靠。但是,控制虚拟机VM200在被劫持的情况下,攻击者能够使用与车辆的行驶有关的动作的控制的功能,所以可以想到与外部虚拟机VM100或影像虚拟机VM300被劫持的情况相比影响更大。
影像应用A300是经由以太网50与区域ECU500通信,并取得摄像机的影像等并向信息娱乐系统、仪表板、抬头显示器输出影像的应用。此外,摄像机影像也被用作用来实现自动驾驶等的先进驾驶辅助功能的信息。影像应用A300由于没有与外部网络30连接,所以可以想到可能成为攻击者的侵入口的可能性低,与外部应用A100相比更可靠。此外,影像应用A300在被劫持的情况下,攻击者不能使用与车辆的行驶有关的动作的控制的功能,所以可以想到与控制虚拟机VM200被劫持的情况相比对与车辆的行驶有关的动作的影响较小。
影像虚拟机VM300是使影像应用A300动作的操作系统。影像虚拟机VM300由于没有与外部网络30连接,所以可以想到可能成为攻击者的侵入口的可能性低,与外部应用A100相比更可靠。此外,影像虚拟机VM300在被劫持的情况下攻击者不能使用与车辆的行驶有关的动作的控制的功能,所以可以想到与控制虚拟机VM200被劫持的情况相比对与车辆的行驶有关的动作的影响较小。
这里,对各程序的执行权限进行说明。通常,CPU能够将多个特权等级分配给各程序。例如,在ARM系的CPU中对应于EL(Exception Level:异常等级),在Intel系的CPU中对应于保护环(Protection Ring)。进而,CPU通过使用TEE进行安全世界和普通世界这两种执行环境的控制,能够安全地执行程序。通常,通过该特权等级和两种执行环境的控制,可区分使用5种执行权限。在实施方式中,对安全操作系统SOS100分配最强的安全的执行权限(PL4),对操作系统上的应用(即安全应用SA100)分配下一个强的安全的执行权限(PL3),对虚拟机监视器HV100分配下一个强的执行权限(PL2),对虚拟机(即,外部虚拟机VM100、控制虚拟机VM200及影像虚拟机VM300)分配下一个强的执行权限(PL1),对虚拟机上的应用(即,外部应用A100、控制应用A200及影像应用A300)分配最弱的执行权限(PL0)。此外,基本上难以从以较弱的执行权限动作的程序篡改以较强的执行权限动作的软件。但是,即使在执行权限强的情况下,也有可能因脆弱性或设计不完备而被篡改软件,所以要求以较强的执行权限动作的软件是简单的程序。
如上述那样,外部应用A100由于被篡改的可能性最高,所以可靠度低,以控制应用A200、影像应用A300、外部虚拟机VM100、控制虚拟机VM200、影像虚拟机VM300、虚拟机监视器HV100、安全应用SA100及安全操作系统SOS100的顺序,被篡改的可能性变低。被篡改的可能性低意味着可靠度高。
这里,对攻击者的攻击脚本进行说明。攻击者恶意利用外部应用A100的脆弱性,从外部网络30向外部虚拟机VM100侵入,获得用户权限。接着,攻击外部虚拟机VM100的系统调用等的脆弱性,获得外部虚拟机VM100的核心权限。接着,攻击虚拟机监视器HV100的超级调用(Hypercall)等的脆弱性,获得虚拟机监视器HV100的权限或控制虚拟机VM200、影像虚拟机VM300的权限。这里,超级调用例如是指示虚拟机间的内部通信和虚拟机的启动、结束的特权命令。
为了在上述的攻击脚本中正确地捕捉攻击者的行为,设想对应用、虚拟机、虚拟机监视器HV100及安全应用SA100分别导入安全对策机构。安全对策机构包括后述的应用监视部、虚拟机监视部、HV监视部HV110及SA监视部SA110。
另外,在图3中省略了记载,但在整合ECU200中搭载有对燃料或供电状态、供油状态进行管理的功能、在发生了事故等系统异常的情况下发出紧急警报的功能、对车辆诊断进行控制的功能、对外部设备连接进行监视的功能。
[整合ECU的构成图的详细情况]
图4是表示实施方式的整合ECU的构成图的详细情况的图。
外部应用A100具备对外部通信和应用区域的软件进行监视的应用监视部A110,控制应用A200具备对CAN通信和应用区域的软件进行监视的应用监视部A210,影像应用A300具备对以太网通信和应用区域的软件进行监视的应用监视部A310。另外,应用区域的软件是用户区域的软件。以下,有时将应用监视部A110、应用监视部A210和应用监视部A310统称为应用监视部。此外,外部虚拟机VM100具备对系统调用、超级调用、VM区域(也称为OS区域或核心区域)的软件和应用区域的软件进行监视的VM监视部VM110,控制虚拟机VM200具备对系统调用、超级调用、VM区域(也称为OS区域或核心区域)的软件和应用区域的软件进行监视的VM监视部VM210,影像虚拟机VM300具备对系统调用、超级调用、VM区域(也称为OS区域或核心区域)的软件和应用区域的软件进行监视的VM监视部VM310。以下,有时将VM监视部VM110、VM监视部VM210和VM监视部VM310统称为虚拟机监视部。此外,虚拟机监视器HV100具备对HV区域的软件和VM区域的软件进行监视的HV监视部HV110。此外,安全应用SA100具备对HV区域的软件和VM区域的软件进行监视的SA监视部SA110、以及对监视信息进行管理的管理部SA120。以下,有时将应用监视部、虚拟机监视部、HV监视部HV110和SA监视部SA110统称为多层监视部。监视信息的详细情况在后面叙述。应用、应用监视部、虚拟机、虚拟机监视部、虚拟机监视器HV100、HV监视部HV110、安全应用SA100、SA监视部SA110的详细情况在后面叙述。
这样,设想为了正确地捕捉攻击者的行为而对应用、虚拟机、虚拟机监视器HV100及安全应用SA100分别导入了作为安全对策机构的应用监视部、虚拟机监视部、HV监视部HV110和SA监视部SA110的构成的整合ECU200。但是,攻击者通过篡改在所获得的执行权限下执行的安全对策机构的软件,能够使安全对策机构无效化,所以只是单纯地导入安全对策机构是不够的。
此外,可以想到对安全对策机构被篡改的可能性低的安全应用SA100、安全操作系统SOS100安装全部的安全对策机构,但如上述那样被要求不包含脆弱性的简单的程序,所以在安全对策机构中需要复杂的算法的情况下,难以进行全部的安全对策机构的安装。例如,在网络的异常检测中使用的通信日志的储存处理及统计处理、基于机器学习的处理在安全应用SA100、安全操作系统SOS100中有时无法实施。此外,由于执行环境的分离,安全应用SA100、安全操作系统SOS100能够访问的储存区域及存储器区域被限定,所以在不能取得安全对策机构所需要的对象的情况下,难以安装安全对策机构。例如,有时从安全应用SA100、安全操作系统SOS100不能取得应用的软件、应用所利用的通信。
因为上述两个理由,优选的是对应用、虚拟机、虚拟机监视器HV100及安全应用SA100分别导入安全对策机构,但安全对策机构自身被篡改的风险成为课题。所以,例如可以考虑SA监视部SA110对HV监视部HV110的软件进行监视、HV监视部HV110对虚拟机监视部的软件进行监视、虚拟机监视部对应用监视部的软件进行监视的构成。由此,即使在应用监视部被篡改的情况下,也能够由虚拟机监视部检测异常,即使在虚拟机监视部的软件被篡改的情况下,也能够由HV监视部HV110检测异常,即使在HV监视部HV110的软件被篡改的情况下,也能够由SA监视部SA110检测异常。这样,通过对于各个监视部,从以更强的执行权限或更高的可靠度动作的至少一个多层监视部进行监视,即使在1个监视部被篡改而被无效化的情况下也能够从其他的监视部检测异常。并且,由于从作为可靠的软件的SA监视部SA110到虚拟机监视器HV100、虚拟机、应用使监视连锁,所以攻击者难以避开全部的监视。将如上述那样在多层监视部中构建从具有更强的执行权限或更高的可靠度的监视部对具有较弱的执行权限或较低的可靠度的监视部进行监视的连锁的处理,称为构建监视的信任链。
[外部应用的构成图]
图5是标识实施方式的外部应用的构成图的图。
外部应用A100具备外部通信部A101、外部应用执行部A102、应用区域存储部A103和应用监视部A110。外部通信部A101经由外部网络30进行通信。外部应用执行部A102利用外部通信及系统调用,实施导航信息的取得、音乐及视频等流信息的取得及更新软件的下载。应用区域存储部A103是存储外部应用的程序和设定文件的储存器(storage)及存储器(memory)。
应用监视部A110具备监视对象取得部A111、系统状态取得部A112、监视部A113、监视信息存储部A114、监视信息更新部A115和监视结果通知部A116。
监视对象取得部A111具有从应用区域存储部A103取得与作为监视对象的软件有关的信息,并从外部通信部A101取得与外部通信日志有关的信息的功能。
系统状态取得部A112具有从外部通信部A101取得因特网连接状态作为系统状态的功能、以及从监视部A113取得安全状态作为系统状态的功能。
监视部A113具有将由监视对象取得部A111取得的与软件有关的信息的取得值以及监视信息存储部A114所存储的监视信息中包含的期望值进行比较,在取得值与期望值不同的情况下判定为与软件有关的信息异常,在取得值与期望值一致的情况下判定为与软件有关的信息正常的功能。进而,监视部A113具有对于由监视对象取得部A111取得的外部通信日志,利用许可列表或拒绝列表、以及通常时的统计信息来判定外部通信日志中包含的特定消息是否异常的功能。
监视信息存储部A114具有存储监视信息的功能,监视信息包括监视担当者、监视对象、期望值和优先级。
监视信息更新部A115具有根据来自管理部SA120的请求将监视信息更新的功能。
监视结果通知部A116具有向管理部SA120通知监视结果和系统状态的功能。
监视信息的详细情况在后面叙述。
这样,应用监视部A110能够对应用区域的软件及外部通信进行监视,能够取得因特网连接状态和外部应用A100的安全状态。可以想到外部通信的监视是使用统计信息的复杂的算法。
[控制应用的构成图]
图6是表示实施方式的控制应用的构成图的图。
控制应用A200具备CAN通信部A201、控制应用执行部A202、应用区域存储部A203和应用监视部A210。CAN通信部A201经由CAN40与网关ECU300通信。控制应用执行部A202利用CAN通信和系统调用而指示VM100的车辆的行进、转弯、停止等的与车辆的行驶有关的控制。应用区域存储部A203是存储控制应用的程序和设定文件的储存器及存储器。
应用监视部A210具备监视对象取得部A211、系统状态取得部A212、监视部A213、监视信息存储部A214、监视信息更新部A215和监视结果通知部A216。
监视对象取得部A211具有从应用区域存储部A203取得与作为监视对象的软件有关的信息,并从CAN通信部A201取得与CAN通信日志有关的信息的功能。
系统状态取得部A212具有从控制应用执行部A202取得行驶状态及从启动起的行驶距离、从启动起的经过时间等车辆的状态作为系统状态的功能、以及从监视部A213取得安全状态作为系统状态的功能。
监视部A213具有将由监视对象取得部A211取得的与软件有关的信息的取得值与监视信息存储部A214所存储的监视信息中包含的期望值进行比较,在取得值与期望值不同的情况下判定为与软件有关的信息异常,在取得值与期望值一致的情况下判定为与软件有关的信息正常的功能。进而,监视部A213具有对于由监视对象取得部A211取得的CAN通信日志,使用许可列表或拒绝列表、以及通常时的统计信息来判定CAN日志中包含的特定消息是否异常的功能。
监视信息存储部A214具有存储监视信息的功能,监视信息包含监视担当者、监视对象、期望值、优先级。
监视信息更新部A215具有根据来自管理部SA120的请求将监视信息更新的功能。
监视结果通知部A216具有向管理部SA120通知监视结果和系统状态的功能。
这样,应用监视部A210能够对应用区域的软件及CAN通信进行监视,能够取得车辆的状态和控制应用A200的安全状态。可以想到CAN通信的监视是使用统计信息的复杂的算法。
[影像应用的构成图]
图7是表示实施方式的影像应用的构成图的图。
影像应用A300具备以太网通信部A301、影像应用执行部A302、应用区域存储部A303和应用监视部A310。以太网通信部A301经由以太网50与区域ECU500通信。影像应用执行部A302利用以太网通信和系统调用,取得摄像机影像,向显示器进行影像输出。应用区域存储部A303是存储影像应用的程序和设定文件的储存器及存储器。
应用监视部A310具备监视对象取得部A311、系统状态取得部A312、监视部A313、监视信息存储部A314、监视信息更新部A315和监视结果通知部A316。
监视对象取得部A311具有从应用区域存储部A303取得与作为监视对象的软件有关的信息,并从以太网通信部A301取得与以太网通信日志有关的信息的功能。
系统状态取得部A312具有从监视部A313取得安全状态作为系统状态的功能。
监视部A313具有将由监视对象取得部A311取得的与软件有关的信息的取得值和监视信息存储部A314所存储的监视信息中包含的期望值进行比较,在取得值与期望值不同的情况下判定为与软件有关的信息异常,在取得值与期望值一致的情况下判定为与软件有关的信息正常的功能。进而,具有对于由监视对象取得部A311取得的以太网通信日志,利用许可列表或拒绝列表、以及通常时的统计信息来判定以太网通信日志中包含的特定消息是否异常的功能。
监视信息存储部A314具有存储监视信息的功能,监视信息包含监视担当者、监视对象、期望值、优先级。
监视信息更新部A315具有根据来自管理部SA120的请求将监视信息更新的功能。
监视结果通知部A316具有向管理部SA120通知监视结果和系统状态的功能。
这样,应用监视部A310能够对应用区域的软件及以太网通信进行监视,能够取得影像应用A300的安全状态。可以想到以太网通信的监视是使用统计信息的复杂的算法。
[外部虚拟机的构成图]
图8是表示实施方式的外部虚拟机的构成图的图。
外部虚拟机VM100具备应用通信部VM101、系统调用控制部VM102、VM区域存储部VM103、超级调用调出部VM104和VM监视部VM110。应用通信部VM101从外部应用执行部A102接收系统调用。系统调用控制部VM102执行系统调用。VM区域存储部VM103是存储外部虚拟机VM100的程序、中间件和设定文件的储存器及存储器。超级调用调出部VM104调出超级调用。
VM监视部VM110具备监视对象取得部VM111、系统状态取得部VM112、监视部VM113、监视信息存储部VM114、监视信息更新部VM115和监视结果通知部VM116。
监视对象取得部VM111具有从VM区域存储部VM103和应用区域存储部A103取得与作为监视对象的软件有关的信息,并从应用通信部VM101取得与系统调用有关的信息的功能。
系统状态取得部VM112具有从监视部VM113取得安全状态作为系统状态的功能。
监视部VM113具有将由监视对象取得部VM111取得的与软件有关的信息的取得值和监视信息存储部VM114所存储的监视信息中包含的期望值进行比较,在取得值与期望值不同的情况下判定为与软件有关的信息异常,在取得值与期望值一致的情况下判定为与软件有关的信息正常的功能。进而,监视部VM113具有对于由监视对象取得部VM111取得的系统调用日志,利用许可列表或拒绝列表、以及通常时的统计信息来判定系统调用日志中包含的特定的系统调用是否异常的功能。
监视信息存储部VM114具有存储监视信息的功能,监视信息包含监视担当者、监视对象、期望值、优先级。
监视信息更新部VM115具有根据来自管理部SA120的请求将监视信息更新的功能。
监视结果通知部VM116具有向管理部SA120通知监视结果和系统状态的功能。
这样,VM监视部VM110能够对应用区域和VM区域的软件及系统调用进行监视,能够取得外部虚拟机VM100和外部应用A100的安全状态。可以想到系统调用的监视是使用统计信息的复杂的算法。
[控制虚拟机的构成图]
图9是表示实施方式的控制虚拟机的构成图的图。
控制虚拟机VM200具备应用通信部VM201、系统调用控制部VM202、VM区域存储部VM203、超级调用调出部VM204和VM监视部VM210。应用通信部VM201从控制应用执行部A202接收系统调用。系统调用控制部VM202执行系统调用。VM区域存储部VM203是存储控制虚拟机VM200的程序、中间件、设定文件的储存器及存储器。超级调用调出部VM204调出超级调用。
VM监视部VM210具备监视对象取得部VM211、系统状态取得部VM212、监视部VM213、监视信息存储部VM214、监视信息更新部VM215和监视结果通知部VM216。
监视对象取得部VM211具有从VM区域存储部VM203和应用区域存储部A103取得与作为监视对象的软件有关的信息,并从应用通信部VM201取得与系统调用有关的信息的功能,还具有从超级调用控制部HV102取得与超级调用有关的信息的功能。
系统状态取得部VM212具有从监视部VM213取得安全状态作为系统状态的功能。
监视部VM213具有将由监视对象取得部VM211取得的与软件有关的信息的取得值与监视信息存储部VM214所存储的监视信息中包含的期望值进行比较,在取得值与期望值不同的情况下判定为与软件有关的信息异常,在取得值与期望值一致的情况下判定为与软件有关的信息正常的功能。进而,监视部VM213具有对于由监视对象取得部VM211取得的系统调用日志利用许可列表或拒绝列表及通常时的统计信息判定系统调用日志中包含的特定的系统调用是否为异常的功能。进而,监视部VM213具有对于由监视对象取得部VM211取得的超级调用日志,利用许可列表或拒绝列表、以及通常时的统计信息来判定超级调用日志中包含的特定的超级调用是否异常的功能。
监视信息存储部VM214具有存储监视信息的功能,监视信息包含监视担当者、监视对象、期望值、优先级。
监视信息更新部VM215具有根据来自管理部SA120的请求将监视信息更新的功能。
监视结果通知部VM216具有向管理部SA120通知监视结果和系统状态的功能。
这样,VM监视部VM210能够对应用区域和VM区域的软件及系统调用、超级调用进行监视,能够取得控制虚拟机VM200和控制应用A200的安全状态。可以想到系统调用和超级调用的监视是使用统计信息的复杂的算法。
这里,记载为超级调用的监视由控制虚拟机VM200执行,但也可以由虚拟机监视器HV100执行。
[影像虚拟机的构成图]
图10是表示实施方式的影像虚拟机的构成图的图。
影像虚拟机VM300具备应用通信部VM301、系统调用控制部VM302、VM区域存储部VM303、超级调用调出部VM304和VM监视部VM310。应用通信部VM301从影像应用执行部A302接收系统调用。系统调用控制部VM302执行系统调用。VM区域存储部VM303是存储影像虚拟机VM300的程序、中间件、设定文件的储存器及存储器。超级调用调出部VM304调出超级调用。
VM监视部VM310具备监视对象取得部VM311、系统状态取得部VM312、监视部VM313、监视信息存储部VM314、监视信息更新部VM315和监视结果通知部VM316。
监视对象取得部VM311具有从VM区域存储部VM303和应用区域存储部A303取得与作为监视对象的软件有关的信息,并从应用通信部VM301取得与系统调用有关的信息的功能。
系统状态取得部VM312具有从监视部VM313取得安全状态作为系统状态的功能。
监视部VM313具有将由监视对象取得部VM311取得的与软件有关的信息的取得值与监视信息存储部VM314所存储的监视信息中包含的期望值进行比较,在取得值与期望值不同的情况下判定为与软件有关的信息异常,在取得值与期望值一致的情况下判定为与软件有关的信息正常的功能。进而,监视部VM313具有对于由监视对象取得部VM311取得的系统调用日志,利用许可列表或拒绝列表、以及通常时的统计信息来判定系统调用日志中包含的特定的系统调用是否异常的功能。
监视信息存储部VM314具有存储监视信息的功能,监视信息包含监视担当者、监视对象、期望值、优先级。
监视信息更新部VM315具有根据来自管理部SA120的请求将监视信息更新的功能。
监视结果通知部VM316具有向管理部SA120通知监视结果和系统状态的功能。
这样,VM监视部VM310能够对应用区域和VM区域的软件及系统调用进行监视,能够取得影像虚拟机VM300和影像应用A300的安全状态。可以想到系统调用的监视是使用统计信息的复杂的算法。
[虚拟机监视器的构成图]
图11是表示实施方式的虚拟机监视器的构成图的图。
虚拟机监视器HV100具备虚拟机通信部HV101、超级调用控制部HV102、HV区域存储部HV103和HV监视部HV110。虚拟机通信部HV101从超级调用调出部VM104、VM204、VM304接收超级调用。超级调用控制部HV102执行超级调用。HV区域存储部HV103是存储虚拟机监视器HV100的程序和设定文件的储存器及存储器。
HV监视部HV110具备监视对象取得部HV111、系统状态取得部HV112、监视部HV113、监视信息存储部HV114、监视信息更新部HV115和监视结果通知部HV116。
监视对象取得部HV111具有从HV区域存储部HV103、VM区域存储部VM103、VM区域存储部VM203和VM区域存储部VM303取得与作为监视对象的软件有关的信息的功能。
系统状态取得部HV112具有根据虚拟机的系统状态、CPU利用率、存储器利用率、监视部HV113取得安全状态作为系统状态的功能。
监视部HV113具有将由监视对象取得部HV111取得的与软件有关的信息的取得值与监视信息存储部HV114所存储的监视信息中包含的期望值进行比较,在取得值与期望值不同的情况下判定为与软件有关的信息异常,在取得值与期望值一致的情况下判定为与软件有关的信息正常的功能。
监视信息存储部HV114具有存储监视信息的功能,监视信息包含监视担当者、监视对象、期望值、优先级。
监视信息更新部HV115具有根据来自管理部SA120的请求将监视信息更新的功能。
监视结果通知部HV116具有向管理部SA120通知监视结果和系统状态的功能。
这样,HV监视部HV110能够对外部虚拟机VM100、控制虚拟机VM200、影像虚拟机VM300和HV区域的软件进行监视,能够取得外部虚拟机VM100、控制虚拟机VM200、影像虚拟机VM300的系统状态和安全状态。
[安全应用的构成图]
图12是表示实施方式的安全应用的构成图的图。
安全应用SA100具备SA监视部SA110和管理部SA120。
SA监视部SA110具备监视对象取得部SA111、系统状态取得部SA112、监视部SA113、监视信息存储部SA114、监视信息更新部SA115和监视结果通知部SA116。
监视对象取得部SA111具有从HV区域存储部HV103、VM区域存储部VM103、VM区域存储部VM203和VM区域存储部VM303取得与作为监视对象的软件有关的信息的功能。
系统状态取得部SA112具有从监视部SA113取得安全状态作为系统状态的功能。
监视部SA113具有将由监视对象取得部SA111取得的与软件有关的信息的取得值与监视信息存储部SA114所存储的监视信息中包含的期望值进行比较,在取得值与期望值不同的情况下判定为与软件有关的信息异常,在取得值与期望值一致的情况下判定为与软件有关的信息正常的功能。
监视信息存储部SA114具有存储监视信息的功能,监视信息包含监视担当者、监视对象、期望值、优先级。
监视信息更新部SA115具有根据来自管理部SA120的请求将监视信息更新的功能。
监视结果通知部SA116具有向管理部SA120通知监视结果和系统状态的功能。
管理部SA120具备监视结果取得部SA121、系统状态取得部SA122、监视构成存储部SA123、监视变更规则存储部SA124、监视信息变更部SA125和监视服务器通信部SA126。
监视结果取得部SA121具有从监视结果通知部A116、A216、A316、VM116、VM216、VM316、HV116、SA116接收监视结果的功能。
系统状态取得部SA122具有从监视结果通知部A116、A216、A316、VM116、VM216、VM316、HV116、SA116接收系统状态的功能。
监视构成存储部SA123具有存储监视构成的功能,监视构成包含多个多层监视部的信任链构成样式。
监视变更规则存储部SA124具有存储监视变更规则的功能,监视变更规则包含根据系统状态将监视信息中包含的优先级和监视构成进行变更的规则。
监视信息变更部SA125具有向监视信息更新部SA115请求监视信息的变更的功能。
监视服务器通信部SA126具有向监视服务器10通知监视结果,从监视服务器10接收监视信息的变更和监视构成的变更内容、以及监视变更规则的变更请求,并对请求进行响应的功能。
监视构成和监视变更规则的详细情况在后面叙述。
这样,SA监视部SA110能够对外部虚拟机VM100、控制虚拟机VM200、影像虚拟机VM300和HV区域的软件进行监视,能够取得外部虚拟机VM100、控制虚拟机VM200和影像虚拟机VM300的安全状态。此外,管理部SA120能够根据系统状态变更为适当的监视构成及监视信息。
[监视服务器的构成图]
图13是表示实施方式的监视服务器的构成图的图。
监视服务器10具备车载系统通信部11、监视结果显示部12、监视构成变更部13、监视变更规则变更部14和监视信息变更部15。
车载系统通信部11具有与车载系统20的外部通信部A101通信的功能。
监视结果显示部12具有经由车载系统通信部11从车载系统20的外部通信部A101接收监视结果,并将监视结果的信息显示在图形用户接口上的功能。
监视构成变更部13受理监视构成的变更,将变更请求发送给监视服务器通信部SA126。
监视变更规则变更部14受理监视变更规则的变更,将变更请求发送给监视服务器通信部SA126。
监视信息变更部15受理监视信息的变更,将变更请求发送给监视服务器通信部SA126。
[监视信息的一例]
图14及图15是表示监视信息的一例的图。
监视信息记载用于多层监视部分别确认自身的监视对象并实施软件及通信日志的监视的信息。
在图14中,监视信息包括编号、监视担当者、监视对象、存储地址、期望值及优先级。编号用于识别监视信息。监视担当者用于识别进行监视对象的监视的主体。监视对象用于识别作为监视的对象的软件及通信日志。存储地址用于为了取得监视对象而识别保存监视对象的存储地址。期望值用于识别与监视对象有关的信息的正常的值。优先级用于优先级越高的监视对象越重点地监视。优先级的详细情况在后面叙述。
在图14中,将应用监视部A110记作外部应用监视部,将应用监视部A210记作控制应用监视部,将应用监视部A310记作影像应用监视部,将VM监视部VM110记作外部VM监视部,将VM监视部VM210记作控制VM监视部,将VM监视部VM310记作影像VM监视部,以下,也有时使用该记载。
例如,编号为7的监视信息中,监视担当者是外部VM监视部,监视对象是VM程序1,存储地址是VM区域B10,期望值是B10,优先级是高。这表示,外部VM监视部重点监视VM程序1,在保存在VM区域B10中的VM程序1的哈希值与B10一致的情况下,能够判定为VM程序1正常,在不一致的情况下能够判定为VM程序1异常。
此外,例如编号为15的监视信息中,监视担当者是控制VM监视部,监视对象是超级调用日志,存储地址是“―”,期望值是“―”,优先级是“―”。这表示,控制VM监视部对超级调用日志进行监视,但存储地址、期望值、优先级不需要指定。
如上述那样,对于外部通信日志、CAN通信日志、以太网通信日志、系统调用日志和超级调用日志,例如可以利用许可列表、拒绝列表和正常时的统计信息来判定各自的异常。
这样,通过利用监视信息,多层监视部分别能够确认自身的监视对象,实施软件及通信日志的监视。此外,通过在监视对象中包含多层监视部的软件,能够构建多层监视部的监视的信任链。
在图14中,SA监视部SA110对HV监视部HV110的软件进行监视,HV监视部HV110对VM监视部VM210的软件进行监视,VM监视部VM210对VM监视部VM110及VM监视部VM310的软件进行监视,VM监视部VM110对应用监视部A110的软件进行监视,VM监视部VM210对应用监视部A110的软件进行监视,VM监视部VM310对监视应用监视部A310的软件进行监视,从而多层监视部从可靠的SA监视部SA110连结到应用监视部,可知构建了监视的信任链。
图15中记载了用来根据优先级将软件的监视方法变更的信息。在图15中,将优先级、监视周期(分钟)、验证方法及监视对象选择方法建立了对应。优先级记载有高、中、低3种中的一种,用于识别优先级。监视周期(分钟)用于识别进行监视对象的监视处理的周期。验证方法用于识别进行监视对象的监视处理的方法。监视对象选择方法用于识别在存在多个监视对象的情况下要选择的方法。
例如,在优先级为高的情况下,监视周期(分钟)是1,验证方法是复制值,监视对象选择方法是固定。这表示对于固定的监视对象,以1分钟间隔使用复制值进行验证。固定是指每当由监视周期设定的监视定时到来,就将预先决定的1个以上的监视对象全部监视,复制值是指使用保存在存储器中的监视对象的原始数据进行验证。
由此,能够对优先级高的监视对象实施精度高的监视。
此外,例如在优先级为中的情况下,表示对于监视对象,以特定的顺序以10分钟间隔,使用对复制值进行掩码后的值即掩码值而不是使用复制值来进行验证。顺序是指每当由监视周期设定的监视定时到来,就将1个以上的监视对象一个个地以特定的顺序选择,对所选择的监视对象进行监视。
此外,例如在优先级为低的情况下,表示对于监视对象,以随机的顺序以100分钟间隔使用复制值的哈希值进行验证。随机是指每当由监视周期设定的监视定时到来,就将1个以上的监视对象一个个地随机地选择,对所选择的监视对象进行监视。
这里,在优先级为低的情况下,也可以将存储器区域分割为2个以上的块,将分割块随机地选择而作为监视对象。由此,能够降低处理负荷。
此外,也可以设定特定的监视周期,不是在从前次的监视起经过了周期的定时立即执行监视,而是在经过了周期的定时以后的CPU的空闲时间执行监视。在此情况下,虽然监视定时每次不同,但能够降低对于重视实时性的系统的负担。
此外,也可以设定执行至少1次监视的期间。在此情况下,能够在规定的期间中利用CPU的空闲时间执行监视。
此外,也可以根据特定的事件或特定的监视部的验证结果来定义监视定时。例如,可以在因特网连接的定时对应用监视部A110的软件进行监视,也可以在车辆的行驶状态变更为自动行驶的定时对控制虚拟机的软件进行监视,也可以在判定出一次安全异常的定时对与异常关联的多层监视部的软件进行监视,也可以在不是安全异常而是判定出两次正常的定时对连结的监视部的软件进行监视。
此外,对通信日志的监视中,也可以在存储地址中指定包含日志的区域,也可以在期望值中指定许可列表,也可以指定优先级。在此情况下,也可以根据优先级变更通信日志的监视方法。
例如也可以是,在优先级高的情况下,适用利用能够期待高精度的全部的消息的有效载荷信息来检测异常的方法,在优先级低的情况下,适用利用能够期待处理负荷的降低的所采样的消息的头信息来检测异常的方法。由此,能够根据优先级重点监视通信日志。
这样,通过根据监视对象变更优先级,能够重点监视篡改风险高的监视对象,对于篡改风险低的监视对象能够降低处理负荷来进行监视。
[系统状态的一例]
图16是表示系统状态的一例的图。
系统状态用于管理部SA120掌握整合ECU200的系统状态。在图16中,系统信息包含编号、分类、系统状态及参数。编号用于识别系统状态。分类是网络、VM、安全、车辆这4种,用于区分系统状态。例如,系统状态记载具体的系统状态的名称,参数记载用来确定系统状态的参数。
例如,编号为5的系统状态为,分类是VM,系统状态是VM状态,参数是VM识别符、开启及关闭及重启中之中的某1个、以及时刻。即,在因系统的异常或软件的更新的理由而特定的虚拟机重启的情况下,参数中记载识别特定的虚拟机的识别符、重启中的状态、判定了状态的时刻。
这样,例如如果确认编号为1的系统状态,则能够掌握整合ECU200是否连接到因特网的状态,编号为9的系统状态如果确认车辆的行驶状态,则能够掌握是否为自动驾驶的状态,如果确认编号为7的系统状态,则能够掌握作为软件验证的结果被判定为异常的监视对象的软件的信息。
此外,通过从搭载在整合ECU200中的计时器、传感器及其他功能收集系统状态并参照,能够取得包括规定的时间经过、规定的外部网络连接时间经过、系统启动、系统重启、外部网络连接建立、外部设备连接、行驶模式的切换、供油或供电的结束、车辆诊断的实施、紧急警报的发出在内的系统状态。
这里,图16的系统状态表示了系统状态的列表和在参数中应记载的项目。管理部SA120在取得了列表中包含的系统状态的情况下,将编号和参数向其他程序通知或保留在日志中,从而能够与其他程序共享系统状态。
[监视构成的一例]
图17~图20是表示监视构成的一例的图。
监视构成用于使多层监视部连结而变更监视的信任链。在图17~图20中,箭头的根部的块表示执行监视的监视部,箭头的尖部的块表示作为监视的对象的监视部。
在图17中,监视构成包括编号和监视构成。编号用于识别监视构成,监视构成记载多层监视部的连结样式。
图17的编号1的监视构成中,SA监视部SA110对HV监视部HV110的软件进行监视,HV监视部HV110对VM监视部VM210的软件进行监视,VM监视部VM210对VM监视部VM110和VM监视部VM310的软件进行监视,VM监视部VM110对应用监视部A110的软件进行监视,VM监视部VM210对应用监视部A110的软件进行监视,VM监视部VM310对应用监视部A310的软件进行监视,从而多层监视部从可靠的SA监视部SA110连结到应用监视部,可知构建了监视的信任链。
这里,控制虚拟机VM200没有与外部网络直接连接,所以可以想到比外部虚拟机VM100更可靠,所以能够当作可靠度更高的监视部。
此外,图17的编号2的监视构成中,SA监视部SA110代替HV监视部HV110而对VM监视部VM210的软件进行监视,除此以外与编号1的管理构成是同样的。如果与编号1的监视构成进行比较,则增加了SA监视部SA110的处理和程序的复杂性,但通过从可靠的SA监视部SA110进行监视,能够提高VM监视部VM210的软件的可靠度。
此外,图18的编号3的监视构成是即使在控制虚拟机VM200系统宕机的情况下也能够维持监视的信任链监视的监视构成。假如在控制虚拟机VM200系统宕机的情况下继续保持编号1或编号2的监视构成,则以VM监视部VM110或VM监视部VM310为监视对象的监视担当者不在,不能维持监视的信任链。
此外,图18的编号4的监视构成是即使在由控制虚拟机VM200检测到异常的情况下,也通过将VM监视部VM210的监视对象限定并向HV监视部HV110移交,能够维持应用监视部A210以外的监视的信任链监视的监视构成。假如在由控制虚拟机VM200检测到安全异常的情况下继续保持编号1或编号2的监视构成,则控制虚拟VM机210是VM监视部VM110、VM监视部VM310的软件的监视担当者,控制虚拟机VM200被篡改的可能性高,所以不能维持监视的信任链。
此外,图19的编号5的监视构成是在由控制虚拟机VM200检测到异常的情况或控制虚拟机VM200被篡改的情况的风险大的情况下能够将监视强化的监视构成。通过从SA监视部SA110和HV监视部HV110双方对VM监视部VM210的软件进行验证,能够提高监视的频度及可靠度。这里,在两个监视结果不同的情况下,可以采用可靠度高的SA监视部SA110的监视结果。
此外,图19的编号6的监视构成是即使在由控制虚拟机VM200检测到异常的情况下,通过将VM监视部VM210从监视担当者完全排除,并将应用监视部A110的监视移交给其他的虚拟机监视部,能够维持监视的信任链监视的监视构成。假如在由控制虚拟机VM200检测到安全异常的情况下继续保持编号1或编号2的监视构成,则控制虚拟机VM200虽然是VM监视部VM110、VM监视部VM310的软件的监视担当者,但控制虚拟机VM200被篡改的可能性高,所以不能维持监视的信任链。
此外,图20的编号7的监视构成是在因特网连接状态等外部虚拟机VM100被篡改的可能性高的情况下能够将监视强化的监视构成。通过从HV监视部HV110及VM监视部VM210双方对VM监视部VM110的软件进行验证,能够提高监视的频度及可靠度。这里,在两个监视结果不同的情况下,可以采用可靠度高的HV监视部HV110的监视结果。
这样,通过保持多个监视构成并根据系统状态来切换监视构成,即使在发生了VM异常或安全异常的情况下也能够实现监视的信任链的维持,能够实现与系统状态相应的特定的监视对象的监视的重点化。
此外,在图17~图20中仅记载了没有闭路的监视构成,但也可以做成VM监视部VM210对VM监视部VM310的软件进行监视、VM监视部VM310对VM监视部VM110的软件进行监视、VM监视部VM110对VM监视部VM210的软件进行监视这样的循环监视的监视构成,也可以做成各虚拟机监视部对其他虚拟机监视部的软件进行监视这样的相互监视的监视构成。
此外,在将监视构成切换为其他的监视构成的情况下,也可以不是事前定义多个监视构成并切换,而是动态地计算并变更监视构成。例如,通过作为以监视部为顶点、以监视担当者为路径的起点、以监视对象为路径的终点的有向图表存储上述监视构成,并以规定的算法重新构建有向图表,能够变更上述监视构成。此外,例如通过作为以监视部为节点、以监视担当者为父节点、以监视对象为子节点的树结构存储上述监视构成,并以规定的算法重新构建树结构,能够变更上述监视构成。
[监视变更规则的一例]
图21是表示监视变更规则的一例的图。
监视变更规则用于管理部SA120根据系统状态来变更监视信息的优先级及监视构成。
在图21中,监视变更规则包括编号、变更条件及变更处理。编号用于识别监视变更规则。变更条件用于判断是否是进行变更处理的系统状态。变更处理记载在满足变更条件的情况下执行的监视构成的变更内容。
例如,编号为3的监视变更规则的变更条件是因特网连接建立,变更处理是将对VM监视部VM110及应用监视部A110的监视优先级暂时提高。即,如果设想使整合ECU200连接到不正当的网络并使其下载不正当的软件的攻击,则在因特网连接建立的紧后,VM监视部VM110和应用监视部A110的软件被篡改的可能性变高。因此,管理部SA120将对VM监视部VM110及应用监视部A110的监视优先级暂时提高。由此,能够执行对这些监视部的高频度且高精度的监视。在经过规定时间或规定的监视处理完成之后,暂时提高的优先级恢复为原来的值。
此外,例如在编号为10的监视变更规则中表示在特定的通信中发生了异常的情况下,将对异常通信的发送源进行监视的监视部、对异常通信的目的地进行监视的监视部、检测到异常通信的监视部各自的优先级提高。由于在发送源的软件中发生了异常的可能性高、向目的地的软件开展攻击的可能性高、判定了通信的异常的监视部也被无效化的可能性高,所以管理部SA120将对异常通信的发送源进行监视的监视部、对异常通信的目的地进行监视的监视部、检测到异常通信的监视部各自的优先级提高。由此,能够执行对这些监视部的重点监视。进而,管理部SA120通过变更监视构成,能够从多个监视部执行被篡改的可能性高的软件的监视。
此外,例如在编号为6的监视变更规则中表示在特定的VM的CPU使用率低的情况下,变更为相应VM的处理负荷大的监视构成。由此,由配置在CPU使用率高的虚拟机中的虚拟机监视部实施较多的监视处理有可能对其他的主要功能带来影响。所以,通过由在CPU使用率低的虚拟机上动作的虚拟机监视部执行监视,能够减轻对实时性重要的系统的负担。
这样,管理部SA120能够根据是否是外部网络连接中、外部网络连接建立事件的发生、虚拟机的系统状态、多层监视部的监视结果、检测到异常的监视部的执行权限、检测到异常的软件的执行权限、以及检测到异常的通信日志的目的地或发送源,变更优先级及监视构成。
[监视结果显示的一例]
图22及图23是表示监视结果显示的一例的图。
监视结果显示用于向安全分析官传递监视信息。监视结果显示通过由监视服务器10从车载系统20接收监视结果而由监视服务器生成。监视结果显示是将监视结果表现在图形用户接口中的显示。
从车载系统20接收的监视结果与系统状态的分类安全的项目相同。在软件正常的情况下,监视结果包括确定监视部的识别符、确定监视对象的软件的识别符和做出正常判定的时刻。在软件异常的情况下,监视结果包括确定监视部的识别符、确定监视对象的软件的识别符和做出异常判定的时刻。在通信日志正常的情况下,监视结果包括确定监视部的识别符、确定通信协议的识别符、正常的通信消息和做出正常判定的时刻。在通信日志异常的情况下,监视结果包括确定监视部的识别符、确定通信协议的识别符、正常的通信消息和做出异常判定的时刻。此外,也可以为了识别整合ECU200而对监视结果赋予识别车辆的车辆ID和识别ECU的ECUID并发送给监视服务器10。
另外,在图22中,粗框块表示被判定为正常的监视对象的软件,细框块表示被判定为异常的监视对象的软件。
在图22中,显示了整合ECU200的抽象化的系统架构,以将异常及正常的构成要素强调而能够区分的方式进行表现,并在构成要素的下部显示了对应的监视结果。由此,安全分析官能够直观地理解发生了异常的构成要素,所以能够迅速地实施安全异常的解析。
此外,在图22中,在图形用户接口的下部配置有监视构成变更及监视信息变更的按钮。由此,在安全分析官发现了监视构成或监视信息的不完备、或更适当的监视构成的情况下,能够迅速地适用到车载系统20。例如也可以是,如果由安全分析官受理向监视构成变更的按钮的输入,则监视服务器10显示受理监视构成的变更的图形用户接口。即,监视服务器10也可以受理监视对象、对监视对象进行监视的监视部、监视对象的优先级以及与优先级对应的监视方法中的至少一个监视信息的变更,向整合ECU200请求变更。
此外,在图23中,显示有发生了异常的时刻的前后的时间线,以将异常和正常的构成要素强调而能够区分的方式进行表现,并用箭头表现了多层监视部的连结关系。由此,安全分析官能够直观地理解发生了异常的时间序列,所以能够迅速地实施安全异常的解析。在图23中,具体而言,在时刻T1显示出执行了从SA监视部向HV监视部的监视,在时刻T2显示出执行了从VM监视部1向应用监视部1的监视,在时刻T3显示出执行了从HV监视部向VM监视部1的监视。
[应用监视部的处理的次序]
图24是表示实施方式的应用监视部的监视处理的次序的图。
图24表示从由应用监视部A110的监视对象取得部A111取得外部通信日志和应用区域的软件(SW)的哈希值起到将监视结果向监视结果取得部SA121通知为止的处理次序。在图24中,以外部应用A100为例进行说明,但在控制应用A200、影像应用A300的情况下,除了通信日志的种类不同以外是同样的处理次序,所以省略说明。
(S2401)应用监视部A110的监视对象取得部A111从外部通信部A101取得作为外部通信日志的通信日志,并向监视部A113发送。
(S2402)监视部A113判定通信日志中是否包含异常,将监视结果向监视结果通知部A116通知。这里,在软件正常的情况下,监视结果中包含确定监视部的识别符、确定监视对象的软件的识别符和判定时刻。此外,在软件异常的情况下,监视结果中包含确定监视部的识别符、确定监视对象的软件的识别符和判定时刻。此外,在通信为正常的情况下,监视结果中包含确定监视部的识别符、确定通信协议的识别符和判定时刻。
(S2403)监视结果通知部A116向监视结果取得部SA121通知监视结果。
(S2404)监视结果取得部SA121取得监视结果。
(S2405)监视对象取得部A111按照监视信息存储部A114中记载的监视对象的优先级,每经过一定的时间,就取得保存在应用区域存储部A103中的软件的哈希值,取得保存在监视信息存储部A114中的软件的哈希值的期望值,发送给监视部A113。
(S2406)监视部A113对于各软件,在取得值与期望值一致的情况下判定为正常,在不一致的情况下判定为异常,向监视结果通知部A116通知监视结果。
(S2407)监视结果通知部A116向监视结果取得部SA121通知监视结果。
(S2408)监视结果取得部SA121取得监视结果。
[虚拟机监视部的处理的次序]
图25是表示实施方式的虚拟机监视部的监视处理的次序的图。
图25表示从由VM监视部VM210的监视对象取得部VM211取得系统调用、超级调用、应用区域的软件和VM区域的软件的哈希值起到将监视结果向监视结果取得部SA121通知为止的处理次序。
在图25中,以VM监视部VM210为例进行说明,但在VM监视部VM110及VM监视部VM310的情况下,除了不取得超级调用这一点以外是同样的处理次序,所以省略说明。
(S2501)VM监视部VM210的监视对象取得部VM211从系统调用控制部VM202和虚拟机监视器HV100的超级调用控制部HV102分别取得作为系统调用及超级调用的通信日志,并发送给监视部VM213。
(S2502)监视部VM213判定通信日志中是否包含有异常,向监视结果通知部VM216通知监视结果。
(S2503)监视结果通知部VM216向监视结果取得部SA121通知监视结果。
(S2504)监视结果取得部SA121取得监视结果。
(S2505)监视对象取得部VM211按照在监视信息存储部VM214中记载的监视对象的优先级,每经过一定的时间,就取得保存在VM区域存储部VM103、VM203、VM303中的软件的哈希值,取得保存在监视信息存储部VM214中的软件的哈希值的期望值,并发送给监视部VM213。
(S2506)监视部VM213关于各软件,在取得值与期望值一致的情况下判定为正常,在不一致的情况下判定为异常,向监视结果通知部VM216通知监视结果。
(S2507)监视结果通知部VM216将监视结果向监视结果取得部SA121通知。
(S2508)监视结果取得部SA121取得监视结果。
[虚拟机监视器监视部的处理的次序]
图26是表示实施方式的虚拟机监视器的监视处理的次序的图。
图26表示从由HV监视部HV110的监视对象取得部HV111取得VM区域的软件和HV区域的软件的哈希值起到将监视结果向监视结果取得部SA121通知为止的处理次序。
(S2601)HV监视部HV110的监视对象取得部HV111按照监视信息存储部HV114中记载的监视对象的优先级,每经过一定的时间,就取得保存在VM区域存储部VM103、VM203、VM303和HV区域存储部HV103中的软件的哈希值,取得保存在监视信息存储部HV114中的软件的哈希值的期望值,并发送给监视部HV113。
(S2602)监视部HV113关于各软件,在取得值与期望值一致的情况下判定为正常,在不一致的情况下判定为异常,向监视结果通知部HV116通知监视结果。
(S2603)监视结果通知部HV116向监视结果取得部SA121通知监视结果。
(S2604)监视结果取得部SA121取得监视结果。
[安全应用监视部的处理的次序]
图27是表示实施方式的安全应用的监视处理的次序的图。
图27表示从由SA监视部SA110的监视对象取得部SA111取得VM区域的软件和HV区域的软件的哈希值起到将监视结果向监视结果取得部SA121通知为止的处理次序。
(S2701)SA监视部SA110的监视对象取得部SA111按照在监视信息存储部SA114中记载的监视对象的优先级,每经过一定的时间,就取得保存在VM区域存储部VM103、VM203、VM303和HV区域存储部HV103中的软件的哈希值,取得保存在监视信息存储部SA114中的软件的哈希值的期望值,并发送给监视部SA113。
(S2702)监视部SA113关于各软件,在取得值与期望值一致的情况下判定为正常,在不一致的情况下判定为异常,向监视结果通知部SA116通知监视结果。
(S2703)监视结果通知部SA116向监视结果取得部SA121通知监视结果。
(S2704)监视结果取得部SA121取得监视结果。
[监视服务器通知处理的次序]
图28是表示实施方式的监视服务器通知处理的次序的图。
图28表示到SA监视部SA110的监视结果取得部SA121从应用监视部、虚拟机监视部、HV监视部HV110及SA监视部SA110取得监视结果,监视服务器10的监视结果显示部12显示监视结果为止的处理次序。
(S2801)SA监视部SA110的监视结果取得部SA121从应用监视部、虚拟机监视部、HV监视部HV110及SA监视部SA110取得监视结果,并发送给监视服务器通信部SA126。
(S2802)监视服务器通信部SA126将监视结果经由外部通信部A101向监视服务器10的车载系统通信部11通知。
(S2803)车载系统通信部11接收监视结果,并发送给监视结果显示部12。
(S2804)监视结果显示部12显示监视结果。
[监视信息变更处理的次序]
图29是表示实施方式的监视信息变更处理的次序的图。
图29表示到SA监视部SA110的系统状态取得部SA122从应用监视部、虚拟机监视部、HV监视部HV110及SA监视部SA110取得安全状态,并将应用监视部、虚拟机监视部、HV监视部HV110及SA监视部SA110的监视信息更新为止的处理次序。
(S2901)SA监视部SA110的系统状态取得部SA122从应用监视部、虚拟机监视部、HV监视部HV110及SA监视部SA110取得作为系统状态的安全状态,并发送给监视信息变更部SA125。
(S2902)监视信息变更部SA125确认保存在监视变更规则存储部SA124中的监视变更规则,在系统状态满足监视变更规则的变更条件的情况下,实施变更处理,并向监视信息更新部A115、A215、A315、VM115、VM215、VM315、HV115、SA115请求变更。
(S2903)监视信息更新部A115、A215、A315、VM115、VM215、VM315、HV115、SA115将监视信息更新。
这里,监视信息及监视构成也能够由监视服务器10变更。在此情况下,可以通过以下方式实现:监视服务器通信部SA126从监视服务器10接收变更信息,并发送给监视信息变更部SA125。接着,监视信息变更部SA125将监视构成存储部SA123中包含的结构信息更新,向监视信息更新部A115、A215、A315、VM115、VM215、VM315、HV115、SA115请求监视信息的变更。
[监视处理的流程图]
在图30中表示实施方式的监视处理的流程图。
在图30中,以应用监视部A110为例进行说明,但即使是其他的应用监视部、虚拟机监视部、HV监视部HV110及SA监视部SA110,除了通信日志的种类和软件的种类不同以外也是同样的。
(S3001)应用监视部A110的监视对象取得部A111取得作为监视对象的外部通信日志和软件的哈希值,实施步骤S3002及步骤S3005。
(S3002)监视部A113判定在步骤S3001中取得的外部通信日志中是否包含异常,在包含异常的情况下(S3002中为“是”)实施步骤S3003,在不包含异常的情况下(S3002中为“否”)实施步骤S3004。
(S3003)监视部A113视为监视对象的通信异常而将系统状态更新,实施步骤S3005。
(S3004)监视部A113视为监视对象的通信正常而将系统状态更新,实施步骤S3005。
(S3005)监视结果通知部A116将监视结果和系统状态向监视结果取得部SA121通知并结束。
(S3006)监视部A113判定在软件中是否包含异常,在包含异常的情况下(S3006中为“是”)实施步骤S3007,在不包含异常的情况下(S3006中为“否”)实施步骤S3008。
(S3007)监视部A113视为监视对象的软件异常而将系统状态更新,实施步骤S3005。
(S3008)监视部A113视为监视对象的软件正常而将系统状态更新,实施步骤S3005。
[监视变更处理的流程图]
在图31中表示实施方式的监视变更处理的流程图。
(S3101)管理部SA120的系统状态取得部SA122取得系统状态,实施步骤S3102。
(S3102)监视信息变更部SA125确认保存在监视变更规则存储部SA124中的监视变更规则,判定在步骤S3101中取得的系统状态是否满足监视变更规则的变更条件,在满足变更条件的情况下(S3102中为“是”)实施步骤S3103,在不满足变更条件的情况下(S3102中为“否”)结束。
(S3103)监视信息变更部SA125实施在步骤S3102中满足条件的变更条件在监视变更规则中对应的变更处理,向监视信息更新部A115、A215、A315、VM115、VM215、VM315、HV115、SA115请求监视信息的变更并结束。
[效果等]
作为有关本实施方式的监视装置的整合ECU200具备分别以软件及通信日志中的至少一个为监视对象进行监视的3个以上的监视部。3个以上的监视部包括第一监视部、第二监视部以及第三监视部,第一监视部以第一执行权限动作,第二监视部以可靠性比第一执行权限低的第二执行权限动作,第三监视部以可靠性与第二执行权限相同或可靠性比第二执行权限低的第三执行权限动作。整合ECU200的第一监视部对第二监视部的软件进行监视,第一监视部及第二监视部中的至少一个对第三监视部的软件进行监视,以便能够构建从至少一个可靠度高的监视部对可靠度低的监视部的软件进行监视的监视的信任链。
由此,可以想到侵入到系统中的攻击者在获得较弱的第三执行权限后,以获得更强的第二执行权限、第一执行权限为目标,所以有如下效果:在比第二执行权限弱的第三执行权限被劫持之后尝试想要通过篡改第三监视部的软件来避开监视的情况下,也能够从第一监视部或第二监视部检测第三监视部的软件的异常。此外,可以想到以较强的执行权限使程序动作的环境与以较弱的执行权限使程序动作的环境被分离,所以有如下效果:通过使用执行权限不同的3个等级的监视部,能够跨3种环境对大范围的监视对象进行监视。此外,可以想到以较强的执行权限动作的软件通过简单的算法来安装以免包含脆弱性,所以有如下效果:在以较强的执行权限动作的监视部中能够采用简单的算法,在以较弱的执行权限动作的监视部中能够采用高级且复杂的算法。
此外,在有关本实施方式的整合ECU200中,3个以上的监视部具备4个以上的监视部。4个以上的监视部包括第一监视部、第二监视部、第三监视部以及第四监视部,第四监视部以可靠性与第三执行权限相同或可靠性比第三执行权限低的第四执行权限动作。整合ECU200的第一监视部、第二监视部及第三监视部中的至少一个对第四监视部的软件进行监视,以便能够构建从至少一个可靠度高的监视部对可靠度低的监视部的软件进行监视的监视的信任链。
由此,可以想到侵入到系统中的攻击者在获得较弱的第四执行权限后,以获得更强的第三执行权限、更强的第二执行权限、第一执行权限为目标,所以有如下效果:在比第三执行权限弱的第四执行权限被劫持之后尝试想要通过篡改第四监视部的软件来避开监视的情况下,也能够从第一监视部或第二监视部、第三监视部检测第四监视部的软件的异常。此外,可以想到以较强的执行权限使程序动作的环境与以较弱的执行权限使程序动作的环境被分离,所以有如下效果:通过使用执行权限不同的4个等级的监视部,能够跨4种环境对大范围的监视对象进行监视。此外,可以想到以较强的执行权限动作的软件通过简单的算法来安装以免包含脆弱性,所以有如下效果:在以较强的执行权限动作的监视部中能够采用简单的算法,在以较弱的执行权限动作的监视部中能够采用高级且复杂的算法。
此外,在有关本实施方式的整合ECU200中,整合ECU200在安全应用、虚拟软件基础平台及1个以上的虚拟机上动作。第一执行权限是安全应用的执行权限、虚拟软件基础平台的执行权限及虚拟机的核心执行权限中的1个。第二执行权限是虚拟软件基础平台的执行权限、虚拟机的核心执行权限及虚拟机的用户权限中的1个。第三执行权限是虚拟机的核心执行权限及虚拟机的用户权限中的1个。安全应用的执行权限与虚拟软件基础平台的执行权限相比可靠性高。虚拟软件基础平台的执行权限与虚拟机的核心执行权限相比可靠性高。虚拟机的核心执行权限与虚拟机的用户权限相比可靠性高。
由此,可以想到对于虚拟机的用户应用的脆弱性获得了虚拟机的用户权限的攻击者以获得虚拟机的核心权限、虚拟机监视器的执行权限、安全应用的执行权限为目标,所以有如下效果:即使在虚拟机的用户权限、虚拟机的核心权限、虚拟机监视器的执行权限被劫持后尝试想要篡改以所劫持的执行权限动作的监视部的软件来避开监视的情况下,也能够从更强的执行权限的监视部检测较弱的执行权限的监视部的异常。此外,可以想到在安全应用的执行权限或虚拟机监视器的执行权限下,难以取得虚拟机的用户空间的软件、虚拟机的用户空间的网络日志、虚拟机的用户空间与核心空间之间的系统调用之类的通信日志,所以有如下效果:通过按每个执行权限将监视部分离,能够对更大范围的监视对象进行监视。此外,可以想到以安全应用的执行权限和虚拟机监视器的执行权限、虚拟机的核心权限动作的软件通过简单的算法来安装以免包含脆弱性,所以有如下效果:在以较强的执行权限动作的监视部中能够采用简单的算法,在以较弱的执行权限动作的监视部中能够采用高级且复杂的算法。
此外,在有关本实施方式的整合ECU200中,监视装置在虚拟软件基础平台及2个以上的虚拟机上动作。在以分配给虚拟机的执行权限动作的监视部存在2个以上的情况下,(i)以分配给虚拟机的执行权限动作的2个以上的监视部中的第一虚拟机的监视部将2个以上的监视部中的第二虚拟机的监视部的软件包含在监视对象中;(ii)2个以上的虚拟机根据被攻击者篡改的可能性被分类为第一虚拟机及第二虚拟机中的某1个。
由此,可以想到从外部网络侵入到系统而获得了与外部网络连接的虚拟机的用户权限及核心权限的攻击者以获得其他虚拟机的功能为目标,所以有如下效果:即使与外部网络连接的篡改风险高的第二虚拟机的监视部被劫持的情况下,也能够从不与外部网络连接的篡改风险低的第一虚拟机的监视部检测第二虚拟机的监视部的软件的异常。此外,具有车辆的控制功能的虚拟机在被篡改的情况下的对安全性的影响大,容易成为攻击者的对象,所以有如下效果:通过从更可靠的虚拟机的监视部进行监视,能够维持安全性。或者,可以想到具有车辆的控制功能的虚拟机被从外部网络隔离,为了满足较高的功能安全等级的要求而充分考虑了安全的设计和安装,所以有能够将具有车辆的控制功能的虚拟机当作可靠的第一虚拟机的效果。此外,如果仅考虑执行权限,则篡改风险高的第二监视机的监视部需要从安全应用或虚拟机监视器的执行权限进行监视,但由于能够从执行权限相同的第一监视机的监视部对第二监视机的监视部进行监视,所以有能够使以安全应用的执行权限和虚拟机监视器的执行权限动作的软件简单化的效果。此外,可以想到从外部网络侵入到系统而获得了特定的虚拟机的用户权限及核心权限的攻击者以获得其他虚拟机的功能为目标,所以有如下效果:通过第一虚拟机的监视部和第二虚拟机进行相互监视或循环监视,即使在特定的虚拟机被劫持的情况下也能够从其以外的虚拟机的监视部检测到特定的虚拟机的异常。
此外,在有关本实施方式的整合ECU200中,3个以上的监视部分别根据事件发生的定时,开始对监视对象的监视,事件包括规定的时间经过、规定的外部网络连接时间经过、系统启动、系统重启、外部网络连接建立及外部设备连接中的至少一个。
由此,不是采用如在系统启动时验证软件的完全性的安全引导那样被前级的监视部验证了完全性的监视部对后级的监视部进行验证这样的串联的监视方法,而是非同步地按照软件的篡改风险高的事件实施监视,从而有能够缩短监视处理的中断时间的效果。进而,有如下效果:利用每个虚拟机的CPU的空闲时间进行监视处理等,能够不对系统添加负荷而灵活地分配监视处理的负担。
此外,在有关本实施方式的整合ECU200中,监视装置在车载系统上动作。3个以上的监视部分别根据事件发生的定时,开始对监视对象的监视,事件包括规定的行驶时间经过、规定的停止时间经过、规定的行驶距离经过、行驶模式的切换、供油或供电的结束、车辆诊断的实施及紧急警报的发出中的至少一个。
由此,有如下效果:在车载系统中,每当发生软件的篡改风险高的事件就对监视对象进行监视,从而能够有效地实施非同步监视。
此外,在有关本实施方式的整合ECU200中,3个以上的监视部分别根据达到了其他监视部的监视处理的执行次数、在监视处理中判定为异常的次数、以及在监视处理中判定为正常的次数中的至少一个次数的定时,开始对监视对象的监视。
由此,有如下效果:例如在作为第一监视部的监视对象的第二监视部执行全部监视对象的数量的监视处理后,第一监视部实施第二监视部的软件的监视处理,从而能够将用来信任全部的第二监视部的监视结果的监视处理的次数削减为1次。此外,有如下效果:例如在作为第一监视部的监视对象的第二监视部检测到1次异常的情况下,第一监视部执行第二监视部的软件的监视处理,从而仅在第二监视部的监视对象中发生了异常的情况下执行监视处理,能够削减监视处理的次数。此外,有如下效果:例如在作为第一监视部的监视对象的第二监视部检测到5次正常的情况下,第一监视部执行1次第二监视部的软件的监视处理,从而能够减少第一监视部的监视处理,能够削减监视处理的次数。这可以想到为了使较强的执行权限的软件动作而需要执行模式的切换的情况,所以有如下效果:通过削减执行模式的切换次数,能够削减开销。
此外,在有关本实施方式的整合ECU200中,3个以上的监视部分别在监视对象是软件的情况下,取得存储在存储器或储存器中的作为监视对象的软件的哈希值、掩码值及复制值中的至少一个信息作为取得值,将作为事前定义的正解值的期望值与取得值进行比较,在期望值与取得值一致的情况下判定为软件正常,在期望值与取得值不一致的情况下判定为软件异常。
由此,在被进行了软件的篡改的情况下,期望值与取得值不同,所以有能够判定有无软件篡改的效果。此外,有如下效果:通过使用哈希值,能够比复制值更有效地判定篡改,通过使用掩码值,能够比复制值更有效地判定有无篡改。此外,有如下效果:通过使用复制值,能够比哈希值更正确地判定篡改,通过使用掩码值,能够比哈希值更正确地判定篡改。
此外,在有关本实施方式的整合ECU200中,软件包括虚拟软件基础平台的程序及设定文件的组合、虚拟机的核心程序及设定文件的组合、虚拟机上的用户应用的程序及设定文件的组合、以及3个以上的监视部各自的程序及设定文件的组合中的至少一个组合。
由此,能够判定与虚拟机监视器、虚拟机、用户应用及监视部相关联的软件有无篡改。
此外,在有关本实施方式的整合ECU200中,3个以上的监视部分别在监视对象是通信日志的情况下,取得通信日志,使用许可列表、拒绝列表和正常时的统计信息中的至少一个对通信日志进行验证;进行以下判定中的某1个判定:(i)第一判定,在包含在许可列表中的情况下判定为通信日志正常,在不包含在许可列表中的情况下判定为通信日志异常;(ii)第二判定,在不包含在拒绝列表中的情况下判定为通信日志正常,在包含在拒绝列表中的情况下判定为通信日志异常;以及(iii)第三判定,在没有脱离正常时的统计信息的情况下判定为通信日志正常,在脱离了正常时的统计信息的情况下判定为通信日志异常。
由此,在收发了异常的通信的情况下,不包含在许可列表中,而包含在拒绝列表中,脱离正常时的统计信息,所以能够判定通信的异常。进而,有如下效果:能够取得异常的通信的发送源、目的地信息,能够掌握发送源的软件被篡改的可能性高、目的地的软件成为下一个攻击对象的可能性高。
此外,在有关本实施方式的整合ECU200中,通信日志也可以包括以太网、CAN协议、FlexRay协议、SOME/IP协议、SOME/IP-SD协议、系统调用和超级调用中的至少一个。
由此,有如下效果:通过以搭载在车载系统中的网络协议为监视对象,能够使用协议特有的参数判定通信的异常。进而,有如下效果:能够从被判定为异常的通信日志取得发送源和目的地,能够确定可能发生异常的监视部或监视对象。进而,有如下效果:通过以作为特权命令的系统调用、超级调用为监视对象,能够判定在执行权限的边界发生的异常,能够确定可能发生异常的监视部或监视对象。
此外,在有关本实施方式的整合ECU200中,3个以上的监视部分别根据按每个监视对象设定的优先级,变更监视对象的监视频度、监视对象的验证方法和监视对象的选择方法中的至少一个。
由此,可以想到按每个监视对象在被篡改的可能性以及被篡改的情况下的影响的大小上有差别,所以有如下效果:通过按每个监视对象设定适当的优先级,能够在有限的资源内对篡改风险高的监视对象重点进行监视。
此外,在有关本实施方式的整合ECU200中,优先级根据监视对象的执行权限、3个以上的监视部中的1个监视部或监视进行动作的虚拟机是否具有外部网络连接功能、以及1个监视部或监视进行动作的虚拟机是否具有车辆控制功能中的至少一个来设定。
由此,可以想到以较强的执行权限动作的软件通过简单的算法来安装以免包含脆弱性,因此被篡改的可能性低,所以有能够将优先级设定得低的效果。此外,不与外部网络连接的虚拟机及拥有可靠的车辆的控制功能的虚拟机被篡改的可能性低,所以有能够将优先级设定得低的效果。
此外,在有关本实施方式的整合ECU200中,整合ECU200还包括管理部,该管理部根据监视装置进行动作的系统的状态或事件,变更监视信息中包含的优先级、以及监视对象中包含的作为监视担当者及监视对象的组合的监视构成中的至少一个。
由此,可以想到在根据系统的状态或事件而在监视对象的重要度上有差别的情况下,难以将监视信息设定为适当的固定值,所以有如下效果:通过在系统启动后也灵活地变更监视信息和监视构成,能够有效地进行监视。例如,有如下效果:通过灵活地变更优先级,并根据优先级来变更监视对象的监视频度、监视精度和监视手段,能够在有限的资源内重点监视篡改风险高的监视对象。此外,有如下效果:通过在1个虚拟机重启等一部分监视部成为不能动作的状态的情况下,变更监视信息以使其他监视部继续进行不能动作的监视对象的监视,能够持续地对监视对象进行监视。此外,有如下效果:通过例如在1个虚拟机被判定为异常的情况下由其他监视部继续进行监视对象的监视,能够从可靠的监视部对监视对象进行监视。此外,有如下效果:通过例如在1个虚拟机被判定为异常的情况下由其他监视部追加实施监视对象的监视,能够由多个监视部强化监视。此外,有如下效果:例如在1个虚拟机的CPU或存储器的资源紧张的情况下,通过由其他监视部继续进行监视对象的监视,能够降低因资源紧张带来的系统影响。
此外,在有关本实施方式的整合ECU200中,管理部根据是否正在外部网络连接中、有无外部网络连接建立事件发生、监视机的系统状态、监视部的监视结果、检测到异常的监视部的执行权限、检测到异常的软件的执行权限、以及检测到异常的通信日志的目的地或发送源中的至少一个,来变更优先级。
由此,由于与网络连接有关的状态对攻击可能性带来影响,所以有能够根据监视对象的攻击可能性的变化来变更优先级的效果。进而,可以想到在判定出软件的异常的情况下,在与异常软件相同的虚拟机的软件、以相同的执行权限动作的软件、判定出异常的监视部的软件中发生攻击的可能性高,所以有能够根据攻击可能性的变化来变更优先级的效果。进而,在判定出通信的异常的情况下,在通信的发送源中发生异常的可能性高,对通信的发送目的地展开攻击的可能性高,所以有能够根据攻击可能性的变化来变更优先级的效果。
此外,在有关本实施方式的整合ECU200中,整合ECU200在车载系统上动作。管理部根据车辆的行驶状态,变更在具有车辆的控制功能的虚拟机上动作的监视对象的优先级。车辆的行驶状态是停止中、手动驾驶中、高级驾驶辅助中及自动驾驶中的某一个。
由此,可以想到在自动驾驶中或高级驾驶辅助中的情况下,从具有车辆的控制功能的控制虚拟机的软件发送与车辆的行进、转弯、停止有关的控制命令,对引擎、转向、制动等进行控制的控制ECU遵循控制命令,并且软件篡改的影响大,所以有能够提高具有车辆的控制功能的控制虚拟机的软件的优先级而重点进行监视的效果。另一方面,可以想到在停止中或手动行驶中的情况下,处于控制ECU不遵循控制命令的状态,并且软件篡改的影响小,所以有如下效果:通过降低具有车辆的控制功能的控制虚拟机的软件的监视的优先级,能够使其他监视对象的监视处理优先。
此外,在有关本实施方式的整合ECU200中,管理部以即使在监视构成的变更后也能够构建监视的信任链的方式变更监视构成,监视的信任链中对于可靠度低的监视部的软件,由与可靠度低的监视部相比可靠度高的监视部进行监视。
由此,有如下效果:即使变更监视构成,也能够从较强的执行权限的监视部对较弱的执行权限的监视部的软件进行监视,能够从被篡改的可能性低的虚拟机的监视部对被篡改的可能性高的虚拟机的监视部的软件进行监视,所以即使在某一个较弱的执行权限监视部被劫持的情况下也能够判定异常。
此外,在有关本实施方式的整合ECU200中,管理部根据是否正在外部网络连接中、有无外部网络连接建立事件发生、虚拟机的系统状态、监视部的监视结果、检测到异常的监视部的执行权限、检测到异常的软件的执行权限、以及检测到异常的通信日志的目的地或发送源中的至少一个,变更监视构成。
由此,由于与网络连接有关的状态对攻击可能性带来影响,所以有能够根据监视对象的攻击可能性的变化来变更监视构成的效果。此外,有如下效果:通过在1个虚拟机重启等一部分监视部成为无效化状态的情况下由其他监视部继续进行监视对象的监视,能够对监视对象持续地进行监视。进而,有如下效果:通过在1个虚拟机被判定为异常的情况下由其他监视部继续进行监视对象的监视,能够从可靠的监视部对监视对象进行监视。进而,有如下效果:通过在1个虚拟机被判定为异常的情况下由其他监视部追加实施监视对象的监视,能够由多个监视部强化监视。进而,有如下效果:在1个虚拟机的CPU或存储器的资源紧张的情况下,通过由其他监视部继续进行监视对象的监视,能够降低因资源紧张带来的系统影响。
此外,在有关本实施方式的整合ECU200中,整合ECU200在车载系统上动作。管理部根据车辆的行驶状态,变更与具有车辆的控制功能的虚拟机有关的监视构成。车辆的行驶状态是停止中、手动驾驶中、高级驾驶辅助中、自动驾驶中的某一个。
由此,可以想到在自动驾驶中或高级驾驶辅助中的情况下,从具有车辆的控制功能的控制虚拟机的软件发送与车辆的行进、转弯、停止有关的控制命令,对引擎、转向、制动等进行控制的控制ECU遵循控制命令,并且软件篡改的影响大,所以有如下效果:能够变更监视构成,以由多个监视部对控制虚拟机的软件进行监视。可以想到在停止中或手动行驶中的情况下,处于控制ECU不遵循控制命令的状态,并且软件篡改的影响小,所以有能够仅由1个监视部实施负荷小的通常的监视的效果。
此外,在有关本实施方式的整合ECU200中,管理部通过以下手段中的至少一个手段来变更监视构成:(i)从预先定义的2个以上的监视构成中选择1个监视构成的手段;(ii)将监视构成作为以2个以上的监视部为顶点、以监视担当者为路径起点、以监视对象为路径终点的有向图表进行存储,并以规定的算法重新构建有向图表的手段;以及(iii)将监视构成作为以2个以上的监视部为节点、以监视担当者为父节点、以监视对象为子节点的树结构进行存储,并以规定的算法重新构建树结构的手段。
由此,有能够从多个监视构成的样式中根据当前的系统状况及事件而变更为适当的监视构成的效果。此外,有如下效果:通过以有向图表的数据结构保持监视构成,在一部分监视部无效化或在一部分监视部中判定出异常等的情况下,能够重新计算监视构成,以使得能够由至少一个监视部对监视对象进行监视。此外,上述管理部是通过作为以监视部为节点、以监视担当者为父节点、以监视对象为子节点的树结构存储监视构成,并用规定的算法重新构建树结构,来变更监视构成的监视装置。此外,有如下效果:通过用树结构的数据结构保持监视构成,在一部分监视部无效化或在一部分监视部中判定出异常等的情况下,能够重新计算监视构成,以使得能够由至少一个监视部对监视对象进行监视。
此外,在有关本实施方式的整合ECU200中,整合ECU200还具备向监视服务器通知监视结果的监视服务器通信部。
由此,有如下效果:能够经由监视服务器将监视结果通知给安全分析官,在发生了异常的情况下能够研究软件的更新等对策。
此外,在有关本实施方式的监视系统是由监视装置和监视服务器构成的监视系统,监视装置具备:3个以上的监视部,分别将软件及通信日志中的至少一个作为监视对象进行监视;以及监视服务器通信部,将监视部识别符、监视对象识别符、正常判定时刻和异常判定时刻中的至少两个作为监视结果发送给监视服务器。3个以上的监视部包括第一监视部、第二监视部以及第三监视部,第一监视部以第一执行权限动作,第二监视部以与第一执行权限相比可靠性低的第二执行权限动作,第三监视部以可靠性与第二执行权限相同或可靠性比第二执行权限低的第三执行权限动作。第一监视部对第二监视部的软件进行监视,第一监视部及第二监视部中的至少一个对第三监视部的软件进行监视,以便能够构建从至少一个可靠度高的监视部对可靠度低的监视部的软件进行监视的监视的信任链。监视服务器具备监视结果显示部,该监视结果显示部接收监视结果,并将监视结果显示在图形用户接口上。
由此,有如下效果:安全分析官能够在视觉上掌握监视结果,在发生了异常的情况下能够迅速地研究软件的更新等对策。
此外,在有关本实施方式的监视系统中,监视结果显示部以如下手段中的的至少一个手段将监视结果显示在图形用户接口上:将监视结果与系统架构建立关联而显示,将检测到异常的监视部或被检测到异常的监视对象强调的手段;以及将监视结果与规定的时间线建立关联而显示,将正常判定时刻或异常判定时刻强调的手段。
由此,有如下效果:安全分析官能够直观地掌握监视部的场所、监视对象的场所和监视结果,在发生了异常的情况下能够更迅速地研究软件的更新等对策。此外,有如下效果:安全分析官能够直观地掌握监视结果的时间序列,在发生了异常的情况下能够更迅速地研究软件的更新等对策。
此外,在有关本实施方式的监视系统中,监视服务器还具备监视信息变更部,该监视信息变更部受理监视对象、对监视对象进行监视的监视部、监视对象的优先级、以及与优先级对应的监视方法中的至少一个监视信息的变更,并对监视装置请求变更。监视装置还具备监视信息更新部,该监视信息更新部根据监视信息变更部的请求,更新监视信息。
由此,有如下效果:在安全分析官对监视结果进行分析的结果判断为需要进行监视对象或监视部、优先级、每个优先级的监视方法等的修正的情况下能够迅速地将修正反映到系统中。
[整合ECU的构成图的详细情况的变形例1]
图32是表示实施方式的整合ECU的构成图的详细情况的变形例1的图。在图4中,作为虚拟软件基础平台设想类型1的虚拟机监视器HV100的使用而进行了记载,但也可以使用类型2的虚拟机监视器HV200。在此情况下,主机操作系统HOS100启动虚拟机监视器HV200,虚拟机监视器HV200启动虚拟机。
虚拟机监视器HV200具备对HV区域的软件和VM区域的软件进行监视的HV监视部HV210。主机操作系统HOS100具备对主机OS区域的软件、HV区域的软件、VM区域的软件和系统调用进行监视的主机OS监视部HOS110。
对各程序的执行权限进行说明。与图4同样,对安全操作系统分配最强的安全的执行权限(PL4),对操作系统上的应用分配下一个强的安全的执行权限(PL3)。与图4不同,对主机操作系统HOS100分配较强的执行权限(PL1),对虚拟机监视器HV200和虚拟机分配与主机操作系统HOS100相同的执行权限(PL1)。并且,与图4同样,对虚拟机上的应用(PL0)分配最弱的执行权限。另外,执行权限从强到弱的顺序是PL4、PL3、PL2、PL1、PL0。
在此情况下,可以想到,与外部网络连接的外部应用A100被篡改的可能性最高,所以可靠度最低,接着执行权限较弱的控制应用A200及影像应用A300的可靠度较低,接着执行权限较弱的外部虚拟机VM100、控制虚拟机VM200、影像虚拟机VM300、虚拟机监视器HV200及主机操作系统HOS100的可靠度较低,安全应用SA100及安全操作系统SOS100的可靠度最高。此外,主机操作系统HOS100在以桥接等的手段向外部虚拟机提供外部网络接口的情况下,主机操作系统HOS100有可能与外部网络连接,还有可能从主机操作系统HOS100访问向虚拟机提供的储存器,所以与图4中的虚拟机监视器HV200不同,主机操作系统HOS100的软件的可靠度低。因此,安全应用优选的是不仅对主机操作系统HOS100进行监视,还对虚拟机监视器HV200及虚拟机的软件进行监视。
优选的是对应用、虚拟机、虚拟机监视器HV200、主机操作系统HOS100及安全应用SA100分别导入安全对策机构,但安全对策机构自身被篡改的风险成为课题。所以,例如也可以是SA监视部SA110对主机OS监视部HOS110的软件、HV监视部HV210的软件和虚拟机的软件进行监视,虚拟机监视部对应用监视部进行监视。
这样,通过对于各个监视部从以更强的执行权限动作的至少一个多层监视部进行监视,能够构建监视的信任链。由此,即使在主机操作系统HOS100或虚拟机监视器HV200被劫持的情况下,也能够从SA监视部SA110检测异常。
另外,也可以对虚拟机监视器HV200分配比主机操作系统HOS100强的执行权限(PL2)。在此情况下,关于执行权限、可靠度和监视的信任链,与图4的说明同样。
[整合ECU的构成图的详细情况的变形例2]
图33是表示实施方式的整合ECU的构成图的详细情况的变形例2的图。在图4中,记载了虚拟机监视器HV100实施对3种虚拟机的执行及监视,但也可以是虚拟机监视器HV100主管的容器虚拟机VM400使用作为容器虚拟化基础平台的容器引擎CE100将应用层虚拟化,使容器应用CA100和容器应用CA200动作。
容器虚拟机VM400具备对包括容器引擎CE100的软件、容器应用CA100的软件及设定、以及容器应用CA200的软件及设定在内的VM区域的软件进行监视的VM监视部VM410。容器应用CA200具备对应用区域的软件、容器应用CA100、以及容器间通信进行监视的容器应用监视部CA210。
对各程序的执行权限进行说明。与图4同样,对安全操作系统分配最强的安全的执行权限(PL4),对操作系统上的应用分配下一个强的安全的执行权限(PL3),对虚拟机监视器HV100分配下一个强的执行权限(PL2),对虚拟机分配下一个强的执行权限(PL1)。对容器引擎CE100、容器应用CA100和容器应用CA200分配最弱的执行权限。另外,执行权限从强到弱的顺序为PL4、PL3、PL2、PL1、PL0。
这里,以相同的执行权限动作的多个容器的可靠度也可以不同。例如,在容器应用CA100具有Wi-Fi或Bluetooth等的与接近网络进行通信的功能,容器应用CA200具有车辆的控制功能的情况下,如果考虑软件被篡改的可能性,则可以想到容器应用CA200的可靠度比容器应用CA100高。在此情况下,通过容器应用监视部CA210对容器应用CA100的软件进行监视,在以相同的执行权限动作的容器间也能够构建监视的信任链。
在此情况下,可以想到,与外部网络连接的外部应用A100被篡改的可能性最高,所以可靠度最低,接着执行权限较弱但经由接近网络直接进行通信的容器应用CA200的可靠度较低,接着执行权限相同但不经由网络直接进行通信的容器应用CA100和容器引擎CE100的可靠度较低,接着执行权限较弱的外部虚拟机VM100及容器虚拟机VM400的可靠度较低,接着执行权限较弱的虚拟机监视器HV100的可靠度较低,安全应用SA100及安全操作系统SOS100的可靠度最高。
优选的是对应用、虚拟机、虚拟机监视器HV100、容器虚拟机VM400、容器应用CA100及容器应用CA200分别导入对策机构,但安全对策机构自身被篡改的风险成为课题。所以,例如通过SA监视部SA110对HV监视部HV110的软件及虚拟机的软件进行监视,VM监视部VM410对容器引擎CE100、容器应用CA100、容器应用CA200及容器应用监视部CA210进行监视,容器应用监视部CA210对应用监视的软件、容器应用CA100、以及容器间通信进行监视,能够对各个监视部从以更强的执行权限或更高的可靠度动作的至少一个多层监视部进行监视,所以能够构建监视的信任链。
另外,使用虚拟机监视器HV100不是必须的,作为主机的操作系统也可以通过容器引擎CE100将应用虚拟化,使容器应用CA100和容器应用CA200动作。在此情况下,关于执行权限、可靠度和监视的信任链,通过将虚拟机监视器HV100去除,并将容器虚拟机VM400替换为作为主机的操作系统,能够与图33的说明同样地说明。
如以上的变形例1及变形例2那样,监视装置在安全应用、主机操作系统、1个以上的虚拟软件基础平台及1个以上的虚拟机上,或者在1个以上的容器虚拟化基础平台及2个以上的容器上动作。第一执行权限、第二执行权限、第三执行权限和第四执行权限是安全应用的执行权限、主机操作系统的执行权限、虚拟软件基础平台的执行权限、虚拟机的核心执行权限、虚拟机的用户执行权限和容器的执行权限中的1个。在以相同的执行权限动作的虚拟机的监视部存在2个以上的情况下,以相同的执行权限动作的2个以上的虚拟机的2个以上的监视部中的第一虚拟机的监视部将2个以上的虚拟机的2个以上的监视部中的第二虚拟机的监视部的软件包含在监视对象中;2个以上的虚拟机根据被攻击者篡改的可能性而被分类为第一虚拟机及第二虚拟机中的某一个。此外,在以相同的执行权限动作的容器的监视部存在2个以上的情况下,以相同的执行权限动作的2个以上的容器的2个以上的监视部中的第一容器的监视部将2个以上的容器的2个以上的监视部中的第二容器的监视部的软件包含在监视对象中;2个以上的容器根据被攻击者篡改的可能性而被分类为第一容器及第二容器中的某一个。
由此,可以想到,作为主机的操作系统在使用作为虚拟软件基础平台的虚拟机监视器执行及管理多个虚拟机的情况下,或者在使用以Docker、Kubernetes等为代表的容器虚拟化基础平台执行及管理多个容器的情况下,根据有无与外部网络的连接功能等的被篡改的可能性,虚拟机或容器的可靠度也不同,所以有如下效果:通过对于多个监视部构建监视的信任链,即使在可靠度低的第二虚拟机或第二容器的监视部被劫持的情况下也能够从可靠度高的第一虚拟机的监视部或第一容器的监视部检测异常。
(其他实施方式)
如以上这样,作为有关本公开的技术的例示而说明了实施方式。但是,有关本公开的技术并不限定于此,也能够适用于适当进行了变更、替换、附加、省略等的实施方式。例如,以下这样的变形例也包含在本公开的一实施方式中。
(1)在上述的实施方式中,设为搭载在汽车上的车载系统的安全对策进行了说明,但适用范围并不限于此。并不限于汽车,也能够适用于建筑机械、农业机械、船舶、火车、飞机等的可移动体。即,能够作为可移动体系统中的安全对策来适用。此外,也能够适用于工厂或楼宇等的工业控制系统。
(2)在上述的实施方式中,作为通信日志没有使用利用于安全应用的通信的安全监控模式调用,但也可以将安全监控模式调用作为VM监视部VM210、HV监视部HV110或SA监视部SA110的监视对象。由此,有能够弥补对安全应用及安全OS所存储的秘密信息的攻击尝试的效果。
(3)在上述的实施方式中,仅记载了在安全操作系统SOS100中没有安装监视部的构成,但也可以安装监视部。在此情况下,在安全操作系统SOS100中,由于被要求不包含脆弱性的安装,所以优选的是安装仅对安全应用的软件进行验证的简单的算法。
(4)在上述的实施方式中,设为作为虚拟机监视器HV100执行及管理的对象的虚拟机的种类为3种,但也可以不是3种,也可以是不到3种的虚拟机,也可以是4种以上的虚拟机。
(5)在上述的实施方式中,将分配的执行权限设为4种执行权限,但也可以不是4种执行权限,也可以是不到4种的执行权限,也可以是5种以上的执行权限。
(6)在上述的实施方式中,说明了根据向外部网络的连接或车辆的控制的功能的有无而虚拟机的可靠度不同,但也可以根据用户登录功能的有无或第三方应用的下载功能的有无而虚拟机的可靠度不同。在此情况下,可以想到,在具有用户登录功能的情况下,由于有可能被不正当登录所以可靠度低,在具有第三方应用的下载功能的情况下,由于有可能被下载不正当软件所以可靠度低。
(7)在上述的实施方式中,设为对全部的虚拟机、全部的应用、虚拟机监视器HV100和安全应用SA100配置监视部而进行了记载,但这些配置不是必须的,只要配置执行权限或虚拟机的可靠度不同的2个以上的监视部即可。
(8)构成上述实施方式的各装置的构成要素的一部分或全部也可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成在1个芯片上而制造的超多功能LSI,具体而言是包括微处理器、ROM、RAM等而构成的计算机系统。在RAM中存储有计算机程序。通过由微处理器按照计算机程序动作,系统LSI达成其功能。此外,构成上述各装置的构成要素的各部既可以单独地形成一个芯片,也可以以包含一部分或全部的方式形成一个芯片。此外,这里设为LSI,但根据集成度的差异,有时也称为IC、LSI、超级LSI、超大规模LSI。此外,集成电路化的方法并不限于LSI,也可以由专用电路或通用处理器实现。也可以利用在LSI制造后能够编程的FPGA(Field Programmable GateArray)、或能够再构成LSI内部的电路单元的连接或设定的可重构处理器。进而,如果通过半导体技术的进步或派生的其他技术出现替代LSI的集成电路化的技术,则也可以利用该技术进行功能块的集成化。有可能是生物技术的应用等。
(9)构成上述各装置的构成要素的一部分或全部也可以由相对于各装置能够拆装的IC卡或单体的模块构成。IC卡或模块是由微处理器、ROM、RAM等构成的计算机系统。IC卡或模块也可以包含上述的超多功能LSI。通过由微处理器按照计算机程序动作,IC卡或模块达成其功能。该IC卡或该模块也可以具有耐篡改性。
(10)作为本公开的一形态,也可以是由计算机实现异常检测的方法的程序(计算机程序),也可以是由计算机程序构成的数字信号。此外,作为本公开的一形态,也可以是将计算机程序或数字信号记录在能够由计算机读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu―ray(注册商标)Disc)、半导体存储器等中的形态。此外,也可以是记录在这些记录介质中的数字信号。此外,作为本公开的一形态,也可以将计算机程序或数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等传送。此外,作为本公开的一形态,也可以是具备微处理器和存储器的计算机系统,存储器记录有上述计算机程序,微处理器按照计算机程序动作。此外,也可以通过将程序或数字信号记录到记录介质中并移送,或通过将程序或数字信号经由网络等移送,由独立的其他的计算机系统实施。
(11)通过将在上述实施方式及上述变形例中表示的各构成要素及功能任意地组合而实现的形态也包含在本公开的范围中。
工业实用性
根据本公开的监视装置,即使在攻击者侵入到车载系统中、安装在可靠度低的区域中的监视程序被篡改而被无效化的情况下,也能够检测在车载系统中发生的异常。由此,目的是提供安全的自动驾驶或先进驾驶辅助系统。
标号说明
10 监视服务器
11 车载系统通信部
12 监视结果显示部
13 监视构成变更部
14 监视变更规则变更部
15 监视信息变更部
20 车载系统
30 外部网络
40、41CAN
50、51以太网
200整合ECU
300网关ECU
400a转向ECU
400b制动ECU
500Zone ECU
600a前摄像机ECU
600b后摄像机ECU
A100 外部应用
A101 外部通信部
A102 外部应用执行部
A103、A203、A303应用区域存储部
A110、A210、A310应用监视部
A111、A211、A311、VM111、VM211、VM311、HV111、SA111监视对象取得部
A112、A212、A312、VM112、VM212、VM312、HV112、SA112系统状态取得部
A113、A213、A313、VM113、VM213、VM313、HV113、SA113监视部
A114、A214、A314、VM114、VM214、VM314、HV114、SA114监视信息存储部
A115、A215、A315、VM115、VM215、VM315、HV115、SA115监视信息更新部
A116、A216、A316、VM116、VM216、VM316、HV116、SA116监视结果通知部
A200控制应用
A201 CAN通信部
A202 控制应用执行部
A300 影像应用
A301 以太网通信部
A302 影像应用执行部
CA100、CA200容器应用
CA210 容器应用监视部
CE100 容器引擎
HV100、HV200虚拟机监视器
HV101 虚拟机通信部
HV102 超级调用控制部
HV103 HV区域存储部
HV110、HV210 HV监视部
HOS100主机操作系统
HOS110主机OS监视部
SA100安全应用
SA110 SA监视部
SA120 管理部
SA121 监视结果取得部
SA122 系统状态取得部
SA123 监视构成存储部
SA124 监视变更规则存储部
SA125 监视信息变更部
SA126 监视服务器通信部
SOS100 安全操作系统
VM100 外部虚拟机
VM101、VM201、VM301应用通信部
VM102、VM202、VM302系统调用控制部
VM103、VM203、VM303 VM区域存储部
VM104、VM204、VM304超级调用调出部
VM110、VM210、VM310、VM410 VM监视部
VM200 控制虚拟机
VM300 影像虚拟机
VM400 容器虚拟机

Claims (26)

1.一种监视装置,其中,
具备3个以上的监视部,该3个以上的监视部分别将软件及通信日志中的至少一个作为监视对象进行监视;
上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以可靠性与上述第二执行权限相同或可靠性比上述第二执行权限低的第三执行权限动作;
上述第一监视部对上述第二监视部的软件进行监视;
上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视。
2.如权利要求1所述的监视装置,其中,
上述3个以上的监视部具备4个以上的监视部;
上述4个以上的监视部包括上述第一监视部、上述第二监视部、上述第三监视部以及第四监视部,上述第四监视部以可靠性与上述第三执行权限相同或可靠性比上述第三执行权限低的第四执行权限动作;
上述第一监视部、上述第二监视部及上述第三监视部中的至少一个对上述第四监视部的软件进行监视。
3.如权利要求1所述的监视装置,其中,
上述监视装置在安全应用、虚拟软件基础平台、以及1个以上的虚拟机上动作;
上述第一执行权限是安全应用的执行权限、虚拟软件基础平台的执行权限、以及虚拟机的核心执行权限中的1个;
上述第二执行权限是上述虚拟软件基础平台的执行权限、上述虚拟机的核心执行权限、以及上述虚拟机的用户权限中的1个;
上述第三执行权限是上述虚拟机的核心执行权限以及上述虚拟机的用户权限中的1个;
上述安全应用的执行权限与上述虚拟软件基础平台的执行权限相比可靠性高;
上述虚拟软件基础平台的执行权限与上述虚拟机的核心执行权限相比可靠性高;
上述虚拟机的核心执行权限与上述虚拟机的用户权限相比可靠性高。
4.如权利要求1~3中任一项所述的监视装置,其中,
上述监视装置在虚拟软件基础平台以及2个以上的虚拟机上动作;
在以分配给上述虚拟机的执行权限动作的监视部存在2个以上的情况下,
以分配给上述虚拟机的执行权限动作的2个以上的监视部中的第一虚拟机的监视部将上述2个以上的监视部中的第二虚拟机的监视部的软件包含在监视对象中;
上述2个以上的虚拟机根据被攻击者篡改的可能性被分类为上述第一虚拟机及上述第二虚拟机中的某一个。
5.如权利要求2所述的监视装置,其中,
上述监视装置在安全应用、主机操作系统、1个以上的虚拟软件基础平台以及1个以上的虚拟机上动作,或者在1个以上的容器虚拟化基础平台以及2个以上的容器上动作;
上述第一执行权限、上述第二执行权限、上述第三执行权限以及上述第四执行权限是安全应用的执行权限、主机操作系统的执行权限、虚拟软件基础平台的执行权限、虚拟机的核心执行权限、虚拟机的用户执行权限、以及容器的执行权限中的1个;
在以相同的执行权限动作的虚拟机的监视部存在2个以上的情况下,
以上述相同的执行权限动作的2个以上的虚拟机的2个以上的监视部中的第一虚拟机的监视部将上述2个以上的虚拟机的上述2个以上的监视部中的第二虚拟机的监视部的软件包含在监视对象中;
上述2个以上的虚拟机根据被攻击者篡改的可能性被分类为上述第一虚拟机及上述第二虚拟机中的某一个;
在以相同的执行权限动作的容器的监视部存在2个以上的情况下,
以上述相同的执行权限动作的2个以上的容器的2个以上的监视部中的第一容器的监视部将上述2个以上的容器的上述2个以上的监视部中的第二容器的监视部的软件包含在监视对象中;
上述2个以上的容器根据被攻击者篡改的可能性被分类为上述第一容器及上述第二容器中的某一个。
6.如权利要求1~5中任一项所述的监视装置,其中,
上述3个以上的监视部分别根据事件发生的定时,开始对上述监视对象的监视,上述事件包括规定的时间经过、规定的外部网络连接时间经过、系统启动、系统重启、外部网络连接建立、以及外部设备连接中的至少一个。
7.如权利要求1~5中任一项所述的监视装置,其中,
上述监视装置在车载系统上动作;
上述3个以上的监视部分别根据事件发生的定时,开始对上述监视对象的监视,上述事件包括规定的行驶时间经过、规定的停止时间经过、规定的行驶距离经过、行驶模式的切换、供油或供电的结束、车辆诊断的实施、以及紧急警报的发出中的至少一个。
8.如权利要求1~5中任一项所述的监视装置,其中,
上述3个以上的监视部分别根据达到了其他监视部的监视处理的执行次数、在监视处理中判定为异常的次数、以及在监视处理中判定为正常的次数中的至少一个次数的定时,开始对上述监视对象的监视。
9.如权利要求1~8中任一项所述的监视装置,其中,
上述3个以上的监视部分别在上述监视对象是软件的情况下,取得存储在存储器或储存器中的作为上述监视对象的软件的哈希值、掩码值及复制值中的至少一个信息作为取得值,将作为事前定义的正解值的期望值与上述取得值进行比较,在上述期望值与上述取得值一致的情况下判定为上述软件正常,在上述期望值与上述取得值不一致的情况下判定为上述软件异常。
10.如权利要求9所述的监视装置,其中,
上述软件包括虚拟软件基础平台的程序及设定文件的组合、虚拟机的核心程序及设定文件的组合、虚拟机上的用户应用的程序及设定文件的组合、以及上述3个以上的监视部各自的程序及设定文件的组合中的至少一个组合。
11.如权利要求1~10中任一项所述的监视装置,其中,
上述3个以上的监视部分别在上述监视对象是通信日志的情况下,
取得通信日志;
使用许可列表、拒绝列表和正常时的统计信息中的至少一个对上述通信日志进行验证;
进行以下判定中的任一个判定:(i)第一判定,在包含在上述许可列表中的情况下判定为上述通信日志正常,在不包含在上述许可列表中的情况下判定为上述通信日志异常;(ii)第二判定,在不包含在上述拒绝列表中的情况下判定为上述通信日志正常,在包含在上述拒绝列表中的情况下判定为上述通信日志异常;以及(iii)第三判定,在没有脱离上述正常时的统计信息的情况下判定为上述通信日志正常,在脱离了上述正常时的统计信息的情况下判定为上述通信日志异常。
12.如权利要求11所述的监视装置,其中,
上述通信日志包含以太网、CAN协议、FlexRay协议、SOME/IP协议、SOME/IP-SD协议、系统调用以及超级调用中的至少一个。
13.如权利要求1~12中任一项所述的监视装置,其中,
上述3个以上的监视部分别根据按每个上述监视对象而设定的优先级,变更上述监视对象的监视频度、上述监视对象的验证方法、以及上述监视对象的选择方法中的至少一个。
14.如权利要求13所述的监视装置,其中,
上述优先级根据以下中的至少一个来设定:上述监视对象的执行权限、上述3个以上的监视部中的1个监视部或上述监视进行动作的虚拟机是否具有外部网络连接功能、以及上述1个监视部或上述监视进行动作的虚拟机是否具有车辆控制功能。
15.如权利要求1~14中任一项所述的监视装置,其中,
上述监视装置还包括管理部,上述管理部根据上述监视装置动作的系统的状态或事件,变更监视信息中包含的优先级、以及作为上述监视对象中包含的监视担当者及监视对象的组合的监视构成中的至少一个。
16.如权利要求15所述的监视装置,其中,
上述管理部根据以下中的至少一个来变更上述优先级:是否正在外部网络连接中、外部网络连接建立事件有无发生、监视机的系统状态、上述监视部的监视结果、检测到异常的监视部的执行权限、检测到异常的软件的执行权限、以及检测到异常的通信日志的目的地或发送源。
17.如权利要求15所述的监视装置,其中,
上述监视装置在车载系统上动作;
上述管理部根据车辆的行驶状态,变更在具有车辆的控制功能的虚拟机上动作的监视对象的优先级;
车辆的行驶状态是停止中、手动驾驶中、高级驾驶辅助中、以及自动驾驶中的某一个。
18.如权利要求15所述的监视装置,其中,
上述管理部以即使在上述监视构成的变更后也能够构建监视的信任链的方式变更监视构成,上述监视信任链中对于可靠度低的监视部的软件由与上述可靠度低的监视部相比可靠度高的监视部进行监视。
19.如权利要求15或18所述的监视装置,其中,
上述管理部根据以下中的至少一个来变更监视构成:是否正在外部网络连接中、外部网络连接建立事件有无发生、虚拟机的系统状态、上述监视部的监视结果、检测到异常的监视部的执行权限、检测到异常的软件的执行权限、以及检测到异常的通信日志的目的地或发送源。
20.如权利要求15或18所述的监视装置,其中,
上述监视装置在车载系统上动作;
上述管理部根据车辆的行驶状态,变更与具有车辆的控制功能的虚拟机有关的监视构成;
上述车辆的行驶状态是停止中、手动驾驶中、高级驾驶辅助中、自动驾驶中的某一个。
21.如权利要求15、19~20中任一项所述的监视装置,其中,
上述管理部通过以下手段中的至少一个手段来变更上述监视构成:(i)从预先定义的2个以上的监视构成中选择1个监视构成的手段;(ii)将上述监视构成作为以2个以上的监视部为顶点、以监视担当者为路径起点、以监视对象为路径终点的有向图表进行存储,并以规定的算法重新构建有向图表的手段;以及(iii)将上述监视构成作为以上述2个以上的监视部为节点、以上述监视担当者为父节点、以上述监视对象为子节点的树结构进行存储,并以规定的算法重新构建树结构的手段。
22.如权利要求1所述的监视装置,其中,
上述监视装置还具备向监视服务器通知监视结果的监视服务器通信部。
23.一种监视系统,由监视装置和监视服务器构成,其中,
上述监视装置具备:
3个以上的监视部,分别将软件及通信日志中的至少一个作为监视对象进行监视;以及
监视服务器通信部,将监视部识别符、监视对象识别符、正常判定时刻、以及异常判定时刻中的至少两个作为监视结果发送给上述监视服务器;
上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以可靠性与上述第二执行权限相同或可靠性比上述第二执行权限低的第三执行权限动作;
上述第一监视部对上述第二监视部的软件进行监视;
上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视;
上述监视服务器具备监视结果显示部,该监视结果显示部接收上述监视结果,并将上述监视结果显示在图形用户接口上。
24.如权利要求23所述的监视系统,其中,
上述监视结果显示部以如下手段中的至少一个手段将监视结果显示在图形用户接口上:将上述监视结果与系统架构建立关联而显示,并将检测到异常的监视部或被检测到异常的监视对象强调的手段;以及将监视结果与规定的时间线建立关联而显示,并将正常判定时刻或异常判定时刻强调的手段。
25.如权利要求24所述的监视系统,其中,
上述监视服务器还具备监视信息变更部,该监视信息变更部受理上述监视对象、对上述监视对象进行监视的监视部、上述监视对象的优先级、以及与上述优先级对应的监视方法中的至少一个监视信息的变更,并对上述监视装置请求上述变更;
上述监视装置还具备监视信息更新部,上述监视信息更新部根据上述监视信息变更部的请求,更新上述监视信息。
26.一种监视方法,由具备3个以上的监视部的监视装置执行,其中,
上述3个以上的监视部包括第一监视部、第二监视部以及第三监视部,上述第一监视部以第一执行权限动作,上述第二监视部以可靠性比上述第一执行权限低的第二执行权限动作,上述第三监视部以可靠性与上述第二执行权限相同或可靠性比上述第二执行权限低的第三执行权限动作;
上述第一监视部对上述第二监视部的软件进行监视;
上述第一监视部及上述第二监视部中的至少一个对上述第三监视部的软件进行监视。
CN202280036869.4A 2021-05-31 2022-05-27 监视装置、监视系统及监视方法 Pending CN117355832A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/JP2021/020677 WO2022254519A1 (ja) 2021-05-31 2021-05-31 監視装置、監視システムおよび監視方法
JPPCT/JP2021/020677 2021-05-31
PCT/JP2022/021731 WO2022255247A1 (ja) 2021-05-31 2022-05-27 監視装置、監視システム及び監視方法

Publications (1)

Publication Number Publication Date
CN117355832A true CN117355832A (zh) 2024-01-05

Family

ID=84323955

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280036869.4A Pending CN117355832A (zh) 2021-05-31 2022-05-27 监视装置、监视系统及监视方法

Country Status (5)

Country Link
US (1) US20240086290A1 (zh)
EP (1) EP4350548A1 (zh)
JP (2) JP7189397B1 (zh)
CN (1) CN117355832A (zh)
WO (2) WO2022254519A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022254519A1 (ja) * 2021-05-31 2022-12-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 監視装置、監視システムおよび監視方法
JP7296556B1 (ja) * 2022-09-27 2023-06-23 パナソニックIpマネジメント株式会社 情報処理装置、情報処理装置の制御方法及びプログラム
WO2024070141A1 (ja) * 2022-09-27 2024-04-04 パナソニックオートモーティブシステムズ株式会社 情報処理装置、情報処理装置の制御方法及びプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019057167A (ja) * 2017-09-21 2019-04-11 大日本印刷株式会社 コンピュータプログラム、デバイス及び判定方法
JP2019144785A (ja) 2018-02-20 2019-08-29 富士通株式会社 監視プログラム、監視装置及び監視方法
JP6984551B2 (ja) * 2018-06-27 2021-12-22 日本電信電話株式会社 異常検知装置、および、異常検知方法
JP6969519B2 (ja) * 2018-07-30 2021-11-24 株式会社デンソー センター装置、車両状態の特定結果表示システム、車両状態の特定結果送信プログラム及び車両状態の特定結果送信方法
US20220261476A1 (en) * 2019-07-22 2022-08-18 Nec Corporation Security management device, security management method and non-transitory computer-readable medium
WO2022254519A1 (ja) * 2021-05-31 2022-12-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 監視装置、監視システムおよび監視方法

Also Published As

Publication number Publication date
EP4350548A1 (en) 2024-04-10
WO2022254519A1 (ja) 2022-12-08
JPWO2022255247A1 (zh) 2022-12-08
JP7189397B1 (ja) 2022-12-13
US20240086290A1 (en) 2024-03-14
JP2023002832A (ja) 2023-01-10
WO2022255247A1 (ja) 2022-12-08
JP7253663B2 (ja) 2023-04-06

Similar Documents

Publication Publication Date Title
JP6898420B2 (ja) セキュアロックダウンを実装するように構成された関連装置を有する特別にプログラムされたコンピューティングシステムおよびその使用方法
CN117355832A (zh) 监视装置、监视系统及监视方法
EP3748524A1 (en) In-vehicle device and incident monitoring method
JP6723955B2 (ja) 情報処理装置及び異常対処方法
US11829472B2 (en) Anomalous vehicle detection server and anomalous vehicle detection method
US9525700B1 (en) System and method for detecting malicious activity and harmful hardware/software modifications to a vehicle
WO2021145144A1 (ja) 侵入経路分析装置および侵入経路分析方法
WO2021111681A1 (ja) 情報処理装置、制御方法及びプログラム
CN112653655A (zh) 汽车安全通信控制方法、装置、计算机设备及存储介质
US11971982B2 (en) Log analysis device
WO2023032279A1 (ja) 情報処理システム
WO2024070044A1 (ja) 検証システム、検証方法、及び、プログラム
EP3567828A1 (en) Countering threats in in-vehicle networks and controllers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination