DE102017216815A1 - Angriffsdetektionsvorrichtung, Angriffsdetektionsverfahren und Angriffsdetektionsprogramm - Google Patents

Angriffsdetektionsvorrichtung, Angriffsdetektionsverfahren und Angriffsdetektionsprogramm Download PDF

Info

Publication number
DE102017216815A1
DE102017216815A1 DE102017216815.3A DE102017216815A DE102017216815A1 DE 102017216815 A1 DE102017216815 A1 DE 102017216815A1 DE 102017216815 A DE102017216815 A DE 102017216815A DE 102017216815 A1 DE102017216815 A1 DE 102017216815A1
Authority
DE
Germany
Prior art keywords
message
reception
received
attack
periodic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102017216815.3A
Other languages
English (en)
Inventor
Jun Yajima
Takayuki Hasebe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2017007199A external-priority patent/JP2018056980A/ja
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of DE102017216815A1 publication Critical patent/DE102017216815A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Abstract

Eine Angriffsdetektionsvorrichtung umfasst eine Übertragung/Empfangseinheit, welche eine von einer Kommunikationsvorrichtung in einem Netzwerk periodisch übertragene Nachricht empfängt, eine Berechnungseinheit, welche einen Empfangsbereich zum Empfangen einer Nachricht berechnet, welche eine Identifikationsinformation in einer aus den empfangenen Nachrichten ausgewählten Referenznachricht umfasst, durch Verwenden einer Übertragungsperioden einer durch die Identifikationsinformation identifizierten Nachricht, wobei die Nachricht zwei oder mehr Perioden nach der Referenznachricht übertragen ist, Speichereinheit, welche den Empfangsbereich speichert, welcher mit einer Empfangsreihenfolge einer Nachricht verknüpft ist, für welche vorhergesagt ist, in der Empfangsreihenfolge empfangen zu werden, wenn die Referenznachricht als eine Referenz verwendet ist, und eine Bestimmungseinheit, welche bestimmt, dass ein Angriff auf das Netzwerk detektiert ist, wenn eine Empfangszeit der die Identifikationsinformation umfassenden empfangenen Nachricht nicht innerhalb des Empfangsbereichs ist, welcher mit der Empfangsreihenfolge der empfangenen Nachricht verknüpft ist, falls die Referenznachricht als eine Referenz verwendet ist.

Description

  • Gebiet
  • Die hierin beschriebenen Ausführungsformen betreffen eine Angriffsdetektionsvorrichtung, ein Angriffsdetektionsverfahren und ein Angriffsdetektionsprogramm.
  • Hintergrund
  • Eine Steuereinheit-Bereichsnetzwerk (CAN) genannte Netzwerktechnologie kann zum Übertragen/Empfangen von Daten oder zum Steuern einer Information zwischen Vorrichtungen verwendet werden, welche in einem On-board-Fahrzeugethernet-Kommunikationsnetzwerk von Automobilen und in einer Fabrikautomatisierung und so weiter verwendet werden. Ein System, welches CAN verwendet, umfasst mehrere elektronische Steuereinheiten (ECUs). Solche ECUs kommunizieren miteinander durch Übertragen/Empfangen von Datenframes. Die Datenframes, welche zum Kommunizieren in einem CAN-Bus verwendet werden, umfassen eine Identifikationsinformation (Id), welche zum Identifizieren eines jeden der Datenframes verwendet wird. Die ID der zu empfangenden Datenframes wird vorab in jeder ECU gespeichert. Da Datenframes in CAN-Bus im Rundfunk übertragen werden, erreichen viele Datenframes eine ECU, welche mit einem CAN-Bus verbunden ist, zur gleichen Zeit. Wenn der Übertragungszeitpunkt zwischen mehreren Datenframes identisch ist, werden Prioritäten der Datenframes auf der Basis des Werts der in jedem der Datenframes umfassten ID bestimmt und Datenframes mit einer höheren Priorität werden zuerst übertragen. Ein Datenframe mit einer geringeren Priorität wird im Rundfunk übertragen, nachdem ein Datenframe mit einer höheren Priorität übertragen ist. Wenn Datenframes im Rundfunk übertragen werden, empfängt jede ECU Datenframes mit der zu empfangenden eingestellten ID durch die ECU, allerdings werden Datenframes mit einer ID, welche nicht als ein Empfangsziel der ECU eingestellt ist, verworfen.
  • Allerdings würde eine ECU, wenn das Netzwerk durch Verwenden eines Datenframes mit einer ID angegriffen wird, für welche eingestellt ist, die ECU zum Empfangen zu veranlassen, den für den Angriff verwendeten Frame empfangen. Aufgrund des Empfangs des Frames kann die ECU, welche den für den Angriff verwendeten Frame empfängt, möglicherweise falsche Operationen ausführen, welche normalerweise nicht ausgeführt werden. In der Zwischenzeit, wenn Datenframes periodisch übertragen werden, wird ein Angriffsframe bei einem Übertragungszeitpunkt, welcher von den Übertragungszeitpunkten von normalen Datenframes abweicht, übertragen. Durch Berücksichtigen dieses Produkts ist das Verfahren, welches angegangen wurde, ein Verfahren zum Detektieren eines Angriffs durch bestimmen, ob die empfangenen Frames bei den vorbestimmten Übertragungszeitpunkten von Datenframes übertragen wurden. Allerdings kann ein Übertragungszeitpunkt eines Datenframes in Bezug zu Übertragungszeitpunkten von anderen Datenframes geändert werden. In Anbetracht dieses Problems verhindert eine ECU auf der Empfangsseite eine falsche Detektionen durch Verwenden eines Rands (Spanne) zum Bestimmungszeitpunkt der Abweichung, allerdings, wenn der Rand zu eng ist, können falsche Detektionen häufig auftreten.
  • 1 ist ein Diagramm, welches ein Beispiel eines solchen Angriffsdetektionsverfahrens erläutert. In dem Fall C1 beispielsweise werden Datenframes (periodische Nachrichten) mit einer Periode von 100 Millissekunden (ms) übertragen und ein Rand ist auf 10 ms eingestellt. Es sei angenommen, dass eine der ECUs die erste periodische Nachricht M1 bei 0 ms empfängt. Wenn dieselbe ECU eine periodische Nachricht M2 innerhalb einer Zeitperiode (Z1) zwischen 90 ms und 110 ms nach dem Empfang der periodischen Nachricht M1 empfängt, bestimmt die ECU unter Verwendung des Rands, dass die periodische Nachricht M2 keine Angriffsnachricht ist. Es sei angenommen, dass diese ECU die zweite periodische Nachricht M2 bei 101 ms empfängt. Die Differenz zwischen der Empfangszeit der periodischen Nachricht M1 und der Empfangszeit der periodischen Nachricht M2 ist 101 ms, welches innerhalb eines Bereichs der unter Berücksichtigung des Rands berechneten Periode liegt, und daher bestimmt die ECU, dass die periodischen Nachricht M2 keine Angriffsnachricht ist. Die ECU sagt voraus, dass die Periode, in welcher die dritte periodischen Nachricht zu empfangen ist, zwischen 191 ms bis 211 ms nach dem Empfang der periodischen Nachricht M1 liegt, wie als Z2 in 1 angegeben.
  • Als Nächstes sei angenommen, dass dieselbe ECU die dritte periodischen Nachricht M3 bei 240 ms empfängt. In diesem Fall ist die Differenz zwischen der Empfangszeit der periodischen Nachricht M2 und der Empfangszeit der periodischen Nachricht M3 gleich 139 ms, welches nicht innerhalb des annehmbaren Bereichs der Periode (Z2) liegt, welche unter Berücksichtigung des Bereichs berechnet ist. Daher würde die ECU eine falsche Detektionen vornehmen, sodass die periodischen Nachricht M3 eine Angriffsnachricht ist. Weiter berechnet die ECU das Empfangsintervall auf der Basis der Empfangszeit der periodischen Nachricht M3. Wie in 1 dargestellt, wenn die vierte periodische Nachricht bei 301 ms empfangen wird, ist die Differenz zwischen der Empfangszeit der periodischen Nachricht M3 und der Empfangszeit der periodischen Nachricht M4 gleiche 61 ms, und die ECU bestimmt, dass die Differenz nicht innerhalb des annehmbaren Bereichs der Periode liegt, welche unter Berücksichtigung des Rands berechnet ist. Folglich macht die ECU eine weitere falsche Detektionen, dass die periodischen Nachricht M4 eine Angriffsnachricht ist.
  • Der Fall C2 ist ein Beispiel zum Einstellen des Rands auf 40 ms, wenn die periodischen Nachrichten M1 bis M4 bewertet werden. In diesem Fall, wenn die Periode zwischen einem Empfang einer periodischen Nachricht und einem Empfang der nächsten periodischen Nachricht innerhalb von 60 ms bis 140 ms liegt, wird bestimmt, dass ein Angriff nicht ausgeführt wurde. Dann, da die Differenz zwischen der Empfangszeit der periodischen Nachricht M2 und der Empfangszeit der periodischen Nachricht M3 gleich 139 ms ist, wird bestimmt, dass die periodische Nachricht M3 keine Angriffsnachricht ist. Auch in ähnlicher Weise ist die Differenz zwischen der Empfangszeit der periodischen Nachricht M3 und der Empfangszeit der periodischen Nachricht M4 gleiche 61 ms und es wird daher bestimmt, dass die periodische Nachricht M4 ebenfalls keine Angriffsnachricht ist. Es wird darauf hingewiesen, dass, um einen Vergleich mit dem Fall C1 auszuführen, die Zeitperiode, während welcher es möglich ist, dass die periodische Nachricht M2 empfangen wird, als Z3 angegeben ist, und die Zeitperiode, während welcher es möglich ist, dass die periodische Nachricht M3 empfangen wird, als Z4 in dem Fall C2 angegeben ist.
  • Als eine verwandte Technologie wurde eine Technologie vorgeschlagen, sodass, wenn ein Datenframe, welcher einer vorbestimmten Regel einer Übertragungsperiode nicht nachfolgt, empfangen wird, ein bestimmter Identifikator in dem Datenframe verifiziert wird, und ob der Datenframe für einen Angriff verwendet wird, bestimmt wird (beispielsweise Patentdokument 1). Ein System wurde ebenso vorgeschlagen, sodass, wenn die ersten Daten mit demselben Identifikator wie dem der Referenzempfangsdaten und ein dem Empfangsintervall, welches kürzer als eine vorbestimmte Periode ist, empfangen wird, das System auf Daten mit demselben Identifikator wie dem der ersten Daten wartet, bis eine vorbestimmte Periode nach der Empfangszeit der Referenzempfangsdaten verstrichen ist. Wenn die zweiten Daten mit demselben Identifikator wie dem der ersten Daten während der Warteperiode für die Daten mit demselben Identifikator wie dem der ersten Daten empfangen wird, bestimmt das System, das ein Betrug aufgetreten ist (beispielsweise Patentdokument 2). Ein Verfahren, welches vorgeschlagen wurde, sodass eine ECU Nachrichten bei bestimmten Kommunikationsintervallen überträgt, und eine ECU, welche die Nachrichten empfängt, bestimmt, ob die empfangenen Nachrichten ungültig sind, auf Basis eines Vergleichs zwischen dem Kommunikationsintervall der empfangenen Nachrichten und dem bestimmten Kommunikationsintervall (beispielsweise Patentdokument 3). Zusätzlich ist ein System bekannt, sodass in einem Endgerät, welches eine Verbindungsanfrage an eine Managementsteuervorrichtung überträgt, wenn ein Timer abläuft, der Zyklus des Timerwerts geändert werden kann (beispielsweise Patentdokument 4).
  • [Stand der Technik Dokument]
  • [Patentdokument]
    • Patentdokument 1: internationale Veröffentlichung mit der Nummer WO 2015/170451
    • Patentdokument 2: japanische Patentveröffentlichungsschrift mit der Nummer 2014-146868
    • Patentdokument 3: internationale Veröffentlichung mit der Nummer WO 2013/04072
    • Patentdokument 4: japanische Patentveröffentlichungsschrift mit der Nummer 2012-109666
  • Zusammenfassung
  • Entsprechend ist es eine Aufgabe in einem Aspekt der Ausführungsformen die Genauigkeit einer Angriffsdetektion zu verbessern.
  • Gemäß einem Aspekt der Ausführungsformen umfasst eine Angriffsdetektionsvorrichtung eine Übertragung/Empfangseinheit, welche eine von einer Kommunikationsvorrichtung in einem Netzwerk periodisch übertragenen Nachricht empfängt, eine Berechnungseinheit, welche einen Empfangsbereich zum Empfangen einer eine Identifikationsinformation umfassenden Nachricht in einer aus den empfangenen Nachrichten ausgewählten Referenznachricht unter Verwendung einer Übertragungsperiode einer durch die Identifikationsinformation identifizierten Nachricht berechnet, wobei die Nachricht zwei oder mehr Perioden nach der Referenznachricht übertragen ist, eine Speichereinheit, welche den Empfangsbereich speichert, welcher mit einer Empfangsreihenfolge einer Nachricht verknüpft ist, welche vorhergesagt ist, in dem Empfangsbereich empfangen zu werden, wenn die Referenznachricht als eine Referenz verwendet wird, und eine Bestimmungseinheit, welche bestimmt, dass ein Angriff auf das Netzwerk detektiert ist, wenn eine Empfangszeit der die Identifikationsinformation umfassenden empfangenen Nachricht nicht innerhalb des Empfangsbereichs liegt, welcher mit der Empfangsreihenfolge der empfangenen Nachricht verknüpft ist, falls die Referenznachricht als eine Referenz verwendet wird.
  • Kurzbeschreibung der Figuren
  • 1 ist ein Diagramm, welches ein Beispiel eines Angriffsdetektionsverfahrens erläutert;
  • 2 ist ein Diagramm, welches ein Beispiel eines Angriffsdetektionsverfahrens gemäß den Ausführungsformen erläutert;
  • 3 ist ein Diagramm, welches ein Beispiel einer Konfiguration der Angriffsdetektionsvorrichtung erläutert;
  • 4 ist ein Diagramm, welches ein Beispiel einer Hardwarekonfiguration der Angriffsdetektionsvorrichtung erläutert;
  • 5 ist ein Diagramm, welches ein Beispiel eines Netzwerks erläutert;
  • 6 ist ein Diagramm, welches Beispiele des Formats eines übertragenen/empfangenen Frames darstellt;
  • 7 ist ein Diagramm, welches ein Beispiel einer durch die Angriffsdetektionsvorrichtung gespeicherten Information erläutert;
  • 8 ist ein Diagramm, welches ein Beispiel eines Angriffsdetektionsverfahrens gemäß der ersten Ausführungsform erläutert;
  • 9 ist ein Diagramm, welches ein Beispiel einer Angriffsdetektion erläutert;
  • 10 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung erläutert;
  • 11 ist ein Diagramm, welches ein Beispiel eines Vergleichs zwischen dem Angriffsdetektionsverfahren gemäß der ersten Ausführungsform und einem anderen Detektionsverfahren erläutert;
  • 12 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahren gemäß der zweiten Ausführungsform erläutert;
  • 13 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung erläutert;
  • 14 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahren gemäß der dritten Ausführungsform erläutert;
  • 15 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung erläutert;
  • 16 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahren gemäß der vierten Ausführungsform erläutert;
  • 17 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahren gemäß der fünften Ausführungsform erläutert;
  • 18 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung erläutert;
  • 19 ist ein Diagramm, welches ein Beispiel einer Angriffsdetektion gemäß der sechsten Ausführungsform erläutert; und
  • 20 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung erläutert.
  • Beschreibung von Ausführungsformen
  • Bei der Detektion eines Angriffs basierend auf den Empfangsintervallen von periodisch empfangenen Nachrichten können breite Ränder gefordert werden, um falsche Detektionen zu verhindern. Folglich können, während es möglich ist, dass eine falsche Detektion, welche eine normale Nachricht als einen Angriff ansieht, verhindert wird, manche Angriffe übersehen werden. Allerdings können enge Ränder in häufigeren falschen Detektionen resultieren. Ein solches Problem wird durch Anwenden eines der oben beschriebenen verwandten Technologien nicht gelöst.
  • 2 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahrens gemäß den vorliegenden Ausführungsformen erläutert. Es sei angenommen, dass eine Angriffsdetektionsvorrichtung 10 vorab eine ID und eine Übertragungsperiode von Datenframes (periodische Nachrichten), welche periodisch empfangen werden, speichert. Die nachstehende erläuterte Verarbeitung wird für jede Angriffsdetektionsziel ID ausgeführt.
  • Im Schritt S1 wählt die Angriffsdetektionsvorrichtung 10 eine als eine Referenz verwendete Referenznachricht aus den empfangenen periodischen Nachrichten aus. Die Differenznachricht ist eine Nachricht, welches eine Referenz zur Vorhersage von Zeitperioden dient, bei welchen anderen Nachrichten mit derselben ID zu empfangen sind. Die Angriffsdetektionsvorrichtung 10 berechnet einen Empfangsbereich einer periodischen Nachricht, welche durch dieselbe ID wie die der Referenznachricht identifiziert ist, und die von der Referenznachricht gezählte m-te übertragene Nachricht ist (Schritt S102). Im Schritt S102 ist m eine ganze Zahl und gleich 2 oder größer. Obwohl die Berechnung im Schritt S102 eine mit einer in der Referenznachricht umfassten ID verknüpften Übertragungsperiode verwendet, kann ebenso die Empfangszeit der Referenznachricht verwendet werden.
  • Danach empfängt die Angriffsdetektionsvorrichtung 10 die n-te periodischen Nachricht, welche dieselbe ID wie die der Referenznachricht aufweist (Schritt S3). Die Angriffsdetektionsvorrichtung 10 bestimmt, ob die Empfangszeit der n-ten periodischen Nachricht innerhalb des Zeitbereichs liegt, welcher als der Empfangsbereich der n-ten periodischen Nachricht vorhergesagt ist (Schritt ST4). Wenn die Empfangszeit der n-ten periodischen Nachricht nicht innerhalb der als der Empfangsbereich der n-ten periodischen Nachricht vorhergesagten Periode liegt, bestimmt die Angriffsdetektionsvorrichtung 10, dass ein Angriff detektiert wurde (Nein im Schritt S4, Schritt S5). Andererseits, wenn die Empfangszeit der m-ten periodischen Nachricht innerhalb des als der Empfangsbereich der m-ten periodischen Nachricht vorhergesagten Bereich liegt, bestimmt die Angriffsdetektionsvorrichtung 10, dass ein Angriff nicht detektiert wurde, und die Verarbeitung wird beendet (Ja in Schritt S4).
  • Die nachstehenden Beschreibungen erläutern eine Angriffsdetektion mit einem Beispiel eines Falls, bei welchem periodische Nachrichten M11 bis M13 mit einer Periode von Δt als die Übertragungsperiode übertragen werden. Zusätzlich ist eine ID der periodischen Nachrichten M11 bis M13 gleich IDa und die Variable m im Schritt S102 bis S4 ist gleich 3. Es sei angenommen, dass die Angriffsdetektionsvorrichtung 10 die periodische Nachricht M11 zu einem Zeitpunkt T1 empfängt und die periodische Nachricht M11 als eine Referenznachricht auswählt. Die Angriffsdetektionsvorrichtung 10 berechnet den Empfangsbereich Z11 einer zu übertragenden periodischen Nachricht drei Perioden nach dem Empfang der Referenznachricht M11. In diesem Beispiel aus 2 ist Z11 ein Bereich, welcher durch um einen Zeitpunkt T4 vorgesehene Pfeile angegeben ist. Es sei darauf hingewiesen, dass der Zeitpunkt T4 die Gleichung erfüllt, T4 = T1 + 3 × Δt.
  • Es sei angenommen, dass nach der Referenznachricht M11 die periodische Nachricht M12 übertragen wird. Wenn die Angriffsdetektionsvorrichtung 10 die periodische Nachricht M12 empfängt, bestimmt die Angriffsdetektionsvorrichtung 10, dass die erste Nachricht empfangen ist, welche von der Referenznachricht M11 gezählt ist, aus den periodischen Nachrichten, welche als IDa identifiziert sind.
  • Als Nächstes sei angenommen, dass ein Angriffsframe AT1, welcher IDa umfasst, übertragen wird. Wenn der Angriffsframe AT1 empfangen wird, behandelt die Angriffsdetektionsvorrichtung 10 den Angriffsframe AT1 als die zweite Nachricht, welche von der Referenznachricht M11 gezählt ist, aus den als IDa identifizierten periodischen Nachrichten. Es sei angenommen, dass die periodischen Nachricht M13 danach übertragen wird. Wenn die periodischen Nachricht M13 empfangen wird, bestimmt die Angriffsdetektionsvorrichtung 10, dass die dritte Nachricht, welche von der Referenznachricht M11 gezählt ist, aus denen als IDa identifizierten periodischen Nachrichten empfangen ist.
  • Dann bestimmt die Angriffsdetektionsvorrichtung 10, ob die Empfangszeit der periodischen Nachricht M13 innerhalb des Bereichs Z11 liegt, welcher als der Empfangsbereich der dritten Nachricht, welche von der Referenznachricht M11 gezählt ist, berechnet ist. In dem Beispiel aus 2 ist die Empfangszeit der periodischen Nachricht M13 um den Zeitpunkt T3. Allerdings ist Z11 ein durch die um den Zeitpunkt T4 angeordneten Pfeile angegebener Bereich. Daher liegt die Empfangszeit der periodischen Nachricht M13 nicht innerhalb Z11. Entsprechend bestimmt die Angriffsdetektionsvorrichtung 10, dass ein Angriff, welcher IDa verwendet, zwischen dem Empfang der periodischen Nachricht M11 und dem Empfang der periodischen Nachricht M13 ausgeführt wurde.
  • Auf diese Weise sagt das Verfahren gemäß den Ausführungsformen einen Empfangsbereich einer Nachricht voraus, welche nach mehreren Perioden von der Referenznachricht übertragen ist, und bestimmt, ob ein Angriff ausgeführt wurde, unter Berücksichtigung davon, welche von der Referenznachricht aus gezählten Nachricht der vorhergesagte Empfangsbereich vorhergesagt wurde. Aus diesem Grund kann ein Angriff detektiert werden, selbst obwohl die Vorhersage einen breiten Rand für Verzögerungen bei Nachrichten zulässt.
  • <Vorrichtungskonfiguration>
  • 3 ist ein Diagramm, welches ein Beispiel der Konfiguration der Angriffsdetektionsvorrichtung 10 erläutert. Die Angriffsdetektionsvorrichtung 10 weist eine Übertragung/Empfangseinheit 11, eine Steuereinheit 20 und eine Speichereinheit 30 auf. Die Steuereinheit umfasst eine Berechnungseinheit 21, eine Bestimmungseinheit 22 und eine Referenzaktualisierungsverarbeitungseinheit 23. Die Speichereinheit 30 speichert eine Übertragungsbedingung 31, eine Empfangsbedingungsinformation 32, eine Referenzzeit 33 und eine Empfangsvorhersage 34.
  • Die Übertragungsbedingung 31 verknüpft eine ID, welche in einer durch die Angriffsdetektionseinheit 10 empfangenen periodischen Nachricht umfasst ist, mit der Übertragungsperiode der durch die ID identifizierten periodischen Nachricht. Die Empfangsbedingungsinformation 32 speichert die von der Referenznachricht gezählte Empfangsreihenfolge für jede der durch die Angriffsdetektionsvorrichtung 10 empfangenen periodischen Nachrichten und die Empfangszeit jeweils dieser periodischen Nachrichten. Es sei darauf hingewiesen, dass, um eine Speicherkapazität zu reduzieren, die Empfangsbedingungsinformation 32 die Empfangsreihenfolge und die Empfangszeit lediglich der zuletzt empfangenen von der Referenznachricht gezählten periodischen Nachricht speichert. Beispielsweise, anstelle einer Berechnung und einem Speichern der Empfangszeit für jede der 1. bis 100. von einer Referenznachricht gezählten Nachrichten, kann die Empfangsbedingungsinformation 32 die Empfangszeit der 100. Nachricht berechnen und speichern. Die Referenzzeit 33 speichert die Empfangszeit der Referenznachricht. Die Empfangsbedingungsinformation 32 wird für jede ID der periodischen Nachrichten erzeugt. Beispiele der Übertragungsbedingung 31, der Empfangsbedingungsinformation 32 und der Referenzzeit 33 werden später beschrieben.
  • Die Berechnungseinheit 21 berechnet eine Empfangsvorhersage einer jeden periodischen Nachricht für jede ID durch Verwenden der Referenzzeit 33 und der Übertragungsbedingung 31. Die Berechnungseinheit 21 speichert die erhaltenen Berechnungsergebnisse in der Empfangsvorhersage 34. Aus diesem Grund wird die Empfangsvorhersage 34 für jede ID erzeugt. Ein Beispiel der Empfangsvorhersage 34 wird ebenso später beschrieben.
  • Die Bestimmungseinheit 22 findet heraus, zu welcher der Nachrichten, welche dieselbe ID wie die der Referenznachricht aufweisen, die durch die Übertragung/Empfangseinheit 11 empfangenen Nachricht gehört; insbesondere findet die Bestimmungseinheit 22 heraus, zu welcher die erste, zweite, dritte und so weiter der Nachrichten, welche dieselbe ID wie die der Referenznachricht aufweisen, der durch die Übertragung/Empfangseinheit 11 empfangenen Nachricht gehört. Die Bestimmungseinheit 22 bestimmt, ob die Empfangszeit der Empfangsnachricht innerhalb des mit der erhaltenen Empfangsreihenfolge verknüpften Empfangsbereich liegt. Zu diesem Zeitpunkt nimmt die Bestimmungseinheit 22 auf die Empfangsvorhersage 34 geeignet Bezug.
  • Die Differenzaktualisierungsverarbeitungseinheit 23 Welt eine Referenznachricht aus den empfangenen periodischen Nachrichten aus. Es wird darauf hingewiesen, dass die Differenzaktualisierungsverarbeitungseinheit 23 eine Referenznachricht regelmäßig aktualisieren kann, oder, nachdem ein Angriff detektiert ist, die Nachricht selbst, bei der der Angriff detektiert ist, oder eine Nachricht, welche nach der Angriff-detektierten Nachricht empfangen ist, kann als eine neue Referenznachricht ausgewählt werden. Wenn die Differenzaktualisierungsverarbeitungseinheit 23 eine Referenznachricht auswählt und aktualisiert, wird die Empfangszeit der als eine Referenznachricht ausgewählten Nachricht als die Referenzzeit 33 eingestellt.
  • 4 ist ein Diagramm, welches ein Beispiel der Hardwarekonfiguration der Angriffsdetektionsvorrichtung 10 erläutert. In dem Beispiel aus 4 wird die Angriffsdetektionsvorrichtung 10 als eine ECU 100 realisiert. Die ECU 100 umfasst einen CAN Transceiver 101, eine CAN Steuereinheit 102 und einen Verarbeitungsschaltkreis 103. Der Verarbeitungsschaltkreis 103 weist einen Prozessor 104 und einen Speicher 105 auf.
  • Der CAN Transceiver 101 führt eine Verarbeitung wie beispielsweise eine Busspannungseinstellung geeignet aus, sodass die ECU 100 mit anderen Vorrichtungen in einem CAN Netzwerk kommunizieren kann. Die CAN Steuereinheit 102 entnimmt Daten durch Ausführen einer Verarbeitung wie beispielsweise einem zyklischen Redundanzscheck (CRC) und 1 Bit-String der empfangenen Frames. Die CAN Steuereinheit 102 gibt die Daten an den Prozessor 104 aus. Der Prozessor 104 ist ein beliebiger Verarbeitungsschaltkreis und kann eine zentrale Verarbeitungseinheit (CPU) als ein Beispiel sein. Der Prozessor liest die in dem Speicher 105 gespeicherten Programme aus und führt die Verarbeitung aus. Es wird darauf hingewiesen, dass die ECU 100 eine Vorrichtung zum Abrufen von Programmen und Daten von einem Speichermedium aufweist. In diesem Fall können die Programme auf einem beliebigen Speichermedium gespeichert sein und können durch die ECU 100 von dem Speichermedium geeignet abgerufen werden.
  • Bei der Angriffsdetektionsvorrichtung 10 wird die Übertragung/Empfangseinheit 11 durch den CAN Transceivers 101 und die CAN Steuereinheit 102 realisiert. Der Prozessor 104 wird als die Steuereinheit s20 betrieben. Der Speicher 105 wird als die Speichereinheit 30 betrieben.
  • <Beispiel eines Netzwerks und eines Frames>
  • 5 ist ein Diagramm, welches ein Beispiel eines Netzwerks erläutert. In einem in 5 dargestellten Netzwerk N1 sind mehrere ECUS 100 (ECU0 bis ECUk) durch einen einzelnen Bus verbunden, sodass Frames zueinander übertragen und voneinander empfangen werden können. Es sei angenommen, dass eine oder mehrere der ECU-Bus 100, welche in dem Netzwerk aus 5 umfasst sind, als eine Angriffsdetektionsvorrichtung 10 betrieben werden. Beispielsweise kann eine einzelne Angriffsdetektionsvorrichtung 10 einen Angriff auf alle in dem Netzwerk übertragenen/empfangenen periodischen Nachrichten detektieren. Alternativ können Detektionsziele für jede Angriffsdetektionsvorrichtung 10 eingestellt werden, sodass ein Angriff auf alle periodischen Nachrichten durch mehrere Angriffsdetektionsvorrichtungen 10 detektiert werden kann.
  • Ein Beispiel des Übertragungszeitpunkts von periodischen Nachrichten und des Übertragungszeitpunkts bei der Angriffsdetektionsvorrichtung 10 werden ebenso in 5 vorgesehen. In dem Beispiel aus 5 wird eine ECU0 als eine Angriffsdetektionsvorrichtung 10 betrieben und detektiert einen Angriff auf periodischen Nachrichten mit einer ID = A, B und C. In diesem Fall erfasst die als die Angriffsdetektionsvorrichtung 10 betriebene ECU0 periodischen Nachrichten mit einer ID = A, B und C als Empfangsziele. Indessen überträgt die ECU1 periodische Nachrichten mit einer ID = A und überträgt die ECU2 periodische Nachrichten mit einer ID = B. Die ECU 3 überträgt periodische Nachrichten mit einer ID = C.
  • Wie in dem Zeitablaufsdiagramm in 5 dargestellt werden die periodischen Nachrichten mit einer ID = A, B und C durch die ECU0 fast zur gleichen Zeit wie zu dem Zeitpunkt, bei welchem jeweils die periodischen Nachrichten übertragen werden, empfangen. Bei der ECU0 wird ein Angriff durch Verknüpfen des Empfangszeitpunkts einer empfangenen Nachricht mit einer ID in der Nachricht und Analysieren des Empfangszeitpunkts, welcher mit der ID verknüpft ist, detektiert. Details der Angriffsdetektion werden später beschrieben.
  • 6 ist ein Diagramm, welches Beispiele des Formats eines übertragenen/empfangenen Frames darstellt. F11 in 6 ist ein Beispiel des Formats eines Frames mit allgemeinen Eigenschaften und F12 ist ein Beispiel des Formats eines Frames, welcher bei erweiterten Eigenschaften verwendet wird.
  • Der Frame mit allgemeinen Eigenschaften umfasst einen Start-of-Frame (SOS), ein Entscheidungsfeld, ein Steuerfeld, ein Datenfeld, ein CRC Feld, ein ACK Feld und ein End-of-Frame (EOF). Das Entscheidungsfeld umfasst eine ID und eine Remote-Transmission-Request (RTR). Hierbei ist die ID eine zum Identifizieren eines Datenframes verwendete Identifikationsinformation. Das Steuerfeld umfasst eine Identifikator-Extension (IDE), eine reservierte Bild und einen Datenlängencode (DLC). Das CRC Feld umfasst eine CRC Sequenz und ein CRC Trennzeichen. Das ACK Feld umfasst einen ACK Slot und ein ACK Trennzeichen. Es wird darauf hingewiesen, dass Bit-Längen der Informationselemente, welche in den Feldern umfasst sind, diejenigen sind, welche in der unteren Zeile von F11 dargestellt sind. Beispielsweise ist die Länge der ID gleich 11 Bits und die Länge des Datenfeldes ist eine variable Länge, welche von 0 bis 64 Bits reicht.
  • Der Datenframe (F12), welcher bei den erweiterten Eigenschaften verwendet wird, umfasst ebenso ein SOF, ein Entscheidungsfeld, ein Steuerfeld, ein Datenfeld, ein CRC Feld, ein ACK Feld und ein EOF. Das Entscheidungsfeld der erweiterten Eigenschaften umfasst eine ID Basis, ein Ersetzung-Remote-Anfrage-Bit (SRR), eine IDE, eine ID Extension und einen RTR. In den erweiterten Eigenschaften stellt ein Bitstring, welcher durch Verketten eines Bitstring erhalten ist, welcher als die ID Extension gespeichert ist, zu einem Bitstring, welcher als die ID Basis gespeichert ist, eine Identifikationsinformation (ID) eines Datenframes dar. In dem Format der erweiterten Eigenschaften sind Felder von dem Steuerfeld bis zu dem EOF ähnlich zu denen des Formats der allgemeinen Eigenschaften. Darüber hinaus sind Bit-Längen der Informationselemente, welche in den Feldern umfasst sind, diejenigen, welche in der unteren Zeile von F12 beschrieben sind. Entsprechend wird in dem erweiterten Format ein Bitstring von 29 Bits, bei welchem 11 Bits der ID Basis an die 18 Bits der ID Extension angehängt sind, als eine Identifikationsinformation einer Übertragungsquelle verwendet Beispiele einer Verarbeitung, welche in den Ausführungsformen ausgeführt wird, werden nachfolgend unter Annehmen als ein Beispiel eines Falls beschrieben, bei welchem ein Datenframe unter Verwendung des durch F11 angegebenen Formats aus 6 übertragen und empfangen wird. Es sei darauf hingewiesen, dass, wenn für eine Kommunikation verwendete Datenframes die erweiterten Eigenschaften aufweisen, dieselbe Verarbeitung ausgeführt wird.
  • <Erste Ausführungsform>
  • 7 ist ein Diagramm, welches ein Beispiel einer durch die Angriffsdetektionsvorrichtung 10 gespeicherten Information erläutert. Die Angriffsdetektionsvorrichtung 10 speichert die Übertragungsbedingung 31 vorab.
  • Die Übertragungsbedingung 31 umfasst eine ID, eine Übertragungsperiode und einen Rand für jede der durch die Angriffsdetektionsvorrichtung 10 empfangenen periodischen Nachrichten. Die Übertragungsperiode ist eine Zeitperiode, während welcher eine durch die ID in dem Eintrag identifizierte periodische Nachricht übertragen wird. Der Rand ist ein Wert, welcher als ein akzeptabler Wert eines Bereichs einer Abweichung von der Übertragungsperiode verwendet wird, wenn ein Empfangsbereich einer durch die ID in dem Eintrag identifizierten periodischen Nachricht vorhergesagt ist. Die Übertragungsbedingung 31 in 7 gibt periodischen Nachrichten mit einer ID = 0123 an, welche mit einer Periode von 100 ms übertragen werden und wobei ein Rand von 40 ms für die Vorhersage des Empfangsbereichs der periodischen Nachrichten mit einer ID = 0x123 verwendet wird. Aus diesem Grund, wenn eine Referenznachricht zu einem Zeitpunkt T als ein Beispiel empfangen wird, wird der Empfangsbereich der n-ten Nachricht, welche von der als Referenz verwendeten Nachricht (die 0-te Nachricht) gezählt ist, als T + 100 ms × n ± 40 ms berechnet.
  • Die Differenzaktualisierungsverarbeitungseinheit 23 wählt eine Referenznachricht aus den über die Übertragung/Empfangseinheit 11 empfangenen periodischen Nachrichten aus und speichert die Empfangszeit der Referenznachricht als die Referenzzeit 33 in Verbindung mit der in der Referenznachricht umfassten ID. Ein Beispiel der gespeicherten Referenzzeit 33 ist in 7 bereitgestellt. In dem Beispiel aus 7 ist ein Zeitpunkt, bei welchem die Angriffsdetektionsvorrichtung 10 eine Referenznachricht mit einer ID = 0x123 empfängt, gleich 0 ms.
  • Wenn die Referenzzeit 33 aktualisiert wird, erzeugt die Berechnungseinheit 21 die Empfangsvorhersage 34 für jede ID durch Verwenden der Übertragungsperiode und des Rands, gespeichert in der Übertragungsbedingung 31. In 7 ist ein Beispiel der erzeugten Empfangsvorhersage 34 einer periodischen Nachricht mit einer ID = 0x123 bereitgestellt. Da eine Referenznachricht bei 0 ms empfangen ist, wird die Referenznachricht als die 0-te Nachricht angenommen, und ein Zeitbereich, bei welchem die von der Referenznachricht gezählte n-te periodische Nachricht empfangen werden kann (Empfangsbereich) = 0 ms + 100 ms × n ± 40 ms. Entsprechend ist der Empfangsbereich einer periodischen Nachricht mit einer ID = 0x123, welche nach der Referenznachricht als Nächstes empfangen wird, gleich 60 ms bis 140 ms. Ähnlich ist der Empfangsbereich der von der Referenznachricht gezählten zweiten periodischen Nachricht gleich 160 ms bis 240 ms. Der Empfangsbereich der von der Referenznachricht gezählten dritten periodischen Nachricht ist gleich 260 ms bis 340 ms. Die Berechnungseinheit 21 verknüpft die Empfangsreihenfolge einer jeden periodischen Nachricht, gezählt von einer Referenznachricht, wenn die Referenznachricht die 0-te Nachricht ist, mit dem Empfangsbereich und speichert die verknüpfte Empfangsreihenfolge und den Empfangsbereich in der Empfangsvorhersage 34.
  • 8 ist ein Diagramm, welches ein Beispiel eines Angriffsdetektionsverfahrens gemäß der ersten Ausführungsform erläutert. Es wird darauf hingewiesen, dass in 8 ein Beispiel eines Falls erläutert wird, bei welchem ein Angriff nicht ausgeführt wird. In dem Beispiel aus 8 speichert die Angriffsdetektionsvorrichtung 10 eine in 7 bereitgestellte Information und überwacht einen Angriff auf periodische Nachrichten mit einer ID = 0x123.
  • Es sei angenommen, dass die Übertragung/Empfangseinheit 11 der Angriffsdetektionseinheit 10 eine periodische Nachricht M20 bei 0 ms empfängt. Wenn keine Nachrichten mit einer ID = 0x123 empfangen wurden, speichert die Differenzaktualisierungsverarbeitungseinheit 23 die periodische Nachricht 20 in der Empfangsbedingungsinformation 32 als eine Referenznachricht mit einer ID = 0x123 und speichert die Empfangszeit der periodischen Nachricht M20 als die Referenzzeit 33. Die Berechnungseinheit 21 erzeugt die Empfangsvorhersage 34 (7) der periodischen Nachrichten mit einer ID = 0x123 entsprechend der mit Bezug zu 7 erläuterten Verarbeitung.
  • Als Nächstes sei angenommen, dass die Übertragung/Empfangseinheit 11 eine periodische Nachricht 21 mit einer ID = 0x123 bei 101 ms empfängt. Da die ID der periodischen Nachricht M21 gleich 0x123 ist, bestimmt die Bestimmungseinheit 22, dass die periodische Nachricht M21 die erste Nachricht mit der ID = 0x123 ist, gezählt von der Referenznachricht. Die Bestimmungseinheit 22 speichert die Empfangszeit der periodischen Nachricht M21 in der Empfangsbedingungsinformation 32. Zusätzlich bestimmt die Bestimmungseinheit 22, ob die Empfangszeit der periodischen Nachricht M21 innerhalb des Empfangsbereichs eines Falls liegt, bei welchem die in der Empfangsvorhersage 34 umfasste Empfangsreihenfolge gleich 1 ist. Hier ist der Empfangsbereich der von der Referenznachricht gezählten ersten Nachricht gleich 60 ms bis 140 ms, wie als ein Bereich Z21 in 8 angegeben ist. Die Bestimmungseinheit 22 bestimmt, dass die Empfangszeit der periodischen Nachricht M21 gleich 101 ms ist, was innerhalb des Bereichs Z21 liegt. Entsprechend bestimmt die Bestimmungseinheit 22, dass ein Angriff nicht detektiert wurde.
  • Es sei angenommen, dass bei 240 ms die Übertragung/Empfangseinheit 11 eine periodische Nachricht M22 mit einer ID = 0x123 empfängt. Da die ID der periodischen Nachricht M22 gleich 0x123 ist, bestimmt die Bestimmungseinheit 22, dass die periodischen Nachricht 22 die von der Referenznachricht gezählte zweite Nachricht mit der ID = 0x123 ist. Die Bestimmungseinheit 22 speichert die Empfangszeit der periodischen Nachricht M22 in der Empfangsbedingungsinformation 32. Zusätzlich bestimmt die Bestimmungseinheit 22, ob die Empfangszeit der periodischen Nachricht 22 innerhalb von 160 ms bis 240 ms (ein Bereich Z22 in 8) liegt, welches der Empfangsbereich eines Falls ist, bei welchem die in der Empfangsvorhersage 34 umfasste Empfangsreihenfolge gleich 2 ist. Hier, da die Empfangszeit der periodischen Nachricht M22 gleich 240 ms ist, bestimmt die Bestimmungseinheit 22, dass die von der Referenznachricht gezählte zweite periodische Nachricht M22 innerhalb des Bereichs Z22 empfangen wurde. Entsprechend bestimmt die Bestimmungseinheit 22, dass ein Angriff nicht detektiert wurde.
  • Es sei angenommen, dass bei 301 ms die Übertragung/Empfangseinheit 11 eine periodische Nachricht M23 mit der ID = 0x123 empfängt. Da die ID der periodischen Nachricht M23 gleich 0x123 ist, bestimmt die Bestimmungseinheit 22, dass die periodische Nachricht M23 die von der Referenznachricht gezählte dritte Nachricht mit der ID = 0x123 ist. Die Bestimmungseinheit 22 speichert die Empfangszeit der periodischen Nachricht 23 in der Empfangsbedingungsinformation 32. Aus diesem Grund speichert die Angriffsdetektionsvorrichtung 10 die in 8 bereitgestellte Empfangsbedingungsinformation 32 zu einem Zeitpunkt, bei welchem die periodische Nachricht M23 empfangen ist. Zusätzlich bestimmt die Bestimmungseinheit 22, ob die Empfangszeit der periodischen Nachricht M23 innerhalb 260 ms bis 340 ms (ein Bereich Z23 in 8) liegt, welches der Empfangsbereich eines Falls ist, bei welchem die in der Empfangsvorhersage 34 umfasste Empfangsreihenfolge gleich 3 ist. Hier, da die Empfangszeit der periodischen Nachricht M23 gleich 301 ms ist, bestimmt die Bestimmungseinheit 22, dass die von der Referenznachricht gezählte dritter periodische Nachricht M23 innerhalb des Bereichs Z23 empfangen wurde. Die Bestimmungseinheit 22 bestimmt entsprechend, dass ein Angriff nicht detektiert wurde.
  • 9 ist ein Diagramm, welches ein Beispiel einer Angriffsdetektion erläutert. In dem Beispiel aus 9 speichert die Angriffsdetektionsvorrichtung 10 eine in 7 bereitgestellte Information und überwacht einen Angriff von periodischen Nachrichten mit einer ID = 0x123 auf eine ähnliche Weise. In dem Beispiel in 9 empfängt die Angriffsdetektionsvorrichtung 10 eine periodische Nachricht M20 bei 0 ms und stellt die periodische Nachricht M20 als eine Referenznachricht mit der ID = 0x123 ein.
  • Als Nächstes sei angenommen, dass die Übertragung/Empfangseinheit 11 eine periodische Nachricht M21 mit einer ID = 0x1233101 ms empfängt. Dann wird eine Verarbeitung ausgeführt, welche ähnlich zu der Verarbeitung ist, welche mit Bezug zu 8 als eine Verarbeitung erläutert wurde, wenn die periodische Nachricht M21 empfangen wird, und die Bestimmungseinheit 22 bestimmt, dass ein Angriff nicht detektiert wurde.
  • Es sei angenommen, dass bei 161 ms die Übertragung/Empfangseinheit 22 eine Nachricht AT2 mit einer ID = 0x123 empfängt. Die Nachricht AT2 ist ein Angriff unter Verwendung der ID = 0x123. Da die ID der Nachricht AT2 gleich 0x123 ist, bestimmt die Bestimmungseinheit 22, dass die Nachricht AT2 die von der Referenznachricht gezählte 2. Nachricht mit der ID = 0x123 ist. Die Bestimmungseinheit 22 speichert die Empfangszeit der Nachricht AT2 in der Empfangsbedingungsinformation 32. Zusätzlich bestimmt die Bestimmungseinheit 22, ob die Empfangszeit der Nachricht AT2 innerhalb von 160 ms bis 240 ms (ein Bereich Z22 in 9) liegt, das ist der Empfangsbereich eines Falls, bei welchem die in der Empfangsvorhersage 34 umfassten Empfangsreihenfolge gleich 2 ist. Hier, da die Empfangszeit der Nachricht AT2 gleich 161 ms ist, bestimmt die Bestimmungseinheit 22, dass die von der Referenznachricht gezählte zweite Nachricht AT2 innerhalb des Bereichs 22 empfangen wurde. Die Bestimmungseinheit 22 bestimmt entsprechend, dass ein Angriff nicht detektiert wurde.
  • Es sei angenommen, dass bei 240 ms die Übertragung/Empfangseinheit 11 eine periodische Nachricht M22 mit der ID = 0x123 empfängt. Da die ID der periodischen Nachricht M22 gleich 0x123 ist, bestimmt die Bestimmungseinheit 22, dass die periodischen Nachricht M22 die von der Referenznachricht gezählte 3. Nachricht mit der ID = 0x123 ist. Die Bestimmungseinheit 22 speichert die Empfangszeit der periodischen Nachricht M22 in der Empfangsbedingungsinformation 32. Die Bestimmungseinheit 22 bestimmt, ob die Empfangszeit der periodischen Nachricht M22 innerhalb von 260 ms bis 340 ms (ein Bereich Z23 in 9) liegt, das ist der Empfangsbereich eines Falls, bei welchem die in der Empfangsvorhersage 34 umfasste Empfangsreihenfolge gleich 3 ist. Hier ist die Empfangszeit der periodischen Nachricht in 22 gleich 240 ms und die Bestimmungseinheit 22 bestimmt, dass die von der Referenznachricht gezählte dritte periodische Nachricht M22 nicht innerhalb des Empfangsbereichs Z23 liegt. Die Bestimmungseinheit 22 bestimmt entsprechend, dass ein Angriff detektiert wurde.
  • 10 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung 10 erläutert. Die Berechnungseinheit 21 erfasst eine Übertragungsperiode T und einen Rand einer ID eines Angriffsdetektionsziels von der Übertragungsbedingung 31 (Schritt S11). Wenn die Übertragung/Empfangseinheit 11 die erste periodische Nachricht der Angriffsdetektionsziel ID empfängt, erfasst die Differenzaktualisierungsverarbeitungseinheit 23 die Empfangszeit t0 der Nachricht (Schritt S12). Die Differenzaktualisierungsverarbeitungseinheit 23 speichert die Empfangszeit t0 der Nachricht als die Referenzzeit 33. Die Berechnungseinheit 21 berechnet Empfangsbereiche von n Nachrichten (r(1) bis r(n)) durch Verwenden der im Schritt S11 erfassten Information und der Empfangszeit t0 und stellt eine variable k auf 1 ein (Schritt S13).
  • Als Nächstes, wenn die Übertragung/Empfangseinheit 11 eine Nachricht mit der Angriffsdetektionsziel ID empfängt, stellt die Bestimmungseinheit 22 die Empfangszeit der Nachricht auf t(k) ein (Schritt S14). Die Bestimmungseinheit 22 bestimmt, ob die Empfangszeit t(k) innerhalb r(k) ist (Schritt S15). Wenn die Empfangszeit t(k) innerhalb r(k) ist, detektiert die Bestimmungseinheit 22 keinen Angriff basierend auf der k-te Nachricht (ja im Schritt S15). Dann zählt die Bestimmungseinheit 22 die Variable k um 1 hoch und die Verarbeitung kehrt zum Schritt S14 zurück (Schritt S16).
  • Andererseits, wenn die Empfangszeit t(k) nicht innerhalb r(k) liegt, detektiert die Bestimmungseinheit 22 einen Angriff (Nein im Schritt S15, Schritt S17).
  • Es sei darauf hingewiesen, dass die Bestimmungseinheit 22 nicht bestimmt, welche Nachricht die als ein Angriff übertragenen Nachricht ist, sondern detektiert, das ein Angriff ausgeführt wurde. Mit anderen Worten, wenn ein für einen Angriff verwendeter Frame in periodischen Nachrichten eingemischt ist, ist die Empfangsreihenfolge der empfangenen periodischen Nachrichten, gezählt von einer Referenznachricht, unterschiedlich zu der Empfangsreihenfolge, welche erhalten wird, wenn ein für einen Angriff verwendeter Frame nicht in periodische Nachrichten eingemischt ist. Hier wird bei der Berechnung der Empfangsvorhersage 34, wenn ein für einen Angriff verwendeter Frame nicht umfasst ist, die Empfangsvorhersage 34 durch Verknüpfen des Empfangsbereichs einer jeden der periodischen Nachrichten mit der Empfangsreihenfolge der periodischen Nachricht, gezählt von der Referenznachricht, erhalten. Wenn ein für einen Angriff verwendeter Frame eingemischt ist, nachdem der Angriff ausgeführt ist, ist die Empfangsreihenfolge einer periodischen Nachricht, gezählt von der Referenznachricht, unterschiedlich zu der Empfangsreihenfolge für einen Fall, bei welchem ein Angriff nicht ausgeführt wurde. Aus diesem Grund ist die Empfangszeit einer periodischen Nachricht nicht innerhalb eines Empfangsbereichs, welcher zu der Empfangsreihenfolge der periodischen Nachricht gehört, und im Ergebnis kann die Bestimmungseinheit 22 den Angriff detektieren.
  • 11 ist ein Diagramm, welches ein Beispiel eines Vergleichs zwischen dem Angriffsdetektionsverfahren gemäß der ersten Ausführungsform und einem anderen Detektionsverfahren erläutert. Ein Fall C12 ist ein Beispiel einer Verarbeitung mit dem Angriffsdetektionsverfahren gemäß der ersten Ausführungsform und ein Fall C11 ist ein Beispiel einer Verarbeitung mit einem anderen Angriffsdetektionsverfahren, welches mit dem Angriffsdetektionsverfahren gemäß der ersten Ausführungsform zu vergleichen ist. Es sei angenommen, dass sowohl in dem Fall C11 als auch in C12 eine periodische Nachricht M20, eine periodische Nachricht M21, ein Angriffsframe AT2, eine periodische Nachricht M22 und eine periodische Nachricht M23 als Frames mit einer ID = 0x123 übertragen werden. Darüber hinaus werden in beiden Fällen diese Frames bei den nachstehenden Zeitpunkten empfangen.
    periodische Nachricht M20: 0 ms
    periodische Nachricht M21: 101 ms
    Angriffsframe AT2: 161 ms
    periodische Nachricht M22: 240 ms
    periodische Nachricht M23: 301 ms
    In beiden Fällen wird weiterhin die Übertragungsperiode auf 100 ms eingestellt und der Rand auf 40 ms eingestellt.
  • Es sei angenommen, dass in dem Fall C11, wenn das Intervall zwischen dem Empfangszeiten der 2 Frames gleich oder kürzer als die Übertragungsperioden ± dem Rand ist, eine Bestimmung ausgeführt wird, dass ein Angriff nicht ausgeführt wurde. Die Übertragungsperioden ± dem Rand = 60 ms bis 140 ms. Wenn eine Vorrichtung, welche eine Detektionsverarbeitung ausführt, die periodischen Nachricht M21 empfängt, da die Nachricht 101 ms nach dem Empfang der periodischen Nachricht M20 empfangen wurde und da 60 ms < 101 ms < 140 ms, bestimmt die Vorrichtung, dass ein Angriff nicht ausgeführt wurde.
  • Wenn die Vorrichtung, welche die Detektionsverarbeitung ausführt, den Angriffsframe AT2 empfängt, da der Angriffsframe AT2 60 ms nach dem Empfang der periodischen Nachricht M21 empfangen wurde und da 60 ms ≤ 60 ms < 140 ms, bestimmt die Vorrichtung, dass ein Angriff nicht ausgeführt wurde. Wenn die Vorrichtung, welche eine Detektionsverarbeitung ausführt, die periodischen Nachricht M22 empfängt, da die periodischen Nachricht M2 279 ms nach dem Empfang des Angriffsframes AT2 empfangen wurde und da 60 ms < 79 ms < 140 ms, bestimmt die Vorrichtung, dass ein Angriff nicht ausgeführt wurde. Wenn die Vorrichtung, welche eine Detektionsverarbeitung ausführt, die periodischen Nachricht 23 empfängt, da die periodische Nachricht M23 61 ms nach dem Empfang der periodischen Nachricht M22 empfangen wurde und da 60 ms < 61 ms < 140 ms, bestimmt die Vorrichtung, dass ein Angriff nicht ausgeführt wurde. Wie oben beschrieben, würde mit dem Detektionsverfahren des Falls C11 aufgrund dessen breiten Rahmens ein Angriff unter Verwendung des Angriffsframes AT2 übersehen werden.
  • Bei dem Angriffsdetektionsverfahren gemäß der ersten Ausführungsform, wie bei dem Fall C12, ist die periodischen Nachricht M20 als eine Referenznachricht eingestellt und die nachfolgenden Empfangsbereiche werden vorhergesagt. Aus diesem Grund, wie mit Bezug zu 9 erläutert, wird ein Bereich Z21 als ein Empfangsbereich der von der Referenznachricht gezählten ersten Nachricht berechnet, wird ein Bereich Z22 als ein Empfangsbereich der von der Referenznachricht gezählten zweiten Nachricht berechnet und wird ein Bereich Z23 als ein Empfangsbereich der von der Referenznachricht gezählten dritten Nachricht berechnet. Dann, da der Angriffsframe AT2 als die von der Referenznachricht gezählten zweiten Nachricht behandelt wird und da der Angriffsframe AT2 in dem Bereich Z22 empfangen wird, detektiert die Angriffsdetektionsvorrichtung 10 einen Angriff bei dem Zeitpunkt nicht, bei welchem der Angriffsframe AT2 empfangen wird. Allerdings als ein Ergebnis des Empfangs des Angriffsframes AT2 wird die periodische Nachricht M22 als die von der Referenznachricht gezählte dritte Nachricht behandelt. Daher wird die Empfangszeit der periodischen Nachricht M22 mit der Z23 verglichen, welches der Empfangsbereich der von der Referenznachricht gezählten dritten Nachricht ist. Allerdings ist die Empfangszeit der periodischen Nachricht M22 nicht innerhalb des Bereichs Z23. Folglich kann die Angriffsdetektionsvorrichtung 10 bestimmen, dass ein Angriff unter Verwendung eines Frames mit der ID = 0x123 ausgeführt wurde.
  • Wie oben beschrieben, berechnet die Angriffsdetektionsvorrichtung 10 einen Empfangsbereich einer jeden von mehreren von einer Referenznachricht an gezählten Nachrichten und bestimmt, ob die Empfangszeit jeder der empfangenen Nachrichten innerhalb des Empfangsbereichs liegt, welcher mit der Empfangsreihenfolge der von der Referenznachricht gezählten empfangenen Nachrichten verknüpft ist. Aus diesem Grund, kann selbst mit einem breiten Rand die Angriffsdetektionsvorrichtung 10 detektieren, dass ein Angriff ausgeführt wurde.
  • <Zweite Ausführungsform>
  • Bei der zweiten Ausführungsform wird ein Beispiel eines Falls erläutert, bei welchem die Referenzaktualisierungsverarbeitungseinheit 23 eine Referenznachricht regelmäßig ändert.
  • 12 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahrens gemäß der zweiten Ausführungsform erläutert. 12 stellt ein Beispiel dar, bei welchem ein Empfangsbereich für jede von bis zu 10 Nachrichten, gezählt von einer Referenznachricht, vorhergesagt ist und die von der Referenznachricht gezählte 10. Nachricht als eine neue Referenznachricht eingestellt wird. Mit einer periodischen Referenznachricht berechnet die Berechnungseinheit 21 einen Empfangsbereich für jede der 1. bis 10. Nachrichten. Zu der Zeit ist das Berechnungsverfahren in der Berechnungseinheit 21 identisch zu der mit Bezug zu 8 erläuterten Berechnung. 12 stellt eine Situation dar, bei welcher die 9. Nachricht und die nachfolgenden Nachrichten, gezählt von einer Referenznachricht, empfangen werden. Die von der Referenznachricht gezählte 9. Nachricht ist 31. Die Berechnungseinheit 21 berechnet Z31 als einen Empfangsbereich der von der Referenznachricht gezählten 9. Nachricht. Ähnlich berechnet die Berechnungseinheit 21 Z32 als einen Empfangsbereich der von der Referenznachricht gezählten 10. Nachricht.
  • Jedes Mal, wenn eine Nachricht durch die Übertragung/Empfangseinheit 11 empfangen wird, mit Bezug zu jeder ID, zählt die Referenzaktualisierungsverarbeitungseinheit 23 wie viele Nachrichten seit dem Empfang der Referenznachricht empfangen wurden und findet heraus, welche Nachricht die empfangene Nachricht ist. Wenn ein Empfang der periodischen Nachricht M32, welches die von der Referenznachricht gezählte 10. Nachricht ist, detektiert wird, stellt die Differenzaktualisierungsverarbeitungseinheit 23 die 10. Nachricht als eine neue Referenznachricht ein und aktualisiert die Referenzzeit 33 mit der Empfangszeit der periodischen Nachricht im 32.
  • Wenn die Referenzzeit 33 aktualisiert wird, berechnet die Berechnungseinheit 21 die vorbestimmte Anzahl von Empfangsbereichen durch Verwenden der neuen Referenzzeit 33. Entsprechend berechnet in dem Beispiel aus 12 die Berechnungseinheit 21 Empfangsbereiche von Nachrichten bis zu der von der periodischen Nachricht M32 gezählten 10. Nachricht. Es sei angenommen, dass als ein Beispiel die Berechnungseinheit 21 einen Empfangsbereich der 1. Nachricht, welche von der periodischen Nachricht M32 gezählt ist, welches eine neue Referenznachricht ist, als einen Bereich Z33 und ein Empfangsbereich der von der periodischen Nachricht M32 gezählten 2. Nachricht als einen Bereich Z34.
  • Indessen wird eine neue periodische Nachricht M33 durch die Übertragung/Empfangseinheit 11 empfangen. Die Bestimmungseinheit 22 nimmt die periodischen Nachricht M33 als die 1. Nachricht, gezählt von der periodischen Nachricht M32, welches eine neue Referenznachricht ist, und bestimmt, ob die Empfangszeit innerhalb des Bereichs Z33 liegt. In dem Beispiel aus 12, da die Empfangszeit der periodischen Nachricht M33 innerhalb des Bereichs Z33 liegt, wird ein Angriff zu einem Zeitpunkt nicht detektiert, bei welchem die periodische Nachricht M33 empfangen wird. Als Nächstes wird eine periodische Nachricht M34 durch die Übertragung/Empfangseinheit 11 empfangen. Die Bestimmungseinheit 22 nimmt die periodische Nachricht M34 als die 2. Nachricht, gezählt von der periodischen Nachricht M32, welches eine neue Referenznachricht ist, und bestimmt, ob die Empfangszeit innerhalb des Bereichs Z34 liegt. In dem Beispiel aus 12, da die Empfangszeit der periodischen Nachricht M34 innerhalb des Bereichs Z34 liegt, wird ein Angriff zu einem Zeitpunkt nicht detektiert, bei welchem die periodischen Nachricht M34 empfangen wird. Diese Verarbeitung wird danach ausgeführt.
  • 13 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung 10 erläutert. Die Berechnungseinheit 21 liest eine Übertragungsperiode T und einen Rand M der Angriffsdetektionsziel ID von der Übertragungsbedingung 31 aus und stellt die Anzahl von Nachrichten auf Y ein, welche zu empfangen sind, bis eine Referenznachricht geändert wird (Schritt S21). Wenn die Übertragung/Empfangseinheit 11 die 1. periodische Nachricht der Angriffsdetektionsziel ID empfängt, erfasst die Differenzaktualisierungsverarbeitungseinheit 23 die Empfangszeit t0 der Nachricht (Schritt S22). Die Differenzaktualisierungsverarbeitungseinheit 23 speichert die Empfangszeit t0 der Nachricht als die Referenzzeit 33. Die Berechnungseinheit 21 berechnet Empfangsbereiche von Y Nachrichten (r(1) bis r(Y)) durch Verwenden der im Schritt S21 erfassten Information und der Empfangszeit t0 und stellt eine Variable k auf 1 ein (Schritt S23).
  • Als Nächstes, wenn die Übertragung/Empfangseinheit 11 eine Nachricht mit der Angriffsdetektionsziel ID empfängt, stellt die Bestimmungseinheit 22 die Empfangszeit der Nachricht auf t(k) ein (Schritt S24). Die Bestimmungseinheit 22 bestimmt, ob die Empfangszeit t(k) innerhalb r(k) liegt (Schritt S25). Wenn die Empfangszeit t(k) innerhalb r(k) liegt, detektiert die Bestimmungseinheit 22 einen Angriff basierend auf der k-ten Nachricht nicht (Ja im Schritt S25). Dann bestimmt die Bestimmungseinheit 22, ob die Variable k gleich Y ist (Schritt S26). Wenn die Variable k nicht gleich Y ist, hat die Angriffsdetektionsvorrichtung 10 noch nicht Y Nachrichten empfangen (Nein im Schritt S26). Die Bestimmungseinheit 22 zählt die Variable k um 1 hoch und die Verarbeitung kehrt zum Schritt S24 zurück (Schritt S27).
  • Andererseits, wenn die Variable k gleich Y ist, hat die Angriffsdetektionsvorrichtung 10 Y Nachrichten empfangen (Ja im Schritt S26). Dann stellt die Differenzaktualisierungsverarbeitungseinheit 23 die Empfangszeit t(Y) der Y-ten Nachricht auf die Empfangszeit t0 einer neuen Referenznachricht ein und die Verarbeitung kehrt zum Schritt S23 zurück (Schritt S28).
  • In der zweiten Ausführungsform ebenso wie in der ersten Ausführungsform detektiert, wenn die Empfangszeit t(k) nicht innerhalb r(k) liegt, die Bestimmungseinheit 22 einen Angriff (Nein im Schritt S25, Schritt S29).
  • Wie oben beschrieben werden in der zweiten Ausführungsform Referenznachrichten regelmäßig geändert. Entsprechend können Fehler auf eine vorgegebene Anzahl oder geringer reduziert werden. Beispielsweise, selbst bei einem Fall, bei welchem eine Übertragungsperiode von Nachrichten in der Größenordnung von Mikrosekunden liegt, während die Zeitmessung in der Größenordnung von Millisekunden in der Angriffsdetektionsvorrichtung 10 ausgeführt wird, ist es möglich zu verhindern, dass Fehler angesammelt werden, um eine vorgegebene Menge zu überschreiten. Daher kann verhindert werden, dass Angriffe übersehen werden, oder falsche Detektionen verhindert werden, welche durch eine Ansammlung von Fehlern verursacht werden.
  • <Dritte Ausführungsform>
  • In der dritten Ausführungsform wird eine Verarbeitung in einem Fall erläutert, bei welchem ein Empfangsbereich von einer der zweiten und der nachfolgenden Nachrichten vorhergesagt wird und ein Startpunkt einer Berechnung eines Empfangsbereichs für jede Nachricht geändert wird.
  • 14 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahrens gemäß der dritten Ausführungsform erläutert. In dem Beispiel aus 14 wird ein Beispiel erläutert eines Falls, bei welchen ein Empfangsbereich einer periodischen Nachricht vorhergesagt wird, welche als 3. von einer Empfangsnachricht zu empfangen, erwartet wird, aus den Nachrichten mit derselben ID wie die der empfangenen Nachricht. Es wird darauf hingewiesen, dass in 14 eine periodische Nachricht M41 als eine Referenznachricht eingestellt ist.
  • Wenn die Übertragung/Empfangseinheit 11 die periodischen Nachricht im 41 empfängt, berechnet die Berechnungseinheit 21 einen Empfangsbereich einer periodischen Nachricht, welche als eine 3. von der periodischen Nachricht M41 zu empfangende erwartet wird. Das Berechnungsverfahren des Empfangsbereichs ist identisch zu dem der ersten Ausführungsform. Das Beispiel aus 14 nimmt an, dass die Berechnungseinheit 21 Z44 als einen Empfangsbereich einer periodischen Nachricht berechnet, welche erwartet wird, als 3. von der periodischen Nachricht M41 empfangen zu werden. Die Berechnungseinheit 21 speichert das Berechnungsergebnis als die Empfangsvorhersage 34. Zu diesem Zeitpunkt wird Z44 als eine Empfangsvorhersage einer Nachricht gespeichert, welche erwartet wird, als eine 3. von der Referenznachricht empfangen zu werden. Indessen führt die Bestimmungseinheit 22 die Bestimmungsverarbeitung nicht aus, da die Empfangsvorhersage, welche für eine Bestimmung der periodischen Nachricht 41 verwendet wird, nicht erhalten ist.
  • Als Nächstes sei angenommen, dass die Übertragung/Empfangseinheit 11 einen Angriffsframe AT3 empfängt. In diesem Fall, da der Angriffsframe AT3 eine Verarbeitungsziel-ID umfasst, wird der Angriffsframe AT3 als die von einem Referenzframe gezählte erste periodische Nachricht behandelt. Der Referenzframe wird ebenso als die Referenznachricht bezeichnet. Die Berechnungseinheit 21 berechnet Z45 als einen Empfangsbereich einer periodischen Nachricht, welche als eine 3. in der Empfangsreihenfolge, gezählt von dem Angriffsframe AT3, empfangen zu werden, erwartet wird, und speichert Z45 in der Empfangsvorhersage 34. Zu diesem Zeitpunkt wird Z45 als eine Empfangsvorhersage nähern von der Referenznachricht gezählten 4. Nachricht gespeichert. In diesem Fall führt die Bestimmungseinheit 22 ebenso nicht die Bestimmungsverarbeitung aus, da eine Empfangsvorhersage, welche für eine Bestimmung da der Angriffsframe AT3 durch die Angriffsdetektionsvorrichtung 10 empfangen ist, nachdem der Referenzframe empfangen wurde, wird die periodischen Nachricht 42 als die von dem Referenzframe gezählte 2. periodischen Nachricht behandelt. Die Berechnungseinheit 21 berechnet Z46 als einen Empfangsbereich einer periodischen Nachricht, welche erwartet wird, als eine 3. in der Empfangsreihenfolge, gezählt von der periodischen Nachricht M42, empfangen zu werden, und speichert Z46 in der Empfangsvorhersage 34. Der Empfangsbereich (Z46), welche auf der Basis der periodischen Nachricht 42 berechnet ist, wird als eine Empfangsvorhersage der von der Referenznachricht gezählten 5. Nachricht gespeichert, da die periodischen Nachricht M42 als die von dem Referenzframe gezählte 2. periodischen Nachricht behandelt wird. Die Bestimmungseinheit 22 führt die Bestimmungsverarbeitung nicht aus, da eine Empfangsvorhersage, welche für eine Bestimmung der periodischen Nachricht M42 verwendet wird, nicht erhalten ist.
  • Die Übertragung/Empfangseinheit 11 empfängt eine periodische Nachricht M43. Hierbei, da jede der periodischen Nachricht M41, des Angriffsframes AT3, der periodischen Nachricht M42 und der periodischen Nachricht M43 die Angriffsdetektionsziel-ID umfasst, behandelt die Bestimmungseinheit 22 die periodischen Nachricht M43 als die von der Referenznachricht gezählte 3. periodischen Nachricht. Folglich bestimmt die Bestimmungseinheit 22, ob die Empfangszeit der periodischen Nachricht M43 innerhalb des Bereichs Z44 liegt. In dem Beispiel aus 14, da die Empfangszeit der periodischen Nachricht M43 nicht innerhalb des Bereichs Z44 liegt, kann die Bestimmungseinheit 22 einen Angriff detektieren.
  • 15 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung 10 erläutert. Die Berechnungseinheit 21 stellt eine Variable i auf 0 ein (Schritt S41). Bezüglich Nachrichten mit einer Verarbeitungsziel ID stellt die Berechnungseinheit 21 eine Übertragungsperiode, einen Rand und eine Anzahl von Nachrichten Z ein, welches die Anzahl der Nachrichten von einer empfangenen Nachricht bis zu der Nachricht ist, zum Berechnen einer Empfangsvorhersage durch Verwenden der Übertragungsbedingung 31 (Schritt S42). Wenn eine Nachricht durch die Übertragung/Empfangseinheit 11 empfangen wird, steht die Berechnungseinheit 21 die Empfangszeit der Nachricht auf t(i) ein (Schritt S43). Die Berechnungseinheit 21 berechnet einen Empfangsbereich r(i + Z) der i + Z-ten Nachricht (Schritt S44). Im Schritt S44 ist r(i + Z) einen Bereich von t(i) + (T × Z) – M bis t(i) + (T × Z) + M.
  • Die Bestimmungseinheit 22 bestimmt, ob die Variable i gleich Z oder größer ist (Schritt S45). Wenn die Variable i geringer als Z ist, zählt die Bestimmungseinheit 22 die Variable i um 1 hoch und die Verarbeitung kehrt zu Schritt S43 zurück (Nein im Schritt S45, Schritt S47).
  • Wenn die Variable i gleich oder größer als Z ist, bestimmt die Bestimmungseinheit 22, ob t(i) innerhalb des Empfangsbereichs r(i) ist (Ja im Schritt S45, Schritt S46). Wenn t(i) innerhalb des Empfangsbereichs r(i) ist, zählt die Bestimmungseinheit 22 die Variable i um 1 hoch und die Verarbeitung kehrt zu Schritt S43 zurück (Ja im Schritt S46, Schritt S47). Andererseits, wenn t(i) und nicht innerhalb des Empfangsbereichs r(i) ist, detektiert die Bestimmungseinheit 22, dass ein Angriff ausgeführt wurde (Nein im Schritt S46, Schritt S48).
  • Bei der dritten Ausführungsform gibt es Y Nachrichten, welche der Startpunkt einer Berechnung eines Empfangsbereichs sind, und eine Nachricht, welches der Startpunkt einer Berechnung eines Empfangsbereich ist, wird jedes Mal aktualisiert, wenn eine Nachricht empfangen wird. Entsprechend der zweiten Ausführungsform können Fehler auf eine vorgeschriebene Anzahl oder weniger in der dritten Ausführungsform reduziert werden.
  • <Vierte Ausführungsform>
  • In der vierten Ausführungsform wird, falls ein Empfangsbereich einer Nachricht, welche nach einem Empfang einer vorgegebenen Anzahl von Nachrichten empfangen ist, gezählt von einer Referenznachricht, in der Berechnungseinheit 21 vorhergesagt wird und einen Empfangsbereich einer auf die Differenznachricht nachfolgenden Nachricht berechnet wird, eine Verarbeitung erläutert.
  • 16 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahrens gemäß der vierten Ausführungsform erläutert. Wenn die Übertragung/Empfangseinheit 11 eine periodische Nachricht M51 empfängt, bestimmt die Berechnungseinheit 21 die periodischen Nachricht M51 als eine Referenznachricht.
  • Die Berechnungseinheit 21 berechnet die Empfangsbereiche der 2. und der nachfolgenden periodischen Nachrichten, gezählt von der periodischen Nachricht M51. Das Berechnungsverfahren des Empfangsbereichs ist dasselbe wie der ersten Ausführungsform. In dem Beispiel aus 16 wird angenommen, dass die Berechnungseinheit 21Z53 als einen Empfangsbereich der 2. periodischen Nachricht, gezählt von der periodischen Nachricht M51, berechnet und Z54 als einen Empfangsbereich der 3. periodischen Nachricht, gezählt von der periodischen Nachricht M51, berechnet. Die Berechnungseinheit 21 speichert das Berechnungsergebnis als die Empfangsvorhersage 34. Zu diesem Zeitpunkt wird Z53 als ein Empfangsbereich der 2. Nachricht, gezählt von der Referenznachricht, gespeichert und Z54 als ein Empfangsbereich der 3. Nachricht, gezählt von der Referenznachricht, gespeichert. Indessen führt die Bestimmungseinheit 22 die Bestimmungsverarbeitung nicht aus, da ein für eine Bestimmung der periodischen Nachricht M51 verwendete Empfangsbereich nicht erhalten ist.
  • Als Nächstes sei angenommen, dass die Übertragung/Empfangseinheit 11 einen Angriffsframe AT4 empfängt. Da der Angriffsframe AT4 eine Verarbeitungsziel ID umfasst, behandelt die Bestimmungseinheit 22 den Angriffsframe AT4 als die 1. periodische Nachricht, gezählt von der Referenznachricht M51. In diesem Fall führt die Bestimmungseinheit 22 die Bestimmungsverarbeitung ebenso nicht aus, da ein für eine Bestimmung des Angriffsframes AT4 verwendete Empfangsbereich nicht erhalten ist.
  • Es sei angenommen, dass die Übertragung/Empfangseinheit 11 danach eine periodische Nachricht M52 empfängt. Da die periodischen Nachricht M52 eine Verarbeitungsziel-ID umfasst, behandelt die Bestimmungseinheit 22 die periodische Nachricht M52 als die 2. periodische Nachricht, gezählt von der Referenznachricht M51. Durch Verwenden der Empfangsvorhersage 34 erfasst die Bestimmungseinheit 22 den als Z53 angegebenen Bereich als den Bereich, welcher zum Empfangen der 2. periodischen Nachricht, gezählt von der Referenznachricht M51, vorhergesagt ist. Hierbei liegt der Empfangszeitpunkte der periodischen Nachricht M52, welche als die 2. periodische Nachricht, gezählt von der Referenznachricht M51, bestimmt ist, nicht in den als Z53 angegebenen Bereich. Folglich kann die Bestimmungseinheit 22 detektieren, dass ein Angriff ausgeführt wurde.
  • Wie oben erläutert wird bei der vierten Ausführungsform ein Empfangsbereich einer periodischen Nachricht, welche auf eine Referenznachricht folgt, nicht berechnet. Aus diesem Grund wird im Vergleich zu der ersten Ausführungsform eine Verarbeitungslast an der Berechnungseinheit 21 in der vierten Ausführungsform reduziert. Zusätzlich kann im Vergleich zu der ersten Ausführungsform eine Speicherkapazität zum Speichern der Empfangsvorhersage 34 reduziert werden.
  • <Fünfte Ausführungsform>
  • In der fünften Ausführungsform wird eine Erläuterung eines Falls gegeben, bei welchem die Startzeit eines Empfangsbereichs einer jeden periodischen Nachricht berechnet wird, allerdings die Endzeit des Empfangsbereichs nicht eingestellt wird.
  • 17 ist ein Diagramm, welches ein Beispiel des Angriffsdetektionsverfahrens gemäß der fünften Ausführungsform erläutert. Wenn die Übertragung/Empfangseinheit 11 eine periodische Nachricht M61 empfängt, bestimmt die Berechnungseinheit 21 die periodischen Nachricht M61 als eine Referenznachricht.
  • Die Berechnungseinheit 21 berechnet die Startzeit eines Empfangsbereichs von periodischen Nachrichten, welche nachfolgend zu der periodischen Nachricht M61 empfangen werden. Die Startzeit Ts(n) des Empfangsbereichs der n-ten periodischen Nachricht wird durch die nachstehende Gleichung berechnet. Ts(n) = T0 + n × T – M Hierbei ist T0 die Empfangszeit einer Referenznachricht, ist T eine Übertragungsperiode der periodischen Nachrichten und ist M ein Rand
  • In 17 werden vertikale Linien vorgesehen, um T0 + n × T anzugeben, wobei n = 1 bis 3 ist, um das Diagramm übersichtlicher zu gestalten. In dem Fall aus 17, wenn die n-te Nachricht von Nachrichten mit ID = 0x123, gezählt von einer Referenznachricht, bei T0 + n × T – M oder danach empfangen wird, bestimmt die Bestimmungseinheit 22, dass ein Angriff durch die Nachrichten bis zu der n-ten Nachricht von der Referenznachricht nicht ausgeführt wurde.
  • In der nachstehenden Beschreibung wird ein Fall als ein Beispiel erläutert, bei welchem n = 2 ist. Es sei angenommen, dass die Berechnungseinheit 21 einen Angriffsframe AT5 als die erste periodische Nachricht M61 bei T0 + t1 empfängt. Hierbei umfasste der Angriffsframe AT5 ID = 0x123. Die Bestimmungseinheit 22 behandelt den Angriffsframe AC 5 dann als die 1. periodischen Nachricht mit ID = 0x123, gezählt von der Referenznachricht. Zu diesem Zeitpunkt bestimmt die Bestimmungseinheit 22 nicht, ob ein Angriff ausgeführt wurde, da die n-te Nachricht mit ID = 0x123, gezählt von der Referenznachricht, noch nicht empfangen wurde.
  • Als Nächstes sei angenommen, dass eine periodische Nachricht M62 nach t2 von einem Empfang des Angriffsframes AT5 empfangen wird. In diesem Fall, da der Angriffsframe AT5 und die periodischen Nachricht M62, wobei beide eine ID = 0x123 aufweisen, nachdem Referenzframe M61 empfangen wurde, behandelt die Bestimmungseinheit 22 die periodischen Nachricht M62 als die 2. periodischen Nachricht, gezählt von der Referenznachricht M61. Aus diesem Grund bestimmt die Bestimmungseinheit 22, ob die Empfangszeit der periodischen Nachricht M62 gleich T0 + n × T – M, welches die Startzeit des Empfangsbereichs der 2. periodischen Nachricht ist, oder danach. In dem Beispiel aus 17 ist die Empfangszeit der periodischen Nachricht M62 gleich T0 + T, welches vor der Startzeit (T0 + 2T – M) des Empfangsbereich der 2. periodischen Nachricht ist. Daher bestimmt zu dem Zeitpunkt, bei welchem die periodischen Nachricht M62 empfangen wird, die Bestimmungseinheit 22, dass ein Angriff bei einem Punkt bis jetzt ausgeführt wurde. Es wird darauf hingewiesen, dass in 17 ein Fall als ein Beispiel erläutert ist, bei welchem n = 2 ist, allerdings dies lediglich ein Beispiel ist. Mit anderen Worten kann n eine beliebige ganze Zahl sein, welche gleich oder größer als zwei ist.
  • 18 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung 10 erläutert. Die Berechnungseinheit 21 steht eine Variable i auf 0 ein (Schritt S61). Bezüglich Nachrichten mit einer Verarbeitungsziel ID stellt die Berechnungseinheit 21 eine Übertragungsperiode T, einen Rand M und eine Anzahl X ein, welches die Anzahl von Nachrichten von einer empfangenen Nachricht bis zu der Nachricht ist, zum Berechnen einer Empfangsvorhersage durch Verwenden der Übertragungsbedingung 31 (Schritt S62). Wenn eine Nachricht durch die Übertragung/Empfangseinheit 11 empfangen wird, stellt die Berechnungseinheit 21 die Empfangszeit der Nachricht auf t(i) ein (Schritt S63). Die Berechnungseinheit 21 berechnet die Startzeit r(i + X) eines Empfangsbereichs der X-ten Nachricht, welche nach der empfangenen Nachricht zu empfangen ist (Schritt S64). Im Schritt S64 verwendet die Berechnung eine Gleichung r(i + X) = t(i) + (T × X) – M.
  • Die Bestimmungseinheit 22 bestimmt, ob die Variable i gleich X oder größer ist (Schritt S65). Wenn die Variable i geringer als X ist, zählt die Bestimmungseinheit 22 die Variable i um 1 hoch und die Verarbeitung kehrt zum Schritt S63 zurück (Nein im Schritt S65, Schritt S67).
  • Mit wenn die Variable i gleich oder größer als X ist, bestimmt die Bestimmungseinheit 22, ob t(i) die Startzeit r(i) des Empfangsbereichs oder später ist (Ja im Schritt S65, Schritt S66). Wenn t(i) die Startzeit r(i) des Empfangsbereichs oder später ist, zählt die Bestimmungseinheit 22 die Variable i um 1 hoch und die Verarbeitung kehrt zum Schritt S63 zurück (Ja im Schritt S66, Schritt S67). Andererseits, wenn t(i) nicht die Startzeit r(i) des Empfangsbereichs oder später ist, detektiert die Bestimmungseinheit 22, dass ein Angriff ausgeführt wurde (Nein im Schritt S66, Schritt S68).
  • In der fünften Ausführungsform, obwohl die Startzeit eines Empfangsbereichs einer nach einer Referenznachricht empfangenen Nachricht berechnet wird, wird die Endzeit nicht berechnet. Aus diesem Grund wird im Vergleich zu der ersten Ausführungsform eine Verarbeitungslast an der Berechnungseinheit 21 in der fünften Ausführungsform reduziert. Zusätzlich kann im Vergleich zu der ersten Ausführungsform eine Speicherkapazität zum Speichern der Empfangsvorhersage 34 reduziert werden.
  • <Sechste Ausführungsform>
  • Wie bei der sechsten Ausführungsform wird eine Ausführungsform erläutert, bei welcher, selbst wenn die Empfangszeit einer Nachricht nicht innerhalb eines mit der Empfangsreihenfolge verknüpften Empfangsbereichs ist, die Empfangsreihenfolge, gezählt von einer Referenznachricht, nicht hochgezählt wird.
  • 19 ist ein Diagramm, welches ein Beispiel einer Angriffsdetektion erläutert. In dem Beispiel aus 19 überwacht die Angriffsdetektionsvorrichtung 10 ebenso die in 7 vorgesehene Information und überwacht einen Angriff auf periodische Nachrichten mit ID = 0x123. In 19 sei angenommen, dass die Angriffsdetektionsvorrichtung 10 eine periodische Nachricht M713 0 ms empfängt und die periodischen Nachricht M71 als eine Referenznachricht der Nachrichten mit ID = 0x123 einstellt. Entsprechend der mit Bezug zu 7 erläuterten Verarbeitung erzeugt die Berechnungseinheit 21 eine Empfangsvorhersage 34 der periodischen Nachrichten mit ID = 0x123 (7) durch Verwenden der Empfangszeit der periodischen Nachricht M71 als eine Referenz.
  • Als Nächstes sei angenommen, dass die Übertragung/Empfangseinheit 11 eine periodische Nachricht M72 mit ID = 0x1233101 ms empfängt. Da die ID der periodischen Nachricht M72 gleich 0x123 ist, nimmt die Bestimmungseinheit 22 an, dass die periodischen Nachricht M72 die 1. Nachricht der Nachrichten mit ID = 0x123 ist, gezählt von der Referenznachricht. Die Bestimmungseinheit 22 bestimmt, ob die Empfangszeit der periodischen Nachricht M72 innerhalb eines Empfangsbereichs ist, falls die Empfangsreihenfolge 1 in der Empfangsvorhersage 34 ist. In 19 ist der Empfangsbereich der 1. Nachricht, gezählt von der Referenznachricht, wenn als ein Bereich Z72 oder die Empfangsvorhersage 34 (7) angegeben ist, gleich 60 ms bis 140 ms. Da die Empfangszeit der periodischen Nachricht gleich 101 ms ist, bestimmt die Bestimmungseinheit 22, dass die Empfangszeit der periodischen Nachricht M72 innerhalb des Bereichs Z72 ist. Die Bestimmungseinheit 22 bestimmt dann, dass ein Angriff nicht detektiert wurde, und speichert die Empfangszeit der periodischen Nachricht M72 in der Empfangsbedingungsinformation 32.
  • Als Nächstes sei angenommen, dass die Übertragung/Empfangseinheit 11 eine Nachricht mit ID = 0x123 bei 161 ms empfängt und die Nachricht AT5 einen Angriff mittels ID = 0x123 ist. Da die ID der Nachricht AT5 gleich 0x123 ist, nimmt die Bestimmungseinheit 22 an, dass die Nachricht AT5 die 2. Nachricht mit ID = 0x123 ist, gezählt von der Referenznachricht. Die Bestimmungseinheit 22 bestimmt dann, ob die Empfangszeit der Nachricht AT5 innerhalb von 160 ms bis 240 ms ist (ein Bereich Z73 in 19), das heißt der Empfangsbereich, falls die Empfangsreihenfolge in der Empfangsvorhersage 34 gleich 2 ist. Hierbei, da die Empfangszeit der Nachricht AT5 gleich 161 ms ist, bestimmt die Bestimmungseinheit 22, dass die 2. Nachricht AT5, gezählt von der Referenznachricht, innerhalb des Bereichs Z73 empfangen wurde. Dann bestimmt die Bestimmungseinheit 22, dass ein Angriff nicht detektiert wurde, und speichert die Empfangszeit der Nachricht AT5 in der Empfangsbedingungsinformation 32. Entsprechend wird in dem Beispiel aus 19 zu dem Zeitpunkt, bei welchem die Nachricht AT5 empfangen wird, die nachstehende Information als die Empfangsbedingungsinformation 32 gespeichert.
    Empfangszeit von Referenznachricht (Empfangsreihenfolge = 0): 0 ms
    Empfangszeit von periodischer Nachricht der Empfangsreihenfolge = 1: 101 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 2: 161 ms
  • Es wird darauf hingewiesen, dass die Empfangsreihenfolge einer periodischen Nachricht in der Empfangsbedienungsinformation auf der Basis einer Referenznachricht berechnet wird. Die als eine periodische Nachricht der Empfangsreihenfolge = 2 gespeicherte Empfangszeit ist die Empfangszeit der für einen Angriff verwendeten Nachricht AT5.
  • Es sei angenommen, dass die Übertragung/Empfangseinheit 11 eine periodische Nachricht M73 mit ID = 0x1233240 ms empfängt. Da die ID der periodischen Nachricht M73 gleich 0x123 ist, nimmt die Bestimmungseinheit 22 an, dass die periodischen Nachricht M73 die 3. Nachricht der Nachrichten mit ID = 0x123 ist, gezählt von der Referenznachricht. Die Bestimmungseinheit 22 bestimmt, ob die Empfangszeit der periodischen Nachricht 73 innerhalb von 260 ms bis 340 ms ist (ein Bereich Z74 in 19), das heißt der Empfangsbereich, falls die Empfangsreihenfolge gleich 3 in der Empfangsvorhersage 34 ist. Hierbei, da die Empfangszeit der periodischen Nachricht M73 gleich 240 ms ist, bestimmt die Bestimmungseinheit 22, dass die Empfangszeit der 3. periodischen Nachricht M73, gezählt von der Referenznachricht, nicht innerhalb des Empfangsbereichs 74 ist. Dann bestimmt die Bestimmungseinheit 22, dass ein Angriff detektiert wurde.
  • Die Bestimmungseinheit 22 kann eine Benachrichtigungsnachricht angemessen erzeugen, um eine durch einen Operator betriebene Vorrichtung und so weiter über die Detektion eines Angriffs zu benachrichtigen. Wenn die Detektion eines Angriffs gemeldet wird, überträgt die Bestimmungseinheit 22 die erzeugte Nachricht an eine benachrichtigte Partei über die Übertragung/Empfangseinheit 11.
  • Wenn ein Angriff detektiert ist, wird angenommen, dass irgendeine der periodischen Nachricht M73, welche aktuellen empfangen ist, und der zuvor empfangenen Nachrichten eine Angriffsnachricht ist. Unter Berücksichtigung davon, wenn die Als Nächstes empfangene Nachricht eine periodische Nachricht ist, ist die Nachricht die 3. periodischen Nachricht, gezählt von der Referenznachricht. Die Bestimmungseinheit 22 ändert daher die Empfangsreihenfolge der als nächstes zu empfangenden Nachricht nicht, um die Angriffsbestimmung an den nachfolgenden Nachrichten weiterzuführen. Da die Empfangsreihenfolge, gezählt von der Referenznachricht nicht geändert wird, speichert die Bestimmungseinheit 22 die Empfangszeit der periodischen Nachricht M73 nicht in der Empfangsbedingungsinformation 32. Aus diesem Grund bietet die Empfangsbedingungsinformation 32 die nachstehende Information bei.
    Empfangszeit von Referenznachricht (Empfangsreihenfolge = 0): 0 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 1: 101 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 2: 161 ms
  • Danach sei angenommen, dass die Übertragung/Empfangseinheit 11 eine periodische Nachricht M74 mit ID = 0x1233301 ms empfängt. Da die ID der periodischen Nachricht M74 gleich 0x123 ist und die Empfangsbedingungsinformation 32 Aufzeichnungen bis zu einer Nachricht Empfangsreihenfolge = 2 aufweist, nimmt die Bestimmungseinheit an, dass die periodischen Nachricht M74 die 3. Nachricht mit ID = 0x123 ist, gezählt von der Referenznachricht. Die Bestimmungseinheit 22 bestimmt, ob die Empfangszeit der periodischen Nachricht M74 innerhalb von 260 ms bis 340 ms ist (ein Bereich Z74 in 19) das heißt ein Empfangsbereich falls die Empfangsreihenfolge gleich 3 in der Empfangsvorhersage 34 ist. In dem Fall aus 19, da die Empfangszeit der periodischen Nachricht M74 gleich 301 ms ist, bestimmt die Bestimmungseinheit 22, dass die 3. periodische Nachricht M74, gezählt von der Referenznachricht, innerhalb des Bereichs Z74 empfangen wurde. Die Bestimmungseinheit 22 bestimmt entsprechend, dass ein Angriff nicht detektiert wurde.
  • Die Bestimmungseinheit 22 speichert die Empfangszeit der periodischen Nachricht M74 in der Empfangsbedingungsinformation 32. Die Angriffsdetektionsvorrichtung 10 speichert daher die nachstehende Empfangsbedienungsinformation 32 bei dem Zeitpunkt, bei welchem die periodischen Nachricht M74 empfangen wurde.
    Empfangszeit von Referenznachricht (Empfangsreihenfolge = 0): 0 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 1: 101 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 2: 161 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 3: 301 ms
  • Wie oben beschrieben kann in der sechsten Ausführungsform, obwohl nicht bestimmt wird, welche Nachricht für einen Angriff verwendet wurde, ein Angriff detektiert werden. Darüber hinaus kann in der sechsten Ausführungsform, da ein Hochzählen der Empfangsreihenfolge zeitweise ausgesetzt wird, wenn ein Angriff detektiert wird, selbst obwohl periodische Nachrichten aufeinanderfolgend empfangen sind, nachdem ein Angriff ausgeführt wurde, eine Angriffsdetektion beibehalten werden, ohne eine Referenznachricht oder die Empfangsreihenfolge zurückzusetzen.
  • Die mit Bezug zu 19 erläuterte Verarbeitung ist lediglich ein Beispiel und daher kann die Verarbeitung in Abhängigkeit von der Umsetzung geändert werden. Beispielsweise kann eine Aufzeichnung eines Empfangs von Nachrichten, verwendet für eine Angriffsdetektion, in der Empfangsbedingungsinformation 32 zusammen mit dem Bestimmungsergebnis davon umfasst sein, ob die Empfangszeit einer jeden Nachricht innerhalb eines Empfangsbereichs der Empfangsreihenfolge ist. In diesem Fall, wie in 19 als ein Beispiel dargestellt, ist die Empfangsbedingungsinformation 32 wie nachstehend, wenn die Nachrichten M71 und 72, die Angriffsnachricht AT5 und die Nachricht M73 empfangen werden.
    Empfangszeit von Referenznachricht (Empfangsreihenfolge = 0): 0 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 1: 101 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 2: 161 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 3: 240 ms (Bestimmungsergebnis ist NG)
  • Obwohl die Empfangsbedingungsinformation 32 eine Aufzeichnung einer Nachricht Empfangsreihenfolge = 3 umfasst, wenn die Nachricht M74 empfangen wurde, war das Bestimmungsergebnis NG. Daher behandelt die Bestimmungseinheit 22 die Nachricht M74 als eine periodische Nachricht der Empfangsreihenfolge = 3. Folglich wird das Bestimmungsergebnis der Nachricht M74 ein OK und die Empfangsbedingungsinformation 32 wird wie folgt aktualisiert.
    Empfangszeit von Referenznachricht (Empfangsreihenfolge = 0): 0 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 1: 101 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 2: 161 ms
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 3: 240 ms (Bestimmungsergebnis ist NG)
    Empfangszeit von periodischen Nachricht von Empfangsreihenfolge = 3: 301 ms
  • Die nachfolgende Verarbeitung ist dieselbe wie die Verarbeitung in dem Fall, bei welchem eine Aufzeichnung eines Empfangs von Nachrichten, verwendet für eine Angriffsdetektionen, nicht in der Empfangsbedingungsinformation 32 umfasst ist.
  • In 19 wird ein Fall erläutert, bei welchem ein einzelner Angriff nach periodischen Nachrichten detektiert wird. Allerdings kann die Frequenz einer Angriffsdetektion beliebig eingestellt sein. In der Ausführungsform ist ein Fall, bei welchem eine Empfangszeit innerhalb eines Empfangsbereichs der angenommenen Empfangsreihenfolge ist, als „OK” dargestellt und ein Fall, bei welchem eine Empfangszeit nicht innerhalb eines Empfangsbereichs der angenommenen Empfangsreihenfolge ist, als „NG” dargestellt. Es sei angenommen, dass das Bestimmungsergebnis der Bestimmungseinheit 22 OK, NG, NG, NG wird. Wie mit Bezug zu 19 erläutert, wird die Empfangsreihenfolge nicht hochgezählt, solange NG in der Bestimmung erhalten wird. Aus diesem Grund werden alle Nachrichten von der 2. Nachricht (die 1. Nachricht, welche als NG bestimmt ist) bis zu der 4. Nachricht, welche die Angriffsdetektionsvorrichtung 10 empfängt, als die 2. periodische Nachricht angenommen. Zusätzlich, da die 4. Nachricht als NG bestimmt ist, wird die durch die Angriffsdetektionsvorrichtung 10 empfangene 5. Nachricht ebenso als die 2. periodische Nachricht durch die Bestimmungseinheit 22 angenommen. Daher, wenn die 5. Nachricht eine innerhalb des vorhergesagten Bereichs empfangene periodische Nachricht ist, kann das Bestimmungsergebnis OK, NG, NG, NG, OK sein.
  • 20 ist ein Flussdiagramm, welches ein Beispiel der Verarbeitung der Angriffsdetektionsvorrichtung 10 erläutert. In 20 werden eine Konstante n und eine Variable k verwendet. Die Konstante n ist die Anzahl von durch die Berechnungseinheit 21 berechneten Empfangsbereichen. Die Variable k ist eine Variable, welche zum Zählen der Empfangsreihenfolge von periodischen Nachrichten verwendet wird. Die Verarbeitung in den Schritten S81 bis S85 ist identisch zu der Verarbeitung in den Schritten S11 bis S15, welche mit Bezug zu 10 erläutert sind.
  • Wenn die Empfangszeit t(k) innerhalb r(k) ist, detektiert die Bestimmungseinheit 22 einen Angriff basierend auf der k-ten Nachricht nicht (Ja im Schritt S85). Die Bestimmungseinheit 22 bestimmt dann, ob die Variable k gleich oder größer als die Konstante n ist (Schritt S86). Wenn die Variable k geringer als die Konstante n ist, hat die Angriffsdetektionsvorrichtung 10 nicht n Nachrichten empfangen (nein in Schritt S86). Die Bestimmungseinheit 22 zählt die Variable k um 1 hoch und die Verarbeitung kehrt zum Schritt S84 zurück (Schritt S87).
  • Andererseits, wenn die Variable k gleich oder größer als die Konstante n ist, hat die Angriffsdetektionsvorrichtung 10 n Nachrichten empfangen (Ja im Schritt S86). Die Referenzaktualisierungsverarbeitungseinheit 23 stellt die Empfangszeit t(k) der k-ten Nachricht auf die Empfangszeit t0 der Referenznachricht ein und die Verarbeitung kehrt zum Schritt S83 zurück (Schritt S88).
  • Indessen, wenn die Empfangszeit t(k) nicht innerhalb r(k) ist, detektiert die Bestimmungseinheit 22 einen Angriff (Nein im Schritt S85, Schritt S89). Die Bestimmungseinheit 22 führt eine Verarbeitung einer Angriffsdetektionsbenachrichtigung angemessen aus und danach kehrt die Verarbeitung zum Schritt S84 zurück. Das heißt, wenn die Bestimmung Nein im Schritt S85 ist, wird die Empfangsreihenfolge hochgezählt. Mit anderen Worten wird die Empfangsreihenfolge der empfangenen Nachrichten zeitweise zu dem Zeitpunkt ungültig, bei welchem ein Angriff detektiert ist.
  • 20 ist lediglich ein Beispiel und die Verfahren können in Abhängigkeit von der Umsetzung geändert werden. Beispielsweise, wenn die Variable k gleich oder größer als die Konstante n ist (Ja im Schritt S86), können die Verfahren derart geändert werden, dass die Verarbeitung zum Schritt S82 zurückkehrt, ohne die Verarbeitung im Schritt S88. Wenn eine solche Modifikation angewendet wird, wird, nachdem n Nachrichten durch die Angriffsdetektionsvorrichtung 10 empfangen sind, eine als Nächstes zu empfangende Nachricht als eine Referenz eingestellt und eine Angriffsdetektion wird ausgeführt.
  • Weiter, wie mit Bezug zu 20 erläutert, wenn die Empfangsreihenfolge von periodischen Nachrichten mittels der Variable k gezählt wird, kann die Bestimmungseinheit 22 die Empfangsreihenfolge unter Verwendung der Variablen k bestimmen, ohne auf die Empfangsbedienungsinformation 32 Bezug zu nehmen, welche mit Bezug zu 19 erläutert ist. In diesem Fall kann eine Modifikation derart ausgeführt werden, dass die Empfangsbedienungsinformation 32 nicht erzeugt wird.
  • In der sechsten Ausführungsform schließt zu einem Zeitpunkt, bei welchem ein Angriff detektiert wird, die Bestimmungseinheit 22 die Abweichung von der Empfangsreihenfolge aus, welche durch Empfang einer Nachricht erzeugt ist, verwendet für den detektierten Angriff, durch zeitweises ungültig machen der Empfangsreihenfolge von empfangenen Nachrichten. Entsprechend kann in der sechsten Ausführungsform, nachdem ein Angriff detektiert ist, eine Detektion des nachfolgenden Angriffs, welcher als eine periodische Nachricht erscheint, beibehalten werden, da die Abweichung von der Empfangsreihenfolge von periodischen Nachrichten aufgrund einer für den detektierten Angriff verwendeten Nachricht ausgeschlossen ist.
  • <Anderes>
  • Es sei darauf hingewiesen, dass die Ausführungsformen nicht auf die oben bereitgestellten beschränkt sind, sondern verschiedene Modifikationen übernommen werden können. Einige Beispiele von solchen Modifikationen werden nachstehend bereitgestellt.
  • Beispielsweise ist in 8 ein Fall erläutert, bei welchem Empfangsbereiche von mehreren Nachrichten kollektiv berechnet werden und in der Empfangsvorhersage 34 gespeichert werden. Allerdings kann nur ein Empfangsbereich von einer der 2. und der nachfolgenden Nachrichten, welche ähnliche Weise empfangen werden, in der Empfangsvorhersage 34 gespeichert werden. In diesem Fall, wie in der 3. und der fünften Ausführungsform erläutert, berechnet die Berechnungseinheit 21 ein Empfangsbereich einer Nachricht mit dem Empfang einer Nachricht. Dies kann auf die 1. und die zweite Ausführungsform angewendet werden. Weiter insbesondere, wenn die Anzahl von empfangenen Nachrichten, bis die Referenzzeit neu ausgewählt wird, gleich n ist, wird lediglich der Empfangsbereich der n-ten Nachricht aufgezeichnet, und, wenn die 1. bis n-te Nachricht empfangen sind, wird lediglich die Anzahl der empfangenen Nachrichten gezählt.
  • In der obigen Beschreibung wird die Angriffsdetektionsverarbeitung einer ID erläutert. Allerdings kann eine einzelne Angriffsdetektionsvorrichtung 10 die Angriffsdetektionsverarbeitung von mehreren Ei dies parallel ausführen. In diesem Fall, da die Angriffsdetektionsvorrichtung 10 Nachrichten mit mehreren ein dies parallel empfängt, wie in 5 dargestellt, wird eine Information wie beispielsweise die Übertragungsbedingung 31, die Empfangsbedingungen Information 32, die Referenzzeit 33 und die Empfangsvorhersage 34 für jede ID der empfangenen Nachrichten gespeichert.
  • Weiter kann die Angriffsdetektionsvorrichtung 10 mit einem von einem Operator bedienten Operation Endgerät kommunizieren. In diesem Fall kann die Angriffsdetektionsvorrichtung 10 eine Information wie beispielsweise die Übertragungsbedingung 31 über das Operationsendgerät erhalten.
  • In der obigen Beschreibung wird ein Beispiel von Operationen der Angriffsdetektionsvorrichtung 10 unter Bezugnahme auf ein Standard CAN als ein Beispiel erläutert. Allerdings, selbst wenn die für eine Kommunikation verwendeten Datenframes die erweiterten Spezifikationen aufweisen, wird die gleiche Verarbeitung ausgeführt. Allerdings, in einem Fall, bei welchem die Netzwerkspezifikation CAN FD (CAN mit flexibler Datenrate) ist, kann die Angriffsdetektionsvorrichtung 10 ebenso einen Angriff auf dieselbe Weise detektieren. Entsprechend ist es möglich die Genauigkeit einer Angriffsdetektion zu verbessern.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2015/170451 [0008]
    • JP 2014-146868 [0008]
    • WO 2013/04072 [0008]
    • JP 2012-109666 [0008]

Claims (7)

  1. Eine Angriffsdetektionsvorrichtung, umfassend: eine Übertragung/Empfangseinheit, welche eine von einer Kommunikationsvorrichtung in einem Netzwerk periodisch übertragene Nachricht empfängt; eine Berechnungseinheit, welche einen Empfangsbereich zum Empfangen einer Nachricht berechnet, welche eine Identifikationsinformation in einer aus den empfangenen Nachrichten ausgewählten Referenznachricht umfasst, durch Verwenden einer Übertragungsperiode einer durch die Identifikationsinformation identifizierten Nachricht, wobei die Nachricht zwei oder mehr Perioden nach der Referenznachricht übertragen ist; eine Speichereinheit, welche den Empfangsbereich speichert, welcher mit einer Empfangsreihenfolge einer Nachricht verknüpft ist, für welche vorhergesagt ist, in der Empfangsreihenfolge empfangen zu werden, wenn die Referenznachricht als eine Referenz verwendet ist; und eine Bestimmungseinheit, welche bestimmt, dass ein Angriff auf das Netzwerk detektiert ist, wenn eine Empfangszeit der die Identifikationsinformation umfassenden empfangenen Nachricht nicht innerhalb des Empfangsbereichs ist, welcher mit der Empfangsreihenfolge der empfangenen Nachricht verknüpft ist, falls die Referenznachricht als eine Referenz verwendet ist.
  2. Angriffsdetektionsvorrichtung gemäß Anspruch 1, wobei die Berechnungseinheit Empfangsbereiche einer Vielzahl von Nachrichten berechnet, welche zwei oder mehr Perioden nach der Referenznachricht übertragen sind, durch Verwenden einer Empfangszeit der Referenznachricht und der Übertragungsperiode.
  3. Angriffsdetektionsvorrichtung gemäß Anspruch 1, wobei die Berechnungseinheit einen Empfangsbereich einer zweiten empfangenen Nachricht berechnet, welche nach einer vorgegebenen Anzahl von Nachrichten von einer ersten empfangenen Nachricht, welche nach der Referenznachricht empfangen ist, empfangen ist, unter Verwendung einer Empfangszeit der ersten empfangenen Nachricht und der Übertragungsperiode, und den berechneten Empfangsbereich der zweiten empfangenen Nachricht mit der Empfangsreihenfolge der zweiten empfangenen Nachricht verknüpft, falls die Referenznachricht als eine Referenz verwendet ist.
  4. Angriffsdetektionsvorrichtung gemäß Anspruch 1, wobei die Berechnungseinheit eine Startzeit eines Empfangsbereichs einer jeden von zwei oder mehr Perioden nach der Referenznachricht übertragenen Nachrichten berechnet, und die Bestimmungseinheit bestimmt, dass ein Angriff auf das Netzwerk detektiert ist, wenn die Empfangszeit der Identifikationsinformation umfassenden empfangenen Nachricht vor der Startzeit des Empfangsbereichs ist, welcher mit der Empfangsreihenfolge der empfangenen Nachricht verknüpft ist, falls die Referenznachricht als eine Referenz verwendet ist.
  5. Angriffsdetektionsvorrichtung gemäß Anspruch 1, wobei die Bestimmungseinheit die Empfangsreihenfolge der empfangenen Nachricht ungültig macht, wenn die Empfangszeit der empfangenen Nachricht nicht innerhalb des mit der Empfangsreihenfolge verknüpften Empfangsbereichs ist.
  6. Ein Angriffsdetektionsverfahren, ausgeführt durch eine Angriffsdetektionsvorrichtung, wobei das Angriffsdetektionsverfahren umfasst: Empfangen einer von einer Kommunikationsvorrichtung in einem Netzwerk periodisch übertragenen Nachricht; Berechnen eines Empfangsbereich zum Empfangen einer Nachricht, welche eine Identifikationsinformation in einer aus den empfangenen Nachrichten ausgewählten Referenznachricht umfasst, durch Verwenden einer Übertragungsperiode einer durch die Identifikationsinformation identifizierten Nachricht, wobei die Nachricht zwei oder mehr Perioden nach der Referenznachricht übertragen ist; Speichern des Empfangsbereichs, welcher mit einer Empfangsreihenfolge einer Nachricht verknüpft ist, für welche vorhergesagt ist, in der Empfangsreihenfolge empfangen zu werden, wenn die Referenznachricht als eine Referenz verwendet wird; und Bestimmen, dass ein Angriff auf das Netzwerk detektiert wird, wenn eine Empfangszeit der die Identifikationsinformation umfassenden empfangenen Nachricht nicht innerhalb des Empfangsbereichs ist, welcher mit der Empfangsreihenfolge der empfangenen Nachricht verknüpft ist, falls die Referenznachricht als eine Referenz verwendet wird.
  7. Ein Angriffsdetektionsprogramm, welches eine Angriffsdetektionsvorrichtung dazu veranlasst einen Prozess auszuführen, welcher umfasst: Empfangen einer von einer Kommunikationsvorrichtung in einem Netzwerk periodisch übertragenen Nachricht; Berechnen eines Empfangsbereichs zum Empfangen einer Nachricht, welche eine Identifikationsinformation in einer aus den empfangenen Nachrichten ausgewählten Referenznachricht umfasst, durch Verwenden einer Übertragungsperiode einer durch die Identifikationsinformation identifizierten Nachricht, wobei die Nachricht zwei oder mehr Perioden nach der Referenznachricht übertragen ist; Speichern des Empfangsbereichs, welcher mit einer Empfangsreihenfolge einer Nachricht verknüpft ist, für welche vorhergesagt ist, in der Empfangsreihenfolge empfangen zu werden, wenn die Referenznachricht als eine Referenz verwendet wird; und Bestimmen, dass ein Angriff auf das Netzwerk detektiert wird, wenn eine Empfangszeit der die Identifikationsinformation umfassenden empfangenen Nachricht nicht innerhalb des Empfangsbereichs ist, welcher mit der Empfangsreihenfolge der empfangenen Nachricht verknüpft ist, falls die Referenznachricht als eine Referenz verwendet wird.
DE102017216815.3A 2016-09-27 2017-09-22 Angriffsdetektionsvorrichtung, Angriffsdetektionsverfahren und Angriffsdetektionsprogramm Withdrawn DE102017216815A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2016-188826 2016-09-27
JP2016188826 2016-09-27
JP2017-007199 2017-01-19
JP2017007199A JP2018056980A (ja) 2016-09-27 2017-01-19 攻撃検知装置、攻撃検知方法、および、攻撃検知プログラム

Publications (1)

Publication Number Publication Date
DE102017216815A1 true DE102017216815A1 (de) 2018-03-29

Family

ID=61564100

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017216815.3A Withdrawn DE102017216815A1 (de) 2016-09-27 2017-09-22 Angriffsdetektionsvorrichtung, Angriffsdetektionsverfahren und Angriffsdetektionsprogramm

Country Status (2)

Country Link
US (1) US10567400B2 (de)
DE (1) DE102017216815A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108551416A (zh) * 2018-04-19 2018-09-18 大陆汽车车身电子系统(芜湖)有限公司 一种can总线通信方法
US11711384B2 (en) 2018-08-27 2023-07-25 Lear Corporation Method and system for detecting message injection anomalies
US11201878B2 (en) * 2018-11-13 2021-12-14 Intel Corporation Bus-off attack prevention circuit

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012109666A (ja) 2010-11-15 2012-06-07 Hitachi Ltd エレメント端末および通信システム
WO2013004072A1 (zh) 2011-07-04 2013-01-10 He Lin 一种低功耗高性能的松驰振荡器
JP2014146868A (ja) 2013-01-28 2014-08-14 Hitachi Automotive Systems Ltd ネットワーク装置およびデータ送受信システム
WO2015170451A1 (ja) 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9225544B2 (en) 2011-12-22 2015-12-29 Toyota Jidosha Kabushiki Kaisha Communication system and communication method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012109666A (ja) 2010-11-15 2012-06-07 Hitachi Ltd エレメント端末および通信システム
WO2013004072A1 (zh) 2011-07-04 2013-01-10 He Lin 一种低功耗高性能的松驰振荡器
JP2014146868A (ja) 2013-01-28 2014-08-14 Hitachi Automotive Systems Ltd ネットワーク装置およびデータ送受信システム
WO2015170451A1 (ja) 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法

Also Published As

Publication number Publication date
US20180091533A1 (en) 2018-03-29
US10567400B2 (en) 2020-02-18

Similar Documents

Publication Publication Date Title
DE102017216815A1 (de) Angriffsdetektionsvorrichtung, Angriffsdetektionsverfahren und Angriffsdetektionsprogramm
DE102017220859A1 (de) Vorrichtung und Verfahren zum Detektieren eines Angriffs in einem Netzwerk
DE102021205793A1 (de) Genauigkeit des zeitstempels auf der empfangsseite
DE112017001236T5 (de) Kommunikationssystem
DE102015213368B4 (de) Vorrichtung und verfahren zum steuern von fahrzeugkommunikation
DE112012002285T5 (de) System und Verfahren zur Ergänzung von Sensorinformationen
DE102016003969A1 (de) Verfahren zum Erfassen von Umgebungsdaten mittels mehrerer Kraftfahrzeuge
DE112009000500T5 (de) Weiterleitungseinrichtung, Kommunikationssystem und Kommunikationsverfahren
DE112021003747T5 (de) Erkennen von anomalien in einer netzwerktopologie
DE102017123055A1 (de) Slave-Vorrichtung
DE102015108005A1 (de) Mechanismen und Geräte für neu konfigurierbare Interprozessorkommunikationen mit eingebettetem Controller
DE102018006332A1 (de) Verfahren zum Ermitteln von Ampelschaltzeiten
DE102018125857A1 (de) Übergeordnetes Knotengerät, Endgerät für drahtloses Netzwerk und Verfahren zur Datenübertragung
DE112018007743T5 (de) Kommunikationsgerät, Kommunikationssystem und Synchronisationssteuerungsverfahren
DE112015006287T5 (de) Informationsverarbeitungs-Vorrichtung
EP3672200B1 (de) Verfahren zur zusammenarbeit von mehreren geräten eines lokalen netzwerks
DE112017006045T5 (de) Übertragungsvorrichtung und verfahren zum hinzufügen einer route
DE102016208435A1 (de) Fahrzeuginternes Netzwerksystem
DE102019122669A1 (de) Verfahren und vorrichtung für eine peer-to-peer-verteilungsstrategie für updates
DE102021109775A1 (de) Adaptive zeitfenster- basierte deduplizierung von protokollnachrichten
DE112008002252B4 (de) Sendevorrichtung, Sendeverfahren und Kommunikationssystem
EP3396919A1 (de) Verfahren zur datenübertragung von einem gerät an ein datenverwaltungsmittel, vermittlungseinheit, gerät und system
DE112016005840T9 (de) Drahtloses kommunikationsgerät, drahtloses kommunikationsverfahren und programm für drahtlose kommunikation
DE102020207065B3 (de) Fahrzeug, Verfahren, Computerprogramm und Vorrichtung zum Zusammenführen von Objektinformationen über ein oder mehrere Objekte in einem Umfeld eines Fahrzeugs
DE102012222885A1 (de) Verfahren zum Zuweisen von Zeitstempeln zu empfangenen Datenpaketen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee