DE102021123618A1

DE102021123618A1 - Informationsübermittlungsvorrichtung, Server und Informationsübermittlungsverfahren

Info

Publication number: DE102021123618A1
Application number: DE102021123618.5A
Authority: DE
Inventors: Yuishi Torisaki; Kaoru Yokota; Takayuki Fujii; Akihito Takeuchi
Original assignee: Panasonic Intellectual Property Management Co Ltd
Current assignee: PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP
Priority date: 2020-09-29
Filing date: 2021-09-13
Publication date: 2022-03-31
Also published as: US20220103583A1; JP2022055558A; JP7373803B2

Abstract

[Gegenstand] Es wird eine Informationsübermittlungsvorrichtung oder dergleichen vorgesehen, die die Verarbeitungslast für einen Server reduzieren kann.[Mittel zum Erreichen des Ziels] Eine Informationsübermittlungsvorrichtung (110a) wird in einem Objekt vorgesehen, das eine oder mehrere Vorrichtungen und einen Überwachungssensor enthält, der jede Vorrichtung überwacht. Die Informationsübermittlungsvorrichtung (110a) umfasst: einen Erfasser (111), der von dem Überwachungssensor erste Erfassungsinformationen erhält, die anzeigen, dass eine Anomalie in einer beliebigen Vorrichtung erfasst wird; und einen Sender (117), der an eine externe Vorrichtung Überwachungsinformationrn einschließlich der ersten Erfassungsinformationen und Relevanzinformationen übermittelt. Die Relevanzinformationen zeigen die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen an, die von dem Überwachungssensor erhalten und von dem Sender an die externe Vorrichtung vor der Übermittlung der ersten Erfassungsinformationen übermittelt werden. Die zweiten Erfassungsinformationen zeigen an, dass eine Anomalie in einer beliebigen Vorrichtung erkannt wurde, und bezieht sich auf die ersten Erfassungsinformationen.

Description

[Technisches Gebiet]
Die vorliegende Offenbarung betrifft eine Informationsübermittlungsvorrichtung, einen Server und ein Informationsübermittlungsverfahren.
[Technischer Hintergrund]
In den letzten Jahren werden Objekte wie Fahrzeuge und elektronische Vorrichtungen (zum Beispiel elektrische Haushaltsgeräte) über ein Kommunikationsnetz wie das Internet mit externen Vorichtungen kommunikativ verbunden. Auf diese Weise kann ein Objekt von einer externen Vorrichtung über das Kommunikationsnetz gesteuert werden, obwohl das Objekt andererseits der Gefahr eines Cyberangriffs über das Kommunikationsnetz ausgesetzt ist. Wenn zum Beispiel ein Fahrzeug einen Cyberangriff erhält, besteht das Risiko, dass das Fahrzeug aufgrund eines nicht autorisierten Steuerbefehls nicht mehr funktioniert. Daher werden Studien zur Überwachung oder dergleichen des Sicherheitsstatus eines Objekts auf der Grundlage der Informationen eines Sensors oder dergleichen durchgeführt, der in dem Objekt vorgesehen ist. Die Patentschrift 1 offenbart ein Sicherheitsüberwachungsverfahren zur Überwachung des Sicherheitsstatus einer Vielzahl von Objekten mit einer geringen Menge an Kommunikationsverkehr.
[Liste der Anführungen]
[Patentliteratur]

[Patentschrift 1] Japanisches Patent Nr. 5447394

[Zusammenfassung der Erfindung]
[Technische Aufgabe]
In diesem Zusammenhang werden Studien in Bezug auf Server durchgeführt, die eine Analyseverarbeitung bezüglich des Inhalts eines Cyberangriffs oder der durch einen Cyberangriff verursachten Auswirkung auf ein Objekt und dergleichen durchführen, basierend auf Informationen von dem Objekt. Zu diesem Zeitpunkt ist es wünschenswert, die Verarbeitungslast des Servers zu reduzieren.
Daher werden gemäß der vorliegenden Offenbarung eine Informationsübermittlungsvorrichtung, die eine Verarbeitungslast eines Servers reduzieren kann, ein Server und ein Informationsübermittlungsverfahren vorgesehen.
[Lösung der Aufgabe]
Gemäß einem Aspekt der vorliegenden Offenbarung wird eine Informationsübermittlungsvorrichtung in einem Objekt vorgesehen, wobei das Objekt eine oder mehrere Vorrichtungen und einen Überwachungssensor umfasst, der jede der einen oder mehreren Vorrichtungen überwacht, und die Informationsübermittlungsvorrichtung umfasst: einen Erfasser, der von dem Überwachungssensor erste Erfassungsinformationen erhält, die anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wurde; einen Sender, der an eine externe Vorrichtung Überwachungsinformationen übermittelt, die (i) die ersten Erfassungsinformationen und (ii) Relevanzinformationen enthalten, wobei die Relevanzinformationen die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen anzeigen, die von dem Überwachungssensor erhalten und von dem Sender an die externe Vorrichtung vor der Übermittlung der ersten Erfassungsinformationen übermittelt werden, wobei die zweiten Erfassungsinformationen anzeigen, dass eine Anomalie in irgendeiner der einen oder mehreren Vorrichtungen erfasst wird, und sich auf die ersten Erfassungsinformationen beziehen.
Gemäß einem weiteren Aspekt der vorliegenden Offenbarung enthält ein Server: einen Empfänger, der die ersten Erfassungsinformationen von der oben beschriebenen Informationsübermittlungsvorrichtung empfängt; und einen Controller, der einen Cyberangriff auf das Objekt gemäß der ersten Erfassungsinformationen und der zweiten Erfassungsinformationen analysiert, wobei die zweiten Erfassungsinformationen in der in den ersten Erfassungsinformationen enthaltenen Relevanzinformationen angegeben ist und von dem Empfänger vor dem Empfang der ersten Erfassungsinformationen empfangen wird.
Gemäß noch einem weiteren Aspekt der vorliegenden Offenbarung umfasst ein Informationsübermittlungsverfahren für ein Objekt, wobei das Objekt eine oder mehrere Vorrichtungen und einen Überwachungssensor umfasst, der jede der einen oder mehreren Vorrichtungen überwacht, Folgendes: Erhalten von ersten Erfassungsinformationen von dem Überwachungssensor, die anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wird; Übermitteln von Überwachungsinformationen an eine externe Vorrichtung, die (i) die ersten Erfassungsinformationen und (ii) Relevanzinformationen enthalten, wobei die Relevanzinformationen die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen anzeigen, die von dem Überwachungssensor erhalten und von dem Sender an die externe Vorrichtung vor der Übermittlung der ersten Erfassungsinformationen übermittelt werden, wobei die zweiten Erfassungsinformationen anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wird, und sich auf die ersten Erfassungsinformationen beziehen.
[Vorteilhafte Wirkungen der Erfindung]
Eine Informationsübermittlungsvorrichtung und dergleichen gemäß einem Aspekt der vorliegenden Offenbarung kann die Verarbeitungslast eines Servers reduzieren.
Figurenliste

1 ist ein Blockdiagramm, das die funktionelle Anordnung eines Fahrzeugüberwachungssystems gemäß einer Ausführungsform darstellt.
2 ist ein Blockdiagramm, das die funktionelle Anordnung eines Übermittlungsbestimmungsmoduls gemäß der Ausführungsform darstellt.
3 ist ein Flussdiagramm, das die grundlegenden Betriebsweisen des Übermittlungsbestimmungsmoduls gemäß der Ausführungsform darstellt.
4 ist eine Ansicht, die ein Beispiel für die Erkennung von Anomalien durch Überwachungssensoren darstellt.
5 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die auf der Grundlage des Alarms A zum Zeitpunkt t1 erzeugt wurden.
6 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die auf der Grundlage von Alarm B zum Zeitpunkt t2 erzeugt wurden.
7 ist ein Flussdiagramm, das ein Beispiel für eine Reihe von Betriebsweisen darstellt, die das Übermittlungsbestimmungsmodul durchführt, wenn die in 4 dargestellten Anomalien erkannt werden.
8 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die in dem in 7 dargestellten Schritt S203 übermittelt werden.
9 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die in dem in 7 dargestellten Schritt S208 übermittelt werden.
10 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die in dem in 7 dargestellten Schritt S209 übermittelt werden.
11 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die in dem in 7 dargestellten Schritt S211 übermittelt werden.
12 ist ein Flussdiagramm, das die detaillierten Betriebsweisen des Übermittlungsbestimmungsmoduls gemäß der Ausführungsform darstellt.
13 ist eine Ansicht, die ein Beispiel für Übermittlungsstatusinformationen zeigt, die in einem Übermittlungsstatusspeicher gespeichert sind.
14 ist eine Ansicht, die ein weiteres Beispiel für Übermittlungsstatusinformationen zeigt, die im Übermittlungsstatusspeicher gespeichert sind.
15 ist ein Flussdiagramm, das den Betrieb eines Überwachungssystems gemäß der Ausführungsform darstellt.
16 ist ein Blockdiagramm, das die funktionelle Anordnung eines Übermittlungsbestimmungsmoduls gemäß einem Vergleichsbeispiel darstellt.
17 ist ein Flussdiagramm, das den Betrieb des Übermittlungsbestimmungsmoduls gemäß dem Vergleichsbeispiel darstellt.

[Beschreibung der Ausführungsform]
(Umstände, die zu der vorliegenden Offenbarung geführt haben)
Bevor eine Ausführungsform der vorliegenden Offenbarung beschrieben wird, werden die Umstände beschrieben, die zu der vorliegenden Offenbarung geführt haben.
Wie im Abschnitt „Technischer Hintergrund“ beschrieben, wurden in den letzten Jahren Studien zur Überwachung des Sicherheitsstatus von Objekten wie Fahrzeugen und elektronischen Vorrichtungen auf der Grundlage von Informationen des Objekts durchgeführt. Wenn es sich bei dem Objekt beispielsweise um ein Fahrzeug handelt, werden Studien zur Überwachung des Sicherheitsstatus (zum Beispiel der Inhalt eines Cyberangriffs oder die durch den Cyberangriff verursachte Auswirkung auf das Objekt) des Fahrzeugs mit Hilfe eines Servers durchgeführt, der auf den Ergebnissen der Anomalieerkennung der entsprechenden Überwachungssensoren im Fahrzeug basiert. In diesem Fall ist im Fahrzeug beispielsweise ein Übermittlungsbestimmungsmodul vorgesehen, das von jedem Überwachungssensor Protokollinformationen sammelt, die ein Anomalieerkennungsergebnis enthalten, das anzeigt, dass eine Anomalie einer im Fahrzeug vorhandenen Vorrichtung erkannt wurde, und das die Protokollinformationen an einen Server übermittelt. Eine Konfiguration, die als Konfiguration einer solchen Art von Übermittlungsbestimmungsmodul angenommen wird, wird nun unter Bezugnahme auf 16 beschrieben. 16 ist ein Blockdiagramm, das die funktionelle Anordnung eines Übermittlungsbestimmungsmoduls 410a gemäß einem Vergleichsbeispiel darstellt.
Wie in 16 dargestellt, verfügt das Übermittlungsbestimmungsmodul 410a über einen Erfasser 411, einen Überwachungsprotokollspeicher 412, einen Übermittlungsbestimmer 413, einen Generator 414 und eine Ausgabeeinheit 415.
Der Erfasser 411 erhält Protokollinformationen von jedem im Fahrzeug vorgesehenen Überwachungssensor. Bei den Protokollinformationen handelt es sich um Informationen, die ein Überwachungsergebnis einer fahrzeuginternen Vorrichtung durch einen Überwachungssensor enthalten, und sie umfassen beispielsweise Informationen, die anzeigen, dass der Überwachungssensor eine Anomalie festgestellt hat. Die Protokollinformationen können mindestens eine Art von Informationen enthalten, darunter Informationen, die eine fahrzeuginterne Vorrichtung identifizieren, von der eine Anomalie erkannt wurde, Informationen, die die Art einer Anomalie angeben, und Informationen, die den Zeitpunkt des Auftretens einer Anomalie angeben, und dergleichen.
Der Überwachungsprotokollspeicher 412 speichert Protokollinformationen, die der Erfasser 411 erhalten hat.
Der Übermittlungsbestimmer 413 bestimmt, ob die im Überwachungsprotokollspeicher 412 gespeicherten Protokollinformationen an das Überwachungssystem 500 übermittelt werden sollen oder nicht. Beispielsweise kann der Übermittlungsbestimmer 413 bei einer vorbestimmten Anzahl von im Überwachungsprotokollspeicher 412 gespeicherten Protokollinformationen bestimmen, dass eine Vielzahl von gespeicherten Protokollinformationen an das Überwachungssystem 500 übermittelt wird.
In einem Fall, in dem der Übermittlungsbestimmer 413 eine Entscheidung zur Übermittlung von Protokollinformationen trifft, erzeugt der Generator 414 Fahrzeugüberwachungsprotokollinformationen zur Übermittlung einer Vielzahl von Protokollinformationen an das Überwachungssystem 500.
Die Ausgabeeinheit 415 übermittelt die von Generator 414 erzeugten Fahrzeugüberwachungsprotokollinformationen an das Überwachungssystem 500.
Ferner überwacht das Überwachungssystem 500 den Sicherheitsstatus des Fahrzeugs, in dem das Übermittlungsbestimmungsmodul 410a vorgesehen ist. Das Überwachungssystem 500 analysiert den Sicherheitsstatus des Fahrzeugs basierend auf der Vielzahl von Protokollinformationen, die vom Übermittlungsbestimmungsmodul 410a übermittelt werden.
Hier verfügt das Fahrzeug über eine Vielzahl von fahrzeuginternen Vorrichtungen (zum Beispiel ECUs (elektronische Steuereinheiten)), und ein einziges fahrzeuginternes Netzwerksystem wird durch die Vielzahl der fahrzeuginternen Vorrichtungen gebildet. Daher wird ein Cyberangriff (im Folgenden auch einfach als „Angriff“ bezeichnet) auf das Fahrzeug häufig durch Angriffe auf die jeweiligen fahrzeugunternen Vorrichtungen, das heißt durch eine Kombination mehrerer Angriffe, durchgeführt. Um den Inhalt eines Angriffs auf ein Fahrzeug sowie die Auswirkungen des Angriffs und dergleichen genau zu ermitteln, reicht es daher nicht aus, einen Angriff auf eine einzelne fahrzeuginterne Vorrichtung zu analysieren, sondern es besteht die Notwendigkeit, eine Vielzahl von Angriffen (zum Beispiel eine Vielzahl von nacheinander durchgeführten Angriffen) gemeinsam zu analysieren. Das heißt, es besteht die Notwendigkeit, dass das Überwachungssystem 500 eine analytische Verarbeitung in Bezug auf einen Cyberangriff auf das Fahrzeug durchführt, indem es eine Vielzahl von Elementen der Protokollinformationen verwendet. Man kann auch sagen, dass es für das Überwachungssystem 500 notwendig ist, eine analytische Verarbeitung in Bezug auf den Cyberangriff auf das Fahrzeug durchzuführen, indem eine Vielzahl von Angriffen, die miteinander in Beziehung stehen, als ein einziger Angriff betrachtet wird. Eine Vielzahl von Angriffen, die als ein einziger Angriff betrachtet werden können, wird auch als Reihe von Angriffen bezeichnet. Bei einer Reihe von Angriffen kann es sich um Angriffe handeln, die von demselben Angreifer durchgeführt werden, um Angriffe zur Erreichung desselben Angriffsziels, um Angriffe, die innerhalb eines vorbestimmten Zeitraums durchgeführt werden, oder um Angriffe, die in einer vorbestimmten Region (Region auf einer Karte) durchgeführt werden.
Der Übermittlungsbestimmer 413 kann beispielsweise in einem Fall, in dem eine Vielzahl von Protokollinformationen in Bezug auf eine Reihe von Angriffen im Überwachungsprotokollspeicher 412 gespeichert sind, Fahrzeugüberwachungsprotokollinformationen einschließlich der Vielzahl von Protokollinformationen an das Überwachungssystem 500 übermitteln. Auf diese Weise kann im Überwachungssystem 500, da eine Vielzahl von Protokollinformationen in Bezug auf eine Reihe von Angriffen auf einmal erhalten werden kann, die Analyseverarbeitung in Bezug auf einen Cyberangriff auf das Fahrzeug, in dem das Übermittlungsbestimmungsmodul 410a vorgesehen ist, effizient durchgeführt werden.
Als Nächstes werden Betriebsweisen, von denen angenommen wird, dass sie im oben beschriebenen Übermittlungsbestimmungsmodul 410a durchgeführt werden, unter Bezugnahme auf 17 beschrieben. 17 ist ein Flussdiagramm, das den Betrieb des Übermittlungsbestimmungsmoduls 410a gemäß dem Vergleichsbeispiel darstellt.
Wie in 17 dargestellt, sammelt der Erfasser 411 Protokollinformationen von jedem Überwachungssensor (S501). Der Erfasser 411 speichert die gesammelten Protokollinformationen im Überwachungsprotokollspeicher 412.
Als nächstes bestimmt der Übermittlungsbestimmer 413, ob es notwendig ist, die in Schritt S501 gesammelten Protokollinformationen an das Überwachungssystem 500 zu übermitteln (S502). Zum Beispiel trifft der Übermittlungsbestimmer 413 die Bestimmung in Schritt S502 in Abhängigkeit davon, ob Protokollinformationen in Bezug auf eine Reihe von Angriffen auf das Fahrzeug im Überwachungsprotokollspeicher 412 gespeichert sind oder nicht.
Wenn der Übermittlungsbestimmer 413 bestimmt, dass eine Übermittlung erforderlich ist („Ja“ in S502), erzeugt der Generator 414 Fahrzeugüberwachungsprotokollinformationen auf der Grundlage einer Vielzahl von Protokollinformationen (S503) und übermittelt die erzeugten Fahrzeugüberwachungsprotokollinformationen an das Überwachungssystem 500 (S504). Wenn der Übermittlungsbestimmer 413 bestimmt, dass eine Übermittlung nicht erforderlich ist („Nein“ in S502), setzt der Erfasser 411 das Sammeln von Protokollinformationen fort.
Im Fahrzeug ist jedoch ein großer Speicherbereich (Speicherkapazität) erforderlich, um eine Vielzahl von Protokollinformationen zu speichern (zu halten). Andererseits unterliegt der Speicherbereich des Überwachungsprotokollspeichers 412 manchmal Beschränkungen. Das heißt, in einigen Fällen hat der Überwachungsprotokollspeicher 412 keinen Speicherbereich zum Speichern einer Vielzahl von Protokollinformationen in Bezug auf eine Reihe von Angriffen.
In einem solchen Fall wird davon ausgegangen, dass die mehreren Elemente der Protokollinformationen in Bezug auf eine Reihe von Angriffen getrennt voneinander an das Überwachungssystem 500 übermittelt werden. Das Überwachungssystem 500 kann bestimmen, welche der mehrfach empfangenen Protokollinformationen Protokollinformationen zu einer Reihe von Angriffen sind, und kann den Cyberangriff auf das Fahrzeug anhand einer oder mehrerer Protokollinformationen, die als Protokollinformationen zu einer Reihe von Angriffen bestimmt wurden, analysieren.
Da das Überwachungssystem 500 jedoch eine Verarbeitung durchführt, um festzustellen, ob es sich bei den Protokollinformationen um Protokollinformationen in Bezug auf eine Reihe von Angriffen handelt oder nicht, erhöht sich die Verarbeitungslast im Überwachungssystem 500. Da Protokollinformationen von einer Vielzahl von Fahrzeugen an das Überwachungssystem 500 übermittelt werden, kann in einem Fall, in dem das Überwachungssystem 500 eine Bestimmungsverarbeitung in Bezug auf jedes der Fahrzeuge durchführt, die Verarbeitungslast des Überwachungssystems 500 zu einer großen Last werden. Daher ist es in einem Fall, in dem eine Vielzahl von Elementen von Protokollinformationen in Bezug auf eine Reihe von Angriffen getrennt voneinander an das Überwachungssystem 500 übermittelt werden, wünschenswert, einen Anstieg der Verarbeitungslast im Überwachungssystem 500 zu unterdrücken.
Daher haben die Erfinder der vorliegenden Anmeldung sorgfältige Studien bezüglich einer Informationsübermittlungsvorrichtung und dergleichen durchgeführt, die selbst in einem Fall, in dem eine Vielzahl von Elementen von Protokollinformationen in Bezug auf eine Reihe von Angriffen getrennt voneinander an das Überwachungssystem 500 übertragen werden, einen Anstieg der Verarbeitungslast im Überwachungssystem 500 unterdrücken kann, d.h. die Verarbeitungslast im Überwachungssystem 500 reduzieren kann, und haben die nachfolgend beschriebene Informationsübermittlungsvorrichtung und dergleichen erfunden.
Gemäß einem Aspekt der vorliegenden Offenbarung wird eine Informationsübermittlungsvorrichtung in einem Objekt vorgesehen, wobei das Objekt eine oder mehrere Vorrichtungen und einen Überwachungssensor umfasst, der jede der einen oder mehreren Vorrichtungen überwacht, und die Informationsübermittlungsvorrichtung umfasst: einen Erfasser, der von dem Überwachungssensor erste Erfassungsinformationen erhält, die anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wurde; einen Sender, der an eine externe Vorrichtung Überwachungsinformationen übermittelt, die (i) die ersten Erfassungsinformationen und (ii) Relevanzinformationen enthalten, wobei die Relevanzinformationen die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen anzeigen, die von dem Überwachungssensor erhalten und von dem Sender an die externe Vorrichtung vor der Übermittlung der ersten Erfassungsinformationen übermittelt werden, wobei die zweiten Erfassungsinformationen anzeigen, dass eine Anomalie in irgendeiner der einen oder mehreren Vorrichtungen erfasst wird, und sich auf die ersten Erfassungsinformationen beziehen.
So kann eine externe Vorrichtung (zum Beispiel ein Server) durch den bloßen Erhalt von Überwachungsinformationen Informationen erhalten, die die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen, die bereits empfangen wurden, anzeigen. Das heißt, in der externen Vorrichtung, die die ersten Erfassungsinformationen und die zweiten Erfassungsinformationen verarbeitet, muss keine Verarbeitung zur Bestimmung der Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen durchgeführt werden. Somit kann die Informationsübermittlungsvorrichtung die Verarbeitungslast der externen Vorrichtung reduzieren.
Beispielsweise ist es möglich, dass die Relevanzinformationen mindestens eines der folgenden Merkmale enthalten: eine Information, die anzeigt, dass die zweiten Erfassungsinformationen vorhanden ist; oder Informationen, die zur Identifizierung der zweiten Erfassungsinformationen dienen und in den zweiten Erfassungsinformationen enthalten sind.
Somit kann in der externen Vorrichtung mindestens eine der Verarbeitungen zur Bestimmung, ob zweite Erfassungsinformationen vorhanden sind oder nicht, und die Verarbeitung zur Identifizierung der zweiten Erfassungsinformationen aus einer Vielzahl von Erfassungsinformationen entfallen.
Beispielsweise ist es auch möglich, dass der Sender die Überwachungsinformationen übermittelt, wenn eine vorbestimmte Bedingung erfüllt ist, wobei die Überwachungsinformationen ferner Informationen enthalten, die anzeigen, dass die vorbestimmte Bedingung erfüllt ist.
Auf diese Weise kann die externe Vorrichtung Informationen erhalten, die anzeigen, dass eine vorbestimmte Bedingung erfüllt ist, mit anderen Worten, den Grund, warum die ersten Erfassungsinformationen übermittelt wurden. Das heißt, die externe Vorrichtung kann eine Verarbeitung in Übereinstimmung mit dem Grund in Bezug auf die ersten Erfassungsinformationen durchführen. Da die Informationsübermittlungsvorrichtung eine effiziente Verarbeitung in der externen Vorrichtung bewirken kann, kann die Informationsübermittlungsvorrichtung die Verarbeitungslast der externen Vorrichtung weiter reduzieren.
Zum Beispiel ist es weiterhin möglich, dass die Informationsübermittlungsvorrichtung weiterhin Folgendes enthält: einen Speicher, der die ersten Erfassungsinformationen enthält, wobei die vorbestimmte Bedingung mindestens eine der folgenden Bedingungen umfasst: eine Bedingung, dass ein Schweregrad der Anomalie, die in den ersten Erfassungsinformationen angezeigt wird, größer oder gleich einem vorbestimmten Schweregrad ist; eine Bedingung, dass ein Cyberangriff, der die Anomalie verursacht, als beendet bestimmt wird; eine Bedingung, dass ein vorbestimmter Zeitraum vergangen ist, seit die Anomalie, die in den ersten Erfassungsinformationen angezeigt wird, erfasst wurde; oder eine Bedingung, dass eine verfügbare Kapazität des Speichers kleiner oder gleich einer vorbestimmten Kapazität ist.
Somit kann die externe Vorrichtung die Verarbeitung in Übereinstimmung mit einem der folgenden Fälle durchführen: einem Fall, in dem der Schweregrad der in den ersten Erfassungsinformationen angegebenen Anomalie größer oder gleich einem vorbestimmten Schweregrad ist; einem Fall, in dem festgestellt wird, dass ein Cyberangriff, der die Anomalie verursacht hat, beendet ist; einem Fall, in dem eine vorbestimmte Zeitspanne vergangen ist, seit die in den ersten Erfassungsinformationen angegebene Anomalie erkannt wurde; und einem Fall, in dem eine verfügbare Kapazität des Speichers kleiner oder gleich einer vorbestimmten Kapazität ist. Zum Beispiel in einem Fall, in dem die vorbestimmte Bedingung ist, dass der Schweregrad der Anomalie, die in den ersten Erfassungsinformationen angezeigt wird, größer oder gleich einem vorbestimmten Schweregrad ist, da die Möglichkeit besteht, dass das Objekt einer Bedrohung ausgesetzt ist, kann die externe Vorrichtung eine Verarbeitung wie eine Analyse im Voraus durchführen, indem sie nur die ersten Erfassungsinformationen und die zweiten Erfassungsinformationen verwendet, die bereits erhalten wurden. Ferner kann beispielsweise in einem Fall, in dem die vorbestimmte Bedingung darin besteht, dass die verfügbare Kapazität des Speichers kleiner oder gleich einer vorbestimmten Kapazität ist, da die Möglichkeit besteht, dass nach den ersten Erfassungsinformationen weitere Erfassungsinformationen erhalten werden (der Cyberangriff geht weiter), die externe Vorrichtung eine Vielzahl von Erfassungsinformationen in Bezug auf einen Cyberangriff auf effiziente Weise kollektiv verarbeiten, indem sie wartet, bis festgestellt wird, dass der Cyberangriff beendet ist, und dann die Verarbeitung nach dem Ende des Cyberangriffs durchführt.
Zum Beispiel ist es weiterhin möglich, dass die vorbestimmte Bedingung weiterhin eine Bedingung beinhaltet, dass sowohl ein Schweregrad der Anomalie, der in den ersten Erfassungsinformationen angezeigt wird, als auch ein Schweregrad der Anomalie, der in den zweiten Erfassungsinformationen angezeigt wird, größer als oder gleich dem vorbestimmten Schweregrad ist.
Somit werden die ersten Erfassungsinformationen in Abhängigkeit vom Schweregrad einer Anomalie als Objekt, basierend auf den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen, übermittelt. Da die ersten Erfassungsinformationen beispielsweise sofort übermittelt werden, wenn das Objekt einer Bedrohung ausgesetzt ist, ist es möglich, eine schnelle Verarbeitung der ersten Erfassungsinformationen in der externen Vorrichtung durchzuführen.
Zum Beispiel ist es weiterhin möglich, dass die Informationsübermittlungsvorrichtung weiterhin Folgendes enthält: einen Bestimmer, der bestimmt, ob die zweiten Erfassungsinformationen mit den ersten Erfassungsinformationen in Beziehung stehen oder nicht, basierend auf (i) jeweiligen Zeiten des Erhaltens der ersten Erfassungsinformationen und der zweiten Erfassungsinformationen durch den Erfasser oder (ii) einem zeitlich sequentiellen Muster bezüglich der Anomalien, die in den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen angegeben sind, wobei das zeitlich sequentielle Muster mindestens eines von (ii-1) einem zeitlich sequentiellen Muster von Vorrichtungen, von denen die Anomalien unter der einen oder mehreren Vorrichtungen erfasst werden, oder (ii-2) einem zeitlich sequentiellen Muster von Arten der Anomalien ist.
Auf diese Weise kann die Informationsübermittlungsvorrichtung die Verarbeitung vom Erhalt der Erfassungsinformationen bis zur Übermittlung der den Erfassungsinformationen entsprechenden Überwachungsinformationen kollektiv durchführen.
Beispielsweise ist es weiterhin möglich, dass, wenn der Erfasser die ersten Erfassungsinformationen innerhalb einer vorbestimmten Zeitspanne erhält, nachdem der Erfasser die zweiten Erfassungsinformationen erhalten hat, oder wenn das zeitlich sequentielle Muster bezüglich der Anomalien, die in den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen angegeben sind, zumindest teilweise mit einem vorbestimmten zeitlich sequentiellen Muster übereinstimmt, der Bestimmer bestimmt, dass die zweiten Informationen mit den ersten Erfassungsinformationen in Beziehung steht.
Auf diese Weise kann die Informationsübermittlungsvorrichtung Informationen über die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen erhalten, indem sie lediglich eine Differenz zwischen dem Zeitpunkt des Erhalts der ersten Erfassungsinformationen und dem Zeitpunkt des Erhalts der zweiten Erfassungsinformationen berechnet, oder indem sie ein zeitlich sequentielles Muster, das auf den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen basiert, mit einem vorbestimmten zeitlich sequentiellen Muster vergleicht. Das heißt, die Verarbeitungslast in Bezug auf die Bestimmungsverarbeitung durch den Bestimmer kann reduziert sein.
Beispielsweise ist es weiterhin möglich, dass der Bestimmer bestimmt, ob dritte Erfassungsinformationen mit den ersten Erfassungsinformationen zusammenhängt oder nicht, wobei die dritten Erfassungsinformationen von dem Erfasser von dem Überwachungssensor vor der Erfassung der ersten Erfassungsinformationen erfasst wird und zu einem Zeitpunkt der Erfassung der ersten Erfassungsinformationen noch nicht von dem Sender an die externe Vorrichtung übermittelt wurde, und der Sender die dritten Erfassungsinformationen zusammen mit den ersten Erfassungsinformationen an die externe Vorrichtung übermittelt, wenn der Bestimmer bestimmt, dass die dritten Erfassungsinformationen mit den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen zusammenhängt.
Auf diese Weise können dritte Erfassungsinformationen, die mit ersten Erfassungsinformationen in Beziehung stehen und noch nicht übermittelt wurden, zusammen mit den ersten Erfassungsinformationen übermittelt werden. Da mit den dritten Erfassungsinformationen auch eine Verarbeitung in der externen Vorrichtung erfolgen kann, ist beispielsweise eine Verbesserung der Analysegenauigkeit der externen Vorrichtung zu erwarten.
Es ist beispielsweise weiterhin möglich, dass es sich bei dem Objekt um ein Fahrzeug handelt und die eine oder mehreren Vorrichtungen und die Informationsübermittlungsvorrichtung durch Verbindung über einen Kommunikationspfad in ein fahrzeuginternes Netzwerk eingebunden sind.
Somit kann die Informationsübermittlungsvorrichtung in einem fahrzeuginternen Netzwerk eines Fahrzeugs verwendet werden.
Gemäß einem weiteren Aspekt der vorliegenden Offenbarung enthält ein Server: einen Empfänger, der die ersten Erfassungsinformationen von der oben beschriebenen Informationsübermittlungsvorrichtung empfängt; und einen Controller, der einen Cyberangriff auf das Objekt gemäß den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen analysiert, wobei die zweiten Erfassungsinformationen in der in den ersten Erfassungsinformationen enthaltenen Relevanzinformationen angegeben ist und von dem Empfänger vor dem Empfang der ersten Erfassungsinformationen empfangen wird.
Somit kann ein Server durch bloßes Abrufen von Überwachungsinformationen Informationen erhalten, die die Relevanz zwischen ersten Erfassungsinformationen und zweiten Erfassungsinformationen, die bereits empfangen wurden, angeben. Das heißt, der Server muss keine Verarbeitung zur Bestimmung der Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen durchführen. Dadurch wird die Verarbeitungslast des Servers reduziert.
Gemäß noch einem weiteren Aspekt der vorliegenden Offenbarung umfasst ein Informationsübermittlungsverfahren für ein Objekt, wobei das Objekt eine oder mehrere Vorrichtungen und einen Überwachungssensor umfasst, der jede der einen oder mehreren Vorrichtungen überwacht, Folgendes: Erhalten von ersten Erfassungsinformationen von dem Überwachungssensor, die anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wird; Übermitteln von Überwachungsinformationen an eine externe Vorrichtung, die (i) die ersten Erfassungsinformationen und (ii) Relevanzinformationen enthalten, wobei die Relevanzinformationen die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen anzeigen, die von dem Überwachungssensor erhalten und von dem Sender an die externe Vorrichtung vor der Übermittlung der ersten Erfassungsinformationen übermittelt werden, wobei die zweiten Erfassungsinformationen anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wird, und sich auf die ersten Erfassungsinformationen beziehen.
Auf diese Weise können ähnliche Wirkungen wie die Wirkungen der vorgenannten Informationsübermittlungsvorrichtung erzielt werden.
Diese allgemeinen und spezifischen Aspekte können in einem System, einem Verfahren, einer integrierten Schaltung, einem Computerprogramm oder einem nichtflüchtigen, computerlesbaren Aufzeichnungsmedium, wie zum Beispiel einem Compact Disc-Read Only Memory (CD-ROM), oder einer beliebigen Kombination davon umgesetzt sein. Das Programm kann auf dem Aufzeichnungsmedium gespeichert sein oder dem Aufzeichnungsmedium über ein Weitverkehrsnetz wie das Internet zur Verfügung gestellt werden.
Nachfolgend werden bestimmte beispielhafte Ausführungsformen unter Bezugnahme auf die begleitende Zeichnung genau beschrieben.
Die folgenden Ausführungsformen sind allgemeine oder spezifische Beispiele der vorliegenden Offenbarung. Zahlenwerte, Formen, Materialien, Bestandteile, Anordnungspositionen und die Verbindungsanordnung der Bestandteile, Schritte, die Reihenfolge der Schritte, usw., die in den folgenden Ausführungsformen beschrieben sind, sind nur Beispiele und sollen daher die vorliegende Offenbarung nicht einschränken. Unter den Elementen in den folgenden Ausführungsformen werden diejenigen, die nicht in einem der unabhängigen Ansprüche beschrieben sind, die das weiteste Konzept der vorliegenden Offenbarung angeben, als wahlweise Elemente beschrieben. Es wird darauf hingewiesen, dass die jeweiligen Figuren schematische Darstellungen sind und nicht unbedingt genaue Abbildungen darstellen. Darüber hinaus sind im Wesentlichen gleiche Komponenten in den Figuren mit gleichen Bezugszeichen versehen.
Es sollte auch beachtet werden, dass die folgende Beschreibung numerische Werte und Ausdrücke wie „gleich“ und „identisch“ enthalten kann, um Beziehungen zwischen den konstituierenden Elementen anzuzeigen. Solche numerischen Werte und Ausdrücke bedeuten jedoch nicht nur exakte Bedeutungen. Sie bedeuten auch, dass die Bereiche im Wesentlichen gleich sind, einschließlich einer Abweichung von zum Beispiel einigen Prozent vom vollständig gleichen Bereich.
[Ausführungsform]
Nachfolgend wird ein Fahrzeugüberwachungssystem mit einem Übermittlungsbestimmungsmodul gemäß der vorliegenden Ausführungsform unter Bezugnahme auf die beigefügte Zeichnung beschrieben.
[1. Aufbau des Fahrzeugüberwachungssystems]
Zunächst ist der Aufbau des Fahrzeugüberwachungssystems 1 gemäß der vorliegenden Ausführungsform unter Bezugnahme auf 1 und 2 beschrieben. 1 ist ein Blockdiagramm, das die funktionelle Anordnung des Fahrzeugüberwachungssystems 1 gemäß der vorliegenden Ausführungsform darstellt. Das Fahrzeugüberwachungssystem 1 ist ein Informationsverarbeitungssystem, das eine Analyseverarbeitung in Bezug auf einen Cyberangriff auf das Fahrzeug 100 auf der Grundlage von Protokollinformationen des Fahrzeugs 100 durchführt.
Wie in 1 dargestellt, umfasst das Fahrzeugüberwachungssystem 1 das Fahrzeug 100, das Kommunikationsnetzwerk 200 und das Überwachungssystem 300. Es wird darauf hingewiesen, dass, obwohl in 1 ein Fahrzeug 100 dargestellt ist, die Anzahl der Fahrzeuge 100, die das Fahrzeugüberwachungssystem 1 umfasst, nicht besonders begrenzt ist und zwei oder mehr betragen kann.
Das Fahrzeug 100 verfügt über das Gateway 110, ein oder mehrere Steuereinheiten (ECUs) 120, 121, 130, 131, 140, 141 und 142, IVI (In-Vehicle Infotainment, Bord-Infotainmentvorrichtung) 150 und TCU (Telematik-Steuereinheit) 160. Wenn es nicht notwendig ist, zwischen den einzelnen Steuereinheiten 120, 121, 130, 131, 140, 141 und 142 zu unterscheiden, wird im Folgenden auch der Begriff „Steuereinheiten 120 und dergleichen“ verwendet, um sich auf eine oder mehrere Steuereinheiten 120, 121, 130, 131, 140, 141 und 142 zu beziehen. Es wird darauf hingewiesen, dass das Gateway 110, die Steuereinheiten 120 und dergleichen, das IVI 150 und die TCU 160 Beispiele für Vorrichtungen (fahrzeuginterne Vorrichtungen) sind. Ferner ist die Anzahl der Vorrichtungen, die das Fahrzeug 100 umfasst, nicht besonders begrenzt, und es reicht aus, dass die Anzahl eins oder mehr beträgt.
Es wird darauf hingewiesen, dass die ein oder mehreren Steuereinheiten 120 und dergleichen durch ein fahrzeuginternes Netzwerk miteinander verbunden sind. Es gibt viele Kommunikationsstandards (Kommunikationsprotokolle) für fahrzeuginterne Netzwerke, und ein Kommunikationsstandard namens „Controller Area Network“ (im Folgenden als „CAN“ bezeichnet (eingetragenes Warenzeichen; dasselbe gilt im Folgenden)) ist einer der gängigsten fahrzeuginternen Netzwerkstandards unter diesen Kommunikationsstandards. Obwohl in der vorliegenden Ausführungsform davon ausgegangen wird, dass die eine oder die mehreren Steuereinheiten 120 und dergleichen über CAN verbunden sind, ist die vorliegende Offenbarung nicht darauf beschränkt, und die eine oder die mehreren Steuereinheiten 120 und dergleichen können über CAN-FD (CAN mit flexibler Datenrate), FlexRay (eingetragenes Warenzeichen), Ethernet (eingetragenes Warenzeichen) oder dergleichen verbunden sein. Ferner können die Kommunikationsstandards für jeden Bus unterschiedlich sein.
Das Gateway 110 tauscht Daten wie zum Beispiel Protokollinformationen mit den Steuereinheiten 120 und dergleichen, dem IVI 150 und der TCU 160 aus. In der vorliegenden Ausführungsform fungiert das Gateway 110 als eine Sammelvorrichtung, die Protokollinformationen von den jeweiligen Steuereinheiten 120 und dergleichen, IVI 150 und TCU 160 sammelt. Ferner kann das Gateway 110 eine Verarbeitung zur Übermittlung der empfangenen Daten an einen anderen Bus durchführen.
Das Gateway 110 ist über Busse mit den einzelnen Bestandteilen des Fahrzeugs 100 verbunden. Gateway 110 ist beispielsweise mit den Steuereinheiten 120 und 121 über einen Bus (erster Bus), mit den Steuereinheiten 130 und 131 über einen Bus (zweiter Bus) und mit der Steuereinheit 140 über einen Bus (dritter Bus) verbunden. Ferner ist das Gateway 110 über einen Bus (vierter Bus) mit dem IVI 150 und über einen Bus (fünfter Bus) mit der TCU 160 verbunden. Darüber hinaus ist das Gateway 110 über Steuereinheit 140 mit den Steuereinheiten 141 und 142 verbunden. Die Steuereinheiten 141 und 142 sind jeweils über Busse (sechster Bus bzw. siebter Bus) mit der Steuereinheit 140 verbunden. Gateway 110, Steuereinheiten 120 und dergleichen, IVI 150 und TCU 160 sind über Busse (Kommunikationswege) mit dem gebildeten fahrzeuginternen Netzwerk verbunden und senden und empfangen Daten zueinander und voneinander.
Das Gateway 110 verfügt über ein Modul zur Bestimmung der Übermittlung 110a und einen Überwachungssensor 110b.
Das Übermittlungsbestimmungsmodul 110a ist eine Verarbeitungseinheit, die die von den jeweiligen Bestandteilen des Fahrzeugs 100 (zum Beispiel jeder fahrzeuginternen Vorrichtung) erhaltenen Protokollinformationen an das Überwachungssystem 300 überträgt. Wie später im Detail beschrieben, erzeugt das Übermittlungsbestimmungsmodul 110a, wenn eine Anomalie in einer der fahrzeuginternen Vorrichtungen erkannt wird, Fahrzeugüberwachungsprotokollinformationen, die anzeigen, dass eine Anomalie erkannt wurde, und übermittelt die erzeugten Fahrzeugüberwachungsprotokollinformationen an das Überwachungssystem 300. Es wird darauf hingewiesen, dass das Übermittlungsbestimmungsmodul 110a ein Beispiel für eine Informationsübermittlungsvorrichtung ist.
Der Überwachungssensor 110b ist ein Sensor, der das Gateway 110 überwacht. Der Überwachungssensor 110b detektiert eine Anomalie im Gateway 110.
Steuereinheiten 120 und dergleichen sind jeweils eine Art von Computer, bei dem eine gewünschte Funktion durch ein Computerprogramm realisiert wird. Die Steuereinheiten 120 und dergleichen sind fahrzeuginterne Computer, die das Fahrzeug 100 enthält. Die Steuereinheiten 120 und dergleichen umfassen beispielsweise eine ECU mit einer Motorsteuerungsfunktion, eine ECU mit einer Griffsteuerungsfunktion und eine ECU mit einer Bremssteuerungsfunktion.
Jede der Steuereinheiten 120 und dergleichen hat beispielsweise einen Überwachungssensor, der die Steuereinheit überwacht. ECU 120 hat einen Überwachungssensor 120a, ECU 121 hat einen Überwachungssensor 121a, ECU 130 hat einen Überwachungssensor 130a, und ECU 140 hat einen Überwachungssensor 140a.
IVI 150 weist eine Funktion auf, die einem Benutzer, der im Fahrzeug 100 mitfährt, Informationen, Unterhaltung und dergleichen bietet. IVI 150 kann eine Navigationsfunktion, eine Standortinformationsdienstfunktion, eine Multimedia-Wiedergabefunktion für Musik oder bewegte Bilder oder dergleichen, eine Audiokommunikationsfunktion, eine Datenkommunikationsfunktion, eine Internetverbindungsfunktion oder dergleichen aufweisen. Darüber hinaus kann IVI 150 eine Eingabevorrichtung, wie etwa eine Tastatur oder eine Maus, die Eingaben eines Benutzers entgegennimmt, und eine Anzeigevorrichtung, wie etwa eine Flüssigkristallanzeige, zur Anzeige von Daten aufweisen. Darüber hinaus kann IVI 150 ein Anzeigevorrichtung mit einer Touchpanel-Funktion sein, die sowohl die Eingabe von Daten als auch die Anzeige von Daten ermöglicht.
IVI 150 kommuniziert beispielsweise über das Gateway 110 mit den Steuereinheiten 120 und dergleichen. Ferner kommuniziert IVI 150 beispielsweise über Gateway 110 und TCU 160 mit einer Vorrichtung, die sich außerhalb des Fahrzeugs 100 befindet. Es wird darauf hingewiesen, dass IVI 150 direkt mit TCU 160 über einen Bus verbunden sein kann.
Das IVI 150 weist einen Überwachungssensor 150a auf, der das IVI 150 überwacht. Der Überwachungssensor 150a weist eine Funktion auf, die eine Anomalie in IVI 150 erkennt.
TCU 160 ist eine Kommunikationsvorrichtung und kommuniziert mit einer Vorrichtung, die sich außerhalb des Fahrzeugs 100 befindet, indem sie eine Funkkommunikation mit der externen Vorrichtung durchführt. In der vorliegenden Ausführungsform kommuniziert die TCU 160 mit dem Überwachungssystem 300 unter Verwendung des Kommunikationsnetzwerks 200.
Die TCU 160 weist einen Überwachungssensor 160a auf, der die TCU 160 überwacht. Der Überwachungssensor 160a weist eine Funktion auf, die eine Anomalie in der TCU 160 erkennt.
Überwachungssensoren 120a und dergleichen überwachen die Zielvorrichtungen im Fahrzeug. In einem Fall, in dem ein Signal, das einen anomalen Betrieb im Fahrzeug 100 verursacht, in einem Steuersignal für eine fahrzeuginterne Vorrichtung enthalten ist, können Überwachungssensoren 120a und dergleichen die Anomalie erkennen oder gesteuerte Objekte messen, die von den fahrzeuginternen Vorrichtungen gesteuert werden (zum Beispiel können sie die Geschwindigkeit, die Beschleunigung und den Lenkwinkel messen) und eine Anomalie basierend auf den Messergebnissen erkennen. Nach der Erkennung einer Anomalie geben die Überwachungssensoren 120a und dergleichen Protokollinformationen einschließlich Informationen darüber, dass eine Anomalie erkannt wurde, an das Übermittlungsbestimmungsmodul 110a aus. Die Protokollinformationen, die die Überwachungssensoren 120a und dergleichen an das Übermittlungsbestimmungsmodul 110a ausgeben, sind ein Beispiel für Erfassungsinformationen (zum Beispiel erste Erfassungsinformationen oder zweite Erfassungsinformationen).
Die Überwachungssensoren 120a und dergleichen können so konfiguriert sein, dass sie einen Sensor enthalten, der in der Lage ist, ein oder mehrere Elemente wie Vibration, Verzerrung, Schall, Temperatur, Feuchtigkeit, Beschleunigung, Winkelgeschwindigkeit und Lenkwinkel zu messen, oder dass sie eine Kamera zur Bildanalyse enthalten. Darüber hinaus können die Überwachungssensoren 120a und dergleichen Überwachungssensoren sein, die Kommunikationsdaten der angeschlossenen Busse überwachen. Darüber hinaus können die Überwachungssensoren 120a und dergleichen so konfiguriert sein, dass sie Verarbeitungseinheiten enthalten, die in der Lage sind, die Steuersignale für die fahrzeuginternen Vorrichtungen zu analysieren. Es wird darauf hingewiesen, dass die Anzahl der Überwachungssensoren 120a und dergleichen, die das Fahrzeug 100 enthält, nicht besonders begrenzt ist, und es reicht aus, dass es sich um einen oder mehrere Sensoren handelt. Ferner kann einer der Überwachungssensoren 120a und dergleichen eine Vielzahl von fahrzeuginternen Vorrichtungen überwachen.
Das Kommunikationsnetzwerk 200 ist ein Netzwerk, das die Kommunikation zwischen dem Fahrzeug 100 und dem Überwachungssystem 300 ermöglicht, und kann beispielsweise ein Weitverkehrsnetz wie das Internet oder ein lokales Netzwerk (LAN) sein. Außerdem kann das Kommunikationsnetzwerk 200 ein drahtgebundenes oder ein drahtloses Netz oder eine Kombination aus einem drahtgebundenen und einem drahtlosen Netz sein. In der vorliegenden Ausführungsform ist das Kommunikationsnetzwerk 200 ein drahtloses Netzwerk.
Das Überwachungssystem 300 ist ein System zur Überwachung des Fahrzeugs 100 und wird an einem entfernten Standort vorgesehen, der sich vom Standort des Fahrzeugs 100 unterscheidet. Beispielsweise ist das Überwachungssystem 300 in einer Überwachungszentrale installiert, um die Überwachung des Fahrzeugs 100 durchzuführen. Das Überwachungssystem 300 überwacht das Fahrzeug 100 auf der Grundlage der empfangenen Fahrzeugüberwachungsprotokolldaten. Insbesondere führt das Überwachungssystem 300 eine Analyseverarbeitung in Bezug auf einen Cyberangriff auf das Fahrzeug 100 durch, die auf den empfangenen Fahrzeugüberwachungsprotokollinformationen basiert.
Das Überwachungszentrum kann ein Zentrum sein, das von einem SOC (Security Operation Center) verwaltet wird, das eine Organisation ist, die Protokollinformationen mit dem Überwachungssystem 300 überwacht. Das Überwachungssystem 300 umfasst einen Fahrzeugüberwachungsprotokollempfänger 310, einen Controller 320, eine Anzeige 330 und eine Bedieneinheit 340.
Der Fahrzeugüberwachungsprotokollempfänger 310 ist eine Kommunikationsschnittstelle zur Kommunikation mit dem Fahrzeug 100. Der Fahrzeugüberwachungsprotokollempfänger 310 empfängt Fahrzeugüberwachungsprotokollinformationen vom Fahrzeug 100 über das Kommunikationsnetzwerk 200. Der Fahrzeugüberwachungsprotokollempfänger 310 empfängt beispielsweise eine Vielzahl von Protokollinformationen in Bezug auf eine Reihe von Angriffen, die durch Aufteilung der Übermittlung und des Empfangs der Vielzahl von Protokollinformationen in mehrere Sende- und Empfangsrunden empfangen werden. Der Fahrzeugüberwachungsprotokollempfänger 310 wird beispielsweise durch eine Antenne und eine Funkkommunikationsschaltung realisiert, obwohl der Fahrzeugüberwachungsprotokollempfänger 310 nicht darauf beschränkt ist. Der Fahrzeugüberwachungsprotokollempfänger 310 ist ein Beispiel für einen Empfänger.
Controller 320 ist eine Verarbeitungseinheit, die jedes Element des Überwachungssystems 300 steuert. Controller 320 speichert beispielsweise Fahrzeugüberwachungsprotokollinformationen, die der Fahrzeugüberwachungsprotokollempfänger 310 empfangen hat, in einem Speicher (nicht dargestellt). Ferner analysiert der Controller 320 einen Cyberangriff auf das Fahrzeug 100, indem er die in den Fahrzeugüberwachungsprotokolldaten enthaltenen Protokollinformationen analysiert. Zum Beispiel in einem Fall, in dem eine Vielzahl von Elementen von Protokollinformationen in Bezug auf eine Reihe von Angriffen von Fahrzeug 100 durch Aufteilung der Übermittlung und des Empfangs der Vielzahl von Elementen von Protokollinformationen in mehrere Runden der Übermittlung und des Empfangs übermittelt wird, analysiert Controller 320 den Cyberangriff auf Fahrzeug 100 durch Analyse der Vielzahl von Elementen von Protokollinformationen zusammen. Es kann auch gesagt werden, dass in einem Fall, in dem eine Vielzahl von Elementen von Fahrzeugüberwachungsprotokollinformationen empfangen werden, der Controller 320 einen Cyberangriff auf das Fahrzeug 100 analysiert, indem er ein oder mehrere Elemente von Protokollinformationen extrahiert und analysiert, die aus den Protokollinformationen relevant sind, die in jedem der Vielzahl von Elementen von Fahrzeugüberwachungsprotokollinformationen enthalten sind. Ferner kann auch gesagt werden, dass der Controller 320 beispielsweise eine Analyse in Bezug auf einen Cyberangriff auf das Fahrzeug 100 durchführt, basierend auf Protokollinformationen (Zielprotokollinformationen), die in den zum aktuellen Zeitpunkt erhaltenen Fahrzeugüberwachungsprotokollinformationen enthalten sind, und auf vorhergehenden Protokollinformationen, die Protokollinformationen (vorhergehende Protokollinformationen) sind, die durch Relevanzinformationen angezeigt werden, die in den Fahrzeugüberwachungsprotokollinformationen enthalten sind und die vor den Zielprotokollinformationen empfangen wurden. Die Relevanzinformationen sind Informationen, die die Beziehung zwischen den Zielprotokollinformationen und den vorhergehenden Protokollinformationen angibt.
Es wird darauf hingewiesen, dass der Controller 320 keine Bestimmung darüber vornimmt, ob Fahrzeugüberwachungsprotokollinformationen, die sich auf die von dem Fahrzeugüberwachungsprotokollempfänger 310 empfangenen Fahrzeugüberwachungsprotokollinformationen beziehen, bereits empfangen wurden oder nicht. Im Folgenden wird das Analysieren von Protokollinformationen, die in den Fahrzeugüberwachungsprotokollinformationen enthalten sind, auch einfach als „Analysieren von Protokollinformationen“ bezeichnet.
Eine Servervorrichtung kann durch den Fahrzeugüberwachungsprotokollempfänger 310 und den Controller 320 im Überwachungssystem 300 realisiert werden.
Es wird darauf hingewiesen, dass der Speicher ein Steuerprogramm und dergleichen speichern kann, das der Controller 320 ausführt.
Die Anzeige 330 zeigt die Ergebnisse der Analyse eines Cyberangriffs auf das Fahrzeug 100 einer Überwachungsperson an, die das Fahrzeug 100 überwacht. Die Anzeige 330 ist zum Beispiel eine Monitorvorrichtung wie eine Flüssigkristallanzeige oder eine organische Elektrolumineszenz-(EL)-Anzeige. Es wird darauf hingewiesen, dass die überwachende Person das Fahrzeug 100 von einem entfernten Standort aus überwacht, an dem die überwachende Person das fahrende Fahrzeug 100 nicht direkt überwachen kann. Der Ausdruck „nicht direkt überwachen“ bedeutet zum Beispiel, dass die überwachende Person das Fahrzeug 100 nicht mit bloßem Auge beobachten kann. Das heißt, die überwachende Person überwacht das Fahrzeug 100 aus der Ferne von einem Ort aus, der sich nicht in der Umgebung des Fahrzeugs 100 befindet. Wenn das Fahrzeug 100 ein selbstfahrendes Fahrzeug ist, kann die überwachende Person das Fahrzeug 100 auch aus der Ferne steuern.
Die Bedieneinheit 340 nimmt Bedienungen entgegen, die von der überwachenden Person eingegeben werden. Die Bedieneinheit 340 ist durch eine Tastatur, eine Maus, eine Taste, ein Touchpanel oder dergleichen realisiert. Ferner kann die Bedieneinheit 340 so aufgebaut sein, dass sie Eingaben durch Sprache, Gesten oder dergleichen der überwachenden Person akzeptiert.
Hier wird die Konfiguration des Übermittlungsbestimmungsmoduls 110a unter Bezugnahme auf 2 beschrieben. 2 ist ein Blockdiagramm, das die funktionelle Anordnung des Übermittlungsbestimmungsmoduls 110a gemäß der vorliegenden Ausführungsform darstellt.
Wie in 2 dargestellt, verfügt das Übermittlungsbestimmungsmodul 110a über einen Erfasser 111, einen Überwachungsprotokollspeicher 112, einen Übermittlungsbestimmer 113, einen Übermittlungsstatusspeicher 114, einen Zuordnungsbestimmer 115, einen Generator 116 und eine Ausgabeeinheit 117.
Der Erfasser 111 erhält Protokollinformationen von fahrzeuginternen Vorrichtungen wie die Steuereinheiten 120 und dergleichen, IVI 150 und TCU 160. Insbesondere erhält der Erfasser 111 Protokollinformationen von den jeweiligen Überwachungssensoren, die die jeweiligen fahrzeuginternen Vorrichtungen enthalten. Der Erfasser 111 speichert die erhaltenen Protokollinformationen im Überwachungsprotokollspeicher 112.
Der Überwachungsprotokollspeicher 112 speichert die Protokollinformationen, die der Erfasser 111 erhalten hat, sowie die vom Überwachungssensor 110b erhaltenen Protokollinformationen. Wie ebenfalls oben beschrieben, kann der Überwachungsprotokollspeicher 112 in einigen Fällen aufgrund von Beschränkungen des Speicherbereichs (Beschränkungen der Speicherkapazität) nicht über einen ausreichenden Speicherbereich verfügen, um alle aus einer Vielzahl von Protokollinformationen in Bezug auf eine Reihe von Angriffen zu speichern. Der Überwachungsprotokollspeicher 112 ist ein Beispiel für einen Speicher.
Der Übermittlungsbestimmer 113 bestimmt, ob die im Überwachungsprotokollspeicher 112 gespeicherten Protokollinformationen an das Überwachungssystem 300 übermittelt werden sollen oder nicht. In der vorliegenden Ausführungsform bestimmt der Übermittlungsbestimmer 113, ob eine Vielzahl von Elementen von Protokollinformationen in Bezug auf eine Reihe von Angriffen getrennt voneinander übermittelt werden soll oder nicht.
Der Übermittlungsstatusspeicher 114 speichert Übermittlungsstatusinformationen in Bezug auf die Protokollinformationen, wie beispielsweise ein Ergebnis einer Bestimmung durch den Übermittlungsbestimmer 113 und ein Ergebnis der Übermittlung durch die Ausgabeeinheit 117. Wie später unter Bezugnahme auf 13 und 14 detailliert beschrieben wird, handelt es sich bei den Übermittlungsstatusinformationen um Informationen, denen ein Überwachungssensor, eine Art von Anomalie (Art von Alarm), ein Flag in Bezug auf die Übermittlung, eine Kennung (ID) in Bezug auf die Übermittlung und dergleichen zugeordnet sind. Die Übermittlungsstatusinformationen werden beispielsweise jedes Mal aktualisiert, wenn der Übermittlungsbestimmer 113 bestimmt, ob eine Übermittlung erforderlich ist oder nicht, oder jedes Mal, wenn die Ausgabeeinheit 117 Fahrzeugüberwachungsprotokollinformationen übermittelt, obwohl die Aktualisierung der Übermittlungsstatusinformationen nicht darauf beschränkt ist.
Auf der Grundlage von Protokollinformationen, von denen der Übermittlungsbestimmer 113 bestimmt hat, dass sie übermittelt werden sollen (Zielprotokollinformationen), und einer Historie von bereits übermittelten Protokollinformationen, bei denen es sich um Protokollinformationen handelt, die auf eine Anomalie hinweisen, die vor den Zielprotokollinformationen erkannt wurde, bestimmt der Zuordnungsbestimmer 115, ob es übermittelte Protokollinformationen (vorhergehende Protokollinformationen) gibt, die sich auf die Zielprotokollinformationen beziehen oder nicht. Der Zuordnungsbestimmer 115 bestimmt zum Beispiel auf der Grundlage der Zielprotokollinformationen und der Übermittlungsstatusinformationen, ob es vorhergehende Protokollinformationen gibt, die sich auf die Zielprotokollinformationen beziehen. In einem Fall, in dem es vorhergehende Protokollinformationen gibt, die sich auf die Zielprotokollinformationen beziehen, ordnet der Zuordnungsbestimmer 115 die beiden Elemente der Protokollinformationen zu. Die vorhergehenden Protokollinformationen sind die Protokollinformationen, von denen der Übermittlungsbestimmer 113 festgestellt hat, dass sie übermittelt werden sollen. Es wird darauf hingewiesen, dass die vorhergehenden Protokollinformationen ein Beispiel für zweite Erfassungsinformationen sind.
Basierend auf den Zielprotokollinformationen und einer Historie von Protokollinformationen (nicht übermittelte Protokollinformationen), bei denen es sich um Protokollinformationen handelt, die auf eine Anomalie hinweisen, die vor den Zielprotokollinformationen erkannt wurde und bei denen der Übermittlungsbestimmer 113 festgestellt hat, dass sie nicht übermittelt werden müssen, kann der Zuordnungsbestimmer 115 ferner feststellen, ob es nicht übermittelte Protokollinformationen gibt, die sich auf die Zielprotokollinformationen beziehen oder nicht.
Es reicht aus, dass der Zuordnungsbestimmer 115 zumindest bestimmt, ob es vorhergehende Protokollinformationen gibt oder nicht. Der Zuordnungsbestimmer 115 ist ein Beispiel für einen Bestimmer.
Der Generator 116 erzeugt Fahrzeugüberwachungsprotokollinformationen zur Übermittlung an das Überwachungssystem 300 auf der Grundlage der Protokollinformationen (Zielprotokollinformationen), von denen der Übermittlungsbestimmer 113 bestimmt hat, dass sie übermittelt werden sollen, und des Ergebnisses der Bestimmung durch den Zuordnungsbestimmer 115 in Bezug auf die Protokollinformationen. Beispielsweise erzeugt der Generator 116 in einem Fall, in dem es übermittelte Protokollinformationen gibt, die mit den Zielprotokollinformationen in Beziehung stehen, Fahrzeugüberwachungsprotokollinformationen, die die Zielprotokollinformationen und Informationen (Relevanzinformationen) enthalten, die die Beziehung zwischen den Zielprotokollinformationen und den übermittelten Protokollinformationen angeben.
Die Ausgabeeinheit 117 übermittelt die von Generator 116 erzeugten Fahrzeugüberwachungsprotokollinformationen an das Überwachungssystem 300. Die Ausgabeeinheit 117 ist ein Beispiel für einen Sender.
Die Verarbeitungseinheiten, wie zum Beispiel der Erfasser 111, der Übermittlungsbestimmer 113, der Zuordnungsbestimmer 115, der Generator 116 und die Ausgabeeinheit 117, werden zum Beispiel durch ein in einem Speicher (nicht dargestellt) gespeichertes Steuerprogramm und einen Prozessor, der das Steuerprogramm ausführt, realisiert.
Der Überwachungsprotokollspeicher 112, der Übermittlungsstatusspeicher 114 und der Speicher werden zum Beispiel durch ein ROM (Nur-Lese-Speicher), ein RAM (Direktzugriffsspeicher), ein Festplattenlaufwerk, eine SSD (Solid State Drive) oder dergleichen realisiert.
Wie oben beschrieben, ist das Übermittlungsbestimmungsmodul 110a eine Vorrichtung, die im Fahrzeug 100 vorgesehen ist und eine oder mehrere fahrzeuginterne Vorrichtungen (ein Beispiel für eine Vorrichtung) und Überwachungssensoren (zum Beispiel einen oder mehrere Überwachungssensoren 120a und dergleichen) aufweist, die jede Vorrichtung überwachen, und die Folgendes umfasst: einen Erfasser 111, der von dem Überwachungssensor erste Protokollinformationen (ein Beispiel für erste Erfassungsinformationen) erhält, die anzeigen, dass eine Anomalie in einer der einen oder mehreren fahrzeuginternen Vorrichtungen erfasst wurde; und eine Ausgabeeinheit 117 (ein Beispiel für einen Sender), die an das Überwachungssystem 300 (ein Beispiel für eine externe Vorrichtung) fahrzeuginterne Überwachungsprotokollinformationen (ein Beispiel für Überwachungsinformationen) übermittelt, die Folgendes umfassen: die ersten Protokollinformationen und Relevanzinformationen, die die Relevanz zwischen den ersten Protokollinformationen und den zweiten Protokollinformationen (ein Beispiel für zweite Erfassungsinformationen) angeben, die angeben, dass eine Anomalie in einer der einen oder mehreren fahrzeuginternen Vorrichtungen erkannt wird, die von einem Überwachungssensor erhalten wird und die sich auf die ersten Protokollinformationen bezieht und vor der Übermittlung der ersten Protokollinformationen an das Überwachungssystem 300 übermittelt wird.
Es wird darauf hingewiesen, dass die ersten Protokollinformationen und die zweiten Protokollinformationen Protokollinformationen sein können, wenn Anomalien in derselben fahrzeuginternen Vorrichtung erfasst werden, oder Protokollinformationen sein können, wenn Anomalien in verschiedenen fahrzeuginternen Vorrichtungen erfasst werden. Ferner werden beispielsweise die ersten und die zweiten Protokollinformationen an dieselbe externe Vorrichtung übermittelt.
[2. Betrieb des Fahrzeugüberwachungssystems]
Als Nächstes wird der Betrieb des oben beschriebenen Fahrzeugüberwachungssystems 1 unter Bezugnahme auf 3 bis 15 beschrieben.
[2-1. Betrieb des Übermittlungsbestimmungsmoduls]
Zunächst werden unter Bezugnahme auf 3 die grundlegenden Betriebsweisen des Übermittlungsbestimmungsmoduls 110a beschrieben. 3 ist ein Flussdiagramm, das die grundlegenden Betriebsweisen des Übermittlungsbestimmungsmoduls 110a gemäß der vorliegenden Ausführungsform darstellt.
Wie in 3 dargestellt, sammelt der Erfasser 111 Protokollinformationen von Überwachungssensoren 120a und dergleichen der fahrzeuginternen Vorrichtungen wie Steuereinheiten 120 und dergleichen (S101). Mit anderen Worten, beim Erkennen einer Anomalie geben die Überwachungssensoren 120a und dergleichen Protokollinformationen, die anzeigen, dass eine Anomalie erkannt wurde, an das Übermittlungsbestimmungsmodul 110a aus. Der Erfasser 111 speichert die erhaltenen Protokollinformationen im Überwachungsprotokollspeicher 112.
Als nächstes bestimmt der Übermittlungsbestimmer 113, ob es notwendig ist, die erhaltenen Protokollinformationen an das Überwachungssystem 300 zu übermitteln oder nicht (S102). Zum Beispiel in einem Fall, in dem die durch die Protokollinformationen angezeigte Anomalie eine Anomalie ist, für die der Schweregrad in Bezug auf das Fahrzeug 100 hoch ist, bestimmt der Übermittlungsbestimmer 113, dass es notwendig ist, die Protokollinformationen zu übermitteln. Der Ausdruck „Schweregrad ist hoch“ bedeutet beispielsweise, dass der Schweregrad in Bezug auf die Sicherheit des Fahrzeugs 100 größer oder gleich einem vorbestimmten Schweregrad ist, das heißt, dass der Risikograd größer oder gleich einem vorbestimmten Risikograd ist. Der Übermittlungsbestimmer 113 erhält den Schweregrad in Bezug auf die Protokollinformationen auf der Grundlage der Art der Anomalie (Art des Fehlers), die durch die Protokollinformationen angezeigt wird, und einer Tabelle, in der Arten von Anomalien und Schweregrade zugeordnet sind, obwohl ein Verfahren zum Erhalten des Schweregrads nicht darauf beschränkt ist.
Ferner kann der Übermittlungsbestimmer 113 auf der Grundlage des Grades der Übereinstimmung beim Musterabgleich zwischen den Protokollinformationen und Protokollinformationen, die weiter in der Vergangenheit als die Protokollinformationen erhalten wurden, und einem Anomalienmuster, das mindestens eine Kombination aus einem Erfassungsort einer Anomalie und einer Art von Anomalie zeigt, bestimmen, ob eine Übermittlung durchgeführt werden soll oder nicht. Das Anomalienmuster ist beispielsweise mindestens ein zeitlich aufeinanderfolgendes Muster von Erfassungsorten von Anomalien und Arten von Anomalien, um zu bestimmen, ob es sich bei einer Vielzahl von Angriffen um eine Reihe von Angriffen handelt oder nicht. Der Erkennungsort einer Anomalie zeigt eine fahrzeuginterne Vorrichtung an, in dem die Anomalie erkannt wurde. Wenn beispielsweise Anomalien in einer Vielzahl von fahrzeuginternen Vorrichtungen festgestellt wurden, enthält das Anomaliemuster die sequenzielle Reihenfolge in Bezug auf die fahrzeuginternen Vorrichtungen, in denen die Anomalien festgestellt wurden, und die Art der Anomalie in jeder fahrzeuginternen Vorrichtung, in dem eine Anomalie festgestellt wurde.
Es wird darauf hingewiesen, dass das Anomaliemuster im Voraus festgelegt und im Speicher abgelegt wird. Das Anomaliemuster kann auf der Grundlage von Zeitreihendaten von Erfassungsorten von Anomalien und Arten von Anomalien bestimmt werden, wenn eine Reihe von Angriffen in der Vergangenheit empfangen wurde, oder kann auf der Grundlage einer Vorhersage von Zeitreihendaten von Erfassungsorten von Anomalien und Arten von Anomalien bestimmt werden, die für einen Zeitpunkt angenommen werden, zu dem ein Angriff empfangen wird.
Zum Beispiel kann in einem Fall, in dem der Grad der Übereinstimmung größer oder gleich einem vorbestimmten Grad der Übereinstimmung ist, der Übermittlungsbestimmer 113 bestimmen, dass die Protokollinformationen übermittelt werden sollen, und in einem Fall, in dem der Grad der Übereinstimmung kleiner als der vorbestimmte Grad der Übereinstimmung ist, kann der Übermittlungsbestimmer 113 bestimmen, dass die Protokollinformationen nicht übermittelt werden sollen, da es wenig oder keine zugehörigen Protokollinformationen gibt. Auf diese Weise können in einem Fall, in dem die Wahrscheinlichkeit, dass eine Reihe von Angriffen durchgeführt wird, hoch ist, Protokollinformationen mit Priorität an das Überwachungssystem 300 übermittelt werden.
Es wird darauf hingewiesen, dass der Übermittlungsbestimmer 113 beispielsweise bestimmen kann, dass Protokollinformationen in einem Fall, in dem der Grad der Übereinstimmung größer oder gleich einem vorbestimmten Grad der Übereinstimmung ist, nicht übermittelt werden, und bestimmen kann, dass Protokollinformationen in einem Fall, in dem der Grad der Übereinstimmung kleiner als der vorbestimmte Grad der Übereinstimmung ist, übermittelt werden. Ferner kann der Übermittlungsbestimmer 113 bestimmen, dass Protokollinformationen in einem Fall übermittelt werden, in dem die verfügbare Kapazität des Überwachungsprotokollspeichers 112 kleiner oder gleich einer vorbestimmten Kapazität ist.
Da auf diese Weise zumindest einige einer Vielzahl von Elementen von Protokollinformationen in Bezug auf eine Reihe von Angriffen gemeinsam übermittelt werden können, führt dies zu einer Reduzierung des Kommunikationsverkehrs. Darüber hinaus kann das Überwachungssystem 300, da es zumindest einige Protokollinformationen aus einer Vielzahl von Protokollinformationen in Bezug auf eine Reihe von Angriffen gemeinsam empfängt, eine kollektive Verarbeitung in Bezug auf die zumindest einigen Protokollinformationen durchführen.
Ferner kann beispielsweise in einem Fall, in dem eine Reihe von Angriffen beendet wurde, das heißt in einem Fall, in dem ein Cyberangriff, der eine Anomalie verursacht hat, beendet wurde (beispielsweise in einem Fall, in dem der Übermittlungsbestimmer 113 festgestellt hat, dass ein Cyberangriff beendet wurde), der Übermittlungsbestimmer 113 feststellen, dass es notwendig ist, Protokollinformationen zu übermitteln. Der Übermittlungsbestimmer 113 kann auf der Grundlage der Protokollinformationen und der Protokollinformationen, die weiter zurückliegen als die Protokollinformationen, sowie eines Anomaliemusters bestimmen, ob ein Cyberangriff beendet wurde oder nicht. Zum Beispiel kann der Übermittlungsbestimmer 113 bestimmen, dass es notwendig ist, Protokollinformationen zu übermitteln, wenn eine durch die Protokollinformationen angezeigte Anomalie mit einer Anomalie übereinstimmt, die als letzte in einem vorbestimmten Anomaliemuster auftritt. Es wird darauf hingewiesen, dass die Feststellung, ob eine Reihe von Angriffen beendet ist oder nicht, nicht auf eine Feststellung beschränkt ist, die anhand eines Anomaliemusters getroffen wird, sondern auch durch ein anderes Verfahren erfolgen kann. Der Übermittlungsbestimmer 113 kann beispielsweise bestimmen, dass eine Reihe von Angriffen beendet ist, wenn eine vorbestimmte Zeitspanne ab einem Zeitpunkt verstrichen ist, an dem die Protokollinformationen erhalten wurden.
Ferner kann beispielsweise in einem Fall, in dem eine vorbestimmte Zeitspanne ab einem Zeitpunkt verstreicht, zu dem Protokollinformationen erhalten wurden (ein Fall, in dem eine Zeitüberschreitung auftrat), der Übermittlungsbestimmer 113 bestimmen, dass es notwendig ist, die Protokollinformationen zu übermitteln. Die vorbestimmte Zeitspanne kann ein gemeinsamer Wert sein oder ein Wert, der für jede Art von Anomalie unterschiedlich ist.
Ferner kann beispielsweise in einem Fall, in dem die verfügbare Kapazität des Überwachungsprotokollspeichers 112 kleiner oder gleich einer vorbestimmten Kapazität geworden ist (zum Beispiel in einem Fall, in dem der Überwachungsprotokollspeicher 112 einen Zustand erreicht hat, in dem der Speicher voll ist), der Übermittlungsbestimmer 113 bestimmen, dass es notwendig ist, Protokollinformationen zu übermitteln.
Mindestens eine der folgenden Bedingungen: die Bedingung, dass der Schweregrad der in den Protokollinformationen angezeigten Anomalie größer oder gleich einem vorbestimmten Schweregrad ist, die Bedingung, dass ein Cyberangriff, der die Anomalie verursacht hat, als beendet gilt, die Bedingung, dass eine vorbestimmte Zeitspanne verstrichen ist, seit die in den Protokollinformationen angezeigte Anomalie erkannt wurde, und die Bedingung, dass die verfügbare Kapazität des Überwachungsprotokollspeichers 112 kleiner oder gleich einer vorbestimmten Kapazität ist, ist ein Beispiel für eine vorbestimmte Bedingung zum Bestimmen, ob Protokollinformationen übermittelt werden sollen oder nicht.
In einem Fall, in dem es notwendig ist, Protokollinformationen zu übermitteln („Ja“ in S102), speichert der Übermittlungsbestimmer 113 den Übermittlungsstatus der Protokollinformationen im Übermittlungsstatusspeicher 114 (S103). Beispielsweise verknüpft der Übermittlungsbestimmer 113 die Protokollinformationen mit Informationen, die anzeigen, dass eine Übermittlung erforderlich ist (zum Beispiel ein Übermittlungsflag „1“), und speichert die zugehörigen Informationen im Übermittlungsstatusspeicher 114. Wenn es nicht notwendig ist, die Protokollinformationen zu übermitteln („Nein“ in S102), kehrt der Übermittlungsbestimmer 113 zu Schritt S101 zurück und setzt die Verarbeitung fort.
Es wird darauf hingewiesen, dass in einem Fall, in dem das Ergebnis der Bestimmung in Schritt S102 „Nein“ ist, der Übermittlungsbestimmer 113 die Protokollinformationen und Informationen, die anzeigen, dass es nicht notwendig ist, die Protokollinformationen zu übermitteln (z.B. ein Übermittlungsflag „0“), verknüpfen und die verknüpften Informationen im Übermittlungsstatusspeicher 114 speichern kann.
Als Nächstes bestimmt der Zuordnungsbestimmer 115, ob es in Bezug auf die Protokollinformationen (Zielprotokollinformationen), deren Übermittlung als notwendig bestimmt wurde (S104), vorhergehende Protokollinformationen gibt oder nicht. Die vorhergehenden Protokollinformationen sind Protokollinformationen, die vor den Zielprotokollinformationen erhalten wurden und mit den Zielprotokollinformationen in Beziehung stehen, und sind Protokollinformationen, die bereits an das Überwachungssystem 300 übermittelt wurden (übermittelte Protokollinformationen). Der Begriff „in Beziehung stehen“ bedeutet, dass die vorhergehenden Protokollinformationen und die Zielprotokollinformationen eine Reihe von Protokollinformationen sind, die in Bezug auf eine Reihe von Angriffen erkannt wurden.
Der Zuordnungsbestimmer 115 bestimmt beispielsweise, ob die übermittelten Protokollinformationen mit den Zielprotokollinformationen in Beziehung stehen oder nicht, und zwar auf der Grundlage der jeweiligen Zeitpunkte des Erhalts der Zielprotokollinformationen und der übermittelten Protokollinformationen oder des Grads der Übereinstimmung in einem zeitlich aufeinanderfolgenden Muster in Bezug auf die Vorrichtungen, von denen die in den Zielprotokollinformationen und den übermittelten Protokollinformationen angegebenen Anomalien erfasst werden, und die Arten der Anomalien. Der Zuordnungsbestimmer 115 stellt fest, dass die übermittelten Protokollinformationen mit den Zielprotokollinformationen in Beziehung stehen, wenn die Zielprotokollinformationen innerhalb eines vorbestimmten Zeitraums nach den übermittelten Protokollinformationen erhalten wurden, oder wenn ein zeitlich sequentielles Anomalienmuster in Bezug auf die Vorrichtungen, von denen die in den Zielprotokollinformationen und den übermittelten Protokollinformationen angegebenen Anomalien erkannt werden, und die Arten der Anomalien zumindest teilweise mit einem vorbestimmten Anomalienmuster übereinstimmen. Das heißt, der Zuordnungsbestimmer 115 stellt fest, dass es in Bezug auf die Zielprotokollinformationen vorhergehende Protokollinformationen gibt.
In einem Fall, in dem es vorhergehende Protokollinformationen gibt („Ja“ in S104), setzt der Zuordnungsbestimmer 115 Assoziationsinformationen in Bezug auf die Zielprotokollinformationen (S105). Der Zuordnungsbestimmer 115 fügt Informationen, die sich auf die vorhergehenden Protokollinformationen beziehen, als Protokollinformationen, die sich auf die Zielprotokollinformationen beziehen, zu den Übermittlungsstatusinformationen hinzu, die im Übermittlungsstatusspeicher 114 gespeichert werden. Es reicht aus, dass die Informationen, die sich auf die vorhergehenden Protokollinformationen beziehen, Informationen sind, die die Protokollinformationen (vorhergehende Protokollinformationen), die sich auf die Ziel-Protokollinformationen beziehen, aus einer Vielzahl von Elementen von Protokollinformationen, die das Überwachungssystem 300 empfangen hat, identifizieren können. Die Information, die sich auf die vorhergehenden Protokollinformationen bezieht, ist beispielsweise eine Protokollübermittlungs-ID, die verwendet wurde, als die vorhergehenden Protokollinformationen übermittelt wurden, obwohl die Information, die sich auf die vorhergehenden Protokollinformationen bezieht, die Zeit sein kann, zu der die vorhergehenden Protokollinformationen übermittelt wurden, oder die Zeit, zu der eine Anomalie entdeckt wurde. Ferner kann der Zuordnungsbestimmer 115 die Identifizierung der Beziehung zwischen dem Vorhandensein vorhergehender Protokollinformationen und den Zielprotokollinformationen ermöglichen, indem er zusammen mit Flag-Informationen, die anzeigen, dass vorhergehende Protokollinformationen vorhanden sind, die Protokollübermittlungs-ID, die verwendet wurde, als die vorhergehenden Protokollinformationen übermittelt wurden, als die Protokollübermittlungs-ID verwendet, die bei der Übermittlung der Zielprotokollinformationen verwendet wird, oder durch Hinzufügen einer gemeinsamen Angriffsbestimmungs-ID, die anzeigt, dass es sich bei den Protokollen um Protokolle handelt, die sich auf dieselbe Reihe von Angriffen beziehen.
Als Nächstes erzeugt der Generator 116 Fahrzeugüberwachungsprotokollinformationen, die die Protokollinformationen enthalten, deren Übermittlung als notwendig erachtet wurde (S106). Wenn das in Schritt S104 ermittelte Ergebnis „Ja“ lautet, werden Assoziationsinformationen (Relevanzinformationen) in die Fahrzeugüberwachungsprotokollinformationen aufgenommen.
Als Nächstes übermittelt die Ausgabeeinheit 117 die vom Generator 116 erzeugten Fahrzeugüberwachungsprotokollinformationen an das Überwachungssystem 300 (S107). Es wird darauf hingewiesen, dass, wenn das in Schritt S102 ermittelte Ergebnis „Nein“ ist, die Fahrzeugüberwachungsprotokollinformationen nicht übermittelt werden. Das heißt, die Ausgabeeinheit 117 übermittelt die Fahrzeugüberwachungsprotokollinformationen einschließlich der Zielprotokollinformationen an das Überwachungssystem 300 in einem Fall, in dem eine vorbestimmte Bedingung erfüllt ist.
Es wird darauf hingewiesen, dass, obwohl es beschrieben ist, dass die Bestimmungsverarbeitung in Schritt S104 bestimmt, ob die vorhergehenden Protokollinformationen und die Zielprotokollinformationen eine Reihe von Elementen von Protokollinformationen sind oder nicht, die in Bezug auf eine Reihe von Angriffen erfasst wurden, die Bestimmungsverarbeitung in Schritt S104 nur bestimmen kann, ob vorhergehende Protokollinformationen vorhanden sind oder nicht, und nicht bestimmen muss, ob die vorhergehenden Protokollinformationen und die Zielprotokollinformationen Elemente von Protokollinformationen sind oder nicht, die in Bezug auf eine Reihe von Angriffen erfasst wurden. In diesem Fall, wenn vorhergehende Protokollinformationen vorhanden sind, werden die Zielprotokollinformationen als mit den vorhergehenden Protokollinformationen in Beziehung stehend betrachtet. Ferner kann die Bestimmungsverarbeitung in Schritt S104 von einer anderen Vorrichtung als dem Übermittlungsbestimmungsmodul 110a durchgeführt werden, und das Übermittlungsbestimmungsmodul 110a kann das Bestimmungsergebnis der anderen Vorrichtung erhalten. Es wird darauf hingewiesen, dass zum Beispiel das Überwachungssystem 300 nicht in der anderen Vorrichtung enthalten ist. Ferner kann in Schritt S102 und/oder Schritt S104 eine Bestimmung, ob die Zielprotokollinformationen und die vor den Zielprotokollinformationen empfangenen Protokollinformationen eine Reihe von Protokollinformationen sind, die in Bezug auf eine Reihe von Angriffen erfasst wurden, von einer anderen Vorrichtung als dem Übermittlungsbestimmungsmodul 110a durchgeführt werden, und das Übermittlungsbestimmungsmodul 110a kann das Bestimmungsergebnis der anderen Vorrichtung erhalten.
Als nächstes werden die Vorgänge in einem Fall beschrieben, in dem Anomalien nacheinander von zwei Überwachungssensoren erfasst werden, wobei auf 4 bis 11 Bezug genommen wird. 4 ist eine Ansicht, die ein Beispiel für die Erkennung von Anomalien durch Überwachungssensoren darstellt. Die Alarme A und B sind Beispiele für Protokollinformationen.
In 4 ist ein Beispiel dargestellt, bei dem Anomalien nacheinander von zwei Überwachungssensoren, nämlich den Überwachungssensoren A und B, erkannt werden. Insbesondere wird eine Anomalie (Alarm A) von Überwachungssensor A zum Zeitpunkt t1 erkannt, und eine Anomalie (Alarm B) wird von Überwachungssensor B zum Zeitpunkt t2 erkannt, der nach dem Zeitpunkt t1 liegt. Obwohl in 4 ein Beispiel dargestellt ist, bei dem die Überwachungssensoren A und B unterschiedliche Überwachungssensoren sind, können die Überwachungssensoren A und B derselbe Überwachungssensor sein. Es wird darauf hingewiesen, dass Alarm A in Bezug auf den Überwachungssensor A und Alarm B in Bezug auf den Überwachungssensor B durch eine Reihe von Angriffen verursacht werden.
Hier wird angenommen, dass zum Zeitpunkt t1 unter den Überwachungssensoren A und B eine Anomalie nur vom Überwachungssensor A erkannt wird. In diesem Fall erhält der Erfasser 111 des Übermittlungsbestimmungsmoduls 110a Protokollinformationen einschließlich des Alarms A vom Überwachungssensor A. Anschließend erzeugt der Generator 116 in Schritt S102, wenn bestimmt wird, dass eine Übermittlung erforderlich ist, die in 5 dargestellten Fahrzeugüberwachungsprotokollinformationen. 5 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die auf der Grundlage des Alarms A zum Zeitpunkt t1 erzeugt werden.
Wie in 5 dargestellt, sind in den Fahrzeugüberwachungsprotokollinformationen (Übermittlungsinhalt von Protokoll A), die dem Alarm A entsprechen, Informationen über eine Protokollübermittlungs-ID, einen Alarmtyp, das Vorhandensein eines vorhergehenden Protokolls, eine vorhergehende Protokollübermittlungs-ID, einen Schweregrad, die Frage, ob ein Angriff beendet wurde, eine Zeitüberschreitung und die Frage, ob ein Speicher voll ist, enthalten. In die Fahrzeugüberwachungsprotokollinformationen kann ein Eintrag aufgenommen werden, der sich auf den Zeitpunkt bezieht, zu dem Alarm A festgestellt wurde.
Die Protokollübermittlungs-ID ist eine Identifizierungsinformation, die bei der Übermittlung der Protokollinformationen, die den Alarm A enthalten, beigefügt wird.
Der Alarmtyp zeigt die Art der vom Überwachungssensor A erkannten Anomalie. In 5 ist ein Beispiel dargestellt, in dem eine Anomalie, die dem Alarm A entspricht, vom Überwachungssensor A erkannt wurde.
Das Element Vorhergehendes Protokoll vorhanden zeigt an, ob es vorhergehende Protokollinformationen gibt, die sich auf die dem Alarm A entsprechenden Protokollinformationen beziehen. In dem Beispiel in 5 wird gezeigt, dass es keine vorhergehenden Protokollinformationen gibt.
In einem Fall, in dem es vorhergehende Protokollinformationen gibt, wird die Protokollübermittlungs-ID, die bei der Übermittlung der vorhergehenden Protokollinformationen hinzugefügt wurde, als vorhergehende Protokollübermittlungs-ID festgelegt. Die vorhergehende Protokollübermittlungs-ID ist eine Information zur Identifizierung der vorhergehenden Protokollinformationen und eine Information, die in den vorhergehenden Protokollinformationen enthalten ist. In dem Beispiel in 5 wird keine vorhergehende Protokollübermittlungs-ID gesetzt, da es keine vorhergehenden Protokollinformationen gibt.
Das Element Schweregrad ist eine Information, die angibt, ob der Schweregrad hoch ist oder nicht. In dem Beispiel in 5 wird gezeigt, dass der Schweregrad hoch ist.
Das Element Angriff beendet zeigt an, ob eine Reihe von Angriffen, die die durch den Alarm A angezeigte Anomalie verursacht haben, als beendet gilt oder nicht. In dem Beispiel in 5 wird gezeigt, dass die Angriffe fortgesetzt werden.
Das Element Zeitüberschreitung zeigt an, ob die verstrichene Zeit seit der Erkennung von Alarm A eine vorgegebene Zeitspanne überschritten hat oder nicht. In dem Beispiel in 5 wird gezeigt, dass keine Zeitüberschreitung stattgefunden hat.
Das Element Speicher voll zeigt an, ob die verfügbare Kapazität des Überwachungsprotokollspeichers 112 kleiner oder gleich einer vorgegebenen Kapazität ist oder nicht. In dem Beispiel in 5 wird gezeigt, dass der Speicher des Überwachungsprotokollspeichers 112 nicht voll ist.
Es wird darauf hingewiesen, dass die Elemente Schweregrad, Angriff beendet, Zeitüberschreitung und Speicher voll Informationen sind, die den Grund für die Entscheidung zeigen, dass es notwendig war, Alarm A zu übermitteln. In 5 ist ein Beispiel dargestellt, in dem, weil der Schweregrad von Alarm A hoch ist, durch den Übermittlungsbestimmer entschieden wurde, Alarm A einzeln zu übermitteln. Das heißt, es wird gezeigt, dass die Fahrzeugüberwachungsprotokollinformationen übermittelt wurden, weil der Risikograd von Alarm A hoch und der Dringlichkeitsgrad hoch ist. Daher sind in den Fahrzeugüberwachungsprotokolldaten Informationen enthalten, die den Grund für die Entscheidung angeben, dass es notwendig war, die Zielprotokolldaten zu übermitteln. Es kann auch gesagt werden, dass Informationen, die anzeigen, dass eine vorbestimmte Bedingung für die Bestimmung, dass die Übermittlung notwendig ist, erfüllt ist, in den Fahrzeugüberwachungsprotokollinformationen enthalten sind.
Als Nächstes werden die Fahrzeugüberwachungsprotokollinformationen (Übermittlungsinhalte von Protokoll B), die auf der Grundlage des Alarms B zum Zeitpunkt t2 erzeugt wurden, unter Bezugnahme auf 6 beschrieben. 6 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die auf der Grundlage von Alarm B zum Zeitpunkt t2 erzeugt werden. Es wird darauf hingewiesen, dass die Elemente in den Fahrzeugüberwachungsprotokollinformationen dieselben sind wie in 5.
Wie in 6 dargestellt, wird im Element für die Protokollübermittlungs-ID eine ID festgelegt, die sich von der Protokollübermittlungs-ID der Fahrzeugüberwachungsprotokollinformationen unterscheidet, die zum Zeitpunkt t1 übermittelt wurden. Das heißt, die Alarme A und B sind jeweils durch die entsprechenden Protokollübermittlungs-IDs identifizierbar. Es wird darauf hingewiesen, dass die eingestellte Protokollübermittlungs-ID nicht besonders begrenzt ist.
In einem Fall, in dem vorhergehende Protokollinformationen vorhanden sind, wird „1“, die anzeigt, dass vorhergehende Protokollinformationen vorhanden sind, für das Element für die Existenz vorhergehender Protokollinformationen gesetzt, und die Protokollübermittlungs-ID der Fahrzeugüberwachungsprotokollinformationen, die dem Alarm A entsprechen, der bereits übermittelt wurde, wird für die vorhergehende Protokollübermittlungs-ID gesetzt.
Auf diese Weise kann das Überwachungssystem 300 beispielsweise durch bloßes Überprüfen der Informationen der vorhergehenden Protokollübermittlungs-ID der Fahrzeugüberwachungsprotokollinformationen, die dem Alarm B entsprechen, wissen, dass die Fahrzeugüberwachungsprotokollinformationen mit den Fahrzeugüberwachungsprotokollinformationen zusammenhängen, die dem bereits empfangenen Alarm A entsprechen.
Es wird darauf hingewiesen, dass in einem Fall, in dem die Übermittlungs-ID von Alarm A als die vorhergehende Protokollübermittlungs-ID eingestellt ist, der Alarm A nicht im Alarmtyp enthalten ist.
Es wird darauf hingewiesen, dass das vorhergehende Element für die Existenz vorhergehender Protokollinformationen und die vorhergehende Protokollübermittlungs-ID Beispiele für Relevanzinformationen sind, die die Relevanz zwischen zwei Protokollinformationen anzeigen. Man kann auch sagen, dass das vorhergehende Element für die Existenz vorhergehender Protokollinformationen und die vorhergehende Protokollübermittlungs-ID Informationen sind, die die Korrelation zwischen zwei Elementen von Protokollinformationen anzeigen. Ferner reicht es aus, dass mindestens eines aus Element für die Existenz vorhergehender Protokollinformationen und vorhergehender Protokollübermittlungs-ID in den Fahrzeugüberwachungsprotokollinformationen enthalten ist. Das heißt, es reicht aus, dass die Relevanzinformationen mindestens eine der folgenden Informationen enthalten: Informationen, die anzeigen, ob vorhergehende Protokollinformationen vorhanden sind, und Informationen, die zur Identifizierung vorhergehender Protokollinformationen dienen und die in den vorhergehenden Protokollinformationen enthalten sind. Dadurch, dass das Element für das Vorhandensein eines vorhergehenden Protokolls in den Fahrzeugüberwachungsprotokollinformationen enthalten ist, kann die Verarbeitung durch das Überwachungssystem 300 zur Bestimmung, ob es vorhergehende Protokollinformationen gibt oder nicht, entfallen. Ferner kann durch die vorhergehende Protokollübermittlungs-ID, die in den Fahrzeugüberwachungsprotokollinformationen enthalten ist, die Verarbeitung durch das Überwachungssystem 300 zum Extrahieren vorhergehender Protokollinformationen entfallen. Unter dem Gesichtspunkt der weiteren Reduzierung der Verarbeitungslast des Überwachungssystems 300 ist es besser, wenn die vorhergehende Protokollübermittlungs-ID in den Fahrzeugüberwachungsprotokollinformationen enthalten ist. Es wird darauf hingewiesen, dass die Verarbeitungslast des Überwachungssystems 300 reduziert werden kann, indem zu den Fahrzeugüberwachungsprotokollinformationen Informationen hinzugefügt werden, die anzeigen, ob es vorhergehende Protokollinformationen gibt, und eine gemeinsame Angriffsbestimmungs-ID, die anzeigt, dass sich die Protokolle auf dieselbe Reihe von Angriffen beziehen. Zum Beispiel kann in Schritt S105 der Zuordnungsbestimmer 115 als Assoziationsinformationen die gleiche Angriffsbestimmungs-ID (gemeinsame Angriffsbestimmungs-ID) für Elemente von Protokollinformationen setzen, die als zu einer Reihe von Angriffen gehörend bestimmt wurden. In diesem Fall kann das Überwachungssystem 300, indem es lediglich bestimmt, ob die Angriffsbestimmungs-IDs übereinstimmen oder nicht, Protokollinformationen, die sich auf die Zielprotokollinformationen beziehen, aus den bereits erhaltenen Protokollinformationen extrahieren.
Es wird darauf hingewiesen, dass Informationen über den Schweregrad, ob ein Angriff beendet wurde, eine Zeitüberschreitung und ob der Speicher voll ist, nicht in den Fahrzeugüberwachungsprotokollinformationen enthalten sein müssen.
7 ist ein Flussdiagramm, das eine Reihe von Betriebsweisen veranschaulicht, die das Übermittlungsbestimmungsmodul 110a durchführt, wenn eine in 4 dargestellte Anomalie erkannt wird. Es wird davon ausgegangen, dass ein Alarm, der mit Alarm A zusammenhängt, nicht vor dem Zeitpunkt t1 erkannt wurde. Das heißt, es wird angenommen, dass Alarm A ein Alarm ist, der sich auf eine Anomalie bezieht, die zuerst in Bezug auf eine Reihe von Angriffen entdeckt wurde.
Der Erfasser 111 erhält den Alarm A, der anzeigt, dass zum Zeitpunkt t1 eine Anomalie festgestellt wurde (S201). Der Schritt S201 entspricht dem in 3 dargestellten Schritt S101.
Als Nächstes bestimmt der Übermittlungsbestimmer 113, ob es notwendig ist, den Alarm A zu übermitteln oder nicht (S202).
Als Nächstes, wenn es notwendig ist, Alarm A zu übermitteln („Ja“ in S202), übermittelt die Ausgabeeinheit 117 die Fahrzeugüberwachungsprotokollinformationen einschließlich des vom Generator 116 erzeugten Alarms A an das Überwachungssystem 300. Das heißt, die Ausgabeeinheit 117 übermittelt den Alarm A (S203). Wenn es nicht notwendig ist, Alarm A zu übermitteln („Nein“ in S202), führt die Ausgabeeinheit 117 keine Übermittlung der Fahrzeugüberwachungsprotokollinformationen einschließlich des Alarms A durch. Schritt S202 entspricht dem in 3 dargestellten Schritt S102, und Schritt S203 entspricht dem in 3 dargestellten Schritt S107.
8 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die in dem in 7 dargestellten Schritt S203 übermittelt werden. Es wird darauf hingewiesen, dass in 8 bis 11 einige Elemente aus den jeweiligen Elementen, die in den Fahrzeugüberwachungsprotokollinformationen enthalten sind, extrahiert und dargestellt werden.
Wie in 8 dargestellt, sind in den in Schritt S203 übermittelten Fahrzeugüberwachungsprotokollinformationen Informationen enthalten, die angeben, dass die Protokollübermittlungs-ID „XXXXA“, der Alarmtyp „Alarm A“ und der Eintrag für das vorhergehende Protokollexistenz-Element „keines“ ist.
Wieder mit Bezug auf 7, erhält der Erfasser 111 als Nächstes den Alarm B, der anzeigt, dass zum Zeitpunkt t2 eine Anomalie erkannt wurde (S204). Der Schritt S204 entspricht dem in 3 dargestellten Schritt S101.
Als Nächstes bestimmt der Übermittlungsbestimmer 113, ob die Alarme A und B durch eine Reihe von Angriffen verursacht wurden oder nicht (S205). Die Bestimmung in Schritt S205 entspricht der Bestimmung, ob die Alarme A und B zusammenhängen oder nicht. Wenn die Alarme A und B durch eine Reihe von Angriffen verursacht werden („Ja“ in S205), bestimmt der Übermittlungsbestimmer 113, ob die Alarme A und B übermittelt werden müssen oder nicht (S206). Der Übermittlungsbestimmer 113 kann die Bestimmung in Schritt S206 auf der Grundlage des Schweregrads in einem Fall vornehmen, in dem die Alarme A und B als ein einziger Alarm betrachtet werden. Der Schweregrad kann zum Beispiel der Schweregrad in dem Fall sein, in dem der Alarm B nach dem Alarm A aufgetreten ist, oder er kann ein Schweregrad sein, der durch Ausführen einer vorbestimmten arithmetischen Operation (zum Beispiel gewichtete Addition) an dem Schweregrad von Alarm A und dem Schweregrad von Alarm B berechnet wird.
Wenn es notwendig ist, die Alarme A und B zu übermitteln („Ja“ in S206), bestimmt der Übermittlungsbestimmer 113 ferner, ob Alarm A übermittelt wurde oder nicht (S207). Der Übermittlungsbestimmer 113 bestimmt, ob der Alarm A übermittelt wurde oder nicht, zum Beispiel auf der Grundlage von Informationen über den Übermittlungsstatus (zum Beispiel ein in 13 dargestelltes Flag für den Abschluss der Übermittlung), die im Übermittlungsstatusspeicher 114 gespeichert sind.
Wenn der Alarm A übermittelt wurde („Ja“ in S207), übermittelt die Ausgabeeinheit 117 als Nächstes die Fahrzeugüberwachungsprotokollinformationen einschließlich Alarm B, die der Generator 116 erzeugt hat, an das Überwachungssystem 300. Das heißt, die Ausgabeeinheit 117 übermittelt den Alarm B (S208).
9 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die in dem in 7 dargestellten Schritt S208 übermittelt werden.
Wie in 9 dargestellt, sind in den in Schritt S208 übermittelten Fahrzeugüberwachungsprotokollinformationen Informationen enthalten, die anzeigen, dass die Protokollübermittlungs-ID „XXXXB“ ist, der Alarmtyp „Alarm B“ ist, der Eintrag für das vorhergehende Protokollexistenz-Element „existiert“ ist und die vorhergehende Protokollübermittlungs-ID „XXXXA“ ist. Das heißt, Informationen, die anzeigen, dass die vorhergehenden Protokollinformationen für Alarm B Alarm A sind, der in Schritt S203 übermittelt wurde, sind enthalten.
Wieder mit Bezug auf 7, wenn Alarm A noch nicht übermittelt wurde („Nein“ in S207), übermittelt die Ausgabeeinheit 117 die Fahrzeugüberwachungsprotokollinformationen einschließlich der Alarme A und B, die der Generator 116 erzeugt hat, an das Überwachungssystem 300. Das heißt, die Ausgabeeinheit 117 übermittelt die Alarme A und B (S209).
10 ist eine Ansicht, die einen Überblick über die Fahrzeugüberwachungsprotokollinformationen zeigt, die in dem in 7 dargestellten Schritt S209 übermittelt werden.
Wie in 10 dargestellt, sind in den in Schritt S209 übermittelten Fahrzeugüberwachungsprotokollinformationen Informationen enthalten, die angeben, dass die Protokollübermittlungs-ID „XXXXB“ ist, die Alarmtypen „Alarme A, B“ sind und der Eintrag für das vorhergehende Protokollexistenz-Element „keines“ ist. Das heißt, in Schritt S209 werden sowohl Alarm A als auch Alarm B übermittelt. Da Alarm A und Alarm B zur gleichen Zeit übermittelt werden, wird eine gemeinsame Protokollübermittlungs-ID festgelegt.
Wenn es nicht notwendig ist, die Alarme A und B zu übermitteln („Nein“ in S206), beendet der Übermittlungsbestimmer 113 die Verarbeitung, wobei wieder auf 7 verwiesen wird.
Wenn es sich bei den Alarmen A und B nicht um Alarme handelt, die durch eine Reihe von Angriffen verursacht wurden („Nein“ in S205), bestimmt der Übermittlungsbestimmer 113, ob es notwendig ist, Alarm B zu übermitteln oder nicht (S210).
Wenn es notwendig ist, Alarm B zu übermitteln („Ja“ in S210), übermittelt die Ausgabeeinheit 117 als Nächstes Fahrzeugüberwachungsprotokollinformationen einschließlich Alarm B, den der Generator 116 erzeugt hat, an das Überwachungssystem 300. Das heißt, die Ausgabeeinheit 117 übermittelt den Alarm B (S211).
11 ist eine Ansicht, die die einen Überblick über die in Schritt S211 übermittelten Fahrzeugüberwachungsprotokollinformationen, wie in 7 dargestellt, zeigt.
Wie in 11 dargestellt, sind in den in Schritt S211 übermittelten Fahrzeugüberwachungsprotokollinformationen Informationen enthalten, die angeben, dass die Protokollübermittlungs-ID „XXXXB“, der Alarmtyp „Alarm B“ und der Eintrag für das vorhergehende Protokollexistenz-Element „keines“ ist. Das heißt, in Schritt S211 werden Fahrzeugüberwachungsprotokollinformationen, die Informationen enthalten, die anzeigen, dass es keine zugehörigen Protokollinformationen gibt, übermittelt.
Wenn es nicht notwendig ist, den Alarm B zu übermitteln („Nein“ in S210), beendet der Übermittlungsbestimmer 113 die Verarbeitung, wobei wieder auf 7 verwiesen wird.
Es wird darauf hingewiesen, dass der Schritt S205 dem in 3 dargestellten Schritt S104, die Schritte S206 und S210 dem in 3 dargestellten Schritt S102 und die Schritte S208, S209 und S211 dem in 3 dargestellten Schritt S107 entsprechen.
Als Nächstes werden die detaillierten Betriebsweisen des Übermittlungsbestimmungsmoduls 110a unter Bezugnahme auf 12 beschrieben. 12 ist ein Flussdiagramm, das die detaillierten Betriebsweisen des Übermittlungsbestimmungsmoduls 110a gemäß der vorliegenden Ausführungsform darstellt. In 12 werden die detaillierten Vorgänge unter Verwendung von Übermittlungsstatusinformationen beschrieben, die im Übermittlungsstatusspeicher 114 gespeichert sind. Es wird darauf hingewiesen, dass in 12 ein Beispiel für die Bestimmung, ob ein Alarm übermittelt werden soll oder nicht, unter Verwendung einer Fahrzeugbewertung und einer Einheitsbewertung als Beispiel für den Schweregrad beschrieben wird.
Wie in 12 dargestellt, erhält der Erfasser 111 einen Alarm (Zielalarm) (S301). Der Schritt S301 entspricht dem in 3 dargestellten Schritt S101.
Als Nächstes legt der Übermittlungsbestimmer 113 eine Einheitsbewertung fest (S302). Die Einheitsbewertung zeigt den Grad einer Bedrohung (zum Beispiel eine Bedrohung für die Sicherheit des Fahrzeugs 100) gemäß dem Alarm an. Je höher der Grad der Bedrohung ist, zum Beispiel je höher der Schweregrad ist, desto höher wird der Wert für die Einheitsbewertung festgelegt. Die Einheitsbewertung ist beispielsweise ein numerischer Wert im Bereich von 0 bis 100, wobei die Einheitsbewertung nicht darauf beschränkt ist. Der Übermittlungsbestimmer 113 kann eine Einheitsbewertung in Bezug auf den in Schritt S301 erhaltenen Alarm festlegen, zum Beispiel auf der Grundlage einer Tabelle, in der Einheitsbewertungen mit Erfassungsorten von Alarmen und Arten von Alarmen verbunden sind.
Als Nächstes bestimmt der Übermittlungsbestimmer 113, ob die Einheitsbewertung größer oder gleich einem ersten Schwellenwert ist (S303) oder nicht. In Schritt S303 wird bestimmt, ob es notwendig ist, den in Schritt S301 erhaltenen Alarm (Zielalarm) zu übermitteln oder nicht. Der erste Schwellenwert wird beispielsweise im Voraus festgelegt und im Speicher abgelegt.
Wenn die Einheitsbewertung größer oder gleich dem ersten Schwellenwert ist („Ja“ in S303), setzt der Übermittlungsbestimmer 113 ein Übermittlungsflag (S304). Das heißt, wenn das in Schritt S303 ermittelte Ergebnis „Ja“ ist, setzt der Übermittlungsbestimmer 113 das Übermittlungsflag auf „1“. Ein „Ja“-Ergebnis bei der Bestimmung in Schritt S303 entspricht der Feststellung, dass eine Übermittlung erforderlich ist.
An dieser Stelle werden die Übermittlungsstatusinformationen, die im Übermittlungsstatusspeicher 114 gespeichert sind, unter Bezugnahme auf 13 beschrieben. 13 ist eine Ansicht, die ein Beispiel für Übermittlungsstatusinformationen zeigt, die im Übermittlungsstatusspeicher 114 gespeichert sind.
Wie in 13 dargestellt, enthalten die Übermittlungsstatusinformationen Elemente für Sensor, Alarmtyp, Einheitswert, Fahrzeugwert, Alarm-ID, Übermittlungsflag, Übermittlungsabschlussflag, Protokollübermittlungs-ID, vorhergehende Protokollübermittlungs-ID und Gültigkeitszeitgeber. Es wird darauf hingewiesen, dass Informationen bezüglich der Erkennung von Anomalien durch drei Überwachungssensoren in den in 13 und 14 dargestellten Übermittlungsstatusinformationen enthalten sind, und es wird angenommen, dass die Anomalien in der Reihenfolge von der ersten Zeile bis zur dritten Zeile erkannt wurden und die drei Anomalien durch eine Reihe von Angriffen verursacht werden. Darüber hinaus können Informationen über den Zeitpunkt, zu dem eine Anomalie erkannt wurde, in die Übermittlungsstatusinformationen aufgenommen werden.
„Sensor“ zeigt an, in welcher fahrzeuginternen Vorrichtung der Überwachungssensor angeordnet ist, der die Anomalie erkannt hat, das heißt in welcher fahrzeuginternen Vorrichtung die Anomalie erkannt wurde. Man kann auch sagen, dass „Sensor“ den Erkennungsort anzeigt, an dem die Anomalie erkannt wurde. Zum Beispiel zeigt die erste Zeile, dass der Überwachungssensor 150a des IVI 150 eine Anomalie entdeckt hat.
„Alarmtyp‟ zeigt die Art der vom Überwachungssensor erkannten Anomalie am.
„Einheitsbewertung“ ist ein numerischer Wert, der die Bedrohung gemäß dem Alarm angibt, und ist ein numerischer Wert, der in Schritt S302 eingestellt wird.
„Alarm-ID“ ist eine Identifikationsinformation, die den Alarm identifiziert.
Das „Übermittlungsflag“ zeigt das Ergebnis der Bestimmung an, ob eine Übermittlung erforderlich ist oder nicht. Ein Übermittlungsflag von „1“ zeigt an, dass eine Übermittlung notwendig ist, während ein Übermittlungsflag von „0“ anzeigt, dass eine Übermittlung nicht notwendig ist.
„Übermittlungsabschlussflag“ zeigt ein Übermittlungsergebnis in Bezug darauf an, ob der Alarm an das Überwachungssystem 300 übermittelt wurde oder nicht. Ein Übermittlungsabschlussflag von „1“ bedeutet, dass der Alarm übermittelt wurde, während ein Übermittlungsabschlussflag von „0“ anzeigt, dass der Alarm noch nicht übermittelt wurde.
Da beispielsweise das Übermittlungsflag und das Übermittlungsabschlussflag für die Alarme des IVI 150 und des Gateways 110 (GW) beide „1“ sind, bedeutet dies, dass die Übermittlung notwendig ist und die Alarme übermittelt wurden. Da beispielsweise das Übermittlungsflag „1“ und das Übermittlungsabschlussflag „0“ für die Alarme des CAN (zum Beispiel eine der Steuereinheiten) ist, bedeutet dies, dass eine Übermittlung erforderlich ist und dass der Alarm noch nicht übermittelt wurde.
Die „vorhergehende Protokollübermittlungs-ID“ zeigt die Protokollübermittlungs-ID der zugehörigen vorhergehenden Protokollinformationen. Zum Beispiel zeigt das Beispiel in 13, dass der Alarm des Gateways 110 mit dem Alarm des IVI 150 zusammenhängt, und zum Beispiel der Alarm des CAN mit den Meldungen des IVI 150 und des GW 110 zusammenhängt.
Der „Gültigkeitszeitgeber“ gibt eine Zeitspanne an, in der festgestellt wird, dass sich eine Meldung auf eine Reihe von Angriffen bezieht. Da der Gültigkeitszeitgeber für IVI 150 beispielsweise auf 30 Sekunden eingestellt ist, wird, wenn innerhalb von 30 Sekunden nach der Erkennung des Alarms des Alarmtyps A in IVI 150 eine weitere Meldung in einem der Elemente der jeweiligen fahrzeuginternen Vorrichtungen von Fahrzeug 100 erkannt wird, bestimmt, dass der Alarm mit Alarm A von IVI 150 zusammenhängt.
Wenn das in Schritt S303 ermittelte Ergebnis „Ja“ lautet, aktualisiert der Übermittlungsbestimmer 113 das Übermittlungsflag in Bezug auf den Alarm von „0“ auf „1“.
Wiederum mit Bezug auf 12, wenn die Einheitsbewertung kleiner ist als der erste Schwellenwert („Nein“ in S303), oder nach der Verarbeitung in Schritt S304, bestimmt der Zuordnungsbestimmer 115, ob es eine zugehörige Meldung gibt oder nicht (S305). Ein zugehöriger Alarm ist ein Alarm, der mit dem Zielalarm zusammenhängt.
Liegt ein zusammenhängender Alarm vor („Ja“ in S305), berechnet der Übermittlungsbestimmer 113 als Nächstes eine Fahrzeugbewertung (S306). Die Fahrzeugbewertung gibt den Grad der Gesamtbedrohung für das Fahrzeug 100 an, einschließlich des Zielalarms und des zugehörigen Alarms. Je höher der Grad der Bedrohung ist, zum Beispiel je höher der Schweregrad ist, desto höher ist der Wert, der für die Fahrzeugbewertung festgelegt wird. Die Fahrzeugbewertung ist beispielsweise ein numerischer Wert im Bereich von 0 bis 100, wobei die Fahrzeugbewertung nicht darauf beschränkt ist. Der Übermittlungsbestimmer 113 berechnet die Fahrzeugbewertung beispielsweise anhand einer Tabelle, in der die Umstände des Zielalarms und des zugehörigen Alarms (zum Beispiel Ort der Alarmerkennung, Zeitreihendaten bezüglich des Alarmtyps und dergleichen) und die Fahrzeugbewertungen einander zugeordnet sind, wobei die Berechnung der Fahrzeugbewertung nicht darauf beschränkt ist.
Als Nächstes bestimmt der Übermittlungsbestimmer 113, ob die Fahrzeugbewertung größer oder gleich einem zweiten Schwellenwert ist (S307) oder nicht. Der zweite Schwellenwert kann der gleiche Wert wie der erste Schwellenwert oder ein anderer Wert sein. Zum Beispiel kann der zweite Schwellenwert ein größerer Wert als der erste Schwellenwert sein.
Wenn die Fahrzeugbewertung größer oder gleich dem zweiten Schwellenwert ist („Ja“ in S307), bestimmt der Übermittlungsbestimmer 113, ob der zugehörige Alarm übermittelt wurde oder nicht (S308). Der Übermittlungsbestimmer 113 führt die Bestimmung in Schritt S308 auf der Grundlage durch, ob das Übermittlungsabschlussflag des zugehörigen Alarms „1“ oder „0“ in den in 13 dargestellten Übermittlungsstatusinformationen ist.
Wenn das Übermittlungsabschlussflag des zugehörigen Alarms „1“ ist, das heißt wenn der zugehörige Alarm übermittelt wurde („Ja“ in S308), setzt der Übermittlungsbestimmer 113 die Protokollübermittlungs-ID des zugehörigen Alarms als die vorhergehende Protokollübermittlungs-ID des Zielalarms (S309). Wenn das Übermittlungsabschlussflag des zugehörigen Alarms „0“ ist, das heißt wenn der zugehörige Alarm noch nicht übermittelt wurde („Nein“ in S308), setzt der Übermittlungsbestimmer 113 das Übermittlungsflag des zugehörigen Alarms (S310). Das heißt, wenn das in Schritt S308 ermittelte Ergebnis „Nein“ ist, aktualisiert der Übermittlungsbestimmer 113 das Übermittlungsflag des zugehörigen Alarms von „0“ auf „1“. Es wird darauf hingewiesen, dass in einem Fall, in dem das Übermittlungsabschlussflag des zugehörigen Alarms „0“ und das Übermittlungsflag „1“ ist, der Schritt S310 ausgelassen werden kann.
Als Nächstes setzt der Übermittlungsbestimmer 113 das Übermittlungsflag des Zielalarms (S311). Das heißt, der Übermittlungsermittler 113 setzt das Übermittlungsflag des Zielalarms auf „1“.
Wenn es keinen zugehörigen Alarm gibt („Nein“ in S305), oder wenn die Fahrzeugbewertung kleiner als der zweite Schwellenwert ist („Nein“ in S307), oder nach der Verarbeitung in Schritt S311, registriert der Übermittlungsbestimmer 113 den Zielalarm in den Übermittlungsstatusinformationen (S312). Das heißt, der Übermittlungsbestimmer 113 fügt die Informationen über den Zielalarm einschließlich der Flags, die bei der Verarbeitung bis zum Schritt S311 gesetzt wurden, zu den Übermittlungsstatusinformationen hinzu.
Als Nächstes bestimmt der Übermittlungsbestimmer 113, ob die aktuelle Situation darin besteht, dass das Übermittlungsflag des Zielalarms „0“ oder das Übermittlungsabschlussflag des Zielalarms „1“ ist (S313). Wenn das Übermittlungsflag des Zielalarms „1“ oder das Übermittlungsabschlussflag des Zielalarms „0“ ist („Nein“ in S313), übermittelt der Übermittlungsbestimmer 113 die Fahrzeugüberwachungsprotokollinformationen einschließlich des Zielalarms an das Überwachungssystem 300 (S314). Ein Fall, in dem in Schritt S313 „Nein“ bestimmt wird, ist zum Beispiel ein Fall, in dem das Übermittlungsflag des Zielalarms „1“ und das Übermittlungsabschlussflag des Zielalarms „0“ ist.
Hier wird zum Beispiel in einem Fall, in dem es einen zusammenhängenden Alarm gibt, der übermittelt wurde, die Protokollübermittlungs-ID des zusammenhängenden Alarms als die vorhergehende Protokollübermittlungs-ID in den Fahrzeugüberwachungsprotokollinformationen eingestellt, in einem Fall, in dem es einen zusammenhängenden Alarm gibt, der noch nicht übermittelt wurde, wird der zusammenhängende Alarm in die Fahrzeugüberwachungsprotokollinformationen aufgenommen, und in einem Fall, in dem es keinen zusammenhängenden Alarm gibt, werden Informationen, die anzeigen, dass es keinen zusammenhängenden Alarm gibt, in die Fahrzeugüberwachungsprotokollinformationen aufgenommen. Es wird darauf hingewiesen, dass in einem Fall, in dem ein zusammenhängender Alarm übermittelt wurde, Informationen (Vorhandensein eines vorhergehenden Protokolls), die darauf hinweisen, dass es einen zusammenhängenden Alarm gibt, in die Fahrzeugüberwachungsprotokollinformationen aufgenommen werden können.
Als Nächstes, wenn die Übermittlung der Fahrzeugüberwachungsprotokollinformationen erfolgreich ist („Ja“ in S315), registriert der Übermittlungsbestimmer 113 die Fahrzeugüberwachungsprotokollinformationen in den in 13 dargestellten Übermittlungsstatusinformationen (S316). Das heißt, der Übermittlungsbestimmer 113 aktualisiert das/die Übermittlungsabschlussflag(s) in den Übermittlungsstatusinformationen von „0“ auf „1“. In einem Fall, in dem es einen zugehörigen Alarm gibt, der noch nicht übermittelt wurde, aktualisiert der Übermittlungsbestimmer 113 das Übermittlungsabschlussflag des zugehörigen Alarms, der noch nicht übermittelt wurde, und das Übermittlungsabschlussflag des Zielalarms von „0“ auf „1“, und in anderen Fällen aktualisiert der Übermittlungsbestimmer 113 das Übermittlungsabschlussflag des Zielalarms von „0“ auf „1“. Wenn die Übermittlung der Fahrzeugüberwachungsprotokolldaten fehlgeschlagen ist („Nein“ in S315), kehrt der Übermittlungsbestimmer 113 zu Schritt S305 zurück und setzt die Verarbeitung fort. Es wird darauf hingewiesen, dass es möglich ist, Informationen darüber zu erhalten, ob die Übermittlung erfolgreich war oder nicht, zum Beispiel durch eine Antwort vom Überwachungssystem 300.
In einem Fall, in dem das Übermittlungsflag des Zielalarms „0“ oder das Übermittlungsabschlussflag des Zielalarms „1“ ist („Ja“ in S313), oder nach der Verarbeitung in Schritt S316, beendet der Übermittlungsbestimmer 113 die Verarbeitung.
Hier werden 13 und 14 beschrieben.
13 zeigt Übermittlungsstatusinformationen zu einem Zeitpunkt, zu dem Alarm A im IVI 150 erkannt wurde, und nachdem der Alarm A an das Überwachungssystem 300 übermittelt wurde, wurde Alarm B im Gateway 110 (GW) erkannt, und zusätzlich wurde, nachdem der Alarm B an das Überwachungssystem 300 übermittelt wurde, Alarm C im CAN erkannt. Da das Übermittlungsabschlussflag von Alarm C „0“ ist, wurde Alarm C noch nicht übermittelt. Es wird davon ausgegangen, dass der erste Schwellenwert und der zweite Schwellenwert zum Beispiel jeweils 70 betragen.
Die Fahrzeugbewertung von Alarm A wird von 70 auf 100 aktualisiert. Die Einheitsbewertung von Alarm A ist 70, und die Fahrzeugbewertung war zu diesem Zeitpunkt 70. Außerdem beträgt die Einheitsbewertung von Alarm B 90. Da Alarm B erkannt wurde und Alarm B mit Alarm A zusammenhängt, wird die Fahrzeugbewertung von Alarm B auf die Bewertung zum Zeitpunkt der Alarme A und B aktualisiert. Im Beispiel in 13 ist die Fahrzeugbewertung zum Zeitpunkt der Alarme A und B höher als die jeweiligen Einheitsbewertungen der Alarme A und B und beträgt beispielsweise 100. Daher wird nach der Erkennung von Alarm B die Fahrzeugbewertung in Bezug auf Alarm A ebenfalls auf 100 aktualisiert, das heißt auf die Fahrzeugbewertung der Alarme A und B. Es wird darauf hingewiesen, dass eine Historie, die zeigt, dass die Fahrzeugbewertung von 70 auf 100 aktualisiert wurde, nicht in den Übermittlungsstatusinformationen gespeichert werden muss. Obwohl 13 zeigt, dass die Fahrzeugbewertung von 70 auf 100 geändert wurde, um Änderungen der Fahrzeugbewertung im Laufe der Zeit zu zeigen, reicht es aus, nur die Fahrzeugbewertung nach der Änderung in den Übermittlungsstatusinformationen zu speichern.
Ferner ist die vorhergehende Protokollübermittlungs-ID von Alarm B die Protokollübermittlungs-ID von Alarm A. Durch den Empfang von Alarm B kann das Überwachungssystem 300 erkennen, dass Alarm B mit Alarm A zusammenhängt. Ferner sind die vorhergehenden Protokollübermittlungs-IDs von Alarm C die Protokollübermittlungs-IDs von Alarm A und B. Durch den Empfang von Alarm C kann das Überwachungssystem 300 erkennen, dass Alarm C mit Alarm A und B zusammenhängt. Somit weiß das Überwachungssystem 300 durch den Empfang des Alarms C, dass die Alarme A bis C Alarme in Bezug auf eine Reihe von Angriffen sind, und daher kann das Überwachungssystem 300 den Cyberangriff auf das Fahrzeug 100 auf der Grundlage der Alarme A bis C analysieren, ohne zu bestimmen, ob die Alarme A bis C Alarme in Bezug auf eine Reihe von Angriffen sind oder nicht.
14 ist eine Ansicht, die ein weiteres Beispiel für Übermittlungsstatusinformationen zeigt, die im Übermittlungsstatusspeicher 114 gespeichert sind.
14 zeigt Übermittlungsstatusinformationen in einem Zustand, in dem Alarm P im IVI 150 erkannt wurde, und nachdem festgestellt wurde, dass es nicht notwendig war, den Alarm P zu übermitteln, wurde Alarm Q im Gateway 110 erkannt, und zusätzlich, nachdem die Alarme P und Q an das Überwachungssystem 300 übermittelt wurden, wurde Alarm R im CAN erkannt und der Alarm R wurde an das Überwachungssystem 300 übermittelt. Es wird davon ausgegangen, dass der erste Schwellenwert und der zweite Schwellenwert jeweils zum Beispiel 80 betragen.
Da die Einheitsbewertung von Alarm P 50 (< erster Schwellenwert) beträgt, ist das Ergebnis der Bestimmung in jedem der Schritte S303 und S307 in Bezug auf der Alarm P allein „Nein“. Das heißt, in einem Zustand, in dem von den Alarmen P bis R nur der Alarm P erhalten wurde, wird festgestellt, dass es nicht notwendig ist, den Alarm P zu übermitteln, und daher wird der Alarm P nicht übermittelt. Daher sind das Übermittlungsflag und das Übermittlungsabschlussflag von Alarm P beide „0“.
Als nächstes wird der Alarm Q erhalten, und da die Einheitsbewertung von Alarm Q 70 (< erster Schwellenwert) beträgt, wird in Bezug auf den Alarm Q allein festgestellt, dass es nicht notwendig ist, den Alarm Q zu übermitteln. Da jedoch die Fahrzeugbewertung der Alarme P und Q 90 (> zweiter Schwellenwert) beträgt, wird zu diesem Zeitpunkt festgestellt, dass es notwendig ist, die Alarme P und Q zu übermitteln. Das heißt, die Alarme P und Q werden zum gleichen Zeitpunkt übermittelt. Daher werden das Übermittlungsflag und das Übermittlungsabschlussflag von Alarm P jeweils von „0“ auf „1“ aktualisiert. Außerdem sind die Protokollübermittlungs-ID der Alarme P und Q eine gemeinsame Kennung. Der Alarm P ist zu diesem Zeitpunkt ein Alarm, der mit dem Alarm Q zusammenhängt und noch nicht übermittelt wurde, und ist ein Beispiel für eine dritte Erfassungsinformation.
In einem Fall, in dem beispielsweise der Alarm Q in dem in 12 dargestellten Schritt S301 erhalten wurde (ein Fall, in dem der Alarm Q der Zielalarm ist), bestimmt der Übermittlungsbestimmer 113 in Schritt S305, ob der Alarm Q und der Alarm P, der von einem der einen oder mehreren Überwachungssensoren 120a und dergleichen vor dem Alarm Q erhalten wurde (ein Beispiel für eine erste Erfassungsinformation) und der zu dem Zeitpunkt, zu dem der Alarm Q erhalten wurde, noch nicht übermittelt wurde, zusammenhängen oder nicht. Wenn der Übermittlungsbestimmer 113 bestimmt, dass die Alarme P und Q zusammenhängen, kann die Ausgabeeinheit 117 die Alarme P und Q gemeinsam übermitteln. Das heißt, die Ausgabeeinheit 117 kann die Alarme P und Q gemeinsam übermitteln.
Es wird darauf hingewiesen, dass in einem Fall, in dem es einen weiteren Alarm gibt, der mit dem Alarm Q zusammenhängt und der übermittelt wurde (ein Beispiel für eine zweite Erfassungsinformation), in Schritt S305 der Übermittlungsbestimmer 113 bestimmen kann, ob der Alarm Q und der übermittelte Alarm mit dem Alarm P zusammenhängen oder nicht.
Hier wird angenommen, dass der Alarm P übermittelt wurde, bevor der Alarm Q erhalten wurde und dass die Einheitsbewertung des Alarms Q kleiner als der zweite Schwellenwert ist. In diesem Fall wird mit Bezug auf den Alarm Q allein festgestellt, dass es nicht notwendig ist, den Alarm Q zu übermitteln. In einem Fall, in dem die Fahrzeugbewertung der Alarme P und Q größer oder gleich dem zweiten Schwellenwert ist, wird jedoch festgestellt, dass es notwendig ist, den Alarm Q zu übermitteln. Das heißt, eine Bedingung für die Feststellung, dass es notwendig ist, den Alarm Q zu übermitteln, kann sein, dass die Fahrzeugbewertung (ein Beispiel für den Schweregrad einer Anomalie), die durch die Alarme P und Q angezeigt wird, größer oder gleich dem zweiten Schwellenwert (ein Beispiel für einen vorgegebenen Schweregrad) ist. Die vorgenannte Bedingung ist ein Beispiel für eine vorbestimmte Bedingung. In diesem Fall wird in den Fahrzeugüberwachungsprotokollinformationen unter „Schweregrad“ zum Beispiel „1“ angegeben.
Wiederum mit Bezug auf 14, wird anschließend der Alarm R erhalten. Die Einheitsbewertung und die Fahrzeugbewertung für Alarm R sind beide 100 (>erster Schwellenwert und zweiter Schwellenwert). Das heißt, es wird festgestellt, dass es notwendig ist, den Alarm R zu übermitteln. Die gemeinsame Protokollübermittlungs-ID der Alarme P und Q wird als vorhergehende Protokollübermittlungs-ID von Alarm R festgelegt.
Durch den Empfang des Alarms R weiß das Überwachungssystem 300, dass die Alarme P bis R Alarme in Bezug auf eine Reihe von Angriffen sind, und daher kann das Überwachungssystem 300 den Cyberangriff auf das Fahrzeug 100 basierend auf den Alarmen P bis R analysieren, ohne zu bestimmen, ob die Alarme P bis R Alarme in Bezug auf eine Reihe von Angriffen sind oder nicht.
[2-2. Betrieb des Überwachungssystems]
Als Nächstes wird der Betrieb des Überwachungssystems 300 unter Bezugnahme auf 15 beschrieben. 15 ist ein Flussdiagramm, das den Betrieb des Überwachungssystems 300 gemäß der vorliegenden Ausführungsform veranschaulicht. Insbesondere ist 15 ein Flussdiagramm, das den Betrieb eines Servers veranschaulicht, der so konfiguriert ist, dass er einen Fahrzeugüberwachungsprotokollempfänger 310 und einen Controller 320 enthält. Es wird darauf hingewiesen, dass ein Fall, in dem der in 14 gezeigte Alarm R in Schritt S401 erhalten wird, im Folgenden ergänzend als ein Beispiel beschrieben wird.
Wie in 15 dargestellt, erhält der Fahrzeugüberwachungsprotokollempfänger 310 des Überwachungssystems 300 Fahrzeugüberwachungsprotokollinformationen (S401). Der Fahrzeugüberwachungsprotokollempfänger 310 empfängt Fahrzeugüberwachungsprotokollinformationen einschließlich des Alarms R.
Als Nächstes bestimmt der Controller 320, ob es in den in Schritt S401 erhaltenen Fahrzeugüberwachungsprotokollinformationen eine vorhergehende Protokollübermittlungs-ID gibt oder nicht (S402). Controller 320 bestimmt, ob es vorhergehende Protokollinformationen gibt oder nicht, indem er die vorhergehende Protokollübermittlungs-ID extrahiert, die in den Fahrzeugüberwachungsprotokollinformationen enthalten ist, die den Alarm R enthalten. Es wird darauf hingewiesen, dass, wenn die Fahrzeugüberwachungsprotokollinformationen Informationen bezüglich des Vorhandenseins vorhergehender Protokolle anstelle einer vorhergehenden Protokollübermittlungs-ID enthalten, Controller 320 die Bestimmung in Schritt S402 basierend auf den Informationen bezüglich des Vorhandenseins vorhergehender Protokolle ausführen kann. Auf diese Weise erhält der Controller 320 Informationen darüber, ob vorhergehende Protokollinformationen vorhanden sind oder nicht, indem er Informationen extrahiert, die in den Fahrzeugüberwachungsprotokollinformationen enthalten sind, und ohne durch die Verarbeitung seiner eigenen Vorrichtung zu bestimmen, ob vorhergehende Protokollinformationen vorhanden sind oder nicht.
Als Nächstes, wenn es vorhergehende Protokollinformationen gibt („Ja“ in S402), bestimmt der Controller 320, ob der Angriff beendet wurde oder nicht (S403). Wenn Informationen darüber, ob ein Angriff beendet wurde oder nicht (siehe 5 und 6), in den Fahrzeugüberwachungsprotokollinformationen enthalten sind, bestimmt der Controller 320 auf der Grundlage dieser Informationen, ob der Angriff beendet wurde oder nicht. Der Controller 320 bestimmt, ob der Alarm R der letzte Alarm ist, der durch eine Reihe von Angriffen verursacht wurde oder nicht.
Wenn der Angriff beendet ist („Ja“ in S403), analysiert der Controller 320 den Cyberangriff auf das Fahrzeug 100 auf der Grundlage der erhaltenen Fahrzeugüberwachungsprotokollinformationen und der vorhergehenden Protokollinformationen (S404). Das heißt, der Controller 320 verarbeitet eine Vielzahl von Alarmen (zum Beispiel die Alarme P bis R) als Alarme, die zu einer Reihe von Angriffen gehören. Wenn der Angriff nicht beendet ist („Nein“ in S403), kehrt der Controller 320 zum Schritt S401 zurück und setzt die Verarbeitung fort.
Wenn es keine vorhergehenden Protokollinformationen gibt („Nein“ in S402), analysiert der Controller 320 den Cyberangriff auf das Fahrzeug 100 auf der Grundlage der erhaltenen Fahrzeugüberwachungsprotokollinformationen (S405).
Als Nächstes gibt der Controller 320 das Ergebnis der Analyse in Schritt S404 oder S405 aus (S406). Der Controller 320 zeigt das Ergebnis der Analyse zum Beispiel auf der Anzeige 330 an.
Da das Überwachungssystem 300 aus den erhaltenen Fahrzeugüberwachungsprotokollinformationen Informationen darüber erhalten kann, ob vorhergehende Protokollinformationen existieren oder nicht, muss das Überwachungssystem 300 keine Bestimmungsverarbeitung darüber durchführen, ob vorhergehende Protokollinformationen existieren oder nicht. Daher kann selbst in einem Fall, in dem eine Vielzahl von Protokollinformationen in Bezug auf eine Reihe von Angriffen getrennt voneinander an das Überwachungssystem 300 übermittelt werden, ein Anstieg der Verarbeitungslast im Überwachungssystem 300 unterdrückt werden, das heißt die Verarbeitungslast im Überwachungssystem 300 kann reduziert werden.
Es wird darauf hingewiesen, dass die Bestimmung, ob der Angriff beendet ist oder nicht (S403), ausgelassen werden kann, und dann kann Schritt S404 ausgeführt werden.
(Andere Ausführungsformen)
Obwohl das Fahrzeugüberwachungssystem 1 gemäß einem oder mehreren Aspekten oben anhand einer Ausführungsform beschrieben wurde, ist die vorliegende Offenbarung nicht auf diese Ausführungsform beschränkt. Andere Ausführungsformen, die durch Anwendung verschiedener Modifikationen realisiert werden, die von Fachleuten an der vorliegenden Ausführungsform denkbar sind, und Ausführungsformen, die durch Kombination von Bestandteilen verschiedener Ausführungsformen konfiguriert werden, können ebenfalls in die vorliegende Offenbarung einbezogen werden, solange die Modifikationen und Kombinationen nicht vom Kern der vorliegenden Offenbarung abweichen.
Obwohl in der obigen Ausführungsform ein Beispiel beschrieben wird, in dem das Gateway 110 ein Übermittlungsbestimmungsmodul 110a enthält, ist die vorliegende Offenbarung nicht auf dieses Beispiel beschränkt. Beispielsweise kann das Übermittlungsbestimmungsmodul 110a umgesetzt werden, indem eine der im Fahrzeug 100 vorhandenen Steuereinheiten als Übermittlungsbestimmungsmodul fungiert.
Obwohl in der obigen Ausführungsform ein Beispiel beschrieben wird, in dem eine vorhergehende Protokollübermittlungs-ID in den Relevanzinformationen enthalten ist, kann anstelle einer vorhergehenden Protokollübermittlungs-ID oder zusätzlich zu einer vorhergehenden Protokollübermittlungs-ID auch eine Zeit enthalten sein, zu der vorhergehende Protokollinformationen erfasst wurden. Das heißt, die Relevanzinformationen können Informationen sein, die einen Zeitpunkt angeben, zu dem vorhergehende Protokollinformationen erfasst wurden.
Obwohl in der obigen Ausführungsform ein Beispiel beschrieben wird, in dem eine Vielzahl von Überwachungssensoren 120a und dergleichen im Fahrzeug 100 vorgesehen sind, ist die vorliegende Offenbarung nicht auf dieses Beispiel beschränkt, und die Anzahl der im Fahrzeug 100 vorgesehenen Überwachungssensoren 120a kann eins sein.
Obwohl in der obigen Ausführungsform ein Beispiel beschrieben wird, bei dem das Übermittlungsbestimmungsmodul 110a im Fahrzeug 100 vorgesehen ist, ist die vorliegende Offenbarung nicht auf dieses Beispiel beschränkt. Das Übermittlungsbestimmungsmodul 110a kann in einer Vorrichtung vorgesehen sein, die ein oder mehrere Vorrichtungen umfasst und über Funk mit einer externen Vorrichtung verbunden ist. Bei der Vorrichtung kann es sich beispielsweise um ein Luftfahrzeug, wie eine Drohne, oder um ein Haushaltsgerätesystem handeln, das ein oder mehrere elektrische Haushaltsgeräte umfasst, die in einem Haus oder dergleichen installiert sind.
Obwohl in der obigen Ausführungsform ein Beispiel beschrieben wird, bei dem die jeweiligen fahrzeuginternen Vorrichtungen des Fahrzeugs 100 über eine drahtgebundene Kommunikation kommunizieren, ist die vorliegende Offenbarung nicht auf dieses Beispiel beschränkt, und die Kommunikation kann über eine Funkkommunikation zwischen zumindest einigen der Vorrichtungen durchgeführt werden.
Darüber hinaus ist die Trennung der Funktionsblöcke in den Blockdiagrammen ein Beispiel, und mehrere Funktionsblöcke können als ein einziger Funktionsblock implementiert werden, ein einzelner Funktionsblock kann in mehrere Funktionsblöcke aufgeteilt werden, oder einige der Funktionen eines Funktionsblocks können an einen anderen Funktionsblock übertragen sein. So können beispielsweise die Speicherung des Überwachungsprotokolls 112 und die Speicherung des Übermittlungsstatus 114 durch eine einzige Speichervorrichtung oder durch drei oder mehr Speichervorrichtungen umgesetzt werden. Außerdem muss das Überwachungssystem 300 keine Anzeige 330 und keine Bedieneinheit 340 haben. Beispielsweise können die Anzeige 330 und die Bedieneinheit 340 an einem anderen Ort als die Überwachungszentrale installiert und mit dem Überwachungssystem 300 kommunikativ verbunden sein. Darüber hinaus können die Funktionen einer Vielzahl von Funktionsblöcken mit ähnlichen Funktionen parallel oder im Time-Sharing-Verfahren von einer einzigen Hardware oder Software verarbeitet werden.
Ferner ist die Reihenfolge, in der die jeweiligen Schritte in den Flussdiagrammen ausgeführt werden, als Beispiel für die Beschreibung der vorliegenden Offenbarung in spezifischen Begriffen angegeben, und daher sind andere Abfolgen als die oben genannten möglich. Außerdem kann ein Teil der oben beschriebenen Schritte gleichzeitig (parallel) mit einem anderen Schritt ausgeführt werden.
Ferner können einige oder alle Bestandteile des Übermittlungsbestimmungsmoduls 110a und des Überwachungssystems 300 in der oben beschriebenen Ausführungsform durch einen einzigen System-LSI-Chip (Large Scale Integration) gebildet sein.
Der System-LSI-Chip ist ein supermultifunktionaler LSI-Chip, der durch die Integration einer Vielzahl von Verarbeitungseinheiten auf einem Chip hergestellt wird, und ist insbesondere ein Computersystem, das so gestaltet ist, dass es einen Mikroprozessor, einen ROM (Nur-LeseSpeicher), einen RAM (Direktzugriffsspeicher) und so weiter enthält. Ein Computerprogramm ist im ROM gespeichert. Der Mikroprozessor arbeitet in Übereinstimmung mit dem Computerprogramm und ermöglicht so dem System-LSI-Chip, seine Funktion zu erfüllen. Es wird darauf hingewiesen, dass alle oder einige der oben beschriebenen Verarbeitungen durch Hardware, wie zum Beispiel eine elektronische Schaltung, umgesetzt werden können.
Darüber hinaus kann ein Aspekt der vorliegenden Offenbarung ein Computerprogramm sein, das einen Computer veranlasst, jeden charakteristischen Schritt auszuführen, der in einem Verfahren zur Steuerung des Übermittlungsbestimmungsmoduls 110a und des Überwachungssystems 300 enthalten ist. Darüber hinaus kann ein Aspekt der vorliegenden Offenbarung ein nichtflüchtiges computerlesbares Aufzeichnungsmedium sein, auf dem ein solches Programm aufgezeichnet ist. Zum Beispiel kann ein solches Programm auf einem Aufzeichnungsmedium aufgezeichnet sein und verteilt oder in Umlauf gebracht werden. Wenn beispielsweise ein verteiltes Programm in einer anderen Vorrichtung mit einem Prozessor installiert und der Prozessor veranlasst wird, das Programm auszuführen, kann die Vorrichtung veranlasst werden, die jeweiligen oben beschriebenen Verarbeitungsvorgänge durchzuführen.
[Gewerbliche Anwendbarkeit]
Die vorliegende Offenbarung ist nützlich in einem System, das Objekte überwacht, die in der Lage sind, mit einer externen Vorrichtung über ein Kommunikationsnetzwerk zu kommunizieren.
Bezugszeichenliste

1: Fahrzeugüberwachungssystem
100: Fahrzeug
110: Gateway
110a, 410a: Übermittlungsbestimmungsmodul (Informationsübermittlungsvorrichtung)
110b, 120a, 121a, 130a, 140a, 150a, 160a: Überwachungssensor
111, 411: Erfasser
112, 412: Überwachungsprotokollspeicher
113, 413: Übermittlungsbestimmer
114: Übermittlungsstatusspeicher
115: Zuordnungsbestimmungseinheit (Bestimmer)
116, 414: Generator
117, 415: Ausgabeeinheit (Sender)
120, 121, 130, 131, 140, 141, 142: ECU (elektronische Steuereinheit)
150: IVI
160: TCU
200: Kommunikationsnetzwerk
300, 500: Überwachungssystem
310: Fahrzeugüberwachungsprotokollempfänger (Empfänger)
320: Controller (Steuerung)
330: Anzeige
340: Bedieneinheit

ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Patentliteratur

JP 5447394 [0002]

Claims

Informationsübermittlungsvorrichtung, die in einem Objekt vorgesehen ist, wobei das Objekt eine oder mehrere Vorrichtungen und einen Überwachungssensor enthält, der jede der einen oder mehreren Vorrichtungen überwacht, wobei die Informationsübermittlungsvorrichtung umfasst: einen Erfasser, der von dem Überwachungssensor erste Erfassungsinformationen erhält, die anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wurde; einen Sender, der an eine externe Vorrichtung Überwachungsinformationen übermittelt, die (i) die ersten Erfassungsinformationen und (ii) Relevanzinformationen enthalten, wobei die Relevanzinformationen die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen angeben, die von dem Überwachungssensor erhalten und von dem Sender an die externe Vorrichtung vor der Übermittlung der ersten Erfassungsinformationen übermittelt wird, die zweiten Erfassungsinformationen anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wurde, und sich auf die ersten Erfassungsinformationen bezieht.
Informationsübermittlungsvorrichtung nach Anspruch 1, wobei die Relevanzinformationem mindestens eines der folgenden Elemente enthalten: Informationen, die anzeigen, dass die zweiten Erfassungsinformationen vorhanden sind; oder Informationen, die der Identifizierung der zweiten Erfassungsinformationen dienen und in den zweiten Erfassungsinformationem enthalten sind.
Informationsübermittlungsvorrichtung nach Anspruch 1 oder 2, wobei der Sender die Überwachungsinformationen übermittelt, wenn eine vorbestimmte Bedingung erfüllt ist, die Überwachungsinformationen ferner Informationen enthalten, die anzeigen, dass die vorbestimmte Bedingung erfüllt ist.
Informationsübermittlungsvorrichtung nach Anspruch 3, ferner umfassend: einen Speicher, der die ersten Erfassungsinformationen enthält, wobei die vorbestimmte Bedingung mindestens eines der folgenden Merkmale umfasst: eine Bedingung, dass ein Schweregrad der in den ersten Erfassungsinformationen angegebenen Anomalie größer oder gleich einem vorbestimmten Schweregrad ist; eine Bedingung, dass ein Cyberangriff, der die Anomalie verursacht hat, als beendet bestimmt wurde; eine Bedingung, dass eine vorbestimmte Zeitspanne verstrichen ist, seit die in den ersten Erfassungsinformationen angegebene Anomalie erfasst wurde; oder eine Bedingung, dass eine verfügbare Kapazität des Speichers kleiner oder gleich einer vorbestimmten Kapazität ist.
Informationsübermittlungsvorrichtung nach Anspruch 4, wobei die vorbestimmte Bedingung ferner eine Bedingung enthält, dass sowohl ein Schweregrad der in den ersten Erfassungsinformationen angezeigten Anomalie als auch ein Schweregrad der in den zweiten Erfassungsinformationen angezeigten Anomalie größer oder gleich dem vorbestimmten Schweregrad ist.
Informationsübermittlungsvorrichtung nach einem beliebigen der Ansprüche 1 bis 5, ferner umfassend: einen Bestimmer, der bestimmt, ob die zweiten Erfassungsinformationen mit den ersten Erfassungsinformationen in Beziehung stehen oder nicht, basierend auf (i) jeweiligen Zeiten des Erhaltens der ersten Erfassungsinformationen und der zweiten Erfassungsinformationen durch den Erfasser oder (ii) einem zeitlich sequentiellen Muster bezüglich der Anomalien, die in den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen angegeben sind, wobei das zeitlich sequentielle Muster mindestens eines von (ii-1) einem zeitlich sequentiellen Muster von Vorrichtungen, von denen die Anomalien unter der einen oder mehreren Vorrichtungen erfasst werden, oder (ii-2) einem zeitlich sequentiellen Muster von Arten der Anomalien ist.
Informationsübermittlungsvorrichtung nach Anspruch 6, wobei wenn der Erfasser die ersten Erfassungsinformationrn innerhalb einer vorbestimmten Zeitspanne nach dem Erfassen der zweiten Erfassungsinformationen durch den Erfasser erlangt, oder wenn das zeitlich sequentielle Muster bezüglich der in den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen angezeigten Anomalien zumindest teilweise mit einem vorbestimmten zeitlich sequentiellen Muster übereinstimmt, der Bestimmer bestimmt, dass die zweiten Informationen mit den ersten Erfassungsinformationen in Beziehung stehen.
Informationsübermittlungsvorrichtung nach Anspruch 6 oder 7, wobei der Bestimmer bestimmt, ob dritte Erfassungsinformationen mit den ersten Erfassungsinformationen in Beziehung stehent oder nicht, wobei die dritten Erfassungsinformationen von dem Erfasser von dem Überwachungssensor vor der Erlangung der ersten Erfassungsinformationen erlangt werden und zum Zeitpunkt der Erlangung der ersten Erfassungsinformationen noch nicht von dem Sender an die externe Vorrichtung übermittelt wordensind, und der Sender die dritten Erfassungsinformationen zusammen mit den ersten Erfassungsinformationen an die externe Vorrichtung sendet, wenn der Bestimmer bestimmt, dass die dritten Erfassungsinformationen mit den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen in Beziehung stehen.
Informationsübermittlungsvorrichtung nach einem beliebigen der Ansprüche 1 bis 8, wobei das Objekt ein Fahrzeug ist, und die eine oder mehreren Vorrichtungen und die Informationsübermittlungsvorrichtung durch Verbindung über einen Kommunikationspfad in ein fahrzeuginternes Netzwerk eingebunden sind.
Server, umfassend: einen Empfänger, der die ersten Erfassungsinformationen von der Informationsübermittlungsvorrichtung nach einem der Ansprüche 1 bis 9 empfängt; und einen Controller, der einen Cyberangriff auf das Objekt in Übereinstimmung mit den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen analysiert, wobei die zweiten Erfassungsinformationen in den Relevanzinformationen angegeben sind, die in den ersten Erfassungsinformationen enthalten sind und von dem Empfänger vor dem Empfang der ersten Erfassungsinformationen empfangen werden.
Informationsübermittlungsverfahren für ein Objekt, wobei das Objekt eine oder mehrere Vorrichtungen und einen Überwachungssensor enthält, der jede der einen oder mehreren Vorrichtungen überwacht, wobei das Informationsübermittlungsverfahren umfasst: Erhalten von ersten Erfassungsinformationen von dem Überwachungssensor, die anzeigent, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wurde; Übermitteln von Überwachungsinformationen, die (i) die ersten Erfassungsinformationen und (ii) Relevanzinformationen enthalten, an eine externe Vorrichtung, wobei die Relevanzinformationen die Relevanz zwischen den ersten Erfassungsinformationen und den zweiten Erfassungsinformationen angeben, die von dem Überwachungssensor erhalten und von dem Sender an die externe Vorrichtung vor der Übermittlung der ersten Erfassungsinformationen übermittelt werden, die zweiten Erfassungsinformationen anzeigen, dass eine Anomalie in einer der einen oder mehreren Vorrichtungen erfasst wurde, und sich auf die ersten Erfassungsinformationen bezieht.