DE112018003933T5

DE112018003933T5 - Detektor, Detektionsverfahren und Detektionsprogramm

Info

Publication number: DE112018003933T5
Application number: DE112018003933.1T
Authority: DE
Inventors: Yoshihiro Hamada
Original assignee: Sumitomo Wiring Systems Ltd; AutoNetworks Technologies Ltd; Sumitomo Electric Industries Ltd
Current assignee: Sumitomo Wiring Systems Ltd; AutoNetworks Technologies Ltd; Sumitomo Electric Industries Ltd
Priority date: 2017-08-03
Filing date: 2018-04-11
Publication date: 2020-04-30
Also published as: JP7007632B2; CN111033504A; US20200213340A1; WO2019026353A1; JP2019029961A; CN111033504B

Abstract

Diese Detektionsvorrichtung ist konfiguriert, eine unautorisierte Nachricht in einem, in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren und beinhaltet: eine Nachrichten-Erfassungseinheit, die konfiguriert ist, eine oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk zu erfassen; eine Datenerfassungseinheit, die konfiguriert ist, einen Satz einer Vielzahl von Datentypen zu erfassen, die in den durch die Nachrichten-Erfassungseinheit erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen; eine Speichereinheit, die konfiguriert ist, ein Detektionsbedingung zu speichern, wobei die Detektionsbedingung vorab erzeugt wird und auf einer Vielzahl der Sätze, die jeweils einer Vielzahl von Zeiten entsprechen, basiert; und eine Detektionseinheit, die konfiguriert ist, die unautorisierte Nachricht auf Basis des Satzes, der durch die Datenerfassungseinheit erfasst ist, und der Detektionsbedingung zu detektieren.

Description

TECHNISCHES GEBIET
Die vorliegende Erfindung bezieht sich auf eine Detektionsvorrichtung, ein Detektionsverfahren, und ein Detektionsprogramm. Die Anmeldung beansprucht die Priorität der japanischen Patentanmeldung Nr. 2017-150807 , eingereicht am 3. August 2017, deren gesamter Inhalt hierin unter Bezugnahme inkorporiert wird.
HINTERGRUND
Patentliteratur 1 (Japanische Patentoffenlegungsschrift Nr. JP 2016-116075 A ) offenbart das nachfolgende Fahrzeugkommunikationssystem. Das Fahrzeugkommunikationssystem ist nämlich ein Fahrzeugkommunikationssystem, das Nachrichten-Authentifizierung durchführt unter Verwendung von: einem Sendercode, der ein Nachrichten-Authentifizierungscode ist, der durch einen Sender von Kommunikationsdaten erzeugt wird; und einem Empfängercode, der ein Nachrichten-Authentifizierungscode ist, der durch einen Empfänger der Kommunikationsdaten erzeugt wird, wobei das Fahrzeugkommunikationssystem umfasst: eine erste ECU, die mit einem Fahrzeugnetzwerk verbunden ist und nur einen ersten Verschlüsselungsschlüssel von dem ersten Verschlüsselungsschlüssel und einem zweiten Verschlüsselungsschlüssel aufweist, der sich vom ersten Verschlüsselungsschlüssel unterscheidet; eine zweite ECU, die mit dem Fahrzeugnetzwerk verbunden ist und zumindest den ersten Verschlüsselungsschlüssel aufweist; und eine dritte ECU, die mit dem Fahrzeugnetzwerk und einem externen Netzwerk verbunden ist, und nur den zweiten Verschlüsselungsschlüssel, vom ersten Verschlüsselungsschlüssel und zweiten Verschlüsselungsschlüssel aufweist, wobei die dritte ECU konfiguriert ist, den Sendercode oder den Empfängercode unter Verwendung des zweiten Verschlüsselungsschlüssels zu erzeugen, bei Kommunikation über das Fahrzeugnetzwerk, wobei die zweite ECU Kommunikationsdaten, denen der unter Verwendung des ersten Verschlüsselungsschlüssels erzeugte Sendercode zugewiesen wird, sendet und die erste ECU beim Empfangen der Kommunikationsdaten den, den empfangenen Kommunikationsdaten zugewiesenen Sendercode unter Verwendung des unter Verwendung des ersten Verschlüsselungsschlüssels erzeugten Empfängercode verifiziert.
ZITATELISTE
PATENTLITERATUR

Patentliteratur 1: Japanische Patentoffenlegungsschrift Nr. JP 2016-116075 A
Patentliteratur 2: Japanische Patentoffenlegungsschrift Nr. JP 2016-57438 A
Patentliteratur 3: Japanische Patentoffenlegungsschrift Nr. JP 2016-97879 A
Patentliteratur 4: Japanische Patentoffenlegungsschrift Nr. JP 2015-136107 A

ZUSAMMENFASSUNG DER ERFINDUNG
LÖSUNG DES PROBLEMS
(1) Eine Detektionsvorrichtung der vorliegenden Offenbarung ist konfiguriert, eine unautorisierte Nachricht in einem in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren. Die Detektionsvorrichtung beinhaltet: eine Nachrichten-Erfassungseinheit, die konfiguriert ist, ein oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk zu erfassen; eine Datenerfassungseinheit, die konfiguriert ist, einen Satz einer Vielzahl von Typen von Daten zu erfassen, die in den durch die Nachrichten-Erfassungseinheit erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen; eine Speichereinheit, die konfiguriert ist, eine Detektionsbedingung zu speichern, wobei die Detektionsbedingung vorab erzeugt wird und auf einer Vielzahl von den Sätzen basiert, die jeweils einer Vielzahl von Zeiten entsprechen; und eine Detektionseinheit, die konfiguriert ist, die unautorisierte Nachricht auf Basis des durch die Datenerfassungseinheit erfassten Satzes und der Detektionsbedingung zu detektieren.
(11) Ein Detektionsverfahren der vorliegenden Offenbarung ist in einer Detektionsvorrichtung durchzuführen, die eine Speichereinheit beinhaltet und konfiguriert ist, eine unautorisierte Nachricht in einem, in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren. Das Detektionsverfahren beinhaltet: einen Schritt des Erfassens einer oder einer Vielzahl von Sendenachrichten im Fahrzeugnetzwerk; und einen Schritt des Erfassens eines Satzes einer Vielzahl von Typen von Daten, die in den erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen. Die Speichereinheit speichert eine vorab erzeugte und auf einer Vielzahl der Sätze, die jeweils einer Vielzahl von Zeiten entsprechen, basierende Detektionsbedingung. Das Detektionsverfahren beinhaltet weiter einen Schritt des Detektierens der unautorisierten Nachricht auf Basis des erfassten Satzes und der Detektionsbedingung.
(12) Ein Detektionsprogramm der vorliegenden Offenbarung ist in einer Detektionsvorrichtung zu verwenden, wobei die Detektionsvorrichtung eine Speichereinheit beinhaltet und konfiguriert ist, eine unautorisierte Nachricht in einem, in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren. Das Detektionsprogramm ist konfiguriert, einen Computer zu veranlassen, zu fungieren als: eine Nachrichten-Erfassungseinheit, die konfiguriert ist, eine oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk zu erfassen; und eine Datenerfassungseinheit, die konfiguriert ist, einen Satz einer Vielzahl von Typen von Daten zu erfassen, die in den durch die Nachrichten-Erfassungseinheit erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen. Die Speichereinheit speichert eine Detektionsbedingung, die vorab erzeugt wird, und basiert auf einer Vielzahl von Sätzen, die jeweils einer Vielzahl von Zeiten entsprechen. Das Detektionsprogramm veranlasst weiter den Computer, als eine Detektionseinheit zu fungieren, die konfiguriert ist, die unautorisierte Nachricht zu detektieren, auf Basis des durch die Datenerfassungseinheit erfassten Satzes und der Detektionsbedingung.
Ein Modus der vorliegenden Offenbarung kann nicht nur als eine Detektionsvorrichtung realisiert werden, die solch eine charakteristische Verarbeitungseinheit enthält, sondern auch als ein Fahrzeugkommunikationssystem, das die Detektionsvorrichtung enthält. Ein Modul der vorliegenden Offenbarung kann als eine integrierte Halbleiterschaltung realisiert werden, die einen Teil oder die Gesamtheit der Detektionsvorrichtung realisiert.
Figurenliste

1 zeigt eine Konfiguration eines Fahrzeugkommunikationssystems gemäß einer ersten Ausführungsform der vorliegenden Offenbarung.
2 zeigt eine Konfiguration einer Busverbindungsvorrichtungsgruppe gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
3 zeigt eine Konfiguration einer Gateway-Vorrichtung im Fahrzeugkommunikationssystem gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
4 ist ein Diagramm zum Beschreiben eines Erzeugungsprozesses eines normalen Modells, das durch die Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung zu verwenden ist.
5 ist ein Diagramm zum Beschreiben von Timings, zu welchen ein Synchronisationsprozess in der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung durchgeführt wird.
6 ist ein Diagramm zum Beschreiben von Timings, zu welchen ein Synchronisationsprozess in der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung durchgeführt wird.
7 ist ein Diagramm zum Beschreiben der Detektion einer unautorisierten Nachricht, die durch eine Detektionseinheit in der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung durchgeführt wird.
8 ist ein Diagramm zum Beschreiben von Effekten des Fahrzeugkommunikationssystems gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
9 ist ein Diagramm zum Beschreiben von Effekten des Fahrzeugkommunikationssystems gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
10 ist ein Diagramm zum Beschreiben eines Erzeugungsprozesses in einer Lernphase in Bezug auf eine Modifikation des Normalmodells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
11 ist ein Diagramm zum Beschreiben eines Verifikationsprozesses in einer Testphase in Bezug auf eine Modifikation des Normalmodells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
12 ist ein Diagramm zum Beschreiben eines Detektionsprozesses für eine unautorisierte Nachricht unter Verwendung einer Modifikation des normalen Modells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
13 ist ein Diagramm zum Beschreiben eines Erzeugungsprozesses in einer Lernphase in Bezug auf eine Modifikation des normalen Modells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
14 ist ein Diagramm zum Beschreiben eines Detektionsprozesses für eine unautorisierte Nachricht unter Verwendung einer Modifikation des normalen Modells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
15 ist ein Flussdiagramm einer Betriebsprozedur, die durchgeführt wird, wenn die Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung eine Nachricht empfängt.
16 ist ein Flussdiagramm einer Prozedur eines Betriebs, der durchgeführt wird, wenn die Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung eine empfangene Nachricht in einer Speichereinheit gespeichert hat.
17 ist ein Diagramm zum Beschreiben eines Beispiels fehlerhafter Detektion in einer Gateway-Vorrichtung gemäß einer zweiten Ausführungsform der vorliegenden Offenbarung.
18 zeigt eine Konfiguration einer Gateway-Vorrichtung in dem Fahrzeugkommunikationssystem gemäß der zweiten Ausführungsform der vorliegenden Offenbarung.
19 ist ein Diagramm zum Beschreiben der Aktualisierung eines normalen Modells, welches durch eine Aktualisierungseinheit in der Gateway-Vorrichtung gemäß der zweiten Ausführungsform der vorliegenden Offenbarung durchgeführt wird.
20 ist ein Diagramm zum Beschreiben eines normalen Modells, welches durch die Aktualisierungseinheit in der Gateway-Vorrichtung gemäß der zweiten Ausführungsform der vorliegenden Offenbarung aktualisiert wird.
21 zeigt eine Konfiguration einer Gateway-Vorrichtung im Fahrzeugkommunikationssystem gemäß einer dritten Ausführungsform der vorliegenden Offenbarung.
22 zeigt ein Beispiel zeitlicher Änderung in einem Sende-Intervall einer periodischen Nachricht, die im Fahrzeugkommunikationssystem gemäß der dritten Ausführungsform der vorliegenden Offenbarung zu überwachen ist.
23 zeigt ein Beispiel einer Frequenzverteilung von Zielnachrichten-Sende-Intervall in dem Fahrzeugkommunikationssystem gemäß der dritten Ausführungsform der vorliegenden Offenbarung.
24 zeigt ein Beispiel unautorisierter Nachrichtendetektion, welche durch die Detektionseinheit in der Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung durchgeführt wird.
25 ist ein Flussdiagramm einer Prozedur des Betriebs, der durchgeführt wird, wenn die Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung eine Ziel-Nachricht empfängt.
26 ist ein Flussdiagramm einer Prozedur des Betriebs, die durchgeführt wird, wenn die Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung einen Bestimmungsprozess durchführt.

BESCHREIBUNG VON AUSFÜHRUNGSFORMEN
Heutzutage sind Fahrzeugnetzwerksysteme zum Verbessern der Sicherheit in Fahrzeugnetzwerken entwickelt worden.
[Durch die vorliegende Erfindung zu lösendes Problem]
Patentliteratur 1 offenbart eine Konfiguration, in der ein erster Verschlüsselungsschlüssel, der in der Nachrichten-Authentifizierung durch eine erste ECU und eine zweite ECU, die nur mit einem Fahrzeugnetzwerk verbunden sind, verwendet wird, sich von einem zweiten Verschlüsselungsschlüssel unterscheidet, der durch eine mit sowohl dem Fahrzeugnetzwerk als auch einem externen Netzwerk verbundene dritte ECU zu verwenden ist, wodurch eine Cyber-Attacke aus dem externen Netzwerk auf die erste ECU und die zweite ECU verhindert wird, welche nicht mit dem externen Netzwerk verbunden sind.
Jedoch könnte in einem Fall einer Sicherheitsmaßnahme, die Nachrichten-Authentifizierung verwendet, die Sicherheitsnachricht durch eine Attacke auf die Verlässlichkeit eines Protokolls, eine Attacke, welche den illegal erhaltenen ersten Verschlüsselungsschlüssel verwendet, eine Attacke auf einen veralteten Verschlüsselungs-Algorithmus oder dergleichen invalidiert werden.
In einem Fall, bei dem eine solche Attacke gemacht worden ist, ist eine Technologie zum korrekten Detektieren des Eindringens eines Angreifers in das Fahrzeugnetzwerk erforderlich.
Die vorliegende Offenbarung ist gemacht worden, um das oben beschriebene Problem zu lösen. Eine Aufgabe der vorliegenden Offenbarung ist es, eine Detektionsvorrichtung, ein Detektionsverfahren, und ein Detektionsprogramm bereitzustellen, welche eine unautorisierte Nachricht in einem Fahrzeugnetzwerk richtig detektieren können.
[Effekte der vorliegenden Offenbarung]
Gemäß der vorliegenden Offenbarung kann eine unautorisierte Nachricht in einem Fahrzeugnetzwerk korrekt detektiert werden.
[Beschreibung von Ausführungsform der vorliegenden Offenbarung]
Zuerst werden Inhalte von Ausführungsformen der vorliegenden Offenbarung aufgelistet und beschrieben.
(1) Eine Detektionsvorrichtung gemäß einer Ausführungsform der vorliegenden Offenbarung ist konfiguriert, eine unautorisierte Nachricht in einem, in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren. Die Detektionsvorrichtung beinhaltet: eine Nachrichten-Erfassungseinheit, die konfiguriert ist, eine oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk zu erfassen; eine Datenerfassungseinheit, die konfiguriert ist, einen Satz einer Vielzahl von Typen von Daten, die in der durch die Nachrichten-Erfassungseinheit erfassten Sendenachrichten enthalten sind, und die derselben Zeit entsprechen, zu erfassen; eine Speichereinheit, die konfiguriert ist, eine Detektionsbedingung zu speichern, wobei die Detektionsbedingung vorab erzeugt wird, und auf einer Vielzahl von Sätzen basiert, die jeweils einer Vielzahl von Zeiten entsprechen; und eine Detektionseinheit, die konfiguriert ist, die unautorisierte Nachricht zu detektieren, auf Basis des durch die Datenerfassungseinheit erfassten Satzes und der Detektionsbedingung.
Beispielsweise in einem Fall, bei dem es eine gewisse Beziehung zwischen einer Vielzahl von Typen von Daten gibt, falls die Beziehung verwendet wird, ist es möglich, aus gewissen Daten einen Bereich der Werte, welche andere Daten annehmen können, zu berechnen. Aufgrund der obigen Konfiguration, beispielsweise aus den gewissen Daten in obigen Satz, kann ein Bereich von Werten, die die anderen Daten im Satz annehmen können, auf Basis der Detektionsbedingung berechnet werden. Somit kann die Authentizität der anderen Daten korrekt bestimmt werden. Entsprechend kann eine Nachricht, die als unautorisiert bestimmte Daten beinhaltet, als eine unautorisierte Nachricht detektiert werden. Daher kann eine unautorisierte Nachricht im Fahrzeugnetzwerk korrekt detektiert werden.
(2) Vorzugsweise wird die Detektionsbedingung auf Basis der Sätze einer Vielzahl von Typen von Daten, die eine vorbestimmte Korrelation aufweisen, erzeugt.
Aufgrund der Konfiguration, in der eine Detektionsbedingung auf Basis von Sätzen einer Vielzahl von Typen von Daten, zwischen welchen eine gewisse Beziehung existiert, erzeugt wird, ist es möglich, eine Detektionsbedingung zu erzeugen, welche auf Basis gewisser Daten in einem Satz die Reduktion des Bereichs der Werte, welche die anderen Daten im Satz annehmen können, gestattet. Entsprechend kann die Authentizität der anderen Daten korrekter bestimmt werden. Das heißt, dass eine angemessene Detektionsbedingung erzeugt werden kann.
(3) Bevorzugterer Weise, wenn es eine Vielzahl von Typen von Korrelationsdaten gibt, welche die Daten sind, welche die Korrelation mit einem gewissen Typ der Daten aufweisen, wird die einzelne Detektionsbedingung auf Basis eines gewissen Typs der Daten und der Vielzahl von Typen der Korrelationsdaten erzeugt.
Aufgrund dieser Konfiguration, selbst wenn beispielsweise ein Angreifer einen Teil der Daten in dem gewissen Datentyp und der Vielzahl von Typen von Korrelationsdaten modifiziert hat, ist es möglich, ein Abnormalität von Daten im obigen Satz zu bestimmen, auf Basis der Beziehung zwischen den modifizierten Daten und den restlichen Daten. Das heißt, um ein illegales Eindringen vorzunehmen, muss der Angreifer alle der gewissen Typen von Daten und der Vielzahl von Typen von Korrelationsdaten modifizieren. Somit kann illegales Eindringen in das Netzwerk schwierig gemacht werden. Entsprechend kann die Sicherheit des Fahrzeugnetzwerks verbessert werden.
(4) Bevorzugterer Weise berechnet die Detektionseinheit einen geschätzten Fehler des gewissen Typs der Daten auf Basis des gewissen Typs der Daten und der Vielzahl von Typen der Korrelationsdaten, welche durch die Datenerfassungseinheit erfasst sind, und der Detektionsbedingung, evaluiert die Authentizität eines gewissen Typs der Daten auf Basis des berechneten abgeschätzten Fehlers und einer Verteilung des geschätzten Fehlers, die unter Verwendung der Detektionsbedingung erzeugt wird, und bestimmt, ob der gewisse Typ der Daten die unautorisierte Nachricht ist, auf Basis eines Ergebnisses der Evaluierung.
Aufgrund dieser Konfiguration, beispielsweise in einem Fall, bei dem ein gewisser Datentyp aus einem Wert aufgebaut ist, der kontinuierlich variiert, wie etwa ein Wert, der durch einen Sensor gemessen wird, kann die Möglichkeit, dass ein gewisser Datentyp einen richtigen Wert aufweist, genauer evaluiert werden. Daher kann die Authentizität eines gewissen Datentyps besser bestimmt werden.
(5) Bevorzugterer Weise ist der gewisse Datentyp Daten, die einen Zustand angeben, und die Detektionseinheit schätzt einen Wert des gewissen Typs der Daten auf Basis der Vielzahl von Typen von Korrelationsdaten, die durch die Datenerfassungseinheit erfasst werden, und der Detektionsbedingung ab, und bestimmt, ob der gewisse Typ der Daten der unautorisierten Nachricht entspricht oder nicht, auf Basis eines Ergebnisses des Vergleichs zwischen dem geschätzten Wert und dem gewissen Datentyp.
Aufgrund dieser Konfiguration kann beispielsweise in einem Fall, bei dem ein gewisser Datentyp aus einem Wert zusammengesetzt ist, der diskontinuierlich in einem solchen Fall einer Ganghebel-Position oder eines Sitzgurt-Zustands variiert, ein Wert, den ein gewisser Datentyp angeben sollte, richtiger bestimmt werden. Somit kann die Authentizität des gewissen Datentyps angemessener bestimmt werden.
(6) Bevorzugterer Weise, wenn es eine Vielzahl von Typen von Korrelationsdaten gibt, welche die Daten sind, welche die Korrelation mit einem gewissen Typ von Daten aufweist, werden eine Vielzahl von Detektionsbedingungen auf Basis des gewissen Typs der Daten und der Vielzahl von Korrelationsdaten erzeugt.
Aufgrund dieser Konfiguration kann das illegale Eindringen in das Fahrzeugnetzwerk schwierig gemacht werden und kann die Rechenbelastung bei der Berechnung der Detektionsbedingung reduziert werden.
(7) Vorzugsweise erfasst die Datenerfassungseinheit einen Satz der Vielzahl von Daten, die jeweils in den Sendenachrichten enthalten sind, die sich voneinander unterscheiden.
Eine Vielzahl von Datentyp, deren Empfangszeiten, Sendezeiten, Erzeugungszeiten oder dergleichen sich voneinander unterscheiden, sind in vielen Fällen jeweils in unterschiedlichen Sendenachrichten enthalten. Aufgrund der obigen Konfiguration können die zu detektierenden Datentypen daran gehindert werden, aufgrund von Zeit beschränkt zu sein.
(8) Bevorzugterer Weise speichert die Nachrichten-Erfassungseinheit in der Speichereinheit eine Vielzahl von Sendenachrichten, die erfasst worden sind, und erfasst die Datenerfassungseinheit den Satz aus den in der Speichereinheit gespeicherten Sendenachrichten.
Aufgrund dieser Konfiguration können beispielsweise Daten in der Vielzahl von Sendenachrichten, die in der Speichereinheit gespeichert sind, neu „gesampled“ werden und somit können die Zeiten einer Vielzahl von Datentypen auf dieselbe Zeit justiert werden. Entsprechend kann ein Satz einer Vielzahl von Datentypen entsprechend derselben Zeit leicht erfasst werden.
(9) Vorzugsweise beinhaltet die Detektionsvorrichtung weiter eine Aktualisiereinheit, die konfiguriert ist, die Detektionsbedingung auf Basis des durch die Datenerfassungseinheit erfassten Satzes zu aktualisieren.
Aufgrund dieser Konfiguration, beispielsweise selbst falls die bei der Berechnung der Detektionsbedingung verwendeten Sätze nicht als eine Population perfekt sind, kann ein neu erfasster Satz in der Population enthalten sein. Somit kann der Grad an Perfektion der Population mehr verstärkt werden. Entsprechend kann die Detektionsbedingung auf eine angemessenere Detektionsbedingung aktualisiert werden.
(10) Vorzugsweise beinhaltet die Detektionsvorrichtung weiter eine Monitoreinheit, die konfiguriert ist, die Sendenachrichten im Fahrzeugnetzwerk zu überwachen, und eine Verteilungs-Erfassungseinheit, die konfiguriert ist, die Verteilung von Sende-Intervallen der Sendenachrichten zu erfassen. Die Detektionseinheit detektiert die unautorisierte Nachricht auf Basis eines Überwachungsergebnisses durch die Monitoreinheit und der Verteilung, welche durch die Verteilungserfassungseinheit erfasst wird. In Bezug auf eine Sendenachricht, die bestimmt worden ist, nicht als die unautorisierte Nachricht klassifiziert zu werden, bestimmt die Detektionseinheit, ob die Sendenachricht die unautorisierte Nachricht ist oder nicht, auf Basis des Satzes, der durch die Datenerfassungseinheit erfasst wird, und der Detektionsbedingung.
Eine Sendenachricht, die ein Pseudo-Sende-Intervall genau justiert aufweist, ist schwierig als eine unautorisierte Nachricht zu detektieren, auf Basis des Überwachungsergebnisses und der Verteilung, die oben beschrieben sind. Aufgrund der obigen Konfiguration kann eine solche Sendenachricht als eine unautorisierte Nachricht auf Basis des Satzes und der oben beschriebenen Detektionsbedingung detektiert werden. Daher kann die Sicherheit des Fahrzeugnetzwerks verbessert werden.
(11) Ein Detektionsverfahren gemäß einer Ausführungsform der vorliegenden Offenbarung ist in einer Detektionsvorrichtung durchzuführen, die eine Speichereinheit beinhaltet und konfiguriert ist, eine unautorisierte Nachricht in einen in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren. Das Detektionsverfahren beinhaltet: einen Schritt des Erfassens einer oder einer Vielzahl von Sendenachrichten im Fahrzeugnetzwerk; und einen Schritt des Erfassens eines Satzes von einer Vielzahl von Datentypen, die in den erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen. Die Speichereinheit speichert eine vorab erzeugte, und auf einem Ergebnis des Sätze, die jeweils einer Vielzahl von Zeiten entsprechen basierende Detektionsbedingung. Das Detektionsverfahren beinhaltet weiter einen Schritt des Detektierens der unautorisierten Nachricht auf Basis des erfassten Satzes und der Detektionsbedingung.
Beispielsweise in einem Fall, bei dem es eine gewisse Beziehung zwischen einer Vielzahl von Datentypen gibt, falls die Beziehung verwendet wird, ist es möglich, aus gewissen Daten einen Bereich der Werte zu berechnen, die andere Daten annehmen können. Aufgrund der obigen Konfiguration, beispielsweise aus den gewissen Daten im obigen Satz, kann ein Bereich der Werte, welche die anderen Daten im Satz annehmen können, berechnet werden, auf Basis der Detektionsbedingung. Somit kann die Authentizität der anderen Daten richtig bestimmt werden. Entsprechend kann eine Nachricht, die als unautorisiert bestimmte Daten beinhaltet, als eine unautorisierte Nachricht detektiert werden. Daher kann eine unautorisierte Nachricht im Fahrzeugnetzwerk korrekt detektiert werden.
(12) Ein Detektionsprogramm gemäß einer Ausführungsform der vorliegenden Offenbarung ist in einer Detektionsvorrichtung zu verwenden, wobei die Detektionsvorrichtung eine Speichereinheit beinhaltet und konfiguriert ist, eine unautorisierte Nachricht in einem, in einem fahrzeugmontierten Fahrzeugnetzwerk zu detektieren. Das Detektionsprogramm ist konfiguriert, einen Computer zu veranlassen, zu fungieren als: eine Nachrichten-Erfassungseinheit, die konfiguriert ist, eine oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk zu erfassen; und eine Datenerfassungseinheit, die konfiguriert ist, einen Satz einer Vielzahl von Datentypen zu erfassen, die in den durch die Nachrichten-Erfassungseinheit erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen. Die Speichereinheit speichert eine Detektionsbedingung, die vorab, und basierend auf einer Vielzahl von Sätzen, die jeweils einer Vielzahl von Zeiten entsprechen, erzeugt wird. Das Detektionsprogramm veranlasst weiter den Computer, als eine Detektionseinheit zu fungieren, die konfiguriert ist zum Detektieren der unautorisierten Nachricht auf Basis des durch die Datenerfassungseinheit erfassten Satzes und der Detektionsbedingung.
Beispielsweise in einem Fall, bei dem es eine gewisse Beziehung zwischen einer Vielzahl von Datentypen gibt, falls die Beziehung verwendet wird, ist es möglich, aus gewissen Daten einen Bereich der Werte, die andere Daten annehmen können, zu berechnen. Aufgrund der obigen Konfiguration, beispielsweise aus den gewissen Daten im obigen Satz, kann ein Bereich der Werte, welche die anderen Daten im Satz annehmen können, basierend auf der Detektionsbedingung berechnet werden. Somit kann die Authentizität der anderen Daten korrekt bestimmt werden. Entsprechend kann eine Nachricht, die als unautorisiert festgelegte Daten beinhaltet, als eine unautorisierte Nachricht detektiert werden. Daher kann eine unautorisierte Nachricht im Fahrzeugnetzwerk gut detektiert werden.
Nachfolgend werden Ausführungsformen der vorliegenden Offenbarung unter Bezugnahme auf die Zeichnungen beschrieben. In den Zeichnungen werden dieselben oder entsprechende Teile durch dieselben Bezugszeichen bezeichnet und deren Beschreibung wird nicht wiederholt. Zumindest einige Teile der Ausführungsformen, die unten beschrieben sind, können nach Bedarf miteinander kombiniert werden.
<Erste Ausführungsform>
[Konfiguration und Basisbetrieb]
1 zeigt eine Konfiguration eines Fahrzeugkommunikationssystems gemäß einer ersten Ausführungsform der vorliegenden Offenbarung.
Bezugnehmend auf 1, beinhaltet ein Fahrzeugkommunikationssystem 301 eine Gateway-Vorrichtung (Detektionsvorrichtung) 101, eine Vielzahl von Fahrzeug-Kommunikationsvorrichtungen 111 und eine Vielzahl von Busverbindungs-Vorrichtungsgruppen 121.
2 zeigt eine Konfiguration einer Busverbindungs-Vorrichtungsgruppe gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
Bezugnehmend auf 2, beinhaltet die Busverbindungs-Vorrichtungsgruppe 121 eine Vielzahl von Steuervorrichtungen 122. Die Busverbindungs-Vorrichtungsgruppe 121 muss nicht notwendigerweise eine Vielzahl von Steuervorrichtungen 122 enthalten und kann eine Steuervorrichtung 122 enthalten.
Das Fahrzeugkommunikationssystem 301 ist in einem Fahrzeug (nachfolgend auch als ein Zielfahrzeug bezeichnet) 1 montiert, das auf einer Straße fährt. Ein Fahrzeugnetzwerk 12 beinhaltet eine Vielzahl von Fahrzeugvorrichtungen, die alle eine Vorrichtung sind, die im Zielfahrzeug 1 vorgesehen ist. Spezifisch beinhaltet das Fahrzeugnetzwerk 12 eine Vielzahl von Fahrzeug-Kommunikationsvorrichtungen 111 und eine Vielzahl von Steuervorrichtungen 122, die Beispiele der Fahrzeugvorrichtungen sind.
Solange wie das Fahrzeugnetzwerk 12 eine Vielzahl von Fahrzeugvorrichtungen beinhaltet, kann das Fahrzeugnetzwerk 12 konfiguriert sein, eine Vielzahl von Fahrzeug-Kommunikationsvorrichtungen 111 zu enthalten, und keine Steuervorrichtung 122 zu enthalten, kann konfiguriert sein, keine Fahrzeug-Kommunikationsvorrichtung 111 zu enthalten und eine Vielzahl von Steuervorrichtungen 122 zu enthalten, oder kann konfiguriert sein, eine Fahrzeug-Kommunikationsvorrichtung 111 und eine Steuervorrichtung 122 zu enthalten.
Im Fahrzeugnetzwerk 12 kommuniziert beispielsweise die Fahrzeug-Kommunikationsvorrichtung 111 mit einer Vorrichtung außerhalb des Zielfahrzeugs 1. Spezifisch ist die Fahrzeug-Kommunikationsvorrichtung 111 beispielsweise eine TCU (Telematik-Kommunikationseinheit), eine Kurzbereichsdrahtlos-Endgerätvorrichtung oder eine IST- (Intelligentes TransportSystem) Drahtlosvorrichtung.
Die TCU kann Drahtloskommunikation mit einer Drahtlos-Basisstations-Vorrichtung gemäß einem Kommunikationsstandard wie LTE (Long Term Evolution) oder 3G durchführen und kann Kommunikation beispielsweise mit der Gateway-Vorrichtung 101 durchführen. Die TCU leitet Information, die beispielsweise in Diensten der Navigation, Fahrzeugeinbruchverhinderung, Fernwartung und FOTA (Firmware Over The Air) zu verwenden sind, weiter.
Beispielsweise kann die Kurzbereichsdrahtlos-Endgerätvorrichtung Drahtloskommunikation mit einer Drahtlos-Endgerätvorrichtung wie etwa einem Smartphone, das von einer Person gehalten wird (nachfolgend auch als Insasse bezeichnet) im Zielfahrzeug 1 gemäß einem Kommunikations-Standard wie etwa Wi-Fi (registrierte Marke) und Bluetooth (registrierte Marke)) durchführen und kann Kommunikation mit der Gateway-Vorrichtung 101 durchführen. Die Kurzbereichsdrahtlos-Endgerätvorrichtung gibt Information, die beispielsweise in einem Dienst wie etwa Unterhaltung (Entertainment) zu verwenden ist, weiter.
Beispielsweise kann die Kurzbereichsdrahtlos-Endgerätvorrichtung eine Drahtloskommunikation mit einer Drahtlos-Endgerätvorrichtung durchführen, wie etwa einem Smart-Key, der vom Insassen gehalten wird, und mit einer an einem Reifen vorgesehenen Drahtlos-Endgerätvorrichtung, gemäß einem vorbestimmten Kommunikations-Standard unter Verwendung einer Funkwelle in einem LF- (Niederfrequenz) Band oder einem UHF-Ultra-Hochfrequenz) Band, und kann Kommunikation mit der Gateway-Vorrichtung 101 durchführen. Die Kurzbereichsdrahtlos-Endgerätvorrichtung gibt Information, die beispielsweise in Diensten, wie etwa intelligentem Zugang und TPMS (Reifendruck-Überwachungssystem) zu verwenden sind, weiter.
Die ITS-Drahtlosvorrichtung kann Straßenrand-zu-Fahrzeugkommunikation mit einer Straßenrand-Vorrichtung wie etwa einer optischen Barke, einer Funkwellenbarke oder einem ITS-Punkt, der in der Nähe der Straße vorgesehen ist, durchführen, kann Fahrzeug-zu-Fahrzeug-Kommunikation mit einem in einem anderen Fahrzeug montierten Fahrzeugendgerät durchführen und kann Kommunikation mit der Gateway-Vorrichtung 101 beispielsweise durchführen. Die ITS-Drahtlosvorrichtung gibt beispielsweise in Diensten wie etwa Verstopfungslinderung, sicher Fahrunterstützung und Routenführung zu verwendende Information weiter.
Die Gateway-Vorrichtung 101 kann über einen Port 112 Daten zum Aktualisieren oder dergleichen von Firmware und Daten etc., die durch die Gateway-Vorrichtung 101 akkumuliert sind, an/aus einer Wartungs-Endgerätvorrichtung außerhalb des Zielfahrzeugs 1 senden/empfangen.
Die Gateway-Vorrichtung 101 ist mit Fahrzeugvorrichtungen beispielsweise über Busse 13, 14 verbunden. Spezifisch ist jeder Bus 13, 14 ein Bus gemäß einem Standard von CAN (Controller Area Network) (registrierte Marke), FlexRay (registrierte Marke), MOST (Medienorientierter Systemtransport) (registrierte Marke), Ethernet (registrierte Marke), LIN (Lokal-Zwischenverbindungsnetzwerk) oder dergleichen.
In diesem Beispiel ist jede Fahrzeug-Kommunikationsvorrichtung 111 mit der Gateway-Vorrichtung 101 über einen entsprechenden Bus 14 gemäß dem Ethernet-Standard verbunden. Jede Steuervorrichtung 122 in jeder Busverbindungs-Vorrichtungsgruppe 121 ist mit der Gateway-Vorrichtung 101 über einen entsprechenden Bus 13 gemäß dem CAN-Standard verbunden. Die Steuervorrichtung 122 kann beispielsweise einen Funktionsabschnitt in dem Zielfahrzeug 1 steuern.
Die Busse 13 sind beispielsweise für entsprechende Typen von Systemen vorgesehen. Spezifisch sind beispielsweise die Busse 13 als ein Antriebssystembus, ein Chassis/Sicherheitssystembus, ein Karosserie/Elektroausrüstungssystembus und ein AV-Informationssystembus implementiert.
Der Antriebssystembus weist damit verbunden eine Motorsteuervorrichtung, eine AT- (Automatikgetriebe-) Steuervorrichtung und eine HEV- (Elektrofahrzeug) Steuervorrichtung auf, die Beispiele der Steuervorrichtung 122 sind. Die Motorsteuervorrichtung, die AT-Steuervorrichtung und die HEV-Steuervorrichtung steuern einen Motor, einen AT, bzw. das Umschalten zwischen dem Motor und einem Elektromotor.
Der Chassis/Sicherheitssystembus hat damit verbunden eine Bremssteuervorrichtung, eine Chassis-Steuervorrichtung, und eine Lenkungs-Steuervorrichtung, die Beispiele der Steuervorrichtung 122 sind. Die Bremssteuervorrichtung, die Chassis-Steuervorrichtung und die Lenk-Steuervorrichtung steuern eine Bremse, ein Chassis bzw. eine Lenkung.
Der Karosserie/Elektroausrüstungs-Systembus hat damit verbunden eine Instrumenten-Anzeigesteuervorrichtung, eine Klimaanlagen-Steuervorrichtung, eine Einbruchsverhinderungs-Steuervorrichtung, eine Airbag-Steuervorrichtung und eine intelligente Zugangs-Steuervorrichtung, die Beispiele der Steuervorrichtung 122 sind. Die Instrumentenangabe-Steuervorrichtung, die Klimaanlagen-Steuervorrichtung, die Einbruchsverhinderungs-Steuervorrichtung, die Airbag-Steuervorrichtung und die Smart-Entry-Steuervorrichtung steuern Instrumente, eine Klimaanlage, einen Einbruchsverhinderungs-Mechanismus, einen Airbag-Mechanismus bzw. Smart-Entry.
Der AV/Informationssystembus hat damit verbunden eine Navigations-Steuervorrichtung, eine Audio-Steuervorrichtung, eine ETC- (elektronisches Maut-Sammelsystem, Electronic Toll Collect System) (registrierte Marke) Steuervorrichtung und eine Telefon-Steuervorrichtung, die Beispiele der Steuervorrichtung 122 sind. Die Navigations-Steuervorrichtung, die Audio-Steuervorrichtung, die ETC-Steuervorrichtung und die Telefon-Steuervorrichtung steuern eine Navigationsvorrichtung, eine Audio-Vorrichtung, eine ETC-Vorrichtung bzw. ein Mobiltelefon.
Der Bus 13 muss nicht notwendigerweise die damit verbundenen Steuervorrichtungen 122 aufweisen und kann damit verbunden eine andere Vorrichtung als die Steuervorrichtung 122 aufweisen, wie etwa beispielsweise einen Sensor.
Die Gateway-Vorrichtung 101 ist beispielsweise ein zentraler Gateway (CGW) und kann Kommunikation mit den Fahrzeugvorrichtungen durchführen.
Die Gateway-Vorrichtung 101 führt einen Weiterleitungsprozess des Weiterleitens von Information, die zwischen Steuervorrichtungen 122 gesendet/empfangen werden, welche mit verschiedenen Bussen 13 im Zielfahrzeug 1 verbunden sind, beispielsweise von zwischen Fahrzeug-Kommunikationsvorrichtungen 111 gesendeter/empfangener Information und zwischen einer Steuervorrichtung 122 und einer Fahrzeug-Kommunikationsvorrichtung 111 gesendeter/empfangener Information durch.
Spezifischer wird beispielsweise im Zielfahrzeug 1 eine Nachricht periodisch aus einer Fahrzeugvorrichtung an eine andere Fahrzeugvorrichtung gemäß einer vorbestimmten Regel gesendet. In diesem Beispiel wird eine Nachricht, die periodisch aus einer Steuervorrichtung 122 an eine andere Steuervorrichtung 122 gesendet wird, beschrieben. Jedoch gelten die unten beschriebenen Inhalte auch für eine Nachricht, die zwischen einer Steuervorrichtung 122 und einer Fahrzeug-Kommunikationsvorrichtung 111 gesendet wird, und eine Nachricht, die zwischen Fahrzeug-Kommunikationsvorrichtungen 111 gesendet wird.
Die Übersendung der Nachricht kann durch Rundfunk (Broadcast) durchgeführt werden oder kann durch Direktfunk (Unicast) durchgeführt werden. Nachfolgend wird die periodisch gesendete Nachricht auch als eine periodische Nachricht bezeichnet.
Im Zielfahrzeug 1 existiert, außer der periodischen Nachricht, eine Nachricht, die nicht periodisch aus einer Steuervorrichtung 122 an eine andere Steuervorrichtung 122 gesendet wird. Jede Nachricht beinhaltet eine ID zum Identifizieren einer Sendequelle oder dergleichen und den Inhalt der Nachricht. Ob eine Nachricht eine periodische Nachricht ist oder nicht, kann durch die ID unterschieden werden.
3 zeigt eine Konfiguration der Gateway-Vorrichtung des Fahrzeugkommunikationssystems gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
Unter Bezugnahme auf 3 beinhaltet der Gateway 101 eine Kommunikationsverarbeitungseinheit 51, eine Speichereinheit 52, eine Datenerfassungseinheit 53, eine Detektionseinheit 54 und eine Nachrichten-Erfassungseinheit 55.
Die Gateway 101 fungiert als eine Detektionsvorrichtung und detektiert eine unautorisierte Nachricht im, in dem Zielfahrzeug 1 montierten Fahrzeugnetzwerk 12.
Spezifischer führt die Kommunikationsverarbeitungseinheit 51 in der Gateway-Vorrichtung 101 einen Relais-Prozess durch. Spezifischer, sendet beim Empfangen einer Nachricht aus einer Steuervorrichtung 122 über einen entsprechenden Bus 13 die Kommunikationsverarbeitungseinheit 51 die empfangene Nachricht an eine andere Steuervorrichtung 122 über einen entsprechenden Bus 13.
Die Nachrichten-Erfassungseinheit 55 erfasst eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk 12. Die Nachrichten-Erfassungseinheit 55 speichert die erfasste Vielzahl von Sendenachrichten beispielsweise in der Speichereinheit 52.
Spezifischer hat die Speichereinheit 52 darin registriert eine Detektionsbedingungs-Information, die beispielsweise den die Nachrichten-Erfassungseinheit 55 zu überwachenden Datentyp beinhaltet. Details der Detektionsbedingungs-Information werden später beschrieben.
Auf Basis der in der Speichereinheit 52 registrierten Detektionsbedingungs-Information erkennt die Nachrichten-Erfassungseinheit 55 den durch die Nachrichten-Erfassungseinheit 55 zu überwachenden Datentyp.
Die Nachrichten-Erfassungseinheit 55 überwacht Daten, die in einer Nachricht enthalten sind, welche durch die Kommunikationsverarbeitungseinheit 51 weitergeleitet wird und führt den nachfolgenden Prozess jedes Mal durch, wenn die Nachrichten-Erfassungseinheit 55 eine Nachricht detektiert, die den zu überwachenden Datentyp enthält.
Das heißt, dass die Nachrichten-Erfassungseinheit 55 die detektierte Nachricht aus der Kommunikationsverarbeitungseinheit 51 erfasst und an der erfassten Nachricht eine Zeitmarke anbringt, welche die Empfangszeit der Nachricht angibt.
Dann speichert die Nachrichten-Erfassungseinheit 55 die Nachricht mit der Zeitmarke daran angebracht in der Speichereinheit 52.
4 ist ein Diagramm zum Beschreiben eines Erzeugungsprozesses eines normalen Modells, welches durch die Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung zu verwenden ist. In 4 repräsentiert die horizontale Achse Daten X und repräsentiert die vertikale Achse Daten Y.
Unter Bezugnahme auf 4 speichert die Speichereinheit 52 eine vorab erzeugte Detektionsbedingung und basierend auf einer Vielzahl von Sätzen, die jeweils einer Vielzahl von Zeiten entsprechen, zum Beispiel Erzeugungszeiten von Daten. Hier ist beispielsweise jeder Satz ein Satz von zwei Datentypen, die derselben Erzeugungszeit entsprechen und die in den durch die Nachrichten-Erfassungseinheit 55 erfassten Sendenachrichten enthalten sind.
Spezifisch speichert die Speichereinheit 52 ein Normalmodell M2, das vorab beispielsweise durch einen Server erzeugt wird. Das Normalmodell M2 wird auf Basis von Sätzen von zwei Datentypen, die beispielsweise eine vorbestimmte Korrelation aufweisen, erzeugt.
Spezifischer werden beispielsweise unterschiedliche Typen von Rohdaten R1 bis Rohdaten RN in Zeitreihe im Server durch einen Anwender registriert. Hier ist N eine Ganzzahl von 2 oder größer. In diesem Beispiel sind Rohdaten R1 bis Rohdaten RN Daten, die beispielsweise während der Entwicklung in einem Testfahrzeug desselben Typs wie das Zielfahrzeug 1 erfasst werden.
Beispielsweise wandelt der Server Rohdaten R1 bis Rohdaten RN in Zeitreihe in Daten 1 bis Daten N zu einer Vielzahl von gemeinsamen Erzeugungszeiten um.
Spezifischer, wenn beispielsweise die Erzeugungszeiten von Rohdaten R1 und Rohdaten R2 nicht miteinander synchronisiert sind, synchronisiert der Server die Erzeugungszeit der Rohdaten R2 zu Erzeugungszeit der Rohdaten R1 durch Resampling (Neuabtasten) von Rohdaten R2.
Ähnlich, wenn beispielsweise die Erzeugungszeiten von Rohdaten R1 und Rohdaten R3 nicht miteinander synchronisiert sind, synchronisiert der Server die Erzeugungszeit der Rohdaten R3 zur Erzeugungszeit der Rohdaten R1, durch Neuabtasten von Rohdaten R3.
Durch Durchführen ähnlicher Prozesse auch an den Rohdaten R4 bis Rohdaten RN synchronisiert der Server die Erzeugungszeiten von Rohdaten R4 bis Rohdaten RN zu der Erzeugungszeit von Rohdaten R1. Entsprechend werden Rohdaten R1 bis Rohdaten RN in Zeitreihe in Daten 1 bis Daten N zu einer Vielzahl von gemeinsamen Erzeugungszeiten umgewandelt.
Beispielsweise wählt aus den Daten 1 bis Daten N zu einer Vielzahl von gemeinsamen Erzeugungszeiten der Server X, Y zu einer Vielzahl von gemeinsamen Erzeugungszeiten aus. Hier sind X und Y voneinander unterschieden und sind beide eine Ganzzahl von 1 bis N. Die Auswahl von Daten X, Y wird beispielsweise in einer „round robin“-Weise durchgeführt.
In 4 werden Sätze von Daten X und Daten Y, die jeweils einer Vielzahl von gemeinsamen Erzeugungszeiten entsprechen, durch schwarze Punkte angegeben.
Der Server berechnet einen Korrelationskoeffizienten beispielsweise auf Basis einer Vielzahl von Sätzen von ausgewählten Daten X und Daten Y.
Beispielsweise, wenn der berechnete Korrelationskoeffizient nicht kleiner als 0,4 und nicht größer als 0,7 ist, bestimmt der Server, dass es eine Korrelation zwischen den Daten X und den Daten Y gibt. Wenn beispielsweise der berechnete Korrelationskoeffizient größer als 0,7 ist, bestimmt der Server, dass es eine starke Korrelation zwischen den Daten X und den Daten Y gibt.
Wenn der Server bestimmt hat, dass es eine Korrelation zwischen den Daten X und den Daten Y gibt, oder dass es eine starke Korrelation zwischen den Daten X und den Daten Y gibt, erzeugt der Server ein Normalmodell M2 auf Basis der Daten X und der Daten Y.
Spezifisch erzeugt beispielsweise der Server ein Normalmodell M2 durch Maschinenlernen gemäß einem Algorithmus wie etwa Mahalanobis, Oneclass-SVM (Unterstützungs-Vektor-Maschine), LOF (Local Outlier Factor), Isolation forest (Isolationswald) oder NN (Nearest-Neighbor, nächste Nachbarn).
Derweil, wenn der Server nicht bestimmt hat, dass es eine Korrelation zwischen den Daten X und den Daten Y ist, und nicht bestimmt hat, dass es eine starke Korrelation zwischen den Daten X und den Daten Y gibt, erzeugt der Server kein Normalmodell M2.
Der Server erzeugt beispielsweise eine Vielzahl von Normalmodellen M2 und erzeugt Modellinformation für jedes der erzeugten Normalmodelle M2. Hier gibt die Modellinformation ein Normalmodell M2 und eine Kombination von entsprechenden Typen von Daten X und Daten Y an.
Die Kombination von Typen von Daten X und Daten Y ist beispielsweise Motordrehzahl und Geschwindigkeit; Gier-Rate und Lenkwinkel; Gier-Rate und Fahrzeuggewicht; Fahrpedalöffnung und Fahrzeugkarosserie-Beschleunigung oder dergleichen.
Die Vielzahl von Teilen von Modellinformation, die durch den Server erzeugt werden, werden gesammelt, um beispielsweise Detektionsbedingungs-Information zu bilden, und die Detektionsbedingungs-Information wird in der Speichereinheit 52 während der Herstellung des Zielfahrzeugs 1 registriert.
Die Detektionsbedingungs-Information kann aktualisiert werden. Spezifisch empfängt beispielsweise die Kommunikationsverarbeitungseinheit 51 aus dem Server über eine Fahrzeug-Kommunikationsvorrichtung 111 Detektionsbedingungs-Information, die durch den Server aktualisiert ist, und aktualisiert die in der Speichereinheit 52 registrierte Detektionsbedingungs-Information auf die empfangene Detektionsbedingungs-Information.
Der Server muss nicht notwendigerweise eine Vielzahl von Normalmodellen M2 erzeugen und kann ein Normalmodell M2 erzeugen.
Wieder unter Bezugnahme auf 3, erfasst die Datenerfassungseinheit 53 einen Satz von zwei Datentypen, die in den durch die Nachrichten-Erfassungseinheit 55 erfassten Sendenachrichten enthalten sind, und die derselben Zeit entsprechen, zum Beispiel Empfangszeit.
Spezifischer erfasst die Datenerfassungseinheit 53 aus der Speichereinheit 52 eine Vielzahl von Stücken von Modellinformation, die in der in der Speichereinheit 52 gespeicherten Detektionsbedingungs-Information enthalten ist.
[Fall, bei dem zwei Typen von Daten in derselben Sendenachricht enthalten sind]
Die Datenerfassungseinheit 53 erfasst beispielsweise einen Satz von zwei Datentypen aus jeder in der Speichereinheit 52 gespeicherten Sendenachricht.
Spezifischer, auf Basis der Vielzahl von Stücken von Modellinformation, die erfasst worden sind, erfasst die Datenerfassungseinheit 53 beispielsweise aus der Speichereinheit 52 einen Satz von zwei Datentypen, die in derselben Sendenachricht enthalten sind.
Spezifisch, beispielsweise in einem Fall, bei dem der Kombination der Typen, die durch die Modellinformation angegeben sind, entsprechende Daten in derselben Nachricht gespeichert und in dem Fahrzeugnetzwerk 12 gesendet werden, erfasst die Datenerfassungseinheit 53 die zwei Datentypen aus derselben, in der Speichereinheit 52 gespeicherten Nachricht.
Wenn beispielsweise eine Nachricht, die zwei Datentypen enthält, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird, erfasst die Datenerfassungseinheit 53 die zwei Datentypen aus der neu gespeicherten Nachricht und gibt an die Detektionseinheit 54 einen Satz der erfassten zwei Datentypen und die Kombination der Typen, die durch die Modellinformation angegeben ist, aus.
[Fall, bei dem zwei Typen von Daten jeweils in unterschiedlichen Sendenachrichten enthalten sind]
5 ist ein Diagramm zum Beschreiben von Timings, zu welchen ein Synchronisationsprozess in der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Erfindung durchgeführt wird. In 5 repräsentiert die horizontale Achse die Zeit.
Unter Bezugnahme auf 5, beispielsweise auf Basis einer Vielzahl von Stücken von Modellinformation, die erfasst worden sind, erfasst die Datenerfassungseinheit 53 aus der Speichereinheit 52 einen Satz von zwei Datentypen, die jeweils in unterschiedlichen Sendenachrichten enthalten sind.
Spezifisch, beispielsweise in einem Fall, bei dem Stücke von Daten entsprechend der Kombination der durch die Modellinformation angegebenen Typen in getrennten Nachrichten gespeichert werden und in dem Fahrzeugnetzwerk 12 gesendet werden, führt die Datenerfassungseinheit 53 den nachfolgenden Prozess durch.
Das heißt, dass beispielsweise die Datenerfassungseinheit 53 aus der Speichereinheit 52 eine Vielzahl von Nachrichten MJ erfasst, die einen Typ von Daten DJ enthalten, und eine Vielzahl von Nachrichten MK, welche den anderen Typ von Daten DK enthalten. Hier sind die Nachricht MJ und die Nachricht MK Nachrichten, die beispielsweise im selben Zyklus im Fahrzeugnetzwerk 12 gesendet werden.
Auf Basis der an der Vielzahl von Nachrichten MJ, die einen Typ von Daten DJ enthalten, angebrachten Zeitmarken assoziiert die Datenerfassungseinheit 53 Empfangszeiten mit dem einen Datentyp DJ.
Spezifisch assoziiert die Datenerfassungseinheit 53 Empfangszeiten tJ1, tJ2 mit Daten DJ1 bzw. DJ2, die Beispiele von Daten DJ sind.
Ähnlich, beispielsweise auf Basis der an der Vielzahl von Nachrichten MK, welche den anderen Datentyp DK beinhaltet, angebrachten Zeitmarken assoziiert die Datenerfassungseinheit 53 Empfangszeiten mit dem anderen Datentyp DK.
Spezifisch assoziiert die Datenerfassungseinheit 53 Zeiten tk1, tk2 mit Daten DK1 bzw. DK2, die Beispiele von Daten DK sind.
Beispielsweise führt die Datenerfassungseinheit 53 das Neuabtasten der anderen Typen von Daten DK auf Basis der mit dem einen Typ von Daten DJ assoziierten Empfangszeit und der mit dem anderen Datentyp DK assoziierten Empfangszeit durch, wodurch ein Synchronisationsprozess zum Synchronisieren der Empfangszeit des einen Datentyps DJ und der Empfangszeit des anderen Datentyps D miteinander durchgeführt wird.
Wenn beispielsweise eine, den einen Typ von Daten DJ enthaltende Nachricht MJ neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird, führt die Datenerfassungseinheit 53 den Synchronisationsprozess durch.
Wenn beispielsweise spezifisch eine, der Empfangszeit tj2 entsprechende Nachricht MJ neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird, tastet die Datenerfassungseinheit 53 Daten DK, die Daten DK1, DK2 und dergleichen enthalten, neu ab, wodurch neu abgetastete Daten RDK1 und RDK2 abgetastet werden, die jeweils den Empfangszeiten tj1, tj2 entsprechen.
Wenn beispielsweise der Synchronisationsprozess abgeschlossen ist, erfasst die Datenerfassungseinheit 53 den neuesten Satz von zwei Datentypen aus den synchronisierten zwei Datentypen und gibt an die Detektionseinheit 54 den erfassten Satz von zwei Datentypen aus, und die Kombination der Typen, die durch die Modellinformation angegeben ist.
Spezifisch gibt beispielsweise die Datenerfassungseinheit 53 an die Detektionseinheit 54 den Satz von Daten DJ2 und neu abgetasteten Daten RDK2 und die Kombination der Typen, die durch die Modellinformation angegeben ist, aus.
Der Zeitpunkt, zu welchem die Datenerfassungseinheit 53 den Synchronisationsprozess durchführt, kann beispielsweise ein Timing sein, zu welchem eine, den anderen Datentyp DK enthaltende Nachricht MK neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird.
Spezifisch, wenn beispielsweise eine Nachricht MK, die der Empfangszeit tk2 entspricht, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird, tastet die Datenerfassungseinheit 53 die, Daten DK1, DK2 und dergleichen enthaltenden Daten DK neu ab, wodurch neu abgetastete Daten RDK1 erzeugt werden, die der Empfangszeit tj1 entsprechen.
Dann gibt die Datenerfassungseinheit 53 an die Detektionseinheit 54 den Satz von Daten DJ1 und neu abgetasteten Daten RDK1 und die Kombination der Typen, welche beispielsweise durch die Modellinformation angegeben werden, aus.
Der Zeitpunkt, zu welchem die Datenerfassungseinheit 53 den Synchronisationsprozess durchführt, kann beispielsweise ein Zeitpunkt sein, zu welchem sowohl eine Nachricht, die einen Datentyp enthält, als auch eine Nachricht, die den anderen Datentyp enthält, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird.
6 ist ein Diagramm zum Beschreiben von Zeitpunkten, zu welchen ein Synchronisationsprozess in der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung durchgeführt wird. In 6 repräsentiert die horizontale Achse die Zeit.
Unter Bezugnahme auf 6 sind eine Nachricht MP, die einen Typ von Daten DP enthält, und eine Nachricht MQ, die den anderen Typ von Daten DQ enthält, Nachrichten, die beispielsweise in unterschiedlichen Zyklen des Fahrzeugnetzwerks 12 gesendet werden.
Die Datenerfassungseinheit 53 assoziiert Empfangszeiten tp1, tp2 mit Daten DP1 bzw. DP2, die Beispiele von Daten DP sind.
Zusätzlich assoziiert die Datenerfassungseinheit 53 Empfangszeiten tq1, tq2, tq3, tq4 mit Daten DQ1, DQ2, DQ3 bzw. DQ4, die Beispiele von Daten DQ sind.
Wenn beide Nachrichten MP, MQ neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert werden, führt die Datenerfassungseinheit 53 einen Synchronisationsprozess beispielsweise durch.
Spezifisch bestimmt beispielsweise zur Empfangszeit tp1 die Datenerfassungseinheit 53, dass die beiden Nachrichten MP, MQ neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert worden sind, und führt den Synchronisationsprozess durch.
Ähnlich bestimmt beispielsweise zur Empfangszeit tp2 die Datenerfassungseinheit 53, dass die beiden Nachrichten MP, MQ neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert worden sind und führt den Synchronisationsprozess durch.
Beispielsweise im Synchronisationsprozess zur Empfangszeit DQ2 tastet die Datenerfassungseinheit 53 die, Daten DQ1 bis DQ4 etc. beinhaltenden Daten DQ neu ab, wodurch neu abgetastete Daten RDQ1, RDQ2 erzeugt werden, die jeweils den Empfangszeiten tp1, tp2 entsprechen.
Die Datenerfassungseinheit 53 gibt beispielsweise an die Detektionseinheit 54 den Satz Daten DP2 und neu abgetasteter Daten RDQ2 und Kombinationen der durch die Modellinformation angegebenen Typen aus.
Im Synchronisationsprozess zur Empfangszeit tp2 kann die Datenerfassungseinheit 53, Daten DP1, DP2 etc. enthaltende Daten DP neu abtasten, wodurch neu abgetastete Daten RDP1 bis RDP4 (nicht gezeigt) erzeugt werden, die jeweils den Empfangszeiten tq1 bis tq4 entsprechen.
In diesem Fall gibt die Datenerfassungseinheit 53 an die Detektionseinheit 54 den Satz von wieder abgetasteten Daten RDP4 und Daten DQ4 und eine Kombination der Typen, die durch die Modellinformation angegeben sind, aus.
Zu dieser Zeit kann die Datenerfassungseinheit 53 an die Detektionseinheit 54 den Satz von neu abgetasteten Daten RDP2 und Daten DQ2 und den Satz von neu abgetasteten Daten RDP3 und Daten DQ3 gemeinsam ausgeben. Entsprechend kann die Anzahl von Datenstücken, die bei der Detektion einer unautorisierten Nachricht zu verwenden sind, gesteigert werden.
7 ist ein Diagramm zum Beschreiben der Detektion einer unautorisierten Nachricht, welche durch die Detektionseinheit in der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung durchgeführt wird. Der Weg, 7 zu interpretieren, ist derselbe wie 4.
Unter Bezugnahme auf 7, auf Basis des durch die Datenerfassungseinheit 53 erfassten Satzes und der Detektionsbedingung, detektiert die Detektionseinheit 54 eine unautorisierte Nachricht, die dem durch die Datenerfassungseinheit 53 erfassten Satz entspricht.
Spezifischer, beim Empfangen des Satzes von zwei Datentypen aus der Datenerfassungseinheit 53 und der Kombination von Typen, die durch die Modellinformation angegeben ist, bezieht sich die Detektionseinheit 54 auf eine Vielzahl von Stücken von Modellinformation, die in der Detektionsbedingungs-Information in der Speichereinheit 52 enthalten sind, und erfasst ein Normalmodell M2, das der empfangenen Kombination entspricht, aus der entsprechenden Modellinformation in der Datenerfassungseinheit 53.
Auf Basis des Satzes von zwei Datentypen, die aus der Datenerfassungseinheit 53 empfangen werden, und dem aus der entsprechenden Modellinformation erfassten Normalmodell M2, detektiert die Detektionseinheit 54 eine unautorisierte Nachricht, die dem Satz entspricht.
Spezifisch, beispielsweise in einem Fall, bei dem die Position, die auf dem Satz von zwei Typen von Daten basiert, eine Position Pn ist, bestimmt die Detektionseinheit 54, dass eine der zwei Nachrichten, die die zwei Typen von Daten enthält, autorisierte Nachrichten sind, weil die Position Pn innerhalb einer Grenze B2 des Normalmodells M2 ist.
Derweil, beispielsweise in einem Fall, bei dem die Position, die auf dem Satz von zwei Datentypen basiert, die aus der Datenerfassungseinheit 53 empfangen werden, eine Position Pa ist, bestimmt die Detektionseinheit 54, dass eine oder zwei Nachrichten, welche die zwei Datentypen enthalten, unautorisierte Nachrichten sind, weil die Position Pa außerhalb der Grenze B2 des Normalmodells M2 ist.
Hier wird das Normalmodell M2 auf Basis einer Vielzahl von Sätzen von zwei Typen von Daten mit denselben Erzeugungszeiten erzeugt, während die Positionen Pn, Pa auf Sätzen von zwei Typen von Daten, die dieselben Empfangszeiten aufweisen, basieren.
Im Fahrzeugnetzwerk 12 wird die Sendung einer Nachricht bei einer hohen Geschwindigkeit durchgeführt und somit kann die Erzeugungszeit von Daten und Empfangszeit der Daten als im Wesentlichen zueinander gleich angesehen werden. Daher ist es möglich, Detektion einer unautorisierten Nachricht auf Basis eines Normalmodells M2 und der Position durchzuführen, basierend auf einem Satz von zwei Datentypen. Die Sendezeit von Daten wird auch als im Wesentlichen gleich wie die Erzeugungszeit der Daten und die Empfangszeit der Daten angesehen.
Wenn eine unautorisierte Nachricht bestätigt worden ist, führt die Detektionseinheit 54 beispielsweise den nachfolgenden Prozess durch. Das heißt, dass die Detektionseinheit 54 in der Speichereinheit 52 die ID einer oder zwei Nachrichten, die als unautorisiert bestimmt worden sind, die Kombination der entsprechenden Typen und dergleichen speichert.
Zusätzlich teilt die Detektionseinheit 54 über die Kommunikationsverarbeitungseinheit 51 einer Vorrichtung höheren Rangs innerhalb oder außerhalb des Zielfahrzeugs 1 mit, dass eine unautorisierte Nachricht in einem Bus 13 gesendet wird.
[Effekte]
8 und 9 sind beide ein Diagramm zum Beschreiben von Effekten des Fahrzeugkommunikationssystems gemäß der ersten Ausführungsform der vorliegenden Offenbarung. Der Weg zur Interpretation von 8 und 9 ist derselbe wie 4.
Das in 8 gezeigte Normalmodell M2 ist dasselbe wie das in 7 gezeigte Normalmodell M2. Ein in 9 gezeigtes Normalmodell MR2 ist ein Modell, das gemäß derselben Erzeugungsprozedur wie dasjenige für das Normalmodell M2 erzeugt wird, unter Verwendung von Daten X und Daten Y, die beispielsweise keine Korrelation zwischen sich aufweisen.
Die Position Pa wird als abnormal bestimmt, wenn das Normalmodell M2 verwendet wird, während die Position Pa als normal bestimmt wird, wenn das Normalmodell MR2 verwendet wird, weil die Position Pa innerhalb einer Grenze BR2 des Normalmodells MR2 liegt.
Der Grund ist wie folgt. Hinsichtlich eines zusätzlichen Bereichs für Daten Y in Bezug auf die Komponente von Daten X der Position Pa ist ein zulässiger Bereich R2 in 9 größer als ein zulässiger Bereich R1 in 8.
Daher, in einem Fall, bei dem ein Datenfeld unter Verwendung des Normalmodells M2 überwacht wird, selbst falls ein Angreifer Daten Y zum illegalen Steuern des Zielfahrzeugs 1 in eine Nachricht eingefügt hat, wird der zulässige Bereich für Daten Y aufgrund der Korrelation mit den Daten X stärker reduziert. Somit kann der Angriff korrekt detektiert werden.
Zusätzlich, auch wenn ein Angreifer Daten X zum illegalen Steuern des Zielfahrzeugs 1 in eine Nachricht eingefügt hat, wird der zusätzliche Bereich für Daten X aufgrund der Korrelation mit den Daten Y stärker reduziert. Somit kann der Angriff korrekt in derselben Weise detektiert werden.
[Modifikation 1 von Normalmodell]
Unter Bezugnahme wieder auf 3 wird das Normalmodell auf Basis der Sätze von zwei Datentypen, die eine vorbestimmte Korrelation aufweisen, erzeugt. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Das Normalmodell kann auf Basis von Sätzen von drei Datentypen, die beispielsweise eine vorbestimmte Korrelation aufweisen, erzeugt werden.
Spezifisch wird ein Normalmodell M3 auf Basis von Sätzen von drei Datentypen, die beispielsweise eine vorbestimmte Korrelation aufweisen, erzeugt.
Spezifischer, wenn es beispielsweise zwei Typen von Korrelationsdaten gibt, die Daten mit einer Korrelation mit einem gewissen Datentyp sind, wird ein einzelnes Normalmodell M3 auf Basis des gewissen Datentyps und der zwei Typen von Korrelationsdaten erzeugt.
Spezifischer, wenn beispielsweise der Server bestimmt hat, dass es von Daten 1 bis Daten N zu einer Vielzahl von gemeinsamen Erzeugungszeiten eine Korrelation zwischen Daten S und Daten T gibt, oder dass es eine starke Korrelation zwischen Daten S und Daten T gibt, und bestimmt hat, dass es eine Korrelation zwischen Daten S und Daten U gibt, oder dass es eine starke Korrelation zwischen Daten S und Daten U gibt, führt der Server den nachfolgenden Prozess durch.
Das heißt, unabhängig von der Größe des Korrelationskoeffizienten zwischen Daten T und Daten U erzeugt der Server ein Normalmodell M3 auf Basis der Daten S, T, U. Hier sind S, T, U voneinander verschieden und sind alle Ganzzahlen von 1 bis N.
Beispielsweise erzeugt der Server eine Vielzahl von Normalmodellen M3 und erzeugt Modellinformation für jedes der erzeugten Normalmodelle M3. Die Modellinformation gibt ein Normalmodell M3 an und die Kombination der Typen entsprechender Daten S, Daten T und Daten U.
Die Kombination der Typen von Daten S und Daten T und die Kombination der Typen von Daten S und Daten U sind beispielsweise Gier-Rate und Lenkwinkel und Gier-Rate und Fahrzeughöhe.
Die Vielzahl von Stücken von Modellinformation, die durch den Server erzeugt werden, werden gesammelt, beispielsweise um Detektionsbedingungs-Information zu bilden und die Detektionsbedingungs-Information wird in der Speichereinheit 52 während der Herstellung des Zielfahrzeugs 1 registriert.
Die Detektionsbedingungs-Information kann eine Modellinformation enthalten, basierend auf Normalmodellen M3 oder kann Modellinformation basierend auf Normalmodellen M3 und Modellinformation basierend auf Normalmodellen M2 beinhalten.
Die Datenerfassungseinheit 53 detektiert die Detektionsbedingungs-Information aus der Speichereinheit 52 und erfasst eine Vielzahl von Teilen von Modellinformation, die in der erfassten Detektionsbedingungs-Information enthalten sind.
Wenn eine Nachricht, die Daten entsprechend der durch Modellinformation angegebenen Kombination enthält, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird, führt die Datenerfassungseinheit 53 den nachfolgenden Prozess durch.
Auf Basis der Modellinformation erfasst nämlich die Datenerfassungseinheit 53 aus der Speichereinheit 52 einen Satz von drei Datentypen, die in derselben Sendenachricht enthalten sind, und gibt an die Detektionseinheit 54 den erfassten Satz von drei Datentypen und die Kombination der Typen, die durch die Modellinformation angegeben ist, aus.
Derweil, wenn beispielsweise irgendeine der Vielzahl von Nachrichten, die jeweils Daten entsprechend der Kombination, die durch die Modellinformation angegeben ist, enthält, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert worden ist, führt die Datenerfassungseinheit 53 den nachfolgenden Prozess durch.
Das heißt, dass auf Basis der Modellinformation die Datenerfassungseinheit 53 aus der Speichereinheit 52 einen Satz von drei Datentypen erfasst, die jeweils in unterschiedlichen Sendenachrichten enthalten sind, und einen Synchronisationsprozess an den erfassten drei Datentypen durchführt.
Wenn der Synchronisationsprozess abgeschlossen ist, erfasst die Datenerfassungseinheit 53 den neuesten Satz der drei Datentypen aus den synchronisierten drei Datentypen und gibt an die Detektionseinheit 54 den erfassten Satz von drei Datentypen und die Kombination der Typen, die durch die Modellinformation angegeben werden, aus.
Beim Empfangen des Satzes von den drei Datentypen und Kombinationen der durch die Modellinformation angegebenen Typen aus der Datenerfassungseinheit 53 bezieht sich die Detektionseinheit 54 auf eine Vielzahl von Stücken von Modellinformation, die in der Detektionsbedingungs-Information in der Speichereinheit 52 enthalten sind, und erfasst ein Normalmodell M3, welches der empfangenen Kombination entspricht, aus der entsprechenden Modellinformation in der Speichereinheit 52.
Auf Basis des Satzes von drei Datentypen, die aus der Datenerfassungseinheit 53 empfangen werden und dem aus der entsprechenden Modellinformation erfassten Normalmodell M3 detektiert die Detektionseinheit 54 eine unautorisierte Nachricht, die dem Satz entspricht.
Spezifisch, da das Normalmodell M3 ein dreidimensionales Modell ist, falls eine Position im dreidimensionalen Raum, die auf dem Satz von drei Datentypen, die aus der Datenerfassungseinheit 53 empfangen werden, basiert, innerhalb der Grenzoberfläche des Normalmodells M3 existiert, bestimmt die Detektionseinheit 54, dass eine, zwei oder drei Nachrichten, welche die drei Datentypen enthalten, autorisierte Nachrichten sind.
Derweil, wenn eine Position im dreidimensionalen Raum, die auf dem Satz der drei Datentypen, die aus der Datenerfassungseinheit 53 empfangen werden, basiert, außerhalb der Grenzoberfläche des Normalmodells M3 existiert, bestimmt die Detektionseinheit 54, dass eine, zwei oder drei Nachrichten, welche die drei Datentypen enthalten, unautorisierte Nachrichten sind.
Aufgrund der Konfiguration, die das Normalmodell M3 verwendet, kann eine unautorisierte Nachricht genauer detektiert werden.
[Modifikation 2 von Normalmodell]
10 ist ein Diagramm zum Beschreiben eine Erzeugungsprozesses in einer Lernphase in Bezug auf eine Modifikation des Normalmodells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
Unter Bezugnahme auf 10 detektiert mit Modifikation 2 des Normalmodells die Detektionseinheit 54 eine unautorisierte Nachricht im Fahrzeugnetzwerk 12 unter Verwendung eines Schätzwerts von zu überwachenden Sensordaten.
In diesem Beispiel wird ein einzelnes Normalmodell M4 auf Basis von Sensordaten, die zu überwachen sind, und einer Korrelationsdatengruppe, die beispielsweise q Typen von Daten enthält, erzeugt.
Die Sensordaten, die zu überwachen sind, sind durch einen Sensor zu messende Daten (nachfolgend auch als Sensordaten bezeichnet) und spezifisch sind es Daten, die kontinuierlich variieren, wie etwa Fahrzeuggeschwindigkeit, Motordrehzahl, Gier-Rate oder dergleichen.
Die q Datentypen, die in der Korrelationsdatengruppe enthalten sind, können Sensordaten oder Statusdaten sein, was Daten sind, die einen vorab definierten Status angeben. Hier geben spezifisch die Statusdaten beispielsweise einen Zustand eines Betriebsabschnitts wie etwa eines Getriebes, eines Sitzgurts oder dergleichen im Zielfahrzeug 1 an.
Die zu überwachenden Sensordaten und alle der in der Korrelationsdatengruppe enthaltenen q Datentypen weisen eine Korrelation zueinander auf. Die q Datentypen, die in der Korrelationsdatengruppe enthalten sind, können eine Korrelation miteinander aufweisen oder nicht.
Der Server veranlasst das Normalmodell M4, unter Verwendung von LASSO (Least Absolute Shrinkage and Selection Operator) einen Regressionsbaum und dergleichen erlernt zu werden, auf Basis beispielsweise eines Lerndatensatzes.
Hier beinhaltet der Lerndatensatz Stücke von Sensordaten, die zu überwachen sind, und Korrelationsdatengruppen, die jeweils einer Vielzahl von Zeiten entsprechen, spezifisch tm1, tm2, tm3, tm4, tm5, und dergleichen.
Spezifischer erzeugt beispielsweise der Server ein Normalmodell M4 so, dass, wenn eine Korrelationsdatengruppe, die derselben Zeit entspricht, in ein Normalmodell M4 eingegeben wird, ein Schätzwert, der nahe am Wert der entsprechenden, zu überwachenden Sensordaten ist, ausgegeben wird.
11 ist ein Diagramm zum Beschreiben eines Verifikationsprozesses in einer Testphase in Bezug auf eine Modifikation des Normalmodells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
Unter Bezugnahme auf 11, wird das Normalmodell M4 unter Verwendung eines Test-Datensatzes, der dem Lerndatensatz ähnelt, verifiziert.
Spezifisch erzeugt der Server eine Schätzfehler-Verteilung unter Verwendung des Normalmodells M4. Spezifischer gibt der Server am Normalmodell M4 eine Korrelationsdatengruppe zur Zeit tt1, die Teil des Test-Datensatzes sind, ein, wodurch ein Schätzwert erfasst wird, der aus dem Normalmodell M4 ausgegeben wird.
Dann berechnet der Server einen Schätzfehler yerr unter Verwendung von Formel (1) unten beispielsweise.
[Formel 1] $y_{err} = y_{obs} - y_{calc}$
Hier ist yobs ein Wert entsprechender zu überwachender Sensordaten, das heißt, der Wert der zu überwachenden Sensordaten zur Zeit tt1. ycalc ist ein Schätzwert, der aus dem Normalmodell M4 ausgegeben wird.
Der Server verarbeitet ähnlich Sensordaten, die zu überwachen sind, und eine Korrelationsdatengruppe zu einer Zeit, die sich von der Zeit tt1 in dem Testdatensatz unterscheidet, wodurch Verifikationsdaten erzeugt werden, die einen geschätzten Fehler yerr zu jeder der Zeiten beinhaltet.
Der Server erzeugt eine Verteilung des Schätzfehlers yerr auf Basis der Verifikationsdaten. Diese Verteilung repräsentiert die Häufigkeit des Schätzfehlers yerr. In diesem Beispiel ist die Verteilung unimodal.
Wenn die erzeugte Verteilung unimodal ist, berechnet der Server einen Mittelwert µ und eine Varianz σ^2 in den Verifikationsdaten enthaltenen Schätzfehlers yerr. Hier bedeutet „a^b“ „a hoch b“.
Der Server erzeugt Modellinformation Md1, welche das Normalmodell M4 angibt, den Mittelwert µ und die Varianz σ^2, wie auch die Kombination von Typen von Sensordaten, die zu überwachen sind und die q Datentypen in der Korrelationsdatengruppe.
Die durch den Server erzeugte Modellinformation Md1 wird beispielsweise in der Speichereinheit 52 als Detektionsbedingungs-Information während der Herstellung des Zielfahrzeugs 1 registriert.
Unter Bezugnahme wieder auf 3 erfasst die Datenerfassungseinheit 53 die Detektionsbedingung-Information aus der Speichereinheit 52 und erfasst die in der erfassten Detektionsbedingungs-Information enthaltene Modellinformation Md1.
Wenn eine Nachricht, die Daten entsprechend der Kombination, die durch die Modellinformation Md1 angegeben wird, entsprechende Daten enthält, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert worden ist, führt die Datenerfassungseinheit 53 den nachfolgenden Prozess durch.
Das heißt, dass auf Basis der Modellinformation Md1 die Datenerfassungseinheit 53 aus der Speichereinheit 52 einen Satz von zu überwachenden Sensordaten und die in derselben Sendenachricht enthaltene Korrelationsdatengruppe erfasst und an die Detektionseinheit 54 den erfassten Satz und die Kombination der Typen, welche durch die Modellinformation Md1 angegeben sind, ausgibt.
Derweil, beispielsweise wenn eine einer Vielzahl von Nachrichten, die jeweils Daten entsprechend der durch die Modellinformation Md1 angegebene Kombination enthalten, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert werden, führt die Datenerfassungseinheit 53 den nachfolgenden Prozess durch.
Auf Basis der Modellinformation Md1 erfasst nämlich die Datenerfassungseinheit 53 aus der Speichereinheit 52 einen Satz von zu überwachenden Sensordaten und die Korrelationsdatengruppe, die jeweils in den verschiedenen Sendenachrichten erhalten ist und führt einen Synchronisationsprozess der erfassten, zu überwachenden Sensordaten und der Korrelationsdatengruppe durch.
Wenn der Synchronisationsprozess abgeschlossen ist, erfasst die Datenerfassungseinheit 53 den neuesten Satz der zu überwachenden Sensordaten und der Korrelationsdatengruppe aus den synchronisierten zu überwachenden Sensordaten und Korrelationsdatengruppe und gibt an die Detektionseinheit 54 den erfassten Satz und die Kombination der Typen, die durch die Modellinformation Md1 angegeben sind, aus.
12 ist ein Diagramm zum Beschreiben eines Detektionsprozesses für eine unautorisierte Nachricht unter Verwendung einer Modifikation des Normalmodells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
Unter Bezugnahme auf 12, wenn beispielsweise die Detektionseinheit 54 aus der Datenerfassungseinheit 53 einen Satz von zu überwachenden Sensordaten und eine Korrelationsdatengruppe zur Zeit td1 und die Kombination der durch die Modellinformation Md1 angegebenen Typen empfangen hat, bezieht sich auch die Detektionseinheit 54 auf eine Vielzahl von Stücken von Modellinformation, die in der Detektionsbedingungs-Information in der Speichereinheit 52 enthalten ist, und erfasst aus der Speichereinheit 52 Modellinformation Md1, die der empfangenen Kombination entspricht.
Beispielsweise auf Basis des Satzes der zu überwachenden Sensordaten und der aus der Datenerfassungseinheit 53 erfassten Korrelationsdatengruppe und den in der Modellinformation Md1 enthaltenen Normalmodell M4 berechnet die Detektionseinheit 54 einen Schätzfehler der zu überwachenden Sensordaten.
Spezifischer gibt die Detektionseinheit 54 die aus der Datenerfassungseinheit 53 empfangene Korrelationsdatengruppe in das in der Modellinformation Md1 enthaltene Normalmodell M4 ein, wodurch ein Schätzwert erfasst wird, der aus dem Normalmodell M4 ausgegeben wird.
Dann substituiert die Detektionseinheit 54 den erfassten Schätzwert und den Wert der zu überwachenden Sensordaten zur Zeit td1 in ycalc und yobs in der oben beschriebenen Formel (1), wodurch ein Schätzfehler yerr berechnet wird.
Beispielsweise auf Basis des berechneten Schätzfehlers yerr und der Verteilung des Schätzfehlers yerr, die unter Verwendung des Normalmodells M4 erzeugt wird, evaluiert die Detektionseinheit 54 die Authentizität der zu überwachenden Sensordaten und bestimmt auf Basis des Evaluierungsergebnisses, ob die zu überwachenden Sensordaten einer unautorisierten Nachricht entsprechen oder nicht.
Spezifischer setzt beispielsweise die Detektionseinheit 54 den berechneten Schätzfehler yerr und den Mittelwert µ und die Varianz σ^2, die in der Modellinformation Md1 enthalten ist, in Formel (2) unten ein, wodurch ein Rang S berechnet wird. Dieser Rang S entspricht der Mahalanobis-Distanz und ist ein Evaluierungswert der Authentizität der zu überwachenden Sensordaten.
[Formel 2] $S = log \frac{{(y_{e r r} - μ)}^{2}}{σ^{2}}$
Wenn beispielsweise dieser berechnete Rang S nicht kleiner als ein vorbestimmter Schwellenwert Th1 ist, bestimmt die Detektionseinheit 54, dass die zu überwachenden Sensordaten einer unautorisierten Nachricht entsprechen.
Derweil, wenn beispielsweise der berechnete Rang S kleiner als der vorbestimmte Schwellenwert Th1 ist, bestimmt die Detektionseinheit 54, dass die zu überwachenden Sensordaten einer autorisierten Nachricht entsprechen.
Obwohl die Verteilung des Schätzfehlers yerr, der durch den Server erzeugt wird, als unimodal angenommen wird, ist die vorliegende Offenbarung nicht darauf beschränkt. Die Verteilung des Schätzfehlers yerr, der durch den Server erzeugt wird, kann multimodal sein.
In diesem Fall nähert der Server die Verteilung des Schätzfehlers yerr beispielsweise durch eine Gauss'sche Mischverteilung, die aus K Gauss'schen Verteilungen aufgebaut ist, an und berechnet einen Mittelwert µ1 bis µK und eine Varianz σ1^2 bis σK^2 jeder Gauss'schen Verteilung und ein Mischverhältnis C1 bis CK jeder Gauss'schen Verteilung.
Beispielsweise erzeugt der Server Modellinformation Md1, welche das Normalmodell M4 angibt, den Mittelwert µ1 bis µK, die Varianz σ1^2 bis σK^2 und das Mischverhältnis C1 bis CK, wie aus der Kombination der Typen von zu überwachenden Sensordaten und der q Datentypen in der Korrelationsdatengruppe.
In diesem Fall setzt die Detektionseinheit 54 den berechneten Schätzfehler yerr, wie aus dem Mittelwert µ1 bis µK, die σ1^2 bis σK^2 und das Mischverhältnis C1 bis CK, die in der Modellinformation Md1 enthalten sind, in Formel (3) unten ein, wodurch der Rang S berechnet wird.
[Formel 3] $S = - log \sum_{k = 1}^{K} C_{k} \cdot \frac{1}{\sqrt{2 π σ_{k}^{2}}} \cdot exp (B)$
Hier wird B in Formel (3) durch die Formel (4) unten ausgedrückt.
[Formel 4] $B = - \frac{{(y_{e r r} - μ_{k})}^{2}}{2 σ_{k}^{2}}$
[Modifikation 3 von Normalmodell]
13 ist ein Diagramm zum Beschreiben eines Erzeugungsprozesses in einer Lernphase in Bezug auf eine Modifikation des Normalmodells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
Mit Verweis auf 13 detektiert bei Modifikation 3 des Normalmodells die Detektionseinheit 54 eine unautorisierte Nachricht im Fahrzeugnetzwerk 12 unter Verwendung eines Schätzwerts von zu überwachenden Statusdaten.
In diesem Beispiel wird ein einzelnes Normalmodell M5 auf Basis von zu überwachenden Statusdaten und einer Korrelationsdatengruppe, welche beispielsweise q Datentypen enthält, erzeugt.
Die zu überwachenden Statusdaten sind Statusdaten und spezifisch sind sie Daten, die diskontinuierlich variieren, in einem solchen Fall einer Ganghebelposition, eines Sitzgurtzustands oder dergleichen.
Die in der Korrelationsdatengruppe enthaltenen q Datentypen können Sensordaten sein oder können Statusdaten sein.
Die zu überwachenden Statusdaten weisen eine Korrelation mit jedem der q Datentypen auf, die in der Korrelationsdatengruppe enthalten sind. Die q Datentypen, die in der Korrelationsdatengruppe enthalten sind, können eine Korrelation miteinander aufweisen oder nicht.
Der Server veranlasst das Normalmodell M5, unter Verwendung eines Entscheidungsbaums, eines Random Forest und dergleichen erlernt zu werden, beispielsweise auf Basis eines Lerndatensatzes.
Hier beinhaltet der Lerndatensatz Stücke von Statusdaten, die zu überwachen sind, und Korrelationsdatengruppen, die jeweils einer Vielzahl von Zeiten entsprechen, spezifisch tm1, tm2, tm3, tm4, tm5 und dergleichen.
Spezifischer erzeugt beispielsweise der Server ein Normalmodell M5 so, dass, wenn eine derselben Zeit entsprechende Korrelationsdatengruppe in ein Normalmodell M5 eingegeben wird, ein Schätzwert, der zum Wert der entsprechenden, zu überwachenden Statusdaten passt, ausgegeben wird.
Der Server erzeugt beispielsweise Modellinformation Md2, die das Normalmodell M5 angibt, wie auch die Kombination der Typen der zu überwachenden Statusdaten und der q-Datentypen in der Korrelationsdatengruppe.
Die durch den Server erzeugte Modellinformation Md2 wird beispielsweise in der Speichereinheit 52 als Detektionsbedingungs-Information während der Herstellung des Zielfahrzeugs 1 registriert.
Wieder unter Bezugnahme auf 3, erfasst die Datenerfassungseinheit 53 die Detektionsbedingungs-Information aus der Speichereinheit 52 und erfasst die in der erfassten Positionsbedingungs-Information enthaltene Modellinformation Md2.
Wenn eine Nachricht, die Daten entsprechend der durch die Modellinformation Md2 angegebenen Kombination beinhaltet, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert worden ist, führt die Datenerfassungseinheit 53 den nachfolgenden Prozess durch.
Nämlich auf Basis der Modellinformation Md2 erfasst die Datenerfassungseinheit 53 aus der Speichereinheit 52 einen Satz der zu überwachenden Statusdaten und der in derselben Sendenachricht enthaltenen Korrelationsdatengruppe und gibt an die Detektionseinheit 54 den erfassten Satz und die Kombination der Typen, die durch die Modellinformation Md2 angegeben ist, aus.
Derweil, wenn beispielsweise eine aus der Vielzahl von Nachrichten, die jeweils Daten entsprechend der durch die Modellinformation Md2 angegebenen Kombination enthalten, neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird, führt die Datenerfassungseinheit 53 den nachfolgenden Prozess durch.
Das heißt, dass auf Basis der Modellinformation Md2 die Datenerfassungseinheit 53 aus der Speichereinheit 52 einen Satz der zu überwachenden Statusdaten und der Korrelationsdatengruppe, die jeweils in den verschiedenen Sendenachrichten enthalten ist, erfasst, und einen Synchronisationsprozess an den erfassten, zu überwachenden Statusdaten und der Korrelationsdatengruppe durchführt.
Wenn der Synchronisationsprozess abgeschlossen ist, erfasst die Datenerfassungseinheit 53 den neuesten Satz von zu überwachenden Statusdaten und die Korrelationsdatengruppe aus den synchronisierten, zu überwachenden Statusdaten und der Korrelationsdatengruppe und gibt an die Detektionseinheit 54 den erfassten Satz und die Kombination der Typen, welche durch die Modellinformation Md2 angegeben werden, aus.
14 ist ein Diagramm zum Beschreiben eines Detektionsprozesses für eine unautorisierte Nachricht unter Verwendung einer Modifikation des Normalmodells gemäß der ersten Ausführungsform der vorliegenden Offenbarung.
Unter Bezugnahme auf 14, wenn beispielsweise die Detektionseinheit 54 aus der Datenerfassungseinheit 53 einen Satz von zu überwachenden Statusdaten und eine Korrelationsdatengruppe zur Zeit td1 empfangen hat, und die Kombination der durch die Modellinformation Md2 angegebenen Typen, bezieht sich die Detektionseinheit 54 auf eine Vielzahl von Modellinformationsteilen, die in der Detektionsbedingungs-Information in der Speichereinheit 52 enthalten sind, und erfasst aus der Speichereinheit 52 Modellinformation Md2, die der empfangenen Kombination entspricht.
Beispielsweise auf Basis der durch die Datenerfassungseinheit 53 erfassten Korrelationsdatengruppe und dem in der Modellinformation Md2 enthaltenen Normalmodell M5 schätzt die Detektionseinheit 54 einen Wert der zu überwachenden Statusdaten ab.
Spezifischer gibt die Detektionseinheit 54 die aus der Datenerfassungseinheit 53 empfangene Korrelationsdatengruppe in das Eingangsbild 5, das in der Modellinformation Md2 enthalten ist, ein, wodurch ein Schätzwert der zu überwachenden Statusdaten erfasst wird, der aus dem Normalmodell M5 ausgegeben wird.
Dann, auf Basis eines Vergleichsergebnisses zwischen dem erfassten Schätzwert und den zu überwachenden Statusdaten bestimmt die Detektionseinheit 54, ob die zu überwachenden Statusdaten einer unautorisierten Nachricht entsprechen oder nicht.
Spezifischer vergleicht die Detektionseinheit 54 den erfassten Schätzwert mit dem Wert der zu überwachenden Statusdaten zur Zeit td1 und wenn diese Werte nicht zueinander passen, bestimmt die Detektionseinheit 54, dass die zu überwachenden Statusdaten einer unautorisierten Nachricht entsprechen.
Derweil, wenn beispielsweise der erfasste Schätzwert und der Wert der zu überwachenden Statusdaten zur Zeit td1 zueinander passen, bestimmt die Detektionseinheit 54, dass die zu überwachenden Statusdaten einer autorisierten Nachricht entsprechen.
[Modifikation 4 von Normalmodell]
Die Gateway 101 ist konfiguriert, das Normalmodell M3 zu verwenden, basierend auf Daten S, T, U, aber die vorliegende Offenbarung ist nicht darauf beschränkt.
Wenn es beispielsweise zwei Typen von Korrelationsdaten gibt, die Daten sind, die eine Korrelation mit einem gewissen Datentyp aufweisen, werden zwei Detektionsbedingungen jeweils auf Basis des gewissen Datentyps und der zwei Typen von Korrelationsdaten erzeugt.
Spezifisch, wenn der Server bestimmt hat, dass es von Daten 1 bis Daten N zu einer Vielzahl von gemeinsamen Erzeugungszeiten eine Korrelation zwischen Daten S und Daten T gibt, oder es eine starke Korrelation zwischen Daten S und Daten T gibt, und bestimmt hat, dass es eine Korrelation zwischen Daten S und Daten U gibt, oder es eine starke Korrelation zwischen Daten S und Daten U gibt, führt der Server die nachfolgenden Prozesse durch.
Das heißt, unabhängig von der Größenordnung des Korrelationskoeffizienten zwischen Daten T und Daten U erzeugt der Server ein Normalmodell M2 auf Basis der Daten S, T und erzeugt ein Normalmodell M2 auf Basis der Daten S, U.
Aufgrund dieser Konfiguration kann im Vergleich zu einer Konfiguration, in der ein Normalmodell M3 auf Basis der Daten S, T, U erzeugt wird, die Rechenlast bei der Erzeugung eines Normalmodells reduziert werden.
[Modifikation 5 von Normalmodell]
Die Gateway-Vorrichtung 101 ist konfiguriert, ein Normalmodell M3 oder zwei Normalmodelle M2 zu verwenden, basierend auf Daten S, T, U, aber die vorliegende Erfindung ist nicht darauf beschränkt.
Spezifischer kann beispielsweise ein Satz von multidimensionalen Daten in einem Satz von nieder-dimensionalen Daten umgewandelt werden, unter Verwendung der in Patentliteratur 2 (Japanische Patentoffenlegungsschrift Nr. JP 2016-57438 A ) beschriebene Hauptkomponenten-Analyse.
Spezifisch wandelt der Server beispielsweise einen Satz von drei Datentypen in einen Satz von zwei Datentypen um, unter vorzugsweise der Hauptkomponenten-Analyse und erzeugt ein Normalmodell M2 auf Basis des umgewandelten Satzes.
Modellinformation, die einen Eigenvektor zum Umwandeln eines Satzes von drei Datentypen in einen Satz von zwei Datentypen angibt, eines durch den Server erzeugtes Normalmodell M2 und die Kombination der Typen entsprechend Daten S, Daten T und Daten U, wird in der Speichereinheit 52 in der Gateway-Vorrichtung 101 registriert.
Wenn die Detektionseinheit 54 aus der Datenerfassungseinheit 53 einen Satz von drei Datentypen empfangen hat und die Kombination der durch die Modellinformation angegebenen Typen, bezieht sich die Detektionseinheit 54 auf Modellinformation in der Speichereinheit 52 und erfasst einen Eigenvektor und ein Normalmodell M2, das der empfangenen Kombination entspricht, aus der entsprechenden Modellinformation in der Speichereinheit 52.
Unter Verwendung des erfassten Eigenvektors wandelt die Detektionseinheit 54 den Satz der drei Datentypen, die aus der Datenerfassungseinheit 53 empfangen sind, in zwei Datentypen um und auf Basis des umgewandelten Satzes und des Normalmodells M2 bestimmt sie, ob ein, zwei oder drei Nachrichten, welche die drei Datentypen enthalten, unautorisierte Nachrichten sind, oder nicht.
[Betriebsablauf]
Jede Vorrichtung im Fahrzeugkommunikationssystem 301 beinhaltet einen Computer. Eine Arithmetik-Verarbeitungseinheit, wie etwa eine CPU im Computer, liest aus einem (nicht gezeigten) Speicher ein Programm aus, das einen Teil oder alle Schritte in dem Sequenzdiagramm oder Ablaufdiagramm unten enthält, und führt das Programm aus. Programme der Vielzahl von Vorrichtungen können von außen installiert werden. Die Programme der Vielzahl von Vorrichtungen werden alle in einem Zustand distributiert, bei dem sie in einem Speichermedium gespeichert sind.
15 ist ein Flussdiagramm einer Prozedur einer Operation, die durchgeführt wird, wenn die Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung eine Nachricht empfängt.
Unter Bezugnahme auf 15 wird eine Situation angenommen, in der Modellinformation ein Normalmodell M2 und die Kombination der Typen entsprechender Daten X und Daten Y angibt.
Zuerst wartet die Gateway-Vorrichtung 101, bis sie beispielsweise eine Nachricht aus einer Steuervorrichtung 122 empfängt ((NEIN im Schritt S102).
Beim Empfangen einer Nachricht aus einer Steuervorrichtung 122 (JA im Schritt S102), bestätigt die Gateway-Vorrichtung 101, ob Daten eines zu überwachenden Typs in der empfangenen Nachricht enthalten sind oder nicht (Schritt S104).
Als Nächstes, wenn die Daten des zu überwachenden Typs in der empfangenen Nachricht enthalten sind (JA im Schritt S104), speichert die Gateway-Vorrichtung 101 die empfangene Nachricht in der Speichereinheit 52 (Schritt S106). Zu dieser Zeit bringt die Gateway-Vorrichtung 101 eine Zeitmarke an der Nachricht an.
Als Nächstes, wenn die Gateway-Vorrichtung 101 die empfangene Nachricht in der Speichereinheit 52 speichert (Schritt S106), und wenn die Daten des zu überwachenden Typs nicht in der empfangenen Nachricht enthalten sind (NEIN im Schritt S104), führt die Gateway-Vorrichtung 101 einen Weiterleitungsprozess der empfangenen Nachricht durch und wartet dann, bis sie eine neue Nachricht aus einer Steuervorrichtung 122 empfängt (NEIN im Schritt S102).
16 ist ein Flussdiagramm einer Prozedur des Betriebs, die durchgeführt wird, wenn die Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung eine empfangene Nachricht in der Speichereinheit gespeichert hat.
Unter Bezugnahme auf 16 wird eine Situation angenommen, in der Modellinformation ein Normalmodell M3 und die Kombination der Typen entsprechender Daten X und Daten Y angibt.
Zuerst wartet die Gateway-Vorrichtung 101, bis eine Nachricht in der Speichereinheit 52 gespeichert ist (NEIN im Schritt S202) .
Dann, wenn die Nachricht in der Speichereinheit 52 gespeichert worden ist (JA im Schritt S202), bestätigt die Gateway-Vorrichtung 101, ob der Kombination der durch die Modellinformation angegebenen zwei Typen entsprechende Daten in der Nachricht gespeichert sind, das heißt in derselben Nachricht (Schritt S204).
Als Nächstes, wenn der Kombination der zwei Typen, die durch die Modellinformation angegeben sind, entsprechende Daten nicht in derselben Nachricht enthalten sind, das heißt in einer getrennten Nachricht enthalten sind (NEIN im Schritt S204), führt die Gateway-Vorrichtung 101 einen Synchronisationsprozess an den Daten der zwei durch die Modellinformation angegebenen Typen durch (Schritt S206).
Als Nächstes erfasst die Gateway-Vorrichtung 101 aus der Nachricht einen Satz der Daten der zwei durch die Modellinformation abgegebenen Typen oder erfasst, aus den zwei Datentypen, die dem Synchronisationsprozess unterworfen worden sind, den neuesten Satz von Daten der zwei Typen, welche durch die Modellinformation angegeben sind (Schritt S208) .
Als Nächstes erfasst die Gateway-Vorrichtung 101 aus der Speichereinheit 52 ein Normalmodell M2, das dem erfassten Satz der zwei Datentypen entspricht (Schritt S210).
Als Nächstes bestätigt die Gateway-Vorrichtung 101, ob die Position, die auf dem erfassten Satz von zwei Typen von Daten basiert, innerhalb der Grenze B2 des Normalmodells M2 ist oder nicht (Schritt S212).
Wenn die Position, die auf dem erfassten Satz der zwei Datentypen basiert, innerhalb der Grenze B2 ist (JA im Schritt S212), bestimmt die Gateway-Vorrichtung 101, dass eine oder zwei Nachrichten, welche die zwei Datentypen enthalten, autorisierte Nachrichten sind (Schritt S214).
Derweil, wenn die auf dem erfassten Satz der zwei Datentypen basierende Position außerhalb der Grenze B2 liegt (NEIN im Schritt S212), bestimmt die Gateway-Vorrichtung 101, dass ein oder zwei Nachrichten, welche die zwei Datentypen enthalten, unautorisierte Nachrichten sind (Schritt S216).
Als Nächstes wartet die Gateway-Vorrichtung 101, bis eine neue Nachricht in der Speichereinheit 52 gespeichert ist (NEIN im Schritt S202).
Im Betriebsablauf oben wird eine Situation angenommen, in der die Modellinformation ein Normalmodell M2 und die Kombination der Typen entsprechender Daten X und Daten Y angibt. Jedoch ist die vorliegende Erfindung nicht darauf beschränkt. Die Modellinformation kann beispielsweise ein Normalmodell M3 und die Kombination der Typen entsprechender Daten S, Daten T und Daten U angeben. In diesem Fall erfasst im Schritt S208 oben die Gateway-Vorrichtung 101 einen Satz der drei Typen von Daten und erfasst ein entsprechendes Normalmodell M3 aus der Speichereinheit 52 im Schritt S210 oben.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung ist die Nachrichten-Erfassungseinheit 55 konfiguriert, eine Vielzahl von Sendenachrichten in dem Fahrzeugnetzwerk 12 zu erfassen. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Nachrichten-Erfassungseinheit 55 kann konfiguriert sein, eine Sendenachricht in dem Fahrzeugnetzwerk 12 zu erfassen. Beispielsweise in einem Fall, in dem Daten entsprechender Kombinationen von zwei Typen, die durch Modellinformation angegeben sind, in der einen Sendenachricht enthalten sind, ist es möglich, zu bestimmen, ob die Sendenachricht eine unautorisierte Nachricht ist oder nicht.
In dem Fahrzeugkommunikationssystem gemäß der ersten Ausführungsform der vorliegenden Offenbarung ist die Gateway-Vorrichtung 101 konfiguriert, eine unautorisierte Nachricht im Fahrzeugnetzwerk 12 zu detektieren. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Im Fahrzeugkommunikationssystem 301 kann eine andere Detektionsvorrichtung als die Gateway-Vorrichtung 101 eine unautorisierte Nachricht in dem Fahrzeugnetzwerk 12 detektieren.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung ist die Datenerfassungseinheit 53 konfiguriert, einen Satz von zwei Datentypen und einen Satz von drei Datentypen entsprechend derselben Empfangszeit zu erfassen. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Datenerfassungseinheit 53 kann ein Satz von M Datentypen entsprechend derselben Empfangszeit erfassen. Hier ist M eine Ganzzahl von 4 oder größer. In diesem Fall wird das Normalmodell auf Basis der M Datentypen erzeugt.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung ist die Datenerfassungseinheit 53 konfiguriert, einen Satz einer Vielzahl von Datentypen entsprechend derselben Empfangszeit zu erfassen. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Datenerfassungseinheit 53 kann einen Satz einer Vielzahl von Datentypen entsprechend derselben Sendezeit, derselben Erzeugungszeit oder dergleichen erfassen, ohne auf die Empfangszeit beschränkt zu sein. Spezifisch, beispielsweise in einem Fall, bei dem eine Steuervorrichtung 122 in einer Nachricht die Erzeugungszeit von Daten oder die Sendezeit der Nachricht speichert und die Nachricht sendet, kann die Datenerfassungseinheit 53 einen Satz einer Vielzahl von Datentypen entsprechend derselben Sendezeit oder derselben Erzeugungszeit erfassen.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung ist die Detektionseinheit 54 konfiguriert, eine zwischen Steuervorrichtung 122 als ein Detektionsziel für eine unautorisierte Nachricht gesendeten/empfangene Nachricht zu verwenden. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Detektionseinheit 54 kann eine Nachricht, die zwischen einer Steuervorrichtung 122 und einer Fahrzeug-Kommunikationsvorrichtung 111 gesendet/empfangen wird, und eine Nachricht, welche zwischen Fahrzeug-Kommunikationsvorrichtungen 111 als Detektionsziele für eine unautorisierte Nachricht gesendet/empfangen wird, verwenden.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung wird das Normalmodell auf Basis von Sätzen einer Vielzahl von Datentypen erzeugt, die eine vorbestimmte Korrelation aufweisen. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Das Normalmodell kann auf Basis von Sätzen einer Vielzahl von Datentypen erzeugt werden, die keine vorbestimmte Korrelation aufweisen.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung ist die Datenerfassungseinheit 53 konfiguriert, eine Vielzahl von Datentypen aus Sendenachrichten zu erfassen, die in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert sind, und die erfassten Daten neu abzutasten. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Beispielsweise in einem Fall, bei dem die Empfangszeiten der Sendenachrichten nah aneinander liegen, kann die Datenerfassungseinheit 53 direkt die Sendenachrichten aus der Nachrichten-Erfassungseinheit 55 empfangen, eine Vielzahl von Datentypen aus den empfangenen Sendenachrichten erfassen und die erfassten Daten in der Detektion ohne Neu-Sampeln der erfassten Daten verwenden.
Derweil offenbart Patentliteratur 1 eine Konfiguration, ein der ein erster, bei der Nachrichten-Authentifizierung durch die erste ECU und eine zweite ECU, die nur mit dem Fahrzeugnetzwerk verbunden sind, zu verwendender erster Verschlüsselungsschlüssel sich von einem zweiten Verschlüsselungsschlüssel unterscheidet, welcher durch eine dritte ECU zu verwenden ist, die sowohl mit dem Fahrzeugnetzwerk als auch einem externen Netzwerk verbunden ist, wodurch eine Cyber-Attacke aus dem externen Netzwerk auf die erste ECU und die zweite ECU verhindert wird, die nicht mit dem externen Netzwerk verbunden sind.
Jedoch in einem Fall einer Sicherheitsmaßnahme, die Nachrichten-Authentifizierung verwendet, sollte die Sicherheitsmaßnahme durch einen Angriff auf die Verletzlichkeit eines Protokolls, einen Angriff, der den ersten Verschlüsselungsschlüssel verwendet, der illegal erhalten ist, einen Angriff auf einen veralteten Verschlüsselungs-Algorithmus oder dergleichen invalidiert werden.
In einem Fall, bei dem ein solcher Angriff vorgenommen worden ist, ist eine Technologie zum korrekten Detektieren des Eindringens eines Angreifers in ein Fahrzeugnetzwerk erforderlich.
Im Gegensatz dazu detektiert die Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung eine unautorisierte Nachricht im Fahrzeugnetzwerk 12, das im Zielfahrzeug 1 montiert ist. Die Nachrichten-Erfassungseinheit 55 erfasst ein oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk 12. Die Datenerfassungseinheit 53 erfasst einen Satz einer Vielzahl von Datentypen, die in den durch die Nachrichten-Erfassungseinheit 55 erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen. Die Speichereinheit 52 speichert eine vorab erzeugte und auf einer Vielzahl von Sätzen, die jeweils einer Vielzahl von Zeiten entsprechen, basierende Detektionsbedingung. Die Detektionseinheit 54 detektiert eine unautorisierte Nachricht auf Basis des durch die Datenerfassungseinheit 53 erfassten Satzes und der Detektionsbedingung.
Beispielsweise in einem Fall, bei dem es eine gewisse Beziehung zwischen einer Vielzahl von Datentypen gibt, falls die Beziehung verwendet wird, ist es möglich, aus gewissen Daten einen Bereich der Werte zu berechnen, die andere Daten einnehmen können. Aufgrund der obigen Konfiguration, beispielsweise aus den gewissen Daten im obigen Satz, kann ein Bereich der Werte, welche die anderen Daten im Satz annehmen können, auf Basis der Detektionsbedingung berechnet werden. Somit kann die Authentizität der anderen Daten angemessen bestimmt werden. Entsprechend kann eine Nachricht, die als unautorisiert bestimmte Daten enthält, als eine unautorisierte Nachricht detektiert werden. Daher kann eine unautorisierte Nachricht im Fahrzeugnetzwerk angemessen detektiert werden.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung wird die Detektionsbedingung auf Basis des Satzes der Vielzahl von Datentypen, die eine vorbestimmte Korrelation aufweisen, erzeugt.
Aufgrund der Konfiguration, in der eine Detektionsbedingung auf Basis von Sätzen der Vielzahl von Datentypen, zwischen denen eine gewisse Beziehung existiert, erzeugt wird, ist es möglich, eine Detektionsbedingung zu erzeugen, die auf Basis von gewissen Daten in einem Satz eine Reduktion des Bereichs der Werte, die andere Daten im Satz annehmen können, gestattet. Entsprechend kann die Authentizität der anderen Daten angemessener bestimmt werden. Das heißt, dass eine angemessene Detektionsbedingung erzeugt werden kann.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung, wenn es eine Vielzahl von Typen von Korrelationsdaten gibt, welche die Daten sind, die eine Korrelation mit einem gewissen Datentyp aufweisen, wird eine einzelne Detektionsbedingung auf Basis der gewissen Typen von Daten und der Vielzahl der Typen von Korrelationsdaten erzeugt.
Aufgrund dieser Konfiguration, selbst wenn beispielsweise ein Angreifer einen Teil von Daten in einem gewissen Datentyp und die Vielzahl von Typen von Korrelationsdaten modifiziert hat, ist es möglich, eine Abnormalität von Daten im obigen Satz zu bestimmen, auf Basis der Beziehung zwischen den modifizierten Daten und der restlichen Daten. Das heißt, um einen illegalen Einbruch vorzunehmen, muss der Angreifer alles des gewissen Datentyps und der Vielzahl von Typen von Korrelationsdaten modifizieren. Somit kann ein illegales Eindringen in das Fahrzeugnetzwerk 12 schwierig gemacht werden. Entsprechend kann die Sicherheit in dem Fahrzeugnetzwerk 12 verbessert werden.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung berechnet die Detektionseinheit 54 einen Schätzfehler eines gewissen Datentyps auf Basis des gewissen Datentyps und der Vielzahl von Typen von Korrelationsdaten, welche durch die Datenerfassungseinheit 53 erfasst sind, und der Detektionsbedingung. Dann evaluiert die Detektionseinheit 54 die Authentizität des gewissen Datentyps auf Basis des berechneten Schätzfehlers und der Verteilung des Schätzfehlers, welche unter Verwendung der Detektionsbedingung erzeugt wird, und bestimmt, ob der gewisse Datentyp eine unautorisierte Nachricht ist oder nicht, auf Basis des Ergebnisses der Evaluierung.
Aufgrund dieser Konfiguration, beispielsweise in einem Fall, in dem ein gewisser Datentyp aus einem Wert aufgebaut ist, der kontinuierlich variiert, wie etwa einen durch einen Sensor gemessenen Wert, kann die Möglichkeit, dass ein gewisser Datentyp einen richtigen Wert hat, genauer evaluiert werden. Daher kann die Authentizität des gewissen Datentyps angemessener bestimmt werden.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung ist ein gewisser Datentyp Daten, die einen Zustand angeben. Die Detektionseinheit 54 schätzt einen Wert des gewissen Datentyps auf Basis der Vielzahl von Typen von Korrelationsdaten ab, welche durch die Datenerfassungseinheit 53 erfasst sind, und der Detektionsbedingung, und bestimmt, ob der gewisse Typ von Daten einer unautorisierten Nachricht entspricht oder nicht, auf Basis des Vergleichsergebnisses zwischen dem Schätzwert und dem gewissen Datentyp.
Aufgrund dieser Konfiguration, beispielsweise in einem Fall, bei dem ein gewisser Datentyp aus einem Wert aufgebaut ist, der diskontinuierlich variiert, wie etwa ein Fall einer Gangschaltposition oder eines Sitzgurtzustands, kann ein Wert, den ein gewissen Datentyp angeben sollte, angemessener abgeschätzt werden. Somit kann die Authentizität des gewissen Datentyps angemessener bestimmt werden.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung, wenn es eine Vielzahl von Typen von Korrelationsdaten gibt, die Daten sind, die eine Korrelation mit einem gewissen Datentyp aufweisen, wird eine Vielzahl von Detektionsbedingungen auf Basis des gewissen Datentyps und der Vielzahl von Typen von Korrelationsdaten jeweils erzeugt.
Aufgrund dieser Konfiguration kann illegales Eindringen in das Fahrzeugnetzwerk 12 schwierig gemacht werden und kann die Rechenlast bei der Berechnung der Detektionsbedingung reduziert werden.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung erfasst die Datenerfassungseinheit 53 einen Satz einer Vielzahl von Datentypen, die jeweils in unterschiedlichen Sendenachrichten enthalten sind.
Eine Vielzahl von Datentypen, deren Empfangszeiten, Sendezeiten, Erzeugungszeiten oder dergleichen sich voneinander unterscheiden, sind jeweils in unterschiedlichen Sendenachrichten in vielen Fällen enthalten. Aufgrund der obigen Konfiguration können die zu detektierenden Datentypen daran gehindert werden, aufgrund von Zeit beschränkt zu sein.
In der Gateway-Vorrichtung gemäß der ersten Ausführungsform der vorliegenden Offenbarung speichert die Nachrichten-Erfassungseinheit 55 in der Speichereinheit 52 eine Vielzahl von Sendenachrichten, die erfasst worden sind. Dann erfasst die Datenerfassungseinheit 53 den oben beschriebenen Satz aus den in der Speichereinheit 52 gespeicherten Sendenachrichten.
Aufgrund dieser Konfiguration können beispielsweise Daten in der Vielzahl von Sendenachrichten, die in der Speichereinheit 52 gespeichert sind, neu abgetastet werden und somit können die Zeiten einer Vielzahl von Datentypen auf dieselbe Zeit justiert werden. Entsprechend kann ein Satz einer Vielzahl von Datentypen entsprechend derselben Zeit leicht erfasst werden.
Als Nächstes wird eine andere Ausführungsform der vorliegenden Erfindung unter Bezugnahme auf die Zeichnungen beschrieben. In den Zeichnungen werden dieselben oder entsprechenden Teile durch dieselben Bezugszeichen bezeichnet und deren Beschreibung wird nicht wiederholt.
<Zweite Ausführungsform>
Die vorliegende Offenbarung bezieht sich auf eine Gateway-Vorrichtung, die ein Normalmodell aktualisiert, im Vergleich mit der Gateway-Vorrichtung gemäß der ersten Ausführungsform. Die Gateway-Vorrichtung gemäß der vorliegenden Ausführungsform ist die gleiche wie die Gateway-Vorrichtung gemäß der ersten Ausführungsform, außer hinsichtlich der unten beschriebenen Inhalte.
[Problem]
17 ist ein Diagramm zum Beschreiben eines Beispiels einer fehlerhaften Detektion in einer Gateway-Vorrichtung gemäß der zweiten Ausführungsform der vorliegenden Offenbarung. Der Weg zur Interpretation von 17 ist der gleiche wie in 4.
Unter Bezugnahme auf 17 ist ein Normalmodell M2 ein Modell, das auf Sätzen (nachfolgend auch als Population bezeichnet) von Daten X und Daten Y bei einer Vielzahl von gemeinsamen Erzeugungszeiten, die in 4 gezeigt sind, basiert. Diese Population sind Daten, die so erfasst werden, dass sie eine reduzierte Beeinflussung haben, während der Entwicklung des Zielfahrzeugs 1. Daher ist diese Population nahe an einer wahren Population.
Wenn beispielsweise die während der Entwicklung des Zielfahrzeugs 1 erfassten Daten beeinflusst sind, wird ein Normalmodell ME2, basierend auf der beeinflussten Population, erzeugt.
In einem Fall, bei dem eine unautorisierte Nachrichtendetektion unter Verwendung des Normalmodells ME2 durchgeführt wird, da Positionen Ps1, Ps2 außerhalb einer Grenze BE2 eines Normalmodells ME2 sind, werden eine Nachricht, die Daten X oder Daten Y der Position Ps1 enthalten und eine Nachricht die Daten X oder Daten Y der Position Ps2 enthält, als unautorisierte Nachrichten bestimmt.
Jedoch ist die Position Ps1 innerhalb der Grenze B2 des Normalmodells M2, was genauer ist. Daher, wenn das Normalmodell ME2 verwendet wird, entspricht die Bestimmung, dass die Nachricht, welche Daten X oder Daten Y der Position Ps1 enthält, eine unautorisierte Nachricht ist, einer fehlerhaften Detektion.
Auch wenn die Population des vorab erzeugten Normalmodells ME2 beeinflusst ist, wird eine Technologie benötigt, die die Verwendung eines genaueren Normalmodells ermöglicht.
[Konfiguration und Basisbetrieb]
18 zeigt eine Konfiguration einer Gateway-Vorrichtung in dem Fahrzeugkommunikationssystem gemäß der zweiten Ausführungsform der vorliegenden Offenbarung.
Unter Bezugnahme auf 18 beinhaltet eine Gateway-Vorrichtung 102 (Detektionsvorrichtung) eine Kommunikationsverarbeitungseinheit 51, eine Speichereinheit 52, eine Datenerfassungseinheit 53, eine Detektionseinheit 54, eine Nachrichten-Erfassungseinheit 55 und eine Aktualisierungseinheit 56.
Operationen der Kommunikationsverarbeitungseinheit 51, der Speichereinheit 52, der Datenerfassungseinheit 53, der Detektionseinheit 54 und der Nachrichten-Erfassungseinheit 55 in der Gateway-Vorrichtung 102 sind dieselben wie jene der Kommunikationsverarbeitungseinheit 51, der Speichereinheit 52, der Datenerfassungseinheit 53, der Detektionseinheit 54 bzw. der Nachrichten-Erfassungseinheit 55 in der in 3 gezeigten Gateway-Vorrichtung 101.
19 ist ein Diagramm zum Beschreiben der Aktualisierung eines Normalmodells, welches durch die Aktualisierungseinheit in der Gateway-Vorrichtung gemäß der zweiten Ausführungsform der vorliegenden Offenbarung durchgeführt wird. Der Weg zur Interpretation von 14 ist derselbe wie 4.
Unter Bezugnahme auf 18 und 19 wird eine Situation angenommen, in der Detektionsbedingungs-Information, die Modellinformation enthält, die das Normalmodell ME2 und die Kombination der Typen entsprechender Daten X und Daten Y angibt, in der Speichereinheit 52 registriert wird.
Die Datenerfassungseinheit 53 erfasst die Detektionsbedingungs-Information aus der Speichereinheit 52 und erfasst eine Vielzahl von Stücken von Modellinformation, die in der erfassten Detektionsbedingungs-Information enthalten sind.
Beispielsweise erfasst die Datenerfassungseinheit 53 aus der Speichereinheit 52 einen Satz von zwei Datentypen auf Basis der erfassten Modellinformation.
Hier wird eine Situation angenommen, in der ein Satz von Daten X und Daten Y in derselben Sendenachricht enthalten sind. Wenn beispielsweise die Sendenachricht neu in der Speichereinheit 52 durch die Nachrichten-Erfassungseinheit 55 gespeichert wird, erfasst die Datenerfassungseinheit 53 aus der Sendenachricht einen Satz von Daten X und Daten Y auf Basis der durch die Modellinformation angegebenen Kombination.
Die Datenerfassungseinheit 53 gibt den erfassten Satz von Daten X und Daten Y und die Kombination der durch die Modellinformation angegebenen Typen an die Detektionseinheit 54 und die Aktualisierungseinheit 56 aus.
Beispielsweise aktualisiert die Aktualisierungseinheit 56 die Detektionsbedingung auf Basis des durch die Datenerfassungseinheit 53 erfassten Satzes.
Spezifischer wird beispielsweise in der Gateway-Vorrichtung 102 eine Aktualisierungsperiode, in der das Normalmodell aktualisiert werden sollte, durch einen Anwender voreingestellt und aktualisiert die Aktualisierungseinheit 56 den Normalmodus in der Aktualisierungsperiode.
Spezifisch bezieht sich beim Empfangen, aus der Datenerfassungseinheit 53, des Satzes von Daten X und Daten Y und der Kombination der durch die Modellinformation angegebenen Typen die Aktualisierungseinheit 56 auf eine Vielzahl von Stücken von Modellinformation, die in der Detektionsbedingungs-Information in der Speichereinheit 52 enthalten sind und erfasst ein Normalmodell ME2, das der empfangenen Kombination entspricht, aus der entsprechenden Modellinformation in der Speichereinheit 52.
Dann, wenn die Zeit in der Aktualisierungsperiode ist, stellt die Aktualisierungseinheit 56 eine Grenze AE2, die einen zusätzlichen Bereich einstellt, auf Basis des erfassten Normalmodells ME2 in Übereinstimmung mit einem vorbestimmten Algorithmus ein. Die Grenze AE2 ist außerhalb der Grenze BE2 des Normalmodells ME2 positioniert.
Wenn die Position, die auf dem Satz von Daten X und Daten Y basiert, außerhalb der Grenze AE2 liegt, wie im Falle der Position Ps2, aktualisiert die Aktualisiereinheit 56 nicht das Normalmodell ME2.
Derweil, wenn die Position, die auf dem Satz von Daten X und Daten Y basiert, innerhalb der Grenzen AE2 ist, wie im Fall der Position Psl, aktualisiert die Aktualisierungseinheit 56 das Normalmodell ME2.
20 ist ein Diagramm zum Beschreiben eines Normalmodells, welches durch die Aktualisiereinheit in der Gateway-Vorrichtung gemäß der zweiten Ausführungsform der vorliegenden Offenbarung aktualisiert wird. Der Weg zur Interpretation von 20 ist derselbe wie 4.
Unter Bezugnahme auf 18 und 20 erzeugt beispielsweise die Aktualisierungseinheit 56 ein Normalmodell MF2 durch Aktualisieren des Normalmodells ME2 auf Basis des Satzes von Daten X und Daten Y der Position Ps1. Eine Grenze AF2 ist eine Grenze, die den Normalmodell MF2 entspricht und ist außerhalb der Grenze BF2 des Normalmodells MF2 positioniert.
Die Datenerfassungseinheit 53 erfasst die Modellinformation, die in der Speichereinheit 52 gespeichert ist und gibt dem Normalmodell ME2 und der Kombination von Typen entsprechender Daten X und Daten Y Modellinformation ein, welche das Normalmodell MF2 und die Kombination des Typs entsprechender Daten X und Daten Y angibt.
Da die Position Ps1 innerhalb der Grenze BF2 des aktualisierten Normalmodells MF2 liegt, falls das aktualisierte Normalmodell MF2 verwendet wird, ist es möglich, angemessen zu bestimmen, dass die, Daten X oder Daten Y der Position Ps1 enthaltende Nachricht eine autorisierte Nachricht ist.
Zusätzlich, falls die Aktualisierungseinheit 56 weiter das Normalmodell MF2 in der Aktualisierungsperiode aktualisiert, kann das Normalmodell MF2 näher an ein Normalmodell gebracht werden, das auf einer wahren Population basiert.
In der Gateway-Vorrichtung gemäß der zweiten Ausführungsform der vorliegenden Offenbarung aktualisiert die Aktualisierungseinheit 56 die Detektionsbedingung auf Basis eines Satzes von zwei Datentypen. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Aktualisierungseinheit kann die Detektionsbedingung auf Basis eines Satzes von drei oder mehr Datentypen aktualisieren.
Die anderen Konfigurationen und Operationen sind dieselben wie jene der Gateway-Vorrichtung gemäß der ersten Ausführungsform. Somit wird eine detaillierte Beschreibung derselben hier nicht wiederholt.
Wie oben beschrieben, aktualisiert in der Gateway-Vorrichtung gemäß der zweiten Ausführungsform der vorliegenden Offenbarung die Aktualisierungseinheit 56 die Detektionsbedingung auf Basis eines durch die Datenerfassungseinheit 53 erfassten Satzes.
Aufgrund dieser Konfiguration, beispielsweise selbst falls die bei der Berechnung der Detektionsbedingung verwendeten Sätze nicht perfekt als eine Population sind, kann ein neu erfasster Satz in der Population enthalten sein. Somit kann der Grad an Perfektion der Population mehr verbessert werden. Entsprechend kann die Detektionsbedingung auf eine angemessene Detektionsbedingung aktualisiert werden.
Als Nächstes wird eine andere Ausführungsform der vorliegenden Offenbarung unter Bezugnahme auf die Zeichnungen beschrieben. In den Zeichnungen werden dieselben oder entsprechende Teile durch dieselben Bezugszeichen bezeichnet und deren Beschreibungen werden nicht wiederholt.
<Dritte Ausführungsform>
Die vorliegende Ausführungsform bezieht sich auf eine Gateway-Vorrichtung, in der unautorisierte Nachrichtendetektion, basierend auf einem Nachrichtensende-Intervall inkorporiert ist, im Vergleich mit der Gateway-Vorrichtung gemäß der ersten Ausführungsform. Die Gateway-Vorrichtung gemäß der vorliegenden Ausführungsform ist die gleiche wie die Gateway-Vorrichtung der ersten Ausführungsform, außer hinsichtlich der unten beschriebenen Inhalte.
[Konfiguration und Basisbetrieb]
21 zeigt eine Konfiguration einer Gateway-Vorrichtung des Fahrzeugkommunikationssystems gemäß der dritten Ausführungsform der vorliegenden Offenbarung.
Unter Bezugnahme auf 21 beinhaltet eine Gateway-Vorrichtung (Detektionsvorrichtung) 103 eine Kommunikationsverarbeitungseinheit 51, eine Speichereinheit 52, eine Datenerfassungseinheit 53, eine Nachrichten-Erfassungseinheit 55, eine Monitoreinheit 57, eine Verteilungs-Erfassungseinheit 58 und eine Detektionseinheit 64.
Operationen der Kommunikationsverarbeitungseinheit 51, der Speichereinheit 52, der Datenerfassungseinheit 53 und der Nachrichten-Erfassungseinheit 55 in der Gateway-Vorrichtung 103 sind dieselben wie jene der Kommunikationsverarbeitungseinheit 51, der Speichereinheit 52, der Datenerfassungseinheit 53 bzw. der Nachrichten-Erfassungseinheit 55 in der in 3 gezeigten Gateway-Vorrichtung 101.
22 zeigt ein Beispiel zeitlicher Änderung bei einem Sende-Intervall einer in dem Fahrzeugkommunikationssystem gemäß der dritten Ausführungsform der vorliegenden Offenbarung zu überwachenden periodischen Nachricht. In 22 repräsentiert die vertikale Achse Sende-Intervall und repräsentiert die horizontale Achse Zeit. Unter Bezugnahme auf 22 ist das Sende-Intervall ein Intervall von Zeitpunkten, an welchen eine gewisse periodische Nachricht überwacht wird (nachfolgend auch als eine Ziel-Nachricht bezeichnet) beispielsweise in einem Bus 13 gesendet wird.
Wie in 22 gezeigt, ist das Sende-Intervall der Ziel-Nachricht nicht konstant und variiert. Dies liegt daran, dass eine Arbitrierung durchgeführt wird, wenn die Ziel-Nachricht gesendet wird oder Verzögerungsvariation in einer internen Verarbeitung aufgrund von Abweichung des Takts beispielsweise auftritt.
Hier wird die Arbitrierung beschrieben. Jeder Nachricht wird eine Priorität in Übereinstimmung mit einer ID beispielsweise zugewiesen. Wenn beispielsweise die Sende-Timings einer Vielzahl von Nachrichten miteinander überlappen, wird die Arbitrierung im Fahrzeugnetzwerk 12 so durchgeführt, dass eine Nachricht mit einer höheren Priorität auf einem Bus 13 gesendet wird, unter Bevorzugung gegenüber einer Nachricht mit einer niedrigeren Priorität. Aufgrund einer solchen Arbitrierung tritt eine Variation beim Sende-Intervall auf.
23 zeigt ein Beispiel einer Frequenzverteilung von einem Ziel-Nachrichten-Sendeintervall in einem Fahrzeugkommunikationssystem gemäß der dritten Ausführungsform der vorliegenden Offenbarung. In 23 repräsentiert die vertikale Achse Frequenz und repräsentiert die horizontale Achse Sende-Intervall.
Unter Bezugnahme auf 23 ist die Frequenzverteilung des Sende-Intervalls im Wesentlichen symmetrisch in Bezug auf Ct Millisekunden. Die Frequenzverteilung des Sende-Intervalls kann beispielsweise durch eine vorbestimmte Modellfunktion Func1 angenähert werden.
Wieder unter Bezugnahme auf 21, überwacht die Monitoreinheit 57 die Sendenachrichten in beispielsweise dem Fahrzeugnetzwerk 12. Spezifischer überwacht beispielsweise die Monitoreinheit 57 den Nachrichten-Weiterleitungsprozess in der Kommunikationsverarbeitungseinheit 51 und misst das Sende-Intervall der Ziel-Nachricht auf Basis des Überwachungsergebnisses.
Spezifisch wird beispielsweise eine ID, welche die Ziel-Nachricht angibt (nachfolgend auch als eine registrierte ID bezeichnet) in der Monitoreinheit 57 registriert. Es sollte angemerkt werden, dass eine Vielzahl registrierter IDs in der Monitoreinheit 57 registriert sein kann.
Beispielsweise wenn die Kommunikationsverarbeitungseinheit 51 eine Nachricht empfangen hat, bestätigt die Monitoreinheit 57 eine in der durch die Kommunikationsverarbeitungseinheit 51 empfangene Nachricht enthaltene ID. Wenn die bestätigte ID zu der registrierten ID passt, hält die Monitoreinheit 57 als eine Messreferenz eine Empfangszeit t1 der Nachricht, das heißt der Ziel-Nachricht, beispielsweise empfangen durch die Kommunikationsverarbeitungseinheit 51.
Dann, wenn eine neue Ziel-Nachricht, welche die registrierte ID enthält, in der Kommunikationsverarbeitungseinheit 51 empfangen worden ist, hält die Monitoreinheit 57 eine Empfangszeit t2 der neu empfangenen Ziel-Nachricht und führt den nachfolgenden Prozess durch.
Das heißt, dass durch Subtrahieren der Empfangszeit t1 von der Empfangszeit t2 die Monitoreinheit 57 ein Sende-Intervall der Ziel-Nachricht berechnet und das berechnete Sende-Intervall und die registrierte ID an die Detektionseinheit 64 ausgibt.
Die Verteilungs-Erfassungseinheit 58 erfasst beispielsweise eine Verteilung von Sende-Intervall von Sendenachricht. Spezifisch erfasst die Verteilungs-Erfassungseinheit 58 die Verteilungsinformation, die eine Verteilung des Sende-Intervalls, die vorab durch eine andere Vorrichtung erzeugt wird, angibt, spezifisch beispielsweise einen Server.
Spezifischer erfasst beispielsweise der Server eine Vielzahl von Sende-Intervallen der Ziel-Nachricht. Diese Sende-Intervalle werden beispielsweise in einem Testfahrzeug desselben Typs wie dem Zielfahrzeug 1 gemessen. Der Server kann Sende-Intervalle, die im Zielfahrzeug 1 gemessen werden, erfassen.
Beispielsweise verwendet als die Modellfunktion Func1 der Server eine Wahrscheinlichkeitsdichte-Funktion P einer Normalverteilung (nachfolgend als eine Normalverteilungsfunktion bezeichnet), die in der Formel (5) unten gezeigt ist und die x als eine Variable aufweist.
[Formel 5] $p (x | \bar{x}, σ^{2}) = \frac{1}{\sqrt{2 π σ^{2}}} e x p {- \frac{{(x - \bar{x})}^{2}}{2 σ^{2}}}$
Hier sind x-Überstrich und σ^2 Parameter und sind jeweils ein Mittelwert und eine Varianz und eine Vielzahl von Sende-Intervallen. Der x-Überstrich und σ^2 werden jeweils durch Formeln (6) und (7) unten berechnet. [Formel 6] $\bar{x} = \frac{1}{t} \sum_{i = 1}^{t} x_{i}$
[Formel 7] $σ^{2} = \frac{1}{t} \sum_{i = 1}^{t} {(x_{i} - \bar{x})}^{2}$
Hier ist t die Anzahl von Proben von Sende-Intervallen. xi bezeichnet das i-te Sende-Intervall. Der Sender sendet an das Zielfahrzeug 1 Verteilungsinformation, die x-Überstrich und σ^2 beispielsweise zu einem vorbestimmten Verteilungs-Timing beinhaltet.
Beim Empfangen der Verteilungsinformation aus einem Server über eine Kommunikationsvorrichtung 111 und die Kommunikationsverarbeitungseinheit 51 erzeugt die Verteilungs-Erfassungseinheit 58 eine Modellfunktion Func1, die durch Formel (5) repräsentiert ist, auf Basis der empfangenen Verteilungsinformation und gibt erzeugt Modellfunktion Func1 an die Detektionseinheit 64 aus.
In der Gateway-Vorrichtung 101 empfängt die Verteilungs-Erfassungseinheit 58 die Verteilungsinformation aus dem Server über eine Kommunikationsvorrichtung 111 und die Kommunikationsverarbeitungseinheit 51 und gibt die Verteilungsinformation an die Detektionseinheit 64 aus. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Beispielsweise kann die Gateway-Vorrichtung 101 einen nicht-flüchtigen Speicher aufweisen und kann aus dem nicht-flüchtigen Speicher, in welchem Verteilungsinformation über den Port 112 durch die Wartungs-Endgerätvorrichtung geschrieben wird, die Verteilungs-Erfassungseinheit 58 die Verteilungsinformation erfassen und die Verteilungsinformation an die Detektionseinheit 64 ausgeben.
24 zeigt ein Beispiel von unautorisierter Nachrichtendetektion, welche durch die Detektionseinheit in der Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung durchgeführt wird. In 24 repräsentiert die vertikale Achse den Rang und repräsentiert die horizontale Achse die Variable x.
Unter Bezugnahme auf 24 detektiert die Detektionseinheit 64 eine unautorisierte Nachricht auf Basis eines Überwachungsergebnisses durch die Monitoreinheit 57 und eine Verteilung von Sende-Intervall, welche beispielsweise durch die Verteilungs-Erfassungseinheit 58 erfasst wird.
Spezifisch, auf Basis der durch die Monitoreinheit 57 gemessenen Sende-Intervalle, Verteilungsinformation, welche die Verteilung der Sende-Intervalle angibt, und einen vorbestimmten Schwellenwert, bestimmt die Detektionseinheit 64, ob die Sendenachricht als eine unautorisierte Nachricht bestimmt werden sollte oder nicht. Hier wird ein Schwellenwert ThB in der Detektionseinheit 64 registriert.
Mit anderen Worten detektiert die Detektionseinheit 64 eine unautorisierte Nachricht auf Basis einer Position in der Verteilung eines Sende-Intervalls, welches beispielsweise durch die Monitoreinheit 57 gemessen wird.
Beim Empfangen der Modellfunktion Func1 aus der Verteilungs-Erfassungseinheit 58 erzeugt die Detektionseinheit 64 eine Rangfunktion Sc1 durch Transformieren der empfangenen Modellfunktion Func1. Spezifischer erzeugt die Detektionseinheit 64 beispielsweise -log(Func1) als die Rangfunktion Sc1 . Hier bedeutet „log(c)“ einen Zehnerlogarithmus von c.
In 24 wird die Rangfunktion Sc1 so ausgedrückt, dass die Messreferenzzeit x=0 entspricht. Die Rangfunktion Sc1 gibt einen Minimalwert an, wenn die Variable x der Mittelwert ist, das heißt x-Überstrich.
Die Detektionseinheit 64 berechnet einen Rang durch Einsetzen des aus der Monitoreinheit 57 empfangenen Sende-Intervalls in die Variable x in der Rangfunktion Sei.
Wenn der berechnete Rang nicht größer als der Schwellenwert ThB ist, bestimmt die Detektionseinheit 64, dass die dieses Mal gesendete Ziel-Nachricht nicht als eine unautorisierte Nachricht bestimmt werden sollte, das heißt bestimmt, dass die Ziel-Nachricht eine autorisierte Nachricht oder eine Nachricht mit einem Pseudo-Sende-Intervall (nachfolgend auch als Pseudo-Nachricht bezeichnet) ist. Spezifisch, wenn ein in 24 gezeigtes Sende-Intervall Tc aus der Monitoreinheit 57 empfangen ist, bestimmt die Detektionseinheit 64, dass die dieses Mal gesendete Ziel-Nachricht C eine autorisierte Nachricht oder eine Pseudo-Nachricht ist.
Der Grund dafür ist wie folgt. Wenn nämlich die Ziel-Nachricht beispielsweise eine autorisierte Nachricht oder eine Pseudo-Nachricht ist, selbst falls eine Variation aufgrund von Arbitrierung, Verzögerung interner Verarbeitung und dergleichen enthalten ist, gibt es eine hohe Wahrscheinlichkeit, dass das Sende-Intervall in der Nähe des Zentrums der in 23 gezeigten Frequenzverteilung positioniert ist.
Derweil, wenn der berechnete Rang größer als der Schwellenwert ThB ist, bestimmt die Detektionseinheit 64, dass die dieses Mal gesendete Ziel-Nachricht eine unautorisierte Nachricht ist. Spezifisch, wenn sie ein in 24 gezeigtes Sende-Intervall Ta aus der Monitoreinheit 57 empfangen hat, bestimmt die Detektionseinheit 64, dass eine Ziel-Nachricht A, die dieses Mal gesendet wird, eine unautorisierte Nachricht ist. Ähnlich, wenn sie ein Sende-Intervall Tb aus der Monitoreinheit 57 empfangen hat, bestimmt die Detektionseinheit 64, dass eine Ziel-Nachricht B, die dieses Mal gesendet ist, eine unautorisierte Nachricht ist.
Der Grund dafür ist wie folgt. Wenn nämlich die Ziel-Nachricht eine unautorisierte Nachricht ist, besteht beispielsweise eine hohe Wahrscheinlichkeit, dass die Ziel-Nachricht nicht gemäß einer vorbestimmten Regel gesendet wird.
In einem Fall, bei dem das Sicherheitsniveau zu senken ist, wird der in der Detektionseinheit 64 registrierte Schwellenwert zu ThA verändert, der größer als ThB ist. Entsprechend, wie beispielsweise im Fall der, dem Sende-Intervall Tb entsprechenden Ziel-Nachricht B, wird eine als eine unautorisierte Nachricht durch die Detektionseinheit 64 bestimmte Nachricht als eine autorisierte Nachricht oder eine Pseudo-Nachricht bestimmt, nachdem der Schwellenwert sich verändert hat.
Die Detektionseinheit 64 teilt der Monitoreinheit 57 das Bestimmungsergebnis mit, basierend auf dem aus der Monitoreinheit 57 empfangenen Sende-Intervall.
Die Monitoreinheit 57 verwendet als eine Messreferenz für das Sende-Intervall den Empfangszeitpunkt der Sendenachricht, die beispielsweise als eine autorisierte Nachricht oder eine Pseudo-Nachricht bestimmt wird.
Spezifischer, wenn das aus der Detektionseinheit 64 mitgeteilte Bestimmungsergebnis angibt, dass die dieses Mal gesendete Ziel-Nachricht eine autorisierte Nachricht oder eine Pseudo-Nachricht ist, verwendet die Monitoreinheit 57 die Empfangszeit t2 als eine neue Messreferenz für das Sende-Intervall.
Dann, wenn eine, die registrierte ID enthaltende neue Ziel-Nachricht in der Kommunikationsverarbeitungseinheit 51 empfangen worden ist, hält die Monitoreinheit 57 eine Empfangszeit t3 der neu empfangenen Ziel-Nachricht und führt den nachfolgenden Prozess durch.
Das heißt, durch Subtrahieren der Empfangszeit t2 von der Empfangszeit t3 berechnet die Monitoreinheit 57 ein neues Sende-Intervall der Ziel-Nachricht und gibt das berechnete Sende-Intervall an die Detektionseinheit 64 aus.
Derweil, wenn das aus der Detektionseinheit 64 mitgeteilte Bestimmungsergebnis angibt, dass die dieses Mal gesendete Ziel-Nachricht eine unautorisierte Nachricht ist, hält die Monitoreinheit 57 die Empfangszeit t1 als die Messreferenz.
Dann, wenn eine neue Ziel-Nachricht, welche die registrierte ID enthält, in der Kommunikationsverarbeitungseinheit 51 empfangen worden ist, hält die Monitoreinheit 57 die Empfangszeit t3 der neu empfangenen Ziel-Nachricht und führt den nachfolgenden Prozess durch.
Das heißt, durch Subtrahieren der Empfangszeit t1 von der Empfangszeit t3 berechnet die Monitoreinheit 57 ein neues Sende-Intervall der Ziel-Nachricht und gibt das berechnete Sende-Intervall an die Detektionseinheit 64 aus.
Beispielsweise in Bezug auf eine Sendenachricht, die bestimmt worden ist, nicht als eine unautorisierte Nachricht klassifiziert zu werden, bestimmt die Detektionseinheit 64, ob die Sendenachricht eine unautorisierte Nachricht ist, auf Basis des durch die Datenerfassungseinheit 53 erfassten Satzes und der Detektionsbedingung.
Spezifischer, wenn bestimmt worden ist, dass die dieses Mal gesendete Ziel-Nachricht C eine autorisierte Nachricht oder eine Pseudo-Nachricht ist, gibt die Detektionseinheit 64 an die Datenerfassungseinheit 53 die aus der Monitoreinheit 57 empfangene registrierte ID aus.
Beim Empfangen der registrierten ID aus der Detektionseinheit 64 erfasst die Datenerfassungseinheit 53 die neueste Nachricht, welche die empfangene registrierte ID aufweist, das heißt die neueste Ziel-Nachricht, aus einer Vielzahl von in der Speichereinheit 52 gespeicherten Nachrichten.
In diesem Beispiel ist ein Datenstück in der Ziel-Nachricht enthalten. Die Datenerfassungseinheit 53 erkennt den Typ (nachfolgend auch als ein Ziel-Typ bezeichnet) des einen Teils von Daten, das in der erfassten neuesten Ziel-Nachricht enthalten ist. Es solle angemerkt werden, dass zwei oder mehr Teile von Daten in der Ziel-Nachricht enthalten sein können.
Die Datenerfassungseinheit 53 bezieht sich auf eine Vielzahl von Teilen von Modellinformation, die in der in der Speichereinheit 52 gespeicherten Detektionsbedingungs-Information enthalten ist und erfasst aus der Speichereinheit 52 Modellinformation, welche den erkannten Ziel-Typ angibt, aus der Vielzahl von Stücken von Modellinformation, auf die Bezug genommen wird.
Die Datenerfassungseinheit 53 spezifiziert einen Datentyp (nachfolgend auch als Gegenstücktyp bezeichnet), der mit dem Ziel-Typ zu kombinieren ist, auf Basis der erfassten Modellinformation.
Beispielsweise erfasst die Datenerfassungseinheit 53 aus der Speichereinheit 52 eine Vielzahl von Ziel-Nachrichten, die Daten des Ziel-Typs enthalten, und eine Vielzahl von Nachrichten, die Daten des Gegenstücktyps enthalten, und führt einen Synchronisationsprozess zum Synchronisieren der Empfangszeit der Ziel-Typ-Daten und der Empfangszeit der Gegenstück-Typ-Daten auf Basis der erfassten Nachrichten durch.
Wenn der Synchronisationsprozess abgeschlossen ist, erfasst die Datenerfassungseinheit 53 einen Satz der neuesten zwei Datentypen aus den synchronisierten zwei Datentypen und gibt an die Detektionseinheit 64 den erfassten Satz von zwei Datentypen und die Kombination der Typen, welche durch die Modellinformation angegeben ist, aus.
Beim Empfang des Satzes der zwei Datentypen und Kombination der durch die Modellinformation angegebenen Typen aus der Datenerfassungseinheit 53 bezieht sich die Detektionseinheit 64 auf eine Vielzahl von Stücken von Modellinformation, die in der Detektionsbedingungs-Information in der Speichereinheit 52 enthalten ist, und erfasst ein Normalmodell M2, welches der empfangenen Kombination entspricht, aus der entsprechenden Modellinformation in der Speichereinheit 52.
Auf Basis der Position, die auf dem Satz von zwei Datentypen basiert, die aus der Datenerfassungseinheit 53 empfangen werden, und dem erfassten Normalmodell M2 bestimmt die Detektionseinheit 64, ob die Ziel-Nachricht eine unautorisierte Nachricht ist oder nicht.
Spezifisch, wie in 7 gezeigt, wenn die Position, die auf dem Satz von zwei Datentypen basiert, die aus der Datenerfassungseinheit 53 empfangen werden, die Position Pn ist, bestimmt die Detektionseinheit 64, dass die Ziel-Nachricht eine autorisierte Nachricht ist, weil die Position Pn innerhalb der Grenze B2 des Normalmodells M2 ist.
Derweil, wenn die Position, die auf dem Satz von zwei Datentypen basiert, die aus der Datenerfassungseinheit 53 empfangen werden, die Position Pa ist, bestimmt die Detektionseinheit 64, dass die Ziel-Nachricht eine Pseudo-Nachricht ist, das heißt eine unautorisierte Nachricht, weil die Position Pa außerhalb der Grenze B2 des Normalmodells M2 ist.
Wenn bestimmt worden ist, dass die Ziel-Nachricht eine unautorisierte Nachricht ist, führt die Detektionseinheit 64 beispielsweise den nachfolgenden Prozess durch. Das heißt, dass die Detektionseinheit 64 in der Speichereinheit 52 die registrierte ID, die ID der Nachricht, welche die Gegenstückdaten enthält, die Kombination der entsprechenden Typen und dergleichen speichert.
Zusätzlich teilt die Detektionseinheit 64 über die Kommunikationsverarbeitungseinheit 51 einer Vorrichtung höheren Rangs innerhalb oder außerhalb des Zielfahrzeugs 1 mit, dass eine unautorisierte Nachricht in einem Bus 13 gesendet wird.
[Betriebsablauf]
25 ist ein Flussdiagramm einer Prozedur der Operation, die durchgeführt wird, wenn die Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung eine Ziel-Nachricht empfängt.
Bezug nehmend auf 25, empfängt zuerst die Gateway-Vorrichtung 103 die erste Ziel-Nachricht und stellt die Empfangszeit der Ziel-Nachricht als eine Messreferenz ein (Schritt S302).
Als Nächstes wartet die Gateway-Vorrichtung 103 bis zum Empfangen einer Ziel-Nachricht (NEIN im Schritt S304).
Dann, beim Empfangen einer Ziel-Nachricht (JA im Schritt S304), führt die Gateway-Vorrichtung 103 einen Bestimmungsprozess des Bestimmens durch, ob die empfangene Ziel-Nachricht als eine unautorisierte Nachricht bestimmt werden sollte oder nicht (Schritt S306).
Als Nächstes wartet die Gateway-Vorrichtung 103, bis sie eine neue Ziel-Nachricht empfängt (NEIN im Schritt S306).
26 ist ein Flussdiagramm einer Prozedur des Betriebs, die durchgeführt wird, wenn die Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung den Bestimmungsprozess durchführt. 26 zeigt die Details des Betriebs von Schritt S306 in 25.
Unter Bezug auf 26 berechnet die Gateway-Vorrichtung 103 ein Sende-Intervall durch Subtrahieren der Messreferenz von der Empfangsseite der Ziel-Nachricht (Schritt S402).
Als Nächstes berechnet die Gateway-Vorrichtung 103 einen Rang durch Einsetzen des berechneten Sende-Intervalls in die Rangfunktion Sc1 (Schritt S404).
Als Nächstes, wenn der berechnete Rang größer als der Schwellenwert ThB ist (NEIN im Schritt S406), bestimmt die Gateway-Vorrichtung 103, dass die dieses Mal gesendete Ziel-Nachricht eine unautorisierte Nachricht ist (Schritt S424).
Derweil, wenn die berechneten Ränge nicht größer sind als der Schwellenwert ThB (JA im Schritt S406), bestimmt die Gateway-Vorrichtung 103, dass die dieses Mal gesendete Ziel-Nachricht eine autorisierte Nachricht oder eine Pseudo-Nachricht ist (Schritt S408).
Als Nächstes aktualisiert die Gateway-Vorrichtung 103 die Messreferenz zur Empfangszeit der dieses Mal gesendeten Ziel-Nachricht (Schritt S410).
Als Nächstes bestätigt die Gateway-Vorrichtung 103, ob sowohl die Zieltyp-Daten als auch die Gegenstückdaten in der Ziel-Nachricht gespeichert sind oder nicht (Schritt S412).
Als Nächstes, wenn sowohl die Zieltyp-Daten als auch die Gegenstücktyp-Daten nicht in der Ziel-Nachricht enthalten sind (das heißt wenn die Zieltyp-Daten und die Gegenstücktyp-Daten in getrennten Nachrichten enthalten sind (NEIN im Schritt S412), führt die Gateway-Vorrichtung 103 einen Synchronisationsprozess an den Zieltyp-Daten und den Gegenstücktyp-Daten (Schritt S414).
Als Nächstes erfasst die Gateway-Vorrichtung 103 einen Satz von zwei Datentypen, spezifischer einen Satz der Zieltyp-Daten und der Gegenstücktyp-Daten aus der Ziel-Nachricht oder erfasst den neuesten Satz der Zieltyp-Daten und der Gegenstücktyp-Daten aus den Zieltyp-Daten und den Gegenstücktyp-Daten, die dem Synchronisationsprozess unterworfen worden sind (Schritt S416).
Als Nächstes erfasst die Gateway-Vorrichtung 103 aus der Speichereinheit 52 ein Normalmodell M2, welches dem Satz von Zieltyp-Daten und Gegenstücktyp-Daten entspricht (Schritt S418) .
Als Nächstes bestätigt die Gateway-Vorrichtung 103, ob die Position, die auf dem erfassten Satz von Zieltyp-Daten und den Gegenstücktyp-Daten basiert, innerhalb der Grenze B2 des Normalmodells M2 liegt oder nicht (Schritt S420).
Wenn die Position, die auf den erfassten Satz von Zieltyp-Daten und den Gegenstücktyp-Daten basiert, innerhalb der Grenze B2 liegt (JA im Schritt S420), bestimmt die Gateway-Vorrichtung 103, dass die dieses Mal gesendete Ziel-Nachricht eine autorisierte Nachricht ist (Schritt S422).
Derweil, wenn die Position, die auf dem erfassten Satz von Zieltyp-Daten und Gegenstücktyp-Daten basiert, außerhalb der Grenze B2 liegt (NEIN im Schritt S420), bestimmt die Gateway-Vorrichtung 103, dass die dieses Mal gesendete Ziel-Nachricht eine Pseudo-Nachricht ist, das heißt eine unautorisierte Nachricht (Schritt S424).
In der Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung misst die Monitoreinheit 57 ein Sende-Intervall auf Basis der Empfangszeit der Ziel-Nachricht. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Beispielsweise kann die Monitoreinheit 57 die Sendezeit der Ziel-Nachricht erfassen und ein Sende-Intervall auf Basis der erfassten Sendezeit messen.
Die Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung erfasst eine Verteilung von Ziel-Nachrichten-Sende-Intervall, gemessen in einem Testfahrzeug. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Gateway-Vorrichtung 103 kann Sende-Intervalle, die im Zielfahrzeug 1 gemessen werden, akkumulieren und kann die Verteilung auf Basis der akkumulierten Sende-Intervalle erzeugen.
Wie oben beschrieben, in der Gateway-Vorrichtung gemäß der dritten Ausführungsform der vorliegenden Offenbarung überwacht die Monitoreinheit 57 Sendenachrichten in dem Fahrzeugnetzwerk 12. Die Verteilungs-Erfassungseinheit 58 erfasst eine Verteilung von Sende-Intervallen der Sendenachricht. Die Detektionseinheit 64 detektiert eine unautorisierte Nachricht auf Basis eines Überwachungsergebnisses durch die Monitoreinheit 57 und der durch die Verteilungs-Erfassungseinheit 58 erfassten Verteilung. Dann, in Bezug auf eine Sendenachricht, die nicht als eine unautorisierte Nachricht zu klassifizieren bestimmt worden ist, bestimmt die Detektionseinheit 64, ob die Sendenachricht eine unautorisierte Nachricht ist oder nicht, auf Basis des durch die Datenerfassungseinheit 53 erfassten Satzes und der Detektionsbedingung.
Eine Sendenachricht, die ein Pseudo-Sende-Intervall aufweist, das genau justiert ist, ist schwierig als eine unautorisierte Nachricht zu detektieren , auf Basis des Überwachungsergebnisses und der oben beschriebenen Verteilung. Aufgrund der obigen Konfiguration kann eine solche Sendenachricht als eine unautorisierte Nachricht detektiert werden, auf Basis des Satzes und der oben beschriebenen Detektionsbedingung. Daher kann die Sicherheit im Fahrzeugnetzwerk 12 verbessert werden.
Die anderen Konfigurationen oder Operationen sind die gleichen wie jene der Gateway-Vorrichtung gemäß der ersten Ausführungsform. Somit wird eine detaillierte Beschreibung derselben hier nicht wiederholt.
Es sollte angemerkt werden, dass ein Teil oder alle der Komponenten und Operationen der Vorrichtungen gemäß der ersten Ausführungsform bis zur dritten Ausführungsform der vorliegenden Offenbarung angemessen kombiniert werden können.
Die offenbarten Ausführungsformen sind lediglich in allen Aspekten illustrativ und sollten nicht als beschränkend betrachtet werden. Der Schutzumfang der vorliegenden Offenbarung ist durch den Schutzumfang der Ansprüche, statt der obigen Beschreibung, definiert und soll eine Bedeutung äquivalent zum Schutzumfang der Anschlüsse und alle Modifikationen innerhalb des Schutzumfangs beinhalten. Die obige Beschreibung beinhaltet die Merkmale in den zusätzlichen Anmerkungen unten.
[Zusätzliche Anmerkung 1]
Eine Detektionsvorrichtung, die konfiguriert ist, eine unautorisierte Nachricht in einem, in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren, wobei die Detektionsvorrichtung umfasst:

eine Nachrichten-Erfassungseinheit, die konfiguriert ist, eine oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk zu erfassen;
eine Datenerfassungseinheit, die konfiguriert ist, einen Satz einer Vielzahl von Datentypen zu erfassen, die in den durch die Nachrichten-Erfassungseinheit erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen;
eine Speichereinheit, die konfiguriert ist, eine Detektionsbedingung zu speichern, wobei die Detektionsbedingung vorab und basierend auf einer Vielzahl der Sätze, die jeweils einer Vielzahl von Zeiten entsprechen, erzeugt wird; und
eine Detektionseinheit, die konfiguriert ist, die unautorisierte Nachricht auf Basis des durch die Datenerfassungseinheit erfassten Satzes und der Detektionsbedingung zu detektieren, wobei
die Detektionsvorrichtung eine Gateway-Vorrichtung ist, die konfiguriert ist, jede Sendenachricht weiterzuleiten,
das Fahrzeugnetzwerk eine Fahrzeugvorrichtung beinhaltet, die eine Vorrichtung im Fahrzeug ist,
das Fahrzeugnetzwerk eine Fahrzeug-Kommunikationsvorrichtung ist, die konfiguriert ist, mit einer Vorrichtung außerhalb des Fahrzeugs zu kommunizieren, das mit dem Fahrzeugnetzwerk versehen ist, oder eine Steuervorrichtung ist, die in der Lage ist, einen Funktionsabschnitt im Fahrzeug zu steuern,
die Sendenachricht in dem Fahrzeugnetzwerk gemäß einem Kommunikations-Standard von CAN (Controller Area Network), FlexRay, MOST (Media Oriented Systems Transport), Ethernet oder LIN (Local Interconnect Network) gesendet wird,
die Detektionsbedingung ein Normalmodell ist und vorab in einem Server erzeugt wird, und
die Zeit eine Empfangszeit, eine Sendezeit oder eine Erzeugungszeit ist.

Bezugszeichenliste

1: Zielfahrzeug
12: Fahrzeugnetzwerk
13, 14: Bus
51: Kommunikationsverarbeitungseinheit
52: Speichereinheit
53: Datenerfassungseinheit
54: Detektionseinheit
55: Nachrichten-Erfassungseinheit
56: Aktualisierungseinheit
57: Monitoreinheit
58: Verteilungs-Erfassungseinheit
64: Detektionseinheit 64
101, 102, 103: Gateway-Vorrichtung (Detektionsvorrichtung)
111: Fahrzeug-Kommunikationsvorrichtung
112: Port
121: Busverbindungs-Vorrichtungsgruppe
122: Steuervorrichtung
301: Fahrzeugkommunikationssystem

ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Patentliteratur

JP 2017150807 [0001]
JP 2016116075 A [0002]
JP 2016057438 A [0002, 0231]
JP 2016097879 A [0002]
JP 2015136107 A [0002]

Claims

Detektionsvorrichtung, konfiguriert, eine unautorisierte Nachricht in einem, in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren, wobei die Detektionsvorrichtung umfasst: eine Nachrichten-Erfassungseinheit, die konfiguriert ist, eine oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk zu erfassen; eine Datenerfassungseinheit, die konfiguriert ist, einen Satz einer Vielzahl von Typen von Daten, die in der durch die Nachrichten-Erfassungseinheit erfassten Sendenachrichten enthalten sind, und die derselben Zeit entsprechen, zu erfassen; eine Speichereinheit, die konfiguriert ist, eine Detektionsbedingung zu speichern, wobei die Detektionsbedingung vorab erzeugt wird, und auf einer Vielzahl von Sätzen basiert, die jeweils einer Vielzahl von Zeiten entsprechen; und eine Detektionseinheit, die konfiguriert ist, die unautorisierte Nachricht zu detektieren, auf Basis des durch die Datenerfassungseinheit erfassten Satzes und der Detektionsbedingung.
Detektionsvorrichtung gemäß Anspruch 1, wobei die Detektionsbedingung auf Basis der Sätze einer Vielzahl von Typen von Daten, die eine vorbestimmte Korrelation aufweisen, erzeugt wird.
Detektionsvorrichtung gemäß Anspruch 2, wobei wenn es eine Vielzahl von Typen von Korrelationsdaten gibt, welche die Daten sind, welche die Korrelation mit einem gewissen Typ der Daten aufweisen, die einzelne Detektionsbedingung auf Basis eines gewissen Typs der Daten und der Vielzahl von Typen der Korrelationsdaten erzeugt wird.
Detektionsvorrichtung gemäß Anspruch 3, wobei die Detektionseinheit einen geschätzten Fehler des gewissen Typs der Daten auf Basis des gewissen Typs der Daten und der Vielzahl von Typen der Korrelationsdaten, welche durch die Datenerfassungseinheit erfasst sind, und der Detektionsbedingung, berechnet, die Authentizität eines gewissen Typs der Daten auf Basis des berechneten abgeschätzten Fehlers und einer Verteilung des geschätzten Fehlers, die unter Verwendung der Detektionsbedingung erzeugt wird, evaluiert, und bestimmt, ob der gewisse Typ der Daten die unautorisierte Nachricht ist, auf Basis eines Ergebnisses der Evaluierung.
Detektionsvorrichtung gemäß Anspruch 3, wobei der gewisse Datentyp Daten ist, die einen Zustand angeben, und die Detektionseinheit einen Wert des gewissen Typs der Daten auf Basis der Vielzahl von Typen von Korrelationsdaten, die durch die Datenerfassungseinheit erfasst werden, und der Detektionsbedingung abschätzt, und bestimmt, ob der gewisse Typ der Daten der unautorisierten Nachricht entspricht oder nicht, auf Basis eines Ergebnisses des Vergleichs zwischen dem geschätzten Wert und dem gewissen Datentyp.
Detektionsvorrichtung gemäß Anspruch 2, wobei wenn es eine Vielzahl von Typen von Korrelationsdaten gibt, welche die Daten sind, welche die Korrelation mit einem gewissen Typ von Daten aufweist, eine Vielzahl von Detektionsbedingungen auf Basis des gewissen Typs der Daten und der Vielzahl von Korrelationsdaten erzeugt werden.
Detektionsvorrichtung gemäß einem der Ansprüche 1 bis 6, wobei die Datenerfassungseinheit einen Satz der Vielzahl von Daten, die jeweils in den Sendenachrichten enthalten sind, die sich voneinander unterscheiden, erfasst.
Detektionsvorrichtung gemäß Anspruch 7, wobei die Nachrichten-Erfassungseinheit in der Speichereinheit eine Vielzahl von Sendenachrichten, die erfasst worden sind, speichert, und die Datenerfassungseinheit den Satz aus den in der Speichereinheit gespeicherten Sendenachrichten erfasst.
Detektionsvorrichtung gemäß einem der Ansprüche 1 bis 8, wobei die Detektionsvorrichtung weiter beinhaltet eine Aktualisiereinheit, die konfiguriert ist, die Detektionsbedingung auf Basis des durch die Datenerfassungseinheit erfassten Satzes zu aktualisieren.
Detektionsvorrichtung gemäß einem der Ansprüche 1 bis 9, wobei die Detektionsvorrichtung weiter beinhaltet eine Monitoreinheit, die konfiguriert ist, die Sendenachrichten im Fahrzeugnetzwerk zu überwachen, und eine Verteilungs-Erfassungseinheit, die konfiguriert ist, die Verteilung von Sende-Intervallen der Sendenachrichten zu erfassen, die Detektionseinheit die unautorisierte Nachricht auf Basis eines Überwachungsergebnisses durch die Monitoreinheit und der Verteilung, welche durch die Verteilungserfassungseinheit erfasst wird, detektiert, und in Bezug auf eine Sendenachricht, die bestimmt worden ist, nicht als die unautorisierte Nachricht klassifiziert zu werden, die Detektionseinheit bestimmt, ob die Sendenachricht die unautorisierte Nachricht ist oder nicht, auf Basis des Satzes, der durch die Datenerfassungseinheit erfasst wird, und der Detektionsbedingung.
Detektionsverfahren, das in einer Detektionsvorrichtung durchzuführen ist, die eine Speichereinheit beinhaltet und konfiguriert ist, eine unautorisierte Nachricht in einen in einem Fahrzeug montierten Fahrzeugnetzwerk zu detektieren, wobei das Detektionsverfahren umfasst: einen Schritt des Erfassens einer oder einer Vielzahl von Sendenachrichten im Fahrzeugnetzwerk; und einen Schritt des Erfassens eines Satzes von einer Vielzahl von Datentypen, die in den erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen, wobei die Speichereinheit eine vorab erzeugte, und auf einem Ergebnis des Sätze, die jeweils einer Vielzahl von Zeiten entsprechen basierende Detektionsbedingung speichert, und das Detektionsverfahren weiter beinhaltet einen Schritt des Detektierens der unautorisierten Nachricht auf Basis des erfassten Satzes und der Detektionsbedingung.
Detektionsprogramm, das in einer Detektionsvorrichtung zu verwenden ist, wobei die Detektionsvorrichtung eine Speichereinheit beinhaltet und konfiguriert ist, eine unautorisierte Nachricht in einem, in einem fahrzeugmontierten Fahrzeugnetzwerk zu detektieren, wobei das Detektionsprogramm konfiguriert ist, einen Computer zu veranlassen, zu fungieren als: eine Nachrichten-Erfassungseinheit, die konfiguriert ist, eine oder eine Vielzahl von Sendenachrichten im Fahrzeugnetzwerk zu erfassen; und eine Datenerfassungseinheit, die konfiguriert ist, einen Satz einer Vielzahl von Datentypen zu erfassen, die in den durch die Nachrichten-Erfassungseinheit erfassten Sendenachrichten enthalten sind und die derselben Zeit entsprechen, wobei die Speichereinheit eine Detektionsbedingung speichert, die vorab, und basierend auf einer Vielzahl von Sätzen, die jeweils einer Vielzahl von Zeiten entsprechen, erzeugt wird, und das Detektionsprogramm weiter den Computer veranlasst, als eine Detektionseinheit zu fungieren, die konfiguriert ist zum Detektieren der unautorisierten Nachricht auf Basis des durch die Datenerfassungseinheit erfassten Satzes und der Detektionsbedingung.