DE112018003971T5 - Detektor, Detektionsverfahren und Detektionsprogramm - Google Patents

Detektor, Detektionsverfahren und Detektionsprogramm Download PDF

Info

Publication number
DE112018003971T5
DE112018003971T5 DE112018003971.4T DE112018003971T DE112018003971T5 DE 112018003971 T5 DE112018003971 T5 DE 112018003971T5 DE 112018003971 T DE112018003971 T DE 112018003971T DE 112018003971 T5 DE112018003971 T5 DE 112018003971T5
Authority
DE
Germany
Prior art keywords
bus
detection
attack
error
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112018003971.4T
Other languages
English (en)
Inventor
Yoshihiro Hamada
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Publication of DE112018003971T5 publication Critical patent/DE112018003971T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

Diese Detektionsvorrichtung detektiert einen Angriff in einem Fahrzeugnetzwerk, das einen Bus enthält, in welchem ein Rahmen, der Identifikationsinformation enthält, die eine Erkennung einer Sendeziels, einer Sendequelle oder/und eines Ziels gestattet, gesendet wird. Im Bus werden eine Vielzahl von Rahmen, die Teile von Identifikationsinformation enthalten, die sich voneinander unterscheiden, gesendet. Die Detektionsvorrichtung beinhaltet: eine Überwachungseinheit, die konfiguriert ist, einen Kommunikationsfehler im Bus zu überwachen; eine Aggregationseinheit, die konfiguriert ist, einen Kommunikationsfehler-Auftrittszustand hinsichtlich jedes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Überwachungseinheit zu aggregieren; und eine Detektionseinheit, die konfiguriert ist, den Angriff auf Basis eines Aggregationsergebnisses durch die Aggregationseinheit zu detektieren.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf eine Detektionsvorrichtung, ein Detektionsverfahren und ein Detektionsprogramm.
  • Die Anmeldung beansprucht die Priorität der japanischen Patentanmeldung Nr. 2017-150771 , eingereicht am 3. August 2017, deren gesamter Inhalt hiermit unter Bezugnahme inkorporiert wird.
  • Hintergrund
  • Patentliteratur 1: (Japanische Patentoffenlegungsschrift Nr. JP 2016-116075 A ) offenbart das nachfolgende Fahrzeugkommunikationssystem. Das Fahrzeugkommunikationssystem ist nämlich ein Fahrzeugkommunikationssystem, das eine Nachrichten-Authentifizierung durchführt unter Verwendung von: einem Sendercode, der ein Nachrichten-Authentifizierungscode ist, der durch einen Sender von Kommunikationsdaten erzeugt wird; und einen Empfängercode, der ein Nachrichten-Authentifizierungscode ist, der durch einen Empfänger der Kommunikationsdaten erzeugt wird, wobei das Fahrzeugkommunikationssystem umfasst: eine erste ECU, die mit einem Fahrzeugnetzwerk verbunden ist und nur einen ersten Verschlüsselungsschlüssel aus dem ersten Verschlüsselungsschlüssel und einem zweiten Verschlüsselungsschlüssel aufweist, der sich vom ersten Verschlüsselungsschlüssel unterscheidet; eine zweite ECU, die mit dem Fahrzeugnetzwerk verbunden ist und zumindest den ersten Verschlüsselungsschlüssel aufweist; und eine dritte ECU, die mit dem Fahrzeugnetzwerk und einem externen Netzwerk verbunden ist und nur den zweiten Verschlüsselungsschlüssel von dem ersten Verschlüsselungsschlüssel und von dem zweiten Verschlüsselungsschlüssel aufweist, wobei die dritte ECU konfiguriert ist, den Sendercode oder den Empfängercode unter Verwendung des zweiten Verschlüsselungsschlüssels bei Kommunikation über das Fahrzeugnetzwerk zu verwenden, wobei die zweite ECU Kommunikationsdaten sendet, welchen der unter Verwendung des ersten Verschlüsselungsschlüssels erzeugte Sendercode zugewiesen ist, und die erste ECU beim Empfangen der Kommunikationsdaten den, den empfangenen Kommunikationsdaten zugewiesenen Sendercode unter Verwendung des unter Verwendung des ersten Verschlüsselungsschlüssels erzeugten Empfängercode verifiziert.
  • ZITATELISTE
  • PATENTLITERATUR
    • Patentliteratur 1: Japanische Patentoffenlegungsschrift Nr. JP 2016-116075
    • Patentliteratur 2: Japanische Patentoffenlegungsschrift Nr. JP 2016-97879 A
    • Patentliteratur 3: Japanische Patentoffenlegungsschrift Nr. JP 2015-136107 A
  • NICHT-PATENTLITERATUR
    • NICHTPATENTLITERATUR 1: Renesas Electronics Corporation, „CAN Nyuumonsho (CAN Introductory Guide (Vorläufige Übersetzu ng)) Rev. 1.00“, [online], [Suche vom 17.6.2017], Internet <U RL:https://www.renesas.com/ja-jp/doc/products/mpumcu/apn/003/ rjj05b0937 canap.pdf>
    • NICHTPATENTLITERATUR 2: K. Cho, et al., [Error Handling of In-vehicle Networks Makes Them Vulnerable], CCS '16 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, P.1044-1055
    • NICHTPATENTLITERATUR 3: Ryota Kameoka, et al., „Bus-off attack against CAN ECU using Stuff Error injection from Raspberry Pi“, 2017 Symposium on Cryptography and Information Security, 1E2-2
    • NICHTPATENTLITERATUR 4: Yoshifumi Nakayama, et al., „Shasai CAN basu niokeru denkiteki deeta kaizan no kouka (Effect of electrical data falsification in on-vehicle CAN bus (vorläufige Übersetzung))“, 2017 Symposium on Cryptography and Information Security, 1E2-3
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • (1) Eine Detektionsvorrichtung der vorliegenden Offenbarung ist konfiguriert, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus enthält, in welchem ein Rahmen, der Identifikationsinformation enthält, welche die Erkennung einer Sendequelle oder/und eines Ziels gestattet, gesendet wird. Im Bus werden eine Vielzahl der Rahmen, die Teile von Identifikationsinformation enthalten, die sich voneinander unterscheiden, gesendet. Die Detektionsvorrichtung beinhaltet: eine Überwachungseinheit, die konfiguriert ist, einen Kommunikationsfehler im Bus zu überwachen; eine Aggregationseinheit, die konfiguriert ist, einen Kommunikationsfehler-Auftrittszustand hinsichtlich der Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Überwachungseinheit zu aggregieren; und eine Detektionseinheit, die konfiguriert ist, den Angriff auf Basis eines Aggregationsergebnisses durch die Aggregationseinheit zu detektieren.
  • (6) Ein Detektionsverfahren der vorliegenden Offenbarung ist in einer Detektionsvorrichtung zu verwenden, die konfiguriert ist, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus enthält, in welchem ein Rahmen, der Identifikationsinformation enthält, die die Erkennung einer Sendequelle oder/und eines Ziels gestattet, gesendet wird. Im Bus werden eine Vielzahl der Rahmen, die Teile von Identifikationsinformation enthalten, die sich voneinander unterscheiden, gesendet. Das Detektionsverfahren beinhaltet die Schritte: Überwachen eines Kommunikationsfehler im Bus; Aggregieren eines Kommunikationsfehler-Auftrittszustands jedes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses; und Detektieren des Angriffs auf Basis eines Aggregations-Ergebnisses.
  • (7) Ein Detektionsprogramm der vorliegenden Offenbarung ist in einer Detektionsvorrichtung zu verwenden, die konfiguriert ist, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus enthält, in welchem ein Rahmen, der Identifikationsinformation enthält, die die Erkennung einer Sendequelle oder/und eines Ziels gestattet, enthält, gesendet wird. Im Bus werden eine Vielzahl der Rahmen, die Teile von Identifikationsinformation enthalten, die sich voneinander unterscheiden, gesendet. Das Detektionsprogramm ist konfiguriert, einen Computer zu veranlassen, zu fungieren als: eine Überwachungseinheit, die konfiguriert ist, einen Kommunikationsfehler im Bus zu überwachen; eine Aggregationseinheit, die konfiguriert ist, einen Kommunikationsfehler-Auftrittszustand hinsichtlich jedes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Überwachungseinheit zu aggregieren; und eine Detektionseinheit, die konfiguriert ist, den Angriff auf Basis eines Aggregationsergebnisses durch die Aggregationseinheit zu aggregieren.
  • Ein Modus der vorliegenden Offenbarung kann nicht nur als eine Detektionsvorrichtung realisiert werden, die eine solche charakteristische Verarbeitungseinheit enthält, sondern auch als ein Fahrzeugkommunikationssystem, das die Detektionsvorrichtung enthält. Ein Modus der vorliegenden Offenbarung kann als eine integrierte Halbleiterschaltung realisiert werden, die einen Teil oder die Gesamtheit der Detektionsvorrichtung realisiert.
  • Figurenliste
    • 1 zeigt eine Konfiguration eines Fahrzeugkommunikationssystems gemäß einer Ausführungsform der vorliegenden Offenbarung.
    • 2 zeigt ein Beispiel eines Datenrahmens, der in einem Fahrzeugnetzwerk gesendet wird, im Fahrzeugkommunikationssystem gemäß der Ausführungsform der vorliegenden Offenbarung.
    • 3 zeigt ein Beispiel eines Datenrahmens, der im Fahrzeugnetzwerk im Fahrzeugkommunikationssystem gemäß der Ausführungsform der vorliegenden Offenbarung gesendet wird.
    • 4 zeigt ein Beispiel eines Zustandsübergangs eines Transceivers in dem Fahrzeugkommunikationssystem gemäß der Ausführungsform der vorliegenden Offenbarung.
    • 5 illustriert einen Angriff im Fahrzeugnetzwerk gemäß der Ausführungsform der vorliegenden Offenbarung.
    • 6 illustriert einen elektrischen Daten-Falsifizierungsangriff im Fahrzeugnetzwerk gemäß der Ausführungsform der vorliegenden Offenbarung.
    • 7 zeigt eine Konfiguration einer Gateway-Vorrichtung im Fahrzeugkommunikationssystem gemäß der Ausführungsform der vorliegenden Offenbarung.
    • 8 zeigt ein Beispiel einer langen Überwachungsintervall-Periode und einer kurzen Überwachungsintervall-Periode, die in der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung verwendet werden.
    • 9 zeigt ein Beispiel einer Zusammenfassungstabelle, welche durch eine Aggregationseinheit in der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung erzeugt wird.
    • 10 zeigt ein Beispiel einer Zusammenfassungstabelle, welche durch die Aggregationseinheit in der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung erzeugt wird.
    • 11 ist ein Flussdiagramm einer Betriebsprozedur, auf welcher die Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung einen Cyber-Angriff detektiert.
    • 12 ist ein Flussdiagramm einer Betriebsprozedur, auf welcher die Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung einen Cyber-Angriff detektiert.
  • BESCHREIBUNG VON AUSFÜHRUNGSFORMEN
  • Heutzutage sind Fahrzeugnetzwerksysteme zum Verbessern der Sicherheit in Fahrzeugnetzwerken entwickelt worden.
  • [Durch die vorliegende Offenbarung zu lösendes Problem]
  • In dem in Patentliteratur 1 beschriebenen Fahrzeugkommunikationssystem unterscheidet sich ein erster Verschlüsselungsschlüssel, der in der Nachrichten-Authentifizierung durch eine erste ECU und eine zweite ECU, die mit einem Fahrzeugnetzwerk verbunden sind, zu verwenden ist, von einem zweiten Verschlüsselungsschlüssel, der durch eine dritte ECU zu verwenden ist, die sowohl mit dem Fahrzeugnetzwerk als auch einem externen Netzwerk verbunden ist, wodurch ein Cyber-Angriff aus dem externen Netzwerk auf die erste ECU und die zweite ECU, die nicht mit dem externen Netzwerk verbunden sind, verhindert wird.
  • Jedoch könnte beispielsweise unter einem Cyber-Angriff, der elektrisch ein in einem Bus, der ECUs verbindet, gesendetes Signal betreibt, die oben beschriebene Sicherheitsmaßnahme invalidiert werden.
  • In einem Fall, bei dem ein solcher Angriff unternommen worden ist, ist eine Technologie zum genauen Detektieren des Angriffs in einem Fahrzeugnetzwerk erforderlich.
  • Die vorliegende Erfindung ist gemacht worden, um das oben beschriebene Problem zu lösen. Eine Aufgabe der vorliegenden Offenbarung ist es, eine Detektionsvorrichtung, ein Detektionsverfahren und ein Detektionsprogramm bereitzustellen, die einen Angriff auf ein Fahrzeugnetzwerk genau detektieren können.
  • [Wirkung der vorliegenden Offenbarung]
  • Gemäß der vorliegenden Offenbarung kann ein Angriff auf ein Fahrzeugnetzwerk genau detektiert werden.
  • [Beschreibung von Ausführungsformen der vorliegenden Offenbarung]
  • Zuerst werden Inhalte einer Ausführungsform der vorliegenden Offenbarung aufgelistet und beschrieben.
  • (1) Eine Detektionsvorrichtung gemäß einer Ausführungsform der vorliegenden Offenbarung ist konfiguriert, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus enthält, in welchem ein Rahmen, der Identifikationsinformation beinhaltet, die eine Erkennung einer Sendequelle oder/und eines Ziels gestattet, gesendet wird. In dem Bus wird eine Vielzahl der Rahmen, die Teile von Identifikationsinformationen, die sich voneinander unterscheiden, enthalten, gesendet. Die Detektionsvorrichtung beinhaltet: eine Überwachungseinheit, die konfiguriert ist, einen Kommunikationsfehler in dem Bus zu überwachen, eine Aggregationseinheit, die konfiguriert ist, einen Kommunikationsfehler-Auftrittszustand hinsichtlich jedes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Überwachungseinheit zu aggregieren, und eine Detektionseinheit, die konfiguriert ist, den Angriff auf Basis eines Aggregations-Ergebnisses durch die Aggregationseinheit zu detektieren.
  • Aufgrund dieser Konfiguration kann der Kommunikationsfehler-Auftrittszustand hinsichtlich jeder als eine Sendequelle oder ein Ziel des Rahmens dienender Fahrzeugvorrichtung auf Basis eines Aggregations-Ergebnisses des Kommunikationsfehler-Auftrittszustands hinsichtlich jedes Teils von Identifikationsinformation erkannt werden. Weiterhin ist es möglich, eine Fahrzeugvorrichtung zu spezifizieren, in welcher ein Kommunikationsfehler unter einem solchen Cyber-Angriff aufgetreten ist, der beispielsweise ein in einem Bus gesendetes Signal elektrisch betätigt. Daher kann ein Angriff in einem Fahrzeugnetzwerk genau detektiert werden.
  • (2) Vorzugsweise detektiert die Detektionseinheit den Angriff auf Basis einer Beeinflussung in dem Kommunikationsfehler-Auftrittszustand aus den Teilen von Identifikationsinformation im Aggregations-Ergebnis.
  • Aufgrund dieser Konfiguration, auf Basis einer Beeinflussung in dem Kommunikationsfehler-Auftrittszustand von Teilen von Identifikationsinformation, ist es möglich, zu erkennen, ob Kommunikationsfehler gleichmäßig zwischen den Fahrzeugvorrichtungen im Fahrzeugnetzwerk aufgetreten sind, oder ob beispielsweise Kommunikationsfehler bei einer kleinen Anzahl spezifischer Fahrzeugvorrichtungen von den Fertigungsvorrichtungen aufgetreten sind. Entsprechend, wenn beispielsweise Kommunikationsfehler gleichmäßig zwischen den Fahrzeugvorrichtungen aufgetreten sind, kann eine Angriffs-Detektion sorgfältig bestimmt werden, auch unter Berücksichtigung des Einflusses von elektrischem Rauschen. Zusätzlich, wenn Kommunikationsfehler in einer kleinen Anzahl spezifischer Fahrzeugvorrichtungen aufgetreten sind, ist es möglich, zu bestimmen, dass es eine hohe Wahrscheinlichkeit gibt, dass Angriffe unternommen worden sind.
  • (3) Vorzugsweise detektiert die Detektionseinheit den Angriff auf Basis von: eine Gesamtsumme hinsichtlich jedes Teils der Identifikationsinformation der Anzahl von Malen des Auftretens des Kommunikationsfehlers; und eine Fehler-ID-Anzahl, welche die Anzahl von Teilen der Identifikationsinformation ist, für die ein Kommunikationsfehler aufgetreten ist.
  • Aufgrund dieser Konfiguration, wenn beispielsweise zu bestimmen ist, dass Angriffe auf Fahrzeugvorrichtungen unternommen worden sind, die eine große Anzahl von Malen von Auftreten von Kommunikationsfehler aufweisen, kann die Anzahl der Fahrzeugvorrichtungen, in denen Kommunikationsfehler aufgetreten sind, berücksichtigt werden. Somit kann genauer bestimmt werden, ob Angriffe unternommen worden sind oder nicht.
  • (4) Bevorzugterer detektiert die Detektionseinheit den Angriff auf Basis zumindest eines von: einem ersten Vergleichsergebnis zwischen einem ersten Schwellenwert und der Gesamtsumme in einem ersten Überwachungsintervall, und einem zweiten Vergleichsergebnis zwischen einem zweiten Schwellenwert und der Fehler-ID-Anzahl; und einem dritten Vergleichsergebnis zwischen einem dritten Schwellenwert und der Gesamtsumme in einem zweiten Überwachungsintervall, das aus einer Vielzahl der ersten Überwachungsintervalle aufgebaut ist, und einem vierten Vergleichsergebnis zwischen einem vierten Schwellenwert und einem Durchschnitt der Fehler-ID-Anzahl.
  • Aufgrund dieser Konfiguration, selbst wenn beispielsweise die Gesamtsumme im ersten Überwachungsintervall größer als der erste Schwellenwert ist, falls die Fehler-ID-Anzahl nicht kleiner als der zweite Schwellenwert ist, ist es vorstellbar, dass Kommunikationsfehler breit aufgetreten sind, aufgrund von elektrischem Rauschen. Somit kann eine fehlerhafte Angriffsdetektion verhindert werden. Zusätzlich, wenn beispielsweise die Gesamtsumme des ersten Überwachungsintervalls größer als der erste Schwellenwert ist und die Fehler-ID-Anzahl kleiner als der zweite Schwellenwert ist, sind Kommunikationsfehler in einer kleinen Anzahl von spezifischen Funkverbindungen aufgetreten. Somit können Angriffe auf die kleine Anzahl spezifischer Fahrzeugvorrichtungen genauer detektiert werden. Zusätzlich, selbst wenn die Gesamtsumme im zweiten Überwachungsintervall größer als der dritte Schwellenwert ist, falls der Durchschnitt der Fehler-ID-Anzahl nicht kleiner als der dritte Schwellenwert ist, ist es vorstellbar, dass Kommunikationsfehler breit aufgrund von elektrischem Rauschen aufgetreten sind. Somit kann eine fehlerhafte Angriffs-Detektion verhindert werden. Wenn beispielsweise die Gesamtsumme im zweiten Überwachungsintervall größer als der dritte Schwellenwert ist und der Durchschnitt der Fehler-ID-Anzahl kleiner als der vierte Schwellenwert ist, sind Kommunikationsfehler in einer kleinen Anzahl spezifischer Fahrzeugvorrichtungen aufgetreten. Somit können Angriffe auf die kleine Anzahl spezifischer Fahrzeugvorrichtungen genauer detektiert werden.
  • (5) Bevorzugterer Weise detektiert die Detektionseinheit den Angriff auf Basis zumindest eines von: dem ersten Vergleichsergebnis, dem zweiten Vergleichsergebnis und einem Vergleichsergebnis zwischen einem fünften Schwellenwert, der größer ist als der zweite Schwellenwert, und der Fehler-ID-Anzahl; und dem dritten Vergleichsergebnis, dem vierten Vergleichsergebnis und einem Vergleichsergebnis zwischen einem sechsten Schwellenwert, der größer ist als der vierte Schwellenwert, und dem Durchschnitt.
  • Wenn beispielsweise die Fehler-ID-Anzahl im ersten Überwachungsintervall oder/und der Durchschnitt der Fehler-ID-Anzahl im zweiten Überwachungsintervall signifikant groß ist, wird angenommen, dass eine große Anzahl von Fahrzeugvorrichtungen im Fahrzeugnetzwerk angegriffen werden. Aufgrund der oben beschriebenen Konfiguration kann ein Angriffssturm auf die Fahrzeugvorrichtungen im Fahrzeugnetzwerk genauer detektiert werden.
  • (6) Ein Detektionsverfahren gemäß einer Ausführungsform der vorliegenden Offenbarung ist in einer Detektionsvorrichtung zu verwenden, die konfiguriert ist, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus beinhaltet, in welchem ein Rahmen, der Identifikationsinformation enthält, die die Erkennung einer Sendequelle oder/und eines Ziels gestattet, gesendet wird. Im Bus werden eine Vielzahl von Rahmen, die Teile von, zueinander unterschiedlicher Identifikationsinformation enthalten, gesendet. Das Detektionsverfahren beinhaltet die Schritte: Überwachen eines Kommunikationsfehlers im Bus; Aggregieren eines Kommunikationsfehler-Auftrittszustands hinsichtlich jenes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses; und Detektieren des Angriffs auf Basis eines Aggregations-Ergebnisses.
  • Aufgrund dieser Konfiguration kann der Kommunikationsfehler-Auftrittszustand hinsichtlich jeder als eine Sendequelle oder ein Ziel des Rahmens dienenden Fahrzeugvorrichtung auf Basis eines Aggregations-Ergebnisses des Kommunikationsfehler-Auftrittszustands hinsichtlich jedes Teils von Identifikationsinformation erkannt werden. Entsprechend ist es möglich, eine Fahrzeugvorrichtung zu spezifizieren, in der ein Kommunikationsfehler unter einem solchen Cyber-Angriff aufgetreten ist, der elektrisch ein beispielsweise in einen Bus gesendetes Signal betreibt. Daher kann ein Angriff in einem Fahrzeugnetzwerk genau detektiert werden.
  • (7) Ein Detektionsprogramm gemäß einer Ausführungsform der vorliegenden Offenbarung ist in einer Detektionsvorrichtung zu verwenden, die konfiguriert ist, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus enthält, in welchem ein, Identifikationsinformation, welche die Erkennung einer Sendequelle oder/und eines Ziels gestattet, enthaltender Rahmen gesendet wird. Im Bus wird eine Vielzahl der Rahmen, die Teile von Identifikationsinformation enthalten, die sich voneinander unterscheiden, gesendet. Das Detektionsprogramm ist konfiguriert, einen Computer zu veranlassen, zu fungieren als: eine Überwachungseinheit, die konfiguriert ist, einen Kommunikationsfehler im Bus zu überwachen; eine Aggregationseinheit, die konfiguriert ist, einen Kommunikationsfehler-Auftrittszustand hinsichtlich jedes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Überwachungseinheit zu aggregieren; und eine Detektionseinheit, die konfiguriert ist, den Angriff auf Basis eines Aggregationsergebnisses durch die Aggregationseinheit zu detektieren.
  • Aufgrund dieser Konfiguration kann der Kommunikationsfehler-Auftrittszustand hinsichtlich jeder als eine Sendequelle oder ein Ziel des Rahmens dienenden Fahrzeugvorrichtung auf Basis eines Aggregations-Ergebnisses des Kommunikationsfehler-Auftrittszustands hinsichtlich jedes Teils von Identifikationsinformation erkannt werden. Entsprechend ist es möglich, eine Fahrzeugvorrichtung zu spezifizieren, in welcher ein Kommunikationsfehler unter einem solchen Cyber-Angriff aufgetreten ist, der ein beispielsweise in einem Bus gesendetes Signal elektrisch betreibt. Daher kann ein Angriff in einem Fahrzeugnetzwerk genau detektiert werden.
  • Nachfolgend werden Ausführungsformen der vorliegenden Offenbarung unter Bezugnahme auf die Zeichnungen beschrieben. In den Zeichnungen werden dieselben oder entsprechende Teile durch dieselben Bezugszeichen bezeichnet und deren Beschreibungen werden nicht wiederholt. Zumindest einige Teile der Ausführungsformen, die unten beschrieben sind, können nach Wunsch miteinander kombiniert werden.
  • [Konfiguration und Basisbetrieb]
  • 1 zeigt eine Konfiguration eines FahrzeugKommunikationssystems gemäß einer Ausführungsform der vorliegenden Offenbarung.
  • Unter Bezugnahme auf 1 beinhaltet ein Fahrzeugkommunikationssystem 301 eine Gateway-Vorrichtung (Detektionsvorrichtung) 101 und eine Vielzahl von Fahrzeug-ECUs (Elektronik-Steuereinheiten) 121.
  • Das Fahrzeugkommunikationssystem 301 ist in einem Fahrzeug 1 montiert. Das Fahrzeugnetzwerk 12 beinhaltet eine Vielzahl von Fahrzeug-ECUs 121 und eine Gateway-Vorrichtung 101, die Beispiele für Fahrzeugvorrichtungen im Fahrzeug 1 sind.
  • Busse 13A, 13B, 13C und 13D sind mit der Gateway-Vorrichtung 101 verbunden. Nachfolgend wird jeder der Busse 13A, 13B, 13C und 13D auch als ein Bus 13 bezeichnet.
  • Die Gateway-Vorrichtung 101 muss nicht notwendigerweise vier Busse 13 aufweisen, die damit verbunden sind, und kann drei oder weniger Busse 13 oder 5 oder mehr Busse 13, die damit verbunden sind, aufweisen.
  • Jeder Bus 13 weist beispielsweise eine Vielzahl von damit verbundenen Fahrzeug-ECUs 121 auf. Beispielsweise ist der Bus 13 ein Bus gemäß dem CAN- (Controller Area Network) (registrierte Marke) Standard, der in Nichtpatentliteratur 1 (Renesas Electronics Corporation, „CAN Nyuumonsho (CAN Introductory Guide (vorläufige Übersetzung)) Rev. 1.00“, [online], [Suche am 17.6.2017], Internet <URL:https://www.renesas.com/jajp/doc/products/mpumcu/apn/003/rjj05b0937 canap.pdf>) beschrieben ist.
  • Der Bus 13 muss nicht notwendigerweise eine Vielzahl von Fahrzeug-ECUs 121, die damit verbunden sind, aufweisen und kann eine damit verbundene Fahrzeug-ECU 121 aufweisen. Der Bus 13 kann ein Bus gemäß einem Standard von FlexRay (registrierte Marke), MOST (Media Oriented Systems Transport) (registrierte Marke), Ethernet (registrierte Marke), LIN (Local Interconnect Network) oder dergleichen sein.
  • Die Fahrzeug-ECUs 121 sind beispielsweise eine TCU (Telematics Communication Unit), eine automatische Fahr-ECU, eine Motor-ECU, ein Sensor, eine Navigationsvorrichtung, eine Mensch-Maschine-Schnittstelle, eine Kamera, und dergleichen.
  • Die Gateway-Vorrichtung 101 kann mit den Fahrzeug-ECUs 121 über Busse 13 kommunizieren. Die Gateway-Vorrichtung 101 führt einen Prozess des Weiterreichens von Information, die zwischen Fahrzeug-ECUs 121, die mit verschiedenen Bussen 13 im Fahrzeug 1 verbunden sind, gesendet/empfangen werden.
  • 2 zeigt ein Beispiel eines Datenrahmens, der im Fahrzeugnetzwerk im Fahrzeugkommunikationssystem gemäß der Ausführungsform der vorliegenden Offenbarung gesendet wird. In 2 ist ein Datenrahmen in einem Standardformat gezeigt.
  • Unter Bezugnahme auf 2 wird in einem Bus 13 der Datenrahmen zwischen Zwischenrahmenräumen IFS (Inter-Frame Spaces) gesendet.
  • Der Datenrahmen hat ab dem Anfang Regionen von SOF (Start Of Frame, Beginn des Rahmens), ID (Identifizierer), RTR (Remote Transmission Request; Fernsendeanfrage), CONTROL, DATA, CRC (Cyclic Redundancy Check, zyklische Redundanzprüfung), CRC DELIMITER, ACK SLOT, ACK DELIMITER, und EOF (End Of Frame, Ende des Rahmens).
  • Jede Region weist eine Länge einer entsprechenden Anzahl von Bits auf. Das Niveau des Bits in jeder Region ist eines von: rezessiv-fixiert, dominant-fixiert und variabel zwischen entweder rezessiv oder dominant.
  • Spezifisch weist die SOF-Region eine Länge von 1 Bit auf. Der Pegel von 1 Bit in der SOF-Region ist dominant fixiert.
  • Die ID-Region weist eine Länge von 11 Bit auf. Der Pegel der 11 Bits in der ID-Region ist zwischen entweder rezessiv oder dominant variabel.
  • Der Wert, der durch 11 Bits in der ID-Region (nachfolgend auch als CAN-ID bezeichnet) angegeben wird, ist ein Beispiel von Identifikations-Information und gestattet die Erkennung der Sendequelle und des Ziels des Datenrahmens.
  • Die CAN-ID gibt den Typ von Daten, der beispielsweise in dem Datenrahmen enthalten ist, an.
  • Eine Vielzahl von, CAN-IDs enthaltenden Datenrahmen, die sich voneinander unterscheiden, werden in einem Bus 13 im Fahrzeugnetzwerk 12 gesendet.
  • Im Fahrzeugnetzwerk 12 wird ein Datenrahmen durch beispielsweise rundfunken gesendet. Wenn beispielsweise eine mit einem Bus 13 verbundene Fahrzeugvorrichtung, als ein Sendeknoten, einen Datenrahmen, der eine CAN-ID beinhaltet, die vorab eingestellt ist, rundfunkt, arbeitet eine andere mit dem Bus 13 verbundene Fahrzeugvorrichtung als ein Empfangsknoten und empfängt den rundgefunkten Datenrahmen.
  • Zu dieser Zeit bestimmt der Empfangsknoten, ob der empfangene Datenrahmen für den Empfangsknoten selbst notwendig ist oder nicht, auf Basis der in den empfangenen Datenrahmen enthaltenen CAN-ID.
  • Im Fahrzeugnetzwerk 12 bestimmt ein Empfangsknoten, dass der empfangene Datenrahmen für den Empfangsknoten selbst in einigen Fällen notwendig ist und bestimmt eine Vielzahl von Empfangsknoten, dass der empfangene Datenrahmen für den Empfangsknoten selbst in anderen Fällen notwendig ist.
  • Wie oben beschrieben, können im Fahrzeugnetzwerk 12, auf Basis der in einem Datenrahmen enthaltenen CAN-ID die Sendequelle und das Ziel des Datenrahmens spezifiziert werden.
  • Zusätzlich wird beispielsweise die CAN-ID zum Bereitstellen einer Priorität bei Kommunikations-Arbitrierung verwendet.
  • Im Bus 13 erfasst eine Fahrzeug-ECU 121, die zuerst einen Datenrahmen gesendet hat, ein Senderecht gemäß CAMA/CA (Carrier Sense Multiple Access with Collision Avoidance, Trägerprüfungs-Mehrfachzugriff mit Kollisionsvermeidungs-)-Schema.
  • Wenn beispielsweise zwei oder mehr Fahrzeug-ECUs 121 das Senden von Datenrahmen im Wesentlichen gleichzeitig gestartet haben, wird eine Arbitrierung ab dem ersten Bit der ID-Regionen durchgeführt, und einer Fahrzeug-ECU 121, die kontinuierlich den dominanten Pegel für die längste Zeit gesendet hat, wird gestattet, den Datenrahmen zu senden. Die Fahrzeug-ECUs 121, die die Verlierer in der Arbitrierung geworden sind, stoppen die Übertragung der Datenrahmen und starten eine Empfangsoperation.
  • Im Fahrzeugnetzwerk 12 entsprechen der Rezessiv-Pegel und der Dominanz-Pegel einem Logikwert 1 bzw. einem Logikwert 0. Somit wird ein Datenrahmen, der eine kleinere CAN-ID enthält, bevorzugt gesendet.
  • 3 zeigt ein Beispiel eines Datenrahmens, der im Fahrzeugnetzwerk im Fahrzeugkommunikationssystem gemäß einer Ausführungsform der vorliegenden Offenbarung gesendet wird. In 3 ist ein Datenrahmen in einem erweiterten Format gezeigt.
  • Bezug nehmend auf 3, im Vergleich mit dem Datenrahmen im Standard-Format, das in 2 gezeigt ist, wird ein Datenrahmen in dem erweiterten Format weiter mit Regionen von SRR (Substitute Remote Request, Ersatzfernabfrage), DIE (Identifier Extension, Identifizierer-Erweiterung), und EXTENDED ID zwischen der ID-Region und der RTR-Region bereitgestellt.
  • [Bus-off-Angriff]
  • 4 zeigt ein Beispiel von Zustandsübergang eines Transceivers im Fahrzeugkommunikationssystem gemäß einer Ausführungsform der vorliegenden Offenbarung.
  • Unter Bezugnahme auf 4 sind die Gateway-Vorrichtung 101 und jede Fahrzeug-ECU 121, welche Kommunikation über einen Bus 13 durchführen, mit einem Transceiver versehen. Der Transceiver weist einen Sendefehlerzähler TEC und einen Empfangsfehlerzähler (REC) auf.
  • Der Transceiver arbeitet gemäß einem CAN-Kommunikations-Standard und nimmt einen von einem Fehler-Aktivzustand, einem Fehler-Passivzustand und einem Bus-off-Zustand an.
  • Der Fehler-Aktivzustand ist ein Zustand, in welchem der Transceiver normal eine Kommunikation auf dem Bus 13 teilnehmen kann. Der Fehler-Passivzustand ist ein Zustand, in welchem ein Fehler leicht auftritt. Der Bus-off-Zustand ist ein Zustand, in welchem der Transceiver nicht bei der Kommunikation auf dem Bus 13 teilnimmt und bei dem alle Kommunikationen gehemmt sind.
  • Wenn ein Transceiver im Fehler-Aktivzustand oder Fehler-Passivzustand einen Fehler detektiert hat, sendet der Transceiver an den Bus 13 einen Fehlerrahmen, der angibt, dass ein Fehler detektiert worden ist. Zusätzlich, wenn beispielsweise der Transceiver einen Fehler während der Übertragung von Daten in einem Pro-ID-Protokollfehler-Überwachungsabschnitt detektiert worden ist (siehe 2 und 3), suspendiert der Transceiver die Übersendung eines Datenrahmens in einigen Fällen.
  • Wenn der Transceiver einen Fehler detektiert hat, während er als Sendeeinheit arbeitet, erhöht der Transceiver den Zählwert des Sendefehlerzählers TEC gemäß dem Inhalt des detektierten Fehlers.
  • Wenn der Transceiver einen Fehler detektiert hat, während er als eine Empfangseinheit arbeitet, erhöht der Transceiver den Zählwert des Empfangs-Fehlerzählers REC gemäß dem Inhalt des detektierten Fehlers.
  • Wenn der Transceiver in der Lage gewesen ist, eine Nachricht ohne Detektieren eines Fehlers zu senden, während er als eine Sendeeinheit arbeitet, dekrementiert der Transceiver den Zählwert des Sendefehlerzählers TEC.
  • Wenn der Transceiver in der Lage gewesen ist, eine Nachricht ohne Detektieren eines Fehlers zu empfangen, während er als eine Empfangseinheit arbeitet, dekrementiert der Zähler den Zählwert des Empfangsfehlerzählers REC.
  • Wenn beispielsweise der Transceiver aktiviert ist, geht der Transceiver in einen Fehler-Aktivzustand über einen Anfangszustand.
  • Ein Transceiver, der im Fehler-Aktivzustand ist, geht zu dem Fehler-Passivzustand über, wenn der Zählwert des Sendefehlerzählers TEC oder der Zählwert des Empfangsfehlerzählers REC größer als 127 geworden ist.
  • Ein Transceiver, der in dem Fehler-Passivzustand ist, geht zum Fehler-Aktivzustand über, wenn sowohl der Zählwert des Sendefehlerzählers TEC als auch der Zählwert des Empfangsfehlerzählers REC kleiner als 128 geworden sind.
  • Ein Transceiver, der im Fehler-Passivzustand ist, geht zum Bus-off-Zustand über, wenn der Zählwert des Sendefehlerzählers TEC größer als 255 geworden ist.
  • Wenn ein Transceiver im Bus-off-Zustand 11 kontinuierliche rezessive Bits 128 Mal auf den Bus 13 detektiert hat, setzt der Transceiver sowohl den Zählwert des Sendefehlerzählers TEC als auch den Zählwert des Empfangsfehlerzählers REC auf Null zurück und geht zum Fehler-Aktivzustand über.
  • 5 illustriert einen Angriff im Fahrzeugnetzwerk gemäß der Ausführungsform der vorliegenden Offenbarung.
  • Unter Bezugnahme auf 5 sind Fahrzeug-ECUs 121A, 121B, die Fahrzeug-ECUs 121 sind, und eine Angriffsvorrichtung 123 mit dem Bus 13 verbunden. Die Fahrzeug-ECUs 121A, 121B enthalten beide einen Transceiver 122.
  • Eine Bus-off-Attacke ist beispielsweise in Nicht-Patentliteratur 2 (K. Cho, und ein anderer, [Error Handling of In-vehicle Networks Makes Them Vulnerable], CCS '16 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, P.1044-1055) und Nicht-Patentliteratur 3 (Ryota Kameoka, und fünf weitere, „Bus-off attack against CAN ECU using Stuff Error injection from Raspberry Pi“, 2017 Symposium on Cryptography and Information Security, 1E2-2), beschrieben.
  • In der Bus-off-Attacke greift die Angriffsvorrichtung 123 eine Selbstinspektionsfunktion eines Transceivers 122 in einer Fahrzeug-ECU 121 eines Angriffsziels an und veranlasst die Fahrzeug-ECU 121, fehlerhaft zu erkennen, dass die Sendequalität des Transceivers 122 abgenommen hat, wodurch die Fahrzeug-ECU 121 des Angriffsziels veranlasst wird, sich vom Bus 13 zu trennen. Als Ergebnis kann die angegriffene Fahrzeug-ECU 121 keinerlei Kommunikation mehr durchführen.
  • Spezifischer, wenn beispielsweise ein Datenrahmen gesendet wird, führt der Transceiver 122 auch den Empfang gleichzeitig durch, wodurch bestätigt wird, ob dieselben Daten wie die zum Bus 13 gesendeten Daten aus dem Bus 13 empfangen werden oder nicht.
  • Wenn aus dem Bus 13 dieselben Daten wie die Daten empfangen worden sind, die an den Bus 13 gesendet wurden, bestimmt der Transceiver 122, dass die Übertragung normal durchgeführt worden ist. Wenn andererseits aus dem Bus 13 Daten empfangen worden sind, die sich von den an den Bus 13 gesendeten Daten unterscheiden, bestimmt der Transceiver 122, dass ein Fehler in der Übertragung aufgetreten hat.
  • Spezifischer, wenn beispielsweise die Angriffsvorrichtung 123 die Fahrzeug-ECU 121B attackiert, überschreibt die Angriffsvorrichtung 123 ein durch die Fahrzeug-ECU 121B gesendetes rezessives Bit mit einem dominanten Bit im Pro-ID-Protokollfehler-Überwachungsabschnitt (siehe 2 und 3) .
  • Als Ergebnis empfängt der Transceiver 122 in der Fahrzeug-ECU 121B ein dominantes Bit, obwohl er ein rezessives Bit gesendet hat. Somit bestimmt der Transceiver 122 in der Fahrzeug-ECU 121B, dass ein Fehler bei der Übertragung aufgetreten ist, und vergrößert den Zählwert des Sendefehlerzählers TEC.
  • Die Angriffsvorrichtung 123 wiederholt diesen Angriff und entsprechend wird der Zählwert des Sendefehlerzählers TEC im Transceiver 122 der Fahrzeug-ECU 121B weiter gesteigert. Wenn der Zählwert des Sendefehlerzählers TEC größer als 255 wird, geht der Transceiver 122 der Fahrzeug-ECU 121B in den Bus-off-Zustand über. Als Ergebnis kann der Transceiver 122 nicht mehr an der Kommunikation auf dem Bus 13 teilnehmen.
  • [Elektrischer Daten-Falsifizierungs-Angriff]
  • 6 illustriert einen elektrischen Daten-Falsifizierungs-Angriff im Fahrzeugnetzwerk gemäß der Ausführungsform der vorliegenden Offenbarung.
  • Bezugnehmend auf 6 sind ein Synchronisierungs-Segment SS, eine Ausbreitungszeit-Segment PTS, ein Phasenpuffer-Segment PBS1 und ein Phasenpuffer-Segment PBS2 in der Periode von 1 Bit in einem in 2 und 3 gezeigten Datenrahmen enthalten.
  • Jedes Segment wird im Hinblick auf eine Minimalzeiteinheit gebildet, die Tq (Zeit-Quantum, Time quantum) genannt wird. Die Anzahl von Tp von SS ist auf 1 fixiert. Die Anzahl von Tq jedes von als PTS, PBS1 und PBS2 kann auf einen beliebigen Wert in einem vorbestimmten Bereich eingestellt werden.
  • Ein Abtastpunkt SP ist zwischen PBS1 und PBS2 vorgesehen. Im Fahrzeugnetzwerk 12 werden die Anzahlen von Tq von PTS, PBS1 und PBS2 auf verschiedene Werte für jede Fahrzeug-ECU 121 eingestellt. Somit werden der Abtastpunkt SP jeder Fahrzeug-ECU 121 im Fahrzeugnetzwerk 12 im Allgemeinen variiert.
  • Ein elektrischer Daten-Falsifizierungs-Angriff wird in Nicht-Patentliteratur 4 (Yoshifumi Nakayama, and three others, „Shasai CAN basu niokeru denkiteki deeta kaizan no kouka (Effect of electrical data falsification in on-vehicle CAN bus (vorläufige Übersetzung))“, 2017 Symposium on Cryptography and Information Security, 1E2-3) beschrieben.
  • In einem elektrischen Daten-Falsifizierungs-Angriff wird ein Angriff auf eine Empfangseinheit durchgeführt, die einen Abtastpunkt SP aufweist, welcher später als der Abtastpunkt SP einer Sendeeinheit liegt.
  • Beispielsweise wird in 5 eine Situation angenommen, in welcher der Transceiver 122 in der Fahrzeug-ECU 121B und der Transceiver 122 in der Fahrzeug-ECU 121A als eine Sendeeinheit bzw. eine Empfangseinheit arbeiten.
  • In diesem Beispiel ist der Abtastpunkt SP in der Sendeeinheit am vierten Tq ab dem Anfang eines Bits und ist der Abtastpunkt SP in der Empfangseinheit am sechsten Tq ab dem Anfang eines Bits.
  • Die Angriffsvorrichtung 123 führt keine Falsifizierung am Abtastpunkt SP der Sendeeinheit durch und sendet an den Bus 13 ein elektrisches Signal zur Daten-Falsifizierung am Abtastpunkt SP der Empfangseinheit, wodurch die Daten aus der Sendeeinheit falsifiziert werden. Entsprechend wird es möglich, durch die Empfangseinheit zu empfangende Daten zu falsifizieren, während eine Bitfehler-Detektion in der Sendeeinheit vermieden wird.
  • Spezifischer, in einem Fall, bei dem die Sendeeinheit ein Datenbit sendet, sendet die Angriffsvorrichtung 123 einen Bus 13, ein elektrisches Signal zum Falsifizieren des Datenbits zu einer Zeitperiode nach dem vierten Tq ab dem Anfang des Bits und vor dem sechsten Tq.
  • Die Sendeeinheit erfasst am Abtastpunkt SP am vierten Tq das durch die Sendeeinheit selbst gesendete Datenbit und bestimmt somit, dass die Übertragung normal durchgeführt worden ist.
  • Andererseits erfasst die Empfangseinheit am sechsten Tq ein unautorisiertes Datenbit, das durch die Angriffsvorrichtung 123 falsifiziert worden ist.
  • In einem solchen elektrischen Daten-Falsifizierungsangriff detektiert weder die Sendeeinheit noch die Empfangseinheit einen Fehler.
  • Jedoch, wie oben beschrieben, da die Abtastpunkte SP der entsprechenden Fahrzeug-ECUs 121 variiert werden, wird angenommen, dass es schwierig ist, elektrische Daten-Falsifizierungsangriffe durchzuführen, ohne dass irgendein Fehler durch eine der Fahrzeug-ECUs 121 im Fahrzeugnetzwerk 12 detektiert wird.
  • Daher detektieren im Allgemeinen einige der Fahrzeug-ECUs 121 im Fahrzeugnetzwerk 12 elektrische Daten-Falsifizierungsangriffe und senden Fehlerrahmen an den Bus 13.
  • Eine Technologie, die eine genauere Detektion eines Angriffs in einem Fahrzeugnetzwerk 12 erlaubt, wie oben beschrieben, wie etwa ein Bus-off-Angriff und ein elektrischer Daten-Falsifizierungsangriff, wird erwünscht.
  • Somit löst eine Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung das Problem durch unten beschriebene Konfiguration und Operation.
  • [Konfiguration von Gateway-Vorrichtung 101]
  • 7 zeigt eine Konfiguration der Gateway-Vorrichtung des Fahrzeugkommunikationssystems gemäß der Ausführungsform der vorliegenden Offenbarung.
  • Unter Bezugnahme auf 7 beinhaltet die Gateway-Vorrichtung 101 Sende-/Empfangs-Einheiten (Überwachungseinheiten) 51A, 51B, 51C und 51D, eine Relais-Einheit 52, eine Aggregationseinheit 54, eine Detektionseinheit 55 und eine Speichereinheit 56. Nachfolgend wird jede der Sende-/Empfangseinheiten 51A, 51B, 51C und 51D auch als eine Sende-/Empfangseinheit 51 bezeichnet.
  • Die Gateway-Vorrichtung 101 muss nicht notwendigerweise vier Sende-/Empfangseinheiten 51 enthalten, und kann drei oder weniger oder fünf oder mehr Sende-/Empfangseinheiten 51 beinhalten.
  • Die Gateway-Vorrichtung 101 fungiert als eine Detektionsvorrichtung und detektiert Angriffe im Fahrzeugnetzwerk 12, das Busse 13 enthält, durch welche Datenrahmen, die Identifikationsinformation enthalten, gesendet werden.
  • Spezifischer ist jede Sende-/Empfangseinheit 51 beispielsweise ein Transceiver und ist mit einem Bus 13 verbunden. Spezifisch sind die Sende-/Empfangseinheiten 51A, 51B, 51C und 51D mit den Bussen 13A, 13B, 13C bzw. 13D verbunden.
  • Wenn eine Sende-/Empfangseinheit 51 einen Datenrahmen aus dem Bus 13, mit welchem die Sende-/Empfangseinheit 51 selbst verbunden ist, empfängt, erfasst die Sende-/Empfangseinheit 51 eine CAN-ID aus dem Pegel jedes Bits, das in einem ID-Überwachungsabschnitt empfangen wird (siehe 2 und 3) .
  • Auf Basis der erfassten CAN-ID bestimmt die Sende-/Empfangseinheit 51, ob der empfangene Datenrahmen ein Rahmen ist, der weitergereicht werden muss oder nicht.
  • Wenn bestimmt worden ist, dass der empfangene Datenrahmen ein Rahmen ist, der weitergegeben werden muss, gibt die Sende-/Empfangseinheit 51 den Datenrahmen an die Weiterleiteinheit 52 aus.
  • Die Weiterleiteinheit 52 führt einen Prozess des Weiterleitens eines Datenrahmens durch. Spezifisch, wenn beispielsweise die Weiterleiteinheit 52 einen Datenrahmen aus der Sende-/Empfangseinheit 51A empfangen hat, spezifiziert die Weiterleiteinheit 52 eine Sende-/Empfangseinheit 51, an welche der Datenrahmen auszugeben ist, auf Basis der in dem empfangenen Datenrahmen enthaltenen CAN-ID.
  • Spezifischer weist die Weiterleiteinheit 52 beispielsweise eine Tabelle auf, die eine Korrespondenzbeziehung zwischen CAN-IDs und den Sende-/Empfangseinheiten 51 angibt. In diesem Beispiel, auf Basis der Entsprechungsbeziehung, spezifiziert die Weiterleiteinheit 52 die Sende-/Empfangseinheit 51B als die Sende-/Empfangseinheit 51, die der CAN-ID entspricht. Dann gibt die Weiterleiteinheit 52 den Datenrahmen an die Sende-/Empfangseinheit 51B aus.
  • Beim Empfang des Datenrahmens aus der Weiterleiteinheit 52 sendet die Sende-/Empfangseinheit 51B den empfangenen Datenrahmen an den Bus 13B.
  • Zusätzlich überwacht die Sende-/Empfangseinheit 51 einen Kommunikationsfehler in einem Bus 13. Spezifischer, nachdem die Sende-/Empfangseinheit 51 eine CAN-ID in dem ID-Überwachungsabschnitt erfasst hat, überwacht die Sende-/Empfangseinheit 51 die Bitkette in dem Pro-ID-Protokollfehler-Überwachungsabschnitt.
  • Wenn beispielsweise die Sende-/Empfangseinheit 51 die Suspendierung der Übertragung eines Datenrahmens durch eine Fahrzeug-ECU 121 als einer Sendequelle detektiert hat, und wenn die Sende-/Empfangseinheit 51 eine Fehlerrahmen empfangen hat, bestimmt die Sende-/Empfangseinheit 51, dass ein Kommunikationsfehler aufgetreten ist.
  • Dann teilt die Sende-/Empfangseinheit 51 der Aggregationseinheit 54 die CAN-ID des Datenrahmens, für welche die Sende-/Empfangseinheit 51 bestimmt hat, dass ein Kommunikationsfehler aufgetreten ist, mit.
  • 8 zeigt ein Beispiel einer langen Überwachungsintervall-Periode und einer kurzen Überwachungsintervall-Periode, die in der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung verwendet werden. In 8 repräsentiert die horizontale Achse Zeit.
  • Unter Bezugnahme auf 8, auf Basis eines Überwachungsergebnisses durch die Sende-/Empfangseinheit 51 aggregiert die Aggregationseinheit 54 den Kommunikationsfehlerauftritts-Zustand hinsichtlich jedes Teils von Identifikationsinformation.
  • Spezifischer stellt beispielsweise die Aggregationseinheit 54 eine lange Überwachungsintervall-Periode LT ein, welche die kurzen Überwachungsintervall-Perioden ST1, ST2, ST3, ST4 und ST5 beinhaltet. Die kurzen Überwachungsintervall-Perioden ST1 bis ST5 sind zueinander kontinuierlich. Nachfolgend wird jede der kurzen Überwachungsintervall-Perioden ST1, ST2, ST3, ST4 und ST5 auch als eine kurze Überwachungsintervall-Periode ST bezeichnet.
  • Die Aggregationseinheit 54 muss nicht notwendigerweise die lange Überwachungsintervall-Periode LT einstellen, die fünf kurze Überwachungsintervall-Perioden ST enthält, und kann eine lange Überwachungsintervall-Periode LT einstellen, die zwei, drei, vier, sechs oder mehr kurze Überwachungsintervall-Perioden ST beinhaltet.
  • 9 zeigt ein Beispiel einer Zusammenfassungstabelle, welche durch die Aggregationseinheit in der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung erzeugt wird.
  • Unter Bezugnahme auf 9 erzeugt und hält beispielsweise die Aggregationseinheit 54 für jede Sende-/Empfangseinheit 51 eine Zusammenfassungstabelle Tbl1, die einen Gesamtwert der Anzahl von Malen des Auftritts von einem Kommunikationsfehler in jeder kurzen Überwachungsintervall-Periode ST und einen Gesamtwert der Anzahl von Malen des Auftritts von Kommunikationsfehlern in der langen Überwachungsintervall-Periode LT beinhaltet. Die in 9 gezeigte Zusammenfassungstabelle Tbl1 ist beispielsweise eine Zusammenfassungstabelle für die Sende-/Empfangseinheit 51A.
  • Die Zusammenfassungstabelle Tbll ist mit Zeilen ausgestattet, die der Anzahl von CAN-IDs entsprechen, die in dem Fahrzeugnetzwerk 12 verwendet werden und in jeder Zeile sind Felder entsprechend der kurzen Überwachungsintervall-Periode ST1 bis ST5 und der langen Überwachungsintervall-Periode LT vorgesehen.
  • Jedes Mal, wenn die Aggregationseinheit 54 eine Mitteilung einer CAN-ID aus der Digitalsignal-Ausgabeschaltung 51a empfängt, führt die Aggregationseinheit 54 den nachfolgenden Prozess durch.
  • Nämlich in der Zusammenfassungstabelle Tbl1, in einer Zeile, die der mitgeteilten CAN-ID entspricht, inkrementiert die Aggregationseinheit 54 die Anzahl von Malen des Auftretens eines Protokollfehlers in dem Feld, der der kurzen Überwachungsintervall-Periode ST entspricht, welche den Zeitpunkt beinhaltet, zu welchem die Mitteilung empfangen worden ist.
  • Spezifisch, wenn beispielsweise die Aggregationseinheit 54 eine Mitteilung von „1“ als die CAN-ID aus der Sende-/Empfangseinheit 51A in der kurzen Überwachungsintervall-Periode ST1 empfangen hat, inkrementiert die Aggregationseinheit 54 die Anzahl von Malen des Auftretens eines Protokollfehlers in einem Feld, welcher der kurzen Überwachungsintervall-Periode ST1 in der Zylinder entspricht, deren CAN-ID „1“ ist.
  • Als ein Ergebnis der einen solchen Prozess durchführenden Aggregationseinheit 54, wenn die kurze Überwachungsintervall-Periode ST1 abgeschlossen ist, werden jeweils 5 Mal, 5 Mal und 0 Mal aufgezeichnet, in den Zeilen ,deren CAN-IDs „1“, „2“, und „N“ in der Zusammenfassungstabelle Tbl1 sind, als die Anzahl von Malen des Auftretens eines Protokollfehlers in den Feldern, die der kurzen Überwachungsintervall-Periode ST1 entsprechen.
  • Die Aggregationseinheit 54 führt denselben Prozess auch in der kurzen Überwachungsintervall-Periode ST2 bis zur kurzen Überwachungsintervall-Periode ST5 durch.
  • Dann, wenn die lange Überwachungsintervall-Periode LT abgeschlossen ist, schreibt die Aggregationseinheit 54 in die Zusammenfassungstabelle Tbl1 die Anzahl von Malen des Auftretens von Protokollfehlern hinsichtlich jeder CAN-ID in der langen Überwachungsintervall-Periode LT.
  • Spezifischer berechnet die Aggregationseinheit 54 für jede CAN-ID einen Gesamtwert der Anzahl von Malen des Auftretens von Protokollfehler in den kurzen Überwachungsintervall-Perioden ST1 bis ST5.
  • Für jede CAN-ID schreibt die Aggregationseinheit 54 den berechneten Gesamtwert in ein Feld, das der langen Überwachungsintervall-Periode LT in der Zeile der CAN-ID entspricht.
  • Spezifisch, beispielsweise in der Zeile, deren CAN-ID „1“ ist, führt die Aggregationseinheit 54 eine Berechnung durch und ermittelt 50 als einen Gesamtwert der Anzahl von Malen des Auftretens eines Protokollfehlers in den kurzen Überwachungsintervall-Perioden ST1 bis ST5.
  • Die Aggregationseinheit 54 schreibt die berechneten 50 in ein Feld, das der langen Überwachungsintervall-Periode LT in der Zeile entspricht, deren CAN-ID „1“ ist.
  • 10 zeigt ein Beispiel einer Zusammenfassungstabelle, welche durch die Aggregationseinheit in der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung erzeugt ist.
  • Unter Bezugnahme auf 10 erzeugt und hält beispielsweise die Aggregationseinheit 54 für jede Sende-/Empfangseinheit 51 eine Zusammenfassungstabelle Tbl2, die eine Intra-Bus-Protokollfehlerverteilung in jeder kurzen Überwachungsintervall-Periode ST und einen Durchschnitt der Intra-Bus-Protokollfehlerverteilung in der langen Überwachungsintervall-Periode LT enthält. Die Zusammenfassungstabelle Tbl2, die in 10 gezeigt ist, ist beispielsweise eine Zusammenfassungstabelle für die Sende-/Empfangseinheit 51A.
  • Die Zusammenfassungstabelle Tbl2 ist mit Feldern versehen, die jeweils der kurzen Überwachungsintervall-Periode ST1 bis ST5 und der langen Überwachungsintervall-Periode LT entsprechen.
  • Wenn eine kurze Überwachungsintervall-Periode ST abgeschlossen ist, berechnet die Aggregationseinheit 54 eine Intra-Bus-Protokollfehlerverteilung in der kurzen Überwachungsintervall-Periode ST und schreibt die berechnete Intra-Bus-Protokollfehlerverteilung in ein Feld, welches der kurzen Überwachungsintervall-Periode ST entspricht.
  • Hier ist die Intra-Bus-Protokollfehlerverteilung ein Beispiel einer Fehler-ID-Anzahl, welche die Anzahl von Teilen von Identifikationsinformation ist, für welche Kommunikationsfehler aufgetreten sind. Spezifisch ist die Intra-Bus-Protokollfehlerverteilung die Nummer von CAN-IDs, die alle 1 oder größer als die Anzahl von Malen des Auftretens eines Protokollfehlers in einer kurzen Überwachungsintervall-Periode ST aufweisen.
  • Spezifisch, wenn beispielsweise die kurze Überwachungsintervall-Periode ST1 abgeschlossen ist, da die CAN-ID, die 1 oder größer als die Anzahl von Malen des Auftretens eines Protokollfehlers aufweist, „1“ und „2“ in der kurzen Überwachungsintervall-Periode ST1 ist, führt die Aggregationseinheit 54 Berechnung durch und ermittelt 2 als die Intra-Bus-Protokollfehlerverteilung.
  • Dann schreibt die Aggregationseinheit 54 die berechnete 2 in ein Feld, welches der kurzen Überwachungsintervall-Periode ST1 entspricht.
  • Auch wenn jede von der kurzen Überwachungsintervall-Periode ST2 bis zur kurzen Überwachungsintervall-Periode ST5 abgeschlossen ist, führt die Aggregationseinheit 54 denselben Prozess durch.
  • Dann, wenn die lange Überwachungsintervall-Periode LT abgeschlossen ist, schreibt die Aggregationseinheit 54 den Durchschnitt der Intra-Bus-Protokollfehlerverteilung in die lange Überwachungsintervall-Periode LT in ein Feld, das der langen Überwachungsintervall-Periode LT entspricht.
  • Spezifisch führt die Aggregationseinheit 54 Berechnung durch und ermittelt 1,4, welches ein Wert ist, der durch Dividieren (2+2+1+1+1) durch 5 erhalten wird, als den Durchschnitt der Intra-Bus-Protokollfehlerverteilungen in den entsprechenden kurzen Überwachungsintervall-Perioden ST1 bis ST5.
  • Die Aggregationseinheit 54 schreibt die berechnete 1,4 in ein Feld, das der langen Überwachungsintervall-Periode LT entspricht.
  • Unter Bezugnahme wiederum auf 7 detektiert die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis des Aggregationsergebnisses durch die Aggregationseinheit 54.
  • Spezifisch detektiert beispielsweise die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis einer Beeinflussung im Kommunikationsfehler-Auftrittszustand von CAN-IDs in dem Aggregationsergebnis.
  • Spezifischer detektiert beispielsweise die Detektionseinheit 55 einen Angriff in dem Fahrzeugnetzwerk 12 auf Basis von: der Gesamtanzahl, hinsichtlich jeder CAN-ID, der Anzahl von Malen des Auftretens eines Kommunikationsfehlers; und eine Intra-Bus-Protokollfehlerverteilung.
  • Beispielsweise führt für jedes kurze Überwachungsintervall die Detektionseinheit 55 einen kurzen Intervall-Detektionsprozess durch. Spezifisch detektiert beispielsweise die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis eines Vergleichsergebnisses Rst1 zwischen einem Schwellenwert Th1 und dem Gesamtwert hinsichtlich jeder CAN-ID der Anzahl von Malen des Auftretens eines Kommunikationsfehlers in einer kurzen Überwachungsintervall-Periode ST, ein Vergleichsergebnis Rst2 zwischen einem Schwellenwert Th2 und der Intra-Bus-Protokollfehlerverteilung und ein Vergleichsergebnis Rst5 zwischen einem Schwellenwert Rst5 größer als einem Schwellenwert Th2 und der Intra-Bus-Protokollfehlerverteilung.
  • Spezifischer arbeitet beispielsweise die Detektionseinheit 55 anhand der kurzen Überwachungsintervall-Perioden ST1, ST2, ST3, ST4 und ST5 und der langen Überwachungsintervall-Periode LT, welche durch die Aggregationseinheit 54 eingestellt sind. Wenn die kurze Überwachungsintervall-Periode ST1 abgeschlossen ist, führt die Detektionseinheit 55 den nachfolgenden Prozess durch.
  • Das heißt, dass aus der Zusammenfassungstabelle Tbl1 (siehe 9), welche durch die Aggregationseinheit 54 gehalten wird, die Detektionseinheit 55 einen Gesamtwert hinsichtlich jeder CAN-ID der Anzahl von Malen des Auftretens eines Protokollfehlers in der kurzen Überwachungsintervall-Periode ST1 erfasst.
  • Zusätzlich erfasst aus der Zusammenfassungstabelle Tbl2 (siehe 10), welche durch die Aggregationseinheit 54 gehalten wird, die Detektionseinheit 55 eine Intra-Bus-Protokollfehlerverteilung in der kurzen Überwachungsintervall-Periode ST1.
  • Die Detektionseinheit 55 wählt beispielsweise eine nach der anderen CAN-IDs in einer aufsteigenden Reihenfolge ab den CAN-IDs von „1“ bis „N“ aus und führt eine Evaluierung unter Verwendung der Anzahl von Malen des Auftretens eines Protokollfehlers durch, der der ausgewählten CAN-ID entspricht.
  • Spezifisch, wenn beispielsweise Gesamtanzahl von Malen des Auftretens eines Protokollfehlers entsprechend der ausgewählten CAN-ID (nachfolgend auch als eine Ziel-CAN-ID bezeichnet) größer als der Schwellenwert Th1 ist und die Intra-Bus-Protokollfehlerverteilung kleiner als der Schwellenwert Th2 ist, bestimmt die Detektionseinheit 55, dass eine kleine Anzahl von Angriffen, die Cyber-Angriffe auf eine kleine Anzahl der Fahrzeug-ECUs 121 sind, aufgetreten sind. Die Detektionseinheit 55 zeichnet das Bestimmungsergebnis als ein Log in der Speichereinheit 56 auf.
  • Wenn beispielsweise Cyber-Angriffe auf ein oder zwei Fahrzeug-ECUs 121 durchgeführt worden sind, wird die Anzahl von Malen des Auftretens eines Protokollfehlers hinsichtlich der in dem Datenrahmen, für welchen jedes Cyber-angegriffene Fahrzeug-ECU 121 als eine Sendequelle oder ein Ziel dient, enthaltene CAN-ID groß. Derweil ist die Anzahl von CAN-IDs, welche die Cyber-angegriffenen Fahrzeug-ECUs 121 angeben, die alle als eine Sendequelle oder ein Ziel dienen, klein. Somit wird die Intra-Bus-Protokollfehlerverteilung nicht groß. Aufgrund der oben beschriebenen Konfiguration kann die Detektionseinheit 55 genauer bestimmen, dass eine kleine Anzahl von Angriffen aufgetreten ist.
  • Beispielsweise wenn die Gesamtanzahl von Malen des Auftretens eines Protokollfehlers entsprechend der Ziel-CAN-ID größer als der Schwellenwert Th1 ist und die Intra-Bus-Protokollfehlerverteilung größer als der Schwellenwert Th5 ist, bestimmt die Detektionseinheit 55, dass eine große Anzahl von Angriffen, die Cyber-Angriffe auf eine große Anzahl von Fahrzeug-ECUs 121 sind, aufgetreten sind. Die Detektionseinheit 55 zeichnet das Bestimmungsergebnis als ein Log in der Speichereinheit 56 auf.
  • Wenn beispielsweise Cyber-Angriffe auf eine große Anzahl von Fahrzeug-ECUs 121 durchgeführt worden sind, wird die Anzahl von Malen des Auftretens eines Protokollfehlers hinsichtlich der CAN-ID, die in dem Datenrahmen enthalten ist, für welchen jede Cyber-angegriffene Fahrzeug-ECU 121 als eine Sendequelle oder ein Ziel dient, groß. Zusätzlich ist auch die Anzahl von CAN-IDs, welche die Cyber-angegriffenen Fahrzeug-ECUs 121 angeben, die alle als eine Sendequelle oder ein Ziel dienen, groß. Somit wird die Intra-Bus-Protokollfehlerverteilung signifikant groß. Aufgrund der oben beschriebenen Konfiguration kann die Detektionseinheit 55 genauer bestimmen, dass eine große Anzahl von Angriffen aufgetreten ist.
  • Beispielsweise wenn die Gesamtanzahl von Malen des Auftretens eines Protokollfehlers entsprechend der Ziel-CAN-ID nicht größer als der Schwellenwert Th1 ist, oder die Intra-Bus-Protokollfehlerverteilung nicht kleiner als der Schwellenwert Th2 und nicht größer als der Schwellenwert Th5 ist, bestimmt die Detektionseinheit 55, dass Kommunikationsfehler aufgrund von Rauschen, ein Ausfall einer Fahrzeug-ECU 121 oder dergleichen aufgetreten ist. In diesem Fall zeichnet die Detektionseinheit 55 das Bestimmungsergebnis nicht in der Speichereinheit 56 auf.
  • Beispielsweise, da Rauschen zufällig in vielen Fällen auftritt, erscheinen auch Datenrahmen, für welche Kommunikationsfehler auftreten, zufällig. Daher wird die Intra-Bus-Protokollfehlerverteilung groß. In einem Fall, bei dem eine Fahrzeug-ECU 121 über die Zeit verschleißt, wird angenommen, dass Kommunikationsfehler von Datenrahmen, für welche die Fahrzeug-ECU 121 als eine Sendequelle oder ein Ziel dient, sporadisch auftreten. Daher, obwohl die Intra-Bus-Protokollfehlerverteilung klein ist, ist auch die Anzahl von Malen des Auftretens eines Protokollfehlers hinsichtlich der CAN-ID, die im Datenrahmen enthalten ist, für welche die Fahrzeug-ECU 121 als eine Sendequelle oder ein Ziel dient, klein. Aufgrund der obigen Konfiguration kann die Detektionseinheit 55 das Vornehmen einer fehlerhaften Bestimmung hinsichtlich des Auftretens einer kleinen Anzahl von Angriffen oder einer großen Anzahl von Angriffen verhindern.
  • Auch in jenem Fall, bei dem die kurzen Überwachungsintervall-Periode ST2, ST3, ST4, ST5, die durch die Aggregationseinheit 54 eingestellt ist, abgeschlossen wird, führt beispielsweise die Detektionseinheit 55 den kurzen Intervall-Detektionsprozess durch, ähnlich zum Fall, bei dem die kurze Überwachungsintervall-Periode ST1 abgeschlossen ist.
  • Zusätzlich führt beispielsweise die Detektionseinheit 55 einen langen Intervall-Detektionsprozess für jedes lange Überwachungsintervall durch. Spezifisch detektiert beispielsweise die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis eines Vergleichsergebnisses Rst3 zwischen einem Schwellenwert Th3 und der Gesamtzahl hinsichtlich jeder CAN-ID, der Anzahl von Malen des Auftretens eines Kommunikationsfehlers in der langen Überwachungsintervall-Periode LT, eines Vergleichsergebnisses Rst zwischen einem Schwellenwert Th4 und dem Durchschnitt der Intra-Bus-Protokollfehlerverteilung und ein Vergleichsergebnis Rst zwischen einem Schwellenwert Th6 größer als dem Schwellenwert Th4, und dem Durchschnitt.
  • Spezifischer, wenn die lange Überwachungsintervall-Periode LT abgeschlossen ist, erfasst die Detektionseinheit 55 aus der Zusammenfassungstabelle Tbl1 (siehe 9), welche durch die Aggregationseinheit 54 gehalten ist, einen Gesamtwert hinsichtlich jeder CAN-ID der Anzahl von Malen des Auftretens eines Protokollfehlers in der langen Überwachungsintervall-Periode LT.
  • Zusätzlich erfasst aus der Zusammenfassungstabelle Tbl2 ( 10), welche durch die Aggregationseinheit 54 gehalten wird, die Detektionseinheit 55 einen Durchschnitt einer Intra-Bus-Protokollfehlerverteilung in der langen Überwachungsintervall-Periode LT.
  • Die Detektionseinheit 55 wählt beispielsweise eine nach der anderen CAN-IDs in einer aufsteigenden Reihenfolge ab CAN-IDs von „1“ bis „N“ aus und führt eine Evaluierung unter Verwendung der Anzahl von Malen des Auftretens eines Protokollfehlers, welcher der ausgewählten CAN-ID entspricht, durch.
  • Spezifisch, wenn beispielsweise die Gesamtanzahl von Malen des Auftretens eines Protokollfehlers entsprechend einer ausgewählten CAN-ID, das heißt einer Ziel-CAN-ID größer als der Schwellenwert Th3 ist und der Durchschnitt der Intra-Bus-Protokollfehlerverteilung kleiner als der Schwellenwert Th4 ist, bestimmt die Detektionseinheit 55, dass eine kleine Anzahl von Angriffen aufgetreten ist. Die Detektionseinheit 55 zeichnet das Bestimmungsergebnis als ein Log in der Speichereinheit 56 auf.
  • Wenn beispielsweise Cyber-Angriffe auf ein oder zwei Fahrzeug-ECUs 121 vorgenommen worden sind, dient die Anzahl von Malen des Auftretens eines Protokollfehlers hinsichtlich der CAN-ID, die im Datenrahmen enthalten sind, für welche jedes Cyber-angegriffene Fahrzeug-ECU 121 als eine Sendequelle oder ein Ziel dient, groß. Derweil ist die Anzahl von CAN-IDs, welche die Cyber-angegriffenen Fahrzeug-ECUs 121 angeben, die alle als eine Sendequelle oder ein Ziel dienen, klein. Somit wird der Durchschnitt der Intra-Bus-Protokollfehlerverteilung nicht groß. Aufgrund der oben beschriebenen Konfiguration kann die Detektionseinheit 55 genauer bestimmen, dass eine kleine Anzahl von Angriffen aufgetreten ist.
  • Wenn beispielsweise die Gesamtanzahl von Malen des Auftretens eines Protokollfehlers entsprechend der Ziel-CAN-ID größer ist als der Schwellenwert Th3 und der Durchschnitt der Intra-Bus-Protokollfehlerverteilung größer als der Schwellenwert Th6 ist, bestimmt die Detektionseinheit 55, dass eine große Anzahl von Attacken aufgetreten ist. Die Detektionseinheit 55 zeichnet das Bestimmungsergebnis als ein Log in der Speichereinheit 56 auf.
  • Wenn beispielsweise Cyber-Angriffe auf eine große Anzahl von Fahrzeug-ECUs 121 durchgeführt worden sind, wird die Anzahl von Malen des Auftretens eines Protokollfehlers hinsichtlich der CAN-ID, die in den Datenrahmen enthalten ist, für welche jede Cyber-angegriffene Fahrzeug-ECU 121 als eine Sendequelle oder ein Ziel dient, groß. Zusätzlich ist auch die Anzahl von CAN-IDs, welche die Cyber-angegriffenen Fahrzeug-ECUs 121 angeben, die alle als eine Sendequelle oder ein Ziel dienen, groß. Somit wird der Durchschnitt der Intra-Bus-Protokollfehlerverteilung signifikant groß. Aufgrund der oben beschriebenen Konfiguration kann die Detektionseinheit 55 genauer bestimmen, dass eine große Anzahl von Angriffen aufgetreten ist.
  • Wenn beispielsweise die Gesamtanzahl der von Auftritten von Protokollfehlern entsprechend der Ziel-CAN-ID nicht größer als der Schwellenwert Th3 ist, oder der Durchschnitt der Intra-Bus-Protokollfehlerverteilung nicht kleiner als der Schwellenwert Th4 und nicht größer als der Schwellenwert Th6 ist, bestimmt die Detektionseinheit 55, dass Kommunikationsfehler aufgrund von Rauschen, einem Ausfall einer Fahrzeug-ECU 121 oder dergleichen aufgetreten ist. In diesem Fall zeichnet die Detektionseinheit 55 das Bestimmungsergebnis nicht in der Speichereinheit 56 auf.
  • Da beispielsweise in vielen Fällen ein Rauschen zufällig auftritt, erscheinen auch Datenrahmen, für welche Kommunikationsfehler auftreten, zufällig. Daher wird der Durchschnitt der Intra-Bus-Protokollfehlerverteilung groß. In einem Fall, bei dem eine Fahrzeug-ECU 121 über die Zeit verschleißt, wird angenommen, dass Kommunikationsfehler von Datenrahmen, für welche die Fahrzeug-ECU 121 als eine Sendequelle oder ein Ziel dient, sporadischer auftreten. Daher, obwohl der Durchschnitt der Intra-Bus-Protokollfehlerverteilung klein ist, ist auch die Anzahl von Malen des Auftretens eines Protokollfehlers hinsichtlich der CAN-ID, die in dem Datenrahmen enthalten ist, für welche die Fahrzeug-ECU 121 als eine Sendequelle oder ein Ziel dient, klein. Aufgrund der oben beschriebenen Konfiguration kann die Detektionseinheit 55 verhindern, dass eine fehlerhafte Bestimmung hinsichtlich des Auftretens einer kleinen Anzahl von Angriffen oder einer großen Anzahl von Angriffen gemacht wird.
  • [Betriebsablauf]
  • Die Gateway-Vorrichtung 101 beinhaltet einen Computer. Eine Arithmetik-Verarbeitungseinheit, wie etwa eine CPU im Computer, liest ein Programm, das einen Teil über alle der Schritte im unten gezeigten Ablaufdiagramm enthält, aus einem (nicht gezeigten) Speicher und führt das Programm aus. Das Programm für diese Vorrichtung kann von außen installiert werden. Das Programm für diese Vorrichtung wird in einem Zustand distributiert, in dem es auf einem Speichermedium aufgezeichnet ist.
  • 11 ist ein Flussdiagramm einer Betriebsprozedur, auf welcher die Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung einen Cyber-Angriff detektiert.
  • Bezugnehmend auf 11, zeichnet zuerst, bis eine kurze Überwachungsintervall-Periode ST abgeschlossen ist, die Gateway-Vorrichtung 101 Kommunikationsfehler, die aufgetreten sind, auf, während sie einen Prozess des Weitergebens von Datenrahmen durchführt (NEIN im Schritt S102).
  • Dann, bei Abschluss der kurzen Überwachungsintervall-Periode ST (JA im Schritt ST102), aggregiert die Gateway-Vorrichtung 101 Kommunikationsfehler, die in der kurzen Überwachungsintervall-Periode ST aufgetreten sind (Schritt S104) .
  • Als Nächstes wählt die Gateway-Vorrichtung 101 eine aus einer Vielzahl von CAN-IDs, die in dem Fahrzeugnetzwerk 12 verwendet werden, aus (Schritt S106).
  • Als Nächstes, wenn eine Gesamtsumme (ENs) in der kurzen Überwachungsintervall-Periode ST der Anzahl von Malen des Auftretens eines Protokollfehlers entsprechend der ausgewählten CAN-ID, das heißt eine Ziel-CAN-ID, größer als der Schwellenwert Th1 ist und eine Intra-Bus-Protokollfehlerverteilung Eds in der kurzen Überwachungsintervall-Periode ST kleiner als der Schwellenwert Th2 ist (JA im Schritt S108), detektiert die Gateway-Vorrichtung 101 eine kleine Anzahl von Angriffen (Schritt S118).
  • Wenn die Gesamt-ENs größer als der Schwellenwert Th1 ist und die Intra-Bus-Protokollfehlerverteilung EDs größer als der Schwellenwert Th5 ist (NEIN im Schritt S108 und JA im Schritt S110), detektiert die Gateway-Vorrichtung 101 eine große Anzahl von Angriffen (Schritt S112).
  • Als Nächstes, wenn sie eine kleine Anzahl von Angriffen detektiert hat (Schritt 118) oder eine große Anzahl von Attacken detektiert hat (Schritt 112), zeichnet die Gateway-Vorrichtung 101 ein Detektionsergebnis in einem Log auf (Schritt S114).
  • Wenn die Gesamt-ENs nicht größer als der Schwellenwert Th1 ist oder die Intra-Bus-Protokollfehlerverteilung EDs nicht kleiner als der Schwellenwert Th2 und nicht größer als der Schwellenwert Th5 ist (NEIN im Schritt S108 und NEIN im Schritt S110) oder wenn die Gateway-Vorrichtung 101 ein Detektionsergebnis in einem Log aufgezeichnet hat (Schritt S114), bestätigt die Gateway-Vorrichtung 101, ob die Vielzahl von CAN-IDs, die im Fahrzeugnetzwerk 12 verwendet werden, alle ausgewählt worden sind oder nicht (Schritt S116).
  • Wenn es irgendeine unausgewählte CAN-ID in der Vielzahl von CAN-IDs gibt (NEIN im Schritt S116), wählt die Gateway-Vorrichtung 101 eine unausgewählte CAN-ID in der Vielzahl von CAN-IDs aus (Schritt S106).
  • Derweil, wenn sie alle der Vielzahl von CAN-IDs ausgewählt hat (JA im Schritt S116), zeichnet die Gateway-Vorrichtung 101 Kommunikationsfehler, die aufgetreten sind, auf, während sie einen Prozess des Weitergebens von Datenrahmen durchführt, bis eine neue kurze Überwachungsintervall-Periode ST abgeschlossen ist (NEIN im Schritt S102).
  • 12 ist ein Flussdiagramm einer Betriebsprozedur, auf welcher die Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung einen Cyber-Angriff detektiert.
  • Unter Bezugnahme auf 12, bis eine lange Überwachungsintervall-Periode LT abgeschlossen ist, während ein Prozess des Weitergebens von Datenrahmen durchgeführt wird, zeichnet die Gateway-Vorrichtung Kommunikationsfehler auf, die in jeder kurzen Überwachungsintervall-Periode ST aufgetreten sind, die in der langen Überwachungsintervall-Periode LT enthalten sind (NEIN im Schritt S202).
  • Dann, beim Abschluss der langen Überwachungsintervall-Periode LT (JA im Schritt S202), aggregiert die Gateway-Vorrichtung 101 Kommunikationsfehler, die in jeder kurzen Überwachungsintervall-Periode ST aufgetreten sind (Schritt S204) .
  • Als Nächstes wählt die Gateway-Vorrichtung 101 eine aus einer Vielzahl von CAN-IDs aus, die in dem Fahrzeugnetzwerk 12 verwendet werden (Schritt S206).
  • Als Nächstes, wenn eine Gesamt-ENp in der langen Überwachungsintervall-Periode LT oder die Anzahl von Malen des Auftretens eines Protokollfehlers entsprechend der ausgewählten CAN-ID, das heißt eine Ziel-CAN-ID größer als der Schwellenwert Th3 ist und eine Intra-Bus-Protokollfehlerverteilung EDp in der langen Überwachungsintervall-Periode LT kleiner als der Schwellenwert Th4 ist (JA im Schritt S208), detektiert die Gateway-Vorrichtung 101 eine kleine Anzahl von Angriffen (Schritt S218).
  • Wenn die Gessamt-ENp größer als der Schwellenwert Th3 ist und die Intra-Bus-Protokollfehlerverteilung EDp größer als der Schwellenwert Th6 ist (NEIN im Schritt S208 und JA im Schritt S210), detektiert die Gateway-Vorrichtung 101 eine große Anzahl von Angriffen (Schritt S212).
  • Als Nächstes, wenn sie eine kleine Anzahl von Angriffen detektiert hat (Schritt S218) oder eine große Anzahl von Angriffen detektiert hat (Schritt S212), zeichnet die Gateway-Vorrichtung 101 ein Detektionsergebnis in einem Log auf (Schritt S214).
  • Wenn die Gesamt-ENp nicht größer als der Schwellenwert Th3 ist oder die Intra-Bus-Protokollfehlerverteilung EDp nicht kleiner als der Schwellenwert Th4 und nicht größer als der Schwellenwert Th6 ist (NEIN in Schritt S208 und NEIN in Schritt S210), oder wenn die Gateway-Vorrichtung 101 ein Detektionsergebnis in einem Log aufgezeichnet hat (Schritt S214), bestätigt die Gateway-Vorrichtung 101, ob die Vielzahl von CAN-IDs, die in dem Fahrzeugnetzwerk 12 verwendet werden, ausgewählt worden ist oder nicht (Schritt S216).
  • Wenn es irgendwelche unausgewählte CAN-ID in der Vielzahl von CAN-IDs gibt (NEIN im Schritt S216), wählt die Gateway-Vorrichtung 101 eine unausgewählte CAN-ID in der Vielzahl von CAN-IDs aus (Schritt S206).
  • Derweil, wenn sie alle der Vielzahl von CAN-IDs ausgewählt hat (JA im Schritt S216), zeichnet die Gateway-Vorrichtung 101 Kommunikationsfehler, die in einer neuen langen Überwachungsintervall-Periode LT aufgetreten sind, auf, während sie einen Prozess des Weiterreichens von Datenrahmen durchführt, bis die neue lange Überwachungsintervall-Periode LT abgeschlossen ist (NEIN im Schritt S202).
  • Die Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung ist konfiguriert, Angriffsdetektion in Bezug auf alle der Busse 13A bis 13D durchzuführen. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Gateway-Vorrichtung 101 kann konfiguriert sein, eine Angriffsdetektion in Bezug auf einen Teil der Busse 13A bis 13D durchzuführen.
  • Im Fahrzeugnetzwerk gemäß der Ausführungsform der vorliegenden Offenbarung ist die Gateway-Vorrichtung 101 konfiguriert, einen Angriff im Fahrzeugnetzwerk 12 zu detektieren. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Es kann eine Konfiguration eingesetzt werden, in der zumindest eine der mit Bussen 13 verbundenen Fahrzeug-ECUs 121 als eine Detektionsvorrichtung arbeitet, ähnlich zu Gateway-Vorrichtung 101, und einen Angriff in einem entsprechenden Bus 13 detektiert.
  • Im Fahrzeugnetzwerk gemäß der Ausführungsform der vorliegenden Offenbarung wird ein Datenrahmen, der Identifikationsinformation enthält, die eine Erkennung von sowohl der Sendequelle als auch dem Ziel gestattet, gesendet. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Ein Datenrahmen, der Identifikationsinformation enthält, die eine Erkennung entweder der Sendequelle oder des Ziels gestattet, kann gesendet werden.
  • Im Fahrzeugnetzwerk gemäß der Ausführungsform der vorliegenden Offenbarung wird ein Datenrahmen, der eine CAN-ID enthält, welche die Erkennung sowohl der Sendequelle als auch des Ziels gestattet, gesendet. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Ein Datenrahmen, der Identifikationsinformation enthält, die direkt zumindest eines von Sendequelle und Ziel angibt, zum Beispiel eine Adresse, kann gesendet werden.
  • In der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung ist die Detektionseinheit 55 konfiguriert, einen Angriff im Fahrzeugnetzwerk 12 auf Basis einer Beeinflussung in dem Kommunikationsfehler-Auftrittszustand von CAN-IDs in einem Aggregationsergebnis durch die Aggregationseinheit 54 zu detektieren. Jedoch ist die vorliegende Erfindung nicht darauf beschränkt. Die Detektionseinheit 55 kann konfiguriert sein, einen Angriff im Fahrzeugnetzwerk 12 nicht auf Basis der Beeinflussung zu detektieren. Spezifisch detektiert beispielsweise die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 ohne Verwendung der in 10 gezeigten Zusammenfassungstabelle Tbl2.
  • In der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung ist die Detektionseinheit 55 konfiguriert, sowohl den kurzen Intervall-Detektionsprozess als auch den langen Intervall-Detektionsprozess durchzuführen. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Detektionseinheit 55 kann konfiguriert sein, entweder den kurzen Intervall-Detektionsprozess oder den langen Intervall-Detektionsprozess durchzuführen.
  • In der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung ist die Detektionseinheit 55 konfiguriert, einen Angriff im Fahrzeugnetzwerk 12 auf Basis des Vergleichsergebnisses Rst1, des Vergleichsergebnisses Rst2 und des Vergleichsergebnisses Rst5 zu detektieren. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Detektionseinheit 55 kann konfiguriert sein, einen Angriff im Fahrzeugnetzwerk 12 auf Basis des Vergleichsergebnisses Rst1 und des Vergleichsergebnisses Rst2 zu detektieren.
  • In der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung ist die Detektionseinheit 55 konfiguriert, einen Angriff im Fahrzeugnetzwerk 12 auf Basis des Vergleichsergebnisses Rst3, des Vergleichsergebnisses Rst4 und des Vergleichsergebnisses Rst5 zu detektieren. Jedoch ist die vorliegende Offenbarung nicht darauf beschränkt. Die Detektionseinheit 55 kann konfiguriert sein, einen Angriff im Fahrzeugnetzwerk 12 auf Basis des Vergleichsergebnisses Rst3 und des Vergleichsergebnisses Rst4 zu detektieren.
  • Derweil, in dem in Patentliteratur 1 beschriebenen Fahrzeugkommunikationssystem, unterscheidet sich ein bei der Nachrichten-Authentifizierung durch eine erste ECU und eine zweite ECU, die nur mit dem Fahrzeugnetzwerk verbunden sind, zu verwendender erster Verschlüsselungsschlüssel von einem zweiten Verschlüsselungsschlüssel, der durch eine dritte ECU zu verwenden ist, die sowohl mit dem Fahrzeugnetzwerk als auch einem externen Netzwerk verbunden ist, wodurch ein Cyber-Angriff aus dem externen Netzwerk auf die erste ECU und die zweite ECU, die nicht mit dem externen Netzwerk verbunden sind, verhindert wird.
  • Jedoch könnte beispielsweise unter einem Cyber-Angriff, der elektrisch ein in einem Bus, welcher die ECUs verbindet, gesendetes Signal betreibt, die Sicherheitsmaßnahme, die oben beschrieben ist, invalidiert werden.
  • In einem Fall, bei dem ein solcher Angriff vorgenommen worden ist, ist eine Technologie zum genauen Detektieren des Angriffs in einem Fahrzeugnetzwerk erforderlich.
  • Im Gegensatz dazu detektiert die Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung einen Angriff im Fahrzeugnetzwerk 12, das einen Bus 13 enthält, in welchem ein Datenrahmen, der Identifikationsinformation enthält, welche die Erkennung einer Sendequelle oder/und eines Ziels erlaubt, gesendet wird. Im Bus 13 werden eine Vielzahl von Datenrahmen, die Teile von Identifikationsinformation, die sich voneinander unterscheiden, beinhaltet, gesendet. Die Sende-/Empfangseinheit 51 überwacht Kommunikationsfehler im Bus 13. Die Aggregationseinheit 54 aggregiert den Kommunikationsfehler-Auftrittszustand hinsichtlich jedes Teils von Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Sende-/Empfangseinheit 51. Dann detektiert die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis des Aggregationsergebnisses durch die Aggregationseinheit 54.
  • Aufgrund dieser Konfiguration kann der Kommunikationsfehler-Auftrittszustand hinsichtlich jeder Fahrzeugvorrichtung, die als eine Sendequelle oder ein Ziel des Datenrahmens dient, auf Basis eines Aggregationsergebnisses des Kommunikationsfehler-Auftrittszustands hinsichtlich jedes Teils von Identifikationsinformation erkannt werden. Entsprechend ist es möglich, eine Fahrzeugvorrichtung zu spezifizieren, in der ein Kommunikationsfehler unter einen solchen Cyber-Angriff aufgetreten ist, der elektrisch ein beispielsweise in einem Bus 13 gesendetes Signal betreibt. Daher kann ein Angriff in einem Fahrzeugnetzwerk genau detektiert werden.
  • In der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung detektiert die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis einer Beeinflussung in dem Kommunikationsfehler-Auftrittszustand von Teilen von Identifikationsinformation in einem Aggregationsergebnis.
  • Aufgrund dieser Konfiguration, auf Basis einer Beeinflussung in dem Kommunikationsfehler-Auftrittszustand von den Teilen von Identifikationsinformation ist es möglich, zu erkennen, ob Kommunikationsfehler gleichmäßig zwischen den Fahrzeugvorrichtungen im Fahrzeugnetzwerk 12 aufgetreten sind, oder ob beispielsweise Kommunikationsfehler in einer kleinen Anzahl von spezifischen Fahrzeugvorrichtungen von den Fahrzeugvorrichtungen aufgetreten sind. Entsprechend kann beispielsweise, wenn Kommunikationsfehler gleichmäßig zwischen den Fahrzeugvorrichtungen aufgetreten sind, eine Angriffs-Detektion sorgfältig auch unter Berücksichtigung des Einflusses elektrischen Rauschens bestimmt werden. Zusätzlich, wenn Kommunikationsfehler in einer kleinen Anzahl spezifischer Fahrzeugvorrichtungen aufgetreten sind, ist es möglich, zu bestimmen, dass es eine hohe Wahrscheinlichkeit gibt, dass Angriffe vorgenommen worden sind.
  • In der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung detektiert die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis von: der Gesamtsumme hinsichtlich jedes Teils von Identifikationsinformation, der Anzahl von Malen des Auftretens eines Kommunikationsfehlers; und eine Fehler-ID-Anzahl, welche die Anzahl von Teilen von Identifikationsinformation ist, für die Kommunikationsfehler aufgetreten sind.
  • Aufgrund dieser Konfiguration, beispielsweise wenn zu bestimmen ist, dass Angriffe auf Erfassungsvorrichtungen durchgeführt worden sind, die eine große Anzahl von Malen von Auftreten von Kommunikationsfehler aufweisen, kann die Anzahl von Fahrzeugvorrichtungen, in denen Kommunikationsfehler aufgetreten sind, berücksichtigt werden. Somit kann genauer bestimmt werden, ob Angriffe unternommen worden sind oder nicht.
  • In der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung detektiert die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis zumindest eines von: einem Vergleichsergebnis Rst1 zwischen dem Schwellenwert Th1 und der Gesamtsumme in einer kurzen Überwachungsintervall-Periode ST, und einem Vergleichsergebnis Rst2 zwischen dem Schwellenwert Th2 und der Fehler-ID-Anzahl; und einem Vergleichsergebnis Rst3 zwischen dem Schwellenwert Th3 und der Gesamtsumme in der langen Überwachungsintervall-Periode LT, die aus einer Vielzahl von kurzen Überwachungsintervall-Perioden ST aufgebaut ist, und einem Vergleichsergebnis Rst4 zwischen dem Schwellenwert Th4 und dem Durchschnitt der Fehler-ID-Anzahl.
  • Aufgrund dieser Konfiguration, selbst wenn beispielsweise die Gesamtsumme in der kurzen Überwachungsintervall-Periode ST größer als der Schwellenwert Th1 ist, falls die Fehler-ID-Anzahl nicht kleiner als der Schwellenwert Th2 ist, ist es vorstellbar, dass Kommunikationsfehler breit aufgetreten sind, aufgrund von elektrischem Rauschen. Somit kann eine fehlerhafte Angriffsdetektion verhindert werden. Zusätzlich, wenn beispielsweise die Gesamtsumme in der kurzen Überwachungsintervall-Periode ST größer als der Schwellenwert Th1 ist und die Fehler-ID-Anzahl kleiner als der Schwellenwert Th2 ist, sind Kommunikationsfehler in einer kleinen Anzahl spezifischer Fahrzeugvorrichtungen aufgetreten. Somit können Angriffe auf die kleine Anzahl von spezifischen Fahrzeugvorrichtungen genauer detektiert werden. Zusätzlich, selbst falls die Gesamtsumme in der langen Überwachungsintervall-Periode LT größer als der Schwellenwert Th3 ist, falls der Durchschnitt der Fehler-ID-Anzahl nicht kleiner als der Schwellenwert Th4 ist, ist es vorstellbar, dass Kommunikationsfehler breit aufgrund von elektrischem Rauschen aufgetreten sind. Somit kann eine fehlerhafte Angriffsdetektion verhindert werden. Wenn beispielsweise die Gesamtsumme in der langen Überwachungsintervall-Periode LT größer als der Schwellenwert Th3 ist und der Durchschnitt der Fehler-ID-Anzahl kleiner als der Schwellenwert Th4 ist, sind Kommunikationsfehler in kleiner Anzahl spezifischer Fahrzeugvorrichtungen aufgetreten. Somit können Angriffe auf die kleine Anzahl spezifischer Fahrzeugvorrichtungen genauer detektiert werden.
  • In der Gateway-Vorrichtung gemäß der Ausführungsform der vorliegenden Offenbarung detektiert die Detektionseinheit 55 einen Angriff im Fahrzeugnetzwerk 12 auf Basis zumindest eines von: dem Vergleichsergebnis Rst1, dem Vergleichsergebnis Rst2 und dem Vergleichsergebnis zwischen dem Schwellenwert Th5 größer als der Schwellenwert Th2 und der Fehler-ID-Anzahl; und dem Vergleichsergebnis Rst3, dem Vergleichsergebnis Rst4 und dem Vergleichsergebnis zwischen dem Schwellenwert Th6 größer als der Schwellenwert Th4 und dem Durchschnitt der Fehler-ID-Anzahl.
  • Wenn beispielsweise zumindest eine der Fehler-ID-Anzahl in einer kurzen Überwachungsintervall-Periode ST und dem Durchschnitt der Fehler-ID-Anzahl in der langen Überwachungsintervall-Periode LT signifikant groß ist, wird angenommen, dass eine große Anzahl von Fahrzeugvorrichtungen im Fahrzeugnetzwerk 12 angegriffen werden. Aufgrund der oben beschriebenen Konfiguration kann ein Sturm von Angriffen auf die Fahrzeugvorrichtungen im Fahrzeugnetzwerk 12 genauer detektiert werden.
  • Die offenbarten Ausführungsformen sind in allen Aspekten lediglich illustrativ und sollten nicht als beschränkend wahrgenommen werden. Der Schutzumfang der vorliegenden Offenbarung ist durch den Schutzumfang eher der Ansprüche als der obigen Beschreibung definiert und soll Bedeutungs-Äquivalente zum Schutzumfang der Ansprüche und alle Modifikationen innerhalb des Schutzumfangs beinhalten.
  • Die obige Beschreibung beinhaltet die Merkmale der zusätzlichen Anmerkungen unten.
  • [Zusatzanmerkung 1]
  • Eine Detektionsvorrichtung, die konfiguriert ist, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus beinhaltet, in welchem ein Rahmen, der Identifikationsinformation beinhaltet, die eine Erkennung einer Sendequelle oder/und eines Ziels gestattet, gesendet wird,
    eine Vielzahl von Rahmen, die im Bus übertragen werden, wobei die Vielzahl von Rahmen Teile der Identifikationsinformation enthält, die sich voneinander unterscheiden,
    die Detektionsvorrichtung umfasst:
    • eine Überwachungseinheit, die konfiguriert ist, einen Kommunikationsfehler im Bus zu überwachen;
    • eine Aggregationseinheit, die konfiguriert ist, einen Kommunikationsfehler-Auftrittszustand hinsichtlich jedes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Überwachungseinheit zu aggregieren; und
    • eine Detektionseinheit, die konfiguriert ist, den Angriff auf Basis eines Aggregationsergebnisses durch die Aggregationseinheit zu detektieren, wobei
    • die Detektionsvorrichtung in einem Fahrzeug montiert ist und eine Gateway-Vorrichtung ist, die konfiguriert ist, den Rahmen oder eine Fahrzeug-ECU (elektronische Steuereinheit) weiterzureichen,
    • jedes Teil von Identifikationsinformation eine CAN-ID (Controller Area Network Identifier) ist,
    • das Fahrzeugnetzwerk eine TCU (Telematics Communication Unit), eine automatische Fahr-ECU, eine Motor-ECU, einen Sensor, eine Navigationsvorrichtung, eine Mensch-Maschine-Schnittstelle oder eine Kamera, die im Fahrzeug montiert ist, beinhaltet,
    • der Rahmen in dem Fahrzeugnetzwerk gemäß einem Kommunikations-Standard von CAN, FlexRay, MOST (Media Oriented Systems Transport), Ethernet oder LIN (Local Interconnect Network) gesendet wird, und
    • die Aggregationseinheit die Anzahl von Malen des Auftretens von Protokollfehlern hinsichtlich jeder CAN-ID aggregiert.
  • Bezugszeichenliste
    • 1
    Fahrzeug
    12
    Fahrzeugnetzwerk
    13
    Bus
    51
    Sende-/Empfangseinheit (Überwachungseinheit)
    52
    Weiterleiteinheit
    54
    Aggregationseinheit
    55
    Detektionseinheit
    56
    Speichereinheit
    101
    Gateway-Vorrichtung
    121
    Busverbindungs-Vorrichtungsgruppe
    122
    Transceiver
    123
    Angriffsvorrichtung
    301
    Fahrzeugkommunikationssystem
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2017150771 [0002]
    • JP 2016116075 A [0003]
    • JP 2016116075 [0003]
    • JP 2016097879 A [0003]
    • JP 2015136107 A [0003]

Claims (7)

  1. Detektionsvorrichtung, die konfiguriert ist, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus enthält, in welchem ein Rahmen, der Identifikationsinformation beinhaltet, die eine Erkennung einer Sendequelle oder/und eines Ziels gestattet, gesendet wird, eine Vielzahl der Rahmen, die in dem Bus gesendet wird, wobei die Vielzahl der Rahmen Teile von Identifikationsinformationen, die sich voneinander unterscheiden, enthält, wobei die Detektionsvorrichtung umfasst: eine Überwachungseinheit, die konfiguriert ist, einen Kommunikationsfehler in dem Bus zu überwachen; eine Aggregationseinheit, die konfiguriert ist, einen Kommunikationsfehler-Auftrittszustand hinsichtlich jedes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Überwachungseinheit zu aggregieren; und eine Detektionseinheit, die konfiguriert ist, den Angriff auf Basis eines Aggregations-Ergebnisses durch die Aggregationseinheit zu detektieren.
  2. Detektionsvorrichtung gemäß Anspruch 1, wobei die Detektionseinheit den Angriff auf Basis einer Beeinflussung in dem Kommunikationsfehler-Auftrittszustand aus den Teilen von Identifikationsinformation im Aggregations-Ergebnis detektiert.
  3. Detektionsvorrichtung gemäß Anspruch 1 oder 2, wobei die Detektionseinheit den Angriff detektiert auf Basis von: einer Gesamtsumme hinsichtlich jedes Teils der Identifikationsinformation der Anzahl von Malen des Auftretens des Kommunikationsfehlers; und einer Fehler-ID-Anzahl, welche die Anzahl von Teilen der Identifikationsinformation ist, für die ein Kommunikationsfehler aufgetreten ist.
  4. Detektionsvorrichtung gemäß Anspruch 3, wobei die Detektionseinheit den Angriff detektiert auf Basis zumindest eines von: einem ersten Vergleichsergebnis zwischen einem ersten Schwellenwert und der Gesamtsumme in einem ersten Überwachungsintervall, und einem zweitem Vergleichsergebnis zwischen einem zweiten Schwellenwert und der Fehler-ID-Anzahl; und einem dritten Vergleichsergebnis zwischen einem dritten Schwellenwert und der Gesamtsumme in einem zweiten Überwachungsintervall, das aus einer Vielzahl der ersten Überwachungsintervalle aufgebaut ist, und einem vierten Vergleichsergebnis zwischen einem vierten Schwellenwert und einem Durchschnitt der Fehler-ID-Anzahl.
  5. Detektionsvorrichtung gemäß Anspruch 4, wobei die Detektionseinheit den Angriff detektiert auf Basis zumindest eines von: dem ersten Vergleichsergebnis, dem zweiten Vergleichsergebnis und einem Vergleichsergebnis zwischen einem fünften Schwellenwert, der größer ist als der zweite Schwellenwert, und der Fehler-ID-Anzahl; und dem dritten Vergleichsergebnis, dem vierten Vergleichsergebnis und einem Vergleichsergebnis zwischen einem sechsten Schwellenwert, der größer ist als der vierte Schwellenwert, und dem Durchschnitt.
  6. Detektionsverfahren, das in einer Detektionsvorrichtung zu verwenden ist, die konfiguriert ist, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus beinhaltet, in welchem ein Rahmen, der Identifikationsinformation enthält, die die Erkennung einer Sendequelle oder/und eines Ziels gestattet, gesendet wird, eine Vielzahl der Rahmen, die in dem Bus gesendet wird, wobei die Vielzahl der Rahmen Teile von Identifikationsinformationen, die sich voneinander unterscheiden, enthält, wobei das Detektionsverfahren die Schritte umfasst: Überwachen eines Kommunikationsfehlers im Bus; Aggregieren eines Kommunikationsfehler-Auftrittszustands hinsichtlich jenes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses; und Detektieren des Angriffs auf Basis eines Aggregations-Ergebnisses.
  7. Detektionsprogramm, das in einer Detektionsvorrichtung zu verwenden ist, die konfiguriert ist, einen Angriff in einem Fahrzeugnetzwerk zu detektieren, das einen Bus enthält, in welchem ein, Identifikationsinformation, welche die Erkennung einer Sendequelle oder/und eines Ziels gestattet, enthaltender Rahmen gesendet wird, eine Vielzahl der Rahmen, die in dem Bus gesendet wird, wobei die Vielzahl der Rahmen Teile von Identifikationsinformationen, die sich voneinander unterscheiden, enthält, wobei das Detektionsprogramm konfiguriert ist, einen Computer zu veranlassen, zu fungieren als: eine Überwachungseinheit, die konfiguriert ist, einen Kommunikationsfehler im Bus zu überwachen; eine Aggregationseinheit, die konfiguriert ist, einen Kommunikationsfehler-Auftrittszustand hinsichtlich jedes Teils der Identifikationsinformation auf Basis eines Überwachungsergebnisses durch die Überwachungseinheit zu aggregieren; und eine Detektionseinheit, die konfiguriert ist, den Angriff auf Basis eines Aggregationsergebnisses durch die Aggregationseinheit zu detektieren.
DE112018003971.4T 2017-08-03 2018-04-11 Detektor, Detektionsverfahren und Detektionsprogramm Pending DE112018003971T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017150771A JP6828632B2 (ja) 2017-08-03 2017-08-03 検知装置、検知方法および検知プログラム
JP2017-150771 2017-08-03
PCT/JP2018/015211 WO2019026352A1 (ja) 2017-08-03 2018-04-11 検知装置、検知方法および検知プログラム

Publications (1)

Publication Number Publication Date
DE112018003971T5 true DE112018003971T5 (de) 2020-04-09

Family

ID=65232592

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018003971.4T Pending DE112018003971T5 (de) 2017-08-03 2018-04-11 Detektor, Detektionsverfahren und Detektionsprogramm

Country Status (5)

Country Link
US (1) US11218501B2 (de)
JP (1) JP6828632B2 (de)
CN (1) CN110832809B (de)
DE (1) DE112018003971T5 (de)
WO (1) WO2019026352A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11201878B2 (en) * 2018-11-13 2021-12-14 Intel Corporation Bus-off attack prevention circuit
JP7160178B2 (ja) * 2019-03-14 2022-10-25 日本電気株式会社 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
CN112346432A (zh) * 2019-08-09 2021-02-09 北汽福田汽车股份有限公司 车辆监控方法,车载终端及车辆
CN117879943A (zh) * 2019-11-28 2024-04-12 住友电气工业株式会社 检测装置、车辆、检测方法及记录介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
US10369942B2 (en) 2014-01-06 2019-08-06 Argus Cyber Security Ltd. Hosted watchman
CN110843706B (zh) * 2014-04-03 2024-07-12 松下电器(美国)知识产权公司 网络通信系统、不正常检测电子控制单元以及不正常应对方法
EP3142288B1 (de) * 2014-05-08 2018-12-26 Panasonic Intellectual Property Corporation of America Bordnetzwerksystem, elektronische steuerungseinheit und aktualisierungsverarbeitungsverfahren
JP6760063B2 (ja) * 2014-07-11 2020-09-23 ソニー株式会社 情報処理装置、通信システムおよび情報処理方法
JP2016097879A (ja) 2014-11-25 2016-05-30 トヨタ自動車株式会社 車両制御システム
EP3337102B1 (de) * 2014-12-01 2020-03-25 Panasonic Intellectual Property Corporation of America Elektronische steuerungseinheit zur detektion von rechtswidrigkeiten, netzwerksystem an bord eines autos, verfahren zur detektion von rechtswidrigkeiten
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
EP3274845B1 (de) * 2015-03-26 2021-07-07 Red Bend Ltd. Sicherheitssysteme und verfahren zur identifizierung eines fahrzeuginsassen als angreifer
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6558703B2 (ja) * 2016-12-14 2019-08-14 パナソニックIpマネジメント株式会社 制御装置、制御システム、及びプログラム
JP6891671B2 (ja) * 2017-06-29 2021-06-18 富士通株式会社 攻撃検知装置および攻撃検知方法

Also Published As

Publication number Publication date
JP2019029960A (ja) 2019-02-21
JP6828632B2 (ja) 2021-02-10
CN110832809A (zh) 2020-02-21
WO2019026352A1 (ja) 2019-02-07
CN110832809B (zh) 2021-10-19
US11218501B2 (en) 2022-01-04
US20210105292A1 (en) 2021-04-08

Similar Documents

Publication Publication Date Title
DE112018003971T5 (de) Detektor, Detektionsverfahren und Detektionsprogramm
DE102017208547A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
EP3207683B1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE102012216689B4 (de) Verfahren zur Überwachung eines Ethernet-basierten Kommunikationsnetzwerks in einem Kraftfahrzeug
DE112016003907T5 (de) Weiterleitungsvorrichtung
DE102005021820A1 (de) Kommunikationsmitteilungs-Konvertierungseinrichtung, Kommunikationsverfahren und Kommunikationssystem
EP3189629B1 (de) Verfahren zur seriellen übertragung eines rahmens über ein bussystem von einem sender zu mindestens einem empfänger und teilnehmerstation für ein bussystem
DE112018003933T5 (de) Detektor, Detektionsverfahren und Detektionsprogramm
DE102014001197A1 (de) Kompatibler Netzwerkknoten, insbesondere für CAN-Bussysteme
DE112017006854T5 (de) Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE112017000902T5 (de) Weiterleitungsvorrichtung
DE112008000795B4 (de) In einem Fahrzeug verbaute Weiterleitungs-Verbindungseinheit
DE102018114739A1 (de) Betriebsprotokoll und -verfahren des Fahrzeugnetzwerks
DE112016004438T5 (de) Bordkommunikationssystem
DE102010064582B3 (de) Proxy-Knoten einsetzende Übertragungswiederholungsprotokolle für ein Netz
DE102010028485B4 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
DE69015967T2 (de) Passiver netzwerkmonitor und entsprechendes überwachungsverfahren.
WO2023006436A1 (de) Wasserfahrzeug mit einer mehrzahl von sensoranordnungen
DE102017208545A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102008042503B4 (de) Paketkommunikationssystem
DE102021109515A1 (de) Verfahren und system zur erleichterung eines selbstheilenden netzwerks
DE112019004692T5 (de) Datenverarbeitungsvorrichtung und managementvorrichtung
DE3939631A1 (de) Verfahren zur datenuebertragung und geraet zur datenuebertragung mit einem detektor zur erfassung einer falschen informationsverteilung
DE102018206522A1 (de) Vorrichtung und Verfahren zum Auswerten eines über ein Bussystem empfangbaren Empfangssignals