DE112018008092B4 - Angriffsabbrucheinrichtung, angriffsabbruchverfahren und angriffsabbruchprogramm - Google Patents

Angriffsabbrucheinrichtung, angriffsabbruchverfahren und angriffsabbruchprogramm Download PDF

Info

Publication number
DE112018008092B4
DE112018008092B4 DE112018008092.7T DE112018008092T DE112018008092B4 DE 112018008092 B4 DE112018008092 B4 DE 112018008092B4 DE 112018008092 T DE112018008092 T DE 112018008092T DE 112018008092 B4 DE112018008092 B4 DE 112018008092B4
Authority
DE
Germany
Prior art keywords
attack
series
control signal
sensor data
time point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112018008092.7T
Other languages
English (en)
Other versions
DE112018008092T5 (de
Inventor
Shoei Nashimoto
Daisuke Suzuki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112018008092T5 publication Critical patent/DE112018008092T5/de
Application granted granted Critical
Publication of DE112018008092B4 publication Critical patent/DE112018008092B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01DMEASURING NOT SPECIALLY ADAPTED FOR A SPECIFIC VARIABLE; ARRANGEMENTS FOR MEASURING TWO OR MORE VARIABLES NOT COVERED IN A SINGLE OTHER SUBCLASS; TARIFF METERING APPARATUS; MEASURING OR TESTING NOT OTHERWISE PROVIDED FOR
    • G01D21/00Measuring or testing not otherwise provided for

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Selective Calling Equipment (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Soundproofing, Sound Blocking, And Sound Damping (AREA)
  • Telephonic Communication Services (AREA)
  • Testing Or Calibration Of Command Recording Devices (AREA)

Abstract

Angriffsabbrucheinrichtung, umfassend:
eine Angriffsstartzeitpunkt-Identifizierungseinheit, um einen Angriffsstartzeitpunkt, zu dem ein Angriff auf einen Sensor, der Sensordaten von jedem Zeitpunkt ausgibt, gestartet wird, zu identifizieren auf Grundlage der Sensordaten von jedem Zeitpunkt, wobei die Sensordaten von jedem Zeitpunkt einen Status zu jedem Zeitpunkt eines Steuerziels, auf das ein Aktuator einwirkt, ausdrücken; und
eine Angriffsabbruchsignal-Erzeugungseinheit, um eine Angriffsabbruchsignalreihe, die eine Aktuator-Steuersignalreihe ist zum Zurücksetzen des Status des Steuerziels auf einen Status von einem Zeitpunkt, der vor dem Angriffsstartzeitpunkt liegt, zu erzeugen auf Grundlage von zumindest einer oder der anderen von einer Sensordatenreihe von seit dem Angriffsstartzeitpunkt und einer Aktuator-Steuersignalreihe von seit dem Angriffsstartzeitpunkt.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf eine Technik zum Abbrechen eines Angriffs auf einen Sensor.
  • Stand der Technik
  • Ein MEMS-Sensor ist ein Sensor mit einer Konfiguration, in der mechanische Komponenten und elektronische Schaltungen als eine Baugruppe integriert sind. Es ist zu beachten, dass MEMS für mikro-elektromechanisches System steht.
  • MEMS-Sensoren werden häufig wegen ihrer geringen Größe, hohen Präzision und niedrigen Kosten eingesetzt. Beispielsweise werden MEMS-Gyrosensoren und MEMS-Beschleunigungssensoren häufig für das autonome Fahren von Automobilen oder die autonome Steuerung von Robotern eingesetzt.
  • Bei der Messung oder Steuerung mittels eines Sensors hat die Zuverlässigkeit der Sensordaten einen direkten Einfluss auf die Zuverlässigkeit eines Systems. Daher stellt ein Angriff auf den Sensor eine Gefahr dar.
  • Einem Angriff, der mit Hilfe von Malware Sensordaten in Art und Weise von Software vortäuscht, kann mit herkömmlicher Informationssicherheitstechnik begegnet werden.
  • Andererseits ist ein Hardware-Angriff, der einen Sensor mit einem physikalischen Signal bestrahlt und einen Status des Sensors physikalisch verändert, mit der herkömmlichen Informationssicherheitstechnik nicht zu bewältigen.
  • Die Nicht-Patent-Literatur 1 und die Nicht-Patent-Literatur 2 offenbaren Angriffsmethoden zur Täuschung eines MEMS-Gyrosensors beziehungsweise eines MEMS-Beschleunigungssensors durch Ultraschallwellen.
  • Ein Schallwellenangriff konzentriert sich auf die Tatsache, dass ein MEMS-Sensor aus einer Feder und einem Gewicht besteht. Das heißt, es wird sich die Eigenschaft zu Nutze gemacht, dass ein Objekt, das aus einer Feder und einem Gewicht besteht, eine Resonanzfrequenz hat. Ein Angreifer zwingt ein mechanisches Teil des MEMS-Sensors in Resonanz, indem der MEMS-Sensor mit einer Schallwelle bestrahlt wird, die die gleiche Frequenz wie die Resonanzfrequenz des MEMS-Sensors hat. Infolgedessen wird eine anomale Sensorausgabe erhalten.
  • Als eine Gegenmaßnahme gegen den Schallwellenangriff auf den MEMS-Sensor stehen die folgenden Abwehrverfahren zur Verfügung.
  • Die Nicht-Patentliteratur 1 offenbart ein Gegenmaßnahme-Verfahren, das Hardware einsetzt. Konkret offenbart die Nicht-Patentliteratur 1 die physische Abschirmung des Sensors, die Änderung der Resonanzfrequenz des Sensors und die Bereitstellung einer Vielzahl von Sensoren desselben Typs und das Vergleichen von Sensordaten.
  • Das Nicht-Patentdokument 2 offenbart ein Gegenmaßnahme-Verfahren, das Hardware einsetzt. Konkret offenbart das Nicht-Patentdokument 2 den Austausch von Komponenten, die den Sensor bilden, mit solchen, die weniger anfällig für einen Ultraschallangriff sind. Das Nicht-Patentdokument 2 offenbart zudem ein Gegenmaßnahme-Verfahren, das Software einsetzt. Konkret offenbart das Nicht-Patentdokument 2 die Änderung eines Abtastzeitraums des Sensors.
  • Als eine Gegenmaßnahme gegen den Schallwellenangriff auf den MEMS-Sensor steht das folgende Erfassungsverfahren zur Verfügung.
  • Die Nicht-Patent-Literatur 3 konzentriert sich auf die Tatsache, dass ein MEMS-Gyrosensor und ein MEMS-Beschleunigungssensor häufig zusammen mit einem geomagnetischen Sensor verwendet werden, und offenbart ein Angriffserfassungsverfahren, das Software nutzt. Konkret offenbart die Nicht-Patent-Literatur 3 die Erfassung eines Angriffs durch Überprüfung der Konsistenz eines von verschiedenen Sensoren beobachteten physikalischen Status.
  • Dokument US 2017 / 0 264 629 A1 offenbart ein System zur Bedrohungserkennung in einer industriellen Produktionsumgebung.
  • Dokument US 2018 / 0 004 948 A1 offenbart ein Verfahren zum Vorhersagen und Charakterisieren von Cyberangriffen.
  • In Ausführungsformen wird auf die Nicht-Patent-Literatur 4 bis 6 verwiesen.
  • Liste der Anführungen
  • Nicht-Patent-Literatur
    • Nicht-Patent-Literatur 1: Son, Yunmok, et al. „Rocking drones with intentional sound noise on gyroscopic sensors.“ 24th USENIX Security Symposium (USENIX Security 15). 2015.
    • Nicht-Patent-Literatur 2: Timothy Trippel, Ofir Weisse, Wenyuan Xu, Peter Honeyman, und Kevin Fu. 2017. WALNUT: Waging doubt on the integrity of mems accelerometers with acoustic injection attacks. In Security and Privacy (EuroS&P), 2017 IEEE European Symposium on. IEEE, 3-18.
    • Nicht-Patent-Literatur 3: NASHIMOTO, Shoei, et al. Sensor CON-Fusion: Defeating Kalman Filter in Signal Injection Attack. In: Proceedings of the 2018 on Asia Conference on Computer and Communications Security. ACM, 2018. S. 511-524.
    • Nicht-Patent-Literatur 4: Urbina, David I., et al. „Attacking Fieldbus Communications in ICS: Applications to the SWaT Testbed.“ SG-CRC. 2016.
    • Nicht-Patent-Literatur 5: Ljung, Lennart. „System identification.“ Signal analysis and prediction. Birkhauser, Boston, MA, 1998. 163-173.
    • Nicht-Patent-Literatur 6: GREWAL, MOHINDER S., und ANGUS P. ANDREWS. „Kalman Filtering: Theory and Practice Using MATLAB.“ (2001).
  • Kurzdarstellung der Erfindung
  • Technische Aufgabe
  • Die Nicht-Patent-Literatur 1 oder Nicht-Patent-Literatur 2 offenbart ein Gegenmaßnahme-Verfahren, das Hardware einsetzt. Bei diesem Gegenmaßnahme-Verfahren muss jedoch der Sensor selbst verarbeitet werden, was zu erhöhten Kosten führt. Außerdem kann ein Verfahren, das Abdecken des Sensors beinhaltet, andere Sensoren nachteilig beeinflussen. Daher kann die Messleistung nachteilig beeinflusst werden.
  • Die Nicht-Patent-Literatur 2 offenbart ein Gegenmaßnahme-Verfahren, das Software einsetzt. Dieses Gegenmaßnahme-Verfahren hat jedoch ein Problem hinsichtlich der Einsatzvielfalt, dass dieses nur für einen bestimmten Sensor angewendet werden kann. Insbesondere das Gegenmaßnahme-Verfahren der Änderung des Abtastzeitraums setzt voraus, dass der Sensorbenutzer den Abtastzeitraum des Sensors einstellen kann.
  • Die Nicht-Patent-Literatur 3 offenbart ein Angriffserfassungsverfahren, das Software einsetzt. Die Nicht-Patent-Literatur 3 offenbart jedoch kein Verfahren, wie ein erfasster Angriff zu bewerkstelligen ist. Daher wird ein Steuerziel, dessen Angriff erfasst wurde, anomal.
  • Eine Aufgabe der vorliegenden Erfindung besteht darin, in der Lage zu sein, einen Angriff auf einen Sensor abbrechen zu können.
  • Technische Lösung
  • Eine Angriffsabbrucheinrichtung gemäß der vorliegenden Erfindung weist auf:
    • eine Angriffsstartzeitpunkt-Identifizierungseinheit, um einen Angriffsstartzeitpunkt, zu dem ein Angriff auf einen Sensor, der Sensordaten von jedem Zeitpunkt ausgibt, gestartet wird, zu identifizieren auf Grundlage der Sensordaten von jedem Zeitpunkt, wobei die Sensordaten von jedem Zeitpunkt einen Status zu jedem Zeitpunkt von einem Steuerziel, auf das ein Aktuator einwirkt, ausdrücken; und
    • eine Angriffsabbruchsignal-Erzeugungseinheit, um eine Angriffsabbruchsignalreihe, die eine Aktuator-Steuersignalreihe ist zum Zurücksetzen des Status des Steuerziels auf einen Status eines Zeitpunkts, der vor dem Angriffsstartzeitpunkt liegt, zu erzeugen auf Grundlage von zumindest einer oder der anderen von einer Sensordatenreihe von seit dem Angriffsstartzeitpunkt und einer Aktuator-Steuersignalreihe von seit dem Angriffsstartzeitpunkt.
  • Vorteilhafte Wirkungen der Erfindung
  • Gemäß der vorliegenden Erfindung kann eine Angriffsabbruchsignalreihe erzeugt werden. Dann arbeitet ein Aktuator entsprechend der erzeugten Angriffsabbruchsignalreihe, so dass ein Steuerziel in einen Prä-Angriffsstatus zurückgesetzt wird. Das heißt, der Angriff auf den Sensor kann abgebrochen werden.
  • Figurenliste
    • 1 ist ein Konfigurationsdiagramm eines Angriffsabbruchsystems 100 in Ausführungsform 1.
    • 2 ist ein Konfigurationsdiagramm eines Angriffsabbruchsystems 200 in Ausführungsform 1.
    • 3 ist ein Sequenzdiagramm, das sich auf einen Aktuator 111 und einen Sensor 112 in Ausführungsform 1 bezieht.
    • 4 ist ein Sequenzdiagramm, das sich auf eine Steuereinheit 113 in Ausführungsform 1 bezieht.
    • 5 ist ein Sequenzdiagramm, das sich auf eine Angriffsbewertung-Berechnungseinheit 211, eine Angriffsbeurteilungseinheit 212 und eine Angriffsstartzeitpunkt-Identifizierungseinheit 223 in Ausführungsform 1 bezieht.
    • 6 ist ein Sequenzdiagramm, das sich auf eine Angriffsabbruchsignal-Erzeugungseinheit 224 in Ausführungsform 1 bezieht.
    • 7 ist ein Sequenzdiagramm, das sich auf eine Steuersignal-Ausgangseinheit 230 in Ausführungsform 1 bezieht.
    • 8 ist ein erklärendes Diagramm über einen Angriffsstartzeitpunkt und einen Identifizierungsschwellenwert in Ausführungsform 1.
    • 9 ist ein Flussdiagramm, das Arbeitsschritte der Angriffsstartzeitpunkt-Identifizierungseinheit 223 in Ausführungsform 1 darstellt.
    • 10 ist ein Flussdiagramm, das Arbeitsschritte der Angriffsstartzeitpunkt-Identifizierungseinheit 223 in Ausführungsform 1 darstellt.
    • 11 ist ein erklärendes Diagramm über eine Angriffsabbruchsignalreihe in Ausführungsform 1.
    • 12 ist ein Flussdiagramm von Arbeitsschritten <Erstes Verfahren> der Angriffsabbruchsignal-Erzeugungseinheit 224 in Ausführungsform 1.
    • 13 ist ein Flussdiagramm eines Angriffsabbruchsignal-Erzeugungsprozesses (S210) in Ausführungsform 1.
    • 14 ist ein Flussdiagramm eines Angriffsabbruchsignal-Erzeugungsprozesses (S220) in Ausführungsform 1.
    • 15 ist ein Flussdiagramm eines Datenreihentransformationsprozesses (S222) in Ausführungsform 1.
    • 16 ist ein Flussdiagramm von Arbeitsschritten <Zweites Verfahren> der Angriffsabbruchsignal-Erzeugungseinheit 224 in Ausführungsform 1.
    • 17 ist ein Flussdiagramm eines Angriffsabbruchsignal-Erzeugungsprozesses (S320) in Ausführungsform 1.
    • 18 ist ein Konfigurationsdiagramm eines Angriffsabbruchsystems 100 in Ausführungsform 2.
    • 19 ist ein Konfigurationsdiagramm einer Angriffsabbrucheinrichtung 200 in Ausführungsform 2.
    • 20 ist ein Sequenzdiagramm, das sich auf eine Zwischensteuersignal-Erzeugungseinheit 241 in Ausführungsform 2 bezieht.
    • 21 ist ein Flussdiagramm von Arbeitsschritten [Erstes Verfahren] der Zwischensteuerungssignal-Erzeugungseinheit 241 in Ausführungsform 2.
    • 22 ist ein Flussdiagramm eines Zwischensteuersignal-Erzeugungsprozesses (S420) in Ausführungsform 2.
    • 23 ist ein Flussdiagramm von Arbeitsschritten [Zweites Verfahren] der Zwischensteuerungssignal-Erzeugungseinheit 241 in Ausführungsform 2.
    • 24 ist ein Flussdiagramm eines Zwischensteuersignal-Erzeugungsprozesses (S520) in Ausführungsform 2.
    • 25 ist ein Sequenzdiagramm, das sich auf eine Steuersignalausgabeeinheit 230 in Ausführungsform 2 bezieht.
    • 26 ist ein Hardware-Konfigurationsdiagramm der Angriffsabbrucheinrichtung 200 in Ausführungsformen.
  • Beschreibung von Ausführungsformen
  • In den Ausführungsformen und Zeichnungen ist das gleiche Element oder gleichwertige Element mit dem gleichen Bezugszeichen bezeichnet. Eine Beschreibung eines Elements, das mit dem gleichen Bezugszeichen bezeichnet ist wie das eines erläuterten Elements, wird gegebenenfalls weggelassen oder vereinfacht. Pfeile in den Zeichnungen stellen hauptsächlich Datenflüsse oder Prozessabläufe dar.
  • Ausführungsform 1.
  • Ein Angriffsabbruchsystem 100 wird unter Bezugnahme auf die 1 bis 17 beschrieben.
  • *** Beschreibung von Konfigurationen ***
  • Eine Konfiguration eines Angriffsabbruchsystems 100 wird unter Bezugnahme auf 1 beschrieben.
  • Das Angriffsabbruchsystem 100 ist mit einem Steuersystem 110 und einer Angriffsabbrucheinrichtung 200 ausgestattet.
  • Das Steuersystem 110 ist mit einem Steuerziel 101, einem Aktuator 111, einem Sensor 112 und einer Steuereinheit 113 ausgestattet.
  • Das Steuerziel 101 ist ein Objekt, das ein zu steuerndes Ziel (insbesondere eine Vorrichtung) darstellt. Das Steuerziel 101 ist zum Beispiel eine Drohne.
  • Der Aktuator 111 ist ein Aktuator, der auf das Steuerziel 101 einwirkt. Falls das Steuerziel 101 beispielsweise eine Drohne ist, ist der Aktuator 111 ein Rotor.
  • Der Sensor 112 ist ein Sensor, um einen Status des Steuerziels 101 zu beobachten. Falls das Steuerziel 101 beispielsweise eine Drohne ist, ist der Sensor 112 ein Neigungssensor, der eine Neigung der Drohne und eine Haltung der Drohne misst.
  • Die Steuereinheit 113 ist eine Steuereinheit, um das Steuerziel 101 zu steuern. Falls das Steuerziel 101 beispielsweise eine Drohne ist, ist die Steuereinheit 113 eine Flug-Steuereinheit.
  • Die Angriffsabbrucheinrichtung 200 ist mit einer Angriffsbewertung-Berechnungseinheit 211, einer Angriffsbeurteilungseinheit 212, einer Sensordatenspeichereinheit 221, einer Steuersignalspeichereinheit 222, einer Angriffsstartzeitpunkt-Identifizierungseinheit 223, einer Angriffsabbruchsignal-Erzeugungseinheit 224 und einer Steuersignalausgabeeinheit 230 ausgestattet.
  • Datenflüsse und Signalflüsse zwischen Elementen werden später beschrieben.
  • Eine Konfiguration der Angriffsabbrucheinrichtung 200 wird unter Bezugnahme auf 2 beschrieben.
  • Die Angriffsabbrucheinrichtung 200 ist ein Computer, der mit Hardwareeinrichtungen wie einem Prozessor 201, einem Arbeitsspeicher 202, einer Sensordaten-Eingangsschnittstelle 203, einer Steuersignal-Eingangsschnittstelle 204 und einer Steuersignal-Ausgangsschnittstelle 205 ausgestattet ist. Diese Hardwareeinrichtungen sind über Signalleitungen miteinander verbunden.
  • Der Prozessor 201 ist eine integrierte Schaltung, um Rechenverarbeitung durchzuführen und steuert die anderen Hardwareeinrichtungen. Zum Beispiel ist der Prozessor 201 eine CPU oder ein DSP. Es ist zu beachten, dass CPU für Central Processing Unit (Zentrale Verarbeitungseinheit) steht und DSP für Digital Signal Processor (digitaler Signalprozessor) steht.
  • Der Arbeitsspeicher 202 speichert Daten. Der Arbeitsspeicher 202 ist zum Beispiel ein RAM, ein ROM, ein Flash-Speicher, eine HDD oder eine SSD; oder eine Kombination aus einem RAM, einem ROM, einem Flash-Speicher, einer HDD und einer SSD. Es ist zu beachten, dass RAM für Random-Access Memory (Speicher mit wahlfreiem Zugriff), ROM für Read-Only Memory (Nur-LeseSpeicher), HDD für Hard Disk Drive (Festplatte) und SSD für Solid State Drive (Solid-State-Festplatte) steht.
  • Die Sensordaten-Eingangsschnittstelle 203 ist eine Schnittstelle, um Sensordaten zu akzeptieren. Die Sensordaten-Eingangsschnittstelle 203 ist zum Beispiel eine I2C-Schnittstelle, eine SPI- oder eine Ethernet-Schnittstelle. Es ist zu beachten, dass I2C für „Inter-Integrated Circuit“ und SPI für „Serial Peripheral Interface“ steht.
  • Die Steuersignal-Eingangsschnittstelle 204 ist eine Schnittstelle, um ein Aktuator-Steuersignal zu akzeptieren. Die Sensordaten-Eingangsschnittstelle 204 ist zum Beispiel eine I2C-Schnittstelle, eine SPI- oder eine Ethernet-Schnittstelle.
  • Die Steuersignal-Ausgangsschnittstelle 205 ist eine Schnittstelle, um ein Aktuator-Steuersignal auszugeben. Die Steuersignal-Ausgangsschnittstelle 205 ist zum Beispiel ein Digital-Analog-Wandler (DAC).
  • Das Aktuator-Steuersignal ist ein Signal, um den Aktuators 111 zu steuern.
  • Es ist zu beachten, dass „Ethernet“ ein eingetragenes Markenzeichen ist.
  • Die Angriffsabbrucheinrichtung 200 ist mit Elementen wie einer Angriffserfassungseinheit 210, einer Angriffsabbrucheinheit 220 und der Steuersignal-Ausgangseinheit 230 ausgestattet. Diese Elemente sind durch Software implementiert.
  • Die Angriffserfassungseinheit 210 ist mit einer Angriffsbewertung-Berechnungseinheit 211 und einer Angriffsbeurteilungseinheit 212 ausgestattet.
  • Die Angriffsabbrucheinheit 220 ist mit der Sensordatenspeichereinheit 221, der Steuersignalspeichereinheit 222, der Angriffsstartzeitpunkt-Identifizierungseinheit 223 und der Angriffsabbruchsignal-Erzeugungseinheit 224 ausgestattet.
  • Ein Angriffsabbruchprogramm, das den Computer veranlasst, als die Angriffserfassungseinheit 210, die Angriffsabbrucheinheit 220 und die Steuersignal-Ausgangseinheit 230 zu funktionieren, ist in dem Arbeitsspeicher 202 gespeichert.
  • Der Prozessor 201 führt das Angriffsabbruchprogramm aus, während das OS ausgeführt wird. Es ist zu beachten, dass OS für Operating System (Betriebssystem) steht.
  • Daten, die durch Ausführen des Angriffsabbruchprogramms erhalten werden, werden in einer Speichereinrichtung wie dem Arbeitsspeicher 202, einem Register in dem Prozessor 201 und einem Cache-Speicher in dem Prozessor 201 gespeichert.
  • Die Angriffsabbrucheinrichtung 200 kann mit einer Vielzahl von Prozessoren ausgestattet sein, die den Prozessor 201 ersetzen. Die Vielzahl von Prozessoren teilen sich eine Aufgabe des Prozessors 201.
  • Das Angriffsabbruchprogramm kann in einem nichtflüchtigen Aufzeichnungsmedium wie zum Beispiel einer optischen Platte und einem Flash-Speicher computerlesbar aufgezeichnet (gespeichert) sein.
  • *** Beschreibung von Arbeitsschritten ***
  • Die Arbeitsschritte des Angriffsabbruchsystems 100 (insbesondere der Angriffsabbrucheinrichtung 200) entsprechen einem Angriffsabbruchverfahren. Ein Ablauf des Angriffsabbruchverfahrens entspricht einem Ablauf des Angriffsabbruchprogramms.
  • Die Arbeitsschritte des Angriffsabbruchsystems 100 werden unter Bezugnahme auf die 3 bis 7 beschrieben.
  • Die Arbeitsschritte des Aktuators 111, des Sensors 112 und des Sensordatenspeichers 221 wird unter Bezugnahme auf 3 beschrieben.
  • Der Aktuator 111 arbeitet in Übereinstimmung mit einem Aktuator-Steuersignal, das von der Steuersignal-Ausgangseinheit 230, die später beschrieben wird, ausgegeben wird. Folglich wirkt der Aktuator 111 auf das Steuerziel 101 ein.
  • Der Sensor 112 misst den Status des Steuerziels 101 zu jedem Zeitpunkt. Folglich beobachtet der Sensor 112 eine Statusänderung des Steuerziels 101.
  • Der Sensor 112 gibt Sensordaten zu jedem Zeitpunkt aus. Die Sensordaten drücken einen Zeitpunkt und einen Statuswert aus. Der Statuswert drückt den Status des Steuerziels 101 aus.
  • Die von dem Sensor 112 ausgegebenen Sensordaten werden in jede von der Steuereinheit 113, der Angriffsbewertung-Berechnungseinheit 211 und der Sensordaten-Speichereinheit 221 eingegeben.
  • Die Sensordaten werden in die Sensordaten-Speichereinheit 221 zu jedem Zeitpunkt von dem Sensor 112 eingegeben. Die Sensordaten-Speichereinheit 221 akzeptiert die eingegebenen Sensordaten.
  • Die Sensordaten-Speichereinheit 221 speichert die akzeptierten Sensordaten aufeinanderfolgend in dem Arbeitsspeicher 202.
  • Da eine Kapazität des Arbeitsspeichers 202 begrenzt ist, kann die Sensordatenspeichereinheit 221 ein Speicherverfahren wie zum Beispiel einen Ringpuffer nutzen.
  • Der Ringpuffer hat eine Datenstruktur wie folgt. Jedes Datenstück wird in dem Ringpuffer gespeichert, bis eine Größe der gesamten gespeicherten Daten eine Standardgröße erreicht. Wenn die Größe der gespeicherten Daten jedoch die Standardgröße überschreitet, wird Überschreiben der gespeicherten Daten nacheinander, beginnend mit dem ältesten Datenstück, durchgeführt.
  • Die Sensordatenspeichereinheit 221 gibt eine in dem Arbeitsspeicher 202 gespeicherte Sensordatenreihe aus (siehe 6).
  • Die von der Sensordatenspeichereinheit 221 ausgegebene Sensordatenreihe wird in die Angriffsabbruchsignal-Erzeugungseinheit 224 eingegeben.
  • Die Sensordatenreihe setzt sich aus einem oder mehreren Sensordatenstück/en zusammen, die in einer zeitbasieren Reihenfolge aneinandergereiht sind.
  • Die Arbeitsschritte von jeder von der Steuereinheit 113 und der Steuersignalspeichereinheit 222 werden unter Bezugnahme auf 4 beschrieben.
  • Ein Steueralgorithmus, um den Aktuator 111 zu steuern, wird in der Steuereinheit 113 im Voraus eingestellt.
  • Die Sensordaten werden zu jedem Zeitpunkt von dem Sensor 112 in die Steuereinheit113 eingegeben. Die Steuereinheit 113 akzeptiert die eingegebenen Sensordaten.
  • Die Steuereinheit 113 führt den Steueralgorithmus auf die akzeptierten Sensordaten aus. Dementsprechend wird das Aktuator-Steuersignal erzeugt.
  • Es sei angenommen, dass das Steuerziel 101 eine Drohne ist, der Aktuator 111 ein Rotor ist und der Sensor 112 ein Neigungssensor ist. In diesem Fall werden Neigungsdaten, die eine Neigung der Drohne ausdrücken, in die Steuereinheit 113 eingegeben. Anschließend erzeugt die Steuereinheit 113 auf Grundlage der Neigungsdaten ein Steuersignal für den Rotor. Das Steuersignal für den Rotor ist ein PWM-Signal oder ein Wechselstromsignal. Es ist zu beachten, dass PWM für Pulsweitenmodulation steht.
  • Das durch die Steuereinheit 113 erzeugte Aktuator-Steuersignal wird als „reguläres Steuersignal“ bezeichnet.
  • Die Steuereinheit 113 gibt das erzeugte reguläre Steuersignal aus.
  • Das von der Steuereinheit 113 ausgegebene reguläre Steuersignal wird in jede von der Steuersignal-Speichereinheit 222 und der Steuersignal-Ausgangseinheit 230 eingegeben.
  • Das reguläre Steuersignal wird zu jedem Zeitpunkt von der Steuereinheit 113 in die Steuersignal-Speichereinheit 222 eingegeben. Die Steuersignal-Speichereinheit 222 akzeptiert das eingegebene reguläre Steuersignal.
  • Die Steuersignal-Speichereinheit 222 speichert das akzeptierte reguläre Steuersignal in dem Arbeitsspeicher 202. Es ist zu beachten, dass ein Signal in Daten umgewandelt und gespeichert wird.
  • Da die Kapazität des Arbeitsspeichers 202 begrenzt ist, kann die Steuersignal-Speichereinheit 222 ein Speicherverfahren wie beispielsweise einen Ringpuffer einsetzen.
  • Die Steuersignal-Speichereinheit 222 gibt eine gespeicherte reguläres-Steuersignal-Reihe über den Arbeitsspeicher 202 aus (siehe 6).
  • Die reguläres-Steuersignal-Reihe, die von der Steuersignal-Speichereinheit 222 ausgegeben wird, wird in die Angriffsabbruchsignal-Erzeugungseinheit 224 eingegeben.
  • Die reguläres-Steuersignal-Reihe setzt sich aus einem oder mehreren regulären Steuersignal/en zusammen, die in einer Zeitpunktreihenfolge aneinandergereiht sind.
  • Die Arbeitsschritte von jeder von der Angriffsbewertung-Berechnungseinheit 211, der Angriffsbeurteilungseinheit 212 und der Angriffsstartzeitpunkt-Identifizierungseinheit 223 werden unter Bezugnahme auf 5 beschrieben.
  • Die Sensordaten werden zu jedem Zeitpunkt von dem Sensor 112 in die Angriffsbewertung-Berechnungseinheit 211 eingegeben. Die Angriffsbewertung-Berechnungseinheit 211 akzeptiert die eingegebenen Sensordaten.
  • Die Angriffswert-Berechnungseinheit 211 extrahiert ein Angriffsmerkmal aus den akzeptierten Sensordaten und berechnet eine Angriffsbewertung auf Grundlage des extrahierten Angriffsmerkmals.
  • Das Angriffsmerkmal ist ein Merkmal, das in den Sensordaten erscheint, wenn ein Angriff durchgeführt wird.
  • Die Angriffsbewertung drückt eine Höhe der Wahrscheinlichkeit aus, dass ein Angriff durchgeführt wird.
  • Die Angriffsbewertung kann durch ein herkömmliches Verfahren berechnet sein. Beispielsweise berechnet die Angriffsbewertung-Berechnungseinheit 211 die Angriffsbewertung nach einem in der Nicht-Patent-Literatur 3 offengelegten Verfahren.
  • In dem in der Nicht-Patent-Literatur 3 offengelegten Verfahren werden verschiedene Sensoren verwendet, und eine Inkonsistenz in einem physikalischen Status wird auf Grundlage von verschiedenen Sensordaten überprüft.
  • Konkret offenbart die Nicht-Patent-Literatur 3 ein Angriffserfassungsverfahren, das einen Neigungssensor, der AHRS genannt wird, verwendet. Das AHRS ist aus einem Gyrosensor, einem Beschleunigungssensor und einem Magnetsensor gebildet. Es ist zu beachten, dass AHRS für Attitude Heading Reference System steht. Sowohl der Gyrosensor als auch der Beschleunigungssensor können die Schwerkraft messen. Sowohl der Gyrosensor als auch der Magnetsensor können Geomagnetismus messen. Dementsprechend ist es möglich, einen Fehler zwischen zwei durch zwei Verfahren gemessenen Schwerkräften und einen Fehler zwischen zwei durch zwei Verfahren gemessenen Magnetismen zu finden. Wenn ein Sensor angegriffen wird, häufen sich diese Fehler. Dementsprechend kann ein Angriff erfasst werden. Bei dem Angriffserfassungsverfahren der Nicht-Patent-Literatur 3 stellt die Angriffsbewertung daher einen Fehler zwischen zwei durch die zwei Verfahren gemessenen Schwerkräften und einen Fehler zwischen zwei durch die zwei Verfahren gemessenen Magnetismen dar.
  • Die Angriffsbewertung-Berechnungseinheit 211 gibt die berechnete Angriffsbewertung aus.
  • Die von der Angriffsbewertung-Berechnungseinheit 211 ausgegebene Angriffsbewertung wird in jede von der Angriffsbeurteilungseinheit 212 und der Angriffsstartzeitpunkt-Identifizierungseinheit 223 eingegeben.
  • Die Angriffsbewertung wird zu jedem Zeitpunkt von der Angriffsbewertung-Berechnungseinheit 211 in die Angriffsbeurteilungseinheit 212 eingegeben. Die Angriffsbeurteilungseinheit 212 akzeptiert die eingegebene Angriffsbewertung.
  • Die Angriffsbeurteilungseinheit 212 beurteilt auf Grundlage der Sensordaten von jedem Zeitpunkt, ob ein Angriff auf den Sensor 112 vorliegt oder nicht. Da die Angriffsbewertung von jedem Zeitpunkt auf Grundlage der Sensordaten von jedem Zeitpunkt berechnet wird, ist es möglich, zu umschreiben, dass die Angriffsbeurteilungseinheit 212 auf Grundlage der Sensordaten von jedem Zeitpunkt beurteilt, ob ein Angriff zu jedem Zeitpunkt vorliegt oder nicht.
  • So wird zum Beispiel ein Beurteilungsschwellenwert im Voraus festgelegt. Die Angriffsbeurteilungseinheit 212 vergleicht die Angriffsbewertung mit dem Beurteilungsschwellenwert und beurteilt auf Grundlage eines Vergleichsergebnisses, ob ein Angriff vorliegt oder nicht.
  • Wenn zum Beispiel die Angriffsbewertung höher ist als der Beurteilungsschwellenwert, beurteilt die Angriffsbeurteilungseinheit 212, dass „ein Angriff vorliegt“. „Ein Angriff liegt vor“ bedeutet, dass ein Angriff durchgeführt wird.
  • Die Nicht-Patent-Literatur 4 beschreibt die Berechnung einer Angriffsbewertung, die auf Sensordaten basiert, und ein Angriffsbeurteilungsverfahren, das einen Schwellenwert nutzt.
  • Die Angriffsbeurteilungseinheit 212 gibt ein Angriffsbeurteilungsergebnis aus.
  • Das Angriffsbeurteilungsergebnis, das von der Angriffsbeurteilungseinheit 212 ausgegeben wird, wird in jede von der Angriffsabbruchsignal-Erzeugungseinheit 224 und der Steuersignalausgabeeinheit 230 eingegeben.
  • Die Angriffsbewertung wird zu jedem Zeitpunkt von der Angriffsbewertung-Berechnungseinheit 211 in die Angriffsstartzeitpunkt-Identifizierungseinheit 223 eingegeben. Die Angriffsstartzeitpunkt-Identifizierungseinheit 223 akzeptiert die eingegebene Angriffsbewertung.
  • Die Angriffsstartzeitpunkt-Identifizierungseinheit 223 identifiziert den Zeitpunkt, zu dem der Angriff auf den Sensor 112 gestartet wird, auf Grundlage der Angriffsbewertung von jedem Zeitpunkt. Da die Angriffsbewertung von jedem Zeitpunkt auf Grundlage der Sensordaten von jedem Zeitpunkt berechnet wird, ist es möglich zu paraphrasieren, dass die Angriffsstartzeitpunkt-Identifizierungseinheit 223 einen Angriffsstartzeitpunkt auf Grundlage der Sensordaten von jedem Zeitpunkt identifiziert.
  • So wird zum Beispiel ein Identifizierungsschwellenwert im Voraus festgelegt. Dann vergleicht die Angriffsstartzeitpunkt-Identifizierungseinheit 223 die Angriffsbewertung mit dem Identifizierungsschwellenwert und beurteilt anhand eines Vergleichsergebnisses, ob ein Angriff vorliegt oder nicht.
  • Zum Beispiel identifiziert Angriffsstartzeitpunkt-Identifizierungseinheit 223 einen Zeitpunkt, zu dem die Angriffsbewertung den Identifizierungsschwellenwert überschreitet, als den Angriffsstartzeitpunkt.
  • In diesem Fall ist der Identifizierungsschwellenwert, der von der Angriffsstartzeitpunkt-Identifizierungseinheit 223 verwendet wird, niedriger als der Beurteilungsschwellenwert, der von der Angriffsbeurteilungseinheit 212 verwendet wird. Das heißt, der Schwellenwert der Angriffsstartzeitpunkt-Identifizierungseinheit 223 hat eine höhere Empfindlichkeit als der Schwellenwert der Angriffsbeurteilungseinheit 212.
  • Wenn die Angriffsstartzeitpunkt-Identifizierungseinheit 223 den Angriffsstartzeitpunkt in Übereinstimmung mit dem gleichen Verfahren wie das Verfahren der Angriffsbeurteilungseinheit 212 identifizieren soll, muss der Schwellenwert der Angriffsstartzeitpunkt-Identifizierungseinheit 223 eine höhere Empfindlichkeit als der Schwellenwert der Angriffsbeurteilungseinheit 212 haben. Der Unterschied in der Empfindlichkeit des Schwellenwerts ergibt sich aus Folgendem.
  • Bei der Angriffserfassung ist es notwendig, Fehlerfassung zu reduzieren. Dementsprechend muss der Schwellenwert einen gewissen Spielraum haben. In diesem Fall, obwohl ein Zeitpunkt, zu dem der Start erkennbar wird, erhalten wird, kann ein Zeitpunkt, zu dem der Angriff gestartet wird, nicht erhalten werden. In Anbetracht dessen wird die Empfindlichkeit des Schwellenwerts für das Identifizieren des Angriffsstartzeitpunkts erhöht. Somit kann ein Zeitpunkt identifiziert werden, der näher an dem Zeitpunkt liegt, zu dem der Angriff tatsächlich gestartet wird.
  • Es wird davon ausgegangen, dass als der Schwellenwert für die Angriffserfassung ein Wert festgelegt wird, nach dem die Fehlerfassung unter einer Bedingung am kleinsten wird, dass das Steuerziel 101 nicht anomal wird, selbst wenn das Steuerziel 101 angegriffen wird. Falls jedoch nach der Erfassung eines Angriffs keine Gegenmaßnahme ergriffen wird, wird der Status des Steuerziels 101 möglicherweise anomal. Der Grund dafür ist folgender: Nach dem Start des Angriffs wird der Sensor 112 insgesamt unbrauchbar, so dass seine spontane Wiederherstellung nicht zu erwarten ist.
  • Ein Unterschied zwischen dem Beurteilungsschwellenwert und dem Identifizierungsschwellenwert wird unter Bezugnahme auf 8 beschrieben.
  • Der Beurteilungsschwellenwert ist ein Schwellenwert, der von der Angriffsbeurteilungseinheit 212 verwendet wird. Mit anderen Worten ist der Beurteilungsschwellenwert ein Erfassungskriterium in der Angriffserfassungseinheit 210.
  • Der Identifizierungsschwellenwert ist ein Schwellenwert, der von der Angriffsstartzeitpunkt-Identifizierungseinheit 223 verwendet wird. Mit anderen Worten ist der Identifizierungsschwellenwert ein Identifizierungskriterium in der Angriffsstartzeitpunkt-Identifizierungseinheit 223.
  • Der [Angriffsstartzeitpunkt] ist ein Zeitpunkt, zu dem der Angriff tatsächlich gestartet wird.
  • Der [Angriffsendzeitpunkt] ist ein Zeitpunkt, zu dem der Angriff tatsächlich beendet wird.
  • Die Abszissenachse stellt die Zeit dar und die Ordinatenachse stellt die Angriffsbewertung dar.
  • In 8 wird ein Angriff zu einem bestimmten Zeitpunkt gestartet, der Angriff wird zu einem bestimmten Zeitpunkt erfasst, das Steuerziel 101 wird zu einem bestimmten Zeitpunkt anomal, und der Angriff endet zu einem bestimmten Zeitpunkt.
  • Der Identifizierungsschwellenwert ist niedriger als der Beurteilungsschwellenwert. Das heißt, der Identifizierungsschwellenwert hat eine hohe Empfindlichkeit. Daher wird der Angriffsstartzeitpunkt identifiziert, in einen normalen Zeitrahmen zu fallen. Wenn ein Angriff tatsächlich gestartet wird, erhöht sich die Angriffsbewertung. Zu einem bestimmten Zeitpunkt übersteigt die Angriffsbewertung den Beurteilungsschwellenwert, und der Angriff wird erfasst.
  • Wie in 8 dargestellt, besteht die Möglichkeit, dass ein zu identifizierender Angriffsstartzeitpunkt auf einen Zeitpunkt fällt, der vor dem tatsächlichen Angriffsstartzeitpunkt liegt. Der Status des Steuerziels 101 zum identifizierten Angriffsstartzeitpunkt ist jedoch normal. Daher ist es kein Problem, den Status des Steuerziels 101 auf den Status des identifizierten Angriffsstartzeitpunkts zurückzusetzen. Falls der Angriffsstartzeitpunkt hingegen auf einen Zeitpunkt fällt, der später ist als der tatsächliche Angriffsstartzeitpunkt, ist der Status des Steuerziels 101 zu dem identifizierten Angriffsstartzeitpunkt anomal. Daher entsteht ein Problem beim Wiederherstellen des Status des Steuerziels 101 auf den Status des identifizierten Angriffsstartzeitpunkts. Daher muss ein Zeitpunkt vor dem tatsächlichen Angriffsstartzeitpunkt als der Angriffsstartzeitpunkt identifiziert werden.
  • In Anbetracht dieser Tatsache wird ein Schwellenwert, der eine höhere Empfindlichkeit als der Beurteilungsschwellenwert hat, als der Identifizierungsschwellenwert verwendet.
  • Außerdem speichert die Angriffsstartzeitpunkt-Identifizierungseinheit 223 für einen vorherbestimmten Zeitraum den Zeitpunkt, zu dem die Angriffsbewertung den Identifikationsschwellenwert überschreitet. Der Grund ist wie folgt.
  • Falls nach dem Start des Angriffs die Angriffsbewertung schwankt und den Identifizierungsschwellenwert auch nur geringfügig unterschreitet, wird der Zeitpunkt, zu dem die Angriffsbewertung den Identifizierungsschwellenwert überschreitet, zurückgesetzt, es sei denn, der Zeitpunkt, zu dem die Angriffsbewertung den Identifizierungsschwellenwert vor dem Start des Angriffs überschritten hat, wurde für einen bestimmten Zeitraum memorisiert. Dementsprechend wird der zu identifizierende Angriffsstartzeitpunkt unerwünschterweise auf einen Zeitpunkt fallen, der später liegt als der tatsächliche Angriffsstartzeitpunkt.
  • In Anbetracht dieser Tatsache verwendet die Angriffsstartzeitpunkt-Identifizierungseinheit 223 einen Schwellenwertüberschreitung-Zähler.
  • Der Schwellenwertüberschreitung-Zähler ist ein Zähler, der für einen bestimmten Zeitraum einen Zeitpunkt speichert, zu dem die Angriffsbewertung den Identifizierungsschwellenwert überschritten hat.
  • Wenn die Angriffsbewertung den Identifizierungsschwellenwert nicht überschreitet, dekrementiert die Angriffsstartzeitpunkt-Identifizierungseinheit 223 den Schwellenwertüberschreitung-Zähler.
  • Wenn die Angriffsbewertung den Identifizierungsschwellenwert für den bestimmten Zeitraum nicht überschreitet, setzt die Angriffsstartzeitpunkt-Identifizierungseinheit 223 den Angriffsstartzeitpunkt zurück.
  • Dementsprechend kann der einmal identifizierte Angriffsstartzeitpunkt für den bestimmten Zeitraum gespeichert werden.
  • Ein Ablauf der Arbeitsschritte der Angriffsstartzeitpunkt-Identifizierungseinheit 223 wird unter Bezugnahme auf die 9 und 10 beschrieben.
  • In Schritt S101 akzeptiert die Angriffsstartzeitpunkt-Identifizierungseinheit 223 eine Angriffsbewertung.
  • In Schritt S102 vergleicht die Angriffsstartzeitpunkt-Identifizierungseinheit 223 die Angriffsbewertung mit dem Identifizierungsschwellenwert.
  • Falls die Angriffsbewertung höher ist als der Identifizierungsschwellenwert, fährt die Verarbeitung mit Schritt S111 fort.
  • Falls die Angriffsbewertung gleich oder kleiner als der Identifizierungsschwellenwert ist, fährt die Verarbeitung mit Schritt S121 fort.
  • In Schritt S111 setzt die Angriffsstartzeitpunkt-Identifizierungseinheit 223 einen Standardwert in dem Schwellenwertüberschreitung-Zähler ein.
  • In Schritt S112 beurteilt die Angriffsstartzeitpunkt-Identifizierungseinheit 223, ob sich der Angriffsstartzeitpunkt in einem Rücksetzstatus (0) befindet.
  • Falls sich der Angriffsstartzeitpunkt in einem Rücksetzstatus befindet, wird geschätzt, dass der Angriff erfolgt. In diesem Fall wird der Angriffsstartzeitpunkt nicht geändert, und die Verarbeitung fährt mit Schritt S113 fort.
  • Falls sich der Angriffsstartzeitpunkt nicht in einem Rücksetzstatus befindet, d. h. falls der Angriffsstartzeitpunkt ein bestimmter Zeitpunkt ist, fährt die Verarbeitung mit Schritt S114 fort.
  • In Schritt S113 bestimmt die Angriffsstartzeitpunkt-Identifizierungseinheit 223 den aktuellen Zeitpunkt als den Angriffsstartzeitpunkt.
  • In Schritt S114 gibt die Angriffsstartzeitpunkt-Identifizierungseinheit 223 den Angriffsstartzeitpunkt aus.
  • Nach Schritt S114 endet die Verarbeitung.
  • In Schritt S121 dekrementiert die Angriffsstartzeitpunkt-Identifizierungseinheit 223 den Schwellenwertüberschreitung-Zähler.
  • In Schritt S122 vergleicht die Angriffsstartzeitpunkt-Identifizierungseinheit 223 einen Wert auf dem Schwellenwertüberschreitung-Zähler mit einem Zähler-Schwellenwert. Der Zähler-Schwellenwert ist ein vorherbestimmter Wert. Der Zähler-Schwellenwert ist zum Beispiel 0.
  • Falls der Wert auf dem Schwellenwertüberschreitung-Zähler kleiner als der Zählerschwellenwert ist, fährt die Verarbeitung mit Schritt S123 fort.
  • Falls der Wert auf dem Schwellenwertüberschreitung-Zähler gleich oder größer als der Zähler-Schwellenwert ist, fährt die Verarbeitung mit Schritt S124 fort.
  • In Schritt S123 setzt die Angriffsstartzeitpunkt-Identifizierungseinheit 223 den Angriffsstartzeitpunkt zurück. Insbesondere bestimmt die Angriffsstartzeitpunkt-Identifizierungseinheit 223 „0“ als Angriffsstartzeitpunkt.
  • In Schritt S124 gibt die Angriffsstartzeitpunkt-Identifizierungseinheit 223 den Angriffsstartzeitpunkt aus.
  • Nach Schritt S124 endet die Verarbeitung.
  • Zurückkehrend zu 5, wird die Beschreibung der Angriffsstartzeitpunkt-Identifizierungseinheit 223 fortgesetzt.
  • Die Angriffsstartzeitpunkt-Identifizierungseinheit 223 gibt den identifizierten Angriffsstartzeitpunkt aus.
  • Der Angriffsstartzeitpunkt, der von der Angriffsstartzeitpunkt-Identifizierungseinheit 223 ausgegeben wird, wird in die Angriffsabbruchsignal-Erzeugungseinheit 224 eingegeben.
  • Arbeitsschritte der Angriffsabbruchsignal-Erzeugungseinheit 224 werden unter Bezugnahme auf 6 beschrieben.
  • Das Angriffsbeurteilungsergebnis wird zu jedem Zeitpunkt von der Angriffsbeurteilungseinheit 212 in die Angriffsabbruchsignal-Erzeugungseinheit 224 eingegeben. Die Angriffsabbruchsignal-Erzeugungseinheit 224 akzeptiert das eingegebene Angriffsbeurteilungsergebnis.
  • Der Angriffsstartzeitpunkt wird zu jedem Zeitpunkt von der Angriffsstartzeitpunkt-Identifizierungseinheit 223 in die Angriffsabbruchsignal-Erzeugungseinheit 224 eingegeben. Die Angriffsabbruchsignal-Erzeugungseinheit 224 akzeptiert den eingegebenen Angriffsstartzeitpunkt.
  • Die Sensordatenreihe wird von der Sensordatenspeichereinheit 221 in die Angriffsabbruchsignal-Erzeugungseinheit 224 eingegeben. Die Angriffsabbruchsignal-Erzeugungseinheit 224 akzeptiert die eingegebenen Sensordatenreihen.
  • Die reguläres-Steuersignal-Reihe wird von der Steuersignalspeichereinheit 222 in die Angriffsabbruchsignal-Erzeugungseinheit 224 eingegeben. Die Angriffsabbruchsignal-Erzeugungseinheit 224 akzeptiert die eingegebene reguläres-Steuersignal-Reihe.
  • Die Angriffsabbruchsignal-Erzeugungseinheit 224 erzeugt eine Angriffsabbruchsignalreihe auf Grundlage des Angriffsbeurteilungsergebnisses, des Angriffsstartzeitpunkts, der Sensordatenreihe und der reguläres-Steuersignal-Reihe.
  • Die Angriffsabbruchsignalreihe setzt sich aus einem oder mehreren Angriffsabbruchsignal/en zusammen, die auf der Zeitbasis aneinandergereiht sind.
  • Das Angriffsabbruchsignal ist ein Aktuator-Steuersignal zum Zurücksetzen des Status des Steuerziels 101 auf einen normalen Status.
  • Es ist zu beachten, dass die Angriffsabbruchsignal-Erzeugungseinheit 224 die Angriffsabbruchsignalreihe unter Verwendung der einen oder der anderen Sensordatenreihe und der reguläres-Steuersignal-Reihe erzeugen kann.
  • Ein Verfahren, die die Sensordatenreihe und nicht die reguläres-Steuersignal-Reihe nutzt, wird als <Erstes Verfahren> bezeichnet. Bei dem <Ersten Verfahren> ist die Steuersignalspeichereinheit 222 nicht notwendig.
  • Ein Verfahren, die die reguläres-Steuersignal-Reihe, aber nicht die Sensordatenreihe nutzt, wird als ein <Zweites Verfahren> bezeichnet. Bei dem <Zweiten Verfahren> ist die Sensordatenreihe nicht als Ganzes nicht notwendig, sondern es werden Sensordaten eines Zeitpunkts vor dem Angriffsstartzeitpunkt benötigt.
  • Ein Verfahren, die sowohl die Sensordatenreihe als auch die reguläres-Steuersignal-Reihe nutzt, wird al ein <Drittes Verfahren> bezeichnet.
  • Das <Erste Verfahren> wird nachfolgend beschrieben.
  • Bei dem <Ersten Verfahren> wird eine Sensordatenreihe invertiert und ein Aktuator-Steuersignal wird erzeugt, indem die invertierte Sensordatenreihe rückwärts verfolgt wird. Ein zu erzeugendes Aktuator-Steuersignal ist die Angriffsabbruchsignalreihe.
  • Ein Überblick über das <Erste Verfahren> wird unter Bezugnahme auf 11 beschrieben.
  • Eine Wellenform mit gestrichelter Linie drückt eine akzeptierte Sensordatenreihe aus.
  • Eine Wellenform mit durchgezogener Linie drückt eine verarbeitete Sensordatenreihe aus.
  • Die Abszissenachse stellt die Zeit dar, und die Ordinatenachse stellt einen Wert von Sensordaten dar.
  • Zunächst wird nach dem Start des Steuerziels 101 das Steuerziel 101 in Standby versetzt, so dass das Steuerziel 101 in einen stabilen Status versetzt wird.
  • Dann bestimmt die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Kriteriumwert auf Grundlage der Standby-Sensor-Datenreihe.
  • Der Kriteriumwert ist ein Wert, der den Status des Standby-Steuerziels 101 ausdrückt.
  • Anschließend extrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 aus den akzeptierten Sensordatenreihen eine Sensordatenreihe von seit dem Angriffsstartzeitpunkt. Die zu extrahierende Sensordatenreihe wird als eine „anomale Datenreihe“ bezeichnet.
  • Anschließend faltet die Angriffsabbruchsignal-Erzeugungseinheit 224 die anomale Datenreihe in Bezug auf eine Kriteriumwertachse zurück. Als ein Ergebnis wird eine anomale Datenreihe erhalten, deren physikalische Signifikanz invertiert ist.
  • Außerdem kehrt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Reihenfolge der anomalen Datenreihen entlang der Zeitachse um. Das heißt, die Angriffsabbruchsignal-Erzeugungseinheit 224 ändert die aneinandergereihte Reihenfolge der Werte in den anomalen Datenreihen von alt nach neu in eine aneinandergereihte Reihenfolge von neu nach alt.
  • Die verarbeitete anomale Datenreihe wird als eine „Angriffsabbruch-Datenreihe“ bezeichnet.
  • Dann führt die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Steueralgorithmus auf die Angriffsabbruch-Datenreihe aus. Als ein Ergebnis wird eine Angriffsabbruchsignalreihe erzeugt.
  • Der durch die Angriffsabbruchsignal-Erzeugungseinheit 224 auszuführende Steueralgorithmus ist der gleiche wie der durch die Steuereinheit 113 ausgeführte Steueralgorithmus.
  • Die Angriffsabbruchsignalreihe setzt sich aus einem oder mehreren Angriffsabbruchsignal/en zusammen, die auf der Zeitbasis aneinandergereiht sind. Die Angriffsabbruchsignalreihe hat ebenso wie die anomale Datenreihe eine zeitliche Breite.
  • Das <Erste Verfahren> ist besonders effektiv, wenn die Sensordatenreihe Linearität aufweist. Dies liegt daran, dass die Additivität gilt, wenn die Sensordatenreihe Linearität aufweist.
  • Ein Ablauf des <Ersten Verfahrens> wird unter Bezugnahme auf 12 beschrieben.
  • In Schritt S201 steht die Angriffsabbruchsignal-Erzeugungseinheit 224 in Bereitschaft, bis das Steuerziel 101 stabil wird.
  • Konkret steht die Angriffsabbruchsignal-Erzeugungseinheit 224 bereit, bis ein bestimmter Zeitraum nach dem Start des Steuerziels 101 abgelaufen ist.
  • In Schritt S202 akzeptiert die Angriffsabbruchsignal-Erzeugungseinheit 224 die Standby-Sensor-Datenreihe.
  • In Schritt S203 bestimmt die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Kriteriumwert auf Grundlage der Standby-Sensor-Datenreihe.
  • Die Angriffsabbruchsignal-Erzeugungseinheit 224 berechnet beispielsweise einen Mittelwert, einen Median oder einen Modus der Standby-Sensor-Datenreihe. Der zu berechnende Wert ist der Kriteriumwert.
  • Schritt S201 bis Schritt S203 können nur ausgeführt werden, wenn das Steuerziel 101 gestartet wird.
  • In Schritt S210 erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Angriffsabbruchsignalreihe unter Verwendung des bestimmten Kriteriumswerts.
  • Ein Ablauf eines Angriffsabbruchsignal-Erzeugungsprozesses (S210) wird unter Bezugnahme auf 13 beschrieben.
  • In Schritt S211 akzeptiert die Angriffsabbruchsignal-Erzeugungseinheit 224 ein Angriffsbeurteilungsergebnis.
  • In Schritt S212 beurteilt die Angriffsabbruchsignal-Erzeugungseinheit 224, ob ein Angriff vorliegt oder nicht auf Grundlage des Beurteilungsergebnisses.
  • Falls beurteilt wird, dass „ein Angriff vorliegt“ geht die Verarbeitung zu Schritt S213 weiter.
  • Falls beurteilt wird, dass „ein Angriff nicht vorliegt“ geht die Verarbeitung zu Schritt S215 weiter.
  • In Schritt S213 akzeptiert die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Angriffsstartzeitpunkt und eine Sensordatenreihe.
  • In Schritt S220 erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Angriffsabbruchsignalreihe auf Grundlage des in Schritt S213 akzeptierten Angriffsstartzeitpunkts, der in Schritt S213 akzeptierten Sensordatenreihe und des in Schritt S203 bestimmten Kriteriumwerts.
  • Ein Ablauf des Angriffsabbruchsignal-Erzeugungsprozesses (S220) wird später beschrieben.
  • In Schritt S214 erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 die Angriffsabbruchsignalreihe.
  • Insbesondere gibt die Angriffsabbruchsignal-Erzeugungseinheit 224 ein oder mehrere Angriffsabbruchsignal/e, das/die in der Angriffsabbruchsignalreihe enthalten ist/sind, nacheinander in der zeitbasierten Reihenfolge aus.
  • Nach Schritt S214 endet der Angriffsabbruchsignal-Erzeugungsprozess (S210).
  • In Schritt S215 gibt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Scheinsignalreihe als die Angriffsabbruchsignalreihe aus.
  • Die Scheinsignalreihe setzt sich aus einem oder mehreren Scheinwert/en zusammen. Der Scheinwert kann irgendeinen Wert annehmen. Der Scheinwert ist zum Beispiel „0“.
  • Nach Schritt S215 endet der Angriffsabbruchsignal-Erzeugungsprozess (S210).
  • Der Ablauf des Angriffsabbruchsignal-Erzeugungsprozesses (S220) wird nun unter Bezugnahme auf 14 beschrieben.
  • In Schritt S221 extrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 aus den in Schritt S213 akzeptierten Sensordatenreihen eine Sensordatenreihe von seit dem Angriffsstartzeitpunkt.
  • Die zu extrahierende Sensordatenreihe wird als eine „anomale Datenreihe“ bezeichnet.
  • Es ist zu beachten, dass die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Sensordatenreihe von seit einem Zeitpunkt extrahieren kann, der vor dem Angriffsstartzeitpunkt liegt. Als ein Ergebnis kann der Status des Steuerziels 101 auf einen Status von einem Zeitpunkt zurückgesetzt werden, der vor dem Angriffsstartzeitpunkt liegt.
  • In Schritt S222 transformiert die Angriffsabbruchsignal-Erzeugungseinheit 224 die anomale Datenreihe in eine Angriffsabbruchsdatenreihe.
  • Ein Datenreihentransformationsprozesses (S222) wird unter Bezugnahme auf 15 beschrieben.
  • In Schritt S2221 invertiert die Angriffsabbruchsignal-Erzeugungseinheit 224 jeden Sensordatenwert der anomalen Datenreihe in Bezug auf den Kriteriumwert.
  • Konkret ändert die Angriffsabbruchsignal-Erzeugungseinheit 224 jeden Sensordatenwert der anomalen Datenreihe wie folgt in Bezug auf den Kriteriumwert.
  • Zunächst subtrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 den Kriteriumwert von dem Sensordatenwert.
  • Anschließend invertiert die Angriffsabbruchsignal-Erzeugungseinheit 224 ein Vorzeichen (Plus/Minus) von dem Post-Subtraktion-Sensordatenwert.
  • Dann subtrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 den Kriteriumwert von dem vorzeicheninvertierten Sensordatenwert.
  • Die Post-Subtraktion-Sensorwertdaten sind der Sensordatenwert, die in Bezug auf den Kriteriumwert invertiert ist.
  • Jeder Sensordatenwert der anomalen Datenreihe kann durch Ausführen von Ausdruck (1) in Bezug auf den Kriteriumwert invertiert sein.
  • Es ist zu beachten, dass:
    • „S'“ für einen Sensordatenwert steht, der in Bezug auf den Kriteriumwert invertiert ist;
    • „S“ für einen Sensordatenwert der anomalen Datenreihe steht; und
    • „std“ für den Kriteriumwert steht.
  • S ' = ( S std ) + std
    Figure DE112018008092B4_0001
     = 2 std S
    Figure DE112018008092B4_0002
  • In Schritt S2222 kehrt die Angriffsabbruchsignal-Erzeugungseinheit 224 die Reihenfolge der Sensordatenwerte auf der Zeitbasis um.
  • Eine anomale Datenreihe nach Schritt S2222 ist die Angriffsabbruch-Datenreihe.
  • Zurückkehrend zu 14 wird Schritt S223 erläutert.
  • In Schritt S223 führt die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Steueralgorithmus auf die Angriffsabbruchdatenreihe aus. Ein so erzeugtes Aktuator-Steuersignal ist die Angriffsabbruchsignalreihe.
  • Der in Schritt S223 ausgeführte Steueralgorithmus ist der gleiche wie der Steueralgorithmus in der Steuereinheit 113.
  • Es wird das <Zweite Verfahren> beschrieben.
  • Bei dem <zweiten Verfahren> werden ein normaler Status eines Steuerziels 101 und ein Status eines Steuerziels 101, der aufgrund einer durch einen Angriff verursachten Fehlsteuerung anomal geworden ist, miteinander verglichen, so dass eine Aktuator-Steuersignalreihe zum Zurücksetzen des anomalen Status auf den normalen Status erzeugt wird. Die zu erzeugende Aktuator-Steuersignalreihe ist die Angriffsabbruchsignalreihe.
  • Um den normalen Status des Steuerziels 101 zu beurteilen, extrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Sensordatenwert von unmittelbar vor einem Angriffsstartzeitpunkt aus einer akzeptierten Sensordatenreihe.
  • Um den anomalen Status des Steuerziels 101 zu spekulieren, extrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 eine reguläres-Steuersignal-Reihe von seit dem Angriffsstartzeitpunkt aus einer akzeptierten reguläres-Steuersignal-Reihe. Die zu extrahierende reguläres-Steuersignal-Reihe wird als eine „anomales-Steuersignal-Reihe“ bezeichnet.
  • Dann identifiziert die Angriffsabbruchsignal-Erzeugungseinheit 224, in welchem anomalen Status sich der Status des Steuerziels 101 befindet, indem ein Statuschätzalgorithmus eingesetzt wird.
  • Darüber hinaus erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Aktuatorsteuersignalreihe, so dass das Steuerziel 101 aus dem anomalen Status auf den normalen Status zurückgesetzt wird. Die zu erzeugende Aktuator-Steuersignalreihe ist die Angriffsabbruchsignalreihe.
  • Das <Zweite Verfahren> ist besonders effektiv, wenn die Sensordatenreihe Nichtlinearität aufweist.
  • Ein Ablauf des <Zweiten Verfahrens> wird unter Bezugnahme auf 16 beschrieben.
  • In Schritt S311 akzeptiert die Angriffsabbruchsignal-Erzeugungseinheit 224 ein Angriffsbeurteilungsergebnis.
  • In Schritt S312 beurteilt die Angriffsabbruchsignal-Erzeugungseinheit 224, ob ein Angriff vorliegt oder nicht auf Grundlage des Angriffsbeurteilungsergebnisses.
  • Falls beurteilt wird, dass „ein Angriff vorliegt“, geht die Verarbeitung zu Schritt S313 weiter.
  • Falls beurteilt wird, dass „ein Angriff nicht vorliegt“ geht die Verarbeitung zu Schritt S315 weiter.
  • In Schritt S313 akzeptiert die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Angriffsstartzeitpunkt, eine reguläres-Steuersignal-Reihe und eine Sensordatenreihe.
  • In Schritt S320 erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Angriffsabbruchsignalreihe auf Grundlage des Angriffsstartzeitpunkts, der reguläres-Steuersignal-Reihe und der Sensordatenreihe.
  • Ein Vorgang des Angriffsabbruchsignal-Erzeugungsprozesses (S320) wird später beschrieben.
  • In Schritt S314 erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 die Angriffsabbruchsignalreihe.
  • Insbesondere gibt die Angriffsabbruchsignal-Erzeugungseinheit 224 ein oder mehrere Angriffsabbruchsignal/e, das/die in der Angriffsabbruchsignalreihe enthalten ist/sind, nacheinander in der zeitbasierten Reihenfolge aus.
  • Nach Schritt S314 endet die Verarbeitung.
  • In Schritt S315 gibt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Scheinsignalreihe als die Angriffsabbruchsignalreihe aus.
  • Die Scheinsignalreihe setzt sich aus einem oder mehreren Scheinwert/en zusammen. Der Scheinwert kann irgendeinen Wert annehmen. Der Scheinwert ist zum Beispiel „0“.
  • Nach Schritt S315 endet der Prozess.
  • Der Ablauf des Angriffsabbruchsignal-Erzeugungsprozesses (S320) wird nun unter Bezugnahme auf 17 beschrieben.
  • In Schritt S321 extrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 aus der in Schritt S313 akzeptierten reguläres-Steuersignal-Reihe eine reguläres-Steuersignal-Reihe von seit dem Angriffsstartzeitpunkt.
  • Die zu extrahierende reguläres-Steuersignal-Reihe wird als eine „anomales-Steuersignal-Reihe“ bezeichnet.
  • Es ist zu beachten, dass die Angriffsabbruchsignal-Erzeugungseinheit 224 eine reguläres-Steuersignal-Reihe von seit einem Zeitpunkt extrahieren kann, der vor dem Angriffsstartzeitpunkt liegt. Dementsprechend kann der Status des Steuerziels 101 auf einen Status von einem Zeitpunkt zurückgesetzt werden, der vor dem Angriffsstartzeitpunkt liegt.
  • In Schritt S322 führt die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Statusschätzalgorithmus unter Verwendung der anomalen Steuersignalreihe aus. Dementsprechend wird ein Status des aktuellen Steuerziels 101, das heißt ein anomaler Status des Steuerziels 101, geschätzt. Ein Wert, der einen anomalen Status ausdrückt, wird als ein „anomaler Statuswert“ bezeichnet.
  • Für die Ausführung des Statusschätzalgorithmus kann zum Beispiel eine auf Systemidentifikation basierende Statusschätzeinrichtung oder ein Kalman-Filter genutzt werden.
  • Die auf der Systemidentifikation basierende Statusschätzeinrichtung ist in der Nicht-Patent-Literatur 5 beschrieben.
  • Das Kalman-Filter ist in der Nicht-Patent-Literatur 6 beschrieben.
  • In Schritt S323 extrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 Sensordaten von einem Zeitpunkt, der vor dem Angriffsstartzeitpunkt liegt, aus der in Schritt S313 akzeptierten Sensordatenreihe. Insbesondere extrahiert die Angriffsabbruchsignal-Erzeugungseinheit 224 Sensordaten von unmittelbar vor dem Angriffsstartzeitpunkt.
  • Die zu extrahierenden Sensordaten drücken einen normalen Status des Steuerziels 101 aus. Ein Wert, der den normalen Status ausdrückt, wird als ein „normaler Statuswert“ bezeichnet.
  • Die Angriffsabbruchsignal-Erzeugungseinheit 224 kann Sensordaten von einem Zeitpunkt akzeptieren, der vor dem Angriffsstartzeitpunkt liegt, anstatt eine Sensordatenreihe in Schritt S313 zu akzeptieren.
  • In Schritt S324 berechnet die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Differenz zwischen dem anomalen Statuswert und dem normalen Statuswert. Die zu berechnende Differenz wird als ein „Statusänderungsbetrag“ bezeichnet.
  • Der Statusänderungsbetrag ist ein Änderungsbetrag von dem durch die in Schritt S323 extrahierten Sensordaten ausgedrückten Status in den in Schritt S322 geschätzten Status.
  • In Schritt S325 erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Angriffsabbruchsignalreihe basierend auf dem Statusänderungsbetrag.
  • Konkret erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Aktuator-Steuersignalreihe, die den Statusänderungsbetrag aufhebt. Das heißt, die Angriffsabbruchsignal-Erzeugungseinheit 224 erzeugt eine Aktuator-Steuersignalreihe zum Zurücksetzen des Status des Steuerziels 101 nur um den Statusänderungsbetrag. Die zu erzeugende Aktuator-Steuersignalreihe ist die Angriffsabbruchsignalreihe.
  • Es sei angenommen, dass das Steuerziel 101 eine Drohne ist, der Aktuator 111 ein Rotor ist und der Sensor 112 ein Neigungssensor ist.
  • Der Neigungssensor misst die Neigung der Drohne in einem Weltkoordinatensystem. Die Neigung der Drohne im Weltkoordinatensystem wird durch drei Werte ausgedrückt: Roll-Wert, Nick-Wert und Gier-Wert. In diesem Fall ist ein Drehungsbetrag der Drohne um eine Rollachse, eine Nickachse und eine Gierachse der Statusänderungsbetrag.
  • Die Angriffsabbruchsignal-Erzeugungseinheit 224 erzeugt ein oder mehrere Aktuator-Steuersignal/e, das/die den Rotor betätigt/betätigen, so dass die Drohne um den Statusänderungsbetrag um die Rollachse, die Nickachse und die Gierachse invers gedreht wird. Das eine oder die mehreren zu erzeugende/n Aktuator-Steuersignal/e bildet/bilden die Angriffsabbruchsignalreihe.
  • Wenn zum Beispiel eine Drehung von +10 Grad um eine beliebige Achse aus der Rollachse, Nickachse und Gierachse der Statusänderungsbetrag ist, ist ein Aktuator-Steuersignal, das eine Drehung von -10 Grad um diese Achse bewirkt, das Angriffsabbruchsignal.
  • Das <Dritte Verfahren> wird nun beschrieben. Bei dem <Dritten Verfahren> wird eine Angriffsabbruchsignalreihe mit Hilfe einer Sensordatenreihe und einer reguläres-Steuersignal-Reihe erzeugt.
  • Die Angriffsabbruchsignal-Erzeugungseinheit 224 erzeugt die Angriffsabbruchsignalreihe wie folgt.
  • Zunächst erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Angriffsabbruchsignalreihe durch das <Erste Verfahren> unter Verwendung einer Sensordatenreihe. Die zu erzeugende Angriffsabbruchsignalreihe wird als eine <Erste Kandidatenreihe> bezeichnet.
  • Außerdem erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Angriffsabbruchsignalreihe durch das <Zweite Verfahren> unter Verwendung einer reguläres-Steuersignal-Reihe. Die zu erzeugende Angriffsabbruchsignalreihe wird als eine <Zweite Kandidatenreihe> bezeichnet.
  • Dann erzeugt die Angriffsabbruchsignal-Erzeugungseinheit 224 eine Angriffsabbruchsignalreihe unter Verwendung der ersten Kandidatenreihe und der zweiten Kandidatenreihe.
  • Beispielsweise schätzt die Angriffsabbruchsignal-Erzeugungseinheit 224 einen Durchschnitt eines Signalwerts eines Angriffsabbruchsignals in der ersten Kandidatenreihe und eines Signalwerts eines Angriffsabbruchsignals in der zweiten Kandidatenreihe, in der Weise einer Zeitreihe. Eine Zeitreihe des erhaltenen Durchschnitts ist die Angriffsabbruchsignalreihe.
  • Zurückkehrend zu 6, wird die Beschreibung der Angriffsabbruchsignal-Erzeugungseinheit 224 fortgesetzt.
  • Die Angriffsabbruchsignal-Erzeugungseinheit 224 gibt die erzeugte Angriffsabbruchsignalreihe aus.
  • Die von der Angriffsabbruchsignal-Erzeugungseinheit 224 ausgegebene Angriffsabbruchsignalreihe wird in die Steuersignal-Ausgangseinheit 230 eingegeben.
  • Arbeitsschritte der Steuersignal-Ausgangseinheit 230 wird unter Bezugnahme auf 7 beschrieben.
  • Das Angriffsbeurteilungsergebnis wird zu jedem Zeitpunkt von der Angriffsbeurteilungseinheit 212 in die Steuersignal-Ausgangseinheit 230 eingegeben. Die Steuersignal-Ausgangseinheit 230 akzeptiert das eingegebene Angriffsbeurteilungsergebnis.
  • Das reguläre Steuersignal wird zu jedem Zeitpunkt von der Steuereinheit 113 in die Steuersignal-Ausgangseinheit 230 eingegeben. Die Steuersignal-Ausgangseinheit 230 akzeptiert das eingegebene reguläre Steuersignal.
  • Die Angriffsabbruchsignalreihe wird von der Angriffsabbruchsignal-Erzeugungseinheit 224 in die Steuersignal-Ausgangseinheit 230 eingegeben. Die Steuersignal-Ausgangseinheit 230 akzeptiert die eingegebene Angriffsabbruchsignalreihe.
  • Die Steuersignal-Ausgangseinheit 230 wählt eines oder das andere von dem regulären Steuersignal und der Angriffsabbruchsignalreihe basierend auf dem Angriffsbeurteilungsergebnis aus.
  • Falls das Angriffsbeurteilungsergebnis anzeigt, dass „kein Angriff vorliegt“, wählt die Steuersignal-Ausgangseinheit 230 das reguläre Steuersignal aus. Falls das Angriffsbeurteilungsergebnis anzeigt, dass „ein Angriff vorliegt“ ist, wählt die Steuersignal-Ausgangseinheit 230 die Angriffsabbruchsignalreihe aus.
  • Wenn das reguläre Steuersignal ausgewählt ist, gibt die Steuersignal-Ausgangseinheit 230 das reguläre Steuersignal aus. Das von der Steuersignal-Ausgangseinheit 230 ausgegebene reguläre Steuersignal wird in den Aktuator 111 eingegeben.
  • Der Aktuator 111 akzeptiert das eingegebene reguläre Steuersignal und arbeitet gemäß dem akzeptierten regulären Steuersignal. Dementsprechend wirkt der Aktuator 111 auf das Steuerziel 101 ein, und das Steuerziel 101 ändert seinen Status.
  • Wenn die Angriffsabbruchsignalreihe ausgewählt ist, gibt die Steuersignal-Ausgangseinheit 230 die Angriffsabbruchsignalreihe aus. Konkret gibt die Steuersignal-Ausgangseinheit 230 das Angriffsabbruchsignal in der Reihenfolge aus, in der dieses von der Zwischensteuersignal-Erzeugungseinheit 241 ausgegeben wird, bis ein Scheinsignal von der Zwischensteuersignal-Erzeugungseinheit 241 eingegeben wird.
  • Das von der Steuersignal-Ausgangseinheit 230 ausgegebene Angriffsabbruchsignal wird in den Aktuator 111 eingegeben.
  • Der Aktuator 111 akzeptiert das eingegebene Angriffsabbruchsignal und arbeitet gemäß dem akzeptierten Angriffsabbruchsignal. Dementsprechend wirkt der Aktuator 111 auf das Steuerziel 101 ein, und das Steuerziel 101 ändert seinen Status.
  • *** Wirkung der Ausführungsform 1 ***
  • In Ausführungsform 1 wird eine Gruppe aus einem Angriffsstartzeitpunkt und einer Sensordatenreihe oder eine Gruppe aus einem Angriffsstartzeitpunkt und einer Aktuatorsteuersignalreihe verwendet. Dann wird identifiziert, wie der Status des Steuerziels 101 durch den Angriff verändert wurde oder in welchen Status das Steuerziel 101 durch eine fehlerhaft ausgeführte Steuerung versetzt wurde, und es wird ein Angriffsabbruchsignal zur Durchführung einer Steuerung erzeugt, die das Steuerziel 101 auf einen normalen Status zurücksetzt. Als ein Ergebnis kann das Steuerziel 101 aus einem durch einen Angriff verursachten anomalen Status wiederhergestellt werden.
  • Sensordaten und ein Aktuator-Steuersignal können von dem Steuersystem 110 in die Angriffsabbrucheinrichtung 200 eingegeben werden. Daher muss der Sensor 112 nicht verarbeitet werden. Außerdem wird der Sensor 112 nicht nachteilig beeinflusst.
  • Der Sensor 112 ist nicht auf einen bestimmten Sensor beschränkt. Ausführungsform 1 kann auf einen Sensor 112 angewendet werden, wie zum Beispiel einen Temperatursensor, einen optischen Sensor und einen Drucksensor, mit Ausnahme des Neigungssensors, der als ein Beispiel angegeben wurde. Es wird keine besondere Bedingung gestellt, zum Beispiel, dass der Sensor 112 mit einem Abtastzeitraum einstellbar sein muss.
  • Die Angriffsabbrucheinrichtung 200 erzeugt ein Angriffsabbruchsignal unter Verwendung anomaler Sensordaten oder eines anomalen Aktuator-Steuersignals. Daher kann auch in einer Situation, in der normale Sensordaten überhaupt nicht genutzt werden können, das Steuerziel 101 aus einem anomalen Status infolge eines Angriffs wiederhergestellt werden.
  • *** Weitere Konfigurationen ***
  • Die Angriffserfassungseinheit 210 und die Angriffsabbrucheinheit 220 können jeweils mit einer Angriffswertberechnungseinheit (211) ausgestattet sein.
  • Die einzelnen Angriffsbewertung-Berechnungseinheiten (211) können Angriffsbewertungen durch das gleiche Verfahren oder durch unterschiedliche Verfahren durchführen.
  • Die Angriffsbeurteilungseinheit 212 nutzt eine Angriffsbewertung, die durch die Angriffsbewertung-Berechnungseinheit 211 der Angriffserfassungseinheit 210 berechnet wurde.
  • Die Angriffsstartzeitpunkt-Identifizierungseinheit 223 verwendet eine Angriffsbewertung, die durch die Angriffsbewertung-Berechnungseinheit der Angriffsabbrucheinheit 220 berechnet wurde.
  • Die Angriffsabbrucheinrichtung 200 und die Steuereinheit 113 können vereinheitlicht sein.
  • Die Angriffsabbrucheinrichtung 200 kann aus einer Vielzahl von Einrichtungen zusammengesetzt sein. Die Angriffserfassungseinheit 210 kann zum Beispiel durch eine externe Angriffserfassungseinrichtung implementiert sein.
  • Wenn das Angriffsabbruchsignal durch das <Erste Verfahren> erzeugt wird, muss die Angriffsabbrucheinrichtung 200 nicht mit einer Steuersignalspeichereinheit 222 ausgestattet sein.
  • Ausführungsform 2.
  • Eine Ausführungsform zur Bewerkstelligung eines Angriffs, der auch dann noch andauert, wenn das Steuerziel 101 aus einem anomalen Status wiederhergestellt ist, wird hauptsächlich im Hinblick auf einen Unterschied zu Ausführungsform 1 unter Bezugnahme auf die 18 bis 25 beschrieben.
  • *** Beschreibung von Konfigurationen ***
  • Eine Konfiguration eines Angriffsabbruchsystems 100 wird unter Bezugnahme auf 18 beschrieben.
  • Das Angriffsabbruchsystem 100 ist mit einem Steuersystem 110 und einer Angriffsabbrucheinrichtung 200, wie in Ausführungsform 1 erläutert, ausgestattet.
  • Die Angriffsabbrucheinrichtung 200 ist zusätzlich zu den in Ausführungsform 1 beschriebenen Elementen mit einer Zwischensteuersignal-Erzeugungseinheit 241 ausgestattet.
  • Eine Konfiguration der Angriffsabbrucheinrichtung 200 wird unter Bezugnahme auf 19 beschrieben.
  • Die Angriffsabbrucheinrichtung 200 ist zusätzlich zu den in Ausführungsform 1 beschriebenen Elementen mit einer Zwischensteuereinheit 240 ausgestattet.
  • Die Zwischensteuereinheit 240 ist mit der Zwischensteuersignal-Erzeugungseinheit 241 ausgestattet.
  • Das Angriffsabbruchprogramm bewirkt ferner, dass der Computer als die Zwischensteuereinheit 240 funktioniert.
  • *** Beschreibung von Arbeitsschritten ***
  • Die Arbeitsschritte der Angriffsabbruchsignal-Erzeugungseinheit 241 werden unter Bezugnahme auf 20 beschrieben.
  • Ein Angriffsbeurteilungsergebnis wird zu jedem Zeitpunkt von einer Angriffsbeurteilungseinheit 212 in die Zwischensteuersignal-Erzeugungseinheit 241 eingegeben. Die Zwischensteuersignal-Erzeugungseinheit 241 akzeptiert das eingegebene Angriffsbeurteilungsergebnis.
  • Der Angriffsstartzeitpunkt wird zu jedem Zeitpunkt von einer Angriffsstartzeitpunkt-Identifizierungseinheit 223 in die Angriffsabbruchsignal-Erzeugungseinheit 241 eingegeben. Die Zwischensteuersignal-Erzeugungseinheit 241 akzeptiert den eingegebenen Angriffsstartzeitpunkt.
  • Eine Sensordatenreihe wird von einer Sensordatenspeichereinheit 221 in die Zwischensteuersignal-Erzeugungseinheit 241 eingegeben. Die Zwischensteuersignal-Erzeugungseinheit 241 akzeptiert die eingegebene Sensordatenreihe.
  • Eine reguläres-Steuersignal-Reihe wird von einer Steuersignal-Speichereinheit 222 in die Zwischensteuersignal-Erzeugungseinheit 241 eingegeben. Die Zwischensteuersignal-Erzeugungseinheit 241 akzeptiert die eingegebene reguläres-Steuersignal-Reihe.
  • Die Zwischensteuersignal-Erzeugungseinheit 241 erzeugt eine Zwischensteuersignalreihe basierend auf dem Angriffsbeurteilungsergebnis, dem Angriffsstartzeitpunkt, der Sensordatenreihe und der reguläres-SteuersignalReihe.
  • Die Zwischensteuersignalreihe ist eine prädiktive Aktuator-Steuersignalreihe eines Falles, in dem ein Angriff auf einen Sensor 112 nicht durchgeführt wird.
  • Die Zwischensteuersignalreihe setzt sich aus einem oder mehreren Steuersignal/en zusammen, die auf der Zeitbasis aneinandergereiht sind.
  • Das Zwischensteuersignal ist ein vorhergesagtes normales Aktuator-Steuersignal.
  • Es ist zu beachten, dass die Zwischensteuersignal-Erzeugungseinheit 241 die Zwischensteuersignalreihe unter Verwendung der einen oder der anderen von der Sensordatenreihe und der reguläres-Steuersignal-Reihe erzeugt.
  • Ein Verfahren, die die Sensordatenreihe und nicht die reguläres-Steuersignal-Reihe nutzt, wird als ein <Erstes Verfahren> bezeichnet.
  • Ein Verfahren, die die Sensordatenreihe und nicht die reguläres-Steuersignal-Reihe nutzt, wird als ein <Zweites Verfahren> bezeichnet.
  • Das [Erste Verfahren] wird erläutert.
  • Bei dem [Ersten Verfahren] wird eine zukünftige Reihe auf Grundlage einer normalen Sensordatenreihe vorhergesagt und eine Aktuator-Steuersignalreihe, die der vorhergesagten Sensordatenreihe entspricht, erzeugt. Die zu erzeugende Aktuator-Steuersignalreihe ist die Zwischensteuersignalreihe.
  • Ein Ablauf des [Ersten Verfahrens] wird unter Bezugnahme auf 21 erläutert.
  • In Schritt S411 akzeptiert die Zwischensteuersignal-Erzeugungseinheit 241 ein Angriffsbeurteilungsergebnis.
  • In Schritt S412 beurteilt die Angriffsabbruchsignal-Erzeugungseinheit 241, ob ein Angriff vorliegt oder nicht auf Grundlage des Beurteilungsergebnisses.
  • Falls beurteilt wird, dass „ein Angriff vorliegt“ geht die Verarbeitung zu Schritt S413 weiter.
  • Falls beurteilt wird, dass „ein Angriff nicht vorliegt“ geht die Verarbeitung zu Schritt S417 weiter.
  • In Schritt S413 akzeptiert die Zwischensteuersignal-Erzeugungseinheit 241 einen Angriffsstartzeitpunkt und eine Sensordatenreihe.
  • In Schritt S420 erzeugt die Zwischensteuersignal-Erzeugungseinheit 241 eine Zwischensteuersignalreihe auf Grundlage des Angriffsstartzeitpunkts und der Sensordatenreihe.
  • Ein Ablauf eines Zwischensteuersignal-Erzeugungsprozesses (S420) wird später beschrieben.
  • In Schritt S414 gibt die Zwischensteuersignal-Erzeugungseinheit 241 die Zwischensteuersignalreihe aus.
  • Insbesondere gibt die Zwischensteuersignal-Erzeugungseinheit 241 ein oder mehrere Zwischensteuersignal/e, das/die in der Zwischensteuersignalreihe enthalten ist/sind, nacheinander in der zeitbasierten Reihenfolge aus.
  • In Schritt S415 akzeptiert die Zwischensteuersignal-Erzeugungseinheit 241 ein nächstes Angriffsbeurteilungsergebnis.
  • In Schritt S416 beurteilt die Zwischensteuersignal-Erzeugungseinheit 241, ob ein Angriff vorliegt oder nicht auf Grundlage des nächsten Beurteilungsergebnisses.
  • Falls beurteilt wird, dass „ein Angriff vorliegt“ geht die Verarbeitung zu Schritt S414 weiter.
  • Falls beurteilt wird, dass „ein Angriff nicht vorliegt“ endet die Verarbeitung.
  • In Schritt S417 gibt die Zwischensteuersignal-Erzeugungseinheit 241 eine Scheinsignalreihe an die Zwischensteuersignalreihe aus.
  • Die Scheinsignalreihe setzt sich aus einem oder mehreren Scheinwert/en zusammen. Der Scheinwert kann irgendeinen Wert annehmen. Der Scheinwert ist zum Beispiel „0“.
  • Nach Schritt S417 endet die Verarbeitung.
  • Der Ablauf des Zwischensteuersignal-Erzeugungsprozesses (S420) wird nun unter Bezugnahme auf 22 beschrieben.
  • In Schritt S421 extrahiert die Zwischensteuersignal-Erzeugungseinheit 241 aus den akzeptierten Sensordatenreihen eine Sensordatenreihe von vor dem Angriffsstartzeitpunkt.
  • Die zu extrahierende Sensordatenreihe wird als eine „anomale Datenreihe“ bezeichnet.
  • In Schritt S422 führt die Zwischensteuersignal-Erzeugungseinheit 241 einen Vorhersagealgorithmus auf die normalen Datenreihen aus. Somit wird eine Vorhersagedatenreihe erzeugt.
  • Der Vorhersagealgorithmus ist ein Algorithmus zur Vorhersage einer zukünftigen Sensordatenreihe basierend auf einer vergangenen Sensordatenreihe.
  • Die Vorhersagedatenreihe ist eine prädiktive Sensordatenreihe von seit dem Angriffsstartzeitpunkt.
  • Als der Vorhersagealgorithmus kann eine Regressionsanalyse gegeben sein. Die Regressionsanalyse wird häufig als Zeitreihendatenanalyse eingesetzt.
  • Zum Beispiel wird ein ARIMA-Modell durch den Vorhersagealgorithmus auf Grundlage der normalen Datenreihe schätzt. Dann wird eine Vorhersagedatenreihe auf Grundlage des ARIMA-Modells erzeugt. Es ist zu beachten, dass ARIMA für Seasonal Autoregressive Integrated Moving Average steht.
  • Sensordaten von seit dem Angriffsstartzeitpunkt können ebenfalls genutzt werden, sofern diese nicht vollständig anormalisiert wurden. Die Zwischensteuersignal-Erzeugungseinheit 241 kann teilweise Informationen aus den Sensordaten von seit dem Angriffsstartzeitpunkt extrahieren, die für die Steuerung eines Aktuators 111 genutzt werden können, und kann die extrahierten Informationen (Informationen eines normalen Teils) verwenden.
  • Es sei zum Beispiel angenommen, dass bekannt ist, dass ein Angriff nur die jeweiligen Sensordaten verzerrt. In diesem Fall vergleicht die Zwischensteuersignal-Erzeugungseinheit 241 eine extrahierte Sensordatenreihe mit einer vergangenen Sensordatenreihe, entfernt die Verzerrung (Bias) aus der extrahierten Sensordatenreihe basierend auf einem Vergleichsergebnis und erzeugt eine Vorhersagedatenreihe basierend auf der Sensordatenreihe, aus der die Verzerrung entfernt wurde.
  • Falls zum Beispiel ein Angriff auf einen Wert entlang einer Achse unter Werten von drei Achsen erfolgt, die durch einzelne Sensordaten angegeben sind, kann die Zwischensteuersignal-Erzeugungseinheit 241 Werte entlang der verbleibenden zwei Achsen verwenden, die durch die einzelnen Sensordaten ausgedrückt sind.
  • In Schritt S423 führt die Zwischensteuersignal-Erzeugungseinheit 241 einen Vorhersagealgorithmus auf die Vorhersagedatenreihen aus. Eine durch diese Ausführung erzeugte Aktuator-Steuersignalreihe ist die Zwischensteuersignalreihe.
  • Der in Schritt S423 ausgeführte Steueralgorithmus ist der gleiche wie der Steueralgorithmus in der Steuereinheit 113.
  • Es wird das <Zweite Verfahren> beschrieben.
  • Bei dem [Zweiten Verfahren] wird eine zukünftige Aktuatorsteuersignalreihe auf Grundlage einer normalen Aktuator-Steuersignalreihe vorhergesagt. Die vorhergesagte Aktuator-Steuersignalreihe ist die Zwischensteuersignalreihe.
  • Ein Ablauf des <Zweiten Verfahrens> wird unter Bezugnahme auf 23 beschrieben.
  • In Schritt S511 akzeptiert die Zwischensteuersignal-Erzeugungseinheit 241 ein Angriffsbeurteilungsergebnis.
  • In Schritt S512 beurteilt die Zwischensteuersignal-Erzeugungseinheit 241, ob ein Angriff vorliegt oder nicht auf Grundlage des Angriffsbeurteilungsergebnisses.
  • Falls beurteilt wird, dass „ein Angriff vorliegt“ geht die Verarbeitung zu Schritt S513 weiter.
  • Falls beurteilt wird, dass „ein Angriff nicht vorliegt“ geht die Verarbeitung zu Schritt 5517 weiter.
  • In Schritt S513 akzeptiert die Zwischensteuersignal-Erzeugungseinheit 241 einen Angriffsstartzeitpunkt und eine reguläres-Steuersignal-Reihe.
  • In Schritt S520 erzeugt die Zwischensteuersignal-Erzeugungseinheit 241 eine Zwischensteuersignalreihe auf Grundlage des Angriffsstartzeitpunkts und der reguläres-Steuersignal-Reihe.
  • Ein Ablauf eines Zwischensteuersignalerzeugungsprozesses (S520) wird später beschrieben.
  • In Schritt S514 gibt die Zwischensteuersignal-Erzeugungseinheit 241 die Zwischensteuersignalreihe aus.
  • Insbesondere gibt die Zwischensteuersignal-Erzeugungseinheit 241 ein oder mehrere Zwischensteuersignal/e, das/die in der Zwischensteuersignalreihe enthalten ist/sind, nacheinander in der zeitbasierten Reihenfolge aus.
  • In Schritt S515 akzeptiert die Zwischensteuersignal-Erzeugungseinheit 241 ein nächstes Angriffsbeurteilungsergebnis.
  • In Schritt S516 beurteilt die Zwischensteuersignal-Erzeugungseinheit 241, ob ein Angriff vorliegt oder nicht auf Grundlage des nächsten Beurteilungsergebnisses.
  • Falls beurteilt wird, dass „ein Angriff vorliegt“ geht die Verarbeitung zu Schritt S514 weiter.
  • Falls beurteilt wird, dass „ein Angriff nicht vorliegt“ endet die Verarbeitung.
  • In Schritt S517 gibt die Zwischensteuersignal-Erzeugungseinheit 241 eine Scheinsignalreihe als die Zwischensteuersignalreihe aus.
  • Die Scheinsignalreihe ist aus einem oder mehreren Scheinsignal/en gebildet. Der Scheinwert kann irgendeinen Wert annehmen. Der Scheinwert ist zum Beispiel „0“.
  • Nach Schritt S417 endet die Verarbeitung.
  • Der Ablauf des Zwischensteuersignal-Erzeugungsprozesses (S520) wird nun unter Bezugnahme auf 24 beschrieben.
  • In Schritt S521 extrahiert die Zwischensteuersignal-Erzeugungseinheit 241 aus der akzeptierten reguläres-Steuersignal-Reihen eine reguläres-SteuersignalReihe von vor dem Angriffsstartzeitpunkt.
  • Die zu extrahierende reguläres-Steuersignal-Reihe wird als eine „normales-Steuersignal-Reihe“ bezeichnet.
  • In Schritt S522 führt die Zwischensteuersignal-Erzeugungseinheit 241 einen Vorhersagealgorithmus auf die normale Steuersignalreihe aus. Als ein Ergebnis wird eine Vorhersage-Steuersignalreihe erzeugt. Die zu erzeugende Vorhersage-Steuersignalreihe ist die Zwischensteuersignalreihe.
  • Der Vorhersagealgorithmus ist ein Algorithmus zur Vorhersage einer zukünftigen Sensordatenreihe auf Grundlage einer vergangenen Aktuator-Steuerreihe.
  • Die Vorhersage-Steuersignalreihe ist eine zukünftige Aktuator-Steuersignalreihe, die auf Grundlage der normalen Steuersignalreihe vorhergesagt wird.
  • Als der Vorhersagealgorithmus kann eine Regressionsanalyse gegeben sein. Die Regressionsanalyse wird häufig als Zeitreihendatenanalyse eingesetzt.
  • Zum Beispiel wird ein ARIMA-Modell durch den Vorhersagealgorithmus auf Grundlage der normalen Steuersignalreihe geschätzt. Dann wird eine Vorhersage-Steuersignalreihe basierend auf dem ARIMA-Modell erzeugt.
  • Die Zwischensteuersignal-Erzeugungseinheit 241 kann die reguläres-Steuersignal-Reihe teilweise nutzen, genau wie bei dem [Ersten Verfahren], wo die Sensordatenreihe teilweise genutzt wird.
  • In Schritt S423 führt die Zwischensteuersignal-Erzeugungseinheit 241 den Steueralgorithmus auf die Vorhersagedatenreihe aus. Die dadurch erzeugte Aktuator-Steuersignalreihe ist die Zwischensteuersignalreihe.
  • Der in Schritt S423 ausgeführte Steueralgorithmus ist der gleiche wie der Steueralgorithmus in der Steuereinheit 113.
  • Zurückkehrend zu 20, wird die Beschreibung der Zwischensteuersignal-Erzeugungseinheit 241 fortgesetzt.
  • Die Zwischensteuersignal-Erzeugungseinheit 241 gibt die erzeugte Zwischensteuersignalreihe aus.
  • Die von der Zwischensteuersignal-Erzeugungseinheit 241 ausgegebene Zwischensteuersignalreihe wird in eine Steuersignal-Ausgangseinheit 230 eingegeben.
  • Die Arbeitsschritte der Steuersignal-Ausgangseinheit 230 werden unter Bezugnahme auf 25 beschrieben.
  • Das Angriffsbeurteilungsergebnis wird zu jedem Zeitpunkt von der Angriffsbeurteilungseinheit 212 in die Steuersignal-Ausgangseinheit 230 eingegeben. Die Steuersignal-Ausgangseinheit 230 akzeptiert das eingegebene Angriffsbeurteilungsergebnis.
  • Das reguläre Steuersignal wird zu jedem Zeitpunkt von einer Steuereinheit 113 in die Steuersignal-Ausgangseinheit 230 eingegeben. Die Steuersignal-Ausgangseinheit 230 akzeptiert das eingegebene reguläre Steuersignal.
  • Die Angriffsabbruchsignalreihe wird von einer Angriffsabbruchsignal-Erzeugungseinheit 224 in die Steuersignal-Ausgangseinheit 230 eingegeben. Die Steuersignal-Ausgangseinheit 230 akzeptiert die eingegebene Angriffsabbruchsignalreihe.
  • Die Zwischensteuersignalreihe wird von der Zwischensteuersignal-Erzeugungseinheit 241 in die Steuersignal-Ausgangseinheit 230 eingegeben. Die Steuersignal-Ausgangseinheit 230 akzeptiert die eingegebene Zwischensteuerungssignalreihe.
  • Die Steuersignal-Ausgangseinheit 230 wählt das eine oder das andere von dem regulären Steuersignal und die Gruppe aus der Angriffsabbruchsignalreihe und der Zwischensteuersignalreihe auf Grundlage des Angriffsbeurteilungsergebnisses aus.
  • Falls das Angriffsbeurteilungsergebnis anzeigt, dass „kein Angriff vorliegt“, wählt die Steuersignal-Ausgangseinheit 230 das reguläre Steuersignal aus. Falls das Angriffsbeurteilungsergebnis anzeigt, dass ein „Angriff vorliegt“, wählt die Steuersignal-Ausgangseinheit 230 die Gruppe aus der Angriffsabbruchsignalreihe und der Zwischensteuersignalreihe aus.
  • Wenn das reguläre Steuersignal ausgewählt ist, gibt die Steuersignal-Ausgangseinheit 230 das reguläre Steuersignal aus. Das von der Steuersignal-Ausgangseinheit 230 ausgegebene reguläre Steuersignal wird in den Aktuator 111 eingegeben.
  • Der Aktuator 111 akzeptiert das eingegebene reguläre Steuersignal und arbeitet gemäß dem akzeptierten regulären Steuersignal. Folglich wirkt der Aktuator 111 auf ein Steuerziel 101 ein, und das Steuerziel 101 ändert seinen Status.
  • Wenn die Gruppe aus der Angriffsabbruchsignalreihe und der Zwischensteuersignalreihe ausgewählt ist, gibt die Steuersignal-Ausgangseinheit 230 die Angriffsabbruchsignalreihe aus und danach die Zwischensteuersignalreihe aus.
  • Konkret gibt die Steuersignal-Ausgangseinheit 230 das Angriffsabbruchsignal in der Reihenfolge aus, in der dieses von der Zwischensteuersignal-Erzeugungseinheit 241 ausgegeben wird, bis ein Scheinsignal von der Zwischensteuersignal-Erzeugungseinheit 241 eingegeben wird. Während eines Zeitraums seit Beginn der Ausgangs der Angriffsabbruchsignalreihe und bis zur Beendigung der Ausgangs der Zwischensteuersignalreihe speichert die Steuersignal-Ausgangseinheit 230 das Zwischensteuersignal in der Reihenfolge, in der dieses von der Zwischensteuersignal-Erzeugungseinheit 241 ausgegeben wird, in einem Puffer. Nach Beendigung der Ausgangs der Angriffsabbruchsignalreihe gibt die Steuersignal-Ausgangseinheit 230 jedes Zwischensteuersignal in der Reihenfolge aus, in der dieses in dem Puffer gespeichert ist.
  • Jedes von der Steuersignal-Ausgangseinheit 230 ausgegebene Angriffsabbruchsignal wird in den Aktuator 111 eingegeben. Der Aktuator 111 akzeptiert jedes eingegebene Angriffsabbruchsignal und arbeitet gemäß jedem akzeptierten Angriffsabbruchsignal. Dementsprechend wirkt der Aktuator 111 auf das Steuerziel 101 ein, und das Steuerziel 101 ändert seinen Status.
  • Jedes von der Steuersignal-Ausgangseinheit 230 ausgegebene Zwischensteuersignal wird in den Aktuator 111 eingegeben. Der Aktuator 111 akzeptiert jedes eingegebene Zwischensteuersignal und arbeitet gemäß jedem akzeptierten Zwischensteuersignal. Dementsprechend wirkt der Aktuator 111 auf das Steuerziel 101 ein, und das Steuerziel 101 ändert seinen Status.
  • *** Wirkung der Ausführungsform 2 ***
  • Wenn der Angriff auf den Sensor 112 auch dann noch andauert, nachdem das Steuerziel 101 aus dem Einfluss durch den Angriff wiederhergestellt ist, betätigt die Angriffsabbrucheinrichtung 200 den Aktuator 111 durch das Zwischensteuersignal. Daher kann auch in einer Situation, in der der Sensor 112 aufgrund des Angriffs nicht genutzt werden kann, die Steuerung auf das Steuerziel 101 fortgesetzt werden.
  • *** Ergänzung zu den Ausführungsformen ***
  • Eine Hardware-Konfiguration der Angriffsabbrucheinrichtung 200 wird unter Bezugnahme auf 26 beschrieben.
  • Die Angriffsabbrucheinrichtung 200 ist mit einem Verarbeitungsschaltkreis 209 ausgestattet.
  • Der Verarbeitungsschaltkreis 209 ist eine Hardwareeinrichtung, die die Angriffserfassungseinheit 210, die Angriffsabbrucheinheit 220, die Steuersignal-Ausgangseinheit 230 und die Zwischensteuerungseinheit 240 implementiert.
  • Der Verarbeitungsschaltkreis 209 kann eine dedizierte Hardware sein oder kann der Prozessor 201 sein, der das in dem Arbeitsspeicher 202 gespeicherte Programm ausführt.
  • Wenn es sich bei dem Verarbeitungsschaltkreis 209 um dedizierte Hardware handelt, ist der Verarbeitungsschaltkreis 209 beispielsweise eine einzelne Schaltung, eine zusammengesetzte Schaltung, ein programmierter Prozessor, ein parallel-programmierter Prozessor, ein ASIC oder ein FPGA; oder eine Kombination aus einer einzelnen Schaltung, einer zusammengesetzten Schaltung, einem programmierten Prozessor, einem parallel-programmierten Prozessor, einem ASIC und einem FPGA.
  • Dabei steht ASIC für Application Specific Integrated Circuit und FPGA steht für Field Programmable Gate Array.
  • Die Angriffsabbrucheinrichtung 200 kann mit einer Vielzahl von Verarbeitungsschaltkreisen ausgestattet sein, um den Verarbeitungsschaltkreis 209 zu ersetzen. Die Vielzahl von Verarbeitungsschaltkreisen teilen sich eine Aufgabe des Verarbeitungsschaltkreises 209.
  • In der Angriffsabbrucheinrichtung 200 können einige der Funktionen durch dedizierte Hardware implementiert sein und die restlichen Funktionen können durch Software oder Firmware implementiert sein.
  • Auf diese Weise kann der Verarbeitungsschaltkreis 209 durch Hardware, Software oder Firmware implementiert sein; oder durch eine Kombination aus Hardware, Software und Firmware implementiert sein.
  • Die Ausführungsformen sind Beispiele bevorzugter Modi und der technische Umfang der vorliegenden Erfindung soll dadurch nicht eingeschränkt werden. Jede Ausführungsform kann auch nur teilweise realisiert sein, oder kann in Kombination mit einer anderen Ausführungsform realisiert sein. Verfahren, die anhand von Flussdiagrammen oder dergleichen beschrieben werden, können gegebenenfalls geändert werden.
  • Eine „Einheit“, die ein Element der Angriffsabbrucheinrichtung 200 ist, kann durch eine „Schaltung“, eine „Stufe“, einen „Ablauf“ oder einen „Prozess“ ersetzt werden.
  • Bezugszeichenliste
    • 100
    Angriffsabbruchsystem;
    101
    Steuerziel;
    110
    Steuersystem;
    111
    Aktuator;
    112
    Sensor;
    113
    Steuereinheit;
    200
    Angriffsabbrucheinrichtung;
    201
    Prozessor;
    202
    Speicher;
    203
    Sensordaten-Eingangsschnittstelle;
    204
    Steuersignal-Eingangsschnittstelle;
    205
    Steuersignal-Ausgangsschnittstelle;
    209
    Verarbeitungsschaltkreis;
    210
    Angriffserfassungseinheit;
    211
    Angriffsbe- wertung-Berechnungseinheit;
    212
    Angriffsbeurteilungseinheit;
    220
    An- griffsabbrucheinheit;
    221
    Sensordaten-Speichereinheit;
    222
    Steuersignal-Speichereinheit;
    223
    Angriffsstartzeitpunkt-Identifizierungseinheit;
    224
    An- griffsabbruchsignal-Erzeugungseinheit;
    230
    Steuersignal-Ausgangseinheit;
    240
    Zwischensteuereinheit;
    241
    Zwischensteuersignal-Erzeugungseinheit,

Claims (11)

  1. Angriffsabbrucheinrichtung, umfassend: eine Angriffsstartzeitpunkt-Identifizierungseinheit, um einen Angriffsstartzeitpunkt, zu dem ein Angriff auf einen Sensor, der Sensordaten von jedem Zeitpunkt ausgibt, gestartet wird, zu identifizieren auf Grundlage der Sensordaten von jedem Zeitpunkt, wobei die Sensordaten von jedem Zeitpunkt einen Status zu jedem Zeitpunkt eines Steuerziels, auf das ein Aktuator einwirkt, ausdrücken; und eine Angriffsabbruchsignal-Erzeugungseinheit, um eine Angriffsabbruchsignalreihe, die eine Aktuator-Steuersignalreihe ist zum Zurücksetzen des Status des Steuerziels auf einen Status von einem Zeitpunkt, der vor dem Angriffsstartzeitpunkt liegt, zu erzeugen auf Grundlage von zumindest einer oder der anderen von einer Sensordatenreihe von seit dem Angriffsstartzeitpunkt und einer Aktuator-Steuersignalreihe von seit dem Angriffsstartzeitpunkt.
  2. Angriffsabbrucheinrichtung nach Anspruch 1, wobei die Angriffsabbruchsignal-Erzeugungseinheit die Sensordatenreihe von seit dem Angriffsstartzeitpunkt in eine Angriffsabbruchdatenreihe, in der einzelne Sensordatenwerte in Bezug auf einen Kriteriumwert invertiert sind und eine Reihenfolge der einzelnen Sensordatenwerte auf einer Zeitbasis umgekehrt ist, konvertiert, und die Angriffsabbruchsignalreihe auf Grundlage der Angriffsabbruchdatenreihe erzeugt.
  3. Angriffsabbrucheinrichtung nach Anspruch 1, wobei die Angriffsabbruchsignal-Erzeugungseinheit den Status des Steuerziels auf Grundlage der Aktuator-Steuersignalreihe von seit dem Angriffsstartzeitpunkt schätzt, und die Angriffsabbruchsignalreihe auf Grundlage eines Statusänderungsbetrags von aus einem Status, der ausgedrückt ist durch Sensordaten von dem Zeitpunkt, der vor dem Angriffsstartzeitpunkt liegt, bis zu dem geschätzten Status, erzeugt.
  4. Angriffsabbrucheinrichtung nach Anspruch 1, wobei die Angriffsabbruchsignal-Erzeugungseinheit die Sensordatenreihe von seit dem Angriffsstartzeitpunkt in eine Angriffsabbruchdatenreihe, in der einzelne Sensordatenwerte in Bezug auf einen Kriteriumwert invertiert sind, und eine Reihenfolge der einzelnen Sensordatenwerte auf einer Zeitbasis umgekehrt ist, konvertiert, und eine erste Kandidatenreihe als die Angriffsabbruchsignalreihe auf Grundlage der Angriffsabbruchdatenreihe erzeugt, den Status des Steuerziels auf Grundlage der Aktuator-Steuersignalreihe von seit dem Angriffsstartzeitpunkt schätzt, und eine zweite Kandidatenreihe als die Angriffsabbruchsignalreihe erzeugt auf Grundlage eines Statusänderungsbetrags von aus einem Status, der durch Sensordaten des Zeitpunkts angegeben ist, der vor dem Angriffsstartzeitpunkt liegt, bis zu dem geschätzten Status, und das Angriffsabbruchsignal unter Verwendung der ersten Kandidatenreihe und der zweiten Kandidatenreihe erzeugt.
  5. Angriffsabbrucheinrichtung nach einem der Ansprüche 1 bis 4, wobei die Angriffsabbrucheinrichtung eine Angriffserfassungseinheit umfasst, um einen Angriff auf den Sensor auf Grundlage der Sensordaten von jedem Zeitpunkt zu erfassen, und wobei die Angriffsstartzeitpunkt-Identifizierungseinheit einen Zeitpunkt, der früher ist als der Angriffserfassungszeitpunkt, als den Angriffsstartzeitpunkt identifiziert unter Verwendung eines Kriteriums, das niedriger ist als ein Erfassungskriterium in der Angriffserfassungseinheit.
  6. Angriffsabbrucheinrichtung nach einem der Ansprüche 1 bis 5, umfassend: eine Zwischensteuersignal-Erzeugungseinheit, um eine Zwischensteuersignalreihe, die eine prädiktive Aktuatorsteuersignalreihe von einem Fall ist, in dem ein Angriff auf den Sensor nicht durchgeführt wird, auf Grundlage einer eingegebenen Sensordatenreihe oder einer eingegebenen Aktuatorsteuersignalreihe zu erzeugen.
  7. Angriffsabbrucheinrichtung nach Anspruch 6, wobei die Zwischensteuersignal-Erzeugungseinheit eine prädiktive Sensordatenreihe von seit dem Angriffsstartzeitpunkt auf Grundlage einer Sensordatenreihe von vor dem Angriffsstartzeitpunkt erzeugt, und die Zwischensteuersignalreihe auf Grundlage der erzeugten prädiktiven Sensordatenreihe erzeugt.
  8. Angriffsabbrucheinrichtung nach Anspruch 6, wobei die Zwischensteuersignal-Erzeugungseinheit Informationen, die zum Steuern des Aktuators genutzt werden können, aus der Sensordatenreihe von seit dem Angriffsstartzeitpunkt extrahiert, eine prädiktive Sensordatenreihe von seit dem Angriffsstartzeitpunkt auf Grundlage der extrahierten Informationen erzeugt, und die Zwischensteuersignalreihe auf Grundlage der erzeugten prädiktiven Sensordatenreihe erzeugt.
  9. Angriffsabbrucheinrichtung nach Anspruch 6, wobei die Zwischensteuersignal-Erzeugungseinheit die Zwischensteuersignalreihe auf Grundlage einer Aktuator-Signalreihe von vor dem Startzeitpunkt erzeugt.
  10. Angriffsabbruchverfahren, umfassend: durch eine Angriffsstartzeitpunkt-Identifizierungseinheit, Identifizieren eines Angriffsstartzeitpunkts, zu dem ein Angriff auf einen Sensor, der Sensordaten von jedem Zeitpunkt ausgibt, gestartet wird, auf Grundlage der Sensordaten von jedem Zeitpunkt, wobei die Sensordaten von jedem Zeitpunkt einen Status zu jedem Zeitpunkt von einem Steuerziel, auf das ein Aktuator einwirkt, ausdrücken; und durch eine Angriffsabbruchsignal-Erzeugungseinheit, Erzeugen einer Angriffsabbruchsignalreihe, die eine Aktuator-Steuersignalreihe ist zum Zurücksetzen des Status des Steuerziels auf einen Status von einem Zeitpunkt, der vor dem Angriffsstartzeitpunkt liegt, auf Grundlage von zumindest einer oder der anderen von einer Sensordatenreihe von seit dem Angriffsstartzeitpunkt und einer Aktuator-Steuersignalreihe von seit dem Angriffsstartzeitpunkt.
  11. Angriffsabbruchprogramm, das einen Computer veranlasst, auszuführen: einen Angriffsstartzeitpunkt-Identifizierungsprozess des Identifizierens eines Angriffsstartzeitpunkts, zu dem ein Angriff auf einen Sensor, der Sensordaten von jedem Zeitpunkt ausgibt, gestartet wird, auf Grundlage der Sensordaten von jedem Zeitpunkt, wobei die Sensordaten von jedem Zeitpunkt einen Status zu jedem Zeitpunkt von einem Steuerungsziel, auf das ein Aktuator einwirkt, ausdrücken; und einen Angriffsabbruchsignal-Erzeugungsprozess des Erzeugens einer Angriffsabbruchsignalreihe, die eine Aktuator-Steuersignalreihe ist zum Zurücksetzen des Status des Steuerziels auf einen Status von einem Zeitpunkt, der vor dem Angriffsstartzeitpunkt liegt, auf Grundlage von zumindest einer oder der anderen von einer Sensordatenreihe von seit dem Angriffsstartzeitpunkt und einer Aktuator-Steuersignalreihe von seit dem Angriffsstartzeitpunkt.
DE112018008092.7T 2018-11-28 2018-11-28 Angriffsabbrucheinrichtung, angriffsabbruchverfahren und angriffsabbruchprogramm Active DE112018008092B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/043814 WO2020110234A1 (ja) 2018-11-28 2018-11-28 攻撃打消装置、攻撃打消方法および攻撃打消プログラム

Publications (2)

Publication Number Publication Date
DE112018008092T5 DE112018008092T5 (de) 2021-07-15
DE112018008092B4 true DE112018008092B4 (de) 2022-10-13

Family

ID=70854209

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018008092.7T Active DE112018008092B4 (de) 2018-11-28 2018-11-28 Angriffsabbrucheinrichtung, angriffsabbruchverfahren und angriffsabbruchprogramm

Country Status (5)

Country Link
US (1) US20210194901A1 (de)
JP (1) JP6824491B2 (de)
CN (1) CN113039411A (de)
DE (1) DE112018008092B4 (de)
WO (1) WO2020110234A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170264629A1 (en) 2016-03-10 2017-09-14 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
US20180004948A1 (en) 2016-06-20 2018-01-04 Jask Labs Inc. Method for predicting and characterizing cyber attacks

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5882316A (ja) * 1981-11-10 1983-05-17 Kubota Ltd 刈取収穫機の自動刈高さ制御装置
JPS5981701A (ja) * 1982-10-30 1984-05-11 Diesel Kiki Co Ltd 内燃機関制御装置用信号処理装置
JP2503238B2 (ja) * 1987-10-27 1996-06-05 日産自動車株式会社 能動型サスペンション装置
JP2001322557A (ja) * 2000-05-17 2001-11-20 Toyota Motor Corp 車両の複数輪独立操舵装置
JP2004034769A (ja) * 2002-07-01 2004-02-05 Ichikoh Ind Ltd 車両用前照灯システム
US7441275B2 (en) * 2003-05-14 2008-10-21 Northrop Grumman Corporation Real-time recovery of compromised information
JP4545647B2 (ja) * 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
FR2943234B1 (fr) * 2009-03-18 2012-09-28 Imra Europe Sas Procede de surveillance d'un parametre biologique d'un occupant d'un siege avec reduction de bruit
CN101848092A (zh) * 2009-03-25 2010-09-29 华为技术有限公司 恶意代码检测方法和装置
FR2954550A1 (fr) * 2009-12-23 2011-06-24 Commissariat Energie Atomique Procede de protection dans une communication radiofrequence sans contact.
US8558889B2 (en) * 2010-04-26 2013-10-15 Sensormatic Electronics, LLC Method and system for security system tampering detection
US9102296B2 (en) * 2013-06-24 2015-08-11 Texas Instruments Incorporated Relay attack prevention for passive entry/passive start systems
US9794274B2 (en) * 2014-09-08 2017-10-17 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium
US9515785B2 (en) * 2014-12-11 2016-12-06 Huawei Technologies Co., Ltd. System and method for detecting loss of signal
US10193906B2 (en) * 2015-12-09 2019-01-29 Checkpoint Software Technologies Ltd. Method and system for detecting and remediating polymorphic attacks across an enterprise
US10104100B1 (en) * 2016-03-03 2018-10-16 Symantec Corporation Systems and methods for detecting anomalies that are potentially indicative of malicious attacks
US10372569B2 (en) * 2016-07-25 2019-08-06 General Electric Company Methods and system for detecting false data injection attacks
CN106372505B (zh) * 2016-08-23 2018-12-28 北京航空航天大学 一种针对嵌入式系统代码攻击的快速恢复方法
JP2018031744A (ja) * 2016-08-26 2018-03-01 富士通株式会社 欺瞞検知プログラム、欺瞞検知方法及び欺瞞検知装置
JP6448878B2 (ja) * 2016-09-26 2019-01-09 三菱電機株式会社 信号処理装置、信号処理方法及び信号処理プログラム
JP6565866B2 (ja) * 2016-10-27 2019-08-28 株式会社デンソー 不正防止装置及び不正防止ユニット
CN108259426B (zh) * 2016-12-29 2020-04-28 华为技术有限公司 一种DDoS攻击检测方法及设备
CN106899435B (zh) * 2017-02-21 2019-10-29 浙江大学城市学院 一种面向无线入侵检测系统的复杂攻击识别方法
US10771495B2 (en) * 2017-03-02 2020-09-08 General Electric Company Cyber-attack detection and neutralization
CN106899978B (zh) * 2017-03-16 2020-09-11 杭州安恒信息技术股份有限公司 一种无线网络攻击定位方法
WO2018175603A1 (en) * 2017-03-21 2018-09-27 Sri International Robust biometric access control using physiological-informed multi-signal correlation
RU2649290C1 (ru) * 2017-04-28 2018-03-30 Акционерное общество "Лаборатория Касперского" Система и способ фильтрации трафика при обнаружении DDoS-атаки
CN107167037B (zh) * 2017-06-08 2018-08-21 电子科技大学 一种基于声波攻击的集中控制反无人机系统
CN107872449B (zh) * 2017-09-21 2020-04-21 南京邮电大学 一种基于预测控制的拒绝服务攻击防御方法
CN108628331A (zh) * 2018-05-09 2018-10-09 北京航空航天大学 一种空间对抗环境下传感器受攻击的航天器姿控方法
US11601442B2 (en) * 2018-08-17 2023-03-07 The Research Foundation For The State University Of New York System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170264629A1 (en) 2016-03-10 2017-09-14 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
US20180004948A1 (en) 2016-06-20 2018-01-04 Jask Labs Inc. Method for predicting and characterizing cyber attacks

Also Published As

Publication number Publication date
JP6824491B2 (ja) 2021-02-03
US20210194901A1 (en) 2021-06-24
JPWO2020110234A1 (ja) 2021-02-15
DE112018008092T5 (de) 2021-07-15
CN113039411A (zh) 2021-06-25
WO2020110234A1 (ja) 2020-06-04

Similar Documents

Publication Publication Date Title
EP3073450B1 (de) System und verfahren zur überwachung des fahrverhaltens eines fahrers
EP3646184B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum auflösen einer redundanz von zwei oder mehr redundanten modulen
DE102009061036A1 (de) Einrichtung und Verfahren zur Residuenauswertung eines Residuums zur Erkennung von Systemfehlern im Systemverhalten eines Systems eines Flugzeugs
EP3430558B1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
DE102020005507A1 (de) Verfahren zum Testen einer automatisierten Fahrfunktion
DE102017006260A1 (de) Verfahren zum Bestimmen von Detektionseigenschaften wenigstens eines Umgebungssensors in einem Fahrzeug und Fahrzeug, eingerichtet zur Durchführung eines solchen Verfahrens
DE102019124301A1 (de) Vorrichtung und Verfahren zur Gewährleistung der Fail-Safe-Funktion eines autonomen Fahrsystems
DE102004014914A1 (de) Vorrichtung und Verfahren zur Abnormitätserfassung eines Vibrationswinkelgeschwindigkeitssensors, Abnormitätserfassungsprogramm und betreffendes Fahrzeugsteuersystem
DE102020131657A1 (de) Diagnostizieren eines Wahrnehmungssystems auf der Grundlage der Szenenkontinuität
DE102017213806A1 (de) Kalibration von Fahrzeugsensoren
DE112018008092B4 (de) Angriffsabbrucheinrichtung, angriffsabbruchverfahren und angriffsabbruchprogramm
DE112011100168T5 (de) Erfassen von Diagnosedaten in einer Datenverarbeitungsumgebung
DE102009027979A1 (de) Verfahren und Vorrichtung zum Bereitstellen eines Pilotwarn-Signals für einen Piloten eines Flugzeuges
EP3134842B1 (de) Rechenvorrichtung und verfahren zum erkennen von angriffen auf ein technisches system anhand von ereignissen einer ereignisfolge
DE102017220243B3 (de) Verfahren und vorrichtung zum erkennen einer blockierung einer radarvorrichtung, fahrerassistenzsystem und fahrzeug
DE112019001961T5 (de) Sensorerkennungsintegrationsvorrichtung
DE102015213594A1 (de) Verfahren, computer-lesbares Medium, und System zum Erfassen einer Verkehrssituation eines oder mehrerer Fahrzeuge in einer Umgebung eines Egofahrzeugs
DE102017219269A1 (de) Klassifizierung mit automatischer Auswahl aussichtsreicher Lerndaten
DE112021006095T5 (de) Arbeitsermittlungsvorrichtung, arbeitsermittlungsverfahren und arbeitsermittlungsprogramm
EP3641137B1 (de) Verfahren und vorrichtung zum verarbeiten von daten
DE102015226574A1 (de) Verfahren und Vorrichtung zur Unterstützung eines Fahrers
EP3295126B1 (de) Verfahren zum bestimmen von zuständen eines systems mittels eines schätzfilters
DE102018222584A1 (de) Verfahren zum Ermitteln von Schritten eines Lebewesens, insbesondere einer Person
DE102021207931A1 (de) Absicherung eines systems gegen falschnichtauslösungen
DE102021207932A1 (de) Absicherung eines systems gegen falschauslösungen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final