DE112019006487T5 - Elektronische Steuereinheit, elektronisches Steuersystem und Programm - Google Patents

Elektronische Steuereinheit, elektronisches Steuersystem und Programm Download PDF

Info

Publication number
DE112019006487T5
DE112019006487T5 DE112019006487.8T DE112019006487T DE112019006487T5 DE 112019006487 T5 DE112019006487 T5 DE 112019006487T5 DE 112019006487 T DE112019006487 T DE 112019006487T DE 112019006487 T5 DE112019006487 T5 DE 112019006487T5
Authority
DE
Germany
Prior art keywords
attack
message
determining means
anomaly
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112019006487.8T
Other languages
English (en)
Other versions
DE112019006487B4 (de
Inventor
Junichi Tsurumi
Takamitsu Sasaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Automotive Systems Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of DE112019006487T5 publication Critical patent/DE112019006487T5/de
Application granted granted Critical
Publication of DE112019006487B4 publication Critical patent/DE112019006487B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Elektronische Steuereinheit, die fähig ist, ein Ereignis genauer zu bestimmen, das in einem Netzwerk aufgetreten ist, das in einem mobilen Körper wie beispielsweise einem Fahrzeug installiert ist, wobei die elektronische Steuereinheit umfasst: einen Sende-Empfänger (143), der erste Nachrichten empfängt, die von einer ersten ECU (110) gesendet werden, die in einem fahrzeuginternen Netzwerk (100) enthalten ist; und eine Angriff-Bestimmungseinrichtung (142), die dann, wenn eine erste Nachricht unter den ersten Nachrichten, die von dem Sende-Empfänger (143) empfangen werden, als eine Anomalie aufweisend bestimmt wird, bestimmt, ob eine Ursache der Anomalie ein Angriff auf das fahrzeuginterne Netzwerk (100) ist.

Description

  • [Technisches Gebiet]
  • Die vorliegende Offenbarung bezieht sich auf eine elektronische Steuereinheit, ein elektronisches Steuersystem und ein Programm, die eine Verarbeitung einer anormalen Nachricht durchführen.
  • [Stand der Technik]
  • Herkömmlicherweise wird eine Netzwerkvorrichtung zur Erfassung von und zum Schutz vor einem Angriff vorgeschlagen, der nicht autorisierte Daten in ein Netzwerksystem wie beispielsweise ein fahrzeuginternes Netzwerk einschleust, um ein Fahrzeug zu einer Fehlfunktion zu veranlassen (siehe Patentliteratur (PTL) 1).
  • Wenn diese Netzwerkvorrichtung erste Daten mit der gleichen Kennung wie empfangene Referenzdaten empfängt und ein Empfangsintervall zwischen den empfangenen Daten und den ersten Daten kürzer als eine vorbestimmte Zeitspanne ist, bestimmt die Netzwerkvorrichtung, ob eine Anomalie aufgetreten ist. Wenn bei dieser Bestimmung die Netzwerkvorrichtung zweite Daten mit der gleichen Kennung wie die ersten Daten vor dem Ablauf der vorbestimmten Zeitspanne ab einem Empfangszeitpunkt der empfangenen Referenzdaten empfängt, bestimmt die Netzwerkvorrichtung, dass die Anomalie aufgetreten ist.
  • [Zitierliste]
  • [Patentliteratur]
  • [PTL 1]
  • Ungeprüfte japanische Patentanmeldungsoffenlegung Nr. 2014-146868
  • [Kurzfassung der Erfindung]
  • [Technisches Problem]
  • Ein Problem besteht jedoch darin, dass die Netzwerkvorrichtung nach PTL 1 Ereignisse, die in einem fahrzeuginternen Netzwerk aufgetreten sind, nicht ausreichend bestimmt.
  • In Anbetracht der obigen Ausführungen schafft die vorliegende Offenbarung beispielsweise eine elektronische Steuereinheit, die fähig ist, Ereignisse, die in einem Netzwerk aufgetreten sind, das in einem mobilen Körper, wie beispielsweise einem Fahrzeug, installiert ist, genauer zu bestimmen.
  • [Lösung des Problems]
  • Eine elektronische Steuereinheit gemäß einem Aspekt der vorliegenden Offenbarung enthält: einen Empfänger, der erste Nachrichten empfängt, die von einer ersten Vorrichtung übertragen (gesendet) werden, die in einem Netzwerk enthalten ist, das in einem mobilen Körper installiert ist; und eine Bestimmungseinrichtung, die dann, wenn bestimmt wird, dass eine erste Nachricht unter den vom Empfänger empfangenen ersten Nachrichten eine Anomalie aufweist, bestimmt, ob eine Ursache der Anomalie ein Angriff auf das Netzwerk ist, und ein Ergebnis der Bestimmung ausgibt.
  • Es ist zu beachten, dass diese allgemeinen oder spezifischen Aspekte unter Verwendung eines Systems, eines Verfahrens, eines integrierten Schaltkreises, eines Computerprogramms oder eines computerlesbaren Aufzeichnungsmediums, wie beispielsweise CD-ROM, implementiert werden können, oder unter Verwendung einer beliebigen Kombination von Systemen, Verfahren, integrierten Schaltkreisen, Computerprogrammen oder Aufzeichnungsmedien implementiert werden können.
  • [Vorteilhafte Wirkungen der Erfindung]
  • Eine elektronische Steuereinheit der vorliegenden Offenbarung ist fähig, Ereignisse, die in einem Netzwerk aufgetreten sind, das in einem mobilen Körper installiert ist, genauer zu bestimmen.
  • Figurenliste
    • 1 ist ein Schaubild, das eine beispielhafte Konfiguration eines Kommunikationssystems, das ein fahrzeuginternes Netzwerk enthält, in einer Ausführungsform zeigt.
    • 2 ist ein Blockschaltbild, das eine beispielhafte Konfiguration einer Angriff-Erfassungsvorrichtung in der Ausführungsform zeigt.
    • 3 ist ein Schaubild, das Ursachen einer Anomalie und Merkmale der Ursachen zeigt.
    • 4 ist ein Flussdiagramm, das ein Beispiel für eine Gesamtverarbeitungsoperation durch die Angriff-Erfassungsvorrichtung in der Ausführungsform zeigt.
    • 5 ist ein Flussdiagramm, das ein spezifisches Beispiel einer Verarbeitungsoperation durch eine Angriff-Bestimmungseinrichtung in der Ausführungsform zeigt.
    • 6 ist ein Flussdiagramm, das ein weiteres spezifisches Beispiel der Verarbeitungsoperation durch die Angriff-Bestimmungseinrichtung in der Ausführungsform zeigt.
    • 7 ist ein Flussdiagramm, das ein weiteres Beispiel für die Gesamtverarbeitungsoperation durch die Angriff-Erfassungsvorrichtung in der Ausführungsform zeigt.
  • [Beschreibung von Ausführungsformen]
  • (Zugrundeliegendes Wissen, das die Basis für die vorliegende Offenbarung bildet)
  • In den letzten Jahren sind immer mehr Fahrzeuge mit dem Internet verbunden, um Verkehrsstauinformationen, Verkehrsinformationen usw. zu erhalten. Es besteht jedoch die Möglichkeit, dass solche Fahrzeuge Cyberangriffen ausgesetzt sind. Bei einem solchen Cyberangriff greift ein Angreifer auf ein fahrzeuginternes Netzwerk zu, indem er beispielsweise eine nicht autorisierte Vorrichtung mit dem fahrzeuginterne Netzwerk verbindet und eine nicht autorisierte Nachricht an das fahrzeuginterne Netzwerk sendet, wodurch ein nicht autorisiertes Umschreiben der Firmware einer ECU (elektronische Steuereinheit) des fahrzeuginternen Netzwerks oder eine nicht autorisierte Steuerung verschiedener Aktoren in einem Fahrzeug über die ECU usw. durchgeführt wird. Im Allgemeinen sind die folgenden drei Funktionen erforderlich, um sich auf einen solchen Cyberangriff (im Folgenden als Angriff bezeichnet) vorzubereiten. Die erste Funktion ist eine Funktion des Bereitstellens eines Schutzes vor einem bekannten Angriff. Die zweite Funktion ist eine Funktion der Erfassung eines Angriffs oder eines Symptoms des Angriffs. Die dritte Funktion ist eine Funktion des Aktualisierens der ersten Funktion und der zweiten Funktion. Um einen neuen Angriff zu erfassen und Schutz vor demselben bereitzustellen, d.h. um die dritte Funktion zu erreichen, muss hierbei analysiert werden, wie der neue Angriff unter Verwendung welchen Weges oder welchen Verfahrens ausgeführt wird.
  • Wenn jedoch beispielsweise ein Server viele Fahrzeuge überwacht und Anomalien dieser Fahrzeuge analysiert, ist zu erwarten, dass viele Benachrichtigungen über die Anomalien an den Server übertragen (gesendet) werden. Folglich besteht die Möglichkeit, dass ein Kommunikationsnetzwerk (beispielsweise das Internet), das den Server und die Fahrzeuge verbindet, überflutet wird. In Anbetracht dessen ist es wünschenswert, dass nur Meldungen über Angriffe vollständig von den Fahrzeugen an den Server übertragen werden.
  • Obwohl die Netzwerkvorrichtung nach PTL 1 eine Anomalie erfasst, um einen Betrug zu erfassen und davor zu schützen, bestimmt die Netzwerkvorrichtung nicht, ob eine Ursache der erkannten Anomalie ein Angriff ist. Mit anderen Worten, es wird ausschließlich angenommen, dass eine Ursache einer Anomalie ein Angriff ist. Wie oben erwähnt, wird in einem herkömmlicherweise vorgeschlagenen Anomalie-Erfassungsverfahren für ein Netzwerk in einem Fahrzeug eine Ursache einer Anomalie in einen Angriff oder einen Störfall, der kein Angriff ist, nicht eingestuft (klassifiziert).
  • Wenn eine Ursache für eine Anomalie beispielsweise ein Störfall ist, ist es notwendig, eine Komponente zu identifizieren, die als eine Anomalie aufweisend bestimmt wurde, und die Komponente zu ersetzen. Wenn eine Ursache einer Anomalie ein Angriff ist, ist es außerdem notwendig, einen Weg und ein Verfahren zu identifizieren, die von dem Angriff verwendet werden, und eine Vorbereitung auf den Angriff in Betracht zu ziehen. Wenn hierbei eine Ursache einer Anomalie fälschlicherweise als Angriff bestimmt wird, unabhängig davon, dass die Ursache der Anomalie ein Störfall ist, macht es eine solche Bestimmung schwierig, einen Weg und eine Verfahren zu identifizieren, die von dem Angriff verwendet werden; und selbst wenn der Weg und das Verfahren identifiziert werden, ist es unmöglich, die Anomalie zu behandeln. Wenn ferner eine Ursache für eine Anomalie fälschlicherweise als Störfall bestimmt wird, unabhängig davon, dass die Ursache der Anomalie ein Angriff ist, kann außerdem das Problem entstehen, dass dieselbe Anomalie auch dann auftritt, wenn eine Komponente ersetzt wird.
  • Um ein solches Problem zu lösen, enthält eine elektronische Steuereinheit gemäß einem Aspekt der vorliegenden Offenbarung: einen Empfänger, der erste Nachrichten empfängt, die von einer ersten Vorrichtung übertragen (gesendet) werden, das in einem Netzwerk enthalten ist, das in einem mobilen Körper installiert ist; und eine Bestimmungseinrichtung, die dann, wenn bestimmt wird, dass eine erste Nachricht unter den vom Empfänger empfangenen ersten Nachrichten eine Anomalie aufweist, bestimmt, ob eine Ursache der Anomalie ein Angriff auf das Netzwerk ist, und ein Ergebnis der Bestimmung ausgibt.
  • Da bei dieser Konfiguration dann, wenn die erste Nachricht als die Anomalie aufweisend bestimmt wurde, die Ursache der Anomalie, die für die erste Nachricht bestimmt wurde, der Angriff ist, ist es möglich, ein Ereignis, das im Netzwerk aufgetreten ist, genauer zu bestimmen. Mit anderen Worten, es ist möglich zu bestimmen, ob die Ursache der Anomalie ein Angriff oder eine andere Ursache als der Angriff ist, wie beispielsweise ein Störfall oder ein Fehler (Softwarefehler, Bug). Folglich ist es möglich, entsprechende Maßnahmen gegen die Anomalie zu ergreifen. Insbesondere dann, wenn die Ursache der Anomalie ein Störfall ist, ist es möglich, die Anomalie angemessen zu behandeln, indem eine ausgefallene Komponente ersetzt wird. Wenn die Ursache der Anomalie ein Angriff ist, ist es außerdem möglich, die Anomalie angemessen zu behandeln, indem ein Weg und ein Verfahren identifiziert werden, die von dem Angriff verwendet werden, und Maßnahmen gegen den Weg und das Verfahren ergriffen werden.
  • Wenn die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie nicht der Angriff ist, kann die Bestimmungseinrichtung außerdem Informationen ausgeben, die eine Möglichkeit eines Störfalls (Ausfalls) der ersten Vorrichtung anzeigen. Da bei dieser Konfiguration die Information, die auf die Möglichkeit des Störfalls hinweist, ausgegeben wird, wenn die Ursache der Anomalie nicht der Angriff ist, ist es möglich, die Anomalie angemessen zu behandeln, indem beispielsweise eine ausgefallene Komponente ersetzt wird.
  • Außerdem kann die Bestimmungseinrichtung bestimmen, ob eine erste Datenmenge der übertragenen ersten Nachrichten pro Zeiteinheit gegenüber einer zweiten Datenmenge übertragener normaler erster Nachrichten pro Zeiteinheit zugenommen hat, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die erste Datenmenge gegenüber der zweiten Datenmenge zugenommen hat, kann die Bestimmungseinrichtung bestimmen, dass die Ursache der Anomalie der Angriff ist.
  • Da bei dieser Konfiguration bestimmt wird, ob ein Angriffsmerkmal aufgetreten ist, das eine anormale Nachricht zu einer normalen Nachricht hinzufügt, ist es möglich, entsprechend einen solchen Angriff als Ursache für die Anomalie zu bestimmen.
  • Außerdem kann die Bestimmungseinrichtung bestimmen, ob die ersten Nachrichten eine anormale erste Nachricht und eine normale erste Nachricht enthalten, und dann, wenn die Bestimmungseinrichtung bestimmen, dass die ersten Nachrichten die anormale erste Nachricht und die normale erste Nachricht enthalten, kann die Bestimmungseinrichtung bestimmen, dass die Ursache der Anomalie der Angriff ist.
  • Da bei dieser Konfiguration bestimmt wird, ob ein Angriffsmerkmal aufgetreten ist, das eine anormale Nachricht zu einer normalen Nachricht hinzufügt, ist es möglich, entsprechend einen solchen Angriff als Ursache für die Anomalie zu bestimmen.
  • Außerdem kann die Bestimmungseinrichtung bestimmen, ob eine zweite Nachricht, die als eine Anomalie aufweisend bestimmt wurde, von einer zweiten Vorrichtung, die im Netzwerk enthalten ist, in einer gleichen Zeitspanne wie die erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die zweite Nachricht übertragen wurde, kann die Bestimmungseinrichtung bestimmen, dass eine Ursache der Anomalie der Angriff ist, wobei die zweite Nachricht mit der ersten Nachricht, die als eine Anomalie aufweisend bestimmt wurde, in Beziehung steht.
  • Da bei dieser Konfiguration bestimmt wird, ob ein Angriffsmerkmal aufgetreten ist, ist es möglich, entsprechend den Angriff als Ursache für die Anomalie zu bestimmen.
  • Außerdem kann die Bestimmungseinrichtung bestimmen, ob eine dritte Nachricht an das Netzwerk übertragen wurde, während sich der mobile Körper bewegte, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die dritte Nachricht übertragen wurde, kann die Bestimmungseinrichtung bestimmen, dass die Ursache der Anomalie der Angriff ist, wobei die dritte Nachricht von außerhalb des mobilen Körpers an das Netzwerk übertragen wird, während sich der mobile Körper nicht bewegt. Alternativ kann die Bestimmungseinrichtung bestimmen, ob die erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, während die Übertragung einer ersten Nachricht durch ein Diagnosepaket gestoppt war, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, kann die Bestimmungseinrichtung bestimmen, dass die Ursache der Anomalie der Angriff ist.
  • Da bei dieser Konfiguration bestimmt wird, ob ein Angriffsmerkmal aufgetreten ist, das eine normale Nachricht durch eine anormale Nachricht ersetzt, ist es möglich, entsprechend einen solchen Angriff als Ursache der Anomalie zu bestimmen.
  • Außerdem kann die Bestimmungseinrichtung bestimmen, ob wenigstens ein Merkmal, das aufgrund eines Angriffs auftritt, in dem Netzwerk innerhalb einer vorbestimmten Zeitspanne aufgetreten ist, und dann, wenn die Bestimmungseinrichtung bestimmt, dass das wenigstens eine Merkmal aufgetreten ist, kann die Bestimmungseinrichtung bestimmen, dass die Ursache der Anomalie der Angriff ist.
  • Mit dieser Konfiguration ist es möglich, den Angriff als Ursache für die Anomalie genauer zu bestimmen.
  • Wenn die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie der Angriff ist, kann die Bestimmungseinrichtung außerdem einen Typ des Angriffs identifizieren. Wenn die Bestimmungseinrichtung beispielsweise bestimmt, dass eine erste Datenmenge der übertragenen ersten Nachrichten pro Zeiteinheit gegenüber einer zweiten Datenmenge übertragener normaler erster Nachrichten pro Zeiteinheit zugenommen hat, kann die Bestimmungseinrichtung als Typ des Angriffs einen Hinzufügungsangriff identifizieren, der eine anormale Nachricht zu einer normalen Nachricht hinzufügt. Wenn die Bestimmungseinrichtung bestimmt, dass die ersten Nachrichten eine anormale erste Nachricht und eine normale erste Nachricht enthalten, kann die Bestimmungseinrichtung außerdem als Typ des Angriffs einen Hinzufügungsangriff identifizieren, der eine anormale Nachricht zu einer normalen Nachricht hinzufügt. Wenn die Bestimmungseinrichtung bestimmt, dass eine zweite Nachricht an das Netzwerk übertragen wurde, während sich der mobile Körper bewegte, kann die Bestimmungseinrichtung außerdem als Typ des Angriffs einen Ersetzungsangriff identifizieren, der eine normale Nachricht durch eine anormale Nachricht ersetzt, wobei die zweite Nachricht von außerhalb des mobilen Körpers an das Netzwerk übertragen wird, während sich der mobile Körper nicht bewegt. Wenn die Bestimmungseinrichtung alternativ bestimmt, dass eine erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, während die Übertragung der ersten Nachricht durch ein Diagnosepaket gestoppt war, kann die Bestimmungseinrichtung als Typ des Angriffs einen Ersetzungsangriff identifizieren, der eine normale Nachricht durch eine anormale Nachricht ersetzt.
  • Mit dieser Konfiguration ist es möglich, einen Angriff, der als ein Ereignis bestimmt wurde, das im Netzwerk aufgetreten ist, genauer zu bestimmen.
  • Ein elektronisches Steuersystem gemäß einem Aspekt der vorliegenden Offenbarung enthält: eine Anomalie-Bestimmungsvorrichtung, die einen Empfänger enthält, der Nachrichten empfängt, die von einer Vorrichtung übertragen werden, die in einem Netzwerk enthalten ist, das in einem mobilen Körper installiert ist, und eine Anomalie-Bestimmungseinrichtung, die bestimmt, ob die vom Empfänger empfangenen Nachrichten Anomalien sind; und eine Angriff-Bestimmungsvorrichtung, die dann, wenn die Anomalie-Bestimmungseinrichtung bestimmt, dass eine Nachricht unter den vom Empfänger empfangenen Nachrichten eine Anomalie aufweist, bestimmt, ob eine Ursache der Anomalie ein Angriff auf das Netzwerk ist, und ein Ergebnis der Bestimmung ausgibt.
  • Da bei dieser Konfiguration dann, wenn bestimmt wurde, dass die Nachricht die Anomalie aufweist, die Ursache der Anomalie, die für die Nachricht bestimmt wurde, der Angriff ist, ist es möglich, ein Ereignis, das im Netzwerk aufgetreten ist, genauer zu bestimmen. Mit anderen Worten, es ist möglich zu bestimmen, ob die Ursache der Anomalie ein Angriff oder eine andere Ursache als der Angriff ist, wie beispielsweise ein Störfall oder ein Fehler. Folglich ist es möglich, entsprechende Maßnahmen gegen die Anomalie zu ergreifen. Insbesondere dann, wenn die Ursache der Anomalie ein Störfall ist, ist es möglich, die Anomalie angemessen zu behandeln, indem eine ausgefallene Komponente ersetzt wird. Wenn die Ursache der Anomalie ein Angriff ist, ist es außerdem möglich, die Anomalie angemessen zu behandeln, indem einen Weg und ein Verfahren identifiziert werden, die von dem Angriff verwendet werden, und Maßnahmen gegen den Weg und das Verfahren ergriffen werden.
  • Es ist zu beachten, dass diese allgemeinen oder spezifischen Aspekte unter Verwendung eines Systems, eines Verfahrens, einer integrierten Schaltung, eines Computerprogramms oder eines computerlesbaren Aufzeichnungsmediums, wie beispielsweise CD-ROM, implementiert werden können, oder unter Verwendung einer beliebigen Kombination von Systemen, Verfahren, integrierten Schaltungen, Computerprogrammen oder Aufzeichnungsmedien implementiert werden können.
  • Im Folgenden wird eine Ausführungsform mit Bezug auf die Zeichnungen ausführlich beschrieben.
  • Es ist zu beachten, dass die nachfolgend beschriebene Ausführungsform ein allgemeines oder spezifisches Beispiel darstellt. Die in der folgenden Ausführungsform gezeigten Zahlenwerte, Formen, Materialien, Bauteile, die Anordnung und die Verbindung der Bauteile, Schritte und die Reihenfolge der Schritte usw. sind lediglich Beispiele und sollen den Umfang der vorliegenden Offenbarung nicht einschränken. Außerdem sind unter den Bauteilen der folgenden Ausführungsform diejenigen, die nicht in einem der unabhängigen Ansprüche, die die breitesten Konzepte der vorliegenden Offenbarung angeben, aufgeführt sind, als optionale Bauteile beschrieben. Ferner sind die Figuren schematische Schaubilder und sind nicht unbedingt präzise Abbildungen. Außerdem sind identische Bauteile in den Figuren mit den gleichen Bezugszeichen versehen.
  • [Ausführungsform]
  • 1 ist ein Schaubild, das eine beispielhafte Konfiguration eines Kommunikationssystems, das ein fahrzeuginternes Netzwerk enthält, in einer Ausführungsform zeigt.
  • Dieses Kommunikationssystem umfasst ein fahrzeuginternes Netzwerk 100, einen Server 200 und eine Diagnosevorrichtung 300.
  • Das fahrzeuginterne Netzwerk 100 ist in einem Fahrzeug 1, beispielsweise einem Automobil, installiert und steuert beispielsweise das Fahren des Fahrzeugs 1. Ein solches fahrzeuginternes Netzwerk 100 ist ein Netzwerksystem, das elektronische Steuereinheiten (ECUs) enthält, die über einen Bus (d.h. einen Netzwerkbus) miteinander verbunden sind. Die ECUs kommunizieren miteinander in Übereinstimmung mit einem Controller-Area-Network-(CAN)-Protokoll, das durch ISO 11898 spezifiziert ist. Mit anderen Worten, jede der ECUs sendet und empfängt CAN-Frames. Typen eines Frames umfassen beispielsweise einen Daten-Frame, einen Remote-Frame, einen Überlast-Frame und einen Fehler-Frame. Unter diesen Typen wird ein Datenframe im Folgenden als Nachricht (oder CAN-Nachricht) bezeichnet.
  • Der Server 200 kommuniziert mit dem fahrzeuginternen Netzwerk 100 über ein Kommunikationsnetzwerk außerhalb des Fahrzeugs 1, beispielsweise das Internet. Der Server 200 sammelt beispielsweise die vom fahrzeuginternen Netzwerk 100 übertragenen Informationen als Protokoll (Log) und analysiert das Protokoll.
  • Die Diagnosevorrichtung 300 dient zur Diagnose des fahrzeuginternen Netzwerks 100. Genauer diagnostiziert die Diagnosevorrichtung 300 das fahrzeuginterne Netzwerk 100, wenn das Fahrzeug 1 steht. Zu diesem Zeitpunkt überträgt (sendet) die Diagnosevorrichtung 300 als Diagnosenachricht ein Diagnosepaket in das fahrzeuginterne Netzwerk 100, um die Verarbeitung jeder ECU usw. im fahrzeuginternen Netzwerk 100 zu stoppen. Anstelle der gestoppten ECU überträgt die Diagnosevorrichtung 300 eine Nachricht in das fahrzeuginterne Netzwerk 100 und überwacht die Verarbeitung der ECU in Bezug auf die Nachricht, wodurch das fahrzeuginterne Netzwerk 100 diagnostiziert wird.
  • In einem in 1 gezeigten Beispiel umfasst das fahrzeuginterne Netzwerk 100 eine erste ECU 110, eine zweite ECU 120 und eine Kommunikations-ECU 130 als ECUs, die über einen Bus miteinander verbunden sind, und enthält außerdem eine Angriff-Erfassungsvorrichtung 140. Es ist zu beachten, dass, obwohl das fahrzeuginterne Netzwerk 100 in dem in 1 gezeigten Beispiel die drei ECUs umfasst, die Anzahl der ECUs nicht auf drei beschränkt ist und zwei oder wenigstens vier betragen kann.
  • Jede der ersten ECU 110 und zweiten ECU 120 ist eine Vorrichtung zur Durchführung der Steuerung des Fahrzeugs 1, wie beispielsweise Beschleunigen, Bremsen oder Lenken usw. des Fahrzeugs 1.
  • Die Kommunikations-ECU 130 kommuniziert beispielsweise mit dem Server 200 über ein Kommunikationsnetzwerk außerhalb des Fahrzeugs 1. Aus diesem Grund ist jede ECU außer der Kommunikations-ECU 130 und der Angriff-Erfassungsvorrichtung 140, die im fahrzeuginternen Netzwerk 100 enthalten sind, fähig, mit dem Server 200 über die Kommunikations-ECU 130 zu kommunizieren.
  • Es ist zu beachten, dass jede der ECUs (d.h. die erste ECU 110, die zweite ECU 120, die Kommunikations-ECU 130) beispielsweise eine Vorrichtung ist, die als Hardware eine digitale Schaltung wie einen Prozessor (d.h. einen Mikroprozessor) und einen Speicher, eine analoge Schaltung oder eine Kommunikationsschaltung usw. enthält. Der Speicher ist ein Festwertspeicher (ROM) oder ein Arbeitsspeicher (RAM) usw. und ist fähig, ein Programm (d.h. Software oder ein Computerprogramm) zu speichern, das vom Prozessor ausgeführt wird. Jede ECU implementiert verschiedene Funktionen zur Steuerung des Fahrzeugs 1 und dergleichen, indem beispielsweise der Prozessor entsprechend dem Programm arbeitet. Das Programm ist mit einer Kombination von Operationscodes konfiguriert, die dem Prozessor Anweisungen geben, um eine vorbestimmte Funktion zu implementieren.
  • Die Angriff-Erfassungsvorrichtung 140 ist eine Vorrichtung, die einen Angriff auf das fahrzeuginterne Netzwerk 100 oder das Fahrzeug 1 mit dem fahrzeuginternen Netzwerk 100 erfasst, und wird auch als elektronisches Steuersystem bezeichnet. Außerdem kann die Angriff-Erfassungsvorrichtung 140 als ECU konfiguriert sein, und wenn das fahrzeuginterne Netzwerk 100 ein Gateway (Netzübergangseinheit) enthält, kann das Gateway die Angriff-Erfassungsvorrichtung 140 enthalten. Es ist zu beachten, dass, obwohl die Angriff-Erfassungsvorrichtung 140 in der vorliegenden Ausführungsform im fahrzeuginternen Netzwerk 100 enthalten ist, die Angriff-Erfassungsvorrichtung 140 im Server 200 enthalten sein kann.
  • Die Angriff-Erfassungsvorrichtung 140 in der vorliegenden Ausführungsform empfängt eine Nachricht, die den Bus des fahrzeuginternen Netzwerks 100 durchläuft, und bestimmt, ob die Nachricht eine Anomalie aufweist. Wenn die Angriff-Erfassungsvorrichtung 140 bestimmt, dass die Nachricht eine Anomalie aufweist, bestimmt die Angriff-Erfassungsvorrichtung 140 ferner, ob eine Ursache der Anomalie ein Angriff auf das fahrzeuginterne Netzwerk 100 ist.
  • 2 ist ein Blockschaltbild, das eine beispielhafte Konfiguration der Angriff-Erfassungsvorrichtung 140 in der vorliegenden Ausführungsform zeigt.
  • Die Angriff-Erfassungsvorrichtung 140 enthält eine Anomalie-Bestimmungseinrichtung 141, eine Angriff-Bestimmungseinrichtung 142 und einen Sende-Empfänger 143.
  • Der Sende-Empfänger 143 empfängt eine Nachricht, die von jeweils der ersten ECU 110, der zweiten ECU 120 und der Kommunikations-ECU 130 über den Bus übertragen wird. Außerdem überträgt (sendet) der Sende-Empfänger 143 über den Bus Informationen, die auf einem Verarbeitungsergebnis von jeweils der Anomalie-Bestimmungseinrichtung 141 und der Angriff-Bestimmungseinrichtung 142 basieren. Diese Informationen können beispielsweise über die Kommunikations-ECU 130 und das Kommunikationsnetzwerk an den Server 200 übertragen werden.
  • Die Anomalie-Bestimmungseinrichtung 141 bestimmt, ob eine vom Sende-Empfänger 143 empfangene Nachricht eine Anomalie aufweist.
  • Die Angriff-Bestimmungseinrichtung 142 bestimmt, ob eine Ursache der Anomalie, die von der Anomalie-Bestimmungseinrichtung 141 für die Nachricht bestimmt wurde, ein Angriff auf das fahrzeuginterne Netzwerk 100 ist. Wenn die Angriff-Bestimmungseinrichtung 142 beispielsweise bestimmt, dass die Ursache der Anomalie der Angriff ist, benachrichtigt die Angriff-Bestimmungseinrichtung 142 einen Benutzer, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen, dass der Angriff stattgefunden hat.
  • Zum Beispiel kann die Angriff-Bestimmungseinrichtung 142 den Benutzer des Fahrzeugs 1 darüber informieren, dass ein Angriff stattgefunden hat, indem sie eine Anzeigevorrichtung des Fahrzeugs 1 veranlasst, eine Textnachricht anzuzeigen. Beispiele für eine solche Textnachricht umfassen „Es besteht die Möglichkeit, dass ein Angriff stattgefunden hat, halten Sie daher bitte das Fahrzeug an und prüfen Sie auf die Aktualisierung der Software“. Außerdem kann die Angriff-Bestimmungseinrichtung 142 den Server 200 benachrichtigen, dass ein Angriff stattgefunden hat, indem sie ein Protokoll einer Nachricht, bei der aufgrund des Angriffs eine Anomalie bestimmt wurde, und ein Protokoll einer weiteren Nachricht, die mit der Nachricht in Beziehung steht, überträgt (sendet). Außerdem kann die Angriff-Bestimmungseinrichtung 142 wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen benachrichtigen, dass ein Angriff stattgefunden hat, indem sie an die wenigstens eine Vorrichtung über den Bus ein Signal zur Beschränkung oder Reduzierung des Betriebs des Fahrzeugs 1 sendet. Folglich veranlasst die wenigstens eine im fahrzeuginternen Netzwerk 100 enthaltene Vorrichtung das Fahrzeug 1, beispielsweise allmählich abzubremsen und auf einem verfügbaren Parkplatz anzuhalten.
  • Wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Ursache der Anomalie kein Angriff ist, kann die Angriff-Bestimmungseinrichtung 142 den Benutzer, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen benachrichtigen, dass ein Störfall aufgetreten ist. Zum Beispiel benachrichtigt die Anzeigevorrichtung des Fahrzeugs 1 den Benutzer, dass ein Störfall aufgetreten ist, indem eine Textnachricht anzeigt wird. Beispiele für eine solche Textnachricht umfassen „Es besteht die Möglichkeit, dass das Fahrzeug einen Störfall hat, bitte wenden Sie sich an einen Autohändler, um das Fahrzeug warten zu lassen“. Mit anderen Worten, wenn in der vorliegenden Ausführungsform die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Ursache der Anomalie kein Angriff ist, kann die Angriff-Bestimmungseinrichtung 142 Informationen ausgeben, die eine Möglichkeit anzeigen, dass eine Vorrichtung wie die erste ECU 110 oder die zweite ECU 120 gestört sind. Da die Informationen, die die Möglichkeit des Störfalls anzeigen, ausgegeben werden, wenn die Ursache der Anomalie nicht der Angriff ist, ist es folglich möglich, die Anomalie angemessen zu behandeln, indem zum Beispiel eine ausgefallene (gestörte) Komponente ersetzt wird.
  • In der vorliegenden Ausführungsform, bilden hierbei der Sende-Empfänger 143 und die Angriff-Bestimmungseinrichtung 142 eine elektronische Steuereinheit. Mit anderen Worten, wie in der vorliegenden Ausführungsform kann diese elektronische Steuereinheit zusammen mit der Anomalie-Bestimmungseinrichtung 141 in der Angriff-Erfassungsvorrichtung 140 enthalten sein, oder sie kann in einer Vorrichtung enthalten sein, die sich von einer Vorrichtung unterscheidet, die die Anomalie-Bestimmungseinrichtung 141 enthält. Außerdem kann die Anomalie-Bestimmungseinrichtung 141 in einem von fahrzeuginternem Netzwerk 100 und Server 200 enthalten sein, und die elektronische Steuereinheit kann in dem anderen von fahrzeuginternem Netzwerk 100 und Server 200 enthalten sein. In Anbetracht der obigen Ausführungen wird in der vorliegenden Ausführungsform ein System, das die elektronische Steuereinheit und die Anomalie-Bestimmungseinrichtung 141 umfasst, dann als elektronisches Steuersystem bezeichnet, wenn die elektronische Steuereinheit und die Anomalie-Bestimmungseinrichtung 141 in einer Vorrichtung enthalten sind oder separat in zwei voneinander verschiedenen Vorrichtungen enthalten sind.
  • Wie oben erwähnt, enthält die elektronische Steuereinheit gemäß der vorliegenden Ausführungsform: einen Sende-Empfänger 143, der erste Nachrichten von der ersten ECU 110 empfängt, die im fahrzeuginternen Netzwerk 100 enthalten ist; und eine Angriff-Bestimmungseinrichtung 142, die dann, wenn bestimmt wird, dass eine erste Nachricht unter den vom Sende-Empfänger 143 empfangenen ersten Nachrichten eine Anomalie aufweist, bestimmt, ob eine Ursache der Anomalie ein Angriff auf das fahrzeuginterne Netzwerk 100 ist, und ein Ergebnis der Bestimmung ausgibt. Es ist zu beachten, dass dann, wenn anstelle einer ersten Nachricht eine zweite Nachricht, die von der zweiten ECU 120 übertragen wird, als eine Anomalie aufweisend bestimmt wird, die Angriff-Bestimmungseinrichtung 142 bestimmen kann, ob eine Ursache der Anomalie, die für die zweite Nachricht bestimmt wurde, ein Angriff auf das fahrzeuginterne Netzwerk 100 ist. Mit anderen Worten, eine Vorrichtung, die eine zu bestimmende Zielnachricht überträgt (sendet), kann die erste ECU 110, die zweite ECU 120 oder eine andere Vorrichtung im fahrzeuginternen Netzwerk 100 sein. Außerdem wird im obigen Beispiel eine Ausgabe eines Angriff-Bestimmungsergebnisses als Benachrichtigung an den Benutzer des Fahrzeugs 1, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen durchgeführt.
  • Da dementsprechend dann, wenn bestimmt wurde, dass eine Nachricht eine Anomalie aufweist, eine Ursache der Anomalie, die für die Nachricht bestimmt wurde, ein Angriff ist, ist es möglich, ein Ereignis, das im fahrzeuginternen Netzwerk 100 aufgetreten ist, genauer zu bestimmen. Mit anderen Worten, es ist möglich, zu bestimmen, ob die Ursache der Anomalie ein Angriff ist oder eine andere Ursache als der Angriff, wie beispielsweise ein Störfall oder ein Fehler. Folglich ist es möglich, geeignete Maßnahmen gegen die Anomalie zu ergreifen. Insbesondere dann, wenn die Ursache der Anomalie ein Störfall ist, ist es möglich, die Anomalie angemessen zu behandeln, indem eine ausgefallene Komponente ersetzt wird. Wenn die Ursache der Anomalie ein Angriff ist, ist es außerdem möglich, die Anomalie angemessen zu behandeln, indem ein Weg und ein Verfahren identifiziert werden, die von dem Angriff verwendet werden, und Maßnahmen gegen den Weg und das Verfahren ergriffen werden.
  • 3 ist ein Schaubild, das Ursachen für eine Anomalie und Merkmale der Ursachen zeigt.
  • Eine Ursache für eine Anomalie ist ein Angriff oder eine andere Ursache als der Angriff. Außerdem kann ein Angriff beispielsweise einem der folgenden zwei Typen entsprechen. Der erste Typ ist ein Hinzufügungstyp-Angriff (im Folgenden als Hinzufügungsangriff bezeichnet), der eine anormale erste Nachricht zu einer normalen Nachricht hinzufügt. Mit anderen Worten, der Angriff des ersten Typs fügt eine anormale Nachricht zu einem Netzwerk hinzu, durch das periodisch eine normale Nachricht läuft. Der zweite Typ ist ein Ersetzungstyp-Angriff (im Folgenden als Ersetzungsangriff bezeichnet), der eine normale Nachricht durch eine anormale Nachricht ersetzt. Mit anderen Worten, der Angriff des zweiten Typs verhindert, dass eine normale Nachricht periodisch durch ein Netzwerk läuft, und bewirkt, dass eine anormale Nachricht anstelle der normalen Nachricht periodisch durch das Netzwerk läuft. Beispiele für eine andere Ursache als der Angriff sind ein Störfall und ein Fehler.
  • Hierbei hat der Hinzufügungsangriff drei Merkmale. Das erste Merkmal (im Folgenden auch als Angriffsmerkmal 1 bezeichnet) besteht darin, dass eine Datenmenge zunimmt. Da zusätzlich eine anormale Nachricht durch ein Netzwerk geleitet wird, während eine normale Nachricht periodisch durch das Netzwerk läuft, nimmt eine Datenmenge pro Zeiteinheit zu. Das zweite Merkmal (im Folgenden auch als Angriffsmerkmal 2 bezeichnet) besteht darin, dass eine normale Nachricht und eine anormale Nachricht in der gleichen Zeitspanne koexistieren. Beispielsweise werden eine normale Nachricht und eine anormale Nachricht abwechselnd übertragen. Das dritte Merkmal (im Folgenden auch als Angriffsmerkmal 4 bezeichnet) besteht darin, dass Anomalien in verschiedenen Arten von wechselseitig in Beziehung stehenden Nachrichten (zeitlich) zusammentreffen. Wenn ein Angriff stattfindet, ist es selten, dass nur ein Typ einer anormalen Nachricht unabhängig auftritt. Bei einem Angriff, der darauf abzielt, unbefugt die Kontrolle über das Lenkrad des Fahrzeugs 1 zu übernehmen, wird angenommen, dass für die Fahrgeschwindigkeit des Fahrzeugs 1 der Anschein einer niedrigen Geschwindigkeit erweckt wird und ein Lenkanzeigewinkel des Lenkrads plötzlich erhöht wird. In diesem Fall treffen Anomalien in den Daten einer Nachricht zur Steuerung eines Lenkwinkels und in den Daten einer Nachricht zur Meldung einer Fahrgeschwindigkeit zusammen. Wie oben erwähnt, besteht das dritte Merkmal darin, dass Anomalien in verschiedenen Typen von wechselseitig in Beziehung stehenden Nachrichten zusammentreffen. Es ist zu beachten, dass ein Typ einer Nachricht durch eine in der Nachricht enthaltene ID (speziell eine CAN-ID) definiert sein kann. Außerdem können Typen von wechselseitig in Beziehung stehenden Nachrichten vorgegeben sein.
  • Der Ersetzungsangriff weist drei Merkmale auf. Das erste Merkmal (im Folgenden auch als Angriffsmerkmal 3 bezeichnet) besteht darin, dass das oben beschriebene Diagnosepaket als Diagnosenachricht durch ein Netzwerk läuft, obwohl ein Fahrzeug fährt. Mit anderen Worten, wenn ein Diagnosepaket ein fahrzeuginternes Netzwerk eines fahrenden Fahrzeugs durchläuft, besteht eine hohe Wahrscheinlichkeit, dass es sich bei dem Diagnosepaket um ein nicht autorisiertes Paket handelt, die Übertragung einer normalen Nachricht von einer ECU auf nicht autorisierte Weise gestoppt wird und statt der normalen Nachricht eine nicht autorisierte Nachricht durch das fahrzeuginterne Netzwerk geleitet wird. Das zweite Merkmal (im Folgenden auch als Angriffsmerkmal 3a bezeichnet) geht mit dem Angriffsmerkmal 3 einher und besteht darin, dass, obwohl die Übertragung einer Nachricht durch ein Diagnosepaket in unautorisierter Weise gestoppt wird, die Nachricht beobachtet wird. Es ist zu beachten, dass, obwohl die Angriff-Erfassungsvorrichtung 140 bei der Bestimmung, ob eine Ursache einer Anomalie ein Angriff ist, in der folgenden Beschreibung das Angriffsmerkmal 3 verwenden kann, das Angriffsmerkmal 3 durch das Angriffsmerkmal 3a ersetzt werden kann. Selbst wenn das Angriffsmerkmal 3 durch das Angriffsmerkmal 3a ersetzt wird, kann die gleiche vorteilhafte Wirkung erzielt werden wie in dem Fall, in dem das Angriffsmerkmal 3 verwendet wird. Außerdem kann das Angriffsmerkmal 3a zusätzlich zum Angriffsmerkmal 3 verwendet werden. Das dritte Angriffsmerkmal besteht darin, dass Anomalien in verschiedenen Arten von wechselseitig in Beziehung stehenden Nachrichten zusammentreffen, wie beim dritten Angriffsmerkmal des Hinzufügungsangriffs. Mit anderen Worten, das dritte Merkmal des Ersetzungsangriffs ist dasselbe wie das dritte Merkmal des Hinzufügungsangriffs und ist äquivalent zu dem Angriffsmerkmal 4.
  • Im Gegensatz dazu treten die Angriffsmerkmale 1 bis 4 und 3a bei einer anderen Ursache als einem Angriff weder auf noch treten sie hervor.
  • In Anbetracht der obigen Ausführungen bestimmt die Angriff-Erfassungsvorrichtung 140 in der vorliegenden Ausführungsform unter Verwendung solcher Angriffsmerkmale, ob die Ursache einer Anomalie ein Angriff ist.
  • 4 ist ein Flussdiagramm, das ein Beispiel für eine Gesamtverarbeitungsoperation durch die Angriff-Erfassungsvorrichtung 140 zeigt.
  • Der Sende-Empfänger 143 der Angriff-Erfassungsvorrichtung 140 empfängt eine Nachricht, die durch einen Bus läuft (Schritt S110). Als nächstes bestimmt die Anomalie-Bestimmungseinrichtung 141, ob die vom Sende-Empfänger 143 empfangene Nachricht eine Anomalie aufweist (Schritt S120). Wenn beispielsweise ein von einer zu bestimmenden Zielnachricht angegebener Wert oder ein Änderungsbetrag des Wertes größer oder kleiner als eine vorgegebene Zahl ist, bestimmt die Anomalie-Bestimmungseinrichtung 141, dass die Zielnachricht eine Anomalie aufweist. Es ist zu beachten, dass der Betrag der Änderung des von der Zielnachricht angegebenen Wertes beispielsweise eine Differenz zwischen dem Wert der Zielnachricht und einem Wert ist, der von einer Nachricht angegeben wird, die vom gleichen Typ wie die Zielnachricht ist und vor der Zielnachricht übertragen wurde. Alternativ kann die Anomalie-Bestimmungseinrichtung 141 basierend auf einem Übertragungszyklus einer Nachricht, die vom gleichen Typ wie die Zielnachricht ist, bestimmen, ob die Zielnachricht eine Anomalie aufweist. Wenn der Übertragungszyklus beispielsweise kürzer oder länger als ein vorbestimmter Zyklus ist, bestimmt die Anomalie-Bestimmungseinrichtung 141, dass die Zielnachricht die Anomalie aufweist.
  • Dann, wenn die Anomalie-Bestimmungseinrichtung 141 bestimmt, dass die Nachricht die Anomalie aufweist (Ja in Schritt S120), bestimmt die Angriff-Bestimmungseinrichtung 142, ob eine Ursache der Anomalie ein Angriff ist (Schritt S130). Zum Beispiel bestimmt die Anomalie-Bestimmungseinrichtung 141 basierend auf den in 3 gezeigten Angriffsmerkmalen 1 bis 4, ob eine Ursache einer Anomalie ein Angriff ist.
  • Wenn hierbei die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Ursache der Anomalie der Angriff ist (Ja in Schritt S130), benachrichtigt die Angriff-Bestimmungseinrichtung 142 einen Benutzer, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen, dass der Angriff stattgefunden hat (Schritt S140).
  • Wenn andererseits die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Ursache der Anomalie nicht der Angriff ist (Nein in Schritt S130), benachrichtigt die Angriff-Bestimmungseinrichtung 142 den Benutzer, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen, dass die Anomalie aufgetreten ist (Schritt S150). Zu diesem Zeitpunkt kann die Angriff-Bestimmungseinrichtung 142 mitteilen, dass die Ursache der Anomalie nicht der Angriff ist, d.h. ein Störfall oder ein Fehler aufgetreten ist.
  • Danach bestimmt der Sende-Empfänger 143, ob der Empfang der Nachricht beendet werden soll (Schritt S160). Wenn beispielsweise die Beendigungsbedingungen erfüllt sind, wie beispielsweise der Fall, dass die Stromversorgung des fahrzeuginternen Netzwerks 100 ausgeschaltet ist, beendet der Sende-Empfänger 143 den Empfang einer Nachricht. Wenn dagegen die Beendigungsbedingungen nicht erfüllt sind, führt der Sende-Empfänger 143 die Verarbeitung ab Schritt S110 wiederholt durch.
  • Hierbei verwendet die Angriff-Bestimmungseinrichtung 142, wie oben erwähnt, die in 3 gezeigten Angriffsmerkmale 1 bis 4, wenn die Angriff-Bestimmungseinrichtung 142 in Schritt S130 bestimmt, ob eine Ursache der Anomalie ein Angriff ist.
  • Zum Beispiel kann die Angriff-Bestimmungseinrichtung 142 das Angriffsmerkmal 1 verwenden, d.h. eine Zunahme der Datenmenge. Genauer ist die Nachricht, für die eine Anomalie bestimmt wurde, eine erste Nachricht und wird beispielsweise von der ersten ECU 110 übertragen. Außerdem wird im fahrzeuginternen Netzwerk 100 jede der ersten Nachrichten, einschließlich der ersten Nachricht, die als eine Anomalie aufweisend bestimmt wurde, sequentiell über den Bus übertragen. Es ist zu beachten, dass die ersten Nachrichten beispielsweise vom gleichen Typ sind. Mit anderen Worten, die ersten Nachrichten weisen die gleiche ID auf. Zu diesem Zeitpunkt bestimmt die Angriff-Bestimmungseinrichtung 142, ob eine erste Datenmenge der übertragenen ersten Nachrichten pro Zeiteinheit gegenüber einer zweiten Datenmenge übertragener normaler erster Nachrichten pro Zeiteinheit zugenommen hat. Dann, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die erste Datenmenge zugenommen hat, bestimmt die Angriff-Bestimmungseinrichtung 142, dass eine Ursache der Anomalie ein Angriff ist.
  • Zum Beispiel addiert die Angriff-Bestimmungseinrichtung 142 die Datenmenge von jeder der wenigstens einen ersten Nachricht, die vom Sende-Empfänger 143 innerhalb einer Zeiteinheit ab dem Empfang einer anormalen ersten Nachricht vom Sende-Empfänger 143 empfangen wird. Auf diese Weise wird eine erste Datenmenge berechnet. Es ist zu beachten, dass diese erste Datenmenge eine Datenmenge der anormalen ersten Nachricht beinhaltet. Die Angriff-Bestimmungseinrichtung 142 vergleicht die erste Datenmenge und eine zweite Datenmenge, und dann, wenn die erste Datenmenge größer ist als die zweite Datenmenge, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die erste Datenmenge zugenommen hat. Die zweite Datenmenge kann eine vorbestimmte Datenmenge sein. Außerdem kann die Zeiteinheit größer oder gleich einem Übertragungszyklus einer normalen ersten Nachricht sein.
  • Da in der vorliegenden Ausführungsform, wie oben erwähnt, bestimmt wird, ob ein Angriffsmerkmal, das eine anormale Nachricht zu einer normalen Nachricht hinzufügt, aufgetreten ist, ist es möglich, entsprechend einen solchen Angriff, d.h. den Hinzufügungsangriff, als Ursache für die Anomalie zu bestimmen.
  • Außerdem kann die Angriff-Bestimmungseinrichtung 142 das Angriffsmerkmal 2, d.h. die Koexistenz einer normalen Nachricht und einer anormalen Nachricht, als eine Änderung der Daten verwenden. Genauer bestimmt die Angriff-Bestimmungseinrichtung 142, ob die oben erwähnten ersten Nachrichten eine anormale erste Nachricht und eine normale erste Nachricht enthalten, und dann, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die ersten Nachrichten die anormale erste Nachricht und die normale erste Nachricht enthalten, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist.
  • Zum Beispiel bestimmt die Angriff-Bestimmungseinrichtung 142, ob eine anormale erste Nachricht vom Sende-Empfänger 143 innerhalb einer vorbestimmten Zeitspanne ab dem Empfang einer normalen ersten Nachricht vom Sende-Empfänger 143 empfangen wurde. Zu diesem Zeitpunkt, wenn die anormale erste Nachricht vom Sende-Empfänger 143 empfangen wird, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die ersten Nachrichten die anormale erste Nachricht und die normale erste Nachricht enthalten; und wenn die anormale erste Nachricht nicht vom Sende-Empfänger 143 empfangen wird, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die ersten Nachrichten die anormale erste Nachricht nicht enthalten. Es ist zu beachten, dass die vorbestimmte Zeitspanne größer oder gleich einem Übertragungszyklus der normalen ersten Nachricht sein kann.
  • Da in der vorliegenden Ausführungsform, wie oben erwähnt, bestimmt wird, ob ein Angriffsmerkmal, das eine anormale Nachricht zu einer normalen Nachricht hinzufügt, aufgetreten ist, ist es möglich, entsprechend einen solchen Angriff, d.h. den Hinzufügungsangriff, als Ursache für die Anomalie zu bestimmen.
  • Außerdem kann die Angriff-Bestimmungseinrichtung 142 das Angriffsmerkmal 3 verwenden, d.h. die Beobachtung eines Diagnosepakets. Es ist zu beachten, dass die Beobachtung des Diagnosepakets bedeutet, dass ein Diagnosepaket als Diagnosenachricht beobachtet wird, während Fahrzeug 1 fährt. Genauer bestimmt die Angriff-Bestimmungseinrichtung 142, ob eine dritte Nachricht an das fahrzeuginterne Netzwerk 100 übertragen wurde, während das Fahrzeug 1 fuhr, wobei die dritte Nachricht die oben erwähnte Diagnosenachricht ist, die von außerhalb des Fahrzeugs 1 an das fahrzeuginterne Netzwerk 100 übertragen wird, während das Fahrzeug 1 nicht fährt. Wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die dritte Nachricht übertragen wurde, während das Fahrzeug 1 fuhr, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist.
  • Zum Beispiel erhält die Angriff-Bestimmungseinrichtung 142 Informationen über eine Fahrgeschwindigkeit des Fahrzeugs 1 von einer Vorrichtung des Fahrzeugs 1 und bestimmt basierend auf den Informationen, ob das Fahrzeug 1 fährt. Wenn eine dritte Nachricht vom Sende-Empfänger 143 empfangen wird, während die Angriff-Bestimmungseinrichtung 142 bestimmt, dass das Fahrzeug 1 fährt, bestimmt die Angriff-Bestimmungseinrichtung 142 basierend auf den Informationen, dass die Ursache der Anomalie ein Angriff ist.
  • Außerdem kann die Angriff-Bestimmungseinrichtung 142 das Angriffsmerkmal 3a verwenden. Insbesondere wenn die Übertragung einer ersten Nachricht durch ein Diagnosepaket gestoppt war, bestimmt die Angriff-Bestimmungseinrichtung 142, ob eine erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde; und dann, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist.
  • Da, wie oben erwähnt, in der vorliegenden Ausführungsform bestimmt wird, ob ein Angriffsmerkmal, das eine normale Nachricht durch eine anormale Nachricht ersetzt, aufgetreten ist, ist es möglich, entsprechend einen solchen Angriff, d.h. den Ersetzungsangriff, als Ursache der Anomalie zu bestimmen.
  • Außerdem kann die Angriff-Bestimmungseinrichtung 142 das Angriffsmerkmal 4 verwenden, d.h. die Koinzidenz (Zusammentreffen). Es ist zu beachten, dass die Koinzidenz bedeutet, dass Anomalien in verschiedenen Arten von wechselseitig in Beziehung stehenden Nachrichten (oder Daten) zusammentreffen. Genauer bestimmt die Angriff-Bestimmungseinrichtung 142, ob eine zweite Nachricht, die als eine Anomalie aufweisend bestimmt wurde, von einer zweiten ECU 120, die im fahrzeuginternen Netzwerk 100 enthalten ist, in der gleichen Zeitspanne wie eine erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, wobei die zweite Nachricht mit der ersten Nachricht in Beziehung steht. Wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die zweite Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist.
  • Zum Beispiel wird eine zweite Nachricht vom Sende-Empfänger 143 innerhalb einer vorbestimmten Zeit empfangen, nachdem eine anormale erste Nachricht vom Sende-Empfänger 143 empfangen wurde. Wenn die jeweiligen IDs der ersten Nachricht und der zweiten Nachricht in einer im Voraus gehaltenen Tabelle wechselseitig zugeordnet sind, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die zweite Nachricht mit der ersten Nachricht in Beziehung steht. Wenn die zweite Nachricht durch die Anomalie-Bestimmungseinrichtung 141 als eine Anomalie aufweisend bestimmt wird, bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist.
  • Da, wie oben erwähnt, in der vorliegenden Ausführungsform bestimmt wird, ob ein Angriffsmerkmal aufgetreten ist, ist es möglich, entsprechend den Angriff als Ursache der Anomalie zu bestimmen.
  • Hierbei kann die Angriff-Bestimmungseinrichtung 142 einen Typ des Angriffs unter Verwendung von zwei beliebigen der in 3 gezeigten Angriffsmerkmale 1 bis 4 identifizieren und eine Meldung in Übereinstimmung mit diesen Typen ausgeben.
  • 5 ist ein Flussdiagramm, das ein spezielles Beispiel für eine Verarbeitungsoperation durch die Angriff-Bestimmungseinrichtung 142 zeigt.
  • In Schritt S130 bestimmt die Angriff-Bestimmungseinrichtung 142 beispielsweise, ob das Angriffsmerkmal 1 aufgetreten ist, d.h. eine Datenmenge zugenommen hat (Schritt S131). Wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Datenmenge zugenommen hat (Ja in Schritt S131), bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist, und identifiziert einen Typ des Angriffs als einen Hinzufügungsangriff. Folglich benachrichtigt die Angriff-Bestimmungseinrichtung 142 in Schritt S140 den Benutzer, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen über den Hinzufügungsangriff (Schritt S141).
  • Wenn andererseits die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Datenmenge nicht zugenommen hat (Nein in Schritt S131), bestimmt die Angriff-Bestimmungseinrichtung 142, ob das Angriffsmerkmal 3 aufgetreten ist, d.h. ein Diagnosepaket beobachtet wurde (Schritt S132). Wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass das Diagnose-Paket beobachtet wurde (Ja in Schritt S132), bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist, und identifiziert einen Typ des Angriffs als einen Ersetzungsangriff. Folglich benachrichtigt die Angriff-Bestimmungseinrichtung 142 in Schritt S140 den Benutzer, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen über den Ersetzungsangriff (Schritt S142).
  • 6 ist ein Flussdiagramm, das ein weiteres spezifisches Beispiel für die Verarbeitungsoperation durch die Angriff-Bestimmungseinrichtung 142 zeigt.
  • In Schritt S130 bestimmt die Angriff-Bestimmungseinrichtung 142 beispielsweise, ob das Angriffsmerkmal 2 aufgetreten ist, d.h. ob die Koexistenz einer normalen Nachricht und einer anormalen Nachricht als Änderung der Daten aufgetreten ist (Schritt S133). Wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Koexistenz aufgetreten ist (Ja in Schritt S133), bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist, und identifiziert einen Typ des Angriffs als einen Hinzufügungsangriff. Folglich benachrichtigt die Angriff-Bestimmungseinrichtung 142 in Schritt S140 den Benutzer, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen über den Hinzufügungsangriff (Schritt S141).
  • Wenn andererseits die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Koexistenz nicht aufgetreten ist (Nein in Schritt S133), bestimmt die Angriff-Bestimmungseinrichtung 142, ob das Angriffsmerkmal 3 aufgetreten ist, d.h. ob ein Diagnosepaket beobachtet wurde (Schritt S132). Wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass das Diagnosepaket beobachtet wurde (Ja in Schritt S132), bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist, und identifiziert einen Typ des Angriffs als einen Ersetzungsangriff. Folglich benachrichtigt die Angriff-Bestimmungseinrichtung 142 in Schritt S140 den Benutzer, den Server 200 oder wenigstens eine der im fahrzeuginternen Netzwerk 100 enthaltenen Vorrichtungen über den Ersetzungsangriff (Schritt S142).
  • 7 ist ein Flussdiagramm, das ein weiteres Beispiel für die Gesamtverarbeitungsoperation durch die Angriff-Erfassungsvorrichtung 140 zeigt. Es ist zu beachten, dass unter den im Flussdiagramm der 7 gezeigten Schritten diejenigen, die mit den im Flussdiagramm der 4 gezeigten Schritten identisch sind, mit den gleichen Bezugszeichen wie in 4 versehen sind, wobei eine detaillierte Beschreibung dieser Schritte weggelassen wird.
  • Die Angriff-Bestimmungseinrichtung 142 kann bestimmen, ob eine Ursache einer Anomalie ein Angriff ist, und dann, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die Ursache der Anomalie ein Angriff ist, kann die Angriff-Bestimmungseinrichtung 142 ferner einen Typ des Angriffs identifizieren.
  • Wenn beispielsweise der Sende-Empfänger 143 eine Nachricht empfängt und die Anomalie-Bestimmungseinrichtung 141 bestimmt, dass die Nachricht eine Anomalie aufweist, bestimmt die Angriff-Bestimmungseinrichtung 142 der Angriff-Erfassungsvorrichtung 140, ob ein gemeinsames Merkmal für den Hinzufügungsangriff und den Ersetzungsangriff aufgetreten ist (Schritt S130a). Mit anderen Worten, wie in 7 gezeigt, bestimmt die Angriff-Bestimmungseinrichtung 142, ob das Angriffsmerkmal 4 aufgetreten ist, d.h. ob wechselseitig in Beziehung stehende anormale Nachrichten (zeitlich) zusammengetroffen sind, als ein spezifischer Prozess in dem in 4 gezeigten Schritt S130 (Schritt S130a). Wenn hierbei die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die wechselseitig in Beziehung stehenden anormalen Nachrichten (zeitlich) zusammengetroffen sind (Ja in Schritt S130a), bestimmt die Angriff-Bestimmungseinrichtung 142, dass die Ursache der Anomalie ein Angriff ist, und identifiziert ferner einen Typ des Angriffs (Schritt S170). Mit anderen Worten, die Angriff-Bestimmungseinrichtung 142 erfasst, welches der Angriffsmerkmale 1 bis 3 aufgetreten ist, und identifiziert als Typ des Angriffs einen Typ entsprechend dem aufgetretenen Merkmal. Wenn die Angriff-Bestimmungseinrichtung 142 beispielsweise das Auftreten eines der Angriffsmerkmale 1 und 2 erfasst, identifiziert die Angriff-Bestimmungseinrichtung 142 den Hinzufügungsangriff gemäß dem einen Angriffsmerkmal als Typ des Angriffs. Alternativ, wenn die Angriff-Bestimmungseinrichtung 142 das Auftreten des Angriffsmerkmals 3 erfasst, identifiziert die Angriff-Bestimmungseinrichtung 142 den Ersetzungsangriff gemäß dem Angriffsmerkmal 3 als Typ des Angriffs.
  • Genauer, im fahrzeuginternen Netzwerk 100 wurde jede der ersten Nachrichten, die eine erste Nachricht enthalten, die als eine Anomalie aufweisend bestimmt wurde, sequenziell übertragen, und eine erste Datenmenge der übertragenen ersten Nachrichten pro Zeiteinheit hat gegenüber einer zweiten Datenmenge übertragener normaler erster Nachrichten pro Zeiteinheit zugenommen. In einem solchen Fall identifiziert die Angriff-Bestimmungseinrichtung 142 bei der Identifizierung eines Angriffstyps in Schritt S170 als Typ des Angriffs den Hinzufügungsangriff, der eine anormale Nachricht zu einer normalen Nachricht hinzufügt. Mit anderen Worten, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die erste Datenmenge der übertragenen ersten Nachrichten pro Zeiteinheit gegenüber der zweiten Datenmenge übertragener normaler erster Nachrichten pro Zeiteinheit zugenommen hat, identifiziert die Angriff-Bestimmungseinrichtung 142 als Typ des Angriffs den Hinzufügungsangriff, der die anormale Nachricht zu der normalen Nachricht hinzufügt.
  • Außerdem wurde im fahrzeuginternen Netzwerk 100 jede der ersten Nachrichten, die die erste Nachricht enthalten, die als eine Anomalie aufweisend bestimmt wurde, sequenziell übertragen, und die ersten Nachrichten enthalten eine anormale erste Nachricht und eine normale erste Nachricht. In einem solchen Fall identifiziert die Angriff-Bestimmungseinrichtung 142 bei der Identifizierung eines Angriffstyps in Schritt S170 als Typ des Angriffs den Hinzufügungsangriff, der eine anormale Nachricht zu einer normalen Nachricht hinzufügt. Mit anderen Worten, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass die ersten Nachrichten die anormale erste Nachricht und die normale erste Nachricht enthalten, identifiziert die Angriff-Bestimmungseinrichtung 142 als Typ des Angriffs den Hinzufügungsangriff, der die anormale Nachricht zu der normalen Nachricht hinzufügt.
  • Alternativ dazu wurde eine dritte Nachricht, die von außerhalb des Fahrzeugs 1 an das fahrzeuginterne Netzwerk 100 übertragen wird, während das Fahrzeug 1 nicht fährt, an das fahrzeuginterne Netzwerk 100 übertragen, während das Fahrzeug 1 fuhr. In einem solchen Fall identifiziert die Angriff-Bestimmungseinrichtung 142 bei der Identifizierung eines Angriffstyps in Schritt S170 als Typ des Angriffs den Ersetzungsangriff, der eine normale Nachricht durch eine anormale Nachricht ersetzt. Mit anderen Worten, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass eine dritte Nachricht, die von außerhalb des Fahrzeugs 1 an das fahrzeuginterne Netzwerk 100 übertragen wird, während das Fahrzeug 1 nicht fährt, an das fahrzeuginterne Netzwerk 100 übertragen wurde, während das Fahrzeug 1 fuhr, identifiziert die Angriff-Bestimmungseinrichtung 142 als Typ des Angriffs den Ersetzungsangriff, der die normale Nachricht durch die anormale Nachricht ersetzt. Alternativ dazu, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass eine erste Nachricht, die als die Anomalie aufweisend bestimmt wurde, übertragen wurde, während die Übertragung einer ersten Nachricht durch ein Diagnosepaket gestoppt war, identifiziert die Angriff-Bestimmungseinrichtung 142 als den Typ des Angriffs den Ersetzungsangriff, der die normale Nachricht durch die anormale Nachricht ersetzt.
  • Dementsprechend ist es möglich, einen Angriff, der als ein Ereignis bestimmt wurde, das in einem Netzwerk aufgetreten ist, genauer zu bestimmen.
  • Wie oben erwähnt, ermöglichen die elektronische Steuereinheit und das elektronische Steuersystem in der vorliegenden Ausführungsform, ein Ereignis, das im fahrzeuginternen Netzwerk 100 aufgetreten ist, genauer zu bestimmen.
  • [Variationen]
  • Obwohl die elektronische Steuereinheit gemäß einem oder mehreren Aspekten auf der Grundlage der vorangehenden Ausführungsform oben beschrieben wurde, ist die vorliegende Offenbarung nicht auf die vorangehende Ausführungsform beschränkt. Verschiedene Modifikationen der vorliegenden Ausführungsform, die von einer Person mit gewöhnlichen Kenntnissen auf dem Gebiet der Technik erdacht werden können, oder solche Formen, die durch die Kombination von Elementen in verschiedenen Ausführungsformen erhalten werden, können in den Anwendungsbereich der einen oder mehreren Aspekte enthalten sein, solange die Modifikationen und Formen nicht vom Kern der vorliegenden Offenbarung abweichen.
  • In der obigen Ausführungsform bestimmt die Angriff-Bestimmungseinrichtung 142 beispielsweise, ob irgendeines oder zwei der in 3 gezeigten Angriffsmerkmale 1 bis 4 aufgetreten ist/sind, und bestimmt auf der Grundlage eines Ergebnisses der Bestimmung, ob eine Ursache der Anomalie ein Angriff ist. Wenn jedoch wenigstens drei der oben beschriebenen Angriffsmerkmale 1 bis 4 in der gleichen Zeitspanne auftreten, kann die Angriff-Bestimmungseinrichtung 142 bestimmen, dass eine Ursache der Anomalie ein Angriff ist. Mit anderen Worten, die Angriff-Bestimmungseinrichtung 142 bestimmt, ob wenigstens ein Merkmal, das durch einen Angriff hervorgerufen wurde, innerhalb einer vorbestimmten Zeit im fahrzeuginternen Netzwerk 100 aufgetreten ist, und dann, wenn die Angriff-Bestimmungseinrichtung 142 bestimmt, dass das wenigstens eine Merkmal aufgetreten ist, bestimmt die Angriff-Bestimmungseinrichtung 142, dass eine Ursache der Anomalie ein Angriff ist. Das wenigstens eine Merkmal kann eines der Angriffsmerkmale 1 bis 4 sein. Wenn außerdem dasselbe Merkmal innerhalb der oben beschriebenen Zeit mehrmals auftritt, kann die Angriff-Bestimmungseinrichtung 142 bestimmen, dass eine Ursache der Anomalie ein Angriff ist.
  • Obwohl außerdem die Angriff-Bestimmungseinrichtung 142 aufgrund des Angriffsmerkmals 3 in der vorangehenden Ausführungsform bestimmt, dass die Ursache der Anomalie der Ersetzungsangriff ist, kann die Angriff-Bestimmungseinrichtung 142 aufgrund eines weiteren Merkmals bestimmen, dass die Ursache der Anomalie der Ersetzungsangriff ist. Wie in 3 gezeigt, ändern sich beispielsweise im Fall des Ersetzungsangriffs die Daten (d.h. ein Wert), die in einer zyklisch übertragenen Nachricht enthalten sind, stark. Dementsprechend kann die Angriff-Bestimmungseinrichtung 142 auf der Grundlage eines solchen Merkmals bestimmen, dass die Ursache der Anomalie der Ersetzungsangriff ist.
  • Es ist zu beachten, dass in der vorangehenden Ausführungsform die jeweiligen Elemente unter Verwendung dedizierter Hardware konfiguriert werden können oder durch Ausführung eines für die jeweiligen Elemente geeigneten Softwareprogramms verwirklicht werden können. Jedes der Elemente kann durch einen Programmausführer, wie beispielsweise eine CPU oder einen Prozessor, verwirklicht werden, der ein auf einem Aufzeichnungsmedium, wie beispielsweise einer Festplatte oder einem Halbleiterspeicher, aufgezeichnetes Softwareprogramm liest und ausführt. Hierbei veranlasst die Software, die beispielsweise die elektronische Steuereinheit oder das elektronische Steuersystem in der vorangehenden Ausführungsform implementiert, einen Computer, die jeweiligen Schritte auszuführen, die in den in 4 bis 7 dargestellten Flussdiagrammen enthalten sind.
  • Außerdem ist das fahrzeuginterne Netzwerk 100 in der vorangehenden Ausführungsform ein Netzwerksystem, das auf dem CAN-Protokoll basiert. Das CAN-Protokoll kann breit ausgelegt werden und umfasst auch abgeleitete Protokolle, wie beispielsweise zeitgetriggertes CAN (Time-Triggered CAN) und CAN mit flexibler Datenrate (CANFD, CAN with Flexible Data Rate). Ferner ist ein Netzwerk, das für die Kommunikation zwischen ECUs in einem Fahrzeug verwendet wird, nicht auf ein Netzwerk gemäß dem CAN-Protokoll beschränkt, sondern kann auch ein anderes Netzwerk sein. Beispiele für ein anderes Protokoll als CAN, das von einem Netzwerk verwendet wird, in dem ECUs Kommunikationsdaten senden und empfangen, sind ein Ethernet-Protokoll (Ethernet ist ein eingetragenes Warenzeichen), ein Local-Interconnect-Network-(LIN)-Protokoll, ein Media-Oriented-Systems-Transport-(MOST)-Protokoll (MOST ist ein eingetragenes Warenzeichen), ein FlexRay-Protokoll (FlexRay ist ein eingetragenes Warenzeichen) und ein BroadR-Reach-Protokoll.
  • Außerdem ist jede ECU in der vorangehenden Ausführungsform als eine Vorrichtung definiert, die beispielsweise einen Prozessor, eine digitale Schaltung wie einen Speicher, eine analoge Schaltung und eine Kommunikationsschaltung enthält, kann jedoch auch eine Festplatte, ein Anzeigevorrichtung und andere Hardwareelemente umfassen. Ferner kann die Funktionalität jeder in der vorangehenden Ausführungsform beschriebenen Vorrichtung durch dedizierte Hardware (beispielsweise eine digitale Schaltung) anstelle von Software implementiert werden, die einen Prozessor veranlasst, ein im Speicher aufgezeichnetes Programm auszuführen.
  • Außerdem ist das fahrzeuginterne Netzwerk 100 in der vorangehenden Ausführungsform ein im Fahrzeug 1 installiertes Netzwerksystem, kann jedoch auch in einem anderen mobilen Körper als einem Fahrzeug installiert sein, beispielsweise in einer Baumaschine, einer landwirtschaftlichen Maschine, einem Schiff, einem Zug oder einem Flugzeug.
  • Außerdem können ein Teil oder alle Elemente in jeder der Vorrichtungen gemäß der vorangehenden Ausführungsform in einer einzigen Vorrichtung mit Large Scale Integration (LSI) implementiert sein. Die System-LSI ist ein Super-Multifunktions-LSI, die ein einzelner Chip ist, in den eine Vielzahl von Elementen integriert ist. Genauer ist die System-LSI ein Computersystem, das einen Mikroprozessor, einen ROM, einen RAM und dergleichen enthält. Der RAM speichert ein Computerprogramm. Der Mikroprozessor arbeitet gemäß dem Computerprogramm und veranlasst dadurch jedes der Elemente, die Funktion auszuführen. Ferner kann jedes der Elemente, die in jeder der oben beschriebenen Vorrichtungen enthalten sind, separat integriert sein, oder ein Teil oder alle von diesen können in einem einzigen Chip integriert sein. Die System-LSI wird hier beschrieben, aber die integrierte Schaltung kann auch als eine integrierte Schaltung (IC), eine System-LSI-Schaltung, eine Super-LSI-Schaltung oder eine Ultra-LSI-Schaltung bezeichnet werden, je nach Integrationsgrad. Außerdem ist die Technik der Schaltungsintegration nicht auf LSI beschränkt und kann durch eine dedizierte Schaltung oder einen Allzweckprozessor verwirklicht werden. Nach der Herstellung der LSI-Schaltung können ein FPGA (FPGA = Field Programmable Gate Array) oder ein rekonfigurierbarer Prozessor, der in der Verbindung oder Einstellung von Schaltkreiszellen innerhalb der LSI-Schaltung rekonfigurierbar ist, verwendet werden. Wenn die Entwicklung einer Halbleitertechnologie oder einer anderen abgeleiteten Technologie eine Schaltungsintegrationstechnologie bereitstellt, die LSI ersetzt, können Funktionsblöcke selbstverständlich auch unter Verwendung dieser Technologie integriert werden. Die Adaption der Biotechnologie ist beispielsweise eine Möglichkeit.
  • Außerdem können ein Teil oder alle Elemente, die in jeder der oben beschriebenen Vorrichtungen enthalten sind, in eine IC-Karte (IC = Integrated Circuit) oder ein einzelnes Modul implementiert werden, das abnehmbar an der Vorrichtung angebracht werden kann. Die IC-Karte oder das Modul ist ein Computersystem, das einen Mikroprozessor, einen ROM, einen RAM und dergleichen enthält. Die IC-Karte oder das Modul kann die oben beschriebene Super-Multifunktions-LSI enthalten. Der Mikroprozessor arbeitet gemäß dem Computerprogramm, um die IC-Karte oder das Modul zu veranlassen, ihre Funktionen auszuführen. Die IC-Karte oder das Modul können einen Manipulationsschutz aufweisen.
  • Außerdem kann ein Aspekt der vorliegenden Offenbarung ein elektronisches Steuerverfahren sein, das beispielsweise einen Teil oder alle der in 4 bis 7 dargestellten Prozeduren umfasst. Ferner kann ein Aspekt der vorliegenden Offenbarung ein Programm (ein Computerprogramm) sein, das einem Computer ermöglicht, den Prozess gemäß dem elektronischen Steuerverfahren durchzuführen, oder es können digitale Signale sein, die das Programm ausmachen.
  • Außerdem kann ein Aspekt der vorliegenden Offenbarung das Computerprogramm oder die digitalen Signale sein, die auf einem computerlesbaren Aufzeichnungsmedium aufgezeichnet sind, wie beispielsweise einer flexiblen Platte, einer Festplatte, einer CD-ROM, einer MO, einer DVD, einer DVD-ROM, einer DVD-RAM, einer Blue-ray-Disc BD (eingetragenes Warenzeichen) und einem Halbleiterspeicher. Außerdem können ein Aspekt der vorliegenden Offenbarung die digitalen Signale sein, die auf diesen Aufzeichnungsmedien aufgezeichnet sind.
  • Außerdem können ein Aspekt der vorliegenden Offenbarung das Programm oder die digitalen Signale sein, die über eine Telekommunikationsleitung, eine drahtlose oder drahtgebundene Kommunikationsleitung, ein Netzwerk, das durch das Internet repräsentiert wird, eine Datenausstrahlung und so weiter übertragen werden. Ferner kann ein Aspekt der vorliegenden Offenbarung ein Computersystem sein, das einen Mikroprozessor und einen Speicher enthält, wobei der Speicher das Programm speichert und der Mikroprozessor gemäß dem Programm arbeitet. Außerdem können das Programm oder die digitalen Signale von einem weiteren unabhängigen Computersystem ausgeführt werden, indem das Programm oder die digitalen Signale, die auf dem Aufzeichnungsmedium aufgezeichnet sind, übertragen werden, oder indem das Programm oder die digitalen Signale über das Netzwerk usw. übertragen werden.
  • Der Umfang der vorliegenden Offenbarung umfasst Formen, die durch Kombination irgendwelcher Elemente und Funktionen erhalten werden, die in der vorangehenden Ausführungsform und den Variationen beschrieben sind.
  • [Gewerbliche Anwendbarkeit]
  • Die vorliegende Offenbarung ermöglicht, ein Ereignis, das in einem Netzwerk aufgetreten ist, genauer zu bestimmten, und ist beispielsweise auf ein Netzwerk anwendbar, in dem eine Steuerung gemäß einem CAN-Protokoll durchgeführt wird.
  • Bezugszeichenliste
    • 1
    Fahrzeug
    100
    elektronisches Steuersystem (fahrzeuginternes Netzwerk)
    110
    erste ECU
    120
    zweite ECU
    130
    Kommunikations-ECU
    140
    Angriff-Erfassungsvorrichtung (elektronische Steuereinheit)
    141
    Anomalie-Bestimmungseinrichtung
    142
    Angriff-Bestimmungseinrichtung
    143
    Sende-Empfänger
    200
    Server
    300
    Diagnosevorrichtung

Claims (15)

  1. Elektronische Steuereinheit, umfassend: einen Empfänger, der erste Nachrichten empfängt, die von einer ersten Vorrichtung übertragen werden, die in einem in einem mobilen Körper installierten Netzwerk enthalten ist; und eine Bestimmungseinrichtung, die dann, wenn bestimmt wird, dass eine erste Nachricht unter den von dem Empfänger empfangenen ersten Nachrichten eine Anomalie aufweist, bestimmt, ob eine Ursache der Anomalie ein Angriff auf das Netzwerk ist, und ein Ergebnis der Bestimmung ausgibt.
  2. Elektronische Steuereinheit nach Anspruch 1, wobei dann, wenn die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie nicht der Angriff ist, die Bestimmungseinrichtung ferner Informationen ausgibt, die eine Möglichkeit eines Störfalls der ersten Vorrichtung anzeigen.
  3. Elektronische Steuereinheit nach Anspruch 1 oder Anspruch 2, wobei die Bestimmungseinrichtung bestimmt, ob eine erste Datenmenge der übertragenen ersten Nachrichten pro Zeiteinheit gegenüber einer zweiten Datenmenge übertragener normaler erster Nachrichten pro Zeiteinheit zugenommen hat, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die erste Datenmenge gegenüber der zweiten Datenmenge zugenommen hat, die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie der Angriff ist.
  4. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 3, wobei die Bestimmungseinrichtung bestimmt, ob die ersten Nachrichten eine anormale erste Nachricht und eine normale erste Nachricht enthalten, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die ersten Nachrichten die anormale erste Nachricht und die normale erste Nachricht enthalten, die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie der Angriff ist.
  5. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 4, wobei die Bestimmungseinrichtung bestimmt, ob eine zweite Nachricht, die als eine Anomalie aufweisend bestimmt wurde, von einer zweiten Vorrichtung, die in dem Netzwerk enthalten ist, in einer gleichen Zeitspanne wie die erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die zweite Nachricht übertragen wurde, die Bestimmungseinrichtung bestimmt, dass eine Ursache der Anomalie der Angriff ist, wobei die zweite Nachricht mit der ersten Nachricht, die als eine Anomalie aufweisend bestimmt wurde, in Beziehung steht.
  6. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 5, wobei die Bestimmungseinrichtung bestimmt, ob eine dritte Nachricht an das Netzwerk übertragen wurde, während sich der mobile Körper bewegte, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die dritte Nachricht übertragen wurde, die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie der Angriff ist, wobei die dritte Nachricht von außerhalb des mobilen Körpers an das Netzwerk übertragen wird, während sich der mobile Körper nicht bewegt.
  7. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 6, wobei die Bestimmungseinrichtung bestimmt, ob die erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, während die Übertragung einer ersten Nachricht durch ein Diagnosepaket gestoppt war, und dann, wenn die Bestimmungseinrichtung bestimmt, dass die erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie der Angriff ist.
  8. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 7, wobei die Bestimmungseinrichtung bestimmt, ob wenigstens ein Merkmal, das aufgrund eines Angriffs auftritt, in dem Netzwerk innerhalb einer vorbestimmten Zeitspanne aufgetreten ist, und dann, wenn die Bestimmungseinrichtung bestimmt, dass das wenigstens eine Merkmal aufgetreten ist, die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie der Angriff ist.
  9. Elektronische Steuereinheit nach einem der Ansprüche 1 bis 8, wobei dann, wenn die Bestimmungseinrichtung bestimmt, dass die Ursache der Anomalie der Angriff ist, die Bestimmungseinrichtung ferner einen Typ des Angriffs identifiziert.
  10. Elektronische Steuereinheit nach Anspruch 9, wobei dann, wenn die Bestimmungseinrichtung bestimmt, dass eine erste Datenmenge der übertragenen ersten Nachrichten pro Zeiteinheit gegenüber einer zweiten Datenmenge übertragener normaler erster Nachrichten pro Zeiteinheit zugenommen hat, die Bestimmungseinrichtung als Typ des Angriffs einen Hinzufügungsangriff identifiziert, der eine anormale Nachricht zu einer normalen Nachricht hinzufügt.
  11. Elektronische Steuereinheit nach Anspruch 9 oder Anspruch 10, wobei dann, wenn die Bestimmungseinrichtung bestimmt, dass die ersten Nachrichten eine anormale erste Nachricht und eine normale erste Nachricht enthalten, die Bestimmungseinrichtung als Typ des Angriffs einen Hinzufügungsangriff identifiziert, der eine anormale Nachricht zu einer normalen Nachricht hinzufügt.
  12. Elektronische Steuereinheit nach einem der Ansprüche 9 bis 11, wobei dann, wenn die Bestimmungseinrichtung bestimmt, dass eine zweite Nachricht an das Netzwerk übertragen wurde, während sich der mobile Körper bewegte, die Bestimmungseinrichtung als Typ des Angriffs einen Ersetzungsangriff identifiziert, der eine normale Nachricht durch eine anormale Nachricht ersetzt, wobei die zweite Nachricht von außerhalb des mobilen Körpers an das Netzwerk übertragen wird, während sich der mobile Körper nicht bewegt.
  13. Elektronische Steuereinheit nach einem der Ansprüche 9 bis 12, wobei dann, wenn die Bestimmungseinrichtung bestimmt, dass eine erste Nachricht, die als eine Anomalie aufweisend bestimmt wurde, übertragen wurde, während die Übertragung der ersten Nachricht durch ein Diagnosepaket gestoppt war, die Bestimmungseinrichtung als Typ des Angriffs einen Ersetzungsangriff identifiziert, der eine normale Nachricht durch eine anormale Nachricht ersetzt.
  14. Elektronisches Steuersystem, umfassend: eine Anomalie-Bestimmungsvorrichtung, die einen Empfänger enthält, der Nachrichten empfängt, die von einer Vorrichtung übertragen werden, die in einem Netzwerk enthalten ist, das in einem mobilen Körper installiert ist, und eine Anomalie-Bestimmungseinrichtung, die bestimmt, ob die vom Empfänger empfangenen Nachrichten Anomalien sind; und eine Angriff-Bestimmungsvorrichtung, die dann, wenn die Anomalie-Bestimmungseinrichtung bestimmt, dass eine Nachricht unter den vom Empfänger empfangenen Nachrichten eine Anomalie aufweist, bestimmt, ob eine Ursache der Anomalie ein Angriff auf das Netzwerk ist, und ein Ergebnis der Bestimmung ausgibt.
  15. Programm, das einen Computer veranlasst, Folgendes auszuführen: Empfangen von Nachrichten, die von einer Vorrichtung übertragen werden, die in einem Netzwerk enthaltenen ist, das in einem mobilen Körper installiert ist; und wenn eine Nachricht unter den empfangenen Nachrichten als eine Anomalie aufweisend bestimmt wird, Bestimmen, ob eine Ursache der Anomalie ein Angriff auf das Netzwerk ist, und Ausgeben eines Ergebnisses der Bestimmung.
DE112019006487.8T 2018-12-28 2019-12-18 Elektronische Steuereinheit, elektronisches Steuersystem und Programm Active DE112019006487B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018-247448 2018-12-28
JP2018247448 2018-12-28
PCT/JP2019/049617 WO2020137743A1 (ja) 2018-12-28 2019-12-18 電子制御装置、電子制御システムおよびプログラム

Publications (2)

Publication Number Publication Date
DE112019006487T5 true DE112019006487T5 (de) 2021-11-04
DE112019006487B4 DE112019006487B4 (de) 2023-12-28

Family

ID=71126190

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112019006487.8T Active DE112019006487B4 (de) 2018-12-28 2019-12-18 Elektronische Steuereinheit, elektronisches Steuersystem und Programm

Country Status (4)

Country Link
US (1) US11621967B2 (de)
JP (1) JP7113238B2 (de)
DE (1) DE112019006487B4 (de)
WO (1) WO2020137743A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020121390A1 (ja) * 2018-12-11 2020-06-18 株式会社オートネットワーク技術研究所 ジョイントコネクタ
JP7156257B2 (ja) * 2019-11-21 2022-10-19 トヨタ自動車株式会社 車両通信装置、通信異常の判定方法及びプログラム
JP7273875B2 (ja) * 2021-03-03 2023-05-15 本田技研工業株式会社 判定装置、移動体、判定方法及びプログラム
JP2023006513A (ja) * 2021-06-30 2023-01-18 株式会社デンソー 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6597777B1 (en) * 1999-06-29 2003-07-22 Lucent Technologies Inc. Method and apparatus for detecting service anomalies in transaction-oriented networks
US7383191B1 (en) * 2000-11-28 2008-06-03 International Business Machines Corporation Method and system for predicting causes of network service outages using time domain correlation
US8209756B1 (en) * 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US8613085B2 (en) * 2009-07-22 2013-12-17 Broadcom Corporation Method and system for traffic management via virtual machine migration
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
JP6497656B2 (ja) 2015-07-03 2019-04-10 パナソニックIpマネジメント株式会社 通信方法およびそれを利用した通信装置
US20170010930A1 (en) * 2015-07-08 2017-01-12 Cisco Technology, Inc. Interactive mechanism to view logs and metrics upon an anomaly in a distributed storage system
JP6532162B2 (ja) * 2015-08-12 2019-06-19 本田技研工業株式会社 通信装置、および通信システム
JP6173541B2 (ja) 2015-10-09 2017-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム
DE102016200775A1 (de) 2016-01-21 2017-07-27 Robert Bosch Gmbh Verfahren und Vorrichtung zum Schutz eines Fahrzeuges vor Cyberangriffen
US10063589B2 (en) * 2016-04-20 2018-08-28 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Microcheckpointing as security breach detection measure
EP3264718B1 (de) 2016-06-29 2021-03-03 Argus Cyber Security Ltd System und verfahren zur erkennung und prävention von angriffen auf fahrzeuginterne netzwerke
JP6329715B1 (ja) 2016-10-31 2018-05-23 オリンパス株式会社 内視鏡システムおよび内視鏡
JP6839844B2 (ja) * 2017-03-14 2021-03-10 パナソニックIpマネジメント株式会社 記録装置、車両および記録方法
JP6839846B2 (ja) 2017-03-30 2021-03-10 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法及びプログラム
JP6711452B2 (ja) 2017-03-31 2020-06-17 日本電気株式会社 抽出装置、抽出方法、及びプログラム
JP6494821B2 (ja) * 2017-04-07 2019-04-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
DE102017209806A1 (de) 2017-06-09 2018-12-13 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
US20190228353A1 (en) * 2018-01-19 2019-07-25 EMC IP Holding Company LLC Competition-based tool for anomaly detection of business process time series in it environments

Also Published As

Publication number Publication date
DE112019006487B4 (de) 2023-12-28
WO2020137743A1 (ja) 2020-07-02
US20210320932A1 (en) 2021-10-14
JPWO2020137743A1 (ja) 2021-09-30
JP7113238B2 (ja) 2022-08-05
US11621967B2 (en) 2023-04-04

Similar Documents

Publication Publication Date Title
DE112019006487T5 (de) Elektronische Steuereinheit, elektronisches Steuersystem und Programm
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP0335917B1 (de) Verfahren zur lokalisierung defekter stationen in lokalen netzwerken und dazugehöriger schnittstellencontroller
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
EP3207683B1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
WO2015024722A1 (de) Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit
DE102018114739A1 (de) Betriebsprotokoll und -verfahren des Fahrzeugnetzwerks
DE102013201596A1 (de) Fehlerdetektion und -abschwächung für eine verwaltung eines fahrzeuginternen lan-netzes
DE112017006854T5 (de) Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
DE112017006282T5 (de) Steuervorrichtung, Steuersystem, Steuerverfahren und Speichermedium
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102013200535A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE112021005629T5 (de) Anomalieerfassungsvorrichtung, anomalieerfassungsverfahren und programm
DE112020005954T5 (de) Informationsverarbeitungsvorrichtung, Steuerverfahren und Programm
EP3528524A1 (de) Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
EP3571085B1 (de) Verfahren und vorrichtung zum anzeigen eines hinweises für einen anwender und arbeitsvorrichtung
DE112017004161B4 (de) Verfahren und Steuereinheit zur Bus-Verkehrsfluss-Steuerung
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
DE102020121542A1 (de) Kommunikationseinrichtung, Kommunikationssystem und Protokollumschaltverfahren
DE102013200528A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
EP1881652B1 (de) Feldbussystem bestehend aus Knoten mit integrierter Buswächtereinheit
DE112019007286T5 (de) Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem
DE102019204452A1 (de) Verfahren und Vorrichtung zum Betreiben eines Steuergerätes in einem Verbund von Steuergeräten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R081 Change of applicant/patentee

Owner name: PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP

Free format text: FORMER OWNER: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT CO., LTD., OSAKA, JP