DE112020005949T5 - Informationsverarbeitungsvorrichtung, Anomalieerfassungsverfahren und Computerprogramm - Google Patents

Informationsverarbeitungsvorrichtung, Anomalieerfassungsverfahren und Computerprogramm Download PDF

Info

Publication number
DE112020005949T5
DE112020005949T5 DE112020005949.9T DE112020005949T DE112020005949T5 DE 112020005949 T5 DE112020005949 T5 DE 112020005949T5 DE 112020005949 T DE112020005949 T DE 112020005949T DE 112020005949 T5 DE112020005949 T5 DE 112020005949T5
Authority
DE
Germany
Prior art keywords
unit
communication
parameter
information processing
communication data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020005949.9T
Other languages
English (en)
Inventor
Yoshiharu Imamoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Automotive Systems Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of DE112020005949T5 publication Critical patent/DE112020005949T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0712Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/301Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

In einer ECU 12 betreibt Virtualisierungssoftware eine virtuelle Maschine (VM) 16 und eine VM 18. Eine Übertragungseinheit 32 der VM 18 bestätigt von der VM 16 gesendete und für die VM 18 bestimmte Kommunikationsdaten. Eine Übertragungseinheit 32 erzeugt einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der bestätigten Kommunikationsdaten. Eine Erfassungseinheit 38 der VM 18 erfasst anomale Kommunikation auf Grundlage des durch die Übertragungseinheit 32 erzeugten Parameters.

Description

  • [Technisches Gebiet]
  • Die vorliegende Offenbarung betrifft Datenverarbeitungstechnik und insbesondere eine Informationsverarbeitungsvorrichtung, ein Anomalieerfassungsverfahren und ein Computerprogramm.
  • [Technischer Hintergrund]
  • Eine Technik ist vorgeschlagen, ausgelegt, eine Vielzahl von Netzwerken in einem Fahrzeug über ein Gateway zu verbinden, sowie zu überwachen, ob in der Vielzahl von Netzwerken fließende Daten unzulässig sind.
  • [Patentschrift 1] JP2013-131907
  • [Zusammenfassung der Erfindung]
  • [Technische Aufgabe]
  • Es wird erwartet, dass die Entwicklung der Virtualisierungstechnik die das Ausführen einer Vielzahl von Funktionen, die nach dem Stand der Technik durch eine Vielzahl von physischen elektronischen Steuereinheiten (ECU) ausgeführt wurden, durch eine Vielzahl von virtuellen Maschinen (VM) auf einer einzigen physischen ECU verbreitet. Die Vielzahl von VMs kommuniziert auf einem logischen Kanal, aber Techniken zum Erfassen einer Anomalie (eines Angriffs usw.) in der Kommunikation unter den VMs wurden nicht zufriedenstellend vorgeschlagen.
  • Die vorliegende Offenbarung behandelt diesen Punkt, und ein Veranschaulichungszweck davon ist es, eine Technik zum Erfassen einer Anomalie in der Kommunikation unter den VMs vorzusehen.
  • [Lösung der Aufgabe]
  • Eine Informationsverarbeitungsvorrichtung gemäß einer Ausführungsform der vorliegenden Offenbarung ist eine Vorrichtung, in der Virtualisierungssoftware eine erste virtuelle Maschine (VM) und eine zweite VM betreibt, wobei die Informationsverarbeitungsvorrichtung enthält: eine Bestätigungseinheit, die Kommunikationsdaten bestätigt, die von der ersten VM gesendet und für die zweite VM bestimmt sind; eine Erzeugungseinheit, die einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der durch die Bestätigungseinheit bestätigten Kommunikationsdaten erzeugt; und eine Erfassungseinheit, die eine anomale Kommunikation auf Grundlage des durch die Erzeugungseinheit erzeugten Parameters erfasst.
  • Eine weitere Ausführungsform der vorliegenden Offenbarung betrifft ein Anomalieerfassungsverfahren. Das Verfahren veranlasst eine Vorrichtung, in der Virtualisierungssoftware eine erste virtuelle Maschine (VM) und eine zweite VM betreibt: Kommunikationsdaten zu bestätigen, die von der ersten VM gesendet und für die zweite VM bestimmt sind; einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der bestätigten Kommunikationsdaten zu erzeugen; und eine anomale Kommunikation auf Grundlage des erzeugten Parameters zu erfassen.
  • Wahlweise Kombinationen der genannten Bestandteile und Umsetzungen der vorliegenden Offenbarung in Form von Systemen, Computerprogrammen, Computerprogramme speichernden Aufzeichnungsmedien, Fahrzeugen, in denen eine Informationsverarbeitungsvorrichtung montiert ist, usw. können auch als zusätzliche Modi der vorliegenden Offenbarung umgesetzt werden.
  • [Vorteilhafte Wirkungen der Erfindung]
  • Gemäß der vorliegenden Offenbarung ist eine Technik zum Erfassen einer Anomalie in der Kommunikation unter den VMs vorgesehen.
  • Figurenliste
    • 1 zeigt schematisch eine Wirkungsweise der Kommunikation unter VMs;
    • 2 ist ein Blockdiagramm, das Funktionsblöcke einer ECU der Ausführungsform zeigt;
    • 3 ist ein Blockdiagramm, das die Übertragungseinheit von 2 genauer zeigt;
    • 4 zeigt einen Aufbau eines Übertragungsparameters;
    • 5 zeigt ein Beispiel der Verwaltungstabelle;
    • 6 ist ein Folgediagramm, das den Betrieb in der ECU bei der Kommunikation unter VMs zeigt;
    • 7 ist ein Flussdiagramm, das den Betrieb der Übertragungseinheit zeigt;
    • 8 ist ein Flussdiagramm, das den Betrieb der Erfassungseinheit und der Maßnahmeneinheit zeigt;
    • 9 ist ein Blockdiagramm, das Funktionsblöcke der ECU gemäß der ersten Abwandlung zeigt;
    • 10 ist ein Blockdiagramm, das Funktionsblöcke der ECU gemäß der zweiten Abwandlung zeigt;
    • 11 ist ein Blockdiagramm, das Funktionsblöcke der ECU gemäß der dritten Abwandlung zeigt;
    • 12 ist ein Blockdiagramm, das Funktionsblöcke der ECU gemäß der vierten Abwandlung zeigt;
    • 13 zeigt die Verwaltungstabelle gemäß der fünften Abwandlung; und
    • 14 zeigt einen Aufbau der Erfassungseinheit gemäß der sechsten Abwandlung.
  • [Beschreibung von Ausführungsformen]
  • Die Informationsverarbeitungsvorrichtung nach der Ausführungsform (die weiter unten beschriebene ECU 12) misst ein Kommunikationsmuster auf Grundlage von bei der Kommunikation unter VMs verwendeten Steuerinformationen und erfasst anomale Kommunikation (z.B. Anomalie aufgrund eines Angriffs, Defekts oder Bugs). Genauer überträgt die Informationsverarbeitungsvorrichtung der Ausführungsform Steuerinformationen, die durch Kommunikationsdaten in der Kommunikation unter VMs angegeben sind, an ein Inspektionsmodul (die weiter unten beschriebene Erfassungseinheit 38). Ferner nutzt die Informationsverarbeitungsvorrichtung gemäß der Ausführungsform eine Änderung im Datenvolumen oder Steuermuster bei Vorliegen eines Prozesses, der einen normalen Kommunikationskanal zwischen VMs missbraucht, um eine Anomalie zu erfassen. Ferner führt die Informationsverarbeitungsvorrichtung der Ausführungsform einen Verteidigungsprozess auf Grundlage der erfassten Informationen aus. Beispielsweise aktiviert die Informationsverarbeitungsvorrichtung die Sicherheitsfunktion.
  • Im Folgenden ist der Inhalt, der in der Kommunikation unter VMs von einer Quell-VM zu einer Bestimmungs-VM geliefert wird, auch als ein Kommunikationsnutzinhalt bezeichnet, und Steuerinformationen für die Kommunikation unter VMs sind auch als ein Kommunikationssignal bezeichnet. Daten, die einen Kommunikationsnutzinhalt und ein Kommunikationssignal umfassen, sind auch als „Kommunikationsdaten“ bezeichnet.
  • 1 zeigt schematisch eine Wirkungsweise der Kommunikation unter VMs. Mit Bezugnahme auf die Figur arbeiten VM1 und VM2 auf einem Hypervisor (HV). Eine auf VM2 ausgeführte Anwendung liefert die Kommunikationsdaten an den Treiber (den Kommunikationshandler des OS) von VM2 durch einen Systemaufruf. Der Treiber von VM2 speichert den Kommunikationsnutzinhalt in einem gemeinsamen Speicher. Ferner liefert der Treiber von VM2 das Kommunikationssignal an den HV. Genauer erstellt der Treiber einen Hypervisor-Aufruf und ordnet eine Anfragennummer X zu. Der HV liefert das Kommunikationssignal an den Treiber von VM1 in einem Interrupt-Prozess und ordnet eine Interrupt-Nummer A zu. Der Treiber von VM1 liest den Kommunikationsnutzinhalt aus dem gemeinsamen Speicher auf Grundlage des Kommunikationssignals aus und liefert den Kommunikationsnutzinhalt an eine Anwendung auf VM1. Virtualisierungssysteme des Host-OS-Typs usw. sowie Virtualisierungssysteme vom Hypervisor-Typ stehen als Typen von Virtualisierungssystemen zur Verfügung. In einem Virtualisierungssystem vom Hypervisor-Typ führt der Hypervisor Vorgänge aus, wie etwa Zuweisung von Hardwareressourcen. In einem Virtualisierungssystem des Host-OS-Typs führt die auf dem Host-OS ausgeführte Virtualisierungsanwendung Vorgänge aus, wie etwa Zuweisung von Hardwareressourcen. Mit anderen Worten, der Hypervisor arbeitet als Virtualisierungssoftware in einem Virtualisierungssystem des Hypervisor-Typs, und das Host-OS und die Virtualisierungsanwendung arbeiten als Virtualisierungssoftware in einem Virtualisierungssystem des Host-OS-Typs. In dieser Ausführungsform ist als Beispiel ein Virtualisierungssystem des Hypervisor-Typs beschrieben, aber die Ausführungsform kann ebenso auf ein Virtualisierungssystem des Gast-OS-Typs angewendet werden.
  • Die Kommunikation von VM1 zu VM2 geht in einer ähnlichen Weise vor sich wie in der oben beschriebenen Weise. Eine auf VM1 ausgeführte Anwendung liefert Kommunikationsdaten an den Treiber von VM1 durch einen Systemaufruf. Der Treiber von VM1 speichert den Kommunikationsnutzinhalt in dem gemeinsamen Speicher. Ferner liefert der Treiber von VM1 das Kommunikationssignal an den HV. Genauer erstellt der Treiber einen Hypervisor-Aufruf, der eine Anfragennummer Y zuordnet. Der HV liefert das Kommunikationssignal an den Treiber von VM2 in einem Interrupt-Prozess und ordnet eine Interrupt-Nummer B zu. Der Treiber von VM2 liest den Kommunikationsnutzinhalt aus dem gemeinsamen Speicher auf Grundlage des Kommunikationssignals aus und liefert den Kommunikationsnutzinhalt an die Anwendung auf VM2.
  • 2 ist ein Blockdiagramm, das Funktionsblöcke einer ECU 12 der Ausführungsform zeigt. Die ECU 12 ist ein in einem Fahrzeug 10 montierter Mikrocontroller. Ferner ist die ECU 12 eine integrierte ECU, ausgelegt, die Funktion einer Telematik-Kommunikationseinheit (TCU) (z.B. die Funktion, mit einer Vorrichtung außerhalb des Fahrzeugs 10 zu kommunizieren) und die Funktion eines Fahrerassistenzsystems (FAS) (z.B. eines erweiterten Notbrems- und Fahrtregelungssystems) vorzusehen.
  • Die im Blockdiagramm dieser Ausführungsform dargestellten Blöcke sind in Hardware, wie etwa als Vorrichtungen oder mechanische Einrichtungen, wie etwa eine CPU und ein Speicher eines Computers, und in Software ausgeführt, wie etwa als ein Computerprogramm. 2 stellt durch das Zusammenwirken dieser Elemente umgesetzte Funktionsblöcke dar. Somit versteht der Fachmann auf dem Gebiet, dass die Funktionsblöcke in einer Vielzahl von Weisen durch eine Kombination aus Hardware und Software implementiert sein können.
  • Beispielsweise kann ein Computerprogramm, das Module enthält, die mindestens einigen Funktionsblöcken aus der in 2 gezeigten Vielzahl von Funktionsblöcken der ECU 12 entsprechen, im ROM der ECU 12 gespeichert sein. Die CPU der ECU 12 kann die Funktionen der in 2 gezeigten Funktionsblöcke ausführen, indem sie dieses Computerprogramm in das RAM liest und das Programm ausführt.
  • Die Funktionsblöcke, die in den Bereich „Systemrecht“ von 2 gesetzt sind, sind Funktionen, die mit dem Systemrecht ausgeführt werden, und sind veranschaulicht durch die Funktion des Betriebssystems (OS) der VM. Ferner sind die Funktionsblöcke, die in den Bereich „Benutzerrecht“ gesetzt sind, Funktionen, die mit dem Benutzerrecht ausgeführt werden, und sind veranschaulicht durch die Funktion einer auf dem OS ausgeführten Anwendung. Ferner sind die Funktionsblöcke, die in den Bereich „HV-Recht“ gesetzt sind, Funktionen, die mit dem HV-Recht ausgeführt werden.
  • Die ECU 12 enthält einen HV 14 und eine VM 16 und eine VM 18, die auf dem HV 14 arbeiten. Die VM 16 sieht die Funktion einer TCU vor und ist in der Ausführungsform als ein Angriffs-Eintrittspunkt angenommen. Die VM 18 sieht die Funktion eines FAS vor und ist in der Ausführungsform als ein Angriffs-Eintrittspunkt angenommen. Die ECU 12 enthält ferner einen gemeinsamen Speicher (nicht gezeigt), auf den der HV 14, die VM 16 und die VM 18 zugreifen.
  • Die VM 16 enthält eine Kommunikationsanfrageeinheit 20 und eine Ereigniserzeugungseinheit 22. Die Kommunikationsanfrageeinheit 20 liefert in einem Prozess einer Anwendung erzeugte und für die VM 18 bestimmte Kommunikationsdaten über einen Systemaufruf an die Ereigniserzeugungseinheit 22.
  • Die Ereigniserzeugungseinheit 22 speichert den Kommunikationsnutzinhalt in den Kommunikationsdaten in den gemeinsamen Speicher und gibt ein Kommunikationssignal auf Grundlage der Kommunikationsdaten über einen Hypervisoraufruf an den HV 14 aus. Das Kommunikationssignal (der Hypervisoraufruf) enthält die ID der VM 16, die Ursprungs-VM und eine Anfragennummer. Das Anfragesignal entspricht der Adresse im gemeinsamen Speicher, die den Kommunikationsnutzinhalt speichert.
  • Der HV 14 enthält eine Übertragungsinformationsspeichereinheit 24, eine Ereignisempfangseinheit 26 und eine virtuelle Kommunikationseinheit 28. Die Übertragungsinformationsspeichereinheit 24 speichert die Entsprechung zwischen einer Kombination der Ursprungs-VM und der Anfragennummer und einer Kombination der Bestimmungs-VM und der Interruptnummer. Wenn die Ereignisempfangseinheit 26 einen Hypervisoraufruf von der VM 16 empfängt, löst die Ereignisempfangseinheit 26 die Bestimmungs-VM und die Interruptnummer auf. Genauer bezieht sich die Ereignisempfangseinheit 26 auf die Übertragungsinformationsspeichereinheit 24 und ermittelt eine Kombination der Bestimmungs-VM und der Interruptnummer, die der durch den Hypervisoraufruf angegebenen Kombination der Ursprungs-VM und der Anfragennummer zugeordnet ist.
  • Die virtuelle Kommunikationseinheit 28 liefert das Kommunikationssignal an die VM 18, indem sie einen Interrupt an die VM ausgibt, die durch die Ereignisempfangseinheit 26 (in diesem Fall die VM 18) ermittelt ist, und bezeichnet dadurch die durch die Ereignisempfangseinheit 26 ermittelte Interruptnummer. Das Kommunikationssignal (der Interrupt) enthält die ID der Ursprungs-VM (der VM 16), die Anfragennummer, die ID der Bestimmungs-VM (der VM 18) und die Interruptnummer.
  • Die VM 18 enthält einen Kommunikationshandler 30, eine Übertragungseinheit 32, eine Kommunikationsempfangseinheit 34, einen Kommunikationshandler 36, eine Kommunikationsempfangseinheit 34, eine Erfassungseinheit 38 und eine Maßnahmeneinheit 40. Die Kommunikationsempfangseinheit 34 empfängt die durch die Übertragungseinheit 32 übertragenen Kommunikationsdaten, d. h. die von der VM 16 gesendeten und zur VM 18 bestimmten Kommunikationsdaten. Eine Anwendung auf der VM 18 führt die Funktionen des FAS auf Grundlage der durch die Kommunikationsempfangseinheit 34 empfangenen Kommunikationsdaten aus.
  • Der Kommunikationshandler 30 empfängt das von der HV 14 eingegebene Kommunikationssignal durch den Interrupt. Der Kommunikationshandler 30 liest den Kommunikationsnutzinhalt aus dem Bereich in dem gemeinsamen Speicher aus, der der durch das Kommunikationssignal angegebenen Anfragennummer entspricht, und liefert Kommunikationsdaten, die den Inhalt des Kommunikationssignals und den Inhalt des Kommunikationsnutzinhalts enthalten, an die Übertragungseinheit 32.
  • 3 ist ein Blockdiagramm, das die Übertragungseinheit 32 von 2 genauer zeigt. Die Übertragungseinheit 32 enthält eine Richtlinienspeichereinheit 42, eine Bestätigungseinheit 44, eine Richtliniendurchsetzungseinheit 46, eine Datenübertragungseinheit 48, eine Parametererzeugungseinheit 50, eine Parametersendeeinheit 52 und eine Richtlinienaktualisierungseinheit 54.
  • Die Richtlinienspeichereinheit 42 speichert eine Sicherheitsrichtlinie bezüglich Kommunikationsdaten. Die Sicherheitsrichtlinie kann eine Filterbedingung für Kommunikationsdaten enthalten. Die Filterbedingung kann beispielsweise ein in den Kommunikationsdaten enthaltener Wert, die Datengröße oder eine Ähnlichkeit mit einem bekannten Angriffsmuster sein.
  • Die Bestätigungseinheit 44 bestätigt die von der VM 16 gesendeten, durch den HV 14 übertragenen und für die VM 18 bestimmten Kommunikationsdaten über den Kommunikationshandler 30. Die Richtliniendurchsetzungseinheit 46 führt einen Filterungsprozess zum Filtern der durch die Bestätigungseinheit 44 bestätigten Kommunikationsdaten gemäß der in der Richtlinienspeichereinheit 42 gespeicherten Sicherheitsrichtlinie durch. Die Richtliniendurchsetzungseinheit 46 kann die Kommunikationsdaten verwerfen, die die Sicherheitsrichtlinie verletzen, d. h. die Kommunikationsdaten, die die Filterbedingung erfüllen. Ferner kann die Richtliniendurchsetzungseinheit 46 die Kommunikationsdaten in einem Protokoll aufzeichnen oder in einem externen Server speichern.
  • Die Datenübertragungseinheit 48 überträgt die durch die Bestätigungseinheit 44 bestätigten Kommunikationsdaten gemäß einer vorbestimmten Sicherheitsrichtlinie zu einer Anwendung höherer Ebene (der Kommunikationsempfangseinheit 34). Genauer überträgt die Datenübertragungseinheit 48 die Kommunikationsdaten, bei denen durch die Richtliniendurchsetzungseinheit 46 bestimmt ist, dass sie die Sicherheitsrichtlinie erfüllen, oder die Kommunikationsdaten, von denen bestimmt ist, dass sie die Sicherheitsrichtlinie nicht verletzen, zur Kommunikationsempfangseinheit 34. Der Betrieb der Übertragungseinheit 48 kann für Push-Übertragung oder Pull-Übertragung ausgelegt sein oder kann ausgelegt sein, auf Daten über den gemeinsamen Speicher gemeinsam zuzugreifen. Die Betriebsweise ist nicht einschränkend.
  • Die Parametererzeugungseinheit 50 erzeugt einen Parameter bezüglich der Kommunikation unter VMs (im Folgenden „Übertragungsparameter“) auf Grundlage der durch die Bestätigungseinheit 44 bestätigten Kommunikationsdaten, d. h. der durch die Datenübertragungseinheit 48 zur Kommunikationsempfangseinheit 34 übertragenen Kommunikationsdaten. Der Übertragungsparameter kann als ein bei der Kommunikation unter VMs benutzter Parameter bezeichnet werden und kann auch als ein für die Kommunikation unter VMs notwendiger Parameter bezeichnet werden.
  • 4 zeigt einen Aufbau eines Übertragungsparameters. Der Übertragungsparameter enthält die ID der Ursprungs-VM, die Anfragennummer, die ID der Bestimmungs-VM, die Interruptnummer, die Protokollnummer und die Datengröße. Die Parametererzeugungseinheit 50 kann Elemente des Übertragungsparameters aus den Kommunikationsdaten (einschließlich des Kommunikationssignals und des Kommunikationsnutzinhalts) extrahieren, messen und erzeugen. Ferner, wenn der Zeiger, der die Speicheradresse angibt, die einen Wert des Übertragungsparameters speichert, in den Kommunikationsdaten enthalten ist, kann die Parametererzeugungseinheit 50 den Wert aus der Speicheradresse auslesen und den Wert in den Übertragungsparameter setzen. Der in 4 gezeigte Übertragungsparameter dient nur als Beispiel. Der Übertragungsparameter kann eine Kombination der ID der Ursprungs-VM und der ID der Bestimmungs-VM oder eine Kombination der IDs mit einer Protokollnummer (einem Protokolltyp) sein.
  • Wieder mit Bezug auf 3 sendet die Parametersendeeinheit 52 den durch die Parametererzeugungseinheit 50 erzeugten Übertragungsparameter zur Erfassungseinheit 38 (in der Ausführungsform zum Kommunikationshandler 36). Die Richtlinienaktualisierungseinheit 54 aktualisiert die bei der Richtliniendurchsetzungseinheit 46 angewandte Richtlinie, d. h. aktualisiert die auf das Filtern der Kommunikationsdaten angewendete Sicherheitsrichtlinie, gemäß einer von der Maßnahmeneinheit 40 gesendeten Aktualisierungsanfrage.
  • Wieder mit Bezug auf 2 empfängt der Kommunikationshandler 36 den von der Übertragungseinheit 32 gesendeten Übertragungsparameter und liefert den empfangenen Übertragungsparameter zur Erfassungseinheit 38. Die Erfassungseinheit 38 erfasst anomale Kommunikation auf Grundlage einer Verwaltungstabelle und des von der Übertragungseinheit 32 gesendeten Übertragungsparameters.
  • Die Verwaltungstabelle enthält ein Muster der Kommunikation unter VMs und statistische Informationen bezüglich der Kommunikation unter VMs. 5 zeigt ein Beispiel der Verwaltungstabelle. Jeder Datensatz in der Verwaltungstabelle von 5 enthält eine Kommunikationsmuster-ID, eine ID der Ursprungs-VM, eine Anfragennummer, eine ID der Bestimmungs-VM, eine Interruptnummer, einen Kommunikationstyp (ein Kommunikationsprotokoll) und eine Häufigkeit (Anzahl von Malen der Kommunikation/Sekunde). Wenn die Erfassungseinheit 38 den von der Übertragungseinheit 32 gesendeten Übertragungsparameter bestätigt, ermittelt die Erfassungseinheit 38 einen Datensatz (als „Aktualisierungszieldatensatz“ bezeichnet), der die Kombination aus der Ursprungs-VM, der Anfragennummer, der Bestimmungs-VM, der Interruptnummer und dem Kommunikationstyp erfüllt, was ein durch den Übertragungsparameter angegebenes Kommunikationsmuster ist. Die Erfassungseinheit 38 aktualisiert die im Aktualisierungszieldatensatz eingetragene Häufigkeit (statistische Information) auf Grundlage der durch die Übertragungsgröße angegebenen Datengröße.
  • Die Erfassungseinheit 38 kann in den folgenden Fällen erfassen, dass eine anomale Kommunikation stattfindet. (1) Die Häufigkeit der Aktualisierungszieldatensätze übersteigt einen vorbestimmten Schwellenwert. (2) Die durch den Übertragungsparameter angegebene Datengröße übersteigt einen vorbestimmten Schwellenwert. (3) Das Kommunikationsvolumen im Aktualisierungszieldatensatz übersteigt einen vorbestimmten Schwellenwert in dem Fall, wo die Verwaltungstabelle die Datengröße pro Zeiteinheit (d. h, das Kommunikationsvolumen) verwaltet. (4) Das durch den Übertragungsparameter angegebene Kommunikationsmuster (z. B. eine Kombination aus der Ursprungs-VM, der Anfragennummer, der Bestimmungs-VM, der Interruptnummer und dem Kommunikationstyp) ist ein nicht in der Verwaltungstabelle eingetragenes Kommunikationsmuster. (5) Die Anzahl von TCP-Sessions oder die Anzahl von für jedes Kommunikationsmuster geöffneten Dateien übersteigt einen vorbestimmten Schwellenwert in dem Fall, wo die Verwaltungstabelle die Anzahl von TCP-Sessions oder die Anzahl von geöffneten Dateien verwaltet. Mit anderen Worten, die Erfassungseinheit 38 kann eine anomale Kommunikation erfassen, wenn die Kommunikation zwischen VMs eine vorbestimmte Bedingung erfüllt, wie oben beschrieben. Eine Bestimmung, ob eine vorbestimmte Bedingung erfüllt ist, braucht keine regelbasierte Bestimmung zu sein. Beispielsweise kann eine KI-Technik, wie etwa ein Maschinenlernmodell, zur Bestimmung verwendet werden.
  • Wieder mit Bezug auf 2 trifft die Maßnahmeneinheit 40 Maßnahmen, um anomaler Kommunikation entgegenzuwirken, gemäß dem Erfassungsergebnis durch die Erfassungseinheit 38. Wenn eine anomale Kommunikation durch die Erfassungseinheit 38 erfasst ist, aktualisiert die Maßnahmeneinheit 40 der Ausführungsform die durch die Richtliniendurchsetzungseinheit 46 der Übertragungseinheit 32 angewendete Sicherheitsrichtlinie. Die Maßnahmeneinheit 40 kann die Richtlinienaktualisierungseinheit 54 der Übertragungseinheit 32 veranlassen, die Sicherheitsrichtlinie zu aktualisieren, indem sie eine Anfrage zum Aktualisieren der Sicherheitsrichtlinie an die Übertragungseinheit 32 sendet. Die Anfrage zum Aktualisieren kann anfordern, dass die in der Richtlinienspeichereinheit 42 gespeicherte Sicherheitsrichtlinie aktualisiert wird, um mehr Sicherheit zu gewährleisten (um zu bewirken, dass die Kommunikationsdaten das Ziel der Filterung leichter erfüllen). Alternativ kann die Anfrage zum Aktualisieren anfordern, dass aus einer Vielzahl von in der Richtlinienspeichereinheit 42 gespeicherten Sicherheitsrichtlinien die Sicherheitsrichtlinie angewendet wird, die relativ mehr Sicherheit gewährleistet.
  • In einer Abwandlung kann die Maßnahmeneinheit 40 eine Warnstufe verwalten und die Warnstufe gemäß dem Erfassungsergebnis durch die Erfassungseinheit 38 aktualisieren. In diesem Fall kann die Maßnahmeneinheit 40 eine Erfassungsregel in der Erfassungseinheit 38 gemäß der Warnstufe wählen. Alternativ kann die Maßnahmeneinheit 40 einen vorbestimmten Sicherheitsprozess (z. B. eine Beschleunigungssperre oder eine Notbremsung in dem Fahrzeug 10) gemäß einer Fahrsteuerungseinheit (nicht gezeigt) durchführen. Als weitere Alternative kann die Maßnahmeneinheit 40 in einem Protokoll die Tatsache des Erfassens anomaler Kommunikation und den Übertragungsparameter (die Informationsquelle), der zum Erfassen führt, aufzeichnen. Die Maßnahmeneinheit 40 kann das Erfassen an einen Server außerhalb des Fahrzeugs 10 melden.
  • Im Folgenden ist eine Beschreibung der Arbeitsweise der ECU 12 mit dem oben beschriebenen Aufbau gegeben. 6 ist ein Folgediagramm, das den Betrieb in der ECU 12 bei der Kommunikation unter VMs zeigt. Die Kommunikationsanfrageeinheit 20 der VM 16 liefert Kommunikationsdaten, die zur VM 18 geliefert werden sollten, an die Ereigniserzeugungseinheit 22. Die Ereigniserzeugungseinheit 22 der VM 16 schreibt die Kommunikationsdaten in den gemeinsamen Speicher (S10). Die Ereigniserzeugungseinheit 22 der VM 16 liefert durch einen Hypervisoraufruf das Kommunikationssignal zum HV 14 (S12). Die Ereignisempfangseinheit 26 des HV löst die Bestimmungs-VM (in diesem Fall die VM 18) und die Interruptnummer auf. Die virtuelle Kommunikationseinheit 28 des HV 14 liefert durch einen Interrupt das Kommunikationssignal zur VM 18 (S16).
  • Der Kommunikationshandler 30 der VM 18 liest den Kommunikationsnutzinhalt, den die VM 16 im gemeinsamen Speicher speichert, auf Grundlage des vom HV 14 gelieferten Kommunikationssignals (S18) aus. Die Anwendung in der VM 18 (der Kommunikationsempfangseinheit 34) bestätigt die Kommunikationsdaten über die Übertragungseinheit 32 und führt einen Prozess auf Grundlage der Kommunikationsdaten durch (S20). Die Erfassungseinheit 38 der VM 18 bestätigt den durch die Übertragungseinheit 32 erzeugten Übertragungsparameter und erfasst eine Anomalie auf Grundlage des Übertragungsparameters (S22).
  • 7 ist ein Flussdiagramm, das den Betrieb der Übertragungseinheit 32 zeigt. Die Bestätigungseinheit 44 bestätigt die Kommunikationsdaten, einschließlich des Inhalts des vom HV 14 gelieferten Kommunikationssignals und des Inhalts des aus dem gemeinsamen Speicher ausgelesenen Kommunikationsnutzinhalts, vom Kommunikationshandler 30. Ferner bestätigt die Bestätigungseinheit 44 die Kommunikationsdaten, die eine von der Maßnahmeneinheit 44 gesendete Anfrage zum Aktualisieren der Sicherheitsrichtlinie enthalten könnten (S30).
  • Wenn die Kommunikationsdaten keine Anfrage zum Aktualisieren der Sicherheitsrichtlinie sind (N in S32), bestimmt die Richtliniendurchsetzungseinheit 46, ob die Kommunikationsdaten die Sicherheitsrichtlinie erfüllen. Wenn die Kommunikationsdaten die Sicherheitsrichtlinie erfüllen (J in S34), liefert die Datenübertragungseinheit 48 die Kommunikationsdaten zu einer Anwendung höherer Ebene (der Kommunikationsempfangseinheit 34) (S36). Die Parametererzeugungseinheit 50 erzeugt den Übertragungsparameter auf Grundlage der Kommunikationsdaten (S38). Die Parametersendeeinheit 52 liefert den Übertragungsparameter über den Kommunikationshandler 36 zur Erfassungseinheit 38 (S40).
  • Wenn die Kommunikationsdaten die Sicherheitsrichtlinie verletzen (N in S34), führt die Richtliniendurchsetzungseinheit 46 einen vorbestimmten Verteidigungsprozess durch (S42). Beispielsweise verwirft die Richtliniendurchsetzungseinheit 46 die Kommunikationsdaten. Wenn die Kommunikationsdaten eine Anfrage zum Aktualisieren der Sicherheitsrichtlinie sind (J in S32), aktualisiert die Richtlinienaktualisierungseinheit 54 die auf die Filterung von Kommunikationsdaten angewendete Sicherheitsrichtlinie (S44). Die Übertragungseinheit 32 führt wiederholt den in der Figur gezeigten Prozess jedes Mal durch, wenn die Übertragungseinheit 32 Kommunikationsdaten bestätigt.
  • 8 ist ein Flussdiagramm, das den Betrieb der Erfassungseinheit 38 und der Maßnahmeneinheit 40 zeigt. Wenn das System gestartet wird (wenn z. B. die Stromversorgung des Fahrzeugs 10 eingeschaltet wird), initialisiert die Erfassungseinheit 38 die Verwaltungstabelle (S50). Wenn die Erfassungseinheit 38 den durch die Übertragungseinheit 32 erzeugten Übertragungsparameter über den Kommunikationshandler 36 empfängt (J in S52), aktualisiert die Erfassungseinheit 38 die Verwaltungstabelle (S54). Wenn eine Bedingung zum Erfassen einer Anomalie erfüllt ist (wenn z. B. die Kommunikationshäufigkeit eines dem Übertragungsparameter entsprechenden Kommunikationsmusters einen vorbestimmten Schwellenwert überschreitet) (J in S56), führt die Maßnahmeneinheit 40 einen vorbestimmten Verteidigungsprozess durch (S58). Beispielsweise aktualisiert die Maßnahmeneinheit 40 die Sicherheitsrichtlinie, die bei dem durch die Übertragungseinheit 32 ausgeführten Filterprozess angewendet wird.
  • Wenn die Bedingung für eine Anomalieerfassung nicht erfüllt ist (N in S56), wird der Prozess in S58 übersprungen. Wenn die Erfassungseinheit 38 den Übertragungsparameter nicht empfangen hat (N in S52), werden die Vorgänge in S54 bis S58 übersprungen. Wenn die Bedingung zum Beenden des Systems nicht erfüllt ist (wenn z. B. der Einschaltstatus des Fahrzeugs 10 beibehalten wird) (N in S60), kehrt die Steuerung zu S52 zurück. Wenn die Bedingung zum Beenden des Systems erfüllt ist (wenn z. B. die Stromversorgung des Fahrzeugs 10 ausgeschaltet ist) (J in S60), ist der Ablauf der Figur beendet.
  • Wenn ein Prozess vorliegt, der einen normalen Kommunikationskanal zwischen VMs missbraucht, ändert sich das Datenvolumen oder das Steuermuster. Die ECU 12 gemäß der Ausführungsform nutzt dies, um eine Anomalie zu erfassen. Dies ermöglicht ein effizientes Erfassen einer Anomalie in der Kommunikation unter VMs. Weiter kann gemäß der ECU 12 der Ausführungsform die Sicherheit der ECU 12 und des Fahrzeugs 10 durch ein Ausführen von Maßnahmen erhöht werden, um der erfassten anomalen Kommunikation entgegenzuwirken. Ferner ist es gemäß der ECU 12 der Ausführungsform leicht, die Sicherheitsrichtlinie bezüglich der Übertragung von Kommunikationsdaten auf Grundlage des Erfassens anomaler Kommunikation geeignet zu aktualisieren.
  • Oben ist eine Erläuterung auf Grundlage einer beispielhaften Ausführungsform beschrieben. Die Ausführungsform soll nur veranschaulichend sein, und Fachleute auf dem Gebiet werden verstehen, dass an Bestandteilen und Prozessen verschiedene Abwandlungen entwickelt werden könnten und dass solche Abwandlungen ebenfalls im Schutzumfang der vorliegenden Offenbarung liegen.
  • Im Folgenden ist die erste Abwandlung beschrieben. 9 ist ein Blockdiagramm, das Funktionsblöcke einer ECU 12 gemäß der ersten Abwandlung zeigt. Von den Funktionsblöcken der ECU 12 der ersten Abwandlung sind diejenigen Funktionsblöcke, die mit Funktionsblöcken der ECU 12 gemäß der Ausführungsform identisch sind oder ihnen entsprechen, mit denselben Bezugsnummern bezeichnet, wie sie bei der Ausführungsform verwendet sind. Im Folgenden ist eine wiederholte Erläuterung der bereits erläuterten Einzelheiten weggelassen, und nur die Unterschiede zur Ausführungsform sind erläutert.
  • Die ECU 12 der ersten Abwandlung enthält ferner eine VM 60, die die Funktion eines Gateways (GW) zum Weiterleiten der Kommunikation unter VMs vorsieht. Die VM 60 enthält einen Kommunikationshandler 62, eine Ereigniserzeugungseinheit 64 und eine Übertragungseinheit 32. Die VM 18 (FAS), die angegriffen wird, enthält einen Kommunikationshandler 30, eine Kommunikationsempfangseinheit 34, eine Erfassungseinheit 38 und eine Maßnahmeneinheit 40.
  • Die Übertragungseinheit 32 der VM 60 bestätigt über den HV 14 von der VM 16 gesendete und für die VM 18 bestimmte Kommunikationsdaten. Die Übertragungseinheit 32 überträgt die Kommunikationsdaten über den HV 14 zur VM 18. Eine Anwendung in der VM 18 empfängt in der Kommunikationsempfangseinheit 34 die von der VM 16 gesendeten und für die VM 18 bestimmten Kommunikationsdaten und führt einen Prozess auf Grundlage der Kommunikationsdaten durch.
  • Ferner erzeugt die Übertragungseinheit 32 der VM 60 den Übertragungsparameter auf Grundlage der für die VM 18 bestimmten bestätigten Kommunikationsdaten. Die Übertragungseinheit 32 sendet den Übertragungsparameter über den HV 14 zur VM 18. Die Erfassungseinheit 38 erfasst anomale Kommunikation auf Grundlage des von der VM 60 gesendeten Übertragungsparameters. Wenn eine anomale Kommunikation erfasst wird, führt die Maßnahmeneinheit 40 der VM 18 Maßnahmen durch, um der anomalen Kommunikation entgegenzuwirken. Beispielsweise aktualisiert die Maßnahmeneinheit 40 die Sicherheitsrichtlinie der Übertragungseinheit 32. Die ECU 12 der ersten Abwandlung sieht denselben Vorteil vor wie denjenigen der ECU 12 der Ausführungsform.
  • Im Folgenden ist die zweite Abwandlung beschrieben. 10 ist ein Blockdiagramm, das Funktionsblöcke der ECU 12 gemäß der zweiten Abwandlung zeigt. Von den Funktionsblöcken der ECU 12 der zweiten Abwandlung sind diejenigen Funktionsblöcke, die mit Funktionsblöcken der ECU 12 gemäß der Ausführungsform identisch sind oder ihnen entsprechen, mit denselben Bezugsnummern bezeichnet. Im Folgenden ist eine wiederholte Erläuterung der bereits erläuterten Einzelheiten weggelassen, und nur die Unterschiede zur Ausführungsform sind erläutert.
  • Die ECU 12 gemäß der zweiten Abwandlung unterscheidet sich von der ECU 12 gemäß der Ausführungsform darin, dass die ECU 12 gemäß der zweiten Abwandlung ferner eine VM 70 enthält, die die Funktion eines Angriffserfassungssystems (IDS) vorsieht, und dass der HV 14 die Übertragungseinheit 32 enthält. Die VM 70 (IDS) enthält einen Kommunikationshandler 72, eine Erfassungseinheit 38 und eine Maßnahmeneinheit 40. Ferner enthält die VM 18 (FAS), die angegriffen wird, einen Kommunikationshandler 30 und eine Kommunikationsempfangseinheit 34.
  • Die Übertragungseinheit 32 des HV 14 bestätigt die von der VM 16 gesendeten und für die VM 18 bestimmten Kommunikationsdaten (das Kommunikationssignal). Die Übertragungseinheit 32 liefert die Kommunikationsdaten (das Kommunikationssignal) zur VM 18. Der Kommunikationshandler 30 der VM 18 liest den Kommunikationsnutzinhalt aus dem gemeinsamen Speicher auf Grundlage des Kommunikationssignals aus. Eine Anwendung der VM 18 empfängt in der Kommunikationsempfangseinheit 34 die Kommunikationsdaten einschließlich des Kommunikationsnutzinhalts und führt einen Prozess auf Grundlage der Kommunikationsdaten durch.
  • Die Übertragungseinheit 32 des HV 14 liest den Kommunikationsnutzinhalt aus dem gemeinsamen Speicher auf Grundlage des Kommunikationssignals aus. Die Übertragungseinheit 32 erzeugt den Übertragungsparameter auf Grundlage der Kommunikationsdaten, die das Kommunikationssignal und den Kommunikationsnutzinhalt enthalten, und sendet den Übertragungsparameter zur VM 70. Die Erfassungseinheit 38 der VM 70 erfasst anomale Kommunikation auf Grundlage des von der VM 14 gesendeten Übertragungsparameters. Wenn eine anomale Kommunikation erfasst wird, führt die Maßnahmeneinheit 40 der VM 70 Maßnahmen durch, um der anomalen Kommunikation entgegenzuwirken. Beispielsweise aktualisiert die Maßnahmeneinheit 40 die Sicherheitsrichtlinie der Übertragungseinheit 32. Die ECU 12 gemäß der zweiten Abwandlung sieht denselben Vorteil vor wie denjenigen der ECU 12 der Ausführungsform.
  • Im Folgenden ist die dritte Abwandlung beschrieben. 11 ist ein Blockdiagramm, das Funktionsblöcke der ECU 12 gemäß der dritten Abwandlung zeigt. Die ECU 12 der dritten Abwandlung enthält ferner eine Sichere-Welt-Einheit 80, bestimmt für das Ausführen eines sicherheitsbezogenen Prozesses, wie etwa einer Authentifizierung. Die Sichere-Welt-Einheit 80 enthält eine Erfassungseinheit 38 und eine Maßnahmeneinheit 40.
  • Die Ausführungsumgebung des HV 14, der VM 16 und der VM 18 wird eine normale Welt genannt. Ein Prozess in der normalen Welt kann auf einen Prozess in der Sichere-Welt-Einheit 80 nur durch ein Aufrufen einer durch die Sichere-Welt-Einheit 80 definierten Anwendungsprogrammierschnittstelle (API) zugreifen. Der in 11 gezeigte Aufbau der ECU 12 kann verstanden werden als abgeleitet durch ein Ersetzen der VM 70 (IDS) der in 10 gezeigten zweiten Abwandlung durch die Sichere-Welt-Einheit 80.
  • Die Übertragungseinheit 32 der VM 18, die angegriffen wird, erzeugt den Übertragungsparameter auf Grundlage der für die VM 18 bestimmten bestätigten Kommunikationsdaten. Die Übertragungseinheit 32 sendet den Übertragungsparameter über den HV 14 zur Sichere-Welt-Einheit 80. Beispielsweise liefert die HV 14 den Übertragungsparameter zur Erfassungseinheit 38 der Sichere-Welt-Einheit 80 durch ein Aufrufen einer vorbestimmten API der Sichere-Welt-Einheit 80 unter Übergabe des Übertragungsparameters als Argument.
  • Die Erfassungseinheit 38 der Sichere-Welt-Einheit 80 erfasst anomale Kommunikation auf Grundlage des von der VM 18 gesendeten Übertragungsparameters. Wenn eine anomale Kommunikation erfasst wird, führt die Maßnahmeneinheit 40 der Sichere-Welt-Einheit 80 Maßnahmen durch, um der anomalen Kommunikation entgegenzuwirken. Beispielsweise aktualisiert die Maßnahmeneinheit 40 die Sicherheitsrichtlinie der Übertragungseinheit 32 der VM 18. Die ECU 12 gemäß der dritten Abwandlung sieht denselben Vorteil vor wie denjenigen der ECU 12 der Ausführungsform.
  • Wie bei der Ausführungsform und der ersten bis dritten Abwandlung angegeben, ist es erwünscht, dass die Übertragungseinheit 32 (die die Parametererzeugungseinheit 50 enthält) in einer zuverlässigeren Ausführungsumgebung eingesetzt ist als der VM 16 an einem Angriffs-Eintrittspunkt. Wie bereits beschrieben, kommuniziert die VM 16 als eine TCU mit einer Vorrichtung außerhalb des Fahrzeugs 10 und kann somit leicht zu einem Angriffs-Eintrittspunkt werden und ist relativ weniger zuverlässig. Indessen weisen die VM 18 (FAS), die VM 60 (GW) und der HV 14 keine Schnittstelle mit einer Vorrichtung außerhalb des Fahrzeugs 10 auf und sind somit relativ zuverlässiger.
  • Es ist daher erwünscht, dass die Übertragungseinheit 32 zum Erzeugen des Übertragungsparameters, die als eine Basis zum Erfassen anomaler Kommunikationseinheit dient, in der VM 18 (FAS) (bei der Ausführungsform und der dritten Abwandlung) oder in der VM 60 (GW) (bei der ersten Abwandlung) oder im HV 14 (bei der zweiten Abwandlung) eingesetzt ist. Dies erleichtert es zu verhindern, dass die Präzision und Genauigkeit von Anomalieerfassung aufgrund eines Angriffs auf die Übertragungseinheit 32 verringert wird.
  • Ferner ist es, wie bei der Ausführungsform und der ersten bis dritten Abwandlung angegeben, erwünscht, dass die Erfassungseinheit 38 und die Maßnahmeneinheit 40 in einer zuverlässigeren Ausführungsumgebung eingesetzt sind als der VM 16 an einem Angriffs-Eintrittspunkt. Wie bereits beschrieben, kommuniziert die VM 16 als eine TCU mit einer Vorrichtung außerhalb des Fahrzeugs 10 und kann somit leicht zu einem Angriffs-Eintrittspunkt werden und ist relativ weniger zuverlässig. Indessen weisen die VM 18 (FAS), die VM 70 (IDS) und die Sichere-Welt-Einheit 80 keine Schnittstelle mit einer Vorrichtung außerhalb des Fahrzeugs 10 auf und sind somit relativ zuverlässiger.
  • Es ist daher erwünscht, dass die Erfassungseinheit 38 zum Erfassen anomaler Kommunikation und die Maßnahmeneinheit 40 zum Ausführen von Maßnahmen, um der anomalen Kommunikation entgegenzuwirken, in der VM 18 (FAS) (bei der Ausführungsform und der dritten Abwandlung) oder in der VM 70 (IDS) (bei der zweiten Abwandlung) oder in der Sichere-Welt-Einheit 80 (bei der dritten Abwandlung) eingesetzt sind. Dies erleichtert es zu verhindern, dass die Präzision und Genauigkeit von Anomalieerfassung wegen eines Angriffs auf die Erfassungseinheit 38 verringert wird. Es erleichtert es auch, ein Nichtausführen geeigneter Maßnahmen zum Entgegenwirken zur anomalen Kommunikation aufgrund eines Angriffs auf die Maßnahmeneinheit 40 zu verhindern.
  • Im Folgenden ist die vierte Abwandlung beschrieben. 12 ist ein Blockdiagramm, das Funktionsblöcke der ECU 12 gemäß der vierten Abwandlung zeigt. Zusätzlich zum HV 14, zur VM 16 und zur VM 18 enthält die ECU 12 der vierten Abwandlung ein sicheres OS 82 und einen sicheren Monitor 86, die der Sichere-Welt-Einheit 80 der dritten Abwandlung entsprechen. Das sichere OS 82 und der sichere Monitor 86 sind zuverlässigere Ausführungsumgebungen als die Virtualisierungssoftware (z. B. der HV 14, die VM 16 und die VM 18).
  • Das sichere OS 82 enthält eine Schutzverarbeitungseinheit 84, die einen vorbestimmten Schutzprozess durchführt. Ein Schutzprozess ist ein Prozess, der Informationen behandelt, bei denen eine unzulässige Erlangung von außerhalb verhindert werden sollte, und ist ein Prozess, der mit einem stärker eingeschränkten Recht ausgeführt werden sollte als demjenigen der Virtualisierungssoftware. Beispielsweise kann der Schutzprozess einen Verschlüsselungsprozess und einen Decodierprozess enthalten, die einen Schutzschlüssel verwenden.
  • Die VM 16 enthält eine Schutzprozessanfrageeinheit 90, der HV 14 enthält eine Schutzprozessanfragenempfangseinheit 92 und der sichere Monitor 86 enthält eine Schutzprozessanfragenübertragungseinheit 88. Die Schutzprozessanfrageeinheit 90 der VM 16 gibt eine Anfrage nach einem Schutzprozess an den HV 14 als Reaktion auf eine Anfrage von der Kommunikationsanfrageeinheit 20 (d. h. einer auf der VM 16 arbeitenden Anwendung) aus. Die Schutzprozessanfragenempfangseinheit 92 der HV 14 empfängt die Anfrage nach einem Schutzprozess von der VM 16 und liefert die Anfrage nach einem Schutzprozess an den sicheren Monitor 86 durch ein Aufrufen der API des sicheren Monitors 86. Die Schutzprozessanfragenübertragungseinheit 88 des sicheren Monitors 86 überträgt die bestätigte Anfrage nach einem Schutzprozess vom HV 14 zur Schutzverarbeitungseinheit 84 des sicheren OS 82. Die Schutzverarbeitungseinheit 84 des sicheren OS 82 führt einen Schutzprozess als Reaktion auf die von der Schutzprozessanfragenübertragungseinheit 88 übertragene Anfrage aus. Die Schutzverarbeitungseinheit 84 kann das Ergebnis des Ausführens des Schutzprozesses (z. B. verschlüsselte Daten oder Klartextdaten aus einer Decodierung) an die Kommunikationsanfrageeinheit 20 (d. h. eine auf der VM 16 arbeitende Anwendung) zurückgeben.
  • Wenn die Erfassungseinheit 38 eine Anomalie erfasst, verhindert die Maßnahmeneinheit 40 der VM 18 das Ausführen des Schutzprozesses in der Schutzverarbeitungseinheit 84 als Reaktion auf die Anfrage von der VM 16. Wenn in dieser Abwandlung die Erfassungseinheit 38 eine Anomalie erfasst, sendet die Maßnahmeneinheit 40 zur Schutzprozessanfragenempfangseinheit 92 ein Signal, das anweist, dass die von der VM 16 ausgegebene Anfrage nach einem Schutzprozess nicht an den sicheren Monitor 86 geliefert wird, d. h., ein Signal, das anfordert, dass die von der VM 16 ausgegebene Anfrage nach einem Schutzprozess blockiert wird.
  • Wenn gemäß dieser Abwandlung eine Anomalie durch die Erfassungseinheit 38 erfasst wird, d. h., wenn der Zustand der Quelle der Anfrage nach einem Schutzprozess als anomal bestimmt wird, wird die an die Schutzverarbeitungseinheit 84 gerichtete Anfrage nach einem Schutzprozess blockiert. Dies verhindert die Eingabe unzulässiger Daten in die Schutzverarbeitungseinheit 84 und die Ausführung eines Schutzprozesses auf Grundlage unzulässiger Daten und erhöht somit die Sicherheit der ECU 12 weiter.
  • Im Folgenden ist die fünfte Abwandlung beschrieben. 13 zeigt die Verwaltungstabelle gemäß der fünften Abwandlung. Das durch jeden Datensatz in der Verwaltungstabelle definierte Kommunikationsmuster ist ein Kommunikationsmuster für die Kommunikation zwischen Gruppen, die eine oder eine Vielzahl von VMs enthalten. Die in 1 gezeigte Gruppe 1 enthält die in 5 gezeigten VM1 und VM2. Ferner enthält die in 13 gezeigte Gruppe 2 die in 5 gezeigte VM3. Die Erfassungseinheit 38 pflegt die Entsprechung zwischen einer Vielzahl von VMs und einer Vielzahl von Gruppen. Wenn die Erfassungseinheit 38 einen Übertragungsparameter bestätigt, ermittelt die Erfassungseinheit 38 einen Datensatz, der eine Übereinstimmung mit der Sendequellengruppe, zu der die durch den Übertragungsparameter angegebene Sendequellen-VM gehört, der Sendezielgruppe, zu der die durch den Übertragungsparameter angegebene Bestimmungs-VM gehört, der Anfragennummer, der Interruptnummer und dem Kommunikationstyp zeigt, die durch den Übertragungsparameter angegeben sind. Die Erfassungseinheit 38 aktualisiert die statistischen Informationen (z. B. die Häufigkeit) des ermittelten Datensatzes und bestimmt, ob die Kommunikation anomal ist oder nicht.
  • Gemäß dieser Abwandlung ist es möglich, statistische Informationen über die Kommunikation in Einheiten von Gruppen (Gruppe für Gruppe) zu erzeugen, die eine Vielzahl von VMs enthalten, und eine Anomalie Gruppe für Gruppe zu erfassen. Beispielsweise ist es durch ein Gruppieren der VMs gemäß dem Wirkungsbereich, wie etwa Antriebsstrang, Karosserie, Chassis, Fahrzeugbord-Informationsvorrichtung, möglich, statistische Informationen über Kommunikation Bereich für Bereich zu erzeugen und eine Anomalie Bereich für Bereich zu erfassen. In einer weiteren Abwandlung können die VMs gruppiert werden nach (1) der VMID (einer Kombination der Sendequellen-VM und der Bestimmungs-VM, was keine Anfragennummer oder Interruptnummer einbezieht), (2) dem Kommunikationstyp, (3) der Anwendung (Anwendungs-ID) auf jeder VM, (4) der Prozess-ID oder (5) der Session-ID.
  • Im Folgenden ist die sechste Abwandlung beschrieben. 14 zeigt einen Aufbau der Erfassungseinheit 38 gemäß der sechsten Abwandlung. Die Erfassungseinheit 38 enthält eine Anomalieerfassungseinheit 38a und eine Analyseeinheit 38b. Die Anomalieerfassungseinheit 38a entspricht der Erfassungseinheit 38 der Ausführungsform und erfasst anomale Kommunikation auf Grundlage des von der Übertragungseinheit 32 gesendeten Übertragungsparameters. Indessen analysiert die Analyseeinheit 38b die von der Übertragungseinheit 32 gesendeten, für die VM 18 bestimmten Kommunikationsdaten, wenn die Anomalieerfassungseinheit 38a eine anomale Kommunikation erfasst.
  • Wenn in der sechsten Abwandlung die Anomalieerfassungseinheit 38a (oder die Maßnahmeneinheit 40) eine anomale Kommunikation erfasst, kann die Anomalieerfassungseinheit 38a der Übertragungseinheit 32 eine entsprechende Meldung senden. Die Übertragungseinheit 32, die dieses Meldung empfängt, kann die Kommunikationsdaten einschließlich des Kommunikationsnutzinhalts an die Analyseeinheit 38b senden. Wenn der Kommunikationsnutzinhalt ein anomaler Inhalt ist, erfasst ihn die Analyseeinheit 38b gemäß einer vorbestimmten Regel oder einem Angriffsmuster. Die Maßnahmeneinheit 40 führt einen vorbestimmten Schutzprozess auf Grundlage des Analyseergebnisses und des Erfassungsergebnisses durch die Analyseeinheit 38b aus. Beispielsweise kann die Maßnahmeneinheit 40 die in der Übertragungseinheit 32 gepflegte Sicherheitsrichtlinie aktualisieren oder das Analyseergebnis und das Erfassungsergebnis durch die Analyseeinheit 38b in einem Protokoll aufzeichnen oder auf einem Server speichern.
  • Gemäß dieser Abwandlung ist es möglich, eine Erhöhung der Verarbeitungslast zu verhindern und das Erlangen weiterer Informationen bezüglich anomaler Kommunikation durch ein Analysieren der Kommunikationsdaten selbst zu erleichtern, wenn auf Grundlage des Übertragungsparameters eine anomale Kommunikation erfasst wird.
  • Im Folgenden ist die siebente Abwandlung beschrieben. Die Ereigniserzeugungseinheit 22 der VM 16 kann Informationen über verschiedene Ereignisse in der VM 16 zur VM 18 über den HV 14 kommunizieren, wie in dem Fall von Kommunikationsereignissen. Die verschiedenen Ereignisse können ein Ereignis, das angibt, dass eine USB-Vorrichtung angeschlossen wird, oder ein Ereignis enthalten, das angibt, dass die Audio-Funktion eingeschaltet wird. Beispielsweise stellt eine Erhöhung der USB-Kommunikation, die auftritt, wenn eine USB-Vorrichtung angeschlossen ist, eine normale Kommunikation dar, aber eine Erhöhung der USB-Kommunikation, die auftritt, wenn keine USB-Vorrichtung angeschlossen ist, kann als eine anomale Kommunikation erfasst werden. Ferner kann eine Information, die einen Ereignistyp angibt, als ein Kommunikationstyp (Protokolltyp) festgelegt werden. In diesem Fall kann die Erfassungseinheit 38 der VM 18 anomale Kommunikation erfassen, wenn ein unzulässiger Kommunikationstyp in den von der VM 16 gesendeten Kommunikationsdaten festgelegt ist. Falls die VM 16 die TCU-Funktion vorsieht, kann der Kommunikationstyp als ein unzulässiger Kommunikationstyp bestimmt werden, wenn er einen Wert enthält, der ein USB-Ereignis oder ein Audio-Ereignis angibt. Ferner kann, wenn sich eine Blockvorrichtungskommunikation gemäß einer Anfrage nach einem Dateiöffnen von der VM 16 oder bei einem geöffneten Dateityp erhöht, eine Bestimmung über normal oder anomal durch ein Verwenden der durch die Datei bestimmten Kommunikationsgeschwindigkeit als Schwellenwert erfolgen.
  • Bei der Ausführungsform und den obigen Abwandlungen ist die ECU 12 als eine physisch einzeln stehende ECU gezeigt, aber der HV 14, die VM 16, die VM 18 usw. können als eine Vielzahl von physischen ECUs ausgeführt sein. Mit anderen Worten, die Funktonen von HV und VM, die bei der Ausführungsform und den Abwandlungen beschrieben sind, können in einem System vorliegen, in dem eine Vielzahl von physischen ECUs koordiniert ist.
  • Eine beliebige Kombination der oben beschriebenen Ausführungsform und der Abwandlungen ist ebenfalls als eine Ausführungsform der vorliegenden Offenbarung nutzbar. Eine durch eine Kombination erzeugte neue Ausführungsform sieht die kombinierten Vorteile der kombinierten Ausführungsform und Abwandlungen vor. Ein Fachmann wird verstehen, dass die Funktionen, die die in den Ansprüchen angeführten Bestandteile erzielen sollten, entweder allein oder in Kombination durch die in der Ausführungsform und den Abwandlungen gezeigten Bestandteile umgesetzt sind.
  • Die Techniken gemäß der Ausführungsform und den Abwandlungen können durch die folgenden Punkte definiert sein.
  • [Punkt 1]
  • Eine Informationsverarbeitungsvorrichtung, in der Virtualisierungssoftware eine erste virtuelle Maschine (VM) und eine zweite VM betreibt, wobei die Informationsverarbeitungsvorrichtung umfasst:
    • eine Bestätigungseinheit, die Kommunikationsdaten bestätigt, die von der ersten VM gesendet und für die zweite VM bestimmt sind;
    • eine Erzeugungseinheit, die einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der durch die Bestätigungseinheit bestätigten Kommunikationsdaten erzeugt; und
    • eine Erfassungseinheit, die eine anomale Kommunikation auf Grundlage des durch die Erzeugungseinheit erzeugten Parameters erfasst.
    • Gemäß dieser Informationsverarbeitungsvorrichtung ist es möglich, eine Anomalie in der Kommunikation unter VMs effizient zu erfassen.
  • [Punkt 2]
  • Die Informationsverarbeitungsvorrichtung gemäß Punkt 1, wobei die Erfassungseinheit eine anomale Kommunikation erfasst, wenn die Erfassungseinheit auf Grundlage des durch die Erzeugungseinheit erzeugten Parameters bestimmt, dass die Kommunikation zwischen den VMs eine vorbestimmte Bedingung erfüllt. Gemäß dieser Informationsverarbeitungsvorrichtung ist es möglich, eine Anomalie in der Kommunikation unter VMs effizient zu erfassen.
  • [Punkt 3]
  • Die Informationsverarbeitungsvorrichtung nach Punkt 1 oder 2, weiter enthaltend: eine Datenübertragungseinheit, die die durch die Bestätigungseinheit bestätigten Kommunikationsdaten gemäß einer vorbestimmten Sicherheitsrichtlinie, die eine Richtlinie bezüglich des Parameters enthält, zu einer Anwendung auf der zweiten VM überträgt.
  • Gemäß dieser Informationsverarbeitungsvorrichtung kann die Sicherheit der Kommunikation unter VMs erhöht sein.
  • [Punkt 4]
  • Die Informationsverarbeitungsvorrichtung nach einem beliebigen der Punkte 1 bis 3, weiter enthaltend: eine Maßnahmeneinheit, die Maßnahmen ausführt, um der anomalen Kommunikation gemäß einem Erfassungsergebnis durch die Erfassungseinheit entgegenzuwirken.
  • Gemäß dieser Informationsverarbeitungsvorrichtung kann die Sicherheit erhöht sein durch ein Ausführen von Maßnahmen (z. B. eines Verteidigungsprozesses), um der erfassten anomalen Kommunikation entgegenzuwirken.
  • [Punkt 5]
  • Die Informationsverarbeitungsvorrichtung nach Punkt 1 oder 2, weiter enthaltend: eine Datenübertragungseinheit, die die durch die Bestätigungseinheit bestätigten Kommunikationsdaten gemäß einer vorbestimmten Sicherheitsrichtlinie, die eine Richtlinie bezüglich des Parameters enthält, zu einer Anwendung auf der zweiten VM überträgt; und eine Maßnahmeneinheit, die die Sicherheitsrichtlinie der Datenübertragungseinheit gemäß einem Erfassungsergebnis durch die Erfassungseinheit aktualisiert.
  • Gemäß dieser Informationsverarbeitungsvorrichtung ist es möglich, die Sicherheitsrichtlinie bezüglich der Übertragung von Kommunikationsdaten auf Grundlage der Erfassung anomaler Kommunikation angemessen zu aktualisieren.
  • [Punkt 6]
  • Die Informationsverarbeitungsvorrichtung nach einem beliebigen der Punkte 1 bis 5, wobei die Erzeugungseinheit in einer zuverlässigeren Ausführungsumgebung eingesetzt ist als der ersten VM.
  • Gemäß dieser Informationsverarbeitungsvorrichtung ist es leicht zu verhindern, dass die Präzision und Genauigkeit von Anomalieerfassung aufgrund eines Angriffs auf die Erzeugungseinheit verringert wird.
  • [Punkt 7]
  • Die Informationsverarbeitungsvorrichtung nach einem beliebigen der Punkte 1 bis 6, wobei die Erfassungseinheit in einer zuverlässigeren Ausführungsumgebung eingesetzt ist als der ersten VM.
  • Gemäß dieser Informationsverarbeitungsvorrichtung ist es leicht zu verhindern, dass die Präzision und Genauigkeit von Anomalieerfassung aufgrund eines Angriffs auf die Erfassungseinheit verringert wird.
  • [Punkt 8]
  • Die Informationsverarbeitungsvorrichtung nach einem beliebigen der Punkte 1 bis 7, weiter enthaltend: eine Analyseeinheit, die die für die zweite VM bestimmten Kommunikationsdaten analysiert, wenn die Erfassungseinheit eine anomale Kommunikation erfasst.
  • Gemäß dieser Informationsverarbeitungsvorrichtung ist es möglich, eine Erhöhung der Verarbeitungslast zu verhindern und das Erlangen weiterer Informationen bezüglich anomaler Kommunikation durch ein Analysieren der Kommunikationsdaten selbst zu erleichtern, wenn auf Grundlage des Übertragungsparameters eine anomale Kommunikation erfasst wird.
  • [Punkt 9]
  • Die Informationsverarbeitungsvorrichtung nach einem beliebigen der Punkte 1 bis 8, wobei die Erzeugungseinheit als den Parameter einen Parameter erzeugt, der eine ID der ersten VM und eine ID der zweiten VM enthält.
  • Gemäß dieser Informationsverarbeitungsvorrichtung ist es möglich, eine Anomalie in der Kommunikation unter VMs effizient und präzise zu erfassen.
  • [Punkt 10]
  • Die Informationsverarbeitungsvorrichtung nach Punkt 4 oder 5, weiter enthaltend: eine Schutzverarbeitungseinheit, eingesetzt in einer zuverlässigeren Ausführungsumgebung als der Virtualisierungssoftware und geeignet, einen vorbestimmten Schutzprozess auszuführen, wobei, wenn die Erfassungseinheit eine Anomalie erfasst, die Maßnahmeneinheit das Ausführen des Schutzprozesses in der Schutzverarbeitungseinheit als Reaktion auf eine Anfrage von der ersten VM verhindert.
  • Gemäß dieser Informationsverarbeitungsvorrichtung kann die Sicherheit der Vorrichtung erhöht sein.
  • [Punkt 11]
  • Ein Anomalieerfassungsverfahren, das eine Vorrichtung, in der Virtualisierungssoftware eine erste virtuelle Maschine (VM) und eine zweite VM betreibt, veranlasst:
    • Kommunikationsdaten zu bestätigen, die von der ersten VM gesendet und für die zweite VM bestimmt sind;
    • einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der bestätigten Kommunikationsdaten zu erzeugen; und
    • eine anomale Kommunikation auf Grundlage des erzeugten Parameters zu erfassen.
    • Gemäß diesem Anomalieerfassungsverfahren ist es möglich, eine Anomalie in der Kommunikation unter VMs effizient zu erfassen.
  • [Punkt 12]
  • Ein Computerprogramm, das eine Vorrichtung, in der Virtualisierungssoftware eine erste virtuelle Maschine (VM) und eine zweite VM betreibt, veranlasst:
    • Kommunikationsdaten zu bestätigen, die von der ersten VM gesendet und für die zweite VM bestimmt sind;
    • einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der bestätigten Kommunikationsdaten zu erzeugen; und
    • eine anomale Kommunikation auf Grundlage des erzeugten Parameters zu erfassen.
    • Gemäß diesem Computerprogramm ist es möglich, eine Anomalie in der Kommunikation unter VMs effizient zu erfassen.
  • [Gewerbliche Anwendbarkeit]
  • Die Technik dieser Offenbarung kann auf Informationsverarbeitungsvorrichtungen angewendet werden, in denen Virtualisierungssoftware eine virtuelle Maschine (VM) betreibt.
  • Bezugszeichenliste
    • 10
    Fahrzeug,
    12
    ECU,
    14
    HV,
    16
    VM,
    18
    VM,
    32
    Übertragungseinheit,
    38
    Erfassungseinheit,
    38b
    Analyseeinheit,
    40
    Maßnahmeneinheit,
    44
    Bestätigungseinheit,
    48
    Datenübertragungseinheit
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2013131907 [0003]

Claims (12)

  1. Informationsverarbeitungsvorrichtung, in der Virtualisierungssoftware eine erste virtuelle Maschine (VM) und eine zweite VM betreibt, wobei die Informationsverarbeitungsvorrichtung umfasst: eine Bestätigungseinheit, die Kommunikationsdaten bestätigt, die von der ersten VM gesendet und für die zweite VM bestimmt sind; eine Erzeugungseinheit, die einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der durch die Bestätigungseinheit bestätigten Kommunikationsdaten erzeugt; und eine Erfassungseinheit, die eine anomale Kommunikation auf Grundlage des durch die Erzeugungseinheit erzeugten Parameters erfasst.
  2. Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei die Erfassungseinheit eine anomale Kommunikation erfasst, wenn die Erfassungseinheit auf Grundlage des durch die Erzeugungseinheit erzeugten Parameters bestimmt, dass die Kommunikation zwischen den VMs eine vorbestimmte Bedingung erfüllt.
  3. Informationsverarbeitungsvorrichtung nach Anspruch 1 oder 2, weiter umfassend: eine Datenübertragungseinheit, die die durch die Bestätigungseinheit bestätigten Kommunikationsdaten gemäß einer vorbestimmten Sicherheitsrichtlinie, die eine Richtlinie bezüglich des Parameters enthält, zu einer Anwendung auf der zweiten VM überträgt.
  4. Informationsverarbeitungsvorrichtung nach einem beliebigen der Ansprüche 1 bis 3, weiter umfassend: eine Maßnahmeneinheit, die eine Maßnahme ausführt, um der anomalen Kommunikation gemäß einem Erfassungsergebnis durch die Erfassungseinheit entgegenzuwirken.
  5. Informationsverarbeitungsvorrichtung nach Anspruch 1 oder 2, weiter umfassend: eine Datenübertragungseinheit, die die durch die Bestätigungseinheit bestätigten Kommunikationsdaten gemäß einer vorbestimmten Sicherheitsrichtlinie, die eine Richtlinie bezüglich des Parameters enthält, zu einer Anwendung auf der zweiten VM überträgt; und eine Maßnahmeneinheit, die die Sicherheitsrichtlinie der Datenübertragungseinheit gemäß einem Erfassungsergebnis durch die Erfassungseinheit aktualisiert.
  6. Informationsverarbeitungsvorrichtung nach einem beliebigen der Ansprüche 1 bis 5, wobei die Erzeugungseinheit in einer zuverlässigeren Ausführungsumgebung eingesetzt ist als der ersten VM.
  7. Informationsverarbeitungsvorrichtung nach einem beliebigen der Ansprüche 1 bis 6, wobei die Erfassungseinheit in einer zuverlässigeren Ausführungsumgebung eingesetzt ist als der ersten VM.
  8. Informationsverarbeitungsvorrichtung nach einem beliebigen der Ansprüche 1 bis 7, weiter umfassend: eine Analyseeinheit, die die für die zweite VM bestimmten Kommunikationsdaten analysiert, wenn die Erfassungseinheit eine anomale Kommunikation erfasst.
  9. Informationsverarbeitungsvorrichtung nach einem beliebigen der Ansprüche 1 bis 8, wobei die Erzeugungseinheit als den Parameter einen Parameter erzeugt, der eine ID der ersten VM und eine ID der zweiten VM enthält.
  10. Informationsverarbeitungsvorrichtung nach Anspruch 4 oder 5, weiter umfassend: eine Schutzverarbeitungseinheit, eingesetzt in einer zuverlässigeren Ausführungsumgebung als der Virtualisierungssoftware und geeignet, einen vorbestimmten Schutzprozess auszuführen, wobei, wenn die Erfassungseinheit eine Anomalie erfasst, die Maßnahmeneinheit das Ausführen des Schutzprozesses in der Schutzverarbeitungseinheit als Reaktion auf eine Anfrage von der ersten VM verhindert.
  11. Anomalieerfassungsverfahren, das eine Vorrichtung, in der Virtualisierungssoftware eine erste virtuelle Maschine (VM) und eine zweite VM betreibt, veranlasst: Kommunikationsdaten zu bestätigen, die von der ersten VM gesendet und für die zweite VM bestimmt sind; einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der bestätigten Kommunikationsdaten zu erzeugen; und eine anomale Kommunikation auf Grundlage des erzeugten Parameters zu erfassen.
  12. Computerprogramm, das eine Vorrichtung, in der Virtualisierungssoftware eine erste virtuelle Maschine (VM) und eine zweite VM betreibt, veranlasst: Kommunikationsdaten zu bestätigen, die von der ersten VM gesendet und für die zweite VM bestimmt sind; einen Parameter bezüglich der Kommunikation zwischen den VMs auf Grundlage der bestätigten Kommunikationsdaten zu erzeugen; und eine anomale Kommunikation auf Grundlage des erzeugten Parameters zu erfassen.
DE112020005949.9T 2019-12-05 2020-09-08 Informationsverarbeitungsvorrichtung, Anomalieerfassungsverfahren und Computerprogramm Pending DE112020005949T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019-220119 2019-12-05
JP2019220119A JP7411895B2 (ja) 2019-12-05 2019-12-05 情報処理装置、異常検知方法およびコンピュータプログラム
PCT/JP2020/033896 WO2021111692A1 (ja) 2019-12-05 2020-09-08 情報処理装置、異常検知方法およびコンピュータプログラム

Publications (1)

Publication Number Publication Date
DE112020005949T5 true DE112020005949T5 (de) 2022-09-29

Family

ID=76220495

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020005949.9T Pending DE112020005949T5 (de) 2019-12-05 2020-09-08 Informationsverarbeitungsvorrichtung, Anomalieerfassungsverfahren und Computerprogramm

Country Status (5)

Country Link
US (1) US20220291944A1 (de)
JP (1) JP7411895B2 (de)
CN (1) CN114868365B (de)
DE (1) DE112020005949T5 (de)
WO (1) WO2021111692A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023136111A1 (ja) * 2022-01-14 2023-07-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置及び異常検知方法
WO2023238444A1 (ja) * 2022-06-10 2023-12-14 パナソニックIpマネジメント株式会社 監視装置及び監視方法
CN116866154B (zh) * 2023-09-05 2023-11-28 湖北华中电力科技开发有限责任公司 一种基于虚拟机集群的配电网通讯服务智能调度管理系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013131907A (ja) 2011-12-21 2013-07-04 Toyota Motor Corp 車両ネットワーク監視装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013242644A (ja) 2012-05-18 2013-12-05 Panasonic Corp 仮想計算機システム、制御方法、およびプログラム
US9571507B2 (en) * 2012-10-21 2017-02-14 Mcafee, Inc. Providing a virtual security appliance architecture to a virtual cloud infrastructure
JP6680028B2 (ja) 2016-03-24 2020-04-15 日本電気株式会社 監視システム、監視方法および監視プログラム
WO2018221118A1 (ja) 2017-06-01 2018-12-06 株式会社Seltech 仮想ネットワークシステム、および仮想ネットワークシステムの通信方法
JP7026298B2 (ja) 2017-09-29 2022-02-28 積水ハウス株式会社 セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013131907A (ja) 2011-12-21 2013-07-04 Toyota Motor Corp 車両ネットワーク監視装置

Also Published As

Publication number Publication date
JP7411895B2 (ja) 2024-01-12
JP2021090160A (ja) 2021-06-10
US20220291944A1 (en) 2022-09-15
WO2021111692A1 (ja) 2021-06-10
CN114868365A (zh) 2022-08-05
CN114868365B (zh) 2024-05-31

Similar Documents

Publication Publication Date Title
DE112020005949T5 (de) Informationsverarbeitungsvorrichtung, Anomalieerfassungsverfahren und Computerprogramm
EP2981926B1 (de) Datenspeichervorrichtung zum geschützten datenaustausch zwischen verschiedenen sicherheitszonen
WO2021078602A1 (de) Verfahren und vorrichtung zum betreiben einer recheneinrichtung
DE112012004247T5 (de) Passives Überwachen virtueller Systeme unter Verwendung einer erweiterbaren Indexierung
WO2019072840A1 (de) Vorrichtung zur absicherung von diagnosebefehlen an ein steuergerät und entsprechendes kraftfahrzeug
WO2021122734A1 (de) Verfahren und vorrichtung zum betreiben einer recheneinrichtung
DE102012218699A1 (de) Passives überwachen virtueller systeme mittels agentenlosem offline-indexieren
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
DE102018217431A1 (de) Sicherer Schlüsseltausch auf einem Gerät, insbesondere einem eingebetteten Gerät
DE602004002241T2 (de) Schutz eines auf ausführungwartenden Programms in einem Speicher für einen Mikroprozessor
DE102018213616A1 (de) Kryptografiemodul und Betriebsverfahren hierfür
DE60017438T2 (de) System zur betriebsmittelzugriffsteuerung
DE102013209264A1 (de) Verfahren zum Betreiben eines Kommunikationsmoduls und Kommunikationsmodul
EP4154139B1 (de) Erweiterte integritätsüberwachung eines containerabbildes
DE102016205321A1 (de) Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle
WO2023036672A1 (de) Ausführen von privilegierten operationen in einem container
DE112018002837B4 (de) Überwachung für gemeinsam angeordnete container in einem hostsystem
EP4395234A1 (de) Verfahren zum betrieb eines automatisierungsgeräts, system und steuerungsprogramm
EP4290397A1 (de) Verfahren und system zur bereitstellung von steuerungsanwendungen
EP4361866A1 (de) Verfahren und system zur umgebungs-abhängigen sicherheitsbezogenen anomalieerkennung für eine containerinstanz
DE102021123370A1 (de) Informationsverarbeitungsvorrichtung, informationsverarbeitungsverfahren, und programm
EP4170490A1 (de) Priorisieren eines zugriffs von einer containerinstanz auf eine datei in einer dateisystemressource
WO2023104432A1 (de) Verfahren und system zur bereitstellung von steuerungsanwendungen für ein industrielles automatisierungssystem
DE102022111836A1 (de) Verfahren und Kraftfahrzeug-Steuergerät zum Betreiben einer Containervirtualisierung mit Logging-Funktion sowie computerlesbares Speichermedium
Böttger et al. Challenges and current solutions for safe and secure connected vehicles

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP

Free format text: FORMER OWNER: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT CO., LTD., OSAKA, JP