-
[Technisches Gebiet]
-
Die vorliegende Offenbarung betrifft eine Informationsverarbeitungsvorrichtung, ein Steuerverfahren und ein Programm.
-
[Technischer Hintergrund]
-
Die Patentschrift 1 offenbart eine Anomalieerfassungsvorrichtung, die eine Anomalie erfasst, die durch einen Computervirus verursacht ist, wie etwa einen Bot. Die Anomalieerfassungsvorrichtung gemäß der Patentschrift 1 überwacht Dateizugriffe und dergleichen durch Verarbeitungen mit dem Linux (R) Security Module (LSM); wenn beispielsweise ein Prozess auf eine andere Datei zugreift als Dateien, auf die der Prozess zugreifen soll, bestimmt die Anomalieerfassungsvorrichtung, dass eine Anomalie durch einen Computervirus verursacht wurde.
-
[Liste der Anführungen]
-
[Patentliteratur]
-
[Patentschrift 1]
Japanische ungeprüfte Patentoffenlegung Nr. 2010-182019
-
[Zusammenfassung der Erfindung]
-
[Technische Aufgabe]
-
Die Entwicklung von Fahrautomatisierungssystemen, die Fahrvorgänge eines Fahrzeugs automatisieren, wie etwa Beschleunigen/Verzögern, Lenken und Bremsen, ist in vollem Gange. Solche Fahrautomatisierungssysteme bergen eine Gefahr, dass ein Fahrzeug beispielsweise durch eine unzulässige Meldung im Controller Area Network (CAN) angegriffen wird, die durch eine böswillige dritte Person zu einer elektronischen Steuereinheit (ECU) gesendet wird, die in dem Fahrzeug vorgesehen ist. Ein solcher Angriff auf ein Fahrzeug wird für die Anomalieerfassungsvorrichtung gemäß der oben beschriebenen Patentschrift 1 nicht berücksichtigt und wirft somit ein Problem ungenügender Sicherheitsmaßnahmen für Fahrzeuge auf.
-
Die vorliegende Offenbarung sieht daher eine Informationsverarbeitungsvorrichtung, ein Steuerverfahren und ein Programm vor, die in der Lage sind, Sicherheitsmaßnahmen für ein Mobil zu verbessern.
-
[Lösung der Aufgabe]
-
Gemäß einem Aspekt der vorliegenden Offenbarung enthält eine Informationsverarbeitungsvorrichtung, die mit einem bei einem Mobil vorgesehenen Mobilnetzwerk verbunden ist: einen Speicher, der Bestimmungskriteriumsinformationen speichert, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten einer Anwendung normal ist oder nicht, die auf einer Vorrichtung arbeitet, die bei dem Mobil vorgesehen ist; und eine Erfassungseinheit, die Verhaltensinformationen erlangt, die das Verhalten der Anwendung angeben, und die eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen erfasst.
-
Allgemeine oder spezifische Aspekte der vorliegenden Offenbarung können bei einem System, einem Verfahren, einer integrierten Schaltung, einem Computerprogramm, einem computerlesbaren Datenträger, wie etwa einem Compact-Disc-Nur-Lesespeicher (CD-ROM), oder bei einer beliebigen Kombination davon umgesetzt sein.
-
[Vorteilhafte Wirkungen der Erfindung]
-
Mit der Informationsverarbeitungsvorrichtung und dergleichen gemäß einem Aspekt der vorliegenden Offenbarung ist es möglich, Sicherheitsmaßnahmen für ein Mobil zu erhöhen.
-
Figurenliste
-
- [1] 1 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 1 darstellt.
- [2] 2 ist ein Diagramm, das ein Beispiel von Verhaltensprotokollinformationen gemäß der Ausführungsform 1 darstellt.
- [3] 3 ist ein Diagramm, das ein Beispiel von Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellt.
- [4A] 4A ist ein Diagramm, das ein weiteres Beispiel der Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellt.
- [4B] 4B ist ein Diagramm, das noch ein weiteres Beispiel der Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellt.
- [5] 5 ist ein Flussdiagramm, das einen Ablauf eines Betriebs durch eine Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 1 angibt.
- [6] 6 ist ein Diagramm, das ein Beispiel der Verhaltensprotokollinformationen und der Zustandsprotokollinformationen darstellt, die durch die Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 1 erlangt sind.
- [7] 7 ist ein schematisches Diagramm zum Beschreiben einer Verarbeitung in Schritt S104 des Flussdiagramms in 5.
- [8] 8 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 2 darstellt.
- [9] 9 ist ein Diagramm, das ein Beispiel von Bestimmungskriteriumsinformationen gemäß der Ausführungsform 2 darstellt.
- [10] 10 ist ein Flussdiagramm, das einen Ablauf eines Betriebs durch eine Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 2 angibt.
- [11] 11 ist ein Diagramm, das ein Beispiel von Verhaltensprotokollinformationen und Zustandsprotokollinformationen, die durch eine Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 2 erlangt sind, sowie Bestimmungskriteriumsinformationen darstellt, die in einem Speicher der Informationsverarbeitungsvorrichtung gespeichert sind.
- [12] 12 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 3 darstellt.
- [13] 13 ist ein Flussdiagramm, das einen Ablauf eines Betriebs durch eine Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 3 angibt.
- [14] 14 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 4 darstellt.
- [15] 15 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 5 darstellt.
-
[Beschreibung von Ausführungsformen]
-
Gemäß einem Aspekt der vorliegenden Offenbarung enthält eine Informationsverarbeitungsvorrichtung, die mit einem bei einem Mobil vorgesehenen Mobilnetzwerk verbunden ist: einen Speicher, der Bestimmungskriteriumsinformationen speichert, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten einer Anwendung normal ist oder nicht, die auf einer Vorrichtung arbeitet, die bei dem Mobil vorgesehen ist; und eine Erfassungseinheit, die Verhaltensinformationen erlangt, die das Verhalten der Anwendung angeben, und die eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen erfasst.
-
Gemäß dem Aspekt erlangt die Erfassungseinheit die Verhaltensinformationen, die ein Verhalten der Anwendung angeben, und erfasst eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen. Dies ermöglicht es, zuverlässig eine Anomalie in einem Verhalten einer solchen Anwendung zu erfassen, die durch einen Angriff auf ein Mobil verursacht ist, sodass Sicherheitsmaßnahmen für das Mobil erhöht werden können.
-
Zum Beispiel ist es möglich, dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung auf Grundlage der Verhaltensinformationen, der im Speicher gespeicherten Bestimmungskriteriumsinformationen und der Zustandsinformationen erfasst, die einen Zustand des Mobils angeben und über das Mobilnetzwerk erlangt werden.
-
Gemäß dem Aspekt erfasst die Erfassungseinheit eine Anomalie in einem Verhalten der Anwendung unter Berücksichtigung der Verhaltensinformationen sowie der Zustandsinformationen. Dies ermöglicht es, zuverlässiger eine Anomalie in einem Verhalten einer solchen Anwendung zu erfassen, die durch einen Angriff auf ein Mobil verursacht ist, sodass Sicherheitsmaßnahmen für das Mobil weiter erhöht werden können.
-
Zum Beispiel ist es möglich, dass die Bestimmungskriteriumsinformationen eins aus einem regelbasierten Modell und einem Maschinenlernmodell als ein Bestimmungsmodell für das Erfassen der Anomalie in dem Verhalten der Anwendung enthält, wobei das eine aus dem regelbasierten Modell und dem Maschinenlernmodell Modelle hinsichtlich mindestens eines aus dem Verhalten der Anwendung oder dem Zustand des Mobils sind und die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung durch ein Anwenden des Bestimmungsmodells auf die Verhaltensinformationen und die Zustandsinformationen erfasst.
-
Gemäß dem Aspekt ist es möglich, eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision durch ein Anwenden des Bestimmungsmodells, das ein regelbasiertes Modell oder ein Maschinenlernmodell ist, auf die Verhaltensinformationen und die Zustandsinformationen zu erfassen.
-
Zum Beispiel ist es möglich, dass die Bestimmungskriteriumsinformationen Normalverhaltensprotokollinformationen, die einen Verlauf normaler Verhalten der Anwendung angeben, und Normalzustandsprotokollinformationen enthalten, die einen Verlauf normaler Zustände des Mobils angeben, und dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Normalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Normalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
-
Gemäß dem Aspekt ermöglichen es die Bestimmungskriteriumsinformationen, dass ein normales Verhalten der Anwendung für jeden Zustand des Mobils definiert wird. Als Ergebnis kann die Erfassungseinheit eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision erfassen durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Normalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Normalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
-
Zum Beispiel ist es möglich, dass die Bestimmungskriteriumsinformationen Anomalverhaltensprotokollinformationen, die einen Verlauf anomaler Verhalten der Anwendung angeben, und Anomalzustandsprotokollinformationen enthalten, die einen Verlauf anomaler Zustände des Mobils angeben, und dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Anomalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Anomalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
-
Gemäß dem Aspekt ermöglichen es die Bestimmungskriteriumsinformationen, dass ein anomales Verhalten der Anwendung für jeden Zustand des Mobils definiert wird. Als Ergebnis kann die Erfassungseinheit eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision erfassen durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Anomalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Anomalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
-
Zum Beispiel ist es möglich, dass die Bestimmungskriteriumsinformationen ein Bestimmungsmodell enthalten, das vorab durch ein Maschinenlernen erzeugt ist, um beim Bestimmen einer Wahrscheinlichkeit benutzt zu werden, dass das Verhalten der Anwendung normal ist, wobei die Erfassungseinheit: unter Verwendung des Bestimmungsmodells berechnet: (i) einen ersten Merkmalsbetrag aus einem Verlauf der erlangten Verhaltensinformationen und (ii) einen zweiten Merkmalsbetrag aus einem Verlauf der erlangten Zustandsinformationen; einen Bewertungswert, der die Wahrscheinlichkeit angibt, aus dem ersten berechneten Merkmalsbetrag und dem zweiten berechneten Merkmalsbetrag berechnet; und die durch den Bewertungswert angegebene Wahrscheinlichkeit mit einem Schwellenwert vergleicht, um die Anomalie in dem Verhalten der Anwendung zu erfassen.
-
Gemäß dem Aspekt kann die Erfassungseinheit unter Verwendung des Bestimmungsmodells, das maschinengelernt und in den Bestimmungskriteriumsinformationen enthalten ist, eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision erfassen.
-
Zum Beispiel ist es möglich, dass die Informationsverarbeitungsvorrichtung weiter enthält: eine Schätzeinheit, die den Zustand des Mobils auf Grundlage der Zustandsinformationen schätzt, wobei die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung mit weiterer Berücksichtigung eines Ergebnisses der durch die Schätzeinheit durchgeführten Schätzung erfasst.
-
Gemäß dem Aspekt kann die Erfassungseinheit eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision mit weiterer Berücksichtigung eines Ergebnisses der durch die Schätzeinheit durchgeführten Schätzung erfassen.
-
Zum Beispiel ist es möglich, dass die Informationsverarbeitungsvorrichtung weiter enthält: eine Meldeeinheit, die nach außerhalb der Informationsverarbeitungsvorrichtung meldet, dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst, wenn die Erfassungseinheit die Anomalie erfasst.
-
Gemäß dem Aspekt ist es möglich, da die Meldeeinheit nach außen eine Anomalie in dem Verhalten der Anwendung meldet, schnell ein Vorgehen durchzuführen, wie etwa die Anwendung zwangsweise anzuhalten.
-
Gemäß einem weiteren Aspekt der vorliegenden Offenbarung enthält ein Steuerverfahren, das durch eine Informationsverarbeitungsvorrichtung durchgeführt wird, die mit einem bei einem Mobil vorgesehenen Mobilnetzwerk verbunden ist: ein Erlangen von Verhaltensinformationen, die ein Verhalten einer Anwendung angeben, die auf einer Vorrichtung arbeitet, die bei dem Mobil vorgesehen ist; und ein Erfassen einer Anomalie in dem Verhalten der Anwendung auf Grundlage der beim Erlangen erlangten Verhaltensinformationen und der vorab in einem Speicher gespeicherten Bestimmungskriteriumsinformationen, wobei die Bestimmungskriteriumsinformationen ein Bestimmungskriterium zum Bestimmen angeben, ob das Verhalten der Anwendung normal ist oder nicht.
-
Gemäß dem Aspekt werden die Verhaltensinformationen erlangt, die einen Verlauf von Verhalten der Anwendung angeben, und wird eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen erfasst. Dies ermöglicht es, zuverlässig eine Anomalie in einem Verhalten einer solchen Anwendung zu erfassen, die durch einen Angriff auf ein Mobil verursacht ist, sodass Sicherheitsmaßnahmen für das Mobil erhöht werden können.
-
Gemäß noch einem weiteren Aspekt der vorliegenden Offenbarung veranlasst ein Programm einen Computer, das oben beschriebene Steuerverfahren auszuführen.
-
Allgemeine oder spezifische Aspekte der vorliegenden Offenbarung können bei einem System, einem Verfahren, einer integrierten Schaltung, einem Computerprogramm, einem computerlesbaren Datenträger, wie etwa einem Compact-Disc-Nur-Lesespeicher (CD-ROM), oder bei einer beliebigen Kombination davon umgesetzt sein.
-
Nachfolgend sind bestimmte beispielhafte Ausführungsformen unter Bezugnahme auf die begleitende Zeichnung genau beschrieben.
-
Die folgenden Ausführungsformen sind allgemeine oder spezifische Beispiele der vorliegenden Offenbarung. Die Zahlenwerte, Formen, Materialien, Bestandteile, Anordnungspositionen und die Verbindungsanordnung der Bestandteile, Schritte, die Reihenfolge der Schritte, usw., die in den folgenden Ausführungsformen beschrieben sind, sind nur Beispiele und sollen daher die vorliegende Offenbarung nicht einschränken. Unter den in den folgenden Ausführungsformen beschriebenen Bestandteilen sind diejenigen, die nicht in einem beliebigen der unabhängigen Ansprüche beschrieben sind, die das breiteste Konzept der vorliegenden Offenbarung angeben, als frei wählbare Bestandteile beschrieben.
-
[Ausführungsform 1]
-
[1. Aufbau der Informationsverarbeitungsvorrichtung]
-
Zuerst ist ein Aufbau der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform 1 unter Bezugnahme auf 1 bis 4B beschrieben. 1 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform 1 darstellt. 2 ist ein Diagramm, das ein Beispiel von Verhaltensprotokollinformationen gemäß der Ausführungsform 1 darstellt. 3 ist ein Diagramm, das ein Beispiel von Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellt. 4A und 4B sind Diagramme, die jeweils ein weiteres Beispiel der Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellen.
-
Die Informationsverarbeitungsvorrichtung 2 der vorliegenden Ausführungsform ist beispielsweise bei einem Fahrzeug vorgesehen, wie etwa einem Automobil (einem Beispiel eines Mobils). Das Fahrzeug ist mit einem Fahrautomatisierungssystem zum Durchführen einer Steuerung bei automatisierten Fahrvorgängen des Fahrzeugs versehen, wie etwa Beschleunigen/Verzögern, Lenken und Bremsen.
-
Wie in 1 dargestellt, enthält die Informationsverarbeitungsvorrichtung 2 eine Verhaltensaufzeichnungseinheit 4, eine Kommunikationseinheit 6 und eine Anomalieerfassungseinheit 7.
-
Die Verhaltensaufzeichnungseinheit 4 zeichnet Verhaltensprotokollinformationen auf, die einen Verlauf von Verhalten jeder aus einer Vielzahl von Anwendungen 14 angeben, die auf der Softwareplattform 12 arbeiten. Es ist anzumerken, dass die Verhaltensprotokollinformationen ein Beispiel eines Verlaufs von Verhaltensinformationen sind, die Verhalten einer Anwendung angeben. Die Verhaltensaufzeichnungseinheit 4 sammelt Elemente von Verhaltensprotokollinformationen und zeichnet sie auf, indem sie sich beispielsweise in Systemaufrufvorgänge einklinkt, die ein Prozess an ein Betriebssystem (OS) ausgibt. Die Verhaltensaufzeichnungseinheit 4 gibt die aufgezeichneten Verhaltensprotokollinformationen an eine Erfassungseinheit 10 aus.
-
Es ist anzumerken, dass Anwendungen 14 jeweils ein Anwendungsprogramm sind, das beispielsweise auf einer Fahrzeug-Bordvorrichtung eines Fahrzeugs (einem Beispiel einer Vorrichtung) arbeitet. Genauer sind Anwendungen 14 Fahrautomatisierungsanwendungen und dergleichen zum Umsetzen a) einer Videoverteilungsanwendung zum Verteilen von Videos, b) einer Werbeverbreitungsanwendung, die im Hintergrund arbeitet und zum Darbieten einer Werbung für einen Benutzer dient, c) einer Lieferkistenanwendung zum Verwenden eines Laderaums eines Fahrzeugs als eine Lieferkiste, d) einer Carsharing-Anwendung zum Verwenden eines Carsharing-Dienstes, e) einer Mitfahranwendung zum Verwenden eines Mitfahrdienstes, und f) eines Fahrerassistenzsystems (FAS).
-
Die Softwareplattform 12 ist eine virtuelle Maschine, die beispielsweise auf einem Hypervisor arbeitet und als eine Mobildienstplattform fungiert. Virtuelle Maschinen, die auf einem Hypervisor arbeiten, umfassen außer der oben beschriebenen virtuellen Maschine für eine Mobildienstplattform beispielsweise eine virtuelle Maschine für ein FAS.
-
Hier ist ein Beispiel der durch die Verhaltensaufzeichnungseinheit 4 aufgezeichneten Verhaltensprotokollinformationen mit Bezugnahme auf 2 beschrieben. In dem in 2 dargestellten Beispiel enthalten die Verhaltensprotokollinformationen a) einen Zeitstempel, b) einen Prozessnamen, c) eine Prozess-ID (Identifikation), d) einen Einklinkzeigernamen, e) ein Einklinkzeigerattribut 1 und f) ein Einklinkzeigerattribut 2. Der Zeitstempel ist eine Information, die einen Zeitpunkt angibt, zu dem ein Element der Verhaltensprotokollinformationen aufgezeichnet ist. Der Prozessname und die Prozess-ID sind Informationen, die einen Prozess bezeichnen, der einen Systemaufrufprozess zum OS ausgibt. Der Einklinkzeigername und die Einklinkzeigerattribute sind Informationen, die einen Systemaufrufprozess bezeichnen, den ein Prozess zum OS ausgibt.
-
Erneut mit Bezugnahme auf 1 ist die Kommunikationseinheit 6 mit dem CAN-Bus 16 (einem Beispiel eines Mobil-Netzwerks) verbunden und empfängt vom CAN-Bus 16 Zustandsprotokollinformationen, die einen Verlauf von Zuständen des Fahrzeugs angeben. Es ist anzumerken, dass die Zustandsprotokollinformationen ein Beispiel eines Verlaufs von Zustandsinformationen sind, die einen Zustand des Fahrzeugs angeben. Die Kommunikationseinheit 6 gibt die empfangenen Zustandsprotokollinformationen zur Erfassungseinheit 10 aus. Der CAN-Bus 16 ist ein Fahrzeug-Bordnetzwerk zum Kommunizieren einer CAN-Meldung, die einem CAN-Protokoll genügt und zum Fahrzeug vorgesehen ist.
-
Hier ist ein Beispiel der durch die Kommunikationseinheit 6 empfangenen Zustandsprotokollinformationen mit Bezugnahme auf 3 beschrieben. In dem in 3 dargestellten Beispiel enthalten die Zustandsprotokollinformationen a) einen Zeitstempel, b) eine Fahrzeuggeschwindigkeit, c) eine Beschleunigung und d) einen Lenkwinkel. Der Zeitstempel ist eine Information, die einen Zeitpunkt angibt, zu dem ein Element der Zustandsprotokollinformationen aufgezeichnet ist. Die Fahrzeuggeschwindigkeit ist eine Information, die eine Geschwindigkeit des Fahrzeugs angibt. Die Beschleunigung ist eine Information, die eine Beschleunigung des Fahrzeugs angibt. Der Lenkwinkel ist eine Information, die einen Lenkwinkel eines Lenkrads des Fahrzeugs angibt. Es ist anzumerken, dass die Fahrzeuggeschwindigkeit, die Beschleunigung, der Lenkwinkel und dergleichen durch verschiedene Aufnehmer erlangt werden, die beim Fahrzeug vorgesehen sind.
-
Außer dem oben beschriebenen Beispiel können die Zustandsprotokollinformationen beispielsweise a) einen Zeitstempel, b) einen Kommunikationseinheitsnamen, c) ein Kommunikationseinheitsattribut 1, d) ein Kommunikationseinheitsattribut 2 und e) ein Kommunikationseinheitsattribut 3 enthalten, wie in 4A dargestellt. Alternativ können die Zustandsprotokollinformationen beispielsweise a) einen Zeitstempel, b) ein ID-Feld und c) ein Datenfeld enthalten, wie in 4B dargestellt.
-
Erneut mit Bezugnahme auf 1 enthält die Anomalieerfassungseinheit 7 einen Speicher 8 und eine Erfassungseinheit 10. Der Speicher 8 speichert vorab Bestimmungskriteriumsinformationen, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten der Anwendung 14 normal ist oder nicht. Bei der vorliegenden Ausführungsform enthalten die Bestimmungskriteriumsinformationen ein Bestimmungsmodell, das ein vorab durch ein Maschinenlernen erzeugtes Maschinenlernmodell ist, um beim Bestimmen einer Wahrscheinlichkeit verwendet zu werden, dass das Verhalten der Anwendung 14 normal ist. Es ist anzumerken, dass die vorliegende Ausführungsform so ausgelegt ist, dass ein normales Verhalten für jede einzelne Anwendung 14 definiert (gelernt) ist; jedoch ist das Definieren eines normalen Verhaltens nicht darauf beschränkt, und ein normales Verhalten kann für jede Anwendungsgruppe definiert sein, die eine Vielzahl von miteinander in Beziehung stehenden Anwendungen 14 enthält, oder kann auf Grundlage eines Systems definiert sein, das die Informationsverarbeitungsvorrichtung 2 enthält.
-
Die Erfassungseinheit 10 erlangt die Verhaltensprotokollinformationen von der Verhaltensaufzeichnungseinheit 4 und die Zustandsprotokollinformationen von der Kommunikationseinheit 6. Auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8 gespeicherten Bestimmungskriteriumsinformationen erfasst die Erfassungseinheit 10 eine Anomalie in einem Verhalten der Anwendung 14. Genauer verwendet die Erfassungseinheit 10 das in den Bestimmungskriteriumsinformationen enthaltene Bestimmungsmodell, um einen ersten Merkmalsbetrag der erlangten Verhaltensprotokollinformationen und einen zweiten Merkmalsbetrag der erlangten Zustandsprotokollinformationen zu berechnen. Die Erfassungseinheit 10 erfasst eine Anomalie in einem Verhalten der Anwendung 14 durch ein Berechnen eines Bewertungswerts aus dem berechneten ersten Merkmalsbetrag und dem berechneten zweiten Merkmalsbetrag, der eine Wahrscheinlichkeit angibt, dass das Verhalten der Anwendung 14 normal ist, und durch ein Vergleichen der durch den Bewertungswert angegebenen Wahrscheinlichkeit mit einem Schwellenwert.
-
[1-2. Betrieb durch die Erfassungseinheit]
-
Als Nächstes ist ein Betrieb durch die Erfassungseinheit 10 unter Bezugnahme auf 5 bis 7 beschrieben. 5 ist ein Flussdiagramm, das einen Ablauf des Betriebs durch die Erfassungseinheit 10 der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform 1 angibt. 6 ist ein Diagramm, das ein Beispiel der Verhaltensprotokollinformationen und der Zustandsprotokollinformationen darstellt, die durch die Erfassungseinheit 10 der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform 1 erlangt sind. 7 ist ein schematisches Diagramm zum Beschreiben einer Verarbeitung in Schritt S104 des Flussdiagramms in 5.
-
Die folgende Beschreibung behandelt einen Fall, wo die Anwendung 14 eine Videoverteilungsanwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt (d.h. Hacking), wenn das Fahrzeug auf einer Schnellstraße bei etwa 80 km/h fährt. In diesem Fall gibt die illegal übernommene Anwendung 14 an die Kommunikationseinheit 6 eine Anwendungsprogrammierschnittstelle (API) für Anweisungen aus, eine CAN-Meldung zu senden, eine Notbremsung anzuwenden (im Folgenden als „Notbrems-API“ bezeichnet). Dies birgt eine Gefahr, dass unerwartet eine Notbremsung ausgelöst wird, wenn das Fahrzeug auf der Schnellstraße fährt. Als eine Vorbedingung ist angenommen, dass die Notbrems-API nur in einer Notsituation ausgegeben wird, wenn das Fahrzeug bei einer niedrigen Geschwindigkeit fährt.
-
Wie in 5 dargestellt, erlangt die Erfassungseinheit 10 die Verhaltensprotokollinformationen von der Verhaltensaufzeichnungseinheit 4 und die Zustandsprotokollinformationen von der Kommunikationseinheit 6 (S101). Hier erlangt die Erfassungseinheit 10 beispielsweise Verhaltensprotokollinformationen und Zustandsprotokollinformationen, wie in 6 dargestellt, alle 0,1 s. In dem in 6 dargestellten Beispiel enthalten die Verhaltensprotokollinformationen a) einen Zeitstempel, b) die Anzahl von Auftreten des Einklinkzeigers A, c) die Anzahl von Auftreten des Einklinkzeigers B, d) die Anzahl von Auftreten des Einklinkzeigers C, e) die Anzahl von Auftreten des Einklinkzeigers D, f) eine Kommunikationsmeldung A und g) eine Kommunikationsmeldung B. Die Zustandsprotokollinformationen enthalten a) einen Zeitstempel, b) eine Fahrzeuggeschwindigkeit, c) eine Beschleunigung und d) einen Lenkwinkel.
-
Die Erfassungseinheit 10 verwendet das in den Bestimmungskriteriumsinformationen, die im Speicher 8 gespeichert sind, enthaltene Bestimmungsmodell, um einen ersten Merkmalsbetrag der erlangten Verhaltensprotokollinformationen und einen zweiten Merkmalsbetrag der erlangten Zustandsprotokollinformationen zu berechnen (S102). Die Erfassungseinheit 10 berechnet einen Bewertungswert, der eine Wahrscheinlichkeit angibt, dass ein Verhalten der Anwendung 14 normal ist, aus dem ersten berechneten Merkmalsbetrag und dem zweiten berechneten Merkmalsbetrag (S103).
-
Die Erfassungseinheit 10 vergleicht den Bewertungswert (die Wahrscheinlichkeit von Normalität) mit dem Schwellenwert (S104), um zu bestimmen, ob das Verhalten der Anwendung 14 anomal ist oder nicht. Zum Beispiel bestimmt die Erfassungseinheit 10 alle 0,1 s in einer so genannten zeitgesteuerten Weise, ob das Verhalten der Anwendung 14 anomal ist oder nicht.
-
Wenn die durch den Bewertungswert angegebene Wahrscheinlichkeit unter den Schwellenwert fällt (JA in S104), bestimmt die Erfassungseinheit 10, dass das Verhalten der Anwendung 14 anomal ist (S105). Wenn die durch den Bewertungswert angegebene Wahrscheinlichkeit nicht unter den Schwellenwert fällt (NEIN in S104), bestimmt die Erfassungseinheit 10, dass das Verhalten der Anwendung 14 normal ist (S106).
-
Nachstehend ist die oben in Schritt S104 beschriebene Verarbeitung mit Bezugnahme auf 6 und 7 genau beschrieben. Die Erfassungseinheit 10 verwendet die in 6 dargestellten Verhaltensprotokollinformationen, die sechsdimensional sind, und die in 6 dargestellten Zustandsprotokollinformationen, die dreidimensional sind, als Eingabedaten, die insgesamt neundimensional sind, und die Erfassungseinheit 10 benutzt ein vorgegebenes Maschinenlernverfahren, um die neundimensionalen Eingabedaten auf zweidimensionale Daten abzubilden, wobei sie Einträge von Beobachtungsdaten bei den in 6 dargestellten Zeitstempeln „0,1“, „0,2“, „0,3“ und „0,4“ trennt.
-
Die Einträge von Beobachtungsdaten bei den Zeitstempeln „0,1“, „0,2“, „0,3“ und „0,4“ werden auf einen zweidimensionalen Raum abgebildet, wie beispielsweise in 7 dargestellt. Hier sind die Einträge von Beobachtungsdaten bei den Zeitstempeln „0,1“ und „0,3“ in einer Normalverhaltensgruppe (einem in 7 mit einer gestrichelten Linie umschlossenen Bereich) enthalten, die vorab gelernt ist, wohingegen die Einträge von Beobachtungsdaten bei den Zeitstempeln „0,2“ und „0,4“ nicht in der vorab gelernten Normalverhaltensgruppe enthalten sind.
-
Genauer zeigt, wie in 6 dargestellt, die Anzahl von Auftreten des Einklinkzeigers A eines Elements der Verhaltensprotokollinformationen beim Zeitstempel „0,2“ einen anomalen Wert, „18“. Es wird angenommen, dass dies auf anomale Speicherzugriffe zurückzuführen ist, die erfolgen, wenn die Prozesssteuerung der Anwendung 14 illegal übernommen ist. Der Eintrag von Beobachtungsdaten beim Zeitstempel „0,2“ wird daher aus der vorab gelernten Normalverhaltensgruppe ausgeschlossen, wie in 7 dargestellt, weil die Anzahl von Auftreten des Einklinkzeigers A des Elements der Verhaltensprotokollinformationen beim Zeitstempel „0,2“ einen anomalen Wert aufweist. Als Ergebnis fällt die durch den Bewertungswert angegebene Wahrscheinlichkeit unter den Schwellenwert, was die Erfassungseinheit 10 veranlasst zu bestimmen, dass das Verhalten der Anwendung 14 beim Zeitstempel „0,2“ anomal ist.
-
Weiter ist, wie in 6 dargestellt, die Kommunikationsmeldung A eines Elements der Verhaltensprotokollinformationen beim Zeitstempel „0,4“ „Anweisung für Notbremsung“, und eine Fahrzeuggeschwindigkeit eines Elements der Zustandsprotokollinformationen beim Zeitstempel „0,4“ beträgt „79 km/h“. Es ist angenommen, dass dies zurückzuführen ist auf ein Ausgeben einer Notbrems-API von der Anwendung 14 zur Kommunikationseinheit 6, wenn das Fahrzeug auf der Schnellstraße fährt. Der Eintrag von Beobachtungsdaten beim Zeitstempel „0,4“ wird daher aus der vorab gelernten Normalverhaltensgruppe ausgeschlossen, wie in 7 dargestellt, weil die Kommunikationsmeldung A des Elements der Verhaltensprotokollinformationen beim Zeitstempel „0,4“ „Anweisung für Notbremsung“ ist und die Fahrzeuggeschwindigkeit des Elements der Zustandsprotokollinformationen beim Zeitstempel „0,4“ „79 km/h“ beträgt. Als Ergebnis fällt die durch den Bewertungswert angegebene Wahrscheinlichkeit unter den Schwellenwert, was die Erfassungseinheit 10 veranlasst zu bestimmen, dass das Verhalten der Anwendung 14 beim Zeitstempel „0,4“ anomal ist.
-
[1-3. Vorteilhafte Wirkungen]
-
Wie oben beschrieben, erfasst die Erfassungseinheit 10 eine Anomalie in einem Verhalten der Anwendung 14 auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8 gespeicherten Bestimmungskriteriumsinformationen. Dies ermöglicht es der Informationsverarbeitungsvorrichtung 2, zuverlässig eine Anomalie in einem Verhalten der Anwendung 14 zu erfassen, die durch einen Angriff auf das Fahrzeug, wie etwa Hacken, verursacht ist, sodass Sicherheitsmaßnahmen für das Fahrzeug erhöht werden können.
-
[Ausführungsform 2]
-
[2-1. Aufbau der Informationsverarbeitungsvorrichtung]
-
Als Nächstes ist ein Aufbau der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 unter Bezugnahme auf 8 und 9 beschrieben. 8 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 darstellt. 9 ist ein Diagramm, das ein Beispiel von Bestimmungskriteriumsinformationen gemäß der Ausführungsform 2 darstellt. Es ist anzumerken, dass in den folgenden Ausführungsformen dieselben Bestandteile wie diejenigen in der oben beschriebenen Ausführungsform 1 mit denselben Bezugszeichen bezeichnet sind, und die Beschreibung der Bestandteile ist nicht wiederholt.
-
Wie in 8 dargestellt, enthält die Anomalieerfassungseinheit 7A der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 zusätzlich zu den bei der Ausführungsform 1 beschriebenen Bestandteilen einen Protokollspeicher 18 und eine Meldeeinheit 20.
-
Der Protokollspeicher 18 speichert (sammelt) Verhaltensprotokollinformationen von der Verhaltensaufzeichnungseinheit 4 und Zustandsprotokollinformationen von der Kommunikationseinheit 6. Die Erfassungseinheit 10A liest und erlangt die Verhaltensprotokollinformationen und die Zustandsprotokollinformationen, die im Protokollspeicher 18 gespeichert sind, und auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen erfasst die Erfassungseinheit 10A eine Anomalie in einem Verhalten der Anwendung 14.
-
Die Meldeeinheit 20 meldet nach außen (z.B. zu einer Endvorrichtung eines Benutzers oder einem externen Server usw.), dass die Erfassungseinheit 10A eine Anomalie in einem Verhalten der Anwendung 14 erfasst hat, wenn die Erfassungseinheit 10A die Anomalie erfasst. Dies ermöglicht ein Durchführen eines Vorgehens, wie etwa eines zwangsweisen Anhaltens der Anwendung 14, die sich anomal verhalten hat.
-
Der Speicher 8A speichert vorab Bestimmungskriteriumsinformationen, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten der Anwendung 14 normal ist oder nicht, und die Bestimmungskriteriumsinformationen sind eine Weißlisten-basierte Regelbasis. Das heißt, die Bestimmungskriteriumsinformationen enthalten ein Bestimmungsmodell, das ein regelbasiertes Modell ist, das zum Bestimmen zu verwenden ist, ob ein Verhalten der Anwendung 14 normal ist oder nicht. Hier ist ein Beispiel der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen mit Bezugnahme auf 9 beschrieben. In dem in 9 dargestellten Beispiel enthalten die Bestimmungskriteriumsinformationen Normalverhaltensprotokollinformationen, die einen Verlauf normaler Verhalten der Anwendung 14 angeben, und Normalzustandsprotokollinformationen, die einen Verlauf normaler Zustände des Fahrzeugs angeben, und die Normalverhaltensprotokollinformationen und die Normalzustandsprotokollinformationen sind für jedes Ereignis definiert.
-
In einer so genannten ereignisgesteuerten Weise erfasst die Erfassungseinheit 10A für jedes Ereignis (z.B. jedes Mal, wenn eine Aufgabe erzeugt wird) eine Anomalie in einem Verhalten der Anwendung 14 durch ein Vergleichen der erlangten Verhaltensprotokollinformationen mit den Normalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen der erlangten Zustandsprotokollinformationen mit den Normalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
-
Genauer erfasst der Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 normal ist, wenn für alle der Ereignisse in den Bestimmungskriteriumsinformationen (Ereignis 1, Ereignis 2, ..., Ereignis n) die erlangten Verhaltensprotokollinformationen mit den in den Bestimmungskriteriumsinformationen enthaltenen Normalverhaltensprotokollinformationen übereinstimmen und die Zustandsprotokollinformationen mit den in den Bestimmungskriteriumsinformationen enthaltenen Normalzustandsprotokollinformationen übereinstimmen. Wenn dagegen die erlangten Verhaltensprotokollinformationen (oder Zustandsprotokollinformationen) für ein beliebiges der Ereignisse in den Bestimmungskriteriumsinformationen nicht mit den in den Bestimmungskriteriumsinformationen enthaltenen Normalverhaltensprotokollinformationen (oder Normalzustandsprotokollinformationen) übereinstimmen, erfasst die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist.
-
[2-2. Betrieb durch die Erfassungseinheit]
-
Als Nächstes ist ein Betrieb durch die Erfassungseinheit 10A unter Bezugnahme auf 10 und 11 beschrieben. 10 ist ein Flussdiagramm, das einen Ablauf des Betriebs durch die Erfassungseinheit 10A der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 angibt. 11 ist ein Diagramm, das ein Beispiel der Verhaltensprotokollinformationen und der Zustandsprotokollinformationen, die durch die Erfassungseinheit 10A der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 erlangt sind, sowie der Bestimmungskriteriumsinformationen darstellt, die in dem Speicher 8A der Informationsverarbeitungsvorrichtung 2A gespeichert sind.
-
Die folgende Beschreibung behandelt einen Fall, wo als eine Vorbedingung die Anwendung 14 eine Carsharing-Anwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt. Hier ist angenommen, dass Kundeninformationen über einen Benutzer (wobei die Kundeninformationen z.B. einen Benutzernamen und einen Nutzungsverlauf der Anwendung 14 usw. enthalten), die über die Anwendung 14 eingetragen wurden, zu einem externen Server nur zu einer Startzeit des Carsharings (wenn sich ein Fahrzeug in Ruhe befindet [0 km/h]) gesendet werden. Jedoch liest die illegal übernommene Anwendung 14 die Kundeninformationen und sendet die Kundeninformationen an einen externen Server über die Kommunikationseinheit 6 zu einer anderen Zeit als der Startzeit des Carsharings (z.B. wenn das Fahrzeug fährt). Dies birgt eine Gefahr, dass die Kundeninformationen über den Benutzer nach außen durchsickern.
-
Wie in 10 dargestellt, liest und erlangt die Erfassungseinheit 10A die Verhaltensprotokollinformationen und die Zustandsprotokollinformationen aus dem Protokollspeicher 18 (S201). Hier erlangt die Erfassungseinheit 10A beispielsweise Verhaltensprotokollinformationen und Zustandsprotokollinformationen, wie in (a) in 11 dargestellt. In dem in (a) in 11 dargestellten Beispiel enthalten die Verhaltensprotokollinformationen a) einen Zeitstempel, b) eine Prozess-ID, c) einen Einklinkzeigernamen, d) ein Einklinkzeigerattribut 1 und e) ein Einklinkzeigerattribut 2. Die Zustandsprotokollinformationen enthalten a) einen Zeitstempel, b) eine Fahrzeuggeschwindigkeit, c) eine Beschleunigung und d) einen Lenkwinkel.
-
Die Erfassungseinheit 10A führt einen Mustervergleich zwischen den Bestimmungskriteriumsinformationen, die eine Weißlisten-basierte Regelbasis sind und im Speicher 8A gespeichert sind, und den erlangten Verhaltensprotokollinformationen und erlangten Zustandsprotokollinformationen durch (S202). Hier speichert der Speicher 8A beispielsweise Bestimmungskriteriumsinformationen, die eine Weißlisten-basierte Regelbasis sind, wie in (b) in 11 dargestellt. In dem in (b) in 11 dargestellten Beispiel enthalten die Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen a) einen Zeitstempel, b) einen Einklinkzeigernamen, c) ein Einklinkzeigerattribut 1 und d) ein Einklinkzeigerattribut 2. Die Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen enthalten a) einen Zeitstempel und b) eine Fahrzeuggeschwindigkeit.
-
Wenn es ein Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) gibt, das nicht mit einem beliebigen Element der Normalverhaltensprotokollinformationen (oder der Normalzustandsprotokollinformationen) in den Bestimmungskriteriumsinformationen, die eine Weißlisten-basierte Regelbasis sind, übereinstimmt (JA in S203), bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist (S204). Wenn es kein Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) gibt, das nicht mit einem beliebigen Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) in den Bestimmungskriteriumsinformationen, die eine Weißlisten-basierte Regelbasis sind, übereinstimmt (JA in S203), bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 normal ist (S205).
-
Nachstehend ist die oben in Schritt S203 beschriebene Verarbeitung mit Bezugnahme auf 11 genau beschrieben. In dem in 11 dargestellten Beispiel führt die Erfassungseinheit 10A für jedes Ereignis den Mustervergleich zwischen Einklinkzeigernamen, Einklinkzeigerattributen 1 und Einklinkzeigerattributen 2, die in den Verhaltensprotokollinformationen enthalten sind, und Einklinkzeigernamen, Einklinkzeigerattributen 1 und Einklinkzeigerattributen 2 durch, die in den Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen enthalten sind, und führt den Mustervergleich zwischen Fahrzeuggeschwindigkeiten, die in den Zustandsprotokollinformationen enthalten sind, und Fahrzeuggeschwindigkeiten durch, die in den Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen enthalten sind.
-
Wie in 11 dargestellt, gibt es im Ereignis 1 kein Element der Verhaltensprotokollinformationen und/oder der Zustandsprotokollinformationen, das mit einem beliebigen Element der Bestimmungskriteriumsinformationen übereinstimmt, und somit bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 normal ist.
-
Im Ereignis 2 stimmen das Einklinkzeigerattribut 1 „fileB“ (Datei B) und das Einklinkzeigerattribut 2 „write“ (schreiben) in einem Element der Verhaltensprotokollinformationen nicht mit dem Einklinkzeigerattribut 1 „fileA“ (Datei A) bzw. dem Einklinkzeigerattribut 2 „read“ (lesen) in einem entsprechenden Element der Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen überein. Es ist angenommen, dass dies auf ein ungewöhnliches Schreiben in eine Datei zurückzuführen ist. Somit gibt es ein Element der Verhaltensprotokollinformationen, das nicht mit einem beliebigen Element der Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen übereinstimmt, und somit bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 im Ereignis 2 anomal ist.
-
Im Ereignis 3 stimmen das Einklinkzeigerattribut 1 „communication device“ (Kommunikationsvorrichtung) und das Einklinkzeigerattribut 2 „data transmission“ (Datensendung) in einem Element der Verhaltensprotokollinformationen mit dem Einklinkzeigerattribut 1 „communication device“ bzw. dem Einklinkzeigerattribut 2 „data transmission“ in einem entsprechenden Element der Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen überein, aber eine Fahrzeuggeschwindigkeit „57 (km/h)“ in einem entsprechenden Element der Zustandsprotokollinformationen stimmt nicht mit einer Fahrzeuggeschwindigkeit „0 (km/h)“ in einem entsprechenden Element der Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen überein. Es ist angenommen, dass dies zurückzuführen ist auf ein Senden der Kundeninformationen zu einem externen Server zu einer anderen Zeit (wenn das Fahrzeug fährt) als der Startzeit des Carsharings (wenn sich das Fahrzeug in Ruhe befindet). Somit gibt es ein Element der Zustandsprotokollinformationen, das mit einem beliebigen Element der Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen nicht übereinstimmt, und somit bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 im Ereignis 3 anomal ist.
-
Demgemäß kann die vorliegende Ausführungsform auch dieselbe vorteilhafte Wirkung wie in der oben beschriebenen Ausführungsform 1 vorsehen.
-
[2-3. Andere Beispiele des Angriffs auf ein Fahrzeug]
-
Andere Angriffsbeispiele 1 bis 3 des Angreifens eines Fahrzeugs sind nachstehend beschrieben.
-
[2-3-1. Angriffsbeispiel 1]
-
Als Angriffsbeispiel 1 ist ein Fall beschrieben, wo als eine Vorbedingung die Anwendung 14 eine Fahrautomatisierungsanwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt.
-
In diesem Fall erlangt die Anwendung 14 Aufnehmerinformationen von einem bei einem Fahrzeug vorgesehenen Aufnehmer, um einem Benutzer Informationen hinsichtlich eines Zustands des Fahrzeugs darzubieten. Anzumerken ist, dass der Aufnehmer beispielsweise ein Aufnehmer für LiDAR (Light Detection And Ranging), ein Millimeterwellenaufnehmer, ein Bildaufnehmer oder dergleichen zum Erfassen von Objekten ist, die sich um das Fahrzeug befinden.
-
In diesem Fall ergreift die illegal übernommene Anwendung 14 ein Privileg, Aufnehmerinformationen zu senden, das der Anwendung 14 ursprünglich nicht zugestanden ist, und die Anwendung 14 sendet unzulässige Aufnehmerinformationen über die Kommunikationseinheit 6 beispielsweise zu einem FAS des Fahrzeugs. Die unzulässigen Aufnehmerinformationen beziehen sich beispielsweise auf Aufnehmerinformationen, die ein Erfassen eines voraus vorhandenen Fahrzeugs trotz des Fehlens eines solchen voraus befindlichen Fahrzeugs angeben. Das FAS, das die unzulässigen Aufnehmerinformationen von der Anwendung 14 empfängt, kann einen falschen Vorgang des Fahrzeugs einleiten.
-
Auch in dem Angriffsbeispiel 1 erfasst die Erfassungseinheit 10A eine Anomalie in dem Verhalten der Anwendung 14 auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen. Genauer bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist, weil ein Element von Zustandsprotokollinformationen auf Grundlage der unzulässigen Aufnehmerinformationen (z.B. eines Elements von Zustandsprotokollinformationen, das angibt „Fahrzeug voraus vorhanden“) verschieden ist von einem Element von Zustandsprotokollinformationen auf Grundlage eines weiteren Elements von Aufnehmerinformationen (z.B. eines Elements von Zustandsprotokollinformationen, das angibt „kein Fahrzeug voraus vorhanden“).
-
[2-3-2. Angriffsbeispiel 2]
-
Als Angriffsbeispiel 2 ist ein Fall beschrieben, wo als eine Vorbedingung die Anwendung 14 eine Lieferkistenanwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt. Hier wird die Anwendung 14 nur benutzt, wenn sich das Fahrzeug in Ruhe befindet (0 km/h), und wird nicht benutzt, wenn das Fahrzeug fährt.
-
In diesem Fall führt die illegal übernommene Anwendung 14 einen Authentifizierungsvorgang zum Entriegeln eines Laderaums des Fahrzeugs aus und gibt zur Kommunikationseinheit 6 eine API für Anweisungen zum Entriegeln des Laderaums des Fahrzeugs aus. Dies birgt eine Gefahr, dass der Laderaum des Fahrzeugs entriegelt wird, um sich unerwartet zu öffnen, wenn das Fahrzeug fährt.
-
Auch in dem Angriffsbeispiel 2 erfasst die Erfassungseinheit 10A eine Anomalie in dem Verhalten der Anwendung 14 auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen. Genauer bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist, weil ein Einklinkzeigerattribut 1 „Ausführen eines Authentifizierungsvorgangs (der Lieferkistenanwendung)“ in einem Element der Zustandsprotokollinformationen mit dem Einklinkzeigerattribut 1 „Ausführen eines Authentifizierungsvorgangs (der Lieferkistenanwendung)“ in einem Element der Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen übereinstimmt, aber eine Fahrzeuggeschwindigkeit „57 (km/h)“ in dem Element der Zustandsprotokollinformationen nicht mit einer Fahrzeuggeschwindigkeit „0 (km/h)“ in dem Element der Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen übereinstimmt.
-
[2-3-3. Angriffsbeispiel 3]
-
Als Angriffsbeispiel 3 ist ein Fall beschrieben, wo als eine Vorbedingung die Anwendung 14 eine Werbeverbreitungsanwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt. Hier wird die Anwendung 14 hauptsächlich dann betrieben, eine Werbung für einen Benutzer anzuzeigen, wenn sich das Fahrzeug in Ruhe befindet (0 km/h), und selten betrieben, wenn das Fahrzeug fährt.
-
In diesem Fall lädt die illegal übernommene Anwendung 14 ein Mining-Tool herunter und installiert es und führt eine Berechnung mit hoher Computerbelastung aus. Dies birgt eine Gefahr, dass Ressourcen einer Zentraleinheit (CPU) erschöpft werden, was den Betrieb anderer Anwendungen 14 beeinträchtigt.
-
Auch in dem Angriffsbeispiel 3 erfasst die Erfassungseinheit 10A eine Anomalie in dem Verhalten der Anwendung 14 auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen. Genauer bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist, weil die Anzahl der Auftreten des Einklinkzeigers A in einem Element der Zustandsprotokollinformationen mit einer Fahrzeuggeschwindigkeit „57 (km/h)“ anomal ist.
-
[Ausführungsform 3]
-
[3-1. Aufbau der Informationsverarbeitungsvorrichtung]
-
Als Nächstes ist ein Aufbau der Informationsverarbeitungsvorrichtung 2B gemäß der Ausführungsform 3 unter Bezugnahme auf 12 beschrieben. 12 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2B gemäß der Ausführungsform 3 darstellt.
-
Wie in 12 dargestellt, enthält die Anomalieerfassungseinheit 7B der Informationsverarbeitungsvorrichtung 2B gemäß der Ausführungsform 3 zusätzlich zu den bei der Ausführungsform 1 beschriebenen Bestandteilen einen Protokollspeicher 18 und eine Schätzeinheit 22. Der Protokollspeicher 18 ist bei der Ausführungsform 2 genau beschrieben, und die Beschreibung des Protokollspeichers 18 ist nicht wiederholt.
-
Die Schätzeinheit 22 schätzt einen Zustand eines Fahrzeugs auf Grundlage von im Protokollspeicher 18 gespeicherten Zustandsprotokollinformationen. Beispiele des Zustands des Fahrzeugs umfassen eine Fahrzeuggeschwindigkeit, eine Beschleunigung und einen Lenkwinkel des Fahrzeugs. Die Schätzeinheit 22 gibt ein Ergebnis der Schätzung zur Erfassungseinheit 10B aus.
-
Der Speicher 8B speichert vorab Bestimmungskriteriumsinformationen, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten der Anwendung 14 normal ist oder nicht, und die Bestimmungskriteriumsinformationen sind eine Schwarzlisten-basierte Regelbasis. Das heißt, die Bestimmungskriteriumsinformationen enthalten ein Bestimmungsmodell, das ein regelbasiertes Modell ist, das zum Bestimmen zu verwenden ist, ob ein Verhalten der Anwendung 14 normal ist oder nicht. Die Bestimmungskriteriumsinformationen enthalten Anomalverhaltensprotokollinformationen, die einen Verlauf anomaler Verhalten der Anwendung 14 angeben, und Anomalzustandsprotokollinformationen, die einen Verlauf anomaler Zustände des Fahrzeugs angeben, und die Anomalverhaltensprotokollinformationen und die Anomalzustandsprotokollinformationen sind für jedes Ereignis definiert.
-
In einer so genannten ereignisgesteuerten Weise erfasst die Erfassungseinheit 10B für jedes Ereignis eine Anomalie in einem Verhalten der Anwendung 14 durch ein Vergleichen der erlangten Verhaltensprotokollinformationen mit den Anomalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen der erlangten Zustandsprotokollinformationen mit den Anomalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind. Weiter erfasst die Erfassungseinheit 10B die Anomalie in dem Verhalten der Anwendung 14 mit weiterer Berücksichtigung eines Ergebnisses der durch die Schätzeinheit durchgeführten Schätzung.
-
[3-2. Betrieb durch die Erfassungseinheit]
-
Als Nächstes ist ein Betrieb durch die Erfassungseinheit 10B unter Bezugnahme auf 13 beschrieben. 13 ist ein Flussdiagramm, das einen Ablauf des Betriebs durch die Erfassungseinheit 10B der Informationsverarbeitungsvorrichtung 2B gemäß der Ausführungsform 3 angibt.
-
Wie in 13 dargestellt, liest und erlangt die Erfassungseinheit 10B die Verhaltensprotokollinformationen und die Zustandsprotokollinformationen aus dem Protokollspeicher 18 (S301). Die Erfassungseinheit 10B führt einen Mustervergleich zwischen den Bestimmungskriteriumsinformationen, die eine Schwarzlisten-basierte Regelbasis sind und im Speicher 8B gespeichert sind, und den erlangten Verhaltensprotokollinformationen und erlangten Zustandsprotokollinformationen durch (S302).
-
Wenn es ein Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) gibt, das mit einem beliebigen Element der Anomalverhaltensprotokollinformationen (oder der Anomalzustandsprotokollinformationen) in den Bestimmungskriteriumsinformationen, die eine Schwarzlisten-basierte Regelbasis sind, übereinstimmt (JA in S303), bestimmt die Erfassungseinheit 10B, dass das Verhalten der Anwendung 14 anomal ist (S304). Wenn es kein Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) gibt, das mit einem beliebigen Element der Anomalverhaltensprotokollinformationen (oder der Anomalzustandsprotokollinformationen) in den Bestimmungskriteriumsinformationen, die eine Schwarzlisten-basierte Regelbasis sind, übereinstimmt (NEIN in S303), bestimmt die Erfassungseinheit 10B, dass das Verhalten der Anwendung 14 normal ist (S305).
-
Demgemäß kann die vorliegende Ausführungsform auch dieselbe vorteilhafte Wirkung wie in der oben beschriebenen Ausführungsform 1 vorsehen.
-
[Ausführungsform 4]
-
Als Nächstes ist ein Aufbau der Informationsverarbeitungsvorrichtung 2C gemäß der Ausführungsform 4 unter Bezugnahme auf 14 beschrieben. 14 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2C gemäß der Ausführungsform 4 darstellt.
-
Wie in 14 dargestellt, enthält die Anomalieerfassungseinheit 7C der Informationsverarbeitungsvorrichtung 2C gemäß der Ausführungsform 4 zusätzlich zu den bei der Ausführungsform 1 beschriebenen Bestandteilen einen Protokollspeicher 18 und eine Schätzeinheit 22C. Der Protokollspeicher 18 ist bei der Ausführungsform 2 genau beschrieben, und die Beschreibung des Protokollspeichers 18 ist nicht wiederholt.
-
Die Schätzeinheit 22C schätzt einen Zustand eines Fahrzeugs auf Grundlage von durch die Kommunikationseinheit 6 empfangenen Zustandsprotokollinformationen. Die Schätzeinheit 22C veranlasst den Protokollspeicher 18, ein Ergebnis der Schätzung als ein Element der Zustandsprotokollinformationen zu speichern. Es ist anzumerken, dass die Schätzeinheit 22C ein Filtern an einer Vielzahl von Elementen der durch die Kommunikationseinheit 6 empfangenen Zustandsprotokollinformationen durchführen kann, um nur Elemente der Zustandsprotokollinformationen auszuwählen, die zum Erfassen einer Anomalie in der Anwendung 14 nützlich sind. In diesem Fall schätzt die Schätzeinheit 22C den Zustand des Fahrzeugs auf Grundlage der ausgewählten Elemente der Zustandsprotokollinformationen.
-
Demgemäß kann die vorliegende Ausführungsform auch dieselbe vorteilhafte Wirkung wie in der oben beschriebenen Ausführungsform 1 vorsehen.
-
[Ausführungsform 5]
-
Als Nächstes ist ein Aufbau der Informationsverarbeitungsvorrichtung 2D gemäß der Ausführungsform 5 unter Bezugnahme auf 15 beschrieben. 15 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2D gemäß der Ausführungsform 5 darstellt.
-
Wie in 15 dargestellt, enthält die Anomalieerfassungseinheit 7D der Informationsverarbeitungsvorrichtung 2D gemäß der Ausführungsform 5 zusätzlich zu den bei der Ausführungsform 1 beschriebenen Bestandteilen eine Schätzeinheit 22D. Die Schätzeinheit 22D schätzt einen Zustand eines Fahrzeugs auf Grundlage von durch die Kommunikationseinheit 6 empfangenen Zustandsprotokollinformationen. Die Schätzeinheit 22D gibt ein Ergebnis der Schätzung zur Erfassungseinheit 10D als ein Element der Zustandsinformationen aus. Es ist anzumerken, dass die Schätzeinheit 22D ein Filtern an einer Vielzahl von Elementen der durch die Kommunikationseinheit 6 empfangenen Zustandsinformationen durchführen kann, um nur Elemente der Zustandsinformationen auszuwählen, die zum Erfassen einer Anomalie in der Anwendung 14 nützlich sind. In diesem Fall schätzt die Schätzeinheit 22D den Zustand des Fahrzeugs auf Grundlage der ausgewählten Elemente der Zustandsinformationen.
-
Die Erfassungseinheit 10D erlangt Verhaltensinformationen von der Verhaltensaufzeichnungseinheit 4 und die Zustandsinformationen (das Ergebnis der Schätzung) von der Schätzeinheit 22D. Auf Grundlage der erlangten Verhaltensinformationen und der erlangten Zustandsinformationen sowie der im Speicher 8 gespeicherten Bestimmungskriteriumsinformationen erfasst die Erfassungseinheit 10D eine Anomalie in einem Verhalten der Anwendung 14.
-
Es ist anzumerken, dass die Zustandsinformationen und die Verhaltensinformationen jeweils nicht unbedingt Protokollinformationen sind; beispielsweise kann eine Anomalie auf Grundlage eines Verlaufs der Verhaltensinformationen und eines Elements der Zustandsinformationen zu einem Zeitpunkt erfasst werden, oder es kann eine Anomalie auf Grundlage eines Elements der Verhaltensinformationen zu einem Zeitpunkt und eines Verlaufs der Zustandsinformationen erfasst werden.
-
Demgemäß kann die vorliegende Ausführungsform auch dieselbe vorteilhafte Wirkung wie in der oben beschriebenen Ausführungsform 1 vorsehen.
-
(Abwandlungen usw.)
-
Obwohl die Informationsverarbeitungsvorrichtung und das Steuerverfahren gemäß einem oder mehreren Aspekten der vorliegende Offenbarung auf Grundlage von Ausführungsformen beschrieben sind, sind sie nicht auf diese Ausführungsformen beschränkt. Fachleute werden leicht verstehen, dass Ausführungsformen, die erzielt sind durch ein Vornehmen verschiedener Abwandlungen an den obigen Ausführungsformen, oder Ausführungsformen, die erzielt sind durch ein selektives Kombinieren von Elementen, die in den obigen Ausführungsformen offenbart sind, ohne wesentlich vom Geltungsbereich der vorliegenden vorliegende Offenbarung abzuweichen, in einem oder mehreren Aspekten der vorliegenden Offenbarung enthalten sein können.
-
Die Beschreibungen der oben beschriebenen Ausführungsformen beziehen sich auf die Anwendung der Informationsverarbeitungsvorrichtung gemäß der vorliegenden Offenbarung bei Sicherheitsmaßnahmen in einem Fahrzeug-Bordnetzwerk, das in einem Fahrzeug, wie etwa einem Automobil, vorgesehen ist, als ein Anwendungsbeispiel der Informationsverarbeitungsvorrichtung; jedoch ist ein Anwendungsbereich der Informationsverarbeitungsvorrichtung gemäß der vorliegenden Offenbarung nicht darauf beschränkt. Die Informationsverarbeitungsvorrichtung gemäß der vorliegenden Offenbarung kann nicht nur auf ein Fahrzeug, wie etwa ein Automobil, angewendet werden, sondern auch auf ein beliebiges Mobil, wie etwa eine Baumaschine, eine Landmaschine, ein Schiff, ein Bahnfahrzeug und ein Flugzeug.
-
Obwohl die Kommunikationseinheit 6 in den oben beschriebenen Ausführungsformen an einen CAN-Bus 16 angeschlossen ist, kann die Kommunikationseinheit 6 beispielsweise an ein beliebiges Fahrzeug-Bordnetzwerk angeschlossen sein, wie etwa Ethernet (R) und FlexRay (R), oder kann an eine andere virtuelle Maschine als die Softwareplattform 12 angeschlossen sein.
-
Jedes der Elemente in jeder der oben beschriebenen Ausführungsformen kann in Form eines exklusiven Hardwareprodukts aufgebaut sein, oder kann durch ein Ausführen eines Softwareprogramms, das für das Element geeignet ist, umgesetzt sein. Jedes der Elemente kann mittels einer Programmausführungseinheit, wie etwa einer Zentraleinheit (CPU) oder eines Prozessors, ausgeführt sein, die das Softwareprogramm ausliest und ausführt, das auf einem Aufzeichnungsmedium, wie etwa einer Festplatte oder einem Halbleiterspeicher, gespeichert ist.
-
Es ist auch anzumerken, dass ein Teil oder alle der Funktionen in der Informationsverarbeitungsvorrichtung gemäß jeder der oben beschriebenen Ausführungsformen durch ein Ausführen eines Programms durch einen Prozessor, wie etwa eine CPU, umgesetzt sein kann.
-
Es ist auch anzumerken, dass ein Teil oder alle der in jeder der oben beschriebenen Vorrichtungen enthaltenen Bestandteile in einer IC-Karte (Karte mit integrierten Schaltungen) oder einem einzigen Modul umgesetzt sein kann, die/das an der Vorrichtung angebracht oder davon abgenommen werden kann. Die IC-Karte oder das Modul ist ein Computersystem, das einen Mikroprozessor, ein ROM, ein RAM und dergleichen enthält. Die IC-Karte oder das Modul kann den oben beschriebenen supermultifunktionalen LSI-Chip enthalten. Der Mikroprozessor arbeitet gemäß dem Computerprogramm, um die IC-Karte oder das Modul zu veranlassen, die jeweiligen Funktionen auszuführen. Die IC-Karte oder das Modul kann eine Manipulationsfestigkeit aufweisen.
-
Die vorliegende Offenbarung kann die oben beschriebenen Verfahren sein. Diese Verfahren können ein durch einen Computer ausgeführtes Computerprogramm oder digitale Signale sein, die das Computerprogramm bilden. Die vorliegende Offenbarung kann ein computerlesbares Aufzeichnungsmedium sein, auf dem das Computerprogramm oder die digitalen Signale aufgezeichnet sind. Beispiele des computerlesbaren Aufzeichnungsmediums sind eine flexible Platte, eine Festplatte, ein Compact-Disk-Nur-Lesespeicher (CD-ROM), eine magnetooptische Platte (MO), eine Digital Versatile Disc (DVD), eine DVD-ROM, eine DVD-RAM, eine BD (Blu-ray(eingetragen) Disc) und ein Halbleiterspeicher. Die vorliegende Offenbarung kann auch die auf dem Datenträger gespeicherten digitalen Signale sein. Die vorliegende Offenbarung kann ausgeführt sein durch ein Übertragen des Computerprogramms oder der digitalen Signale über eine elektrische Kommunikationsleitung, eine drahtlose oder drahtgebundene Kommunikationsleitung, ein Netzwerk, verkörpert durch das Internet, Datenrundfunk und dergleichen. Die vorliegende Offenbarung kann ein Computersystem sein, enthaltend einen Mikroprozessor und einen Speicher. Der Speicher speichert das Computerprogramm, und der Mikroprozessor arbeitet gemäß dem Computerprogramm. Es ist auch möglich, dass das Programm oder die digitalen Signale auf das Aufzeichnungsmedium aufgezeichnet sein können, um übertragen zu werden, oder über ein Netzwerk oder dergleichen gesendet werden können, sodass das Programm oder die digitalen Signale durch ein anderes, unabhängiges Computersystem ausgeführt werden können.
-
[Gewerbliche Anwendbarkeit]
-
Die vorliegende Offenbarung ist anwendbar beispielsweise auf eine Informationsverarbeitungsvorrichtung und dergleichen zum Erfassen einer Anomalie in einer Anwendung, die auf einer Fahrzeug-Bordvorrichtung eines Fahrzeugs arbeitet.
-
Bezugszeichenliste
-
- 2, 2A, 2B, 2C, 2D
- Informationsverarbeitungsvorrichtung
- 4
- Verhaltensaufzeichnungseinheit
- 6
- Kommunikationseinheit
- 7, 7A, 7B, 7C, 7D
- Anomalieerfassungseinheit
- 8, 8A, 8B
- Speicher
- 10, 10A, 10B, 10D
- Erfassungseinheit
- 12
- Softwareplattform
- 14
- Anwendung
- 16
- CAN-Bus
- 18
- Protokollspeicher
- 20
- Meldeeinheit
- 22, 22C, 22D
- Schätzeinheit