DE112020005954T5 - Informationsverarbeitungsvorrichtung, Steuerverfahren und Programm - Google Patents

Informationsverarbeitungsvorrichtung, Steuerverfahren und Programm Download PDF

Info

Publication number
DE112020005954T5
DE112020005954T5 DE112020005954.5T DE112020005954T DE112020005954T5 DE 112020005954 T5 DE112020005954 T5 DE 112020005954T5 DE 112020005954 T DE112020005954 T DE 112020005954T DE 112020005954 T5 DE112020005954 T5 DE 112020005954T5
Authority
DE
Germany
Prior art keywords
behavior
information
application
determination criterion
log information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112020005954.5T
Other languages
English (en)
Inventor
Takayoshi Ito
Kento Tamura
Yoshiharu Imamoto
Junichi Tsurumi
Hiroyuki Wada
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of DE112020005954T5 publication Critical patent/DE112020005954T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Eine Informationsverarbeitungsvorrichtung (2) enthält: einen Speicher (8), der Bestimmungskriteriumsinformationen speichert, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten einer Anwendung (14) normal ist oder nicht, die auf einer Vorrichtung arbeitet, die bei einem Fahrzeug vorgesehen ist; und eine Erfassungseinheit (10), die Verhaltensinformationen erlangt, die das Verhalten der Anwendung (14) angeben, und die eine Anomalie in dem Verhalten der Anwendung (14) auf Grundlage der erlangten Verhaltensinformationen und der im Speicher (8) gespeicherten Bestimmungskriteriumsinformationen erfasst.

Description

  • [Technisches Gebiet]
  • Die vorliegende Offenbarung betrifft eine Informationsverarbeitungsvorrichtung, ein Steuerverfahren und ein Programm.
  • [Technischer Hintergrund]
  • Die Patentschrift 1 offenbart eine Anomalieerfassungsvorrichtung, die eine Anomalie erfasst, die durch einen Computervirus verursacht ist, wie etwa einen Bot. Die Anomalieerfassungsvorrichtung gemäß der Patentschrift 1 überwacht Dateizugriffe und dergleichen durch Verarbeitungen mit dem Linux (R) Security Module (LSM); wenn beispielsweise ein Prozess auf eine andere Datei zugreift als Dateien, auf die der Prozess zugreifen soll, bestimmt die Anomalieerfassungsvorrichtung, dass eine Anomalie durch einen Computervirus verursacht wurde.
  • [Liste der Anführungen]
  • [Patentliteratur]
  • [Patentschrift 1]
    Japanische ungeprüfte Patentoffenlegung Nr. 2010-182019
  • [Zusammenfassung der Erfindung]
  • [Technische Aufgabe]
  • Die Entwicklung von Fahrautomatisierungssystemen, die Fahrvorgänge eines Fahrzeugs automatisieren, wie etwa Beschleunigen/Verzögern, Lenken und Bremsen, ist in vollem Gange. Solche Fahrautomatisierungssysteme bergen eine Gefahr, dass ein Fahrzeug beispielsweise durch eine unzulässige Meldung im Controller Area Network (CAN) angegriffen wird, die durch eine böswillige dritte Person zu einer elektronischen Steuereinheit (ECU) gesendet wird, die in dem Fahrzeug vorgesehen ist. Ein solcher Angriff auf ein Fahrzeug wird für die Anomalieerfassungsvorrichtung gemäß der oben beschriebenen Patentschrift 1 nicht berücksichtigt und wirft somit ein Problem ungenügender Sicherheitsmaßnahmen für Fahrzeuge auf.
  • Die vorliegende Offenbarung sieht daher eine Informationsverarbeitungsvorrichtung, ein Steuerverfahren und ein Programm vor, die in der Lage sind, Sicherheitsmaßnahmen für ein Mobil zu verbessern.
  • [Lösung der Aufgabe]
  • Gemäß einem Aspekt der vorliegenden Offenbarung enthält eine Informationsverarbeitungsvorrichtung, die mit einem bei einem Mobil vorgesehenen Mobilnetzwerk verbunden ist: einen Speicher, der Bestimmungskriteriumsinformationen speichert, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten einer Anwendung normal ist oder nicht, die auf einer Vorrichtung arbeitet, die bei dem Mobil vorgesehen ist; und eine Erfassungseinheit, die Verhaltensinformationen erlangt, die das Verhalten der Anwendung angeben, und die eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen erfasst.
  • Allgemeine oder spezifische Aspekte der vorliegenden Offenbarung können bei einem System, einem Verfahren, einer integrierten Schaltung, einem Computerprogramm, einem computerlesbaren Datenträger, wie etwa einem Compact-Disc-Nur-Lesespeicher (CD-ROM), oder bei einer beliebigen Kombination davon umgesetzt sein.
  • [Vorteilhafte Wirkungen der Erfindung]
  • Mit der Informationsverarbeitungsvorrichtung und dergleichen gemäß einem Aspekt der vorliegenden Offenbarung ist es möglich, Sicherheitsmaßnahmen für ein Mobil zu erhöhen.
  • Figurenliste
    • [1] 1 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 1 darstellt.
    • [2] 2 ist ein Diagramm, das ein Beispiel von Verhaltensprotokollinformationen gemäß der Ausführungsform 1 darstellt.
    • [3] 3 ist ein Diagramm, das ein Beispiel von Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellt.
    • [4A] 4A ist ein Diagramm, das ein weiteres Beispiel der Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellt.
    • [4B] 4B ist ein Diagramm, das noch ein weiteres Beispiel der Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellt.
    • [5] 5 ist ein Flussdiagramm, das einen Ablauf eines Betriebs durch eine Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 1 angibt.
    • [6] 6 ist ein Diagramm, das ein Beispiel der Verhaltensprotokollinformationen und der Zustandsprotokollinformationen darstellt, die durch die Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 1 erlangt sind.
    • [7] 7 ist ein schematisches Diagramm zum Beschreiben einer Verarbeitung in Schritt S104 des Flussdiagramms in 5.
    • [8] 8 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 2 darstellt.
    • [9] 9 ist ein Diagramm, das ein Beispiel von Bestimmungskriteriumsinformationen gemäß der Ausführungsform 2 darstellt.
    • [10] 10 ist ein Flussdiagramm, das einen Ablauf eines Betriebs durch eine Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 2 angibt.
    • [11] 11 ist ein Diagramm, das ein Beispiel von Verhaltensprotokollinformationen und Zustandsprotokollinformationen, die durch eine Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 2 erlangt sind, sowie Bestimmungskriteriumsinformationen darstellt, die in einem Speicher der Informationsverarbeitungsvorrichtung gespeichert sind.
    • [12] 12 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 3 darstellt.
    • [13] 13 ist ein Flussdiagramm, das einen Ablauf eines Betriebs durch eine Erfassungseinheit der Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 3 angibt.
    • [14] 14 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 4 darstellt.
    • [15] 15 ist ein Blockdiagramm, das einen Aufbau einer Informationsverarbeitungsvorrichtung gemäß der Ausführungsform 5 darstellt.
  • [Beschreibung von Ausführungsformen]
  • Gemäß einem Aspekt der vorliegenden Offenbarung enthält eine Informationsverarbeitungsvorrichtung, die mit einem bei einem Mobil vorgesehenen Mobilnetzwerk verbunden ist: einen Speicher, der Bestimmungskriteriumsinformationen speichert, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten einer Anwendung normal ist oder nicht, die auf einer Vorrichtung arbeitet, die bei dem Mobil vorgesehen ist; und eine Erfassungseinheit, die Verhaltensinformationen erlangt, die das Verhalten der Anwendung angeben, und die eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen erfasst.
  • Gemäß dem Aspekt erlangt die Erfassungseinheit die Verhaltensinformationen, die ein Verhalten der Anwendung angeben, und erfasst eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen. Dies ermöglicht es, zuverlässig eine Anomalie in einem Verhalten einer solchen Anwendung zu erfassen, die durch einen Angriff auf ein Mobil verursacht ist, sodass Sicherheitsmaßnahmen für das Mobil erhöht werden können.
  • Zum Beispiel ist es möglich, dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung auf Grundlage der Verhaltensinformationen, der im Speicher gespeicherten Bestimmungskriteriumsinformationen und der Zustandsinformationen erfasst, die einen Zustand des Mobils angeben und über das Mobilnetzwerk erlangt werden.
  • Gemäß dem Aspekt erfasst die Erfassungseinheit eine Anomalie in einem Verhalten der Anwendung unter Berücksichtigung der Verhaltensinformationen sowie der Zustandsinformationen. Dies ermöglicht es, zuverlässiger eine Anomalie in einem Verhalten einer solchen Anwendung zu erfassen, die durch einen Angriff auf ein Mobil verursacht ist, sodass Sicherheitsmaßnahmen für das Mobil weiter erhöht werden können.
  • Zum Beispiel ist es möglich, dass die Bestimmungskriteriumsinformationen eins aus einem regelbasierten Modell und einem Maschinenlernmodell als ein Bestimmungsmodell für das Erfassen der Anomalie in dem Verhalten der Anwendung enthält, wobei das eine aus dem regelbasierten Modell und dem Maschinenlernmodell Modelle hinsichtlich mindestens eines aus dem Verhalten der Anwendung oder dem Zustand des Mobils sind und die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung durch ein Anwenden des Bestimmungsmodells auf die Verhaltensinformationen und die Zustandsinformationen erfasst.
  • Gemäß dem Aspekt ist es möglich, eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision durch ein Anwenden des Bestimmungsmodells, das ein regelbasiertes Modell oder ein Maschinenlernmodell ist, auf die Verhaltensinformationen und die Zustandsinformationen zu erfassen.
  • Zum Beispiel ist es möglich, dass die Bestimmungskriteriumsinformationen Normalverhaltensprotokollinformationen, die einen Verlauf normaler Verhalten der Anwendung angeben, und Normalzustandsprotokollinformationen enthalten, die einen Verlauf normaler Zustände des Mobils angeben, und dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Normalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Normalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
  • Gemäß dem Aspekt ermöglichen es die Bestimmungskriteriumsinformationen, dass ein normales Verhalten der Anwendung für jeden Zustand des Mobils definiert wird. Als Ergebnis kann die Erfassungseinheit eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision erfassen durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Normalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Normalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
  • Zum Beispiel ist es möglich, dass die Bestimmungskriteriumsinformationen Anomalverhaltensprotokollinformationen, die einen Verlauf anomaler Verhalten der Anwendung angeben, und Anomalzustandsprotokollinformationen enthalten, die einen Verlauf anomaler Zustände des Mobils angeben, und dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Anomalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Anomalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
  • Gemäß dem Aspekt ermöglichen es die Bestimmungskriteriumsinformationen, dass ein anomales Verhalten der Anwendung für jeden Zustand des Mobils definiert wird. Als Ergebnis kann die Erfassungseinheit eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision erfassen durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Anomalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Anomalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
  • Zum Beispiel ist es möglich, dass die Bestimmungskriteriumsinformationen ein Bestimmungsmodell enthalten, das vorab durch ein Maschinenlernen erzeugt ist, um beim Bestimmen einer Wahrscheinlichkeit benutzt zu werden, dass das Verhalten der Anwendung normal ist, wobei die Erfassungseinheit: unter Verwendung des Bestimmungsmodells berechnet: (i) einen ersten Merkmalsbetrag aus einem Verlauf der erlangten Verhaltensinformationen und (ii) einen zweiten Merkmalsbetrag aus einem Verlauf der erlangten Zustandsinformationen; einen Bewertungswert, der die Wahrscheinlichkeit angibt, aus dem ersten berechneten Merkmalsbetrag und dem zweiten berechneten Merkmalsbetrag berechnet; und die durch den Bewertungswert angegebene Wahrscheinlichkeit mit einem Schwellenwert vergleicht, um die Anomalie in dem Verhalten der Anwendung zu erfassen.
  • Gemäß dem Aspekt kann die Erfassungseinheit unter Verwendung des Bestimmungsmodells, das maschinengelernt und in den Bestimmungskriteriumsinformationen enthalten ist, eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision erfassen.
  • Zum Beispiel ist es möglich, dass die Informationsverarbeitungsvorrichtung weiter enthält: eine Schätzeinheit, die den Zustand des Mobils auf Grundlage der Zustandsinformationen schätzt, wobei die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung mit weiterer Berücksichtigung eines Ergebnisses der durch die Schätzeinheit durchgeführten Schätzung erfasst.
  • Gemäß dem Aspekt kann die Erfassungseinheit eine Anomalie in einem Verhalten der Anwendung mit hoher Präzision mit weiterer Berücksichtigung eines Ergebnisses der durch die Schätzeinheit durchgeführten Schätzung erfassen.
  • Zum Beispiel ist es möglich, dass die Informationsverarbeitungsvorrichtung weiter enthält: eine Meldeeinheit, die nach außerhalb der Informationsverarbeitungsvorrichtung meldet, dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst, wenn die Erfassungseinheit die Anomalie erfasst.
  • Gemäß dem Aspekt ist es möglich, da die Meldeeinheit nach außen eine Anomalie in dem Verhalten der Anwendung meldet, schnell ein Vorgehen durchzuführen, wie etwa die Anwendung zwangsweise anzuhalten.
  • Gemäß einem weiteren Aspekt der vorliegenden Offenbarung enthält ein Steuerverfahren, das durch eine Informationsverarbeitungsvorrichtung durchgeführt wird, die mit einem bei einem Mobil vorgesehenen Mobilnetzwerk verbunden ist: ein Erlangen von Verhaltensinformationen, die ein Verhalten einer Anwendung angeben, die auf einer Vorrichtung arbeitet, die bei dem Mobil vorgesehen ist; und ein Erfassen einer Anomalie in dem Verhalten der Anwendung auf Grundlage der beim Erlangen erlangten Verhaltensinformationen und der vorab in einem Speicher gespeicherten Bestimmungskriteriumsinformationen, wobei die Bestimmungskriteriumsinformationen ein Bestimmungskriterium zum Bestimmen angeben, ob das Verhalten der Anwendung normal ist oder nicht.
  • Gemäß dem Aspekt werden die Verhaltensinformationen erlangt, die einen Verlauf von Verhalten der Anwendung angeben, und wird eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen erfasst. Dies ermöglicht es, zuverlässig eine Anomalie in einem Verhalten einer solchen Anwendung zu erfassen, die durch einen Angriff auf ein Mobil verursacht ist, sodass Sicherheitsmaßnahmen für das Mobil erhöht werden können.
  • Gemäß noch einem weiteren Aspekt der vorliegenden Offenbarung veranlasst ein Programm einen Computer, das oben beschriebene Steuerverfahren auszuführen.
  • Allgemeine oder spezifische Aspekte der vorliegenden Offenbarung können bei einem System, einem Verfahren, einer integrierten Schaltung, einem Computerprogramm, einem computerlesbaren Datenträger, wie etwa einem Compact-Disc-Nur-Lesespeicher (CD-ROM), oder bei einer beliebigen Kombination davon umgesetzt sein.
  • Nachfolgend sind bestimmte beispielhafte Ausführungsformen unter Bezugnahme auf die begleitende Zeichnung genau beschrieben.
  • Die folgenden Ausführungsformen sind allgemeine oder spezifische Beispiele der vorliegenden Offenbarung. Die Zahlenwerte, Formen, Materialien, Bestandteile, Anordnungspositionen und die Verbindungsanordnung der Bestandteile, Schritte, die Reihenfolge der Schritte, usw., die in den folgenden Ausführungsformen beschrieben sind, sind nur Beispiele und sollen daher die vorliegende Offenbarung nicht einschränken. Unter den in den folgenden Ausführungsformen beschriebenen Bestandteilen sind diejenigen, die nicht in einem beliebigen der unabhängigen Ansprüche beschrieben sind, die das breiteste Konzept der vorliegenden Offenbarung angeben, als frei wählbare Bestandteile beschrieben.
  • [Ausführungsform 1]
  • [1. Aufbau der Informationsverarbeitungsvorrichtung]
  • Zuerst ist ein Aufbau der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform 1 unter Bezugnahme auf 1 bis 4B beschrieben. 1 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform 1 darstellt. 2 ist ein Diagramm, das ein Beispiel von Verhaltensprotokollinformationen gemäß der Ausführungsform 1 darstellt. 3 ist ein Diagramm, das ein Beispiel von Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellt. 4A und 4B sind Diagramme, die jeweils ein weiteres Beispiel der Zustandsprotokollinformationen gemäß der Ausführungsform 1 darstellen.
  • Die Informationsverarbeitungsvorrichtung 2 der vorliegenden Ausführungsform ist beispielsweise bei einem Fahrzeug vorgesehen, wie etwa einem Automobil (einem Beispiel eines Mobils). Das Fahrzeug ist mit einem Fahrautomatisierungssystem zum Durchführen einer Steuerung bei automatisierten Fahrvorgängen des Fahrzeugs versehen, wie etwa Beschleunigen/Verzögern, Lenken und Bremsen.
  • Wie in 1 dargestellt, enthält die Informationsverarbeitungsvorrichtung 2 eine Verhaltensaufzeichnungseinheit 4, eine Kommunikationseinheit 6 und eine Anomalieerfassungseinheit 7.
  • Die Verhaltensaufzeichnungseinheit 4 zeichnet Verhaltensprotokollinformationen auf, die einen Verlauf von Verhalten jeder aus einer Vielzahl von Anwendungen 14 angeben, die auf der Softwareplattform 12 arbeiten. Es ist anzumerken, dass die Verhaltensprotokollinformationen ein Beispiel eines Verlaufs von Verhaltensinformationen sind, die Verhalten einer Anwendung angeben. Die Verhaltensaufzeichnungseinheit 4 sammelt Elemente von Verhaltensprotokollinformationen und zeichnet sie auf, indem sie sich beispielsweise in Systemaufrufvorgänge einklinkt, die ein Prozess an ein Betriebssystem (OS) ausgibt. Die Verhaltensaufzeichnungseinheit 4 gibt die aufgezeichneten Verhaltensprotokollinformationen an eine Erfassungseinheit 10 aus.
  • Es ist anzumerken, dass Anwendungen 14 jeweils ein Anwendungsprogramm sind, das beispielsweise auf einer Fahrzeug-Bordvorrichtung eines Fahrzeugs (einem Beispiel einer Vorrichtung) arbeitet. Genauer sind Anwendungen 14 Fahrautomatisierungsanwendungen und dergleichen zum Umsetzen a) einer Videoverteilungsanwendung zum Verteilen von Videos, b) einer Werbeverbreitungsanwendung, die im Hintergrund arbeitet und zum Darbieten einer Werbung für einen Benutzer dient, c) einer Lieferkistenanwendung zum Verwenden eines Laderaums eines Fahrzeugs als eine Lieferkiste, d) einer Carsharing-Anwendung zum Verwenden eines Carsharing-Dienstes, e) einer Mitfahranwendung zum Verwenden eines Mitfahrdienstes, und f) eines Fahrerassistenzsystems (FAS).
  • Die Softwareplattform 12 ist eine virtuelle Maschine, die beispielsweise auf einem Hypervisor arbeitet und als eine Mobildienstplattform fungiert. Virtuelle Maschinen, die auf einem Hypervisor arbeiten, umfassen außer der oben beschriebenen virtuellen Maschine für eine Mobildienstplattform beispielsweise eine virtuelle Maschine für ein FAS.
  • Hier ist ein Beispiel der durch die Verhaltensaufzeichnungseinheit 4 aufgezeichneten Verhaltensprotokollinformationen mit Bezugnahme auf 2 beschrieben. In dem in 2 dargestellten Beispiel enthalten die Verhaltensprotokollinformationen a) einen Zeitstempel, b) einen Prozessnamen, c) eine Prozess-ID (Identifikation), d) einen Einklinkzeigernamen, e) ein Einklinkzeigerattribut 1 und f) ein Einklinkzeigerattribut 2. Der Zeitstempel ist eine Information, die einen Zeitpunkt angibt, zu dem ein Element der Verhaltensprotokollinformationen aufgezeichnet ist. Der Prozessname und die Prozess-ID sind Informationen, die einen Prozess bezeichnen, der einen Systemaufrufprozess zum OS ausgibt. Der Einklinkzeigername und die Einklinkzeigerattribute sind Informationen, die einen Systemaufrufprozess bezeichnen, den ein Prozess zum OS ausgibt.
  • Erneut mit Bezugnahme auf 1 ist die Kommunikationseinheit 6 mit dem CAN-Bus 16 (einem Beispiel eines Mobil-Netzwerks) verbunden und empfängt vom CAN-Bus 16 Zustandsprotokollinformationen, die einen Verlauf von Zuständen des Fahrzeugs angeben. Es ist anzumerken, dass die Zustandsprotokollinformationen ein Beispiel eines Verlaufs von Zustandsinformationen sind, die einen Zustand des Fahrzeugs angeben. Die Kommunikationseinheit 6 gibt die empfangenen Zustandsprotokollinformationen zur Erfassungseinheit 10 aus. Der CAN-Bus 16 ist ein Fahrzeug-Bordnetzwerk zum Kommunizieren einer CAN-Meldung, die einem CAN-Protokoll genügt und zum Fahrzeug vorgesehen ist.
  • Hier ist ein Beispiel der durch die Kommunikationseinheit 6 empfangenen Zustandsprotokollinformationen mit Bezugnahme auf 3 beschrieben. In dem in 3 dargestellten Beispiel enthalten die Zustandsprotokollinformationen a) einen Zeitstempel, b) eine Fahrzeuggeschwindigkeit, c) eine Beschleunigung und d) einen Lenkwinkel. Der Zeitstempel ist eine Information, die einen Zeitpunkt angibt, zu dem ein Element der Zustandsprotokollinformationen aufgezeichnet ist. Die Fahrzeuggeschwindigkeit ist eine Information, die eine Geschwindigkeit des Fahrzeugs angibt. Die Beschleunigung ist eine Information, die eine Beschleunigung des Fahrzeugs angibt. Der Lenkwinkel ist eine Information, die einen Lenkwinkel eines Lenkrads des Fahrzeugs angibt. Es ist anzumerken, dass die Fahrzeuggeschwindigkeit, die Beschleunigung, der Lenkwinkel und dergleichen durch verschiedene Aufnehmer erlangt werden, die beim Fahrzeug vorgesehen sind.
  • Außer dem oben beschriebenen Beispiel können die Zustandsprotokollinformationen beispielsweise a) einen Zeitstempel, b) einen Kommunikationseinheitsnamen, c) ein Kommunikationseinheitsattribut 1, d) ein Kommunikationseinheitsattribut 2 und e) ein Kommunikationseinheitsattribut 3 enthalten, wie in 4A dargestellt. Alternativ können die Zustandsprotokollinformationen beispielsweise a) einen Zeitstempel, b) ein ID-Feld und c) ein Datenfeld enthalten, wie in 4B dargestellt.
  • Erneut mit Bezugnahme auf 1 enthält die Anomalieerfassungseinheit 7 einen Speicher 8 und eine Erfassungseinheit 10. Der Speicher 8 speichert vorab Bestimmungskriteriumsinformationen, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten der Anwendung 14 normal ist oder nicht. Bei der vorliegenden Ausführungsform enthalten die Bestimmungskriteriumsinformationen ein Bestimmungsmodell, das ein vorab durch ein Maschinenlernen erzeugtes Maschinenlernmodell ist, um beim Bestimmen einer Wahrscheinlichkeit verwendet zu werden, dass das Verhalten der Anwendung 14 normal ist. Es ist anzumerken, dass die vorliegende Ausführungsform so ausgelegt ist, dass ein normales Verhalten für jede einzelne Anwendung 14 definiert (gelernt) ist; jedoch ist das Definieren eines normalen Verhaltens nicht darauf beschränkt, und ein normales Verhalten kann für jede Anwendungsgruppe definiert sein, die eine Vielzahl von miteinander in Beziehung stehenden Anwendungen 14 enthält, oder kann auf Grundlage eines Systems definiert sein, das die Informationsverarbeitungsvorrichtung 2 enthält.
  • Die Erfassungseinheit 10 erlangt die Verhaltensprotokollinformationen von der Verhaltensaufzeichnungseinheit 4 und die Zustandsprotokollinformationen von der Kommunikationseinheit 6. Auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8 gespeicherten Bestimmungskriteriumsinformationen erfasst die Erfassungseinheit 10 eine Anomalie in einem Verhalten der Anwendung 14. Genauer verwendet die Erfassungseinheit 10 das in den Bestimmungskriteriumsinformationen enthaltene Bestimmungsmodell, um einen ersten Merkmalsbetrag der erlangten Verhaltensprotokollinformationen und einen zweiten Merkmalsbetrag der erlangten Zustandsprotokollinformationen zu berechnen. Die Erfassungseinheit 10 erfasst eine Anomalie in einem Verhalten der Anwendung 14 durch ein Berechnen eines Bewertungswerts aus dem berechneten ersten Merkmalsbetrag und dem berechneten zweiten Merkmalsbetrag, der eine Wahrscheinlichkeit angibt, dass das Verhalten der Anwendung 14 normal ist, und durch ein Vergleichen der durch den Bewertungswert angegebenen Wahrscheinlichkeit mit einem Schwellenwert.
  • [1-2. Betrieb durch die Erfassungseinheit]
  • Als Nächstes ist ein Betrieb durch die Erfassungseinheit 10 unter Bezugnahme auf 5 bis 7 beschrieben. 5 ist ein Flussdiagramm, das einen Ablauf des Betriebs durch die Erfassungseinheit 10 der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform 1 angibt. 6 ist ein Diagramm, das ein Beispiel der Verhaltensprotokollinformationen und der Zustandsprotokollinformationen darstellt, die durch die Erfassungseinheit 10 der Informationsverarbeitungsvorrichtung 2 gemäß der Ausführungsform 1 erlangt sind. 7 ist ein schematisches Diagramm zum Beschreiben einer Verarbeitung in Schritt S104 des Flussdiagramms in 5.
  • Die folgende Beschreibung behandelt einen Fall, wo die Anwendung 14 eine Videoverteilungsanwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt (d.h. Hacking), wenn das Fahrzeug auf einer Schnellstraße bei etwa 80 km/h fährt. In diesem Fall gibt die illegal übernommene Anwendung 14 an die Kommunikationseinheit 6 eine Anwendungsprogrammierschnittstelle (API) für Anweisungen aus, eine CAN-Meldung zu senden, eine Notbremsung anzuwenden (im Folgenden als „Notbrems-API“ bezeichnet). Dies birgt eine Gefahr, dass unerwartet eine Notbremsung ausgelöst wird, wenn das Fahrzeug auf der Schnellstraße fährt. Als eine Vorbedingung ist angenommen, dass die Notbrems-API nur in einer Notsituation ausgegeben wird, wenn das Fahrzeug bei einer niedrigen Geschwindigkeit fährt.
  • Wie in 5 dargestellt, erlangt die Erfassungseinheit 10 die Verhaltensprotokollinformationen von der Verhaltensaufzeichnungseinheit 4 und die Zustandsprotokollinformationen von der Kommunikationseinheit 6 (S101). Hier erlangt die Erfassungseinheit 10 beispielsweise Verhaltensprotokollinformationen und Zustandsprotokollinformationen, wie in 6 dargestellt, alle 0,1 s. In dem in 6 dargestellten Beispiel enthalten die Verhaltensprotokollinformationen a) einen Zeitstempel, b) die Anzahl von Auftreten des Einklinkzeigers A, c) die Anzahl von Auftreten des Einklinkzeigers B, d) die Anzahl von Auftreten des Einklinkzeigers C, e) die Anzahl von Auftreten des Einklinkzeigers D, f) eine Kommunikationsmeldung A und g) eine Kommunikationsmeldung B. Die Zustandsprotokollinformationen enthalten a) einen Zeitstempel, b) eine Fahrzeuggeschwindigkeit, c) eine Beschleunigung und d) einen Lenkwinkel.
  • Die Erfassungseinheit 10 verwendet das in den Bestimmungskriteriumsinformationen, die im Speicher 8 gespeichert sind, enthaltene Bestimmungsmodell, um einen ersten Merkmalsbetrag der erlangten Verhaltensprotokollinformationen und einen zweiten Merkmalsbetrag der erlangten Zustandsprotokollinformationen zu berechnen (S102). Die Erfassungseinheit 10 berechnet einen Bewertungswert, der eine Wahrscheinlichkeit angibt, dass ein Verhalten der Anwendung 14 normal ist, aus dem ersten berechneten Merkmalsbetrag und dem zweiten berechneten Merkmalsbetrag (S103).
  • Die Erfassungseinheit 10 vergleicht den Bewertungswert (die Wahrscheinlichkeit von Normalität) mit dem Schwellenwert (S104), um zu bestimmen, ob das Verhalten der Anwendung 14 anomal ist oder nicht. Zum Beispiel bestimmt die Erfassungseinheit 10 alle 0,1 s in einer so genannten zeitgesteuerten Weise, ob das Verhalten der Anwendung 14 anomal ist oder nicht.
  • Wenn die durch den Bewertungswert angegebene Wahrscheinlichkeit unter den Schwellenwert fällt (JA in S104), bestimmt die Erfassungseinheit 10, dass das Verhalten der Anwendung 14 anomal ist (S105). Wenn die durch den Bewertungswert angegebene Wahrscheinlichkeit nicht unter den Schwellenwert fällt (NEIN in S104), bestimmt die Erfassungseinheit 10, dass das Verhalten der Anwendung 14 normal ist (S106).
  • Nachstehend ist die oben in Schritt S104 beschriebene Verarbeitung mit Bezugnahme auf 6 und 7 genau beschrieben. Die Erfassungseinheit 10 verwendet die in 6 dargestellten Verhaltensprotokollinformationen, die sechsdimensional sind, und die in 6 dargestellten Zustandsprotokollinformationen, die dreidimensional sind, als Eingabedaten, die insgesamt neundimensional sind, und die Erfassungseinheit 10 benutzt ein vorgegebenes Maschinenlernverfahren, um die neundimensionalen Eingabedaten auf zweidimensionale Daten abzubilden, wobei sie Einträge von Beobachtungsdaten bei den in 6 dargestellten Zeitstempeln „0,1“, „0,2“, „0,3“ und „0,4“ trennt.
  • Die Einträge von Beobachtungsdaten bei den Zeitstempeln „0,1“, „0,2“, „0,3“ und „0,4“ werden auf einen zweidimensionalen Raum abgebildet, wie beispielsweise in 7 dargestellt. Hier sind die Einträge von Beobachtungsdaten bei den Zeitstempeln „0,1“ und „0,3“ in einer Normalverhaltensgruppe (einem in 7 mit einer gestrichelten Linie umschlossenen Bereich) enthalten, die vorab gelernt ist, wohingegen die Einträge von Beobachtungsdaten bei den Zeitstempeln „0,2“ und „0,4“ nicht in der vorab gelernten Normalverhaltensgruppe enthalten sind.
  • Genauer zeigt, wie in 6 dargestellt, die Anzahl von Auftreten des Einklinkzeigers A eines Elements der Verhaltensprotokollinformationen beim Zeitstempel „0,2“ einen anomalen Wert, „18“. Es wird angenommen, dass dies auf anomale Speicherzugriffe zurückzuführen ist, die erfolgen, wenn die Prozesssteuerung der Anwendung 14 illegal übernommen ist. Der Eintrag von Beobachtungsdaten beim Zeitstempel „0,2“ wird daher aus der vorab gelernten Normalverhaltensgruppe ausgeschlossen, wie in 7 dargestellt, weil die Anzahl von Auftreten des Einklinkzeigers A des Elements der Verhaltensprotokollinformationen beim Zeitstempel „0,2“ einen anomalen Wert aufweist. Als Ergebnis fällt die durch den Bewertungswert angegebene Wahrscheinlichkeit unter den Schwellenwert, was die Erfassungseinheit 10 veranlasst zu bestimmen, dass das Verhalten der Anwendung 14 beim Zeitstempel „0,2“ anomal ist.
  • Weiter ist, wie in 6 dargestellt, die Kommunikationsmeldung A eines Elements der Verhaltensprotokollinformationen beim Zeitstempel „0,4“ „Anweisung für Notbremsung“, und eine Fahrzeuggeschwindigkeit eines Elements der Zustandsprotokollinformationen beim Zeitstempel „0,4“ beträgt „79 km/h“. Es ist angenommen, dass dies zurückzuführen ist auf ein Ausgeben einer Notbrems-API von der Anwendung 14 zur Kommunikationseinheit 6, wenn das Fahrzeug auf der Schnellstraße fährt. Der Eintrag von Beobachtungsdaten beim Zeitstempel „0,4“ wird daher aus der vorab gelernten Normalverhaltensgruppe ausgeschlossen, wie in 7 dargestellt, weil die Kommunikationsmeldung A des Elements der Verhaltensprotokollinformationen beim Zeitstempel „0,4“ „Anweisung für Notbremsung“ ist und die Fahrzeuggeschwindigkeit des Elements der Zustandsprotokollinformationen beim Zeitstempel „0,4“ „79 km/h“ beträgt. Als Ergebnis fällt die durch den Bewertungswert angegebene Wahrscheinlichkeit unter den Schwellenwert, was die Erfassungseinheit 10 veranlasst zu bestimmen, dass das Verhalten der Anwendung 14 beim Zeitstempel „0,4“ anomal ist.
  • [1-3. Vorteilhafte Wirkungen]
  • Wie oben beschrieben, erfasst die Erfassungseinheit 10 eine Anomalie in einem Verhalten der Anwendung 14 auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8 gespeicherten Bestimmungskriteriumsinformationen. Dies ermöglicht es der Informationsverarbeitungsvorrichtung 2, zuverlässig eine Anomalie in einem Verhalten der Anwendung 14 zu erfassen, die durch einen Angriff auf das Fahrzeug, wie etwa Hacken, verursacht ist, sodass Sicherheitsmaßnahmen für das Fahrzeug erhöht werden können.
  • [Ausführungsform 2]
  • [2-1. Aufbau der Informationsverarbeitungsvorrichtung]
  • Als Nächstes ist ein Aufbau der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 unter Bezugnahme auf 8 und 9 beschrieben. 8 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 darstellt. 9 ist ein Diagramm, das ein Beispiel von Bestimmungskriteriumsinformationen gemäß der Ausführungsform 2 darstellt. Es ist anzumerken, dass in den folgenden Ausführungsformen dieselben Bestandteile wie diejenigen in der oben beschriebenen Ausführungsform 1 mit denselben Bezugszeichen bezeichnet sind, und die Beschreibung der Bestandteile ist nicht wiederholt.
  • Wie in 8 dargestellt, enthält die Anomalieerfassungseinheit 7A der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 zusätzlich zu den bei der Ausführungsform 1 beschriebenen Bestandteilen einen Protokollspeicher 18 und eine Meldeeinheit 20.
  • Der Protokollspeicher 18 speichert (sammelt) Verhaltensprotokollinformationen von der Verhaltensaufzeichnungseinheit 4 und Zustandsprotokollinformationen von der Kommunikationseinheit 6. Die Erfassungseinheit 10A liest und erlangt die Verhaltensprotokollinformationen und die Zustandsprotokollinformationen, die im Protokollspeicher 18 gespeichert sind, und auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen erfasst die Erfassungseinheit 10A eine Anomalie in einem Verhalten der Anwendung 14.
  • Die Meldeeinheit 20 meldet nach außen (z.B. zu einer Endvorrichtung eines Benutzers oder einem externen Server usw.), dass die Erfassungseinheit 10A eine Anomalie in einem Verhalten der Anwendung 14 erfasst hat, wenn die Erfassungseinheit 10A die Anomalie erfasst. Dies ermöglicht ein Durchführen eines Vorgehens, wie etwa eines zwangsweisen Anhaltens der Anwendung 14, die sich anomal verhalten hat.
  • Der Speicher 8A speichert vorab Bestimmungskriteriumsinformationen, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten der Anwendung 14 normal ist oder nicht, und die Bestimmungskriteriumsinformationen sind eine Weißlisten-basierte Regelbasis. Das heißt, die Bestimmungskriteriumsinformationen enthalten ein Bestimmungsmodell, das ein regelbasiertes Modell ist, das zum Bestimmen zu verwenden ist, ob ein Verhalten der Anwendung 14 normal ist oder nicht. Hier ist ein Beispiel der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen mit Bezugnahme auf 9 beschrieben. In dem in 9 dargestellten Beispiel enthalten die Bestimmungskriteriumsinformationen Normalverhaltensprotokollinformationen, die einen Verlauf normaler Verhalten der Anwendung 14 angeben, und Normalzustandsprotokollinformationen, die einen Verlauf normaler Zustände des Fahrzeugs angeben, und die Normalverhaltensprotokollinformationen und die Normalzustandsprotokollinformationen sind für jedes Ereignis definiert.
  • In einer so genannten ereignisgesteuerten Weise erfasst die Erfassungseinheit 10A für jedes Ereignis (z.B. jedes Mal, wenn eine Aufgabe erzeugt wird) eine Anomalie in einem Verhalten der Anwendung 14 durch ein Vergleichen der erlangten Verhaltensprotokollinformationen mit den Normalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen der erlangten Zustandsprotokollinformationen mit den Normalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
  • Genauer erfasst der Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 normal ist, wenn für alle der Ereignisse in den Bestimmungskriteriumsinformationen (Ereignis 1, Ereignis 2, ..., Ereignis n) die erlangten Verhaltensprotokollinformationen mit den in den Bestimmungskriteriumsinformationen enthaltenen Normalverhaltensprotokollinformationen übereinstimmen und die Zustandsprotokollinformationen mit den in den Bestimmungskriteriumsinformationen enthaltenen Normalzustandsprotokollinformationen übereinstimmen. Wenn dagegen die erlangten Verhaltensprotokollinformationen (oder Zustandsprotokollinformationen) für ein beliebiges der Ereignisse in den Bestimmungskriteriumsinformationen nicht mit den in den Bestimmungskriteriumsinformationen enthaltenen Normalverhaltensprotokollinformationen (oder Normalzustandsprotokollinformationen) übereinstimmen, erfasst die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist.
  • [2-2. Betrieb durch die Erfassungseinheit]
  • Als Nächstes ist ein Betrieb durch die Erfassungseinheit 10A unter Bezugnahme auf 10 und 11 beschrieben. 10 ist ein Flussdiagramm, das einen Ablauf des Betriebs durch die Erfassungseinheit 10A der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 angibt. 11 ist ein Diagramm, das ein Beispiel der Verhaltensprotokollinformationen und der Zustandsprotokollinformationen, die durch die Erfassungseinheit 10A der Informationsverarbeitungsvorrichtung 2A gemäß der Ausführungsform 2 erlangt sind, sowie der Bestimmungskriteriumsinformationen darstellt, die in dem Speicher 8A der Informationsverarbeitungsvorrichtung 2A gespeichert sind.
  • Die folgende Beschreibung behandelt einen Fall, wo als eine Vorbedingung die Anwendung 14 eine Carsharing-Anwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt. Hier ist angenommen, dass Kundeninformationen über einen Benutzer (wobei die Kundeninformationen z.B. einen Benutzernamen und einen Nutzungsverlauf der Anwendung 14 usw. enthalten), die über die Anwendung 14 eingetragen wurden, zu einem externen Server nur zu einer Startzeit des Carsharings (wenn sich ein Fahrzeug in Ruhe befindet [0 km/h]) gesendet werden. Jedoch liest die illegal übernommene Anwendung 14 die Kundeninformationen und sendet die Kundeninformationen an einen externen Server über die Kommunikationseinheit 6 zu einer anderen Zeit als der Startzeit des Carsharings (z.B. wenn das Fahrzeug fährt). Dies birgt eine Gefahr, dass die Kundeninformationen über den Benutzer nach außen durchsickern.
  • Wie in 10 dargestellt, liest und erlangt die Erfassungseinheit 10A die Verhaltensprotokollinformationen und die Zustandsprotokollinformationen aus dem Protokollspeicher 18 (S201). Hier erlangt die Erfassungseinheit 10A beispielsweise Verhaltensprotokollinformationen und Zustandsprotokollinformationen, wie in (a) in 11 dargestellt. In dem in (a) in 11 dargestellten Beispiel enthalten die Verhaltensprotokollinformationen a) einen Zeitstempel, b) eine Prozess-ID, c) einen Einklinkzeigernamen, d) ein Einklinkzeigerattribut 1 und e) ein Einklinkzeigerattribut 2. Die Zustandsprotokollinformationen enthalten a) einen Zeitstempel, b) eine Fahrzeuggeschwindigkeit, c) eine Beschleunigung und d) einen Lenkwinkel.
  • Die Erfassungseinheit 10A führt einen Mustervergleich zwischen den Bestimmungskriteriumsinformationen, die eine Weißlisten-basierte Regelbasis sind und im Speicher 8A gespeichert sind, und den erlangten Verhaltensprotokollinformationen und erlangten Zustandsprotokollinformationen durch (S202). Hier speichert der Speicher 8A beispielsweise Bestimmungskriteriumsinformationen, die eine Weißlisten-basierte Regelbasis sind, wie in (b) in 11 dargestellt. In dem in (b) in 11 dargestellten Beispiel enthalten die Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen a) einen Zeitstempel, b) einen Einklinkzeigernamen, c) ein Einklinkzeigerattribut 1 und d) ein Einklinkzeigerattribut 2. Die Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen enthalten a) einen Zeitstempel und b) eine Fahrzeuggeschwindigkeit.
  • Wenn es ein Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) gibt, das nicht mit einem beliebigen Element der Normalverhaltensprotokollinformationen (oder der Normalzustandsprotokollinformationen) in den Bestimmungskriteriumsinformationen, die eine Weißlisten-basierte Regelbasis sind, übereinstimmt (JA in S203), bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist (S204). Wenn es kein Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) gibt, das nicht mit einem beliebigen Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) in den Bestimmungskriteriumsinformationen, die eine Weißlisten-basierte Regelbasis sind, übereinstimmt (JA in S203), bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 normal ist (S205).
  • Nachstehend ist die oben in Schritt S203 beschriebene Verarbeitung mit Bezugnahme auf 11 genau beschrieben. In dem in 11 dargestellten Beispiel führt die Erfassungseinheit 10A für jedes Ereignis den Mustervergleich zwischen Einklinkzeigernamen, Einklinkzeigerattributen 1 und Einklinkzeigerattributen 2, die in den Verhaltensprotokollinformationen enthalten sind, und Einklinkzeigernamen, Einklinkzeigerattributen 1 und Einklinkzeigerattributen 2 durch, die in den Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen enthalten sind, und führt den Mustervergleich zwischen Fahrzeuggeschwindigkeiten, die in den Zustandsprotokollinformationen enthalten sind, und Fahrzeuggeschwindigkeiten durch, die in den Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen enthalten sind.
  • Wie in 11 dargestellt, gibt es im Ereignis 1 kein Element der Verhaltensprotokollinformationen und/oder der Zustandsprotokollinformationen, das mit einem beliebigen Element der Bestimmungskriteriumsinformationen übereinstimmt, und somit bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 normal ist.
  • Im Ereignis 2 stimmen das Einklinkzeigerattribut 1 „fileB“ (Datei B) und das Einklinkzeigerattribut 2 „write“ (schreiben) in einem Element der Verhaltensprotokollinformationen nicht mit dem Einklinkzeigerattribut 1 „fileA“ (Datei A) bzw. dem Einklinkzeigerattribut 2 „read“ (lesen) in einem entsprechenden Element der Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen überein. Es ist angenommen, dass dies auf ein ungewöhnliches Schreiben in eine Datei zurückzuführen ist. Somit gibt es ein Element der Verhaltensprotokollinformationen, das nicht mit einem beliebigen Element der Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen übereinstimmt, und somit bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 im Ereignis 2 anomal ist.
  • Im Ereignis 3 stimmen das Einklinkzeigerattribut 1 „communication device“ (Kommunikationsvorrichtung) und das Einklinkzeigerattribut 2 „data transmission“ (Datensendung) in einem Element der Verhaltensprotokollinformationen mit dem Einklinkzeigerattribut 1 „communication device“ bzw. dem Einklinkzeigerattribut 2 „data transmission“ in einem entsprechenden Element der Normalverhaltensprotokollinformationen in den Bestimmungskriteriumsinformationen überein, aber eine Fahrzeuggeschwindigkeit „57 (km/h)“ in einem entsprechenden Element der Zustandsprotokollinformationen stimmt nicht mit einer Fahrzeuggeschwindigkeit „0 (km/h)“ in einem entsprechenden Element der Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen überein. Es ist angenommen, dass dies zurückzuführen ist auf ein Senden der Kundeninformationen zu einem externen Server zu einer anderen Zeit (wenn das Fahrzeug fährt) als der Startzeit des Carsharings (wenn sich das Fahrzeug in Ruhe befindet). Somit gibt es ein Element der Zustandsprotokollinformationen, das mit einem beliebigen Element der Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen nicht übereinstimmt, und somit bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 im Ereignis 3 anomal ist.
  • Demgemäß kann die vorliegende Ausführungsform auch dieselbe vorteilhafte Wirkung wie in der oben beschriebenen Ausführungsform 1 vorsehen.
  • [2-3. Andere Beispiele des Angriffs auf ein Fahrzeug]
  • Andere Angriffsbeispiele 1 bis 3 des Angreifens eines Fahrzeugs sind nachstehend beschrieben.
  • [2-3-1. Angriffsbeispiel 1]
  • Als Angriffsbeispiel 1 ist ein Fall beschrieben, wo als eine Vorbedingung die Anwendung 14 eine Fahrautomatisierungsanwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt.
  • In diesem Fall erlangt die Anwendung 14 Aufnehmerinformationen von einem bei einem Fahrzeug vorgesehenen Aufnehmer, um einem Benutzer Informationen hinsichtlich eines Zustands des Fahrzeugs darzubieten. Anzumerken ist, dass der Aufnehmer beispielsweise ein Aufnehmer für LiDAR (Light Detection And Ranging), ein Millimeterwellenaufnehmer, ein Bildaufnehmer oder dergleichen zum Erfassen von Objekten ist, die sich um das Fahrzeug befinden.
  • In diesem Fall ergreift die illegal übernommene Anwendung 14 ein Privileg, Aufnehmerinformationen zu senden, das der Anwendung 14 ursprünglich nicht zugestanden ist, und die Anwendung 14 sendet unzulässige Aufnehmerinformationen über die Kommunikationseinheit 6 beispielsweise zu einem FAS des Fahrzeugs. Die unzulässigen Aufnehmerinformationen beziehen sich beispielsweise auf Aufnehmerinformationen, die ein Erfassen eines voraus vorhandenen Fahrzeugs trotz des Fehlens eines solchen voraus befindlichen Fahrzeugs angeben. Das FAS, das die unzulässigen Aufnehmerinformationen von der Anwendung 14 empfängt, kann einen falschen Vorgang des Fahrzeugs einleiten.
  • Auch in dem Angriffsbeispiel 1 erfasst die Erfassungseinheit 10A eine Anomalie in dem Verhalten der Anwendung 14 auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen. Genauer bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist, weil ein Element von Zustandsprotokollinformationen auf Grundlage der unzulässigen Aufnehmerinformationen (z.B. eines Elements von Zustandsprotokollinformationen, das angibt „Fahrzeug voraus vorhanden“) verschieden ist von einem Element von Zustandsprotokollinformationen auf Grundlage eines weiteren Elements von Aufnehmerinformationen (z.B. eines Elements von Zustandsprotokollinformationen, das angibt „kein Fahrzeug voraus vorhanden“).
  • [2-3-2. Angriffsbeispiel 2]
  • Als Angriffsbeispiel 2 ist ein Fall beschrieben, wo als eine Vorbedingung die Anwendung 14 eine Lieferkistenanwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt. Hier wird die Anwendung 14 nur benutzt, wenn sich das Fahrzeug in Ruhe befindet (0 km/h), und wird nicht benutzt, wenn das Fahrzeug fährt.
  • In diesem Fall führt die illegal übernommene Anwendung 14 einen Authentifizierungsvorgang zum Entriegeln eines Laderaums des Fahrzeugs aus und gibt zur Kommunikationseinheit 6 eine API für Anweisungen zum Entriegeln des Laderaums des Fahrzeugs aus. Dies birgt eine Gefahr, dass der Laderaum des Fahrzeugs entriegelt wird, um sich unerwartet zu öffnen, wenn das Fahrzeug fährt.
  • Auch in dem Angriffsbeispiel 2 erfasst die Erfassungseinheit 10A eine Anomalie in dem Verhalten der Anwendung 14 auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen. Genauer bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist, weil ein Einklinkzeigerattribut 1 „Ausführen eines Authentifizierungsvorgangs (der Lieferkistenanwendung)“ in einem Element der Zustandsprotokollinformationen mit dem Einklinkzeigerattribut 1 „Ausführen eines Authentifizierungsvorgangs (der Lieferkistenanwendung)“ in einem Element der Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen übereinstimmt, aber eine Fahrzeuggeschwindigkeit „57 (km/h)“ in dem Element der Zustandsprotokollinformationen nicht mit einer Fahrzeuggeschwindigkeit „0 (km/h)“ in dem Element der Normalzustandsprotokollinformationen in den Bestimmungskriteriumsinformationen übereinstimmt.
  • [2-3-3. Angriffsbeispiel 3]
  • Als Angriffsbeispiel 3 ist ein Fall beschrieben, wo als eine Vorbedingung die Anwendung 14 eine Werbeverbreitungsanwendung ist, und wo eine böswillige dritte Person einen Schwachpunkt der Anwendung 14 ausnutzt und illegal die Prozesssteuerung der Anwendung 14 übernimmt. Hier wird die Anwendung 14 hauptsächlich dann betrieben, eine Werbung für einen Benutzer anzuzeigen, wenn sich das Fahrzeug in Ruhe befindet (0 km/h), und selten betrieben, wenn das Fahrzeug fährt.
  • In diesem Fall lädt die illegal übernommene Anwendung 14 ein Mining-Tool herunter und installiert es und führt eine Berechnung mit hoher Computerbelastung aus. Dies birgt eine Gefahr, dass Ressourcen einer Zentraleinheit (CPU) erschöpft werden, was den Betrieb anderer Anwendungen 14 beeinträchtigt.
  • Auch in dem Angriffsbeispiel 3 erfasst die Erfassungseinheit 10A eine Anomalie in dem Verhalten der Anwendung 14 auf Grundlage der erlangten Verhaltensprotokollinformationen und der erlangten Zustandsprotokollinformationen sowie der im Speicher 8A gespeicherten Bestimmungskriteriumsinformationen. Genauer bestimmt die Erfassungseinheit 10A, dass das Verhalten der Anwendung 14 anomal ist, weil die Anzahl der Auftreten des Einklinkzeigers A in einem Element der Zustandsprotokollinformationen mit einer Fahrzeuggeschwindigkeit „57 (km/h)“ anomal ist.
  • [Ausführungsform 3]
  • [3-1. Aufbau der Informationsverarbeitungsvorrichtung]
  • Als Nächstes ist ein Aufbau der Informationsverarbeitungsvorrichtung 2B gemäß der Ausführungsform 3 unter Bezugnahme auf 12 beschrieben. 12 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2B gemäß der Ausführungsform 3 darstellt.
  • Wie in 12 dargestellt, enthält die Anomalieerfassungseinheit 7B der Informationsverarbeitungsvorrichtung 2B gemäß der Ausführungsform 3 zusätzlich zu den bei der Ausführungsform 1 beschriebenen Bestandteilen einen Protokollspeicher 18 und eine Schätzeinheit 22. Der Protokollspeicher 18 ist bei der Ausführungsform 2 genau beschrieben, und die Beschreibung des Protokollspeichers 18 ist nicht wiederholt.
  • Die Schätzeinheit 22 schätzt einen Zustand eines Fahrzeugs auf Grundlage von im Protokollspeicher 18 gespeicherten Zustandsprotokollinformationen. Beispiele des Zustands des Fahrzeugs umfassen eine Fahrzeuggeschwindigkeit, eine Beschleunigung und einen Lenkwinkel des Fahrzeugs. Die Schätzeinheit 22 gibt ein Ergebnis der Schätzung zur Erfassungseinheit 10B aus.
  • Der Speicher 8B speichert vorab Bestimmungskriteriumsinformationen, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten der Anwendung 14 normal ist oder nicht, und die Bestimmungskriteriumsinformationen sind eine Schwarzlisten-basierte Regelbasis. Das heißt, die Bestimmungskriteriumsinformationen enthalten ein Bestimmungsmodell, das ein regelbasiertes Modell ist, das zum Bestimmen zu verwenden ist, ob ein Verhalten der Anwendung 14 normal ist oder nicht. Die Bestimmungskriteriumsinformationen enthalten Anomalverhaltensprotokollinformationen, die einen Verlauf anomaler Verhalten der Anwendung 14 angeben, und Anomalzustandsprotokollinformationen, die einen Verlauf anomaler Zustände des Fahrzeugs angeben, und die Anomalverhaltensprotokollinformationen und die Anomalzustandsprotokollinformationen sind für jedes Ereignis definiert.
  • In einer so genannten ereignisgesteuerten Weise erfasst die Erfassungseinheit 10B für jedes Ereignis eine Anomalie in einem Verhalten der Anwendung 14 durch ein Vergleichen der erlangten Verhaltensprotokollinformationen mit den Anomalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen der erlangten Zustandsprotokollinformationen mit den Anomalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind. Weiter erfasst die Erfassungseinheit 10B die Anomalie in dem Verhalten der Anwendung 14 mit weiterer Berücksichtigung eines Ergebnisses der durch die Schätzeinheit durchgeführten Schätzung.
  • [3-2. Betrieb durch die Erfassungseinheit]
  • Als Nächstes ist ein Betrieb durch die Erfassungseinheit 10B unter Bezugnahme auf 13 beschrieben. 13 ist ein Flussdiagramm, das einen Ablauf des Betriebs durch die Erfassungseinheit 10B der Informationsverarbeitungsvorrichtung 2B gemäß der Ausführungsform 3 angibt.
  • Wie in 13 dargestellt, liest und erlangt die Erfassungseinheit 10B die Verhaltensprotokollinformationen und die Zustandsprotokollinformationen aus dem Protokollspeicher 18 (S301). Die Erfassungseinheit 10B führt einen Mustervergleich zwischen den Bestimmungskriteriumsinformationen, die eine Schwarzlisten-basierte Regelbasis sind und im Speicher 8B gespeichert sind, und den erlangten Verhaltensprotokollinformationen und erlangten Zustandsprotokollinformationen durch (S302).
  • Wenn es ein Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) gibt, das mit einem beliebigen Element der Anomalverhaltensprotokollinformationen (oder der Anomalzustandsprotokollinformationen) in den Bestimmungskriteriumsinformationen, die eine Schwarzlisten-basierte Regelbasis sind, übereinstimmt (JA in S303), bestimmt die Erfassungseinheit 10B, dass das Verhalten der Anwendung 14 anomal ist (S304). Wenn es kein Element der Verhaltensprotokollinformationen (oder der Zustandsprotokollinformationen) gibt, das mit einem beliebigen Element der Anomalverhaltensprotokollinformationen (oder der Anomalzustandsprotokollinformationen) in den Bestimmungskriteriumsinformationen, die eine Schwarzlisten-basierte Regelbasis sind, übereinstimmt (NEIN in S303), bestimmt die Erfassungseinheit 10B, dass das Verhalten der Anwendung 14 normal ist (S305).
  • Demgemäß kann die vorliegende Ausführungsform auch dieselbe vorteilhafte Wirkung wie in der oben beschriebenen Ausführungsform 1 vorsehen.
  • [Ausführungsform 4]
  • Als Nächstes ist ein Aufbau der Informationsverarbeitungsvorrichtung 2C gemäß der Ausführungsform 4 unter Bezugnahme auf 14 beschrieben. 14 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2C gemäß der Ausführungsform 4 darstellt.
  • Wie in 14 dargestellt, enthält die Anomalieerfassungseinheit 7C der Informationsverarbeitungsvorrichtung 2C gemäß der Ausführungsform 4 zusätzlich zu den bei der Ausführungsform 1 beschriebenen Bestandteilen einen Protokollspeicher 18 und eine Schätzeinheit 22C. Der Protokollspeicher 18 ist bei der Ausführungsform 2 genau beschrieben, und die Beschreibung des Protokollspeichers 18 ist nicht wiederholt.
  • Die Schätzeinheit 22C schätzt einen Zustand eines Fahrzeugs auf Grundlage von durch die Kommunikationseinheit 6 empfangenen Zustandsprotokollinformationen. Die Schätzeinheit 22C veranlasst den Protokollspeicher 18, ein Ergebnis der Schätzung als ein Element der Zustandsprotokollinformationen zu speichern. Es ist anzumerken, dass die Schätzeinheit 22C ein Filtern an einer Vielzahl von Elementen der durch die Kommunikationseinheit 6 empfangenen Zustandsprotokollinformationen durchführen kann, um nur Elemente der Zustandsprotokollinformationen auszuwählen, die zum Erfassen einer Anomalie in der Anwendung 14 nützlich sind. In diesem Fall schätzt die Schätzeinheit 22C den Zustand des Fahrzeugs auf Grundlage der ausgewählten Elemente der Zustandsprotokollinformationen.
  • Demgemäß kann die vorliegende Ausführungsform auch dieselbe vorteilhafte Wirkung wie in der oben beschriebenen Ausführungsform 1 vorsehen.
  • [Ausführungsform 5]
  • Als Nächstes ist ein Aufbau der Informationsverarbeitungsvorrichtung 2D gemäß der Ausführungsform 5 unter Bezugnahme auf 15 beschrieben. 15 ist ein Blockdiagramm, das den Aufbau der Informationsverarbeitungsvorrichtung 2D gemäß der Ausführungsform 5 darstellt.
  • Wie in 15 dargestellt, enthält die Anomalieerfassungseinheit 7D der Informationsverarbeitungsvorrichtung 2D gemäß der Ausführungsform 5 zusätzlich zu den bei der Ausführungsform 1 beschriebenen Bestandteilen eine Schätzeinheit 22D. Die Schätzeinheit 22D schätzt einen Zustand eines Fahrzeugs auf Grundlage von durch die Kommunikationseinheit 6 empfangenen Zustandsprotokollinformationen. Die Schätzeinheit 22D gibt ein Ergebnis der Schätzung zur Erfassungseinheit 10D als ein Element der Zustandsinformationen aus. Es ist anzumerken, dass die Schätzeinheit 22D ein Filtern an einer Vielzahl von Elementen der durch die Kommunikationseinheit 6 empfangenen Zustandsinformationen durchführen kann, um nur Elemente der Zustandsinformationen auszuwählen, die zum Erfassen einer Anomalie in der Anwendung 14 nützlich sind. In diesem Fall schätzt die Schätzeinheit 22D den Zustand des Fahrzeugs auf Grundlage der ausgewählten Elemente der Zustandsinformationen.
  • Die Erfassungseinheit 10D erlangt Verhaltensinformationen von der Verhaltensaufzeichnungseinheit 4 und die Zustandsinformationen (das Ergebnis der Schätzung) von der Schätzeinheit 22D. Auf Grundlage der erlangten Verhaltensinformationen und der erlangten Zustandsinformationen sowie der im Speicher 8 gespeicherten Bestimmungskriteriumsinformationen erfasst die Erfassungseinheit 10D eine Anomalie in einem Verhalten der Anwendung 14.
  • Es ist anzumerken, dass die Zustandsinformationen und die Verhaltensinformationen jeweils nicht unbedingt Protokollinformationen sind; beispielsweise kann eine Anomalie auf Grundlage eines Verlaufs der Verhaltensinformationen und eines Elements der Zustandsinformationen zu einem Zeitpunkt erfasst werden, oder es kann eine Anomalie auf Grundlage eines Elements der Verhaltensinformationen zu einem Zeitpunkt und eines Verlaufs der Zustandsinformationen erfasst werden.
  • Demgemäß kann die vorliegende Ausführungsform auch dieselbe vorteilhafte Wirkung wie in der oben beschriebenen Ausführungsform 1 vorsehen.
  • (Abwandlungen usw.)
  • Obwohl die Informationsverarbeitungsvorrichtung und das Steuerverfahren gemäß einem oder mehreren Aspekten der vorliegende Offenbarung auf Grundlage von Ausführungsformen beschrieben sind, sind sie nicht auf diese Ausführungsformen beschränkt. Fachleute werden leicht verstehen, dass Ausführungsformen, die erzielt sind durch ein Vornehmen verschiedener Abwandlungen an den obigen Ausführungsformen, oder Ausführungsformen, die erzielt sind durch ein selektives Kombinieren von Elementen, die in den obigen Ausführungsformen offenbart sind, ohne wesentlich vom Geltungsbereich der vorliegenden vorliegende Offenbarung abzuweichen, in einem oder mehreren Aspekten der vorliegenden Offenbarung enthalten sein können.
  • Die Beschreibungen der oben beschriebenen Ausführungsformen beziehen sich auf die Anwendung der Informationsverarbeitungsvorrichtung gemäß der vorliegenden Offenbarung bei Sicherheitsmaßnahmen in einem Fahrzeug-Bordnetzwerk, das in einem Fahrzeug, wie etwa einem Automobil, vorgesehen ist, als ein Anwendungsbeispiel der Informationsverarbeitungsvorrichtung; jedoch ist ein Anwendungsbereich der Informationsverarbeitungsvorrichtung gemäß der vorliegenden Offenbarung nicht darauf beschränkt. Die Informationsverarbeitungsvorrichtung gemäß der vorliegenden Offenbarung kann nicht nur auf ein Fahrzeug, wie etwa ein Automobil, angewendet werden, sondern auch auf ein beliebiges Mobil, wie etwa eine Baumaschine, eine Landmaschine, ein Schiff, ein Bahnfahrzeug und ein Flugzeug.
  • Obwohl die Kommunikationseinheit 6 in den oben beschriebenen Ausführungsformen an einen CAN-Bus 16 angeschlossen ist, kann die Kommunikationseinheit 6 beispielsweise an ein beliebiges Fahrzeug-Bordnetzwerk angeschlossen sein, wie etwa Ethernet (R) und FlexRay (R), oder kann an eine andere virtuelle Maschine als die Softwareplattform 12 angeschlossen sein.
  • Jedes der Elemente in jeder der oben beschriebenen Ausführungsformen kann in Form eines exklusiven Hardwareprodukts aufgebaut sein, oder kann durch ein Ausführen eines Softwareprogramms, das für das Element geeignet ist, umgesetzt sein. Jedes der Elemente kann mittels einer Programmausführungseinheit, wie etwa einer Zentraleinheit (CPU) oder eines Prozessors, ausgeführt sein, die das Softwareprogramm ausliest und ausführt, das auf einem Aufzeichnungsmedium, wie etwa einer Festplatte oder einem Halbleiterspeicher, gespeichert ist.
  • Es ist auch anzumerken, dass ein Teil oder alle der Funktionen in der Informationsverarbeitungsvorrichtung gemäß jeder der oben beschriebenen Ausführungsformen durch ein Ausführen eines Programms durch einen Prozessor, wie etwa eine CPU, umgesetzt sein kann.
  • Es ist auch anzumerken, dass ein Teil oder alle der in jeder der oben beschriebenen Vorrichtungen enthaltenen Bestandteile in einer IC-Karte (Karte mit integrierten Schaltungen) oder einem einzigen Modul umgesetzt sein kann, die/das an der Vorrichtung angebracht oder davon abgenommen werden kann. Die IC-Karte oder das Modul ist ein Computersystem, das einen Mikroprozessor, ein ROM, ein RAM und dergleichen enthält. Die IC-Karte oder das Modul kann den oben beschriebenen supermultifunktionalen LSI-Chip enthalten. Der Mikroprozessor arbeitet gemäß dem Computerprogramm, um die IC-Karte oder das Modul zu veranlassen, die jeweiligen Funktionen auszuführen. Die IC-Karte oder das Modul kann eine Manipulationsfestigkeit aufweisen.
  • Die vorliegende Offenbarung kann die oben beschriebenen Verfahren sein. Diese Verfahren können ein durch einen Computer ausgeführtes Computerprogramm oder digitale Signale sein, die das Computerprogramm bilden. Die vorliegende Offenbarung kann ein computerlesbares Aufzeichnungsmedium sein, auf dem das Computerprogramm oder die digitalen Signale aufgezeichnet sind. Beispiele des computerlesbaren Aufzeichnungsmediums sind eine flexible Platte, eine Festplatte, ein Compact-Disk-Nur-Lesespeicher (CD-ROM), eine magnetooptische Platte (MO), eine Digital Versatile Disc (DVD), eine DVD-ROM, eine DVD-RAM, eine BD (Blu-ray(eingetragen) Disc) und ein Halbleiterspeicher. Die vorliegende Offenbarung kann auch die auf dem Datenträger gespeicherten digitalen Signale sein. Die vorliegende Offenbarung kann ausgeführt sein durch ein Übertragen des Computerprogramms oder der digitalen Signale über eine elektrische Kommunikationsleitung, eine drahtlose oder drahtgebundene Kommunikationsleitung, ein Netzwerk, verkörpert durch das Internet, Datenrundfunk und dergleichen. Die vorliegende Offenbarung kann ein Computersystem sein, enthaltend einen Mikroprozessor und einen Speicher. Der Speicher speichert das Computerprogramm, und der Mikroprozessor arbeitet gemäß dem Computerprogramm. Es ist auch möglich, dass das Programm oder die digitalen Signale auf das Aufzeichnungsmedium aufgezeichnet sein können, um übertragen zu werden, oder über ein Netzwerk oder dergleichen gesendet werden können, sodass das Programm oder die digitalen Signale durch ein anderes, unabhängiges Computersystem ausgeführt werden können.
  • [Gewerbliche Anwendbarkeit]
  • Die vorliegende Offenbarung ist anwendbar beispielsweise auf eine Informationsverarbeitungsvorrichtung und dergleichen zum Erfassen einer Anomalie in einer Anwendung, die auf einer Fahrzeug-Bordvorrichtung eines Fahrzeugs arbeitet.
  • Bezugszeichenliste
    • 2, 2A, 2B, 2C, 2D
    Informationsverarbeitungsvorrichtung
    4
    Verhaltensaufzeichnungseinheit
    6
    Kommunikationseinheit
    7, 7A, 7B, 7C, 7D
    Anomalieerfassungseinheit
    8, 8A, 8B
    Speicher
    10, 10A, 10B, 10D
    Erfassungseinheit
    12
    Softwareplattform
    14
    Anwendung
    16
    CAN-Bus
    18
    Protokollspeicher
    20
    Meldeeinheit
    22, 22C, 22D
    Schätzeinheit

Claims (10)

  1. Informationsverarbeitungsvorrichtung, die mit einem bei einem Mobil vorgesehenen Mobilnetzwerk verbunden ist, wobei die Informationsverarbeitungsvorrichtung umfasst: einen Speicher, der Bestimmungskriteriumsinformationen speichert, die ein Bestimmungskriterium zum Bestimmen angeben, ob ein Verhalten einer Anwendung normal ist oder nicht, die auf einer Vorrichtung arbeitet, die bei dem Mobil vorgesehen ist; und eine Erfassungseinheit, die Verhaltensinformationen erlangt, die das Verhalten der Anwendung angeben, und die eine Anomalie in dem Verhalten der Anwendung auf Grundlage der erlangten Verhaltensinformationen und der im Speicher gespeicherten Bestimmungskriteriumsinformationen erfasst.
  2. Informationsverarbeitungsvorrichtung nach Anspruch 1, wobei die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung auf Grundlage der Verhaltensinformationen, der im Speicher gespeicherten Bestimmungskriteriumsinformationen und der Zustandsinformationen erfasst, die einen Zustand des Mobils angeben und über das Mobilnetzwerk erlangt werden.
  3. Informationsverarbeitungsvorrichtung nach Anspruch 2, wobei die Bestimmungskriteriumsinformationen eins aus einem regelbasierten Modell und einem Maschinenlernmodell als ein Bestimmungsmodell für das Erfassen der Anomalie in dem Verhalten der Anwendung enthält, wobei das eine aus dem regelbasierten Modell und dem Maschinenlernmodell Modelle hinsichtlich mindestens eines aus dem Verhalten der Anwendung oder dem Zustand des Mobils sind, und die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung durch ein Anwenden des Bestimmungsmodells auf die Verhaltensinformationen und die Zustandsinformationen erfasst.
  4. Informationsverarbeitungsvorrichtung nach Anspruch 2, wobei die Bestimmungskriteriumsinformationen Normalverhaltensprotokollinformationen, die einen Verlauf normaler Verhalten der Anwendung angeben, und Normalzustandsprotokollinformationen enthalten, die einen Verlauf normaler Zustände des Mobils angeben, und die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Normalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Normalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
  5. Informationsverarbeitungsvorrichtung nach Anspruch 2, wobei die Bestimmungskriteriumsinformationen Anomalverhaltensprotokollinformationen, die einen Verlauf anomaler Verhalten der Anwendung angeben, und Anomalzustandsprotokollinformationen enthalten, die einen Verlauf anomaler Zustände des Mobils angeben, und die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst durch ein Vergleichen eines Verlaufs der Verhaltensinformationen mit den Anomalverhaltensprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind, und ein Vergleichen eines Verlaufs der Zustandsinformationen mit den Anomalzustandsprotokollinformationen, die in den Bestimmungskriteriumsinformationen enthalten sind.
  6. Informationsverarbeitungsvorrichtung nach Anspruch 2, wobei die Bestimmungskriteriumsinformationen ein Bestimmungsmodell enthalten, das vorab durch ein Maschinenlernen erzeugt ist, um beim Bestimmen einer Wahrscheinlichkeit benutzt zu werden, dass das Verhalten der Anwendung normal ist, wobei die Erfassungseinheit: unter Verwendung des Bestimmungsmodells berechnet: (i) einen ersten Merkmalsbetrag aus einem Verlauf der erlangten Verhaltensinformationen und (ii) einen zweiten Merkmalsbetrag aus einem Verlauf der erlangten Zustandsinformationen; einen Bewertungswert, der die Wahrscheinlichkeit angibt, aus dem ersten berechneten Merkmalsbetrag und dem zweiten berechneten Merkmalsbetrag berechnet; und die durch den Bewertungswert angegebene Wahrscheinlichkeit mit einem Schwellenwert vergleicht, um die Anomalie in dem Verhalten der Anwendung zu erfassen.
  7. Informationsverarbeitungsvorrichtung nach einem beliebigen von Anspruch 2 bis Anspruch 6, weiter umfassend: eine Schätzeinheit, die den Zustand des Mobils auf Grundlage der Zustandsinformationen schätzt, wobei die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung mit weiterer Berücksichtigung eines Ergebnisses der durch die Schätzeinheit durchgeführten Schätzung erfasst.
  8. Informationsverarbeitungsvorrichtung nach einem beliebigen von Anspruch 1 bis Anspruch 7, weiter umfassend: eine Meldeeinheit, die nach außerhalb der Informationsverarbeitungsvorrichtung meldet, dass die Erfassungseinheit die Anomalie in dem Verhalten der Anwendung erfasst, wenn die Erfassungseinheit die Anomalie erfasst.
  9. Steuerverfahren, durchgeführt durch eine Informationsverarbeitungsvorrichtung, die mit einem bei einem Mobil vorgesehenen Mobilnetzwerk verbunden ist, wobei das Steuerverfahren umfasst: Erlangen von Verhaltensinformationen, die ein Verhalten einer Anwendung angeben, die auf einer Vorrichtung arbeitet, die bei dem Mobil vorgesehen ist; und Erfassen einer Anomalie in dem Verhalten der Anwendung auf Grundlage der beim Erlangen erlangten Verhaltensinformationen und der vorab in einem Speicher gespeicherten Bestimmungskriteriumsinformationen, wobei die Bestimmungskriteriumsinformationen ein Bestimmungskriterium zum Bestimmen angeben, ob das Verhalten der Anwendung normal ist oder nicht.
  10. Programm, das einen Computer veranlasst, das Steuerverfahren nach Anspruch 9 auszuführen.
DE112020005954.5T 2019-12-05 2020-08-25 Informationsverarbeitungsvorrichtung, Steuerverfahren und Programm Pending DE112020005954T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019-220231 2019-12-05
JP2019220231A JP7241281B2 (ja) 2019-12-05 2019-12-05 情報処理装置、制御方法及びプログラム
PCT/JP2020/032015 WO2021111681A1 (ja) 2019-12-05 2020-08-25 情報処理装置、制御方法及びプログラム

Publications (1)

Publication Number Publication Date
DE112020005954T5 true DE112020005954T5 (de) 2022-09-22

Family

ID=76220230

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112020005954.5T Pending DE112020005954T5 (de) 2019-12-05 2020-08-25 Informationsverarbeitungsvorrichtung, Steuerverfahren und Programm

Country Status (4)

Country Link
US (1) US11615183B2 (de)
JP (1) JP7241281B2 (de)
DE (1) DE112020005954T5 (de)
WO (1) WO2021111681A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023096727A (ja) * 2021-12-27 2023-07-07 国立大学法人東海国立大学機構 車載装置、プログラム及び、情報処理方法
US20230385405A1 (en) * 2022-05-27 2023-11-30 The Boeing Company System, method, and program for analyzing vehicle system logs
CN117155719A (zh) * 2023-11-01 2023-12-01 北京傲星科技有限公司 一种车辆数据安全检测方法、系统、电子设备及存储介质

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8079086B1 (en) * 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US9219755B2 (en) * 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7690034B1 (en) * 2004-09-10 2010-03-30 Symantec Corporation Using behavior blocking mobility tokens to facilitate distributed worm detection
US20090204964A1 (en) * 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
JP2010182019A (ja) 2009-02-04 2010-08-19 Kddi Corp 異常検知装置およびプログラム
US9098333B1 (en) * 2010-05-07 2015-08-04 Ziften Technologies, Inc. Monitoring computer process resource usage
JP5478390B2 (ja) * 2010-07-12 2014-04-23 Kddi株式会社 ログ抽出システムおよびプログラム
US9154516B1 (en) * 2013-09-27 2015-10-06 Emc Corporation Detecting risky network communications based on evaluation using normal and abnormal behavior profiles
JP6191397B2 (ja) * 2013-10-31 2017-09-06 日産自動車株式会社 通信中継装置、通信中継処理
US9245125B2 (en) * 2014-02-27 2016-01-26 Nec Laboratories America, Inc. Duleak: a scalable app engine for high-impact privacy leaks
US10367814B2 (en) * 2014-06-22 2019-07-30 Citrix Systems, Inc. Enabling user entropy encryption in non-compliant mobile applications
EP3213243B1 (de) * 2014-10-31 2020-09-09 Proofpoint, Inc. Systeme und verfahren zur privaten durchführung einer anwendungssicherheitsanalyse
US10181030B2 (en) * 2015-07-24 2019-01-15 Citrix Systems, Inc. Blocking routine redirection
US10365377B1 (en) * 2015-09-28 2019-07-30 Marvell International Ltd. Apparatus and method for mobility mode state detection
US10275301B2 (en) * 2015-09-29 2019-04-30 International Business Machines Corporation Detecting and analyzing performance anomalies of client-server based applications
JP6655361B2 (ja) * 2015-11-11 2020-02-26 日立オートモティブシステムズ株式会社 車両制御装置
US10459827B1 (en) * 2016-03-22 2019-10-29 Electronic Arts Inc. Machine-learning based anomaly detection for heterogenous data sources
US10540498B2 (en) * 2016-08-12 2020-01-21 Intel Corporation Technologies for hardware assisted native malware detection
US10673880B1 (en) * 2016-09-26 2020-06-02 Splunk Inc. Anomaly detection to identify security threats
US20180359789A1 (en) * 2017-06-09 2018-12-13 Qualcomm Incorporated Techniques and apparatuses for determining a modification of a discontinuous reception cycle length
US11516735B2 (en) * 2017-08-11 2022-11-29 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods for adaptively monitoring downlink control channel in discontinuous reception
US10936717B1 (en) * 2018-01-30 2021-03-02 EMC IP Holding Company LLC Monitoring containers running on container host devices for detection of anomalies in current container behavior
US11075929B1 (en) * 2018-02-20 2021-07-27 Facebook, Inc. Machine learning assisted anomaly detection on a millimeter-wave communications network
US10939336B2 (en) * 2018-04-05 2021-03-02 Lg Electronics Inc. Method for estimating mobility state of UE and device supporting the same
US10600003B2 (en) * 2018-06-30 2020-03-24 Microsoft Technology Licensing, Llc Auto-tune anomaly detection
US11109442B2 (en) * 2018-07-27 2021-08-31 At&T Intellectual Property I, L.P. Dynamically adjusting a network inactivity timer during user endpoint mobility states
US11640450B2 (en) * 2018-08-12 2023-05-02 International Business Machines Corporation Authentication using features extracted based on cursor locations
US20210306361A1 (en) 2018-10-11 2021-09-30 Nippon Telegraph And Telephone Corporation Analysis apparatus, analysis system, analysis method and program
US11063645B2 (en) * 2018-12-18 2021-07-13 XCOM Labs, Inc. Methods of wirelessly communicating with a group of devices
US11568181B2 (en) * 2019-01-29 2023-01-31 EMC IP Holding Company LLC Extraction of anomaly related rules using data mining and machine learning
US11201889B2 (en) * 2019-03-29 2021-12-14 Citrix Systems, Inc. Security device selection based on secure content detection
US11240205B1 (en) * 2019-05-06 2022-02-01 Amazon Technologies, Inc. Implementing rules in firewalls
US11307959B2 (en) * 2019-05-20 2022-04-19 International Business Machines Corporation Correlating logs from multiple sources based on log content
US11388175B2 (en) * 2019-09-05 2022-07-12 Cisco Technology, Inc. Threat detection of application traffic flows
US20210158193A1 (en) * 2019-11-27 2021-05-27 Rsa Security Llc Interpretable Supervised Anomaly Detection for Determining Reasons for Unsupervised Anomaly Decision

Also Published As

Publication number Publication date
US20220284092A1 (en) 2022-09-08
WO2021111681A1 (ja) 2021-06-10
US11615183B2 (en) 2023-03-28
JP7241281B2 (ja) 2023-03-17
JP2021089632A (ja) 2021-06-10

Similar Documents

Publication Publication Date Title
DE112020005954T5 (de) Informationsverarbeitungsvorrichtung, Steuerverfahren und Programm
CN112437056B (zh) 安全处理方法以及服务器
DE112017007515T5 (de) Fahrzeuginternes Authentifikationssystem, fahrzeuginternes Authentifikationsverfahren und fahrzeuginternes Authentifikationsprogramm
CN111095955A (zh) 用于联网车辆网络安全的系统和方法
CN108028784A (zh) 不正常检测方法、监视电子控制单元以及车载网络系统
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
US20210211442A1 (en) Threat analysis apparatus, threat analysis method, and recording medium
DE112017006854T5 (de) Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
DE112018001489T5 (de) Fahrzeuggebundene Kommunikationsvorrichtung, Computerprogramm und Nachrichtenermittlungsverfahren
EP3654222B1 (de) Fahrzeug, netzwerkkomponente, verfahren, computerprogramm und vorrichtung zum generieren einer kennung für einen ausrüstungszustand eines fahrzeugs
DE112019006487B4 (de) Elektronische Steuereinheit, elektronisches Steuersystem und Programm
DE102020208245A1 (de) Datenspeicherungsvorrichtung und Datenspeicherungsprogramm
DE112021005629T5 (de) Anomalieerfassungsvorrichtung, anomalieerfassungsverfahren und programm
EP3732913A1 (de) Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
DE102021130897A1 (de) Elektronische steuerungseinheit, softwareaktualisierungsverfahren, softwareaktualisierungsprogramm und elektronisches steuerungssystem
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
DE102021125867A1 (de) Automatisierte detektion von fahrzeugdatenmanipulation und mechanischen ausfällen
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
DE102022100458A1 (de) Bordeigene informationsverarbeitungsvorrichtung, informationsverarbeitungsverfahren und computerlesbares speichermedium
DE112021001385T5 (de) Verfahren und system zum sammeln und verwalten von fahrzeugdaten
DE102021208459A1 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102019201953B4 (de) Verfahren und Detektionsvorrichtung zum Detektieren eines Eingriffs in ein Kraftfahrzeug sowie Kraftfahrzeug mit einer Detektionsvorrichtung
DE102019101124A1 (de) Überwachungsvorrichtung, Überwachungsverfahren und Programm
DE102023103170A1 (de) Überwachungsvorrichtung und überwachungsverfahren
JP7291909B2 (ja) 情報処理装置、情報処理方法及びプログラム

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: PANASONIC AUTOMOTIVE SYSTEMS CO., LTD., YOKOHA, JP

Free format text: FORMER OWNER: PANASONIC INTELLECTUAL PROPERTY MANAGEMENT CO., LTD., OSAKA, JP