JP2018026663A - ネットワーク監視装置およびプログラム - Google Patents

ネットワーク監視装置およびプログラム Download PDF

Info

Publication number
JP2018026663A
JP2018026663A JP2016156475A JP2016156475A JP2018026663A JP 2018026663 A JP2018026663 A JP 2018026663A JP 2016156475 A JP2016156475 A JP 2016156475A JP 2016156475 A JP2016156475 A JP 2016156475A JP 2018026663 A JP2018026663 A JP 2018026663A
Authority
JP
Japan
Prior art keywords
message
unauthorized transmission
network
received
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016156475A
Other languages
English (en)
Other versions
JP6433951B2 (ja
Inventor
浩司 由良
Koji Yura
浩司 由良
毅史 北村
Takeshi Kitamura
毅史 北村
後藤 英樹
Hideki Goto
英樹 後藤
友和 守谷
Tomokazu Moriya
友和 守谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Toshiba Digital Solutions Corp
Original Assignee
Toyota Motor Corp
Toshiba Digital Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp, Toshiba Digital Solutions Corp filed Critical Toyota Motor Corp
Priority to JP2016156475A priority Critical patent/JP6433951B2/ja
Priority to US15/465,816 priority patent/US10326782B2/en
Priority to KR1020170066105A priority patent/KR102030397B1/ko
Priority to EP17183969.9A priority patent/EP3282646B1/en
Priority to CN201710650225.5A priority patent/CN107707520B/zh
Priority to RU2017128092A priority patent/RU2676236C1/ru
Priority to BR102017017027A priority patent/BR102017017027A8/pt
Publication of JP2018026663A publication Critical patent/JP2018026663A/ja
Application granted granted Critical
Publication of JP6433951B2 publication Critical patent/JP6433951B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/62Establishing a time schedule for servicing the requests
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Small-Scale Networks (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】リアルタイム性を損なわずにメッセージの不正送信の有無を精度よく判定できるネットワーク監視装置およびプログラムを提供する。【解決手段】実施形態のCGW10は、識別子で識別されるメッセージが送受信されるネットワークにおいて周期送信されるメッセージを監視対象とし、監視対象メッセージを受信するごとに、受信時刻を識別子と対応付けて記録する受信時刻記録部21と、監視対象メッセージを受信するごとに、受信した監視対象メッセージについて、今回の受信時刻Tiと、m個前の受信時刻Ti−mと、メッセージ送信周期Fと、定数σとに基づいて、受信時刻Ti−mからTiの期間内における不正送信の有無を判定する不正送信判定部22と、を備える。【選択図】図3

Description

本発明の実施形態は、ネットワーク監視装置およびプログラムに関する。
例えば自動車に搭載される車載ネットワークでは、メッセージの不正送信によって自動車が運転手の意図と異なる挙動をすることが知られている。こうしたネットワークへの攻撃に対する対策として、メッセージの不正送信を検知する技術の開発が進められている。例えば、送信メッセージの周期性に着目し、所定送信周期に対するフィルタリングを行う技術や、周期異常を検知して不正送信されたメッセージの破棄などを行う技術などが提案されている。
しかし、送信メッセージの周期性に着目して不正送信を検知する従来の技術は、メッセージを受信したときにそのメッセージの正当性を判定することを主眼とする。このため、周期変動などを考慮してメッセージの正当性を高精度に判定しようとすると、待機時間が長くなってリアルタイム性が損なわれる。一方、リアルタイム性を重視すると判定精度が低下し、不正送信の見逃しや誤検知が生じやすくなる。したがって、リアルタイム性を損なわずにメッセージの不正送信の有無を精度よく判定できる新たな技術が望まれている。
特許第5919205号公報
Dr.Charlie Miller & Chris Valasek,"Adventures in Automotive Networks and Control Units",2013,DEF CON.http://illmatics.com/car_hacking.pdf 氏家良浩他:CANメッセージにおける振る舞い検知手法に関する考察,12th WOCS.http://www.ipa.go.jp/files/000043928.pdf
本発明が解決しようとする課題は、リアルタイム性を損なわずにメッセージの不正送信の有無を精度よく判定できるネットワーク監視装置およびプログラムを提供することである。
実施形態のネットワーク監視装置は、識別子で識別されるメッセージが送受信されるネットワークにおいて周期送信されるメッセージを監視対象とするネットワーク監視装置であって、受信時刻記録部と、不正送信判定部と、を備える。受信時刻記録部は、監視対象メッセージを受信するごとに、受信時刻を識別子と対応付けて記録する。不正送信判定部は、監視対象メッセージを受信するごとに、受信した監視対象メッセージについて、今回の受信時刻Tと、m個前の受信時刻Ti−mと、メッセージ送信周期Fと、予め定めた定数σとに基づいて、受信時刻Ti−mからTの期間内における不正送信の有無を判定する。
図1は、車載ネットワークの構成例を示す図である。 図2は、CGWのハードウェア構成例を示すブロック図である。 図3は、CGWの機能的な構成例を示すブロック図である。 図4は、監視転送テーブルの一例を示す図である。 図5は、監視記録テーブルの一例を示す図である。 図6は、定数σについて説明する図である。 図7は、定数σについて説明する図である。 図8は、定数σについて説明する図である。 図9は、不正送信検知メッセージのデータフォーマットの一例を示す図である。 図10は、検知時処理テーブルの一例を示す図である。 図11は、監視転送部により実行される一連の処理手順を示すフローチャートである。 図12−1は、不正送信判定処理の処理手順の一例を示すフローチャートである。 図12−2は、不正送信判定処理の処理手順の他の例を示すフローチャートである。 図13は、不正送信検知時処理の処理手順を示すフローチャートである。
以下、実施形態のネットワーク監視装置およびプログラムを、図面を参照して詳細に説明する。以下では、自動車に搭載される車載ネットワークへの適用例を例示するが、適用可能なネットワークは車載ネットワークに限らない。実施形態のネットワーク監視装置およびプログラムは、識別子で識別されるメッセージが送受信されるネットワークであって、少なくとも一部のメッセージが周期送信(所定の周期で繰り返し送信)されるネットワークに対して広く適用可能である。
<実施形態の概要>
本実施形態のネットワーク監視装置は、識別子(ID)で識別されるメッセージが送受信される例えばCAN(Controller Area Network)などの車載ネットワークにおいて、周期送信されるメッセージを監視対象とする。そして、IDで識別される監視対象メッセージに、正規のメッセージと同じIDを持つ「なりすまし」メッセージなどの不正送信が含まれているか否かを判定する。本実施形態のネットワーク監視装置による不正送信の有無の判定は、受信したメッセージが不正送信されたメッセージかどうかを判定するものではなく、同じIDを持つ監視対象メッセージについて、これまで受信したいくつかのメッセージの中に、不正送信されたメッセージが含まれているかどうかを判定するものである。
監視対象メッセージの不正送信を判定するために、本実施形態では、監視対象メッセージを受信するごとに、受信時刻をそのメッセージのIDと対応付けて記録する。受信したメッセージと同じIDのメッセージに不正送信が含まれている場合、メッセージの受信間隔に注目すると、正規送信の他に不正送信のメッセージも含まれるため受信間隔が所定のメッセージ送信周期よりも短くなる。本実施形態では、このようなメッセージの受信間隔の変化を利用して、不正送信の有無を判定する。
メッセージの受信間隔の変化は、ネットワークの様々な要因による遅延によっても生じ得る。このため、メッセージの受信間隔の変化が小さい場合、今回受信したメッセージが不正送信されたものか否かをすぐに判定できない。しかし、不正送信があれば、不正送信されたメッセージの受信時に不正送信を検知できないとしても、その次のメッセージを受信したときに受信間隔が大きく変化するので、次のメッセージの受信時には不正送信があったことを検知できる。つまり、m個前のメッセージの受信時刻から今回のメッセージの受信時刻までの期間内に不正送信があったかどうかを判定することは可能である。なお、mは1以上の自然数であり、本実施形態ではmの値が1または2であることを想定するが、3以上の値であっても同様の効果が得られる。
本実施形態では、以上のように、監視対象メッセージについて、m個前のメッセージの受信時刻から今回のメッセージの受信時刻までの期間内における不正送信の有無を判定し、不正送信ありと判定した場合に、例えば、不正送信のあった監視対象メッセージのIDを含む不正検知メッセージを送信するなど、予め定めた所定の不正検知時処理を実行する。
<車載ネットワークの構成例>
図1は、本実施形態のネットワーク監視装置が適用される車載ネットワークの構成例を示す図である。図1に示す車載ネットワークは、自動車に搭載される電子制御ユニット(以下、「ECU」と呼ぶ)間で通信を行うネットワークである。自動車には多数のECUが搭載される。多数のECUは複数のバス(図1の例では、第1のバスB1、第2のバスB2、および第3のバスB3)に分散して配置され、相互にメッセージの送受信を行う。本実施形態では、各ECUがCANのプロトコルに従った通信を行うものとする。
図1に示す例では、正規のECUとして、第1バスB1にECU101,102が接続され、第2バスB2にECU201,202,203が接続され、第3バスB3にECU301,302,303が接続されている。このうち、第3バスB3に接続されているECU301は、車載インフォテインメント(IVI:In-Vehicle Infotainment)用のECUであり、図示しないデジタル通信モジュール(DCM:Digital Communication Module)に接続され、移動体通信網を介して車外のIP網に接続している。
CGW(Central Gateway)10は、第1バスB1、第2バスB2、および第3バスB3にそれぞれ接続されている。あるバス上のECUが他のバス上のECUに対してメッセージを送信する場合、CGW10は、そのメッセージの転送を行う。本実施形態では、このCGW10が、上述のネットワーク監視装置としての機能を持つものとする。
また、図1に示す例では、第1バスB1に、不正ECUであるECU501が接続されている。本実施形態では、この不正ECU501から、正規のECUのうちでメッセージを周期送信する監視対象のECUが送信するメッセージ(正規送信のメッセージ)と同じIDを持つメッセージ(不正送信のメッセージ)が送信されることを想定する。
なお、図1に示した車載ネットワークの構成は一例であり、本実施形態のネットワーク監視装置が適用される車載ネットワークの構成はこの例に限らない。また、通信方式もCANに限らず、他の通信方式でECU間の通信を行うものであってもよい。互いに通信方式の異なるネットワークがCGW10を介して接続された構成であってもよい。また、本実施形態ではCGW10がネットワーク監視装置としての機能を持つものとするが、CGW10に代えて、あるいはCGW10とともに他の1以上のECUにネットワーク監視装置としての機能を持たせてもよい。また、CGW10やECUとは別体の(独立の)ネットワーク監視装置を車載ネットワークに接続する構成であってもよい。
<CGW(ネットワーク監視装置)の構成例>
図2は、本実施形態のネットワーク監視装置としての機能を持つCGW10のハードウェア構成例を示す図である。CGW10は、図2に示すように、LSI(Large-Scale Integration)50と、第1バスB1に接続されたトランシーバ60a、第2バスB2に接続されたトランシーバ60b、および第3バスB3に接続されたトランシーバ60cとを備える。トランシーバ60a,60b,60cは、第1バスB1,第2バスB2、および第3バスB3における差動電位をデジタル信号に変換したり、デジタル信号を差動電位に変換したりといったアナログ処理を行う。
LSI50は、デジタル信号処理を行う集積回路(マイクロコンピュータ)であり、CPU51、RAM52、ROM53、通信コントローラ54a,54b,54c、およびタイマ55などが実装されている。CPU51は、所定のプログラムを実行してCGW10全体の動作を制御するプロセッサである。RAM52は、CPU51がプログラムを実行する際のワークエリアとなるメモリであり、ROM53は、CPU51が実行するプログラムやデータを格納するメモリである。通信コントローラ54a,54b,54cは、トランシーバ60a,60b,60cと協働して、各バス(第1バスB1、第2バスB2、および第3バスB3)へのメッセージの送信と各バスからのメッセージの受信とを行うためのコントローラである。タイマ55は、CGW10で扱う時間の計測を行い、例えば、スケジュールの管理や後述の受信時刻の記録などのために時間を計測する。
なお、図2はCGW10のハードウェア構成例を示しているが、他のECUのハードウェア構成も、基本的には図2に示したCGW10のハードウェア構成と同様である。図2の構成例では、CGW10が第1バスB1、第2バスB2、および第3バスB3の3つのバスに接続されるため、3つのバスに対応する3つのトランシーバ60a,60b,60cおよびLSI50内の通信コントローラ54a,54b,54cを備えるが、各ECUは、自身が接続されるバスに対応するトランシーバおよび通信コントローラを備えていればよい。
本実施形態のネットワーク監視装置としての機能は、一例として、上述したCGW10のハードウェアとソフトウェア(プログラム)との協働により実現することができる。すなわち、CGW10をネットワーク監視装置として機能させるためのプログラムをROM53に格納し、CPU51が、RAM52をワークエリアとして利用して、ROM53に格納されたプログラムを読み出して実行することにより、CGW10をネットワーク監視装置として機能させることができる。
図3は、本実施形態のネットワーク監視装置としての機能を持つCGW10の機能的な構成例を示すブロック図である。CGW10は、機能的な構成要素として、図3に示すように、監視転送部11と、受信部12と、送信部13と、スケジューラ14とを備える。受信部12は、通信コントローラ54a,54b,54cを介してメッセージを受信する機能であり、送信部13は、通信コントローラ54a,54b,54cを介してメッセージを送信する機能である。スケジューラ14は、送信部13によるメッセージの送信のタイミングを管理する。また、CGW10は、監視転送部11が参照または読み書きするテーブルとして、監視転送テーブル15、監視記録テーブル16、および検知時処理テーブル17を備える。
なお、図3はCGW10のハードウェアとソフトウェアとの協働により実現される機能的な構成例を示しているが、他のECUの機能的な構成は、監視転送部11をそのECUの本来の機能に置き換えたものとなり、受信部12、送信部13、およびスケジューラ14を備えることは共通である。
監視転送部11は、本実施形態のネットワーク監視装置の主要な機能である。監視転送部11は、受信時刻記録部21、不正送信判定部22、通常処理部23、および不正送信検知時処理部24を有する。
受信時刻記録部21は、受信部12が監視対象メッセージを受信するごとに、そのメッセージの受信時刻をそのメッセージのID(本実施形態ではCAN ID)と対応付けて記録する。受信時刻記録部21は、受信部12が受信したメッセージが監視対象メッセージか否かを判断するために、監視転送テーブル15を参照する。
図4は、監視転送テーブル15の一例を示す図である。この図4に示す監視転送テーブル15では、車載ネットワークで送受信されるメッセージのCAN IDごとに、周期送信の場合の周期(後述のメッセージ送信周期F)、送信元バス、周期監視の要否、および転送先バスが示されている。周期監視の「○」はそのCAN IDを持つメッセージが監視対象メッセージであることを示し、「−」は周期送信でないために監視不可、「×」は周期送信だが監視対象外であることを示す。転送先バスの「○」はそのバスが転送先であること、「/」はそのバスが送信元バスであるため転送不可、「−」はそのバスに転送しないことを示す。
受信時刻記録部21は、図4に示すような監視転送テーブル15を参照し、受信部12が受信したメッセージのCAN IDに対応する周期監視が「○」となっているか否かを確認することで、受信部12が受信したメッセージが監視対象メッセージか否かを判断できる。そして、受信部12が受信したメッセージが監視対象メッセージであれば、そのメッセージの受信時刻を監視記録テーブル16に記録する。
図5は、監視記録テーブル16の一例を示す図である。監視記録テーブル16には、受信部12が監視対象メッセージを受信するごとに、受信時刻記録部21によって、そのメッセージの受信時刻がCAN IDと対応付けて記録される。監視記録テーブル16に記録される受信時刻は、後述の不正送信判定部22が不正送信の有無を判定するために用いられる。したがって、不正送信判定部22での判定に必要となるm個前のメッセージの受信時刻よりも古い受信時刻は、監視記録テーブル16から消去してもよい。図5に例示する監視記録テーブル16は、最新の受信時刻から3つ前の受信時刻までが記録されている。なお、監視記録テーブル16に記録される受信時刻は、例えば、上述のタイマ55により計測される。
不正送信判定部22は、受信部12が監視対象メッセージを受信するごとに、つまり受信時刻記録部21によって監視対象メッセージの最新の受信時刻が監視記録テーブル16に記録されるたびに、受信部12が受信した監視対象メッセージについて、今回の受信時刻Tと、m個前の受信時刻Ti−mと、メッセージ送信周期Fと、予め定めた定数σとに基づいて、受信時刻Ti−mからTの期間内における不正送信の有無を判定する。
例えば、不正送信判定部22は、受信部12が受信した監視対象メッセージの今回の受信時刻Tと、m個前の受信時刻Ti−mと、メッセージ送信周期Fと、予め定めた定数σとに基づき、下記式(1)により、受信時刻Ti−mからTの期間内における不正送信数の推定値Nを求め、Nが1以上である場合に、不正送信ありと判定する構成とすることができる。
N=m−INT((T−Ti−m+σ)/F) ・・・(1)
この式(1)において、INT(X)は、Xの整数部を求める関数(INT関数)である。つまり、上記式(1)は、(T−Ti−m+σ)/Fの整数部kを求め、m−kで表される不正送信数の推定値Nを算出する算出式となっている。
ここで、定数σについて説明する。CANなどの車載ネットワーク上にメッセージを周期送信するECUは、多くの場合、ソフトウェアにより実現される送信部(図3参照)がタイマの周期割込みにより起動され、この送信部と通信コントローラ(図2参照)の処理により、メッセージがトランシーバを介してバスに送出される。このときタイマの周期割込みは高い精度で発生するが、メッセージがバスに送出されるまでには、下記の様々な要因によって遅延が発生する。
・実行中ソフトウェアの終了待ち
・スケジューラの待ちキューにおける起動の優先順位
・通信コントローラ内でのメッセージの送信順位
・バス上でのメッセージの送信完了待ち
・送信待ちメッセージの送信開始時のバス上での調停
そのため、正規送信されたメッセージの受信時刻をT(i)とすると、このT(i)は、図6に示すように、タイマの周期割込み時刻TF(i)と、そこからの遅延Δ(i)(Δ(i)>0)とにより表現される。ただし、TF(i)とΔ(i)は外部からは観測できない。
ここで、m=1の場合について分析する。図7に示すように、Δ(i−2)=Δ(i)=0であり、Δ(i−1)=Δmax(Δmaxは車載ネットワークの設計上想定する遅延の最大値)とすると、最短の正規送信の区間(T(i−1),T(i))で正規送信を不正送信と判定しないための条件(A)は、(T(i)−T(i−1)+σ)/F=(F−Δmax+σ)/F≧1、すなわち、Δmax≦σである。また、最長の正規送信の区間(T(i−2),T(i−1))における不正送信を検知するための条件(B)は、((T(i−1)−T(i−2))/2+σ)/F=((F+Δmax)/2+σ)/F<1、すなわち、Δmax+2σ<Fである。ただし、正規送信の受信時刻T(i−2)とT(i−1)との間の不正送信が、前後の正規送信との間隔の小さい方を最大とする場合に、(T(i−1)−T(i−2))/2となる。
以上の条件(A)と条件(B)とから、ΔmaxがΔmax<F/3を満たすとき、m=1であれば、不正送信を正しく検知するために定数σに求められる必要条件は、Δmax≦σ<(F−Δmax)/2となる。なお、定数σの値が小さいほど不正送信の検知が遅れるケース、つまり、不正送信を受信したタイミングではなく次の正規送信を受信したタイミングで不正送信が検知されるケースが少なくなるので、定数σは、上記必要条件を満たす範囲内で小さい値に設定することが望ましい。
なお、車載ネットワークでは、通信環境や機器の状況(温度など)により一時的に通信エラーが多発する場合がある。CANでは、通信エラーが発生すると通信コントローラが自動的にメッセージの再送を行うため、このような場合にバス全体として遅延が大きくなる。車載ネットワークの設計ではある程度の通信エラーを想定するが、必ずしも最悪の通信エラーを想定していない。したがって、実際の車載ネットワークにおいては、設計上想定する遅延の最大値Δmaxを超える遅延が発生する場合もある。定数σをΔmaxよりも大きい値にしておくことで、このような想定外の遅延が発生した場合の誤判定を抑制できる。
次に、m=2の場合について分析する。図8に示すように、Δ(i−1)=Δ(i)=0であり、Δ(i−2)=Δ(i+1)=Δmaxとすると、最短の正規送信の区間(T(i−2),T(i))で正規送信を不正送信と判定しないための条件(C)は、(T(i)−T(i−2)+σ)/F=(2F−Δmax+σ)/F≧2、すなわち、Δmax≦σである。また、最長の正規送信の区間(T(i),T(i+1))における不正送信を検知するための条件(D)は、(T(i+1)−T(i)+σ)/F=(F+Δmax+σ)/F<2、すなわち、Δmax+σ<Fである。
以上の条件(C)と条件(D)とから、ΔmaxがΔmax<F/2を満たすとき、m=2であれば、不正送信を正しく検知するために定数σに求められる必要条件は、Δmax≦σ<F−Δmaxとなる。なお、m=1の場合と同様に、定数σの値が小さいほど不正送信の検知が遅れるケースが少なくなるので、定数σは、上記必要条件を満たす範囲内で小さい値に設定することが望ましい。また、m=2の場合は、3つのメッセージの最初と最後が正規送信であるケースにおいて不正送信を確実に検知できる。
次に、m=3の場合について、m=2の場合と同様に分析する。Δ(i−2)=Δ(i−1)=Δ(i)=0であり、Δ(i−3)=Δ(i+1)=Δmaxとすると、最短の正規送信の区間(T(i−3),T(i))で正規送信を不正送信と判定しないための条件(E)は、(T(i)−T(i−3)+σ)/F=(3F−Δmax+σ)/F≧2、すなわち、Δmax≦σである。また、最長の正規送信の区間(T(i−1),T(i+1))における不正送信を検知するための条件(F)は、(T(i+1)−T(i−1)+σ)/F=(2F+Δmax+σ)/F<3、すなわち、Δmax+σ<Fである。
以上の条件(E)と条件(F)とから、ΔmaxがΔmax<F/2を満たすとき、m=3であれば、不正送信を正しく検知するために定数σに求められる必要条件は、m=2の場合と同様に、Δmax≦σ<F−Δmaxとなる。なお、m>3の場合も同様に分析できる。つまり、m≧2の場合は、Δmax≦σ<F−Δmaxを満たす値に定数σを定めれば、不正送信を正しく検知することができる。
なお、以上は、不正送信判定部22が、上記式(1)により受信時刻Ti−mからTの期間内における不正送信数の推定値Nを求め、Nが1以上であるか否かにより受信時刻Ti−mからTの期間内における不正送信の有無を判定する例を説明したが、受信時刻Ti−mからTの期間内における不正送信の有無を判定する方法はこの例に限らない。たとえば、不正送信判定部22は、M=m×F−σなる閾値Mを設定し、T−Ti−mが閾値M未満である場合に不正送信ありと判定する構成であってもよい。この場合、閾値Mは、受信部12が監視対象メッセージを受信するたびに計算してもよいが、監視対象メッセージごとの閾値Mを事前に計算して記憶しておけば、不正送信の有無を判定する処理時間を短縮できる。
通常処理部23は、受信部12が受信したメッセージが監視対象メッセージでない場合、あるいは、不正送信判定部22により不正送信なしと判定された場合に、受信部12が受信したメッセージに対して通常処理を実行する。ここで通常処理とは、CGW10の本来の機能に基づく処理、例えば、あるバスから受信したメッセージを他のバスに転送する処理である。なお、本実施形態のネットワーク監視装置をCGW10以外の他のECUで実現する場合、通常処理は、そのECUの本来の機能に基づく処理となる。
不正送信検知時処理部24は、不正送信判定部22により不正送信ありと判定された場合に、所定の不正送信検知時処理を実行する。不正送信検知時処理部24が実行する不正送信検知時処理は、例えば、不正送信ありと判定した監視対象メッセージのCAN IDを含む不正送信検知メッセージをネットワークに送信する処理を含む。具体的には、例えば図9に示すような不正送信検知メッセージを、不正送信ありと判定された監視対象メッセージの送信元バスと転送先バスとに送信する。図9は、不正送信検知メッセージのデータフォーマットの一例を示している。
また、不正送信検知時処理は、例えば、不正送信ありと判定された監視対象メッセージの送信元バスが、車外接続機能を持つIVI用のECU301を含む第3バスB3である場合に、その後、第3バスB3から受信したメッセージに対する通常処理(例えば、他のバスへの転送)をすべて停止する処理をさらに含んでいてもよい。
また、不正送信検知時処理は、例えば図10に示すような検知時処理テーブル17に従って、受信部12が受信した監視対象メッセージを破棄したり、受信部12が受信した監視対象メッセージの特定の位置をマスクしたりする処理をさらに含んでいてもよい。図10は、不正送信検知時処理部24が参照する検知時処理テーブル17の一例を示す図である。この図10に示す検知時処理テーブル17では、破棄やマスク処理の対象となる監視対象メッセージのCAN IDごとに、破棄/マスクのいずれかを示す処理、監視バイト、危険値、および処理がマスクの場合のマスク値が示されている。
不正送信検知時処理部24は、不正送信判定部22により不正送信ありと判定された場合に、検知時処理テーブル17を参照して、受信部12が受信した監視対象メッセージのCAN IDが検知時処理テーブル17に登録されているか否かを確認する。そして、受信部12が受信した監視対象メッセージのCAN IDが検知時処理テーブル17に登録されていれば、そのCAN IDに対応する処理が破棄かマスクかを確認する。処理が破棄の場合、不正送信検知時処理部24は、そのCAN IDに対応する監視バイトと危険値を参照し、受信部12が受信した監視対象メッセージの監視バイトの値が危険値と一致していれば、その監視対象メッセージを破棄する。また、CAN IDに対応する監視バイトが「−」となっている場合も、受信部12が受信した監視対象メッセージを破棄する。
また、不正送信検知時処理部24は、受信部12が受信した監視対象メッセージのCAN IDに対応する処理がマスクである場合は、そのCAN IDに対応する監視バイトと危険値とマスク値とを参照し、受信部12が受信した監視対象メッセージの監視バイトの値が危険値と一致していれば、監視バイトの値をマスク値によりマスクした上で、受信部12が受信した監視対象メッセージを送信部13から転送先バスへと転送する。また、CAN IDに対応する危険値が「−」となっている場合も、監視バイトの値をマスク値によりマスクした上で、受信部12が受信した監視対象メッセージを送信部13から転送先バスへと転送する。
本実施形態では、上述のように、監視対象メッセージを受信したときに、そのメッセージが不正送信かどうかを判定するのではなく、同じCAN IDを持つ監視対象メッセージについて、m個前のメッセージの受信時刻Ti−mから今回の受信時刻Tの期間内における不正送信の有無を判定する。したがって、不正送信ありと判定した場合は、従来のように受信したメッセージの破棄などを行うのではなく、上述の不正送信検知メッセージを送信し、付加的な処理として、条件に応じた通常処理の停止やメッセージの破棄、マスク処理などを行うようにしている。
<CGW(ネットワーク監視装置)の動作説明>
次に、本実施形態のCGW10の動作例について説明する。まず、図11を参照してCGW10による処理手順の概要を説明する。図11は、受信部12がメッセージを受信するたびに、CGW10の監視転送部11により実行される一連の処理手順を示すフローチャートである。
受信部12によりメッセージが受信されると、まず、監視転送部11の受信時刻記録部21が、監視転送テーブル15を参照し、受信したメッセージが監視対象メッセージか否かを判定する(ステップS101)。そして、監視対象メッセージであれば(ステップS101:Yes)、受信時刻記録部21は、そのメッセージの受信時刻をCAN IDと対応付けて監視記録テーブル16に記録する(ステップS102)。
次に、不正送信判定部22が、図12−1または図12−2に例示する不正送信判定処理を実行する(ステップS103)。そして、不正送信判定処理の結果、不正送信ありと判定された場合は(ステップS104:Yes)、不正送信検知時処理部24が、図13に例示する不正送信検知時処理を実行する(ステップS105)。一方、不正送信判定処理の結果、不正送信なしと判定された場合(ステップS104:No)、あるいは受信部12が受信したメッセージが監視対象メッセージではない場合(ステップS101:No)は、通常処理部23が、受信部12が受信したメッセージに対する通常処理を実行する(ステップS106)。
次に、図11のステップS103の不正送信判定処理の一例について、図12−1を参照して説明する。図12−1は、不正送信判定部22が実行する不正送信判定処理の処理手順の一例を示すフローチャートである。
図12−1に示す不正送信判定処理が開始されると、不正送信判定部22は、まず、受信部12が受信したメッセージの最新の受信時刻Tとm個前の受信時刻Ti−mとを監視記録テーブル16から読み出すとともに、メッセージ送信周期Fを監視転送テーブル15から読み出す(ステップS201)。そして、不正送信判定部22は、ステップS201で読み出した受信時刻T,Ti−mと、メッセージ送信周期Fと、mの値に応じて定められた定数σとから、上記式(1)により、Ti−mからTの期間内における不正送信数の推定値Nを算出する(ステップS202)。
次に、不正送信判定部22は、ステップS202で算出した不正送信数の推定値Nが1以上か否かを判定する(ステップS203)。そして、不正送信数の推定値Nが1以上であれば(ステップS203:Yes)、Ti−mからTの期間内に不正送信があると判定し(ステップS204)、不正送信数の推定値Nが0であれば(ステップS203:No)、Ti−mからTの期間内に不正送信はないと判定する(ステップS205)。
次に、図11のステップS103の不正送信判定処理の他の例について、図12−2を参照して説明する。図12−2は、不正送信判定部22が実行する不正送信判定処理の処理手順の他の例を示すフローチャートである。
図12−2に示す不正送信判定処理が開始されると、不正送信判定部22は、まず、受信部12が受信したメッセージの最新の受信時刻Tとm個前の受信時刻Ti−mとを監視記録テーブル16から読み出すとともに、メッセージ送信周期Fを監視転送テーブル15から読み出す(ステップS301)。そして、不正送信判定部22は、ステップS301で読み出した受信時刻T,Ti−mと、メッセージ送信周期Fと、mの値に応じて定められた定数σとに基づいて、T−Ti−m<M(M=m×F−σ)であるか否かを判定する(ステップS302)。そして、T−Ti−m<Mであれば(ステップS302:Yes)、Ti−mからTの期間内に不正送信があると判定し(ステップS303)、T−Ti−m≧Mであれば(ステップS302:No)、Ti−mからTの期間内に不正送信はないと判定する(ステップS304)。
次に、図11のステップS105の不正送信検知時処理の一例について、図13を参照して説明する。図13は、不正送信検知時処理部24が実行する不正送信検知時処理の処理手順を示すフローチャートである。
不正送信検知時処理が開始されると、不正送信検知時処理部24は、まず、受信部12が受信した監視対象メッセージの送信元バスと転送先バスとに、送信部13から不正送信検知メッセージを送信する(ステップS401)。
次に、不正送信検知時処理部24は、受信部12が受信した監視対象メッセージの送信元バスが、IVI用のECU301を含む第3バスB3であるか否かを判定する(ステップS402)。そして、送信元バスが第3バスB3であれば(ステップS402:Yes)、第3バスB3から他のバスへのメッセージの転送を停止する(ステップS403)。
一方、送信元バスが第3バスB3でなければ(ステップS402:No)、不正送信検知時処理部24は、検知時処理テーブル17を参照し、受信部12が受信した監視対象メッセージが破棄対象メッセージか否かを判定する(ステップS404)。そして、受信部12が受信した監視対象メッセージが破棄対象メッセージであれば(ステップS404:Yes)、さらにその監視対象メッセージに対して監視バイトの指定があるかを判定する(ステップS405)。
ここで、監視バイトの指定があれば(ステップS405:Yes)、不正送信検知時処理部24は、受信部12が受信した監視対象メッセージの監視バイトの値が危険値と一致するか否かを判定し(ステップS406)、監視バイトの値が危険値と一致する場合(ステップS406:Yes)、受信部12が受信した監視対象メッセージを破棄する(ステップS407)。また、受信部12が受信した監視対象メッセージに対して監視バイトの指定がない場合も(ステップS405:No)、受信部12が受信した監視対象メッセージを破棄する(ステップS407)。一方、監視バイトの値が危険値と一致しない場合は(ステップS406:No)、後述のステップS412に進んで、受信部12が受信した監視対象メッセージを転送先バスに転送する。
また、受信部12が受信した監視対象メッセージが破棄対象メッセージでない場合(ステップS404:No)、不正送信検知時処理部24は、次に、受信部12が受信した監視対象メッセージがマスク対象メッセージか否かを判定する(ステップS408)。そして、受信部12が受信した監視対象メッセージがマスク対象メッセージであれば(ステップS408:Yes)、さらにその監視対象メッセージに危険値の指定があるかを判定する(ステップS409)。
ここで、危険値の指定があれば(ステップS409:Yes)、不正送信検知時処理部24は、受信部12が受信した監視対象メッセージの監視バイトの値が危険値と一致するか否かを判定する(ステップS410)。そして、監視バイトの値が危険値と一致する場合(ステップS410:Yes)、監視バイトの値をマスク値でマスクした上で(ステップS411)、受信部12が受信した監視対象メッセージを転送先バスに転送する(ステップS412)。また、受信部12が受信した監視対象メッセージに対して危険値の指定がない場合も(ステップS409:No)、監視バイトの値をマスク値でマスクした上で(ステップS411)、受信部12が受信した監視対象メッセージを転送先バスに転送する(ステップS412)。
一方、監視バイトの値が危険値と一致しない場合は(ステップS410:No)、不正送信検知時処理部24は、監視バイトの値をマスクすることなく、受信部12が受信した監視対象メッセージを転送先バスに転送する(ステップS412)。また、受信部12が受信した監視対象メッセージがマスク対象メッセージでない場合(ステップS408:No)、不正送信検知時処理部24は、受信部12が受信した監視対象メッセージをそのまま転送先バスに転送する(ステップS412)。
<実施形態の効果>
以上、具体的な例を挙げながら詳細に説明したように、本実施形態では、監視対象メッセージを受信するごとに、受信した監視対象メッセージについて、m個前の受信時刻Ti−mから今回の受信時刻Tまで期間内における不正送信の有無を判定するようにしている。したがって、本実施形態によれば、リアルタイム性を損なわずにメッセージの不正送信の有無を精度よく判定することができる。
詳述すると、周期送信されるメッセージの不正送信を検知する従来の技術は、メッセージを受信したときにそのメッセージの正当性を判定することを主眼とする。このため、例えば周期異常を検知する方法では、上述したネットワークの遅延などを考慮しつつ受信したメッセージの正当性を正確に判定しようとすると、長い待機時間が必要となって処理の遅れ(つまり、リアルタイム性の低下)を招き、リアルタイム性を損なわないように待機時間を短縮させると、不正送信の見逃しや誤検知が生じやすくなる。また、メッセージの所定送信周期に対してフィルタを適用することで不正送信の検知を行う方法では、フィルタには受信周期の変動に備えたマージンを設定する必要があり、マージンを広くすると不正送信のメッセージの見逃しが発生しやすく、マージンを狭くすると正規のメッセージを不正送信と誤検知しやすくなる。また、上記2つの方法とも、判定の基準となる時刻が必要となるが、メッセージ送信側のECUとの間で送受信時刻を同期させる方法により基準の時刻を定めようとすると、同期を維持する機構が必要となってコスト高になる。また、過去のメッセージの受信時刻を基準とする方法では、過去のメッセージが不正送信されたものである場合(不正送信の見逃しがあった場合)は、正しい判定を行うことができない。
これに対し、本実施形態によれば、受信したメッセージが不正送信されたメッセージかどうかを判定するのではなく、m個前の受信時刻Ti−mから今回の受信時刻Tまで期間内における不正送信の有無を判定するため、監視対象メッセージの受信時に不正送信の有無をすぐに判定することができる。また、今回受信した監視対象メッセージが不正送信のメッセージであり、そのときに不正送信を検知できないとしても、次に同じCAN IDの監視対象メッセージを受信したときには不正送信を検知できる。
また、本実施形態によれば、不正送信ありと判定した場合の不正送信検知時処理として、不正送信検知メッセージをネットワークに送信するようにしているので、ネットワーク上の他のECUなどが不正送信検知メッセージに基づく遡及的な処理を行うことができる。また、不正送信検知時処理として、不正送信ありと判定した監視対象メッセージの送信元バスが車外接続されるバスである場合に、そのバスからのメッセージの転送をすべて停止させることにより、情報セキュリティ上の安全性を確保することができる。さらに、不正送信検知時処理として、例えば、不正送信ありと判定した監視対象メッセージが自動車の制御に影響を与えるメッセージであれば、受信した監視対象メッセージを破棄したり、一部をマスクしたりすることで、メッセージの不正送信による自動車の予期せぬ振る舞いなどを未然に防止することができる。
以上、本発明の実施形態を説明したが、ここで説明した実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。ここで説明した新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。ここで説明した実施形態やその変形は、発明の範囲や要旨に含まれるとともに、請求の範囲に記載された発明とその均等の範囲に含まれる。
10 CGW
11 監視転送部
12 受信部
13 送信部
21 受信時刻記録部
22 不正送信判定部
23 通常処理部
24 不正送信検知時処理部

Claims (13)

  1. 識別子で識別されるメッセージが送受信されるネットワークにおいて周期送信されるメッセージを監視対象とするネットワーク監視装置であって、
    監視対象メッセージを受信するごとに、受信時刻を識別子と対応付けて記録する受信時刻記録部と、
    監視対象メッセージを受信するごとに、受信した監視対象メッセージについて、今回の受信時刻Tと、m個前の受信時刻Ti−mと、メッセージ送信周期Fと、予め定めた定数σとに基づいて、受信時刻Ti−mからTの期間内における不正送信の有無を判定する不正送信判定部と、を備えるネットワーク監視装置。
  2. 前記不正送信判定部は、(T−Ti−m+σ)/Fの整数部kを求め、m−kが1以上である場合に不正送信ありと判定する、請求項1に記載のネットワーク監視装置。
  3. 前記不正送信判定部は、M=m×F−σなる閾値Mを設定し、T−Ti−mが閾値M未満である場合に不正送信ありと判定する、請求項1に記載のネットワーク監視装置。
  4. m=1の場合、前記ネットワークにおける遅延の最大値をΔmaxとしたときに、前記定数σは、Δmax≦σ<(F−Δmax)/2を満たす値に定められる、請求項2または3に記載のネットワーク監視装置。
  5. m≧2の場合、前記ネットワークにおける遅延の最大値をΔmaxとしたときに、前記定数σは、Δmax≦σ<F−Δmaxを満たす値に定められる、請求項2または3に記載のネットワーク監視装置。
  6. 前記不正送信判定部が不正送信ありと判定した場合に、所定の不正送信検知時処理を実行する不正送信検知時処理部をさらに備える、請求項1乃至5のいずれか一項に記載のネットワーク監視装置。
  7. 前記不正送信検知時処理部は、前記不正送信検知時処理として、不正送信ありと判定した監視対象メッセージの識別子を含む不正送信検知メッセージをネットワークに送信する処理を実行する、請求項6に記載のネットワーク監視装置。
  8. 前記不正送信検知時処理部は、前記不正送信検知時処理として、受信した監視対象メッセージを破棄する処理をさらに実行する、請求項7に記載のネットワーク監視装置。
  9. 前記不正送信検知時処理部は、受信した監視対象メッセージの特定の位置の値が所定値である場合に当該監視対象メッセージを破棄する、請求項8に記載のネットワーク監視装置。
  10. 前記不正送信検知時処理部は、前記不正送信検知時処理として、受信した監視対象メッセージの特定の位置を特定の値でマスクした後に、前記不正送信判定部が不正送信なしと判定した場合に実行される通常時処理と同等の処理を実行する、請求項6に記載のネットワーク監視装置。
  11. 前記不正送信検知時処理部は、受信した監視対象メッセージの特定の位置の値が所定値である場合に当該監視対象メッセージの特定の位置を特定の値でマスクする、請求項10に記載のネットワーク監視装置。
  12. 前記不正送信検知時処理部は、前記不正送信検知時処理として、不正送信ありと判定した監視対象メッセージと同じバスから受信したメッセージについて、前記不正送信判定部が不正送信なしと判定した場合に実行される通常時処理を停止させる処理を実行する、請求項6に記載のネットワーク監視装置。
  13. コンピュータに、
    識別子で識別されるメッセージが送受信されるネットワークにおいて周期送信されるメッセージを監視対象として、
    監視対象メッセージを受信するごとに、受信時刻を識別子と対応付けて記録する機能と、
    監視対象メッセージを受信するごとに、受信した監視対象メッセージについて、今回の受信時刻Tと、m個前の受信時刻Ti−mと、メッセージ送信周期Fと、予め定めた定数σとに基づいて、受信時刻Ti−mからTの期間内における不正送信の有無を判定する機能と、を実現させるためのプログラム。
JP2016156475A 2016-08-09 2016-08-09 ネットワーク監視装置およびプログラム Expired - Fee Related JP6433951B2 (ja)

Priority Applications (7)

Application Number Priority Date Filing Date Title
JP2016156475A JP6433951B2 (ja) 2016-08-09 2016-08-09 ネットワーク監視装置およびプログラム
US15/465,816 US10326782B2 (en) 2016-08-09 2017-03-22 Network monitoring device and computer program product
KR1020170066105A KR102030397B1 (ko) 2016-08-09 2017-05-29 네트워크 감시 장치
EP17183969.9A EP3282646B1 (en) 2016-08-09 2017-07-31 Network monitoring device and computer readable recording medium
CN201710650225.5A CN107707520B (zh) 2016-08-09 2017-08-02 网络监视装置
RU2017128092A RU2676236C1 (ru) 2016-08-09 2017-08-07 Устройство мониторинга сети и компьютерный программный продукт
BR102017017027A BR102017017027A8 (pt) 2016-08-09 2017-08-08 Dispositivo de monitoramento de rede e produto de programa de computador

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016156475A JP6433951B2 (ja) 2016-08-09 2016-08-09 ネットワーク監視装置およびプログラム

Publications (2)

Publication Number Publication Date
JP2018026663A true JP2018026663A (ja) 2018-02-15
JP6433951B2 JP6433951B2 (ja) 2018-12-05

Family

ID=59501314

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016156475A Expired - Fee Related JP6433951B2 (ja) 2016-08-09 2016-08-09 ネットワーク監視装置およびプログラム

Country Status (7)

Country Link
US (1) US10326782B2 (ja)
EP (1) EP3282646B1 (ja)
JP (1) JP6433951B2 (ja)
KR (1) KR102030397B1 (ja)
CN (1) CN107707520B (ja)
BR (1) BR102017017027A8 (ja)
RU (1) RU2676236C1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3706026A1 (en) 2019-03-05 2020-09-09 Toyota Jidosha Kabushiki Kaisha Fraudulent transmission data detection device, fraudulent transmission data detection method, and storage medium
JP2020167494A (ja) * 2019-03-29 2020-10-08 株式会社デンソー メッセージ監視システム、メッセージ送信電子制御装置、および監視用電子制御装置
JP2021019212A (ja) * 2019-07-17 2021-02-15 株式会社デンソー ゲートウェイ装置、異常監視方法、及び異常監視プログラム
WO2022185370A1 (ja) * 2021-03-01 2022-09-09 株式会社オートネットワーク技術研究所 車載装置、プログラム及び情報処理方法

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10050983B2 (en) * 2015-11-13 2018-08-14 Kabushiki Kaisha Toshiba Communication system, receiving apparatus, receiving method, and computer program product
WO2018230988A1 (ko) * 2017-06-16 2018-12-20 주식회사 페스카로 Can 통신 기반 해킹공격 탐지 방법 및 시스템
DE102017218134B3 (de) * 2017-10-11 2019-02-14 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge
US20210392109A1 (en) * 2018-10-18 2021-12-16 Sumitomo Electric Industries, Ltd. Detection device, gateway device, detection method, and detection program
JP7124679B2 (ja) * 2018-12-07 2022-08-24 トヨタ自動車株式会社 監視装置
JP7175858B2 (ja) * 2019-08-07 2022-11-21 株式会社日立製作所 情報処理装置および正規通信判定方法
US11870789B2 (en) * 2019-09-30 2024-01-09 Autonetworks Technologies, Ltd. Detection device, vehicle, detection method, and detection program
US11297085B2 (en) * 2020-01-08 2022-04-05 Bank Of America Corporation Real-time validation of data transmissions based on security profiles
US11184381B2 (en) 2020-01-08 2021-11-23 Bank Of America Corporation Real-time validation of application data
US11627152B2 (en) 2020-01-08 2023-04-11 Bank Of America Corporation Real-time classification of content in a data transmission

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014146868A (ja) * 2013-01-28 2014-08-14 Hitachi Automotive Systems Ltd ネットワーク装置およびデータ送受信システム
JP2014187445A (ja) * 2013-03-22 2014-10-02 Toyota Motor Corp ネットワーク監視装置及びネットワーク監視方法
WO2015170451A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法
JP2017050845A (ja) * 2015-08-31 2017-03-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、車載ネットワークシステム及び通信方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4725070B2 (ja) * 2004-10-13 2011-07-13 パナソニック株式会社 正規コンテンツ確認方法、コンテンツ送受信システム、送信機、および受信機
JP2007312193A (ja) * 2006-05-19 2007-11-29 Auto Network Gijutsu Kenkyusho:Kk 異常監視ユニット
KR101241945B1 (ko) 2007-12-14 2013-03-12 현대자동차주식회사 차량 내 네트워크 고장 진단 모니터링 시스템 및 그 방법
US9215274B2 (en) * 2011-04-22 2015-12-15 Angel A. Penilla Methods and systems for generating recommendations to make settings at vehicles via cloud systems
TWI485161B (zh) * 2012-03-02 2015-05-21 Academia Sinica 抗上皮細胞黏著分子(EpCAM)抗體及其使用方法
US8792347B2 (en) * 2012-06-01 2014-07-29 Opera Software Ireland Limited Real-time network monitoring and subscriber identification with an on-demand appliance
CN104641597B (zh) * 2012-09-19 2018-04-10 丰田自动车株式会社 通信装置以及通信方法
JP6126980B2 (ja) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
KR101472896B1 (ko) 2013-12-13 2014-12-16 현대자동차주식회사 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치
JP6079768B2 (ja) * 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014146868A (ja) * 2013-01-28 2014-08-14 Hitachi Automotive Systems Ltd ネットワーク装置およびデータ送受信システム
JP2014187445A (ja) * 2013-03-22 2014-10-02 Toyota Motor Corp ネットワーク監視装置及びネットワーク監視方法
WO2015170451A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法
JP2017050845A (ja) * 2015-08-31 2017-03-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、車載ネットワークシステム及び通信方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
大塚 敏史 他: "既存ECUを変更不要な車載LAN向け侵入検知手法", 情報処理学会研究報告 2012(平成24)年度▲6▼ [DVD−ROM]情報処理学会研究報告 研究報, JPN6018025054, 15 April 2013 (2013-04-15), pages 1 - 5, ISSN: 0003830569 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3706026A1 (en) 2019-03-05 2020-09-09 Toyota Jidosha Kabushiki Kaisha Fraudulent transmission data detection device, fraudulent transmission data detection method, and storage medium
JP2020145547A (ja) * 2019-03-05 2020-09-10 トヨタ自動車株式会社 不正送信データ検知装置
US11405406B2 (en) 2019-03-05 2022-08-02 Toyota Jidosha Kabushiki Kaisha Fraudulent transmission data detection device, fraudulent transmission data detection method, and storage medium
JP7147635B2 (ja) 2019-03-05 2022-10-05 トヨタ自動車株式会社 不正送信データ検知装置
JP2020167494A (ja) * 2019-03-29 2020-10-08 株式会社デンソー メッセージ監視システム、メッセージ送信電子制御装置、および監視用電子制御装置
JP7176456B2 (ja) 2019-03-29 2022-11-22 株式会社デンソー メッセージ監視システム、メッセージ送信電子制御装置、および監視用電子制御装置
US11694489B2 (en) 2019-03-29 2023-07-04 Denso Corporation Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit
JP2021019212A (ja) * 2019-07-17 2021-02-15 株式会社デンソー ゲートウェイ装置、異常監視方法、及び異常監視プログラム
JP7234839B2 (ja) 2019-07-17 2023-03-08 株式会社デンソー ゲートウェイ装置、異常監視方法、及び異常監視プログラム
WO2022185370A1 (ja) * 2021-03-01 2022-09-09 株式会社オートネットワーク技術研究所 車載装置、プログラム及び情報処理方法
WO2022185566A1 (ja) * 2021-03-01 2022-09-09 株式会社オートネットワーク技術研究所 車載装置、プログラム及び情報処理方法
JP7184225B1 (ja) * 2021-03-01 2022-12-06 株式会社オートネットワーク技術研究所 車載装置、プログラム及び情報処理方法

Also Published As

Publication number Publication date
US10326782B2 (en) 2019-06-18
EP3282646A1 (en) 2018-02-14
US20180048663A1 (en) 2018-02-15
KR102030397B1 (ko) 2019-10-10
BR102017017027A8 (pt) 2022-10-18
EP3282646B1 (en) 2019-01-02
CN107707520A (zh) 2018-02-16
JP6433951B2 (ja) 2018-12-05
CN107707520B (zh) 2020-11-10
RU2676236C1 (ru) 2018-12-26
BR102017017027A2 (pt) 2018-03-06
KR20180018293A (ko) 2018-02-21

Similar Documents

Publication Publication Date Title
JP6433951B2 (ja) ネットワーク監視装置およびプログラム
US11570184B2 (en) In-vehicle network system, fraud-detection electronic control unit, and fraud-detection method
EP3358788B1 (en) Illegality detection electronic control unit, vehicle onboard network system, and communication method
CN109076001B (zh) 帧传送阻止装置、帧传送阻止方法及车载网络系统
CN106105105B (zh) 网络通信系统、不正常检测电子控制单元以及不正常应对方法
JP5999178B2 (ja) 車両用ネットワークの通信管理装置及び通信管理方法
JP5919205B2 (ja) ネットワーク装置およびデータ送受信システム
WO2017038500A1 (ja) 中継装置
US20200014758A1 (en) On-board communication device, computer program, and message determination method
US20200021611A1 (en) Fraud detection method, fraud detection device, and recording medium
JP2017050644A (ja) 通信装置
JP2014236248A (ja) 電子制御装置、電子制御システム
KR20180137306A (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
JP2021005821A (ja) 異常検出装置
JP7110950B2 (ja) ネットワークシステム
JP2017085197A (ja) 通信システム、送信装置、及び通信方法
CN113783958A (zh) 网关装置、方法及车载网络系统
WO2022270240A1 (ja) 車載装置、検知装置、送信制御方法および検知方法
JP2020096322A (ja) 不正信号処理装置
JP2021005194A (ja) 不正侵入検出装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180625

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180903

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181009

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181107

R150 Certificate of patent or registration of utility model

Ref document number: 6433951

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313115

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees