JP2018046432A - 検知装置、ゲートウェイ装置、検知方法および検知プログラム - Google Patents

検知装置、ゲートウェイ装置、検知方法および検知プログラム Download PDF

Info

Publication number
JP2018046432A
JP2018046432A JP2016180284A JP2016180284A JP2018046432A JP 2018046432 A JP2018046432 A JP 2018046432A JP 2016180284 A JP2016180284 A JP 2016180284A JP 2016180284 A JP2016180284 A JP 2016180284A JP 2018046432 A JP2018046432 A JP 2018046432A
Authority
JP
Japan
Prior art keywords
message
transmission
vehicle
distribution
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016180284A
Other languages
English (en)
Other versions
JP6805667B2 (ja
Inventor
芳博 濱田
Yoshihiro Hamada
芳博 濱田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2016180284A priority Critical patent/JP6805667B2/ja
Priority to DE112017004645.9T priority patent/DE112017004645T5/de
Priority to US16/325,480 priority patent/US10880415B2/en
Priority to PCT/JP2017/023673 priority patent/WO2018051607A1/ja
Priority to CN201780055072.8A priority patent/CN109691029B/zh
Publication of JP2018046432A publication Critical patent/JP2018046432A/ja
Application granted granted Critical
Publication of JP6805667B2 publication Critical patent/JP6805667B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

【課題】車載ネットワークにおける不正メッセージを正しく検知することが可能な検知装置、ゲートウェイ装置、検知方法および検知プログラムを提供する。
【解決手段】検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記送信メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備える。
【選択図】図3

Description

本発明は、検知装置、ゲートウェイ装置、検知方法および検知プログラムに関する。
従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
たとえば、特許文献1(特開2016−116075号公報)には、以下のような車載通信システムが開示されている。すなわち、車載通信システムは、通信データの送信側が生成するメッセージ認証コードである送信側コードと、前記通信データの受信側が生成するメッセージ認証コードである受信側コードとを使用してメッセージ認証を行う車載通信システムであって、車載ネットワークに接続され、第1の暗号鍵と前記第1の暗号鍵とは異なる第2の暗号鍵のうち前記第1の暗号鍵だけを保持する第1のECUと、前記車載ネットワークに接続され、前記第1の暗号鍵を少なくとも保持する第2のECUと、前記車載ネットワーク及び車外ネットワークに接続され、前記第1の暗号鍵と前記第2の暗号鍵のうち前記第2の暗号鍵だけを保持して、前記第2の暗号鍵を使用して前記車載ネットワークにおける通信時に前記送信側コード又は前記受信側コードを生成する第3のECUとを備え、前記第2のECUは、前記第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信し、前記第1のECUは、前記通信データを受信した場合に、前記第1の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行う。
特開2016−116075号公報 特開2016−97879号公報 特開2015−136107号公報
A.P.Dempster、外2名、"Maximum likelihood from incomplete data via the EM algorithm" 、Journal of Royal Statistical Society B、Col.39,P.1−22,1977 B.P.Welford、"Note on a method for calculating corrected sums of squares and products"、Technometrics、Vol.4、P.419−420、1962 D.E.Knuth、"The Art Of Computer Programming Volume2 Seminumerical Algorithms Third Edition"、P.219、2015 O.Cappe、外1名、"Online expectation maximization algorithm for latent data models"、Journal od the Royal Statistics Society: Series B (Statistical Methodology)、Vol.71、P.593−613、2009
特許文献1には、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防ぐ構成が開示されている。
しかしながら、メッセージ認証を用いるセキュリティ対策では、プロトコルの脆弱性を突いた攻撃、第1の暗号鍵の不正入手による攻撃、および暗号アルゴリズムの陳腐化を突いた攻撃等により、当該セキュリティ対策が無効化されることがある。
このような場合において、攻撃者が車載ネットワークに侵入したことを正しく検知するための技術が求められる。
この発明は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける不正メッセージを正しく検知することが可能な検知装置、ゲートウェイ装置、検知方法および検知プログラムを提供することである。
(1)上記課題を解決するために、この発明のある局面に係わる検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記送信メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備える。
(10)上記課題を解決するために、この発明のある局面に係わるゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記送信メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備える。
(11)上記課題を解決するために、この発明のある局面に係わる検知方法は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視するステップと、前記送信メッセージの送信間隔の分布を取得するステップと、監視結果および取得した前記分布に基づいて、前記不正メッセージを検知するステップとを含む。
(12)上記課題を解決するために、この発明の他の局面に係わる検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視するステップと、前記送信メッセージの送信間隔の分布を取得するステップと、監視結果および取得した前記分布に基づいて、前記不正メッセージを検知するステップとを含む。
(13)上記課題を解決するために、この発明のある局面に係わる検知プログラムは、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記送信メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部、として機能させるためのプログラムである。
(14)上記課題を解決するために、この発明の他の局面に係わる検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部、として機能させるためのプログラムである。
本発明は、このような特徴的な処理部を備える検知装置として実現することができるだけでなく、検知装置を備える車載検知システムとして実現することができる。また、本発明は、検知装置の一部または全部を実現する半導体集積回路として実現したりすることができる。
また、本発明は、このような特徴的な処理部を備えるゲートウェイ装置として実現することができるだけでなく、ゲートウェイ装置を備える車載検知システムとして実現することができる。また、本発明は、ゲートウェイ装置の一部または全部を実現する半導体集積回路として実現したりすることができる。
本発明によれば、車載ネットワークにおける不正メッセージを正しく検知することができる。
図1は、本発明の第1の実施の形態に係る車載検知ネットワークの構成を示す図である。 図2は、本発明の第1の実施の形態に係るバス接続装置群の構成を示す図である。 図3は、本発明の第1の実施の形態に係る車載検知システムにおけるゲートウェイ装置の構成を示す図である。 図4は、本発明の第1の実施の形態に係る車載検知システムにおける監視対象の周期メッセージの送信間隔の時間変化の一例を示す図である。 図5は、本発明の第1の実施の形態に係る車載検知システムにおける対象メッセージの送信間隔の度数分布の一例を示す図である。 図6は、本発明の第1の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。 図7は、本発明の第1の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。 図8は、本発明の第1の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。 図9は、本発明の第1の実施の形態に係るゲートウェイ装置が送信間隔に基づいて不正メッセージの検知を行う際の動作手順を定めたフローチャートである。 図10は、本発明の第1の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。 図11は、本発明の第2の実施の形態に係る車載検知システムにおけるゲートウェイ装置の構成を示す図である。 図12は、本発明の第2の実施の形態に係るゲートウェイ装置におけるパラメータの動的設定の効果を説明するための図である。 図13は、本発明の第2の実施の形態に係るゲートウェイ装置が送信間隔に基づいて不正メッセージの検知を行う際の動作手順を定めたフローチャートである。 図14は、本発明の第3の実施の形態に係る車載検知システムにおけるゲートウェイ装置の構成を示す図である。 図15は、本発明の第3の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。
最初に、本発明の実施形態の内容を列記して説明する。
(1)本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記送信メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備える。
たとえば、正当な送信メッセージが周期的に送信される場合では、正当な送信メッセージの送信周期近傍に当該分布の度数が集中するので、当該分布において度数が小さい範囲における送信間隔は、不正メッセージの送信間隔である可能性が高い。これにより、度数が小さい範囲における送信間隔の送信メッセージを不正メッセージとして検知することができる。したがって、車載ネットワークにおける不正メッセージを正しく検知することができる。また、送信メッセージの送信間隔の分布を用いる構成により、送信メッセージの送信間隔の揺らぎを考慮した正確な検知を行うことができる。
(2)好ましくは、前記検知部は、前記監視部によって監視された前記送信メッセージの内容にさらに基づいて前記不正メッセージを検知する。
このような構成により、たとえば、不正メッセージであるにも関わらず送信間隔および分布に基づいて正当な送信メッセージとして検知されてしまう送信メッセージを、当該送信メッセージの内容に基づいて、不正メッセージであると検知することができるので、車載ネットワークにおける不正メッセージをより正しく検知することができる。
(3)より好ましくは、前記内容は、連続値である。
このような構成により、たとえば、送信メッセージの内容に基づく分布を作成することができるので、当該分布において度数が小さい範囲における内容を含む送信メッセージを不正メッセージとして検知することができる。
(4)より好ましくは、前記連続値は、前記車載ネットワークが設けられた車両の速度、前記車両のタイヤ空気圧、前記車両のステアリング角度、前記車両のアクセル開度、前記車両のエンジンの回転数およびシリンダー圧力、前記車両に乗車している人間の重量、前記車両の加速度、前記車両のモータの回転数、前記車両の制動トルク、前記車両のヨーレート、ならびに前記車両に用いる電波の受信強度のうちの少なくともいずれか1つである。
このように、上記連続値が、平均値を中心としてばらつく連続値である構成により、平均値近傍において度数が集中する、不正メッセージの検知に適した分布を作成することができる。
(5)好ましくは、前記監視部は、前記送信メッセージの送信間隔を測定し、前記検知部は、前記監視部によって測定された前記送信間隔と、前記分布と、所定のしきい値とに基づいて前記不正メッセージを検知する。
このような構成により、上記分布において不正メッセージであると判定すべき送信間隔の範囲をしきい値により定めることができるので、送信メッセージが不正メッセージであるか否かを簡易に判定することができる。
(6)好ましくは、前記監視部は、前記送信メッセージの送信間隔を測定し、前記検知部は、前記監視部によって測定された前記送信間隔の、前記分布における位置に基づいて前記不正メッセージを検知する。
このような構成により、たとえば、上記分布において不正メッセージであると判定すべき送信間隔の範囲が定められている場合において、送信メッセージが不正メッセージであるか否かを簡易に判定することができる。
(7)好ましくは、前記監視部は、前記送信メッセージの送信間隔を測定し、前記検知装置は、さらに、前記監視部によって測定された前記送信間隔に基づいて前記分布を更新する分布作成部を備える。
このような構成により、たとえば、送信メッセージの送信間隔がばらつく場合においても、送信間隔のばらつき度合いに応じて上記分布を更新することができるので、正当な送信メッセージを不正メッセージとして誤って検知してしまう可能性を低減することができる。
(8)好ましくは、前記取得部は、他の装置によって予め作成された前記分布を取得する。
このように、処理負荷の大きい分布の作成処理を他の装置において行う構成により、検知装置における処理負荷を軽減することができる。
(9)好ましくは、前記監視部は、前記送信メッセージの送信間隔を測定し、前記監視部は、不正メッセージではないと判断された前記送信メッセージの受信タイミングを前記送信間隔の測定基準として用いる。
このような構成により、たとえば、測定基準が不正メッセージの受信タイミングに設定されてしまい、不正メッセージの受信タイミングおよび正当な送信メッセージの受信タイミング間の送信間隔が設定後において測定され、正当な送信メッセージを不正メッセージとして誤って検知してしまう状況を防ぐことができる。
(10)本発明の実施の形態に係るゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記送信メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備える。
たとえば、正当な送信メッセージが周期的に送信される場合では、正当な送信メッセージの送信周期近傍に当該分布の度数が集中するので、当該分布において度数が小さい範囲における送信間隔は、不正メッセージの送信間隔である可能性が高い。これにより、度数が小さい範囲における送信間隔の送信メッセージを不正メッセージとして検知することができる。したがって、車載ネットワークにおける不正メッセージを正しく検知することができる。また、送信メッセージの送信間隔の分布を用いる構成により、送信メッセージの送信間隔の揺らぎを考慮した正確な検知を行うことができる。
(11)本発明の実施の形態に係る検知方法は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視するステップと、前記送信メッセージの送信間隔の分布を取得するステップと、監視結果および取得した前記分布に基づいて、前記不正メッセージを検知するステップとを含む。
たとえば、正当な送信メッセージが周期的に送信される場合では、正当な送信メッセージの送信周期近傍に当該分布の度数が集中するので、当該分布において度数が小さい範囲における送信間隔は、不正メッセージの送信間隔である可能性が高い。これにより、度数が小さい範囲における送信間隔の送信メッセージを不正メッセージとして検知することができる。したがって、車載ネットワークにおける不正メッセージを正しく検知することができる。また、送信メッセージの送信間隔の分布を用いる構成により、送信メッセージの送信間隔の揺らぎを考慮した正確な検知を行うことができる。
(12)本発明の実施の形態に係る検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視するステップと、前記送信メッセージの送信間隔の分布を取得するステップと、監視結果および取得した前記分布に基づいて、前記不正メッセージを検知するステップとを含む。
たとえば、正当な送信メッセージが周期的に送信される場合では、正当な送信メッセージの送信周期近傍に当該分布の度数が集中するので、当該分布において度数が小さい範囲における送信間隔は、不正メッセージの送信間隔である可能性が高い。これにより、度数が小さい範囲における送信間隔の送信メッセージを不正メッセージとして検知することができる。したがって、車載ネットワークにおける不正メッセージを正しく検知することができる。また、送信メッセージの送信間隔の分布を用いる構成により、送信メッセージの送信間隔の揺らぎを考慮した正確な検知を行うことができる。
(13)本発明の実施の形態に係る検知プログラムは、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記送信メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部、として機能させるためのプログラムである。
たとえば、正当な送信メッセージが周期的に送信される場合では、正当な送信メッセージの送信周期近傍に当該分布の度数が集中するので、当該分布において度数が小さい範囲における送信間隔は、不正メッセージの送信間隔である可能性が高い。これにより、度数が小さい範囲における送信間隔の送信メッセージを不正メッセージとして検知することができる。したがって、車載ネットワークにおける不正メッセージを正しく検知することができる。また、送信メッセージの送信間隔の分布を用いる構成により、送信メッセージの送信間隔の揺らぎを考慮した正確な検知を行うことができる。
(14)本発明の実施の形態に係る検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視する監視部と、前記メッセージの送信間隔の分布を取得する取得部と、前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部、として機能させるためのプログラムである。
たとえば、正当な送信メッセージが周期的に送信される場合では、正当な送信メッセージの送信周期近傍に当該分布の度数が集中するので、当該分布において度数が小さい範囲における送信間隔は、不正メッセージの送信間隔である可能性が高い。これにより、度数が小さい範囲における送信間隔の送信メッセージを不正メッセージとして検知することができる。したがって、車載ネットワークにおける不正メッセージを正しく検知することができる。また、送信メッセージの送信間隔の分布を用いる構成により、送信メッセージの送信間隔の揺らぎを考慮した正確な検知を行うことができる。
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
<第1の実施の形態>
[構成および基本動作]
図1は、本発明の第1の実施の形態に係る車載検知ネットワークの構成を示す図である。
図1を参照して、車載検知システム301は、ゲートウェイ装置(検知装置)101と、複数の車載通信機111と、複数のバス接続装置群121とを備える。
図2は、本発明の第1の実施の形態に係るバス接続装置群の構成を示す図である。
図2を参照して、バス接続装置群121は、複数の制御装置122を含む。なお、バス接続装置群121は、複数の制御装置122を備える構成に限らず、1つの制御装置122を含む構成であってもよい。
車載検知システム301は、道路を走行する車両(以下、対象車両とも称する。)に搭載される。車載ネットワーク12は、車両の内部における装置である車載装置を複数含む。具体的には、車載ネットワーク12は、車載装置の一例である、複数の車載通信機111および複数の制御装置122を含む。なお、車載ネットワーク12は、複数の車載装置を含む構成であれば、複数の車載通信機111を含みかつ制御装置122を含まない構成であってもよいし、車載通信機111を含まずかつ複数の制御装置122を含む構成であってもよいし、1つの車載通信機111および1つの制御装置122を含む構成であってもよい。
車載ネットワーク12において、車載通信機111は、たとえば、対象車両の外部における装置と通信する。具体的には、車載通信機111は、たとえば、TCU(Telematics Communication Unit)、近距離無線端末装置、およびITS(Intelligent Transport Systems)無線機である。
TCUは、たとえば、LTE(Long Term Evolution)または3G等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。TCUは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびFOTA(Firmware Over The Air)等のサービスに用いる情報を中継する。
近距離無線端末装置は、たとえば、Wi−Fi(登録商標)およびBluetooth(登録商標)等の通信規格に従って、対象車両に乗車している人間(以下、搭乗者とも称する。)の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。
また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とLF(Low Frequency)帯またはUHF(Ultra High Frequency)帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびTPMS(Tire Pressure Monitoring System)等のサービスに用いる情報を中継する。
ITS無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびITSスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。ITS無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。
ゲートウェイ装置101は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置101により蓄積されたデータ等を対象車両の外部における整備用端末装置とポート112を介して送受信することが可能である。
ゲートウェイ装置101は、たとえばバス13,14を介して車載装置と接続する。具体的には、バス13,14は、たとえば、CAN(Controller Area Network)(登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスである。
この例では、車載通信機111は、イーサネットの規格に従う対応のバス14を介してゲートウェイ装置101と接続されている。また、バス接続装置群121における各制御装置122は、CANの規格に従う対応のバス13を介してゲートウェイ装置101と接続されている。制御装置122は、たとえば、対象車両における機能部を制御可能である。
バス13は、たとえば系統別に設けられる。具体的には、バス13は、たとえば、駆動系バス、シャーシ/安全系バス、ボディ/電装系バスおよびAV/情報系バスである。
駆動系バスには、制御装置122の一例であるエンジン制御装置、AT(Automatic Transmission)制御装置およびHEV(Hybrid Electric Vehicle)制御装置が接続されている。エンジン制御装置、AT制御装置およびHEV制御装置は、エンジン、AT、およびエンジンとモータとの切替をそれぞれ制御する。
シャーシ/安全系バスには、制御装置122の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。
ボディ/電装系バスには、制御装置122の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。
AV/情報系バスには、制御装置122の一例であるナビゲーション制御装置、オーディオ制御装置、ETC(Electronic Toll Collection System)(登録商標)制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ETC制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ETC装置および携帯電話をそれぞれ制御する。
また、バス13には、制御装置122が接続される構成に限らず、制御装置122以外の装置が接続されてもよい。
ゲートウェイ装置101は、たとえば、セントラルゲートウェイ(Central Gateway:CGW)であり、車載装置と通信を行うことが可能である。
ゲートウェイ装置101は、たとえば、対象車両において異なるバス13に接続された制御装置122間でやり取りされる情報、各車載通信機111間でやり取りされる情報、制御装置122および車載通信機111間でやり取りされる情報を中継する中継処理を行う。
より詳細には、対象車両では、たとえば、所定の取り決めに従って、ある車載装置から他の車載装置へ周期的にメッセージが送信される。この例では、ある制御装置122から他の制御装置122へ周期的に送信されるメッセージについて説明するが、制御装置122および車載通信機111間において送信されるメッセージ、ならびに各車載通信機111間において送信されるメッセージについても同様である。
メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよい。以下、周期的に送信されるメッセージを周期メッセージとも称する。
また、対象車両では、周期メッセージの他に、ある制御装置122から他の制御装置122へ不定期に送信されるメッセージが存在する。メッセージには、メッセージの内容および送信元等を識別するためのIDが含まれる。メッセージが周期メッセージであるか否かをIDによって識別することが可能である。
図3は、本発明の第1の実施の形態に係る車載検知システムにおけるゲートウェイ装置の構成を示す図である。
図3を参照して、ゲートウェイ装置101は、通信処理部51と、監視部52と、取得部53と、検知部54とを備える。
ゲートウェイ装置101は、検知装置として機能し、複数の車載装置を含む車載ネットワーク12における不正メッセージを検知する。
詳細には、ゲートウェイ装置101における通信処理部51は、中継処理を行う。より詳細には、通信処理部51は、ある制御装置122から対応のバス13経由でメッセージを受信すると、受信したメッセージを他の制御装置122へ対応のバス13経由で送信する。
図4は、本発明の第1の実施の形態に係る車載検知システムにおける監視対象の周期メッセージの送信間隔の時間変化の一例を示す図である。なお、図4において、縦軸は送信間隔を示し、横軸は時間を示す。
図4を参照して、送信間隔は、たとえば、ある監視対象の周期メッセージ(以下、対象メッセージとも称する。)がバス13において伝送されるタイミングの間隔である。
図4に示すように、対象メッセージの送信間隔は一定でなく、ばらついている。これは、対象メッセージが伝送される際に調停が行われたり、クロックのずれによる内部処理の遅延ばらつきが発生したりするからである。
ここで、調停について説明する。メッセージには、たとえば、IDに応じて優先度が割り当てられている。たとえば、複数のメッセージの送信タイミングが重なる場合、車載ネットワーク12では、優先度の高いメッセージを、優先度の低いメッセージより優先的にバス13を伝送させる調停が行われる。このような調停により、送信間隔のばらつきが発生する。
図5は、本発明の第1の実施の形態に係る車載検知システムにおける対象メッセージの送信間隔の度数分布の一例を示す図である。なお、図5において、縦軸は度数を示し、横軸は送信間隔を示す。
図5を参照して、送信間隔の度数分布は、Ctミリ秒を中心としてほぼ対称である。送信間隔の度数分布は、たとえば所定のモデル関数Func1により近似することが可能である。
再び図3を参照して、監視部52は、車載ネットワーク12における送信メッセージを監視する。より詳細には、監視部52は、たとえば、通信処理部51におけるメッセージの中継処理を監視し、監視結果に基づいて対象メッセージの送信間隔を測定する。
具体的には、たとえば、監視部52には、対象メッセージを示すID(以下、登録IDとも称する。)が1つ登録されている。なお、監視部52には、複数の登録IDが登録されてもよい。
監視部52は、たとえば、通信処理部51がメッセージを受信すると、通信処理部51によって受信されたメッセージに含まれるIDを確認する。監視部52は、確認したIDが登録IDと一致する場合、通信処理部51によって受信されたメッセージすなわち対象メッセージの受信時刻t1をたとえば測定基準として保持する。
そして、監視部52は、通信処理部51において登録IDを含む新たな対象メッセージが受信されると、新たに受信された対象メッセージの受信時刻t2を保持するとともに、以下の処理を行う。
すなわち、監視部52は、受信時刻t2から受信時刻t1を差し引くことにより、対象メッセージの送信間隔を算出し、算出した送信間隔を検知部54へ出力する。
取得部53は、送信メッセージの送信間隔の分布を取得する。詳細には、取得部53は、たとえば、他の装置、具体的にはサーバによって予め作成された送信間隔の分布を示す分布情報を取得する。
より詳細には、サーバは、たとえば、対象メッセージの送信間隔を複数取得する。この送信間隔は、たとえば、対象車両と同じ種類のテスト車両において測定される。なお、サーバは、対象車両において測定された送信間隔を取得してもよい。
サーバは、たとえば、モデル関数Func1として、以下の式(1)に示す、変数をxとする正規分布の確率密度関数(以下、正規分布関数とも称する。)pを用いる。
Figure 2018046432
ここで、xバーおよびσ^2は、パラメータであり、それぞれ複数の送信間隔の平均値および分散である。ここで、「a^b」は、aのb乗を意味する。xバーおよびσ^2は、それぞれ、以下の式(2)および(3)により算出される。
Figure 2018046432
Figure 2018046432
ここで、tは、送信間隔のサンプル数である。xiは、i番目の送信間隔である。サーバは、たとえば、所定の頒布タイミングにおいて、xバーおよびσ^2を含む分布情報を対象車両へ送信する。
取得部53は、車載通信機111および通信処理部51経由でサーバから分布情報を受信すると、受信した分布情報に基づいて、式(1)により示されるモデル関数Func1を作成し、作成したモデル関数Func1を検知部54へ出力する。
なお、ゲートウェイ装置101では、取得部53が、車載通信機111および通信処理部51経由でサーバから分布情報を受信して検知部54へ出力する構成であるとしたが、これに限定するものではない。たとえば、ゲートウェイ装置101が不揮発性メモリを保持しており、取得部53が、整備用端末装置によってポート112経由で分布情報が書き込まれた不揮発性メモリから分布情報を取得して検知部54へ出力する構成であってもよい。
図6は、本発明の第1の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。なお、図6において、縦軸はスコアを示し、横軸は変数xを示す。
図6を参照して、検知部54は、監視部52による監視結果および取得部53によって取得された送信間隔の分布に基づいて、不正メッセージを検知する。
詳細には、検知部54は、たとえば、監視部52によって測定された送信間隔と、当該送信間隔の分布を示す分布情報と、所定のしきい値とに基づいて不正メッセージを検知する。ここでは、検知部54には、しきい値ThBが登録されている。
言い換えると、検知部54は、たとえば、監視部52によって測定された送信間隔の、当該送信間隔の分布における位置に基づいて不正メッセージを検知する。
検知部54は、取得部53からモデル関数Func1を受けると、受けたモデル関数Func1を変形することによりスコア関数Sc1を作成する。より詳細には、検知部54は、たとえば、−log(Func1)をスコア関数Sc1として作成する。ここで、「log(c)」は、cの常用対数を意味する。
図6では、スコア関数Sc1は、測定基準の時刻がx=0になるように表されている。したがって、図6に示す横軸は、送信間隔を示す。また、スコア関数Sc1は、変数xが平均値すなわちxバーである場合に最小値を示す。
検知部54は、監視部52から受けた送信間隔をスコア関数Sc1における変数xに代入することによりスコアを算出する。
検知部54は、算出したスコアがたとえばしきい値ThB以下である場合、今回伝送された対象メッセージが正当メッセージであると判断する。具体的には、検知部54は、図6に示す送信間隔Tcを監視部52から受けた場合、今回伝送された対象メッセージCが正当メッセージであると判断する。
これは、たとえば、対象メッセージが正当メッセージである場合、調停および内部処理の遅延等によるばらつきを含めても、図5に示す度数分布の中心の近傍に送信間隔が位置する可能性が高いからである。
一方、検知部54は、算出したスコアがしきい値ThBより大きい場合、今回伝送された対象メッセージが不正メッセージであると判断する。具体的には、検知部54は、図6に示す送信間隔Taを監視部52から受けた場合、今回伝送された対象メッセージAが不正メッセージであると判断する。同様に、検知部54は、送信間隔Tbを監視部52から受けた場合、今回伝送された対象メッセージBが不正メッセージであると判断する。
これは、たとえば、対象メッセージが不正メッセージである場合、当該対象メッセージが所定の取り決めに従って送信されていない可能性が高いからである。
また、セキュリティのレベルを下げる場合、検知部54に登録されたしきい値をThBより大きいThAに変更する。これにより、たとえば、送信間隔Tbに対応する対象メッセージBのように、検知部54により不正メッセージと判断されたメッセージが、しきい値の変更後において正当メッセージと判断される。
検知部54は、監視部52から受けた送信間隔に基づく判断結果を監視部52および通信処理部51へ通知する。
監視部52は、たとえば、不正メッセージではないと判断された送信メッセージの受信タイミングを送信間隔の測定基準として用いる。
より詳細には、監視部52は、検知部54から通知された判断結果が、今回伝送された対象メッセージが正当メッセージであることを示す場合、受信時刻t2を送信間隔の新たな測定基準として用いる。
そして、監視部52は、通信処理部51において登録IDを含む新たな対象メッセージが受信されると、新たに受信された対象メッセージの受信時刻t3を保持するとともに、以下の処理を行う。
すなわち、監視部52は、受信時刻t3から受信時刻t2を差し引くことにより、対象メッセージの新たな送信間隔を算出し、算出した送信間隔を検知部54へ出力する。
一方、監視部52は、検知部54から通知された判断結果が、今回伝送された対象メッセージが不正メッセージであることを示す場合、受信時刻t1を測定基準のまま維持する。
そして、監視部52は、通信処理部51において登録IDを含む新たな対象メッセージが受信されると、新たに受信された対象メッセージの受信時刻t3を保持するとともに、以下の処理を行う。
すなわち、監視部52は、受信時刻t3から受信時刻t1を差し引くことにより、対象メッセージの新たな送信間隔を算出し、算出した送信間隔を検知部54へ出力する。
また、通信処理部51は、検知部54から判断結果の通知を受けて、当該通知の内容が、今回伝送された対象メッセージが不正メッセージであることを示す場合、以下の処理を行う。
すなわち、通信処理部51は、通知内容の示す不正メッセージ、および当該不正メッセージの前後の所定期間において受信した対象メッセージを記録する。また、通信処理部51は、バス13において不正メッセージが伝送されていることを対象車両内または対象車両外における上位装置へ通知する。
[ゲートウェイ装置101の変形例1]
図7は、本発明の第1の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。なお、図7において、縦軸はスコアを示し、横軸は変数xを示す。
図7を参照して、たとえば、対象メッセージBおよびCの両方が通信処理部51において受信された場合において、しきい値がThAに設定されていると、対象メッセージBが正当メッセージと判断される一方、よりスコアの小さい対象メッセージCが不正メッセージと判断されてしまう。このため、対象メッセージBの受信時刻が新たな測定基準に設定されてしまい、好ましくない。
これに対して、監視部52は、たとえば、測定基準を同じくする2つの送信間隔を蓄積した後、蓄積した2つの送信間隔を検知部54へ出力する。なお、監視部52は、測定基準を同じとする3つ以上の送信間隔を蓄積した後、蓄積した各送信間隔を検知部54へ出力してもよい。
より詳細には、監視部52は、受信時刻t1を測定基準として保持した後、通信処理部51において登録IDを含む対象メッセージが受信されると、受信された対象メッセージの受信時刻t2を保持する。
そして、監視部52は、通信処理部51において登録IDを含む新たな対象メッセージが受信されると、受信された新たな対象メッセージの受信時刻t3を保持する。
監視部52は、受信時刻t2から受信時刻t1を差し引くことにより送信間隔Tbを算出するとともに、受信時刻t3から受信時刻t1を差し引くことにより送信間隔Tcを算出する。監視部52は、算出した送信間隔Tb,Tcを検知部54へ出力する。
検知部54は、監視部52から送信間隔Tb,Tcを受けると、受けた送信間隔Tb,Tcの各々をスコア関数Sc1における変数xに代入することによりスコアSb,Scを算出する。
検知部54は、算出したスコアSb,Scの両方がしきい値ThA以下であるが、スコアScの方がスコアSbより小さいので、以下の判断を行う。
すなわち、検知部54は、スコアSbに対応する対象メッセージBが不正メッセージであると判断するとともに、スコアScに対応する対象メッセージCが正当メッセージであると判断する。
検知部54は、監視部52から受けた送信間隔Tb,Tcに基づく判断結果を監視部52および通信処理部51へ通知する。
監視部52は、検知部54から通知された判断結果が、対象メッセージCが正当メッセージであることを示す場合、受信時刻t3を送信間隔の新たな測定基準として用いる。これにより、より適切な測定基準を設定することができる。
[ゲートウェイ装置101の変形例2]
図8は、本発明の第1の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。なお、図8において、縦軸はスコアを示し、横軸は変数xを示す。
図8を参照して、検知部54は、図6および図7に示すように、しきい値を用いて不正メッセージを検知する構成であるとしたが、これに限定するものではない。
検知部54は、たとえば、スコア関数Sc1における送信間隔の位置が、太線により示されるスコア関数Sc1における領域(以下、不正領域とも称する。)に存在する場合、今回伝送された対象メッセージが不正メッセージであると判断する。
具体的には、検知部54は、スコア関数Sc1における送信間隔の位置がPosAおよびPosBである場合、今回伝送された対象メッセージAおよびBがそれぞれ不正メッセージであると判断する。
一方、検知部54は、たとえば、スコア関数Sc1における送信間隔の位置が、点線により示されるスコア関数Sc1における領域に存在する場合、今回伝送された対象メッセージが正当メッセージであると判断する。
具体的には、検知部54は、スコア関数Sc1における送信間隔の位置がPosCである場合、今回伝送された対象メッセージCが正当メッセージであると判断する。
なお、図8では、不正領域は、x=xバーの直線に対して非対称であるとしたが、これに限定するものではない。不正領域は、x=xバーの直線に対して対称であってもよい。この場合は、図6および図7に示すしきい値を用いた不正メッセージの検知結果と同様の検知結果が得られる。
[ゲートウェイ装置101の変形例3]
送信間隔のばらつきは、上述したように、調停および内部処理の遅延ばらつき等の複数の原因が組み合わさって発生すると考えられる。したがって、式(1)に示すような単一の正規分布関数の代わりに、複数のガウス関数を重ねた関数をモデル関数として用いることにより、送信間隔の実際のばらつきをより正しく表すことが期待できる。
サーバは、たとえば、モデル関数Func2として、以下の式(4)に示す、変数をxとする混合正規分布関数Pを用いる。
Figure 2018046432
ここで、K、ck、xkバーおよびσk^2は、パラメータであり、それぞれ正規分布の混合数、k番目の正規分布関数pの混合比、k番目の正規分布の平均値およびk番目の正規分布の分散である。ここで、kは1〜Kまでの整数である。
また、式(4)におけるk番目の正規分布関数pは、以下の式(5)により表される。
Figure 2018046432
また、ck、xkバーおよびσk^2は、非特許文献1(Dempster,A.P.、外2名、”Maximum likelihood from incomplete data via the EM algorithm” 、Journal of Royal Statistical Society B、Col.39,P.1−22,1977)に記載のEMアルゴリズムを用いることにより以下のように算出される。すなわち、サーバは、以下のEステップおよびMステップを繰り返し実行することにより計算結果を収束させる。
より詳細には、サーバは、Eステップでは、以下の式(6)および(7)を用いて十分統計量Si(s)およびi番目の負担率γi(s)を算出する。
Figure 2018046432
Figure 2018046432
ここで、yuおよびtは、それぞれデータすなわち送信間隔およびサンプル数である。また、ci(s−1)は、1つ前のEステップにおけるi番目の混合比である。
サーバは、Mステップでは、以下の式(8)、(9)および(10)を用いてi番目の混合比ci(s)、i番目の平均値xiバー(s)およびi番目の分散σi^2(s)を算出する。
Figure 2018046432
Figure 2018046432
Figure 2018046432
サーバは、たとえば、所定の頒布タイミングにおいて、K、c1〜cK、x1バー〜xKバーおよびσ1^2〜σK^2を含む分布情報を対象車両へ送信する。
取得部53は、車載通信機111および通信処理部51経由でサーバから分布情報を受信すると、受信した分布情報に基づいて、式(4)により示されるモデル関数Func2を作成し、作成したモデル関数Func2を検知部54へ出力する。
検知部54は、取得部53からモデル関数Func2を受けると、受けたモデル関数Func2をモデル関数Func1と同様に用いることにより不正メッセージを検知する。
[動作]
車載検知システム301における各装置は、コンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のシーケンス図またはフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリからそれぞれ読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
図9は、本発明の第1の実施の形態に係るゲートウェイ装置が送信間隔に基づいて不正メッセージの検知を行う際の動作手順を定めたフローチャートである。
図9を参照して、まず、ゲートウェイ装置101は、たとえばサーバから分布情報を受信する(ステップS102)。
次に、ゲートウェイ装置101は、受信した分布情報に基づいてモデル関数Func1を作成し、作成したモデル関数Func1を変形することによりスコア関数Sc1を作成する(ステップS104)。
次に、ゲートウェイ装置101は、最初の対象メッセージを受信し、当該対象メッセージの受信時刻を測定基準として設定する(ステップS106)。
次に、ゲートウェイ装置101は、対象メッセージを受信するまで待機する(ステップS108でNO)。
そして、ゲートウェイ装置101は、対象メッセージを受信すると(ステップS108でYES)、受信時刻から測定基準を差し引くことにより送信間隔を算出する(ステップS110)。
次に、ゲートウェイ装置101は、算出した送信間隔をスコア関数Sc1に代入することによりスコアを算出する(ステップS112)。
次に、ゲートウェイ装置101は、算出したスコアがしきい値ThB以下である場合(ステップS114でYES)、今回伝送された対象メッセージが正当メッセージであると判断する(ステップS116)。
次に、ゲートウェイ装置101は、測定基準を、今回伝送された対象メッセージの受信時刻に更新する(ステップS118)。
一方、ゲートウェイ装置101は、算出したスコアがしきい値ThBより大きい場合(ステップS114でNO)、今回伝送された対象メッセージが不正メッセージであると判断する(ステップS120)。
次に、ゲートウェイ装置101は、測定基準を更新するか(ステップS118)、または当該対象メッセージが不正メッセージであると判断すると(ステップS120)、新たな対象メッセージを受信するまで待機する(ステップS108でNO)。
なお、本発明の第1の実施の形態に係る車載検知システムでは、ゲートウェイ装置101が、車載ネットワーク12における不正メッセージを検知する構成であるとしたが、これに限定するものではない。車載検知システム301では、ゲートウェイ装置101とは別の検知装置が、車載ネットワーク12における不正メッセージを検知する構成であってもよい。
また、本発明の第1の実施の形態に係るゲートウェイ装置では、監視部52は、対象メッセージの受信時刻に基づいて送信間隔を測定する構成であるとしたが、これに限定するものではない。監視部52は、たとえば、対象メッセージの送信時刻を取得し、取得した送信時刻に基づいて送信間隔を測定する構成であってもよい。
また、本発明の第1の実施の形態に係るゲートウェイ装置では、検知部54は、制御装置122間でやり取りされるメッセージを不正メッセージの検知対象とする構成であるとしたが、これに限定するものではない。検知部54は、制御装置122および車載通信機111間でやり取りされるメッセージ、ならびに車載通信機111間でやり取りされるメッセージを不正メッセージの検知対象とする構成であってもよい。
また、本発明の第1の実施の形態に係る車載検知システムでは、検知装置として機能するゲートウェイ装置101がバス13に直接接続される構成であるとしたが、これに限定するものではない。
図10は、本発明の第1の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。
図10を参照して、検知装置131が、車載装置たとえば制御装置122を介してバス13に接続される構成であってもよい。この場合、検知装置131は、たとえば、当該車載装置が送受信する対象メッセージを監視することにより、バス13に伝送される不正メッセージを検知する。
また、本発明の第1の実施の形態に係るゲートウェイ装置101は、テスト車両において測定された対象メッセージの送信間隔の分布を取得する構成であるとしたが、これに限定するものではない。ゲートウェイ装置101は、対象車両において測定された送信間隔を蓄積し、蓄積した送信間隔に基づいて当該分布を作成する構成であってもよい。しかしながら、この構成では測定された送信間隔を蓄積するための大容量のメモリが必要であるため、小型および低コストが求められるゲートウェイ装置101には適さない可能性がある。小容量のメモリで上記分布を作成可能な構成については後述する。
ところで、特許文献1には、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防ぐ構成が開示されている。
しかしながら、メッセージ認証を用いるセキュリティ対策では、プロトコルの脆弱性を突いた攻撃、第1の暗号鍵の不正入手による攻撃、および暗号アルゴリズムの陳腐化を突いた攻撃等により、当該セキュリティ対策が無効化されることがある。
このような場合において、攻撃者が車載ネットワークに侵入したことを正しく検知するための技術が求められる。
これに対して、本発明の第1の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワーク12における不正メッセージを検知する。監視部52は、車載ネットワーク12における送信メッセージを監視する。取得部53は、送信メッセージの送信間隔の分布を取得する。そして、検知部54は、監視部52による監視結果および取得部53によって取得された分布に基づいて、不正メッセージを検知する。
たとえば、正当な送信メッセージが周期的に送信される場合では、正当な送信メッセージの送信周期近傍に当該分布の度数が集中するので、当該分布において度数が小さい範囲における送信間隔は、不正メッセージの送信間隔である可能性が高い。これにより、度数が小さい範囲における送信間隔の送信メッセージを不正メッセージとして検知することができる。したがって、車載ネットワークにおける不正メッセージを正しく検知することができる。また、送信メッセージの送信間隔の分布を用いる構成により、送信メッセージの送信間隔の揺らぎを考慮した正確な検知を行うことができる。
また、本発明の第1の実施の形態に係るゲートウェイ装置は、車載ネットワーク12における車載装置間のメッセージを中継する。監視部52は、車載ネットワーク12における送信メッセージを監視する。取得部53は、送信メッセージの送信間隔の分布を取得する。そして、検知部54は、監視部52による監視結果および取得部53によって取得された分布に基づいて、不正メッセージを検知する。
たとえば、正当な送信メッセージが周期的に送信される場合では、正当な送信メッセージの送信周期近傍に当該分布の度数が集中するので、当該分布において度数が小さい範囲における送信間隔は、不正メッセージの送信間隔である可能性が高い。これにより、度数が小さい範囲における送信間隔の送信メッセージを不正メッセージとして検知することができる。したがって、車載ネットワークにおける不正メッセージを正しく検知することができる。また、送信メッセージの送信間隔の分布を用いる構成により、送信メッセージの送信間隔の揺らぎを考慮した正確な検知を行うことができる。
また、本発明の第1の実施の形態に係るゲートウェイ装置では、監視部52は、送信メッセージの送信間隔を測定する。そして、検知部54は、監視部52によって測定された送信間隔と、分布と、所定のしきい値とに基づいて不正メッセージを検知する。
このような構成により、上記分布において不正メッセージであると判定すべき送信間隔の範囲をしきい値により定めることができるので、送信メッセージが不正メッセージであるか否かを簡易に判定することができる。
また、本発明の第1の実施の形態に係るゲートウェイ装置では、監視部52は、送信メッセージの送信間隔を測定する。そして、検知部54は、監視部52によって測定された送信間隔の、分布における位置に基づいて不正メッセージを検知する。
このような構成により、たとえば、上記分布において不正メッセージであると判定すべき送信間隔の範囲が定められている場合において、送信メッセージが不正メッセージであるか否かを簡易に判定することができる。
また、本発明の第1の実施の形態に係るゲートウェイ装置では、取得部53は、他の装置によって予め作成された分布を取得する。
このように、処理負荷の大きい分布の作成処理を他の装置において行う構成により、ゲートウェイ装置101における処理負荷を軽減することができる。
また、本発明の第1の実施の形態に係るゲートウェイ装置では、監視部52は、送信メッセージの送信間隔を測定する。そして、監視部52は、不正メッセージではないと判断された送信メッセージの受信タイミングを送信間隔の測定基準として用いる。
このような構成により、たとえば、測定基準が不正メッセージの受信タイミングに設定されてしまい、不正メッセージの受信タイミングおよび正当な送信メッセージの受信タイミング間の送信間隔が設定後において測定され、正当な送信メッセージを不正メッセージとして誤って検知してしまう状況を防ぐことができる。
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第2の実施の形態>
本実施の形態は、第1の実施の形態に係るゲートウェイ装置と比べて分布のパラメータを動的に設定するゲートウェイ装置に関する。以下で説明する内容以外は第1の実施の形態に係るゲートウェイ装置と同様である。
図11は、本発明の第2の実施の形態に係る車載検知システムにおけるゲートウェイ装置の構成を示す図である。
図11を参照して、ゲートウェイ装置102は、通信処理部51と、監視部52と、取得部53と、検知部54と、分布作成部56とを備える。
ゲートウェイ装置102における通信処理部51、監視部52、取得部53および検知部54の動作は、図3に示すゲートウェイ装置101における通信処理部51、監視部52、取得部53および検知部54とそれぞれ同様である。
監視部52は、たとえば、通信処理部51におけるメッセージの中継処理を監視し、監視結果に基づいて対象メッセージの送信間隔を算出する。そして、監視部52は、算出した送信間隔を検知部54および分布作成部56へ出力する。
分布作成部56は、たとえば、監視部52によって測定された送信間隔に基づいて、当該送信間隔の分布を示す分布情報を更新する。
より詳細には、分布作成部56は、たとえば、モデル関数Func1として上記式(1)に示す正規分布関数pを用いる。分布作成部56は、たとえば、監視部52から送信間隔を受けるごとに、非特許文献2(B.P.Welford、”Note on a method for calculating corrected sums of squares and products”、Technometrics、Vol.4、P.419−420、1962)および非特許文献3(D.E.Knuth、”The Art Of Computer Programming Volume2 Seminumerical Algorithms Third Edition”、P.219、2015)に記載のWelford−Knuth法に従って正規分布関数pのパラメータを更新する。
具体的には、分布作成部56は、たとえば、送信間隔を監視部52から受けた回数を示す計算回数mを保持しており、監視部52から送信間隔を受けるごとに計算回数mをインクリメントする。
分布作成部56は、以下の式(11)および(12)を用いて、xmバーおよびMmを算出する。
Figure 2018046432
Figure 2018046432
ここで、xhバーおよびMhは、h回目の計算における平均値、およびh回目の計算における自乗和平均である。ここで、hは、mまたはm−1である。また、分布作成部56は、以下の式(13)を用いて分散σ^2を算出する。
Figure 2018046432
分布作成部56は、たとえば、算出したxmバーおよびσ^2を含む分布情報を取得部53へ出力する。
取得部53は、たとえば、監視部52による監視結果に基づく対象メッセージの送信間隔の分布を取得する。
より詳細には、取得部53は、分布作成部56から分布情報を受けると、受けた分布情報に基づいて、式(1)により示されるモデル関数Func1を作成し、作成したモデル関数Func1を検知部54へ出力する。
検知部54は、たとえば、監視部52による監視結果、および分布作成部56によって更新された送信間隔の分布に基づいて、不正メッセージを検知する。
より詳細には、検知部54は、取得部53からモデル関数Func1を受けるとともに、監視部52から送信間隔を受ける。
検知部54は、たとえば、−log(Func1)をスコア関数Sc1として作成し、作成したスコア関数Sc1における変数xに送信間隔を代入することによりスコアを算出する。
検知部54は、算出したスコアとしきい値とを比較し、スコアおよびしきい値の大小関係に基づいて、今回伝送された対象メッセージが正当メッセージおよび不正メッセージのいずれであるかを判断する。検知部54は、判断結果を監視部52および通信処理部51へ通知する。
[ゲートウェイ装置102の変形例1]
この例では、上述の式(4)をモデル関数Func2として用い、かつ対応の分布のパラメータを動的に設定するゲートウェイ装置102について説明する。
分布作成部56は、たとえば、モデル関数Func2として上記式(4)に示す混合正規分布関数Pを用いる。分布作成部56は、たとえば、非特許文献4(O.Cappe、外1名、”Online expectation maximization algorithm for latent data models”、Journal od the Royal Statistics Society: Series B (Statistical Methodology)、Vol.71、P.593−613、2009)に記載のStepwise−EM法を用いて、監視部52から送信間隔を受けるごとにc1〜cK、x1バー〜xKバーおよびσ1^2〜σK^2を動的に設定する、すなわち更新する。
より詳細には、分布作成56は、EステップおよびMステップにおいて、i=1〜Kの各々についてStepwise−EM法を適用することでci、xiバーおよびσi^2を算出する。
具体的には、分布作成部56は、Eステップにおいて、以下の式(14)を用いて減衰係数ηtを算出する。
Figure 2018046432
また、分布作成部56は、以下の式(15)を用いてi番目の負担率γi(s)を算出する。
Figure 2018046432
分布作成部56は、以下の式(16)および(17)を用いて、十分統計量Si(s)および更新後の十分統計量S(s)を算出する。
Figure 2018046432
Figure 2018046432
ここで、s(s−1)は、1つ前のEステップにおける十分統計量である。
分布作成部56、Mステップでは、以下の式(18)、(19)および(20)を用いてi番目の混合比ci(s)、i番目の平均値xiバー(s)およびi番目の分散σi^2(s)を算出する。
Figure 2018046432
Figure 2018046432
Figure 2018046432
そして、分布作成部56は、以下の式(21)を計算することにより計算回数mをインクリメントする。
Figure 2018046432
分布作成部56は、たとえば、Kならびに算出したc1〜cK、x1バー〜xKバーおよびσ1^2〜σK^2を含む分布情報を取得部53へ出力する。
取得部53は、分布作成部56から分布情報を受けると、受けた分布情報に基づいて、式(4)により示されるモデル関数Func2を作成し、作成したモデル関数Func2を検知部54へ出力する。
検知部54は、取得部53からモデル関数Func2を受けるとともに、監視部52から送信間隔を受ける。
検知部54は、たとえば、−log(Func2)をスコア関数Sc1として作成し、作成したスコア関数Sc1における変数xに送信間隔を代入することによりスコアを算出する。
検知部54は、算出したスコアとしきい値とを比較し、スコアおよびしきい値の大小関係に基づいて、今回伝送された対象メッセージが正当メッセージおよび不正メッセージのいずれであるかを判断する。検知部54は、判断結果を監視部52および通信処理部51へ通知する。
なお、ゲートウェイ装置102では、分布作成部56は、監視部52から送信間隔を受けるごとにc1〜cK、x1バー〜xKバーおよびσ1^2〜σK^2を更新する構成であるとしたが、これに限定するものではない。
分布作成部56は、たとえば、100〜200のMinibatch−sizeごとにc1〜cK、x1バー〜xKバーおよびσ1^2〜σK^2を更新する構成であってもよい。
より詳細には、分布作成部56は、たとえば、Minibatch−sizeが100である場合、100回Eステップを実行したのち、Mステップを1回実行する。
このように、たとえば、100〜200のMinibatch−sizeを用いる構成により、Eステップにおける各計算結果が安定的に収束し、また収束後におけるc1〜cK、x1バー〜xKバーおよびσ1^2〜σK^2の更新を安定して行うことができる。
[効果]
図12は、本発明の第2の実施の形態に係るゲートウェイ装置におけるパラメータの動的設定の効果を説明するための図である。なお、図12において、縦軸は、スコアおよび送信間隔を示し、対応の横軸はそれぞれ送信間隔および時間を示す。
図12を参照して、たとえば、期間Pa,Pb,Pcにおいて、送信間隔のばらつき度合いが変化する状況を想定する。より詳細には、期間Pa,Pb,Pcにそれぞれ対応するスコア関数は、α、βおよびγである。
たとえば、図12に示すように期間Pa,Pb,Pcにおいてしきい値Th1が一定である場合、送信間隔のばらつきの小さい期間Pa,Pcの各々では、今回伝送された対象メッセージが正当メッセージであると判断される送信間隔の範囲Ra,Rc(以下、正常範囲とも称する。)が狭い。一方、送信間隔のばらつきの大きい期間Pbでは、正常範囲Rbが広い。したがって、送信周期のばらつきの変動に応じて正常範囲を変動させることができるので、適切な判定基準を設定することができる。
[動作]
図13は、本発明の第2の実施の形態に係るゲートウェイ装置が送信間隔に基づいて不正メッセージの検知を行う際の動作手順を定めたフローチャートである。
図13を参照して、ゲートウェイ装置102が、送信間隔の測定基準を保持し、またモデル関数Func1として正規分布関数pを用いる状況を想定する。
まず、ゲートウェイ装置102は、対象メッセージを受信するまで待機する(ステップS202でNO)。
そして、ゲートウェイ装置102は、対象メッセージを受信すると(ステップS202でYES)、受信時刻から測定基準を差し引くことにより送信間隔を算出する(ステップS204)。
次に、ゲートウェイ装置102は、算出した送信間隔に基づいて対象メッセージの送信間隔の分布を更新する。具体的には、ゲートウェイ装置102は、正規分布関数pのパラメータを更新する(ステップS206)。
次に、ゲートウェイ装置102は、更新したパラメータに基づいてモデル関数Func1を作成し、作成したモデル関数Func1を変形することによりスコア関数Sc1を作成する(ステップS208)。
ステップS210〜S218の動作は、図9に示すステップS112〜S120の動作と同様である。
なお、ゲートウェイ装置102は、正規分布関数pの代わりに混合正規分布関数Pをモデル関数Func2として用いる構成であってもよい。この場合、ゲートウェイ装置102は、上記ステップS206において、混合正規分布関数Pのパラメータであるc1〜cK、x1バー〜xKバーおよびσ1^2〜σK^2を更新する。
その他の構成および動作は第1の実施の形態に係るゲートウェイ装置と同様であるため、ここでは詳細な説明を繰り返さない。
以上のように、本発明の第2の実施の形態に係るゲートウェイ装置では、監視部52は、送信メッセージの送信間隔を測定する。そして、分布作成部56は、監視部52によって測定された送信間隔に基づいて分布を更新する。
このような構成により、たとえば、送信メッセージの送信間隔がばらつく場合においても、送信間隔のばらつき度合いに応じて上記分布を更新することができるので、正当な送信メッセージを不正メッセージとして誤って検知してしまう可能性を低減することができる。
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第3の実施の形態>
本実施の形態は、第1の実施の形態に係るゲートウェイ装置と比べて複数種類の変数を有する正規分布関数を用いるゲートウェイ装置に関する。以下で説明する内容以外は第1の実施の形態に係るゲートウェイ装置と同様である。
図14は、本発明の第3の実施の形態に係る車載検知システムにおけるゲートウェイ装置の構成を示す図である。
図14を参照して、ゲートウェイ装置103は、通信処理部51と、監視部62と、取得部63と、検知部64と、分布作成部66とを備える。
ゲートウェイ装置103における通信処理部51、監視部62、取得部63および検知部64の動作は、図3に示すゲートウェイ装置101における通信処理部51、監視部52、取得部53および検知部54とそれぞれ同様である。
車載ネットワーク12では、たとえば、正規分布に従う連続値である計測値(以下、対象計測値とも称する。)を内容として含むメッセージが伝送される。
対象計測値は、たとえば、車載ネットワーク12が設けられた車両すなわち対象車両の速度、対象車両のタイヤ空気圧、対象車両のステアリング角度、対象車両のアクセル開度、対象車両のエンジンの回転数およびシリンダー圧力、対象車両に乗車している人間の重量、対象車両の加速度、対象車両のモータの回転数、対象車両の制動トルク、対象車両のヨーレート、ならびに対象車両に用いる電波の受信強度のうちの少なくともいずれか1つである。
この例では、車載ネットワーク12において、各対象計測値のうちのいずれか1つを含む周期メッセージが伝送される。なお、車載ネットワーク12において、複数の対象計測値を含む周期メッセージが伝送されてもよい。
より詳細には、対象車両の速度の計測値は、たとえば、計器表示制御装置において用いられる。対象車両のタイヤ空気圧の計測値は、たとえば、TPMSを用いて近距離無線端末装置によって取得され、シャーシ制御装置において用いられる。対象車両のステアリング角度の計測値は、たとえば、シャーシ制御装置において用いられる。対象車両のアクセル開度、ならびに対象車両のエンジンの回転数およびシリンダー圧力の計測値は、たとえば、エンジン制御装置において用いられる。対象車両に乗車している人間の重量の計測値は、たとえば、シートに設けられた重量センサにより計測され、エアバック制御装置において用いられる。対象車両の加速度の計測値は、たとえば、AT制御装置において用いられる。対象車両のモータの回転数の計測値は、たとえば、HEV制御装置において用いられる。対象車両の制動トルクの計測値は、たとえば、シャーシ制御装置およびブレーキ制御装置において用いられる。対象車両のヨーレートの計測値は、たとえば、シャーシ制御装置およびステアリング制御装置において用いられる。対象車両に用いる電波の受信強度、具体的にはスマートエントリおよびTPMS等のサービスに用いるLF帯またはUHF帯の電波の受信強度の計測値は、たとえばシャーシ制御装置およびスマートエントリ制御装置において用いられる。
たとえば、監視部62には、対象計測値を含む周期メッセージすなわち対象メッセージを示すIDすなわち登録IDが1つ登録されている。なお、監視部62には、複数の登録IDが登録されてもよい。
監視部62は、たとえば、通信処理部51におけるメッセージの中継処理を監視し、通信処理部51が登録IDを含むメッセージすなわち対象メッセージを受信すると、対象メッセージの送信間隔を算出するとともに対象メッセージの内容を取得する。
監視部62は、算出した送信間隔および取得した対象メッセージの内容すなわち対象計測値を分布作成部66および検知部64へ出力する。
分布作成部66は、たとえば、監視部62によって測定された送信間隔および取得された対象計測値に基づいて、当該送信間隔および対象計測値の分布を更新する。
より詳細には、分布作成部66は、たとえば、モデル関数Func3として2次元の正規分布関数qを用いる。ここで、2次元の正規分布関数qの変数は、たとえばxおよびyである。
分布作成部66は、たとえば、監視部62から送信間隔および計測対象値を受けるごとに、非特許文献2および非特許文献3に記載のWelford−Knuth法に従って正規分布関数qのパラメータを更新する。
ここで、正規分布関数qのパラメータは、各送信間隔の平均値xバーおよび分散σx^2、ならびに各対象計測値の平均値yバーおよび分散σy^2である。
分布作成部66は、たとえば、送信間隔を監視部62から受けた回数を示す計算回数mを保持しており、監視部62から送信間隔を受けるごとに計算回数mをインクリメントする。
分布作成部66は、上記式(11)〜(13)を用いて各送信間隔の平均値xバーおよび分散σx^2を算出する。また、分布作成部66は、送信間隔の平均値xバーおよび分散σx^2の算出処理と同様の処理を行うことにより対象計測値の平均値yバーおよび分散σy^2を算出する。
分布作成部66は、算出した各パラメータを含む分布情報を取得部63へ出力する。
取得部63は、分布作成部66から分布情報を受けると、受けた分布情報に基づいて、正規分布関数qにより示されるモデル関数Func3を作成し、作成したモデル関数Func3を検知部64へ出力する。
図15は、本発明の第3の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。なお、図15において、x軸は変数xを示し、y軸は変数yを示し、z軸はスコアを示す。x軸およびz軸の見方は、図6に示す横軸および縦軸とそれぞれ同様である。
図15を参照して、検知部64は、たとえば、監視部62によって測定された送信間隔、取得部63によって取得された分布情報、および監視部62によって監視された送信メッセージの内容に基づいて不正メッセージを検知する。ここでは、検知部64には、しきい値Thpが登録されている。
より詳細には、検知部64は、取得部63からモデル関数Func3を受けると、受けたモデル関数Func3を変形することによりスコア関数Sc2を作成する。より詳細には、検知部64は、たとえば、−log(Func3)をスコア関数Sc2として作成する。スコア関数Sc2は、曲面で表される。
図15では、スコア関数Sc2は、変数xが平均値xバーであり、かつ変数yが平均値yバーである場合に最小値を示す。
検知部64は、監視部62から受けた送信間隔および計測対象値をスコア関数Sc2における変数xおよび変数yにそれぞれ代入することによりスコアを算出する。
検知部64は、算出したスコアがたとえばしきい値Thp以下である場合、今回伝送された対象メッセージが正当メッセージであると判断する。
一方、検知部64は、算出したスコアがしきい値Thpより大きい場合、今回伝送された対象メッセージが不正メッセージであると判断する。
検知部64は、監視部62から受けた送信間隔および計測対象値に基づく判断結果を監視部62および通信処理部51へ通知する。
なお、本発明の第3の実施の形態に係るゲートウェイ装置では、モデル関数Func3として2次元の正規分布関数qが用いられるとしたが、これに限定するものではない。ゲートウェイ装置103では、3次元以上の正規分布関数が用いられる構成であってもよい。この場合、正規分布関数の変数は、送信間隔および複数種類の対象計測値である。また、ゲートウェイ装置103では、モデル関数Func3として2次元以上の混合正規分布関数が用いられる構成であってもよい。
また、本発明の第3の実施の形態に係るゲートウェイ装置は、分布作成部66を備え、正規分布関数qのパラメータを動的に設定する構成であるとしたが、これに限定するものでない。ゲートウェイ装置103は、分布作成部66を備えない構成であってもよく、正規分布関数qのパラメータを固定的に運用する構成であってもよい。また、ゲートウェイ装置103は、正規分布関数qのパラメータのうちの送信間隔に関するパラメータを動的に設定し、かつ計測対象値に関するパラメータを固定的に運用する構成であってもよいし、また送信間隔に関するパラメータを固定的に運用し、かつ計測対象値に関するパラメータを動的に設定する構成であってもよい。
以上のように、本発明の第3の実施の形態に係るゲートウェイ装置では、検知部64は、監視部62によって監視された送信メッセージの内容にさらに基づいて不正メッセージを検知する。
このような構成により、たとえば、不正メッセージであるにも関わらず送信間隔および分布に基づいて正当な送信メッセージとして検知されてしまう送信メッセージを、当該送信メッセージの内容に基づいて、不正メッセージであると検知することができるので、車載ネットワークにおける不正メッセージをより正しく検知することができる。
また、本発明の第3の実施の形態に係るゲートウェイ装置では、送信メッセージの内容は、連続値である。
このような構成により、たとえば、送信メッセージの内容に基づく分布を作成することができるので、当該分布において度数が小さい範囲における内容を含む送信メッセージを不正メッセージとして検知することができる。
また、本発明の第3の実施の形態に係るゲートウェイ装置では、連続値は、車載ネットワーク12が設けられた車両の速度、当該車両のタイヤ空気圧、当該車両のステアリング角度、当該車両のアクセル開度、当該車両のエンジンの回転数およびシリンダー圧力、当該車両に乗車している人間の重量、当該車両の加速度、当該車両のモータの回転数、当該車両の制動トルク、当該車両のヨーレート、ならびに当該車両に用いる電波の受信強度のうちの少なくともいずれか1つである。
このように、上記連続値が、平均値を中心としてばらつく連続値である構成により、平均値近傍において度数が集中する、不正メッセージの検知に適した分布を作成することができる。
その他の構成および動作は第1の実施の形態に係るゲートウェイ装置と同様であるため、ここでは詳細な説明を繰り返さない。
なお、本発明の第1の実施の形態〜第3の実施の形態に係る各装置の構成要素および動作のうち、一部または全部を適宜組み合わせることも可能である。
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
以上の説明は、以下に付記する特徴を含む。
[付記1]
複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、
前記車載ネットワークにおける送信メッセージを監視する監視部と、
前記送信メッセージの送信間隔の分布を取得する取得部と、
前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備え、
前記車載装置は、前記車載ネットワークの設けられた車両の外部における装置と通信する車載通信機、または前記車両における機能部を制御可能な制御装置であり、
正常な前記送信メッセージは、前記車載ネットワークにおいて所定の周期ごとに送信されるように設定されており、
前記取得部は、前記送信メッセージの各送信間隔の平均値および分散により定まる正規分布を示す分布情報を取得し、
前記検知部は、前記監視部による監視結果および前記取得部によって取得された前記分布情報に基づいて、前記不正メッセージを検知する、検知装置。
[付記2]
車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
前記車載ネットワークにおける送信メッセージを監視する監視部と、
前記送信メッセージの送信間隔の分布を取得する取得部と、
前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備え、
前記車載装置は、前記車載ネットワークの設けられた車両の外部における装置と通信する車載通信機、または前記車両における機能部を制御可能な制御装置であり、
正常な前記送信メッセージは、前記車載ネットワークにおいて所定の周期ごとに送信されるように設定されており、
前記取得部は、前記送信メッセージの各送信間隔の平均値および分散により定まる正規分布を示す分布情報を取得し、
前記検知部は、前記監視部による監視結果および前記取得部によって取得された前記分布情報に基づいて、前記不正メッセージを検知する、ゲートウェイ装置。
12 車載ネットワーク
13,14 バス
51 通信処理部
52 監視部
53 取得部
54 検知部
56 分布作成部
62 監視部
63 取得部
64 検知部
66 分布作成部
101,102,103 ゲートウェイ装置
111 車載通信機
112 ポート
121 バス接続装置群
122 制御装置
131 検知装置
301 車載検知システム

Claims (14)

  1. 複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、
    前記車載ネットワークにおける送信メッセージを監視する監視部と、
    前記送信メッセージの送信間隔の分布を取得する取得部と、
    前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備える、検知装置。
  2. 前記検知部は、前記監視部によって監視された前記送信メッセージの内容にさらに基づいて前記不正メッセージを検知する、請求項1に記載の検知装置。
  3. 前記内容は、連続値である、請求項2に記載の検知装置。
  4. 前記連続値は、前記車載ネットワークが設けられた車両の速度、前記車両のタイヤ空気圧、前記車両のステアリング角度、前記車両のアクセル開度、前記車両のエンジンの回転数およびシリンダー圧力、前記車両に乗車している人間の重量、前記車両の加速度、前記車両のモータの回転数、前記車両の制動トルク、前記車両のヨーレート、ならびに前記車両に用いる電波の受信強度のうちの少なくともいずれか1つである、請求項3に記載の検知装置。
  5. 前記監視部は、前記送信メッセージの送信間隔を測定し、
    前記検知部は、前記監視部によって測定された前記送信間隔と、前記分布と、所定のしきい値とに基づいて前記不正メッセージを検知する、請求項1から請求項4のいずれか1項に記載の検知装置。
  6. 前記監視部は、前記送信メッセージの送信間隔を測定し、
    前記検知部は、前記監視部によって測定された前記送信間隔の、前記分布における位置に基づいて前記不正メッセージを検知する、請求項1から請求項5のいずれか1項に記載の検知装置。
  7. 前記監視部は、前記送信メッセージの送信間隔を測定し、
    前記検知装置は、さらに、
    前記監視部によって測定された前記送信間隔に基づいて前記分布を更新する分布作成部を備える、請求項1から請求項6のいずれか1項に記載の検知装置。
  8. 前記取得部は、他の装置によって予め作成された前記分布を取得する、請求項1から請求項6のいずれか1項に記載の検知装置。
  9. 前記監視部は、前記送信メッセージの送信間隔を測定し、
    前記監視部は、不正メッセージではないと判断された前記送信メッセージの受信タイミングを前記送信間隔の測定基準として用いる、請求項1から請求項8のいずれか1項に記載の検知装置。
  10. 車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
    前記車載ネットワークにおける送信メッセージを監視する監視部と、
    前記送信メッセージの送信間隔の分布を取得する取得部と、
    前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部とを備える、ゲートウェイ装置。
  11. 複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、
    前記車載ネットワークにおける送信メッセージを監視するステップと、
    前記送信メッセージの送信間隔の分布を取得するステップと、
    監視結果および取得した前記分布に基づいて、前記不正メッセージを検知するステップとを含む、検知方法。
  12. 車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、
    前記車載ネットワークにおける送信メッセージを監視するステップと、
    前記送信メッセージの送信間隔の分布を取得するステップと、
    監視結果および取得した前記分布に基づいて、前記不正メッセージを検知するステップとを含む、検知方法。
  13. 複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、
    コンピュータを、
    前記車載ネットワークにおける送信メッセージを監視する監視部と、
    前記送信メッセージの送信間隔の分布を取得する取得部と、
    前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部、
    として機能させるための、検知プログラム。
  14. 車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、
    コンピュータを、
    前記車載ネットワークにおける送信メッセージを監視する監視部と、
    前記メッセージの送信間隔の分布を取得する取得部と、
    前記監視部による監視結果および前記取得部によって取得された前記分布に基づいて、前記不正メッセージを検知する検知部、
    として機能させるための、検知プログラム。
JP2016180284A 2016-09-15 2016-09-15 検知装置、ゲートウェイ装置、検知方法および検知プログラム Active JP6805667B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2016180284A JP6805667B2 (ja) 2016-09-15 2016-09-15 検知装置、ゲートウェイ装置、検知方法および検知プログラム
DE112017004645.9T DE112017004645T5 (de) 2016-09-15 2017-06-28 Detektionsvorrichtung, Gatewayvorrichtung, Detektionsverfahren und Detektionsprogramm
US16/325,480 US10880415B2 (en) 2016-09-15 2017-06-28 Detecting device, gateway device, and detecting method
PCT/JP2017/023673 WO2018051607A1 (ja) 2016-09-15 2017-06-28 検知装置、ゲートウェイ装置、検知方法および検知プログラム
CN201780055072.8A CN109691029B (zh) 2016-09-15 2017-06-28 检测装置、网关装置和检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016180284A JP6805667B2 (ja) 2016-09-15 2016-09-15 検知装置、ゲートウェイ装置、検知方法および検知プログラム

Publications (2)

Publication Number Publication Date
JP2018046432A true JP2018046432A (ja) 2018-03-22
JP6805667B2 JP6805667B2 (ja) 2020-12-23

Family

ID=61619903

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016180284A Active JP6805667B2 (ja) 2016-09-15 2016-09-15 検知装置、ゲートウェイ装置、検知方法および検知プログラム

Country Status (5)

Country Link
US (1) US10880415B2 (ja)
JP (1) JP6805667B2 (ja)
CN (1) CN109691029B (ja)
DE (1) DE112017004645T5 (ja)
WO (1) WO2018051607A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019212972A (ja) * 2018-05-31 2019-12-12 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
JP2019212976A (ja) * 2018-05-31 2019-12-12 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
WO2020240767A1 (ja) * 2019-05-30 2020-12-03 三菱電機株式会社 自動運転システム
US11440557B2 (en) 2018-05-31 2022-09-13 Panasonic Intellectual Property Management Co., Ltd. Electronic control device, recording medium, and gateway device

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
KR102272081B1 (ko) * 2017-09-25 2021-07-02 현대모비스 주식회사 자동차 네트워크의 데이터 통신방법
JP6527647B1 (ja) * 2018-03-29 2019-06-05 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知装置及びプログラム
CN110546921B (zh) * 2018-03-29 2022-10-28 松下电器(美国)知识产权公司 不正当检测方法、不正当检测装置以及程序
US11110895B2 (en) * 2018-04-09 2021-09-07 Cisco Technology, Inc. Vehicle network intrusion detection system (IDS) using vehicle state predictions
US11354406B2 (en) * 2018-06-28 2022-06-07 Intel Corporation Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles
JPWO2020079874A1 (ja) * 2018-10-18 2021-09-09 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
WO2021065068A1 (ja) * 2019-09-30 2021-04-08 株式会社オートネットワーク技術研究所 検知装置、車両、検知方法および検知プログラム
JP7334614B2 (ja) * 2019-12-24 2023-08-29 株式会社オートネットワーク技術研究所 車載中継装置
DE102020201606A1 (de) * 2020-02-10 2021-08-12 Robert Bosch Gesellschaft mit beschränkter Haftung Kommunikationsmodul, Teilnehmer und Verfahren

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086367A (ja) * 2002-08-23 2004-03-18 Toshiba Corp プラントネットワーク健全性診断装置とその方法
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
WO2016080422A1 (ja) * 2014-11-20 2016-05-26 国立大学法人名古屋大学 通信制御装置及び通信システム
JP2016134913A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
KR101472896B1 (ko) * 2013-12-13 2014-12-16 현대자동차주식회사 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치
EP2892199B1 (en) 2014-01-06 2018-08-22 Argus Cyber Security Ltd. Global automotive safety system
WO2015170451A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法
JP2016097879A (ja) 2014-11-25 2016-05-30 トヨタ自動車株式会社 車両制御システム
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
JP6508999B2 (ja) 2015-03-25 2019-05-08 日工株式会社 アスファルトプラントのドライヤ
US10530605B2 (en) * 2015-08-06 2020-01-07 Tower-Sec Ltd. Means and methods for regulating can communication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086367A (ja) * 2002-08-23 2004-03-18 Toshiba Corp プラントネットワーク健全性診断装置とその方法
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
WO2016080422A1 (ja) * 2014-11-20 2016-05-26 国立大学法人名古屋大学 通信制御装置及び通信システム
JP2016134913A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019212972A (ja) * 2018-05-31 2019-12-12 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
JP2019212976A (ja) * 2018-05-31 2019-12-12 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
US11440557B2 (en) 2018-05-31 2022-09-13 Panasonic Intellectual Property Management Co., Ltd. Electronic control device, recording medium, and gateway device
WO2020240767A1 (ja) * 2019-05-30 2020-12-03 三菱電機株式会社 自動運転システム
JPWO2020240767A1 (ja) * 2019-05-30 2021-11-25 三菱電機株式会社 自動運転システム
JP7146082B2 (ja) 2019-05-30 2022-10-03 三菱電機株式会社 自動運転システム

Also Published As

Publication number Publication date
US10880415B2 (en) 2020-12-29
CN109691029A (zh) 2019-04-26
DE112017004645T5 (de) 2019-06-13
JP6805667B2 (ja) 2020-12-23
CN109691029B (zh) 2021-10-22
US20190191020A1 (en) 2019-06-20
WO2018051607A1 (ja) 2018-03-22

Similar Documents

Publication Publication Date Title
WO2018051607A1 (ja) 検知装置、ゲートウェイ装置、検知方法および検知プログラム
CN110494330B (zh) 车辆监视装置、不正当检测服务器、以及控制方法
JP7170780B2 (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US10104094B2 (en) On-vehicle communication system
Liu et al. In-vehicle network attacks and countermeasures: Challenges and future directions
JP7007632B2 (ja) 検知装置、検知方法および検知プログラム
EP3157203B1 (en) Network system, communication control method, and storage medium
JP2023021333A (ja) セキュリティ処理方法及びサーバ
JP6852604B2 (ja) 車載装置、管理方法および管理プログラム
US11392683B2 (en) Detection device, detection method and recording medium
JP7276670B2 (ja) 検知装置、検知方法および検知プログラム
CN110113378A (zh) 车辆认证方法及其装置
WO2021065068A1 (ja) 検知装置、車両、検知方法および検知プログラム
JP2022190041A (ja) 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2021111685A1 (ja) 検知装置、車両、検知方法および検知プログラム
US20230344847A1 (en) Detection device, vehicle, detection method, and detection program
JP2020173535A (ja) 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム
WO2024032438A1 (zh) 车辆安全访问方法、系统及相关装置
WO2021065069A1 (ja) 検知装置、車両、検知方法および検知プログラム
Notaro Simulating Malicious Attacks on VANETs for Connected and Autonomous Vehicles
JP6242455B1 (ja) 車両用無線通信装置
CN117195216A (zh) 车辆校验方法、相关装置及系统
CN117336719A (zh) 路侧设备的通信认证方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A80 Written request to apply exceptions to lack of novelty of invention

Free format text: JAPANESE INTERMEDIATE CODE: A80

Effective date: 20161013

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200414

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200529

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201117

R150 Certificate of patent or registration of utility model

Ref document number: 6805667

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250