JP2019169877A - 監視装置、監視方法およびコンピュータプログラム - Google Patents
監視装置、監視方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2019169877A JP2019169877A JP2018056971A JP2018056971A JP2019169877A JP 2019169877 A JP2019169877 A JP 2019169877A JP 2018056971 A JP2018056971 A JP 2018056971A JP 2018056971 A JP2018056971 A JP 2018056971A JP 2019169877 A JP2019169877 A JP 2019169877A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- waveform information
- data
- abnormal
- frames
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】事前学習することなく、不正動作しているECUを識別する。【解決手段】監視ECU16は、送信ECU14から送信されたフレームを受信する。監視ECU16は、受信した複数のフレームの各々に含まれるデータと、それら複数のフレームの各々の波形情報とを対応付けて記憶する。監視ECU16は、記憶した波形情報に基づいて、記憶した複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する。【選択図】図1
Description
本開示はデータ処理技術に関し、特に監視装置、監視方法およびコンピュータプログラムに関する。
近年、自動車には、多数の電子制御ユニット(Electronic Control Unit、以下「ECU」と呼ぶ。)が搭載されている。これらのECUを繋ぐネットワークは車載ネットワークと呼ばれる。車載ネットワークには多数の規格が存在するが、広く普及した規格としてCAN(Controller Area Network)がある。
自動車の電動化に伴い、車載ネットワーク経由でステアリング等のアクチュエータを制御することが可能になっている。車載ネットワークにおいて不正コマンドが伝送されることによるアクチュエータの不正操作等を防止するため、車両のセキュリティ向上が求められている。
以下の特許文献1には、受信したデータが有する識別子ごとに受信時刻を記録し、同じ識別子を有するデータを受信した周期にずれが生じた場合に、なりすまし攻撃を検出することが記載されている。
また、以下の非特許文献1には、監視ECUと送信ECUのクロックのずれに基づいてECUを識別することが記載されている。
また、以下の非特許文献2には、メッセージの電圧値の統計値に基づいてECUを識別することが記載されている。
Kyong-Tak Cho and Kang G. Shin、"Fingerprinting Electronic Control Units for Vehicle Intrusion Detection"、[online]、[平成30年3月8日検索]、インターネット<URL:https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_cho.pdf>
Kyong-Tak Cho and Kang G. Shin、"Viden: Attacker Identification on In-Vehicle Networks"、[online]、[平成30年3月8日検索]、インターネット<URL:https://kabru.eecs.umich.edu/wordpress/wp-content/uploads/ktcho_CCS17.pdf>
車両のセキュリティ向上のために、異常なメッセージを検知した時に、不正動作しているECUを識別することが求められているが、特許文献1に記載の技術では、メッセージ単位の異常識別が困難である。また、非特許文献1および非特許文献2に記載の技術では、ECUから送信される信号の特徴を、工場出荷時等に事前学習する必要があり、工数やコストが増大する可能性がある。
本開示は上記課題に鑑みたもので、1つの目的は、事前学習することなく、不正動作しているECUを識別することである。
上記課題を解決するために、本開示のある態様の監視装置は、複数のフレームを受信する受信部と、受信された複数のフレームの各々に含まれるデータと、複数のフレームの各々の波形情報とを対応付けて記憶する記憶部と、記憶された波形情報に基づいて、記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する解析部と、を備える。
本開示の別の態様は、監視方法である。この方法は、複数のフレームを受信し、受信された複数のフレームの各々に含まれるデータと、複数のフレームの各々の波形情報とを対応付けて記憶し、記憶された波形情報に基づいて、記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する、ことをコンピュータが実行する。
なお、以上の構成要素の任意の組合せ、本発明の表現を、システム、コンピュータプログラム、コンピュータプログラムを記録した記録媒体、本装置を搭載した車両などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、事前学習することなく、不正動作しているECUを識別することができる。
まず実施例の概要を述べる。上記の非特許文献1、非特許文献2では、ECUのフィンガープリンティングが提案されている。ECUのフィンガープリンティングは、CANを流れるメッセージ(以下「フレーム」とも呼ぶ。)のアナログ信号の差異に基づいて、メッセージ送信元のECUを識別する技術である。
アナログ信号の差異は、電圧、タイミング、波形等に現れる。この差異を発生させる要因は、(1)トランシーバー(送信機)の特性の違い、(2)伝搬遅延(約5ナノ秒/メートルで伝搬するため、エッジのタイミングが変わること)、(3)ケーブル長の違い、(4)ECU間で非同期クロックを利用すること、などがある。
ECUのフィンガープリンティングを利用することで、フレーム送信元のECUを識別できる。これにより、或るECUが、本来は他のECUが送るべきID(CAN−ID)を付与したフレームを送信した場合に不正と判定することができ、すなわち、なりすましを検出することができる。
また、上記の非特許文献1、非特許文献2に記載のECUのフィンガープリンティングでは、車載ネットワークに接続される複数のECUの信号の特徴を、工場出荷時やECU交換時等に、事前学習する必要がある。そのため、車両の製造やメンテナンスにおける工数やコストが増加する可能性がある。
実施例の監視システムは、受信したメッセージのデータと当該メッセージの信号状態を示す波形情報を対応付けて蓄積する。そして、メッセージの周期や内容等に基づく異常検出時に、蓄積した波形情報に基づいて異常ECUを識別する。これにより、正当なECUが乗っ取られたことを検出でき、言い換えれば、乗っ取られたECUを識別できる。また、車両走行時に各ECUの波形情報を収集するため、工場出荷時やECU交換時の事前学習が不要になる。以下、実施例の構成を詳細に説明する。
(第1実施例)
図1は、第1実施例の監視システム100の構成を示す。車両10には、車載ネットワークシステム12が構築されており、車載ネットワークシステム12は、送信ECU14a、送信ECU14b(総称する場合「送信ECU14」と呼ぶ。)と、監視ECU16と、受信ECU18を含む。送信ECU14、監視ECU16および受信ECU18は、バス20を介して接続され、CANプロトコルにしたがってフレーム(データフレーム、リモートフレーム等)を送受信する。
図1は、第1実施例の監視システム100の構成を示す。車両10には、車載ネットワークシステム12が構築されており、車載ネットワークシステム12は、送信ECU14a、送信ECU14b(総称する場合「送信ECU14」と呼ぶ。)と、監視ECU16と、受信ECU18を含む。送信ECU14、監視ECU16および受信ECU18は、バス20を介して接続され、CANプロトコルにしたがってフレーム(データフレーム、リモートフレーム等)を送受信する。
送信ECU14aおよび送信ECU14bは、CANプロトコルで規定されたフレームをバス20へ送信し、受信ECU18は、フレームをバス20から受信する。実際の車両10には多数のECUが搭載され、各ECUは、フレームを送信する場合は送信ECU14として機能し、フレームを受信する場合は受信ECU18として機能してもよい。監視ECU16は、バス20を流れるフレームを監視し、異常なECUを検出する。
監視センタは、車両10をはじめ多くの車両のセキュリティリスクを監視する機関である。監視センタには監視サーバ24が設置され、監視サーバ24は、車両10からアップロードされた、車両10で検出された異常なECUに関するデータを蓄積する。車両10の監視ECU16は、LAN・WAN・インターネット等を含む通信網22を介して監視サーバ24と接続される。
図2は、図1の監視ECU16の機能ブロックを示すブロック図である。監視ECU16は、アナログ信号受信部30、AD変換部32、通信処理部34、DA変換部36、アナログ信号送信部38、信号処理部40、ログ記憶部42、異常判定部44、解析部46、異常処理部48を備える。
本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPU・メモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。例えば、図2の複数の機能ブロックに対応する複数のモジュールを含むコンピュータプログラムが監視ECU16のメモリに格納されてもよい。監視ECU16のCPUは、そのコンピュータプログラムを適宜読み出して実行することにより、各ブロックの機能を発揮してもよい。
アナログ信号受信部30は、バス20から複数のフレームのアナログ信号を受信する。AD変換部32は、アナログ信号受信部30により受信されたフレームのアナログ信号を所定のサンプリング周波数でデジタル信号(例えば電圧値のサンプリング結果)に変換し、デジタル信号を出力する。通信処理部34は、AD変換部32から出力されたデジタル信号に基づいて、フレームのデータ(CANのメッセージとも言え、以下「フレームデータ」と呼ぶ。)を取得する。
なお、AD変換部32として、トランシーバの構成の一部であるAD変換部32とは異なるAD変換部(不図示)を新たに設け、アナログ信号受信部30からの出力信号を分岐し、新たに設けたAD変換部に入力して、変換されたデジタル信号を信号処理部40に入力するようにしてもよい。
通信処理部34は、フレームデータに関する所定の処理を実行する。DA変換部36は、通信処理部34から出力されたフレームデータをアナログ信号に変換する。アナログ信号送信部38は、DA変換部36から出力されたアナログ信号をバス20へ送出する。例えば、通信処理部34は、後述の異常判定部44によりフレームデータの異常が検出された場合、エラーフレームを生成してもよい。アナログ信号送信部38は、エラーフレームのアナログ信号をバス20へ送出してもよい。
図3は、フレームのフォーマットを示す。フレームは、CAN−IDが設定されるIDフィールドを含む。CAN−IDは、フレームデータの種類(例えばコマンドの種類)を示す識別子であり、1つのCAN−IDは、1つのECUに対応付けられる。すなわち、CAN−IDは、フレームを送信した送信ECU14を一意に識別可能なデータである。
図4は、フレームデータと電気的レベルを模式的に示す。通信処理部34は、AD変換部32から出力されたデジタル信号に基づいてフレームデータを生成し、フレームデータをフレームの受信時刻とともにログ記憶部42へ記録する。また、通信処理部34は、フレームデータを異常判定部44へ入力する。
信号処理部40は、AD変換部32から出力されたデジタル信号に基づいて波形情報を生成し、フレームデータに対応付けて波形情報をログ記憶部42へ記録する。波形情報は、AD変換部32から出力された(または、AD変換部32の出力をローパスフィルタなどの信号処理した後の)デジタル信号が示す電圧(あるいは電圧の増減量)、タイミング、波形の少なくともいずれかを示すデータである。実施例の波形情報は、デジタル信号が示す電圧値の推移を示すデータであり、言い換えれば、AD変換部32のサンプリング周波数に応じた複数時点での電圧値を示すデータである。すなわち、信号処理部40は、図4に示す信号状態を波形情報として記録する。AD変換部32のサンプリング周波数は、例えば1GHzである。なお、サンプリング周波数は、開発者の知見や、車載ネットワークシステム12を用いた実験により、ECUを識別可能な適切な値に設定されればよい。
ログ記憶部42は、アナログ信号受信部30により受信された複数のフレームのデータと、各フレームの波形情報とを対応付けた通信ログを記憶する。図5は、通信ログの例を示す。通信ログの各レコードは、フレームの受信時刻、フレームデータ、波形情報を含む。フレームデータは、CAN−ID、ペイロードの長さ(図3のコントロールフィールドの下位4ビットの値)、ペイロード(図3のデータフィールドの値)を含む。図5には不図示だが、通信ログの各レコードには、ユニークなレコードIDが付加されてもよい。
異常判定部44は、アナログ信号受信部30により受信され、通信処理部34により生成されたフレームが異常か否かを判定する。異常判定部44は、公知の手法でフレームデータの異常有無を判定してもよい。例えば、異常判定部44は、特許文献1に記載されたように、フレームの受信周期に基づいて異常を判定してもよい。また、異常判定部44は、フレームデータの内容(不正なコマンドの有無や、先に受信されたフレームの内容との関係等)に基づいて異常を判定してもよい。
解析部46は、ログ記憶部42に記憶された複数のフレームのレコードの中から、解析対象フレームと波形情報が類似するフレームのレコードを識別する。言い換えれば、解析部46は、ログ記憶部42の通信ログを参照して、解析対象フレームの波形情報と類似する波形情報に対応付けられたフレームデータを識別する。
第1実施例の解析部46は、異常判定部44により異常と判定されたフレーム(以下「異常フレーム」とも呼ぶ。)を解析対象フレームとして認識する。解析部46は、異常フレームと波形情報が類似するフレームデータであって、かつ、異常フレームのフレームデータが示す送信元装置(実施例ではCAN−ID)と異なる送信元装置(実施例ではCAN−ID)を示すフレームデータがログ記憶部42に記憶されている場合、上記類似するフレームを異常と判定し、上記類似するフレームの送信元装置(特定の送信ECU14)を異常と判定する。ここで異常と判定されるECUは、乗っ取りにより不正な動作を行っている可能性が高いECUである。
また、第1実施例の解析部46は、異常フレームと波形情報が非類似のフレームデータであって、かつ、異常フレームのフレームデータが示す送信元装置(実施例ではCAN−ID)と同じ送信元装置(実施例ではCAN−ID)を示すフレームデータがログ記憶部42に記憶されている場合、上記類似するフレームを異常と判定し、上記類似するフレームの送信元装置(特定の送信ECU14)を異常と判定する。ここで異常と判定されるECUは、他のECUによるなりすまし攻撃を受けている可能性が高いECUである。
波形情報(例えば時系列での電圧値の推移)が類似するか否かは、公知の手法により判定すればよい。例えば、2つの波形情報間の差異が所定の閾値以下の場合、これら2つの波形情報は類似すると判定してもよい。判定に用いる閾値や条件は、開発者の知見や、車載ネットワークシステム12を用いた実験等に基づいて決定されればよい。なお、実施例における類似は一致を含む。
異常処理部48は、解析部46によりECUの異常が検出された場合に、その異常に対応する所定の処理を実行する。第1実施例では、異常処理部48は、解析部46により異常と判定されたECU(以下「異常ECU」とも呼ぶ。)に関するデータを監視サーバ24へ送信する。異常ECUに関するデータは、少なくとも、解析部46により異常と判定されたフレームデータに設定されたCAN−ID(すなわち異常ECUを識別可能なデータ)を含む。
変形例として、異常処理部48は、異常ECUに関するデータを所定の記憶部(異常ログ等)に記録してもよい。また、異常処理部48は、異常を示すメッセージや、メンテナンスを促すメッセージを車両10の所定の表示装置(不図示)に表示させてもよい。また、異常処理部48は、車両10の自動運転制御装置(不図示)と連携して、車両10の挙動を制限してもよく、例えば車両10を停止させてもよい。
以上の構成による監視ECU16の動作を説明する。
図6は、第1実施例の監視ECU16の動作を示すフローチャートである。監視ECU16は、起動されるとフレームの待受状態となり、バス20を流れる信号の監視を開始する(S10)。監視処理の終了を要求するコマンドが入力されると(S12のY)、本図のフローを終了する。終了要求がなく(S12のN)、アナログ信号受信部30がフレームの信号を受信すると(S14のY)、信号処理部40は、フレームの信号状態を示す波形情報を取得する(S16)。
図6は、第1実施例の監視ECU16の動作を示すフローチャートである。監視ECU16は、起動されるとフレームの待受状態となり、バス20を流れる信号の監視を開始する(S10)。監視処理の終了を要求するコマンドが入力されると(S12のY)、本図のフローを終了する。終了要求がなく(S12のN)、アナログ信号受信部30がフレームの信号を受信すると(S14のY)、信号処理部40は、フレームの信号状態を示す波形情報を取得する(S16)。
通信処理部34は、フレームデータを通信ログとして記録し、信号処理部40は、フレームデータと対応付けて波形情報を通信ログとして記録する(S18)。異常判定部44は、フレームデータの正当性を検証する(S20)。フレームデータが異常であれば(S22のN)、後述の解析処理を実行して(S24)、S12に戻り、すなわちフレームの待受状態に戻る。フレームデータが正当であり(S22のY)、または、フレームを未受信であれば(S14のN)、S12に戻る。
図7は、図6のS24の解析処理を詳細に示すフローチャートである。解析部46は、解析対象フレームF(第1実施例では異常フレーム)の波形情報Sを通信ログから読み出す(S30)。解析部46は、通信ログのn番目(nの初期値は1)のレコード(比較フレームFn)の波形情報Snを読み出す(S32)。解析部46は、波形情報Sと波形情報Snとの類似度を計測する(S34)。類似度が所定の閾値以上、かつ、解析対象フレームが示すCAN−IDと比較フレームが示すCAN−IDが不一致であれば(S36のY)、比較フレームFnを送信した送信ECU14を異常と判定する(S40)。また、類似度が上記閾値未満、かつ、解析対象フレームが示すCAN−IDと比較フレームが示すCAN−IDが一致する場合(S36のN、S38のY)、比較フレームFnを送信した送信ECU14を異常と判定する(S40)。
異常処理部48は、比較フレームを送信した送信ECU14を識別可能なデータであり、第1実施例では、比較フレームFnに設定されたCAN−IDを監視サーバ24へ送信する(S42)。類似度が上記閾値未満、かつ、解析対象フレームが示すCAN−IDと比較フレームが示すCAN−IDが不一致の場合、または、類似度が上記閾値以上、かつ、解析対象フレームが示すCAN−IDと比較フレームが示すCAN−IDが一致する場合(S38のN)、解析部46は、比較フレームFnを送信した送信ECU14を正常と判定する(S44)。なお、波形情報の比較結果に関わらず、すなわち、S36およびS38の判定結果に関わらず、異常処理部48は、異常フレームに関する情報(CAN−ID等)を監視サーバ24へ送信してもよい。
解析部46は、変数nをインクリメントし、通信ログにn番目のレコード(すなわち次の比較フレームFn)が記録されていれば(S46のY)、S32に戻り、解析対象フレームFと、次の比較フレームFnとの波形情報を比較する。通信ログに次の比較フレームFnが記録されておらず、すなわち、通信ログの最後に到達した場合(S46のN)、本図のフローを終了する。
第1実施例の監視ECU16によると、異常が検出されたフレームと、過去受け付けられたフレームとの、波形情報およびCAN−IDを比較することにより、乗っ取りを受けているECUを精度よく検出でき、また、なりすましの攻撃を受けているECUを精度よく検出できる。
以上、本開示を第1実施例をもとに説明した。この第1実施例は例示であり、それらの各構成要素あるいは各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本開示の範囲にあることは当業者に理解されるところである。
第1実施例の第1変形例を説明する。第1変形例では、ログ記憶部42に記憶される波形情報のデータ量を低減する技術を説明する。以下の(1)〜(6)の構成のいずれかが監視ECU16に適用されてもよく、また、任意の組合せが監視ECU16に適用されてもよい。
(1)フレームのACKフィールドの波形情報は、ログ記憶部42による記憶対象から除外されてもよい。例えば、信号処理部40は、AD変換部32から出力されたフレームのデジタル信号が示す時系列の電圧値のうちACKフィールドに該当する電圧値を除外した波形情報を生成し、ログ記憶部42に記録してもよい。ACKフィールドのデータは、フレームを送信した装置とは異なる装置(フレームを受信した装置)が設定するからである。
(2)フレームのIDフィールドの波形情報は、ログ記憶部42による記憶対象から除外されてもよい。例えば、信号処理部40は、AD変換部32から出力されたフレームのデジタル信号が示す時系列の電圧値のうちIDフィールドに該当する電圧値を除外した波形情報を生成し、ログ記憶部42に記録してもよい。IDフィールドのデータ(CAN−ID)は、フレームの優先順位を決定する(アービトレーション)ために使用される。したがって、複数の送信ECU14が同時にデータを送信している可能性があり、IDフィールドの波形は、フレームの送信装置の本来の波形とは異なる可能性があるからである。
(3)CANプロトコルで規定されたフレームのうちエラーフレームの波形情報は、ログ記憶部42による記憶対象から除外されてもよい。例えば、信号処理部40は、1つのフレーム(データフレームまたはリモートフレーム)の受信中に、エラーフレームのデータが通信処理部34により検出された場合、エラーフレーム、および、そのエラーフレームにより中断されたフレーム(データフレームまたはリモートフレーム)の波形情報の生成を中止してもよい。または、信号処理部40は、エラーフレーム、および、そのエラーフレームにより中断されたフレーム(データフレームまたはリモートフレーム)の波形情報を生成するが、ログ記憶部42に記録することを中止してもよい。エラーフレームは、上記1つのフレーム(データフレームまたはリモートフレーム)の送信元ECUとは異なるECUが送信するからである。
(4)ログ記憶部42は、1つのフレームの波形情報として、ドミナントとレセシブの少なくとも一方について、1ビットの波形情報、2ビット連続する波形情報、3ビット連続する波形情報、4ビット連続する波形情報、および5ビット連続する波形情報の5パターン(ドミナントとレセシブの両方の場合は10パターン)を記憶してもよい。例えば、信号処理部40は、ドミナントとレセシブの両方について、1ビット分の信号の波形情報、連続2ビット分の信号の波形情報、・・・、連続5ビット分の信号の波形情報をログ記憶部42に記録してもよい。また、信号処理部40は、既に記録済のパターンの波形情報を、ログ記憶部42に記録することを抑制してもよい。
CANプロトコルでは、同じ極性のビットが5個連続したら逆の極性のビット(スタッフビット)を挿入すること、すなわち、同じ極性のビットが6個以上連続しないことが規定されている。したがって、ログ記憶部42は、上記5パターン(ドミナントとレセシブの両方の場合は10パターン)の波形情報を記憶することで、ECUの識別精度を維持しつつ、波形情報のデータ量を低減することができる。
(5)ログ記憶部42は、フレームの波形を示す複数個の値を差分符号化したデータを波形情報として記憶してもよい。例えば、信号処理部40は、AD変換部32から出力されたフレームのデジタル信号が示す時系列の複数個の電圧値について、時刻tの電圧値と時刻t+1の電圧値との差分を計算し、時系列の複数個の差分値を所定の規則で符号化したデータを波形情報としてログ記憶部42に記録してもよい。なお、差分符号化には公知の手法を使用してよい。波形情報の個々の値は類似性があるため、差分符号化することで、波形情報のデータ量を低減することができる。
(6)ログ記憶部42は、或るフレームの波形情報が、既に記憶された他のフレームの波形情報に類似する場合、上記或るフレームの波形情報として、上記他のフレームの波形情報を示す識別子を記憶してもよい。例えば、信号処理部40は、或るフレームの波形情報を生成した場合に、実施例の解析部46と同様に、ログ記憶部42の通信ログを検索して、当該波形情報に類似度が高い波形情報が記録済か否かを判定してもよい。類似度が高い波形情報が未記録の場合、信号処理部40は、今回生成した上記或るフレームの波形情報を通信ログに記録してもよい。
一方、類似度が高い波形情報が記録済であれば、信号処理部40は、今回生成した波形情報に代えて、類似度が高い波形情報を示す識別子を、上記或るフレームの波形情報としてログ記憶部42に記録してもよい。この識別子は、通信ログにおいて特定の波形情報を識別可能なデータであり、例えば、通信ログのレコードIDであってもよい。このように、波形情報として識別子のみを記録することで、波形情報のデータ量を低減することができる。
第1実施例の第2変形例を説明する。監視ECU16の解析部46は、ログ記憶部42の通信ログを参照して、異常判定部44により異常と判定されたフレーム(異常フレーム)と波形情報が類似するフレームのフレームデータを識別し、その類似するフレームの送信元装置(特定の送信ECU14)を異常と判定してもよい。言い換えれば、解析部46は、異常フレームの波形情報に対する類似度が所定の閾値以上の波形情報を持つフレームの送信元装置を異常と判定してもよい。第1変形例においても、乗っ取られた可能性が高い送信ECU14を精度よく検知できる。
第1実施例の第3変形例を説明する。ログ記憶部42は、所定の記憶条件が満たされた場合に、波形情報(もしくは、波形情報およびフレームデータ)を記憶してもよい。または、信号処理部40は、上記記憶条件が満たされた場合に、波形情報(もしくは、波形情報およびフレームデータ)をログ記憶部42に記録してもよい。記憶条件は、(1)所定時間が経過するごとに満たされてもよい。すなわち、所定時間が経過するたびに波形情報が更新されてもよい。また、記憶条件は、(2)車両10の製造時、(3)少なくとも1つのECUの修理時、(4)メンテナンス時の少なくともいずれかにおいて満たされてもよく、例えば、監視ECU16に所定の操作(例えば、ユーザ認証の操作)が入力された場合に記憶条件が満たされてもよい。
第1実施例の第4変形例を説明する。ログ記憶部42および解析部46は、監視ECU16以外のECU(例えば解析ECU)に設けられてもよい。この場合、監視ECU16と解析ECUとが連携して、実施例の監視ECU16と同様の処理を実行してもよい。また、ログ記憶部42および解析部46は、車両10外部の装置やサーバ(例えば監視センタの監視サーバ24)に設けられてもよい。この場合、車両10の監視ECU16と、監視サーバ24とが連携して、実施例の監視ECU16と同様の処理を実行してもよい。
第1実施例の第5変形例を説明する。車両10の送信ECU14、監視ECU16、受信ECU18が接続されるネットワークは、CANに制限されない。例えば、CAN FD(CAN with Flexible Data-rate)またはイーサネット(登録商標)であってもよい。
(第2実施例)
第2実施例では、監視センタのオペレータによる通信ログの解析を支援する技術を説明する。第2実施例の構成要素のうち第1実施例の構成要素と同じまたは対応する構成要素には、第1実施例と同じ符号を付す。以下、第1実施例で説明済みの内容は再度の説明を適宜省略する。
第2実施例では、監視センタのオペレータによる通信ログの解析を支援する技術を説明する。第2実施例の構成要素のうち第1実施例の構成要素と同じまたは対応する構成要素には、第1実施例と同じ符号を付す。以下、第1実施例で説明済みの内容は再度の説明を適宜省略する。
第2実施例の監視システム100の構成は、第1実施例(図1)と同様である。図8は、第2実施例の監視ECU16の機能ブロックを示すブロック図である。監視ECU16は、第1実施例の構成と比べて、解析部46および異常処理部48を備えない一方、ログ送信部50を備える。
ログ送信部50は、ログ記憶部42に記憶された通信ログを監視サーバ24へ送信する。ログ送信部50は、定期的に、または所定の操作が入力された場合に、または異常判定部44により異常フレームが検出された場合に、通信ログを監視サーバ24へ送信してもよい。また、ログ送信部50は、ログ記憶部42に記憶された通信ログの全てを監視サーバ24へ送信してもよく、または、前回送信した通信ログとの差分を監視サーバ24へ送信してもよい。
また、ログ送信部50は、異常判定部44により異常フレームが検出された場合に、異常フレームのフレームデータ、または、通信ログにおける異常フレームの識別子(レコードID等)を監視サーバ24へ送信する。
図9は、第2実施例の監視サーバ24の機能ブロックを示すブロック図である。監視サーバ24は、ログ受信部60、ログ記憶部62、表示制御部64、要求受付部66、解析部68を備える。これら複数の機能ブロックに対応する複数のモジュールを含むコンピュータプログラムが監視サーバ24のストレージまたはメモリに格納されてもよい。監視ECU16のCPUは、そのコンピュータプログラムを適宜読み出して実行することにより、各ブロックの機能を発揮してもよい。
ログ受信部60は、車両10(監視ECU16)から送信された通信ログを受信してログ記憶部62に記録する。ログ記憶部62は、監視ECU16のログ記憶部42に対応し、図5に示した通信ログを記憶する。表示制御部64は、ログ受信部60に記憶された通信ログを示すログ画面を所定の表示装置(例えばオペレータの情報端末の表示装置)に表示させる。
図10は、ログ画面の例を示す。ログ画面70は、通信ログの各レコードを一覧表示する。ログ画面70は、車両10の監視ECU16で受信された複数のフレームについて、各フレームの受信時刻(Time)、CAN−ID、長さ(DLC)、ペイロードを表示する。
図9に戻り、要求受付部66は、入力装置(例えばオペレータの情報端末)から入力された要求を受け付ける。第2実施例では、第1要求または第2操作が入力される。第1要求は、異常と疑われるメッセージ(フレーム)を指定し、そのメッセージと類似度が高いメッセージ(フレーム)の検索を要求するものである。第2要求は、類似度が高い波形情報を持つメッセージ(言い換えれば、同一のECUから送信された蓋然性が高いフレーム)のグループ化を要求するものである。
解析部68は、第1実施例の監視ECU16の解析部46に対応する。解析部68は、第1要求で指定されたフレームを解析対象フレームとして認識し、ログ記憶部62に記憶された複数のフレームデータの中から、解析対象フレームと波形情報が類似するフレームデータを識別する。また、解析部68は、第2要求に応じて、ログ記憶部62に記憶された複数のフレームデータを母集団として、波形情報が類似する複数のフレームデータをグループ化する。表示制御部64は、解析部68による処理結果をログ画面70に反映する。
以上の構成による監視サーバ24の動作を説明する。
図11は、監視サーバ24の動作を示すフローチャートである。同図は、異常フレームを指定した第1要求をオペレータの情報端末から受け付けた場合の動作を示している。例えば、オペレータは、車両10から通知された異常フレームをログ画面70で選択し、第1要求を送信してもよい。
図11は、監視サーバ24の動作を示すフローチャートである。同図は、異常フレームを指定した第1要求をオペレータの情報端末から受け付けた場合の動作を示している。例えば、オペレータは、車両10から通知された異常フレームをログ画面70で選択し、第1要求を送信してもよい。
解析部68は、第1要求で指定された解析対象フレームF(例えば異常フレーム)の波形情報Sを通信ログから読み出す(S50)。解析部68は、通信ログのn番目(nの初期値は1)のレコード(比較フレームFn)の波形情報Snを読み出す(S52)。解析部68は、波形情報Sと波形情報Snとの類似度を計測する(S54)。
類似度が所定の閾値以上であれば(S56のY)、解析部68は、比較フレームFnの識別子(レコードID等)と、異常フレームと類似する旨とを表示制御部64へ通知する。表示制御部64は、ログ画面70において、比較フレームFnのフレームデータを第1の色で強調表示させる(S58)。第1の色は、例えば、デフォルト表示の色(例えば黒)より目立つ色(例えば赤)であってもよい。また、第1の色は、デフォルトとは異なる背景色(例えば黄色)であってもよい。
類似度が上記閾値未満であれば(S56のN)、解析部68は、比較フレームFnの識別子(レコードID等)と、異常フレームと非類似である旨とを表示制御部64へ通知する。表示制御部64は、ログ画面70において、比較フレームFnのフレームデータを第2の色で表示させる(S60)。第2の色は、第1の色より目立たない色であればよく、例えば、デフォルト表示の色(例えば黒)であってもよい。また、第2の色は、デフォルトの背景色であってもよい。また、表示制御部64は、解析対象フレームFと非類似の比較フレームFnのフレームデータをデフォルト表示のまま維持してもよい。
解析部68は、変数nをインクリメントし、通信ログにn番目のレコード(すなわち次の比較フレームFn)が記録されていれば(S62のY)、S52に戻り、解析対象フレームFと、次の比較フレームFnとの波形情報を比較する。通信ログに次の比較フレームFnが記録されておらず、すなわち、通信ログの最後に到達した場合(S62のN)、本図のフローを終了する。
なお、第2実施例では、解析対象フレームと波形情報が類似するフレームのフレームデータ(「類似フレーム」と呼ぶ。)を色により強調表示するが、変形例として、他の態様により類似フレームを強調表示してもよい。例えば、類似フレームの文字サイズをデフォルトサイズより大きくしてもよく、類似フレームのフォントをボールド体(太字)に変えてもよく、類似フレームを枠で囲んでもよい。また、表示制御部64は、ログ画面70に類似フレームのみを表示させ、解析対象フレームと波形情報が非類似のフレームを非表示としてもよい。
図12も、監視サーバ24の動作を示すフローチャートである。同図は、第2要求を受け付けた場合の動作を示している。例えば、オペレータは、異常フレームは不明であるが、車両10の通信ログを解析すべき際に、ログ画面70に対して第2要求を入力してもよい。
解析部68は、通信ログにおけるn番目(nの初期値は1)のレコード(解析対象フレームFn)の波形情報Snを通信ログから読み出す(S70)。Fnがグループに割り当て済であれば(S72のY)、S88へ進み、次の解析対象フレームの処理へ進む。Fnがグループに割り当てられてなければ(S72のN)、解析部68は、FnをグループGa(aの初期値は1)に割り当て、次回の割り当てに備えてaをインクリメントする(S74)。解析部68は、変数n+1を変数xに代入して、変数xを初期化する(S76)。解析部68は、通信ログにおけるx番目のレコード(比較フレームFx)の波形情報Sxを読み出す(S78)。解析部68は、SnとSxの類似度を計測する(S80)。
類似度が所定の閾値以上であれば(S82のY)、解析部68は、比較フレームFxを解析対象フレームFnと同じグループGaに割り当てる(S84)。類似度が上記閾値未満であれば(S82のN)、解析部68は、S84をスキップする。解析部68は、変数xをインクリメントし、通信ログにx番目のレコード(すなわち次の比較フレームFx)が記録されていれば(S86のY)、S78に戻り、解析対象フレームFnと、次の比較フレームFxとの波形情報を比較する。通信ログに次の比較フレームFxが記録されていなければ(S86のN)、解析部68は、変数nをインクリメントする。
通信ログにn番目のレコード(すなわち次の解析対象フレームFn)が記録されていれば(S88のY)、S70に戻る。これを繰り返すことにより、ログ記憶部62に記憶された複数のフレームデータがいずれかのグループに分類される。通信ログに次の解析対象フレームFnが記録されていなければ(S88のN)、解析部68は、複数のグループの識別子と、各グループに属するフレームの識別子(レコードID等)を表示制御部64へ通知する。
表示制御部64は、ログ画面70における複数のフレームのデータを、各フレームが属するグループに応じた態様で表示させる。第2実施例では、表示制御部64は、ログ画面70においてグループごとに色分け表示する(S90)。例えば、表示制御部64は、第1のグループに属するフレームデータの文字色または背景色を赤色に設定し、第2のグループに属するフレームデータの文字色または背景色を青色に設定してもよい。変形例として、表示制御部64は、ログ画面70において、グループごとにフレームデータの表示位置を分けてもよく、言い換えれば、異なるグループのフレームデータを異なる位置に表示させてもよい。
第2実施例の監視サーバ24によると、オペレータによるフレームデータの解析を支援でき、オペレータが異常なフレームまたは異常なECUを効率的に検出できるよう支援できる。
以上、本開示を第2実施例をもとに説明した。この第2実施例は例示であり、それらの各構成要素あるいは各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本開示の範囲にあることは当業者に理解されるところである。
上記第2実施例では、第1要求においてオペレータが解析対象フレームを指定したが、変形例として、監視サーバ24の解析部68は、車両10から通知された異常フレームを自動的に解析対象フレームとして認識し、図11で示した処理を自動で開始してもよい。これにより、異常フレームに波形情報が類似するフレームをハイライトしたログ画面70をオペレータに自動で提供することができる。
なお、実施例および変形例に記載の技術は、以下の項目によって特定されてもよい。
[項目1]
複数のフレームを受信する受信部と、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶する記憶部と、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する解析部と、
を備える監視装置。
この監視装置によると、波形情報の事前学習をすることなく、不正動作しているECUを識別できる。また、波形情報の事前学習が不要になることで、フレームの解析に伴うコストの増加を抑制できる。
[項目2]
前記受信されたフレームが異常か否かを判定する判定部をさらに備え、
前記フレームは、送信元装置に対応するIDデータを含み、
前記解析部は、異常と判定されたフレームを前記解析対象のフレームとして、前記異常と判定されたフレームの波形情報と類似する波形情報に対応するデータであって、かつ、前記異常と判定されたフレームのデータと異なるデータが前記記憶部に記憶されている場合に、前記類似する波形情報のフレームのIDデータに対応する送信元装置を異常と判定する、
項目1に記載の監視装置。
この監視装置によると、乗っ取りの攻撃を受けた装置を精度よく検出でき、通信システムのセキュリティを向上することができる。
[項目3]
前記解析部は、前記異常と判定されたフレームの波形情報と非類似の波形情報に対応するデータであって、かつ、前記異常と判定されたフレームのデータと同じデータが前記記憶部に記憶されている場合に、前記非類似の波形情報のフレームのIDに対応する送信元装置を異常と判定する、
項目2に記載の監視装置。
この監視装置によると、なりすましの攻撃を受けた装置を精度よく検出でき、通信システムのセキュリティを向上することができる。
[項目4]
前記受信されたフレームが異常か否かを判定する判定部をさらに備え、
前記フレームは、送信元装置に対応するIDデータを含み、
前記解析部は、異常と判定されたフレームを前記解析対象のフレームとして、前記異常と判定されたフレームの波形情報と類似する波形情報に対応するデータを識別し、前記類似する波形情報のフレームのIDに対応する送信元装置を異常と判定する、
項目1に記載の監視装置。
この監視装置によると、乗っ取りの攻撃を受けた装置を精度よく検出でき、通信システムのセキュリティを向上することができる。
[項目5]
前記フレームは、CAN(Controller Area Network)のフレームであり、
前記CANのフレームに含まれるACKフィールドおよびIDフィールドの少なくとも一方の波形情報は、前記記憶部による記憶対象から除外される、
項目1から4のいずれかに記載の監視装置。
この監視装置によると、フレームの送信元装置とは異なる装置が送信するデータの波形情報を除外することで、波形情報の比較によるECU識別の精度を高めることができる。また、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目6]
前記フレームは、CANのフレームであり、
前記CANのフレームのうちエラーフレームの波形情報は、前記記憶部による記憶対象から除外される、
項目1から5のいずれかに記載の監視装置。
この監視装置によると、フレームの送信元装置とは異なる装置が送信しうるデータの波形情報を除外することで、波形情報の比較によるECU識別の精度を高めることができる。また、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目7]
前記フレームは、CANのフレームであり、
前記記憶部は、前記複数のフレームの各々の波形情報として、ドミナントとレセシブの少なくとも一方について、1ビットの波形情報、2ビット連続する波形情報、3ビット連続する波形情報、4ビット連続する波形情報、および5ビット連続する波形情報を記憶する、
項目1から6のいずれかに記載の監視装置。
この監視装置によると、波形情報の比較によるECU識別の精度を維持しつつ、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目8]
前記記憶部は、前記複数のフレームの各々の波形を示す複数個の値を差分符号化したデータを前記波形情報として記憶する、
項目1から7のいずれかに記載の監視装置。
この監視装置によると、波形情報の比較によるECU識別の精度を維持しつつ、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目9]
前記記憶部は、第1のフレームの波形情報が、既に記憶された第2のフレームの波形情報に類似する場合、前記第2のフレームの波形情報を示す識別子を前記第1のフレームの波形情報として記憶する、
項目1から8のいずれかに記載の監視装置。
この監視装置によると、波形情報の比較によるECU識別の精度を維持しつつ、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目10]
前記記憶された複数のデータを表示させる表示制御部と、
前記解析対象のフレームの指定を受け付ける受付部と、をさらに備え、
前記表示制御部は、前記表示された複数のデータのうち、前記解析対象のフレームの波形情報と類似する波形情報に対応するデータを強調して表示する、
項目1から9のいずれかに記載の監視装置。
この監視装置によると、解析対象のフレームと類似度が高いフレームを強調表示するため、解析を支援することができる。
[項目11]
前記記憶された複数のデータを表示させる表示制御部をさらに備え、
前記解析部は、波形情報が類似する複数のフレームをグループ化し、
前記表示制御部は、前記複数のフレームのデータを、各フレームが属するグループに応じた態様で表示させる、
項目1から10のいずれかに記載の監視装置。
この監視装置によると、波形情報が類似するフレームをグループ化して表示するため、解析を支援することができる。
[項目12]
複数のフレームを受信し、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶し、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する、
ことをコンピュータが実行する監視方法。
この監視方法によると、波形情報の事前学習をすることなく、不正動作しているECUを識別できる。また、波形情報の事前学習が不要になることで、フレームの解析に伴うコストの増加を抑制できる。
[項目13]
複数のフレームを受信し、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶し、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する、
ことをコンピュータに実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、波形情報の事前学習をすることなく、不正動作しているECUを識別できる。また、波形情報の事前学習が不要になることで、フレームの解析に伴うコストの増加を抑制できる。
[項目1]
複数のフレームを受信する受信部と、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶する記憶部と、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する解析部と、
を備える監視装置。
この監視装置によると、波形情報の事前学習をすることなく、不正動作しているECUを識別できる。また、波形情報の事前学習が不要になることで、フレームの解析に伴うコストの増加を抑制できる。
[項目2]
前記受信されたフレームが異常か否かを判定する判定部をさらに備え、
前記フレームは、送信元装置に対応するIDデータを含み、
前記解析部は、異常と判定されたフレームを前記解析対象のフレームとして、前記異常と判定されたフレームの波形情報と類似する波形情報に対応するデータであって、かつ、前記異常と判定されたフレームのデータと異なるデータが前記記憶部に記憶されている場合に、前記類似する波形情報のフレームのIDデータに対応する送信元装置を異常と判定する、
項目1に記載の監視装置。
この監視装置によると、乗っ取りの攻撃を受けた装置を精度よく検出でき、通信システムのセキュリティを向上することができる。
[項目3]
前記解析部は、前記異常と判定されたフレームの波形情報と非類似の波形情報に対応するデータであって、かつ、前記異常と判定されたフレームのデータと同じデータが前記記憶部に記憶されている場合に、前記非類似の波形情報のフレームのIDに対応する送信元装置を異常と判定する、
項目2に記載の監視装置。
この監視装置によると、なりすましの攻撃を受けた装置を精度よく検出でき、通信システムのセキュリティを向上することができる。
[項目4]
前記受信されたフレームが異常か否かを判定する判定部をさらに備え、
前記フレームは、送信元装置に対応するIDデータを含み、
前記解析部は、異常と判定されたフレームを前記解析対象のフレームとして、前記異常と判定されたフレームの波形情報と類似する波形情報に対応するデータを識別し、前記類似する波形情報のフレームのIDに対応する送信元装置を異常と判定する、
項目1に記載の監視装置。
この監視装置によると、乗っ取りの攻撃を受けた装置を精度よく検出でき、通信システムのセキュリティを向上することができる。
[項目5]
前記フレームは、CAN(Controller Area Network)のフレームであり、
前記CANのフレームに含まれるACKフィールドおよびIDフィールドの少なくとも一方の波形情報は、前記記憶部による記憶対象から除外される、
項目1から4のいずれかに記載の監視装置。
この監視装置によると、フレームの送信元装置とは異なる装置が送信するデータの波形情報を除外することで、波形情報の比較によるECU識別の精度を高めることができる。また、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目6]
前記フレームは、CANのフレームであり、
前記CANのフレームのうちエラーフレームの波形情報は、前記記憶部による記憶対象から除外される、
項目1から5のいずれかに記載の監視装置。
この監視装置によると、フレームの送信元装置とは異なる装置が送信しうるデータの波形情報を除外することで、波形情報の比較によるECU識別の精度を高めることができる。また、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目7]
前記フレームは、CANのフレームであり、
前記記憶部は、前記複数のフレームの各々の波形情報として、ドミナントとレセシブの少なくとも一方について、1ビットの波形情報、2ビット連続する波形情報、3ビット連続する波形情報、4ビット連続する波形情報、および5ビット連続する波形情報を記憶する、
項目1から6のいずれかに記載の監視装置。
この監視装置によると、波形情報の比較によるECU識別の精度を維持しつつ、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目8]
前記記憶部は、前記複数のフレームの各々の波形を示す複数個の値を差分符号化したデータを前記波形情報として記憶する、
項目1から7のいずれかに記載の監視装置。
この監視装置によると、波形情報の比較によるECU識別の精度を維持しつつ、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目9]
前記記憶部は、第1のフレームの波形情報が、既に記憶された第2のフレームの波形情報に類似する場合、前記第2のフレームの波形情報を示す識別子を前記第1のフレームの波形情報として記憶する、
項目1から8のいずれかに記載の監視装置。
この監視装置によると、波形情報の比較によるECU識別の精度を維持しつつ、記憶部に記憶される波形情報のデータ量を低減することができる。
[項目10]
前記記憶された複数のデータを表示させる表示制御部と、
前記解析対象のフレームの指定を受け付ける受付部と、をさらに備え、
前記表示制御部は、前記表示された複数のデータのうち、前記解析対象のフレームの波形情報と類似する波形情報に対応するデータを強調して表示する、
項目1から9のいずれかに記載の監視装置。
この監視装置によると、解析対象のフレームと類似度が高いフレームを強調表示するため、解析を支援することができる。
[項目11]
前記記憶された複数のデータを表示させる表示制御部をさらに備え、
前記解析部は、波形情報が類似する複数のフレームをグループ化し、
前記表示制御部は、前記複数のフレームのデータを、各フレームが属するグループに応じた態様で表示させる、
項目1から10のいずれかに記載の監視装置。
この監視装置によると、波形情報が類似するフレームをグループ化して表示するため、解析を支援することができる。
[項目12]
複数のフレームを受信し、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶し、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する、
ことをコンピュータが実行する監視方法。
この監視方法によると、波形情報の事前学習をすることなく、不正動作しているECUを識別できる。また、波形情報の事前学習が不要になることで、フレームの解析に伴うコストの増加を抑制できる。
[項目13]
複数のフレームを受信し、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶し、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する、
ことをコンピュータに実行させるためのコンピュータプログラム。
このコンピュータプログラムによると、波形情報の事前学習をすることなく、不正動作しているECUを識別できる。また、波形情報の事前学習が不要になることで、フレームの解析に伴うコストの増加を抑制できる。
上述した実施例および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施例および変形例それぞれの効果をあわせもつ。また、請求項に記載の各構成要件が果たすべき機能は、実施例および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。
10 車両、 16 監視ECU、 24 監視サーバ、 30 アナログ信号受信部、 42 ログ記憶部、 44 異常判定部、 46 解析部、 62 ログ記憶部、 64 表示制御部、 68 解析部。
Claims (13)
- 複数のフレームを受信する受信部と、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶する記憶部と、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する解析部と、
を備える監視装置。 - 前記受信されたフレームが異常か否かを判定する判定部をさらに備え、
前記フレームは、送信元装置に対応するIDデータを含み、
前記解析部は、異常と判定されたフレームを前記解析対象のフレームとして、前記異常と判定されたフレームの波形情報と類似する波形情報に対応するデータであって、かつ、前記異常と判定されたフレームのデータと異なるデータが前記記憶部に記憶されている場合に、前記類似する波形情報のフレームのIDデータに対応する送信元装置を異常と判定する、
請求項1に記載の監視装置。 - 前記解析部は、前記異常と判定されたフレームの波形情報と非類似の波形情報に対応するデータであって、かつ、前記異常と判定されたフレームのデータと同じデータが前記記憶部に記憶されている場合に、前記非類似の波形情報のフレームのIDに対応する送信元装置を異常と判定する、
請求項2に記載の監視装置。 - 前記受信されたフレームが異常か否かを判定する判定部をさらに備え、
前記フレームは、送信元装置に対応するIDデータを含み、
前記解析部は、異常と判定されたフレームを前記解析対象のフレームとして、前記異常と判定されたフレームの波形情報と類似する波形情報に対応するデータを識別し、前記類似する波形情報のフレームのIDに対応する送信元装置を異常と判定する、
請求項1に記載の監視装置。 - 前記フレームは、CAN(Controller Area Network)のフレームであり、
前記CANのフレームに含まれるACKフィールドおよびIDフィールドの少なくとも一方の波形情報は、前記記憶部による記憶対象から除外される、
請求項1から4のいずれかに記載の監視装置。 - 前記フレームは、CANのフレームであり、
前記CANのフレームのうちエラーフレームの波形情報は、前記記憶部による記憶対象から除外される、
請求項1から5のいずれかに記載の監視装置。 - 前記フレームは、CANのフレームであり、
前記記憶部は、前記複数のフレームの各々の波形情報として、ドミナントとレセシブの少なくとも一方について、1ビットの波形情報、2ビット連続する波形情報、3ビット連続する波形情報、4ビット連続する波形情報、および5ビット連続する波形情報を記憶する、
請求項1から6のいずれかに記載の監視装置。 - 前記記憶部は、前記複数のフレームの各々の波形を示す複数個の値を差分符号化したデータを前記波形情報として記憶する、
請求項1から7のいずれかに記載の監視装置。 - 前記記憶部は、第1のフレームの波形情報が、既に記憶された第2のフレームの波形情報に類似する場合、前記第2のフレームの波形情報を示す識別子を前記第1のフレームの波形情報として記憶する、
請求項1から8のいずれかに記載の監視装置。 - 前記記憶された複数のデータを表示させる表示制御部と、
前記解析対象のフレームの指定を受け付ける受付部と、をさらに備え、
前記表示制御部は、前記表示された複数のデータのうち、前記解析対象のフレームの波形情報と類似する波形情報に対応するデータを強調して表示する、
請求項1から9のいずれかに記載の監視装置。 - 前記記憶された複数のデータを表示させる表示制御部をさらに備え、
前記解析部は、波形情報が類似する複数のフレームをグループ化し、
前記表示制御部は、前記複数のフレームのデータを、各フレームが属するグループに応じた態様で表示させる、
請求項1から10のいずれかに記載の監視装置。 - 複数のフレームを受信し、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶し、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する、
ことをコンピュータが実行する監視方法。 - 複数のフレームを受信し、
前記受信された複数のフレームの各々に含まれるデータと、前記複数のフレームの各々の波形情報とを対応付けて記憶し、
前記記憶された波形情報に基づいて、前記記憶された複数のデータの中から、解析対象のフレームの波形情報と類似する波形情報に対応するデータを識別する、
ことをコンピュータに実行させるためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018056971A JP2019169877A (ja) | 2018-03-23 | 2018-03-23 | 監視装置、監視方法およびコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018056971A JP2019169877A (ja) | 2018-03-23 | 2018-03-23 | 監視装置、監視方法およびコンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019169877A true JP2019169877A (ja) | 2019-10-03 |
Family
ID=68108589
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018056971A Pending JP2019169877A (ja) | 2018-03-23 | 2018-03-23 | 監視装置、監視方法およびコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019169877A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021079854A (ja) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | 車両診断装置、車両診断システム及び移動体診断装置 |
CN114762299A (zh) * | 2020-01-09 | 2022-07-15 | 住友电气工业株式会社 | 检测装置、车载系统及检测方法 |
-
2018
- 2018-03-23 JP JP2018056971A patent/JP2019169877A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2021079854A (ja) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | 車両診断装置、車両診断システム及び移動体診断装置 |
WO2021100722A1 (ja) * | 2019-11-20 | 2021-05-27 | パナソニックIpマネジメント株式会社 | 車両診断装置、車両診断システム及び移動体診断装置 |
JP7361303B2 (ja) | 2019-11-20 | 2023-10-16 | パナソニックIpマネジメント株式会社 | 車両診断装置、車両診断システム及び移動体診断装置 |
CN114762299A (zh) * | 2020-01-09 | 2022-07-15 | 住友电气工业株式会社 | 检测装置、车载系统及检测方法 |
CN114762299B (zh) * | 2020-01-09 | 2024-03-01 | 住友电气工业株式会社 | 检测装置、车载系统及检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11411681B2 (en) | In-vehicle information processing for unauthorized data | |
EP3827364B1 (en) | Message source detection in a vehicle bus system | |
KR101831604B1 (ko) | 데이터 전송 방법, 인증 방법 및 이를 수행하기 위한 서버 | |
US11856006B2 (en) | Abnormal communication detection apparatus, abnormal communication detection method and program | |
US20200183373A1 (en) | Method for detecting anomalies in controller area network of vehicle and apparatus for the same | |
CN113469371B (zh) | 联邦学习方法和装置 | |
KR20190107373A (ko) | 네트워크 프로토콜의 취약점을 탐지하는 퍼징 방법 및 장치 | |
US11683323B2 (en) | Method and device for authenticating a message transmitted via a bus | |
US20220311781A1 (en) | Selection method, selection system, and recording medium | |
CN113194126A (zh) | 一种基于区块链的横向联邦学习模型构建方法 | |
JP2019169877A (ja) | 監視装置、監視方法およびコンピュータプログラム | |
JP2013123087A (ja) | 情報処理装置、情報処理方法、及びプログラム | |
JP2020092379A (ja) | 監視装置 | |
JP6839844B2 (ja) | 記録装置、車両および記録方法 | |
JP4082460B2 (ja) | フレーム同期装置及びフレーム同期方法 | |
CN117252149A (zh) | 芯片验证方法及装置、芯片验证系统和可读存储介质 | |
JP2016100842A (ja) | 通信制御装置、通信制御方法、および、通信制御プログラム | |
JP2000114987A (ja) | 誤り検出装置 | |
CN113627215B (zh) | 基于can信号特征的ecu鉴别方法及存储介质 | |
KR20230102876A (ko) | 해시함수가 적용된 메시지 체인 기반 can 보안 장치 및 방법 | |
CN114567456A (zh) | 用于对通信系统中的消息进行检验的方法 | |
JP2002259216A (ja) | 電子ファイルの改ざん検出方法、そのための電子ファイルの記述方法および通信装置 | |
CN115378756B (zh) | 监控控制器域网络(can)xl节点 | |
US20210064969A1 (en) | Method for detecting a deterioration in a network | |
CN114726701B (zh) | 频偏估计方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180417 |