JP2021027427A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2021027427A
JP2021027427A JP2019142232A JP2019142232A JP2021027427A JP 2021027427 A JP2021027427 A JP 2021027427A JP 2019142232 A JP2019142232 A JP 2019142232A JP 2019142232 A JP2019142232 A JP 2019142232A JP 2021027427 A JP2021027427 A JP 2021027427A
Authority
JP
Japan
Prior art keywords
data frame
abnormality determination
electronic control
unit
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019142232A
Other languages
English (en)
Other versions
JP7172909B2 (ja
Inventor
健司 菅島
Kenji Sugashima
健司 菅島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2019142232A priority Critical patent/JP7172909B2/ja
Priority to DE102020209426.8A priority patent/DE102020209426A1/de
Priority to US16/940,490 priority patent/US11444891B2/en
Publication of JP2021027427A publication Critical patent/JP2021027427A/ja
Application granted granted Critical
Publication of JP7172909B2 publication Critical patent/JP7172909B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9084Reactions to storage capacity overflow
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0847Transmission error
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】バッファを利用した異常判定により高負荷な異常検知処理を行うデータフレームを削減できる電子制御装置を提供する。【解決手段】電子制御装置は、データフレームを受信する受信部101と、データフレームを保存可能なバッファ部102と、データフレームをバッファ部に書き込む書き込み部103と、書き込まれたデータフレームの数が閾値を超える場合又はバッファ部の容量を超えてデータフレームが書き込まれた場合、データフレームが異常であると判定する第1の異常判定部104と、バッファ部に保存されているデータフレームを読み出し周期で読み出すとともにバッファ部から削除する読み出し部105と、第1の異常判定部で異常であると判定されていないデータフレームに異常検知処理を行う第2の異常判定部106とを備える。閾値又は容量は、読み出し周期の間に受信部が送信周期で送信されたデータフレームを受信する最大数に基づいて設定される。【選択図】図2

Description

本発明は、電子制御装置(ECU:Electric Control Unit)に関するものであり、主として、車両用の電子制御装置に用いるものである。
従来より、自動車には様々な種類の電子制御装置が搭載されており、これらの電子制御装置を通信ネットワークで互いに接続することにより、車載システムを構成している。このような車載システムでは、ネットワーク侵入検知システム(NIDS:Network-based Intrusion Detection System)を用いて、外部からの不審なアクセスや不正なデータフレームといった異常を検知することが知られている。
例えば、特許文献1は、通信システムにて通信されているメッセージの正/不正を判定することのできる通信システムを開示している。この通信システムでは、複数のECUがメッセージを通信可能にするために通信用バスに接続されている。各ECUには、規定の通信間隔が設定されており、メッセージを送信するECUは、この規定の通信間隔に基づいてメッセージを送信する。そして、受信したメッセージの通信間隔が規定の通信間隔よりも短い場合には、メッセージが正常ではないと判定する。
特許文献2は、電子制御ユニット間で送受信するメッセージを中継する中継接続ユニットが開示されている。この中継接続ユニットでは、予め規定した設定時間内に受信したメッセージの受信回数をカウントし、受信回数が設定回数を超えた場合にはメッセージが正常ではないと判定する。
国際公開第2013/094072号 特開2009−253557号公報
ところで、車載システムの通信ネットワークで送受信されるデータフレームの異常を検出するためには、電子制御装置が受信する全てのデータフレームを監視対象として異常検知処理を行うことが望ましい。しかしながら、受信周期や受信頻度を監視するために、受信時間の差分を求める処理やデータフレームの数を集計する等の処理も全てのデータフレームに行なわなければならず、電子制御装置のハードウェアやソフトウェアの処理負荷が高くなるおそれがある。
そこで、本発明の目的は、ハードウェア又はソフトウェアの処理の負荷を軽減しながら、データフレームの異常検知を行う電子制御装置を提供することにある。
上記課題を解決するために、電子制御装置(10,11,12)は、通信ネットワークを介して接続された送信元電子制御装置(20)から所定の送信周期で送信されたデータフレームを受信する受信部(101)と、前記データフレームを保存可能なバッファ部(102)と、前記受信部で受信した前記データフレームを前記バッファ部に書き込む書き込み部(103)と、前記バッファ部に書き込まれた前記データフレームの数が所定の閾値を超える場合、又は前記バッファ部の容量を超えて前記データフレームが書き込まれた場合、前記データフレームが異常であると判定する第1の異常判定部(104)と、前記バッファ部に保存されている前記データフレームを所定の読み出し周期で読み出すとともに、読み出された前記データフレームを前記バッファ部から削除する読み出し部(105)と、前記第1の異常判定部で異常であると判定されていない前記データフレームに異常検知処理を行うことにより、前記データフレームの異常を判定する第2の異常判定部(106)と、を備え、前記閾値又は前記容量は、前記読み出し周期の間に、前記受信部が前記送信周期で送信された前記データフレームを受信する最大数に基づいて設定される。
本明細書に記載の電子制御装置、異常判定プログラム、および異常判定方法によれば、受信したデータフレームを一時的に保存するバッファ部を利用して、データフレームの異常判定を簡易に行うとともに、当該異常判定で異常であると判定されていないデータフレームに対してのみ異常検知処理を行うことにより、異常検知処理に伴う負荷を低減することができる。
実施形態1乃至3の電子制御装置を有する車載システムを説明する図 実施形態1の電子制御装置のブロック図 実施形態1の第1の異常判定部による異常判定を説明する図 実施形態1の電子制御装置の動作を説明する図 実施形態2の電子制御装置のブロック図 実施形態2の電子制御装置の動作を説明する図 実施形態2の第2の異常判定部による異常判定の例を説明する図 実施形態2の第2の異常判定部による異常判定の例を説明する図 実施形態2の第2の異常判定部による異常判定の例を説明する図 実施形態3の電子制御装置のブロック図
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成および方法、従属項に記載の構成および方法に対応する実施形態の構成および方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成および方法は、本発明においては任意の構成および方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成および方法も、本発明の構成および方法の例示であるという意味で、本発明においては任意の構成および方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成および方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成および方法と共に発明の進歩性を肯定する事実である。
(実施形態1)
図1は、電子制御装置10、複数の電子制御装置20、およびこれらの電子制御装置を互いに接続する通信ネットワーク2から構成された車載システム1を示している。以下に示す実施形態では、ゲートウェイとして構成された電子制御装置10が、電子制御装置20から送信されたデータフレームを受信して、後述する一連の異常判定を行う構成を説明している。しかしながら、本実施形態の電子制御装置10はゲートウェイの電子制御装置に限定されるものではない。例えば、本実施形態の電子制御装置10は、異常判定専用の電子制御装置として車載システム1に設けられていてもよい。
通信ネットワーク2には、例えば、CAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi−Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができるが、以下の例ではCANを用いる例を説明する。
電子制御装置20は、電子制御装置10に所定の送信周期でデータフレームを送信する。以下の説明では、電子制御装置10にデータフレームを送信する電子制御装置20を、「送信元電子制御装置」と称する。送信元電子制御装置20が周期的に送信するデータフレームには、車両に搭載されたセンサ等によって検出された様々なデータや車両を制御する制御値等が含まれている。
ここで、「送信元電子制御装置」とは、データフレームを送信する機器をいい、当該機器でデータフレームを生成して送信する場合の他、当該機器でデータフレームを取得して送信する場合も含む。
図2は電子制御装置10の構成を示している。電子制御装置10は、受信部101、バッファ部102、書き込み部103、第1の異常判定部104、読み出し部105、および第2の異常判定部106を備えている。
受信部101は、CANを介して接続された送信元電子制御装置20から「所定の」送信周期で送信された「データフレーム」を受信する。
ここで、「所定の」とは、常に一定の場合の他、条件に応じて一意に定まる場合も含む。
「データフレーム」とは、所定の形式で生成されたデータであり、必ずしもフレームと呼ばれるものとは限らない。例えば、データパケット、データブロックと呼ばれるものも含む。
バッファ部102は、DRAMやSRAM等の揮発性メモリであり、受信部101で受信したデータフレームを一時的に保存することができる。受信部101が複数の異なるCAN−IDを有するデータフレームを受信する場合、図2に示すように、バッファ部102はCAN−ID毎にデータフレームを保存する。また、バッファ部102に保存可能なデータフレームの数の上限がCAN−ID毎に予め設定されていてもよい。
書き込み部103は、受信部101がデータフレームを受信する度に、受信したデータフレームをバッファ部102に「書き込む」。ただし、バッファ部102に新たなデータフレームを書き込むことができる容量がない場合、すなわち、バッファ部102に保存可能なデータフレームの数の上限までデータフレームが既に保存され、バッファ部102がフルの場合には、書き込み部103がデータフレームの書き込み処理を行っても、バッファ部102には新たなデータフレームは書き込まれない。
バッファ部に「書き込む」とは、書き込み部がバッファ部に対してデータフレームの書き込み処理を行っていれば足り、バッファ部にデータフレームが書き込まれた結果、バッファ部に保存されたかどうかは問わない。
第1の異常判定部104は、バッファ部102に書き込まれたデータフレームの数が所定の閾値を超える場合、データフレームが異常であると判定する。ここで、第1の異常判定部104におけるデータフレームの異常の判定基準として使用される閾値は、後述する読み出し部105がバッファ部102からデータフレームを読み出す周期である読み出し周期の間に、受信部101が送信元電子制御装置20から所定の送信周期で送信されたデータフレームを受信する最大数に基づいて設定される。例えば、読み出し周期が10msecであり、送信周期が5msecの場合、通信ネットワークの混雑によってデータフレームの送受信の周期が乱れても、受信部101が10msecの間に受信しうるデータフレームの最大数は3であると考えられる。そこで、閾値には3が設定される。なお、上述した読み出し周期、送信周期、閾値の値はいずれも一例にすぎず、当然のことながらこれらの値に限定されるものではない。また、CAN−ID毎に異なる閾値が設定されてもよい。
第1の異常判定部104はさらに、バッファ部102の容量を超えて、すなわち、バッファ部に保存可能なデータフレームの数を超えてデータフレームが書き込まれた場合についても、データフレームが異常であると判定する。なお、バッファ部102の容量は、閾値と同様、読み出し部105の読み出し周期の間に、受信部101が送信元電子制御装置20から所定の送信周期で送信されたデータフレームを受信する最大数に基づいて設定される。例えば、バッファ部102の容量はデータフレームのサイズに最大数を乗算した値に設定される。この場合、バッファ部102に保存可能なデータフレームの数は、上述した所定の閾値と等しい。あるいは、データフレームのサイズに最大数を乗算した値に対して所定の数値を加算して求まる値をバッファ部102の容量として設定することにより、バッファ部102の容量に余裕をもたせてもよい。このような構成では、データフレームのサイズに最大数を乗算した値に対して加算する数値は、通信ネットワークの混雑等によって変化する可変値としてもよい。
なお、第1の異常判定部104は、書き込み部103がバッファ部102に書き込むデータフレームの数をカウントする、あるいは、後述する読み出し部105がバッファ部102から読み出すデータフレームの数をカウントすることによりデータフレームの数を取得することができる。しかしながら、この場合、受信する全てのデータフレームをカウントする必要があるため、電子制御装置に負荷がかかるおそれがある。そこで、第1の異常判定部104は、例えば、読み出し部105がデータフレームを読み出すタイミングで、バッファ部102に次にデータフレームを書き込む位置を示すアドレスと、バッファ部102からデータフレームを読み出す位置を示すアドレスとの差分からデータフレームの数を算出する。
図3は、第1の異常判定部104による異常判定を説明する図である。図3(a)〜(c)はそれぞれバッファ部102を示しており、斜線はバッファ部102にデータフレームが保存されていることを示している。また、いずれの図においても、閾値は4に設定されている。
図3(a)(b)は、7つのデータフレームを保存可能なバッファ部102に、6つのデータフレームが保存されている状態を示している。図3(a)の例では、第1の異常判定部104は、バッファ部102に保存されている6つのデータフレーム全てが異常であると判定する。これに対し、第1の異常判定部104は、バッファ部に保存されたデータフレームの数が閾値を超えた後に書き込み部によってバッファ部に書き込まれたデータフレームが異常であると判定してもよい。図3(b)はこの例を示しており、閾値を超えるまでに書き込まれた4つのデータフレームは正常であると判定され、閾値を超えた後に書き込まれた2つのデータフレームが異常であると判定されている。
図3(c)は、バッファ部に保存可能なデータフレームの数が閾値と等しく、バッファ部102には4つのデータフレームが保存されている状態を示している。図3(c)の場合、図3(a)と同様、閾値を超えるまでに書き込まれた4つのデータフレームは正常であると判定される。また、図3(c)の破線に示す、閾値を超えた後に書き込まれたデータフレームは、バッファ部102には保存されずに異常であると判定される。
なお、図3に示す各例では、閾値はいずれも4、すなわち、1以上の値に設定されている。しかしながら、特定のCAN−IDを有するデータフレームについて、閾値が0に設定されてもよい。閾値が0とは、読み出し部105による読み出し周期の間に、受信部101が所定の送信周期で送信されたデータフレームを受信する最大数が0であることを示している。例えば、受信部101が、特定のCAN−IDを有するデータフレームを非周期的に受信する場合、当該CAN−IDに対応するデータフレームの閾値は0に設定される。このようなデータフレームは、第1の異常判定部104において常に異常であると判定されるため、後述する第2の異常判定部106において異常検出処理が行われることになる。
読み出し部105は、バッファ部102に保存されている全てのデータフレームを所定の読み出し周期で読み出すとともに、読み出されたデータフレームをバッファ部102から削除する。
第2の異常判定部106は、第1の異常判定部104で異常であると判定されていないデータフレームに異常検知処理を行うことにより、データフレームの異常を判定する。第2の異常判定部106が行う異常検知方法は任意である。例えば、第2の異常判定部106は、メッセージ認証コードを用いた異常検知を行う。この場合、電子制御装置10は、送信元電子制御装置20との間であらかじめ共有鍵を共有しておき、送信元電子制御装置20からデータフレームのデータに対して当該共有鍵を適用して求めたハッシュ値をMAC(Message Authentication Code)値として送信し、電子制御装置10で同様の方法で求めたMAC値と送信元電子制御装置が送信したMAC値とを比較し、MAC値が異なる場合に異常を検出する。他の例として、第2の異常判定部106は、各データフレームに付与されたタイムスタンプに基づいて各データフレームの受信間隔を算出するとともに、算出した受信間隔が所定の間隔を超えている場合に異常を検出する。
MAC値や受信間隔を算出して異常検知する手法は処理負荷が高い。しかしながら、本実施形態によれば、第1の異常判定部104において異常ではないと判定されたデータフレームに対してのみ、このような処理負荷の高い異常検知処理が行われる。つまり、第1の異常判定部104において明らかに異常であると判定されたデータフレームに対しては異常検知処理を省略することにより、電子制御装置10における処理負荷を抑制することができる。
なお、第1の異常判定部104又は第2の異常判定部106がデータフレームが異常であると判定した場合、異常を検出したことを示すログを記録する。あるいは、ログの記録に代えて、異常であると判定されたデータフレームを破棄してもよい。
次に、図4を参照して電子制御装置10の動作を説明する。なお、図4、および後述する図6は、電子制御装置10におけるデータフレームの異常を判定する方法を示すだけでなく、電子制御装置10で実行されるプログラムの処理手順を示すものである。また、図4、図6に示す処理は、電子制御装置10がデータフレームを受信する度に繰り返し実行される。なお、図4に示す処理の順序は、ある処理が次の処理の前提条件となっていなければ、適宜入れ替えることが可能である。
S101において、送信元電子制御装置20から所定の送信周期で送信されたデータフレームを受信部101で受信する。
S102において、S101で受信したデータフレームをバッファ部102に書き込む。
S103において、バッファ部102の容量を超えてデータフレームが書き込まれた場合、第1の異常判定部104は当該データフレームが異常であると判定し、異常なデータフレームを受信したことを示すログを記録する(S109)。
次いで、読み出し部105の所定の読み出し周期に対応する時刻になると(S104:YES)、S105において、バッファ部102に書き込まれたデータフレームの数と所定の閾値とを比較する。ここで、バッファ部102に書き込まれたデータフレームの数が閾値を超える場合(S105:YES)、第1の異常判定部104はデータフレームが異常であると判定し、異常なデータフレームを受信したことを示すログを記録する(S109)。これに対し、データフレームの数が閾値以下の場合(S105:NO)、次の処理に進む。
S106において、バッファ部102に保存されているデータフレームを読み出すとともに、読み出されたデータフレームをバッファ部102から削除する。
S107において、バッファ部102から読み出されたデータフレームに異常検知処理を行う。ここで、異常が検出され、データフレームが異常であると判定された場合(S108:YES)、S109において、異常なデータフレームを受信したことを示すログを記録する。これに対し、異常があると判定されない場合(S108:NO)、処理を終了する。
以上のとおり、本実施形態の電子制御装置10は、データフレームに対して2段階の異常判定を行う。第1の異常判定では、バッファ部102を利用して異常判定を行い、第1の異常判定において異常であると判定されていないデータフレームに対してのみ処理負荷の高い異常検知処理を行うことによって第2の異常判定を行う。このような構成とすることにより、異常検知処理を行う対象のデータフレームを限定して、異常検知処理の負荷を削減することが可能となる。
(実施形態2)
本実施形態2では、電子制御装置が、上述した実施形態1の構成に加えて、さらなる異常判定部を備える構成を説明する。
図5は本実施形態の電子制御装置11を示している。電子制御装置11は、第3の異常判定部201を備える点で電子制御装置10と異なっている。なお、図5に示す各構成のうち、図2と同じ構成については同じ符号を付して説明を省略する。
第3の異常判定部201は、第1の異常判定部104で異常であると判定されていないデータフレームの異常を、第1の異常判定部104とは異なる方法で判定する。例えば、第3の異常判定部201は、予め設定された所定の期間内に読み出し部105で読み出されたデータフレームの数の合計が所定の閾値(以下、合計閾値)を超える場合に、データフレームが異常であると判定する。この場合の所定の期間は、読み出し部105がデータフレームを読み出す読み出し周期よりも長い期間であり、第3の異常判定部201が異常判定を行う周期に相当する。なお、第3の異常判定部201が用いる異常判定方法は、第1の異常判定部および第2の異常判定部106による判定方法と異なっていれば任意の方法を用いることができるが、第1の異常判定部104による判定方法よりも異常判定の精度が高く、かつ、第2の異常判定部106による判定方法よりも処理負荷が低いものであることが望ましい。
本実施形態の第2の異常判定部106は、第3の異常判定部201で異常であると判定されていないデータフレームに異常検知処理を行うことにより、データフレームが異常であるかどうかを判定する。つまり、本実施形態の第2の異常判定部106は、第1の異常判定部104および第3の異常判定部201の双方で異常であると判定されていないデータフレームにのみ異常検知処理を行うため、実施形態1と比較して、異常検知処理を行う対象のデータフレームの数を低減することができる。
図6を参照して、本実施形態による電子制御装置11の動作の例を説明する。図4と同様の処理には同じ符号を付し、説明は省略する。図6では、図4のフローチャートに対してS201の処理が追加されている。
本実施形態では、S105において読み出し部105がデータフレームを読み出すと、S201の処理に進む。S201では、第3の異常判定部201でデータフレームの異常を判定する。ここで、データフレームが異常であると判定した場合(S201:YES)には、異常なデータフレームを受信したことを示すログを記録する(S109)。これに対し、異常があると判定されない場合(S201:NO)、第2の異常判定部106で異常検知処理を行う(S107)。
図7は、第3の異常判定部201による異常判定の一例を説明する図である。図7(a)は、読み出し周期の2倍に相当する期間が、第3の異常判定部201が異常を判定する周期として設定されることを示している。また、図7(b)は、図7(a)に示す読み出し処理R、R、Rの際にバッファ部102内に保存されているデータフレームをそれぞれ示している。
ここで、合計閾値として予め10の値が設定されている場合を想定する。図7(b)に示す通り、バッファ部102に保存されているデータフレームの数はいずれも閾値以下であるため、第1の異常判定部104ではデータフレームは異常であるとは判定されない。しかしながら、図7(a)に示す読み出し処理R、R、Rで読み出されたデータフレームの数の合計は11であり、合計閾値10を超えている。そのため、第3の異常判定部201は、図7(a)に示す読み出し処理で読み出したデータフレームはいずれも異常であると判定する。
図8は、第3の異常判定部201による異常判定の他の例を説明する図である。図8(a)は、読み出し部105がバッファ部102からデータフレームを読み出す読み出し周期が、送信元電子制御装置20がデータフレームを送信する送信周期の二分の一であることを示している。この場合、連続してデータフレームが読み出される可能性は低く、例えば、図8(b)に示すように、読み出し処理Rでデータフレームが読み出されると、次の読み出し処理Rの時点でデータフレームは保存されていないため、データフレームは読み出されず、次の読み出し処理Rでデータフレームが読み出される可能性が高い。これに対し、図8(c)に示すように、読み出し処理R、R、Rで連続してデータフレームが読み出された場合、データフレームは異常である可能性が高い。そこで、このような場合には、第3の異常判定部201は読み出したデータフレームが異常であると判定する。この時、第3の異常判定部201は、連続して読み出したデータフレームはいずれも異常であると判定する。あるいは、データフレームが読み出されることを予定していない読み出し処理で読み出したデータフレーム、例えば、図8(c)の読み出し処理Rで読み出したデータフレームのみを異常であると判定してもよい。なお、図8に示す例では、読み出し周期が送信周期の二分の一である例を説明しているが、読み出し周期が送信周期の二分の一以下であれば、第3の異常判定部201は上述した方法を用いてデータフレームの異常を判定することができる。
なお、図6乃至8では、第3の異常判定部201が、読み出し部で読み出された後のデータフレームに異常判定を行う例を示している。しかしながら、第3の異常判定部201は、バッファ部102から読み出される前のデータフレームの異常を判定してもよい。例えば、第3の異常判定部201は、バッファ部102に保存されている異なるCAN−IDのデータフレームの数の合計が所定の合計閾値を超える場合に、これらのデータフレームが異常であると判定してもよい。
例えば、図9は、CAN−ID毎に複数のデータフレームを保存しているバッファ部102の例を示している。図9に示す構成の場合、受信部101は、特定の送信周期(「第1の送信周期」に対応)で送信されたCAN−ID:0x100のデータフレーム(「第1のデータフレーム」)に加えて、CAN−ID:0x200、0x300、0x400のデータフレーム(「第2のデータフレーム」に対応)をそれぞれ受信する。なお、これらのデータフレームが送信元電子制御装置20から送信される送信周期(「第2の送信周期」に対応)は第1の送信周期と同じであってもよく、それぞれ異なっていてもよい。また、図9に示す通り、保存可能なデータフレームの数や閾値はCAN−ID毎に異なっていてもよい。
合計閾値として予め15の値が設定されている場合を想定する。図9の例では、それぞれのCAN−IDを有するデータフレームの数は閾値以下であり、第1の異常判定部104では異常なデータフレームであると判定されない。しかしながら、バッファ部102に保存されている、0x100、0x200、0x300および0x400のデータフレームの数の合計は16であり、合計閾値を超える。この場合、第3の異常判定部201は、図9に示すバッファ部に保存されているデータフレームはいずれも異常であると判定する。
以上のとおり、本実施形態の電子制御装置11は、データフレームに対して3段階の異常判定を行う。実施形態1に示す第1の異常判定と第2の異常判定の間に第3の異常判定処理を行い、第3の異常判定で異常であると判定されていないデータフレームに対してのみ処理負荷の高い異常検知処理を行うことにより、電子制御装置における異常検知処理の負荷をさらに削減することが可能となる。
(実施形態3)
実施形態1、2では、第1の異常判定部104又は第3の異常判定部201が、データフレームの数と閾値とを比較することにより、データフレームが異常であるかどうかを判定した。本実施形態ではさらに、バッファ部102に保存されているデータフレームの数や、読み出し部105で読み出されるデータフレームの数に応じてフラグを生成し、第1の異常判定部104および第3の異常判定部201がフラグの有無に基づいて異常判定を行う構成を説明する。
図10は、本実施形態の電子制御装置12を示している。電子制御装置12は、図2に示す電子制御装置10に加えてフラグ生成部301を備えている。
フラグ生成部301は、バッファ部102に保存されているデータフレームの数をモニタし、データフレームの数が所定の条件を満たすとフラグを生成する。本実施形態における所定の条件は、例えば、バッファ部102に保存されているデータフレームの数が、実施形態1に記載の閾値を超えること、に設定される。
本実施形態の第1の異常判定部104は、フラグの有無に基づいてデータフレームが異常であるかどうかを判定する。つまり、フラグ生成部301によってフラグが生成されている場合には、第1の異常判定部104はデータフレームが異常であると判定する。
なお、フラグ生成部301は、上述した条件とは異なる条件を満たしたときに、フラグを生成するように構成されてもよい。例えば、所定の条件として、バッファ部102に保存されている複数のCAN−IDを有するデータフレームの数の合計が、実施形態2に記載の合計閾値を超えることに設定され、フラグ生成部301は当該条件を満たす場合にフラグを生成してもよい。あるいは、フラグ生成部301は、読み出し部105で読み出されたデータフレームの数をモニタし、読み出し部105で読み出されたデータフレームの数が所定の条件を満たす場合にフラグを生成してもよい。この場合、例えば、所定の条件として、所定の期間内に読み出し部105で読み出されたデータフレームの数の合計が、実施形態2に記載の合計閾値を超えることに設定され、フラグ生成部301は当該条件を満たす場合にフラグを生成してもよい。このような場合、第2の異常判定部201は、フラグ生成部301によってフラグが生成されている場合に、データフレームが異常であると判定する。
本実施形態によれば、第1の異常判定部104又は第3の異常判定部201はフラグの有無によって異常を簡単に判定することができ、電子制御装置における異常判定にかかる負荷をより低減することができる。
(総括)
以上、各実施形態における電子制御装置の特徴について説明した。
実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、電子制御装置の構成を機能毎に分類および整理したものである。これらの機能ブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、および方法として把握できる機能ブロックについては、一のステップで他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えても良い。
各実施形態、および本発明で使用する「第1」「第2」の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
本発明は、各実施形態で説明した構成および機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、およびこれを実行可能な専用又は汎用CPUおよびメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの記録媒体(外部記憶装置(ハードディスク、USBメモリ、CD/BD、非遷移的実体的記録媒体(non-transitory tangible storage medium)等)、内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明の電子制御装置は、主として自動車に搭載される車載用電子制御装置として説明したが、車両用に限らず、様々な用途に用いられる電子制御装置に適用可能である。
10,11,12 電子制御装置、20 送信元電子制御装置、101 受信部、102 バッファ部、103 書き込み部、104 第1の異常判定部、105 読み出し部、106 第2の異常判定部、201 第3の異常判定部、301 フラグ生成部

Claims (11)

  1. 通信ネットワークを介して接続された送信元電子制御装置(20)から所定の送信周期で送信されたデータフレームを受信する受信部(101)と、
    前記データフレームを保存可能なバッファ部(102)と、
    前記受信部で受信した前記データフレームを前記バッファ部に書き込む書き込み部(103)と、
    前記バッファ部に書き込まれた前記データフレームの数が所定の閾値を超える場合、又は前記バッファ部の容量を超えて前記データフレームが書き込まれた場合、前記データフレームが異常であると判定する第1の異常判定部(104)と、
    前記バッファ部に保存されている前記データフレームを所定の読み出し周期で読み出すとともに、読み出された前記データフレームを前記バッファ部から削除する読み出し部(105)と、
    前記第1の異常判定部で異常であると判定されていない前記データフレームに異常検知処理を行うことにより、前記データフレームの異常を判定する第2の異常判定部(106)と、を備え、
    前記閾値又は前記容量は、前記読み出し周期の間に、前記受信部が前記送信周期で送信された前記データフレームを受信する最大数に基づいて設定される、
    電子制御装置(10,11,12)。
  2. 前記データフレームの数が前記閾値を超える場合、前記第1の異常判定部は、前記読み出し部で削除されるまでに前記バッファ部に保存される全ての前記データフレームが異常であると判定する、
    請求項1記載の電子制御装置。
  3. 前記データフレームの数が前記閾値を超える場合、前記第1の異常判定部は、前記データフレームの数が前記閾値を超えた後に前記バッファ部に書き込まれる前記データフレームが異常であると判定する、
    請求項1記載の電子制御装置。
  4. 前記バッファ部に保存可能な前記データフレームの数は前記閾値と等しい、
    請求項1記載の電子制御装置。
  5. 前記閾値は0である、請求項1記載の電子制御装置。
  6. 当該電子制御装置はさらに、前記第1の異常判定部で異常であると判定されていない前記データフレームのうち、前記読み出し周期よりも長い所定の期間内に前記読み出し部で読み出された前記データフレームの数の合計が所定の合計閾値を超える場合、前記データフレームが異常であると判定する第3の異常判定部(201)を備え、
    前記第2の異常判定部は、前記第3の異常判定部で異常であると判定されていない前記データフレームに前記異常検知処理を行う、
    請求項1記載の電子制御装置(11)。
  7. 前記読み出し周期は前記送信周期の二分の一以下であり、
    当該電子制御装置はさらに、前記第1の異常判定部で異常であると判定されていない前記データフレームが前記読み出し部で連続して読み出された場合、前記データフレームが異常であると判定する第3の異常判定部(201)を備え、
    前記第2の異常判定部は、前記第3の異常判定部で異常であると判定されていない前記データフレームに前記異常検知処理を行う、
    請求項1記載の電子制御装置(11)。
  8. 前記受信部は、前記送信周期である第1の送信周期で送信された前記データフレームである第1のデータフレームに加えて、第2の送信周期で送信された第2のデータフレームを受信し、
    前記バッファ部は、前記第1のデータフレームおよび前記第2のデータフレームをそれぞれ保存し、
    前記第1の異常判定部は、前記第1のデータフレームに加えて、前記第2のデータフレームが異常であるか否かを判定し、
    当該電子制御装置はさらに、前記第1の異常判定部で異常であると判定されていない前記第1のデータフレームおよび前記第2のデータフレームのうち、前記バッファ部に保存されている前記第1のデータフレームの数と前記第2のデータフレームの数の合計が所定の合計閾値を超える場合、前記第1のデータフレームおよび前記第2のデータフレームが異常であると判定する第3の異常判定部(201)を備え、
    前記第2の異常判定部は、前記第3の異常判定部で異常であると判定されていない前記第1のデータフレームおよび前記第2のデータフレームに前記異常検知処理を行う、
    請求項1記載の電子制御装置(11)。
  9. 当該電子制御装置はさらに、前記バッファ部に保存されている前記データフレームの数が前記閾値を超えた場合にフラグを生成するフラグ生成部(301)を備え、
    前記第1の異常判定部は、前記フラグが生成されている場合に前記データフレームが異常であると判定する、
    請求項1記載の電子制御装置(12)。
  10. 送信元電子制御装置に通信ネットワークを介して接続された電子制御装置において実行される異常判定プログラムであって、
    前記送信元電子制御装置から所定の送信周期で送信されたデータフレームを受信し、
    受信した前記データフレームをバッファ部に書き込み、
    第1の異常判定部において、前記バッファ部に書き込まれた前記データフレームの数が所定の閾値を超える場合、又は前記バッファ部の容量を超えて前記データフレームが書き込まれた場合、前記データフレームが異常であると判定し、
    前記バッファ部に保存されている前記データフレームを所定の読み出し周期で読み出し、
    読み出された前記データフレームを前記バッファ部から削除し、
    前記第1の異常判定部で異常であると判定されていない前記データフレームに異常検知処理を行うことにより、前記データフレームの異常を判定し、
    前記閾値又は前記容量は、前記読み出し周期の間に、前記送信周期で送信された前記データフレームを受信する最大数に基づいて設定されている、
    異常判定プログラム。
  11. 送信元電子制御装置に通信ネットワークを介して接続された電子制御装置において実行される異常判定方法であって、
    前記送信元電子制御装置から所定の送信周期で送信されたデータフレームを受信し、
    受信した前記データフレームをバッファ部に書き込み、
    第1の異常判定部において、前記バッファ部に書き込まれた前記データフレームの数が所定の閾値を超える場合、又は前記バッファ部の容量を超えて前記データフレームが書き込まれた場合、前記データフレームが異常であると判定し、
    前記バッファ部に保存されている前記データフレームを所定の読み出し周期で読み出し、
    読み出された前記データフレームを前記バッファ部から削除し、
    前記第1の異常判定部で異常であると判定されていない前記データフレームに異常検知処理を行うことにより、前記データフレームの異常を判定し、
    前記閾値又は前記容量は、前記読み出し周期の間に、前記送信周期で送信された前記データフレームを受信する最大数に基づいて設定されている、
    異常判定方法。
JP2019142232A 2019-08-01 2019-08-01 電子制御装置 Active JP7172909B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019142232A JP7172909B2 (ja) 2019-08-01 2019-08-01 電子制御装置
DE102020209426.8A DE102020209426A1 (de) 2019-08-01 2020-07-27 Elektronische steuereinheit, abnormitätsbestimmungsprogramm und abnormitätsbestimmungsverfahren
US16/940,490 US11444891B2 (en) 2019-08-01 2020-07-28 Electronic control unit, abnormality determination program, and abnormality determination method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019142232A JP7172909B2 (ja) 2019-08-01 2019-08-01 電子制御装置

Publications (2)

Publication Number Publication Date
JP2021027427A true JP2021027427A (ja) 2021-02-22
JP7172909B2 JP7172909B2 (ja) 2022-11-16

Family

ID=74174961

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019142232A Active JP7172909B2 (ja) 2019-08-01 2019-08-01 電子制御装置

Country Status (3)

Country Link
US (1) US11444891B2 (ja)
JP (1) JP7172909B2 (ja)
DE (1) DE102020209426A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7234832B2 (ja) * 2019-07-03 2023-03-08 株式会社デンソー 電子制御装置
CN111245855B (zh) * 2020-01-17 2022-04-26 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
CN115412398B (zh) * 2021-05-10 2024-03-22 青岛中加特电气股份有限公司 一种can网桥数据通讯方法、can网桥及可读存储介质
CN113381895B (zh) * 2021-06-16 2022-06-24 杭州迪普科技股份有限公司 网络故障的检测方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003204358A (ja) * 2002-01-07 2003-07-18 Mitsubishi Electric Corp 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム
JP2008131362A (ja) * 2006-11-21 2008-06-05 Auto Network Gijutsu Kenkyusho:Kk 中継接続ユニット及び車載用通信システム
JP2009110156A (ja) * 2007-10-29 2009-05-21 Sharp Corp ログ出力装置及びログ出力プログラム
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
JP2010198579A (ja) * 2009-02-27 2010-09-09 Nec Corp 異常検出システム、異常検出方法および異常検出用プログラム
JP2013027007A (ja) * 2011-07-26 2013-02-04 Hitachi Ltd 通信装置
JP2019109828A (ja) * 2017-12-20 2019-07-04 株式会社Seltech 通信装置保護プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5222002B2 (ja) 2008-04-03 2013-06-26 株式会社オートネットワーク技術研究所 車載用の中継接続ユニット
CN103999410B (zh) 2011-12-22 2017-04-12 丰田自动车株式会社 通信系统及通信方法
US8874063B2 (en) 2013-03-08 2014-10-28 Qualcomm Incorporated Simultaneous signal receiver with interspersed frequency allocation

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003204358A (ja) * 2002-01-07 2003-07-18 Mitsubishi Electric Corp 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム
JP2008131362A (ja) * 2006-11-21 2008-06-05 Auto Network Gijutsu Kenkyusho:Kk 中継接続ユニット及び車載用通信システム
JP2009110156A (ja) * 2007-10-29 2009-05-21 Sharp Corp ログ出力装置及びログ出力プログラム
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
JP2010198579A (ja) * 2009-02-27 2010-09-09 Nec Corp 異常検出システム、異常検出方法および異常検出用プログラム
JP2013027007A (ja) * 2011-07-26 2013-02-04 Hitachi Ltd 通信装置
JP2019109828A (ja) * 2017-12-20 2019-07-04 株式会社Seltech 通信装置保護プログラム

Also Published As

Publication number Publication date
JP7172909B2 (ja) 2022-11-16
US20210036971A1 (en) 2021-02-04
DE102020209426A1 (de) 2021-02-04
US11444891B2 (en) 2022-09-13

Similar Documents

Publication Publication Date Title
JP7172909B2 (ja) 電子制御装置
US11411681B2 (en) In-vehicle information processing for unauthorized data
US11570184B2 (en) In-vehicle network system, fraud-detection electronic control unit, and fraud-detection method
JP6525824B2 (ja) 中継装置
JP7182559B2 (ja) ログ出力方法、ログ出力装置及びプログラム
EP3772200B1 (en) Illicit act detection method, illicit act detection device, and program
US11856006B2 (en) Abnormal communication detection apparatus, abnormal communication detection method and program
JP2007096799A (ja) 車載用電子制御ネットワークの監視装置
US11841942B2 (en) Anomaly detection device and anomaly detection method
US11139999B2 (en) Method and apparatus for processing signals from messages on at least two data buses, particularly CAN buses; preferably in a vehicle; and system
US20140047146A1 (en) Communication load determining apparatus
JP2020167494A (ja) メッセージ監視システム、メッセージ送信電子制御装置、および監視用電子制御装置
JP7234832B2 (ja) 電子制御装置
JP7392586B2 (ja) ログ送信制御装置
JP7147635B2 (ja) 不正送信データ検知装置
JP6527647B1 (ja) 不正検知方法、不正検知装置及びプログラム
WO2019193963A1 (ja) 車載通信システム、車載通信装置、通信プログラム及び通信方法
JP2019205009A (ja) 車載通信システム、判定装置、通信装置、判定方法及びコンピュータプログラム
CN112953723A (zh) 一种车载入侵检测方法及装置
JP2020129238A (ja) 電子制御装置
CN114124493B (zh) 工控数据处理方法及防火墙设备
CN114363271B (zh) 报文处理方法及存储设备
CN111066001B (zh) 日志输出方法、日志输出装置以及存储介质
JPWO2020202850A1 (ja) 情報処理装置
JP2024093195A (ja) 異常フレーム判定装置、異常フレーム判定方法、及び異常フレーム判定プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220926

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221017

R151 Written notification of patent or utility model registration

Ref document number: 7172909

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151