JP2021027518A - 情報処理装置および正規通信判定方法 - Google Patents

情報処理装置および正規通信判定方法 Download PDF

Info

Publication number
JP2021027518A
JP2021027518A JP2019145610A JP2019145610A JP2021027518A JP 2021027518 A JP2021027518 A JP 2021027518A JP 2019145610 A JP2019145610 A JP 2019145610A JP 2019145610 A JP2019145610 A JP 2019145610A JP 2021027518 A JP2021027518 A JP 2021027518A
Authority
JP
Japan
Prior art keywords
communication
periodic
message
determined
aperiodic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019145610A
Other languages
English (en)
Other versions
JP7175858B2 (ja
Inventor
桃伽 粕谷
Momoka Kasuya
桃伽 粕谷
伸義 森田
Nobuyoshi Morita
伸義 森田
恒太 井手口
Kota Ideguchi
恒太 井手口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019145610A priority Critical patent/JP7175858B2/ja
Priority to PCT/JP2020/028167 priority patent/WO2021024786A1/ja
Priority to CN202080043650.8A priority patent/CN114051710B/zh
Priority to US17/620,634 priority patent/US11824687B2/en
Priority to DE112020002989.1T priority patent/DE112020002989T5/de
Publication of JP2021027518A publication Critical patent/JP2021027518A/ja
Application granted granted Critical
Publication of JP7175858B2 publication Critical patent/JP7175858B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】遅延した通信メッセージが周期通信の正規通信であることを正しく判定する。【解決手段】非周期通信および周期通信が可能な情報処理装置であって、通信メッセージの種別を判定する通信判定部と、種別が非周期通信であると判定された第1の通信メッセージと、種別が周期通信であると判定された第2の通信メッセージを受信する時間の予測範囲とを用いて、非周期通信と周期通信との関連性を判定する第1の処理判定部と、関連性があると判定された周期通信の第2の通信メッセージが、所定時間後の予測範囲にある場合、当該第2の通信メッセージは周期通信の正規通信であると判定する第2の処理判定部と、を備える。【選択図】 図3

Description

本発明は、情報処理装置および正規通信判定方法に関する。
自動車は、CAN(Controller Area Network)やFlexRay等の車載通信プロトコルを用いた車載ネットワークを介して、ECU(Electronic Control Unit)間で通信メッセージを送受信して制御される。車載通信プロトコルの中で、例えば、CANは、通信メッセージが通信バスに接続される全てのECUに送信されるという特徴を持ち、ECUから送信される多くの通信メッセージは、あらかじめ決まった周期間隔で送信される。
昨今、車載ネットワークと外部ネットワーク(例えば、インターネット、Wi−Fi、センサ)との接続によりユーザの利便性が向上した反面、車外からの攻撃によりECUが乗っ取られて不正な操作が可能になることが指摘されている。このような攻撃の検知手法のひとつとして、ECUが周期的に通信メッセージを送信する特徴を利用した検知手法がある。
例えば、特許文献1では、受信部がネットワーク中の通信装置から周期的に送信されるメッセージを受信し、予測部が所定のモニタ期間内に受信部が受信するメッセージの個数をメッセージの送信周期に基づいて予測し、カウント部がモニタ期間内に受信部が受信したメッセージの個数をカウントし、検出部が予測部により得られる予測値とカウント部により得られるカウント値との比較の結果に基づいて、ネットワークに対する攻撃を検出している。
特開2019−12899号公報
CANのように周期的に出力される通信メッセージであっても、通信の衝突や消失のために、周期的にメッセージを送受信できない場合がある。この場合、正規通信であったとしても、到着予測時刻から実際の受信時刻が離れるほど、当該通信が攻撃として誤検知される可能性が高まる。将来的に、周期通信の予測技術の精度向上や車載ネットワークの性能向上による通信メッセージの遅延が減少するにつれて、このような誤検知が減少することが予想される。言い換えると、周期通信の予測精度が良くなるために、攻撃の検知精度が向上することが予想される。
一方で、今後は、自動車のコネクティッド化が進むにつれて、無線通信を介したファームウェアアップデート技術であるOTA(Over the Air)などの非周期イベント型の通信の増加が見込まれる。既存の通信バスには多くのECUやGW(Gate Way)等の通信可能な装置が接続されており、通信バスの使用率は高い状態であるため、今後は、非周期通信の増加に伴う周期通信の遅延が多く生じる可能性がある。すなわち、周期通信における攻撃の検知精度が向上したとしても、非周期通信の増加によって正規通信が誤検知される可能性がある。
この点、特許文献1では、上述のような非周期通信に起因する周期通信の遅延に伴う誤検知については言及されていない。また、特許文献1では、予測した通信メッセージの受信数と実際に受信した通信メッセージ数とを比較することで攻撃を検知するため、何らかの理由によりカウントしたメッセージ数にずれが生じ、正規通信であることを正しく判定できない場合には、攻撃として誤検知されてしまう可能性が依然として残る。このため、単に通信メッセージ数をカウントするのではなく、通信同士の関連性、特に周期通信と非周期通信との関連性に着目し、遅延した通信メッセージが周期通信の正規通信であることを正しく判定する技術の確立が必要である。
本発明の一側面としては、遅延した通信メッセージが周期通信の正規通信であることを正しく判定する技術を提供することを目的とする。
本発明の一態様にかかる情報処理装置は、非周期通信および周期通信が可能な情報処理装置であって、通信メッセージの種別を判定する通信判定部と、前記種別が非周期通信であると判定された第1の通信メッセージと、前記種別が周期通信であると判定された第2の通信メッセージを受信する時間の予測範囲とを用いて、非周期通信と周期通信との関連性を判定する第1の処理判定部と、関連性があると判定された周期通信の前記第2の通信メッセージが、所定時間後の前記予測範囲にある場合、当該第2の通信メッセージは周期通信の正規通信であると判定する第2の処理判定部と、を備えることを特徴とする情報処理装置として構成される。
本発明の一態様によれば、遅延した通信メッセージが周期通信の正規通信であることを正しく判定することができる。
本実施例における情報処理装置の機能構成例を示すブロック図である。 非周期通信受信時の処理の概要を示すシーケンス図である。 周期通信受信時の処理の概要を示すシーケンス図である。 図2Bにおける情報処理装置の詳細な処理手順を示すフローチャートである。 加算時間を用いて予測範囲を修正する処理(ステップS311)の処理手順を示すフローチャートである。 通信判断情報の例を示す図である。 フラグ検知情報の例を示す図である。 異常検知情報の例を示す図である(修正前)。 異常検知情報の例を示す図である(修正後)。 本実施例を用いた正規通信の検知方法の概念を説明する図である。
以下、図面を参照して本発明の実施形態を説明する。以下の記載および図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略および簡略化がなされている。本発明は、他の種々の形態でも実施する事が可能である。特に限定しない限り、各構成要素は単数でも複数でも構わない。
図面において示す各構成要素の位置、大きさ、形状、範囲などは、発明の理解を容易にするため、実際の位置、大きさ、形状、範囲などを表していない場合がある。このため、本発明は、必ずしも、図面に開示された位置、大きさ、形状、範囲などに限定されない。
以下の説明では、「テーブル」、「リスト」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。データ構造に依存しないことを示すために「XXテーブル」、「XXリスト」等を「XX情報」と呼ぶことがある。識別情報について説明する際に、「識別情報」、「識別子」、「名」、「ID」、「番号」等の表現を用いた場合、これらについてはお互いに置換が可能である。
同一あるいは同様な機能を有する構成要素が複数ある場合には、同一の符号に異なる添字を付して説明する場合がある。ただし、これらの複数の構成要素を区別する必要がない場合には、添字を省略して説明する場合がある。
また、以下の説明では、プログラムを実行して行う処理を説明する場合があるが、プログラムは、プロセッサ(例えばCPU(Central Processing Unit)、GPU(Graphics Processing Unit))によって実行されることで、定められた処理を、適宜に記憶資源(例えばメモリ)および/またはインターフェースデバイス(例えば通信ポート)等を用いながら行うため、処理の主体がプロセッサとされてもよい。同様に、プログラムを実行して行う処理の主体が、プロセッサを有するコントローラ、装置、システム、計算機、ノードであってもよい。プログラムを実行して行う処理の主体は、演算部であれば良く、特定の処理を行う専用回路(例えばFPGA(Field-Programmable Gate Array)やASIC(Application Specific Integrated Circuit))を含んでいてもよい。
プログラムは、プログラムソースから計算機のような装置にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバまたは計算機が読み取り可能な記憶メディアであってもよい。プログラムソースがプログラム配布サーバの場合、プログラム配布サーバはプロセッサと配布対象のプログラムを記憶する記憶資源を含み、プログラム配布サーバのプロセッサが配布対象のプログラムを他の計算機に配布してもよい。また、以下の説明において、2以上のプログラムが1つのプログラムとして実現されてもよいし、1つのプログラムが2以上のプログラムとして実現されてもよい。
以下では、複数の情報処理装置(例えば、車載システムの電子制御ユニットでの異常を検出する通信可能な情報処理装置)が接続した車載システムにおいて、ある情報処理装置が、他の情報処理装置から送信される通信の状況、例えば、非周期通信の有無、および非周期通信と周期通信との関連性を判定する。そして、周期通信による通信メッセージ(第2の通信メッセージ)の遅延は、非周期通信による通信メッセージ(第1の通信メッセージ)を受信した後の最初の周期通信の通信メッセージで発生すると考え、上記関連性があると判定された周期通信の上記最初の通信メッセージについて、正規通信であることを判定する。そして、上記最初の通信メッセージが遅延した場合であっても、以下に示すように、上記最初の通信メッセージの受信時間の予測範囲を修正して、正規通信であることの判定を再び行い、遅延した周期通信を正規通信として判定する。以下に本実施の形態にかかる情報処理装置、正規通信判定方法について詳細に説明するが、この例に限らず、例えば、車載システム以外の制御システムやIT(Information Technology)システムなど、周期通信と非周期通信が混在する環境下にある様々な情報処理装置に適用することができる。
図1は、本実施例における情報処理装置の機能構成例を示すブロック図である。図1に示すように、情報処理装置10は、通信部100、情報取得部110、通信判定部120、異常判定部130、許容範囲演算部140、フラグ制御部150、異常判定情報更新部160、正常処理部170、異常処理部180、関連情報記憶部190を備える。関連情報記憶部190は、ハードウェアとしては、一般的なメモリ(例えば、RAM(Random Access Memory))等の記憶媒体から構成され、通信判断情報191、異常判定情報192及びフラグ検知情報193を記憶する。情報処理装置10は、通信バス2を介して他の情報処理装置と接続される。
ここで、情報処理装置10の各機能構成を説明する前に、想定される情報処理装置の接続に関して述べる。
情報処理装置10は、車両内部に複数ある情報処理装置の一つであり、例えば、ハードウェアとしては一般的なECUやGWを表す。車両内部では、複数の情報処理装置を用いて、バス型やスター型の通信システムが構築される。通信バス2の規格としては、例えば、CAN、FlexRay、LIN(Local Interconnect Network)、Ethernetなどの、周期通信を行う様々な規格を用いることができるが、以下では、一例として、通信バス2としてCANが利用されているものとして説明する。
また、情報処理装置10が有する上記各部の機能は、例えば、ECUのCPUが、ROM(Read Only Memory)からプログラムを読み出し、RAMに対して読み書きして処理を実行することにより実現される。上記プログラムは、USB(Universal Serial Bus)メモリ等の記憶媒体から読み出されたり、ネットワークを介した他のコンピュータ(例えば、ECUを管理するサーバやクラウド)からダウンロードする等して提供されてもよい。
ここからは、図1に示した情報処理装置10の各機能について説明する。但し、下記で説明する機能の一部が、SOC(Security Operation Center)などの車外システムや車内の他の機器に設けられていてもよい。
通信部100は、通信バス2を介して、他の情報処理装置10から送信されてきた通信メッセージを受信、または情報処理装置10の処理結果を他の情報処理装置10に対して送信する。
情報取得部110は、通信部100が受信した通信メッセージから識別情報(CAN ID)を読み取る。情報取得部110は、読み取ったCAN IDに基づいて、受信した通信メッセージの受信時間を算出する。受信時間は、同じCAN IDの通信メッセージについて、あるタイミングで受信した通信メッセージの受信時刻とその前のタイミングで受信した通信メッセージの受信時刻との間隔である。受信時間の算出方法は、情報処理装置10が保持するタイマーを用いた方法や、情報処理装置10で用いられているクロック、通信メッセージに付加されているタイムスタンプなどを用いることができる。なお、以下では、受信時刻の間隔を受信時間としているが、あるタイミングで通信メッセージを受信したことが検知できればよく、この場合、当該検知したタイミングの間隔を受信時間とすることができる。
通信判定部120は、情報取得部110が読み取ったCAN IDを基に通信種別を判定する。通信判定部120は、通信種別を判定するために、関連情報記憶部190が記憶するテーブルである通信判断情報191(図5)を用いる。
図5は、通信判断情報191の例を示す図である。通信判断情報191は、CAN IDごとに通信種別を定めた情報であり、周期通信、非周期通信等の通信種別が分類されている。図5では、例えば、CAN IDが「0x01」で識別される通信は周期通信であることを示している。
また、通信判定部120は、受信した通信メッセージの通信種別が非周期通信であると判定した場合、フラグ制御部150に対して、関連情報記憶部190に記憶されるテーブルであるフラグ検知情報193(図6)に、非周期通信の通信メッセージを受信したことを示す非周期通信検知フラグ1932を記録するための指示をする。
図6は、フラグ検知情報193の例を示す図である。フラグ検知情報193は、非周期通信と周期通信との関連性の判定に用いられる情報である。フラグ検知情報193は、周期通信のCAN IDごとに非周期通信検知フラグと異常時処理フラグとが対応付けて記憶される。図6では、例えば、CAN IDが「0x01」で識別される周期通信では、非周期通信検知フラグ1932および異常時処理フラグ1933にいずれも「1」が設定されていることを示している。また、非周期通信検知フラグ1932には、非周期通信のCAN ID「0x05」が対応付けて記憶され、非周期通信のCAN IDを識別することができるようになっている。CAN IDが「0x03」で識別される通信についても同様に非周期通信のCAN ID「0x05」が記憶される。
異常判定部130は、通信判定部120が受信した通信メッセージの通信種別が周期通信であると判定した場合に行われる処理部である。異常判定部130は、非周期通信検知フラグ1932が設定されている非周期通信の通信メッセージの受信時刻が、後述する周期通信の受信時間の予測範囲内にあるか否かを判定する。なお、以下では、非周期通信の通信メッセージの受信時刻を用いて上記判定を行っているが、あるタイミングで非周期通信の通信メッセージを受信したことが検知できればよい。この場合、当該あるタイミングで検知した非周期通信の通信メッセージが上記予測範囲内にあるか否かを判定すればよい。
異常判定部130は、非周期通信検知フラグ1932が設定されている非周期通信の通信メッセージの受信時刻が、後述する周期通信の受信時間の予測範囲内にあると判定した場合、その非周期通信と周期通信とに関連性があると判定する。さらに、異常判定部130は、関連性があると判定した周期通信の通信メッセージが上記受信時間の予測範囲内にあるか否かを判定する。異常判定部130は、関連性があると判定した周期通信の通信メッセージが上記受信時間の予測範囲内にあると判定した場合、その周期通信の通信メッセージは正規通信による通信メッセージであると判定する。
一方、異常判定部130は、関連性があると判定した周期通信の通信メッセージが上記受信時間の予測範囲内にないと判定した場合、さらに、当該周期通信の通信メッセージが、後述する修正された受信時間の予測範囲内にあるか否かを判定する。異常判定部130は、当該周期通信の通信メッセージが、後述する修正された受信時間の予測範囲内にあると判定した場合、当該周期通信の通信メッセージは、関連性があると判定された非周期通信により遅延した、本来修正前の予測範囲で受信されるはずの正規通信による通信メッセージであると判断し、その周期通信の通信メッセージは正規通信による通信メッセージであると判定する。
異常判定部130は、これら以外の場合、受信された周期通信の通信メッセージが正規通信ではなく、異常の可能性があると判定する。この場合の具体的な処理については、図3を用いて後述する。
異常判定部130は、これらの判定をするために、関連情報記憶部190が記憶するテーブルである異常判定情報192(図7A、7B)に記憶される許容範囲情報を用いる。許容範囲情報は、受信した通信メッセージの次に受信する通信メッセージを正規通信であると判定するための受信時間の予測範囲を示す情報である。図7A、7Bでは、当該許容範囲情報として最小許容時間1922と最大許容時間1923とが定められ、受信時間の予測範囲がこれらの間にあれば正規通信と判定される。予測範囲は、最小許容時間1922から最大許容時間1923までの間の時間である。例えば、図7Aでは、CAN IDが「0x01」で識別される通信は、予測範囲として許容される受信時間の最小値「9.86秒」から最大値「9.88秒」までの間であれば、正規通信として判定されることを示している。また、非周期通信検知フラグ1932が設定されている非周期通信の通信メッセージの受信時刻が上記最小値「9.86秒」から最大値「9.88秒」までの予測範囲内にある場合、その非周期通信(例えば、CAN ID「0x05」)と周期通信(例えば、CAN ID「0x01」)とに関連性があると判定される。なお、最小許容時間1922と最大許容時間1923の初期値は、例えば、異常判定部130が、周期1924の所定の倍数となる時間を用いてあらかじめ定めておけばよい。
許容範囲演算部140は、異常判定部130が、上記異常の可能性があると判定したが、その結果異常でないと判定した場合、上記受信時間の予測範囲を、加算時間1925を用いて修正する。また、許容範囲演算部140は、異常判定部130が、周期通信の通信メッセージが正規通信による通信メッセージであると判定した場合、次のタイミングで受信する通信メッセージの受信時間の予測範囲を、周期1924を用いて算出する。
フラグ制御部150は、通信判定部120により通信メッセージが非周期通信であると判定された場合、許容範囲演算部140において予測範囲が修正された場合、異常判定情報更新部160や正常処理部170、異常処理部180等の各部から命令された場合に、指示された命令に従ってフラグを制御する。
異常判定情報更新部160は、許容範囲演算部140が算出した次のタイミングで受信する通信メッセージの受信時間の予測範囲に基づいて、異常判定情報192に格納されている許容範囲情報を更新する。また、異常判定情報更新部160は、許容範囲演算部140が修正した後の通信メッセージの受信時間の予測範囲に基づいて、異常判定情報192に格納されている許容範囲情報を更新し、フラグ制御部150にフラグ検知情報193の異常時処理フラグ1933を設定する指示をする。例えば、異常判定情報更新部160は、フラグ制御部150に対して、異常時処理フラグ1933の値を「0」から「1」に更新する指示をする。
正常処理部170は、異常判定部130が、周期通信の通信メッセージが正規通信による通信メッセージであると判定した場合、正常時処理として、受信した通信メッセージで指示された制御処理を実行する。また、正常処理部170は、非周期通信検知フラグ1932および異常時処理フラグ1933に設定された値をリセットするように、フラグ制御部150に対して指示する。例えば、これらのフラグに「1」が設定されていた場合、正常処理部170は、これらの値を「1」から「0」にリセットする指示をする。
異常処理部180は、異常判定部130が、受信された周期通信の通信メッセージが正規通信ではなく、異常であると判定した場合、異常時処理としての制御処理を行う。例えば、異常処理部180は、通信メッセージの破棄やアラートを出力する制御処理を実行する。当該制御処理は、許容範囲演算部140が、上記受信時間の予測範囲を修正したか否かにより処理方法を変えてもよい。
例えば、異常処理部180は、異常判定部130が、周期通信の通信メッセージが修正前の受信時間の予測範囲内にない場合に異常であると判定した場合には、当該通信メッセージを破棄する。一方、異常処理部180は、周期通信の通信メッセージが修正後の受信時間の予測範囲内にない場合に異常であると判定した場合には、予測範囲を修正してもなお周期通信の通信メッセージを受信できなかったと判断する。そして、異常処理部180は、当該通信メッセージの破棄に加え、さらに、アラートを示す警告メッセージや、異常であると判定された状況を示す異常判定状況情報を、情報処理装置10を管理する外部のシステム(例えば、車載システムを統括するサーバやクラウド)に無線ネットワークを介して送信し、当該システムに接続された表示装置に上記警告メッセージと異常判定状況情報とを表示する。これらの情報を確認した管理者は、その状況を判断し、あらかじめ登録された連絡先に通知する等して、情報処理装置10が搭載された車両のユーザに対して適切なアドバイスを行うことができる。もちろん、異常処理部180は、上記警告メッセージや異常判定状況情報を、情報処理装置10が搭載された車両の表示装置(例えば、車内のコンソールパネル)に表示してもよい。この場合、車両を操作中のユーザに対して、これらの情報をダイレクトに伝えることができる。
上述した異常判定状況情報は、例えば、後述する図8に示すように、修正前の受信時間の予測範囲802および修正後の受信時間の予測範囲802’、関連性があると判定された非周期通信の通信メッセージを示す情報(X1およびID5、X2およびID4)、関連性があると判定され、本来修正前の受信時間の予測範囲802内で受信されるはずであった周期通信の通信メッセージを示す情報(M2およびID2)を含む、異常判定部130により異常と判定されたときの状況を概念的に表した画面情報である。異常処理部180は、当該画面情報に、加算時間1925(Δt秒)を含めてもよい。これにより、どの程度予測範囲がずれたのかを把握でき、異常と判定された場合の原因の判断材料とすることができる。
また、異常処理部180は、当該画面情報に、関連性があると判定され、修正されずに受信時間の予測範囲801内で受信された周期通信の通信メッセージを示す情報(M1およびID2)を含めてもよい。これにより、当該予測範囲801内における周期通信の通信メッセージの時間的な位置を把握することができ、その後の周期で、受信時間の予測範囲の修正が必要となる可能性を予測するための判断材料とすることができる。
異常判定状況情報では、受信された周期通信の通信メッセージが正規通信ではなく、異常であると判定された場合は、上記許容範囲情報802’の範囲外で本来修正前の受信時間の予測範囲802内で受信されるはずであった周期通信の通信メッセージを示す情報(M2およびID2)が表示されるか、または上記画面情報に表示されずに周期通信が修正後の受信時間の予測範囲よりもさらに遅延している旨と上記警告メッセージとが表示される。このように、異常処理部180は、異常判定部130により関連性があると判定された周期通信の第2の通信メッセージが、所定時間(加算時間1925)後の受信時間の予測範囲802’にない場合、予測範囲802および当該所定時間後の予測範囲802’と、関連性があると判定された非周期通信の第1の通信メッセージを示す情報(X1およびID5、X2およびID4)と、第2の通信メッセージを示す情報(M2およびID2)とを含む異常判定状況情報を、表示部に出力する。
図2Aおよび図2Bは、通信メッセージ受信後の処理の流れを説明するシーケンス図である。送信側の情報処理装置10Aおよび受信側の情報処理装置10Bは、図1のシステム構成をもつ装置である。図2A、図2Bでは、送信側の情報処理装置10Aおよび受信側の情報処理装置10BがECUであることを想定しているが、上述の通り、GW等の他の装置についても同様に適用することができる。
図2Aは、受信した通信メッセージの通信種別が非周期通信であった場合の処理の概要を説明するシーケンス図である。以下の処理は、主に情報処理装置10Bで実行されるものである。
まず、ステップS201では、情報処理装置10Bの通信部100は、情報処理装置10Aが送信した通信メッセージを受信する。
ステップS202では、情報処理装置10Bの情報取得部110は、受信した通信メッセージのCAN IDを読み取り、受信時間を算出して記録する。
ステップS203では、情報処理装置10Bの通信判定部120は、通信判断情報191と、読み取られた通信メッセージのCAN IDとを参照して、受信した通信メッセージの通信種別を判定する。情報処理装置10Bの通信判定部120は、受信した通信メッセージの通信種別が非周期通信であった場合、ステップS204に移行する。
ステップS204では、通信判定部120は、周期通信のCAN IDごとに、フラグ制御部150に対して、非周期通信を検知したことを非周期通信検知フラグ1932に記録する指示をする。例えば、通信判定部120は、非周期通信検知時のフラグとして「1」を設定する場合、フラグ制御部150に対して、「0」として記憶されている非周期通信検知フラグ1932を「1」に更新し、当該非周期通信のCAN ID(例えば、0x05)を記録する指示をする。フラグ制御部150は、当該指示に従って、それぞれの周期通信のCAN IDについて、非周期通信検知フラグ1932を更新する。
ステップS205では、情報処理装置10Bの正常処理部170は、受信した非周期通信の通信メッセージで指示された制御処理を行う。
ステップS210では、情報処理装置10Bの通信部100は、受信した通信メッセージと同じCAN IDを持つ次の通信メッセージを受信する。
図2Bは、受信した通信メッセージが周期通信であり、関連性のある非周期通信の通信メッセージの受信に伴って周期通信の受信時間の予測範囲を修正し、正規通信であることを判定する場合の処理の概要を説明するシーケンス図である。ステップS201からステップS203は、図2Aの場合と同様であるためその説明を省略し、ステップS206以降について説明する。情報処理装置10Bの通信判定部120は、通信メッセージの通信種別が周期通信であった場合、ステップS206の異常判定処理および、ステップS207の予測範囲演算処理、ステップ208の許容時間更新処理、ステップS209の正常時処理を実行する。これらのステップの詳細な処理については、図3を用いて後述する。
ステップS206では、情報処理装置10Bの異常判定部130は、図2AのステップS204で非周期通信検知フラグ1932が設定された非周期通信の通信メッセージの受信時刻と、周期通信の通信メッセージの受信時間の予測範囲とを用いて、非周期通信と周期通信とに関連性があるか否かを判定する。さらに、異常判定部130は、関連性があると判定した周期通信の通信メッセージが受信時間の予測範囲内にあるか否かを判定し、当該周期通信の通信メッセージが受信時間の予測範囲内にあると判定した場合、当該周期通信の通信メッセージが正規通信による通信メッセージであると判定する。
ステップS207では、情報処理装置10Bの許容範囲演算部140は、上記周期通信の通信メッセージが正規通信による通信メッセージであると判定された場合、次に受信する通信メッセージの受信時間の予測範囲を算出する。また、許容範囲演算部140は、上記周期通信の通信メッセージが正規通信による通信メッセージでないと判定され、後述するように上記予測範囲で受信するはずの通信メッセージが遅延して到着する可能性があると判断された場合、上記周期通信の通信メッセージの受信時間の予測範囲を修正する。
ステップS208では、情報処理装置10Bの異常判定情報更新部160は、ステップS206で用いた予測範囲を、ステップS207で算出または修正した予測範囲に基づいて更新する。
ステップS209では、情報処理装置10Bの正常処理部170は、上記算出または修正された予測範囲を用いて、周期通信の通信メッセージが正規通信による通信メッセージであると判定された場合、情報処理装置10Bのフラグ制御部150に、正規通信による通信メッセージであると判定された周期通信について、図2AのステップS204で設定された非周期通信検知フラグ1932を検知なし(例えば、「0」)にリセットし、異常時処理フラグ1933を「1」から「0」にリセットする指示をする。また、正常処理部170は、正常時処理として、受信した周期通信の通信メッセージで指示された制御処理を行う。
ステップS210では、情報処理装置10Bの通信部100は、ステップS201で受信した通信メッセージと同じCAN IDを持つ次の通信メッセージを受信する。
図3は、図2Bにおける情報処理装置10Bの詳細な処理手順を示すフローチャートである。
最初の処理として、ステップS301では、通信部100は、情報処理装置10Aから通信バス2を介して送信されてきた通信メッセージを受信する。
ステップS302では、情報取得部110は、受信された通信メッセージの識別情報(CAN ID)を読み取り、当該通信メッセージの受信時間を算出する。例えば、情報取得部110は、通信メッセージを受信した後のクロック数を数えることで、受信した通信メッセージ間の受信時間を算出する。情報取得部110は、タイマーを用いて通信が開始してからの時間を計時することで、受信時間を算出しても良い。
ステップS303では、通信判定部120は、通信判断情報191と、受信した通信メッセージに含まれる識別情報(CAN ID)に基づき、情報取得部110により読み取られた通信種別が非周期通信であるか否かを判定する。
ステップS304では、通信判定部120は、受信した通信メッセージが非周期通信であると判定した場合(S303;Yes)、フラグ制御部150に対して、周期通信のCAN IDごとに非周期通信検知フラグ1932を記録する指示をする。フラグ制御部150は、当該指示に従って、それぞれのCAN IDについて、非周期通信検知フラグ1932にフラグ(例えば、検知ありを示す「1」および非周期通信のCAN ID)を記録する。
フラグ検知情報193は、他の情報処理装置10(例えば、図2Bにおける情報処理装置10A)が制御対象とする周期通信を含めてCAN ID1931ごとにフラグが保持されるが、情報処理装置10Bが制御対象としてあらかじめ定められている周期通信のCAN IDのフラグ検知情報193だけを記憶しても良い。これにより、情報処理装置10自らが制御するフラグ検知情報193のみが記憶されるため、少ないメモリ容量でフラグ検知情報193を保持することができる。
さらに、上記制御対象とするフラグ検知情報193を、次のように記憶させてもよい。例えば、通信判定部120が、受信された通信メッセージが非周期通信であると判定した後、さらに、後述するステップS305と同様に、異常判定部130が、非周期通信検知フラグ1932が設定されている非周期通信の通信メッセージの受信時刻が、ステップS302で情報取得部110が算出した周期通信の受信時間の予測範囲内にあるか否かを判定する。異常判定部130が、上記非周期通信の通信メッセージの受信時刻が、上記周期通信の受信時間の予測範囲内にあると判定した場合に、通信判定部120は、フラグ制御部150に対して、上記予測範囲内であると判定された周期通信のCAN IDの非周期通信検知フラグ1932を設定する指示をしてもよい。これにより、非周期通信検知フラグ1932が設定されている非周期通信と関連性がある周期通信についてのみフラグ検知情報193が記憶されるため、さらに少ないメモリ容量とすることができる。
ステップS305では、通信判定部120が、受信した通信メッセージが非周期通信でないと判定した場合(S303;No)、すなわち、受信した通信メッセージが周期通信であると判定した場合の処理を行う。異常判定部130は、非周期通信検知フラグ1932が設定されている非周期通信の通信メッセージの受信時刻が、周期通信の受信時間の予測範囲内にあるか否かを判定する。異常判定部130は、上記非周期通信の通信メッセージの受信時刻が、周期通信の受信時間の予測範囲内にあると判定した場合、その非周期通信と周期通信とに関連性があると判定する。さらに、異常判定部130は、関連性があると判定した周期通信の通信メッセージが上記受信時間の予測範囲内にあるか否かを判定する。異常判定部130は、関連性があると判定した周期通信の通信メッセージが上記受信時間の予測範囲内にあると判定した場合、その周期通信の通信メッセージは正規通信による通信メッセージであると判定する。
このように、異常判定部130は、非周期通信と周期通信との関連性についての判定(第1の判定)と、関連性について判定した周期通信の通信メッセージが予測範囲にあることの判定(第2の判定)と、の2つの判定を行い、周期通信の通信メッセージが正規通信によるものであることを判定する。
ステップS306では、非周期通信と周期通信とに関連性があると判定した周期通信の通信メッセージが上記受信時間の予測範囲内にあると判定された場合(S305;Yes)、許容範囲演算部140は、次のタイミングで受信する通信メッセージの受信時間の予測範囲を、周期1924を用いて算出し、異常判定情報更新部160がこれらの値を更新する。
例えば、許容範囲演算部140は、受信した通信メッセージのCAN IDが「0x03」である場合、図7Aに示す異常判定情報192を参照し、当該CAN IDに対応付けて記憶されている最小許容時間1922「10.11」および最大許容時間1923「10.13」と、周期1924「0.50」とを読み出す。許容範囲演算部140は、最小許容時間1922「10.11」および最大許容時間1923「10.13」のそれぞれに、周期1924「0.50」を加算した、次に受信する通信メッセージに対する新たな最小許容時間1922と最大許容時間1923とを算出する。この場合、異常判定情報更新部160は、新たな許容時間として、最小許容時間1922「10.61」および最大許容時間1923「10.63」をそれぞれ設定することとなる。このように、算出部(許容範囲演算部140)が、第2の通信メッセージを受信する時間(受信時間)と周期1924とに基づいて受信時間の予測範囲を算出するので、周期ごとに予測範囲を定めることができる。
その後、ステップS307では、正常処理部170が、正常時処理として、受信した通信メッセージで指示された制御処理を実行する。また、正常処理部170は、非周期通信検知フラグ1932および異常時処理フラグ1933が検知なしの状態(例えば、「0」)となっているか否かを判定し、これらのフラグが検知なしの状態となっていないと判定した場合、これらのフラグに設定された値をリセットするように、フラグ制御部150に対して指示する。フラグ制御部150は、当該指示に従って、これらのフラグをリセットする。
ステップS308では、非周期通信と周期通信とに関連性があると判定した周期通信の通信メッセージが上記受信時間の予測範囲内にないと判定された場合(S305;No)、異常判定部130は、受信された周期通信の通信メッセージが正規通信ではなく、異常の可能性があるため、さらに、受信された周期通信の通信メッセージの受信時間が予測範囲よりも前の時間であるか、すなわち最小許容時間1922よりも短い受信時間であるか否かを判定する。異常判定部130は、受信された周期通信の通信メッセージが予測範囲よりも前に受信されたと判定した場合(S308;Yes)、上記予測範囲で受信するはずの通信メッセージが遅延して到着する可能性はなく異常であると判断し、ステップS309の異常時処理に遷移する。
ステップS309では、異常処理部180は、異常時処理として、受信した周期通信の通信メッセージの破棄や上述したようなアラートを出力するなどの処理を実行する。
ステップS310では、異常判定部130は、受信された周期通信の通信メッセージが上記予測範囲よりも前に受信されていないと判定した場合(S308;No)、上記予測範囲で受信するはずの通信メッセージが遅延して到着した可能性があると判断する。この場合、異常判定部130は、さらに、受信した周期通信の通信メッセージのCAN IDに対応する非周期通信検知フラグ1932が検知ありになっているか否かを判定する。異常判定部130は、非周期通信検知フラグ1932が検知ありになってないと判定した場合(S310;No)、非周期通信以外の何らかの理由で当該周期通信に遅延が生じたため異常であると判断し、ステップS309と同様の処理を実行する。一方、異常判定部130は、ステップS310において、非周期通信検知フラグ1932が検知ありになっていると判定した場合(S310;Yes)、異常の可能性があると判定したが、その結果異常でないと判断し、ステップS311に進む。
ステップS311では、異常判定部130は、非周期通信検知フラグ1932が検知ありになっているため、上記予測範囲で受信するはずの通信メッセージが遅延して到着する可能性があると判断する。許容範囲演算部140は、当該判断に基づいて、上記予測範囲を修正し、異常判定情報更新部160が値を更新する。
具体的には、許容範囲演算部140は、最小許容時間1922、最大許容時間1923に加算時間1925を加算し、新たな修正後の最小許容時間1922および最大許容時間1923を算出する。そして、異常判定情報更新部160が、修正前の最小許容時間1922および最大許容時間1923を更新する。加算時間1925は、受信時間の予測範囲を所定時間後にずらしてスライドさせるために定められた時間である。
加算時間1925は、所定の固定値として定めるほか、所定の統計的手法を用いて算出した値として定めてよい。例えば、あらかじめ、許容範囲演算部140が、修正後の受信時間の予測範囲内で過去に周期通信の通信メッセージを受信したときの実際の受信時刻の平均値を算出して加算時間1925として設定してもよい。あるいは、許容範囲演算部140が、周期通信よりも優先されるCAN IDで識別される非周期通信の通信メッセージの数に応じて、加算時間1925を定めてもよい。上記優先されるCAN IDで識別される非周期通信の通信メッセージの数が多いほど、周期通信が遅延する可能性は高いと考えられる。そのため、許容範囲演算部140は、所定期間内における上記非周期通信の通信メッセージの数が多いほど加算時間1925を長く設定する。このように、許容範囲演算部140および異常判定情報更新部160(修正部)受信時間の予測範囲に、所定値または所定の統計手法を用いて算出された値を加算して、修正を行うので、様々な方法を用いて、情報処理装置10が搭載された環境に応じた最適な方法で加算時間を定めることができる。
図4は、加算時間を用いて予測範囲を修正する処理(ステップS311)の処理手順を示すフローチャートである。
ステップS401では、許容範囲演算部140は、情報取得部110が算出した周期通信の通信メッセージの受信時間と、異常判定情報192に格納されている最小許容時間1922および最大許容時間1923を読み込む。
ステップS402では、許容範囲演算部140は、異常判定情報192の加算時間1925を用いて、最小許容時間1922および最大許容時間1923を、上述した方法で修正する。
ステップS403では、異常判定情報更新部160は、最小許容時間1922および最大許容時間1923を、修正された値に更新する。例えば、図7Bに示すように、CAN IDが「0x03」の周期通信について、図7Aに示した修正前の最小許容時間「10.11」および最大許容時間「10.13」に対して、それぞれ加算時間「0.05」が加算され、修正後の最小許容時間「10.16」および最大許容時間「10.18」に更新される。
このように、許容範囲演算部140および異常判定情報更新部160(修正部)は、異常判定部130により関連性があると判定された周期通信の第2の通信メッセージが受信時間の予測範囲にない場合に、当該予測範囲を所定時間(加算時間1925)後の予測範囲に修正する。これにより、異常判定部130は、修正した新たな予測範囲に基づいて、上記第2の判定を行うことができる。
図3に戻り、ステップS312では、異常判定情報更新部160は、フラグ制御部150に対して、予測範囲を修正した周期通信のCAN IDに対応付けて記憶されている非周期通信検知フラグ1932を検知なし(例えば、「0」)にリセットする一方、異常時処理フラグ1933を処理あり(例えば、「1」)に設定する指示をする。フラグ制御部150は、当該指示に従って、非周期通信検知フラグ1932および異常時処理フラグ1933を更新する。
その後、再度ステップS305に戻り、異常判定部130は、修正された受信時間の予測範囲を用いて、上述した第2の判定を行う。異常判定部130は、先のステップS305で行った第1の判定において、ステップS312でリセットされた非周期通信検知フラグ1932で識別される非周期通信との間で関連性があると判定しているため、ここでは上述した第1の判定を行わない。
異常判定部130は、この第2の判定において、周期通信の通信メッセージが上記修正された受信時間の予測範囲内にあると判定した場合、その周期通信の通信メッセージは、本来修正前の予測範囲で受信されるはずの正規通信による通信メッセージであると判断し、正規通信による通信メッセージであると判定する。
異常判定部130が、上記第2の判定において正規通信による通信メッセージであると判定した場合(再度のS305;Yes)、ステップS306において、許容範囲演算部140は、修正後の最小許容時間1922および最大許容時間1923に対して、先のステップS306と同様の処理を行う。具体的には、許容範囲演算部140は、修正後の最小許容時間1922および最大許容時間1923に周期1924を加算した、次の周期で受信する通信メッセージに対する新たな最小許容時間192と最大許容時間1923とを算出し、異常判定情報更新部160がこれらの値を更新する。その後、正常処理部170が、先のステップS307と同様の処理の処理を実行する。
一方、異常判定部130は、上記第2の判定において正規通信による通信メッセージでないと判定した場合(再度のS305;No)、ステップS308において、受信された周期通信の通信メッセージの受信時間が修正後の予測範囲よりも前の時間であるか否かを判定する。異常判定部130は、受信された周期通信の通信メッセージが修正後の予測範囲よりも前の時間であると判定した場合(S308;Yes)、ステップS310に進む。
異常判定部130は、ステップS310において、非周期通信検知フラグ1932が検知ありになっているか否かを判定する。前回の処理でステップS311を実行しているため、この時点では非周期通信検知フラグ1932が検知なしにリセットされている。したがって、今回の処理では、異常判定部130は、再びステップS311に進まずに、ステップS309に進み、異常時処理に遷移する。
なお、ステップS309では、予測範囲が修正されたか否かは異常時処理フラグ1933により判定することができるため、以下のような処理を実行してもよい。
例えば、異常判定部130は、異常時処理フラグ1933(例えば「1」)が設定されているか否かを判定し、異常時処理フラグ1933が設定されていると判定した場合は、ステップS309において、異常処理部180は、過去にも異常時処理を実行したため、今回の処理内容を変更して処理を実行する。例えば、異常処理部180は、修正後の予測範囲を用いてもなお異常であると判断し、通信メッセージの破棄ではなく、上述したように、アラートを示す警告メッセージや異常判定状況情報を出力してもよい。
続いて、本実施例で説明した概念を、図8を用いて説明する。
図8は、本実施例を用いた正規通信の判定方法の概念を説明する図である。図8では、通信部100が受信した周期通信の通信メッセージ(ID1、ID2、ID3)のそれぞれについて、情報取得部110が受信時間を算出する。例えば、情報取得部110は、予測範囲801内で受信するID2の通信メッセージM1の受信時間を算出する。また、図8では、ID5の非周期通信の通信メッセージX1が受信されているため、通信判定部120は、フラグ制御部150に対して、ID1、ID2、ID3のそれぞれの周期通信に対応する非周期通信検知フラグ1932(例えば、「1」(ID5))を設定する。
異常判定部130は、非周期通信(ID5、X1)と周期通信(ID2)とに関連性があり、関連性があると判定した周期通信の通信メッセージ(M1)が受信時間の予測範囲801内にあると判定する。許容範囲演算部140は、当該周期通信の通信メッセージ(ID2、M1)は正規通信による通信メッセージであるため、周期T(sec)後となる次のタイミングで受信する通信メッセージの受信時間の予測範囲802を算出する。当該周期通信の通信メッセージ(ID2、M1)は正規通信による通信メッセージであると判定されているため、非周期通信検知フラグ1932および異常時処理フラグ1933が検知なし(例えば、「0」)にリセットされ、正常時処理が実行される。
さらに、図8では、通信判定部120は、ID4の非周期通信の通信メッセージX2が受信されているため、フラグ制御部150に対して、ID1、ID2、ID3のそれぞれの周期通信に対応する非周期通信検知フラグ1932(例えば、「1」(ID4))を設定する。
異常判定部130は、非周期通信(ID4、X2)と周期通信(ID2)とに関連性があり、関連性があると判定した周期通信の通信メッセージ(M2)が受信時間の予測範囲802内にないと判定する。さらに、異常判定部130は、上記周期通信の通信メッセージ(M2)が予測範囲802よりも前に受信されておらず、当該通信メッセージのCAN IDに対応する非周期通信検知フラグ1932が検知ありになっていると判定する。異常判定部130は、予測範囲802で受信するはずの通信メッセージM2が遅延して到着した可能性があると判断し、許容範囲演算部140は、当該判断に基づいて、予測範囲802に加算時間1925であるΔtを加算した修正後の新たな予測範囲802’を算出し、フラグ制御部150が非周期通信検知フラグ1932を検知なしにリセットする。
その後、異常判定部130は、非周期通信(ID4、X2)と周期通信(ID2)とに関連性があると判定した周期通信の通信メッセージ(M2)が上記予測範囲802’内にあると判定する。異常判定部130は、その周期通信の通信メッセージ(M2)は、関連性があると判定された非周期通信(ID4、X2)により遅延して到着した、本来予測範囲802で受信されるはずの正規通信による通信メッセージ(M2)であると判定する。そして、許容範囲演算部140は、修正後の予測範囲802’に周期Tを加算した、次の周期で受信する新たな予測範囲を算出する。
当該周期通信の通信メッセージ(ID2、M2)は正規通信による通信メッセージであると判定されているため、上述した周期通信の通信メッセージ(ID2、M1)の場合と同様、非周期通信検知フラグ1932および異常時処理フラグ1933が検知なしにリセットされ、正常時処理が実行される。一方、異常判定部130が、関連性があると判定した周期通信の通信メッセージ(M2)が修正後の新たな予測範囲802’内にないと判定した場合、異常時処理が実行されることとなる。なお、本実施例では、直近の予測範囲802を基準として新たな予測範囲802’を設定したが、それ以前の予測範囲(例えば、予測範囲801)と周期1924とを用いて新たな予測範囲802’を算出してもよい。
これまで説明したように、本実施例によれば、非周期通信および周期通信が可能な情報処理装置において、通信判定部(通信判定部120)が、通信メッセージの種別を判定し、
第1の処理判定部(異常判定部130)が、種別が非周期通信であると判定された第1の通信メッセージと、種別が周期通信であると判定された第2の通信メッセージを受信する時間(受信時間)の予測範囲とを用いて、非周期通信と周期通信との関連性を判定し、第2の処理判定部(異常判定部130)が、関連性があると判定された周期通信の第2の通信メッセージが、所定時間後(加算時間1925)の予測範囲にある場合、当該第2の通信メッセージは周期通信の正規通信であると判定する。したがって、遅延した通信メッセージが周期通信の正規通信であることを正しく判定することができ、当該判定の結果、周期通信を正規通信として正しく検知することができる。さらに、正規通信を正しく検知することによって、通信メッセージが攻撃であるとの誤検知による自動車への走行制御への影響を減少させることができる。
また、通信メッセージ数をカウントする特許文献1の方式では、CAN IDのそれぞれについて、モニタ期間ごとに、通信メッセージの個数をカウントするカウント値とその予測値とを比較するため、必要とするRAMの容量が多くなる。車載システムでは、ECUやGWなどの低リソースが望まれているものに対しては出来るだけ使用するRAMの容量を少なくしたいというニーズがあるため、当該方式を採用した場合にはそのニーズを満たすことが困難な場合があると考えられる。
しかし、本実施例によれば、通信判定部120が、情報処理装置10が制御対象とする周期通信について、第1の通信メッセージが受信されたことを示すフラグ情報(非周期通信検知フラグ1932)を記憶部(関連情報記憶部190)に記憶し、第1の処理判定部(異常判定部130)が、当該フラグ情報を用いて、非周期通信と周期通信との関連性を判定する。さらに、通信判定部120が、情報処理装置10が制御対象とする周期通信のうち、上記第1の処理判定部により関連性があると判定された周期通信について、当該フラグ情報を記憶する。したがって、通信メッセージ数をカウントすることなく、「1」、「0」といった2値をとるフラグを用いて正規通信を判定することができるため、必要とするRAMの容量を抑えることができる。
さらに、例えば、カウントした通信メッセージの個数を保持するRAMの異常といった物理的な要因をはじめ、何らかの原因でカウントしたメッセージ数にずれが生じた場合には、上記特許文献1の方式では、正規通信であることを正しく判定できず、攻撃として誤検知されてしまう。しかし、本実施例によれば、上述した2値をとるフラグを用いて正規通信を判定するため、メッセージ数のずれが生じることがなくなり、攻撃の検知精度を高めることができる。
2 通信バス
10 情報処理装置
100 通信部
110 情報取得部
120 通信判定部
130 異常判定部
140 許容範囲演算部
150 フラグ制御部
160 異常判定情報更新部
170 正常処理部
180 異常処理部
190 関連情報記憶部
191 通信判断情報
192 異常判定情報
193 フラグ検知情報

Claims (8)

  1. 非周期通信および周期通信が可能な情報処理装置であって、
    通信メッセージの種別を判定する通信判定部と、
    前記種別が非周期通信であると判定された第1の通信メッセージと、前記種別が周期通信であると判定された第2の通信メッセージを受信する時間の予測範囲とを用いて、非周期通信と周期通信との関連性を判定する第1の処理判定部と、
    関連性があると判定された周期通信の前記第2の通信メッセージが、所定時間後の前記予測範囲にある場合、当該第2の通信メッセージは周期通信の正規通信であると判定する第2の処理判定部と、
    を備えることを特徴とする情報処理装置。
  2. 関連性があると判定された周期通信の前記第2の通信メッセージが前記予測範囲にない場合に、当該予測範囲を所定時間後の前記予測範囲に修正する修正部、
    を備えることを特徴とする請求項1に記載の情報処理装置。
  3. 前記修正部は、前記予測範囲に、所定値または所定の統計手法を用いて算出された値を加算して、前記修正を行う、
    ことを特徴とする請求項2に記載の情報処理装置。
  4. 前記第2の通信メッセージを受信する時間と周期とに基づいて前記予測範囲を算出する算出部、
    を備えることを特徴とする請求項1に記載の情報処理装置。
  5. 前記通信判定部は、前記情報処理装置が制御対象とする周期通信について、前記第1の通信メッセージが受信されたことを示すフラグ情報を記憶部に記憶し、
    前記第1の処理判定部は、前記フラグ情報を用いて、非周期通信と周期通信との関連性を判定する、
    ことを特徴とする請求項1に記載の情報処理装置。
  6. 前記通信判定部は、前記情報処理装置が制御対象とする周期通信のうち、前記第1の処理判定部により前記関連性があると判定された周期通信について、前記フラグ情報を記憶する、
    ことを特徴とする請求項5に記載の情報処理装置。
  7. 関連性があると判定された周期通信の前記第2の通信メッセージが、所定時間後の前記予測範囲にない場合、前記予測範囲および所定時間後の前記予測範囲と、関連性があると判定された非周期通信の前記第1の通信メッセージを示す情報と、前記第2の通信メッセージを示す情報とを含む異常判定状況情報を、表示部に出力する異常処理部、
    を備えることを特徴とする請求項1に記載の情報処理装置。
  8. 非周期通信および周期通信が可能な情報処理装置が行う正規通信判定方法であって、
    通信メッセージの種別を判定し、
    前記種別が非周期通信であると判定された第1の通信メッセージと、前記種別が周期通信であると判定された第2の通信メッセージを受信する時間の予測範囲とを用いて、非周期通信と周期通信との関連性を判定し、
    関連性があると判定された周期通信の前記第2の通信メッセージが、所定時間後の前記予測範囲にある場合、当該第2の通信メッセージは周期通信の正規通信であると判定する、
    ことを特徴とする正規通信判定方法。
JP2019145610A 2019-08-07 2019-08-07 情報処理装置および正規通信判定方法 Active JP7175858B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2019145610A JP7175858B2 (ja) 2019-08-07 2019-08-07 情報処理装置および正規通信判定方法
PCT/JP2020/028167 WO2021024786A1 (ja) 2019-08-07 2020-07-20 情報処理装置および正規通信判定方法
CN202080043650.8A CN114051710B (zh) 2019-08-07 2020-07-20 信息处理装置及正规通信判定方法
US17/620,634 US11824687B2 (en) 2019-08-07 2020-07-20 Information processing apparatus and legitimate communication determination method
DE112020002989.1T DE112020002989T5 (de) 2019-08-07 2020-07-20 Informationsverarbeitungsvorrichtung und verfahren zur bestimmung einer legitimierten kommunikation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019145610A JP7175858B2 (ja) 2019-08-07 2019-08-07 情報処理装置および正規通信判定方法

Publications (2)

Publication Number Publication Date
JP2021027518A true JP2021027518A (ja) 2021-02-22
JP7175858B2 JP7175858B2 (ja) 2022-11-21

Family

ID=74504101

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019145610A Active JP7175858B2 (ja) 2019-08-07 2019-08-07 情報処理装置および正規通信判定方法

Country Status (5)

Country Link
US (1) US11824687B2 (ja)
JP (1) JP7175858B2 (ja)
CN (1) CN114051710B (ja)
DE (1) DE112020002989T5 (ja)
WO (1) WO2021024786A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134913A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2018088616A (ja) * 2016-11-29 2018-06-07 富士通株式会社 攻撃検知装置、攻撃検知方法、および、攻撃検知プログラム
WO2018173732A1 (ja) * 2017-03-23 2018-09-27 株式会社オートネットワーク技術研究所 車載通信装置、コンピュータプログラム及びメッセージ判定方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102047749B (zh) * 2008-05-27 2014-07-02 日本电气株式会社 认知无线系统、认知无线设备以及无线信号检测方法
CN103109491B (zh) * 2010-09-15 2015-07-15 三菱电机株式会社 通信装置及延迟检测方法
WO2013157133A1 (ja) * 2012-04-20 2013-10-24 三菱電機株式会社 データ処理装置及びプログラム
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
CN103491174A (zh) * 2013-09-26 2014-01-01 中国船舶重工集团公司第七一六研究所 基于延迟服务器的周期/非周期混合实时任务调度方法
KR101472896B1 (ko) * 2013-12-13 2014-12-16 현대자동차주식회사 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치
CN103873387A (zh) * 2014-03-11 2014-06-18 重庆邮电大学 一种面向工业以太网的确定性通信调度方法
CN105629873B (zh) * 2014-11-07 2018-08-24 中国科学院沈阳计算技术研究所有限公司 一种适用于数控系统的混合任务调度方法
WO2016080422A1 (ja) * 2014-11-20 2016-05-26 国立大学法人名古屋大学 通信制御装置及び通信システム
JP6534913B2 (ja) * 2015-11-06 2019-06-26 日立オートモティブシステムズ株式会社 情報処理装置および不正メッセージ検知方法
US10291583B2 (en) * 2016-04-13 2019-05-14 VisualThreat Inc. Vehicle communication system based on controller-area network bus firewall
JP6433951B2 (ja) * 2016-08-09 2018-12-05 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム
US11314907B2 (en) * 2016-08-26 2022-04-26 Hitachi, Ltd. Simulation including multiple simulators
JP6891671B2 (ja) 2017-06-29 2021-06-18 富士通株式会社 攻撃検知装置および攻撃検知方法
US10218499B1 (en) * 2017-10-03 2019-02-26 Lear Corporation System and method for secure communications between controllers in a vehicle network
US11711384B2 (en) * 2018-08-27 2023-07-25 Lear Corporation Method and system for detecting message injection anomalies
CN109766229B (zh) * 2018-12-05 2022-02-11 华东师范大学 一种面向综合电子系统的异常检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134913A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JP2018088616A (ja) * 2016-11-29 2018-06-07 富士通株式会社 攻撃検知装置、攻撃検知方法、および、攻撃検知プログラム
WO2018173732A1 (ja) * 2017-03-23 2018-09-27 株式会社オートネットワーク技術研究所 車載通信装置、コンピュータプログラム及びメッセージ判定方法

Also Published As

Publication number Publication date
WO2021024786A1 (ja) 2021-02-11
US11824687B2 (en) 2023-11-21
CN114051710A (zh) 2022-02-15
JP7175858B2 (ja) 2022-11-21
DE112020002989T5 (de) 2022-03-24
CN114051710B (zh) 2023-05-09
US20220360471A1 (en) 2022-11-10

Similar Documents

Publication Publication Date Title
US10986008B2 (en) Abnormality detection in an on-board network system
EP2950482B1 (en) Network device and data sending and receiving system
CN107707520B (zh) 网络监视装置
US11296965B2 (en) Abnormality detection in an on-board network system
US20190140778A1 (en) Information processing method, information processing system, and recording medium
KR101853676B1 (ko) 차량 침입 탐지 장치 및 방법
US11057400B2 (en) Device and method for detecting attack in network
JP2019068253A (ja) 異常検知装置、異常検知方法、プログラム及び通信システム
EP3758302A1 (en) Abnormality detection device
WO2018173732A1 (ja) 車載通信装置、コンピュータプログラム及びメッセージ判定方法
US10223319B2 (en) Communication load determining apparatus
CN110832809B (zh) 检测装置、检测方法和非瞬态的计算机可读的存储介质
CN114731301A (zh) 决定方法、决定系统以及程序
WO2021024786A1 (ja) 情報処理装置および正規通信判定方法
JP5696685B2 (ja) 車載通信システム、車載通信システムの通信異常監視方法、及び車載通信システムの通信異常監視プログラム
CN114503518B (zh) 检测装置、车辆、检测方法及检测程序
EP3661130B1 (en) A relay device for an in-vehicle network
CN111429740B (zh) 异常通知装置
CN117640281A (zh) 装置和方法
JP2019097012A (ja) 情報処理装置、情報処理方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220317

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221109

R150 Certificate of patent or registration of utility model

Ref document number: 7175858

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150