JP2021034833A - Fraud detection device and fraud detection method - Google Patents
Fraud detection device and fraud detection method Download PDFInfo
- Publication number
- JP2021034833A JP2021034833A JP2019151763A JP2019151763A JP2021034833A JP 2021034833 A JP2021034833 A JP 2021034833A JP 2019151763 A JP2019151763 A JP 2019151763A JP 2019151763 A JP2019151763 A JP 2019151763A JP 2021034833 A JP2021034833 A JP 2021034833A
- Authority
- JP
- Japan
- Prior art keywords
- behavior
- node
- pattern
- behavior pattern
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、不正検出装置および不正検出方法に関する。 The present invention relates to a fraud detection device and a fraud detection method.
従来、例えば、CAN(Controller Area Network)等の車両用ネットワークにおけるノードとなる各種機器が正規ノードであるか改造機器等の不正ノードであるかを検出する不正検出装置が知られている。この種の不正検出装置では、ノードとなる機器から送信される情報の識別情報(例えば、CAN ID)や、情報の送信間隔等に基づいて不正ノードを検出する技術が提案されている。 Conventionally, for example, a fraud detection device for detecting whether various devices serving as nodes in a vehicle network such as CAN (Controller Area Network) are regular nodes or fraudulent nodes such as modified devices has been known. In this type of fraud detection device, a technique for detecting a fraudulent node based on identification information (for example, CAN ID) of information transmitted from a device serving as a node, an information transmission interval, or the like has been proposed.
しかしながら、例えば、正規ノードと同じCAN IDや送信間隔で情報送信された場合、改造機器であっても、正規ノードとして扱われてしまう。この場合、正規ノードとみなされた改造機器から送信された情報が異常な情報であったとしても、車両制御に反映されてしまうおそれがあった。 However, for example, when information is transmitted with the same CAN ID and transmission interval as the regular node, even a modified device is treated as a regular node. In this case, even if the information transmitted from the modified device regarded as the normal node is abnormal information, it may be reflected in the vehicle control.
本発明は、上記に鑑みてなされたものであって、不正ノードを高精度に検出することができる不正検出装置および不正検出方法を提供することを目的とする。 The present invention has been made in view of the above, and an object of the present invention is to provide a fraud detection device and a fraud detection method capable of detecting a fraudulent node with high accuracy.
上述した課題を解決し、目的を達成するために、本発明に係る不正検出装置は、取得部と、判定部とを備える。前記取得部は、車両用ネットワークにおける機器ノードから車両の挙動に関する挙動情報を取得する。前記判定部は、予め生成された前記車両の挙動のパターンに関するパターン情報と、前記取得部によって取得された前記挙動情報に基づく挙動パターンとの比較結果に基づいて、前記機器ノードが不正ノードであるか否かを判定する。 In order to solve the above-mentioned problems and achieve the object, the fraud detection device according to the present invention includes an acquisition unit and a determination unit. The acquisition unit acquires behavior information regarding the behavior of the vehicle from the device node in the vehicle network. In the determination unit, the device node is an invalid node based on the comparison result between the pattern information regarding the behavior pattern of the vehicle generated in advance and the behavior pattern based on the behavior information acquired by the acquisition unit. Judge whether or not.
本発明によれば、不正ノードを高精度に検出することができる。 According to the present invention, an unauthorized node can be detected with high accuracy.
以下、添付図面を参照して、本願の開示する不正検出装置および不正検出方法の実施形態を詳細に説明する。なお、以下に示す実施形態により本発明が限定されるものではない。 Hereinafter, embodiments of the fraud detection device and fraud detection method disclosed in the present application will be described in detail with reference to the accompanying drawings. The present invention is not limited to the embodiments shown below.
まず、図1Aおよび図1Bを用いて、実施形態に係る不正検出方法の概要について説明する。図1Aおよび図1Bは、実施形態に係る不正検出方法の概要を示す図である。図1Aでは、実施形態に係る不正検出方法を実行する不正検出装置1が搭載された車両Cを示している。
First, the outline of the fraud detection method according to the embodiment will be described with reference to FIGS. 1A and 1B. 1A and 1B are diagrams showing an outline of a fraud detection method according to an embodiment. FIG. 1A shows a vehicle C equipped with a
図1Aに示すように、実施形態に係る不正検出装置1は、例えば、CAN等の車両用ネットワークNに接続されている。車両用ネットワークNには、不正検出装置1以外に、車両用ネットワークNにおけるノードとなる各種機器A〜D(以下、機器ノードA〜Dと記載する)が接続されている。
As shown in FIG. 1A, the
機器ノードA〜Dは、車両Cの挙動(走行状態や、車内環境等の制御全般)に関する挙動情報を出力する機器である。機器ノードA〜Dは、例えば、ナビゲーション装置や、ドライブレコーダ、各種センサ(車速センサや、加速度センサ等)等である。 The device nodes A to D are devices that output behavior information regarding the behavior of the vehicle C (general control of the running state, the environment inside the vehicle, etc.). The device nodes A to D are, for example, a navigation device, a drive recorder, various sensors (vehicle speed sensor, acceleration sensor, etc.) and the like.
ここで、図1Aに示すように、機器ノードDが、車両Cの乗っ取り(ハッキング)等を目的として改造された機器であったとする。つまり、車両用ネットワークNに不正接続されたノード(以下、不正ノードと記載する)であるとする。 Here, as shown in FIG. 1A, it is assumed that the device node D is a device modified for the purpose of hijacking (hacking) the vehicle C or the like. That is, it is assumed that the node is illegally connected to the vehicle network N (hereinafter, referred to as an unauthorized node).
従来は、機器ノードから送信される情報に紐付いた識別情報(CAN ID)や、情報の送信間隔が正規ノードと異なる場合に、不正ノードとして検出していた。しかしながら、従来は、CAN IDや送信間隔が正規ノードと同じであった場合、不正ノードにも関わらず正規ノードとして検出するおそれがあった。このため、正規ノードとみなされた不正ノードの機器から送信された情報が異常であった場合であっても、車両制御に反映されてしまうおそれがあった。 Conventionally, when the identification information (CAN ID) associated with the information transmitted from the device node or the information transmission interval is different from that of the normal node, it is detected as an invalid node. However, in the past, when the CAN ID and the transmission interval were the same as the normal node, there was a possibility that the node would be detected as a normal node even though it was an invalid node. Therefore, even if the information transmitted from the device of the unauthorized node regarded as the legitimate node is abnormal, it may be reflected in the vehicle control.
そこで、実施形態に係る不正検出方法では、機器ノードA〜Dから送信される情報の内容に基づいて不正ノードの有無を判定することとした。具体的には、図1Aに示すように、まず、実施形態に係る不正検出方法では、車両用ネットワークNにおける機器ノードA〜Dから車両Cの挙動情報に関する挙動情報を取得する(ステップS1)。 Therefore, in the fraud detection method according to the embodiment, it is determined whether or not there is a fraudulent node based on the content of the information transmitted from the device nodes A to D. Specifically, as shown in FIG. 1A, first, in the fraud detection method according to the embodiment, behavior information related to the behavior information of the vehicle C is acquired from the device nodes A to D in the vehicle network N (step S1).
つづいて、実施形態に係る不正検出方法では、取得した挙動情報に基づいて、機器ノードA〜Dが不正ノードであるか否かを判定する(ステップS2)。具体的には、実施形態に係る不正検出方法では、予め生成された車両Cの挙動パターンに関するパターン情報と、取得した挙動情報に基づく挙動パターンとの比較結果に基づいて、機器ノードA〜Dが不正ノードであるか否かを判定する。ここで、図1Bを用いて、不正ノードの判定方法について、具体的に説明する。 Subsequently, in the fraud detection method according to the embodiment, it is determined whether or not the device nodes A to D are fraudulent nodes based on the acquired behavior information (step S2). Specifically, in the fraud detection method according to the embodiment, the device nodes A to D are based on the comparison result between the pattern information related to the behavior pattern of the vehicle C generated in advance and the behavior pattern based on the acquired behavior information. Determine if it is an invalid node. Here, a method for determining an unauthorized node will be specifically described with reference to FIG. 1B.
図1Bでは、車両Cの挙動パターンに関するパターン情報と、挙動情報に基づく挙動パターンとの関係性を模式的に示している。図1Bでは、パターン情報として、車両Cがとり得る挙動のパターンの範囲を示し、挙動パターンとして、挙動情報に基づいて生成された挙動のパターンの範囲を示している。なお、挙動パターン1は、正規ノードである機器ノードAの挙動情報に基づく挙動パターンであり、挙動パターン2は、不正ノードである機器ノードDの挙動情報に基づく挙動パターンである。
FIG. 1B schematically shows the relationship between the pattern information regarding the behavior pattern of the vehicle C and the behavior pattern based on the behavior information. In FIG. 1B, the range of the behavior pattern that the vehicle C can take is shown as the pattern information, and the range of the behavior pattern generated based on the behavior information is shown as the behavior pattern. The
図1Bに示すパターン情報や挙動パターンの範囲は、例えば、車速の範囲や、加速・減速の範囲、走行位置、走行経路、運転の特性(癖)等の範囲に相当する。なお、パターン情報や挙動パターンは、車速の範囲や、加速・減速の範囲、走行位置、走行経路、運転の特性(癖)それぞれの挙動情報毎に生成されてもよく、上記した挙動情報すべてを総合して1つのパターンとして生成されてもよい。 The range of the pattern information and the behavior pattern shown in FIG. 1B corresponds to, for example, the range of the vehicle speed, the range of acceleration / deceleration, the traveling position, the traveling path, the driving characteristics (habit), and the like. The pattern information and the behavior pattern may be generated for each behavior information of the vehicle speed range, acceleration / deceleration range, traveling position, traveling route, and driving characteristic (habit), and all the above behavior information may be generated. It may be generated as one pattern as a whole.
図1Bに示すように、挙動パターン1は、パターン情報の範囲内に収まっている。これは、機器ノードAに基づき生成された挙動パターン1が実際にとり得る挙動パターンであることを示している。
As shown in FIG. 1B, the
一方、挙動パターン2は、パターン情報の範囲から逸脱している。これは、機器ノードDに基づき生成された挙動パターン2が実際にはとり得ない挙動パターンであることを示している。
On the other hand, the
換言すれば、挙動パターン1は、正常な挙動情報に基づき生成された挙動パターンであり、挙動パターン2は、異常な挙動情報に基づき生成された挙動パターンであることを示している。
In other words, the
すなわち、実施形態に係る不正検出方法では、挙動パターン1に対応する機器ノードAは、正規ノードであると判定し、挙動パターン2に対応する機器ノードDは、不正ノードであると判定する。
That is, in the fraud detection method according to the embodiment, the device node A corresponding to the
これにより、例えば、不正ノードの機器から送信される挙動情報のCAN IDや送信間隔が同じ場合であっても、挙動パターンがパターン情報から逸脱することにより不正ノードであると判定することができる。すなわち、実施形態に係る不正検出方法では、不正ノードを高精度に検出することができる。 Thereby, for example, even if the CAN ID and the transmission interval of the behavior information transmitted from the device of the unauthorized node are the same, it can be determined that the node is an unauthorized node by deviating from the pattern information in the behavior pattern. That is, in the fraud detection method according to the embodiment, the fraudulent node can be detected with high accuracy.
次に、図2を用いて、実施形態に係る不正検出装置1の構成について説明する。図2は、実施形態に係る不正検出装置1の構成を示す機能ブロック図である。
Next, the configuration of the
図2に示すように、実施形態に係る不正検出装置1は、車両用ネットワークNを介して複数の機器ノード10−1、10−2・・・、10−nに接続される。なお、以下では、機器ノード10−1、10−2・・・、10−nを総称して機器ノード10と記載する場合がある。
As shown in FIG. 2, the
機器ノード10は、車両Cの挙動に関する挙動情報を送信する電子機器である。機器ノード10には、例えば、ナビゲーション装置や、ドライブレコーダ、各種センサ(車速センサや、加速度センサ等)等が含まれる。
The
挙動情報には、例えば、車両Cの走行制御(車速や、加速度、現在位置)に関する情報や、車両Cの車内環境(ドアやウインドウの開閉、楽曲等の車内コンテンツの状況、ナビゲーション装置やドライブレコーダの設定等)に関する情報が含まれる。 The behavior information includes, for example, information on the running control of vehicle C (vehicle speed, acceleration, current position), the vehicle interior environment of vehicle C (opening / closing of doors and windows, the status of in-vehicle contents such as music, navigation device and drive recorder). Information about settings, etc.) is included.
実施形態に係る不正検出装置1は、通信部IFと、制御部2と、記憶部3とを備える。通信部IFは、車両用ネットワークNを介して機器ノード10と情報の送受信をするための通信インターフェースである。制御部2は、取得部21、生成部22、判定部23、更新部24および車両制御部25を備える。記憶部3は、運転者情報31およびパターン情報32を記憶する。
The
ここで、不正検出装置1は、たとえば、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、フラッシュメモリ、入出力ポートなどを有するコンピュータや各種の回路を含む。
Here, the
コンピュータのCPUは、たとえば、ROMに記憶されたプログラムを読み出して実行することによって、制御部2の取得部21、生成部22、判定部23、更新部24および車両制御部25として機能する。
The CPU of the computer functions as the
また、制御部2の取得部21、生成部22、判定部23、更新部24および車両制御部25の少なくともいずれか一つまたは全部をASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等のハードウェアで構成することもできる。
Further, at least one or all of the
また、記憶部3は、たとえば、RAMやフラッシュメモリに対応する。RAMやフラッシュメモリは、運転者情報31や、パターン情報32、各種プログラムの情報等を記憶することができる。なお、不正検出装置1は、有線や無線のネットワークで接続された他のコンピュータや可搬型記録媒体を介して上記したプログラムや各種情報を取得することとしてもよい。
Further, the storage unit 3 corresponds to, for example, a RAM or a flash memory. The RAM or flash memory can store driver information 31,
記憶部3に記憶される運転者情報31は、車両Cの運転者に関する情報である。運転者情報31は、例えば、運転者となるユーザによる手動操作によって入力された情報であってもよく、例えば、ユーザが所持する端末装置から取得した情報であってもよい。 The driver information 31 stored in the storage unit 3 is information about the driver of the vehicle C. The driver information 31 may be, for example, information input by a manual operation by a user who is a driver, or may be, for example, information acquired from a terminal device possessed by the user.
図3は、運転者情報31の一例を示す図である。図3に示すように、運転者情報31には、「運転者ID」および「運転者情報」等といった項目が含まれる。 FIG. 3 is a diagram showing an example of driver information 31. As shown in FIG. 3, the driver information 31 includes items such as "driver ID" and "driver information".
「運転者ID」は、運転者となるユーザを識別する識別情報である。「運転者情報」、運転者であるユーザに関する情報である。「運転者情報」には、例えば、ユーザの性別や、年齢、住所、職業、家族構成、年収、出身地、学歴等の人口統計学的な属性の情報であるデモグラフィック属性の情報や、ユーザの価値観、ライフスタイル、性格、嗜好等の心理学的な属性の情報であるサイコグラフィック属性の情報が含まれる。 The "driver ID" is identification information that identifies a user who is a driver. "Driver information", information about a user who is a driver. "Driver information" includes, for example, demographic attribute information such as the user's gender, age, address, occupation, family structure, annual income, birthplace, educational background, and demographic attribute information, and the user. Includes information on psychographic attributes, which is information on psychological attributes such as values, lifestyle, personality, and preferences.
次に、記憶部3に記憶されたパターン情報32は、車両Cの挙動のパターンに関する情報である。パターン情報32は、機器ノードから取得した挙動情報に基づいて予め生成される情報である。図4は、パターン情報32の一例を示す図である。図4に示すように、パターン情報32には、「パターンID」、「パターン種別」および「運転者ID」といった情報が含まれる。
Next, the
「パターンID」は、挙動のパターンを識別する識別情報である。「パターン種別」は、挙動のパターンの種別を示す情報である。「パターン種別」における過去挙動パターンは、過去の挙動情報に基づいて生成された挙動のパターンであり、限界挙動パターンは、車両Cの性能限界を示す挙動のパターンである。なお、過去挙動パターンや限界挙動パターンの詳細については図5で後述する。 The "pattern ID" is identification information that identifies a pattern of behavior. The "pattern type" is information indicating the type of behavior pattern. The past behavior pattern in the "pattern type" is a behavior pattern generated based on the past behavior information, and the limit behavior pattern is a behavior pattern indicating the performance limit of the vehicle C. The details of the past behavior pattern and the limit behavior pattern will be described later in FIG.
例えば、パターンIDが「M1」で識別されるパターンは、過去挙動パターンであり、運転者IDが「D1」で識別される運転者に紐づいており、パターンIDが「M2」で識別されるパターンは、過去挙動パターンであり、運転者IDが「D2」で識別される運転者に紐づいている。つまり、図4に示す例では、過去挙動パターンは、運転者毎に生成される。なお、限界挙動パターンは、車両の種別(車種や、年式、走行距離、型式、装備品)毎に生成される。 For example, the pattern in which the pattern ID is identified by "M1" is a past behavior pattern, which is associated with the driver whose driver ID is identified by "D1", and the pattern ID is identified by "M2". The pattern is a past behavior pattern and is associated with a driver whose driver ID is identified by "D2". That is, in the example shown in FIG. 4, the past behavior pattern is generated for each driver. The limit behavior pattern is generated for each vehicle type (vehicle type, model year, mileage, model, equipment).
次に、制御部2の各機能(取得部21、生成部22、判定部23、更新部24および車両制御部25)について説明する。
Next, each function of the control unit 2 (
取得部21は、各種情報を取得する。例えば、取得部21は、車両用ネットワークNにおける機器ノード10から車両Cの挙動に関する挙動情報を取得する。
The
生成部22は、取得部21によって取得された挙動情報に基づいて挙動パターンを生成する。生成部22は、例えば、一定期間に取得した挙動情報における車速の傾向(平均速度や、最高速度および最低速度の範囲、加速度度合い、走行位置等)の情報を抽出し、抽出した情報を挙動パターンとして生成する。
The
生成部22によって生成される挙動パターンは、機器ノード10毎に生成されてもよく、複数の機器ノード10の挙動情報を統合して生成してもよい。
The behavior pattern generated by the
判定部23は、予め生成された車両Cの挙動のパターンに関するパターン情報32と、取得部21によって取得された挙動情報に基づく挙動パターンとの比較結果に基づいて、機器ノード10が不正ノードであるか否かを判定する。
The
ここで、図5を用いて、判定部23による判定処理について具体例を挙げて説明する。図5は、判定部23による判定処理を示す図である。図5では、パターン情報32における限界挙動パターン、過去挙動パターンおよび6個の挙動パターンを模式的に示している。
Here, the determination process by the
限界挙動パターンとは、車両Cの性能限界を示す挙動のパターンであり、車両Cにおいてとり得るパターンの最大範囲を示す。また、過去挙動パターンは、例えば、所定の運転者の過去の挙動情報に基づいて生成された挙動パターンであり、運転者が過去にとった挙動のパターンの最大範囲であり、換言すれば、運転者がとり得る可能性が高い挙動のパターンの範囲を示す。 The limit behavior pattern is a behavior pattern indicating the performance limit of the vehicle C, and indicates the maximum range of patterns that can be taken by the vehicle C. Further, the past behavior pattern is, for example, a behavior pattern generated based on the past behavior information of a predetermined driver, and is the maximum range of the behavior pattern taken by the driver in the past, in other words, driving. The range of behavior patterns that a person is likely to take is shown.
判定部23は、限界挙動パターンおよび過去挙動パターンそれぞれと挙動パターンとを比較した比較結果に基づいて、不正ノードの判定を行う。以下、挙動パターン1〜6それぞれ具体的に説明する。
The
<挙動パターン1>
挙動パターン1は、過去挙動パターンの範囲内にある挙動パターンである。判定部23は、挙動パターン1が過去挙動パターンの範囲内(かつ、限界挙動パターンの範囲内)にある場合、挙動パターン1に対応する機器ノード10が正規ノードであると判定する。つまり、挙動パターン1は、運転者がとり得る可能性が高い挙動パターンであることから、機器ノード10から正常な挙動情報が送信されている可能性が高いため、かかる機器ノード10が正規ノードであると判定する。
<
The
<挙動パターン2および挙動パターン3>
挙動パターン2および挙動パターン3は、限界挙動パターンの範囲内にあるものの、過去挙動パターンから一部逸脱している挙動パターンである。具体的には、挙動パターン2は、逸脱範囲が所定値未満(半分未満)であり、挙動パターン3は、逸脱範囲が所定値以上(半分以上)である。
<
The
かかる場合、判定部23は、挙動パターン2について、過去挙動パターンからの逸脱範囲が所定値未満であるため、挙動パターン2に対応する機器ノード10が正規ノードであると判定する。一方、判定部23は、挙動パターン3について、過去挙動パターンからの逸脱範囲が所定値以上であるため、挙動パターン3に対応する機器ノード10が不正ノードであると判定する。
In such a case, the
つまり、挙動パターン2は、過去挙動パターンから逸脱しているものの、逸脱範囲が所定値未満であり、このような状況として、例えば、緊急事態等により一時的に運転者が普段とは違う運転をする場合が挙げられる。このように、過去挙動パターンからの逸脱範囲が所定値未満である場合に、正規ノードと判定することで、例えば、一時的に運転者が普段とは違う運転をした場合に、本来正規ノードである機器ノード10を誤って不正ノードと誤判定してしまうことを減らすことができる。
That is, although the
一方で、挙動パターン3のように、過去挙動パターンからの逸脱範囲が所定値以上である場合には、一時的に運転者が普段とは違う運転をしたことに起因しているよりも、むしろ挙動情報が異常である可能性が高いため、挙動パターン3に対応する機器ノード10については不正ノードと判定する。これにより、運転者の癖に似せた挙動情報を送信できるように改造された機器ノード10等を不正ノードとして判定することができる。
On the other hand, when the deviation range from the past behavior pattern is equal to or more than a predetermined value as in the behavior pattern 3, it is not caused by the driver temporarily driving differently than usual. Since there is a high possibility that the behavior information is abnormal, the
<挙動パターン4>
挙動パターン4は、限界挙動パターンの範囲内にあるものの、過去挙動パターンの範囲外にある挙動パターンである。かかる場合、判定部23は、挙動パターン4に対応する機器ノード10が不正ノードであると判定する。
<Behavior pattern 4>
The behavior pattern 4 is a behavior pattern that is within the range of the limit behavior pattern but is outside the range of the past behavior pattern. In such a case, the
つまり、挙動パターン4は、過去挙動パターンから完全に逸脱しており、運転者がとり得ない挙動パターンであるため、機器ノード10から送信される挙動情報が異常であるとして、かかる機器ノード10を不正ノードであると判定する。これにより、運転者の過去の挙動パターンと明らかに異なる挙動情報を送信する機器ノード10を不正ノードとして検出できる。
That is, since the behavior pattern 4 completely deviates from the past behavior pattern and is a behavior pattern that the driver cannot take, it is assumed that the behavior information transmitted from the
<挙動パターン5>
挙動パターン5は、限界挙動パターンから完全に逸脱している挙動パターンである。かかる場合、判定部23は、挙動パターン5に対応する機器ノード10が不正ノードであると判定する。つまり、挙動パターン5は、車両Cの性能上、とり得ない挙動パターンであるため、かかる場合には、不正ノードと判定する。これにより、車両Cがとり得ない挙動情報が車両制御に反映されることを確実に防止できる。
<
The
<挙動パターン6>
挙動パターン6は、過去挙動パターンからの逸脱範囲が所定値未満であるものの、限界挙動パターンから一部逸脱している挙動パターンである。かかる場合、判定部23は、挙動パターン6に対応する機器ノード10が不正ノードであると判定する。
<Behavior pattern 6>
The behavior pattern 6 is a behavior pattern in which the deviation range from the past behavior pattern is less than a predetermined value, but partially deviates from the limit behavior pattern. In such a case, the
つまり、挙動パターン6は、運転者がとり得る可能性が高い挙動パターンであるとともに、一部の範囲が車両Cの性能限界を超えており、実際の挙動パターンとしてとり得ないため、不正ノードであると判定する。なお、限界挙動パターンの逸脱範囲については、考慮しない。つまり、限界挙動パターンから少しでも逸脱していた場合には、不正ノードであると判定する。 That is, the behavior pattern 6 is a behavior pattern that is highly likely to be taken by the driver, and a part of the range exceeds the performance limit of the vehicle C and cannot be taken as an actual behavior pattern. Judge that there is. The deviation range of the limit behavior pattern is not considered. That is, if it deviates from the limit behavior pattern even a little, it is determined that the node is an invalid node.
判定部23は、判定結果を更新部24へ通知する。また、判定部23は、不正ノードと判定した機器ノード10があった場合、当該機器ノード10を識別する情報(CAN ID等)とともに、当該機器ノード10が不正ノードであることを他の機器ノード10へ通知する。これにより、他の機器ノード10で不正ノードの挙動情報が使用されることを防止できる。
The
このように、限界挙動パターンおよび過去挙動パターンと比較することで、挙動パターンに対応する機器ノード10が不正ノードであるか否かを高精度に判定することができる。
In this way, by comparing with the limit behavior pattern and the past behavior pattern, it is possible to determine with high accuracy whether or not the
更新部24は、判定部23による判定結果が対応付けられた挙動パターンに基づいて、パターン情報32を更新する。例えば、更新部24は、判定部23による不正ノードの有無を示す情報と、挙動パターン(もしくは挙動情報)とが紐づいた情報を記憶部3に記憶する。このように、パターン情報32を更新することで、判定部23が常に最新のパターン情報32に基づいて不正ノードの判定処理を行うことができるため、判定精度を高めることができる。
The
車両制御部25は、機器ノード10から取得した挙動情報に基づいて、車両の挙動を制御する。具体的には、車両制御部25は、更新部24から取得した情報のうち、判定部23によって正規ノードと判定された機器ノード10の挙動情報に基づいて車両制御を行う。
The
一方、車両制御部25は、判定部23によって機器ノード10が不正ノードであると判定された場合、当該機器ノード10から取得した挙動情報の使用を禁止する。より具体的には、車両制御部25は、不正ノードと判定された機器ノード10から取得した挙動情報については破棄する。これにより、不正ノードから取得した挙動情報が車両制御に反映されることを高精度に防止できる。
On the other hand, when the
次に、図6を用いて、実施形態に係る不正検出装置1が実行する処理について説明する。図6は、実施形態に係る不正検出装置1が実行する処理の手順を示すフローチャートである。
Next, the process executed by the
図6に示すように、まず、取得部21は、車両用ネットワークNにおける機器ノード10から車両Cの挙動に関する挙動情報を取得する(ステップS101)。
As shown in FIG. 6, first, the
つづいて、生成部22は、取得部21によって取得された挙動情報に基づいて、挙動パターンを生成する(ステップS102)。
Subsequently, the
つづいて、判定部23は、生成部22によって生成された挙動パターンが限界挙動パターンの範囲内であるか否かを判定する(ステップS103)。
Subsequently, the
判定部23は、生成された挙動パターンが限界挙動パターンの範囲内である場合(ステップS103:Yes)、過去挙動パターンの範囲内であるか否かを判定する(ステップS104)。
When the generated behavior pattern is within the range of the limit behavior pattern (step S103: Yes), the
判定部23は、生成された挙動パターンが過去挙動パターンの範囲内である場合(ステップS104:Yes)、かかる挙動パターンに対応する機器ノード10が正規ノードであると判定する(ステップS105)。
When the generated behavior pattern is within the range of the past behavior pattern (step S104: Yes), the
つづいて、車両制御部25は、正規ノードと判定された機器ノード10から取得した挙動情報に基づいて車両制御を行う(ステップS106)。
Subsequently, the
つづいて、更新部24は、判定部23による判定結果が対応付けられた挙動パターンに基づいて、パターン情報32を更新し(ステップS107)、処理を終了する。なお、ステップS106(または、後述するステップS109)およびステップS107は処理順が互いに入れ替わってもよい。
Subsequently, the
一方、ステップS103において、判定部23は、生成された挙動パターンが限界挙動パターンの範囲から逸脱する場合(ステップS103:No)、かかる挙動パターンに対応する機器ノード10を不正ノードと判定する(ステップS108)。
On the other hand, in step S103, when the generated behavior pattern deviates from the range of the limit behavior pattern (step S103: No), the
つづいて、車両制御部25は、不正ノードと判定された機器ノード10から取得した挙動情報の車両制御への使用を禁止し(ステップS109)、ステップS107の処理に移行する。
Subsequently, the
一方、ステップS104において、判定部23は、生成された挙動パターンが過去挙動パターンから逸脱する場合(ステップS104:No)、逸脱範囲が所定値未満であるか否かを判定する(ステップS110)。
On the other hand, in step S104, when the generated behavior pattern deviates from the past behavior pattern (step S104: No), the
判定部23は、過去挙動パターンからの逸脱範囲が所定値未満である場合(ステップS110:Yes)、ステップS105の処理に移行する。
When the deviation range from the past behavior pattern is less than a predetermined value (step S110: Yes), the
一方、判定部23は、過去挙動パターンからの逸脱範囲が所定値以上である場合(ステップS110:No)、ステップS108の処理に移行する。
On the other hand, when the deviation range from the past behavior pattern is equal to or greater than a predetermined value (step S110: No), the
上述してきたように、実施形態に係る不正検出装置1は、取得部21と、判定部23とを備える。取得部21は、車両用ネットワークNにおける機器ノード10から車両Cの挙動に関する挙動情報を取得する。判定部23は、予め生成された車両Cの挙動のパターンに関するパターン情報32と、取得部21によって取得された挙動情報に基づく挙動パターンとの比較結果に基づいて、機器ノード10が不正ノードであるか否かを判定する。これにより、改造機器等の不正ノードを高精度に検出することができる。
As described above, the
さらなる効果や変形例は、当業者によって容易に導き出すことができる。このため、本発明のより広範な態様は、以上のように表しかつ記述した特定の詳細および代表的な実施形態に限定されるものではない。したがって、添付の特許請求の範囲およびその均等物によって定義される総括的な発明の概念の精神または範囲から逸脱することなく、様々な変更が可能である。 Further effects and variations can be easily derived by those skilled in the art. For this reason, the broader aspects of the invention are not limited to the particular details and representative embodiments expressed and described as described above. Therefore, various modifications can be made without departing from the spirit or scope of the general concept of the invention as defined by the appended claims and their equivalents.
1 不正検出装置
2 制御部
3 記憶部
10 機器ノード
21 取得部
22 生成部
23 判定部
24 更新部
25 車両制御部
31 運転者情報
32 パターン情報
C 車両
IF 通信部
N 車両用ネットワーク
1
Claims (5)
予め生成された前記車両の挙動のパターンに関するパターン情報と、前記取得部によって取得された前記挙動情報に基づく挙動パターンとの比較結果に基づいて、前記機器ノードが不正ノードであるか否かを判定する判定部と
を備えることを特徴とする不正検出装置。 An acquisition unit that acquires behavior information related to vehicle behavior from equipment nodes in the vehicle network,
It is determined whether or not the device node is an unauthorized node based on the comparison result between the pattern information regarding the behavior pattern of the vehicle generated in advance and the behavior pattern based on the behavior information acquired by the acquisition unit. A fraud detection device characterized in that it is provided with a determination unit.
前記車両の性能限界を示す限界挙動パターンと、過去の挙動情報に基づく過去挙動パターンとが含まれ、
前記判定部は、
前記限界挙動パターンおよび前記過去挙動パターンそれぞれと前記挙動パターンとを比較した比較結果に基づいて、前記不正ノードの判定を行うこと
を特徴とする請求項1に記載の不正検出装置。 The pattern information includes
A limit behavior pattern indicating the performance limit of the vehicle and a past behavior pattern based on past behavior information are included.
The determination unit
The fraud detection device according to claim 1, wherein the fraudulent node is determined based on a comparison result of comparing each of the limit behavior pattern and the past behavior pattern with the behavior pattern.
を特徴とする請求項1または2に記載の不正検出装置。 The fraud detection device according to claim 1 or 2, further comprising an update unit that updates the pattern information based on the behavior pattern associated with the determination result by the determination unit.
前記車両制御部は、
前記判定部によって前記機器ノードが不正ノードであると判定された場合、当該機器ノードから取得した前記挙動情報の使用を禁止すること
を特徴とする請求項1〜3のいずれか1つに記載の不正検出装置。 A vehicle control unit that controls the vehicle based on the behavior information is further provided.
The vehicle control unit
The invention according to any one of claims 1 to 3, wherein when the determination unit determines that the device node is an unauthorized node, the use of the behavior information acquired from the device node is prohibited. Fraud detection device.
予め生成された前記車両の挙動パターンに関するパターン情報と、前記取得工程によって取得された前記挙動情報に基づく挙動パターンとの比較結果に基づいて、前記機器ノードが不正ノードであるか否かを判定する判定工程と
を含むことを特徴とする不正検出方法。 The acquisition process for acquiring behavior information related to vehicle behavior from the device node in the vehicle network,
Based on the comparison result between the pattern information related to the behavior pattern of the vehicle generated in advance and the behavior pattern based on the behavior information acquired by the acquisition process, it is determined whether or not the equipment node is an unauthorized node. A fraud detection method comprising a determination step.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019151763A JP2021034833A (en) | 2019-08-22 | 2019-08-22 | Fraud detection device and fraud detection method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019151763A JP2021034833A (en) | 2019-08-22 | 2019-08-22 | Fraud detection device and fraud detection method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2021034833A true JP2021034833A (en) | 2021-03-01 |
Family
ID=74676138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019151763A Pending JP2021034833A (en) | 2019-08-22 | 2019-08-22 | Fraud detection device and fraud detection method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2021034833A (en) |
-
2019
- 2019-08-22 JP JP2019151763A patent/JP2021034833A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102601578B1 (en) | Method for protecting a network against a cyber attack | |
| US11277427B2 (en) | System and method for time based anomaly detection in an in-vehicle communication | |
| JP6852132B2 (en) | Fraud detection method, fraud detection electronic control unit and fraud detection system | |
| US10298612B2 (en) | System and method for time based anomaly detection in an in-vehicle communication network | |
| US20170126703A1 (en) | Vehicle communication apparatus, in-vehicle network system, and vehicle communication method | |
| JP7030957B2 (en) | Automotive cybersecurity | |
| US11683341B2 (en) | System and method for network intrusion detection based on physical measurements | |
| CN109005678B (en) | Illegal communication detection method, illegal communication detection system, and recording medium | |
| JP2017112590A (en) | Communication device, communication method and communication program | |
| CN109076016B9 (en) | Illegal communication detection criterion determining method, illegal communication detection criterion determining system, and recording medium | |
| CN111066001A (en) | Log output method, log output device, and program | |
| WO2021095513A1 (en) | Vehicle-mounted communication device and information substituting method | |
| CN111311912B (en) | Internet of vehicles detection data determination method and device and electronic equipment | |
| Francia et al. | Applied machine learning to vehicle security | |
| WO2021260984A1 (en) | Information processing device, information processing method, and program | |
| WO2019207764A1 (en) | Extraction device, extraction method, recording medium, and detection device | |
| JP2021034833A (en) | Fraud detection device and fraud detection method | |
| US20220174073A1 (en) | Method for checking a message in a communication system | |
| CN114731301B (en) | Determination method, determination system, and program recording medium | |
| JP2018166309A (en) | In-vehicle network system, electronic control device, communication method and computer program | |
| WO2018020833A1 (en) | Frame transmission blocking device, frame transmission blocking method and vehicle-mounted network system | |
| WO2021181826A1 (en) | In-vehicle device and server | |
| KR20220082550A (en) | Vehicle | |
| JP2020096322A (en) | Illegal signal processing device |