JP2022017889A - ログ管理装置及びセキュリティ攻撃検知・分析システム - Google Patents
ログ管理装置及びセキュリティ攻撃検知・分析システム Download PDFInfo
- Publication number
- JP2022017889A JP2022017889A JP2020120721A JP2020120721A JP2022017889A JP 2022017889 A JP2022017889 A JP 2022017889A JP 2020120721 A JP2020120721 A JP 2020120721A JP 2020120721 A JP2020120721 A JP 2020120721A JP 2022017889 A JP2022017889 A JP 2022017889A
- Authority
- JP
- Japan
- Prior art keywords
- log
- management device
- unit
- calculation result
- log management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 49
- 238000004458 analytical method Methods 0.000 title claims abstract description 48
- 238000004364 calculation method Methods 0.000 claims abstract description 77
- 238000004891 communication Methods 0.000 claims abstract description 42
- 238000007726 management method Methods 0.000 claims description 71
- 230000005540 biological transmission Effects 0.000 claims description 50
- 238000007619 statistical method Methods 0.000 claims description 33
- 238000009434 installation Methods 0.000 claims description 2
- 230000004044 response Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 description 35
- 230000006870 function Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 230000005856 abnormality Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 239000000047 product Substances 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 4
- 230000002123 temporal effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 239000011265 semifinished product Substances 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】センタ装置との通信量を削減するとともに、センタ装置の処理量を削減することができるログ管理装置を提供する。【解決手段】ログ管理装置が、通信ネットワークを介して、センタ装置に接続されているセキュリティ攻撃検知・分析システムにおいて、ログ管理装置100は、ログ収集部101と、保存部102と、統計分析部104と、送信部106と、を有する。ログ収集部は、ECU1、ECU2のセキュリティセンサが生成したログを受信する。保存部は、受信したログを保存する。統計分析部は、複数のログの統計分析を行うことで統計計算結果を求める。送信部は、所定の条件に応じて、ログ又は統計計算結果をセンタ装置に送信する。【選択図】図2
Description
本発明は、サイバー攻撃を検知・分析するシステムであって、主に移動体に搭載されるログ管理装置、及び移動体の外部に設けられたセンタ装置、からなるセキュリティ攻撃検知・分析システムに関する。
近年、車車間通信や路車間通信のようなV2Xをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両がサイバー攻撃を受ける可能性が増加している。車両は高速で移動するため、サイバー攻撃に伴い車両のコントロールを失う可能性があるため、サイバー攻撃に対してより強固な防御手段が必要となる。
ここで、コンピュータシステムの分野においては、以前からサイバー攻撃に対する対応策が講じられている。
例えば、特許文献1には、セキュリティログの出力要否を決定するログ出力装置等が記載されている。
ここで、本発明者は、以下の課題を見出した。
移動体である車両に搭載された電子制御装置(ECU)にはセキュリティセンサが搭載されており、セキュリティセンサがECU自体やECUの通信の監視を行いセキュリティログを出力する。このセキュリティログの分析をセンタ装置で行う場合、すべてのセキュリティログをセンタ装置にアップロードするとすれば、通信量が大きくなってしまう。
また、一般的にはセンタ装置の方が、車両に搭載された電子制御装置よりも処理能力が高い。そのため、車両に搭載された電子制御装置では異常検知ができなくても、センタ装置であれば異常検知が可能な場合がある。
さらに、センタ装置で異常検知を行う場合であっても、セキュリティログ等の情報が十分でない場合がある。この場合、当該車両や同種の車両から追加の情報を得ることができれば、より正確な異常検知を行うことができるとともに、複数の車両に対する分析を行うことができる。
移動体である車両に搭載された電子制御装置(ECU)にはセキュリティセンサが搭載されており、セキュリティセンサがECU自体やECUの通信の監視を行いセキュリティログを出力する。このセキュリティログの分析をセンタ装置で行う場合、すべてのセキュリティログをセンタ装置にアップロードするとすれば、通信量が大きくなってしまう。
また、一般的にはセンタ装置の方が、車両に搭載された電子制御装置よりも処理能力が高い。そのため、車両に搭載された電子制御装置では異常検知ができなくても、センタ装置であれば異常検知が可能な場合がある。
さらに、センタ装置で異常検知を行う場合であっても、セキュリティログ等の情報が十分でない場合がある。この場合、当該車両や同種の車両から追加の情報を得ることができれば、より正確な異常検知を行うことができるとともに、複数の車両に対する分析を行うことができる。
本発明は、センタ装置との通信量を削減するとともに、センタ装置の処理量を削減することができるログ管理装置を実現することを目的とする。
また、本発明は、センタ装置で攻撃分析を行うとともに、必要な情報を収集することができるセンタ装置を実現することを目的とする。
また、本発明は、センタ装置で攻撃分析を行うとともに、必要な情報を収集することができるセンタ装置を実現することを目的とする。
なお、上記課題はログ管理装置が車両に搭載される場合を例に挙げているが、これは課題の一例として記載している。ログ管理装置が車両に搭載されない場合も、通信量の増大や、各ユニットやエンティティでの処理量の適切な配分という課題が生じうる。
本開示のログ管理装置(100)は、
セキュリティセンサが生成したログを受信するログ収集部(101)と、
前記ログを保存する保存部(102)と、
複数の前記ログの統計分析を行うことで統計計算結果を求める統計分析部(104)と、
所定の条件に応じて、前記ログ又は前記統計計算結果を送信する送信部(106)と、を有する。
セキュリティセンサが生成したログを受信するログ収集部(101)と、
前記ログを保存する保存部(102)と、
複数の前記ログの統計分析を行うことで統計計算結果を求める統計分析部(104)と、
所定の条件に応じて、前記ログ又は前記統計計算結果を送信する送信部(106)と、を有する。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
上述のような構成により、センタ装置との通信量を削減するとともに、センタ装置の処理量を削減することができる。
また、センタ装置で攻撃分析を行うとともに、必要な情報を収集することができる。
また、センタ装置で攻撃分析を行うとともに、必要な情報を収集することができる。
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.第1の実施形態
(1)セキュリティ攻撃検知・分析システムの全体の構成
図1を用いて、本実施形態のセキュリティ攻撃検知・分析システムの全体構成をまず説明する。
(1)セキュリティ攻撃検知・分析システムの全体の構成
図1を用いて、本実施形態のセキュリティ攻撃検知・分析システムの全体構成をまず説明する。
セキュリティ攻撃検知・分析システム1は、ログ管理装置100及びセンタ装置200からなる。
ログ管理装置100は、通信ネットワーク2を介して、センタ装置200と接続されている。
ログ管理装置100は、本実施形態の場合、「移動体」である車両に「搭載されている」。もっとも、移動体ではなく固定物に搭載されていてもよい。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
ログ管理装置100は、本実施形態の場合、「移動体」である車両に「搭載されている」。もっとも、移動体ではなく固定物に搭載されていてもよい。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載されている」とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
通信ネットワーク2は、無線通信方式の場合、例えば、IEEE802.11(WiFi(登録商標))やIEEE802.16(WiMAX(登録商標))、W-CDMA(Wideband Code Division Multiple Access)、HSPA(High Speed Packet Access)、LTE(Long Term Evolution)、LTE-A(Long Term Evolution Advanced)、4G、5G等を用いることができる。あるいは、DSRC(Dedicated Short Range Communication)を用いることができる。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、ログ管理装置100とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とセンタ装置200との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。
通信ネットワークは、有線通信方式の場合、例えば、LAN(Local Area Network)やインターネット、固定電話回線を用いることができる。
無線通信ネットワークは、無線通信方式と有線通信方式とを組み合わせてもよい。例えば、ログ管理装置100とセルラーシステムにおける基地局装置との間は無線通信方式で、基地局装置とセンタ装置200との間は、通信事業者の基幹回線やインターネット等の有線通信方式で、それぞれ接続されてもよい。
(2)ログ管理装置の構成
図2を用いて、本実施形態のログ管理装置100の構成について説明する。
図2を用いて、本実施形態のログ管理装置100の構成について説明する。
ログ管理装置100は、ログ収集部101、保存部102、制御部103、送信部106、及び受信部107からなる。また、制御部103は、統計分析部104及び攻撃検知部105を実現する。
ログ管理装置100は、汎用のCPU(Central Processing Unit)、RAM等の揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリ、各種インターフェース、及びこれらを接続する内部バスで構成することができる。そして、これらのハードウェア上でソフトウェアを実行することにより、図2に記載の各機能ブロックの機能を発揮させるように構成することができる。後述の図3で示されるセンタ装置200においても同様である。
もちろん、ログ管理装置100を、LSI等の専用のハードウェアで実現してもよい。
もちろん、ログ管理装置100を、LSI等の専用のハードウェアで実現してもよい。
ログ管理装置100は、本実施形態では半完成品としての電子制御装置(ECU(Electric Control Unit)、以下ECUと略する。)の形態を想定しているが、これに限らない。例えば、部品の形態としては、半導体回路や半導体モジュール、完成品の形態としては、パーソナルコンピュータ(PC)、スマートフォン、携帯電話、ナビゲーションシステムが挙げられる。
なお、ログ管理装置100は、単一のECUの他、複数のECUで構成されてもよい。例えば、外部との通信を通信ECUが担当するようにしてもよい。
あるいは、視点を変えて、通信ECUを含めた複数のECUを、本実施形態のログ管理装置100と把握してもよい。
なお、ログ管理装置100は、単一のECUの他、複数のECUで構成されてもよい。例えば、外部との通信を通信ECUが担当するようにしてもよい。
あるいは、視点を変えて、通信ECUを含めた複数のECUを、本実施形態のログ管理装置100と把握してもよい。
ログ収集部101は、ログ管理装置100に接続された単数又は複数のECUと、車載ネットワークを介して接続され、各ECUに設けられたセキュリティセンサから送信されたセキュリティログを受信する。セキュリティセンサは、各ECU自身や各ECUの通信を監視し、攻撃等の異常を検知し、セキュリティログによって正常報告や異常報告を行う。
図2では、ログ収集部101は、ECU1、ECU2、及びECU3と車載ネットワークを介して接続されている。ECU1、ECU2には、それぞれのECU自身やそれぞれのECUの通信を監視するセキュリティセンサが設けられている。ECU3には、セキュリティセンサが設けられていない。
なお、この他、ECU1、ECU2、ECU3には、セキュリティセンサ以外に、防御機能やそれぞれのECU動作状態を通知するログを生成する機能が備わっていてもよい。そして、セキュリティログに代えて、又はセキュリティログとともに、このログを本実施形態の処理対象としてもよい。
図2では、ログ収集部101は、ECU1、ECU2、及びECU3と車載ネットワークを介して接続されている。ECU1、ECU2には、それぞれのECU自身やそれぞれのECUの通信を監視するセキュリティセンサが設けられている。ECU3には、セキュリティセンサが設けられていない。
なお、この他、ECU1、ECU2、ECU3には、セキュリティセンサ以外に、防御機能やそれぞれのECU動作状態を通知するログを生成する機能が備わっていてもよい。そして、セキュリティログに代えて、又はセキュリティログとともに、このログを本実施形態の処理対象としてもよい。
ECU1、ECU2、ECU3は任意のECUであるが、例えば、エンジン、ハンドル、ブレーキ等の制御を行う駆動系電子制御装置、メータやパワーウインドウ等の制御を行う車体系電子制御装置、ナビゲーション装置等の情報系電子制御装置、あるいは、障害物や歩行者との衝突を防止するための制御を行う安全制御系電子制御装置が挙げられる。また、ECU同士が並列ではなく、マスターとスレーブとに分類されていてもよい。
車載ネットワークは、例えばCAN(Controller Area Network)、LIN(Local Interconnect Network)といった通信方式の他、Ethernet(登録商標)やWi-Fi(登録商標)、Bluetooth(登録商標)等、任意の通信方式を用いることができる。
保存部102は、ログ収集部101から制御部103を介して、又はログ収集部101から直接、ログ収集部101で収集したセキュリティログを保存する。後述の統計分析部104で求めた統計計算結果も保存するようにしてもよい。
保存部102は、不揮発性メモリ又は揮発性メモリで構成されている。
保存部102は、不揮発性メモリ又は揮発性メモリで構成されている。
制御部103は、ログ収集部101、保存部102、送信部106、及び受信部107の動作を制御する。また、制御部103は、それ自身で、統計分析部104及び攻撃検知部105を実現している。
統計分析部104は、ログ収集部101で収集した複数のセキュリティログの統計分析を行うことで、統計計算結果を求める。統計分析の例としては、例えば同一種類のセキュリティログの発生回数、頻度、時間的分散、又は相関などが挙げられる。その他の例として、後述の攻撃検知部105がセキュリティログから特定した攻撃検知結果の回数、頻度、時間的分散、又は相関などが挙げられる。このように、セキュリティログの統計分析とは、セキュリティログに対する直接的又は間接的な統計分析の両方を含む。
攻撃検知部105は、ログ収集部101で収集したセキュリティログに基づき攻撃検知を行い、攻撃検知結果を求める。攻撃検知は、攻撃特定、攻撃経路特定、被害箇所特定、のように複数段階が存在し、攻撃検知部105は、これらのうち少なくとも1つを行うことができればよい。
攻撃特定とは、異常がセキュリティ攻撃由来であると特定することをいう。
攻撃経路特定とは、どのECUやどのネットワークを経由して攻撃されているかを特定することをいう。
被害箇所特定とは、どのECUやどのネットワークが被害を受けているかを特定することをいう。
なお、前段落で述べたとおり、攻撃検知部105で求めた攻撃検知結果を、統計分析部104で分析してもよい。この場合、セキュリティログを間接的に統計分析することになる。
攻撃特定とは、異常がセキュリティ攻撃由来であると特定することをいう。
攻撃経路特定とは、どのECUやどのネットワークを経由して攻撃されているかを特定することをいう。
被害箇所特定とは、どのECUやどのネットワークが被害を受けているかを特定することをいう。
なお、前段落で述べたとおり、攻撃検知部105で求めた攻撃検知結果を、統計分析部104で分析してもよい。この場合、セキュリティログを間接的に統計分析することになる。
送信部106は、「所定の条件」に応じて、セキュリティログ又は統計計算結果をセンタ装置にアンテナAを介して送信する。具体例としては、「所定の条件」に応じて、セキュリティログ又は統計計算結果のいずれかを送信する。所定の条件の例として、攻撃検知の回数、センタ装置から受信したアップロード要求、当該アップロード要求に加えてセキュリティログの量、が挙げられるが、これらは後述のログ管理装置の動作の項で説明する。所定の条件を満たすか否かは、制御部103で判定することができる。
ここで、「所定の条件」とは、ログや統計計算結果に関する内部条件の他、他装置からの指示や情報に基づく外部条件であってもよい。
ここで、「所定の条件」とは、ログや統計計算結果に関する内部条件の他、他装置からの指示や情報に基づく外部条件であってもよい。
なお、外部通信を担当する通信ECUがログ管理装置とは別に設けられている場合は、送信部106は通信ECUにセキュリティログや統計計算結果を送信する。しかし、この場合も送信部106は、通信ECUを介してセンタ装置にセキュリティログや統計計算結果を送信することに相違ない。
受信部107は、センタ装置200から、セキュリティログや統計計算結果のアップロードを要求するアップロード要求をアンテナAを介して受信する。
(3)センタ装置の構成
図3を用いて、本実施形態のセンタ装置200の構成について説明する。
図3を用いて、本実施形態のセンタ装置200の構成について説明する。
センタ装置200は、受信部201、制御部202、保存部204、送信部205を有する。また、制御部202は、分析部203を実現する。
センタ装置200は、本実施形態では完成品としてのサーバ装置の形態を想定しているが、これに限らない。例えば、完成品の形態として、ワークステーション、パーソナルコンピュータ(PC)、半完成品の形態としてECU、部品の形態として半導体回路素子が挙げられる。
受信部201は、ログ管理装置100から送信されたセキュリティログ又は統計計算結果をアンテナAを介して受信する。
制御部202は、受信部201、保存部204、及び送信部205の動作を制御する。また、制御部202は、それ自身で、分析部203を実現している。
分析部203は、受信部201で受信したセキュリティログ又は統計計算結果を分析する。そして、分析結果に基づき、ログ管理装置100に対し追加のログ又は追加の統計計算結果のアップロードを要求するアップロード要求を生成する。
アップロード要求の送信対象は、受信部201で受信した受信元のログ管理装置100に限らない。例えば、「同種」の他の車両に搭載されたログ管理装置100が送信対象であってもよい。
ここで、「同種」とは、同一車種の場合の他、同一の部品を搭載する場合、同一のプラットフォームを搭載する場合等、何らかの共通性があれば足りる。
ここで、「同種」とは、同一車種の場合の他、同一の部品を搭載する場合、同一のプラットフォームを搭載する場合等、何らかの共通性があれば足りる。
保存部204は、受信部201で受信したセキュリティログや統計計算結果を保存する。また、分析部203で生成したアップロード要求を保存するようにしてもよい。
送信部205は、アップロード要求を、セキュリティログや統計計算結果の送信元のログ管理装置100に対して、及び/又は「同種」の他の車両に搭載されたログ管理装置100に対して送信する。
(4)ログ管理装置の動作
図4及び図5のフローチャートを用いて、本実施形態のログ管理装置100の動作について説明する。
なお、以下の動作は、ログ管理装置100で実行されるログ管理方法を示すだけでなく、ログ管理装置100で実行可能なログ管理プログラムの処理手順を示すものである。
そして、これらの処理は、図4及び図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
図4及び図5のフローチャートを用いて、本実施形態のログ管理装置100の動作について説明する。
なお、以下の動作は、ログ管理装置100で実行されるログ管理方法を示すだけでなく、ログ管理装置100で実行可能なログ管理プログラムの処理手順を示すものである。
そして、これらの処理は、図4及び図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
図4は、ログ管理装置100の定常的なログ収集に関する動作である。
ログ収集部101は、ECU1及びECU2のセキュリティセンサで生成及び送信されたセキュリティログを受信する(S101)。そして、保存部102は、セキュリティログを保存する。
ログ収集部101は、ECU1及びECU2のセキュリティセンサで生成及び送信されたセキュリティログを受信する(S101)。そして、保存部102は、セキュリティログを保存する。
攻撃検知部105は、受信したセキュリティログに基づき攻撃検知を行う(S102)。
攻撃検知は、攻撃特定、攻撃経路特定、被害箇所特定の少なくともいずれかであればよい。攻撃検知がされていない場合(S102:No)、正常ログに対して統計分析を行い、統計計算結果を求める。攻撃検知がされた場合(S102:Yes)、S104に処理を移す。
攻撃検知は、攻撃特定、攻撃経路特定、被害箇所特定の少なくともいずれかであればよい。攻撃検知がされていない場合(S102:No)、正常ログに対して統計分析を行い、統計計算結果を求める。攻撃検知がされた場合(S102:Yes)、S104に処理を移す。
攻撃検知部105による攻撃検知が所定の回数「以上」の場合に、統計分析部104は統計分析を行うことで統計計算結果を求める。
また、制御部103は、所定の条件を攻撃検知の回数とした場合、攻撃検知が所定の回数「以下」の場合に、セキュリティログをセンタ装置200に送信するよう送信部106に指示し、送信部106はセキュリティログをセンタ装置200に送信する。また、制御部103は、攻撃検知が所定の回数「以上」の場合に、センタ装置200からのアップロード要求を待って、統計計算結果をセンタ装置200に送信するよう送信部106に指示し、送信部106は統計計算結果をセンタ装置200に送信する。
ここで、「以上」とは、所定の回数を含む場合、含まない場合のいずれも含む。
「以下」とは、所定の回数を含む場合、含まない場合のいずれも含む。
また、制御部103は、所定の条件を攻撃検知の回数とした場合、攻撃検知が所定の回数「以下」の場合に、セキュリティログをセンタ装置200に送信するよう送信部106に指示し、送信部106はセキュリティログをセンタ装置200に送信する。また、制御部103は、攻撃検知が所定の回数「以上」の場合に、センタ装置200からのアップロード要求を待って、統計計算結果をセンタ装置200に送信するよう送信部106に指示し、送信部106は統計計算結果をセンタ装置200に送信する。
ここで、「以上」とは、所定の回数を含む場合、含まない場合のいずれも含む。
「以下」とは、所定の回数を含む場合、含まない場合のいずれも含む。
本実施形態においては、制御部103は、所定の条件として攻撃検知が1回目の場合(S104:Yes)、送信部106に対し攻撃検知を行う際に使用したセキュリティログをセンタ装置200に送信するように指示をする。そして、送信部106は、セキュリティログをセンタ装置200に送信する(S105)。
なお、セキュリティログに加え、図示しない車両状態監視機能が出力した車両状態を示す車両情報や、車両情報の統計計算結果を併せて送信するようにしてもよい。次段落においても同様である。
なお、セキュリティログに加え、図示しない車両状態監視機能が出力した車両状態を示す車両情報や、車両情報の統計計算結果を併せて送信するようにしてもよい。次段落においても同様である。
また、本実施形態において、所定の条件として攻撃検知が2回目以上の場合(S104:No)、統計分析部104は、複数のセキュリティログの統計分析を行い、統計計算結果を求める(S103)。例えば、同一種類のセキュリティログの発生回数、頻度、時間的分散、又は相関などを求める。又は、攻撃検知部105がセキュリティログから特定した攻撃検知結果の回数、頻度、時間的分散、又は相関などを求める。
求めた統計計算結果はすぐに送信せず、制御部103は、センタ装置200からのアップロード要求を待って統計計算結果を送信するよう送信部106に指示し、送信部106は統計計算結果を送信する。統計計算結果を送信した場合、攻撃回数をリセットする。
もっとも、求めた統計計算結果を速やかに送信部106から送信するようにしてもよい。
求めた統計計算結果はすぐに送信せず、制御部103は、センタ装置200からのアップロード要求を待って統計計算結果を送信するよう送信部106に指示し、送信部106は統計計算結果を送信する。統計計算結果を送信した場合、攻撃回数をリセットする。
もっとも、求めた統計計算結果を速やかに送信部106から送信するようにしてもよい。
なお、S104で、所定の条件として所定の回数を1回としたが、所定の回数を2以上としてもよい。例えば、所定の回数を3とした場合、異常検知が3回まではセキュリティログを送信し、4回以上は統計分析を行うことで統計計算結果を求め、センタ装置200からのアップロード要求を待って統計計算結果を送信するようにしてもよい。
さらに、所定の条件として、攻撃検知の回数以外の条件を設定してもよい。例えば、セキュリティログの受信回数や受信頻度としてもよい。
所定の条件は、必要に応じて、又は条件に応じて自動的に変更可能としてもよい。
統計分析の内容も、必要に応じて、又は条件に応じて自動的に変更可能としてもよい。
統計分析の内容も、必要に応じて、又は条件に応じて自動的に変更可能としてもよい。
このように、本実施形態によれば、攻撃の回数に応じて送信対象をセキュリティログ又は統計計算結果のいずれかとしているので、すべてのログをセンタ装置に送信する必要がなく、通信量を削減することができる。
また、本実施形態によれば、センタ装置200からの要求を待って統計計算結果を送信するので、センタ装置200が必要だと判断したときに統計計算結果を送信すれば足り、通信量を削減することができる。
そして、本実施形態によれば、センタ装置200は統計計算結果を求める必要がないので、処理量を削減することができる。
また、本実施形態によれば、センタ装置200からの要求を待って統計計算結果を送信するので、センタ装置200が必要だと判断したときに統計計算結果を送信すれば足り、通信量を削減することができる。
そして、本実施形態によれば、センタ装置200は統計計算結果を求める必要がないので、処理量を削減することができる。
図5は、ログ管理装置100がセンタ装置200からアップロード要求を受信した場合の動作である。つまり、アップロード要求が所定の条件の場合である。
受信部107は、センタ装置200からアップロード要求を受信する(S111)。
受信部107は、センタ装置200からアップロード要求を受信する(S111)。
制御部103は、セキュリティログ又は統計計算結果が送信可能かどうかを判定する(S112)。判定には、図示しない車両状態監視機能が出力した車両情報を用いる。例えば、車両がスリープ時には待機電源しか利用できないので、送信が可能でないと判定する(S112:No)。送信が可能であると判定した場合(S112:Yes)、処理をS113に移す。
制御部103は、所定の条件として、受信したセキュリティログの「量」とした場合、セキュリティログの量が所定の数「以下」の場合に、セキュリティログをセンタ装置200に送信するよう送信部106に指示し、送信部106はセキュリティログをセンタ装置200に送信する。また、制御部103は、セキュリティログの量が所定の数「以上」の場合に、統計計算結果をセンタ装置200に送信するよう送信部106に指示し、送信部106は統計計算結果をセンタ装置200に送信する。
ここで、「量」とは、ログのサイズの他、ログの数やログの受信頻度等も含む。
「以上」とは、所定の回数を含む場合、含まない場合のいずれも含む。
「以下」とは、所定の回数を含む場合、含まない場合のいずれも含む。
ここで、「量」とは、ログのサイズの他、ログの数やログの受信頻度等も含む。
「以上」とは、所定の回数を含む場合、含まない場合のいずれも含む。
「以下」とは、所定の回数を含む場合、含まない場合のいずれも含む。
本実施形態においては、制御部103は、セキュリティログの数が1つの場合(S113:Yes)、送信部106に対しセキュリティログをセンタ装置200に送信するよう指示する。そして、送信部106は、セキュリティログをセンタ装置200に送信する(S114)。
また、本実施形態において、制御部103は、セキュリティログの数が2つ以上の場合(S113:No)、送信部106に対し統計計算結果をセンタ装置200に送信するよう指示する。そして、送信部106は、統計計算結果をセンタ装置200に送信する(S115)。
S112でNoの場合、統計分析部104は、セキュリティログを送信できない要因の分析のため、送信できない理由の統計分析を行う(S116)。そして、送信可能になった場合(S117:Yes)、それまで受信したアップロード要求の中で最新のアップロード要求に応じて、処理をS113に移す。送信可能になった場合の例として、次回のIG-ON(イグニッションオン)時が挙げられる。送信可能になった場合(S117:Yes)、さらに送信できない理由の統計分析の統計計算結果を送信するようにしてもよい。
なお、S113で、所定の条件としてセキュリティログの数が1としたが、2以上としてもよい。例えば、セキュリティログの数を3とした場合、セキュリティログの数が3まではセキュリティログを送信し、4以上の場合は統計計算結果を送信するようにしてもよい。
さらに、所定の条件として、セキュリティログの数以外の条件を設定してもよい。
所定の条件は、必要に応じて、又は条件に応じて自動的に変更可能としてもよい。
統計分析の内容も、必要に応じて、又は条件に応じて自動的に変更可能としてもよい。
統計分析の内容も、必要に応じて、又は条件に応じて自動的に変更可能としてもよい。
このように、本実施形態によれば、セキュリティログの数に応じて送信対象をセキュリティログか統計計算結果のいずれかとしているので、すべてのログをセンタ装置に送信する必要がなく、通信量を削減することができる。
また、本実施形態によれば、センタ装置200からの要求を待って統計計算結果を送信するので、センタ装置200が必要だと判断したときに統計計算結果を送信すれば足り、通信量を削減することができる。
そして、本実施形態によれば、センタ装置200は分析の過程で行う必要があった統計計算結果を求める必要がないので、処理量を削減することができる。すなわち、センタ装置200での分析精度を低下させることなく、センタ装置200との通信量を削減することができる。
また、本実施形態によれば、センタ装置200からの要求を待って統計計算結果を送信するので、センタ装置200が必要だと判断したときに統計計算結果を送信すれば足り、通信量を削減することができる。
そして、本実施形態によれば、センタ装置200は分析の過程で行う必要があった統計計算結果を求める必要がないので、処理量を削減することができる。すなわち、センタ装置200での分析精度を低下させることなく、センタ装置200との通信量を削減することができる。
(5)センタ装置の動作
図6及び図7のフローチャートを用いて、本実施形態のセンタ装置200の動作について説明する。
なお、以下の動作は、センタ装置200で実行されるセキュリティ攻撃・分析方法を示すだけでなく、センタ装置200で実行可能なセキュリティ攻撃・分析プログラムの処理手順を示すものである。
そして、これらの処理は、図6及び図7で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
図6及び図7のフローチャートを用いて、本実施形態のセンタ装置200の動作について説明する。
なお、以下の動作は、センタ装置200で実行されるセキュリティ攻撃・分析方法を示すだけでなく、センタ装置200で実行可能なセキュリティ攻撃・分析プログラムの処理手順を示すものである。
そして、これらの処理は、図6及び図7で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
図6は、車両のログ管理装置100からセキュリティログ又は統計計算結果を受信した場合の動作である。
センタ装置200の受信部201は、特定の車両から送信されたセキュリティログ又は統計計算情報を受信する(S201)。ここで受信するセキュリティログ又は統計計算情報は、図4に示すような、特定の車両のログ管理装置100の定常的なログ収集に基づくセキュリティログ(S105)又は統計計算結果(S103)であっても、図5に示すような、センタ装置200からのアップロード要求に対して送信するセキュリティログ(S114)又は統計計算結果(S115)であってもよい。すなわち、図6のフローチャートは、図4や図5に接続されて実行される。
センタ装置200の受信部201は、特定の車両から送信されたセキュリティログ又は統計計算情報を受信する(S201)。ここで受信するセキュリティログ又は統計計算情報は、図4に示すような、特定の車両のログ管理装置100の定常的なログ収集に基づくセキュリティログ(S105)又は統計計算結果(S103)であっても、図5に示すような、センタ装置200からのアップロード要求に対して送信するセキュリティログ(S114)又は統計計算結果(S115)であってもよい。すなわち、図6のフローチャートは、図4や図5に接続されて実行される。
分析部203は、S201で受信したセキュリティログ又は統計計算情報を用いて攻撃分析を行う(S202)。攻撃分析は、車両のログ管理装置100の攻撃検知部105と同様のアルゴリズムでもよいが、更に精緻な攻撃分析を行ってもよい。攻撃分析の手法は、公知の手法を用いることができる。
分析部203は、特定の車両に対して攻撃有と判定した場合、あるいは攻撃の有無が判定できず追加分析が必要と判定した場合は(S203:Yes)、S204に処理を移す。この際、追加分析に必要な情報が、当該特定の車両からのみ必要か、又はセキュリティーホールの存在等同一車種にも危険が及んでいる場合、若しくは広く情報収集が必要な場合か、をさらに判定してもよい。分析部203は、特定の車両に対して攻撃なしと判定した場合は、処理を終了する。
分析部203は、送信部205に対して、特定の車両、又は特定の車両と同一車種の一部又は全部から情報を収集するため、アップロード要求の送信を指示する(S204)。そして、送信部205は、特定の車両、又は特定の車両と同一車種の一部又は全部に対して、アップロード要求を送信する。同一車種の送信先は、センタ装置200の保存部204に保存された車両登録データを用いることで特定することができる。
受信部201は、特定の車両である単数の車両、又は特定の車両と同一車種の一部又は全部である複数の車両からセキュリティログ又は統計計算情報を受信する。そして、分析部203はこれらの情報を用いて攻撃分析を行う(S205)。複数の車両の中には、特定の車両を含めても、含めなくてもよい。
このように、本実施形態によれば、センタ装置200で攻撃分析を行うとともに、必要な情報を広く収集して攻撃分析を行うことができる。
図7は、図6と同様、車両のログ管理装置100からセキュリティログ又は統計計算結果を受信した場合の動作である。図6と同じステップは図6の説明を引用して説明を省略する。
分析部203は、S201で特定の車両からセキュリティログを受信した場合、保存部204に対して過去に当該特定の車両から統計計算結果を受信・保存していないかを確認する(S211)。過去に受信していなければ(S211:No)、分析部203は、当該特定の車両に対して、統計計算結果の追加アップロード要求を送信するよう、送信部205に指示する。そして、送信部205は、追加アップロード要求を送信する(S212)。過去に受信していれば(S211:Yes)、処理をS202に移す。
このように、本実施形態によれば、センタ装置200で攻撃分析を行うに際し、特定の車両からの情報を十分に収集することにより、攻撃分析の精度を上げることができる。
3.その他
(1)対象ログ送信と統計計算結果の送信条件の変更
図4のS103や図5のS113で、所定の条件を攻撃検知回数やセキュリティログの数としたが、セキュリティセンサの設置場所(例えば特定のECU)やセキュリティセンサが接続されている通信バスの重要度に応じて、所定の条件を自動又は手動で設定するようにしてもよい。例えば、所定の条件としての攻撃検知の回数を設定することができるようにしてもよい。
(1)対象ログ送信と統計計算結果の送信条件の変更
図4のS103や図5のS113で、所定の条件を攻撃検知回数やセキュリティログの数としたが、セキュリティセンサの設置場所(例えば特定のECU)やセキュリティセンサが接続されている通信バスの重要度に応じて、所定の条件を自動又は手動で設定するようにしてもよい。例えば、所定の条件としての攻撃検知の回数を設定することができるようにしてもよい。
また、安全に関する情報や、位置情報などのプライバシーに関する情報について、他のログと所定の条件を変更してもよい。例えば、安全に関する情報は、所定の条件としての攻撃検知回数やセキュリティログの数を大きくすることにより、加工していない生のデータ量を大きくすることができる。また、プライバシ―に関する情報は、所定の条件として攻撃検知回数やセキュリティログの数を小さくすることにより、直接プライバシーの内容が明らかになる生のデータ量を小さくすることができる。
(2)対象ログや統計計算結果の優先順位
対象ログの送信の際、例えば、安全に関する情報や、位置情報などのプライバシーに関する情報の優先度を高くして、他のログに優先して送信するようにしてもよい。
対象ログの送信の際、例えば、安全に関する情報や、位置情報などのプライバシーに関する情報の優先度を高くして、他のログに優先して送信するようにしてもよい。
(3)別の観点での発明の把握
本開示は、以下の発明としても把握することができる。
セキュリティセンサが生成したログを受信するログ収集部(101)と、
前記ログを保存する保存部(102)と、
前記ログを外部へ送信する送信部(106)と、
複数の前記ログの統計分析を行うことで統計計算結果を求める統計分析部(104)と、を有し、
前記送信部は、所定の条件を満たす場合、前記ログに代えて前記統計計算結果を外部へ送信するログ管理装置(100)。
本開示は、以下の発明としても把握することができる。
セキュリティセンサが生成したログを受信するログ収集部(101)と、
前記ログを保存する保存部(102)と、
前記ログを外部へ送信する送信部(106)と、
複数の前記ログの統計分析を行うことで統計計算結果を求める統計分析部(104)と、を有し、
前記送信部は、所定の条件を満たす場合、前記ログに代えて前記統計計算結果を外部へ送信するログ管理装置(100)。
4.総括
以上、本発明の各実施形態におけるログ管理装置、センタ装置、及びセキュリティ攻撃検知・分析システムの特徴について説明した。
以上、本発明の各実施形態におけるログ管理装置、センタ装置、及びセキュリティ攻撃検知・分析システムの特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態は、車両に搭載される車両用のログ管理装置を前提としているが、本発明は、特許請求の範囲で特に限定する場合を除き、車両用以外の専用又は汎用のログ管理装置も含むものである。
各実施形態では、各実施形態に開示のログ管理装置を車両に搭載する前提で説明したが、歩行者が所持する前提としてもよい。
また、本発明のログ管理装置やセンタ装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
またログ管理装置やセンタ装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
本発明のセンタ装置は、各種サービスの提供を目的とするために用いられることが想定される。かかるサービスの提供に伴い、本発明のセンタ装置が使用され、本発明の方法が使用され、又は/及び本発明のプログラムが実行されることになる。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明のログ管理装置は、主として自動車に搭載される車両用の電子制御装置として説明したが、自動二輪車、電動機付自転車、鉄道はもちろん、歩行者、船舶、航空機等、移動する移動体全般に適用することが可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。
また、携帯電話やタブレット、ゲーム機等、様々な用途に用いられる装置に適用可能である。
100 ログ管理装置、101 ログ収集部、102 保存部、104 統計分析部、105 攻撃検知部、106 送信部、107 受信部、200 センタ装置、201 受信部、203 分析部、204 保存部、205 送信部
Claims (14)
- セキュリティセンサが生成したログを受信するログ収集部(101)と、
前記ログを保存する保存部(102)と、
複数の前記ログの統計分析を行うことで統計計算結果を求める統計分析部(104)と、
所定の条件に応じて、前記ログ又は前記統計計算結果を送信する送信部(106)と、を有する、
ログ管理装置(100)。 - さらに、前記ログに基づき攻撃検知を行う攻撃検知部(105)を有し、
前記統計分析部は、攻撃検知が所定の回数以上の場合に、統計分析を行うことで統計計算結果を求める、
請求項1記載のログ管理装置。 - さらに、前記ログに基づき攻撃検知を行う攻撃検知部(105)を有し、
前記所定の条件は、攻撃検知の回数である、
請求項1記載のログ管理装置。 - 前記送信部は、
前記攻撃検知が所定の回数以下の場合に、前記ログをセンタ装置に送信し、
前記攻撃検知が所定の回数以上の場合に、前記センタ装置からのアップロード要求を待って前記統計計算結果を前記センタ装置に送信する、
請求項3記載のログ管理装置。 - 前記セキュリティセンサの設置場所又は前記セキュリティセンサが接続されている通信バスの重要度に応じて、所定の条件としての攻撃検知の回数を設定することができる、
請求項3記載のログ管理装置。 - さらに、前記センタ装置から前記ログ又は前記統計計算結果のアップロードを要求するアップロード要求を受信する受信部(107)を有し、
前記所定の条件は、前記アップロード要求である、
請求項1記載のログ管理装置。 - 前記所定の条件は、前記アップロード要求に加え、前記ログの量である、
請求項6記載のログ管理装置。 - 前記送信部は、
前記ログの量が所定の数以下の場合に、前記ログをセンタ装置に送信し、
前記ログの量が所定の数以上の場合に、前記統計計算結果を前記センタ装置に送信する、
請求項7記載のログ管理装置。 - 前記送信部は、前記ログ又は前記統計計算結果が送信できない場合を経て送信可能となった場合、最新の前記アップロード要求に応じて前記ログ又は前記統計計算結果を送信する、
請求項6記載のログ管理装置。 - 当該ログ管理装置は、移動体に搭載されている、
請求項1~9いずれかに記載のログ管理装置。 - ログ管理装置で実行されるログ管理方法であって、
セキュリティセンサが生成したログを受信し、
前記ログを保存し、
複数の前記ログの統計分析を行うことで統計計算結果を求め、
所定の条件に応じて、前記ログ又は前記統計計算結果を送信する、
ログ管理方法。 - ログ管理装置で実行可能なログ管理プログラムであって、
セキュリティセンサが生成したログを受信し、
前記ログを保存し、
複数の前記ログの統計分析を行うことで統計計算結果を求め、
所定の条件に応じて、前記ログ又は前記統計計算結果を送信する、
ログ管理プログラム。 - ログ管理装置(100)及びセンタ装置(200)からなるセキュリティ攻撃検知・分析システム(1)であって、
前記ログ管理装置は、
セキュリティセンサが生成したログを受信するログ収集部(101)と、
前記ログを保存する保存部(102)と、
複数の前記ログの統計分析を行うことで統計計算結果を求める統計分析部(104)と、
所定の条件に応じて、前記ログ又は前記統計計算結果を送信する送信部(106)と、を有し、
前記センタ装置は、
前記ログ又は前記統計計算結果を受信する受信部(201)と、
前記ログ又は前記統計計算結果を分析するとともに、分析結果に基づき追加のログ又は追加の統計計算結果のアップロードを要求するアップロード要求を生成する分析部(203)と、
前記ログ管理装置に対し、前記アップロード要求を送信する送信部(205)と、を有する、
セキュリティ攻撃検知・分析システム(1)。 - 前記ログ管理装置は、移動体に搭載されており、
前記センタ装置の送信部は、前記移動体の前記ログ管理装置及び/又は同種の他の移動体に搭載されたログ管理装置対し、前記アップロード要求を送信する、
請求項13記載のセキュリティ攻撃検知・分析システム。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020120721A JP7392598B2 (ja) | 2020-07-14 | 2020-07-14 | ログ管理装置及びセキュリティ攻撃検知・分析システム |
| CN202180048919.6A CN115803737A (zh) | 2020-07-14 | 2021-06-03 | 日志管理装置以及安全攻击检测/分析系统 |
| PCT/JP2021/021285 WO2022014193A1 (ja) | 2020-07-14 | 2021-06-03 | ログ管理装置及びセキュリティ攻撃検知・分析システム |
| DE112021003762.5T DE112021003762T5 (de) | 2020-07-14 | 2021-06-03 | Protokollverwaltungsvorrichtung, Protokollverwaltungsverfahren, Protokollverwaltungsprogramm, und Sicherheitsangriff-Erfassungs- und Analysesystem |
| US18/151,680 US20230156027A1 (en) | 2020-07-14 | 2023-01-09 | Log management device, log management method, computer program product, and security attack detection and analyzing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020120721A JP7392598B2 (ja) | 2020-07-14 | 2020-07-14 | ログ管理装置及びセキュリティ攻撃検知・分析システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2022017889A true JP2022017889A (ja) | 2022-01-26 |
| JP2022017889A5 JP2022017889A5 (ja) | 2022-09-07 |
| JP7392598B2 JP7392598B2 (ja) | 2023-12-06 |
Family
ID=79555714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020120721A Active JP7392598B2 (ja) | 2020-07-14 | 2020-07-14 | ログ管理装置及びセキュリティ攻撃検知・分析システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230156027A1 (ja) |
| JP (1) | JP7392598B2 (ja) |
| CN (1) | CN115803737A (ja) |
| DE (1) | DE112021003762T5 (ja) |
| WO (1) | WO2022014193A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2024051738A (ja) * | 2022-09-30 | 2024-04-11 | 株式会社デンソー | 情報処理装置、情報処理システム、情報処理プログラム、情報処理方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010039878A (ja) | 2008-08-07 | 2010-02-18 | Hitachi Ltd | ログ管理システムおよびログ表示システム |
| JP6665503B2 (ja) | 2015-12-04 | 2020-03-13 | 株式会社Ihi | データ収集システム、データ収集装置及びデータ収集方法 |
| JP6701030B2 (ja) | 2016-08-25 | 2020-05-27 | クラリオン株式会社 | 車載装置、ログ収集システム |
| JP6492234B2 (ja) | 2016-12-06 | 2019-03-27 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 情報処理装置及び情報処理方法 |
| JP7182559B2 (ja) | 2018-04-06 | 2022-12-02 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | ログ出力方法、ログ出力装置及びプログラム |
| JP7156869B2 (ja) | 2018-09-03 | 2022-10-19 | パナソニックホールディングス株式会社 | ログ出力装置、ログ出力方法およびログ出力システム |
| JP2020120721A (ja) | 2019-01-29 | 2020-08-13 | 株式会社三共 | 遊技機 |
-
2020
- 2020-07-14 JP JP2020120721A patent/JP7392598B2/ja active Active
-
2021
- 2021-06-03 WO PCT/JP2021/021285 patent/WO2022014193A1/ja active Application Filing
- 2021-06-03 DE DE112021003762.5T patent/DE112021003762T5/de active Pending
- 2021-06-03 CN CN202180048919.6A patent/CN115803737A/zh active Pending
-
2023
- 2023-01-09 US US18/151,680 patent/US20230156027A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE112021003762T5 (de) | 2023-04-27 |
| US20230156027A1 (en) | 2023-05-18 |
| CN115803737A (zh) | 2023-03-14 |
| JP7392598B2 (ja) | 2023-12-06 |
| WO2022014193A1 (ja) | 2022-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018213846A1 (en) | Advanced wi-fi performance monitoring | |
| JP7255710B2 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
| US9402174B2 (en) | Vehicle driver identification using portable device | |
| US20210185528A1 (en) | Method for identifying terminal device and communications apparatus | |
| JP2019216412A (ja) | 車載携帯機器による注意散漫の制限 | |
| US9174648B2 (en) | System for using short text messaging for remote diagnostic | |
| WO2022014193A1 (ja) | ログ管理装置及びセキュリティ攻撃検知・分析システム | |
| US11711387B2 (en) | Security management device, security management method, and computer program executed by security management device | |
| US11373464B2 (en) | Vehicle-mounted communications device, log collection method, and log collection program | |
| JP7392586B2 (ja) | ログ送信制御装置 | |
| KR20160073990A (ko) | 이동국 지원 모드의 동작 하에서의 측정 보고 qop 검증 | |
| JP2022017995A (ja) | ログ管理装置及びセンタ装置 | |
| US11667264B2 (en) | Unauthorized intrusion prevention device, unauthorized intrusion prevention method, and unauthorized intrusion prevention program | |
| US20230007034A1 (en) | Attack analyzer, attack analysis method and attack analysis program | |
| JP2022025565A (ja) | セキュリティ監視システム | |
| JP2023006572A (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
| JP7197286B2 (ja) | 端末装置及び無線通信方法 | |
| JP2021141507A (ja) | 異常検知装置 | |
| US20240089281A1 (en) | Attack analysis device, attack analysis method, and storage medium | |
| US20240039949A1 (en) | Attack estimation verification device, attack estimation verification method, and storage medium storing attack estimation verification program | |
| JP2022017118A (ja) | ログ送信制御装置 | |
| US20240111859A1 (en) | Log determination device, log determination method, log determination program, and log determination system | |
| JP2023157723A (ja) | ログ管理装置及びログ管理分析システム | |
| EP4307609A1 (en) | System and method for decentralized intrusion detection system | |
| US20240114044A1 (en) | Log determination device, log determination method, log determination program, and log determination system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220830 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220830 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230810 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231024 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231106 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7392598 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |