JP2022117817A - 異常判定装置および異常判定方法 - Google Patents
異常判定装置および異常判定方法 Download PDFInfo
- Publication number
- JP2022117817A JP2022117817A JP2021014527A JP2021014527A JP2022117817A JP 2022117817 A JP2022117817 A JP 2022117817A JP 2021014527 A JP2021014527 A JP 2021014527A JP 2021014527 A JP2021014527 A JP 2021014527A JP 2022117817 A JP2022117817 A JP 2022117817A
- Authority
- JP
- Japan
- Prior art keywords
- message
- predetermined
- abnormality determination
- limit value
- elapsed time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005856 abnormality Effects 0.000 title claims abstract description 115
- 238000000034 method Methods 0.000 title claims description 28
- 230000002159 abnormal effect Effects 0.000 claims abstract description 25
- 238000004364 calculation method Methods 0.000 claims abstract description 7
- 230000000694 effects Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 abstract description 4
- 230000000737 periodic effect Effects 0.000 description 24
- 238000004891 communication Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 10
- 238000012546 transfer Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
【課題】ネットワークを経由して受信するメッセージの異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定装置等を提供する。【解決手段】異常検出装置を具体化したゲートウェイ装置100は、受信したメッセージの受信時刻を記録する受信記録部20と、受信時刻に基づきメッセージ間の経過時間を算出する経過時間算出部30と、経過時間の所定の上限値および所定の下限値、および所定の異常判定閾値を記憶する設定記憶部50と、所定の上限値/下限値/異常判定閾値に基づきメッセージの異常判定を行う判定部40と、を備え、判定部は、前回受信したメッセージからの経過時間が所定の下限値未満である場合、異常回数としてカウントアップし、前回受信したメッセージからの経過時間が所定の下限値以上所定の上限値以下である場合、異常回数をリセットし、異常回数が異常判定閾値を超える場合、受信したメッセージは異常であると判定する。【選択図】図1
Description
本発明は、ネットワーク内を流れる通信メッセージの中から不正なメッセージを検出する異常判定装置および異常判定方法に関する。
従来から、ネットワーク内を流れる通信メッセージの中から不正なメッセージを検出する技術が知られている。たとえば、特許文献1は、車載のネットワークに対して、ネットワークに繋がれた各ECUに負担をかけることなく、各ECUの動作の健全度などの状態を一括監視することにより、車載LAN全体の信頼性を引き上げることを目的とした異常監視ユニットを開示する。この異常監視ユニットは、通信線路に接続されてフレームの送受信を行う車載LAN通信手段と、該車載LAN通信手段を介して受信するフレームを該フレームに付された識別情報によって識別し、各識別情報を付されたフレームの受信周期をそれぞれ測定する周期測定手段と、当該周期測定手段によって測定された周期をその識別情報毎に監視することにより周期変動に応じて各フレームの発信元の健全度を監視する監視手段とを備える。
また、特許文献2は、車載ネットワークなどのネットワークシステムにおいて、不正なデータを侵入させて誤動作させる攻撃を検知し防御するため、ネットワークの周期情報に基づく不正の検出および不正なデータ転送の防止を目的とするネットワーク装置等を開示する。このネットワーク装置は、データを受信する通信部と、データを受信した受信時間を管理する時間管理部と、データを処理する制御部と、を有する。制御部では、基準とする受信データに対して、同じ識別子を持ち受信間隔が所定周期より短い第1のデータを受信した場合には、基準とする受信データの受信時間から所定周期経過するまでに第1のデータと同一の識別子を持つデータの受信を待ち、この間に第1のデータと同一の識別子を持つ第2のデータを受信したときに、不正が発生したと判断して周期異常検出時処理を行う。
また、特許文献3は、複数の電子制御ユニットを備える車載ネットワークに不正なフレームが繰り返し送信されたことについて報知等の対処を行う不正対処方法を開示する。この方法は、送信が開始されたフレームにおける所定フィールドの内容が、不正を示す所定条件に該当するか否かを判定する。フレームの所定フィールドの内容が所定条件に該当すると判定された場合に、フレームに含まれるIDフィールドの内容により表されるID毎に、検知回数を記録し、記録されたID毎の検知回数が所定回数を超えている場合に、報知を行う。
また、特許文献4は、車内のネットワークにおいて非周期的に送信されるメッセージの正否を判定する車載通信装置等を提供する。この車載通信装置は、周期メッセージを受信した場合に、受信周期に基づいて周期メッセージの正否を判定し、非周期メッセージを受信した場合には、正当であると判定された周期メッセージの内容に基づいて、受信した非周期メッセージの正否を判定する。この車載通信装置は、受信した非周期メッセージに対応する周期メッセージのうち、この非周期メッセージの直前に受信し、且つ、正当であると判定された周期メッセージの内容が所定条件を満たすか否かに基づいて、受信した非周期メッセージの正否を判定する。
ネットワーク内を流れる通信メッセージの中から不正なメッセージを検出する方法として、ネットワーク内の特定のユニットが周期的にメッセージを送信することを前提として、その所定周期から逸脱したメッセージを受信した場合にそのユニットに異常が発生したと判定する技術(特許文献2)や、特定のユニットからのメッセージの内容が所定条件に該当する場合にそのユニットに異常が発生したと判定する技術(特許文献3)がある。しかし、迅速な処理を要するイベントなどの場合、周期的なメッセージだけでなく、非周期的なメッセージも許容し、両者が混在するネットワークもある。また、周期的メッセージと非周期的メッセージの両方を処理する技術(特許文献4)もあるが、迅速な処理が求められる場合にはメッセージの内容に基づき判定することは遅延などの問題を生ずる場合もある。
また、最近では、特定のネットワークに対して意図的に大量のメッセージを送り付け、ネットワーク自体やそのネットワーク内のユニットに過剰な負荷をかけることで、当該ネットワークやユニットの機能を妨害する所謂DoS攻撃/DDoS攻撃を受ける場合がある。このような場合に、メッセージの異常回数の累積で異常を判定する技術(特許文献1)では攻撃時の判定が遅くなる恐れがある。特に、外部からネットワークへの入り口に位置したり、ネットワーク内でハブ的の役割を有する装置などは、通信メッセージの遅延や欠落を引き起こさないために、異常判定の負荷が小さく、簡便かつ迅速に異常判定を行うことが重要となる。
本発明は、かかる事情を鑑みて考案されたものであり、周期的メッセージと非周期的メッセージの両方が混在するネットワークにおいて、多量のメッセージを受信した場合であっても異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定装置および異常判定方法を提供するものである。
上記課題を解決するために、ネットワークを経由して受信するメッセージの異常判定を行う異常判定装置であって、受信したメッセージの受信時刻を記録する受信記録部と、受信時刻に基づきメッセージ間の経過時間を算出する経過時間算出部と、経過時間の所定の上限値および所定の下限値、および所定の異常判定閾値を記憶する設定記憶部と、所定の上限値、所定の下限値、および所定の異常判定閾値に基づきメッセージの異常判定を行う判定部と、を備え、判定部は、前回受信したメッセージからの経過時間が所定の下限値未満である場合、異常回数としてカウントアップし、前回受信したメッセージからの経過時間が所定の下限値以上所定の上限値以下である場合、異常回数をリセットし、異常回数が所定の異常判定閾値を超える場合、受信したメッセージは異常であると判定する異常判定装置が提供される。
これによれば、前回受信したメッセージからの経過時間が、下限値未満である場合に異常回数としてカウントアップし、下限値以上上限値以下である場合に異常回数をリセットし、異常回数が異常判定閾値を超える場合に受信したメッセージは異常であると判定することで、多量のメッセージを受信した場合であってもメッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定装置を提供することができる。
これによれば、前回受信したメッセージからの経過時間が、下限値未満である場合に異常回数としてカウントアップし、下限値以上上限値以下である場合に異常回数をリセットし、異常回数が異常判定閾値を超える場合に受信したメッセージは異常であると判定することで、多量のメッセージを受信した場合であってもメッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定装置を提供することができる。
さらに、判定部は、前回受信したメッセージからの経過時間が所定の上限値を超える場合、受信したメッセージは異常であると判定することを特徴としてもよい。
これによれば、受信したメッセージからの経過時間が上限値を超える場合に受信したメッセージは異常であると判定することで、そのメッセージを送信したユニット等が異常であることを迅速に判定できる。
これによれば、受信したメッセージからの経過時間が上限値を超える場合に受信したメッセージは異常であると判定することで、そのメッセージを送信したユニット等が異常であることを迅速に判定できる。
さらに、所定の異常判定閾値は、ユーザの使用状態から学習することにより設定されることを特徴としてもよい。
これによれば、異常判定閾値がユーザの使用状態から学習することにより設定されることで、当該ユーザに合った異常判定を行うことができる。
これによれば、異常判定閾値がユーザの使用状態から学習することにより設定されることで、当該ユーザに合った異常判定を行うことができる。
さらに、上記の異常判定装置であって、判定部は、前回受信したメッセージからの経過時間が所定の下限値未満であり、かつ、異常回数が所定の異常判定閾値以下である場合、または、前回受信したメッセージからの経過時間が所定の下限値以上所定の上限値以下である場合、受信したメッセージをそのまま転送し、前回受信したメッセージからの経過時間が所定の下限値未満であり、かつ、異常回数が所定の異常判定閾値を超えた場合、または、前回受信したメッセージからの経過時間が所定の上限値を超えた場合、受信したメッセージを転送せず、異常なメッセージを受信した旨のログを出力するゲートウェイ装置であることを特徴とする異常判定装置である。
これによれば、前回受信したメッセージからの経過時間が下限値未満であり、かつ、異常回数が異常判定閾値以下である場合、または、前回受信したメッセージからの経過時間が下限値以上上限値以下である場合、受信したメッセージの内容を解釈せずにそのまま転送し、前回受信したメッセージからの経過時間が下限値未満であり、かつ、異常回数が異常判定閾値を超えた場合、または、前回受信したメッセージからの経過時間が上限値を超えた場合、受信したメッセージを転送せず、異常なメッセージを受信した旨のログを出力する異常判定装置を有するゲートウェイ装置を提供することで、メッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定装置を提供することができる。
これによれば、前回受信したメッセージからの経過時間が下限値未満であり、かつ、異常回数が異常判定閾値以下である場合、または、前回受信したメッセージからの経過時間が下限値以上上限値以下である場合、受信したメッセージの内容を解釈せずにそのまま転送し、前回受信したメッセージからの経過時間が下限値未満であり、かつ、異常回数が異常判定閾値を超えた場合、または、前回受信したメッセージからの経過時間が上限値を超えた場合、受信したメッセージを転送せず、異常なメッセージを受信した旨のログを出力する異常判定装置を有するゲートウェイ装置を提供することで、メッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定装置を提供することができる。
上記課題を解決するために、ネットワークを経由して受信するメッセージの異常判定を行う異常判定方法であって、受信したメッセージの受信時刻を記録し、受信時刻に基づきメッセージ間の経過時間を算出し、前回受信したメッセージからの経過時間が所定の下限値未満である場合、異常回数としてカウントアップし、前回受信したメッセージからの経過時間が所定の下限値以上所定の上限値以下である場合、異常回数をリセットし、異常回数が所定の異常判定閾値を超える場合、受信したメッセージは異常であると判定する異常判定方法が提供される。
これによれば、前回受信したメッセージからの経過時間が、下限値未満である場合に異常回数としてカウントアップし、下限値以上上限値以下である場合に異常回数をリセットし、異常回数が異常判定閾値を超える場合に受信したメッセージは異常であると判定することで、多量のメッセージを受信した場合であってもメッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定方法を提供することができる。
これによれば、前回受信したメッセージからの経過時間が、下限値未満である場合に異常回数としてカウントアップし、下限値以上上限値以下である場合に異常回数をリセットし、異常回数が異常判定閾値を超える場合に受信したメッセージは異常であると判定することで、多量のメッセージを受信した場合であってもメッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定方法を提供することができる。
以上説明したように、本発明によれば、周期的メッセージと非周期的メッセージの両方が混在するネットワークにおいて、大量のメッセージを受信した場合であっても異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定装置および異常判定方法を提供することができる。
以下では、図面を参照しながら、本発明に係る異常判定装置を具体化したゲートウェイ装置の実施例について説明する。
<第一実施例>
図1乃至図3を参照し、本実施例におけるゲートウェイ装置100について説明する。ゲートウェイ装置100は、車載ネットワークで標準的に使用されているCAN(Controller Area Network)に接続され、様々なECU(Electronic Control Unit)と通信を行う。ゲートウェイ装置100は、一のECUから他のECUへメッセージを送信する場合、必ず当該一のECUからメッセージを受信し、必要に応じて当該他のECUへそのメッセージを転送するマルチチャンネルのゲートウェイ機能を有する。
図1乃至図3を参照し、本実施例におけるゲートウェイ装置100について説明する。ゲートウェイ装置100は、車載ネットワークで標準的に使用されているCAN(Controller Area Network)に接続され、様々なECU(Electronic Control Unit)と通信を行う。ゲートウェイ装置100は、一のECUから他のECUへメッセージを送信する場合、必ず当該一のECUからメッセージを受信し、必要に応じて当該他のECUへそのメッセージを転送するマルチチャンネルのゲートウェイ機能を有する。
たとえば、車両に対してFOBキーからロック操作が行われると、FOBキーとの通信を司る情報系のECU(たとえばユニット51)がその施錠信号を受信する。施錠信号を受信したユニット51は、ドアの開閉を制御するボディ系のECU(たとえばユニット41)に対して施錠信号を送信する。この場合、ゲートウェイ装置100は、実際には情報系ECUのユニット51からの施錠信号を含むメッセージを受信し、その後基本的にはそのメッセージをボディ系ECUのユニット41へ転送する。このように、ゲートウェイ装置100は、CANに接続されたすべてのECU間の通信を中継する機能を有している。
CANのネットワークに接続されたECUは、その種類や役割に応じて、メッセージを周期的に送信するECU、イベントが発生したときに送信するECU、およびその両方に対応したECUが存在する。たとえば、急を要さないボディ系のECUはメッセージを周期的に送信し、人が操作するFOBキーに対応する情報系のECUは、人の操作というイベントの発生に対応して送信する機能を有する。本明細書におけるCANネットワークでは、周期的メッセージと非周期的メッセージの両方が混在するネットワークを想定する。なお、CANネットワークを流れるメッセージには、発信したECUのCAN_IDが含まれている。
ゲートウェイ装置100は、受信部10と、受信記録部20と、経過時間算出部30と、判定部40と、設定記憶部50と、出力部60と、CANコントローラ70と、CANインターフェース部80と、を備え、CANネットワークを経由して受信するメッセージの異常判定を行う。CANインターフェース部80は、CANバスとのメッセージの送受信など採用されたCAN仕様に適合するCANプロトコルの送受信機能を提供する。ゲートウェイ装置100におけるCANインターフェース部80以外の機能は、CPU(Central Processing Unit)で実行される中継ソフトウェアのプログラムとして実装されている。
CANコントローラ70は、CANインターフェース部80と中継ソフトウェアを仲介し、送信データ/受信データの処理を行う。受信部10は、受信バッファを備え、CANコントローラ70を通して、正規なECUからのメッセージであることを確認後、次工程へ流すべきメッセージを受信する。出力部60は、送信バッファを備え、受信部10が受信し、中継ソフトウェアで処理したメッセージをCANコントローラ70へ出力する。なお、ゲートウェイ装置100は、CANネットワーク内でECU間で送受信されるメッセージを受信し、メッセージの内容(データ)を解釈せずにそのままCANネットワークへ転送することを主な役割としている。また、一部のデータについては解釈して、転送の有無を判断する場合もある。
受信記録部20は、受信部10で受信したメッセージの受信時刻を記録する。経過時間算出部30は、受信記録部20で記録した受信時刻に基づきメッセージ間の経過時間(差分)を算出する。たとえば、経過時間算出部30は、前回n-1時刻に受信したメッセージと今回n時刻に受信したメッセージのそれぞれの時刻から、前回メッセージを受信した時から今回メッセージを受信した時までの経過時間を算出する。なお、経過時間算出部30は、送信したECU毎(CAN_ID毎)の経過時間を算出することが好ましい。
設定記憶部50は、経過時間の所定の上限値および所定の下限値、および所定の異常判定閾値を記憶する。ECUがメッセージを周期的に送信することが規定されている場合定められた周期(たとえば、100ms)で送信することが求められるが、コリジョンが多く発生した場合などその周期で送信できない場合が生じ得る。そのような場合を考慮して、経過時間の所定の上限値とは、定められた周期より遅れるが予め定められた範囲内(たとえば、経過時間が105ms以内)であれば定められた周期で送信されたものとみなす値を示すものである。また、特定のECUからのメッセージを所定の上限値を超えても受信できない場合、そのECUの故障を推定することができる。なお、設定記憶部50は、フラッシュメモリなどの情報記憶媒体であり、書き換え可能であることが好ましい。
ECUがメッセージを周期的に送信することが規定されている場合であっても、その所定の周期を下回って受信する場合もある。その場合に厳密に異常であると判定すると、正常なメッセージを受信できない場合もあるため、経過時間の所定の下限値を定めて、その範囲内(たとえば、経過時間が95ms以内)であれば定められた周期で送信されたものとみなす。図2(A)に示すように、メッセージを周期的に送信することが規定されている場合、予め定められた判定周期から逸脱しても、前回受信から一定期間(周期の下限値~上限値)の間に受信がある場合は、ゲートウェイ装置100は、この受信メッセージを周期的なメッセージを受信したすなわち定期受信があったとみなす。逆に、ゲートウェイ装置100は、この一定期間内にメッセージを受信しない場合は周期逸脱と判定する。
また、ECUは、このような周期的なメッセージと、イベントが発生した時に送信される非周期的なメッセージとを混在させて送信する場合もある。このような場合は、イベントに基づくメッセージは、周期とは非同期に発生するため、経過時間の所定の下限値を下回ったとしても正常なメッセージとして適切に受信し処理する必要がある。しかし、正規のFOBキーやECUになりすましてCANネットワークに対して意図的に短時間に多量のメッセージを送り付け、CANネットワーク自体や他のECUに過剰な負荷をかけることにより機能不全に陥らせることを目的とした攻撃を受ける場合がある。このような場合、前回の受信からの経過時間が所定の下限値を下回るが、ゲートウェイという性格上、この様な攻撃による異常なメッセージとイベントによる正常なメッセージとを適切に迅速に判定し、異常なメッセージは他のECUに転送せず、正常なメッセージは転送する必要がある。これを、ゲートウェイ装置100は、判定部40により所定の異常判定閾値で判定する。
所定の異常判定閾値とは、前回受信したメッセージからの経過時間が下限値を下まわるメッセージを連続していくつまで許容するのか、それを超えて連続した場合には異常と判定するのかの閾値である。判定部40は、上述した所定の上限値、所定の下限値、および所定の異常判定閾値に基づきメッセージの異常判定を行う。
たとえば、図2(B)は、異常判定閾値が3である場合の例を示す。すなわち、ゲートウェイ装置100は、前回受信したメッセージからの経過時間が下限値を下まわるメッセージを連続して3つまで正常と判定するが、4つ目のメッセージを受信した場合、そのメッセージを異常と判定する。なお、CAN_IDがID000のECUからの定期受信(白色逆三角マーク)は、FOBキーから信号を受信する情報系のECUからの送信に基づき、100ms周期で行われる。
ゲートウェイ装置100は、n-1時刻の定期メッセージから100ms経過してn時刻に定期メッセージを受信した。その定期メッセージの受信後20ms経過したn+1時刻に、ゲートウェイ装置100は、CAN_IDがID000のECUからFOBキーでロック操作があったことを示す信号を内容に含むイベントのメッセージを受信した(灰色逆三角マーク)。このメッセージは、前回受信したメッセージからの経過時間が下限値を下まわる1回目のメッセージである。
さらに、そのイベントメッセージの受信後65ms経過したn+2時刻に、ゲートウェイ装置100は、同じECUからFOBキーでアンロック操作があったことを示す信号を内容に含むイベントのメッセージを受信した。このメッセージは、前回受信したメッセージからの経過時間が下限値を連続して下まわる2回目のメッセージである。さらに、そのイベントメッセージの受信後15ms経過したn+3時刻に、ゲートウェイ装置100は、同じECUから定期メッセージを受信した。このメッセージは、前回受信したメッセージからの経過時間が下限値を連続して下まわる3回目のメッセージである。
さらに、その定期メッセージの受信後20ms経過したn+4時刻に、ゲートウェイ装置100は、同じECUから何らかのイベントのメッセージを受信した。このメッセージは、前回受信したメッセージからの経過時間が下限値を連続して下まわる4回目のメッセージであり、これにより、異常判定閾値の3回を超えたため、判定部40は、外部から攻撃があったと判断し異常を検知する。
図3のフローチャートを参照し、ゲートウェイ装置100の制御フローを説明する。なお、フローチャートにおけるSはステップを示す。ゲートウェイ装置100の受信部10は、S100において、メッセージを受信したか否かを確認する。受信していない場合は処理を終了し、受信した場合は以下の処理を行う。なお、ゲートウェイ装置100は、異常判定を行うか否かのモードを有しており、そのモードが「切」である場合には、受信したメッセージはすべて他のECUへ転送し、メッセージを受信した回数はクリアする(S112)。以下は、そのモードが「入」の場合の処理である。
ゲートウェイ装置100の受信記録部20は、S102において、受信したメッセージの受信時刻を記録する。ゲートウェイ装置100の経過時間算出部30は、S104において、前回受信したメッセージの受信時刻と今回受信したメッセージの受信時刻との差分となる経過時間を算出する。判定部40は、S106において、受信したメッセージを送信したECU(CAN_ID)についての閾値(所定の上限値/下限値)を設定記憶部50から取得する。
判定部40は、S108において、経過時間と所定の上限値および下限値を比較する。経過時間が所定の下限値から上限値までの間であった場合、判定部40は、S110において、受信したメッセージを転送許可とし、出力部60はそのメッセージをCANコントローラ70に出力する。また、判定部40は、以前に下限値未満の周期異常があった場合に加算累積した周期異常回数をクリアする。経過時間が所定の上限値を超えた場合、判定部40は、S114において、送信元に異常が生じたと判断し、受信したメッセージを転送禁止とし、出力部60はそのメッセージを出力しない。また、判定部40は、以前に下限値未満の周期異常があった場合に加算累積した周期異常回数をクリアする。
経過時間が所定の下限値未満であった場合、判定部40は、S116において、周期異常回数として1回を加算する。判定部40は、S118において、受信したメッセージを送信したECU(CAN_ID)についての閾値(所定の異常判定閾値)を設定記憶部50から取得する。判定部40は、S120において、経過時間が所定の下限値未満であった場合に加算される現在の周期異常回数と取得した異常判定閾値を比較する。現在の周期異常回数が異常判定閾値以内であった場合、判定部40は、S122において、受信したメッセージを転送許可とし、出力部60はそのメッセージをCANコントローラ70に出力する。現在の周期異常回数が異常判定閾値を超えた場合、判定部40は、S124において、受信したメッセージを転送禁止とし、異常なメッセージを受信した旨を異常ログに出力する。
このように、判定部40は、前回受信したメッセージからの経過時間が下限値未満である場合、異常回数としてカウントアップし、前回受信したメッセージからの経過時間が下限値以上上限値以下である場合、異常回数をリセットし、異常回数が異常判定閾値を超える場合、受信したメッセージは異常であると判定する。これによれば、前回受信したメッセージからの経過時間が、下限値未満である場合に異常回数としてカウントアップし、下限値以上上限値以下である場合に異常回数をリセットし、異常回数が異常判定閾値を超える場合に受信したメッセージは異常であると判定することで、多量のメッセージを受信した場合であってもメッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行うゲートウェイ装置100を異常判定装置として提供することができる。
より詳細には、ゲートウェイ装置100は、前回受信したメッセージからの経過時間が下限値未満であり、かつ、異常回数が異常判定閾値以下である場合、または、前回受信したメッセージからの経過時間が下限値以上上限値以下である場合、受信したメッセージをそのまま転送し、前回受信したメッセージからの経過時間が下限値未満であり、かつ、異常回数が異常判定閾値を超えた場合、または、前回受信したメッセージからの経過時間が上限値を超えた場合、受信したメッセージを転送せず、異常なメッセージを受信した旨のログを出力するゲートウェイ機能を有する異常判定装置である。このように、経過時間が所定の下限値未満であることが所定回数を超えて連続した場合異常であると判定することで、メッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行うゲートウェイ機能を有する異常判定装置を提供することができる。
なお、判定部40は、前回受信したメッセージからの経過時間が上限値を超える場合、受信したメッセージは異常であると判定する。このように、受信したメッセージからの経過時間が上限値を超える場合に受信したメッセージは異常であると判定することで、そのメッセージを送信したユニット等が異常であることを迅速に判定できる。
上述したことは、CANネットワークを経由して受信するメッセージの異常判定を行う異常判定方法である。この方法では、受信したメッセージの受信時刻を記録し、受信時刻に基づきメッセージ間の経過時間を算出し、前回受信したメッセージからの経過時間が所定の下限値未満である場合、異常回数としてカウントアップし、前回受信したメッセージからの経過時間が所定の下限値以上所定の上限値以下である場合、異常回数をリセットし、異常回数が所定の異常判定閾値を超える場合、受信したメッセージは異常であると判定する。これによれば、前回受信したメッセージからの経過時間が、下限値未満である場合に異常回数としてカウントアップし、下限値以上上限値以下である場合に異常回数をリセットし、異常回数が異常判定閾値を超える場合に受信したメッセージは異常であると判定することで、多量のメッセージを受信した場合であってもメッセージの内容を解釈することがないので異常判定の負荷が小さく、簡便かつ迅速に異常判定を行う異常判定方法を提供することができる。
<第一実施例の変形例>
図4を参照し、本実施例の変形例のゲートウェイ装置100について説明する。判定部40は、上記と同様、所定の異常判定閾値に基づきメッセージの異常判定を行う。変形例における所定の異常判定閾値は、ユーザの使用状態から学習することにより設定される。すなわち、ゲートウェイ装置100は、日常的にユーザの操作特性に関する情報を収集し、そのユーザの操作の特徴量を機械学習などにより得て、その特徴量を異常判定閾値に反映させて設定記憶部50に記憶しておくことが好ましい。
図4を参照し、本実施例の変形例のゲートウェイ装置100について説明する。判定部40は、上記と同様、所定の異常判定閾値に基づきメッセージの異常判定を行う。変形例における所定の異常判定閾値は、ユーザの使用状態から学習することにより設定される。すなわち、ゲートウェイ装置100は、日常的にユーザの操作特性に関する情報を収集し、そのユーザの操作の特徴量を機械学習などにより得て、その特徴量を異常判定閾値に反映させて設定記憶部50に記憶しておくことが好ましい。
図4は、図2(B)と同様に、異常判定閾値が3である場合の例を示す。ゲートウェイ装置100は、n-1時刻の定期メッセージから100ms経過してn時刻に定期メッセージを受信した。その定期メッセージの受信後20ms経過したn+1時刻に、ゲートウェイ装置100は、CAN_IDがID000のECUからFOBキーでロック操作があったことを示す信号を内容に含むイベントのメッセージを受信した(灰色逆三角マーク)。このメッセージは、前回受信したメッセージからの経過時間が下限値を下まわる1回目のメッセージである。
さらに、そのイベントメッセージの受信後65ms経過したn+2時刻に、ゲートウェイ装置100は、同じECUからFOBキーでアンロック操作があったことを示す信号を内容に含むイベントのメッセージを受信した。このメッセージは、前回受信したメッセージからの経過時間が下限値を連続して下まわる2回目のメッセージである。さらに、そのイベントメッセージの受信後15ms経過したn+3時刻に、ゲートウェイ装置100は、同じECUから定期メッセージを受信した。このメッセージは、前回受信したメッセージからの経過時間が下限値を連続して下まわる3回目のメッセージである。
その後、その定期メッセージの受信後100ms経過したn+4時刻に、ゲートウェイ装置100は、同じECUから定期のメッセージを受信した。この定期受信は、前回受信したメッセージからの経過時間が下限値以上で行われたので、周期異常回数がゼロにクリアされ、この定期メッセージは他のECUに転送される。この例のように、このユーザはロック操作の直後にアンロック操作を行うことがよくあるため、ゲートウェイ装置100は、学習により、定期メッセージを含めて下限値未満の経過時間で連続3回まで受信することがよくあると想定して異常判定閾値を設定する。このように、異常判定閾値がユーザの使用状態から学習することにより設定されることで、当該ユーザに合った異常判定を行うことができる。
なお、本発明は、例示した実施例に限定するものではなく、特許請求の範囲の各項に記載された内容から逸脱しない範囲の構成による実施が可能である。すなわち、本発明は、主に特定の実施形態に関して特に図示され、かつ説明されているが、本発明の技術的思想および目的の範囲から逸脱することなく、以上述べた実施形態に対し、数量、その他の詳細な構成において、当業者が様々な変形を加えることができるものである。
100 ゲートウェイ装置(異常判定装置)
10 受信部
20 受信記録部
30 経過時間算出部
40 判定部
50 設定記憶部
60 出力部
70 CANコントローラ
80 CANインターフェース部
10 受信部
20 受信記録部
30 経過時間算出部
40 判定部
50 設定記憶部
60 出力部
70 CANコントローラ
80 CANインターフェース部
Claims (5)
- ネットワークを経由して受信するメッセージの異常判定を行う異常判定装置であって、
受信したメッセージの受信時刻を記録する受信記録部と、
前記受信時刻に基づきメッセージ間の経過時間を算出する経過時間算出部と、
前記経過時間の所定の上限値および所定の下限値、および所定の異常判定閾値を記憶する設定記憶部と、
前記所定の上限値、前記所定の下限値、および前記所定の異常判定閾値に基づきメッセージの異常判定を行う判定部と、
を備え、
前記判定部は、
前回受信したメッセージからの前記経過時間が前記所定の下限値未満である場合、異常回数としてカウントアップし、
前回受信したメッセージからの前記経過時間が前記所定の下限値以上前記所定の上限値以下である場合、前記異常回数をリセットし、
前記異常回数が前記所定の異常判定閾値を超える場合、受信したメッセージは異常であると判定する、
異常判定装置。 - 前記判定部は、前回受信したメッセージからの前記経過時間が前記所定の上限値を超える場合、受信したメッセージは異常であると判定することを特徴とする請求項1に記載の異常判定装置。
- 前記所定の異常判定閾値は、ユーザの使用状態から学習することにより設定されることを特徴とする請求項1乃至2のいずれかに記載の異常判定装置。
- 請求項1乃至請求項3のいずれかに記載の異常判定装置であって、
前記判定部は、
前回受信したメッセージからの前記経過時間が前記所定の下限値未満であり、かつ、前記異常回数が前記所定の異常判定閾値以下である場合、または、前回受信したメッセージからの前記経過時間が前記所定の下限値以上前記所定の上限値以下である場合、受信したメッセージをそのまま転送し、
前回受信したメッセージからの前記経過時間が前記所定の下限値未満であり、かつ、前記異常回数が前記所定の異常判定閾値を超えた場合、または、前回受信したメッセージからの前記経過時間が前記所定の上限値を超えた場合、受信したメッセージを転送せず、異常なメッセージを受信した旨のログを出力する、
ゲートウェイ装置であることを特徴とする異常判定装置。 - ネットワークを経由して受信するメッセージの異常判定を行う異常判定方法であって、
受信したメッセージの受信時刻を記録し、
前記受信時刻に基づきメッセージ間の経過時間を算出し、
前回受信したメッセージからの前記経過時間が所定の下限値未満である場合、異常回数としてカウントアップし、
前回受信したメッセージからの前記経過時間が所定の下限値以上所定の上限値以下である場合、前記異常回数をリセットし、
前記異常回数が所定の異常判定閾値を超える場合、受信したメッセージは異常であると判定する、
異常判定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021014527A JP2022117817A (ja) | 2021-02-01 | 2021-02-01 | 異常判定装置および異常判定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021014527A JP2022117817A (ja) | 2021-02-01 | 2021-02-01 | 異常判定装置および異常判定方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2022117817A true JP2022117817A (ja) | 2022-08-12 |
Family
ID=82750589
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021014527A Pending JP2022117817A (ja) | 2021-02-01 | 2021-02-01 | 異常判定装置および異常判定方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2022117817A (ja) |
-
2021
- 2021-02-01 JP JP2021014527A patent/JP2022117817A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11411681B2 (en) | In-vehicle information processing for unauthorized data | |
| KR102030397B1 (ko) | 네트워크 감시 장치 | |
| KR101853676B1 (ko) | 차량 침입 탐지 장치 및 방법 | |
| US11863569B2 (en) | Bus-off attack prevention circuit | |
| US20110035180A1 (en) | Diagnostic apparatus and system adapted to diagnose occurrence of communication error | |
| JP6521346B2 (ja) | 通信システム | |
| KR20140118494A (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
| WO2017038422A1 (ja) | 通信装置 | |
| EP3758302A1 (en) | Abnormality detection device | |
| US20230109507A1 (en) | System and Method for Detecting Intrusion Into In-Vehicle Network | |
| CN111066001A (zh) | 日志输出方法、日志输出装置以及程序 | |
| CN110546921A (zh) | 不正当检测方法、不正当检测装置以及程序 | |
| JP6828632B2 (ja) | 検知装置、検知方法および検知プログラム | |
| JPWO2019087858A1 (ja) | 攻撃通信検出装置、攻撃通信検出方法、プログラム | |
| US10223319B2 (en) | Communication load determining apparatus | |
| JP2022117817A (ja) | 異常判定装置および異常判定方法 | |
| CN113169966A (zh) | 用于监控数据传输系统的方法、数据传输系统和机动车 | |
| CN113328983B (zh) | 非法信号检测装置 | |
| EP4106278A1 (en) | System and method for detecting intrusion into in-vehicle network | |
| JP3850841B2 (ja) | データパケットの安全送信の監視方法および装置 | |
| WO2022270240A1 (ja) | 車載装置、検知装置、送信制御方法および検知方法 | |
| WO2021024786A1 (ja) | 情報処理装置および正規通信判定方法 | |
| JP2006254287A (ja) | 異常検出装置 | |
| JP2021072586A (ja) | 不正接続検知装置、不正接続検知システム、および不正接続検知方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240112 |