JP2022140785A - 電子制御ユニット、方法およびプログラム - Google Patents

電子制御ユニット、方法およびプログラム Download PDF

Info

Publication number
JP2022140785A
JP2022140785A JP2022125365A JP2022125365A JP2022140785A JP 2022140785 A JP2022140785 A JP 2022140785A JP 2022125365 A JP2022125365 A JP 2022125365A JP 2022125365 A JP2022125365 A JP 2022125365A JP 2022140785 A JP2022140785 A JP 2022140785A
Authority
JP
Japan
Prior art keywords
message
list
received
network
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2022125365A
Other languages
English (en)
Other versions
JP7362856B2 (ja
Inventor
良太 高橋
Ryota Takahashi
崇光 佐々木
Takamitsu Sasaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JP2022140785A publication Critical patent/JP2022140785A/ja
Application granted granted Critical
Publication of JP7362856B2 publication Critical patent/JP7362856B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40117Interconnection of audio or video/imaging devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Multimedia (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)

Abstract

【課題】車載ネットワークにおける異常を容易に検知できる電子制御ユニットを提供する。【解決手段】ECU101gは、車両の所定の制御を行う処理部115と、処理部115からメッセージを取得してネットワークへ送信し、ネットワークからメッセージを受信して処理部115へ通知する通信部111と、通信部111がネットワークから受信し処理部115へ通知したメッセージのIDのリストである受信済みIDリストを保持する受信済みIDリスト保持部114と、通信部111および受信済みIDリスト保持部114を制御する制御部112と、を備え、制御部112は、通信部111がネットワークから受信したメッセージのIDが受信済みIDリストに存在しない場合に、当該IDを受信済みIDリストに追加し、通信部111が処理部115から取得したメッセージのIDが受信済みIDリストに存在する場合に、当該メッセージをネットワークへ送信しない。【選択図】図8

Description

本開示は、車載ネットワーク等で用いられる電子制御ユニット等に関する。
電子化が進んだ自動車において、電子化が進んでいない自動車と比較すると、車載ネットワークの重要性は高くなっている。自動車には各種のシステムを制御する多数の電子制御ユニット(Electronic Control Unit、以下ECUと表記する)が搭載されている。ECUは車載ネットワークに接続され、自動車の諸機能を実現するためにこの車載ネットワークを介して通信を行う。CAN(Controller Area Network)は、このような車載ネットワークの規格のひとつで、ISO11898、ISO11519において規格化され標準的な技術として多くの国および地域で採用されている。
CANのプロトコルに準拠するネットワークは1台の車上で閉じた通信経路として構築可能である。しかしながら、自動車には外部からのアクセスが可能なネットワークが構築され、搭載されるのが珍しくない。例えば車載ネットワークには、ネットワークを流れる情報を自動車に搭載された各システムの診断に利用する目的で取り出すためのポートが設置されたり、無線LANを提供する機能を備えるカーナビゲーションシステムが接続されたりしている。車載ネットワークへの外部からのアクセスが可能になることで自動車のユーザにとっての利便性は向上し得るが、その一方で脅威も増大する。
例えば、2013年には、車載ネットワークの外部からの駐車支援機能等の悪用による不正な車両制御が可能であることが実証された。また、2015年には特定の車種の遠隔からの不正制御が可能であることが実証され、この実証が発端となって当該車種のリコールに発展した。
このような外部からのアクセスによる車両の不正制御は、自動車業界にとっては看過できない問題であり、車載ネットワークのセキュリティ対策は急務な状況にある。
車載ネットワークへの攻撃の一手法としては、車載ネットワークに接続されるECUに外部からアクセスして乗っ取り、乗っ取ったECUから攻撃のためのメッセージ(以下では不正メッセージまたは異常メッセージともいう)を車載ネットワークに向けて送信させて自動車を不正に制御するものがある。
このような攻撃に対し、非特許文献1では、車載ネットワークに送信されたメッセージから不正メッセージを検知するIDS(Intrusion Detection System)ECUと呼ばれるノードを車載ネットワークに追加し、IDSECUが不正なメッセージのハッシュ値をネットワークに送信し、このハッシュ値を各ECUが送信したメッセージのハッシュ値と比較することで、不正なメッセージを送信する不正ECUを特定し、車載ネットワークから遮断する方法を開示している。
また、非特許文献2では、車載ネットワークでは同一のIDを持つメッセージを複数のECUが送信しないという前提で、各ECUが自身の送信するIDを持つメッセージを受信した際に、そのメッセージを不正メッセージとして遮断する方法を開示している。
Smart CAN cable, Another proposal of intrusion prevention system(IPS) for in-vehicle networks - LAC Co.,Ltd., Symposium on Cryptography and Information Security, 2018. A Method of Preventing Unauthorized Data Transmission in controller area network-Yokohama National University: Vehicular Technology Conference,2012
しかしながら、非特許文献1の方法では、車載ネットワーク内にIDSECUを追加するコストおよび、不正なメッセージのハッシュ値をネットワークに送ることによる、ネットワークのトラフィック量の増大が発生する。
また、非特許文献2の方法では、不正メッセージの遮断を行うためにCANコントローラーを改造する(例えば、各ECUが送信するメッセージのIDを予め記憶させておく)必要があり導入コストが大きい。
そこで、本開示では上記課題を解決するために、車載ネットワークにおける異常を容易に検知できる電子制御ユニット等を提供する。
上記課題を解決するために、本開示の一態様に係る電子制御ユニットは、車両に搭載される車載ネットワークに配置される電子制御ユニットであって、前記車載ネットワークは、前記電子制御ユニットと、複数の他の電子制御ユニットと、ネットワークから構成され、前記電子制御ユニットは、前記車両の所定の制御を行う処理部と、前記処理部からメッセージを取得して当該メッセージを前記ネットワークへ送信し、前記ネットワークからメッセージを受信して当該メッセージを前記処理部へ通知する通信部と、前記通信部が前記ネットワークから受信し前記処理部へ通知したメッセージのIDのリストである受信済みIDリストを保持する受信済みIDリスト保持部と、前記通信部および前記受信済みIDリスト保持部を制御する制御部と、を備え、前記制御部は、前記通信部が前記ネットワークから受信したメッセージのIDが前記受信済みIDリストに存在しない場合に、当該IDを前記受信済みIDリストに追加し、前記通信部が前記処理部から取得したメッセージのIDが前記受信済みIDリストに存在する場合に、当該メッセージを前記ネットワークへ送信しない。
なお、上記の包括的または具体的な態様は、システム、装置、方法、集積回路、コンピュータプログラムまたはコンピュータ読取可能な記録ディスク等の記録媒体で実現されてもよく、システム、装置、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。コンピュータ読み取り可能な記録媒体は、例えばCD-ROM(Compact Disc-Read Only Memory)等の不揮発性の記録媒体を含む。
本開示によれば、車載ネットワークにおける異常を容易に検知できる。
図1は、実施の形態1における、車載ネットワークの全体構成図である。 図2は、実施の形態1における、車載ネットワークの全体構成の変形例1を示す図である。 図3は、実施の形態1における、車載ネットワークの全体構成の変形例2を示す図である。 図4は、実施の形態1における、CANプロトコルのデータフレームフォーマットを示す図である。 図5は、実施の形態1における、車載ネットワークを構成するECUが送信するIDの仕様を示す図である。 図6は、実施の形態1における、IDSECUの構成図である。 図7は、実施の形態1における、異常検知装置の構成図である。 図8は、実施の形態1における、異常検知機能を有するECUの構成図である。 図9は、実施の形態1における、受信済みIDリストの一例を示す図である。 図10は、実施の形態1における、送信済みIDリストの一例を示す図である。 図11は、実施の形態1における、受信済みIDリストのアップデート処理のシーケンスを示す図である。 図12は、実施の形態1における、受信済みIDリストを用いた異常検知処理のシーケンスを示す図である。 図13は、実施の形態1における、送信済みIDリストのアップデート処理のシーケンスを示す図である。 図14は、実施の形態1における、送信済みIDリストを用いた異常検知処理のシーケンスを示す図である。 図15は、実施の形態1における、IDSECUが異常を検知した場合の処理シーケンスを示す図である。 図16は、実施の形態1における、異常検知装置の全体処理のフローチャートである。 図17は、実施の形態1における、受信済みIDリスト更新処理のフローチャートである。 図18は、実施の形態1における、送信済みIDリスト更新処理のフローチャートである。 図19は、実施の形態1における、受信済みIDリストによる異常検知処理のフローチャートである。 図20は、実施の形態1における、受信済みIDリストによる異常検知処理の変形例のフローチャートである。 図21は、実施の形態1における、送信済みIDリストによる異常検知処理のフローチャートである。 図22は、実施の形態1における、異常検知装置がIDSECUから異常通知を受信した場合の処理のフローチャートである。 図23は、実施の形態1における、異常検知装置の全体処理の変形例のフローチャートである。 図24は、実施の形態1における、異常検知装置の車両シャットダウン時の処理のフローチャートである。 図25は、実施の形態1における、低頻度受信済みIDの退避の処理のフローチャートである。 図26は、実施の形態1における、低頻度送信済みIDの退避の処理のフローチャートである。 図27は、実施の形態1における、異常検知装置の車両起動時の処理のフローチャートである。
本開示の異常検知装置は、複数の電子制御ユニットと、ネットワークバスと、異常検知装置から構成される車載ネットワークに配置される異常検知装置であって、前記異常検知装置は、前記ネットワークバスと前記複数の電子制御ユニットのうちのいずれかの第1電子制御ユニットの間に配置され、前記第1電子制御ユニットからメッセージを受信して当該メッセージを前記ネットワークバスへ送信し、前記ネットワークバスからメッセージを受信して当該メッセージを前記第1電子制御ユニットへ送信する通信部と、前記通信部が前記ネットワークバスから受信し前記第1電子制御ユニットへ送信したメッセージのIDのリストである受信済みIDリストを保持する受信済みIDリスト保持部と、前記通信部および前記受信済みIDリスト保持部を制御する制御部と、を備え、前記制御部は、前記通信部が前記ネットワークバスから受信したメッセージのIDが前記受信済みIDリストに存在しない場合に、当該IDを前記受信済みIDリストに追加し、前記通信部が前記第1電子制御ユニットから受信したメッセージのIDが前記受信済みIDリストに存在する場合に、当該メッセージを前記ネットワークバスへ送信しないことを特徴とする。
異常検知装置は、ネットワークバスから受信したメッセージのIDを受信済みIDリストに追加していく。つまり、異常検知装置は、複数のECUのうち、自身を介してネットワークバスと接続された第1ECU以外のECUがネットワークバスへ送信したメッセージのIDを受信済みIDリストに追加していく。一般的に、車載ネットワークにおける複数のECUのそれぞれは、同じIDを含むメッセージを送信しないという仕様になっていることが多い。この仕様のもとでは、受信済みIDリストは、第1ECUが送信しないメッセージのIDのリストとなる。これに対して、異常検知装置が第1ECUから受信したメッセージ(つまり、第1ECUが送信したメッセージ)のIDが受信済みIDリストに存在する場合、本来第1ECUが送信するはずのないメッセージを第1ECUが送信していることになる。つまり、第1ECUが異常なメッセージを送信していることがわかる。したがって、このような場合に、第1ECUからのメッセージをネットワークバスに送信しないようにすることで、異常なメッセージがネットワークバスに流れることを抑制できる。このように、車載ネットワーク内にIDSECUを追加(つまり、ネットワークトラフィックおよびコストが増大)したり、各ECUが送信するメッセージのIDを予め記憶させておいたりすることなく、車載ネットワークにおける異常を容易に検知できる。また、正規メッセージがネットワークバスに流れる前に、攻撃者が不正メッセージをネットワークバスへ送信しない限り、誤検知をすることなく異常メッセージを遮断可能である。
また例えば、前記制御部は、前記通信部が前記第1電子制御ユニットから受信したメッセージのIDが前記受信済みIDリストに存在する場合に、前記第1電子制御ユニットを前記ネットワークバスから隔離してもよい。
この場合、第1ECUが不正なECUであるため、不正なECUをネットワークバスから隔離する(例えば、第1ECUから送信される全てのメッセージを異常検知装置において遮断してネットワークバスへ送信しないようにする)ことが可能となり、異常メッセージのみを遮断する場合と比べて、車載ネットワークに不正なECUが与える影響をより軽減できる。
また例えば、前記制御部は、前記通信部が前記複数の電子制御ユニットのうちの前記第1電子制御ユニットとは異なる第2電子制御ユニットから送信された異常なIDを示す異常ID情報を前記ネットワークバスから受信した場合に、前記受信済みIDリストから前記異常ID情報が示すIDを消去してもよい。
正規メッセージがネットワークバスに流れる前に、攻撃者が不正メッセージをネットワークバスへ送信する場合が考えられる。この場合、受信済みIDリストに不正メッセージに含まれるIDが追加されることになる。例えば、正規な第1ECUが送信するメッセージに含まれるIDが不正メッセージに含まれる場合、正規な第1ECUから送信される正規メッセージが不正メッセージであると判定されてしまう。つまり、以降は、正規メッセージがネットワークバスへ送信されず、攻撃者が第1ECUになりすまして不正メッセージがネットワークバスへ送信されることになる。これに対して、第2ECUとして例えばIDSECU等が車載ネットワークに配置されることで、攻撃者が送信した不正メッセージを検知することが可能となる。したがって、正規メッセージがネットワークバスに流れる前に、攻撃者が不正メッセージをネットワークバスへ送信した場合(つまり、受信済みIDリストが汚染された場合)であっても、受信済みIDリストを修正して、受信済みIDリストに追加された不正メッセージに含まれるID(つまり第1ECUが送信するメッセージに含まれるID)を受信済みIDリストから消去することで、異常検知装置が正規メッセージを不正メッセージであると誤検知することを防止することが可能である。
また例えば、前記受信済みIDリスト保持部は、前記受信済みIDリストに含まれるID毎のメッセージ受信回数を記録する領域を持ち、前記制御部は、前記通信部が前記ネットワークバスからメッセージを受信したとき、当該メッセージのIDについて記録されるメッセージ受信回数を更新し、前記車載ネットワークを搭載した車両のシャットダウン時に、前記受信済みIDリストに含まれるIDのうち、前記受信済みIDリスト保持部に記録されたメッセージ受信回数、または、当該メッセージ受信回数に基づくメッセージ受信頻度が所定の値以下となっているIDを不揮発性メモリに退避させ、前記車両の起動時に、前記不揮発性メモリに退避させた前記IDを前記受信済みIDリストに追加してもよい。
メッセージ受信回数またはメッセージ受信頻度が所定の値以下となっているID(低頻度で受信されるメッセージに含まれるID)は、車両が起動した後、当該IDを含むメッセージがネットワークバスを流れるまでに時間を要する場合がある。つまり、当該IDを含む正規メッセージがネットワークバスを流れるまでに、攻撃者が当該IDを含む不正メッセージをネットワークバスへ送信して、受信済みIDリストに不正メッセージに含まれるIDが追加されてしまう(言い換えると、受信済みIDリストが不正なIDで汚染されてしまう)場合がある。これに対して、車両の起動時に、不揮発性メモリに退避させた低頻度で受信されるメッセージに含まれるIDを受信済みIDリストに追加することで、低頻度で受信されるメッセージが最初にネットワークバスに流れる前に攻撃者が不正メッセージを送信することによる受信済IDリストの汚染を防ぐことが可能である。また、高頻度に受信されるメッセージの含まれるIDを不揮発性メモリに退避させないことで、その分メモリ容量を削減することが可能である。
また例えば、前記制御部は、前記車両の起動時に、前回の起動時から前記第1電子制御ユニットのファームウェア情報が変更されている場合に、前記不揮発性メモリに退避させた前記IDを消去し、当該IDを前記受信済みIDリストに追加しなくてもよい。
第1ECUのファームウェアアップデートに伴い第1ECUのファームウェア情報が変更された場合、第1ECUから送信されるメッセージに含まれるIDの仕様が変更されることがある。したがって、この場合に、不揮発性メモリに退避させたIDを消去し、当該IDを受信済みIDリストに追加しないようにすることで、仕様が変更されたIDが原因で発生する正常メッセージの誤遮断を防止することが可能である。
また例えば、前記異常検知装置は、さらに、前記通信部が前記第1電子制御ユニットから受信し前記ネットワークバスへ送信したメッセージのIDのリストである送信済みIDリストを保持する送信済みIDリスト保持部を備え、前記制御部は、さらに、前記送信済みIDリスト保持部を制御し、前記通信部が前記第1電子制御ユニットから受信したメッセージのIDが前記送信済みIDリストに存在しない場合に、当該IDを前記送信済みIDリストに追加し、前記通信部が前記ネットワークバスから受信したメッセージのIDが前記送信済みIDリストに存在する場合、当該メッセージを前記第1電子制御ユニットへ送信しなくてもよい。
異常検知装置は、第1ECUから受信したメッセージのIDを送信済みIDリストに追加していく。車載ネットワークにおける複数のECUのそれぞれは、同じIDを含むメッセージを送信しないという仕様のもとでは、送信済みIDリストは、複数のECUのうちの第1ECU以外のECU等が送信しないメッセージのIDのリストとなる。これに対して、異常検知装置がネットワークバスから受信したメッセージ(つまり、第1ECU以外のECUが送信したメッセージ)のIDが送信済みIDリストに存在する場合、本来第1ECU以外のECU等が送信するはずのないメッセージを第1ECU以外のECU等が送信していることになる。つまり、第1ECU以外のECU等が異常なメッセージを送信していることがわかる。したがって、このような場合に、第1ECU以外のECU等からのメッセージを第1ECUに送信しないようにすることで、異常なメッセージが第1ECUに送信されることを抑制できる。このように車載ネットワーク内にIDSECUを追加(つまり、ネットワークトラフィックおよびコストが増大)したり、各ECUが送信するメッセージのIDを予め記憶させておいたりすることなく、車載ネットワークにおける異常を容易に検知できる。また、正規メッセージがネットワークバスに流れる前に、攻撃者が不正メッセージをネットワークバスへ送信しない限り、誤検知をすることなく異常メッセージを検知可能である。
また例えば、前記送信済みIDリスト保持部は、前記送信済みIDリストに含まれるID毎のメッセージ送信回数を記録する領域を持ち、前記制御部は、前記通信部が前記第1電子制御ユニットからメッセージを受信したときに、当該メッセージのIDについて記録されるメッセージ送信回数を更新し、前記車載ネットワークを搭載した車両のシャットダウン時に、前記送信済みIDリストに含まれるIDのうち、前記送信済みIDリスト保持部に記録されたメッセージ送信回数、または、当該メッセージ送信回数に基づくメッセージ送信頻度が所定の値以下となっているIDを不揮発性メモリに退避させ、前記車両の起動時に、前記不揮発性メモリに退避させた前記IDを前記送信済みIDリストに追加してもよい。
メッセージ送信回数またはメッセージ送信頻度が所定の値以下となっているID(低頻度で第1ECUから送信されるメッセージに含まれるID)は、車両が起動した後、当該IDを含むメッセージを異常検知装置が第1ECUから受信するまでに時間を要する場合がある。つまり、当該IDを含む正規メッセージを異常検知装置が受信するまでに、攻撃者が第1ECUを攻撃して不正な第1ECUから不正メッセージを異常検知装置へ送信して、送信済みIDリストに不正メッセージに含まれるIDが追加されてしまう(言い換えると、送信済みIDリストが不正なIDで汚染されてしまう)場合がある。これに対して、車両の起動時に、不揮発性メモリに退避させた低頻度で送信されるメッセージに含まれるIDを送信済みIDリストに追加することで、低頻度で送信されるメッセージを異常検知装置が受信する前に攻撃者が不正メッセージを送信することによる送信済IDリストの汚染を防ぐことが可能である。また、高頻度に送信されるメッセージに含まれるIDを不揮発性メモリに退避させないことで、その分メモリ容量を削減することが可能である。
また例えば、前記制御部は、前記車両の起動時に、前回の起動時から前記第1電子制御ユニットのファームウェア情報が変更されている場合に、前記不揮発性メモリに退避させた前記IDを消去し、当該IDを前記送信済みIDリストに追加しなくてもよい。
第1ECUのファームウェアアップデートに伴い第1ECUのファームウェア情報が変更された場合、第1ECUから送信されるメッセージに含まれるIDの仕様が変更されることがある。したがって、この場合に、不揮発性メモリに退避させたIDを消去し、当該IDを送信済みIDリストに追加しないようにすることで、仕様が変更されたIDによる正常メッセージの誤遮断の防止が可能である。
本開示の異常検知方法は、複数の電子制御ユニットと、ネットワークバスと、異常検知装置から構成される車載ネットワークに配置される異常検知装置により実行される異常検知方法であって、前記異常検知装置は、前記ネットワークバスと前記複数の電子制御ユニットのうちのいずれかの第1電子制御ユニットの間に配置され、前記第1電子制御ユニットからメッセージを受信して当該メッセージを前記ネットワークバスへ送信し、前記ネットワークバスからメッセージを受信して当該メッセージを前記第1電子制御ユニットへ送信する通信部と、前記通信部が前記ネットワークバスから受信し前記第1電子制御ユニットへ送信したメッセージのIDのリストである受信済みIDリストを保持する受信済みIDリスト保持部と、を備え、前記異常検知方法では、前記通信部が前記ネットワークバスから受信したメッセージのIDが前記受信済みIDリストに存在しない場合に、当該IDを前記受信済みIDリストに追加し、前記通信部が前記第1電子制御ユニットから受信したメッセージのIDが前記受信済みIDリストに存在する場合に、当該メッセージを前記ネットワークバスへ送信しないことを特徴とする。
これにより、車載ネットワークにおける異常を容易に検知できる異常検知方法を提供できる。
本開示のプログラムは、上記の異常検知方法をコンピュータに実行させるプログラムである。
これにより、車載ネットワークにおける異常を容易に検知できるプログラムを提供できる。
以下、実施の形態に係る異常検知装置について、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。したがって、以下の実施の形態で示される数値、構成要素、構成要素の配置および接続形態、並びに、ステップ(工程)およびステップの順序等は、一例であって本開示を限定するものではない。
また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。各図は模式図であり、必ずしも厳密に図示されたものではない。
また、以下に含まれるCANおよび異常検知装置に関する説明は、本開示の理解の一助を主な趣旨とするものであり、この説明のうち請求項に含まれない事項については、本開示を限定する趣旨で記載されるものではない。
(実施の形態1)
[1-1.車載ネットワーク構成]
図1は、車載ネットワーク100の全体構成図である。なお、図1には、車載ネットワーク100を搭載し車両10を示している。車両10は、その内部に車載ネットワーク100を持つ。車両10は、例えば自動車である。
車載ネットワーク100は、複数のECUと、ネットワークバスと、異常検知装置から構成される。例えば、図1に示す例では、車載ネットワーク100は、複数のECUのそれぞれに対応するように設けられた複数の異常検知装置を備える。例えば、車載ネットワーク100は、複数のECUとして、ECU101a、101b、101c、101d、101eおよび101fとバス130(ネットワークバス)と異常検知装置110a、110b、110c、110d、110eおよび110fとから構成される。ECU101aとバス130は、異常検知装置110aを間に介して接続され、通信を行う。ECU101bとバス130は、異常検知装置110bを間に介して接続され、通信を行う。ECU101cとバス130は、異常検知装置110cを間に介して接続され、通信を行う。ECU101dとバス130は、異常検知装置110dを間に介して接続され、通信を行う。ECU101eとバス130は、異常検知装置110eを間に介して接続され、通信を行う。ECU101fとバス130は、異常検知装置110fを間に介して接続され、通信を行う。例えば、異常検知装置110aに着目すると、異常検知装置110aは、バス130と複数のECUのうちのいずれかの第1ECU(ここではECU101a)の間に配置される。ECU101aがバス130へ向けてメッセージを送信する際、および、ECU101aがバス130からメッセージが受信する際に、異常検知装置110aを介してメッセージの送受信が行われる。
車載ネットワーク100では、例えばCAN(Controller Area Network)プロトコルに従って通信が行われる。
車載ネットワーク100を構成するECU101a、101b、101c、101d、101eおよび101fとしては、例えば、ステアリング、ブレーキ、エンジン、ドアまたはウィンドウ等に関連したECUがあり、これらのECUは、走行制御やインストルメントパネルの制御等の車両10の各種制御を行う。
ECUは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM(Read Only Memory)、RAM(Random Access Memory)等であり、プロセッサにより実行されるプログラムを記憶することができる。例えばプロセッサが、プログラムに従って動作することにより、ECUは各種機能を実現することになる。ECUは、例えば、CANプロトコルに従って車載ネットワークにおけるネットワークバスを介してメッセージの送受信を行う。
各ECUは、ネットワークバスに対して、CANのプロトコルに従ったメッセージを送受信する。例えば、ネットワークバスから他のECUが送信したメッセージを受信し、また、他のECUに送信したい内容を含むメッセージを生成してバスに送信する。具体的には、各ECUは、受信したメッセージの内容に応じた処理を行い、また、ECUに接続されている機器、センサ等の状態を示すメッセージもしくは他のECUへの指示値(制御値)等のメッセージを生成して送信する。
異常検知装置の詳細については後述する。
[1-2.車載ネットワーク構成(変形例1)]
図2は、車載ネットワーク100の全体構成の変形例1を示す図である。図1の車載ネットワーク100では、全てのECUに異常検知装置が接続されていたが、図2の車載ネットワーク100は、一部のECUには異常検知装置が接続されていない場合の一例である。つまり、車載ネットワーク100における複数のECUには、異常検知装置を介さずにバス130に接続されるECUが含まれていてもよい。
図2において、具体的にはECU101cおよび101eには異常検知装置が接続されずに直接バス130に接続されている。図2に示すように、異常検知装置は必ずしも全てのECUに接続する必要はない。例えば、車両の安全性に大きな影響を及ぼす可能性の高い走行制御に関わるECUとバス130との間のみに異常検知装置を接続することでコストダウンを図ってもよい。
[1-3.車載ネットワーク構成(変形例2)]
図3は、車載ネットワーク100の全体構成の変形例2を示す図であり、図1および図2の車載ネットワーク100に対して、異常検知機能を持ったノードが存在する。以後、異常検知機能を持ったノードをIDSECUとも表記する。図3において、IDSECU120は、バス130を流れるメッセージの異常検知を行い、異常を検知した際はその情報を車載ネットワーク内の異常検知装置110a、110b、110d、110fに通知する。IDSECU120を、異常検知装置を介してバス130に接続されたECU(第1ECU)と区別するために、第2ECUとも呼ぶ。
[1-4.CANメッセージのフォーマット]
図4は、CANプロトコルのデータフレームのフォーマットを示す図である。ここではCANプロトコルにおける標準IDフォーマットにおけるデータフレームを示している。データフレームは、Start Of Frame(SOF)、IDフィールド、Remote Transimission Request(RTR)、IDentifier Extension(IDE)、予約bit(r)、データレングスコード(DLC)、データフィールド、CRCシーケンス、CRCデリミタ(DEL)、Acknowledgementスロット(ACK)、ACKデリミタ(DEL)、および、エンドオブフレーム(EOF)から構成される。IDフィールドには、各ECUが送信するメッセージに固有のIDが格納される。
[1-5.ECUの送信IDの仕様]
図5は、車載ネットワーク100を構成するECUが送信するIDの仕様を示す図である。
本実施の形態の車載ネットワーク100では、図5に示すように、同じIDのメッセージを複数のECUが送信しないものとする。例えば、エンジンECUが送信する「0x13」というIDを含むメッセージを、ブレーキECUまたはドア制御ECUは送信しない。同じIDのメッセージを複数のECUが送信しない、という仕様はCANを用いた通信において一般的である。異常検知装置は、この仕様を利用することで、車載ネットワーク100における異常を容易に検知することを可能としている。
[1-6.IDSECUの構成]
図6は、IDSECU120の構成図である。IDSECU120は、CANメッセージの送受信を行う通信部121と、受信したメッセージの異常検知を行う異常検知部122を持つECUであって、複数のECUのうちの第1ECU(例えば、ECU101a、ECU101b、ECU101dおよびECU101f)とは異なる第2ECUである。
通信部121は、バス130に流れるメッセージを受信し、また、バス130に流れるメッセージに含まれる異常なIDを示す異常ID情報をバス130へ送信する。
異常検知部122は、通信部121が受信したバス130に流れるメッセージの異常検知を行う。例えば、IDSECU120は、異常を判定するための判定ルールを保持しており、異常検知部122は、バス130から受信するメッセージを判定ルールに照らし合わせることで、メッセージの異常検知を行う。具体的には、異常検知部122は、判定ルールに基づいて、バス130を流れるメッセージの送信周期に異常があったり、バス130を流れるメッセージに含まれる指示値に異常があったりした場合に、当該メッセージを異常と検知する。
IDSECU120は、通信部121で受信したメッセージを、異常検知部122で異常と検知した場合、そのメッセージに含まれる異常なIDを示す異常ID情報を通信部121からバス130を介して車載ネットワーク100内の異常検知装置(図3に示す例では、異常検知装置110a、110b、110dおよび110f)に送信する。これにより、各異常検知装置は、異常なIDを認識することができる。
[1-7.異常検知装置の構成]
図7は、異常検知装置110aの構成図である。図7には、異常検知装置110aの他に、異常検知装置110aに直接接続されたECU101aおよびバス130も示されている。本実施の形態では、複数の異常検知装置のうち異常検知装置110aに着目して説明する。
異常検知装置110aは、バス130とECU101aの間に配置される。
異常検知装置110aは、通信部111、制御部112、送信済みIDリスト保持部113および受信済みIDリスト保持部114を備える。異常検知装置110aは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置である。メモリは、ROM、RAM等であり、プロセッサにより実行されるプログラムを記憶することができる。例えば、プロセッサが、プログラムに従って動作することにより、異常検知装置110aは制御部112を実現することになる。通信部111は、例えば通信回路により実現される。送信済みIDリスト保持部113および受信済みIDリスト保持部114は、例えばメモリにより実現される。
通信部111は、ECU101aからメッセージを受信して当該メッセージをバス130へ送信し、バス130からメッセージを受信して当該メッセージをECU101aへ送信する通信回路である。通信部111は、バス130からECU101aへ送信されるメッセージおよび、ECU101aからバス130へ送信されるメッセージを中継する機能を持つ。
送信済みIDリスト保持部113は、通信部111がECU101aから受信しバス130へ送信したメッセージのIDのリストである送信済みIDリストを保持する。送信済みIDリストについては後述する。
受信済みIDリスト保持部114は、通信部111がバス130から受信しECU101aへ送信したメッセージのIDのリストである受信済みIDリストを保持する。受信済みIDリストについては後述する。
制御部112は、通信部111、送信済みIDリスト保持部113および受信済みIDリスト保持部114を制御する。制御部112は、以下の処理を行う(それぞれ詳細は後述する)。
制御部112は、通信部111がバス130から受信したメッセージのIDが受信済みIDリストに存在しない場合に、当該IDを受信済みIDリストに追加する。また、制御部112は、通信部111がECU101aから受信したメッセージのIDが受信済みIDリストに存在する場合に、当該メッセージをバス130へ送信しない。例えば、制御部112は、通信部111がECU101aから受信したメッセージのIDが受信済みIDリストに存在する場合に、ECU101aをバス130から隔離する。
また、制御部112は、通信部111が複数のECUのうちの他のECU(具体的にはIDSECU120)から送信された異常なIDを示す異常ID情報をバス130から受信した場合に、受信済みIDリストから異常ID情報が示すIDを消去する。
また、制御部112は、通信部111がバス130からメッセージを受信したとき、当該メッセージのIDについて記録されるメッセージ受信回数を更新する。また、制御部112は、車載ネットワーク100を搭載した車両10のシャットダウン時に、受信済みIDリストに含まれるIDのうち、受信済みIDリスト保持部114に記録されたメッセージ受信回数、または、当該メッセージ受信回数に基づくメッセージ受信頻度が所定の値以下となっているIDを不揮発性メモリに退避させ、車両10の起動時に、不揮発性メモリに退避させたIDを受信済みIDリストに追加する。また、制御部112は、車両10の起動時に、前回の起動時からECU101aのファームウェア情報が変更されている場合に、不揮発性メモリに退避させたIDを消去し、当該IDを受信済みIDリストに追加しない。
また、制御部112は、ECU101aから受信したメッセージのIDが送信済みIDリストに存在しない場合に、当該IDを送信済みIDリストに追加する。また、制御部112は、通信部111がバス130から受信したメッセージのIDが送信済みIDリストに存在する場合、当該メッセージをECU101aへ送信しない。
また、制御部112は、通信部111がECU101aからメッセージを受信したときに、当該メッセージのIDについて記録されるメッセージ送信回数を更新する。また、制御部112は、車載ネットワーク100を搭載した車両10のシャットダウン時に、送信済みIDリストに含まれるIDのうち、送信済みIDリスト保持部113に記録されたメッセージ送信回数、または、当該メッセージ送信回数に基づくメッセージ送信頻度が所定の値以下となっているIDを不揮発性メモリに退避させ、車両10の起動時に、不揮発性メモリに退避させたIDを送信済みIDリストに追加する。制御部112は、車両10の起動時に、前回の起動時からECU101aのファームウェア情報が変更されている場合に、不揮発性メモリに退避させたIDを消去し、当該IDを送信済みIDリストに追加しない。
なお、異常検知装置110b、110c、110d、110eおよび110fは、異常検知装置110aと同様の構成であり、異常検知装置110aと同様のことが言えるため説明は省略する。ただし、異常検知装置110b、110c、110d、110eおよび110fに接続されるECUはそれぞれECU101b、101c、101d、101eおよび101fである点が異なる。
[1-8.異常検知機能を有するECUの構成]
図8は、異常検知機能を有するECU101gの構成図である。図8において、ECU101gは、図7に示した異常検知装置110aをECUに実装した場合の構成を示している。具体的には、異常検知装置110aが有する機能を異常検知部110gとして示し、ECU101aが有する車両制御等に関する処理を行う機能をECU処理部115として示している。この場合、異常検知部110g(異常検知装置110aに対応)は、バス130とECU処理部115(ECU101aに対応)の間に配置されることになる。図8に示すように、異常検知機能はECUに直接実装されてもよい。
[1-9.受信済みIDリスト例]
図9は、受信済みIDリストの一例を示す図である。受信済みIDリストは、受信済みIDリスト保持部114に保持される。受信済みIDリスト保持部114は、異常検知装置110aに接続されたECU101aが受信したメッセージのID、受信済みIDリストに含まれるID毎のメッセージ受信回数を記録する領域を持つ。言い換えると、受信済みIDリストには、例えば、異常検知装置110aに接続されたECU101aが受信したメッセージのID、そのIDを持つメッセージの車両10の起動時からのメッセージ受信回数、および、メッセージ受信回数に基づくメッセージ受信頻度(例えば最近1分間の受信回数)が含まれる。なお、ECU101aが受信したメッセージとは、異常検知装置110aがバス130から受信して、異常検知装置110aがECU101aへ送信したメッセージのことである。制御部112は、受信済みIDリスト保持部114を制御することで、受信済みIDリストに含まれるこれらの情報を更新する。具体的には、制御部112は、通信部111がバス130からメッセージを受信して当該メッセージをECU101aへ送信したときに当該メッセージに含まれるIDを受信済みIDリストに追加する。また、制御部112は、メッセージに含まれるIDごとにメッセージをECU101aへ送信した回数を車両10の起動時からカウントすることで、IDごとにECU101aがメッセージを受信した受信回数を更新する。また、制御部112は、例えば、1分ごとに最近1分間の受信回数を更新する。
図9では、IDとして0x25、0x27、0x89のメッセージのそれぞれについて、受信回数および最近1分間の受信回数が受信済みIDリスト保持部114に保持されていることを示している。
なお、図9では最近1分間の受信回数が示されているが、最近30分間もしくは最近1時間等の受信回数、または、車両起動時からの受信回数を車両起動時間で割った回数等が保持されるように受信済みIDリスト保持部114を構成してもよい。
[1-10.送信済みIDリスト例]
図10は、送信済みIDリストの一例を示す図である。送信済みIDリストは、送信済みIDリスト保持部113に保持される。送信済みIDリスト保持部113は、異常検知装置110aに接続されたECU101aが送信したメッセージのID、送信済みIDリストに含まれるID毎のメッセージ送信回数を記録する領域を持つ。言い換えると、送信済みIDリストは、異常検知装置110aに接続されたECU101aが送信したメッセージのID、そのIDを持つメッセージの車両10の起動時からのメッセージ送信回数、および、メッセージ送信回数に基づくメッセージ送信頻度(例えば最近1分間の送信回数)が含まれる。なお、ECU101aが送信したメッセージとは、異常検知装置110aがECU101aから受信して、異常検知装置110aがバス130へ送信したメッセージのことである。制御部112は、送信済みIDリスト保持部113を制御することで、送信済みIDリストに含まれるこれらの情報を更新する。具体的には、制御部112は、通信部111がECU101aからメッセージを受信して当該メッセージをバス130へ送信したときに当該メッセージに含まれるIDを送信済みIDリストに追加する。また、制御部112は、メッセージに含まれるIDごとにメッセージをバス130へ送信した回数を車両10の起動時からカウントすることで、IDごとにECU101aがメッセージを送信した送信回数を更新する。また、制御部112は、例えば、1分ごとに最近1分間の送信回数を更新する。
図10では、IDとして0x253、0x272、0x349のメッセージのそれぞれについて、送信回数および最近1分間の送信回数が送信済みIDリスト保持部113に保持されていることを示している。
なお、図10では最近1分間の送信回数が示されているが、最近30分間または最近1時間等の送信回数等が保持されるように送信済みIDリスト保持部113を構成してもよい。
[1-11.受信済みIDリストのアップデート処理シーケンス]
図11は、受信済みIDリストのアップデート処理のシーケンスを示す図である。図11では異常検知装置110aが、受信済みIDリストに存在しないIDのメッセージをバス130から受信した場合の受信済みIDリストのアップデート処理のシーケンスの一例である。
ステップS111では、バス130から異常検知装置110aにメッセージが送信される。
ステップS112では、異常検知装置110aがバス130から受信したメッセージのIDを読み出す。
ステップS113では、異常検知装置110aは、ステップS112で読み出したIDが受信済みIDリストに存在するか否かを確認し、読み出したIDが受信済みIDリストに存在していないと判断する場合、受信済みIDリストに、読み出したIDを追加する。
ステップS114では、異常検知装置110aがバス130から受信したメッセージをECU101aに転送する。
このようにして、異常検知装置110aは、バス130から受信したメッセージのIDを受信済みIDリストに追加していく。つまり、異常検知装置110aは、複数のECUのうち、自身を介してバス130と接続されたECU101a以外のECUがバス130へ送信したメッセージのIDを受信済みIDリストに追加していく。車載ネットワーク100における複数のECUのそれぞれは、同じIDを含むメッセージを送信しないという仕様のもとでは、受信済みIDリストは、ECU101aが送信しないメッセージのIDのリストとなる。
[1-12.受信済みIDリストによる異常検知処理シーケンス]
図12は、受信済みIDリストを用いた異常検知処理のシーケンスを示す図である。図12では、受信済みIDリストにあるIDのメッセージ(つまり、ECU101aが送信しないメッセージ)をECU101aが送信した場合のシーケンスの一例である。
ステップS121では、ECU101aから異常検知装置110aにメッセージが送信される。これにより、異常検知装置110aは、ECU101aから送信されたメッセージを受信する。
ステップS122では、異常検知装置110aが受信したメッセージのIDを読み出す。
ステップS123では、異常検知装置110aは、ステップS122で読み出したIDが受信済みIDリストに存在するか否かを確認し、読み出したIDが受信済みIDリストに存在していると判断する。この場合、本来ECU101aが送信するはずのないメッセージをECU101aが送信していることになる。つまり、ECU101aが異常なメッセージを送信していることがわかる。
ステップS124では、異常検知装置110aは、ECU101aが送信したメッセージをバス130へ送信することを中止する。このような場合に、ECU101aからのメッセージをバス130に送信しないようにすることで、異常なメッセージがバス130に流れることを抑制できる。
ステップS125では、異常検知装置110aは、ECU101aが異常であることをバス130に送信し、バス130に接続されたECU101a以外の各ノードにECU101aが異常であることを通知する。例えば、ECU101aに異常があることをECU101a以外の各ノードが認識することで、各ノードは、ECU101aの機能に応じて適切な処理ができる。例えば、ECU101aが車両10の走行に関するECUである場合、各ノードは、車両10を停止させるような処理をすることができる。
ステップS126では、異常検知装置110aは、ECU101aが異常であるという通知をECU101a自身に送信する。ECU101aが自身に異常があることを認識することで、ECU101aは、ECU101aの異常の程度にもよるが、例えばフェイルセーフ機能を起動させることができる。
[1-13.送信済みIDリストのアップデート処理シーケンス]
図13は、送信済みIDリストのアップデート処理のシーケンスを示す図である。図13では、送信済みIDリストに存在しないIDを異常検知装置110aが自身に接続されたECU101aから受信した場合の送信済みIDリストのアップデート処理のシーケンスの一例である。
ステップS131では、ECU101aから異常検知装置110aへメッセージが送信される。
ステップS132では、ECU101aが送信したメッセージを異常検知装置110aが受信し、IDを読み出す。
ステップS133では、異常検知装置110aは、ステップS132で読み出したIDが送信済みIDリストに存在するか否かを確認し、読み出したIDが送信済みIDリストに存在していないと判断する場合、送信済みIDリストに、読み出したIDを追加する。
ステップS134では、異常検知装置110aがECU101aから受信したメッセージをバス130に転送する。
このようにして、異常検知装置110aは、ECU101aから受信したメッセージのIDを送信済みIDリストに追加していく。つまり、異常検知装置110aは、複数のECUのうち、自身を介してバス130と接続されたECU101aがバス130へ送信したメッセージのIDを送信済みIDリストに追加していく。車載ネットワーク100における複数のECUのそれぞれは、同じIDを含むメッセージを送信しないという仕様のもとでは、送信済みIDリストは、ECU101a以外のECU等が送信しないメッセージのIDのリストとなる。
[1-14.送信済みIDリストによる異常検知処理シーケンス]
図14は、送信済みIDリストを用いた異常検知処理のシーケンスを示す図である。図14では、送信済みIDリストに存在するIDのメッセージ(つまり、ECU101a以外のECU等が送信しないメッセージ)がバス130に送信された場合のシーケンスである。
ステップS141では、バス130から異常検知装置110aにメッセージが送信される。これにより、異常検知装置110aは、バス130からのメッセージを受信する。
ステップS142では、異常検知装置110aが受信したメッセージのIDを読み出す。
ステップS143では、異常検知装置110aは、ステップS142で読み出したIDが送信済みIDリストに存在するか否かを確認し、読み出したIDが送信済みIDリストに存在していると判断する。この場合、本来ECU101a以外のECU等が送信するはずのないメッセージをECU101a以外のECU等が送信していることになる。つまり、ECU101a以外のECU等が異常なメッセージを送信していることがわかる。
ステップS144では、異常検知装置110aは、バス130が送信したメッセージをECU101aへ送信することを中止している。このような場合に、ECU101a以外のECU等からのメッセージをECU101aに送信しないようにすることで、異常なメッセージがECU101aに送信されることを抑制できる。
ステップS145では、異常検知装置110aは、車載ネットワーク100に異常なECU等が存在することをECU101aに通知している。例えば、異常なECU等は、ECU101aが送信するメッセージに含まれるIDを使って不正メッセージを送信しているため、ECU101aになりすまそうとしている可能性がある。このため、ECU101aは、自身が有する機能に応じて適切な処理ができる。例えば、ECU101aが車両10の走行に関するECUである場合、ECU101aは、車両10を停止させるような処理をすることができる。
ステップS146では、異常検知装置110aは、車載ネットワーク100に異常なECU等が存在することをバス130に通知する。つまり、異常検知装置110aは、バス130に接続されたECU101a以外のECU101b、101c、101d、101e、101fにその旨を通知する。これにより、各ECUは、ECU101aが有する機能に応じて適切な処理ができる。
[1-15.IDSECUが異常を検知した場合のシーケンス]
図11から図14では、送信済みIDリストに含まれるIDおよび受信済みIDリストに含まれるIDが正規なIDであるとして説明した。基本的には、車両10が起動してすぐに各ECUからのメッセージの送信が開始され、送信済みIDリストおよび受信済みIDリストには、すぐに正規のIDが追加されることになるためである。
しかし、車両10が起動した後、送信済みIDリストおよび受信済みIDリストに正規のIDが追加される前に、攻撃者によって攻撃を受けて異常なIDが送信済みIDリストまたは受信済みIDリストに追加される場合も考えられる。
以下では、正規のIDが追加される前に、異常なID(例えばECU101aが送信する正規のメッセージに含まれるID)が異常検知装置110aの受信済みIDリストに追加された場合の処理について説明する。
図15は、IDSECU120が異常を検知した場合の処理のシーケンスを示す図である。図15では、図3に示すように、車載ネットワーク100にIDSECU120が存在する場合に、IDSECU120が異常を検知した場合の処理のシーケンスの一例である。IDSECU120が異常を検知した場合は、検知した異常なメッセージに含まれる異常なIDを異常検知装置110aが保持する受信済みIDリストから消去する。
ステップS151では、バス130からIDSECU120へメッセージが送信される。
ステップS152では、IDSECU120が受信したメッセージの異常判定を行い、受信したメッセージは異常と判定する。
ステップS153では、IDSECU120は、異常と判定したメッセージの異常なIDを示す異常ID情報をバス130へ送信する。
ステップS154では、バス130に送信された、IDSECU120で異常と判定されたメッセージについての異常ID情報を、バス130に接続された異常検知装置110aは受信する。なお、IDSECU120で異常と判定されたメッセージについての異常ID情報は、バス130に接続された全ての異常検知装置、すなわち、異常検知装置110a、110b、110d、110fに通知される。
ステップS155では、異常検知装置110aが受信済みIDリストから、IDSECU120で異常と判定されたメッセージのID(つまり、異常ID情報が示すID)を消去する。
このように、正規メッセージがバス130に流れる前に、攻撃者が不正メッセージをバス130へ送信した場合であっても、受信済みIDリストを修正して、受信済みIDリストに追加された不正メッセージに含まれるID(例えばECU101aが送信するメッセージに含まれるID)を受信済みIDリストから消去することで正規メッセージ(例えば正規なECU101aが送信するメッセージ)を不正メッセージであると異常検知装置110aが誤検知することを防止することが可能である。すなわち、正規なECU101aが送信するメッセージに含まれるIDが受信済みIDリストに存在しなくなるため、正規なECU101aからバス130へのメッセージの送信が可能となる。
[1-16.異常検知装置の全体処理フロー]
図16は、実施の形態1における異常検知装置110aの全体処理のフローチャートである。異常検知装置110aは、異常検知装置110aに接続されるECU101aとバス130間で送受信されるメッセージを受信し、メッセージがバス130からECU101aへ送信されたものか、ECU101aからバス130へ送信されたものかに応じて受信済みIDリストまたは送信済みIDリストの更新とメッセージの異常判定を行い、異常を検知した場合はECU101aまたはバス130へのメッセージの転送を中止する。
ステップS161では、異常検知装置110aがバス130または、異常検知装置110aに接続されたECU101aからメッセージを受信する。
ステップS162では、異常検知装置110aは、受信したメッセージがECU101aから送信されたメッセージか、バス130から送信されたメッセージかを判定する。例えば、異常検知装置110aは、ECU101aに接続された入出力端子と、バス130に接続された入出力端子を有し、どちらの入出力端子からメッセージを受信したかに応じて上記判定を行ってもよい。
ステップS163およびS164は、受信したメッセージがバス130から送信された場合(ステップS162で「バス」の場合)の処理であり、異常検知装置110aは、受信済みIDリストの更新処理および、送信済みIDリストによる異常検知処理を行う。
ステップS165およびステップS166は、受信したメッセージがECU101aから送信された場合(ステップS162で「ECU」の場合)の処理であり、異常検知装置110aは、送信済みIDリスト更新処理および、受信済みIDリストによる異常検知処理を行う。
ステップS163は、図17を用いて後述し、ステップS164は、図21を用いて後述し、ステップS165は、図18を用いて後述し、ステップS166は、図19および図20を用いて後述する。
[1-17.受信済みIDリスト更新処理フロー]
図17は、受信済みIDリスト更新処理のフローチャートである。図17は、図16のステップS163の受信済みIDリスト更新処理の詳細な処理フローである。異常検知装置110aは、バス130からメッセージが送信された際に、受信済みIDリスト保持部114に保持している受信済みIDリストを更新する。
ステップS171では、異常検知装置110aは、バス130から受信したメッセージのIDを読み出す。
ステップS172では、異常検知装置110aは、受信済みIDリストにステップS171で読み出したIDが存在するか否かを判断する。
異常検知装置110aは、受信済みIDリストに読み出したIDが存在しない場合(ステップS172でNOの場合)は、ステップS173で、受信済みIDリストに読み出したIDを追加する。異常検知装置110aは、受信済みIDリストに読み出したIDが存在する場合(ステップS172でYESの場合)は、ステップS174の処理を行う。
ステップS174では、異常検知装置110aは、読み出したIDについて、受信済みIDリスト保持部114に記録されるメッセージ受信回数をインクリメントして更新する。
[1-18.送信済みIDリスト更新処理フロー]
図18は、送信済みIDリスト更新処理のフローチャートである。図18は、図16のステップS165の送信済みIDリスト更新処理の詳細な処理フローである。異常検知装置110aは、ECU101aからメッセージが送信された際に、送信済みIDリスト保持部113に保持している送信済みIDリストを更新する。
ステップS181では、異常検知装置110aは、ECU101aから受信したメッセージのIDを読み出す。
ステップS182では、異常検知装置110aは、送信済みIDリストにステップS181で読み出したIDが存在するか否かを判断する。
異常検知装置110aは、送信済みIDリストに読み出したIDが存在しない場合(ステップS182でNOの場合)は、ステップS183で、送信済みIDリストに読み出したIDを追加する。異常検知装置110aは、送信済みIDリストに読み出したIDが存在する場合(ステップS182でYESの場合)は、ステップS184の処理を行う。
ステップS184では、異常検知装置110aは、読み出したIDについて、送信済みIDリスト保持部113に記録されるメッセージ送信回数をインクリメントして更新する。
[1-19.受信済みIDリストによる異常検知処理フロー]
図19は、受信済みIDリストによる異常検知処理のフローチャートである。図19は、図16のステップS166の受信済みIDリストによる、異常検知装置110aに接続されたECU101aの異常検知処理の詳細な処理フローである。
ステップS191では、異常検知装置110aは、ECU101aから受信したメッセージのIDを読み出す。
ステップS192では、異常検知装置110aは、読み出したIDが受信済みIDリストに存在するか否かを判断する。
異常検知装置110aは、読み出したIDが受信済みIDリストに存在する場合(ステップS192でYESの場合)、ECU101aから受信したメッセージが異常であると検知して、ステップS193、S194およびS195の処理を行う。異常検知装置110aは、読み出したIDが受信済みIDリストに存在しない場合(ステップS192でNOの場合)、ECU101aから受信したメッセージは正常であると検知して、ステップS196の処理を行う。
ステップS193では、異常検知装置110aは、受信したメッセージを破棄する。つまり、異常検知装置110aは、ECU101aから受信したメッセージをバス130へ送信しない。ECU101aからのメッセージをバス130に送信しないようにすることで、異常なメッセージがバス130に流れることを抑制できる。
ステップS194では、異常検知装置110aは、ECU101aが異常であるとバス130に通知する。
ステップS195では、異常検知装置110aは、ECU101aにECU101aが異常であると通知する。
一方で、ステップS196では、異常検知装置110aは、ECU101aから受信したメッセージは正常なため、バス130へ当該メッセージを転送する。
[1-20.受信済みIDリストによる異常検知処理フロー(変形例)]
図20は、受信済みIDリストによる異常検知処理の変形例のフローチャートである。図20は、図16のステップS166の受信済みIDリストによる異常検知処理の変形例の詳細な処理フローである。図19における受信済みIDリストによる異常検知処理では、受信したメッセージのIDが受信済みIDリストに存在する場合、異常検知装置110aは、ステップS193にて受信したメッセージを破棄しバス130に転送しないという処理を行うようにしたが、図20の変形例では、ステップS193の処理を実施せず、代わりにステップS201の処理を実施する。具体的には、異常検知装置110aは、ECU101aをバス130から隔離する。より具体的には、異常検知装置110aは、ECU101aから受信するメッセージをすべて遮断する。これにより、ECU101aをバス130から隔離し被害が拡大することを防止して、異常メッセージのみを遮断する場合と比べて、車載ネットワーク100に不正なECUが与える影響をより軽減できる。なお、例えば、異常検知装置110aとECU101aとの間に異常検知装置110aとECU101aとの接続および非接続を切り替えるスイッチが設けられていてもよく、当該スイッチの切り替えによって異常検知装置110aとECU101aと接続されないようにすることで、ECU101aをバス130から隔離してもよい。
[1-21.送信済みIDリストによる異常検知処理フロー]
図21は、送信済みIDリストによる異常検知処理のフローチャートである。図21は、図16のステップS164の送信済みIDリストによる、バス130に存在するECUの異常検知処理の詳細な処理フローである。
ステップS211では、異常検知装置110aは、バス130から受信したメッセージのIDを読み出す。
ステップS212では、異常検知装置110aは、読み出したIDが送信済みIDリストに存在するか否かを判断する。
異常検知装置110aは、読み出したIDが送信済みIDリストに存在する場合(ステップS212でYESの場合)、バス130から受信したメッセージが異常であると検知して、ステップS213、S214およびS215の処理を行う。異常検知装置110aは、読み出したIDが送信済みIDリストに存在しない場合(ステップS212でNOの場合)、バス130から受信したメッセージは正常であると検知して、ステップS216の処理を行う。
ステップS213では、異常検知装置110aは、受信したメッセージを破棄する。つまり、異常検知装置110aは、バス130から受信したメッセージをECU101aへ送信しない。バス130に存在するECUからのメッセージをECU101aに送信しないようにすることで、異常なメッセージがECU101aに送信されることを抑制できる。
ステップS214では、異常検知装置110aは、バス130に異常なECUが存在することをバス130に通知する。
ステップS215では、異常検知装置110aは、ECU101aにバス130に異常なECUが存在することを通知する。
一方で、ステップS216では、異常検知装置110aは、バス130から受信したメッセージは正常なため、ECU101aへ当該メッセージを転送する。
以上のように、車載ネットワーク100内に必ずしもIDSECU120を追加(つまり、ネットワークトラフィックおよびコストが増大)したり、各ECUが送信するメッセージのIDを予め記憶させておいたりすることなく、車載ネットワーク100における異常を容易に検知できる。
[1-22.異常検知装置がIDSECUから異常通知を受信した場合の処理フロー]
図22は、異常検知装置がIDSECU120から異常通知を受信した場合の処理のフローチャートである。なお、図22には、異常検知装置がIDSECU120から異常通知を受信する前のIDSECU120での処理(ステップS221からステップS224)についても示している。
ステップS221では、IDSECU120がバス130からメッセージを受信する。
ステップS222では、IDSECU120は受信したメッセージの異常判定を行う。
ステップS223では、ステップS222の異常判定の結果が異常か否かを判断する。IDSECU120は、異常判定の結果が異常である場合(ステップS223でYESの場合)、ステップS224の処理を行い、異常判定の結果が異常でない場合(ステップS223でNOの場合)、処理を終了する。
ステップS224では、IDSECU120は、異常と判定したメッセージに含まれる異常なIDを示す異常ID情報をバス130に接続されている異常検知装置110a、110b、110dおよび110fに通知する。ここでは、異常検知装置110aに着目して説明する。
ステップS225では、異常検知装置110aが、IDSECU120から送信された異常なIDを示す異常ID情報をバス130から受信する。異常検知装置110aは、IDSECU120から送信された異常なIDを示す異常ID情報をバス130から受信した場合に、受信済みIDリストから異常ID情報が示すIDを消去する。具体的には以下の処理が行われる。
ステップS226では、異常検知装置110aは、受信した異常ID情報が示す異常なIDが受信済みIDリストに存在するか否かを判断する。異常なIDが受信済みIDリストに存在する場合(ステップS226でYESの場合)は、異常検知装置110aは、ステップS227の処理を行い、異常なIDが受信済みIDリストに存在しない場合(ステップS226でNOの場合)は、異常検知装置110aは、処理を終了する。
ステップS227では、異常検知装置110aは、受信済みIDリストから異常なIDを消去する。
正規メッセージがバス130に流れる前に、攻撃者が不正メッセージをバス130へ送信する場合が考えられる。この場合、受信済みIDリストに不正メッセージに含まれるIDが追加されることになる。例えば、正規なECU101aが送信するメッセージに含まれるIDが不正メッセージに含まれる場合、正規なECU101aから送信される正規メッセージが不正メッセージであると判定されてしまう。つまり、以降は、正規メッセージがバス130へ送信されず、攻撃者がECU101aになりすまして不正メッセージがバス130へ送信されることになる。これに対して、上記説明のように、例えばIDSECU120が車載ネットワーク100に配置されることで、攻撃者が送信した不正メッセージを検知することが可能となる。したがって、正規メッセージがバス130に流れる前に、攻撃者が不正メッセージをバス130へ送信した場合(つまり、受信済みIDリストが汚染された場合)であっても、受信済みIDリストを修正して、受信済みIDリストに追加された不正メッセージに含まれるID(例えばECU101aが送信するメッセージに含まれるID)を受信済みIDリストから消去することで正規メッセージを不正メッセージであると異常検知装置110aが誤検知することを防止することが可能である。
[1-23.異常検知装置の全体処理フロー(変形例)]
図23は、異常検知装置110aの全体処理の変形例を記載したフローチャートである。図23は、図16の異常検知装置110aの全体処理のフローチャートの変形例である。具体的には、図23では、図16の全体処理に加えて、ステップS167の車両シャットダウン操作があるか否かの判断の処理、ステップS231の車両10の起動時の処理、および、ステップS232の車両10のシャットダウン時の処理が追加されている。
ステップS231は、後ほど図27にて詳細に説明する。
ステップS167では、異常検知装置110aは、車両シャットダウン操作があれば(ステップS167でYESの場合)、ステップS232を行い、車両シャットダウン操作がなければ(ステップS167でNOの場合)、ステップS161に戻る。ステップS232については、図24から図26にて詳細に説明する。
[1-24.車両シャットダウン時の処理フロー]
図24は、異常検知装置110aの車両シャットダウン時の処理のフローチャートである。図24は、図23のステップS232の異常検知装置110aの車両シャットダウン時の処理の詳細なフローチャートである。
ステップS241では、異常検知装置110aは、低頻度受信済みID退避処理を行う。ステップS241の処理は、図25にて詳細に説明する。
ステップS242では、異常検知装置110aは、低頻度送信済みID退避処理を行う。ステップS242の処理は、図26にて詳細に説明する。
[1-25.低頻度受信済みIDの退避処理フロー]
図25は、低頻度受信済みIDの退避の処理のフローチャートである。図25は、図24のステップS241の低頻度受信済みID退避処理の詳細な処理のフローチャートである。
ステップS251では、異常検知装置110aは、受信済みIDリストから、低頻度受信済みIDの退避の処理においてまだ選択していないIDを選択する。
ステップS252では、異常検知装置110aは、選択したIDについて、受信済みIDリスト保持部114に記録されたメッセージ受信回数に基づくメッセージ受信頻度を算出する。例えば、異常検知装置110aは、メッセージ受信回数を車両10の起動からシャットダウンまでの時間で割ることでメッセージ受信頻度を算出する。なお、異常検知装置110aは、選択したIDについて、受信済みIDリスト保持部114に記録されたメッセージ受信回数を取得してもよい。メッセージ受信回数は、例えば、シャットダウン前最近1分間、30分間または1時間等の所定の時間にECU101aがバス130からメッセージを受信した回数であってもよい。
ステップS253では、異常検知装置110aは、ステップS252で算出したメッセージ受信頻度が予め設定した所定の値以下であるか否かの判断を行う。異常検知装置110aは、メッセージ受信頻度が所定の値以下ならば(ステップS253でYESの場合)、メッセージ受信頻度が所定の値以下となっているIDを低頻度受信済みIDと判断し、ステップS254の処理を行い、メッセージ受信頻度が所定の値よりも大きいならば(ステップS253でNOの場合)、ステップS255の処理を行う。なお、異常検知装置110aは、ステップS252で、選択したIDについて、受信済みIDリスト保持部114に記録されたメッセージ受信回数を取得する場合、ステップS252で取得したメッセージ受信回数が予め設定した所定の値以下であるか否かの判断を行ってもよい。そして、異常検知装置110aは、メッセージ受信回数が所定の値以下ならば、メッセージ受信回数が所定の値以下となっているIDを低頻度受信済みIDと判断し、ステップS254の処理を行い、メッセージ受信回数が所定の値よりも大きいならば、ステップS255の処理を行う。このように、メッセージ受信回数が少なければメッセージ受信頻度も低いとみなすことで、ステップS252においてメッセージ受信回数からメッセージ受信頻度を算出せず、メッセージ受信回数を取得するだけでもよい。
ステップS254では、異常検知装置110aは、選択したIDを不揮発性メモリに退避させる。
そして、ステップS255では、異常検知装置110aは、受信済みIDリストに未選択のIDが存在するか否かを判定し、存在する場合(ステップS255でYESの場合)は、ステップS251に戻り、存在しない場合(ステップS255でNOの場合)は、処理を終了する。これにより、複数の低頻度受信済みIDを不揮発性メモリに退避することができる。
[1-26.低頻度送信済みIDの退避処理フロー]
図26は、低頻度送信済みIDの退避の処理フローチャートである。図26は、図24のステップS242の低頻度送信済みID退避処理の詳細な処理のフローチャートである。
ステップS261では、異常検知装置110aは、送信済みIDリストから、低頻度送信済みIDの退避の処理においてまだ選択していないIDを選択する。
ステップS262では、異常検知装置110aは、選択したIDについて、送信済みIDリスト保持部113に記録されたメッセージ送信回数に基づくメッセージ送信頻度を算出する。例えば、異常検知装置110aは、メッセージ送信回数を車両10の起動からシャットダウンまでの時間で割ることでメッセージ送信頻度を算出する。なお、異常検知装置110aは、選択したIDについて、送信済みIDリスト保持部113に記録されたメッセージ送信回数を取得してもよい。メッセージ送信回数は、シャットダウン前最近1分間、30分間または1時間等の所定の時間にECU101aがバス130へメッセージを送信した回数であってもよい。
ステップS263では、異常検知装置110aは、ステップS262で算出したメッセージ送信頻度が予め設定した所定の値以下であるか否かの判定を行う。異常検知装置110aは、メッセージ送信頻度が所定の値以下ならば(ステップS263でYESの場合)、メッセージ送信頻度が所定の値以下となっているIDを低頻度送信済みIDと判断し、ステップS264の処理を行い、メッセージ送信頻度が所定の値よりも大きいならば(ステップS263でNOの場合)、ステップS265の処理を行う。なお、異常検知装置110aは、ステップS262で、選択したIDについて、送信済みIDリスト保持部113に記録されたメッセージ送信回数を取得する場合、ステップS262で取得したメッセージ送信回数が予め設定した所定の値以下であるか否かの判断を行ってもよい。そして、異常検知装置110aは、メッセージ送信回数が所定の値以下ならば、メッセージ送信回数が所定の値以下となっているIDを低頻度送信済みIDと判断し、ステップS264の処理を行い、メッセージ送信回数が所定の値よりも大きいならば、ステップS265の処理を行う。このように、メッセージ送信回数が少なければメッセージ送信頻度も低いとみなすことで、異常検知装置110aは、ステップS262においてメッセージ送信回数からメッセージ送信頻度を算出せず、メッセージ送信回数を取得するだけでもよい。
ステップS264では、異常検知装置110aは、選択したIDを不揮発性メモリに退避させる。
そして、ステップS265では、異常検知装置110aは、送信済みIDリストに未選択のIDが存在するか否かを判定し、存在する場合(ステップS255でYESの場合)は、ステップS261に戻り、存在しない場合(ステップS255でNOの場合)は、処理を終了する。これにより、複数の低頻度送信済みIDを不揮発性メモリに退避することができる。
[1-27.車両起動時の処理フロー]
図27は、異常検知装置110aの車両起動時の処理のフローチャートである。図27は、図23のステップS231の異常検知装置110aの車両起動時の詳細な処理のフローチャートである。
ステップS271では、異常検知装置110aは、車両10の起動時に、異常検知装置110aに接続されたECU101aのファームウェア情報を確認する。
そして、ステップS272では、異常検知装置110aは、現在のファームウェア情報を次回の車両10の起動時に行うステップS271の処理で使用するために退避する。
次に、ステップS273では、異常検知装置110aは、前回の車両10の起動時からECU101aのファームウェア情報が変更(更新)されているか否かを判断する。ファームウェア情報が変更されている場合(ステップS273でYESの場合)は、異常検知装置110aは、ステップS274の処理を行う。ファームウェア情報が変更されていない場合(ステップS273でNOの場合)は、異常検知装置110aは、ステップS276の処理を行う。なお、車両10の初回起動時は、前回のファームウェア情報は存在しないので、ファームウェア情報が変更されていないものとして扱う。また、車両10の前回の起動時のECU101aのファームウェア情報は、前回の起動時のステップS272の処理で退避されている。つまり、車両10が起動するごとに、図27に示す処理が行われる。
ステップS274では、異常検知装置110aは、図25のステップS254にて不揮発性メモリに退避していた低頻度受信済みIDをリセットする。
さらに、ステップS275では、異常検知装置110aは、図26のステップS264にて不揮発性メモリに退避していた低頻度送信済みIDをリセットする。
ECUのファームウェアアップデートに伴いECUのファームウェア情報が変更された場合、ECUから送信されるメッセージに含まれるIDの仕様が変更されることがある。したがって、この場合に、不揮発性メモリに退避させたIDを消去し、当該IDを受信済みIDリストまたは送信済みIDリストに追加しないようにすることで、仕様が変更されたIDが原因で発生する正常メッセージの誤遮断を防止することが可能である。
ステップS276では、異常検知装置110aは、図25のステップS254にて不揮発性メモリに退避していた低頻度受信済みIDを異常検知装置110aの受信済みIDリストに読み込む。
メッセージ受信回数またはメッセージ受信頻度が所定の値以下となっているID(低頻度で受信されるメッセージに含まれるID)は、車両10が起動した後、当該IDを含むメッセージがバス130を流れるまでに時間を要する場合がある。つまり、当該IDを含む正規メッセージがバス130を流れるまでに、攻撃者が当該IDを含む不正メッセージをバス130へ送信して、受信済みIDリストに不正メッセージに含まれるIDが追加されてしまう(言い換えると、受信済みIDリストが不正なIDで汚染されてしまう)場合がある。これに対して、車両10の起動時に、不揮発性メモリに退避させた低頻度で受信されるメッセージに含まれるIDを受信済みIDリストに追加することで、低頻度で受信されるメッセージが最初にネットワークバスに流れる前に攻撃者が不正メッセージを送信することによる受信済IDリストの汚染を防ぐことが可能である。また、高頻度に受信されるメッセージの含まれるIDを不揮発性メモリに退避させないことで、その分メモリ容量を削減することが可能である。
さらに、ステップS277では、異常検知装置110aは、図26のステップS264にて不揮発性メモリに退避していた低頻度送信済みIDを異常検知装置110aの送信済みIDリストに読み込む。
メッセージ送信回数またはメッセージ送信頻度が所定の値以下となっているID(低頻度でECU101aから送信されるメッセージに含まれるID)は、車両10が起動した後、当該IDを含むメッセージを異常検知装置110aがECU101aから受信するまでに時間を要する場合がある。つまり、当該IDを含む正規メッセージを異常検知装置110aが受信するまでに、攻撃者がECU101aを攻撃して不正なECU101aから不正メッセージを異常検知装置110aへ送信して、送信済みIDリストに不正メッセージに含まれるIDが追加されてしまう(言い換えると、送信済みIDリストが不正なIDで汚染されてしまう)場合がある。これに対して、車両10の起動時に、不揮発性メモリに退避させた低頻度で送信されるメッセージに含まれるIDを送信済みIDリストに追加することで、低頻度で送信されるメッセージを異常検知装置110aが受信する前に攻撃者が不正メッセージを送信することによる送信済IDリストの汚染を防ぐことが可能である。また、高頻度に送信されるメッセージに含まれるIDを不揮発性メモリに退避させないことで、その分メモリ容量を削減することが可能である。
なお、異常検知装置110aは、車両10の起動時に、ファームウェア情報の確認を行わず、不揮発性メモリに退避させたIDを受信済みIDリストまたは送信済みIDリストに追加してもよい。つまり、車両10の起動時にステップS271からステップS275の処理が行われず、ステップS276およびステップS277の処理が行われてもよい。
(他の実施の形態)
例えば、上記実施の形態では、異常検知装置は、送信済みIDリスト保持部113を備えていたが、備えていなくてもよい。この場合、制御部112は、送信済みIDリスト保持部113に関連する制御を行わなくてもよい。
また、例えば、上記実施の形態では、異常検知装置は、受信済みIDリスト保持部114を備えていたが、備えていなくてもよい。この場合、制御部112は、受信済みIDリスト保持部114に関連する制御を行わなくてもよい。
また、例えば、上記実施の形態では、制御部112は、通信部111がECUから受信したメッセージのIDが受信済みIDリストに存在する場合に、当該ECUをバス130から隔離するとしたが、隔離しなくてもよく、当該メッセージをバス130へ送信しないようにするのみでもよい。
また、例えば、上記実施の形態では、受信済みIDリスト保持部114は、受信済みIDリストに含まれるID毎のメッセージ受信回数を記録する領域を持っているとしたが、持っていなくてもよい。この場合、制御部112は、メッセージ受信回数に関連する制御を行わなくてもよい。
また、例えば、上記実施の形態では、送信済みIDリスト保持部113は、送信済みIDリストに含まれるID毎のメッセージ送信回数を記録する領域を持っているとしたが、持っていなくてもよい。この場合、制御部112は、メッセージ送信回数に関連する制御を行わなくてもよい。
本開示の車載ネットワーク100は、典型的には上述のとおり車載のCANネットワークであるが、これに限定されない。例えば、CAN-FD(CAN with Flexible Data rate)、FlexRay(登録商標)、Ethernet(登録商標)、LIN(Local Interconnect Network)、MOST(Media Oriented Systems Transport)などのネットワークであってもよい。あるいはこれらのネットワークをサブネットワークとして、CANネットワークと組み合わせた車載ネットワークであってもよい。
また、上記実施の形態では、自動車に搭載される車載ネットワーク100におけるセキュリティ対策として説明したが、本開示の適用範囲はこれに限られない。本開示は、自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。すなわち、本開示は、モビリティネットワークおよびモビリティネットワークシステムにおけるサイバーセキュリティ対策として適用可能である。
上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニットなどから構成されるコンピュータシステムである。RAMまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
上記の実施の形態における各装置は、構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
また、上記の各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部またはすべてを含むように1チップ化されてもよい。
また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路または汎用プロセッサで実現してもよい。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。
さらには、半導体技術の進歩または派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。
上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたはモジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
本開示は、異常検知装置として実現できるだけでなく、異常検知装置を構成する各構成要素が行うステップ(処理)を含む異常検知方法として実現できる。
異常検知方法は、複数のECUと、バス130と、異常検知装置から構成される車載ネットワーク100に配置される異常検知装置により実行される異常検知方法であって、異常検知装置は、バス130と複数のECUのうちのいずれかの第1ECUの間に配置され、前記第1ECUからメッセージを受信して当該メッセージをバス130へ送信し、バス130からメッセージを受信して当該メッセージを前記第1ECUへ送信する通信部111と、通信部111がバス130から受信し前記第1ECUへ送信したメッセージのIDのリストである受信済みIDリストを保持する受信済みIDリスト保持部114と、を備え、異常検知方法では、通信部111がバス130から受信したメッセージのIDが受信済みIDリストに存在しない場合(図17のステップS172でNoの場合)に、当該IDを受信済みIDリストに追加し(図17のステップS173)、通信部111が前記第1ECUから受信したメッセージのIDが受信済みIDリストに存在する場合(図19のステップS192でYes)に、当該メッセージをバス130へ送信しない(図19のステップS193)ことを特徴とする。
また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムにしたがって動作するとしてもよい。
また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
以上、一つまたは複数の態様に係る異常検知装置などについて、実施の形態に基づいて説明したが、本開示は、この実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、および異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。
例えば、上記実施の形態において、特定の構成要素が実行する処理を特定の構成要素の代わりに別の構成要素が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。
本開示は、車載ネットワークを搭載した車両等に利用可能である。
10 車両
100 車載ネットワーク
101a、101b、101c、101d、101e、101f、101g ECU
110a、110b、110c、110d、110e、110f 異常検知装置
110g 異常検知部
111 通信部
112 制御部
113 送信済みIDリスト保持部
114 受信済みIDリスト保持部
115 ECU処理部
120 IDSECU
121 通信部
122 異常検知部
130 バス

Claims (10)

  1. 車両に搭載される車載ネットワークに配置される電子制御ユニットであって、
    前記車載ネットワークは、前記電子制御ユニットと、複数の他の電子制御ユニットと、ネットワークから構成され、
    前記電子制御ユニットは、
    前記車両の所定の制御を行う処理部と、
    前記処理部からメッセージを取得して当該メッセージを前記ネットワークへ送信し、前記ネットワークからメッセージを受信して当該メッセージを前記処理部へ通知する通信部と、
    前記通信部が前記ネットワークから受信し前記処理部へ通知したメッセージのIDのリストである受信済みIDリストを保持する受信済みIDリスト保持部と、
    前記通信部および前記受信済みIDリスト保持部を制御する制御部と、を備え、
    前記制御部は、
    前記通信部が前記ネットワークから受信したメッセージのIDが前記受信済みIDリストに存在しない場合に、当該IDを前記受信済みIDリストに追加し、
    前記通信部が前記処理部から取得したメッセージのIDが前記受信済みIDリストに存在する場合に、当該メッセージを前記ネットワークへ送信しない、
    電子制御ユニット。
  2. 前記制御部は、前記通信部が前記処理部から取得したメッセージのIDが前記受信済みIDリストに存在する場合に、前記処理部を前記ネットワークから隔離する、
    請求項1記載の電子制御ユニット。
  3. 前記制御部は、前記通信部が前記複数の他の電子制御ユニットのうちの第2電子制御ユニットから送信された異常なIDを示す異常ID情報を前記ネットワークから受信した場合に、前記受信済みIDリストから前記異常ID情報が示すIDを消去する、
    請求項1または2に記載の電子制御ユニット。
  4. 前記受信済みIDリスト保持部は、前記受信済みIDリストに含まれるID毎のメッセージ受信回数を記録する領域を持ち、
    前記制御部は、
    前記通信部が前記ネットワークからメッセージを受信したとき、当該メッセージのIDについて記録されるメッセージ受信回数を更新し、
    前記車両のシャットダウン時に、前記受信済みIDリストに含まれるIDのうち、前記受信済みIDリスト保持部に記録されたメッセージ受信回数、または、当該メッセージ受信回数に基づくメッセージ受信頻度が所定の値以下となっているIDを不揮発性メモリに退避させ、
    前記車両の起動時に、前記不揮発性メモリに退避させた前記IDを前記受信済みIDリストに追加する、
    請求項1~3のいずれか1項に記載の電子制御ユニット。
  5. 前記制御部は、前記車両の起動時に、前回の起動時から前記処理部のファームウェア情報が変更されている場合に、前記不揮発性メモリに退避させた前記IDを消去し、当該IDを前記受信済みIDリストに追加しない、
    請求項4記載の電子制御ユニット。
  6. 前記電子制御ユニットは、さらに、前記通信部が前記処理部から受信し前記ネットワークへ送信したメッセージのIDのリストである送信済みIDリストを保持する送信済みIDリスト保持部を備え、
    前記制御部は、さらに、
    前記送信済みIDリスト保持部を制御し、
    前記通信部が前記処理部から取得したメッセージのIDが前記送信済みIDリストに存在しない場合に、当該IDを前記送信済みIDリストに追加し、
    前記通信部が前記ネットワークから受信したメッセージのIDが前記送信済みIDリストに存在する場合、当該メッセージを前記処理部へ通知しない、
    請求項1~5のいずれか1項に記載の電子制御ユニット。
  7. 前記送信済みIDリスト保持部は、前記送信済みIDリストに含まれるID毎のメッセージ送信回数を記録する領域を持ち、
    前記制御部は、
    前記通信部が前記処理部からメッセージを取得したときに、当該メッセージのIDについて記録されるメッセージ送信回数を更新し、
    前記車両のシャットダウン時に、前記送信済みIDリストに含まれるIDのうち、前記送信済みIDリスト保持部に記録されたメッセージ送信回数、または、当該メッセージ送信回数に基づくメッセージ送信頻度が所定の値以下となっているIDを不揮発性メモリに退避させ、
    前記車両の起動時に、前記不揮発性メモリに退避させた前記IDを前記送信済みIDリストに追加する、
    請求項6記載の電子制御ユニット。
  8. 前記制御部は、前記車両の起動時に、前回の起動時から前記処理部のファームウェア情報が変更されている場合に、前記不揮発性メモリに退避させた前記IDを消去し、当該IDを前記送信済みIDリストに追加しない、
    請求項7記載の電子制御ユニット。
  9. 車両に搭載される車載ネットワークに配置される電子制御ユニットにより実行される方法であって、前記車載ネットワークは、前記電子制御ユニットと、複数の他の電子制御ユニットと、ネットワークから構成され、
    前記電子制御ユニットは、
    前記車両の所定の制御を行う処理部と、
    前記処理部からメッセージを取得して当該メッセージを前記ネットワークへ送信し、前記ネットワークからメッセージを受信して当該メッセージを前記処理部へ通知する通信部と、
    前記通信部が前記ネットワークから受信し前記処理部へ通知したメッセージのIDのリストである受信済みIDリストを保持する受信済みIDリスト保持部と、を備え、
    前記方法では、
    前記通信部が前記ネットワークから受信したメッセージのIDが前記受信済みIDリストに存在しない場合に、当該IDを前記受信済みIDリストに追加し、
    前記通信部が前記処理部から取得したメッセージのIDが前記受信済みIDリストに存在する場合に、当該メッセージを前記ネットワークへ送信しない、
    方法。
  10. 請求項9に記載の方法をコンピュータに実行させるプログラム。
JP2022125365A 2018-05-23 2022-08-05 電子制御ユニット、方法およびプログラム Active JP7362856B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2018098855 2018-05-23
JP2018098855 2018-05-23
PCT/JP2019/017014 WO2019225257A1 (ja) 2018-05-23 2019-04-22 異常検知装置、異常検知方法およびプログラム
JP2019537416A JP7121737B2 (ja) 2018-05-23 2019-04-22 異常検知装置、異常検知方法およびプログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2019537416A Division JP7121737B2 (ja) 2018-05-23 2019-04-22 異常検知装置、異常検知方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2022140785A true JP2022140785A (ja) 2022-09-27
JP7362856B2 JP7362856B2 (ja) 2023-10-17

Family

ID=68615624

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2019537416A Active JP7121737B2 (ja) 2018-05-23 2019-04-22 異常検知装置、異常検知方法およびプログラム
JP2022125365A Active JP7362856B2 (ja) 2018-05-23 2022-08-05 電子制御ユニット、方法およびプログラム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2019537416A Active JP7121737B2 (ja) 2018-05-23 2019-04-22 異常検知装置、異常検知方法およびプログラム

Country Status (5)

Country Link
US (2) US11575538B2 (ja)
EP (1) EP3799365B1 (ja)
JP (2) JP7121737B2 (ja)
CN (1) CN110771099B (ja)
WO (1) WO2019225257A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3668756B1 (en) 2017-08-17 2023-08-02 Red Bend Ltd. Systems and methods for disabling a malicious ecu in a controller area network (can) bus
US11870789B2 (en) * 2019-09-30 2024-01-09 Autonetworks Technologies, Ltd. Detection device, vehicle, detection method, and detection program
JP7435616B2 (ja) 2019-09-30 2024-02-21 株式会社オートネットワーク技術研究所 検知装置、車両、検知方法および検知プログラム
WO2021144858A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知システム、異常検知装置、及び異常検知方法
JP7247905B2 (ja) * 2020-01-22 2023-03-29 トヨタ自動車株式会社 第1中継装置、第2中継装置、第1中継方法、第2中継方法、第1中継プログラム、第2中継プログラム、及び中継システム
JP7449193B2 (ja) 2020-07-31 2024-03-13 日立Astemo株式会社 演算装置および車両制御装置
US11386204B2 (en) * 2020-09-24 2022-07-12 Intel Corporation Agile reconfigurable approach for real-time replacement of on-chip safety-critical modules
CN113434163B (zh) * 2021-05-24 2022-10-28 瑞浦兰钧能源股份有限公司 适用于电子控制单元的在线标定方法、系统、设备及介质
US11966503B2 (en) * 2021-09-24 2024-04-23 Intel Corporation Glitch attack mitigation for in-vehicle networks
US11820392B2 (en) * 2021-11-18 2023-11-21 GM Global Technology Operations LLC Eliminatinon of safety enable hardware through use of can transceiver wakeup functions

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5935543B2 (ja) * 2012-06-29 2016-06-15 トヨタ自動車株式会社 通信システム
WO2015008114A1 (en) * 2013-07-18 2015-01-22 Freescale Semiconductor, Inc. Illegal message destroyer
US9401923B2 (en) * 2013-10-23 2016-07-26 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
JP2015098312A (ja) * 2013-11-20 2015-05-28 トヨタ自動車株式会社 車載ネットワークシステム
EP2892202B1 (en) * 2014-01-06 2018-06-20 Argus Cyber Security Ltd. Hosted watchman
EP3852313B1 (en) * 2014-04-03 2022-06-08 Panasonic Intellectual Property Corporation of America Network communication system, fraud detection electronic control unit and anti-fraud handling method
CN106170953B (zh) * 2014-04-17 2019-10-18 松下电器(美国)知识产权公司 车载网络系统、网关装置以及不正常检测方法
EP4246893A3 (en) * 2014-04-17 2023-12-27 Panasonic Intellectual Property Corporation of America Vehicle-mounted network system, invalidity detection electronic control unit, and invalidity detection method
US9158962B1 (en) * 2014-05-07 2015-10-13 Lytx, Inc. Passive driver identification
US10165442B2 (en) 2014-05-29 2018-12-25 Panasonic Intellectual Property Management Co., Ltd. Transmission device, reception device, transmission method, and reception method
CN104301177B (zh) * 2014-10-08 2018-08-03 清华大学 Can报文异常检测方法及系统
US10083071B2 (en) * 2014-12-30 2018-09-25 Battelle Memorial Institute Temporal anomaly detection on automotive networks
US9380070B1 (en) 2015-01-20 2016-06-28 Cisco Technology, Inc. Intrusion detection mechanism
JP6573819B2 (ja) * 2015-01-20 2019-09-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム
US11252180B2 (en) * 2015-06-29 2022-02-15 Argus Cyber Security Ltd. System and method for content based anomaly detection in an in-vehicle communication network
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
JP6520515B2 (ja) 2015-07-17 2019-05-29 富士通株式会社 ネットワーク監視システム、ネットワーク監視プログラム及びネットワーク監視方法
JP6536251B2 (ja) * 2015-07-24 2019-07-03 富士通株式会社 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
JP2017050795A (ja) * 2015-09-04 2017-03-09 日立オートモティブシステムズ株式会社 自動車用電子制御装置間のデータ転送方法
US9756024B2 (en) * 2015-09-18 2017-09-05 Trillium Incorporated Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same
JP6730578B2 (ja) * 2015-11-12 2020-07-29 富士通株式会社 監視方法および監視システム
JP6566400B2 (ja) * 2015-12-14 2019-08-28 パナソニックIpマネジメント株式会社 電子制御装置、ゲートウェイ装置、及び検知プログラム
CN112437056B (zh) * 2015-12-16 2023-07-25 松下电器(美国)知识产权公司 安全处理方法以及服务器
JP6423402B2 (ja) * 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
WO2017119246A1 (ja) * 2016-01-08 2017-07-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知方法、異常検知装置及び異常検知システム
JP6839963B2 (ja) 2016-01-08 2021-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、異常検知装置及び異常検知システム
US10142358B1 (en) * 2016-02-29 2018-11-27 Symantec Corporation System and method for identifying an invalid packet on a controller area network (CAN) bus
JP6223498B2 (ja) * 2016-04-21 2017-11-01 三菱電機株式会社 ネットワークシステム
US10382196B2 (en) * 2016-04-29 2019-08-13 Olympus Sky Technologies, S.A. System and method for secure communications based on locally stored values
JP6846991B2 (ja) * 2016-07-05 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
JP6849528B2 (ja) * 2016-07-28 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
US11329953B2 (en) * 2017-03-09 2022-05-10 Argus Cyber Security Ltd. System and method for providing cyber security to an in-vehicle network
JP6494821B2 (ja) * 2017-04-07 2019-04-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
WO2018186054A1 (ja) * 2017-04-07 2018-10-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム
US20180300477A1 (en) * 2017-04-13 2018-10-18 Argus Cyber Security Ltd. In-vehicle cyber protection
WO2019021403A1 (ja) * 2017-07-26 2019-01-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 制御ネットワークシステム、車両遠隔制御システム及び車載中継装置
US10630699B2 (en) * 2017-08-14 2020-04-21 Argus Cyber Security Ltd. Automotive cybersecurity
US10931635B2 (en) * 2017-09-29 2021-02-23 Nec Corporation Host behavior and network analytics based automotive secure gateway
EP3741091B1 (en) * 2018-01-16 2022-02-02 C2A-SEC, Ltd. Intrusion anomaly monitoring in a vehicle environment
JP7247089B2 (ja) * 2018-01-22 2023-03-28 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
WO2019146976A1 (ko) * 2018-01-23 2019-08-01 현대자동차주식회사 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
WO2019191002A1 (en) * 2018-03-26 2019-10-03 Nvidia Corporation Object movement behavior learning
JP7269922B2 (ja) * 2018-05-23 2023-05-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信制御装置、モビリティネットワークシステム、通信制御方法およびプログラム

Also Published As

Publication number Publication date
US11575538B2 (en) 2023-02-07
US20230164159A1 (en) 2023-05-25
JP7362856B2 (ja) 2023-10-17
JPWO2019225257A1 (ja) 2021-04-22
CN110771099A (zh) 2020-02-07
EP3799365B1 (en) 2022-11-30
EP3799365A1 (en) 2021-03-31
WO2019225257A1 (ja) 2019-11-28
JP7121737B2 (ja) 2022-08-18
US11848755B2 (en) 2023-12-19
US20200204395A1 (en) 2020-06-25
CN110771099B (zh) 2022-08-26
EP3799365A4 (en) 2021-07-14

Similar Documents

Publication Publication Date Title
JP7121737B2 (ja) 異常検知装置、異常検知方法およびプログラム
US20210312043A1 (en) Vehicle communications bus data security
EP3659868B1 (en) Abnormality detection device, and abnormality detection method
JP6908563B2 (ja) セキュリティ処理方法及びサーバ
US20210365542A1 (en) Vehicle network system whose security is improved using message authentication code
EP3554015B1 (en) Information processing method, information processng system, and program
EP3668756B1 (en) Systems and methods for disabling a malicious ecu in a controller area network (can) bus
JP6937131B2 (ja) セキュリティ装置、攻撃検知方法及びプログラム
KR102642875B1 (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
JP2023021333A (ja) セキュリティ処理方法及びサーバ
EP3657757A1 (en) Illegality detection electronic control unit, car onboard network system, and illegality detection method
JPWO2019117184A1 (ja) 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
JP7182559B2 (ja) ログ出力方法、ログ出力装置及びプログラム
JP2014236248A (ja) 電子制御装置、電子制御システム
US20200412756A1 (en) Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium
CN112422495B (zh) 判定装置、判定系统、存储程序的存储介质以及判定方法
JP2018157339A (ja) 通信装置、および受信装置
WO2018020833A1 (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
US20240097935A1 (en) Controller area network system and a method for the system
US20220394470A1 (en) Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230926

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231004

R150 Certificate of patent or registration of utility model

Ref document number: 7362856

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150