JP6628005B1 - データ通信制御装置、データ通信制御プログラムおよび車両制御システム - Google Patents
データ通信制御装置、データ通信制御プログラムおよび車両制御システム Download PDFInfo
- Publication number
- JP6628005B1 JP6628005B1 JP2019516551A JP2019516551A JP6628005B1 JP 6628005 B1 JP6628005 B1 JP 6628005B1 JP 2019516551 A JP2019516551 A JP 2019516551A JP 2019516551 A JP2019516551 A JP 2019516551A JP 6628005 B1 JP6628005 B1 JP 6628005B1
- Authority
- JP
- Japan
- Prior art keywords
- data
- discard
- attack
- information
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 137
- 230000005540 biological transmission Effects 0.000 claims description 152
- 230000002159 abnormal effect Effects 0.000 claims description 24
- 238000013500 data storage Methods 0.000 claims description 17
- 230000007257 malfunction Effects 0.000 claims description 8
- 239000002699 waste material Substances 0.000 claims description 5
- 230000006378 damage Effects 0.000 abstract 2
- 230000006870 function Effects 0.000 description 46
- 238000001514 detection method Methods 0.000 description 40
- 238000000034 method Methods 0.000 description 21
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 11
- 238000004088 simulation Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 6
- 239000000284 extract Substances 0.000 description 6
- 230000007547 defect Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000009474 immediate action Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
攻撃データ送信機器は、車載装置に異常な動作を起こさせるデータ(以下、攻撃データという)として、本来の車両の状態量または制御対象の車載装置の本来の状態量と異なる状態量を示す異常なデータを生成し、ECUへ送信する。また、本来のユーザの操作量と異なる操作量を示す異常なデータを生成し、ECUへ送信する。攻撃データを受信したECUはこの攻撃データに基づいて異常な制御信号を生成し、車載装置は、異常な制御信号に基づいて異常な動作を行う。
この攻撃データ廃棄装置を用いて攻撃データを検知および廃棄した場合、当該攻撃データが用いられることによる車載装置の異常な動作を防止することはできる。しかし、攻撃データを廃棄したとしても、ECUは、本来、攻撃データ送信機器から送信されるべきであった正常なデータを受信できるわけではなく、正常なデータを受信できないことによって車載装置に対する適切な制御が行えない場合がある。
またECUは、適切に制御が行えなかった車載装置の状態量を示すデータを生成し、他のECUへ送信する。他のECUは、当該データを用いて他の車載装置を制御するため、他の車載装置もまた、適切な制御が行えない場合がある。
よって、攻撃データが検知された場合に、上記対応関係に基づいて第1廃棄候補データを特定し、廃棄するように決定および指示することによって、車両の制御に不具合を生じさせる可能性を低減することが可能となる。
以下、図1から図7を参照し、本発明の実施の形態1について説明する。
図1は、本発明の実施の形態1に係る車両制御システム100の構成を示すブロック図である。まず車両制御システム100の概要を説明し、その後、車両制御システム100に含まれる各構成要素について説明する。
上記のように、車両制御システム100は、各ECU4が制御に必要なデータを送受信して個々に車載装置の制御を行うことにより、車両全体の制御を行っている。
当該データの具体例として、車速のデータ、エンジンの回転数のデータ、車輪の操舵角のデータおよび車内温度のデータなどがある。また、車両前方に向けて送信された超音波の反射波に関するデータおよび車両の位置座標のデータなどがある。
ユーザの操作量を示すデータは、ユーザが車両を操作した場合の操作量を示すデータであり、例えばハンドルの回転角を示すデータ、アクセルの踏み込み量を示すデータおよびエアコンの設定温度のデータなどがある。
また、これらのデータは、センサ5やECU4によって生成され、車載ネットワークに送信されるものである。例えば、センサ5が測定した状態量を示すデータ(測定データ)がある。また測定データに基づいてECU4が算出した状態量を示すデータがある。さらに、特定の車載装置を制御するECU4が生成する当該車載装置の状態量を示すデータがある。
以上のような車両の状態量を示すデータおよび操作量を示すデータは、車載ネットワークで送信され車両の制御に用いられるデータであり、これらをまとめてデータ群と呼ぶ。
上記の攻撃は、ECU4またはセンサ5のプログラムを不正なプログラムに書き換えることにより行われる。不正にプログラムを書き換えられたECU4またはセンサ5(攻撃データ送信機器)は、車載装置に異常な動作を起こさせるための攻撃データを生成し、制御機器へ送信する。制御機器は攻撃データを用いて、車載装置を制御するための異常な制御信号を生成し、車載装置は異常な制御信号に基づいて異常な動作を行う。
また上記の攻撃の他の態様として、車両制御システム100が外部との通信が可能なものである場合、外部より攻撃データを送信することにより、制御機器に異常な制御信号を生成させ、車載装置に異常な動作を行わせる場合もある。
攻撃データは、車載装置に異常な動作を起こさせるためものであるから、攻撃対象とする車載装置に接続されたECU4で受信されるものであることが必要である。そのため、攻撃データの識別子およびデータ長などには、正常なデータと同様のものが用いられる。一方、攻撃データが示す車両の状態量またはユーザの操作量には、正常な状態量または操作量とは異なるものが用いられる。
攻撃検知装置2は、攻撃データ送信機器または外部から送信された攻撃データを検知すると、車載ネットワークで送信され車両の制御に用いられるデータ群の中から攻撃データを識別するための情報である攻撃データ識別情報を、攻撃データから抽出し、ブリッジ3を介して、データ通信制御装置1へ送信する。
データ通信制御装置1は、攻撃データ識別情報を取得し、攻撃データを廃棄することに伴い車載装置の制御に不具合を生じさせるデータを廃棄するように決定し、当該データを廃棄する指示をブリッジ3へ送信する。
上記のようにデータ通信制御装置1および攻撃検知装置2が機能することにより、車両制御システム100は、車両の動作を不安定にするような攻撃に対処している。
図1に示されるように、データ通信制御装置1は、通信線6によってブリッジ3に接続され、ブリッジ3を介して攻撃検知装置2、ECU4、およびセンサ5とデータ通信を行う。
以下、図2を参照して、データ通信制御装置1の機能構成を説明する。
データ通信制御装置1は、攻撃データ情報取得部11、廃棄データ決定部12、ドメイン構成データベース13、廃棄ポリシデータベース14およびデータ廃棄指示部15を備えている。
攻撃データ情報取得部11は、攻撃データ識別情報を取得するためのプログラムを記憶したメモリ112またはディスク(不揮発性メモリ)114と、そのプログラムを実行するプロセッサ111と、ブリッジ3と接続してデータ通信を可能とするネットワークインタフェース113とにより構成されている(図5参照)。
攻撃データ情報取得部11は、通信線6を介してブリッジ3に接続され、ブリッジ3を介して攻撃検知装置2と通信を行う。
攻撃検知装置2は車載ネットワークで送信されるデータを監視しており、攻撃データを検知すると、攻撃データから攻撃データ識別情報を抽出し、データ通信制御装置1へ送信する。攻撃データ情報取得部11は、攻撃検知装置2から送信される攻撃データ識別情報を取得する。
攻撃データ情報取得部11は、攻撃データ識別情報を取得すると、廃棄データ決定部12へ攻撃データ識別情報を出力する。
攻撃データ識別情報は、攻撃データの発生源に関する情報および攻撃データの用途に関する情報を含む。
攻撃データの発生源に関する情報には2つの情報がある。1つは、攻撃データを送信するデータ送信機器である攻撃データ送信機器を示す情報(攻撃データ送信機器情報に相当)である。もう1つは、攻撃データ送信機器が属しているドメインを示す情報(攻撃データドメイン情報に相当)である。例えば前者は攻撃データのヘッダに追加された送信元アドレス、後者はドメイン内で共通に用いられるID(Identifier)である。
また、攻撃データの用途に関する情報とは、攻撃データの用途、すなわち、攻撃データがどのようなアプリケーションに用いられるかを示す情報(攻撃データアプリケーション情報に相当)であり、例えば特定のアプリケーションに用いられることを示すportナンバーである。
なお、ドメインとは、車両の制御系(駆動系、ボディ系、安全系など)ごとに含まれるECU4、センサ5の集合である。また本実施の形態1では、ID(VLAN_ID、CAN_ID)はドメイン内のデータすべてに共通のものが用いられており、1つのIDには1つのドメインが対応する。
廃棄データ決定部12は、廃棄データを決定するためのプログラムを記憶したメモリ112またはディスク114と、そのプログラムを実行するプロセッサ111とにより構成されている(図5参照)。
データの生成元に関する情報には2つの情報がある。1つは、データを送信するデータ送信機器を示す情報(第1送信機器情報および第2送信機器情報に相当。図3では”データ送信機器”の列の情報)である。もう1つは、データを送信するデータ送信機器が属しているドメインを示す情報(第1ドメイン情報および第2ドメイン情報に相当。図3では”識別子”および”識別値”の列の情報)である。例えば前者はデータのヘッダに追加された送信元アドレス、後者はドメイン内で共通に用いられるID(VLAN_IDまたはCAN_ID)である。
また、データの用途に関する情報とは、データの用途、すなわち、当該データがどのようなアプリケーションに用いられるかを示す情報(第1アプリケーション情報および第2アプリケーション情報に相当。図3では”サービス識別子”および”サービス識別値”の列の情報)であり、例えば特定のアプリケーションに用いられることを示すportナンバーである。
ドメインAには、ドメインを示す情報として、識別子がVLAN_IDであり、識別値が100であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がA1のデータおよびデータ送信機器がA2のデータが属している。
VLAN_IDが100で、データ送信機器がA1またはA2のデータには特定のサービス識別子に対応するサービス識別値を有するものがある。しかし、廃棄データ決定部12がドメインAに属するデータの中で廃棄データを決定する際には、サービス識別子およびサービス識別値は用いない。そのため、このドメインAの行にはサービス識別子およびサービス識別値は記憶されていない。
以上をまとめると、リストの上段には、VLAN_IDが100で、データ送信機器がA1またはA2のデータ識別情報を有するデータがドメインAに属することが記憶されている。
ドメインBには、ドメインを示す情報として、識別子がVLAN_IDで、識別値が200であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がB1のデータおよびデータ送信機器がB2のデータが属している。さらに攻撃データがどのようなアプリケーションに用いられるかを示す情報として、サービス識別子がport noで、サービス識別値が8080であるデータが属している。
以上をまとめると、リストの中段には、VLAN_IDが200で、データ送信機器がB1またはB2であり、port noが8080のデータ識別情報を有するデータがドメインBに属することが記憶されている。
ドメインCには、ドメインを示す情報として、識別子がCAN_IDであり、識別値が200であるデータが属している。またデータ送信機器を示す情報として、データ送信機器がC1のデータおよびデータ送信機器がC2のデータが属している。
ドメインAの場合と同様に、廃棄データ決定部12がドメインCに属するデータの中で廃棄するデータを決定する際には、サービス識別子およびサービス識別値は用いない。そのため、このドメインCの行にはサービス識別子およびサービス識別値は記憶されていない。
以上をまとめると、リストの下段には、CAN_IDが200であり、データ送信機器がC1またはC2のデータ識別情報を有するデータがドメインCに属することが記憶されている。
廃棄ポリシとは、各ドメインに属する攻撃データが検知された場合に、廃棄対象とする廃棄データを定めたものである。
廃棄対象となるデータの範囲は、上記の通り、廃棄ポリシ”ドメイン”が最も大きく、廃棄ポリシ”データ送信機器”、廃棄ポリシ”サービス”の順となる。
廃棄ポリシ”ドメイン”は、あるドメインに属するデータ送信機器が送信するデータ(第1データ)が廃棄されたときに当該ドメインの機能に不具合が生じる場合に、設定される。すなわち、廃棄ポリシ”ドメイン”は、車載ネットワークで送信されるデータ群に含まれる第1データ以外のほかのデータであって、車両の制御に不具合を生じさせるデータが生じる場合に、設定される。
上記の第1データを送信するデータ送信機器を第1データ送信機器と呼び、第1データ送信機器の属するドメインを第1ドメインと呼ぶ場合がある。
ドメインは、車両の制御系(駆動系、ボディ系、安全系など)ごとに設定されている。ドメインの機能とは、ドメインが設定されている各制御系の機能である。
ドメインの機能は、一つまたは複数の車載装置が動作することにより実行される。これらの車載装置の制御は、ドメインに属する1つまたは複数のECU4が行っている。
また、ドメインによっては、複数の車載装置が連携して動作することで、制御系の機能を実行しているものがある。このようなドメインでは、複数の車載機器と対応する複数のECU4は、それぞれのECU4が制御対象としている車載装置の状態量を示すデータをやり取りしながら、ドメイン全体として適切な制御を行い、ドメインの機能を実行している。
一方、1つのECUが受信するデータが攻撃データとして廃棄された場合、当該ECUは正常なデータを受信できないために、適切な制御が行えないだけでなく、当該ECUが生成する制御対象の車載装置の状態量を示すデータも適切なものではなくなり、当該データを受信して他の車載機器の制御を行う他のECUも適切な制御が行えなくなる。そのため、攻撃データの廃棄の影響は、攻撃データの廃棄により正常なデータを受信できないECUと連携して制御を行っているドメイン内の他のECUの制御にも及ぶ。その結果、当該ドメインの機能に不具合が生じることとなる。
ドメインが異なる車載装置同士は、連携の度合いがドメイン内の車載機器同士より小さいが、攻撃データが廃棄された際の影響が他のドメインの車載装置の制御にも及ぶ可能性があるからである。
上記の第2データを送信するデータ送信機器を第2データ送信機器と呼び、第2データ送信機器の属するドメインを第2ドメインと呼ぶ場合がある。
この場合、攻撃データが廃棄されても当該ドメインや他のドメインの機能に影響を与えないため、攻撃データの発生源となっている攻撃データ送信機器から送信されるデータに対して対処を行えば、攻撃データによる車両の動作への影響を低減できる。
攻撃データ送信機器であるECU4またはセンサ5は、1つのデータだけを送信するものもあるが、異なる用途で用いられる複数種類のデータを送信しているものもある。複数種類のデータのうち、1つの種類のデータが攻撃データであると検知されたとき、攻撃データの発生源である攻撃データ送信機器は、そのほかの種類のデータについても攻撃データを送信し始める可能性がある。このほかの種類のデータが車両の安全性に関わる制御に用いられる場合は、攻撃データを送信し始める前に、迅速に対応する必要がある。そのため、攻撃データと同じ用途のデータだけでなく、攻撃データ送信機器から送信されるすべてのデータを廃棄データとしている。
この場合、攻撃データが廃棄されても当該ドメインや他のドメインの機能に影響を与えないため、攻撃データの発生源となっている攻撃データ送信機器から送信されるデータに対して対処を行えば、攻撃データによる車両の動作への影響を低減できる。
ドメインBに属する攻撃データが検知された場合に、攻撃データの発生源である攻撃データ送信機器から送信され、サービス識別子およびサービス識別値が攻撃データと同じデータ(第2廃棄候補データ)を廃棄データとする廃棄ポリシ(第2廃棄情報)が設定されている。この場合、同じドメイン内であっても、攻撃データの発生源であるデータ送信機器から送信され、サービス識別子およびサービス識別値が攻撃データと同じデータ以外は廃棄データとはならない。
ドメインCに属する攻撃データが検知された場合に、同じドメインに分類されているデータ(第1廃棄候補データ)を廃棄データとする廃棄ポリシ(第1廃棄情報)が設定されている。この場合、同じドメイン内のデータ送信機器から送信されるデータであれば、いずれのデータ送信機器から送信されるデータであっても、廃棄データとする。またデータのサービス識別子またはサービス識別値がどのようなものであっても、廃棄データとする。
廃棄データ決定部12は、攻撃データ情報取得部11から出力された攻撃データ識別情報とドメイン構成データベース13に記憶されているデータ識別情報との比較を行う。具体的には、廃棄データ決定部12は、ドメイン構成データベース13に記憶されているデータ識別情報の中に、攻撃データ識別情報と一致するものがあるか検索を行う。
攻撃データ識別情報と一致するデータ識別情報がある場合、廃棄データ決定部12は、当該データ識別情報と対応するドメイン名の情報を読み出す。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14に記憶されているドメイン名の情報の中に、ドメイン構成データベース13から読み出したドメイン名と一致するものがあるか検索を行う。一致するドメイン名の情報がある場合、廃棄ポリシデータベース14から当該ドメイン名の情報と対応する廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがドメインである場合は、攻撃データの発生源であるデータ送信機器が属するドメイン内のすべてのデータ(第1廃棄候補データ)を廃棄するよう決定する。具体的には、ドメイン内では共通の識別子および識別値がいられているので、攻撃データ識別情報に含まれる識別子および識別値と同様のものを用いているデータを廃棄データと決定する。
廃棄データ決定部12は、廃棄ポリシがデータ送信機器である場合は、攻撃データの発生源である攻撃データ送信機器から送信されるすべてのデータ(第2廃棄候補データ)を廃棄するよう決定する。具体的には、攻撃データ識別情報に含まれるデータ送信機器を示す情報と同様のものを用いているデータを廃棄データと決定する。
廃棄データ決定部12は、廃棄ポリシがサービスである場合は、攻撃データの発生源である攻撃データ送信機器から送信されるデータのうち、攻撃データの用途と同じ用途のデータ(第2廃棄候補データ)を廃棄するよう決定する。具体的には、攻撃データ識別情報に含まれるデータ送信機器を示す情報、サービス識別子およびサービス識別値と同様のものが設定されているデータを廃棄データと決定する。
具体的には、廃棄データがドメイン内のすべてのデータ(第1廃棄候補データ)である場合、廃棄データ決定部12は廃棄データを示す情報(以下、廃棄データ情報という)として、攻撃データ識別情報に含まれる識別子および識別値(例えば、VLAN_IDおよびその値)を、データ廃棄指示部15へ出力する。
廃棄データが攻撃データ送信機器から送信されるすべてのデータ(第2廃棄候補データ)である場合、廃棄データ決定部12は廃棄データ情報として、攻撃データ識別情報に含まれる識別子、識別値およびデータ送信機器を示す情報(例えば、送信元アドレス)を、データ廃棄指示部15へ出力する。
廃棄データが攻撃データ送信機器から送信されるデータのうち、攻撃データの用途と同じ用途のデータ(第2廃棄候補データ)である場合、廃棄データ決定部12は廃棄データ情報として、攻撃データ識別情報に含まれる識別子、識別値、データ送信機器を示す情報および用途を示す情報(例えば、portナンバー)を、データ廃棄指示部15へ出力する。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの上段に記載されているドメインAのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインAを示すドメイン名の情報が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインAと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインAと対応する廃棄ポリシを読み出す。この例では、図4のリストの上段に記載されているデータ送信機器を示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがデータ送信機器であるから、攻撃データの発生源となっているデータ送信機器A1から送信されるデータを廃棄データとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、VLAN_IDが100で、データ送信機器がA1であることを示す情報をデータ廃棄指示部15へ出力する。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの中段に記載されているドメインBのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインBを示すドメイン名が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインBと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインBと対応する廃棄ポリシを読み出す。この例では、図4のリストの中段に記載されているサービスを示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがサービスであるから、攻撃データの発生源となっているデータ送信機器B2から送信されるデータのうち、port no 8080のデータを廃棄データとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、VLAN_IDが200で、データ送信機器がB2で、port noが8080であることを示す情報をデータ廃棄指示部15へ出力する。
廃棄データ決定部12は、ドメイン構成データベース13に記憶されたデータ識別情報の中で上記の攻撃データ識別情報と一致するものを検索し、一致するデータ識別情報と対応づけられたドメイン名の情報を読み出す。この例では、図3のリストの下段に記載されているドメインCのデータ識別情報と攻撃データ識別情報とが一致するため、ドメインCを示すドメイン名が読み出される。
次に、廃棄データ決定部12は、廃棄ポリシデータベース14の中でドメイン名の情報であるドメインCと一致するものを検索し、廃棄ポリシデータベース14に記憶されたドメインCと対応する廃棄ポリシを読み出す。この例では、図4のリストの下段に記載されているドメインを示す廃棄ポリシを読み出す。
廃棄データ決定部12は、廃棄ポリシがドメインであるから、当該ドメインで共通していられているCAN_IDが200のデータを廃棄するデータとして決定する。さらに、廃棄データ決定部12は、廃棄データ情報として、CAN_IDが200であることを示す情報をデータ廃棄指示部15へ出力する。
この場合、攻撃データの発生源となっているデータ送信機器C1から送信されるデータだけでなく、ドメインCに属するデータ送信機器C2から送信されるデータについても廃棄するデータとなる。
データ廃棄指示部15は、廃棄指示を行うためのプログラムを記憶したメモリ112またはディスク114と、そのプログラムを実行するプロセッサ111と、ブリッジ3と接続してデータ通信を可能とするネットワークインタフェース113とにより構成されている(図5参照)。
データを廃棄するコマンドは、車載ネットワーク設計時に設定された特定のIDを用いたデータである。ブリッジ3は当該特定のIDを用いたデータを受信すると当該データに対する廃棄処理を開始するよう設定されている。
データ廃棄指示部15は、廃棄指示を行う場合、コマンドとして、当該特定のIDを用いたデータを送信する。また、データフィールドに廃棄データ情報を記録して送信する。
廃棄データ情報は、廃棄データ決定部12が生成しデータ廃棄指示部15へ出力したものと同様であり、具体的には、廃棄ポリシがドメインであった場合は、攻撃データの識別子および識別値であり、廃棄ポリシがデータ送信機器であった場合は、攻撃データの識別子、識別値および攻撃データ送信機器を示す情報であり、廃棄ポリシがサービスであった場合は、攻撃データの識別子、識別値、攻撃データ送信機器を示す情報、サービス識別子およびサービス識別値である。
また、攻撃検知装置2は、車載ネットワークで送信されている正常なデータと攻撃データとを判別するための判断基準を、攻撃データ検知ルールとして記憶している。
攻撃データの示す車両の状態量およびユーザの操作量は、正常な状態量等とは異なるので、正常な状態量が取りえない範囲に閾値を設定し、攻撃データ検知ルールとして用いることができる。また、状態量等が大幅に変化する場合も正常なデータの送信が途絶え、攻撃データの送信が開始されたと判断できることから、状態量の変化量に対して閾値を設定し、攻撃データ検知ルールとして用いることができる。
そのほか、正常な状態では連続して取りえない状態量を示すデータが、連続して送信されている場合やユーザによる正常な操作の周期と異なる周期で操作量を示すデータが送信されている場合についても、それらのデータは攻撃データと考えられるので、判断基準として用いることができる。
また、攻撃検知装置2は、攻撃データ検知ルールに基づいて、監視しているデータに攻撃データが含まれるか否かを判断し、攻撃データの検知を行う。
攻撃検知装置2は、攻撃データ識別情報を抽出する際に、各プロトコルのフレーム構造の違いを認識する。
具体的には、Ethernetのフレームでは、フレームの最初にプリアンブル部と呼ばれるデータ領域があり、CANのフレームでは、フレームの最初にSOF(Start Of Frame)と呼ばれるデータ領域がある。これらのデータ領域はそれぞれ異なっているため、その違いを利用して、攻撃検知装置2は、各プロトコルのフレーム構造の違いを認識する。
そして、攻撃検知装置2は、フレームの特定の領域からID等の攻撃データ識別情報を取得する。
具体的には、ブリッジ3は、データ通信制御装置1が送信する廃棄指示を示すコマンドおよび廃棄データ情報を受信したら、当該コマンドを読み取り、廃棄データ情報をブリッジ3の有する廃棄データのリスト(以下、廃棄データリストという)に登録する。
ブリッジ3は、中継するデータが廃棄データリストに含まれているかリスト内の検索を行い、廃棄データリストに含まれている場合は、同データの中継を行わない。
ここで、本実施の形態におけるブリッジ3は、廃棄データの中継を中止するために、中継するデータの各階層のヘッダ情報を読み取る機能を備えている。具体的には、ブリッジ3は、ブリッジ3内のメモリまたはディスクに中継するデータの各階層のヘッダ情報を読み取るためのプログラムを記憶しており、ブリッジ3内のプロセッサにそのプログラムを実行させることで、当該機能を実行する。
例えば、TCP/IPプロトコルに基づいたフレームには、データフィールドの前にTCPヘッダが追加されており、さらにその前にEthernetヘッダが追加されている。TCPヘッダにはデータの用途を示すportナンバーが記録されており、EthernetヘッダにはVLAN_IDと送信元MAC(Media Access Control)アドレスが記録されている。ブリッジ3は、これらのヘッダ情報を読み取り、廃棄データリストに含まれる廃棄データのVLAN_ID等と一致するか検索を行い、一致する場合は、そのデータの中継を中止する。
またECU4は、車載装置からその状態量を取得して、車載装置の状態量を示すデータを生成し、他のECU4へ送信する。他のECU4は、当該データを用いて、別の車載装置の制御を行う。
センサ5は、車両の状態量を示すデータ等を一定の周期で生成し、順次、ECU4へ送信する。またECU4からのデータ送信指令を受信して、データを生成し、送信する場合もある。
図1の例では、1つのブリッジ3に接続されているECU4およびセンサ5が同一ドメインに属する例を示しているが、ブリッジ3をまたいでドメインが設定されてもよい。
通信線6の例として、バスやLAN(Local Area Network)ケーブルなどがある。
ネットワーク構成機器の間は、通信線6を介して、CANまたはEthernetなどの通信プロトコルに基づいたデータ通信が行われる。
次に、データ通信制御装置1の構成要素として説明したドメイン構成データベース13に記憶されたデータ識別情報のリストおよび廃棄ポリシデータベース14に記憶されたドメインに対応する廃棄ポリシの作成方法を説明する。
まず上記の正常状態におけるシミュレーションの結果である通信内容から、車載ネットワークで送信され車両の制御に用いられる複数のデータ(第1データおよび第2データ)を特定する。特定した複数のデータと対応する複数のデータ識別情報をドメイン毎に分類してリスト化する。ここで、ドメイン内では共通する識別子および識別値が用いられるため、識別子および識別値に基づいて分類することが可能である。あるいは、ドメインは、車両の制御系(駆動系、ボディ系、安全系など)ごとに含まれるデータ送信機器の集合であるため、制御系ごとに分類したデータ送信機器から送信されるデータを同一ドメインに属するデータとして分類することが可能である。
さらに同一のドメインに分類されたデータのデータ識別情報には、同一のドメイン名を付してドメイン構成データベース13に記憶させる。
具体的には、ドメインAに属するデータが2つあり、識別子および識別値はVLAN_ID 100で共通しており、1つの第1データがデータ送信機器A1から、もう1つの第1データがデータ送信機器A2から送信されている場合、図3のリストの例のように、ドメインAの行において、識別子の列にはVLAN_IDを1つ、識別値の列には100を1つ記憶する。またデータ送信機器の列にはA1およびA2を記憶する。
シミュレーションの正常状態の結果と攻撃状態の結果の比較から、あるデータが廃棄され、そのデータの属するドメインの機能に不具合が生じていると確認できた場合は、そのデータの属するドメインの廃棄ポリシをドメインと設定する。言い換えれば、攻撃データが廃棄された場合に、車両の制御に不具合を生じさせるデータ(第1廃棄候補データ)として、当該ドメインに属するデータが設定される。
あるデータを送信しているデータ送信機器が、車両の安全上重要な機能を実行するドメインに属している場合は、当該データ送信機器から送信されているほかの用途に用いられるデータについても、予め廃棄しておくことが好ましい。そのため、廃棄ポリシをドメインと設定しなかったドメインが車両の安全上重要な機能を実行するドメインである場合は、当該ドメインに対する廃棄ポリシとしてデータ送信機器(第2廃棄情報)を設定する。
また、廃棄ポリシをドメインと設定しなかったドメインが車両の安全上重要な機能を実行していないドメインである場合は、当該ドメインに対する廃棄ポリシとしてサービス(第2廃棄情報)を設定する。
図5は、本発明の実施の形態1に係るデータ通信制御装置1を実現するためのハードウェア構成を示すブロック図である。
攻撃データ情報取得部11は、攻撃データ識別情報を取得するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。廃棄データ決定部12は、廃棄データを決定するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。データ廃棄指示部15は、廃棄指示を送信するためのプログラムを、メモリ112またはディスク114からプロセッサ111が読み出し、実行することにより実現される。
また、攻撃データ情報取得部11およびデータ廃棄指示部15による攻撃データ識別情報の取得および廃棄指示の送信は、ネットワークインタフェース113により行われる。
ドメイン構成データベース13および廃棄ポリシデータベース14はメモリ112またはディスク114にデータ識別情報のリストおよび廃棄ポリシを記憶することにより実現される。
具体的には、データ通信制御装置1のプロセッサ111は、車両制御システム100の起動時に、メモリ112またはディスク114に記憶された攻撃データ情報を取得するプログラム、廃棄データを決定するプログラム、廃棄指示を送信するためのプログラムを読み出し、実行する。
具体的には、攻撃データ識別情報は、攻撃検知装置2から、予め定められた特定のIDを追加したデータとして送信されてくるため、データ通信制御装置1のプロセッサ111は、送信されてくるデータのIDを識別し、攻撃データ識別情報の受信の判定を行う。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶されたデータ識別情報のリストの1番目のデータ識別情報と攻撃データ識別情報とが一致するか判定し、一致するデータ識別情報が見つかるまでリスト内のデータ識別情報を順次判定する。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶されたデータ識別情報のリストの中で、あるデータ識別情報が攻撃データ識別情報と一致すると判定した場合には、当該データ識別情報に付されているドメイン名を、メモリ112またはディスク114から読み出す。またいずれのデータ識別情報も一致しないと判定した場合は、攻撃データ識別情報の受信の判定処理へと戻る。
廃棄データ決定部12は読み出した廃棄ポリシに基づいて、廃棄データを決定する(ステップS106)。
具体的には、データ通信制御装置1のプロセッサ111は、メモリ112またはディスク114に記憶された廃棄ポリシのリストの一番目のドメイン名を示す情報と、先に読み出したドメイン名を示す情報とが一致するか判定し、一致するドメイン名を示す情報が見つかるまでリスト内のドメイン名を示す情報を順次判定する。一致するドメイン名を示す情報が見つかった場合は、プロセッサ111は、メモリ112またはディスク114から、当該ドメイン名を示す情報と対応づけられた廃棄ポリシを読み出す。
プロセッサ111は、廃棄ポリシ”ドメイン”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子および識別値を読み出し、これらと同じ識別子および識別値が設定されたデータを廃棄データと決定する。
プロセッサ111は、廃棄ポリシ”データ送信機器”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子、識別値およびデータ送信機器を示す情報を読み出し、これらと同じ識別子、識別値およびデータ送信機器を示す情報が設定されたデータを廃棄データと決定する。
プロセッサ111は、廃棄ポリシ”サービス”を読み出した場合、メモリ112またはディスク114に保持している攻撃データ識別情報から、識別子、識別値、データ送信機器を示す情報、サービス識別子およびサービス識別値を読み出し、これらと同じ識別子、識別値、データ送信機器を示す情報、サービス識別子およびサービス識別値が設定されたデータを廃棄データと決定する。
具体的には、データ通信制御装置1のプロセッサ111は、特定のIDを追加したフレームのデータフィールドへ、決定した廃棄データを示す識別子等の情報を廃棄データ情報として記録し、コマンドを生成する。このコマンドをネットワークインタフェース113からブリッジ3へ送信する。ここでいう特定のIDは、ブリッジ3に廃棄データを廃棄させるために予め定められたIDである。
この廃棄データリストを用いて、ブリッジ3が車載ネットワークで送信されるデータを中継するか否かを判定し、中継または中継中止を行う処理は、次の通りである。
そのほか、廃棄ポリシがデータ送信機器である場合は、識別子、識別値およびデータ送信機器を示す情報が廃棄データ情報であり、中継するデータの識別子、識別値およびデータ送信機器を示す情報が一致する場合、廃棄データ情報と一致するデータと判定する。廃棄ポリシがサービスである場合は、識別子、識別値データ送信機器を示す情報、サービス識別子およびサービス識別値が廃棄データ情報であり、中継するデータの識別子、識別値データ送信機器を示す情報、サービス識別子およびサービス識別値が一致する場合、廃棄データ情報と一致するデータと判定する。
また、データ通信制御装置1は、攻撃データ識別情報を取得した場合に、攻撃データ識別情報と一致するデータ識別情報と対応する第1廃棄候補データを廃棄データと決定する。
これにより、攻撃データが廃棄され、車両の制御に不具合が生じる場合であっても、不具合の原因となるデータ(第1廃棄候補データ)を廃棄することが可能となる。その結果、車両の制御に不具合が生じる可能性を低減できる。
これにより、ドメインの機能に不具合を生じる場合は、不具合の原因となるデータを廃棄して不具合が生じる可能性を低減し、ドメインの機能に不具合が生じない場合には、ドメイン内のデータをできるだけ維持して、攻撃データによって車両に異常な動作が生じる可能性を低減できる。
これにより、攻撃データの車両の安全性に対する影響度合いに応じて、正常なデータを維持することが可能となり、車両の動作をできるだけ維持することが可能となる。
次に、本発明の実施の形態2について説明する。実施の形態1の構成および動作と同様の部分については説明を省略し、実施の形態1と異なる部分について、以下に説明する。
また一部の情報において一致するデータ識別情報がドメイン構成データベース13に複数ある場合であっても、複数のデータ識別情報に対応する廃棄ポリシが一致している場合も同様である。この場合も、廃棄ポリシを一律に決定できる。
廃棄データ決定部12は、廃棄ポリシがドメインまたはデータ送信機器である場合にだけ、廃棄データを決定している。これは、廃棄ポリシがドメインの場合は、どのような用途で用いられる攻撃データであってもドメインに属するデータすべてが廃棄され、廃棄ポリシがデータ送信機器の場合は、どのような用途で用いられる攻撃データであっても同一のデータ送信機器から送信されるデータは廃棄されるからである。言い換えれば、サービス識別子およびサービス識別値がどのようなものであれ、廃棄ポリシは一致し、廃棄対象とするデータは一律に決定できるからである。
反対に、廃棄ポリシがサービスの場合、攻撃データの用途によって廃棄するデータが異なる。廃棄ポリシ”サービス”は、攻撃データの用途と同じ用途のデータを廃棄データとするものだからである。そのため、ステップS204で、廃棄ポリシがサービスだった場合は廃棄データを決定できない。
廃棄データ決定部12は、廃棄ポリシがドメインである場合にだけ、廃棄対象とするデータを決定している。これは、廃棄ポリシがドメインの場合は、同じドメイン内であればすべてのデータ送信機器から送信されるデータを廃棄し、どのような用途で用いられる攻撃データであっても廃棄するからである。言い換えれば、データ送信機器、サービス識別子およびサービス識別値がどのようなものであれ、廃棄ポリシは一致し、廃棄データは一律に決定できるからである。
反対に、廃棄ポリシがデータ送信機器またはサービスの場合、攻撃データの発生源であるデータ送信機器または攻撃データの用途によって廃棄データが異なる。廃棄ポリシ”データ送信機器”は、攻撃データの発生源であるデータ送信機器から送信されるデータを廃棄データとするものだからである。また廃棄ポリシ”サービス”は、攻撃データの用途と同じ用途のデータを廃棄データとするものだからである。そのため、ステップS208で、廃棄ポリシがデータ送信機器またはサービスだった場合は廃棄データを決定できない。
これにより、攻撃データ識別情報の一部が欠落した場合であっても、攻撃データを廃棄したことによる車両の制御への影響を低減することができる。
次に、本発明の実施の形態3について説明する。実施の形態1の構成および動作と同様の部分については説明を省略し、実施の形態1と異なる部分について、以下に説明する。
なお、実施の形態3を実施の形態2と組み合わせて用いることも可能である。
具体的には、通信制御部36は、自身が設けられたECU34またはセンサ35が車載ネットワークへ送信するデータを示す情報である送信データ識別情報を記憶しており、データ通信制御装置31が送信する廃棄指示を示すコマンドと廃棄データ情報を受信したら、当該コマンドを読み取り、廃棄データ情報と一致する送信データ識別情報を検索する。
廃棄データ情報と一致する送信データ識別情報があれば、通信制御部36は、一致した送信データ識別情報の示すデータに対するECU34またはセンサ35による生成処理または送信処理を中止させる。
Claims (11)
- 車載ネットワークで送信され車両の制御に用いられる複数のデータで構成されるデータ群の中に、前記車両に異常な動作を起こさせる攻撃データが検知された場合に、前記攻撃データを前記データ群の中から識別するための情報である攻撃データ識別情報を取得する攻撃データ情報取得部と、
前記データ群に含まれ、第1データ送信機器から送信される第1データを前記データ群の中から識別するための情報である第1データ識別情報を記憶し、前記第1データが廃棄された場合に前記車両の制御に不具合を生じさせるデータである第1廃棄候補データを示す情報である第1廃棄情報を、前記第1データ識別情報と対応づけて記憶する廃棄データ記憶部と、
前記攻撃データ情報取得部が前記攻撃データ識別情報を取得した場合、かつ、前記攻撃データ識別情報と前記第1データ識別情報が一致する場合、前記第1データ識別情報に対応付けられた前記第1廃棄情報を前記廃棄データ記憶部から読み出し、前記第1廃棄情報が示す前記第1廃棄候補データを、前記車載ネットワークから廃棄するデータである廃棄データとして決定する廃棄データ決定部と、
前記廃棄データ決定部が決定した前記廃棄データを前記車載ネットワークから廃棄する指示を送信するデータ廃棄指示部と、
を備え、
前記第1データ送信機器を含む複数のデータ送信機器が属する第1ドメインは、前記第1データが廃棄された場合に、ドメインの機能に不具合が生じるドメインであり、
前記第1廃棄情報は、前記第1ドメインに属するすべての前記データ送信機器から送信されるデータを示す情報である
ことを特徴とするデータ通信制御装置。 - 前記廃棄データ記憶部は、前記データ群に含まれ、第2データ送信機器から送信される第2データを前記データ群の中から識別するための情報である第2データ識別情報を記憶し、前記第2データが廃棄された場合に前記車両の制御に不具合を生じさせるデータである第2廃棄候補データを示す情報である第2廃棄情報を、前記第2データ識別情報と対応づけて記憶しており、
前記廃棄データ決定部は、前記攻撃データ情報取得部が前記攻撃データ識別情報を取得した場合、かつ、前記攻撃データ識別情報と前記第2データ識別情報が一致する場合、前記第2データ識別情報に対応付けられた前記第2廃棄情報を前記廃棄データ記憶部から読み出し、前記第2廃棄情報が示すデータを前記廃棄データとして決定し、
前記第2データ送信機器を含む複数のデータ送信機器が属する第2ドメインは、前記第2データが廃棄された場合に、ドメインの機能に不具合が生じないドメインであり、
前記第2廃棄情報は、前記第2ドメインに属するデータ送信機器のうち、前記第2データ送信機器から送信されるデータを示す情報である
ことを特徴とする請求項1に記載のデータ通信制御装置。 - 前記第2廃棄情報は、前記第2ドメインが前記車両の安全性に関わる機能を有する場合、前記第2データ送信機器が送信するすべてのデータを示す情報であり、前記第2ドメインが前記車両の安全性に関わる機能を有しない場合、前記第2データ送信機器が送信するデータのうち、前記第2データの用途と共通する用途で用いられるデータを示す情報であることを特徴とする請求項2に記載のデータ通信制御装置。
- 前記第1データ識別情報は、前記第1データ送信機器を示す情報である第1送信機器情報と、前記第1ドメインを示す情報である第1ドメイン情報と、前記第1データの用途を示す情報である第1アプリケーション情報とを含み、
前記第2データ識別情報は、前記第2データ送信機器を示す情報である第2送信機器情報と、前記第2ドメインを示す情報である第2ドメイン情報と、前記第2データの用途を示す情報である第2アプリケーション情報とを含み、
前記攻撃データ識別情報は、前記攻撃データを送信するデータ送信機器である攻撃データ送信機器を示す情報である攻撃データ送信機器情報と、前記攻撃データ送信機器の属するドメインを示す情報である攻撃データドメイン情報と、前記攻撃データの用途を示す情報である攻撃データアプリケーション情報とを含み、
前記廃棄データ決定部は、前記攻撃データ情報取得部が前記攻撃データ識別情報の一部として取得した前記攻撃データドメイン情報と一致する前記第1ドメイン情報を含む前記第1データ識別情報が前記廃棄データ記憶部に記憶されている場合、前記第1廃棄情報を読み出し、前記第1廃棄情報の示す前記第1廃棄候補データを前記廃棄データとして決定する
ことを特徴とする請求項2または請求項3に記載のデータ通信制御装置。 - 前記第1廃棄候補データは、前記第1データを用いて生成されたデータであることを特徴とする請求項1に記載のデータ通信制御装置。
- 前記第1廃棄候補データは、前記第1データを送信するデータ送信機器とは異なるデータ送信機器が生成したデータであることを特徴とする請求項1に記載のデータ通信制御装置。
- 車両の制御系ごとに含まれるデータ送信機器の集合であるドメイン毎に予め設定された廃棄ポリシを記憶する廃棄データ記憶部と、
前記車両に異常な動作を起こさせる攻撃データが各ドメイン内で検知された場合に前記廃棄ポリシに基づき、攻撃データを廃棄することに伴い車載装置の制御に不具合を生じさせるデータを廃棄対象である廃棄データとして決定する廃棄データ決定部と、
前記廃棄データ決定部が決定した前記廃棄データを車載ネットワークから廃棄する指示を送信するデータ廃棄指示部と、を備え、
前記廃棄ポリシは、各ドメインに属する前記攻撃データが検知された場合に、廃棄対象とする前記廃棄データを定めたものであり、
前記廃棄データ記憶部は、前記攻撃データが廃棄された場合に、ドメインの機能に不具合が生じるドメインとドメインの機能に不具合が生じないドメインとで、異なる廃棄ポリシを記憶する
ことを特徴とするデータ通信制御装置。 - 前記廃棄データ記憶部は前記廃棄ポリシとして”ドメイン”、”データ送信機器”、”サービス”を記憶し、
前記廃棄ポリシの一つである”ドメイン”は、前記攻撃データが廃棄されたときに、前記攻撃データを送信したデータ送信機器が属するドメインの機能に不具合が生じる場合に設定され、前記攻撃データを送信したデータ送信機器が属するドメインに含まれるすべてのデータ送信機器から送信されるデータを前記廃棄データとして定め、
前記廃棄ポリシの一つである”データ送信機器”は、前記攻撃データが廃棄されたときに、前記攻撃データを送信したデータ送信機器が属するドメインの機能に不具合が生じない場合であり、かつ、前記攻撃データを送信したデータ送信機器の属するドメインが車両の安全性に関わる制御を行う場合に設定され、前記攻撃データを送信したデータ送信機器から送信されるすべてのデータを前記廃棄データとして定め、
前記廃棄ポリシの一つである”サービス”は、前記攻撃データが廃棄されたときに、前記攻撃データを送信したデータ送信機器が属するドメインの機能に不具合が生じない場合であり、かつ、前記攻撃データを送信したデータ送信機器の属するドメインが車両の安全性に関わる制御を行わない場合に設定され、前記攻撃データを送信したデータ送信機器から送信されるデータのうち前記攻撃データと同じ用途で用いられるデータを前記廃棄データとして定める、
ことを特徴とする請求項7に記載のデータ通信制御装置。 - 車載ネットワークで送信され前記車両の制御に用いられる複数のデータで構成されるデータ群の中に、前記攻撃データが検知された場合に、前記攻撃データを前記データ群の中から識別するための情報である攻撃データ識別情報を取得する攻撃データ情報取得部をさらに備え、
前記廃棄データ記憶部は、前記データ群の中から各データを識別するためのデータ識別情報のリストを記憶し、
前記攻撃データ識別情報は、前記攻撃データを送信するデータ送信機器である攻撃データ送信機器を示す情報である攻撃データ送信機器情報と、前記攻撃データ送信機器の属するドメインを示す情報である攻撃データドメイン情報と、前記攻撃データの用途を示す情報である攻撃データアプリケーション情報とを含み、
前記攻撃データ情報取得部が、前記攻撃データ識別情報のうち前記攻撃データドメイン情報のみ取得し、前記攻撃データ送信機器情報と前記攻撃データアプリケーション情報を取得できなかった場合、
前記廃棄データ決定部は、前記攻撃データドメイン情報と一致するドメイン情報を含む前記データ識別情報を前記リストから読み出し、読み出された前記データ識別情報が示すドメインに設定された前記廃棄ポリシが”ドメイン”であった場合、前記廃棄ポリシ”ドメイン”に基づき前記廃棄データを決定する
ことを特徴とする請求項8に記載のデータ通信制御装置。 - 車載ネットワークに接続されるネットワーク構成装置を、
車載ネットワークで送信され車両の制御に用いられる複数のデータで構成されるデータ群の中に、前記車両に異常な動作を起こさせる攻撃データが検知された場合に、前記攻撃データを前記データ群の中から識別するための情報である攻撃データ識別情報を取得する攻撃データ情報取得部、
前記データ群に含まれ、第1データ送信機器から送信される第1データを前記データ群の中から識別するための情報である第1データ識別情報を記憶し、前記第1データが廃棄された場合に前記車両の制御に不具合を生じさせるデータである第1廃棄候補データを示す情報である第1廃棄情報を、前記第1データ識別情報と対応づけて記憶する廃棄データ記憶部、
前記攻撃データ情報取得部が前記攻撃データ識別情報を取得した場合、かつ、前記攻撃データ識別情報と前記第1データ識別情報が一致する場合、前記第1データ識別情報に対応付けられた前記第1廃棄情報を前記廃棄データ記憶部から読み出し、前記第1廃棄情報が示す前記第1廃棄候補データを、前記車載ネットワークから廃棄するデータである廃棄データとして決定する廃棄データ決定部、
前記廃棄データ決定部が決定した前記廃棄データを前記車載ネットワークから廃棄する指示を送信するデータ廃棄指示部、
として機能させるデータ通信制御プログラムであって、
前記第1データ送信機器を含む複数のデータ送信機器が属する第1ドメインは、前記第1データが廃棄された場合に、ドメインの機能に不具合が生じるドメインであり、
前記第1廃棄情報は、前記第1ドメインに属するすべてのデータ送信機器から送信されるデータを示す情報である
ことを特徴とするデータ通信制御プログラム。 - 請求項1に記載された前記データ通信制御装置と、
前記車載ネットワークに設けられ、前記第1データを受信して前記第1廃棄候補データを送信するデータ送信機器と、を備え、
前記データ通信制御装置の前記データ廃棄指示部は、前記データ送信機器へ前記廃棄データを廃棄する前記指示を送信し、前記データ送信機器は前記指示を前記データ廃棄指示部から受信した場合に、前記車載ネットワークへの前記廃棄データの送信を中止すること
を特徴とする車両制御システム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2018/021135 WO2019229969A1 (ja) | 2018-06-01 | 2018-06-01 | データ通信制御装置、データ通信制御プログラムおよび車両制御システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6628005B1 true JP6628005B1 (ja) | 2020-01-08 |
JPWO2019229969A1 JPWO2019229969A1 (ja) | 2020-06-25 |
Family
ID=68697949
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019516551A Active JP6628005B1 (ja) | 2018-06-01 | 2018-06-01 | データ通信制御装置、データ通信制御プログラムおよび車両制御システム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20210021618A1 (ja) |
JP (1) | JP6628005B1 (ja) |
CN (1) | CN112204926B (ja) |
DE (1) | DE112018007548B4 (ja) |
WO (1) | WO2019229969A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013131907A (ja) * | 2011-12-21 | 2013-07-04 | Toyota Motor Corp | 車両ネットワーク監視装置 |
JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
US20160381059A1 (en) * | 2015-06-29 | 2016-12-29 | Argus Cyber Security Ltd. | System and method for time based anomaly detection in an in-vehicle communication network |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9100418B2 (en) * | 2008-08-21 | 2015-08-04 | GM Global Technology Operations LLC | Adaptive data verification for resource-constrained systems |
CN103841198B (zh) * | 2014-03-07 | 2017-03-29 | 中南大学 | 一种净室云计算数据处理方法及系统 |
CN106650505A (zh) * | 2016-12-28 | 2017-05-10 | 北京奇虎科技有限公司 | 一种车辆攻击检测方法和装置 |
CN106647724B (zh) * | 2017-02-15 | 2017-12-26 | 北京航空航天大学 | 一种基于车辆异常数据监测的t‑box信息安全检测及防护方法 |
US10931635B2 (en) * | 2017-09-29 | 2021-02-23 | Nec Corporation | Host behavior and network analytics based automotive secure gateway |
JP7225948B2 (ja) * | 2019-03-11 | 2023-02-21 | 株式会社オートネットワーク技術研究所 | 代替装置、代替制御プログラム及び代替方法 |
-
2018
- 2018-06-01 CN CN201880093749.1A patent/CN112204926B/zh active Active
- 2018-06-01 DE DE112018007548.6T patent/DE112018007548B4/de active Active
- 2018-06-01 JP JP2019516551A patent/JP6628005B1/ja active Active
- 2018-06-01 WO PCT/JP2018/021135 patent/WO2019229969A1/ja active Application Filing
-
2020
- 2020-09-25 US US17/032,618 patent/US20210021618A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013131907A (ja) * | 2011-12-21 | 2013-07-04 | Toyota Motor Corp | 車両ネットワーク監視装置 |
JP2016134914A (ja) * | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
US20160381059A1 (en) * | 2015-06-29 | 2016-12-29 | Argus Cyber Security Ltd. | System and method for time based anomaly detection in an in-vehicle communication network |
Non-Patent Citations (2)
Title |
---|
DENNIS K. NILSSON, ET AL.: ""VEHICLE ECU CLASSIFICATION BASED ON SAFETY-SECURITY CHARACTERISTICS"", IET ROAD TRANSPORT INFORMATION AND CONTROL - RTIC 2008, JPN6019022270, 15 July 2008 (2008-07-15), ISSN: 0004111078 * |
TIMO VAN ROERMUND, ET AL.: ""Cybersecurity for ECUs: Attacks and Countermeasures"", WHITEPAPER, JPN6019022271, November 2017 (2017-11-01), ISSN: 0004111079 * |
Also Published As
Publication number | Publication date |
---|---|
DE112018007548T5 (de) | 2021-01-14 |
CN112204926B (zh) | 2022-03-04 |
US20210021618A1 (en) | 2021-01-21 |
WO2019229969A1 (ja) | 2019-12-05 |
JPWO2019229969A1 (ja) | 2020-06-25 |
CN112204926A (zh) | 2021-01-08 |
DE112018007548B4 (de) | 2021-07-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11277427B2 (en) | System and method for time based anomaly detection in an in-vehicle communication | |
US11115433B2 (en) | System and method for content based anomaly detection in an in-vehicle communication network | |
US10440120B2 (en) | System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network | |
JP7071510B2 (ja) | 車両内ネットワークにセキュリティを提供するシステム及び方法 | |
US10380057B2 (en) | Data storage device | |
JP7115536B2 (ja) | 車載通信システム、スイッチ装置、検証方法および検証プログラム | |
US11075927B2 (en) | Fraud detection electronic control unit, electronic control unit, and non-transitory recording medium in which computer program is described | |
JP2019008618A (ja) | 情報処理装置、情報処理方法及びプログラム | |
US20200389436A1 (en) | On-vehicle communication device, communication control method, and communication control program | |
JP7485110B2 (ja) | 代替装置、代替制御プログラム及び代替方法 | |
US20170331787A1 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
JP7065444B2 (ja) | 情報処理装置および情報処理システム | |
WO2021145144A1 (ja) | 侵入経路分析装置および侵入経路分析方法 | |
JP6628005B1 (ja) | データ通信制御装置、データ通信制御プログラムおよび車両制御システム | |
JP7176569B2 (ja) | 情報処理装置、ログ分析方法及びプログラム | |
JP2020119596A (ja) | ログ解析システム、解析装置、方法、および解析用プログラム | |
WO2007134102A2 (en) | System and method of agent self-repair within an intelligent agent system | |
JP6918067B2 (ja) | 制御装置および制御方法 | |
WO2019207764A1 (ja) | 抽出装置、抽出方法および記録媒体、並びに、検知装置 | |
JP7224536B2 (ja) | 制御装置および制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190326 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190326 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190326 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190409 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190618 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190725 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190910 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191025 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191105 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191118 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6628005 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |