JP6896194B2 - 攻撃検知装置および攻撃検知プログラム - Google Patents
攻撃検知装置および攻撃検知プログラム Download PDFInfo
- Publication number
- JP6896194B2 JP6896194B2 JP2021503340A JP2021503340A JP6896194B2 JP 6896194 B2 JP6896194 B2 JP 6896194B2 JP 2021503340 A JP2021503340 A JP 2021503340A JP 2021503340 A JP2021503340 A JP 2021503340A JP 6896194 B2 JP6896194 B2 JP 6896194B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- determination
- unit
- request destination
- status
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 45
- 238000000034 method Methods 0.000 claims description 158
- 238000004891 communication Methods 0.000 claims description 82
- 238000012790 confirmation Methods 0.000 claims description 23
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 239000013589 supplement Substances 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、組み込みシステムに対する攻撃を検知する技術に関するものである。
特許文献1は、車両に対する攻撃を検知するシステムを開示している。
このシステムでは、クラウドサーバが、車両ログを収集して分析することによって、車両に対する攻撃を検知する。
これにより、車両のリソースをあまり消費せずに、攻撃の検知を行うことができる。
このシステムでは、クラウドサーバが、車両ログを収集して分析することによって、車両に対する攻撃を検知する。
これにより、車両のリソースをあまり消費せずに、攻撃の検知を行うことができる。
特許文献1に開示されたシステムでは、クラウドサーバが攻撃の検知を行う。そのため、車両とクラウドサーバとの間の通信状況が悪い場合、攻撃の検知を行うことができなくなってしまう。
また、攻撃の検知が常に車両のリソースを使用して行われる場合、車両のリソースが常に攻撃の検知のために消費されることになる。そのため、車両を制御するための処理に支障が生じる可能性がある。
また、攻撃の検知が常に車両のリソースを使用して行われる場合、車両のリソースが常に攻撃の検知のために消費されることになる。そのため、車両を制御するための処理に支障が生じる可能性がある。
本発明は、攻撃検知のために車両にかかる処理負荷を抑えつつ、攻撃検知を継続して行うことができるようにすることを目的とする。
本発明の攻撃検知装置は、組み込みシステムに含まれる。
前記攻撃検知装置は、
前記組み込みシステムに対する攻撃の有無を判定する攻撃判定部と、
外部ネットワークの通信状況を確認する通信状況確認部と、
前記外部ネットワークの通信状況に基づいて、前記組み込みシステムの外部に設けられて前記外部ネットワークに接続する攻撃判定装置と、前記攻撃判定部とのいずれかを、攻撃判定の依頼先に決定する依頼先決定部と、
決定された依頼先に攻撃判定を依頼する攻撃判定依頼部とを備える。
前記攻撃検知装置は、
前記組み込みシステムに対する攻撃の有無を判定する攻撃判定部と、
外部ネットワークの通信状況を確認する通信状況確認部と、
前記外部ネットワークの通信状況に基づいて、前記組み込みシステムの外部に設けられて前記外部ネットワークに接続する攻撃判定装置と、前記攻撃判定部とのいずれかを、攻撃判定の依頼先に決定する依頼先決定部と、
決定された依頼先に攻撃判定を依頼する攻撃判定依頼部とを備える。
本発明によれば、車両とクラウドサーバとの間の通信状況(外部ネットワークの通信状況)に応じて攻撃判定の依頼先を決定することができる。そのため、攻撃検知のために車両(組み込みシステム)にかかる処理負荷を抑えつつ、攻撃検知を継続して行うことが可能となる。
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
実施の形態1.
攻撃検知システム200について、図1から図9に基づいて説明する。
攻撃検知システム200について、図1から図9に基づいて説明する。
***構成の説明***
図1に基づいて、攻撃検知システム200の構成を説明する。
攻撃検知システム200は、攻撃判定装置210と車両220とを備える。
攻撃判定装置210は、サイバー攻撃の有無を判定する装置であり、クラウド201に設けられる。
図1に基づいて、攻撃検知システム200の構成を説明する。
攻撃検知システム200は、攻撃判定装置210と車両220とを備える。
攻撃判定装置210は、サイバー攻撃の有無を判定する装置であり、クラウド201に設けられる。
車両220は、車載システム100を備える。
車載システム100は、車両220に搭載される組み込みシステムである。
車載システム100の一部は、「攻撃検知装置」として機能する。
「攻撃検知装置」は、車載システム100に対するサイバー攻撃を検知するための装置である。
車載システム100は、車両220に搭載される組み込みシステムである。
車載システム100の一部は、「攻撃検知装置」として機能する。
「攻撃検知装置」は、車載システム100に対するサイバー攻撃を検知するための装置である。
外部ネットワーク202は、車載システム100の外の通信ネットワークである。攻撃判定装置210は外部ネットワーク202に接続している。例えば、外部ネットワーク202はインターネットである。
一方、車載システム100の中の通信ネットワークを「車載ネットワーク」または「内部ネットワーク」と称する。例えば、車載ネットワークは、Controller Area Network(CAN)である。
一方、車載システム100の中の通信ネットワークを「車載ネットワーク」または「内部ネットワーク」と称する。例えば、車載ネットワークは、Controller Area Network(CAN)である。
図2に基づいて、車載システム100のうちの攻撃検知装置の構成を説明する。
車載システム100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
車載システム100は、プロセッサ101とメモリ102と補助記憶装置103と通信装置104といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ101は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ101はCPUである。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
メモリ102は揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAMである。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
RAMは、Random Access Memoryの略称である。
RAMは、Random Access Memoryの略称である。
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM、HDDまたはフラッシュメモリである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
通信装置104は、レシーバ及びトランスミッタであり、外部ネットワーク202に接続される。例えば、通信装置104は通信チップまたはNICである。
NICは、Network Interface Cardの略称である。
NICは、Network Interface Cardの略称である。
車載システム100は、実行制御部110と攻撃判定部120とログ取得部131とログ管理部132といった要素を備える。これらの要素はソフトウェアで実現される。
実行制御部110は、ログデータ集合取得部111と通信状況確認部112と依頼先決定部113と攻撃判定依頼部114とを備える。
実行制御部110は、ログデータ集合取得部111と通信状況確認部112と依頼先決定部113と攻撃判定依頼部114とを備える。
補助記憶装置103には、実行制御部110と攻撃判定部120とログ取得部131とログ管理部132としてコンピュータを機能させるための攻撃検知プログラムが記憶されている。攻撃検知プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
補助記憶装置103には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
プロセッサ101は、OSを実行しながら、攻撃検知プログラムを実行する。
OSは、Operating Systemの略称である。
補助記憶装置103には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。
プロセッサ101は、OSを実行しながら、攻撃検知プログラムを実行する。
OSは、Operating Systemの略称である。
攻撃検知プログラムの入出力データは記憶部190に記憶される。
メモリ102は記憶部190として機能する。但し、補助記憶装置103、プロセッサ101内のレジスタおよびプロセッサ101内のキャッシュメモリなどの記憶装置が、メモリ102の代わりに、又は、メモリ102と共に、記憶部190として機能してもよい。
メモリ102は記憶部190として機能する。但し、補助記憶装置103、プロセッサ101内のレジスタおよびプロセッサ101内のキャッシュメモリなどの記憶装置が、メモリ102の代わりに、又は、メモリ102と共に、記憶部190として機能してもよい。
車載システム100は、プロセッサ101を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ101の役割を分担する。
攻撃検知プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
***動作の説明***
車載システム100における攻撃検知装置の動作は攻撃検知方法に相当する。また、攻撃検知方法の手順は攻撃検知プログラムの手順に相当する。
攻撃検知方法の処理を以下に説明する。
車載システム100における攻撃検知装置の動作は攻撃検知方法に相当する。また、攻撃検知方法の手順は攻撃検知プログラムの手順に相当する。
攻撃検知方法の処理を以下に説明する。
まず、ログ取得部131とログ管理部132とのそれぞれの機能を説明する。
ログ取得部131は、車載システム100で発生した事象を示すログデータを取得する。例えば、ログ取得部131は、通信ログ、プロセスログおよび認証ログなどのログデータを取得する。
ログ取得部131は、車載システム100で発生した事象を示すログデータを取得する。例えば、ログ取得部131は、通信ログ、プロセスログおよび認証ログなどのログデータを取得する。
ログ管理部132は、取得されたログデータを記憶部190に記憶し、記憶されたログデータを管理する。
例えば、ログ管理部132は、それぞれのログデータにログ識別子を付与する。ログ識別子は、ログデータを一意に識別するための識別子である。
例えば、ログ管理部132は、攻撃判定に用いられたログデータに処理済みタグを付加する。また、例えば、ログ管理部132は、ログデータが攻撃判定装置210に送信済みで攻撃判定結果が攻撃判定装置210から返ってきた場合に、送信済みのログデータに送信済みタグを付加する。さらに、例えば、ログ管理部132は、攻撃判定装置210から削除不可の指示があったログデータに削除不可タグを付加する。
例えば、ログ管理部132は、それぞれのログデータにログ識別子を付与する。ログ識別子は、ログデータを一意に識別するための識別子である。
例えば、ログ管理部132は、攻撃判定に用いられたログデータに処理済みタグを付加する。また、例えば、ログ管理部132は、ログデータが攻撃判定装置210に送信済みで攻撃判定結果が攻撃判定装置210から返ってきた場合に、送信済みのログデータに送信済みタグを付加する。さらに、例えば、ログ管理部132は、攻撃判定装置210から削除不可の指示があったログデータに削除不可タグを付加する。
図3に基づいて、実行制御部110の処理(実行制御処理)を説明する。
実行制御処理は、定期的または任意のタイミングで実行される。
実行制御処理は、定期的または任意のタイミングで実行される。
ステップS101において、ログデータ集合取得部111は、ログデータ集合を取得する。
ログデータ集合は、攻撃判定に用いられる1つ以上のログデータである。
ログデータ集合は、攻撃判定に用いられる1つ以上のログデータである。
ログデータ集合取得部111は、ログデータ集合を以下のように取得する。
まず、ログデータ集合取得部111は、ログ管理部132にログデータ集合を要求する。
次に、ログ管理部132は、記憶部190から、処理済みタグが付加されていない全てのログデータを選択する。
次に、ログ管理部132は、選択された全てのログデータをログデータ集合取得部111に通知する。
そして、ログデータ集合取得部111は、選択された全てのログデータを受け取る。
また、ログ管理部132は、選択された全てのログデータに処理済みタグを付加する。
まず、ログデータ集合取得部111は、ログ管理部132にログデータ集合を要求する。
次に、ログ管理部132は、記憶部190から、処理済みタグが付加されていない全てのログデータを選択する。
次に、ログ管理部132は、選択された全てのログデータをログデータ集合取得部111に通知する。
そして、ログデータ集合取得部111は、選択された全てのログデータを受け取る。
また、ログ管理部132は、選択された全てのログデータに処理済みタグを付加する。
ステップS102において、通信状況確認部112は、外部ネットワーク202の通信状況を確認する。
通信状況確認部112は、外部ネットワーク202の通信状況を以下のように確認する。
通信装置104は、外部ネットワーク202に対する接続状態情報を管理している。
通信状況確認部112は、通信装置104から、外部ネットワーク202に対する接続状態情報を取得する。
接続状態情報は、通信ネットワークとの接続状態を示す。
例えば、接続状態情報は「接続済み」、「接続処理中」、「認証処理中」、「コネクション情報取得中」、「接続チェック中」、「接続中断」、「切断処理中」または「切断済み」などの接続状態を示す。
「接続済み」と「切断済み」とを除いた残りの接続状態を「中間状態」と称する。
「接続済み」、「切断済み」および「中間状態」は、通信状況の良し悪しの程度を特定する。「接続済み」は「良好」という通信状況に対応する。「切断済み」は「不良」という通信状況に対応する。「中間状態」は「普通」という通信状況に対応する。
通信装置104は、外部ネットワーク202に対する接続状態情報を管理している。
通信状況確認部112は、通信装置104から、外部ネットワーク202に対する接続状態情報を取得する。
接続状態情報は、通信ネットワークとの接続状態を示す。
例えば、接続状態情報は「接続済み」、「接続処理中」、「認証処理中」、「コネクション情報取得中」、「接続チェック中」、「接続中断」、「切断処理中」または「切断済み」などの接続状態を示す。
「接続済み」と「切断済み」とを除いた残りの接続状態を「中間状態」と称する。
「接続済み」、「切断済み」および「中間状態」は、通信状況の良し悪しの程度を特定する。「接続済み」は「良好」という通信状況に対応する。「切断済み」は「不良」という通信状況に対応する。「中間状態」は「普通」という通信状況に対応する。
通信状況は、接続状態とは異なる情報によって特定されてもよい。
例えば、通信状況は、電波強度、スループット、切断時間または連続通信時間によって特定されてもよい。
例えば、通信状況は、電波強度、スループット、切断時間または連続通信時間によって特定されてもよい。
ステップS103において、依頼先決定部113は、外部ネットワーク202の通信状況に基づいて、攻撃判定の依頼先を決定する。
例えば、外部ネットワーク202との接続状態が「接続済み」である場合、依頼先決定部113は、攻撃判定の依頼先を攻撃判定装置210に決定する。
例えば、外部ネットワーク202との接続状態が「接続済み」でない場合、依頼先決定部113は、攻撃判定の依頼先を攻撃判定部120に決定する。
例えば、外部ネットワーク202との接続状態が「接続済み」でない場合、依頼先決定部113は、攻撃判定の依頼先を攻撃判定部120に決定する。
攻撃判定の依頼先が攻撃判定装置210(外部)である場合、処理はステップS104に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS105に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS105に進む。
ステップS104において、攻撃判定依頼部114は、攻撃判定装置210に攻撃判定を依頼する。
図4に基づいて、外部依頼処理(S104)を説明する。
ステップS1041において、攻撃判定依頼部114は、通信装置104を用いて、ログデータ集合を攻撃判定装置210に送信する。
ステップS1041において、攻撃判定依頼部114は、通信装置104を用いて、ログデータ集合を攻撃判定装置210に送信する。
攻撃判定装置210は、ログデータ集合を受信し、ログデータ集合に基づいて攻撃判定を行い、判定結果を送信する。
攻撃判定の方法については後述する。
攻撃判定の方法については後述する。
ステップS1042において、攻撃判定依頼部114は、通信装置104を用いて、判定結果を攻撃判定装置210から受信する。
図3に戻り、ステップS105を説明する。
ステップS105において、攻攻撃判定依頼部114は、攻撃判定部120に攻撃判定を依頼する。
ステップS105において、攻攻撃判定依頼部114は、攻撃判定部120に攻撃判定を依頼する。
図5に基づいて、内部依頼処理(S105)の手順を説明する。
ステップS1051において、攻撃判定依頼部114は、ログデータ集合を攻撃判定部120に与える。
ステップS1051において、攻撃判定依頼部114は、ログデータ集合を攻撃判定部120に与える。
攻撃判定部120は、ログデータ集合を受け取り、ログデータ集合に基づいて攻撃判定を行い、判定結果を通知する。
攻撃判定の方法については後述する。
攻撃判定の方法については後述する。
ステップS1052において、攻撃判定依頼部114は、判定結果を攻撃判定部120から受け取る。
攻撃判定方法について以下に説明する。
図6に基づいて、攻撃シナリオについて説明する。
攻撃シナリオは、サイバー攻撃を構成する一連の攻撃手口を示す。図6の攻撃シナリオは、3つの攻撃手口で構成されるサイバー攻撃を示している。
攻撃手口は、サイバー攻撃の要素であり、攻撃フェーズとも呼ばれる。
図6に基づいて、攻撃シナリオについて説明する。
攻撃シナリオは、サイバー攻撃を構成する一連の攻撃手口を示す。図6の攻撃シナリオは、3つの攻撃手口で構成されるサイバー攻撃を示している。
攻撃手口は、サイバー攻撃の要素であり、攻撃フェーズとも呼ばれる。
図7に基づいて、攻撃判定方法の手順を説明する。
攻撃判定方法では、攻撃手口判定と攻撃シナリオ判定といった処理が行われる。
攻撃手口判定は、1つ以上の攻撃手口のそれぞれに合致するログデータがログデータ集合に含まれるか判定する処理である。
攻撃シナリオ判定は、1つ以上の攻撃シナリオのそれぞれに合致するログデータ群がログデータ集合に含まれるか判定する処理である。
つまり、攻撃シナリオ判定は、攻撃手口判定で判定された攻撃手口の関連をログの発生源または発生要因などに基づいて調べ、調べた関連が1つ以上の攻撃シナリオのそれぞれに合致するかを判定する処理である。
言い換えると、攻撃シナリオ判定は、1つ以上の攻撃シナリオのそれぞれに合致する1つ以上の攻撃手口とその関係が、攻撃手口判定で判定された攻撃手口の関連を調べた結果に含まれるか判定する処理である。また、攻撃シナリオ判定において、攻撃手口とログデータとの関連を調べ、調べた関連が1つ以上の攻撃シナリオのそれぞれに合致するかを判定してもよい。
攻撃判定方法では、攻撃手口判定と攻撃シナリオ判定といった処理が行われる。
攻撃手口判定は、1つ以上の攻撃手口のそれぞれに合致するログデータがログデータ集合に含まれるか判定する処理である。
攻撃シナリオ判定は、1つ以上の攻撃シナリオのそれぞれに合致するログデータ群がログデータ集合に含まれるか判定する処理である。
つまり、攻撃シナリオ判定は、攻撃手口判定で判定された攻撃手口の関連をログの発生源または発生要因などに基づいて調べ、調べた関連が1つ以上の攻撃シナリオのそれぞれに合致するかを判定する処理である。
言い換えると、攻撃シナリオ判定は、1つ以上の攻撃シナリオのそれぞれに合致する1つ以上の攻撃手口とその関係が、攻撃手口判定で判定された攻撃手口の関連を調べた結果に含まれるか判定する処理である。また、攻撃シナリオ判定において、攻撃手口とログデータとの関連を調べ、調べた関連が1つ以上の攻撃シナリオのそれぞれに合致するかを判定してもよい。
図8に基づいて、攻撃判定部120による攻撃手口判定を説明する。
攻撃判定装置210による攻撃手口判定は、攻撃判定部120による攻撃手口判定と同じである。
攻撃判定装置210による攻撃手口判定は、攻撃判定部120による攻撃手口判定と同じである。
ステップS111において、攻撃判定部120は、攻撃手口リストから、未選択の攻撃手口情報を1つ選択する。
攻撃手口リストは、1つ以上の攻撃手口情報を示し、記憶部190に予め記憶される。
攻撃手口情報は、攻撃手口を特定する情報である。
攻撃手口リストは、1つ以上の攻撃手口情報を示し、記憶部190に予め記憶される。
攻撃手口情報は、攻撃手口を特定する情報である。
ステップS112において、攻撃判定部120は、選択された攻撃手口情報に合致するログデータがログデータ集合に含まれるか判定する。
例えば、攻撃判定部120は、ログデータ集合のそれぞれのログデータと攻撃手口情報とのパターンマッチングを行う。
例えば、攻撃判定部120は、ログデータ集合のそれぞれのログデータと攻撃手口情報とのパターンマッチングを行う。
ステップS113において、攻撃判定部120は、未選択の攻撃手口情報があるか判定する。
未選択の攻撃手口情報がある場合、処理はステップS111に進む。
未選択の攻撃手口情報がない場合、攻撃手口判定は終了する。
未選択の攻撃手口情報がある場合、処理はステップS111に進む。
未選択の攻撃手口情報がない場合、攻撃手口判定は終了する。
図9に基づいて、攻撃判定部120による攻撃シナリオ判定を説明する。
攻撃判定装置210による攻撃シナリオ判定は、攻撃判定部120による攻撃シナリオ判定と同じである。
攻撃判定装置210による攻撃シナリオ判定は、攻撃判定部120による攻撃シナリオ判定と同じである。
ステップS121において、攻撃判定部120は、攻撃シナリオリストから、未選択の攻撃シナリオを1つ選択する。
攻撃シナリオリストは、1つ以上の攻撃シナリオを示し、記憶部190に予め記憶される。
攻撃シナリオリストは、1つ以上の攻撃シナリオを示し、記憶部190に予め記憶される。
ステップS122において、攻撃判定部120は、攻撃手口判定の結果に基づいて、選択された攻撃シナリオに合致するログデータ群がログデータ集合に含まれるか判定する。
具体的には、攻撃判定部120は、攻撃手口判定で判定された攻撃手口の関連をログの発生源または発生要因などに基づいて調べ、調べた関連が1つ以上の攻撃シナリオのそれぞれに合致するかを判定する。
言い換えると、攻撃判定部120は、1つ以上の攻撃シナリオのそれぞれに合致する1つ以上の攻撃手口とその関係が、攻撃手口判定で判定された攻撃手口の関連を調べた結果に含まれるか判定する。また、攻撃判定部120は、攻撃手口とログデータとの関連を調べ、調べた関連が1つ以上の攻撃シナリオのそれぞれに合致するかを判定してもよい。
具体的には、攻撃判定部120は、攻撃手口判定で判定された攻撃手口の関連をログの発生源または発生要因などに基づいて調べ、調べた関連が1つ以上の攻撃シナリオのそれぞれに合致するかを判定する。
言い換えると、攻撃判定部120は、1つ以上の攻撃シナリオのそれぞれに合致する1つ以上の攻撃手口とその関係が、攻撃手口判定で判定された攻撃手口の関連を調べた結果に含まれるか判定する。また、攻撃判定部120は、攻撃手口とログデータとの関連を調べ、調べた関連が1つ以上の攻撃シナリオのそれぞれに合致するかを判定してもよい。
例えば、図6の攻撃シナリオは、攻撃手口(1)と攻撃手口(2)と攻撃手口(3)とで攻撃されるサイバー攻撃を示している。
攻撃手口(1)の情報に合致するログデータをログデータ(1)と称する。
攻撃手口(2)の情報に合致するログデータをログデータ(2)と称する。
攻撃手口(3)の情報に合致するログデータをログデータ(3)と称する。
ログデータ(1)(2)(3)の並び順(事象の発生順)がログデータ(1)、ログデータ(2)、ログデータ(3)である場合、ログデータ(1)(2)(3)は、図5の攻撃シナリオに合致する。
攻撃手口(1)の情報に合致するログデータをログデータ(1)と称する。
攻撃手口(2)の情報に合致するログデータをログデータ(2)と称する。
攻撃手口(3)の情報に合致するログデータをログデータ(3)と称する。
ログデータ(1)(2)(3)の並び順(事象の発生順)がログデータ(1)、ログデータ(2)、ログデータ(3)である場合、ログデータ(1)(2)(3)は、図5の攻撃シナリオに合致する。
ステップS123において、攻撃判定部120は、未選択の攻撃シナリオがあるか判定する。
未選択の攻撃シナリオがある場合、処理はステップS121に進む。
未選択の攻撃シナリオがない場合、攻撃シナリオ判定は終了する。
未選択の攻撃シナリオがある場合、処理はステップS121に進む。
未選択の攻撃シナリオがない場合、攻撃シナリオ判定は終了する。
***実施の形態1の効果***
実施の形態1により、外部ネットワーク202の通信状況に応じて攻撃判定の依頼先を決定することができる。そのため、攻撃検知のために車載システム100にかかる処理負荷を抑えつつ、攻撃検知を継続して行うことが可能となる。
実施の形態1により、外部ネットワーク202の通信状況に応じて攻撃判定の依頼先を決定することができる。そのため、攻撃検知のために車載システム100にかかる処理負荷を抑えつつ、攻撃検知を継続して行うことが可能となる。
実施の形態2.
通信状況の変化に対処する形態について、主に実施の形態1と異なる点を図10から図14に基づいて説明する。
通信状況の変化に対処する形態について、主に実施の形態1と異なる点を図10から図14に基づいて説明する。
***構成の説明***
攻撃検知システム200の構成は、実施の形態1における構成と同じである(図1および図2を参照)。
攻撃検知システム200の構成は、実施の形態1における構成と同じである(図1および図2を参照)。
***動作の説明***
図10、図11および図12に基づいて、実行制御処理を説明する。
ステップS201において、ログデータ集合取得部111は、ログデータ集合を取得する。
ステップS201は、実施の形態1におけるステップS101と同じである。
図10、図11および図12に基づいて、実行制御処理を説明する。
ステップS201において、ログデータ集合取得部111は、ログデータ集合を取得する。
ステップS201は、実施の形態1におけるステップS101と同じである。
ステップS202において、通信状況確認部112は、外部ネットワーク202の通信状況を確認する。
ステップS202は、実施の形態1におけるステップS102と同じである。
ステップS202は、実施の形態1におけるステップS102と同じである。
ステップS203において、依頼先決定部113は、外部ネットワーク202の通信状況に基づいて、攻撃判定の依頼先を決定する。
ステップS203は、実施の形態1におけるステップS103と同じである。
攻撃判定の依頼先が攻撃判定装置210(外部)である場合、処理はステップS211に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS221に進む。
ステップS203は、実施の形態1におけるステップS103と同じである。
攻撃判定の依頼先が攻撃判定装置210(外部)である場合、処理はステップS211に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS221に進む。
ステップS211において、攻撃判定依頼部114は、ログデータ集合を通信装置104に通知する。
通信装置104は、ログデータ集合を攻撃判定装置210に送信する。
通信装置104は、ログデータ集合を攻撃判定装置210に送信する。
攻撃判定装置210は、ログデータ集合を受信し、ログデータ集合に基づいて攻撃判定を行う。
攻撃判定が完了した場合、攻撃判定装置210は判定結果を送信する。通信装置104は、判定結果を受信し、判定結果を攻撃判定依頼部114に通知する。
攻撃判定が完了した場合、攻撃判定装置210は判定結果を送信する。通信装置104は、判定結果を受信し、判定結果を攻撃判定依頼部114に通知する。
ステップS212において、攻撃判定依頼部114は、通信装置104から判定結果が通知されたか判定する。
判定結果が通知された場合、処理はステップS213に進む。
判定結果が通知されていない場合、処理はステップS214に進む。
判定結果が通知された場合、処理はステップS213に進む。
判定結果が通知されていない場合、処理はステップS214に進む。
ステップS213において、攻撃判定依頼部114は、通知された判定結果を受け取る。
ステップS214において、通信状況確認部112は、外部ネットワーク202の通信状況を確認する。
ステップS214は、実施の形態1におけるステップS102と同じである。
ステップS214は、実施の形態1におけるステップS102と同じである。
ステップS215において、依頼先決定部113は、外部ネットワーク202の通信状況に基づいて、攻撃判定の依頼先について変更の要否を判定する。
例えば、外部ネットワーク202との接続状態が「接続済み」から「接続済み」以外の状態に変わった場合、依頼先決定部113は、攻撃判定の依頼先の変更が必要であると判定する。
例えば、外部ネットワーク202との接続状態が「接続済み」のまま変わらない場合、依頼先決定部113は、攻撃判定の変更が不要であると判定する。
例えば、外部ネットワーク202との接続状態が「接続済み」のまま変わらない場合、依頼先決定部113は、攻撃判定の変更が不要であると判定する。
攻撃判定の依頼先の変更が必要であると判定された場合、処理はステップS221に進む。
攻撃判定の依頼先の変更が不要であると判定された場合、処理はステップS212に進む。
攻撃判定の依頼先の変更が不要であると判定された場合、処理はステップS212に進む。
ステップS221において、攻撃判定依頼部114は、ログデータ集合を攻撃判定部120に与える。
攻撃判定部120は、ログデータ集合を受け取り、ログデータ集合に基づいて攻撃判定を行う。
攻撃判定が完了した場合、攻撃判定部120は判定結果を通知する。
攻撃判定が完了した場合、攻撃判定部120は判定結果を通知する。
ステップS222において、攻撃判定依頼部114は、攻撃判定部120から判定結果が通知されたか判定する。
判定結果が通知された場合、処理はステップS223に進む。
判定結果が通知されていない場合、処理はステップS224に進む。
判定結果が通知された場合、処理はステップS223に進む。
判定結果が通知されていない場合、処理はステップS224に進む。
ステップS223において、攻撃判定依頼部114は、判定結果を受け取る。
ステップS224において、通信状況確認部112は、外部ネットワーク202の通信状況を確認する。
ステップS224は、実施の形態1におけるステップS102と同じである。
ステップS224は、実施の形態1におけるステップS102と同じである。
ステップS225において、依頼先決定部113は、外部ネットワーク202の通信状況に基づいて、攻撃判定の依頼先について変更の要否を判定する。
例えば、外部ネットワーク202との接続状態が「接続済み」以外の状態から「接続済み」に変わった場合、依頼先決定部113は、攻撃判定の依頼先の変更が必要であると判定する。
例えば、外部ネットワーク202との接続状態が「接続済み」以外の状態のまま変わらない場合、依頼先決定部113は、攻撃判定の変更が不要であると判定する。
例えば、外部ネットワーク202との接続状態が「接続済み」以外の状態のまま変わらない場合、依頼先決定部113は、攻撃判定の変更が不要であると判定する。
攻撃判定の依頼先の変更が必要であると判定された場合、処理はステップS226に進む。
攻撃判定の依頼先の変更が不要であると判定された場合、処理はステップS222に進む。
攻撃判定の依頼先の変更が不要であると判定された場合、処理はステップS222に進む。
ステップS226において、攻撃判定依頼部114は、攻撃判定の中止を攻撃判定部120に指示する。
攻撃判定の中止が指示された場合、攻撃判定部120は攻撃判定を中止する。
ステップS226の後、処理はステップS211に進む。
攻撃判定の中止が指示された場合、攻撃判定部120は攻撃判定を中止する。
ステップS226の後、処理はステップS211に進む。
図13に基づいて、攻撃判定部120による攻撃手口判定を説明する。
ステップS231において、攻撃判定部120は、判定中止が指示されたか判定する。
判定中止が指示された場合、攻撃判定部120は攻撃判定を中止する。
判定中止が指示されていない場合、処理はステップS232に進む。
ステップS231において、攻撃判定部120は、判定中止が指示されたか判定する。
判定中止が指示された場合、攻撃判定部120は攻撃判定を中止する。
判定中止が指示されていない場合、処理はステップS232に進む。
ステップS232からステップS234は、実施の形態1における処理(S111〜S113)と同じである。
図14に基づいて、攻撃判定部120による攻撃シナリオ判定を説明する。
ステップS241において、攻撃判定部120は、判定中止が指示されたか判定する。
判定中止が指示された場合、攻撃判定部120は攻撃判定を中止する。
判定中止が指示されていない場合、処理はステップS242に進む。
ステップS241において、攻撃判定部120は、判定中止が指示されたか判定する。
判定中止が指示された場合、攻撃判定部120は攻撃判定を中止する。
判定中止が指示されていない場合、処理はステップS242に進む。
ステップS242からステップS244は、実施の形態1における処理(S121〜S123)と同じである。
***実施の形態2の効果***
実施の形態2により、通信状況の変化に対処することができる。
具体的には、攻撃判定を攻撃判定装置210に依頼してから攻撃判定装置210から判定結果を受け取るまでの間に通信状況が悪化しても、攻撃判定部120から判定結果を得ることができる。つまり、通信状況が変化しても攻撃検知を継続して行うことができる。
また、攻撃判定を攻撃判定部120に依頼してから攻撃判定部120から判定結果を受けるまでの間に通信状況が良化した場合、攻撃判定部120による攻撃判定を中止して、攻撃判定装置210から判定結果を得ることができる。そのため、攻撃検知のために車載システム100にかかる処理負荷を軽減することができる。
実施の形態2により、通信状況の変化に対処することができる。
具体的には、攻撃判定を攻撃判定装置210に依頼してから攻撃判定装置210から判定結果を受け取るまでの間に通信状況が悪化しても、攻撃判定部120から判定結果を得ることができる。つまり、通信状況が変化しても攻撃検知を継続して行うことができる。
また、攻撃判定を攻撃判定部120に依頼してから攻撃判定部120から判定結果を受けるまでの間に通信状況が良化した場合、攻撃判定部120による攻撃判定を中止して、攻撃判定装置210から判定結果を得ることができる。そのため、攻撃検知のために車載システム100にかかる処理負荷を軽減することができる。
***実施の形態2の補足***
攻撃判定の依頼先が変更される場合、攻撃判定依頼部114は、攻撃判定のうちの実行済みの処理によって得られた判定結果(部分結果)を旧依頼先から受け取り、部分結果を新依頼先へ通知してもよい。新依頼先は、部分結果を受け取り、実行済みの処理以降の処理を実行する。
攻撃判定の依頼先が変更される場合、攻撃判定依頼部114は、攻撃判定のうちの実行済みの処理によって得られた判定結果(部分結果)を旧依頼先から受け取り、部分結果を新依頼先へ通知してもよい。新依頼先は、部分結果を受け取り、実行済みの処理以降の処理を実行する。
実施の形態3.
通信状況に応じて判定内容を制御する形態について、主に実施の形態1と異なる点を図15から図17に基づいて説明する。
通信状況に応じて判定内容を制御する形態について、主に実施の形態1と異なる点を図15から図17に基づいて説明する。
***構成の説明***
攻撃検知システム200の構成は、実行制御部110の構成を除き、実施の形態1における構成と同じである(図1および図2を参照)。
攻撃検知システム200の構成は、実行制御部110の構成を除き、実施の形態1における構成と同じである(図1および図2を参照)。
図15に基づいて、実行制御部110の構成を説明する。
実行制御部110は、判定内容決定部115を備える。
他の構成は、実施の形態1における構成と同じである。
実行制御部110は、判定内容決定部115を備える。
他の構成は、実施の形態1における構成と同じである。
***動作の説明***
図16に基づいて、実行制御処理を説明する。
ステップS301において、ログデータ集合取得部111は、ログデータ集合を取得する。
ステップS301は、実施の形態1におけるステップS101と同じである。
図16に基づいて、実行制御処理を説明する。
ステップS301において、ログデータ集合取得部111は、ログデータ集合を取得する。
ステップS301は、実施の形態1におけるステップS101と同じである。
ステップS302において、通信状況確認部112は、外部ネットワーク202の通信状況を確認する。
ステップS302は、実施の形態1におけるステップS102と同じである。
ステップS302は、実施の形態1におけるステップS102と同じである。
ステップS303において、依頼先決定部113は、外部ネットワーク202の通信状況に基づいて、攻撃判定の依頼先を決定する。
攻撃判定の依頼先を決定する方法は、実施の形態1のステップS103における方法と同じである。
攻撃判定の依頼先を決定する方法は、実施の形態1のステップS103における方法と同じである。
判定内容決定部115は、外部ネットワーク202の通信状況に基づいて、判定内容を決定する。
例えば、判定内容決定部115は、攻撃手口判定と攻撃シナリオ判定とのそれぞれの判定内容を以下のように決定する。
外部ネットワーク202との接続状態が「接続済み」または「切断済み」である場合、判定内容決定部115は、攻撃手口判定と攻撃シナリオ判定とのそれぞれの判定内容を「全判定」に決定する。「全判定」は、攻撃手口リストに登録された全ての攻撃手口情報および攻撃シナリオリストに登録された全ての攻撃シナリオに対して行う攻撃判定である。
外部ネットワーク202との接続状態が「中間状態」である場合、判定内容決定部115は、攻撃手口判定と攻撃シナリオ判定とのそれぞれの判定内容を「部分判定」に決定する。「部分判定」は、攻撃手口リストに登録された一部の攻撃手口情報および攻撃シナリオに登録された一部の攻撃シナリオに対して行う攻撃判定である。
外部ネットワーク202との接続状態が「接続済み」または「切断済み」である場合、判定内容決定部115は、攻撃手口判定と攻撃シナリオ判定とのそれぞれの判定内容を「全判定」に決定する。「全判定」は、攻撃手口リストに登録された全ての攻撃手口情報および攻撃シナリオリストに登録された全ての攻撃シナリオに対して行う攻撃判定である。
外部ネットワーク202との接続状態が「中間状態」である場合、判定内容決定部115は、攻撃手口判定と攻撃シナリオ判定とのそれぞれの判定内容を「部分判定」に決定する。「部分判定」は、攻撃手口リストに登録された一部の攻撃手口情報および攻撃シナリオに登録された一部の攻撃シナリオに対して行う攻撃判定である。
攻撃判定の依頼先が攻撃判定装置210(外部)である場合、処理はステップS304に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS305に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS305に進む。
ステップS304において、攻撃判定依頼部114は、判定内容を指定して攻撃判定を攻撃判定装置210に依頼する。
ステップS305において、攻撃判定依頼部114は、判定内容を指定して攻撃判定を攻撃判定部120に依頼する。
図17に基づいて、攻撃判定部120による攻撃判定を説明する。
攻撃判定装置210による攻撃判定は、攻撃判定部120による攻撃判定と同じである。
攻撃判定装置210による攻撃判定は、攻撃判定部120による攻撃判定と同じである。
ステップS311において、攻撃判定部120は、攻撃手口判定に対する判定内容を確認する。
判定内容が「全判定」である場合、処理はステップS312に進む。
判定内容が「部分判定」である場合、処理はステップS313に進む。
判定内容が「全判定」である場合、処理はステップS312に進む。
判定内容が「部分判定」である場合、処理はステップS313に進む。
ステップS312において、攻撃判定部120は攻撃手口判定を行う。
攻撃手口判定は、実施の形態1で説明した通りである(図8参照)。
攻撃手口判定は、実施の形態1で説明した通りである(図8参照)。
ステップS313において、攻撃判定部120は一部手口判定を行う。
一部手口判定は、攻撃手口リストに登録された一部の攻撃手口情報に対して行う攻撃手口判定である。
例えば、攻撃判定部120は、攻撃手口リストの代わりに一部手口リストを用いて、攻撃手口判定を行う。一部手口リストは、攻撃手口リストに登録された一部の攻撃手口情報を示し、記憶部190に予め記憶される。
一部手口判定は、攻撃手口リストに登録された一部の攻撃手口情報に対して行う攻撃手口判定である。
例えば、攻撃判定部120は、攻撃手口リストの代わりに一部手口リストを用いて、攻撃手口判定を行う。一部手口リストは、攻撃手口リストに登録された一部の攻撃手口情報を示し、記憶部190に予め記憶される。
ステップS314において、攻撃判定部120は、攻撃シナリオ判定に対する判定内容を確認する。
判定内容が「全判定」である場合、処理はステップS315に進む。
判定内容が「部分判定」である場合、処理はステップS316に進む。
判定内容が「全判定」である場合、処理はステップS315に進む。
判定内容が「部分判定」である場合、処理はステップS316に進む。
ステップS315において、攻撃判定部120は攻撃シナリオ判定を行う。
攻撃シナリオ判定は、実施の形態1で説明した通りである(図9参照)。
攻撃シナリオ判定は、実施の形態1で説明した通りである(図9参照)。
ステップS316において、攻撃判定部120は一部シナリオ判定を行う。
一部シナリオ判定は、攻撃シナリオリストに登録された一部の攻撃シナリオ情報に対して行う攻撃シナリオ判定である。
例えば、攻撃判定部120は、攻撃シナリオリストの代わりに一部シナリオリストを用いて、攻撃シナリオ判定を行う。一部シナリオリストは、攻撃シナリオリストに登録された一部の攻撃シナリオ情報を示し、記憶部190に予め記憶される。
一部シナリオ判定は、攻撃シナリオリストに登録された一部の攻撃シナリオ情報に対して行う攻撃シナリオ判定である。
例えば、攻撃判定部120は、攻撃シナリオリストの代わりに一部シナリオリストを用いて、攻撃シナリオ判定を行う。一部シナリオリストは、攻撃シナリオリストに登録された一部の攻撃シナリオ情報を示し、記憶部190に予め記憶される。
***実施の形態3の効果***
実施の形態3により、通信状況に応じて判定内容を制御することができる。そのため、通信状況に関わらず、攻撃検知の少なくとも一部を継続させることが可能となる。
実施の形態3により、通信状況に応じて判定内容を制御することができる。そのため、通信状況に関わらず、攻撃検知の少なくとも一部を継続させることが可能となる。
***実施の形態3の補足***
実施の形態3は、実施の形態2と組み合わせて実施されてもよい。つまり、実施の形態3において、攻撃判定依頼部114は、通信状況の変化に応じて攻撃判定の依頼先を変更してもよい。
実施の形態3は、実施の形態2と組み合わせて実施されてもよい。つまり、実施の形態3において、攻撃判定依頼部114は、通信状況の変化に応じて攻撃判定の依頼先を変更してもよい。
実施の形態4.
システム状況を考慮して攻撃判定の依頼先を決定する形態について、主に実施の形態1と異なる点を図18および図19に基づいて説明する。
システム状況を考慮して攻撃判定の依頼先を決定する形態について、主に実施の形態1と異なる点を図18および図19に基づいて説明する。
***構成の説明***
攻撃検知システム200の構成は、実行制御部110の構成を除き、実施の形態1における構成と同じである(図1および図2を参照)。
攻撃検知システム200の構成は、実行制御部110の構成を除き、実施の形態1における構成と同じである(図1および図2を参照)。
図18に基づいて、実行制御部110の構成を説明する。
実行制御部110は、システム状況確認部116を備える。
他の構成は、実施の形態1における構成と同じである。
実行制御部110は、システム状況確認部116を備える。
他の構成は、実施の形態1における構成と同じである。
***動作の説明***
図19に基づいて、実行制御処理を説明する。
ステップS401において、ログデータ集合取得部111は、ログデータ集合を取得する。
ステップS401は、実施の形態1におけるステップS101と同じである。
図19に基づいて、実行制御処理を説明する。
ステップS401において、ログデータ集合取得部111は、ログデータ集合を取得する。
ステップS401は、実施の形態1におけるステップS101と同じである。
ステップS402において、通信状況確認部112は、外部ネットワーク202の通信状況を確認する。
ステップS402は、実施の形態1におけるステップS102と同じである。
ステップS402は、実施の形態1におけるステップS102と同じである。
ステップS403において、システム状況確認部116は、車載システム100の状況(システム状況)を確認する。
例えば、システム状況確認部116は、車載システム100の負荷状況を確認する。車載システム100の負荷状況は、プロセッサ101の使用率、プロセッサ101の空き時間、メモリ102の使用率およびプロセッサ101の空き容量などによって特定される。
例えば、システム状況確認部116は、車載システム100が搭載された車両220の走行状況を確認する。車両220の走行状況は、走行中または停止中などによって特定される。
例えば、システム状況確認部116は、車載システム100の負荷状況を確認する。車載システム100の負荷状況は、プロセッサ101の使用率、プロセッサ101の空き時間、メモリ102の使用率およびプロセッサ101の空き容量などによって特定される。
例えば、システム状況確認部116は、車載システム100が搭載された車両220の走行状況を確認する。車両220の走行状況は、走行中または停止中などによって特定される。
ステップS404において、依頼先決定部113は、確認された状況に基づいて、攻撃判定の依頼先を決定する。
例えば、依頼先決定部113は、攻撃判定の依頼先を以下のように決定する。
外部ネットワーク202との接続状態が「接続済み」である場合、依頼先決定部113は、攻撃判定装置210を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「切断済み」である場合、依頼先決定部113は、攻撃判定部120を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「中間状態」であり、且つ、車載システム100の負荷状況が「低負荷」である場合、依頼先決定部113は、攻撃判定部120を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「中間状態」であり、且つ、車載システム100の負荷状況が「高負荷」であり、且つ、車両220の走行状況が「走行中」である場合、依頼先決定部113は、攻撃判定部120を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「中間状態」であり、且つ、車載システム100の負荷状況が「高負荷」であり、且つ、車両220の走行状況が「停止中」である場合、依頼先決定部113は、攻撃判定装置210を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「接続済み」である場合、依頼先決定部113は、攻撃判定装置210を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「切断済み」である場合、依頼先決定部113は、攻撃判定部120を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「中間状態」であり、且つ、車載システム100の負荷状況が「低負荷」である場合、依頼先決定部113は、攻撃判定部120を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「中間状態」であり、且つ、車載システム100の負荷状況が「高負荷」であり、且つ、車両220の走行状況が「走行中」である場合、依頼先決定部113は、攻撃判定部120を攻撃判定の依頼先に決定する。
外部ネットワーク202との接続状態が「中間状態」であり、且つ、車載システム100の負荷状況が「高負荷」であり、且つ、車両220の走行状況が「停止中」である場合、依頼先決定部113は、攻撃判定装置210を攻撃判定の依頼先に決定する。
攻撃判定の依頼先が攻撃判定装置210(外部)である場合、処理はステップS405に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS406に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS406に進む。
ステップS405において、攻撃判定依頼部114は、攻撃判定装置210に攻撃判定を依頼する。
ステップS405は、実施の形態1におけるステップS104と同じである。
ステップS405は、実施の形態1におけるステップS104と同じである。
ステップS406において、攻撃判定依頼部114は、攻撃判定部120に攻撃判定を依頼する。
ステップS406は、実施の形態1におけるステップS105と同じである。
ステップS406は、実施の形態1におけるステップS105と同じである。
***実施の形態4の効果***
実施の形態4により、システム状況を考慮して攻撃判定の依頼先を決定することができる。そのため、攻撃判定の依頼先をより適切に決定することが可能となる。
実施の形態4により、システム状況を考慮して攻撃判定の依頼先を決定することができる。そのため、攻撃判定の依頼先をより適切に決定することが可能となる。
***実施の形態4の補足***
実施の形態4は、実施の形態2と組み合わせて実施されてもよい。つまり、実施の形態4において、攻撃判定依頼部114は、通信状況の変化に応じて攻撃判定の依頼先を変更してもよい。
実施の形態4は、実施の形態3と組み合わせて実施されてもよい。つまり、実施の形態4において、実行制御部110が判定内容決定部115を備えてもよい。
実施の形態4は、実施の形態2と組み合わせて実施されてもよい。つまり、実施の形態4において、攻撃判定依頼部114は、通信状況の変化に応じて攻撃判定の依頼先を変更してもよい。
実施の形態4は、実施の形態3と組み合わせて実施されてもよい。つまり、実施の形態4において、実行制御部110が判定内容決定部115を備えてもよい。
実施の形態5.
システム状況を考慮して判定内容を制御する形態について、主に実施の形態3と異なる点を図20から図25に基づいて説明する。
システム状況を考慮して判定内容を制御する形態について、主に実施の形態3と異なる点を図20から図25に基づいて説明する。
***構成の説明***
攻撃検知システム200の構成は、実行制御部110の構成を除き、実施の形態1における構成と同じである(図1および図2を参照)。
攻撃検知システム200の構成は、実行制御部110の構成を除き、実施の形態1における構成と同じである(図1および図2を参照)。
図20に基づいて、実行制御部110の構成を説明する。
実行制御部110は、システム状況確認部116を備える。
他の構成は、実施の形態3における構成と同じである(図15参照)。
実行制御部110は、システム状況確認部116を備える。
他の構成は、実施の形態3における構成と同じである(図15参照)。
***動作の説明***
図19に基づいて、実行制御処理を説明する。
ステップS501において、ログデータ集合取得部111は、ログデータ集合を取得する。
ステップS501は、実施の形態1におけるステップS101と同じである。
図19に基づいて、実行制御処理を説明する。
ステップS501において、ログデータ集合取得部111は、ログデータ集合を取得する。
ステップS501は、実施の形態1におけるステップS101と同じである。
ステップS502において、通信状況確認部112は、外部ネットワーク202の通信状況を確認する。
ステップS502は、実施の形態1におけるステップS102と同じである。
ステップS502は、実施の形態1におけるステップS102と同じである。
ステップS503において、システム状況確認部116は、車載システム100の状況(システム状況)を確認する。
ステップS503は、実施の形態3におけるステップS403と同じである。
ステップS503は、実施の形態3におけるステップS403と同じである。
ステップS504において、依頼先決定部113は、外部ネットワーク202の通信状況に基づいて、攻撃判定の依頼先を決定する。
攻撃判定の依頼先を決定する方法は、実施の形態1のステップS103における方法と同じである。
但し、依頼先決定部113は、実施の形態4におけるステップS404と同じく、通信状況以外の状況を考慮して攻撃判定の依頼先を決定してもよい。
攻撃判定の依頼先を決定する方法は、実施の形態1のステップS103における方法と同じである。
但し、依頼先決定部113は、実施の形態4におけるステップS404と同じく、通信状況以外の状況を考慮して攻撃判定の依頼先を決定してもよい。
判定内容決定部115は、確認された状況に基づいて、判定内容を決定する。
例えば、判定内容決定部115は、確認された状況に基づいて、判定内容を特定するための優先度閾値を算出する。
例えば、判定内容決定部115は、式(1)を計算することによって、優先度閾値を算出する。
max(X、Y)は、「X」と「Y」とのうちの大きい方を選択することを意味する。
「α1」「β1」「α2」「β2」は、予め決められた値である。
CPU負荷は、プロセッサ101の負荷の大きさを表す値である。
走行状況度は、車両220の速度、車両220の操舵角および車両220の加速度などを用いて算出される値である。
max(X、Y)は、「X」と「Y」とのうちの大きい方を選択することを意味する。
「α1」「β1」「α2」「β2」は、予め決められた値である。
CPU負荷は、プロセッサ101の負荷の大きさを表す値である。
走行状況度は、車両220の速度、車両220の操舵角および車両220の加速度などを用いて算出される値である。
優先度閾値 = max(負荷状況閾値、走行状況閾値) ・・・(1)
負荷状況閾値 = α1 × CPU負荷 + β1
走行状況閾値 = α2 × 走行状況度 + β2
負荷状況閾値 = α1 × CPU負荷 + β1
走行状況閾値 = α2 × 走行状況度 + β2
攻撃判定の依頼先が攻撃判定装置210(外部)である場合、処理はステップS505に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS506に進む。
攻撃判定の依頼先が攻撃判定部120(内部)である場合、処理はステップS506に進む。
ステップS505において、攻撃判定依頼部114は、判定内容を指定して攻撃判定を攻撃判定装置210に依頼する。
攻撃判定装置210は、指定された判定内容に従って攻撃判定を行う。例えば、攻撃判定装置210は、実施の形態3における処理と同じように攻撃判定を行う(図17参照)。
攻撃判定装置210は、指定された判定内容に従って攻撃判定を行う。例えば、攻撃判定装置210は、実施の形態3における処理と同じように攻撃判定を行う(図17参照)。
ステップS506において、攻撃判定依頼部114は、判定内容を指定して攻撃判定を攻撃判定部120に依頼する。
攻撃判定部120は、指定された判定内容に従って攻撃判定を行う。例えば、攻撃判定部120は、実施の形態3における処理と同じように攻撃判定を行う(図17参照)。
攻撃判定部120は、指定された判定内容に従って攻撃判定を行う。例えば、攻撃判定部120は、実施の形態3における処理と同じように攻撃判定を行う(図17参照)。
判定内容が優先度閾値によって特定される場合の攻撃判定について、以下に説明する。
図22に基づいて、攻撃判定部120による攻撃手口判定を説明する。
攻撃判定装置210による攻撃手口判定は、攻撃判定部120による攻撃手口判定と同じである。
図22に基づいて、攻撃判定部120による攻撃手口判定を説明する。
攻撃判定装置210による攻撃手口判定は、攻撃判定部120による攻撃手口判定と同じである。
ステップS511において、攻撃判定部120は、攻撃手口リスト191から、優先度閾値以上の優先度を有する攻撃手口情報群を抽出する。
図23に、攻撃手口リスト191の具体例を示す。
攻撃手口リスト191は、1つ以上の攻撃手口情報を含む。
それぞれの攻撃手口情報は、識別子(ID)と攻撃手口名と優先度とを示す。
例えば、優先度閾値が「8」である場合、攻撃判定部120は、ID「B」の攻撃手口情報およびID「C」の攻撃手口情報などを攻撃手口リスト191から抽出する。
攻撃手口リスト191は、1つ以上の攻撃手口情報を含む。
それぞれの攻撃手口情報は、識別子(ID)と攻撃手口名と優先度とを示す。
例えば、優先度閾値が「8」である場合、攻撃判定部120は、ID「B」の攻撃手口情報およびID「C」の攻撃手口情報などを攻撃手口リスト191から抽出する。
図22に戻り、ステップS512から説明を続ける。
ステップS512において、攻撃判定部120は、抽出された攻撃手口情報群から、未選択の攻撃手口情報を1つ選択する。
ステップS512において、攻撃判定部120は、抽出された攻撃手口情報群から、未選択の攻撃手口情報を1つ選択する。
ステップS513において、攻撃判定部120は、選択された攻撃手口情報に合致するログデータがログデータ集合に含まれるか判定する。
ステップS513は、実施の形態1におけるステップS112と同じである。
ステップS513は、実施の形態1におけるステップS112と同じである。
ステップS514において、攻撃判定部120は、抽出された攻撃手口情報群の中に未選択の攻撃手口情報があるか判定する。
未選択の攻撃手口情報がある場合、処理はステップS512に進む。
未選択の攻撃手口情報がない場合、攻撃手口判定は終了する。
未選択の攻撃手口情報がある場合、処理はステップS512に進む。
未選択の攻撃手口情報がない場合、攻撃手口判定は終了する。
図24に基づいて、攻撃判定部120による攻撃シナリオ判定を説明する。
攻撃判定装置210による攻撃シナリオ判定は、攻撃判定部120による攻撃シナリオ判定と同じである。
攻撃判定装置210による攻撃シナリオ判定は、攻撃判定部120による攻撃シナリオ判定と同じである。
ステップS521において、攻撃判定部120は、攻撃シナリオリスト192から、優先度閾値以上の優先度を有する攻撃シナリオ群を抽出する。
図25に、攻撃シナリオリスト192の具体例を示す。
攻撃シナリオリスト192は、1つ以上の攻撃シナリオ情報を含む。
それぞれの攻撃シナリオ情報は、識別子(ID)と攻撃シナリオと優先度とを示す。
例えば、優先度閾値が「8」である場合、攻撃判定部120は、ID「2」の攻撃シナリオなどを攻撃シナリオリスト192から抽出する。
攻撃シナリオリスト192は、1つ以上の攻撃シナリオ情報を含む。
それぞれの攻撃シナリオ情報は、識別子(ID)と攻撃シナリオと優先度とを示す。
例えば、優先度閾値が「8」である場合、攻撃判定部120は、ID「2」の攻撃シナリオなどを攻撃シナリオリスト192から抽出する。
図24に戻り、ステップS522から説明を続ける。
ステップS522において、攻撃判定部120は、抽出された攻撃シナリオ群から、未選択の攻撃シナリオを1つ選択する。
ステップS522において、攻撃判定部120は、抽出された攻撃シナリオ群から、未選択の攻撃シナリオを1つ選択する。
ステップS523において、攻撃判定部120は、選択された攻撃シナリオに合致するログデータ群がログデータ集合に含まれるか判定する。
ステップS523は、実施の形態1におけるステップS122と同じである。
ステップS523は、実施の形態1におけるステップS122と同じである。
ステップS524において、攻撃判定部120は、抽出された攻撃シナリオ群の中に未選択の攻撃シナリオがあるか判定する。
未選択の攻撃シナリオがある場合、処理はステップS522に進む。
未選択の攻撃シナリオがない場合、攻撃シナリオ判定は終了する。
未選択の攻撃シナリオがある場合、処理はステップS522に進む。
未選択の攻撃シナリオがない場合、攻撃シナリオ判定は終了する。
***実施の形態5の効果***
実施の形態5により、システム状況を考慮して判定内容を制御することができる。そのため、システム状況に関わらず、攻撃検知の少なくとも一部を継続させることが可能となる。
実施の形態5により、システム状況を考慮して判定内容を制御することができる。そのため、システム状況に関わらず、攻撃検知の少なくとも一部を継続させることが可能となる。
***実施の形態5の補足***
実施の形態5は、実施の形態2と組み合わせて実施されてもよい。つまり、実施の形態5において、攻撃判定依頼部114は、通信状況の変化に応じて攻撃判定の依頼先を変更してもよい。
実施の形態5は、実施の形態2と組み合わせて実施されてもよい。つまり、実施の形態5において、攻撃判定依頼部114は、通信状況の変化に応じて攻撃判定の依頼先を変更してもよい。
***実施の形態の補足***
図26に基づいて、車載システム100のうちの攻撃検知装置のハードウェア構成を説明する。
車載システム100は処理回路109を備える。
処理回路109は、実行制御部110と攻撃判定部120とログ取得部131とログ管理部132とを実現するハードウェアである。
処理回路109は、専用のハードウェアであってもよいし、メモリ102に格納されるプログラムを実行するプロセッサ101であってもよい。
図26に基づいて、車載システム100のうちの攻撃検知装置のハードウェア構成を説明する。
車載システム100は処理回路109を備える。
処理回路109は、実行制御部110と攻撃判定部120とログ取得部131とログ管理部132とを実現するハードウェアである。
処理回路109は、専用のハードウェアであってもよいし、メモリ102に格納されるプログラムを実行するプロセッサ101であってもよい。
処理回路109が専用のハードウェアである場合、処理回路109は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
ASICは、Application Specific Integrated Circuitの略称である。
FPGAは、Field Programmable Gate Arrayの略称である。
ASICは、Application Specific Integrated Circuitの略称である。
FPGAは、Field Programmable Gate Arrayの略称である。
車載システム100は、処理回路109を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路109の役割を分担する。
車載システム100において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
このように、処理回路109はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
車載システム100の要素である「部」は、「処理」または「工程」と読み替えてもよい。
100 車載システム、101 プロセッサ、102 メモリ、103 補助記憶装置、104 通信装置、109 処理回路、110 実行制御部、111 ログデータ集合取得部、112 通信状況確認部、113 依頼先決定部、114 攻撃判定依頼部、115 判定内容決定部、116 システム状況確認部、120 攻撃判定部、131 ログ取得部、132 ログ管理部、190 記憶部、191 攻撃手口リスト、192 攻撃シナリオリスト、200 攻撃検知システム、201 クラウド、202 外部ネットワーク、210 攻撃判定装置、220 車両。
Claims (10)
- 組み込みシステムに含まれる攻撃検知装置であって、
前記組み込みシステムに対する攻撃の有無を判定する攻撃判定部と、
外部ネットワークの通信状況を確認する通信状況確認部と、
前記外部ネットワークの通信状況に基づいて、前記組み込みシステムの外部に設けられて前記外部ネットワークに接続する攻撃判定装置と、前記攻撃判定部とのいずれかを、攻撃判定の依頼先に決定する依頼先決定部と、
決定された依頼先に攻撃判定を依頼する攻撃判定依頼部と、
を備える攻撃検知装置。 - 前記通信状況確認部は、攻撃判定中に、前記外部ネットワークの通信状況を確認し、
前記依頼先決定部は、攻撃判定中に、前記外部ネットワークの通信状況に基づいて、攻撃判定の依頼先について変更の要否を判定し、
前記攻撃判定依頼部は、攻撃判定の依頼先について変更が必要であると判定された場合、攻撃判定の依頼先を変更する
請求項1に記載の攻撃検知装置。 - 前記攻撃検知装置は、前記外部ネットワークの通信状況に基づいて、攻撃判定の内容である判定内容を決定する判定内容決定部を備え、
前記攻撃判定依頼部は、決定された判定内容を指定して攻撃判定を依頼する
請求項1または請求項2に記載の攻撃検知装置。 - 前記判定内容決定部は、攻撃シナリオリストに登録された全ての攻撃シナリオに対する判定を行う全判定と、前記攻撃シナリオリストに登録された一部の攻撃シナリオに対する判定を行う部分判定とのいずれかを、判定内容に決定する
請求項3に記載の攻撃検知装置。 - 前記判定内容決定部は、さらに、攻撃手口リストに登録された全ての攻撃手口に対する判定を行う全判定と、前記攻撃手口リストに登録された一部の攻撃シナリオに対する判定を行う部分判定とのいずれかを、判定内容に決定する
請求項4に記載の攻撃検知装置。 - 前記攻撃検知装置は、前記組み込みシステムの状況を確認するシステム状況確認部を備え、
前記依頼先決定部は、前記外部ネットワークの通信状況と前記組み込みシステムの状況とに基づいて、攻撃判定の依頼先を決定する
請求項3から請求項5のいずれか1項に記載の攻撃検知装置。 - 前記組み込みシステムは、車両に搭載される車載システムであり、
前記システム状況確認部は、前記車載システムの負荷状況と前記車両の走行状況とを確認する
請求項6に記載の攻撃検知装置。 - 前記判定内容決定部は、前記外部ネットワークの通信状況と前記組み込みシステムの状況とに基づいて、判定内容を決定する
請求項6または請求項7に記載の攻撃検知装置。 - 前記攻撃検知装置は、前記組み込みシステムの状況を確認するシステム状況確認部を備え、
前記依頼先決定部は、前記外部ネットワークの通信状況と前記組み込みシステムの状況とに基づいて、攻撃判定の依頼先を決定する
請求項1または請求項2に記載の攻撃検知装置。 - 組み込みシステムにおける攻撃検知プログラムであって、
前記組み込みシステムに対する攻撃の有無を判定する攻撃判定処理と、
外部ネットワークの通信状況を確認する通信状況確認処理と、
前記外部ネットワークの通信状況に基づいて、前記組み込みシステムの外部に設けられて前記外部ネットワークに接続する攻撃判定装置と、前記攻撃判定処理とのいずれかを、攻撃判定の依頼先に決定する依頼先決定処理と、
決定された依頼先に攻撃判定を依頼する攻撃判定依頼処理と、
をコンピュータに実行させるための攻撃検知プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/008881 WO2020179021A1 (ja) | 2019-03-06 | 2019-03-06 | 攻撃検知装置および攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6896194B2 true JP6896194B2 (ja) | 2021-06-30 |
| JPWO2020179021A1 JPWO2020179021A1 (ja) | 2021-09-13 |
Family
ID=72337067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021503340A Active JP6896194B2 (ja) | 2019-03-06 | 2019-03-06 | 攻撃検知装置および攻撃検知プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210352091A1 (ja) |
| JP (1) | JP6896194B2 (ja) |
| CN (1) | CN113508558B (ja) |
| DE (1) | DE112019006821B4 (ja) |
| WO (1) | WO2020179021A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023233711A1 (ja) * | 2022-05-30 | 2023-12-07 | パナソニックIpマネジメント株式会社 | 情報処理方法、異常判定方法、および、情報処理装置 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7007302B1 (en) * | 2001-08-31 | 2006-02-28 | Mcafee, Inc. | Efficient management and blocking of malicious code and hacking attempts in a network environment |
| JP2004252642A (ja) * | 2003-02-19 | 2004-09-09 | Matsushita Electric Ind Co Ltd | ウイルス検出方法、ウイルス検出装置、ウイルス検出サーバ及びウイルス検出クライアント |
| US9173100B2 (en) * | 2011-11-16 | 2015-10-27 | Autoconnect Holdings Llc | On board vehicle network security |
| US8776235B2 (en) * | 2012-01-10 | 2014-07-08 | International Business Machines Corporation | Storage device with internalized anti-virus protection |
| EP3751818A1 (en) * | 2012-10-17 | 2020-12-16 | Tower-Sec Ltd. | A device for detection and prevention of an attack on a vehicle |
| US9282110B2 (en) * | 2013-11-27 | 2016-03-08 | Cisco Technology, Inc. | Cloud-assisted threat defense for connected vehicles |
| US9533597B2 (en) * | 2014-03-05 | 2017-01-03 | Ford Global Technologies, Llc | Parameter identification offloading using cloud computing resources |
| JP6263437B2 (ja) * | 2014-05-07 | 2018-01-17 | 日立オートモティブシステムズ株式会社 | 検査装置、検査システム及び検査方法 |
| WO2016046819A1 (en) * | 2014-09-25 | 2016-03-31 | Tower-Sec Ltd. | Vehicle correlation system for cyber attacks detection and method thereof |
| JP6573819B2 (ja) * | 2015-01-20 | 2019-09-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム |
| US9866542B2 (en) * | 2015-01-28 | 2018-01-09 | Gm Global Technology Operations | Responding to electronic in-vehicle intrusions |
| US9800546B2 (en) * | 2015-03-04 | 2017-10-24 | Electronics And Telecommunications Research Institute | One-way gateway, and vehicle network system and method for protecting network within vehicle using one-way gateway |
| KR101638613B1 (ko) * | 2015-04-17 | 2016-07-11 | 현대자동차주식회사 | 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법 |
| US9686294B2 (en) * | 2015-06-15 | 2017-06-20 | Check Point Software Technologies Ltd. | Protection of communication on a vehicular network via a remote security service |
| US11115433B2 (en) * | 2015-06-29 | 2021-09-07 | Argus Cyber Security Ltd. | System and method for content based anomaly detection in an in-vehicle communication network |
| EP3968575A1 (en) | 2015-12-16 | 2022-03-16 | Panasonic Intellectual Property Corporation of America | Security processing method and server |
| JP6839963B2 (ja) * | 2016-01-08 | 2021-03-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 異常検知方法、異常検知装置及び異常検知システム |
| US11089033B2 (en) * | 2016-04-26 | 2021-08-10 | Mitsubishi Electric Corporation | Intrusion detection device, intrusion detection method, and computer readable medium |
| US10332320B2 (en) * | 2017-04-17 | 2019-06-25 | Intel Corporation | Autonomous vehicle advanced sensing and response |
| KR102411961B1 (ko) * | 2017-09-07 | 2022-06-22 | 현대자동차주식회사 | 차량 및 그 제어 방법 |
| US10498749B2 (en) | 2017-09-11 | 2019-12-03 | GM Global Technology Operations LLC | Systems and methods for in-vehicle network intrusion detection |
| US11086997B1 (en) * | 2018-02-26 | 2021-08-10 | United States Of America As Represented By The Secretary Of The Air Force | Active attestation of embedded systems |
| US11551552B2 (en) * | 2018-07-30 | 2023-01-10 | GM Global Technology Operations LLC | Distributing processing resources across local and cloud-based systems with respect to autonomous navigation |
| US10990669B2 (en) * | 2018-10-09 | 2021-04-27 | Bae Systems Controls Inc. | Vehicle intrusion detection system training data generation |
| US20200117495A1 (en) * | 2018-10-15 | 2020-04-16 | GM Global Technology Operations LLC | Zone compute and control architecture |
| US10951728B2 (en) * | 2019-02-11 | 2021-03-16 | Blackberry Limited | Proxy for access of a vehicle component |
| WO2020180300A1 (en) * | 2019-03-05 | 2020-09-10 | Mentor Graphics Corporation | Machine learning-based anomaly detections for embedded software applications |
-
2019
- 2019-03-06 JP JP2021503340A patent/JP6896194B2/ja active Active
- 2019-03-06 WO PCT/JP2019/008881 patent/WO2020179021A1/ja active Application Filing
- 2019-03-06 CN CN201980092991.1A patent/CN113508558B/zh active Active
- 2019-03-06 DE DE112019006821.0T patent/DE112019006821B4/de active Active
-
2021
- 2021-07-19 US US17/379,306 patent/US20210352091A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| DE112019006821B4 (de) | 2023-02-09 |
| CN113508558A (zh) | 2021-10-15 |
| CN113508558B (zh) | 2023-01-31 |
| WO2020179021A1 (ja) | 2020-09-10 |
| DE112019006821T5 (de) | 2021-11-11 |
| JPWO2020179021A1 (ja) | 2021-09-13 |
| US20210352091A1 (en) | 2021-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6761793B2 (ja) | 車両用制御装置 | |
| JP6723955B2 (ja) | 情報処理装置及び異常対処方法 | |
| US7783794B2 (en) | Remote USB access method | |
| EP2372521A2 (en) | Remote direct storage access | |
| CN111434090A (zh) | 用于向车载网络提供安全性的系统及方法 | |
| JP4377463B2 (ja) | 少なくとも2つのプロセッサからなるコンピュータ装置のモニタ方法および装置 | |
| JP2018062320A (ja) | 情報処理装置、情報処理方法、および情報処理システム | |
| CN114065196A (zh) | Java内存马检测方法、装置、电子设备与存储介质 | |
| US20170331787A1 (en) | Unauthorized communication detection system and unauthorized communication detection method | |
| WO2021084961A1 (ja) | 分析装置及び分析方法 | |
| JP6896194B2 (ja) | 攻撃検知装置および攻撃検知プログラム | |
| WO2021111681A1 (ja) | 情報処理装置、制御方法及びプログラム | |
| WO2021205633A1 (ja) | 制御装置および制御方法 | |
| KR101825956B1 (ko) | 컴퓨팅 장치 및 이를 이용하는 파일 배포 시스템 | |
| JP7514586B2 (ja) | 情報処理装置、情報処理方法、および、プログラム | |
| JP2019047177A (ja) | 監視装置、監視システムおよびコンピュータプログラム | |
| US10089200B2 (en) | Computer apparatus and computer mechanism | |
| JP6507075B2 (ja) | 不正通信検知装置、不正通信検知システム、及び不正通信を検知する方法 | |
| JP7471532B2 (ja) | 制御装置 | |
| WO2022255245A1 (ja) | インテグリティ検証装置及びインテグリティ検証方法 | |
| CN110166473B (zh) | 网络数据传输检测方法、装置、设备和介质 | |
| JP7408033B2 (ja) | 車載制御装置 | |
| WO2023233711A1 (ja) | 情報処理方法、異常判定方法、および、情報処理装置 | |
| KR102006232B1 (ko) | 복수개의 디바이스 정보 종합 분석을 통한 디바이스 이상 징후 탐지 방법 및 그 장치 | |
| WO2023238438A1 (ja) | 監視装置および監視方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210322 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210322 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20210426 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210511 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210608 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6896194 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |