JP7006622B2 - 抽出装置、抽出方法と抽出プログラム、ならびに、異常検知装置、異常検知方法 - Google Patents

抽出装置、抽出方法と抽出プログラム、ならびに、異常検知装置、異常検知方法 Download PDF

Info

Publication number
JP7006622B2
JP7006622B2 JP2018562439A JP2018562439A JP7006622B2 JP 7006622 B2 JP7006622 B2 JP 7006622B2 JP 2018562439 A JP2018562439 A JP 2018562439A JP 2018562439 A JP2018562439 A JP 2018562439A JP 7006622 B2 JP7006622 B2 JP 7006622B2
Authority
JP
Japan
Prior art keywords
predetermined value
message
order
interval
extraction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018562439A
Other languages
English (en)
Other versions
JPWO2018135604A1 (ja
Inventor
萌 栗田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2018135604A1 publication Critical patent/JPWO2018135604A1/ja
Application granted granted Critical
Publication of JP7006622B2 publication Critical patent/JP7006622B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/254Extract, transform and load [ETL] procedures, e.g. ETL data flows in data warehouses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2801Broadband local area networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • G06F3/0482Interaction with lists of selectable items, e.g. menus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices
    • H04W88/184Messaging devices, e.g. message centre
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1881Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with schedule organisation, e.g. priority, sequence management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、抽出装置ならびに異常検知装置等に関する。
自動車の機能増加に伴い、自動車に搭載される電子制御ユニット(ECU:Electronic Control Unit)の数は増加する傾向にある。この種のECUは、車載用の通信プロトコルであるCAN(Controller Area Network)に準拠した車載LAN(Local Area Network)と接続され、ECU間のメッセージの送受信を中継している。
近年では、ナビゲーションシステムのように自動車が外部ネットワークと通信する機会が増えている。一方で、自動車がハッキングの対象となり、内部プログラムの書き換えによって自動車が運転者の意図しない動作を起こす可能性が指摘されている。このような攻撃を防止するため、車載ネットワークを流れる特定のメッセージの周期に注目し、特定のメッセージが一定の周期でネットワークを流れている状態を正常状態とし、そのメッセージの周期が変化したときに異常状態として検知する手法がある(特許文献1)。
また、メッセージの周期の他に、メッセージの順序に注目した異常検知の手法がある(非特許文献1)。非特許文献1は、ドライバーの運転動作に応じてECUからメッセージが定められた順序関係で車載ネットワークを流れることを利用し、そのメッセージの順序が変化したときに異常状態として検知する手法である。
特開2014-146868号公報
Soohyun Ahn et al. "A Countermeasure against Spoofing and DoS Attacks based on Message Sequence and Temporary ID in CAN", SCIS 2016 (2016 Symposium on Cryptography and Information Security, Jan. 19 - 22, 2016), The Institute of Electronics, Information and Communication Engineers
一方、非特許文献1の手法は、メッセージの順序が既知であることが前提であり、メッセージの順序に関する情報を事前知識として得ておく必要がある。しかしながら、メッセージの詳細な仕様が公開されているとは限らず、メッセージの順序が未知な場合もある。この場合、メッセージの順序を用いた異常検知を実施することができない。
本発明の目的は、メッセージログからメッセージの順序を抽出する抽出装置等を提供することにある。あるいは、メッセージの順序が未知のメッセージログであってもメッセージの異常を検知できる異常検知装置等を提供することにある。
本発明の抽出装置の一態様は、メッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成する間隔分析部と、前記所定値集合から前記メッセージの順序を示す所定値順序を抽出する順序抽出部を備える。
本発明の抽出方法の一態様は、メッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成し、前記所定値集合から前記メッセージの順序を示す所定値順序を抽出する。
本発明の抽出プログラムの一態様は、メッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成し、前記所定値集合から前記メッセージの順序を示す所定値順序を抽出することをコンピュータに実行させる。
本発明の異常検知装置の一態様は、上述の抽出装置と、検査装置を備え、前記検査装置は、検査対象となるメッセージの所定値の順序が、前記抽出装置で抽出された前記所定値順序を満たすか検査する順序検査部を備える。
本発明の異常検知方法の一態様は、上述の抽出方法によって前記所定値順序を抽出し、検査対象となるメッセージの所定値の順序が、前記所定値順序を満たすか検査する。
本発明の異常検知システムの一態様は、メッセージを送信する複数のノードと、上述の異常検知装置を備える。
本発明の抽出装置によれば、メッセージログからメッセージの順序を抽出することができる。また、本発明の異常検知装置によれば、メッセージの順序が未知のメッセージログであってもメッセージの異常を検知することができる。
第1の実施形態に係る抽出装置の構成を示すブロック図である。 メッセージログの一例を示す図である。 出現間隔別のID集合の一例を示す図である。 ID集合から切出される時系列区間の一例を示す図である。 設定された時系列区間1~3の一例を示す図である。 各時系列区間におけるIDを頂点とする有向グラフの行列を示す図である。 正常な状態のグラフの行列と冗長データを引いたグラフの行列を示す図である。 メッセージIDの順序関係を示すID順序集合の一例を示す図である。 第1の実施形態に係る抽出装置の動作を示すフローチャートである。 第1の実施形態における所定値集合生成処理の動作を示すフローチャートである。 第1の実施形態における所定値順序抽出処理の動作を示すフローチャートである。 第2の実施形態に係る異常検知装置の構成を示すブロック図である。 第2の実施形態に係る異常検知装置の動作を示すフローチャートである。 第3の実施形態に係る異常検知システムの構成を示す構成図である。 第3の実施形態に係る異常検知装置の構成を示すブロック図である。 第3の実施形態における間隔分析部の動作を示すフローチャートである。 第3の実施形態における順序抽出部の動作を示すフローチャートである。 第3の実施形態に係る検査装置の動作を示すフローチャートである。 異常検知装置をネットワークシステムに適用した例を示すブロック図である。 第1~第3の実施形態における抽出装置、第2、3の実施形態における検査装置、異常検知装置をコンピュータで実現したハードウエア構成を示すブロック図である。
(第1の実施形態)
第1の実施形態の抽出装置について図面を用いて説明する。第1の実施形態の抽出装置は、メッセージの順序が未知のメッセージログのうち、ネットワーク上の各ノードがそれぞれ周期的に送信するメッセージに着目し、出現間隔が同一であるメッセージの集合からメッセージの順序関係を導出する例である。
第1の実施形態に係る抽出装置の一態様について図面を用いて説明する。第1の実施形態において、抽出装置がメッセージログからメッセージの順序を抽出する例を説明する。
第1の実施形態の説明において、メッセージは、ネットワークに接続された複数のノードからブロードキャスト送信され、ネットワーク上を同時に流れないものとする。メッセージログは、各ノードが送信したメッセージの履歴である。メッセージログには、各ノードから一定の間隔で送信されたメッセージが含まれるものとする。また、メッセージログにおけるメッセージの順序関係は未知であるものとする。
図1は、第1の実施形態に係る抽出装置の構成を示すブロック図である。図1に示す抽出装置11は、間隔分析部111、順序抽出部112を備える。以下、間隔分析部111、順序抽出部112について具体的に説明する。
間隔分析部111は、メッセージログからメッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である所定値の所定値集合を生成する機能を有する。
メッセージを識別する所定値の一例は、メッセージID(Identifier)である。なお、メッセージを識別する所定値は、メッセージID以外に、例えば、メッセージIDとメッセージのデータの組合せを抽象化した整数であってもよい。また、その組合せは、メッセージIDとデータに限られず、宛先(アドレス)とデータ、コマンドとデータ、又は、データAとデータBの組合せであってもよい。以下の第1の実施形態の説明では、メッセージを識別する所定値としてメッセージIDを用いた例で説明する。
図2は、メッセージログの一例を示す図である。メッセージログには、タイムスタンプ、及び、メッセージID(以下、単にIDとして示す場合もある)含まれる。メッセージIDは、メッセージを識別する識別子である。図2におけるタイムスタンプは、最初のメッセージの到着からの経過時間(ms)が、メッセージIDごとに記録されたものである。
間隔分析部111は、メッセージログに出現間隔が同一であるメッセージが存在するか確認する。具体的には、まず、間隔分析部111は、メッセージログに重複するメッセージIDが存在するか確認する。重複するメッセージIDが存在する場合、間隔分析部111は、重複するメッセージIDのタイムスタンプの経過時間からメッセージIDの出現間隔を算出する。メッセージIDの出現間隔の算出誤差に対するマージンを考慮することが好ましい。
例えば、図2に示すメッセージログにおいて、メッセージID420(以下、単にID420と示す)の出現間隔は10msとなる。間隔分析部111は、メッセージログに含まれるメッセージID毎の出現間隔を順次算出し、メッセージIDを同一の出現間隔毎に分類したID集合を生成する。
図3は、出現間隔別のID集合の一例を示す図である。図3において、出現間隔10msのID集合としてメッセージID{420、432、490、472、・・・}が生成され、及び、出現間隔20msのID集合としてメッセージID{880、882、884、・・・}が生成されている。これら出現間隔10msのメッセージ及び出現間隔20msのメッセージを出現間隔が一定のメッセージと称することもできる。なお、出現間隔が同一でないメッセージIDは、図3のID1130、ID1128に示すように不定として分類される。間隔分析部111によるID集合の生成は、メッセージログのメッセージの数が一定量以上(例えば、1000個以上)ある状態で実行することが好ましい。
順序抽出部112は、所定値集合からメッセージの順序を示す所定値順序を抽出する機能を有する。具体的には、順序抽出部112は、所定値集合に含まれる所定値の識別数に基づいて、所定値集合から複数の時系列区間を設定し、複数の時系列区間で共通する所定値順序を抽出する。例えば、間隔分析部111が生成したID集合のうち、同一の出現間隔のID集合から複数の時系列区間を設定し、設定された複数の時系列区間で共通するID順序を抽出する。
以下、順序抽出部112の詳細について説明する。順序抽出部112は、出現間隔別のID集合から出現間隔のID集合を1つ選択する。例えば、順序抽出部112は、図3に示す出現間隔別のID集合のうち、出現間隔10msのID集合を選択する。順序抽出部112は、選択された出現間隔のID集合の中にメッセージIDがn種類含まれている場合、ID集合のうち、メッセージIDのn個(nは2以上の整数)の並びを1つの時系列区間とし、複数の時系列区間の先頭が同じメッセージIDとなるように複数の時系列区間を設定する。
図4は、ID集合から切出される時系列区間の例を示す図である。図4の例では、出現間隔10msのメッセージIDが5種類あり、時系列区間1、2の先頭のメッセージIDが420となる時系列区間が切出されている。時系列区間の数は3つ以上でもよく、時系列区間の数が増えるほど、順序抽出部112が抽出するID順序の精度が高くなる。
順序抽出部112は、時系列区間の所定値を頂点とし、所定値の順序を枝とした有向グラフを用いて、所定値集合からメッセージの順序を示す所定値順序を抽出する機能を有する。以下、順序抽出部112が複数の時系列区間からID順序を抽出する手順について、図5に示す時系列区間1~3を用いて具体的に説明する。図5は、同一の出現間隔のID集合から切出された時系列区間1~3の一例を示す図である。図5中、ID集合の中のIDの種類は5種類あり、時系列区間1~3の先頭の共通のIDが420となるように設定された例である。なお、時系列区間1~3は、出現間隔10msのID集合から切出された例であるとする。
ここで、1つの時系列区間の中のIDの順序は、IDを頂点とし、各ID間の順序を頂点に向かう枝とする有向グラフとして表すことができる。図6は、時系列区間1~3の有向グラフを行列の形で示した図である。図6中、行のIDが列のIDよりも前に存在する場合、その行列要素を1とし、行のIDが列のIDより後に存在する場合、行列要素を0とする。なお、行と列でIDが同じ場合、行列要素は0とする。例えば、時系列区間1の履歴において、ID490がID472の前に存在するため、行が490で列が472の行列要素は1となり、逆に、が472、が490の行列要素は0となる。同様にして他の行列要素および、他の時系列区間に対応する行列要素も同様に定義する。
次に、複数の時系列区間でIDの順序が保たれている状態を正常状態として、正常状態の有向グラフを、3つの時系列区間の行列要素の論理積の形で定義する。この時、行が490、列が428の要素が1であることは、ID490とID428の順序において、ID490はID428より常に前に存在することを意味する。この事実により、正常状態では常にこの順番が保持されるものと判断する。なお時系列区間の数が多いほど、正常状態のグラフの行列要素の成分が偶然に1になる確率は低くなる。
最後に、正常状態を示すグラフの行列表現から冗長な行列要素を取り除く。図7は、正常な状態のグラフの行列と冗長データを引いたグラフの行列を示す図である。例で示した正常状態の行列表現では、行432と列428の要素が1であり、ID432がID428の前に来ることを示している。行432と列490の要素、および、行490と列428の両方が1であるため、ID432がID428に先行することは明白であり、行432と列428の要素を1にする必要はない。
図7に示す行列表現において、行420列432、行432列472、行432列490、行490列428の要素のみが1となる。時系列区間1~3の間で共通したID順序が保たれた経路の抽出が可能になる。
順序抽出部112は、出現間隔が同一であるID集合ごとに有向グラフを用いた行列演算によってID順序を抽出し、ID順序集合を生成する。図8は、メッセージIDの順序関係を示すID順序集合の一例を示す図である。図8の出現間隔10msに示すように、ID順序の抽出結果には、同じ出現間隔で2つのID順序が抽出される場合もある。
第1の実施形態に係る抽出装置の動作について図面を用いて説明する。図9は、第1の実施形態に係る抽出装置の動作を示すフローチャートである。
間隔分析部111は、メッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である所定値の所定値集合を生成する(ステップS101)。例えば、間隔分析部111は、各ノードからのメッセージの出現間隔が同一であるメッセージIDのID集合を生成する。
図10は、ステップS101の所定値集合の生成処理の動作を示すフローチャートである。間隔分析部111は、所定値集合の生成処理として、重複する所定値のタイムスタンプから所定値の出現間隔を算出する(ステップS1011)。例えば、間隔分析部111は、メッセージログに重複するメッセージIDが存在するか確認し、重複するメッセージIDが存在する場合、重複するメッセージID毎にタイムスタンプの経過時間からメッセージIDの出現間隔を算出する。
さらに、間隔分析部111は、出現間隔が同一となる所定値集合を生成する(ステップS1012)。例えば、間隔分析部111は、メッセージログに含まれるメッセージID毎の出現間隔を順次算出し、メッセージIDを同一の出現間隔毎に分類したID集合を生成する。
次に、順序抽出部112は、ステップS101の後、順序抽出処理として、所定値集合からメッセージの順序を示す所定値順序を抽出する(ステップS102)。例えば、順序抽出部112は、間隔分析部111が生成したID集合から、メッセージの順序関係を示すID順序を抽出する。図11は、ステップS102の所定値順序の抽出処理の動作を示すフローチャートである。
順序抽出部112は、出現間隔が同一である所定値の所定値集合から複数の時系列区間を設定する(ステップS1021)。例えば、順序抽出部112は、ID集合に含まれるIDの種別数に応じて、出現間隔が同一であるメッセージIDのID集合から複数の時系列区間を設定する。次に、複数の時系列区間で共通する所定値順序を抽出する(ステップS1022)。例えば、順序抽出部112は、設定された複数の時系列区間で共通するID順序を抽出する。
具体的には、順序抽出部112は、時系列区間の中のIDの順序を、IDを頂点とし、ID順序を頂点に向かう経路の枝とする有向グラフの行列を作成する。有向グラフの行列は、行のIDが列のIDよりも前に存在する場合、その行列要素を1とし、行のIDが列のIDより後に存在する場合、行列要素を0とする。なお、行と列でIDが同じ場合、行列要素は0と定義する。同様にして他の行列要素および、他の時系列区間に対応する行列要素も同様に定義する。次に、順序抽出部112は、複数の時系列区間でIDの順序が保たれている状態を正常状態として、正常状態の有向グラフを、3つの時系列区間の行列要素の論理積により算出する。なお時系列区間の数が多いほど、正常状態のグラフの行列要素の成分が偶然に1になる確率は低くなる。
最後に、順序抽出部112は、正常状態を示すグラフの行列表現から冗長な行列要素を引いたグラフの行列を求め、複数の時系列区間で共通するID順序を抽出する。
順序抽出部112は、出現間隔が同一であるID集合ごとに有向グラフを用いた行列演算によってID順序を抽出し、ID順序集合を生成する。
第1の実施形態の順序抽出処理において、複数の時系列区間で共通するID順序を抽出する際に、IDを頂点とし、ID順序を頂点に向かう経路の枝とする有向グラフの行列を用いることにより、他の手法を用いることもできる。例えば、Prefix-Span、Apriori-Allを用いて確信度100%としてID順序を抽出するよりも少ない計算量でID順序を抽出することができる。
第1の実施形態の抽出装置によれば、メッセージの順序が未知であるメッセージログからメッセージの順序関係を抽出することが可能となる。
(第2の実施形態)
次に、第2の実施形態に係る異常検知装置の一態様について図面を用いて説明する。第2の実施形態の異常検知装置は、第1の実施形態の抽出装置を用いた異常検知装置の例である。第2の実施形態において、第1の実施形態と同様の構成については同一の符号を記して詳細な説明を省略する。
第2の実施形態において、第1の実施形態と同様に、メッセージは、ネットワークに接続された複数のノードからブロードキャスト送信され、ネットワーク上を同時に流れないものとする。メッセージログは、各ノードが送信したメッセージの履歴である。メッセージログには、各ノードから一定の間隔で送信されたメッセージが含まれているものとする。また、メッセージログにおけるメッセージの順序関係は未知であるものとする。
図12は、第2の実施形態に係る異常検知装置の構成を示すブロック図である。図12に示す異常検知装置10は、抽出装置11および検査装置12を備える。検査装置12は、抽出装置11が生成したID順序集合を取得可能であるとする。第2の実施形態の抽出装置11は、第1の実施形態の抽出装置11と同様の構成であり、詳細な説明は省略する。以下の第2の実施形態の説明では、第1の実施形態と同様に、メッセージを識別する所定値としてメッセージIDを用いた例で説明する。
図12に示すように、検査装置12は、順序検査部122を備える。順序検査部122は、検査対象のメッセージの所定値の順序が、抽出された所定値順序を満たすか検査する機能を有する。例えば、順序検査部122は、検査対象となるメッセージのメッセージIDを順次取得し、取得したメッセージIDの順序が、抽出装置11が抽出したID順序を満たすかを検査する。第2の実施形態において、検査装置12が検査対象とするメッセージは、第1の実施形態のメッセージログに対応するネットワーク上を流れるメッセージであるとする。
第2の実施形態に係る異常検知装置の動作について図面を用いて説明する。図13は、第2の実施形態に係る異常検知装置の動作を示すフローチャートである。図13において、第2の実施形態の抽出装置11の動作を示すステップS101およびステップS102は、第1の実施形態の抽出装置11の動作と同様であり詳細な説明は省略する。なお、以下は、検査装置12が、抽出装置11が生成したID順序集合を取得した後の動作の例として説明する。
検査装置12の順序検査部122は、検査対象のメッセージの所定値の順序が、抽出された所定値順序を満たすか検査する(ステップS203)。例えば、検査対象となるメッセージIDを順次取得し、検査対象のメッセージIDの順序が、抽出されたID順序を満たすか検査する。なお、検査装置12が順次取得する検査対象となるメッセージは、検査装置12を含む異常検知装置10がネットワークから取得してもよく、他の装置から検査対象となるメッセージを取得してもよい。
以下、検査装置12の動作について説明する。具体例には、検査装置12が、図8に示すID順序集合を抽出装置11から取得する例を用いて説明する。順序検査部122は、取得したメッセージIDが、ID420の次にID490であった場合、図8に示す出現間隔10msのID順序[ID420→ID432→ID490→ID428]に基づいて、検査対象のメッセージIDの順序が正常であると判定する。
もし検査対象のメッセージIDが、ID490の後にID420であった場合、順序検査部122は、ID490とID420の順序に異常があると判定する。
第2の実施形態の異常検知装置によれば、メッセージの順序が未知のメッセージログであってもメッセージの順序の異常を検知することができる。その理由は、異常検知装置10の抽出装置11がメッセージの順序が未知のメッセージログからメッセージのID順序を抽出し、検査装置12は、抽出されたID順序を用いてメッセージの順序の異常を検知できるからである。
(第3の実施形態)
第3の実施形態に係る異常検知システム、異常検知装置の一態様について、図面を用いて説明する。図14に示す異常検知システム20は、異常検知装置30、複数のノード21を備える。異常検知装置30およびノード21は、バスを介してそれぞれ接続されネットワークが形成されている。
ノード21(ノード21A、ノード21B、ノード21Cの総称として示す)は、ネットワーク内の異常検知装置30および他のノード21に対してメッセージをブロードキャスト送信する。なお、ノード21は、複数のメッセージが同時にバスを流れることがないように送信制御されるものとする。ノード21の一例は、通信プロトコルCAN(Controller Area Network)に準拠した車載LAN(Local Area Network)と接続される電子制御ユニット(ECU:Electronic Control Unit)である。ノード21は、複数のメッセージを送信し、メッセージに応じて周期的、または不定にメッセージを送信するものとする。また、メッセージには少なくともメッセージの識別子(ID:Identifier)が含まれる。以下の第3の実施形態の説明においてもメッセージを識別する所定値としてメッセージIDを用いた例で説明する。
第3の実施形態に係る異常検知装置について、図面を用いて説明する。図15は、第3の実施形態に係る異常検知装置の構成を示すブロック図である。図15に示す異常検知装置30は、抽出装置31、記憶装置33、検査装置32を備える。
抽出装置31は、間隔分析部311および順序抽出部312を備える。記憶装置33は、履歴記憶部331、間隔記憶部332、順序記憶部333を備える。検査装置32は、間隔検査部321、順序検査部322を備える。
抽出装置31は、第1の実施形態の抽出装置と同様の機能を有する。以下、第1の実施形態の抽出装置と同一の機能については詳細な説明を省略して説明する。抽出装置31は、履歴記憶部331に保存されたメッセージログを参照し、メッセージログに含まれるメッセージIDのID順序を抽出する。抽出装置31は、抽出結果を順序記憶部333に記録する。
次に、抽出装置31について説明する。各ノード21が送信したメッセージは、異常検知装置30の取得部(図示せず)によって履歴記憶部331に保存される。履歴記憶部331に保存されるメッセージログは、例えば、図2に示すメッセージログである。メッセージログには、異常検知装置30が受信したノード21からのメッセージのメッセージIDおよびタイムスタンプが含まれる。タイムスタンプは、異常検知装置30によるメッセージの受信開始後の経過時間(ms)が記憶されている。メッセージログには、メッセージIDおよびタイムスタンプ以外の情報が含まれてもよい。
間隔分析部311は、履歴記憶部331のメッセージログのうち、同じメッセージIDが存在するか確認し、存在する場合、そのメッセージIDの出現間隔を導出し分析する。出現間隔の導出は、第1の実施形態で説明した内容と同様であり、詳しい説明は省略する。この分析は、一定量以上(例えば、1000個以上)の同一のメッセージIDが履歴記憶部331に蓄積された段階で実行される。
メッセージIDの出現間隔の分析の結果、出現間隔が同一のメッセージIDが存在する場合、間隔分析部311は、メッセージIDとその出現間隔を関連付けて間隔記憶部332に記録する。出現間隔が同一でないメッセージIDの場合、間隔分析部311は、一定値のない不定として間隔記憶部332に保存する。
間隔記憶部332に保存される情報は、出現間隔別に分類されたメッセージIDのID集合であり、出現間隔が同一でない場合は不定であるとして保存される。間隔記憶部332に保存される情報は、例えば、図3に示す出現間隔別のID集合である。
なお、間隔分析部311がメッセージIDの出現間隔が同一であると判断する条件は、間隔分析部311に予め与えられており、例えば、1000回の同一のメッセージIDにおける出現間隔の平均が10msで、平均からの差分が全て2ms以下である場合、間隔分析部311は、出現間隔が同一であるメッセージIDと判断する。
順序抽出部312は、出現間隔別に分類されたメッセージIDのID集合に対して、ID順序に関する法則が存在する場合、そのID順序を抽出する機能を有する。具体的には、順序抽出部312は、出現間隔が同一であるメッセージIDのID集合に対して、所定のID順序が常に成り立つかを分析する。例えば、ID22,ID25,ID30のメッセージが常にこの順序で送信されている場合は、この順序を順序記憶部333に保存する。
次に、順序抽出部312によるID順序の抽出について、具体例を用いて説明する。順序抽出部312は、間隔記憶部332を参照し、複数のIDが同一の出現間隔を持つ場合、それらをID順序抽出の対象とする。
間隔記憶部332にID420,ID422,ID427,ID428,ID432,ID472,ID476,ID490,ID493,ID507が同一の出現間隔(例:10ms)を持つと記録された場合を例とする。順序抽出部312は、最初にこの情報を元に、履歴記憶部331の記録からこれらのIDのメッセージだけを抜き出す。
次に、順序抽出部312は、IDを一つ選択し(例えば、ID420)、ID420で始まりID420で終わる時系列区間をID集合から抜き出す。ID420で始まりID420で終わる時系列区間を抜き出す例は、図4に示す時系列区間と同様である。順序抽出部312は、ID集合から複数の時系列区間を抜き出す。
例えば、順序抽出部312は、出現間隔10msの時系列区間1、2、3においてID順序[ID420→ID432→ID490→ID428]と[ID420→ID432→ID472]を抽出し、その結果を順序記憶部333に記録する。順序記憶部333に記録された抽出結果は、例えば、図8のような情報である。このように順序抽出部312は、IDの集合と、そのIDが共有する出現間隔の時間周期の形式で記録する。
記憶装置33は、履歴記憶部331、間隔記憶部332、順序記憶部333を備える。
履歴記憶部331は、起動時から現在までのメッセージログを記憶する。これは、送信時間とメッセージが持つIDの集合である。IDの種類の数はネットワークのプロトコルに依存する。あるいは、抽出装置31が分析した結果を保存する。
間隔記憶部332は、各IDの出現間隔を記憶する。一定の出現間隔を持たないIDである場合、出現間隔が不定であることを記録する。
順序記憶部333は、一定順序ID抽出部において抽出された一定の順序を保持し送信されるIDの集合を記憶する。一定順序集合の抽出は同一の出現間隔周期を持ったIDに対して行われるため、順序記憶部333には抽出された集合と出現間隔を記録する。
検査装置32は、記憶装置33に保存されたメッセージのID順序、あるいは、メッセージIDの一定の出現間隔を示す正常状態情報を参照し、新たにノードから送信されたメッセージIDが正常状態を満たすかを検査する。
間隔検査部321は、メッセージIDの出現間隔を用いて受信したメッセージの異常を検出する。具体的には、間隔検査部321は、各メッセージに対して、IDからそれが一定の出現間隔で送信されるIDであるかを間隔分析部311の分析結果から参照する。一定の出現間隔で送信されるIDである場合、前回送信された同一IDの出現間隔が、間隔分析部311で分析したそのIDの出現間隔に等しいかを検査する。等しくない場合、異常と判定する。
順序検査部322は、メッセージIDの出現順序に基づいて異常を検出する。順序検査部322は、順序記憶部333に保存されたID順序関係を満たすかを検査する。例えばID22,ID25,ID30のメッセージの順序が一定と分析された場合、ID30のメッセージが送信された際に、ID25のメッセージをID22のメッセージの後に受信しているかを検査する。ID22のメッセージが送信された後に、ID25のメッセージが送信されないうちにID30のメッセージが送信された場合は異常であり、このような異常がないかを検査する。異常が存在した場合、異常と判定する。
次に第3の実施形態の異常検知装置の動作について、図面を用いて説明する。はじめに、抽出装置31の間隔分析部311の動作について図面を用いて説明する。図16は、間隔分析部の動作を示すフローチャートである。図中、メッセージIDを単にIDと示す場合がある。
間隔分析部311は、異常検知装置30が受信したメッセージIDに基づいて、そのメッセージIDの出現間隔が分析済みであるかを確認する(ステップS401)。具体的には、間隔分析部311は、受信したメッセージIDの出現間隔の分析結果が間隔記憶部332に存在するか確認する。分析結果とは、出現間隔が一定であるメッセージが分類された出現間隔別のIDグループを示す(図3参照)。
メッセージIDの出現間隔が分析済みでない場合(ステップS401のNo)、間隔分析部311は、受信したメッセージIDの数が、メッセージIDの出現間隔を分析できる程度、履歴記憶部331の受信履歴に記憶されているか判断する。
出現間隔が同じIDのメッセージが所定数受信済みである場合(ステップS402のYes)、間隔分析部311は、受信したメッセージIDの出現間隔が一定か分析する(ステップS40)。
一方、分析結果が間隔記憶部332に存在し、メッセージIDの出現間隔が分析済みである場合(ステップS401のYes)、間隔分析部311は、受信したメッセージに対してメッセージIDの出現間隔が一定であるか調べる(ステップS405)。
一方、ステップS402において、出現間隔が同じメッセージIDのメッセージが所定数受信済みでない場合(ステップS402のNo)、メッセージIDの出現間隔が一定でない場合(ステップS405のNo)、間隔分析部311は、履歴記憶部331に受信したメッセージの内容を保存する(ステップS406)。
メッセージIDの出現間隔が一定でない場合(ステップS403のNo)、間隔分析部311は、間隔記憶部332に当該メッセージIDの出現間隔が一定でない、不定であることを保存する(ステップS404)。
また、ステップS403において、メッセージIDの出現間隔が一定である場合(ステップS403のYes)、間隔分析部311は、間隔記憶部332にメッセージIDと当該メッセージIDに対応する一定の出現間隔を関連づけて保存する(ステップS407)。
メッセージIDの出現間隔が一定であると判断された場合(ステップS405のYes)、および、ステップS407の処理後、間隔分析部311は、順序抽出部312へメッセージを転送する(ステップS408)。
以下、抽出装置31の順序抽出部312の動作について図面を用いて説明する。図17は、順序抽出部の動作を示すフローチャートである。
(順序抽出部の動作)
順序抽出部312は、メッセージIDの出現間隔について、ID順序集合が抽出済みか順序記憶部333を調べる(ステップS411)。
ID順序集合が抽出済みでない場合(ステップS411のNo)、順序抽出部312は、メッセージのIDの出現間隔と同じ出現間隔を持つIDが複数存在するか間隔記憶部332を確認する(ステップS412)。
メッセージのIDの出現間隔と同じ出現間隔を持つIDが複数存在する場合(ステップS412のYes)、それらIDの出現間隔と同じ出現間隔のIDのメッセージが一定数以上存在するか履歴記憶部331を確認する(ステップS413)。
履歴記憶部331に一定数以上のメッセージが存在する場合(ステップS413のYes)、順序抽出部312は、出現順序が同一であるIDのID集合を抽出し(ステップS414)、抽出結果を順序記憶部333に記憶する。
順序ID集合が抽出済みの場合(ステップS411のYes)、及び、IDの出現間隔と同じ出現間隔を持つIDが複数存在しない場合(ステップS412のNo)、履歴記憶部331に条件に合うメッセージが一定数以上存在しない場合(ステップS413のNo)、ステップS414の処理が終わった場合(ステップS414のNo)、順序抽出部312は、受信したメッセージを間隔検査部321へ転送する(ステップS415)
以下、検査装置32の動作について図面を用いて説明する。図18は、検査装置の動作を示すフローチャートである。
間隔検査部321は、履歴記憶部331に保存した、メッセージと同じIDのメッセージの前回受信時間と、今回の時間差が間隔記憶部332に記憶したIDの出現間隔に一致するか確認する(ステップS421)。
IDの出現間隔と一致している場合(ステップS421のYes)、順序検査部322は、順序記憶部333にメッセージのIDを含むID順序集合が存在するか確認する(ステップS422)。
ID順序集合が存在する場合(ステップS422のYes)、順序検査部322は、該当するID順序集合の中で、現在のメッセージIDの前にくるべきIDが履歴記憶部331の記憶でも前に受信しているか調べる(ステップS423)。
受信したメッセージのIDを含むID順序集合が存在しない場合(ステップS422のNo)、及び、今回のメッセージIDの前に受信するべきメッセージを受信している場合、順序検査部322は、順序正常と判定する(ステップS425)。
受信メッセージと同じIDのメッセージの前回受信時間と、今回の受信時間の差が間隔記憶部332に記憶したIDの出現間隔に一致しない場合(ステップS421のNo)、及び、今回のメッセージIDの前にくるべきIDが履歴記憶部331に記憶されていない場合(ステップS423のNo)、順序検査部322は、異常と判定する(ステップS424)。
ステップS424、ステップS425の処理後、順序検査部322は、履歴記憶部331に判定結果を保存する(ステップS426)。
第3の実施形態の異常検知装置によれば、メッセージ順序による異常検知に加え、メッセージ間隔による異常検知を実施することができ、メッセージの異常検知の精度を高くすることが可能となる。
(第1~第3の実施形態における変形例)
メッセージが流れるネットワークのトポロジは、CANで用いられるバス型以外にスター型、メッシュ型、リング型など他のネットワークトポロジにも適用できる。
上記説明において、メッセージは、ネットワークに接続された複数のノードからブロードキャスト送信される例で説明したが、これに限られない。例えば、ノードからユニキャスト通信されるメッセージの例であっても適用できる。
CANの車載ネットワークのメッセージの例で説明したが、これに限られるものではない。例えば、車載ネットワーク以外に産業用ネットワーク等、他のネットワークシステムにも適用できる。
図19は、異常検知装置を他のネットワークシステムに適用した例を示すブロック図である。図19のネットワークシステムは、複数のノード、スイッチ、コントローラを備え、スイッチは、コントローラからの指示に応じて、スイッチに入力されたメッセージをノードに転送する。図19の(a)に示すように異常検知装置がスイッチと接続され、スイッチに入力されるメッセージを異常検知装置が異常検知する構成でもよい。さらに、図19の(b)に示すように、異常検知装置をスイッチの内部に配置した構成でもよい。またスイッチ内部に検査装置を配置し、抽出装置をスイッチ外部に配置した構成でもよい。
第1~第3の実施形態で説明したメッセージログには、タイムスタンプ、メッセージのID以外の情報が含まれていてもよく、例えば、メッセージのデータが含まれていてもよい。また、メッセージログは、一時的な記憶装置(例えば、RAM)に記憶される構成でもよい。
(ハードウエア構成)
図20は、第1~第3の実施形態における抽出装置、又は、第2、第3の検査装置、及び、異常検知装置をコンピュータで実現したハードウエア構成を示す図である。第1~第3の実施形態において抽出装置、検査装置、又は、異常検知装置の各構成要素は、機能単位のブロックで記述されている。抽出装置、検査装置、又は、異常検知装置の各構成要素の一部又は全部は、例えば、図20に示すようなコンピュータとプログラムとの任意の組み合わせにより実現される。コンピュータは、一例として、以下のような構成を含む。
CPU(Central Processing Unit)601、
ROM(Read Only Memory)602、
RAM(Random Access Memory)603、
RAM603にロードされるプログラム604、
プログラム604を格納する記憶装置605、
記憶媒体606の読み書きを行うドライブ装置607、
通信ネットワーク609と接続する通信インターフェース608、
データの入出力を行う入出力インターフェース610、
各構成要素を接続するバス611
抽出装置、検査装置、又は、異常検知装置の各構成要素は、これらの機能を実現するプログラム604をCPU601が取得して実行することで実現される。各構成要素の機能を実現するプログラム604は、例えば、予め記憶装置605、ROM602又はRAM603に格納されており、必要に応じてCPU601が読み出す。なお、プログラム604は、通信ネットワーク609を介してCPU601に供給されてもよいし、予め記憶媒体606に格納されており、ドライブ装置607が当該プログラムを読み出してCPU601に供給してもよい。
抽出装置、検査装置、又は、異常検知装置の実現方法には、様々な変形例がある。例えば、抽出装置、検査装置、又は、異常検知装置は、各構成要素にそれぞれ別個のコンピュータとプログラムとの任意の組み合わせにより実現されてもよい。また、抽出装置、検査装置、又は、異常検知装置が備える複数の構成要素が、一つのコンピュータとプログラムとの任意の組み合わせにより実現されてもよい。
また、抽出装置、検査装置、又は、異常検知装置の各構成要素の一部又は全部は、その他の汎用または専用の回路、プロセッサ等やこれらの組み合わせによって実現される。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。また、コンピュータの代わりにFPGA(Field-Programmable Gate Array)のようなプログラマブルロジックデバイスを用いてもよい。
さらに、抽出装置、検査装置、又は、異常検知装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
また、抽出装置、検査装置、又は、異常検知装置の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、コンピュータや回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
上記の実施形態の一部又は全部は、以下の付記のように記載されうるが、以下には限られない。
(付記1)
メッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成する間隔分析手段と、
前記所定値集合から前記メッセージの順序を示す所定値順序を抽出する順序抽出手段を備える、抽出装置。
(付記2)
前記順序抽出手段は、前記所定値集合に含まれる前記所定値の識別数に基づいて、前記所定値集合から複数の時系列区間を設定し、前記複数の時系列区間で共通する前記所定値順序を抽出する、
付記1に記載の抽出装置。
(付記3)
前記所定値は、メッセージIDとメッセージのデータ、宛先とデータ、コマンドとデータ、又は、2つのデータの組合せを抽象化した整数、あるいいは、メッセージを識別する識別子である、
付記1又は2に記載の抽出装置。
(付記4)
前記順序抽出手段は、前記時系列区間の前記所定値を頂点とし、前記所定値の順序を枝とした有向グラフを用いて前記所定値順序を抽出する、
付記1乃至3のいずれか1つに記載の抽出装置。
(付記5)
メッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成し、
前記所定値集合から前記メッセージの順序を示す所定値順序を抽出する、
抽出方法。
(付記6)
メッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成し、
前記所定値集合から前記メッセージの順序を示す所定値順序を抽出する、
ことをコンピュータに実行させる抽出プログラム。
(付記7)
付記1乃至4のいずれか1つに記載の抽出装置と、検査装置を備え、
前記検査装置は、検査対象となるメッセージの所定値の順序が前記抽出装置で抽出された前記所定値順序を満たすか検査する順序検査手段を備える、
異常検知装置。
(付記8)
前記検査装置は、前記検査対象となるメッセージの所定値の出現間隔が、前記所定値集合のうち特定の所定値の出現間隔の同一性を検査する間隔検査手段を、更に備える、
付記7に記載の異常検知装置。
(付記9)
付記5に記載の抽出方法によって前記所定値順序を抽出し、
検査対象となるメッセージの所定値の順序が、前記所定値順序を満たすか検査する、
異常検知方法。
(付記10)
メッセージを送信する複数のノードと、
付記7又は8に記載の異常検知装置を備える、
異常検知システム。
この出願は、2017年1月19日に出願された日本出願特願2017-007835を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 異常検知装置
11 抽出装置
12 検査装置
20 異常検知システム
21、21A、21B、21C ノード
30 異常検知装置
31 抽出装置
32 検査装置
33 記憶装置
111 間隔分析部
112 順序抽出部
122 順序検査部
311 間隔分析部
312 順序抽出部
321 間隔検査部
321 間隔検査部
322 順序検査部
331 履歴記憶部
332 間隔記憶部
333 順序記憶部
601 CPU
602 ROM
603 RAM
604 プログラム
605 記憶装置
606 記憶媒体
607 ドライブ装置
608 通信インターフェース
609 通信ネットワーク
610 入出力インターフェース
611 バス

Claims (8)

  1. メッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成する間隔分析手段と、
    前記所定値集合から前記メッセージの順序を示す所定値順序を抽出する順序抽出手段を備え
    前記所定値は、メッセージIDとメッセージのデータ、宛先とデータ、コマンドとデータ、若しくは、2つのデータの組合せのいずれかを抽象化した整数、又は、メッセージを識別する識別子であり、
    前記順序抽出手段は、前記所定値集合に含まれる前記所定値の識別数に基づいて、前記所定値集合から複数の時系列区間を設定し、前記複数の時系列区間で共通する前記所定値順序を抽出する、抽出装置。
  2. 前記順序抽出手段は、前記時系列区間の前記所定値を頂点とし、前記所定値の順序を枝とした有向グラフを用いて前記所定値順序を抽出する、
    請求項に記載の抽出装置。
  3. メッセージIDとメッセージのデータ、宛先とデータ、コマンドとデータ、若しくは、2つのデータの組合せのいずれかを抽象化した整数、又は、メッセージを識別する識別子であるメッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成し、
    前記所定値集合に含まれる前記所定値の識別数に基づいて、前記所定値集合から複数の時系列区間を設定し、
    前記所定値集合から、前記複数の時系列区間で共通する、前記メッセージの順序を示す所定値順序を抽出する、
    抽出方法。
  4. メッセージIDとメッセージのデータ、宛先とデータ、コマンドとデータ、若しくは、2つのデータの組合せのいずれかを抽象化した整数、又は、メッセージを識別する識別子であるメッセージを識別する所定値と前記メッセージのタイムスタンプから導出された前記所定値の出現間隔とに基づいて、前記出現間隔が同一である前記所定値の所定値集合を生成し、
    前記所定値集合に含まれる前記所定値の識別数に基づいて、前記所定値集合から複数の時系列区間を設定し、
    前記所定値集合から、前記複数の時系列区間で共通する、前記メッセージの順序を示す所定値順序を抽出する、
    ことをコンピュータに実行させる抽出プログラム。
  5. 請求項1又は2に記載の抽出装置と、検査装置を備え、
    前記検査装置は、検査対象となるメッセージの所定値の順序が前記抽出装置で抽出された前記所定値順序を満たすか検査する順序検査手段を備える、
    異常検知装置。
  6. 前記検査装置は、前記検査対象となるメッセージの所定値の出現間隔が、前記所定値集合のうち特定の所定値の出現間隔の同一性を検査する間隔検査手段を、更に備える、
    請求項に記載の異常検知装置。
  7. 請求項に記載の抽出方法によって前記所定値順序を抽出し、
    検査対象となるメッセージの所定値の順序が、前記所定値順序を満たすか検査する、
    異常検知方法。
  8. メッセージを送信する複数のノードと、
    請求項5又は6に記載の異常検知装置を備える、
    異常検知システム。
JP2018562439A 2017-01-19 2018-01-19 抽出装置、抽出方法と抽出プログラム、ならびに、異常検知装置、異常検知方法 Active JP7006622B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017007835 2017-01-19
JP2017007835 2017-01-19
PCT/JP2018/001491 WO2018135604A1 (ja) 2017-01-19 2018-01-19 抽出装置、抽出方法と記憶媒体、ならびに、異常検知装置、異常検知方法

Publications (2)

Publication Number Publication Date
JPWO2018135604A1 JPWO2018135604A1 (ja) 2019-11-07
JP7006622B2 true JP7006622B2 (ja) 2022-01-24

Family

ID=62908114

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018562439A Active JP7006622B2 (ja) 2017-01-19 2018-01-19 抽出装置、抽出方法と抽出プログラム、ならびに、異常検知装置、異常検知方法

Country Status (3)

Country Link
US (1) US20190384771A1 (ja)
JP (1) JP7006622B2 (ja)
WO (1) WO2018135604A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6555559B1 (ja) * 2018-06-15 2019-08-07 パナソニックIpマネジメント株式会社 電子制御装置、監視方法、プログラム及びゲートウェイ装置
WO2020079874A1 (ja) * 2018-10-18 2020-04-23 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
CN113392102A (zh) * 2020-03-12 2021-09-14 尼得科智动株式会社 网关装置和计算机可读介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005195307A (ja) 2004-01-09 2005-07-21 Toshiba Kyaria Kk データ収集方法および中継装置
JP2014191724A (ja) 2013-03-28 2014-10-06 Mitsubishi Electric Corp 入出力制御装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005195307A (ja) 2004-01-09 2005-07-21 Toshiba Kyaria Kk データ収集方法および中継装置
JP2014191724A (ja) 2013-03-28 2014-10-06 Mitsubishi Electric Corp 入出力制御装置

Also Published As

Publication number Publication date
JPWO2018135604A1 (ja) 2019-11-07
WO2018135604A1 (ja) 2018-07-26
US20190384771A1 (en) 2019-12-19

Similar Documents

Publication Publication Date Title
JP7006622B2 (ja) 抽出装置、抽出方法と抽出プログラム、ならびに、異常検知装置、異常検知方法
US11546298B2 (en) Information processing method, information processing system, and non-transitory computer-readable recording medium storing a program
US11113382B2 (en) Vehicle network system whose security is improved using message authentication code
JP2018026791A (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
KR101855753B1 (ko) 차량 진단 게이트웨이 장치 및 이를 포함하는 시스템
CN109005678B (zh) 非法通信检测方法、非法通信检测系统以及记录介质
CN109076016B (zh) 非法通信检测基准决定方法、决定系统以及记录介质
JP7232832B2 (ja) 不正検知方法及び不正検知装置
CN109598135B (zh) 一种工控设备运维信息存储方法、装置及系统
CN110474903B (zh) 可信数据获取方法、装置及区块链节点
US20180310173A1 (en) Information processing apparatus, information processing system, and information processing method
US20110153546A1 (en) State machine with out-of-order processing functionality and method thereof
CN110463138B (zh) 网络结构信息生成方法
CN114731301B (zh) 决定方法、决定系统以及程序记录介质
CN111447166B (zh) 车辆攻击检测方法及装置
JP6962476B2 (ja) 通信装置、通信方法、及び、通信プログラム
JP6342311B2 (ja) CAN(Controller Area Network)通信システム及びエラー情報記録装置
JP6809011B2 (ja) 制御システムの遠隔監視を行う装置およびシステム
CN111903095B (zh) 检测装置及其方法以及记录介质
JP6509344B2 (ja) タグ交換パス接続性の検出方法及び装置
CN104461847B (zh) 数据处理程序检测方法及装置
CN108512675B (zh) 一种网络诊断的方法、装置、控制节点和网络节点
JP2018186486A (ja) 情報処理装置、情報処理システム、および情報処理方法
JP7176564B2 (ja) 監視装置、および、監視方法
US20230327956A1 (en) Network configuration estimation apparatus, network configuration estimation method and program

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190717

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211005

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211022

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211220