JP7124679B2 - 監視装置 - Google Patents

監視装置 Download PDF

Info

Publication number
JP7124679B2
JP7124679B2 JP2018230072A JP2018230072A JP7124679B2 JP 7124679 B2 JP7124679 B2 JP 7124679B2 JP 2018230072 A JP2018230072 A JP 2018230072A JP 2018230072 A JP2018230072 A JP 2018230072A JP 7124679 B2 JP7124679 B2 JP 7124679B2
Authority
JP
Japan
Prior art keywords
message
messages
received
identifier
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018230072A
Other languages
English (en)
Other versions
JP2020092379A (ja
Inventor
友和 守谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2018230072A priority Critical patent/JP7124679B2/ja
Priority to US16/656,766 priority patent/US11005874B2/en
Publication of JP2020092379A publication Critical patent/JP2020092379A/ja
Priority to US17/226,910 priority patent/US11736506B2/en
Application granted granted Critical
Publication of JP7124679B2 publication Critical patent/JP7124679B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークを流れるメッセージを監視する監視装置に関する。
従来、同一の識別子を持つデータの受信周期や、異なる識別子を持つデータの受信間隔、異なる種類のデータ間の関係に基づいて、ネットワーク上の不正なデータを検知する手法が知られている。
例えば、特許文献1には、車載ネットワーク等の周期的にデータを受信して処理するネットワーク装置において、同一の識別子を持つデータの受信周期が設計周期より短い場合に、不正攻撃等の異常が発生したと判定する手法が記載されている。特許文献2には、基準データフレームを受信してから、不正検知対象のデータフレームを受信するまでの時間差が予め定められた範囲内であれば、対象データフレームを適性と判定し、範囲外であれば対象データフレームを不正と判定する不正検知方法が記載されている。特許文献3には、第1識別子を有するフレームと、第2識別子を有するフレームとの許容される関係についての条件を含む不正検知ルールを用いて、複数の識別子のフレームが所定条件を満たすか否かを判定し、満たされない場合に不正状態が発生したと検知する不正検知方法が記載されている。
特開2014-146868号公報 特開2017-050841号公報 特開2017-123639号公報
特許文献1~3に記載される従来の不正検知手法では、明らかに異常なデータを検出することができるが、明らかに異常なデータでなければ、未定義の攻撃によりネットワークに侵入した疑わしいデータがあったとしても対処ができないという問題がある。
それ故に、本発明は、ネットワークに侵入した異常が疑われるデータに関する情報を収集できる監視装置を提供することを目的とする。
本発明は、ネットワークを流れるメッセージを監視する監視装置に関する。当該監視装置は、ネットワーク上のメッセージを順次受信し、受信した連続する所定数のメッセージのデータ値及び受信時刻を、メッセージが有する識別子毎にバッファに格納する取得部と、バッファを参照して、同一の識別子を有する連続する2つのメッセージのデータ値の差分を算出する第1算出部と、バッファを参照して、同一の識別子を有する連続する2つのメッセージの受信時刻の差分を算出する第2算出部と、第1算出部または第2算出部が算出した差分が、異常を判定するための所定条件を満足しない場合に受信したメッセージが異常なメッセージであると判定する第1判定部と、第1算出部または第2算出部が算出した差分が所定条件を満足し、当該所定条件とは異なる判定条件を満足しない場合に、受信したメッセージが異常である可能性のある、疑わしいメッセージであると判定する第2判定部と、ネットワークに送出されたメッセージを順次受信し、受信したメッセージのデータ値及び受信時刻を、メッセージが有する識別子毎に所定上限数まで一時的に記憶し、受信したメッセージが疑わしいメッセージであると第2判定部により判定されると、当該疑わしいメッセージのデータ値及び受信時刻と、当該疑わしいメッセージと同一の識別子を有し、かつ、当該疑わしいメッセージの前後に受信した所定数のメッセージのデータ値及び受信時刻とを含む情報を履歴として記録する記録部とを備え、記録部は、メッセージの識別子毎に関連する識別子を対応付けた情報を予め記憶し、受信したメッセージが疑わしいメッセージであると第2判定部により判定されると、当該疑わしいメッセージの識別子と関連する識別子を有し、かつ、当該疑わしいメッセージの前後に受信した所定数のメッセージのデータ値及び受信時刻を更に履歴として記録する
本発明によれば、ネットワークに侵入した異常が疑われるデータに関する情報を収集できる監視システムを提供できる。
実施形態に係る監視装置を備える車載装置の機能ブロック図 図1に示した監視装置の詳細を示す機能ブロック図 図2に示した侵入検知部が行う制御処理を示すフローチャート 図2に示した通信履歴収集部が行う制御処理を示すフローチャート 図2に示した通信履歴収集部が記録する履歴情報の一例を示す図 実施形態に係る監視装置の動作を説明するための模式的なタイムチャート
本発明の一実施形態に係る監視装置は、ネットワークから受信したメッセージが異常なメッセージであるかどうかを判定すると共に、受信したメッセージが異常とは判定できないが、異常である可能性が疑われる疑わしいメッセージであるか否かを判定する。受信したメッセージが疑わしいメッセージであると判定された場合、一実施形態に係る監視装置は、判定に係るメッセージ及びその前後のメッセージに関する情報を履歴として記録する。記録された疑わしいメッセージに関する情報は、別途解析することにより、ネットワークに対する不正侵入の事実の把握や対処に利用することができる。
(実施形態)
<構成>
図1は、実施形態に係る監視装置を備える車載装置の機能ブロック図である。
車載装置1は、ソフトウェア実行部2と、侵入検知部11と、通信履歴収集部12とを備える。車載装置1は、例えば、車両の各部を制御するECUである。ソフトウェア実行部2は、制御対象の装置(アクチュエータ等)を制御するソフトウェアや各種運転支援機能を実現するソフトウェアを実行することにより、車両の制御機能を提供する。侵入検知部11及び通信履歴収集部12は、ネットワークのバス13に接続されており、バス13を流れるメッセージを監視し、必要に応じて履歴情報を記録する監視装置3を構成する。ネットワークの種類は特に限定されないが、本実施形態では、ネットワークがCANである場合を例として説明する。また、以下の説明において、m及びnは、整数(ただし、n>m)とする。
図1に示した車載装置1の構成例では、監視装置3がソフトウェア実行部2とバス13との間に設けられており、侵入検知部11は、バス13から取得したメッセージをソフトウェア実行部2に転送する機能と、異常なメッセージを受信するとソフトウェア実行部2に通知を行う機能とを有する。ただし、監視装置3をECU等の車載装置1に設けず、独立した構成としても良い。この場合、ソフトウェア実行部2を有する車載装置と監視装置3とは並列にバス13に接続される。以下、侵入検知部11及び通信履歴収集部12の詳細を説明する。
図2は、図1に示した監視装置の詳細を示す機能ブロック図である。
侵入検知部11は、取得部15と、第1算出部18と、第2算出部19と、第1判定部21と、第2判定部22とを備える。
取得部15は、バス13に接続され、他の車載装置がバス13に送出したメッセージを順次受信する。取得部15は、メッセージに含まれるデータ値を一時的に格納するためのデータ値用バッファ16と、メッセージの受信時刻を一時的に格納するための受信時刻用バッファ17とを有する。データ値用バッファ16及び受信時刻用バッファ17は、バス13を流れるメッセージの識別子毎に設けられる。データ値用バッファ16及び受信時刻用バッファ17は、それぞれ所定数(図2の例では3つ)のデータの格納領域を有し、同一の識別子を有する連続した所定数のメッセージに係るデータをFIFO方式で格納する。取得部15は、バス13に送出されたメッセージを受信するたびに、受信したメッセージに含まれるデータ値及びメッセージの受信時刻をそれぞれデータ値用バッファ16及び受信時刻用バッファ17に格納する。尚、データ値用バッファ16及び受信時刻用バッファ17が有するデータの格納領域の数は3に限定されず、4以上であっても良い。
第1算出部18は、同一の識別子を有する連続する2つのメッセージのデータ値の差分を算出する。より詳細には、第1算出部18は、データ値用バッファ16に新たなデータ値が格納されるたびに、データ値用バッファ16に格納された最新のデータ値D、最新のデータ値Dの1つ前に格納された2番目に新しいデータ値Dn-1、最新のデータ値Dの2つ前に格納された3番目に新しいデータ値Dn-2を読み出し、最新のデータ値及び2番目に新しいデータ値の差分D-Dn-1と、2番目に新しいデータ値及び3番目に新しいデータ値の差分Dn-1-Dn-2とを算出する。尚、差分Dn-1-Dn-2の値は、前回データ値用バッファ16に新たなデータ値が格納された際に算出された差分D-Dn-1と同じであるので、差分Dn-1-Dn-2を算出する処理を省略し、前回のデータ格納時に算出された算出された差分D-Dn-1を使用しても良い。
第2算出部19は、同一の識別子を有する連続する2つのメッセージの受信時刻の差分を算出する。より詳細には、第1算出部18は、受信時刻用バッファ17に新たな受信時刻が格納されるたびに、受信時刻用バッファ17に格納された最新の受信時刻T、最新のメッセージの1つ前に格納された2番目に新しいメッセージの受信時刻Tn-1、最新のメッセージの2つ前に格納された3番目に新しいメッセージの受信時刻Tn-2を読み出し、最新の受信時刻及び2番目に新しい受信時刻の差分T-Tn-1と、2番目に新しい受信時刻及び3番目に新しい受信時刻の差分Tn-1-Tn-2とを算出する。尚、差分Tn-1-Tn-2の値は、前回受信時刻用バッファ17に新たな受信時刻が格納された際に算出された差分T-Tn-1と同じであるので、差分Tn-1-Tn-2を算出する処理を省略し、前回のデータ格納時に算出された算出された差分T-Tn-1を使用しても良い。
第1判定部21は、第1算出部18が算出したデータ値の差分と、第2算出部19が算出した受信時刻の差分とに基づいて、受信したメッセージが異常なメッセージであるか否かを判定する。第1判定部21は、異常なメッセージを判定する条件として、ネットワーク(規格)の通信仕様やネットワークに接続される機器のシステム仕様を使用する。ネットワークの通信仕様や機器のシステム仕様の具体例としては、定期的に送信されるメッセージの送信周期、メッセージの送信条件、メッセージの最低送信間隔、メッセージに含まれるデータ値の範囲、データ値の変化量の範囲、連続するメッセージ間におけるデータ値の変化の有無等が挙げられる。これらの条件は、メッセージの識別子毎に予め定められる。第1判定部21は、例えば、第1算出部18が算出したデータ値の差分及び第2算出部19が算出した受信時刻の差分のそれぞれが、予め定められたデータ値の条件及び送信間隔の条件を満たしているか否かを判定し、データ値の差分及び受信時刻の差分のいずれかが予め定められた条件を満足していない場合に、受信したメッセージが異常なデータであると判定する。第1判定部21が、受信したメッセージを異常であると判定すると、受信したメッセージが異常である旨を示す異常通知を後述する通信履歴収集部12に出力する。
第2判定部22は、第1算出部18が算出したデータ値の差分と、第2算出部19が算出した受信時刻の差分とに基づいて、受信したメッセージが疑わしいメッセージであるか否かを判定する。ここで、疑わしいメッセージとは、第1判定部21による判定によって異常なメッセージであると判定されないが、算出されたデータ値または受信時刻の変化量(差分)が、正常なメッセージのデータ値または受信時刻の変化量(差分)とは異なる傾向を示しており、異常なメッセージである可能性のあるメッセージをいう。疑わしいメッセージは、第1判定部21の判定基準では判定できない。そこで、第2判定部22は、統計処理や機械学習で生成した判定基準に基づいて、受信したメッセージが疑わしいメッセージであるか否かを判定する。例えば、判定対象値(メッセージのデータ値または受信時刻)の差分の正常な範囲がa以上b以下であり、更に、複数の正常なメッセージの統計処理により、正常なメッセージの判定対象値の差分が、例えば、98%の確率でa'以上b’以下(ただし、a<a’<b’<bとする)の範囲に入ることが分かっている場合を想定する。算出された判定対象値の差分がa以上a’未満またはb’より大きくb以下の範囲内であれば、受信したメッセージが明らかに異常なメッセージであると判定することはできないが、正常なメッセージが通常示す傾向から外れたメッセージであると言える。そこで、本実施形態では、算出されたデータ値または受信時刻の差分が第1判定部21の判定条件を満足する場合でも、データ値または受信時刻の差分が正常なメッセージの通常の傾向とは異なる傾向を示す場合には、第2判定部22は、受信したメッセージを疑わしいメッセージであると判定する。第2判定部22が、受信したデータを疑わしいと判定すると、受信したメッセージが疑わしい旨を示す疑わしい通知を後述する通信履歴収集部12に出力する。
通信履歴収集部12は、論理和演算器25及び記録部26を備える。
論理和演算器25は、第1判定部21から出力される異常通知の有無と、第2判定部22から出力される疑わしい通知の有無との論理和を求め、演算結果を記録部26に出力する。具体的には、論理和演算器25は、異常通知または疑わしい通知のいずれかが入力されると、記録部26に対して履歴情報の記録を指示する信号を出力し、異常通知または疑わしい通知のいずれの入力もない場合には、記録部26に対する信号の出力を行わない。
記録部26は、バス13に接続され、他の車載装置がバス13に送出したメッセージを順次受信する。記録部26によるメッセージの受信は、上述した取得部15によるメッセージの受信と並行して行われる。記録部26は、RAMやEEPROM等からなるデータの記憶領域を有し、受信したメッセージのデータ値及び受信時刻を含むデータセットを、メッセージの識別子毎に所定上限数まで記憶領域内のバッファに一時的に記憶する。記録部26は、所定上限数のデータセットを、例えばリングバッファ方式で管理することができる。一時的に記憶可能なデータセットの数は、固定値であっても良いし、可変値であっても良い。
記録部26は、論理和演算器25から履歴情報の記録を指示する信号を受信すると、第1判定部21が異常であると判定したメッセージまたは第2判定部22が疑わしいと判定したメッセージ(以下、異常または疑わしいと判定されたメッセージを「判定対象メッセージ」という)に含まれるデータ値及び受信時刻と、判定対象メッセージと同じ識別子を有し、判定対象メッセージの前後に受信した所定数のメッセージのデータ値及び受信時刻とを含む履歴情報を記憶領域に記録する。尚、記録部26が記録すべき判定対象メッセージを特定する方法は特に限定されず、第1判定部21が出力する異常通知及び第2判定部22が出力する疑わしい通知のそれぞれに、判定対象メッセージを特定する情報(例えば、メッセージの識別子及び受信時刻)を含ませ、当該判定対象メッセージを特定する情報を、記録部26が論理和演算器25を介して取得しても良い。あるいは、第1判定部21及び第2判定部22による判定処理は、バス13にメッセージが送出されるたびに実行されるので、論理和演算器25からの信号を受信する直前に記録部26がバッファに一時的に記憶したメッセージを判定対象メッセージと特定しても良い。記録部26は、判定対象メッセージとこれより前に受信した同一識別子のメッセージのデータセット(データ値及び受信時刻を含む)をバッファから読み出し、読み出したメッセージのそれぞれのデータ値と受信時刻を履歴情報として記録する。また、記録部26は、判定対象メッセージより後に受信するメッセージに関するデータ値及び受信時刻を、判定対象メッセージを受信した後、判定対象メッセージと同一識別子のメッセージを受信するたびに作成した履歴情報に追加する。記録部26が履歴情報として記録する。記録部26が履歴情報として記録するデータ値及び受信時刻のデータセット数は特に限定されず、固定値であっても良いし、可変値であっても良い。
また、例えば、ある運転支援系システムからバス13に送出されたメッセージが異常または疑わしいと判定された場合、この運転支援系システムの識別子を有するメッセージを解析する際に、車速に関するメッセージなどの他の識別子の情報も参照したい場合があり得る。そこで、バス13を流れるメッセージの識別子毎に関連のある識別子を定義したテーブル等を予め用意しておき、記録部26が履歴情報の記録を開始するときに、判定対象メッセージと関連する1以上の識別子のメッセージのデータセット(データ値及び受信時刻)を記録することが好ましい。この場合、記録部26は、判定対象メッセージの受信時刻を基準として、判定対象メッセージの受信前後に受信された、判定対象メッセージと関連付けられた識別子のメッセージのデータセットを所定数記録すれば良い。
<制御処理>
以下、図1~図5を参照して、侵入検知部11及び通信履歴収集部12の制御処理を説明する。
図3は、図2に示した侵入検知部が行う制御処理を示すフローチャートである。
ステップS1:取得部15は、バス13に送出されたメッセージを受信したか否かを判定する。ステップS1の判定がYESの場合、処理はステップS2に進み、それ以外の場合は、再度ステップS1の判定を行う。
ステップS2:取得部15は、受信したメッセージのバッファリングを行う。具体的に、図2の構成例では、取得部15は、データ値用バッファ16における最新及び1世代前のデータ値格納領域の値を、それぞれ1世代前及び2世代前のデータ値格納領域に移動し、受信したメッセージのデータ値を最新のデータ値格納領域に格納する。同様に、取得部15は、受信時刻用バッファ17における最新及び1世代前の受信時刻格納領域の値を、それぞれ1世代前及び2世代前の受信時刻格納領域に移動し、受信したメッセージの受信時刻を最新の受信時刻格納領域に格納する。その後、処理はステップS3に進む。
ステップS3:第1算出部18及び第2算出部19が差分算出処理を行う。上述したように、第1算出部18及び第2算出部19は、データ値用バッファ16及び受信時刻用バッファ17をそれぞれ参照し、同一の識別子を有する連続する2つのメッセージのデータ値の差分及び受信時刻の差分をそれぞれ算出する。その後、処理はステップS4に進む。
ステップS4:第1判定部21は、第1算出部18が算出したデータ値の差分と第2算出部19が算出した受信時刻の差分とに基づいて、受信したメッセージが異常なメッセージであるか否かを判定する。ステップS4の判定がYESの場合、処理はステップS6に進み、それ以外の場合、処理はステップS5に進む。
ステップS5:第2判定部22は、第1算出部18が算出したデータ値の差分と第2算出部19が算出した受信時刻の差分とに基づいて、受信したメッセージが疑わしいメッセージであるか否かを判定する。ステップS5の判定がYESの場合、処理はステップS7に進み、それ以外の場合、処理はステップS1に進む。
ステップS6:第1判定部21は、受信したメッセージが異常なメッセージである旨を示す異常通知を通信履歴収集部12及びソフトウェア実行部2に通知する。ソフトウェア実行部2は、第1判定部21から異常通知を受信すると、異常と判定されたメッセージを破棄したり、異常なメッセージを受信したことをユーザに報知したりするなど、予め用意されたエラー発生時の処理を実行することが好ましい。その後、処理はステップS1に進む。
ステップS7:第2判定部22は、受信したメッセージが疑わしいメッセージである旨を示す疑わしい通知を通信履歴収集部12に通知する。その後、処理はステップS1に進む。
図4は、図2に示した通信履歴収集部が行う制御処理を示すフローチャートであり、図5は、図2に示した通信履歴収集部が記録する履歴情報の一例を示す図である。
ステップS11:記録部26は、バス13に送出されたメッセージを受信したか否かを判定する。ステップS11の判定がYESの場合、処理はステップS12に進み、それ以外の場合は、再度ステップS11の判定を行う。
ステップS12:記録部26は、受信したメッセージのバッファリングを行う。具体的に、記録部26は、受信したメッセージのデータ値及び受信時刻を含むデータセットを、メッセージの識別子毎に所定上限数まで記憶領域内のバッファに一時的に記憶する。その後、処理はステップS13に進む。
ステップS13:記録部26は、論理和演算器25から出力される信号の有無に基づいて、侵入検知部11からの通知、すなわち、第1判定部21からの異常通知(図3のステップS6参照)または第2判定部22からの疑わしい通知(図3のステップS7参照)を受信した否かを判定する。ステップS13の判定がYESの場合、処理はステップS14に進み、それ以外の場合、処理はステップS11に進む。
ステップS14:記録部26は、異常または疑わしいと判定された判定対象メッセージ及びその前後に受信した、同一識別子を有するメッセージのデータ値及び受信時刻を、識別子毎に記録する。図5に示す例において、判定対象メッセージがMSGn-3である場合、記録部26は、メッセージMSGn-3のデータ値及び受信時刻と共に、メッセージMSGn-3より前に受信したMSGn-4~MSGn-mのデータ値及び受信時刻と、メッセージMSGn-3より後に受信したメッセージMSG~MSGn-2のデータ値及び受信時刻をID:XXXを有するメッセージの履歴として記憶する。尚、履歴情報には、判定対象メッセージが異常と判定されたメッセージであるか、あるいは、疑わしいと判定されたメッセージであるかを表す情報を含めることができる。また、メッセージの識別子毎に関連のある識別子が予め定義されている場合、記録部26は、ステップS14において、判定対象メッセージの識別子と関連のある識別子に関する履歴情報を併せて記録する。その後、処理はステップS11に進む。
<効果等>
図6は、実施形態に係る監視装置の動作を説明するための模式的なタイムチャートである。図6において横軸は時間を表し、縦軸はデータ値を表し、黒三角は、バスから受信した同一識別子のメッセージの受信時刻及びデータ値のプロットである。
図6の例では、メッセージのデータ値が予め定められた異常判定閾値を超えた場合に、第1判定部21が受信したメッセージを異常なメッセージであると判定する。図6に示す例では、時刻t0以降に受信したメッセージのデータ値は、異常判定閾値未満であるので、第1判定部21は、時刻t0以降に受信したメッセージのいずれも異常であると判定しない。ただし、時刻t2で受信したメッセージと時刻t1で受信したメッセージとのデータ値の差分Δが、第2判定部22が判定基準として用いる閾値Δthを超えたため、第2判定部22は、時刻t2で受信したメッセージを疑わしいと判定する。第2判定部22の判定結果に基づいて、記録部26は、例えば、時刻t2で受信した判定対象メッセージと、時刻t2より前の時刻t1で受信したメッセージと、時刻t2より後の時刻t3~t4で受信したメッセージとに含まれるデータ値及び受信時刻を履歴として記録する。
時刻t2で受信したメッセージは、受信時点で明らかに異常なメッセージではないが、正常なメッセージである可能性だけでなく、未定義の攻撃手法によってバス13送出され、バス13に接続された機器に不具合を生じさせるメッセージである可能性が考えられる。尚、図6の例では、メッセージのデータ値の変化量(差分)に基づいて疑わしいメッセージを判定する例を説明したが、メッセージの受信時刻の変化量(差分)に基づく判定処理も同様に、第2判定部22が有する判定基準に基づいて行うことができる。
このように、本実施形態に係る監視装置3は、明らかな異常ではないが、異常である可能性のあるメッセージを検知すると、当該検知したメッセージとその前後に受信したメッセージに含まれる情報を履歴として記録する。したがって、記録した履歴情報を事後に解析することにより、ネットワークに対する新たな攻撃手法の発見や新たな攻撃手法に対する対処を早期に行うことが可能となる。
また、本実施形態に係る監視装置3は、受信したメッセージが疑わしいメッセージであると判定された場合に加え、受信したメッセージが異常なメッセージであると判定された場合にも、判定対象メッセージ及びその前後の情報を履歴として記録する。したがって、ネットワークのバス13に流れる異常なメッセージが検知された場合においても、履歴情報を解析することにより、ネットワークに対する不正侵入の状況を詳細に確認することが可能となる。
また、第1判定部21及び第2判定部22が異なる判定基準に基づいて判定処理を行い、第2判定部22は、統計処理や機械学習に基づいて生成された判定基準を用いるため、明らかな異常ではないが、異常である可能性のあるメッセージを抽出することができる。
また、本実施形態に係る監視装置3では、異常または疑わしいと判定されたメッセージの識別子と関連のある識別子の情報を併せて記録することができるため、事後に履歴情報を解析する際に解析の精度を向上させることができる。
尚、記録部26が記録した履歴情報の解析は、車載装置1に設けても良いが、履歴情報の解析には高い計算能力が必要となるため、データセンタに設ける外部サーバ等の解析装置において行っても良い。この場合、監視装置3が定期的に、または、車両停止時等の所定のタイミングで履歴情報を外部サーバに送信しても良いし、外部サーバからの要求に応じて監視装置3が履歴情報を送信しても良い。更に、監視装置3は、履歴情報と共に、判定対象メッセージを送信した機器及びこれに関連する機器の通信履歴や、ダイアグデータ(故障診断用情報)を外部サーバ等の解析装置に送信することが好ましい。履歴情報と併せて関連する機器の通信履歴やダイアグデータを解析することにより、解析の精度を向上させることができる。
本発明は、車載ネットワークやその他のネットワークを流れるデータを監視する監視装置として利用できる。
3 監視装置
11 侵入検知部
12 通信履歴収集部
13 バス
15 取得部
16 メッセージ用バッファ
17 受信時刻用バッファ
18 第1算出部
19 第2算出部
21 第1判定部
22 第2判定部
26 記録部

Claims (3)

  1. ネットワークを流れるメッセージを監視する監視装置であって、
    前記ネットワーク上のメッセージを順次受信し、受信した連続する所定数のメッセージのデータ値及び受信時刻を、メッセージが有する識別子毎にバッファに格納する取得部と、
    前記バッファを参照して、同一の識別子を有する連続する2つのメッセージのデータ値の差分を算出する第1算出部と、
    前記バッファを参照して、同一の識別子を有する連続する2つのメッセージの受信時刻の差分を算出する第2算出部と、
    前記第1算出部または前記第2算出部が算出した差分が、異常を判定するための所定条件を満足しない場合に受信したメッセージが異常なメッセージであると判定する第1判定部と、
    前記第1算出部または前記第2算出部が算出した差分が前記所定条件を満足し、当該所定条件とは異なる判定条件を満足しない場合に、受信したメッセージが異常である可能性のある、疑わしいメッセージであると判定する第2判定部と、
    前記ネットワークに送出されたメッセージを順次受信し、受信したメッセージのデータ値及び受信時刻を、メッセージが有する識別子毎に所定上限数まで一時的に記憶し、受信したメッセージが前記疑わしいメッセージであると前記第2判定部により判定されると、当該疑わしいメッセージのデータ値及び受信時刻と、当該疑わしいメッセージと同一の識別子を有し、かつ、当該疑わしいメッセージの前後に受信した所定数のメッセージのデータ値及び受信時刻とを含む情報を履歴として記録する記録部とを備え
    前記記録部は、メッセージの識別子毎に関連する識別子を対応付けた情報を予め記憶し、受信したメッセージが前記疑わしいメッセージであると前記第2判定部により判定されると、当該疑わしいメッセージの識別子と関連する識別子を有し、かつ、当該疑わしいメッセージの前後に受信した所定数のメッセージのデータ値及び受信時刻を更に履歴として記録する、監視装置。
  2. 前記記録部は、受信したメッセージが前記異常なメッセージであると前記第1判定部により判定されると、当該異常なメッセージのデータ値及び受信時刻と、当該異常なメッセージと同一の識別子を有し、かつ、当該異常なメッセージの前後に受信した所定数のメッセージのデータ値及び受信時刻とを含む情報を履歴として記録する、請求項1に記載の監視装置。
  3. 前記第1判定部は、前記所定条件として、メッセージの識別子毎に予め定められた通信仕様を用いて前記異常なメッセージを判定し、
    前記第2判定部は、統計処理または機械学習により生成した判定条件に基づいて、前記疑わしいメッセージを判定する、請求項1または2に記載の監視装置。
JP2018230072A 2018-12-07 2018-12-07 監視装置 Active JP7124679B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018230072A JP7124679B2 (ja) 2018-12-07 2018-12-07 監視装置
US16/656,766 US11005874B2 (en) 2018-12-07 2019-10-18 Monitoring apparatus
US17/226,910 US11736506B2 (en) 2018-12-07 2021-04-09 Monitoring apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018230072A JP7124679B2 (ja) 2018-12-07 2018-12-07 監視装置

Publications (2)

Publication Number Publication Date
JP2020092379A JP2020092379A (ja) 2020-06-11
JP7124679B2 true JP7124679B2 (ja) 2022-08-24

Family

ID=70972626

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018230072A Active JP7124679B2 (ja) 2018-12-07 2018-12-07 監視装置

Country Status (2)

Country Link
US (2) US11005874B2 (ja)
JP (1) JP7124679B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117118776A (zh) * 2019-02-08 2023-11-24 松下电器(美国)知识产权公司 异常判定方法、异常判定装置以及程序
DE102020214945A1 (de) * 2020-11-27 2022-06-02 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
CN112256004A (zh) * 2020-12-08 2021-01-22 新石器慧义知行智驰(北京)科技有限公司 无人驾驶车辆的远程驾驶控制装置、控制方法及无人驾驶车辆

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017112590A (ja) 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
JP2017112594A (ja) 2015-12-14 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
JP2017123639A (ja) 2016-01-08 2017-07-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP2018117254A (ja) 2017-01-18 2018-07-26 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
JP2018152842A (ja) 2017-03-13 2018-09-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP2018182724A (ja) 2017-04-07 2018-11-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知方法、不正通信検知システム及びプログラム

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1992188B1 (en) * 2006-02-10 2012-09-19 Qualcomm Incorporated Obscuring temporary user equipment identities
US9326138B2 (en) * 2006-09-06 2016-04-26 Devicescape Software, Inc. Systems and methods for determining location over a network
US20100162385A1 (en) * 2008-12-19 2010-06-24 Otto Melvin Wildensteiner Method of determining when a computer program password is under attack
CN101938714A (zh) * 2009-06-29 2011-01-05 国际商业机器公司 用于垃圾短信检测的方法和设备
US9529777B2 (en) * 2011-10-28 2016-12-27 Electronic Arts Inc. User behavior analyzer
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
EP2817924B1 (en) * 2012-02-23 2016-09-07 Markport Limited Message flooding prevention in messaging networks
EP2675106A1 (en) * 2012-04-23 2013-12-18 ABB Technology AG Industrial automation and control device user access
KR101381689B1 (ko) * 2012-08-03 2014-04-22 기초과학연구원 콘텐츠 이용 특성에 기초하여 콘텐츠를 관리하는 콘텐츠 제공 장치
US10666620B1 (en) * 2012-11-30 2020-05-26 United Services Automobile Association (Usaa) Private network request forwarding
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
US9736147B1 (en) * 2013-04-08 2017-08-15 Titanium Crypt, Inc. Artificial intelligence encryption model (AIEM) with device authorization and attack detection (DAAAD)
CN110610092B (zh) * 2014-04-17 2023-06-06 松下电器(美国)知识产权公司 车载网络系统、网关装置以及不正常检测方法
US9300661B1 (en) * 2014-06-30 2016-03-29 Emc Corporation Method, apparatus, and computer program product for determining whether to suspend authentication by an authentication device
US10708293B2 (en) * 2015-06-29 2020-07-07 Argus Cyber Security Ltd. System and method for time based anomaly detection in an in-vehicle communication network
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
JP6585001B2 (ja) 2015-08-31 2019-10-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知電子制御ユニット及び不正検知システム
US9989619B2 (en) * 2015-10-26 2018-06-05 Microsoft Technology Licensing, Llc Bulk propagation timing measurement messaging
US10001943B2 (en) * 2015-11-06 2018-06-19 HomeAway.com, Inc. Data stream processor and method to throttle consumption of message data in a distributed computing system
FR3043870B1 (fr) * 2015-11-13 2019-05-17 Cassidian Cybersecurity Sas Procede de securisation et d'authentification d'une telecommunication
JP6433951B2 (ja) * 2016-08-09 2018-12-05 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム
US10552836B2 (en) * 2016-10-11 2020-02-04 Mastercard International Incorporated Method and system for identification of shared devices for fraud modeling
US20180174210A1 (en) * 2016-12-15 2018-06-21 Mastercard International Incorporated Systems and methods for detecting data inconsistencies
CN109884671B (zh) * 2017-12-06 2022-02-25 上海司南卫星导航技术股份有限公司 卫星信号捕获的方法和装置
US11108794B2 (en) * 2018-01-31 2021-08-31 Micro Focus Llc Indicating malware generated domain names using n-grams
US10965697B2 (en) * 2018-01-31 2021-03-30 Micro Focus Llc Indicating malware generated domain names using digits

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017112590A (ja) 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
JP2017112594A (ja) 2015-12-14 2017-06-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
JP2017123639A (ja) 2016-01-08 2017-07-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP2018117254A (ja) 2017-01-18 2018-07-26 パナソニックIpマネジメント株式会社 監視装置、監視方法およびコンピュータプログラム
JP2018152842A (ja) 2017-03-13 2018-09-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
JP2018182724A (ja) 2017-04-07 2018-11-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知方法、不正通信検知システム及びプログラム

Also Published As

Publication number Publication date
US20210226977A1 (en) 2021-07-22
JP2020092379A (ja) 2020-06-11
US20200186556A1 (en) 2020-06-11
US11005874B2 (en) 2021-05-11
US11736506B2 (en) 2023-08-22

Similar Documents

Publication Publication Date Title
JP7124679B2 (ja) 監視装置
US11411681B2 (en) In-vehicle information processing for unauthorized data
US10992688B2 (en) Unauthorized activity detection method, monitoring electronic control unit, and onboard network system
US10257216B2 (en) Method and system for obtaining and analyzing forensic data in a distributed computer infrastructure
JP4619254B2 (ja) Idsのイベント解析及び警告システム
JP6761793B2 (ja) 車両用制御装置
JP7173039B2 (ja) 情報処理装置、移動装置、および方法、並びにプログラム
CN111316602B (zh) 攻击通信检测装置及其方法、计算机可读取的记录介质
JP6165224B2 (ja) アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
JP7172909B2 (ja) 電子制御装置
CN110798428A (zh) 一种账号暴力破解行为的检测方法、系统及相关装置
JP2021005821A (ja) 異常検出装置
US11694489B2 (en) Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit
JPWO2019142602A1 (ja) 検知装置、その方法、及びプログラム
CN114338189B (zh) 基于节点拓扑关系链的态势感知防御方法、装置及系统
JP2020145547A (ja) 不正送信データ検知装置
EP4375146A1 (en) Abnormality detection device, security system, and abnormality notification method
CN112346447B (zh) 安全检测方法、安全检测模块、安全系统和自动驾驶系统
JP2019169877A (ja) 監視装置、監視方法およびコンピュータプログラム
JP6207784B1 (ja) 中継装置、中継方法およびプログラム
JP6463666B2 (ja) 監視支援装置、および、監視支援方法
JPWO2020100307A1 (ja) 攻撃検知装置、攻撃検知方法、および攻撃検知プログラム
JP2019200670A (ja) サイバー攻撃を検知する異常検知装置および異常検知方法
JP6869869B2 (ja) 制御システムのための対策立案システムおよび監視装置
JP2021072582A (ja) 通信装置および異常判定装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210325

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220725

R151 Written notification of patent or utility model registration

Ref document number: 7124679

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151