JP7147635B2 - 不正送信データ検知装置 - Google Patents

不正送信データ検知装置 Download PDF

Info

Publication number
JP7147635B2
JP7147635B2 JP2019039702A JP2019039702A JP7147635B2 JP 7147635 B2 JP7147635 B2 JP 7147635B2 JP 2019039702 A JP2019039702 A JP 2019039702A JP 2019039702 A JP2019039702 A JP 2019039702A JP 7147635 B2 JP7147635 B2 JP 7147635B2
Authority
JP
Japan
Prior art keywords
data
predetermined
unauthorized transmission
transmission data
determination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019039702A
Other languages
English (en)
Other versions
JP2020145547A (ja
Inventor
慶太 後藤
雄介 佐藤
真一 飯山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2019039702A priority Critical patent/JP7147635B2/ja
Priority to EP20160470.9A priority patent/EP3706026B1/en
Priority to US16/805,929 priority patent/US11405406B2/en
Publication of JP2020145547A publication Critical patent/JP2020145547A/ja
Application granted granted Critical
Publication of JP7147635B2 publication Critical patent/JP7147635B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/62Establishing a time schedule for servicing the requests
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Multimedia (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)

Description

本発明は不正送信データ検知装置に関する。
特許文献1には、監視対象メッセージを受信する毎に、受信した監視メッセージについて、今回の受信時刻Tiと、m個前の受信時刻Ti-mと、メッセージ送信周期Fと、予め定めた定数σとに基づいて、受信時刻Ti-mからTiまでの期間内における不正送信の有無を判定する技術が開示されている。
特開2018-026663号公報
特許文献1に記載の技術は、データ(メッセージ)の送信周期Fよりも短い時間間隔でデータを受信した場合に不正送信データと判定している。しかし、例えば自動車・産業機械用通信プロトコルであるCAN(Controller Area Network)などの規格に準拠した通信では、正常データであっても受信時間間隔にゆらぎが発生することがあり、この受信時間間隔のゆらぎなどの影響で誤判定が生じ得る。
一例として図7は、通常時には正常データを100msおきに受信する場合を示している。図7(A)は、本来は0msのタイミングで受信する筈の正常データの受信が、何らかの原因により100msに近いタイミングまで遅延すると共に、本来は300msのタイミングで受信する筈の正常データの受信が何らかの原因により若干早まった例を示している。この場合、正常データの2周期分の200msの時間内にデータを4回受信しているので、不正送信データを受信したと誤判定され、「攻撃がないのにデータを破棄する」と表記して示すように、正常データが誤って破棄される可能性がある。
また、図7(B)は、200msと300msとの間のタイミングで不正送信データを受信すると共に、本来は300msのタイミングで受信する筈の正常データの受信が何らかの原因により遅延した例を示している。この場合、正常データの3周期分の200msの時間内にデータを4回受信しているので、「攻撃があるのに正常と判断」と表記して示すように、不正送信データを受信しているにも拘わらず「正常」と誤判定される可能性がある。
本発明は上記事実を考慮して成されたもので、正常データの受信時間間隔のゆらぎなどの影響により、不正送信データの受信について誤判定が生ずることを抑制できる不正送信データ検知装置を得ることが目的である。
第1の態様に係る不正送信データ検知装置は、周期的に送信されるデータを受信する受信部で所定のIDのデータが所定個受信される迄の時間が基準タイミングから所定時間未満か否かに基づいて、前記受信された所定のIDのデータに不正送信データが含まれているか否かを各々判定する複数の判定部を含む不正送信データ検知装置であって、前記複数の判定部は、基準タイミングから前記受信部で所定のIDのデータが第1所定個受信される迄の時間が第1所定時間未満か否かに基づいて、前記受信された所定のIDのデータに不正送信データが含まれているか否かを判定する第1判定部と、基準タイミングから前記受信部で所定のIDのデータが前記第1所定個と異なる第2所定個受信される迄の時間が前記第1所定時間と異なる第2所定時間未満か否かに基づいて、前記受信された所定のIDのデータに不正送信データが含まれているか否かを判定する第2判定部と、前記第1判定部と異なる基準タイミングから前記受信部で所定のIDのデータが前記第1所定個受信される迄の時間が前記第1所定時間未満か否かに基づいて、前記受信された所定のIDのデータに不正送信データが含まれているか否かを判定する第3判定部と、を含んでいる。
第1の態様は、受信されたデータに不正送信データが含まれているか否かを判定する判定部が複数設けられ、当該複数の判定部は、第1判定部、第2判定部および第3判定部を含んでいる。そして第1の態様では、第1判定部と第2判定部とで、受信された所定のIDのデータに不正送信データが含まれているか否かの判定における所定個及び所定時間が相違している。所定時間が比較的短く、それに応じて所定個が比較的少ない場合には、短時間に高頻度で不正送信データを受信したときに不正送信データの受信を高速で検知できる。一方、所定時間が比較的長く、それに応じて所定個が比較的多い場合は、長い時間内に低頻度で不正送信データを受信したときも不正送信データの受信を検知できる。従って、正常データの受信時間間隔にゆらぎが発生した場合にも、第1判定部又は第2判定部で適正な判定結果が得られる可能性が出てくるので、不正送信データの受信について誤判定が生ずることを抑制することができる。
さらに、第1の態様では、第1判定部と第3判定部とで、受信されたデータに不正送信データが含まれているか否かの判定における基準タイミングが相違している。このように、基準タイミングが異なる複数の判定部を設けることで、正常データの受信時間間隔に一時的なゆらぎが発生した場合にも、何れかの判定部はゆらぎの影響が軽減された期間で判定できる可能性が出てくるので、不正送信データの受信について誤判定が生ずることを抑制することができる。
第2の態様は、第1の態様において、前記複数の判定部の何れかで前記受信された所定のIDのデータに不正送信データが含まれていると判定された場合に、前記不正送信データによる影響を抑制する安全制御に移行する制御部を更に含んでいる。
第2の態様では、複数の判定部の何れかで、受信された所定のIDのデータに不正送信データが含まれていると判定された場合に、安全制御に移行するので、不正送信データによる影響を抑制することができる。
第3の態様は、第2の態様において、前記複数の判定部及び前記制御部は、複数の通信バスが接続されたハブECUに設けられており、前記制御部は、前記複数の判定部の何れかで前記受信された所定のIDのデータに不正送信データが含まれていると判定された場合に、前記不正送信データが伝送された通信バスを対象として前記安全制御を行う。
第3の態様では、複数の判定部及び制御部がハブECUに設けられており、不正送信データの判定などがハブECUで行われるので、本発明を適用するにあたってハブECU以外の機器の構成を変更する必要がなくなり、容易に適用することができる。
第4の態様は、第2の態様において、前記複数の判定部及び前記制御部は、単一の通信バスが接続された個別ECUに設けられており、前記制御部は、前記複数の判定部の何れかで前記受信された所定のIDのデータに不正送信データが含まれていると判定された場合に、自身が設けられた前記個別ECUを対象として前記安全制御を行う。
第4の態様では、複数の判定部及び制御部が個別ECUに設けられており、不正送信データの判定などが個別ECUで行われるので、ハブECUの負荷を低減することができる。
第5の態様は、第1の態様~第4の態様の何れかにおいて、前記周期的に送信されるデータは、CANに準拠した通信で送信されるデータである。
CANに準拠した通信が行われる環境では、正常データの受信時間間隔に定常的にゆらぎが発生し易い。第5の態様では、このような環境において、不正送信データの受信について誤判定が生ずることを抑制することができる。
本発明は、正常データの受信時間間隔のゆらぎなどの影響により、不正送信データの受信について誤判定が生ずることを抑制できる、という効果を有する。
実施形態に係る車載ネットワークを示す概略ブロック図である。 ハブECU、個別ECUのハードウェア構成の一例を示すブロック図である。 データ監視部の構成を示すブロック図である。 データ監視処理を示すフローチャートである。 複数の判定部における処理タイミングを示すタイミングチャートである。 ハブECU、個別ECUのハードウェア構成の他の例を示すブロック図である。 従来技術の課題を説明するためのタイミングチャートである。
以下、図面を参照して本発明の実施形態の一例を詳細に説明する。図1に示す車載ネットワーク10は、車両に搭載された複数の電子制御ユニット(以下、「ECU」という)12、14A、14B、14C、14D、14E、14Fを含み、これらのECUが第1通信バス16A、第2通信バス16B及び第3通信バス16Cの少なくとも1つに各々接続されて構成されている。車載ネットワーク10では、各ECUがCANに準拠した通信を行い、およそ送信周期T毎にデータ(メッセージ)が送受される。なお、データの送信周期TはデータのID(本実施形態ではCAN ID)毎に相違している。
図1に示す例では、ECU14A、14Bは第1通信バス16Aに接続され、ECU14C、14Dは第2通信バス16Bに接続され、ECU14E、14Fは第3通信バス16Cに接続されている。本実施形態では、上記のように1つのバスに接続されたECUを必要に応じて「個別ECU14」と総称する。
一方、ECU12は、第1通信バス16A、第2通信バス16B及び第3通信バス16Cに各々接続されている。本実施形態では、ECU12を必要に応じて「ハブECU12」と称する。或る通信バス16に接続された個別ECU14が他の通信バス16に接続された個別ECU14に対してデータを送信する場合、ハブECU12はそのデータの転送を行う。
なお、図1では車載ネットワーク10の構成要素として個別ECU14及びハブECU12を示しているが、これらに限られるものではなく、通信バス16には、各種のセンサに通信制御部が付加されたセンサユニットなどが接続されていてもよい。
図2に示すように、個別ECU14は、CPU(Central Processing Unit)20、ROM(Read Only Memory)やRAM(Random Access Memory)などのメモリ22、HDD(Hard Disk Drive)やSSD(Solid State Drive)などの不揮発性の記憶部24及び通信I/F(Inter Face)26を含んでいる。CPU20、メモリ22、記憶部24及び通信I/F26は内部バス28を介して相互に通信可能に接続されており、通信I/F26は通信バス16(図2では第2通信バス16B)に接続されている。
また、ハブECU12は、CPU30、ROMやRAMなどのメモリ32、HDDやSSDなどの不揮発性の記憶部34及び通信I/F38を含んでいる。CPU30、メモリ32、記憶部34及び通信I/F38は内部バス40を介して相互に通信可能に接続されており、通信I/F38は第1通信バス16A、第2通信バス16B及び第3通信バス16Cに各々接続されている。
また、記憶部34にはデータ監視プログラム36が記憶されている。ハブECU12は、データ監視プログラム36が記憶部34から読み出されてメモリ32に展開され、メモリ32に展開されたデータ監視プログラム36がCPU30によって実行されることで、図3に示すデータ監視部42として機能する。データ監視部42は、受信部44、複数の判定部群46、制御部52を含んでいる。このように、ハブECU12は不正送信データ検知装置の一例である。
受信部44は、ハブECU12が監視対象のデータを受信する毎に、そのデータの受信時刻をそのデータのID(本実施形態ではCAN ID)と対応付けて、受信データ情報として記録する。
複数の判定部群46は、受信部44で受信された監視対象のデータに対して、互いに異なる判定基準により不正送信データが含まれていないか否かを判定する複数の判定部50の集まりであり、異なる判定部群46に属する判定部50は、互いにIDの異なるデータを監視対象としている。
個々の判定部50は、基準タイミングから受信部44で所定個(N+α)のデータが受信される迄の時間が所定時間(N×T)未満か否かに基づいて、受信されたデータに不正送信データが含まれているか否かを判定する。1つの判定部群46は、所定個及び所定時間を規定する定数N,αが互いに異なる複数の判定部列48を含んでいる。また、1つの判定部列48は、基準タイミングを規定する定数iが互いに異なる複数の判定部50を含んでいる。複数の判定部群46に含まれる個々の判定部50は各々並列に動作する。
なお、同一の判定部群46に含まれかつ属する判定部列48が相違する複数の判定部50は、第1判定部及び第2判定部の一例である。また、同一の判定部群46に含まれかつ属する判定部列48の同一で基準タイミングが相違する複数の判定部50は、第1判定部及び第3判定部の一例である。また、Nは所定時間の一例であり、n+αは所定個の一例である。
制御部52は、複数の判定部群46に含まれる何れかの判定部50で、受信されたデータに不正送信データが含まれていると判定された場合に、不正送信データによる影響を抑制する安全制御に移行する。本実施形態における安全制御の一例は、不正送信データに対応するIDの受信データを破棄すると共に、不正送信データが伝送された通信バス16を一時的に使用不可とする制御である。
次に図4を参照し、個々の判定部50で実行されるデータ監視処理について説明する。データ監視処理のステップ70において、判定部50は、自判定部に対して予め設定された定数N,α,iを取得する。またステップ72において、判定部50は、監視対象のデータのID及び送信周期Tを取得する。またステップ74において、判定部50は、変数jに定数iの値を設定する。
ステップ76において、判定部50は、受信部44によって記録された受信データ情報を参照し、監視対象のj番目のデータが受信されたか否か判定する。判定が否定された場合は判定が肯定される迄、ステップ76を繰り返す。監視対象のj番目のデータの情報(ID及び受信時刻)が受信データ情報として記録されると、ステップ76の判定が肯定されてステップ78へ移行する。ステップ78において、判定部50は、監視対象のj番目のデータの受信時刻t1を基準データとして取り出す。
また、ステップ80において、判定部50は、監視対象のj+N+α-1番目のデータが受信されたか否か判定する。判定が否定された場合は判定が肯定される迄、ステップ80を繰り返す。監視対象のj+N+α-1番目のデータの情報(ID及び受信時刻)が受信データ情報として記録されると、ステップ80の判定が肯定されてステップ82へ移行する。ステップ82において、判定部50は、監視対象のj+N+α-1番目のデータの受信時刻t2を比較データとして取り出す。
ステップ84において、判定部50は、ステップ78で取り出した基準データとステップ82で取り出した比較データとの受信時刻差Δt(=t2-t1)を演算する。次のステップ86において、判定部50は、ステップ84で演算した受信時刻差ΔtがN×T未満か否か判定する。ステップ84の判定が否定された場合は、受信した監視対象のデータに不正送信データは含まれていないと判断し、ステップ88へ移行する。ステップ88において、判定部50は、j+N+α-1を変数jに代入し、ステップ76に戻る。これにより、ステップ86の判定が否定されている間はステップ76~ステップ88が繰り返される。
一方、ステップ86の判定が肯定された場合は、受信した監視対象のデータに不正送信データは含まれていると判断し、ステップ90へ移行する。ステップ90において、判定部50は、不正送信データを検知したことを制御部52へ通知し、制御部52は、例えば、不正送信データに対応するIDの受信データを破棄すると共に、不正送信データが伝送された通信バス16を一時的に使用不可とするなどの安全制御へ移行する。
上述したデータ監視処理は、複数の判定部50において、互いに異なる判定基準により並列に実行される。同一の判定部群46に含まれる複数の判定部50の動作について、具体的な数値を挙げて更に説明する。
図5には、N=2、α=3、i=1の判定部Aと、N=2、α=3、i=2の判定部Bと、N=2、α=3、i=3の判定部Cと、N=4、α=3、i=1の判定部Dと、N=4、α=3、i=2の判定部Eと、N=4、α=3、i=3の判定部Fと、の動作の具体例を示している。
なお、判定部A~Cは、定数N,αが同じで定数iが相違しているので、同一の判定部列48に含まれる判定部50であり、判定部D~Fは、定数N,αが同じで定数iが相違しているので、同一の判定部列48に含まれる判定部50である。そして、判定部A~Cと判定部D~Fとは定数Nが相違しているので、異なる判定部列48に含まれる判定部50である。
判定部Aの動作を説明する。判定部Aはi=1であるので、j=1番目のデータを基準データに設定し、N=2、α=3であるので、j+N+α-1=5番目のデータを比較データに設定し、1番目のデータと5番目のデータとの受信時刻差Δtが2T未満か否か判定する。判定部Aは、続いて、j=5番目のデータを基準データに設定し、j+N+α-1=5+2+3-1=9番目のデータを比較データに設定し、5番目のデータと9番目のデータとの受信時刻差Δtが2T未満か否か判定する。
次に判定部Bの動作を説明する。判定部Bはi=2であるので、j=2番目のデータを基準データに設定し、N=2、α=3であるので、j+N+α-1=6番目のデータを比較データに設定し、2番目のデータと6番目のデータとの受信時刻差Δtが2T未満か否か判定する。判定部Bは、続いて、j=6番目のデータを基準データに設定し、j+N+α-1=6+2+3-1=10番目のデータを比較データに設定し、6番目のデータと10番目のデータとの受信時刻差Δtが2T未満か否か判定する。このように、判定部Bは判定部Aと比較して、基準タイミングが監視対象のデータの1周期=Tだけずれている。
次に判定部Cの動作を説明する。判定部Cはi=3であるので、j=3番目のデータを基準データに設定し、N=2、α=3であるので、j+N+α-1=7番目のデータを比較データに設定し、3番目のデータと7番目のデータとの受信時刻差Δtが2T未満か否か判定する。判定部Cは、続いて、j=7番目のデータを基準データに設定し、j+N+α-1=6+2+3-1=11番目のデータを比較データに設定し、7番目のデータと11番目のデータとの受信時刻差Δtが2T未満か否か判定する。このように、判定部Cは判定部Aと比較して、基準タイミングが監視対象のデータの2周期=2Tだけずれている。また、図1の例では正常データの受信時間間隔にゆらぎが発生していると共に、5番目、8番目、10番目のデータが不正送信データになっているが、判定部Cの判定では7番目のデータと11番目のデータとの受信時刻差Δtが2T未満となることで、不正送信データの受信が検知される。
次に判定部Dの動作を説明する。判定部Dはi=1であるので、j=1番目のデータを基準データに設定し、N=4、α=3であるので、j+N+α-1=7番目のデータを比較データに設定し、1番目のデータと7番目のデータとの受信時刻差Δtが4T未満か否か判定する。判定部Dは、続いて、j=7番目のデータを基準データに設定し、j+N+α-1=7+4+3-1=13番目のデータを比較データに設定し、7番目のデータと13番目のデータとの受信時刻差Δtが4T未満か否か判定する。判定部Dの判定では7番目のデータと13番目のデータとの受信時刻差Δtが4T未満となることで、不正送信データの受信が検知される。
次に判定部Eの動作を説明する。判定部Eはi=2であるので、j=2番目のデータを基準データに設定し、N=4、α=3であるので、j+N+α-1=8番目のデータを比較データに設定し、2番目のデータと8番目のデータとの受信時刻差Δtが4T未満か否か判定する。このように、判定部Bは判定部Aと比較して、基準タイミングが監視対象のデータの1周期=Tだけずれている。
次に判定部Fの動作を説明する。判定部Fはi=3であるので、j=3番目のデータを基準データに設定し、N=4、α=3であるので、j+N+α-1=9番目のデータを比較データに設定し、3番目のデータと9番目のデータとの受信時刻差Δtが4T未満か否か判定する。このように、判定部Fは判定部Aと比較して、基準タイミングが監視対象のデータの1周期=2Tだけずれている。
このように、本実施形態では、周期的に送信されるデータを受信する受信部44で所定個のデータが受信される迄の時間が基準タイミングから所定時間未満か否かに基づいて、受信されたデータに不正送信データが含まれているか否かを判定すると共に、所定個(N+α)及び所定時間(N×T)と、基準タイミング(を規定する定数i)と、の少なくとも一方が互いに異なる複数の判定部50を含んでいる。このように、受信されたデータに不正送信データが含まれているか否かの判定基準が互いに相違する複数の判定部50を設けることで、正常データの受信時間間隔にゆらぎが発生した場合にも、複数の判定部50の何れかで適正な判定結果が得られる可能性が生ずるので、不正送信データの受信について誤判定が生ずることを抑制することができる。
また、本実施形態では、複数の判定部50は、基準タイミングから受信部44で第1所定個のデータが受信される迄の時間が第1所定時間未満か否かに基づいて、受信されたデータに不正送信データが含まれているか否かを判定する判定部50と、基準タイミングから受信部44で第1所定個と異なる第2所定個のデータが受信される迄の時間が第1所定時間と異なる第2所定時間未満か否かに基づいて、受信されたデータに不正送信データが含まれているか否かを判定する判定部50と、を含んでいる。これにより、正常データの受信時間間隔にゆらぎが発生した場合にも、上記の各判定部50の何れかで適正な判定結果が得られる可能性が生ずるので、不正送信データの受信について誤判定が生ずることを抑制することができる。
また、本実施形態では、複数の判定部50は、基準タイミングから受信部44で第1所定個のデータが受信される迄の時間が第1所定時間未満か否かに基づいて、受信されたデータに不正送信データが含まれているか否かを判定する判定部50と、当該判定部50と異なる基準タイミングから受信部44で第1所定個のデータが受信される迄の時間が第1所定時間未満か否かに基づいて、受信されたデータに不正送信データが含まれているか否かを判定する第3判定部と、を含んでいる。これにより、正常データの受信時間間隔にゆらぎが発生した場合にも、上記の各判定部50の何れかで適正な判定結果が得られる可能性が生ずるので、不正送信データの受信について誤判定が生ずることを抑制することができる。
また、本実施形態では、複数の判定部50の何れかで受信されたデータに不正送信データが含まれていると判定された場合に、不正送信データによる影響を抑制する安全制御に移行する制御部52が設けられているので、不正送信データによる影響を抑制することができる。
また、本実施形態では、複数の判定部50及び制御部52は、複数の通信バス16A,16B,16Cが接続されたハブECU12に設けられており、制御部52は、複数の判定部50の何れかで受信されたデータに不正送信データが含まれていると判定された場合に、不正送信データが伝送された通信バス16を対象として安全制御を行うので、本発明を適用するにあたって個別ECU14の構成を変更する必要がなくなる。
また、本実施形態では、CANに準拠した通信で送信されるデータを対象として、不正送信データが含まれているか否かを監視するので、CANに準拠した通信が行われる環境、すなわち正常データの受信時間間隔に定常的にゆらぎが発生し易い環境において、不正送信データの受信について誤判定が生ずることを抑制することができる。
なお、上記ではデータ監視部42をハブECU12に設けた態様を説明したが、これに限定されるものではない。一例として図6に示すように、個々の個別ECU14の記憶部24にデータ監視プログラム36を記憶させ、個々の個別ECU14をデータ監視部42としても機能させ、個々の個別ECU14によって受信されたデータに不正送信データが含まれているか否かを判定するようにしてもよい。この態様における安全制御の一例は、受信されたデータに不正送信データが含まれていると判定した判定部50を含む自ECU(1つの個別ECU14)を一時的に機能停止とする制御である。この態様は、データ監視部42をハブECU12に設けた態様と比較して、ハブECU12の負荷を複数の個別ECU14に分散させることができる。
また、上記では基準タイミングをi番目のデータを受信したタイミングとしていたが、これに限定されるものではなく、基準タイミングはデータの受信タイミングと無関係に定めてもよい。
また、上記では通信プロトコルの一例としてCANを挙げたが、本発明はこれに限定されるものでもなく、周期的にデータの送信を行う公知の種々の通信プロトコルに適用可能である。
10 車載ネットワーク
12 ハブECU(不正送信データ検知装置)
14 個別ECU
16A,16B,16C 通信バス
36 データ監視プログラム
42 データ監視部
44 受信部
50 判定部
52 制御部

Claims (5)

  1. 周期的に送信されるデータを受信する受信部で所定のIDのデータが所定個受信される迄の時間が基準タイミングから所定時間未満か否かに基づいて、前記受信された所定のIDのデータに不正送信データが含まれているか否かを各々判定する複数の判定部を含む不正送信データ検知装置であって、
    前記複数の判定部は、
    基準タイミングから前記受信部で所定のIDのデータが第1所定個受信される迄の時間が第1所定時間未満か否かに基づいて、前記受信された所定のIDのデータに不正送信データが含まれているか否かを判定する第1判定部と、
    基準タイミングから前記受信部で所定のIDのデータが前記第1所定個と異なる第2所定個受信される迄の時間が前記第1所定時間と異なる第2所定時間未満か否かに基づいて、前記受信された所定のIDのデータに不正送信データが含まれているか否かを判定する第2判定部と、
    前記第1判定部と異なる基準タイミングから前記受信部で所定のIDのデータが前記第1所定個受信される迄の時間が前記第1所定時間未満か否かに基づいて、前記受信された所定のIDのデータに不正送信データが含まれているか否かを判定する第3判定部と、
    を含む不正送信データ検知装置。
  2. 前記複数の判定部の何れかで前記受信された所定のIDのデータに不正送信データが含まれていると判定された場合に、前記不正送信データによる影響を抑制する安全制御に移行する制御部を更に含む請求項1記載の不正送信データ検知装置。
  3. 前記複数の判定部及び前記制御部は、複数の通信バスが接続されたハブECUに設けられており、
    前記制御部は、前記複数の判定部の何れかで前記受信された所定のIDのデータに不正送信データが含まれていると判定された場合に、前記不正送信データが伝送された通信バスを対象として前記安全制御を行う請求項2記載の不正送信データ検知装置。
  4. 前記複数の判定部及び前記制御部は、単一の通信バスが接続された個別ECUに設けられており、
    前記制御部は、前記複数の判定部の何れかで前記受信された所定のIDのデータに不正送信データが含まれていると判定された場合に、自身が設けられた前記個別ECUを対象として前記安全制御を行う請求項2記載の不正送信データ検知装置。
  5. 前記周期的に送信されるデータは、CANに準拠した通信で送信されるデータである請求項1~請求項4の何れか1項記載の不正送信データ検知装置。
JP2019039702A 2019-03-05 2019-03-05 不正送信データ検知装置 Active JP7147635B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019039702A JP7147635B2 (ja) 2019-03-05 2019-03-05 不正送信データ検知装置
EP20160470.9A EP3706026B1 (en) 2019-03-05 2020-03-02 Fraudulent transmission data detection device, fraudulent transmission data detection method, and storage medium
US16/805,929 US11405406B2 (en) 2019-03-05 2020-03-02 Fraudulent transmission data detection device, fraudulent transmission data detection method, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019039702A JP7147635B2 (ja) 2019-03-05 2019-03-05 不正送信データ検知装置

Publications (2)

Publication Number Publication Date
JP2020145547A JP2020145547A (ja) 2020-09-10
JP7147635B2 true JP7147635B2 (ja) 2022-10-05

Family

ID=69743173

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019039702A Active JP7147635B2 (ja) 2019-03-05 2019-03-05 不正送信データ検知装置

Country Status (3)

Country Link
US (1) US11405406B2 (ja)
EP (1) EP3706026B1 (ja)
JP (1) JP7147635B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022185370A1 (ja) * 2021-03-01 2022-09-09 株式会社オートネットワーク技術研究所 車載装置、プログラム及び情報処理方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018026663A (ja) 2016-08-09 2018-02-15 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015170451A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び不正検知方法
CN110708166B (zh) * 2014-05-08 2022-07-01 松下电器(美国)知识产权公司 不正常应对方法、车载网络系统及电子控制单元
KR101754951B1 (ko) * 2016-10-10 2017-07-06 주식회사 페스카로 Can 통신 기반 해킹공격에 안전한 can 컨트롤러
JP6887108B2 (ja) * 2017-01-13 2021-06-16 パナソニックIpマネジメント株式会社 不正検知電子制御ユニット、電子制御ユニット、車載ネットワークシステム、不正検知方法およびコンピュータプログラム
WO2019107210A1 (ja) * 2017-12-01 2019-06-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 電子制御装置、不正検知サーバ、車載ネットワークシステム、車載ネットワーク監視システム及び車載ネットワーク監視方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018026663A (ja) 2016-08-09 2018-02-15 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム

Also Published As

Publication number Publication date
EP3706026B1 (en) 2022-03-30
US20200287911A1 (en) 2020-09-10
US11405406B2 (en) 2022-08-02
JP2020145547A (ja) 2020-09-10
EP3706026A1 (en) 2020-09-09

Similar Documents

Publication Publication Date Title
US10992688B2 (en) Unauthorized activity detection method, monitoring electronic control unit, and onboard network system
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
US10432421B2 (en) Communication control device and communication system
US10320640B2 (en) Communication system, abnormality detection device and abnormality detection method
JP6566400B2 (ja) 電子制御装置、ゲートウェイ装置、及び検知プログラム
JP7172909B2 (ja) 電子制御装置
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
US20200312060A1 (en) Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit
JP2021005821A (ja) 異常検出装置
JP7147635B2 (ja) 不正送信データ検知装置
US20190384771A1 (en) Extracting device, extracting method and storage medium, and abnormality detecting device and abnormality detecting method
JP7234832B2 (ja) 電子制御装置
JP6913869B2 (ja) 監視装置、監視システムおよびコンピュータプログラム
WO2019207764A1 (ja) 抽出装置、抽出方法および記録媒体、並びに、検知装置
JP2012118928A (ja) イベント処理装置、イベント処理方法およびイベント処理プログラム
JP7373803B2 (ja) 情報送信装置、サーバ、及び、情報送信方法
JP7226248B2 (ja) 通信装置および異常判定装置
JP7383995B2 (ja) 通信システム及び通信装置
KR102331557B1 (ko) 이벤트 계수기의 작동 방법
JP7201073B2 (ja) 情報処理装置
CN115277051B (zh) 一种控制器局域网总线攻击检测方法和设备
JP7471532B2 (ja) 制御装置
WO2023084624A1 (ja) 車載制御装置
KR102016029B1 (ko) 차량 통신의 부하 분산 장치 및 방법
US10331887B2 (en) Embedded system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210624

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220301

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220823

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220905

R151 Written notification of patent or utility model registration

Ref document number: 7147635

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151