JP7170945B2 - 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム - Google Patents
通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム Download PDFInfo
- Publication number
- JP7170945B2 JP7170945B2 JP2022536083A JP2022536083A JP7170945B2 JP 7170945 B2 JP7170945 B2 JP 7170945B2 JP 2022536083 A JP2022536083 A JP 2022536083A JP 2022536083 A JP2022536083 A JP 2022536083A JP 7170945 B2 JP7170945 B2 JP 7170945B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- message
- permission list
- information
- communication permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
Description
本開示は、ネットワーク内を流れる不正メッセージの検知技術に関するものである。
近年、自動車の車両内部に取り付けた不正な車載機器などから、車両ネットワーク内を流れるメッセージに成りすました不正メッセージを送信することで、当該車両の走行等に関わる制御を騙す攻撃が研究等で明らかにされている。このため、車両ネットワーク内を流れるメッセージを監視し、不正メッセージを検知する不正通信検知機能を車両に搭載する動きが進むと予想される。
車両ネットワーク内を流れるメッセージは固定的、周期的なものが多く存在する。そこで、正常なメッセージに関する情報をホワイトリストとして保持し、ホワイトリストから逸脱したメッセージを不正メッセージとして検知するという、ホワイトリスト型の不正通信検知機能の適用が見込まれる。ホワイトリスト型の不正通信検知機能は、不正メッセージに関する情報を保持するブラックリスト型の不正通信検知機能と比べ、リストの更新を頻繁に行う必要がないというメリットも存在する。
しかしながら、ホワイトリスト型不正通信検知機能の適用にあたっては、ネットワーク内を流れる可能性のある正常メッセージを全て正しくホワイトリストに定義する必要がある。ホワイトリストの作成を全て人が手作業で行うことは、作業負荷が高く、抜け漏れや記載ミスが生じるというデメリットも存在する。
そこで、特許文献1には、ネットワークから収集した通信データを学習、解析してホワイトリストを作成する技術が開示されている。
また、特許文献2には、産業制御システムのネットワーク通信が固定的であることを利用し、送信先アドレスと送信元アドレスのペアやプロトコル等の許可された通信を定義し、許可された通信を通信許可リスト(ホワイトリスト)として定義する技術が開示されている。
また、特許文献2には、産業制御システムのネットワーク通信が固定的であることを利用し、送信先アドレスと送信元アドレスのペアやプロトコル等の許可された通信を定義し、許可された通信を通信許可リスト(ホワイトリスト)として定義する技術が開示されている。
車両ネットワークにおけるホワイトリストを生成する場合、特許文献1に基づけば、実際の車両ネットワークを流れる通信データを取得し、そこからホワイトリストを生成することが考えられる。しかしながらこの場合、ホワイトリストを生成するためには、取得した通信データのペイロード部分のフォーマット等の情報が必要となる。取得した通信データからホワイトリストを自動生成する場合でも、通信データを解析するために必要な情報は手動で設定する必要が生じる。また、取得した通信データに正常な通信データが全て含まれているかどうかを確認することは困難である。
一方、特許文献2に基づけば、車両ネットワークを流れる通信データの仕様を定めた通信仕様書からホワイトリストを生成することが考えられる。通信仕様書にはペイロード部のフォーマットや、各データ部の取り得る値などの情報が定義されているため、そこからホワイトリストを生成することが可能である。この場合、解析のための情報を手動で設定する必要はなくなる。しかしながら、周期メッセージの周期誤差範囲など、通信仕様書からは判断できない情報も存在する。あるいは、通信仕様上定められた値の範囲よりも、実環境で用いられる値の範囲が限定されるような通信データについても、仕様上の、より広い値範囲を許容するルールとして定義されることになる。ホワイトリストに定義するルールの値範囲が広すぎると、検知精度が低下し、不正なメッセージを適切に検知できない可能性が高まる。
そこで、本開示は、通信仕様から生成した通信許可リストを補正することで、不正なメッセージを正当なメッセージと誤検知する可能性を軽減させることを目的とするものである。
本開示の通信許可リスト生成装置は、車両ネットワーク内に搭載される不正通信検知機能が用いる通信許可リストを生成する通信許可リスト生成装置であって、前記車両ネットワークを流れる正常な通信メッセージの仕様が定義された通信仕様から当該通信メッセージの周期を定義した周期情報を含んだ検知ルールを生成する通信仕様解析部と、前記通信仕様解析部で生成された前記検知ルールを含む通信許可リストを生成する通信許可リスト出力部と、前記車両ネットワークから取得した通信データを解析し、当該通信データから通信メッセージの周期の範囲を示す周期範囲を取得する通信データ解析部と、前記通信データ解析部で取得された通信メッセージの周期範囲に基づいて、前記通信許可リストに含まれた当該通信メッセージの検知ルールの周期情報を更新する通信許可リスト更新部とを備え、前記通信許可リスト更新部は、前記通信許可リストに、前記周期情報が更新されていない通信メッセージの検知ルールが存在する場合、前記周期情報が更新された他の通信メッセージを基準メッセージとして選択し、当該基準メッセージの周期範囲に基づいて、当該通信メッセージの検知ルールの周期情報を更新することを特徴とするものである。
本開示は、通信仕様から生成した通信許可リストを補正することで、不正なメッセージを正当なメッセージと誤検知する可能性を軽減させることができるという効果を奏する。
以下、本発明を実施するための最良の形態について図面を用いて説明する。なお、以下の実施の形態は特許請求の範囲に係る発明を限定するものでなく、また実施の形態で説明されている特徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。実施の形態および図面において、同じ要素または互いに相当する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略する。
図1は、本発明にかかるホワイトリスト型不正通信検知機能が適用された車両システムのシステム構成図である。
本発明にかかる車両システム100は、GW(Gateway)110、第一車載機器111、第二車載機器112、第三車載機器113および第四車載機器114を備える。なお、車両システム100は、数十から百数十個の車載機器を備えてもよい。
GW110、第一車載機器111および第二車載機器112はケーブル120を介して互いに通信を行う。GW110、第三車載機器113および第四車載機器114は、ケーブル121を介して互いに通信を行う。第一車載機器111および第二車載機器112と、第三車載機器113および第四車載機器114は、ケーブル120、GW110、および、ケーブル121を介して互いに通信を行う。ケーブル120およびケーブル121は、車両内通信で標準的に用いられているCAN(Controller Area Network)通信に対応したケーブルである。CANはブロードキャスト通信のため、GW110はケーブル120およびケーブル121を流れる通信を全て受信することが可能である。本発明にかかるホワイトリスト型不正通信検知機能は、GW110に搭載される。
図2は、本発明にかかるGW110の構成図である。
GW110は、プロセッサ210、メモリ220、補助記憶装置230、および、通信装置240といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
GW110は、プロセッサ210、メモリ220、補助記憶装置230、および、通信装置240といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
プロセッサ210は、プロセッシングを行うIC(Integrated Circuit)であり、他のハードウェアを制御する。具体的には、プロセッサ210は、CPU、DSPまたはGPUである。CPUはCentral Processing Unitの略称であり、DSPはDigital Signal Processorの略称であり、GPUはGraphics Processing Unitの略称である。
メモリ220は、揮発性の記憶装置である。メモリ220は、主記憶装置またはメインメモリとも呼ばれる。具体的には、メモリ220はRAM(Random Access Memory)である。
補助記憶装置230は、不揮発性の記憶装置である。具体的には、補助記憶装置230は、ROM、HDDまたはフラッシュメモリである。ROMはRead Only Memoryの略称であり、HDDはHard Disk Driveの略称である。
プロセッサ210とメモリ220と補助記憶装置230をまとめたハードウェアを「プロセッシングサーキットリ」という。
通信装置240は、通信を行う装置であり、レシーバとトランスミッタとを備える。具体的には、通信装置240は通信チップまたはNIC(Network Interface Card)である。
GW110は、GW機能部211及び不正通信検知部212を機能構成の要素として備え、この機能はソフトウェアで実現することができる。これについては後述する。
図2の説明において、GW110に備わる機能構成の要素を示す。補助記憶装置230には、GW機能部211及び不正通信検知部212の機能を実現するプログラムが記憶されている。プログラムは、メモリ220にロードされて、プロセッサ210によって実行される。さらに、補助記憶装置230にはOSが記憶されている。OSの少なくとも一部は、メモリ220にロードされて、プロセッサ210によって実行される。つまり、プロセッサ210は、OSを実行しながら、GW機能部211及び不正通信検知部212の機能を実現するプログラムを実行する。プログラムを実行して得られるデータは、メモリ220、補助記憶装置230、プロセッサ210内のレジスタまたはプロセッサ210内のキャッシュメモリといった記憶装置に記憶される。
メモリ220は、通信許可リスト221と、転送リスト222が記憶される。通信許可リスト221は、不正通信検知部212が受信した通信メッセージの正常、異常を判断するために用いる検知ルールを含むホワイトリストである。通信許可リスト221の詳細は図4で後述する。転送リスト222は、GW機能部211が受信した通信メッセージを他方のケーブルに転送するべきかの判断に用いるリストである。通信メッセージとその通信メッセージの転送先情報が記載されたリストである。転送リスト222は本発明にかかる不正通信検知機能に直接関係するものではないため、詳細な説明は省略する。通信許可リスト221および転送リスト222は、補助記憶装置230に記憶されており、GW110が起動する際に補助記憶装置230からメモリ220に展開される。この他にも、メモリ220はGW110で使用、生成、入力、出力、送信または受信される不図示のデータが記憶される。
通信装置240はデータを通信する通信部として機能する。通信装置240において、レシーバはデータを受信する受信部241として機能し、トランスミッタはデータを送信する送信部242として機能する。
GW110は、プロセッサ210を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、GW機能部211及び不正通信検知部212の機能を実現するプログラムの実行を分担する。GW機能部211及び不正通信検知部212の機能を実現するプログラムは、不揮発性の記憶媒体にコンピュータ読み取り可能に記憶することができる。GW機能部211及び不正通信検知部212の機能はファームウェアで実現してもよい。
GW機能部211は、通信メッセージの転送を行う、GW110の本来機能である。転送リスト222を参照しながら、ケーブル120(もしくはケーブル121)から受信した通信メッセージをケーブル121(もしくはケーブル120)に転送する。
不正通信検知部212は、通信取得部213と、通信判定部214と、アラート部215とから構成され、本発明にかかる不正通信検知機能を実現する。
図3は、車両システム100内のネットワークを流れ、不正通信検知部212が検知対象とするCANの通信メッセージのメッセージフォーマットである。
CANの通信メッセージは、IDと、DLCと、データフィールドを備える。IDは通信メッセージを一意に識別するために付与されたメッセージ番号である。DLC(Data Length Code)は次に続くデータフィールドのデータ長をバイト単位で示す。データフィールドはアプリケーションが用いるデータが格納されたフィールドであり、CAN通信では最大8バイトである。データフィールドは複数のシグナルで構成される。シグナルは1~64ビットのデータ長を取り得る。ID、DLC、データフィールドおよび各シグナルの詳細は車両システム100毎に定義される。車両システム100内のネットワークは、車両ネットワークの一例である。
CANの通信メッセージは、IDと、DLCと、データフィールドを備える。IDは通信メッセージを一意に識別するために付与されたメッセージ番号である。DLC(Data Length Code)は次に続くデータフィールドのデータ長をバイト単位で示す。データフィールドはアプリケーションが用いるデータが格納されたフィールドであり、CAN通信では最大8バイトである。データフィールドは複数のシグナルで構成される。シグナルは1~64ビットのデータ長を取り得る。ID、DLC、データフィールドおよび各シグナルの詳細は車両システム100毎に定義される。車両システム100内のネットワークは、車両ネットワークの一例である。
図4は、通信許可リスト221の構成及び取り得る値の一例を示す。
通信許可リスト221は、車両システム100内のネットワークを流れる正常なCANメッセージの情報を記載したホワイトリストである。正常なCANメッセージは、正常な通信メッセージの一例である。通信許可リスト221には、正常な通信メッセージを検知する為の検知ルールが含まれる。通信許可リスト221に含まれた検知ルールを構成する項目としては、検知ルール番号、状態、ID,DLC,シグナル条件、周期条件がある。検知ルール番号は、通信許可リスト221内で各検知ルールを一意に識別するためにシーケンシャルに付与される番号である。状態は、GW110または車両システム100の取り得る状態であり、例えば“停車中”、“走行中”、“故障診断中”などの状態が存在し得る。本発明にかかる不正通信検知機能では、状態毎に検知ルールを定義することが可能である。IDおよびDLCは、図3に示したCANの通信メッセージにおけるIDおよびDLCに対応する。シグナル条件は、図3に示したCANの通信メッセージにおける各シグナルの先頭ビット、レングス、最小値、最大値を定義する。周期条件は、周期的に送信されるメッセージについて、その周期を定義する。周期条件を定義する際には、実際の車両システム100内のネットワークを流れる際の周期誤差を考慮し、周期の値範囲で定義する必要がある。即ち、周期条件は、周期を示す周期情報の値範囲を示す。図4の例では、検知ルール番号1,2、4、5は、いずれも100ms(ミリ秒)の周期で送信されるメッセージを検知するための検知ルールである。そして、検知ルール番号1,2、4、5は、周期誤差を考慮するため、周期条件として前後10%のマージンを取り、90~110msの範囲内であれば正常メッセージと判断する検知ルールである。ここで、検知ルール番号3は周期性を持たないメッセージであり、この場合、周期条件は定義されない。本実施例では簡略化のため通信許可リスト221には5つの検知ルールのみ示しているが、車両システム100内のネットワークを流れ得る正常なCANメッセージの情報は抜け漏れなく全て記載する必要がある。
通信許可リスト221は、車両システム100内のネットワークを流れる正常なCANメッセージの情報を記載したホワイトリストである。正常なCANメッセージは、正常な通信メッセージの一例である。通信許可リスト221には、正常な通信メッセージを検知する為の検知ルールが含まれる。通信許可リスト221に含まれた検知ルールを構成する項目としては、検知ルール番号、状態、ID,DLC,シグナル条件、周期条件がある。検知ルール番号は、通信許可リスト221内で各検知ルールを一意に識別するためにシーケンシャルに付与される番号である。状態は、GW110または車両システム100の取り得る状態であり、例えば“停車中”、“走行中”、“故障診断中”などの状態が存在し得る。本発明にかかる不正通信検知機能では、状態毎に検知ルールを定義することが可能である。IDおよびDLCは、図3に示したCANの通信メッセージにおけるIDおよびDLCに対応する。シグナル条件は、図3に示したCANの通信メッセージにおける各シグナルの先頭ビット、レングス、最小値、最大値を定義する。周期条件は、周期的に送信されるメッセージについて、その周期を定義する。周期条件を定義する際には、実際の車両システム100内のネットワークを流れる際の周期誤差を考慮し、周期の値範囲で定義する必要がある。即ち、周期条件は、周期を示す周期情報の値範囲を示す。図4の例では、検知ルール番号1,2、4、5は、いずれも100ms(ミリ秒)の周期で送信されるメッセージを検知するための検知ルールである。そして、検知ルール番号1,2、4、5は、周期誤差を考慮するため、周期条件として前後10%のマージンを取り、90~110msの範囲内であれば正常メッセージと判断する検知ルールである。ここで、検知ルール番号3は周期性を持たないメッセージであり、この場合、周期条件は定義されない。本実施例では簡略化のため通信許可リスト221には5つの検知ルールのみ示しているが、車両システム100内のネットワークを流れ得る正常なCANメッセージの情報は抜け漏れなく全て記載する必要がある。
図5は、本発明にかかるGW110の不正通信検知部212が行う不正通信検知処理のフローチャートである。
S501において、不正通信検知部212の通信取得部213は、受信部241が受信した通信メッセージを、受信部241での受信時刻情報と共に取得し、通信判定部214に渡す。
S501において、不正通信検知部212の通信取得部213は、受信部241が受信した通信メッセージを、受信部241での受信時刻情報と共に取得し、通信判定部214に渡す。
S502において、通信判定部214は、渡された通信メッセージの内容を解析し、当該メッセージに含まれるID,DLC,データフィールドの値を取得する。
S503において、当該通信メッセージの解析結果に合致する検知ルールが通信許可リスト221に存在するかを判定する。判定では、通信許可リスト221に記載され、現在の状態に対応した検知ルールの中から、ID条件とDLC条件がS502で取得した値と一致する検知ルールを探索する。一致する検知ルールが存在した場合は、その検知ルールのシグナル条件に記載された全てのシグナルについて、先頭ビットとレングスの情報に従ってデータフィールドから値を読み出し、取り得る値の範囲内であるかをチェックする。当該検知ルールに周期条件が記載されている場合は、S501で渡された受信時刻情報と、予め内部で保持していた当該通信メッセージに関する前回の受信時刻情報とを比較し、受信間隔が周期条件で定められた周期範囲内であるかをチェックする。全ての条件が合致する検知ルールが存在した場合は、正常メッセージであると判断し、直ちに本フローチャートを終了する。
S503の判定で合致する検知ルールが通信許可リスト221に存在しない場合は、S504に進み、アラート部215にて、予め定められたアラート処理を行う。アラート処理としては、送信部242を介して、車両システム100内の不図示のログ記憶装置に対して不正通信の発生を示すログ情報を送信することや、不図示の操作パネルに警告メッセージを表示させて車両システム100の搭乗者に通知することなど、様々な処理を実施し得る。以上の処理ステップを実行した後、本フローチャートを終了する。
以上、本発明にかかる不正通信検知処理によれば、自動車の車両内部に取り付けた不正な車載機器などから、当該車両の走行等に関わる制御を騙すような不正な通信メッセージが送信された場合に、それを検知してアラートとして挙げることが可能となる。更に、正常な通信メッセージの情報を定義するホワイトリスト型の不正通信検知処理であるため、ブラックリスト型に比べ、リストの更新を頻繁に行わなくても済むというメリットもある。しかしながら、ホワイトリストに記載する正常な通信メッセージに抜け漏れや記載ミスがあると、適切な検知が行えない。ホワイトリストを人が手作業で作成することは、作業負荷が高く、また、抜け漏れや記載ミスが発生する可能性が生じる。そこで、図4に示した通信許可リスト221を自動的に生成する通信許可リスト生成ツールが求められる。
図6は、通信許可リスト生成ツールの動作環境の構成図である。
PC600は、プロセッサ610とメモリ620と補助記憶装置630といったハードウェアを備える汎用のPC(Personal Computer)である。これらのハードウェアは、信号線を介して互いに接続されている。PC600は、車両システム100の内外の何れに設けられていてもよい。
PC600は、プロセッサ610とメモリ620と補助記憶装置630といったハードウェアを備える汎用のPC(Personal Computer)である。これらのハードウェアは、信号線を介して互いに接続されている。PC600は、車両システム100の内外の何れに設けられていてもよい。
プロセッサ610、メモリ620および補助記憶装置630は、図2で説明したプロセッサ210、メモリ220および補助記憶装置230に相当するハードウェアである。PC600は、通信許可リスト生成部611を備え、この機能はソフトウェアで実現することができる。これについては後述する。補助記憶装置630には、通信許可リスト生成部611の機能を実現するプログラムが記憶されている。プログラムは、メモリ620にロードされて、プロセッサ610によって実行される。さらに、補助記憶装置630にはOSが記憶されている。OSの少なくとも一部は、メモリ620にロードされて、プロセッサ610によって実行される。つまり、プロセッサ610は、OSを実行しながら、通信許可リスト生成部611の機能を実現するプログラムを実行する。プログラムを実行して得られるデータは、メモリ620、補助記憶装置630、プロセッサ610内のレジスタまたはプロセッサ610内のキャッシュメモリといった記憶装置に記憶される。
メモリ620は、通信仕様621、通信データ622、設定定義623、更新前通信許可リスト624および更新版通信許可リスト625が記憶される。
通信仕様621は、図1に示した車両システム100内のネットワークを流れるCANメッセージの周期を定義した周期情報を含む通信仕様を定義したファイルである。通信仕様621の詳細は図8で後述する。
通信データ622は、図1に示した車両システム100内のネットワークを実際に流れるCANメッセージをパケットキャプチャツールなどで取得して保存したファイルである。通信データ622の詳細は図9で後述する。
設定定義623は、通信許可リスト生成部611が動作する際の設定情報を記載したファイルである。設定定義623の詳細は図10で後述する。更新前通信許可リスト624および更新版通信許可リスト625は、通信許可リスト生成部611が出力するファイルであり、そのフォーマットは、図4で示した通信許可リスト221と同じである。
この他にも、メモリ620はPC600で使用、生成、入力、出力、送信または受信される不図示のデータが記憶される。PC600は、プロセッサ610を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、通信許可リスト生成部611の機能を実現するプログラムの実行を分担する。通信許可リスト生成部611の機能を実現するプログラムは、不揮発性の記憶媒体にコンピュータ読み取り可能に記憶することができる。
通信許可リスト生成部611は、通信仕様解析部612と、通信許可リスト出力部613と、通信データ解析部614と、通信許可リスト更新部615とから構成され、本発明にかかる通信許可リスト生成ツールとして動作する。通信許可リスト生成部611は、PC600上で動作するアプリケーションの1つである。通信許可リスト生成部611は、通信許可リスト生成装置の一例である。
図7は、図6に示した通信許可リスト生成部611の内部動作及び入出力情報に関するフロー図である。
通信許可リスト生成部611は、通信仕様621、設定定義623および通信データ622を入力とし、更新版通信許可リスト625を出力とする。また、通信許可リスト生成部611の内部では、更新前通信許可リスト624が生成される。従って、更新前通信許可リスト624および更新版通信許可リスト625は、通信許可リスト生成部611で生成される通信許可リストの一例である。
通信許可リスト生成部611は、通信仕様621、設定定義623および通信データ622を入力とし、更新版通信許可リスト625を出力とする。また、通信許可リスト生成部611の内部では、更新前通信許可リスト624が生成される。従って、更新前通信許可リスト624および更新版通信許可リスト625は、通信許可リスト生成部611で生成される通信許可リストの一例である。
通信許可リスト生成部611の内部において、通信仕様解析部612は、車両ネットワークを流れる正常な通信メッセージの仕様が定義された通信仕様621の内容を解析し、通信仕様621から通信メッセージの周期を定義した周期情報を含んだ検知ルールを生成する。ここで、通信仕様解析部612は、設定定義623に基づいて通信仕様621の内容を解析してもよい。この場合、通信仕様解析部612は、設定定義623の周期範囲で指定された比率で算出した下限値と上限値を周期の値範囲とした周期情報を定義してもよい。通信仕様解析部612の解析結果は検知ルールとして通信許可リスト出力部613に渡される。また、通信仕様解析部612は、通信仕様621から通信メッセージの優先度を含んだ検知ルールを生成してもよい。
通信許可リスト出力部613は、通信仕様解析部612で生成された検知ルールを含む更新前通信許可リスト624を生成する。ここで、通信許可リスト出力部613は、設定定義623の内容に従って検知ルールの周期情報を更新した更新前通信許可リスト624を生成してもよい。なお、図15のフローチャートにおいては、通信許可リスト出力部613が、設定定義623の内容に従って検知ルールの周期情報を更新した更新前通信許可リスト624を生成する例について説明する。
通信データ解析部614は、車両ネットワークから取得した通信データ622の内容を解析し、通信データ622から通信メッセージの周期の範囲を示す周期範囲を取得する。周期範囲を含む解析結果は、通信許可リスト更新部615に渡される。
通信許可リスト更新部615は、通信データ解析部614で取得された通信メッセージの周期範囲に基づいて、更新前通信許可リスト624に含まれた通信メッセージの検知ルールの周期情報を更新する。また、通信許可リスト更新部615は、更新前通信許可リスト624を更新した更新版通信許可リスト625として出力する。また、通信許可リスト更新部615は、周期情報が更新されていない通信メッセージの検知ルールが更新前通信許可リスト624に存在する場合、周期情報が更新された他の通信メッセージを基準メッセージとして選択し、選択された基準メッセージの周期範囲に基づいて、通信メッセージの検知ルールの周期情報を更新する。ここで、通信許可リスト更新部615から出力される更新版通信許可リスト625は、通信許可リストの一例である。
ここで、通信許可リスト生成部611は、更新前通信許可リスト624を単なる内部情報ではなく、出力しても良い。この場合、通信許可リスト生成部611は、更新前通信許可リスト624と更新版通信許可リスト625を共に出力することになる。また、通信許可リスト生成部611は、更新版通信許可リスト625を内部情報としてメモリ620又は補助記憶装置630に記憶してもよい。
更に、通信許可リスト生成部611は、通信仕様解析部612と通信許可リスト出力部613からなる機能部と、通信データ解析部614と通信許可リスト更新部615からなる機能部とに分割され、それぞれ別のツールとして動作しても良い。この場合、通信仕様解析部612と通信許可リスト出力部613からなる機能部は、通信仕様621と設定定義623を入力とし、更新前通信許可リスト624を出力する。通信データ解析部614と通信許可リスト更新部615からなる機能部は、通信データ622と更新前通信許可リスト624を入力とし、更新版通信許可リスト625を出力する。
図8は、図6および図7に示した通信仕様621のフォーマットの一例である。
通信仕様621は、車両システム100内のネットワークを流れる複数の正常なCANメッセージの仕様が定義されたCANのデータベースファイルである。ここで、車両システム100内のネットワークは、車両ネットワークの一例である。また、正常なCANメッセージは、正常通信メッセージの一例である。通信仕様621は、車両システム100や、GW(Gateway)110、第一車載機器111、第二車載機器112、第三車載機器113、第四車載機器114などの各車載機器の開発段階に作成、使用される設計情報である。通信仕様621は1つのファイルではなく、複数のファイルであっても良い。
通信仕様621は、車両システム100内のネットワークを流れる複数の正常なCANメッセージの仕様が定義されたCANのデータベースファイルである。ここで、車両システム100内のネットワークは、車両ネットワークの一例である。また、正常なCANメッセージは、正常通信メッセージの一例である。通信仕様621は、車両システム100や、GW(Gateway)110、第一車載機器111、第二車載機器112、第三車載機器113、第四車載機器114などの各車載機器の開発段階に作成、使用される設計情報である。通信仕様621は1つのファイルではなく、複数のファイルであっても良い。
通信仕様621は、装置情報、メッセージ情報、メッセージを構成するシグナルの情報、メッセージ種別情報、メッセージ周期情報(周期情報の一例)などの正常な通信メッセージの仕様を定義した情報を含む。装置情報は、通信仕様621内に定義されるメッセージの送受信に関わる車載機器の名称である。メッセージ情報は、各メッセージに関するメッセージID,DLC,送信元車載機器名などの情報である。各メッセージ情報は、そのメッセージのデータフィールド部分を構成するシグナル情報を含む。シグナル情報は、シグナル名、開始ビット、レングス、取り得る値などの情報である。メッセージ種別情報は、メッセージ情報で定義された各メッセージの種別に関する情報である。メッセージ種別としては、イベントトリガで送信されるメッセージや周期的に送信されるメッセージなどが存在する。メッセージ周期情報は、メッセージ種別情報で周期を持つメッセージと定義されたメッセージの送信周期に関する情報である。
図9は、図6および図7に示した通信データ622のフォーマットの一例である。
通信データ622は、車両システム100内のネットワークを流れるCANメッセージをパケットキャプチャツールなどで取得して保存したファイルである。通信仕様621は、車両システム100や、GW(Gateway)110、第一車載機器111、第二車載機器112、第三車載機器113、第四車載機器114などの各車載機器の開発段階で、実車両もしくはシミュレータ環境で取得される開発、評価用の情報である。通信データ622は1つのファイルではなく、複数のファイルであっても良い。通信データ622は、日付情報と、キャプチャしたメッセージに関する情報を備える。メッセージに関する情報は、キャプチャ時刻、メッセージID,DLC,データフィールドである。
通信データ622は、車両システム100内のネットワークを流れるCANメッセージをパケットキャプチャツールなどで取得して保存したファイルである。通信仕様621は、車両システム100や、GW(Gateway)110、第一車載機器111、第二車載機器112、第三車載機器113、第四車載機器114などの各車載機器の開発段階で、実車両もしくはシミュレータ環境で取得される開発、評価用の情報である。通信データ622は1つのファイルではなく、複数のファイルであっても良い。通信データ622は、日付情報と、キャプチャしたメッセージに関する情報を備える。メッセージに関する情報は、キャプチャ時刻、メッセージID,DLC,データフィールドである。
図10は、図6および図7に示した設定定義623のフォーマットの一例である。
設定定義623は、通信許可リスト生成部611の動作に関連する設定情報を定義したテキストファイルである。設定定義623は、状態、対象機器、周期範囲に関する情報を備える。状態は、図4に示した通信許可リスト221の項目:状態に設定する内容を定義する。対象機器は、通信仕様解析部612で解析対象とする通信メッセージの送信元車載機器を定義する。通信許可リスト出力部613が出力する更新前通信許可リスト624には、対象機器に定義した車載機器が送信する通信メッセージに関する検知ルールのみが定義されることとなる。対象機器の定義は省略することも可能である。この場合、通信仕様621に定義された通信メッセージの全てが通信仕様解析部612での解析対象となる。周期範囲は、通信仕様621に定義された周期情報に対し、どれだけのマージンをみて更新前通信許可リスト624の周期条件として定義するかを比率で指定したものである。周期範囲で定義した比率は、通信仕様621に定義された全ての周期性メッセージに対して適用される。
設定定義623は、通信許可リスト生成部611の動作に関連する設定情報を定義したテキストファイルである。設定定義623は、状態、対象機器、周期範囲に関する情報を備える。状態は、図4に示した通信許可リスト221の項目:状態に設定する内容を定義する。対象機器は、通信仕様解析部612で解析対象とする通信メッセージの送信元車載機器を定義する。通信許可リスト出力部613が出力する更新前通信許可リスト624には、対象機器に定義した車載機器が送信する通信メッセージに関する検知ルールのみが定義されることとなる。対象機器の定義は省略することも可能である。この場合、通信仕様621に定義された通信メッセージの全てが通信仕様解析部612での解析対象となる。周期範囲は、通信仕様621に定義された周期情報に対し、どれだけのマージンをみて更新前通信許可リスト624の周期条件として定義するかを比率で指定したものである。周期範囲で定義した比率は、通信仕様621に定義された全ての周期性メッセージに対して適用される。
図11は、図6および図7に示した通信仕様解析部612が行う通信仕様解析処理のフローチャートである。
通信許可リスト生成部611の通信仕様解析部612は、S1101において、入力として受け付けた通信仕様621の内容を読み込む。具体的には、図8に示した通信仕様621のフォーマットの先頭からメッセージ情報を探索していく。そして、S1102において、メッセージ情報が存在するかを判断する。
通信許可リスト生成部611の通信仕様解析部612は、S1101において、入力として受け付けた通信仕様621の内容を読み込む。具体的には、図8に示した通信仕様621のフォーマットの先頭からメッセージ情報を探索していく。そして、S1102において、メッセージ情報が存在するかを判断する。
メッセージ情報が存在する場合は、S1103において、メッセージ情報解析処理のサブルーチンを実行する。メッセージ情報解析サブルーチンについては図12で後述する。メッセージ情報解析サブルーチンを実行した後、S1102に戻り、以降、通信仕様621内の全てのメッセージ情報を解析するまで、S1102~S1103の処理ステップを繰り返す。
S1102において、次のメッセージ情報は存在しないと判断した場合に、本フローチャートを終了する。
図12は、図6および図7に示した通信仕様解析部612が行うメッセージ情報解析サブルーチンのフローチャートである。図12は、図11のS1103に対応する。
通信許可リスト生成部611の通信仕様解析部612は、S1201において、通信仕様621から、解析対象のメッセージ情報の送信元車載機器名を取得する。
通信許可リスト生成部611の通信仕様解析部612は、S1201において、通信仕様621から、解析対象のメッセージ情報の送信元車載機器名を取得する。
S1202において、S1201で取得した送信元車載機器名が、図10に示した設定定義623の対象機器に定義されているかを判断する。定義されていない場合は、直ちに本フローチャートを終了する。定義されている場合は、S1203において、通信仕様621から、解析対象のメッセージ情報のIDとDLCを取得する。
S1204において、通信仕様621から、解析対象のメッセージ情報のメッセージ種別を取得する。そして、S1205において、解析対象のメッセージ情報が周期メッセージであるかを判断する。周期メッセージの場合は、S1206において、通信仕様621から、解析対象のメッセージの周期情報を取得する。そして、S1207において、シグナル情報解析処理のサブルーチンを実行する。シグナル情報解析サブルーチンについては図13で後述する。一方、S1205において周期メッセージでない場合は、直ちにS1207に進み、シグナル情報解析サブルーチンを実行する。以上の処理ステップを実行した後、本フローチャートを終了する。
図13は、図6および図7に示した通信仕様解析部612が行うシグナル情報解析サブルーチンのフローチャートである。図13は、図12のS1207に対応する。
通信許可リスト生成部611の通信仕様解析部612は、S1301において、通信仕様621から、解析対象のメッセージ情報のシグナル情報を読み込む。
通信許可リスト生成部611の通信仕様解析部612は、S1301において、通信仕様621から、解析対象のメッセージ情報のシグナル情報を読み込む。
S1302において、シグナル情報から開始ビット、レングス、取り得る値(最小値、最大値)の情報を取得する。
S1303において、解析対象のメッセージ情報に関する全てのシグナル情報の解析が完了したかを判断する。完了していない場合、S1301に戻り、以降、未解析のシグナル情報が無くなるまで、S1301~S1303の処理ステップを繰り返す。
S1303で解析対象のメッセージ情報に関する全てのシグナル情報の解析が完了した場合、S1304において、S1302で取得した各シグナルの情報を、開始ビットの昇順にソートする。以上の処理ステップを実行した後、本フローチャートを終了する。
図14は、図11~図13に示した通信仕様解析部612の通信仕様621の解析処理の結果として生成される内部生成ファイル1400の一例である。
内部生成ファイル1400は、通信許可リスト生成部611の内部で、通信仕様解析部612から通信許可リスト出力部613への入力となる情報である。
内部生成ファイル1400は、通信許可リスト生成部611の内部で、通信仕様解析部612から通信許可リスト出力部613への入力となる情報である。
内部生成ファイル1400は、ID、DLC、シグナル条件、周期条件を備える。IDおよびDLCは図12のS1203で取得した情報が格納される。シグナル条件は、開始ビット、レングス、最小値、最大値を備え、いずれも図13のS1302で取得した情報が格納される。図13のS1304のソート処理を実行した結果として、ID毎のシグナル条件は開始ビットの値の昇順で内部生成ファイル1400に記録される。周期条件は、周期メッセージである場合に、図12のS1206で取得した情報が格納される。図14においては、例として、図4の通信許可リスト221で例示した内容と同じメッセージ情報が記録されているものとする。
図15は、図6および図7に示した通信許可リスト出力部613が行う通信許可リスト出力処理のフローチャートである。
通信許可リスト生成部611の通信許可リスト出力部613は、S1501において、更新前通信許可リスト624が既に存在するかを判断する。存在しない場合は、S1502において、更新前通信許可リスト624を新規作成する。更新前通信許可リスト624のフォーマットは、図4に示した通信許可リスト221のフォーマットと同じである。S1502の処理ステップを実行した後、S1504に進む。
通信許可リスト生成部611の通信許可リスト出力部613は、S1501において、更新前通信許可リスト624が既に存在するかを判断する。存在しない場合は、S1502において、更新前通信許可リスト624を新規作成する。更新前通信許可リスト624のフォーマットは、図4に示した通信許可リスト221のフォーマットと同じである。S1502の処理ステップを実行した後、S1504に進む。
一方、S1501で更新前通信許可リスト624が既に存在する場合は、S1503において、既存の更新前通信許可リスト624を編集可能なよう、ファイルオープンした後、S1504に進む。
S1504において、内部生成ファイル1400にメッセージ情報が存在するかを判断する。存在する場合、S1505において、内部生成ファイル1400内のメッセージ情報に対応する検知ルールが更新前通信許可リスト624に既に存在するかを判断する。具体的には、内部生成ファイル1400から対象メッセージのIDを取得し、同じIDの検知ルールが更新前通信許可リスト624に存在するかをまず判断する。存在した場合は、内部生成ファイル1400のDLC,シグナル条件、周期条件が、対応する更新前通信許可リスト624内の検知ルールのDLC,シグナル条件、周期条件と合致するかを判断する。合致した場合は、同じIDの検知ルールが更新前通信許可リスト624に存在していると判断し、S1504に戻る。
S1505で同じIDの検知ルールが更新前通信許可リスト624に存在していない場合は、S1506において、内部生成ファイル1400のID,DLC,シグナル条件、周期条件の情報を、更新前通信許可リスト624内の最終行に記録する。この際、周期条件を持つメッセージの場合には、内部生成ファイル1400の周期条件に対し、図10に示した設定定義623の周期範囲で指定された比率で算出した下限値と上限値を、更新前通信許可リスト624の周期条件に記録する。例えば、内部生成ファイル1400で周期条件が100msとなっており、設定定義623の周期範囲で10%と指定されている場合、更新前通信許可リスト624の周期条件としては90~110msとなる。その後、S1504に戻る。
以降、内部生成ファイル1400のメッセージ情報を全て読み出すまで、S1504~S1506の処理ステップを繰り返す。
S1504において、内部生成ファイル1400に次のメッセージ情報が存在しなくなった場合は、本フローチャートを終了する。図14で示した内部生成ファイル1400の内容を入力として、図15に示した通信許可リスト出力処理を実施した場合に生成される更新前通信許可リスト624の内容は、図4に示した通信許可リスト221の内容と同じである。
図16は、図6および図7に示した通信データ解析部614が行う通信データ解析処理のフローチャートである。
通信許可リスト生成部611の通信データ解析部614は、S1601において、入力として受け付けた通信データ622の内容を読み込む。具体的には、図9に示した通信データ622のフォーマットの先頭からメッセージ情報を探索していく。そして、S1602において、未解析のメッセージ情報が存在するかを判断する。未解析のメッセージ情報が存在する場合は、S1603において、解析対象のメッセージのIDを取得する。S1604において、通信データ622内を更に探索し、同じIDに関する情報を取得する。S1605において、取得した情報から各情報のキャプチャ時刻の間隔を算出し、解析対象のメッセージ情報が周期メッセージであるかを判断する。キャプチャ時刻の間隔に規則性がなく、周期メッセージではないと判断した場合は、S1602に戻る。
通信許可リスト生成部611の通信データ解析部614は、S1601において、入力として受け付けた通信データ622の内容を読み込む。具体的には、図9に示した通信データ622のフォーマットの先頭からメッセージ情報を探索していく。そして、S1602において、未解析のメッセージ情報が存在するかを判断する。未解析のメッセージ情報が存在する場合は、S1603において、解析対象のメッセージのIDを取得する。S1604において、通信データ622内を更に探索し、同じIDに関する情報を取得する。S1605において、取得した情報から各情報のキャプチャ時刻の間隔を算出し、解析対象のメッセージ情報が周期メッセージであるかを判断する。キャプチャ時刻の間隔に規則性がなく、周期メッセージではないと判断した場合は、S1602に戻る。
一方、周期メッセージと判断した場合は、S1606において、算出したキャプチャ時刻の間隔から、周期範囲の最大値と最小値を取得する。その後、S1602に戻る。以降、通信データ622に未解析のメッセージ情報が存在しなくなるまで、S1602~S1606の処理ステップを繰り返す。S1602において、通信データ622の全てのメッセージ情報を解析し終えた場合は、本フローチャートを終了する。
図17は、図16に示した通信データ解析部614の通信データ解析処理の結果として生成される内部生成ファイル1700の一例である。
内部生成ファイル1700は、通信許可リスト生成部611の内部で、通信データ解析部614から通信許可リスト更新部615への入力となる情報である。内部生成ファイル1700は、ID、周期範囲を備える。IDは図16のS1603で取得した情報が格納される。周期範囲は、最小周期、最大周期を備え、いずれも図16のS1606で取得した情報が格納される。図17においては、例として、図16に示した通信データ解析部614の通信データ解析処理の結果、ID=0x20、0x40の周期範囲が取得できたものとする。また、ID=0x20の周期範囲は、最小が98.4ms、最大が104.5msであったものとする。ID=0x40の周期範囲は、最小が93.8ms、最大が110.3msであったものとする。
内部生成ファイル1700は、通信許可リスト生成部611の内部で、通信データ解析部614から通信許可リスト更新部615への入力となる情報である。内部生成ファイル1700は、ID、周期範囲を備える。IDは図16のS1603で取得した情報が格納される。周期範囲は、最小周期、最大周期を備え、いずれも図16のS1606で取得した情報が格納される。図17においては、例として、図16に示した通信データ解析部614の通信データ解析処理の結果、ID=0x20、0x40の周期範囲が取得できたものとする。また、ID=0x20の周期範囲は、最小が98.4ms、最大が104.5msであったものとする。ID=0x40の周期範囲は、最小が93.8ms、最大が110.3msであったものとする。
図18は、図6および図7に示した通信許可リスト更新部615が行う通信許可リスト更新処理のフローチャートである。
通信許可リスト生成部611の通信許可リスト更新部615は、S1801において、内部生成ファイル1700を先頭から探索し、メッセージ情報が存在するかを確認する。存在する場合(S1801 Yes)は、S1802において、そのメッセージのID,周期範囲の情報を取得する。S1803において、更新前通信許可リスト624を探索し、S1802で取得したIDと一致するID情報をもつ検知ルールを特定する。特定した検知ルールの周期条件(周期情報の値範囲)を、S1802で取得した周期範囲の情報に基づいて更新する。即ち、通信許可リスト更新部615は、通信データ解析部614で取得された通信メッセージの周期範囲に基づいて、更新前通信許可リスト624に含まれた通信メッセージの検知ルールの周期情報の値範囲を更新する。
通信許可リスト生成部611の通信許可リスト更新部615は、S1801において、内部生成ファイル1700を先頭から探索し、メッセージ情報が存在するかを確認する。存在する場合(S1801 Yes)は、S1802において、そのメッセージのID,周期範囲の情報を取得する。S1803において、更新前通信許可リスト624を探索し、S1802で取得したIDと一致するID情報をもつ検知ルールを特定する。特定した検知ルールの周期条件(周期情報の値範囲)を、S1802で取得した周期範囲の情報に基づいて更新する。即ち、通信許可リスト更新部615は、通信データ解析部614で取得された通信メッセージの周期範囲に基づいて、更新前通信許可リスト624に含まれた通信メッセージの検知ルールの周期情報の値範囲を更新する。
本実施例においては、図17に示した内部生成ファイル1700の先頭にはID=0x20のメッセージに関する情報が記録されており、その周期範囲は最小が98.4ms、最大が104.5msであった。一方、更新前通信許可リスト624の内容は、図4に示した通信許可リスト221の内容と同じであり、更新前通信許可リスト624におけるID=0x20のメッセージの周期条件は90~110msとなっている。そこで、更新前通信許可リスト624のID=0x20のメッセージ情報(通信メッセージの検知ルール)に関する周期条件を、内部生成ファイル1700の最小周期、最大周期が収まる範囲で極力狭めた範囲ということで、例えば98~105msに更新する。その後、S1801に戻る。以降、内部生成ファイル1700のメッセージ情報を全て取得するまで、S1801~S1803の処理ステップを繰り返す。
本実施例においては、内部生成ファイル1700の情報に基づき、更新前通信許可リスト624内のID=0x40のメッセージ情報に関する周期条件についても、ID=0x20と同様に更新することとなる。ID=0x40について、内部生成ファイル1700における周期範囲は、図17に示す通り、最小が93.8ms、最大が110.3msであった。一方、更新前通信許可リスト624における周期条件は、図4に示す通り、90~110msであった。そこで、更新前通信許可リスト624のメッセージ情報の周期条件を、例えば、93~111msに更新する。
S1801で、内部生成ファイル1700のメッセージ情報を全て取得した場合(S1801 No)は、S1804において、更新前通信許可リスト624内に記録された周期メッセージの中で、S1801~S1803の処理ステップで周期情報が更新されていないメッセージ情報(通信メッセージの検知ルールの一例)が存在するかを確認する。本実施例においては、ID=0x10およびID=0x50のメッセージ情報が該当することとなる。
更新前通信許可リスト624内に周期情報が更新されていないメッセージ情報が存在する場合、通信許可リスト更新部615は、S1805において、周期情報が更新されていないメッセージ情報(以降、対象メッセージと称する)と基準メッセージの優先度を比較する。通信許可リスト更新部615は、基準メッセージとして、内部生成ファイル1700内に記録されたメッセージ情報の中から、対象メッセージとIDの近いメッセージ情報を選択する。即ち、通信許可リスト更新部615は、周期情報が更新されていない通信メッセージと優先度が近い通信メッセージを基準メッセージとして選択する。本実施例においては、ID=0x10に対してはID=0x20が、ID=0x50に対してはID=0x40が、それぞれ基準メッセージとなる。ここで、CAN通信においては、IDの小さいものが優先度の高いメッセージとなる。従って、S1805では、対象メッセージと基準メッセージのIDを比較することとなる。なお、通信許可リスト更新部615は、更新前通信許可リスト624内に記録された周期条件の更新されたメッセージ情報の中から、対象メッセージとIDの近いメッセージを基準メッセージとして選択してもよい。
S1805で対象メッセージの優先度が基準メッセージの優先度よりも低い、すなわち、対象メッセージのIDの値が基準メッセージのIDの値よりも大きい場合は、S1807において、更新前通信許可リスト624内に記録された対象メッセージの検知ルールの周期条件(周期情報の値範囲)を、基準メッセージの周期範囲の比率よりも大きい比率で更新する。
これは、複数のメッセージの送信タイミングが衝突した場合に、より優先度の高いメッセージが優先されることから、優先度の低いメッセージの方が、周期の遅延誤差が大きくなるためである。
本実施例においては、ID=0x50について、基準メッセージであるID=0x40よりも優先度が低い。また、ID=0x40とID=0x50の周期条件はどちらも100msであった。そして、S1803において、更新前通信許可リスト624のID=0x40に関する周期条件の上限は111msに更新されていた。従って、基準メッセージであるID=0x40について、周期範囲の比率(最大)は111%となる。そこで、更新前通信許可リスト624のID=0x50に関する周期条件の上限は、基準メッセージであるID=0x40の周期範囲の比率(111%)よりも大きい比率(例えば、115%)として115msに更新する。その後、S1804に戻る。
一方、S1805で対象メッセージの優先度が基準メッセージの優先度と同じ場合、又は、前記通信メッセージの優先度が前記基準メッセージの優先度よりも高い場合、S1808において、更新前通信許可リスト624内に記録された対象メッセージの検知ルールの周期条件(周期情報の値範囲)を、基準メッセージの周期範囲の比率と同じ比率で更新する。本実施例においては、ID=0x10について、基準メッセージであるID=0x20よりも優先度が高いことになる。ID=0x10とID=0x20の周期条件はどちらも100msであった。そして、S1803において、更新前通信許可リスト624の検知ルールID=0x20に関する周期条件の上限は105msに更新されていた。従って、基準メッセージであるID=0x20について、周期範囲の比率(最大)は105%となる。そこで、更新前通信許可リスト624のID=0x10に関する周期条件の上限は、ID=0x20と同じ105msに更新する。その後、S1804に戻る。以降、更新前通信許可リスト624内の全ての周期メッセージを更新するまで、S1804~S1808の処理ステップを繰り返す。S1804で更新前通信許可リスト624内の全ての周期メッセージを更新し終えた場合は、S1809において、更新後の情報を更新版通信許可リスト625として出力する。以上の処理を行った後、本フローチャートを終了する。
図19は、図18に示した通信許可リスト更新処理の結果、通信許可リスト更新部615が出力する更新版通信許可リスト625の内容を示す図である。更新前通信許可リスト624の内容から、周期的な通信メッセージの検知ルールの周期条件に関する値が更新されている。図19において下線で示した値が、更新前通信許可リスト624から更新された箇所である。
以上、本発明にかかる通信許可リスト生成ツールによれば、GW110の不正通信検知部212が参照する通信許可リスト221を、通信仕様621と実際の通信データの情報から自動生成できる。これにより、人が手作業で更新前通信許可リスト624を作成する場合に比べ、精度の良い検知ルールを、抜け漏れや記載ミスを発生させることなく作成できる。更に、本発明にかかる通信許可リスト生成ツールによれば、通信仕様と実際の通信データには表れない周期メッセージの周期範囲についても、通信データ内に記録される他の周期メッセージの情報を用いて、精度の良い検知ルールを生成することが出来る。
(その他の実施形態)
本発明のその他の実施形態について説明する。
図18のS1805において、基準メッセージは、対象とするメッセージのIDとの近さ以外の条件で選択しても良い。例えば、通信許可リスト更新部615は、周期情報が更新された他の通信メッセージであって、周期情報が更新されていない通信メッセージと送信元の機器情報が等しい通信メッセージを基準メッセージとして選択してもよい。この場合、図18のフローチャートを実行する通信許可リスト更新部615は、メッセージIDと送信元車載機器との対応を把握する必要がある。そのため、その他の実施形態にかかる通信許可リスト更新部615は、内部生成ファイル1700と更新前通信許可リスト624に加え、通信仕様621を入力とする。なお、通信許可リスト更新部615が、通信メッセージの送信元の機器情報を特定する方法はこれに限らず、通信メッセージのIDと送信元の機器情報とが対応づけられていてもよいし、検知リストに送信元の機器情報が含まれていてもよい。
本発明のその他の実施形態について説明する。
図18のS1805において、基準メッセージは、対象とするメッセージのIDとの近さ以外の条件で選択しても良い。例えば、通信許可リスト更新部615は、周期情報が更新された他の通信メッセージであって、周期情報が更新されていない通信メッセージと送信元の機器情報が等しい通信メッセージを基準メッセージとして選択してもよい。この場合、図18のフローチャートを実行する通信許可リスト更新部615は、メッセージIDと送信元車載機器との対応を把握する必要がある。そのため、その他の実施形態にかかる通信許可リスト更新部615は、内部生成ファイル1700と更新前通信許可リスト624に加え、通信仕様621を入力とする。なお、通信許可リスト更新部615が、通信メッセージの送信元の機器情報を特定する方法はこれに限らず、通信メッセージのIDと送信元の機器情報とが対応づけられていてもよいし、検知リストに送信元の機器情報が含まれていてもよい。
図20は、本発明のその他の実施形態にかかる通信許可リスト生成部2000の内部動作及び入出力情報に関するフロー図である。通信許可リスト生成部2000は、図7に示した通信許可リスト生成部611のその他の実施形態である。図7に示した通信許可リスト生成部611との差異は、通信仕様621が通信許可リスト更新部615への入力となっている点である。これにより、図18のS1805において、通信許可リスト更新部615が基準メッセージを選択する際、対象とするメッセージの送信元である車載機器の情報を通信仕様621から取得することが可能となる。更に、当該車載機器が送信するその他のメッセージの情報も通信仕様621から取得することで、基準メッセージを選択する。通信許可リスト生成部2000の入出力となる情報や、内部を構成する各機能は、図7と同じであるため、ここでの説明は省略する。
また、図18のS1805において、基準メッセージは1つでなくても良い。内部生成ファイル1700内に記録された複数メッセージを基準メッセージとし、それら複数の基準メッセージのIDと周期範囲の最大値の対応から、更新対象のメッセージの周期範囲の最大値の予想値を算出し、その値で更新前通信許可リスト624を更新しても良い。
***実施の形態の補足***
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
上述した車両システム100実施する処理は、コンピュータを機能させるためのプログラムとして構成されてもよい。
100 車両システム、110 GW、111 第一車載機器、112 第二車載機器、113 第三車載機器、114 第四車載機器、120、121 ケーブル、210 プロセッサ、211 GW機能部、212 不正通信検知部、213 通信取得部、214 通信判定部、215 アラート部、220 メモリ、221 通信許可リスト、222 転送リスト、230 補助記憶装置、240 通信装置、241 受信部、242 送信部、600 PC、610 プロセッサ、611 通信許可リスト生成部、612 通信仕様解析部、613 通信許可リスト出力部、614 通信データ解析部、615 通信許可リスト更新部、620 メモリ、621 通信仕様、622 通信データ、623 設定定義、624 更新前通信許可リスト、625 更新版通信許可リスト、630 補助記憶装置、1400,1700 内部生成ファイル、2000 通信許可リスト生成部。
Claims (7)
- 車両ネットワーク内に搭載される不正通信検知機能が用いる通信許可リストを生成する通信許可リスト生成装置であって、
前記車両ネットワークを流れる正常な通信メッセージの仕様が定義された通信仕様から当該通信メッセージの周期を定義した周期情報を含んだ検知ルールを生成する通信仕様解析部と、
前記通信仕様解析部で生成された前記検知ルールを含む通信許可リストを生成する通信許可リスト出力部と、
前記車両ネットワークから取得した通信データを解析し、当該通信データから前記通信メッセージの周期の範囲を示す周期範囲を取得する通信データ解析部と、
前記通信データ解析部で取得された前記通信メッセージの周期範囲に基づいて、前記通信許可リストに含まれた当該通信メッセージの検知ルールの周期情報を更新する通信許可リスト更新部とを備え、
前記通信許可リスト更新部は、
前記通信許可リストに、前記周期情報が更新されていない通信メッセージの検知ルールが存在する場合、前記周期情報が更新された他の通信メッセージを基準メッセージとして選択し、当該基準メッセージの周期範囲に基づいて、当該通信メッセージの検知ルールの周期情報を更新する
ことを特徴とする通信許可リスト生成装置。 - 前記通信仕様解析部は、
前記通信仕様から通信メッセージの優先度を含んだ検知ルールを生成し、
前記通信許可リスト更新部は、
前記周期情報が更新されていない通信メッセージと優先度が近い通信メッセージを基準メッセージとして選択する
ことを特徴とする請求項1に記載の通信許可リスト生成装置。 - 前記通信許可リスト更新部は、
前記通信メッセージの優先度が前記基準メッセージの優先度よりも低い場合、当該通信メッセージの検知ルールの周期情報の値範囲を、当該基準メッセージの周期範囲の比率よりも大きい比率で更新する
ことを特徴とする請求項2に記載の通信許可リスト生成装置。 - 前記通信許可リスト更新部は、
前記通信メッセージの優先度が前記基準メッセージの優先度と同じ場合、又は、前記通信メッセージの優先度が前記基準メッセージの優先度よりも高い場合、当該通信メッセージの検知ルールの周期情報の値範囲を、当該基準メッセージの周期範囲の比率と同じ比率で更新する
ことを特徴とする請求項2又は3に記載の通信許可リスト生成装置。 - 前記通信許可リスト更新部は、
前記周期情報が更新された他の通信メッセージであって、前記周期情報が更新されていない通信メッセージと送信元の機器情報が等しい通信メッセージを基準メッセージとして選択する
ことを特徴とする請求項1~4の何れか1項に記載の通信許可リスト生成装置。 - 車両ネットワーク内に搭載される不正通信検知機能が用いる通信許可リストを生成する通信許可リスト生成方法であって、
前記車両ネットワークを流れる正常な通信メッセージの仕様が定義された通信仕様から当該通信メッセージの周期を定義した周期情報を含んだ検知ルールを生成する通信仕様解析ステップと、
前記通信仕様解析ステップで生成された前記検知ルールを含む通信許可リストを生成する通信許可リスト出力ステップと、
前記車両ネットワークから取得した通信データを解析し、当該通信データから前記通信メッセージの周期の範囲を示す周期範囲を取得する通信データ解析ステップと、
前記通信データ解析ステップで取得された前記通信メッセージの周期範囲に基づいて、前記通信許可リストに含まれた当該通信メッセージの検知ルールの周期情報を更新し、前記通信許可リストに、前記周期情報が更新されていない通信メッセージの検知ルールが存在する場合、前記周期情報が更新された他の通信メッセージを基準メッセージとして選択し、当該基準メッセージの周期範囲に基づいて、当該通信メッセージの検知ルールの周期情報を更新する通信許可リスト更新ステップと
をコンピュータに実行させることを特徴とする通信許可リスト生成方法。 - 車両ネットワーク内に搭載される不正通信検知機能が用いる通信許可リストを生成するプログラムであって、
前記車両ネットワークを流れる正常な通信メッセージの仕様が定義された通信仕様から当該通信メッセージの周期を定義した周期情報を含んだ検知ルールを生成する通信仕様解析ステップと、
前記通信仕様解析ステップで生成された前記検知ルールを含む通信許可リストを生成する通信許可リスト出力ステップと、
前記車両ネットワークから取得した通信データを解析し、当該通信データから前記通信メッセージの周期の範囲を示す周期範囲を取得する通信データ解析ステップと、
前記通信データ解析ステップで取得された前記通信メッセージの周期範囲に基づいて、前記通信許可リストに含まれた当該通信メッセージの検知ルールの周期情報を更新し、前記通信許可リストに、前記周期情報が更新されていない通信メッセージの検知ルールが存在する場合、前記周期情報が更新された他の通信メッセージを基準メッセージとして選択し、当該基準メッセージの周期範囲に基づいて、当該通信メッセージの検知ルールの周期情報を更新する通信許可リスト更新ステップと
をコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/027765 WO2022014027A1 (ja) | 2020-07-17 | 2020-07-17 | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JPWO2022014027A1 JPWO2022014027A1 (ja) | 2022-01-20 |
| JPWO2022014027A5 JPWO2022014027A5 (ja) | 2022-10-14 |
| JP7170945B2 true JP7170945B2 (ja) | 2022-11-14 |
Family
ID=79554542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022536083A Active JP7170945B2 (ja) | 2020-07-17 | 2020-07-17 | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230087540A1 (ja) |
| JP (1) | JP7170945B2 (ja) |
| CN (1) | CN115917540A (ja) |
| DE (1) | DE112020007204T5 (ja) |
| WO (1) | WO2022014027A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7325695B1 (ja) * | 2023-01-23 | 2023-08-14 | 三菱電機株式会社 | データ処理装置、データ処理方法及びデータ処理プログラム |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023170928A1 (ja) * | 2022-03-11 | 2023-09-14 | 三菱電機株式会社 | 不正通信検知装置、通信許可リスト生成装置、不正通信検知方法、通信許可リスト生成方法、不正通信検知プログラム、及び通信許可リスト生成プログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016134170A (ja) | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法及び電子制御ユニット |
| JP2018537009A (ja) | 2017-01-23 | 2018-12-13 | 三菱電機株式会社 | ホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器、並びにホワイトリスト生成方法、ホワイトリスト評価方法およびホワイトリスト生成・評価方法 |
| WO2019004101A1 (ja) | 2017-06-27 | 2019-01-03 | 三菱電機ビルテクノサービス株式会社 | 侵入検知装置および侵入検知方法ならびに侵入検知システム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016113911A1 (ja) | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
-
2020
- 2020-07-17 DE DE112020007204.5T patent/DE112020007204T5/de active Pending
- 2020-07-17 CN CN202080102856.3A patent/CN115917540A/zh active Pending
- 2020-07-17 JP JP2022536083A patent/JP7170945B2/ja active Active
- 2020-07-17 WO PCT/JP2020/027765 patent/WO2022014027A1/ja active Application Filing
-
2022
- 2022-11-30 US US18/072,001 patent/US20230087540A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016134170A (ja) | 2015-01-20 | 2016-07-25 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正対処方法及び電子制御ユニット |
| JP2018537009A (ja) | 2017-01-23 | 2018-12-13 | 三菱電機株式会社 | ホワイトリスト生成器、ホワイトリスト評価器およびホワイトリスト生成・評価器、並びにホワイトリスト生成方法、ホワイトリスト評価方法およびホワイトリスト生成・評価方法 |
| WO2019004101A1 (ja) | 2017-06-27 | 2019-01-03 | 三菱電機ビルテクノサービス株式会社 | 侵入検知装置および侵入検知方法ならびに侵入検知システム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7325695B1 (ja) * | 2023-01-23 | 2023-08-14 | 三菱電機株式会社 | データ処理装置、データ処理方法及びデータ処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022014027A1 (ja) | 2022-01-20 |
| CN115917540A (zh) | 2023-04-04 |
| DE112020007204T5 (de) | 2023-03-09 |
| JPWO2022014027A1 (ja) | 2022-01-20 |
| US20230087540A1 (en) | 2023-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7170945B2 (ja) | 通信許可リスト生成装置、通信許可リスト生成方法、及び、プログラム | |
| CN108028790B (zh) | 异常检测方法、异常检测装置及异常检测系统 | |
| US7382282B2 (en) | Method and apparatus reporting time-synchronized vehicular sensor waveforms from wireless vehicular sensor nodes | |
| US8909412B2 (en) | Apparatus and method for processing sensor data for vehicle using extensible markup language | |
| EP3748919A1 (en) | Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system | |
| JP6181493B2 (ja) | 書換検出システム、書換検出装置及び情報処理装置 | |
| CN109005678B (zh) | 非法通信检测方法、非法通信检测系统以及记录介质 | |
| CN109076016B9 (zh) | 非法通信检测基准决定方法、决定系统以及记录介质 | |
| US20140365028A1 (en) | Vehicle data collecting system | |
| JP6342281B2 (ja) | 書換検出システム及び情報処理装置 | |
| WO2018173732A1 (ja) | 車載通信装置、コンピュータプログラム及びメッセージ判定方法 | |
| CN108733674A (zh) | 一种a2l文件合并方法及装置 | |
| CN111903095B (zh) | 检测装置及其方法以及记录介质 | |
| EP3890307A1 (en) | Image capturing apparatus, device, control method, and program | |
| JPWO2022014027A5 (ja) | ||
| US20180316700A1 (en) | Data security inspection mechanism for serial networks | |
| JP7176564B2 (ja) | 監視装置、および、監視方法 | |
| WO2021053919A1 (ja) | 変換装置、変換方法、および記録媒体 | |
| CN110896393B (zh) | 汽车总线的入侵检测方法、装置及计算设备 | |
| JP2019199122A (ja) | 車載中継装置、通信システム、バス決定方法及びコンピュータプログラム | |
| JP7251545B2 (ja) | 非正規車載装置の検出システム、ハーネスシステム、検出装置、及びコンピュータプログラム | |
| CN114747182A (zh) | 判定装置、判定程序和判定方法 | |
| JP7435929B2 (ja) | 不正通信検知装置、通信許可リスト生成装置、不正通信検知方法、通信許可リスト生成方法、不正通信検知プログラム、及び通信許可リスト生成プログラム | |
| JP4211647B2 (ja) | 移動通信システム | |
| JP7177032B2 (ja) | 等価検証方法、および等価検証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220816 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220816 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220816 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221004 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221101 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7170945 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |