JP7183841B2 - electronic controller - Google Patents
electronic controller Download PDFInfo
- Publication number
- JP7183841B2 JP7183841B2 JP2019021151A JP2019021151A JP7183841B2 JP 7183841 B2 JP7183841 B2 JP 7183841B2 JP 2019021151 A JP2019021151 A JP 2019021151A JP 2019021151 A JP2019021151 A JP 2019021151A JP 7183841 B2 JP7183841 B2 JP 7183841B2
- Authority
- JP
- Japan
- Prior art keywords
- log
- electronic control
- notification
- abnormality
- secure area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、電子制御装置(ECU:Electric Control Unit)に関するものであり、主として、車両用の電子制御装置に用いるものである。 TECHNICAL FIELD The present invention relates to an electronic control unit (ECU: Electric Control Unit), and is mainly used for an electronic control unit for a vehicle.
従来より、自動車には、CAN(Controller Area Network)などの車載ネットワークで互いに接続された様々な種類の電子制御装置が搭載されている。これらの電子制御装置で何らかの異常が発生した場合、電子制御装置の動作に関する様々なログを収集して分析することにより、異常の発生原因を特定することが求められる。 2. Description of the Related Art Conventionally, automobiles are equipped with various types of electronic control units connected to each other via an in-vehicle network such as CAN (Controller Area Network). When an abnormality occurs in these electronic control devices, it is required to identify the cause of the abnormality by collecting and analyzing various logs related to the operation of the electronic control device.
例えば、特許文献1には、監視対象の装置に異常が発生した場合に、異常の原因分析に必要な情報を収集する情報収集装置が開示されている。特許文献1に記載の情報収集装置では、異常の原因分析に使用する情報を、予め設定された収集間隔で定期的に収集するとともに、異常が発生したタイミングで収集することが開示されている。
For example,
ところで、近年、自動車に搭載される電子制御装置の仮想化技術の開発が活発になっている。このような仮想化技術を用いた電子制御装置においても、異常が発生した場合に、異常の原因分析に必要なログを収集することが望ましい。さらに、異常の原因分析に必要なログは重要性が高いため、電子制御装置の中でも特にセキュリティ性の高い領域に確実に収集することが求められる。 By the way, in recent years, the development of virtualization technology for electronic control units mounted on automobiles has been active. Even in an electronic control unit using such virtualization technology, it is desirable to collect logs necessary for analyzing the cause of an abnormality when an abnormality occurs. Furthermore, since the logs necessary for analyzing the cause of anomalies are highly important, they must be reliably collected in a particularly high-security area of the electronic control device.
そこで、本発明の目的は、仮想化技術を用いた電子制御装置に異常が発生した場合に、異常に関するログをセキュリティ性の高い領域に確実に収集することを実現することにある。 SUMMARY OF THE INVENTION Accordingly, it is an object of the present invention to reliably collect logs related to an abnormality in an area with high security when an abnormality occurs in an electronic control device using virtualization technology.
上記課題を解決するために、非セキュア領域とセキュア領域とを有する電子制御装置(1)は、前記非セキュア領域に、当該電子制御装置に発生した異常を検出し、前記異常を示す異常ログを生成するとともに、前記異常を検出したことを示す通知を前記セキュア領域に送信する監視部(11)と、前記異常ログおよび当該電子制御装置が取得するその他のログである通常ログを保存する第1のメモリ(20)と、を有し、前記セキュア領域に、前記第1のメモリから、前記通知の受信前は第1の周期で前記通常ログを収集し、前記通知の受信後は前記第1の周期よりも短い第2の周期で前記異常ログを収集するログ収集部(41)と、前記ログ収集部が収集した前記通常ログおよび前記異常ログを保存する第2のメモリ(50)と、を有する。 In order to solve the above problems, an electronic control device (1) having a non-secure area and a secure area detects an abnormality occurring in the electronic control device and stores an abnormality log indicating the abnormality in the non-secure area. a monitoring unit (11) for generating and transmitting a notification indicating that the abnormality has been detected to the secure area; and collecting the normal log from the first memory in the secure area at a first period before receiving the notification, and collecting the normal log at the first period after receiving the notification. a log collection unit (41) that collects the error log in a second cycle shorter than the cycle of; a second memory (50) that stores the normal log and the error log collected by the log collection unit; have
本発明の電子制御装置によれば、仮想化技術を用いた電子制御装置において異常が発生した場合に、異常発生前にログを収集する周期よりも短い周期で定期的に異常ログを収集することにより、異常の原因分析に必要な異常ログが失われる可能性を低減することができる。 According to the electronic control device of the present invention, when an abnormality occurs in an electronic control device using virtualization technology, the abnormality log is collected periodically at a period shorter than the period at which the log is collected before the abnormality occurs. Therefore, it is possible to reduce the possibility of losing the error log necessary for analyzing the cause of the error.
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成および方法、従属項に記載の構成および方法に対応する実施形態の構成および方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成および方法は、本発明においては任意の構成および方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成および方法も、本発明の構成および方法の例示であるという意味で、本発明においては任意の構成および方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成および方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせても良い。また、複数の実施形態それぞれに開示の構成を集めて組み合わせても良い。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成および方法と共に発明の進歩性を肯定する事実である。
BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described with reference to the drawings.
It should be noted that the present invention means the invention described in the scope of claims or the section of Means for Solving the Problems, and is not limited to the following embodiments. In addition, at least the words and phrases in angle brackets mean the words and phrases described in the claims or the means for solving the problems section, and are not limited to the following embodiments.
Arrangements and methods according to dependent claims, arrangements and methods of embodiments corresponding to arrangements and methods according to dependent claims, and arrangements and methods according to embodiments only without claims are optional configurations and methods in the present invention. In the sense that the configurations and methods described in the embodiments when the description of the claims is broader than the description of the embodiments are also examples of the configurations and methods of the present invention, in the present invention, any configuration and method be. In either case, the essential features and methods of the invention are described in the independent claims.
The effects described in the embodiments are the effects when having the configuration of the embodiment as an example of the present invention, and are not necessarily the effects of the present invention.
When there are multiple embodiments, the configuration disclosed in each embodiment is not limited to each embodiment, but can be combined across the embodiments. For example, a configuration disclosed in one embodiment may be combined with another embodiment. In addition, the configurations disclosed in each of a plurality of embodiments may be collected and combined.
The problems described in the Problems to be Solved by the Invention are not known problems, but were independently discovered by the inventors, and are facts that affirm the inventive step of the invention together with the configuration and method of the present invention.
(実施形態1)
本実施形態1の電子制御装置1の構成を図1を用いて説明する。本発明の「電子制御装置」は、ハイパーバイザ型の仮想マシンを有する電子制御装置1であり、「非セキュア領域」と、非セキュア領域からはアクセスできない領域である「セキュア領域」とを有している。
(Embodiment 1)
The configuration of the
ここで、本発明の「電子制御装置」は、例えば、主に半導体装置で構成され、CPU(Central Processing Unit)、およびRAM(Random Access Memory)等の揮発性記憶部を有する、いわゆる情報処理装置として構成されていてもよい。この場合、情報処理装置はさらに、フラッシュメモリ等の不揮発性記憶部、通信ネットワーク等に接続されるネットワークインタフェース部等を有していてもよい。さらに、このような情報処理装置はパッケージ化された半導体装置であっても、配線基板において各半導体装置が配線接続された構成であってもよい。
本発明の「非セキュア領域」とは、「非セキュア領域」および「セキュア領域」のいずれからもアクセス可能な領域をいう。また、本発明の「セキュア領域」とは、「非セキュア領域」からはアクセスできず、同じ「セキュア領域」からのみアクセス可能な領域をいう。
Here, the "electronic control device" of the present invention is, for example, a so-called information processing device that is mainly composed of a semiconductor device and has a CPU (Central Processing Unit) and a volatile memory such as a RAM (Random Access Memory). may be configured as In this case, the information processing device may further include a non-volatile storage unit such as a flash memory, a network interface unit connected to a communication network or the like, and the like. Furthermore, such an information processing device may be a packaged semiconductor device, or may have a structure in which semiconductor devices are connected by wiring on a wiring board.
The "non-secure area" of the present invention means an area accessible from both the "non-secure area" and the "secure area". Also, the "secure area" in the present invention means an area that cannot be accessed from the "non-secure area" and can be accessed only from the same "secure area".
電子制御装置1は、非セキュア領域に、第1の仮想マシン10およびハードウェアである第1のメモリ20を備えている。また、電子制御装置1は、セキュア領域に、第2の仮想マシン40、およびハードウェアである第2のメモリ50を備えている。第1および第2の仮想マシン10、40はそれぞれ、仮想マシン上にインストールされたゲストOSと、ゲストOS上にインストールされた複数のアプリケーションを有する。電子制御装置1はさらにハイパーバイザ30を備えており、ハイパーバイザ30が、非セキュア領域、セキュア領域といった、複数の領域を構成する。なお、図1は、2つの仮想マシンを備える電子制御装置1の例を示しているが、電子制御装置1は第1および第2の仮想マシン以外の仮想マシンを備えていてもよい。
The
ハイパーバイザ30は、電子制御装置1を仮想化するソフトウェアである。第1の仮想マシン10および第2の仮想マシン40は、ハイパーバイザ30上に構築される。ハイパーバイザ30上に構築された異なる仮想マシン間の通信は、ハイパーバイザ30を介して行われる。このような仮想マシン間の通信を、本実施形態ではドメイン間通信とする。例えば、第1の仮想マシン10のアプリケーションから送信された通知は、ドメイン間通信によって、第2の仮想マシン40のアプリケーションへと送信される。
The hypervisor 30 is software that virtualizes the
以下に、非セキュア領域に設けられる各構成を説明する。
第1の仮想マシン10は、電子制御装置1を監視する監視部11を有する。監視部11は、電子制御装置1を監視することにより、電子制御装置1に発生した「異常」を「検出」する。監視部11は、例えば、第1の仮想マシン10において実行されるアプリケーションの動作、CPUの動作、電源の状態などを監視して異常を検出する。なお、監視部11は、既に発生した異常を検出するだけでなく、将来的に発生する可能性が高い異常や、このような異常の予兆を検出してもよい。例えば、ポートスキャンは、外部から攻撃対象とするポートを探し出す行為であり、不正アクセスの予備行為として知られている。監視部11が、電子制御装置1がポートスキャンを受けていること検出した場合には、電子制御装置1に不具合が発生していなくとも、異常を検出したものとして取り扱う。
ここで、本発明の「異常」とは、外部からの攻撃や、非セキュア領域のアプリやCPUの通常とは異なる動作が含まれることはもちろん、このような外部からの攻撃や、アプリやCPUの通常とは異なる動作前に発生する特定の動作も異常に含まれる。また、本発明の異常の「検出」とは、監視部が電子制御装置をモニタ等することによって異常を直接的に検出することの他、異常が発生したこと示す情報を受信することによって異常を間接的に検出してもよい。
Each configuration provided in the non-secure area will be described below.
The first
Here, the "abnormality" of the present invention includes, of course, external attacks and abnormal operations of applications and CPUs in the non-secure area. Abnormalities also include certain behaviors that occur before the unusual behavior of the . In addition, the "detection" of an abnormality in the present invention means that an abnormality is detected directly by the monitoring unit monitoring the electronic control device or the like, or an abnormality is detected by receiving information indicating that an abnormality has occurred. It may be detected indirectly.
監視部11が電子制御装置1に発生した異常を検出すると、監視部11は「異常を示す異常ログ」を生成する。生成された異常ログは、後述する第1のメモリに書き込まれる。以下に示す実施形態では、異常ログが異常が発生したことを示すログである場合を説明している。しかしながら、異常ログは、それ以外の情報、例えば、異常発生時のアプリケーションやCPUの動作を示すログ、電子制御装置のインタフェース(図示せず)を介したデータの送受信に関するログなどを含んでもよい。例えば、異常ログは、後述する通常ログと重複する情報を含んでいてもよく、あるいは、通常ログとは異なる情報を含むものであってもよい。監視部11によって生成された異常ログは、異常の原因を分析するために使用される。
ここで、本発明の「異常を示す異常ログ」とは、異常が発生したことを示す情報が含まれていれば足り、異常が発生したことを示す情報に加えて、異常発生時の電子制御装置の動作状況を示す情報が含まれていてもよい。
When the
Here, the "abnormality log indicating an abnormality" of the present invention is sufficient if it contains information indicating that an abnormality has occurred. Information indicating the operational status of the device may also be included.
監視部11はさらに、電子制御装置1に発生した異常を検出すると、異常を検出したことを示す通知をセキュア領域に送信する。なお、監視部11は、最初の異常(「第1の異常」に相当)を検出し、当該最初の異常を検出したことを示す通知を送信した後、所定の時間が経過するまでの間に最初の異常とは異なる異常(「第2の異常」に相当)を検出した場合には、この異常を検出したことを示す通知を送信しなくともよい。異常が短時間に頻発する場合、監視部11が異常を検出したことを示す通知をその度に送信すると、電子制御装置1における処理量は増加する。そこで、最初の異常を検出したことを示す通知の送信後、所定の時間が経過するまで、他の異常を検出しても通知を送信しないことにより、電子制御装置1の負荷を低減することができる。
Furthermore, when the
第1のメモリ20は、非セキュア領域に設けられたランダムアクセスメモリである。ランダムアクセスメモリは揮発性メモリであり、SRAMやDRAMをはじめ、様々な方式のメモリを含む。第1のメモリ20は、電子制御装置1が取得するログを保存する。第1のメモリ20に保存されるログには、異常が検出された際に監視部11にて生成された異常ログも含まれる。以下の実施形態では、電子制御装置1が取得するログのうち、異常ログを除くその他のログを通常ログとして説明する。通常ログには、例えば、アプリケーションの動作を示すログ、CPUの動作を示すログ、電子制御装置のインタフェース(図示せず)を介したデータの送受信に関するログなど、電子制御装置が取得する任意のログが含まれる。
A
次に、セキュア領域内に設けられる各構成を説明する。
ログ収集部41は、定期的に第1のメモリ20にアクセスし、第1のメモリ20に保存されている通常ログを収集する。収集された通常ログは、後述する第2のメモリ50に保存される。ログ収集部41はさらに、第1のメモリ20から通常ログを読み出した後、当該通常ログを第1のメモリ20から削除してもよい。
ログ収集部41が、セキュリティ性が低い非セキュア領域に設けられた第1のメモリ20から第2のメモリ50へと定期的に通常ログを移動させることにより、通常ログをセキュリティ性が高い領域に確保することができる。ログ収集部41が通常ログを収集する周期は、任意の周期である。以下の各実施形態では、ログ収集部41が通常ログを収集する周期を第1の周期として説明する。
Next, each configuration provided within the secure area will be described.
The
The
ログ収集部41はさらに、ハイパーバイザ30を介して監視部11から送信された通知を受信すると、第1のメモリ20からログを収集する周期を、第1の周期よりも短い周期に変更する。つまり、ログ収集部41は、監視部11から通知を受信する前の周期である第1の周期よりも短い周期で第1のメモリ20にアクセスし、第1のメモリ20に保存されているログを収集する。このとき、第1のメモリ20には、通常ログに加えて、異常ログが保存されている。そのため、ログ収集部41は、通常ログとともに異常ログを収集する。以下の各実施形態では、ログ収集部41が、監視部11からの通知の受信後に通常ログおよび異常ログを収集する周期を、第2の周期として説明する。なお、第2の周期は第1の周期よりも短い任意の周期であるが、電子制御装置1が接続されているCAN(Controller Area Network)やLIN(Local Interconnect Network)などの車載ネットワークを介して信号を送受信する時間間隔よりも短い周期であることが望ましく、例えば、数マイクロ乃至数十マイクロ秒程度である。なお、通知を受信する前と同様、収集された通常ログおよび異常ログは、第2のメモリ50に保存される。
Further, upon receiving the notification transmitted from the
ログ収集部41は、監視部11から送信された通知の受信後、「所定の時間」が経過するまで、第1のメモリ20に保存されている通常ログおよび異常ログを第2の周期で収集する。
ここで、本発明の「所定の時間」とは、条件を与えた場合に一意に定まる時間であればよく、必ずしも常に一定の時間である必要はない。
The
Here, the "predetermined time" of the present invention may be a time that is uniquely determined under given conditions, and does not necessarily have to be a constant time.
なお、監視部11が最初の異常を検出した後、他の異常を検出していない場合、第1のメモリ20には、最初の異常を示す異常ログしか保存されない。このような場合、ログ収集部41は、最初の異常を示す異常ログを収集した後は、所定の時間が経過するまで、第2の周期で、第1のメモリ20に保存されている通常ログのみを収集することになる。
Note that if the
第2のメモリ50は、セキュア領域に設けられたランダムアクセスメモリ、もしくはフラッシュメモリであり、ログ収集部41によって収集された通常ログおよび異常ログの保存先となるメモリである。第2のメモリ50はセキュア領域に設けられており、非セキュア領域からアクセスすることができない。そのため、第2のメモリ50に保存されているデータがサイバー攻撃等によって改ざん等される可能性は低く、セキュリティ性は高くなる。
なお、第2のメモリ50に保存されたログは、電子制御装置1の外部に設けられたストレージ(図示せず)に適宜転送してもよい。
The
The log saved in the
図2は、本実施形態の監視部11の動作を説明する図である。
監視部11は、電子制御装置1を監視する(S101)。ここで、監視部11が異常を検出すると(S102:Yes)、異常を示す異常ログを生成する(S103)。また、監視部11は、直前に異常を検出したことを示す通知をしてから、所定の時間が経過したか否かを判定する(S104)。所定の時間が経過している場合には、監視部11は、異常を検出したことを示す通知をセキュア領域に送信する(S104:Yes)。これに対し、所定の時間が経過していない場合には、監視部11は通知を送信しない(S105:No)。そして、S103にて生成された異常ログは、第1のメモリ20に保存される(S106)。
FIG. 2 is a diagram for explaining the operation of the
The
図3は、本実施形態のログ収集部41の動作を説明する図である。
ログ収集部41は、第1のメモリ20から第1の周期で通常ログを収集し、収集した通常ログを第2のメモリ50に保存する(S201)。ここで、ハイパーバイザ30を介して、監視部11からの通知を受信すると(S202)、ログ収集部41は、第1のメモリ20にアクセスしてログを収集する周期を、第1の周期から、第1の周期よりも短い第2の周期に変更する(S203)。S203において周期が変更されると、ログ収集部41は、第1のメモリ20から、第2の周期で通常ログおよび異常ログを収集し、第2のメモリ50に保存する(S204)。ログ収集部41は、S202において通知を受信してから所定の時間が経過するまで、変更後の周期である第2の周期で通常ログおよび異常ログを収集する。その後、所定の時間が経過すると(S205)、第1のメモリ20にアクセスしてログを収集する周期を、第2の周期から第1の周期に変更して戻す(S206)。
FIG. 3 is a diagram for explaining the operation of the
The
図4、5は、本実施形態1によるログの収集を概略的に説明する図である。図4(a)、図5(a)は、監視部11において異常が検出される前の状態を、図4(b)、図5(b)は、異常が検出され、ログ収集部41が監視部11からの通知を受信した後の状態を示している。図4(a)では、ログ収集部41は、第1のメモリ20から第1の周期で通常ログを収集している。これに対し、図4(b)では、ログ収集部41は、第1のメモリ20から第1の周期よりも短い第2の周期で通常ログおよび異常ログを収集している。
図4に示す例では、通常ログと異常ログは、第1のメモリ20の同じ領域に保存される例を示している。この例では、ログ収集部41は、第1のメモリ20のうち、通常ログおよび異常ログが保存されている所定の領域にアクセスし、第1の周期または第2の周期で所定の領域に保存されているログを収集する。
4 and 5 are diagrams for schematically explaining log collection according to the first embodiment. 4(a) and 5(a) show the state before an abnormality is detected by the
The example shown in FIG. 4 shows an example in which the normal log and the error log are stored in the same area of the
これに対し、図5に示す例では、図4に示す例とは異なり、第1のメモリが複数の領域を有しており、通常ログと異常ログとが、第1のメモリ20における異なる領域にそれぞれ保存される。図5(a)では、ログ収集部41は、第1のメモリ20における第1の領域のみにアクセスし、第1の領域に保存された通常ログを収集する。なお、図5(a)は異常が検出される前であるため、第2の領域には未だ異常ログは保存されていない。図5(b)では、ログ収集部41は、監視部11からの通知を受信すると、ログを収集する周期を第2の周期に変更することに加えて、ログを収集する領域に第2の領域を追加する。そして、ログ収集部41は、第1の領域および第2の領域にアクセスし、第1の領域から通常ログを、第2の領域から異常ログを、それぞれ第2の周期で収集する。
監視部11からの通知を受信してから所定の時間が経過した後は、ログを収集する周期を第2の周期から第1の周期に変更することに加えて、ログを収集する領域を第1の領域のみに変更する。
On the other hand, in the example shown in FIG. 5, unlike the example shown in FIG. , respectively. In FIG. 5A, the
After a predetermined period of time has passed since the notification from the
以上のとおり、本実施形態によれば、ログ収集部41は、異常を検出したことを示す通知を受信すると、所定の時間が経過するまで、異常発生前よりも短い周期で異常ログを定期的に収集する。つまり、ログ収集部41は、監視部11からの通知を受信した後は、所定の時間内に発生した異常を示す異常ログを定期的に収集することができる。
As described above, according to the present embodiment, when receiving a notification indicating that an abnormality has been detected, the
仮に、本実施形態とは異なり、ログ収集部41が、異常を検出したことを示す通知を受信したことをトリガとして、第1のメモリ20に保存された異常ログを収集する構成とした場合を検討する。DoS攻撃のように短時間に高い頻度で異常が発生した場合、ログ収集部41は、異常が発生する度に監視部11からの通知を受信して、第1のメモリ20にアクセスして異常ログを収集する。しかしながら、第1の仮想マシン10と第2の仮想マシン40との間のドメイン間通信に時間がかかる電子制御装置の場合、ログ収集部41が監視部11から通知を受信するまでに時間を要する。そのため、ログ収集部41が監視部11からの通知を受信して、異常ログを収集するまでの間に、次の異常ログが第1のメモリに書き込まれて、上書きされるおそれがある。このような場合、異常の原因分析に必要な異常ログが失われることになる。
Suppose that unlike the present embodiment, the
これに対し、本実施形態の発明によれば、異常が発生する度に監視部11からの通知を受信しなくとも、所定の時間内に発生した異常を示す異常ログを収集することができる。その結果、異常を検出したことを示す通知がドメイン間通信によって送受信されている間に異常ログが上書きされ、失われる可能性を低減することが可能となる。
さらに、異常発生後に異常ログを収集する周期を、電子制御装置が他の装置との間で信号を送受信する時間間隔よりも短くすることにより、DoS攻撃等の異常が発生する間隔よりも短い間隔で異常ログを収集することが可能となり、異常ログを確実に収集することができる。
In contrast, according to the invention of the present embodiment, it is possible to collect anomaly logs indicating anomalies occurring within a predetermined period of time without receiving notifications from the
Furthermore, by setting the period for collecting anomaly logs after the occurrence of an anomaly to be shorter than the time interval at which the electronic control unit transmits and receives signals to and from other devices, an interval shorter than the interval at which an anomaly such as a DoS attack occurs. , and the error log can be collected reliably.
(変形例)
実施形態1では、ログ収集部41が収集した全てのログが、第2のメモリ50に保存される構成を説明した。しかしながら、ログ収集部41は、第1のメモリ20から収集した異常ログの内容に応じて、収集した異常ログを第2のメモリ50に保存しなくともよい。例えば、ログ収集部41が、第1のメモリ20から収集した最初の異常ログ(以下、第1の異常ログと称する)と、当該第1の異常ログの次に収集した2番目の異常ログ(以下、第2の異常ログと称する)の値が同一のことがある。このように、ログ収集部41が時間的に連続して取得した2つのログの値が同一である場合、ログ収集部41は、これら2つの異常ログのうち、一方の異常ログのみを第2のメモリ50に保存し、他方の異常ログを廃棄してもよい。
(Modification)
In the first embodiment, all the logs collected by the
異常発生後、第1の異常ログが生成された後に、次の異常が発生しておらず、ログ収集部41が第1の異常ログを収集した後も、第1のメモリ20内に第1の異常ログが削除されずに残っていることがある。このような場合、第1の異常ログと、第1の異常ログの後に収集した第2の異常ログは全く同じである。そのため、第1の異常ログと第2の異常ログの双方を保存すると、第2のメモリ50の容量を有効に活用することはできない。また、第1の異常ログが生成された後に新たな異常が発生して、第2の異常ログが第1のメモリに保存された場合であっても、これらの異常が同じ種類の異常である場合には、一方の異常ログのみを用いて異常の原因分析ができることが考えられる。このような場合も、第1の異常ログと第2の異常ログの双方を第2のメモリ50に保存する必要性は低い。
After the occurrence of an error, after the first error log is generated, the next error does not occur, and even after the
そこで、ログ収集部41が時間的に連続して取得した2つのログの値が同一である場合には、一方の異常ログのみを保存することによって、メモリの容量を有効に活用してもよい。
Therefore, when the values of two logs that the
(実施形態2)
上記実施形態1では、ログ収集部41は、第1の周期で通常ログを収集し、異常を検出したことを示す通知を受信後は、第1の周期よりも短い第2の周期で通常ログおよび異常ログを収集している。これに対し、本実施形態2では、ログ収集部41が、通知を受信した後も、第1の周期のままで通常ログを収集する構成を説明する。なお、実施形態2の電子制御装置の構成は、図1に示す電子制御装置1と同じであり、図1に示す符号を用いて説明する。
(Embodiment 2)
In the first embodiment described above, the
図6は、本実施形態2によるログの収集を概略的に説明する図である。図5と同様、図6(a)は、監視部11において異常が検出される前の状態を、図6(b)は、異常が検出され、ログ収集部41が監視部11からの通知を受信した後の状態を示しており、通常ログが第1のメモリ20の第1の領域に、異常ログが第2の領域にそれぞれ保存される例を示している。ただし、本実施形態2についても、実施形態1と同様、通常ログと異常ログとが、同じ領域に保存される構成としてもよい。
FIG. 6 is a diagram schematically explaining log collection according to the second embodiment. As in FIG. 5, FIG. 6A shows the state before the abnormality is detected by the
図5(a)と同様、図6(a)では、ログ収集部41は、第1のメモリ20における第1の領域のみにアクセスし、第1の周期で通常ログを収集している。
これに対し、図6(b)では、図5(b)とは異なり、ログ収集部41は、第1の領域から第1の周期で通常ログを収集し、第2の領域から第2の周期で異常ログを収集する。つまり、ログ収集部41は、第1のメモリ20の異なる領域に保存されたそれぞれのログを、異なる周期で収集する。
As in FIG. 5(a), in FIG. 6(a), the
On the other hand, in FIG. 6B, unlike FIG. Collect anomaly logs periodically. That is, the
本実施形態によれば、ログ収集部41が短い周期である第2の周期で収集するログを異常ログのみとすることにより、第2の周期で収集されるログの情報量を抑制することができる。そのため、短い周期で実行されるログ収集処理によって発生する電子制御装置の負荷を低減することが可能となる。
According to the present embodiment, the
(実施形態3)
上記実施形態1では、ログ収集部41は、異常を検出したことを示す通知の受信後、所定の時間が経過するまで第2の周期で通常ログおよび異常ログを収集し、所定の時間が経過すると、ログの収集周期を第2の周期から第1の周期に変更して戻す。これに対し、本実施形態3では、所定の時間が経過する前、あるいは、所定の時間が経過した後に、ログの収集周期を第2の周期から第1の周期に変更する構成を説明する。
(Embodiment 3)
In the first embodiment described above, the
図7は、実施形態1、2の電子制御装置1を車両に組み込んだ状態を概略的に示している。図7に示す電子制御装置は、図1の電子制御装置1である。なお、図7は、電子制御装置1が自動車に搭載される車載用電子制御装置である例を説明しているが、本発明の電子制御装置1は、車両用電子制御装置に限定されるものではない。
FIG. 7 schematically shows a state in which the
図1に示すログ収集部41によって第1のメモリ20から収集され、第2のメモリ50に保存された異常ログは、電子制御装置1に発生した異常の原因分析などに使用される。このような分析をリアルタイムで行うため、第2のメモリ50に保存された異常ログは、通信ネットワークを介して、例えば、SOC(Security Operation Center)2に転送される。なお、SOC2には、異常ログとともに通常ログを転送してもよい。
Abnormality logs collected from the
SOC2は、転送された異常ログを分析することにより、異常の発生原因を特定したり、あるいは、外部からのサイバー攻撃を発見した場合には、電子制御装置1を搭載した車両のドライバーに対して、その旨を通知する。
By analyzing the transferred error log, the
SOC2の分析はリアルタイムで行われるが、異常の発生原因を早期に特定できないことや、異常の内容が外部からのサイバー攻撃であって、サイバー攻撃の対処に時間を要することがある。このような場合、所定の時間が経過した後も、ログ収集部41が第2の周期で異常ログを確実に収集することが望ましい。そこで、SOC2は、電子制御装置1に対して、第2の周期で異常ログを収集することを継続させる要求を送信する。電子制御装置1のログ収集部41は、通信ネットワークを介してSOC2からの要求を受信すると、監視部11からの通知を受信してから所定の時間が経過した後も、第2の周期で異常ログを収集することを継続する。
Analysis of SOC2 is performed in real time, but there are cases where the cause of the anomaly cannot be identified at an early stage, or when the content of the anomaly is a cyber-attack from the outside, and it takes time to deal with the cyber-attack. In such a case, it is desirable that the
また、SOC2において、異常の原因や、監視部11が検出した異常には危険性がないことが比較的容易に特定されることがある。この場合、異常ログを収集する必要性が低くなり、ひいては、ログ収集部41が短い周期である第2の周期で収集する必要性は低くなる。そこで、SOC2は、電子制御装置1に対して、第2の周期で異常ログを収集することを停止させる要求を送信する。電子制御装置1のログ収集部41は、通信ネットワークを介してSOC2からの要求を受信すると、監視部11からの通知を受信してから所定の時間が経過していなくとも、ログを収集する周期を、第2の周期から第1の周期に変更する。
なお、ログ収集部41は、第2の周期でログを収集する所定の時間を定めず、SOC2から第2の周期で異常ログを収集することを停止させる要求を受信するまで、第2の周期でログの収集を継続する構成としてもよい。
In addition, in SOC2, the cause of the abnormality and the absence of danger in the abnormality detected by the
Note that the
上述した例では、電子制御装置1が搭載された車両の外部に設けられたSOC2からの要求に基づいて、ログ収集部41は所定の時間よりも前または後にログの収集周期を第2の周期から第1の周期に変更する処理を行っている。しかしながら、ログ収集部41は、例えば、車内に搭載された他の電子制御装置から送信された要求に基づいて、ログの収集周期を第1の周期に変更する処理をおこなってもよい。あるいは、電子制御装置1を監視している監視部11が、第2の周期で異常ログを収集することを継続させる要求や、第2の周期で異常ログを収集することを停止させる要求を生成して、ログ収集部41に送信してもよい。
In the above example, based on a request from the
本実施形態によれば、異常ログの分析状態に応じて、所定の時間の経過前、または、経過後であっても、ログを収集する周期を適宜変更することが可能となる。 According to the present embodiment, it is possible to appropriately change the log collection cycle before or after a predetermined period of time has elapsed, depending on the analysis state of the error log.
(総括)
以上、本発明の実施形態における各電子制御装置の特徴について説明した。
(Summary)
The features of each electronic control unit according to the embodiment of the present invention have been described above.
上記実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。 Since the terms used in the above embodiment are examples, they may be replaced with synonymous terms or terms including synonymous functions.
実施形態の説明に用いたブロック図は、装置等の構成を機能毎に分類および整理したものである。これらの機能ブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、および当該方法を実現するプログラムの発明の開示としても把握できるものである。 The block diagrams used to describe the embodiments are obtained by classifying and arranging the configurations of devices and the like for each function. These functional blocks are realized by any combination of hardware or software. Moreover, since the block diagram shows the function, it can also be understood as disclosure of the invention of the method and the invention of the program for realizing the method.
各実施形態に記載した処理、フロー、および方法として把握できる機能ブロックについては、一のステップで他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えても良い。 The order of the functional blocks that can be grasped as the processes, flows, and methods described in each embodiment may be changed unless there is a constraint such as one step using the result of another step.
各実施形態、および本発明で使用する「第1」「第2」の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。 The terms "first" and "second" used in each embodiment and the present invention are used to distinguish two or more configurations and methods of the same kind, and do not limit the order or superiority.
本発明は、各実施形態で説明した構成および機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記憶媒体に記憶した本発明を実現するためのプログラム、およびこれを実行可能な専用又は汎用CPUおよびメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。 The present invention can be realized not only by dedicated hardware having the configuration and functions described in each embodiment, but also by a program for realizing the present invention stored in a storage medium such as a memory or a hard disk, and a program capable of executing the program. It can also be realized as a combination with general-purpose hardware having a dedicated or general-purpose CPU and memory.
専用や汎用のハードウェアの記憶媒体(外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、内部記憶装置(RAM、ROM等))に格納されるプログラムは、記憶媒体を介して、あるいは記憶媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。 Programs stored in dedicated or general-purpose hardware storage media (external storage devices (hard disk, USB memory, CD/BD, etc.), internal storage devices (RAM, ROM, etc.)) It is also possible to provide dedicated or general-purpose hardware from a server via a communication line without using a medium. This allows us to always provide the latest features through program upgrades.
本発明の電子制御装置は、主として自動車に搭載される車載用電子制御装置として説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能である。また、移動体に限らず、マイクロコンピュータを包含する製品全般に適用可能である。 Although the electronic control device of the present invention has been described as an on-vehicle electronic control device that is mainly mounted on automobiles, it can be applied to general mobile objects such as motorcycles, ships, railroads, and aircraft. Moreover, it is applicable not only to mobile objects but also to general products including microcomputers.
1 電子制御装置、11 監視部、20 第1のメモリ、41 ログ収集部、50 第2のメモリ
1
Claims (12)
前記非セキュア領域は、
当該電子制御装置に発生した異常を検出し、前記異常を示す異常ログを生成するとともに、前記異常を検出したことを示す通知を前記セキュア領域に送信する監視部(11)と、
前記異常ログおよび当該電子制御装置が取得するその他のログである通常ログを保存する第1のメモリ(20)と、
を有し、
前記セキュア領域は、
前記第1のメモリから、前記通知の受信前は第1の周期で前記通常ログを収集し、前記通知の受信後は前記第1の周期よりも短い第2の周期で前記異常ログを収集するログ収集部(41)と、
前記ログ収集部が収集した前記通常ログおよび前記異常ログを保存する第2のメモリ(50)と、
を有する、電子制御装置。 An electronic control device (1) having a non-secure area and a secure area,
The non-secure area is
a monitoring unit (11) that detects an abnormality occurring in the electronic control device, generates an abnormality log indicating the abnormality, and transmits a notification indicating that the abnormality has been detected to the secure area;
a first memory (20) for storing the normal log, which is the error log and other logs acquired by the electronic control device;
has
The secure area is
The normal log is collected from the first memory in a first period before receiving the notification, and the abnormal log is collected in a second period shorter than the first period after receiving the notification. a log collection unit (41);
a second memory (50) for storing the normal log and the error log collected by the log collection unit;
an electronic control unit.
請求項1記載の電子制御装置。 After receiving the notification, the log collection unit collects the normal log and the error log at the second cycle.
The electronic control unit according to claim 1.
前記ログ収集部は、前記通知の受信後は、前記第1の領域から前記第1の周期で前記通常ログを収集するとともに、前記第2の領域から前記第2の周期で前記異常ログを収集する、
請求項1記載の電子制御装置。 The first memory has a first area for storing the normal log and a second area for storing the error log,
After receiving the notification, the log collection unit collects the normal log from the first area in the first cycle, and collects the error log from the second area in the second cycle. do,
The electronic control unit according to claim 1.
請求項1記載の電子制御装置。 The monitoring unit does not transmit a notification indicating that a second abnormality different from the first abnormality, which is the abnormality, is detected until a predetermined time has elapsed after transmission of the notification.
The electronic control unit according to claim 1.
請求項1記載の電子制御装置。 The log collection unit collects the error log at the second cycle until a predetermined time elapses after receiving the notification.
The electronic control unit according to claim 1.
請求項5記載の電子制御装置。 When the log collection unit receives a continuation request to continue collecting the error log in the second cycle after receiving the notification, the log collection unit keeps the second cycle even after the predetermined time has elapsed. collect anomaly logs,
6. The electronic control unit according to claim 5.
前記継続要求は、前記車両の外部から送信される、
請求項6記載の電子制御装置。 The electronic control device is an in-vehicle electronic control device mounted on a vehicle,
the continuation request is transmitted from outside the vehicle;
7. The electronic control unit according to claim 6.
請求項1記載の電子制御装置。 After receiving the notification, the log collection unit collects the error log in the second cycle until receiving a stop request to stop collecting the error log in the second cycle.
The electronic control unit according to claim 1.
前停止記要求は、前記車両の外部から送信される、
請求項8記載の電子制御装置。 The electronic control device is an in-vehicle electronic control device mounted on a vehicle,
the previous stop request is sent from outside the vehicle;
The electronic control unit according to claim 8.
請求項1記載の電子制御装置。 If the first error log and the second error log collected successively by the log collection unit are the same among the error logs, the second memory stores only the first error log. save,
The electronic control unit according to claim 1.
前記非セキュア領域において、
前記電子制御装置に発生した異常を検出し、
前記異常を示す異常ログを生成するとともに、前記異常を検出したことを示す通知を前記セキュア領域に送信し、
前記異常ログおよび前記電子制御装置が取得するその他のログである通常ログを、前記非セキュア領域に設けられた第1のメモリに保存し、
前記セキュア領域において、
前記第1のメモリから、前記通知の受信前は第1の周期で前記通常ログを収集し、前記通知の受信後は前記第1の周期よりも短い第2の周期で前記異常ログを収集し、
収集した前記通常ログおよび前記異常ログを、前記セキュア領域に設けられた第2のメモリに保存する、
ログ収集方法。 A log collection method executed by an electronic control device having a non-secure area and a secure area,
In the non-secure area,
Detecting an abnormality that occurred in the electronic control device,
generating an anomaly log indicating the anomaly and transmitting a notification indicating that the anomaly has been detected to the secure area;
saving the normal log, which is the error log and other logs acquired by the electronic control device, in a first memory provided in the non-secure area;
In the secure area,
The normal log is collected from the first memory in a first period before receiving the notification, and the abnormal log is collected in a second period shorter than the first period after receiving the notification. ,
storing the collected normal log and the abnormal log in a second memory provided in the secure area;
Log collection method.
前記非セキュア領域において、
前記電子制御装置に発生した異常を検出するステップと、
前記異常を示す異常ログを生成するとともに、前記異常を検出したことを示す通知を前記セキュア領域に送信するステップと、
前記異常ログおよび前記電子制御装置が取得するその他のログである通常ログを、前記非セキュア領域に設けられた第1のメモリに保存するステップと、を実行させ、
前記セキュア領域において、
前記第1のメモリから、前記通知の受信前は第1の周期で前記通常ログを収集し、前記通知の受信後は前記第1の周期よりも短い第2の周期で前記異常ログを収集するステップと、
収集した前記通常ログおよび前記異常ログを、前記セキュア領域に設けられた第2のメモリに保存するステップと、を実行させる、
ログ収集プログラム。
An electronic controller having a non-secure area and a secure area,
In the non-secure area,
a step of detecting an abnormality that has occurred in the electronic control device;
generating an anomaly log indicating the anomaly and transmitting a notification indicating that the anomaly has been detected to the secure area;
saving the normal log, which is the error log and other logs acquired by the electronic control device, in a first memory provided in the non-secure area;
In the secure area,
The normal log is collected from the first memory in a first period before receiving the notification, and the abnormal log is collected in a second period shorter than the first period after receiving the notification. a step ;
a step of storing the collected normal log and the abnormal log in a second memory provided in the secure area ;
A log collection program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019021151A JP7183841B2 (en) | 2019-02-08 | 2019-02-08 | electronic controller |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019021151A JP7183841B2 (en) | 2019-02-08 | 2019-02-08 | electronic controller |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020129238A JP2020129238A (en) | 2020-08-27 |
JP7183841B2 true JP7183841B2 (en) | 2022-12-06 |
Family
ID=72174569
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019021151A Active JP7183841B2 (en) | 2019-02-08 | 2019-02-08 | electronic controller |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7183841B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007326425A (en) | 2006-06-07 | 2007-12-20 | Fujitsu Ten Ltd | Communication controlling unit, trouble analyzing center, and trouble analyzing method |
JP2012198796A (en) | 2011-03-22 | 2012-10-18 | Nec Corp | Log collection system, device, method and program |
JP2013533556A (en) | 2010-07-08 | 2013-08-22 | シマンテック コーポレーション | Techniques for interacting with guest virtual machines |
WO2018079439A1 (en) | 2016-10-27 | 2018-05-03 | 日本電気株式会社 | Incident effect range estimation device, incident effect range estimation method, storage medium, and system |
WO2018127790A2 (en) | 2017-01-05 | 2018-07-12 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof |
-
2019
- 2019-02-08 JP JP2019021151A patent/JP7183841B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007326425A (en) | 2006-06-07 | 2007-12-20 | Fujitsu Ten Ltd | Communication controlling unit, trouble analyzing center, and trouble analyzing method |
JP2013533556A (en) | 2010-07-08 | 2013-08-22 | シマンテック コーポレーション | Techniques for interacting with guest virtual machines |
JP2012198796A (en) | 2011-03-22 | 2012-10-18 | Nec Corp | Log collection system, device, method and program |
WO2018079439A1 (en) | 2016-10-27 | 2018-05-03 | 日本電気株式会社 | Incident effect range estimation device, incident effect range estimation method, storage medium, and system |
WO2018127790A2 (en) | 2017-01-05 | 2018-07-12 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof |
Also Published As
Publication number | Publication date |
---|---|
JP2020129238A (en) | 2020-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8601273B2 (en) | Signed manifest for run-time verification of software program identity and integrity | |
US7917811B2 (en) | Virtual computer system | |
US8364973B2 (en) | Dynamic generation of integrity manifest for run-time verification of software program | |
US20060294596A1 (en) | Methods, systems, and apparatus to detect unauthorized resource accesses | |
CN108255716B (en) | Software evaluation method based on cloud computing technology | |
JP2009251967A (en) | Multicore system | |
CA3111427A1 (en) | Communication method, apparatus, computer-readable storage medium, and chip | |
CN115617610A (en) | Kubernetes-based full-behavior monitoring method and system in bypass non-invasive application operation | |
CN101599113A (en) | Driven malware defence method and device | |
EP3035227B1 (en) | Method and device for monitoring data integrity in shared memory environment | |
WO2016127600A1 (en) | Exception handling method and apparatus | |
CN111213144B (en) | Single-chip system, method for operating a single-chip system and motor vehicle | |
US11915027B2 (en) | Security and data logging of virtual machines | |
JP7183841B2 (en) | electronic controller | |
US11455395B2 (en) | Perform verification check in response to change in page table base register | |
CN111198832B (en) | Processing method and electronic equipment | |
CN101639816A (en) | Real-time tracking system of bus and corresponding tracking and debugging method | |
CN106030544B (en) | Method for detecting memory of computer equipment and computer equipment | |
EP4036771A1 (en) | Systems and methods for malware detection | |
CN115292077A (en) | Kernel exception handling method and system | |
CN113468020A (en) | Memory monitoring method and device, electronic equipment and computer readable storage medium | |
JP6164283B2 (en) | Software safe stop system, software safe stop method, and program | |
JP5832408B2 (en) | Virtual computer system and control method thereof | |
CN111240898A (en) | Hypervisor-based black box implementation method and system | |
WO2020109252A1 (en) | Test system and method for data analytics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210922 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220628 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220630 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220727 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221025 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221107 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7183841 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |