JP7322806B2 - 車両用異常検出装置 - Google Patents
車両用異常検出装置 Download PDFInfo
- Publication number
- JP7322806B2 JP7322806B2 JP2020086331A JP2020086331A JP7322806B2 JP 7322806 B2 JP7322806 B2 JP 7322806B2 JP 2020086331 A JP2020086331 A JP 2020086331A JP 2020086331 A JP2020086331 A JP 2020086331A JP 7322806 B2 JP7322806 B2 JP 7322806B2
- Authority
- JP
- Japan
- Prior art keywords
- abnormality
- vehicle
- control device
- ecu
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Description
本発明は、車両用異常検出装置に関する。
特許文献1には、車両制御の状態を把握するための電子制御装置が開示されている。具体的には、この電子制御装置は、予め設定されている監視前提条件が成立した際に、制御入力データ及び実行内容データの少なくとも一方を含む監視データを蓄積するように構成されている。また、データ送信要求を受け付けた際に、蓄積した監視データを外部装置へ送信することで、外部装置が制御入力データ及び実行内容データ等を用いて制御出力結果に至った要因を解析できる構成とされている。
しかしながら、上記特許文献1に記載の技術では、車載ネットワーク上で異常が発生したことしか検出することができず、異常が発生した原因を解析するには手間を要する。
本発明は上記事実を考慮し、車載ネットワーク上で発生した異常の原因を効率良く解析することができる車両用異常検出装置を得ることを目的とする。
請求項1に記載の車両用異常検出装置は、ファイアウォールを介して多数階層で構成された車載ネットワークにおいて、複数の制御装置のうち異常が検出された一の制御装置の異常情報を受信する送受信部と、前記送受信部によって受信された前記一の制御装置の異常の原因となり得る他の制御装置の候補を取得する異常原因候補取得部と、前記異常原因候補取得部で取得された候補から、前記一の制御装置の異常が検出された時刻以前に異常が発生している前記他の制御装置があれば、当該他の制御装置を前記一の制御装置と共に異常原因制御装置として管理する異常情報管理部と、を有する。
請求項1に記載の車両用異常検出装置では、車載ネットワークはファイアウォールを介して多数階層で構成されており、複数の制御装置を備えている。ここで、送受信部は、異常が検出された一の制御装置の異常情報を受信する。また、異常原因候補取得部は、異常の原因となり得る他の制御装置の候補を取得する。
さらに、異常原因候補取得部で取得された候補から、一の制御装置の異常が検出された時刻以前に異常が発生している他の制御装置があった場合、異常情報管理部が当該他の制御装置を異常原因制御装置として管理する。このとき、異常情報管理部は、一の制御装置と共に他の制御装置を異常原因制御装置として管理するため、異常発生の原因となった制御装置を容易に特定することができる。
請求項2に記載の車両用異常検出装置は、請求項1において、前記異常原因制御装置の異常が検出された時刻以前に異常が発生している他の制御装置があった場合には、当該他の制御装置を新たに異常原因制御装置として管理する。
請求項2に記載の車両用異常検出装置では、一の制御装置の異常検出時刻以前に異常が発生している他の制御装置が異常原因制御装置として管理され、この異常原因制御装置の異常検出時刻以前に異常が発生している他の制御装置が新たな異常原因制御装置として管理される。これにより、異常の発端となった制御装置を容易に把握することができる。
請求項3に記載の車両用異常検出装置は、請求項1又は2において、前記車載ネットワークは、外部通信手段を有する第1階層を含んで構成されており、前記異常原因候補取得部は、前記一の制御装置と同階層の制御装置、及び、前記同階層に対して前記第1階層側に隣接する階層と前記同階層とを接続する制御装置を候補として取得する。
請求項3に記載の車両用異常検出装置では、外部通信手段を有する第1階層側に隣接する制御装置を候補として取得することで、外部からの攻撃が原因で発生した異常を早期に検出することができる。
請求項4に記載の車両用異常検出装置は、請求項1~3の何れか1項において、前記異常情報管理部によって管理された前記異常原因制御装置の異常が外部通信に関する異常であった場合に、外部からの攻撃であると特定する攻撃特定部をさらに備えている。
請求項4に記載の車両用異常検出装置では、攻撃特定部によって外部からの攻撃を特定することで、早期に攻撃に対する対策及び復旧を行うことができる。
請求項5に記載の車両用異常検出装置は、請求項1~4の何れか1項において、前記送受信部、前記異常原因候補取得部及び前記異常情報管理部の機能を実現するモジュールが車両に設けられている。
請求項5に記載の車両用異常検出装置では、車両の外部にモジュールが設けられた構成と比較して、攻撃発生に対する検出を迅速に行うことができる。
以上説明したように、本発明に係る車両用異常検出装置によれば、車載ネットワーク上で発生した異常の原因を効率良く解析することができる。
<第1実施形態>
第1実施形態に係る車両用異常検出装置10(以下、適宜「異常検出装置10」と称する。)について、図面を参照して説明する。
第1実施形態に係る車両用異常検出装置10(以下、適宜「異常検出装置10」と称する。)について、図面を参照して説明する。
図1には、異常検出装置10が適用された車載ネットワーク12の全体構成が示されている。この車載ネットワーク12は、ファイアウォールを介して多数階層で構成されており、本実施形態では一例として、第1階層CL1、第2階層CL2及び第3階層CL3の3つの階層で構成されている。
第1階層CL1は、最も外側の階層であり、外部通信手段を有する制御装置を備えた階層とされている。本実施形態では一例として、第1階層CL1はTCU(Telematics Communication Unit)14及びIVI(In-Vehicle Infotainment)16を備えている。また、TCU14及びIVI16はそれぞれ、制御装置であるECU(Electronic Control Unit)の一種であり、自ECUのホストログを記録するための記憶領域を備えている。なお、IVI16とは、車載したIT機器等によって情報及び娯楽を提供するシステムのことを指す。また、TCU14は、車両11の外部のセンタ18と無線通信を行うことができるように構成されており、センタ18には車両11とのデータの送受信の履歴であるOTA履歴を記憶する記憶領域を備えている。
第2階層CL2は、イーサネットスイッチ20、ゲートウェイ22、イーサネットIDS(Intrusion Detection System)24を備えており、ファイアウォールとなるイーサネットスイッチ20を介して第1階層CL1と第2階層CL2とが接続されている。イーサネットスイッチ20、ゲートウェイ22、イーサネットIDS24は何れもECUであり、イーサネットスイッチ20とTCU14及びIVI16とがそれぞれイーサネット(登録商標)の通信線によって接続されている。
また、イーサネットスイッチ20とイーサネットIDS24とがイーサネットの通信線で接続されており、イーサネットスイッチ20とゲートウェイ22とがイーサネットの通信線で接続されている。さらに、本実施形態の異常検出装置10は、イーサネットスイッチ20及びゲートウェイ22に接続されている。具体的には、異常検出装置10とイーサネットスイッチ20とがイーサネットの通信線で接続されており、異常検出装置10とゲートウェイ22とがCAN(Controller Area Network)の通信線で接続されている。異常検出装置10の詳細については後述する。
第3階層CL3は、ECUa26、ECUb28、ECUc30及びCANIDS32を備えており、これらがCANの通信線によってゲートウェイ22と接続されている。すなわち、ファイアウォールとなるゲートウェイ22を介して第2階層CL2と第3階層CL3とが接続されている。
ECUa26、ECUb28及びECUc30は、それぞれ異なる車両制御を行うECUとされており、特にECUa26は、走行制御を行う高性能のECUとされており、自ECUのホストログを記録するための記憶領域を備えている。
(異常検出装置10のハードウェア構成)
図2には、異常検出装置10のハードウェア構成のブロック図が図示されている。この図2に示されるように、異常検出装置10は、CPU(Central Processing Unit)42、ROM(Read Only Memory)44、RAM(Random Access Memory)46、ストレージ48及び通信インタフェース50を含んで構成されている。各構成は、バス52を介して相互に通信可能に接続されている。また、CPU42はプロセッサの一例であり、RAM46はメモリの一例である。
図2には、異常検出装置10のハードウェア構成のブロック図が図示されている。この図2に示されるように、異常検出装置10は、CPU(Central Processing Unit)42、ROM(Read Only Memory)44、RAM(Random Access Memory)46、ストレージ48及び通信インタフェース50を含んで構成されている。各構成は、バス52を介して相互に通信可能に接続されている。また、CPU42はプロセッサの一例であり、RAM46はメモリの一例である。
CPU42は、中央演算処理ユニットであり、各種プログラムを実行したり、各部を制御したりする。すなわち、CPU42は、ROM44又はストレージ48からプログラムを読み出し、RAM46を作業領域としてプログラムを実行する。CPU42は、ROM44又はストレージ48に記録されているプログラムに従って、上記各構成の制御および各種の演算処理を行う。
ROM44は、各種プログラムおよび各種データを格納する。RAM46は、作業領域として一時的にプログラム又はデータを記憶する。ストレージ48は、HDD(Hard Disk Drive)又はSSD(Solid State Drive)により構成され、オペレーティングシステムを含む各種プログラム、及び各種データを格納する。本実施形態では、ROM44には、異常検出処理を行うための異常検出プログラム等が格納されている。
通信インタフェース50は、異常検出装置10が他の制御装置とコンピュータネットワークによって通信するためのインタフェースであり、たとえば、イーサネット、CAN等の規格が用いられる。
(車両用異常検出装置10の機能構成)
車両用異常検出装置10は、上記のハードウェア資源を用いて、各種の機能を実現する。車両用異常検出装置10が実現する機能構成について図3を参照して説明する。
車両用異常検出装置10は、上記のハードウェア資源を用いて、各種の機能を実現する。車両用異常検出装置10が実現する機能構成について図3を参照して説明する。
図3に示されるように、車両用異常検出装置10は、機能構成として、送受信部54、車載ネットワーク情報管理部56、車載ネットワーク情報記憶部58、車載ログ管理部60、車載ログ記憶部62、正常定義情報管理部64、正常定義情報記憶部66、異常情報管理部68、異常情報記憶部70、異常原因候補取得部72、異常判定部74及び攻撃特定部76を含んで構成されている。各機能構成は、CPU42がROM44又はストレージ48に記憶されたプログラムを読み出し、実行することにより実現される。
送受信部54は、イーサネット及びCAN等を介して、車載ネットワーク12上の各ECUのログ及び解析結果等の送受信を行う。また、送受信部54は、車載ネットワーク12を構成する各ECUのうち異常が検出されたECUの異常情報を受信するように構成されている。さらに、送受信部54は、異常情報管理部68で管理されている異常情報及び攻撃特定部76で外部からの攻撃として特定された事象をセンタ18へ送信する機能を備えている。
車載ネットワーク情報管理部56は、車載ネットワーク12の構成に関する情報、及び車載ネットワーク12上の各ECUが記録しているログの情報を管理する。また、車載ネットワーク情報記憶部58は、車載ネットワーク12の情報を記憶する機能であり、本実施形態では、車載ネットワーク情報記憶部58は、構成情報とECU情報とが記憶されている。構成情報とは、車載ネットワーク12の階層数及び各階層に接続されているECUに関する情報である。また、ECU情報とは、各ECUが扱うプロトコルと各ECUによって記録されるログ情報に関する情報である。このため、ECU情報を参照すれば、例えば、TCU14に、外部通信ログ、システム監査ログ及び故障コードログが記録されることが分かる。そして、車載ネットワーク情報管理部56は、構成情報及びECU情報が変更された場合に、車載ネットワーク情報記憶部58に記憶されている情報の更新を行う。
車載ログ管理部60は、車載ネットワーク12上のECUで記録されるログを取得して管理する。また、車載ログ記憶部62は、車載ログ管理部60によって取得されたログを記憶する機能であり、センタ18のOTA履歴等もログとして記憶する。車載ログ管理部60によるログの取得は、各ECUから自動的に送信されることで取得してもよい。また、車載ログ管理部60によって各ECUへログの送信を命令することで取得してもよい。ここで、全てのログには、車内で同期のとれたクロックによってタイムスタンプが付与されるように構成されている。例えば、TCU14の外部通信ログとして、タイムスタンプが付与されたログが記録されており、この外部通信ログが車載ログ記憶部62に記憶される。
正常定義情報管理部64は、各ECUで記録するログの正常定義情報を管理する。また、正常定義情報記憶部66は、正常定義情報をECU毎に記憶する。ここでいう正常定義情報とは、正常定義に関するルール、及びホワイトリスト等である。そして、正常定義情報記憶部66は、車載ネットワーク情報記憶部58に格納されたECU情報に記載されているECUの各種のログに対して正常定義を記憶する。すなわち、正常定義情報記憶部66は、車載ログ記憶部62に記憶されている車載ログのそれぞれに対して正常定義を記憶している。このため、車載ネットワーク情報管理部56によってECU情報が更新された際には、車載ログ管理部60で管理されるログの情報も更新され、正常定義情報管理部64がログに対応する正常定義情報を更新する。
異常情報管理部68は、車両11で検出された異常情報を管理する機能であり、例えば、異常情報管理部68は、イーサネットIDS24及びCANIDS32の検出結果を管理する。また、異常情報管理部68は、車載ログのうち、正常定義から外れた事象を異常情報として管理する。このとき、異常情報は、攻撃特定の解析単位でまとめて管理される。異常情報記憶部70は、車両11での異常情報を記憶する機能であり、車載ネットワーク12上のECUからの異常通知を記憶する。
異常原因候補取得部72は、送受信部54によって受信された一のECUの異常の原因となり得る他のECUの候補を異常原因ECUとして取得する。具体的には、異常原因候補取得部72は、一のECUと同階層のECU、及び、同階層に対して第1階層CL1側に隣接する階層と同階層とを接続するECUを異常原因ECUとして取得する。例えば、図1において、送受信部54がCANIDS32から異常情報を受信した場合、異常原因候補取得部72は、CANIDS32と同階層のECUであるECUa26を異常原因ECUとして取得する。また、異常原因候補取得部72は、CANIDS32に対して第1階層CL1側に隣接する第2階層CL2と第3階層CL3とを接続するゲートウェイ22を異常原因ECUとして取得する。なお、本実施形態の異常原因候補取得部72は、CANIDS32と同階層のECUであっても、ログを保持しないECUb28及びECUc30は異常原因の候補として取得しない。
異常判定部74は、車載ログと正常定義情報とを比較し、車載ログのうち正常定義情報から外れた事象を異常と判定する。すなわち、異常判定部74は、車載ログ記憶部62に記憶されている車載ログと、正常定義情報記憶部66に記憶されている正常定義情報とを取得し、これらを比較することで異常な事象であるか否かを判定する。そして、異常であると判定された場合は、異常情報管理部68により異常情報として管理される。
ここで、異常情報管理部68は、異常原因候補取得部72で取得された候補から、一のECUの異常が検出された時刻以前に異常が発生している他のECUがあれば、他のECUを一のECUと共に異常原因ECUとして管理する。
また、異常情報管理部68は、一のECUと共に他のECUが異常原因ECUとして管理されている場合において、他の異常原因ECUの異常が検出された時刻以前に異常が発生している、さらに他のECUがあった場合には、このECUを新たに異常原因ECUとして管理する。すなわち、異常情報管理部68は、送受信部54によって受信された一のECUの異常情報から時刻を遡りながら異常が発生しているECUをまとめて異常原因ECUとして異常情報記憶部70に記憶させる。
攻撃特定部76は、イーサネットIDS24及びCANIDS32による異常検出をトリガとして、外部からの攻撃を特定する。具体的には、攻撃特定部76は、異常情報管理部68によって管理された異常原因ECUの異常が外部通信に関する異常であった場合に、外部からの攻撃であると特定する。
(作用)
次に、本実施形態の作用を説明する。
次に、本実施形態の作用を説明する。
(異常検出処理の一例)
図4は、車両用異常検出装置10による異常検出処理の流れの一例を示すフローチャートである。この異常検出処理は、CPU42がROM44又はストレージ48からプログラムを読み出して、RAM46に展開して実行することによって実行される。また、本実施形態の異常検出処理は、送受信部54によって異常情報が受信された場合に実行される(受信ステップ)。
図4は、車両用異常検出装置10による異常検出処理の流れの一例を示すフローチャートである。この異常検出処理は、CPU42がROM44又はストレージ48からプログラムを読み出して、RAM46に展開して実行することによって実行される。また、本実施形態の異常検出処理は、送受信部54によって異常情報が受信された場合に実行される(受信ステップ)。
図4に示されるように、CPU42は、ステップS102で異常情報が実際にログに記録されているか否かについて判定する。具体的には、CPU42は、車載ログ記憶部62に記憶されている車載ログの中から異常の発生時刻の車載ログを参照して、異常ログが存在しているか否かを確認する。そして、CPU42は、ステップS102で異常ログが確認された場合は、ステップS104の処理へ移行する。
一方、CPU42は、ステップS102で異常の発生時刻に異常ログが確認されなかった場合は、ステップS124の処理へ移行する。CPU42は、ステップS124で誤報処理を行う。すなわち、CPU42は、誤報であった旨のログを残す。そして、CPU42は、異常検出処理を終了する。
CPU42は、異常ログが確認された場合は、ステップS104で異常発生の原因候補となるECUを取得する(異常原因候補取得ステップ)。具体的には、CPU42は、異常原因候補取得部72の機能により、送受信部54によって受信された一のECUの異常の原因となり得る他のECUの候補を異常原因ECUとして取得する。すなわち、CPU42は、一のECUと同階層のECU、及び、同階層に対して第1階層CL1側に隣接する階層と同階層とを接続するECUを異常原因ECUとして取得する。
次に、CPU42は、ステップS106で解析の優先度が高い順番にECUを並べ替える。具体的には、CPU42は、異常原因候補取得部72によって取得された複数の異常原因ECUを所定のルールに基づいて並べ替える。ここでいう所定のルールとは、各ECUに重み付けを行い、この重み付けの数値の大きさによって異常原因ECUを並べ替えるものであり、例えば、第3階層CL3から第1階層CL1へ向かうにつれて重み付けの数値が大きくなるように設定してもよい。また、外部通信手段を備えたECUが外部通信手段を備えていないECUよりも重み付けの数値が大きくなるように設定してもよい。さらに、高機能のECUほど重み付けの数値が大きくなるように設定してもよい。
続いて、CPU42は、ステップS108で解析の優先度順に並べ替えられたECUに対して、順番に異常の発生検出時刻以前に故障ログがあったか否かについて判定する。具体的には、CPU42は、車載ネットワーク情報記憶部58に記憶されている各ECUのログ情報を参照し、異常の発生検出時刻以前に故障ログがあった場合は、ステップS122の処理へ移行する。そして、CPU42は、ステップS122で送受信部54によって受信された異常情報が故障によるものだったとしてセンタ18へ解析結果を出力する。このとき、CPU42は、故障コードをセンタ18へ通知する。そして、CPU42は、異常検出処理を終了させる。
一方、CPU42は、異常の発生検出時刻以前に故障ログがなかった場合は、ステップS110の処理へ移行し、優先度順に並べ替えられたECUのそれぞれに対して、故障ログを除く全ての車載ログを列挙する。
次に、CPU42は、ステップS112で列挙された車載ログと正常定義とを比較する。具体的には、CPU42は、異常判定部74の機能により、車載ログと正常定義情報とを順番に比較する。
CPU42は、ステップS114で異常の発生検出時刻以前に異常ログが有ったか否かについて判定する。具体的には、CPU42は、ステップS112で車載ログと正常定義とを比較して、正常定義から外れたログが確認された時点で、ステップS114に移行して異常有りとして判定され、ステップS116の処理へ移行される。すなわち、ステップS112では、異常ログが確認された時点で、車載ログと正常定義との比較の処理が終了される。ステップS116の処理については後述する。
CPU42は、ステップS114で異常の発生検出時刻以前に異常ログが無かったと判定した場合、すなわち、ステップS112で列挙された全ての車載ログと正常定義とを比較した結果、異常ログが確認されなかった場合は、ステップS120の処理へ移行する。
CPU42は、ステップS120で送受信部54によって受信された異常の原因が判別不能であるとしてセンタ18へ解析結果を出力する。このとき、CPU42は、解析を人に引継ぐために、ステップS112で正常定義と比較を行った車載ログの情報をセンタ18へ通知する。そして、CPU42は、異常検出処理を終了させる。
一方、ステップS114に移行して異常有りとして判定された場合、CPU42は、ステップS116で外部通信のログであるか否かについて判定する。具体的には、CPU42は、ステップS114で検出された異常ログが外部通信に関するログであった場合、ステップS118の処理へ移行する。
CPU42は、ステップS118で、攻撃特定部76の機能により、送受信部54によって受信された異常情報が外部からの攻撃であると特定してセンタ18へ解析結果を出力する。このとき、CPU42は、解析に使った異常情報の一式をセンタ18へ通知する。そして、CPU42は、異常検出処理を終了させる。
また、CPU42は、ステップS114では、異常ログが外部通信に関するログではない場合、ステップS126の処理へ移行する。そして、CPU42は、ステップS126で異常情報管理部68の機能により、ステップS114で検出された異常ログを保持するECUを新たな異常原因ECUとして管理する(異常情報管理ステップ)。そして、新たな異常原因ECUに対して、ステップS104移行の処理を行う。
以上のように、本実施形態では、異常原因候補取得部72で取得された候補から、一のECUの異常が検出された時刻以前に異常が発生している他のECUがあった場合、当該他のECUを異常原因ECUとして管理する(ステップS126参照)。このとき、異常情報管理部68は、一のECUと共に他のECUを異常原因ECUとして管理することで、異常発生の原因となったECUを容易に特定することができる。これにより、復旧を効率よく行うことができる。
また、本実施形態では、ステップS126で新たな異常原因ECUとして管理されたECUに対して、ステップS114で異常検出時刻以前に異常が発生している他のECUが検出された場合、このECUを新たな異常原因ECUとして管理する。これにより、異常の原因となるECUを遡って解析することができ、異常の発端となったECUを容易に把握することができる。
さらに、本実施形態では、ステップS116の処理で、攻撃特定部76によって異常ログが外部通信に関するログである場合、攻撃であると特定する。これにより、外部からの攻撃との関連性を示す情報を集めることができる。
さらにまた、本実施形態では、ステップS104で外部通信手段を有する第1階層側に隣接するECUを候補として取得することで、外部からの攻撃が原因で発生した異常を早期に把握することができる。以上のように、本実施形態では、車載ネットワーク上で発生した異常の原因を効率良く解析することができる。
なお、上記実施形態におけるステップS118では、送受信部54によって受信された異常情報が外部からの攻撃であると特定してセンタ18へ解析結果を出力したが、これに加えて、攻撃による影響度をセンタ18に通知してもよい。このとき、最初に送受信部54によって受信した異常情報が第3階層CL3の異常(CANの階層での異常)ではなかった場合は、CANの階層で異常が発生していないかチェックしてもよい。そして、異常ログが検出された場合は、攻撃による影響度をセンタ18へ通知し、異常ログが検出されなかった場合は、影響度が不明である旨をセンタ18へ通知してもよい。
<第2実施形態>
第2実施形態に係る車両用異常検出装置80(以下、適宜「異常検出装置80」と称する。)について、図5を参照して説明する。なお、第1実施形態と同様の構成については同じ符号を付し適宜説明を省略する。
第2実施形態に係る車両用異常検出装置80(以下、適宜「異常検出装置80」と称する。)について、図5を参照して説明する。なお、第1実施形態と同様の構成については同じ符号を付し適宜説明を省略する。
第1実施形態では、送受信部54、異常原因候補取得部72及び異常情報管理部68の機能を実現する車両用異常検出装置10(モジュール)が車両11に設けられているのに対して、本実施形態では、このモジュールが車両11の外部に設けられている点で異なる。
図5に示されるように、本実施形態の異常検出装置80は、センタ18に接続されており、この異常検出装置80は、第1実施形態の異常検出装置10と同様の構成とされている。すなわち、異常検出装置80は、図3に示される機能構成を備えている。
また、車載ネットワーク12には一時記憶部82が設けられており、この一時記憶部82は、車載ログ記憶部62及び異常情報記憶部70の機能を備えている。
(作用)
次に、本実施形態の作用を説明する。
次に、本実施形態の作用を説明する。
本実施形態では、異常検出装置80が車両11の外部に設けられているため、車両11の外部のリソースを使って解析が行われる。また、解析に必要なデータは、車両側のTCU14等から送信される。これにより、第1実施形態と比較して、車両側のリソースの使用を抑制することができる。その他の作用については第1実施形態と同様である。
なお、車両11とセンタ18との間で通信が出来ない状態の場合、一時記憶部82は車両11からPUSH通知されたデータのバッファとして機能する。
<第3実施形態>
第3実施形態に係る車両用異常検出装置90(以下、適宜「異常検出装置90」と称する。)について、図6を参照して説明する。なお、第1実施形態と同様の構成については同じ符号を付し適宜説明を省略する。
第3実施形態に係る車両用異常検出装置90(以下、適宜「異常検出装置90」と称する。)について、図6を参照して説明する。なお、第1実施形態と同様の構成については同じ符号を付し適宜説明を省略する。
図6に示されるように、異常検出装置90は、イーサネットスイッチ20及びゲートウェイ22に接続された第1検出装置92及び第2検出装置94を備えている。第1検出装置92及び第2検出装置94は、それぞれ第1実施形態の異常検出装置10と同様の構成とされている。すなわち、第1検出装置92及び第2検出装置94のそれぞれが図3に示される機能構成を備えている。
(作用)
次に、本実施形態の作用を説明する。
次に、本実施形態の作用を説明する。
本実施形態では、第1検出装置92及び第2検出装置94の一方が故障又は異常になった場合であっても、第1検出装置92及び第2検出装置94の他方によって故障又は異常を検出することができる。
また、第1検出装置92及び第2検出装置94が検出した検出結果が異なる場合、何れかの検出装置が故障又は異常であることが分かるため、センタ18及び車両11は、異常検出装置90からの指示を受け付けない。これにより、第1検出装置92又は第2検出装置94が異常となった場合でも、車載ネットワーク12を外部の攻撃から良好に保護することができる。
なお、本実施形態において、使用リソースが第1実施形態の異常検出装置10の2倍になるのを抑制するため、一部の機能を共用してもよい。例えば、第1検出装置92を構成する車載ネットワーク情報記憶部58、車載ログ記憶部62、正常定義情報記憶部66及び異常情報記憶部70を、第2検出装置92と共用してもよい。
以上、実施形態及び変形例について説明したが、本発明の要旨を逸脱しない範囲において、種々なる態様で実施し得ることは勿論である。例えば、上記実施形態では、第1階層CL1、第2階層CL2及び第3階層CL3によって車載ネットワーク12を構成したが、これに限定されない。例えば、第4階層以上の階層を備えていてもよい。この場合であっても、隣り合う階層はファイアウォールを介して接続される。
また、上記実施形態では、第1階層CL1のみに外部通信手段を有するECUを配置したが、これに限定されない。例えば、第1階層CL1よりも下層である第2階層CL2に外部通手段を有するECUを配置してもよい。このようなECUは、異常検出処処理のステップS106において、他のECUよりも優先度が高く設定される。
さらに、上記実施形態でCPU42がソフトウェア(プログラム)を読み込んで実行した異常検出処理を、CPU以外の各種のプロセッサが実行してもよい。この場合のプロセッサとしては、FPGA(Field-Programmable Gate Array)等の製造後に回路構成を変更可能なPLD(Programmable Logic Device)、及びASIC(Application Specific Integrated Circuit)等の特定の処理を実行させるために専用に設計された回路構成を有するプロセッサである専用電気回路等が例示される。また、異常検出処理を、これらの各種のプロセッサのうちの1つで実行してもよいし、同種又は異種の2つ以上のプロセッサの組み合わせ(例えば、複数のFPGA、及びCPUとFPGAとの組み合わせ等)で実行してもよい。また、これらの各種のプロセッサのハードウェア的な構造は、より具体的には、半導体素子等の回路素子を組み合わせた電気回路である。
10、80、90 車両用異常検出装置
11 車両
12 車載ネットワーク
20 イーサネットスイッチ(ファイアウォール、制御装置)
22 ゲートウェイ(ファイアウォール、制御装置)
54 送受信部
68 異常情報管理部
72 異常原因候補取得部
76 攻撃特定部
CL1 第1階層
11 車両
12 車載ネットワーク
20 イーサネットスイッチ(ファイアウォール、制御装置)
22 ゲートウェイ(ファイアウォール、制御装置)
54 送受信部
68 異常情報管理部
72 異常原因候補取得部
76 攻撃特定部
CL1 第1階層
Claims (5)
- ファイアウォールを介して多数階層で構成された車載ネットワークにおいて、複数の制御装置のうち異常が検出された一の制御装置の異常情報を受信する送受信部と、
前記送受信部によって受信された前記一の制御装置の異常の原因となり得る他の制御装置の候補を取得する異常原因候補取得部と、
前記異常原因候補取得部で取得された候補から、前記一の制御装置の異常が検出された時刻以前に異常が発生している前記他の制御装置があれば、当該他の制御装置を前記一の制御装置と共に異常原因制御装置として管理する異常情報管理部と、
を有する車両用異常検出装置。 - 前記異常原因制御装置の異常が検出された時刻以前に異常が発生している他の制御装置があった場合には、当該他の制御装置を新たに異常原因制御装置として管理する請求項1に記載の車両用異常検出装置。
- 前記車載ネットワークは、外部通信手段を有する第1階層を含んで構成されており、
前記異常原因候補取得部は、前記一の制御装置と同階層の制御装置、及び、前記同階層に対して前記第1階層側に隣接する階層と前記同階層とを接続する制御装置を候補として取得する請求項1又は2に記載の車両用異常検出装置。 - 前記異常情報管理部によって管理された前記異常原因制御装置の異常が外部通信に関する異常であった場合に、外部からの攻撃であると特定する攻撃特定部をさらに備えた請求項1~3の何れか1項に記載の車両用異常検出装置。
- 前記送受信部、前記異常原因候補取得部及び前記異常情報管理部の機能を実現するモジュールが車両に設けられている請求項1~4の何れか1項に記載の車両用異常検出装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020086331A JP7322806B2 (ja) | 2020-05-15 | 2020-05-15 | 車両用異常検出装置 |
| US17/177,675 US11785023B2 (en) | 2020-05-15 | 2021-02-17 | Vehicle abnormality detection device and vehicle abnormality detection method |
| CN202110281418.4A CN113676441B (zh) | 2020-05-15 | 2021-03-16 | 车辆用异常检测装置及车辆用异常检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020086331A JP7322806B2 (ja) | 2020-05-15 | 2020-05-15 | 車両用異常検出装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021179935A JP2021179935A (ja) | 2021-11-18 |
| JP7322806B2 true JP7322806B2 (ja) | 2023-08-08 |
Family
ID=78511630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020086331A Active JP7322806B2 (ja) | 2020-05-15 | 2020-05-15 | 車両用異常検出装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11785023B2 (ja) |
| JP (1) | JP7322806B2 (ja) |
| CN (1) | CN113676441B (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7291909B2 (ja) * | 2020-10-26 | 2023-06-16 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法及びプログラム |
| DE102020214945A1 (de) * | 2020-11-27 | 2022-06-02 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem |
| KR102411797B1 (ko) * | 2021-12-24 | 2022-06-22 | 쌍용자동차 주식회사 | 하드웨어 기반의 차량 사이버보안시스템 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005167347A (ja) | 2003-11-28 | 2005-06-23 | Fujitsu Ltd | ネットワーク監視プログラム、ネットワーク監視方法、およびネットワーク監視装置 |
| US20180262466A1 (en) | 2017-03-09 | 2018-09-13 | Argus Cyber Security Ltd | System and method for providing cyber security to an in-vehicle network |
| JP2019191957A (ja) | 2018-04-25 | 2019-10-31 | 三菱電機株式会社 | 情報処理装置、機器、不具合解析システム、不具合解析方法およびプログラム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4492702B2 (ja) * | 2008-01-11 | 2010-06-30 | トヨタ自動車株式会社 | 異常検出装置 |
| JP5639611B2 (ja) * | 2012-03-21 | 2014-12-10 | 富士重工業株式会社 | 車両の制御装置 |
| JP2014226946A (ja) * | 2013-05-17 | 2014-12-08 | トヨタ自動車株式会社 | 車両用通信装置の異常対応システム及び車両用通信装置の異常対応方法 |
| JP5849990B2 (ja) * | 2013-05-29 | 2016-02-03 | 株式会社デンソー | 車載制御装置及び車載制御システム |
| JP7095240B2 (ja) | 2017-08-23 | 2022-07-05 | 株式会社デンソー | 電子制御装置 |
| US10931635B2 (en) * | 2017-09-29 | 2021-02-23 | Nec Corporation | Host behavior and network analytics based automotive secure gateway |
| JP7247089B2 (ja) * | 2018-01-22 | 2023-03-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 |
| DK3528463T3 (da) * | 2018-02-20 | 2023-05-01 | Darktrace Holdings Ltd | Cybersikkerhedsanalytiker med kunstig intelligens |
-
2020
- 2020-05-15 JP JP2020086331A patent/JP7322806B2/ja active Active
-
2021
- 2021-02-17 US US17/177,675 patent/US11785023B2/en active Active
- 2021-03-16 CN CN202110281418.4A patent/CN113676441B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005167347A (ja) | 2003-11-28 | 2005-06-23 | Fujitsu Ltd | ネットワーク監視プログラム、ネットワーク監視方法、およびネットワーク監視装置 |
| US20180262466A1 (en) | 2017-03-09 | 2018-09-13 | Argus Cyber Security Ltd | System and method for providing cyber security to an in-vehicle network |
| JP2019191957A (ja) | 2018-04-25 | 2019-10-31 | 三菱電機株式会社 | 情報処理装置、機器、不具合解析システム、不具合解析方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210360008A1 (en) | 2021-11-18 |
| CN113676441A (zh) | 2021-11-19 |
| CN113676441B (zh) | 2022-12-30 |
| US11785023B2 (en) | 2023-10-10 |
| JP2021179935A (ja) | 2021-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7322806B2 (ja) | 車両用異常検出装置 | |
| CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
| US9760468B2 (en) | Methods and arrangements to collect data | |
| JP5640167B1 (ja) | ログ分析システム | |
| US20080304418A1 (en) | Maintenance system for a set of equipment | |
| CN111448787A (zh) | 用于提供安全的车载网络的系统及方法 | |
| WO2022085260A1 (ja) | 異常検知装置、異常検知方法及びプログラム | |
| US8601318B2 (en) | Method, apparatus and computer program product for rule-based directed problem resolution for servers with scalable proactive monitoring | |
| EP2788913A1 (en) | Data center infrastructure management system incorporating security for managed infrastructure devices | |
| JP7378089B2 (ja) | 不正通信検知装置、不正通信検知方法及び製造システム | |
| CN108400885A (zh) | 一种服务可用性检测方法、装置及电子设备 | |
| US8928497B2 (en) | Method and device for monitoring avionics systems connected to a shared medium | |
| JP2007299213A (ja) | Raid制御装置および障害監視方法 | |
| JP7392586B2 (ja) | ログ送信制御装置 | |
| JP7115442B2 (ja) | 判定装置、判定システム、プログラム及び判定方法 | |
| US10846439B2 (en) | Functional safety over trace-and-debug | |
| WO2020109252A1 (en) | Test system and method for data analytics | |
| JP5927330B2 (ja) | 情報分析システム、情報分析方法およびプログラム | |
| WO2023233711A1 (ja) | 情報処理方法、異常判定方法、および、情報処理装置 | |
| US20220414207A1 (en) | Electronic device and attack detection method of electronic device | |
| JP7291909B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| WO2023021840A1 (ja) | 検知ルール出力方法、及び、セキュリティシステム | |
| WO2024080090A1 (ja) | 情報出力装置、情報出力方法、及び、プログラム | |
| US20230319084A1 (en) | On-vehicle device and log management method | |
| JP2023042954A (ja) | 情報処理装置及びこれを備えた車両、情報処理方法、並びにプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220523 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230411 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230522 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230627 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230710 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7322806 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |