JP7507205B2 - Communication monitoring device and communication monitoring method - Google Patents
Communication monitoring device and communication monitoring method Download PDFInfo
- Publication number
- JP7507205B2 JP7507205B2 JP2022133179A JP2022133179A JP7507205B2 JP 7507205 B2 JP7507205 B2 JP 7507205B2 JP 2022133179 A JP2022133179 A JP 2022133179A JP 2022133179 A JP2022133179 A JP 2022133179A JP 7507205 B2 JP7507205 B2 JP 7507205B2
- Authority
- JP
- Japan
- Prior art keywords
- field groups
- monitoring device
- communication
- frame
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 166
- 238000012806 monitoring device Methods 0.000 title claims description 80
- 238000012544 monitoring process Methods 0.000 title claims description 74
- 238000000034 method Methods 0.000 title claims description 26
- 238000012795 verification Methods 0.000 claims description 68
- 238000000605 extraction Methods 0.000 claims description 27
- 230000001902 propagating effect Effects 0.000 claims description 11
- 239000000284 extract Substances 0.000 claims description 7
- 238000000638 solvent extraction Methods 0.000 claims description 7
- 238000005192 partition Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000001788 irregular Effects 0.000 description 2
- 102100034112 Alkyldihydroxyacetonephosphate synthase, peroxisomal Human genes 0.000 description 1
- 101000799143 Homo sapiens Alkyldihydroxyacetonephosphate synthase, peroxisomal Proteins 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000000848 angular dependent Auger electron spectroscopy Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、車載ネットワークを介した通信を監視する通信監視装置および通信監視方法に関する。 The present invention relates to a communication monitoring device and a communication monitoring method for monitoring communications via an in-vehicle network.
特許文献1には、通信路を介して複数のフレームの授受を行う複数の電子制御ユニットを備えたネットワークシステムにおける、不正制御抑止方法が記載されている。この不正制御抑止方法では、制御対象に対して所定制御を指示する制御フレームと制御対象の状態に関する情報を含む状態フレームとが、通信路から逐次受信される。そして、受信した制御フレームの受信時に先行する所定期間内に受信された状態フレームの集合に基づいて、受信した制御フレームに基づく所定制御を抑止すべきか否かが判定される。 Patent Document 1 describes a method for preventing unauthorized control in a network system equipped with multiple electronic control units that transmit and receive multiple frames via a communication path. In this method, a control frame that instructs a control target to perform a specific control and a status frame that includes information about the status of the control target are sequentially received from the communication path. Then, based on a set of status frames received within a specific period preceding the reception of the received control frame, it is determined whether or not the specific control based on the received control frame should be prevented.
しかしながら、上記従来の不正制御抑止方法では、制御対象について通信されるフレームの制御情報と状態情報が吟味されるため、処理不正検出の対象とすべき制御対象の数とともに、不正制御検出のための処理負荷が重くなる。例えば、人物が乗車する際のエントリ処理における不正制御を防止しようとすれば、スマートキーとの通信を制御するキー通信ECU、キー認証ECU(イモビライザ)、およびドアロック制御ECU等を含む様々なECUを制御対象として不正制御の検出を行う必要がある。
一方で、車両機能の多様化につれ、車載ネットワークにおけるルーティング処理の高速化も求められており、偽装フレームの検出等のセキュリティ性能を高く維持しつつ処理を簡素化することが必要となっている。
また、上記従来技術のように、不正制御検出の制御対象として特定のECUを固定的に用いた場合には、第三者によって制御対象が一旦特定されてしまうと、悪意のある者によって上記不正制御検出が無効化されてしまうという事態ともなり得る。
上記背景より、本発明の目的は、複数の電子制御装置の間で行われる車載ネットワークを介した通信における不正通信の検出に関し、不正通信の検出確率を低下させることなくその処理負荷を軽減することである。
車載ネットワークにおける不正通信の検出は、例えば車両盗難の際に行われる通信攻撃を防御して盗難の発生を効果的に防止するものであり、安心・安全で持続可能な車社会の実現を通じてSDGsの達成に貢献し得る(SDGs 11.2等)。
However, in the conventional unauthorized control prevention method, the control information and status information of the frame communicated for the control object are examined, so that the number of control objects to be the object of processing unauthorized detection increases, and the processing load for unauthorized control detection increases. For example, to prevent unauthorized control in the entry process when a person gets in the car, it is necessary to detect unauthorized control by targeting various ECUs including the key communication ECU that controls communication with the smart key, the key authentication ECU (immobilizer), and the door lock control ECU as control objects.
On the other hand, as vehicle functions become more diverse, there is a demand for faster routing processing in in-vehicle networks, making it necessary to simplify processing while maintaining high security performance, such as the detection of spoofed frames.
Furthermore, when a specific ECU is fixedly used as the control target for unauthorized control detection, as in the above-mentioned conventional technology, once the control target is identified by a third party, it is possible that a malicious person may disable the unauthorized control detection.
In light of the above background, an object of the present invention is to reduce the processing load in detecting unauthorized communications in communications between multiple electronic control devices via an in-vehicle network without reducing the probability of detecting unauthorized communications.
Detecting unauthorized communications in in-vehicle networks can effectively prevent vehicle theft by defending against communication attacks, for example, that may be carried out during vehicle theft, and can contribute to the achievement of the SDGs through the realization of a safe, secure, and sustainable automotive society (SDGs 11.2, etc.).
本発明の一の態様によると、複数の電子制御装置の間で行われる車載ネットワークを介した通信を監視する通信監視装置であって、前記通信は、一つ又は複数のフレームの列で構成され、前記フレームを構成するフィールドの一部又は全部を対象セクションとして決定する対象決定部と、前記車載ネットワークを伝搬する前記フレームを受信する受信部と、前記受信部が受信した前記フレームである受信フレームから、前記対象セクションを注目セクションとして抽出する抽出部と、前記抽出された前記注目セクションに基づき、前記受信フレームの正当性を検証する検証部と、を備え、前記対象決定部は、前記通信に用いられる前記フレームを区分ルールに従って複数のフィールドグループに区分し、前記フィールドグループの少なくとも一つを、対象セクションとして決定する。
本発明の他の態様によると、前記抽出部は、前記フィールドグループのそれぞれの、前記注目セクションの抽出に用いられた使用回数をカウントし、前記対象決定部は、前記フィールドグループの間における前記使用回数の最大値と最小値との差が第1所定値以上となったときに、前記使用回数が前記最大値である前記フィールドグループを除く前記区分した複数の前記フィールドグループのうちから、少なくとも一つの新たな前記対象セクションを決定する。
本発明の他の態様によると、前記対象決定部は、前記フィールドグループの間における前記使用回数の最大値と最小値との差が第2所定値未満となったときに、前記区分した全ての前記フィールドグループのうちから、新たな前記対象セクションを決定する。
本発明の他の態様によると、前記抽出部は、前記フィールドグループのそれぞれの、前記注目セクションの抽出に用いられた使用回数をカウントし、前記対象決定部は、前記フィールドグループの間における前記使用回数の最大値と最小値との差が第3所定値未満となったときに、前記区分ルールを変更し、前記変更した区分ルールに従って前記フレームを複数のフィールドグループに新たに区分し、前記新たに区分した複数のフィールドグループの少なくとも一つを、対象セクションとして決定する。
本発明の他の態様によると、前記抽出部は、前記変更した区分ルールに従って前記対象決定部が前記フレームを複数のフィールドグループに新たに区分したときは、当該新たに区分されたすべての前記フィールドグループの前記使用回数を0に初期化する。
本発明の他の態様によると、前記受信フレームのそれぞれから前記抽出部が抽出した前記注目セクションの少なくとも一つを、前記検証部が正当でないと判断したときは、前記対象決定部は、前記区分した複数のフィールドグループから前記対象セクションとして決定するフィールドグループの数を増加する。
本発明の他の態様によると、前記受信フレームのそれぞれから前記抽出部が抽出した前記注目セクションの少なくとも一つを、前記検証部が正当でないと判断したときは、前記対象決定部は、前記区分した複数のフィールドグループのすべてを前記対象セクションとして決定する。
本発明の他の態様によると、前記検証部は、所定の時間長さの監視期間を設定し、前記受信部は、前記監視期間において前記車載ネットワークを伝搬する前記フレームを受信する。
本発明の他の態様によると、前記対象決定部は、前記監視期間が開始するごとに、前記フィールドグループの少なくとも一つを、無作為に、対象セクションとして決定する。
本発明の他の態様によると、前記検証部は、前記監視期間ごとに、所定数の前記受信フレームについて正当性を検証し、前記受信フレームのいずれかを正当でないと判断したときは、前記監視期間の時間長さを増加する。
本発明の他の態様によると、前記検証部は、前記抽出した受信フレームのいずれかを正当でないと判断したときは、前記所定数を増加する。
本発明の他の態様によると、前記検証部は、休止期間を挟んで前記監視期間を繰り返し設定し、かつ、前記休止期間の時間長さを、所定の範囲内で不規則に変化させる。
前記対象決定部は、前記監視期間ごとに、前記受信フレームの複数のセットのそれぞれに対して、異なるフィールドまたはフィールドのセットを前記対象セクションとして決定する。
本発明の他の態様は、複数の電子制御装置の間で行われる車載ネットワークを介した通信を監視する通信監視装置のコンピュータが行う通信監視方法であって、前記通信は、一つ又は複数のフレームの列で構成され、前記フレームを構成するフィールドの一部又は全部を対象セクションとして決定するステップと、前記車載ネットワークを伝搬する前記フレームを繰り返し受信するステップと、前記受信するステップで受信した前記フレームである受信フレームから、前記対象セクションを注目セクションとして抽出するステップと、前記抽出された前記注目セクションに基づき、前記受信フレームの正当性を検証するステップと、を有し、前記決定するステップでは、前記通信に用いられる前記フレームを区分ルールに従って複数のフィールドグループに区分し、前記フィールドグループの少なくとも一つを、前記対象セクションとして決定する。
According to one aspect of the present invention, a communication monitoring device monitors communications between multiple electronic control devices via an in-vehicle network, the communications being composed of a series of one or more frames, and the device comprises a target determination unit that determines some or all of the fields that constitute the frames as target sections, a receiving unit that receives the frames propagating through the in-vehicle network, an extraction unit that extracts the target sections as sections of interest from the received frames received by the receiving unit, and a verification unit that verifies the validity of the received frames based on the extracted sections of interest , wherein the target determination unit divides the frames used in the communications into multiple field groups in accordance with a division rule, and determines at least one of the field groups as the target section .
According to another aspect of the present invention, the extraction unit counts the number of times each of the field groups is used to extract the section of interest, and the target determination unit determines at least one new target section from among the plurality of divided field groups excluding the field group whose number of times of use is the maximum when the difference between the maximum and minimum values of the number of times of use among the field groups becomes equal to or greater than a first predetermined value.
According to another aspect of the present invention, the target determination unit determines a new target section from among all of the divided field groups when the difference between the maximum and minimum values of the number of times of use among the field groups becomes less than a second predetermined value.
According to another aspect of the present invention, the extraction unit counts the number of times each of the field groups is used to extract the section of interest, and the target determination unit changes the division rule when the difference between the maximum and minimum numbers of times of use among the field groups becomes less than a third predetermined value, newly divides the frame into a plurality of field groups in accordance with the changed division rule, and determines at least one of the newly divided plurality of field groups as the target section.
According to another aspect of the present invention, when the target determination unit newly divides the frame into multiple field groups in accordance with the changed division rule, the extraction unit initializes the number of uses of all of the newly divided field groups to 0.
According to another aspect of the present invention, when the verification unit determines that at least one of the sections of interest extracted by the extraction unit from each of the received frames is invalid, the target determination unit increases the number of field groups determined as the target section from the divided multiple field groups.
According to another aspect of the present invention, when the verification unit determines that at least one of the sections of interest extracted by the extraction unit from each of the received frames is invalid, the target determination unit determines all of the divided multiple field groups as the target sections.
According to another aspect of the present invention, the verification unit sets a monitoring period of a predetermined length of time, and the receiving unit receives the frame propagating through the in-vehicle network during the monitoring period.
According to another aspect of the invention, the target determination unit randomly determines at least one of the field groups as a target section each time the monitoring period begins.
According to another aspect of the present invention, the verification unit verifies the legitimacy of a predetermined number of the received frames for each monitoring period, and increases the length of the monitoring period when it determines that any of the received frames is invalid.
According to another aspect of the present invention, the verification section increases the predetermined number when it determines that any of the extracted received frames is invalid.
According to another aspect of the present invention, the verification section repeatedly sets the monitoring period with a pause period therebetween, and varies the length of the pause period irregularly within a predetermined range.
The target determination unit determines, for each of the plurality of sets of received frames, a different field or set of fields as the target section for each of the monitoring periods.
Another aspect of the present invention is a communication monitoring method performed by a computer of a communication monitoring device that monitors communications between multiple electronic control devices via an in-vehicle network, the communications being composed of a series of one or more frames, the method comprising the steps of: determining some or all of the fields that constitute the frames as target sections; repeatedly receiving the frames propagating through the in-vehicle network; extracting the target sections as sections of interest from received frames, which are the frames received in the receiving step; and verifying the validity of the received frames based on the extracted sections of interest , wherein in the determining step, the frames used in the communications are divided into a plurality of field groups in accordance with a division rule, and at least one of the field groups is determined to be the target section.
本発明によれば、複数の電子制御装置の間で行われる車載ネットワークを介した通信における不正通信の検出に関し、不正通信の検出確率を低下させることなく、その処理負荷を軽減することができる。 The present invention makes it possible to reduce the processing load for detecting unauthorized communications in communications between multiple electronic control devices via an in-vehicle network without reducing the probability of detecting unauthorized communications.
以下、図面を参照して本発明の一実施形態に係る通信監視装置を備えた車両の制御システムについて説明する。 Below, a vehicle control system equipped with a communication monitoring device according to one embodiment of the present invention will be described with reference to the drawings.
図1は、車両の制御システム1を示す図である。
制御システム1は、車両の全般的な制御および情報処理を行うセントラルECU2を備えている。以下、制御システム1が搭載された車両を自車両というものとする。セントラルECU2は、通信ライン4a、4b、4cに接続され、これらの通信ライン間における通信データの授受を管理するゲートウェイの機能も実現する。また、セントラルECU2は、移動通信システムの通信規格に準拠する無線装置(不図示)と接続されて、OTA(Over The Air)管理を実行する。OTA管理は、自車両が備える車載装置の更新プログラムを車外のサーバからダウンロードし、当該更新プログラムを車載装置に適用する制御を含む。
FIG. 1 is a diagram showing a control system 1 for a vehicle.
The control system 1 includes a
通信ライン4a、4b、及び4cには、それぞれ、第1ゾーンECU20a、第2ゾーンECU20b、及び第3ゾーンECU20cが接続されている。第1ゾーンECU20aには、ECU30a、30b、30cが接続されており、第2ゾーンECU20bには、ECU30d、30e、30fが接続されている。また、第3ゾーンECU20cには、ECU30g、30h、30iが接続されている。
The
以下、第1ゾーンECU20a、第2ゾーンECU20b、及び第3ゾーンECU20cを総称してゾーンECU20ともいい、ECU30a、30b、30c、30d、30e、30f、30g、30h、30iを総称してECU30ともいうものとする。
Hereinafter, the first zone ECU 20a, the
ECU30には、例えば、MPU(Map Positioning Unit)、MVC-ECU(MVC;Multi View Camera)、PKS-ECU(PKS;Parking Support)、及び又はADAS-ECU(ADAS;Advanced Driver-Assistance System)、及びその他の、自車両が備える種々のデバイスやセンサの動作を制御するECUが含まれ得る。そのようなデバイスやセンサには、自車両を走行させる走行用モータ、アクセルやブレーキなどの操縦操作器、VSA装置(VSA;Vehicle Stability Assist)、バッテリ、ヘッドランプ等の灯体、ドアウィンドウを駆動するウィンドウモータ、ドアロック機構を駆動するアクチュエータ、ドアロックセンサ、ドア開閉センサ、温度センサ、車外カメラ、車室内カメラなどが含まれ得る。 The ECU 30 may include, for example, an MPU (Map Positioning Unit), an MVC-ECU (MVC; Multi View Camera), a PKS-ECU (PKS; Parking Support), and/or an ADAS-ECU (ADAS; Advanced Driver- Assistance System), and other ECUs that control the operation of various devices and sensors provided in the vehicle. Such devices and sensors may include a driving motor for driving the vehicle, steering controls such as an accelerator and brake, a VSA system (VSA; Vehicle Stability Assy ), a battery, lighting bodies such as headlamps, a window motor for driving door windows, an actuator for driving a door lock mechanism, a door lock sensor, a door opening/closing sensor, a temperature sensor, an exterior camera, an interior camera, and the like.
ゾーンECU20には、それぞれ、自車両の車体空間の同じ区画内に配された複数のECU30、または同じ区画内に配されたデバイスやセンサの動作を制御する複数のECU30が接続されている。
なお、セントラルECU2には、ゾーンECU20に加えて、他の制御装置や機器が接続され得る。そのような制御装置や機器には、ICB(Infotainment Control Box)、スピーカ、マイクロホンと、メータパネル、ステアリングスイッチ、GNSSセンサ、タッチパネルなどが含まれ得る。
Each zone ECU 20 is connected to a plurality of ECUs 30 arranged in the same section of the vehicle body space of the vehicle itself, or a plurality of ECUs 30 that control the operation of devices and sensors arranged in the same section.
In addition to the zone ECU 20, other control devices and devices may be connected to the
通信ライン4a、4b、及び4cは、本実施形態では、例えば、CAN通信規格に準拠した通信を行うCANバスで構成される。以下、通信ライン4a、4b、及び4cを総称して通信ライン4ともいうものとする。ここで、通信ライン4は、本開示における車載ネットワークに対応する。また、通信ライン4に接続されたゾーンECU20は、本開示における、複数の電子制御装置に対応する。
In this embodiment, the
通信ライン4に接続されたゾーンECU20は、従来技術に従い、送信するデータを、CAN通信規格に従って一つのフレームにより又は複数のフレームの列として、通信ライン4へ送出する。CAN通信規格に従い、送出される各フレームには識別コード(ID)が含まれており、フレームを受信した各ゾーンECU20は、そのフレームに含まれるIDに基づいて、当該フレームが自身に宛てて送信されたフレームであるか否かを判断する。 The zone ECU 20 connected to the communication line 4 sends data to be transmitted in one frame or as a sequence of multiple frames according to the CAN communication standard, according to conventional technology, to the communication line 4. According to the CAN communication standard, each frame sent out includes an identification code (ID), and each zone ECU 20 that receives a frame determines whether the frame was sent to it based on the ID included in the frame.
本実施形態では、特に、制御システム1は、通信ライン4a、4b、及び4cに接続された通信監視装置40を備える。通信監視装置40は、複数のゾーンECU20の間で行われる通信ライン4を介した通信を監視する。
In this embodiment, the control system 1 includes a
[通信監視装置の構成]
図2は、通信監視装置40の機能的な構成を示す図である。
通信監視装置40は、プロセッサ41と、メモリ42と、通信装置43と、を備える。メモリ42は、例えば、揮発性及び又は不揮発性の半導体メモリ、及び又はハードディスク装置等により構成される。通信装置43は、例えば、CAN通信バスである通信ライン4a、4b、及び4cのそれぞれに接続された3つのCANトランシーバ(不図示)を備える。
[Configuration of communication monitoring device]
FIG. 2 is a diagram showing the functional configuration of the
The
プロセッサ41は、通信監視装置40が備えるコンピュータであり、例えば、一つ又は複数のCPU(Central Processing Unit)により構成される。
プロセッサ41は、機能要素又は機能ユニットとして、受信部45と、対象決定部46と、抽出部47と、検証部48と、を備える。プロセッサ41が備えるこれらの機能要素は、例えば、コンピュータであるプロセッサ41が、メモリ42に記憶されたコンピュータ・プログラムである通信監視プログラム44を実行することにより実現される。これに代えて、プロセッサ41が備える上記機能要素の全部又は一部を、それぞれ一つ以上の電子回路部品を含むハードウェアにより構成することもできる。
The
The
受信部45は、検証部48が設定する監視期間において、通信ライン4a、4b、及び4cのそれぞれを伝搬するフレームを、通信装置43により受信する。監視期間の開始は、検証部48が受信部45に指示するものとしてもよいし、検証部48が指示する監視期間の時間長さおよび実行間隔に従って受信部45が定めるものとしてもよい。
The receiving
以下、受信部45、対象決定部46、抽出部47、及び検証部48は、通信ライン4a、4b、及び4cのそれぞれを伝搬するフレームについての処理を、通信ライン4a、4b、及び4cについてそれぞれ独立に実行するものとする。
Hereinafter, the receiving
対象決定部46は、通信に用いられるフレームを構成するフィールドの一部又は全部を対象セクションとして決定(または定義)する。具体的には、対象決定部46は、フレームを一の区分ルールに従って複数のフィールドグループに区分し、上記フィールドグループの少なくとも一つを対象セクションとして決定する。対象決定部46は、例えば、監視期間ごとに、少なくとも一つの対象セクションを無作為に決定する。
The
上記区分ルールは、例えば、作成すべきフィールドグループの数および各フィールドグループを構成するフィールドの数を定めるものであり得る。グループの数及びフィールドの数は、例えば、乱数発生関数を用いて無作為に決定され得る。対象決定部46は、例えば、区分ルールが定める上記グループの数及びフィールド数に従うフィールドグループのプレースホルダを作成し、作成したプレースホルダのそれぞれに、具体的なフィールドを無作為に当てはめることで、フレームを複数のフィールドグループに区分するものとすることができる。
The division rule may, for example, determine the number of field groups to be created and the number of fields that compose each field group. The number of groups and the number of fields may be determined randomly, for example, using a random number generating function. The
抽出部47は、受信部45が受信したフレームである受信フレームから、対象決定部46により決定された対象セクションが示すフィールドグループのフィールド部分を、注目セクションとして抽出する。
The
検証部48は、抽出部47が抽出した上記注目セクションに基づき、その注目セクションを含む受信フレームの正当性を検証する。
The
具体的には、検証部48は、所定の時間長さの監視期間を設定する。そして、検証部48は、監視期間ごとに、当該監視期間内に受信されたフレームから所定数の受信フレームを抽出して、当該所定数の受信フレームに基づいて(すなわち、所定数の受信フレームから抽出された注目セクションに基づいて)、それらの受信フレームの正当性を検証する。
Specifically, the
図3は、伝送されるフレーム列における正当性検証について説明するための図である。図3において、横軸は時間であり、縦長の各矩形は、それぞれの時刻において通信ライン4aを伝送するフレームである。図3の例では、監視期間の間に、受信部45がフレームを受信しない休止期間が挟まれている。監視期間内には8個の受信フレームが存在し、そのうちの6個の受信フレームが、正当性検証に用いられる受信フレームとして抽出されている。図3において、正当性検証に用いられる受信フレームは、太線の矩形で示されている。
Figure 3 is a diagram for explaining the validity verification of a transmitted frame sequence. In Figure 3, the horizontal axis is time, and each vertical rectangle is a frame transmitted over the
図3では、監視期間において受信される最初の6個のフレームが、正当性検証に用いられる受信フレームとされているが、これは一例であって、正当性検証に用いられる受信フレームは、監視期間内に受信されるフレームから任意に選択され得る。図3において、正当性検証に用いられる受信フレームを示す太線矩形内の黒塗り部分は、対象セクションに対応して抽出された注目セクションである。対象セクション(従って、注目セクション)は、フレーム内において連続したフィールドで構成されている必要はなく、フレーム内の離れた位置に存在する複数のフィールドで構成されていてもよい。図3の例では、注目セクションは、図示左側に示す監視期間では、受信フレーム内において2つの離れた位置にあるフィールドを含むフィールドグループで構成されており、図示右側に示す監視期間では、連続した位置にあるフィールドを含むフィールドグループで構成されている。また、対象セクションは、監視期間ごとに決定されるため、注目セクションも、監視期間ごとに、受信フレーム内の異なる位置を占めるものとなっている。 In FIG. 3, the first six frames received during the monitoring period are used as the received frames for validity verification, but this is just one example, and the received frames used for validity verification can be selected arbitrarily from the frames received during the monitoring period. In FIG. 3, the black portion in the thick-lined rectangle showing the received frames used for validity verification is the section of interest extracted corresponding to the target section. The target section (and therefore the section of interest) does not need to be composed of consecutive fields within the frame, and may be composed of multiple fields located at separate positions within the frame. In the example of FIG. 3, the section of interest is composed of a field group including two fields located at separate positions within the received frame during the monitoring period shown on the left side of the figure, and is composed of a field group including fields located at consecutive positions during the monitoring period shown on the right side of the figure. In addition, since the target section is determined for each monitoring period, the section of interest also occupies a different position within the received frame for each monitoring period.
正当性検証に用いられる注目セクションの位置を示すものとして決定される対象セクションは、対象決定部46において、フレームを区分する複数のフィールドグループから選択される。このため、受信フレームにおいて対象セクションが示す位置から抽出された注目セクションについての正当性検証の基準は、例えばフィールドグループに含まれるフィールドの内容定義に従って、容易に定めておくことができる。
The target section determined to indicate the position of the section of interest used in validity verification is selected from a number of field groups that divide the frame by the
一例として、受信フレームの正当性の検証は、上記所定数の受信フレームのそれぞれから抽出部47が抽出した注目セクションに、内容の異常が認められるか否か、及び又は一貫性があるか否か等の基準に基づいて行われ得る。
As an example, the validity of the received frames may be verified based on criteria such as whether or not the sections of interest extracted by the
ここで、上記「内容の異常」および「一貫性」は、注目セクションに含まれるフィールドの種類に応じて、予め定義しておくものとすることができる。
例えば、注目セクションにIDフィールドが含まれる場合には、「内容の異常」とは、それらのIDフィールドが含むIDが予め定められた一つ又は複数のIDコード以外のコードを含むことであり得る。あるいは、「内容の異常」とは、例えば、注目セクションにデータフィールドが含まれる場合には、それらのデータフィールドが示すデータに、所定の値範囲を超える異常値が含まれることであり得る。また、あるいは、「内容の異常」とは、例えば、CRCフィールドにおけるCRC値の異常であり得る。
Here, the above-mentioned "content anomaly" and "consistency" can be defined in advance according to the type of field included in the section of interest.
For example, if the section of interest includes an ID field, the "abnormal content" may mean that the IDs included in the ID fields include codes other than one or more predetermined ID codes. Alternatively, if the section of interest includes a data field, the "abnormal content" may mean that the data indicated by the data field includes an abnormal value that exceeds a predetermined value range. Alternatively, the "abnormal content" may be, for example, an abnormal CRC value in a CRC field.
また、上記「一貫性」とは、例えば、注目セクションにデータフィールドが含まれる場合には、上記所定数の注目セクション間でのデータフィールドに含まれた数値の異常な変化(例えば、所定の閾値を超える変化)がないこと等であり得る。 In addition, the above-mentioned "consistency" may mean, for example, that if a data field is included in the section of interest, there is no abnormal change (e.g., a change exceeding a predetermined threshold) in the numerical value included in the data field between the predetermined number of sections of interest.
上記の構成を有する通信監視装置40は、フレームを複数のフィールドグループに区分して、例えば、監視期間ごとに無作為に、それら複数のフィールドグループから対象セクションを決定し、受信フレームごとに対象セクションに対応する注目セクションを抽出する。そして、通信監視装置40では、抽出した注目セクションに基づいて、受信フレームの正当性を検証する。
The
上記の通信監視装置40では、受信フレームの一部である注目セクションに基づいて受信フレームの正当性が検証されるので、特定の制御対象について通信されるフレームの制御情報と状態情報とを吟味する従来技術に比べて、正当性検証のための処理負荷が軽減される。
また、通信監視装置40では、注目セクションを規定する対象セクションは、例えば複数のフィールドグループからの無作為の選択によって、フレーム内から任意に選択され得るので、検証処理の繰り返しにより、最終的にはフレームの全体が検証されることとなり得る。したがって、通信監視装置40では、検証に用いられる注目セクションがフレームの特定部分に固定されてしまうのを防止して、不正通信(不正フレーム)の検出確率を高く維持することができる。
In the above-mentioned
In addition, in the
次に、通信監視装置40のいくつかの変形例について説明する。
[第1変形例]
第1の変形例として、抽出部47は、対象決定部46が区分したフィールドグループのそれぞれについて、注目セクションの抽出に用いられた使用回数をカウントして、カウント値を対象決定部46に通知する。
Next, some modified examples of the
[First Modification]
As a first modified example, the
そして、対象決定部46は、複数のフィールドグループの間における使用回数の最大値と最小値との差が第1所定値(例えば、3)以上となったときに、使用回数が最大値であるフィールドグループを除く、上記区分した複数のフィールドグループのうちから、少なくとも一つの新たな対象セクションを決定する。この新たな対象セクションは、例えば、無作為に決定され得る。
この構成によれば、使用回数の多いフィールドグループ以外のフィールドグループから対象セクションが選択されるので、さらに的確に、不正フレームの検出確率を高く維持することができる。
Then, when the difference between the maximum and minimum number of times of use among the plurality of field groups becomes equal to or greater than a first predetermined value (e.g., 3), the
According to this configuration, the target section is selected from a field group other than the field group that is frequently used, so that the probability of detecting fraudulent frames can be maintained high more accurately.
あるいは、対象決定部46は、フィールドグループの間における上記使用回数の最大値と最小値との差が第2所定値(例えば、3)未満となったときに、区分した全てのフィールドグループのうちから、新たな対象セクションを決定してもよい。この新たな対象セクションは、例えば、無作為に決定され得る。
この構成によれば、対象セクションフィールドグループ間で使用回数の差が少なくなったときは、全てのフィールドグループから新たな対象セクションが選択されるので、さらに的確に、不正フレームの検出確率を高く維持することができる。
Alternatively, the
According to this configuration, when the difference in the number of times of use between the target section field groups becomes small, new target sections are selected from all field groups, so that the probability of detecting fraudulent frames can be maintained high more accurately.
また、あるいは、対象決定部46は、フィールドグループの間における上記使用回数の最大値と最小値との差が第3所定値(例えば、3)未満となったときに、区分ルールを変更し、変更した区分ルールに従ってフレームを複数のフィールドグループに新たに区分してもよい。対象決定部46は、上記新たに区分した複数のフィールドグループの一つを、例えば監視期間ごとに、対象セクションとして決定する。この場合において、抽出部47は、上記変更した区分ルールに従って対象決定部46がフレームを複数のフィールドグループに新たに区分したときは、当該新たに区分されたすべてのフィールドグループの上記使用回数を0に初期化する。なお、上記新たな対象セクションは、例えば、無作為に決定され得る。
この構成によれば、フィールドグループの区分ルールが変更されるので、検証に用いる対象セクションの任意性が高まる。また、フィールドグループ間での使用回数の差が少なくなったときに、フィールドグループの区分ルールが変更されるので、フレームの各部が均等に検証されない状態で区分ルールが変更されることによる不正フレームの検出確率の低下が防止される。また、区分ルールの変更に伴って使用回数のカウントがリセットされるので、新たな区分ルールに従って区分されたセクションについての使用回数を適切にカウントすることができる。
Alternatively, when the difference between the maximum and minimum values of the number of uses among the field groups becomes less than a third predetermined value (e.g., 3), the
According to this configuration, the partitioning rule of the field group is changed, so that the arbitrariness of the target sections used for verification is increased. In addition, when the difference in the number of uses between the field groups becomes small, the partitioning rule of the field group is changed, so that the probability of detecting an unauthorized frame is prevented from decreasing due to the partitioning rule being changed without each part of the frame being evenly verified. In addition, the count of the number of uses is reset when the partitioning rule is changed, so that the number of uses of the sections partitioned according to the new partitioning rule can be appropriately counted.
[第2変形例]
対象決定部46は、監視期間ごとに、受信フレームの複数のセットのそれぞれに対して、異なるフィールドまたはフィールドのセットを対象セクションとして決定するものとしてもよい。この場合にも、対象セクションは、所定の区分ルールに従ってフレームを区分した上述のフィールドグループから決定するものとすることができる。
この構成によれば、検証に用いる対象セクションの、監視期間ごとの任意性が高まるので、不正フレームの検出確率を高めることができる。
[Second Modification]
The
According to this configuration, the arbitrariness of the target sections used for verification for each monitoring period is increased, so that the probability of detecting fraudulent frames can be increased.
図4は、第2変形例におけるフレーム正当性の検証について説明するための図である。図3と同様に、図4において、横軸は時間であり、縦長の各矩形は、それぞれの時刻において通信ライン4aを伝送するフレームである。
Figure 4 is a diagram for explaining the verification of frame validity in the second modified example. As in Figure 3, in Figure 4, the horizontal axis represents time, and each vertical rectangle represents a frame transmitted over the
図4において、正当性検証に用いられる受信フレームを示す太線矩形内の黒塗り部分は、対象セクションに対応して抽出された注目セクションである。図4の例では、図示左側の監視期間では、それぞれ2つの受信フレームで構成される3つの受信フレームのセットのそれぞれに対して、異なる対象セクションが定められている。また、図示右側の監視期間では、それぞれ3つの受信フレームで構成される2つの受信フレームのセットのそれぞれに対して、異なる対象セクションが定められていることを示している。 In Figure 4, the black parts in the bold rectangles showing the received frames used in validity verification are sections of interest extracted in correspondence with the target sections. In the example of Figure 4, in the monitoring period on the left side of the figure, a different target section is defined for each of the sets of three received frames, each consisting of two received frames. Also, in the monitoring period on the right side of the figure, a different target section is defined for each of the two sets of received frames, each consisting of three received frames.
なお、それぞれの監視期間における受信フレームの各セットは、図4の図示右側の監視期間に示すように、必ずしも連続するフレームで構成されていなくてもよい。 Note that each set of received frames during each monitoring period does not necessarily have to consist of consecutive frames, as shown in the monitoring period on the right side of Figure 4.
[第3変形例]
抽出部47が受信フレームのそれぞれから抽出した注目セクションの少なくとも一つを検証部48が正当でないと判断したときは、対象決定部46は、区分した複数のフィールドグループから対象セクションとして決定するフィールドグループの数を増加してもよい。
この構成によれば、不正検出の状況に応じて検証に用いるフィールドグループの数を変えて、不正フレームの検出確率を調整することができる。
[Third Modification]
When the
According to this configuration, the number of field groups used for verification can be changed depending on the fraud detection situation, thereby adjusting the detection probability of fraudulent frames.
[第4変形例]
抽出部47が受信フレームのそれぞれから抽出した注目セクションの少なくとも一つを検証部48が正当でないと判断したときは、対象決定部46は、区分した複数のフィールドグループのすべてを対象セクションとして決定してもよい。
この構成によれば、不正検出の状況に応じて全てのフィールドグループを用いて受信フレームの正当性を検証するので、不正フレームの検出確率をより高く調整することができる。
[Fourth Modification]
When the
According to this configuration, the validity of the received frame is verified using all field groups according to the fraud detection situation, so that the probability of detecting fraudulent frames can be adjusted to be higher.
[第5変形例]
検証部48は、受信フレームのいずれかを正当でないと判断したときは、監視期間の時間長さを増加または拡大してもよい。
この構成によれば、不正検出の状況に応じて監視期間(すなわち、正当性検証に用いるフレームの受信期間)を拡大して、不正フレームの検出確率を調整することができる。
[Fifth Modification]
The
According to this configuration, the probability of detecting fraudulent frames can be adjusted by extending the monitoring period (i.e., the period during which frames used for validity verification are received) depending on the fraud detection situation.
[第6変形例]
検証部48は、抽出した受信フレームのいずれかを正当でないと判断したときは、監視期間ごとに抽出する受信フレームの所定数を増加させてもよい。
この構成によれば、不正検出の状況に応じて検証に用いる監視期間ごとの受信フレームの数を増やして、不正フレームの検出確率を調整することができる。
[Sixth Modification]
When the
According to this configuration, the probability of detecting fraudulent frames can be adjusted by increasing the number of received frames per monitoring period used for verification depending on the fraud detection situation.
[第7変形例]
検証部48は、休止期間を挟んで監視期間を繰り返し設定するものとし、かつ、休止期間の時間長さを、例えば定期的に又は不定期に、所定の範囲内で不規則に変化させるものとすることができる。
この構成によれば、時間の流れに沿って監視期間が不規則な時刻から開始するように設定されるので、悪意のある者による監視期間の特定を困難にして、車載ネットワークを介した攻撃を効果的に検出することができる。
[Seventh Modification]
The
According to this configuration, the monitoring period is set to start at irregular times along the flow of time, making it difficult for malicious parties to identify the monitoring period and effectively detecting attacks via the in-vehicle network.
[通信監視装置40の動作]
次に、通信監視装置40の動作の手順について説明する。図5は、通信監視装置40の動作の手順の一例を示すフロー図である。図5の処理は、例えば、所定の時間間隔で、繰り返し実行される。
[Operation of communication monitoring device 40]
Next, a description will be given of the procedure of operation of the
処理を開始すると、まず、対象決定部46は、通信に用いられるフレームを一の区分ルールに従って複数のフィールドグループに区分する(S100)。次に、検証部48は、所定の時間長さの監視期間を設定する(S102)。続いて、対象決定部46は、監視期間が開始したか否かを判断する(S104)。そして、監視期間が開始していないときは(S104、NO)、対象決定部46は、ステップS104に戻って処理を繰り返し、監視期間が開始するのを待機する。
When the process starts, the
一方、監視期間が開始したときは(S104、YES)、対象決定部46は、上記区分したフィールドグループの少なくとも一つを対象セクションとして決定する(S106)。また、受信部45は、監視期間において、通信ライン4から所定数のフレームを受信し(S108)、抽出部47は、上記受信された所定数のフレームのそれぞれから、上記決定された対象セクションを、注目セクションとして抽出する(S110)。
On the other hand, when the monitoring period starts (S104, YES), the
次に、検証部48は、上記抽出された注目セクションに基づき、それらの注目セクションを含む受信フレームの正当性を検証し(S112)、検証の結果を、例えばセントラルECU2へ送信して出力する(S114)。
Next, the
続いて、プロセッサ41は、通信監視装置40の電源が断になったか否かを判断し(S116)、電源断になったときは(S116、YES)、本処理を終了する。一方、通信監視装置40の電源が断になっていないときは(S116、NO)、プロセッサ41は、ステップS104に戻って処理を繰り返す。
Then, the
[他の実施形態]
なお、本発明は上記の実施形態の構成に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能である。
[Other embodiments]
The present invention is not limited to the configurations of the above-described embodiments, and can be embodied in various forms without departing from the spirit and scope of the present invention.
例えば、通信監視装置40は、上述した実施形態では3本の通信ライン4における通信を監視するものとしたが、3より多い数の通信ラインにおける通信を、同様に監視するものとしてもよい。
For example, in the above embodiment, the
また、通信監視装置40は、上述した実施形態では単独の装置として記載されているが、他の車載ECUの一部として実現されていてもよい。例えば、通信監視装置40は、プロセッサ41およびメモリ42が、セントラルECU2が備えるプロセッサおよびメモリ(共に不図示)に統合されることにより、セントラルECU2の一部として実現されてもよい。
In addition, although the
また、制御システム1は、上述した実施形態では、1つの通信監視装置40を備えるものとしたが、2つ以上の任意の数の通信監視装置40を備えてもよい。例えば、制御システム1は、2台の通信監視装置40を備えて、1台が通信ライン4の一部の通信を監視し、他の1台が通信ライン4の他の一部の通信を監視するものとしてもよい。
In the above-described embodiment, the control system 1 includes one
また、通信監視装置40は、上記の実施形態では、CAN通信規格に準拠するフレームについての正当性を監視するものとした。ただし、通信監視装置40は、CANに限らず、フレームを用いて通信を行う他の種類の通信に関しても同様に適用することができる。
In addition, in the above embodiment, the
[上記実施形態がサポートする構成]
上記実施形態及び変形例は、以下の構成をサポートする。
[Configuration supported by the above embodiment]
The above embodiment and modified examples support the following configurations.
(構成1)複数の電子制御装置の間で行われる車載ネットワークを介した通信を監視する通信監視装置であって、前記通信は、一つ又は複数のフレームの列で構成され、前記フレームを構成するフィールドの一部又は全部を対象セクションとして決定する対象決定部と、前記車載ネットワークを伝搬する前記フレームを受信する受信部と、前記受信部が受信した前記フレームである受信フレームから、前記対象セクションを注目セクションとして抽出する抽出部と、前記抽出された前記注目セクションに基づき、前記受信フレームの正当性を検証する検証部と、を備える通信監視装置。
構成1の通信監視装置によれば、受信フレームの一部である注目セクションに基づいて受信フレームの正当性が検証されるので、特定の制御対象について通信されるフレームの制御情報と状態情報とを吟味する従来技術に比べて、正当性検証のための処理負荷が軽減される。また、構成1の通信監視装置では、注目セクションを規定する対象セクションは、フレーム内から任意に選択され得るので、検証処理の繰り返しにより、最終的にはフレームの全体が検証されることとなり、不正フレームの検出確率を高く維持することができる。
(Configuration 1) A communication monitoring device that monitors communications between multiple electronic control devices via an in-vehicle network, the communications being composed of a sequence of one or more frames, the communication monitoring device comprising: a target determination unit that determines some or all of the fields that constitute the frames as target sections; a receiving unit that receives the frames propagating through the in-vehicle network; an extraction unit that extracts the target sections as sections of interest from the received frames received by the receiving unit; and a verification unit that verifies the legitimacy of the received frame based on the extracted sections of interest.
According to the communication monitoring device of configuration 1, the validity of a received frame is verified based on a section of interest that is a part of the received frame, so the processing load for validity verification is reduced compared to the conventional technology that examines the control information and state information of a frame communicated to a specific control target. Also, in the communication monitoring device of configuration 1, the target section that specifies the section of interest can be arbitrarily selected from within the frame, so that the entire frame is ultimately verified by repeating the verification process, and the probability of detecting unauthorized frames can be maintained high.
(構成2)前記対象決定部は、前記通信に用いられる前記フレームを一の区分ルールに従って複数のフィールドグループに区分し、前記フィールドグループの少なくとも一つを、対象セクションとして決定する、構成1に記載の通信監視装置。
構成2の通信監視装置によれば、対象セクションはフィールドグループから選択されるので、例えばフィールドグループに含まれるフィールドの内容定義に従って、対象セクションにおける正当性検証のための基準を容易に定めておくことができる。
(Configuration 2) The communication monitoring device described in configuration 1, wherein the target determination unit divides the frame used in the communication into multiple field groups according to a division rule, and determines at least one of the field groups as a target section.
According to the communication monitoring device of
(構成3)前記抽出部は、前記フィールドグループのそれぞれの、前記注目セクションの抽出に用いられた使用回数をカウントし、前記対象決定部は、前記フィールドグループの間における前記使用回数の最大値と最小値との差が第1所定値以上となったときに、前記使用回数が前記最大値である前記フィールドグループを除く前記区分した複数の前記フィールドグループのうちから、少なくとも一つの新たな前記対象セクションを決定する、構成2に記載の通信監視装置。
構成3の通信監視装置によれば、使用回数の多いフィールドグループ以外のフィールドグループから対象セクションが選択されるので、さらに的確に、不正フレームの検出確率を高く維持することができる。
(Configuration 3) The extraction unit counts the number of times each field group is used to extract the section of interest, and the target determination unit determines at least one new target section from among the multiple divided field groups excluding the field group whose number of times of use is the maximum when the difference between the maximum and minimum values of the number of times of use among the field groups becomes greater than or equal to a first predetermined value.The communication monitoring device described in
According to the communication monitoring device of configuration 3, the target section is selected from a field group other than the field group that is frequently used, so that the probability of detecting unauthorized frames can be maintained high more accurately.
(構成4)前記対象決定部は、前記フィールドグループの間における前記使用回数の最大値と最小値との差が第2所定値未満となったときに、前記区分した全ての前記フィールドグループのうちから、新たな前記対象セクションを決定する、構成3に記載の通信監視装置。
構成4の通信監視装置によれば、フィールドグループ間で使用回数の差が少なくなったときは、全てのフィールドグループから新たな対象セクションが選択されるので、さらに的確に、不正フレームの検出確率を高く維持することができる。
(Configuration 4) The communication monitoring device described in Configuration 3, wherein the target determination unit determines a new target section from among all of the divided field groups when the difference between the maximum and minimum values of the number of times of use among the field groups becomes less than a second predetermined value.
According to the communication monitoring device of configuration 4 , when the difference in the number of times of use between field groups becomes small, new target sections are selected from all field groups, thereby making it possible to more accurately maintain a high probability of detecting fraudulent frames.
(構成5)前記抽出部は、前記フィールドグループのそれぞれの、前記注目セクションの抽出に用いられた使用回数をカウントし、前記対象決定部は、前記フィールドグループの間における前記使用回数の最大値と最小値との差が第3所定値未満となったときに、前記区分ルールを変更し、前記変更した区分ルールに従って前記フレームを複数のフィールドグループに新たに区分し、前記新たに区分した複数のフィールドグループの少なくとも一つを、対象セクションとして決定する、構成2ないし4のいずれかに記載の通信監視装置。
構成5の通信監視装置によれば、フィールドグループの区分ルールが変更されるので、検証に用いる対象セクションの任意性が高まる。また、フィールドグループ間での使用回数の差が少なくなったときに、フィールドグループの区分ルールが変更されるので、フレームの各部が均等に検証されない状態で区分ルールが変更されることによる不正フレームの検出確率の低下が防止される。
(Configuration 5) A communications monitoring device described in any of
According to the communication monitoring device of configuration 5, the field group division rule is changed, so that the arbitrariness of the target sections used for verification is increased. Also, when the difference in the number of times of use between field groups becomes small, the field group division rule is changed, so that the decrease in the probability of detecting fraudulent frames caused by changing the division rule without uniformly verifying each part of the frame is prevented.
(構成6)前記抽出部は、前記変更した区分ルールに従って前記対象決定部が前記フレームを複数のフィールドグループに新たに区分したときは、当該新たに区分されたすべての前記フィールドグループの前記使用回数を0に初期化する、構成5に記載の通信監視装置。
構成6の通信監視装置によれば、区分ルールの変更に伴って使用回数のカウントがリセットされるので、新たな区分ルールに従って区分されたセクションについての使用回数を適切にカウントすることができる。
(Configuration 6) A communication monitoring device as described in Configuration 5, wherein when the target determination unit newly divides the frame into multiple field groups in accordance with the changed division rule, the extraction unit initializes the number of uses of all of the newly divided field groups to 0.
According to the communication monitoring device of configuration 6, the count of the number of uses is reset when the classification rule is changed, so that the number of uses of the section classified according to the new classification rule can be properly counted.
(構成7)前記受信フレームのそれぞれから前記抽出部が抽出した前記注目セクションの少なくとも一つを、前記検証部が正当でないと判断したときは、前記対象決定部は、前記区分した複数のフィールドグループから前記対象セクションとして決定するフィールドグループの数を増加する、構成2ないし6のいずれかに記載の通信監視装置。
構成7の通信監視装置によれば、不正検出の状況に応じて検証に用いるフィールドグループの数を変えて、不正フレームの検出確率を調整することができる。
(Configuration 7) A communications monitoring device described in any of
According to the communication monitoring device of configuration 7, the number of field groups used for verification can be changed depending on the fraud detection situation, thereby adjusting the detection probability of fraudulent frames.
(構成8)前記受信フレームのそれぞれから前記抽出部が抽出した前記注目セクションの少なくとも一つを、前記検証部が正当でないと判断したときは、前記対象決定部は、前記区分した複数のフィールドグループのすべてを前記対象セクションとして決定する、構成2ないし6のいずれかに記載の通信監視装置。
構成8の通信監視装置によれば、不正検出の状況に応じて全てのフィールドグループを用いて受信フレームの正当性を検証するので、不正フレームの検出確率をより高く調整することができる。
(Configuration 8) A communications monitoring device described in any of
According to the communication monitoring device of configuration 8, the validity of the received frame is verified using all field groups according to the fraud detection situation, so that the probability of detecting fraudulent frames can be adjusted to be higher.
(構成9)前記検証部は、所定の時間長さの監視期間を設定し、前記受信部は、前記監視期間において前記車載ネットワークを伝搬する前記フレームを受信する、構成2ないし8のいずれかに記載の通信監視装置。
構成9の通信監視装置によれば、所定の時間長さの監視期間に限って、通信されるフレームを監視するので、フレームの正当性検証のための処理負荷が軽減される。
(Configuration 9) A communication monitoring device described in any of
According to the communication monitoring device of configuration 9, since the frames being communicated are monitored only during a monitoring period of a predetermined length, the processing load for verifying the validity of the frames is reduced.
(構成10)前記対象決定部は、前記監視期間が開始するごとに、前記フィールドグループの少なくとも一つを、無作為に、対象セクションとして決定する、構成9に記載の通信監視装置。
構成10の通信監視装置によれば、監視期間ごとに対象セクションが無作為に決定されるので、より的確に、不正フレームの検出確率を高く維持することができる。
(Configuration 10) The communication monitoring device described in Configuration 9, wherein the target determination unit randomly determines at least one of the field groups as the target section each time the monitoring period starts.
According to the communication monitoring device of configuration 10, the target section is randomly determined for each monitoring period, so that the probability of detecting unauthorized frames can be maintained high more accurately.
(構成11)前記検証部は、前記監視期間ごとに、所定数の前記受信フレームについて正当性を検証し、前記受信フレームのいずれかを正当でないと判断したときは、前記監視期間の時間長さを増加する、構成9または10に記載の通信監視装置。
構成11の通信監視装置によれば、正当性検証に用いるフレームの受信期間である監視期間を不正検出の状況に応じて拡大して、不正フレームの検出確率を調整することができる。
(Configuration 11) A communication monitoring device described in configuration 9 or 10, wherein the verification unit verifies the legitimacy of a predetermined number of the received frames for each monitoring period, and when it determines that any of the received frames is invalid, increases the length of the monitoring period.
According to the communication monitoring device of configuration 11, the probability of detecting unauthorized frames can be adjusted by extending the monitoring period, which is the period during which frames used for validity verification are received, according to the fraud detection situation.
(構成12)前記検証部は、前記抽出した受信フレームのいずれかを正当でないと判断したときは、前記所定数を増加する、構成11に記載の通信監視装置。
構成12の通信監視装置によれば、不正検出の状況に応じて検証に用いる監視期間ごとの受信フレームの数を増やして、不正フレームの検出確率を調整することができる。
(Configuration 12) The communication monitoring device according to configuration 11, wherein the verification unit increases the predetermined number when it determines that any of the extracted received frames is invalid.
According to the communication monitoring device of configuration 12, the probability of detecting unauthorized frames can be adjusted by increasing the number of received frames per monitoring period used for verification depending on the status of unauthorized detection.
(構成13)前記検証部は、休止期間を挟んで前記監視期間を繰り返し設定し、かつ、前記休止期間の時間長さを、所定の範囲内で不規則に変化させる、構成9ないし12のいずれかに記載の通信監視装置。
構成13の通信監視装置によれば、時間の流れに沿って監視期間が不規則な時刻から開始するように設定されるので、悪意のある者による監視期間の特定を困難にして、車載ネットワークを介した攻撃を効果的に検出することができる。
(Configuration 13) A communication monitoring device described in any of configurations 9 to 12, wherein the verification unit repeatedly sets the monitoring period separated by a pause period and changes the length of the pause period irregularly within a predetermined range.
According to the communication monitoring device of configuration 13, the monitoring period is set to start at an irregular time along the flow of time, making it difficult for a malicious person to identify the monitoring period and effectively detecting attacks via the in-vehicle network.
(構成14)前記対象決定部は、監視期間ごとに、受信フレームの複数のセットのそれぞれに対して、異なるフィールドまたはフィールドのセットを対象セクションとして決定する、構成9ないし13のいずれかに記載の通信監視装置。
構成14の通信監視装置によれば、検証に用いる対象セクションの、監視期間ごとの任意性を高めて、不正フレームの検出確率を高めることができる。
(Configuration 14) A communications monitoring device described in any of configurations 9 to 13, wherein the target determination unit determines a different field or set of fields as the target section for each of multiple sets of received frames for each monitoring period.
According to the communication monitoring device of configuration 14, the arbitrariness of the target sections used for verification for each monitoring period can be increased, thereby increasing the probability of detecting unauthorized frames.
(構成15)複数の電子制御装置の間で行われる車載ネットワークを介した通信を監視する通信監視装置のコンピュータが行う通信監視方法であって、前記通信は、一つ又は複数のフレームの列で構成され、前記フレームを構成するフィールドの一部又は全部を対象セクションとして決定するステップと、前記車載ネットワークを伝搬する前記フレームを繰り返し受信するステップと、前記受信するステップで受信した前記フレームである受信フレームから、前記対象セクションを注目セクションとして抽出するステップと、前記抽出された前記注目セクションに基づき、前記受信フレームの正当性を検証するステップと、を有する、通信監視方法。
構成15の通信監視方法によれば、受信フレームの一部である注目セクションに基づいて受信フレームの正当性が検証されるので、特定の制御対象について通信されるフレームの制御情報と状態情報とを吟味する従来技術に比べて、正当性検証のための処理負荷が軽減される。また、構成15の通信監視方法では、注目セクションを規定する対象セクションは、フレーム内から任意に選択され得るので、検証処理の繰り返しにより、最終的にはフレームの全体が検証されることとなり、不正フレームの検出確率を高く維持することができる。
(Configuration 15) A communication monitoring method performed by a computer of a communication monitoring device that monitors communications between multiple electronic control devices via an in-vehicle network, the communications being composed of a series of one or more frames, the method comprising the steps of determining some or all of the fields that constitute the frames as target sections, repeatedly receiving the frames propagating through the in-vehicle network, extracting the target sections as sections of interest from the received frames, which are the frames received in the receiving step, and verifying the legitimacy of the received frames based on the extracted sections of interest.
According to the communication monitoring method of configuration 15, the validity of a received frame is verified based on a section of interest that is a part of the received frame, so the processing load for validity verification is reduced compared to the conventional technology that examines the control information and state information of a frame communicated for a specific control target. Also, in the communication monitoring method of configuration 15, the target section that specifies the section of interest can be arbitrarily selected from within the frame, so that the entire frame is ultimately verified by repeating the verification process, and the probability of detecting an unauthorized frame can be maintained high.
1…制御システム、2…セントラルECU、4a、4b、4c…通信ライン、20…ゾーンECU、20a…第1ゾーンECU、20b…第2ゾーンECU、20c…第3ゾーンECU、30、30a、30b、30c、30d、30e、30f、30g、30h、30i…ECU、40…通信監視装置、41…プロセッサ、42…メモリ、43…通信装置、44…通信監視プログラム、45…受信部、46…対象決定部、47…抽出部、48…検証部。
1...control system, 2...central ECU, 4a, 4b, 4c...communication line, 20...zone ECU, 20a...first zone ECU, 20b...second zone ECU, 20c...third zone ECU, 30, 30a, 30b, 30c, 30d, 30e, 30f, 30g, 30h, 30i...ECU, 40...communication monitoring device, 41...processor, 42...memory, 43...communication device, 44...communication monitoring program, 45...receiving unit, 46...target determination unit, 47...extraction unit, 48...verification unit.
Claims (14)
前記通信は、一つ又は複数のフレームの列で構成され、
前記フレームを構成するフィールドの一部又は全部を対象セクションとして決定する対象決定部と、
前記車載ネットワークを伝搬する前記フレームを受信する受信部と、
前記受信部が受信した前記フレームである受信フレームから、前記対象セクションを注目セクションとして抽出する抽出部と、
前記抽出された前記注目セクションに基づき、前記受信フレームの正当性を検証する検証部と、
を備え、
前記対象決定部は、前記通信に用いられる前記フレームを区分ルールに従って複数のフィールドグループに区分し、前記フィールドグループの少なくとも一つを、対象セクションとして決定する、
通信監視装置。 A communication monitoring device that monitors communications between a plurality of electronic control devices via an in-vehicle network,
the communication comprises a sequence of one or more frames;
a target determination unit that determines a part or all of the fields that constitute the frame as a target section;
a receiving unit that receives the frame propagating through the in-vehicle network;
an extraction unit that extracts the target section as a section of interest from a received frame that is the frame received by the receiving unit;
a verification unit that verifies the validity of the received frame based on the extracted section of interest;
Equipped with
The target determination unit divides the frame used in the communication into a plurality of field groups according to a division rule, and determines at least one of the field groups as a target section.
Communications monitoring equipment.
前記対象決定部は、前記フィールドグループの間における前記使用回数の最大値と最小値との差が第1所定値以上となったときに、前記使用回数が前記最大値である前記フィールドグループを除く前記区分した複数の前記フィールドグループのうちから、少なくとも一つの新たな前記対象セクションを決定する、
請求項1に記載の通信監視装置。 The extraction unit counts the number of times each of the field groups is used to extract the section of interest,
The target determination unit determines at least one new target section from among the divided plurality of field groups excluding the field group having the maximum number of times of use when a difference between the maximum value and the minimum value of the number of times of use among the field groups becomes equal to or greater than a first predetermined value.
The communication monitoring device according to claim 1 .
請求項2に記載の通信監視装置。 The target determination unit determines a new target section from among all the divided field groups when a difference between a maximum value and a minimum value of the number of times of use among the field groups becomes less than a second predetermined value.
The communication monitoring device according to claim 2 .
前記対象決定部は、前記フィールドグループの間における前記使用回数の最大値と最小値との差が第3所定値未満となったときに、前記区分ルールを変更し、前記変更した区分ルールに従って前記フレームを複数のフィールドグループに新たに区分し、前記新たに区分した複数のフィールドグループの少なくとも一つを、対象セクションとして決定する、
請求項1に記載の通信監視装置。 The extraction unit counts the number of times each of the field groups is used to extract the section of interest,
The target determination unit changes the partitioning rule when a difference between a maximum value and a minimum value of the number of times of use among the field groups becomes less than a third predetermined value, newly partitions the frame into a plurality of field groups according to the changed partitioning rule, and determines at least one of the newly partitioned plurality of field groups as a target section.
The communication monitoring device according to claim 1 .
請求項4に記載の通信監視装置。 When the object determination unit newly divides the frame into a plurality of field groups according to the changed division rule, the extraction unit initializes the number of uses of all of the newly divided field groups to 0.
5. The communication monitoring device according to claim 4 .
請求項1に記載の通信監視装置。 When the verification unit determines that at least one of the sections of interest extracted by the extraction unit from each of the received frames is invalid, the target determination unit increases the number of field groups determined as the target section from the divided plurality of field groups.
The communication monitoring device according to claim 1 .
請求項1に記載の通信監視装置。 When the verification unit determines that at least one of the sections of interest extracted by the extraction unit from each of the received frames is invalid, the target determination unit determines all of the divided field groups as the target sections.
The communication monitoring device according to claim 1 .
前記受信部は、前記監視期間において前記車載ネットワークを伝搬する前記フレームを受信する、
請求項1に記載の通信監視装置。 The verification unit sets a monitoring period of a predetermined length of time,
The receiving unit receives the frame propagating through the in-vehicle network during the monitoring period.
The communication monitoring device according to claim 1 .
請求項8に記載の通信監視装置。 The target determination unit randomly determines at least one of the field groups as a target section each time the monitoring period starts.
The communication monitoring device according to claim 8 .
前記監視期間ごとに、所定数の前記受信フレームについて正当性を検証し、
前記受信フレームのいずれかを正当でないと判断したときは、前記監視期間の時間長さを増加する、
請求項8に記載の通信監視装置。 The verification unit is
verifying the legitimacy of a predetermined number of the received frames for each monitoring period;
increasing the length of the monitoring period when any of the received frames is determined to be invalid;
The communication monitoring device according to claim 8 .
請求項10に記載の通信監視装置。 When the verification unit determines that any one of the extracted received frames is invalid, the verification unit increases the predetermined number.
The communication monitoring device according to claim 10 .
休止期間を挟んで前記監視期間を繰り返し設定し、かつ、
前記休止期間の時間長さを、所定の範囲内で不規則に変化させる、
請求項8に記載の通信監視装置。 The verification unit is
The monitoring period is repeatedly set with a rest period therebetween, and
The length of the pause period is irregularly changed within a predetermined range.
The communication monitoring device according to claim 8 .
請求項8ないし12のいずれか一項に記載の通信監視装置。 The target determination unit determines, for each of the plurality of sets of received frames, a different field or set of fields as the target section for each of the monitoring periods.
A communication monitoring device according to any one of claims 8 to 12 .
前記通信は、一つ又は複数のフレームの列で構成され、
前記フレームを構成するフィールドの一部又は全部を対象セクションとして決定するステップと、
前記車載ネットワークを伝搬する前記フレームを繰り返し受信するステップと、
前記受信するステップで受信した前記フレームである受信フレームから、前記対象セクションを注目セクションとして抽出するステップと、
前記抽出された前記注目セクションに基づき、前記受信フレームの正当性を検証するステップと、
を有し、
前記決定するステップでは、前記通信に用いられる前記フレームを区分ルールに従って複数のフィールドグループに区分し、前記フィールドグループの少なくとも一つを、前記対象セクションとして決定する、
通信監視方法。 A communication monitoring method performed by a computer of a communication monitoring device that monitors communications between a plurality of electronic control devices via an in-vehicle network, comprising:
the communication comprises a sequence of one or more frames;
determining a part or all of the fields constituting the frame as a target section;
repeatedly receiving the frame propagating through the in-vehicle network;
extracting the target section as a section of interest from the received frame, which is the frame received in the receiving step;
verifying the validity of the received frame based on the extracted section of interest;
having
In the determining step, the frame used in the communication is divided into a plurality of field groups according to a division rule, and at least one of the field groups is determined as the target section.
Communications monitoring methods.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US18/075,982 US20230199490A1 (en) | 2021-12-20 | 2022-12-06 | Communication monitoring device and communication monitoring method |
CN202211605778.6A CN116320285A (en) | 2021-12-20 | 2022-12-14 | Communication monitoring device and communication monitoring method |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021206101 | 2021-12-20 | ||
JP2021206101 | 2021-12-20 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023091723A JP2023091723A (en) | 2023-06-30 |
JP7507205B2 true JP7507205B2 (en) | 2024-06-27 |
Family
ID=86941309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022133179A Active JP7507205B2 (en) | 2021-12-20 | 2022-08-24 | Communication monitoring device and communication monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7507205B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018105330A1 (en) | 2016-12-06 | 2018-06-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Information processing method, information processng system, and program |
JP2018111468A (en) | 2017-01-13 | 2018-07-19 | パナソニックIpマネジメント株式会社 | Tampering-detection electronic control unit, electronic control unit, onboard network system, tampering-detection method, and computer program |
WO2020022444A1 (en) | 2018-07-27 | 2020-01-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Fraud detection method and fraud detection device |
JP2020061789A (en) | 2014-04-17 | 2020-04-16 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Fraud detection method and on-vehicle network system |
-
2022
- 2022-08-24 JP JP2022133179A patent/JP7507205B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020061789A (en) | 2014-04-17 | 2020-04-16 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | Fraud detection method and on-vehicle network system |
WO2018105330A1 (en) | 2016-12-06 | 2018-06-14 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Information processing method, information processng system, and program |
US20210226919A1 (en) | 2016-12-06 | 2021-07-22 | Panasonic Intellectual Property Corporation Of America | Information processing method, information processing system, and non-transitory computer-readable recording medium storing a program |
JP2018111468A (en) | 2017-01-13 | 2018-07-19 | パナソニックIpマネジメント株式会社 | Tampering-detection electronic control unit, electronic control unit, onboard network system, tampering-detection method, and computer program |
WO2020022444A1 (en) | 2018-07-27 | 2020-01-30 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Fraud detection method and fraud detection device |
Also Published As
Publication number | Publication date |
---|---|
JP2023091723A (en) | 2023-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7178346B2 (en) | Vehicle monitoring device, fraud detection server, and control method | |
Aliwa et al. | Cyberattacks and countermeasures for in-vehicle networks | |
Gmiden et al. | An intrusion detection method for securing in-vehicle CAN bus | |
Bozdal et al. | A survey on can bus protocol: Attacks, challenges, and potential solutions | |
US10104094B2 (en) | On-vehicle communication system | |
Song et al. | Intrusion detection system based on the analysis of time intervals of CAN messages for in-vehicle network | |
CN110226310B (en) | Electronic control device, fraud detection server, in-vehicle network system, in-vehicle network monitoring system, and method | |
JP6805667B2 (en) | Detection device, gateway device, detection method and detection program | |
CN114095298B (en) | System and method for managing secure communication between modules in controller local area network | |
Boudguiga et al. | A simple intrusion detection method for controller area network | |
CN110892683B (en) | In-vehicle device, management method, and management program | |
KR101966345B1 (en) | Method and System for detecting bypass hacking attacks based on the CAN protocol | |
WO2018100783A1 (en) | Detector, detection method and detection program | |
KR101972457B1 (en) | Method and System for detecting hacking attack based on the CAN protocol | |
Lamba et al. | Identifying & Mitigating Cyber Security Threats In Vehicular Technologies | |
WO2021145144A1 (en) | Intrusion-path analyzing device and intrusion-path analyzing method | |
US11971982B2 (en) | Log analysis device | |
WO2021111685A1 (en) | Detection device, vehicle, detection method, and detection program | |
KR101995903B1 (en) | Device for verifying status and detecting anomaly of vehicle and system having the same | |
JP7507205B2 (en) | Communication monitoring device and communication monitoring method | |
WO2020184001A1 (en) | On-vehicle security measure device, on-vehicle security measure method, and security measure system | |
KR101825711B1 (en) | A CAN controller secured from hacking attack based on the CAN protocol | |
US20230199490A1 (en) | Communication monitoring device and communication monitoring method | |
CN114747182A (en) | Determination device, determination program, and determination method | |
Moalla et al. | Towards a cooperative its vehicle application oriented security framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230328 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240229 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240312 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240507 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240521 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240617 |