JPWO2019117184A1 - 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法 - Google Patents

車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法 Download PDF

Info

Publication number
JPWO2019117184A1
JPWO2019117184A1 JP2019559683A JP2019559683A JPWO2019117184A1 JP WO2019117184 A1 JPWO2019117184 A1 JP WO2019117184A1 JP 2019559683 A JP2019559683 A JP 2019559683A JP 2019559683 A JP2019559683 A JP 2019559683A JP WO2019117184 A1 JPWO2019117184 A1 JP WO2019117184A1
Authority
JP
Japan
Prior art keywords
abnormality
vehicle
unit
unit data
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019559683A
Other languages
English (en)
Other versions
JP7071998B2 (ja
Inventor
弘泰 寺澤
弘泰 寺澤
芳賀 智之
智之 芳賀
唯之 鳥崎
唯之 鳥崎
遼 加藤
遼 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of JPWO2019117184A1 publication Critical patent/JPWO2019117184A1/ja
Application granted granted Critical
Publication of JP7071998B2 publication Critical patent/JP7071998B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/22Devices for monitoring or checking brake systems; Signal devices
    • B60T17/221Procedure or apparatus for checking or keeping in a correct functioning condition of brake systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • B60L3/0084Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to control modules
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/12Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
    • B60T7/16Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger operated by remote control, i.e. initiating means not mounted on vehicle
    • B60T7/18Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger operated by remote control, i.e. initiating means not mounted on vehicle operated by wayside apparatus
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L2240/00Control parameters of input or output; Target parameters
    • B60L2240/10Vehicle control parameters
    • B60L2240/24Steering angle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L2250/00Driver interactions
    • B60L2250/26Driver interactions by pedal actuation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/406Test-mode; Self-diagnosis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/024Guidance services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T90/00Enabling technologies or technologies with a potential or indirect contribution to GHG emissions mitigation
    • Y02T90/10Technologies relating to charging of electric vehicles
    • Y02T90/16Information or communication technologies improving the operation of electric vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Power Engineering (AREA)
  • Sustainable Energy (AREA)
  • Sustainable Development (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

車載ネットワーク異常検知システム(200)は、第一プロトコルでの通信単位データである第一単位データを第一ネットワークから受信する第一通信部(201)と、異常判定ルールの情報を含む異常判定データベース(203)と、異常判定ルールを用いて第一単位データの異常の有無を判定する異常判定部(202)と、異常判定部(202)が異常を含まないと判定した第一単位データから第二プロトコルでの通信単位データである第二単位データを抽出する単位データ変換部(204)と、抽出された第二単位データを第二ネットワークに送出する第二通信部(206)とを備え、第一単位データは、送信元である第一機器を示す送信元情報を含み、第二単位データはデータ識別子を含み、異常判定部(202)は、送信元情報とデータ識別子との組み合わせを異常判定ルールと比較して第一単位データが異常を含むと判定した場合、所定の異常対応処理を実行する。

Description

本発明は、車載ネットワークにおいて利用されるメッセージのうちの不正なメッセージによる異常を検知するものである。
近年、自動車を構成するシステムには、電子制御ユニット(以下、ECU(英文名のElectronic Control Unitの略語)と表記)と呼ばれる装置が多数配置されおり、複数のECUを相互につなぐネットワークは車載ネットワークと呼ばれている。車載ネットワークには多くの規格が規定されており、一般的には、通信速度が最大1Mbps程度であるController Area Network(以下、CAN(登録商標)と表記)が利用されている。
今後、自動車は、運転支援の高度化を経て完全自動運転の実現に向けて進化していく中で、車両一台に搭載されるECUの数は増加することが見込まれている。このECUの数の増加に伴って車載ネットワーク上の通信量も増加するため、CANの通信速度では限界がある。そこで、車載ネットワークの高速化を実現するための一手法として、インターネットなどに代表される一般の情報ネットワークとして既に実績のあるEthernet(登録商標)を車載ネットワークへ適用する動きがある。Ethernetでは、CANの100倍である100Mbpsの速度で通信が可能であり、また、帯域幅の拡張性及び柔軟性の観点からも、CANに置き換わって車載ネットワークに適用される技術として期待されている。
しかし、Ethernetを車載ネットワークへ適用した自動車は未だ発展途上であり、安全性及び導入コストの観点からも、CANからEthernetへの完全な移行は現時点では困難である。
そこで、CANからEthernetへの移行は段階的に進む、つまり、CANのネットワークとEthernetのネットワークとが一台の車両の車載ネットワークに混在する状況を経た後に、完全にEthernetに置き換わると考えられている。より高度な運転支援、及びその発展形ともいえる完全自動運転においては、車載ネットワークで取り扱うデータ量は膨大であり、その中で各種センサのデータ及び映像データなどのこの大量のデータを同時に並列で処理できなければならない。そこで車載ネットワークの中でも、カメラ、LIDARといったセンサからのセンシング情報、又はダイナミックマップの情報に代表される、膨大な情報を処理する必要がある情報系、安全系、運転支援(自動運転を含む、以下同じ)系に分類される車載機器が接続される部分からEthernetに置き換わり、次いで、安全性と信頼性の観点で、自動車において最も重要である、車両の走行、駆動をつかさどる制御系に分類される機器が接続される部分がEthernetに置き換わると想定される。
このような、CANのネットワークとEthernetのネットワークとが混在する環境では、プロトコルの異なる複数のネットワーク間でメッセージを中継するためのゲートウェイが必要となる。
例えば、特許文献1では、CANとは異なる他のプロトコルに従って通信を行う場合において、CANプロトコルと他のプロトコルとの間でプロトコル変換を行い、メッセージを中継するゲートウェイについて開示している。
また、完全自動運転の実現に向けては、自動車が最新の地図情報やリアルタイムに変化する周囲の情報を取得するために、クラウドサービスの情報を利用することが必要不可欠であり、外部ネットワークとの接続が必須である。そのため、常に、外部ネットワークからの不正アクセスなどのセキュリティの脅威にさらされることになるため、セキュリティ対策を行う必要がある。
例えば、特許文献2では、車載ネットワークに不正なメッセージを侵入させて誤動作させる攻撃を検知し防御する方法について開示している。CANのみを利用した車載ネットワークでは、含むデータの種類ごとに規定された周期的に送信されるメッセージが主に利用される。この点を利用して、規定された周期とは異なる周期でメッセージが送信された場合には不正であると判断し、不正の検出及び不正なデータ転送の防止を図っている。
特開2016−111477号公報 国際公開第2014/115455号
しかしながら、上記のようなより高度な運転支援に対応する車両の車載ネットワークでの異常検知では、車載ネットワークをサイバー攻撃の脅威から守るために、特許文献1又は2に開示される技術以上により確実に異常を検知することが求められる。
本発明は、異常をより確実に検知して車載ネットワークをサイバー攻撃の脅威から守る車載ネットワーク異常検知システム等を提供する。
本発明の一態様に係る車載ネットワーク異常検知システムは、第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムであって、前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信する第一通信部と、前記第一単位データの異常の有無の判定に用いられる異常判定ルールの情報を含む異常判定データベースと、前記異常判定ルールに基づいて前記第一単位データが異常を含むか否か判定する異常判定部と、前記異常判定部が前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出する単位データ変換部と、抽出された前記第二単位データを前記第二ネットワークに送出する第二通信部とを備え、前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、前記異常判定部は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して前記判定を行い、前記第一単位データが異常を含むと判定した場合、所定の異常対応処理を実行する。
また、本発明の一態様に係る車載ネットワーク異常検知方法は、第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムにおいて実行される異常検知方法であって、前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信し、前記第一単位データの異常の有無の判定に用いられる異常判定ルールを用いて前記第一単位データが異常を含むか否か判定し、前記判定の結果、前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出し、抽出された前記第二単位データを前記第二ネットワークに送出し、前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、前記異常を含むか否かの判定は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して行う。
なお、これらの包括的または具体的な態様は、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD−ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
本発明の車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法は、異常をより確実に検知して車載ネットワークをサイバー攻撃の脅威から守ることができる。
図1は、実施の形態における車載ネットワーク全体の構成図である。 図2は、実施の形態におけるEthernetパケットのフォーマットを示す図である。 図3は、実施の形態におけるCANフレームのフォーマットを示す図である。 図4は、実施の形態におけるEthernet−CANゲートウェイの構成図である。 図5は、実施の形態におけるEthernet−CAN変換部による処理の概要を示す図である。 図6は、実施の形態における各ECUが受信するCANフレームのCAN ID及びデータフィールドにおいて設定可能な値のリストの一例を示す図である。 図7は、実施の形態における情報系及び運転支援系の機器が命令を出す制御系ECUが受信するCANフレームのホワイトリストの一例を示す図である。 図8は、実施の形態における異常判定部が行う異常対応処理のリストの一例を示す図である。 図9は、実施の形態における異常判定部により送信元機器とCAN IDの値との組み合わせに基づいて異常があると判定された場合の処理リストの一例を示す図である。 図10は、実施の形態における異常判定部により、CAN IDに紐づけられたデータフィールドの値に基づいて異常があると判定された場合の処理リストを示す図である。 図11は、実施の形態におけるEthernet−CANゲートウェイの処理フローチャートである。
(本発明の基礎となった知見)
本発明者は、「背景技術」の欄において記載した車載ネットワークの異常検出のための技術に関し、以下の問題が生じることを見出した。
特許文献1は、異なるプロトコルが用いられるネットワーク間のメッセージを中継するゲートウェイにおいて、機器との通信バスの電圧、及び当該機器の通信周期の両方又は一方を監視し、監視の結果が異常である場合、その機器の正当性を判断する手法を開示する。
また、特許文献2は、不正なデータを侵入させて誤動作させる攻撃を検知し防御を目的として、ネットワークの周期情報に基づく不正の検出及び不正なデータ転送の防止の手法を開示する。
これらのネットワークとは、単一のプロトコルを利用した車載ネットワークが主に想定されている。この車載ネットワークでは、メッセージが周期的に送信されるため、規定された周期とは異なる周期でメッセージを受信した場合に不正が発生したと判断され、不正の検出及び不正なデータ転送の防止などの、攻撃に対する防御動作が行われている。
しかし、この手法では、通信周期に基づいて車載ネットワーク上の異常検出ができたとしても、不正なメッセージの送信元を断つことができず、異常が発生し続け得る。例えば車載ネットワークを構成する機器の計算資源が異常を含むデータの処理に追われると、運転支援に必要な大量のデータの処理が間に合わない事態が発生するおそれがある。このような事態の発生は、車両の安全上重大な問題である。
このような問題を解決するために、本発明の一態様に係る車載ネットワーク異常検知システムは、第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムであって、前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信する第一通信部と、前記第一単位データの異常の有無の判定に用いられる異常判定ルールの情報を含む異常判定データベースと、前記異常判定ルールに基づいて前記第一単位データが異常を含むか否か判定する異常判定部と、前記異常判定部が前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出する単位データ変換部と、抽出された前記第二単位データを前記第二ネットワークに送出する第二通信部とを備え、前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、前記異常判定部は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して前記判定を行い、前記第一単位データが異常を含むと判定した場合、所定の異常対応処理を実行する。
これにより、車載ネットワーク上のより確実な異常検知が可能になる。
例えば、前記複数の第一機器は、前記車載ネットワークを搭載する車両の走行経路又は前記車両の状況もしくは状態に基づく当該車両の運転支援のために、前記複数の第二機器のいずれかによる制御のための命令を示す前記第二単位データを前記第一単位データに含めて送出する機器を含み、前記異常判定ルールは、前記複数の第一機器の各々についての、仕様上、前記第一単位データに含めて送出し得る、前記命令を示す前記第二単位データが含む前記データ識別子の組み合わせに関するルールであってもよい。
また例えば、前記複数の第二機器は、前記第二通信部を経由して受信した、前記複数の第一機器のいずれかから送出された命令に従って、前記車載ネットワークを搭載する車両の運転支援のための制御を実行する制御装置を含み、前記複数の第一機器は前記車両のセンシング機器を含み、前記異常判定ルールは、前記センシング機器を示す前記送信元情報と、前記制御装置が受信する前記第二単位データが含む前記データ識別子との組み合わせは異常であると前記異常判定部に判定させるためのルールを含んでもよい。
これにより、仕様上は通信を行わない機器間の通信の発生が抑制される。その結果、車載ネットワーク上のより確実な異常検知が可能になる。
例えば、前記複数の第二機器は、前記第二通信部を経由して受信した、前記複数の第一機器のいずれかから送出された命令に従って、前記車載ネットワークを搭載する車両の運転支援のための制御を実行する制御装置を含み、前記第一単位データに含まれる前記第二単位データは、前記運転支援のための制御のパラメータをさらに含み、前記異常判定ルールは、前記複数の第二機器の各々について、仕様上受信する前記第二単位データが含む前記データ識別子と、前記パラメータの値との組み合わせに関するルールであってもよい。
これにより、車載ネットワーク上のより確実な異常検知が可能になる。
例えば、前記命令は、前記車両の加速、制動及び操舵のいずれかに関する命令であり、前記パラメータは、前記車両の加速、制動及び操舵のいずれかの制御に関するパラメータであってもよい。
これにより、より大きな事故につながる、車両の制御系の機器への攻撃の影響を防ぐことができる。
例えば、前記異常判定ルールは、前記組み合わせのうち仕様上異常でない組み合わせを示し、前記異常判定部は前記判定において、前記組み合わせが前記異常判定ルールに示されている場合に、前記第一単位データは異常を含まないと判定してもよい。
これにより、仕様上は通信を行わない機器間では、送信されたデータは転送されない。その結果、車両上での情報処理によって提供される機能を犠牲にすることなく、車載ネットワークのサイバー攻撃に対する安全性を高めることができる。
例えば、前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データを破棄してもよい。また例えば、前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データの送信元である第一機器を前記送信元情報に基づいて特定し、かつ、前記車載ネットワークを搭載する車両の運転支援のレベルを下げてもよい。
これにより、車載ネットワーク上での異常の影響、特に運転支援のレベルを下げることで制御系への攻撃の影響を防ぐことができる。また、速やかに運転者が退避のための運転を実行することもでき、交通事故の可能性を抑えることができる。
例えば、前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データの送信元である第一機器を前記送信元情報に基づいて特定し、かつ、特定した前記第一機器の前記車載ネットワークにおける通信を遮断してもよい。
これにより、異常の原因は車載ネットワークから排除され、安全な運転の継続が可能になる。
例えば、前記異常判定部は、前記所定の異常対応処理として前記判定の結果を出力し、前記車載ネットワークを搭載する車両がさらに備える、当該車両のユーザに情報を提示する情報提示部に、前記異常判定部が出力した前記判定の結果を送信することで、異常の発生を前記ユーザに通知する結果送信部を備えてもよい。また例えば、前記異常判定部は、前記所定の異常対応処理として前記判定の結果を出力し、前記異常判定部が出力した前記判定の結果を、前記車載ネットワークを搭載する車両の外部の通信ネットワークへ送信する結果送信部を備えてもよい。これにより、車載ネットワークで異常が発生したことの情報を、車両の運転者等のユーザが利用することができる。または、異常が発生した車両の周辺を走行する他の車両、路側機、又はSOC(Security Operation Center)で利用されてもよい。これにより、異常の発生した現場周辺で必要に応じてサイバー攻撃に対する対策を打つことができる。また、この情報を車両又は車両部品のメーカー等が利用して、同種の攻撃を未然に防ぐよう製品の改良又は開発に役立ててもよい。
また、本発明の一態様に係る車載ネットワーク異常検知方法は、第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムにおいて実行される異常検知方法であって、前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信し、前記第一単位データの異常の有無の判定に用いられる異常判定ルールを用いて前記第一単位データが異常を含むか否か判定し、前記判定の結果、前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出し、抽出された前記第二単位データを前記第二ネットワークに送出し、前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、前記異常を含むか否かの判定は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して行う。
なお、これらの包括的または具体的な態様は、集積回路、コンピュータプログラム又はコンピュータ読み取り可能なCD−ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム又は記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態について、図面を参照しながら具体的に説明する。以下で説明する実施の形態は、包括的または具体的な例を示すものである。実施の形態で示される数値、形状、材料、構成要素、構成要素の配置、位置関係及び接続形態、ステップ、ステップの順序などは一例であり、本発明を限定する趣旨ではない。また、実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に含み得る構成要素として説明される。
(実施の形態)
[システム構成]
図1は、実施の形態における車載ネットワークの全体構成図である。車両1に搭載される車載ネットワーク10は、Ethernetのプロトコルに従って構築されている一重の実線で示されるネットワークと、CANのプロトコルに従って構築されている二重の実線で示されるネットワークで構成される。本実施の形態において、Ethernetのプロトコルは第一のプロトコルの例であり、CANのプロトコルは第二のプロトコルの例である。
車載ネットワーク10を構成するセントラルゲートウェイ100には、Ethernet−CANゲートウェイ200と、テレマティクスコントロールユニット(Telematics Communication Unit、以下TCU)300と、情報系DCU(DCU:Domain Control Unit)400と、運転支援系DCU500が、Ethernetの通信線で接続される。
同じく車載ネットワーク10を構成するTCU300は、車両1が外部ネットワーク3を経由してクラウドサーバ2と通信するためユニットであり、本実施の形態では、例えば携帯電話網又はWi−Fi(登録商標)などの無線通信のための機器である。
同じく車載ネットワーク10を構成する情報系DCU400は、情報系の機器又はシステムであるIVI(In−Vehicle Infotainment)410とEthernetの通信線で接続され、運転者その他の乗員(以下、ユーザ)に映像及び音を用いて情報を提供する情報系ネットワークのドメイン管理を行う。IVIには、例えばカーナビゲーションシステムが含まれ、その他、映像及び音楽の再生機能、車両1の周囲の状況又は車両1の状態に関する情報を、運転者を含む車両1のユーザに提示する機能を提供するためのハードウェア及びソフトウェアが含まれ得る。
同じく車載ネットワーク10を構成する運転支援系DCU500には、ADAS(Advanced Driver−Assistance Systems)510と、LIDAR(Laser Imaging Detection and Ranging)520と、カメラ530と、DYNAMIC MAP540とが、Ethernetの通信線で接続されている。
ADAS510は、走行する車両1の内外の状況から、車線維持、自動駐車、又は他の交通体又は障害物の回避動作の実行に関する判断をして運転操作を支援するシステムである。
LIDAR520は車外の障害物を感知するため、カメラ530は車外の状況を撮影するために光検出をするセンサを備え、それぞれ本実施の形態におけるセンシング機器の例である。
DYNAMIC MAP540は、ダイナミックマップの受信や制御をする。
なお、情報系DCU400及びIVIを、以下ではまとめて、又はこれらのうち任意のいずれかを指して情報系機器ともいう場合がある。また、運転支援系DCU500、並びに運転支援系DCU500に接続されるADAS510、LIDAR520、カメラ530及びDYNAMIC MAP540を、以下ではまとめて、又はこれらのうち任意のいずれかを指して運転支援系機器ともいう場合がある。そして、これらの機器からは、車両1の走行経路又は車両1の状況もしくは状態に基づく運転支援のために、車両1の制御のための命令を示すデータをEthernetパケットに含めて送信することができる。
同じく車載ネットワーク10を構成するEthernet−CANゲートウェイ200は、車載ネットワーク10においてEthernetのネットワークとCANのネットワークとを中継する。Ethernet−CANゲートウェイ200には、ミラーECU210と、ウィンドウECU220と、ブレーキECU230と、アクセルECU240と、ステアリングECU250とがCANバスで接続される。
ミラーECU210は、車両1の電動ミラーの格納及び展開の動作を制御する。ウィンドウECU220は、車両1のウィンドウの開閉の動作を制御する。ブレーキECU230は、車両1の主ブレーキの動作を制御する。アクセルECU240は、車両1の加速のため動作を制御する。ステアリングECU250は、車両1の操舵のための動作を制御する。ミラーECU210、ウィンドウECU220、ブレーキECU230、アクセルECU240及びステアリングECU250は、それぞれ本実施の形態における制御機器の例であり、以下では制御系ECUともいう。
なお、セントラルゲートウェイ100、TCU300、情報系DCU400、運転支援系DCU500及びこれらの機器に接続される上述の各機器はEthernetプロトコルで通信する、本実施の形態における第一機器の例である。第一機器は、Ethernet−CANゲートウェイ200とも、直接又は間接にEthernetのプロトコルで通信する。そして、これらの第一機器が接続されるネットワークを、以下では第一ネットワークともいう。
また、Ethernet−CANゲートウェイ200とCANバスで接続されてCANのプロトコルで通信するミラーECU210、ウィンドウECU220、ブレーキECU230、アクセルECU240及びステアリングECU250は、本実施の形態における第二機器の例である。そして、これらの第二機器が接続されるネットワークを、以下では第二ネットワークともいう。
図2は、第一ネットワークで送受信されるEthernetパケットのデータフォーマットである。Ethernetパケットは先頭から順に、Ethernetヘッダと、IPヘッダと、TCPヘッダ又はUDPヘッダと、データから構成される。Ethernetヘッダは、あて先MACアドレスと、送信元MACアドレスと、タイプを含む。IPヘッダは、送信元IPアドレスと、あて先アドレスを含む。TCPヘッダ、UDPヘッダは、送信元ポート番号と、あて先ポート番号を含む。ここまでに述べた部分はEthernetパケットを送信する機器から受信する機器までの適切な送受信に関わる部分である。続くデータのフィールド(以下、(Ethernetパケットの)データフィールドという)には、例えばセンサが出力した、センシングの結果を示すセンシング情報、又は送信する機器から受信する機器に対する命令等を示すデータが含まれる。このようなEthernetパケットは、第一機器間の送受信の通信単位のデータであり、本実施の形態における第一単位データの例である。
図3は、第二ネットワークで送受信されるCANフレームのフォーマットを示す図である。CANフレームには、標準フォーマット及び拡張フォーマットの2種類が存在し、本実施の形態は示す技術は、標準フォーマットでも拡張フォーマットでも利用可能である。以下では標準フォーマットを例に用いて説明する。
標準フォーマットのCANフレームは先頭から順に、SOF(Start of Frame)、ID、RTR(Remote Transmission Request)、コントロールフィールド、データフィールド、CRC(Cyclic Redundency Check)シーケンス及びCRCデリミタ、ACK(ACKnowledgement)スロット及びACKデリミタ、並びにEOF(End of Frame)のスロットで構成される。図3には、各スロットの長さ(ビット長)も示している。また、上下の実線は、各スロットでCANバスがとり得る状態(リセッシブ/ドミナント)を示している。Ethernetパケットにおけるデータフィールドの内容に相当するデータは、CANフレームのデータフィールドに含まれる。また、この内容の種類は、IDのスロットの値で示される。このようなCANフレームは、第二機器間の送受信の通信単位のデータであり、本実施の形態における第二単位データの例である。また、IDは、データフィールドのデータの種類に関しての第二単位データの識別子であり、本実施の形態におけるデータ識別子の例である。
図4は、Ethernet−CANゲートウェイ200の構成図である。Ethernet−CANゲートウェイ200は、Ethernetパケット送受信部201と、異常判定部202と、異常判定データベース203と、Ethernet−CAN変換部204と、結果送信部205と、CANフレーム送受信部206とを備える。
Ethernet−CANゲートウェイ200は、Ethernetパケット送受信部201が受信したEthernetパケットにパッキングされたCANフレームを抽出し、CANフレーム送受信部206からCANバスへ送出することでEthernetのネットワークからCANのネットワークへデータを転送する。また、CANフレーム送受信部206が受信したCANフレームをEthernetパケットにパッキングして、Ethernetパケット送受信部201からEthernetの通信線へ送出することでCANのネットワークからEthernetのネットワークへデータを転送する。
図5は、Ethernet−CANゲートウェイ200において、Ethernet−CAN変換部204が1つのEthernetパケットから複数のCANフレームを抽出し、抽出したCANフレームを送出する処理の概要を示す図である。
上述したように、Ethernet−CANゲートウェイ200では、Ethernetネットワークに接続される情報系機器又は運転支援系機器のいずれから送信されたEthernetパケットが、Ethernetパケット送受信部201によって受信される。情報系機器又は運転支援系機器は、このEthernetパケット(第一単位データ)のデータフィールドにCANフレーム(第二単位データ)を含めて送信している。図5の例では、n個のCANフレームがEthernetパケットのデータフィールドに含められている。これらのCANフレームの中には、CANネットワークに接続される機器に対する命令をデータフィールドに含むものもある。Ethernetパケット送受信部201によって受信されたEthernetパケットのデータフィールドに含まれるn個の連結されたCANフレームが抽出される。抽出されたn個の連結されたCANフレームは、CANフレーム送受信部206によって個別にCANバスへ送出される。これらの一連の処理のうち、EthernetパケットのデータフィールドからCANフレームを抽出するのがEthernet−CAN変換部204である。
異常判定データベース203は、車載ネットワーク10で送受信されるデータが不正なデータであるか否か、つまり異常なデータを含むか否かを判定するためのルール(以下、異常判定ルールともいう)を示す。
異常判定部202及び結果送信部205については後述する。
図6は、CANバスに接続された各制御系ECUが仕様上受信するCANフレームのCAN ID、及び受信するCANフレームのデータフィールドに、仕様上、設定可能な値(パラメータの値)のリストの一例である。ここでいう仕様とは、例えば車両1又は車載ネットワーク10の設計者によって、CANネットワーク全体の動作を考慮して決定される。このリストは異常判定データベース203に含まれ、異常判定ルールの基である情報の一部を含む。
この例では、ミラーECU210はCAN IDが10のCANフレームを受信する。CAN IDが10のCANフレームのデータフィールドにおいて仕様上設定可能なパラメータの値は、1000及び1001である。値1000はミラーの格納を意味し、値1001は、ミラーの展開を意味する。
ウィンドウECU220は、CAN IDが20のCANフレームを受信する。CAN IDが20のCANフレームのデータフィールドにおいて仕様上設定可能なパラメータの値は、2000〜2010である。値2000は、ある窓の全閉を意味し、値2001〜2009は、この窓の段階的な開状態(ウィンドウの開き具合の大小)、値2010は、この窓の全開を意味する。
ブレーキECU230は、CAN IDが30のCANフレームを受信する。CAN IDが30のCANフレームのデータフィールドに仕様上含まれ得るパラメータの値は、3000及び3001である。値3000はブレーキ制御ONを意味し、値3001はブレーキ制御OFFを意味する。
アクセルECU240は、CAN IDが40のCANフレームを受信する。CAN IDが30のCANフレームのデータフィールドにおいて仕様上設定可能なパラメータの値は、4000〜4200である。これらの値は車速を示しており、例えば値4000は0km/hを意味し、値4200は200km/hを意味する。
ステアリングECU250は、CAN IDが50のCANフレームを受信する。CAN IDが50のCANフレームのデータフィールドに仕様上含まれ得るパラメータの値は、5000〜5600である。これらの値はステアリングの回転角の大きさを示しており、例えば5000は左方向に最大角、5300はセンター(回転角はゼロ)、5600は右方向に最大角を意味する。
図7は、Ethernetネットワークに接続された情報系又は運転支援系の各機器のIPアドレスと、これらの各機器が仕様上制御のために送信する命令を受信する制御系ECUが受信するCANフレームのCAN IDとの組み合わせを示したリストの一例である。つまりこのリストは、車載ネットワーク10において、情報系機器又は運転支援系機器から制御系機器に送信される命令を示すデータであって不正でないものを並べたホワイトリストの一例である。このリストもまた異常判定データベース203に含まれ、異常判定ルールの基である情報の一部を含む。
このリストによれば、例えばIVI410は、IPアドレスが192.168.0.2である。また、IVI410が仕様上制御のために送信するCANフレームのCAN IDは、10及び20である。つまり、図6の表とあわせて参照すると、IVI410が仕様上送信する命令を受信する制御系ECUは、ミラーECU210及びウィンドウECU220である。ここで、IVI410が、その他のECU(つまり、ブレーキECU230、アクセルECU240、ステアリングECU250)に命令を送信することは、仕様上無いものとする。別の表現をすると、車載ネットワーク10の仕様によれば、IVI410が制御のための命令を与える対象の機器は、ミラーECU210及びウィンドウECU220に限定されている。
ADAS510は、IPアドレスが192.168.0.3である。また、ADAS510が仕様上制御のために送信するCANフレームのCAN IDは、30、40及び50である。つまり、図6の表とあわせて参照すると、ADAS510が仕様上送信する命令を受信する制御系ECUは、ブレーキECU230、アクセルECU240、及びステアリングECU250である。ここで、ADAS510が、その他のECU(つまり、ミラーECU210及びウィンドウECU220)に命令を送信することは、仕様上無いものとする。
LIDAR520は、IPアドレスが192.168.0.4であり、カメラ530は、IPアドレスが192.168.0.5であり、DYNAMIC MAP540は、IPアドレスが192.168.0.6である。これらの運転支援系の機器は、制御系ECUのいずれにも制御のための命令を直接送信することは仕様上無いものとする。つまり、例えばLIDAR又はカメラのようなセンシング機器は、車載ネットワーク10にセンシングの結果のデータを送出することはあるが、何らかの判断をしてその判断に基づいて制御系機器に命令を送出することは仕様上発生しないとするものである。
異常判定部202は、Ethernetパケット送受信部201が受信したEthernetパケットが異常を含むか否かを、上記の異常判定ルールに基づいて判定する。図8は、Ethernet−CANゲートウェイ200において、異常判定部202が、異常判定データベース203が含む異常判定ルールに基づいて、Ethernetパケットが異常を含むと判定した場合に行う処理(以下、異常対応処理ともいう)の例を示す。処理No.1は、Ethernetパケットが異常を含むこと、つまり異常の発生を結果送信部205に通知する処理である。処理No.2は、異常を含むと判定したEthernetパケットを破棄する処理である。処理No.3は、送信元の情報系又は運転支援系機器からの通信を遮断する処理である。処理No.4は、自動運転モードを停止し、手動運転モードに切り替えの指示を結果送信部へ通知する処理である。
図9は、異常判定部202により送信元の情報系又は運転支援系の機器が指定した、つまりEthernetパケットのデータフィールドに含まれるCANフレーム内のCAN IDの値に関する異常があると判定された場合の処理リストの一例である。
例えば送信元機器がIVI410の場合、図7のホワイトリストにより、制御の命令を受け取る制御系ECUは、ミラーECU210と、ウィンドウECU220である。したがって、IVI410が送信するEthernetパケットに含まれるCANフレームのCAN IDが10又は20である場合、異常判定部202は正常であると判定し、正常時の所定の処理、例えば抽出したCANフレームのCANネットワークへの送出を行う。一方、IVI410は、ブレーキECU230、アクセルECU240又はステアリングECU250に対する命令を送信することは仕様上あり得ない。したがって、Ethernetパケットのデータフィールドに含まれるCANフレームのCAN IDが30、40又は50である場合、異常判定部202は、当該Ethernetパケットは異常を含むデータであると判定し、図8の処理IDに従って異常対応処理を実行する。例えばIVI410が送信したEthernetパケットに含まれるCANパケットのCAN IDが、仕様上ブレーキECU230のみが受信するCANフレームのCAN IDである「30」である場合、異常判定部202はこの判定結果の結果送信部への通知(処理No.1)、当該Ethernetパケットの破棄(処理No.2)、及び当該Ethernetパケットに含まれる送信元情報(例えばIPアドレス)から当該Ethernetパケットの送信元である機器を特定しての、及び当該機器からの通信の遮断(処理No.3)の異常対応処理を実行する。また例えば、アクセルECU240のみが受信するCANパケットのCAN IDである「40」が指定されていた場合、判定結果の結果送信部への通知(処理No.1)、当該Ethernetパケットの破棄(処理No.2)、当該Ethernetパケットに含まれる送信元情報から特定した送信元である機器からの通信の遮断(処理No.3)、及び自動運転モードを停止し、手動運転モードに切り替える命令を結果送信部へ通知する(処理No.4)異常対応処理を実行する。送信元機器がADAS510、LIDAR520、カメラ530、又はDYNAMIC MAP540である場合も同様に、図9に示すテーブルに示される、Ethernetパケットの異常の有無の判定の結果に応じた正常処理又は異常対応処理のいずれかが実行される。このテーブルもまた異常判定データベース203に含まれ、異常判定ルールの情報の一部を含む。
図10は、異常判定部202が、異常判定データベース203に含まれる情報が示す異常判定ルールに基づいて、CAN IDに対応するデータフィールドの値が異常判定された場合の処理リストの一例である。異常判定部202は、受信したEthernetパケットに含まれるn個のCANフレームを順番、またはランダムに選択する一部を対象として、データフィールドに含むパラメータの値に関する異常の有無について判定する。
CAN IDが10(ミラーECU210が受信するCANフレーム)、または、20(ウィンドウECU220が受信するCANフレーム)の場合において、異常判定部202は、データフィールドの値が、図6のリストに示した値とは異なる値が設定されていたときに異常と判定し、判定結果を結果送信部へ送信し(処理No.1)、当該Ethernetパケットを破棄する(処理No.2)。ただし、ミラーECU210及びウィンドウECU220は、異常なデータが原因で誤動作した場合でも、重大事故に繋がる可能性は低いと判断し、重要度は低と規定されている。
CAN IDが30(ブレーキECU230が受信するCANフレーム)の場合において、異常判定部202は、データフィールドの値が、図6のリストに示した値とは異なる値が設定されていたときに異常と判定し、判定結果を結果送信部への送信(処理No.1)、及び当該Ethernetパケットの破棄(処理No.2)の異常対応処理を実行する。また、異常判定部202はこれらの処理に加えて、当該Ethernetパケットに含まれる送信元情報から、送信元である機器を特定し、特定したこの機器からの通信を遮断する(処理No.3)異常対応処理を実行する。ただし、異常なデータが原因でブレーキECU230が誤動作した場合は、運転支援が阻害されて運転の安全性が損なわれる可能性があるため、重要度は中と規定されている。
CAN IDが40(アクセルECU240が受信するCANフレーム)、または50(ステアリングECU250が受信するCANフレーム)の場合において、異常判定部202は、データフィールドの値が、図6のリストに示した値とは異なる値が設定されていたときに異常と判定し、判定結果を結果送信部への送信(処理No.1)、当該Ethernetパケットの破棄(処理No.2)、及び当該Ethernetパケットに含まれる送信元情報から特定した送信元である機器からの通信の遮断(処理No.3)の異常対応処理を実行する。また、異常判定部202はこれらの処理に加えて、自動運転モードを停止し、手動運転モードに切り替えの命令を結果送信部へ通知する(処理No.4)。アクセルECU240又はステアリングECU250が不正に制御された場合は重大事故に繋がる可能性が高いため、重要度は高と規定されている。
このように用いられる図10の処理リストもまた異常判定データベース203に含まれ、異常判定ルールの情報の一部を含む。
以下では、Ethernet−CANゲートウェイ200が上記の異常判定データベース203に含まれる情報を用いて行う処理の手順を、具体的な例を用いて説明する。
[異常の判定から異常対応までの処理手順]
図11は、本実施の形態におけるEthernet−CANゲートウェイ200がEthernetパケットを受信し、異常の有無を判定した上で、その判定の結果に応じて行う処理までの手順例のフローチャートである。
(S1100)Ethernetパケット送受信部201が、情報系機器又は運転支援系機器がEthernetネットワークに送出したEthernetパケットを受信する。
(S1101)異常判定部202が、Ethernetパケットに含まれる送信元情報と、当該Ethernetパケットのデータフィールドに含まれる各CANフレームのCAN IDとの組み合わせをチェックする。
(S1102)このチェックにおいて異常判定部202は、上記の送信元情報とCAN IDとの組み合わせと、図7のホワイトリストに含まれる情報とを比較して、データフィールドに含まれるCAN IDが、仕様上、送信元情報が示す送信元の機器の制御対象の機器が受信するCANフレームのCAN IDであるか否かチェックする。
(S1103)S1102の結果、送信元の機器が、仕様上制御を指示することは無い制御系ECUが受信するCAN IDであった場合、つまり、送信元情報とCAN IDとの組み合わせが図7のホワイトリストにない場合、当該Ethernetパケットは異常を含むと判定し、図9の処理リストに従って図8に示される異常対応処理を実行する。
(S1104)S1102の結果、正常と判定した場合、次に異常判定部202は、Ethernetパケットに含まれる各CANフレームのCAN IDとデータフィールドの値との組み合わせをチェックする。このデータフィールドの値は、例えば受信した制御系ECUによる制御のパラメータの値である。
(S1105)このチェックにおいて異常判定部202は、CAN IDとパラメータの値との組み合わせと、図6のリストに含まれる該当のCAN IDと設定可能値との組み合わせとを比較して、CAN IDに対して、データフィールドの値が設定可能値又はその範囲に含まれているかをチェックする。
(S1106)S1105の結果、CANフレームに含まれるデータフィールドの値が、該当のCAN IDに対して設定可能値でない場合、当該CANフレームを含む当該Ethernetパケットは異常を含むと判定し、図10の処理リストに従って図8に示される異常対応処理を実行する。
(S1107)S1105の結果、正常と判定された場合、Ethernet−CAN変換部204が当該EthernetパケットからCANフレームを抽出する。そして抽出されたCANフレームが、CANフレーム送受信部206からCANバスへ送信される。
(実施の形態の効果)
上記の実施の形態では、CANネットワークとEthernetネットワークとが混在する車載ネットワークにおいて、Ethernet−CANゲートウェイで両プロトコルの特性を活かして不正なメッセージが検知される。本構成によって、例えば攻撃者がEthernetネットワークに接続されるECU等の機器又はシステムを乗っ取り、車載ネットワークで利用されるメッセージの中身を書き換えることで、不正に制御系ECUを操作するといったサイバー攻撃などを検知して、重大事故を未然に防ぐことができる。また、その送信元の機器を特定してその機器からの通信を遮断できるため、車載ネットワークがセキュリティの脅威に晒されたり、高負荷であったりする状態が長く持続することを防ぐことができる。このようなEthernet−CANゲートウェイは、上記の実施の形態における車載ネットワーク異常検知システムの例である。
(その他変形例)
なお、一つ又は複数の態様に係る車載ネットワーク異常検知システムについて説明してきたが、本発明は、上記実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、実施の形態及びその各種の変形における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。以下には、上記の実施の形態の変形の例を挙げる。
(1)上記実施の形態では、異常判定部がEthernet−CANゲートウェイの中に構成されているが、これは本発明における車載ネットワーク異常検知システムの一態様であり、異常判定部の場所はEthernet−CANゲートウェイに限定されない。異常判定部は、車載ネットワーク上でデータを中継する任意の装置に構成されてもよく、例えばEthernet Switch、セントラルゲートウェイ、各ドメインのDCUなどに構成されてもよい。
(2)上記実施の形態では、異常判定データベースはホワイトリスト方式としているが、異常判定データベースのリストと合致する場合は異常と判定する、ブラックリスト方式であってもよい。また、ホワイトリスト方式、ブラックリスト方式の両方のデータベースが利用されてもよい。
(3)上記実施の形態では、異常判定データベースに含まれる情報に基づく異常判定ルールと合致しない場合は異常があると判定されているが、これに限定されない。合致しない場合、例えば判定の結果をログとして保存するとしてもよい。また、合致しない場合、異常判定結果を結果送信部へ通知するとしているが、この通知は実行されなくてもよい。さらに、異常判定データベースに含まれるエントリごとに、異常判定を実行する、若しくはしない、又は異常判定以外の処理を実行する、といったアクションの切り替えが可能なように、異常判定データベースに対応アクションの項目を保持してもよい。例えば、特定のエントリについては、異常判定部による判定の実行後、さらに判定結果を常にログとして保存するとしてもよい。また例えば、異常判定部は判定結果を結果送信部に通知し、結果送信部はこの判定結果をTCUに転送して、TCUから常にクラウドサーバ上へ送信する、としてもよい。
(4)上記実施の形態では、異常対応処理のうち、運転支援の機能に関するものとして、自動運転モードの停止及び手動運転モードへの切替が例示されるが、これに限定されない。異常対応処理として、車両で実行中の運転支援のレベルを下げる(手動運転のレベルを上げる)処理が実行されればよい。例えば、追突防止機能及び車線維持支援機能は維持するが、車線変更支援機能等の加速制御が実行され得る機能は停止する、といったように、運転支援の機能の一部を無効にしてもよい。また別の例として、いったんは自動運転によって強制的に減速して車両を安全な場所に停止させてもよい。
(5)また、上記実施の形態では異常を含むEthernetパケットの送信元機器の通信を遮断する手法を具体的に示していないが、特に限定されるものではない。当該送信元機器の送受信機能が無効にされるのみでもよいし、当該送信元機器をシャットダウンさせてもよい。または、当該送信元機器がいずれかのドメインに属する場合に、車載ネットワークのその他の部分への流出を防ぐために、当該ドメインのDCUに、当該送信元機器から受信したデータをすべて破棄させてもよい。
(6)また、異常対応処理として、ユーザに判定の結果が通知されてもよい。例えば異常判定部は、判定の結果を出力して結果送信部に通知する。そして結果送信部が、この通知された判定の結果をIVIに送信すると、IVIを介してユーザに当該判定の結果が通知されてもよい。IVIは、この例における車両の情報提示部であり、他の例として、判定の結果は計器盤を介してユーザに通知されてもよい。また、判定の結果には、異常の有無のみならず、異常なデータの送信元機器、影響を受ける受信側の機器、又はこれらの機器を含む系統の情報が含まれてもよい。また、上記のように運転支援の機能が制限される場合には、制限される機能等の情報がさらにユーザに通知されてもよい。
(7)結果送信部からTCUを介しての判定結果は、V2X(Vehicle−to−Everything)によって周辺の他車へ、又はV2I(Vehicle−to−Infrastracture)によって、信号機又は道路標識などの交通基盤設備へ送信されてもよい。
(8)上記実施の形態では、情報系及び運転制御系の機器が仕様上制御を命令する制御系ECUの特定に、異常判定データベースに含まれる情報が用いられているがこれに限定されない。る制御系ECUの特定、例えば各機能の仕様に基づいて、各機能がネットワーク通信を行う際の正常時の動作から決定してもよい。また、あらかじめ決められた仕様に基づくのみならず、ユーザ設定に従って特定されてもよい。
(9)上記実施の形態における異常判定データベースに含まれる各種のリスト等のデータは一例であり限定的なものではない。例えば、異常判定データベースで扱うデータの種類の項目は、Ethernet AVBにおけるIEEE1722フレームに含まれるストリームIDであったり、車載ネットワークに接続される機器固有の値などであったりしてもよい。
(10)上記実施の形態では、運転支援系DCU500がCANバスと直接は接続されていないが、CANバスと直接に接続されてもよい。この場合、Ethernet−CANゲートウェイが運転支援系DCUに含まれ、運転支援系DCUがEthernetパケットとCANフレームとの変換、及びEthernetパケットの異常判定を行ってもよい。そして、異常を含まないと判定されたEthernetパケットが含む制御系ECUへの命令のCANフレームが、運転支援系DCUから直接CANバスに送信されてもよい。
(11)上記実施の形態は、EthernetネットワークとCANネットワークが混在するネットワーク環境を例に説明したが、これに限定されない。例えばEthernetに代えてMOST(Media Oriented Systems Transport)又はFlexRayのプロトコルが適用されているネットワークであっても本発明に係る技術は適用できる。また、CANネットワークに代えて、LIN(Local Interconnect Network)が適用されているネットワークであっても本発明に係る技術は適用できる。
(12)上記の実施の形態における各機器は、具体的には、マイクロプロセッサ及びROM、RAM又はハードディスクユニット等の記憶装置等で構成されるコンピュータシステムである。記憶装置には、コンピュータプログラムが記録されている。マイクロプロセッサが、このコンピュータプログラムに従って動作することにより、各機器はその機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
本発明にかかる車載ネットワーク異常検知システムを、車載ネットワーク上に配置することで、不正アクセスなどのサイバー攻撃から車載ネットワークをより確実に守り、より高い安全性が確保された車両の開発に貢献する。
1 車両
2 クラウドサーバ
3 外部ネットワーク
10 車載ネットワーク
100 セントラルゲートウェイ
200 Ethernet−CANゲートウェイ(車載ネットワーク異常検知システム)
201 Ethernetパケット送受信部(第一通信部)
202 異常判定部
203 異常判定データベース
204 Ethernet−CAN変換部(単位データ変換部)
205 結果送信部
206 CANフレーム送受信部(第二通信部)
210 ミラーECU
220 ウィンドウECU
230 ブレーキECU
240 アクセルECU
250 ステアリングECU
300 TCU
400 情報系DCU
410 IVI
500 運転支援系DCU
510 ADAS
520 LIDAR
530 カメラ
540 DYNAMIC MAP

Claims (12)

  1. 第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムであって、
    前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信する第一通信部と、
    前記第一単位データの異常の有無の判定に用いられる異常判定ルールの情報を含む異常判定データベースと、
    前記異常判定ルールに基づいて前記第一単位データが異常を含むか否か判定する異常判定部と、
    前記異常判定部が前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出する単位データ変換部と、
    抽出された前記第二単位データを前記第二ネットワークに送出する第二通信部とを備え、
    前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、
    前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、
    前記異常判定部は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して前記判定を行い、前記第一単位データが異常を含むと判定した場合、所定の異常対応処理を実行する
    車載ネットワーク異常検知システム。
  2. 前記複数の第一機器は、前記車載ネットワークを搭載する車両の走行経路又は前記車両の状況もしくは状態に基づく当該車両の運転支援のために、前記複数の第二機器のいずれかによる制御のための命令を示す前記第二単位データを前記第一単位データに含めて送出する機器を含み、
    前記異常判定ルールは、前記複数の第一機器の各々についての、仕様上、前記第一単位データに含めて送出し得る、前記命令を示す前記第二単位データが含む前記データ識別子の組み合わせに関するルールである
    請求項1に記載の車載ネットワーク異常検知システム。
  3. 前記複数の第二機器は、前記第二通信部を経由して受信した、前記複数の第一機器のいずれかから送出された命令に従って、前記車載ネットワークを搭載する車両の運転支援のための制御を実行する制御装置を含み、
    前記複数の第一機器は前記車両のセンシング機器を含み、
    前記異常判定ルールは、前記センシング機器を示す前記送信元情報と、前記制御装置が受信する前記第二単位データが含む前記データ識別子との組み合わせは異常であると前記異常判定部に判定させるためのルールを含む
    請求項1に記載の車載ネットワーク異常検知システム。
  4. 前記複数の第二機器は、前記第二通信部を経由して受信した、前記複数の第一機器のいずれかから送出された命令に従って、前記車載ネットワークを搭載する車両の運転支援のための制御を実行する制御装置を含み、
    前記第一単位データに含まれる前記第二単位データは、前記運転支援のための制御のパラメータをさらに含み、
    前記異常判定ルールは、前記複数の第二機器の各々について、仕様上受信する前記第二単位データが含む前記データ識別子と、前記パラメータの値との組み合わせに関するルールである
    請求項1に記載の車載ネットワーク異常検知システム。
  5. 前記命令は、前記車両の加速、制動及び操舵のいずれかに関する命令であり、
    前記パラメータは、前記車両の加速、制動及び操舵のいずれかの制御に関するパラメータである
    請求項4に記載の車載ネットワーク異常検知システム。
  6. 前記異常判定ルールは、前記組み合わせのうち仕様上異常でない組み合わせを示し、
    前記異常判定部は前記判定において、前記組み合わせが前記異常判定ルールに示されている場合に、前記第一単位データは異常を含まないと判定する
    請求項1に記載の車載ネットワーク異常検知システム。
  7. 前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データを破棄する
    請求項1に記載の車載ネットワーク異常検知システム。
  8. 前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データの送信元である第一機器を前記送信元情報に基づいて特定し、かつ、前記車載ネットワークを搭載する車両の運転支援のレベルを下げる
    請求項1に記載の車載ネットワーク異常検知システム。
  9. 前記異常判定部は、前記所定の異常対応処理として、異常を含むと判定された前記第一単位データの送信元である第一機器を前記送信元情報に基づいて特定し、かつ、特定した前記第一機器の前記車載ネットワークにおける通信を遮断する
    請求項1に記載の車載ネットワーク異常検知システム。
  10. 前記異常判定部は、前記所定の異常対応処理として前記判定の結果を出力し、
    前記車載ネットワークを搭載する車両がさらに備える、当該車両のユーザに情報を提示する情報提示部に、前記異常判定部が出力した前記判定の結果を送信することで、異常の発生を前記ユーザに通知する結果送信部を備える
    請求項1に記載の車載ネットワーク異常検知システム。
  11. 前記異常判定部は、前記所定の異常対応処理として前記判定の結果を出力し、
    前記異常判定部が出力した前記判定の結果を、前記車載ネットワークを搭載する車両の外部の通信ネットワークへ送信する結果送信部を備える
    請求項1に記載の車載ネットワーク異常検知システム。
  12. 第一プロトコルで通信する複数の第一機器が接続される第一ネットワーク及び前記第一プロトコルと異なる第二プロトコルで通信する複数の第二機器が接続される第二ネットワークを含む車載ネットワーク上に配置され、前記車載ネットワークで通信されるデータの異常の有無を判定する車載ネットワーク異常検知システムにおいて実行される異常検知方法であって、
    前記複数の第一機器が送信する前記第一プロトコルでの通信単位データである第一単位データを前記第一ネットワークから受信し、
    前記第一単位データの異常の有無の判定に用いられる異常判定ルールを用いて前記第一単位データが異常を含むか否か判定し、
    前記判定の結果、前記第一単位データが異常を含まないと判定した場合、前記第一単位データから、前記第一単位データのデータフィールドに含まれる前記第二プロトコルでの通信単位データである第二単位データを抽出し、
    抽出された前記第二単位データを前記第二ネットワークに送出し、
    前記第一単位データは、前記複数の第一機器のうち、当該第一単位データの送信元である第一機器を示す送信元情報を含み、
    前記第一単位データに含まれる前記第二単位データは、当該第二単位データの識別子であるデータ識別子を含み、
    前記異常を含むか否かの判定は、前記送信元情報と前記データ識別子との組み合わせを前記異常判定ルールと比較して行う
    車載ネットワーク異常検知方法。
JP2019559683A 2017-12-15 2018-12-12 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法 Active JP7071998B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017240759 2017-12-15
JP2017240759 2017-12-15
PCT/JP2018/045619 WO2019117184A1 (ja) 2017-12-15 2018-12-12 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法

Publications (2)

Publication Number Publication Date
JPWO2019117184A1 true JPWO2019117184A1 (ja) 2020-10-22
JP7071998B2 JP7071998B2 (ja) 2022-05-19

Family

ID=66819017

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019559683A Active JP7071998B2 (ja) 2017-12-15 2018-12-12 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法

Country Status (5)

Country Link
US (1) US11438355B2 (ja)
EP (1) EP3726782B1 (ja)
JP (1) JP7071998B2 (ja)
CN (1) CN111448783B (ja)
WO (1) WO2019117184A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4106298B1 (en) * 2018-01-22 2023-11-29 Panasonic Intellectual Property Corporation of America Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method
DE112019000485T5 (de) * 2018-01-23 2020-10-22 Hyundai Motor Company System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
KR102699146B1 (ko) * 2018-12-14 2024-08-27 현대자동차주식회사 게이트웨이 프로세서, 그 제어 로직, 프로그램 및 기록매체
CN113994641A (zh) * 2019-06-25 2022-01-28 马维尔亚洲私人有限公司 具有异常检测的汽车网络交换机
US11621970B2 (en) * 2019-09-13 2023-04-04 Is5 Communications, Inc. Machine learning based intrusion detection system for mission critical systems
JP7247875B2 (ja) * 2019-12-06 2023-03-29 株式会社オートネットワーク技術研究所 判定装置、判定プログラム及び判定方法
WO2021144858A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知システム、異常検知装置、及び異常検知方法
JP7420623B2 (ja) * 2020-03-30 2024-01-23 矢崎総業株式会社 車載通信システム及び通信制御方法
WO2021240662A1 (ja) * 2020-05-26 2021-12-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置、異常検知システムおよび異常検知方法
CN112039898A (zh) * 2020-09-01 2020-12-04 广州小鹏汽车科技有限公司 加密通信方法、加密通信装置和车辆
WO2022059328A1 (ja) * 2020-09-17 2022-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 検知システム、検知方法、および、プログラム
CN112997467B (zh) * 2020-09-18 2022-08-19 华为技术有限公司 入侵监控系统、方法及相关产品
EP4231595A4 (en) * 2020-10-19 2023-11-15 Nissan Motor Co., Ltd. RELAY DEVICE, COMMUNICATION NETWORK SYSTEM, AND COMMUNICATION CONTROL METHOD
KR102480506B1 (ko) * 2020-10-21 2022-12-22 현대모비스 주식회사 차량정보에 기반한 hud 보호모드 해제 장치 및 방법
CN115223273B (zh) * 2021-04-21 2024-02-23 广州汽车集团股份有限公司 Tcu数据监控方法、装置、终端设备及存储介质
JP2022175060A (ja) * 2021-05-12 2022-11-25 株式会社日立製作所 移動体管制システム、攻撃通知方法
US11887409B2 (en) * 2021-05-19 2024-01-30 Pony Al Inc. Device health code broadcasting on mixed vehicle communication networks
CN113890824A (zh) * 2021-10-21 2022-01-04 北京天融信网络安全技术有限公司 网络加速方法、装置、网关设备及计算机可读存储介质
WO2023095258A1 (ja) * 2021-11-25 2023-06-01 日本電信電話株式会社 監視装置、監視方法、および、監視プログラム
CN115158194A (zh) * 2022-07-01 2022-10-11 锦图计算技术(深圳)有限公司 基于Linux系统的智能汽车安全网关系统及其通信方法
JP2024011955A (ja) * 2022-07-15 2024-01-25 キヤノン株式会社 通知装置、通知方法
CN115052023A (zh) * 2022-08-15 2022-09-13 理工雷科智途(北京)科技有限公司 一种高级辅助驾驶系统数据传输方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013187555A (ja) * 2012-03-05 2013-09-19 Auto Network Gijutsu Kenkyusho:Kk 通信システム
JP2015114907A (ja) * 2013-12-12 2015-06-22 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
JP2017112590A (ja) * 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
WO2017203906A1 (ja) * 2016-05-27 2017-11-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ネットワークハブ、転送方法及び車載ネットワークシステム
JP2017212726A (ja) * 2016-05-27 2017-11-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 電子制御ユニット、フレーム生成方法及びプログラム

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9215168B2 (en) * 2012-07-23 2015-12-15 Broadcom Corporation Controller area network communications using ethernet
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
JP6069039B2 (ja) * 2013-03-11 2017-01-25 日立オートモティブシステムズ株式会社 ゲートウェイ装置及びサービス提供システム
US9809169B1 (en) * 2013-03-15 2017-11-07 Mouhamad A. Naboulsi Safety control system for vehicles
JP6318483B2 (ja) * 2013-06-28 2018-05-09 株式会社デンソー 電子装置の製造方法および限界値設定装置
US9827992B2 (en) * 2014-03-19 2017-11-28 Ford Global Technologies, Llc Driver anomaly detection
JP6024696B2 (ja) * 2014-03-27 2016-11-16 株式会社デンソー 通信装置
JP6408832B2 (ja) * 2014-08-27 2018-10-17 ルネサスエレクトロニクス株式会社 制御システム、中継装置、及び制御方法
JP2016111477A (ja) 2014-12-04 2016-06-20 トヨタ自動車株式会社 通信システム、及びゲートウェイ
JP6485049B2 (ja) * 2015-01-09 2019-03-20 株式会社デンソー 車載機、車載機診断システム
US10291506B2 (en) * 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
EP3331732B1 (en) * 2015-08-06 2021-07-14 Red Bend Ltd. Can bus communication regulation
KR102294634B1 (ko) * 2015-08-12 2021-08-26 현대자동차주식회사 네트워크에서 통신 노드의 동작 방법
US20170072876A1 (en) * 2015-09-14 2017-03-16 Broadcom Corporation Hardware-Accelerated Protocol Conversion in an Automotive Gateway Controller
US10158658B1 (en) * 2015-12-04 2018-12-18 Amazon Technologies, Inc. System for determining network anomalies
CN107111716B (zh) * 2015-12-14 2022-03-29 松下电器(美国)知识产权公司 评价装置、评价系统以及评价方法
US10308246B1 (en) * 2016-01-22 2019-06-04 State Farm Mutual Automobile Insurance Company Autonomous vehicle signal control
JP6962697B2 (ja) * 2016-05-27 2021-11-05 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ネットワークハブ、転送方法及び車載ネットワークシステム
JP6783174B2 (ja) 2016-05-27 2020-11-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ネットワークハブ、転送方法及び車載ネットワークシステム
CN106515706A (zh) * 2016-09-30 2017-03-22 广州汽车集团股份有限公司 车辆安全驾驶控制方法及车辆安全驾驶控制系统
KR101888683B1 (ko) * 2017-07-28 2018-08-14 펜타시큐리티시스템 주식회사 비정상 트래픽을 탐지하는 방법 및 장치
US20190056231A1 (en) * 2017-08-15 2019-02-21 GM Global Technology Operations LLC Method and apparatus for participative map anomaly detection and correction
US10616253B2 (en) * 2017-11-13 2020-04-07 International Business Machines Corporation Anomaly detection using cognitive computing

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013187555A (ja) * 2012-03-05 2013-09-19 Auto Network Gijutsu Kenkyusho:Kk 通信システム
JP2015114907A (ja) * 2013-12-12 2015-06-22 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
JP2017112590A (ja) * 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
WO2017203906A1 (ja) * 2016-05-27 2017-11-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ネットワークハブ、転送方法及び車載ネットワークシステム
JP2017212726A (ja) * 2016-05-27 2017-11-30 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 電子制御ユニット、フレーム生成方法及びプログラム

Also Published As

Publication number Publication date
EP3726782B1 (en) 2022-02-02
CN111448783A (zh) 2020-07-24
CN111448783B (zh) 2021-11-19
US11438355B2 (en) 2022-09-06
US20200220888A1 (en) 2020-07-09
JP7071998B2 (ja) 2022-05-19
EP3726782A4 (en) 2021-01-06
EP3726782A1 (en) 2020-10-21
WO2019117184A1 (ja) 2019-06-20

Similar Documents

Publication Publication Date Title
JP7071998B2 (ja) 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法
EP3659868B1 (en) Abnormality detection device, and abnormality detection method
US11451579B2 (en) System and method for protecting electronics systems of a vehicle from cyberattacks
US11277417B2 (en) System and method of generating rules for blocking a computer attack on a vehicle
US11398116B2 (en) Anomaly detection electronic control unit, in-vehicle network system, and anomaly detection method
KR102524204B1 (ko) 차량용 네트워크의 침입 대응 장치 및 방법
JP7009305B2 (ja) ネットワーク監視器、ネットワーク監視方法およびプログラム
JP2017152762A (ja) 車載システム、プログラムおよびコントローラ
EP3547191B1 (en) System and method of generating rules for blocking a computer attack on a vehicle
EP4004782B1 (en) Intrusion anomaly monitoring in a vehicle environment
WO2019021922A1 (ja) 異常検知装置および異常検知方法
KR101714526B1 (ko) 차량 네트워크 해킹 방지 방법 및 장치
CN115515097A (zh) 一种对抗对车内网络的入侵的方法和装置
US20210194893A1 (en) Method for detecting an attack on a control device of a vehicle
EP3547192B1 (en) System and method of blocking a computer attack on a means of transportation
KR20180072342A (ko) 이더넷 네트워크를 포함하는 운송 수단 내부 네트워크에서 v2x 메시지의 우선순위 고려한 운송 수단 내 보안 처리 방법
KR20180072341A (ko) 스마트폰 앱 공격의 우선순위 고려한 운송 수단 내 보안 처리 방법

Legal Events

Date Code Title Description
A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A5211

Effective date: 20191015

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210804

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220412

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220509

R150 Certificate of patent or registration of utility model

Ref document number: 7071998

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150