JPWO2020079874A1 - 検知装置、ゲートウェイ装置、検知方法および検知プログラム - Google Patents
検知装置、ゲートウェイ装置、検知方法および検知プログラム Download PDFInfo
- Publication number
- JPWO2020079874A1 JPWO2020079874A1 JP2020552507A JP2020552507A JPWO2020079874A1 JP WO2020079874 A1 JPWO2020079874 A1 JP WO2020079874A1 JP 2020552507 A JP2020552507 A JP 2020552507A JP 2020552507 A JP2020552507 A JP 2020552507A JP WO2020079874 A1 JPWO2020079874 A1 JP WO2020079874A1
- Authority
- JP
- Japan
- Prior art keywords
- series data
- time
- message
- vehicle
- correlation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 118
- 230000005540 biological transmission Effects 0.000 claims abstract description 225
- 238000012544 monitoring process Methods 0.000 claims abstract description 90
- 238000004891 communication Methods 0.000 description 76
- 238000012545 processing Methods 0.000 description 33
- 238000010586 diagram Methods 0.000 description 28
- 238000000034 method Methods 0.000 description 26
- 238000011156 evaluation Methods 0.000 description 10
- 230000005856 abnormality Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 4
- 230000035945 sensitivity Effects 0.000 description 4
- 238000013210 evaluation model Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
Abstract
検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部とを備える。
Description
本発明は、検知装置、ゲートウェイ装置、検知方法および検知プログラムに関する。
この出願は、2018年10月18日に出願された日本出願特願2018−196635号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
この出願は、2018年10月18日に出願された日本出願特願2018−196635号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
特許文献1(国際公開公報第2015/170451号)には、以下のような車載ネットワークシステムが開示されている。すなわち、車載ネットワークシステムは、CAN(Controller Area Network)プロトコルに従ってバスを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムであって、送信周期に係る所定ルールに適合しないデータフレームの送信に際して当該データフレーム中に特定識別子を付与する付与部と、前記付与部で付与された特定識別子を含み前記所定ルールに適合しないデータフレームを前記バスにより送信する送信部とを有する第1電子制御ユニットと、前記バス上で送信されたデータフレームを受信する受信部と、前記受信部により前記所定ルールに適合しないデータフレームが受信された場合に、当該データフレーム中の特定識別子を検証する検証部とを有する第2電子制御ユニットとを備える。
(1)本開示の検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部とを備える。
(4)本開示のゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部とを備える。
(5)本開示の検知方法は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成するステップと、作成した前記第1の時系列データと前記第2の時系列データとの相関を算出するステップと、算出した前記相関に基づいて、前記不正メッセージを検知するステップとを含む。
(6)本開示の検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成するステップと、作成した前記第1の時系列データと前記第2の時系列データとの相関を算出するステップと、算出した前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知するステップとを含む。
(7)本開示の検知プログラムは、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部、として機能させるためのプログラムである。
(8)本開示の検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部、として機能させるためのプログラムである。
本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得る。
また、本開示の一態様は、このような特徴的な処理部を備えるゲートウェイ装置として実現され得るだけでなく、ゲートウェイ装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、ゲートウェイ装置の一部または全部を実現する半導体集積回路として実現され得る。
従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
[本開示が解決しようとする課題]
特許文献1には、上記車載ネットワークシステムによれば、送信周期が条件を満たさないデータフレームつまりイベントドリブンデータフレームが受信された場合において、特定識別子の検証により正当性の判断が可能となり、これにより、不正なデータフレームを適切に検知することが可能となる旨が記載されている。
特許文献1には、上記車載ネットワークシステムによれば、送信周期が条件を満たさないデータフレームつまりイベントドリブンデータフレームが受信された場合において、特定識別子の検証により正当性の判断が可能となり、これにより、不正なデータフレームを適切に検知することが可能となる旨が記載されている。
しかしながら、特許文献1に記載の車載ネットワークシステムでは、特定識別子に基づいて不正なデータフレームを検知するために、送信側の電子制御ユニットにおいてイベントドリブンデータフレームに特定識別子を付与する付与部と、受信側の電子制御ユニットにおいて特定識別子を検証する検証部とが必要であり、車載ネットワークシステムの構成が煩雑化する。
本開示は、上述の課題を解決するためになされたもので、その目的は、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することが可能な検知装置、ゲートウェイ装置、検知方法および検知プログラムを提供することである。
[本開示の効果]
本開示によれば、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
本開示によれば、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
[本願発明の実施形態の説明]
最初に、本発明の実施形態の内容を列記して説明する。
最初に、本発明の実施形態の内容を列記して説明する。
(1)本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部とを備える。
たとえば、第1の期間および第2の期間における送信メッセージが不定期に送信される正当メッセージである場合、第1の時系列データと第2の時系列データとの相関は低い。一方で、第1の期間および第2の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第1の時系列データと第2の時系列データとの相関は高くなる。本発明の実施の形態に係る検知装置は、第1の時系列データと第2の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
(2)好ましくは、前記監視部は、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた前記第1の時系列データおよび前記第2の時系列データを作成し、前記相関算出部は、前記監視部によって作成された前記第1の時系列データにおける各前記送信間隔の値と前記各送信間隔の値の平均値との差分、および前記監視部によって作成された前記第2の時系列データにおける各前記送信間隔の値と前記各送信間隔の値の平均値との差分を用いて前記相関を算出する。
不正メッセージが高い頻度で周期的に送信される場合、送信メッセージの各送信間隔の値が等間隔に近づくことにより、各送信間隔の値と送信間隔の値の平均値との差分が小さくなり、結果として、CPU等において、第1の時系列データと第2の時系列データとの相関を正確に算出することが困難となる場合がある。これに対して、送信間隔の値の正負符号を時系列に沿って交互に反転させた第1の時系列データおよび第2の時系列データを作成し、上記第1の時系列データの各送信間隔の値と送信間隔の値の平均値との差分、および上記第2の時系列データの各送信間隔の値と送信間隔の値の平均値との差分を用いて相関を算出する構成により、不正メッセージが高い頻度で周期的に送信される場合であっても、第1の時系列データと第2の時系列データとの相関を正確に算出することができる。これにより、上記相関に基づいて高い精度で不正メッセージを検知することができる。
(3)より好ましくは、前記検知部は、前記相関算出部によって算出された前記相関が、−1より大きい負の数である第1のしきい値より小さいか、または1より小さい正の数である第2のしきい値より大きい場合に、対応の各前記送信メッセージの中に前記不正メッセージが存在すると判断する。
このような構成により、たとえば、相関算出部によって算出された相関と、予め適切な値に設定された第1のしきい値および第2のしきい値とに基づいて、不正メッセージを正しく検知することができる。また、たとえば、送信間隔の値の正負符号を時系列に沿って交互に反転させた第1の時系列データおよび第2の時系列データを用いて算出された相関と、予め適切な値に設定された第1のしきい値および第2のしきい値とに基づいて、不正メッセージを正しく検知することができる。
(4)本発明の実施の形態に係るゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部とを備える。
たとえば、第1の期間および第2の期間における送信メッセージが不定期に送信される正当メッセージである場合、第1の時系列データと第2の時系列データとの相関は低い。一方で、第1の期間および第2の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第1の時系列データと第2の時系列データとの相関は高くなる。本発明の実施の形態に係るゲートウェイ装置は、第1の時系列データと第2の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
(5)本発明の実施の形態に係る検知方法は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成するステップと、作成した前記第1の時系列データと前記第2の時系列データとの相関を算出するステップと、算出した前記相関に基づいて、前記不正メッセージを検知するステップとを含む。
たとえば、第1の期間および第2の期間における送信メッセージが不定期に送信される正当メッセージである場合、第1の時系列データと第2の時系列データとの相関は低い。一方で、第1の期間および第2の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第1の時系列データと第2の時系列データとの相関は高くなる。本発明の実施の形態に係る検知方法は、第1の時系列データと第2の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する方法により、メッセージの受信頻度に基づいて不正メッセージを検知する方法に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
(6)本発明の実施の形態に係る検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成するステップと、作成した前記第1の時系列データと前記第2の時系列データとの相関を算出するステップと、算出した前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知するステップとを含む。
たとえば、第1の期間および第2の期間における送信メッセージが不定期に送信される正当メッセージである場合、第1の時系列データと第2の時系列データとの相関は低い。一方で、第1の期間および第2の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第1の時系列データと第2の時系列データとの相関は高くなる。本発明の実施の形態に係る検知方法は、第1の時系列データと第2の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する方法により、メッセージの受信頻度に基づいて不正メッセージを検知する方法に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
(7)本発明の実施の形態に係る検知プログラムは、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部、として機能させるためのプログラムである。
たとえば、第1の期間および第2の期間における送信メッセージが不定期に送信される正当メッセージである場合、第1の時系列データと第2の時系列データとの相関は低い。一方で、第1の期間および第2の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第1の時系列データと第2の時系列データとの相関は高くなる。本発明の実施の形態に係る検知プログラムは、第1の時系列データと第2の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
(8)本発明の実施の形態に係る検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部、として機能させるためのプログラムである。
たとえば、第1の期間および第2の期間における送信メッセージが不定期に送信される正当メッセージである場合、第1の時系列データと第2の時系列データとの相関は低い。一方で、第1の期間および第2の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第1の時系列データと第2の時系列データとの相関は高くなる。本発明の実施の形態に係る検知プログラムは、第1の時系列データと第2の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
[構成および基本動作]
図1は、本発明の実施の形態に係る車載通信ネットワークの構成を示す図である。
図1は、本発明の実施の形態に係る車載通信ネットワークの構成を示す図である。
図1を参照して、車載通信システム301は、ゲートウェイ装置(検知装置)101と、複数の車載通信機111と、複数のバス接続装置群121とを備える。
図2は、本発明の実施の形態に係るバス接続装置群の構成を示す図である。
図2を参照して、バス接続装置群121は、複数の制御装置122を含む。なお、バス接続装置群121は、複数の制御装置122を備える構成に限らず、1つの制御装置122を含む構成であってもよい。
車載通信システム301は、道路を走行する車両(以下、対象車両とも称する。)に搭載される。車載ネットワーク12は、車両の内部における装置である車載装置を複数含む。具体的には、車載ネットワーク12は、車載装置の一例である、複数の車載通信機111および複数の制御装置122を含む。なお、車載ネットワーク12は、複数の車載装置を含む構成であれば、複数の車載通信機111を含みかつ制御装置122を含まない構成であってもよいし、車載通信機111を含まずかつ複数の制御装置122を含む構成であってもよいし、1つの車載通信機111および1つの制御装置122を含む構成であってもよい。
車載ネットワーク12において、車載通信機111は、たとえば、対象車両の外部における装置と通信する。具体的には、車載通信機111は、たとえば、TCU(Telematics Communication Unit)、近距離無線端末装置、およびITS(Intelligent Transport Systems)無線機である。
TCUは、たとえば、LTE(Long Term Evolution)または3G等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。TCUは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびFOTA(Firmware Over The Air)等のサービスに用いる情報を中継する。
近距離無線端末装置は、たとえば、Wi−Fi(登録商標)およびBluetooth(登録商標)等の通信規格に従って、対象車両に乗車している人間(以下、搭乗者とも称する。)の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。
また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とLF(Low Frequency)帯またはUHF(Ultra High Frequency)帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびTPMS(Tire Pressure Monitoring System)等のサービスに用いる情報を中継する。
ITS無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびITSスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。ITS無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。
ゲートウェイ装置101は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置101により蓄積されたデータ等を対象車両の外部における整備用端末装置とポート112を介して送受信することが可能である。
ゲートウェイ装置101は、たとえばバス13,14を介して車載装置と接続する。具体的には、バス13,14は、たとえば、CAN(Controller Area Network)(登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスである。
この例では、車載通信機111は、イーサネットの規格に従う対応のバス14を介してゲートウェイ装置101と接続されている。また、バス接続装置群121における各制御装置122は、CANの規格に従う対応のバス13を介してゲートウェイ装置101と接続されている。制御装置122は、たとえば、対象車両における機能部を制御可能である。
バス13は、たとえば系統別に設けられる。具体的には、バス13は、たとえば、駆動系バス、シャーシ/安全系バス、ボディ/電装系バスおよびAV/情報系バスである。
駆動系バスには、制御装置122の一例であるエンジン制御装置、AT(Automatic Transmission)制御装置およびHEV(Hybrid Electric Vehicle)制御装置が接続されている。エンジン制御装置、AT制御装置およびHEV制御装置は、エンジン、AT、およびエンジンとモータとの切替をそれぞれ制御する。
シャーシ/安全系バスには、制御装置122の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。
ボディ/電装系バスには、制御装置122の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。
AV/情報系バスには、制御装置122の一例であるナビゲーション制御装置、オーディオ制御装置、ETC(Electronic Toll Collection System)(登録商標)制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ETC制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ETC装置および携帯電話をそれぞれ制御する。
また、バス13には、制御装置122が接続される構成に限らず、制御装置122以外の装置が接続されてもよい。
ゲートウェイ装置101は、たとえば、セントラルゲートウェイ(Central Gateway:CGW)であり、車載装置と通信を行うことが可能である。
ゲートウェイ装置101は、たとえば、対象車両において異なるバス13に接続された制御装置122間でやり取りされる情報、各車載通信機111間でやり取りされる情報、制御装置122および車載通信機111間でやり取りされる情報を中継する中継処理を行う。
より詳細には、対象車両では、たとえば、ドアロックおよびギアの状態などの不定期な変更を通知するために、ある車載装置から他の車載装置へ不定期にメッセージが送信される。具体的には、対象車両におけるドアの開錠および施錠、ギアチェンジ、ならびに方向指示器の操作等に応じて、ある車載装置から他の車載装置へ不定期にメッセージが送信される。以下、不定期に送信されるメッセージをイベントメッセージとも称する。
メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよい。
また、対象車両では、イベントメッセージの他に、所定の取り決めに従って、ある車載装置から他の車載装置へ周期的に送信されるメッセージが存在する。
なお、以下では、ある制御装置122から他の制御装置122へ送信されるイベントメッセージについて説明するが、制御装置122および車載通信機111間において送信されるイベントメッセージ、ならびに各車載通信機111間において送信されるイベントメッセージについても同様である。
メッセージには、メッセージの内容および送信元等を識別するためのIDが含まれる。メッセージがイベントメッセージであるか否かをIDによって識別することが可能である。
[課題]
ところで、特許文献2(特開2017−126978号公報)には、以下のような異常検知方法が開示されている。すなわち、異常検知方法は、CANプロトコルに従って車両内のバスを介してメッセージの授受を行う複数の電子制御ユニットを備える車載ネットワークシステムにおける異常の検知のための異常検知方法であって、単位時間の決定を行い、前記決定された単位時間内に前記バスから受信されたメッセージの数に基づく特徴情報と、メッセージの出現頻度に係る基準を表す所定モデルとを用いた演算処理を行い、当該演算処理の結果に応じて異常か否かを判定する。
ところで、特許文献2(特開2017−126978号公報)には、以下のような異常検知方法が開示されている。すなわち、異常検知方法は、CANプロトコルに従って車両内のバスを介してメッセージの授受を行う複数の電子制御ユニットを備える車載ネットワークシステムにおける異常の検知のための異常検知方法であって、単位時間の決定を行い、前記決定された単位時間内に前記バスから受信されたメッセージの数に基づく特徴情報と、メッセージの出現頻度に係る基準を表す所定モデルとを用いた演算処理を行い、当該演算処理の結果に応じて異常か否かを判定する。
図3は、本発明の実施の形態に係る車載通信システムにおけるイベントメッセージの送信間隔の時間変化の一例を示す図である。なお、図3において、縦軸は送信間隔を示し、横軸は時刻を示す。
図4は、本発明の実施の形態に係る車載通信システムにおけるイベントメッセージの送信間隔の度数分布の一例を示す図である。なお、図4において、縦軸は度数を示し、横軸は送信間隔を示す。
図3および図4を参照して、送信間隔は、たとえば、イベントメッセージがバス13において伝送されるタイミングの間隔である。
図3および図4に示すように、イベントメッセージの送信間隔の値は一定でなく、ばらついている。ここで、不正メッセージは機械的かつ周期的に送信される場合がある。たとえば、特許文献2に記載の異常検知方法、および、単にメッセージの受信頻度が所定のしきい値を超えた場合に異常であると判断する不正メッセージ検知方法では、イベントメッセージに混在する周期的な不正メッセージを正しく検知することは困難である。
[ゲートウェイ装置の構成]
図5は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
図5は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
図5を参照して、ゲートウェイ装置101は、通信処理部51と、監視部52と、相関算出部53と、検知部54と、記憶部55とを備える。記憶部55は、たとえば、揮発性記憶領域と、不揮発性記憶領域とを有する。
ゲートウェイ装置101における通信処理部51は、中継処理を行う。より詳細には、通信処理部51は、ある制御装置122から対応のバス13経由でメッセージを受信すると、受信したメッセージを他の制御装置122へ対応のバス13経由で送信する。
ゲートウェイ装置101は、検知装置として機能し、複数の車載装置を含む車載ネットワーク12における不正メッセージを検知する。
ゲートウェイ装置101は、所定の周期である検知周期Cで、車載ネットワーク12における不正メッセージを検知する。検知周期Cは、想定される不正メッセージ等に応じて任意の適切な値に設定される。
[監視部]
監視部52は、車載ネットワーク12における送信メッセージを監視する。より詳細には、監視部52は、たとえば、通信処理部51が中継処理を行うメッセージを監視し、監視するメッセージのうちの検知対象となるイベントメッセージ(以下、対象メッセージとも称する。)の送信間隔の値を測定する。
監視部52は、車載ネットワーク12における送信メッセージを監視する。より詳細には、監視部52は、たとえば、通信処理部51が中継処理を行うメッセージを監視し、監視するメッセージのうちの検知対象となるイベントメッセージ(以下、対象メッセージとも称する。)の送信間隔の値を測定する。
監視部52は、たとえば、第1の期間における対象メッセージの送信間隔と、第1の期間とは異なる期間である第2の期間における対象メッセージの送信間隔とを測定する。
図6は、本発明の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻の分布の一例を示す図である。なお、図6において、横軸は時刻を示す。
記憶部55は、たとえば、イベントメッセージの内容および送信元等とIDとの対応関係を示す対応情報を不揮発性記憶領域に記憶している。監視部52は、たとえば、記憶部55から対象メッセージのID(以下、対象IDとも称する。)を取得する。
監視部52は、たとえば、通信処理部51がメッセージを受信すると、通信処理部51によって受信されたメッセージに含まれるIDを確認する。図6を参照して、監視部52は、確認したIDが対象IDと一致する場合、通信処理部51によって受信されたメッセージすなわち対象メッセージm1の受信時刻ta1を記憶部55の揮発性記憶領域に保存する。
そして、監視部52は、通信処理部51において対象IDを含む新たな対象メッセージm2が受信されると、新たに受信された対象メッセージm2の受信時刻ta2をたとえば記憶部55の揮発性記憶領域に保存するとともに、以下の処理を行う。すなわち、監視部52は、受信時刻ta2から受信時刻ta1を差し引くことにより算出される受信間隔を、対象メッセージの送信間隔d1とし、算出した送信間隔d1をたとえば記憶部55の揮発性記憶領域に保存する。
すなわち、監視部52は、対象メッセージmkの受信時刻takから、対象メッセージmkの直前に受信された対象メッセージmk−1の受信時刻tak−1を差し引くことにより、送信間隔dk−1を算出する。このようにして、監視部52は、受信時刻ta1から受信時刻tan+1までの期間(以下、第1の期間とも称する。)において、n+1個の対象メッセージmkの各送信間隔dkを測定することにより、n個の送信間隔dkのデータを取得する。なお、本明細書において、kおよびnは正の整数であり、n>kを満たすものとする。
同様にして、監視部52は、受信時刻tan+1から所定時間が経過した後の時刻である受信時刻tb1から、受信時刻tbn+1までの期間(以下、第2の期間とも称する。)において、対象メッセージMkの受信時刻tbkから、対象メッセージMkの直前に受信された対象メッセージMk−1の受信時刻tbk−1を差し引くことにより、送信間隔Dk−1を算出する。このようにして、監視部52は、第2の期間において、n+1個の対象メッセージMkの各送信間隔Dkを測定することにより、n個の送信間隔Dkのデータを取得する。
以下では、受信時刻takから受信時刻tak−1を差し引くことにより算出される送信間隔dk−1を、受信時刻takに対応する送信間隔dkと称する。また、受信時刻tbkから受信時刻tbk−1を差し引くことにより算出される送信間隔Dk−1を、受信時刻tbkに対応する送信間隔Dkと称する。
監視部52は、第1の期間における対象メッセージmkの送信間隔dkの値の時系列データと、第2の期間における対象メッセージMkの送信間隔Dkの値の時系列データとを作成する。たとえば、監視部52は、第1の期間における対象メッセージmkの送信間隔dkの値を時系列に配列したデータである時系列データと、第2の期間における対象メッセージMkの送信間隔Dkの値を時系列に配列したデータである時系列データとを作成する。
図7および図8は、本発明の実施の形態に係る車載通信システムにおける対象メッセージの送信間隔の時系列データの一例を示す図である。
図7を参照して、監視部52は、たとえば、第1の期間における対象メッセージmkの受信時刻takと送信間隔dkとの配列である時系列データN1を作成する。また、図8を参照して、監視部52は、たとえば、第2の期間における対象メッセージMkの受信時刻tbkと送信間隔Dkとの配列である時系列データN2を作成する。時系列データN1における送信間隔dkのデータの数、および時系列データN2における送信間隔Dkのデータの数は、いずれもn個であり、同じである。
監視部52は、作成した時系列データN1,N2に対して、送信間隔dk,Dkの値の正負符号を時系列に沿って交互に反転させる符号反転処理を行うことにより、時系列データNs1,Ns2を作成する。
図9および図10は、本発明の実施の形態に係る車載通信システムにおける符号反転処理後の時系列データの一例を示す図である。
図9を参照して、監視部52は、たとえば、時系列データN1における受信時刻takに対応する送信間隔dk−1の値に(−1)^kを掛けることにより、送信間隔dkの値の正負符号を時系列に沿って交互に反転させた時系列データNs1を作成する。また、図10を参照して、監視部52は、たとえば、時系列データN2における受信時刻tbkに対応する送信間隔Dk−1の値に(−1)^kを掛けることにより、送信間隔Dkの値の正負符号を時系列に沿って交互に反転させた時系列データNs2を作成する。ここで、「x^y」は、xのy乗を意味する。
図9を参照して、たとえば、時系列データNs1において、時系列に沿って偶数番目の受信時刻takに対応する送信間隔dk−1の値は正の数であり、奇数番目の受信時刻takに対応する送信間隔dk−1の値は負の数である。図10を参照して、たとえば、時系列データNs2において、時系列に沿って偶数番目の受信時刻tbkに対応する送信間隔Dk−1の値は正の数であり、奇数番目の受信時刻tbkに対応する送信間隔Dk−1の値は負の数である。なお、図9および図10に示す例ではnは奇数であるが、nは偶数であってもよい。
また、監視部52は、時系列データN1における受信時刻takに対応する送信間隔dk−1の値に(−1)^(k+1)を掛けることにより時系列データNs1を作成し、時系列データN2における受信時刻tbkに対応する送信間隔Dk−1の値に(−1)^(k+1)を掛けることにより時系列データNs2を作成してもよい。すなわち、時系列データNs1,Ns2において、時系列に沿って偶数番目の受信時刻tak,tbkに対応する送信間隔dk−1,Dk−1の値が負の数であり、奇数番目の受信時刻tak,tbkに対応する送信間隔dk−1,Dk−1の値が正の数であってもよい。
時系列データNs1,Ns2における送信間隔dk,Dkのデータ数、すなわち後述する自己相関係数rの算出に用いる送信間隔dk,Dkのサンプル数n(以下、ウィンドウサイズとも称する。)は、想定される不正メッセージ等に応じて任意の適切な値に設定することができる。
たとえば、記憶部55は、第1の期間の開始タイミング、第2の期間の開始タイミング、およびウィンドウサイズなどを示す設定情報を不揮発性記憶領域に記憶している。監視部52は、記憶部55から設定情報を取得し、記憶部55から取得した設定情報に従って時系列データNs1,Ns2を作成する。
監視部52は、作成した時系列データNs1,Ns2を相関算出部53へ出力する。
[相関算出部]
相関算出部53は、監視部52によって作成された第1の期間における時系列データNs1と第2の期間における時系列データNs2との相関を算出する。
相関算出部53は、監視部52によって作成された第1の期間における時系列データNs1と第2の期間における時系列データNs2との相関を算出する。
たとえば、相関算出部53は、時系列データNs1における送信間隔の各値と、時系列データNs1における当該各値すなわち時系列データNs1におけるすべての送信間隔の値の平均値との差分、および時系列データNs2における送信間隔の各値と、時系列データNs2における当該各値すなわち時系列データNs2におけるすべての送信間隔の値の平均値との差分を用いて、対象メッセージの送信間隔の自己相関係数rを算出する。
より詳細には、相関算出部53は、監視部52から時系列データNs1,Ns2を受けると、時系列データNs1における送信間隔dkの平均値と時系列データNs2における送信間隔Dkの平均値とを算出する。そして、相関算出部53は、以下の式(1)に従って自己相関係数rを算出する。
ここで、nは、時系列データNs1,Ns2における送信間隔のデータ数である。xiは、時系列データNs1におけるi番目の送信間隔である。yiは、時系列データNs2におけるi番目の送信間隔である。μxは、時系列データNs1におけるすべての送信間隔の値の平均値である。μyは、時系列データNs2におけるすべての送信間隔の値の平均値である。
相関算出部53は、算出した自己相関係数rを検知部54へ出力する。
[検知部]
検知部54は、相関算出部53によって算出された相関に基づいて、不正メッセージを検知する。
検知部54は、相関算出部53によって算出された相関に基づいて、不正メッセージを検知する。
より詳細には、検知部54は、相関算出部53から受けた自己相関係数rに基づいて、不正メッセージを検知する。
たとえば、記憶部55は、自己相関係数rのしきい値を不揮発性記憶領域に記憶している。検知部54は、記憶部55からしきい値を取得し、自己相関係数rと、記憶部55から取得したしきい値とに基づいて不正メッセージを検知する。
図11は、本発明の実施の形態に係る車載通信システムにおける送信間隔の自己相関係数の度数分布の一例を示す図である。なお、図11において、縦軸は度数を示し、横軸は自己相関係数を示す。また、図11は、すべての対象メッセージが正当なイベントメッセージである場合における自己相関係数rの度数分布を示す。
図11を参照して、自己相関係数rは、−1以上かつ1以下の値をとる。自己相関係数rが1に近いほど、時系列データNs1と時系列データNs2との正の相関関係が強いことを示し、自己相関係数rが−1に近いほど、時系列データNs1と時系列データNs2との負の相関関係が強いことを示す。
すべての対象メッセージが正当なイベントメッセージ(以下、正当メッセージとも称する。)である場合、時系列データNs1と時系列データNs2との相関は小さく、自己相関係数rは0に近い値をとる。
一方、対象メッセージの中に周期的な不正メッセージが存在する場合、すべての対象メッセージが正当メッセージである場合と比べて、時系列データNs1と時系列データNs2との相関は大きくなり、自己相関係数rは−1または1に近い値をとる。
そこで、検知部54は、たとえば、−1より大きい負の数である第1のしきい値ThAと、1より小さい正の数である第2のしきい値ThBとに基づいて、不正メッセージを検知する。
より詳細には、検知部54は、たとえば、自己相関係数rが、しきい値ThA以上であり、かつ、しきい値ThB以下である場合に、第1の期間および第2の期間における複数の対象メッセージの中に不正メッセージは含まれておらず、当該複数の対象メッセージはすべて正当メッセージであると判断する。
一方、検知部54は、たとえば、自己相関係数rがしきい値ThAより小さいか、またはしきい値ThBより大きい場合に、第1の期間および第2の期間の少なくともいずれか一方における複数の対象メッセージの中に不正メッセージが存在すると判断する。
検知部54は、自己相関係数rおよびしきい値ThA,ThBに基づく判断結果を示す判断情報を通信処理部51へ出力する。
通信処理部51は、検知部54から受けた判断情報が、今回伝送された対象メッセージはすべて正当メッセージであることを示す場合、当該対象メッセージを送信先の制御装置122へ送信する。
一方、通信処理部51は、検知部54から受けた判断情報が、今回伝送された複数の対象メッセージの中に不正メッセージが存在することを示す場合、以下の処理を行う。
すなわち、通信処理部51は、判断情報が示す当該複数の対象メッセージを記録する。また、通信処理部51は、バス13において不正メッセージが伝送されていることを示す警報情報を対象車両内または対象車両外における上位装置へ送信する。
しきい値ThA,ThBは、対象メッセージの中に不正メッセージが存在するか否かを正確に判断することができるよう、適切な値であることが好ましい。たとえば、予め、対象車両と同じ種類のテスト車両のゲートウェイ装置101を用いて、すべての対象メッセージを正当メッセージとしたときに算出される自己相関係数rの度数分布を取得し、FPR(False Positive Rate)がゼロとなる範囲でしきい値ThA,ThBの絶対値が最も小さくように、しきい値ThA,ThBを設定することが好ましい。
ここで、FPRは偽陽性率であり、偽陽性/(偽陽性+真陰性)で表される。真陰性とは、正当メッセージを正当メッセージとして認識した度数であり、偽陽性とは、正当メッセージを不正メッセージとして検知した度数である。
なお、しきい値ThA,ThBは、絶対値が互いに等しくなるように設定してもよいし、絶対値が互いに異なるように設定してもよい。
[評価]
本発明の実施の形態に係る車載通信システムによる不正メッセージの検知方法の感度を、以下の手順で評価した。
本発明の実施の形態に係る車載通信システムによる不正メッセージの検知方法の感度を、以下の手順で評価した。
不正メッセージの検知方法の評価は、本発明の実施の形態に係る検知方法(以下、方法Aとも称する。)を用いた場合におけるTPR(True Positive Rate)、および、メッセージの受信頻度に基づいて不正メッセージを検知する方法(以下、方法Bとも称する。)を用いた場合におけるTPRを測定することにより行った。
ここで、TPRは真陽性率であり、真陽性/(真陽性+偽陰性)で表される。真陽性とは、不正メッセージを不正メッセージとして検知した度数であり、偽陰性とは、不正メッセージを正当メッセージとして認識した度数である。
図12は、本発明の実施の形態に係る車載通信システムにおける不正メッセージの検知方法の評価に用いた評価モデルを示す図である。
図12を参照して、正当な制御装置122から正当メッセージがゲートウェイ装置101へ送信され、攻撃ECU123から不正メッセージがゲートウェイ装置101へ送信される場合を想定する。
図12に示す評価モデルにおいて、制御装置122は、試験車両のヘッドライトの状態を示すイベントメッセージをゲートウェイ装置101へ送信する。より詳細には、制御装置122は、ヘッドライトが点灯状態から消灯状態へ変化するか、または消灯状態から点灯状態へ変化すると、ヘッドライトの状態が変化したことを示すイベントメッセージを生成し、ゲートウェイ装置101へ送信する。
本評価に用いる正当なイベントメッセージを、以下のとおり生成した。すなわち、試験車両のヘッドライトスイッチを操作し、可能な限り高速でヘッドライトの点灯および消灯を繰り返し切り替えることで、制御装置122においてヘッドライトの状態を示すイベントメッセージ(以下、評価用イベントメッセージとも称する。)を生成した。
[しきい値の決定]
方法Aにおけるしきい値ThA,ThBを、以下のとおり決定した。すなわち、制御装置122からゲートウェイ装置101へ評価用イベントメッセージを送信した状態で、ウィンドウサイズを10に設定したときの自己相関係数rの度数分布を取得し、FPRがゼロとなる範囲においてしきい値ThA,ThBの絶対値が最も小さくなるように、しきい値ThA,ThBを設定した。同様にして、ウィンドウサイズを20に設定したときのしきい値ThA,ThBおよびウィンドウサイズを20に設定したときのしきい値ThA,ThBを設定した。
方法Aにおけるしきい値ThA,ThBを、以下のとおり決定した。すなわち、制御装置122からゲートウェイ装置101へ評価用イベントメッセージを送信した状態で、ウィンドウサイズを10に設定したときの自己相関係数rの度数分布を取得し、FPRがゼロとなる範囲においてしきい値ThA,ThBの絶対値が最も小さくなるように、しきい値ThA,ThBを設定した。同様にして、ウィンドウサイズを20に設定したときのしきい値ThA,ThBおよびウィンドウサイズを20に設定したときのしきい値ThA,ThBを設定した。
具体的には、ウィンドウサイズを10に設定した場合のしきい値を±0.95とし、ウィンドウサイズを20に設定した場合のしきい値を±0.92とし、ウィンドウサイズを30に設定した場合のしきい値を±0.90とした。
また、方法Bにおけるしきい値ThCを、以下のとおり決定した。すなわち、制御装置122からゲートウェイ装置101への評価用イベントメッセージの送信頻度が13回/0.01秒であったため、方法Bにおいて、FPRがゼロとなる範囲においてしきい値ThCが最も小さくなるように、0.01秒あたりのメッセージ受信回数のしきい値ThCを13に設定した。
すなわち、本評価において、方法Bでは、ゲートウェイ装置101は、0.01秒あたりのメッセージ受信回数がしきい値ThCを超えて14回以上となると、受信したメッセージの中に不正メッセージが存在すると判断する。
[評価結果]
図13は、本発明の実施の形態に係る車載通信システムにおける不正メッセージの検知方法の感度の評価結果を示す図である。図13において、縦軸はTPRである。
図13は、本発明の実施の形態に係る車載通信システムにおける不正メッセージの検知方法の感度の評価結果を示す図である。図13において、縦軸はTPRである。
図13は、制御装置122からゲートウェイ装置101へ正当なイベントメッセージを送信しつつ、攻撃ECU123からゲートウェイ装置101へ擬似的な不正メッセージを送信した場合における、ゲートウェイ装置101による不正メッセージの検知感度すなわちTPRを示す。なお、擬似的な不正メッセージとして、1秒間隔、0.5秒間隔、0.1秒間隔、または0.01秒間隔の周期的なメッセージを用いた。
図13を参照して、方法Bでは、不正メッセージの送信間隔を0.01秒に設定したときに高いTPRを示した。しかしながら、不正メッセージの送信間隔を0.1秒に設定したとき、不正メッセージの送信間隔を0.5秒に設定したとき、および、不正メッセージの送信間隔を1秒に設定したときは、TPRがゼロとなった。これは、検知すべき不正メッセージを検知できなかったことを意味する。
これに対して、方法Aでは、不正メッセージの送信間隔を、0.01秒、0.1秒、0.5秒および1秒のいずれに設定した場合にも、高いTPRを示した。これは、検知すべき不正メッセージを適切に検知できたことを意味する。
[各装置の実現例]
図14は、本発明の実施の形態に係る車載通信システムにおける各装置の構成を示す図である。以下、車載通信システム301におけるゲートウェイ装置101、車載通信機111および制御装置122等の各装置を、装置200とも称する。
図14は、本発明の実施の形態に係る車載通信システムにおける各装置の構成を示す図である。以下、車載通信システム301におけるゲートウェイ装置101、車載通信機111および制御装置122等の各装置を、装置200とも称する。
図14を参照して、車載通信システム301における装置200は、演算処理部であるCPU201と、メインメモリ202と、ハードディスク203と、データリーダ/ライタ204とを備える。これらの各部は、バス205を介して、互いにデータ通信可能に接続される。
CPU201は、ハードディスク203に格納されたプログラムをメインメモリ202に展開し、所定順序で実行することにより、各種の演算を実施する。メインメモリ202は、典型的には、DRAM(Dynamic Random Memory)などの揮発性の記憶装置であり、ハードディスク203から読み出されたプログラムに加えて、各種の演算処理結果を示すデータなどを保持する。また、ハードディスク203は不揮発性の磁気記憶装置であり、CPU201で実行されるプログラムに加えて、各種設定値などが格納される。このハードディスク203にインストールされるプログラムは、記録媒体211に格納された状態で流通する。なお、ハードディスク203に加えて、あるいはハードディスク203に代えて、フラッシュメモリなどの半導体記憶装置を採用してもよい。
データリーダ/ライタ204は、CPU201と記録媒体211との間のデータ伝送を仲介する。すなわち、記録媒体211は、装置200で実行されるプログラムなどが格納された状態で流通し、データリーダ/ライタ206は、この記録媒体211からプログラムを読み出す。記録媒体211は、たとえば、CF(Compact Flash)およびSD(Secure Digital)などの汎用的な半導体記憶デバイス、フレキシブルディスクなどの磁気記憶媒体、またはCD−ROM(Compact Disk Read Only Memory)もしくはDVD(Digital Versatile Disc)−ROMなどの光学記憶媒体である。
[動作]
車載通信システム301における各装置200は、ハードディスク203等のメモリを含むコンピュータを備え、当該コンピュータにおけるCPU201等の演算処理部は、以下のフローチャートの各ステップの一部または全部を含むプログラムを当該メモリからそれぞれ読み出して実行する。これら複数の装置200のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置200のプログラムは、それぞれ、記録媒体211に格納された状態で流通する。
車載通信システム301における各装置200は、ハードディスク203等のメモリを含むコンピュータを備え、当該コンピュータにおけるCPU201等の演算処理部は、以下のフローチャートの各ステップの一部または全部を含むプログラムを当該メモリからそれぞれ読み出して実行する。これら複数の装置200のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置200のプログラムは、それぞれ、記録媒体211に格納された状態で流通する。
図15は、本発明の実施の形態に係るゲートウェイ装置が不正メッセージの検知を行う際の動作手順を定めたフローチャートである。
図15を参照して、まず、ゲートウェイ装置101は、検知周期Cに基づく所定のタイミングに従い、記憶部55から設定情報およびしきい値ThA,ThBを取得する(ステップS102)。
次に、ゲートウェイ装置101は、取得した設定情報に基づいて、第1の期間における対象メッセージmkの送信間隔dkと、第2の期間における対象メッセージMkの送信間隔Dkとを測定する(ステップS104)。
次に、ゲートウェイ装置101は、対象メッセージmk,Mkの送信間隔dk,Dkの測定結果に基づいて、時系列データNs1と時系列データNs2とを作成する(ステップS106)。
次に、ゲートウェイ装置101は、時系列データNs1と時系列データNs2とを用いて自己相関係数rを算出する(ステップS108)。
次に、ゲートウェイ装置101は、自己相関係数rに基づいて、不正メッセージを検知する。より詳細には、まず、算出した自己相関係数rとしきい値ThA,ThBとを比較する(ステップS110)。
次に、ゲートウェイ装置101は、たとえば、算出した自己相関係数rがしきい値ThA以上であり、かつ、しきい値ThB以下である場合(ステップS112でNO)、第1の期間および第2の期間における各対象メッセージmk,Mkの中に不正メッセージは存在しないと判断する(ステップS114)。
次に、ゲートウェイ装置101は、検知周期Cに基づく新たなタイミングに従い、設定情報およびしきい値ThA,ThBの取得(ステップS102)、ならびに、送信間隔dk,Dkの測定(ステップS104)等を行う。
一方、ゲートウェイ装置101は、たとえば、算出した自己相関係数rがしきい値ThA未満であるか、または、しきい値ThBより大きい場合(ステップS112でYES)、第1の期間および第2の期間の少なくともいずれか一方における対象メッセージmk,Mkの中に不正メッセージが存在すると判断する(ステップS116)。
次に、ゲートウェイ装置101は、不正メッセージが伝送されていることを示す警報情報を対象車両内または対象車両外における上位装置へ送信する(ステップS118)。
次に、ゲートウェイ装置101は、検知周期Cに基づく新たなタイミングに従い、設定情報およびしきい値ThA,ThBの取得(ステップS102)、ならびに、送信間隔dk,Dkの測定(ステップS104)等を行う。
なお、本発明の実施の形態に係る車載通信システムでは、ゲートウェイ装置101が、車載ネットワーク12における不正メッセージを検知する構成であるとしたが、これに限定するものではない。車載通信システム301では、ゲートウェイ装置101とは別の検知装置が、車載ネットワーク12における不正メッセージを検知する構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置101では、監視部52は、対象メッセージmk,Mkの受信時刻tak,tbkに基づいて送信間隔dk,Dkを測定する構成であるとしたが、これに限定するものではない。監視部52は、たとえば、対象メッセージmk,Mkの送信時刻を取得し、取得した送信時刻に基づいて送信間隔dk,Dkを測定する構成であってもよい。
また、本発明の実施の形態に係る車載通信システムでは、検知装置として機能するゲートウェイ装置101がバス13に直接接続される構成であるとしたが、これに限定するものではない。
図16は、本発明の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。
図16を参照して、検知装置131が、車載装置たとえば制御装置122を介してバス13に接続される構成であってもよい。この場合、検知装置131は、たとえば、当該車載装置が送受信するメッセージを監視することにより、バス13に伝送される不正メッセージを検知する。
図16に示す例では、たとえば、検知装置131の監視部52は、制御装置122が送信するメッセージの送信時刻を取得し、取得した送信時刻に基づいて送信間隔dk,Dkを測定し、測定した送信間隔dk,Dkの時系列データNs1,Ns2を作成する。
また、本発明の実施の形態に係るゲートウェイ装置101では、検知部54は、制御装置122間でやり取りされるメッセージを不正メッセージの検知対象とする構成であるとしたが、これに限定するものではない。検知部54は、制御装置122および車載通信機111間でやり取りされるメッセージ、ならびに車載通信機111間でやり取りされるメッセージを不正メッセージの検知対象とする構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置101では、監視部52は、送信間隔dk,Dkのサンプル数が互いに同一である時系列データNs1,Ns2を作成する構成であるとしたが、これに限定するものではない。監視部52は、送信間隔dk,Dkのサンプル数が互いに異なる時系列データNs1,Ns2を作成する構成であってもよい。この場合、相関算出部53は、時系列データNs1,Ns2における送信間隔dk,Dkのサンプル数が等しくなるように時系列データNs1,Ns2のいずれか一方の時系列データをリサンプリングし、リサンプリングして得られた時系列データを用いて自己相関係数rを算出することが好ましい。
また、本発明の実施の形態に係るゲートウェイ装置101では、監視部52は、第1の期間が経過した後の時刻tb1から始まる第2の期間における送信間隔Dkの時系列データNs2を作成する構成であるとしたが、これに限定するものではない。監視部52は、第1の期間内の時刻から始まる第2の期間における送信間隔Dkの時系列データNs2を作成する構成であってもよい。すなわち、第1の期間の一部と第2の期間の一部とが重複してもよい。
また、本発明の実施の形態に係るゲートウェイ装置101では、検知部54は、不正メッセージを検知する処理として、第1の期間および第2の期間の少なくともいずれか一方における複数の対象メッセージmk,Mkの中に不正メッセージが存在するか否かを判断する構成であるとしたが、これに限定するものではない。検知部54は、不正メッセージを検知する処理として、対象メッセージmk,Mkの中に不正メッセージが存在する確率を算出する構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置101では、相関算出部53は、式(1)に従って時系列データN1,N2の自己相関係数rを算出する構成であるとしたが、これに限定するものではない。相関算出部53は、式(1)以外の他の数式に従って時系列データN1,N2の相関を算出する構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置101では、監視部52は、時系列データN1,N2に対して、送信間隔dk,Dkの値の正負符号を時系列に沿って交互に反転させる符号反転処理を行うことにより、時系列データNs1,Ns2を作成する構成であるとしたが、これに限定するものではない。監視部52は、符号反転処理を行うことなく時系列データN1,N2を相関算出部53へ出力し、相関算出部53が時系列データN1,N2の自己相関係数rを算出し、検知部54が自己相関係数rに基づいて不正メッセージを検知する構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置101では、監視部52は、時系列データN1と時系列データN2とを作成し、作成した時系列データN1,N2に対して符号反転処理を行うことにより、時系列データNs1,Ns2を作成する構成であるとしたが、これに限定するものではない。監視部52は、受信時刻takから受信時刻tak−1を差し引いた値に(−1)^kを掛けることにより、時系列データN1を作成することなく時系列データNs1を作成してもよい。また、監視部52は、受信時刻tbkから受信時刻tbk−1を差し引いた値に(−1)^kを掛けることにより、時系列データN2を作成することなく時系列データNs2を作成してもよい。
また、本発明の実施の形態に係るゲートウェイ装置101では、検知部54は、相関算出部53によって算出された自己相関係数rと、2つのしきい値ThA,ThBとに基づいて不正メッセージを検知する構成であるとしたが、これに限定するものではない。検知部54は、自己相関係数rと、1つまたは3つ以上のしきい値とに基づいて不正メッセージを検知する構成であってもよい。
ところで、特許文献1の車載ネットワークシステムでは、特定識別子に基づいて不正なデータフレームを検知するために、送信側の電子制御ユニットにおいてイベントドリブンデータフレームに特定識別子を付与する付与部と、受信側の電子制御ユニットにおいて特定識別子を検証する検証部とが必要であり、車載ネットワークシステムの構成が煩雑化する。
これに対して、本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワーク12における不正メッセージを検知する。監視部52は、車載ネットワーク12における対象メッセージを監視し、第1の期間における対象メッセージmkの送信間隔dkの時系列データN1,Ns1と、第2の期間における対象メッセージMkの送信間隔Dkの時系列データN2,Ns2とを作成する。相関算出部53は、監視部52によって作成された時系列データN1,Ns1と時系列データN2,Ns2とを用いて自己相関係数rを算出する。そして、検知部54は、相関算出部53によって算出された自己相関係数rに基づいて、不正メッセージを検知する。
たとえば、第1の期間および第2の期間における対象メッセージmk,Mkが不定期に送信される正当メッセージである場合、時系列データN1,Ns1と時系列データN2,Ns2との相関は低い。一方で、第1の期間および第2の期間における対象メッセージmk,Mkの中に、周期的に送信される不正メッセージが存在する場合、対象メッセージmk,Mkの周期性が高まるため、時系列データN1,Ns1と時系列データN2,Ns2との相関は高くなる。本発明の実施の形態に係る検知装置は、送信間隔dk,Dkの時系列データを用いて算出される自己相関係数rに着目し、上記自己相関係数rに基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。
したがって、本発明の実施の形態に係る検知装置では、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
また、本発明の実施の形態に係る検知装置では、監視部52は、送信間隔dk,Dkの値の正負符号を時系列に沿って交互に反転させた時系列データNs1および時系列データNs2を作成する。相関算出部53は、監視部52によって作成された時系列データNs1の各送信間隔dkと送信間隔dkの平均値との差分、および監視部52によって作成された時系列データNs2の各送信間隔Dkと送信間隔Dkの平均値との差分を用いて自己相関係数rを算出する。
不正メッセージが高い頻度で周期的に送信される場合、対象メッセージmk,Mkの各送信間隔dk,Dkが等間隔に近づくことにより、各送信間隔dk,Dkと送信間隔dk,Dkの平均値との差分が小さくなり、結果として、CPU等において、時系列データN1,N2を用いて自己相関係数rを正確に算出することが困難となる場合がある。これに対して、送信間隔dk,Dkの値の正負符号を時系列に沿って交互に反転させた時系列データNs1,Ns2を作成し、上記時系列データNs1の各送信間隔dkと送信間隔dkの平均値との差分、および上記時系列データNs2の各送信間隔Dkと送信間隔Dkの平均値との差分を用いて自己相関係数rを算出する構成により、不正メッセージが高い頻度で周期的に送信される場合であっても、時系列データNs1,Ns2を用いて自己相関係数rを正確に算出することができる。これにより、上記自己相関係数rに基づいて高い精度で不正メッセージを検知することができる。
また、本発明の実施の形態に係る検知装置では、検知部54は、相関算出部53によって算出された自己相関係数rが、−1より大きい負の数であるしきい値ThAより小さいか、または1より小さい正の数であるしきい値ThBより大きい場合に、不正メッセージを検知する。
このような構成により、たとえば、時系列データN1,N2を用いて算出された自己相関係数rと、予め適切な値に設定されたしきい値ThA,ThBとに基づいて、不正メッセージを正しく検知することができる。また、たとえば、送信間隔dk,Dkの値の正負符号を時系列に沿って交互に反転させた時系列データNs1,Ns2を用いて算出された自己相関係数rと、予め適切な値に設定されたしきい値ThA,ThBとに基づいて、不正メッセージを正しく検知することができる。
また、本発明の実施の形態に係るゲートウェイ装置101は、車載ネットワーク12における車載装置間のメッセージを中継する。監視部52は、車載ネットワーク12における対象メッセージを監視し、第1の期間における対象メッセージmkの送信間隔dkの時系列データN1,Ns1と、第2の期間における対象メッセージMkの送信間隔Dkの時系列データN2,Ns2とを作成する。相関算出部53は、監視部52によって作成された時系列データN1,Ns1と時系列データN2,Ns2とを用いて自己相関係数rを算出する。そして、検知部54は、相関算出部53によって算出された自己相関係数rに基づいて、車載ネットワーク12における不正メッセージを検知する。
たとえば、第1の期間および第2の期間における対象メッセージmk,Mkが不定期に送信される正当メッセージである場合、時系列データN1,Ns1と時系列データN2,Ns2との相関は低い。一方で、第1の期間および第2の期間における対象メッセージmk,Mkの中に、周期的に送信される不正メッセージが存在する場合、対象メッセージmk,Mkの周期性が高まるため、時系列データN1,Ns1と時系列データN2,Ns2との相関は高くなる。本発明の実施の形態に係るゲートウェイ装置は、送信間隔dk,Dkの時系列データを用いて算出される自己相関係数rに着目し、上記自己相関係数rに基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。
したがって、本発明の実施の形態に係るゲートウェイ装置101では、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
本発明の実施の形態に係る検知方法では、まず、検知装置が、車載ネットワーク12における対象メッセージを監視し、第1の期間における対象メッセージmkの送信間隔dkの時系列データN1,Ns1と、第2の期間における対象メッセージMkの送信間隔Dkの時系列データN2,Ns2とを作成する。次に、検知装置が、作成した時系列データN1,Ns1と時系列データN2,Ns2とを用いて自己相関係数rを算出する。次に、検知装置が、算出した自己相関係数rに基づいて、不正メッセージを検知する。
たとえば、第1の期間および第2の期間における対象メッセージmk,Mkが不定期に送信される正当メッセージである場合、時系列データN1,Ns1と時系列データN2,Ns2との相関は低い。一方で、第1の期間および第2の期間における対象メッセージmk,Mkの中に、周期的に送信される不正メッセージが存在する場合、対象メッセージmk,Mkの周期性が高まるため、時系列データN1,Ns1と時系列データN2,Ns2との相関は高くなる。本発明の実施の形態に係る検知方法は、送信間隔dk,Dkの時系列データを用いて算出される自己相関係数rに着目し、上記自己相関係数rに基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。
したがって、本発明の実施の形態に係る検知方法では、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
本発明の実施の形態に係る検知方法では、まず、ゲートウェイ装置101が、車載ネットワーク12における対象メッセージを監視し、第1の期間における対象メッセージmkの送信間隔dkの時系列データN1,Ns1と、第2の期間における対象メッセージMkの送信間隔Dkの時系列データN2,Ns2とを作成する。次に、ゲートウェイ装置101が、作成した時系列データN1,Ns1と時系列データN2,Ns2とを用いて自己相関係数rを算出する。次に、ゲートウェイ装置101が、算出した自己相関係数rに基づいて、車載ネットワーク12における不正メッセージを検知する。
たとえば、第1の期間および第2の期間における対象メッセージmk,Mkが不定期に送信される正当メッセージである場合、時系列データN1,Ns1と時系列データN2,Ns2との相関は低い。一方で、第1の期間および第2の期間における対象メッセージmk,Mkの中に、周期的に送信される不正メッセージが存在する場合、対象メッセージmk,Mkの周期性が高まるため、時系列データN1,Ns1と時系列データN2,Ns2との相関は高くなる。本発明の実施の形態に係る検知方法は、送信間隔dk,Dkの時系列データを用いて算出される自己相関係数rに着目し、上記自己相関係数rに基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。
したがって、本発明の実施の形態に係る検知方法では、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
以上の説明は、以下に付記する特徴を含む。
[付記1]
複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第2の時系列データとを作成する監視部と、
前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとを用いて、前記送信間隔の自己相関係数を算出する相関算出部と、
前記相関算出部によって算出された前記自己相関係数に基づいて、対応の各前記送信メッセージの中に前記不正メッセージが存在するか否かを判断する検知部とを備える、検知装置。
複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第2の時系列データとを作成する監視部と、
前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとを用いて、前記送信間隔の自己相関係数を算出する相関算出部と、
前記相関算出部によって算出された前記自己相関係数に基づいて、対応の各前記送信メッセージの中に前記不正メッセージが存在するか否かを判断する検知部とを備える、検知装置。
[付記2]
車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第2の時系列データとを作成する監視部と、
前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとを用いて、前記送信間隔の自己相関係数を算出する相関算出部と、
前記相関算出部によって算出された前記自己相関係数に基づいて、対応の各前記送信メッセージの中に前記不正メッセージが存在するか否かを判断する検知部とを備える、ゲートウェイ装置。
車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第2の時系列データとを作成する監視部と、
前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとを用いて、前記送信間隔の自己相関係数を算出する相関算出部と、
前記相関算出部によって算出された前記自己相関係数に基づいて、対応の各前記送信メッセージの中に前記不正メッセージが存在するか否かを判断する検知部とを備える、ゲートウェイ装置。
12 車載ネットワーク
13,14 バス
51 通信処理部
52 監視部
53 相関算出部
54 検知部
55 記憶部
101 ゲートウェイ装置
111 車載通信機
112 ポート
121 バス接続装置群
122 制御装置
131 検知装置
301 車載通信システム
13,14 バス
51 通信処理部
52 監視部
53 相関算出部
54 検知部
55 記憶部
101 ゲートウェイ装置
111 車載通信機
112 ポート
121 バス接続装置群
122 制御装置
131 検知装置
301 車載通信システム
Claims (8)
- 複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、
前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、
前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部とを備える、検知装置。 - 前記監視部は、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた前記第1の時系列データおよび前記第2の時系列データを作成し、
前記相関算出部は、前記監視部によって作成された前記第1の時系列データにおける各前記送信間隔の値と前記各送信間隔の値の平均値との差分、および前記監視部によって作成された前記第2の時系列データにおける各前記送信間隔の値と前記各送信間隔の値の平均値との差分を用いて前記相関を算出する、請求項1に記載の検知装置。 - 前記検知部は、前記相関算出部によって算出された前記相関が、−1より大きい負の数である第1のしきい値より小さいか、または1より小さい正の数である第2のしきい値より大きい場合に、対応の各前記送信メッセージの中に前記不正メッセージが存在すると判断する、請求項1または請求項2に記載の検知装置。
- 車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、
前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、
前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部とを備える、ゲートウェイ装置。 - 複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成するステップと、
作成した前記第1の時系列データと前記第2の時系列データとの相関を算出するステップと、
算出した前記相関に基づいて、前記不正メッセージを検知するステップとを含む、検知方法。 - 車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成するステップと、
作成した前記第1の時系列データと前記第2の時系列データとの相関を算出するステップと、
算出した前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知するステップとを含む、検知方法。 - 複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、
コンピュータを、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、
前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、
前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部、
として機能させるための、検知プログラム。 - 車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、
コンピュータを、
前記車載ネットワークにおける送信メッセージを監視し、第1の期間における前記送信メッセージの送信間隔の値の時系列データである第1の時系列データと、第2の期間における前記送信メッセージの送信間隔の値の時系列データである第2の時系列データとを作成する監視部と、
前記監視部によって作成された前記第1の時系列データと前記第2の時系列データとの相関を算出する相関算出部と、
前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部、
として機能させるための、検知プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018196635 | 2018-10-18 | ||
| JP2018196635 | 2018-10-18 | ||
| PCT/JP2019/019551 WO2020079874A1 (ja) | 2018-10-18 | 2019-05-16 | 検知装置、ゲートウェイ装置、検知方法および検知プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPWO2020079874A1 true JPWO2020079874A1 (ja) | 2021-09-09 |
Family
ID=70284482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020552507A Pending JPWO2020079874A1 (ja) | 2018-10-18 | 2019-05-16 | 検知装置、ゲートウェイ装置、検知方法および検知プログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210392109A1 (ja) |
| JP (1) | JPWO2020079874A1 (ja) |
| CN (1) | CN112889244A (ja) |
| WO (1) | WO2020079874A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021002013A1 (ja) * | 2019-07-04 | 2021-01-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常検知装置および異常検知方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012056051A (ja) * | 2010-09-10 | 2012-03-22 | Makino Milling Mach Co Ltd | びびり振動検出方法及びびびり振動回避方法、並びに工作機械 |
| WO2015170451A1 (ja) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、電子制御ユニット及び不正検知方法 |
| JP2017191517A (ja) * | 2016-04-14 | 2017-10-19 | 日本放送協会 | アンケートデータ精査装置及びそのプログラム |
| WO2018051607A1 (ja) * | 2016-09-15 | 2018-03-22 | 住友電気工業株式会社 | 検知装置、ゲートウェイ装置、検知方法および検知プログラム |
| WO2018173732A1 (ja) * | 2017-03-23 | 2018-09-27 | 株式会社オートネットワーク技術研究所 | 車載通信装置、コンピュータプログラム及びメッセージ判定方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8111626B2 (en) * | 2008-04-17 | 2012-02-07 | At&T Intellectual Property I, L.P. | Method and apparatus for providing statistical event correlation in a network |
| JP6294741B2 (ja) * | 2014-04-09 | 2018-03-14 | 株式会社日立製作所 | 制御システム、中継装置、および制御方法 |
| CN105046148B (zh) * | 2015-07-10 | 2019-01-01 | 厦门雅迅网络股份有限公司 | 一种车内数据安全监控方法 |
| JP6684690B2 (ja) * | 2016-01-08 | 2020-04-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム |
| JP6433951B2 (ja) * | 2016-08-09 | 2018-12-05 | 東芝デジタルソリューションズ株式会社 | ネットワーク監視装置およびプログラム |
| US20190384771A1 (en) * | 2017-01-19 | 2019-12-19 | Nec Corporation | Extracting device, extracting method and storage medium, and abnormality detecting device and abnormality detecting method |
| JP7010641B2 (ja) * | 2017-09-27 | 2022-01-26 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 異常診断方法および異常診断装置 |
-
2019
- 2019-05-16 JP JP2020552507A patent/JPWO2020079874A1/ja active Pending
- 2019-05-16 CN CN201980068614.4A patent/CN112889244A/zh active Pending
- 2019-05-16 WO PCT/JP2019/019551 patent/WO2020079874A1/ja active Application Filing
- 2019-05-16 US US17/283,638 patent/US20210392109A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012056051A (ja) * | 2010-09-10 | 2012-03-22 | Makino Milling Mach Co Ltd | びびり振動検出方法及びびびり振動回避方法、並びに工作機械 |
| WO2015170451A1 (ja) * | 2014-05-08 | 2015-11-12 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車載ネットワークシステム、電子制御ユニット及び不正検知方法 |
| JP2017191517A (ja) * | 2016-04-14 | 2017-10-19 | 日本放送協会 | アンケートデータ精査装置及びそのプログラム |
| WO2018051607A1 (ja) * | 2016-09-15 | 2018-03-22 | 住友電気工業株式会社 | 検知装置、ゲートウェイ装置、検知方法および検知プログラム |
| WO2018173732A1 (ja) * | 2017-03-23 | 2018-09-27 | 株式会社オートネットワーク技術研究所 | 車載通信装置、コンピュータプログラム及びメッセージ判定方法 |
Non-Patent Citations (2)
| Title |
|---|
| 濱田 芳博 YOSHIHIRO HAMADA: "CANのイベントメッセージに対する侵入検知手法の提案 Intrusion Detection for Acyclic Messages in In", CSS2018 コンピュータセキュリティシンポジウム2018論文集 [USB], vol. 第2018巻, JPN6022031511, 15 October 2018 (2018-10-15), JP, pages 1112 - 1119, ISSN: 0004983327 * |
| 濱田 芳博他: "相関データによる車両データモデルを用いた車載ネットワーク向けアノマリ検知", 2018年 暗号と情報セキュリティシンポジウム(SCIS2018)予稿集 [USB] 2018年 暗, JPN6019021680, 23 January 2018 (2018-01-23), pages 1 - 8, ISSN: 0004840830 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112889244A (zh) | 2021-06-01 |
| WO2020079874A1 (ja) | 2020-04-23 |
| US20210392109A1 (en) | 2021-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6805667B2 (ja) | 検知装置、ゲートウェイ装置、検知方法および検知プログラム | |
| CN110494330B (zh) | 车辆监视装置、不正当检测服务器、以及控制方法 | |
| US10757114B2 (en) | Systems and methods for detection of malicious activity in vehicle data communication networks | |
| JP7007632B2 (ja) | 検知装置、検知方法および検知プログラム | |
| US20200413264A1 (en) | Context system for providing cyber security for connected vehicles | |
| US11392683B2 (en) | Detection device, detection method and recording medium | |
| JP7276670B2 (ja) | 検知装置、検知方法および検知プログラム | |
| US10453342B2 (en) | Methods, devices, and computer programs for providing information about a dangerous situation on a vehicle-to-vehicle interface | |
| JP7435616B2 (ja) | 検知装置、車両、検知方法および検知プログラム | |
| WO2021111685A1 (ja) | 検知装置、車両、検知方法および検知プログラム | |
| JPWO2020079874A1 (ja) | 検知装置、ゲートウェイ装置、検知方法および検知プログラム | |
| JP2010154183A (ja) | 車載無線通信装置およびキャリアセンス方法 | |
| JP6244625B2 (ja) | 渋滞検出システム及び渋滞検出方法 | |
| WO2021065069A1 (ja) | 検知装置、車両、検知方法および検知プログラム | |
| WO2022137661A1 (ja) | 検知装置、検知方法および検知プログラム | |
| JP2010503299A (ja) | 情報の検証方法 | |
| CN117671969A (zh) | 目标感知方法及装置、信息发送方法及装置、设备及介质 | |
| Bae et al. | Tire location registration algorithm using inter frame spacing pattern in TPMS | |
| CN115699818A (zh) | 用于评估由车辆传输的信息的正确性的方法和系统 | |
| WO2007066983A1 (en) | Apparatus and method for providing traffic jam information, and apparatus for receiving traffic jam information for automobile |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211021 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220802 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230207 |