従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
[本開示が解決しようとする課題]
特許文献1に記載の異常検知装置は、特定部が、受信されたメッセージID毎のフレームの数を成分とする特徴ベクトルである特徴情報を生成し、特徴情報と所定モデルとを用いた演算処理を行い、演算処理の結果に応じて、所定モデルが表す基準を特徴情報が逸脱しているか否かを判定することにより、異常を検知する構成である。
しかしながら、特許文献1に記載の異常検知装置では、特徴ベクトルが基準を逸脱しているか否かを判定するために、たとえば、特徴ベクトルの、kd木等のデータ構造で表された所定モデルが示す基準に対する最近傍距離を計算して閾値と比較するという複雑な処理が必要であり、CPU(Central Processing Unit)等における負荷が大きい。
また、特許文献2に記載のセキュリティ装置では、IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れるか否かを判断するために、各フレームの送信時刻を取得する必要があることから、CPU等における負荷が大きい。
本開示は、上述の課題を解決するためになされたもので、その目的は、簡易な処理によって車載ネットワークにおける異常を正しく検知することが可能な検知装置、ゲートウェイ装置、検知方法および検知プログラムを提供することである。
[本開示の効果]
本開示によれば、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
[本願発明の実施形態の説明]
最初に、本発明の実施形態の内容を列記して説明する。
(1)本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第1のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。
たとえば、車載ネットワークにおいて異常が発生している場合、監視部によって取得された第1のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第1のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
(2)好ましくは、前記検知装置は、さらに、前記監視部によって取得された、前記第1のタイミングより前のタイミングにおける前記通信負荷に基づいて、前記第1のタイミングにおける前記通信負荷の推定値を算出する推定部を備え、前記検知部は、前記監視部によって取得された前記第1のタイミングにおける前記通信負荷と、前記推定部によって算出された前記第1のタイミングにおける前記推定値とを比較し、比較結果に基づいて、前記車載ネットワークにおける不正メッセージの発生を推定する。
このような構成により、第1のタイミングにおける通信負荷からは車載ネットワークにおける異常が検知されない状況であっても、第1のタイミングより前のタイミングにおける通信負荷から推定される推定値と通信負荷との比較結果に基づいて、車載ネットワークにおける不正メッセージの発生を推定することができる。これにより、通信負荷によって車載ネットワークにおける異常を検知できるタイミングよりも早く、車載ネットワークにおける不正メッセージの発生を推定することができる。
(3)より好ましくは、前記推定部は、前記検知部によって前記不正メッセージの発生が推定された場合、前記第1のタイミングより後のタイミングである第2のタイミングにおける前記推定値を、前記第1のタイミング以降のタイミングにおける前記通信負荷に基づいて算出する。
このような構成により、通信負荷が大幅に増大したタイミング以降の通信負荷に基づいて、新たな推定値をより正確に算出することができる。これにより、たとえば、通信負荷のさらなる変化が生じた場合であっても、新たに算出した推定値に基づいて車載ネットワークにおける不正メッセージの発生を正確に推定することができる。
(4)より好ましくは、前記検知装置は、さらに、前記検知部によって前記車載ネットワークにおける異常が検知された場合、第1の警報情報を出力し、前記検知部によって前記車載ネットワークにおける不正メッセージの発生が推定された場合、前記第1の警報情報とは異なる第2の警報情報を出力する通知部を備える。
このように、車載ネットワークにおける異常が検知された場合と、車載ネットワークにおける不正メッセージの発生が推定された場合とで、通知部が互いに異なる警報情報を送信する構成により、たとえば、状況に応じて緊急度合いが異なる警告をユーザに通知することができる。
(5)より好ましくは、前記監視部は、前記第1のタイミングにおける前記通信負荷として、前記通信負荷の時系列データの移動平均を算出する。
このような構成により、通信負荷よりもばらつきが小さい移動平均を、車載ネットワークにおける異常の検知に用いることができる。これにより、車載ネットワークにおける異常をより正しくかつ安定して検知することができる。
(6)本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第1のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第1のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。
たとえば、車載ネットワークにおいて異常が発生すると、監視部によって取得された第1のタイミングにおける通信負荷と推定部によって算出された第1のタイミングにおける通信負荷の推定値との差分は大きい値となる。上記のように、通信負荷と推定値との差分に着目し、通信負荷と推定値との差分の履歴、第1のタイミングにおける通信負荷、および第1のタイミングにおける通信負荷の推定値に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
本発明の実施の形態に係るゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第1のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。
たとえば、車載ネットワークにおいて異常が発生している場合、監視部によって取得された第1のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第1のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
本発明の実施の形態に係るゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第1のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第1のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。
たとえば、車載ネットワークにおいて異常が発生すると、監視部によって取得された第1のタイミングにおける通信負荷と推定部によって算出された第1のタイミングにおける通信負荷の推定値との差分は大きい値となる。上記のように、通信負荷と推定値との差分に着目し、通信負荷と推定値との差分の履歴、第1のタイミングにおける通信負荷、および第1のタイミングにおける通信負荷の推定値に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
(7)本発明の実施の形態に係る検知方法は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、自己または他の車載ネットワークにおける通信負荷の履歴を取得するステップと、取得した前記履歴、および前記履歴よりも後の第1のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。
たとえば、車載ネットワークにおいて異常が発生している場合、第1のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第1のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する方法により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
(8)本発明の実施の形態に係る検知方法は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、過去に取得した前記通信負荷に基づいて、前記通信負荷の推定値を算出するステップと、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得するステップと、取得した前記履歴、前記履歴よりも後の第1のタイミングにおける前記通信負荷、および前記第1のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。
たとえば、車載ネットワークにおいて異常が発生すると、第1のタイミングにおける通信負荷と推定値との差分は大きい値となる。上記のように、通信負荷と推定値との差分に着目し、通信負荷と推定値との差分の履歴、第1のタイミングにおける通信負荷、および第1のタイミングにおける通信負荷の推定値に基づいて車載ネットワークにおける異常を検知する方法により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
本発明の実施の形態に係る検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、自己または他の車載ネットワークにおける通信負荷の履歴を取得するステップと、取得した前記履歴、および前記履歴よりも後の第1のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。
たとえば、車載ネットワークにおいて異常が発生している場合、監視部によって取得された第1のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第1のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する方法により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
本発明の実施の形態に係る検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、過去に取得した前記通信負荷に基づいて、前記通信負荷の推定値を算出するステップと、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得するステップと、取得した前記履歴、前記履歴よりも後の第1のタイミングにおける前記通信負荷、および前記第1のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。
たとえば、車載ネットワークにおいて異常が発生すると、第1のタイミングにおける通信負荷と推定値との差分は大きい値となる。上記のように、通信負荷と推定値との差分に着目し、通信負荷と推定値との差分の履歴、第1のタイミングにおける通信負荷、および第1のタイミングにおける通信負荷の推定値に基づいて車載ネットワークにおける異常を検知する方法により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
(9)本発明の実施の形態に係る検知プログラムは、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第1のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。
たとえば、車載ネットワークにおいて異常が発生している場合、監視部によって取得された第1のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第1のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
(10)本発明の実施の形態に係る検知プログラムは、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置において用いられる検知プログラムであって、コンピュータを、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第1のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第1のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。
たとえば、車載ネットワークにおいて異常が発生すると、監視部によって取得された第1のタイミングにおける通信負荷と推定部によって算出された第1のタイミングにおける通信負荷の推定値との差分は大きい値となる。上記のように、通信負荷と推定値との差分に着目し、通信負荷と推定値との差分の履歴、第1のタイミングにおける通信負荷、および第1のタイミングにおける通信負荷の推定値に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
本発明の実施の形態に係る検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第1のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。
たとえば、車載ネットワークにおいて異常が発生している場合、監視部によって取得された第1のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第1のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
本発明の実施の形態に係る検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第1のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第1のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。
たとえば、車載ネットワークにおいて異常が発生すると、監視部によって取得された第1のタイミングにおける通信負荷と推定部によって算出された第1のタイミングにおける通信負荷の推定値との差分は大きい値となる。上記のように、通信負荷と推定値との差分に着目し、通信負荷と推定値との差分の履歴、第1のタイミングにおける通信負荷、および第1のタイミングにおける通信負荷の推定値に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
<第1の実施の形態>
[構成および基本動作]
図1は、本発明の第1の実施の形態に係る車載通信システムの構成を示す図である。
図1を参照して、車載通信システム301は、ゲートウェイ装置(検知装置)101と、複数の車載通信機111と、複数のバス接続装置群121とを備える。
図2は、本発明の第1の実施の形態に係るバス接続装置群の構成を示す図である。
図2を参照して、バス接続装置群121は、複数の制御装置122を含む。なお、バス接続装置群121は、複数の制御装置122を備える構成に限らず、1つの制御装置122を含む構成であってもよい。
車載通信システム301は、道路を走行する車両(以下、対象車両とも称する。)に搭載される。車載ネットワーク12は、車両の内部における装置である車載装置を複数含む。具体的には、車載ネットワーク12は、車載装置の一例である、複数の車載通信機111および複数の制御装置122を含む。なお、車載ネットワーク12は、複数の車載装置を含む構成であれば、複数の車載通信機111を含みかつ制御装置122を含まない構成であってもよいし、車載通信機111を含まずかつ複数の制御装置122を含む構成であってもよいし、1つの車載通信機111および1つの制御装置122を含む構成であってもよい。
車載ネットワーク12において、車載通信機111は、たとえば、対象車両の外部における装置と通信する。具体的には、車載通信機111は、たとえば、TCU(Telematics Communication Unit)、近距離無線端末装置、およびITS(Intelligent Transport Systems)無線機である。
TCUは、たとえば、LTE(Long Term Evolution)または3G等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。TCUは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびFOTA(Firmware Over The Air)等のサービスに用いる情報を中継する。
近距離無線端末装置は、たとえば、Wi−Fi(登録商標)およびBluetooth(登録商標)等の通信規格に従って、対象車両に乗車している人間(以下、搭乗者とも称する。)の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。
また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とLF(Low Frequency)帯またはUHF(Ultra High Frequency)帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびTPMS(Tire Pressure Monitoring System)等のサービスに用いる情報を中継する。
ITS無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびITSスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置101と通信を行うことが可能である。ITS無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。
ゲートウェイ装置101は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置101により蓄積されたデータ等を対象車両の外部における整備用端末装置とポート112を介して送受信することが可能である。
ゲートウェイ装置101は、たとえばバス13,14を介して車載装置と接続する。具体的には、バス13,14は、たとえば、CAN(Controller Area Network)(登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスである。
この例では、車載通信機111は、イーサネットの規格に従う対応のバス14を介してゲートウェイ装置101と接続されている。また、バス接続装置群121における各制御装置122は、CANの規格に従う対応のバス13を介してゲートウェイ装置101と接続されている。制御装置122は、たとえば、対象車両における機能部を制御可能である。
バス13は、たとえば系統別に設けられる。具体的には、バス13は、たとえば、駆動系バス、シャーシ/安全系バス、ボディ/電装系バスおよびAV/情報系バスである。
駆動系バスには、制御装置122の一例であるエンジン制御装置、AT(Automatic Transmission)制御装置およびHEV(Hybrid Electric Vehicle)制御装置が接続されている。エンジン制御装置、AT制御装置およびHEV制御装置は、エンジン、AT、およびエンジンとモータとの切替をそれぞれ制御する。
シャーシ/安全系バスには、制御装置122の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。
ボディ/電装系バスには、制御装置122の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。
AV/情報系バスには、制御装置122の一例であるナビゲーション制御装置、オーディオ制御装置、ETC(Electronic Toll Collection System)(登録商標)制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ETC制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ETC装置および携帯電話をそれぞれ制御する。
また、バス13には、制御装置122が接続される構成に限らず、制御装置122以外の装置が接続されてもよい。
ゲートウェイ装置101は、たとえば、セントラルゲートウェイ(Central Gateway:CGW)であり、車載装置と通信を行うことが可能である。
ゲートウェイ装置101は、たとえば、対象車両において異なるバス13に接続された制御装置122間でやり取りされる情報、各車載通信機111間でやり取りされる情報、制御装置122および車載通信機111間でやり取りされる情報を中継する中継処理を行う。
より詳細には、車載ネットワーク12では、ある車載装置から他の車載装置へ周期的にまたは不定期にメッセージが送信される。メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよい。
なお、以下では、ある制御装置122から他の制御装置122へ送信されるメッセージについて説明するが、制御装置122および車載通信機111間において送信されるメッセージ、ならびに各車載通信機111間において送信されるメッセージについても同様である。
[ゲートウェイ装置の構成]
図3は、本発明の第1の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
図3を参照して、ゲートウェイ装置101は、通信処理部51と、監視部52と、取得部53と、検知部54と、通知部55と、記憶部56とを備える。記憶部56は、たとえば、不揮発性メモリである。
ゲートウェイ装置101は、検知装置として機能し、車載ネットワーク12における異常を検知する検知処理を行う。
より詳細には、ゲートウェイ装置101は、車載ネットワーク12における異常を検知する処理として、各バス13のうち検知対象となるバス(以下、検知対象バスとも称する。)における、不正メッセージによる通信トラフィックの異常(以下、トラフィック異常とも称する)を検知する。
[通信処理部]
通信処理部51は、中継処理を行う。より詳細には、通信処理部51は、ある制御装置122から対応のバス13経由でメッセージを受信すると、受信したメッセージを記憶部56に保存する。そして、通信処理部51は、メッセージを記憶部56から取得し、取得したメッセージを対応のバス13経由で送信先の制御装置122へ送信する。
より詳細には、たとえば、記憶部56には、メッセージの送信先である各バス接続装置群121に対応する複数のキューが設けられている。言い換えると、記憶部56には、メッセージの送信時に経由する各バス13に対応する複数のキューが設けられている。
通信処理部51は、たとえば、メッセージを受信すると、送信先のバス接続装置群121ごとに対応のキューに振り分けて保存する。そして、通信処理部51は、メッセージを記憶部56のキューから取得し、取得したメッセージを送信先のバス接続装置群121へ対応のバス13経由で送信する。
[監視部]
監視部52は、車載ネットワーク12における送信メッセージを監視し、車載ネットワーク12における通信負荷を取得する。たとえば、監視部52は、記憶部56におけるメッセージを監視することにより、検知対象バスの通信負荷を取得する。
たとえば、記憶部56は、各バス13において単位時間あたりに伝送可能なデータ量の上限値(以下、最大通信量とも称する。)を記憶している。監視部52は、記憶部56から検知対象バスの最大通信量を取得する。
監視部52は、記憶部56における各キューのうち検知対象バスに対応するキューにおけるメッセージを監視することにより、単位時間あたりに検知対象バスを介して伝送されるメッセージの総データ量を取得する。
監視部52は、取得した総データ量を検知対象バスの最大通信量で除した値を、検知対象バスの通信負荷Lとして算出する。
一例として、監視部52は、記憶部56における対応のキューに保存されたメッセージの数を取得し、取得したメッセージの数に基づいて、単位時間あたりに検知対象バスを介して伝送されるメッセージの総データ量を算出する。
また、他の例として、監視部52は、記憶部56における対応のキューに保存された各メッセージに含まれるDLC(Data Length Code)を参照することにより、当該メッセージのデータフィールドのデータ量を取得し、取得したデータ量の総和に基づいて、単位時間あたりに検知対象バスを介して伝送されるメッセージの総データ量を算出する。なお、DLCは、4bitで構成され、データフィールドの長さを示す値である。
たとえば、記憶部56は、通信負荷Lの取得周期C1などを示す設定情報を記憶している。監視部52は、記憶部56から設定情報を取得し、取得した設定情報に従って、取得周期C1に従う取得タイミングにおいて検知対象バスの通信負荷Lを取得し、取得した通信負荷Lを検知部54へ出力する。
[取得部]
取得部53は、自己または他の車載ネットワークにおける通信負荷Lの履歴を取得する。たとえば、取得部53は、監視部52によって取得された検知対象バスの通信負荷Lの履歴を取得する。
取得部53は、たとえば、検知対象バスの通信負荷Lの履歴として、サーバ等の他の装置によって予め作成された、検知対象バスの通信負荷Lの度数分布を示す分布情報F1を取得する。
図4は、本発明の第1の実施の形態に係る車載通信システムにおける通信負荷の度数分布の一例を示す図である。なお、図4において、縦軸は度数を示し、横軸は通信負荷Lを示す。
図4を参照して、サーバは、監視部52によって一定期間にわたって取得されたバス13ごとの通信負荷Lに基づいて、通信負荷Lの度数分布D1をバス13ごとに作成する。この通信負荷Lは、たとえば、対象車両と同じ種類のテスト車両すなわち他の車載ネットワークにおいて取得される。なお、サーバは、対象車両すなわち自己の車載ネットワークにおいて取得された通信負荷Lに基づいて度数分布D1を作成してもよい。
サーバは、作成した度数分布D1に基づいて、通信負荷Lの標本平均および標本標準偏差などを算出する。サーバは、取得部53から分布情報F1の送信要求を受けると、通信負荷Lの標本平均および標本標準偏差などを含む分布情報F1を要求元の対象車両へ送信する。
再び図3を参照して、取得部53は、検知対象バスの分布情報F1の送信要求をサーバへ送信することにより、分布情報F1を取得する。取得部53は、車載通信機111および通信処理部51経由でサーバから分布情報F1を受信すると、受信した分布情報F1を検知部54へ出力する。
なお、ゲートウェイ装置101では、取得部53が、車載通信機111および通信処理部51経由でサーバから分布情報F1を受信する構成であるとしたが、これに限定するものではない。たとえば、サーバまたは整備用端末装置によって記憶部56に各バス13の分布情報F1が保存されており、取得部53が記憶部56から検知対象バスの分布情報F1を取得する構成であってもよい。
[検知部]
検知部54は、取得部53によって取得された通信負荷Lの履歴、および、監視部52によって取得された、当該履歴よりも後の第1のタイミングにおける通信負荷Lに基づいて、車載ネットワーク12における異常を検知する。より詳細には、検知部54は、上記履歴、および、当該履歴に含まれる各通信負荷Lの取得タイミングよりも後の取得タイミングtにおいて取得された通信負荷Lに基づいて、検知対象バスにおけるトラフィック異常を検知する。以下では、監視部52によって取得タイミングtにおいて取得された通信負荷Lを通信負荷Ltと称する。
たとえば、検知部54は、取得部53から受けた分布情報F1、および監視部52から受けた通信負荷Ltに基づいて、検知対象バスにおけるトラフィック異常を検知する。
より詳細には、サーバが作成した度数分布D1は、検知対象バスにおいてトラフィック異常が発生していないときの通信負荷Lの度数分布であると仮定することができる。検知部54は、度数分布D1に対応する分布情報F1と、監視部52から受けた通信負荷Ltとに基づいて、検知対象バスにおけるトラフィック異常を検知する。
たとえば、検知部54は、取得部53から受けた分布情報F1に基づいて、通信負荷Lの度数分布D1を正規分布で近似した確率密度関数をモデルとして作成し、作成したモデルと、監視部52から受けた通信負荷Ltとに基づいて、検知対象バスにおけるトラフィック異常を検知する。
図5は、本発明の第1の実施の形態に係るゲートウェイ装置における検知部によるトラフィック異常の検知例を示す図である。なお、図5において、横軸は通信負荷を示す。図5の破線は、通信負荷Lの度数分布D1を正規分布で近似した確率密度関数を示す。
図3および図5を参照して、検知部54は、取得部53から分布情報F1を受けると、分布情報F1に基づいて、通信トラフィックが正常である場合における通信負荷Lの平均値の信頼区間の下限値A1および上限値B1を算出し、算出した上限値B1をしきい値ThA1として設定する。
検知部54は、監視部52から通信負荷Ltを受けると、受けた通信負荷Ltとしきい値ThA1とを比較する。
たとえば、検知部54は、監視部52によって取得タイミングt1において取得された通信負荷Lt1がしきい値ThA1以下である場合、検知対象バスにおけるトラフィック異常は発生していないと判断する。
これは、たとえば、取得タイミングt1において、検知対象バスにおけるトラフィック異常が発生していない場合、通信負荷Ltは図5に示す確率密度関数の中心の近傍に位置する可能性が高く、しきい値ThA1を超える可能性は低いからである。
一方、検知部54は、監視部52によって取得タイミングt2において取得された通信負荷Lt2がしきい値ThA1より大きい場合、検知対象バスにおけるトラフィック異常が発生していると判断する。
これは、たとえば、取得タイミングt2において、検知対象バスにおけるトラフィック異常が発生している場合、通信負荷Lt2は大きい値となり、しきい値ThA1を超える可能性が高いからである。
検知部54は、通信負荷Ltおよびしきい値ThA1に基づく判断結果を示す判断情報を、通信処理部51および通知部55へ出力する。
通信処理部51は、検知部54から受けた判断情報が、検知対象バスにおけるトラフィック異常が発生していないことを示す場合、当該検知対象バスを介した中継処理を通常通り行う。具体的には、通信処理部51は、当該検知対象バスを介してメッセージを送信先の制御装置122へ送信する。
一方、通信処理部51は、検知部54から受けた判断情報が、検知対象バスにおけるトラフィック異常が発生していることを示す場合、たとえば、当該検知対象バスを介した中継処理を停止する。そして、通信処理部51は、当該判断情報が示すメッセージおよび検知対象バスをログとして記憶部56に記録する。
通知部55は、検知部54から受けた判断情報が、検知対象バスにおけるトラフィック異常が発生していることを示す場合、検知対象バスにおけるトラフィック異常が発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する。
[動作]
車載通信システム301における各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のフローチャートの各ステップの一部または全部を含むプログラムを当該メモリからそれぞれ読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
図6は、本発明の第1の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知を行う際の動作手順を定めたフローチャートである。
図6を参照して、まず、ゲートウェイ装置101は、検知対象バスの通信負荷Lの度数分布D1を示す分布情報F1を取得する(ステップS102)。
次に、ゲートウェイ装置101は、分布情報F1に基づいて、しきい値ThA1を設定する(ステップS104)。
次に、ゲートウェイ装置101は、取得タイミングtにおける検知対象バスの通信負荷Ltを取得する(ステップS106)。
次に、ゲートウェイ装置101は、設定したしきい値ThA1と取得した通信負荷Ltとを比較する(ステップS108)。
次に、ゲートウェイ装置101は、通信負荷Ltがしきい値ThA1以下である場合(ステップS110でNO)、検知対象バスにおけるトラフィック異常が発生しておらず、通信トラフィックは正常であると判断する(ステップS112)。
次に、ゲートウェイ装置101は、次の取得タイミングt+1における検知対象バスの通信負荷Lt+1を取得する処理(ステップS106)、および通信負荷Lt+1としきい値ThA1とを比較する処理(ステップS108)等を行う。
一方、ゲートウェイ装置101は、通信負荷Ltがしきい値ThA1より大きい場合(ステップS110でYES)、検知対象バスにおけるトラフィック異常が発生していると判断する(ステップS114)。
次に、ゲートウェイ装置101は、検知対象バスにおけるトラフィック異常が発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する(ステップS116)。
次に、ゲートウェイ装置101は、次の取得タイミングt+1における検知対象バスの通信負荷Lt+1を取得する処理(ステップS106)、および通信負荷Lt+1としきい値ThA1とを比較する処理(ステップS108)等を行う。
なお、本発明の第1の実施の形態に係る車載通信システム301では、ゲートウェイ装置101が、検知対象バスにおけるトラフィック異常を検知する構成であるとしたが、これに限定するものではない。車載通信システム301では、ゲートウェイ装置101とは別の検知装置が、検知対象バスにおけるトラフィック異常を検知する構成であってもよい。
また、本発明の第1の施の形態に係る車載通信システムでは、検知装置として機能するゲートウェイ装置101がバス13に直接接続される構成であるとしたが、これに限定するものではない。
図7は、本発明の第1の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。
図7を参照して、検知装置131が、車載装置たとえば制御装置122を介してバス13に接続される構成であってもよい。この場合、検知装置131は、たとえば、当該車載装置が送受信するメッセージを監視することにより、当該車載装置を介して接続されるバス13におけるトラフィック異常を検知する構成であってもよい。
図7に示す例では、たとえば、検知装置131の監視部52は、制御装置122がバス13を介して単位時間あたりに伝送するメッセージの総データ量を取得し、取得した総データ量を当該バス13の最大通信量で除した値を、当該バスの通信負荷Lとして算出する。
また、本発明の第1の実施の形態に係るゲートウェイ装置101では、検知部54は、制御装置122間を接続するバス13を検知対象バスとして検知処理を行う構成であるとしたが、これに限定するものではない。検知部54は、制御装置122および車載通信機111間を接続するバス13,14を検知対象バスとして検知処理を行う構成であってもよいし、車載通信機111間を接続するバス14を検知対象バスとして検知処理を行う構成であってもよい。
さらに、検知部54は、車載ネットワーク12におけるすべてのバス13,14を並行して検知対象として検知処理を行う構成であってもよいし、各バス13,14を時分割で検知対象として検知処理を行う構成であってもよい。
また、本発明の第1の実施の形態に係るゲートウェイ装置101では、検知部54は、車載ネットワーク12における異常を検知する処理として、検知対象バスにおけるトラフィック異常の有無を判断する構成であるとしたが、これに限定するものではない。検知部54は、車載ネットワーク12における異常を検知する処理として、検知対象バスにおける通信トラフィックが異常である確率を算出する構成であってもよい。
また、本発明の第1の実施の形態に係るゲートウェイ装置101では、検知部54は、取得タイミングtにおいて取得された通信負荷Ltと、しきい値ThA1とに基づいてトラフィック異常を検知する構成であるとしたが、これに限定するものではない。検知部54は、通信負荷Ltと、2つ以上のしきい値とに基づいてトラフィック異常を検知する構成であってもよい。たとえば、図5を参照して、検知部54は、通信トラフィックが正常である場合における通信負荷Lの平均値の信頼区間の下限値A1をしきい値として設定する構成であってもよいし、異なる信頼区間の上限値をしきい値として設定する構成であってもよい。
また、本発明の第1の実施の形態に係るゲートウェイ装置101における検知部54は、たとえば、ユーザから検知処理を停止すべき旨を示す命令情報を受けた場合には、検知処理を行わない構成であってもよい。
このような構成により、ゲートウェイ装置101がファームウェアの更新プログラムを受信する場合などにおいて、検知処理を停止することができるため、CPU等の処理負荷を軽減することができる。
また、本発明の第1の実施の形態に係るゲートウェイ装置101では、記憶部56は不揮発性メモリであるとしたが、これに限定するものではない。記憶部56は、揮発性メモリであってもよいし、揮発性記憶領域と不揮発性記憶領域とを有する構成であってもよい。
ところで、特許文献1に記載の異常検知装置では、特徴ベクトルが基準を逸脱しているか否かを判定するために、たとえば、特徴ベクトルの、kd木等のデータ構造で表された所定モデルが示す基準に対する最近傍距離を計算して閾値と比較するという複雑な処理が必要であり、CPU等における負荷が大きい。また、特許文献2に記載のセキュリティ装置では、IDが同値の2つのフレームの受信間隔が所定の許容範囲から外れるか否かを判断するために、各フレームの送信時刻を取得する必要があることから、CPU等における負荷が大きい。
これに対して、本発明の第1の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワーク12における異常を検知する。監視部52は、車載ネットワーク12における送信メッセージを監視し、車載ネットワーク12における検知対象バスの通信負荷Lを取得する。取得部53は、自己または他の車載ネットワークにおける検知対象バスの通信負荷Lの履歴を取得する。検知部54は、取得部53によって取得された通信負荷Lの履歴、および監視部52によって取得された、通信負荷Lの履歴よりも後の取得タイミングtにおける通信負荷Ltに基づいて、検知対象バスにおけるトラフィック異常を検知する。
たとえば、検知対象バスにおけるトラフィック異常が発生している場合、取得タイミングtにおける通信負荷Ltは大きい値となる。本発明の第1の実施の形態に係る検知装置は、通信負荷Lに着目し、通信負荷Lの履歴、および取得タイミングtにおける通信負荷Ltに基づいて検知対象バスにおけるトラフィック異常を検知する構成により、たとえば特許文献1に記載の異常検知装置および特許文献2に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおけるトラフィック異常を検知することができる。
したがって、本発明の第1の実施の形態に係る検知装置では、簡易な処理によって車載ネットワーク12における異常を正しく検知することができる。
本発明の第1の実施の形態に係るゲートウェイ装置101は、車載ネットワーク12における車載装置間のメッセージを中継する。監視部52は、車載ネットワーク12における送信メッセージを監視し、車載ネットワーク12における検知対象バスの通信負荷Lを取得する。取得部53は、自己または他の車載ネットワークにおける検知対象バスの通信負荷Lの履歴を取得する。検知部54は、取得部53によって取得された通信負荷Lの履歴、および監視部52によって取得された、通信負荷Lの履歴よりも後の取得タイミングtにおける通信負荷Ltに基づいて、検知対象バスにおけるトラフィック異常を検知する。
たとえば、検知対象バスにおけるトラフィック異常が発生している場合、取得タイミングtにおける通信負荷Ltは大きい値となる。本発明の第1の実施の形態に係る検知装置は、通信負荷Lに着目し、通信負荷Lの履歴、および取得タイミングtにおける通信負荷Ltに基づいて検知対象バスにおけるトラフィック異常を検知する構成により、たとえば特許文献1に記載の異常検知装置および特許文献2に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおけるトラフィック異常を検知することができる。
したがって、本発明の第1の実施の形態に係るゲートウェイ装置101では、簡易な処理によって車載ネットワーク12における異常を正しく検知することができる。
本発明の第1の実施の形態に係る検知方法では、まず、検知装置が、車載ネットワークにおける送信メッセージを監視し、車載ネットワーク12における検知対象バスの通信負荷Lを取得する。次に、検知装置が、自己または他の車載ネットワークにおける検知対象バスの通信負荷Lの履歴を取得する。次に、検知装置が、取得した通信負荷Lの履歴、および通信負荷Lの履歴よりも後の取得タイミングtにおける通信負荷Ltに基づいて、検知対象バスにおけるトラフィック異常を検知する。
たとえば、検知対象バスにおけるトラフィック異常が発生している場合、取得タイミングtにおける通信負荷Ltは大きい値となる。本発明の第1の実施の形態に係る検知装置は、通信負荷Lに着目し、通信負荷Lの履歴、および取得タイミングtにおける通信負荷Ltに基づいて検知対象バスにおけるトラフィック異常を検知する構成により、たとえば特許文献1に記載の異常検知装置および特許文献2に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおけるトラフィック異常を検知することができる。
したがって、本発明の第1の実施の形態に係る検知方法では、簡易な処理によって車載ネットワーク12における異常を正しく検知することができる。
本発明の第1の実施の形態に係る検知方法では、まず、ゲートウェイ装置101が、車載ネットワークにおける送信メッセージを監視し、車載ネットワーク12における検知対象バスの通信負荷Lを取得する。次に、ゲートウェイ装置101が、自己または他の車載ネットワークにおける検知対象バスの通信負荷Lの履歴を取得する。次に、ゲートウェイ装置101が、取得した通信負荷Lの履歴、および通信負荷Lの履歴よりも後の取得タイミングtにおける通信負荷Ltに基づいて、検知対象バスにおけるトラフィック異常を検知する。
たとえば、検知対象バスにおけるトラフィック異常が発生している場合、取得タイミングtにおける通信負荷Ltは大きい値となる。本発明の第1の実施の形態に係る検知装置は、通信負荷Lに着目し、通信負荷Lの履歴、および取得タイミングtにおける通信負荷Ltに基づいて検知対象バスにおけるトラフィック異常を検知する構成により、たとえば特許文献1に記載の異常検知装置および特許文献2に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおけるトラフィック異常を検知することができる。
したがって、本発明の第1の実施の形態に係る検知方法では、簡易な処理によって車載ネットワーク12における異常を正しく検知することができる。
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第2の実施の形態>
本実施の形態は、第1の実施の形態に係るゲートウェイ装置と比べて、通信負荷Lの時系列データの移動平均を用いて、車載ネットワーク12における異常を検知するゲートウェイ装置に関する。以下で説明する内容以外は第1の実施の形態に係るゲートウェイ装置と同様である。
図8は、本発明の第2の実施の形態に係るゲートウェイ装置の構成を示す図である。
図8を参照して、ゲートウェイ装置102は、通信処理部51と、監視部62と、取得部63と、検知部64と、通知部55と、記憶部56とを備える。
ゲートウェイ装置102における通信処理部51および通知部55の動作は、図3に示すゲートウェイ装置101における通信処理部51および通知部55とそれぞれ同様である。
[監視部]
監視部62は、第1のタイミングにおける通信負荷Lとして、通信負荷Lの時系列データの移動平均を算出する。
たとえば、記憶部56は、通信負荷Lの取得周期C1、および通信負荷Lの時系列データの移動平均を算出する際のウィンドウサイズなどを示す設定情報を記憶している。監視部62は、記憶部56から設定情報を取得し、取得した設定情報に従って、取得周期C1に従う取得タイミングにおいて、検知対象バスの通信負荷Lを取得するとともに当該通信負荷Lの時系列データの移動平均Aを算出する。
たとえば、監視部62は、取得周期C1に従う取得タイミングtにおいて検知対象バスの通信負荷Ltを取得すると、取得した通信負荷Ltを、時系列データの一つとして記憶部56に保存する。さらに、監視部62は、記憶部56に保存した通信負荷Lの時系列データの中から、設定情報のウィンドウサイズが示す数の通信負荷Lであって、直近の各取得タイミングにおける各通信負荷Lを取得し、取得した各通信負荷Lの平均値を、通信負荷Lの時系列データの移動平均Aとして算出する。
以下では、監視部62によって取得タイミングtにおける通信負荷Ltの取得に伴って新たに算出された移動平均Aを、移動平均Atと称する。監視部62は、取得タイミングtにおける通信負荷Ltの取得に伴って算出した移動平均Atを、検知部54へ出力する。
[取得部]
取得部63は、自己または他の車載ネットワークにおける通信負荷Lの履歴を取得する。より詳細には、取得部63は、監視部62によって取得された移動平均Aの履歴を取得する。
取得部63は、たとえば、移動平均Aの履歴として、サーバ等の他の装置によって予め作成された移動平均Aの度数分布を示す分布情報F2を取得する。
サーバは、監視部62によって一定期間にわたって取得されたバス13ごとの移動平均Aに基づいて、移動平均Aの度数分布D2をバス13ごとに作成する。この移動平均Aは、たとえば、対象車両と同じ種類のテスト車両すなわち他の車載ネットワークにおいて取得される。なお、サーバは、対象車両すなわち自己の車載ネットワークにおいて取得された移動平均Aに基づいて度数分布D2を作成してもよい。
サーバは、作成した度数分布D2に基づいて、移動平均Aの標本平均および標本標準偏差などを算出する。サーバは、取得部63から分布情報F2の送信要求を受けると、移動平均Aの標本平均および標本標準偏差などを含む分布情報F2を要求元の対象車両へ送信する。
再び図8を参照して、取得部63は、検知対象バスの分布情報F2の送信要求をサーバへ送信することにより、分布情報F2を取得する。取得部63は、車載通信機111および通信処理部51経由でサーバから分布情報F2を受信すると、受信した分布情報F2を検知部54へ出力する。
[検知部]
検知部64は、取得部63によって取得された移動平均Aの履歴、および、監視部62によって当該履歴に含まれる各移動平均Aの取得タイミングよりも後の取得タイミングtにおいて算出された移動平均Atに基づいて、検知対象バスにおけるトラフィック異常を検知する。
たとえば、検知部64は、取得部63から受けた分布情報F2、および監視部62から受けた移動平均Atに基づいて、検知対象バスにおけるトラフィック異常を検知する。
より詳細には、検知部64は、取得部63から分布情報F2を受けると、分布情報F2に基づいて、通信トラフィックが正常である場合における移動平均Aの平均値の信頼区間の下限値A2および上限値B2を算出し、算出した上限値B2をしきい値ThA2として設定する。
検知部64は、監視部62から移動平均Atを受けると、受けた移動平均Atとしきい値ThA2とを比較する。
検知部54は、移動平均Atおよびしきい値ThA2に基づいて、検知対象バスにおけるトラフィック異常が発生しているか否かを判断し、判断結果を示す判断情報を通信処理部51および通知部55へ出力する。
[動作]
図9は、本発明の第2の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知を行う際の動作手順を定めたフローチャートである。
図9を参照して、まず、ゲートウェイ装置102は、検知対象バスの移動平均Aの度数分布D2を示す分布情報F2を取得する(ステップS202)。
次に、ゲートウェイ装置102は、分布情報F2に基づいて、しきい値ThA2を設定する(ステップS204)。
次に、ゲートウェイ装置102は、取得タイミングtにおける検知対象バスの通信負荷Ltを取得するとともに、移動平均Atを算出する(ステップS206)。
次に、ゲートウェイ装置102は、設定したしきい値ThA2と算出した移動平均Atとを比較する(ステップS208)。
次に、ゲートウェイ装置102は、移動平均Atがしきい値ThA2以下である場合(ステップS210でNO)、検知対象バスにおけるトラフィック異常が発生しておらず、通信トラフィックは正常であると判断する(ステップS212)。
次に、ゲートウェイ装置102は、次の取得タイミングt+1における検知対象バスの移動平均At+1を算出する処理(ステップS206)、および移動平均At+1としきい値ThA2とを比較する処理(ステップS208)等を行う。
一方、ゲートウェイ装置102は、移動平均Atがしきい値ThA2より大きい場合(ステップS210でYES)、検知対象バスにおけるトラフィック異常が発生していると判断する(ステップS214)。
次に、ゲートウェイ装置102は、検知対象バスにおけるトラフィック異常が発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する(ステップS216)。
次に、ゲートウェイ装置102は、次の取得タイミングt+1における検知対象バスの移動平均At+1を算出する処理(ステップS206)、および移動平均At+1としきい値ThA2とを比較する処理(ステップS208)等を行う。
なお、本発明の第2の実施の形態に係る車載通信システム301では、取得部63が移動平均Aの度数分布D2を示す分布情報F2を取得する構成であるとしたが、これに限定するものではない。取得部63は、本発明の第1の実施の形態に係る取得部53と同様に、通信負荷Lの度数分布D1を示す分布情報F1を取得する構成であってもよい。
図10は、本発明の第2の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。なお、図10において、縦軸は通信負荷Lを示し、横軸は時刻を示す。図10において、実線は、監視部62が各取得タイミングtにおいて取得した検知対象バスの通信負荷Ltを示し、破線は、監視部62が各取得タイミングtにおいて算出した移動平均Atを示す。
図10を参照して、検知対象バスの通信負荷Ltは一定でなく、ばらついている。このため、たとえば、監視部62が取得タイミングtにおける通信負荷Ltをそのまま検知部64へ出力する構成では、検知対象バスにおけるトラフィック異常が発生していない場合であっても、検知部64が、通信負荷Ltとしきい値ThA2とを比較した結果、通信負荷Ltがしきい値ThA2を超え、検知対象バスにおけるトラフィック異常が発生していると誤って判断する場合がある。
これに対して、第2の実施の形態に係る検知装置では、監視部62は、取得タイミングtにおける検知対象バスの通信負荷Ltとして、検知対象バスの通信負荷Lの移動平均Atを算出する。監視部62は、算出した移動平均Atを検知部64へ出力する。検知部64は、受けた移動平均Atとしきい値ThA2とを比較し、比較結果に基づいて、検知対象バスにおけるトラフィック異常を検知する。
このような構成により、通信負荷Ltよりもばらつきが小さい移動平均Atとしきい値ThA2とを比較した結果を、検知対象バスにおけるトラフィック異常の検知に用いることができる。これにより、検知対象バスにおけるトラフィック異常をより正しく検知することができる。
その他の構成および動作は第1の実施の形態に係る車載通信システム301と同様であるため、ここでは詳細な説明を繰り返さない。
次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
<第3の実施の形態>
本実施の形態は、第2の実施の形態に係るゲートウェイ装置と比べて、取得タイミングtにおける通信負荷Ltの推定値を用いて、車載ネットワーク12における不正メッセージの発生を推定するゲートウェイ装置に関する。以下で説明する内容以外は第1の実施の形態に係るゲートウェイ装置と同様である。
図11は、本発明の第3の実施の形態に係るゲートウェイ装置の構成を示す図である。
図11を参照して、ゲートウェイ装置103は、通信処理部51と、監視部72と、取得部73と、検知部74と、通知部75、記憶部56と、推定部77とを備える。
ゲートウェイ装置103における通信処理部51の動作は、図3に示すゲートウェイ装置101における通信処理部51と同様である。
監視部72は、たとえば、第2の実施の形態の監視部62と同様に、取得タイミングtにおいて通信負荷Ltを取得するとともに移動平均Atを算出する。
監視部72は、取得した通信負荷Ltおよび算出した移動平均Atを、検知部74および推定部77へ出力するとともに、記憶部56に保存する。
[推定部]
推定部77は、監視部72によって取得された、第1のタイミングより前のタイミングにおける通信負荷Lに基づいて、第1のタイミングにおける通信負荷Lの推定値Pを算出する。
より詳細には、推定部77は、たとえば自己回帰和分移動平均モデル(ARIMAモデル)を用いて、取得タイミングtより前の過去のタイミングにおける通信負荷Lに基づいて、取得タイミングtにおける通信負荷Ltの推定値Ptを算出する。
たとえば、記憶部56は、自己回帰和分移動平均モデル、および、推定値Pの算出に用いる過去の通信負荷Lのデータ数などを示す設定情報を記憶している。推定部77は、記憶部56から設定情報を取得し、設定情報に従って、取得タイミングtにおける通信負荷Ltの推定値Ptを算出する。
図12は、本発明の第3の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。図12において、縦軸は通信負荷Lを示し、横軸は時刻を示す。また、図12において、黒いドットは通信負荷Lの測定値を示し、白いドットは通信負荷Lの推定値Pを示す。
なお、ここでは、記憶部56に保存された上記設定情報において、推定値Pの算出に用いる過去の通信負荷Lのデータ数として、3が設定されているものとする。
図12を参照して、推定部77は、監視部72から取得タイミングt−1における通信負荷Lt−1を受けると、一つ前の取得タイミングt−2における通信負荷Lt−2と、二つ前の取得タイミングt−3における通信負荷Lt−3とを記憶部56から取得する。
推定部77は、通信負荷Lt−1,Lt−2,Lt−3に基づいて、次の取得タイミングtにおける通信負荷Ltの推定値Ptを算出する。
より詳細には、推定部77は、以下の式(1)に従って、取得タイミングtにおける通信負荷Ltの推定値Ptを算出し、算出した推定値Ptを検知部74へ出力する。
ここで、Ptは、取得タイミングtにおける検知対象バスの通信負荷の推定値である。ytは、取得タイミングtにおける検知対象バスの通信負荷の測定値である。φ、θおよびBは、予め設定された任意の適切なパラメータである。εは誤差項である。Aは自己回帰の次数であり、Cは移動平均の次数である。
[取得部]
取得部73は、第2の実施の形態の取得部63と同様に、監視部72によって取得された移動平均Aの履歴を取得する。
再び図12を参照して、取得部73は、監視部72によって取得された通信負荷Lから、推定部77によって算出された当該通信負荷Lに対応する推定値Pを差し引いた値(以下、誤差Eとも称する。)の履歴を取得する。
取得部73は、たとえば、誤差Eの履歴として、サーバ等の他の装置によって予め作成された誤差Eの度数分布を示す分布情報F3を取得する。
図13は、本発明の第3の実施の形態に係る車載通信システムにおける通信負荷の誤差の度数分布の一例を示す図である。なお、図13において、縦軸は度数を示し、横軸は誤差Eを示す。
図13を参照して、サーバは、監視部72によって一定期間にわたって取得されたバス13ごとの通信負荷Lと、推定部77によって算出された対応の推定値Pとに基づいて、誤差Eの度数分布D3をバス13ごとに作成する。この誤差Eは、たとえば、対象車両と同じ種類のテスト車両すなわち他の車載ネットワークにおいて取得される。なお、サーバは、対象車両すなわち自己の車載ネットワークにおいて取得された誤差Eに基づいて度数分布D3を作成してもよい。
サーバは、作成した度数分布D3に基づいて、誤差Eの標本平均および標本標準偏差などを算出する。サーバは、取得部73から分布情報F3の送信要求を受けると、誤差Eの標本平均および標本標準偏差などを含む分布情報F3を要求元の対象車両へ送信する。
再び図11を参照して、取得部73は、検知対象バスの分布情報F3の送信要求をサーバへ送信することにより、分布情報F3を取得する。取得部73は、車載通信機111および通信処理部51経由でサーバから分布情報F3を受信すると、受信した分布情報F3を検知部54へ出力する。
なお、ゲートウェイ装置103では、取得部73が、車載通信機111および通信処理部51経由でサーバから分布情報F3を受信する構成であるとしたが、これに限定するものではない。たとえば、サーバまたは整備用端末装置によって記憶部56に各バス13の分布情報F3が保存されており、取得部53が記憶部56から検知対象バスの分布情報F3を取得する構成であってもよい。
[検知部]
検知部74は、第2の実施の形態の検知部64と同様に、取得部73によって取得された移動平均Aの履歴、および、監視部72によって取得された、当該履歴に含まれる各移動平均Aの取得タイミングよりも後の取得タイミングtにおいて算出された移動平均Atに基づいて、検知対象バスにおけるトラフィック異常を検知する。
さらに、検知部74は、監視部72によって取得された第1のタイミングにおける通信負荷Lと、推定部77によって算出された第1のタイミングにおける通信負荷Lの推定値Pとを比較し、比較結果に基づいて、車載ネットワーク12における不正メッセージの発生を推定する。
より詳細には、検知部74は、監視部72によって取得された取得タイミングtにおける通信負荷Ltと、推定部77によって算出された対応の推定値Ptとの差分である誤差Etを算出し、算出した誤差Etに基づいて、検知対象バスにおける不正メッセージの発生を推定する。
たとえば、検知部74は、取得部73から受けた分布情報F3、監視部72から受けた通信負荷Lt、および、推定部77から受けた推定値Ptに基づいて、検知対象バスにおける不正メッセージの発生を推定する。
より詳細には、サーバが作成した度数分布D3は、検知対象バスにおいて不正メッセージが発生していないときの誤差Eの度数分布であると仮定することができる。検知部74は、度数分布D3に対応する分布情報F3、および、監視部72から受けた通信負荷Ltと推定部77から受けた推定値Ptとから算出される誤差Etに基づいて、検知対象バスにおける不正メッセージの発生を推定する。
たとえば、検知部74は、取得部73から受けた分布情報F3に基づいて、誤差Eの度数分布を正規分布で近似した確率密度関数をモデルとして作成し、作成したモデルと、算出した誤差Etとに基づいて、検知対象バスにおける不正メッセージの発生を推定する。
図14は、本発明の第3の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの発生の推定例を示す図である。なお、図14において、横軸は差分を示す。図14の破線は、誤差Eの度数分布D3を正規分布で近似した確率密度関数を示す。
図11および図14を参照して、検知部74は、取得部73から分布情報F3を受けると、分布情報F3に基づいて、不正メッセージが発生していない場合における誤差Eの平均値の信頼区間の下限値A3および上限値B3を算出し、算出した上限値B3をしきい値ThA3として設定する。
検知部74は、監視部72から通信負荷Ltを受け、かつ、推定部77から当該通信負荷Ltに対応する推定値Ptを受けると、通信負荷Ltと推定値Ptとの差分を誤差Etとして算出し、算出した誤差Etとしきい値ThA3とを比較する。
たとえば、検知部74は、取得タイミングt1に対応する誤差Et1がしきい値ThA3以下である場合、検知対象バスにおいて不正メッセージは発生していないと推定する。
これは、たとえば、取得タイミングt1において、検知対象バスにおいて不正メッセージが発生していない場合、誤差Et1は図14に示す確率密度関数の中心の近傍に位置する可能性が高く、しきい値ThA3を超える可能性は低いからである。
一方、検知部74は、取得タイミングt2に対応する誤差Et2がしきい値ThA3より大きい場合、検知対象バスにおいて不正メッセージが発生したと推定する。
これは、たとえば、取得タイミングt2において、検知対象バスにおいて不正メッセージが発生した場合、誤差Et2は大きい値となり、しきい値ThA3を超える可能性が高いからである。
検知部74は、誤差Etおよびしきい値ThA3に基づく推定結果を示す推定情報を、通信処理部51、監視部72、および通知部75へ出力する。
通信処理部51は、検知部74から受けた推定情報が、検知対象バスにおいて不正メッセージが発生していないことを示す場合、当該検知対象バスを介してメッセージを送信先の制御装置122へ送信する。
一方、通信処理部51は、検知部74から受けた推定情報が、検知対象バスにおいて不正メッセージが発生したことを示す場合、たとえば、当該検知対象バスを介した中継処理を停止する。そして、通信処理部51は、当該推定情報が示すメッセージおよび検知対象バスをログとして記憶部56に記録する。
通知部75は、検知部74から受けた推定情報が、検知対象バスにおいて不正メッセージが発生したことを示す場合、検知対象バスにおいて不正メッセージが発生したことを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する。
通知部75は、検知部74によって車載ネットワーク12における異常が検知された場合、第1の警報情報Ar1を出力し、検知部74によって車載ネットワーク12における不正メッセージの発生が推定された場合、第1の警報情報Ar1とは異なる第2の警報情報Ar2を出力する。
たとえば、警報情報は緊急度合いを示す。対象車両内における車載装置は、警報情報を受けると、警報情報が示す緊急度合いを、表示装置等を介してユーザに通知する。通知部75は、検知対象バスにおけるトラフィック異常が発生していることを示す判断情報を受けた場合と、検知対象バスにおいて不正メッセージが発生したことを示す推定情報を受けた場合とで、緊急度合いが互いに異なる警報情報を送信する。
推定部77は、検知部74によって不正メッセージの発生が推定された場合、第1のタイミングより後のタイミングである第2のタイミングにおける推定値Pを、第1のタイミング以降のタイミングにおける通信負荷Lに基づいて算出する。
より詳細には、推定部77は、検知対象バスにおいて不正メッセージが発生したことを示す推定情報を検知部74から受けると、しきい値ThA3を超える誤差Eが算出されたタイミングより前のタイミングにおいて取得された通信負荷Lを破棄し、新たな推定値Pを、しきい値ThA3を超える誤差Eが算出されたタイミング以降のタイミングにおいて取得された通信負荷Lに基づいて算出する。
また、監視部72は、検知部74から検知対象バスにおいて不正メッセージが発生したことを示す推定情報を受けると、新たな移動平均Aを、しきい値ThA3を超える誤差Eが算出されたタイミング以降のタイミングにおいて取得された通信負荷Lに基づいて算出する。
[動作]
図15は、本発明の第3の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知および不正メッセージの発生の推定を行う際の動作手順を定めたフローチャートである。
図15を参照して、まず、ゲートウェイ装置103は、検知対象バスの移動平均Aの度数分布D2を示す分布情報F2、および誤差Eの度数分布D3を示す分布情報F3を取得する(ステップS302)。
次に、ゲートウェイ装置103は、分布情報F2に基づいてしきい値ThA2を設定し、また、分布情報F3に基づいてしきい値ThA3を設定する(ステップS304)。
次に、ゲートウェイ装置103は、取得タイミングtにおける検知対象バスの通信負荷Ltを取得するとともに、移動平均Atおよび推定値Ptを算出する(ステップS306)。
次に、ゲートウェイ装置103は、通信負荷Ltと推定値Ptとに基づいて誤差Etを算出する(ステップS308)。
次に、ゲートウェイ装置103は、移動平均Atとしきい値ThA2とを比較する(ステップS310)。
次に、ゲートウェイ装置103は、移動平均Atがしきい値ThA2より大きい場合(ステップS312でYES)、検知対象バスにおけるトラフィック異常が発生していると判断する(ステップS314)。
次に、ゲートウェイ装置103は、検知対象バスにおけるトラフィック異常が発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する(ステップS316)。
次に、ゲートウェイ装置103は、次の取得タイミングt+1における通信負荷Lt+1を取得するとともに移動平均At+1および推定値Pt+1を算出する処理(ステップS306)、ならびに誤差Et+1を算出する処理(ステップS308)等を行う。
一方、ゲートウェイ装置103は、移動平均Atがしきい値ThA2以下である場合(ステップS312でNO)、誤差Etとしきい値ThA3とを比較する(ステップS318)。
次に、ゲートウェイ装置103は、誤差Etがしきい値ThA3以下である場合(ステップS320でNO)、検知対象バスにおけるトラフィック異常は発生していないと判断し、また、不正メッセージは発生していないと推定する(ステップS322)。
次に、ゲートウェイ装置103は、次の取得タイミングt+1における通信負荷Lt+1を取得するとともに移動平均At+1および推定値Pt+1を算出する処理(ステップS306)、ならびに誤差Et+1を算出する処理(ステップS308)等を行う。
一方、ゲートウェイ装置103は、誤差Etがしきい値ThA3より大きい場合(ステップS320でYES)、検知対象バスにおいて不正メッセージが発生していると推定する(ステップS324)。
次に、ゲートウェイ装置103は、検知対象バスにおいて不正メッセージが発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する(ステップS326)。
次に、ゲートウェイ装置103は、次の取得タイミングt+1における移動平均At+1および推定値Pt+1を、今回の取得タイミングt以降の取得タイミングにおいて取得された通信負荷Lに基づいて算出する(ステップS328)。
次に、ゲートウェイ装置103は、通信負荷Lt+1と推定値Pt+1とに基づいて誤差Et+1を算出する処理(ステップS308)、および移動平均At+1としきい値ThA2とを比較する処理(ステップS310)等を行う。
なお、本発明の第3の実施の形態に係る車載通信システム301では、推定部77が過去のタイミングにおける通信負荷Lに基づいて推定値Pを算出する構成であるとしたが、これに限定するものではない。推定部77は過去のタイミングにおける移動平均Aに基づいて推定値Pを算出する構成であってもよい。
また、本発明の第3の実施の形態に係る車載通信システム301では、検知部74が、第2の実施の形態に係る車載通信システム301における検知部64と同様に、移動平均Aの履歴および移動平均Atに基づいて検知対象バスにおけるトラフィック異常を検知する構成であるとしたが、これに限定するものではない。検知部74は、第1の実施の形態に係る車載通信システム301における検知部54と同様に、通信負荷Lの履歴および通信負荷Ltに基づいて検知対象バスにおけるトラフィック異常を検知する構成であってもよい。
<変形例>
本発明の第3の実施の形態に係る車載通信システム301では、ゲートウェイ装置103は、車載ネットワーク12における異常を検知する処理として、検知対象バスにおける不正メッセージによるトラフィック異常を検知する構成であるとしたが、これに限定するものではない。
ゲートウェイ装置103は、車載ネットワーク12における異常を検知する処理として、検知対象バスにおける不正メッセージの発生を推定する構成であってもよい。
より詳細には、ゲートウェイ装置103は、検知対象バスにおける不正メッセージの発生を推定した場合に、車載ネットワーク12における異常が発生していると判断する構成であってもよい。
また、本発明の第3の実施の形態に係る車載通信システム301では、検知部74は、移動平均Aの履歴および移動平均Atに基づいて、検知対象バスにおけるトラフィック異常を検知し、かつ、通信負荷Ltと推定値Ptとの差分である誤差Etに基づいて、検知対象バスにおける不正メッセージの発生を推定する構成であるとしたが、これに限定するものではない。
検知部74は、誤差Etに基づいて、検知対象バスにおける不正メッセージの発生を推定する一方で、移動平均Aの履歴および移動平均Atに基づいて、検知対象バスにおけるトラフィック異常を検知しない構成であってもよい。
この場合、取得部73は、上述のように誤差Eの履歴を取得する一方で、移動平均Aの履歴を取得しない構成であってもよい。
図16は、本発明の第3の実施の形態の変形例に係るゲートウェイ装置が検知対象バスにおける不正メッセージの発生の推定を行う際の動作手順を定めたフローチャートである。
図16を参照して、まず、ゲートウェイ装置103は、検知対象バスについての誤差Eの度数分布D3を示す分布情報F3を取得する(ステップS402)。
次に、ゲートウェイ装置103は、分布情報F3に基づいてしきい値ThA3を設定する(ステップS404)。
次に、ゲートウェイ装置103は、取得タイミングtにおける検知対象バスの通信負荷Ltを取得するとともに、推定値Ptを算出する(ステップS406)。
次に、ゲートウェイ装置103は、通信負荷Ltと推定値Ptとに基づいて誤差Etを算出する(ステップS408)。
次に、ゲートウェイ装置103は、誤差Etとしきい値ThA3とを比較する(ステップS410)。
次に、ゲートウェイ装置103は、誤差Etがしきい値ThA3より大きい場合(ステップS412でYES)、検知対象バスにおいて不正メッセージが発生していると推定する(ステップS414)。
次に、ゲートウェイ装置103は、検知対象バスにおいて不正メッセージが発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する(ステップS416)。
次に、ゲートウェイ装置103は、次の取得タイミングt+1における推定値Pt+1を、今回の取得タイミングt以降の取得タイミングにおいて取得された通信負荷Lに基づいて算出する(ステップS418)。
次に、ゲートウェイ装置103は、通信負荷Lt+1と推定値Pt+1とに基づいて誤差Et+1を算出する処理(ステップS408)、および誤差Et+1としきい値ThA3とを比較する処理(ステップS410)等を行う。
一方、ゲートウェイ装置103は、誤差Etがしきい値ThA3以下である場合(ステップS412でNO)、検知対象バスにおいて不正メッセージは発生していないと推定する(ステップS420)。
次に、ゲートウェイ装置103は、次の取得タイミングt+1における通信負荷Lt+1を取得するとともに推定値Pt+1を算出する処理(ステップS406)、および誤差Et+1を算出する処理(ステップS408)等を行う。
[課題]
図17は、本発明の第3の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。なお、図17において、縦軸は通信負荷Lを示し、横軸は時刻を示す。図17において、実線は、監視部72が各取得タイミングtにおいて取得した検知対象バスの通信負荷Ltを示し、破線は、監視部72が各取得タイミングtにおいて算出した移動平均Atを示す。
本発明の第2の実施の形態に係るゲートウェイ装置102のように、検知部64が移動平均Atとしきい値ThA2とを比較した結果に基づいて、検知対象バスにおけるトラフィック異常が発生しているか否かを判断する構成では、判断結果に基づいて警報情報を送信するタイミングが、実際に不正メッセージの送信が開始されたタイミングから遅延してしまう場合がある。
より詳細には、図17を参照して、時刻taにおいて検知対象バスへの擬似的な不正メッセージの送信を開始した場合を想定する。移動平均Atは、時刻taにおいて増大し始める一方で、時刻tbにおいてはじめてしきい値ThA2を超える。したがって、警報情報を送信するタイミングは時刻tbとなり、実際に不正メッセージの送信が開始されたタイミングである時刻taから遅延が生じてしまう。
これに対して、本発明の第3の実施の形態に係るゲートウェイ装置103では、取得タイミングtより前の取得タイミングにおける通信負荷Lに基づいて、取得タイミングtにおける通信負荷Ltの推定値Ptを算出し、通信負荷Ltと推定値Ptとの差分である誤差Etとしきい値ThA3とを比較した結果に基づいて、検知対象バスにおいて不正メッセージが発生しているか否かを推定する。
このような構成により、取得タイミングtにおける移動平均Atがしきい値ThA2を超えない場合であっても、過去のタイミングにおける通信負荷Lから推定される推定値Ptと通信負荷Ltとの差分がしきい値ThA3を超えた場合、不正メッセージが発生していると推定することができる。これにより、移動平均Atに基づいて検知対象バスにおけるトラフィック異常を検知できるタイミングよりも早く、検知対象バスにおける不正メッセージの発生を推定することができる。
また、本発明の第3の実施の形態に係るゲートウェイ装置103では、推定部77は、検知部74によって不正メッセージの発生が推定された場合、新たな推定値Pを、しきい値ThA3を超える誤差Eが算出されたタイミング以降のタイミングにおいて取得された通信負荷Lに基づいて算出する。
このような構成により、通信負荷Lが大幅に増大したタイミング以降の通信負荷Lに基づいて、新たな推定値Pをより正確に算出することができる。これにより、たとえば、通信負荷Lのさらなる変化が生じた場合であっても、新たに算出した推定値Pに基づいて検知対象バスにおける不正メッセージの発生を正確に推定することができる。
また、本発明の第3の実施の形態に係るゲートウェイ装置103では、通知部75は、検知部74によって車載ネットワーク12における異常が検知された場合、第1の警報情報Ar1を出力し、検知部74によって車載ネットワーク12における不正メッセージの発生が推定された場合、第1の警報情報Ar1とは異なる第2の警報情報Ar2を出力する。
このような構成により、検知対象バスにおけるトラフィック異常が発生した場合と、検知対象バスにおいて不正メッセージが発生したと推定された場合とで、通知部75が互いに異なる警報情報を送信することにより、たとえば、状況に応じて緊急度合いが異なる警告をユーザに通知することができる。
また、本発明の第3の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワーク12における異常を検知する。監視部72は、車載ネットワーク12における送信メッセージを監視し、車載ネットワーク12における通信負荷Lを取得する。推定部77は、監視部72によって過去に取得された通信負荷Lに基づいて、監視部72によって取得される通信負荷Lの推定値Pを算出する。取得部73は、自己または他の車載ネットワークにおける通信負荷Lと通信負荷Lの推定値Pとの差分である誤差Eの履歴を取得する。検知部74は、取得部73によって取得された通信負荷Lと通信負荷Lの推定値Pとの差分の履歴、監視部72によって取得された、通信負荷Lと通信負荷Lの推定値Pとの差分の履歴よりも後の取得タイミングtにおける通信負荷Lt、および推定部77によって算出された取得タイミングtにおける通信負荷Ltの推定値Ptに基づいて、車載ネットワークにおける異常を検知する。
たとえば、検知対象バスにおいて不正メッセージが発生すると、取得タイミングtにおける通信負荷Ltと推定値Ptとの差分は大きな値となる。本発明の第3の実施の形態に係る検知装置は、通信負荷Ltと推定値Ptとの差分に着目し、通信負荷Ltと推定値Ptとの差分の履歴、取得タイミングtにおける通信負荷Lt、および通信負荷Ltの推定値Ptに基づいて検知対象バスにおける不正メッセージの発生を推定する構成により、たとえば特許文献1に記載の異常検知装置および特許文献2に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおける不正メッセージの発生を推定することができる。
したがって、本発明の第3の実施の形態に係る検知装置では、簡易な処理によって車載ネットワーク12における異常を正しく検知することができる。
また、本発明の第3の実施の形態に係るゲートウェイ装置103は、車載ネットワーク12における車載装置間のメッセージを中継する。監視部72は、車載ネットワーク12における送信メッセージを監視し、車載ネットワーク12における通信負荷Lを取得する。推定部77は、監視部72によって過去に取得された通信負荷Lに基づいて、監視部72によって取得される通信負荷Lの推定値Pを算出する。取得部73は、自己または他の車載ネットワークにおける通信負荷Lと通信負荷Lの推定値Pとの差分である誤差Eの履歴を取得する。検知部74は、取得部73によって取得された通信負荷Lと通信負荷Lの推定値Pとの差分の履歴、監視部72によって取得された、通信負荷Lと通信負荷Lの推定値Pとの差分の履歴よりも後の取得タイミングtにおける通信負荷Lt、および推定部77によって算出された取得タイミングtにおける通信負荷Ltの推定値Ptに基づいて、車載ネットワークにおける異常を検知する。
たとえば、検知対象バスにおいて不正メッセージが発生すると、取得タイミングtにおける通信負荷Ltと推定値Ptとの差分は大きな値となる。本発明の第3の実施の形態に係るゲートウェイ装置103は、通信負荷Ltと推定値Ptとの差分に着目し、通信負荷Ltと推定値Ptとの差分の履歴、取得タイミングtにおける通信負荷Lt、および通信負荷Ltの推定値Ptに基づいて検知対象バスにおける不正メッセージの発生を推定する構成により、たとえば特許文献1に記載の異常検知装置および特許文献2に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおける不正メッセージの発生を推定することができる。
したがって、本発明の第3の実施の形態に係るゲートウェイ装置103では、簡易な処理によって車載ネットワーク12における異常を正しく検知することができる。
その他の構成および動作は第1の実施の形態に係る車載通信システム301と同様であるため、ここでは詳細な説明を繰り返さない。
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
以上の説明は、以下に付記する特徴を含む。
[付記1]
複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、
前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷の時系列データの移動平均を算出する監視部と、
前記監視部によって算出された前記移動平均の度数分布を示す第1の分布情報を取得する取得部と、
前記取得部によって取得された前記第1の分布情報に基づいて第1のしきい値を設定し、設定した前記第1のしきい値、および前記監視部によって取得された、前記度数分布に含まれる前記移動平均の取得タイミングよりも後の第1のタイミングにおける前記移動平均に基づいて、前記車載ネットワークにおける異常を検知する検知部と、
前記監視部によって取得された、前記第1のタイミングより前のタイミングにおける前記移動平均に基づいて、前記第1のタイミングにおける前記移動平均の推定値を算出する推定部とを備え、
前記監視部は、さらに、前記第1のタイミングにおける前記移動平均と前記推定値との差分を誤差として算出し、
前記取得部は、さらに、前記監視部によって算出された前記誤差の度数分布を示す第2の分布情報を取得し、
前記検知部は、さらに、前記取得部によって取得された前記第2の分布情報に基づいて第2のしきい値を設定し、設定した前記第2のしきい値、および前記監視部によって取得された前記第1のタイミングにおける前記誤差に基づいて、前記車載ネットワークにおける不正メッセージの発生を推定する、検知装置。
[付記2]
車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷の時系列データの移動平均を算出する監視部と、
前記監視部によって算出された前記移動平均の度数分布を示す第1の分布情報を取得する取得部と、
前記取得部によって取得された前記第1の分布情報に基づいて第1のしきい値を設定し、設定した前記第1のしきい値、および前記監視部によって取得された、前記度数分布に含まれる前記移動平均の取得タイミングよりも後の第1のタイミングにおける前記移動平均に基づいて、前記車載ネットワークにおける異常を検知する検知部と、
前記監視部によって取得された、前記第1のタイミングより前のタイミングにおける前記移動平均に基づいて、前記第1のタイミングにおける前記移動平均の推定値を算出する推定部とを備え、
前記監視部は、さらに、前記第1のタイミングにおける前記移動平均と前記推定値との差分を誤差として算出し、
前記取得部は、さらに、前記監視部によって算出された前記誤差の度数分布を示す第2の分布情報を取得し、
前記検知部は、さらに、前記取得部によって取得された前記第2の分布情報に基づいて第2のしきい値を設定し、設定した前記第2のしきい値、および前記監視部によって取得された前記第1のタイミングにおける前記誤差に基づいて、前記車載ネットワークにおける不正メッセージの発生を推定する、ゲートウェイ装置。