JPWO2020137743A1 - 電子制御装置、電子制御システムおよびプログラム - Google Patents

電子制御装置、電子制御システムおよびプログラム Download PDF

Info

Publication number
JPWO2020137743A1
JPWO2020137743A1 JP2020563136A JP2020563136A JPWO2020137743A1 JP WO2020137743 A1 JPWO2020137743 A1 JP WO2020137743A1 JP 2020563136 A JP2020563136 A JP 2020563136A JP 2020563136 A JP2020563136 A JP 2020563136A JP WO2020137743 A1 JPWO2020137743 A1 JP WO2020137743A1
Authority
JP
Japan
Prior art keywords
attack
message
determined
abnormality
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020563136A
Other languages
English (en)
Other versions
JP7113238B2 (ja
Inventor
淳一 鶴見
淳一 鶴見
崇光 佐々木
崇光 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JPWO2020137743A1 publication Critical patent/JPWO2020137743A1/ja
Application granted granted Critical
Publication of JP7113238B2 publication Critical patent/JP7113238B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

車両などの移動体に搭載されたネットワークに生じる事象をより正確に判定することができる電子制御装置は、車載ネットワーク(100)に含まれる第1のECU(110)から送信された複数の第1のメッセージを受信する送受信部(143)と、送受信部(143)によって受信された複数の第1のメッセージの何れかが異常と判定された場合に、その異常の原因が、車載ネットワーク(100)への攻撃であるか否かを判定する攻撃判定部(142)とを備える。

Description

本開示は、異常なメッセージに対する処理を実行する電子制御装置、電子制御システムおよびプログラムに関する。
従来、車載ネットワークなどのネットワークシステムにおいて、不正なデータを侵入させて車両を誤動作させる攻撃を検知して防御するためのネットワーク装置が提案されている(特許文献1参照)。
このネットワーク装置は、基準とする受信データと同じ識別子を持つ第1のデータが受信され、その受信データと第1のデータの受信間隔が所定周期より短い場合に、異常が発生したか否かの判定を行う。この判定では、ネットワーク装置は、基準とする受信データの受信時間から所定周期経過するまでに、第1のデータと同一の識別子を持つ第2のデータが受信されたときに、異常が発生したと判定する。
特開2014−146868号公報
しかしながら、上記特許文献1のネットワーク装置では、車載ネットワークに生じる事象の判定が十分ではないという課題がある。
そこで、本開示は、車両などの移動体に搭載されたネットワークに生じる事象をより正確に判定することができる電子制御装置などを提供する。
本開示の一態様に係る電子制御装置は、移動体に搭載されたネットワークに含まれる第1の装置から送信された複数の第1のメッセージを受信する受信部と、前記受信部によって受信された前記複数の第1のメッセージのいずれかが異常と判定された場合に、前記異常の原因が、前記ネットワークへの攻撃であるか否かを判定し、前記攻撃であるか否かの判定結果を出力する判定部と、を備える。
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD−ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。
本開示の電子制御装置は、移動体に搭載されたネットワークに生じる事象をより正確に判定することができる。
図1は、実施の形態における車載ネットワークを含む通信システムの構成例を示す図である。 図2は、実施の形態における攻撃検知装置の構成の一例を示すブロック図である。 図3は、異常の原因とその特徴を示す図である。 図4は、実施の形態における攻撃検知装置の全体的な処理動作の一例を示すフローチャートである。 図5は、実施の形態における攻撃判定部の処理動作の具体的な例を示すフローチャートである。 図6は、実施の形態における攻撃判定部の処理動作の具体的な他の例を示すフローチャートである。 図7は、実施の形態における攻撃検知装置の全体的な処理動作の他の例を示すフローチャートである。
(本開示の基礎となった知見)
近年、渋滞情報および道路情報などを取得するためにインターネットに接続される車両が増加している。しかし、このような車両では、サイバー攻撃を受ける可能性がある。このようなサイバー攻撃では、攻撃者は、例えば不正な装置を車載ネットワークに接続する等により車載ネットワークにアクセスして不正なメッセージを送信することで、車載ネットワークのECUのファームウェアの不正な書き換え、または、そのECUを通じて車内の各種アクチュエータの不正制御等を行う。このようなサイバー攻撃(以下、攻撃という)に対する対策には、一般に、以下の3つの機能が必要である。1つ目の機能は、既知の攻撃を防御する機能である。2つ目の機能は、攻撃またはその兆候を検知する機能である。3つ目の機能は、1つ目の機能および2つ目の機能を更新する機能である。ここで、新しい攻撃に対して、その攻撃の検知および防御を行うためには、つまり3つ目の機能を実現するためには、どのような経路または手法を用いてその新しい攻撃が行われるのかを解析する必要がある。
しかし、例えばサーバが多数の車両を監視してそれらの車両の異常を解析する場合、多くの異常通知がサーバに送信されることが予想される。その結果、サーバと車両とを接続する通信ネットワーク(例えばインターネット)が逼迫する可能性がある。そこで、車両からサーバへの通知は、攻撃についての通知のみが漏れなく届くことが望ましい。
上記特許文献1のネットワーク装置では、不正の検出と防御のために異常を検知しているが、検知した異常の原因が攻撃か否かを判定していない。つまり、異常の原因は攻撃のみとして扱われている。このように、従来提案されている車両のネットワーク向けの異常検知の手法では、異常の原因が攻撃なのか、攻撃ではない故障なのかが、分類されていない。
例えば、異常の原因が故障である場合、その異常とされる部品を特定して交換する必要がある。また、異常の原因が攻撃である場合、その攻撃の経路および手法の特定と、その攻撃に対する対策を検討する必要がある。ここで、異常の原因が故障であるにも関わらず攻撃であると誤って判断してしまうと、攻撃の経路および手法の特定が難航し、仮にそれらを特定したとしても、異常を解消することができない。また、異常の原因が攻撃であるにも関わらず故障であると誤って判断してしまうと、部品を交換しても同じ異常が再び発生するという問題が生じ得る。
このような問題を解決するために、本開示の一態様に係る電子制御装置は、移動体に搭載されたネットワークに含まれる第1の装置から送信された複数の第1のメッセージを受信する受信部と、前記受信部によって受信された前記複数の第1のメッセージのいずれかが異常と判定された場合に、前記異常の原因が、前記ネットワークへの攻撃であるか否かを判定し、前記攻撃であるか否かの判定結果を出力する判定部と、を備える。
これにより、第1のメッセージが異常と判定された場合には、さらに、その第1のメッセージの異常の原因が攻撃か否かが判定されるため、ネットワークに生じる事象をより正確に判定することができる。つまり、異常の原因が、攻撃であるのか、あるいは、例えば故障またはバグなどの攻撃以外の原因であるのかを判定することができる。その結果、その異常に対して適切な対策を図ることができる。具体的には、異常の原因が故障であれば、故障している部品を交換することによって、異常を適切に解消することができる。また、異常の原因が攻撃であれば、攻撃の経路および手法を特定して対処することによって、異常を適切に解消することができる。
また、前記判定部は、前記異常の原因が攻撃ではないと判定した場合には、さらに、前記第1の装置は故障の可能性があることを示す情報を出力してもよい。これにより、異常の原因が攻撃でなければ、故障の可能性があることを示す情報が出力されるため、例えば故障している部品を交換することによって、異常を適切に解消することができる。
また、前記判定部は、前記複数の第1のメッセージの単位時間あたりに送信された第1のデータ量が、複数の正常な第1のメッセージの単位時間あたりに送信された第2のデータ量から増加しているか否かを判断し、前記第1のデータ量が増加していると判断された場合に、前記異常の原因が攻撃であると判定してもよい。
これにより、正常なメッセージに対して異常なメッセージを追加する攻撃の特徴が現れたか否かが判断されるため、そのような攻撃を異常の原因として適切に判定することができる。
また、前記判定部は、前記複数の第1のメッセージに、異常な第1のメッセージと正常な第1のメッセージとが混在しているか否かを判断し、混在していると判断された場合に、前記異常の原因が攻撃であると判定してもよい。
これにより、正常なメッセージに対して異常なメッセージを追加する攻撃の特徴が現れたか否かが判断されるため、そのような攻撃を異常の原因として適切に判定することができる。
また、前記判定部は、異常と判定された前記第1のメッセージに関連する異常と判定された第2のメッセージが、前記ネットワークに含まれる第2の装置から、異常と判定された前記第1のメッセージと共に同一の時間帯に送信されているか否かを判断し、異常と判定された前記第2のメッセージが送信されていると判断された場合に、前記異常の原因が攻撃であると判定してもよい。
これにより、攻撃の特徴が現れたか否かが判断されるため、攻撃を異常の原因として適切に判定することができる。
また、前記判定部は、前記移動体が移動していないときに前記移動体の外から前記ネットワークに送信される第3のメッセージが、前記移動体が移動しているときに前記ネットワークに送信されているか否かを判断し、前記第3のメッセージが送信されていると判断された場合に、前記異常の原因が攻撃であると判定してもよい。または、前記判定部は、診断パケットによって第1のメッセージの送信が停止されているときに、異常と判定された前記第1のメッセージが送信されたか否かを判断し、異常と判定された前記第1のメッセージが送信されたと判断された場合に、前記異常の原因が攻撃であると判定してもよい。
これにより、正常なメッセージを異常なメッセージに差し替える攻撃の特徴が現れたか否かが判断されるため、そのような攻撃を異常の原因として適切に判定することができる。
また、前記判定部は、攻撃によって現れる少なくとも1つの特徴が、予め定められた時間内に前記ネットワークに現れたか否かを判断し、前記少なくとも1つの特徴が現れたと判断された場合に、前記異常の原因が攻撃であると判定してもよい。
これにより、より正確に攻撃を異常の原因として判定することができる。
また、前記判定部は、前記異常の原因が攻撃であると判定した場合には、さらに、前記攻撃の種別を特定してもよい。例えば、前記判定部は、前記複数の第1のメッセージの単位時間あたりに送信された第1のデータ量が、複数の正常な第1のメッセージの単位時間あたりに送信された第2のデータ量から増加していると判断された場合、前記攻撃の種別として、正常なメッセージに対して異常なメッセージを追加する追加型の攻撃であると特定してもよい。また、前記判定部は、前記複数の第1のメッセージに、異常な第1のメッセージと正常な第1のメッセージとが混在していると判断された場合、前記攻撃の種別として、正常なメッセージに対して異常なメッセージを追加する追加型の攻撃であると特定してもよい。また、前記判定部は、前記移動体が移動を停止しているときに前記移動体の外から前記ネットワークに送信される第2のメッセージが、前記移動体が移動しているときに前記ネットワークに送信されていると判断されたとき、前記攻撃の種別として、正常なメッセージを異常なメッセージに差し替える差替え型の攻撃であると特定してもよい。または、前記判定部は、診断パケットによって第1のメッセージの送信が停止されているときに、異常と判定された前記第1のメッセージが送信されたと判断された場合、前記攻撃の種別として、正常なメッセージを異常なメッセージに差し替える差替え型の攻撃であると特定してもよい。
これにより、ネットワークに生じる事象として判定された攻撃をより正確に判定することができる。
また、本開示の一態様に係る電子制御システムは、移動体に搭載されたネットワークに含まれる装置から送信された複数のメッセージを受信する受信部と、前記受信部によって受信された前記複数のメッセージが異常であるか否かを判定する異常判定部と、を含む異常判定装置と、前記受信部によって受信された前記複数のメッセージのいずれかが前記異常判定部によって異常と判定された場合には、前記異常の原因が、前記ネットワークへの攻撃であるか否かを判定し、前記攻撃であるか否かの判定結果を出力する攻撃判定装置と、を備える。
これにより、メッセージが異常と判定された場合には、さらに、そのメッセージの異常の原因が攻撃か否かが判定されるため、ネットワークに生じる事象をより正確に判定することができる。つまり、異常の原因が、攻撃であるのか、あるいは、例えば故障またはバグなどの攻撃以外の原因であるのかを判定することができる。その結果、その異常に対して適切な対策を図ることができる。具体的には、異常の原因が故障であれば、故障している部品を交換することによって、異常を適切に解消することができる。また、異常の原因が攻撃であれば、攻撃の経路および手法を特定して対処することによって、異常を適切に解消することができる。
なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD−ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。
以下、実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。また、各図において、同じ構成部材については同じ符号を付している。
(実施の形態)
図1は、本実施の形態における車載ネットワークを含む通信システムの構成例を示す図である。
この通信システムは、車載ネットワーク100と、サーバ200と、診断装置300とを備える。
車載ネットワーク100は、自動車などの車両1に搭載され、例えば、その車両1の走行などを制御する。このような車載ネットワーク100は、バス(すなわち、ネットワークバス)を介して互いに接続された複数のECU(Electronic Control Unit)を含むネットワークシステムである。複数のECUは、ISO11898で規定されているCAN(Controller Area Network)プロトコルにしたがって互い通信する。つまり、複数のECUのそれぞれは、CANのフレームを送受信する。フレームには、データフレーム、リモートフレーム、オーバーロードフレーム、およびエラーフレームなどの種類がある。これらの種類のうちのデータフレームを、以下、メッセージ(またはCANメッセージ)という。
サーバ200は、例えばインターネットなどの車両1の外部にある通信ネットワークを介して車載ネットワーク100と通信する。例えば、サーバ200は、車載ネットワーク100から送信される情報を例えばログとして収集し、そのログを解析する。
診断装置300は、車載ネットワーク100の診断に用いられる。具体的には、診断装置300は、車両1が停車しているときに、車載ネットワーク100を診断する。このとき、診断装置300は、車載ネットワーク100に含まれる各ECUなどの処理を停止させるための診断パケットを診断メッセージとして車載ネットワーク100内に送信する。そして、診断装置300は、停止されているECUの代わりに、メッセージを車載ネットワーク100内に送信し、そのメッセージに対する各ECUの処理を監視することによって、車載ネットワーク100を診断する。
ここで、図1に示す例では、車載ネットワーク100は、互いにバスを介して接続された複数のECUとして、第1のECU110、第2のECU120、および通信ECU130を備え、さらに、攻撃検知装置140を備える。なお、図1に示す例では、車載ネットワーク100は、3つのECUを備えているが、そのECUの数は3つに限らず、2つであってもよく、4つ以上であってもよい。
第1のECU110および第2のECU120はそれぞれ、例えば車両1のアクセル、ブレーキ、または操舵などの車両1の制御を行うための装置である。
通信ECU130は、例えば、車両1の外部にある通信ネットワークを介してサーバ200と通信する。したがって、車載ネットワーク100に含まれる通信ECUを除く各ECUと攻撃検知装置140は、その通信ECUを介してサーバ200と通信することができる。
なお、各ECU(すなわち、第1のECU110、第2のECU120、および通信ECU130)は、ハードウェア面において、例えば、プロセッサ(つまりマイクロプロセッサ)およびメモリなどのデジタル回路、アナログ回路、または、通信回路などを含む装置である。メモリは、ROM(Read Only Memory)またはRAM(Random Access Memory)などであり、プロセッサにより実行されるプログラム(つまり、ソフトウェアまたはコンピュータプログラム)を記憶することができる。各ECUは、例えばプロセッサがプログラムに従って動作することにより、車両1の制御などのための各種機能を実現する。プログラムは、所定の機能を達成するために、プロセッサに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
攻撃検知装置140は、車載ネットワーク100、またはその車載ネットワーク100を含む車両1への攻撃を検知する装置であって、電子制御システムともいう。また、攻撃検知装置140は、ECUとして構成されていてもよく、車載ネットワーク100にゲートウェイが含まれる場合には、そのゲートウェイに備えられていてもよい。なお、本実施の形態では、攻撃検知装置140は車載ネットワーク100に備えられているが、サーバ200に備えられていてもよい。
本実施の形態における攻撃検知装置140は、車載ネットワーク100のバスに流れるメッセージを受信し、そのメッセージが異常であるか否かを判定する。また、攻撃検知装置140は、メッセージが異常であると判定する場合には、さらに、その異常の原因が車載ネットワーク100への攻撃であるか否かを判定する。
図2は、本実施の形態における攻撃検知装置140の構成の一例を示すブロック図である。
攻撃検知装置140は、異常判定部141と、攻撃判定部142と、送受信部143とを備える。
送受信部143は、第1のECU110、第2のECU120および通信ECU130のそれぞれからバスを介して送信されるメッセージを受信する。また、送受信部143は、異常判定部141および攻撃判定部142のそれぞれの処理結果に基づく情報を、バスを介して送信する。この情報は、例えば、通信ECU130および通信ネットワークを介してサーバ200に送信されてもよい。
異常判定部141は、送受信部143によって受信されたメッセージが異常か否かを判定する。
攻撃判定部142は、異常判定部141によって異常と判定されたメッセージの異常の原因が車載ネットワーク100への攻撃であるか否かを判定する。例えば、攻撃判定部142は、異常の原因が攻撃であると判定すると、攻撃を受けていることをユーザ、サーバ200、または、車載ネットワーク100内の少なくとも1つの装置に通知する。
例えば、攻撃判定部142は、車両1のディスプレイ装置に文字メッセージを表示することによって、攻撃を受けていることを車両1のユーザに通知してもよい。その文字メッセージは、例えば、「攻撃を受けている可能性があるため、停車してソフトウェアのアップデートを確認してください」などである。また、攻撃判定部142は、その攻撃によって異常と判定されたメッセージのログと、そのメッセージに関連する他のメッセージのログとをサーバ200に送信することによって、攻撃を受けていることをサーバ200に通知してもよい。また、攻撃判定部142は、車両1の動作を制限または縮退させるための信号を、車載ネットワーク100内の少なくとも1つの装置にバスを介して送信することによって、攻撃を受けていることをその少なくとも1つの装置に通知してもよい。これにより、車載ネットワーク100内の少なくとも1つの装置は、例えば、車両1をゆっくり減速させ、駐車可能な場所に停車させるように、その車両1を制御する。
また、攻撃判定部142は、異常の原因が攻撃でないと判定すると、故障が生じていることをユーザ、サーバ200、または、車載ネットワーク100内の少なくとも1つの装置に通知してもよい。例えば、車両1のディスプレイ装置は文字メッセージを表示することによって、故障が生じていることを車両1のユーザに通知する。その文字メッセージは、例えば、「車両が故障している可能性があるため、車両のメンテナンスをカーディーラーに依頼してください」などである。つまり、本実施の形態では、攻撃判定部142は、異常の原因が攻撃ではないと判定した場合には、第1のECU110または第2のECU120などの装置は故障の可能性があることを示す情報を出力してもよい。これにより、異常の原因が攻撃でなければ、故障の可能性があることを示す情報が出力されるため、例えば故障している部品を交換することによって、異常を適切に解消することができる。
ここで、本実施の形態では、送受信部143および攻撃判定部142から電子制御装置が構成されている。つまり、この電子制御装置は、本実施の形態のように、異常判定部141と共に攻撃検知装置140に備えられていてもよく、異常判定部141を有する装置とは異なる装置に備えられていてもよい。また、異常判定部141は、車載ネットワーク100およびサーバ200のうちの一方に含まれ、電子制御装置は、他方に含まれていてもよい。そこで、本実施の形態では、電子制御装置および異常判定部141が1つの装置に備えられていても、互いに異なる2つの装置に分離されて備えられていても、電子制御装置および異常判定部141からなるシステムを、電子制御システムという。
このように、本実施の形態における電子制御装置は、車載ネットワーク100に含まれる第1のECU110から送信された複数の第1のメッセージを受信する送受信部143と、送受信部143によって受信された複数の第1のメッセージのいずれかが異常と判定された場合に、その異常の原因が、車載ネットワーク100への攻撃であるか否かを判定し、その攻撃であるか否かの判定結果を出力する攻撃判定部142とを備える。なお、第1のメッセージの代わりに、第2のECU120から送信された第2のメッセージが異常と判定された場合には、攻撃判定部142は、その第2のメッセージの異常の原因が、車載ネットワーク100への攻撃であるか否かを判定してもよい。つまり、判定対象のメッセージを送信する装置は、第1のECU110であっても、第2のECU120であっても、車載ネットワーク100に含まれる他の装置であってもよい。また、攻撃であるか否かの判定結果の出力は、上述の例では、車両1のユーザ、サーバ200、または車載ネットワーク100内の少なくとも1つの装置への通知として行われる。
これにより、メッセージが異常と判定された場合には、さらに、そのメッセージの異常の原因が攻撃か否かが判定されるため、車載ネットワーク100に生じる事象をより正確に判定することができる。つまり、異常の原因が、攻撃であるのか、あるいは、例えば故障またはバグなどの攻撃以外の原因であるのかを判定することができる。その結果、その異常に対して適切な対策を図ることができる。具体的には、異常の原因が故障であれば、故障している部品を交換することによって、異常を適切に解消することができる。また、異常の原因が攻撃であれば、攻撃の経路および手法を特定して対処することによって、異常を適切に解消することができる。
図3は、異常の原因とその特徴を示す図である。
異常の原因には、攻撃と、攻撃以外の原因とがある。また、攻撃には、例えば2つのタイプの攻撃がある。第1のタイプは、正常なメッセージに対して異常な第1のメッセージを追加する追加型の攻撃(以下、追加攻撃という)である。つまり、第1のタイプの攻撃では、正常なメッセージが周期的に流れているネットワークに、異常なメッセージが追加される。第2のタイプは、正常なメッセージを異常なメッセージに差し替える差替え型の攻撃(以下、差替え攻撃という)である。つまり、第2のタイプの攻撃では、正常なメッセージが周期的にネットワークに流れているのを停止させて、その正常なメッセージの代わりに、異常なメッセージがそのネットワークに周期的に流される。また、攻撃以外の原因には、例えば、故障とバグなどがある。
ここで、追加攻撃には、3つの特徴がある。1つ目の特徴(以下、攻撃の特徴1ともいう)は、データ量が増加するという特徴である。正常なメッセージが周期的にネットワークに流れているときに、異常なメッセージがさらにネットワークに流されるため、単位時間あたりのデータ量が増加する。2つ目の特徴(以下、攻撃の特徴2ともいう)は、同一の時間帯において正常なメッセージと異常なメッセージとが混在するという特徴である。例えば、正常なメッセージと異常なメッセージとが交互に送信される。3つ目の特徴(以下、攻撃の特徴4ともいう)は、互いに関連する複数種のメッセージで異常が同時に発生するという特徴である。攻撃を受ける場合には、1種類の異常なメッセージだけが単独で発生することは稀である。例えば、車両1のステアリングを不正に操舵することを目的とした攻撃では、車速を低速であると見せかけ、ステアリングホイールの操舵指示角を急に大きくすることが想定される。この場合には、操舵角を制御するためのメッセージのデータと、車速を通知するためのメッセージのデータとに異常が同時に発生する。このように、3つ目の特徴では、互いに関連する複数種のメッセージで異常が同時に発生する。なお、メッセージの種類は、そのメッセージに含まれるID(具体的にはCAN−ID)によって定義されてもよい。また、互いに関連するメッセージの種類は、予め定められていてもよい。
また、差替え攻撃には、3つの特徴がある。1つ目の特徴(以下、攻撃の特徴3ともいう)は、車両が走行しているにも関わらず上述の診断パケットが診断用メッセージとしてネットワークに流れるという特徴である。つまり、走行している車両の車載ネットワークに診断パケットが流れる場合には、その診断パケットは不正なパケットであって、ECUからの正常なメッセージの送信が不正に停止されて、その正常なメッセージの代わりに不正なメッセージが車載ネットワークに流されている可能性が高い。また、2つ目の特徴(以下、攻撃の特徴3aともいう)は、攻撃の特徴3に付随する特徴であって、診断パケットによってメッセージの送信が不正に停止されているにも関わらず、そのメッセージが観測されるという特徴である。なお、以下の説明では、攻撃検知装置140は、異常の原因が攻撃であるか否かの判定に攻撃の特徴3を用いる場合があるが、この攻撃の特徴3を攻撃の特徴3aに置き換えてもよい。攻撃の特徴3を攻撃の特徴3aに置き換えても、攻撃の特徴3を用いる場合と同様の効果を奏することができる。また、攻撃の特徴3に加えて攻撃の特徴3aも用いてもよい。3つ目の特徴は、追加攻撃の3つ目の特徴と同様、互いに関連する複数種のメッセージで異常が同時に発生するという特徴である。つまり、差替え攻撃の3つ目の特徴は、追加攻撃の3つ目の特徴と同一であって、攻撃の特徴4に相当する。
一方、攻撃以外の原因では、上述の攻撃の特徴1〜4および3aは現れないか、顕著ではない。
そこで、本実施の形態における攻撃検知装置140は、このような攻撃の特徴を用いて、異常の原因が攻撃であるか否かを判定する。
図4は、攻撃検知装置140の全体的な処理動作の一例を示すフローチャートである。
攻撃検知装置140の送受信部143は、バスに流れるメッセージを受信する(ステップS110)。次に、異常判定部141は、その送受信部143によって受信されたメッセージが異常か否かを判定する(ステップS120)。例えば、異常判定部141は、判定対象のメッセージによって示される数値またはその数値の変化量が、規定数よりも大きいまたは小さい場合に、その判定対象のメッセージが異常であると判定する。なお、判定対象のメッセージによって示される数値の変化量とは、例えば、その判定対象のメッセージと同種類であって、その判定対象のメッセージの前に送信されたメッセージによって示される数値と、その判定対象のメッセージの数値との差である。または、異常判定部141は、その判定対象のメッセージと同種類のメッセージの送信周期に基づいて、その判定対象のメッセージが異常か否かを判定してもよい。例えば、異常判定部141は、その送信周期が規定周期よりも短いまたは長い場合に、その判定対象のメッセージが異常であると判定する。
次に、攻撃判定部142は、異常判定部141によってそのメッセージが異常と判定されると(ステップS120のYes)、その異常の原因が攻撃であるか否かを判定する(ステップS130)。例えば、異常判定部141は、図3に示す攻撃の特徴1〜4に基づいて、異常の原因が攻撃であるか否かを判定する。
ここで、攻撃判定部142は、異常の原因が攻撃であると判定すると(ステップS130のYes)、攻撃を受けていることを、ユーザ、サーバ200、または、車載ネットワーク100内の少なくとも1つの装置に通知する(ステップS140)。
一方、攻撃判定部142は、異常の原因が攻撃でないと判定すると(ステップS130のNo)、異常が生じていることを、ユーザ、サーバ200、または、車載ネットワーク100内の少なくとも1つの装置に通知する(ステップS150)。このとき、攻撃判定部142は、異常の原因が攻撃ではないこと、すなわち故障またはバグがあることを通知してもよい。
そして、送受信部143は、メッセージの受信を終了すべきか否かを判断する(ステップS160)。例えば、車載ネットワーク100の電源がオフされた場合など、終了の条件が満たされた場合に、送受信部143は、メッセージの受信を終了する。一方、終了の条件が満たされていない場合には、送受信部143は、ステップS110からの処理を繰り返し実行する。
ここで、上述のように、攻撃判定部142は、ステップS130において異常の原因が攻撃か否かを判定するときには、図3に示す攻撃の特徴1〜4を利用する。
例えば、攻撃判定部142は、攻撃の特徴1、すなわちデータ量の増加を利用してもよい。具体的には、異常と判定されたメッセージは、第1のメッセージであって、例えば第1のECU110から送信されたメッセージである。また、車載ネットワーク100では、異常と判定された第1のメッセージを含む複数の第1のメッセージのそれぞれがバスを介して順次送信されている。なお、その複数の第1のメッセージのそれぞれは例えば同一種類である。すなわち、その複数の第1のメッセージのそれぞれは同一のIDを有する。このとき、攻撃判定部142は、その複数の第1のメッセージの単位時間あたりに送信された第1のデータ量が、複数の正常な第1のメッセージの単位時間あたりに送信された第2のデータ量から、増加しているか否かを判断する。そして、攻撃判定部142は、第1のデータ量が増加していると判断された場合に、異常の原因が攻撃であると判定する。
例えば、攻撃判定部142は、異常な第1のメッセージが送受信部143によって受信されてから、単位時間内に送受信部143によって受信される少なくとも1つの第1のメッセージのそれぞれのデータ量を積算する。これにより、第1のデータ量が算出される。なお、この第1のデータ量には、異常な第1のメッセージのデータ量も含まれる。そして、攻撃判定部142は、その第1のデータ量を第2のデータ量と比較し、第1のデータ量が第2のデータ量よりも多い場合に、第1のデータ量が増加していると判断する。第2のデータ量は、予め定められたデータ量であってもよい。また、単位時間は、正常な第1のメッセージの送信周期以上であってもよい。
このように、本実施の形態では、正常なメッセージに対して異常なメッセージを追加する攻撃の特徴が現れたか否かが判断されるため、そのような攻撃、すなわち追加攻撃を異常の原因として適切に判定することができる。
また、攻撃判定部142は、攻撃の特徴2、すなわちデータ変化として、正常なメッセージと異常なメッセージとが混在することを利用してもよい。具体的には、攻撃判定部142は、上述の複数の第1のメッセージに、異常な第1のメッセージと正常な第1のメッセージとが混在しているか否かを判断し、混在していると判断された場合に、異常の原因が攻撃であると判定する。
例えば、攻撃判定部142は、正常な第1のメッセージが送受信部143によって受信されてから予め定められた期間内に、異常な第1のメッセージが送受信部143に受信されるか否かを判断する。このとき、攻撃判定部142は、異常な第1のメッセージが送受信部143に受信される場合に、混在していると判断し、異常な第1のメッセージが送受信部143に受信されない場合に、混在していないと判断する。なお、その予め定められた期間は、正常な第1のメッセージの送信周期以上であってもよい。
このように、本実施の形態では、正常なメッセージに対して異常なメッセージを追加する攻撃の特徴が現れたか否かが判断されるため、そのような攻撃、すなわち追加攻撃を異常の原因として適切に判定することができる。
また、攻撃判定部142は、攻撃の特徴3、すなわち診断パケットの観測を利用してもよい。なお、その診断パケットの観測とは、車両1の走行時に診断パケットが診断用メッセージとして観測されることである。具体的には、攻撃判定部142は、車両1が移動していないときに車両1の外から車載ネットワーク100に送信される上述の診断用メッセージである第3のメッセージが、車両1が移動しているときに車載ネットワーク100に送信されているか否かを判断する。そして、攻撃判定部142は、車両1が移動しているときに第3のメッセージが送信されていると判断された場合に、異常の原因が攻撃であると判定する。
例えば、攻撃判定部142は、車速に関する情報を車両1の装置から取得し、その情報に基づいて車両1が走行しているか否かを判定する。そして、攻撃判定部142は、その情報に基づいて車両1が走行していると判定されているときに、第3のメッセージが送受信部143に受信されると、異常の原因が攻撃であると判定する。
また、攻撃判定部142は、攻撃の特徴3aを利用してもよい。具体的には、攻撃判定部142は、診断パケットによって第1のメッセージの送信が停止されているときに、異常と判定された第1のメッセージが送信されたか否かを判断し、異常と判定された第1のメッセージが送信されたと判断された場合に、異常の原因が攻撃であると判定する。
このように、本実施の形態では、正常なメッセージを異常なメッセージに差し替える攻撃の特徴が現れたか否かが判断されるため、そのような攻撃、すなわち差替え攻撃を異常の原因として適切に判定することができる。
また、攻撃判定部142は、攻撃の特徴4、すなわち同時発生を利用してもよい。なお、同時発生とは、互いに関連する複数種のメッセージ(またはデータ)で異常が同時に発生していることである。具体的には、攻撃判定部142は、異常と判定された第1のメッセージに関連する異常と判定された第2のメッセージが、車載ネットワーク100に含まれる第2のECU120から、異常と判定された第1のメッセージと共に同一の時間帯に送信されているか否かを判断する。そして、攻撃判定部142は、異常と判定された第2のメッセージが送信されていると判断する場合に、異常の原因が攻撃であると判定する。
例えば、異常な第1のメッセージが送受信部143に受信されてから予め定められた時間内に、第2のメッセージが送受信部143に受信される。攻撃判定部142は、第1のメッセージおよび第2のメッセージのそれぞれのIDが、予め保持しているテーブルにおいて互いに関連付けられている場合に、その第2のメッセージが第1のメッセージに関連していると判断する。そして、その第2のメッセージが異常であると異常判定部141によって判定されると、攻撃判定部142は、異常の原因が攻撃であると判定する。
このように、本実施の形態では、攻撃の特徴が現れたか否かが判断されるため、攻撃を異常の原因として適切に判定することができる。
ここで、攻撃判定部142は、図3に示す攻撃の特徴1〜4のうちの何れか2つを用いて攻撃の種別を特定し、それらの種別に応じた通知を行ってもよい。
図5は、攻撃判定部142の処理動作の具体的な例を示すフローチャートである。
例えば、攻撃判定部142は、ステップS130では、攻撃の特徴1が現れたか否か、すなわち、データ量が増加しているか否かを判断する(ステップS131)。ここで、攻撃判定部142は、データ量が増加していると判断すると(ステップS131のYes)、異常の原因が攻撃であって、その攻撃の種別を追加攻撃として特定する。その結果、攻撃判定部142は、ステップS140では、ユーザ、サーバ200、または、車載ネットワーク100内の少なくとも1つの装置に、その追加攻撃を通知する(ステップS141)。
一方、攻撃判定部142は、データ量が増加していないと判断すると(ステップS131のNo)、攻撃の特徴3が現れたか否か、すなわち診断パケットが観測されているか否かを判断する(ステップS132)。ここで、攻撃判定部142は、診断パケットが観測されていると判断すると(ステップS132のYes)、異常の原因が攻撃であって、その攻撃の種別を差替え攻撃として特定する。その結果、攻撃判定部142は、ステップS140では、ユーザ、サーバ200、または、車載ネットワーク100内の少なくとも1つの装置に、その差替え攻撃を通知する(ステップS142)。
図6は、攻撃判定部142の処理動作の具体的な他の例を示すフローチャートである。
例えば、攻撃判定部142は、ステップS130では、攻撃の特徴2が現れたか否か、すなわち、正常なメッセージと異常なメッセージとの混在がデータ変化として生じているか否かを判断する(ステップS133)。ここで、攻撃判定部142は、その混在が生じていると判断すると(ステップS133のYes)、異常の原因が攻撃であって、その攻撃の種別を追加攻撃として特定する。その結果、攻撃判定部142は、ステップS140では、ユーザ、サーバ200、または、車載ネットワーク100内の少なくとも1つの装置に、その追加攻撃を通知する(ステップS141)。
一方、攻撃判定部142は、混在が生じていないと判断すると(ステップS133のNo)、攻撃の特徴3が現れたか否か、すなわち診断パケットが観測されているか否かを判断する(ステップS132)。ここで、攻撃判定部142は、診断パケットが観測されていると判断すると(ステップS132のYes)、異常の原因が攻撃であって、その攻撃の種別を差替え攻撃として特定する。その結果、攻撃判定部142は、ステップS140では、ユーザ、サーバ200、または、車載ネットワーク100内の少なくとも1つの装置に、その差替え攻撃を通知する(ステップS142)。
図7は、攻撃検知装置140の全体的な処理動作の他の例を示すフローチャートである。なお、図7に示すフローチャートに示す各ステップのうち、図4に示すフローチャートに示すステップと同じ処理については、図4と同じ符号を付し、その詳細な説明を省略する。
攻撃判定部142は、異常の原因が攻撃であるか否かを判定し、異常の原因が攻撃であると判定した場合には、さらに、攻撃の種別を特定してもよい。
例えば、攻撃検知装置140の攻撃判定部142は、送受信部143によってメッセージが受信され、さらに、そのメッセージが異常であると異常判定部141によって判定されると、追加攻撃および差替え攻撃の共通の特徴が現れたか否かを判定する(ステップS130a)。つまり、攻撃判定部142は、図7に示すように、図4のステップS130の具体的な処理として、攻撃の特徴4が現れたか否か、すなわち互いに関連する複数の異常なメッセージが同時に発生したか否かを判断する(ステップS130a)。ここで、攻撃判定部142は、互いに関連する複数の異常なメッセージが同時に発生していると判断すると(ステップS130aのYes)、異常の原因が攻撃であると判定し、さらに、その攻撃の種別を特定する(ステップS170)。すなわち、攻撃判定部142は、攻撃の特徴1〜3のうちの何れの特徴が現れたかを検出し、その現れた特徴に応じた種別を、攻撃の種別として特定する。例えば、攻撃判定部142は、攻撃の特徴1および2のうちの何れかが現れた場合には、その特徴に応じた追加攻撃を、攻撃の種別として特定する。または、攻撃判定部142は、攻撃の特徴3が現れた場合には、その特徴3に応じた差替え攻撃を、攻撃の種別として特定する。
より具体的には、車載ネットワーク100では、異常と判定された第1のメッセージを含む複数の第1のメッセージのそれぞれが順次送信され、その複数の第1のメッセージの単位時間あたりに送信された第1のデータ量が、複数の正常な第1のメッセージの単位時間あたりに送信された第2のデータ量から、増加している。このような場合、攻撃判定部142は、ステップS170における攻撃の種別の特定では、正常なメッセージに対して異常なメッセージを追加する追加型の攻撃を、攻撃の種別として特定する。つまり、攻撃判定部142は、複数の第1のメッセージの単位時間あたりに送信された第1のデータ量が、複数の正常な第1のメッセージの単位時間あたりに送信された第2のデータ量から増加していると判断された場合、その攻撃の種別として、正常なメッセージに対して異常なメッセージを追加する追加型の攻撃であると特定する。
また、車載ネットワーク100では、異常と判定された第1のメッセージを含む複数の第1のメッセージのそれぞれが順次送信され、その複数の第1のメッセージに、異常な第1のメッセージと正常な第1のメッセージとが混在している。このような場合、攻撃判定部142は、ステップS170における攻撃の種別の特定では、正常なメッセージに対して異常なメッセージを追加する追加型の攻撃を、攻撃の種別として特定する。つまり、攻撃判定部142は、複数の第1のメッセージに、異常な第1のメッセージと正常な第1のメッセージとが混在していると判断された場合、その攻撃の種別として、正常なメッセージに対して異常なメッセージを追加する追加型の攻撃であると特定する。
あるいは、車両1が移動を停止しているときにその車両1の外から車載ネットワーク100に送信される第3のメッセージが、車両1が移動しているときに車載ネットワーク100に送信されている。このような場合、攻撃判定部142は、ステップS170における攻撃の種別の特定では、正常なメッセージを異常なメッセージに差し替える差替え型の攻撃を、攻撃の種別として特定する。つまり、攻撃判定部142は、車両1が移動を停止しているときに車両1の外から車載ネットワーク100に送信される第2のメッセージが、車両1が移動しているときに車載ネットワーク100に送信されていると判断されたとき、その攻撃の種別として、正常なメッセージを異常なメッセージに差し替える差替え型の攻撃であると特定する。または、攻撃判定部142は、診断パケットによって第1のメッセージの送信が停止されているときに、異常と判定された第1のメッセージが送信されたと判断された場合、その攻撃の種別として、正常なメッセージを異常なメッセージに差し替える差替え型の攻撃であると特定する。
これにより、ネットワークに生じる事象として判定された攻撃をより正確に判定することができる。
以上のように、本実施の形態における電子制御装置および電子制御システムでは、車載ネットワーク100に生じる事象をより正確に判定することができる。
<変形例>
以上、一つまたは複数の態様に係る電子制御装置について、実施の形態に基づいて説明したが、本開示は、この実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。
例えば、上記実施の形態では、攻撃判定部142は、図3に示す攻撃の特徴1〜4のうちの何れか1つまたは2つが現れたか否かを判断し、その結果に基づいて、異常の原因が攻撃か否かを判定している。しかし、攻撃判定部142は、上述の特徴1〜4のうち3つ以上の特徴が同じ時間帯に現れた場合に、異常の原因が攻撃であると判定してもよい。つまり、攻撃判定部142は、攻撃によって現れる少なくとも1つの特徴が、予め定められた時間内に車載ネットワーク100に現れたか否かを判断し、その少なくとも1つの特徴が現れたと判断する場合に、異常の原因が攻撃であると判定する。少なくとも1つの特徴のそれぞれは、上述の特徴1〜4のうちの何れかであってもよい。また、攻撃判定部142は、同一の特徴が上述の時間内に複数回現れた場合に、異常の原因が攻撃であると判定してもよい。
また、上記実施の形態では、攻撃判定部142は、攻撃の特徴3に基づいて、異常の原因が差替え攻撃であると判定するが、他の特徴に基づいて、異常の原因が差替え攻撃であると判定してもよい。例えば、図3に示すように、差替え攻撃の場合には、周期的に送信されるメッセージに含まれるデータ(すなわち数値)が急峻に変化する。したがって、攻撃判定部142は、このような特徴に基づいて、異常の原因が差替え攻撃であると判定してもよい。
なお、上記実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPUまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の電子制御装置および電子制御システムなどを実現するソフトウェアは、図4〜図7に示すフローチャートに含まれる各ステップをコンピュータに実行させる。
また、上記実施の形態では、車載ネットワーク100は、CANプロトコルに基づくネットワークシステムであるが、そのCANプロトコルは、TTCAN(Time-Triggered CAN)、CANFD(CAN with Flexible Data Rate)等の派生的なプロトコルも包含する広義の意味のものでもよい。また、車両でECU間の通信に用いられるネットワークは、CANプロトコルにしたがったネットワークに限られず、他のネットワークでもよい。ECUが通信データの授受を行うためのネットワークで用いられる、CAN以外のプロトコルとして、例えば、Ethernet(登録商標)、LIN(Local Interconnect Network)、MOST(登録商標)(Media Oriented Systems Transport)、FlexRay(登録商標)、ブローダーリーチプロトコル等が挙げられる。
また、上記実施の形態における各ECUは、例えば、プロセッサ、メモリ等のデジタル回路、アナログ回路、通信回路等を含む装置であることとしたが、ハードディスク装置、ディスプレイその他のハードウェア構成要素を含んでいても良い。また、上記実施の形態で示した各装置は、メモリに記憶されたプログラムがプロセッサにより実行されてソフトウェア的に機能を実現する代わりに、専用のハードウェア(デジタル回路等)によりその機能を実現することとしても良い。
また、上記実施の形態では、車載ネットワーク100は、車両1に搭載されるネットワークシステムであるが、車両以外の建機、農機、船舶、鉄道、飛行機などの移動体に搭載されていてもよい。
また、上記実施の形態における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
また、上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
また、本発明の一態様としては、例えば図4〜図7等に示す処理手順の全部又は一部を含む電子制御方法であるとしても良い。また、本発明の一態様としては、この電子制御方法に係る処理をコンピュータにより実現するためのプログラム(コンピュータプログラム)であるとしても良いし、前記プログラムからなるデジタル信号であるとしても良い。
また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD−ROM、MO、DVD、DVD−ROM、DVD−RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。
また、本発明の一態様としては、前記プログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記プログラムを記録しており、前記マイクロプロセッサは、前記プログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
本開示は、ネットワークに生じる事象をより正確に判定することができ、例えば、CANプロトコルにしたがった制御が行われるネットワークなどに利用可能である。
1 車両
100 電子制御システム(車載ネットワーク)
110 第1のECU
120 第2のECU
130 通信ECU
140 攻撃検知装置(電子制御装置)
141 異常判定部
142 攻撃判定部
143 送受信部
200 サーバ
300 診断装置

Claims (15)

  1. 移動体に搭載されたネットワークに含まれる第1の装置から送信された複数の第1のメッセージを受信する受信部と、
    前記受信部によって受信された前記複数の第1のメッセージのいずれかが異常と判定された場合に、前記異常の原因が、前記ネットワークへの攻撃であるか否かを判定し、前記攻撃であるか否かの判定結果を出力する判定部と、
    を備える電子制御装置。
  2. 前記判定部は、
    前記異常の原因が攻撃ではないと判定した場合には、さらに、前記第1の装置は故障の可能性があることを示す情報を出力する、
    請求項1に記載の電子制御装置。
  3. 前記判定部は、
    前記複数の第1のメッセージの単位時間あたりに送信された第1のデータ量が、複数の正常な第1のメッセージの単位時間あたりに送信された第2のデータ量から増加しているか否かを判断し、前記第1のデータ量が増加していると判断された場合に、前記異常の原因が攻撃であると判定する、
    請求項1または2に記載の電子制御装置。
  4. 前記判定部は、
    前記複数の第1のメッセージに、異常な第1のメッセージと正常な第1のメッセージとが混在しているか否かを判断し、混在していると判断された場合に、前記異常の原因が攻撃であると判定する、
    請求項1〜3の何れか1項に記載の電子制御装置。
  5. 前記判定部は、
    異常と判定された前記第1のメッセージに関連する異常と判定された第2のメッセージが、前記ネットワークに含まれる第2の装置から、異常と判定された前記第1のメッセージと共に同一の時間帯に送信されているか否かを判断し、異常と判定された前記第2のメッセージが送信されていると判断された場合に、前記異常の原因が攻撃であると判定する、
    請求項1〜4の何れか1項に記載の電子制御装置。
  6. 前記判定部は、
    前記移動体が移動していないときに前記移動体の外から前記ネットワークに送信される第3のメッセージが、前記移動体が移動しているときに前記ネットワークに送信されているか否かを判断し、前記第3のメッセージが送信されていると判断された場合に、前記異常の原因が攻撃であると判定する、
    請求項1〜5の何れか1項に記載の電子制御装置。
  7. 前記判定部は、
    診断パケットによって第1のメッセージの送信が停止されているときに、異常と判定された前記第1のメッセージが送信されたか否かを判断し、異常と判定された前記第1のメッセージが送信されたと判断された場合に、前記異常の原因が攻撃であると判定する、
    請求項1〜6の何れか1項に記載の電子制御装置。
  8. 前記判定部は、
    攻撃によって現れる少なくとも1つの特徴が、予め定められた時間内に前記ネットワークに現れたか否かを判断し、前記少なくとも1つの特徴が現れたと判断された場合に、前記異常の原因が攻撃であると判定する、
    請求項1〜7の何れか1項に記載の電子制御装置。
  9. 前記判定部は、
    前記異常の原因が攻撃であると判定した場合には、さらに、前記攻撃の種別を特定する、
    請求項1〜8の何れか1項に記載の電子制御装置。
  10. 前記判定部は、
    前記複数の第1のメッセージの単位時間あたりに送信された第1のデータ量が、複数の正常な第1のメッセージの単位時間あたりに送信された第2のデータ量から増加していると判断された場合、前記攻撃の種別として、正常なメッセージに対して異常なメッセージを追加する追加型の攻撃であると特定する、
    請求項9に記載の電子制御装置。
  11. 前記判定部は、
    前記複数の第1のメッセージに、異常な第1のメッセージと正常な第1のメッセージとが混在していると判断された場合、前記攻撃の種別として、正常なメッセージに対して異常なメッセージを追加する追加型の攻撃であると特定する、
    請求項9または10に記載の電子制御装置。
  12. 前記判定部は、
    前記移動体が移動を停止しているときに前記移動体の外から前記ネットワークに送信される第2のメッセージが、前記移動体が移動しているときに前記ネットワークに送信されていると判断されたとき、前記攻撃の種別として、正常なメッセージを異常なメッセージに差し替える差替え型の攻撃であると特定する、
    請求項9〜11の何れか1項に記載の電子制御装置。
  13. 前記判定部は、
    診断パケットによって第1のメッセージの送信が停止されているときに、異常と判定された前記第1のメッセージが送信されたと判断された場合、前記攻撃の種別として、正常なメッセージを異常なメッセージに差し替える差替え型の攻撃であると特定する、
    請求項9〜12の何れか1項に記載の電子制御装置。
  14. 移動体に搭載されたネットワークに含まれる装置から送信された複数のメッセージを受信する受信部と、前記受信部によって受信された前記複数のメッセージが異常であるか否かを判定する異常判定部と、を含む異常判定装置と、
    前記受信部によって受信された前記複数のメッセージのいずれかが前記異常判定部によって異常と判定された場合には、前記異常の原因が、前記ネットワークへの攻撃であるか否かを判定し、前記攻撃であるか否かの判定結果を出力する攻撃判定装置と、
    を備える電子制御システム。
  15. 移動体に搭載されたネットワークに含まれる装置から送信された複数のメッセージを受信する処理と、
    受信された前記複数のメッセージのいずれかが異常と判定された場合には、前記異常の原因が、前記ネットワークへの攻撃であるか否かを判定し、前記攻撃であるか否かの判定結果を出力する処理と、
    をコンピュータに実行させるためのプログラム。
JP2020563136A 2018-12-28 2019-12-18 電子制御装置、電子制御システムおよびプログラム Active JP7113238B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018247448 2018-12-28
JP2018247448 2018-12-28
PCT/JP2019/049617 WO2020137743A1 (ja) 2018-12-28 2019-12-18 電子制御装置、電子制御システムおよびプログラム

Publications (2)

Publication Number Publication Date
JPWO2020137743A1 true JPWO2020137743A1 (ja) 2021-09-30
JP7113238B2 JP7113238B2 (ja) 2022-08-05

Family

ID=71126190

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020563136A Active JP7113238B2 (ja) 2018-12-28 2019-12-18 電子制御装置、電子制御システムおよびプログラム

Country Status (4)

Country Link
US (1) US11621967B2 (ja)
JP (1) JP7113238B2 (ja)
DE (1) DE112019006487B4 (ja)
WO (1) WO2020137743A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020121390A1 (ja) * 2018-12-11 2020-06-18 株式会社オートネットワーク技術研究所 ジョイントコネクタ
JP7156257B2 (ja) * 2019-11-21 2022-10-19 トヨタ自動車株式会社 車両通信装置、通信異常の判定方法及びプログラム
JP7273875B2 (ja) * 2021-03-03 2023-05-15 本田技研工業株式会社 判定装置、移動体、判定方法及びプログラム
JP2023006513A (ja) * 2021-06-30 2023-01-18 株式会社デンソー 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017017608A (ja) * 2015-07-03 2017-01-19 パナソニックIpマネジメント株式会社 通信方法およびそれを利用した通信装置
JP2017038291A (ja) * 2015-08-12 2017-02-16 本田技研工業株式会社 車両用通信装置
JP2017073765A (ja) * 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム
JP2018152745A (ja) * 2017-03-14 2018-09-27 パナソニックIpマネジメント株式会社 記録装置、車両および記録方法
WO2018179329A1 (ja) * 2017-03-31 2018-10-04 日本電気株式会社 抽出装置、抽出方法、コンピュータ可読媒体
JP2018182725A (ja) * 2017-04-07 2018-11-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6597777B1 (en) * 1999-06-29 2003-07-22 Lucent Technologies Inc. Method and apparatus for detecting service anomalies in transaction-oriented networks
US7383191B1 (en) * 2000-11-28 2008-06-03 International Business Machines Corporation Method and system for predicting causes of network service outages using time domain correlation
US8209756B1 (en) * 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US8613085B2 (en) * 2009-07-22 2013-12-17 Broadcom Corporation Method and system for traffic management via virtual machine migration
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
US20170010930A1 (en) * 2015-07-08 2017-01-12 Cisco Technology, Inc. Interactive mechanism to view logs and metrics upon an anomaly in a distributed storage system
DE102016200775A1 (de) 2016-01-21 2017-07-27 Robert Bosch Gmbh Verfahren und Vorrichtung zum Schutz eines Fahrzeuges vor Cyberangriffen
US10063589B2 (en) * 2016-04-20 2018-08-28 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Microcheckpointing as security breach detection measure
EP3264718B1 (en) 2016-06-29 2021-03-03 Argus Cyber Security Ltd System and method for detection and prevention of attacks on in-vehicle networks
JP6329715B1 (ja) 2016-10-31 2018-05-23 オリンパス株式会社 内視鏡システムおよび内視鏡
JP6839846B2 (ja) 2017-03-30 2021-03-10 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法及びプログラム
DE102017209806A1 (de) 2017-06-09 2018-12-13 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
US20190228353A1 (en) * 2018-01-19 2019-07-25 EMC IP Holding Company LLC Competition-based tool for anomaly detection of business process time series in it environments

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017017608A (ja) * 2015-07-03 2017-01-19 パナソニックIpマネジメント株式会社 通信方法およびそれを利用した通信装置
JP2017038291A (ja) * 2015-08-12 2017-02-16 本田技研工業株式会社 車両用通信装置
JP2017073765A (ja) * 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム
JP2018152745A (ja) * 2017-03-14 2018-09-27 パナソニックIpマネジメント株式会社 記録装置、車両および記録方法
WO2018179329A1 (ja) * 2017-03-31 2018-10-04 日本電気株式会社 抽出装置、抽出方法、コンピュータ可読媒体
JP2018182725A (ja) * 2017-04-07 2018-11-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
倉地 亮 他: "CANにおけるエラーフレーム監視機構の提案 Proposal of the error frame monitoring system with impro", CSS2015 コンピュータセキュリティシンポジウム2015 論文集 合同開催 マルウェア対策研究人, JPN6020008226, 14 October 2015 (2015-10-14), JP, pages 110 - 115, ISSN: 0004760786 *
氏家 良浩 他: "車載ネットワークにおけるCANフィルタの提案", 2015年 暗号と情報セキュリティシンポジウム SCIS2015 [CD−ROM] 2015年 暗号, JPN6020008225, 20 January 2015 (2015-01-20), pages 1 - 7, ISSN: 0004760788 *
田邉 正人 他: "車載ゲートウェイにおける多層連携CANフィルタの提案", SCIS2016 [USB] SCIS2016 2016 SYMPOSIUM ON CRYPTOGR, JPN6020008223, 19 January 2016 (2016-01-19), pages 1 - 8, ISSN: 0004760785 *
福田 國統 他: "CAN通信における汎用的な攻撃検出を目的とした時系列データ解析", CSS2018 コンピュータセキュリティシンポジウム2018論文集 [USB], JPN6020008224, 15 October 2018 (2018-10-15), JP, pages 1120 - 1127, ISSN: 0004760787 *

Also Published As

Publication number Publication date
DE112019006487B4 (de) 2023-12-28
WO2020137743A1 (ja) 2020-07-02
US20210320932A1 (en) 2021-10-14
JP7113238B2 (ja) 2022-08-05
DE112019006487T5 (de) 2021-11-04
US11621967B2 (en) 2023-04-04

Similar Documents

Publication Publication Date Title
US10992688B2 (en) Unauthorized activity detection method, monitoring electronic control unit, and onboard network system
JPWO2020137743A1 (ja) 電子制御装置、電子制御システムおよびプログラム
US11063970B2 (en) Attack detection method, attack detection device and bus system for a motor vehicle
US11277427B2 (en) System and method for time based anomaly detection in an in-vehicle communication
US11469921B2 (en) Security device, network system, and fraud detection method
EP3621246B1 (en) Security processing method and server
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
US11252180B2 (en) System and method for content based anomaly detection in an in-vehicle communication network
JP6594732B2 (ja) 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
JPWO2019142741A1 (ja) 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法
EP3968575A1 (en) Security processing method and server
JPWO2019216306A1 (ja) 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US11829472B2 (en) Anomalous vehicle detection server and anomalous vehicle detection method
WO2021038869A1 (ja) 車両監視装置および車両監視方法
US11431579B2 (en) Anomaly detection device, anomaly detection system, and control method
WO2021145144A1 (ja) 侵入経路分析装置および侵入経路分析方法
JP6913869B2 (ja) 監視装置、監視システムおよびコンピュータプログラム
WO2021145116A1 (ja) 異常検知方法、プログラム及び異常検知システム
WO2023233711A1 (ja) 情報処理方法、異常判定方法、および、情報処理装置
WO2023112493A1 (ja) 脅威情報展開システム、脅威情報展開方法およびプログラム
WO2023218815A1 (ja) 監視装置、車両監視方法および車両監視プログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210513

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210513

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220509

R151 Written notification of patent or utility model registration

Ref document number: 7113238

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03