RU2676236C1 - Устройство мониторинга сети и компьютерный программный продукт - Google Patents

Устройство мониторинга сети и компьютерный программный продукт Download PDF

Info

Publication number
RU2676236C1
RU2676236C1 RU2017128092A RU2017128092A RU2676236C1 RU 2676236 C1 RU2676236 C1 RU 2676236C1 RU 2017128092 A RU2017128092 A RU 2017128092A RU 2017128092 A RU2017128092 A RU 2017128092A RU 2676236 C1 RU2676236 C1 RU 2676236C1
Authority
RU
Russia
Prior art keywords
message
unauthorized transmission
time
received
unauthorized
Prior art date
Application number
RU2017128092A
Other languages
English (en)
Inventor
Кодзи ЮРА
Такеси КИТАМУРА
Хидеки ГОТО
Томокадзу МОРИЯ
Original Assignee
Тойота Дзидося Кабусики Кайся
Тосиба Диджитал Солюшнз Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Тойота Дзидося Кабусики Кайся, Тосиба Диджитал Солюшнз Корпорейшн filed Critical Тойота Дзидося Кабусики Кайся
Application granted granted Critical
Publication of RU2676236C1 publication Critical patent/RU2676236C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/62Establishing a time schedule for servicing the requests
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Small-Scale Networks (AREA)
  • Technology Law (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к области мониторинга сети. Технический результат – повышение точности определения присутствия неавторизованной передачи сообщения без потери свойства функционирования в реальном времени. Устройство мониторинга сети, которое отслеживает сообщение, которое периодически передается в сети, в которой передается и принимается сообщение, идентифицируемое по идентификатору, причем устройство мониторинга сети содержит: блок записи времени приема; и блок определения неавторизованной передачи, выполненный с возможностью определять присутствие неавторизованной передачи в отношении принятого отслеживаемого сообщения на основе последнего времени приема T, m предыдущего времени приема T, периода передачи сообщения F и константы s, определенной заранее, в период со времени приема Tдо времени приема T, каждый раз когда принимается отслеживаемое сообщение. 2 н. и 13 з.п. ф-лы, 14 ил.

Description

ПЕРЕКРЕСТНЫЕ ССЫЛКИ НА РОДСТВЕННЫЕ ЗАЯВКИ
Эта заявка основана на и испрашивает приоритет по патентной заявке Японии № 2016-156475, поданной 9 августа, 2016, все содержимое которой включено в настоящий документ посредством ссылки.
ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТЬСЯ ИЗОБРЕТЕНИЕ
Варианты осуществления, описанные в настоящем документе, относятся в основном к устройству мониторинга сети и компьютерному программному продукту.
УРОВЕНЬ ТЕХНИКИ
Например, во внутренней сети транспортного средства, установленной в транспортном средстве, известно, что транспортное средство ведет себя отлично от намерения водителя, посредством неавторизованной передачи сообщения. В качестве контрмеры против такой атаки на сеть, была разработана технология обнаружения неавторизованной передачи сообщения. Например, посредством фокусировки на периодической передаче сообщений, была разработана технология, которая выполняет процесс фильтрации в отношении предварительно определенного периода передачи, технология, которая обнаруживает аномалии периода и которая отбрасывает сообщение, которое передается неавторизованным образом, и подобные.
Однако, основной целью обыкновенной технологии, которая обнаруживает неавторизованную передачу посредством фокусировки на периодической передаче сообщений, является определение легитимности сообщения после приема сообщения. Следовательно, когда совершается попытка точного определения легитимности сообщения, при этом учитывая периодическую вариацию и подобное, время ожидания увеличивается и свойство функционирования в реальном времени теряется. С другой стороны, когда делается упор на свойство функционирования в реальном времени, точность определения понижается, и неавторизованная передача может быть упущена из виду и может произойти неверное обнаружение. Поэтому, есть запрос на новую технологию, способную точно определять присутствие неавторизованной передачи сообщения без потери свойства функционирования в реальном времени.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг. 1 является схемой, иллюстрирующей пример конфигурации внутренней сети транспортного средства;
Фиг. 2 является блок-схемой, иллюстрирующей пример аппаратной конфигурации центрального шлюза (CGW);
Фиг. 3 является блок-схемой, иллюстрирующей пример функциональной конфигурации CGW;
Фиг. 4 является схемой, иллюстрирующей пример таблицы параметров передачи и мониторинга;
Фиг. 5 является схемой, иллюстрирующей пример таблицы записей мониторинга;
Фиг. 6 является схемой для разъяснения константы σ;
Фиг. 7 является схемой для разъяснения константы σ;
Фиг. 8 является схемой для разъяснения константы σ;
Фиг. 9 является схемой, иллюстрирующей пример форматов данных сообщений обнаружения неавторизованных передач;
Фиг. 10 является схемой, иллюстрирующей пример таблицы обработки времени обнаружения;
Фиг. 11 является схемой последовательности операций, иллюстрирующей последовательность процедур обработки, выполняемых блоком контроля передачи и мониторинга;
Фиг. 12A является схемой последовательности операций, иллюстрирующей пример процедуры обработки для обработки определения неавторизованной передачи;
Фиг. 12B является схемой последовательности операций, иллюстрирующей другой пример процедуры обработки для обработки определения неавторизованной передачи; и
Фиг. 13 является схемой последовательности операций, иллюстрирующей процедуру обработки для обработки времени обнаружения неавторизованной передачи.
ПОДРОБНОЕ ОПИСАНИЕ
Устройство мониторинга сети согласно варианту осуществления отслеживает сообщение, которое периодически передается в сети, в которой передается и принимается сообщение, идентифицируемое по идентификатору, и включает в себя блок записи времени приема и блок определения неавторизованной передачи. Блок записи времени приема записывает время приема совместно с идентификатором каждый раз, когда принимается отслеживаемое сообщение. Блок определения неавторизованной передачи определяет присутствие неавторизованной передачи в отношении принятого отслеживаемого сообщения на основе последнего времени приема Ti, m предыдущего времени приема Ti-m, периода передачи сообщения F и константы σ, заданной заранее, в период со времени приема Ti-m до времени приема Ti, каждый раз когда принимается отслеживаемое сообщение.
В дальнейшем, устройство мониторинга сети и компьютерный программный продукт по варианту осуществления будут описаны подробно со ссылкой на прилагаемые чертежи. В нижеследующем, устройство мониторинга сети и компьютерный программный продукт варианта осуществления применяются к внутренней сети транспортного средства, которая должна быть установлена в транспортном средстве. Однако, сеть, к которой могут быть применены устройство мониторинга сети и компьютерный программный продукт по варианту осуществления, не ограничивается внутренней сетью транспортного средства. Устройство мониторинга сети и компьютерный программный продукт по варианту осуществления могут широко применяться к сети, в которой передается и принимается сообщение, идентифицируемое посредством идентификатора, так же как и к сети, в которой периодически передается (циклически передается с предварительно определенным периодом) по меньшей мере часть сообщений.
Обзор варианта осуществления
В устройстве мониторинга сети по настоящему варианту осуществления, отслеживаемое сообщение является сообщением, которое периодически передается во внутренней сети транспортного средства, такой как сеть контроллеров (CAN), в которой передается и принимается сообщение, идентифицируемое посредством идентификатора (ID), и тому подобное. Устройство мониторинга сети по настоящему варианту осуществления определяет, включено ли сообщение неавторизованной передачи, такое как "подделанное" сообщение, имеющее такой же ID, как ID обычного сообщения или подобный, в отслеживаемое сообщение, которое идентифицировано посредством ID. Устройство мониторинга сети по настоящему варианту осуществления определяет присутствие неавторизованной передачи посредством определения того, включено ли сообщение, переданное неавторизованным образом, в некоторые из сообщений, которые были приняты, в отслеживаемых сообщениях, имеющих такой же ID, вместо определения того, является ли принятое сообщение сообщением, которое передано неавторизованным образом.
Чтобы определить неавторизованную передачу отслеживаемого сообщения в настоящем варианте осуществления время приема записывается совместно с ID сообщения каждый раз, когда принимается отслеживаемое сообщение. Когда неавторизованная передача включена в сообщение, имеющее такой же ID, как ID одного из принятых сообщений, и при фокусировке на интервале приема сообщений, интервал приема становится короче, чем предварительно определенный период передачи сообщения, так как сообщение, которое передается неавторизованным образом, включено в дополнение к сообщениям обычной передачи. В настоящем варианте осуществления присутствие неавторизованной передачи определяется с использованием изменения интервала приема сообщений, таких как выше.
Изменение интервала приема сообщений может также быть создано из-за задержки, вызванной различными факторами в сети. Таким образом, если изменение интервала приема между сообщениями является небольшим, невозможно сразу определить, является ли последнее принятое сообщение неавторизованной передачей. Однако, предусматривается, что произошла неавторизованная передача, даже если неавторизованная передача не может быть обнаружена во время, когда принимается сообщение, которое передается неавторизованным образом, интервал приема сильно изменяется, когда принимается следующее сообщение. Следовательно, возможно обнаружить неавторизованную передачу после приема следующего сообщения. Другими словами, возможно определить, произошла ли неавторизованная передача в период со времени приема m предыдущего сообщения до времени приема последнего сообщения. Следует отметить, что m является натуральным числом, один или более, и в настоящем варианте осуществления, предполагается, что значение m составляет один или два. Однако, аналогичные эффекты могут быть получены, даже если значение m составляет три или более.
Таким образом, в настоящем варианте осуществления, присутствие неавторизованной передачи в отношении отслеживаемого сообщения определяется в период со времени приема m предыдущего сообщения до времени приема последнего сообщения. Например, когда определяется, что произошла неавторизованная передача, будет выполнена предварительно определенная обработка для обнаружения мошенничества, такая как передача сообщения об обнаружении мошенничества, включающего в себя ID отслеживаемого сообщения, которое передается неавторизованным образом, и подобное.
Пример конфигурации внутренней сети транспортного средства
Фиг. 1 является схемой, иллюстрирующей пример конфигурации внутренней сети транспортного средства, в которой применяется устройство мониторинга сети по настоящему варианту осуществления. Внутренняя сеть транспортного средства, проиллюстрированная на Фиг. 1, является сетью, в которой связь осуществляется среди электронных блоков управления (в дальнейшем, называемых как "ECU"), которые смонтированы на транспортном средстве. На транспортном средстве смонтировано огромное число ECU. Огромное число ECU расположено на множестве шин (в примере на Фиг. 1, первой шине B1, второй шине B2 и третьей шине B3) распределенным образом, и обоюдно передают и принимают сообщения. В настоящем варианте осуществления, предполагается, что ECU осуществляют связь на основе протокола CAN.
В примере, проиллюстрированном на Фиг. 1, в качестве авторизованных ECU, ECU 101 и 102 соединяются с первой шиной B1, ECU 201, 202 и 203 соединяются со второй шиной B2, и ECU 301, 302 и 303 соединяются с третьей шиной B3. Среди вышеуказанного, ECU 301, соединенный с третьей шиной B3, является ECU для информационно-развлекательной системы транспортного средства (IVI). ECU 301 соединяется с модулем цифровой связи (DCM), который не проиллюстрирован, и также соединяется с сетью, функционирующей с помощью протокола Интернета (IP), вне транспортного средства посредством сети мобильной связи.
Центральный шлюз (CGW) 10 соединен с первой шиной B1, второй шиной B2 и третьей шиной B3. Когда ECU на некоторой шине передает сообщение в ECU на другой шине, CGW 10 пересылает сообщение. В настоящем варианте осуществления, CGW 10 функционирует как устройство мониторинга сети, описанное выше.
В примере проиллюстрированном на Фиг. 1, ECU 501, который является неавторизованным ECU, соединяется с первой шиной B1. В настоящем варианте осуществления, предполагается, что сообщение (сообщение, переданное неавторизованным образом), имеющее такой же ID, как ID отслеживаемого сообщения (сообщения, переданного авторизованным образом), которое передается из ECU, который периодически передает сообщения, среди авторизованных ECU, должно быть передано от неавторизованного ECU 501.
Конфигурация внутренней сети транспортного средства, проиллюстрированной на Фиг. 1, является лишь примером, и конфигурация внутренней сети транспортного средства, к которой применяется устройство мониторинга сети настоящего варианта осуществления, этим не ограничивается. Кроме того, способ связи не ограничивается CAN, и связь среди ECU может быть осуществлена с использованием другого способа связи. Сети, имеющие способы связи, отличные друг от друга, могут быть соединены через CGW 10. В настоящем варианте осуществления, CGW 10 функционирует как устройство мониторинга сети. Однако, другой один или более ECU могут функционировать как устройство мониторинга сети вместо CGW 10 или с помощью CGW 10. Кроме того, устройство мониторинга сети, отличное (независимое) от CGW 10 и ECU, может быть соединено с внутренней сетью транспортного средства.
Пример конфигурации CGW (устройства мониторинга сети)
Фиг. 2 является схемой, иллюстрирующей пример аппаратной конфигурации CGW 10, который функционирует как устройство мониторинга сети по настоящему варианту осуществления. Как проиллюстрировано на Фиг. 2, CGW 10 включает в себя большую интегральную схему (LSI) 50, приемопередатчик 60a, соединенный с первой шиной B1, приемопередатчик 60b, соединенный со второй шиной B2, и приемопередатчик 60c, соединенный с третьей шиной B3. Приемопередатчики 60a, 60b и 60c выполняют аналоговую обработку, такую как преобразование дифференциальных потенциалов в первой шине B1, второй шине B2 и третьей шине B3 в цифровые сигналы или преобразование цифровых сигналов в дифференциальные потенциалы.
LSI 50 является интегральной схемой (микрокомпьютером), которая выполняет цифровую обработку сигнала, и на ней смонтированы центральный процессор (CPU) 51, оперативная память (RAM) 52, постоянная память (ROM) 53, контроллеры 54a, 54b и 54c связи, таймер 55 и подобное. CPU 51 является процессором, который исполняет предварительно определенную компьютерную программу и который управляет общим функционированием CGW 10. RAM 52 является памятью, которая действует как рабочая область, когда CPU 51 исполняет компьютерную программу. ROM 53 является памятью, которая хранит в себе компьютерную программу и данные, исполняемые посредством CPU 51. Каждый из контроллеров 54a, 54b и 54c связи является контроллером, который передает сообщение шинам (первой шине B1, второй шине B2 и третьей шине B3) и который принимает сообщения от шин, при совместной работе с приемопередатчиками 60a, 60b и 60c. Например, таймер 55 измеряет время для обработки посредством CGW 10 и измеряет время, используемое для управления расписанием, записи времени приема, которая будет описана ниже, и подобное.
Фиг. 2 иллюстрирует пример аппаратной конфигурации CGW 10. Следует отметить, что аппаратные конфигурации других ECU, в основном, являются такими же как аппаратные конфигурации CGW 10, проиллюстрированные на Фиг. 2. В примере конфигурации, проиллюстрированном на Фиг. 2, CGW 10 соединяется с тремя шинами, первой шиной B1, второй шиной B2 и третьей шиной B3. Таким образом, CGW 10 включает в себя три приемопередатчика 60a, 60b и 60c, соответствующих трем шинам, так же как и контроллеры 54a, 54b и 54c связи в LSI 50. Однако, этим не ограничивается, и каждый ECU может включать в себя приемопередатчик и контроллер связи, соответствующий шине, с которой соединяется ECU.
Например, функционирование в качестве устройства мониторинга сети по настоящему варианту осуществления может быть реализовано при совместной работе с аппаратными средствами и программным обеспечением (компьютерной программой) CGW 10, описанным выше. Другими словами, CGW 10 может функционировать как устройство мониторинга сети, посредством хранения компьютерной программы, которая обеспечивает CGW 10 возможность функционирования в качестве устройства мониторинга сети в ROM 53, и посредством предписания CPU 51 считывать и исполнять компьютерную программу, которая хранится в ROM 53, с использованием RAM 52 в качестве рабочей области.
Фиг. 3 является блок-схемой, иллюстрирующей пример функциональной конфигурации CGW 10, который функционирует как устройство мониторинга сети по настоящему варианту осуществления. Как проиллюстрировано на Фиг. 3, CGW 10 включает в себя блок 11 контроля передачи и мониторинга, блок 12 приема, блок 13 передачи и планировщик 14, в качестве функциональных компонентов. Блок 12 приема является функцией, которая принимает сообщение посредством контроллеров 54a, 54b и 54c связи. Блок 13 передачи является функцией, которая передает сообщение посредством контроллеров 54a, 54b и 54c связи. Планировщик 14 управляет временем передачи сообщения из блока 13 передачи. CGW 10 также включает в себя таблицу 15 параметров передачи и мониторинга, таблицу 16 записей мониторинга и таблицу 17 обработки времени обнаружения в качестве таблиц, к которым блоком 11 контроля передачи и мониторинга осуществляется обращение, или считывание и запись.
Фиг. 3 является примером функциональной конфигурации, реализованной при совместной работе с аппаратными средствами и программным обеспечением CGW 10. Следует отметить, что в функциональной конфигурации другого ECU, блок 11 контроля передачи и мониторинга заменяется первоначальной функцией ECU, но блок 12 приема, блок 13 передачи и планировщик 14 предусматриваются в CGW 10.
Блок 11 контроля передачи и мониторинга является основным функциональным модулем устройства мониторинга сети по настоящему варианту осуществления. Блок 11 контроля передачи и мониторинга включает в себя блок 21 записи времени приема, блок 22 определения неавторизованной передачи, блок 23 обычной обработки и блок 24 обработки времени обнаружения неавторизованной передачи.
Каждый раз, когда блок 12 приема принимает отслеживаемое сообщение, блок 21 записи времени приема записывает время приема сообщения совместно с ID (в этом примере, ID CAN) сообщения. Блок 21 записи времени приема обращается к таблице 15 параметров передачи и мониторинга для определения того, является ли сообщение, которое принято блоком 12 приема, отслеживаемым сообщением.
Фиг. 4 является схемой, иллюстрирующей пример таблицы 15 параметров передачи и мониторинга. Таблица 15 параметров передачи и мониторинга, проиллюстрированная на Фиг. 4, указывает период, когда сообщения передаются периодически (период передачи сообщения F, который будет описан ниже), исходную шину передачи, то, требуется ли периодический мониторинг, и шину-адресат для каждого ID CAN сообщения, которое принимается и передается во внутренней сети транспортного средства. "
Figure 00000001
" при периодическом мониторинге указывает, что сообщение с ID CAN является отслеживаемым сообщением. "-" указывает, что нельзя отслеживать сообщение, так как оно передается непериодически. "×" указывает, что сообщение передается периодически, но не является отслеживаемым сообщением. "
Figure 00000001
" в шине-адресате указывает, что шина является адресатом. "/" указывает, что сообщение не может быть переслано, так как шина является исходной шиной передачи. "-" указывает, что сообщение не должно пересылаться шине.
Блок 21 записи времени приема подтверждает, указывает ли "
Figure 00000001
" периодический мониторинг, соответствующий ID CAN сообщения, которое принято блоком 12 приема, посредством обращения к таблице 15 параметров передачи и мониторинга, которая проиллюстрирована на Фиг. 4. Следовательно, блок 21 записи времени приема может определить, является ли сообщение, которое принято блоком 12 приема, отслеживаемым сообщением. Когда сообщение, принятое блоком 12 приема, является отслеживаемым сообщением, блок 21 записи времени приема записывает время приема сообщения в таблице 16 записей мониторинга.
Фиг. 5 является схемой, иллюстрирующей пример таблицы 16 записей мониторинга. Каждый раз, когда блок 12 приема принимает отслеживаемое сообщение, блок 21 записи времени приема записывает время приема сообщения совместно с ID CAN в таблице 16 записей мониторинга. Время приема, записанное в таблице 16 записей мониторинга, используется, когда блок 22 определения неавторизованной передачи, который будет описан ниже, определяет присутствие неавторизованной передачи. Таким образом, время приема, старше, чем время приема m предыдущего сообщения, которое требуется, когда блок 22 определения неавторизованной передачи определяет неавторизованную передачу, может быть стерто из таблицы 16 записей мониторинга. В таблице 16 записей мониторинга, проиллюстрированной на Фиг. 5, записываются три предыдущих времени приема с последнего времени приема. Например, время приема, которое должно быть записано в таблице 16 записей мониторинга, измеряется с использованием таймера 55, описанного выше.
Блок 22 определения неавторизованной передачи определяет присутствие неавторизованной передачи в отношении отслеживаемого сообщения, которое принято блоком 12 приема, на основе последнего времени приема Ti, m предыдущего времени приема Ti-m, периода передачи сообщения F и предварительно определенной константы σ, в период со времени приема Ti-m до времени приема Ti, каждый раз когда блок 12 приема принимает отслеживаемое сообщение, другими словами, каждый раз когда блок 21 записи времени приема записывает последнее время приема отслеживаемого сообщения в таблице 16 записей мониторинга.
Например, блок 22 определения неавторизованной передачи вычисляет значение оценки N числа неавторизованных передач в период со времени приема Ti-m до времени приема Ti с использованием нижеследующей формулы (1), на основе последнего времени приема Ti, m предыдущего времени приема Ti-m, периода передачи сообщения F и предварительно определенной константы σ, для отслеживаемого сообщения, которое принято блоком 12 приема. Когда N равно или более, чем один, блок 22 определения неавторизованной передачи определяет, что произошла неавторизованная передача.
N=m-INT((Ti-Ti-m+σ)/F) (1)
В формуле (1), INT (X) является функцией (INT функцией) для вычисления целочисленной части X. Другими словами, вышеуказанная формула (1) является формулой вычисления для получения целочисленной части k от (Ti-Ti-m+σ) и вычисления значения оценки N числа неавторизованных передач, которое выражается посредством m-k.
Теперь будет описана константа σ. Во многих случаях, в ECU, который периодически передает сообщения во внутренней сети транспортного средства, такой как CAN, блок передачи (см. Фиг. 3), который реализован посредством программного обеспечения, активируется посредством периодического прерывания таймера. Сообщение отправляется в шину через приемопередатчик, посредством процессов, выполняемых блоком передачи и контроллером связи (см. Фиг. 2). В этом процессе, периодическое прерывание таймера возникает с высокой точностью, но задержка возникает из-за нижеследующих различных факторов, до того как сообщение будет отправлено в шину.
- Ожидание прекращения действия исполняющегося в настоящее время программного обеспечения
- Приоритет активации в очереди ожидания планировщика
- Приоритет передачи сообщения в контроллере связи
- Ожидание завершения передачи сообщения в шине
- Регулирование времени запуска передачи сообщения, ожидающего передачу, на шине
Таким образом, когда T(i) является временем приема сообщения, переданного авторизованным образом, как проиллюстрировано на Фиг. 6, это T(i) может быть выражено с использованием времени периодического прерывания TF(i) для таймера и задержки Δ(i)(Δ(i)>0) с момента времени периодического прерывания для таймера. Следует отметить, что TF(i) и Δ(i) нельзя наблюдать снаружи.
Теперь будет проанализирован случай m=1. Как проиллюстрировано на Фиг. 7, когда Δ(i-2)=Δ(i)=0 и когда Δ(i-1)=Δmax (Δmax является максимальным значением задержки, которое предполагается при проектировании внутренней сети транспортного средства), условием (A) для неопределения авторизованной передачи как неавторизованной передачи на кратчайшем отрезке авторизованной передачи (T(i-1), T(i)) является (T(i)-T(i-1)+σ)/F=(F-Δmax+σ)/F≥1, другими словами, Δmax≤σ. Кроме того, условием B для обнаружения неавторизованной передачи на самом длинном отрезке авторизованной передачи (T(i-2), T(i-1)) является ((T(i-1)-T(i-2))/2+σ)/F=((F+Δmax)/2+σ)/F<1, другими словами, Δmax+2σ<F. Однако, когда меньший интервал между последней и следующей авторизованными передачами является максимальной неавторизованной передачей между временем приема T(i-2) и временем приема T(i-1) авторизованных передач, условием B является T(i-1)-T(i-2))/2.
Из условия (A) и условия (B), описанных выше, когда m=1, во время, когда Δmax удовлетворяет Δmax<F/3, условием, требуемым для константы σ, чтобы корректно обнаруживать неавторизованную передачу, является Δmax≤σ<(F-Δmax)/2. Предпочтительно задать константу σ в небольшое значение в диапазоне, который удовлетворяет условию, описанному выше, так как число случаев, когда обнаружение неавторизованной передачи задерживается, уменьшается, по мере уменьшения значения константы σ. Другими словами, обнаружение неавторизованной передачи снижается при привязке по времени, когда принимается следующая авторизованная передача, вместо привязки по времени, когда принимается неавторизованная передача.
Во внутренней сети транспортного средства ошибки связи иногда временно увеличиваются из-за окружения связи и состояния устройства (такого как температура). В CAN, когда возникает ошибка связи, контроллер связи автоматически повторно отправляет сообщение. Таким образом, в таком случае, огромная задержка возникает во всей шине. При проектировании внутренней сети транспортного средства учитывается некоторая степень ошибки связи, но учет самой худшей ошибки связи не является обязательным. Таким образом, в действительной внутренней сети транспортного средства может возникнуть задержка, превышающая максимальное значение задержки Δmax, которая предполагается при проектировании. Посредством задания константы σ большей, чем Δmax, возможно избежать ошибочного определения, когда возникает неожиданная ошибка, такая как указанная выше.
Далее, будет проанализирован случай при m=2. Как проиллюстрировано на Фиг. 8, когда Δ(i-1)=Δ(i)=0 и когда Δ(i-2)=Δ(i+1)=Δmax, условием C для неопределения авторизованной передачи как неавторизованной передачи на кратчайшем отрезке авторизованной передачи (T(i-2), T(i)) является (T(i)-T(i-2)+σ)/F=(2F-Δmax+σ)/F≥2, другими словами, Δmax≤σ. Кроме того, условием D для обнаружения неавторизованной передачи на самом длинном отрезке авторизованной передачи (T(i), T(i+1)) является (T(i+1)-T(i)+σ)/F=(F+Δmax+σ)/F<2, другими словами, Δmax+σ<F.
Из условий (C) и (D), описанных выше, когда m=2, во время, когда Δmax удовлетворяет Δmax<F/2, условием, требуемым для константы σ, чтобы корректно обнаруживать неавторизованную передачу, является Δmax≤σ<F-Δmax. Аналогично тому, когда m=1, предпочтительно задать константу σ в небольшое значение в диапазоне, который удовлетворяет вышеуказанному требуемому условию, так как число случаев, когда обнаружение неавторизованной передачи задерживается, уменьшается, по мере уменьшения значения константы σ. Кроме того, когда m=2, неавторизованная передача может быть обнаружена без сбоя, когда первое и последнее сообщения из трех сообщений являются авторизованными передачами.
Далее, будет проанализирован случай при m=3, аналогично случаю при m=2. Когда Δ=(i-2)=Δ(i-1)=Δ(i)=0 и когда Δ(i-3)=Δ(i+1)=Δmax, условием (E) для неопределения авторизованной передачи как неавторизованной передачи на кратчайшем отрезке авторизованной передачи (T(i-3), T(i)) является(T(i)-T(i-3)+σ)/F=(3F-Δmax+σ)/F≥2, другими словами, Δmax≤σ. Кроме того, условием (F) для обнаружения неавторизованной передачи на самом длинном отрезке авторизованной передачи (T(i-1), T(i+1)) является (T(i+1)-T(i-1)+σ)/F=(2F+Δmax+σ)/F<3, другими словами, Δmax+σ<F.
Из условия (E) и условия (F), описанных выше, когда m=3, во время, когда Δmax удовлетворяет Δmax<F/2, условием, требуемым для константы σ, чтобы корректно обнаруживать неавторизованную передачу, является Δmax≤σ<F-Δmax, как при m=2. Также возможно аналогично проанализировать при m>3. Другими словами, при m≥2 неавторизованная передача может быть корректно обнаружена, когда константа σ задана в значение, которое удовлетворяет Δmax≤σ<F-Δmax.
В вышеуказанном, блок 22 определения неавторизованной передачи вычисляет значение оценки N числа неавторизованных передач в период со времени приема Ti-m до времени приема Ti с использованием вышеуказанной формулы (1) и определяет присутствие неавторизованной передачи в период со времени приема Ti-m до времени приема Ti посредством определения того, равно ли N одному или больше. Однако, способ определения присутствия неавторизованной передачи в период со времени приема Ti-m до времени приема Ti не ограничивается вышеуказанным примером. Например, блок 22 определения неавторизованной передачи может задать порог M как M=m×F-σ и определить, что произошла неавторизованная передача, когда Ti-Ti-m меньше, чем порог M. В этом случае, порог M может вычисляться каждый раз, когда блок 12 приема принимает отслеживаемое сообщение. Однако, когда порог M для каждого отслеживаемого сообщения вычислен и сохранен заранее, возможно снизить время обработки для определения присутствия неавторизованной передачи.
Когда сообщение, принятое блоком 12 приема, не является отслеживаемым сообщением или когда блок 22 определения неавторизованной передачи определяет, что неавторизованная передача не произошла, блок 23 обычной обработки выполняет обычную обработку в отношении сообщения, которое принято блоком 12 приема. В этом примере, обычная обработка является обработкой на основе первоначальной функции CGW 10, такой как обработка пересылки сообщения, принятого от некоторой шины, другой шине. Когда устройство мониторинга сети по настоящему варианту осуществления реализовано посредством другого ECU вместо CGW 10, обычная обработка является обработкой на основе первоначальной функции некоторого ECU.
Когда блок 22 определения неавторизованной передачи определяет, что произошла неавторизованная передача, блок 24 обработки времени обнаружения неавторизованной передачи выполняет предварительно определенную обработку времени обнаружения неавторизованной передачи. Например, обработка времени обнаружения неавторизованной передачи, выполняемая блоком 24 обработки времени обнаружения неавторизованной передачи, включает в себя обработку передачи в сеть сообщения обнаружения неавторизованной передачи, включающего в себя ID CAN отслеживаемого сообщения, которое определено как неавторизованная передача. Более конкретно, например, сообщение обнаружения неавторизованной передачи, как проиллюстрировано на Фиг. 9, передается исходной шине передачи и шине-адресату отслеживаемого сообщения, которое определено как неавторизованная передача. Фиг. 9 иллюстрирует пример форматов данных сообщений обнаружения неавторизованных передач.
Например, когда исходной шиной передачи отслеживаемого сообщения, которое определено как неавторизованная передача, является третья шина B3, включающая в себя ECU 301 для IVI, имеющий функцию соединения с наружной средой транспортного средства, обработка времени обнаружения неавторизованной передачи может дополнительно включать в себя процесс остановки всех обычных процессов (таких как пересылка сообщения другой шине) в отношении сообщения, которое принято от третьей шины B3, в дальнейшем.
Кроме того, например, обработка времени обнаружения неавторизованной передачи может дополнительно включать в себя процесс отбрасывания отслеживаемого сообщения, которое принято блоком 12 приема, или маскирование некоторой позиции отслеживаемого сообщения, которое принято блоком 12 приема, согласно таблице 17 обработки времени обнаружения, которая проиллюстрирована на Фиг. 10. Фиг. 10 является схемой, иллюстрирующей пример таблицы 17 обработки времени обнаружения, к которой обращается блок 24 обработки времени обнаружения неавторизованной передачи. Таблица 17 обработки времени обнаружения, проиллюстрированная на Фиг. 10, указывает процесс либо отбрасывания, либо маскирования, байт мониторинга, значение риска и значение маски, когда процессом является маскирование, для каждого ID CAN отслеживаемого сообщения, в отношении которого должно быть выполнено либо отбрасывание, либо маскирование.
Когда блок 22 определения неавторизованной передачи определяет, что произошла неавторизованная передача, блок 24 обработки времени обнаружения неавторизованной передачи обращается к таблице 17 обработки времени обнаружения, и подтверждает, зарегистрирован ли ID CAN отслеживаемого сообщения, которое принято блоком 12 приема, в таблице 17 обработки времени обнаружения. Когда ID CAN отслеживаемого сообщения, которое принято блоком 12 приема, зарегистрирован в таблице 17 обработки времени обнаружения, блок 24 обработки времени обнаружения неавторизованной передачи подтверждает, является ли процессом, соответствующим ID CAN, отбрасывание или маскирование. Когда процессом является отбрасывание, блок 24 обработки времени обнаружения неавторизованной передачи обращается к байту мониторинга и значению риска, соответствующим ID CAN, и когда значение байта мониторинга отслеживаемого сообщения, которое принято блоком 12 приема, совпадает со значением риска, блок 24 обработки времени обнаружения неавторизованной передачи отбрасывает отслеживаемое сообщение. Кроме того, когда байт мониторинга, соответствующий ID CAN, указывает "-", блок 24 обработки времени обнаружения неавторизованной передачи отбрасывает отслеживаемое сообщение, которое принято блоком 12 приема.
Когда процессом, соответствующим ID CAN отслеживаемого сообщения, которое принято блоком 12 приема, является маскирование, блок 24 обработки времени обнаружения неавторизованной передачи обращается к байту мониторинга, значению риска и значению маски соответствующего ID CAN, и когда значение байта мониторинга отслеживаемого сообщения, которое принято блоком 12 приема, совпадает со значением риска, блок 24 обработки времени обнаружения неавторизованной передачи маскирует значение байта мониторинга с помощью значения маски и пересылает отслеживаемое сообщение, которое принято блоком 12 приема, из блока 13 передачи шине-адресату. Кроме того, когда значение риска, соответствующее ID CAN, указывает "-", блок 24 обработки времени обнаружения неавторизованной передачи маскирует значение байта мониторинга с помощью значения маски и пересылает отслеживаемое сообщение, которое принято блоком 12 приема, из блока 13 передачи шине-адресату.
Как описано выше, в настоящем варианте осуществления определяется присутствие неавторизованной передачи в отношении отслеживаемого сообщения, имеющего такой же ID CAN, в период со времени приема Ti-m m предыдущего сообщения до последнего времени приема Ti, вместо определения того, является ли сообщение неавторизованной передачей, после приема отслеживаемого сообщения. Следовательно, когда определено, что произошла неавторизованная передача, передается сообщение обнаружения неавторизованной передачи, описанное выше, и процесс, такой как остановка обычной обработки на основе условия, отбрасывание или маскирование сообщения или подобный, выполняется как дополнительный процесс, вместо отбрасывания принятого сообщения или подобного, как в обыкновенном способе.
Разъяснение операций в отношении CGW (устройства мониторинга сети)
Далее будет описан пример операций CGW 10 по настоящему варианту осуществления. Обзор процедуры обработки, выполняемой CGW 10, будет описан со ссылкой на Фиг. 11. Фиг. 11 является схемой последовательности операций, иллюстрирующей последовательность процедур обработки, выполняемых блоком 11 контроля передачи и мониторинга из CGW 10, каждый раз, когда блок 12 приема принимает сообщение.
Когда блок 12 приема принимает сообщение, блок 21 записи времени приема блока 11 контроля передачи и мониторинга обращается к таблице 15 параметров передачи и мониторинга, и определяет, является ли принятое сообщение отслеживаемым сообщением (этап S101). Когда принятое сообщение является отслеживаемым сообщением ("Да" на этапе S101), блок 21 записи времени приема записывает время приема сообщения совместно с ID CAN, в таблице 16 записей мониторинга (этап S102).
Далее, блок 22 определения неавторизованной передачи выполняет обработку по определению неавторизованной передачи, проиллюстрированную на Фиг. 12A или Фиг. 12B (этап S103). В результате обработки по определению неавторизованной передачи, когда определено, что произошла неавторизованная передача ("Да" на этапе S104), блок 24 обработки времени обнаружения неавторизованной передачи выполняет обработку времени обнаружения неавторизованной передачи, проиллюстрированную на Фиг. 13 (этап S105). С другой стороны, в результате обработки по определению неавторизованной передачи, когда определено, что неавторизованная передача не произошла ("Нет" на этапе S104), или когда сообщение, принятое блоком 12 приема, не является отслеживаемым сообщением ("Нет" на этапе S101), блок 23 обычной обработки выполняет обычную обработку в отношении сообщения, которое принято блоком 12 приема (этап S106).
Далее, пример обработки по определению неавторизованной передачи на этапе S103 на Фиг. 11 будет описан со ссылкой на Фиг. 12A. Фиг. 12A является схемой последовательности операций, иллюстрирующей пример процедуры обработки для обработки по определению неавторизованной передачи, выполняемой блоком 22 определения неавторизованной передачи.
Когда начата обработка по определению неавторизованной передачи, проиллюстрированная на Фиг. 12A, блок 22 определения неавторизованной передачи считывает последнее время приема Ti, также как и m предыдущее время приема Ti-m, сообщений, которые приняты блоком 12 приема, из таблицы 16 записей мониторинга и считывает период передачи сообщения F из таблицы 15 параметров передачи и мониторинга (этап S201). Блок 22 определения неавторизованной передачи затем вычисляет значение оценки N числа неавторизованных передач в период с Ti-m до Ti, используя вышеуказанную формулу (1), на основе времени приема Ti, времени приема Ti-m, периода передачи сообщения F и константы σ, определенной согласно значению m, которые считываются на этапе S201 (S202).
Далее, блок 22 определения неавторизованной передачи определяет, равно ли значение оценки N числа неавторизованных передач, вычисленное на этапе S202, одному или более (этап S203). Когда значение оценки N числа неавторизованных передач равно одному или более ("Да" на этапе S203), блок 22 определения неавторизованной передачи определяет, что неавторизованная передача произошла в период с Ti-m до Ti (этап S204). Когда значение оценки N числа неавторизованных передач составляет ноль ("Нет" на этапе S203), блок 22 определения неавторизованной передачи определяет, что неавторизованная передача в период с Ti-m до Ti не произошла (этап S205).
Далее, другой пример обработки определения неавторизованной передачи на этапе S103 на Фиг. 11 будет описан со ссылкой на Фиг. 12B. Фиг. 12B является схемой последовательности операций, иллюстрирующей другой пример процедуры обработки для обработки по определению неавторизованной передачи, выполняемой блоком 22 определения неавторизованной передачи.
Когда начата обработка определения неавторизованной передачи, проиллюстрированная на Фиг. 12B, блок 22 определения неавторизованной передачи считывает последнее время приема Ti, также как и m предыдущее время приема Ti-m, сообщений, которые приняты блоком 12 приема, из таблицы 16 записей мониторинга и считывает период передачи сообщения F из таблицы 15 параметров передачи и мониторинга (этап S301). Блок 22 определения неавторизованной передачи затем определяет, справедливо ли Ti-Ti-m<M(M=m×F-σ), на основе времени приема Ti, времени приема Ti-m, периода передачи сообщения F и константы σ, определенной согласно значению m, которые считаны на этапе S301 (S302). Когда Ti-Ti-m<M ("Да" на этапе S302), блок 22 определения неавторизованной передачи определяет, что неавторизованная передача произошла в период с Ti-m до Ti (этап S303), и когда Ti-Ti-m≥M ("Нет" на этапе S302), блок 22 определения неавторизованной передачи определяет, что неавторизованная передача в период с Ti-m до Ti не произошла (этап S304).
Далее, пример обработки времени обнаружения неавторизованной передачи на этапе S105 по Фиг. 11 будет описан со ссылкой на Фиг. 13. Фиг. 13 является схемой последовательности операций, иллюстрирующей процедуру обработки для обработки времени обнаружения неавторизованной передачи, выполняемой блоком 24 обработки времени обнаружения неавторизованной передачи.
Когда начата обработка времени обнаружения неавторизованной передачи, блок 24 обработки времени обнаружения неавторизованной передачи передает сообщение обнаружения неавторизованной передачи из блока 13 передачи исходной шине передачи и шине-адресату отслеживаемого сообщения, которое принято блоком 12 приема (этап S401).
Далее, блок 24 обработки времени обнаружения неавторизованной передачи определяет, является ли исходной шиной передачи отслеживаемого сообщения, которое принято блоком 12 приема, третья шина B3, включающая в себя ECU 301 для IVI (этап S402). Когда исходной шиной передачи является третья шина B3 ("Да" на этапе S402), блок 24 обработки времени обнаружения неавторизованной передачи останавливает пересылку сообщения от третьей шины B3 другой шине (этап S403).
С другой стороны, когда исходной шиной передачи не является третья шина B3 ("Нет" на этапе S402), блок 24 обработки времени обнаружения неавторизованной передачи обращается к таблице 17 обработки времени обнаружения и определяет, является ли отслеживаемое сообщение, которое принято блоком 12 приема, сообщением, которое должно быть отброшено (этап S404). Когда отслеживаемое сообщение, которое принято блоком 12 приема является сообщением, которое должно быть отброшено ("Да" на этапе S404), блок 24 обработки времени обнаружения неавторизованной передачи дополнительно определяет, задан ли байт мониторинга для отслеживаемого сообщения (этап S405).
Когда байт мониторинга задан ("Да" на этапе S405), блок 24 обработки времени обнаружения неавторизованной передачи определяет, совпадает ли значение байта мониторинга отслеживаемого сообщения, которое принято блоком 12 приема, со значением риска (этап S406). Когда значение байта мониторинга совпадает со значением риска ("Да" на этапе S406), блок 24 обработки времени обнаружения неавторизованной передачи отбрасывает отслеживаемое сообщение, которое принято блоком 12 приема (этап S407). Кроме того, когда байт мониторинга не задан для отслеживаемого сообщения, которое принято блоком 12 приема ("Нет" на этапе S405), блок 24 обработки времени обнаружения неавторизованной передачи отбрасывает отслеживаемое сообщение, которое принято блоком 12 приема (этап S407). С другой стороны, когда значение байта мониторинга не совпадает со значением риска ("Нет" на этапе S406), процесс переходит на этап S412, который будет описан ниже, и блок 24 обработки времени обнаружения неавторизованной передачи пересылает шине-адресату отслеживаемое сообщение, которое принято блоком 12 приема.
Когда отслеживаемое сообщение, которое принято блоком 12 приема, не является сообщением, которое должно быть отброшено ("Нет" на этапе S404), блок 24 обработки времени обнаружения неавторизованной передачи тогда определяет, является ли отслеживаемое сообщение, которое принято блоком 12 приема, сообщением, которое должно быть маскировано (этап S408). Когда отслеживаемое сообщение, которое принято блоком 12 приема является сообщением, которое должно быть маскировано ("Да" на этапе S408), блок 24 обработки времени обнаружения неавторизованной передачи дополнительно определяет, задано ли значение риска для отслеживаемого сообщения (этап S409).
В этом процессе, когда значение риска задано ("Да" на этапе S409), блок 24 обработки времени обнаружения неавторизованной передачи определяет, совпадает ли значение байта мониторинга отслеживаемого сообщения, которое принято блоком блок 12 приема, со значением риска (этап S410). Когда значение байта мониторинга совпадает со значением риска ("Да" на этапе S410), при маскировании значения байта мониторинга с помощью значения маски (этап S411) блок 24 обработки времени обнаружения неавторизованной передачи пересылает шине-адресату отслеживаемое сообщение, которое принято блоком 12 приема (этап S412). Кроме того, когда значение риска не задано для отслеживаемого сообщения, которое принято блоком 12 приема ("Нет" на этапе S409), при маскировании значения байта мониторинга с помощью значения маски (этап S411) блок 24 обработки времени обнаружения неавторизованной передачи пересылает шине-адресату отслеживаемое сообщение, которое принято блоком 12 приема (этап S412).
Когда значение байта мониторинга не совпадает со значением риска ("Нет" на этапе S410), блок 24 обработки времени обнаружения неавторизованной передачи пересылает шине-адресату отслеживаемое сообщение, которое принято блоком 12 приема, без маскирования значения байта мониторинга (этап S412). Кроме того, когда отслеживаемое сообщение, которое принято блоком 12 приема, не является сообщением, которое должно быть маскировано ("Нет" на этапе S408), блок 24 обработки времени обнаружения неавторизованной передачи пересылает шине-адресату отслеживаемое сообщение, которое принято блоком 12 приема, как есть (этап S412).
Эффекты варианта осуществления
Как подробно описано выше с конкретным примером, в настоящем варианте осуществления присутствие неавторизованной передачи в отношении принятого отслеживаемого сообщения в период с m предыдущего времени приема Ti-m до последнего времени приема Ti определяется каждый раз, когда принимается отслеживаемое сообщение. Следовательно, в настоящем варианте осуществления, возможно с точностью определить присутствие неавторизованной передачи сообщения, без потери свойства функционирования в реальном времени.
Более конкретно, основной целью обыкновенной технологии, которая обнаруживает неавторизованную передачу периодически передаваемого сообщения, является определение легитимности сообщения после приема сообщения. Таким образом, например, в способе для обнаружения аномалий периода, чтобы корректно определить легитимность принятого сообщения, при этом учитывая задержку в сети и подобное, описанное выше, требуется длительное время ожидания и обработка задерживается (другими словами, свойство функционирования в реальном времени ухудшается). Когда время ожидания сокращается, чтобы избежать потери свойства функционирования в реальном времени, неавторизованная передача может быть упущена из виду и вероятность неверного обнаружения может увеличиться. Кроме того, в способе обнаружения неавторизованной передачи посредством применения фильтра к предварительно определенному периоду передачи сообщения должна быть задана граница для фильтра против вариации в период приема. Таким образом, когда граница увеличена, сообщение, передаваемое неавторизованным образом, может быть упущено из виду, и когда граница сужена, вероятность неверного обнаружения авторизованного сообщения как неавторизованной передачи может увеличиться. Кроме того, обоим из двух способов, описанных выше, требуется контрольное время определения. Однако, когда контрольное время должно быть определено с использованием способа синхронизации времени передачи и приема с ECU со стороны передачи сообщения, требуется механизм для обеспечения синхронизации, тем самым увеличивая затраты. Кроме того, в способе, в котором время приема прошлого сообщения используется в качестве контрольного, когда прошлое сообщение передано неавторизованным образом (когда неавторизованная передача упущена из виду), это невозможно определить корректно.
С другой стороны, в настоящем варианте осуществления определяется присутствие неавторизованной передачи в период с m предыдущего времени приема Ti-m до последнего времени приема Ti вместо определения того, является ли принятое сообщение сообщением, которое передается неавторизованным образом. Следовательно, возможно сразу определить присутствие неавторизованной передачи, когда принимается отслеживаемое сообщение. Кроме того, даже если последнее принятое отслеживаемое сообщение является сообщением, которое передано неавторизованным образом, и неавторизованная передача не может быть обнаружена в данное время, возможно обнаружить неавторизованную передачу, когда отслеживаемое сообщение, имеющее такой же ID CAN, будет принято в следующий раз.
Кроме того, в настоящем варианте осуществления сообщение обнаружения неавторизованной передачи передается в сеть, в качестве обработки времени обнаружения неавторизованной передачи, когда определено, что произошла неавторизованная передача. Следовательно, другой ECU в сети и подобный может выполнить ретроспективную обработку на основе сообщения обнаружения неавторизованной передачи. Кроме того, когда исходной шиной передачи отслеживаемого сообщения, которое определено как неавторизованная передача, является шина, которая соединена с внешней средой транспортного средства, пересылка сообщения от шины может быть полностью остановлена, в качестве обработки времени обнаружения неавторизованной передачи. Таким образом, безопасность информации может быть гарантирована. Кроме того, например, когда отслеживаемое сообщение, которое определено как неавторизованная передача, является сообщением, которое воздействует на управление транспортным средством, возможно заранее предотвратить неожиданное поведение транспортного средства, вызванное неавторизованной передачей сообщения, посредством отбрасывания принятого отслеживаемого сообщения или маскирования части принятого отслеживаемого сообщения в качестве обработки времени обнаружения неавторизованной передачи.
Хотя были описаны некоторые варианты осуществления, эти варианты осуществления были представлены только в качестве примера и не предназначены для ограничения объема данных изобретений. На самом деле, новые варианты осуществления, описанные в настоящем документе, могут быть осуществлены в многообразии других форм; к тому же, различные упущения, замены и изменения в виде вариантов осуществления, описанных в настоящем документе, могут быть сделаны без отступления от сущности данных изобретений. Прилагаемая формула изобретения и ее эквиваленты подразумеваются охватывающими такие формы или модификации, которые могли бы попадать в пределы объема и сущности данных изобретений.

Claims (19)

1. Устройство мониторинга сети, которое отслеживает сообщение, которое периодически передается в сети, в которой передается и принимается сообщение, идентифицируемое по идентификатору, причем устройство мониторинга сети содержит:
блок записи времени приема, реализованный в компьютерных аппаратных средствах и выполненный с возможностью записывать время приема совместно с идентификатором каждый раз, когда принимается отслеживаемое сообщение; и
блок определения неавторизованной передачи, реализованный в компьютерных аппаратных средствах и выполненный с возможностью определять присутствие неавторизованной передачи в отношении принятого отслеживаемого сообщения на основе последнего времени приема Ti, m предыдущего времени приема Ti-m, периода передачи сообщения F и константы σ, определенной заранее, в период со времени приема Ti-m до времени приема Ti, каждый раз когда принимается отслеживаемое сообщение.
2. Устройство мониторинга сети по п. 1, в котором блок определения неавторизованной передачи вычисляет целочисленную часть k от (Ti-Ti-m+σ)/F и определяет, что имеет место неавторизованная передача, когда m-k равно одному или более.
3. Устройство мониторинга сети по п. 2, в котором в случае, где m=1, когда максимальное значение задержки в сети составляет Δmax, константа σ задается равной значению, которое удовлетворяет Δmax≤σ<(F-Δmax)/2.
4. Устройство мониторинга сети по п. 2, в котором в случае, где m≥2, когда максимальное значение задержки в сети составляет Δmax, константа σ задается равной значению, которое удовлетворяет Δmax≤σ<F-Δmax.
5. Устройство мониторинга сети по п. 1, в котором блок определения неавторизованной передачи задает порог M как M=m×F-σ и определяет, что имеет место неавторизованная передача, когда Ti-Ti-m меньше, чем порог M.
6. Устройство мониторинга сети по п. 5, в котором в случае, где m=1, когда максимальное значение задержки в сети составляет Δmax, константа σ задается равной значению, которое удовлетворяет Δmax≤σ<(F-Δmax)/2.
7. Устройство мониторинга сети по п. 5, в котором в случае, где m≥2, когда максимальное значение задержки в сети составляет Δmax, константа σ задается равной значению, которое удовлетворяет Δmax≤σ<F-Δmax.
8. Устройство мониторинга сети по п. 1, дополнительно содержащее блок обработки времени обнаружения неавторизованной передачи, реализованный в компьютерных аппаратных средствах и выполненный с возможностью осуществлять предварительно определенную обработку времени обнаружения неавторизованной передачи, когда блоком определения неавторизованной передачи определено, что имеет место неавторизованная передача.
9. Устройство мониторинга сети по п. 8, в котором блок обработки времени обнаружения неавторизованной передачи выполняет процесс передачи в сеть сообщения обнаружения неавторизованной передачи, включающего в себя идентификатор отслеживаемого сообщения, которое определено как неавторизованная передача, в качестве обработки времени обнаружения неавторизованной передачи.
10. Устройство мониторинга сети по п. 9, в котором блок обработки времени обнаружения неавторизованной передачи дополнительно выполняет процесс отбрасывания принятого отслеживаемого сообщения в качестве обработки времени обнаружения неавторизованной передачи.
11. Устройство мониторинга сети по п. 10, в котором блок обработки времени обнаружения неавторизованной передачи отбрасывает отслеживаемое сообщение, когда значение некоторой позиции принятого отслеживаемого сообщения является предварительно определенным значением.
12. Устройство мониторинга сети по п. 8, в котором блок обработки времени обнаружения неавторизованной передачи выполняет процесс, эквивалентный обычной обработке времени, который выполняется, когда блоком определения неавторизованной передачи определено, что неавторизованная передача не происходит, после маскирования некоторой позиции принятого отслеживаемого сообщения с помощью некоторого значения, в качестве обработки времени обнаружения неавторизованной передачи.
13. Устройство мониторинга сети по п. 12, в котором блок обработки времени обнаружения неавторизованной передачи маскирует некоторую позицию отслеживаемого сообщения с помощью некоторого значения, когда значение этой некоторой позиции принятого отслеживаемого сообщения является предварительно определенным значением.
14. Устройство мониторинга сети по п. 8, в котором блок обработки времени обнаружения неавторизованной передачи выполняет процесс остановки обычной обработки времени, который выполняется, когда блоком определения неавторизованной передачи определено, что неавторизованная передача не происходит, в отношении сообщения, которое принято от шины, идентичной шине отслеживаемого сообщения, которое определено как неавторизованная передача, в качестве обработки времени обнаружения неавторизованной передачи.
15. Долговременный машиночитаемый носитель записи, включающий в себя множество инструкций, каковые инструкции при их исполнении компьютером предписывают компьютеру выполнять:
запись времени приема совместно с идентификатором каждый раз, когда принимается отслеживаемое сообщение, причем отслеживаемое сообщение периодически передается в сети, в которой передается и принимается сообщение, идентифицируемое посредством идентификатора; и
определение присутствия неавторизованной передачи в отношении принятого отслеживаемого сообщения на основе последнего времени приема Ti, m предыдущего времени приема Ti-m, периода передачи сообщения F и константы σ, определенной заранее, в период со времени приема Ti-m до времени приема Ti, каждый раз когда принимается отслеживаемое сообщение.
RU2017128092A 2016-08-09 2017-08-07 Устройство мониторинга сети и компьютерный программный продукт RU2676236C1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016-156475 2016-08-09
JP2016156475A JP6433951B2 (ja) 2016-08-09 2016-08-09 ネットワーク監視装置およびプログラム

Publications (1)

Publication Number Publication Date
RU2676236C1 true RU2676236C1 (ru) 2018-12-26

Family

ID=59501314

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017128092A RU2676236C1 (ru) 2016-08-09 2017-08-07 Устройство мониторинга сети и компьютерный программный продукт

Country Status (6)

Country Link
US (1) US10326782B2 (ru)
EP (1) EP3282646B1 (ru)
JP (1) JP6433951B2 (ru)
KR (1) KR102030397B1 (ru)
CN (1) CN107707520B (ru)
RU (1) RU2676236C1 (ru)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10050983B2 (en) * 2015-11-13 2018-08-14 Kabushiki Kaisha Toshiba Communication system, receiving apparatus, receiving method, and computer program product
WO2018230988A1 (ko) * 2017-06-16 2018-12-20 주식회사 페스카로 Can 통신 기반 해킹공격 탐지 방법 및 시스템
DE102017218134B3 (de) * 2017-10-11 2019-02-14 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge
JPWO2020079874A1 (ja) * 2018-10-18 2021-09-09 住友電気工業株式会社 検知装置、ゲートウェイ装置、検知方法および検知プログラム
JP7124679B2 (ja) * 2018-12-07 2022-08-24 トヨタ自動車株式会社 監視装置
JP7147635B2 (ja) * 2019-03-05 2022-10-05 トヨタ自動車株式会社 不正送信データ検知装置
JP7176456B2 (ja) 2019-03-29 2022-11-22 株式会社デンソー メッセージ監視システム、メッセージ送信電子制御装置、および監視用電子制御装置
JP7234839B2 (ja) * 2019-07-17 2023-03-08 株式会社デンソー ゲートウェイ装置、異常監視方法、及び異常監視プログラム
JP7175858B2 (ja) * 2019-08-07 2022-11-21 株式会社日立製作所 情報処理装置および正規通信判定方法
CN112738151B (zh) * 2019-09-17 2024-05-31 三菱重工业株式会社 传送装置
WO2021058120A1 (en) * 2019-09-24 2021-04-01 Telefonaktiebolaget Lm Ericsson (Publ) Identyifying and reporting a fraudelent base station
US11627152B2 (en) 2020-01-08 2023-04-11 Bank Of America Corporation Real-time classification of content in a data transmission
US11297085B2 (en) * 2020-01-08 2022-04-05 Bank Of America Corporation Real-time validation of data transmissions based on security profiles
US11184381B2 (en) 2020-01-08 2021-11-23 Bank Of America Corporation Real-time validation of application data
WO2022185370A1 (ja) * 2021-03-01 2022-09-09 株式会社オートネットワーク技術研究所 車載装置、プログラム及び情報処理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1802025A1 (en) * 2004-10-13 2007-06-27 Matsushita Electric Industrial Co., Ltd. Regular content check method, content transmission/reception system, transmitter, and receiver
JP2007312193A (ja) * 2006-05-19 2007-11-29 Auto Network Gijutsu Kenkyusho:Kk 異常監視ユニット
US20150172298A1 (en) * 2013-12-12 2015-06-18 Hitachi Automotive Systems, Ltd. Network device and network system
US20150304406A1 (en) * 2011-04-22 2015-10-22 Angel A. Penilla Methods and Systems for Generating Recommendations to make Settings at Vehicles via Cloud Systems
EP2950482A1 (en) * 2013-01-28 2015-12-02 Hitachi Automotive Systems, Ltd. Network device and data sending and receiving system
RU2585971C1 (ru) * 2012-06-01 2016-06-10 Опера Софтвейр Айрланд Лимитед Мониторинг сети и идентификация абонента в реальном масштабе времени с помощью устройства, срабатывающего по требованию

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101241945B1 (ko) 2007-12-14 2013-03-12 현대자동차주식회사 차량 내 네트워크 고장 진단 모니터링 시스템 및 그 방법
JP6163502B2 (ja) * 2012-03-02 2017-07-12 アカデミア シニカAcademia Sinica 抗上皮細胞接着分子(EpCAM)抗体及びその使用方法
US9298577B2 (en) * 2012-09-19 2016-03-29 Toyota Jidosha Kabushiki Kaisha Predicting bus idle time based on obtained usage data of a bus
JP5954228B2 (ja) * 2013-03-22 2016-07-20 トヨタ自動車株式会社 ネットワーク監視装置及びネットワーク監視方法
KR101472896B1 (ko) 2013-12-13 2014-12-16 현대자동차주식회사 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치
EP3142289B1 (en) * 2014-05-08 2020-10-07 Panasonic Intellectual Property Corporation of America In-vehicle network system, electronic control unit, and irregularity detection method
JP6079768B2 (ja) * 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
JP6603617B2 (ja) * 2015-08-31 2019-11-06 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ゲートウェイ装置、車載ネットワークシステム及び通信方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1802025A1 (en) * 2004-10-13 2007-06-27 Matsushita Electric Industrial Co., Ltd. Regular content check method, content transmission/reception system, transmitter, and receiver
JP2007312193A (ja) * 2006-05-19 2007-11-29 Auto Network Gijutsu Kenkyusho:Kk 異常監視ユニット
US20150304406A1 (en) * 2011-04-22 2015-10-22 Angel A. Penilla Methods and Systems for Generating Recommendations to make Settings at Vehicles via Cloud Systems
RU2585971C1 (ru) * 2012-06-01 2016-06-10 Опера Софтвейр Айрланд Лимитед Мониторинг сети и идентификация абонента в реальном масштабе времени с помощью устройства, срабатывающего по требованию
EP2950482A1 (en) * 2013-01-28 2015-12-02 Hitachi Automotive Systems, Ltd. Network device and data sending and receiving system
US20150172298A1 (en) * 2013-12-12 2015-06-18 Hitachi Automotive Systems, Ltd. Network device and network system

Also Published As

Publication number Publication date
KR102030397B1 (ko) 2019-10-10
KR20180018293A (ko) 2018-02-21
EP3282646B1 (en) 2019-01-02
US20180048663A1 (en) 2018-02-15
JP6433951B2 (ja) 2018-12-05
CN107707520A (zh) 2018-02-16
EP3282646A1 (en) 2018-02-14
BR102017017027A8 (pt) 2022-10-18
BR102017017027A2 (pt) 2018-03-06
US10326782B2 (en) 2019-06-18
CN107707520B (zh) 2020-11-10
JP2018026663A (ja) 2018-02-15

Similar Documents

Publication Publication Date Title
RU2676236C1 (ru) Устройство мониторинга сети и компьютерный программный продукт
US10693905B2 (en) Invalidity detection electronic control unit, in-vehicle network system, and communication method
JP7105279B2 (ja) セキュリティ装置、攻撃検知方法及びプログラム
US10693889B2 (en) Vehicle communication apparatus, in-vehicle network system, and vehicle communication method
US10713106B2 (en) Communication device, communication method and non-transitory storage medium
US10439842B2 (en) Relay device
US20200021611A1 (en) Fraud detection method, fraud detection device, and recording medium
US10404721B2 (en) Communication device for detecting transmission of an improper message to a network
US11843477B2 (en) Anomaly determination method, anomaly determination device, and recording medium
US11715337B2 (en) Controller diagnostic device and method thereof
US20210144124A1 (en) Security apparatus, attack detection method, and storage medium
US11218501B2 (en) Detector, detection method, and detection program
WO2021131824A1 (ja) 決定方法、決定システム及びプログラム
US10447384B2 (en) Communication apparatus, communication method, and program
JP6527647B1 (ja) 不正検知方法、不正検知装置及びプログラム
KR20170117326A (ko) 랜덤 액세스 메모리를 포함하는 하나 이상의 처리 유닛을 위한 직접 메모리 액세스 제어 장치
JP2017085197A (ja) 通信システム、送信装置、及び通信方法
WO2017104122A1 (ja) 通信装置、通信方法、及び通信プログラム