WO2018037708A1 - 車載装置、ログ収集システム - Google Patents
車載装置、ログ収集システム Download PDFInfo
- Publication number
- WO2018037708A1 WO2018037708A1 PCT/JP2017/023616 JP2017023616W WO2018037708A1 WO 2018037708 A1 WO2018037708 A1 WO 2018037708A1 JP 2017023616 W JP2017023616 W JP 2017023616W WO 2018037708 A1 WO2018037708 A1 WO 2018037708A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- log
- vehicle device
- unit
- storage unit
- priority
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Definitions
- the present invention relates to an in-vehicle device and a log collection system.
- the server can detect various abnormalities occurring in the in-vehicle device by collecting a lot of detailed information as a log and transmitting it to the server.
- in-vehicle devices generally have limited resources due to installation space restrictions and the like, and the amount of information that can be collected is limited. Therefore, it is necessary to collect an appropriate log according to the situation of the in-vehicle device, but the invention described in Patent Document 1 cannot do this.
- An in-vehicle device is an in-vehicle device connected to a server via a network and mounted on a vehicle, a log collecting unit for collecting logs, and a log for storing at least a part of the logs A storage unit, a log priority information storage unit storing log priority information indicating the priority of logs stored in the log storage unit, and a log stored in the log storage unit based on the log priority information.
- An accumulated log determining unit to determine S606), a communication unit for transmitting the log accumulated in the log storage unit to the server, and the log priority information storage unit stored in the log priority information storage unit based on an update command from the server
- a log priority table management unit for updating log priority information.
- a log collection system is a log collection system including the information processing apparatus according to the first aspect and the server connected to the vehicle-mounted apparatus via the network, and the server includes: A log analysis unit that analyzes a log received from the in-vehicle device and detects a possibility of an attack; and when the log analysis unit detects a possibility of an attack, the update command is transmitted to the in-vehicle device, and the log priority A log priority change instruction unit for updating the log priority information stored in the degree information storage unit.
- Log collection system configuration diagram The figure which illustrates the composition of the log priority table Diagram illustrating log table configuration Diagram illustrating the configuration of the temporary log table Flow chart showing the process of acquiring and accumulating logs by the in-vehicle device Flow chart showing a series of processing after the server collects logs Flow chart showing log priority table update processing by in-vehicle device
- the flowchart which shows the program update process in which a vehicle-mounted apparatus updates the program which functions as a log collection part.
- FIG. 1 is a configuration diagram of a log collection system.
- the log collection system 1 includes a server 10 and an in-vehicle device 30.
- the server 10 and the in-vehicle device 30 are connected via the network 20.
- FIG. 1 only one in-vehicle device 30 is illustrated, but the server 10 is connected to a plurality of in-vehicle devices 30.
- the plurality of in-vehicle devices 30 connected to the server 10 are mounted on different vehicles.
- the in-vehicle device 30 can provide various services to the vehicle occupant by executing one or more programs.
- the program executed in the in-vehicle device 30 is incorporated when the in-vehicle device 30 is shipped.
- the server 10 includes a CPU 100, a memory 110, a server communication unit 120, an input unit 130, and an output unit 140.
- a person who operates the input unit 130 of the server 10 is referred to as an “operator”.
- the CPU 100 executes a program stored in a ROM (not shown) and executes various arithmetic processes for operating the server 10. This program uses data stored in the memory 110.
- the CPU 100 functionally includes a log analysis unit 101, a temporary log information creation unit 102, a log priority change instruction unit 103, a log change instruction unit 104, and a service instruction unit 105.
- the log analysis unit 101 analyzes a log collected from the in-vehicle device 30, detects a possibility of an attack on the in-vehicle device 30, and detects an attack on the in-vehicle device 30.
- the temporary log information creation unit 102 rewrites a log table (to be described later) and a log priority table (to be described later) when the log analysis unit 101 detects the possibility of an attack on the in-vehicle device 30.
- the log priority change instruction unit 103 creates a log priority table change request message for notifying the in-vehicle device 30 of the information in the log priority table rewritten by the temporary log information creation unit 102, and transmits the log priority table change request message to the in-vehicle device 30. .
- the log priority table change request message includes the entire contents of the log priority table after rewriting.
- the log change instruction unit 104 notifies the in-vehicle device 30 of the log table information rewritten by the temporary log information creation unit 102.
- the log table information is included in the program, so that the log change instruction unit 104 notifies the in-vehicle device 30 of the change of the log table by transmitting the program to the in-vehicle device 30.
- the service instruction unit 105 outputs a service stop instruction to the in-vehicle device 30.
- the memory 110 functionally includes a collection log storage unit 111, a log table collection storage unit 112, a log priority table collection storage unit 113, and a temporary log table storage unit 114.
- the collected log storage unit 111 stores logs collected from the respective in-vehicle devices 30.
- the log table collection storage unit 112 stores a log table that identifies information collected as a log by each in-vehicle device 30. Since the log table is different for each in-vehicle device 30, the log table collection storage unit 112 stores the same number of log tables as the in-vehicle device 30 connected to the server 10. However, some in-vehicle devices 30 share the log table, and the number of log tables stored in the log table collection storage unit 112 may be smaller than the number of in-vehicle devices 30 connected to the server 10.
- the log priority table collection storage unit 113 stores a log priority table that indicates the priority of logs accumulated in each in-vehicle device 30. Since the log priority table is different for each in-vehicle device 30, the log priority table collection storage unit 113 stores the same number of log priority tables as the in-vehicle device 30 connected to the server 10. However, some in-vehicle devices 30 share the log priority table, and the number of log priority tables stored in the log priority table collection storage unit 113 is smaller than the number of in-vehicle devices 30 connected to the server 10. May be.
- the temporary log table storage unit 114 stores a temporary log table that defines a log to be collected temporarily when the log analysis unit 101 detects the possibility of an attack.
- the temporary log table in the present embodiment is one, and is used in common for all the in-vehicle devices 30.
- the server communication unit 120 communicates with the in-vehicle device 30 via the network 20.
- the input unit 130 detects an operation input from the operator and outputs it to the CPU 100.
- the input unit 130 is configured by, for example, a mouse or a keyboard.
- the output unit 140 performs screen display and audio output in accordance with instructions from the CPU 100.
- the output unit 140 is configured by, for example, a display or a speaker.
- the in-vehicle device 30 includes a CPU 150, a memory 160, an in-vehicle communication unit 170, an input unit 180, and an output unit 190.
- a person who operates the input unit 180 of the in-vehicle device 30 and an occupant of the vehicle in which the in-vehicle device 30 is mounted are referred to as “users”.
- the CPU 150 executes a program (not shown) stored in the memory 160 and executes various arithmetic processes for operating the in-vehicle device 30. This arithmetic processing includes execution of a program for providing a service to the user.
- the CPU 150 functionally includes a log collection unit 151, a log priority table management unit 152, a program update unit 153, and a service control unit 154.
- the log collection unit 151 acquires a log to be transmitted to the server 10 and accumulates the log in the log storage unit 163. What information the log collection unit 151 collects as a log is hard-coded in the program.
- the log priority table management unit 152 updates the log priority table stored in the log priority table storage unit 162 based on a command from the server 10.
- the program update unit 153 updates the program executed by the CPU 150 to the program stored in the update program storage unit 165.
- the information collected as a log by the log collection unit 151 is changed by updating the program.
- the service control unit 154 controls service provision based on a service start / stop instruction by the user using the input unit 180 and a service stop instruction from the server 10.
- the memory 160 functionally includes a log table storage unit 161, a log priority table storage unit 162, a log storage unit 163, an in-vehicle device information storage unit 164, and an update program storage unit 165.
- the log table is included in the aforementioned program stored in the memory 160. That is, since the log table is stored in the memory 160 in a different form, the log table storage unit 161 is indicated by a broken line in FIG.
- the log table storage unit 161 stores a log table that is information indicating specific contents of information collected as a log. In other words, the information stored in the log table is information indicating information to be collected as a log.
- the log priority table storage unit 162 stores a log priority table that is information for managing the priority of logs to be accumulated. In the log storage unit 163, the logs acquired by the log collection unit 151 are accumulated and stored.
- the in-vehicle device information storage unit 164 stores a device ID that identifies the in-vehicle device.
- the update program storage unit 165 temporarily stores a program received from the server.
- the in-vehicle communication unit 170 communicates with the server 10 via the network 20.
- the in-vehicle device information storage unit 164 stores the device ID, the time when the log is collected, and the in-vehicle device 30.
- the position information that is, the latitude and longitude are transmitted together.
- the position information may be input from other equipment of the vehicle on which the in-vehicle device 30 is mounted, or may include a configuration in which the in-vehicle device 30 acquires the position information, for example, a GPS receiver.
- the input unit 180 detects an operation input from the user and outputs it to the CPU 100.
- the input unit 180 includes, for example, keyboard input and touch panel input.
- the output unit 190 performs screen display and audio output in accordance with instructions from the CPU 150.
- the output unit 190 is configured by a display, a speaker, or the like, for example.
- Services include, for example, a navigation service that guides a route to a destination selected by the user, a facility introduction service that introduces recommended spots existing around the current location and the destination input by the user, and a time for vehicle parts replacement.
- a maintenance service a traffic information service for notifying traffic information on surrounding roads, and the like.
- Each program that executes these services stores user input histories in independent files in order to improve convenience. These files are assumed to be accessed only by programs that execute the respective services.
- FIG. 2 is a diagram illustrating a configuration of a log priority table stored in the log priority table collection storage unit 113 of the server 10 and the log priority table storage unit 162 of the in-vehicle device 30. As will be described in detail later, whether or not to collect the collected log is determined by the priority described in the log priority table. Logs that are not listed in the log priority table are treated as having the lowest priority. 2 shows an example of the log priority table for one in-vehicle device 30 stored in the log priority table storage unit 162 of the in-vehicle device 30. Therefore, a plurality of types of log priority tables as shown in FIG. 2 are stored in the log priority table collection storage unit 113 of the server 10 according to the number of in-vehicle devices 30 included in the log collection system 1.
- the log priority table is composed of seven fields: priority 201, log type 202, mode 203, condition type 204, area 205, service 206, and valid time 207.
- the log priority table is composed of one or a plurality of records.
- the log type 202 field stores an identifier indicating the type of log.
- information indicating whether the record is permanently valid or temporarily valid is stored. When the record is permanent, “normal” is stored, and when the record is temporary, “Temporary” is stored. When the mode 203 is “Temporary”, the effective period of the record is stored in the effective time 207. In other words, a record that is permanently valid indicates that the period stored in the valid time 207 is “indefinite and permanent”.
- condition type 204 a condition in which the record is valid is stored. If the record is always valid without any special condition, “always” is stored, and if the record is valid under some condition, the condition is stored. For example, when the record is valid on condition that the in-vehicle device 30 is in a specific area, “area” is stored in the condition type 204. If the record is valid on condition that the in-vehicle device 30 is executing a specific service, “service” is stored as the condition type 204. In the field of area 205, a condition relating to an area when “area” is stored in the condition type 204 is stored. In the field of the service 206, a condition regarding the service when “service” is stored in the condition type 204 is stored.
- the valid time 207 field a period in which a record in which the mode 203 is “temporary” is valid is stored.
- the fourth record in FIG. 2 shows that the in-vehicle device 30 is in the range of latitudes X11 to X12 and the longitude is in the range of Y11 to Y12, and from 10:00 on January 1, 2016 to 10:30. It is effective only for 30 minutes.
- the information stored in the log priority table collection storage unit 113 of the server 10 and the log priority table storage unit 162 of the in-vehicle device 30 may be information other than the table format as shown in FIG. That is, as long as the information appropriately represents the priority of the log accumulated in the log storage unit 163, any format of information is stored in the log priority table collection storage unit 113 or the log priority table storage unit 162. Also good.
- FIG. 3 is a diagram illustrating a configuration of log tables stored in the log table collection storage unit 112 of the server 10 and the log table storage unit 161 of the in-vehicle device 30.
- the log table is a table for identifying information collected by the log collection unit 151 as a log.
- FIG. 3 shows an example of a log table for one in-vehicle device 30 stored in the log table storage unit 161 of the in-vehicle device 30. Therefore, a plurality of types of log tables as shown in FIG. 3 are stored in the log table collection storage unit 112 of the server 10 according to the number of in-vehicle devices 30 included in the log collection system 1.
- the log table is composed of one or a plurality of records, and is composed of two fields of a log type 301 and a log content 302.
- the log type 301 field stores an identifier indicating the log type, that is, the same information as the log type 202 of the log priority table.
- the field of log content 302 stores the specific content of information acquired as a log.
- the information stored in the log table collection storage unit 112 of the server 10 or the log table storage unit 161 of the in-vehicle device 30 may be information other than the table format shown in FIG. That is, any format of information may be stored in the log table collection storage unit 112 or the log table storage unit 161 as long as the information appropriately represents the contents of the log collected by the log collection unit 151.
- the in-vehicle device 30 connected to the network is subjected to various attacks from the outside. It is also assumed that they are subject to attacks closely related to a specific service. As an attack not limited to a specific service, for example, a DoS (Denial of Service) attack can be considered.
- the DoS attack is a waste of communication resources and calculation resources by sending a large amount of data, and hinders the normal operation of the in-vehicle device 30.
- This attack is detected by recording a packet reception amount indicating the amount of received data of the in-vehicle device 30 and a CPU usage rate indicating the size of the processing load. Therefore, when it is determined that there is a possibility that a DoS attack has occurred, it is specified in the temporary log table described later that the packet reception amount and the CPU usage rate are preferentially recorded.
- FIG. 4 is a diagram illustrating a configuration of the temporary log table stored in the temporary log table storage unit 114 of the server 10.
- the temporary log table is composed of one or a plurality of records.
- the temporary log table includes fields of an attack type 401, an in-vehicle device 402 as a temporary log target, a log type 403, a collection condition 404, an area 405, a service 406, and a validity period 407.
- a log collected based on the temporary log table is referred to as a “temporary log”.
- the type of attack that is determined by the log analysis unit 101 of the server 10 to be likely to cause an attack is stored.
- the condition of the in-vehicle device 30 that is a target of temporary log collection is stored. In other words, it is a condition of the in-vehicle device 30 that is a target for which the log priority table is updated.
- This condition is, for example, a geographical condition or a condition related to the configuration of the in-vehicle device 30.
- the geographical condition is, for example, that a log determined to have an attack potential exists within a predetermined distance from a point where the log is collected.
- the condition relating to the configuration of the in-vehicle device 30 is, for example, that the model matches the in-vehicle device 30 that collects the logs that are determined to have an attack potential.
- the log type 403 field stores the identifier of the log that is temporarily collected.
- the condition type 404 field stores a condition for collecting the temporary log.
- the field of the area 405 stores the area condition when the condition type 404 indicates an area.
- the field of the service 406 stores the condition of the service being executed when the condition type 404 indicates a service.
- the effective period 407 field stores the effective period of temporary log collection.
- the collection conditions 404 are not limited to areas and services, and other conditions may be used. In that case, a field describing the contents of the collection condition is newly provided in the temporary log table.
- the temporary log information creation unit 102 of the server 10 stores the temporary log information stored in the temporary log table storage unit 114. Based on the log priority table stored in the log priority table collection storage unit 113, the log priority table for a plurality of in-vehicle devices 30 including the in-vehicle device is rewritten. When the rewritten log priority table is transmitted from the server 10 to each in-vehicle device 30, the log priority table stored in the log priority table storage unit 162 in each in-vehicle device 30 is updated.
- the log priority table of the in-vehicle device 30 is changed reflecting the temporary log table, and the log corresponding to the changed log priority table is accumulated in the in-vehicle device 30.
- the log priority table shown in FIG. 2 three records whose mode 203 field is “temporary” are records added based on the temporary log table. Among these records, the upper two are records added because it was determined that there was a possibility of “DoS attack” at 10:00 on January 1, 2016, and the lower one is 2016. This is a record added because it is determined that there is a possibility of "illegal access” at 9:00 on January 1 of the year.
- the log collection unit 151 of the in-vehicle device 30 collects logs at a predetermined time period, for example, every minute. Information collected by the log collection unit 151 is described in a log table included in the program. The logs collected by the log collection unit 151 are merged as much as possible and stored in the log storage unit 163. Log merging refers to saving a new log together without rewriting the saved log without increasing the amount of data. Information to be rewritten at the time of merging is mainly information relating to time. For example, the log is recorded as “10:00 to 10:05 80 P / min” when the average amount of received packets in 5 minutes from 10:00 is 80 packets / min.
- the average value of the received packet amount for 5 minutes from 10: 5 is also 80 packets / minute, it can be merged with the previous log and recorded as “10:00 to 10:10 80 P / minute”.
- the average value of the packet reception amount for 5 minutes from 10: 5 is 100 packets / minute, it may be merged with the previous log and recorded as “10:00 to 10:10 90 P / minute”.
- FIG. 5 is a flowchart showing a process in which the in-vehicle device 30 acquires and accumulates a log.
- the execution subject of each step described below is the CPU 150 of the in-vehicle device 30.
- step S601 a log is collected using the log collection unit 151.
- the log information collected by the log collection unit 151 is hard-coded in the program.
- the log collected in this step is placed in a temporary storage area and is not yet stored in the log storage unit 163.
- step S602 it is determined whether or not the acquired log can be merged with the log stored in the log storage unit 163. If it is determined that merging is possible, the process proceeds to step S609. If it is determined that merging is not possible, the process proceeds to step S603. Note that when it is determined that a plurality of logs have been acquired and only a part of the logs can be merged, the processes after step S603 are performed only for the logs that cannot be merged.
- step S603 the free capacity of the log storage unit 163 is compared with the acquired log capacity, and it is determined whether or not the log can be stored in the log storage unit 163. If it is determined that accumulation is possible, the process proceeds to step S613. If it is determined that accumulation is impossible, the process proceeds to step S604. The determination in this step may be performed by simply comparing the free capacity of the log storage unit 163 with the acquired log capacity, or the capacity obtained by removing the predetermined reserved capacity from the free capacity of the log storage unit 163 and the acquired log The capacities may be compared.
- step S604 it is determined whether or not the acquired log can be transmitted to the server 10, that is, whether or not communication between the in-vehicle device 30 and the server 10 is possible. If it is determined that log transmission is possible, the process proceeds to step S610. If it is determined that log transmission is not possible, the process proceeds to step S605.
- step S605 the log priority table stored in the log priority table storage unit 162 is referred to, and the priority of the log determined to be unsuccessful is determined.
- the record whose field of the condition type 204 in the log priority table is other than “always” treats the record as valid only when the described condition is satisfied, and treats the record as invalid when the condition is not satisfied.
- the priority is regarded as the lowest, as in the case where it is not described in the log priority table.
- the priority of logs to be accumulated is determined based on the free capacity of the log storage unit 163. The higher the free space is, the lower the priority is, and the lower the free space is, the higher the priority log is.
- the priority determined in step S606 is compared with the priority of the acquired log specified in step S605. If it is determined that the priority of the acquired log is higher, the process proceeds to step S612. If it is determined that the priority of the acquired log is equal to or lower than the priority determined in step S606, the process proceeds to step S608.
- step S608 the acquired log is discarded and the flowchart of FIG.
- step S609 the acquired log is merged with the log stored in the log storage unit 163, and the flowchart of FIG.
- step S610 which is executed when an affirmative determination is made in step S604, the log stored in the log storage unit 163 is transmitted to the server 10.
- step S611 it is determined whether or not the log transmission is successful. If it is determined that the log transmission is successful, the process proceeds to step S613. If it is determined that the log transmission is not successful, the process proceeds to step S605.
- step S612 which is executed when an affirmative determination is made in step S607, the log having the lowest priority among the logs accumulated in the log storage unit 163 is discarded.
- step S613 the acquired log is accumulated in the log storage unit 163 of the memory 160, and the flowchart of FIG.
- the log analysis unit 101 of the server 10 detects the possibility of an attack on the in-vehicle device 30 or detects an attack on the in-vehicle device 30 by analyzing the log acquired from the in-vehicle device 30. Attacks on the in-vehicle device 30 are various, and new methods are devised every day. The detection method described here is an example, and when a new attack method is clarified, an analysis method for detecting the attack is implemented in the log analysis unit 101. As an example of the operation of the log analysis unit 101, detection of a DoS attack will be described.
- the log analysis unit 101 detects the possibility of a DoS attack using a log of a certain in-vehicle device 30.
- the log analysis unit 101 determines whether or not a DoS attack has actually occurred by using detailed logs of the plurality of in-vehicle devices 30. In other words, the log analysis unit 101 detects the possibility of an attack using a small number of logs, and obtains certainty of an attack using a large number of detailed logs.
- the log analysis unit 101 determines the possibility of DoS attack by comparing the amount of received packets per unit time of the in-vehicle device 30 in a certain area with the amount of received packets in another area.
- the log analysis unit 101 determines that there is no possibility of an attack when the packet reception amount difference is equal to or less than a threshold value, and when the packet reception amount difference exceeds a threshold value, there is a possibility of a DoS attack occurrence. Judge that there is.
- the log analysis unit 101 determines that a DoS attack has actually occurred using the CPU usage rate in addition to the packet reception amount.
- a DoS attack occurs when the difference between the packet reception amount per unit time of the in-vehicle device 30 in a certain area and the packet reception amount in another area exceeds a threshold and the CPU usage rate exceeds a predetermined threshold Judge that Note that the comparison of the amount of received packets may be based on the average amount of received packets in the same area in the past at the same time.
- step S ⁇ b> 701 the received log is analyzed using the log analysis unit 101.
- the log analysis unit 101 determines the possibility of an attack and the type of attack that may have occurred.
- step S702 referring to the analysis result in step S701, when it is determined that there is a possibility that an attack has occurred, the process proceeds to step S703, and when it is determined that there is no possibility that an attack has occurred, the flowchart of FIG. finish.
- step S703 the temporary log information creation unit 102 determines the in-vehicle device 30 that is a collection target of the temporary log.
- the CPU 100 searches the temporary log table for a record that matches the attack type specified from the log analysis result in step S701.
- the CPU 100 refers to the field of the temporary log collection target 402 in the corresponding record to determine the temporary log collection target. For example, as illustrated in FIG. 4, the in-vehicle device 30 existing within a radius of 2 km from the point where the log determined to be an attack is collected and the log determined to be an attack are collected. The same model as the in-vehicle device 30 and two similar in-vehicle devices 30 are determined as collection targets.
- the process proceeds to step S704. Steps S704 to S706 described below are executed for each on-vehicle device 30 determined in this step.
- step S704 the temporary log information creation unit 102 updates the log priority table stored in the log priority table collection storage unit 113.
- the log priority table to be updated in this step is a log priority table corresponding to the in-vehicle device 30 to be the temporary log collection target determined in step S703.
- the log priority table is updated by adding the log type 403, the condition type 404, the area 405, the service 406, and the validity period 407 described in the record specified in step S703 in the temporary log table to the new log priority table.
- the area 405 is rewritten on the basis of the position of the in-vehicle device 30 when the log in which the possibility of attack is detected is collected.
- the valid period 407 is rewritten with reference to the time when the log at which the possibility of attack was detected was acquired. At this time, the priority of the record to be added is “1” representing the highest priority.
- the process proceeds to step S705.
- step S705 the log priority change instruction unit 103 creates a log priority table change request message based on the log priority table updated in step S704. Then, the log priority change instruction unit 103 transmits the created log priority table change request message.
- step S706 the log change instruction unit 104 creates an update program that changes the operation of the log collection unit 151 of the in-vehicle device 30 based on the log priority table updated in step S704. This update program causes the log collection unit 151 to collect all log types described in the updated log priority table. Then, the log change instruction unit 104 transmits the created update program.
- step S707 the log change instruction unit 104 creates a log priority table change request message based on the log priority table updated in step S704. Then, the log priority change instruction unit 103 transmits the created log priority table.
- step S707 the log change instruction unit 104 creates a log priority table change request message based on the log priority table updated in step S704. Then, the log priority change instruction unit 103 transmits the
- step S707 it is determined whether or not a temporary log has been received from the in-vehicle device 30. If it is determined that it has been received, the process proceeds to step S708. If it is determined that it has not been received, the process proceeds to step S713. In step S713, it is determined whether or not a predetermined time, for example, 30 minutes has elapsed since the execution of step S706. When it is determined that the predetermined time has not elapsed, the process returns to step S707, and when it is determined that the predetermined time has elapsed, the process proceeds to step S710. This is because, when a temporary log is not transmitted from any applicable in-vehicle device for a certain period of time, it is a situation where logs cannot be collected or logs cannot be transmitted, and it can be assumed that some kind of attack has occurred.
- a predetermined time for example, 30 minutes has elapsed since the execution of step S706.
- step S708 the received temporary log is analyzed using the log analysis unit 101.
- step S709 when it is determined from the analysis result of step S708 that an attack has occurred, the process proceeds to step S710, and when it is determined that no attack has occurred, the flowchart of FIG. 6 is terminated.
- step S710 the output unit 140 is used to notify the operator of the server 10 of the occurrence of the attack.
- step S711 it is determined whether or not an emergency stop of the service is necessary. If it is determined that an emergency stop of the service is necessary, the process proceeds to step S712. If it is determined that the service is not necessary, the flowchart of FIG. In step S712, the service instruction unit 105 is used to instruct the in-vehicle device 30 to stop the service urgently, and the flowchart of FIG.
- FIG. 7 is a flowchart showing a log priority table update process performed by the in-vehicle device 30.
- the execution subject of each step described below is the log priority table management unit 152.
- step S800 it is determined whether a log priority table update request message has been received from the server 10. If it is determined that it has been received, the process proceeds to step S803. If it is determined that it has not been received, the process proceeds to step S801.
- step S803 the log priority table stored in the log priority table storage unit 162 is updated according to the received log priority table update request message.
- the update in this step means replacement of the log priority table.
- step S809 which is executed when it is determined in step S800 that no message has been received, it is determined whether or not a fixed time, for example, 5 minutes has elapsed since the previous execution of step S805. If it is determined that the time has elapsed, the process proceeds to step S805. If it is determined that the time has not elapsed, the process returns to step S800.
- step S 805 it is determined whether or not there is a record whose mode 203 field is “temporary” in the log priority table stored in the log priority table storage unit 162. If it is determined that the corresponding record exists, the process proceeds to step S806. If it is determined that the corresponding record does not exist, the process returns to step S801.
- step S806 for the record whose mode 203 field in the log priority table is “temporary”, the record whose valid time has passed is deleted. For example, if the current time is 10:45 on January 1, 2016 and the log priority table is as shown in FIG. 2, among the three records whose mode 203 field is “Temporary” These two records are deleted. This is because these records have already expired, and the remaining one record is before the expiration of the valid time.
- step S809 the CPU 150 notifies the user of the situation using the output unit 190, that is, notifies that the log priority table has been rewritten, and returns to step S801.
- FIG. 8 is a flowchart illustrating a program update process in which the in-vehicle device 30 updates a program that functions as a log collection unit.
- the execution subject of each step described below is the program update unit 153 of the in-vehicle device 30.
- the in-vehicle device 30 receives the update program from the server 30, the in-vehicle device 30 executes a program update process.
- This update program is transmitted from the server in step S706 of FIG.
- step S901 it is determined whether the program can be updated.
- the situation where the program can be updated is, for example, a situation where the vehicle on which the in-vehicle device 30 is mounted is stopped.
- the process proceeds to step S902.
- the program is updated using the update program.
- the program update may be a replacement of the entire program, or a partial change of the program, that is, application of a so-called patch.
- the program is started and the log collection unit 151 is operated to start log collection.
- An in-vehicle device 30 connected to the server 10 via the network 20 and mounted on a vehicle, a log collection unit 151 for collecting logs, a log storage unit 163 for storing at least a part of the logs, and a log A log priority information storage unit 162 that stores log priority information indicating the priority of logs stored in the storage unit 163, and an accumulation log determination that determines a log to be stored in the log storage unit 163 based on the log priority information 5 (steps S605 to S607 in FIG. 5), the communication unit 170 that transmits the log accumulated in the log storage unit 163 to the server 10, and the log priority information storage unit 162 based on the update command from the server 10.
- a log priority table management unit 152 that updates the log priority information. Since the in-vehicle device 30 is configured in this manner, the priority of the log can be changed based on a command from the server 10. Therefore, appropriate logs can be collected according to the situation of the in-vehicle device. Further, by analyzing this log by the server 10, it can be determined that an attack has actually occurred.
- the in-vehicle device 30 includes a log information storage unit 161 in which log information indicating the contents of the logs collected by the log collection unit 151 is stored, and a program update unit 153 that updates the log information stored in the log information storage unit. With. Therefore, when the server 10 detects the possibility of an attack, information that has not been collected before can be collected.
- the log collection unit 151 is a log acquisition program in which log information is incorporated, and the program update unit 153 updates the log information by rewriting the log acquisition program. Therefore, the log collection unit 151 does not need to read information indicating information to be collected as a log from the outside, and can operate at high speed.
- the in-vehicle device 30 includes a service control unit 154 that controls a service provided to the passenger of the vehicle 1.
- the service control unit 154 stops the service based on a command from the server 10. Therefore, the service affected by the attack can be stopped based on the command from the server 10.
- the log priority information includes a condition regarding at least one of an effective time and an effective area.
- the accumulated log determination unit sets the log priority information when at least one of the time when the log is collected and the position of the in-vehicle device matches the condition in the log priority information.
- a log to be stored in the log storage unit 163 is determined as valid. Therefore, the log collection unit 151 can determine the log priority according to the state of the in-vehicle device 30. This is because when it is determined whether or not the position of the in-vehicle device 30 satisfies the condition stored in the area 205, or before the record whose valid time has passed is deleted by the log priority table management unit 152, log collection is performed. This is effective when the unit 151 refers to the log priority table.
- the log collection system 1 includes an in-vehicle device 30 and a server 10 connected to the in-vehicle device 30 via the network 20.
- the server 10 analyzes the log received from the in-vehicle device 30 and detects the possibility of an attack.
- the server 10 transmits an update command to the in-vehicle device 30.
- a log priority change instruction unit 103 that updates the log priority information stored in the log priority information storage unit 162. Therefore, the log collection system 1 can change the priority of logs to be accumulated in the in-vehicle device 30 when the server 10 detects the possibility of attack from the log transmitted by the in-vehicle device 30.
- the in-vehicle device 30 includes a log information storage unit 161 in which log information indicating the content of logs collected by the log collection unit 151 is stored.
- the server 10 includes a log change instruction unit 104 that updates log information stored in the log information storage unit 161. Therefore, the server 10 can change the contents of the log collected by the in-vehicle device 30. Thereby, when the server 10 detects the possibility of an attack, the in-vehicle device 30 can collect a detailed log.
- the log priority change instructing unit 103 detects that the same model as the in-vehicle device and the possibility of attack are detected.
- An update command is also output to the other in-vehicle device 30 that satisfies at least one of the conditions that the log exists within a predetermined distance from the acquired position. Therefore, the server 10 can collect logs used to determine that an attack has occurred from a plurality of other in-vehicle devices 30 that are likely to be attacked.
- the server 10 Since it is difficult to determine that an attack has occurred based only on the log of one specific in-vehicle device 30 or there is a high possibility of over-detection, the server 10 uses the logs of a plurality of in-vehicle devices 30 as a whole. Can be judged.
- the in-vehicle device 30 includes a service control unit 154 that controls a service provided to a vehicle occupant.
- the server 10 includes a service instruction unit 110 that outputs a service stop command to the in-vehicle device 30 when the log analysis unit 101 detects an attack. Therefore, the in-vehicle device 30 can stop the service affected by the attack based on the command from the server 10.
- the log priority information includes a condition regarding at least one of an effective time and an effective area.
- the log priority change instructing unit 103 is based on at least one of the time and the position when the in-vehicle device 30 collects the log whose possibility of attack is detected by the log analyzing unit 101, in the updated log priority information. At least one of an effective time and an effective area is determined. Therefore, the log collection system 1 can collect the temporary log based on at least one of the time and the position where the log where the possibility of the attack is detected is collected, and can determine that the attack has actually occurred. .
- the embodiment described above may be modified as follows.
- the server 10 may create a log priority table change request message that partially updates the log priority table.
- the log priority table change request message includes information indicating an existing record to be deleted and information indicating the content of the record to be added. According to the first modification, the data capacity of the log priority table change request message can be reduced.
- Modification 2 The operator of the server 10 obtains knowledge about a new attack method, rewrites the log table and the log priority table so that the possibility of the attack can be detected, and uses the log priority change instruction unit 103 and the log change instruction unit 104 These may be transmitted to the in-vehicle device 30.
- the second modification it is possible to cope with an attack technique that has been clarified after the vehicle-mounted device 30 is shipped. However, only one of the log table and the log priority table may be rewritten.
- the server 10 may transmit a program for executing a new service to the in-vehicle device 30 and cause the in-vehicle device 30 to execute the service. In that case, information related to the service is added to the log table, the log priority table, and the temporary log table of the in-vehicle device 30.
- a remote maintenance service in which a message introducing parts replacement time and inspection is distributed from the server 10 to the user based on vehicle information such as a travel distance collected by the in-vehicle device 30, the following problems may be considered. It is done. That is, a service provider other than the service provider who manages the server 10 may impersonate the server 10 and send a message to the in-vehicle device 30, and an advertisement or false information that the user does not want may be displayed on the in-vehicle device 30. Therefore, when this service is added, the log table is changed so as to collect the message reception time and the message transmission source. At this time, “always” is input in the field of the condition type 204. In addition, when the function of a service provided in advance is expanded and a new log needs to be collected, it can be dealt with by correcting the table, the log priority table, and the temporary log table in the same manner.
- Modification 4 In the embodiment, when the log analysis unit 101 analyzes the temporary log and detects that an attack actually occurs, the in-vehicle device 30 stops the service (FIG. 6, step S712). However, when the log analysis unit 101 determines that there is a possibility of an attack, the in-vehicle device 30 may stop the service. According to the fourth modification, it is possible to further reduce the adverse effect on the service due to the attack.
- Modification 5 In the embodiment, when it is determined that an attack has occurred after analyzing the temporary log, the operator is notified, but the following changes may be made. That is, even when it is determined that there is a possibility of an attack at the beginning, the operator is notified, and after confirming the log table and the log priority table after the change, the log priority table change request message is transmitted. Also good.
- the log analysis is started when the log is collected from the in-vehicle device 30.
- the log may be analyzed in the following case. For example, when a certain amount of time has elapsed, when a certain amount of logs have accumulated, when a certain number of logs of the in-vehicle devices 30 have been collected, or an analysis start command has been received from the operator using the input unit 130 In some cases, the log may be analyzed.
- the in-vehicle device 30 may preferentially determine whether the log can be transmitted when the log is collected. That is, in FIG. 6, the process may proceed to step S604 after execution of step S601, and may proceed to step S602 when a negative determination is made in step S604. In this case, if a negative determination is made in step S603, the process proceeds to step S605. According to the modified example 7, it is not necessary to merge logs when communication with the server 10 is possible.
- the log collection unit 151 of the in-vehicle device 30 may read information indicating information collected as a log from the outside. That is, information indicating information collected as a log may not be hard-coded in the program.
- the log table storage unit 161 is stored in the memory 160, and the log collection unit 151 collects logs with reference to the log table stored in the log table storage unit 161. According to this modification 8, the information collected as a log by the log collection unit 151 can be easily changed.
- the server 10 may include information for specifying a target for changing the log priority table in the log priority table change request message, and send the log priority table change request message to other than the target for changing the log priority table. Good.
- the in-vehicle device 30 that has received the log priority table change request message determines whether the in-vehicle device 30 is an application target of the log priority table change request message. According to the modified example 9, since the log priority table change request message can be transmitted without specifying the transmission target, the transmission destination of the server 10 can be easily determined.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Abstract
車載装置は、サーバとネットワークにより接続され車両に搭載される車載装置であって、ログを収集するログ収集部と、ログの少なくとも一部を蓄積するためのログ格納部と、ログ格納部に蓄積されるログの優先度を示すログ優先度情報が格納されたログ優先度情報格納部と、ログ優先度情報に基づきログ格納部に蓄積するログを決定する蓄積ログ決定部と、ログ格納部に蓄積されたログをサーバに送信する通信部と、サーバからの更新指令に基づきログ優先度情報格納部に格納されたログ優先度情報を更新するログ優先度テーブル管理部と、を備える。
Description
本発明は、車載装置、およびログ収集システムに関する。
近年、車載装置のネットワーク化等に伴い、車載装置システムの分野においても、適切なセキュリティの必要性が高まっている。こうした車載装置のセキュリティ技術に関して、車載装置の状況をネットワーク上のサーバが把握し、サーバが車載装置の異常を検出する構成が広く知られている。特許文献1には、車両等の移動体から、その位置情報等の移動体情報を状況に応じた適切な方法で送信することのできる装置が開示されている。
上記のようなサーバを用いた車載装置の異常検出では、車載装置において多数の詳細な情報をログとして収集しサーバに送信することで、車載装置で発生した様々な異常をサーバが検出できる。しかし、一般に車載装置は、設置スペースの制約等によりリソースが乏しく、収集できる情報量が限定される。そのため、車載装置のおかれた状況に応じて適切なログを収集する必要があるが、特許文献1に記載されている発明では、これを行うことができない。
本発明の第1の態様による車載装置は、サーバとネットワークにより接続され車両に搭載される車載装置であって、ログを収集するログ収集部と、前記ログの少なくとも一部を蓄積するためのログ格納部と、前記ログ格納部に蓄積されるログの優先度を示すログ優先度情報が格納されたログ優先度情報格納部と、前記ログ優先度情報に基づき前記ログ格納部に蓄積するログを決定する蓄積ログ決定部(S606)と、前記ログ格納部に蓄積されたログを前記サーバに送信する通信部と、前記サーバからの更新指令に基づき前記ログ優先度情報格納部に格納された前記ログ優先度情報を更新するログ優先度テーブル管理部と、を備える。
本発明の第2の態様によるログ収集システムは、第1の態様の情報処理装置、および前記車載装置と前記ネットワークにより接続される前記サーバから構成されるログ収集システムであって、前記サーバは、前記車載装置から受信したログを解析し攻撃の可能性を検知するログ解析部と、前記ログ解析部が攻撃の可能性を検知すると、前記車載装置に前記更新指令を送信して、前記ログ優先度情報格納部に格納された前記ログ優先度情報を更新させるログ優先度変更指示部と、を備える。
本発明の第2の態様によるログ収集システムは、第1の態様の情報処理装置、および前記車載装置と前記ネットワークにより接続される前記サーバから構成されるログ収集システムであって、前記サーバは、前記車載装置から受信したログを解析し攻撃の可能性を検知するログ解析部と、前記ログ解析部が攻撃の可能性を検知すると、前記車載装置に前記更新指令を送信して、前記ログ優先度情報格納部に格納された前記ログ優先度情報を更新させるログ優先度変更指示部と、を備える。
本発明によれば、車載装置のおかれた状況に応じて適切なログを収集することができる。
以下、図1~図8を参照して、ログ収集システムの実施の形態を説明する。
図1は、ログ収集システムの構成図である。ログ収集システム1は、サーバ10、および車載装置30から構成される。サーバ10と車載装置30は、ネットワーク20を介して接続される。図1では車載装置30は1台のみ記載されているが、サーバ10は複数の車載装置30と接続される。サーバ10に接続される複数の車載装置30は、それぞれ異なる車両に搭載される。車載装置30は、1または複数のプログラムを実行することで、様々なサービスを車両の乗員に提供可能である。車載装置30において実行されるプログラムは、車載装置30の出荷時に組み込まれる。
図1は、ログ収集システムの構成図である。ログ収集システム1は、サーバ10、および車載装置30から構成される。サーバ10と車載装置30は、ネットワーク20を介して接続される。図1では車載装置30は1台のみ記載されているが、サーバ10は複数の車載装置30と接続される。サーバ10に接続される複数の車載装置30は、それぞれ異なる車両に搭載される。車載装置30は、1または複数のプログラムを実行することで、様々なサービスを車両の乗員に提供可能である。車載装置30において実行されるプログラムは、車載装置30の出荷時に組み込まれる。
(サーバの構成)
サーバ10は、CPU100、メモリ110、サーバ通信部120、入力部130、および出力部140を備える。以下では、サーバ10の入力部130を操作する者を「オペレータ」と呼ぶ。
CPU100は、不図示のROMに格納されるプログラムを実行し、サーバ10を動作させるための各種の演算処理を実行する。このプログラムは、メモリ110に記憶されているデータを利用する。CPU100は、ログ解析部101、臨時ログ情報作成部102、ログ優先度変更指示部103、ログ変更指示部104、サービス指示部105を機能的に有する。
サーバ10は、CPU100、メモリ110、サーバ通信部120、入力部130、および出力部140を備える。以下では、サーバ10の入力部130を操作する者を「オペレータ」と呼ぶ。
CPU100は、不図示のROMに格納されるプログラムを実行し、サーバ10を動作させるための各種の演算処理を実行する。このプログラムは、メモリ110に記憶されているデータを利用する。CPU100は、ログ解析部101、臨時ログ情報作成部102、ログ優先度変更指示部103、ログ変更指示部104、サービス指示部105を機能的に有する。
ログ解析部101は、車載装置30から収集したログを解析し、車載装置30への攻撃の可能性の検出、および車載装置30への攻撃の検出を行う。臨時ログ情報作成部102は、ログ解析部101が車載装置30への攻撃の可能性を検出すると、後述するログテーブルおよび後述するログ優先度テーブルを書き換える。ログ優先度変更指示部103は、臨時ログ情報作成部102が書き換えたログ優先度テーブルの情報を車載装置30へ通知するためのログ優先度テーブル変更要求メッセージを作成し、車載装置30へ送信する。なお、ログ優先度テーブル変更要求メッセージには、書き換え後のログ優先度テーブルの全体の内容が含まれる。ログ変更指示部104は、臨時ログ情報作成部102が書き換えたログテーブルの情報を車載装置30へ通知する。ただし後述するように本実施の形態ではログテーブルの情報はプログラムに内包されるため、ログ変更指示部104は車載装置30へプログラムを送信することによりログテーブルの変更を車載装置30へ通知する。サービス指示部105は、ログ解析部101によりサービスを直ちに停止する必要があると判断された場合に、車載装置30に対してサービス停止の指示を出力する。
メモリ110には、データが格納される。メモリ110は、収集ログ格納部111、ログテーブル集格納部112、ログ優先度テーブル集格納部113、および臨時ログテーブル格納部114を機能的に有する。
収集ログ格納部111には、それぞれの車載装置30から収集したログが格納される。
ログテーブル集格納部112には、それぞれの車載装置30がログとして収集する情報を特定するログテーブルが格納される。ログテーブルは車載装置30ごとに異なるので、ログテーブル集格納部112には、サーバ10に接続される車載装置30と同数のログテーブルが格納される。ただしいくつかの車載装置30がログテーブルを共有し、ログテーブル集格納部112に格納されるログテーブルの数が、サーバ10に接続される車載装置30の数よりも少なくてもよい。
収集ログ格納部111には、それぞれの車載装置30から収集したログが格納される。
ログテーブル集格納部112には、それぞれの車載装置30がログとして収集する情報を特定するログテーブルが格納される。ログテーブルは車載装置30ごとに異なるので、ログテーブル集格納部112には、サーバ10に接続される車載装置30と同数のログテーブルが格納される。ただしいくつかの車載装置30がログテーブルを共有し、ログテーブル集格納部112に格納されるログテーブルの数が、サーバ10に接続される車載装置30の数よりも少なくてもよい。
ログ優先度テーブル集格納部113には、それぞれの車載装置30が蓄積するログの優先度を示すログ優先度テーブルが格納される。ログ優先度テーブルは車載装置30ごとに異なるので、ログ優先度テーブル集格納部113には、サーバ10に接続される車載装置30と同数のログ優先度テーブルが格納される。ただしいくつかの車載装置30がログ優先度テーブルを共有し、ログ優先度テーブル集格納部113に格納されるログ優先度テーブルの数が、サーバ10に接続される車載装置30の数よりも少なくてもよい。
臨時ログテーブル格納部114には、ログ解析部101が攻撃発生の恐れを検知した場合に、臨時で収集するログを定めた臨時ログテーブルが格納される。本実施の形態における臨時ログテーブルは1つであり、全ての車載装置30に共通して用いられる。
サーバ通信部120は、ネットワーク20を介して車載装置30と通信を行う。
入力部130は、オペレータからの操作入力を検出し、CPU100に出力する。入力部130は、たとえばマウスやキーボード等により構成される。
出力部140は、CPU100からの指示に従って画面表示や音声出力を行う。出力部140は、たとえばディスプレイやスピーカ等により構成される。
サーバ通信部120は、ネットワーク20を介して車載装置30と通信を行う。
入力部130は、オペレータからの操作入力を検出し、CPU100に出力する。入力部130は、たとえばマウスやキーボード等により構成される。
出力部140は、CPU100からの指示に従って画面表示や音声出力を行う。出力部140は、たとえばディスプレイやスピーカ等により構成される。
(車載装置の構成)
車載装置30は、CPU150、メモリ160、車載通信部170、入力部180、および出力部190を備える。以下では、車載装置30の入力部180を操作する者、および車載装置30が搭載される車両の乗員を「ユーザ」と呼ぶ。
CPU150は、メモリ160に格納される不図示のプログラムを実行し、車載装置30を動作させるための各種の演算処理を実行する。この演算処理には、ユーザに対するサービス提供のためのプログラムの実行も含まれる。CPU150は、ログ収集部151、ログ優先度テーブル管理部152、プログラム更新部153、およびサービス制御部154を機能的に有する。
車載装置30は、CPU150、メモリ160、車載通信部170、入力部180、および出力部190を備える。以下では、車載装置30の入力部180を操作する者、および車載装置30が搭載される車両の乗員を「ユーザ」と呼ぶ。
CPU150は、メモリ160に格納される不図示のプログラムを実行し、車載装置30を動作させるための各種の演算処理を実行する。この演算処理には、ユーザに対するサービス提供のためのプログラムの実行も含まれる。CPU150は、ログ収集部151、ログ優先度テーブル管理部152、プログラム更新部153、およびサービス制御部154を機能的に有する。
ログ収集部151は、サーバ10に送信するためのログを取得し、ログ格納部163へログを蓄積する。ログ収集部151がログとしてどのような情報を収集するかは、プログラムにハードコーディングされている。ログ優先度テーブル管理部152は、サーバ10の指令に基づきログ優先度テーブル格納部162に格納されているログ優先度テーブルを更新する。プログラム更新部153は、CPU150が実行するプログラムを更新プログラム格納部165に格納されたプログラムに更新する。このプログラムの更新により、ログ収集部151がログとして収集する情報が変更される。サービス制御部154は、ユーザによる入力部180を用いたサービス開始・停止指示、およびサーバ10からのサービス停止指示に基づきサービスの提供を制御する。
メモリ160は、ログテーブル格納部161、ログ優先度テーブル格納部162、ログ格納部163、車載装置情報格納部164、更新プログラム格納部165を機能的に有する。ただしログテーブルはメモリ160に格納される前述のプログラムに内包される。すなわち、ログテーブルは形態を変えてメモリ160に格納されているので、図1ではログテーブル格納部161を破線で示している。
ログテーブル格納部161には、ログとして収集する情報の具体的な内容を示す情報であるログテーブルが格納される。換言すると、ログテーブルに格納された情報が、ログとして収集する情報を示す情報である。ログ優先度テーブル格納部162には、蓄積するログの優先度を管理するための情報であるログ優先度テーブルが格納される。ログ格納部163には、ログ収集部151が取得したログが蓄積されて格納される。車載装置情報格納部164には、車載装置を識別する機器IDが格納される。更新プログラム格納部165には、サーバから受信したプログラムが一時的に格納される。
車載通信部170は、ネットワーク20を介してサーバ10と通信を行う。車載通信部170は、ログ収集部151が収集したログをサーバ10に送信する際に、車載装置情報格納部164に格納される機器IDと、当該ログを収集したときの時刻および車載装置30の位置情報、すなわち緯度と経度をあわせて送信する。位置情報は、車載装置30が搭載される車両の他の機器から入力されてもよいし、車載装置30が位置情報を取得する構成、たとえばGPS受信機を備えてもよい。
入力部180は、ユーザからの操作入力を検出し、CPU100に出力する。入力部180は、たとえばキーボード入力やタッチパネル入力等がある。出力部190は、CPU150からの指示に従って画面表示や音声出力を行う。出力部190は、たとえばディスプレイやスピーカ等により構成される。
(サービス)
車載装置30は、ユーザへ各種サービスを提供可能である。車載装置30が提供するサービスは、ユーザの指令により任意に開始および停止が可能である。ただし後述するようにサーバ10から停止指令を受けたサービスは、ユーザの操作指令に関わらず停止される。
車載装置30は、ユーザへ各種サービスを提供可能である。車載装置30が提供するサービスは、ユーザの指令により任意に開始および停止が可能である。ただし後述するようにサーバ10から停止指令を受けたサービスは、ユーザの操作指令に関わらず停止される。
サービスはたとえば、ユーザが選択した目的地までのルートを案内するナビゲーションサービス、現在地やユーザが入力する目的地の周辺に存在する推奨スポットを紹介する施設紹介サービス、車両の部品交換の時期を報知するメンテナンスサービス、周辺道路の渋滞情報を報知する渋滞情報サービスなどである。これらのサービスを実行するそれぞれのプログラムは、利便性の向上のためにユーザの入力履歴をそれぞれ独立したファイルに保存している。これらのファイルはそれぞれのサービスを実行するプログラムのみからアクセスされることを想定している。
(ログ優先度テーブル)
図2は、サーバ10のログ優先度テーブル集格納部113、および車載装置30のログ優先度テーブル格納部162に格納されるログ優先度テーブルの構成を例示する図である。詳しくは後述するが、収集されたログを蓄積するか否かが、このログ優先度テーブルに記載された優先度によって決定される。ログ優先度テーブルに記載されないログは、優先度が最も低いものとして扱われる。なお、図2では、車載装置30のログ優先度テーブル格納部162に格納される、一つの車載装置30に対するログ優先度テーブルの例を示している。そのため、サーバ10のログ優先度テーブル集格納部113には、ログ収集システム1に含まれる車載装置30の数に応じて、図2のようなログ優先度テーブルが複数種類格納される。
図2は、サーバ10のログ優先度テーブル集格納部113、および車載装置30のログ優先度テーブル格納部162に格納されるログ優先度テーブルの構成を例示する図である。詳しくは後述するが、収集されたログを蓄積するか否かが、このログ優先度テーブルに記載された優先度によって決定される。ログ優先度テーブルに記載されないログは、優先度が最も低いものとして扱われる。なお、図2では、車載装置30のログ優先度テーブル格納部162に格納される、一つの車載装置30に対するログ優先度テーブルの例を示している。そのため、サーバ10のログ優先度テーブル集格納部113には、ログ収集システム1に含まれる車載装置30の数に応じて、図2のようなログ優先度テーブルが複数種類格納される。
ログ優先度テーブルは、優先度201、ログ種別202、モード203、条件種別204、エリア205、サービス206、および有効時間207の7つのフィールドから構成される。ログ優先度テーブルは、1または複数のレコードから構成される。
優先度201のフィールドには、ログを蓄積する優先度を示す情報が数値として格納され、この数値が小さいほど優先度が高いことを示す。優先度が同一のレコードが複数存在してもよい。ログ種別202のフィールドには、ログの種類を示す識別子が格納される。モード203のフィールドには、レコードが永続的に有効であるか、一時的に有効であるかを示す情報が格納され、永続的である場合は「通常」が格納され、一時的である場合は「臨時」が格納される。モード203が「臨時」の場合には、有効時間207にレコードが有効な期間が格納される。換言すると、永続的に有効であるレコードは、有効時間207に格納される期間が「定めなく永続的である」ことを示している。
条件種別204のフィールドには、レコードが有効な条件が格納される。特段の条件なく常にレコードが有効な場合は「常時」が格納され、何らかの条件下でレコードが有効な場合はその条件が格納される。たとえば車載装置30が特定のエリア内に在ることを条件にレコードが有効な場合は、条件種別204には「エリア」が格納される。また車載装置30が特定のサービスを実行していることを条件にレコードが有効な場合は、条件種別204は「サービス」が格納される。エリア205のフィールドには、条件種別204に「エリア」が格納されている場合のエリアに関する条件が格納される。サービス206のフィールドには、条件種別204に「サービス」が格納されている場合のサービスに関する条件が格納される。
有効時間207のフィールドには、モード203が「臨時」であるレコードが有効な期間が格納される。たとえば図2の4つ目のレコードは、車載装置30が緯度X11~X12の範囲、かつ経度がY11~Y12の範囲にあり、さらに2016年1月1日の10時0分から10時30分までの30分間だけ有効であることを示している。
なお、サーバ10のログ優先度テーブル集格納部113や車載装置30のログ優先度テーブル格納部162に格納される情報は、図2に示したようなテーブル形式以外の情報であってもよい。すなわち、ログ格納部163に蓄積されるログの優先度を適切に表す情報であれば、どのような形式の情報をログ優先度テーブル集格納部113やログ優先度テーブル格納部162に格納してもよい。
なお、サーバ10のログ優先度テーブル集格納部113や車載装置30のログ優先度テーブル格納部162に格納される情報は、図2に示したようなテーブル形式以外の情報であってもよい。すなわち、ログ格納部163に蓄積されるログの優先度を適切に表す情報であれば、どのような形式の情報をログ優先度テーブル集格納部113やログ優先度テーブル格納部162に格納してもよい。
(ログテーブル)
図3は、サーバ10のログテーブル集格納部112および車載装置30のログテーブル格納部161に格納されるログテーブルの構成を例示する図である。ログテーブルは、ログ収集部151がログとして収集する情報を特定するテーブルである。なお、図3では、車載装置30のログテーブル格納部161に格納される、一つの車載装置30に対するログテーブルの例を示している。そのため、サーバ10のログテーブル集格納部112には、ログ収集システム1に含まれる車載装置30の数に応じて、図3のようなログテーブルが複数種類格納される。ログテーブルは、1または複数のレコードから構成され、ログ種別301とログ内容302の2つのフィールドから構成される。ログ種別301のフィールドには、ログの種類を示す識別子、すなわちログ優先度テーブルのログ種別202と同一の情報が格納される。ログ内容302のフィールドには、ログとして取得する情報の具体的な内容が格納される。
なお、サーバ10のログテーブル集格納部112や車載装置30のログテーブル格納部161に格納される情報は、図3に示したようなテーブル形式以外の情報であってもよい。すなわち、ログ収集部151が収集するログの内容を適切に表す情報であれば、どのような形式の情報をログテーブル集格納部112やログテーブル格納部161に格納してもよい。
図3は、サーバ10のログテーブル集格納部112および車載装置30のログテーブル格納部161に格納されるログテーブルの構成を例示する図である。ログテーブルは、ログ収集部151がログとして収集する情報を特定するテーブルである。なお、図3では、車載装置30のログテーブル格納部161に格納される、一つの車載装置30に対するログテーブルの例を示している。そのため、サーバ10のログテーブル集格納部112には、ログ収集システム1に含まれる車載装置30の数に応じて、図3のようなログテーブルが複数種類格納される。ログテーブルは、1または複数のレコードから構成され、ログ種別301とログ内容302の2つのフィールドから構成される。ログ種別301のフィールドには、ログの種類を示す識別子、すなわちログ優先度テーブルのログ種別202と同一の情報が格納される。ログ内容302のフィールドには、ログとして取得する情報の具体的な内容が格納される。
なお、サーバ10のログテーブル集格納部112や車載装置30のログテーブル格納部161に格納される情報は、図3に示したようなテーブル形式以外の情報であってもよい。すなわち、ログ収集部151が収集するログの内容を適切に表す情報であれば、どのような形式の情報をログテーブル集格納部112やログテーブル格納部161に格納してもよい。
(攻撃の検出)
ネットワークに接続される車載装置30は、外部から様々な攻撃を受けることが想定される。また特定のサービスに密接に関連する攻撃を受けることも想定される。
特定のサービスに限定しない攻撃として、たとえばDoS(Denial of Service)攻撃が考えられる。DoS攻撃とは、大量のデータを送り付けることで通信リソースおよび計算リソースを浪費させ、車載装置30の正常な動作を妨げるものである。この攻撃は、車載装置30の受信データ量を表すパケット受信量や、処理負荷の大きさを表すCPU使用率を記録することにより検出する。そのため、DoS攻撃が発生した可能性があると判断されると、パケット受信量とCPU使用率を優先的に記録されることが、後述する臨時ログテーブルに規定される。
ネットワークに接続される車載装置30は、外部から様々な攻撃を受けることが想定される。また特定のサービスに密接に関連する攻撃を受けることも想定される。
特定のサービスに限定しない攻撃として、たとえばDoS(Denial of Service)攻撃が考えられる。DoS攻撃とは、大量のデータを送り付けることで通信リソースおよび計算リソースを浪費させ、車載装置30の正常な動作を妨げるものである。この攻撃は、車載装置30の受信データ量を表すパケット受信量や、処理負荷の大きさを表すCPU使用率を記録することにより検出する。そのため、DoS攻撃が発生した可能性があると判断されると、パケット受信量とCPU使用率を優先的に記録されることが、後述する臨時ログテーブルに規定される。
特定のサービスに関連する攻撃として、たとえばサービスで使用されるファイルへの不正なアクセスが考えられる。たとえば、あるサービスが使用する特定のファイル(以下、ファイルA)について、特定のプログラムにしかファイルAを読み書きする権限を与えていない次のケースが想定される。すなわち、そのファイルAに格納された情報を欲する者が車載装置30にアクセスしてファイルAの情報を不正に取得するケースが想定される。この攻撃は、ファイルAへアクセス記録、たとえばアクセスしたプログラムの名称やアクセス時刻を記録することにより検出する。そのため、不正アクセスが発生した可能性があると判断されると、ファイルAへのアクセスが発生した日時やアクセスしたプログラムなどが優先的に記録されることが、後述する臨時ログテーブルに規定される。
(臨時ログテーブル)
図4は、サーバ10の臨時ログテーブル格納部114に格納される臨時ログテーブルの構成を例示する図である。臨時ログテーブルは、1または複数のレコードから構成される。臨時ログテーブルは、攻撃種別401、臨時ログ対象の車載装置402、ログ種別403、収集条件404、エリア405、サービス406、有効期間407のフィールドから構成される。以下では、この臨時ログテーブルに基づき収集されるログを「臨時ログ」と呼ぶ。
図4は、サーバ10の臨時ログテーブル格納部114に格納される臨時ログテーブルの構成を例示する図である。臨時ログテーブルは、1または複数のレコードから構成される。臨時ログテーブルは、攻撃種別401、臨時ログ対象の車載装置402、ログ種別403、収集条件404、エリア405、サービス406、有効期間407のフィールドから構成される。以下では、この臨時ログテーブルに基づき収集されるログを「臨時ログ」と呼ぶ。
攻撃種別401のフィールドには、サーバ10のログ解析部101で攻撃発生の可能性があると判定された攻撃の種別が格納される。
臨時ログ対象収集の車載装置402のフィールドには、臨時でログを収集する対象となる車載装置30の条件が格納される。換言すると、ログ優先度テーブルが更新される対象となる車載装置30の条件である。この条件とはたとえば地理的条件や車載装置30の構成に関する条件である。地理的条件とはたとえば、攻撃の可能性があると判断されたログが収集された地点から所定距離以内に存在することである。車載装置30の構成に関する条件とはたとえば、攻撃の可能性があると判断されたログを収集した車載装置30と機種が一致することである。
臨時ログ対象収集の車載装置402のフィールドには、臨時でログを収集する対象となる車載装置30の条件が格納される。換言すると、ログ優先度テーブルが更新される対象となる車載装置30の条件である。この条件とはたとえば地理的条件や車載装置30の構成に関する条件である。地理的条件とはたとえば、攻撃の可能性があると判断されたログが収集された地点から所定距離以内に存在することである。車載装置30の構成に関する条件とはたとえば、攻撃の可能性があると判断されたログを収集した車載装置30と機種が一致することである。
ログ種別403のフィールドには、臨時で収集するログの識別子が格納される。条件種別404のフィールドには、臨時ログを収集する条件が格納される。エリア405のフィールドには、条件種別404がエリアを示す場合の、エリアの条件が格納される。サービス406のフィールドには、条件種別404がサービスを示す場合の、実行しているサービスの条件が格納される。有効期間407のフィールドには臨時ログ収集の有効期間が格納される。なお収集条件404はエリアおよびサービスに限定されず、他の条件を用いてもよい。その場合は収集条件の内容を記載するフィールドが臨時ログテーブルに新たに設けられる。
サーバ10の臨時ログ情報作成部102は、いずれかの車載装置30への攻撃発生の可能性があるとログ解析部101が判定すると、臨時ログテーブル格納部114に格納されている臨時ログテーブルに基づいて、ログ優先度テーブル集格納部113に格納されているログ優先度テーブルのうち、当該車載装置を含む複数の車載装置30に対するログ優先度テーブルを書き換える。この書き換え後のログ優先度テーブルがサーバ10から各車載装置30へ送信されると、各車載装置30においてログ優先度テーブル格納部162に格納されているログ優先度テーブルが更新される。これにより、臨時ログテーブルを反映して車載装置30のログ優先度テーブルが変更され、その変更後のログ優先度テーブルに応じたログが車載装置30において蓄積される。図2に示したログ優先度テーブルの例では、モード203のフィールドが「臨時」である3つのレコードが、臨時ログテーブルに基づいて追加されたレコードである。これらのレコードのうち、上の2つは2016年1月1日の10時0分に「DoS攻撃」の可能性があると判断されたために追加されたレコードであり、下の1つは2016年1月1日の9時0分に「不正アクセス」の可能性があると判断されたために追加されたレコードである。
(ログ収集)
車載装置30のログ収集部151は、所定の時間周期、たとえば1分毎にログを収集する。ログ収集部151が収集する情報は、プログラムに内包されるログテーブルに記載される。
ログ収集部151が収集したログは、可能な限りマージしてログ格納部163に格納される。ログのマージとは、保存済みのログを書き換えることによりデータ量を増加させることなく新たなログも併せて保存することである。マージの際に書き換える情報は主に時刻に関する情報である。たとえば、10時0分からの5分間におけるパケット受信量の平均が80パケット/分である場合に、ログが「10:00~10:05 80P/分」と記録されていた。10時5分からの5分間のパケット受信量の平均値も80パケット/分である場合は、先ほどのログとマージして「10:00~10:10 80P/分」と記録できる。なお10時5分からの5分間のパケット受信量の平均値が100パケット/分である場合に、先ほどのログとマージして「10:00~10:10 90P/分」と記録してもよい。
車載装置30のログ収集部151は、所定の時間周期、たとえば1分毎にログを収集する。ログ収集部151が収集する情報は、プログラムに内包されるログテーブルに記載される。
ログ収集部151が収集したログは、可能な限りマージしてログ格納部163に格納される。ログのマージとは、保存済みのログを書き換えることによりデータ量を増加させることなく新たなログも併せて保存することである。マージの際に書き換える情報は主に時刻に関する情報である。たとえば、10時0分からの5分間におけるパケット受信量の平均が80パケット/分である場合に、ログが「10:00~10:05 80P/分」と記録されていた。10時5分からの5分間のパケット受信量の平均値も80パケット/分である場合は、先ほどのログとマージして「10:00~10:10 80P/分」と記録できる。なお10時5分からの5分間のパケット受信量の平均値が100パケット/分である場合に、先ほどのログとマージして「10:00~10:10 90P/分」と記録してもよい。
(ログ収集のフローチャート)
図5は、車載装置30がログを取得し、蓄積する処理をあらわすフローチャートである。以下に説明する各ステップの実行主体は、車載装置30のCPU150である。
図5は、車載装置30がログを取得し、蓄積する処理をあらわすフローチャートである。以下に説明する各ステップの実行主体は、車載装置30のCPU150である。
ステップS601では、ログ収集部151を用いてログを収集する。前述のとおり、ログ収集部151が収集するログの情報は、プログラムにハードコーディングされている。本ステップで収集したログは一時的な記憶領域におかれ、まだログ格納部163には格納されない。続くステップS602では、取得したログがログ格納部163に格納されているログにマージ可能であるか否かを判断する。マージ可能であると判断する場合はステップS609に進み、マージ不可能と判断する場合はステップS603に進む。なお複数のログを取得しており一部のログのみマージ可能と判断する場合は、マージが不可能なログについてのみステップS603以降の処理を行う。
ステップS603では、ログ格納部163の空き容量と取得したログの容量を比較し、ログをログ格納部163に蓄積可能か否かを判断する。蓄積可能と判断する場合はステップS613に進み、蓄積が不可能と判断する場合はステップS604に進む。本ステップにおける判断は、ログ格納部163の空き容量と取得したログ容量を単純比較することにより行ってもよいし、ログ格納部163の空き容量から所定の予約容量を除いた容量と取得したログ容量を比較してもよい。
ステップS604では、取得したログのサーバ10への送信が可能か否か、すなわち車載装置30とサーバ10との通信が可能な状態であるか否かを判断する。ログ送信が可能と判断する場合はステップS610に進み、ログ送信が不可能と判断する場合はステップS605に進む。
ステップS604では、取得したログのサーバ10への送信が可能か否か、すなわち車載装置30とサーバ10との通信が可能な状態であるか否かを判断する。ログ送信が可能と判断する場合はステップS610に進み、ログ送信が不可能と判断する場合はステップS605に進む。
ステップS605では、ログ優先度テーブル格納部162に格納されたログ優先度テーブルを参照し、送信が不可能と判断されたログの優先度を判断する。このときログ優先度テーブルの条件種別204のフィールドが「常時」以外であるレコードは、記載された条件を満たす場合のみ当該レコードを有効として扱い、条件を満たさない場合は当該レコードを無効として扱う。無効として扱われるとログ優先度テーブルに記載されていない場合と同様に、優先度が最も低いとみなされる。
続くステップS606では、ログ格納部163の空き容量に基づき、蓄積するログの優先度を決定する。空き容量が多いほど低い優先度まで蓄積対象となり、空き容量が少ないほど高い優先度のログしか蓄積されないこととなる。続くステップS607では、ステップS606において決定された優先度とステップS605において特定した取得したログの優先度を比較する。取得したログの優先度の方が高いと判断する場合はステップS612に進み、取得したログの優先度がステップS606において決定された優先度以下であると判断する場合はステップS608に進む。
ステップS608では、取得したログを破棄して図5のフローチャートを終了する。
ステップS609では、取得したログをログ格納部163に格納されているログにマージして図5のフローチャートを終了する。
ステップS604において肯定判断されると実行されるステップS610では、ログ格納部163に格納されているログをサーバ10に送信する。続くステップS611では、ログの送信が成功したか否かを判断し、成功したと判断する場合はステップS613に進み、失敗したと判断する場合はステップS605に進む。
ステップS609では、取得したログをログ格納部163に格納されているログにマージして図5のフローチャートを終了する。
ステップS604において肯定判断されると実行されるステップS610では、ログ格納部163に格納されているログをサーバ10に送信する。続くステップS611では、ログの送信が成功したか否かを判断し、成功したと判断する場合はステップS613に進み、失敗したと判断する場合はステップS605に進む。
ステップS607において肯定判断されると実行されるステップS612では、ログ格納部163に蓄積されているログのうち、優先度が最も低いログを破棄する。ステップS613では取得したログをメモリ160のログ格納部163に蓄積し、図5のフローチャートを終了する。
(ログ解析部の動作)
サーバ10のログ解析部101は、車載装置30から取得したログを解析することで、車載装置30への攻撃の可能性の検出、または車載装置30への攻撃の検出を行う。車載装置30への攻撃は多彩であり、日々新たな手法が考案されている。ここで説明する検出手法は一例であり、新たな攻撃手法が明らかになるとその攻撃を検出する解析手法がログ解析部101に実装される。ログ解析部101の動作の一例として、DoS攻撃の検出を説明する。
サーバ10のログ解析部101は、車載装置30から取得したログを解析することで、車載装置30への攻撃の可能性の検出、または車載装置30への攻撃の検出を行う。車載装置30への攻撃は多彩であり、日々新たな手法が考案されている。ここで説明する検出手法は一例であり、新たな攻撃手法が明らかになるとその攻撃を検出する解析手法がログ解析部101に実装される。ログ解析部101の動作の一例として、DoS攻撃の検出を説明する。
ログ解析部101は、ある車載装置30のログを用いてDoS攻撃が発生している可能性を検出する。DoS攻撃が発生している可能性を検出したら、ログ解析部101は、複数の車載装置30の詳細なログを用いて、実際にDoS攻撃が発生しているか否かを判断する。換言するとログ解析部101は、少数のログを用いて攻撃の可能性を検知し、多数の詳細なログを用いて攻撃発生の確信を得る。
ログ解析部101は、DoS攻撃の可能性を、あるエリアにおける車載装置30の単位時間あたりのパケット受信量と、他のエリアでのパケット受信量との比較により判断する。ログ解析部101は、パケット受信量の差がある閾値以下の場合は攻撃発生の可能性はないと判断し、パケット受信量の差がある閾値を超えている場合はDoS攻撃発生の可能性があると判断する。
ログ解析部101は、DoS攻撃の可能性を、あるエリアにおける車載装置30の単位時間あたりのパケット受信量と、他のエリアでのパケット受信量との比較により判断する。ログ解析部101は、パケット受信量の差がある閾値以下の場合は攻撃発生の可能性はないと判断し、パケット受信量の差がある閾値を超えている場合はDoS攻撃発生の可能性があると判断する。
ログ解析部101は、DoS攻撃が実際に発生していることを、パケット受信量に加えてCPU使用率も用いて判断する。あるエリアにおける車載装置30の単位時間あたりのパケット受信量と、他のエリアでのパケット受信量との差が閾値を超え、なおかつCPU使用率が所定の閾値を超える場合にDoS攻撃が発生していると判断する。なお、パケット受信量の比較は、同一エリアにおける過去の同一時刻の平均パケット受信量を対象としてもよい。
(ログ受信後の処理)
図6を用いて、サーバ10が車載装置30からログを収集した後の一連の処理を説明する。以下に説明する各ステップの実行主体はサーバ10のCPU100である。
ステップS701では、受信したログをログ解析部101を用いて解析する。ログ解析部101は、攻撃発生の可能性の判断と、発生している可能性がある攻撃の種類を判断する。続くステップS702では、ステップS701における解析結果を参照し、攻撃が発生した可能性があると判断する場合はステップS703に進み、攻撃が発生した可能性はないと判断する場合は図6のフローチャートを終了する。
図6を用いて、サーバ10が車載装置30からログを収集した後の一連の処理を説明する。以下に説明する各ステップの実行主体はサーバ10のCPU100である。
ステップS701では、受信したログをログ解析部101を用いて解析する。ログ解析部101は、攻撃発生の可能性の判断と、発生している可能性がある攻撃の種類を判断する。続くステップS702では、ステップS701における解析結果を参照し、攻撃が発生した可能性があると判断する場合はステップS703に進み、攻撃が発生した可能性はないと判断する場合は図6のフローチャートを終了する。
ステップS703では、臨時ログ情報作成部102が、臨時ログの収集対象となる車載装置30を決定する。まずCPU100は、ステップS701におけるログの解析結果から特定される攻撃種別に一致するレコードを臨時ログテーブルから検索する。次にCPU100は、該当するレコードにおける臨時ログ収集対象402のフィールドを参照して臨時ログの収集対象を決定する。たとえば図4に示すように、攻撃の可能性があると判断されたログが収集された地点から半径2km以内に存在する車載装置30や、攻撃の可能性があることが判断されたログを収集した車載装置30と同じ機種、および類似する2機種の車載装置30が収集対象として決定される。次にステップS704に進む。以下に説明するステップS704~S706は、本ステップにおいて決定した車載装置30ごとにそれぞれ実行される。
ステップS704では、臨時ログ情報作成部102が、ログ優先度テーブル集格納部113に格納されるログ優先度テーブルを更新する。本ステップにおいて更新対象となるログ優先度テーブルは、ステップS703において決定した臨時ログの収集対象となる車載装置30に対応するログ優先度テーブルである。ログ優先度テーブルの更新は、臨時ログテーブルにおけるステップS703において特定されたレコードに記載された、ログ種別403、条件種別404、エリア405、サービス406、および有効期間407をログ優先度テーブルの新たなレコードに追加するものである。ただしエリア405は、攻撃の可能性が検出されたログを収集したときの車載装置30の位置を基準として書き換えられる。また有効期間407は、攻撃の可能性が検出されたログが取得された時刻を基準として書き換えられる。このとき、追加するレコードの優先度は最優先を表す「1」とする。次にステップS705に進む。
ステップS705では、ログ優先度変更指示部103が、ステップS704において更新されたログ優先度テーブルに基づき、ログ優先度テーブル変更要求メッセージを作成する。そしてログ優先度変更指示部103が、作成したログ優先度テーブル変更要求メッセージを送信する。次にステップS706に進む。
ステップS706では、ログ変更指示部104が、ステップS704において更新されたログ優先度テーブルに基づき、車載装置30のログ収集部151の動作を変更する更新プログラムを作成する。この更新プログラムは、ログ収集部151に更新後のログ優先度テーブルに記載された全てのログ種別を収集させるものである。そしてログ変更指示部104が、作成した更新プログラムを送信する。次にステップS707に進む。
ステップS706では、ログ変更指示部104が、ステップS704において更新されたログ優先度テーブルに基づき、車載装置30のログ収集部151の動作を変更する更新プログラムを作成する。この更新プログラムは、ログ収集部151に更新後のログ優先度テーブルに記載された全てのログ種別を収集させるものである。そしてログ変更指示部104が、作成した更新プログラムを送信する。次にステップS707に進む。
ステップS707では、車載装置30から臨時ログを受信したか否かを判断し、受信したと判断する場合はステップS708に進み、受信していないと判断する場合はステップS713に進む。ステップS713ではステップS706の実行から所定の時間、たとえば30分が経過したか否かを判断する。所定の時間が経過していないと判断する場合はステップS707に戻り、所定の時間が経過したと判断する場合はステップS710に進む。一定時間どの該当車載装置からも臨時ログが送信されない場合は、ログ収集できない状況、またはログ送信できない状況であり、何らかの攻撃が発生していることが推測できるからである。
ステップS708では、受信した臨時ログをログ解析部101を用いて解析する。続くステップS709では、ステップS708の解析結果から攻撃が発生したと判断する場合はステップS710に進み、攻撃が発生していないと判断する場合は図6のフローチャートを終了する。
ステップS710では、出力部140を用いてサーバ10のオペレータに攻撃の発生を通知する。続くステップS711ではサービスの緊急停止が必要か否かを判断する。サービスの緊急停止が必要と判断する場合はステップS712に進み、不要と判断する場合は図6のフローチャートを終了する。ステップS712では、サービス指示部105を用いて車載装置30にサービスの緊急停止を指示し、図6のフローチャートを終了する。
ステップS710では、出力部140を用いてサーバ10のオペレータに攻撃の発生を通知する。続くステップS711ではサービスの緊急停止が必要か否かを判断する。サービスの緊急停止が必要と判断する場合はステップS712に進み、不要と判断する場合は図6のフローチャートを終了する。ステップS712では、サービス指示部105を用いて車載装置30にサービスの緊急停止を指示し、図6のフローチャートを終了する。
(ログ優先度テーブルの更新処理)
図7は、車載装置30によるログ優先度テーブルの更新処理を示すフローチャートである。以下に説明する各ステップの実行主体は、ログ優先度テーブル管理部152である。
ステップS800では、サーバ10からログ優先度テーブル更新要求メッセージを受信したか否かを判断する。受信したと判断する場合はステップS803に進み、受信していないと判断する場合はステップS801に進む。
図7は、車載装置30によるログ優先度テーブルの更新処理を示すフローチャートである。以下に説明する各ステップの実行主体は、ログ優先度テーブル管理部152である。
ステップS800では、サーバ10からログ優先度テーブル更新要求メッセージを受信したか否かを判断する。受信したと判断する場合はステップS803に進み、受信していないと判断する場合はステップS801に進む。
ステップS803では、受信したログ優先度テーブル更新要求メッセージにしたがって、ログ優先度テーブル格納部162に格納されたログ優先度テーブルを更新する。前述のとおり、ログ優先度テーブル更新要求メッセージには書き換え後のログ優先度テーブルの全体の内容が含まれるため、本ステップにおける更新とはログ優先度テーブルの置き換えを意味する。次にステップS809に進む。
ステップS800においてメッセージを受信していないと判断された場合に実行されるステップS801において、前回のステップS805の実行から一定時間、たとえば5分間が経過したか否かを判断する。経過していると判断する場合はステップS805に進み、経過していないと判断する場合はステップS800に戻る。
ステップS800においてメッセージを受信していないと判断された場合に実行されるステップS801において、前回のステップS805の実行から一定時間、たとえば5分間が経過したか否かを判断する。経過していると判断する場合はステップS805に進み、経過していないと判断する場合はステップS800に戻る。
ステップS805では、ログ優先度テーブル格納部162に格納されているログ優先度テーブルにおいて、モード203のフィールドが「臨時」であるレコードが存在するか否かを判断する。該当するレコードが存在すると判断する場合はステップS806に進み、該当するレコードが存在しないと判断する場合はステップS801に戻る。
ステップS806では、ログ優先度テーブルのモード203のフィールドが「臨時」であるレコードについて、有効時間が経過済みであるレコードを削除する。たとえば現在時刻が2016年1月1日の10時45分であり、ログ優先度テーブルが図2に示すものである場合は、モード203のフィールドが「臨時」である3つのレコードのうち、上の2つのレコードが削除される。これらのレコードは有効時間が経過済みであり、残る1つのレコードは有効時間の経過前だからである。次にステップS809に進む。
ステップS809では、CPU150は、出力部190を用いてユーザへ状況通知、すなわちログ優先度テーブルが書き換えられた旨を通知し、ステップS801に戻る。
ステップS809では、CPU150は、出力部190を用いてユーザへ状況通知、すなわちログ優先度テーブルが書き換えられた旨を通知し、ステップS801に戻る。
(ログを収集するプログラムの更新処理)
図8は、車載装置30がログ収集部として機能するプログラムを更新するプログラム更新処理を示すフローチャートである。以下に説明する各ステップの実行主体は、車載装置30のプログラム更新部153である。車載装置30はサーバ30から更新プログラムを受信するとプログラム更新処理を実行する。なおこの更新プログラムは、図6のステップS706においてサーバから送信されたものである。
図8は、車載装置30がログ収集部として機能するプログラムを更新するプログラム更新処理を示すフローチャートである。以下に説明する各ステップの実行主体は、車載装置30のプログラム更新部153である。車載装置30はサーバ30から更新プログラムを受信するとプログラム更新処理を実行する。なおこの更新プログラムは、図6のステップS706においてサーバから送信されたものである。
ステップS901では、プログラム更新が可能な状況であるか否かを判断する。プログラム更新が可能な状況とは、たとえば車載装置30を搭載している車両が停止している状況である。更新可能な状況であると判断する場合はステップS902に進み、更新可能な状況ではないと判断する場合はステップS901に留まる。
ステップS902では、更新プログラムを用いてプログラムを更新する。プログラムの更新は、プログラム全体の置き換えであってもよいし、プログラムの一部変更、いわゆるパッチの適用でもよい。続くステップS903では、プログラムを起動してログ収集部151を動作させてログ収集を開始する。以上で図8のフローチャートによる処理を終了する。
ステップS902では、更新プログラムを用いてプログラムを更新する。プログラムの更新は、プログラム全体の置き換えであってもよいし、プログラムの一部変更、いわゆるパッチの適用でもよい。続くステップS903では、プログラムを起動してログ収集部151を動作させてログ収集を開始する。以上で図8のフローチャートによる処理を終了する。
上述した実施の形態によれば、次の作用効果が得られる。
(1)サーバ10とネットワーク20により接続され車両に搭載される車載装置30であって、ログを収集するログ収集部151と、ログの少なくとも一部を蓄積するためのログ格納部163と、ログ格納部163に蓄積されるログの優先度を示すログ優先度情報が格納されたログ優先度情報格納部162と、ログ優先度情報に基づきログ格納部163に蓄積するログを決定する蓄積ログ決定部(図5のステップS605~S607)と、ログ格納部163に蓄積されたログをサーバ10に送信する通信部170と、サーバ10からの更新指令に基づきログ優先度情報格納部162に格納されたログ優先度情報を更新するログ優先度テーブル管理部152と、を備える。
車載装置30をこのように構成したので、サーバ10からの指令に基づき、ログの優先度を変更することができる。したがって、車載装置のおかれた状況に応じて適切なログを収集することができる。さらにこのログをサーバ10が解析することにより実際に攻撃が発生していることを判断できる。
(1)サーバ10とネットワーク20により接続され車両に搭載される車載装置30であって、ログを収集するログ収集部151と、ログの少なくとも一部を蓄積するためのログ格納部163と、ログ格納部163に蓄積されるログの優先度を示すログ優先度情報が格納されたログ優先度情報格納部162と、ログ優先度情報に基づきログ格納部163に蓄積するログを決定する蓄積ログ決定部(図5のステップS605~S607)と、ログ格納部163に蓄積されたログをサーバ10に送信する通信部170と、サーバ10からの更新指令に基づきログ優先度情報格納部162に格納されたログ優先度情報を更新するログ優先度テーブル管理部152と、を備える。
車載装置30をこのように構成したので、サーバ10からの指令に基づき、ログの優先度を変更することができる。したがって、車載装置のおかれた状況に応じて適切なログを収集することができる。さらにこのログをサーバ10が解析することにより実際に攻撃が発生していることを判断できる。
(2)車載装置30は、ログ収集部151が収集するログの内容を示すログ情報が格納されたログ情報格納部161と、ログ情報格納部に格納されたログ情報を更新するプログラム更新部153とを備える。
そのため、サーバ10が攻撃の可能性を検出した場合に、従前は収集していなかった情報を収集することができ
そのため、サーバ10が攻撃の可能性を検出した場合に、従前は収集していなかった情報を収集することができ
(3)ログ収集部151は、ログ情報が組み込まれたログ取得プログラムであり、プログラム更新部153は、ログ取得プログラムを書き換えることによりログ情報を更新する。
そのためログ収集部151は、ログとして収集する情報を示す情報を外部から読み込む必要がないので、高速に動作することができる。
そのためログ収集部151は、ログとして収集する情報を示す情報を外部から読み込む必要がないので、高速に動作することができる。
(4)車載装置30は、車両1の乗員へ提供するサービスを制御するサービス制御部154を備える。サービス制御部154は、サーバ10からの指令に基づきサービスを停止する。そのため、攻撃の影響を受けるサービスをサーバ10からの指令に基づき停止させることができる。
(5)ログ優先度情報は、有効時間および有効エリアの少なくとも一方に関する条件を含む。蓄積ログ決定部(図5のステップS605~S607)は、ログが収集されたときの時刻および車載装置の位置の少なくとも一方が、ログ優先度情報における条件に合致する場合に、ログ優先度情報を有効とみなしてログ格納部163に蓄積するログを決定する。
そのため、ログ収集部151が車載装置30の状態に応じてログの優先度を判断することができる。これは、車載装置30の位置がエリア205に格納された条件を満たすか否かの判断を行う場合や、ログ優先度テーブル管理部152により有効時間が経過したレコードが削除される前にログ収集部151がログ優先度テーブルを参照する場合に有効である。
そのため、ログ収集部151が車載装置30の状態に応じてログの優先度を判断することができる。これは、車載装置30の位置がエリア205に格納された条件を満たすか否かの判断を行う場合や、ログ優先度テーブル管理部152により有効時間が経過したレコードが削除される前にログ収集部151がログ優先度テーブルを参照する場合に有効である。
(6)ログ収集システム1は、車載装置30、および車載装置30とネットワーク20により接続されるサーバ10から構成される。サーバ10は、車載装置30から受信したログを解析し攻撃の可能性を検知するログ解析部101と、ログ解析部101が攻撃の可能性を検知すると、車載装置30に更新指令を送信して、ログ優先度情報格納部162に格納されたログ優先度情報を更新させるログ優先度変更指示部103と、を備える。
そのためログ収集システム1は、車載装置30が送信したログからサーバ10が攻撃の可能性を検知すると、車載装置30に蓄積させるログの優先度を変更させることができる。
そのためログ収集システム1は、車載装置30が送信したログからサーバ10が攻撃の可能性を検知すると、車載装置30に蓄積させるログの優先度を変更させることができる。
(7)車載装置30は、ログ収集部151が収集するログの内容を示すログ情報が格納されたログ情報格納部161を備える。サーバ10は、ログ情報格納部161に格納されたログ情報を更新させるログ変更指示部104を備える。
そのためサーバ10は、車載装置30が収集するログの内容を変更させることができる。これにより、サーバ10が攻撃の可能性を検出した際に、車載装置30に詳細なログを収集させることができる。
そのためサーバ10は、車載装置30が収集するログの内容を変更させることができる。これにより、サーバ10が攻撃の可能性を検出した際に、車載装置30に詳細なログを収集させることができる。
(8)ログ優先度変更指示部103は、攻撃の可能性が検知されたログを送信した車載装置30に加えて、当該車載装置と同一機種であること、および攻撃の可能性が検知されたログが取得された位置から所定距離以内に存在すること、の少なくとも一方の条件を満たす他の車載装置30にも更新指令を出力する。
そのため、サーバ10は攻撃を受けている可能性が高い複数の他の車載装置30からも、攻撃が発生したことの判断に用いるログを収集することができる。特定の1台の車載装置30のログだけに基づいて攻撃が発生したと判断することは困難、もしくは過検出となる可能性が高いので、サーバ10は複数の車載装置30のログを用いて総合的に判断することができる。
そのため、サーバ10は攻撃を受けている可能性が高い複数の他の車載装置30からも、攻撃が発生したことの判断に用いるログを収集することができる。特定の1台の車載装置30のログだけに基づいて攻撃が発生したと判断することは困難、もしくは過検出となる可能性が高いので、サーバ10は複数の車載装置30のログを用いて総合的に判断することができる。
(9)車載装置30は、車両の乗員へ提供するサービスを制御するサービス制御部154を備える。サーバ10は、ログ解析部101が攻撃を検知すると、車載装置30にサービスの停止指令を出力するサービス指示部110を備える。
そのため車載装置30は、攻撃の影響を受けるサービスをサーバ10からの指令に基づき停止させることができる。
そのため車載装置30は、攻撃の影響を受けるサービスをサーバ10からの指令に基づき停止させることができる。
(10)ログ優先度情報は、有効時間および有効エリアの少なくとも一方に関する条件を含む。ログ優先度変更指示部103は、ログ解析部101により攻撃の可能性が検知されたログを車載装置30が収集したときの時刻および位置の少なくとも一方に基づいて、更新後のログ優先度情報における有効時間および有効エリアの少なくとも一方を決定する。
そのためログ収集システム1は、攻撃の可能性が検知されたログが収集された時刻および位置の少なくとも一方に基づいて臨時ログを収集し、実際に攻撃が発生していることを判断することができる。
そのためログ収集システム1は、攻撃の可能性が検知されたログが収集された時刻および位置の少なくとも一方に基づいて臨時ログを収集し、実際に攻撃が発生していることを判断することができる。
上述した実施の形態は、以下のように変形してもよい。
(変形例1)
サーバ10は、ログ優先度テーブルを部分的に更新させるログ優先度テーブル変更要求メッセージを作成してもよい。この場合は、ログ優先度テーブル変更要求メッセージには、削除対象となる既存のレコードを示す情報と、追加されるレコードの内容を示す情報が含まれる。この変形例1によれば、ログ優先度テーブル変更要求メッセージのデータ容量を削減することができる。
(変形例1)
サーバ10は、ログ優先度テーブルを部分的に更新させるログ優先度テーブル変更要求メッセージを作成してもよい。この場合は、ログ優先度テーブル変更要求メッセージには、削除対象となる既存のレコードを示す情報と、追加されるレコードの内容を示す情報が含まれる。この変形例1によれば、ログ優先度テーブル変更要求メッセージのデータ容量を削減することができる。
(変形例2)
サーバ10のオペレータが新たな攻撃手法に関する知見を得て、その攻撃の可能性を検知できるようにログテーブルやログ優先度テーブルを書き換え、ログ優先度変更指示部103やログ変更指示部104を用いてこれらを車載装置30に送信してもよい。この変形例2によれば、車載装置30の出荷後に明らかになった攻撃手法へも対処することができる。ただし書き換えるのは、ログテーブルおよびログ優先度テーブルの一方だけでもよい。
サーバ10のオペレータが新たな攻撃手法に関する知見を得て、その攻撃の可能性を検知できるようにログテーブルやログ優先度テーブルを書き換え、ログ優先度変更指示部103やログ変更指示部104を用いてこれらを車載装置30に送信してもよい。この変形例2によれば、車載装置30の出荷後に明らかになった攻撃手法へも対処することができる。ただし書き換えるのは、ログテーブルおよびログ優先度テーブルの一方だけでもよい。
(変形例3)
サーバ10は、車載装置30に新たなサービスを実行するプログラムを送信し、車載装置30にそのサービスを実行させてもよい。その場合は、車載装置30のログテーブル、ログ優先度テーブル、および臨時ログテーブルにそのサービスに関する情報が追加される。
サーバ10は、車載装置30に新たなサービスを実行するプログラムを送信し、車載装置30にそのサービスを実行させてもよい。その場合は、車載装置30のログテーブル、ログ優先度テーブル、および臨時ログテーブルにそのサービスに関する情報が追加される。
たとえば、車載装置30が収集した走行距離等の車両情報に基づき、サーバ10からユーザに部品交換時期や点検を紹介するメッセージが配信されるリモートメンテナンスサービスが追加される場合は、以下の問題が考えられる。すなわち、サーバ10を管理しているサービス提供者以外がサーバ10になりすまして車載装置30にメッセージを送信し、ユーザが希望しない広告や虚偽の情報が車載装置30に表示される恐れがある。そこでこのサービスを追加する際に、メッセージの受信時刻、およびメッセージの送信元を収集するようにログテーブルを変更する。このとき、これらの条件種別204のフィールドには「常時」が入力される。
なお、事前に提供されていたサービスの機能が拡張され、新たにログを収集する必要が発生した場合にも同様にテーブル、ログ優先度テーブル、および臨時ログテーブルを修正することで対応できる。
なお、事前に提供されていたサービスの機能が拡張され、新たにログを収集する必要が発生した場合にも同様にテーブル、ログ優先度テーブル、および臨時ログテーブルを修正することで対応できる。
(変形例4)
実施の形態ではログ解析部101が臨時ログを解析し、攻撃が実際に発生していることを検出すると車載装置30にサービスを停止させた(図6、ステップS712)。しかし、ログ解析部101が攻撃発生の可能性があると判断した際に車載装置30にサービスを停止させてもよい。この変形例4によれば、攻撃によるサービスへの悪影響をさらに低減することができる。
実施の形態ではログ解析部101が臨時ログを解析し、攻撃が実際に発生していることを検出すると車載装置30にサービスを停止させた(図6、ステップS712)。しかし、ログ解析部101が攻撃発生の可能性があると判断した際に車載装置30にサービスを停止させてもよい。この変形例4によれば、攻撃によるサービスへの悪影響をさらに低減することができる。
(変形例5)
実施の形態では、臨時ログの解析後に攻撃発生と判断した場合に、オペレータへの通知を行っているが、以下のように変更してもよい。すなわち、はじめに攻撃発生の可能性があると判断した場合にもオペレータに通知し、オペレータが変更後のログテーブルおよびログ優先度テーブルを確認した上で、ログ優先度テーブル変更要求メッセージを送信してもよい。
実施の形態では、臨時ログの解析後に攻撃発生と判断した場合に、オペレータへの通知を行っているが、以下のように変更してもよい。すなわち、はじめに攻撃発生の可能性があると判断した場合にもオペレータに通知し、オペレータが変更後のログテーブルおよびログ優先度テーブルを確認した上で、ログ優先度テーブル変更要求メッセージを送信してもよい。
(変形例6)
実施の形態では、車載装置30からログを収集するとログの解析を開始したが、以下のような場合にログを解析してもよい。たとえば、一定の時間が経過した場合、一定量以上のログが蓄積した場合、一定台数以上の車載装置30のログを収集した場合、または入力部130を用いたオペレータからの解析開始指令を受けた場合にログを解析してもよい。
実施の形態では、車載装置30からログを収集するとログの解析を開始したが、以下のような場合にログを解析してもよい。たとえば、一定の時間が経過した場合、一定量以上のログが蓄積した場合、一定台数以上の車載装置30のログを収集した場合、または入力部130を用いたオペレータからの解析開始指令を受けた場合にログを解析してもよい。
(変形例7)
車載装置30は、ログを収集した際にログの送信可否を優先的に判断してもよい。すなわち、図6においてステップS601の実行後にステップS604に進み、ステップS604において否定判断された場合にステップS602に進んでもよい。この場合は、ステップS603において否定判断されるとステップS605に進む。この変形例7によれば、サーバ10と通信が可能な場合にログをマージする必要がない。
車載装置30は、ログを収集した際にログの送信可否を優先的に判断してもよい。すなわち、図6においてステップS601の実行後にステップS604に進み、ステップS604において否定判断された場合にステップS602に進んでもよい。この場合は、ステップS603において否定判断されるとステップS605に進む。この変形例7によれば、サーバ10と通信が可能な場合にログをマージする必要がない。
(変形例8)
車載装置30のログ収集部151は、ログとして収集する情報を示す情報を外部から読み込んでもよい。すなわち、ログとして収集する情報を示す情報がプログラムにハードコーディングされていなくてもよい。この場合は、メモリ160にログテーブル格納部161が格納され、ログ収集部151はログテーブル格納部161に格納されたログテーブルを参照してログを収集する。
この変形例8によれば、ログ収集部151がログとして収集する情報を容易に変更することができる。
車載装置30のログ収集部151は、ログとして収集する情報を示す情報を外部から読み込んでもよい。すなわち、ログとして収集する情報を示す情報がプログラムにハードコーディングされていなくてもよい。この場合は、メモリ160にログテーブル格納部161が格納され、ログ収集部151はログテーブル格納部161に格納されたログテーブルを参照してログを収集する。
この変形例8によれば、ログ収集部151がログとして収集する情報を容易に変更することができる。
(変形例9)
サーバ10は、ログ優先度テーブルを変更する対象を特定する情報をログ優先度テーブル変更要求メッセージに含め、ログ優先度テーブル変更要求メッセージをログ優先度テーブルを変更する対象以外にも送信してもよい。この場合は、ログ優先度テーブル変更要求メッセージを受信した車載装置30が、当該車載装置30がログ優先度テーブル変更要求メッセージの適用対象であるか否かを判断する。
この変形例9によれば、送信対象を特定せずにログ優先度テーブル変更要求メッセージを送信できるので、サーバ10の送信先の決定が容易である。
サーバ10は、ログ優先度テーブルを変更する対象を特定する情報をログ優先度テーブル変更要求メッセージに含め、ログ優先度テーブル変更要求メッセージをログ優先度テーブルを変更する対象以外にも送信してもよい。この場合は、ログ優先度テーブル変更要求メッセージを受信した車載装置30が、当該車載装置30がログ優先度テーブル変更要求メッセージの適用対象であるか否かを判断する。
この変形例9によれば、送信対象を特定せずにログ優先度テーブル変更要求メッセージを送信できるので、サーバ10の送信先の決定が容易である。
(変形例10)
実施の形態では、サーバ10に複数の車載装置30が接続されるとしたが、サーバ10に接続される車載装置30は一台だけでもよい。
実施の形態では、サーバ10に複数の車載装置30が接続されるとしたが、サーバ10に接続される車載装置30は一台だけでもよい。
(変形例11)
実施の形態では、ログ優先度テーブルが更新される場合(図6のステップS702:YESの場合)には、車載装置30のログ収集部151の動作を変更する更新プログラムが作成され送信された(図6のステップS706)。しかし、更新後のログ優先度テーブルに記載されるログ種別が既存のログ収集部151において全て収集される場合には、更新プログラムの作成および送信を省略してもよい。
実施の形態では、ログ優先度テーブルが更新される場合(図6のステップS702:YESの場合)には、車載装置30のログ収集部151の動作を変更する更新プログラムが作成され送信された(図6のステップS706)。しかし、更新後のログ優先度テーブルに記載されるログ種別が既存のログ収集部151において全て収集される場合には、更新プログラムの作成および送信を省略してもよい。
上述した実施の形態および変形例は、それぞれ組み合わせてもよい。
上記では、種々の実施の形態および変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。
上記では、種々の実施の形態および変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。
次の優先権基礎出願の開示内容は引用文としてここに組み込まれる。
日本国特許出願2016年第164804号(2016年8月25日出願)
日本国特許出願2016年第164804号(2016年8月25日出願)
1 … ログ収集システム
10 … サーバ
20 … ネットワーク
30 … サーバ
30 … 車載装置
101 … ログ解析部
102 … 臨時ログ情報作成部
103 … ログ優先度変更指示部
104 … ログ変更指示部
105 … サービス指示部
110 … サービス停止指令部
110 … メモリ
111 … 収集ログ格納部
112 … ログテーブル集格納部
113 … ログ優先度テーブル集格納部
114 … 臨時ログテーブル格納部
120 … サーバ通信部
151 … ログ収集部
152 … ログ優先度テーブル管理部
153 … プログラム更新部
154 … サービス制御部
160 … メモリ
161 … ログテーブル格納部
162 … ログ優先度テーブル格納部
163 … ログ格納部
164 … 車載装置情報格納部
165 … 更新プログラム格納部
170 … 車載通信部
10 … サーバ
20 … ネットワーク
30 … サーバ
30 … 車載装置
101 … ログ解析部
102 … 臨時ログ情報作成部
103 … ログ優先度変更指示部
104 … ログ変更指示部
105 … サービス指示部
110 … サービス停止指令部
110 … メモリ
111 … 収集ログ格納部
112 … ログテーブル集格納部
113 … ログ優先度テーブル集格納部
114 … 臨時ログテーブル格納部
120 … サーバ通信部
151 … ログ収集部
152 … ログ優先度テーブル管理部
153 … プログラム更新部
154 … サービス制御部
160 … メモリ
161 … ログテーブル格納部
162 … ログ優先度テーブル格納部
163 … ログ格納部
164 … 車載装置情報格納部
165 … 更新プログラム格納部
170 … 車載通信部
Claims (10)
- サーバとネットワークにより接続され車両に搭載される車載装置であって、
ログを収集するログ収集部と、
前記ログの少なくとも一部を蓄積するためのログ格納部と、
前記ログ格納部に蓄積されるログの優先度を示すログ優先度情報が格納されたログ優先度情報格納部と、
前記ログ優先度情報に基づき前記ログ格納部に蓄積するログを決定する蓄積ログ決定部と、
前記ログ格納部に蓄積されたログを前記サーバに送信する通信部と、
前記サーバからの更新指令に基づき前記ログ優先度情報格納部に格納された前記ログ優先度情報を更新するログ優先度テーブル管理部と、を備える車載装置。 - 請求項1に記載の車載装置において、
前記ログ収集部が収集する前記ログの内容を示すログ情報が格納されたログ情報格納部と、
前記ログ情報格納部に格納された前記ログ情報を更新する更新部と、をさらに備える車載装置。 - 請求項2に記載の車載装置において、
前記ログ収集部は、前記ログ情報が組み込まれたログ取得プログラムであり、
前記更新部は、前記ログ取得プログラムを書き換えることにより前記ログ情報を更新する車載装置。 - 請求項1に記載の車載装置において、
前記車両の乗員へ提供するサービスを制御するサービス制御部をさらに備え、
前記サービス制御部は、前記サーバからの指令に基づき前記サービスを停止する車載装置。 - 請求項1に記載の車載装置において、
前記ログ優先度情報は、有効時間および有効エリアの少なくとも一方に関する条件を含み、
前記蓄積ログ決定部は、前記ログが収集されたときの時刻および前記車載装置の位置の少なくとも一方が、前記ログ優先度情報における前記条件に合致する場合に、前記ログ優先度情報を有効とみなして前記ログ格納部に蓄積するログを決定する車載装置。 - 請求項1に記載の車載装置、および前記車載装置と前記ネットワークにより接続される前記サーバから構成されるログ収集システムであって、
前記サーバは、
前記車載装置から受信したログを解析し攻撃の可能性を検知するログ解析部と、
前記ログ解析部が攻撃の可能性を検知すると、前記車載装置に前記更新指令を送信して、前記ログ優先度情報格納部に格納された前記ログ優先度情報を更新させるログ優先度変更指示部と、を備えるログ収集システム。 - 請求項6に記載のログ収集システムにおいて、
前記車載装置は、前記ログ収集部が収集する前記ログの内容を示すログ情報が格納されたログ情報格納部をさらに備え、
前記サーバは、前記ログ情報格納部に格納された前記ログ情報を更新させるログ変更指示部をさらに備えるログ収集システム。 - 請求項6に記載のログ収集システムにおいて、
前記ログ優先度変更指示部は、攻撃の可能性が検知されたログを送信した前記車載装置に加えて、
当該車載装置と同一機種であること、および前記攻撃の可能性が検知されたログが取得された位置から所定距離以内に存在すること、の少なくとも一方の条件を満たす他の車載装置にも前記更新指令を出力するログ収集システム。 - 請求項6に記載のログ収集システムにおいて、
前記車載装置は、前記車両の乗員へ提供するサービスを制御するサービス制御部をさらに備え、
前記サーバは、前記ログ解析部が前記攻撃を検知すると、前記車載装置に前記サービスの停止指令を出力するサービス指示部をさらに備えるログ収集システム。 - 請求項6に記載のログ収集システムにおいて、
前記ログ優先度情報は、有効時間および有効エリアの少なくとも一方に関する条件を含み、
前記ログ優先度変更指示部は、前記ログ解析部により前記攻撃の可能性が検知されたログを前記車載装置が収集したときの時刻および位置の少なくとも一方に基づいて、更新後の前記ログ優先度情報における前記有効時間および前記有効エリアの少なくとも一方を決定するログ収集システム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/326,938 US11115425B2 (en) | 2016-08-25 | 2017-06-27 | In-vehicle apparatus and log collection system |
EP17843196.1A EP3506103B1 (en) | 2016-08-25 | 2017-06-27 | In-vehicle apparatus and log collection system |
CN201780051017.1A CN109643268B (zh) | 2016-08-25 | 2017-06-27 | 车载装置、日志收集系统 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016-164804 | 2016-08-25 | ||
JP2016164804A JP6701030B2 (ja) | 2016-08-25 | 2016-08-25 | 車載装置、ログ収集システム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2018037708A1 true WO2018037708A1 (ja) | 2018-03-01 |
Family
ID=61246571
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2017/023616 WO2018037708A1 (ja) | 2016-08-25 | 2017-06-27 | 車載装置、ログ収集システム |
Country Status (5)
Country | Link |
---|---|
US (1) | US11115425B2 (ja) |
EP (1) | EP3506103B1 (ja) |
JP (1) | JP6701030B2 (ja) |
CN (1) | CN109643268B (ja) |
WO (1) | WO2018037708A1 (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020090146A1 (ja) * | 2018-01-12 | 2020-05-07 | パナソニックIpマネジメント株式会社 | 車両用システム及び制御方法 |
CN111277624A (zh) * | 2018-12-04 | 2020-06-12 | 丰田自动车株式会社 | 车载器以及车辆信息收集系统 |
JP2020173535A (ja) * | 2019-04-09 | 2020-10-22 | 住友電気工業株式会社 | 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム |
WO2021144860A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両ログ保存装置、車両ログ送信装置、車両ログ収集システムおよび車両ログ保存方法 |
EP3842974A4 (en) * | 2018-10-17 | 2021-11-17 | Panasonic Intellectual Property Corporation of America | INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING PROCESS AND PROGRAM |
EP3889783A4 (en) * | 2018-11-30 | 2022-01-26 | Panasonic Intellectual Property Corporation of America | DEVICE FOR TRANSMITTING A VEHICLE LOG, SYSTEM FOR ANALYZING A VEHICLE LOG AND METHOD FOR TRANSMITTING/RECEIVING A VEHICLE LOG |
JP2022034019A (ja) * | 2018-08-10 | 2022-03-02 | 株式会社デンソー | 車両情報通信システム,センター装置、メッセージ送信方法及びコンピュータプログラム |
DE112018007622B4 (de) | 2018-06-18 | 2022-11-24 | Mitsubishi Electric Corporation | Informationssammelvorrichtung, Servervorrichtung und Informationssammelverfahren |
EP4135261A1 (en) * | 2018-10-17 | 2023-02-15 | Panasonic Intellectual Property Corporation of America | Information processing device, information processing method, and program |
JP7533229B2 (ja) | 2021-01-07 | 2024-08-14 | トヨタ自動車株式会社 | 方法、サーバ、及びプログラム |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019061458A (ja) * | 2017-09-26 | 2019-04-18 | 京セラドキュメントソリューションズ株式会社 | 電子機器およびログアプリケーション |
JP7147337B2 (ja) * | 2018-07-31 | 2022-10-05 | 株式会社リコー | 通信制御システム、通信制御方法およびプログラム |
JP7276347B2 (ja) * | 2018-09-26 | 2023-05-18 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
US11528325B2 (en) * | 2018-10-11 | 2022-12-13 | Nippon Telegraph And Telephone Corporation | Prioritizing data using rules for transmission over network |
JP7056752B2 (ja) * | 2018-10-11 | 2022-04-19 | 日本電信電話株式会社 | 分析装置、分析システム、分析方法及びプログラム |
JP7229783B2 (ja) * | 2019-01-10 | 2023-02-28 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車載型情報処理装置、車両情報通信システム、情報処理方法およびプログラム |
JP7139257B2 (ja) * | 2019-01-21 | 2022-09-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 車両セキュリティ監視装置、方法及びプログラム |
KR102291703B1 (ko) * | 2019-08-01 | 2021-08-19 | 주식회사 엘지유플러스 | 차량 앱의 로그 수집을 위한 차량 서비스 장치의 동작 방법 및 그 장치 |
JP7293975B2 (ja) * | 2019-08-20 | 2023-06-20 | 株式会社リコー | 情報処理装置、情報処理方法、及びプログラム |
US11157373B2 (en) * | 2019-11-04 | 2021-10-26 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Prioritized transfer of failure event log data |
JP7359002B2 (ja) * | 2020-01-23 | 2023-10-11 | 株式会社デンソー | サイバー攻撃分析支援装置 |
JP7392586B2 (ja) | 2020-06-17 | 2023-12-06 | 株式会社デンソー | ログ送信制御装置 |
JP7439668B2 (ja) | 2020-07-13 | 2024-02-28 | 株式会社デンソー | ログ送信制御装置 |
JP7419998B2 (ja) * | 2020-07-14 | 2024-01-23 | 株式会社デンソー | ログ管理装置及びセンタ装置 |
JP7439669B2 (ja) | 2020-07-14 | 2024-02-28 | 株式会社デンソー | ログ分析装置 |
JP7392598B2 (ja) * | 2020-07-14 | 2023-12-06 | 株式会社デンソー | ログ管理装置及びセキュリティ攻撃検知・分析システム |
KR102330151B1 (ko) * | 2020-08-24 | 2021-11-23 | 주식회사 긴트 | 농기계에 대하여 원격으로 시동을 온/오프 제어하기 위한 방법 및 장치 |
WO2022091754A1 (ja) * | 2020-10-29 | 2022-05-05 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理装置の制御方法及びプログラム |
CN112527612B (zh) * | 2020-11-06 | 2024-01-02 | 北京罗克维尔斯科技有限公司 | 系统日志保全方法、装置、车载系统以及车辆 |
JP7537382B2 (ja) * | 2021-06-30 | 2024-08-21 | 株式会社デンソー | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム |
JP2023149712A (ja) | 2022-03-31 | 2023-10-13 | パナソニックIpマネジメント株式会社 | 車載装置およびログ管理方法 |
EP4307609A1 (en) * | 2022-07-14 | 2024-01-17 | Argus Cyber Security Ltd | System and method for decentralized intrusion detection system |
CN115333800A (zh) * | 2022-07-27 | 2022-11-11 | 中国第一汽车股份有限公司 | 一种车载车云一体化日志采集分析方法、车辆和云服务器 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012221031A (ja) * | 2011-04-05 | 2012-11-12 | Toyota Motor Corp | 車両データ取得装置及び車両データ取得方法 |
JP2012252606A (ja) * | 2011-06-03 | 2012-12-20 | Sharp Corp | 携帯端末装置、ログ収集システム、ログ収集方法およびプログラム |
JP2016099925A (ja) * | 2014-11-26 | 2016-05-30 | Necプラットフォームズ株式会社 | 情報処理装置、ログ格納方法、及びコンピュータ・プログラム |
JP2016126645A (ja) * | 2015-01-07 | 2016-07-11 | 株式会社デンソーウェーブ | 電力供給装置、及びログ保存用プログラム |
JP2016224480A (ja) * | 2015-05-26 | 2016-12-28 | 株式会社日立製作所 | 情報収集システムおよび方法 |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001253320A (ja) * | 2000-03-13 | 2001-09-18 | Honda Motor Co Ltd | 車両監視システム |
JP4033051B2 (ja) | 2003-06-18 | 2008-01-16 | 富士ゼロックス株式会社 | 移動体情報送信方法および装置並びにプログラム |
TWI251157B (en) * | 2003-06-20 | 2006-03-11 | Hon Hai Prec Ind Co Ltd | Event logging system and method |
US8799324B2 (en) * | 2004-01-16 | 2014-08-05 | Verizon Patent And Licensing Inc. | Method and system for mobile telemetry device prioritized messaging |
US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US20070147262A1 (en) * | 2005-12-22 | 2007-06-28 | Jeffrey Aaron | Methods, communication networks, and computer program products for storing and/or logging traffic associated with a network element based on whether the network element can be trusted |
JP4270301B2 (ja) * | 2007-04-13 | 2009-05-27 | 株式会社デンソー | 車載データ収集装置と通信するセンタ |
US20090018780A1 (en) * | 2007-04-26 | 2009-01-15 | Yoganand John Sookhu | Hazardous Substance Release Notification System |
CL2008002040A1 (es) * | 2007-07-13 | 2009-06-12 | Acumine Pty Ltd | Metodo y sistema para reforzar la seguridad de una region que incluye definir un conjunto reglas modificables para la region, reunir datos de terreno desde una cantidad de estaciones moviles, y comparar los datos de terreno con el conjunto de reglas para identificar una o mas areas de riesgo potencial dentro de la region. |
JP2009151685A (ja) * | 2007-12-21 | 2009-07-09 | Fujitsu Ltd | ディスクアレイ装置管理システム、ディスクアレイ装置、ディスクアレイ装置の制御方法および管理サーバ |
US8452481B2 (en) * | 2008-02-29 | 2013-05-28 | Autonetworks Technologies, Ltd. | Vehicle information recording apparatus, vehicle information communication system and vehicle information communication method |
CN101571827A (zh) * | 2008-04-30 | 2009-11-04 | 国际商业机器公司 | 保存日志的方法和日志系统 |
US10027711B2 (en) * | 2009-11-20 | 2018-07-17 | Alert Enterprise, Inc. | Situational intelligence |
JP5798332B2 (ja) * | 2011-02-10 | 2015-10-21 | トヨタ自動車株式会社 | 車両情報取得システム及び車両情報取得方法 |
US9081653B2 (en) * | 2011-11-16 | 2015-07-14 | Flextronics Ap, Llc | Duplicated processing in vehicles |
CN104169987A (zh) * | 2012-03-22 | 2014-11-26 | 日立汽车系统株式会社 | 车辆用通信装置以及通信管理系统 |
CN102724279B (zh) * | 2012-05-15 | 2014-12-31 | 北京首钢自动化信息技术有限公司 | 一种实现日志保存和管理的系统 |
JP5978767B2 (ja) * | 2012-05-25 | 2016-08-24 | 日本電気株式会社 | ログ管理装置、ログ管理方法、及びログ管理プログラム |
CN102780777B (zh) * | 2012-07-19 | 2015-04-08 | 北京蓝汛通信技术有限责任公司 | 一种日志收集方法及系统 |
JP5873832B2 (ja) * | 2013-04-24 | 2016-03-01 | 京セラドキュメントソリューションズ株式会社 | 電子機器 |
US9262787B2 (en) * | 2013-10-18 | 2016-02-16 | State Farm Mutual Automobile Insurance Company | Assessing risk using vehicle environment information |
JP2015106853A (ja) * | 2013-11-29 | 2015-06-08 | キヤノンマーケティングジャパン株式会社 | 画像形成装置、画像形成装置の制御方法、およびプログラム。 |
EP2940671A1 (fr) * | 2014-04-28 | 2015-11-04 | OpenTV, Inc. | Système et méthode pour détecter des conditions accidentogènes avec une voiture |
US10223479B1 (en) * | 2014-05-20 | 2019-03-05 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operation feature evaluation |
KR101593171B1 (ko) * | 2014-05-30 | 2016-02-15 | 한국전자통신연구원 | 차량 정보 유출 방지 장치 및 그 방법 |
CN104023083B (zh) * | 2014-06-23 | 2017-12-12 | 广东睿江云计算股份有限公司 | 日志收集集群负载均衡的方法及装置 |
US9703955B2 (en) * | 2014-07-17 | 2017-07-11 | VisualThreat Inc. | System and method for detecting OBD-II CAN BUS message attacks |
US9428195B1 (en) * | 2014-07-24 | 2016-08-30 | Lytx, Inc. | Back-end event risk assessment with historical coaching profiles |
KR20160071166A (ko) * | 2014-12-11 | 2016-06-21 | 현대자동차주식회사 | 복수의 수집정책 처리 장치 및 그 방법 |
WO2016125111A1 (en) * | 2015-02-05 | 2016-08-11 | Mohite Sumedh Hiraji | Systems and methods for monitoring and controlling vehicles |
US10275955B2 (en) * | 2016-03-25 | 2019-04-30 | Qualcomm Incorporated | Methods and systems for utilizing information collected from multiple sensors to protect a vehicle from malware and attacks |
-
2016
- 2016-08-25 JP JP2016164804A patent/JP6701030B2/ja active Active
-
2017
- 2017-06-27 US US16/326,938 patent/US11115425B2/en active Active
- 2017-06-27 CN CN201780051017.1A patent/CN109643268B/zh active Active
- 2017-06-27 EP EP17843196.1A patent/EP3506103B1/en active Active
- 2017-06-27 WO PCT/JP2017/023616 patent/WO2018037708A1/ja unknown
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012221031A (ja) * | 2011-04-05 | 2012-11-12 | Toyota Motor Corp | 車両データ取得装置及び車両データ取得方法 |
JP2012252606A (ja) * | 2011-06-03 | 2012-12-20 | Sharp Corp | 携帯端末装置、ログ収集システム、ログ収集方法およびプログラム |
JP2016099925A (ja) * | 2014-11-26 | 2016-05-30 | Necプラットフォームズ株式会社 | 情報処理装置、ログ格納方法、及びコンピュータ・プログラム |
JP2016126645A (ja) * | 2015-01-07 | 2016-07-11 | 株式会社デンソーウェーブ | 電力供給装置、及びログ保存用プログラム |
JP2016224480A (ja) * | 2015-05-26 | 2016-12-28 | 株式会社日立製作所 | 情報収集システムおよび方法 |
Non-Patent Citations (1)
Title |
---|
See also references of EP3506103A4 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020090146A1 (ja) * | 2018-01-12 | 2020-05-07 | パナソニックIpマネジメント株式会社 | 車両用システム及び制御方法 |
DE112018007622B4 (de) | 2018-06-18 | 2022-11-24 | Mitsubishi Electric Corporation | Informationssammelvorrichtung, Servervorrichtung und Informationssammelverfahren |
US11958494B2 (en) | 2018-06-18 | 2024-04-16 | Mitsubishi Electric Corporation | Information collection device and information collection method |
JP7192957B2 (ja) | 2018-08-10 | 2022-12-20 | 株式会社デンソー | 車両情報通信システム,センター装置、メッセージ送信方法及びコンピュータプログラム |
JP2022034019A (ja) * | 2018-08-10 | 2022-03-02 | 株式会社デンソー | 車両情報通信システム,センター装置、メッセージ送信方法及びコンピュータプログラム |
EP3842974A4 (en) * | 2018-10-17 | 2021-11-17 | Panasonic Intellectual Property Corporation of America | INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING PROCESS AND PROGRAM |
EP4135261A1 (en) * | 2018-10-17 | 2023-02-15 | Panasonic Intellectual Property Corporation of America | Information processing device, information processing method, and program |
EP3889783A4 (en) * | 2018-11-30 | 2022-01-26 | Panasonic Intellectual Property Corporation of America | DEVICE FOR TRANSMITTING A VEHICLE LOG, SYSTEM FOR ANALYZING A VEHICLE LOG AND METHOD FOR TRANSMITTING/RECEIVING A VEHICLE LOG |
US11423707B2 (en) | 2018-12-04 | 2022-08-23 | Toyota Jidosha Kabushiki Kaisha | In-vehicle device and vehicle information collection system |
CN111277624A (zh) * | 2018-12-04 | 2020-06-12 | 丰田自动车株式会社 | 车载器以及车辆信息收集系统 |
JP2020173535A (ja) * | 2019-04-09 | 2020-10-22 | 住友電気工業株式会社 | 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム |
JP7211224B2 (ja) | 2019-04-09 | 2023-01-24 | 住友電気工業株式会社 | 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム |
WO2021144860A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 車両ログ保存装置、車両ログ送信装置、車両ログ収集システムおよび車両ログ保存方法 |
US12106610B2 (en) | 2020-01-14 | 2024-10-01 | Panasonic Intellectual Property Corporation Of America | Vehicle log transmission device, vehicle log collection system, vehicle log transmission method, and save priority level changing device |
JP7533229B2 (ja) | 2021-01-07 | 2024-08-14 | トヨタ自動車株式会社 | 方法、サーバ、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
US11115425B2 (en) | 2021-09-07 |
CN109643268A (zh) | 2019-04-16 |
EP3506103A1 (en) | 2019-07-03 |
US20190182275A1 (en) | 2019-06-13 |
EP3506103A4 (en) | 2020-04-22 |
EP3506103B1 (en) | 2021-06-23 |
CN109643268B (zh) | 2022-04-05 |
JP2018032254A (ja) | 2018-03-01 |
JP6701030B2 (ja) | 2020-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2018037708A1 (ja) | 車載装置、ログ収集システム | |
CN110226310B (zh) | 电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及方法 | |
WO2019142458A1 (ja) | 車両監視装置、不正検知サーバ、および、制御方法 | |
CN107925600B (zh) | 安全处理方法以及服务器 | |
CN112437056B (zh) | 安全处理方法以及服务器 | |
JP2023068037A (ja) | 車両異常検知サーバ、車両異常検知システム及び車両異常検知方法 | |
CA3047454C (en) | Method for obtaining track and mandatory directive data for interlocked subdivisions | |
US10168424B1 (en) | Management of mobile objects | |
JP2018169880A (ja) | 車両捜索システム、ナンバープレート情報蓄積装置、および方法 | |
JP6230457B2 (ja) | 情報処理装置、情報処理方法、および情報処理プログラム | |
JP2003187371A (ja) | すべり情報収集・提供システム,サーバ,方法およびプログラム | |
CN110310505A (zh) | 交通信息提供系统以及交通信息提供方法 | |
JP2019200658A (ja) | 情報通信システムとその方法およびサーバ | |
CN108986456B (zh) | 限行尾号采集方法、装置、设备及计算机可读存储介质 | |
JP6913206B2 (ja) | ログ解析方法及びログ優先度テーブル管理方法 | |
GB2579390A (en) | Method and system for data collection in a road network | |
CN111163433B (zh) | 收集基于车辆的预先给定的路段的数据记录的方法和设备 | |
CN116678430B (zh) | 行驶轨迹确定方法及装置、电子设备和可读存储介质 | |
WO2022091754A1 (ja) | 情報処理装置、情報処理装置の制御方法及びプログラム | |
JP2019056985A (ja) | メッセージ配信制御システムおよびテレマティクスセンタ | |
JP2018172019A (ja) | 運行管理システム、運行管理方法、及びプログラム | |
JP2014134984A (ja) | 情報提供システム及び車両用情報端末及び情報提供方法 | |
GB2601780A (en) | Method for verifying map data of an environment of a vehicle |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 17843196 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
ENP | Entry into the national phase |
Ref document number: 2017843196 Country of ref document: EP Effective date: 20190325 |