WO2019026352A1 - 検知装置、検知方法および検知プログラム - Google Patents

検知装置、検知方法および検知プログラム Download PDF

Info

Publication number
WO2019026352A1
WO2019026352A1 PCT/JP2018/015211 JP2018015211W WO2019026352A1 WO 2019026352 A1 WO2019026352 A1 WO 2019026352A1 JP 2018015211 W JP2018015211 W JP 2018015211W WO 2019026352 A1 WO2019026352 A1 WO 2019026352A1
Authority
WO
WIPO (PCT)
Prior art keywords
attack
unit
bus
error
identification information
Prior art date
Application number
PCT/JP2018/015211
Other languages
English (en)
French (fr)
Inventor
濱田芳博
Original Assignee
住友電気工業株式会社
住友電装株式会社
株式会社オートネットワーク技術研究所
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 住友電気工業株式会社, 住友電装株式会社, 株式会社オートネットワーク技術研究所 filed Critical 住友電気工業株式会社
Priority to CN201880044892.1A priority Critical patent/CN110832809B/zh
Priority to US16/634,605 priority patent/US11218501B2/en
Priority to DE112018003971.4T priority patent/DE112018003971T5/de
Publication of WO2019026352A1 publication Critical patent/WO2019026352A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Definitions

  • the detection device of the present disclosure is a detection device for detecting an attack in a vehicle-mounted network including a bus through which a frame including identification information capable of recognizing at least one of a sender and a destination is transmitted, A plurality of the frames including the identification information different from each other are transmitted, and the occurrence status of the communication error for each of the identification information is monitored based on the monitoring result of monitoring the communication error on the bus and the monitoring unit.
  • An aggregation unit that aggregates and a detection unit that detects the attack based on the aggregation result of the aggregation unit.
  • the detection program according to the present disclosure is a detection program used in a detection apparatus for detecting an attack in a car network including a bus through which a frame including identification information capable of recognizing at least one of a sender and a destination is transmitted. A plurality of the frames including the identification information different from each other are transmitted through the bus, and the computer receives the identification information based on a monitoring unit monitoring a communication error on the bus and a monitoring result of the monitoring unit It is a program for functioning as an aggregating part which aggregates the generation
  • in-vehicle network systems have been developed to improve security in in-vehicle networks.
  • the above-described security measures may be invalidated against a cyber attack that electrically operates a signal transmitted on a bus connecting between the ECUs.
  • the present disclosure has been made to solve the above-described problems, and an object of the present disclosure is to provide a detection device, a detection method, and a detection program capable of accurately detecting an attack in a vehicle-mounted network.
  • an attack in an in-vehicle network can be detected with high accuracy.
  • the detection unit detects the attack on the basis of a deviation of a state of occurrence of a communication error among the identification information in the counting result.
  • the detection unit detects the attack on the basis of the sum of the number of occurrences of the communication error for each of the identification information and the number of error IDs which is the number of the identification information in which the communication error has occurred. .
  • the detection unit compares the first comparison result, the second comparison result, the number of error IDs, and a fifth threshold value that is larger than the second threshold value.
  • the attack is detected based on at least one of the third comparison result, the fourth comparison result, and the comparison result of the average and a sixth threshold larger than the fourth threshold.
  • the in-vehicle communication system 301 is mounted on the vehicle 1.
  • the in-vehicle network 12 includes a plurality of in-vehicle ECUs 121 and a gateway device 101, which are an example of an in-vehicle device inside the vehicle 1.
  • the buses 13A, 13B, 13C, and 13D are connected to the gateway device 101.
  • each of the buses 13A, 13B, 13C, and 13D is also referred to as a bus 13.
  • the bus 13 is not limited to the configuration in which a plurality of in-vehicle ECUs 121 are connected, and may be a configuration in which one in-vehicle ECU 121 is connected.
  • the bus 13 may be a bus conforming to standards such as FlexRay (registered trademark), Media Oriented Systems Transport (MOST) (registered trademark), Ethernet (registered trademark), and LIN (Local Interconnect Network).
  • FIG. 2 is a diagram showing an example of a data frame transmitted in the in-vehicle network in the in-vehicle communication system according to the embodiment of the present invention.
  • a data frame of standard format is shown in FIG.
  • the data frame starts with SOF (Start Of Frame), ID (Identifier), RTR (Remote Transmission Request), CONTROL, DATA, Cyclic Redundancy Check (CRC), CRC DELIMITER, ACK SLOT, ACK DELIMITER, and EOF (End Of Frame).
  • SOF Start Of Frame
  • ID Identity
  • RTR Remote Transmission Request
  • CONTROL CONTROL
  • DATA Cyclic Redundancy Check
  • CRC DELIMITER CRC DELIMITER
  • ACK SLOT ACK SLOT
  • ACK DELIMITER End Of Frame
  • the region has a length corresponding to the number of bits. Also, the level of bits in each region is any one of recessive locking, dominant locking, and variable recessive and dominant.
  • the SOF area has a length of 1 bit.
  • the level of one bit in the SOF area is dominant fixed.
  • the ID field has a length of 11 bits.
  • the 11 bits in the ID field are variable for recessive and dominant.
  • a value indicated by 11 bits in the ID area (hereinafter, also referred to as CAN-ID) is an example of identification information, and can identify the sender and destination of the data frame.
  • CAN-ID indicates, for example, the type of data included in the data frame.
  • a plurality of data frames including different CAN-IDs are transmitted on the bus 13 in the in-vehicle network 12.
  • transmission of data frames is performed, for example, by broadcast.
  • an on-vehicle device connected to the bus 13 broadcasts a data frame including a preset CAN-ID as a transmitting node
  • the other on-vehicle devices connected to the bus 13 operate as a receiving node.
  • Receive broadcasted data frames Receive broadcasted data frames.
  • the receiving node determines whether the received data frame is necessary for itself based on the CAN-ID included in the received data frame.
  • CAN-ID is used, for example, for priority of communication arbitration.
  • the in-vehicle ECU 121 that has first transmitted the data frame acquires the transmission right according to the carrier sense multiple access with collision avoidance (CAMA / CA) method.
  • CA carrier sense multiple access with collision avoidance
  • the arbitration is performed from the first bit of the ID area, and the in-vehicle ECU 121 that has continuously transmitted the dominant level for a long time transmits the data frame be able to.
  • the in-vehicle ECU 121 that has lost the arbitration stops the transmission of the data frame and starts the reception operation.
  • FIG. 3 is a view showing an example of a data frame transmitted in the in-vehicle network in the in-vehicle communication system according to the embodiment of the present invention.
  • a data frame in the expanded format is shown in FIG.
  • FIG. 4 is a diagram showing an example of the state transition of the transceiver in the on-vehicle communication system according to the embodiment of the present invention.
  • transceivers are provided in gateway device 101 and in-vehicle ECU 121 communicating via bus 13.
  • the transceiver has a transmission error counter TEC and a reception error counter REC.
  • the error active state is a state in which the communication on the bus 13 can normally participate.
  • the error passive state is a state prone to errors.
  • the bus off state is a state in which it can not participate in communications on the bus 13 and all communications are prohibited.
  • the transceiver when it operates as a transmission unit, it increases the count value of the transmission error counter TEC according to the content of the detected error.
  • the transceiver When the transceiver detects an error when it operates as a receiving unit, it increases the count value of the reception error counter REC according to the content of the detected error.
  • the transceiver decrements the count value of the reception error counter REC when it can receive a message without detecting an error when it operates as a reception unit.
  • the transceiver goes into an error active state through an initial state, for example, when it is started.
  • the transceiver in the error active state transitions to the error passive state when the count value of the transmission error counter TEC or the count value of the reception error counter REC becomes larger than 127.
  • the transceiver in the error passive state transitions to the error active state when both the count value of the transmission error counter TEC and the count value of the reception error counter REC become smaller than 128.
  • the transceiver in the error passive state transitions to the bus off state when the count value of the transmission error counter TEC reaches a value larger than 255.
  • the transceiver in the bus off state resets both the count value of the transmission error counter TEC and the count value of the reception error counter REC to zero and detects an error when the 11 consecutive recessive bits are detected on the bus 128 128 times. Transition to the state.
  • FIG. 5 is a diagram for explaining an attack in the in-vehicle network according to the embodiment of the present invention.
  • the bus 13 is connected to on-board ECUs 121 A and 121 B, which are on-board ECUs 121, and an attack device 123.
  • the on-board ECUs 121 ⁇ / b> A and 121 ⁇ / b> B include a transceiver 122.
  • non-patent document 2 K. Cho, one other person, “Error Handling of In-vehicle Networks Makes Them Vulnerable”, CCS '16 Proceedings of the 2016 ACM SIGSAC on Computer and Communications Security, P. 8). 1044-1055
  • Non-Patent Document 3 Ragona Kameoka, 5 others, “Bus-off attack on CAN ECU by staff error injection from raspberry pie”, 2017 Symposium on Cryptography and Information Security, 1E2-2
  • the attacking device 123 mistakenly recognizes that the transmission quality of the transceiver 122 is degraded by attacking the self-testing function of the transceiver 122 in the attacking on-vehicle ECU 121, and the attacking on-vehicle ECU 121 leaves the bus 13. Let As a result, the on-vehicle ECU 121 that has been attacked is forced into communication failure.
  • the transceiver 122 confirms, for example, whether or not the same data as that transmitted to the bus 13 has been received from the bus 13 by simultaneously performing reception when transmitting a data frame.
  • the transceiver 122 When the transceiver 122 receives the same data from the bus 13 as the data sent to the bus 13, the transceiver 122 determines that the transmission has been successfully performed. On the other hand, when data different from the data transmitted to the bus 13 is received from the bus 13, the transceiver 122 determines that an error has occurred in transmission.
  • the attack device 123 when attacking the on-board ECU 121B, for example, the attack device 123 overwrites the recessive bits transmitted by the on-board ECU 121B with the dominant bit in the protocol error monitoring interval for each ID (see FIGS. 2 and 3).
  • the transceiver 122 in the on-vehicle ECU 121 B determines that an error has occurred in transmission because the dominant bit is received despite the transmission of the recessive bit, and the count value of the transmission error counter TEC is increased.
  • FIG. 6 is a diagram for explaining an electrical data tampering attack in the in-vehicle network according to the embodiment of the present invention.
  • a 1-bit period in the data frame shown in FIGS. 2 and 3 includes a synchronization segment SS, a propagation time segment PTS, a phase buffer segment PBS1, and a phase buffer segment PBS2.
  • Each segment is configured with a minimum time unit called Tq (Time quantum).
  • Tq time unit
  • the Tq number of SS is fixed to one.
  • the Tq numbers of PTS, PBS1 and PBS2 can be set to arbitrary values within a predetermined range.
  • sampling point SP is provided between PBS1 and PBS2.
  • the sampling points SP of the in-vehicle ECUs 121 in the in-vehicle network 12 generally vary.
  • Non-Patent Document 4 Yamashifumi Nakayama, 3 others, "Effect of electrical data falsification in on-vehicle CAN bus", 2017 Symposium on Cryptography and Information Security, 1E2-3). There is.
  • an attack is performed on a receiving unit having a sampling point SP that is later than the sampling point SP of the transmitting unit.
  • transceiver 122 in on-vehicle ECU 121B and transceiver 122 in on-vehicle ECU 121A operate as a transmitting unit and a receiving unit, respectively.
  • the sampling point SP in the transmission unit is 4Tq from the beginning of the bit
  • the sampling point SP in the reception unit is 6Tq from the beginning of the bit.
  • the attack device 123 falsifies data from the transmission unit by transmitting an electric signal for data falsification to the bus 13 at the sampling point SP of the reception unit without falsifying at the sampling point SP of the transmission unit. This makes it possible to falsify the data received by the receiving unit while avoiding bit error detection in the transmitting unit.
  • the attack device 123 transmits an electrical signal for falsifying the data bit from the beginning of the bit until the 6th Tq after the lapse of the 4Tq. Send to the bus 13.
  • the transmission unit Since the transmission unit acquires the data bit transmitted by itself at the 4Tq-th sampling point, it determines that the transmission unit has transmitted normally.
  • the receiving unit acquires an invalid data bit falsified by the attack device 123 in the 6Tq.
  • some of the on-vehicle ECUs 121 in the on-vehicle network 12 detect an electrical data tampering attack and transmit an error frame to the bus 13.
  • FIG. 7 is a diagram showing the configuration of the gateway device in the in-vehicle communication system according to the embodiment of the present invention.
  • gateway device 101 includes transmission / reception units (monitoring units) 51A, 51B, 51C, 51D, relay unit 52, counting unit 54, detection unit 55, and storage unit 56.
  • transmission / reception units 51A, 51B, 51C, and 51D is also referred to as a transmission / reception unit 51.
  • the gateway device 101 is not limited to the configuration including the four transmission / reception units 51, and may have a configuration including three or less or five or more transmission / reception units 51.
  • the gateway device 101 functions as a detection device, and detects an attack on the in-vehicle network 12 including the bus 13 on which a data frame including identification information is transmitted.
  • the detection unit 55 selects one CAN-ID in ascending order from CAN-IDs of “1” to “N”, and evaluates using the number of occurrences of protocol errors corresponding to the selected CAN-ID. Do.
  • detection unit 55 determines that, for example, the total number of protocol error occurrences corresponding to the selected CAN-ID, that is, the target CAN-ID is larger than threshold Th3 and the average of the in-bus protocol error distribution is the threshold. If the value is smaller than Th4, it is determined that a minor attack has occurred. The detection unit 55 records the determination result as a log in the storage unit 56.
  • the detection unit 55 can more correctly determine that a large number of attacks have occurred.
  • the detection unit 55 determines that the total number of protocol error occurrence times corresponding to the target CAN-ID is equal to or smaller than a threshold Th3, or the average of in-bus protocol error distribution is equal to or larger than the threshold Th4. If the threshold value Th6 or less, it is determined that a communication error due to noise or a failure of the on-board ECU 121 has occurred. In this case, the detection unit 55 does not record the determination result in the storage unit 56.
  • FIG. 11 is a flowchart defining an operation procedure when the gateway device according to the embodiment of the present invention detects a cyber attack.
  • gateway apparatus 101 records a communication error that has occurred while performing relay processing of data frames until short monitoring interval period ST expires (NO in step S102).
  • the gateway apparatus 101 the total ENs in the short monitoring interval period ST of the number of protocol errors corresponding to the selected CAN-ID, ie, the target CAN-ID is larger than the threshold Th1, and in the short monitoring interval period ST. If the in-bus protocol error distribution EDs is smaller than the threshold Th2 (YES in step S108), a minor attack is detected (step S118).
  • step S118 if the gateway apparatus 101 detects a minority attack (step S118) or detects a large number of attacks (step S112), the gateway apparatus 101 records the detection result in a log (step S114).
  • step S114 it is checked whether all the plurality of CAN-IDs used in the in-vehicle network 12 have been selected (step S116).
  • gateway apparatus 101 selects one unselected CAN-ID in the plurality of CAN-IDs (NO in step S116). Step S106).
  • gateway apparatus 101 occurs in each short monitoring interval period ST included in long monitoring interval period LT while performing relay processing of data frames until long monitoring interval period LT expires.
  • a communication error is recorded (NO in step S202).
  • the gateway device 101 counts communication errors that occur in the respective short monitoring interval periods ST (step S204).
  • the gateway device 101 selects one of the plurality of CAN-IDs used in the in-vehicle network 12 (step S206).
  • step S228 if the gateway apparatus 101 detects a minority attack (step S218) or detects a large number of attacks (step S212), the gateway apparatus 101 records the detection result in a log (step S214).
  • step S214 it is checked whether all the plurality of CAN-IDs used in the in-vehicle network 12 have been selected (step S216).
  • gateway apparatus 101 selects one unselected CAN-ID in the plurality of CAN-IDs (NO in step S216). Step S206).
  • gateway apparatus 101 performs a relay process of data frames until the new long monitoring interval period LT expires, and the new long monitoring is performed. A communication error that occurs in the interval period LT is recorded (NO in step S202).
  • the gateway apparatus has a configuration in which all of the buses 13A to 13D are targets of attack detection, the present invention is not limited to this.
  • the gateway device 101 may be configured to set a part of the buses 13A to 13D as an attack detection target.
  • the gateway device 101 is configured to detect an attack on the on-vehicle network 12, but the present invention is not limited to this. Similar to the gateway device 101, at least one of the on-vehicle ECUs 121 connected to the bus 13 may operate as a detection device to detect an attack on the corresponding bus 13.
  • the data frame including identification information capable of recognizing both the sender and the destination is transmitted.
  • the present invention is not limited to this.
  • the configuration may be such that a data frame including identification information that can recognize either the sender or the destination may be transmitted.
  • the data frame including the CAN-ID capable of recognizing both of the sender and the destination is transmitted.
  • the present invention is not limited to this. It may be a configuration in which a data frame including identification information, for example, an address, directly indicating at least one of a sender and a destination is transmitted.
  • the detection unit 55 detects an attack in the in-vehicle network 12 based on the bias of the occurrence status of the communication error between each CAN-ID in the counting result in the counting unit 54.
  • the configuration is not limited to this.
  • the detection unit 55 may be configured to detect an attack on the in-vehicle network 12 without being based on the above-mentioned deviation. Specifically, the detection unit 55 detects an attack on the in-vehicle network 12, for example, without using the tabulation table Tbl2 shown in FIG.
  • the detection unit 55 is configured to perform both the short interval detection process and the long interval detection process, but the present invention is not limited to this.
  • the detection unit 55 may be configured to perform either the short interval detection process or the long interval detection process.
  • the detection unit 55 detects the attack in the in-vehicle network 12 based on the comparison result Rst1, the comparison result Rst2 and the comparison result Rst5. It is not limited.
  • the detection unit 55 may be configured to detect an attack on the in-vehicle network 12 based on the comparison result Rst1 and the comparison result Rst2.
  • the detection unit 55 detects the attack in the in-vehicle network 12 based on the comparison result Rst3, the comparison result Rst4, and the comparison result Rst6. It is not limited.
  • the detection unit 55 may be configured to detect an attack on the in-vehicle network 12 based on the comparison result Rst3 and the comparison result Rst4.
  • the above-described security measures may be invalidated against a cyber attack that electrically operates a signal transmitted on a bus connecting between the ECUs.
  • the attack on the in-vehicle network 12 including the bus 13 on which the data frame including the identification information capable of recognizing at least one of the sender and the destination is transmitted.
  • Detect A plurality of data frames containing different identification information are transmitted on the bus 13.
  • the transmission and reception unit 51 monitors a communication error on the bus 13.
  • the aggregation unit 54 aggregates the occurrence status of communication errors for each identification information based on the monitoring result of the transmission / reception unit 51.
  • the detection unit 55 detects an attack on the in-vehicle network 12 based on the counting result of the counting unit 54.
  • the detection unit 55 detects an attack in the in-vehicle network 12 based on the bias of the occurrence status of the communication error among the identification information in the counting result.
  • the detection unit 55 is mounted on the basis of the sum of the number of occurrences of communication errors for each identification information and the number of error IDs which is the number of identification information in which the communication errors occur. An attack on the network 12 is detected.
  • detection unit 55 compares comparison result Rst1 between the sum in short monitoring interval period ST and threshold value Th1 and comparison result Rst2 between the number of error IDs and threshold value Th2, Based on at least one of the comparison result Rst3 of the sum in the long monitoring interval period LT including a plurality of short monitoring interval periods ST and the threshold value Th3 and the comparison result Rst4 of the average of the error ID number and the threshold value Th4 Detect attacks on 12
  • the detection unit 55 compares the comparison result Rst1, the comparison result Rst2, the comparison result between the number of error IDs and the threshold Th5 larger than the threshold Th2, and the comparison result Rst3, An attack in the in-vehicle network 12 is detected based on at least one of the comparison result Rst4 and the comparison result of the average of the error ID number and the threshold Th6 larger than the threshold Th4.
  • a detection device for detecting an attack in an in-vehicle network including a bus on which a frame including identification information capable of recognizing at least one of a sender and a destination is transmitted, A plurality of the frames including the different identification information are transmitted on the bus; A monitoring unit that monitors communication errors in the bus; An aggregation unit that aggregates the occurrence status of communication errors for each of the identification information based on the monitoring result of the monitoring unit; And a detection unit that detects the attack based on the counting result of the counting unit.
  • the detection device is a gateway device mounted on a vehicle and relaying the frame, or an on-vehicle ECU (Electronic Control Unit),
  • the identification information is CAN-ID (Controller Area Network-Identifier)
  • the in-vehicle network includes a TCU (Telematics Communication Unit) mounted on the vehicle, an autonomous driving ECU, an engine ECU, a sensor, a navigation device, a human machine interface or a camera.
  • the frame is transmitted in the in-vehicle network according to a communication standard of CAN, FlexRay, Media Oriented Systems Transport (MOST), Ethernet or Local Interconnect Network (LIN).
  • the detection unit for counting the number of times of occurrence of a protocol error for each CAN-ID based on the monitoring result of the monitoring unit.
  • Vehicle 12 Vehicle-mounted network 13 Bus 51 Transmission / reception unit (monitoring unit) 52 relay unit 54 aggregation unit 55 detection unit 56 storage unit 101 gateway device 121 in-vehicle ECU 122 transceiver 123 attack device 301 in-vehicle communication system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)

Abstract

検知装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える。

Description

検知装置、検知方法および検知プログラム
 本発明は、検知装置、検知方法および検知プログラムに関する。
 この出願は、2017年8月3日に出願された日本出願特願2017-150771号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
 特許文献1(特開2016-116075号公報)には、以下のような車載通信システムが開示されている。すなわち、車載通信システムは、通信データの送信側が生成するメッセージ認証コードである送信側コードと、前記通信データの受信側が生成するメッセージ認証コードである受信側コードとを使用してメッセージ認証を行う車載通信システムであって、車載ネットワークに接続され、第1の暗号鍵と前記第1の暗号鍵とは異なる第2の暗号鍵のうち前記第1の暗号鍵だけを保持する第1のECUと、前記車載ネットワークに接続され、前記第1の暗号鍵を少なくとも保持する第2のECUと、前記車載ネットワーク及び車外ネットワークに接続され、前記第1の暗号鍵と前記第2の暗号鍵のうち前記第2の暗号鍵だけを保持して、前記第2の暗号鍵を使用して前記車載ネットワークにおける通信時に前記送信側コード又は前記受信側コードを生成する第3のECUとを備え、前記第2のECUは、前記第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信し、前記第1のECUは、前記通信データを受信した場合に、前記第1の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行う。
特開2016-116075号公報 特開2016-97879号公報 特開2015-136107号公報
ルネサス エレクトロニクス株式会社、"CAN入門書 Rev. 1.00"、[online]、[平成29年6月17日検索]、インターネット〈URL:https://www.renesas.com/ja-jp/doc/products/mpumcu/apn/003/rjj05b0937_canap.pdf〉 K. Cho、外1名、「Error Handling of In-vehicle Networks Makes Them Vulnerable」、CCS ’16 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security、P.1044-1055 亀岡 良太、外5名、「ラズベリーパイからのスタッフエラー注入によるCAN ECUへのバスオフ攻撃」、2017 Symposium on Cryptography and Information Security、1E2-2 中山 淑文、外3名、「車載CANバスにおける電気的データ改竄の効果」、2017 Symposium on Cryptography and Information Security、1E2-3
 (1)本開示の検知装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える。
 (6)本開示の検知方法は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視するステップと、監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、集計結果に基づいて前記攻撃を検知するステップとを含む。
 (7)本開示の検知プログラムは、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、コンピュータを、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部、として機能させるためのプログラムである。
 本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得る。
図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。 図2は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。 図3は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。 図4は、本発明の実施の形態に係る車載通信システムにおけるトランシーバの状態遷移の一例を示す図である。 図5は、本発明の実施の形態に係る車載ネットワークにおける攻撃を説明するための図である。 図6は、本発明の実施の形態に係る車載ネットワークにおける電気的データ改ざん攻撃を説明するための図である。 図7は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。 図8は、本発明の実施の形態に係るゲートウェイ装置において用いられる長監視間隔期間および短監視間隔期間の一例を示す図である。 図9は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。 図10は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。 図11は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。 図12は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
 従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
 [本開示が解決しようとする課題]
 特許文献1に記載の車載通信システムでは、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防いでいる。
 しかしながら、たとえば、各ECU間を接続するバスにおいて伝送される信号を電気的に操作するようなサイバー攻撃に対しては、上記のようなセキュリティ対策が無効化されることがある。
 このような攻撃を受けた場合において、車載ネットワークにおける攻撃を精度よく検知するための技術が求められる。
 本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける攻撃を精度よく検知することが可能な検知装置、検知方法および検知プログラムを提供することである。
 [本開示の効果]
 本開示によれば、車載ネットワークにおける攻撃を精度よく検知することができる。
 [本願発明の実施形態の説明]
 最初に、本発明の実施形態の内容を列記して説明する。
 (1)本発明の実施の形態に係る検知装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える。
 このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
 (2)好ましくは、前記検知部は、前記集計結果における各前記識別情報間での通信エラーの発生状況の偏りに基づいて前記攻撃を検知する。
 このような構成により、各識別情報間での通信エラーの発生状況の偏りに基づいて、たとえば、車載ネットワークにおける各車載装置において満遍なく通信エラーが発生しているのか、または当該各車載装置のうちの特定の少数の車載装置に通信エラーが発生しているのかを認識することができる。これにより、たとえば、各車載装置において満遍なく通信エラーが発生している場合には電気的ノイズの影響も考慮して攻撃の検知を慎重に判断することができ、また、特定の少数の車載装置に通信エラーが発生している場合には、攻撃の可能性が高いと判断することができる。
 (3)好ましくは、前記検知部は、前記通信エラーの発生回数の前記識別情報ごとの合計、および前記通信エラーの発生した前記識別情報の数であるエラーID数に基づいて前記攻撃を検知する。
 このような構成により、たとえば、通信エラーの発生回数の多い車載装置に対して攻撃を受けたと判断しようとする場合において、通信エラーの発生した車載装置数を考慮することができるので、攻撃の有無をより正しく判断することができる。
 (4)より好ましくは、前記検知部は、第1の監視間隔における前記合計と第1のしきい値との第1の比較結果および前記エラーID数と第2のしきい値との第2の比較結果、ならびに複数の前記第1の監視間隔からなる第2の監視間隔における前記合計と第3のしきい値との第3の比較結果および前記エラーID数の平均と第4のしきい値との第4の比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する。
 このような構成により、たとえば、第1の監視間隔における合計が第1のしきい値より大きい場合においても、エラーID数が第2のしきい値以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、第1の監視間隔における合計が第1のしきい値より大きく、かつエラーID数が第2のしきい値より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。また、第2の監視間隔における合計が第3のしきい値より大きい場合においても、エラーID数の平均が第4のしきい値以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、第2の監視間隔における合計が第3のしきい値より大きく、かつエラーID数の平均が第4のしきい値より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。
 (5)より好ましくは、前記検知部は、前記第1の比較結果、前記第2の比較結果および前記エラーID数と前記第2のしきい値より大きい第5のしきい値との比較結果、ならびに前記第3の比較結果、前記第4の比較結果および前記平均と前記第4のしきい値より大きい第6のしきい値との比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する。
 たとえば、第1の監視間隔におけるエラーID数、および第2の監視間隔におけるエラーID数の平均の少なくともいずれか一方が極端に大きい場合、車載ネットワークにおける多数の車載装置に対して攻撃が行われていると考えられる。上記の構成により、車載ネットワークにおける各車載装置に対する一斉攻撃をより精度よく検知することができる。
 (6)本発明の実施の形態に係る検知方法は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視するステップと、監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、集計結果に基づいて前記攻撃を検知するステップとを含む。
 このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
 (7)本発明の実施の形態に係る検知プログラムは、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、コンピュータを、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部、として機能させるためのプログラムである。
 このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
 以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
 [構成および基本動作]
 図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
 図1を参照して、車載通信システム301は、ゲートウェイ装置(検知装置)101と、複数の車載ECU(Electronic Control Unit)121とを備える。
 車載通信システム301は、車両1に搭載される。車載ネットワーク12は、車両1の内部における車載装置の一例である、複数の車載ECU121およびゲートウェイ装置101を含む。
 ゲートウェイ装置101には、バス13A,13B,13C,13Dが接続される。以下、バス13A,13B,13C,13Dの各々を、バス13とも称する。
 なお、ゲートウェイ装置101には、4つのバス13が接続される構成に限らず、3つ以下または5つ以上のバス13が接続されてもよい。
 バス13には、たとえば複数の車載ECU121が接続される。バス13は、たとえば、非特許文献1(ルネサス エレクトロニクス株式会社、”CAN入門書 Rev. 1.00”、[online]、[平成29年6月17日検索]、インターネット〈URL:https://www.renesas.com/ja-jp/doc/products/mpumcu/apn/003/rjj05b0937_canap.pdf〉)に記載のCAN(Controller Area Network)(登録商標)の規格に従うバスである。
 なお、バス13には、複数の車載ECU121が接続される構成に限らず、1つの車載ECU121が接続される構成であってもよい。また、バス13は、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスであってもよい。
 車載ECU121は、たとえば、TCU(Telematics Communication Unit)、自動運転ECU、エンジンECU、センサ、ナビゲーション装置、ヒューマンマシンインタフェース、およびカメラ等である。
 ゲートウェイ装置101は、バス13を介して車載ECU121と通信を行うことが可能である。ゲートウェイ装置101は、車両1において、異なるバス13に接続された車載ECU121間でやり取りされる情報を中継する中継処理を行う。
 図2は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。図2には、標準フォーマットのデータフレームが示される。
 図2を参照して、バス13において、データフレームは、インターフレームスペースIFS間において伝送される。
 データフレームは、先頭から、SOF(Start Of Frame)、ID(Identifier)、RTR(Remote Transmission Request)、CONTROL、DATA、CRC(Cyclic Redundancy Check)、CRC DELIMITER、ACK SLOT、ACK DELIMITERおよびEOF(End Of Frame)の領域を有する。
 領域は、対応のビット数の長さを有する。また、各領域におけるビットのレベルは、レセシブ固定、ドミナント固定、ならびにレセシブおよびドミナントの可変のうちのいずれか1つである。
 具体的には、SOF領域は、1ビットの長さを有する。SOF領域における1ビットのレベルは、ドミナント固定である。
 ID領域は、11ビットの長さを有する。ID領域における11個のビットは、レセシブおよびドミナントの可変である。
 ID領域における11個のビットの示す値(以下、CAN-IDとも称する。)は、識別情報の一例であり、データフレームの差出元および宛先を認識可能である。
 また、CAN-IDは、たとえば、データフレームに含まれるデータの種類を示す。
 車載ネットワーク12におけるバス13において、互いに異なるCAN-IDを含む複数のデータフレームが伝送される。
 車載ネットワーク12では、データフレームの送信は、たとえばブロードキャストにより行われる。たとえば、バス13に接続されたある車載装置が、送信ノードとして、予め設定されたCAN-IDを含むデータフレームをブロードキャストした場合、当該バス13に接続された他の車載装置は受信ノードとして動作し、ブロードキャストされたデータフレームを受信する。
 この際、受信ノードは、受信したデータフレームに含まれるCAN-IDに基づいて、受信したデータフレームが自己にとって必要であるか否かを判断する。
 車載ネットワーク12では、1つの受信ノードが、受信したデータフレームを自己にとって必要であると判断することもあるし、複数の受信ノードが、受信したデータフレームを自己にとって必要であると判断することもある。
 上記のように、車載ネットワーク12では、データフレームに含まれるCAN-IDに基づいて、当該データフレームの差出元および宛先を特定することが可能である。
 また、CAN-IDは、たとえば、通信調停の優先順位に用いられる。
 バス13では、CAMA/CA(Carrier Sense Multiple Access with Collision Avoidance)方式に従って、最初にデータフレームを送信した車載ECU121が送信権を獲得する。
 たとえば、2つ以上の車載ECU121がほぼ同時にデータフレームの送信を開始した場合、ID領域の1ビット目から調停を行い、ドミナントレベルを最も長く連続して送信した車載ECU121がデータフレームの送信を行うことができる。調停の敗者となった車載ECU121は、データフレームの送信を停止し、受信動作を開始する。
 車載ネットワーク12では、レセシブレベルおよびドミナントレベルは、それぞれ論理値1および論理値ゼロに対応するので、より小さいCAN-IDを含むデータフレームが優先的に伝送される。
 図3は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。図3には、拡張フォーマットのデータフレームが示される。
 図3を参照して、拡張フォーマットのデータフレームでは、図2に示す標準フォーマットのデータフレームと比べて、ID領域とRTR領域との間において、SRR(Substitute Remote Request)、IDE(Identifier Extension)およびEXTENDED IDの領域がさらに設けられる。
 [バスオフ攻撃]
 図4は、本発明の実施の形態に係る車載通信システムにおけるトランシーバの状態遷移の一例を示す図である。
 図4を参照して、バス13を介して通信するゲートウェイ装置101および車載ECU121には、トランシーバが設けられる。トランシーバは、送信エラーカウンタTECおよび受信エラーカウンタRECを有する。
 トランシーバは、CANの通信規格に従って動作し、エラーアクティブ状態、エラーパッシブ状態およびバスオフ状態のいずれか1つの状態をとる。
 エラーアクティブ状態は、バス13上の通信に正常に参加することができる状態である。エラーパッシブ状態は、エラーを起こしやすい状態である。バスオフ状態は、バス13上の通信に参加できない状態であり、すべての通信が禁止される。
 エラーアクティブ状態またはエラーパッシブ状態にあるトランシーバは、エラーを検出した場合、エラーを検出したことを示すエラーフレームをバス13へ送信する。また、当該トランシーバは、たとえば、ID毎プロトコルエラー監視区間(図2および図3参照)におけるデータの送信中にエラーを検出した場合、データフレームの送信を中断することもある。
 また、トランシーバは、自己が送信ユニットとして動作するときにエラーを検出した場合、送信エラーカウンタTECのカウント値を、検出したエラーの内容に応じて増加させる。
 また、トランシーバは、自己が受信ユニットとして動作するときにエラーを検出した場合、受信エラーカウンタRECのカウント値を、検出したエラーの内容に応じて増加させる。
 また、トランシーバは、自己が送信ユニットとして動作するときにエラーを検出せずにメッセージを送信できた場合、送信エラーカウンタTECのカウント値をデクリメントする。
 また、トランシーバは、自己が受信ユニットとして動作するときにエラーを検出せずにメッセージを受信できた場合、受信エラーカウンタRECのカウント値をデクリメントする。
 トランシーバは、たとえば、起動されると初期状態を経てエラーアクティブ状態になる。
 エラーアクティブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値または受信エラーカウンタRECのカウント値が127より大きい値になると、エラーパッシブ状態へ遷移する。
 エラーパッシブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値および受信エラーカウンタRECのカウント値の両方が128より小さい値になると、エラーアクティブ状態へ遷移する。
 また、エラーパッシブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値が255より大きい値になると、バスオフ状態へ遷移する。
 バスオフ状態にあるトランシーバは、連続する11ビットのレセシブビットを128回バス13上において検出した場合、送信エラーカウンタTECのカウント値および受信エラーカウンタRECのカウント値の両方をゼロにリセットするとともに、エラーアクティブ状態へ遷移する。
 図5は、本発明の実施の形態に係る車載ネットワークにおける攻撃を説明するための図である。
 図5を参照して、バス13には、車載ECU121である車載ECU121A,121Bと、攻撃デバイス123とが接続されている。車載ECU121A,121Bは、トランシーバ122を含む。
 バスオフ攻撃は、たとえば、非特許文献2(K. Cho、外1名、「Error Handling of In-vehicle Networks Makes Them Vulnerable」、CCS ’16 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security、P.1044-1055)および非特許文献3(亀岡 良太、外5名、「ラズベリーパイからのスタッフエラー注入によるCAN ECUへのバスオフ攻撃」、2017 Symposium on Cryptography and Information Security、1E2-2)に記載されている。
 バスオフ攻撃では、攻撃デバイス123は、攻撃対象の車載ECU121におけるトランシーバ122の自己検査機能を攻撃することにより当該トランシーバ122の送信品質が低下したと誤認識させ、攻撃対象の車載ECU121をバス13から離脱させる。この結果、攻撃を受けた車載ECU121は、通信不能に追い込まれる。
 より詳細には、トランシーバ122は、たとえば、データフレームを送信する際に受信も同時に行うことにより、バス13へ送信したデータと同じデータがバス13から受信されたか否かを確認する。
 トランシーバ122は、バス13へ送信したデータと同じデータがバス13から受信された場合、送信が正常に行われたと判断する。一方、トランシーバ122は、バス13へ送信したデータと異なるデータがバス13から受信された場合、送信においてエラーが発生したと判断する。
 より詳細には、攻撃デバイス123は、たとえば、車載ECU121Bを攻撃する場合、ID毎プロトコルエラー監視区間(図2および図3参照)において、車載ECU121Bが送信するレセシブビットをドミナントビットで上書きする。
 これにより、車載ECU121Bにおけるトランシーバ122は、レセシブビットを送信したにも関わらずドミナントビットを受信したため送信においてエラーが発生したと判断し、送信エラーカウンタTECのカウント値を増加させる。
 攻撃デバイス123がこの攻撃を繰り返すことにより、車載ECU121Bのトランシーバ122における送信エラーカウンタTECのカウント値はさらに増加する。当該送信エラーカウンタTECのカウント値が255より大きくなると、車載ECU121Bにおけるトランシーバ122はバスオフ状態に遷移し、トランシーバ122は、バス13上の通信に参加できなくなってしまう。
 [電気的データ改ざん攻撃]
 図6は、本発明の実施の形態に係る車載ネットワークにおける電気的データ改ざん攻撃を説明するための図である。
 図6を参照して、図2および図3に示すデータフレームにおける1ビットの期間には、シンクロナイゼーションセグメントSS、プロパゲーションタイムセグメントPTS、フェーズバッファセグメントPBS1およびフェーズバッファセグメントPBS2が含まれる。
 各セグメントは、Tq(Time quantum)という最小時間単位で構成される。SSのTq数は、1に固定である。PTS、PBS1およびPBS2のTq数は、所定の範囲内で任意の値に設定可能である。
 また、サンプリングポイントSPは、PBS1とPBS2との間に設けられる。車載ネットワーク12において、PTS、PBS1およびPBS2のTq数は車載ECU121ごとに様々な値に設定されるので、車載ネットワーク12における各車載ECU121のサンプリングポイントSPは、一般にばらついている。
 電気的データ改ざん攻撃は、たとえば、非特許文献4(中山 淑文、外3名、「車載CANバスにおける電気的データ改竄の効果」、2017 Symposium on Cryptography and Information Security、1E2-3)に記載されている。
 電気的データ改ざん攻撃では、送信ユニットのサンプリングポイントSPより遅いサンプリングポイントSPを有する受信ユニットに対して攻撃が行われる。
 たとえば、図5において、車載ECU121Bにおけるトランシーバ122および車載ECU121Aにおけるトランシーバ122がそれぞれ送信ユニットおよび受信ユニットとして動作する状況を想定する。
 この例では、送信ユニットにおけるサンプリングポイントSPがビットの先頭から4Tq目であり、また受信ユニットにおけるサンプリングポイントSPがビットの先頭から6Tq目である。
 攻撃デバイス123は、送信ユニットのサンプリングポイントSPでは改ざんせずに、受信ユニットのサンプリングポイントSPにおいてデータ改ざん用の電気信号をバス13へ送信することで、送信ユニットからのデータを改ざんする。これにより、送信ユニットにおけるビットエラー検出を回避しつつ受信ユニットが受信するデータを改ざんすることが可能となる。
 より詳細には、攻撃デバイス123は、送信ユニットがデータビットを送信する場合において、ビットの先頭から4Tq目が経過してから6Tq目に至るまでに、当該データビットを改ざんするための電気信号をバス13へ送信する。
 送信ユニットは、自己が送信したデータビットを4Tq目のサンプリングポイントで取得するので、正常に送信したと判断する。
 一方、受信ユニットは、攻撃デバイス123によって改ざんされた不正なデータビットを6Tq目に取得してしまう。
 このような電気的データ改ざん攻撃では、送信ユニットおよび受信ユニットの両方においてエラーが検出されない。
 しかしながら、上述したように、各車載ECU121のサンプリングポイントSPがばらついているので、車載ネットワーク12におけるすべての車載ECU121においてエラーを検出させずに電気的データ改ざん攻撃を行うことは困難であると考えられる。
 したがって、一般に、車載ネットワーク12における一部の車載ECU121が、電気的データ改ざん攻撃を検出してエラーフレームをバス13へ送信する状況となる。
 このような、バスオフ攻撃および電気的データ改ざん攻撃等の車載ネットワーク12における攻撃をより精度よく検知するための技術が求められる。
 そこで、本発明の実施の形態に係るゲートウェイ装置では、以下のような構成および動作により、このような課題を解決する。
 [ゲートウェイ装置101の構成]
 図7は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
 図7を参照して、ゲートウェイ装置101は、送受信部(監視部)51A,51B,51C,51Dと、中継部52と、集計部54と、検知部55と、記憶部56とを備える。以下、送受信部51A,51B,51C,51Dの各々を、送受信部51とも称する。
 なお、ゲートウェイ装置101は、4つの送受信部51を備える構成に限らず、3つ以下、または5つ以上の送受信部51を備える構成であってもよい。
 ゲートウェイ装置101は、検知装置として機能し、識別情報を含むデータフレームが伝送されるバス13を含む車載ネットワーク12における攻撃を検知する。
 より詳細には、ゲートウェイ装置101における送受信部51は、たとえば、トランシーバであり、バス13に接続される。具体的には、送受信部51A,51B,51C,51Dは、それぞれバス13A,13B,13C,13Dに接続される。
 送受信部51は、自己の接続されたバス13からデータフレームを受信すると、ID監視区間において受信した各ビットのレベルからCAN-IDを取得する(図2および図3参照)。
 送受信部51は、取得したCAN-IDに基づいて、受信したデータフレームが中継を要するフレームであるか否かを判断する。
 送受信部51は、受信したデータフレームが中継を要するフレームであると判断した場合、当該データフレームを中継部52へ出力する。
 中継部52は、データフレームの中継処理を行う。具体的には、中継部52は、たとえば、送受信部51Aからデータフレームを受けると、受けたデータフレームに含まれるCAN-IDに基づいて、当該データフレームを出力すべき送受信部51を特定する。
 より詳細には、中継部52は、たとえば、CAN-IDと送受信部51との対応関係を示すテーブルを有している。この例では、中継部52は、当該対応関係に基づいて、当該CAN-IDに対応する送受信部51として送受信部51Bを特定する。そして、中継部52は、上記データフレームを送受信部51Bへ出力する。
 送受信部51Bは、中継部52からデータフレームを受けると、受けたデータフレームをバス13Bへ送信する。
 また、送受信部51は、バス13における通信エラーを監視する。より詳細には、送受信部51は、ID監視区間においてCAN-IDを取得した後、ID毎プロトコルエラー監視区間におけるビット列を監視する。
 送受信部51は、たとえば、差出元の車載ECU121によるデータフレームの送信の中断を検出した場合、およびエラーフレームを受信した場合、通信エラーが発生したと判断する。
 そして、送受信部51は、通信エラーが発生したと判断したデータフレームのCAN-IDを集計部54へ通知する。
 図8は、本発明の実施の形態に係るゲートウェイ装置において用いられる長監視間隔期間および短監視間隔期間の一例を示す図である。なお、図8において、横軸は時間を示す。
 図8を参照して、集計部54は、送受信部51の監視結果に基づいて、識別情報ごとの通信エラーの発生状況を集計する。
 より詳細には、集計部54は、たとえば、短監視間隔期間ST1,ST2,ST3,ST4,ST5を含む長監視間隔期間LTを設定する。短監視間隔期間ST1~ST5は、連続している。以下、短監視間隔期間ST1,ST2,ST3,ST4,ST5の各々を、短監視間隔期間STとも称する。
 なお、集計部54は、5つの短監視間隔期間STを含む長監視間隔期間LTを設定する構成に限らず、2つ、3つ、4つまたは6つ以上の短監視間隔期間STを含む長監視間隔期間LTを設定してもよい。
 図9は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。
 図9を参照して、集計部54は、たとえば、短監視間隔期間STの各々における通信エラーの発生回数の合計値、および長監視間隔期間LTにおける通信エラーの発生回数の合計値を含む集計表Tbl1を送受信部51ごとに作成して保持する。図9に示す集計表Tbl1は、たとえば、送受信部51A用の集計表である。
 集計表Tbl1では、車載ネットワーク12において用いられるCAN-ID数分の行が設けられ、各行には、短監視間隔期間ST1~ST5および長監視間隔期間LTにそれぞれ対応するフィールドが設けられる。
 集計部54は、送受信部51AからCAN-IDの通知を受けるごとに、以下の処理を行う。
 すなわち、集計部54は、集計表Tbl1において、通知されたCAN-IDに対応する行において、通知を受けたタイミングを含む短監視間隔期間STに対応するフィールドにおけるプロトコルエラー発生回数をインクリメントする。
 具体的には、集計部54は、たとえば、短監視間隔期間ST1において、送受信部51AからCAN-IDとして「1」の通知を受けると、CAN-IDが「1」の行において、短監視間隔期間ST1に対応するフィールドにおけるプロトコルエラー発生回数をインクリメントする。
 集計部54がこのような処理を行うことにより、短監視間隔期間ST1が満了すると、CAN-IDが「1」、「2」および「N」の行において、短監視間隔期間ST1に対応するフィールドにおけるプロトコルエラー発生回数としてそれぞれ5回、5回およびゼロ回が集計表Tbl1に記録される。
 集計部54は、短監視間隔期間ST2~短監視間隔期間ST5においても、同様の処理を行う。
 そして、集計部54は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるCAN-IDごとのプロトコルエラー発生回数を集計表Tbl1に書き込む。
 より詳細には、集計部54は、短監視間隔期間ST1~ST5におけるプロトコルエラー発生回数の合計値をCAN-IDごとに算出する。
 集計部54は、CAN-IDごとに、算出した合計値を、当該CAN-IDの行において長監視間隔期間LTに対応するフィールドに書き込む。
 具体的には、集計部54は、たとえば、CAN-IDが「1」の行において、短監視間隔期間ST1~ST5におけるプロトコルエラー発生回数の合計値として50回を算出する。
 集計部54は、算出した50回を、CAN-IDが「1」の行において長監視間隔期間LTに対応するフィールドに書き込む。
 図10は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。
 図10を参照して、集計部54は、たとえば、各短監視間隔期間STにおけるバス内プロトコルエラー分布、および長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を含む集計表Tbl2を送受信部51ごとに作成して保持する。図10に示す集計表Tbl2は、たとえば、送受信部51A用の集計表である。
 集計表Tbl2では、短監視間隔期間ST1~ST5および長監視間隔期間LTにそれぞれ対応するフィールドが設けられる。
 集計部54は、短監視間隔期間STが満了すると、当該短監視間隔期間STにおけるバス内プロトコルエラー分布を算出し、算出したバス内プロトコルエラー分布を当該短監視間隔期間STに対応するフィールドに書き込む。
 ここで、バス内プロトコルエラー分布は、通信エラーの発生した識別情報の数であるエラーID数の一例である。具体的には、バス内プロトコルエラー分布は、短監視間隔期間STにおいて、プロトコルエラー発生回数が1回以上となったCAN-IDの個数である。
 具体的には、集計部54は、たとえば、短監視間隔期間ST1が満了すると、短監視間隔期間ST1において、プロトコルエラー発生回数が1回以上のCAN-IDが「1」および「2」であることから、バス内プロトコルエラー分布として2を算出する。
 そして、集計部54は、算出した2を当該短監視間隔期間ST1に対応するフィールドに書き込む。
 集計部54は、短監視間隔期間ST2~短監視間隔期間ST5の各々が満了した場合においても、同様の処理を行う。
 そして、集計部54は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を長監視間隔期間LTに対応するフィールドに書き込む。
 具体的には、集計部54は、短監視間隔期間ST1~ST5における各バス内プロトコルエラー分布の平均として、(2+2+1+1+1)を5で除した値である1.4を算出する。
 集計部54は、算出した1.4を長監視間隔期間LTに対応するフィールドに書き込む。
 再び図7を参照して、検知部55は、集計部54の集計結果に基づいて車載ネットワーク12における攻撃を検知する。
 詳細には、検知部55は、たとえば、集計結果における各CAN-ID間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する。
 より詳細には、検知部55は、たとえば、通信エラーの発生回数のCAN-IDごとの合計、およびバス内プロトコルエラー分布に基づいて車載ネットワーク12における攻撃を検知する。
 検知部55は、たとえば、短監視間隔ごとに短間隔検知処理を行う。具体的には、検知部55は、たとえば、短監視間隔期間STにおける通信エラーの発生回数のCAN-IDごとの合計としきい値Th1との比較結果Rst1、バス内プロトコルエラー分布としきい値Th2との比較結果Rst2、およびバス内プロトコルエラー分布としきい値Th2より大きいしきい値Th5との比較結果Rst5に基づいて車載ネットワーク12における攻撃を検知する。
 より具体的には、検知部55は、たとえば、集計部54によって設定された短監視間隔期間ST1,ST2,ST3,ST4,ST5および長監視間隔期間LTに従って動作し、短監視間隔期間ST1が満了すると、以下の処理を行う。
 すなわち、検知部55は、短監視間隔期間ST1におけるプロトコルエラー発生回数のCAN-IDごとの合計値を、集計部54が保持する集計表Tbl1(図9参照)から取得する。
 また、検知部55は、短監視間隔期間ST1におけるバス内プロトコルエラー分布を、集計部54が保持する集計表Tbl2(図10参照)から取得する。
 検知部55は、たとえば、「1」~「N」のCAN-IDの中から昇順にCAN-IDを1つずつ選択し、選択したCAN-IDに対応するプロトコルエラー発生回数を用いた評価を行う。
 具体的には、検知部55は、たとえば、選択したCAN-ID(以下、対象CAN-IDとも称する。)に対応するプロトコルエラー発生回数の合計がしきい値Th1より大きく、かつバス内プロトコルエラー分布がしきい値Th2より小さい場合、少数の車載ECU121に対するサイバー攻撃である少数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
 たとえば、1~2個の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数は大きくなる。一方、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN-IDの個数は少数であるため、バス内プロトコルエラー分布は大きくならない。上記の構成により、検知部55は、少数攻撃が発生したことをより正しく判断することができる。
 また、検知部55は、たとえば、対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th1より大きく、かつバス内プロトコルエラー分布がしきい値Th5より大きい場合、多数の車載ECU121に対するサイバー攻撃である多数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
 たとえば、多数の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数は大きくなる。また、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN-IDの個数も多数であるため、バス内プロトコルエラー分布が極めて大きくなる。上記の構成により、検知部55は、多数攻撃が発生したことをより正しく判断することができる。
 また、検知部55は、たとえば、対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th1以下であるか、またはバス内プロトコルエラー分布がしきい値Th2以上でありかつしきい値Th5以下である場合、ノイズまたは車載ECU121の故障等による通信エラーが発生したと判断する。この場合、検知部55は、判断結果を記憶部56に記録しない。
 たとえば、ノイズはランダムに発生することが多いので、通信エラーの発生するデータフレームもランダムとなる。このため、バス内プロトコルエラー分布は大きくなる。また、車載ECU121が経年劣化する場合、車載ECU121が差出元または宛先となるデータフレームの通信エラーが散発的に発生すると考えられる。このため、バス内プロトコルエラー分布が小さくても、車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数も小さくなる。上記の構成により、検知部55は、少数攻撃または多数攻撃の発生を誤って判断してしまうことを防ぐことができる。
 検知部55は、たとえば、集計部54によって設定された短監視間隔期間ST2,ST3,ST4,ST5が満了した場合の各々においても、短監視間隔期間ST1が満了した場合と同様に、短間隔検知処理を行う。
 また、検知部55は、たとえば、長監視間隔ごとに長間隔検知処理を行う。具体的には、検知部55は、たとえば、長監視間隔期間LTにおける通信エラーの発生回数のCAN-IDごとの合計としきい値Th3との比較結果Rst3、バス内プロトコルエラー分布の平均としきい値Th4との比較結果Rst4、および当該平均としきい値Th4より大きいしきい値Th6との比較結果Rst6に基づいて車載ネットワーク12における攻撃を検知する。
 より具体的には、検知部55は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるプロトコルエラー発生回数のCAN-IDごとの合計値を、集計部54が保持する集計表Tbl1(図9参照)から取得する。
 また、検知部55は、長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を、集計部54が保持する集計表Tbl2(図10参照)から取得する。
 検知部55は、たとえば、「1」~「N」のCAN-IDの中から昇順にCAN-IDを1つずつ選択し、選択したCAN-IDに対応するプロトコルエラー発生回数を用いた評価を行う。
 具体的には、検知部55は、たとえば、選択したCAN-IDすなわち対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th3より大きく、かつバス内プロトコルエラー分布の平均がしきい値Th4より小さい場合、少数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
 たとえば、1~2個の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数は大きくなる。一方、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN-IDの個数は少数であるため、バス内プロトコルエラー分布の平均は大きくならない。上記の構成により、検知部55は、少数攻撃が発生したことをより正しく判断することができる。
 また、検知部55は、たとえば、対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th3より大きく、かつバス内プロトコルエラー分布の平均がしきい値Th6より大きい場合、多数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
 たとえば、多数の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数は大きくなる。また、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN-IDの個数も多数であるため、バス内プロトコルエラー分布の平均が極めて大きくなる。上記の構成により、検知部55は、多数攻撃が発生したことをより正しく判断することができる。
 また、検知部55は、たとえば、対象CAN-IDに対応するプロトコルエラー発生回数の合計がしきい値Th3以下であるか、またはバス内プロトコルエラー分布の平均がしきい値Th4以上でありかつしきい値Th6以下である場合、ノイズまたは車載ECU121の故障等による通信エラーが発生したと判断する。この場合、検知部55は、判断結果を記憶部56に記録しない。
 たとえば、ノイズはランダムに発生することが多いので、通信エラーの発生するデータフレームもランダムとなる。このため、バス内プロトコルエラー分布の平均は大きくなる。また、車載ECU121が経年劣化する場合、車載ECU121が差出元または宛先となるデータフレームの通信エラーが散発的に発生すると考えられる。このため、バス内プロトコルエラー分布の平均が小さくても、車載ECU121が差出元または宛先となるデータフレームに含まれるCAN-IDについてのプロトコルエラー発生回数も小さくなる。上記の構成により、検知部55は、少数攻撃または多数攻撃の発生を誤って判断してしまうことを防ぐことができる。
 [動作の流れ]
 ゲートウェイ装置101は、コンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下に示すフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリから読み出して実行する。この装置のプログラムは、外部からインストールすることができる。この装置のプログラムは、記録媒体に格納された状態で流通する。
 図11は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
 図11を参照して、まず、ゲートウェイ装置101は、短監視間隔期間STが満了するまで、データフレームの中継処理を行いながら、発生した通信エラーを記録する(ステップS102でNO)。
 そして、ゲートウェイ装置101は、短監視間隔期間STが満了すると(ステップS102でYES)、当該短監視間隔期間STにおいて発生した通信エラーを集計する(ステップS104)。
 次に、ゲートウェイ装置101は、車載ネットワーク12において用いられる複数のCAN-IDのうちの1つを選択する(ステップS106)。
 次に、ゲートウェイ装置101は、選択したCAN-IDすなわち対象CAN-IDに対応するプロトコルエラー発生回数の短監視間隔期間STにおける合計ENsがしきい値Th1より大きく、かつ当該短監視間隔期間STにおけるバス内プロトコルエラー分布EDsがしきい値Th2より小さい場合(ステップS108でYES)、少数攻撃を検知する(ステップS118)。
 また、ゲートウェイ装置101は、合計ENsがしきい値Th1より大きく、かつバス内プロトコルエラー分布EDsがしきい値Th5より大きい場合(ステップS108でNOおよびステップS110でYES)、多数攻撃を検知する(ステップS112)。
 次に、ゲートウェイ装置101は、少数攻撃を検知するか(ステップS118)、または多数攻撃を検知すると(ステップS112)、検知結果をログに記録する(ステップS114)。
 また、ゲートウェイ装置101は、合計ENsがしきい値Th1以下であるか、もしくはバス内プロトコルエラー分布EDsがしきい値Th2以上かつしきい値Th5以下である場合(ステップS108でNOおよびステップS110でNO)、または検知結果をログに記録すると(ステップS114)、車載ネットワーク12において用いられる複数のCAN-IDをすべて選択したか否かを確認する(ステップS116)。
 ゲートウェイ装置101は、上記複数のCAN-IDの中で未選択のCAN-IDが存在する場合(ステップS116でNO)、上記複数のCAN-IDにおいて未選択のCAN-IDを1つ選択する(ステップS106)。
 一方、ゲートウェイ装置101は、上記複数のCAN-IDをすべて選択した場合(ステップS116でYES)、新たな短監視間隔期間STが満了するまで、データフレームの中継処理を行いながら、発生した通信エラーを記録する(ステップS102でNO)。
 図12は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
 図12を参照して、まず、ゲートウェイ装置101は、長監視間隔期間LTが満了するまで、データフレームの中継処理を行いながら、長監視間隔期間LTに含まれる各短監視間隔期間STにおいて発生した通信エラーを記録する(ステップS202でNO)。
 そして、ゲートウェイ装置101は、長監視間隔期間LTが満了すると(ステップS202でYES)、当該各短監視間隔期間STにおいて発生した通信エラーを集計する(ステップS204)。
 次に、ゲートウェイ装置101は、車載ネットワーク12において用いられる複数のCAN-IDのうちの1つを選択する(ステップS206)。
 次に、ゲートウェイ装置101は、選択したCAN-IDすなわち対象CAN-IDに対応するプロトコルエラー発生回数の長監視間隔期間LTにおける合計ENpがしきい値Th3より大きく、かつ当該長監視間隔期間LTにおけるバス内プロトコルエラー分布EDpがしきい値Th4より小さい場合(ステップS208でYES)、少数攻撃を検知する(ステップS218)。
 また、ゲートウェイ装置101は、合計ENpがしきい値Th3より大きく、かつバス内プロトコルエラー分布EDpがしきい値Th6より大きい場合(ステップS208でNOおよびステップS210でYES)、多数攻撃を検知する(ステップS212)。
 次に、ゲートウェイ装置101は、少数攻撃を検知するか(ステップS218)、または多数攻撃を検知すると(ステップS212)、検知結果をログに記録する(ステップS214)。
 また、ゲートウェイ装置101は、合計ENpがしきい値Th3以下であるか、もしくはバス内プロトコルエラー分布EDpがしきい値Th4以上かつしきい値Th6以下である場合(ステップS208でNOおよびステップS210でNO)、または検知結果をログに記録すると(ステップS214)、車載ネットワーク12において用いられる複数のCAN-IDをすべて選択したか否かを確認する(ステップS216)。
 ゲートウェイ装置101は、上記複数のCAN-IDの中で未選択のCAN-IDが存在する場合(ステップS216でNO)、上記複数のCAN-IDにおいて未選択のCAN-IDを1つ選択する(ステップS206)。
 一方、ゲートウェイ装置101は、上記複数のCAN-IDをすべて選択した場合(ステップS216でYES)、新たな長監視間隔期間LTが満了するまで、データフレームの中継処理を行いながら、新たな長監視間隔期間LTにおいて発生した通信エラーを記録する(ステップS202でNO)。
 なお、本発明の実施の形態に係るゲートウェイ装置は、バス13A~13Dのすべてを攻撃の検知対象とする構成であるとしたが、これに限定するものではない。ゲートウェイ装置101は、バス13A~13Dの一部を攻撃の検知対象とする構成であってもよい。
 また、本発明の実施の形態に係る車載ネットワークでは、ゲートウェイ装置101が、車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。バス13に接続された各車載ECU121のうちの少なくともいずれか1つが、ゲートウェイ装置101と同様に、検知装置として動作し、対応のバス13における攻撃を検知する構成であってもよい。
 また、本発明の実施の形態に係る車載ネットワークでは、差出元および宛先の両方を認識可能な識別情報を含むデータフレームが伝送される構成であるとしたが、これに限定するものではない。差出元および宛先のいずれか一方を認識可能な識別情報を含むデータフレームが伝送される構成であってもよい。
 また、本発明の実施の形態に係る車載ネットワークでは、差出元および宛先の両方を認識可能なCAN-IDを含むデータフレームが伝送される構成であるとしたが、これに限定するものではない。差出元および宛先の少なくともいずれか一方を直接示す識別情報、たとえばアドレスを含むデータフレームが伝送される構成であってもよい。
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、集計部54における集計結果における各CAN-ID間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、上記偏りに基づかずに車載ネットワーク12における攻撃を検知する構成であってもよい。具体的には、検知部55は、たとえば、図10に示す集計表Tbl2を用いずに、車載ネットワーク12における攻撃を検知する。
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、短間隔検知処理および長間隔検知処理の両方を行う構成であるとしたが、これに限定するものではない。検知部55は、短間隔検知処理および長間隔検知処理のいずれか一方を行う構成であってもよい。
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst1、比較結果Rst2および比較結果Rst5に基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、比較結果Rst1および比較結果Rst2に基づいて車載ネットワーク12における攻撃を検知する構成であってもよい。
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst3、比較結果Rst4および比較結果Rst6に基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、比較結果Rst3および比較結果Rst4に基づいて車載ネットワーク12における攻撃を検知する構成であってもよい。
 ところで、特許文献1に記載の車載通信システムでは、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防いでいる。
 しかしながら、たとえば、各ECU間を接続するバスにおいて伝送される信号を電気的に操作するようなサイバー攻撃に対しては、上記のようなセキュリティ対策が無効化されることがある。
 このような攻撃を受けた場合において、車載ネットワークにおける攻撃を精度よく検知するための技術が求められる。
 これに対して、本発明の実施の形態に係るゲートウェイ装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むデータフレームが伝送されるバス13を含む車載ネットワーク12における攻撃を検知する。バス13において、互いに異なる識別情報を含む複数のデータフレームが伝送される。送受信部51は、バス13における通信エラーを監視する。集計部54は、送受信部51の監視結果に基づいて、識別情報ごとの通信エラーの発生状況を集計する。そして、検知部55は、集計部54の集計結果に基づいて車載ネットワーク12における攻撃を検知する。
 このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、データフレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バス13において伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、集計結果における各識別情報間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する。
 このような構成により、各識別情報間での通信エラーの発生状況の偏りに基づいて、たとえば、車載ネットワーク12における各車載装置において満遍なく通信エラーが発生しているのか、または当該各車載装置のうちの特定の少数の車載装置に通信エラーが発生しているのかを認識することができる。これにより、たとえば、各車載装置において満遍なく通信エラーが発生している場合には電気的ノイズの影響も考慮して攻撃の検知を慎重に判断することができ、また、特定の少数の車載装置に通信エラーが発生している場合には、攻撃の可能性が高いと判断することができる。
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、通信エラーの発生回数の識別情報ごとの合計、および通信エラーの発生した識別情報の数であるエラーID数に基づいて車載ネットワーク12における攻撃を検知する。
 このような構成により、たとえば、通信エラーの発生回数の多い車載装置に対して攻撃を受けたと判断しようとする場合において、通信エラーの発生した車載装置数を考慮することができるので、攻撃の有無をより正しく判断することができる。
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、短監視間隔期間STにおける合計としきい値Th1との比較結果Rst1およびエラーID数としきい値Th2との比較結果Rst2、ならびに複数の短監視間隔期間STからなる長監視間隔期間LTにおける合計としきい値Th3との比較結果Rst3およびエラーID数の平均としきい値Th4との比較結果Rst4の少なくともいずれか一方に基づいて車載ネットワーク12における攻撃を検知する。
 このような構成により、たとえば、短監視間隔期間STにおける合計がしきい値Th1より大きい場合においても、エラーID数がしきい値Th2以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、短監視間隔期間STにおける合計がしきい値Th1より大きく、かつエラーID数がしきい値Th2より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。また、長監視間隔期間LTにおける合計がしきい値Th3より大きい場合においても、エラーID数の平均がしきい値Th4以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、長監視間隔期間LTにおける合計がしきい値Th3より大きく、かつエラーID数の平均がしきい値Th4より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。
 また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst1、比較結果Rst2およびエラーID数としきい値Th2より大きいしきい値Th5との比較結果、ならびに比較結果Rst3、比較結果Rst4およびエラーID数の平均としきい値Th4より大きいしきい値Th6との比較結果の少なくともいずれか一方に基づいて車載ネットワーク12における攻撃を検知する。
 たとえば、短監視間隔期間STにおけるエラーID数、および長監視間隔期間LTにおけるエラーID数の平均の少なくともいずれか一方が極端に大きい場合、車載ネットワーク12における多数の車載装置に対して攻撃が行われていると考えられる。上記の構成により、車載ネットワーク12における各車載装置に対する一斉攻撃をより精度よく検知することができる。
 上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
 以上の説明は、以下に付記する特徴を含む。
 [付記1]
 差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、
 前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
 前記バスにおける通信エラーを監視する監視部と、
 前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
 前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備え、
 前記検知装置は車両に搭載され、前記フレームを中継するゲートウェイ装置、または車載ECU(Electronic Control Unit)であり、
 前記識別情報は、CAN-ID(Controller Area Network-Identifier)であり、
 前記車載ネットワークは、前記車両に搭載されるTCU(Telematics Communication Unit)、自動運転ECU、エンジンECU、センサ、ナビゲーション装置、ヒューマンマシンインタフェースまたはカメラを含み、
 前記フレームは、CAN、FlexRay、MOST(Media Oriented Systems Transport)、イーサネットまたはLIN(Local Interconnect Network)の通信規格に従って前記車載ネットワークにおいて伝送され、
 前記集計部は、前記監視部の監視結果に基づいて、前記CAN-IDごとのプロトコルエラー発生回数を集計する、検知装置。
 1 車両
 12 車載ネットワーク
 13 バス
 51 送受信部(監視部)
 52 中継部
 54 集計部
 55 検知部
 56 記憶部
 101 ゲートウェイ装置
 121 車載ECU
 122 トランシーバ
 123 攻撃デバイス
 301 車載通信システム

Claims (7)

  1.  差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、
     前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
     前記バスにおける通信エラーを監視する監視部と、
     前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
     前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える、検知装置。
  2.  前記検知部は、前記集計結果における各前記識別情報間での通信エラーの発生状況の偏りに基づいて前記攻撃を検知する、請求項1に記載の検知装置。
  3.  前記検知部は、前記通信エラーの発生回数の前記識別情報ごとの合計、および前記通信エラーの発生した前記識別情報の数であるエラーID数に基づいて前記攻撃を検知する、請求項1または請求項2に記載の検知装置。
  4.  前記検知部は、第1の監視間隔における前記合計と第1のしきい値との第1の比較結果および前記エラーID数と第2のしきい値との第2の比較結果、ならびに複数の前記第1の監視間隔からなる第2の監視間隔における前記合計と第3のしきい値との第3の比較結果および前記エラーID数の平均と第4のしきい値との第4の比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する、請求項3に記載の検知装置。
  5.  前記検知部は、前記第1の比較結果、前記第2の比較結果および前記エラーID数と前記第2のしきい値より大きい第5のしきい値との比較結果、ならびに前記第3の比較結果、前記第4の比較結果および前記平均と前記第4のしきい値より大きい第6のしきい値との比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する、請求項4に記載の検知装置。
  6.  差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、
     前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
     前記バスにおける通信エラーを監視するステップと、
     監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、
     集計結果に基づいて前記攻撃を検知するステップとを含む、検知方法。
  7.  差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、
     前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
     コンピュータを、
     前記バスにおける通信エラーを監視する監視部と、
     前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
     前記集計部の集計結果に基づいて前記攻撃を検知する検知部、
    として機能させるための、検知プログラム。
PCT/JP2018/015211 2017-08-03 2018-04-11 検知装置、検知方法および検知プログラム WO2019026352A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201880044892.1A CN110832809B (zh) 2017-08-03 2018-04-11 检测装置、检测方法和非瞬态的计算机可读的存储介质
US16/634,605 US11218501B2 (en) 2017-08-03 2018-04-11 Detector, detection method, and detection program
DE112018003971.4T DE112018003971T5 (de) 2017-08-03 2018-04-11 Detektor, Detektionsverfahren und Detektionsprogramm

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017-150771 2017-08-03
JP2017150771A JP6828632B2 (ja) 2017-08-03 2017-08-03 検知装置、検知方法および検知プログラム

Publications (1)

Publication Number Publication Date
WO2019026352A1 true WO2019026352A1 (ja) 2019-02-07

Family

ID=65232592

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2018/015211 WO2019026352A1 (ja) 2017-08-03 2018-04-11 検知装置、検知方法および検知プログラム

Country Status (5)

Country Link
US (1) US11218501B2 (ja)
JP (1) JP6828632B2 (ja)
CN (1) CN110832809B (ja)
DE (1) DE112018003971T5 (ja)
WO (1) WO2019026352A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112346432A (zh) * 2019-08-09 2021-02-09 北汽福田汽车股份有限公司 车辆监控方法,车载终端及车辆

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11201878B2 (en) * 2018-11-13 2021-12-14 Intel Corporation Bus-off attack prevention circuit
JP7160178B2 (ja) * 2019-03-14 2022-10-25 日本電気株式会社 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
JP7505503B2 (ja) 2019-11-28 2024-06-25 住友電気工業株式会社 検知装置、車両、検知方法および検知プログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013131907A (ja) * 2011-12-21 2013-07-04 Toyota Motor Corp 車両ネットワーク監視装置
WO2015151418A1 (ja) * 2014-04-03 2015-10-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2892201B1 (en) 2014-01-06 2017-08-30 Argus Cyber Security Ltd. Detective watchman
WO2016151566A1 (en) * 2015-03-26 2016-09-29 Tower-Sec Ltd Security system and methods for identification of in-vehicle attack originator
JP6377143B2 (ja) * 2014-05-08 2018-08-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 車載ネットワークシステム、電子制御ユニット及び更新処理方法
US10582423B2 (en) * 2014-07-11 2020-03-03 Sony Corporation Information processing device, communication system, and information processing method
JP2016097879A (ja) 2014-11-25 2016-05-30 トヨタ自動車株式会社 車両制御システム
CN111934966B (zh) * 2014-12-01 2022-09-20 松下电器(美国)知识产权公司 不正常检测电子控制单元、车载网络系统以及不正常检测方法
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6558703B2 (ja) * 2016-12-14 2019-08-14 パナソニックIpマネジメント株式会社 制御装置、制御システム、及びプログラム
JP6891671B2 (ja) * 2017-06-29 2021-06-18 富士通株式会社 攻撃検知装置および攻撃検知方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013131907A (ja) * 2011-12-21 2013-07-04 Toyota Motor Corp 車両ネットワーク監視装置
WO2015151418A1 (ja) * 2014-04-03 2015-10-08 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112346432A (zh) * 2019-08-09 2021-02-09 北汽福田汽车股份有限公司 车辆监控方法,车载终端及车辆

Also Published As

Publication number Publication date
JP6828632B2 (ja) 2021-02-10
US20210105292A1 (en) 2021-04-08
JP2019029960A (ja) 2019-02-21
DE112018003971T5 (de) 2020-04-09
CN110832809B (zh) 2021-10-19
CN110832809A (zh) 2020-02-21
US11218501B2 (en) 2022-01-04

Similar Documents

Publication Publication Date Title
US11411681B2 (en) In-vehicle information processing for unauthorized data
US11356475B2 (en) Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
US10693905B2 (en) Invalidity detection electronic control unit, in-vehicle network system, and communication method
US11296965B2 (en) Abnormality detection in an on-board network system
WO2019026352A1 (ja) 検知装置、検知方法および検知プログラム
US11838303B2 (en) Log generation method, log generation device, and recording medium
CN110546921B (zh) 不正当检测方法、不正当检测装置以及程序
US11201878B2 (en) Bus-off attack prevention circuit
WO2022088160A1 (zh) 异常检测方法及装置
JP2017112590A (ja) 通信装置、通信方法、及び通信プログラム
KR20180021287A (ko) 차량 침입 탐지 장치 및 방법
JP6527647B1 (ja) 不正検知方法、不正検知装置及びプログラム
WO2021106446A1 (ja) 検知装置、車両、検知方法および検知プログラム
EP4224790A1 (en) Method for protection from cyber attacks to a vehicle based upon time analysis, and corresponding device
Chethan et al. Strategies for monitoring CAN node communication failures in the V2X eco-system
WO2023218815A1 (ja) 監視装置、車両監視方法および車両監視プログラム
WO2023233711A1 (ja) 情報処理方法、異常判定方法、および、情報処理装置
CN118592018A (zh) 检测装置及检测方法
JP6873375B2 (ja) 通信装置、通信システム及び通信方法
CN118104217A (zh) 检测装置、检测方法和检测程序

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18841783

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 18841783

Country of ref document: EP

Kind code of ref document: A1