WO2020021713A1

WO2020021713A1 - 不正検知方法および不正検知電子制御装置

Info

Publication number: WO2020021713A1
Application number: PCT/JP2018/028290
Authority: WO
Inventors: 剛岸川; 良浩氏家; 平野　亮; 若林　徹
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2018-07-27
Filing date: 2018-07-27
Publication date: 2020-01-30
Also published as: WO2020022444A1; EP3832954A4; EP3832954B1; CN111492625A; JP7232832B2; JPWO2020022444A1; CN111492625B; US20210044610A1; EP3832954A1

Abstract

タイムスロットに基くタイムトリガー型の通信方式である車載ネットワークシステム（１０）における不正検知ＥＣＵ（２５０）であって、車載ネットワークシステム（１０）には、１以上のＥＣＵが接続され、それぞれは予め定められた所定のタイムスロット内でフレームを送受信し、不正検知ＥＣＵ（２５０）は、フレーム受信部と、不正検知部を備え、不正検知部は、タイムスロットの繰り返し回数と、フレームに含まれるスロットＩＤとに基いて、不正なフレームの受信を判断する。

Description

不正検知方法および不正検知電子制御装置

　本開示は、車載ネットワークにおける不正フレームの送信を検知する電子制御ユニットに関する。

　近年、自動車の中のシステムには、電子制御ユニット（以下、ＥＣＵ）と呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークを車載ネットワークと呼ばれる。車載ネットワークには、多数の規格が存在する。その中でも、現在、主流となっているＣｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（以下ＣＡＮ）よりも高速、高信頼プロトコルとして設計されたＦｌｅｘＲａｙという規格が存在する。

　ＦｌｅｘＲａｙでは２本のより線の電圧差により“０”の値と“１”の値を表す。バスに接続されているＥＣＵはノードと呼ばれる。バスに接続されている各ノードは、フレームと呼ばれるメッセージを送受信する。ＦｌｅｘＲａｙはＴｉｍｅ　Ｄｉｖｉｓｉｏｎ　Ｍｕｌｔｉｐｌｅ　Ａｃｃｅｓｓ（以下ＴＤＭＡ）方式であり、各ノードは予め決められたタイミングでフレームを送信する。

　ＦｌｅｘＲａｙでは、最大の時間単位であるサイクルが存在し、各ノードはグローバルタイムを同期している。サイクルは「静的セグメント」「動的セグメント」「シンボルウィンドウ」「ネットワークアイドルタイム」の４つのセグメントから構成され、動的セグメントとシンボルウィンドウはオプションである。各ノードは静的セグメントと動的セグメントにおいてフレームを送信する。静的セグメントと動的セグメントは、さらにスロットと呼ばれる１つのフレームを送信することができる時間から構成される。

　ＦｌｅｘＲａｙでは送信先や送信元を示す識別子は存在せず、送信ノードはフレーム毎に予め定められた送信タイミングであるスロット番号に基いてフレームを送信する。各受信ノードは予め決められたスロット番号のフレームのみを受信する。また、同一のスロット番号のフレームであっても、サイクルによって異なるフレームの通信を実現する「サイクルマルチプレキシング」と呼ばれる方法が用いられる。

　また、ＦｌｅｘＲａｙでは、ＣＡＮのように全てのノードが１つのバスに接続されるバス型ネットワークトポロジだけでなく、スターカプラを介したスター型のネットワークトポロジや、バス型とスター型のハイブリッド型のネットワークトポロジを設計することが可能である。

　一方、セキュリティに関しては、ＣＡＮでは、攻撃者がＣＡＮのバスにアクセスし、不正フレームを送信することで、ＥＣＵを不正制御するといった脅威が存在し、セキュリティ対策が検討されている。

　例えば特許文献１では、車載ネットワーク監視装置を提案しており、フレームがあらかじめ規定された通信間隔でＣＡＮに送信されているかを検出し、規定された通信間隔から外れるフレームを不正と判断することで、不正フレームによる制御を防止する方法が開示されている。

特許第５６６４７９９号公報

　しかしながら、タイムトリガー型の通信方式を採用しているＦｌｅｘＲａｙでは、予め規定された通信間隔で通信を行うため、ある特定の識別子をもつフレームの受信間隔は常に一定となり、特許文献１のような不正検知手法を適用することはできない。

　本開示は、上記課題を解決するため、タイムトリガー型の通信方式であるプロトコルに対しても、不正なフレームの送信を検知することで、安全な車載ネットワークシステムを提供することを目的とする。

　上記課題を解決するために、本開示の一実施様態の不正検知電子制御装置は、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正検知電子制御装置であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、前記不正検知電子制御装置は、前記フレームを受信するフレーム受信部と、不正なフレームの受信を検知する不正検知部と、を備え、前記不正検知部は、複数の前記タイムスロットから構成されるサイクルの繰り返し回数と、前記フレームに含まれるスロットＩＤとに基いて、不正なフレームの受信を判断する。

　また上記課題を解決するために、本開示の一実施様態の不正検知方法は、タイムスロットに基づくタイムトリガー型の通信方式である車載ネットワークにおける不正検知方法であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、前記不正検知方法は、前記フレームを受信するフレーム受信ステップと、不正なフレームの受信を検知する不正検知ステップと、を備え、前記不正検知ステップは、複数の前記タイムスロットから構成されるサイクルの繰り返し回数と、前記フレームに含まれるスロットＩＤとに基いて、不正なフレームの受信を判断する。

　本開示によれば、タイムトリガー型の通信方式を採用している車載ネットワークに対しても、不正なフレームが送信されていることを検知することが可能となることで、不正なフレームへの対処が可能となり車載ネットワークシステム全体として、安全な状態を維持することができる。

図１は、実施の形態１における車載ネットワークシステム１０の全体構成図である。図２は、実施の形態１におけるＦｌｅｘＲａｙのサイクルについての図である。図３は、実施の形態１におけるＦｌｅｘＲａｙフレームのフォーマットを示した図である。図４は、実施の形態１におけるＥＣＵ２００ａの構成図である。図５は、実施の形態１における不正検知ＥＣＵ２５０の構成図である。図６は、実施の形態１におけるスターカプラ３００の構成図である。図７は、実施の形態１における通信用設定パラメータの一例を示す図である。図８は、実施の形態１における正規ＩＤリストの一例を示す図である。図９は、実施の形態１における正規ＩＤリストに従った送信スケジュールの一例を示す図である。図１０は、実施の形態１におけるフレームルールの一例を示す図である。図１１は、実施の形態１におけるサイクルルールの一例を示す図である。図１２は、実施の形態１における全サイクルルールの一例を示す図である。図１３Ａは、実施の形態１における、受信履歴のうちの各フレームの前回受信値と車両状態の一例を示す図である。図１３Ｂは、実施の形態１における、受信履歴のうちのサイクルごとの統計量の一例を示す図である。図１３Ｃは、実施の形態１における、受信履歴のうちのフレームごとの全サイクルにおける統計量の一例を示す図である。図１３Ｄは、実施の形態１における、受信履歴のうちの、動的フレームのＭｅｓｓａｇｅ　ＩＤごとの統計量の一例を示す図である。図１４は、実施の形態１における、不正検知ＥＣＵの全体処理フローチャートである。図１５は、実施の形態１における、不正検知ＥＣＵのホワイトリストチェックのフローチャートである。図１６は、実施の形態１における、不正検知ＥＣＵのフレーム不正検知処理のフローチャートである。

　本開示の一態様に係る不正検知電子制御装置は、タイムスロットに基くタイムトリガー型の通信方式である車載ネットワークにおける不正検知電子制御装置であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、前記不正検知電子制御装置は、前記フレームを受信するフレーム受信部と、不正なフレームの受信を検知する不正検知部と、を備え、前記不正検知部は、複数の前記タイムスロットから構成されるサイクルの繰り返し回数と、前記フレームに含まれるスロットＩＤと、に基いて、不正なフレームの受信を判断する不正検知電子制御装置である。これにより、フレームに含まれるＩＤだけでなく、タイムスロットの繰り返し回数に基いてフレームの不正検知ルールを定めることが可能となり、より詳細に不正なフレームを検知できるようになる。

　また、前記通信方式は、ＦｌｅｘＲａｙプロトコルであり、前記サイクルの繰り返し回数はＦｌｅｘＲａｙプロトコルにおけるサイクルカウンタであるとしてもよい。これにより、ＦｌｅｘＲａｙプロトコルに対するサイクル多重化を用いられた状況においても不正なフレームを検知できるようになる。

　また、前記不正検知部は、１以上の所定のサイクル数の間に受信した保護対象フレームに含まれる情報の統計量が、前記所定のサイクル数の間に受信した保護対象フレームに含まれる情報の統計量の範囲を示したサイクルルールから逸脱しているかを比較することによって不正なフレームが送信されたことを検知するとしてもよい。これにより単一のフレームに含まれる特徴からでは検知が困難である不正なフレームの注入を、所定期間の統計量を監視することで検知することが可能となる。

　また、前記保護対象フレームは、受信したフレームに含まれるスロットＩＤが所定のスロットＩＤに合致し、かつ、受信したフレームに含まれるサイクルカウンタが、前記サイクルカウンタから所定のオフセット値を減算し、所定の受信サイクルで割った余りが０となる関係性を満たすとしてもよい。これにより、１以上の所定のサイクル数の間に受信したフレームのうち、サイクル多重化が用いられていた場合でも、同一内容のフレームを抽出し、当該フレームにおける不正なフレームの注入を、所定期間の統計量を監視することで検知することが可能となる。

　また、前記統計量は、フレームの受信数、Ｓｙｎｃフレームの受信数、ｎｕｌｌフレームの受信数、Ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１であるフレームの受信数、エラーが発生しているフレームの受信数、Ｓｔａｒｔｕｐフレームの受信数のうち、少なくとも１つ以上に関連することとしてもよい。これにより、フレームの属性の観点から統計量を観測することで、不正なフレームの注入を検知することが可能となる。

　また、前記不正検知部は、さらに、フレーム受信ごとに、当該フレームが不正であるかを判断する不正フレーム検知部を備え、不正フレーム検知部は、前記サイクル不正検知部で、不正なフレームが送信されたことを検知した以降に実行されるとしてもよい。これにより受信フレーム数増加による不正検知電子制御装置の処理負荷の増加を抑えつつ、不正なフレームの検知後にはより詳細な不正検知処理を実行し、車載ネットワークの安全性を高めることが可能となる。

　また、前記サイクルは、予め定められたスケジュールに基いて常にフレームの送受信を行う静的セグメントと、予め定められたスケジュールに基いて、必要に応じてフレームの送受信を行う動的セグメントの２つのセグメントを備え、前記不正検知部は、前記動的セグメント内で受信した動的フレームの不正を、前記動的フレームを受信する以前に受信したフレームから判定される車両走行状態と、前記動的フレームに含まれる情報と、を用いて判断するとしてもよい。これにより、動的セグメント内のフレームが送受信される条件を車両の走行状態により規定することが可能となり、動的セグメント内で車両状態と一致しない不正なタイミングで送信されるフレームを検知することが可能となる。

　また、前記不正検知部は、所定スロットＩＤと所定の関係性を満たすサイクルカウンタを含む前記動的フレームを受信したタイミングにおける、前記車両走行状態が、所定の状態でない場合に、受信した前記動的フレームを不正なフレームであると判断するとしてもよい。これにより、動的セグメント内で送信される動的フレームが送信されうるタイミング外で送信される動的フレームを不正なフレームとして検知することが可能となる。

　また、本開示の一態様に係る不正検知方法は、タイムスロットに基くタイムトリガー型の通信方式である車載ネットワークにおける不正検知方法であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、前記不正検知方法は、前記フレームを受信するフレーム受信ステップと、不正なフレームの受信を検知する不正検知ステップと、を備え、前記不正検知ステップは、前記タイムスロットの繰り返し回数と、前記フレームに含まれるスロットＩＤとに基いて、不正なフレームの受信を判断する不正検知方法である。これにより、フレームに含まれるＩＤだけでなく、タイムスロットの繰り返し回数に基いてフレームの不正検知ルールを定めることが可能となり、より詳細に不正なフレームを検知できるようになる。

　以下、実施の形態に係る車載ネットワークシステムについて、図面を参照しながら説明する。ここで示す実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、ステップ（工程）及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態１）
　１．システムの構成
　ここでは、本開示の実施の形態として、不正検知ＥＣＵ２５０について図面を参照しながら説明する。

　１．１　車載ネットワークシステム１０の全体構成
　図１は、本開示に係る車載ネットワークシステム１０の全体構成を示す図である。車載ネットワークシステム１０は、ＦｌｅｘＲａｙバス１００ａ、１００ｂ、１００ｃ、１００ｄ、１００ｅと、各バスに接続される、ＥＣＵ２００ａ、２００ｂ、２００ｃ、２００ｄ、不正検知ＥＣＵ２５０と、各ＥＣＵの制御対象であるハンドル２１０、ギア２２０、ブレーキ２３０、カメラ２４０と、各ＦｌｅｘＲａｙバスを接続するスターカプラ３００と、から構成される。ＥＣＵ２００ａ～２００ｄは、ＦｌｅｘＲａｙバスを通じて、フレームの送受信を行うことで、車両の制御を実現する。不正検知ＥＣＵ２５０はＦｌｅｘＲａｙバスを観測することで、不正なフレームの送信を検知する。またＦｌｅｘＲａｙバス１００ａ、１００ｂ、１００ｃ、１００ｄ、１００ｅは、どのバスにも同じ信号が流れるようにスターカプラが信号の整形を行い、各ＥＣＵは、ＦｌｅｘＲａｙバスを通じて同期をとっている。

　１．２　ＦｌｅｘＲａｙサイクル
　図２は、本開示に係るＦｌｅｘＲａｙ通信のサイクルを示す図である。ＦｌｅｘＲａｙの通信はサイクル（Ｃｙｃｌｅ）と呼ばれる単位で行われ、サイクルの繰り返し回数（サイクルカウンタ）を各ノードが同期して保持しており、サイクルカウンタは０～６３の値をとる。サイクルカウンタが６３である次のサイクルはサイクルカウンタを０にリセットする。

　各サイクルは、静的セグメント（Ｓｔａｔｉｃ　ｓｅｇｍｅｎｔ）、動的セグメント（Ｄｙｎａｍｉｃ　ｓｅｇｍｅｎｔ）、シンボルウィンドウ（Ｓｙｍｂｏｌ　ｗｉｎｄｏｗ）、ネットワークアイドルタイム（ＮＩＴ）の４つのセグメントから構成される。各セグメントの時間は予め設計されたパラメータによって、ＦｌｅｘＲａｙネットワーク全体（クラスタ）で共通であるため、１サイクルの時間も同様にクラスタで共通である。

　静的セグメントは、複数のスロットから構成される。スロットの個数、および各スロットの時間はクラスタ内で共通である。またＦｌｅｘＲａｙフレームは１スロット内に１つのフレームが送信され、スロットの番号がフレームの識別子（Ｆｒａｍｅ　ＩＤ）となる。各ＥＣＵは予め定められたタイミング（スロット番号）で、フレームの送信を行うように設計されている。静的セグメント内で送信されるフレームを静的フレームとよぶ。静的フレームは、ペイロード長がクラスタ内で共通となっている。

　動的セグメントは、ミニスロットと呼ばれるスロットから構成される。ミニスロットにも同様にスロット番号が存在し、各ＥＣＵは、予め定められたタイミング（スロット番号）で送信を行うように設計されているが、静的セグメントと異なり、必ずしもフレームの送信を行う必要はない。動的セグメント内で送信されるフレーム動的フレームとよぶ。動的フレーは、ペイロード長として０～２５４の任意の値をとることができる。

　シンボルウィンドウは、シンボルと呼ばれる信号の送受信を行う時間帯である。

　ネットワークアイドルタイムは、通信を行わない時間帯であり、サイクルの最後に必ず設けられる。各ＥＣＵは、時刻の同期処理等を行う。

　１．３　フレームフォーマット
　図３は、本開示に係るＦｌｅｘＲａｙプロトコルのフレームフォーマットを示す図である。静的フレームおよび動的フレームともに共通のフォーマットである。フレームは、Ｈｅａｄｅｒ　Ｓｅｇｍｅｎｔ、Ｐａｙｌｏａｄ　Ｓｅｇｍｅｎｔ、Ｔｒａｉｌｅｒ　Ｓｅｇｍｅｎｔの３つのセグメントから構成される。

　Ｈｅａｄｅｒ　ＳｅｇｍｅｎｔはＲｅｓｅｒｖｅｄ　ｂｉｔから始まり、フレームの種別を表すための、Ｐａｙｌｏａｄ　ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒ、Ｎｕｌｌ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒ、Ｓｙｎｃ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒ、Ｓｔａｒｔｕｐ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒがそれぞれ１ビットずつ含まれる。さらに１１ビットのＦｒａｍｅ　ＩＤと、７ビットのＰａｙｌｏａｄ　ｌｅｎｇｔｈ、１１ビットのＨｅａｄｅｒ　ＣＲＣ、６ビットのＣｙｃｌｅ　ｃｏｕｎｔから構成される。Ｆｒａｍｅ　ＩＤは、スロットＩＤとも呼ばれ、フレームの送信タイミング及び、フレームの内容を識別するために用いられる。Ｐａｙｌｏａｄ　ｌｅｎｇｔｈは最大１２７の値をとり得る。Ｐａｙｌｏａｄ　ＳｅｇｍｅｎｔにはＰａｙｌｏａｄ　ｌｅｎｇｔｈの値に２をかけたバイト数が格納される。Ｈｅａｄｅｒ　ＣＲＣはＳｙｎｃ　ｆｒａｍｅ　ｉｎｄｉｃａｔｏｒからＰａｙｌｏａｄ　ｌｅｎｇｔｈまでを含んだ値から計算されるチェックサムである。Ｃｙｃｌｅ　ｃｏｕｎｔは、現在のサイクル数が格納される。

　Ｐａｙｌｏａｄ　Ｓｅｇｍｅｎｔには、フレームの内容を表すデータが含まれる。Ｐａｙｌｏａｄ　ｌｅｎｇｔｈの値の２倍のバイト数が格納されており、最大で２５４バイトが格納される。

　Ｔｒａｉｌｅｒ　Ｓｅｇｍｅｎｔにはフレームの全てを含んだ値から計算されるＣＲＣが格納されている。

　１．４　ＥＣＵ２００ａの構成図
　図４は、ＥＣＵ２００ａの構成図である。なお、ＥＣＵ２００ｂ、ＥＣＵ２００ｃ、ＥＣＵ２００ｄも同様の構成要素のため、説明を省略する。

　ＥＣＵ２００ａは、フレーム送受信部２０１と、フレーム解釈部２０２と外部機器制御部２０３と、フレーム生成部２０４と、通信用設定パラメータ保持部２０５と、から構成される。

　フレーム送受信部２０１は、バス１００ａから受信した物理信号を、デジタル信号に復号することでフレームの情報を取得する。フレーム送受信部は通信用設定パラメータ保持部２０５に保持される、通信用設定パラメータを参照することで、他のＥＣＵと時刻を同期し、正しくフレームを受信することができる。またフレーム送受信部２０１は、フレーム生成部２０４から、通知される送信フレーム要求に従い、予め定められたタイミングで、フレームを物理信号に変換して、バス１００ａに送信する。

　フレーム解釈部２０２は、フレーム送受信部２０１から通知される受信したフレームに含まれるペイロードを解釈し、ペイロードの内容に応じてＥＣＵ２００ａに接続されるハンドル２１０の制御を行うために外部機器制御部へ通知を行う。例えば、他のＥＣＵから通知される車両の速度の情報に基いて、走行状態を判断し、走行状態に応じたハンドルのアシスト制御や、自動駐車モード時のステアリング操舵指示信号に基いて、ハンドルの自動操舵を実現する。

　外部機器制御部２０３は、ＥＣＵ２００ａに接続されるハンドル２１０の制御を行う。またハンドル２１０の状態を監視し、他のＥＣＵに状態を通知するためのフレーム送信要求をフレーム生成部に通知する。例えば、ハンドル２１０の角度を通知する。

　フレーム生成部２０４は、通知された信号に基いて、フレームの生成を行い、フレーム送受信部２０１へ送信要求を行う。

　通信用設定パラメータ保持部２０５は、物理信号を正しく、デジタル信号に変換するための、クラスタ内で共通のパラメータが保持されている。図７に通信用設定パラメータ保持部２０５に保持される通信用設定パラメータの一例を示し、詳細は後述する。

　１．５　不正検知ＥＣＵ２５０の構成図
　図５は、不正検知ＥＣＵ２５０の構成図である。不正検知ＥＣＵ２５０は、フレーム送受信部２０１、不正検知部２５２、フレーム生成部２０４、通信用設定パラメータ保持部２０５、正規ＩＤリスト保持部２５３、フレームルール保持部２５４、１サイクルルール保持部２５５、全サイクルルール保持部２５６、受信履歴保持部２５７、から構成される。なお、ＥＣＵ２００ａと同様の機能であるものは、同じ番号を付与して説明を省略する。

　不正検知部２５２は、フレーム送受信部２０１から、受信したフレームを通知され、受信されたデータフレームが、正規のフレームであるかを判断する。正規のフレームであるかの判断は、正規ＩＤリスト保持部２５３に格納されている正規ＩＤリストを参照することで、受信したフレームのＩＤが正しいかを確認し、受信したフレームのＩＤが正しい場合は、フレームルール保持部２５４に格納されているＩＤごとのルールと、受信履歴保持部２５７に保持されている受信履歴を参照し、不正なフレームが送信されているかを判断する。不正なフレームが送信されていると判断された場合は、他のＥＣＵに不正なフレームが送信されていることを通知するために、フレーム生成部２０４に通知を行う。また、不正検知部２５２は、フレーム送受信部２０１からサイクルの開始を通知され、サイクルの開始時に前のサイクルの不正検知処理（１サイクル不正検知処理）を行う。この時は１サイクルルール保持部２５５に格納されている１サイクルルールと、受信履歴保持部２５７に格納されている受信履歴を参照することで、１サイクル単位で、不正なフレームが送信されているかを判断する。さらに、現在のサイクルカウンタが０であった場合は、前の６３サイクルにおいて不正なフレームが送信されていたかを判断する全サイクル不正検知処理を行う。全サイクル不正検知処理は、全サイクルルール保持部２５６に格納されている全サイクルルールと、受信履歴保持部２５７に格納されている全サイクルにおける統計情報を参照することで行う。１サイクル不正検知処理および、全サイクル不正検知処理において、不正なフレームが送信されていることを検知すると、他のＥＣＵに不正を通知するためのフレーム送信を、フレーム生成部２０４に要求する。また、全サイクル不正検知処理後は、受信履歴保持部２５７に格納されている全サイクルに係る統計情報をリセットする。

　正規ＩＤリスト保持部２５３は、各ＥＣＵが送信するフレームに関するＩＤのリストを格納している。図８に正規ＩＤリスト保持部２５３が保持する正規ＩＤリストの一例を示し、詳細は後述する。

　フレームルール保持部２５４は、不正検知部２５２が、フレームを受信したときに当該フレームが不正であるかどうかを判定するためのルールを格納している。図１０にフレームルール保持部２５４に格納されるフレームルールの一例を示し、詳細は後述する。

　１サイクルルール保持部２５５は、不正検知部２５２が、サイクル単位で、不正なフレームが送信されているかを判断するための、ルールを格納している。図１１に１サイクルルール保持部２５５に格納される１サイクルルールの一例を示し、詳細は後述する。

　全サイクルルール保持部２５６は、不正検知部２５２が、０～６３の全サイクルにわたる統計量を用いることで、不正なフレームが送信されているかを判断するためのルールを格納している。図１２に全サイクルルール保持部２５６に格納される全サイクルルールの一例を示し、詳細は後述する。

　受信履歴保持部２５７は、受信したフレームに関する情報（ペイロード情報、フレームの種類などのメタ情報、フレームの受信数、等）を格納している。図１３Ａ、図１３Ｂ、図１３Ｃに受信履歴保持部２５７に格納される受信履歴の一例を示し、詳細は後述する。

　１．６　スターカプラ３００の構成図
　図６は、スターカプラ３００の構成図である。スターカプラ３００は、トランシーバ部３０１ａ、３０１ｂ、３０１ｃ、３０１ｄ、３０１ｅとルーティング部３０２とから構成される。

　トランシーバ部３０１ａは、バス１００ａから受信した物理信号を、デジタル信号に変換し、ルーティング部３０２へ通知する。またデジタル信号をルーティング部３０２から通知された場合は、通知されたデジタル信号を、物理信号へ変換し、バス１００ａへ転送する。

　ルーティング部３０２は、トランシーバ部３０１ａから通知されたデジタル信号を、トランシーバ部３０１ａを除くトランシーバ部３０１ｂ、３０１ｃ、３０１ｄ、３０１ｅへ転送する。同様にトランシーバ部３０１ｂからデジタル信号を通知された場合は、トランシーバ部３０１ｂを除く、トランシーバ部に対して、デジタル信号を通知する。ルーティング部は複数のトランシーバ部から、デジタル信号を受信した場合は、最初にデジタル信号を受信したバスからの信号を、他のトランシーバ部へ通知する。

　１．７　通信用設定パラメータの一例
　図７は、通信用設定パラメータ保持部２０５に格納されている通信用設定パラメータの一例を示している。通信用設定パラメータとしては、通信の速度を表すボーレートが１０Ｍｂｐｓであることと、静的セグメントのスロットＩＤが１～５０であること、動的セグメントのスロットＩＤが５１～１００であることを示している。また静的スロットのペイロード長が８（つまり１６バイト）であることが示されている。これらの値は、クラスタ内のＥＣＵ全てに共有されており、これらの値を元にＦｌｅｘＲａｙフレームの送受信を実現する。なお通信用設定パラメータの値は一例に過ぎず、別の値であっても構わない。また、ここで示したパラメータも一例に過ぎず、図７に記載のないパラメータ（例えば、各セグメントの長さや、スロットの長さ等）が含まれていてもよいし、逆に記載されているパラメータの一部が含まれていなくてもよい。

　１．８　正規ＩＤリストの一例
　図８は、不正検知ＥＣＵ２５０が保持する正規ＩＤリスト保持部２５３に格納される正規ＩＤリストの一例を示している。

　図では、スロットＩＤとＣｙｃｌｅ　ｏｆｆｓｅｔ、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎ、フレーム名、フレームに含まれるペイロード情報が保持されている。Ｃｙｃｌｅ　ｏｆｆｓｅｔとＣｙｃｌｅ　ｒｅｃｅｐｔｉｏｎは、サイクル多重化（サイクルマルチプレキシング）と呼ばれる同じスロットＩＤであっても異なる内容のフレームを送受信する方法が用いられるときに対象のフレームを抽出するために必要な情報である。例えばスロットＩＤが９９のフレームには４つのフレーム名が存在し、それぞれのフレームでカメラ情報１、カメラ情報２、カメラ情報３、カメラ情報４の異なる内容を通知する。カメラ情報１ではＣｙｃｌｅ　ｏｆｆｓｅｔが０で、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが４である。これはサイクルカウンタが０からスタートし、４サイクルごとに当該フレームを送信することを意味する。つまりカメラ情報１が通知されるフレームＤが送信されるのは、サイクルカウンタが、０、４、８、１２、１６、・・・、５２、５６、６０のスロットＩＤが９９のときに送信されることを示している。同様にカメラ情報２を含むフレームＥは、サイクルカウンタが１、５、９、・・・５３、５７、６１のスロットＩＤが９９のときに送信され、カメラ情報３を含むフレームＦは、サイクルカウンタが２、６、１０、・・・、５４、５８、６２のサイクルＩＤが９９のときに送信され、カメラ情報４が含まれるフレームＧは、サイクルカウンタが３、７、１１、・・・、５５、５９、６３のサイクルＩＤが９９のときに送信される。上記のように異なるフレームを同一スロットＩＤで送信する方法をサイクルマルチ多重化とよぶ。

　図では、スロットＩＤが１であり、Ｃｙｃｌｅ　ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが１（つまり全てのサイクルで同一フレームが送信される。）のフレームはフレーム名がＡであり、フレームＡのペイロードには速度に関する情報が含まれることを示している。スロットＩＤが２には、フレームが送信されないことを示している。スロットＩＤが３であり、Ｃｙｃｌｅ　ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２（つまりサイクルカウンタが偶数のときのみ送信される）のフレームはフレーム名がＢであり、フレームＢのペイロードにはハンドル角度に関する情報が含まれることを示している。スロットＩＤが９８であり、Ｃｙｃｌｅ　ｏｆｆｓｅｔが１、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが２（つまりサイクルカウンタが奇数のときのみ送信される）のフレームはフレーム名がＣであり、フレームＣのペイロードにはギア状態に関する情報が含まれることを示している。スロットＩＤが９９であり、Ｃｙｃｌｅ　ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが４のフレームはフレーム名がＤであり、フレームＤのペイロードにはカメラ情報１に関する情報が含まれることを示している。スロットＩＤが９９であり、Ｃｙｃｌｅ　ｏｆｆｓｅｔが１、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが４のフレームはフレーム名がＥであり、フレームＥのペイロードにはカメラ情報２に関する情報が含まれることを示している。スロットＩＤが９９であり、Ｃｙｃｌｅ　ｏｆｆｓｅｔが２、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが４のフレームはフレーム名がＦであり、フレームＦのペイロードにはカメラ情報３に関する情報が含まれることを示している。スロットＩＤが９９であり、Ｃｙｃｌｅ　ｏｆｆｓｅｔが３、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが４のフレームはフレーム名がＧであり、フレームＧのペイロードにはカメラ情報４に関する情報が含まれることを示している。スロットＩＤが１００であり、Ｃｙｃｌｅ　ｏｆｆｓｅｔが０、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎが４のフレームはフレーム名がＨであり、フレームＨのペイロードにはドア状態に関する情報が含まれることを示している。また、フレームＡおよびＢは静的セグメント内で送信される静的フレームであり、フレームＣからフレームＨは動的セグメント内で送信される動的フレームである。

　図９に、図８の正規ＩＤリストの例におけるフレーム送信スケジュールを示している。横軸がスロットＩＤを示しており、縦軸がサイクルを示している。スロットＩＤとサイクルで定まるセルには、送信されるフレーム名が記載されている。図では、フレームＣからフレームＨは、所定のサイクルで送信されているが、当該フレームは動的フレームであるため、送信されない場合もある。

　１．９　フレームルールの一例
　図１０は、不正検知ＥＣＵ２５０のフレームルール保持部２５４に格納される、フレームルールの一例を示した図である。図ではフレーム名ごとに受信ルールが設定されている。動的フレームに関しては、さらにｍｅｓｓａｇｅ　ＩＤごとに受信ルールが設定されている。ｍｅｓｓａｇｅ　ＩＤは動的フレームのヘッダセグメントに含まれるＰｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のときに有効となり、ペイロードの上位２バイトをｍｅｓｓａｇｅ　ＩＤとして用いる。

　フレームＡに関しては、静的フレームのため、ｍｅｓｓａｇｅ　ＩＤは存在しない。ペイロード長は８で固定であり、受信ルールとしては前回受信した速度との差分が０．５ｋｍ／ｈ以上となった場合に不正なフレームを受信したと判断する。フレームＢに関しては、静的フレームのため、ｍｅｓｓａｇｅ　ＩＤは存在しない。ペイロード長は８で固定であり、受信ルールとしては前回受信したハンドル角度との差分が３０度以上となった場合に不正なフレームを受信したと判断する。フレームＣに関しては、動的フレームであるが、ｍｅｓｓａｇｅ　ＩＤは存在しない。ペイロード長は１６であり、受信ルールとしては、停車／走行中であれば（つまりいつでも）受信する可能性があることを示している。フレームＤに関しては、動的フレームであるが、ｍｅｓｓａｇｅ　ＩＤは存在しない。ペイロード長は３２であり、受信ルールとしては、停車中であれば受信する可能性があることを示しており、つまり走行中に受信した場合に不正なフレームであると判断する。フレームＥに関しては、動的フレームであるが、ｍｅｓｓａｇｅ　ＩＤは存在しない。ペイロード長は３２であり、受信ルールとしては、停車／走行中であれば受信する可能性があることを示している。フレームＦに関しては、３つのｍｅｓｓａｇｅ　ＩＤが存在し、０ｘ０００１と０ｘ０００２と０ｘ０００４の３パターンそれぞれに対して受信ルールが定められている。ｍｅｓｓａｇｅ　ＩＤが０ｘ０００１のフレームはペイロード長が３２であり、受信ルールとしては、停車中に受信することが正常であることを示している。ｍｅｓｓａｇｅ　ＩＤが０ｘ０００２のフレームはペイロード長が３２であり、受信ルールとしては、停車／走行中に受信することが正常であることを示している。ｍｅｓｓａｇｅ　ＩＤが０ｘ０００４のフレームはペイロード長が３２であり、受信ルールとしては、走行中に受信することが正常であることを示している。フレームＧに関しては、動的フレームであるが、ｍｅｓｓａｇｅ　ＩＤは存在しない。ペイロード長は３２であり、受信ルールとしては、停車／走行中であれば受信する可能性があることを示している。フレームＨに関しては、動的フレームであるが、ｍｅｓｓａｇｅ　ＩＤは存在しない。ペイロード長は２であり、受信ルールとしては、停車中であれば受信する可能性がある。

　なお、不正検知ＥＣＵ２５０は、受信したフレームが受信ルールに適合するかだけでなく、ペイロード長が正しいかを元に不正なフレームを判断してもよい。

　１．１０　１サイクルルールの一例
　図１１は、不正検知ＥＣＵ２５０の１サイクルルール保持部２５５に格納される１サイクルルールの一例である。１サイクルルールでは、サイクルごとのルールが格納されている。サイクルカウンタが０のときは、動的フレーム数が２０より少なく、Ｓｔａｒｔｕｐ　ｆｒａｍｅの数が２個より少なく、ｓｙｎｃ　ｆｒａｍｅの数が２個より少なく、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１となるフレームが５個より少なく、ｎｕｌｌ　ｆｒａｍｅの数が４個より少なく、Ｅｒｒｏｒとなるフレームの数が５個より少ないことを示している。サイクルカウンタが０のときに、いずれかの条件を満たさない場合に、当該サイクルにおいて異常が発生したとして、不正を検知する。同様にサイクルカウンタが１の場合から、６３の場合までの１サイクルルールが図に記載されている。

　なお、本実施の形態では、全てのサイクルにおけるルールを例示したが、全てのサイクルにおけるルールを保持しておく必要は無い。例えば、サイクルカウンタによらない１つのルールを保持しておいてもよいし、Ｃｙｃｌｅ　ｏｆｆｓｅｔとＣｙｃｌｅ　ｒｅｃｅｐｔｉｏｎの組ごとに１サイクルルールを保持してもよい。これにより、１サイクルルールのメモリ数を削減することができ効果的である。

　１．１１　全サイクルルールの一例
　図１２は、不正検知ＥＣＵ２５０の全サイクルルール保持部２５６に格納される全サイクルルールの一例である。全サイクルルールでは、フレームごとに全サイクルの統計量に対するルールが格納されている。

　フレームＡに関しては、受信数が６４個であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの個数が３個より少なく、ｓｙｎｃ　ｆｒａｍｅの数が６４個、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１であるフレームの個数が０個、ｎｕｌｌ　ｆｒａｍｅの個数が３個より少なく、Ｅｒｒｏｒとなったフレームの数も３個より少ないことがルールとして記載されている。いずれかの条件を満たさない場合に、不正検知ＥＣＵ２５０は、当該フレームに関する異常があったと判断して、不正を検知する。フレームＢからフレームＨについても、同様のルールが設定されている。

　なお、本実施の形態では、フレームごとに全サイクルにわたるルールを保持しているが、フレームごとに分ける必要は無い。例えば、全フレームにわたる統計量のルールを保持していてもよい。これにより、全サイクルルールのメモリ数を削減することができ効果的である。

　１．１２　受信履歴の一例
　図１３Ａ、図１３Ｂ、図１３Ｃは、不正検知ＥＣＵ２５０の受信履歴保持部２５７に格納される受信履歴の一例である。図１３Ａは、受信履歴の中でも、各フレームの前回受信値と車両状態を保持している例を示し、図１３Ｂは、サイクルごとの統計量を保持している例を示し、図１３Ｃは、フレームごとに全サイクルにおける統計量を保持している例を示している。

　図１３Ａは、受信履歴のうち、各フレームの前回受信値と車両状態を示した一例である。図ではフレームごとに前回受信値と受信時刻（ｕｓ）が保持されている。フレームＡに含まれる速度の前回受信値は４０．５ｋｍ／ｈであり、前回の受信時刻が１２１００ｕｓであったことを示している。フレームＢに含まれるハンドル角度の前回受信値は５度であり、前回受信時刻は８１００であったことを示している。フレームＣに含まれるギア状態はドライブ状態であり、前回受信時刻は１２４００ｕｓであったことを示している。フレームＤに含まれるカメラ情報１の前回受信値は、前方車両の検知を示しており、前回の受信時刻は１４４０ｕｓであったことを示している。フレームＥに含まれるカメラ情報２の前回受信値は歩行者検知を示しており、受信時刻は５４８０ｕｓであったことを示している。フレームＦに含まれるカメラ情報３の前回受信値はレーン検知状態を示しており、受信時刻は９５２０ｕｓであったことを示している。フレームＧに含まれるカメラ状態４の前回受信値は、後方のカメラが未起動であることを示しており、受信時刻は１３５６０ｕｓであることを示している。フレームＨに含まれるドア状態の前回受信値は「閉」状態であることを示しており、受信時刻は１６００ｕｓであることを示している。また車両状態は走行中であることを示している。車両状態は、不正検知部２５２が、フレームＡの車両の速度が０ｋｍ／ｈより大きい場合は、走行状態として受信履歴保持部２５７に格納されている車両状態を更新する。不正検知部２５２は、車両の速度が０ｋｍ／ｈの場合は停止状態に車両状態を更新する。なお、本実施の形態では、受信時刻を保持しているが、受信時刻を保持しないでもよい。また、受信時刻をｕｓ単位で保持しているが、単位は何でもよい。例えばＦｌｅｘＲａｙプロトコルで用いる内部クロックから算出されるマイクロティック数を単位としてもよいし、マイクロティックによって定義されるマクロティックの個数を単位としてもよい。

　図１３Ｂは、受信履歴のうち、サイクルごとの統計量を示した一例である。図ではサイクルごとに、動的フレームの受信数、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数、ｓｙｎｃｆｒａｍｅの受信数、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１であるフレームの受信数、ｎｕｌｌ　ｆｒａｍｅの受信数、Ｅｒｒｏｒフラグのあるフレームの受信数が保持されている。サイクルカウンタが０のときは動的フレームの受信数は１０であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は１、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は１であったことを示している。サイクルカウンタが１のときは動的フレームの受信数は１１であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は１、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は１であったことを示している。サイクルカウンタが２のときは動的フレームの受信数は１０であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は１、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は１、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は１であったことを示している。サイクルカウンタが３のときは動的フレームの受信数は１０であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は１２、ｓｙｎｃ　ｆｒａｍｅの受信数は１、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は１、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は１であったことを示している。サイクルカウンタが６１のときは動的フレームの受信数は１０であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は１、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は１、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は１であったことを示している。サイクルカウンタが６２のときは動的フレームの受信数は１２であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は１、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は１、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は１であったことを示している。サイクルカウンタが６３のときは動的フレームの受信数は１０であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は１、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は１、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は１であったことを示している。

　なお、本実施の形態では動的フレームの受信数のみを保持していたが、静的フレームの受信数を保持してもよい。また、本実施の形態ではＥｒｒｏｒの発生したフレームの個数を記録していたが、具体的なＥｒｒｏｒフラグごと（シンタックスエラー、コンテンツエラー、境界エラー）に、個数を記録してもよい。

　図１３Ｃは、受信履歴のうち、全サイクルにおける統計量をフレームごとに整理した一例である。図では、フレームごとに受信数、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数、ｓｙｎｃｆｒａｍｅの受信数、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１であるフレームの受信数、ｎｕｌｌ　ｆｒａｍｅの受信数、Ｅｒｒｏｒフラグのあるフレームの受信数が保持されている。フレームＡの受信数は６４であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は６４、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は０であったことを示している。同様に、フレームＢの受信数は３２であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は０、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は１５であったことを示している。フレームＣの受信数は３２であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は０、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は０であったことを示している。フレームＤの受信数は１６であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は０、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は０であったことを示している。フレームＥの受信数は１６であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は０、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は０であったことを示している。フレームＦの受信数は１６であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は０、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は１６、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は０であったことを示している。フレームＧの受信数は１６であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は０、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は０であったことを示している。フレームＨの受信数は８であり、ｓｔａｒｔｕｐ　ｆｒａｍｅの受信数は０、ｓｙｎｃ　ｆｒａｍｅの受信数は０、ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１のフレームの受信数は０、ｎｕｌｌ　ｆｒａｍｅの受信数は０、Ｅｒｒｏｒとなったフレームの数は０であったことを示している。

　なお、本実施の形態では、全サイクルにおける統計量をフレームごとに整理しているが、全フレームにわたる統計量のみを保持していてもよい。これにより使用メモリの削減につながり効果的である。また本実施の形態では、フレーム名（スロットＩＤと、Ｃｙｃｌｅ　ｏｆｆｓｅｔ、Ｃｙｃｌｅ　ｒｅｃｅｐｔｉｏｎの組）ごとに統計量を保持していたが、動的フレームにおけるＭｅｓｓａｇｅ　ＩＤごとに統計量を保持していてもよい。（図１３Ｄ）

　１．１３　不正検知ＥＣＵ２５０の動作（全体）
　図１４は、不正検知ＥＣＵ２５０の動作を表したフローチャートである。不正検知ＥＣＵ２５０は、フレームを受信したかを判断する（Ｓ１００１）。不正検知ＥＣＵ２５０において、フレームを受信した場合はホワイトリストチェックを行う（Ｓ１００２）。不正検知ＥＣＵ２５０において、フレームを受信していない場合は、サイクルのスタートタイミングであるかを判断する（Ｓ１００７）。

　不正検知ＥＣＵ２５０は、ホワイトリストチェック（Ｓ１００２）の後、ＯＫであった場合に受信したフレーム不正検知処理を実行する（Ｓ１００３）。その後、不正検知ＥＣＵ２５０は、受信履歴保持部２５７に格納される受信履歴を更新し（Ｓ１００４）、不正検知ＥＣＵ２５０は、処理を終了する。ホワイトリストチェック（Ｓ１００２）がＮＧであった場合は、不正検知ＥＣＵ２５０は、処理を終了する。

　不正検知ＥＣＵ２５０は、サイクルのスタートであることを判断（Ｓ１００５）した場合は１サイクル不正検知処理（Ｓ１００６）を実行する。そうでない場合は、不正検知ＥＣＵ２５０は、Ｓ１００１の処理に戻る。

　不正検知ＥＣＵ２５０は、１サイクル不正検知処理（Ｓ１００６）後に、サイクルカウンタが０であるかを判断する（Ｓ１００７）。サイクルカウンタが０であった場合は、不正検知ＥＣＵ２５０は、全サイクル不正検知処理（Ｓ１００８）を実行し、不正検知ＥＣＵ２５０は、受信履歴保持部２５７に格納されているサイクルの全サイクルの統計情報をリセットする（Ｓ１００９）。サイクルカウンタが０でない場合は、不正検知ＥＣＵ２５０は、処理を終了する。

　１．１４　不正検知ＥＣＵ２５０の動作（ホワイトリストチェック）
　図１５は、不正検知ＥＣＵ２５０の動作のうちホワイトリストチェック（Ｓ１００２）の詳細を表したフローチャートである。不正検知ＥＣＵ２５０は図１４のＳ１００１でフレームを受信したことを判断すると、フレームに含まれるスロットＩＤを抽出する（Ｓ１１０１）。スロットＩＤが正規ＩＤリスト保持部２５３に格納される正規ＩＤリストに存在しない場合（Ｓ１１０２でＮ）は、不正検知ＥＣＵ２５０は、不正なフレームを検出した（Ｓ１１０６）として処理を終了する（ホワイトリストＮＧ）。正規ＩＤリストに存在する場合（Ｓ１１０２でＹ）は、不正検知ＥＣＵ２５０は、フレームに含まれるサイクルカウンタを抽出する（Ｓ１１０３）。

　不正検知ＥＣＵ２５０は、正規ＩＤリスト保持部２５３に格納されている正規ＩＤリスト内の対応するスロットＩＤにおける、Ｃｙｃｌｅ　ｏｆｆｓｅｔとＣｙｃｌｅ　ｒｅｃｅｐｔｉｏｎの組み合わせを全て抽出する（Ｓ１１０４）。その後、不正検知ＥＣＵ２５０は、抽出した全ての組み合わせに対して、フレームから抽出したサイクルカウンタをＣｙｃｌｅ　ｏｆｆｓｅｔで減算した値をＣｙｃｌｅ　ｒｅｃｅｐｔｉｏｎで割った余りが０であるかを確認する（Ｓ１１０５）。もし結果が０である組み合わせが存在しない場合は不井なフレームを検出したとして（Ｓ１１０６）、不正検知ＥＣＵ２５０は、処理を終了する（ホワイトリストＮＧ）。結果が０である組み合わせが存在する場合は、不正検知ＥＣＵ２５０は、そのまま処理を終了する（ホワイトリストＯＫ）。

　１．１５　不正検知ＥＣＵ２５０の動作（フレーム不正検知処理）
　図１６は、不正検知ＥＣＵ２５０の動作のうちフレーム不正検知処理（Ｓ１００３）の詳細を表したフローチャートである。まず不正検知ＥＣＵは受信したフレームが動的フレームであるかを判断する（Ｓ１２０１）。動的フレームである場合は、不正検知ＥＣＵ２５０は、フレームに含まれるＰｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１であるかを確認する（Ｓ１２０２）。受信したフレームが動的フレームでなく、静的フレームである場合は、受信履歴保持部２５７に格納される対応する受信履歴に基づき、不正検知ＥＣＵ２５０は、フレームルール保持部２５４に格納される対応するルールに適合するかを判断する。（Ｓ１２０６）。

　Ｓ１２０２において、Ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１である場合は、Ｍｅｓｓａｇｅ　ＩＤがフレームのペイロード部に含まれているため、不正検知ＥＣＵ２５０は、Ｍｅｓｓａｇｅ　ＩＤを抽出する（Ｓ１２０３）。Ｍｅｓｓａｇｅ　ＩＤを抽出した後と、Ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが０であった場合は、不正検知ＥＣＵ２５０は、受信履歴保持部２５７に格納されている車両状態が、フレームルール保持部２５４に格納されている、対応するフレームの受信条件に合致するかを確認する（Ｓ１２０４）。受信条件に合致する（フレームルールに適合する）場合は、不正検知ＥＣＵ２５０は、処理を終了する。そうでない場合は、不正検知ＥＣＵ２５０は、不正フレームを検出（Ｓ１２０５）して処理を終了する。

　Ｓ１２０６において受信した静的フレームが、対応するルールに適合しない場合は、不正検知ＥＣＵ２５０は、不正なフレームを検出して処理を終了する。ルールに適合する場合は、不正検知ＥＣＵ２５０は、そのまま処理を終了する。

　２．　その他変形例
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、スター型のネットワークトポロジにおける例を示しているがネットワークトポロジを限るものではない。例えば、バス型、スター型とバス型のハイブリッドなどのネットワークトポロジを取りうる。

　（２）上記の実施の形態では、不正検知部は不正検知ＥＣＵにのみ存在したが、各ＥＣＵ上に存在してもよい。これにより、不正なフレームを各ＥＣＵが判断し、不正なフレームに基く制御を抑制することができ効果的である。さらに、不正検知部を他のネットワークと接続されるゲートウェイやドメインコントローラ上に配置することで、不正なフレームを他のネットワークへ転送することを防ぐことができ効果的である。

　（３）上記の実施の形態では、不正なフレームを検出して終了しているが、不正なフレームを検出したとき対応はこれに限らない。例えば不正なフレームに関する、ヘッダ情報や、ペイロード値、受信時刻等をログとして保存しておいてもよいし、他のＥＣＵに不正なフレームの通知を行ってもよいし、外部のサーバへ当該車両の不正発生を通知してもよいし、運転者へ車載ネットワークに不正が発生したことを通知してもよい。また不正検知部がゲートウェイやドメインコントローラ上に配置されている場合は、当該不正フレームを他のネットワークに転送しない、転送する際に不正なフレームであることを示す情報を付加して転送する等の処理を実行してもよい。

　（４）上記の実施の形態では、不正検知ＥＣＵがフレーム不正検知処理、１サイクル不正検知処理、全サイクル不正検知処理の３つ不正検知処理を行っていたが、３つの不正検知処理を全て行う必要は無い。少なくともひとつ行えばよく、いずれか２つを組み合わせて実行してもよい。また、初期状態では全サイクル不正検知処理のみを実行しており、全サイクル不正検知処理にて、不正なフレームが送信されていることを検知した場合にのみ、当該フレームに対するフレーム不正検知処理を実行するようにしてもよい。これにより、不正なフレームが検知されていない状況では、処理負荷を軽減しつつ不正検知処理を行い、不正なフレームが検出された場合には、より詳細な不正を検知することが可能となり、処理負荷軽減と安全性向上のバランスをとることが可能となり効果的である。あるいは全サイクル不正検知処理にて、不正なフレームが送信されていることを検知した場合にのみ、以降の当該フレームの情報の記録の開始、外部サーバへの通知を実行してもよい。これにより車内で検知した不正に関する、詳細分析を外部で行いやすくなり効果的である。

　（５）上記の実施の形態では、フレームルール、１サイクルルール、全サイクルルールを平文で保持していたが、暗号化して保持していてもよい。

　（６）上記の実施の形態では、サイクルの開始時にサイクル不正検知を行っていたが、ネットワークアイドルタイムの開始時に、サイクルの不正検知を行っても良い。これにより、フレームの送受信が発生しないタイミングにおいて、不正検知処理を実行することが可能となり、ＥＣＵの処理負荷が分散され効果的である。

　（７）上記の実施の形態では、フレームルール保持部に格納される受信ルールは、各フレーム１つであったが、１つ以上あってもよい。また受信ルールが存在しなくてもよい。これにより、フレームの重要度に応じた、チェックが可能となり、車載ネットワークの安全性を高めることに効果的である。

　（８）上記の実施の形態では、フレームルール保持部に格納される受信ルールは、動的フレームの場合は、受信時の車両状態が、設定されていたが、車両状態に限るものではない。例えば、前回値との変化量に関するルールを設定してもよい。

　（９）上記の実施の形態では、フレームルール保持部に格納される受信ルールは、Ｍｅｓｓａｇｅ　ＩＤごとに設定されていたが、フレーム名ごとに設定されていてもよい。これにより、ルールを効率的に保持することでメモリ削減につながり効果的である。

　（１０）上記の実施の形態では、１サイクルルール保持部は、１サイクルの統計情報に関するルールが保持されていたが、１サイクルでなく、任意のサイクル数を定めてもよい。

　（１１）上記の実施の形態では、正規ＩＤリストに、フレーム名を保持していたが、フレーム名は保持していなくてもよい。

　（１２）上記の実施の形態では、正規ＩＤリスト内に、１つのフレームに対して、１つのペイロード情報が保持されていたが、１つ以上保持されていてもよく、ペイロード情報が無くてもよい。またペイロード情報として、速度などの各信号のペイロード上のフィールドを示す情報（フィールドの位置、長さ、単位等）が含まれていてもよい。

　（１３）上記の実施の形態では、１サイクルルール保持部に格納される、１サイクルルールの各閾値は固定であったが、車両の走行状態に応じて可変であってもよい。例えば動的フレームの受信数は、走行状態に応じて変わりうるため、走行中は閾値を増加（減少）させてもよい。

　（１４）上記の実施の形態では、１サイクルルール不正検知処理、および全サイクルルールの各統計量は独立に評価され、いずれかの統計量において適合しないものがあった場合に不正とするルールを保持していたが、ルールの保持方法はこれに限らない。例えば、各統計量を特徴量として、正常状態を学習させたＳｕｐｐｏｒｔ　Ｖｅｃｔｏｒ　Ｍａｃｈｉｎｅ等の識別器により、不正を判断してもよい。また統計量を主成分分析等の手法を用いて次元を削減させた上で、Ｌｏｃａｌ　Ｏｕｔｌｉｅｒ　Ｆａｃｔｏｒなどの外れ値検出手法を用いて不正を判断してもよい。これにより、各統計量は閾値の不正の閾値以下であったとしても、不正な統計量の組み合わせを検知することが可能となり効果的である。

　（１５）上記の実施の形態では、１サイクルルールおよび全サイクルルールの統計量の閾値は予め与えられていたが、車両走行中に、正常状態を学習してもよい。例えば、不正検知ＥＣＵの電源が入ってから、所定の時間分のデータから、統計量を学習してもよい。これにより、運転者や、車両モデル、走行環境に合わせたルールの修正が可能となり、効果的である。

　（１６）上記の実施の形態では、受信履歴の前回受信値をフレーム名ごとに１信号だけ保持していたが、複数信号保持していてもよいし、ペイロード値をそのまま保持していてもよい。

　（１７）上記の実施の形態では、受信履歴に含まれる車両状態は、走行中か停止中の２状態のみであったが、車両状態はこの２状態に限らない。例えば、イグニッションオン状態、アクセサリーオン状態、低速走行状態、高速走行状態、ハンドル操舵状態、ギア状態、やこれらを組み合わせた状態を取りうる。特に動的フレームの送信条件と係る車両状態を選択することで、精度よく不正なフレームを検知できるようになり効果的である。

　（１８）上記実施の形態では、フレーム不正検知処理、１サイクル不正検知処理、全サイクル不正検知処理の結果、不正なフレームの送信を検知のみであったが、それぞれの処理に応じて、不正検知ログの残し方や、対処方法を変化させてもよい。例えば、フレーム不正検知の結果、不正と判定されたフレームについては、当該フレームに係る情報をログに残し、外部サーバへ通知する、さらに不正検知部がゲートウェイ等に実装されている場合は、当該フレームを転送しない等の処理を行ってもよい。これにより不正なフレームの送信がフレーム単位で判断できる場合は、より詳細な情報を残し、後の攻撃原因の解析や、当該フレームを利用しない等の具体的な対処が行え、効果的である。

　１サイクル不正検知処理で、不正なフレームが送信されていると判定された場合は、当該サイクルの統計量の情報をログとして残し、外部サーバへ通知する。１サイクル不正検知処理では、サイクル単位で攻撃の発生時刻を把握することができ、効果的である。

　全サイクル不正検知処理で、不正なフレームが送信されていると判定された場合は、フレーム名ごとに統計量を整理し、異常な統計量を含むフレームに関してログを残し、外部サーバへ通知する。これにより、単一のフレームでは、判断できなかったフレームの異常を複数サイクルにわたり観測することで、フレームの種類のレベルで判断することが可能となり、人手による解析時に、攻撃の原因把握を容易になり効果的である。

　（１９）上記の実施の形態では、全サイクルルールは、各フレームの受信数に係る統計量であったが、受信数に限らない。例えば、ペイロードに含まれる信号値の総変化量や、平均変化量、分散等をルールとして保持していてもよい。

　（２０）上記の実施の形態では、動的フレーム、静的フレームを併せたサイクルルールを保持していたが、静的フレームと、動的フレームに関するサイクルルールを分けて保持してもよい。これにより、フレームを安定的に受信する静的フレームの統計量と、フレームの受信が不安定な動的フレームの統計量をもとに、それぞれの不正発生を判断することができ、より正確に不正なフレームの送信を検知することが可能となる。

　（２１）上記の実施の形態では、車載ネットワークとしてＦｌｅｘＲａｙプロトコルを用いていたが、これに限るものではない。例えば、ＣＡＮ、ＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｒｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、Ｅｔｈｅｒｎｅｔ、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、組み合わせたネットワークであってもよい。特にタイムトリガー方式を採用しているネットワークに対して有効である。

　（２２）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２３）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又はすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサーを利用しても良い。

　さらには、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（２４）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（２５）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（２６）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、車載ネットワークに流れるフレームを観測し、不正なフレームを検出することで、安全な車載ネットワークシステムを提供する。これにより車載ネットワークシステム全体として、安全な状態を維持することができる。

　１０　車載ネットワークシステム
　１００ａ、１００ｂ、１００ｃ、１００ｄ、１００ｅ　バス
　２００ａ、２００ｂ、２００ｃ、２００ｄ　ＥＣＵ
　２０１　フレーム送受信部
　２０２　フレーム解釈部
　２０３　外部機器制御部
　２０４　フレーム生成部
　２０５　通信用設定パラメータ保持部
　２１０　ハンドル
　２２０　ギア
　２３０　ブレーキ
　２４０　カメラ
　２５０　不正検知ＥＣＵ
　２５２　不正検知部
　２５３　正規ＩＤリスト保持部
　２５４　フレームルール保持部
　２５５　１サイクルルール保持部
　２５６　全サイクルルール保持部
　２５７　受信履歴保持部
　３００　スターカプラ
　３０１ａ、３０１ｂ、３０１ｃ、３０１ｄ、３０１ｅ　トランシーバ部
　３０２　ルーティング部

Claims

　タイムスロットに基くタイムトリガー型の通信方式である車載ネットワークにおける不正検知電子制御装置であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、
　前記不正検知電子制御装置は、前記フレームを受信するフレーム受信部と、不正なフレームの受信を検知する不正検知部と、を備え、
　前記不正検知部は、複数の前記タイムスロットから構成されるサイクルの繰り返し回数と、前記フレームに含まれるスロットＩＤとに基いて、不正なフレームの受信を判断する、
　ことを特徴とする不正検知電子制御装置。
　前記通信方式は、ＦｌｅｘＲａｙプロトコルであり、前記サイクルの繰り返し回数はＦｌｅｘＲａｙプロトコルにおけるサイクルカウンタである、
　ことを特徴とする請求項１記載の不正検知電子制御装置。
　前記不正検知部は、１以上の所定のサイクル数の間に受信した保護対象フレームに含まれる情報の統計量が、前記所定のサイクル数の間に受信した保護対象フレームに含まれる情報の統計量の範囲を示したサイクルルールから逸脱しているかを比較することによって不正なフレームが送信されたことを検知するサイクル不正検知部を備える、
　ことを特徴とする請求項２記載の不正検知電子制御装置。
　前記保護対象フレームは、受信したフレームに含まれるスロットＩＤが所定のスロットＩＤに合致し、かつ、受信したフレームに含まれるサイクルカウンタが、前記サイクルカウンタから所定のオフセット値を減算し、所定の受信サイクルで割った余りが０となる関係性を満たす、
　ことを特徴とする請求項３記載の不正検知電子制御装置。
　前記統計量は、フレームの受信数、Ｓｙｎｃフレームの受信数、ｎｕｌｌフレームの受信数、Ｐｒｅａｍｂｌｅ　ｉｎｄｉｃａｔｏｒが１であるフレームの受信数、エラーが発生しているフレームの受信数、Ｓｔａｒｔｕｐフレームの受信数のうち、少なくとも１つ以上を含む、
　ことを特徴とする請求項３または４記載の不正検知電子制御装置。
　前記不正検知部は、さらに、フレーム受信ごとに、当該フレームが不正であるかを判断する不正フレーム検知部を備え、
　不正フレーム検知部は、前記サイクル不正検知部で、不正なフレームが送信されたことを検知した以降に実行される、
　ことを特徴とする請求項５記載の不正検知電子制御装置。
　前記サイクルは、予め定められたスケジュールに基いて常にフレームの送受信を行う静的セグメントと、予め定められたスケジュールに基いて、必要に応じてフレームの送受信を行う動的セグメントを備え、
　前記不正検知部は、前記動的セグメント内で受信した不正な動的フレームを、前記動的フレームを受信する以前に受信したフレームから判定される車両走行状態と、前記動的フレームに含まれる情報を用いて判断する、
　ことを特徴とする請求項１または２記載の不正検知電子制御装置。
　前記不正検知部は、所定スロットＩＤと所定の関係性を満たすサイクルカウンタを含む前記動的フレームを受信したタイミングにおける、前記車両走行状態が、所定の状態でない場合に、受信した前記動的フレームを不正なフレームであると判断する、
　ことを特徴とする請求項７記載の不正検知電子制御装置。
　タイムスロットに基くタイムトリガー型の通信方式である車載ネットワークにおける不正検知方法であって、前記車載ネットワークには、１以上の電子制御装置が接続され、前記各電子制御装置は予め定められた所定のタイムスロット内でフレームを送受信し、
　前記不正検知方法は、前記フレームを受信するフレーム受信ステップと、不正なフレームの受信を検知する不正検知ステップと、を備え、
　前記不正検知ステップは、複数の前記タイムスロットから構成されるサイクルの繰り返し回数と、前記フレームに含まれるスロットＩＤとに基いて、不正なフレームの受信を判断する、
　ことを特徴とする不正検知方法。