WO2020075826A1 - 機器、データ送信方法及びプログラム - Google Patents

機器、データ送信方法及びプログラム Download PDF

Info

Publication number
WO2020075826A1
WO2020075826A1 PCT/JP2019/040113 JP2019040113W WO2020075826A1 WO 2020075826 A1 WO2020075826 A1 WO 2020075826A1 JP 2019040113 W JP2019040113 W JP 2019040113W WO 2020075826 A1 WO2020075826 A1 WO 2020075826A1
Authority
WO
WIPO (PCT)
Prior art keywords
log
transmission
priority
data
unit
Prior art date
Application number
PCT/JP2019/040113
Other languages
English (en)
French (fr)
Inventor
慶太 長谷川
卓麻 小山
靖 岡野
田中 政志
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to CN201980057826.2A priority Critical patent/CN112639909B/zh
Priority to EP19871898.3A priority patent/EP3800623A4/en
Priority to JP2020551236A priority patent/JPWO2020075826A1/ja
Priority to US17/281,539 priority patent/US11528325B2/en
Publication of WO2020075826A1 publication Critical patent/WO2020075826A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Definitions

  • the present invention has been made in view of the above points, and an object thereof is to reduce a communication load due to data generated in a device.
  • the device determines the priority of transmission of the data to the information processing device based on one or more preset rules for each data generated in the device.
  • a second determination unit that determines, for each of the data, whether transmission to the information processing apparatus is necessary based on the priority determined for the data, and the device that has occurred in the device for a predetermined period.
  • the transmitting unit that transmits to the information processing device the data that has been determined by the second determination unit to be transmitted to the information processing device.
  • the memory device 103 reads the program from the auxiliary storage device 102 and stores the program when an instruction to activate the program is given.
  • the CPU 104 executes the function related to the monitoring server 10 according to the program stored in the memory device 103.
  • the interface device 105 is used as an interface for connecting to a network.
  • the communication device 210 connects with a communication module for connecting to the network N1, a communication module for communicating with another vehicle 20 or a device on the road, or a smartphone or the like via a wireless LAN or short-range wireless communication. It includes a communication module for
  • the gateway 240 is a gateway (for example, CGW (Central Gateway)) for connecting the information subsystem 220 and the control subsystem 230. That is, the communication protocol handled by the information subsystem 220 is, for example, the IP protocol, and the communication protocol used for communication between the microcomputers 231 in the control subsystem 230 is a non-IP protocol specialized for control (for example, , CAN (Controller Area Network)). Therefore, the barrier 240 for absorbing the difference between these communication protocols is provided.
  • CGW Central Gateway
  • the abnormality determination unit 253 determines the degree (level) of abnormality of the vehicle 20 based on the control system log and the sensor log. Specifically, the abnormality determination unit 253 calculates a value of an index indicating the degree of abnormality (hereinafter referred to as “abnormality score”). However, only the control system log may be used to calculate the abnormality score.
  • the transmission timing detection unit 256 detects the arrival of the transmission (upload) timing (hereinafter referred to as “transmission timing”) to the monitoring server 10 for the logs stored in the control system log DB 273 or the sensor log DB 274.
  • the log receiving unit 11 receives a log transmitted (uploaded) from the vehicle 20 and stores the log in the control system log DB 15 or the sensor log DB 16.
  • FIG. 5 is a flowchart for explaining an example of a processing procedure when a log is generated.
  • FIG. 6 is a diagram showing a configuration example of a log.
  • (1) shows an example of the control system log.
  • the control system log includes the date and time, the vehicle ID, the element ID, Data [0], Data [1], Data [2], Data [3], Data [4], etc. (hereinafter, "Data []”). ".) And.
  • the date and time is the date and time when the control system log was acquired (the date and time when communication related to the control system log was performed).
  • the vehicle ID is identification information of the vehicle 20.
  • the element ID is identification information of the constituent elements of the vehicle 20.
  • the element ID in the control system log is identification information of the microcomputer 231 that has performed communication related to the control system log.
  • Data [] is data included in the communication. For example, if the communication is communication related to engine control, the value of each parameter related to engine control becomes the value of each Data []. However, not only the value of each parameter related to engine control, but also data such as checksum and counter may be included in Data [].
  • the sensor log includes a date and time, a vehicle ID, an element ID, and data specific to the sensor related to the sensor log.
  • the date and time is the date and time when the sensor log was generated.
  • the vehicle ID is identification information of the vehicle 20.
  • the element ID is identification information of the sensor that is the output source of the data related to the sensor log. Since the sensor log in FIG. 6 is a sensor log based on the data acquired from the acceleration sensor, it includes Acc_X, Acc_Y, and Acc_Z as data unique to the acceleration sensor.
  • Acc_X, Acc_Y, and Acc_Z are acceleration in the X-axis direction, acceleration in the Y-axis direction, and acceleration in the Z-axis direction, respectively.
  • the priority determination unit 254 refers to the priority rule DB 271 and determines the priority of the target log (S103).
  • a priority rule may be defined in which the priority is equal to or higher than the threshold in step S104 only when the vehicle ID has a specific value, and is lower than the threshold in step S104 otherwise. By doing so, the log upload source can be limited to some of the vehicles 20.
  • a priority rule is set to increase the priority if the variance of the date and time interval of the log (control system log) for the microcomputer 231 is greater than or equal to a threshold. May be. Further, if the interval is less than the threshold value, a priority rule that the priority is not increased or the priority is decreased may be set. "Increasing the priority” may be realized by outputting a priority having a positive value, and “decreasing the priority” may be realized by outputting a priority having a negative value.
  • a priority rule may be set for each microcomputer 231 or each sensor to raise the priority when the abnormality score is equal to or higher than a threshold value.
  • the above thresholds may be different for each microcomputer 231 and each sensor.
  • the priority determination unit 254 may dynamically change the priority determination criteria (for example, the above thresholds and the like) based on the priority rule according to the state of the vehicle 20 and the like.
  • the log processing unit 255 stores the target log in the control system log DB 273 or the sensor log DB 274 (S105). That is, if the target log is the control system log, the target log is stored in the control system log DB 273. If the target log is the sensor log, the target log is stored in the sensor log DB 274. At this time, the abnormality score determined in step S102 and the priority determined in step S103 are added to the target log.
  • step S202 and subsequent steps are executed.
  • the log may be transmitted at regular intervals.
  • the transmission timing detection unit 256 detects the arrival of the transmission timing when a fixed time has elapsed since the previous log transmission.
  • the log may be transmitted in response to the occurrence of a specific log.
  • the transmission timing detection unit 256 detects the arrival of the transmission timing when the target log corresponds to a specific log.
  • a specific log a log having a very high abnormality score can be given as an example.
  • the log may be transmitted every time a certain number of logs are saved.
  • the transmission timing detection unit 256 detects the arrival of the transmission timing when the total number of logs stored in the control system log DB 273 or the sensor log DB 274 reaches a certain number after the previous log transmission.
  • the log may be transmitted in response to the occurrence of a specific event (for example, a change in the communication method between the vehicle 20 and the monitoring server 10).
  • the transmission timing detection unit 256 detects the arrival of the transmission timing according to the occurrence of a specific event.
  • the log may be transmitted at two or more timings described above, or the log may be transmitted in response to a transmission request from the monitoring server 10.
  • ⁇ Communication method means the route of the network used for communication and the method of communication in the network.
  • the communication device 210 may have redundancy regarding the communication method with the monitoring server 10. Specifically, when it is difficult to connect to a normal communication method (for example, a communication method using a mobile communication network), the communication device 210 uses another communication method to communicate with the monitoring server 10. It may be able to maintain communication.
  • the communication device 210 may be connected to the monitoring server 10 via the smart terminal if the communication device 210 can be connected to the mobile communication network via the smart terminal or the like of any occupant of the vehicle 20.
  • the communication device 210 may be capable of communicating with the roadside unit, the ITS infrastructure, or another vehicle 20. In this case, the communication device 210 may connect to the monitoring server 10 using road-to-vehicle communication or vehicle-to-vehicle communication.
  • Such adjustment may be performed between the transmission candidate log groups having the same priority, or may be performed beyond the range of the transmission candidate log groups having the same priority.
  • the adjustment among the transmission candidate log groups having the same priority means that the transmission order of the transmission candidate logs of the microcomputer 231 regarding the behavior of the vehicle 20 is higher in the transmission candidate log groups having the same priority. It means that the transmission order of the transmission candidate log of the telemetry-related microcomputer 231 is higher.
  • the adjustment beyond the range of the transmission candidate log group having the same priority means, for example, a predetermined value for the priority of the transmission candidate log of the microcomputer 231 regarding the behavior of the vehicle 20 or the transmission candidate log of the telemetry-related microcomputer 231.
  • FIG. 11 is a flowchart for explaining an example of a processing procedure of a priority rule changing process in response to a request from the monitoring server 10.
  • the rule receiving unit 260 waits for reception of a priority rule change request from the monitoring server 10 (S301).
  • step S302 and the subsequent steps are executed.
  • the monitoring server 10 transmits a priority rule change request to the vehicle 20 at the following timing.
  • step S302 the rule receiving unit 260 updates the priority rule DB 271 with the priority rule included in the received change request (S302). Specifically, among the priority rules stored in the priority rule DB 271, the priority rule including the same element ID as the received priority rule is overwritten by the received priority rule.
  • the priority range change request from the monitoring server 10 may specify the log range (periodic range) to which the changed priority rule is applied.
  • the range may include a past period.
  • the changed priority rule may be applied to the log past the change request.
  • the log prior to the change request may be re-determined in priority and the log to be transmitted may be changed.
  • the vehicle 20 has been described as an example of the device, but the present embodiment may be applied to other devices having a communication function.
  • the present embodiment is applied to robots in factories, sensors arranged in various places, audio devices, home appliances, communication terminals (smartphones, tablet terminals, etc.), and devices generally called IoT (Internet of Things) devices. May be applied.
  • IoT Internet of Things

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Traffic Control Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

機器において発生するデータごとに、予め設定された1以上のルールに基づいて、前記データの情報処理装置への送信に関する優先度を判定する第1の判定部と、前記データごとに、当該データについて判定された前記優先度に基づいて、前記情報処理装置への送信の要否を判定する第2の判定部と、所定の期間において当該機器において発生したデータのうち、前記第2の判定部によって前記情報処理装置への送信が必要であると判定されたデータを前記情報処理装置へ送信する送信部と、を有することで、機器において発生するデータによる通信負荷を低減する。

Description

機器、データ送信方法及びプログラム
 本発明は、機器、データ送信方法及びプログラムに関する。
 今後普及が見込まれるコネクテッドカー(外部ネットワークに接続する車両)においては、従来においてディーラーでの持ち込み作業であったECU(Electronic Control Unit)のソフトウェアアップデートが無線で行われるなど、利便性の向上が期待されている。
 一方で、車両やその制御機器が外部ネットワークに繋がることにより、コネクテッドカーが、従来のIT機器同様、悪意の有る攻撃者からのサイバー攻撃の対象となる懸念が指摘されている。実際に車両に搭載されたECUを、外部ネットワークからのアクセスによって不正に改竄し、車両制御を乗っ取ることが可能であったとする研究も報告されている。
 このような脅威に対して、様々な事前の対策技術が検討されているが、サイバー攻撃のリスクを完全に防ぐような対策手段というものは存在しない。したがって、万が一サイバー攻撃が発生した場合に対しても有効な事後の対策を考えておく必要がある。ECUを改竄することで車両の制御を乗っ取るような攻撃を考えた場合、車両での対策を取るためには、車載ネットワークで発生する通信を継続的に監視し、異常を検出する手法がある。しかしながら、一般に車載機器の計算リソースは潤沢ではない場合が多く、計算負荷の大きな異常検知手法は適用困難である場合が多い。
 そこで、昨今では、車両だけで対処するのではなく、クラウドと車両の双方を利用することによって、計算負荷の高い処理をクラウドで、計算負荷の低い処理や低遅延性が求められる処理を車載機で行うようなサーバクライアント連携でのサイバー攻撃への対処技術の検討が進んでいる(例えば、非特許文献1)。
"サイバー攻撃に対抗するオートモーティブ侵入検知防御システムを開発"、[online]、インターネット<URL:https://news.panasonic.com/jp/press/data/2017/10/jn171010-2/jn171010-2.html>
 しかしながら、より多くの車載器が電子的に制御されるようになったことに伴い、車内で生成される通信・状態等のログ情報や各種センサ情報の量は増大することが考えられる。これら全てのデータを車載器に保持したり、サーバにアップロードしたりすることは保存や通信コストの観点から困難である。一方で、上記のようなコネクテッドカーに対するサイバー攻撃の可能性に鑑みれば、攻撃を検知するために適切なデータがサーバにアップロードされる必要がある。つまり、潤沢な計算リソースを掛けることで検出可能になる異常や、異常を検出するための検知器を更新するための多様な正常データがアップロードされる必要がある。
 なお、上記のような問題は、車両に限られず、ネットワークに接続される各種の機器について共通の課題であると考えられる。
 本発明は、上記の点に鑑みてなされたものであって、機器において発生するデータによる通信負荷を低減することを目的とする。
 そこで上記課題を解決するため、機器は、機器において発生するデータごとに、予め設定された1以上のルールに基づいて、前記データの情報処理装置への送信に関する優先度を判定する第1の判定部と、前記データごとに、当該データについて判定された前記優先度に基づいて、前記情報処理装置への送信の要否を判定する第2の判定部と、所定の期間において当該機器において発生したデータのうち、前記第2の判定部によって前記情報処理装置への送信が必要であると判定されたデータを前記情報処理装置へ送信する送信部と、を有する。
 機器において発生するデータによる通信負荷を低減することができる。
本発明の実施の形態におけるシステム構成例を示す図である。 本発明の実施の形態における監視サーバ10のハードウェア構成例を示す図である。 本発明の実施の形態における車両20のハードウェア構成例を示す図である。 本発明の実施の形態における車両20及び監視サーバ10の機能構成例を示す図である。 ログの発生時における処理手順の一例を説明するためのフローチャートである。 ログの構成例を示す図である。 優先度ルールDB271の構成例を示す図である。 制御系ログDB273の構成例を示す図である。 センサログDB274の構成例を示す図である。 監視サーバ10へのログの送信時における処理手順の一例を説明するためのフローチャートである。 監視サーバ10からの要求に応じた優先度ルールの変更処理の処理手順の一例を説明するためのフローチャートである。
 以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるシステム構成例を示す図である。図1において、複数の車両20は、インターネット等のネットワークN1を介して各種のサーバ(監視サーバ10、サービス提供サーバ30a、サービス提供サーバ30b等)に接続される自動車(コネクテッドカー)である。例えば、各車両20は、移動体通信網等の無線ネットワークを介してネットワークN1に接続し、各種のサーバと通信する。
 サービス提供サーバ30a及びサービス提供サーバ30b等(以下、それぞれを区別しない場合「サービス提供サーバ30」という。)は、車両20に対して、又は車両20から収集される情報に基づいて所定のサービスを提供する1以上のコンピュータである。例えば、サービス提供サーバ30aは、テレマティクスサービスを提供してもよい。また、サービス提供サーバ30bは、各車両20から収集されるデータに基づくサービスを提供してもよい。
 監視サーバ10は、車両20から送信(アップロード)されるデータに基づいて、車両20における異常の発生の検知や、異常の内容の解析等を行う1以上のコンピュータである。異常の一例として、車両20に対するネットワークを介したサイバー攻撃等が挙げられる。
 図2は、本発明の実施の形態における監視サーバ10のハードウェア構成例を示す図である。図2において、監視サーバ10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
 監視サーバ10での処理を実現するプログラムは、CD-ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
 メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って監視サーバ10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。
 図3は、本発明の実施の形態における車両20のハードウェア構成例を示す図である。図3において、車両20は、通信装置210、情報系サブシステム220、制御系サブシステム230及び関門器240等を含む。
 通信装置210は、ネットワークN1に接続するための通信モジュールや、他の車両20又は道路上の機器等と通信するための通信モジュールや、スマートフォン等と無線LAN又は近距離無線通信を介して接続するための通信モジュール等を含む。
 情報系サブシステム220は、インストールされたプログラムに応じた情報処理を実行する部分であり、CPU221、メモリ装置222、補助記憶装置223、表示装置224及び入力装置225等を含む。補助記憶装置223には、インストールされたプログラムや、当該プログラムによって利用される各種データが記憶される。メモリ装置222は、起動対象とされたプログラムを補助記憶装置223から読み出して格納する。CPU221は、メモリ装置222に格納されたプログラムに従って情報系サブシステム220に係る機能を実行する。表示装置224はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置225は、ボタン等やタッチパネル等の操作部品であり、様々な操作指示を入力させるために用いられる。なお、例えば、カーナビゲーション、カーオーディオのヘッドユニット等の車載機が情報系サブシステム220の一例である。
 制御系サブシステム230は、車両20の挙動を制御する部分であり、各種の制御のための複数のマイコン231等を含む。例えば、ECU(Electronic Control Unit)がマイコン231の一例である。
 関門器240は、情報系サブシステム220と制御系サブシステム230と接続するためのゲートウェイ(例えば、CGW(Central Gateway))である。すなわち、情報系サブシステム220において扱われる通信プロトコルは、例えば、IPプロトコルであり、制御系サブシステム230においてマイコン231間の通信に利用される通信プロトコルは、制御に特化した非IPプロトコル(例えば、CAN(Controller Area Network))である。したがって、これらの通信プロトコルの違いを吸収するための関門器240が設けられる。
 なお、図4に示したハードウェア構成は、一例に過ぎない。後述の機能を実現可能であれば、車両20のハードウェア構成は特定のものに限定されない。
 図4は、本発明の実施の形態における車両20及び監視サーバ10の機能構成例を示す図である。図4において、車両20の情報系サブシステム220は、制御系ログ取得部251、センサログ生成部252、異常判定部253、優先度判定部254、ログ処理部255、送信タイミング検知部256、状態確認部257、送信順決定部258、ログ送信部259及びルール受信部260等を有する。これら各部は、情報系サブシステム220にインストールされた1以上のプログラムが、CPU221に実行させる処理により実現される。情報系サブシステム220は、また、優先度ルールDB271、優先度閾値DB272、制御系ログDB273及びセンサログDB274等のデータベース(記憶部)を有する。これら各データベース(記憶部)は、例えば、メモリ装置222又は補助記憶装置223等を用いて実現可能である。
 制御系ログ取得部251は、制御系ログを取得する。制御系ログとは、制御系サブシステム230における各マイコン231による通信に関するログデータをいう。通信内容のデータ自体が、制御系ログとされてもよい。したがって、制御系ログは、いずれかのマイコン231によって通信が行われるたびに発生する。なお、当該通信の内容は、例えば、車両20の制御、オーディオ、カーナビのようなインフォメント系の情報、車両20内のインジケータ表示等に関する通信等の内容を示すものである。
 センサログ生成部252は、センサログを生成する。センサログとは、車両20の各所に配置されているセンサ(例えば、加速度計やGPS(Global Positioning System)受信機等)から取得されるデータ(例えば、センサによる計測値等)を含むログデータをいう。各センサからのデータの取得及び、当該データに基づくセンサログの生成は、例えば、一定周期、又は特定のイベントの発生等のタイミングにおいて実行される。センサごとにセンサログの生成周期は異なっていてもよい。また、センサログが生成されるセンサは、車両20が有する全センサのうちの一部でもよい。
 異常判定部253は、制御系ログ及びセンサログに基づいて、車両20の異常の程度(レベル)を判定する。具体的には、異常判定部253は、異常の程度を示す指標の値(以下、「異常スコア」という。)を計算する。但し、異常スコアの計算には、制御系ログのみが利用されてもよい。
 優先度判定部254は、制御系ログ及びセンサログ(以下、それぞれを区別しない場合、単に「ログ」という。)について、監視サーバ10への送信に関しての優先度を判定する。優先度の判定は、優先度ルールDB271に記憶されている優先度の判定用のルール(以下、「優先度ルール」という。)に対して、ログの内容及び当該ログに関して計算された異常スコア等を適用する(当てはめる)ことにより行われる。なお、本実施の形態では、優先度は数値によって表現され、その値が大きいほど、監視サーバ10への送信の必要性が高いことを示す。
 ログ処理部255は、ログごとに、当該ログについて判定された優先度と優先度閾値DB272に記憶されている閾値と比較して、ログの保存(及び監視サーバ10への送信)の要否を判定する。ログ処理部255は、ログの保存が必要であると判定すると、当該ログを制御系ログDB273又はセンサログDB274に保存(記憶)する。
 送信タイミング検知部256は、制御系ログDB273又はセンサログDB274に記憶されているログについて、監視サーバ10への送信(アップロード)のタイミング(以下「送信タイミング」という。)の到来を検知する。
 状態確認部257は、送信タイミングの到来に応じ、その時の車両20の状態を確認(チェック)する。例えば、車両20が走行状態であるか否か(停止状態であるか)や、通信装置210による通信状態等が確認される。
 送信順決定部258は、前回の送信タイミングから今回の送信タイミングの間に制御系ログDB273又はセンサログDB274に記憶された各ログ(以下、「送信候補ログ」という。)の優先度等に基づいて、当該各ログの送信順を決定する。但し、制御系ログDB273及びセンサログDB274を経由せずにログの送信が行われてもよい。すなわち、制御系ログDB273及びセンサログDB274が利用されない形態が採用されてもよい。
 ログ送信部259は、各送信候補ログを送信順に従った順番で監視サーバ10へ送信する。
 ルール受信部260は、監視サーバ10から配信される優先度ルールの変更要求を受信し、当該変更要求に含まれている優先度ルールによって優先度ルールDB271を変更(更新)する。
 一方、監視サーバ10は、ログ受信部11、監視部12、ルール変更部13及びルール送信部14等を有する。これら各部は、監視サーバ10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。監視サーバ10は、また、制御系ログDB15、センサログDB16及び優先度ルールDB17等のデータベース(記憶部)を利用する。これら各データベース(記憶部)は、例えば、補助記憶装置102、又は監視サーバ10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。
 ログ受信部11は、車両20から送信(アップロード)されるログを受信し、当該ログを制御系ログDB15又はセンサログDB16に記憶する。
 監視部12は、制御系ログDB15又はセンサログDB16に記憶されたログ等に基づいて、車両20に対するサイバー攻撃の発生又は発生の可能性等を検知する。監視部12は、サイバー攻撃の発生又は発生の可能性を検知すると、優先度ルールの変更をルール変更部13に要求する。
 ルール変更部13は、監視部12からの要求に応じ、優先度ルールDB17に記憶されている一部又は全ての優先度ルールを変更する。なお、優先度ルールDB17には、各車両20に配信されている全ての優先度ルールが記憶されている。
 ルール送信部14は、ルール変更部13によって変更された優先度ルールを含む変更要求を各車両20に配信する。
 以下、車両20の情報系サブシステム220が実行する処理手順について説明する。図5は、ログの発生時における処理手順の一例を説明するためのフローチャートである。
 制御系ログ取得部251による制御系ログの取得、又はセンサログ生成部252によるセンサログの生成等によりいずれかのログ(以下「対象ログ」という。)が発生すると(S101でYes)、異常判定部253は、対象ログについての異常スコアを判定(計算)する(S102)。
 図6は、ログの構成例を示す図である。図6において、(1)は、制御系ログの一例を示す。制御系ログは、日時、車両ID及び要素IDと、Data[0]、Data[1]、Data[2]、Data[3]、Data[4]、・・・等(以下、「Data[]」という。)とを含む。日時は、制御系ログが取得された日時(当該制御系ログに係る通信が行われた日時)である。車両IDは、車両20の識別情報である。要素IDは、車両20の構成要素の識別情報である。制御系ログにおける要素IDは、当該制御系ログに係る通信を行ったマイコン231の識別情報である。Data[]は、当該通信に含まれているデータである。例えば、当該通信がエンジンの制御に関する通信であれば、エンジンの制御に関する各パラメータの値が、各Data[]の値となる。但し、エンジンの制御に関する各パラメータの値のみならず、チェックサムやカウンタ等のデータが、Data[]に含まれてもよい。
 一方、(2)は、センサログの一例を示す。センサログは、日時、車両ID、及び要素IDと、当該センサログに係るセンサに特有のデータとを含む。日時は、センサログが生成された日時である。車両IDは、車両20の識別情報である。要素IDは、当該センサログに係るデータの出力元のセンサの識別情報である。また、図6におけるセンサログは、加速度センサから取得されたデータに基づくセンサログであるため、加速度センサに特有のデータとして、Acc_X、Acc_Y及びAcc_Zを含む。Acc_X、Acc_Y及びAcc_Zは、それぞれ、X軸方向の加速度、Y軸方向の加速度、Z軸方向の加速度である。
 なお、対象ログについての異常スコアの判定(計算)は、公知技術を用いて行うことができる。例えば、ログを入力とし、異常スコアを出力とする学習済みのモデル(例えば、ニューラルネットワーク)に対し、対象ログを入力することで、異常スコアが判定されてもよい。異常スコアは、異常の有無を示す0又は1であってもよいし、異常の程度を最小値(例えば、0)から最大値(例えば、1)の範囲で示す値であってもよい。また、異常スコアの判定は、制御系ログ及びセンサログの双方を用いて行われなくてよい。例えば、制御系ログ及びセンサログのいずれか一方のみが用いられて異常スコアの判定が行われてもよい。
 続いて、優先度判定部254は、優先度ルールDB271を参照して、対象ログの優先度を判定する(S103)。
 図7は、優先度ルールDB271の構成例を示す図である。図7において、優先度ルールDB271には、要素IDごと(すなわち、マイコン231ごと及びセンサごと)に、1以上の優先度ルールが記憶されている。すなわち、マイコン231ごと及びセンサごとに、ログの特性が異なるため、それぞれの特性に応じた優先度ルールの設定が可能とされている。1つの優先度ルールは、優先度を示す1つの数値を出力するように定義されてもよい。この場合、或る優先度ルールは、ログのいずれかの項目の値を1以上の閾値と比較することで優先度を離散的に決定するものでもよい。また、他の優先度ルールは、ログのいずれかの項目の値を所定の関数に対して代入することによって優先度を計算するものであってもよい。また、車両IDが特定の値である場合にのみ、ステップS104における閾値以上の優先度とし、そうでない場合には、ステップS104における閾値未満の優先度とする優先度ルールが定義されてもよい。そうすることで、ログのアップロード元を一部の車両20に限定することができる。
 例えば、通信のタイミングに周期性が有るマイコン231については、当該マイコン231についてのログ(制御系ログ)の日時の間隔の分散が閾値以上であれば、優先度を上げるという優先度ルールが設定されてもよい。また、当該間隔が当該閾値未満であれば、優先度を上げない、又は優先度を下げるという優先度ルールが設定されてもよい。「優先度を上げる」ことは、正の値の優先度を出力することによって実現され、「優先度を下げる」ことは、負の値の優先度を出力ことによって実現されてもよい。
 また、各マイコン231又は各センサについて、当該マイコン231又は当該センサに関するログのいずれかの項目の値が、正常状態において取りうる値の範囲から外れた場合、又は当該範囲からの外れの度合い(当該範囲からの差分)が閾値以上である場合に、優先度を上げるという優先度ルールが設定されてもよい。
 また、各マイコン231又は各センサについて、異常スコアが閾値以上である場合に、優先度を上げるという優先度ルールが設定されてもよい。
 なお、上記各閾値は、マイコン231ごと及びセンサごとに異なっていてもよい。また、優先度判定部254は、優先度ルールに基づく優先度の判定基準(例えば、上記各閾値等)を、車両20の状態等に応じて動的に変更してもよい。
 例えば、高速走行状態においては、車両20の加速度やハンドルの角度、シートベルトのテンション等の機能安全に関わるマイコン231のログの優先度ルールに関する閾値が、低速走行状態よりも優先度が上がりやすいように変更されてもよい。具体的には、高速走行状態(速度が一定以上の状態)における第1の閾値と、低速走行状態(速度が一定未満の状態)における第2の閾値とが予め設定され、走行状態に応じて、優先度ルールに適用する閾値が選択されてもよい。又は、速度を入力とし、閾値を出力とする関数が定義されてもよい。
 また、マイコン231のソフトウェアのアップデート後には、攻撃者による不正な改竄が生じる可能性がある。そこで、各マイコン231について、ソフトウェアのアップデート処理の発生後の一定期間は、当該マイコン231に関するログの優先度を上げるという優先度ルールが設定されてもよい。又は、当該一定期間は、当該マイコン231に関して設定されている優先度ルールの閾値が、優先度が高くなるように動的に変更されてもよい。
 いずれにしても、通常の状態に得られるログから乖離又は逸脱した値又は高い異常スコアが得られるログの優先度が高くなるように、優先度ルールが設定されてもよい。
 また、図7では、マイコン231及びセンサごとに複数の優先度ルールの設定が可能とされているが、複数の優先度ルールの組み合わせ方法を定義する優先度ルールが、マイコン231ごと及びセンサごとに設定されてもよい。この場合、当該優先度ルールは、例えば、複数の優先度ルールによって出力される優先度の最大値を選択するというものであってもよいし、合計値、重み付け平均、積和によって優先度を決定するというものであってもよい。又は、各優先度ルールを引数とする関数によって最終的な優先度を計算するというものであってもよい。
 続いて、ログ処理部255は、ステップS103において判定された優先度を、対象ログの要素IDに対応付けられて優先度閾値DB272に記憶されている閾値と比較する(S104)。当該優先度が当該閾値未満である場合(S104でYes)、ログ処理部255は、対象ログを破棄する(S106)。すなわち、この場合、対象ログは、制御系ログDB273又はセンサログDB274に保存されない。このことは、対象ログが監視サーバ10へ送信されないことも意味する。なお、上記したように、制御系ログDB273及びセンサログDB274を経由せずにログの送信が行われてもよい。
 一方、当該優先度が当該閾値以上である場合(S104でNo)、ログ処理部255は、対象ログを制御系ログDB273又はセンサログDB274に保存する(S105)。すなわち、対象ログが制御系ログであれば、対象ログは制御系ログDB273に保存される。対象ログがセンサログであれば、対象ログはセンサログDB274に保存される。この際、対象ログには、ステップS102において判定された異常スコアと、ステップS103において判定された優先度とが付与される。
 図8は、制御系ログDB273の構成例を示す図である。図8に示されるように、制御系ログDB273の各レコードは、図6の(1)に示した各項目と、異常スコア、優先度及び送信順とを含む。このうち、ステップS105の時点において、最後の送信タイミング以降に制御系ログDB273に記憶されたログの送信順の値は空である。送信順は、ログの送信時に決定されるからである。
 図9は、センサログDB274の構成例を示す図である。図9に示されるように、センサログDB274の各レコードは、図6の(2)に示した各項目と、異常スコア、優先度及び送信順とを含む。このうち、ステップS105の時点において、最後の送信タイミング以降に制御系ログDB273に記憶されたログの送信順の値は、制御系ログDB273と同様の理由で空である。なお、センサログの形式は、センサごとに異なる。例えば、GPS受信機のセンサログであれば、緯度及び経度等が含まれる。したがって、センサログDB274には、センサごと(要素IDごと)に区別されて異なるテーブルにセンサログが記憶されてもよい。
 なお、以下において、ログとは、異常スコア、優先度及び送信順の項目が付加されたデータをいう。但し、車両20が異常判定部253を有さない場合には、異常スコアの値は、0でもよいし、異常スコアの項目が空欄とされてもよい。
 図10は、監視サーバ10へのログの送信時における処理手順の一例を説明するためのフローチャートである。
 送信タイミング検知部256が、ログの送信タイミングの到来を検知すると(S201でYes)、ステップS202以降が実行される。例えば、ログの送信は、一定周期で行われてもよい。この場合、送信タイミング検知部256は、前回のログの送信時から一定時間の経過時に送信タイミングの到来を検知する。又は、ログの送信は、特定のログの発生に応じて行われてもよい。この場合、送信タイミング検知部256は、対象ログが特定のログに該当する場合に送信タイミングの到来を検知する。特定のログとして、異常スコアが非常に高いログが一例として挙げられる。又は、ログの送信は、一定数のログが保存されるごとに行われてもよい。この場合、送信タイミング検知部256は、前回のログの送信後に、制御系ログDB273又はセンサログDB274に保存されたログの合計数が一定数に到達した際に、送信タイミングの到来を検知する。又は、ログの送信は、特定のイベント(例えば、車両20と監視サーバ10間との通信方式の変化等)の発生等に応じて行われてもよい。この場合、送信タイミング検知部256は、特定のイベントの発生に応じて送信タイミングの到来を検知する。又は、上記の2以上のタイミングにおいてログの送信が行われてもよいし、監視サーバ10からの送信要求に応じてログの送信が行われてもよい。
 ステップS202において、状態確認部257は、車両20の状態及び車両20(通信装置210)と監視サーバ10と間の通信状態等を確認する。車両20の状態とは、例えば、車両20の走行状態(例えば、走行速度)等である。車両20と監視サーバ10と間の通信状態とは、例えば、通信方式、安定性、スループット等である。安定性は、例えば、スループットのばらつきやパケット損失率等によって評価されてもよい。
 通信方式とは、通信に利用するネットワークの経路及び当該ネットワークにおける通信の方法をいう。例えば、通信装置210は、監視サーバ10との通信方式に関して冗長性を有していてもよい。具体的には、通信装置210は、通常の通信方式(例えば、移動体通信網を利用した通信方式)への接続が困難な場合には、別の通信方式を利用して監視サーバ10との通信を維持可能であってよい。例えば、通信装置210は、車両20のいずれかの乗員のスマート端末等を介して移動体通信網に接続可能であれば、当該スマート端末経由で監視サーバ10に接続してもよい。又は、通信装置210は、ロードサイドユニット、ITSインフラ、若しくは他の車両20と通信可能であってもよい。この場合、通信装置210は、路車間通信や車々間通信を用いて、監視サーバ10に接続してもよい。
 このように、通信装置210が監視サーバ10との通信方式について冗長性を有する場合、通信方式の確認では、通信装置210と監視サーバ10との間で採用可能な通信方式の選択肢が確認される。
 続いて、送信順決定部258は、前回の送信タイミングから今回の送信タイミングまでの間に制御系ログDB273又はセンサログDB274に保存された各ログ(送信候補ログ)について送信順を決定する(S203)。送信順は、例えば、優先度の降順に決定されてもよい。この場合、優先度が大きい送信候補ログほど、送信順が上位となる。又は、ステップS202において確認された走行状態等の車両20の状態に基づいて、送信順が調整されてもよい。例えば、車速が閾値以上であれば、車両20の挙動に関するマイコン231の送信候補ログの送信順が上位にされてもよい。一方、車速が閾値未満(例えば、停車中)であれば、テレメトリー関連のマイコン231の送信候補ログの送信順が上位にされてもよい。このように、車両20の状態に応じて、特定のマイコン231又はセンサに関するログの送信順が変更されてもよい。
 このような調整(送信順の変更)は、優先度が同じである送信候補ログ群の間で行われてもよいし、優先度が同じである送信候補ログ群の範囲を超えて行われてもよい。優先度が同じである送信候補ログ群の間での調整とは、優先度が同じ送信候補ログ群の中で、車両20の挙動に関するマイコン231の送信候補ログの送信順が上位とされたり、テレメトリー関連のマイコン231の送信候補ログの送信順が上位されたりすることをいう。優先度が同じである送信候補ログ群の範囲を超えた調整とは、例えば、車両20の挙動に関するマイコン231の送信候補ログ、又はテレメトリー関連のマイコン231の送信候補ログの優先度に所定値を加算した上で、優先度の降順に送信順を決定することをいう。この際、当該所定値は、送信候補ログの中で、最高の優先度以上の値であってもよい。すなわち、車両20の挙動に関するマイコン231の送信候補ログ、又はテレメトリー関連のマイコン231の送信候補ログの送信順が、それ以外のログに対して相対的に上位とされてもよい。なお、各送信候補ログが、車両20の挙動に関するマイコン231の送信候補ログ、又はテレメトリー関連のマイコン231の送信候補ログであるか否かは、各送信候補ログの要素IDに基づいて判定可能である。例えば、各要素IDに関連付けられて、当該要素IDに係るマイコン231又はセンサがどのような機能に関連するマイコン231又はセンサであるのかを示す情報が、予め補助記憶装置223等に記憶されていてもよい。
 続いて、ログ送信部259は、ステップS202において確認された通信方式の選択肢のうちのいずれか一つの選択肢(例えば、通信速度が最高の選択肢)を用いて、通信装置210と監視サーバ10との間の通信を確立する(S204)。
 続いて、ログ送信部259は、ステップS203において決定された送信順に従った順番で、各送信候補ログを監視サーバ10へ送信する(S205)。この際、実際に送信される送信候補ログは、送信順においてM番目まで(M<送信候補ログ数)までに限定されてもよい。すなわち、送信対象が一部の送信候補ログに限定されてもよい。特に、監視サーバ10との通信状態において、スループットが低い場合や安定性が低い場合に、送信対象の絞り込みが行われてもよい。また、通信状態に応じて上記のMの値が変更されてもよい。すなわち、通信状態が良好な場合(例えば、スループットが閾値以上である場合等)には、Mの値が大きくされ、そうでない場合には、Mの値が小さくされてもよい。なお、Mの値が0にされることがあってもよい。すなわち、通信状態に応じて、送信候補ログを1つも送信しないという判定が行われてもよい。この場合、今回の送信タイミングにおける送信候補ログは、次回の送信タイミングの到来時における送信候補ログに含められてもよい。
 また、送信対象の絞り込みは、送信対象の数に基づいて行われるのではなく、特定のマイコン231又は特定のセンサのログのみが送信対象とされることによって行われてもよい。具体的には、ステップS203において、車両20の挙動に関するマイコン231の送信候補ログ、又はテレメトリー関連のマイコン231の送信候補ログが送信順の上位にされた場合、車両20の挙動に関するマイコン231の送信候補ログ、又はテレメトリー関連のマイコン231の送信候補ログのみが、送信対象とされてもよい。
 なお、通信速度が高速で、通信の安定性が高い場合には、全ての送信候補ログが送信対象とされてもよい。但し、特定のマイコン231又はセンサに関する送信候補ログは、認証された無線APや基地局に接続されている場合にのみ(すなわち、通信経路の安全性が確保されている場合にのみ)、監視サーバ10に送信されるようにしてもよい。そうすることで、機密性の高い情報の漏洩の可能性の低下が図られてもよい。
 続いて、ログ送信部259は、送信対象の送信候補ログの送信が正常に完了したか否かを判定する(S206)。例えば、HTTP(HyperText Transfer Protocol)等のように、通信相手(監視サーバ10)からの応答が予定されている通信方式を利用して送信候補ログの送信が行われた場合、監視サーバ10からの正常な応答が受信されれば、送信候補ログの送信が正常に完了したと判定されてもよい。一方、UDP(User Datagram Protocol)等のように通信相手(監視サーバ10)からの応答が予定されていない通信方式を利用して送信候補ログの送信が行われた場合、送信の完了によって送信候補ログの送信が正常に完了したと判定されてもよい。
 送信対象の送信候補ログの一部又は全部の送信に失敗した場合(S206でNo)、ステップS204以降が繰り返される。この場合、ステップS204では、前回とは異なる通信方式で監視サーバ10との通信が確立されてもよい。
 なお、ログ送信部259によって送信されたログは、監視サーバ10のログ受信部11によって受信される。ログ受信部11は、受信したログが制御系ログであれば当該ログを制御系ログDB15に保存し、当該ログがセンサログであれば当該ログをセンサログDB16に保存する。なお、制御系ログDB15の構成は、制御系ログDB273(図8)と同様でもよい。また、センサログDB16の構成は、センサログDB274(図9)と同様でもよい。
 図11は、監視サーバ10からの要求に応じた優先度ルールの変更処理の処理手順の一例を説明するためのフローチャートである。
 ルール受信部260は、監視サーバ10からの優先度ルールの変更要求の受信を待機している(S301)。ルール受信部260が、当該変更要求を受信すると(S301でYes)、ステップS302以降が実行される。例えば、監視サーバ10は、優先度ルールの変更要求を以下のようなタイミングで車両20に対して送信する。
 監視サーバ10の監視部12は、定期的に、又は新たなログが制御系ログDB15又はセンサログDB16に保存されるたびに、制御系ログDB15又はセンサログDB16に保存されているログ群を参照して、サイバー攻撃等の大規模な異常(複数の車両20に跨る異常)の発生の可能性の有無を判定する。斯かる異常の発生の可能性の有無の判定方法は、所定の方法に限定されない。例えば、学習済みのモデル(ニューラルネットワーク等)に基づいて行われてもよいし、他の公知技術を用いて行われてもよい。また、監視部12は、ログ以外の情報源に基づいて、サイバー攻撃等の異常の発生の可能性を検知してもよい。例えば、監視部12は、自動車会社のCERT(Computer Emergency Response Team)、別の企業が有するSOC(Security Operation Center)、セキュリティベンダからの発表等の情報を活用してサイバー攻撃の発生又は当該発生の懸念等を検知してもよい。
 例えば、監視部12は、特定のマイコン231に対するサイバー攻撃が発生していることを検知すると、当該マイコン231に関するログの優先度が高くなるように優先度ルールを変更することをルール変更部13に要求する。ルール変更部13は、当該マイコン231に関する優先度ルールを従来より優先度が高くなるように変更する。例えば、ルール変更部13は、当該マイコン231の要素IDに対応付けられて優先度ルールDB17に記憶されている各優先度ルールについて、従来よりも高い優先度が出力されるように定義内容を変更する。具体的には、優先度ルールに用いられている閾値が変更されてもよい。又は、優先度に対して∞を加算するといった優先度ルールが当該マイコン231の要素IDに対して追加されてもよい。そうすることによって、当該マイコン231に関する制御系ログの優先度を常に∞とすることができる。ルール送信部14は、変更された優先度ルールを含む変更要求を、各車両20に配信する。この際、サイバー攻撃を既に受けている車両20は、変更要求の配信先から除外されてもよい。サイバー攻撃を既に受けている車両20は、サーバ攻撃の可能性の検知元となったログの車両IDに基づいて特定可能である。
 又は、監視部12は、特定の車種に対してサイバー攻撃が発生している可能性を検知すると、当該車種に属する車両20のログの優先度が高くなるように優先度ルールを変更することをルール変更部13に要求する。例えば、ルール変更部13は、優先度ルールが車種別に定義されている場合には、当該車種に関する全ての又は一部の優先度ルールについて、従来よりも高い優先度が出力されるように定義内容を変更する。ルール送信部14は、変更された優先度ルールを含む変更要求を、当該車種に属する各車両20に配信する。一方、優先度ルールが車種別に定義されていない場合には、全ての又は一部の優先度ルールのコピーを生成し、当該コピーについて、従来よりも高い優先度が出力されるように定義内容を変更する。ルール送信部14は、変更された優先度ルールのコピーを含む変更要求を、当該車種に属する各車両20に配信する。なお、この際、サイバー攻撃を既に受けている車両20は、変更要求の配信先から除外されてもよい。
 ステップS302において、ルール受信部260は、受信した変更要求に含まれている優先度ルールによって優先度ルールDB271を更新する(S302)。具体的には、優先度ルールDB271に記憶されている優先度ルールのうち、受信した優先度ルールと同じ要素IDを含む優先度ルールが、受信した優先度ルールによって上書きされる。
 優先度ルールDB271の更新に成功すると(S303でYes)、ルール受信部260は、成功通知を監視サーバ10に送信する(S304)。優先度ルールDB271の更新に失敗すると(S303でNo)、ルール受信部260は、失敗通知を監視サーバ10に送信する(S305)。
 このように、本実施の形態では、監視サーバ10側の都合により各車両20の優先度ルールを変更することができる。したがって、各車両20において保存されるログ、又は各車両20から送信されるログを動的に変更することができる。その結果、例えば、監視サーバ10の監視部12が、特定のマイコン231のログを、当該マイコン231の異常を検知するための学習データとして利用したい場合に、当該マイコン231のログが収集される可能性を高めることができる。
 なお、監視サーバ10からの優先度ルールの変更要求には、変更後の優先度ルールが適用されるログの範囲(期間的な範囲)が指定されるようにしてもよい。この場合、当該範囲には過去の期間が含まれてもよい。そうすることで、当該変更要求より過去のログについて、変更後の優先度ルールが適用されてもよい。例えば、監視サーバ10からのログの送信要求に応じ、変更要求より前のログについて改めて優先度が判定されて、送信対象とするログが変更されてもよい。
 なお、本実施の形態では、車両20を機器の一例として説明したが、通信機能を有する他の機器について本実施の形態が適用されてもよい。例えば、工場におけるロボット、各地に配置されたセンサ、オーディオ機器、家電製品、通信端末(スマートフォン、タブレット端末等)や、一般的にIoT(Internet of Things)機器と呼ばれる機器について、本実施の形態が適用されてもよい。
 上述したように、本実施の形態によれば、車両20において発生するデータ(ログ)ごとに、優先度ルールに基づいて優先度が判定され、当該優先度に基づいて送信が必要であると判定されたログ(送信候補ログ)が、監視サーバ10へ送信される。したがって、全てのログが監視サーバ10へ送信される場合に比べて、送信対象のログの量を削減することができる。その結果、車両20(機器)において発生するログ(データ)による通信負荷を低減することができる。
 また、送信候補ログはデータベースに記憶され、そうでないログは破棄される。したがって、車両20における記憶領域の消費を抑制することができる。
 また、送信候補ログについて、優先度に基づいて送信順が決定され、当該送信順に従って各送信候補ログが送信される。したがって、優先度が高い送信候補ログを優先的に監視サーバ10へ送信することができる。
 また、優先度に基づく送信の要否の判定基準が、車両20の状態に応じて変更される。したがって、各ログの優先度を(すなわち、データベースの保存するログを)車両20の状態に応じて動的に変化させることができる。
 また、送信候補ログについて、送信対象とする基準は、車両20の状態に応じて変更される。したがって、監視サーバ10に送信されるログを車両20の状態に応じて変化させることができる。
 また、監視サーバ10からの要求に応じて優先度ルールを変更することができる。したがって、監視サーバ10が必要とするログが送信対象とされる可能性を高めることができる。
 なお、本実施の形態において、車両20は、機器の一例である。監視サーバ10は、情報処理装置の一例である。優先度判定部254は、第1の判定部の一例である。ログ処理部255は、第2の判定部の一例である。ログ送信部259は、送信部の一例である。制御系ログDB273及びセンサログDB274は、記憶部の一例である。送信順決定部258は、決定部の一例である。ルール受信部260は、変更部の一例である。
 以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
 本出願は、2018年10月11日に出願された日本国特許出願第2018-192414号に基づきその優先権を主張するものであり、同日本国特許出願の全内容を参照することにより本願に援用する。
10     監視サーバ
11     ログ受信部
12     監視部
13     ルール変更部
14     ルール送信部
15     制御系ログDB
16     センサログDB
17     優先度ルールDB
20     車両
30a    サービス提供サーバ
30b    サービス提供サーバ
100    ドライブ装置
101    記録媒体
102    補助記憶装置
103    メモリ装置
104    CPU
105    インタフェース装置
210    通信装置
221    CPU
222    メモリ装置
223    補助記憶装置
224    表示装置
225    入力装置
220    情報系サブシステム
230    制御系サブシステム
231    マイコン
240    関門器
251    制御系ログ取得部
252    センサログ生成部
253    異常判定部
254    優先度判定部
255    ログ処理部
256    送信タイミング検知部
257    状態確認部
258    送信順決定部
259    ログ送信部
260    ルール受信部
271    優先度ルールDB
272    優先度閾値DB
273    制御系ログDB
274    センサログDB
B      バス

Claims (8)

  1.  機器において発生するデータごとに、予め設定された1以上のルールに基づいて、前記データの情報処理装置への送信に関する優先度を判定する第1の判定部と、
     前記データごとに、当該データについて判定された前記優先度に基づいて、前記情報処理装置への送信の要否を判定する第2の判定部と、
     所定の期間において当該機器において発生したデータのうち、前記第2の判定部によって前記情報処理装置への送信が必要であると判定されたデータを前記情報処理装置へ送信する送信部と、
    を有することを特徴とする機器。
  2.  前記第2の判定部によって前記情報処理装置への送信が必要であると判定されたデータを記憶する記憶部を有し、
     前記送信部は、前記記憶部に記憶されたデータを前記情報処理装置へ送信する、
    ことを特徴とする請求項1記載の機器。
  3.  前記所定の期間において当該機器において発生したデータのうち、前記第2の判定部によって前記情報処理装置への送信が必要であると判定された各データについて、前記優先度に基づいて送信順を決定する決定部を有し、
     前記送信部は、前記送信順に従った順番で前記データを送信する、
    ことを特徴とする請求項1又は2記載の機器。
  4.  前記第2の判定部は、前記優先度に基づく前記送信の要否の判定基準を、当該機器の状態に応じて変更する、
    ことを特徴とする請求項1乃至3いずれか一項記載の機器。
  5.  前記送信部は、当該機器の状態に応じて、前記所定の期間において当該機器において発生したデータのうち前記情報処理装置へ送信するデータを変化させる、
    ことを特徴とする請求項1乃至4いずれか一項記載の機器。
  6.  前記情報処理装置からの要求に応じ、前記1以上のルールのうちのいずれかのルールを変更する変更部を有する、
    ことを特徴とする請求項1乃至5いずれか一項記載の機器。
  7.  機器が、
     当該機器において発生するデータごとに、予め設定された1以上のルールに基づいて、前記データの情報処理装置への送信に関する優先度を判定する第1の判定手順と、
     前記データごとに、当該データについて判定された前記優先度に基づいて、前記情報処理装置への送信の要否を判定する第2の判定手順と、
     所定の期間において当該機器において発生したデータのうち、前記第2の判定手順において前記情報処理装置への送信が必要であると判定されたデータを前記情報処理装置へ送信する送信手順と、
    を実行することを特徴とするデータ送信方法。
  8.  請求項1乃至6いずれか一項記載の各部として機器を機能させることを特徴とするプログラム。
PCT/JP2019/040113 2018-10-11 2019-10-10 機器、データ送信方法及びプログラム WO2020075826A1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201980057826.2A CN112639909B (zh) 2018-10-11 2019-10-10 设备、数据发送方法及记录介质
EP19871898.3A EP3800623A4 (en) 2018-10-11 2019-10-10 DEVICE, DATA TRANSFER METHOD AND PROGRAM
JP2020551236A JPWO2020075826A1 (ja) 2018-10-11 2019-10-10 機器、データ送信方法及びプログラム
US17/281,539 US11528325B2 (en) 2018-10-11 2019-10-10 Prioritizing data using rules for transmission over network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018192414 2018-10-11
JP2018-192414 2018-10-11

Publications (1)

Publication Number Publication Date
WO2020075826A1 true WO2020075826A1 (ja) 2020-04-16

Family

ID=70163833

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2019/040113 WO2020075826A1 (ja) 2018-10-11 2019-10-10 機器、データ送信方法及びプログラム

Country Status (5)

Country Link
US (1) US11528325B2 (ja)
EP (1) EP3800623A4 (ja)
JP (1) JPWO2020075826A1 (ja)
CN (1) CN112639909B (ja)
WO (1) WO2020075826A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7392586B2 (ja) 2020-06-17 2023-12-06 株式会社デンソー ログ送信制御装置
JP7431901B2 (ja) 2021-09-30 2024-02-15 ウーブン・バイ・トヨタ株式会社 車両データ収集システム及びその使用方法
US11909755B2 (en) 2020-07-13 2024-02-20 Denso Corporation Log transmission controller
JP7439669B2 (ja) 2020-07-14 2024-02-28 株式会社デンソー ログ分析装置
JP7478085B2 (ja) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11700270B2 (en) * 2019-02-19 2023-07-11 The Aerospace Corporation Systems and methods for detecting a communication anomaly
JP7373803B2 (ja) * 2020-09-29 2023-11-06 パナソニックIpマネジメント株式会社 情報送信装置、サーバ、及び、情報送信方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011012968A (ja) * 2009-06-30 2011-01-20 Hitachi Automotive Systems Ltd 車両情報処理方法および車両情報処理サーバ
JP2018025865A (ja) * 2016-08-08 2018-02-15 トヨタ自動車株式会社 送信要否判定装置及び進路計画システム
WO2018168531A1 (ja) * 2017-03-13 2018-09-20 マクセル株式会社 ヘッドアップディスプレイ装置
JP2018192414A (ja) 2017-05-16 2018-12-06 王子ホールディングス株式会社 塗工装置および塗工方法、ならびに、衛生用品の製造装置および製造方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7616642B2 (en) * 2006-01-04 2009-11-10 Sap Ag Priority assignment and transmission of sensor data
US8200376B2 (en) * 2007-07-30 2012-06-12 Symvionics, Inc. Vehicle performance monitoring system with multi-level caching
JP2011022713A (ja) 2009-07-14 2011-02-03 Sumitomo Electric Ind Ltd 通信システム、及び路側通信機
US9607447B2 (en) 2015-03-31 2017-03-28 Honeywell International Inc. Automated transmission of aircraft anomalous incident data via preferred transmission modes
CN108028809B (zh) * 2015-12-28 2022-01-21 Kddi株式会社 信息处理装置、信息处理方法以及程序记录介质
US10158534B2 (en) * 2016-07-05 2018-12-18 Hitachi, Ltd. Edge processing for data transmission
JP6701030B2 (ja) * 2016-08-25 2020-05-27 クラリオン株式会社 車載装置、ログ収集システム
JP2018033793A (ja) 2016-09-01 2018-03-08 日本ストライカー株式会社 インプラント用ゲージ及びインプラント用器具組立体
JP6804239B2 (ja) * 2016-09-01 2020-12-23 キヤノンメディカルシステムズ株式会社 医用画像診断装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011012968A (ja) * 2009-06-30 2011-01-20 Hitachi Automotive Systems Ltd 車両情報処理方法および車両情報処理サーバ
JP2018025865A (ja) * 2016-08-08 2018-02-15 トヨタ自動車株式会社 送信要否判定装置及び進路計画システム
WO2018168531A1 (ja) * 2017-03-13 2018-09-20 マクセル株式会社 ヘッドアップディスプレイ装置
JP2018192414A (ja) 2017-05-16 2018-12-06 王子ホールディングス株式会社 塗工装置および塗工方法、ならびに、衛生用品の製造装置および製造方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DEVELOPMENT OF AUTOMOTIVE INTRUSION DETECTION AND PROTECTION SYSTEMS AGAINST CYBER-ATTACK

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7392586B2 (ja) 2020-06-17 2023-12-06 株式会社デンソー ログ送信制御装置
US11909755B2 (en) 2020-07-13 2024-02-20 Denso Corporation Log transmission controller
JP7439668B2 (ja) 2020-07-13 2024-02-28 株式会社デンソー ログ送信制御装置
JP7439669B2 (ja) 2020-07-14 2024-02-28 株式会社デンソー ログ分析装置
US11971982B2 (en) 2020-07-14 2024-04-30 Denso Corporation Log analysis device
JP7478085B2 (ja) 2020-12-03 2024-05-02 フォルシアクラリオン・エレクトロニクス株式会社 車載セキュリティ装置、車両セキュリティシステム、および車両管理方法
JP7431901B2 (ja) 2021-09-30 2024-02-15 ウーブン・バイ・トヨタ株式会社 車両データ収集システム及びその使用方法

Also Published As

Publication number Publication date
US11528325B2 (en) 2022-12-13
JPWO2020075826A1 (ja) 2021-09-02
US20210368007A1 (en) 2021-11-25
CN112639909B (zh) 2023-10-03
CN112639909A (zh) 2021-04-09
EP3800623A4 (en) 2021-09-15
EP3800623A1 (en) 2021-04-07

Similar Documents

Publication Publication Date Title
WO2020075826A1 (ja) 機器、データ送信方法及びプログラム
JP7045288B2 (ja) データ解析装置、データ解析方法及びプログラム
US10880415B2 (en) Detecting device, gateway device, and detecting method
JP7056752B2 (ja) 分析装置、分析システム、分析方法及びプログラム
KR102310252B1 (ko) 자동차 운전자 보조 시스템에 관련된 방법
JP7045286B2 (ja) データ解析装置、データ解析方法及びプログラム
WO2020075809A1 (ja) 情報処理装置、データ分析方法及びプログラム
JP7180686B2 (ja) 情報処理装置、異常分析方法及びプログラム
WO2019142475A1 (ja) データ解析装置及びプログラム
JP2022541489A (ja) 車両環境における侵入異常監視
JP2022176312A (ja) 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
Kiran et al. Cyber security and risk analysis on connected autonomous vehicles
WO2019142474A1 (ja) データ解析装置及びプログラム
WO2019142476A1 (ja) データ解析装置及びプログラム
US20230052852A1 (en) Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle
JP2019129528A (ja) データ解析装置及びプログラム
US12003966B2 (en) Local misbehavior prevention system for cooperative intelligent transportation systems
US20230206751A1 (en) Method and system for assessing the correctness of information transmitted by a vehicle
JP2024505423A (ja) 協調型高度道路交通システムのためのローカル誤動作防止システム
JP2024011955A (ja) 通知装置、通知方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19871898

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2020551236

Country of ref document: JP

Kind code of ref document: A

ENP Entry into the national phase

Ref document number: 2019871898

Country of ref document: EP

Effective date: 20201229

NENP Non-entry into the national phase

Ref country code: DE