WO2020079874A1

WO2020079874A1 - 検知装置、ゲートウェイ装置、検知方法および検知プログラム

Info

Publication number: WO2020079874A1
Application number: PCT/JP2019/019551
Authority: WO
Inventors: 濱田芳博; 吉田圭吾; 上田浩史; 足立直樹; 相羽慎一
Original assignee: 住友電気工業株式会社; 住友電装株式会社; 株式会社オートネットワーク技術研究所
Priority date: 2018-10-18
Filing date: 2019-05-16
Publication date: 2020-04-23
Also published as: JPWO2020079874A1; US20210392109A1; CN112889244A

Abstract

検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部とを備える。

Description

検知装置、ゲートウェイ装置、検知方法および検知プログラム

　本発明は、検知装置、ゲートウェイ装置、検知方法および検知プログラムに関する。
　この出願は、２０１８年１０月１８日に出願された日本出願特願２０１８－１９６６３５号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（国際公開公報第２０１５／１７０４５１号）には、以下のような車載ネットワークシステムが開示されている。すなわち、車載ネットワークシステムは、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）プロトコルに従ってバスを介して通信する複数の電子制御ユニットを備える車載ネットワークシステムであって、送信周期に係る所定ルールに適合しないデータフレームの送信に際して当該データフレーム中に特定識別子を付与する付与部と、前記付与部で付与された特定識別子を含み前記所定ルールに適合しないデータフレームを前記バスにより送信する送信部とを有する第１電子制御ユニットと、前記バス上で送信されたデータフレームを受信する受信部と、前記受信部により前記所定ルールに適合しないデータフレームが受信された場合に、当該データフレーム中の特定識別子を検証する検証部とを有する第２電子制御ユニットとを備える。

国際公開公報第２０１５／１７０４５１号特開２０１７－１２６９７８号公報

　（１）本開示の検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部とを備える。

　（４）本開示のゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部とを備える。

　（５）本開示の検知方法は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成するステップと、作成した前記第１の時系列データと前記第２の時系列データとの相関を算出するステップと、算出した前記相関に基づいて、前記不正メッセージを検知するステップとを含む。

　（６）本開示の検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成するステップと、作成した前記第１の時系列データと前記第２の時系列データとの相関を算出するステップと、算出した前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知するステップとを含む。

　（７）本開示の検知プログラムは、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部、として機能させるためのプログラムである。

　（８）本開示の検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部、として機能させるためのプログラムである。

　本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得る。

　また、本開示の一態様は、このような特徴的な処理部を備えるゲートウェイ装置として実現され得るだけでなく、ゲートウェイ装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、ゲートウェイ装置の一部または全部を実現する半導体集積回路として実現され得る。

図１は、本発明の実施の形態に係る車載通信ネットワークの構成を示す図である。図２は、本発明の実施の形態に係るバス接続装置群の構成を示す図である。図３は、本発明の実施の形態に係る車載通信システムにおけるイベントメッセージの送信間隔の時間変化の一例を示す図である。図４は、本発明の実施の形態に係る車載通信システムにおけるイベントメッセージの送信間隔の度数分布の一例を示す図である。図５は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。図６は、本発明の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻の分布の一例を示す図である。図７は、本発明の実施の形態に係る車載通信システムにおける対象メッセージの送信間隔の時系列データの一例を示す図である。図８は、本発明の実施の形態に係る車載通信システムにおける対象メッセージの送信間隔の時系列データの一例を示す図である。図９は、本発明の実施の形態に係る車載通信システムにおける符号反転処理後の時系列データの一例を示す図である。図１０は、本発明の実施の形態に係る車載通信システムにおける符号反転処理後の時系列データの一例を示す図である。図１１は、本発明の実施の形態に係る車載通信システムにおける送信間隔の自己相関係数の度数分布の一例を示す図である。図１２は、本発明の実施の形態に係る車載通信システムにおける不正メッセージの検知方法の評価に用いた評価モデルを示す図である。図１３は、本発明の実施の形態に係る車載通信システムにおける不正メッセージの検知方法の感度の評価結果を示す図である。図１４は、本発明の実施の形態に係る車載通信システムにおける各装置の構成を示す図である。図１５は、本発明の実施の形態に係るゲートウェイ装置が不正メッセージの検知を行う際の動作手順を定めたフローチャートである。図１６は、本発明の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。

　［本開示が解決しようとする課題］
　特許文献１には、上記車載ネットワークシステムによれば、送信周期が条件を満たさないデータフレームつまりイベントドリブンデータフレームが受信された場合において、特定識別子の検証により正当性の判断が可能となり、これにより、不正なデータフレームを適切に検知することが可能となる旨が記載されている。

　しかしながら、特許文献１に記載の車載ネットワークシステムでは、特定識別子に基づいて不正なデータフレームを検知するために、送信側の電子制御ユニットにおいてイベントドリブンデータフレームに特定識別子を付与する付与部と、受信側の電子制御ユニットにおいて特定識別子を検証する検証部とが必要であり、車載ネットワークシステムの構成が煩雑化する。

　本開示は、上述の課題を解決するためになされたもので、その目的は、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することが可能な検知装置、ゲートウェイ装置、検知方法および検知プログラムを提供することである。

　［本開示の効果］
　本開示によれば、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。

　［本願発明の実施形態の説明］
　最初に、本発明の実施形態の内容を列記して説明する。

　（１）本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部とを備える。

　たとえば、第１の期間および第２の期間における送信メッセージが不定期に送信される正当メッセージである場合、第１の時系列データと第２の時系列データとの相関は低い。一方で、第１の期間および第２の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第１の時系列データと第２の時系列データとの相関は高くなる。本発明の実施の形態に係る検知装置は、第１の時系列データと第２の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。

　（２）好ましくは、前記監視部は、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた前記第１の時系列データおよび前記第２の時系列データを作成し、前記相関算出部は、前記監視部によって作成された前記第１の時系列データにおける各前記送信間隔の値と前記各送信間隔の値の平均値との差分、および前記監視部によって作成された前記第２の時系列データにおける各前記送信間隔の値と前記各送信間隔の値の平均値との差分を用いて前記相関を算出する。

　不正メッセージが高い頻度で周期的に送信される場合、送信メッセージの各送信間隔の値が等間隔に近づくことにより、各送信間隔の値と送信間隔の値の平均値との差分が小さくなり、結果として、ＣＰＵ等において、第１の時系列データと第２の時系列データとの相関を正確に算出することが困難となる場合がある。これに対して、送信間隔の値の正負符号を時系列に沿って交互に反転させた第１の時系列データおよび第２の時系列データを作成し、上記第１の時系列データの各送信間隔の値と送信間隔の値の平均値との差分、および上記第２の時系列データの各送信間隔の値と送信間隔の値の平均値との差分を用いて相関を算出する構成により、不正メッセージが高い頻度で周期的に送信される場合であっても、第１の時系列データと第２の時系列データとの相関を正確に算出することができる。これにより、上記相関に基づいて高い精度で不正メッセージを検知することができる。

　（３）より好ましくは、前記検知部は、前記相関算出部によって算出された前記相関が、－１より大きい負の数である第１のしきい値より小さいか、または１より小さい正の数である第２のしきい値より大きい場合に、対応の各前記送信メッセージの中に前記不正メッセージが存在すると判断する。

　このような構成により、たとえば、相関算出部によって算出された相関と、予め適切な値に設定された第１のしきい値および第２のしきい値とに基づいて、不正メッセージを正しく検知することができる。また、たとえば、送信間隔の値の正負符号を時系列に沿って交互に反転させた第１の時系列データおよび第２の時系列データを用いて算出された相関と、予め適切な値に設定された第１のしきい値および第２のしきい値とに基づいて、不正メッセージを正しく検知することができる。

　（４）本発明の実施の形態に係るゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部とを備える。

　たとえば、第１の期間および第２の期間における送信メッセージが不定期に送信される正当メッセージである場合、第１の時系列データと第２の時系列データとの相関は低い。一方で、第１の期間および第２の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第１の時系列データと第２の時系列データとの相関は高くなる。本発明の実施の形態に係るゲートウェイ装置は、第１の時系列データと第２の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。

　（５）本発明の実施の形態に係る検知方法は、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成するステップと、作成した前記第１の時系列データと前記第２の時系列データとの相関を算出するステップと、算出した前記相関に基づいて、前記不正メッセージを検知するステップとを含む。

　たとえば、第１の期間および第２の期間における送信メッセージが不定期に送信される正当メッセージである場合、第１の時系列データと第２の時系列データとの相関は低い。一方で、第１の期間および第２の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第１の時系列データと第２の時系列データとの相関は高くなる。本発明の実施の形態に係る検知方法は、第１の時系列データと第２の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する方法により、メッセージの受信頻度に基づいて不正メッセージを検知する方法に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。

　（６）本発明の実施の形態に係る検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成するステップと、作成した前記第１の時系列データと前記第２の時系列データとの相関を算出するステップと、算出した前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知するステップとを含む。

　（７）本発明の実施の形態に係る検知プログラムは、複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部、として機能させるためのプログラムである。

　たとえば、第１の期間および第２の期間における送信メッセージが不定期に送信される正当メッセージである場合、第１の時系列データと第２の時系列データとの相関は低い。一方で、第１の期間および第２の期間における送信メッセージの中に、周期的に送信される不正メッセージが存在する場合、送信メッセージの周期性が高まるため、第１の時系列データと第２の時系列データとの相関は高くなる。本発明の実施の形態に係る検知プログラムは、第１の時系列データと第２の時系列データとの相関に着目し、上記相関に基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。したがって、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。

　（８）本発明の実施の形態に係る検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部、として機能させるためのプログラムである。

　以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　［構成および基本動作］
　図１は、本発明の実施の形態に係る車載通信ネットワークの構成を示す図である。

　図１を参照して、車載通信システム３０１は、ゲートウェイ装置（検知装置）１０１と、複数の車載通信機１１１と、複数のバス接続装置群１２１とを備える。

　図２は、本発明の実施の形態に係るバス接続装置群の構成を示す図である。

　図２を参照して、バス接続装置群１２１は、複数の制御装置１２２を含む。なお、バス接続装置群１２１は、複数の制御装置１２２を備える構成に限らず、１つの制御装置１２２を含む構成であってもよい。

　車載通信システム３０１は、道路を走行する車両（以下、対象車両とも称する。）に搭載される。車載ネットワーク１２は、車両の内部における装置である車載装置を複数含む。具体的には、車載ネットワーク１２は、車載装置の一例である、複数の車載通信機１１１および複数の制御装置１２２を含む。なお、車載ネットワーク１２は、複数の車載装置を含む構成であれば、複数の車載通信機１１１を含みかつ制御装置１２２を含まない構成であってもよいし、車載通信機１１１を含まずかつ複数の制御装置１２２を含む構成であってもよいし、１つの車載通信機１１１および１つの制御装置１２２を含む構成であってもよい。

　車載ネットワーク１２において、車載通信機１１１は、たとえば、対象車両の外部における装置と通信する。具体的には、車載通信機１１１は、たとえば、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）、近距離無線端末装置、およびＩＴＳ（Ｉｎｔｅｌｌｉｇｅｎｔ　Ｔｒａｎｓｐｏｒｔ　Ｓｙｓｔｅｍｓ）無線機である。

　ＴＣＵは、たとえば、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）または３Ｇ等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＴＣＵは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびＦＯＴＡ（Ｆｉｒｍｗａｒｅ　Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）等のサービスに用いる情報を中継する。

　近距離無線端末装置は、たとえば、Ｗｉ－Ｆｉ（登録商標）およびＢｌｕｅｔｏｏｔｈ（登録商標）等の通信規格に従って、対象車両に乗車している人間（以下、搭乗者とも称する。）の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。

　また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とＬＦ（Ｌｏｗ　Ｆｒｅｑｕｅｎｃｙ）帯またはＵＨＦ（Ｕｌｔｒａ　Ｈｉｇｈ　Ｆｒｅｑｕｅｎｃｙ）帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびＴＰＭＳ（Ｔｉｒｅ　Ｐｒｅｓｓｕｒｅ　Ｍｏｎｉｔｏｒｉｎｇ　Ｓｙｓｔｅｍ）等のサービスに用いる情報を中継する。

　ＩＴＳ無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびＩＴＳスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＩＴＳ無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。

　ゲートウェイ装置１０１は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置１０１により蓄積されたデータ等を対象車両の外部における整備用端末装置とポート１１２を介して送受信することが可能である。

　ゲートウェイ装置１０１は、たとえばバス１３，１４を介して車載装置と接続する。具体的には、バス１３，１４は、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）、イーサネット（登録商標）、およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の規格に従うバスである。

　この例では、車載通信機１１１は、イーサネットの規格に従う対応のバス１４を介してゲートウェイ装置１０１と接続されている。また、バス接続装置群１２１における各制御装置１２２は、ＣＡＮの規格に従う対応のバス１３を介してゲートウェイ装置１０１と接続されている。制御装置１２２は、たとえば、対象車両における機能部を制御可能である。

　バス１３は、たとえば系統別に設けられる。具体的には、バス１３は、たとえば、駆動系バス、シャーシ／安全系バス、ボディ／電装系バスおよびＡＶ／情報系バスである。

　駆動系バスには、制御装置１２２の一例であるエンジン制御装置、ＡＴ（Ａｕｔｏｍａｔｉｃ　Ｔｒａｎｓｍｉｓｓｉｏｎ）制御装置およびＨＥＶ（Ｈｙｂｒｉｄ　Ｅｌｅｃｔｒｉｃ　Ｖｅｈｉｃｌｅ）制御装置が接続されている。エンジン制御装置、ＡＴ制御装置およびＨＥＶ制御装置は、エンジン、ＡＴ、およびエンジンとモータとの切替をそれぞれ制御する。

　シャーシ／安全系バスには、制御装置１２２の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。

　ボディ／電装系バスには、制御装置１２２の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。

　ＡＶ／情報系バスには、制御装置１２２の一例であるナビゲーション制御装置、オーディオ制御装置、ＥＴＣ（Ｅｌｅｃｔｒｏｎｉｃ　Ｔｏｌｌ　Ｃｏｌｌｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）（登録商標）制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ＥＴＣ制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ＥＴＣ装置および携帯電話をそれぞれ制御する。

　また、バス１３には、制御装置１２２が接続される構成に限らず、制御装置１２２以外の装置が接続されてもよい。

　ゲートウェイ装置１０１は、たとえば、セントラルゲートウェイ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ：ＣＧＷ）であり、車載装置と通信を行うことが可能である。

　ゲートウェイ装置１０１は、たとえば、対象車両において異なるバス１３に接続された制御装置１２２間でやり取りされる情報、各車載通信機１１１間でやり取りされる情報、制御装置１２２および車載通信機１１１間でやり取りされる情報を中継する中継処理を行う。

　より詳細には、対象車両では、たとえば、ドアロックおよびギアの状態などの不定期な変更を通知するために、ある車載装置から他の車載装置へ不定期にメッセージが送信される。具体的には、対象車両におけるドアの開錠および施錠、ギアチェンジ、ならびに方向指示器の操作等に応じて、ある車載装置から他の車載装置へ不定期にメッセージが送信される。以下、不定期に送信されるメッセージをイベントメッセージとも称する。

　メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよい。

　また、対象車両では、イベントメッセージの他に、所定の取り決めに従って、ある車載装置から他の車載装置へ周期的に送信されるメッセージが存在する。

　なお、以下では、ある制御装置１２２から他の制御装置１２２へ送信されるイベントメッセージについて説明するが、制御装置１２２および車載通信機１１１間において送信されるイベントメッセージ、ならびに各車載通信機１１１間において送信されるイベントメッセージについても同様である。

　メッセージには、メッセージの内容および送信元等を識別するためのＩＤが含まれる。メッセージがイベントメッセージであるか否かをＩＤによって識別することが可能である。

　［課題］
　ところで、特許文献２（特開２０１７－１２６９７８号公報）には、以下のような異常検知方法が開示されている。すなわち、異常検知方法は、ＣＡＮプロトコルに従って車両内のバスを介してメッセージの授受を行う複数の電子制御ユニットを備える車載ネットワークシステムにおける異常の検知のための異常検知方法であって、単位時間の決定を行い、前記決定された単位時間内に前記バスから受信されたメッセージの数に基づく特徴情報と、メッセージの出現頻度に係る基準を表す所定モデルとを用いた演算処理を行い、当該演算処理の結果に応じて異常か否かを判定する。

　図３は、本発明の実施の形態に係る車載通信システムにおけるイベントメッセージの送信間隔の時間変化の一例を示す図である。なお、図３において、縦軸は送信間隔を示し、横軸は時刻を示す。

　図４は、本発明の実施の形態に係る車載通信システムにおけるイベントメッセージの送信間隔の度数分布の一例を示す図である。なお、図４において、縦軸は度数を示し、横軸は送信間隔を示す。

　図３および図４を参照して、送信間隔は、たとえば、イベントメッセージがバス１３において伝送されるタイミングの間隔である。

　図３および図４に示すように、イベントメッセージの送信間隔の値は一定でなく、ばらついている。ここで、不正メッセージは機械的かつ周期的に送信される場合がある。たとえば、特許文献２に記載の異常検知方法、および、単にメッセージの受信頻度が所定のしきい値を超えた場合に異常であると判断する不正メッセージ検知方法では、イベントメッセージに混在する周期的な不正メッセージを正しく検知することは困難である。

　［ゲートウェイ装置の構成］
　図５は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。

　図５を参照して、ゲートウェイ装置１０１は、通信処理部５１と、監視部５２と、相関算出部５３と、検知部５４と、記憶部５５とを備える。記憶部５５は、たとえば、揮発性記憶領域と、不揮発性記憶領域とを有する。

　ゲートウェイ装置１０１における通信処理部５１は、中継処理を行う。より詳細には、通信処理部５１は、ある制御装置１２２から対応のバス１３経由でメッセージを受信すると、受信したメッセージを他の制御装置１２２へ対応のバス１３経由で送信する。

　ゲートウェイ装置１０１は、検知装置として機能し、複数の車載装置を含む車載ネットワーク１２における不正メッセージを検知する。

　ゲートウェイ装置１０１は、所定の周期である検知周期Ｃで、車載ネットワーク１２における不正メッセージを検知する。検知周期Ｃは、想定される不正メッセージ等に応じて任意の適切な値に設定される。

　［監視部］
　監視部５２は、車載ネットワーク１２における送信メッセージを監視する。より詳細には、監視部５２は、たとえば、通信処理部５１が中継処理を行うメッセージを監視し、監視するメッセージのうちの検知対象となるイベントメッセージ（以下、対象メッセージとも称する。）の送信間隔の値を測定する。

　監視部５２は、たとえば、第１の期間における対象メッセージの送信間隔と、第１の期間とは異なる期間である第２の期間における対象メッセージの送信間隔とを測定する。

　図６は、本発明の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻の分布の一例を示す図である。なお、図６において、横軸は時刻を示す。

　記憶部５５は、たとえば、イベントメッセージの内容および送信元等とＩＤとの対応関係を示す対応情報を不揮発性記憶領域に記憶している。監視部５２は、たとえば、記憶部５５から対象メッセージのＩＤ（以下、対象ＩＤとも称する。）を取得する。

　監視部５２は、たとえば、通信処理部５１がメッセージを受信すると、通信処理部５１によって受信されたメッセージに含まれるＩＤを確認する。図６を参照して、監視部５２は、確認したＩＤが対象ＩＤと一致する場合、通信処理部５１によって受信されたメッセージすなわち対象メッセージｍ１の受信時刻ｔａ１を記憶部５５の揮発性記憶領域に保存する。

　そして、監視部５２は、通信処理部５１において対象ＩＤを含む新たな対象メッセージｍ２が受信されると、新たに受信された対象メッセージｍ２の受信時刻ｔａ２をたとえば記憶部５５の揮発性記憶領域に保存するとともに、以下の処理を行う。すなわち、監視部５２は、受信時刻ｔａ２から受信時刻ｔａ１を差し引くことにより算出される受信間隔を、対象メッセージの送信間隔ｄ１とし、算出した送信間隔ｄ１をたとえば記憶部５５の揮発性記憶領域に保存する。

　すなわち、監視部５２は、対象メッセージｍｋの受信時刻ｔａｋから、対象メッセージｍｋの直前に受信された対象メッセージｍｋ－１の受信時刻ｔａｋ－１を差し引くことにより、送信間隔ｄｋ－１を算出する。このようにして、監視部５２は、受信時刻ｔａ１から受信時刻ｔａｎ＋１までの期間（以下、第１の期間とも称する。）において、ｎ＋１個の対象メッセージｍｋの各送信間隔ｄｋを測定することにより、ｎ個の送信間隔ｄｋのデータを取得する。なお、本明細書において、ｋおよびｎは正の整数であり、ｎ＞ｋを満たすものとする。

　同様にして、監視部５２は、受信時刻ｔａｎ＋１から所定時間が経過した後の時刻である受信時刻ｔｂ１から、受信時刻ｔｂｎ＋１までの期間（以下、第２の期間とも称する。）において、対象メッセージＭｋの受信時刻ｔｂｋから、対象メッセージＭｋの直前に受信された対象メッセージＭｋ－１の受信時刻ｔｂｋ－１を差し引くことにより、送信間隔Ｄｋ－１を算出する。このようにして、監視部５２は、第２の期間において、ｎ＋１個の対象メッセージＭｋの各送信間隔Ｄｋを測定することにより、ｎ個の送信間隔Ｄｋのデータを取得する。

　以下では、受信時刻ｔａｋから受信時刻ｔａｋ－１を差し引くことにより算出される送信間隔ｄｋ－１を、受信時刻ｔａｋに対応する送信間隔ｄｋと称する。また、受信時刻ｔｂｋから受信時刻ｔｂｋ－１を差し引くことにより算出される送信間隔Ｄｋ－１を、受信時刻ｔｂｋに対応する送信間隔Ｄｋと称する。

　監視部５２は、第１の期間における対象メッセージｍｋの送信間隔ｄｋの値の時系列データと、第２の期間における対象メッセージＭｋの送信間隔Ｄｋの値の時系列データとを作成する。たとえば、監視部５２は、第１の期間における対象メッセージｍｋの送信間隔ｄｋの値を時系列に配列したデータである時系列データと、第２の期間における対象メッセージＭｋの送信間隔Ｄｋの値を時系列に配列したデータである時系列データとを作成する。

　図７および図８は、本発明の実施の形態に係る車載通信システムにおける対象メッセージの送信間隔の時系列データの一例を示す図である。

　図７を参照して、監視部５２は、たとえば、第１の期間における対象メッセージｍｋの受信時刻ｔａｋと送信間隔ｄｋとの配列である時系列データＮ１を作成する。また、図８を参照して、監視部５２は、たとえば、第２の期間における対象メッセージＭｋの受信時刻ｔｂｋと送信間隔Ｄｋとの配列である時系列データＮ２を作成する。時系列データＮ１における送信間隔ｄｋのデータの数、および時系列データＮ２における送信間隔Ｄｋのデータの数は、いずれもｎ個であり、同じである。

　監視部５２は、作成した時系列データＮ１，Ｎ２に対して、送信間隔ｄｋ，Ｄｋの値の正負符号を時系列に沿って交互に反転させる符号反転処理を行うことにより、時系列データＮｓ１，Ｎｓ２を作成する。

　図９および図１０は、本発明の実施の形態に係る車載通信システムにおける符号反転処理後の時系列データの一例を示す図である。

　図９を参照して、監視部５２は、たとえば、時系列データＮ１における受信時刻ｔａｋに対応する送信間隔ｄｋ－１の値に（－１）＾ｋを掛けることにより、送信間隔ｄｋの値の正負符号を時系列に沿って交互に反転させた時系列データＮｓ１を作成する。また、図１０を参照して、監視部５２は、たとえば、時系列データＮ２における受信時刻ｔｂｋに対応する送信間隔Ｄｋ－１の値に（－１）＾ｋを掛けることにより、送信間隔Ｄｋの値の正負符号を時系列に沿って交互に反転させた時系列データＮｓ２を作成する。ここで、「ｘ＾ｙ」は、ｘのｙ乗を意味する。

　図９を参照して、たとえば、時系列データＮｓ１において、時系列に沿って偶数番目の受信時刻ｔａｋに対応する送信間隔ｄｋ－１の値は正の数であり、奇数番目の受信時刻ｔａｋに対応する送信間隔ｄｋ－１の値は負の数である。図１０を参照して、たとえば、時系列データＮｓ２において、時系列に沿って偶数番目の受信時刻ｔｂｋに対応する送信間隔Ｄｋ－１の値は正の数であり、奇数番目の受信時刻ｔｂｋに対応する送信間隔Ｄｋ－１の値は負の数である。なお、図９および図１０に示す例ではｎは奇数であるが、ｎは偶数であってもよい。

　また、監視部５２は、時系列データＮ１における受信時刻ｔａｋに対応する送信間隔ｄｋ－１の値に（－１）＾（ｋ＋１）を掛けることにより時系列データＮｓ１を作成し、時系列データＮ２における受信時刻ｔｂｋに対応する送信間隔Ｄｋ－１の値に（－１）＾（ｋ＋１）を掛けることにより時系列データＮｓ２を作成してもよい。すなわち、時系列データＮｓ１，Ｎｓ２において、時系列に沿って偶数番目の受信時刻ｔａｋ，ｔｂｋに対応する送信間隔ｄｋ－１，Ｄｋ－１の値が負の数であり、奇数番目の受信時刻ｔａｋ，ｔｂｋに対応する送信間隔ｄｋ－１，Ｄｋ－１の値が正の数であってもよい。

　時系列データＮｓ１，Ｎｓ２における送信間隔ｄｋ，Ｄｋのデータ数、すなわち後述する自己相関係数ｒの算出に用いる送信間隔ｄｋ，Ｄｋのサンプル数ｎ（以下、ウィンドウサイズとも称する。）は、想定される不正メッセージ等に応じて任意の適切な値に設定することができる。

　たとえば、記憶部５５は、第１の期間の開始タイミング、第２の期間の開始タイミング、およびウィンドウサイズなどを示す設定情報を不揮発性記憶領域に記憶している。監視部５２は、記憶部５５から設定情報を取得し、記憶部５５から取得した設定情報に従って時系列データＮｓ１，Ｎｓ２を作成する。

　監視部５２は、作成した時系列データＮｓ１，Ｎｓ２を相関算出部５３へ出力する。

　［相関算出部］
　相関算出部５３は、監視部５２によって作成された第１の期間における時系列データＮｓ１と第２の期間における時系列データＮｓ２との相関を算出する。

　たとえば、相関算出部５３は、時系列データＮｓ１における送信間隔の各値と、時系列データＮｓ１における当該各値すなわち時系列データＮｓ１におけるすべての送信間隔の値の平均値との差分、および時系列データＮｓ２における送信間隔の各値と、時系列データＮｓ２における当該各値すなわち時系列データＮｓ２におけるすべての送信間隔の値の平均値との差分を用いて、対象メッセージの送信間隔の自己相関係数ｒを算出する。

　より詳細には、相関算出部５３は、監視部５２から時系列データＮｓ１，Ｎｓ２を受けると、時系列データＮｓ１における送信間隔ｄｋの平均値と時系列データＮｓ２における送信間隔Ｄｋの平均値とを算出する。そして、相関算出部５３は、以下の式（１）に従って自己相関係数ｒを算出する。

　ここで、ｎは、時系列データＮｓ１，Ｎｓ２における送信間隔のデータ数である。ｘ_ｉは、時系列データＮｓ１におけるｉ番目の送信間隔である。ｙ_ｉは、時系列データＮｓ２におけるｉ番目の送信間隔である。μ_ｘは、時系列データＮｓ１におけるすべての送信間隔の値の平均値である。μ_ｙは、時系列データＮｓ２におけるすべての送信間隔の値の平均値である。

　相関算出部５３は、算出した自己相関係数ｒを検知部５４へ出力する。

　［検知部］
　検知部５４は、相関算出部５３によって算出された相関に基づいて、不正メッセージを検知する。

　より詳細には、検知部５４は、相関算出部５３から受けた自己相関係数ｒに基づいて、不正メッセージを検知する。

　たとえば、記憶部５５は、自己相関係数ｒのしきい値を不揮発性記憶領域に記憶している。検知部５４は、記憶部５５からしきい値を取得し、自己相関係数ｒと、記憶部５５から取得したしきい値とに基づいて不正メッセージを検知する。

　図１１は、本発明の実施の形態に係る車載通信システムにおける送信間隔の自己相関係数の度数分布の一例を示す図である。なお、図１１において、縦軸は度数を示し、横軸は自己相関係数を示す。また、図１１は、すべての対象メッセージが正当なイベントメッセージである場合における自己相関係数ｒの度数分布を示す。

　図１１を参照して、自己相関係数ｒは、－１以上かつ１以下の値をとる。自己相関係数ｒが１に近いほど、時系列データＮｓ１と時系列データＮｓ２との正の相関関係が強いことを示し、自己相関係数ｒが－１に近いほど、時系列データＮｓ１と時系列データＮｓ２との負の相関関係が強いことを示す。

　すべての対象メッセージが正当なイベントメッセージ（以下、正当メッセージとも称する。）である場合、時系列データＮｓ１と時系列データＮｓ２との相関は小さく、自己相関係数ｒは０に近い値をとる。

　一方、対象メッセージの中に周期的な不正メッセージが存在する場合、すべての対象メッセージが正当メッセージである場合と比べて、時系列データＮｓ１と時系列データＮｓ２との相関は大きくなり、自己相関係数ｒは－１または１に近い値をとる。

　そこで、検知部５４は、たとえば、－１より大きい負の数である第１のしきい値ＴｈＡと、１より小さい正の数である第２のしきい値ＴｈＢとに基づいて、不正メッセージを検知する。

　より詳細には、検知部５４は、たとえば、自己相関係数ｒが、しきい値ＴｈＡ以上であり、かつ、しきい値ＴｈＢ以下である場合に、第１の期間および第２の期間における複数の対象メッセージの中に不正メッセージは含まれておらず、当該複数の対象メッセージはすべて正当メッセージであると判断する。

　一方、検知部５４は、たとえば、自己相関係数ｒがしきい値ＴｈＡより小さいか、またはしきい値ＴｈＢより大きい場合に、第１の期間および第２の期間の少なくともいずれか一方における複数の対象メッセージの中に不正メッセージが存在すると判断する。

　検知部５４は、自己相関係数ｒおよびしきい値ＴｈＡ，ＴｈＢに基づく判断結果を示す判断情報を通信処理部５１へ出力する。

　通信処理部５１は、検知部５４から受けた判断情報が、今回伝送された対象メッセージはすべて正当メッセージであることを示す場合、当該対象メッセージを送信先の制御装置１２２へ送信する。

　一方、通信処理部５１は、検知部５４から受けた判断情報が、今回伝送された複数の対象メッセージの中に不正メッセージが存在することを示す場合、以下の処理を行う。

　すなわち、通信処理部５１は、判断情報が示す当該複数の対象メッセージを記録する。また、通信処理部５１は、バス１３において不正メッセージが伝送されていることを示す警報情報を対象車両内または対象車両外における上位装置へ送信する。

　しきい値ＴｈＡ，ＴｈＢは、対象メッセージの中に不正メッセージが存在するか否かを正確に判断することができるよう、適切な値であることが好ましい。たとえば、予め、対象車両と同じ種類のテスト車両のゲートウェイ装置１０１を用いて、すべての対象メッセージを正当メッセージとしたときに算出される自己相関係数ｒの度数分布を取得し、ＦＰＲ（Ｆａｌｓｅ　Ｐｏｓｉｔｉｖｅ　Ｒａｔｅ）がゼロとなる範囲でしきい値ＴｈＡ，ＴｈＢの絶対値が最も小さくように、しきい値ＴｈＡ，ＴｈＢを設定することが好ましい。

　ここで、ＦＰＲは偽陽性率であり、偽陽性／（偽陽性＋真陰性）で表される。真陰性とは、正当メッセージを正当メッセージとして認識した度数であり、偽陽性とは、正当メッセージを不正メッセージとして検知した度数である。

　なお、しきい値ＴｈＡ，ＴｈＢは、絶対値が互いに等しくなるように設定してもよいし、絶対値が互いに異なるように設定してもよい。

　［評価］
　本発明の実施の形態に係る車載通信システムによる不正メッセージの検知方法の感度を、以下の手順で評価した。

　不正メッセージの検知方法の評価は、本発明の実施の形態に係る検知方法（以下、方法Ａとも称する。）を用いた場合におけるＴＰＲ（Ｔｒｕｅ　Ｐｏｓｉｔｉｖｅ　Ｒａｔｅ）、および、メッセージの受信頻度に基づいて不正メッセージを検知する方法（以下、方法Ｂとも称する。）を用いた場合におけるＴＰＲを測定することにより行った。

　ここで、ＴＰＲは真陽性率であり、真陽性／（真陽性＋偽陰性）で表される。真陽性とは、不正メッセージを不正メッセージとして検知した度数であり、偽陰性とは、不正メッセージを正当メッセージとして認識した度数である。

　図１２は、本発明の実施の形態に係る車載通信システムにおける不正メッセージの検知方法の評価に用いた評価モデルを示す図である。

　図１２を参照して、正当な制御装置１２２から正当メッセージがゲートウェイ装置１０１へ送信され、攻撃ＥＣＵ１２３から不正メッセージがゲートウェイ装置１０１へ送信される場合を想定する。

　図１２に示す評価モデルにおいて、制御装置１２２は、試験車両のヘッドライトの状態を示すイベントメッセージをゲートウェイ装置１０１へ送信する。より詳細には、制御装置１２２は、ヘッドライトが点灯状態から消灯状態へ変化するか、または消灯状態から点灯状態へ変化すると、ヘッドライトの状態が変化したことを示すイベントメッセージを生成し、ゲートウェイ装置１０１へ送信する。

　本評価に用いる正当なイベントメッセージを、以下のとおり生成した。すなわち、試験車両のヘッドライトスイッチを操作し、可能な限り高速でヘッドライトの点灯および消灯を繰り返し切り替えることで、制御装置１２２においてヘッドライトの状態を示すイベントメッセージ（以下、評価用イベントメッセージとも称する。）を生成した。

　［しきい値の決定］
　方法Ａにおけるしきい値ＴｈＡ，ＴｈＢを、以下のとおり決定した。すなわち、制御装置１２２からゲートウェイ装置１０１へ評価用イベントメッセージを送信した状態で、ウィンドウサイズを１０に設定したときの自己相関係数ｒの度数分布を取得し、ＦＰＲがゼロとなる範囲においてしきい値ＴｈＡ，ＴｈＢの絶対値が最も小さくなるように、しきい値ＴｈＡ，ＴｈＢを設定した。同様にして、ウィンドウサイズを２０に設定したときのしきい値ＴｈＡ，ＴｈＢおよびウィンドウサイズを２０に設定したときのしきい値ＴｈＡ，ＴｈＢを設定した。

　具体的には、ウィンドウサイズを１０に設定した場合のしきい値を±０．９５とし、ウィンドウサイズを２０に設定した場合のしきい値を±０．９２とし、ウィンドウサイズを３０に設定した場合のしきい値を±０．９０とした。

　また、方法Ｂにおけるしきい値ＴｈＣを、以下のとおり決定した。すなわち、制御装置１２２からゲートウェイ装置１０１への評価用イベントメッセージの送信頻度が１３回／０．０１秒であったため、方法Ｂにおいて、ＦＰＲがゼロとなる範囲においてしきい値ＴｈＣが最も小さくなるように、０．０１秒あたりのメッセージ受信回数のしきい値ＴｈＣを１３に設定した。

　すなわち、本評価において、方法Ｂでは、ゲートウェイ装置１０１は、０．０１秒あたりのメッセージ受信回数がしきい値ＴｈＣを超えて１４回以上となると、受信したメッセージの中に不正メッセージが存在すると判断する。

　［評価結果］
　図１３は、本発明の実施の形態に係る車載通信システムにおける不正メッセージの検知方法の感度の評価結果を示す図である。図１３において、縦軸はＴＰＲである。

　図１３は、制御装置１２２からゲートウェイ装置１０１へ正当なイベントメッセージを送信しつつ、攻撃ＥＣＵ１２３からゲートウェイ装置１０１へ擬似的な不正メッセージを送信した場合における、ゲートウェイ装置１０１による不正メッセージの検知感度すなわちＴＰＲを示す。なお、擬似的な不正メッセージとして、１秒間隔、０．５秒間隔、０．１秒間隔、または０．０１秒間隔の周期的なメッセージを用いた。

　図１３を参照して、方法Ｂでは、不正メッセージの送信間隔を０．０１秒に設定したときに高いＴＰＲを示した。しかしながら、不正メッセージの送信間隔を０．１秒に設定したとき、不正メッセージの送信間隔を０．５秒に設定したとき、および、不正メッセージの送信間隔を１秒に設定したときは、ＴＰＲがゼロとなった。これは、検知すべき不正メッセージを検知できなかったことを意味する。

　これに対して、方法Ａでは、不正メッセージの送信間隔を、０．０１秒、０．１秒、０．５秒および１秒のいずれに設定した場合にも、高いＴＰＲを示した。これは、検知すべき不正メッセージを適切に検知できたことを意味する。

　［各装置の実現例］
　図１４は、本発明の実施の形態に係る車載通信システムにおける各装置の構成を示す図である。以下、車載通信システム３０１におけるゲートウェイ装置１０１、車載通信機１１１および制御装置１２２等の各装置を、装置２００とも称する。

　図１４を参照して、車載通信システム３０１における装置２００は、演算処理部であるＣＰＵ２０１と、メインメモリ２０２と、ハードディスク２０３と、データリーダ／ライタ２０４とを備える。これらの各部は、バス２０５を介して、互いにデータ通信可能に接続される。

　ＣＰＵ２０１は、ハードディスク２０３に格納されたプログラムをメインメモリ２０２に展開し、所定順序で実行することにより、各種の演算を実施する。メインメモリ２０２は、典型的には、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ｍｅｍｏｒｙ）などの揮発性の記憶装置であり、ハードディスク２０３から読み出されたプログラムに加えて、各種の演算処理結果を示すデータなどを保持する。また、ハードディスク２０３は不揮発性の磁気記憶装置であり、ＣＰＵ２０１で実行されるプログラムに加えて、各種設定値などが格納される。このハードディスク２０３にインストールされるプログラムは、記録媒体２１１に格納された状態で流通する。なお、ハードディスク２０３に加えて、あるいはハードディスク２０３に代えて、フラッシュメモリなどの半導体記憶装置を採用してもよい。

　データリーダ／ライタ２０４は、ＣＰＵ２０１と記録媒体２１１との間のデータ伝送を仲介する。すなわち、記録媒体２１１は、装置２００で実行されるプログラムなどが格納された状態で流通し、データリーダ／ライタ２０６は、この記録媒体２１１からプログラムを読み出す。記録媒体２１１は、たとえば、ＣＦ（Ｃｏｍｐａｃｔ　Ｆｌａｓｈ）およびＳＤ（Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌ）などの汎用的な半導体記憶デバイス、フレキシブルディスクなどの磁気記憶媒体、またはＣＤ－ＲＯＭ（Ｃｏｍｐａｃｔ　Ｄｉｓｋ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）もしくはＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）－ＲＯＭなどの光学記憶媒体である。

　［動作］
　車載通信システム３０１における各装置２００は、ハードディスク２０３等のメモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ２０１等の演算処理部は、以下のフローチャートの各ステップの一部または全部を含むプログラムを当該メモリからそれぞれ読み出して実行する。これら複数の装置２００のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置２００のプログラムは、それぞれ、記録媒体２１１に格納された状態で流通する。

　図１５は、本発明の実施の形態に係るゲートウェイ装置が不正メッセージの検知を行う際の動作手順を定めたフローチャートである。

　図１５を参照して、まず、ゲートウェイ装置１０１は、検知周期Ｃに基づく所定のタイミングに従い、記憶部５５から設定情報およびしきい値ＴｈＡ，ＴｈＢを取得する（ステップＳ１０２）。

　次に、ゲートウェイ装置１０１は、取得した設定情報に基づいて、第１の期間における対象メッセージｍｋの送信間隔ｄｋと、第２の期間における対象メッセージＭｋの送信間隔Ｄｋとを測定する（ステップＳ１０４）。

　次に、ゲートウェイ装置１０１は、対象メッセージｍｋ，Ｍｋの送信間隔ｄｋ，Ｄｋの測定結果に基づいて、時系列データＮｓ１と時系列データＮｓ２とを作成する（ステップＳ１０６）。

　次に、ゲートウェイ装置１０１は、時系列データＮｓ１と時系列データＮｓ２とを用いて自己相関係数ｒを算出する（ステップＳ１０８）。

　次に、ゲートウェイ装置１０１は、自己相関係数ｒに基づいて、不正メッセージを検知する。より詳細には、まず、算出した自己相関係数ｒとしきい値ＴｈＡ，ＴｈＢとを比較する（ステップＳ１１０）。

　次に、ゲートウェイ装置１０１は、たとえば、算出した自己相関係数ｒがしきい値ＴｈＡ以上であり、かつ、しきい値ＴｈＢ以下である場合（ステップＳ１１２でＮＯ）、第１の期間および第２の期間における各対象メッセージｍｋ，Ｍｋの中に不正メッセージは存在しないと判断する（ステップＳ１１４）。

　次に、ゲートウェイ装置１０１は、検知周期Ｃに基づく新たなタイミングに従い、設定情報およびしきい値ＴｈＡ，ＴｈＢの取得（ステップＳ１０２）、ならびに、送信間隔ｄｋ，Ｄｋの測定（ステップＳ１０４）等を行う。

　一方、ゲートウェイ装置１０１は、たとえば、算出した自己相関係数ｒがしきい値ＴｈＡ未満であるか、または、しきい値ＴｈＢより大きい場合（ステップＳ１１２でＹＥＳ）、第１の期間および第２の期間の少なくともいずれか一方における対象メッセージｍｋ，Ｍｋの中に不正メッセージが存在すると判断する（ステップＳ１１６）。

　次に、ゲートウェイ装置１０１は、不正メッセージが伝送されていることを示す警報情報を対象車両内または対象車両外における上位装置へ送信する（ステップＳ１１８）。

　なお、本発明の実施の形態に係る車載通信システムでは、ゲートウェイ装置１０１が、車載ネットワーク１２における不正メッセージを検知する構成であるとしたが、これに限定するものではない。車載通信システム３０１では、ゲートウェイ装置１０１とは別の検知装置が、車載ネットワーク１２における不正メッセージを検知する構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、監視部５２は、対象メッセージｍｋ，Ｍｋの受信時刻ｔａｋ，ｔｂｋに基づいて送信間隔ｄｋ，Ｄｋを測定する構成であるとしたが、これに限定するものではない。監視部５２は、たとえば、対象メッセージｍｋ，Ｍｋの送信時刻を取得し、取得した送信時刻に基づいて送信間隔ｄｋ，Ｄｋを測定する構成であってもよい。

　また、本発明の実施の形態に係る車載通信システムでは、検知装置として機能するゲートウェイ装置１０１がバス１３に直接接続される構成であるとしたが、これに限定するものではない。

　図１６は、本発明の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。

　図１６を参照して、検知装置１３１が、車載装置たとえば制御装置１２２を介してバス１３に接続される構成であってもよい。この場合、検知装置１３１は、たとえば、当該車載装置が送受信するメッセージを監視することにより、バス１３に伝送される不正メッセージを検知する。

　図１６に示す例では、たとえば、検知装置１３１の監視部５２は、制御装置１２２が送信するメッセージの送信時刻を取得し、取得した送信時刻に基づいて送信間隔ｄｋ，Ｄｋを測定し、測定した送信間隔ｄｋ，Ｄｋの時系列データＮｓ１，Ｎｓ２を作成する。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、制御装置１２２間でやり取りされるメッセージを不正メッセージの検知対象とする構成であるとしたが、これに限定するものではない。検知部５４は、制御装置１２２および車載通信機１１１間でやり取りされるメッセージ、ならびに車載通信機１１１間でやり取りされるメッセージを不正メッセージの検知対象とする構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、監視部５２は、送信間隔ｄｋ，Ｄｋのサンプル数が互いに同一である時系列データＮｓ１，Ｎｓ２を作成する構成であるとしたが、これに限定するものではない。監視部５２は、送信間隔ｄｋ，Ｄｋのサンプル数が互いに異なる時系列データＮｓ１，Ｎｓ２を作成する構成であってもよい。この場合、相関算出部５３は、時系列データＮｓ１，Ｎｓ２における送信間隔ｄｋ，Ｄｋのサンプル数が等しくなるように時系列データＮｓ１，Ｎｓ２のいずれか一方の時系列データをリサンプリングし、リサンプリングして得られた時系列データを用いて自己相関係数ｒを算出することが好ましい。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、監視部５２は、第１の期間が経過した後の時刻ｔｂ１から始まる第２の期間における送信間隔Ｄｋの時系列データＮｓ２を作成する構成であるとしたが、これに限定するものではない。監視部５２は、第１の期間内の時刻から始まる第２の期間における送信間隔Ｄｋの時系列データＮｓ２を作成する構成であってもよい。すなわち、第１の期間の一部と第２の期間の一部とが重複してもよい。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、不正メッセージを検知する処理として、第１の期間および第２の期間の少なくともいずれか一方における複数の対象メッセージｍｋ，Ｍｋの中に不正メッセージが存在するか否かを判断する構成であるとしたが、これに限定するものではない。検知部５４は、不正メッセージを検知する処理として、対象メッセージｍｋ，Ｍｋの中に不正メッセージが存在する確率を算出する構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、相関算出部５３は、式（１）に従って時系列データＮ１，Ｎ２の自己相関係数ｒを算出する構成であるとしたが、これに限定するものではない。相関算出部５３は、式（１）以外の他の数式に従って時系列データＮ１，Ｎ２の相関を算出する構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、監視部５２は、時系列データＮ１，Ｎ２に対して、送信間隔ｄｋ，Ｄｋの値の正負符号を時系列に沿って交互に反転させる符号反転処理を行うことにより、時系列データＮｓ１，Ｎｓ２を作成する構成であるとしたが、これに限定するものではない。監視部５２は、符号反転処理を行うことなく時系列データＮ１，Ｎ２を相関算出部５３へ出力し、相関算出部５３が時系列データＮ１，Ｎ２の自己相関係数ｒを算出し、検知部５４が自己相関係数ｒに基づいて不正メッセージを検知する構成であってもよい。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、監視部５２は、時系列データＮ１と時系列データＮ２とを作成し、作成した時系列データＮ１，Ｎ２に対して符号反転処理を行うことにより、時系列データＮｓ１，Ｎｓ２を作成する構成であるとしたが、これに限定するものではない。監視部５２は、受信時刻ｔａｋから受信時刻ｔａｋ－１を差し引いた値に（－１）＾ｋを掛けることにより、時系列データＮ１を作成することなく時系列データＮｓ１を作成してもよい。また、監視部５２は、受信時刻ｔｂｋから受信時刻ｔｂｋ－１を差し引いた値に（－１）＾ｋを掛けることにより、時系列データＮ２を作成することなく時系列データＮｓ２を作成してもよい。

　また、本発明の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、相関算出部５３によって算出された自己相関係数ｒと、２つのしきい値ＴｈＡ，ＴｈＢとに基づいて不正メッセージを検知する構成であるとしたが、これに限定するものではない。検知部５４は、自己相関係数ｒと、１つまたは３つ以上のしきい値とに基づいて不正メッセージを検知する構成であってもよい。

　ところで、特許文献１の車載ネットワークシステムでは、特定識別子に基づいて不正なデータフレームを検知するために、送信側の電子制御ユニットにおいてイベントドリブンデータフレームに特定識別子を付与する付与部と、受信側の電子制御ユニットにおいて特定識別子を検証する検証部とが必要であり、車載ネットワークシステムの構成が煩雑化する。

　これに対して、本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワーク１２における不正メッセージを検知する。監視部５２は、車載ネットワーク１２における対象メッセージを監視し、第１の期間における対象メッセージｍｋの送信間隔ｄｋの時系列データＮ１，Ｎｓ１と、第２の期間における対象メッセージＭｋの送信間隔Ｄｋの時系列データＮ２，Ｎｓ２とを作成する。相関算出部５３は、監視部５２によって作成された時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２とを用いて自己相関係数ｒを算出する。そして、検知部５４は、相関算出部５３によって算出された自己相関係数ｒに基づいて、不正メッセージを検知する。

　たとえば、第１の期間および第２の期間における対象メッセージｍｋ，Ｍｋが不定期に送信される正当メッセージである場合、時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２との相関は低い。一方で、第１の期間および第２の期間における対象メッセージｍｋ，Ｍｋの中に、周期的に送信される不正メッセージが存在する場合、対象メッセージｍｋ，Ｍｋの周期性が高まるため、時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２との相関は高くなる。本発明の実施の形態に係る検知装置は、送信間隔ｄｋ，Ｄｋの時系列データを用いて算出される自己相関係数ｒに着目し、上記自己相関係数ｒに基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。

　したがって、本発明の実施の形態に係る検知装置では、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。

　また、本発明の実施の形態に係る検知装置では、監視部５２は、送信間隔ｄｋ，Ｄｋの値の正負符号を時系列に沿って交互に反転させた時系列データＮｓ１および時系列データＮｓ２を作成する。相関算出部５３は、監視部５２によって作成された時系列データＮｓ１の各送信間隔ｄｋと送信間隔ｄｋの平均値との差分、および監視部５２によって作成された時系列データＮｓ２の各送信間隔Ｄｋと送信間隔Ｄｋの平均値との差分を用いて自己相関係数ｒを算出する。

　不正メッセージが高い頻度で周期的に送信される場合、対象メッセージｍｋ，Ｍｋの各送信間隔ｄｋ，Ｄｋが等間隔に近づくことにより、各送信間隔ｄｋ，Ｄｋと送信間隔ｄｋ，Ｄｋの平均値との差分が小さくなり、結果として、ＣＰＵ等において、時系列データＮ１，Ｎ２を用いて自己相関係数ｒを正確に算出することが困難となる場合がある。これに対して、送信間隔ｄｋ，Ｄｋの値の正負符号を時系列に沿って交互に反転させた時系列データＮｓ１，Ｎｓ２を作成し、上記時系列データＮｓ１の各送信間隔ｄｋと送信間隔ｄｋの平均値との差分、および上記時系列データＮｓ２の各送信間隔Ｄｋと送信間隔Ｄｋの平均値との差分を用いて自己相関係数ｒを算出する構成により、不正メッセージが高い頻度で周期的に送信される場合であっても、時系列データＮｓ１，Ｎｓ２を用いて自己相関係数ｒを正確に算出することができる。これにより、上記自己相関係数ｒに基づいて高い精度で不正メッセージを検知することができる。

　また、本発明の実施の形態に係る検知装置では、検知部５４は、相関算出部５３によって算出された自己相関係数ｒが、－１より大きい負の数であるしきい値ＴｈＡより小さいか、または１より小さい正の数であるしきい値ＴｈＢより大きい場合に、不正メッセージを検知する。

　このような構成により、たとえば、時系列データＮ１，Ｎ２を用いて算出された自己相関係数ｒと、予め適切な値に設定されたしきい値ＴｈＡ，ＴｈＢとに基づいて、不正メッセージを正しく検知することができる。また、たとえば、送信間隔ｄｋ，Ｄｋの値の正負符号を時系列に沿って交互に反転させた時系列データＮｓ１，Ｎｓ２を用いて算出された自己相関係数ｒと、予め適切な値に設定されたしきい値ＴｈＡ，ＴｈＢとに基づいて、不正メッセージを正しく検知することができる。

　また、本発明の実施の形態に係るゲートウェイ装置１０１は、車載ネットワーク１２における車載装置間のメッセージを中継する。監視部５２は、車載ネットワーク１２における対象メッセージを監視し、第１の期間における対象メッセージｍｋの送信間隔ｄｋの時系列データＮ１，Ｎｓ１と、第２の期間における対象メッセージＭｋの送信間隔Ｄｋの時系列データＮ２，Ｎｓ２とを作成する。相関算出部５３は、監視部５２によって作成された時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２とを用いて自己相関係数ｒを算出する。そして、検知部５４は、相関算出部５３によって算出された自己相関係数ｒに基づいて、車載ネットワーク１２における不正メッセージを検知する。

　たとえば、第１の期間および第２の期間における対象メッセージｍｋ，Ｍｋが不定期に送信される正当メッセージである場合、時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２との相関は低い。一方で、第１の期間および第２の期間における対象メッセージｍｋ，Ｍｋの中に、周期的に送信される不正メッセージが存在する場合、対象メッセージｍｋ，Ｍｋの周期性が高まるため、時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２との相関は高くなる。本発明の実施の形態に係るゲートウェイ装置は、送信間隔ｄｋ，Ｄｋの時系列データを用いて算出される自己相関係数ｒに着目し、上記自己相関係数ｒに基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。

　したがって、本発明の実施の形態に係るゲートウェイ装置１０１では、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。

　本発明の実施の形態に係る検知方法では、まず、検知装置が、車載ネットワーク１２における対象メッセージを監視し、第１の期間における対象メッセージｍｋの送信間隔ｄｋの時系列データＮ１，Ｎｓ１と、第２の期間における対象メッセージＭｋの送信間隔Ｄｋの時系列データＮ２，Ｎｓ２とを作成する。次に、検知装置が、作成した時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２とを用いて自己相関係数ｒを算出する。次に、検知装置が、算出した自己相関係数ｒに基づいて、不正メッセージを検知する。

　たとえば、第１の期間および第２の期間における対象メッセージｍｋ，Ｍｋが不定期に送信される正当メッセージである場合、時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２との相関は低い。一方で、第１の期間および第２の期間における対象メッセージｍｋ，Ｍｋの中に、周期的に送信される不正メッセージが存在する場合、対象メッセージｍｋ，Ｍｋの周期性が高まるため、時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２との相関は高くなる。本発明の実施の形態に係る検知方法は、送信間隔ｄｋ，Ｄｋの時系列データを用いて算出される自己相関係数ｒに着目し、上記自己相関係数ｒに基づいて不正メッセージを検知する構成により、メッセージの受信頻度に基づいて不正メッセージを検知する構成に比べて、不定期に送信される正当メッセージに混在する不正メッセージを正しく検知することができる。

　したがって、本発明の実施の形態に係る検知方法では、簡易な構成で車載ネットワークにおける不正メッセージを正しく検知することができる。

　本発明の実施の形態に係る検知方法では、まず、ゲートウェイ装置１０１が、車載ネットワーク１２における対象メッセージを監視し、第１の期間における対象メッセージｍｋの送信間隔ｄｋの時系列データＮ１，Ｎｓ１と、第２の期間における対象メッセージＭｋの送信間隔Ｄｋの時系列データＮ２，Ｎｓ２とを作成する。次に、ゲートウェイ装置１０１が、作成した時系列データＮ１，Ｎｓ１と時系列データＮ２，Ｎｓ２とを用いて自己相関係数ｒを算出する。次に、ゲートウェイ装置１０１が、算出した自己相関係数ｒに基づいて、車載ネットワーク１２における不正メッセージを検知する。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。

　［付記１］
　複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第２の時系列データとを作成する監視部と、
　前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとを用いて、前記送信間隔の自己相関係数を算出する相関算出部と、
　前記相関算出部によって算出された前記自己相関係数に基づいて、対応の各前記送信メッセージの中に前記不正メッセージが存在するか否かを判断する検知部とを備える、検知装置。

　［付記２］
　車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データであって、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた第２の時系列データとを作成する監視部と、
　前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとを用いて、前記送信間隔の自己相関係数を算出する相関算出部と、
　前記相関算出部によって算出された前記自己相関係数に基づいて、対応の各前記送信メッセージの中に前記不正メッセージが存在するか否かを判断する検知部とを備える、ゲートウェイ装置。

　１２　車載ネットワーク
　１３，１４　バス
　５１　通信処理部
　５２　監視部
　５３　相関算出部
　５４　検知部
　５５　記憶部
　１０１　ゲートウェイ装置
　１１１　車載通信機
　１１２　ポート
　１２１　バス接続装置群
　１２２　制御装置
　１３１　検知装置
　３０１　車載通信システム

Claims

　複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、
　前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、
　前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部とを備える、検知装置。
　前記監視部は、前記送信間隔の値の正負符号を時系列に沿って交互に反転させた前記第１の時系列データおよび前記第２の時系列データを作成し、
　前記相関算出部は、前記監視部によって作成された前記第１の時系列データにおける各前記送信間隔の値と前記各送信間隔の値の平均値との差分、および前記監視部によって作成された前記第２の時系列データにおける各前記送信間隔の値と前記各送信間隔の値の平均値との差分を用いて前記相関を算出する、請求項１に記載の検知装置。
　前記検知部は、前記相関算出部によって算出された前記相関が、－１より大きい負の数である第１のしきい値より小さいか、または１より小さい正の数である第２のしきい値より大きい場合に、対応の各前記送信メッセージの中に前記不正メッセージが存在すると判断する、請求項１または請求項２に記載の検知装置。
　車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、
　前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、
　前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部とを備える、ゲートウェイ装置。
　複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、
　前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成するステップと、
　作成した前記第１の時系列データと前記第２の時系列データとの相関を算出するステップと、
　算出した前記相関に基づいて、前記不正メッセージを検知するステップとを含む、検知方法。
　車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、
　前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成するステップと、
　作成した前記第１の時系列データと前記第２の時系列データとの相関を算出するステップと、
　算出した前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知するステップとを含む、検知方法。
　複数の車載装置を含む車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、
　コンピュータを、
　前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、
　前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、
　前記相関算出部によって算出された前記相関に基づいて、前記不正メッセージを検知する検知部、
として機能させるための、検知プログラム。
　車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、
　コンピュータを、
　前記車載ネットワークにおける送信メッセージを監視し、第１の期間における前記送信メッセージの送信間隔の値の時系列データである第１の時系列データと、第２の期間における前記送信メッセージの送信間隔の値の時系列データである第２の時系列データとを作成する監視部と、
　前記監視部によって作成された前記第１の時系列データと前記第２の時系列データとの相関を算出する相関算出部と、
　前記相関算出部によって算出された前記相関に基づいて、前記車載ネットワークにおける不正メッセージを検知する検知部、
として機能させるための、検知プログラム。