WO2020084908A1

WO2020084908A1 - 検知装置、ゲートウェイ装置、検知方法および検知プログラム

Info

Publication number: WO2020084908A1
Application number: PCT/JP2019/034553
Authority: WO
Inventors: 吉田圭吾; 濱田芳博; 上田浩史; 足立直樹; 相羽慎一
Original assignee: 住友電気工業株式会社; 住友電装株式会社; 株式会社オートネットワーク技術研究所
Priority date: 2018-10-26
Filing date: 2019-09-03
Publication date: 2020-04-30
Also published as: US20210377074A1; CN112823495B; JP7276670B2; JPWO2020084908A1; CN112823495A

Abstract

【課題】簡易な処理によって車載ネットワークにおける異常を正しく検知する。【解決手段】検知装置は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。

Description

検知装置、ゲートウェイ装置、検知方法および検知プログラム

　本発明は、検知装置、ゲートウェイ装置、検知方法および検知プログラムに関する。
　この出願は、２０１８年１０月２６日に出願された日本出願特願２０１８－２０１８３５号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２０１７－１２６９７８号公報）には、以下のような異常検知装置が開示されている。すなわち、異常検知装置は、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）プロトコルに従って車両内のバスを介してメッセージの授受を行う複数の電子制御ユニットを備える車載ネットワークシステムにおいて、前記バスに接続されて異常を検知する異常検知装置であって、前記バスからメッセージを受信する受信部と、単位時間を決定する決定部と、前記決定部により決定された単位時間内に前記受信部により受信されたメッセージの数に基づく特徴情報を特定する特定部と、前記特定部で特定された前記特徴情報とメッセージの出現頻度に係る基準を表す所定モデルとを用いた演算処理の結果に応じて、異常か否かを判定する判定部とを備える。

　また、たとえば、特許文献２（特開２０１７－８５６６３号公報）には、以下のようなセキュリティ装置が開示されている。すなわち、セキュリティ装置は、１つ又は複数のバスを介してＣＡＮプロトコルに従ってフレームの授受を行う複数の電子制御ユニットと接続されるセキュリティ装置であって、前記フレームは、ＩＤを格納するＩＤフィールド、ＤＬＣ（Ｄａｔａ　Ｌｅｎｇｔｈ　Ｃｏｄｅ）及びデータフィールドを含むデータフレームであり、１つの前記バスからフレームを受信する受信部と、フレームについての検査内容として、前記データフィールドに格納されたデータの値の検査に係るデータ検査パラメータを保持する保持部と、前記受信部により受信されたフレームに関し、前記ＩＤが同値の２つのフレームが送信される時間間隔である送信周期について判定を行い、前記ＩＤが同値の２つのフレームの受信間隔が所定の許容範囲から外れる場合に、前記受信部により受信されたフレームの条件が成立したと判定して前記保持部が保持する前記データ検査パラメータを更新する更新部と、前記保持部が保持する前記データ検査パラメータに基づいて、前記受信部により受信されたフレームが攻撃フレームか否かの判定に係る検査を行う検査部とを備える。

特開２０１７－１２６９７８号公報特開２０１７－８５６６３号公報

　（１）本開示の検知装置は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。

　（６）本開示の検知装置は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。

　（７）本開示の検知方法は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、自己または他の車載ネットワークにおける通信負荷の履歴を取得するステップと、取得した前記履歴、および前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。

　（８）本開示の検知方法は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、過去に取得した前記通信負荷に基づいて、前記通信負荷の推定値を算出するステップと、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得するステップと、取得した前記履歴、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。

　（９）本開示の検知プログラムは、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。

　（１０）本開示の検知プログラムは、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置において用いられる検知プログラムであって、コンピュータを、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。

　本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得る。

　本開示の一態様は、このような特徴的な処理部を備えるゲートウェイ装置として実現され得るだけでなく、ゲートウェイ装置を備える車載通信システムとして実現され得る。また、本開示の一態様は、ゲートウェイ装置の一部または全部を実現する半導体集積回路として実現され得る。

図１は、本発明の第１の実施の形態に係る車載通信システムの構成を示す図である。図２は、本発明の第１の実施の形態に係るバス接続装置群の構成を示す図である。図３は、本発明の第１の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。図４は、本発明の第１の実施の形態に係る車載通信システムにおける通信負荷の度数分布の一例を示す図である。図５は、本発明の第１の実施の形態に係るゲートウェイ装置における検知部によるトラフィック異常の検知例を示す図である。図６は、本発明の第１の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知を行う際の動作手順を定めたフローチャートである。図７は、本発明の第１の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。図８は、本発明の第２の実施の形態に係るゲートウェイ装置の構成を示す図である。図９は、本発明の第２の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知を行う際の動作手順を定めたフローチャートである。図１０は、本発明の第２の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。図１１は、本発明の第３の実施の形態に係るゲートウェイ装置の構成を示す図である。図１２は、本発明の第３の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。図１３は、本発明の第３の実施の形態に係る車載通信システムにおける通信負荷の誤差の度数分布の一例を示す図である。図１４は、本発明の第３の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの発生の推定例を示す図である。図１５は、本発明の第３の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知および不正メッセージの発生の推定を行う際の動作手順を定めたフローチャートである。図１６は、本発明の第３の実施の形態の変形例に係るゲートウェイ装置が検知対象バスにおける不正メッセージの発生の推定を行う際の動作手順を定めたフローチャートである。図１７は、本発明の第３の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。

　［本開示が解決しようとする課題］
　特許文献１に記載の異常検知装置は、特定部が、受信されたメッセージＩＤ毎のフレームの数を成分とする特徴ベクトルである特徴情報を生成し、特徴情報と所定モデルとを用いた演算処理を行い、演算処理の結果に応じて、所定モデルが表す基準を特徴情報が逸脱しているか否かを判定することにより、異常を検知する構成である。

　しかしながら、特許文献１に記載の異常検知装置では、特徴ベクトルが基準を逸脱しているか否かを判定するために、たとえば、特徴ベクトルの、ｋｄ木等のデータ構造で表された所定モデルが示す基準に対する最近傍距離を計算して閾値と比較するという複雑な処理が必要であり、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）等における負荷が大きい。

　また、特許文献２に記載のセキュリティ装置では、ＩＤが同値の２つのフレームの受信間隔が所定の許容範囲から外れるか否かを判断するために、各フレームの送信時刻を取得する必要があることから、ＣＰＵ等における負荷が大きい。

　本開示は、上述の課題を解決するためになされたもので、その目的は、簡易な処理によって車載ネットワークにおける異常を正しく検知することが可能な検知装置、ゲートウェイ装置、検知方法および検知プログラムを提供することである。

　［本開示の効果］
　本開示によれば、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。

　［本願発明の実施形態の説明］
　最初に、本発明の実施形態の内容を列記して説明する。

　（１）本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。

　たとえば、車載ネットワークにおいて異常が発生している場合、監視部によって取得された第１のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第１のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。

　（２）好ましくは、前記検知装置は、さらに、前記監視部によって取得された、前記第１のタイミングより前のタイミングにおける前記通信負荷に基づいて、前記第１のタイミングにおける前記通信負荷の推定値を算出する推定部を備え、前記検知部は、前記監視部によって取得された前記第１のタイミングにおける前記通信負荷と、前記推定部によって算出された前記第１のタイミングにおける前記推定値とを比較し、比較結果に基づいて、前記車載ネットワークにおける不正メッセージの発生を推定する。

　このような構成により、第１のタイミングにおける通信負荷からは車載ネットワークにおける異常が検知されない状況であっても、第１のタイミングより前のタイミングにおける通信負荷から推定される推定値と通信負荷との比較結果に基づいて、車載ネットワークにおける不正メッセージの発生を推定することができる。これにより、通信負荷によって車載ネットワークにおける異常を検知できるタイミングよりも早く、車載ネットワークにおける不正メッセージの発生を推定することができる。

　（３）より好ましくは、前記推定部は、前記検知部によって前記不正メッセージの発生が推定された場合、前記第１のタイミングより後のタイミングである第２のタイミングにおける前記推定値を、前記第１のタイミング以降のタイミングにおける前記通信負荷に基づいて算出する。

　このような構成により、通信負荷が大幅に増大したタイミング以降の通信負荷に基づいて、新たな推定値をより正確に算出することができる。これにより、たとえば、通信負荷のさらなる変化が生じた場合であっても、新たに算出した推定値に基づいて車載ネットワークにおける不正メッセージの発生を正確に推定することができる。

　（４）より好ましくは、前記検知装置は、さらに、前記検知部によって前記車載ネットワークにおける異常が検知された場合、第１の警報情報を出力し、前記検知部によって前記車載ネットワークにおける不正メッセージの発生が推定された場合、前記第１の警報情報とは異なる第２の警報情報を出力する通知部を備える。

　このように、車載ネットワークにおける異常が検知された場合と、車載ネットワークにおける不正メッセージの発生が推定された場合とで、通知部が互いに異なる警報情報を送信する構成により、たとえば、状況に応じて緊急度合いが異なる警告をユーザに通知することができる。

　（５）より好ましくは、前記監視部は、前記第１のタイミングにおける前記通信負荷として、前記通信負荷の時系列データの移動平均を算出する。

　このような構成により、通信負荷よりもばらつきが小さい移動平均を、車載ネットワークにおける異常の検知に用いることができる。これにより、車載ネットワークにおける異常をより正しくかつ安定して検知することができる。

　（６）本発明の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。

　たとえば、車載ネットワークにおいて異常が発生すると、監視部によって取得された第１のタイミングにおける通信負荷と推定部によって算出された第１のタイミングにおける通信負荷の推定値との差分は大きい値となる。上記のように、通信負荷と推定値との差分に着目し、通信負荷と推定値との差分の履歴、第１のタイミングにおける通信負荷、および第１のタイミングにおける通信負荷の推定値に基づいて車載ネットワークにおける異常を検知する構成により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。

　本発明の実施の形態に係るゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。

　本発明の実施の形態に係るゲートウェイ装置は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える。

　（７）本発明の実施の形態に係る検知方法は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、自己または他の車載ネットワークにおける通信負荷の履歴を取得するステップと、取得した前記履歴、および前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。

　たとえば、車載ネットワークにおいて異常が発生している場合、第１のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第１のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する方法により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。

　（８）本発明の実施の形態に係る検知方法は、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、過去に取得した前記通信負荷に基づいて、前記通信負荷の推定値を算出するステップと、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得するステップと、取得した前記履歴、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。

　たとえば、車載ネットワークにおいて異常が発生すると、第１のタイミングにおける通信負荷と推定値との差分は大きい値となる。上記のように、通信負荷と推定値との差分に着目し、通信負荷と推定値との差分の履歴、第１のタイミングにおける通信負荷、および第１のタイミングにおける通信負荷の推定値に基づいて車載ネットワークにおける異常を検知する方法により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。

　本発明の実施の形態に係る検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、自己または他の車載ネットワークにおける通信負荷の履歴を取得するステップと、取得した前記履歴、および前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。

　たとえば、車載ネットワークにおいて異常が発生している場合、監視部によって取得された第１のタイミングにおける通信負荷は大きい値となる。上記のように、通信負荷に着目し、通信負荷の履歴、および第１のタイミングにおける通信負荷に基づいて車載ネットワークにおける異常を検知する方法により、簡易な処理によって車載ネットワークにおける異常を正しく検知することができる。

　本発明の実施の形態に係る検知方法は、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置における検知方法であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、過去に取得した前記通信負荷に基づいて、前記通信負荷の推定値を算出するステップと、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得するステップと、取得した前記履歴、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む。

　（９）本発明の実施の形態に係る検知プログラムは、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。

　（１０）本発明の実施の形態に係る検知プログラムは、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置において用いられる検知プログラムであって、コンピュータを、複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。

　本発明の実施の形態に係る検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。

　本発明の実施の形態に係る検知プログラムは、車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部、として機能させるためのプログラムである。

　以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　＜第１の実施の形態＞
　［構成および基本動作］
　図１は、本発明の第１の実施の形態に係る車載通信システムの構成を示す図である。

　図１を参照して、車載通信システム３０１は、ゲートウェイ装置（検知装置）１０１と、複数の車載通信機１１１と、複数のバス接続装置群１２１とを備える。

　図２は、本発明の第１の実施の形態に係るバス接続装置群の構成を示す図である。

　図２を参照して、バス接続装置群１２１は、複数の制御装置１２２を含む。なお、バス接続装置群１２１は、複数の制御装置１２２を備える構成に限らず、１つの制御装置１２２を含む構成であってもよい。

　車載通信システム３０１は、道路を走行する車両（以下、対象車両とも称する。）に搭載される。車載ネットワーク１２は、車両の内部における装置である車載装置を複数含む。具体的には、車載ネットワーク１２は、車載装置の一例である、複数の車載通信機１１１および複数の制御装置１２２を含む。なお、車載ネットワーク１２は、複数の車載装置を含む構成であれば、複数の車載通信機１１１を含みかつ制御装置１２２を含まない構成であってもよいし、車載通信機１１１を含まずかつ複数の制御装置１２２を含む構成であってもよいし、１つの車載通信機１１１および１つの制御装置１２２を含む構成であってもよい。

　車載ネットワーク１２において、車載通信機１１１は、たとえば、対象車両の外部における装置と通信する。具体的には、車載通信機１１１は、たとえば、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）、近距離無線端末装置、およびＩＴＳ（Ｉｎｔｅｌｌｉｇｅｎｔ　Ｔｒａｎｓｐｏｒｔ　Ｓｙｓｔｅｍｓ）無線機である。

　ＴＣＵは、たとえば、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）または３Ｇ等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＴＣＵは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびＦＯＴＡ（Ｆｉｒｍｗａｒｅ　Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）等のサービスに用いる情報を中継する。

　近距離無線端末装置は、たとえば、Ｗｉ－Ｆｉ（登録商標）およびＢｌｕｅｔｏｏｔｈ（登録商標）等の通信規格に従って、対象車両に乗車している人間（以下、搭乗者とも称する。）の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。

　また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とＬＦ（Ｌｏｗ　Ｆｒｅｑｕｅｎｃｙ）帯またはＵＨＦ（Ｕｌｔｒａ　Ｈｉｇｈ　Ｆｒｅｑｕｅｎｃｙ）帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびＴＰＭＳ（Ｔｉｒｅ　Ｐｒｅｓｓｕｒｅ　Ｍｏｎｉｔｏｒｉｎｇ　Ｓｙｓｔｅｍ）等のサービスに用いる情報を中継する。

　ＩＴＳ無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびＩＴＳスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＩＴＳ無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。

　ゲートウェイ装置１０１は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置１０１により蓄積されたデータ等を対象車両の外部における整備用端末装置とポート１１２を介して送受信することが可能である。

　ゲートウェイ装置１０１は、たとえばバス１３，１４を介して車載装置と接続する。具体的には、バス１３，１４は、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）、イーサネット（登録商標）、およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の規格に従うバスである。

　この例では、車載通信機１１１は、イーサネットの規格に従う対応のバス１４を介してゲートウェイ装置１０１と接続されている。また、バス接続装置群１２１における各制御装置１２２は、ＣＡＮの規格に従う対応のバス１３を介してゲートウェイ装置１０１と接続されている。制御装置１２２は、たとえば、対象車両における機能部を制御可能である。

　バス１３は、たとえば系統別に設けられる。具体的には、バス１３は、たとえば、駆動系バス、シャーシ／安全系バス、ボディ／電装系バスおよびＡＶ／情報系バスである。

　駆動系バスには、制御装置１２２の一例であるエンジン制御装置、ＡＴ（Ａｕｔｏｍａｔｉｃ　Ｔｒａｎｓｍｉｓｓｉｏｎ）制御装置およびＨＥＶ（Ｈｙｂｒｉｄ　Ｅｌｅｃｔｒｉｃ　Ｖｅｈｉｃｌｅ）制御装置が接続されている。エンジン制御装置、ＡＴ制御装置およびＨＥＶ制御装置は、エンジン、ＡＴ、およびエンジンとモータとの切替をそれぞれ制御する。

　シャーシ／安全系バスには、制御装置１２２の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。

　ボディ／電装系バスには、制御装置１２２の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。

　ＡＶ／情報系バスには、制御装置１２２の一例であるナビゲーション制御装置、オーディオ制御装置、ＥＴＣ（Ｅｌｅｃｔｒｏｎｉｃ　Ｔｏｌｌ　Ｃｏｌｌｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）（登録商標）制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ＥＴＣ制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ＥＴＣ装置および携帯電話をそれぞれ制御する。

　また、バス１３には、制御装置１２２が接続される構成に限らず、制御装置１２２以外の装置が接続されてもよい。

　ゲートウェイ装置１０１は、たとえば、セントラルゲートウェイ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ：ＣＧＷ）であり、車載装置と通信を行うことが可能である。

　ゲートウェイ装置１０１は、たとえば、対象車両において異なるバス１３に接続された制御装置１２２間でやり取りされる情報、各車載通信機１１１間でやり取りされる情報、制御装置１２２および車載通信機１１１間でやり取りされる情報を中継する中継処理を行う。

　より詳細には、車載ネットワーク１２では、ある車載装置から他の車載装置へ周期的にまたは不定期にメッセージが送信される。メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよい。

　なお、以下では、ある制御装置１２２から他の制御装置１２２へ送信されるメッセージについて説明するが、制御装置１２２および車載通信機１１１間において送信されるメッセージ、ならびに各車載通信機１１１間において送信されるメッセージについても同様である。

　［ゲートウェイ装置の構成］
　図３は、本発明の第１の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。

　図３を参照して、ゲートウェイ装置１０１は、通信処理部５１と、監視部５２と、取得部５３と、検知部５４と、通知部５５と、記憶部５６とを備える。記憶部５６は、たとえば、不揮発性メモリである。

　ゲートウェイ装置１０１は、検知装置として機能し、車載ネットワーク１２における異常を検知する検知処理を行う。

　より詳細には、ゲートウェイ装置１０１は、車載ネットワーク１２における異常を検知する処理として、各バス１３のうち検知対象となるバス（以下、検知対象バスとも称する。）における、不正メッセージによる通信トラフィックの異常（以下、トラフィック異常とも称する）を検知する。

　［通信処理部］
　通信処理部５１は、中継処理を行う。より詳細には、通信処理部５１は、ある制御装置１２２から対応のバス１３経由でメッセージを受信すると、受信したメッセージを記憶部５６に保存する。そして、通信処理部５１は、メッセージを記憶部５６から取得し、取得したメッセージを対応のバス１３経由で送信先の制御装置１２２へ送信する。

　より詳細には、たとえば、記憶部５６には、メッセージの送信先である各バス接続装置群１２１に対応する複数のキューが設けられている。言い換えると、記憶部５６には、メッセージの送信時に経由する各バス１３に対応する複数のキューが設けられている。

　通信処理部５１は、たとえば、メッセージを受信すると、送信先のバス接続装置群１２１ごとに対応のキューに振り分けて保存する。そして、通信処理部５１は、メッセージを記憶部５６のキューから取得し、取得したメッセージを送信先のバス接続装置群１２１へ対応のバス１３経由で送信する。

　［監視部］
　監視部５２は、車載ネットワーク１２における送信メッセージを監視し、車載ネットワーク１２における通信負荷を取得する。たとえば、監視部５２は、記憶部５６におけるメッセージを監視することにより、検知対象バスの通信負荷を取得する。

　たとえば、記憶部５６は、各バス１３において単位時間あたりに伝送可能なデータ量の上限値（以下、最大通信量とも称する。）を記憶している。監視部５２は、記憶部５６から検知対象バスの最大通信量を取得する。

　監視部５２は、記憶部５６における各キューのうち検知対象バスに対応するキューにおけるメッセージを監視することにより、単位時間あたりに検知対象バスを介して伝送されるメッセージの総データ量を取得する。

　監視部５２は、取得した総データ量を検知対象バスの最大通信量で除した値を、検知対象バスの通信負荷Ｌとして算出する。

　一例として、監視部５２は、記憶部５６における対応のキューに保存されたメッセージの数を取得し、取得したメッセージの数に基づいて、単位時間あたりに検知対象バスを介して伝送されるメッセージの総データ量を算出する。

　また、他の例として、監視部５２は、記憶部５６における対応のキューに保存された各メッセージに含まれるＤＬＣ（Ｄａｔａ　Ｌｅｎｇｔｈ　Ｃｏｄｅ）を参照することにより、当該メッセージのデータフィールドのデータ量を取得し、取得したデータ量の総和に基づいて、単位時間あたりに検知対象バスを介して伝送されるメッセージの総データ量を算出する。なお、ＤＬＣは、４ｂｉｔで構成され、データフィールドの長さを示す値である。

　たとえば、記憶部５６は、通信負荷Ｌの取得周期Ｃ１などを示す設定情報を記憶している。監視部５２は、記憶部５６から設定情報を取得し、取得した設定情報に従って、取得周期Ｃ１に従う取得タイミングにおいて検知対象バスの通信負荷Ｌを取得し、取得した通信負荷Ｌを検知部５４へ出力する。
　［取得部］
　取得部５３は、自己または他の車載ネットワークにおける通信負荷Ｌの履歴を取得する。たとえば、取得部５３は、監視部５２によって取得された検知対象バスの通信負荷Ｌの履歴を取得する。

　取得部５３は、たとえば、検知対象バスの通信負荷Ｌの履歴として、サーバ等の他の装置によって予め作成された、検知対象バスの通信負荷Ｌの度数分布を示す分布情報Ｆ１を取得する。

　図４は、本発明の第１の実施の形態に係る車載通信システムにおける通信負荷の度数分布の一例を示す図である。なお、図４において、縦軸は度数を示し、横軸は通信負荷Ｌを示す。

　図４を参照して、サーバは、監視部５２によって一定期間にわたって取得されたバス１３ごとの通信負荷Ｌに基づいて、通信負荷Ｌの度数分布Ｄ１をバス１３ごとに作成する。この通信負荷Ｌは、たとえば、対象車両と同じ種類のテスト車両すなわち他の車載ネットワークにおいて取得される。なお、サーバは、対象車両すなわち自己の車載ネットワークにおいて取得された通信負荷Ｌに基づいて度数分布Ｄ１を作成してもよい。

　サーバは、作成した度数分布Ｄ１に基づいて、通信負荷Ｌの標本平均および標本標準偏差などを算出する。サーバは、取得部５３から分布情報Ｆ１の送信要求を受けると、通信負荷Ｌの標本平均および標本標準偏差などを含む分布情報Ｆ１を要求元の対象車両へ送信する。

　再び図３を参照して、取得部５３は、検知対象バスの分布情報Ｆ１の送信要求をサーバへ送信することにより、分布情報Ｆ１を取得する。取得部５３は、車載通信機１１１および通信処理部５１経由でサーバから分布情報Ｆ１を受信すると、受信した分布情報Ｆ１を検知部５４へ出力する。

　なお、ゲートウェイ装置１０１では、取得部５３が、車載通信機１１１および通信処理部５１経由でサーバから分布情報Ｆ１を受信する構成であるとしたが、これに限定するものではない。たとえば、サーバまたは整備用端末装置によって記憶部５６に各バス１３の分布情報Ｆ１が保存されており、取得部５３が記憶部５６から検知対象バスの分布情報Ｆ１を取得する構成であってもよい。

　［検知部］
　検知部５４は、取得部５３によって取得された通信負荷Ｌの履歴、および、監視部５２によって取得された、当該履歴よりも後の第１のタイミングにおける通信負荷Ｌに基づいて、車載ネットワーク１２における異常を検知する。より詳細には、検知部５４は、上記履歴、および、当該履歴に含まれる各通信負荷Ｌの取得タイミングよりも後の取得タイミングｔにおいて取得された通信負荷Ｌに基づいて、検知対象バスにおけるトラフィック異常を検知する。以下では、監視部５２によって取得タイミングｔにおいて取得された通信負荷Ｌを通信負荷Ｌｔと称する。

　たとえば、検知部５４は、取得部５３から受けた分布情報Ｆ１、および監視部５２から受けた通信負荷Ｌｔに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　より詳細には、サーバが作成した度数分布Ｄ１は、検知対象バスにおいてトラフィック異常が発生していないときの通信負荷Ｌの度数分布であると仮定することができる。検知部５４は、度数分布Ｄ１に対応する分布情報Ｆ１と、監視部５２から受けた通信負荷Ｌｔとに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　たとえば、検知部５４は、取得部５３から受けた分布情報Ｆ１に基づいて、通信負荷Ｌの度数分布Ｄ１を正規分布で近似した確率密度関数をモデルとして作成し、作成したモデルと、監視部５２から受けた通信負荷Ｌｔとに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　図５は、本発明の第１の実施の形態に係るゲートウェイ装置における検知部によるトラフィック異常の検知例を示す図である。なお、図５において、横軸は通信負荷を示す。図５の破線は、通信負荷Ｌの度数分布Ｄ１を正規分布で近似した確率密度関数を示す。

　図３および図５を参照して、検知部５４は、取得部５３から分布情報Ｆ１を受けると、分布情報Ｆ１に基づいて、通信トラフィックが正常である場合における通信負荷Ｌの平均値の信頼区間の下限値Ａ１および上限値Ｂ１を算出し、算出した上限値Ｂ１をしきい値ＴｈＡ１として設定する。

　検知部５４は、監視部５２から通信負荷Ｌｔを受けると、受けた通信負荷Ｌｔとしきい値ＴｈＡ１とを比較する。

　たとえば、検知部５４は、監視部５２によって取得タイミングｔ１において取得された通信負荷Ｌｔ１がしきい値ＴｈＡ１以下である場合、検知対象バスにおけるトラフィック異常は発生していないと判断する。

　これは、たとえば、取得タイミングｔ１において、検知対象バスにおけるトラフィック異常が発生していない場合、通信負荷Ｌｔは図５に示す確率密度関数の中心の近傍に位置する可能性が高く、しきい値ＴｈＡ１を超える可能性は低いからである。

　一方、検知部５４は、監視部５２によって取得タイミングｔ２において取得された通信負荷Ｌｔ２がしきい値ＴｈＡ１より大きい場合、検知対象バスにおけるトラフィック異常が発生していると判断する。

　これは、たとえば、取得タイミングｔ２において、検知対象バスにおけるトラフィック異常が発生している場合、通信負荷Ｌｔ２は大きい値となり、しきい値ＴｈＡ１を超える可能性が高いからである。

　検知部５４は、通信負荷Ｌｔおよびしきい値ＴｈＡ１に基づく判断結果を示す判断情報を、通信処理部５１および通知部５５へ出力する。

　通信処理部５１は、検知部５４から受けた判断情報が、検知対象バスにおけるトラフィック異常が発生していないことを示す場合、当該検知対象バスを介した中継処理を通常通り行う。具体的には、通信処理部５１は、当該検知対象バスを介してメッセージを送信先の制御装置１２２へ送信する。

　一方、通信処理部５１は、検知部５４から受けた判断情報が、検知対象バスにおけるトラフィック異常が発生していることを示す場合、たとえば、当該検知対象バスを介した中継処理を停止する。そして、通信処理部５１は、当該判断情報が示すメッセージおよび検知対象バスをログとして記憶部５６に記録する。

　通知部５５は、検知部５４から受けた判断情報が、検知対象バスにおけるトラフィック異常が発生していることを示す場合、検知対象バスにおけるトラフィック異常が発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する。

　［動作］
　車載通信システム３０１における各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のフローチャートの各ステップの一部または全部を含むプログラムを当該メモリからそれぞれ読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。

　図６は、本発明の第１の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知を行う際の動作手順を定めたフローチャートである。

　図６を参照して、まず、ゲートウェイ装置１０１は、検知対象バスの通信負荷Ｌの度数分布Ｄ１を示す分布情報Ｆ１を取得する（ステップＳ１０２）。

　次に、ゲートウェイ装置１０１は、分布情報Ｆ１に基づいて、しきい値ＴｈＡ１を設定する（ステップＳ１０４）。

　次に、ゲートウェイ装置１０１は、取得タイミングｔにおける検知対象バスの通信負荷Ｌｔを取得する（ステップＳ１０６）。

　次に、ゲートウェイ装置１０１は、設定したしきい値ＴｈＡ１と取得した通信負荷Ｌｔとを比較する（ステップＳ１０８）。

　次に、ゲートウェイ装置１０１は、通信負荷Ｌｔがしきい値ＴｈＡ１以下である場合（ステップＳ１１０でＮＯ）、検知対象バスにおけるトラフィック異常が発生しておらず、通信トラフィックは正常であると判断する（ステップＳ１１２）。

　次に、ゲートウェイ装置１０１は、次の取得タイミングｔ＋１における検知対象バスの通信負荷Ｌｔ＋１を取得する処理（ステップＳ１０６）、および通信負荷Ｌｔ＋１としきい値ＴｈＡ１とを比較する処理（ステップＳ１０８）等を行う。

　一方、ゲートウェイ装置１０１は、通信負荷Ｌｔがしきい値ＴｈＡ１より大きい場合（ステップＳ１１０でＹＥＳ）、検知対象バスにおけるトラフィック異常が発生していると判断する（ステップＳ１１４）。

　次に、ゲートウェイ装置１０１は、検知対象バスにおけるトラフィック異常が発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する（ステップＳ１１６）。

　なお、本発明の第１の実施の形態に係る車載通信システム３０１では、ゲートウェイ装置１０１が、検知対象バスにおけるトラフィック異常を検知する構成であるとしたが、これに限定するものではない。車載通信システム３０１では、ゲートウェイ装置１０１とは別の検知装置が、検知対象バスにおけるトラフィック異常を検知する構成であってもよい。

　また、本発明の第１の施の形態に係る車載通信システムでは、検知装置として機能するゲートウェイ装置１０１がバス１３に直接接続される構成であるとしたが、これに限定するものではない。

　図７は、本発明の第１の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。

　図７を参照して、検知装置１３１が、車載装置たとえば制御装置１２２を介してバス１３に接続される構成であってもよい。この場合、検知装置１３１は、たとえば、当該車載装置が送受信するメッセージを監視することにより、当該車載装置を介して接続されるバス１３におけるトラフィック異常を検知する構成であってもよい。

　図７に示す例では、たとえば、検知装置１３１の監視部５２は、制御装置１２２がバス１３を介して単位時間あたりに伝送するメッセージの総データ量を取得し、取得した総データ量を当該バス１３の最大通信量で除した値を、当該バスの通信負荷Ｌとして算出する。

　また、本発明の第１の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、制御装置１２２間を接続するバス１３を検知対象バスとして検知処理を行う構成であるとしたが、これに限定するものではない。検知部５４は、制御装置１２２および車載通信機１１１間を接続するバス１３，１４を検知対象バスとして検知処理を行う構成であってもよいし、車載通信機１１１間を接続するバス１４を検知対象バスとして検知処理を行う構成であってもよい。

　さらに、検知部５４は、車載ネットワーク１２におけるすべてのバス１３，１４を並行して検知対象として検知処理を行う構成であってもよいし、各バス１３，１４を時分割で検知対象として検知処理を行う構成であってもよい。

　また、本発明の第１の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、車載ネットワーク１２における異常を検知する処理として、検知対象バスにおけるトラフィック異常の有無を判断する構成であるとしたが、これに限定するものではない。検知部５４は、車載ネットワーク１２における異常を検知する処理として、検知対象バスにおける通信トラフィックが異常である確率を算出する構成であってもよい。

　また、本発明の第１の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、取得タイミングｔにおいて取得された通信負荷Ｌｔと、しきい値ＴｈＡ１とに基づいてトラフィック異常を検知する構成であるとしたが、これに限定するものではない。検知部５４は、通信負荷Ｌｔと、２つ以上のしきい値とに基づいてトラフィック異常を検知する構成であってもよい。たとえば、図５を参照して、検知部５４は、通信トラフィックが正常である場合における通信負荷Ｌの平均値の信頼区間の下限値Ａ１をしきい値として設定する構成であってもよいし、異なる信頼区間の上限値をしきい値として設定する構成であってもよい。

　また、本発明の第１の実施の形態に係るゲートウェイ装置１０１における検知部５４は、たとえば、ユーザから検知処理を停止すべき旨を示す命令情報を受けた場合には、検知処理を行わない構成であってもよい。

　このような構成により、ゲートウェイ装置１０１がファームウェアの更新プログラムを受信する場合などにおいて、検知処理を停止することができるため、ＣＰＵ等の処理負荷を軽減することができる。

　また、本発明の第１の実施の形態に係るゲートウェイ装置１０１では、記憶部５６は不揮発性メモリであるとしたが、これに限定するものではない。記憶部５６は、揮発性メモリであってもよいし、揮発性記憶領域と不揮発性記憶領域とを有する構成であってもよい。

　ところで、特許文献１に記載の異常検知装置では、特徴ベクトルが基準を逸脱しているか否かを判定するために、たとえば、特徴ベクトルの、ｋｄ木等のデータ構造で表された所定モデルが示す基準に対する最近傍距離を計算して閾値と比較するという複雑な処理が必要であり、ＣＰＵ等における負荷が大きい。また、特許文献２に記載のセキュリティ装置では、ＩＤが同値の２つのフレームの受信間隔が所定の許容範囲から外れるか否かを判断するために、各フレームの送信時刻を取得する必要があることから、ＣＰＵ等における負荷が大きい。

　これに対して、本発明の第１の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワーク１２における異常を検知する。監視部５２は、車載ネットワーク１２における送信メッセージを監視し、車載ネットワーク１２における検知対象バスの通信負荷Ｌを取得する。取得部５３は、自己または他の車載ネットワークにおける検知対象バスの通信負荷Ｌの履歴を取得する。検知部５４は、取得部５３によって取得された通信負荷Ｌの履歴、および監視部５２によって取得された、通信負荷Ｌの履歴よりも後の取得タイミングｔにおける通信負荷Ｌｔに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　たとえば、検知対象バスにおけるトラフィック異常が発生している場合、取得タイミングｔにおける通信負荷Ｌｔは大きい値となる。本発明の第１の実施の形態に係る検知装置は、通信負荷Ｌに着目し、通信負荷Ｌの履歴、および取得タイミングｔにおける通信負荷Ｌｔに基づいて検知対象バスにおけるトラフィック異常を検知する構成により、たとえば特許文献１に記載の異常検知装置および特許文献２に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおけるトラフィック異常を検知することができる。

　したがって、本発明の第１の実施の形態に係る検知装置では、簡易な処理によって車載ネットワーク１２における異常を正しく検知することができる。

　本発明の第１の実施の形態に係るゲートウェイ装置１０１は、車載ネットワーク１２における車載装置間のメッセージを中継する。監視部５２は、車載ネットワーク１２における送信メッセージを監視し、車載ネットワーク１２における検知対象バスの通信負荷Ｌを取得する。取得部５３は、自己または他の車載ネットワークにおける検知対象バスの通信負荷Ｌの履歴を取得する。検知部５４は、取得部５３によって取得された通信負荷Ｌの履歴、および監視部５２によって取得された、通信負荷Ｌの履歴よりも後の取得タイミングｔにおける通信負荷Ｌｔに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　したがって、本発明の第１の実施の形態に係るゲートウェイ装置１０１では、簡易な処理によって車載ネットワーク１２における異常を正しく検知することができる。

　本発明の第１の実施の形態に係る検知方法では、まず、検知装置が、車載ネットワークにおける送信メッセージを監視し、車載ネットワーク１２における検知対象バスの通信負荷Ｌを取得する。次に、検知装置が、自己または他の車載ネットワークにおける検知対象バスの通信負荷Ｌの履歴を取得する。次に、検知装置が、取得した通信負荷Ｌの履歴、および通信負荷Ｌの履歴よりも後の取得タイミングｔにおける通信負荷Ｌｔに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　したがって、本発明の第１の実施の形態に係る検知方法では、簡易な処理によって車載ネットワーク１２における異常を正しく検知することができる。

　本発明の第１の実施の形態に係る検知方法では、まず、ゲートウェイ装置１０１が、車載ネットワークにおける送信メッセージを監視し、車載ネットワーク１２における検知対象バスの通信負荷Ｌを取得する。次に、ゲートウェイ装置１０１が、自己または他の車載ネットワークにおける検知対象バスの通信負荷Ｌの履歴を取得する。次に、ゲートウェイ装置１０１が、取得した通信負荷Ｌの履歴、および通信負荷Ｌの履歴よりも後の取得タイミングｔにおける通信負荷Ｌｔに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　次に、本発明の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。

　＜第２の実施の形態＞
　本実施の形態は、第１の実施の形態に係るゲートウェイ装置と比べて、通信負荷Ｌの時系列データの移動平均を用いて、車載ネットワーク１２における異常を検知するゲートウェイ装置に関する。以下で説明する内容以外は第１の実施の形態に係るゲートウェイ装置と同様である。

　図８は、本発明の第２の実施の形態に係るゲートウェイ装置の構成を示す図である。

　図８を参照して、ゲートウェイ装置１０２は、通信処理部５１と、監視部６２と、取得部６３と、検知部６４と、通知部５５と、記憶部５６とを備える。

　ゲートウェイ装置１０２における通信処理部５１および通知部５５の動作は、図３に示すゲートウェイ装置１０１における通信処理部５１および通知部５５とそれぞれ同様である。

　［監視部］
　監視部６２は、第１のタイミングにおける通信負荷Ｌとして、通信負荷Ｌの時系列データの移動平均を算出する。

　たとえば、記憶部５６は、通信負荷Ｌの取得周期Ｃ１、および通信負荷Ｌの時系列データの移動平均を算出する際のウィンドウサイズなどを示す設定情報を記憶している。監視部６２は、記憶部５６から設定情報を取得し、取得した設定情報に従って、取得周期Ｃ１に従う取得タイミングにおいて、検知対象バスの通信負荷Ｌを取得するとともに当該通信負荷Ｌの時系列データの移動平均Ａを算出する。

　たとえば、監視部６２は、取得周期Ｃ１に従う取得タイミングｔにおいて検知対象バスの通信負荷Ｌｔを取得すると、取得した通信負荷Ｌｔを、時系列データの一つとして記憶部５６に保存する。さらに、監視部６２は、記憶部５６に保存した通信負荷Ｌの時系列データの中から、設定情報のウィンドウサイズが示す数の通信負荷Ｌであって、直近の各取得タイミングにおける各通信負荷Ｌを取得し、取得した各通信負荷Ｌの平均値を、通信負荷Ｌの時系列データの移動平均Ａとして算出する。

　以下では、監視部６２によって取得タイミングｔにおける通信負荷Ｌｔの取得に伴って新たに算出された移動平均Ａを、移動平均Ａｔと称する。監視部６２は、取得タイミングｔにおける通信負荷Ｌｔの取得に伴って算出した移動平均Ａｔを、検知部５４へ出力する。

　［取得部］
　取得部６３は、自己または他の車載ネットワークにおける通信負荷Ｌの履歴を取得する。より詳細には、取得部６３は、監視部６２によって取得された移動平均Ａの履歴を取得する。

　取得部６３は、たとえば、移動平均Ａの履歴として、サーバ等の他の装置によって予め作成された移動平均Ａの度数分布を示す分布情報Ｆ２を取得する。

　サーバは、監視部６２によって一定期間にわたって取得されたバス１３ごとの移動平均Ａに基づいて、移動平均Ａの度数分布Ｄ２をバス１３ごとに作成する。この移動平均Ａは、たとえば、対象車両と同じ種類のテスト車両すなわち他の車載ネットワークにおいて取得される。なお、サーバは、対象車両すなわち自己の車載ネットワークにおいて取得された移動平均Ａに基づいて度数分布Ｄ２を作成してもよい。

　サーバは、作成した度数分布Ｄ２に基づいて、移動平均Ａの標本平均および標本標準偏差などを算出する。サーバは、取得部６３から分布情報Ｆ２の送信要求を受けると、移動平均Ａの標本平均および標本標準偏差などを含む分布情報Ｆ２を要求元の対象車両へ送信する。

　再び図８を参照して、取得部６３は、検知対象バスの分布情報Ｆ２の送信要求をサーバへ送信することにより、分布情報Ｆ２を取得する。取得部６３は、車載通信機１１１および通信処理部５１経由でサーバから分布情報Ｆ２を受信すると、受信した分布情報Ｆ２を検知部５４へ出力する。

　［検知部］
　検知部６４は、取得部６３によって取得された移動平均Ａの履歴、および、監視部６２によって当該履歴に含まれる各移動平均Ａの取得タイミングよりも後の取得タイミングｔにおいて算出された移動平均Ａｔに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　たとえば、検知部６４は、取得部６３から受けた分布情報Ｆ２、および監視部６２から受けた移動平均Ａｔに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　より詳細には、検知部６４は、取得部６３から分布情報Ｆ２を受けると、分布情報Ｆ２に基づいて、通信トラフィックが正常である場合における移動平均Ａの平均値の信頼区間の下限値Ａ２および上限値Ｂ２を算出し、算出した上限値Ｂ２をしきい値ＴｈＡ２として設定する。

　検知部６４は、監視部６２から移動平均Ａｔを受けると、受けた移動平均Ａｔとしきい値ＴｈＡ２とを比較する。

　検知部５４は、移動平均Ａｔおよびしきい値ＴｈＡ２に基づいて、検知対象バスにおけるトラフィック異常が発生しているか否かを判断し、判断結果を示す判断情報を通信処理部５１および通知部５５へ出力する。

　［動作］
　図９は、本発明の第２の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知を行う際の動作手順を定めたフローチャートである。

　図９を参照して、まず、ゲートウェイ装置１０２は、検知対象バスの移動平均Ａの度数分布Ｄ２を示す分布情報Ｆ２を取得する（ステップＳ２０２）。

　次に、ゲートウェイ装置１０２は、分布情報Ｆ２に基づいて、しきい値ＴｈＡ２を設定する（ステップＳ２０４）。

　次に、ゲートウェイ装置１０２は、取得タイミングｔにおける検知対象バスの通信負荷Ｌｔを取得するとともに、移動平均Ａｔを算出する（ステップＳ２０６）。

　次に、ゲートウェイ装置１０２は、設定したしきい値ＴｈＡ２と算出した移動平均Ａｔとを比較する（ステップＳ２０８）。

　次に、ゲートウェイ装置１０２は、移動平均Ａｔがしきい値ＴｈＡ２以下である場合（ステップＳ２１０でＮＯ）、検知対象バスにおけるトラフィック異常が発生しておらず、通信トラフィックは正常であると判断する（ステップＳ２１２）。

　次に、ゲートウェイ装置１０２は、次の取得タイミングｔ＋１における検知対象バスの移動平均Ａｔ＋１を算出する処理（ステップＳ２０６）、および移動平均Ａｔ＋１としきい値ＴｈＡ２とを比較する処理（ステップＳ２０８）等を行う。

　一方、ゲートウェイ装置１０２は、移動平均Ａｔがしきい値ＴｈＡ２より大きい場合（ステップＳ２１０でＹＥＳ）、検知対象バスにおけるトラフィック異常が発生していると判断する（ステップＳ２１４）。

　次に、ゲートウェイ装置１０２は、検知対象バスにおけるトラフィック異常が発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する（ステップＳ２１６）。

　なお、本発明の第２の実施の形態に係る車載通信システム３０１では、取得部６３が移動平均Ａの度数分布Ｄ２を示す分布情報Ｆ２を取得する構成であるとしたが、これに限定するものではない。取得部６３は、本発明の第１の実施の形態に係る取得部５３と同様に、通信負荷Ｌの度数分布Ｄ１を示す分布情報Ｆ１を取得する構成であってもよい。

　図１０は、本発明の第２の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。なお、図１０において、縦軸は通信負荷Ｌを示し、横軸は時刻を示す。図１０において、実線は、監視部６２が各取得タイミングｔにおいて取得した検知対象バスの通信負荷Ｌｔを示し、破線は、監視部６２が各取得タイミングｔにおいて算出した移動平均Ａｔを示す。

　図１０を参照して、検知対象バスの通信負荷Ｌｔは一定でなく、ばらついている。このため、たとえば、監視部６２が取得タイミングｔにおける通信負荷Ｌｔをそのまま検知部６４へ出力する構成では、検知対象バスにおけるトラフィック異常が発生していない場合であっても、検知部６４が、通信負荷Ｌｔとしきい値ＴｈＡ２とを比較した結果、通信負荷Ｌｔがしきい値ＴｈＡ２を超え、検知対象バスにおけるトラフィック異常が発生していると誤って判断する場合がある。

　これに対して、第２の実施の形態に係る検知装置では、監視部６２は、取得タイミングｔにおける検知対象バスの通信負荷Ｌｔとして、検知対象バスの通信負荷Ｌの移動平均Ａｔを算出する。監視部６２は、算出した移動平均Ａｔを検知部６４へ出力する。検知部６４は、受けた移動平均Ａｔとしきい値ＴｈＡ２とを比較し、比較結果に基づいて、検知対象バスにおけるトラフィック異常を検知する。

　このような構成により、通信負荷Ｌｔよりもばらつきが小さい移動平均Ａｔとしきい値ＴｈＡ２とを比較した結果を、検知対象バスにおけるトラフィック異常の検知に用いることができる。これにより、検知対象バスにおけるトラフィック異常をより正しく検知することができる。

　その他の構成および動作は第１の実施の形態に係る車載通信システム３０１と同様であるため、ここでは詳細な説明を繰り返さない。

　＜第３の実施の形態＞
　本実施の形態は、第２の実施の形態に係るゲートウェイ装置と比べて、取得タイミングｔにおける通信負荷Ｌｔの推定値を用いて、車載ネットワーク１２における不正メッセージの発生を推定するゲートウェイ装置に関する。以下で説明する内容以外は第１の実施の形態に係るゲートウェイ装置と同様である。

　図１１は、本発明の第３の実施の形態に係るゲートウェイ装置の構成を示す図である。

　図１１を参照して、ゲートウェイ装置１０３は、通信処理部５１と、監視部７２と、取得部７３と、検知部７４と、通知部７５、記憶部５６と、推定部７７とを備える。

　ゲートウェイ装置１０３における通信処理部５１の動作は、図３に示すゲートウェイ装置１０１における通信処理部５１と同様である。

　監視部７２は、たとえば、第２の実施の形態の監視部６２と同様に、取得タイミングｔにおいて通信負荷Ｌｔを取得するとともに移動平均Ａｔを算出する。

　監視部７２は、取得した通信負荷Ｌｔおよび算出した移動平均Ａｔを、検知部７４および推定部７７へ出力するとともに、記憶部５６に保存する。

　［推定部］
　推定部７７は、監視部７２によって取得された、第１のタイミングより前のタイミングにおける通信負荷Ｌに基づいて、第１のタイミングにおける通信負荷Ｌの推定値Ｐを算出する。

　より詳細には、推定部７７は、たとえば自己回帰和分移動平均モデル（ＡＲＩＭＡモデル）を用いて、取得タイミングｔより前の過去のタイミングにおける通信負荷Ｌに基づいて、取得タイミングｔにおける通信負荷Ｌｔの推定値Ｐｔを算出する。

　たとえば、記憶部５６は、自己回帰和分移動平均モデル、および、推定値Ｐの算出に用いる過去の通信負荷Ｌのデータ数などを示す設定情報を記憶している。推定部７７は、記憶部５６から設定情報を取得し、設定情報に従って、取得タイミングｔにおける通信負荷Ｌｔの推定値Ｐｔを算出する。

　図１２は、本発明の第３の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。図１２において、縦軸は通信負荷Ｌを示し、横軸は時刻を示す。また、図１２において、黒いドットは通信負荷Ｌの測定値を示し、白いドットは通信負荷Ｌの推定値Ｐを示す。

　なお、ここでは、記憶部５６に保存された上記設定情報において、推定値Ｐの算出に用いる過去の通信負荷Ｌのデータ数として、３が設定されているものとする。

　図１２を参照して、推定部７７は、監視部７２から取得タイミングｔ－１における通信負荷Ｌｔ－１を受けると、一つ前の取得タイミングｔ－２における通信負荷Ｌｔ－２と、二つ前の取得タイミングｔ－３における通信負荷Ｌｔ－３とを記憶部５６から取得する。

　推定部７７は、通信負荷Ｌｔ－１，Ｌｔ－２，Ｌｔ－３に基づいて、次の取得タイミングｔにおける通信負荷Ｌｔの推定値Ｐｔを算出する。

　より詳細には、推定部７７は、以下の式（１）に従って、取得タイミングｔにおける通信負荷Ｌｔの推定値Ｐｔを算出し、算出した推定値Ｐｔを検知部７４へ出力する。

　ここで、Ｐｔは、取得タイミングｔにおける検知対象バスの通信負荷の推定値である。ｙｔは、取得タイミングｔにおける検知対象バスの通信負荷の測定値である。φ、θおよびＢは、予め設定された任意の適切なパラメータである。εは誤差項である。Ａは自己回帰の次数であり、Ｃは移動平均の次数である。

　［取得部］
　取得部７３は、第２の実施の形態の取得部６３と同様に、監視部７２によって取得された移動平均Ａの履歴を取得する。

　再び図１２を参照して、取得部７３は、監視部７２によって取得された通信負荷Ｌから、推定部７７によって算出された当該通信負荷Ｌに対応する推定値Ｐを差し引いた値（以下、誤差Ｅとも称する。）の履歴を取得する。

　取得部７３は、たとえば、誤差Ｅの履歴として、サーバ等の他の装置によって予め作成された誤差Ｅの度数分布を示す分布情報Ｆ３を取得する。

　図１３は、本発明の第３の実施の形態に係る車載通信システムにおける通信負荷の誤差の度数分布の一例を示す図である。なお、図１３において、縦軸は度数を示し、横軸は誤差Ｅを示す。

　図１３を参照して、サーバは、監視部７２によって一定期間にわたって取得されたバス１３ごとの通信負荷Ｌと、推定部７７によって算出された対応の推定値Ｐとに基づいて、誤差Ｅの度数分布Ｄ３をバス１３ごとに作成する。この誤差Ｅは、たとえば、対象車両と同じ種類のテスト車両すなわち他の車載ネットワークにおいて取得される。なお、サーバは、対象車両すなわち自己の車載ネットワークにおいて取得された誤差Ｅに基づいて度数分布Ｄ３を作成してもよい。

　サーバは、作成した度数分布Ｄ３に基づいて、誤差Ｅの標本平均および標本標準偏差などを算出する。サーバは、取得部７３から分布情報Ｆ３の送信要求を受けると、誤差Ｅの標本平均および標本標準偏差などを含む分布情報Ｆ３を要求元の対象車両へ送信する。

　再び図１１を参照して、取得部７３は、検知対象バスの分布情報Ｆ３の送信要求をサーバへ送信することにより、分布情報Ｆ３を取得する。取得部７３は、車載通信機１１１および通信処理部５１経由でサーバから分布情報Ｆ３を受信すると、受信した分布情報Ｆ３を検知部５４へ出力する。

　なお、ゲートウェイ装置１０３では、取得部７３が、車載通信機１１１および通信処理部５１経由でサーバから分布情報Ｆ３を受信する構成であるとしたが、これに限定するものではない。たとえば、サーバまたは整備用端末装置によって記憶部５６に各バス１３の分布情報Ｆ３が保存されており、取得部５３が記憶部５６から検知対象バスの分布情報Ｆ３を取得する構成であってもよい。

　［検知部］
　検知部７４は、第２の実施の形態の検知部６４と同様に、取得部７３によって取得された移動平均Ａの履歴、および、監視部７２によって取得された、当該履歴に含まれる各移動平均Ａの取得タイミングよりも後の取得タイミングｔにおいて算出された移動平均Ａｔに基づいて、検知対象バスにおけるトラフィック異常を検知する。

　さらに、検知部７４は、監視部７２によって取得された第１のタイミングにおける通信負荷Ｌと、推定部７７によって算出された第１のタイミングにおける通信負荷Ｌの推定値Ｐとを比較し、比較結果に基づいて、車載ネットワーク１２における不正メッセージの発生を推定する。

　より詳細には、検知部７４は、監視部７２によって取得された取得タイミングｔにおける通信負荷Ｌｔと、推定部７７によって算出された対応の推定値Ｐｔとの差分である誤差Ｅｔを算出し、算出した誤差Ｅｔに基づいて、検知対象バスにおける不正メッセージの発生を推定する。

　たとえば、検知部７４は、取得部７３から受けた分布情報Ｆ３、監視部７２から受けた通信負荷Ｌｔ、および、推定部７７から受けた推定値Ｐｔに基づいて、検知対象バスにおける不正メッセージの発生を推定する。

　より詳細には、サーバが作成した度数分布Ｄ３は、検知対象バスにおいて不正メッセージが発生していないときの誤差Ｅの度数分布であると仮定することができる。検知部７４は、度数分布Ｄ３に対応する分布情報Ｆ３、および、監視部７２から受けた通信負荷Ｌｔと推定部７７から受けた推定値Ｐｔとから算出される誤差Ｅｔに基づいて、検知対象バスにおける不正メッセージの発生を推定する。

　たとえば、検知部７４は、取得部７３から受けた分布情報Ｆ３に基づいて、誤差Ｅの度数分布を正規分布で近似した確率密度関数をモデルとして作成し、作成したモデルと、算出した誤差Ｅｔとに基づいて、検知対象バスにおける不正メッセージの発生を推定する。

　図１４は、本発明の第３の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの発生の推定例を示す図である。なお、図１４において、横軸は差分を示す。図１４の破線は、誤差Ｅの度数分布Ｄ３を正規分布で近似した確率密度関数を示す。

　図１１および図１４を参照して、検知部７４は、取得部７３から分布情報Ｆ３を受けると、分布情報Ｆ３に基づいて、不正メッセージが発生していない場合における誤差Ｅの平均値の信頼区間の下限値Ａ３および上限値Ｂ３を算出し、算出した上限値Ｂ３をしきい値ＴｈＡ３として設定する。

　検知部７４は、監視部７２から通信負荷Ｌｔを受け、かつ、推定部７７から当該通信負荷Ｌｔに対応する推定値Ｐｔを受けると、通信負荷Ｌｔと推定値Ｐｔとの差分を誤差Ｅｔとして算出し、算出した誤差Ｅｔとしきい値ＴｈＡ３とを比較する。

　たとえば、検知部７４は、取得タイミングｔ１に対応する誤差Ｅｔ１がしきい値ＴｈＡ３以下である場合、検知対象バスにおいて不正メッセージは発生していないと推定する。

　これは、たとえば、取得タイミングｔ１において、検知対象バスにおいて不正メッセージが発生していない場合、誤差Ｅｔ１は図１４に示す確率密度関数の中心の近傍に位置する可能性が高く、しきい値ＴｈＡ３を超える可能性は低いからである。

　一方、検知部７４は、取得タイミングｔ２に対応する誤差Ｅｔ２がしきい値ＴｈＡ３より大きい場合、検知対象バスにおいて不正メッセージが発生したと推定する。

　これは、たとえば、取得タイミングｔ２において、検知対象バスにおいて不正メッセージが発生した場合、誤差Ｅｔ２は大きい値となり、しきい値ＴｈＡ３を超える可能性が高いからである。

　検知部７４は、誤差Ｅｔおよびしきい値ＴｈＡ３に基づく推定結果を示す推定情報を、通信処理部５１、監視部７２、および通知部７５へ出力する。

　通信処理部５１は、検知部７４から受けた推定情報が、検知対象バスにおいて不正メッセージが発生していないことを示す場合、当該検知対象バスを介してメッセージを送信先の制御装置１２２へ送信する。

　一方、通信処理部５１は、検知部７４から受けた推定情報が、検知対象バスにおいて不正メッセージが発生したことを示す場合、たとえば、当該検知対象バスを介した中継処理を停止する。そして、通信処理部５１は、当該推定情報が示すメッセージおよび検知対象バスをログとして記憶部５６に記録する。

　通知部７５は、検知部７４から受けた推定情報が、検知対象バスにおいて不正メッセージが発生したことを示す場合、検知対象バスにおいて不正メッセージが発生したことを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する。

　通知部７５は、検知部７４によって車載ネットワーク１２における異常が検知された場合、第１の警報情報Ａｒ１を出力し、検知部７４によって車載ネットワーク１２における不正メッセージの発生が推定された場合、第１の警報情報Ａｒ１とは異なる第２の警報情報Ａｒ２を出力する。

　たとえば、警報情報は緊急度合いを示す。対象車両内における車載装置は、警報情報を受けると、警報情報が示す緊急度合いを、表示装置等を介してユーザに通知する。通知部７５は、検知対象バスにおけるトラフィック異常が発生していることを示す判断情報を受けた場合と、検知対象バスにおいて不正メッセージが発生したことを示す推定情報を受けた場合とで、緊急度合いが互いに異なる警報情報を送信する。

　推定部７７は、検知部７４によって不正メッセージの発生が推定された場合、第１のタイミングより後のタイミングである第２のタイミングにおける推定値Ｐを、第１のタイミング以降のタイミングにおける通信負荷Ｌに基づいて算出する。

　より詳細には、推定部７７は、検知対象バスにおいて不正メッセージが発生したことを示す推定情報を検知部７４から受けると、しきい値ＴｈＡ３を超える誤差Ｅが算出されたタイミングより前のタイミングにおいて取得された通信負荷Ｌを破棄し、新たな推定値Ｐを、しきい値ＴｈＡ３を超える誤差Ｅが算出されたタイミング以降のタイミングにおいて取得された通信負荷Ｌに基づいて算出する。

　また、監視部７２は、検知部７４から検知対象バスにおいて不正メッセージが発生したことを示す推定情報を受けると、新たな移動平均Ａを、しきい値ＴｈＡ３を超える誤差Ｅが算出されたタイミング以降のタイミングにおいて取得された通信負荷Ｌに基づいて算出する。

　［動作］
　図１５は、本発明の第３の実施の形態に係るゲートウェイ装置が検知対象バスにおけるトラフィック異常の検知および不正メッセージの発生の推定を行う際の動作手順を定めたフローチャートである。

　図１５を参照して、まず、ゲートウェイ装置１０３は、検知対象バスの移動平均Ａの度数分布Ｄ２を示す分布情報Ｆ２、および誤差Ｅの度数分布Ｄ３を示す分布情報Ｆ３を取得する（ステップＳ３０２）。

　次に、ゲートウェイ装置１０３は、分布情報Ｆ２に基づいてしきい値ＴｈＡ２を設定し、また、分布情報Ｆ３に基づいてしきい値ＴｈＡ３を設定する（ステップＳ３０４）。

　次に、ゲートウェイ装置１０３は、取得タイミングｔにおける検知対象バスの通信負荷Ｌｔを取得するとともに、移動平均Ａｔおよび推定値Ｐｔを算出する（ステップＳ３０６）。

　次に、ゲートウェイ装置１０３は、通信負荷Ｌｔと推定値Ｐｔとに基づいて誤差Ｅｔを算出する（ステップＳ３０８）。

　次に、ゲートウェイ装置１０３は、移動平均Ａｔとしきい値ＴｈＡ２とを比較する（ステップＳ３１０）。

　次に、ゲートウェイ装置１０３は、移動平均Ａｔがしきい値ＴｈＡ２より大きい場合（ステップＳ３１２でＹＥＳ）、検知対象バスにおけるトラフィック異常が発生していると判断する（ステップＳ３１４）。

　次に、ゲートウェイ装置１０３は、検知対象バスにおけるトラフィック異常が発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する（ステップＳ３１６）。

　次に、ゲートウェイ装置１０３は、次の取得タイミングｔ＋１における通信負荷Ｌｔ＋１を取得するとともに移動平均Ａｔ＋１および推定値Ｐｔ＋１を算出する処理（ステップＳ３０６）、ならびに誤差Ｅｔ＋１を算出する処理（ステップＳ３０８）等を行う。

　一方、ゲートウェイ装置１０３は、移動平均Ａｔがしきい値ＴｈＡ２以下である場合（ステップＳ３１２でＮＯ）、誤差Ｅｔとしきい値ＴｈＡ３とを比較する（ステップＳ３１８）。

　次に、ゲートウェイ装置１０３は、誤差Ｅｔがしきい値ＴｈＡ３以下である場合（ステップＳ３２０でＮＯ）、検知対象バスにおけるトラフィック異常は発生していないと判断し、また、不正メッセージは発生していないと推定する（ステップＳ３２２）。

　一方、ゲートウェイ装置１０３は、誤差Ｅｔがしきい値ＴｈＡ３より大きい場合（ステップＳ３２０でＹＥＳ）、検知対象バスにおいて不正メッセージが発生していると推定する（ステップＳ３２４）。

　次に、ゲートウェイ装置１０３は、検知対象バスにおいて不正メッセージが発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する（ステップＳ３２６）。

　次に、ゲートウェイ装置１０３は、次の取得タイミングｔ＋１における移動平均Ａｔ＋１および推定値Ｐｔ＋１を、今回の取得タイミングｔ以降の取得タイミングにおいて取得された通信負荷Ｌに基づいて算出する（ステップＳ３２８）。

　次に、ゲートウェイ装置１０３は、通信負荷Ｌｔ＋１と推定値Ｐｔ＋１とに基づいて誤差Ｅｔ＋１を算出する処理（ステップＳ３０８）、および移動平均Ａｔ＋１としきい値ＴｈＡ２とを比較する処理（ステップＳ３１０）等を行う。

　なお、本発明の第３の実施の形態に係る車載通信システム３０１では、推定部７７が過去のタイミングにおける通信負荷Ｌに基づいて推定値Ｐを算出する構成であるとしたが、これに限定するものではない。推定部７７は過去のタイミングにおける移動平均Ａに基づいて推定値Ｐを算出する構成であってもよい。

　また、本発明の第３の実施の形態に係る車載通信システム３０１では、検知部７４が、第２の実施の形態に係る車載通信システム３０１における検知部６４と同様に、移動平均Ａの履歴および移動平均Ａｔに基づいて検知対象バスにおけるトラフィック異常を検知する構成であるとしたが、これに限定するものではない。検知部７４は、第１の実施の形態に係る車載通信システム３０１における検知部５４と同様に、通信負荷Ｌの履歴および通信負荷Ｌｔに基づいて検知対象バスにおけるトラフィック異常を検知する構成であってもよい。

　＜変形例＞
　本発明の第３の実施の形態に係る車載通信システム３０１では、ゲートウェイ装置１０３は、車載ネットワーク１２における異常を検知する処理として、検知対象バスにおける不正メッセージによるトラフィック異常を検知する構成であるとしたが、これに限定するものではない。

　ゲートウェイ装置１０３は、車載ネットワーク１２における異常を検知する処理として、検知対象バスにおける不正メッセージの発生を推定する構成であってもよい。

　より詳細には、ゲートウェイ装置１０３は、検知対象バスにおける不正メッセージの発生を推定した場合に、車載ネットワーク１２における異常が発生していると判断する構成であってもよい。

　また、本発明の第３の実施の形態に係る車載通信システム３０１では、検知部７４は、移動平均Ａの履歴および移動平均Ａｔに基づいて、検知対象バスにおけるトラフィック異常を検知し、かつ、通信負荷Ｌｔと推定値Ｐｔとの差分である誤差Ｅｔに基づいて、検知対象バスにおける不正メッセージの発生を推定する構成であるとしたが、これに限定するものではない。

　検知部７４は、誤差Ｅｔに基づいて、検知対象バスにおける不正メッセージの発生を推定する一方で、移動平均Ａの履歴および移動平均Ａｔに基づいて、検知対象バスにおけるトラフィック異常を検知しない構成であってもよい。

　この場合、取得部７３は、上述のように誤差Ｅの履歴を取得する一方で、移動平均Ａの履歴を取得しない構成であってもよい。

　図１６は、本発明の第３の実施の形態の変形例に係るゲートウェイ装置が検知対象バスにおける不正メッセージの発生の推定を行う際の動作手順を定めたフローチャートである。

　図１６を参照して、まず、ゲートウェイ装置１０３は、検知対象バスについての誤差Ｅの度数分布Ｄ３を示す分布情報Ｆ３を取得する（ステップＳ４０２）。

　次に、ゲートウェイ装置１０３は、分布情報Ｆ３に基づいてしきい値ＴｈＡ３を設定する（ステップＳ４０４）。

　次に、ゲートウェイ装置１０３は、取得タイミングｔにおける検知対象バスの通信負荷Ｌｔを取得するとともに、推定値Ｐｔを算出する（ステップＳ４０６）。

　次に、ゲートウェイ装置１０３は、通信負荷Ｌｔと推定値Ｐｔとに基づいて誤差Ｅｔを算出する（ステップＳ４０８）。

　次に、ゲートウェイ装置１０３は、誤差Ｅｔとしきい値ＴｈＡ３とを比較する（ステップＳ４１０）。

　次に、ゲートウェイ装置１０３は、誤差Ｅｔがしきい値ＴｈＡ３より大きい場合（ステップＳ４１２でＹＥＳ）、検知対象バスにおいて不正メッセージが発生していると推定する（ステップＳ４１４）。

　次に、ゲートウェイ装置１０３は、検知対象バスにおいて不正メッセージが発生していることを示す警報情報を、対象車両内における車載装置または対象車両外における上位装置へ送信する（ステップＳ４１６）。

　次に、ゲートウェイ装置１０３は、次の取得タイミングｔ＋１における推定値Ｐｔ＋１を、今回の取得タイミングｔ以降の取得タイミングにおいて取得された通信負荷Ｌに基づいて算出する（ステップＳ４１８）。

　次に、ゲートウェイ装置１０３は、通信負荷Ｌｔ＋１と推定値Ｐｔ＋１とに基づいて誤差Ｅｔ＋１を算出する処理（ステップＳ４０８）、および誤差Ｅｔ＋１としきい値ＴｈＡ３とを比較する処理（ステップＳ４１０）等を行う。

　一方、ゲートウェイ装置１０３は、誤差Ｅｔがしきい値ＴｈＡ３以下である場合（ステップＳ４１２でＮＯ）、検知対象バスにおいて不正メッセージは発生していないと推定する（ステップＳ４２０）。

　次に、ゲートウェイ装置１０３は、次の取得タイミングｔ＋１における通信負荷Ｌｔ＋１を取得するとともに推定値Ｐｔ＋１を算出する処理（ステップＳ４０６）、および誤差Ｅｔ＋１を算出する処理（ステップＳ４０８）等を行う。

　［課題］
　図１７は、本発明の第３の実施の形態に係る車載通信システムにおける通信負荷の時間変化の一例を示す図である。なお、図１７において、縦軸は通信負荷Ｌを示し、横軸は時刻を示す。図１７において、実線は、監視部７２が各取得タイミングｔにおいて取得した検知対象バスの通信負荷Ｌｔを示し、破線は、監視部７２が各取得タイミングｔにおいて算出した移動平均Ａｔを示す。

　本発明の第２の実施の形態に係るゲートウェイ装置１０２のように、検知部６４が移動平均Ａｔとしきい値ＴｈＡ２とを比較した結果に基づいて、検知対象バスにおけるトラフィック異常が発生しているか否かを判断する構成では、判断結果に基づいて警報情報を送信するタイミングが、実際に不正メッセージの送信が開始されたタイミングから遅延してしまう場合がある。

　より詳細には、図１７を参照して、時刻ｔａにおいて検知対象バスへの擬似的な不正メッセージの送信を開始した場合を想定する。移動平均Ａｔは、時刻ｔａにおいて増大し始める一方で、時刻ｔｂにおいてはじめてしきい値ＴｈＡ２を超える。したがって、警報情報を送信するタイミングは時刻ｔｂとなり、実際に不正メッセージの送信が開始されたタイミングである時刻ｔａから遅延が生じてしまう。

　これに対して、本発明の第３の実施の形態に係るゲートウェイ装置１０３では、取得タイミングｔより前の取得タイミングにおける通信負荷Ｌに基づいて、取得タイミングｔにおける通信負荷Ｌｔの推定値Ｐｔを算出し、通信負荷Ｌｔと推定値Ｐｔとの差分である誤差Ｅｔとしきい値ＴｈＡ３とを比較した結果に基づいて、検知対象バスにおいて不正メッセージが発生しているか否かを推定する。

　このような構成により、取得タイミングｔにおける移動平均Ａｔがしきい値ＴｈＡ２を超えない場合であっても、過去のタイミングにおける通信負荷Ｌから推定される推定値Ｐｔと通信負荷Ｌｔとの差分がしきい値ＴｈＡ３を超えた場合、不正メッセージが発生していると推定することができる。これにより、移動平均Ａｔに基づいて検知対象バスにおけるトラフィック異常を検知できるタイミングよりも早く、検知対象バスにおける不正メッセージの発生を推定することができる。

　また、本発明の第３の実施の形態に係るゲートウェイ装置１０３では、推定部７７は、検知部７４によって不正メッセージの発生が推定された場合、新たな推定値Ｐを、しきい値ＴｈＡ３を超える誤差Ｅが算出されたタイミング以降のタイミングにおいて取得された通信負荷Ｌに基づいて算出する。

　このような構成により、通信負荷Ｌが大幅に増大したタイミング以降の通信負荷Ｌに基づいて、新たな推定値Ｐをより正確に算出することができる。これにより、たとえば、通信負荷Ｌのさらなる変化が生じた場合であっても、新たに算出した推定値Ｐに基づいて検知対象バスにおける不正メッセージの発生を正確に推定することができる。

　また、本発明の第３の実施の形態に係るゲートウェイ装置１０３では、通知部７５は、検知部７４によって車載ネットワーク１２における異常が検知された場合、第１の警報情報Ａｒ１を出力し、検知部７４によって車載ネットワーク１２における不正メッセージの発生が推定された場合、第１の警報情報Ａｒ１とは異なる第２の警報情報Ａｒ２を出力する。

　このような構成により、検知対象バスにおけるトラフィック異常が発生した場合と、検知対象バスにおいて不正メッセージが発生したと推定された場合とで、通知部７５が互いに異なる警報情報を送信することにより、たとえば、状況に応じて緊急度合いが異なる警告をユーザに通知することができる。

　また、本発明の第３の実施の形態に係る検知装置は、複数の車載装置を含む車載ネットワーク１２における異常を検知する。監視部７２は、車載ネットワーク１２における送信メッセージを監視し、車載ネットワーク１２における通信負荷Ｌを取得する。推定部７７は、監視部７２によって過去に取得された通信負荷Ｌに基づいて、監視部７２によって取得される通信負荷Ｌの推定値Ｐを算出する。取得部７３は、自己または他の車載ネットワークにおける通信負荷Ｌと通信負荷Ｌの推定値Ｐとの差分である誤差Ｅの履歴を取得する。検知部７４は、取得部７３によって取得された通信負荷Ｌと通信負荷Ｌの推定値Ｐとの差分の履歴、監視部７２によって取得された、通信負荷Ｌと通信負荷Ｌの推定値Ｐとの差分の履歴よりも後の取得タイミングｔにおける通信負荷Ｌｔ、および推定部７７によって算出された取得タイミングｔにおける通信負荷Ｌｔの推定値Ｐｔに基づいて、車載ネットワークにおける異常を検知する。

　たとえば、検知対象バスにおいて不正メッセージが発生すると、取得タイミングｔにおける通信負荷Ｌｔと推定値Ｐｔとの差分は大きな値となる。本発明の第３の実施の形態に係る検知装置は、通信負荷Ｌｔと推定値Ｐｔとの差分に着目し、通信負荷Ｌｔと推定値Ｐｔとの差分の履歴、取得タイミングｔにおける通信負荷Ｌｔ、および通信負荷Ｌｔの推定値Ｐｔに基づいて検知対象バスにおける不正メッセージの発生を推定する構成により、たとえば特許文献１に記載の異常検知装置および特許文献２に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおける不正メッセージの発生を推定することができる。

　したがって、本発明の第３の実施の形態に係る検知装置では、簡易な処理によって車載ネットワーク１２における異常を正しく検知することができる。

　また、本発明の第３の実施の形態に係るゲートウェイ装置１０３は、車載ネットワーク１２における車載装置間のメッセージを中継する。監視部７２は、車載ネットワーク１２における送信メッセージを監視し、車載ネットワーク１２における通信負荷Ｌを取得する。推定部７７は、監視部７２によって過去に取得された通信負荷Ｌに基づいて、監視部７２によって取得される通信負荷Ｌの推定値Ｐを算出する。取得部７３は、自己または他の車載ネットワークにおける通信負荷Ｌと通信負荷Ｌの推定値Ｐとの差分である誤差Ｅの履歴を取得する。検知部７４は、取得部７３によって取得された通信負荷Ｌと通信負荷Ｌの推定値Ｐとの差分の履歴、監視部７２によって取得された、通信負荷Ｌと通信負荷Ｌの推定値Ｐとの差分の履歴よりも後の取得タイミングｔにおける通信負荷Ｌｔ、および推定部７７によって算出された取得タイミングｔにおける通信負荷Ｌｔの推定値Ｐｔに基づいて、車載ネットワークにおける異常を検知する。

　たとえば、検知対象バスにおいて不正メッセージが発生すると、取得タイミングｔにおける通信負荷Ｌｔと推定値Ｐｔとの差分は大きな値となる。本発明の第３の実施の形態に係るゲートウェイ装置１０３は、通信負荷Ｌｔと推定値Ｐｔとの差分に着目し、通信負荷Ｌｔと推定値Ｐｔとの差分の履歴、取得タイミングｔにおける通信負荷Ｌｔ、および通信負荷Ｌｔの推定値Ｐｔに基づいて検知対象バスにおける不正メッセージの発生を推定する構成により、たとえば特許文献１に記載の異常検知装置および特許文献２に記載のセキュリティ装置と比べて、簡易な処理によって検知対象バスにおける不正メッセージの発生を推定することができる。

　したがって、本発明の第３の実施の形態に係るゲートウェイ装置１０３では、簡易な処理によって車載ネットワーク１２における異常を正しく検知することができる。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷の時系列データの移動平均を算出する監視部と、
　前記監視部によって算出された前記移動平均の度数分布を示す第１の分布情報を取得する取得部と、
　前記取得部によって取得された前記第１の分布情報に基づいて第１のしきい値を設定し、設定した前記第１のしきい値、および前記監視部によって取得された、前記度数分布に含まれる前記移動平均の取得タイミングよりも後の第１のタイミングにおける前記移動平均に基づいて、前記車載ネットワークにおける異常を検知する検知部と、
　前記監視部によって取得された、前記第１のタイミングより前のタイミングにおける前記移動平均に基づいて、前記第１のタイミングにおける前記移動平均の推定値を算出する推定部とを備え、
　前記監視部は、さらに、前記第１のタイミングにおける前記移動平均と前記推定値との差分を誤差として算出し、
　前記取得部は、さらに、前記監視部によって算出された前記誤差の度数分布を示す第２の分布情報を取得し、
　前記検知部は、さらに、前記取得部によって取得された前記第２の分布情報に基づいて第２のしきい値を設定し、設定した前記第２のしきい値、および前記監視部によって取得された前記第１のタイミングにおける前記誤差に基づいて、前記車載ネットワークにおける不正メッセージの発生を推定する、検知装置。

　［付記２］
　車載ネットワークにおける車載装置間のメッセージを中継するゲートウェイ装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷の時系列データの移動平均を算出する監視部と、
　前記監視部によって算出された前記移動平均の度数分布を示す第１の分布情報を取得する取得部と、
　前記取得部によって取得された前記第１の分布情報に基づいて第１のしきい値を設定し、設定した前記第１のしきい値、および前記監視部によって取得された、前記度数分布に含まれる前記移動平均の取得タイミングよりも後の第１のタイミングにおける前記移動平均に基づいて、前記車載ネットワークにおける異常を検知する検知部と、
　前記監視部によって取得された、前記第１のタイミングより前のタイミングにおける前記移動平均に基づいて、前記第１のタイミングにおける前記移動平均の推定値を算出する推定部とを備え、
　前記監視部は、さらに、前記第１のタイミングにおける前記移動平均と前記推定値との差分を誤差として算出し、
　前記取得部は、さらに、前記監視部によって算出された前記誤差の度数分布を示す第２の分布情報を取得し、
　前記検知部は、さらに、前記取得部によって取得された前記第２の分布情報に基づいて第２のしきい値を設定し、設定した前記第２のしきい値、および前記監視部によって取得された前記第１のタイミングにおける前記誤差に基づいて、前記車載ネットワークにおける不正メッセージの発生を推定する、ゲートウェイ装置。

　１２　車載ネットワーク
　１３，１４　バス
　５１　通信処理部
　５２　監視部
　５３　取得部
　５４　検知部
　５５　通知部
　５６　記憶部
　６２　監視部
　６３　取得部
　６４　検知部
　７２　監視部
　７３　取得部
　７４　検知部
　７５　通知部
　１０１　ゲートウェイ装置
　１０２　ゲートウェイ装置
　１０３　ゲートウェイ装置
　１１１　車載通信機
　１１２　ポート
　１２１　バス接続装置群
　１２２　制御装置
　１３１　検知装置
　３０１　車載通信システム

Claims

　複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、
　自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、
　前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える、検知装置。
　前記検知装置は、さらに、
　前記監視部によって取得された、前記第１のタイミングより前のタイミングにおける前記通信負荷に基づいて、前記第１のタイミングにおける前記通信負荷の推定値を算出する推定部を備え、
　前記検知部は、前記監視部によって取得された前記第１のタイミングにおける前記通信負荷と、前記推定部によって算出された前記第１のタイミングにおける前記推定値とを比較し、比較結果に基づいて、前記車載ネットワークにおける不正メッセージの発生を推定する、請求項１に記載の検知装置。
　前記推定部は、前記検知部によって前記不正メッセージの発生が推定された場合、前記第１のタイミングより後のタイミングである第２のタイミングにおける前記推定値を、前記第１のタイミング以降のタイミングにおける前記通信負荷に基づいて算出する、請求項２に記載の検知装置。
　前記検知装置は、さらに、
　前記検知部によって前記車載ネットワークにおける異常が検知された場合、第１の警報情報を出力し、前記検知部によって前記車載ネットワークにおける不正メッセージの発生が推定された場合、前記第１の警報情報とは異なる第２の警報情報を出力する通知部を備える、請求項２または請求項３に記載の検知装置。
　前記監視部は、前記第１のタイミングにおける前記通信負荷として、前記通信負荷の時系列データの移動平均を算出する、請求項１から請求項４のいずれか１項に記載の検知装置。
　複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、
　前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、
　自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、
　前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部とを備える、検知装置。
　複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置における検知方法であって、
　前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、
　自己または他の車載ネットワークにおける通信負荷の履歴を取得するステップと、
　取得した前記履歴、および前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む、検知方法。
　複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置における検知方法であって、
　前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得するステップと、
　過去に取得した前記通信負荷に基づいて、前記通信負荷の推定値を算出するステップと、
　自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得するステップと、
　取得した前記履歴、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知するステップとを含む、検知方法。
　複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置において用いられる検知プログラムであって、
　コンピュータを、
　前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、
　自己または他の車載ネットワークにおける通信負荷の履歴を取得する取得部と、
　前記取得部によって取得された前記履歴、および前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷に基づいて、前記車載ネットワークにおける異常を検知する検知部、
として機能させるための、検知プログラム。
　複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置において用いられる検知プログラムであって、
　コンピュータを、
　複数の車載装置を含む車載ネットワークにおける異常を検知する検知装置であって、
　前記車載ネットワークにおける送信メッセージを監視し、前記車載ネットワークにおける通信負荷を取得する監視部と、
　前記監視部によって過去に取得された前記通信負荷に基づいて、前記監視部によって取得される前記通信負荷の推定値を算出する推定部と、
　自己または他の車載ネットワークにおける通信負荷と推定値との差分の履歴を取得する取得部と、
　前記取得部によって取得された前記履歴、前記監視部によって取得された、前記履歴よりも後の第１のタイミングにおける前記通信負荷、および前記推定部によって算出された、前記第１のタイミングにおける前記通信負荷の前記推定値に基づいて、前記車載ネットワークにおける異常を検知する検知部、
として機能させるための、検知プログラム。