WO2021065069A1

WO2021065069A1 - 検知装置、車両、検知方法および検知プログラム

Info

Publication number: WO2021065069A1
Application number: PCT/JP2020/019713
Authority: WO
Inventors: 濱田芳博; 上田浩史; 足立直樹; 相羽慎一; 上口翔悟; 石川史也
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2019-09-30
Filing date: 2020-05-19
Publication date: 2021-04-08
Also published as: US11870789B2; JPWO2021065069A1; JP7396363B2; US20220255954A1; CN114245981A

Abstract

車載ネットワークにおける不正メッセージをより正しく検知する。検知装置は、前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える。

Description

検知装置、車両、検知方法および検知プログラム

　本開示は、検知装置、車両、検知方法および検知プログラムに関する。
　この出願は、２０１９年９月３０日に出願された日本出願特願２０１９－１７８１７６号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２０１４－１４６８６８号公報）には、以下のようなネットワーク装置が開示されている。すなわち、ネットワーク装置は、データを受信する通信部と、データを受信した受信時間を管理する時間管理部と、受信したデータを処理する制御部とを有し、周期的にデータを受信して処理するネットワーク装置において、前記制御部は、前記通信部で受信したデータが有する識別子毎に前記時間管理部における受信時刻を記録し、基準とするデータと同じ識別子を持つデータを受信した間隔が所定周期より短い第１のデータを受信した場合に、前記基準とするデータを受信した時刻から前記所定周期経過するまでに前記第１のデータと同じ識別子を持つ第２のデータを受信した時には、周期異常検出時処理を行い、前記所定周期経過するまでに前記第１のデータと同じ識別子を持つデータを受信しなかった時には、前記第１のデータについて所定の処理を行う。

　また、特許文献２（特開２０１８－１８２７２５号公報）には、以下のような不正通信検知基準決定方法が開示されている。すなわち、不正通信検知基準決定方法は、記憶部を含む情報処理システムで実行される、ネットワーク及び前記ネットワークに接続される１以上の電子制御ユニットを含む車載ネットワークシステムにおける不正通信の検知に用いる基準メッセージの決定方法であって、前記車載ネットワークシステムに対する攻撃メッセージに関する情報から、前記攻撃メッセージの特徴を示す通信パターンを識別する通信パターン識別ステップと、前記ネットワークに送出されたメッセージが、前記通信パターン識別ステップで識別された通信パターンに適合するか否かを判定する通信パターン判定ステップと、前記ネットワークに送出されるメッセージが攻撃メッセージであるか否かの判定の基準に用いる基準メッセージを、前記通信パターン判定ステップにおける判定結果を用いて決定する基準メッセージ決定ステップとを含む。

特開２０１４－１４６８６８号公報特開２０１８－１８２７２５号公報

　本開示の検知装置は、車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える。

　本開示の検知方法は、車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視するステップと、監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出するステップと、算出した前記時間差に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含む。

　本開示の検知プログラムは、車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部、として機能させるためのプログラムである。

　本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得たり、検知装置を備えるシステムとして実現され得る。また、本開示の一態様は、検知装置を備えるシステムの一部または全部を実現する半導体集積回路として実現され得たり、検知装置を備えるシステムにおける処理のステップをコンピュータに実行させるためのプログラムとして実現され得る。

図１は、本開示の実施の形態に係る車載通信システムの構成を示す図である。図２は、本開示の実施の形態に係るバス接続装置群の構成を示す図である。図３は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。図４は、本開示の実施の形態に係る車載通信システムにおける制御装置およびゲートウェイ装置のハードウェア構成の一例を示す図である。図５は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の一例を示す図である。図６は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の他の例を示す図である。図７は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の他の例を示す図である。図８は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の一例を示す図である。図９は、本開示の実施の形態に係る車載通信システムにおけるすべての対象メッセージを正当メッセージとしたときに算出されるマハラノビス距離の度数分布の一例を示す図である。図１０は、本開示の実施の形態に係る車載通信システムにおける基準メッセージの受信時刻の分布の一例を示す図である。図１１は、本開示の実施の形態に係る車載通信システムにおける基準メッセージの受信時刻の分布の他の例を示す図である。図１２は、本開示の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻と基準メッセージの受信時刻との関係の一例を示す図である。図１３は、本開示の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻と基準メッセージの受信時刻との関係の他の例を示す図である。図１４は、本開示の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻と基準メッセージの受信時刻との関係の他の例を示す図である。図１５は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の一例を示す図である。図１６は、本開示の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。図１７は、本開示の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の他の例を定めたフローチャートである。図１８は、本開示の実施の形態に係る車載通信システムのゲートウェイ装置における検知処理の一例を定めたフローチャートである。図１９は、本開示の実施の形態に係る車載通信システムのゲートウェイ装置における検知処理の他の例を定めたフローチャートである。図２０は、本開示の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。

　従来、車載ネットワークにおけるセキュリティを向上させるための技術が開発されている。

　［本開示が解決しようとする課題］
　上述の特許文献１および２に記載の技術を超えて、車載ネットワークにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。

　本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける不正メッセージをより正しく検知することが可能な検知装置、車両、検知方法および検知プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおける不正メッセージをより正しく検知することが可能である。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。

　（１）本開示の実施の形態に係る検知装置は、車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える。

　このように、対象メッセージの送信時刻に対応する時刻と、基準メッセージの送信時刻に対応する時刻との時間差に基づいて検知処理を行う構成により、基準メッセージの送信時刻に対応する時刻を基準として検知処理を行うことができるため、対象メッセージに含まれる不正メッセージの受信時刻を基準として検知処理を行うことによる誤検知の発生を回避することができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（２）好ましくは、前記正当メッセージの送信周期および前記基準メッセージの送信周期が互いに異なり、前記検知部は、前記検知処理として、前記対象メッセージが前記不正メッセージであるか否かを判定基準に従って判定し、前記検知部は、複数の前記判定基準を切り替えながら前記検知処理を行う。

　このような構成により、正当メッセージの送信周期と基準メッセージの送信周期との差に基づく時間差の変化に対応して、複数の判定基準を切り替えながら検知処理を行うことができるため、様々な送信周期の周期メッセージを基準メッセージとして用いることができる柔軟な検知処理が可能となる。

　（３）より好ましくは、前記検知部が前記検知処理において用いる前記判定基準の数は、前記正当メッセージの送信周期と前記基準メッセージの送信周期との最小公倍数、および前記正当メッセージの送信周期に基づいて決定される。

　このような構成により、正当メッセージの送信周期と基準メッセージの送信周期との差に基づく時間差の大きさに応じて、複数の判定基準に従って対象メッセージが不正メッセージであるか否かを判定することができるため、たとえばすべての対象メッセージについて、不正メッセージであるか否かの判定を行うことができる。

　（４）好ましくは、前記検知装置は、さらに、前記監視部による監視結果に基づいて、前記基準メッセージの異常を検知し、前記異常を検知した場合に所定の処理を行う異常検知部を備える。

　このような構成により、基準メッセージの異常が検知された場合、たとえば、当該基準メッセージの送信時刻に対応する時刻を基準とした検知処理を行わないようにすることができるため、誤検知の発生を抑制することができる。

　（５）好ましくは、前記検知部は、前記対象メッセージである第１の対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との前記時間差、および前記第１の対象メッセージの後に送信される前記対象メッセージである第２の対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との前記時間差に基づいて、前記第１の対象メッセージに関する異常を検知する。

　このような構成により、たとえば、基準メッセージの送信時刻に対応する時刻を基準として正常であると判定される時間内に複数の対象メッセージが送信された場合、たとえば、実際には不正メッセージを含む当該複数の対象メッセージを正当メッセージであると誤判定した場合であっても、当該複数の対象メッセージは異常である可能性があると判断することができる。これにより、検知処理において検知することができなかった不正メッセージを、たとえばグレー判定することができる。

　（６）好ましくは、前記監視部は、前記検知装置が受信する前記対象メッセージおよび前記検知装置が受信する前記基準メッセージを監視し、前記検知部は、前記検知処理として、前記対象メッセージが前記不正メッセージであるか否かを判定基準に従って判定し、前記判定基準は、前記基準メッセージを送信する車載装置における発振器によって生じるジッタ、および前記検知装置における発振器によって生じるジッタに基づいて設定される。

　このような構成により、たとえば、車載装置における発振器によって生じるジッタに基づくメッセージの送信時刻の誤差、および検知装置における発振器によって生じるジッタに基づくメッセージの受信時刻の誤差を考慮した判断基準に基づいて、より正確な検知処理を行うことができる。

　（７）本開示の実施の形態に係る車両は、前記検知装置を備える。

　このような構成により、検知装置を備える車両において、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（８）本開示の実施の形態に係る検知方法は、車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視するステップと、監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出するステップと、算出した前記時間差に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含む。

　このように、対象メッセージの送信時刻に対応する時刻と、基準メッセージの送信時刻に対応する時刻との時間差に基づいて検知処理を行う方法により、基準メッセージの送信時刻に対応する時刻を基準として検知処理を行うことができるため、対象メッセージに含まれる不正メッセージの受信時刻を基準として検知処理を行うことによる誤検知の発生を回避することができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（９）本開示の実施の形態に係る検知プログラムは、車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部、して機能させるためのプログラムである。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　［構成および基本動作］
　図１は、本開示の実施の形態に係る車載通信システムの構成を示す図である。

　図１を参照して、車載通信システム３０１は、ゲートウェイ装置１０１と、複数の車載通信機１１１と、複数のバス接続装置群１２１とを備える。ゲートウェイ装置１０１は、検知装置の一例である。車載通信システム３０１は、車両１に搭載される。

　図２は、本開示の実施の形態に係るバス接続装置群の構成を示す図である。

　図２を参照して、バス接続装置群１２１は、複数の制御装置１２２を含む。なお、バス接続装置群１２１は、複数の制御装置１２２を備える構成に限らず、１つの制御装置１２２を含む構成であってもよい。

　車載ネットワーク１２は、車両１の内部における装置である車載装置を複数含む。具体的には、車載ネットワーク１２は、車載装置の一例である、複数の車載通信機１１１および複数の制御装置１２２を含む。なお、車載ネットワーク１２は、複数の車載装置を含む構成であれば、複数の車載通信機１１１を含みかつ制御装置１２２を含まない構成であってもよいし、車載通信機１１１を含まずかつ複数の制御装置１２２を含む構成であってもよいし、１つの車載通信機１１１および１つの制御装置１２２を含む構成であってもよい。

　車載ネットワーク１２において、車載通信機１１１は、たとえば、車両１の外部における装置と通信する。具体的には、車載通信機１１１は、たとえば、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）、近距離無線端末装置、およびＩＴＳ（Ｉｎｔｅｌｌｉｇｅｎｔ　Ｔｒａｎｓｐｏｒｔ　Ｓｙｓｔｅｍｓ）無線機である。

　ＴＣＵは、たとえば、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）または３Ｇ等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＴＣＵは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびＦＯＴＡ（Ｆｉｒｍｗａｒｅ　Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）等のサービスに用いる情報を中継する。

　近距離無線端末装置は、たとえば、Ｗｉ－Ｆｉ（登録商標）およびＢｌｕｅｔｏｏｔｈ（登録商標）等の通信規格に従って、車両１に乗車している人間すなわち搭乗者の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。

　また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とＬＦ（Ｌｏｗ　Ｆｒｅｑｕｅｎｃｙ）帯またはＵＨＦ（Ｕｌｔｒａ　Ｈｉｇｈ　Ｆｒｅｑｕｅｎｃｙ）帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびＴＰＭＳ（Ｔｉｒｅ　Ｐｒｅｓｓｕｒｅ　Ｍｏｎｉｔｏｒｉｎｇ　Ｓｙｓｔｅｍ）等のサービスに用いる情報を中継する。

　ＩＴＳ無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびＩＴＳスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＩＴＳ無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。

　ゲートウェイ装置１０１は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置１０１により蓄積されたデータ等を車両１の外部における整備用端末装置とポート１１２を介して送受信することが可能である。

　ゲートウェイ装置１０１は、たとえばバス１３，１４を介して車載装置と接続する。具体的には、バス１３，１４は、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）、イーサネット（登録商標）、およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の規格に従うバスである。

　この例では、車載通信機１１１は、イーサネットの規格に従う対応のバス１４を介してゲートウェイ装置１０１と接続されている。また、バス接続装置群１２１における各制御装置１２２は、ＣＡＮの規格に従う対応のバス１３を介してゲートウェイ装置１０１と接続されている。

　バス１３は、たとえば系統別に設けられる。具体的には、バス１３は、たとえば、駆動系バス、シャーシ／安全系バス、ボディ／電装系バスおよびＡＶ／情報系バスである。

　駆動系バスには、制御装置１２２の一例であるエンジン制御装置、ＡＴ（Ａｕｔｏｍａｔｉｃ　Ｔｒａｎｓｍｉｓｓｉｏｎ）制御装置およびＨＥＶ（Ｈｙｂｒｉｄ　Ｅｌｅｃｔｒｉｃ　Ｖｅｈｉｃｌｅ）制御装置が接続されている。エンジン制御装置、ＡＴ制御装置およびＨＥＶ制御装置は、エンジン、ＡＴ、およびエンジンとモータとの切替をそれぞれ制御する。

　シャーシ／安全系バスには、制御装置１２２の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。

　ボディ／電装系バスには、制御装置１２２の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。

　ＡＶ／情報系バスには、制御装置１２２の一例であるナビゲーション制御装置、オーディオ制御装置、ＥＴＣ（Ｅｌｅｃｔｒｏｎｉｃ　Ｔｏｌｌ　Ｃｏｌｌｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）（登録商標）制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ＥＴＣ制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ＥＴＣ装置および携帯電話をそれぞれ制御する。

　また、バス１３には、制御装置１２２が接続される構成に限らず、制御装置１２２以外の装置が接続されてもよい。

　ゲートウェイ装置１０１は、たとえば、セントラルゲートウェイ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ：ＣＧＷ）であり、車載装置と通信を行うことが可能である。

　ゲートウェイ装置１０１は、たとえば、車両１において異なるバス１３に接続された制御装置１２２間でやり取りされる情報、各車載通信機１１１間でやり取りされる情報、制御装置１２２および車載通信機１１１間でやり取りされる情報を中継する中継処理を行う。

　より詳細には、車両１では、たとえば、所定の取り決めに従って、ある車載装置から他の車載装置へ周期的にメッセージが送信される。この例では、ある制御装置１２２から他の制御装置１２２へ周期的に送信されるメッセージについて説明するが、制御装置１２２および車載通信機１１１間において送信されるメッセージ、ならびに各車載通信機１１１間において送信されるメッセージについても同様である。

　メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよいし、マルチキャストによって行われてもよい。以下、周期的に送信されるメッセージを周期メッセージとも称する。

　車両１では、周期メッセージの他に、ある制御装置１２２から他の制御装置１２２へ不定期に送信されるメッセージが存在する。メッセージには、メッセージの内容、送信元およびメッセージ番号等を識別するためのＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）が含まれる。メッセージに含まれるＩＤによって、当該メッセージが周期メッセージであるか否かを識別することが可能である。

　［ゲートウェイ装置の構成］
　図３は、本開示の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。

　図３を参照して、ゲートウェイ装置１０１は、通信処理部５１と、監視部５２と、算出部５３と、検知部５４と、記憶部５５と、異常検知部５６とを備える。記憶部５５は、たとえば、たとえばフラッシュメモリである。通信処理部５１、監視部５２、算出部５３、検知部５４および異常検知部５６は、たとえば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）およびＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等のプロセッサによって実現される。

　ゲートウェイ装置１０１は、検知装置として機能し、車載ネットワーク１２における不正メッセージを検知する検知処理を行う。

　［通信処理部］
　通信処理部５１は、制御装置１２２間で伝送されるメッセージを中継する中継処理を行う。

　たとえば、通信処理部５１は、ある制御装置１２２から対応のバス１３経由でメッセージを受信すると、受信したメッセージに、当該メッセージの受信時刻を示すタイムスタンプを付与する。そして、通信処理部５１は、タイムスタンプが付与されたメッセージを他の制御装置１２２へ対応のバス１３経由で送信する。

　［監視部］
　監視部５２は、正当な周期メッセージおよび不正メッセージをゲートウェイ装置１０１における検知処理の対象となるメッセージすなわち対象メッセージＭａとして監視するとともに、周期的に送信される基準メッセージＭｂを監視する。

　より詳細には、監視部５２は、車載ネットワーク１２における、２種類の周期メッセージＭ１，Ｍ２を監視する。

　たとえば、周期メッセージＭ１，Ｍ２は、ＩＤが互いに異なるメッセージである。具体的には、周期メッセージＭ１，Ｍ２は、送信元アドレスおよび送信先アドレスの少なくとも一方が互いに異なる。あるいは、周期メッセージＭ１，Ｍ２は、ＩＰヘッダのポート番号が互いに異なる。

　図４は、本開示の実施の形態に係る車載通信システムにおける制御装置およびゲートウェイ装置のハードウェア構成の一例を示す図である。

　図４を参照して、制御装置１２２の一例である制御装置１２２Ａは、発振器１３１Ａと、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１３２Ａと、ＣＡＮトランシーバ１３３Ａとを備える。また、制御装置１２２の一例である制御装置１２２Ｂは、発振器１３１Ｂと、ＣＰＵ１３２Ｂと、ＣＡＮトランシーバ１３３Ｂとを備える。

　ゲートウェイ装置１０１は、ＣＰＵ１４１と、ＣＡＮトランシーバ１４２と、発振器１４３とを備える。ＣＰＵ１４１は、監視部５２、算出部５３および検知部５４の一部または全部を実現する。ＣＡＮトランシーバ１４２は、通信処理部５１の一部または全部を実現する。

　制御装置１２２Ａは、送信周期Ｔａで周期メッセージＭ１を送信する。より詳細には、制御装置１２２ＡにおけるＣＰＵ１３２Ａは、発振器１３１Ａからの発振信号に基づいて生成されるクロックのタイミングに従って、ＣＡＮトランシーバ１３３Ａ経由で周期メッセージＭ１をブロードキャストまたはユニキャストする。

　制御装置１２２Ｂは、送信周期Ｔｂで周期メッセージＭ２を送信する。より詳細には、制御装置１２２ＢにおけるＣＰＵ１３２Ｂは、発振器１３１Ｂからの発振信号に基づいて生成されるクロックのタイミングに従って、ＣＡＮトランシーバ１３３Ｂ経由で周期メッセージＭ２をブロードキャストまたはユニキャストする。

　ゲートウェイ装置１０１におけるＣＡＮトランシーバ１４２は、発振器１４３からの発振信号に基づいて生成されるクロックのタイミングに従って、制御装置１２２Ａから受信した周期メッセージＭ１に受信時刻を示すタイムスタンプを付与する。また、ＣＡＮトランシーバ１４２は、発振器１４３からの発振信号に基づいて生成されるクロックのタイミングに従って、制御装置１２２Ｂから受信した周期メッセージＭ２に受信時刻を示すタイムスタンプを付与する。

　制御装置１２２Ａから受信したメッセージおよび制御装置１２２Ｂから受信したメッセージのいずれか一方は、対象メッセージＭａであり、周期メッセージＭ１，Ｍ２のいずれか他方は、検知処理において不正メッセージであるか否かの判定に用いられるメッセージすなわち基準メッセージＭｂである。以下では、一例として、制御装置１２２Ａから受信したメッセージを対象メッセージＭａとし、制御装置１２２Ｂから受信したメッセージを基準メッセージＭｂとする。

　たとえば、ゲートウェイ装置１０１が制御装置１２２Ａから受信するメッセージの一部は、不正メッセージである。監視部５２は、制御装置１２２Ａからの正当な周期メッセージＭ１および不正メッセージを対象メッセージＭａとして監視するとともに、制御装置１２２Ｂからの周期メッセージＭ２を基準メッセージＭｂとして監視する。

　監視部５２は、通信処理部５１によって中継されるメッセージを監視することにより、対象メッセージＭａの受信時刻ｔａおよび基準メッセージＭｂの受信時刻ｔｂを取得する。

　たとえば、記憶部５５は、対象メッセージＭａのＩＤおよび基準メッセージＭｂのＩＤを記憶している。以下、対象メッセージＭａのＩＤを対象ＩＤとも称し、基準メッセージＭｂのＩＤを基準ＩＤとも称する。

　監視部５２は、中継処理を行うべきメッセージを通信処理部５１が受信すると、通信処理部５１によって受信されたメッセージに含まれるＩＤ、ならびに記憶部５５における対象ＩＤおよび基準ＩＤを確認する。

　そして、監視部５２は、通信処理部５１によって受信されたメッセージに含まれるＩＤが対象ＩＤと一致する場合、通信処理部５１によって受信されたメッセージが対象メッセージＭａであると認識し、当該対象メッセージＭａに付与されたタイムスタンプを参照することにより、対象メッセージＭａの受信時刻ｔａを取得する。

　監視部５２は、受信時刻ｔａを取得すると、取得した受信時刻ｔａを示す受信情報を、通信処理部５１によって何番目に受信された対象メッセージＭａであるかを示す受信番号Ｎ１と対応付けて記憶部５５に保存する。

　また、監視部５２は、通信処理部５１によって受信されたメッセージに含まれるＩＤが基準ＩＤと一致する場合、通信処理部５１によって受信されたメッセージが基準メッセージＭｂであると認識し、当該基準メッセージＭｂに付与されたタイムスタンプを参照することにより、基準メッセージＭｂの受信時刻ｔｂを取得する。

　監視部５２は、受信時刻ｔｂを取得すると、取得した受信時刻ｔｂを示す受信情報を、通信処理部５１によって何番目に受信された基準メッセージＭｂであるかを示す受信番号Ｎ２と対応付けて記憶部５５に保存する。

　［算出部］
　算出部５３は、監視部５２による監視結果に基づいて、対象メッセージＭａの送信時刻に対応する時刻と基準メッセージＭｂの送信時刻に対応する時刻との時間差を算出する。

　より詳細には、算出部５３は、記憶部５５に保存された受信情報に基づいて、対象メッセージＭａの受信時刻ｔａと、基準メッセージＭｂの受信時刻ｔｂとの時間差を算出する。

　（算出例１）
　図５は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の一例を示す図である。図５において、横軸は時刻を示す。また、図５は、すべての対象メッセージＭａが正当メッセージである場合において、対象メッセージＭａの送信周期Ｔａと基準メッセージＭｂの送信周期Ｔｂとが等しい場合を示している。

　図５を参照して、たとえば、算出部５３は、記憶部５５に保存された受信情報に基づいて、受信番号Ｎ１がｐであるｐ回目の対象メッセージＭａｐの受信時刻ｔａｐと、受信番号Ｎ２がｑであるｑ回目の基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐを算出する。ここで、ｐは、１以上の整数である。ｑは、１以上の整数である。たとえば、ｑはｐと等しい。

　ｐ回目の対象メッセージＭａｐの受信時刻ｔａｐは、以下の式（１）で表される。

　また、ｑ回目の基準メッセージＭｂｑの受信時刻ｔｂｑは、以下の式（２）で表される。

　ここで、Ｅ１は、制御装置１２２Ａにおける発振器１３１Ａによって生じるジッタに基づくメッセージの送信時刻の誤差である。Ｅ２は、制御装置１２２Ｂにおける発振器１３１Ｂによって生じるジッタに基づくメッセージの送信時刻の誤差である。Ｅ３は、ゲートウェイ装置１０１における発振器１４３によって生じるジッタに基づくメッセージの受信時刻の誤差である。なお、Ｅ１，Ｅ２，Ｅ３は、それぞれ、発振器１３１Ａ，１３１Ｂ，１４３の、製造工程、使用環境および経年劣化等によって生じる誤差である。

　また、Ａｉは、制御装置１２２Ａからのｉ番目のメッセージの、バス１３における衝突および送信待機遅延によって生じる遅延時間である。Ｂｉは、制御装置１２２Ａからのｉ番目のメッセージの、バス１３における衝突および送信待機遅延によって生じる遅延時間である。Ｓ１は、対象メッセージＭａの送信周期Ｔａと基準メッセージＭｂの送信周期Ｔｂとの位相差すなわちオフセットである。

　また、時間差Ｘｐは、式（１）から式（２）を差し引くことにより、以下の式（３）で表される。なお、式（３）では、ｑ＝ｐとしている。

　ここで、上述したように、送信周期Ｔａと送信周期Ｔｂとは互いに等しい。また、遅延時間Ａｉ，Ｂｉは、それぞれ、通信状況に応じて各々が独立して増減を繰り返すことから、式（３）中のシグマ項は、単調に増加することのない、ある数値範囲内において増減を繰り返す誤差Ｅｒｒｏｒ１に置き換えることができる。さらに、発振器１３１Ａの発振信号の誤差に基づく誤差Ｅ１と、発振器１３１Ｂの発振信号の誤差に基づく誤差Ｅ２とが等しいと仮定すると、時間差Ｘｐは、以下の式（４）で表すことができる。

　したがって、時間差Ｘｐは、受信番号Ｎ１，Ｎ２に依存しない値となり、時間差Ｘｐの確率分布は、たとえば正規分布となる。

　算出部５３は、監視部５２によって記憶部５５に受信情報が保存されると、記憶部５５に保存された受信情報に基づいて、受信時刻ｔａｐと受信時刻ｔｂｐとの時間差Ｘｐを算出し、算出した時間差Ｘｐを示す時間差情報を記憶部５５に保存する。

　（算出例２）
　図６は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の他の例を示す図である。図６において、横軸は時刻を示す。また、図６は、すべての対象メッセージＭａが正当メッセージである場合において、基準メッセージＭｂの送信周期Ｔｂが対象メッセージＭａの送信周期Ｔａより短い場合を示している。具体的には、図６は、送信周期Ｔｂが３秒であり、送信周期Ｔａが７秒である場合を示している。

　図６を参照して、たとえば、算出部５３は、記憶部５５に保存された受信情報に基づいて、ｐ回目の対象メッセージＭａｐの受信時刻ｔａｐと、受信時刻ｔａｐの直前に受信されたｑ回目の基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐを算出する。

　対象メッセージＭａｐの送信時刻と、基準メッセージＭｂｑの送信時刻との時間差は、理論上は、送信周期Ｔａと送信周期Ｔｂとの最小公倍数Ｌの周期で変化する。図６に示す例では、送信周期Ｔｂが３秒であり、送信周期Ｔａが７秒であるため、最小公倍数Ｌは２１秒である。

　ＬをＴａで除した値をＬ１とすると、（Ｌ１×ｋ＋１）回目の対象メッセージＭａ（Ｌ１×ｋ＋１）の受信時刻ｔａ（Ｌ１×ｋ＋１）は、以下の式（５）で表される。

　また、ＬをＴｂで除した値をＬ２とすると、（Ｌ２×ｋ＋１）回目の基準メッセージＭｂ（Ｌ２×ｋ＋１）の受信時刻ｔｂ（Ｌ２×ｋ＋１）は、以下の式（６）で表される。

　ここで、Ｅ４は、制御装置１２２Ａにおける発振器１３１Ａによって生じるジッタに基づくメッセージの送信時刻の誤差である。Ｅ５は、制御装置１２２Ｂにおける発振器１３１Ｂによって生じるジッタに基づくメッセージの送信時刻の誤差である。Ｅ６は、ゲートウェイ装置１０１における発振器１４３によって生じるジッタに基づくメッセージの受信時刻の誤差である。なお、Ｅ４，Ｅ５，Ｅ６は、それぞれ、発振器１３１Ａ，１３１Ｂ，１４３の、製造工程、使用環境および経年劣化等によって生じる誤差である。

　また、Ｃｉは、制御装置１２２Ａからのｉ番目のメッセージの、バス１３における衝突および送信待機遅延によって生じる遅延時間である。Ｄｉは、制御装置１２２Ａからのｉ番目のメッセージの、バス１３における衝突および送信待機遅延によって生じる遅延時間である。Ｓ２は、対象メッセージＭａの送信周期Ｔａと基準メッセージＭｂの送信周期Ｔｂとの位相差すなわちオフセットである。

　また、時間差Ｘ（Ｌ１×ｋ＋１）は、式（５）から式（６）を差し引くことにより、以下の式（７）で表される。

　ここで、遅延時間Ｃｉ，Ｄｉは、それぞれ、通信状況に応じて各々が独立して増減を繰り返すことから、式（７）中のシグマ項は、単調に増加することのない、ある数値範囲内において増減を繰り返す誤差Ｅｒｒｏｒ２に置き換えることができる。また、発振器１３１Ａの発振信号の誤差に基づく誤差Ｅ４と、発振器１３１Ｂの発振信号の誤差に基づく誤差Ｅ５とが等しいと仮定すると、時間差Ｘ（Ｌ１×ｋ＋１）は、以下の式（８）で表すことができる。

　したがって、時間差Ｘ（Ｌ１×ｋ＋１）は、受信番号Ｎ１，Ｎ２に依存しない値となり、時間差Ｘ（Ｌ１×ｋ＋１）の確率分布は、たとえば正規分布となる。

　算出部５３は、監視部５２によって記憶部５５に受信情報が保存されると、記憶部５５に保存された受信情報に基づいて、受信時刻ｔａｐと受信時刻ｔｂｑとの時間差Ｘｐを算出し、算出した時間差Ｘｐを示す時間差情報を記憶部５５に保存する。

　（算出例３）
　図７は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の他の例を示す図である。図７において、横軸は時刻を示す。また、図７は、すべての対象メッセージＭａが正当メッセージである場合において、対象メッセージＭａの送信周期Ｔａが基準メッセージＭｂの送信周期Ｔｂより短い場合を示している。具体的には、図７は、送信周期Ｔａが３秒であり、送信周期Ｔｂが７秒である場合を示している。

　図７を参照して、たとえば、算出部５３は、記憶部５５に保存された受信情報に基づいて、ｐ回目の対象メッセージＭａｐの受信時刻ｔａｐと、受信時刻ｔａｐの直前に受信されたｑ回目の基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐを算出する。ここで、ｐは、１以上の整数である。ｑは、１以上の整数である。

　対象メッセージＭａｐの送信時刻と、基準メッセージＭｂｑの送信時刻との時間差は、理論上は、送信周期Ｔａと送信周期Ｔｂとの最小公倍数Ｌ秒の周期で変化する。図７に示す例では、送信周期Ｔｂが７秒であり、送信周期Ｔａが３秒であるため、最小公倍数Ｌは２１である。

　ＬをＴａで除した値をＬ１とすると、（Ｌ１×ｋ＋１）回目の対象メッセージＭａ（Ｌ１×ｋ＋１）の受信時刻ｔａ（Ｌ１×ｋ＋１）は、以下の式（９）で表される。

　また、ＬをＴｂで除した値をＬ２とすると、（Ｌ２×ｋ＋１）回目の基準メッセージＭｂ（Ｌ２×ｋ＋１）の受信時刻ｔｂ（Ｌ２×ｋ＋１）は、以下の式（１０）で表される。

　ここで、Ｅ７は、制御装置１２２Ａにおける発振器１３１Ａによって生じるジッタに基づくメッセージの送信時刻の誤差である。Ｅ８は、制御装置１２２Ｂにおける発振器１３１Ｂによって生じるジッタに基づくメッセージの送信時刻の誤差である。Ｅ９は、ゲートウェイ装置１０１における発振器１４３によって生じるジッタに基づくメッセージの受信時刻の誤差である。なお、Ｅ７，Ｅ８，Ｅ９は、それぞれ、発振器１３１Ａ，１３１Ｂ，１４３の、製造工程、使用環境および経年劣化等によって生じる誤差である。

　また、Ｅｉは、制御装置１２２Ａからのｉ番目のメッセージの、バス１３における衝突および送信待機遅延によって生じる遅延時間である。Ｆｉは、制御装置１２２Ａからのｉ番目のメッセージの、バス１３における衝突および送信待機遅延によって生じる遅延時間である。Ｓ２は、対象メッセージＭａの送信周期Ｔａと基準メッセージＭｂの送信周期Ｔｂとの位相差すなわちオフセットである。

　また、時間差Ｘ（Ｌ１×ｋ＋１）は、式（９）から式（１０）を差し引くことにより、以下の式（１１）で表される。

　ここで、遅延時間Ｅｉ，Ｆｉは、それぞれ、通信状況に応じて各々が独立して増減を繰り返すことから、式（１１）中のシグマ項は、単調に増加することのない、ある数値範囲内において増減を繰り返す誤差Ｅｒｒｏｒ３に置き換えることができる。また、発振器１３１Ａの発振信号の誤差に基づく誤差Ｅ７と、発振器１３１Ｂの発振信号の誤差に基づく誤差Ｅ８とが等しいと仮定すると、時間差Ｘ（Ｌ１×ｋ＋１）は、以下の式（１２）で表すことができる。

　（算出例４）
　図８は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の一例を示す図である。図８において、横軸は時刻を示す。また、図８は、すべての対象メッセージＭａが正当メッセージである場合において、対象メッセージＭａの送信周期Ｔａと、基準メッセージＭｂｘの送信周期Ｔｂｘ、基準メッセージＭｂｙの送信周期Ｔｂｙおよび基準メッセージＭｂｚの送信周期Ｔｂｚとが等しい場合を示している。

　図８を参照して、たとえば、算出部５３は、記憶部５５に保存された受信情報に基づいて、ｐ回目の対象メッセージＭａｐの受信時刻ｔａｐと、ｑ回目の基準メッセージＭｂｘｑの受信時刻ｔｂｘｑとの時間差Ｘｘｑを算出する。また、算出部５３は、記憶部５５に保存された受信情報に基づいて、ｑ回目の対象メッセージＭａｑの受信時刻ｔａｑと、ｑ回目の基準メッセージＭｂｙｑの受信時刻ｔｂｙｑとの時間差Ｘｙｑを算出する。さらに、算出部５３は、記憶部５５に保存された受信情報に基づいて、ｑ回目の対象メッセージＭａｑの受信時刻ｔａｑと、ｑ回目の基準メッセージＭｂｚｑの受信時刻ｔｂｚｑとの時間差Ｘｚｑを算出する。

　算出部５３は、監視部５２によって記憶部５５に受信情報が保存されると、記憶部５５に保存された受信情報に基づいて、時間差Ｘｐとして、時間差Ｘｘｐ，Ｘｙｐ，Ｘｚｐを算出し、算出した時間差Ｘｘｐ，Ｘｙｐ，Ｘｚｐを示す時間差情報を記憶部５５に保存する。

　［検知部］
　検知部５４は、算出部５３によって算出された時間差Ｘｐに基づいて、不正メッセージを検知する検知処理を行う。

　より詳細には、検知部５４は、検知処理として、対象メッセージＭａが不正メッセージであるか否かを判定基準に従って判定する。

　上記判定基準は、たとえば、基準メッセージＭｂを送信する制御装置１２２Ｂにおける発振器１３１Ｂによって生じるジッタ、およびゲートウェイ装置１０１における発振器１４３によって生じるジッタに基づいて設定される。具体的には、上記判定基準は、たとえば、発振器１３１Ｂによって生じるジッタに基づくメッセージの送信時刻の誤差、および発振器１４３によって生じるジッタに基づくメッセージの受信時刻の誤差に基づいて設定される。

　たとえば、検知部５４は、算出部５３によって記憶部５５に時間差情報が保存されると、時間差情報が示す時間差Ｘｐの統計距離を算出し、算出した統計距離としきい値Ｔｈとを比較する。そして、検知部５４は、統計距離としきい値Ｔｈとの比較結果に基づいて、対象メッセージＭａが不正メッセージであるか否かを判定する。

　たとえば、検知部５４は、以下の式（１３）に従って、統計距離の一例であるマハラノビス距離Ｄ＾２を算出する。なお、「Ｄ＾２」は、Ｄの２乗を意味する。

　検知部５４は、算出したマハラノビス距離Ｄ＾２がしきい値Ｔｈ以下である場合、対象メッセージＭａは正当メッセージであると判断する。一方、検知部５４は、算出したマハラノビス距離Ｄ＾２がしきい値Ｔｈより大きい場合、対象メッセージＭａは不正メッセージであると判断する。

　算出したマハラノビス距離Ｄ＾２との比較に用いるしきい値Ｔｈは、対象メッセージＭａの中に不正メッセージが存在するか否かを正確に判断することができるよう、適切な値であることが好ましい。

　たとえば、車両１の製造者は、予め、車両１と同じ種類のテスト車両のゲートウェイ装置１０１を用いて、すべての対象メッセージＭａを正当メッセージとしたときに算出部５３によって算出される時間差Ｘｐを用いてマハラノビス距離Ｄ＾２を算出する。

　図９は、本開示の実施の形態に係る車載通信システムにおけるすべての対象メッセージを正当メッセージとしたときに算出されるマハラノビス距離の度数分布の一例を示す図である。

　図９を参照して、すべての対象メッセージＭａが正当メッセージであるときの時間差Ｘｐを用いて算出されるマハラノビス距離Ｄ＾２が大きくなるほど、度数が減少する。

　たとえば、検知部５４は、起動時において、図９に示すマハラノビス距離Ｄ＾２の度数分布を記憶部５５から取得し、ＦＰＲ（Ｆａｌｓｅ　Ｐｏｓｉｔｉｖｅ　Ｒａｔｅ）がゼロとなる範囲でしきい値Ｔｈ１が最も小さくなるように、しきい値Ｔｈ１を設定することが好ましい。ここで、ＦＰＲは偽陽性率であり、偽陽性／（偽陽性＋真陰性）で表される。真陰性とは、正当メッセージを正当メッセージとして認識した度数であり、偽陽性とは、正当メッセージを不正メッセージとして検知した度数である。なお、記憶部５５は、車両１の製造者によって予め決定されたしきい値Ｔｈ１を記憶している構成であってもよい。この場合、検知部５４は、起動時において、当該しきい値Ｔｈ１を記憶部５５から取得する。

　検知部５４は、マハラノビス距離Ｄ＾２およびしきい値Ｔｈに基づく判断結果を示す判断情報を通信処理部５１へ出力する。

　通信処理部５１は、検知部５４から受けた判断情報が、対象メッセージＭａが正当メッセージであることを示す場合、当該対象メッセージＭａを送信先の制御装置１２２へ送信する。

　一方、通信処理部５１は、検知部５４から受けた判断情報が、対象メッセージＭａが不正メッセージであることを示す場合、以下の処理を行う。

　すなわち、通信処理部５１は、判断情報が示す対象メッセージＭａを記録する。また、通信処理部５１は、バス１３において不正メッセージが伝送されていることを示す警報情報を車両１内または車両１外における上位装置へ送信する。

　［異常検知部］
　異常検知部５６は、監視部５２による監視結果に基づいて、基準メッセージＭｂの異常を検知し、異常を検知した場合に所定の処理を行う。

　より詳細には、異常検知部５６は、記憶部５５に保存された受信情報、および基準メッセージＭｂの送信周期Ｔｂに基づいて、基準メッセージＭｂの異常を検知する。

　たとえば、記憶部５５は、基準メッセージＭｂの異常を検知する際に用いる判断基準である所定のしきい値ＴｈＢを記憶している。

　図１０は、本開示の実施の形態に係る車載通信システムにおける基準メッセージの受信時刻の分布の一例を示す図である。図１０において、横軸は時刻を示す。

　図１０を参照して、異常検知部５６は、基準メッセージＭｂ（ｑ－１）の受信時刻ｔｂ（ｑ－１）およびしきい値ＴｈＢに基づいて、次の基準メッセージＭｂｑの異常を検知するための、基準メッセージＭｂｑの受信時刻ｔｂｑの許容範囲を規定するしきい値ＴｈＢｑ１，ＴｈＢｑ２を設定する。

　そして、異常検知部５６は、次の基準メッセージＭｂｑの受信時刻ｔｂｑが記憶部５５に保存されると、記憶部５５における受信時刻ｔｂｑと設定したしきい値ＴｈＢｑ１，ＴｈＢｑ２とを比較する。

　異常検知部５６は、受信時刻ｔｂｑが、しきい値ＴｈＢｑ１以上しきい値ＴｈＢｑ２以下である場合、すなわちしきい値ＴｈＢｑ１，ＴｈＢｑ２により規定された許容範囲内である場合、基準メッセージＭｂｑは正常であると判断する。

　一方、異常検知部５６は、受信時刻ｔｂｑが、しきい値ＴｈＢｑ１未満であるか、またはしきい値ＴｈＢｑ２より大きい場合、すなわちしきい値ＴｈＢｑ１，ＴｈＢｑ２により規定された許容範囲外である場合、基準メッセージＭｂｑは異常であると判断する。異常検知部５６は、基準メッセージＭｂｑが異常であると判断すると、異常であると判断した基準メッセージＭｂｑを示す異常判定情報を算出部５３へ通知する。

　たとえば、算出部５３は、異常検知部５６から異常判定情報を受けると、受けた異常判定情報が示す基準メッセージＭｂ以外の基準メッセージＭｂの受信時刻ｔｂを用いて、時間差Ｘｐを算出する。あるいは、算出部５３は、異常検知部５６から異常判定情報を受けると、時間差Ｘｐの算出を停止する。

　再び図８を参照して、たとえば、記憶部５５における受信情報として、複数種類の基準メッセージＭｂの受信時刻ｔｂが保存されている場合、異常検知部５６は、各種類の基準メッセージＭｂの異常を検知する。

　たとえば、異常検知部５６は、基準メッセージＭｂｑの受信時刻ｔｂｑ、基準メッセージＭｂｑの後に送信される次の基準メッセージＭｂ（ｑ＋１）の受信時刻ｔｂ（ｑ＋１）に基づいて、基準メッセージＭｂｑに関する異常を検知する。

　図１１は、本開示の実施の形態に係る車載通信システムにおける基準メッセージの受信時刻の分布の他の例を示す図である。図１１において、横軸は時刻を示す。

　図１１を参照して、異常検知部５６は、受信時刻ｔｂｑがしきい値ＴｈＢｑ１，ＴｈＢｑ２により規定された許容範囲内である基準メッセージＭｂｑを正常であると判断した後、基準メッセージＭｂｑの後に送信される次の基準メッセージＭｂ（ｑ＋１）の受信時刻ｔｂ（ｑ＋１）が、しきい値ＴｈＢｑ１，ＴｈＢｑ２により規定された許容範囲内である場合、基準メッセージＭｂｑ，Ｍｂ（ｑ＋１）は異常である可能性があると判断する。

　異常検知部５６は、基準メッセージＭｂｑ，Ｍｂ（ｑ＋１）が異常である可能性があると判断すると、異常である可能性がある基準メッセージＭｂｑ，Ｍｂ（ｑ＋１）を示す異常判定情報を算出部５３へ通知する。

　算出部５３は、異常検知部５６から異常判定情報を受けると、受けた異常判定情報が示す、異常である可能性がある基準メッセージＭｂ以外の基準メッセージＭｂの受信時刻ｔｂを用いて、時間差Ｘｐを算出する。

（しきい値の切り替え処理）
　上述したように、すべての対象メッセージＭａが正当メッセージである場合において、対象メッセージＭａの送信周期Ｔａおよび基準メッセージＭｂの送信周期Ｔｂが互いに異なる場合がある。検知部５４は、複数の判定基準を切り替えながら、検知処理を行う。

　たとえば、再び図６を参照して、基準メッセージＭｂの送信周期Ｔｂが対象メッセージＭａの送信周期Ｔａより短い場合、算出部５３によって算出される時間差Ｘｐは、周期的に変化する。

　検知部５４は、時間差Ｘｐの周期的な変化に応じて、複数の判定基準を切り替えながら、検知処理を行う。

　検知部５４が検知処理において用いる判定基準の数は、すべての対象メッセージＭａが正当メッセージである場合における、対象メッセージＭａの送信周期Ｔａと基準メッセージＭｂの送信周期Ｔｂとの最小公倍数Ｌ、および対象メッセージＭａの送信周期Ｔａに基づいて決定される。より詳細には、記憶部５５は、車両１の製造者によって予め決定された数の判定基準たとえばしきい値Ｔｈを記憶している。

　たとえば、記憶部５５は、すべての対象メッセージＭａが正当メッセージである場合における対象メッセージＭａの送信周期Ｔａ、および基準メッセージＭｂの送信周期Ｔｂ、ならびにオフセットＳ１，Ｓ２，Ｓ３を記憶している。また、記憶部５５は、検知部５４が検知処理において用いる判定基準として、最小公倍数Ｌを送信周期Ｔａで除した値の数のしきい値Ｔｈを記憶している。

　（しきい値の切り替え処理の具体例１）
　図１２は、本開示の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻と基準メッセージの受信時刻との関係の一例を示す図である。図１２は、図６に示す対象メッセージおよび基準メッセージの受信時刻の分布に対応している。

　図１２を参照して、対象メッセージＭａｐの受信時刻ｔａｐと、当該対象メッセージＭａｐの比較対象とすべき基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐは、理論上は２秒、０秒、１秒、２秒のように周期的に変化する。

　図６および図１２に示す例のように、対象メッセージＭａの送信周期Ｔａが７秒であり、基準メッセージＭｂの送信周期Ｔｂが３秒である場合、記憶部５５は、最小公倍数Ｌである２１を送信周期Ｔａである７で除した値に応じて、３つのしきい値Ｔｈ１，Ｔｈ２，Ｔｈ３を記憶している。

　検知部５４は、はじめに、３つのしきい値Ｔｈ１，Ｔｈ２，Ｔｈ３のうち、マハラノビス距離Ｄ＾２との比較に用いるべきしきい値Ｔｈを決定するための処理であるシンボル同期処理を行う。

　より詳細には、検知部５４は、記憶部５５に保存されている送信周期Ｔａ，ＴｂおよびオフセットＳ１，Ｓ２，Ｓ３に基づいて、予め、理論値である時間差Ｘｐｓを算出する。たとえば、検知部５４は、最小公倍数Ｌを送信周期Ｔａで除した値の数の時間差Ｘｐｓすなわち３つの時間差Ｘｐｓを算出する。

　そして、検知部５４は、時間差情報として、３つの時間差Ｘｐが記憶部５５に保存されると、記憶部５５に保存された３つの時間差Ｘｐと、算出した３つの時間差Ｘｐｓとをそれぞれ比較するパターンマッチング処理を行う。

　より詳細には、検知部５４は、３つの時間差Ｘｐと対応の３つの時間差Ｘｐｓとの差分がそれぞれ所定のしきい値以下である場合、シンボル同期処理を終了する。そして、検知部５４は、算出した時間差Ｘｐｓの変化に応じて、３つの時間差Ｘｐｓに対応して予め決定されたしきい値Ｔｈ１，Ｔｈ２，Ｔｈ３を切り替えながら検知処理を行う。

　一方、検知部５４は、３つの時間差Ｘｐと対応の３つの時間差Ｘｐｓとの差分がそれぞれ所定のしきい値より大きい場合、新たな時間差情報が記憶部５５に保存されるまで待機する。検知部５４は、新たな３つの時間差Ｘｐが記憶部５５に保存されると、再度、パターンマッチング処理を行う。検知部５４は、３つの時間差Ｘｐと対応の３つの時間差Ｘｐｓとの差分がそれぞれ所定のしきい値以下となるまで、パターンマッチング処理を繰り返す。

　たとえば、異常検知部５６は、対象メッセージＭａｐの受信情報が記憶部５５に保存されると、対象メッセージＭａｐの受信時刻ｔａｐと直前の対象メッセージＭａ（ｐ－１）の受信時刻ｔａ（ｐ－１）との間において受信された基準メッセージＭｂの異常を検知する。

　具体的には、異常検知部５６は、受信時刻ｔａｐが３０秒である対象メッセージＭａの受信情報が記憶部５５に保存されると、直前の対象メッセージＭａの受信時刻である２３秒から３０秒の間において受信された、３つの基準メッセージＭｂの受信時刻ｔｂｑに基づいて、受信時刻ｔｂｑの時間差Ｘｑを算出し、算出した時間差Ｘｑと記憶部５５におけるしきい値ＴｈＢとの比較結果に基づいて、基準メッセージＭｂの異常を検知する。

　異常検知部５６は、基準メッセージＭｂに異常が発生していると判断すると、異常を検知した旨を示す異常判定情報を検知部５４へ通知する。

　検知部５４は、異常判定情報を異常検知部５６から受けると、再びシンボル同期処理を行う。

　（しきい値の切り替え処理の具体例２）
　図１３は、本開示の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻と基準メッセージの受信時刻との関係の他の例を示す図である。図１３は、図７に示す対象メッセージおよび基準メッセージの受信時刻の分布に対応している。

　図１３を参照して、対象メッセージＭａｐの受信時刻ｔａｐと、当該対象メッセージＭａｐの比較対象とすべき基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐは、理論上は０秒、２秒、１秒、０秒のように周期的に変化する。

　図７および図１３に示す例のように、対象メッセージＭａの送信周期Ｔａが３秒であり、基準メッセージＭｂの送信周期Ｔｂが７秒である場合、記憶部５５は、最小公倍数Ｌである２１を送信周期Ｔａである３で除した値に応じて、７つのしきい値Ｔｈ１，Ｔｈ２，Ｔｈ３，Ｔｈ４，Ｔｈ５，Ｔｈ６，Ｔｈ７を記憶している。

　検知部５４は、はじめに、７つのしきい値Ｔｈ１，Ｔｈ２，Ｔｈ３，Ｔｈ４，Ｔｈ５，Ｔｈ６，Ｔｈ７のうち、マハラノビス距離Ｄ＾２との比較に用いるべきしきい値Ｔｈを決定する処理であるシンボル同期処理を行う。

　より詳細には、検知部５４は、記憶部５５に保存されている送信周期Ｔａ，ＴｂおよびオフセットＳ１，Ｓ２，Ｓ３に基づいて、予め、理論値である時間差Ｘｐｓを算出する。たとえば、検知部５４は、最小公倍数Ｌを送信周期Ｔａで除した値の数の時間差Ｘｐｓすなわち７つの時間差Ｘｐｓを算出する。

　そして、検知部５４は、時間差情報として、７つの時間差Ｘｐが記憶部５５に保存されると、記憶部５５に保存された７つの時間差Ｘｐと、算出した７つの時間差Ｘｐｓとをそれぞれ比較する。

　たとえば、検知部５４は、７つの時間差Ｘｐと対応の７つの時間差Ｘｐｓとの差分がそれぞれ所定のしきい値以下である場合、シンボル同期処理を終了する。そして、検知部５４は、算出した時間差Ｘｐｓの変化に応じて、７つの時間差Ｘｐｓに対応して予め決定されたしきい値Ｔｈ１，Ｔｈ２，Ｔｈ３，Ｔｈ４，Ｔｈ５，Ｔｈ６，Ｔｈ７を切り替えながら検知処理を行う。

　一方、検知部５４は、７つの時間差Ｘｐと対応の７つの時間差Ｘｐｓとの差分がそれぞれ所定のしきい値より大きい場合、新たな時間差情報が記憶部５５に保存されるまで待機する。検知部５４は、新たな７つの時間差Ｘｐが記憶部５５に保存されると、再度、パターンマッチング処理を行う。検知部５４は、７つの時間差Ｘｐと対応の７つの時間差Ｘｐｓとの差分がそれぞれ所定のしきい値以下となるまで、パターンマッチング処理を繰り返す。

　（しきい値の切り替え処理の具体例３）
　たとえば、検知部５４は、基準メッセージＭｂの受信時刻ｔｂに基づいて、仮想的な受信時刻ｔｖｂを生成することにより、基準メッセージＭｂを補完する。

　図１４は、本開示の実施の形態に係る車載通信システムにおける対象メッセージの受信時刻と基準メッセージの受信時刻との関係の他の例を示す図である。図１４は、図７に示す対象メッセージおよび基準メッセージの受信時刻の分布に対応している。

　図１４を参照して、検知部５４は、シンボル同期処理を実行した後、対象メッセージＭａｐの受信時刻ｔｂｐを含む受信情報が監視部５２によって記憶部５５に保存されると、最新の基準メッセージＭｂの受信時刻ｔｂを用いて、以下の式（１４）および式（１５）に従って、１つの基準メッセージＭｂの受信時刻ｔｂに対してｆ個の受信時刻ｔｖｂを生成する。ここで、ｆは、１以上の整数である。

　ここで、Ｍｇは、基準メッセージＭｂの遅延時間を考慮して設定される所定のマージンである。たとえば、マージンＭｇは、基準メッセージＭｂにおいて発生し得る最大の遅延時間にマイナス１を掛けた値である。また、ｅは、ある基準メッセージＭｂの受信時刻ｔｂを用いて既に生成された受信時刻ｔｖｂの数である。

　検知部５４は、生成した受信時刻ｔｖｂの後の時刻である、次の対象メッセージＭａ（ｐ＋１）の受信時刻ｔａ（ｐ＋１）を含む受信情報が監視部５２によって記憶部５５に保存されると、最新の基準メッセージＭｂの受信時刻ｔｂを用いて、式（１５）におけるｅに１を代入して再び受信時刻ｔｖｂを生成する。

　検知部５４は、対象メッセージＭａの受信時刻ｔａと生成した受信時刻ｔｖｂとの時間差Ｘｐにそれぞれ対応して予め設定されたしきい値Ｔｈを用いて検知処理を行う。

　［検知処理の他の例］
　（グレー判定）
　たとえば、検知部５４は、対象メッセージＭａｐの送信時刻に対応する時刻と基準メッセージＭｂの送信時刻に対応する時刻との時間差、および対象メッセージＭａｐの後に送信される対象メッセージＭａ（ｐ＋１）の送信時刻に対応する時刻と基準メッセージＭｂの送信時刻に対応する時刻との時間差に基づいて、対象メッセージＭａｐに関する異常を検知する。より詳細には、検知部５４は、対象メッセージＭａｐの受信時刻ｔａｐと基準メッセージＭｂの受信時刻ｔｂとの時間差Ｘｐ、および対象メッセージＭａ（ｐ＋１）の受信時刻ｔａ（ｐ＋１）と基準メッセージＭｂの受信時刻ｔｂとの時間差Ｘ（ｐ＋１）に基づいて、対象メッセージＭａｐに関する異常を検知する。

　図１５は、本開示の実施の形態に係る車載通信システムにおける対象メッセージおよび基準メッセージの受信時刻の分布の一例を示す図である。図１５において、横軸は時刻を示す。また、図１５は、すべての対象メッセージＭａが正当メッセージである場合において、対象メッセージＭａの送信周期Ｔａと基準メッセージＭｂの送信周期Ｔｂとが等しい場合を示している。

　図１５を参照して、上述したように、算出部５３は、対象メッセージＭａｐの受信時刻ｔａｐと、基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐを算出する。

　検知部５４は、時間差Ｘｐおよび式（１３）に基づいてマハラノビス距離Ｄ＾２を算出し、算出したマハラノビス距離Ｄ＾２としきい値Ｔｈとを比較し、比較結果に基づいて、対象メッセージＭａｐが不正メッセージであるか否かを判定する。

　また、算出部５３は、対象メッセージＭａｐの次の対象メッセージＭａ（ｐ＋１）の受信時刻ｔａ（ｐ＋１）と基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘ（ｐ＋１ａ）を算出する。

　検知部５４は、時間差Ｘ（ｐ＋１ａ）および式（１３）に基づいてマハラノビス距離Ｄ＾２を算出し、算出したマハラノビス距離Ｄ＾２としきい値Ｔｈとを比較し、比較結果に基づいて、対象メッセージＭａ（ｐ＋１）が不正メッセージであるか否かを判定する。

　検知部５４は、対象メッセージＭａｐが不正メッセージではないと判断した後、さらに対象メッセージＭａ（ｐ＋１）も不正メッセージではないと判断した場合、対象メッセージＭａｐ，Ｍａ（ｐ＋１）は異常である可能性があると判断する、すなわちグレー判定する。

　（サポートベクターマシンを用いた検知処理）
　なお、本開示の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、時間差Ｘｐに基づいてマハラノビス距離Ｄ＾２を算出し、算出したマハラノビス距離Ｄ＾２としきい値Ｔｈとの比較結果に基づいて、対象メッセージＭａｐが不正メッセージであるか否かを判定する構成であるとしたが、これに限定するものではない。

　検知部５４は、たとえばサポートベクターマシンを用いて、対象メッセージＭａが不正メッセージであるか否かを判定する構成であってもよい。検知部５４は、１クラスに分類するサポートベクターマシンを用いてもよいし、多クラスに分類するサポートベクターマシンを用いてもよい。

　より詳細には、検知部５４は、以下の式（１６）に従って、分類スコアｆ（Ｘｐ）を算出する。検知部５４は、算出した分類スコアｆ（Ｘｐ）がゼロ以上である場合、対象メッセージＭａｐは正当メッセージであると判断する一方、算出した分類スコアｆ（Ｘｐ）がゼロ未満である場合、対象メッセージＭａｐは不正メッセージであると判断する。

　ここで、Ｋ（ｘ，ｘｉ）は、カーネル関数である。カーネル関数は、具体的には、線形カーネル、多項式カーネル、以下の式（１７）に示すガウスカーネル、またはシグモイドカーネルである。

　ｘは、対象メッセージＭａｐの受信時刻ｔａｐと複数の基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐのベクトルである。ｘｉは、サポートベクトルである。ｙｉは、分類すべき各クラスに対応する値である。たとえば１クラスに分類するサポートベクターマシンを用いる場合、ｙｉは１である。Ｗｉは、重みベクトルである。ｂは、バイアスである。ｘｉ，ｙｉ，Ｗｉおよびｂは、予め、車両１と同じ種類のテスト車両のゲートウェイ装置１０１を用いて、正当メッセージを用いて機械学習により求められるパラメータである。

　１クラスに分類するサポートベクターマシンを用いる場合、上記パラメータは、教師無し学習によって設定される。より詳細には、正当メッセージである対象メッセージＭａｐの受信時刻ｔａｐと複数の基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐを算出し、算出した時間差Ｘｐを学習用のデータセットと検証用のデータセットとに分類する。

　そして、学習用のデータセットを用いて機械学習を行い、機械学習により得られたパラメータおよび上述した式（１６）を用いて検証用のデータセットの分類スコアｆ（Ｘｐ）を算出し、分類スコアｆ（Ｘｐ）がゼロ以上となるか、またはゼロ未満となるかを確認する。すなわち、検証用のデータセットが正当メッセージであると判定されるか、または不正メッセージであると判定されるかを確認する。そして、検証用のデータセットの判定結果の偽陽性率が所望の値となるようパラメータを適切に調整し、再度、学習用のデータセットを用いた機械学習を行う。

　多クラスに分類するサポートベクターマシンを用いる場合、上記パラメータは、教師有り学習によって設定される。より詳細には、正当メッセージである対象メッセージＭａｐの受信時刻ｔａｐと複数の基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐを算出し、算出した時間差Ｘｐを正常データ群とする。

　そして、正常データ群の時間差Ｘｐより大きい複数の時間差Ｘｐｒのデータ群である不正データ群、および正常データ群の時間差Ｘｐより小さい複数の時間差Ｘｐｓのデータ群である不正データ群を生成する。正常データ群および不正データ群を、学習用のデータセットと検証用のデータセットとに分類する。

　次に、学習用のデータセットを用いて機械学習を行い、機械学習により得られたパラメータおよび上述した式（１６）を用いて検証用のデータセットの分類スコアｆ（Ｘｐ）を算出し、分類スコアｆ（Ｘｐ）に基づいて検証用のデータセットが正当メッセージであると判定されるか、または不正メッセージであると判定されるかを確認する。そして、検証用のデータセットの判定結果の偽陽性率が所望の値となるように、不正データ群の時間差Ｘｐｓ，Ｘｐｒの値すなわち不正データ群と正常データ群とのギャップ、およびパラメータを適切に調整し、再度、学習用のデータセットを用いた機械学習を行う。

　（決定木を用いた検知処理）
　検知部５４は、たとえば決定木を用いて、対象メッセージＭａが不正メッセージであるか否かを判定する構成であってもよい。決定木のアルゴリズムは、たとえば、ＣＡＲＴ（Ｃｌａｓｓｉｆｉｃａｔｉｏｎ　Ａｎｄ　Ｒｅｇｒｅｓｓｉｏｎ　Ｔｒｅｅｓ）およびＣ４．５等である。

　決定木のパラメータは、教師有り学習によって設定される。より詳細には、正当メッセージである対象メッセージＭａｐの受信時刻ｔａｐと複数の基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐを算出し、算出した時間差Ｘｐを正常データ群とする。

　次に、学習用のデータセットを用いて、ＣＡＲＴおよびＣ４．５等のアルゴリズムを用いる決定木の機械学習を行い、機械学習により得られた決定木を用いた場合において、検証用のデータセットが正当メッセージであると判定されるか、または不正メッセージであると判定されるかを確認する。そして、検証用のデータセットの判定結果の偽陽性率が所望の値となるように、不正データ群の時間差Ｘｐｓ，Ｘｐｒの値すなわち不正データ群と正常データ群とのギャップ、および決定木の学習用パラメータを適切に調整し、再度、学習用のデータセットを用いた機械学習を行う。

　［動作の流れ］
　本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。

　図１６は、本開示の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の一例を定めたフローチャートである。

　図１６を参照して、まず、ゲートウェイ装置１０１は、車載ネットワーク１２における、対象メッセージＭａと基準メッセージＭｂとを監視し、対象メッセージＭａｐの受信時刻ｔａｐおよび基準メッセージＭｂｑの受信時刻ｔｂｑを取得する（ステップＳ１０２）。

　次に、ゲートウェイ装置１０１は、基準メッセージＭｂｑの受信時刻ｔｂｑとしきい値ＴｈＢｑ１，ＴｈＢｑ２とを比較する（ステップＳ１０４）。

　ゲートウェイ装置１０１は、受信時刻ｔｂｑがしきい値ＴｈＢｑ１，ＴｈＢｑ２により規定された許容範囲内である場合（ステップＳ１０６でＹＥＳ）、不正メッセージを検知する検知処理を行う。具体的には、ゲートウェイ装置１０１は、対象メッセージＭａｐが不正メッセージであるか否かを判断する（ステップＳ１０８）。

　一方、ゲートウェイ装置１０１は、受信時刻ｔｂｑがしきい値ＴｈＢｑ１，ＴｈＢｑ２により規定された許容範囲外である場合（ステップＳ１０６でＮＯ）、対象メッセージＭａおよび基準メッセージＭｂの監視を継続し、次の対象メッセージＭａ（ｐ＋１）の受信時刻ｔａ（ｐ＋１）および次の基準メッセージＭｂ（ｑ＋１）の受信時刻ｔｂ（ｑ＋１）を取得する（ステップＳ１０２）。

　また、ゲートウェイ装置１０１は、検知処理の結果、対象メッセージＭａｐが正当メッセージであると判断した場合（ステップＳ１１０でＮＯ）、対象メッセージＭａおよび基準メッセージＭｂの監視を継続し、次の対象メッセージＭａ（ｐ＋１）の受信時刻ｔａ（ｐ＋１）および次の基準メッセージＭｂ（ｑ＋１）の受信時刻ｔｂ（ｑ＋１）を取得する（ステップＳ１０２）。

　一方、ゲートウェイ装置１０１は、検知処理の結果、対象メッセージＭａｐが不正メッセージであると判断した場合（ステップＳ１１０でＹＥＳ）、不正メッセージが伝送されていることを示す警報情報を車両１内または車両１外における上位装置へ送信する（ステップＳ１１２）。

　次に、ゲートウェイ装置１０１は、対象メッセージＭａおよび基準メッセージＭｂの監視を継続し、次の対象メッセージＭａ（ｐ＋１）の受信時刻ｔａ（ｐ＋１）および次の基準メッセージＭｂ（ｑ＋１）の受信時刻ｔｂ（ｑ＋１）を取得する（ステップＳ１０２）。

　図１７は、本開示の実施の形態に係る車載通信システムにおいてゲートウェイ装置が検知処理を行う際の動作手順の他の例を定めたフローチャートである。

　図１７を参照して、まず、ゲートウェイ装置１０１は、車載ネットワーク１２における、対象メッセージＭａと基準メッセージＭｂとを監視し、対象メッセージＭａの複数の受信時刻および基準メッセージＭｂの複数の受信時刻ｔｂを取得する（ステップＳ２０２）。

　次に、ゲートウェイ装置１０１は、取得した複数の受信時刻ｔａおよび複数の受信時刻ｔｂに基づいて複数の時間差Ｘｐを算出し、算出した複数の時間差Ｘｐを用いてシンボル同期処理を行う（ステップＳ２０４）。

　次に、ゲートウェイ装置１０１は、対象メッセージＭａｐの受信時刻ｔａｐおよび基準メッセージＭｂｑの受信時刻ｔｂｑを取得する（ステップＳ２０６）。

　次に、ゲートウェイ装置１０１は、基準メッセージＭｂｑの受信時刻ｔｂｑとしきい値ＴｈＢｑ１，ＴｈＢｑ２とを比較する（ステップＳ２０８）。

　ゲートウェイ装置１０１は、受信時刻ｔｂｑがしきい値ＴｈＢｑ１，ＴｈＢｑ２により規定された許容範囲内である場合（ステップＳ２１０でＹＥＳ）、不正メッセージを検知する検知処理を行う。具体的には、ゲートウェイ装置１０１は、対象メッセージＭａｐが不正メッセージであるか否かを判断する（ステップＳ２１２）。

　次に、ゲートウェイ装置１０１は、ステップＳ２１４，Ｓ２１６の処理として、図１６におけるステップＳ１１０，Ｓ１１２と同様の処理を行う。

　図１８は、本開示の実施の形態に係る車載通信システムのゲートウェイ装置における検知処理の一例を定めたフローチャートである。図１８は、図１６におけるステップＳ１０８の詳細を示している。

　図１８を参照して、まず、ゲートウェイ装置１０１は、対象メッセージＭａｐの受信時刻ｔａｐと基準メッセージＭｂｑの受信時刻ｔｂｑとの時間差Ｘｐを算出する（ステップＳ３０２）。

　次に、ゲートウェイ装置１０１は、時間差Ｘｐに基づいて、マハラノビス距離Ｄ＾２を算出する（ステップＳ３０４）。

　次に、ゲートウェイ装置１０１は、算出したマハラノビス距離Ｄ＾２としきい値Ｔｈとを比較する（ステップＳ３０６）。

　次に、ゲートウェイ装置１０１は、マハラノビス距離Ｄ＾２がしきい値Ｔｈ以下である場合（ステップＳ３０８でＹＥＳ）、対象メッセージＭａｐは正当メッセージであると判断する（ステップＳ３１０）。

　一方、ゲートウェイ装置１０１は、マハラノビス距離Ｄ＾２がしきい値Ｔｈより大きい場合（ステップＳ３０８でＮＯ）、対象メッセージＭａｐは不正メッセージであると判断する（ステップＳ３１２）。

　図１９は、本開示の実施の形態に係る車載通信システムのゲートウェイ装置における検知処理の他の例を定めたフローチャートである。図１９は、図１７におけるステップＳ２１２の詳細を示している。

　図１９を参照して、まず、ゲートウェイ装置１０１は、基準メッセージＭｂｑの受信時刻ｔｂｑに基づいて、仮想的な受信時刻ｔｖｂを生成する（ステップＳ４０２）。

　次に、ゲートウェイ装置１０１は、対象メッセージＭａｐの受信時刻ｔａｐと、受信時刻ｔｂｑまたは受信時刻ｔｖｂとの時間差Ｘｐを算出する（ステップＳ４０４）。

　次に、ゲートウェイ装置１０１は、ステップＳ４０６からステップＳ４１４の処理として、図１８におけるステップＳ３０４からステップＳ３１２と同様の処理を行う。

　なお、本開示の実施の形態に係る車載通信システム３０１では、ゲートウェイ装置１０１が、車載ネットワーク１２における不正メッセージを検知する構成であるとしたが、これに限定するものではない。車載通信システム３０１では、ゲートウェイ装置１０１とは別の検知装置が、車載ネットワーク１２における不正メッセージを検知する構成であってもよい。

　また、本開示の実施の形態に係る車載通信システム３０１では、検知装置として機能するゲートウェイ装置１０１がバス１３に直接接続される構成であるとしたが、これに限定するものではない。

　図２０は、本開示の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。

　図２０を参照して、検知装置１５１が、車載装置たとえば制御装置１２２を介してバス１３に接続される構成であってもよい。この場合、検知装置１５１は、たとえば、当該車載装置が送受信するメッセージを監視することにより、バス１３に伝送される不正メッセージを検知する。

　図２０に示す例では、たとえば、検知装置１５１の監視部５２は、制御装置１２２が送信する基準メッセージＭｂの送信時刻に対応する時刻および対象メッセージＭａの送信時刻に対応する時刻を取得する。そして、検知装置１５１の算出部５３は、監視部５２による監視結果に基づいて、対象メッセージＭａの送信時刻と、基準メッセージＭｂの送信時刻との時間差を算出する。

　また、本開示の実施の形態に係る車載通信システム３０１では、ゲートウェイ装置１０１は、制御装置１２２Ａからの周期メッセージＭ１および不正メッセージを対象メッセージＭａとして監視するとともに、制御装置１２２Ｂからの周期メッセージＭ２を基準メッセージＭｂとして監視する構成であるとしたが、これに限定するものではない。

　再び図４を参照して、たとえば、制御装置１２２Ａは、送信周期Ｔａで周期メッセージＭ１を送信するとともに、送信周期Ｔｂで周期メッセージＭ２を送信する。より詳細には、制御装置１２２ＡにおけるＣＰＵ１３２Ａは、発振器１３１Ａからの発振信号に基づいて生成されるクロックのタイミングに従って、ＣＡＮトランシーバ１３３Ａ経由で周期メッセージＭ１，Ｍ２をブロードキャストまたはユニキャストする。

　ゲートウェイ装置１０１におけるＣＡＮトランシーバ１４２は、制御装置１２２Ａからの周期メッセージＭ１および不正メッセージを対象メッセージＭａとして監視するとともに、制御装置１２２Ａからの周期メッセージＭ２を基準メッセージＭｂとして監視する。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、検知処理として、対象メッセージＭａが不正メッセージであるか否かを判定する構成であるとしたが、これに限定するものではない。検知部５４は、検知処理として、対象メッセージＭａが不正メッセージである確率を算出する構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、検知部５４が検知処理において用いる判定基準の数は、すべての対象メッセージＭａが正当メッセージである場合における、対象メッセージＭａの送信周期Ｔａと基準メッセージＭｂの送信周期Ｔｂとの最小公倍数Ｌ、および対象メッセージＭａの送信周期Ｔａに基づいて決定される構成であるとしたが、これに限定するものではない。検知部５４が検知処理において用いる判定基準の数は、最小公倍数Ｌおよび送信周期Ｔａに依らない数、たとえば所定数であってもよい。この場合、不正メッセージであるか否かの判定が、一部の対象メッセージＭａについて行われる。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、異常検知部５６は、監視部５２による監視結果に基づいて、基準メッセージＭｂの異常を検知する構成であるとしたが、これに限定するものではない。ゲートウェイ装置１０１は、異常検知部５６を備えない構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、対象メッセージＭａｐが不正メッセージではないと判断した後、さらに対象メッセージＭａ（ｐ＋１）も不正メッセージではないと判断した場合、対象メッセージＭａｐ，Ｍａ（ｐ＋１）をグレー判定する構成であるとしたが、これに限定するものではない。検知部５４は、グレー判定を行わない構成であってもよい。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、対象メッセージＭａが不正メッセージであるか否かの判定基準は、制御装置１２２Ａ，１２２Ｂにおける発振器１３１Ａ，１３１Ｂによって生じるジッタ、およびゲートウェイ装置１０１における発振器１４３によって生じるジッタに基づいて設定される構成であるとしたが、これに限定するものではない。判定基準は、発振器１３１Ａ，１３１Ｂ，１４３によって生じるジッタに依らずに設定される構成であってもよい。

　ところで、車載ネットワークにおける不正メッセージをより正しく検知することを可能とする技術が望まれる。

　たとえば、周期メッセージを監視することにより、ある時刻に送信された周期メッセージを基準として、当該周期メッセージの送信時刻と、次に送信された周期メッセージの送信時刻との時間差に基づいて、正当な周期メッセージになりすました不正メッセージを検知する方法が考えられる。

　このような方法では、基準とした周期メッセージが不正メッセージである場合、次に送信された周期メッセージが不正メッセージであるか否かを正しく判定できない場合がある。

　具体的には、直前の周期メッセージの送信時刻に基づいて、次の周期メッセージが不正メッセージであるか否かを判定する上記方法では、不正メッセージを正当メッセージであると誤検知した場合、当該不正メッセージの送信時刻に基づいて、次の周期メッセージが不正メッセージであるか否かの判定を行うこととなる。その結果、次の不正メッセージを正当メッセージであると誤判定したり、所定の送信周期に従って送信された正当メッセージを不正メッセージであると誤判定したりする場合がある。

　これに対して、本開示の実施の形態に係るゲートウェイ装置１０１では、監視部５２は、車載ネットワーク１２における、周期的に送信される正当メッセージ、および不正メッセージを対象メッセージＭａとして監視するとともに、周期的に送信される基準メッセージＭｂを監視する。算出部５３は、監視部５２による監視結果に基づいて、対象メッセージＭａの送信時刻に対応する時刻と基準メッセージＭｂの送信時刻に対応する時刻との時間差Ｘｐを算出する。検知部５４は、算出部５３によって算出された時間差Ｘｐに基づいて、不正メッセージを検知する検知処理を行う。

　このように、対象メッセージＭａの送信時刻に対応する時刻と、基準メッセージＭｂの送信時刻に対応する時刻との時間差Ｘｐに基づいて検知処理を行う構成により、基準メッセージＭｂの送信時刻に対応する時刻を基準として検知処理を行うことができるため、対象メッセージＭａに含まれる不正メッセージの受信時刻を基準として検知処理を行うことによる誤検知の発生を回避することができる。

　したがって、本開示の実施の形態に係るゲートウェイ装置１０１では、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、正当メッセージの送信周期および基準メッセージＭｂの送信周期Ｔｂが互いに異なる。検知部５４は、検知処理として、対象メッセージＭａが不正メッセージであるか否かを判定基準に従って判定する。検知部５４は、複数の判定基準を切り替えながら検知処理を行う。

　このような構成により、正当メッセージの送信周期と基準メッセージＭｂの送信周期Ｔｂとの差に基づく時間差Ｘｐの変化に対応して、複数の判定基準を切り替えながら検知処理を行うことができるため、様々な送信周期の周期メッセージを基準メッセージＭｂとして用いることができる柔軟な検知処理が可能となる。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、検知部５４が検知処理において用いる判定基準の数は、正当メッセージの送信周期と基準メッセージＭｂの送信周期Ｔｂとの最小公倍数Ｌ、および正当メッセージの送信周期に基づいて決定される。

　このような構成により、正当メッセージの送信周期と基準メッセージＭｂの送信周期Ｔｂとの差に基づく時間差Ｘｐの大きさに応じて、複数の判定基準に従って対象メッセージＭａが不正メッセージであるか否かを判定することができるため、たとえばすべての対象メッセージＭａについて、不正メッセージであるか否かの判定を行うことができる。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、異常検知部５６は、監視部５２による監視結果に基づいて、基準メッセージＭｂの異常を検知し、異常を検知した場合に所定の処理を行う。

　このような構成により、基準メッセージＭｂの異常が検知された場合、たとえば、当該基準メッセージＭｂの送信時刻に対応する時刻を基準とした検知処理を行わないようにすることができるため、誤検知の発生を抑制することができる。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、検知部５４は、対象メッセージＭａｐの送信時刻に対応する時刻と基準メッセージＭｂｑの送信時刻に対応する時刻との時間差Ｘｐ、および対象メッセージＭａｐの後に送信される対象メッセージＭａ（ｐ＋１）の送信時刻に対応する時刻と基準メッセージＭｂｑの送信時刻に対応する時刻との時間差Ｘ（ｐ＋１ａ）に基づいて、対象メッセージＭａｐに関する異常を検知する。

　このような構成により、たとえば、基準メッセージＭｂｑの送信時刻に対応する時刻を基準として正常であると判定される時間内に複数の対象メッセージＭａが送信された場合、たとえば、実際には不正メッセージを含む当該複数の対象メッセージＭａを正当メッセージであると誤判定した場合であっても、当該複数の対象メッセージＭａは異常である可能性があると判断することができる。これにより、検知処理において検知することができなかった不正メッセージを、たとえばグレー判定することができる。

　また、本開示の実施の形態に係るゲートウェイ装置１０１では、監視部５２は、ゲートウェイ装置１０１が受信する対象メッセージＭａおよびゲートウェイ装置１０１が受信する基準メッセージＭｂを監視する。検知部５４は、検知処理として、対象メッセージＭａが不正メッセージであるか否かを判定基準に従って判定する。判定基準は、基準メッセージＭｂを送信する制御装置１２２Ｂにおける発振器１３１Ｂによって生じるジッタ、およびゲートウェイ装置１０１における発振器１４３によって生じるジッタに基づいて設定される。

　このような構成により、たとえば、制御装置１２２Ａにおける発振器１３１Ａによって生じるジッタに基づくメッセージの送信時刻の誤差、およびゲートウェイ装置１０１における発振器１４３によって生じるジッタに基づくメッセージの受信時刻の誤差を考慮した判断基準に基づいて、より正確な検知処理を行うことができる。

　また、本開示の実施の形態に係る車両１は、ゲートウェイ装置１０１を備える。

　このような構成により、ゲートウェイ装置１０１を備える車両１において、車載ネットワーク１２における不正メッセージをより正しく検知することができる。

　また、本開示の実施の形態に係る検知方法は、車載ネットワーク１２における不正メッセージを検知するゲートウェイ装置１０１における検知方法である。この検知方法では、まず、ゲートウェイ装置１０１が、車載ネットワーク１２における、周期的に送信される正当メッセージ、および不正メッセージを対象メッセージＭａとして監視するとともに、周期的に送信される基準メッセージＭｂとを監視する。次に、ゲートウェイ装置１０１が、監視結果に基づいて、対象メッセージＭａの送信時刻に対応する時刻と基準メッセージＭｂの送信時刻に対応する時刻との時間差Ｘｐを算出する。次に、ゲートウェイ装置１０１が、算出した時間差Ｘｐに基づいて、不正メッセージを検知する検知処理を行う。

　このように、対象メッセージＭａの送信時刻に対応する時刻と、基準メッセージＭｂの送信時刻に対応する時刻との時間差Ｘｐに基づいて検知処理を行う方法により、基準メッセージＭｂの送信時刻に対応する時刻を基準として検知処理を行うことができるため、対象メッセージＭａに含まれる不正メッセージの受信時刻を基準として検知処理を行うことによる誤検知の発生を回避することができる。

　したがって、本開示の実施の形態に係る検知方法では、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。
　［付記１］
　車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、
　前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、
　前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部と、
　前記監視部による監視結果に基づいて、前記基準メッセージの異常を検知し、前記異常を検知した場合に前記算出部へ前記異常を通知する異常検知部とを備え、
　前記対象メッセージおよび前記基準メッセージは、送信先または送信元が互いに異なり、
　前記算出部は、前記対象メッセージの送信時刻に対応する時刻と、前記異常検知部によって前記異常が検知されなかった前記基準メッセージの送信時刻に対応する時刻とに基づいて、前記時間差を算出する、検知装置。

　［付記２］
　車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、
　前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、
　前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備え、
　前記監視部、前記算出部および前記検知部は、プロセッサにより実現される、検知装置。

　１　　　　　車両
　１２　　　　車載ネットワーク
　１３，１４　バス
　５１　　　　通信処理部
　５２　　　　監視部
　５３　　　　算出部
　５４　　　　検知部
　５５　　　　記憶部
　５６　　　　異常検知部
　１０１　　　ゲートウェイ装置
　１１１　　　車載通信機
　１１２　　　ポート
　１２１　　　バス接続装置群
　１２２　　　制御装置
　１３１　　　発振器
　１３２　　　ＣＰＵ
　１３３　　　ＣＡＮトランシーバ
　１４１　　　ＣＰＵ
　１４２　　　ＣＡＮトランシーバ
　１４３　　　発振器
　１５１　　　検知装置
　３０１　　　車載通信システム

Claims

　車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、
　前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、
　前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部とを備える、検知装置。
　前記正当メッセージの送信周期および前記基準メッセージの送信周期が互いに異なり、
　前記検知部は、前記検知処理として、前記対象メッセージが前記不正メッセージであるか否かを判定基準に従って判定し、
　前記検知部は、複数の前記判定基準を切り替えながら前記検知処理を行う、請求項１に記載の検知装置。
　前記検知部が前記検知処理において用いる前記判定基準の数は、前記正当メッセージの送信周期と前記基準メッセージの送信周期との最小公倍数、および前記正当メッセージの送信周期に基づいて決定される、請求項２に記載の検知装置。
　前記検知装置は、さらに、
　前記監視部による監視結果に基づいて、前記基準メッセージの異常を検知し、前記異常を検知した場合に所定の処理を行う異常検知部を備える、請求項１から請求項３のいずれか１項に記載の検知装置。
　前記検知部は、前記対象メッセージである第１の対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との前記時間差、および前記第１の対象メッセージの後に送信される前記対象メッセージである第２の対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との前記時間差に基づいて、前記第１の対象メッセージに関する異常を検知する、請求項１から請求項４のいずれか１項に記載の検知装置。
　前記監視部は、前記検知装置が受信する前記対象メッセージおよび前記検知装置が受信する前記基準メッセージを監視し、
　前記検知部は、前記検知処理として、前記対象メッセージが前記不正メッセージであるか否かを判定基準に従って判定し、
　前記判定基準は、前記基準メッセージを送信する車載装置における発振器によって生じるジッタ、および前記検知装置における発振器によって生じるジッタに基づいて設定される、請求項１から請求項５のいずれか１項に記載の検知装置。
　請求項１から請求項６のいずれか１項に記載の検知装置を備える、車両。
　車載ネットワークにおける不正メッセージを検知する検知装置における検知方法であって、
　前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視するステップと、
　監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出するステップと、
　算出した前記時間差に基づいて、前記不正メッセージを検知する検知処理を行うステップとを含む、検知方法。
　車載ネットワークにおける不正メッセージを検知する検知装置において用いられる検知プログラムであって、
　コンピュータを、
　前記車載ネットワークにおける、周期的に送信される正当メッセージ、および前記不正メッセージを対象メッセージとして監視するとともに、周期的に送信される基準メッセージを監視する監視部と、
　前記監視部による監視結果に基づいて、前記対象メッセージの送信時刻に対応する時刻と前記基準メッセージの送信時刻に対応する時刻との時間差を算出する算出部と、
　前記算出部によって算出された前記時間差に基づいて、前記不正メッセージを検知する検知処理を行う検知部、
として機能させるための、検知プログラム。