WO2021085196A1

WO2021085196A1 - 情報処理装置、情報処理方法、およびプログラム

Info

Publication number: WO2021085196A1
Application number: PCT/JP2020/039194
Authority: WO
Inventors: 健人田村; 中野　稔久; 横田　薫
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2019-11-01
Filing date: 2020-10-16
Publication date: 2021-05-06
Also published as: JP2021072587A; US20220239686A1; JP7312965B2; DE112020005394T5

Abstract

サーバ（１０）は、複数の車両それぞれの車載ネットワークに流れた通信フレームに関する情報を含む複数の情報を取得する取得部（１２）と、取得部（１２）が取得した複数の情報に適合するルールであって、一の車両の車載ネットワークにおける異常検知処理のためのルールである統合ルールを生成する生成部（１３）と、生成部（１３）が生成した統合ルールを出力する提供部（１４）とを備える。例えば、取得部（１２）は、通信フレームが車載ネットワークに流れたときの複数の車両それぞれの状況を示す状況情報を取得し、生成部（１３）は、状況情報に対応付けられた複数の情報を用いて統合ルールを生成する。

Description

情報処理装置、情報処理方法、およびプログラム

　本発明は、情報処理装置、情報処理方法、およびプログラムに関する。

　車載ネットワークにおいて不正な通信を検知する異常検知装置が開示されている。特許文献１に記載の異常検知装置は、運転状況に応じてルールを切り替えながら異常検知処理を行う。

特開２０１９－９６１７号公報

　しかしながら、ルールに基づく異常検知を精度よく行うことができるとは限らないという問題がある。

　そこで、本発明は、ルールに基づく異常検知の精度を向上させる情報処理装置を提供することを目的とする。

　本発明の一態様に係る情報処理装置は、複数の車両それぞれの車載ネットワークに流れた通信フレームに関する情報を含む複数の情報を取得する取得部と、前記取得部が取得した前記複数の情報を用いて、前記複数の車両に適合するルールであって、前記車載ネットワークにおける異常検知処理のためのルールである統合ルールを生成する生成部と、前記生成部が生成した前記統合ルールを出力する出力部とを備える。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本発明に係る情報処理装置は、ルールに基づく異常検知の精度を向上させることができる。

図１は、実施の形態１に係る処理システムの構成を示すブロック図である。図２は、実施の形態１に係るログデータの一例を示す説明図である。図３は、実施の形態１に係る車両の速度の分布の第一例を示す説明図である。図４は、実施の形態１に係るサーバの処理の第一例を示すフロー図である。図５は、実施の形態１に係る車両の速度の分布の第二例を示す説明図である。図６は、実施の形態１に係るサーバの処理の第二例を示すフロー図である。図７は、実施の形態２に係る車両での通信の周期についての個別ルールの第一例を示す説明図である。図８は、実施の形態２に係る車両での通信の周期についての個別ルールの第二例を示す説明図である。図９は、実施の形態２に係る車両での通信の周期についての個別ルールの第三例を示す説明図である。図１０は、実施の形態２に係る個別ルールと、個別ルールの抽出との例を示す説明図である。図１１は、実施の形態２に係る生成部が個別ルールから統合ルールを生成する処理の第一例を示す説明図である。図１２は、実施の形態２に係る生成部が個別ルールから統合ルールを生成する処理の第二例を示す説明図である。図１３は、実施の形態２に係る統合ルールを二値化する方法の第一例を示す説明図である。図１４は、実施の形態２の変形例に係る生成部が個別ルールから統合ルールを生成する処理の第三例を示す説明図である。図１５は、実施の形態２の変形例に係る統合ルールを二値化する方法の第二例を示す説明図である。

　上記態様によれば、情報処理装置は、複数の車両の車載ネットワークに流れた通信フレームに基づいて統合ルールを生成し、生成した統合ルールを出力する。出力する統合ルールは、一の車両の車載ネットワークで異常検知処理に用いられることが想定される。このようにすると、当該一の車両の車載ネットワークに流れた通信フレームだけでなく、複数の車両の車載ネットワークに流れた通信フレームに基づく異常検知処理の結果として得られる統合ルールを用いて、当該一の車両での異常検知処理がなされるので、一の車両の車載ネットワークに流れた通信フレームのみから生成されるルールよりも、異常検知の精度を高くすることができる。このように、情報処理装置は、ルールに基づく異常検知の精度を向上させることができる。

　例えば、前記取得部は、前記通信フレームが前記車載ネットワークに流れたときの前記複数の車両それぞれの状況を示す状況情報を、前記情報に対応付けて取得し、前記生成部は、前記取得部が取得した前記複数の情報のうち、前記取得部が取得した前記状況情報に対応付けられた複数の情報を用いて前記統合ルールを生成し、前記出力部は、前記統合ルールとともに前記状況情報を出力してもよい。

　上記態様によれば、情報処理装置は、その通信フレームが流れたときの車両の状況に対応付けた統合ルールを生成し、状況情報に対応付けて出力する。出力された統合ルールは、車両が、その統合ルールとともに出力された状況情報に示される状況になったときに、異常検知に用いられることが想定される。よって、情報処理装置は、車両の状況に応じて適切なルールを選択することによって、ルールに基づく異常検知の精度をより一層向上させることができる。

　例えば、前記取得部は、前記車載ネットワークに流れた通信フレームを示す通信データ、又は、前記車載ネットワークに接続されている車載機器のログデータを、前記情報として取得し、前記生成部は、前記取得部が取得した前記通信データ又は前記ログデータが満たす条件を規定したルールを前記統合ルールとして生成してもよい。

　上記態様によれば、情報処理装置は、車両からの情報として、車両の車載ネットワークに流れた通信フレームのログデータを取得し、取得したログデータが満たす条件を統合ルールとして生成する。よって、情報処理装置は、車載ネットワークに流れた通信フレームのログデータを利用して、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　例えば、前記取得部は、前記車載ネットワークに流れた通信フレームに基づいて生成された個別ルールを前記情報として取得し、前記生成部は、前記取得部が取得した複数の前記個別ルールを統合したルールを前記統合ルールとして生成してもよい。

　上記態様によれば、情報処理装置は、車両からの情報として、車両で生成された個別ルールを取得し、取得した個別ルールを統合することによって統合ルールとして生成する。よって、情報処理装置は、車両で生成された個別ルールを利用して、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　例えば、前記取得部は、前記個別ルールを含む前記情報を取得する際には、取得する前記個別ルールの信頼度を示す信頼度情報を、前記個別ルールとともに取得し、前記生成部は、前記統合ルールを生成する際には、前記個別ルールとともに取得した前記信頼度情報により示される信頼度が大きい前記個別ルールほど、より優先的に加味した前記統合ルールを生成してもよい。

　上記態様によれば、情報処理装置は、個別ルールとともに取得する信頼度を用いて、個別ルールを統合するときの各個別ルールの寄与の大きさを調整する。よって、情報処理装置は、複数の車両で生成された個別ルールを適切な寄与で利用しながら、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　例えば、前記信頼度情報は、前記個別ルールの生成に用いられたデータ数、又は、前記車両の総走行距離、総走行時間若しくは総送信データ量を含んでもよい。

　上記態様によれば、情報処理装置は、個別ルールの生成に用いられたデータ数、車両の総走行距離、総走行時間、又は総送信データ量を信頼度として利用して、各個別ルールの寄与の大きさを調整する。個別ルールの生成に用いられたデータ数、車両の総走行距離、総走行時間、又は総送信データ量はいずれも、車両が長く利用されるほど、値が大きくなる情報である。このように、車両が従来保有している情報を信頼度に兼用するので、情報処理装置は、信頼度の算出のために新たな情報を生成する必要がない。よって、情報処理装置は、車両が従来保有している情報を兼用しながら、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　例えば、前記信頼度情報は、前記個別ルールの生成に用いられたデータ数、又は、前記車両の総走行距離、総走行時間若しくは総送信データ量に基づいて生成されてもよい。

　上記態様によれば、情報処理装置は、個別ルールの生成に用いられたデータ数、車両の総走行距離、総走行時間、又は総送信データ量に基づいて生成された信頼度を利用して、各個別ルールの寄与の大きさを調整する。個別ルールの生成に用いられたデータ数、車両の総走行距離、総走行時間、又は総送信データ量はいずれも、車両が長く利用されるほど、値が大きくなる情報である。このように、車両が従来保有している情報を信頼度に兼用するので、情報処理装置は、信頼度の算出のために新たな情報を生成する必要がない。よって、情報処理装置は、車両が従来保有している情報を兼用しながら、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　本発明の一態様に係る情報処理方法は、複数の車両それぞれの車載ネットワークに流れた通信フレームに関する情報を含む複数の情報を取得し、取得した前記複数の情報を用いて、前記複数の車両に適合するルールであって、前記車載ネットワークにおける異常検知処理のためのルールである統合ルールを生成し、生成した前記統合ルールを出力する。

　上記態様によれば、上記情報処理装置と同様の効果を奏する。

　本発明の一態様に係るプログラムは、上記の情報処理方法をコンピュータに実行させるためのプログラムである。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。

　以下、実施の形態について、図面を参照しながら具体的に説明する。

　なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　（実施の形態１）
　本実施の形態において、ルールに基づく異常検知の精度を向上させる情報処理装置について説明する。なお、後述するサーバ１０が情報処理装置の一例である。

　図１は、本実施の形態に係る処理システムの構成を示すブロック図である。

　図１に示されるように、処理システムは、車両２、２Ａ及び２Ｂ（車両２等ともいう）とサーバ１０とを備える。車両２等とサーバ１０とは、ネットワークＮで通信可能に接続されている。ネットワークＮは、サーバ１０の外部のネットワークであり、携帯電話のキャリアネットワーク又はインターネットなどを含む。

　車両２は、通信部２０と、検知部２１と、センサ３０と、１以上のＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）３１、３２等を備える車両、例えば自動車である。車両２内の各機能部および各装置は、車載ネットワークＭによって通信可能に接続されている。

　センサ３０は、車両２の周囲のセンシングを行う車載機器である。センサ３０は、例えば、車両２の周囲の温度、湿度、又は明るさなどの物理量を感知するセンサである。センサ３０は、感知した物理量を示す情報を車載ネットワークＭを通じて検知部２１に提供する。

　１以上のＥＣＵ３１、３２等は、エンジン、ステアリング、ブレーキ及びウィンドウなどの制御対象を制御する電子制御装置である車載機器である。１以上のＥＣＵ３１、３２等は、それぞれの制御対象に接続されており、制御対象を制御する。また、１以上のＥＣＵ３１、３２等それぞれは、車載ネットワークＭに接続されており、制御対象に対する制御に関する情報を車載ネットワークＭを通じて検知部２１に提供する。

　通信部２０は、車載ネットワークＭとネットワークＮとを接続する通信装置である。通信部２０は、車載ネットワークＭに適合する通信インタフェースと、ネットワークＮに適合する通信インタフェースとを備え、相互に通信フレーム（単にフレームともいう）を転送する。

　車載ネットワークＭには、１以上のＥＣＵ３１、３２等のほか、情報端末又は診断装置がポート（不図示）を介して接続され得る。

　車載ネットワークＭの規格は、例えばＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）であり、この場合を例として説明するが、他にＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｌｅｘｉｂｌｅ　Ｄａｔａ　ｒａｔｅ）、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）、ＭＯＳＴ（登録商標）（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）、ＦｌｅｘＲａｙ（登録商標）、Ｅｔｈｅｒｎｅｔ（登録商標）等を用いることもできる。

　検知部２１は、車載ネットワークＭにおいてなされうる不正な通信を異常として検知し、異常に対する処理をする装置である。検知部２１は、車載ネットワークＭに接続されている。

　検知部２１は、車両２の車両データ２５を蓄積して保持している。車両データ２５には、車載ネットワークＭに流れたフレームを示す通信データ、および、ＥＣＵ３１などの車載機器のログデータなどが含まれる。また、検知部２１は、不正な通信を検知するためのルールとして、個別ルール２６と統合ルール２７とを有する。

　個別ルール２６は、車載ネットワークＭに流れたフレームに基づいて生成されたフレームに基づいて検知部２１が生成したルールである。より具体的には、個別ルール２６は、車両２という個別の車両のために生成されたルールであり、各ＥＣＵの通信の内容又はタイミングが満たすべき条件を含む。個別ルール２６は、例えば、検知部２１が、車載ネットワークＭを流れるフレームを分析することで各ＥＣＵの正常時の通信の内容又はタイミングを取得し、各ＥＣＵの通信の内容又はタイミングが満たすべき条件をルールとして生成することによって取得される。この生成方法は、他にもさまざまな方法を採用できる。

　統合ルール２７は、車両２を含む複数の車両のために生成されるルールであり、各ＥＣＵの通信の内容又はタイミングが満たすべき条件を含む。統合ルール２７は、例えば、サーバ１０が、複数の車両２等から収集した、複数の車両の車載ネットワークＭを流れるフレームに関する情報に基づいて、各ＥＣＵの正常時の通信の内容又はタイミングを取得し、各ＥＣＵの通信の内容又はタイミングが満たすべき条件をルールとして生成することによって取得される。

　車両２において、車載ネットワークＭに設けられるポートを介して、情報端末又は診断装置から不正な通信がなされる可能性がある。不正な通信がなされると、例えば、エンジン、ステアリング、ブレーキ及びウィンドウなどが不正に制御されたり、ＥＣＵ３１等に不正なプログラムが送りこまれたりすることで新たな異常の発生の原因となり得る。そこで、検知部２１は、車載ネットワークＭにおける不正な通信を異常として、ルールを用いて適切に検知し処理を施す。

　車両２Ａ及び２Ｂ等のそれぞれは、車両２と同様の車両であり、車両２とは独立に動作する。なお、車両２等などを代表して車両２を用いて説明するが、車両２Ａ、２Ｂなどについても同様の説明が成立する。

　サーバ１０は、車両２等の制御のための情報処理をするサーバ装置である。サーバ１０は、ネットワークＮを介して車両２等に接続されている。サーバ１０は、車両２等における不正な通信を検知するためのルールを生成し、ネットワークＮを介して車両２に送信する。送信されたルールは、車両２において統合ルール２７として取得される。

　以降において、サーバ１０についてより詳しく説明する。

　図１に示されるように、サーバ１０は、通信ＩＦ１１と、取得部１２と、生成部１３と、提供部１４とを備える。

　通信ＩＦ１１は、ネットワークＮに接続される通信インタフェース装置である。

　取得部１２は、車両２等の車載ネットワークＭに流れたフレームに関する情報を取得する処理部である。取得部１２は、１以上の車両２等それぞれの車載ネットワークＭに流れたフレームに関する情報を含む１以上の情報をネットワークＮを介して取得する。

　取得部１２が取得する情報は、例えば、１以上の車両２等それぞれの車載ネットワークＭに流れたフレームを示す通信データ、又は、上記車載ネットワークＭに接続されている車載機器のログデータであってもよく、この場合を本実施の形態で説明するが、これに限られない。なお、上記通信データ又はログデータを車両データともいう。

　生成部１３は、取得部１２が取得した１以上の情報を用いて、複数の車両に適合するルールであって、車載ネットワークＭにおける異常検知処理のためのルールである統合ルールを生成する処理部である。ここで、複数の車両に適合するルールとは、複数の車両２の検知部２１による不正な通信の検知に用いられるルールをいう。生成部１３が生成するルールは、例えば、車載ネットワークＭに流れるフレームに含まれる情報が正常であるか異常であるかを示すルール、又は、車載ネットワークＭに流れるフレームの周期又は間隔を示すルールなどを含む。

　提供部１４は、生成部１３が生成したルールを車両２等に提供する処理部である。提供部１４は、生成部１３が生成したルールを車両２等それぞれに対して、ネットワークＮを介して送信することで提供する。提供されたルールは、車両２において統合ルール２７として取得される。なお、提供部１４は、生成部１３が生成したルールを出力する出力部に相当する。

　ここで、取得部１２は、上記フレームが車載ネットワークＭに流れたときの状況を示す状況情報を、上記情報に対応付けて取得してもよい。状況情報とは、上記フレームが車載ネットワークＭに流れたときの車両２の状況、又は、車両２の周囲の状況を示す情報であり、例えば、天候、速度、加速度、操舵角などを含む。

　生成部１３は、取得部１２が取得した状況情報ごとに、取得部１２が取得した１以上の情報のうちから当該状況情報に対応付けられた１以上の情報を１以上の抽出情報として抽出し、抽出した抽出情報を、上記１以上の情報として用いてルールを生成する。そして、提供部１４は、生成部１３が状況情報ごとに生成したルールを出力する。

　以降において、サーバ１０の処理に用いられる情報およびデータを示しながら、サーバ１０の処理を具体的に説明する。

　図２は、本実施の形態に係る車両データ２５の一例を示す説明図である。図２に示される車両データ２５は、車両２の車載機器（センサ３０又はＥＣＵ３１等）のログデータの例である。

　図２に示されるように、ログデータは、日付、時刻、および状況情報を含む。状況情報としては、例として天候、速度、加速度若しくは操舵角が示されている。

　日付は、当該エントリに対応するフレームが生成された日付を示す情報である。

　時刻は、上記フレームが生成された時刻を示す情報である。

　天候は、上記フレームが生成されたときの天候を示す情報である。

　速度は、上記フレームが生成されたときの車両２の速度を示す情報である。

　加速度は、上記フレームが生成されたときの車両２の加速度を示す情報である。

　操舵角は、上記フレームが生成されたときの車両２の操舵角を示す情報である。

　例えば、図２に示される最上段のエントリは、日付「２０１９年８月２日」および時刻「８時４０分」に生成されたものであり、このとき車両２の速度が４５ｋｍ／ｈであったことが示されている。

　ログデータはネットワークＮを介して取得部１２によって取得される。その後、生成部１３が、取得されたログデータに基づいて、ルールを生成する。以下において、状況情報を考慮しないルール生成方法と、状況情報を考慮するルール生成方法とを説明する。

　（１）状況情報を考慮しないルール生成方法
　図３は、本実施の形態に係る車両２の速度の分布の第一例を示す説明図である。図３に示される速度の分布は、サーバ１０の取得部１２が複数の車両２等から取得したログデータについて、生成部１３が算出した速度の分布を示している。図３は、複数の車両２等の速度の分布を、その分布の最大値が１となるように正規化することで生成された分布である。

　生成部１３は、この分布に基づいて、速度の上限値をルールとして生成する。例えば、生成部１３は、この分布における速度の最大値を、速度の閾値Ｔ１としてルールを生成する。この場合、取得部１２が取得したログデータに含まれる速度値がすべて閾値Ｔ１以下となるように、速度の閾値Ｔ１が決定される。

　このように生成されるルールは、車両２の検知部２１によって異常の検知に用いられる。検知部２１は、上記ルールを用いて、車両２に異常がある（つまり、車両２が異常である）、又は、車両２に異常がない（つまり車両２が正常である）、の二値のいずれかに判断する。具体的には、検知部２１は、車両２の速度値が閾値Ｔ１より小さい場合に車両２の速度が正常であると判断し、速度値が閾値Ｔ１より大きい場合に車両２の速度が異常であると判断する。このとき、速度値が閾値Ｔ１に等しい場合には、正常と判断されてもよいし、異常と判断されてもよい。

　なお、生成部１３は、この分布における速度値のうち、速度値が小さい方の所定の割合（例えば９５％または９９％）の速度値が含まれるように速度の閾値Ｔ１を決定してもよい。

　図４は、本実施の形態に係るサーバ１０の処理の第一例を示すフロー図である。具体的には、図４に示されるフロー図は、サーバ１０が、図２に示されるログデータの天候の情報を考慮せずにルールを生成して出力する処理を示している。

　ステップＳ１０１において、取得部１２は、複数の車両２等それぞれの車載ネットワークＭに流れた通信フレームに関する情報を含む複数の情報である車両データ２５を取得する。

　ステップＳ１０２において、生成部１３は、ステップＳ１０１で取得した複数の情報を用いて、複数の車両に適合するルールであって、車両２の車載ネットワークにおける異常検知処理のためのルールである統合ルールを生成する。

　ステップＳ１０３において、提供部１４は、ステップＳ１０２で生成した統合ルールを車両２に提供する。

　図４に示される一連の処理により、サーバ１０は、ルールに基づく異常検知の精度を向上させることができる。

　（２）状況情報を考慮するルール生成方法
　図５は、本実施の形態に係る車両２の速度の分布の第二例を示す説明図である。図５に示される速度の分布は、サーバ１０の取得部１２が複数の車両２等から取得したログデータから、天候を示す情報を状況情報として用いてログデータを抽出したうえで、生成部１３が状況情報ごとに算出した速度の分布を示している。

　より具体的には、図５の（ａ）は、複数の車両２等の速度値について、天候が「晴天」であるときのエントリを抽出し、抽出したエントリから導出した分布の最大値が１となるように正規化することで生成された分布である。

　また、図５の（ｂ）は、複数の車両２等の速度値について、天候が「雨天」であるときのエントリを抽出し、抽出したエントリから導出した分布の最大値が１となるように正規化することで生成された分布である。

　生成部１３は、図５の（ａ）及び（ｂ）の分布に基づいて、状況情報ごとに、速度の上限値をルールとして生成する。例えば、生成部１３は、図５の（ａ）に示される分布における速度の最大値を、速度の閾値Ｔ２としてルールを生成する。この場合、取得部１２が取得したログデータに含まれる速度値がすべて閾値Ｔ２以下となるように、速度の閾値Ｔ２が決定される。また、生成部１３は、図５の（ｂ）に示される分布における速度の最大値を、速度の閾値Ｔ３としてルールを生成する。この場合、取得部１２が取得したログデータに含まれる速度値がすべて閾値Ｔ３以下となるように、速度の閾値Ｔ３が決定される。

　なお、生成部１３は、上記（１）における閾値Ｔ１と同様、（ａ）又は（ｂ）の分布における速度値のうち、速度値が小さい方の所定の割合（例えば９５％または９９％）の速度値が含まれるように速度の閾値Ｔ２又はＴ３を決定してもよい。

　なお、このルール生成方法を用いる場合、ログデータにおける天候の情報は必要である。

　図６は、本実施の形態に係るサーバ１０の処理の第二例を示すフロー図である。具体的には、図６に示されるフロー図は、サーバ１０が、図２に示されるログデータの天候の情報を状況情報として考慮してルールを生成して出力する処理を示している。

　ステップＳ２０１において、取得部１２は、複数の車両２等それぞれの車載ネットワークＭに流れた通信フレームに関する情報を含む複数の情報である車両データ２５を取得する。このとき、取得部１２は、上記通信フレームが車載ネットワークＭに流れたときの複数の車両２等それぞれの状況を示す状況情報を、上記情報に対応付けて取得する。

　ステップＳ２０２において、生成部１３は、ステップＳ２０１で取得した複数の情報である車両データ２５から状況情報に対応した車両データ２５を抽出する。具体的には、生成部１３は、天候が「晴天」である車両データ２５を抽出し、また、天候が「雨天」である車両データ２５を抽出する。

　ステップＳ２０３において、生成部１３は、ステップＳ２０２で抽出した車両データ２５から統合ルールを生成する。

　ステップＳ２０４において、提供部１４は、ステップＳ２０３で生成した統合ルールを、当該統合ルールを生成する際に用いた状況情報とともに、車両２に提供する。

　図６に示される一連の処理により、サーバ１０は、状況情報を考慮して、ルールに基づく異常検知の精度を向上させることができる。

　以上のように、本実施の形態の情報処理装置であるサーバによれば、情報処理装置は、複数の車両の車載ネットワークに流れた通信フレームに基づいて統合ルールを生成し、生成した統合ルールを出力する。出力する統合ルールは、一の車両の車載ネットワークで異常検知処理に用いられることが想定される。このようにすると、当該一の車両の車載ネットワークに流れた通信フレームだけでなく、複数の車両の車載ネットワークに流れた通信フレームに基づく異常検知処理の結果として得られる統合ルールを用いて、当該一の車両での異常検知処理がなされるので、一の車両の車載ネットワークに流れた通信フレームのみから生成されるルールよりも、異常検知の精度を高くすることができる。このように、情報処理装置は、ルールに基づく異常検知の精度を向上させることができる。

　また、サーバは、その通信フレームが流れたときの車両の状況に対応付けた統合ルールを生成し、状況情報に対応付けて出力する。出力された統合ルールは、車両が、その統合ルールとともに出力された状況情報に示される状況になったときに、異常検知に用いられることが想定される。よって、情報処理装置は、車両の状況に応じて適切なルールを選択することによって、ルールに基づく異常検知の精度をより一層向上させることができる。

　また、サーバは、車両からの情報として、車両の車載ネットワークに流れた通信フレームのログデータを取得し、取得したログデータが満たす条件を統合ルールとして生成する。よって、情報処理装置は、車載ネットワークに流れた通信フレームのログデータを利用して、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　（実施の形態２）
　本実施の形態において、ルールに基づく異常検知の精度を向上させる情報処理装置について、実施の形態１とは別の形態を説明する。具体的には、サーバ１０が、車両２から個別ルール２６を取得して、取得した個別ルールを用いて統合ルールを生成する方法を説明する。

　取得部１２は、実施の形態１と同様に、車両２等の車載ネットワークＭに流れたフレームに関する情報を取得する。本実施の形態では、取得部１２が取得する情報は、車載ネットワークＭに流れたフレームに基づいて生成された個別ルールである。この場合、生成部１３は、ルールとして、取得部１２が取得した１以上の情報に含まれる１以上の個別ルールを統合した統合ルールを生成する。

　ここで、取得部１２は、個別ルールを含む情報を取得する際には、取得する個別ルールの信頼度を示す信頼度情報を、個別ルールとともに取得してもよい。その場合、生成部１３は、統合ルールを生成する際には、個別ルールとともに取得した信頼度情報に基づいて統合ルールを生成する。信頼度情報は、例えば、個別ルールの生成に用いられたデータ数、又は、車両２等それぞれの総走行距離、総走行時間若しくは総送信データ量を含む。

　取得部１２が取得する個別ルールの具体例を以下で説明する。

　図７は、本実施の形態に係る車両２での通信の周期についての個別ルールの第一例を示す説明図である。図７に示される個別ルールは、通信に係るフレームの周期の正常値の範囲の最大値（Ｍａｘ）および最小値（Ｍｉｎ）を規定する個別ルールである。このような個別ルールを用いて、検知部２１は、上記ルールを用いて、車両２に異常がある（つまり、車両２が異常である）、又は、車両２に異常がない（つまり車両２が正常である）、の二値のいずれかに判断する。

　図７に示される個別ルールを用いると、検知部２１は、車載ネットワークＭに流れるフレームの周期が、当該個別ルールに規定される最大値から最小値までの範囲に周期が含まれると判定される場合に、当該周期が正常値であると判定する。また、検知部２１は、車載ネットワークＭに流れるフレームの周期が、当該個別ルールに規定される最大値より大きい場合、又は、当該個別ルールに規定される最小値より小さい場合に、当該周期が異常値であると判定する。

　図８は、本実施の形態に係る車両２での通信の周期についての個別ルールの第二例を示す説明図である。図８に示される個別ルールは、通信に係るフレームの周期のヒストグラムを規定する個別ルールである。なお、ヒストグラムの度数は、有意な数値によって規定されてもよいし、相対値によって規定されてもよい。

　図８に示される個別ルールを用いると、検知部２１は、車載ネットワークＭに流れる複数のフレームの周期のヒストグラムと、当該個別ルールに規定されているヒストグラムとが所定の精度の範囲（例えば９５％又は９９％など）で一致するか否かを判定し、一致しないと判定した場合に、車載ネットワークＭにおける通信に異常があると判定する。

　図９は、本実施の形態に係る車両２での通信の周期についての個別ルールの第三例を示す説明図である。図９に示される個別ルールは、通信に係るフレームの周期の分布を規定する個別ルールである。

　図９に示される個別ルールを用いると、検知部２１は、車載ネットワークＭに流れる複数のフレームの周期の分布と、当該個別ルールに規定されている分布とが所定の精度の範囲で一致するか否かを判定し、一致しないと判定した場合に、車載ネットワークＭにおける通信に異常があると判定する。

　また、検知部２１は、車載ネットワークＭに流れるフレームの周期が、当該個別ルールに規定される分布の平均値（Ａｖｅ）から所定の範囲に周期が含まれると判定される場合に、当該周期が正常値であると判定することができる。なお、所定の範囲は、例えば、平均値（Ａｖｅ）からプラスマイナス３σの範囲、又は、プラスマイナスσの範囲などとすることができる。ここで、σは分布の標準偏差である。

　以降において、個別ルールから統合ルールを生成する方法について説明する。

　図１０は、本実施の形態に係る個別ルールと、個別ルールの抽出との例を示す説明図である。図１０の（ａ）は、取得部１２が車両２等から取得する個別ルールをまとめたテーブルである。ここで、取得部１２が個別ルールを車両２等から取得するときには、その個別ルールの生成に用いられた車両データ２５のエントリ数、および、その個別ルールが適用されると想定される条件（時刻、天候など）も取得する。

　図１０の（ａ）に示されるテーブルには、取得部１２が車両２等から取得した個別ルールに、時刻が「日中」であり天候が「晴天」であるときに適用される個別ルールＬ１が示されている。個別ルールＬ１の生成に用いられた車両データ２５のエントリの数（データ数）は５００００個である。また、上記テーブルには、取得部１２が車両２等から取得した個別ルールに、時刻が「日中」であり天候が「雪」であるときに適用される個別ルールＬ２が示されている。個別ルールＬ３の生成に用いられた車両データ２５のエントリ数は３００００個である。その他の個別ルールについても同様である。

　図１０の（ｂ）に示されるテーブルには、取得部１２が車両２等から取得した個別ルールのうちから、時刻が「日中」であり天候が「晴天」であるときに適用される個別ルール（つまり個別ルールＬ１、Ｌ４及びＬ８等）を抽出したものが示されている。

　図１０の（ｃ）に示されるテーブルには、取得部１２が車両２等から取得した個別ルールのうちから、時刻が「日中」であり天候が「雪」であるときに適用される個別ルール（つまり、個別ルールＬ２およびＬ９等）を抽出したものが示されている。

　図１１は、本実施の形態に係る生成部１３が個別ルールから統合ルールを生成する処理の第一例を示す説明図である。図１１に示される処理は、最大値と最小値とを規定した個別ルール（図７参照）から統合ルールを生成する処理である。

　図１１には、一例として図１０の（ｂ）に示されている個別ルールＬ１、Ｌ４及びＬ８が示されている。生成部１３は、各個別ルールに、その個別ルールの生成に用いられたデータ数を重みとして加味して足し合わせる、つまり重み付け加算することで統合ルールを生成する。具体的には、生成部１３は、各個別ルールにより正常範囲と判定される各値について１を、異常範囲と判定される各値についてゼロを、それぞれ重み付け加算することで、周期の各値について正常と判定される確率分布を導出する。生成部１３は、このように導出した確率分布を統合ルールＬＡとする。

　なお、個別ルールの生成に用いられる重みとして、上記のデータ数のほか、車両２の総走行距離、総走行時間、又は、総送信データ量なども用いられ得る。このように、個別ルールの生成に重みとして用いられる、上記のデータ数、若しくは、総走行距離、総走行時間又は総送信データ量は、個別ルールの信頼の大きさを示しているともいえることから、信頼度ともいう。

　また、個別ルールの生成に用いられる重みとして、車両２の総走行距離、総走行時間、又は、総送信データ量などに基づいて生成された情報も用いられ得る。このように、個別ルールの生成に重みとして用いられる上記情報も、信頼度ともいう。

　生成部１３が図１１に示される方法で生成した統合ルールは、図９の個別ルールと同様に平均値と標準偏差とによって表現され得る。生成部１３は、上記統合ルールの平均値および標準偏差を算出し、算出した平均値および標準偏差を統合ルールとしてもよい。提供部１４は、生成部１３によってこのように取得した統合ルールを車両２などに提供する。

　図１２は、本実施の形態に係る生成部１３が個別ルールから統合ルールを生成する処理の第二例を示す説明図である。図１２に示される処理は、分布（つまり平均値と標準偏差）によって規定された個別ルール（図９参照）から統合ルールを生成する処理である。

　図１２には、一例として図１０の（ｂ）に示されている個別ルールＬ１、Ｌ４及びＬ８が示されている。生成部１３は、各個別ルールに、その個別ルールの生成に用いられたデータ数を重みとして加味して足し合わせる、つまり重み付け加算することで統合ルールを生成する。生成部１３は、このように導出した確率分布を統合ルールＬＢとする。

　提供部１４は、生成部１３によってこのように取得した統合ルールを、図１１に示した場合と同様に車両２などに提供する。

　なお、生成部１３は、車両２が正常であるか又は異常であるかの二値の判別をするために、上記統合ルールを変形（二値化ともいう）したものを、上記統合ルールとしてもよい。

　図１３は、本実施の形態に係る統合ルールを二値化する方法の第一例を示す説明図である。

　図１３の（ａ）に示される分布は、図１１又は図１２に示される方法で導出された統合ルールである。生成部１３は、周期の値の正常範囲の最大値（Ｍａｘ）および最小値（Ｍｉｎ）を、統合ルールとして生成する。まず、生成部１３は、図１３の（ａ）の分布において、縦軸に閾値Ｔｈを設定する。そして、分布が閾値Ｔｈ以上である周期の値の範囲が正常と判定され、また、分布が閾値Ｔｈ以下である周期の値が異常と判定されるように、正常範囲の最大値および最小値を設定する。具体的には、生成部１３は、図１３の（ａ）に示されるグラフにおいて、分布に対応する曲線と、閾値Ｔｈに対応する直線との２つの交点のうちの小さい方の周期の値を正常範囲の最小値とし、大きい方の周期の値を正常範囲の最大値とする（図１３の（ｂ）参照）。

　このようにすることで、検知部２１は、複数の個別ルールを統合することでルールに基づく異常検知の精度を向上させることができる。

　なお、上述の説明では、統合ルールに関し、速度の分布または周期の分布の図を用いて正常か異常かの二値の判別をする例を示したが、正常か異常かの二値判別には限定されるわけではない。すなわち、統合ルールによる正常または異常の判別結果として、正常あるいは異常の確からしさを表す連続値または離散値を出力する構成であってもよい。例えば、異常度が、０～１の任意の値、または、０．１刻みで出力される関数で表現されてもよい。例えば、図９で３σの範囲内が正常、３σの範囲外が異常の二値の例を示しているが、１σ内であれば正常度９０％、２σ内であれば正常度８０％、３σ内であれば正常度７０％・・・のような値を出力してもよい。この場合、正常度（あるいは異常度）に応じて対応を変えることができる。このことは、個別ルールについても同様である。

　なお、図９等の分布図の縦軸は確率、確率密度、データ個数など、統合ルールや個別ルールの元となるデータに対する統計処理等に応じて任意に設定できる。

　（実施の形態２の変形例）
　本変形例において、複数の情報に基づいて正常または異常の判定をする方法を説明する。

　本変形例におけるサーバ１０は、例えば、操舵角と車速との２つの情報に基づいて正常または異常の判定をするための個別ルールを取得部１２によって複数取得し、取得した複数の個別ルールに基づいて、操舵角と車速とにより異常の判定をするための統合ルールを生成する。

　図１４は、本変形例に係る生成部１３が個別ルールから統合ルールを生成する処理の第三例を示す説明図である。図１４に示される処理は、２つの情報として操舵角と車速とを用いて規定した個別ルールから統合ルールを生成する処理である。なお、ここでは上記「２つの情報」を「情報の組」と表現する。

　図１４には、一例として図１０の（ｂ）に示されている個別ルールＬ１、Ｌ４及びＬ８が示されている。各個別ルールにおいて、操舵角と車速の情報の組が「正常」の文字があるハッチングの領域内にあるときに、その情報の組が正常と判定される。

　生成部１３は、各個別ルールに、その個別ルールが生成された車両２の総走行距離を重みとして加味して足し合わせる、つまり重み付け加算することで統合ルールを生成する。具体的には、生成部１３は、各個別ルールにより正常と判定される情報の組について１を、異常と判定される情報の組についてゼロを、それぞれ重み付け加算することで、情報の組それぞれについて正常と判定される２次元の確率分布を導出する。

　生成部１３は、このように導出した２次元の確率分布を統合ルールＬＣとする。なお、統合ルールＬＣの図示において、一例として確率分布が大きいほどより濃い色として表現されている。

　提供部１４は、生成部１３によってこのように取得した統合ルールを、図１１に示した場合と車両２などに提供する。

　なお、生成部１３は、実施の形態２における場合と同様に、車両２が正常であるか又は異常であるかの二値の判別をするために、上記統合ルールを変形（二値化ともいう）したものを、上記統合ルールとしてもよい。

　図１５は、本変形例に係る統合ルールを二値化する方法の第二例を示す説明図である。

　図１５の（ａ）に示される分布は、図１４に示される方法で導出された統合ルールである。

　生成部１３は、情報の組についての確率分布に閾値Ｔｈを設定する。そして、確率分布が閾値Ｔｈ以上である情報の組が正常と判定され、また、分布が閾値Ｔｈ以下である情報の組が異常と判定されるように、平面上に境界を設定する。具体的には、生成部１３は、図１５の（ａ）に示されるグラフにおいて、情報の組が正常と判定される領域と、情報の組が異常と判定される領域とを抽出し、それらの領域の境界を境界Ｂとする（図１５の（ｂ）参照）。なお、図１５の（ｂ）では、境界Ｂは直線として表現されているが、曲線であってもよい。

　以上のように、本実施の形態の情報処理装置であるサーバは、車両からの情報として、車両で生成された個別ルールを取得し、取得した個別ルールを統合することによって統合ルールとして生成する。よって、情報処理装置は、車両で生成された個別ルールを利用して、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　また、サーバは、個別ルールとともに取得する信頼度を用いて、個別ルールを統合するときの各個別ルールの寄与の大きさを調整する。よって、情報処理装置は、複数の車両で生成された個別ルールを適切な寄与で利用しながら、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　また、サーバは、個別ルールの生成に用いられたデータ数、車両の総走行距離、総走行時間、又は総送信データ量を信頼度として利用して、各個別ルールの寄与の大きさを調整する。個別ルールの生成に用いられたデータ数、車両の総走行距離、総走行時間、又は総送信データ量はいずれも、車両が長く利用されるほど、値が大きくなる情報である。このように、車両が従来保有している情報を信頼度に兼用するので、情報処理装置は、信頼度の算出のために新たな情報を生成する必要がない。よって、情報処理装置は、車両が従来保有している情報を兼用しながら、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　また、サーバは、個別ルールの生成に用いられたデータ数、車両の総走行距離、総走行時間、又は総送信データ量に基づいて生成された信頼度を利用して、各個別ルールの寄与の大きさを調整する。個別ルールの生成に用いられたデータ数、車両の総走行距離、総走行時間、又は総送信データ量はいずれも、車両が長く利用されるほど、値が大きくなる情報である。このように、車両が従来保有している情報を信頼度に兼用するので、情報処理装置は、信頼度の算出のために新たな情報を生成する必要がない。よって、情報処理装置は、車両が従来保有している情報を兼用しながら、より容易に、ルールに基づく異常検知の精度を向上させることができる。

　なお、上記各実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の情報処理装置などを実現するソフトウェアは、次のようなプログラムである。

　すなわち、このプログラムは、コンピュータに、複数の車両それぞれの車載ネットワークに流れた通信フレームに関する情報を含む複数の情報を取得し、取得した前記複数の情報を用いて、前記複数の車両に適合するルールであって、前記車載ネットワークにおける異常検知処理のためのルールである統合ルールを生成し、生成した前記統合ルールを出力する情報処理方法を実行させるプログラムである。

　以上、一つまたは複数の態様に係る情報処理装置などについて、実施の形態に基づいて説明したが、本発明は、この実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。

　本発明は、車載ネットワークにおいて不正な通信を異常として検知する処理装置に利用可能である。

　２、２Ａ、２Ｂ　　車両
　１０　　サーバ
　１１　　通信ＩＦ
　１２　　取得部
　１３　　生成部
　１４　　提供部
　２０　　通信部
　２１　　検知部
　２５　　車両データ
　２６、Ｌ１、Ｌ２、Ｌ３、Ｌ４、Ｌ８、Ｌ９　　個別ルール
　２７、ＬＡ、ＬＢ、ＬＣ　　統合ルール
　３０　　センサ
　３１、３２　　ＥＣＵ
　Ｂ　　境界
　Ｍ　　車載ネットワーク
　Ｎ　　ネットワーク

Claims

　複数の車両それぞれの車載ネットワークに流れた通信フレームに関する情報を含む複数の情報を取得する取得部と、
　前記取得部が取得した前記複数の情報を用いて、前記複数の車両に適合するルールであって、前記車載ネットワークにおける異常検知処理のためのルールである統合ルールを生成する生成部と、
　前記生成部が生成した前記統合ルールを出力する出力部とを備える
　情報処理装置。
　前記取得部は、
　前記通信フレームが前記車載ネットワークに流れたときの前記複数の車両それぞれの状況を示す状況情報を、前記情報に対応付けて取得し、
　前記生成部は、
　前記取得部が取得した前記複数の情報のうち、前記取得部が取得した前記状況情報に対応付けられた複数の情報を用いて前記統合ルールを生成し、
　前記出力部は、
　前記統合ルールとともに前記状況情報を出力する
　請求項１に記載の情報処理装置。
　前記取得部は、前記車載ネットワークに流れた通信フレームを示す通信データ、又は、前記車載ネットワークに接続されている車載機器のログデータを、前記情報として取得し、
　前記生成部は、前記取得部が取得した前記通信データ又は前記ログデータが満たす条件を規定したルールを前記統合ルールとして生成する
　請求項１又は２に記載の情報処理装置。
　前記取得部は、前記車載ネットワークに流れた通信フレームに基づいて生成された個別ルールを前記情報として取得し、
　前記生成部は、前記取得部が取得した複数の前記個別ルールを統合したルールを前記統合ルールとして生成する
　請求項１又は２に記載の情報処理装置。
　前記取得部は、前記個別ルールを含む前記情報を取得する際には、取得する前記個別ルールの信頼度を示す信頼度情報を、前記個別ルールとともに取得し、
　前記生成部は、前記統合ルールを生成する際には、前記個別ルールとともに取得した前記信頼度情報により示される信頼度が大きい前記個別ルールほど、より優先的に加味した前記統合ルールを生成する
　請求項４に記載の情報処理装置。
　前記信頼度情報は、前記個別ルールの生成に用いられたデータ数、又は、前記車両の総走行距離、総走行時間若しくは総送信データ量を含む
　請求項５に記載の情報処理装置。
　前記信頼度情報は、前記個別ルールの生成に用いられたデータ数、又は、前記車両の総走行距離、総走行時間若しくは総送信データ量に基づいて生成される
　請求項５に記載の情報処理装置。
　複数の車両それぞれの車載ネットワークに流れた通信フレームに関する情報を含む複数の情報を取得し、
　取得した前記複数の情報を用いて、前記複数の車両に適合するルールであって、前記車載ネットワークにおける異常検知処理のためのルールである統合ルールを生成し、
　生成した前記統合ルールを出力する
　情報処理方法。
　請求項８に記載の情報処理方法をコンピュータに実行させるためのプログラム。