WO2021186857A1 - 優先度判定システム、優先度判定方法及びプログラム - Google Patents
優先度判定システム、優先度判定方法及びプログラム Download PDFInfo
- Publication number
- WO2021186857A1 WO2021186857A1 PCT/JP2021/000425 JP2021000425W WO2021186857A1 WO 2021186857 A1 WO2021186857 A1 WO 2021186857A1 JP 2021000425 W JP2021000425 W JP 2021000425W WO 2021186857 A1 WO2021186857 A1 WO 2021186857A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- abnormality
- priority
- task
- risk value
- data
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 15
- 230000005856 abnormality Effects 0.000 claims abstract description 163
- 238000004364 calculation method Methods 0.000 claims abstract description 23
- 230000002159 abnormal effect Effects 0.000 claims description 37
- 238000004891 communication Methods 0.000 description 25
- 230000004044 response Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 6
- 230000009467 reduction Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000012937 correction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
- G06F9/4881—Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/04—Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- G—PHYSICS
- G08—SIGNALLING
- G08G—TRAFFIC CONTROL SYSTEMS
- G08G1/00—Traffic control systems for road vehicles
-
- G—PHYSICS
- G08—SIGNALLING
- G08G—TRAFFIC CONTROL SYSTEMS
- G08G1/00—Traffic control systems for road vehicles
- G08G1/123—Traffic control systems for road vehicles indicating the position of vehicles, e.g. scheduled vehicles; Managing passenger vehicles circulating according to a fixed timetable, e.g. buses, trains, trams
- G08G1/127—Traffic control systems for road vehicles indicating the position of vehicles, e.g. scheduled vehicles; Managing passenger vehicles circulating according to a fixed timetable, e.g. buses, trains, trams to a central station ; Indicators in a central station
- G08G1/13—Traffic control systems for road vehicles indicating the position of vehicles, e.g. scheduled vehicles; Managing passenger vehicles circulating according to a fixed timetable, e.g. buses, trains, trams to a central station ; Indicators in a central station the indicator being in the form of a map
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y20/00—Information sensed or collected by the things
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Definitions
- This disclosure relates to a priority determination system, a priority determination method, and a program.
- Patent Document 1 a device that analyzes the content of the abnormality and accurately notifies an operator who manages the abnormality has been disclosed (for example, Patent Document 1). ).
- the priority of the alert to be notified to the operator is determined according to the source or frequency of occurrence of the alert, so that the operator is notified according to the determined priority. Alerts can be notified with high accuracy.
- the present disclosure provides a priority determination system and the like that can be further improved.
- the priority determination system shows an abnormality acquisition unit that acquires a plurality of abnormality data indicating an abnormality of each of the plurality of moving objects, and a status of each of the plurality of moving objects.
- a status acquisition unit that acquires a plurality of status data
- a risk value calculation unit that calculates a risk value indicating the risk of abnormality based on the status data of the corresponding moving object for each of the plurality of abnormality data, and the plurality.
- a priority determination unit that determines the priority of each task for dealing with the abnormality indicated by each of the plurality of abnormal data, and an output based on the result of the determination are output. It is provided with an output unit to be used.
- the priority determination method acquires a plurality of abnormality data indicating the respective abnormalities of the plurality of moving objects, and each obtains a plurality of abnormality data indicating the respective situations of the plurality of moving objects.
- Situation data is acquired, and for each of the plurality of abnormal data, a risk value indicating the risk of abnormality is calculated based on the status data of the corresponding moving object, and based on the risk value of each of the plurality of abnormal data. Therefore, the priority for each task for dealing with the abnormality indicated by each of the plurality of abnormality data is determined, and output is performed based on the result of the determination.
- the program according to one aspect of the present disclosure is a program for causing a computer to execute the above-mentioned priority determination method.
- the priority determination system and the like according to one aspect of the present disclosure can be further improved.
- FIG. 1 is a configuration diagram showing an example of a priority determination system according to the embodiment.
- FIG. 2 is a flowchart showing an example of the operation of the priority determination system according to the embodiment.
- FIG. 3A is a diagram showing an example of situation data.
- FIG. 3B is a diagram showing an example of information on the vehicle type A.
- FIG. 4 is a diagram showing an example of a magnification for correcting the basic risk value.
- FIG. 5 is a diagram showing an example of a task for dealing with an abnormality, a risk value allocation rate, and an expected response time.
- FIG. 6 is a diagram for explaining a specific example of the operation of the priority determination system when the same abnormality occurs in two moving bodies.
- FIG. 1 is a configuration diagram showing an example of the priority determination system 10 in the embodiment. Note that FIG. 1 also shows a plurality of mobile bodies 100 (for example, automobiles) and terminals 200 that are communicably connected to the priority determination system 10.
- mobile bodies 100 for example, automobiles
- terminals 200 that are communicably connected to the priority determination system 10.
- Each of the plurality of mobile bodies 100 is, for example, a vehicle such as an automobile equipped with an in-vehicle network such as CAN (Control Area Network), and is a connected car capable of wireless communication with a priority determination system 10 or the like.
- each of the plurality of mobile bodies 100 shows an abnormality such as an external attack, fraud, or failure in an in-vehicle network or an ECU (Electronic Control Unit) connected to the in-vehicle network.
- the data is transmitted to the priority determination system 10.
- Each of the plurality of mobile bodies 100 transmits log data in the vehicle-mounted network to an abnormality detection server or the like that performs abnormality detection, and is detected by the abnormality detection server or the like to the priority determination system 10 based on the log data.
- each of the plurality of mobile bodies 100 transmits status data indicating their own status to the priority determination system 10.
- each of the plurality of mobile bodies 100 may transmit status data to the priority determination system 10 at all times or at specific timings.
- the terminal 200 monitors a plurality of moving objects 100 (for example, several hundreds, several thousands, etc.), collects abnormality information, analyzes the contents of the abnormality when the abnormality is detected, and notifies SIRT (Security Incident Response Team) or the like. It is a terminal used by an analyst such as SOC (Security Operation Center). For example, the terminal 200 can use software such as SIEM (Security Information and Event Management). It is assumed that the priority determination system 10 cooperates with SIEM or SOAR (Security Orchestration Automation and Response) as a server system.
- SIEM Security Information and Event Management
- the priority determination system 10 outputs an output based on the result of the priority determination of the task for dealing with the abnormality, and the analyst copes with the abnormality occurring in many mobile bodies 100. It is possible to effectively execute a task according to the output from a large number of tasks to be performed.
- the terminal 200 is capable of wired communication or wireless communication with the priority determination system 10.
- the priority determination system 10 is a computer for determining the priority of a task executed by an analyst, for example, a server.
- the priority determination system 10 includes a processor, a memory, a communication interface, and the like.
- the memory is a ROM (Read Only Memory), a RAM (Random Access Memory), or the like, and can store a program executed by the processor.
- the priority determination system 10 includes an abnormality acquisition unit 11, a situation acquisition unit 12, a situation storage unit 13, a risk value calculation unit 14, a priority determination unit 15, a rule storage unit 16, a task definition storage unit 17, and an output unit 18. ..
- the abnormality acquisition unit 11, the status acquisition unit 12, the risk value calculation unit 14, the priority determination unit 15, and the output unit 18 are realized by a processor or the like that executes a program stored in the memory.
- the situation storage unit 13, the rule storage unit 16, and the task definition storage unit 17 are realized by the memory, but the memory for storing the program, the situation storage unit 13, the rule storage unit 16, and the task definition storage unit 17 are different from each other. It may be a memory or a single memory.
- the components constituting the priority determination system 10 may be distributed and arranged on a plurality of servers.
- the abnormality acquisition unit 11 acquires a plurality of abnormality data.
- Each of the plurality of abnormality data indicates an abnormality of each of the plurality of mobile bodies 100.
- the abnormality acquisition unit 11 acquires a plurality of abnormality data from a plurality of mobile bodies 100 (or an abnormality detection server or the like) via a communication interface or the like provided in the priority determination system 10.
- the status acquisition unit 12 acquires a plurality of status data.
- Each of the plurality of status data indicates the respective status of the plurality of mobile bodies 100.
- the status acquisition unit 12 acquires a plurality of status data from a plurality of mobile bodies 100, a roadside machine, a server, or the like via a communication interface or the like provided in the priority determination system 10.
- each of the plurality of situation data indicates the type information indicating the type of the moving body 100, the position information indicating the position of the moving body 100, the traffic information of the point corresponding to the position information, and the traveling state of the moving body 100. Includes at least one piece of running state information.
- the status acquisition unit 12 may acquire position information and running state information from the mobile body 100, and from the server, the type information managed by the server or the occurrence status of an abnormality (for example, a popular attack) or the like. May be acquired, or traffic information of the place where the abnormality of the moving body 100 has occurred may be acquired from the roadside machine. It should be noted that each of the plurality of status data may be a combination of this information and information from another server or the like.
- the situation storage unit 13 stores a plurality of situation data acquired by the situation acquisition unit 12.
- the position information includes information indicating the position of the moving body 100 at each time
- the traveling state information includes information indicating the traveling state of the moving body 100 at each time.
- the risk value calculation unit 14 calculates a risk value indicating the risk of abnormality for each of the plurality of abnormality data based on the situation data of the corresponding mobile body 100. The details of the risk value calculation unit 14 will be described later.
- the priority determination unit 15 determines the priority for each task for dealing with the abnormality indicated by each of the plurality of abnormal data based on the respective risk values of the plurality of abnormal data. For example, the priority determination unit 15 determines the risk value of each of the plurality of abnormal data and the predetermined index value for each task, for example, the rate at which the risk is reduced by executing each task and the execution for each task. Determine the priority for each task based on at least one of the required times. Specifically, the priority determination unit 15 sets the risk value of each of the plurality of abnormal data and the predetermined index value for each task, for example, the rate at which the risk is reduced by executing each task. The priority for each task is determined based on the time required for execution for each task.
- the details of the priority determination unit 15 will be described later.
- the predetermined index value for each task may be a value indicating the load for each task, a value indicating the degree of influence on the risk, or the like.
- the priority determination unit 15 periodically performs the determination every time a task is executed or every time an abnormality is detected.
- the rule storage unit 16 stores the rule used when the risk value calculation unit 14 calculates the risk value and the rule used when the priority determination unit 15 determines the priority. Details of these rules will be described later.
- the information stored in the rule storage unit 16 may be updated by an instruction from the terminal 200 or the like.
- the task definition storage unit 17 stores the correspondence between the abnormality indicated by each of the plurality of abnormality data and one or more tasks for dealing with the abnormality. Further, the task definition storage unit 17 stores, for each task, the ratio of the risk reduced by executing the task (also referred to as the allocation rate of the risk value) and the expected response time required to complete the task. Details of these will be described later.
- the information stored in the task definition storage unit 17 may be updated according to an instruction from the terminal 200 or the like.
- the output unit 18 outputs to the terminal 200 based on the result of the priority determination by the priority determination unit 15. The details of the output from the output unit 18 will be described later.
- FIG. 2 is a flowchart showing an example of the operation of the priority determination system 10 in the embodiment.
- the abnormality acquisition unit 11 acquires a plurality of abnormality data indicating each abnormality of the plurality of moving bodies 100 (step S11). For example, there are many mobile bodies 100 monitored by the terminal 200, and the abnormality acquisition unit 11 acquires a large number of abnormality data accordingly.
- the status acquisition unit 12 acquires a plurality of status data indicating the respective statuses of the plurality of mobile bodies 100 (step S12).
- a specific example of the situation data will be described with reference to FIG. 3A.
- FIG. 3A is a diagram showing an example of situation data.
- the situation data includes, for example, running state information indicating that the running state of the moving body 100 when an abnormality occurs is “running”. Further, the situation data includes, for example, position information indicating that the position of the moving body 100 when an abnormality occurs is an "urban area”. Further, the situation data includes, for example, type information indicating that the type of the moving body is "vehicle type A”. The "vehicle type A" indicates that the moving body 100 is, for example, a moving body as shown in FIG. 3B.
- FIG. 3B is a diagram showing an example of information on vehicle type A.
- Vehicle type A is a vehicle model in which the market number is 5000 units, the estimated damage amount at the time of a problem is less than the profit in the previous term, and the usage is a commercial vehicle model. Is shown.
- step S11 and the processing in step S12 may be performed in the reverse order or in parallel.
- the risk value calculation unit 14 calculates an abnormality risk value for each of the plurality of abnormality data based on the status data of the corresponding mobile body 100 (step S13). For example, the risk value calculation unit 14 first determines the basic risk value for each of the plurality of abnormal data.
- the basic risk value is a value calculated according to the type of abnormality, and can be determined (for example, calculated) using, for example, a score value by SIEM or a score value by CTI (Cyber Threat Intelligence).
- the risk value calculated by the risk value calculation unit 14 is, for example, a value obtained by correcting the basic risk value determined according to the type of abnormality by using the situation data of the corresponding mobile body 100. For example, the greater the risk value obtained by correcting the basic risk value, the greater the risk of the abnormality.
- the magnification for correcting the basic risk value will be described with reference to FIG.
- FIG. 4 is a diagram showing an example of a magnification for correcting the basic risk value.
- the rule storage unit 16 stores a rule for correcting the basic risk value of an abnormality occurring in the moving body 100 of a vehicle model of "less than 1000 units in the market" by 1.0 times.
- the rule to correct the basic risk value of the abnormality that occurred in the moving body 100 of the vehicle type of "market number of 1000 or more and less than 10000" is memorized by 1.2 times, and the moving body of the vehicle type of "market number of 10000 or more” is memorized.
- the rule for correcting the basic risk value of the abnormality generated at 100 by 2.0 times is stored.
- the influence of the abnormality is small even if the number of vehicles in the market is small and the number of vehicles in the market is less than 1000, the influence of the abnormality is small.
- the basic risk value is not significantly corrected.
- the mobile 100 of the vehicle type of "market number of 10,000 or more” has a large influence when the market number is large and an abnormality occurs. Therefore, the abnormality that occurred in the mobile 100 of the vehicle type of "market number of 10,000 or more"
- the basic risk value of is greatly corrected.
- the rule storage unit 16 has a rule for correcting the basic risk value of an abnormality occurring in the moving body 100 of a vehicle model having a “estimated damage amount less than the previous period profit” by 1.0 times. Is memorized, and the rule for correcting the basic risk value of the abnormality occurring in the moving body 100 of the vehicle type of "estimated damage amount equal to or more than the previous term profit" by 2.0 times is memorized. Since the estimated damage amount of the moving object 100 of the vehicle type having the “estimated damage amount less than the previous term profit” is small, the basic risk value of the abnormality occurring in the moving object 100 of the vehicle type having the “estimated damage amount less than the previous period profit” is not largely corrected.
- the correction value may be stored in association with the vehicle type, or may be stored in association with the number of units in the market or the estimated damage amount.
- the vehicle type and the market number or the estimated damage amount for each vehicle type may be stored in the priority determination system 10 as an intermediate value. It may be obtained by inquiring from the priority determination system 10 to an external system.
- the rule storage unit 16 stores a rule for correcting the basic risk value of an abnormality occurring in the moving body 100, which is a “household vehicle”, by 1.0 times.
- the rule for correcting the basic risk value of the abnormality that occurred in the moving body 100 that is the "business vehicle” by 1.2 times is stored, and the basic risk value of the abnormality that occurred in the moving body 100 that is the "emergency vehicle” is 2.
- the rule to correct to 0 times is stored. Since the mobile body 100, which is a "household vehicle", is less likely to be used frequently, the probability that a problem will occur even if an abnormality occurs is low. The basic risk value is not significantly corrected.
- the mobile body 100 which is a "business vehicle”
- the probability that a problem will occur when an abnormality occurs increases. Therefore, the basic risk value of the abnormality that occurs in the mobile body 100, which is a "business vehicle”, is It is corrected more than "household vehicle". Since the moving body 100 which is an "emergency vehicle” is a vehicle having a high social importance, the basic risk value of the abnormality generated in the moving body 100 which is an "emergency vehicle” is greatly corrected.
- the rule storage unit 16 stores a rule for correcting the basic risk value of the abnormality generated in the moving body 100 located in the “countryside” by 1.0 times.
- a rule for correcting the basic risk value of an abnormality generated in the moving body 100 located in the "urban area” by 2.0 times is stored. Since there are few people and traffic is light in the countryside, the basic risk value of the abnormality that occurred in the moving body 100 located in the "countryside” is not greatly corrected. Since there are many people and heavy traffic in urban areas, the basic risk value of anomalies occurring in the moving body 100 located in the "urban area” is greatly corrected.
- the rule storage unit 16 stores a rule for correcting the basic risk value of an abnormality generated in the “stopped” moving body 100 by 1.0 times, and “running”.
- the rule for correcting the basic risk value of the abnormality generated in the moving body 100 of "medium” by 2.0 times is stored. Since the "stopped” mobile body 100 is stopped and is unlikely to be in a dangerous state even if an abnormality occurs, the basic risk value of the abnormality generated in the "stopped” mobile body 100 is not largely corrected. Since the "running" moving body 100 is likely to be in a dangerous state when the moving body 100 is running and an abnormality occurs, the basic risk value of the abnormality generated in the "running” moving body 100 is greatly corrected.
- the moving body 100 in which the abnormality has occurred is running (magnification 2.0), is located in an urban area (magnification 2.0), and the vehicle type is vehicle type A.
- the risk value can be calculated as follows.
- Risk value basic risk value x 2.0 x 2.0 x 1.2 x 1.0 x 1.2
- the risk value calculation unit 14 corrects the basic risk value for each of the plurality of abnormal data by using the status data of the corresponding moving body 100 (moving body 100 in which the abnormality has occurred) to correct the risk of abnormality. Calculate the value.
- the priority determination unit 15 determines the priority for each task for dealing with each of the plurality of abnormal data based on the respective risk values of the plurality of abnormal data calculated by the risk value calculation unit 14. (Step S14). The task for dealing with the abnormality will be described with reference to FIG.
- FIG. 5 is a diagram showing an example of a task for dealing with an abnormality, a risk value allocation rate, and an expected response time.
- the user of the moving body 100 is notified of the occurrence of the abnormality as a task for dealing with the abnormality.
- each task is associated with a risk value allocation rate and an expected response time.
- the rate of risk mitigated by executing "user notification” is 0.10 (10%), and the expected response time required to complete “user notification” is 1 second. That is, the risk value of "illegal communication in IVI” can be reduced by 10% by executing "user notification” over 1 second.
- connection disconnection The rate of risk mitigated by executing "connection disconnection” is 0.40 (40%), and the expected response time required to complete “connection disconnection” is 10 seconds. That is, the risk value of "illegal communication in IVI” can be reduced by 40% by executing "connection disconnection” over 10 seconds.
- the rate of risk mitigated by executing "detailed analysis” is 0.10 (10%), and the expected response time required to complete “detailed analysis” is 3600 seconds. That is, the risk value of "illegal communication in IVI” can be reduced by 10% by executing "detailed analysis” over 3600 seconds.
- the percentage of risk mitigated by executing "permanent patch distribution” is 0.40 (40%), and the expected response time required to complete “permanent patch distribution” is 60 seconds. .. That is, the risk value of "illegal communication with IVI” can be reduced by 40% by executing "permanent patch distribution" over 60 seconds.
- the priority for each task is determined to be higher for tasks with a higher rate of risk reduction by execution, and higher for tasks with a shorter execution time. That is, the priority determination unit 15 raises the priority of the task that can greatly reduce the risk in a short time.
- the rule storage unit 16 stores a rule that can be expressed by the following priority calculation formula, and the priority determination unit 15 inputs the risk value allocation rate and the expected response time to the calculation formula. By substituting, the priority for each task is determined.
- rvdec is the amount of risk value reduction
- rv is the risk value
- rratio the risk value allocation rate
- p is the importance of the task (tasks with higher importance are preferentially executed). Therefore, p can be said to be the priority of the task)
- ⁇ is the tuning weight
- test is the expected response time.
- the priority of the task changes significantly when the allocation rate of the risk value and the expected response time are extremely small or extremely large, so the following formula is used to determine the priority. May be done.
- ⁇ is 1 or more.
- the rule storage unit 16 stores rules so that the priority of "permanent patch distribution" does not become higher than the priority of "detailed analysis”. For example, by adjusting the tuning weight depending on the task, the priority of a specific task can be lowered or raised.
- the task definition storage unit 17 stores the correspondence between various abnormalities and one or more tasks in addition to the “illegal communication in IVI”, and the priority determination unit 15 stores various abnormalities.
- the priority for each task can be determined by referring to the task definition storage unit 17. Although a plurality of tasks are associated with "illegal communication in IVI", there may be an abnormality in which only one task is associated.
- the priority determination unit 15 determines the priority for each task based on the risk value calculated by the risk value calculation unit 14. Specifically, the priority determination unit 15 raises the priority of a task having a higher rate of risk reduction by being executed (in other words, a task having a smaller rate of risk reduction by being executed). Lower priority), and higher priority for tasks that take less time to execute a task (in other words, lower priority for tasks that take longer to execute a task).
- the output unit 18 outputs to the terminal 200 based on the result of the determination by the priority determination unit 15 (step S15). For example, the output unit 18 outputs an alert to the terminal 200 as an output based on the result of the determination, prompting the terminal 200 to execute the task with the highest priority, and the terminal 200 displays the alert or outputs the voice. By doing so, the analyst may be made to execute the task with the highest priority. It should be noted that the priority determination and the output based on the determination result may be performed when a new abnormality is detected, may be performed periodically, or may be performed in combination thereof. ..
- FIG. 6 is a diagram for explaining a specific example of the operation of the priority determination system 10 when the same abnormality occurs in the two moving bodies 100.
- the IVI abnormal communication occurs in the vehicle X of the vehicle type A and the IVI abnormal communication occurs in the vehicle Y of the vehicle type B (steps S101a and S101b).
- the risk value calculation unit 14 determines, for example, "100" as the basic risk value for the abnormality that occurred in the vehicle X of the vehicle type A and the abnormality that occurred in the vehicle Y of the vehicle type B (steps S102a and S102b). Since each abnormality is the same type of abnormality, the basic risk value is also the same.
- the risk value calculation unit 14 calculates the risk value of the abnormality occurring in the vehicle X of the vehicle type A as "120", and calculates the risk value of the abnormality occurring in the vehicle Y of the vehicle type B as "110" ( Steps S103a and S103b). For example, since vehicle type A has a greater influence when an abnormality occurs than vehicle type B, the risk value of abnormality in vehicle X of vehicle type A is higher than the risk value of abnormality in vehicle Y of vehicle type B. Is also getting bigger.
- the priority determination unit 15 sets the priority (importance) for each task to "user notification: 12", “connection cutoff: 4.8", and "permanent patch” for the abnormality that occurred in the vehicle X of the vehicle type A. "Delivery: 0.08" is judged, and for the abnormality that occurred in vehicle Y of vehicle type B, the priority (importance) for each task is "user notification: 11", “connection cutoff: 4.4", “permanent patch”. Delivery: 0.07 ”(steps S104a and S104b). That is, the user notification for the IVI abnormal communication of the vehicle X has the highest priority, and thereafter, the user notification for the IVI abnormal communication of the vehicle Y, the connection cutoff for the IVI abnormal communication of the vehicle X, and so on.
- the output unit 18 outputs the output based on the result of the determination, so that the user is first notified of the IVI abnormal communication of the vehicle X having the highest priority, and then the IVI of the vehicle Y having the second highest priority.
- the user is notified about the abnormal communication (step S105).
- the tasks may be performed in order from the task having the highest priority.
- two anomalies specifically, two anomalies of the same type
- the terminal 200 has many moving objects other than the vehicles X and Y. We are monitoring 100, and various abnormalities other than these abnormalities can occur. Therefore, for each of the many abnormalities, the priority for each task is determined, and the priority is given for many tasks.
- the priority determination system 10 has an abnormality acquisition unit 11 that acquires a plurality of abnormality data indicating each abnormality of the plurality of moving bodies 100, and a plurality of situation data indicating the respective situations of the plurality of moving bodies 100, respectively.
- the risk value calculation unit 14 that calculates the risk value of the abnormality based on the status data of the corresponding moving body 100 for each of the status acquisition unit 12 and the plurality of abnormality data, and the risk value calculation unit 14 that calculates the abnormality risk value, and each of the plurality of abnormality data.
- a priority determination unit 15 for determining the priority for each task for dealing with an abnormality indicated by each of a plurality of abnormality data based on a risk value, and an output unit 18 for outputting based on the determination result are provided. ..
- the priority for each task for dealing with the abnormality is determined based on the risk value, it becomes difficult to ignore the abnormality with a large risk value. Further, even when the same attack is performed on a plurality of moving bodies 100, the risk value differs depending on the situation of the attacked moving body 100, that is, for each task determined based on the risk value. Since the priorities are also different, it becomes easy to determine which task should be executed for which abnormality of the moving body 100. In this way, it is possible to provide the priority determination system 10 capable of further improvement.
- each of the plurality of situation data indicates the type information indicating the type of the moving body 100, the position information indicating the position of the moving body 100, the traffic information of the point corresponding to the position information, and the traveling state of the moving body 100. It may include at least one piece of running state information.
- At least one piece of information such as type information, location information, traffic information and driving condition information that can affect the risk of abnormality can be reflected in the risk value.
- the risk value may be a value obtained by correcting the basic risk value determined according to the type of abnormality by using the situation data of the corresponding mobile body 100.
- the risk value can be easily calculated by correcting the basic risk value that can be easily determined according to the type of abnormality by using the situation data.
- the priority for each task may be determined based on the risk value of each of the plurality of abnormal data and the predetermined index value for each task.
- the priority for each task can be easily determined based on the risk value of each of the plurality of abnormal data and the predetermined index value for each task.
- the predetermined index value for each task may be at least one of the rate at which the risk is reduced by executing each task and the time required for execution for each task.
- the priority determination unit 15 may periodically determine the priority every time a task is executed or every time an abnormality is detected.
- the priority can be automatically determined at these timings.
- the abnormality acquisition unit 11, the situation acquisition unit 12, the situation storage unit 13, and the risk value calculation unit 14 may be arranged on the moving body 100.
- the mobile body 100 in which these components are arranged may acquire the status data from the server that collects the status data of each of the plurality of mobile bodies 100, or each of the plurality of mobile bodies 100 may acquire the status data.
- the situation data of each of the plurality of mobile bodies 100 may be shared.
- the priority determination unit 15 may be arranged on the moving body 100.
- the mobile body 100 in which the priority determination unit 15 is arranged may inquire the server including the task definition storage unit 17 about the task for dealing with the abnormality, the risk value allocation rate, the expected response time, and the like. , Each of the plurality of mobile bodies 100 may share this information.
- the priority for each task is the risk value of each of the plurality of abnormal data and the risk due to the execution of each task.
- An example of determination based on both the rate of reduction and the time required to execute each task has been described, but the present invention is not limited to this.
- the priority for each task is based on the risk value of each of the plurality of abnormal data, the rate at which the risk is reduced by executing the task, and the time required for the execution of each task. It may be determined.
- the priority determination system 10 may process the abnormal data in which the abnormal occurrence locations are close to each other as one abnormal data among the plurality of abnormal data.
- the terminal 200 can perform wired communication or wireless communication with the priority determination system 10, and the priority determination system 10 (output unit 18) gives priority to the terminal 200.
- the priority of each determined task may be provided to an automation tool such as SOAR, and the task may be automatically processed based on the determined priority.
- the function of the priority determination system 10 may be implemented in an automation tool such as SOAR, and the output based on the result of the priority determination may be performed from the automation tool.
- the moving body 100 is not limited to a vehicle, but may be a train, an aircraft (for example, an unmanned aerial vehicle), a ship, or the like.
- the present disclosure can be realized not only as a priority determination system 10 but also as a priority determination method including steps (processes) performed by each component constituting the priority determination system 10.
- the priority determination method acquires a plurality of abnormality data indicating the respective abnormalities of the plurality of moving objects (step S11), and shows the respective situations of the plurality of moving objects, respectively.
- a plurality of status data are acquired (step S12), and for each of the plurality of abnormal data, an abnormality risk value is calculated based on the status data of the corresponding moving object (step S13), and each of the plurality of abnormal data is calculated.
- the priority for each task for dealing with the abnormality indicated by each of the plurality of abnormal data is determined (step S14), the output based on the determination result is output (step S15), and the process is included.
- the steps in the priority determination method may be executed by a computer (computer system).
- the present disclosure can be realized as a program for causing a computer to execute the steps included in the priority determination method.
- the present disclosure can be realized as a non-temporary computer-readable recording medium such as a CD-ROM on which the program is recorded.
- each step is executed by executing the program using hardware resources such as a computer CPU, memory, and input / output circuit. .. That is, each step is executed when the CPU acquires data from the memory or the input / output circuit or the like and performs an operation, or outputs the operation result to the memory or the input / output circuit or the like.
- hardware resources such as a computer CPU, memory, and input / output circuit. .. That is, each step is executed when the CPU acquires data from the memory or the input / output circuit or the like and performs an operation, or outputs the operation result to the memory or the input / output circuit or the like.
- each component included in the priority determination system 10 of the above embodiment may be realized as a dedicated or general-purpose circuit.
- each component included in the priority determination system 10 of the above embodiment may be realized as an LSI (Large Scale Integration) which is an integrated circuit (IC: Integrated Circuit).
- LSI Large Scale Integration
- IC integrated circuit
- the integrated circuit is not limited to the LSI, and may be realized by a dedicated circuit or a general-purpose processor.
- a programmable FPGA (Field Programmable Gate Array) or a reconfigurable processor in which the connection and settings of circuit cells inside the LSI can be reconfigured may be used.
- This disclosure can be applied to, for example, a system for monitoring a vehicle.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Tourism & Hospitality (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- General Health & Medical Sciences (AREA)
- Remote Sensing (AREA)
- Primary Health Care (AREA)
- Health & Medical Sciences (AREA)
- Radar, Positioning & Navigation (AREA)
- Development Economics (AREA)
- Game Theory and Decision Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Alarm Systems (AREA)
- Traffic Control Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
優先度判定システム(10)は、それぞれ、複数の移動体(100)のそれぞれの異常を示す複数の異常データを取得する異常取得部(11)と、それぞれ、複数の移動体(100)のそれぞれの状況を示す複数の状況データを取得する状況取得部(12)と、複数の異常データのそれぞれについて、対応する移動体(100)の状況データに基づいて、異常のリスクを示すリスク値を算出するリスク値算出部(14)と、複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する優先度判定部(15)と、判定の結果に基づく出力をする出力部(18)と、を備える。
Description
本開示は、優先度判定システム、優先度判定方法及びプログラムに関する。
従来、ITシステムにおけるセキュリティインシデント等の異常が発生した場合に、異常の内容を分析したり、異常を管理したりする運用者にアラートを精度良く通知する装置が開示されている(例えば特許文献1)。例えば、特許文献1に開示された装置では、運用者に通知するアラートの優先度を、そのアラートの発生元又は発生頻度に応じて決定することで、決定された優先度に応じて運用者に精度良くアラートを通知することができる。
しかしながら、上記特許文献1に開示された装置では、アラートそのものが持つ異常のリスクを示すリスク値が考慮されないため、リスク値が大きいものが無視される可能性があり、また、複数の対象に対して同じ攻撃が実施された場合、どの対象についてのアラートを優先して対処すればよいかを判断することが難しい。このため、上記特許文献1に開示された装置には、改善の余地がある。
そこで、本開示は、さらなる改善を図ることが可能な優先度判定システム等を提供する。
本開示の一態様に係る優先度判定システムは、それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得する異常取得部と、それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得する状況取得部と、前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出するリスク値算出部と、前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する優先度判定部と、前記判定の結果に基づく出力をする出力部と、を備える。
また、本開示の一態様に係る優先度判定方法は、それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得し、それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得し、前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出し、前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定し、前記判定の結果に基づく出力をする。
また、本開示の一態様に係るプログラムは、上記の優先度判定方法をコンピュータに実行させるためのプログラムである。
本開示の一態様に係る優先度判定システム等は、さらなる改善を図ることができる。
(実施の形態)
[優先度判定システムの構成]
以下、実施の形態における優先度判定システムについて図面を参照しながら説明する。
[優先度判定システムの構成]
以下、実施の形態における優先度判定システムについて図面を参照しながら説明する。
図1は、実施の形態における優先度判定システム10の一例を示す構成図である。なお、図1には、優先度判定システム10と通信可能に接続される複数の移動体100(例えば自動車)及び端末200も示している。
複数の移動体100のそれぞれは、例えば、CAN(Controller Area Network)等の車載ネットワークが搭載された自動車等の車両であり、優先度判定システム10等と無線通信が可能なコネクテッドカーである。例えば、複数の移動体100のそれぞれは、車載ネットワーク又は車載ネットワークに接続されたECU(Electronic Control Unit)等において外部からの攻撃若しくは不正又は故障等の異常が発生したときに、当該異常を示す異常データを優先度判定システム10に送信する。なお、複数の移動体100のそれぞれは、車載ネットワークにおけるログデータを、異常検知を行う異常検知サーバ等に送信し、異常検知サーバ等から優先度判定システム10へ、ログデータに基づいて検知された異常を示す異常データが送信されてもよい。また、複数の移動体100のそれぞれは、自身の状況を示す状況データを優先度判定システム10に送信する。例えば、複数の移動体100のそれぞれは、常時又は特定のタイミング毎に状況データを優先度判定システム10に送信してもよい。
端末200は、複数(例えば数100、数1000等)の移動体100を監視し、異常情報の収集を行い、異常検知時に異常の内容を分析し、SIRT(Security Incident Response Team)等に通知するSOC(Security Operation Center)等の分析者が使用する端末である。例えば、端末200は、SIEM(Security Information and Event Management)等のソフトウェアを利用可能となっている。優先度判定システム10は、SIEM又はSOAR(Security Orchestration Automation and Response)とサーバシステムとして連携することが想定される。後述するように、端末200には優先度判定システム10から異常に対処するためのタスクの優先度の判定の結果に基づく出力がされ、分析者は、数多くの移動体100において発生する異常に対処するための数多くのタスクの中から当該出力に応じて効果的にタスクを実行していくことができる。端末200は、優先度判定システム10と有線通信又は無線通信が可能となっている。
優先度判定システム10は、分析者が実行するタスクの優先度を判定するためのコンピュータであり、例えば、サーバである。優先度判定システム10は、プロセッサ、メモリ及び通信インタフェース等を含む。メモリは、ROM(Read Only Memory)及びRAM(Random Access Memory)等であり、プロセッサにより実行されるプログラムを記憶することができる。優先度判定システム10は、異常取得部11、状況取得部12、状況記憶部13、リスク値算出部14、優先度判定部15、ルール記憶部16、タスク定義記憶部17及び出力部18を備える。異常取得部11、状況取得部12、リスク値算出部14、優先度判定部15及び出力部18は、メモリに格納されたプログラムを実行するプロセッサ等によって実現される。状況記憶部13、ルール記憶部16及びタスク定義記憶部17は、メモリによって実現されるが、プログラムが記憶されるメモリ、状況記憶部13、ルール記憶部16及びタスク定義記憶部17はそれぞれ別のメモリであってもよいし、1つのメモリであってもよい。優先度判定システム10を構成する構成要素は、複数のサーバに分散して配置されていてもよい。
異常取得部11は、複数の異常データを取得する。複数の異常データのそれぞれは、複数の移動体100のそれぞれの異常を示す。例えば、異常取得部11は、優先度判定システム10が備える通信インタフェース等を介して、複数の移動体100(若しくは異常検知サーバ等)から複数の異常データを取得する。
状況取得部12は、複数の状況データを取得する。複数の状況データのそれぞれは、複数の移動体100のそれぞれの状況を示す。例えば、状況取得部12は、優先度判定システム10が備える通信インタフェース等を介して、複数の移動体100、路側機又はサーバ等から複数の状況データを取得する。例えば、複数の状況データのそれぞれは、移動体100の種類を示す種類情報、移動体100の位置を示す位置情報、位置情報に対応する地点の交通情報、及び、移動体100の走行状態を示す走行状態情報の少なくとも1つの情報を含む。例えば、状況取得部12は、移動体100から位置情報及び走行状態情報を取得してもよく、サーバからサーバが管理している種類情報又は異常の発生状況(例えば流行している攻撃等)等を取得してもよく、路側機から移動体100の異常が発生した場所の交通情報を取得してもよい。なお、複数の状況データのそれぞれは、これらの情報に対してさらに他のサーバ等からの情報を組み合わせたものであってもよい。
状況記憶部13は、状況取得部12が取得した複数の状況データを記憶する。例えば、位置情報は、移動体100の時刻毎の位置を示す情報を含み、走行状態情報は、移動体100の時刻毎の走行状態を示す情報を含む。これにより、状況記憶部13に記憶された複数の状況データを参照することで、複数の移動体100のそれぞれがいつどこに位置し、いつどのような走行状態であったかを認識することができる。
リスク値算出部14は、複数の異常データのそれぞれについて、対応する移動体100の状況データに基づいて、異常のリスクを示すリスク値を算出する。リスク値算出部14の詳細については後述する。
優先度判定部15は、複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する。例えば、優先度判定部15は、複数の異常データのそれぞれのリスク値と、タスク毎の所定の指標値、例えば、タスク毎の実行されることでリスクが軽減される割合及びタスク毎の実行に要する時間の少なくとも一方とに基づいてタスク毎の優先度を判定する。具体的には、優先度判定部15は、複数の異常データのそれぞれのリスク値と、タスク毎の所定の指標値として、例えば、タスク毎の実行されることでリスクが軽減される割合と、タスク毎の実行に要する時間とに基づいてタスク毎の優先度を判定する。優先度判定部15の詳細については後述する。なお、タスク毎の所定の指標値としては、他にもタスク毎の負荷を示す値やリスクに対する影響度合いを示す値などであってもよい。例えば、優先度判定部15は、上記判定を、定期的に、タスクが実施される毎に、又は、異常が検知される毎に行う。
ルール記憶部16は、リスク値算出部14がリスク値の算出を行う際に用いるルール及び優先度判定部15が優先度の判定を行う際に用いるルールを記憶する。これらのルールの詳細については後述する。なお、ルール記憶部16に記憶される情報は、端末200等からの指示によって更新されてもよい。
タスク定義記憶部17は、複数の異常データのそれぞれが示す異常と、異常に対処するための1以上のタスクとの対応関係を記憶する。また、タスク定義記憶部17は、各タスクについて、タスクを実行することで軽減されるリスクの割合(リスク値の配分率とも呼ぶ)及びタスクを完了するのに要する予想対応時間を記憶する。これらの詳細については後述する。なお、タスク定義記憶部17に記憶される情報は、端末200等からの指示によって更新されてもよい。
出力部18は、端末200に対して、優先度判定部15での優先度の判定の結果に基づく出力をする。出力部18からの出力の詳細については後述する。
[優先度判定システムの動作]
次に、優先度判定システム10の動作について図2を用いて説明する。
次に、優先度判定システム10の動作について図2を用いて説明する。
図2は、実施の形態における優先度判定システム10の動作の一例を示すフローチャートである。
まず、異常取得部11は、それぞれ、複数の移動体100のそれぞれの異常を示す複数の異常データを取得する(ステップS11)。例えば、端末200で監視する移動体100は数多く存在し、それに伴って異常取得部11は、数多くの異常データを取得することになる。
次に、状況取得部12は、それぞれ、複数の移動体100のそれぞれの状況を示す複数の状況データを取得する(ステップS12)。状況データの具体例について、図3Aを用いて説明する。
図3Aは、状況データの一例を示す図である。
図3Aに示されるように、状況データは、例えば、異常が発生したときの移動体100の走行状態が「走行中」であることを示す走行状態情報を含む。また、状況データは、例えば、異常が発生したときの移動体100の位置が「都市部」であることを示す位置情報を含む。また、状況データは、例えば、移動体の種類が「車種A」であることを示す種類情報を含む。なお、「車種A」は、移動体100が例えば図3Bに示されるような移動体であることを示す。
図3Bは、車種Aの情報の一例を示す図である。
図3Bに示されるように、「車種A」は、市場台数が5000台の車種であり、問題発生時の被害想定額が前期利益未満である車種であり、用途が営業車両の車種であることを示す。
なお、ステップS11での処理とステップS12での処理とは、順序が逆であってもよいし並行して行われてもよい。
次に、リスク値算出部14は、複数の異常データのそれぞれについて、対応する移動体100の状況データに基づいて、異常のリスク値を算出する(ステップS13)。例えば、リスク値算出部14は、複数の異常データのそれぞれについて、まずは基礎リスク値を決定する。基礎リスク値は、異常の種類に応じて算出される値であり、例えば、SIEMによるスコア値又はCTI(Cyber Threat Intelligence)によるスコア値等を用いて決定(例えば算出)することができる。リスク値算出部14によって算出されるリスク値は、例えば、異常の種類に応じて決定される基礎リスク値を、対応する移動体100の状況データを用いて補正した値である。例えば、基礎リスク値が補正されることで得られるリスク値が大きいほど、その異常のリスクは大きくなる。ここで、基礎リスク値を補正するための倍率について図4を用いて説明する。
図4は、基礎リスク値を補正するための倍率の一例を示す図である。
例えば、ルール記憶部16には、図4に示されるように、「市場台数1000台未満」の車種の移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「市場台数1000台以上10000台未満」の車種の移動体100で発生した異常の基礎リスク値を1.2倍に補正するルールが記憶され、「市場台数10000台以上」の車種の移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。「市場台数1000台未満」の車種の移動体100は、市場台数が少なく異常が発生してもその影響力は小さいため、「市場台数1000台未満」の車種の移動体100で発生した異常の基礎リスク値は大きく補正されない。一方で、「市場台数10000台以上」の車種の移動体100は、市場台数が多く異常が発生するとその影響力は大きいため、「市場台数10000台以上」の車種の移動体100で発生した異常の基礎リスク値は大きく補正される。
また、例えば、ルール記憶部16には、図4に示されるように、「被害想定額前期利益未満」の車種の移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「被害想定額前期利益以上」の車種の移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。「被害想定額前期利益未満」の車種の移動体100は、被害想定額が小さいため、「被害想定額前期利益未満」の車種の移動体100で発生した異常の基礎リスク値は大きく補正されない。一方で、「被害想定額前期利益以上」の車種の移動体100は、被害想定額が大きいため、「被害想定額前期利益以上」の車種の移動体100で発生した異常の基礎リスク値は大きく補正される。
なお、補正値(倍率)は、車種に紐づいて記憶されていてもよいし、市場台数又は被害想定額等に紐づいて記憶されていてもよい。補正値が市場台数又は被害想定額等に紐づいて記憶されている場合、中間値として車種と車種毎の市場台数又は被害想定額等が優先度判定システム10において記憶されていてもよいし、優先度判定システム10から外部のシステムに問い合わせて取得されてもよい。
また、例えば、ルール記憶部16には、図4に示されるように、「家庭用車両」である移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「営業車両」である移動体100で発生した異常の基礎リスク値を1.2倍に補正するルールが記憶され、「緊急車両」である移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。「家庭用車両」である移動体100は、頻繁に使用されにくい分、異常が発生しても問題が発生する確率が低くなるため、「家庭用車両」である移動体100で発生した異常の基礎リスク値は大きく補正されない。「営業車両」である移動体100は、頻繁に使用される分、異常が発生すると問題が発生する確率が高くなるため、「営業車両」である移動体100で発生した異常の基礎リスク値は「家庭用車両」よりも大きく補正される。「緊急車両」である移動体100は、社会的重要度が高い車両であるため、「緊急車両」である移動体100で発生した異常の基礎リスク値は大きく補正される。
また、例えば、ルール記憶部16には、図4に示されるように、「田園地帯」に位置する移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「都市部」に位置する移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。田園地帯は、人が少なく交通量も少ないため、「田園地帯」に位置する移動体100で発生した異常の基礎リスク値は大きく補正されない。都市部は、人が多く交通量も多いため、「都市部」に位置する移動体100で発生した異常の基礎リスク値は大きく補正される。
また、例えば、ルール記憶部16には、図4に示されるように、「停止中」の移動体100で発生した異常の基礎リスク値を1.0倍に補正するルールが記憶され、「走行中」の移動体100で発生した異常の基礎リスク値を2.0倍に補正するルールが記憶される。「停止中」の移動体100は、停止しており異常が発生しても危険な状態になりにくいため、「停止中」の移動体100で発生した異常の基礎リスク値は大きく補正されない。「走行中」の移動体100は、走行しており異常が発生した場合危険な状態になりやすいため、「走行中」の移動体100で発生した異常の基礎リスク値は大きく補正される。
例えば、異常が発生した移動体100が、図3Aに示されるように、走行中であり(倍率2.0)、都市部に位置しており(倍率2.0)、車種が車種Aである(すなわち、図3Bに示されるように、市場台数が5000台であり(倍率1.2)、被害想定額が前記利益未満であり(倍率1.0)、営業車両である(倍率1.2))場合、リスク値を以下のように算出することができる。
リスク値=基礎リスク値×2.0×2.0×1.2×1.0×1.2
このように、リスク値算出部14は、複数の異常データのそれぞれについて、対応する移動体100(異常が発生した移動体100)の状況データを用いて基礎リスク値を補正することで異常のリスク値を算出する。
次に、優先度判定部15は、リスク値算出部14によって算出された複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれに対処するためのタスク毎の優先度を判定する(ステップS14)。異常に対処にするためのタスクについて図5を用いて説明する。
図5は、異常に対処するためのタスク、リスク値の配分率及び予想対応時間の一例を示す図である。
例えば、移動体100で発生した異常が、「IVI(In Viecle Infotainment)での不正な通信」である場合、当該異常に対処するためのタスクとして、移動体100のユーザへ異常の発生を通知する「ユーザ通知」、IVIと車載ネットワークとを遮断する「コネクション遮断」、当該異常の詳細に分析する「詳細分析」、及び、当該異常に対する対策がなされたプログラム等を配信する「恒久パッチ配信」が予め定義付けられている(言い換えると、タスク定義記憶部17に異常と当該異常に対処するためのタスクとの対応関係が記憶されている)。また、各タスクには、リスク値の配分率及び予想対応時間が対応付けられている。
「ユーザ通知」を実行することで軽減されるリスクの割合は0.10(10%)となっており、「ユーザ通知」を完了するのに要する予想対応時間は1秒となっている。つまり、1秒かけて「ユーザ通知」を実行することで「IVIでの不正な通信」のリスク値を10%軽減できる。
「コネクション遮断」を実行することで軽減されるリスクの割合は0.40(40%)となっており、「コネクション遮断」を完了するのに要する予想対応時間は10秒となっている。つまり、10秒かけて「コネクション遮断」を実行することで「IVIでの不正な通信」のリスク値を40%軽減できる。
「詳細分析」を実行することで軽減されるリスクの割合は0.10(10%)となっており、「詳細分析」を完了するのに要する予想対応時間は3600秒となっている。つまり、3600秒かけて「詳細分析」を実行することで「IVIでの不正な通信」のリスク値を10%軽減できる。
「恒久パッチ配信」を実行することで軽減されるリスクの割合は0.40(40%)となっており、「恒久パッチ配信」を完了するのに要する予想対応時間は60秒となっている。つまり、60秒かけて「恒久パッチ配信」を実行することで「IVIでの不正な通信」のリスク値を40%軽減できる。
例えば、タスク毎の優先度は、実行されることでリスクが軽減される割合が大きいタスクほど高くなるように判定され、実行に要する時間が短いタスクほど高くなるように判定される。つまり、優先度判定部15は、短い時間で大きくリスクを軽減できるタスクの優先度を高くする。例えば、ルール記憶部16には、以下のような優先度の計算式で表すことができるルールが記憶され、優先度判定部15は、当該計算式にリスク値の配分率と予想対応時間とを代入することでタスク毎の優先度を判定する。なお、以下の式1及び式2において、rvdecはリスク値の軽減量、rvはリスク値、rratioはリスク値の配分率、pはタスクの重要度(重要度が大きいタスクほど優先的に実行されることが望まれることから、pはタスクの優先度ともいえる)、αはチューニング重み、testは予想対応時間である。
なお、上記式では、リスク値の配分率及び予想対応時間が極端に小さい場合や極端に大きい場合に、タスクの優先度が大きく変化してしまうため、優先度の判定には以下の式が用いられてもよい。なお、以下の式3においてαは1以上である。
ただし、例えば、「IVIでの不正な通信」に対処するためのタスクとして「恒久パッチ配信」は、「詳細分析」が完了した後でないと実行することができないタスクである。このため、ルール記憶部16には、「恒久パッチ配信」の優先度が「詳細分析」の優先度よりも高くならないようなルールが記憶される。例えば、タスクによってチューニング重みが調整されることで、特定のタスクの優先度を低くしたり高くしたりすることができる。
例えば、タスク定義記憶部17には、「IVIでの不正な通信」の他にも様々な異常と1以上のタスクとの対応関係が記憶されており、優先度判定部15は、様々な異常について、タスク定義記憶部17を参照することで、タスク毎の優先度を判定することができる。なお、「IVIでの不正な通信」には、複数のタスクが対応付けられているが、タスクが1つのみ対応付けられている異常が存在していてもよい。
このように、優先度判定部15は、リスク値算出部14によって算出されたリスク値に基づいてタスク毎の優先度を判定する。具体的には、優先度判定部15は、実行されることでリスクが軽減される割合が大きいタスクほど優先度を高くし(言い換えると実行されることでリスクが軽減される割合が小さいタスクほど優先度を低くし)、また、タスクの実行に要する時間が短いタスクほど優先度を高くする(言い換えるとタスクの実行に要する時間が長いタスクほど優先度を低くする)。
そして、出力部18は、端末200に対して、優先度判定部15での判定の結果に基づく出力をする(ステップS15)。例えば、出力部18は、判定の結果に基づく出力として優先度の高いタスクから実行していくことを促すアラートを端末200に出力して、端末200は、当該アラートを表示したり音声出力したりすることで、分析者に優先度の高いタスクから実行させてもよい。なお、優先度の判定及び判定の結果に基づく出力は、新たな異常が検知された際に行われてもよいし、定期的に行われてもよいし、それらを組み合わせて行われてもよい。
例えば2つの移動体100について、同じ異常が発生したときの具体例について図6を用いて説明する。
図6は、2つの移動体100について同じ異常が発生したときの、優先度判定システム10の動作の具体例を説明するための図である。
例えば、車種Aの車両XでIVI異常通信が発生し、車種Bの車両YでIVI異常通信が発生したとする(ステップS101a及びS101b)。
リスク値算出部14は、車種Aの車両Xで発生した異常及び車種Bの車両Yで発生した異常について基礎リスク値を例えば「100」と決定する(ステップS102a及びS102b)。各異常は、同じ種類の異常であるため、基礎リスク値も同じ値となっている。
次に、リスク値算出部14は、車種Aの車両Xで発生した異常のリスク値を「120」と算出し、車種Bの車両Yで発生した異常のリスク値を「110」と算出する(ステップS103a及びS103b)。例えば、車種Aの方が車種Bよりも異常が発生したときの影響力が大きいため、車種Aの車両Xでの異常のリスク値の方が、車種Bの車両Yでの異常のリスク値よりも大きくなっている。
次に、優先度判定部15は、車種Aの車両Xで発生した異常について、タスク毎の優先度(重要度)を「ユーザ通知:12」、「コネクション遮断:4.8」、「恒久パッチ配信:0.08」と判定し、車種Bの車両Yで発生した異常について、タスク毎の優先度(重要度)を「ユーザ通知:11」、「コネクション遮断:4.4」、「恒久パッチ配信:0.07」と判定する(ステップS104a及びS104b)。すなわち、車両XのIVI異常通信についてのユーザ通知が最も優先度が高く、以降、車両YのIVI異常通信についてのユーザ通知、車両XのIVI異常通信についてのコネクション遮断、・・・と優先度が低くなっていき、車両YのIVI異常通信についての恒久パッチ配信が最も優先度が低くなっている。車種Aの車両Xで発生した異常と車種Bの車両Yで発生した異常とはそれぞれ同じ「IVI異常通信」であるが、それぞれ状況データ(具体的には車種情報)が異なっており、それに伴ってリスク値も異なるため、車種Aの車両Xで発生した異常に対処するためのタスク毎の優先度と、車種Bの車両Yで発生した異常に対処するためのタスク毎の優先度とに差が生じている。
そして、出力部18は、判定の結果に基づく出力をすることで、まずは最も優先度が高い車両XのIVI異常通信についてユーザ通知を行わせ、次に2番目に優先度が高い車両YのIVI異常通信についてユーザ通知を行わせる(ステップS105)。以降も、図示していないが、優先度の高いタスクから順にタスクを行わせてもよい。なお、ここでは、説明を簡明にするために、2つの異常(具体的には2つの同じ種類の異常)に着目して説明したが、端末200では車両X及びY以外にも数多くの移動体100の監視を行っており、これらの異常以外にも様々な異常が発生し得る。このため、数多くの異常のそれぞれについて、タスク毎の優先度が判定され、数多くのタスクについて優先順位が付けられる。
[効果等]
優先度判定システム10は、それぞれ、複数の移動体100のそれぞれの異常を示す複数の異常データを取得する異常取得部11と、それぞれ、複数の移動体100のそれぞれの状況を示す複数の状況データを取得する状況取得部12と、複数の異常データのそれぞれについて、対応する移動体100の状況データに基づいて、異常のリスク値を算出するリスク値算出部14と、複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する優先度判定部15と、判定の結果に基づく出力をする出力部18と、を備える。
優先度判定システム10は、それぞれ、複数の移動体100のそれぞれの異常を示す複数の異常データを取得する異常取得部11と、それぞれ、複数の移動体100のそれぞれの状況を示す複数の状況データを取得する状況取得部12と、複数の異常データのそれぞれについて、対応する移動体100の状況データに基づいて、異常のリスク値を算出するリスク値算出部14と、複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する優先度判定部15と、判定の結果に基づく出力をする出力部18と、を備える。
これによれば、リスク値に基づいて異常に対処するためのタスク毎の優先度が判定されるため、リスク値が大きい異常が無視されにくくなる。また、複数の移動体100に対して同じ攻撃が実施された場合であっても、攻撃された移動体100の状況によってはリスク値が異なり、すなわち、リスク値に基づいて判定されるタスク毎の優先度も異なってくるため、どの移動体100の異常についてどのタスクを実行すればよいかを判断しやすくなる。このように、さらなる改善を図ることが可能な優先度判定システム10を提供することができる。
また、複数の状況データのそれぞれは、移動体100の種類を示す種類情報、移動体100の位置を示す位置情報、位置情報に対応する地点の交通情報、及び、移動体100の走行状態を示す走行状態情報の少なくとも1つの情報を含んでいてもよい。
これによれば、異常のリスクに影響を与え得る種類情報、位置情報、交通情報及び走行状態情報の少なくとも1つの情報をリスク値に反映することができる。
また、リスク値は、異常の種類に応じて決定される基礎リスク値を、対応する移動体100の状況データを用いて補正した値であってもよい。
これによれば、異常の種類に応じて容易に決定できる基礎リスク値を、状況データを用いて補正することで、リスク値を容易に算出することができる。
また、タスク毎の優先度は、複数の異常データのそれぞれのリスク値と、タスク毎の所定の指標値とに基づいて判定されてもよい。
これによれば、複数の異常データのそれぞれのリスク値と、タスク毎の所定の指標値とに基づいてタスク毎の優先度を容易に判定することができる。
また、タスク毎の所定の指標値は、タスク毎の実行されることでリスクが軽減される割合及びタスク毎の実行に要する時間の少なくとも一方であってもよい。
これによれば、実行されることでリスクが軽減される割合が大きいタスクの優先度を高くすることができ、また、実行に要する時間が短いタスクの優先度を高くすることができる。
また、優先度判定部15は、優先度の判定を、定期的に、タスクが実施される毎に、又は、異常が検知される毎に行ってもよい。
これによれば、これらのタイミングで、優先度の判定を自動的に行うことができる。
(その他の実施の形態)
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。
以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。
例えば、上記実施の形態では、優先度判定システム10を構成する構成要素がサーバに配置される例について説明したが、これに限らない。例えば、異常取得部11、状況取得部12、状況記憶部13及びリスク値算出部14は、移動体100に配置されていてもよい。この場合、これらの構成要素が配置された移動体100は、複数の移動体100のそれぞれの状況データを取りまとめているサーバから状況データを取得してもよいし、複数の移動体100のそれぞれが複数の移動体100のそれぞれの状況データを共有していてもよい。また、優先度判定部15は、移動体100に配置されていてもよい。例えば、アラートを構成する情報に、判定されたタスクの優先度(タスクの重要度)が追加されて、優先度判定部15が配置された移動体100からサーバ等に当該アラートが通知されてもよい。また、優先度判定部15が配置された移動体100は、タスク定義記憶部17を備えるサーバに、異常に対処するためのタスク、リスク値の配分率及び予想対応時間等を問い合わせてもよいし、複数の移動体100のそれぞれがこれらの情報を共有していてもよい。
また、例えば、上記実施の形態では、タスク毎の優先度は、上記式1~式3に示されるように、複数の異常データのそれぞれのリスク値と、タスク毎の実行されることでリスクが軽減される割合及びタスク毎の実行に要する時間の両方とに基づいて判定される例について説明したが、これに限らない。例えば、タスク毎の優先度は、複数の異常データのそれぞれのリスク値と、タスク毎の実行されることでリスクが軽減される割合及びタスク毎の実行に要する時間のいずれか一方とに基づいて判定されてもよい。
また、例えば、優先度判定システム10は、複数の異常データのうち異常の発生場所が近い異常データを1つの異常データとして処理してもよい。
また、例えば、上記実施の形態では、端末200は、優先度判定システム10と有線通信又は無線通信が可能となっており、優先度判定システム10(出力部18)が端末200に対して、優先度の判定の結果に基づく出力をする例について説明したが、これに限らない。例えば、判定されたタスク毎の優先度がSOAR等の自動化ツールに提供され、判定された優先度に基づいて自動でタスクが処理されてもよい。
また、例えば、優先度判定システム10が有する機能は、SOAR等の自動化ツールに実装されてもよく、優先度の判定の結果に基づく出力が自動化ツールから行われてもよい。
また、例えば、移動体100は、車両に限らず、列車、航空機(例えば無人航空機)又は船舶等であってもよい。
なお、本開示は、優先度判定システム10として実現できるだけでなく、優先度判定システム10を構成する各構成要素が行うステップ(処理)を含む優先度判定方法として実現できる。
優先度判定方法は、図2に示されるように、それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得し(ステップS11)、それぞれ、複数の移動体のそれぞれの状況を示す複数の状況データを取得し(ステップS12)、複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスク値を算出し(ステップS13)、複数の異常データのそれぞれのリスク値に基づいて、複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定し(ステップS14)、判定の結果に基づく出力をする(ステップS15)、処理を含む。
例えば、優先度判定方法におけるステップは、コンピュータ(コンピュータシステム)によって実行されてもよい。そして、本開示は、優先度判定方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。
さらに、本開示は、そのプログラムを記録したCD-ROM等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。
例えば、本開示が、プログラム(ソフトウェア)で実現される場合には、コンピュータのCPU、メモリ及び入出力回路等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、CPUがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。
また、上記実施の形態の優先度判定システム10に含まれる各構成要素は、専用又は汎用の回路として実現されてもよい。
また、上記実施の形態の優先度判定システム10に含まれる各構成要素は、集積回路(IC:Integrated Circuit)であるLSI(Large Scale Integration)として実現されてもよい。
また、集積回路はLSIに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なFPGA(Field Programmable Gate Array)、又は、LSI内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。
さらに、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、優先度判定システム10に含まれる各構成要素の集積回路化が行われてもよい。
その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。
本開示は、例えば車両を監視するシステムに適用できる。
10 優先度判定システム
11 異常取得部
12 状況取得部
13 状況記憶部
14 リスク値算出部
15 優先度判定部
16 ルール記憶部
17 タスク定義記憶部
18 出力部
100 移動体
200 端末
11 異常取得部
12 状況取得部
13 状況記憶部
14 リスク値算出部
15 優先度判定部
16 ルール記憶部
17 タスク定義記憶部
18 出力部
100 移動体
200 端末
Claims (8)
- それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得する異常取得部と、
それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得する状況取得部と、
前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出するリスク値算出部と、
前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定する優先度判定部と、
前記判定の結果に基づく出力をする出力部と、を備える
優先度判定システム。 - 前記複数の状況データのそれぞれは、移動体の種類を示す種類情報、移動体の位置を示す位置情報、前記位置情報に対応する地点の交通情報、及び、移動体の走行状態を示す走行状態情報の少なくとも1つの情報を含む
請求項1に記載の優先度判定システム。 - 前記リスク値は、異常の種類に応じて決定される基礎リスク値を、対応する移動体の状況データを用いて補正した値である
請求項1又は2に記載の優先度判定システム。 - 前記タスク毎の優先度は、前記複数の異常データのそれぞれの前記リスク値と、前記タスク毎の所定の指標値とに基づいて判定される
請求項1~3のいずれか1項に記載の優先度判定システム。 - 前記タスク毎の所定の指標値は、前記タスク毎の実行されることでリスクが軽減される割合及び前記タスク毎の実行に要する時間の少なくとも一方である
請求項4に記載の優先度判定システム。 - 前記優先度判定部は、前記判定を、定期的に、タスクが実施される毎に、又は、異常が検知される毎に行う
請求項1~5のいずれか1項に記載の優先度判定システム。 - それぞれ、複数の移動体のそれぞれの異常を示す複数の異常データを取得し、
それぞれ、前記複数の移動体のそれぞれの状況を示す複数の状況データを取得し、
前記複数の異常データのそれぞれについて、対応する移動体の状況データに基づいて、異常のリスクを示すリスク値を算出し、
前記複数の異常データのそれぞれの前記リスク値に基づいて、前記複数の異常データのそれぞれが示す異常に対処するためのタスク毎の優先度を判定し、
前記判定の結果に基づく出力をする
優先度判定方法。 - 請求項7に記載の優先度判定方法をコンピュータに実行させるためのプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE112021001648.2T DE112021001648T5 (de) | 2020-03-17 | 2021-01-08 | Prioritätsbestimmungssystem, Prioritätsbestimmungsverfahren und Programm |
US17/900,283 US11748157B2 (en) | 2020-03-17 | 2022-08-31 | Priority determination system, priority determination method, and recording medium |
US18/220,532 US20230350714A1 (en) | 2020-03-17 | 2023-07-11 | Priority determination system, priority determination method, and recording medium |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020-046280 | 2020-03-17 | ||
JP2020046280A JP7262000B2 (ja) | 2020-03-17 | 2020-03-17 | 優先度判定システム、優先度判定方法及びプログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
US17/900,283 Continuation US11748157B2 (en) | 2020-03-17 | 2022-08-31 | Priority determination system, priority determination method, and recording medium |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2021186857A1 true WO2021186857A1 (ja) | 2021-09-23 |
Family
ID=77770809
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2021/000425 WO2021186857A1 (ja) | 2020-03-17 | 2021-01-08 | 優先度判定システム、優先度判定方法及びプログラム |
Country Status (4)
Country | Link |
---|---|
US (2) | US11748157B2 (ja) |
JP (1) | JP7262000B2 (ja) |
DE (1) | DE112021001648T5 (ja) |
WO (1) | WO2021186857A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102463732B1 (ko) * | 2022-01-03 | 2022-11-04 | 주식회사 브이웨이 | 머신 러닝 기반의 고장 형태 영향 분석 시스템 |
JP2024063876A (ja) * | 2022-10-27 | 2024-05-14 | パナソニックオートモーティブシステムズ株式会社 | 優先度判定システム、優先度判定方法及びプログラム |
US11956188B1 (en) * | 2022-12-13 | 2024-04-09 | Infineon Technologies Ag | Security aware routing in an in-vehicle communication network |
WO2024135506A1 (ja) * | 2022-12-19 | 2024-06-27 | パナソニックオートモーティブシステムズ株式会社 | 情報通知方法及び情報通知装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005267505A (ja) * | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | 交通管理システム |
JP2013003896A (ja) * | 2011-06-17 | 2013-01-07 | Nec Corp | 情報提供装置、情報提供方法およびプログラム |
KR20150052431A (ko) * | 2013-11-05 | 2015-05-14 | 현대자동차주식회사 | 사고 자동차의 긴급도 통지 시스템과 그 방법 |
JP2020102159A (ja) * | 2018-12-25 | 2020-07-02 | トヨタ自動車株式会社 | 車両制御装置及び車両制御方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030229509A1 (en) * | 2002-04-12 | 2003-12-11 | William Hall | Risk management system |
JP2009151648A (ja) | 2007-12-21 | 2009-07-09 | Mitsubishi Fuso Truck & Bus Corp | 車両用警報装置 |
US20120143650A1 (en) * | 2010-12-06 | 2012-06-07 | Thomas Crowley | Method and system of assessing and managing risk associated with compromised network assets |
EP2610776B1 (en) * | 2011-09-16 | 2019-08-21 | Veracode, Inc. | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security |
JP6298004B2 (ja) | 2015-03-31 | 2018-03-20 | 株式会社日立製作所 | セキュリティ対策支援装置およびセキュリティ対策支援方法 |
GB2566657B8 (en) * | 2016-06-30 | 2022-04-13 | Sophos Ltd | Proactive network security using a health heartbeat |
US10873596B1 (en) * | 2016-07-31 | 2020-12-22 | Swimlane, Inc. | Cybersecurity alert, assessment, and remediation engine |
US10880322B1 (en) * | 2016-09-26 | 2020-12-29 | Agari Data, Inc. | Automated tracking of interaction with a resource of a message |
JP6521486B2 (ja) * | 2017-06-06 | 2019-05-29 | マツダ株式会社 | 車両制御装置 |
JP7081953B2 (ja) | 2018-03-28 | 2022-06-07 | 株式会社日立システムズ | アラート通知装置およびアラート通知方法 |
US11457024B2 (en) * | 2018-08-03 | 2022-09-27 | Citrix Systems, Inc. | Systems and methods for monitoring security of an organization based on a normalized risk score |
US11677773B2 (en) * | 2018-11-19 | 2023-06-13 | Bmc Software, Inc. | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring |
US11410061B2 (en) * | 2019-07-02 | 2022-08-09 | Servicenow, Inc. | Dynamic anomaly reporting |
WO2021009531A1 (ja) * | 2019-07-12 | 2021-01-21 | 日産自動車株式会社 | 情報処理装置、情報処理方法、及びプログラム |
-
2020
- 2020-03-17 JP JP2020046280A patent/JP7262000B2/ja active Active
-
2021
- 2021-01-08 WO PCT/JP2021/000425 patent/WO2021186857A1/ja active Application Filing
- 2021-01-08 DE DE112021001648.2T patent/DE112021001648T5/de active Pending
-
2022
- 2022-08-31 US US17/900,283 patent/US11748157B2/en active Active
-
2023
- 2023-07-11 US US18/220,532 patent/US20230350714A1/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005267505A (ja) * | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | 交通管理システム |
JP2013003896A (ja) * | 2011-06-17 | 2013-01-07 | Nec Corp | 情報提供装置、情報提供方法およびプログラム |
KR20150052431A (ko) * | 2013-11-05 | 2015-05-14 | 현대자동차주식회사 | 사고 자동차의 긴급도 통지 시스템과 그 방법 |
JP2020102159A (ja) * | 2018-12-25 | 2020-07-02 | トヨタ自動車株式会社 | 車両制御装置及び車両制御方法 |
Also Published As
Publication number | Publication date |
---|---|
DE112021001648T5 (de) | 2023-03-23 |
US11748157B2 (en) | 2023-09-05 |
JP2021149260A (ja) | 2021-09-27 |
US20230350714A1 (en) | 2023-11-02 |
US20220413907A1 (en) | 2022-12-29 |
JP7262000B2 (ja) | 2023-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021186857A1 (ja) | 優先度判定システム、優先度判定方法及びプログラム | |
US11363045B2 (en) | Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method | |
US20220084328A1 (en) | Vehicle monitoring apparatus, fraud detection server, and control methods | |
US12028353B2 (en) | Threat analysis apparatus, threat analysis method, and recording medium | |
CN113033860A (zh) | 一种汽车故障预测方法、装置、电子设备及存储介质 | |
US20230205181A1 (en) | Control mode switching apparatus and control mode switching method | |
CN113129596A (zh) | 行驶数据处理方法、装置、设备、存储介质及程序产品 | |
CN111897304B (zh) | 用于机器系统中实时诊断和故障监视的方法、设备和系统 | |
CN112600839A (zh) | 基于车联网平台构建安全威胁关联视图的方法及装置 | |
EP3989060A2 (en) | Methods for prioritizing updates for vehicle fleets | |
CN117707112B (zh) | 一种故障诊断方法、系统、设备及存储介质 | |
US20220276931A1 (en) | Inhibiting recommendation of driver installations for drivers that are likely to cause a system failure | |
Trifonov et al. | Enabling technologies for safety critical communications | |
WO2024089935A1 (ja) | 優先度判定システム、優先度判定方法及びプログラム | |
CN115497289A (zh) | 车辆监控处理方法以及装置 | |
CN113386797A (zh) | 用于控制自动驾驶车辆的方法、装置、设备、介质和产品 | |
US20240056422A1 (en) | Information processing device, program, and information processing method | |
CN118247640B (zh) | 基于人脸识别设备的端侧算力协同控制方法及装置 | |
EP4350551A1 (en) | Integrity verification device and integrity verification method | |
US20240152608A1 (en) | Method for supporting decision-making in security control environment based on artificial intelligence | |
WO2024135506A1 (ja) | 情報通知方法及び情報通知装置 | |
US20240045728A1 (en) | Method for processing sensor data | |
CN105024968B (zh) | 一种网络安全测量方法、装置及系统 | |
CN118672237A (zh) | 故障分析方法、系统、存储介质、电子设备及程序产品 | |
CN115866603A (zh) | 一种车辆安全防御方法、装置、电子设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21770558 Country of ref document: EP Kind code of ref document: A1 |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 21770558 Country of ref document: EP Kind code of ref document: A1 |