WO2021235105A1 - 検知装置、車両、検知方法および検知プログラム - Google Patents

Abstract

検知装置は、車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部と、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶する記憶部と、前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部とを備える。

Description

検知装置、車両、検知方法および検知プログラム

　本開示は、検知装置、車両、検知方法および検知プログラムに関する。
　この出願は、２０２０年５月１８日に出願された日本出願特願２０２０－８６５２０号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。

　特許文献１（特開２０１９－２９９６１号公報）には、以下のような検知装置が開示されている。すなわち、検知装置は、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部と、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶する記憶部と、前記データ取得部によって取得された前記組、および前記検出条件に基づいて前記不正メッセージを検知する検知部とを備える。

特開２０１９－２９９６１号公報

　本開示の検知装置は、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部と、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶する記憶部と、前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部とを備える。

　本開示の検知方法は、車両に搭載される車載ネットワークにおける不正メッセージを検知し、記憶部を備える検知装置における検知方法であって、前記車載ネットワークにおける１または複数の送信メッセージを取得するステップと、取得した前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するステップとを含み、前記記憶部は、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶し、前記検知方法は、さらに、取得した前記組、および前記検出条件に基づいて、前記組における監視対象の前記種類の前記データの推定誤差を算出するステップと、算出した前記推定誤差と、過去に算出した前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断するステップとを含む。

　本開示の検知プログラムは、車両に搭載される車載ネットワークにおける不正メッセージを検知し、記憶部を備える検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部、として機能させるためのプログラムであり、前記記憶部は、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶し、さらに、コンピュータを、前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部、として機能させるためのプログラムである。

　本開示の一態様は、このような特徴的な処理部を備える検知装置として実現することができるだけでなく、検知装置を備える車載通信システムとして実現することができる。また、本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現することができる。

図１は、本開示の第１の実施の形態に係る車載通信システムの構成を示す図である。 図２は、本開示の第１の実施の形態に係るバス接続装置群の構成を示す図である。 図３は、本開示の第１の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。 図４は、本開示の第１の実施の形態に係るゲートウェイ装置が用いる通常モデルの作成過程を説明するための図である。 図５は、本開示の第１の実施の形態に係るゲートウェイ装置において行われる同期処理のタイミングを説明するための図である。 図６は、本開示の第１の実施の形態に係るゲートウェイ装置において行われる同期処理のタイミングを説明するための図である。 図７は、本開示の第１の実施の形態に係る通常モデルの学習フェーズにおける作成処理を説明するための図である。 図８は、本開示の第１の実施の形態に係る通常モデルのテストフェーズにおける検証処理を説明するための図である。 図９は、本開示の第１の実施の形態に係る通常モデルを用いた不正メッセージの検知処理を説明するための図である。 図１０は、本開示の第１の実施の形態に係る通常モデルの変形例についての学習フェーズにおける作成処理を説明するための図である。 図１１は、本開示の第１の実施の形態に係る通常モデルの変形例を用いた不正メッセージの検知処理を説明するための図である。 図１２は、本開示の第１の実施の形態に係るゲートウェイ装置が送信メッセージを受信する際の動作手順を定めたフローチャートである。 図１３は、本開示の第１の実施の形態に係るゲートウェイ装置が、受信した送信メッセージを記憶部に保存した際の動作手順を定めたフローチャートである。 図１４は、本開示の第２の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。 図１５は、本開示の第２の実施の形態に係る車載通信システムにおける監視対象の周期メッセージの送信間隔の時間変化の一例を示す図である。 図１６は、本開示の第２の実施の形態に係る車載通信システムにおける対象メッセージの送信間隔の度数分布の一例を示す図である。 図１７は、本開示の第２の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。 図１８は、本開示の第２の実施の形態に係るゲートウェイ装置が対象メッセージを受信する際の動作手順を定めたフローチャートである。 図１９は、本開示の第２の実施の形態に係るゲートウェイ装置が判断処理を行う際の動作手順を定めたフローチャートである。

　従来、車載ネットワークにおける不正メッセージを検知する検知装置が開発されている。

　［本開示が解決しようとする課題］
　特許文献１に記載の技術を超えて、車載ネットワークにおける不正メッセージをより正しく検知することが可能な技術が望まれる。

　この発明は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける不正メッセージをより正しく検知することが可能な検知装置、車両、検知方法および検知プログラムを提供することである。

　［本開示の効果］
　本開示によれば、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　［本開示の実施形態の説明］
　最初に、本開示の実施形態の内容を列記して説明する。

　（１）本開示の実施の形態に係る検知装置は、車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部と、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶する記憶部と、前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部とを備える。

　このように、複数種類のデータの組における監視対象の種類のデータの推定誤差を算出し、算出した推定誤差と、過去に算出した推定誤差とに基づいて、当該データに対応する送信メッセージが不正メッセージであるか否かを判断する構成により、たとえば現在の推定誤差の正当性に基づいて送信メッセージが不正メッセージであるか否かを判断する従来技術の構成と比べて、データの突発的な変化が判断結果に与える影響を抑制することができるため、検知性能を向上させることができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（２）好ましくは、前記算出部は、算出した前記推定誤差、および前記検出条件を用いて作成された前記推定誤差の分布に基づいて、前記監視対象の前記種類の前記データの正当性に関する評価値を算出し、前記判断部は、前記算出部により算出された前記評価値と、前記算出部により過去に算出された前記評価値とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する。

　このような構成により、現在の評価値と過去の評価値とに基づいて、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（３）好ましくは、前記判断部は、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記推定誤差の移動平均を算出し、算出した前記移動平均に基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する。

　このような構成により、現在の推定誤差と過去の推定誤差とに基づく移動平均に基づいて、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（４）好ましくは、前記検出条件は、所定の相関関係を有する複数種類のデータの前記組に基づいて作成されている。

　このように、データ間においてある程度の関係が存在する複数種類のデータの組に基づいて検出条件が作成される構成により、組におけるあるデータから当該組における他のデータがとり得る値の範囲をより狭めることが可能な検出条件を作成することができる。これにより、当該他のデータの正当性をより正しく判断することができる。すなわち、適切な検出条件を作成することができる。

　（５）より好ましくは、前記算出部は、算出した前記推定誤差、および前記検出条件を用いて作成された前記推定誤差の分布に基づいて、前記監視対象の前記種類の前記データの正当性に関する評価値を算出し、前記判断部は、前記算出部により算出された前記評価値と、前記算出部により過去に算出された前記評価値とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する。

　このような構成により、たとえば、攻撃者が、監視対象の種類のデータおよび複数種類の相関データのうちの一部のデータを改変した場合においても、改変したデータと残りのデータとの関係に基づいて、上記組のデータの異常を判断することができる。すなわち、攻撃者は、不正侵入するためには、監視対象の種類のデータおよび複数種類の相関データの全部を改変しなければならないので、車載ネットワークに対する不正侵入を困難にすることができる。これにより、車載ネットワークにおけるセキュリティを向上させることができる。

　（６）より好ましくは、前記監視対象の前記種類の前記データと前記相関関係を有する前記データである相関データが複数種類ある場合、前記監視対象の前記種類の前記データと前記複数種類の前記相関データとに基づいて複数の前記検出条件がそれぞれ作成されている。

　このような構成により、車載ネットワークに対する不正侵入を困難にするとともに、検出条件の算出における計算負荷を軽減することができる。

　（７）好ましくは、前記データは、状態を表すステータスデータである。

　このような構成により、たとえば、監視対象の種類のステータスデータが、ギアのシフトポジションまたはシートベルトの状態のように不連続に変化する値である場合において、監視対象の種類のステータスデータに対応する送信メッセージが不正メッセージであるか否かをより正しく判断することができる。

　（８）好ましくは、前記データ取得部は、異なる前記送信メッセージにそれぞれ含まれる前記複数種類のデータの組を取得する。

　受信時刻、送信時刻または作成時刻等が異なる複数種類のデータは、異なる送信メッセージにそれぞれ含まれることが多い。上記のような構成により、時刻によって検知対象のデータの種類が制限されることを防ぐことができる。

　（９）より好ましくは、前記メッセージ取得部は、取得した複数の前記送信メッセージを記憶部に保存し、前記データ取得部は、前記記憶部に保存された各前記送信メッセージから前記組を取得する。

　このような構成により、たとえば、記憶部に保存された複数の送信メッセージにおけるデータをリサンプリングすることができるので、複数種類のデータの時刻を合わせることができる。これにより、同じ時刻に対応する複数種類のデータの組を容易に取得することができる。

　（１０）好ましくは、前記検知装置は、さらに、前記車載ネットワークにおける前記送信メッセージを監視する監視部と、前記送信メッセージの送信間隔の分布を取得する分布取得部とを備え、前記判断部は、前記監視部による監視結果および前記分布取得部によって取得された前記分布に基づいて不正メッセージを検知し、前記算出部は、前記判断部により前記分布に基づいて前記不正メッセージとすべきでないと判断された前記送信メッセージについては、前記送信メッセージに格納された前記データの前記推定誤差を算出し、前記判断部は、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記分布に基づいて不正メッセージとすべきでないと判断した前記送信メッセージが不正メッセージであるか否か、を判断する。

　送信間隔を精度よく偽装した送信メッセージは、上記監視結果および上記分布に基づいて不正メッセージとして検知することが困難である。上記のような構成により、当該送信メッセージを、上記組および検出条件に基づいて不正メッセージとして検知することができるので、車載ネットワークにおけるセキュリティを向上させることができる。

　（１１）本開示の実施の形態に係る車両は、前記検知装置を備える。

　このような構成により、検知装置を備える車両において、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（１２）本開示の実施の形態に係る検知方法は、車両に搭載される車載ネットワークにおける不正メッセージを検知し、記憶部を備える検知装置における検知方法であって、前記車載ネットワークにおける１または複数の送信メッセージを取得するステップと、取得した前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するステップとを含み、前記記憶部は、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶し、前記検知方法は、さらに、取得した前記組、および前記検出条件に基づいて、前記組における監視対象の前記種類の前記データの推定誤差を算出するステップと、算出した前記推定誤差と、過去に算出した前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断するステップとを含む。

　このように、複数種類のデータの組における監視対象の種類のデータの推定誤差を算出し、算出した推定誤差と、過去に算出した推定誤差とに基づいて、当該データに対応する送信メッセージが不正メッセージであるか否かを判断する方法により、たとえば現在の推定誤差の正当性に基づいて送信メッセージが不正メッセージであるか否かを判断する従来技術の構成と比べて、データの突発的な変化が判断結果に与える影響を抑制することができるため、検知性能を向上させることができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　（１３）本開示の実施の形態に係る検知プログラムは、車両に搭載される車載ネットワークにおける不正メッセージを検知し、記憶部を備える検知装置において用いられる検知プログラムであって、コンピュータを、前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部、として機能させるためのプログラムであり、前記記憶部は、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶し、さらに、コンピュータを、前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部、として機能させるためのプログラムである。

　このように、複数種類のデータの組における監視対象の種類のデータの推定誤差を算出し、算出した推定誤差と、過去に算出した推定誤差とに基づいて、当該データに対応する送信メッセージが不正メッセージであるか否かを判断する構成により、たとえば現在の推定誤差の正当性に基づいて送信メッセージが不正メッセージであるか否かを判断する従来技術の構成と比べて、データの突発的な変化が判断結果に与える影響を抑制することができるため、検知性能を向上させることができる。したがって、車載ネットワークにおける不正メッセージをより正しく検知することができる。

　以下、本開示の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。

　＜第１の実施の形態＞
　［構成および基本動作］
　図１は、本開示の第１の実施の形態に係る車載通信システムの構成を示す図である。

　図１を参照して、車載通信システム３０１は、ゲートウェイ装置１０１と、複数の車載通信機１１１と、複数のバス接続装置群１２１とを備える。

　図２は、本開示の第１の実施の形態に係るバス接続装置群の構成を示す図である。

　図２を参照して、バス接続装置群１２１は、複数の制御装置１２２を含む。なお、バス接続装置群１２１は、複数の制御装置１２２を備える構成に限らず、１つの制御装置１２２を含む構成であってもよい。

　車載通信システム３０１は、道路を走行する車両１に搭載される。車載ネットワーク１２は、車両１の内部における装置である車載装置を複数含む。具体的には、車載ネットワーク１２は、車載装置の一例である、複数の車載通信機１１１および複数の制御装置１２２を含む。

　なお、車載ネットワーク１２は、複数の車載装置を含む構成であれば、複数の車載通信機１１１を含みかつ制御装置１２２を含まない構成であってもよいし、車載通信機１１１を含まずかつ複数の制御装置１２２を含む構成であってもよいし、１つの車載通信機１１１および１つの制御装置１２２を含む構成であってもよい。

　車載ネットワーク１２において、車載通信機１１１は、たとえば、車両１の外部における装置と通信する。具体的には、車載通信機１１１は、たとえば、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｕｎｉｔ）、近距離無線端末装置、およびＩＴＳ（Ｉｎｔｅｌｌｉｇｅｎｔ　Ｔｒａｎｓｐｏｒｔ　Ｓｙｓｔｅｍｓ）無線機である。

　ＴＣＵは、たとえば、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）または３Ｇ等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＴＣＵは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびＦＯＴＡ（Ｆｉｒｍｗａｒｅ　Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）等のサービスに用いる情報を中継する。

　近距離無線端末装置は、たとえば、Ｗｉ－Ｆｉ（登録商標）およびＢｌｕｅｔｏｏｔｈ（登録商標）等の通信規格に従って、車両１に乗車している人間すなわち搭乗者の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。

　また、近距離無線端末装置は、たとえば、所定の通信規格に従って、搭乗者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とＬＦ（Ｌｏｗ　Ｆｒｅｑｕｅｎｃｙ）帯またはＵＨＦ（Ｕｌｔｒａ　Ｈｉｇｈ　Ｆｒｅｑｕｅｎｃｙ）帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびＴＰＭＳ（Ｔｉｒｅ　Ｐｒｅｓｓｕｒｅ　Ｍｏｎｉｔｏｒｉｎｇ　Ｓｙｓｔｅｍ）等のサービスに用いる情報を中継する。

　ＩＴＳ無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびＩＴＳスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置１０１と通信を行うことが可能である。ＩＴＳ無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。

　ゲートウェイ装置１０１は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置１０１により蓄積されたデータ等を車両１の外部における整備用端末装置とポート１１２を介して送受信することが可能である。

　ゲートウェイ装置１０１は、たとえば伝送線１３，１４を介して車載装置と接続する。具体的には、伝送線１３，１４は、たとえば、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）（登録商標）、ＦｌｅｘＲａｙ（登録商標）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）（登録商標）、イーサネット（登録商標）、およびＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）等の規格に従う伝送線である。

　この例では、車載通信機１１１は、イーサネットの規格に従う対応の伝送線１４を介してゲートウェイ装置１０１と接続されている。また、バス接続装置群１２１における各制御装置１２２は、ＣＡＮの規格に従う対応の伝送線１３を介してゲートウェイ装置１０１と接続されている。制御装置１２２は、たとえば、車両１における機能部を制御可能である。

　伝送線１３は、たとえば系統別に設けられる。具体的には、伝送線１３は、たとえば、駆動系バス、シャーシ／安全系バス、ボディ／電装系バスおよびＡＶ／情報系バスである。

　駆動系バスには、制御装置１２２の一例であるエンジン制御装置、ＡＴ（Ａｕｔｏｍａｔｉｃ　Ｔｒａｎｓｍｉｓｓｉｏｎ）制御装置およびＨＥＶ（Ｈｙｂｒｉｄ　Ｅｌｅｃｔｒｉｃ　Ｖｅｈｉｃｌｅ）制御装置が接続されている。エンジン制御装置、ＡＴ制御装置およびＨＥＶ制御装置は、エンジン、ＡＴ、およびエンジンとモータとの切替をそれぞれ制御する。

　シャーシ／安全系バスには、制御装置１２２の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。

　ボディ／電装系バスには、制御装置１２２の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。

　ＡＶ／情報系バスには、制御装置１２２の一例であるナビゲーション制御装置、オーディオ制御装置、ＥＴＣ（Ｅｌｅｃｔｒｏｎｉｃ　Ｔｏｌｌ　Ｃｏｌｌｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）（登録商標）制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ＥＴＣ制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ＥＴＣ装置および携帯電話をそれぞれ制御する。

　また、伝送線１３には、制御装置１２２が接続される構成に限らず、制御装置１２２以外の装置、たとえばセンサが接続されてもよい。

　ゲートウェイ装置１０１は、たとえば、セントラルゲートウェイ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ：ＣＧＷ）であり、車載装置と通信を行うことが可能である。

　ゲートウェイ装置１０１は、たとえば、車両１において異なる伝送線１３に接続された制御装置１２２間でやり取りされる情報、各車載通信機１１１間でやり取りされる情報、制御装置１２２および車載通信機１１１間でやり取りされる情報を中継する中継処理を行う。

　より詳細には、車両１では、たとえば、所定の取り決めに従って、ある車載装置から他の車載装置へ周期的にメッセージが送信される。この例では、ある制御装置１２２から他の制御装置１２２へ周期的に送信されるメッセージについて説明するが、制御装置１２２および車載通信機１１１間において送信されるメッセージ、ならびに各車載通信機１１１間において送信されるメッセージについても同様である。

　メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよい。以下、周期的に送信されるメッセージを周期メッセージとも称する。

　また、車両１では、周期メッセージの他に、ある制御装置１２２から他の制御装置１２２へ不定期に送信されるメッセージが存在する。メッセージには、メッセージの内容および送信元等を識別するためのＩＤが含まれる。メッセージが周期メッセージであるか否かをＩＤによって識別することが可能である。

　［ゲートウェイ装置］
　図３は、本開示の第１の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。

　図３を参照して、ゲートウェイ装置１０１は、通信処理部５１と、記憶部５２と、データ取得部５３と、検知部５４と、メッセージ取得部５５とを備える。通信処理部５１、データ取得部５３、検知部５４およびメッセージ取得部５５は、たとえば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）およびＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等のプロセッサにより実現される。記憶部５２は、たとえば不揮発性メモリである。検知部５４は、算出部の一例であり、かつ判断部の一例である。

　ゲートウェイ装置１０１は、検知装置として機能し、車両１に搭載される車載ネットワーク１２における不正メッセージを検知する。

　詳細には、ゲートウェイ装置１０１における通信処理部５１は、中継処理を行う。より詳細には、通信処理部５１は、ある制御装置１２２から対応の伝送線１３経由でメッセージを受信すると、受信したメッセージを他の制御装置１２２へ対応の伝送線１３経由で送信する。

　［メッセージ取得部］
　メッセージ取得部５５は、車載ネットワーク１２における複数の送信メッセージを取得する。メッセージ取得部５５は、たとえば、取得した複数の送信メッセージを記憶部５２に保存する。

　より詳細には、記憶部５２には、たとえば、メッセージ取得部５５が取得対象とすべきデータの種類を含む検出条件情報が登録されている。検出条件情報の詳細については、後述する。

　メッセージ取得部５５は、記憶部５２に登録されている検出条件情報に基づいて、自己が取得対象とすべきデータの種類を認識する。

　メッセージ取得部５５は、通信処理部５１が中継するメッセージに含まれるデータを監視し、取得対象の種類のデータを含むメッセージを検出するごとに、以下の処理を行う。

　すなわち、メッセージ取得部５５は、検出したメッセージを通信処理部５１から取得し、取得したメッセージに、当該メッセージの受信時刻を示すタイムスタンプを付す。

　そして、メッセージ取得部５５は、タイムスタンプを付したメッセージを記憶部５２に保存する。

　［記憶部］
　図４は、本開示の第１の実施の形態に係るゲートウェイ装置が用いる通常モデルの作成過程を説明するための図である。なお、図４において、横軸はデータＸを示し、縦軸はデータＹを示す。

　図４を参照して、記憶部５２は、予め作成された、複数の時刻たとえばデータの作成時刻にそれぞれ対応する複数の組に基づく検出条件を記憶する。ここで、組は、たとえば、メッセージ取得部５５によって取得された送信メッセージに含まれる、同じ作成時刻に対応する２種類のデータの組である。

　具体的には、記憶部５２は、たとえば、サーバによって予め作成された通常モデルＭ２を記憶する。通常モデルＭ２は、たとえば、所定の相関関係を有する２種類のデータの組に基づいて作成されている。より詳細には、通常モデルＭ２は、監視対象の種類のデータと、当該監視対象の種類のデータと相関関係を有するデータの組に基づいて作成されている。

　より具体的には、サーバには、たとえば、各々が複数の時系列データを含む、互いに異なる種類の生データＲ１～生データＲＮがユーザによって登録される。ここで、Ｎは、２以上の整数である。この例では、生データＲ１～生データＲＮは、たとえば、車両１と同じ種類のテスト車両において開発時に取得されたデータである。

　サーバは、たとえば、生データＲ１～生データＲＮを、各々が共通の複数の作成時刻における複数の時系列データを含むデータ１～データＮに変換する。

　より詳細には、サーバは、たとえば、生データＲ１に含まれる時系列データの作成時刻および生データＲ２に含まれる時系列データの作成時刻が同期していない場合、生データＲ２をリサンプリングすることにより、生データＲ２に含まれる時系列データの作成時刻を生データＲ１に含まれる時系列データの作成時刻に同期させる。

　同様に、サーバは、たとえば、生データＲ１に含まれる時系列データの作成時刻および生データＲ３に含まれる時系列データの作成時刻が同期していない場合、生データＲ３をリサンプリングすることにより、生データＲ３に含まれる時系列データの作成時刻を生データＲ１に含まれる時系列データの作成時刻に同期させる。

　サーバは、生データＲ４～生データＲＮに対しても同様の処理を施すことにより、生データＲ４～生データＲＮに含まれる時系列データの作成時刻を生データＲ１に含まれる時系列データの作成時刻に同期させる。これにより、各々が複数の時系列データを含む生データＲ１～生データＲＮが、各々が共通の複数の作成時刻における複数の時系列データを含むデータ１～データＮに変換される。

　サーバは、たとえば、データ１～データＮの中から、データＸ，Ｙを選択する。ここで、Ｘ，Ｙは、互いに異なり、かつ１～Ｎのうちのいずれかの整数である。データＸ，Ｙの選択は、たとえば総当たりで行われる。

　図４には、共通の複数の作成時刻における複数の時系列データにそれぞれ対応する、データＸおよびデータＹの組が黒丸によって示される。

　サーバは、たとえば、選択したデータＸおよびデータＹの複数の組に基づいて相関係数を算出する。

　サーバは、たとえば、算出した相関係数が０．４以上かつ０．７以下である場合、データＸおよびデータＹに相関有りと判断する。また、サーバは、たとえば、算出した相関係数が０．７より大きい場合、データＸおよびデータＹに強い相関有りと判断する。

　サーバは、データＸおよびデータＹについて相関有り、または強い相関有りと判断した場合、データＸおよびデータＹに基づいて通常モデルＭ２を作成する。

　具体的には、サーバは、たとえば、マハラノビス、Ｏｎｅｃｌａｓｓ－ＳＶＭ（Ｓｕｐｐｏｒｔ　Ｖｅｃｔｏｒ　Ｍａｃｈｉｎｅ）、ＬＯＦ（Ｌｏｃａｌ　Ｏｕｔｌｉｅｒ　Ｆａｃｔｏｒ）、Ｉｓｏｌａｔｉｏｎ　ｆｏｒｅｓｔ、およびＮＮ（Ｎｅａｒｅｓｔ－Ｎｅｉｇｈｂｏｒ）等のアルゴリズムに従って、機械学習により通常モデルＭ２を作成する。

　一方、サーバは、データＸおよびデータＹについて相関有りと判断せず、かつ強い相関有りと判断しなかった場合、通常モデルＭ２を作成しない。

　サーバは、たとえば、複数の通常モデルＭ２を作成し、作成した通常モデルＭ２ごとにモデル情報を作成する。ここで、モデル情報は、通常モデルＭ２、ならびに対応のデータＸおよびデータＹの種類の組み合わせを示す。

　データＸおよびデータＹの種類の組み合わせは、たとえば、エンジン回転数および速度、ヨーレートおよび舵角、ヨーレートおよび車高、ならびにアクセル開度および車体加速度等である。

　サーバによって作成された複数のモデル情報は、たとえば、検出条件情報としてまとめられた後、車両１の製造時において記憶部５２に登録される。

　なお、検出条件情報は、更新されてもよい。具体的には、たとえば、通信処理部５１は、サーバによってアップデートされた検出条件情報を車載通信機１１１経由でサーバから受信し、記憶部５２に登録された検出条件情報を、受信した検出条件情報に更新する。

　また、サーバは、複数の通常モデルＭ２を作成する構成に限らず、１つの通常モデルＭ２を作成する構成であってもよい。

　［データ取得部］
　再び図３を参照して、データ取得部５３は、メッセージ取得部５５によって取得された送信メッセージに含まれる、同じ時刻たとえば受信時刻に対応する２種類のデータの組を取得する。

　より詳細には、データ取得部５３は、記憶部５２が保存する検出条件情報に含まれる複数のモデル情報を記憶部５２から取得する。

　（２種類のデータが同じ送信メッセージに含まれる場合）
　データ取得部５３は、たとえば、記憶部５２に保存された各送信メッセージから２種類のデータの組を取得する。

　より詳細には、データ取得部５３は、たとえば、取得した複数のモデル情報に基づいて、同じ送信メッセージに含まれる２種類のデータの組を記憶部５２から取得する。

　具体的には、たとえば、モデル情報の示す種類の組み合わせに合ったデータが同じ送信メッセージに格納されて車載ネットワーク１２において伝送される場合、データ取得部５３は、記憶部５２に保存された当該同じ送信メッセージから当該２種類のデータを取得する。

　データ取得部５３は、たとえば、当該２種類のデータを含む送信メッセージがメッセージ取得部５５によって記憶部５２に新たに保存されると、新たに保存された送信メッセージから当該２種類のデータを取得し、取得した２種類のデータの組、およびモデル情報の示す種類の組み合わせを検知部５４へ出力する。このように、データ取得部５３は、たとえば２種類のデータが同じ送信メッセージに含まれる場合、「２種類のデータの組」として、同じ受信時刻の送信メッセージに格納された２種類のデータの組を取得する。

　（２種類のデータが異なる送信メッセージにそれぞれ含まれる場合）
　図５は、本開示の第１の実施の形態に係るゲートウェイ装置において行われる同期処理のタイミングを説明するための図である。なお、図５において、横軸は時間を示す。

　図５を参照して、データ取得部５３は、たとえば、取得した複数のモデル情報に基づいて、異なる送信メッセージにそれぞれ含まれる２種類のデータの組を記憶部５２から取得する。

　具体的には、たとえば、モデル情報の示す種類の組み合わせに合ったデータが別個の送信メッセージに格納されて車載ネットワーク１２において伝送される場合、データ取得部５３は、以下の処理を行う。

　すなわち、データ取得部５３は、たとえば、一方の種類のデータＤＪを含む複数の送信メッセージＭＪ、および他方の種類のデータＤＫを含む複数の送信メッセージＭＫを記憶部５２から取得する。ここで、送信メッセージＭＪおよび送信メッセージＭＫは、たとえば車載ネットワーク１２において同じ周期で伝送されるメッセージである。

　データ取得部５３は、たとえば、一方の種類のデータＤＪを含む複数の送信メッセージＭＪに付されたタイムスタンプに基づいて、一方の種類のデータＤＪに受信時刻を対応付ける。

　具体的には、データ取得部５３は、データＤＪの一例であるデータＤＪ１，ＤＪ２に、それぞれ受信時刻ｔｊ１，ｔｊ２を対応付ける。

　同様に、データ取得部５３は、たとえば、他方の種類のデータＤＫを含む複数の送信メッセージＭＫに付されたタイムスタンプに基づいて、他方の種類のデータＤＫに受信時刻を対応付ける。

　具体的には、データ取得部５３は、データＤＫの一例であるデータＤＫ１，ＤＫ２に、それぞれ受信時刻ｔｋ１，ｔｋ２を対応付ける。

　データ取得部５３は、たとえば、一方の種類のデータＤＪに対応付けた受信時刻、および他方の種類のデータＤＫに対応付けた受信時刻に基づいて他方の種類のデータＤＫをリサンプリングすることにより、一方の種類のデータＤＪの受信時刻と他方の種類のデータＤＫの受信時刻とを同期させる同期処理を行う。

　データ取得部５３は、たとえば、一方の種類のデータＤＪを含む送信メッセージＭＪがメッセージ取得部５５によって記憶部５２に新たに保存されると、同期処理を行う。

　具体的には、データ取得部５３は、たとえば、受信時刻ｔｊ２に対応する送信メッセージＭＪがメッセージ取得部５５によって記憶部５２に新たに保存されると、データＤＫ１，ＤＫ２等を含むデータＤＫをリサンプリングすることにより、受信時刻ｔｊ１，ｔｊ２にそれぞれ対応するリサンプルデータＲＤＫ１，ＲＤＫ２を生成する。たとえば、データ取得部５３は、複数のデータＤＫに基づいてデータＤＫの内挿を行うことにより、受信時刻ｔｊ１，ｔｊ２にそれぞれ対応するリサンプルデータＲＤＫ１，ＲＤＫ２を生成する。

　データ取得部５３は、たとえば、同期処理が完了すると、同期させた２種類のデータから最新の２種類のデータの組を取得し、取得した２種類のデータの組、およびモデル情報の示す種類の組み合わせを検知部５４へ出力する。

　具体的には、データ取得部５３は、たとえば、データＤＪ２およびリサンプルデータＲＤＫ２の組、ならびにモデル情報の示す種類の組み合わせを検知部５４へ出力する。すなわち、データ取得部５３は、たとえば２種類のデータが異なる送信メッセージに含まれる場合、「２種類のデータの組」として、受信時刻ｔｊ２の送信メッセージＭＪに格納された一方の種類のデータＤＪ２と、他方の種類のデータＤＫを含む送信メッセージＭＫのうちの当該受信時刻ｔｊ２の直前である受信時刻ｔｋ２の送信メッセージＭＫ、に格納されたデータＤＫ２のリサンプルデータＲＤＫ２とからなるデータの組を取得する。このように、データ取得部５３は、たとえば２種類のデータが異なる送信メッセージに含まれる場合、同じ受信時刻の送信メッセージに格納された２種類のデータの組を取得する構成に限定されない。

　なお、データ取得部５３が同期処理を行うタイミングは、たとえば、他方の種類のデータＤＫを含む送信メッセージＭＫがメッセージ取得部５５によって記憶部５２に新たに保存されるタイミングであってもよい。

　具体的には、データ取得部５３は、たとえば、受信時刻ｔｋ２に対応する送信メッセージＭＫがメッセージ取得部５５によって記憶部５２に新たに保存されると、データＤＫ１，ＤＫ２等を含むデータＤＫをリサンプリングすることにより、受信時刻ｔｊ１に対応するリサンプルデータＲＤＫ１を生成する。たとえば、データ取得部５３は、複数のデータＤＫに基づいてデータＤＫの内挿を行うことにより、受信時刻ｔｊ１に対応するリサンプルデータＲＤＫ１を生成する。

　そして、データ取得部５３は、たとえば、データＤＪ１およびリサンプルデータＲＤＫ１の組、ならびにモデル情報の示す種類の組み合わせを検知部５４へ出力する。

　また、データ取得部５３が同期処理を行うタイミングは、たとえば、一方の種類のデータを含む送信メッセージおよび他方の種類のデータを含む送信メッセージの両方がメッセージ取得部５５によって記憶部５２に新たに保存されるタイミングであってもよい。

　図６は、本開示の第１の実施の形態に係るゲートウェイ装置において行われる同期処理のタイミングを説明するための図である。なお、図６において、横軸は時間を示す。

　図６を参照して、一方の種類のデータＤＰを含む送信メッセージＭＰ、および他方の種類のデータＤＱを含む送信メッセージＭＱは、たとえば車載ネットワーク１２において異なる周期で伝送されるメッセージである。

　データ取得部５３は、データＤＰの一例であるデータＤＰ１，ＤＰ２に、それぞれ受信時刻ｔｐ１，ｔｐ２を対応付ける。

　また、データ取得部５３は、データＤＱの一例であるデータＤＱ１，ＤＱ２，ＤＱ３，ＤＱ４に、それぞれ受信時刻ｔｑ１，ｔｑ２，ｔｑ３，ｔｑ４を対応付ける。

　データ取得部５３は、たとえば、送信メッセージＭＰ，ＭＱの両方がメッセージ取得部５５によって記憶部５２に新たに保存されると、同期処理を行う。

　具体的には、データ取得部５３は、たとえば、受信時刻ｔｐ１において、送信メッセージＭＰ，ＭＱの両方がメッセージ取得部５５によって記憶部５２に新たに保存されたと判断し、同期処理を行う。

　同様に、データ取得部５３は、たとえば、受信時刻ｔｐ２において、送信メッセージＭＰ，ＭＱの両方がメッセージ取得部５５によって記憶部５２に新たに保存されたと判断し、同期処理を行う。

　データ取得部５３は、たとえば、受信時刻ｔｐ２における同期処理では、データＤＱ１～ＤＱ４等を含むデータＤＱをリサンプリングすることにより、受信時刻ｔｐ１，ｔｐ２にそれぞれ対応するリサンプルデータＲＤＱ１，ＲＤＱ２を生成する。たとえば、データ取得部５３は、複数のデータＤＱに基づいてデータＤＱの内挿を行うことにより、受信時刻ｔｐ１，ｔｐ２にそれぞれ対応するリサンプルデータＲＤＱ１，ＲＤＱ２を生成する。

　データ取得部５３は、たとえば、データＤＰ２およびリサンプルデータＲＤＱ２の組、ならびにモデル情報の示す種類の組み合わせを検知部５４へ出力する。

　なお、データ取得部５３は、受信時刻ｔｐ２における同期処理では、データＤＰ１，ＤＰ２等を含むデータＤＰをリサンプリングすることにより、受信時刻ｔｑ１～ｔｑ４にそれぞれ対応する、図示しないリサンプルデータＲＤＰ１～ＲＤＰ４を生成してもよい。具体的には、たとえば、データ取得部５３は、複数のデータＤＰに基づいてデータＤＰの内挿を行うことにより、受信時刻ｔｑ１～ｔｑ４にそれぞれ対応するリサンプルデータＲＤＰ１～ＲＤＰ４を生成する。

　この場合、データ取得部５３は、リサンプルデータＲＤＰ４およびデータＤＱ４の組、ならびにモデル情報の示す種類の組み合わせを検知部５４へ出力する。すなわち、データ取得部５３は、たとえば２種類のデータが異なる送信メッセージに含まれる場合、「２種類のデータの組」として、受信時刻ｔｑ４の送信メッセージＭＱに格納された一方の種類のデータＤＱ４と、他方の種類のデータＤＰを含む送信メッセージＭＰのうちの当該受信時刻ｔｑ４の直後である受信時刻ｔｐ２の送信メッセージＭＰ、に格納されたデータＤＰ２のリサンプルデータＲＤＰ４とからなるデータの組を取得する。

　この際、データ取得部５３は、リサンプルデータＲＤＰ２およびデータＤＱ２の組、ならびにリサンプルデータＲＤＰ３およびデータＤＱ３の組も合わせて検知部５４へ出力してもよい。これにより、不正メッセージの検知に用いるデータ数を増やすことができる。

　ここで、通常モデルＭ２は、作成時刻の同じ２種類のデータの複数の組に基づいて作成されている一方、データ取得部５３により取得される２種類のデータの組は、受信時刻の同じ２種類のデータの組である。

　車載ネットワーク１２ではメッセージの伝送が高速に行われるので、データの作成時刻およびデータの受信時刻が略同じであるとみなすことができる。なお、データの送信時刻も、データの作成時刻およびデータの受信時刻と略同じであるとみなすことができる。

　［検知部］
　検知部５４は、データ取得部５３により取得された２種類のデータの組における監視対象の種類のデータである監視対象データの推定値を算出し、算出した推定値を用いて監視対象データを含む送信メッセージが不正メッセージであるか否かを判断する。

　図７は、本開示の第１の実施の形態に係る通常モデルの学習フェーズにおける作成処理を説明するための図である。

　図７を参照して、監視対象データと相関データとに基づいて１つの通常モデルＭ２が作成される。監視対象データと相関データとは、相関関係を有する。

　監視対象データは、センサによって計測されたデータであり、具体的には、車速、エンジン回転数およびヨーレート等の連続して変化するデータである。以下、センサよって計測されたデータをセンサデータとも称する。

　相関データは、センサデータであってもよいし、予め定義された状態を表すデータであるステータスデータであってもよい。ここで、ステータスデータは、具体的には、たとえば車両１におけるギアおよびシートベルト等の操作部の状態を表す。

　サーバは、たとえば、学習データセットに基づいて、ＬＡＳＳＯ（Ｌｅａｓｔ　Ａｂｓｏｌｕｔｅ　Ｓｈｒｉｎｋａｇｅ　ａｎｄ　Ｓｅｌｅｃｔｉｏｎ　Ｏｐｅｒａｔｏｒ）および回帰木等を用いて、通常モデルＭ２を学習させる。

　ここで、学習データセットは、複数の同じ時刻、具体的には時刻ｔｍ１，ｔｍ２，ｔｍ３，ｔｍ４，ｔｍ５等にそれぞれ対応する監視対象データおよび相関データを含む。

　より詳細には、サーバは、たとえば、同じ時刻に対応する相関データを通常モデルＭ２に入力したときに、対応の監視対象データの値に近い推定値が出力されるように通常モデルＭ２を作成する。

　図８は、本開示の第１の実施の形態に係る通常モデルのテストフェーズにおける検証処理を説明するための図である。

　図８を参照して、通常モデルＭ２は、学習データセットと同様の、テストデータセットを用いて検証される。

　詳細には、サーバは、通常モデルＭ２を用いて推定誤差の分布を作成する。より詳細には、サーバは、テストデータセットの一部である時刻ｔｔ１における相関データを通常モデルＭ２に入力することにより、通常モデルＭ２から出力される推定値を取得する。

　そして、サーバは、たとえば、以下の式（１）を用いて推定誤差ｙｄｉｆｆを算出する。

　ここで、ｙ１は、対応の監視対象データの値、すなわち時刻ｔｔ１における監視対象データの値である。また、ｙ１ハットは、通常モデルＭ２から出力された推定値である。

　サーバは、テストデータセットにおける、時刻ｔｔ１と異なる時刻における相関データおよび監視対象データも同様に処理することにより、各時刻における推定誤差ｙｄｉｆｆを含む検証データを作成する。

　サーバは、検証データに基づいて、推定誤差ｙｄｉｆｆの分布を作成する。この分布は、推定誤差ｙｄｉｆｆの頻度を表す。この例では、当該分布は、単峰である。

　サーバは、作成した分布が単峰である場合、検証データに含まる各推定誤差ｙｄｉｆｆの平均値μおよび分散σ＾２を算出する。ここで、「ａ＾ｂ」は、ａのｂ乗を意味する。

　サーバは、たとえば、通常モデルＭ２、平均値μおよび分散σ＾２、ならびに監視対象データおよび相関データの種類の組み合わせを示すモデル情報Ｍｄ２を作成する。

　サーバによって作成されたモデル情報Ｍｄ２は、たとえば、車両１の製造時において検出条件情報として記憶部５２に登録される。

　再び図３を参照して、データ取得部５３は、記憶部５２から検出条件情報を取得し、取得した検出条件情報に含まれるモデル情報Ｍｄ２を取得する。

　データ取得部５３は、モデル情報Ｍｄ２の示す組み合わせに合ったデータを含む送信メッセージがメッセージ取得部５５によって記憶部５２に新たに保存されると、上述のように２種類のデータの組を取得する。具体的には、以下の処理を行う。

　すなわち、データ取得部５３は、モデル情報Ｍｄ２に基づいて、同じ送信メッセージに含まれる監視対象データおよび相関データの組を記憶部５２から取得し、取得した組、およびモデル情報Ｍｄ２の示す種類の組み合わせを検知部５４へ出力する。

　また、データ取得部５３は、たとえば、モデル情報Ｍｄ２の示す組み合わせに合ったデータをそれぞれ含む複数の送信メッセージのいずれか１つがメッセージ取得部５５によって記憶部５２に新たに保存されると、上述のように同期処理を行う。具体的には、以下の処理を行う。

　すなわち、データ取得部５３は、モデル情報Ｍｄ２に基づいて、異なる送信メッセージにそれぞれ含まれる監視対象データおよび相関データの組を記憶部５２から取得し、取得した監視対象データおよび相関データに対して同期処理を行う。

　データ取得部５３は、同期処理が完了すると、同期させた監視対象データおよび相関データから最新の監視対象データおよび相関データの組を取得し、取得した組、およびモデル情報Ｍｄ２の示す種類の組み合わせを検知部５４へ出力する。

　図９は、本開示の第１の実施の形態に係る通常モデルを用いた不正メッセージの検知処理を説明するための図である。

　図９を参照して、検知部５４は、たとえば、データ取得部５３から時刻ｔｄ１における監視対象データおよび相関データの組、およびモデル情報Ｍｄ２の示す種類の組み合わせを受けると、記憶部５２における検出条件情報に含まれる複数のモデル情報を参照し、受けた組み合わせに対応するモデル情報Ｍｄ２を記憶部５２から取得する。

　検知部５４は、たとえば、データ取得部５３によって取得された監視対象データおよび相関データの組、ならびにモデル情報Ｍｄ２に含まれる通常モデルＭ２に基づいて、データ取得部５３によって取得された組における２種類のデータのうちの監視対象データの推定誤差ｙｄｉｆｆを算出する。

　より詳細には、検知部５４は、データ取得部５３から受けた相関データを、モデル情報Ｍｄ２に含まれる通常モデルＭ２に入力することにより、通常モデルＭ２から出力される推定値を取得する。

　そして、検知部５４は、取得した推定値および時刻ｔｄ１における監視対象データの値を、それぞれｙ１ハットおよびｙ１として上述の式（１）に代入することにより時刻ｔｄ１における推定誤差ｙｄｉｆｆを算出する。検知部５４は、算出した推定誤差ｙｄｉｆｆを記憶部５２に保存する。

　たとえば、検知部５４は、算出した推定誤差ｙｄｉｆｆ、および通常モデルＭ２を用いて作成された推定誤差ｙｄｉｆｆの分布に基づいて、監視対象データの正当性に関する評価値を算出する。

　より詳細には、検知部５４は、たとえば、算出した推定誤差ｙｄｉｆｆ、ならびにモデル情報Ｍｄ２に含まれる平均値μおよび分散σ＾２を以下の式（２）に代入することにより時刻ｔにおけるマハラノビス距離Ｄ（ｔ）＾２を算出する。たとえば、検知部５４は、時刻ｔｄ１における推定誤差ｙｄｉｆｆのマハラノビス距離Ｄ（ｔｄ１）＾２を算出する。マハラノビス距離Ｄ（ｔ）＾２は、監視対象データの正当性に関する評価値の一例である。

　なお、検知部５４は、多変量解析を行うことにより、推定誤差ｙｄｉｆｆのベクトルを算出し、以下の式（３）に基づいてマハラノビス距離Ｄ（ｔ）＾２を算出する構成であってもよい。

　ここで、Ｘ（ｔ）は推定誤差ｙｄｉｆｆのベクトルであり、μｘは推定誤差ｙｄｉｆｆの平均ベクトルである。

　検知部５４は、算出したマハラノビス距離Ｄ（ｔ）＾２を推定誤差ｙｄｉｆｆに対応付けて記憶部５２に保存する。

　検知部５４は、算出した推定誤差ｙｄｉｆｆと、過去に算出した推定誤差ｙｄｉｆｆとに基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。より詳細には、検知部５４は、推定誤差ｙｄｉｆｆを算出すると、当該推定誤差ｙｄｉｆｆと、記憶部５２における直前に算出した推定誤差ｙｄｉｆｆとに基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。

　たとえば、検知部５４は、算出したマハラノビス距離Ｄ（ｔ）＾２と、過去に算出したマハラノビス距離Ｄ（ｔ）＾２とに基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。

　より詳細には、検知部５４は、時刻ｔにおけるマハラノビス距離Ｄ（ｔ）＾２を算出すると、当該マハラノビス距離Ｄ（ｔ）＾２と、記憶部５２における直前に算出した時刻（ｔ－１）におけるマハラノビス距離Ｄ（ｔ－１）＾２とに基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。

　たとえば、検知部５４は、ＣＵＳＵＭ（Ｃｕｍｌａｔｉｖｅ　Ｓｕｍ）またはＭＣＵＳＵＭ（Ｍｕｌｔｉｖａｒｉａｔｅ　Ｃｕｍｌａｔｉｖｅ　Ｓｕｍ）に従う解析手法を用いて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。

　より詳細には、検知部５４は、マハラノビス距離Ｄ（ｔ）＾２を算出すると、算出したマハラノビス距離Ｄ（ｔ）＾２を以下の式（４）に代入することによりスコアＴ（ｔ）＾２を算出し、算出したスコアＴ（ｔ）＾２を記憶部５２に保存する。

　ここで、スコアＴ（ｔ－１）＾２は、マハラノビス距離Ｄ（ｔ）＾２の直前に算出した時刻（ｔ－１）におけるマハラノビス距離Ｄ（ｔ－１）＾２のスコアである。ｋは、スコアＴ（ｔ－１）＾２とマハラノビス距離Ｄ（ｔ）＾２との和の外れ値を制限するための予め設定されるパラメータである。

　検知部５４は、たとえば、算出したスコアＴ（ｔ）＾２が所定のしきい値Ｔｈ１以上である場合、監視対象データに対応する送信メッセージは不正メッセージであると判断する。

　一方、検知部５４は、たとえば、算出したスコアＴ（ｔ）＾２が所定のしきい値Ｔｈ１より小さい場合、監視対象データに対応する送信メッセージは正当メッセージであると判断する。

　検知部５４は、監視対象データに対応する送信メッセージが不正メッセージであると判断した場合、たとえば、以下の処理を行う。すなわち、検知部５４は、不正であると判断した送信メッセージのＩＤ、および対応の種類の組み合わせ等を記憶部５２に記録する。

　また、検知部５４は、伝送線１３において不正メッセージが伝送されていることを車両１内または車両１外における上位装置へ通信処理部５１経由で通知する。

　なお、サーバが作成する推定誤差ｙｄｉｆｆの分布が単峰であるとしたが、これに限定するものではない。サーバが作成する推定誤差ｙｄｉｆｆの分布は、多峰であってもよい。

　この場合、サーバは、推定誤差ｙｄｉｆｆの分布を、たとえば、Ｋ個のガウス分布を重ね合わせた混合ガウス分布によって近似し、各ガウス分布の平均値μ１～μＫおよび分散σ１＾２～σＫ＾２、ならびに各ガウス分布の混合比Ｃ１～ＣＫを算出する。

　サーバは、たとえば、通常モデルＭ２、平均値μ１～μＫ、分散σ１＾２～σＫ＾２および混合比Ｃ１～ＣＫ、ならびに監視対象データおよび相関データの種類の組み合わせを示すモデル情報Ｍｄ２を作成する。

　この場合、検知部５４は、算出した推定誤差ｙｄｉｆｆ、ならびにモデル情報Ｍｄ２に含まれる平均値μ１～μｋ、分散σ１＾２～σｋ＾２および混合比Ｃ１～Ｃｋを以下の式（５）に代入することによりマハラノビス距離Ｄ（ｔ）＾２を算出する。

　ここで、式（５）におけるＢは、以下の式（６）により表される。

　［変形例１］
　なお、検知部５４は、マハラノビス距離Ｄ（ｔ）＾２を算出し、ＣＵＳＵＭまたはＭＣＵＳＵＭに従う解析手法を用いて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する構成であるとしたが、これに限定するものではない。

　たとえば、検知部５４は、算出した推定誤差ｙｄｉｆｆと、過去に算出した推定誤差ｙｄｉｆｆとに基づいて、推定誤差ｙｄｉｆｆの移動平均を算出し、算出した移動平均に基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する構成であってもよい。すなわち、検知部５４は、ＥＷＭＡ（Ｅｘｐｏｎｅｎｔｉａｌ　Ｗｅｉｇｈｔｅｄ　Ｍｏｖｉｎｇ　Ａｖｅｒａｇｅ）またはＭＥＷＭＡ（Ｍｕｌｔｉｖａｒｉａｔｅ　Ｅｘｐｏｎｅｎｔｉａｌ　Ｗｅｉｇｈｔｅｄ　Ｍｏｖｉｎｇ　Ａｖｅｒａｇｅ）に従う解析手法を用いて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する構成であってもよい。

　より詳細には、検知部５４は、多変量解析を行うことにより、推定誤差ｙｄｉｆｆのベクトルを算出し、以下の式（７）に基づいて指数加重移動平均Ａ（ｔ）を算出する。

　ここで、Ｘ（ｔ）は推定誤差ｙｄｉｆｆのベクトルであり、λは予め設定された移動平均係数である。

　そして、検知部５４は、指数加重移動平均Ａ（ｔ）を算出すると、算出した指数加重移動平均Ａ（ｔ）を以下の式（８）に代入することによりスコアＴａ（ｔ）＾２を算出する。

　検知部５４は、たとえば、算出したスコアＴａ（ｔ）＾２が所定のしきい値Ｔｈ２以上である場合、監視対象データに対応する送信メッセージは不正メッセージであると判断する。

　一方、検知部５４は、たとえば、算出したスコアＴａ（ｔ）＾２が所定のしきい値Ｔｈ２より小さい場合、監視対象データに対応する送信メッセージは正当メッセージであると判断する。

　［変形例２］
　再び図３を参照して、通常モデルは、所定の相関関係を有する２種類のデータの組に基づいて作成される構成であるとしたが、これに限定するものではなく、所定の相関関係を有するたとえば３種類以上のデータの組に基づいて作成される構成であってもよい。

　より詳細には、たとえば、監視対象データと相関関係を有する相関データがｑ種類ある場合、当該監視対象データと当該ｑ種類の相関データとに基づいて１つの通常モデルＭ４が作成される。ｑは、２以上の整数である。

　監視対象データとｑ種類の相関データの各々とは、相関関係を有する。また、ｑ種類の相関データ間には、相関関係があってもよいし、なくてもよい。

　サーバは、たとえば、学習データセットに基づいて、ＬＡＳＳＯおよび回帰木等を用いて、通常モデルＭ４を学習させる。

　ここで、学習データセットは、複数の同じ時刻、具体的には時刻ｔｍ１，ｔｍ２，ｔｍ３，ｔｍ４，ｔｍ５等にそれぞれ対応する監視対象データおよび相関データ群を含む。

　より詳細には、サーバは、たとえば、同じ時刻に対応する相関データ群を通常モデルＭ４に入力したときに、対応の監視対象データの値に近い推定値が出力されるように通常モデルＭ４を作成する。

　サーバは、各時刻における推定誤差ｙｄｉｆｆを含む検証データを作成し、生成した検証データに基づいて、推定誤差ｙｄｉｆｆの分布を作成する。

　サーバは、検証データに含まる各推定誤差ｄｉｆｆの平均値μおよび分散σ＾２を算出する。

　サーバは、たとえば、通常モデルＭ４、平均値μおよび分散σ＾２、ならびに監視対象データおよび相関データ群におけるｑ種類のデータの種類の組み合わせを示すモデル情報Ｍｄ４を作成する。

　サーバによって作成されたモデル情報Ｍｄ４は、たとえば、車両１の製造時において検出条件情報として記憶部５２に登録される。

　再び図３を参照して、データ取得部５３は、記憶部５２から検出条件情報を取得し、取得した検出条件情報に含まれるモデル情報Ｍｄ４を取得する。

　データ取得部５３は、モデル情報Ｍｄ４の示す組み合わせに合ったデータを含む送信メッセージがメッセージ取得部５５によって記憶部５２に新たに保存されると、以下の処理を行う。

　すなわち、データ取得部５３は、モデル情報Ｍｄ４に基づいて、同じ送信メッセージに含まれる監視対象データおよび相関データ群の組を記憶部５２から取得し、取得した組、およびモデル情報Ｍｄ４の示す種類の組み合わせを検知部５４へ出力する。

　また、データ取得部５３は、たとえば、モデル情報Ｍｄ４の示す組み合わせに合ったデータをそれぞれ含む複数の送信メッセージのいずれか１つがメッセージ取得部５５によって記憶部５２に新たに保存されると、以下の処理を行う。

　すなわち、データ取得部５３は、モデル情報Ｍｄ４に基づいて、異なる送信メッセージにそれぞれ含まれる監視対象データおよび相関データ群の組を記憶部５２から取得し、取得した監視対象データおよび相関データ群に対して同期処理を行う。

　データ取得部５３は、同期処理が完了すると、同期させた監視対象データおよび相関データ群から最新の監視対象データおよび相関データ群の組を取得し、取得した組、およびモデル情報Ｍｄ４の示す種類の組み合わせを検知部５４へ出力する。

　検知部５４は、たとえば、データ取得部５３から時刻ｔｄ１における監視対象データおよび相関データ群の組、ならびにモデル情報Ｍｄ４の示す種類の組み合わせを受けると、記憶部５２における検出条件情報に含まれる複数のモデル情報を参照し、受けた組み合わせに対応するモデル情報Ｍｄ４を記憶部５２から取得する。

　検知部５４は、たとえば、データ取得部５３によって取得された監視対象データおよび相関データ群の組、ならびにモデル情報Ｍｄ４に含まれる通常モデルＭ４に基づいて、上述の式（１）を用いて監視対象データの推定誤差ｙｄｉｆｆを算出し、算出した推定誤差ｙｄｉｆｆを記憶部５２に保存する。

　検知部５４は、算出した推定誤差ｙｄｉｆｆ、ならびにモデル情報Ｍｄ４に含まれる平均値μおよび分散σ＾２を上述の式（２）に代入することによりマハラノビス距離Ｄ（ｔ）＾２を算出し、算出したマハラノビス距離Ｄ（ｔ）＾２を推定誤差ｙｄｉｆｆに対応付けて記憶部５２に保存する。

　そして、検知部５４は、算出したマハラノビス距離Ｄ（ｔ）＾２を上述の式（４）に代入することによりスコアＴ（ｔ）＾２を算出し、算出したスコアＴ（ｔ）＾２に基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。

　通常モデルＭ４を用いる構成により、不正メッセージをより精度よく検知することができる。

　［変形例３］
　変形例２では、監視対象データと相関関係を有する相関データがｑ種類ある場合、当該監視対象データと当該ｑ種類の相関データとに基づいて１つの通常モデルＭ４が作成される構成であるとしたが、これに限定するものではない。

　たとえば、監視対象データと相関関係を有する相関データが２種類ある場合、監視対象データと当該２種類の相関データとに基づいて２つの検出条件がそれぞれ作成される。

　具体的には、サーバは、共通の複数の作成時刻におけるデータ１～データＮにおいて、データＳおよびデータＴに相関有りまたは強い相関有りと判断し、かつデータＳおよびデータＵに相関有りまたは強い相関有りと判断した場合、以下の処理を行う。

　すなわち、サーバは、データＴおよびデータＵ間の相関係数の大小に関わらず、データＳ，Ｔに基づいて通常モデルＭ４を作成するとともに、データＳ，Ｕに基づいて通常モデルＭ４を作成する。

　このような構成により、データＳ，Ｔ，Ｕに基づいて１つの通常モデルＭ４を作成する構成と比べて、通常モデルの作成における計算負荷を軽減することができる。

　［変形例４］
　ゲートウェイ装置１０１は、データＳ，Ｔ，Ｕに基づく、１つの通常モデルＭ４または２つの通常モデルＭ４を用いる構成であるとしたが、これに限定するものではない。

　より詳細には、たとえば、多次元のデータの組は、特許文献２（特開２０１６－５７４３８号公報）に記載の主成分分析を用いて、より低次元のデータの組に変換することが可能である。

　具体的には、サーバは、たとえば、３種類のデータの組を、主成分分析を用いて２種類のデータの組に変換し、変換後の組に基づいて通常モデルＭ４を作成する。

　ゲートウェイ装置１０１における記憶部５２には、３種類のデータの組を２種類のデータの組に変換するための固有ベクトル、サーバによって作成された通常モデルＭ４、ならびに対応のデータＳ、データＴおよびデータＵの種類の組み合わせを示すモデル情報が登録される。

　検知部５４は、データ取得部５３から３種類のデータの組、およびモデル情報の示す種類の組み合わせを受けると、記憶部５２におけるモデル情報を参照し、受けた組み合わせに対応する通常モデルＭ４および固有ベクトルを記憶部５２における対応のモデル情報から取得する。

　検知部５４は、取得した固有ベクトルを用いて、データ取得部５３から受けた３種類のデータの組を２種類のデータの組に変換し、変換後の組および通常モデルＭ４に基づいて、当該３種類のデータを含む１つ、２つまたは３つの送信メッセージが不正メッセージであるか否かを判断する。

　［変形例５］
　図１０は、本開示の第１の実施の形態に係る通常モデルの変形例についての学習フェーズにおける作成処理を説明するための図である。

　図１０を参照して、監視対象データとｑ種類の相関データとに基づいて１つの通常モデルＭ５が作成される。監視対象データとｑ種類の相関データの各々とは、相関関係を有する。また、ｑ種類の相関データ間には、相関関係があってもよいし、なくてもよい。

　監視対象データは、状態を表すステータスデータである。具体的には、監視対象スデータは、たとえば、ギアのシフトポジションおよびシートベルトの状態等の不連続に変化するステータスデータである。

　相関データ群に含まれるｑ種類のデータは、センサデータであってもよいし、ステータスデータであってもよい。

　サーバは、たとえば、学習データセットに基づいて、決定木およびＲａｎｄｏｍ　Ｆｏｒｅｓｔ等を用いて、通常モデルＭ５を学習させる。

　ここで、学習データセットは、複数の同じ時刻、具体的には時刻ｔｍ１，ｔｍ２，ｔｍ３，ｔｍ４，ｔｍ５等にそれぞれ対応する監視対象データおよび相関データ群を含む。

　より詳細には、サーバは、たとえば、同じ時刻に対応する相関データ群を通常モデルＭ５に入力したときに、対応の監視対象データの値と一致する推定値が出力されるように通常モデルＭ５を作成する。

　サーバは、たとえば、通常モデルＭ５、ならびに監視対象データおよび相関データ群におけるｑ種類のデータの種類の組み合わせを示すモデル情報Ｍｄ５を作成する。

　サーバによって作成されたモデル情報Ｍｄ５は、たとえば、車両１の製造時において検出条件情報として記憶部５２に登録される。

　再び図３を参照して、データ取得部５３は、記憶部５２から検出条件情報を取得し、取得した検出条件情報に含まれるモデル情報Ｍｄ５を取得する。

　データ取得部５３は、モデル情報Ｍｄ５の示す組み合わせに合ったデータを含む送信メッセージがメッセージ取得部５５によって記憶部５２に新たに保存されると、以下の処理を行う。

　すなわち、データ取得部５３は、モデル情報Ｍｄ５に基づいて、同じ送信メッセージに含まれる監視対象データおよび相関データ群の組を記憶部５２から取得し、取得した組、およびモデル情報Ｍｄ５の示す種類の組み合わせを検知部５４へ出力する。

　また、データ取得部５３は、たとえば、モデル情報Ｍｄ５の示す組み合わせに合ったデータをそれぞれ含む複数の送信メッセージのいずれか１つがメッセージ取得部５５によって記憶部５２に新たに保存されると、以下の処理を行う。

　すなわち、データ取得部５３は、モデル情報Ｍｄ５に基づいて、異なる送信メッセージにそれぞれ含まれる監視対象データおよび相関データ群の組を記憶部５２から取得し、取得した監視対象データおよび相関データ群に対して同期処理を行う。

　データ取得部５３は、同期処理が完了すると、同期させた監視対象データおよび相関データ群から最新の監視対象データおよび相関データ群の組を取得し、取得した組、およびモデル情報Ｍｄ５の示す種類の組み合わせを検知部５４へ出力する。

　図１１は、本開示の第１の実施の形態に係る通常モデルの変形例を用いた不正メッセージの検知処理を説明するための図である。

　図１１を参照して、検知部５４は、たとえば、データ取得部５３から時刻ｔｄ１における監視対象データおよび相関データ群の組、およびモデル情報Ｍｄ５の示す種類の組み合わせを受けると、記憶部５２における検出条件情報に含まれる複数のモデル情報を参照し、受けた組み合わせに対応するモデル情報Ｍｄ５を記憶部５２から取得する。

　検知部５４は、たとえば、データ取得部５３によって取得された相関データ群、およびモデル情報Ｍｄ２に含まれる通常モデルＭ５に基づいて、監視対象データの値を推定する。

　より詳細には、検知部５４は、データ取得部５３から受けた相関データ群を、モデル情報Ｍｄ５に含まれる通常モデルＭ５に入力することにより、通常モデルＭ５から出力される監視対象データの推定値を取得する。

　そして、検知部５４は、取得した推定値と、時刻ｔｄ１における監視対象データの値とを比較することにより、推定誤差ｙｄｉｆｆを算出する。

　より詳細には、検知部５４は、たとえば、取得した推定値と時刻ｔｄ１における監視対象データの値とを比較し、これらの値が一致する場合は「１」を、これらの値が一致しない場合は「ゼロ」を推定誤差ｙｄｉｆｆとして算出する。

　検知部５４は、推定誤差ｙｄｉｆｆを算出すると、算出した推定誤差ｙｄｉｆｆを記憶部５２に保存する。

　検知部５４は、算出した推定誤差ｙｄｉｆｆと、過去に算出した推定誤差ｙｄｉｆｆとに基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。より詳細には、検知部５４は、推定誤差ｙｄｉｆｆを算出すると、当該推定誤差ｙｄｉｆｆと、記憶部５２における直前に算出した推定誤差ｙｄｉｆｆとに基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。

　たとえば、検知部５４は、新たに算出した推定誤差ｙｄｉｆｆ、および記憶部５２における直前に算出した推定誤差ｙｄｉｆｆが「ゼロ」である場合、監視対象データに対応する送信メッセージは不正メッセージであると判断する。

　一方、検知部５４は、新たに算出した推定誤差ｙｄｉｆｆ、および記憶部５２における直前に算出した推定誤差ｙｄｉｆｆの少なくともいずれか一方が「１」である場合、監視対象データに対応する送信メッセージは正当メッセージであると判断する。

　［動作の流れ］
　本開示の実施の形態に係る車載通信システムにおける各装置は、メモリを含むコンピュータを備え、当該コンピュータにおけるＣＰＵ等の演算処理部は、以下のフローチャートおよびシーケンスの各ステップの一部または全部を含むプログラムを当該メモリから読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。

　図１２は、本開示の第１の実施の形態に係るゲートウェイ装置が送信メッセージを受信する際の動作手順を定めたフローチャートである。

　図１２を参照して、モデル情報Ｍｄ２が、通常モデルＭ２、ならびに監視対象データであるデータＸおよび相関データであるデータＹの種類の組み合わせを示す状況を想定する。

　まず、ゲートウェイ装置１０１は、たとえば制御装置１２２からの送信メッセージを待ち受ける（ステップＳ１０２でＮＯ）。

　そして、ゲートウェイ装置１０１は、制御装置１２２から送信メッセージを受信すると（ステップＳ１０２でＹＥＳ）、受信した送信メッセージに取得対象の種類のデータが含まれるか否かを確認する（ステップＳ１０４）。

　次に、ゲートウェイ装置１０１は、受信した送信メッセージに取得対象の種類のデータが含まれる場合（ステップＳ１０４でＹＥＳ）、受信した送信メッセージを記憶部５２に保存する（ステップＳ１０６）。この際、ゲートウェイ装置１０１は、送信メッセージにタイムスタンプを付す。

　次に、ゲートウェイ装置１０１は、受信した送信メッセージを記憶部５２に保存するか（ステップＳ１０６）、または受信した送信メッセージに取得対象の種類のデータが含まれない場合（ステップＳ１０４でＮＯ）、受信した送信メッセージの中継処理を行った後、制御装置１２２から新たな送信メッセージを待ち受ける（ステップＳ１０２でＮＯ）。

　図１３は、本開示の第１の実施の形態に係るゲートウェイ装置が、受信した送信メッセージを記憶部に保存した際の動作手順を定めたフローチャートである。

　図１３を参照して、モデル情報Ｍｄ２が、通常モデルＭ２、ならびに監視対象データであるデータＸおよび相関データであるデータＹの種類の組み合わせを示す状況を想定する。

　まず、ゲートウェイ装置１０１は、送信メッセージが記憶部５２に保存されるのを待ち受ける（ステップＳ２０２でＮＯ）。

　そして、ゲートウェイ装置１０１は、送信メッセージが記憶部５２に保存されると（ステップＳ２０２でＹＥＳ）、モデル情報Ｍｄ２の示す２種類の組み合わせに合った監視対象データおよび相関データが当該送信メッセージすなわち同じ送信メッセージに格納されているか否かを確認する（ステップＳ２０４）。

　次に、ゲートウェイ装置１０１は、モデル情報Ｍｄ２の示す２種類の組み合わせに合った監視対象データおよび相関データが同じ送信メッセージに含まれない場合、すなわち別個の送信メッセージに分かれて含まれる場合（ステップＳ２０４でＮＯ）、モデル情報Ｍｄ２の示す監視対象データおよび相関データに対して同期処理を行う（ステップＳ２０６）。

　次に、ゲートウェイ装置１０１は、当該送信メッセージからモデル情報Ｍｄ２の示す監視対象データおよび相関データの組を取得するか、または同期処理を行った監視対象データおよび相関データからモデル情報Ｍｄ２の示す監視対象データおよび相関データの最新の組を取得する（ステップＳ２０８）。

　次に、ゲートウェイ装置１０１は、取得した監視対象データおよび相関データの組に対応する通常モデルＭ２を記憶部５２から取得する（ステップＳ２１０）。

　次に、ゲートウェイ装置１０１は、取得した監視対象データおよび相関データの組、ならびに通常モデルＭ２に基づいて、監視対象データの推定誤差ｙｄｉｆｆを算出する（ステップＳ２１２）。

　次に、ゲートウェイ装置１０１は、算出した推定誤差ｙｄｉｆｆ、および通常モデルＭ２を用いて作成された推定誤差ｙｄｉｆｆの分布に基づいて、マハラノビス距離Ｄ（ｔ）＾２を算出する（ステップＳ２１４）。

　次に、ゲートウェイ装置１０１は、算出したマハラノビス距離Ｄ（ｔ）＾２と、記憶部５２における直前に算出したマハラノビス距離Ｄ（ｔ－１）＾２とに基づいて、スコアＴ（ｔ）＾２を算出する（ステップＳ２１６）。

　次に、ゲートウェイ装置１０１は、算出したスコアＴ（ｔ）＾２と、所定のしきい値Ｔｈ１とを比較する（ステップＳ２１８）。

　次に、ゲートウェイ装置１０１は、スコアＴ（ｔ）＾２がしきい値Ｔｈ１より小さい場合、監視対象データに対応する送信メッセージは正当メッセージであると判断する（ステップＳ２２２）。

　一方、ゲートウェイ装置１０１は、スコアＴ（ｔ）＾２がしきい値Ｔｈ１以上である場合、監視対象データに対応する送信メッセージは不正メッセージであると判断する（ステップＳ２２４）。

　次に、ゲートウェイ装置１０１は、新たな送信メッセージが記憶部５２に保存されるのを待ち受ける（ステップＳ２０２でＮＯ）。

　なお、上記動作の流れでは、通常モデルＭ２、ならびに対応の監視対象データおよび相関データの種類の組み合わせを示すモデル情報Ｍｄ２が用いられる状況を想定したが、これに限定するものではない。たとえば、通常モデルＭ４、ならびに監視対象データおよびｑ種類の相関データの組み合わせを示すモデル情報Ｍｄ４が用いられてもよい。この場合、ゲートウェイ装置１０１は、上記ステップＳ２０８において、監視対象データおよびｑ種類の相関データの組を取得し、上記ステップＳ２１０において、対応の通常モデルＭ４を記憶部５２から取得する。

　また、本開示の第１の実施の形態に係るゲートウェイ装置では、メッセージ取得部５５は、車載ネットワーク１２における複数の送信メッセージを取得する構成であるとしたが、これに限定するものではない。メッセージ取得部５５は、車載ネットワーク１２における１つの送信メッセージを取得する構成であってもよい。たとえば、モデル情報の示す２種類の組み合わせに合ったデータが当該１つの送信メッセージに含まれる場合、送信メッセージが不正メッセージであるか否かを判断することが可能である。

　また、本開示の第１の実施の形態に係る車載通信システムでは、ゲートウェイ装置１０１が、車載ネットワーク１２における不正メッセージを検知する構成であるとしたが、これに限定するものではない。車載通信システム３０１において、ゲートウェイ装置１０１とは別の検知装置が、車載ネットワーク１２における不正メッセージを検知する構成であってもよい。

　また、本開示の第１の実施の形態に係るゲートウェイ装置では、データ取得部５３は、同じ受信時刻に対応する複数種類のデータの組を取得する構成であるとしたが、これに限定するものではない。データ取得部５３は、受信時刻に限らず、同じ送信時刻または同じ作成時刻等に対応する複数種類のデータの組を取得する構成であってもよい。具体的には、たとえば、制御装置１２２がデータの作成時刻または送信メッセージの送信時刻を送信メッセージに格納して送信する場合、データ取得部５３は、同じ送信時刻または同じ作成時刻に対応する複数種類のデータの組を取得することが可能である。

　また、本開示の第１の実施の形態に係るゲートウェイ装置では、検知部５４は、制御装置１２２間でやり取りされる送信メッセージを不正メッセージの検知対象とする構成であるとしたが、これに限定するものではない。検知部５４は、制御装置１２２および車載通信機１１１間でやり取りされる送信メッセージ、ならびに車載通信機１１１間でやり取りされる送信メッセージを不正メッセージの検知対象とする構成であってもよい。

　また、本開示の第１の実施の形態に係るゲートウェイ装置では、通常モデルは、所定の相関関係を有する複数種類のデータの組に基づいて作成される構成であるとしたが、これに限定するものではない。通常モデルは、所定の相関関係を有さない複数種類のデータの組に基づいて作成される構成であってもよい。

　また、本開示の第１の実施の形態に係るゲートウェイ装置では、データ取得部５３は、メッセージ取得部５５によって記憶部５２に保存された各送信メッセージから複数種類のデータを取得し、取得したデータをリサンプリングする構成であるとしたが、これに限定するものではない。たとえば、各送信メッセージの受信時刻が近い場合、データ取得部５３は、メッセージ取得部５５から各送信メッセージを直接受けて、受けた各送信メッセージから複数種類のデータを取得し、取得したデータをリサンプリングせずに検知に用いる構成であってもよい。

　ところで、車載ネットワークにおける不正メッセージをより正しく検知することが可能な技術が望まれる。

　たとえば、不正な車載装置による攻撃モデルとして、正常な車載装置からの正当メッセージを停止させるとともに、正当メッセージと同一の送信周期の不正メッセージを送信するという、いわゆる占有バス型の攻撃モデルが想定される。このような占有バス型の攻撃モデルにおいて、不正な車載装置が、正常な車載装置からの正当メッセージの送信時刻を機械学習し、送信間隔の標準偏差が正当メッセージの送信間隔の標準偏差と略同一となるように不正メッセージが送信された場合、当該不正メッセージを検知することは容易ではない。

　特許文献１に記載の技術では、占有バス型の攻撃モデルによる不正メッセージを検知し得る。しかしながら、特許文献１に記載の技術では、正当メッセージに含まれる監視対象データが突発的に変化した場合、当該正当メッセージを不正メッセージであると誤検知してしまうおそれがあるため、検知性能のさらなる向上が望まれる。

　これに対して、本開示の第１の実施の形態に係るゲートウェイ装置１０１は、車両１に搭載される車載ネットワーク１２における不正メッセージを検知する。メッセージ取得部５５は、車載ネットワーク１２における１または複数の送信メッセージを取得する。データ取得部５３は、メッセージ取得部５５によって取得された送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得する。記憶部５２は、予め作成された、複数の時刻にそれぞれ対応する複数の組に基づく検出条件を記憶する。検知部５４は、データ取得部５３によって取得された組、および検出条件に基づいて、組における監視対象データの推定誤差を算出する。検知部５４は、算出した推定誤差と、過去に算出した推定誤差とに基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。

　本開示の第１の実施の形態に係る検知方法は、車両１に搭載される車載ネットワーク１２における不正メッセージを検知し、記憶部５２を備えるゲートウェイ装置１０１における検知方法である。記憶部５２は、予め作成された、複数の時刻にそれぞれ対応する複数の組に基づく検出条件を記憶する。この検知方法では、まず、ゲートウェイ装置１０１が、車載ネットワーク１２における１または複数の送信メッセージを取得する。次に、ゲートウェイ装置１０１が、取得した送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得する。次に、ゲートウェイ装置１０１が、取得した組、および検出条件に基づいて、組における監視対象データの推定誤差を算出する。次に、ゲートウェイ装置１０１が、算出した推定誤差と、過去に算出した推定誤差とに基づいて、監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する。

　このように、複数種類のデータの組における監視対象データの推定誤差を算出し、算出した推定誤差と、過去に算出した推定誤差とに基づいて、当該監視対象データに対応する送信メッセージが不正メッセージであるか否かを判断する構成および方法により、たとえば現在の推定誤差の正当性に基づいて送信メッセージが不正メッセージであるか否かを判断する従来技術の構成と比べて、データの突発的な変化が判断結果に与える影響を抑制することができるため、検知性能を向上させることができる。

　したがって、本開示の第１の実施の形態に係る検知装置および検知方法では、車載ネットワークにおける不正メッセージをより正しく検知することができる。より詳細には、上記の構成および方法によれば、占有バス型の攻撃モデルにおいて、たとえば推定誤差の累積値を用いて不正メッセージを検知することができるため、特許文献１に記載の技術と比べて検知性能を向上させることができる。また、上記の構成および方法によれば、正常な車載装置からの正当メッセージを停止することなく不正メッセージを送信するという、いわゆる共有バス型の攻撃モデルにおいても、たとえば推定誤差の累積値を用いて不正メッセージを検知することができるため、正常メッセージを不正メッセージであると判定されるおそれがある程度許容される場合において、特許文献１に記載の技術と比べて検知性能を向上させることができる。

　次に、本開示の他の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。

　＜第２の実施の形態＞
　本実施の形態は、第１の実施の形態に係るゲートウェイ装置と比べて、送信メッセージの送信間隔に基づく不正メッセージの検知を組み込んだゲートウェイ装置に関する。以下で説明する内容以外は第１の実施の形態に係るゲートウェイ装置と同様である。

　［構成および基本動作］
　図１４は、本開示の第２の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。

　図１４を参照して、ゲートウェイ装置１０３は、通信処理部５１と、記憶部５２と、データ取得部５３と、メッセージ取得部５５と、監視部５７と、分布取得部５８と、検知部６４とを備える。検知部６４は、算出部の一例であり、かつ判断部の一例である。

　ゲートウェイ装置１０３における通信処理部５１、記憶部５２、データ取得部５３およびメッセージ取得部５５の動作は、図３に示すゲートウェイ装置１０１における通信処理部５１、記憶部５２、データ取得部５３およびメッセージ取得部５５とそれぞれ同様である。監視部５７、分布取得部５８および検知部６４は、たとえば、ＣＰＵおよびＤＳＰ等のプロセッサにより実現される。

　図１５は、本開示の第２の実施の形態に係る車載通信システムにおける監視対象の周期メッセージの送信間隔の時間変化の一例を示す図である。なお、図１５において、縦軸は送信間隔を示し、横軸は時間を示す。

　図１５を参照して、送信間隔は、たとえば、ある監視対象の周期メッセージが伝送線１３において伝送されるタイミングの間隔である。以下、監視対象の周期メッセージを対象メッセージとも称する。

　図１５に示すように、対象メッセージの送信間隔は一定でなく、ばらついている。これは、対象メッセージが伝送される際に調停が行われたり、クロックのずれによる内部処理の遅延ばらつきが発生したりするからである。

　ここで、調停について説明する。メッセージには、たとえば、ＩＤに応じて優先度が割り当てられている。たとえば、複数のメッセージの送信タイミングが重なる場合、車載ネットワーク１２では、優先度の高いメッセージを、優先度の低いメッセージより優先的に伝送線１３を伝送させる調停が行われる。このような調停により、送信間隔のばらつきが発生する。

　図１６は、本開示の第２の実施の形態に係る車載通信システムにおける対象メッセージの送信間隔の度数分布の一例を示す図である。なお、図１６において、縦軸は度数を示し、横軸は送信間隔を示す。

　図１６を参照して、送信間隔の度数分布は、Ｃｔミリ秒を中心としてほぼ対称である。送信間隔の度数分布は、たとえば所定のモデル関数Ｆｕｎｃ１により近似することが可能である。

　再び図１４を参照して、監視部５７は、たとえば、車載ネットワーク１２における送信メッセージを監視する。より詳細には、監視部５７は、たとえば、通信処理部５１における送信メッセージの中継処理を監視し、監視結果に基づいて対象メッセージの送信間隔を測定する。

　具体的には、たとえば、監視部５７には、対象メッセージを示すＩＤが１つ登録されている。以下、対象メッセージを示す、登録されたＩＤを登録ＩＤとも称する。なお、監視部５７には、複数の登録ＩＤが登録されてもよい。

　監視部５７は、たとえば、通信処理部５１が送信メッセージを受信すると、通信処理部５１によって受信された送信メッセージに含まれるＩＤを確認する。監視部５７は、確認したＩＤが登録ＩＤと一致する場合、通信処理部５１によって受信された送信メッセージすなわち対象メッセージの受信時刻ｔ１をたとえば測定基準として保持する。

　そして、監視部５７は、通信処理部５１において登録ＩＤを含む新たな対象メッセージが受信されると、新たに受信された対象メッセージの受信時刻ｔ２を保持するとともに、以下の処理を行う。

　すなわち、監視部５７は、受信時刻ｔ２から受信時刻ｔ１を差し引くことにより、対象メッセージの送信間隔を算出し、算出した送信間隔および登録ＩＤを検知部６４へ出力する。

　分布取得部５８は、たとえば、送信メッセージの送信間隔の分布を取得する。詳細には、分布取得部５８は、たとえば、他の装置、具体的にはサーバによって予め作成された送信間隔の分布を示す分布情報を取得する。

　より詳細には、サーバは、たとえば、対象メッセージの送信間隔を複数取得する。この送信間隔は、たとえば、車両１と同じ種類のテスト車両において測定される。なお、サーバは、車両１において測定された送信間隔を取得してもよい。

　サーバは、たとえば、モデル関数Ｆｕｎｃ１として、以下の式（９）に示す、変数をｘとする正規分布の確率密度関数ｐを用いる。以下、確率密度関数ｐを正規分布関数とも称する。

　ここで、ｘバーおよびσ＾２は、パラメータであり、それぞれ複数の送信間隔の平均値および分散である。ｘバーおよびσ＾２は、それぞれ、以下の式（１０）および（１１）により算出される。

　ここで、ｔは、送信間隔のサンプル数である。ｘｉは、ｉ番目の送信間隔である。サーバは、たとえば、所定の頒布タイミングにおいて、ｘバーおよびσ＾２を含む分布情報を車両１へ送信する。

　分布取得部５８は、車載通信機１１１および通信処理部５１経由でサーバから分布情報を受信すると、受信した分布情報に基づいて、式（９）により示されるモデル関数Ｆｕｎｃ１を作成し、作成したモデル関数Ｆｕｎｃ１を検知部６４へ出力する。

　なお、ゲートウェイ装置１０１では、分布取得部５８が、車載通信機１１１および通信処理部５１経由でサーバから分布情報を受信して検知部６４へ出力する構成であるとしたが、これに限定するものではない。たとえば、ゲートウェイ装置１０１が不揮発性メモリを保持しており、分布取得部５８が、整備用端末装置によってポート１１２経由で分布情報が書き込まれた不揮発性メモリから分布情報を取得して検知部６４へ出力する構成であってもよい。

　図１７は、本開示の第２の実施の形態に係るゲートウェイ装置における検知部による不正メッセージの検出例を示す図である。なお、図１７において、縦軸はスコアを示し、横軸は変数ｘを示す。

　図１７を参照して、検知部６４は、たとえば、監視部５７による監視結果および分布取得部５８によって取得された送信間隔の分布に基づいて不正メッセージを検知する。

　詳細には、検知部６４は、たとえば、監視部５７によって測定された送信間隔と、当該送信間隔の分布を示す分布情報と、所定のしきい値とに基づいて、送信メッセージを不正メッセージとすべきか否かについて判断する。ここでは、検知部６４には、しきい値ＴｈＢが登録されている。

　言い換えると、検知部６４は、たとえば、監視部５７によって測定された送信間隔の、当該送信間隔の分布における位置に基づいて不正メッセージを検知する。

　検知部６４は、分布取得部５８からモデル関数Ｆｕｎｃ１を受けると、受けたモデル関数Ｆｕｎｃ１を変形することによりスコア関数Ｓｃ１を作成する。より詳細には、検知部６４は、たとえば、－ｌｏｇ（Ｆｕｎｃ１）をスコア関数Ｓｃ１として作成する。ここで、「ｌｏｇ（ｃ）」は、ｃの常用対数を意味する。

　図１７では、スコア関数Ｓｃ１は、測定基準の時刻がｘ＝０になるように表されている。したがって、図１７に示す横軸は、送信間隔を示す。また、スコア関数Ｓｃ１は、変数ｘが平均値すなわちｘバーである場合に最小値を示す。

　検知部６４は、監視部５７から受けた送信間隔をスコア関数Ｓｃ１における変数ｘに代入することによりスコアを算出する。

　検知部６４は、算出したスコアがたとえばしきい値ＴｈＢ以下である場合、今回伝送された対象メッセージを不正メッセージとすべきでないと判断する、すなわち対象メッセージが正当メッセージ、または送信間隔が偽装されたメッセージであると判断する。以下、送信間隔が偽装されたメッセージを偽装メッセージとも称する。

　具体的には、検知部６４は、図１７に示す送信間隔Ｔｃを監視部５７から受けた場合、今回伝送された対象メッセージＣが正当メッセージまたは偽装メッセージであると判断する。

　これは、たとえば、対象メッセージが正当メッセージまたは偽装メッセージである場合、調停および内部処理の遅延等によるばらつきを含めても、図１６に示す度数分布の中心の近傍に送信間隔が位置する可能性が高いからである。

　一方、検知部６４は、算出したスコアがしきい値ＴｈＢより大きい場合、今回伝送された対象メッセージが不正メッセージであると判断する。具体的には、検知部６４は、図１７に示す送信間隔Ｔａを監視部５７から受けた場合、今回伝送された対象メッセージＡが不正メッセージであると判断する。同様に、検知部６４は、送信間隔Ｔｂを監視部５７から受けた場合、今回伝送された対象メッセージＢが不正メッセージであると判断する。

　これは、たとえば、対象メッセージが不正メッセージである場合、当該対象メッセージが所定の取り決めに従って送信されていない可能性が高いからである。

　また、セキュリティのレベルを下げる場合、検知部６４に登録されたしきい値をＴｈＢより大きいＴｈＡに変更する。これにより、たとえば、送信間隔Ｔｂに対応する対象メッセージＢのように、検知部６４により不正メッセージと判断された送信メッセージが、しきい値の変更後において正当メッセージまたは偽装メッセージと判断される。

　検知部６４は、監視部５７から受けた送信間隔に基づく判断結果を監視部５７へ通知する。

　監視部５７は、たとえば、正当メッセージまたは偽装メッセージと判断された送信メッセージの受信タイミングを送信間隔の測定基準として用いる。

　より詳細には、監視部５７は、検知部６４から通知された判断結果が、今回伝送された対象メッセージが正当メッセージまたは偽装メッセージであることを示す場合、受信時刻ｔ２を送信間隔の新たな測定基準として用いる。

　そして、監視部５７は、通信処理部５１において登録ＩＤを含む新たな対象メッセージが受信されると、新たに受信された対象メッセージの受信時刻ｔ３を保持するとともに、以下の処理を行う。

　すなわち、監視部５７は、受信時刻ｔ３から受信時刻ｔ２を差し引くことにより、対象メッセージの新たな送信間隔を算出し、算出した送信間隔を検知部６４へ出力する。

　一方、監視部５７は、検知部６４から通知された判断結果が、今回伝送された対象メッセージが不正メッセージであることを示す場合、受信時刻ｔ１を測定基準のまま維持する。

　そして、監視部５７は、通信処理部５１において登録ＩＤを含む新たな対象メッセージが受信されると、新たに受信された対象メッセージの受信時刻ｔ３を保持するとともに、以下の処理を行う。

　すなわち、監視部５７は、受信時刻ｔ３から受信時刻ｔ１を差し引くことにより、対象メッセージの新たな送信間隔を算出し、算出した送信間隔を検知部６４へ出力する。

　検知部６４は、たとえば、監視部５７によって測定された送信間隔の分布に基づいて不正メッセージとすべきでないと判断した対象メッセージについては、当該対象メッセージに格納されたデータの推定誤差ｙｄｉｆｆを算出し、算出した推定誤差ｙｄｉｆｆと、過去に算出した推定誤差ｙｄｉｆｆとに基づいて、不正メッセージであるか否かを判断する。

　より詳細には、検知部６４は、今回伝送された対象メッセージＣが正当メッセージまたは偽装メッセージであると判断した場合、監視部５７から受けた登録ＩＤをデータ取得部５３へ出力する。

　データ取得部５３は、検知部６４から登録ＩＤを受けると、記憶部５２に保存された複数の送信メッセージの中から、受けた登録ＩＤを有する最新の送信メッセージすなわち最新の対象メッセージを取得する。

　この例では、対象メッセージにおいて１つのデータが格納されている。データ取得部５３は、取得した最新の対象メッセージに格納された１つのデータの種類を認識する。なお、対象メッセージにおいて、２つ以上のデータが含まれてもよい。以下、データ取得部５３により取得された最新の対象メッセージに含まれる１つのデータの種類を対象種類とも称する。

　データ取得部５３は、記憶部５２が保存する検出条件情報に含まれる複数のモデル情報を参照し、参照した複数のモデル情報の中から、認識した対象種類を示すモデル情報を記憶部５２から取得する。

　データ取得部５３は、取得したモデル情報に基づいて、対象種類と組み合わされるデータの種類を特定する。以下、対象種類と組み合わされるデータの種類を相手方種類とも称する。また、以下、対象種類のデータが監視対象データであり、相手方種類のデータが相関データであるものとする。

　データ取得部５３は、たとえば、対象種類のデータを含む複数の対象メッセージ、および相手方種類のデータを含む複数の送信メッセージを記憶部５２から取得し、取得した各送信メッセージに基づいて、対象種類のデータの受信時刻と相手方種類のデータの受信時刻とを同期させる同期処理を行う。

　データ取得部５３は、同期処理が完了すると、同期させた２種類のデータから最新の２種類のデータの組を取得し、取得した２種類のデータの組、およびモデル情報の示す種類の組み合わせを検知部６４へ出力する。

　検知部６４は、データ取得部５３から２種類のデータの組、およびモデル情報の示す種類の組み合わせを受けると、記憶部５２における検出条件情報に含まれる複数のモデル情報を参照し、受けた組み合わせに対応する通常モデルＭ２を記憶部５２における対応のモデル情報から取得する。

　検知部６４は、データ取得部５３によって取得された対象種類のデータおよび相手方種類のデータの組、ならびにモデル情報Ｍｄ２に含まれる通常モデルＭ２に基づいて、対象種類のデータの推定誤差ｙｄｉｆｆを算出する。

　検知部５４は、算出した推定誤差ｙｄｉｆｆ、ならびにモデル情報Ｍｄ２に含まれる平均値μおよび分散σ＾２を上述の式（２）に代入することによりマハラノビス距離Ｄ（ｔ）＾２を算出する。

　検知部５４は、マハラノビス距離Ｄ（ｔ）＾２を算出すると、算出したマハラノビス距離Ｄ（ｔ）＾２を上述の式（４）に代入することによりスコアＴ（ｔ）＾２を算出し、算出したスコアＴ（ｔ）＾２に基づいて、対象メッセージが不正メッセージであるか否かを判断する。

　検知部６４は、対象メッセージが不正メッセージであると判断した場合、たとえば、以下の処理を行う。すなわち、検知部６４は、登録ＩＤ、相手方種類のデータを含む送信メッセージのＩＤ、および対応の種類の組み合わせ等を記憶部５２に記録する。

　また、検知部６４は、伝送線１３において不正メッセージが伝送されていることを車両１内または車両１外における上位装置へ通信処理部５１経由で通知する。

　［動作の流れ］
　図１８は、本開示の第２の実施の形態に係るゲートウェイ装置が対象メッセージを受信する際の動作手順を定めたフローチャートである。

　図１８を参照して、まず、ゲートウェイ装置１０３は、最初の対象メッセージを受信し、当該対象メッセージの受信時刻を測定基準として設定する（ステップＳ３０２）。

　次に、ゲートウェイ装置１０３は、対象メッセージを待ち受ける（ステップＳ３０４でＮＯ）。

　そして、ゲートウェイ装置１０３は、対象メッセージを受信すると（ステップＳ３０４でＹＥＳ）、受信した対象メッセージを不正メッセージとすべきか否かについて判断する判断処理を行う（ステップＳ３０６）。

　次に、ゲートウェイ装置１０３は、新たな対象メッセージを待ち受ける（ステップＳ３０６でＮＯ）。

　図１９は、本開示の第２の実施の形態に係るゲートウェイ装置が判断処理を行う際の動作手順を定めたフローチャートである。図１９は、図１８のステップＳ３０６における動作の詳細を示している。

　図１９を参照して、ゲートウェイ装置１０３は、対象メッセージの受信時刻から測定基準を差し引くことにより送信間隔を算出する（ステップＳ４０２）。

　次に、ゲートウェイ装置１０３は、算出した送信間隔をスコア関数Ｓｃ１に代入することによりスコアを算出する（ステップＳ４０４）。

　次に、ゲートウェイ装置１０３は、算出したスコアがしきい値ＴｈＢより大きい場合（ステップＳ４０６でＮＯ）、今回伝送された対象メッセージが不正メッセージであると判断する（ステップＳ４２８）。

　一方、ゲートウェイ装置１０３は、算出したスコアがしきい値ＴｈＢ以下である場合（ステップＳ４０６でＹＥＳ）、今回伝送された対象メッセージが正当メッセージまたは偽装メッセージであると判断する（ステップＳ４０８）。

　次に、ゲートウェイ装置１０３は、測定基準を、今回伝送された対象メッセージの受信時刻に更新する（ステップＳ４１０）。

　次に、ゲートウェイ装置１０３は、対象種類のデータすなわち監視対象データ、および相手方種類のデータすなわち相関データの両方が対象メッセージに格納されているか否かを確認する（ステップＳ４１２）。

　次に、ゲートウェイ装置１０３は、監視対象データおよび相関データの両方が対象メッセージに含まれない場合、すなわち別個の送信メッセージに分かれて含まれる場合（ステップＳ４１２でＮＯ）、監視対象データおよび相関データに対して同期処理を行う（ステップＳ４１４）。

　次に、ゲートウェイ装置１０３は、２種類のデータの組、より詳細には監視対象データおよび相関データの組を対象メッセージから取得するか、または同期処理を行った監視対象データおよび相関データから、監視対象データおよび相関データの最新の組を取得する（ステップＳ４１６）。

　次に、ゲートウェイ装置１０３は、監視対象データおよび相関データの組に対応する通常モデルＭ２を記憶部５２から取得する（ステップＳ４１８）。

　次に、ゲートウェイ装置１０３は、取得した監視対象データおよび相関データの組、ならびに通常モデルＭ２に基づいて、監視対象データの推定誤差ｙｄｉｆｆを算出する。また、ゲートウェイ装置１０３は、算出した推定誤差ｙｄｉｆｆ、および通常モデルＭ２を用いて作成された推定誤差ｙｄｉｆｆの分布に基づいて、マハラノビス距離Ｄ（ｔ）＾２を算出する。また、ゲートウェイ装置１０３は、算出したマハラノビス距離Ｄ（ｔ）＾２と、記憶部５２における直前に算出したマハラノビス距離Ｄ（ｔ－１）＾２とに基づいて、スコアＴ（ｔ）＾２を算出する（ステップＳ４２０）。

　次に、ゲートウェイ装置１０３は、算出したスコアＴ（ｔ）＾２と、所定のしきい値Ｔｈ１とを比較する（ステップＳ４２２）。

　次に、ゲートウェイ装置１０３は、スコアＴ（ｔ）＾２がしきい値Ｔｈ１より小さい場合、今回伝送された対象メッセージが正当メッセージであると判断する（ステップＳ４２６）。

　一方、ゲートウェイ装置１０３は、スコアＴ（ｔ）＾２がしきい値Ｔｈ１以上である場合、今回伝送された対象メッセージが不正メッセージであると判断する（ステップＳ４２８）。

　なお、本開示の第２の実施の形態に係るゲートウェイ装置では、監視部５７は、対象メッセージの受信時刻に基づいて送信間隔を測定する構成であるとしたが、これに限定するものではない。監視部５７は、たとえば、対象メッセージの送信時刻を取得し、取得した送信時刻に基づいて送信間隔を測定する構成であってもよい。

　また、本開示の第２の実施の形態に係るゲートウェイ装置は、テスト車両において測定された対象メッセージの送信間隔の分布を取得する構成であるとしたが、これに限定するものではない。ゲートウェイ装置１０３は、車両１において測定された送信間隔を蓄積し、蓄積した送信間隔に基づいて当該分布を作成する構成であってもよい。

　その他の構成および動作は第１の実施の形態に係るゲートウェイ装置と同様であるため、ここでは詳細な説明を繰り返さない。

　なお、本開示の第１の実施の形態および第２の実施の形態に係る各装置の構成要素および動作のうち、一部または全部を適宜組み合わせることも可能である。

　上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　以上の説明は、以下に付記する特徴を含む。

　［付記１］
　車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、
　前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部と、
　予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶する記憶部と、
　前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、
　前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部とを備え、
　前記データは、センサデータであり、
　前記時刻は、受信時刻、送信時刻または作成時刻であり、
　前記判断部は、前記推定誤差と、過去に算出した前記推定誤差とに基づいて、ＣＵＳＵＭ、ＭＣＵＳＵＭ、ＥＷＭＡまたはＭＥＷＭＡに従う解析手法を用いて、前記対象種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する、検知装置。

　［付記２］
　車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、
　前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、
　前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部と、
　予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶する記憶部と、
　前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、
　前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部とを備え、
　前記メッセージ取得部、前記データ取得部、前記算出部および前記判断部は、プロセッサにより実現される、検知装置。

　１　　　　　　　車両
　１２　　　　　　車載ネットワーク
　１３，１４　　　伝送線
　５１　　　　　　通信処理部
　５２　　　　　　記憶部
　５３　　　　　　データ取得部
　５４　　　　　　検知部
　５５　　　　　　メッセージ取得部
　５７　　　　　　監視部
　５８　　　　　　分布取得部
　６４　　　　　　検知部
　１０１，１０３　ゲートウェイ装置
　１１１　　　　　車載通信機
　１１２　　　　　ポート
　１２１　　　　　バス接続装置群
　１２２　　　　　制御装置
　３０１　　　　　車載通信システム

Claims (13)

1. 　車両に搭載される車載ネットワークにおける不正メッセージを検知する検知装置であって、
   　前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、
   　前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部と、
   　予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶する記憶部と、
   　前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、
   　前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部とを備える、検知装置。
2. 　前記算出部は、算出した前記推定誤差、および前記検出条件を用いて作成された前記推定誤差の分布に基づいて、前記監視対象の前記種類の前記データの正当性に関する評価値を算出し、
   　前記判断部は、前記算出部により算出された前記評価値と、前記算出部により過去に算出された前記評価値とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する、請求項１に記載の検知装置。
3. 　前記判断部は、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記推定誤差の移動平均を算出し、算出した前記移動平均に基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する、請求項１に記載の検知装置。
4. 　前記検出条件は、所定の相関関係を有する複数種類のデータの前記組に基づいて作成されている、請求項１から請求項３のいずれか１項に記載の検知装置。
5. 　前記監視対象の前記種類の前記データと前記相関関係を有する前記データである相関データが複数種類ある場合、前記監視対象の前記種類の前記データと前記複数種類の前記相関データとに基づいて１つの前記検出条件が作成されている、請求項４に記載の検知装置。
6. 　前記監視対象の前記種類の前記データと前記相関関係を有する前記データである相関データが複数種類ある場合、前記監視対象の前記種類の前記データと前記複数種類の前記相関データとに基づいて複数の前記検出条件がそれぞれ作成されている、請求項４に記載の検知装置。
7. 　前記データは、状態を表すステータスデータである、請求項１から請求項６のいずれか１項に記載の検知装置。
8. 　前記データ取得部は、異なる前記送信メッセージにそれぞれ含まれる前記複数種類のデータの組を取得する、請求項１から請求項７のいずれか１項に記載の検知装置。
9. 　前記メッセージ取得部は、取得した複数の前記送信メッセージを記憶部に保存し、
   　前記データ取得部は、前記記憶部に保存された各前記送信メッセージから前記組を取得する、請求項８に記載の検知装置。
10. 　前記検知装置は、さらに、
    　前記車載ネットワークにおける前記送信メッセージを監視する監視部と、
    　前記送信メッセージの送信間隔の分布を取得する分布取得部とを備え、
    　前記判断部は、前記監視部による監視結果および前記分布取得部によって取得された前記分布に基づいて不正メッセージを検知し、
    　前記算出部は、前記判断部により前記分布に基づいて不正メッセージとすべきでないと判断された前記送信メッセージについては、前記送信メッセージに格納された前記データの前記推定誤差を算出し、
    　前記判断部は、前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記分布に基づいて不正メッセージとすべきでないと判断した前記送信メッセージが不正メッセージであるか否か、を判断する、請求項１から請求項９のいずれか１項に記載の検知装置。
11. 　請求項１から請求項１０のいずれか１項に記載の検知装置を備える、車両。
12. 　車両に搭載される車載ネットワークにおける不正メッセージを検知し、記憶部を備える検知装置における検知方法であって、
    　前記車載ネットワークにおける１または複数の送信メッセージを取得するステップと、
    　取得した前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するステップとを含み、
    　前記記憶部は、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶し、
    　前記検知方法は、さらに、
    　取得した前記組、および前記検出条件に基づいて、前記組における監視対象の前記種類の前記データの推定誤差を算出するステップと、
    　算出した前記推定誤差と、過去に算出した前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断するステップとを含む、検知方法。
13. 　車両に搭載される車載ネットワークにおける不正メッセージを検知し、記憶部を備える検知装置において用いられる検知プログラムであって、
    　コンピュータを、
    　前記車載ネットワークにおける１または複数の送信メッセージを取得するメッセージ取得部と、
    　前記メッセージ取得部によって取得された前記送信メッセージに含まれる、同じ時刻に対応する複数種類のデータの組を取得するデータ取得部、
    として機能させるためのプログラムであり、
    　前記記憶部は、予め作成された、複数の時刻にそれぞれ対応する複数の前記組に基づく検出条件を記憶し、
    　さらに、コンピュータを、
    　前記データ取得部によって取得された前記組、および前記検出条件に基づいて、前記組における監視対象の種類の前記データの推定誤差を算出する算出部と、
    　前記算出部により算出された前記推定誤差と、前記算出部により過去に算出された前記推定誤差とに基づいて、前記監視対象の前記種類の前記データに対応する前記送信メッセージが不正メッセージであるか否かを判断する判断部、
    として機能させるための、検知プログラム。

Images