WO2022085260A1

WO2022085260A1 - 異常検知装置、異常検知方法及びプログラム

Info

Publication number: WO2022085260A1
Application number: PCT/JP2021/027124
Authority: WO
Inventors: 薫横田; 崇之藤井; 稔久中野
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2020-10-22
Filing date: 2021-07-20
Publication date: 2022-04-28
Also published as: JP7296555B2; DE112021005629T5; JPWO2022085260A1; US11841942B2; US20230229762A1

Abstract

異常検知装置（１０）は、移動体における異常を検知する装置であって、検知された異常の種別を判定する種別判定部（１０３）と、前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定する種別変化判定部（１０５）と、当該変化がない場合、今回検知された異常に関する異常検知ログを送信せず、当該変化がある場合、今回検知された異常に関する異常検知ログを送信する異常検知ログ送信部（１０７）と、を備える。

Description

異常検知装置、異常検知方法及びプログラム

　本開示は、異常を検知する異常検知装置、異常検知方法及びプログラムに関する。

　特許文献１には、複数の車両の各々の車内に設置されたサイバーウォッチマンと、車外に設置されたサイバーハブとを備える自動車安全システムが開示されている。サイバーウォッチマンは、車載通信ネットワークに接続され、車載通信ネットワーク上の通信トラフィックデータを取得する。サイバーハブは、例えばインターネットなどの通信ネットワークを介して、サイバーウォッチマンからサイバーウォッチマンが取得した通信トラフィックデータを受信する。これにより、サイバーハブは、複数の車両から通信トラフィックデータを集約することができ、車両のサイバー攻撃に対する高次の情報を取得することができる。

特許第６３８２７２４号公報

　しかしながら、上記従来技術では、サイバーハブは、サイバーウォッチマンから膨大なデータを受信するため、通信データ量が膨大になる場合がある。

　そこで、本開示は、通信データ量を削減できる異常検知装置等を提供する。

　本開示の一態様に係る異常検知装置は、移動体における異常を検知する異常検知装置であって、検知された異常の種別を判定する種別判定部と、前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定する種別変化判定部と、前記変化がない場合、今回検知された異常に関する異常検知ログを送信せず、前記変化がある場合、今回検知された異常に関する異常検知ログを送信する異常検知ログ送信部と、を備える。

　また、本開示の一態様に係る異常検知方法は、移動体における異常を検知する異常検知方法であって、検知された異常の種別を判定し、前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定し、前記変化がない場合、今回検知された異常に関する異常検知ログを送信せず、前記変化がある場合、今回検知された異常に関する異常検知ログを送信する処理を含む。

　また、本開示の一態様に係るプログラムは、上記の異常検知方法をコンピュータに実行させるためのプログラムである。

　本開示の一態様に係る異常検知装置等によれば、通信データ量を削減できる。

図１は、実施の形態における異常検知システムの一例を示す構成図である。図２は、比較例における異常検知ログの送信タイミングを説明するための図である。図３は、実施の形態における異常検知装置の一例を示す構成図である。図４は、実施の形態における異常検知装置の動作の一例を示すフローチャートである。図５は、実施の形態における異常検知ログ及びハートビート信号の送信タイミングの一例を示すタイミングチャートである。図６は、実施の形態における異常検知装置の動作の他の一例を示すフローチャートである。図７は、実施の形態における異常検知ログ及びハートビート信号の送信タイミングの他の一例を示すタイミングチャートである。図８は、その他の実施の形態における異常検知方法の一例を示すフローチャートである。

　（実施の形態）
　以下、実施の形態における異常検知装置について図面を参照しながら説明する。

　［異常検知システムの構成］
　まず、実施の形態における異常検知装置が適用された異常検知システムについて、図１を用いて説明する。

　図１は、実施の形態における異常検知システム１の一例を示す構成図である。

　異常検知システム１は、複数の異常検知装置１０と攻撃判定装置２０とを備えるシステムであり、移動体への攻撃を判定する。

　異常検知装置１０は、移動体におけるネットワークや機器が攻撃されたときに発生する、移動体におけるネットワーク及び機器の異常を検知する装置である。例えば、ネットワークは自動車における車載ネットワークであり、異常検知装置１０は自動車に搭載され、車載ネットワークの通信の異常を検知する。また、機器は例えば自動車内のＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）であり、異常検知装置１０は機器に接続若しくは機器内に組み込まれており、機器の動作の異常を検知する。例えば、複数の異常検知装置１０のうち、ある異常検知装置１０は、ＣＡＮ（Ｃｏｎｔｒｏｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）バストラフィックの異常を検知し、ある異常検知装置１０は、Ｅｔｈｅｒｎｅｔ（登録商標）バストラフィックの異常を検知し、ある異常検知装置１０は、自身が接続されている、若しくは、組み込まれているＥＣＵの動作の異常を検知する。異常検知装置１０は、異常を検知した場合、異常検知結果から当該異常に関する異常検知ログを生成する。異常検知ログには、検知された異常の種別、当該異常を検知した異常検知装置１０の情報（識別情報等）及び当該異常を検知した検知時刻等が含まれる。異常検知装置１０は、生成した異常検知ログを攻撃判定装置２０に送信する。

　攻撃判定装置２０は、複数の異常検知装置１０から送信される異常検知ログを集約する装置である。攻撃判定装置２０は、集約した異常検知ログを用いて、ネットワークへの攻撃についての判定を行う。

　本開示では、異常検知装置１０は、生成した全ての異常検知ログを攻撃判定装置２０に送信しない。生成した全ての異常検知ログが送信される場合、以下の比較例で説明する問題が生じるためである。

　［比較例］
　図２は、比較例における異常検知ログの送信タイミングを説明するための図である。図２において、横軸は時刻であり、「異常検知結果」の行において丸で囲った「Ａ」、「Ｂ」及び「Ｃ」は、種別Ａ、Ｂ及びＣの異常が検知されたことを示し、「異常検知ログ送信」の行において丸で囲った「Ａ」、「Ｂ」及び「Ｃ」は、種別Ａ、Ｂ及びＣの異常に関する異常検知ログが送信されたことを示す。

　図２に示されるように、比較例では、異常が検知されるごとに異常検知ログが生成され、その都度、異常検知ログが送信されていることがわかる。比較例では、異常が検知されるごとに各異常検知装置から膨大な異常検知ログが攻撃判定装置２０に送信されるため、通信データ量が膨大になる。これに対して、本開示の異常検知装置１０によれば、通信データ量を削減できる。以下、通信データ量を削減できる異常検知装置１０について説明する。

　［異常検知装置の構成］
　図３は、実施の形態における異常検知装置１０の一例を示す構成図である。

　異常検知装置１０は、移動体（ここでは自動車）における異常を検知するためのコンピュータである。例えば、異常検知装置１０は、自動車或いは自動車内のＥＣＵに搭載され、ＣＡＮバストラフィック、Ｅｔｈｅｒｎｅｔバストラフィック又はＥＣＵの動作を監視する。また、異常検知装置１０は、これらを監視することで、これらの異常を検知し、異常検知ログを攻撃判定装置２０へ送信する。また、異常検知装置１０は、死活監視のためにハートビート信号を攻撃判定装置２０へ送信する機能を有する。

　異常検知装置１０は、プロセッサ、メモリ及び通信インタフェース等を含む。メモリは、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）及びＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等であり、プロセッサにより実行されるプログラムを記憶することができる。異常検知装置１０は、制御部１０１、監視対象ログ取得部１０２、種別判定部１０３、変化判定用一時保持部１０４、種別変化判定部１０５、異常検知ログ送信判定部１０６、異常検知ログ送信部１０７、タイマー１０８、ハートビート信号用一時保持部１０９、ハートビート信号生成部１１０及びハートビート信号送信部１１１を備える。制御部１０１、種別判定部１０３、種別変化判定部１０５、異常検知ログ送信判定部１０６、タイマー１０８及びハートビート信号生成部１１０は、メモリに格納されたプログラムを実行するプロセッサ等によって実現される。監視対象ログ取得部１０２、異常検知ログ送信部１０７及びハートビート信号送信部１１１は、通信インタフェースによって実現される。変化判定用一時保持部１０４及びハートビート信号用一時保持部１０９は、メモリによって実現される。プログラムが記憶されるメモリ、変化判定用一時保持部１０４及びハートビート信号用一時保持部１０９は、それぞれ別のメモリであってもよいし、１つのメモリであってもよい。なお、異常検知装置１０は、自動車等と通信可能に接続されたサーバであってもよい。また、異常検知装置１０を構成する構成要素は、複数のサーバに分散して配置されていてもよく、異常検知装置１０は異常検知システムであってもよい。

　制御部１０１は、監視対象ログ取得部１０２、種別判定部１０３、変化判定用一時保持部１０４、種別変化判定部１０５、異常検知ログ送信判定部１０６、異常検知ログ送信部１０７、タイマー１０８、ハートビート信号用一時保持部１０９、ハートビート信号生成部１１０及びハートビート信号送信部１１１を制御する。

　監視対象ログ取得部１０２は、監視対象のログを取得する。異常検知装置１０の監視対象がＣＡＮバストラフィックの場合、監視対象ログ取得部１０２は、ＣＡＮバスに流れるメッセージのログを取得する。異常検知装置１０の監視対象がＥｔｈｅｒｎｅｔバストラフィックの場合、監視対象ログ取得部１０２は、Ｅｔｈｅｒｎｅｔバスに流れるメッセージのログを取得する。異常検知装置１０の監視対象がＥＣＵ動作の場合、監視対象ログ取得部１０２は、ＥＣＵの動作ログを取得する。

　種別判定部１０３は、監視対象ログ取得部１０２によって取得された監視対象のログに基づいて、監視対象の異常を検知し、検知された異常の種別を判定する。種別判定部１０３は、異常の種別として、ネットワークの通信量の異常、ネットワークを流れるメッセージの異常（例えば、メッセージに含まれるメッセージＩＤの異常）、機器の動作異常（例えば、許可されていないデータやファイルへの読み書き、機器認証エラー）の種別を判定する。

　変化判定用一時保持部１０４は、種別判定部１０３によって判定された異常の種別を一時的に保持する。

　種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定する。具体的には、種別変化判定部１０５は、変化判定用一時保持部１０４に保持された前回検知された異常の種別と、今回検知された異常の種別とを比較し、異常の種別に変化があるか否かを判定する。なお、当該判定後に、変化判定用一時保持部１０４に保持されていた前回検知された異常の種別は消去される。

　異常検知ログ送信判定部１０６は、前回検知された異常の種別と今回検知された異常の種別との間に変化がない場合、今回検知された異常に関する異常検知ログを送信しないと判定する。これにより、異常検知ログ送信部１０７は、今回検知された異常に関する異常検知ログを送信しない。異常検知ログ送信判定部１０６は、前回検知された異常の種別と今回検知された異常の種別との間に変化がある場合、今回検知された異常に関する異常検知ログを送信すると判定する。これにより、異常検知ログ送信部１０７は、今回検知された異常に関する異常検知ログを送信する。

　タイマー１０８は、異常検知装置１０がハートビート信号を定期的に送信するためのタイマーであり、一定時間経過してタイマー１０８がタイムアウトしたときにハートビート信号が送信される。そして、ハートビート信号が送信されたときにタイマー１０８はリセットされ、再度一定時間経過してタイマー１０８がタイムアウトしたときにハートビート信号が送信される。これが繰り返されることで、ハートビート信号を定期的に送信することができる。

　ハートビート信号用一時保持部１０９は、異常検知結果を保持する保持部の一例である。ハートビート信号用一時保持部１０９が保持する異常検知結果は、ハートビート信号が送信されるまでの所定の期間に異常が検知されたことを示す情報を含む。或いは、ハートビート信号用一時保持部１０９が保持する異常検知結果は、ハートビート信号が送信されるまでの所定の期間に検知された異常の種別を含む。なお、ハートビート信号用一時保持部１０９が保持する異常検知結果は、所定の期間に異常が検知されたことを示す情報、及び、所定の期間に検知された異常の種別の両方を含んでいてもよい。ハートビート信号が送信される際に、ハートビート信号用一時保持部１０９に保持された異常検知結果が消去される。所定の期間は、例えば、前回ハートビート信号が送信されてから今回ハートビート信号が送信されるまでの期間（言い換えるとハートビート周期）である。すなわち、今回ハートビート信号が送信される直前のハートビート周期の異常検知結果がハートビート信号用一時保持部１０９に一時的に保持され、今回ハートビート信号が送信されると、ハートビート信号用一時保持部１０９に保持されている今回ハートビート信号が送信される直前のハートビート周期の異常検知結果が消去される。

　ハートビート信号生成部１１０は、タイマー１０８がタイムアウトしたときにハートビート信号を生成する。

　ハートビート信号送信部１１１は、ハートビート信号を定期的に送信する。具体的には、ハートビート信号送信部１１１は、タイマー１０８がタイムアウトするごとにハートビート信号生成部１１０によって生成されるハートビート信号を送信する。

　ハートビート信号生成部１１０は、ハートビート信号を送信するまでの所定の期間に異常が検知された場合、ハートビート信号用一時保持部１０９に保持された異常検知結果に含まれる異常が検知されたことを示す情報を含むハートビート信号を生成する。これにより、ハートビート信号送信部１１１は、ハートビート信号用一時保持部１０９に保持された異常検知結果に含まれる異常が検知されたことを示す情報を含むハートビート信号を送信する。或いは、ハートビート信号生成部１１０は、ハートビート信号を送信するまでの所定の期間に異常が検知された場合、ハートビート信号用一時保持部１０９に保持された異常検知結果に含まれる異常の種別を含むハートビート信号を生成する。これにより、ハートビート信号送信部１１１は、ハートビート信号用一時保持部１０９に保持された異常検知結果に含まれる異常の種別を含むハートビート信号を送信する。

　［異常検知装置の動作の一例］
　次に、異常検知装置１０の動作の一例について、図４を用いて説明する。

　図４は、実施の形態における異常検知装置１０の動作の一例を示すフローチャートである。

　まず、異常検知装置１０は、変化判定用一時保持部１０４、ハートビート信号用一時保持部１０９、及び、タイマー１０８の初期化（リセット）を行う（ステップＳ１０１）。

　次に、異常検知装置１０は、異常を検知したか否か、ハートビート信号の送信タイミングであるか否かを判定する（ステップＳ１０２）。異常検知装置１０は、種別判定部１０３が異常を検知した場合、異常を検知したと判定する。また、異常検知装置１０は、タイマー１０８がタイムアウトした場合、ハートビート信号の送信タイミングであると判定する。

　異常検知装置１０は、異常を検知していない場合、或いは、ハートビート信号の送信タイミングでない場合（ステップＳ１０２でＮｏ）、異常を検知するまで、或いは、ハートビート信号の送信タイミングとなるまで、ステップＳ１０２での処理を繰り返す。

　異常検知装置１０（種別判定部１０３）は、異常を検知した場合（ステップＳ１０２で「異常検知」）、異常検知結果を変化判定用一時保持部１０４に一時的に保管する（ステップＳ１０３）。変化判定用一時保持部１０４に保持される異常検知結果には、検知された異常の種別が含まれる。

　次に、異常検知装置１０（種別変化判定部１０５）は、前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定する（ステップＳ１０４）。具体的には、異常検知装置１０は、変化判定用一時保持部１０４に保持された前回検知された異常の異常検知結果に含まれる異常の種別と、変化判定用一時保持部１０４に保持された今回検知された異常の異常検知結果に含まれる異常の種別とを比較し、前回と今回とで異常の種別が変化しているか否かを判定する。

　異常検知装置１０（異常検知ログ送信部１０７）は、前回検知された異常の種別と今回検知された異常の種別との間に変化がある場合（ステップＳ１０４でＹｅｓ）、今回検知された異常に関する異常検知ログを送信する（ステップＳ１０５）。

　一方で、異常検知装置１０（異常検知ログ送信部１０７）は、前回検知された異常の種別と今回検知された異常の種別との間に変化がない場合（ステップＳ１０４でＮｏ）、今回検知された異常に関する異常検知ログを送信しない（ステップＳ１０６）。

　このように、検知された異常に関する異常検知ログが全て送信されるのではなく、前回検知された異常の種別と今回検知された異常の種別との間に変化がある場合のみ、今回検知された異常に関する異常検知ログが送信される。

　次に、異常検知装置１０は、ハートビート信号の送信タイミングとなった場合（ステップＳ１０２で「ハートビートタイミング」）、所定の期間における異常検知結果を読み取る（ステップＳ１０７）。ハートビート信号用一時保持部１０９には、所定の期間に異常が検知されたことを示す情報を含む異常検知結果、又は、所定の期間に検知された異常の種別を含む異常検知結果が保持される。このため、異常検知装置１０は、ハートビート信号用一時保持部１０９から所定の期間における異常検知結果を読み取ることができる。

　次に、異常検知装置１０（ハートビート信号生成部１１０）は、ハートビート信号を生成する（ステップＳ１０８）。異常検知装置１０は、所定の期間に異常が検知された場合、ハートビート信号用一時保持部１０９に保持された異常検知結果に含まれる、異常が検知されたことを示す情報又は異常の種別を含むハートビート信号を生成する。

　次に、異常検知装置１０（ハートビート信号送信部１１１）は、生成されたハートビート信号を送信する（ステップＳ１０９）。

　次に、異常検知装置１０は、所定の期間に異常が検知され、ハートビート信号用一時保持部１０９に異常検知結果が保持されている場合には、ハートビート信号用一時保持部１０９から所定の期間における異常検知結果を消去する（ステップＳ１１０）。

　そして、異常検知装置１０は、ハートビート信号を定期的に送信するためのタイマー１０８をリセットする（ステップＳ１１１）。これにより、異常検知装置１０は、ハートビート信号の次の送信タイミングとなった場合に、ハートビート信号を送信することができる。

　このように、ハートビート信号を送信するまでの所定の期間に異常が検知された場合、所定の期間に異常が検知されたことを示す情報、又は、所定の期間に検知された異常の種別を含むハートビート信号が送信される。

　次に、異常検知ログ及びハートビート信号の送信タイミングについて、図５を用いて具体的に説明する。

　図５は、実施の形態における異常検知ログ及びハートビート信号の送信タイミングの一例を示すタイミングチャートである。なお、ここでは、所定の期間に検知された異常の種別を含むハートビート信号が送信される例について説明する。

　図５に示されるように、時刻ｔａ、ｔｂ、ｔｃ、ｔｄ及びｔｅにハートビート信号が定期的に送信されていることがわかる。時刻ｔａ及びｔｂ間、時刻ｔｂ及びｔｃ間、時刻ｔｃ及びｔｄ間、並びに、時刻ｔｄ及びｔｅ間は、ハートビート周期であり、所定の期間に対応する。

　時刻ｔａにおいて、タイマー１０８がタイムアウトしてハートビート信号が送信され、タイマー１０８がリセットされる。時刻ｔａにハートビート信号が送信されるまでの所定の期間（図示せず）に異常が検知されておらず、図５において「Ｎｏｎｅ」と示すように、時刻ｔａに送信されるハートビート信号には異常の種別が含まれていない。

　時刻ｔ１において、種別判定部１０３は、異常を検知し、当該異常の種別を種別Ａと判定する。なお、時刻ｔ１以前に異常が検知されておらず、変化判定用一時保持部１０４には、前回検知された異常の種別が保持されていないとする。この場合には、種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化があると判定する。異常検知ログ送信部１０７は、前回検知された異常の種別と今回検知された異常の種別との間に変化があると判定されたため、異常検知ログを送信する。ここでは、種別Ａの異常に関する異常検知ログが送信される。時刻ｔ１以前に異常が検知されていなかったため、当該異常検知ログを受信した攻撃判定装置２０は、時刻ｔ１に異常検知ログを受信することで、時刻ｔ１に攻撃が開始されたと判定することができる。

　時刻ｔ２において、種別判定部１０３は、異常を検知し、当該異常の種別を種別Ａと判定する。前回検知された異常の種別が、種別Ａであるため、種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定する。異常検知ログ送信部１０７は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定されたため、異常検知ログを送信しない。

　時刻ｔ３において、種別判定部１０３は、異常を検知し、当該異常の種別を種別Ｂと判定する。前回検知された異常の種別が、種別Ａであるため、種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化があると判定する。異常検知ログ送信部１０７は、前回検知された異常の種別と今回検知された異常の種別との間に変化があると判定されたため、異常検知ログを送信する。ここでは、種別Ｂの異常に関する異常検知ログが送信される。

　時刻ｔｂにおいて、タイマー１０８がタイムアウトしてハートビート信号が送信され、タイマー１０８がリセットされる。時刻ｔｂにハートビート信号が送信されるまでの所定の期間（時刻ｔａ及びｔｂ間）に種別Ａ及びＢの異常が検知されており、時刻ｔｂに送信されるハートビート信号には異常の種別Ａ及びＢが含まれる。ハートビート信号を受信した攻撃判定装置２０は、時刻ｔａ及びｔｂ間に種別Ａ及びＢの異常が検知されたことを認識することができる。

　時刻ｔ４において、種別判定部１０３は、異常を検知し、当該異常の種別を種別Ｂと判定する。前回検知された異常の種別が、種別Ｂであるため、種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定する。異常検知ログ送信部１０７は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定されたため、異常検知ログを送信しない。

　時刻ｔ５において、種別判定部１０３は、異常を検知し、当該異常の種別を種別Ｃと判定する。前回検知された異常の種別が、種別Ｂであるため、種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化があると判定する。異常検知ログ送信部１０７は、前回検知された異常の種別と今回検知された異常の種別との間に変化があると判定されたため、異常検知ログを送信する。ここでは、種別Ｃの異常に関する異常検知ログが送信される。

　時刻ｔ６において、種別判定部１０３は、異常を検知しない。この場合には、種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定する。異常検知ログ送信部１０７は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定されたため、異常検知ログを送信しない。

　時刻ｔｃにおいて、タイマー１０８がタイムアウトしてハートビート信号が送信され、タイマー１０８がリセットされる。時刻ｔｃにハートビート信号が送信されるまでの所定の期間（時刻ｔｂ及びｔｃ間）に種別Ｂ及びＣの異常が検知されており、時刻ｔｃに送信されるハートビート信号には異常の種別Ｂ及びＣが含まれる。ハートビート信号を受信した攻撃判定装置２０は、時刻ｔｂ及びｔｃ間に種別Ｂ及びＣの異常が検知されたことを認識することができる。

　時刻ｔ７において、種別判定部１０３は、異常を検知し、当該異常の種別を種別Ｃと判定する。前回検知された異常の種別が、時刻ｔ５において検知された異常の種別Ｃであるため、種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定する。異常検知ログ送信部１０７は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定されたため、異常検知ログを送信しない。

　時刻ｔ８、ｔ９、ｔ１０、ｔ１１、ｔ１２及びｔ１３では、種別判定部１０３は、異常を検知しない。この場合には、種別変化判定部１０５は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定する。異常検知ログ送信部１０７は、前回検知された異常の種別と今回検知された異常の種別との間に変化がないと判定されたため、異常検知ログを送信しない。

　時刻ｔｄにおいて、タイマー１０８がタイムアウトしてハートビート信号が送信され、タイマー１０８がリセットされる。時刻ｔｄにハートビート信号が送信されるまでの所定の期間（時刻ｔｃ及びｔｄ間）に種別Ｃの異常が検知されており、時刻ｔｄに送信されるハートビート信号には異常の種別Ｃが含まれる。ハートビート信号を受信した攻撃判定装置２０は、時刻ｔｃ及びｔｄ間に種別Ｃの異常が検知されたことを認識することができる。

　時刻ｔｅにおいて、タイマー１０８がタイムアウトしてハートビート信号が送信され、タイマー１０８がリセットされる。時刻ｔｅにハートビート信号が送信されるまでの所定の期間（時刻ｔｄ及びｔｅ間）に異常が検知されておらず、時刻ｔｅに送信されるハートビート信号には異常の種別が含まれていない。ハートビート信号を受信した攻撃判定装置２０は、時刻ｔｄ及びｔｅ間に異常が検知されなかったことを認識することができ、時刻ｔｄ（具体的には、時刻ｔ７、ｔ８及びｔ９のいずれか時刻）に攻撃が終了したと判定することができる。

　［異常検知装置の動作の他の一例］
　次に、異常検知装置１０の動作の他の一例について、図６を用いて説明する。

　図６は、実施の形態における異常検知装置１０の動作の他の一例を示すフローチャートである。なお、図４において説明した処理と同じものについては同じ符号を付して説明を省略する。

　ステップＳ１０５において異常検知ログが送信された場合、異常検知装置１０は、所定の期間における異常検知結果を消去し（ステップＳ２０１）、ハートビート信号の送信のためのタイマー１０８をリセットする（ステップＳ２０２）。本例では、所定の期間は、タイマー１０８がリセットされてからハートビート信号が送信されるまでの期間である。

　本例では、タイマー１０８は、異常検知ログが送信されたとき、及び、ハートビート信号が送信されたときにリセットされる。このため、異常検知装置１０（ハートビート信号送信部１１１）は、タイマー１０８がリセットされてから一定時間異常検知ログが送信されなかった場合にハートビート信号を送信する。言い換えると、異常検知装置１０は、タイマー１０８がリセットされてから一定時間経過する前に異常検知ログを送信した場合には、本来ハートビート信号を送信するタイミングにハートビート信号を送信しない。本来ハートビート信号が送信されるタイミングにハートビート信号が送信されないため、ステップＳ２０１において所定の期間における異常検知結果も不要となり消去される。

　本例における異常検知ログ及びハートビート信号の送信タイミングについて、図７を用いて具体的に説明する。

　図７は、実施の形態における異常検知ログ及びハートビート信号の送信タイミングの他の一例を示すタイミングチャートである。なお、ここでは、所定の期間に検知された異常の種別を含むハートビート信号が送信される例について説明する。また、ここでは、図５と異なる点を中心に説明する。

　図５では、ハートビート信号は、ハートビート周期ごとに送信される例を示したが、図７では、ハートビート信号は周期的に送信されないことがわかる。

　時刻ｔａにおいて、タイマー１０８がタイムアウトしてハートビート信号が送信され、タイマー１０８がリセットされる。

　時刻ｔａにおいてハートビート信号が送信された後、一定時間（具体的にはハートビート周期）が経過する前に、時刻ｔ３において、異常検知ログが送信される。このため、時刻ｔ３において、タイマー１０８がリセットされる。したがって、本来ハートビート信号が送信されるタイミングにハートビート信号が送信されない。例えば、ハートビート信号は、異常検知装置１０の死活監視のために用いられるが、異常検知ログが送信されることで、当該異常検知ログをハートビート信号の代わりに死活監視に用いることができる。

　時刻ｔ３にタイマー１０８がリセットされてから一定時間（ハートビート周期）経過する前に、時刻ｔ５において、異常検知ログが送信され、時刻ｔ５において、タイマー１０８がリセットされる。

　時刻ｔ５にタイマー１０８がリセットされてから一定時間（ハートビート周期）異常検知ログが送信されず、時刻ｔｂにおいて、タイマー１０８がタイムアウトしてハートビート信号が送信され、タイマー１０８がリセットされる。時刻ｔｂにハートビート信号が送信されるまでの所定の期間（時刻ｔ５及びｔｂ間）に種別Ｃの異常が検知されており、時刻ｔｂに送信されるハートビート信号には異常の種別Ｃが含まれる。ハートビート信号を受信した攻撃判定装置２０は、時刻ｔ５（すなわち前回種別Ｃの異常に関する異常検知ログが送信されたタイミング）及びｔｂ間に種別Ｃの異常が検知されたことを認識することができる。

　時刻ｔｃにおいて、タイマー１０８がタイムアウトしてハートビート信号が送信され、タイマー１０８がリセットされる。時刻ｔｃにハートビート信号が送信されるまでの所定の期間（時刻ｔｂ及びｔｃ間）に異常が検知されておらず、時刻ｔｃに送信されるハートビート信号には異常の種別が含まれていない。ハートビート信号を受信した攻撃判定装置２０は、時刻ｔｂ及びｔｃ間に異常が検知されなかったことを認識することができ、時刻ｔｂ（具体的には、時刻ｔ６、ｔ７及びｔ８のいずれかの時刻）に攻撃が終了したと判定することができる。

　［まとめ］
　異常検知装置１０は、移動体（例えば自動車）における異常を検知する装置であって、検知された異常の種別を判定する種別判定部１０３と、前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定する種別変化判定部１０５と、当該変化がない場合、今回検知された異常に関する異常検知ログを送信せず、当該変化がある場合、今回検知された異常に関する異常検知ログを送信する異常検知ログ送信部１０７と、を備える。

　これによれば、検知された異常に関する異常検知ログが全て送信されるのではなく、前回検知された異常の種別と今回検知された異常の種別との間に変化がある場合のみ、今回検知された異常に関する異常検知ログが送信される、このため、通信データ量を削減できる。なお、異常の種別に変化があるときの異常検知ログから異常検知の状態（具体的には、どの期間にどのような種別の異常が検知されていたか等）を再現することができる。また、異常検知ログについての通信データ量が削減されるため、異常検知装置１０から送信された異常検知ログを記憶するストレージ容量（例えば攻撃判定装置２０のストレージ容量）を削減できる。

　例えば、異常検知装置１０は、さらに、ハートビート信号を定期的に送信するハートビート信号送信部１１１と、ハートビート信号が送信されるまでの所定の期間に異常が検知されたことを示す情報を含む異常検知結果を保持するハートビート信号用一時保持部１０９と、を備えていてもよい。ハートビート信号送信部１１１は、所定の期間に異常が検知された場合、ハートビート信号用一時保持部１０９に保持された異常検知結果に含まれる異常が検知されたことを示す情報を含むハートビート信号を送信してもよい。

　最後に異常検知ログが送信されてから異常の種別に変化がない場合、以降異常検知ログが送信されないため、異常を発生させた攻撃が終了したのか、継続しているのかを判定することが難しい。これに対して、ハートビート信号を送信するまでの所定の期間に異常が検知された場合、所定の期間に異常が検知されたことを示す情報を含むハートビート信号が送信される。このため、送信されたハートビート信号に異常が検知されたことを示す情報が含まれている場合には、攻撃が継続していると判定することができ、送信されたハートビート信号に異常が検知されたことを示す情報が含まれていない場合には、攻撃が終了したと判定することができる。

　例えば、異常検知装置１０は、さらに、ハートビート信号を定期的に送信するハートビート信号送信部１１１と、ハートビート信号が送信されるまでの所定の期間に検知された異常の種別を含む異常検知結果を保持するハートビート信号用一時保持部１０９と、を備えていてもよい。ハートビート信号送信部１１１は、所定の期間に異常が検知された場合、ハートビート信号用一時保持部１０９に保持された異常検知結果に含まれる異常の種別を含むハートビート信号を送信してもよい。

　最後に異常検知ログが送信されてから異常の種別に変化がない場合、以降異常検知ログが送信されないため、異常を発生させた攻撃が終了したのか、継続しているのかを判定することが難しい。これに対して、ハートビート信号を送信するまでの所定の期間に異常が検知された場合、所定の期間に検知された異常の種別を含むハートビート信号が送信される。このため、送信されたハートビート信号に異常の種別が含まれている場合には、攻撃が継続していると判定することができ、送信されたハートビート信号に異常の種別が含まれていない場合には、攻撃が終了したと判定することができる。また、定期的に送信されるハートビート信号に異常の種別が含まれるため、ハートビート信号が送信されるタイミングごとにどのような種別の異常が発生したかを認識することができる。

　例えば、ハートビート信号が送信される際に、ハートビート信号用一時保持部１０９に保持された異常検知結果が消去されてもよい。

　ハートビート信号用一時保持部１０９に保持された、ハートビート信号が送信されるまでの所定の期間における異常検知結果は、当該ハートビート信号が送信されたときに不要となる。このため、不要な異常検知結果をハートビート信号用一時保持部１０９から削除して、次のハートビート信号が送信されるまでの所定の期間における異常検知結果をハートビート信号用一時保持部１０９に保持することができる。

　例えば、所定の期間は、前回ハートビート信号が送信されてから今回ハートビート信号が送信されるまでの期間であってもよい。

　これによれば、直前のハートビート周期において異常が検知されたことを示す情報、又は、直前のハートビート周期における異常の種別を含むハートビート信号を送信することができる。

　例えば、異常検知装置１０は、さらに、異常検知ログが送信されたとき、及び、ハートビート信号が送信されたときにリセットされるタイマー１０８を備えていてもよい。ハートビート信号送信部１１１は、タイマー１０８がリセットされてから一定時間異常検知ログが送信されなかった場合にハートビート信号を送信してもよい。

　ハートビート信号は、異常検知装置１０の死活監視のために用いられるが、ハートビート信号の代わりに異常検知ログを死活監視のために用いることもできる。そこで、ハートビート信号を送信するためのタイマー１０８が、異常検知ログが送信されたときにもリセットされる。これにより、タイマー１０８がリセットされてから一定時間経過するまでに異常検知ログが送信された場合にはハートビート信号が送信されなくても、異常検知ログによって異常検知装置１０の死活監視が可能となる。したがって、ハートビート信号の送信回数の削減が可能となり、通信データ量のさらなる削減が可能となる。

　例えば、異常検知ログが送信される際に、ハートビート信号用一時保持部１０９に保持された異常検知結果が消去されてもよい。

　異常検知ログが送信されたときには、ハートビート信号を送信するためのタイマー１０８がリセットされ、ハートビート信号用一時保持部１０９に保持された、ハートビート信号が送信されるまでの所定の期間における異常検知結果が不要となる。このため、不要な異常検知結果をハートビート信号用一時保持部１０９から削除して、次のハートビート信号が送信されるまでの所定の期間における異常検知結果をハートビート信号用一時保持部１０９に保持することができる。

　例えば、所定の期間は、タイマー１０８がリセットされてからハートビート信号が送信されるまでの期間であってもよい。

　これによれば、タイマー１０８がリセットされてからハートビート信号が送信されるまでの期間において異常が検知されたことを示す情報、又は、当該期間における異常の種別を含むハートビート信号を送信することができる。

　（その他の実施の形態）
　以上のように、本開示に係る技術の例示として実施の形態を説明した。しかしながら、本開示に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本開示の一実施の形態に含まれる。

　例えば、上記実施の形態では、異常検知装置１０がハートビート信号送信部１１１及びハートビート信号用一時保持部１０９等、ハートビート信号の送信のための構成要素を備える例について説明したが、ハートビート信号の送信のための構成要素を備えていなくてもよい。

　例えば、上記実施の形態では、移動体として自動車（例えば自動車に搭載される車載ネットワーク）におけるセキュリティ対策について説明したが、本開示の適用範囲は自動車に限らない。例えば、本開示を、自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。

　なお、本開示は、異常検知装置１０として実現できるだけでなく、異常検知装置１０を構成する各構成要素が行うステップ（処理）を含む異常検知方法として実現できる。

　図８は、その他の実施の形態における異常検知方法の一例を示すフローチャートである。

　異常検知方法は、図８に示されるように、移動体における異常を検知する方法であって、検知された異常の種別を判定し（ステップＳ１１）、前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定し（ステップＳ１２）、当該変化がない場合（ステップＳ１２でＮｏ）、今回検知された異常に関する異常検知ログを送信せず（ステップＳ１３）、当該変化がある場合（ステップＳ１２でＹｅｓ）、今回検知された異常に関する異常検知ログを送信する（ステップＳ１４）処理を含む。

　例えば、異常検知方法におけるステップは、コンピュータ（コンピュータシステム）によって実行されてもよい。そして、本開示は、異常検知方法に含まれるステップを、コンピュータに実行させるためのプログラムとして実現できる。

　さらに、本開示は、そのプログラムを記録したＣＤ－ＲＯＭ等である非一時的なコンピュータ読み取り可能な記録媒体として実現できる。

　例えば、本開示が、プログラム（ソフトウェア）で実現される場合には、コンピュータのＣＰＵ、メモリ及び入出力回路等のハードウェア資源を利用してプログラムが実行されることによって、各ステップが実行される。つまり、ＣＰＵがデータをメモリ又は入出力回路等から取得して演算したり、演算結果をメモリ又は入出力回路等に出力したりすることによって、各ステップが実行される。

　また、上記実施の形態の異常検知装置１０に含まれる各構成要素は、専用又は汎用の回路として実現されてもよい。

　また、上記実施の形態の異常検知装置１０に含まれる各構成要素は、集積回路（ＩＣ：Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であるＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ）として実現されてもよい。

　また、集積回路はＬＳＩに限られず、専用回路又は汎用プロセッサで実現されてもよい。プログラム可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、又は、ＬＳＩ内部の回路セルの接続及び設定が再構成可能なリコンフィギュラブル・プロセッサが、利用されてもよい。

　さらに、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて、異常検知装置１０に含まれる各構成要素の集積回路化が行われてもよい。

　その他、実施の形態に対して当業者が思いつく各種変形を施して得られる形態、本開示の趣旨を逸脱しない範囲で各実施の形態における構成要素及び機能を任意に組み合わせることで実現される形態も本開示に含まれる。

　本開示は、例えば自動車に搭載される車載ネットワーク等における異常を検知する装置に適用できる。

　１０　異常検知装置
　２０　攻撃判定装置
　１０１　制御部
　１０２　監視対象ログ取得部
　１０３　種別判定部
　１０４　変化判定用一時保持部
　１０５　種別変化判定部
　１０６　異常検知ログ送信判定部
　１０７　異常検知ログ送信部
　１０８　タイマー
　１０９　ハートビート信号用一時保持部
　１１０　ハートビート信号生成部
　１１１　ハートビート信号送信部

Claims

　移動体における異常を検知する異常検知装置であって、
　検知された異常の種別を判定する種別判定部と、
　前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定する種別変化判定部と、
　前記変化がない場合、今回検知された異常に関する異常検知ログを送信せず、前記変化がある場合、今回検知された異常に関する異常検知ログを送信する異常検知ログ送信部と、を備える、
　異常検知装置。
　さらに、
　ハートビート信号を定期的に送信するハートビート信号送信部と、
　ハートビート信号が送信されるまでの所定の期間に異常が検知されたことを示す情報を含む異常検知結果を保持する保持部と、を備え、
　前記ハートビート信号送信部は、前記所定の期間に異常が検知された場合、前記保持部に保持された異常検知結果に含まれる異常が検知されたことを示す情報を含むハートビート信号を送信する、
　請求項１に記載の異常検知装置。
　さらに、
　ハートビート信号を定期的に送信するハートビート信号送信部と、
　ハートビート信号が送信されるまでの所定の期間に検知された異常の種別を含む異常検知結果を保持する保持部と、を備え、
　前記ハートビート信号送信部は、前記所定の期間に異常が検知された場合、前記保持部に保持された異常検知結果に含まれる異常の種別を含むハートビート信号を送信する、
　請求項１又は２に記載の異常検知装置。
　ハートビート信号が送信される際に、前記保持部に保持された異常検知結果が消去される、
　請求項２又は３に記載の異常検知装置。
　前記所定の期間は、前回ハートビート信号が送信されてから今回ハートビート信号が送信されるまでの期間である、
　請求項２～４のいずれか１項に記載の異常検知装置。
　さらに、異常検知ログが送信されたとき、及び、ハートビート信号が送信されたときにリセットされるタイマーを備え、
　前記ハートビート信号送信部は、前記タイマーがリセットされてから一定時間異常検知ログが送信されなかった場合にハートビート信号を送信する、
　請求項２～５のいずれか１項に記載の異常検知装置。
　異常検知ログが送信される際に、前記保持部に保持された異常検知結果が消去される、
　請求項６に記載の異常検知装置。
　前記所定の期間は、前記タイマーがリセットされてからハートビート信号が送信されるまでの期間である、
　請求項６又は７に記載の異常検知装置。
　移動体における異常を検知する異常検知方法であって、
　検知された異常の種別を判定し、
　前回検知された異常の種別と今回検知された異常の種別との間に変化があるか否かを判定し、
　前記変化がない場合、今回検知された異常に関する異常検知ログを送信せず、前記変化がある場合、今回検知された異常に関する異常検知ログを送信する、
　異常検知方法。
　請求項９に記載の異常検知方法をコンピュータに実行させるためのプログラム。