WO2023233711A1 - 情報処理方法、異常判定方法、および、情報処理装置 - Google Patents

情報処理方法、異常判定方法、および、情報処理装置 Download PDF

Info

Publication number
WO2023233711A1
WO2023233711A1 PCT/JP2023/003829 JP2023003829W WO2023233711A1 WO 2023233711 A1 WO2023233711 A1 WO 2023233711A1 JP 2023003829 W JP2023003829 W JP 2023003829W WO 2023233711 A1 WO2023233711 A1 WO 2023233711A1
Authority
WO
WIPO (PCT)
Prior art keywords
attack
information
detection
abnormality
vehicle
Prior art date
Application number
PCT/JP2023/003829
Other languages
English (en)
French (fr)
Inventor
信貴 川口
唯之 鳥崎
翔一朗 関屋
貴佳 伊藤
Original Assignee
パナソニックIpマネジメント株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by パナソニックIpマネジメント株式会社 filed Critical パナソニックIpマネジメント株式会社
Publication of WO2023233711A1 publication Critical patent/WO2023233711A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Definitions

  • the present disclosure relates to an information processing method, an abnormality determination method, and an information processing device.
  • Patent Document 1 discloses a system that includes a module that monitors messages in the in-vehicle communication network, identifies abnormal messages, and sends data corresponding to the messages to a hub in order to identify abnormal messages in the in-vehicle communication network. has been done.
  • This type of system has certain features, such as reducing the amount of processing and/or quickly determining particularly important abnormalities when a monitored target such as a vehicle is attacked (specifically, a cyber attack). It is desired to improve the performance of determining whether an abnormality has occurred in a monitored object.
  • the present disclosure provides an information processing method and the like that can improve the performance of determining whether an abnormality has occurred in a monitored target.
  • An information processing method is an information processing method executed in an information processing device that detects an attack on the monitored target by communicating with the monitored target, the information processing method including attack information regarding the attack on the monitored target. is acquired, and the priority of each of a plurality of detection rules used to determine whether an abnormality has occurred in the monitoring target when an attack is performed on the monitoring target is determined based on the attack information.
  • the priority is determined and recorded in association with each of the plurality of detection rules, and the priority determines the order in which the plurality of detection rules are used and when determining whether or not an abnormality has occurred in the monitoring target. indicates at least one of whether or not the detection rule is used.
  • the information processing method and the like it is possible to improve the performance of determining whether or not an abnormality has occurred in a monitoring target.
  • FIG. 1 is a schematic diagram of an information processing system according to an embodiment.
  • FIG. 2 is a block diagram showing the hardware configuration of the information processing device according to the embodiment.
  • FIG. 3 is a block diagram showing the hardware configuration of the vehicle according to the embodiment.
  • FIG. 4 is a block diagram showing the functional configuration of the information processing system according to the embodiment.
  • FIG. 5 is a flowchart showing the processing procedure of the information processing apparatus according to the embodiment.
  • FIG. 6 is a flowchart showing the processing procedure of the abnormality determination unit according to the embodiment.
  • FIG. 7 is a block diagram showing the functional configuration of an information processing system according to a modification of the embodiment.
  • FIG. 8 is a flowchart showing a processing procedure of a vehicle according to a modification of the embodiment.
  • Detection rules vary depending on the configuration or specifications of the communication network system. As the number of monitored targets or detected anomalies increases, the details of the attack are compared with a huge number of detection rules to determine whether the monitored target is abnormal.
  • the communication network system cannot manage all of the huge number of detection rules depending on the specifications of each device included in the communication network system. For example, depending on the specifications of the communication network system, it is not possible to determine whether an abnormality has occurred by comparing all of the huge number of detection rules with the details of the attack. Further, for example, depending on the specifications of a communication network system, it may take too much time to obtain a determination result when determining an abnormality using a detection rule. In this case, it may take too much time to obtain a determination result using a detection rule that detects the occurrence of an abnormality that has a particularly serious impact on a monitoring target.
  • unnecessary detection rules may be set due to a designer's mistake, or there may be cases where detection rules corresponding to attacks that have already been countered remain. In these cases, comparison processing may be performed between the details of the attack and unnecessary detection rules.
  • the inventors of the present application can, for example, prioritize detection rules based on attacks that are expected to occur in the near future and use them to make decisions. We have discovered that only highly sensitive detection rules are used to make judgments.
  • An information processing method is an information processing method executed in an information processing device that detects an attack on the monitored target by communicating with the monitored target, the information processing method including attack information regarding the attack on the monitored target. is acquired, and the priority of each of a plurality of detection rules used to determine whether an abnormality has occurred in the monitoring target when an attack is performed on the monitoring target is determined based on the attack information.
  • the priority is determined and recorded in association with each of the plurality of detection rules, and the priority determines the order in which the plurality of detection rules are used and when determining whether or not an abnormality has occurred in the monitoring target. indicates at least one of whether or not the detection rule is used.
  • a detection rule that has a high priority that is, is considered to be particularly important, is used in preference to other detection rules to determine whether or not an abnormality has occurred. Therefore, determination results can be quickly obtained for abnormalities that are considered to be particularly important.
  • judgment results can be quickly obtained for abnormalities that are considered to be particularly important, and the results can be quickly obtained for abnormalities that are considered to be of low priority, that is, not very important. Since detection rules are not used, the amount of processing can be reduced. That is, according to the information processing method according to one aspect of the present disclosure, it is possible to improve the performance of determining whether or not an abnormality has occurred in the monitoring target.
  • the information processing method further includes, when an attack on the monitoring target is performed, using the detection rules in the order of the determined priorities. It is determined whether an abnormality has occurred in the monitoring target.
  • a detection rule that has a high priority that is, a detection rule that is considered to be particularly important, is used in preference to other detection rules to determine whether or not an abnormality has occurred. Therefore, determination results can be quickly obtained for abnormalities that are considered to be particularly important.
  • the information processing method may further include one or more of the detection rules whose priority is determined to be a predetermined value or higher among the plurality of detection rules.
  • the detection rules are stored in a second storage device different from the first storage device in which the detection rules are stored, and in determining whether or not the abnormality has occurred, the one or more detection rules are stored with reference to the second storage device. is used to determine whether an abnormality has occurred in the monitoring target.
  • the attack information includes at least one of symptom information indicating a sign of an attack on the monitoring target and detection information indicating a detection result of an attack performed on the monitoring target.
  • the priority of detection rules is determined based on the type of attack, the type of monitoring target targeted for attack (specifically, for example, the types of multiple processors that the monitored target has), or the frequency of attacks. can be determined appropriately.
  • the attack information includes information regarding a plurality of types of attacks, and the acquired attack information does not include information regarding a predetermined type of attack among the plurality of types for a predetermined period, , initializing the priority determined by information regarding the predetermined type of attack.
  • the priority of a given detection rule is raised because information about a given type of attack is included in the attack information, the information about the given type of attack will not be included in the attack information for a given period of time. If not, the priority of the predetermined detection rule is initialized. For example, lower the priority by the amount that was raised. Thereby, for example, when the content of an attack changes, the priority can be determined appropriately.
  • an abnormality determination method is an abnormality determination method executed in a vehicle that receives a detection rule from an information processing device that manages a detection rule for an attack on a vehicle and determines an abnormality, A plurality of detection rules are received from the information processing device based on attack information detected in the vehicle, and one of the plurality of detection rules is selected based on a priority determined for each of the plurality of detection rules. Determine whether or not an abnormality has occurred in the vehicle due to the detected attack on the vehicle using one or more of the detection rules, and if it is determined that an abnormality has occurred in the vehicle, notify the determination result. , the priority indicates at least one of the order in which the plurality of detection rules are used, and whether or not the detection rule is used when determining whether or not an abnormality has occurred in the vehicle.
  • a detection rule that has a high priority that is, is considered to be particularly important, is used in preference to other detection rules to determine whether or not an abnormality has occurred. Therefore, determination results can be quickly obtained for abnormalities that are considered to be particularly important.
  • judgment results can be quickly obtained for abnormalities that are considered to be particularly important, and the results can be quickly obtained for abnormalities that are considered to be of low priority, that is, not very important. Since detection rules are not used, the amount of processing can be reduced. That is, according to the information processing method according to one aspect of the present disclosure, it is possible to improve the performance of determining whether or not an abnormality has occurred in the vehicle.
  • an information processing apparatus that detects an attack on the monitored target by communicating with the monitored target, and includes an acquisition unit that acquires attack information regarding the attack on the monitored target. and determining the priority of each of a plurality of detection rules used to determine whether an abnormality has occurred in the monitoring target when an attack is performed on the monitoring target, based on the attack information.
  • a determining unit that records the detected rules in association with each of the plurality of detection rules, and the priority determines the order in which the plurality of detection rules are used and whether an abnormality has occurred in the monitoring target. indicates at least one of whether or not the detection rule is used when determining the detection rule.
  • FIG. 1 is a schematic diagram of an information processing system 1 that provides information to a vehicle according to an embodiment.
  • the information processing system 1 is a communication network system that includes an information processing device 100, a vehicle 200, and a cooperation system 300 that are communicably connected to each other via a network 400 such as the Internet.
  • information processing system 1 is an in-vehicle communication network system in which information processing device 100 acquires information from vehicle 200 and cooperation system 300 and processes the acquired information.
  • the information processing system 1 may include multiple vehicles 200. Further, the information processing system 1 may include a plurality of cooperation systems 300.
  • the information processing device 100 is a device that detects an attack on a monitored target by communicating with the monitored target.
  • information processing device 100 is a device for monitoring the state of vehicle 200.
  • the information processing device 100 is provided in a monitoring center such as a SOC (Security Operation Center), for example.
  • the information processing device 100 acquires information (also referred to as detection information) regarding an attack on the vehicle 200 (specifically, a cyber attack) detected by the vehicle 200, and determines the state of the vehicle 200 based on the acquired detection information. Monitor. Specifically, information processing device 100 determines the priority of each of a plurality of detection rules for determining whether or not an abnormality has occurred in vehicle 200, based on the acquired detection information.
  • information processing device 100 determines whether an abnormality has occurred in vehicle 200 based on the determined priority using one or more detection rules among the plurality of priorities. For example, the information processing device 100 outputs the determination result to a notification device including a display that displays an image (not shown) and/or an audio device such as a speaker that outputs sound, and transmits the determination result to the notification device. be notified.
  • a notification device including a display that displays an image (not shown) and/or an audio device such as a speaker that outputs sound, and transmits the determination result to the notification device. be notified.
  • the information processing device 100 includes, for example, a communication interface for communicating with the vehicle 200 and the coordination system 300, a nonvolatile memory in which a program is stored, a volatile memory that is a temporary storage area for executing the program, and a signal interface.
  • a computer such as a server is realized with input/output ports for sending and receiving data, and a processor that executes programs.
  • the vehicle 200 is a vehicle that transmits detection information to the information processing device 100.
  • Vehicle 200 is an example of a monitored target. More specifically, a TCU 21, a plurality of ECUs 22, a storage 23, and a communication bus 24, which will be described later, provided in the vehicle 200 are each an example of a monitoring target (that is, a monitored target), and the plurality of detection sensors 25 are each an example of a monitoring target (that is, a monitored target). This is an example of a target to be monitored (see FIG. 3).
  • Vehicle 200 is, for example, any vehicle such as a motorcycle or a four-wheeled vehicle. In this embodiment, vehicle 200 is a self-driving car capable of self-driving. Note that the vehicle 200 does not need to be a self-driving car.
  • the cooperation system 300 is a device for monitoring the status of vehicles in a region different from that of the information processing device 100.
  • the information processing device 100 and the cooperation system 300 have similar configurations and are devices that monitor the states of vehicles in different regions.
  • the information processing device 100 and the cooperation system 300 mutually transmit information (also referred to as cooperation information) regarding attacks on vehicles and the like that they are monitoring.
  • the information processing device 100 determines the priority of each of the plurality of detection rules based on the detection information obtained from the vehicle 200 and the attack information including the cooperation information obtained from the cooperation system 300.
  • the collaboration system 300 may be an IT-oriented SOC that monitors an office network, or an OT (Operational Technology)-oriented SOC that monitors a factory network that produces industrial devices, etc. good.
  • IT-oriented SOC that monitors an office network
  • OT Operaational Technology
  • the cooperation information may include, for example, information regarding an attack on a vehicle on a computer connected to the Internet, information input by an administrator who manages the information processing device 100 or the cooperation system 300, etc. good.
  • the cooperation system 300 includes, for example, a communication interface for communicating with the information processing device 100 and the vehicle 200, a nonvolatile memory in which a program is stored, a volatile memory that is a temporary storage area for executing the program, and a communication interface for communicating with the information processing device 100 and the vehicle 200.
  • a computer such as a server is realized with input/output ports for sending and receiving data, and a processor that executes programs.
  • FIG. 2 is a block diagram showing the hardware configuration of the information processing device 100 according to the embodiment.
  • the information processing device 100 includes a CPU (Central Processing Unit) 11, a main memory 12, a storage 13, and a communication IF (Interface) 14 as a hardware configuration.
  • a CPU Central Processing Unit
  • main memory 12 main memory
  • storage 13 main memory
  • communication IF Interface
  • the CPU 11 is a processor that executes a control program stored in the storage 13 or the like.
  • the main memory 12 is a volatile storage area used as a work area when the CPU 11 executes a control program.
  • the storage 13 is a nonvolatile storage area that holds control programs, contents, and the like.
  • the storage 13 is realized by, for example, an HDD (Hard Disk Drive) or an SSD (Solid Stated Drive).
  • the number of storages 13 may be one or more than one.
  • the information processing device 100 includes a plurality of storages 13.
  • a communication IF (Interface) 14 is a communication interface that communicates with the vehicle 200 and the cooperation system 300 via the network 400.
  • the communication IF 14 may be, for example, a wired LAN (Local Area Network) interface or a wireless LAN interface. Further, the communication IF 14 is not limited to a LAN interface, and may be any communication interface as long as it can establish a communication connection with a communication network.
  • FIG. 3 is a block diagram showing an example of the hardware configuration of the vehicle according to the embodiment.
  • the vehicle 200 includes a TCU (Telematics Control Unit) 21, a plurality of ECUs 22, a storage 23, a communication bus 24, and a plurality of detection sensors 25 as a hardware configuration.
  • TCU Transmission Control Unit
  • the TCU 21 is a communication unit through which the vehicle 200 performs wireless communication with the network 400.
  • the TCU 21 is a communication unit that includes a cellular module that complies with mobile communication network standards.
  • the plurality of ECUs 22 are ECUs (Electronic Control Units) that control devices included in the vehicle 200.
  • the equipment includes, for example, an engine, a motor, a meter, a transmission, a brake, a steering wheel, a power window, an air conditioner, and the like.
  • at least one of the plurality of ECUs 22 may be a control circuit that controls autonomous operation of the vehicle 200.
  • a plurality of ECUs 22 may be provided corresponding to each of these various devices.
  • each of the plurality of ECUs 22 may include a storage section (non-volatile storage area) that stores programs executed by each ECU 22.
  • the storage unit is, for example, a nonvolatile memory.
  • the storage 23 is a nonvolatile storage area that holds control programs and the like.
  • the storage 23 is realized by, for example, an HDD or an SSD.
  • the communication bus 24 is a dedicated communication path to which the TCU 21, a plurality of ECUs 22, and the storage 23 are connected so that the vehicle 200 can control multiple devices.
  • the communication bus 24 is realized by, for example, CAN or in-vehicle Ethernet.
  • the plurality of detection sensors 25 have a function of monitoring whether the TCU 21, the plurality of ECUs 22, the storage 23, or the communication bus 24 has been attacked. At least one of the plurality of detection sensors 25 is, for example, a HIDS (Host-based Intrusion Detection System), and monitors the TCU 21, the plurality of ECUs 22, and the storage 23, which are hardware connected to the communication bus 24. Further, for example, at least one of the plurality of detection sensors 25 is an NIDS (Network-based Intrusion Detection System) and monitors the communication bus 24. The plurality of detection sensors 25 may be network-connected to the communication bus 24 as individual devices, or may be integrated with the TCU 21, the plurality of ECUs 22, and the storage 23.
  • HIDS Hyper-based Intrusion Detection System
  • FIG. 4 is a block diagram showing the functional configuration of the information processing system 1 according to the embodiment. Note that in FIG. 4, illustration of the network 400 is omitted.
  • the information processing device 100 includes a priority management section 110, a detection rule storage section 120, a determination processing reference section 130, and an abnormality determination section 140.
  • the priority management unit 110 manages (more specifically, determines) the priority of each of the plurality of detection rules stored in the detection rule storage unit 120.
  • the priority management section 110 includes a cooperation information reception section 111, a detection information reception section 112, a reception information analysis section 113, an analysis information storage section 114, and a detection rule control section 115.
  • the cooperation information receiving unit 111 receives cooperation information from the cooperation system 300.
  • the cooperation information receiving unit 111 is realized by, for example, the communication IF 14.
  • the detection information receiving unit 112 receives detection information from the vehicle 200.
  • the detection information receiving unit 112 is realized by, for example, the communication IF 14.
  • cooperation information receiving section 111 and the detection information receiving section 112 may be realized by the same communication interface, or may be realized by different communication interfaces.
  • the received information analysis unit 113 acquires attack information regarding an attack on the vehicle 200, and performs a plurality of detections used to determine whether or not an abnormality has occurred in the vehicle 200 when an attack is performed on the vehicle 200.
  • This is a processing unit that determines the priority of each rule based on attack information.
  • the received information analysis unit 113 obtains cooperation information via the cooperation information reception unit 111, obtains detection information via the detection information reception unit 112, analyzes the obtained information, and analyzes multiple pieces of information. determine the priority of each detection rule.
  • the received information analysis unit 113 is an example of an acquisition unit and a determination unit.
  • the priority is the order in which a plurality of detection rules are used, and when determining whether an abnormality has occurred in the vehicle 200, the detection rule (more specifically, the detection rule corresponding to the determined priority) ) is used.
  • the attack information includes, for example, at least one of symptom information indicating a sign of an attack on the vehicle 200 and detection information indicating a detection result of an attack performed on the vehicle 200.
  • the symptom information is information indicating a symptom of an attack on the vehicle 200, and is, for example, information included in the cooperation information acquired from the cooperation system 300.
  • the symptom information is information for determining (estimating) the type of attack and the frequency of attacks of that type, and indicates that although the vehicle 200 has not been attacked, there is a high possibility that it will be attacked in the future.
  • This information is information indicating that the vehicle 200 has been attacked but is unlikely to be attacked in the future.
  • the symptom information is information indicating that the attack detection unit 220 such as NIDS (Network-based Intrusion Detection System) that monitors the navigation system used by the vehicle has detected an abnormality of "header abnormality" more often than usual.
  • NIDS Network-based Intrusion Detection System
  • the received information analysis unit 113 acquires such information, the number of attacks that attempt to infiltrate the interior of the vehicle 200 by illegally logging into the navigation system through a port scan begins to increase. Therefore, increase the priority of detection rules for these types of attacks.
  • the symptom information includes information indicating software vulnerability.
  • the received information analysis unit 113 acquires such information, it is assumed that attacks on the vehicle 200 equipped with the TCU 21, ECU 22, and storage 23 in which the software is adopted will increase. The priority of the detection rule regarding the type of attack and the detection rule regarding the TCU 21, ECU 22, and storage 23 in which the software is adopted is increased.
  • the symptom information includes information indicating vulnerabilities caused by specification defects of communication protocols. For example, when the received information analysis unit 113 acquires such information, it is assumed that attacks against the vehicle 200 equipped with the communication bus 24 that adopts the communication protocol will increase, so The priority of the detection rule regarding the type of communication protocol and the detection rule regarding the communication bus 24 in which the communication protocol is adopted is increased.
  • the symptom information includes information indicating that DoS (Denial-of-Service attacks) attacks against various servers of the cooperation system 300 such as ITS (Intelligent Transport Systems) are increasing.
  • DoS Delivery-of-Service attacks
  • ITS Intelligent Transport Systems
  • the reception information analysis unit 113 acquires such information, it is assumed that the legitimate server will be stopped by a DoS attack, and then the number of message spoofing attacks sent from the spoofed server will increase. , increase the priority of detection rules for these types of attacks.
  • the symptom information includes information indicating that an attack campaign against Country A or Company B has been published on the WEB. For example, if the received information analysis unit 113 acquires such information, it is assumed that attacks on all car models produced and/or sold by Country A or Company B will increase, so The priority of the detection rule related to the type of vehicle 200 and the detection rule corresponding to the type of vehicle 200 is increased.
  • the detection information is information indicating the details of the attack detected on the vehicle 200 (for example, the type of attack, the timing of the attack, and the attacked TCU 21, ECU 22, storage 23, communication bus 24, etc.).
  • the received information analysis unit 113 generates analysis information including target type information, attack type information, number of times information, etc., by analyzing the detection information, for example.
  • the target type information is, for example, information indicating whether one of the TCU 21, the plurality of ECUs 22, the storage 23, and the communication bus 24 has been attacked.
  • the target type information may include information indicating the type of vehicle such as car model, and/or information indicating the type of ECU 22, storage 23, and communication bus 24.
  • the attack type information is, for example, information indicating the type of attack performed on the vehicle 200.
  • the number of times information is information indicating the number of times the vehicle 200 has been attacked. Specifically, the number of times information is information indicating the number of times each attack has been performed on each of the TCU 21, the plurality of ECUs 22, the storage 23, and the communication bus 24 included in the vehicle 200. Further, the number of times information may include the types of ECU 22, storage 23, and communication bus 24 that have been attacked, and the number of times for each type of attack.
  • the information processing device 100 may acquire information detected by the vehicle monitored by the cooperation system 300, such as target type information, attack type information, and number of attacks information, as symptom information included in the cooperation information. .
  • the received information analysis unit 113 determines the priorities of the plurality of detection rules based on the attack information including these pieces of information. In the present embodiment, received information analysis unit 113 compares the acquired attack information with attack information acquired in the past, determines signs of future attacks on vehicle 200 based on the comparison results, and determines signs of future attacks on vehicle 200 based on the determination results. determine the priority.
  • ⁇ Detection rule 1 Attack a occurs at node A, and attack b occurs at node B.
  • ⁇ Detection rule 2 Attack a occurs at node A, attack b occurs at node B, and attack c occurs at node C.
  • ⁇ Detection rule 3 Attack d occurs at node A, and attack b occurs at node B.
  • ⁇ Detection rule 4 Attack d occurs at node A, attack b occurs at node B, and attack c occurs at node C.
  • ⁇ Detection rule 5 Attack d occurs at node A, and attack a occurs at node B.
  • nodes are objects to be monitored, and are, for example, the TCU 21, the ECU 22, and the storage 23.
  • node A and node B are shown to be different ECUs 22 from each other.
  • attacks a to d each indicate a different type of attack.
  • the nodes can also be replaced by communication buses 24 that can be attacked.
  • the received information analysis unit 113 uses the detection rule 1 and the detection rule 2. Increase the priority of each.
  • the received information analysis unit 113 determines the priority of the detection rule 5. raise.
  • the method of increasing the priority may be changed depending on the degree of influence (for example, degree of risk) when an abnormality occurs in the vehicle 200 due to an attack.
  • priorities may be set for each type of attack. For example, as the priority of the detection rule 1, a priority according to attack a and a priority according to attack b may be determined.
  • priority may be expressed as a multidimensional numerical value.
  • the above degree of influence may be arbitrarily determined in advance and is not particularly limited.
  • the received information analysis unit 113 may lower the priority of the detection rule based on the acquired attack information.
  • the attack information includes information regarding multiple types of attacks, such as the attacks a to d described above. If the attack information acquired for a predetermined period does not include information regarding a predetermined type of attack among a plurality of types, the received information analysis unit 113 determines the priority determined based on the information regarding the predetermined type of attack. Initialize.
  • the received information analysis unit 113 updates the acquired attack information for a predetermined period with information indicating that attack a or attack b was carried out, or , if information indicating signs of these attacks being carried out is not included, the priority of the detection rule 1 is changed (initialized) to an initial value (for example, "0").
  • the received information analysis unit 113 adds "2" to the priority of the detection rule 1 whose original priority is “0" based on the information about attack a, and further adds "2" to the priority of the detection rule 1 whose original priority is “0” based on the information about attack b. Assume that by adding "3” to "5", "5" is determined. For example, if the received attack information does not include information indicating that attack a has been carried out or information indicating a sign that attack a will be carried out for a predetermined period thereafter, the received information analysis unit 113 , the priority of the detection rule 1 may be changed to "3" or "0".
  • the predetermined period may be arbitrarily determined in advance and is not particularly limited.
  • the received information analysis unit 113 may receive information indicating that the attack detection unit 220 such as NIDS detects fewer abnormalities such as "header abnormality", or information indicating that countermeasures for software vulnerabilities have been completed. Attack information (specific (for example, symptom information), the priority of the detection rule may be lowered.
  • the received information analysis unit 113 updates the priority of each of the plurality of detection rules based on the acquired attack information.
  • the analysis information storage unit 114 is a storage device that stores the analysis results (analysis information) of the attack information analyzed by the received information analysis unit 113.
  • the analysis information is, for example, a comparison result between the acquired attack information and attack information acquired in the past.
  • the analysis information storage unit 114 may store the acquired attack information, the determined priority, or the amount of change in the changed (updated) priority. good.
  • the analysis information storage unit 114 is realized by, for example, the storage 13.
  • the detection rule control unit 115 is a processing unit that records (stores) the priority of each of the plurality of detection rules determined by the received information analysis unit 113 in association with each of the plurality of detection rules in the detection rule storage unit 120 or the like. It is. Furthermore, the detection rule control unit 115 selects one or more detection rules from among the plurality of detection rules stored in the detection rule storage unit 120 based on the priority determined by the received information analysis unit 113. 130. For example, the detection rule control unit 115 may determine one or more detection rules whose priority is determined to be a predetermined value or higher among the plurality of detection rules, to a different determination from the detection rule storage unit 120 in which the plurality of detection rules are stored. It is stored in the processing reference unit 130. For example, the detection rule control unit 115 causes the determination processing reference unit 130 to store a detection rule whose priority is determined to be a predetermined value or higher, in association with the determined priority.
  • the detection rule control unit 115 copies the detection rule whose priority level is determined to be a predetermined value or higher and is stored in the detection rule storage unit 120 without linking it to the priority level, and stores the copy in the determination process reference unit 130. You may let them.
  • the predetermined value may be arbitrarily set in advance and is not particularly limited.
  • the detection rule storage unit 120 is a storage device that stores a plurality of detection rules.
  • the detection rule storage unit 120 is an example of a first storage device.
  • the detection rule control unit 115 may associate the determined priority with the detection rule and store it in the detection rule storage unit 120.
  • the detection rule storage unit 120 is realized by, for example, the storage 13.
  • the determination process reference unit 130 is a storage device that stores detection rules for which a priority level of a predetermined value or higher is determined.
  • the determination processing reference unit 130 is an example of a second storage device.
  • the determination processing reference unit 130 is realized by, for example, the storage 13.
  • the detection rule storage section 120 and the determination processing reference section 130 are realized by mutually different storages 13.
  • analysis information storage section 114 may be realized by the same storage 13 as the detection rule storage section 120, or may be realized by a different storage from the detection rule storage section 120 and the determination processing reference section 130, for example. Furthermore, the analysis information storage section 114, the detection rule storage section 120, and the determination processing reference section 130 may be realized by the same storage (that is, one storage).
  • the abnormality determination unit 140 determines whether an abnormality has occurred in the vehicle 200 due to an attack on the vehicle 200, using one or more detection rules among the plurality of detection rules, based on the priority determined for each of the plurality of detection rules. This is a processing unit that determines whether or not the In the present embodiment, abnormality determination section 140 refers to determination processing reference section 130 and determines whether an abnormality has occurred in vehicle 200 using one or more detection rules. That is, the abnormality determination unit 140 uses the detection rule stored in the determination processing reference unit 130 to determine whether or not an abnormality has occurred in the vehicle 200 due to an attack on the vehicle 200. For example, the abnormality determination unit 140 determines whether the determined It is determined whether an abnormality has occurred in vehicle 200 using the detection rules in descending order of priority.
  • the determination result is output to, for example, the above-mentioned notification device (not shown) and notified to the administrator.
  • Processing units such as the received information analysis unit 113, the detection rule control unit 115, and the abnormality determination unit 140 are realized by, for example, the CPU 11 and the main memory 12.
  • the vehicle 200 includes a communication section 210, an attack detection section 220, and a control section 230.
  • the communication unit 210 sends and receives information to and from the information processing device 100 via the network 400. Specifically, the communication unit 210 transmits detection information indicating the detection result detected by the attack detection unit 220 to the information processing device 100.
  • the communication unit 210 is realized by the TCU 21.
  • the communication unit 210 may transmit, for example, log information indicating the control state of the vehicle 200, detection values of sensors included in the vehicle 200, and operation status information of the vehicle 200 to the information processing device 100. .
  • the attack detection unit 220 is, for example, an NIDS, and is a processing unit that monitors data flowing to the communication bus 24 connected to the ECU 22. Specifically, attack detection unit 220 detects an attack performed on vehicle 200 (more specifically, ECU 22) by monitoring data flowing through communication bus 24 connected to ECU 22. The attack detection unit 220 (more specifically, the plurality of detection sensors 25) transmits detection information indicating the attack detection result to the communication unit 210 (more specifically, the TCU 21, the ECU 22 having a communication function with the outside). , the vehicle 200 transmits the data to the information processing device 100 via hardware (not shown) specialized for communication with the outside.
  • the attack detection unit 220 is realized by at least one of the plurality of detection sensors 25.
  • the control unit 230 is a processing unit that controls the operation of the vehicle 200 by controlling an engine, a steering wheel, etc. (not shown) included in the vehicle 200.
  • the control unit 230 is realized, for example, by at least one of the plurality of ECUs 22.
  • the information processing device 100 may acquire operation status information indicating the operation status of the vehicle 200 from the vehicle 200.
  • the operation status information may be generated by the vehicle 200 when the operation status of the vehicle 200 changes, and may be transmitted to the information processing device 100 every time it is generated.
  • the operation status information may be periodically generated by the vehicle 200 regardless of changes in the operation status of the vehicle 200, and may be transmitted to the information processing device 100 every time it is generated.
  • the operation status information is information in which the vehicle information of the vehicle 200 and the operation status of the vehicle 200 are associated with each other.
  • the information processing device 100 updates the operation status of the vehicle 200 specified by the vehicle information included in the operation status information to the operation status included in the operation status information. Thereby, the information processing device 100 may manage the operating status of the vehicle 200.
  • the information processing device 100 may transmit a control instruction to the vehicle 200 according to the attack.
  • Vehicle 200 may perform control according to the acquired control instruction.
  • FIG. 5 is a flowchart showing the processing procedure of the information processing device 100 according to the embodiment.
  • the received information analysis unit 113 acquires attack information from the cooperation system 300 and the vehicle 200 via the cooperation information reception unit 111 and the detection information reception unit 112 (S110).
  • the received information analysis unit 113 analyzes the acquired attack information (S120).
  • the received information analysis unit 113 generates target type information, attack type information, number of times information, and the like as analysis information, for example, by analyzing attack information.
  • the received information analysis unit 113 compares the generated analysis information with past analysis information stored in the analysis information storage unit 114 (S130).
  • the received information analysis unit 113 stores the generated analysis information in the analysis information storage unit 114 (S140).
  • the received information analysis unit 113 determines whether there is a change in the analysis information based on the comparison result in step S140 (S150). For example, the received information analysis unit 113 determines whether the number of attacks of the attack a indicated by the analysis information generated in step S120 has increased or decreased with respect to the number of attacks of the attack a indicated by the past analysis information.
  • the received information analysis unit 113 determines that there is a change in the analysis information (“changed” in S150), it determines the priority of the plurality of detection rules stored in the detection rule storage unit 120 (S160). For example, if the reception information analysis unit 113 determines that the number of attacks of attack a indicated by the analysis information generated in step S120 has increased with respect to the number of attacks of attack a indicated by past analysis information, the received information analysis unit 113 The priority is determined so that the priority of the detection rule related to the detection rule is higher.
  • the detection rule control unit 115 selects a priority that is different from the priority determined by the received information analysis unit 113 in step S160, that is, changes the priority from among the plurality of detection rules stored in the detection rule storage unit 120.
  • a detection rule with a certain value is selected (S170).
  • the detection rule control unit 115 updates (changes) the priority of the detection rule selected in step S170 to the priority determined by the received information analysis unit 113 in step S160 (S180).
  • the detection rule control unit 115 updates the detection rule stored in the determination processing reference unit 130 based on the priority (S190). For example, the detection rule control unit 115 changes the detection rule stored in the determination processing reference unit 130 to the detection rule for which the priority level is determined to be a predetermined value or higher in step S160.
  • the information processing device 100 repeats, for example, the above process periodically.
  • FIG. 6 is a flowchart showing the processing procedure of the abnormality determination unit 140 according to the embodiment.
  • the abnormality determination unit 140 acquires detection information (S210).
  • the abnormality determination unit 140 may acquire detection information from the vehicle 200 via the detection information reception unit 112, or may obtain the detection information from the analysis information storage unit 114 or the determination processing reference unit 130 by the reception information analysis unit 113 or the detection rule control unit 115.
  • the detection information stored in the analysis information storage unit 114 or the determination processing reference unit 130 may be acquired.
  • the abnormality determining unit 140 determines whether an abnormality has occurred in the vehicle 200 based on the priority and using the detection information and the detection rule (S220). For example, the abnormality determination unit 140 refers to the determination processing reference unit 130 and uses detection rules in descending order of priority to determine whether an abnormality has occurred in the vehicle 200.
  • the abnormality determination unit 140 When determining that an abnormality has occurred in the vehicle 200 (Yes in S230), the abnormality determination unit 140 notifies the administrator that an abnormality has occurred by outputting information indicating that an abnormality has occurred to a notification device or the like. Notify (S240).
  • the abnormality determination unit 140 repeats the above processing periodically.
  • the abnormality determination unit 140 notifies the administrator that no abnormality has occurred by outputting information indicating that no abnormality has occurred to a notification device or the like. Good too.
  • the information processing device 100 may transmit control information to the vehicle 200 for causing the vehicle 200 to execute processing according to the details of the abnormality.
  • Abnormality determination section 140 and determination processing reference section 130 may be provided in vehicle 200.
  • FIG. 7 is a block diagram showing the functional configuration of an information processing system 1A according to a modification of the embodiment.
  • the information processing system 1A includes an information processing device 101, a vehicle 201, and a cooperation system 300.
  • Vehicle 201 is an example of a monitoring target.
  • the information processing device 101 includes a priority management section 110, a detection rule storage section 120, and a transmission section 150.
  • the transmitter 150 is a communication interface for communicating with the vehicle 201.
  • the transmitter 150 is realized, for example, by the communication IF 14.
  • the transmitting unit 150 may be realized by the same communication IF as the cooperation information receiving unit 111 and the detection information receiving unit 112, or may be realized by a different communication IF.
  • the transmitter 150 may be a wired communication interface or a wireless communication interface.
  • the detection rule control unit 115 transmits, for example, via the transmission unit 150, a detection rule whose priority is determined to be a predetermined value or higher, to the vehicle 201 in association with the priority.
  • the vehicle 201 receives the detection rule from the information processing device 101 that manages the attack detection rule for the vehicle 201 and determines an abnormality.
  • the vehicle 201 includes a communication section 210, an attack detection section 220, a control section 230, an abnormality determination section 240, and a determination processing reference section 250.
  • the abnormality determining unit 240 uses one or more detection rules among the plurality of detection rules, based on the priority determined for each of the plurality of detection rules. This is a processing unit that determines whether an abnormality has occurred in the vehicle 201 due to an attack.
  • the abnormality determination section 240 refers to the determination processing reference section 250 and determines whether or not an abnormality has occurred in the vehicle 201 using one or more detection rules. For example, when an attack is made on the vehicle 201 (for example, when the attack detection unit 220 detects an attack), the abnormality determination unit 240 uses the detection rules in the order of the determined priorities. It is determined whether or not an abnormality has occurred in the vehicle 201.
  • the abnormality determination unit 240 receives a plurality of detection rules from the information processing device 101 via the communication unit 210 based on the attack information detected in the vehicle 201, and receives the detection rules defined in each of the plurality of detection rules. Based on the priority, one or more of the plurality of detection rules is used to determine whether an abnormality has occurred in the vehicle 201 due to the detected attack on the vehicle 201. For example, when an attack is detected in the vehicle 201, the abnormality determination unit 240 transmits a signal requesting transmission of a detection rule to the information processing device 101, receives the detection rule, and receives the determination processing reference unit. 250.
  • the abnormality determination unit 240 may receive the detection rule from the information processing device 101 at a timing when the vehicle 201 is driven, such as when the engine is started.
  • the abnormality determination unit 240 is realized, for example, by at least one of the plurality of ECUs 22.
  • the determination result by the abnormality determining unit 240 is transmitted to the information processing device 101 via the communication unit 210, for example, and is output to a notifying device (not shown) connected to the information processing device 101 to notify the administrator. Further, the determination result by the abnormality determining unit 240 may be outputted to, for example, a notification device (not shown) included in the vehicle 201 to notify the occupant of the vehicle 201. Further, for example, the control unit 230 may control the vehicle 201 based on the determination result.
  • the determination process reference unit 250 is a storage device that stores detection rules for which a priority level of a predetermined value or higher is determined.
  • the determination processing reference unit 250 is an example of a second storage device.
  • the determination processing reference unit 250 is realized by the storage 23, for example.
  • the abnormality determination unit 240 acquires the detection rule whose priority is determined to be a predetermined value or higher and the priority of the detection rule transmitted from the information processing device 101 via the communication unit 210, and performs the determination process.
  • the information is stored in the reference unit 250.
  • FIG. 8 is a flowchart showing the processing procedure of the vehicle 201 according to a modification of the embodiment.
  • the attack detection unit 220 determines whether an attack on the vehicle 201 has been detected (S310).
  • step S310 If the attack detection unit 220 determines that an attack on the vehicle 201 has not been detected (No in S310), it repeats the process of step S310.
  • the abnormality determination unit 240 receives a plurality of detection rules from the information processing device 101 via the communication unit 210. (S320). As described above, for example, the abnormality determination unit 240 receives the detection rule from the information processing device 101 by transmitting a signal requesting the information processing device 101 to transmit the detection rule.
  • the abnormality determination unit 240 determines whether an abnormality has occurred in the vehicle 201 based on the priority and using the detection result of the attack detection unit 220 and the detection rule (S330). For example, the abnormality determination unit 240 refers to the determination processing reference unit 250 and uses detection rules in descending order of priority to determine whether an abnormality has occurred in the vehicle 201.
  • the abnormality determination unit 240 determines that an abnormality has occurred in the vehicle 201 (Yes in S340), the abnormality determination unit 240 transmits a message to the information processing device 101 via the communication unit 210, thereby causing the The information is output to a notification device that does not provide notification to notify the administrator (S350).
  • the abnormality determination unit 240 repeats the above processing periodically.
  • the abnormality determination unit 240 notifies the administrator that no abnormality has occurred by transmitting information indicating that no abnormality has occurred to the information processing device 101. It's okay.
  • control unit 230 may execute processing according to the content of the abnormality.
  • the information processing method is an information processing method executed in an information processing device that detects an attack on the monitored target by communicating with the monitored target, (S110), and sets the priority of each of the multiple detection rules used to determine whether an abnormality has occurred in the monitored target when an attack is performed on the monitored target. It is determined based on the information and recorded in association with each of the plurality of detection rules (for example, S160 to S180).
  • the priority indicates at least one of the order in which a plurality of detection rules are used and whether or not a detection rule is used when determining whether an abnormality has occurred in a monitoring target.
  • the information processing method is, for example, a method executed by the information processing device 100.
  • the monitoring targets are, for example, vehicles 200 and 201.
  • a detection rule that has a high priority that is, is considered to be particularly important, is used in preference to other detection rules to determine whether or not an abnormality has occurred. Therefore, determination results can be quickly obtained for abnormalities that are considered to be particularly important.
  • judgment results can be quickly obtained for abnormalities that are considered to be particularly important, and the results can be quickly obtained for abnormalities that are considered to be of low priority, that is, not very important. Since detection rules are not used, the amount of processing can be reduced. That is, according to the information processing method according to one aspect of the present disclosure, it is possible to improve the performance of determining whether or not an abnormality has occurred in the monitoring target.
  • an abnormality occurs in the monitoring target using detection rules in the order of the determined priorities. It is determined whether or not it has been performed (S220).
  • a detection rule that has a high priority that is, a detection rule that is considered to be particularly important, is used in preference to other detection rules to determine whether or not an abnormality has occurred. Therefore, determination results can be quickly obtained for abnormalities that are considered to be particularly important.
  • one or more detection rules whose priority is determined to be a predetermined value or higher among the plurality of detection rules are stored in a first storage device in which the plurality of detection rules are stored.
  • S190 and in determining whether an abnormality has occurred (S220), refer to the second storage device and use one or more detection rules to determine whether an abnormality has occurred in the monitored target. Determine whether it has occurred.
  • the first storage device is, for example, the detection rule storage unit 120.
  • the second storage device is, for example, a determination processing reference unit.
  • the attack information includes at least one of symptom information indicating a sign of an attack on the monitored target and detection information indicating a detection result of an attack performed on the monitored target.
  • the priority of detection rules is determined based on the type of attack, the type of monitoring target targeted for attack (specifically, for example, the types of multiple processors that the monitored target has), or the frequency of attacks. can be determined appropriately.
  • the predetermined Initialize the priority determined by information about the type of attack.
  • the priority of a given detection rule is raised because information about a given type of attack is included in the attack information, the information about the given type of attack will not be included in the attack information for a given period of time. If not, the priority of the predetermined detection rule is initialized. For example, lower the priority by the amount that was raised. Thereby, for example, when the content of an attack changes, the priority can be determined appropriately.
  • the abnormality determination method is an abnormality determination method executed in a vehicle that receives a detection rule from an information processing device that manages detection rules for attacks on the vehicle and determines an abnormality.
  • a plurality of detection rules are received from the information processing device based on the attack information (S320), and one or more of the plurality of detection rules is selected based on the priority determined for each of the plurality of detection rules. is used to determine whether an abnormality has occurred in the vehicle due to the detected attack on the vehicle (S330), and when it is determined that an abnormality has occurred in the vehicle (for example, Yes in S340), the determination result is notified ( For example, S350).
  • the priority indicates at least one of the order in which a plurality of detection rules are used and whether or not a detection rule is used when determining whether or not an abnormality has occurred in the vehicle.
  • the abnormality determination method is, for example, a method executed by the vehicle 201.
  • a detection rule that has a high priority that is, is considered to be particularly important, is used in preference to other detection rules to determine whether or not an abnormality has occurred. Therefore, determination results can be quickly obtained for abnormalities that are considered to be particularly important.
  • judgment results can be quickly obtained for abnormalities that are considered to be particularly important, and the results can be quickly obtained for abnormalities that are considered to be of low priority, that is, not very important. Since detection rules are not used, the amount of processing can be reduced. That is, according to the information processing method according to one aspect of the present disclosure, it is possible to improve the performance of determining whether or not an abnormality has occurred in the vehicle.
  • an information processing device that detects an attack on the monitored target by communicating with the monitored target, and includes an acquisition unit that acquires attack information regarding the attack on the monitored target. , determines the priority of each of the multiple detection rules used to determine whether an abnormality has occurred in the monitored target when an attack is carried out on the monitored target, based on the attack information. and a determination unit that records the information in association with each of the detection rules.
  • the information processing device is, for example, the information processing device 100 or the information processing device 101.
  • the acquisition unit and the determination unit are, for example, the received information analysis unit 113 and the detection rule control unit 115.
  • the objects to be monitored are the vehicles 200 and 201, but the objects to be monitored are, for example, moving objects such as ships or airplanes, production equipment located in factories, or the like. It may also be a controlling computer or the like. That is, the present disclosure may be applied to an in-vehicle communication network system, or may be applied to a communication network system that includes production equipment located in a factory or the like and a server that communicates with the production equipment.
  • the number of ECUs included in a vehicle is not particularly limited.
  • the processing executed by a specific processing unit may be executed by another processing unit.
  • the order of the plurality of processes may be changed, or the plurality of processes may be executed in parallel.
  • each component of the processing unit may be configured with dedicated hardware, or may be realized by executing a software program suitable for each component.
  • Each component may be realized by a program execution unit such as a CPU or a processor reading and executing a software program recorded on a recording medium such as a hard disk or a semiconductor memory.
  • the program for realizing each device of the above embodiment causes a computer to execute each step of the flowchart shown in FIG. 5, FIG. 6, or FIG. 8, for example.
  • the at least one device mentioned above is specifically a computer system composed of a microprocessor, ROM, RAM, hard disk unit, display unit, keyboard, mouse, etc.
  • a computer program is stored in the RAM or hard disk unit.
  • the at least one device described above achieves its functions by the microprocessor operating according to a computer program.
  • a computer program is configured by combining a plurality of instruction codes indicating instructions to a computer in order to achieve a predetermined function.
  • a part or all of the components constituting at least one of the above devices may be composed of one system LSI (Large Scale Integration).
  • a system LSI is a super-multifunctional LSI manufactured by integrating multiple components onto a single chip, and specifically, it is a computer system that includes a microprocessor, ROM, RAM, etc. .
  • a computer program is stored in the RAM. The system LSI achieves its functions by the microprocessor operating according to a computer program.
  • An IC card or module is a computer system composed of a microprocessor, ROM, RAM, etc.
  • the IC card or module may include the above-mentioned super multifunctional LSI.
  • An IC card or module achieves its functions by a microprocessor operating according to a computer program. This IC card or this module may be tamper resistant.
  • the present disclosure may be the method described above. Furthermore, it may be a computer program that implements these methods using a computer, or it may be a digital signal formed from a computer program.
  • the present disclosure describes how to store a computer program or a digital signal on a computer-readable recording medium, such as a flexible disk, a hard disk, a CD (Compact Disc)-ROM, a DVD, a DVD-ROM, a DVD-RAM, and a BD (Blu-ray).
  • a computer-readable recording medium such as a flexible disk, a hard disk, a CD (Compact Disc)-ROM, a DVD, a DVD-ROM, a DVD-RAM, and a BD (Blu-ray).
  • the information may be recorded on a registered trademark Disc), a semiconductor memory, or the like. Further, it may be a digital signal recorded on these recording media.
  • the present disclosure may transmit a computer program or a digital signal via a telecommunication line, a wireless or wired communication line, a network typified by the Internet, data broadcasting, or the like.
  • program or digital signal may be implemented by another independent computer system by recording the program or digital signal on a recording medium and transferring it, or by transferring the program or digital signal via a network or the like.
  • the present disclosure is applicable to information processing devices that monitor cyber attacks on in-vehicle communication networks.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本開示の一態様に係る情報処理方法は、監視対象と通信することで当該監視対象に対する攻撃を検知する情報処理装置において実行される情報処理方法であって、監視対象への攻撃に関する攻撃情報を取得し(S110)、監視対象への攻撃が行われた場合に監視対象に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、攻撃情報に基づいて決定して当該複数の検知ルールのそれぞれに関連付けて記録する(例えば、S160~S180)。優先度は、複数の検知ルールが用いられる順序、および、監視対象に異常が発生したか否かを判定する際に、検知ルールを用いるか否か、の少なくとも一方を示す。

Description

情報処理方法、異常判定方法、および、情報処理装置
 本開示は、情報処理方法、異常判定方法、および、情報処理装置に関する。
 従来、車載通信ネットワークなどの通信ネットワークにおけるセキュリティを提供するシステムがある。
 特許文献1には、車載通信ネットワークにおける異常なメッセージを識別するため、車載通信ネットワークにおけるメッセージを監視して異常なメッセージを識別し、メッセージに応じたデータをハブに送信するモジュールを備えるシステムが開示されている。
特開2015-136107号公報
 この種のシステムには、車両などの監視対象に攻撃(具体的には、サイバー攻撃)された場合に、処理量の低減、および/または、特に重要な異常の判定については迅速に行うなど、監視対象に異常が発生したか否かの判定の性能を向上させることが望まれている。
 本開示は、監視対象に異常が発生したか否かの判定の性能を向上させることができる情報処理方法などを提供する。
 本開示の一態様に係る情報処理方法は、監視対象と通信することで前記監視対象に対する攻撃を検知する情報処理装置において実行される情報処理方法であって、前記監視対象への攻撃に関する攻撃情報を取得し、前記監視対象への攻撃が行われた場合に前記監視対象に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、前記攻撃情報に基づいて決定して当該複数の検知ルールのそれぞれに関連付けて記録し、前記優先度は、前記複数の前記検知ルールが用いられる順序、および、前記監視対象に異常が発生したか否かを判定する際に、前記検知ルールを用いるか否か、の少なくとも一方を示す。
 なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。
 本開示の一態様に係る情報処理方法などによれば、監視対象に異常が発生したか否かの判定の性能を向上させることができる。
図1は、実施の形態に係る情報処理システムの概略図である。 図2は、実施の形態に係る情報処理装置のハードウェア構成を示すブロック図である。 図3は、実施の形態に係る車両のハードウェア構成を示すブロック図である。 図4は、実施の形態に係る情報処理システムの機能構成を示すブロック図である。 図5は、実施の形態に係る情報処理装置の処理手順を示すフローチャートである。 図6は、実施の形態に係る異常判定部の処理手順を示すフローチャートである。 図7は、実施の形態の変形例に係る情報処理システムの機能構成を示すブロック図である。 図8は、実施の形態の変形例に係る車両の処理手順を示すフローチャートである。
 (本開示の基礎となった知見)
 攻撃(より具体的には、サイバー攻撃)の検出および分析などを行うSOC(Security Operation Center)などで用いられる通信ネットワークシステムでは、車両などの監視対象が実際に攻撃を被り、当該車両に異常が発生したか否かを判定する際に、攻撃の内容と、複数の検知ルールとの比較処理を行う。当該比較処理により、例えば、車両にどのような異常が発生したかが判定される。
 検知ルールは、通信ネットワークシステムにおける構成または仕様などによって異なる。監視対象、または、検知される異常の数が多くなるほど、攻撃の内容と、膨大な数の検知ルールとの比較が行われて、監視対象の異常が判定される。
 ここで、通信ネットワークシステムは、当該通信ネットワークシステムが備える各装置のスペックによっては、膨大な検知ルールの全てを管理することができない。例えば、通信ネットワークシステムは、スペックによっては、膨大な検知ルール全てについて攻撃の内容と比較して異常が発生したか否かの判定をすることができない。また、例えば、通信ネットワークシステムは、スペックによっては、検知ルールを用いた異常の判定をする際に、判定結果を得るまでに時間がかかりすぎる場合がある。これでは、検知ルールの中でも、監視対象に特に重大な影響を及ぼすような異常の発生を検知する検知ルールを用いた判定結果が得られるまでに時間がかかりすぎる場合がある。
 また、設計者のミスなどにより不要な検知ルールが設定されている場合、または、既に対策された攻撃に対応する検知ルールが残っている場合などがある。これらのような場合に、攻撃の内容と不要な検知ルールとの比較処理が行われてしまう場合もある。
 そこで、本願発明者らは、複数の検知ルールのそれぞれに優先度を付けることで、例えば、近々で被ることが予想される攻撃に応じた検知ルールから優先して用いて判定を行ったり、優先度の高い検知ルールのみを用いて判定を行うことを見出した。
 本開示の一態様に係る情報処理方法は、監視対象と通信することで前記監視対象に対する攻撃を検知する情報処理装置において実行される情報処理方法であって、前記監視対象への攻撃に関する攻撃情報を取得し、前記監視対象への攻撃が行われた場合に前記監視対象に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、前記攻撃情報に基づいて決定して当該複数の検知ルールのそれぞれに関連付けて記録し、前記優先度は、前記複数の前記検知ルールが用いられる順序、および、前記監視対象に異常が発生したか否かを判定する際に、前記検知ルールを用いるか否か、の少なくとも一方を示す。
 これによれば、例えば、優先度が高い、つまり、特に重要と考えられる検知ルールが他の検知ルールよりも優先して用いられて異常が発生したか否かの判定が行われる。そのため、特に重要と考えられる異常については、迅速に判定結果が得られる。また、例えば、優先度が高い検知ルールのみが用いられることで、特に重要と考えられる異常については、迅速に判定結果が得られ、かつ、優先度が低い、つまり、あまり重要ではないと考えられる検知ルールについては用いられないため、処理量を低減できる。つまり、本開示の一態様に係る情報処理方法によれば、監視対象に異常が発生したか否かの判定の性能を向上させることができる。
 また、例えば、本開示の一態様に係る情報処理方法は、さらに、前記監視対象への攻撃が行われた場合に、決定された前記それぞれの前記優先度の高い順に、前記検知ルールを用いて前記監視対象に異常が発生したか否かを判定する。
 これによれば、優先度が高い、つまり、特に重要と考えられる検知ルールが他の検知ルールよりも優先して用いられて異常が発生したか否かの判定が行われる。そのため、特に重要と考えられる異常については、迅速に判定結果が得られる。
 また、例えば、本開示の一態様に係る情報処理方法は、さらに、前記複数の前記検知ルールのうち、前記優先度が所定値以上に決定された1以上の前記検知ルールを、前記複数の前記検知ルールが記憶された第1記憶装置とは異なる第2記憶装置に記憶させ、前記異常が発生したか否かの判定では、前記第2記憶装置を参照して、前記1以上の前記検知ルールを用いて前記監視対象に異常が発生したか否かを判定する。
 これによれば、優先度が高い検知ルールのみが用いられることで、特に重要と考えられる異常については、迅速に判定結果が得られ、かつ、優先度が低い、つまり、あまり重要ではないと考えられる検知ルールについては用いられないため、処理量を低減できる。
 また、例えば、前記攻撃情報は、前記監視対象への攻撃の兆候を示す兆候情報、および、前記監視対象に行われた攻撃の検知結果を示す検知情報のうちの少なくとも一方を含む。
 これによれば、攻撃の種類、攻撃の対象となる監視対象の種類(具体的に例えば、監視対象が備える複数のプロセッサの種類)、または、攻撃の頻度などに応じて、検知ルールの優先度を適切に決定できる。
 また、例えば、前記攻撃情報は、複数の種類の攻撃に関する情報を含み、所定の期間、取得した前記攻撃情報に、前記複数の種類のうちの所定の種類の攻撃に関する情報が含まれていない場合、前記所定の種類の攻撃に関する情報により決定された前記優先度を初期化する。
 例えば、所定の期間受けていない種類の攻撃については、今後も当該種類の攻撃を受けない可能性が高い。そこで、例えば、所定の種類の攻撃に関する情報が攻撃情報に含まれていたために所定の検知ルールの優先度が上げられていた場合、当該所定の種類の攻撃に関する情報が所定の期間攻撃情報に含まれていなければ、当該所定の検知ルールの優先度を初期化する。例えば、上げられた優先度の分だけ、優先度を下げる。これにより、例えば攻撃の内容が変化された場合に優先度を適切に決定できる。
 また、本開示の一態様に係る異常判定方法は、車両に対する攻撃の検知ルールを管理する情報処理装置から前記検知ルールを受信して異常を判定する車両において実行される異常判定方法であって、前記車両において検知した攻撃情報に基づいて前記情報処理装置から複数の前記検知ルールを受信し、前記複数の前記検知ルールのそれぞれに定められた優先度に基づいて、前記複数の前記検知ルールのうちの1以上の前記検知ルールを用いて、検知した前記車両への攻撃によって前記車両に異常が発生したか否かを判定し、前記車両に異常が発生したと判定した場合、判定結果を報知し、前記優先度は、前記複数の前記検知ルールが用いられる順序、および、前記車両に異常が発生したか否かを判定する際に、前記検知ルールを用いるか否か、の少なくとも一方を示す。
 これによれば、例えば、優先度が高い、つまり、特に重要と考えられる検知ルールが他の検知ルールよりも優先して用いられて異常が発生したか否かの判定が行われる。そのため、特に重要と考えられる異常については、迅速に判定結果が得られる。また、例えば、優先度が高い検知ルールのみが用いられることで、特に重要と考えられる異常については、迅速に判定結果が得られ、かつ、優先度が低い、つまり、あまり重要ではないと考えられる検知ルールについては用いられないため、処理量を低減できる。つまり、本開示の一態様に係る情報処理方法によれば、車両に異常が発生したか否かの判定の性能を向上させることができる。
 また、本開示の一態様に係る情報処理装置は、監視対象と通信することで前記監視対象に対する攻撃を検知する情報処理装置であって、前記監視対象への攻撃に関する攻撃情報を取得する取得部と、前記監視対象への攻撃が行われた場合に前記監視対象に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、前記攻撃情報に基づいて決定して当該複数の検知ルールのそれぞれに関連付けて記録する決定部と、を備え、前記優先度は、前記複数の前記検知ルールが用いられる順序、および、前記監視対象に異常が発生したか否かを判定する際に、前記検知ルールを用いるか否か、の少なくとも一方を示す。
 これによれば、本開示の一態様に係る情報処理方法と同様の効果を奏する。
 なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび非一時的な記録媒体の任意な組み合わせで実現されてもよい。
 以下、本開示の実施の形態について、図面を参照しながら具体的に説明する。
 なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
 (実施の形態)
 [構成]
 図1は、実施の形態に係る車両への情報を提供する情報処理システム1の概略図である。
 情報処理システム1は、インターネットなどのネットワーク400を介して互いに通信可能に接続された情報処理装置100、車両200、および、連携システム300を備える通信ネットワークシステムである。本実施の形態では、情報処理システム1は、情報処理装置100が、車両200および連携システム300から情報を取得し、取得した情報を処理する車載通信ネットワークシステムである。
 なお、車両200および連携システム300の数は、特に限定されない。情報処理システム1は、複数台の車両200を備えていてもよい。また、情報処理システム1は、複数台の連携システム300を備えてもよい。
 情報処理装置100は、監視対象と通信することで当該監視対象に対する攻撃を検知する装置である。本実施の形態では、情報処理装置100は、車両200の状態を監視するための装置である。情報処理装置100は、例えば、SOC(Security Operation Center)などの監視センターに設けられる。情報処理装置100は、車両200で検知された車両200への攻撃(具体的には、サイバー攻撃)に関する情報(検知情報ともいう)を取得し、取得した検知情報に基づいて車両200の状態を監視する。具体的には、情報処理装置100は、取得した検知情報に基づいて、車両200に異常が発生しているか否かを判定するための複数の検知ルールのそれぞれの優先度を決定する。本実施の形態では、情報処理装置100は、決定した優先度に基づいて、複数の優先度のうちの1以上の検知ルールを用いて、車両200に異常が発生したか否かを判定する。例えば、情報処理装置100は、判定結果を、図示しない映像を表示するディスプレイおよび/または音を出力するスピーカなどの音響機器からなる報知機器に出力して、当該報知機器に当該判定結果を管理者に報知させる。
 情報処理装置100は、例えば、車両200および連携システム300と通信するための通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、ならびに、プログラムを実行するプロセッサなどで実現されるサーバなどのコンピュータである。
 車両200は、検知情報を情報処理装置100に送信する車両である。車両200は、監視対象の一例である。より具体的には、車両200が備える後述するTCU21、複数のECU22、ストレージ23、通信バス24は、それぞれ監視対象(つまり、監視される対象)の一例であり、複数の検知センサ25は、それぞれ監視する対象の一例である(図3参照)。車両200は、例えば、自動二輪車または自動四輪車などの任意の車両である。本実施の形態では、車両200は、自動運転可能な自動運転車である。なお、車両200は、自動運転車でなくてもよい。
 連携システム300は、情報処理装置100とは異なる地域の車両の状態を監視するための装置である。つまり、情報処理装置100と連携システム300とは、同様の構成であって、異なる地域の車両の状態を監視する装置である。情報処理装置100と連携システム300とは、それぞれが監視している車両などへの攻撃に関する情報(連携情報ともいう)を互いに送信しあう。情報処理装置100は、車両200から取得した検知情報、および、連携システム300から取得した連携情報を含む攻撃情報に基づいて、複数の検知ルールのそれぞれの優先度を決定する。
 なお、連携システム300は、前述したSOCの中でもオフィスネットワークを監視するIT向けSOCであってもよいし、産業デバイス等を生産する工場内ネットワークを監視するOT(Operational Technology)向けSOCであってもよい。
 なお、連携情報には、例えば、インターネットと接続されたコンピュータにおける車両への攻撃に関する情報、および、情報処理装置100または連携システム300を管理する管理者から入力された情報などが含まれていてもよい。
 連携システム300は、例えば、情報処理装置100および車両200と通信するための通信インターフェース、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、信号の送受信をするための入出力ポート、ならびに、プログラムを実行するプロセッサなどで実現されるサーバなどのコンピュータである。
 図2は、実施の形態に係る情報処理装置100のハードウェア構成を示すブロック図である。
 情報処理装置100は、ハードウェア構成として、CPU(Central Processing Unit)11と、メインメモリ12と、ストレージ13と、通信IF(Interface)14とを備える。
 CPU11は、ストレージ13などに記憶された制御プログラムを実行するプロセッサである。
 メインメモリ12は、CPU11が制御プログラムを実行するときに使用するワークエリアとして用いられる揮発性の記憶領域である。
 ストレージ13は、制御プログラムおよびコンテンツなどを保持する不揮発性の記憶領域である。ストレージ13は、例えば、HDD(Hard Disk Drive)またはSSD(Solid Stated Drive)などにより実現される。
 なお、ストレージ13の数は、1つでもよいし、複数でもよい。本実施の形態では、情報処理装置100は、複数のストレージ13を備える。
 通信IF(Interface)14は、ネットワーク400を介して、車両200および連携システム300と通信する通信インターフェースである。通信IF14は、例えば、有線LAN(Local Area Network)インターフェースであってもよいし、無線LANインターフェースであってもよい。また、通信IF14は、LANインターフェースに限らずに、通信ネットワークとの通信接続を確立できる通信インターフェースであれば、どのような通信インターフェースであってもよい。
 図3は、実施の形態に係る車両のハードウェア構成の一例を示すブロック図である。
 車両200は、ハードウェア構成として、TCU(Telematics Control Unit)21と、複数のECU22と、ストレージ23と、通信バス24と、複数の検知センサ25と、を備える。
 TCU21は、車両200がネットワーク400との間で無線通信を行う通信ユニットである。TCU21は、移動体通信網の規格に対応したセルラモジュールを含む通信ユニットである。
 複数のECU22は、車両200が備える機器の制御を実行するECU(Electronic Control Unit)である。当該機器は、例えば、エンジン、モータ、メータ、トランスミッション、ブレーキ、ステアリング、パワーウィンドウ、および、エアコンなどを含む。また、複数のECU22の少なくとも1つは、車両200の自律運転を制御する制御回路であってもよい。複数のECU22は、これらの各種機器のそれぞれに対応して設けられていてもよい。複数のECU22のそれぞれは、ここでは図示しないが、各ECU22が実行するプログラムを格納している記憶部(不揮発性の記憶領域)を備えていてもよい。記憶部は、例えば、不揮発性のメモリである。
 ストレージ23は、制御プログラムなどを保持する不揮発性の記憶領域である。ストレージ23は、例えば、HDDまたはSSDなどにより実現される。
 通信バス24は、TCU21、複数のECU22、および、ストレージ23が接続して、車両200が複合的な機器の制御を実行するための通信専用路である。通信バス24は例えばCANまたは車載Ethernetなどにより実現される。
 複数の検知センサ25は、TCU21、複数のECU22、ストレージ23、または、通信バス24が攻撃を被ったかを監視する機能を持つ。複数の検知センサ25の少なくともいずれかは、例えば、HIDS(Host-based Intrusion Detection System)であり、通信バス24に接続されたハードウェアであるTCU21、複数のECU22、および、ストレージ23を監視する。また、例えば、複数の検知センサ25の少なくともいずれかは、NIDS(Network-based Intrusion Detection System)であり、通信バス24を監視する。複数の検知センサ25は単独の機器として通信バス24にネットワーク接続されてもよいし、或いはTCU21、複数のECU22、および、ストレージ23と統合される形態であってもよい。
 続いて、情報処理システム1の情報処理装置100および車両200の機能構成について説明する。
 図4は、実施の形態に係る情報処理システム1の機能構成を示すブロック図である。なお、図4では、ネットワーク400の図示を省略している。
 まず、情報処理装置100の構成について説明する。
 情報処理装置100は、優先度管理部110と、検知ルール保存部120と、判定処理参照部130と、異常判定部140と、を備える。
 優先度管理部110は、検知ルール保存部120に記憶された複数の検知ルールのそれぞれの優先度を管理(より具体的には、決定)する。
 優先度管理部110は、連携情報受信部111と、検知情報受信部112と、受信情報解析部113と、解析情報保存部114と、検知ルール制御部115と、を備える。
 連携情報受信部111は、連携システム300から連携情報を受信する。連携情報受信部111は、例えば、通信IF14により実現される。
 検知情報受信部112は、車両200から検知情報を受信する。検知情報受信部112は、例えば、通信IF14により実現される。
 なお、連携情報受信部111と検知情報受信部112とは、同じ通信インターフェースにより実現されてもよいし、異なる通信インターフェースにより実現されてもよい。
 受信情報解析部113は、車両200への攻撃に関する攻撃情報を取得し、車両200への攻撃が行われた場合に車両200に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、攻撃情報に基づいて決定する処理部である。具体的には、受信情報解析部113は、連携情報受信部111を介して連携情報を取得し、検知情報受信部112を介して検知情報を取得し、取得したこれらの情報を解析して複数の検知ルールのそれぞれの優先度を決定する。受信情報解析部113は、取得部、および、決定部の一例である。
 優先度は、複数の検知ルールが用いられる順序、および、車両200に異常が発生したか否かを判定する際に、検知ルール(より具体的には、決定された優先度に対応する検知ルール)を用いるか否か、の少なくとも一方を示す。
 攻撃情報は、例えば、車両200への攻撃の兆候を示す兆候情報および、車両200に行われた攻撃の検知結果を示す検知情報のうちの少なくとも一方を含む。
 兆候情報は、車両200への攻撃の兆候を示す情報であって、例えば、連携システム300から取得される連携情報に含まれる情報である。例えば、兆候情報は、攻撃の種類と、当該種類の攻撃がどの程度発生するかを決定(推定)するための情報であり、車両200が攻撃されてはいないもののこれから攻撃される可能性が高くなることを示す情報、または、車両200が攻撃されているもののこれから攻撃される可能性が低くなることを示す情報である。
 例えば、兆候情報は、車両が用いるナビシステムを監視するNIDS(Network-based Intrusion Detection System)などの攻撃検知部220が普段より「ヘッダ異常」の異常検知をすることが多くなったことを示す情報を含む。例えば、受信情報解析部113は、このような情報を取得した場合、ナビシステムに対してポートスキャンを経ての不正ログインを行い、車両200の内部への侵入を試みようとする攻撃が増加し出すことが想定されるため、このような攻撃の種類に関する検知ルールの優先度を上げる。
 また、例えば、兆候情報は、ソフトウェアの脆弱性などを示す情報を含む。例えば、受信情報解析部113は、このような情報を取得した場合、当該ソフトウェアが採用されたTCU21、ECU22、ストレージ23が搭載された車両200に対する攻撃が増加し出すことが想定されるため、このような攻撃の種類に関する検知ルール、および、当該ソフトウェアが採用されたTCU21、ECU22、ストレージ23に関する検知ルールの優先度を上げる。
 また、例えば、兆候情報は、通信プロトコルの仕様不具合に起因する脆弱性などを示す情報を含む。例えば、受信情報解析部113は、このような情報を取得した場合、当該通信プロトコルを採用した通信バス24が搭載された車両200に対する攻撃が増加し出すことが想定されるため、このような攻撃の種類に関する検知ルール、および、当該通信プロトコルが採用された通信バス24に関する検知ルールの優先度を上げる。
 また、例えば、兆候情報は、ITS(Intelligent Transport Systems)などの連携システム300の各種サーバに対するDoS攻撃(Denial-of-service attack)攻撃が増加している旨を示す情報を含む。例えば、受信情報解析部113は、このような情報を取得した場合、DoS攻撃によって正当なサーバを停止させた上で、成りすましサーバから送信されるメッセージ成りすまし攻撃が増加し出すことが想定されるため、このような攻撃の種類に関する検知ルールの優先度を上げる。
 また、例えば、兆候情報は、A国またはB社への攻撃キャンペーンがWEB上で公開されたことを示す情報を含む。例えば、受信情報解析部113は、このような情報を取得した場合、A国またはB社によって生産および/または販売された車種全般に対する攻撃が増加し出すことが想定されるため、このような攻撃の種類に関する検知ルール、および、対応する車両200の種類に応じた検知ルールの優先度を上げる。
 検知情報は、車両200で検知された攻撃の内容(例えば、攻撃の種類、攻撃のタイミング、および、攻撃されたTCU21、ECU22、ストレージ23、通信バス24など)を示す情報である。
 受信情報解析部113は、例えば、検知情報を解析することで、対象種類情報、攻撃種類情報、および、回数情報などを含む解析情報を生成する。
 対象種類情報は、例えば、TCU21、複数のECU22、ストレージ23、通信バス24のうちのいずれかが攻撃されたかを示す情報である。対象種類情報は、車種などの車両の種類を示す情報、および/または、ECU22、ストレージ23、通信バス24の種類を示す情報を含んでもよい。
 攻撃種類情報は、例えば、車両200に行われた攻撃の種類を示す情報である。
 回数情報は、車両200に攻撃が行われた回数を示す情報である。具体的には、回数情報は、車両200が備えるTCU21、複数のECU22、ストレージ23、通信バス24のそれぞれについて、攻撃が行われたそれぞれの回数を示す情報である。また、回数情報は、攻撃されたECU22、ストレージ23、通信バス24の種類、および、攻撃の種類ごとの回数を含む情報であってもよい。
 なお、情報処理装置100は、対象種類情報、攻撃種類情報、および、回数情報などの、連携システム300が監視する車両で検知された情報を、連携情報に含まれる兆候情報として取得してもよい。
 受信情報解析部113は、これらの情報を含む攻撃情報に基づいて、複数の検知ルールの優先度を決定する。本実施の形態では、受信情報解析部113は、取得した攻撃情報と、過去に取得した攻撃情報とを比較し、比較結果に基づいて車両200に対する今後の攻撃兆候を判定し、判定結果に基づいて優先度を決定する。
 例えば、下記の通りに複数の検知ルールが定められているとする。
 ・検知ルール1:ノードAで攻撃aが発生し、ノードBで攻撃bが発生。
 ・検知ルール2:ノードAで攻撃aが発生し、ノードBで攻撃bが発生し、ノードCで攻撃cが発生。
 ・検知ルール3:ノードAで攻撃dが発生し、ノードBで攻撃bが発生。
 ・検知ルール4:ノードAで攻撃dが発生し、ノードBで攻撃bが発生し、ノードCで攻撃cが発生。
 ・検知ルール5:ノードAで攻撃dが発生し、ノードBで攻撃aが発生。
 なお、ノードとは、監視対象であって、例えば、TCU21、ECU22、ストレージ23である。例えば、ノードAとノードBとは互いに異なるECU22であることを示す。また、例えば、攻撃a~dは、それぞれ、互いに種類の異なる攻撃であることを示す。また、ノードは攻撃の対象となり得る通信バス24に置き換えることもできる。
 受信情報解析部113は、例えば、ノードAに攻撃aの発生がある(または、発生の兆候がある)ことを示す情報が攻撃情報に含まれている場合、上記検知ルール1と上記検知ルール2の優先度をそれぞれ上げる。
 また、受信情報解析部113は、例えば、ノードBに攻撃aの発生がある(または、発生の兆候がある)ことを示す情報が攻撃情報に含まれている場合、上記検知ルール5の優先度を上げる。
 なお、攻撃によって車両200に異常が発生した場合の影響度(例えば、危険度)に応じて、優先度の上げ方(優先度に加算する値)を変更してもよい。また、例えば、攻撃の種類ごとに優先度が設定されてもよい。例えば、上記検知ルール1の優先度として、攻撃aに応じた優先度と、攻撃bに応じた優先度とが決定されてもよい。このように、例えば、優先度は、多次元数値で表現されてもよい。
 また、上記の影響度は、予め任意に定められてよく、特に限定されない。
 また、受信情報解析部113は、取得した攻撃情報に基づいて、検知ルールの優先度を下げてもよい。例えば、攻撃情報は、上記の攻撃a~dのように、複数の種類の攻撃に関する情報を含む。受信情報解析部113は、所定の期間、取得した攻撃情報に、複数の種類のうちの所定の種類の攻撃に関する情報が含まれていない場合、所定の種類の攻撃に関する情報により決定された優先度を初期化する。例えば、受信情報解析部113は、上記検知ルール1の優先度を「5」と決定した後に、所定の期間、取得した攻撃情報に、攻撃aまたは攻撃bが行われたことを示す情報、または、これらの攻撃が行われる兆候を示す情報が含まれていない場合、上記検知ルール1の優先度を初期値(例えば、「0」)に変更(初期化)する。
 なお、例えば、受信情報解析部113は、元々の優先度が「0」の上記検知ルール1の優先度を、攻撃aに関する情報に基づいて「2」加算し、さらに、攻撃bに関する情報に基づいて「3」加算することで、「5」と決定したとする。受信情報解析部113は、例えば、この後に、所定の期間、取得した攻撃情報に、攻撃aが行われたことを示す情報、または、攻撃aが行われる兆候を示す情報が含まれていない場合、上記検知ルール1の優先度を「3」に変更してもよいし、「0」に変更してもよい。
 また、所定の期間は、予め任意に定められてよく、特に限定されない。
 また、例えば、受信情報解析部113は、NIDSなどの攻撃検知部220が「ヘッダ異常」の異常検知をすることが少なくなったことを示す情報、ソフトウェアの脆弱性の対策が完了したことを示す情報、ITSなどの連携システム300の各種サーバに対するDoS攻撃が減少している旨を示す情報、または、攻撃キャンペーンの終了がWEB上で公開されたことを示す情報などの情報が攻撃情報(具体的に例えば、兆候情報)に含まれている場合、検知ルールの優先度を下げてもよい。
 以上のように、受信情報解析部113は、取得した攻撃情報に基づいて、複数の検知ルールのそれぞれの優先度を更新する。
 解析情報保存部114は、受信情報解析部113によって解析された攻撃情報の解析結果(解析情報)を記憶する記憶装置である。解析情報は、例えば、取得した攻撃情報と、過去に取得した攻撃情報との比較結果である。
 なお、解析情報保存部114には、取得した攻撃情報が記憶されてもよいし、決定した優先度が記憶されてもよいし、変更(更新)された優先度の変化量が記憶されてもよい。
 解析情報保存部114は、例えば、ストレージ13によって実現される。
 検知ルール制御部115は、受信情報解析部113が決定した複数の検知ルールのそれぞれの優先度を、当該複数の検知ルールのそれぞれに関連付けて検知ルール保存部120などに記録(記憶)する処理部である。また、検知ルール制御部115は、受信情報解析部113が決定した優先度に基づいて、検知ルール保存部120に記憶されている複数の検知ルールのうち、1以上の検知ルールを判定処理参照部130に記憶させる。検知ルール制御部115は、例えば、複数の検知ルールのうち、優先度が所定値以上に決定された1以上の検知ルールを、複数の検知ルールが記憶された検知ルール保存部120とは異なる判定処理参照部130に記憶させる。例えば、検知ルール制御部115は、優先度が所定値以上に決定された検知ルールを、決定された優先度と紐付けて判定処理参照部130に記憶させる。
 なお、検知ルール制御部115は、検知ルール保存部120に記憶された、優先度が所定値以上に決定された検知ルールを、優先度と紐付けずにコピーして判定処理参照部130に記憶させてもよい。
 また、所定値は、予め任意に設定されてよく、特に限定されない。
 検知ルール保存部120は、複数の検知ルールを記憶する記憶装置である。検知ルール保存部120は、第1記憶装置の一例である。検知ルール制御部115は、決定された優先度と検知ルールとを紐付けて検知ルール保存部120に記憶させてもよい。
 検知ルール保存部120は、例えば、ストレージ13により実現される。
 判定処理参照部130は、所定値以上の優先度が決定された検知ルールを記憶する記憶装置である。判定処理参照部130は、第2記憶装置の一例である。判定処理参照部130は、例えば、ストレージ13により実現される。本実施の形態では、検知ルール保存部120と、判定処理参照部130とは、互いに異なるストレージ13により実現される。
 なお、解析情報保存部114は、例えば、検知ルール保存部120と同じストレージ13により実現されてもよいし、検知ルール保存部120および判定処理参照部130とは異なるストレージにより実現されてもよい。また、解析情報保存部114と検知ルール保存部120と判定処理参照部130とは、同じストレージ(つまり、1つのストレージ)により実現されてもよい。
 異常判定部140は、複数の検知ルールのそれぞれに定められた優先度に基づいて、複数の検知ルールのうちの1以上の検知ルールを用いて、車両200への攻撃によって車両200に異常が発生したか否かを判定する処理部である。本実施の形態では、異常判定部140は、判定処理参照部130を参照して、1以上の検知ルールを用いて車両200に異常が発生したか否かを判定する。つまり、異常判定部140は、判定処理参照部130に記憶された検知ルールを用いて、車両200への攻撃によって車両200に異常が発生したか否かを判定する。例えば、異常判定部140は、車両200への攻撃が行われた場合に(例えば、攻撃情報に車両200への攻撃が行われたことを示す情報が含まれている場合に)、決定されたそれぞれの優先度の高い順に、検知ルールを用いて車両200に異常が発生したか否かを判定する。
 判定結果は、例えば、図示しない上記の報知装置に出力されて管理者に報知される。
 受信情報解析部113、検知ルール制御部115、および、異常判定部140などの処理部は、例えば、CPU11およびメインメモリ12により実現される。
 続いて、車両200の機能構成について説明する。
 車両200は、通信部210と、攻撃検知部220と、制御部230と、を備える。
 通信部210は、ネットワーク400を介して、情報処理装置100との間で情報の授受を行う。具体的には、通信部210は、攻撃検知部220が検知した検知結果を示す検知情報を情報処理装置100に送信する。
 例えば、通信部210は、TCU21により実現される。
 なお、通信部210は、例えば、車両200の制御状態、および、車両200が備えるセンサの検出値などを示すログ情報、および、車両200の運行状況情報を情報処理装置100へ送信してもよい。
 攻撃検知部220は、例えばNIDSであって、ECU22と接続された通信バス24に流れるデータを監視する処理部である。具体的には、攻撃検知部220は、ECU22と接続された通信バス24に流れるデータを監視することで、車両200(より具体的には、ECU22)に行われる攻撃を検知する。攻撃検知部220(より具体的には、複数の検知センサ25)は、攻撃の検知結果を示す検知情報を、通信部210(より具体的には、TCU21、外部との通信機能を持ったECU22、車両200が図示しない外部との通信機能に特化したハードウェア)を介して情報処理装置100に送信する。
 攻撃検知部220は、複数の検知センサ25の少なくともいずれかによって実現される。
 制御部230は、車両200が備える図示しないエンジンおよびステアリングなどを制御することで、車両200の動作を制御する処理部である。
 制御部230は、例えば、複数のECU22の少なくともいずれかによって実現される。
 なお、情報処理装置100は、車両200から車両200の運行状況を示す運行状況情報を取得してもよい。運行状況情報は、車両200の運行状況が変化したときに車両200によって生成され、生成されるたびに情報処理装置100に送信されてもよい。運行状況情報は、車両200の運行状況の変化に関わらず、定期的に車両200によって生成され、生成される度に情報処理装置100に送信されてもよい。運行状況情報は、車両200の車両情報と、車両200の運行状況とが対応付けられた情報である。情報処理装置100は、運行状況情報を取得すると、当該運行状況情報に含まれる車両情報で特定される車両200の運行状況を運行状況情報に含まれる運行状況に更新する。これにより、情報処理装置100は、車両200の運行状況を管理してもよい。
 また、例えば、情報処理装置100は、車両200が攻撃を受けた場合に、当該攻撃に応じた制御指示を車両200へ送信してもよい。車両200は、取得した制御指示に応じた制御を実行してもよい。
 [処理手順]
 続いて、情報処理装置100の処理手順について説明する。
 図5は、実施の形態に係る情報処理装置100の処理手順を示すフローチャートである。
 まず、受信情報解析部113は、連携情報受信部111および検知情報受信部112を介して連携システム300および車両200から攻撃情報を取得する(S110)。
 次に、受信情報解析部113は、取得した攻撃情報を解析する(S120)。受信情報解析部113は、例えば、攻撃情報を解析することで、対象種類情報、攻撃種類情報および回数情報などを解析情報として生成する。
 次に、受信情報解析部113は、生成した解析情報と、解析情報保存部114に記憶されている過去の解析情報とを比較する(S130)。
 次に、受信情報解析部113は、生成した解析情報を解析情報保存部114に記憶させる(S140)。
 次に、受信情報解析部113は、ステップS140での比較結果に基づいて、解析情報に変化があるか否かを判定する(S150)。例えば、受信情報解析部113は、過去の解析情報が示す攻撃aの攻撃回数に対して、ステップS120で生成した解析情報が示す攻撃aの攻撃回数が増減しているか否かを判定する。
 受信情報解析部113は、解析情報に変化があると判定した場合(S150で「変化あり」)、検知ルール保存部120に記憶されている複数の検知ルールの優先度を決定する(S160)。例えば、受信情報解析部113は、過去の解析情報が示す攻撃aの攻撃回数に対して、ステップS120で生成した解析情報が示す攻撃aの攻撃回数が増加していると判定した場合、攻撃aに関する検知ルールの優先度が高くなるように、優先度を決定する。
 次に、検知ルール制御部115は、検知ルール保存部120に記憶されている複数の検知ルールの中から、ステップS160で受信情報解析部113が決定した優先度と異なる、つまり、優先度に変化がある検知ルールを選択する(S170)。
 次に、検知ルール制御部115は、ステップS170で選択した検知ルールの優先度を、ステップS160で受信情報解析部113が決定した優先度に更新(変更)する(S180)。
 次に、検知ルール制御部115は、優先度に基づいて、判定処理参照部130に記憶されている検知ルールを更新する(S190)。検知ルール制御部115は、例えば、判定処理参照部130に記憶されている検知ルールを、ステップS160で所定値以上の優先度が決定された検知ルールに変更する。
 情報処理装置100は、例えば上記の処理を、定期的に繰り返す。
 図6は、実施の形態に係る異常判定部140の処理手順を示すフローチャートである。
 まず、異常判定部140は、検知情報を取得する(S210)。異常判定部140は、検知情報受信部112を介して車両200から検知情報を取得してもよいし、受信情報解析部113または検知ルール制御部115によって解析情報保存部114または判定処理参照部130に記憶された検知情報を、解析情報保存部114または判定処理参照部130から取得してもよい。
 次に、異常判定部140は、優先度に基づいて、検知情報および検知ルールを用いて、車両200に異常が発生したか否かを判定する(S220)。例えば、異常判定部140は、判定処理参照部130を参照して、優先度が高い順に検知ルールを用いて、車両200に異常が発生したか否かを判定する。
 異常判定部140は、車両200に異常が発生したと判定した場合(S230でYes)、異常が発生したことを示す情報を報知装置などに出力することで、異常が発生した旨を管理者に報知する(S240)。
 一方、異常判定部140は、車両200に異常が発生していないと判定した場合(S230でNo)、処理を終了する。
 異常判定部140は、例えば上記の処理を、定期的に繰り返す。
 なお、ステップS230でNoの場合に、異常判定部140は、異常が発生していないことを示す情報を報知装置などに出力することで、異常が発生していない旨を管理者に報知してもよい。
 また、ステップS230でYesの場合、情報処理装置100は、異常の内容に応じた処理を車両200に実行させるための制御情報を、車両200に送信してもよい。
 [変形例]
 異常判定部140および判定処理参照部130は、車両200に設けられてもよい。
 図7は、実施の形態の変形例に係る情報処理システム1Aの機能構成を示すブロック図である。
 なお、変形例に説明においては、上記実施の形態との差異点を中心に説明し、実質的に同様の構成および処理については説明を省略する場合がある。
 情報処理システム1Aは、情報処理装置101と、車両201と、連携システム300と、を備える。車両201は、監視対象の一例である。
 情報処理装置101は、優先度管理部110と、検知ルール保存部120と、送信部150とを備える。
 送信部150は、車両201と通信するための通信インターフェースである。送信部150は、例えば、通信IF14により実現される。
 なお、送信部150は、連携情報受信部111および検知情報受信部112と同じ通信IFで実現されてもよいし、異なる通信IFで実現されてもよい。
 また、送信部150は、有線通信インターフェースであってもよいし、無線通信インターフェースであってもよい。
 検知ルール制御部115は、例えば、送信部150を介して、優先度が所定値以上に決定された検知ルールを、優先度と紐付けて車両201に送信する。
 車両201は、車両201に対する攻撃の検知ルールを管理する情報処理装置101から検知ルールを受信して異常を判定する。車両201は、通信部210と、攻撃検知部220と、制御部230と、異常判定部240と、判定処理参照部250と、を備える。
 異常判定部240は、異常判定部140と同様に、複数の検知ルールのそれぞれに定められた優先度に基づいて、複数の検知ルールのうちの1以上の検知ルールを用いて、車両201への攻撃によって車両201に異常が発生したか否かを判定する処理部である。本変形例では、異常判定部240は、判定処理参照部250を参照して、1以上の検知ルールを用いて車両201に異常が発生したか否かを判定する。例えば、異常判定部240は、車両201への攻撃が行われた場合に(例えば、攻撃検知部220が攻撃を検知した場合に)、決定されたそれぞれの優先度の高い順に、検知ルールを用いて車両201に異常が発生したか否かを判定する。具体的には、異常判定部240は、車両201において検知した攻撃情報に基づいて情報処理装置101から複数の検知ルールを、通信部210を介して受信し、複数の検知ルールのそれぞれに定められた優先度に基づいて、複数の検知ルールのうちの1以上の検知ルールを用いて、検知した車両201への攻撃によって車両201に異常が発生したか否かを判定する。例えば、異常判定部240は、車両201において攻撃が検知された場合に、検知ルールを送信するように要求する信号を情報処理装置101に送信することで、検知ルールを受信して判定処理参照部250に記憶させる。
 なお、例えば、異常判定部240は、エンジンがかけられた際などの車両201が駆動するタイミングで情報処理装置101から検知ルールを受信してもよい。
 異常判定部240は、例えば、複数のECU22の少なくともいずれかによって実現される。
 異常判定部240による判定結果は、例えば、通信部210を介して情報処理装置101に送信され、情報処理装置101と接続された図示しない報知装置に出力されて管理者に報知される。また、異常判定部240による判定結果は、例えば、車両201が備える図示しない報知装置に出力されて車両201の搭乗者に報知されてもよい。また、例えば、制御部230は、判定結果に基づいて、車両201の制御を実行してもよい。
 判定処理参照部250は、判定処理参照部130と同様に、所定値以上の優先度が決定された検知ルールを記憶する記憶装置である。判定処理参照部250は、第2記憶装置の一例である。判定処理参照部250は、例えば、ストレージ23により実現される。例えば、異常判定部240は、通信部210を介して、情報処理装置101から送信された、優先度が所定値以上に決定された検知ルールと当該検知ルールの優先度とを取得し、判定処理参照部250に記憶させる。
 図8は、実施の形態の変形例に係る車両201の処理手順を示すフローチャートである。
 まず、攻撃検知部220は、車両201への攻撃を検知したか否かを判定する(S310)。
 攻撃検知部220は、車両201への攻撃が検知されていない判定した場合(S310でNo)、ステップS310の処理を繰り返す。
 一方、攻撃検知部220が、車両201への攻撃を検知したと判定した場合(S310でYes)、異常判定部240は、情報処理装置101から複数の検知ルールを、通信部210を介して受信する(S320)。上記の通り、例えば、異常判定部240は、検知ルールを送信するように要求する信号を情報処理装置101に送信することで、情報処理装置101から検知ルールを受信する。
 次に、異常判定部240は、優先度に基づいて、攻撃検知部220の検知結果および検知ルールを用いて、車両201に異常が発生したか否かを判定する(S330)。例えば、異常判定部240は、判定処理参照部250を参照して、優先度が高い順に検知ルールを用いて、車両201に異常が発生したか否かを判定する。
 異常判定部240は、車両201に異常が発生したと判定した場合(S340でYes)、例えば、通信部210を介して情報処理装置101に送信することで、情報処理装置101と接続された図示しない報知装置に出力されて管理者に報知する(S350)。
 一方、異常判定部240は、車両201に異常が発生していないと判定した場合(S340でNo)、処理を終了する。
 異常判定部240は、例えば上記の処理を、定期的に繰り返す。
 なお、ステップS340でNoの場合に、異常判定部240は、異常が発生していないことを示す情報を情報処理装置101に送信することで、異常が発生していない旨を管理者に報知してもよい。
 また、ステップS340でYesの場合、制御部230は、異常の内容に応じた処理を実行してもよい。
 [まとめ]
 以上説明したように、実施の形態に係る情報処理方法は、監視対象と通信することで当該監視対象に対する攻撃を検知する情報処理装置において実行される情報処理方法であって、監視対象への攻撃に関する攻撃情報を取得し(S110)、監視対象への攻撃が行われた場合に監視対象に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、攻撃情報に基づいて決定して当該複数の検知ルールのそれぞれに関連付けて記録する(例えば、S160~S180)。優先度は、複数の検知ルールが用いられる順序、および、監視対象に異常が発生したか否かを判定する際に、検知ルールを用いるか否か、の少なくとも一方を示す。
 当該情報処理方法は、例えば、情報処理装置100が実行する方法である。当該監視対象は、例えば、車両200、201である。
 これによれば、例えば、優先度が高い、つまり、特に重要と考えられる検知ルールが他の検知ルールよりも優先して用いられて異常が発生したか否かの判定が行われる。そのため、特に重要と考えられる異常については、迅速に判定結果が得られる。また、例えば、優先度が高い検知ルールのみが用いられることで、特に重要と考えられる異常については、迅速に判定結果が得られ、かつ、優先度が低い、つまり、あまり重要ではないと考えられる検知ルールについては用いられないため、処理量を低減できる。つまり、本開示の一態様に係る情報処理方法によれば、監視対象に異常が発生したか否かの判定の性能を向上させることができる。
 また、例えば、実施の形態に係る情報処理方法は、さらに、監視対象への攻撃が行われた場合に、決定されたそれぞれの優先度の高い順に、検知ルールを用いて監視対象に異常が発生したか否かを判定する(S220)。
 これによれば、優先度が高い、つまり、特に重要と考えられる検知ルールが他の検知ルールよりも優先して用いられて異常が発生したか否かの判定が行われる。そのため、特に重要と考えられる異常については、迅速に判定結果が得られる。
 また、例えば、実施の形態に係る情報処理方法は、複数の検知ルールのうち、優先度が所定値以上に決定された1以上の検知ルールを、複数の検知ルールが記憶された第1記憶装置とは異なる第2記憶装置に記憶させ(S190)、異常が発生したか否かの判定(S220)では、第2記憶装置を参照して、1以上の検知ルールを用いて監視対象に異常が発生したか否かを判定する。
 当該第1記憶装置は、例えば、検知ルール保存部120である。当該第2記憶装置は、例えば、判定処理参照部である。
 これによれば、優先度が高い検知ルールのみが用いられることで、特に重要と考えられる異常については、迅速に判定結果が得られ、かつ、優先度が低い、つまり、あまり重要ではないと考えられる検知ルールについては用いられないため、処理量を低減できる。
 また、例えば、攻撃情報は、監視対象への攻撃の兆候を示す兆候情報、および、監視対象に行われた攻撃の検知結果を示す検知情報のうちの少なくとも一方を含む。
 これによれば、攻撃の種類、攻撃の対象となる監視対象の種類(具体的に例えば、監視対象が備える複数のプロセッサの種類)、または、攻撃の頻度などに応じて、検知ルールの優先度を適切に決定できる。
 また、例えば、攻撃情報は、複数の種類の攻撃に関する情報を含み、所定の期間、取得した攻撃情報に、複数の種類のうちの所定の種類の攻撃に関する情報が含まれていない場合、所定の種類の攻撃に関する情報により決定された優先度を初期化する。
 例えば、所定の期間受けていない種類の攻撃については、今後も当該種類の攻撃を受けない可能性が高い。そこで、例えば、所定の種類の攻撃に関する情報が攻撃情報に含まれていたために所定の検知ルールの優先度が上げられていた場合、当該所定の種類の攻撃に関する情報が所定の期間攻撃情報に含まれていなければ、当該所定の検知ルールの優先度を初期化する。例えば、上げられた優先度の分だけ、優先度を下げる。これにより、例えば攻撃の内容が変化された場合に優先度を適切に決定できる。
 また、実施の形態に係る異常判定方法は、車両に対する攻撃の検知ルールを管理する情報処理装置から検知ルールを受信して異常を判定する車両において実行される異常判定方法であって、車両において検知した攻撃情報に基づいて情報処理装置から複数の検知ルールを受信し(S320)、複数の検知ルールのそれぞれに定められた優先度に基づいて、複数の検知ルールのうちの1以上の検知ルールを用いて、検知した車両への攻撃によって車両に異常が発生したか否かを判定し(S330)、車両に異常が発生したと判定した場合(例えば、S340でYes)、判定結果を報知する(例えば、S350)。優先度は、複数の検知ルールが用いられる順序、および、車両に異常が発生したか否かを判定する際に、検知ルールを用いるか否か、の少なくとも一方を示す。
 当該異常判定方法は、例えば、車両201が実行する方法である。
 これによれば、例えば、優先度が高い、つまり、特に重要と考えられる検知ルールが他の検知ルールよりも優先して用いられて異常が発生したか否かの判定が行われる。そのため、特に重要と考えられる異常については、迅速に判定結果が得られる。また、例えば、優先度が高い検知ルールのみが用いられることで、特に重要と考えられる異常については、迅速に判定結果が得られ、かつ、優先度が低い、つまり、あまり重要ではないと考えられる検知ルールについては用いられないため、処理量を低減できる。つまり、本開示の一態様に係る情報処理方法によれば、車両に異常が発生したか否かの判定の性能を向上させることができる。
 また、本開示の一態様に係る情報処理装置は、監視対象と通信することで当該監視対象に対する攻撃を検知する情報処理装置であって、監視対象への攻撃に関する攻撃情報を取得する取得部と、監視対象への攻撃が行われた場合に監視対象に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、攻撃情報に基づいて決定して当該複数の検知ルールのそれぞれに関連付けて記録する決定部と、を備える。
 当該情報処理装置は、例えば、情報処理装置100または情報処理装置101である。当該取得部および当該決定部は、例えば、受信情報解析部113および検知ルール制御部115である。
 これによれば、本開示の一態様に係る情報処理方法と同様の効果を奏する。
 (その他の実施の形態)
 以上、一つまたは複数の態様に係る情報処理装置などについて、上記実施の形態に基づいて説明したが、本開示は、上記実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を上記実施の形態に施したものも、本開示の範囲内に含まれてもよい。
 例えば、上記実施の形態では、監視対象が車両200、201である場合について説明したが、監視対象は、例えば、船舶もしくは飛行機などの移動体、工場などに配置される生産設備、または、これらを制御するコンピュータなどであってもよい。つまり、本開示は、車載通信ネットワークシステムに適用されてもよいし、工場などに配置される生産設備および当該生産設備と通信するサーバなどを備える通信ネットワークシステムに適用されてもよい。
 また、車両が備えるECUの数は、特に限定されない。
 また、例えば、上記実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよいし、複数の処理が並行して実行されてもよい。
 また、例えば、上記実施の形態において、処理部の各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPUまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記実施の形態の各装置などを実現するプログラムは、例えば、図5、図6、または、図8に示すフローチャートの各ステップをコンピュータに実行させる。
 なお、以下のような場合も本開示に含まれる。
 (1)上記の少なくとも1つの装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。そのRAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、上記の少なくとも1つの装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
 (2)上記の少なくとも1つの装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。当該RAMには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
 (3)上記の少なくとも1つの装置を構成する構成要素の一部または全部は、その装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたはモジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
 (4)本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
 また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD(Compact Disc)-ROM、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
 また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送などを経由して伝送するものとしてもよい。
 また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号をネットワークなどを経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
 本開示は、車載通信ネットワークにおけるサイバー攻撃を監視する情報処理装置などに適用可能である。
 1、1A 情報処理システム
 11 CPU
 12 メインメモリ
 13 ストレージ
 14 通信IF
 21 TCU
 22 ECU
 23 ストレージ
 24 通信バス
 25 検知センサ
 100、101 情報処理装置
 111 連携情報受信部
 112 検知情報受信部
 113 受信情報解析部
 114 解析情報保存部
 115 検知ルール制御部
 120 検知ルール保存部
 130、250 判定処理参照部
 140、240 異常判定部
 150 送信部
 200、201 車両
 210 通信部
 220 攻撃検知部
 230 制御部
 300 連携システム
 400 ネットワーク

Claims (7)

  1.  監視対象と通信することで前記監視対象に対する攻撃を検知する情報処理装置において実行される情報処理方法であって、
     前記監視対象への攻撃に関する攻撃情報を取得し、
     前記監視対象への攻撃が行われた場合に前記監視対象に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、前記攻撃情報に基づいて決定して当該複数の検知ルールのそれぞれに関連付けて記録し、
     前記優先度は、前記複数の前記検知ルールが用いられる順序、および、前記監視対象に異常が発生したか否かを判定する際に、前記検知ルールを用いるか否か、の少なくとも一方を示す
     情報処理方法。
  2.  さらに、前記監視対象への攻撃が行われた場合に、決定された前記それぞれの前記優先度の高い順に、前記検知ルールを用いて前記監視対象に異常が発生したか否かを判定する
     請求項1に記載の情報処理方法。
  3.  さらに、前記複数の前記検知ルールのうち、前記優先度が所定値以上に決定された1以上の前記検知ルールを、前記複数の前記検知ルールが記憶された第1記憶装置とは異なる第2記憶装置に記憶させ、
     前記異常が発生したか否かの判定では、前記第2記憶装置を参照して、前記1以上の前記検知ルールを用いて前記監視対象に異常が発生したか否かを判定する
     請求項1に記載の情報処理方法。
  4.  前記攻撃情報は、前記監視対象への攻撃の兆候を示す兆候情報、および、前記監視対象に行われた攻撃の検知結果を示す検知情報のうちの少なくとも一方を含む
     請求項1に記載の情報処理方法。
  5.  前記攻撃情報は、複数の種類の攻撃に関する情報を含み、
     所定の期間、取得した前記攻撃情報に、前記複数の種類のうちの所定の種類の攻撃に関する情報が含まれていない場合、前記所定の種類の攻撃に関する情報により決定された前記優先度を初期化する
     請求項1~4のいずれか1項に記載の情報処理方法。
  6.  車両に対する攻撃の検知ルールを管理する情報処理装置から前記検知ルールを受信して異常を判定する車両において実行される異常判定方法であって、
     前記車両において検知した攻撃情報に基づいて前記情報処理装置から複数の前記検知ルールを受信し、
     前記複数の前記検知ルールのそれぞれに定められた優先度に基づいて、前記複数の前記検知ルールのうちの1以上の前記検知ルールを用いて、検知した前記車両への攻撃によって前記車両に異常が発生したか否かを判定し、
     前記車両に異常が発生したと判定した場合、判定結果を報知し、
     前記優先度は、前記複数の前記検知ルールが用いられる順序、および、前記車両に異常が発生したか否かを判定する際に、前記検知ルールを用いるか否か、の少なくとも一方を示す
     異常判定方法。
  7.  監視対象と通信することで前記監視対象に対する攻撃を検知する情報処理装置であって、
     前記監視対象への攻撃に関する攻撃情報を取得する取得部と、
     前記監視対象への攻撃が行われた場合に前記監視対象に異常が発生したか否かを判定するために用いられる複数の検知ルールのそれぞれの優先度を、前記攻撃情報に基づいて決定して当該複数の検知ルールのそれぞれに関連付けて記録する決定部と、を備え、
     前記優先度は、前記複数の前記検知ルールが用いられる順序、および、前記監視対象に異常が発生したか否かを判定する際に、前記検知ルールを用いるか否か、の少なくとも一方を示す
     情報処理装置。
PCT/JP2023/003829 2022-05-30 2023-02-06 情報処理方法、異常判定方法、および、情報処理装置 WO2023233711A1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2022087376 2022-05-30
JP2022-087376 2022-05-30

Publications (1)

Publication Number Publication Date
WO2023233711A1 true WO2023233711A1 (ja) 2023-12-07

Family

ID=89025965

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2023/003829 WO2023233711A1 (ja) 2022-05-30 2023-02-06 情報処理方法、異常判定方法、および、情報処理装置

Country Status (1)

Country Link
WO (1) WO2023233711A1 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018077607A (ja) * 2016-11-08 2018-05-17 株式会社日立システムズ セキュリティルール評価装置およびセキュリティルール評価システム
WO2020179021A1 (ja) * 2019-03-06 2020-09-10 三菱電機株式会社 攻撃検知装置および攻撃検知プログラム
JP2021027505A (ja) * 2019-08-07 2021-02-22 株式会社日立ソリューションズ 監視装置、監視方法、および監視プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018077607A (ja) * 2016-11-08 2018-05-17 株式会社日立システムズ セキュリティルール評価装置およびセキュリティルール評価システム
WO2020179021A1 (ja) * 2019-03-06 2020-09-10 三菱電機株式会社 攻撃検知装置および攻撃検知プログラム
JP2021027505A (ja) * 2019-08-07 2021-02-22 株式会社日立ソリューションズ 監視装置、監視方法、および監視プログラム

Similar Documents

Publication Publication Date Title
US11411681B2 (en) In-vehicle information processing for unauthorized data
US11575699B2 (en) Security processing method and server
US11949705B2 (en) Security processing method and server
US11479263B2 (en) Automotive network switch with anomaly detection
WO2020004315A1 (ja) 異常検知装置、および、異常検知方法
US20210400072A1 (en) Port scan detection using destination profiles
WO2018168291A1 (ja) 情報処理方法、情報処理システム、及びプログラム
JP7255710B2 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
WO2019136954A1 (zh) 网络合规检测方法、装置、设备及介质
JPWO2020137743A1 (ja) 電子制御装置、電子制御システムおよびプログラム
JP2021179935A (ja) 車両用異常検出装置及び車両用異常検出方法
US10296746B2 (en) Information processing device, filtering system, and filtering method
JP6828632B2 (ja) 検知装置、検知方法および検知プログラム
US10666671B2 (en) Data security inspection mechanism for serial networks
WO2023233711A1 (ja) 情報処理方法、異常判定方法、および、情報処理装置
CN116527389A (zh) 端口扫描检测
Mehta et al. DT-DS: CAN intrusion detection with decision tree ensembles
WO2023223515A1 (ja) 攻撃経路推定システム、攻撃経路推定装置、攻撃経路推定方法及びプログラム
Mukherjee SAE J1939-specific cyber security for medium and heavy-duty vehicles
US20150363596A1 (en) Securing a shared serial bus
WO2023021840A1 (ja) 検知ルール出力方法、及び、セキュリティシステム
WO2024071049A1 (ja) 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム
WO2023238438A1 (ja) 監視装置および監視方法
WO2024018683A1 (ja) 侵入検知装置及び侵入検知方法
US20240236139A1 (en) Vehicle security analysis apparatus, method, and program storage medium

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23815475

Country of ref document: EP

Kind code of ref document: A1