信息处理装置以及信息处理方法与流程

信息处理装置以及信息处理方法
1.本技术是于2017年11月13日提交的申请号为201780022304.x、名称为“信息处理装置以及信息处理方法”的专利申请的分案申请。
技术领域
2.本公开涉及搭载于车辆的信息处理装置等。


背景技术：

3.专利文献1中公开了一种用于在车载网络等中检测非法数据的入侵的技术。
4.现有技术文献
5.专利文献
6.专利文献1：日本特开2014
‑
146868号公报


技术实现要素：

7.发明要解决的课题
8.然而，由各车辆的车载系统单独对车载系统中的数据适当地进行监视，存在难以维持适当的监视水平的情况。另一方面，在车辆外部的系统对车载系统中的数据进行监视的情况下，存在大量的监视对象数据从车载系统向外部的系统发送的可能性。准备用于处理如此大量的监视对象数据的资源并非易事。
9.鉴于此，本公开的目的在于提供一种能够维持适当的监视水平且能够削减从车载系统发送的监视对象数据的数据量的信息处理装置。
10.用于解决课题的技术方案
11.本公开的一个技术方案的信息处理装置，是搭载于车辆的信息处理装置，具备：取得器，其从异常检测器取得所述车辆的车载网络中的通信数据是否包含异常的异常检测结果；和输出器，其输出采样日志发送指示，所述采样日志发送指示使采样日志从搭载于所述车辆的发送器向设置于所述车辆的外部的服务器装置周期性地进行发送，所述采样日志是所述通信数据的两个种类的日志中的与另一方日志相比每单位时间产生的数据量小的日志，所述输出器，进一步，在所述取得器取得了表示所述通信数据包含异常的所述异常检测结果的情况下，输出完整日志发送指示，所述完整日志发送指示使完整日志从所述发送器向所述服务器装置进行发送，所述完整日志是所述两个种类的日志中的与所述采样日志相比每单位时间产生的数据量大的日志。
12.此外，这些概括性或者具体的技术方案，既可以通过系统、装置、方法、集成电路、计算机程序或者计算机可读的cd
‑
rom等非瞬时性记录介质来实现，也可以通过系统、装置、方法、集成电路、计算机程序以及记录介质的任意组合来实现。
13.发明效果
14.本公开的一个技术方案涉及的信息处理装置等，能够维持适当的监视水平且能够削减从车载系统发送的监视对象数据的数据量。
附图说明
15.图1是表示实施方式中的安全系统的构成的框图。
16.图2是表示实施方式中的采样期间的示意图。
17.图3是实施方式中的采样日志和完整日志的比较图。
18.图4是表示实施方式中的日志格式的数据构成图。
19.图5是表示采样间隔与数据量的关系的曲线图。
20.图6是表示压缩前后的数据量的比较图。
21.图7是表示实施方式中的安全ecu的基本构成的框图。
22.图8是表示实施方式中的服务器装置的基本构成的框图。
23.图9是表示具体例中的安全系统的构成的框图。
24.图10是表示具体例中的安全系统的变形构成的框图。
25.图11是表示具体例中的安全ecu的构成的框图。
26.图12是表示具体例中的安全网关装置的构成的框图。
27.图13是表示具体例中的服务器装置的构成的框图。
28.图14是表示具体例中的与采样日志的发送相关联的工作的时序图。
29.图15是表示具体例中的与在服务器装置进行的异常检测处理相关联的工作的时序图。
30.图16是表示具体例中的与在安全ecu进行的异常检测处理相关联的工作的时序图。
31.图17是表示具体例中的安全ecu的工作的流程图。
32.图18是表示具体例中的在安全ecu进行的日志记录处理的第一技术方案的流程图。
33.图19是表示具体例中的在安全ecu进行的日志记录处理的第二技术方案的流程图。
34.图20是表示具体例中的在安全ecu进行的异常检测处理的流程图。
35.图21是表示具体例中的在安全ecu进行的日志发送处理的第一技术方案的流程图。
36.图22是表示具体例中的在安全ecu进行的日志发送处理的第二技术方案的流程图。
37.图23是表示具体例中的在安全ecu进行的日志发送处理的第三技术方案的流程图。
38.图24是表示具体例中的服务器装置的工作的第一技术方案的流程图。
39.图25是表示具体例中的服务器装置的工作的第二技术方案的流程图。
40.图26是表示具体例中的在服务器装置以及安全ecu进行的采样间隔更新处理的第一技术方案的流程图。
41.图27是表示具体例中的在服务器装置以及安全ecu进行的采样间隔更新处理的第二技术方案的流程图。
具体实施方式
42.(成为本公开的基础的见解)
43.近年来，与外部网络连接的互联汽车(connected car)正在不断普及。例如，与互联网连接的车的数量到2020年有可能达到2.5亿台。
44.另一方面，也开始指出车辆被非法控制的可能性。特别指出了非法数据向作为车载网络的通信标准而广泛普及的can(controller area network：控制器局域网络)入侵的可能性。并且，存在通过非法数据对车辆进行非法控制的可能性。因此，正在研究保护车辆不受非法数据控制的技术以避免通过非法数据对车辆进行非法控制。
45.例如，搭载于各车辆的系统即车载系统为了保护车辆不受非法数据的控制，可以对车载系统中的数据进行监视。但是，车载系统由于被搭载于车辆而存在不具有足够的处理能力的情况。因此，车载系统单独对车载系统中的数据进行适当监视，存在难以维持适当的监视水平的情况。
46.另外，例如，车辆外部的系统也可以监视车载系统中的数据。但是，在该情况下，存在大量的监视对象数据从车载系统向外部的系统发送的可能性。准备用于处理如此大量的监视对象数据的资源并非易事。
47.鉴于此，本公开的一个技术方案的信息处理装置是一种搭载于车辆的信息处理装置，具备：取得器，其从异常检测器取得所述车辆的车载网络中的通信数据是否包含异常的异常检测结果；和输出器，其输出采样日志发送指示，所述采样日志发送指示使采样日志从搭载于所述车辆的发送器向设置于所述车辆的外部的服务器装置周期性地进行发送，所述采样日志是所述通信数据的两个种类的日志中的与另一方日志相比每单位时间产生的数据量小的日志，所述输出器，进一步，在所述取得器取得了表示所述通信数据包含异常的所述异常检测结果的情况下，输出完整日志发送指示，所述完整日志发送指示使完整日志从所述发送器向所述服务器装置进行发送，所述完整日志是所述两个种类的日志中的与所述采样日志相比每单位时间产生的数据量大的日志。
48.由此，数据量比较小的采样日志被周期性地从搭载于车辆的发送器向服务器装置发送，数据量比较大的完整日志在异常时发送。而且，设置于车辆外部的服务器装置能够使用不受车载用的要件制约的足够的处理能力对采样日志和完整日志进行监视并分析。因此，信息处理装置能够维持适当的监视水平，并且能够削减从车载系统发送的监视对象数据的数据量。
49.例如，也可以是，所述取得器从所述服务器装置所包含的所述异常检测器取得所述异常检测结果。
50.由此，信息处理装置能够从作为采样日志的发送目的地的服务器装置所包含的异常检测器取得异常检测结果。服务器装置所包含的异常检测器能够具有不受车载用的要件制约的足够的处理能力。另外，服务器装置所包含的异常检测器能够根据采样日志来判定是否包含异常。因此，信息处理装置能够从服务器装置所包含的异常检测器取得适当的异常检测结果。
51.另外，例如，也可以是，所述信息处理装置还具备所述异常检测器，所述异常检测器从所述车载网络取得所述通信数据，判定所述通信数据是否包含异常。
52.由此，信息处理装置能够根据从车载网络取得的通信数据，适当地判定通信数据
是否包含异常。另外，信息处理装置能够对发送器进行控制，以使得采样日志周期性地从车载系统发送，完整日志在异常时从车载系统发送。因此，被判定为包含于通信数据的异常等能够被适当分析。
53.另外，例如，也可以是，所述采样日志是多个采样期间中的所述通信数据的日志，所述多个采样期间是多个采样间隔中的分别包含于所述多个采样间隔且分别是第二时间长的期间，所述多个采样间隔分别为第一时间长的期间，所述第二时间长与所述第一时间长相比短。
54.由此，采样日志的数据量被适当地削减。因此，从车载系统发送的监视对象数据的数据量被适当地削减。另外，由于用于对车辆进行非法控制的非法数据被连续发送的可能性高，所以通过分别包含于多个采样间隔的多个采样期间中的采样日志，通信数据所包含的异常等能够被适当地分析。
55.另外，例如，也可以是，所述采样日志，针对所述多个采样期间中的构成所述通信数据的多个帧中的各帧，表示(i)该帧的采样时刻、(ii)在采样期间与该帧相同的一个以上的帧中该帧是否是最早的帧、以及(iii)该帧的数据。
56.由此，针对各帧，采样时刻以及在采样期间中是否为最早的帧等通过采样日志表示。而且，例如，能够在采样期间中根据与最早的帧不同的帧的采样时刻和其前面的帧的采样时刻的差等，适当地判定异常。
57.另外，例如，也可以是，所述完整日志是多个类别的所述通信数据的日志，所述采样日志是比所述多个类别少的一个以上的类别的所述通信数据的日志，针对所述多个采样期间中的构成所述一个以上的类别的所述通信数据的多个帧中的各帧，表示(i)该帧的采样时刻、(ii)在类别以及采样期间与该帧相同的一个以上的帧中该帧是否是最早的帧、以及(iii)该帧的数据。
58.由此，针对各帧，采样时刻以及在同一类别以及同一采样期间中是否为最早的帧等通过采样日志表示。而且，例如，能够根据在同一类别和同一采样期间中与最早的帧不同的帧的采样时刻和其前面的帧的采样时刻的差等，适当地判定异常。
59.另外，例如，也可以是，所述完整日志是多个类别的所述通信数据的日志，所述采样日志是比所述多个类别少的一个以上的类别的所述通信数据的日志。
60.由此，采样日志的数据量被适当地削减。因此，从车载系统发送的监视对象数据的数据量被适当地削减。另外，通过多个类别被削减成一个以上的类别，例如重要类别的通信数据的日志能够作为采样日志被应用。
61.另外，例如，也可以是，所述信息处理装置还具备所述发送器，所述发送器，根据从所述输出器输出的所述采样日志发送指示，将所述采样日志向所述服务器装置进行发送，根据从所述输出器输出的所述完整日志发送指示，将所述完整日志向所述服务器装置进行发送。
62.由此，信息处理装置能够将采样日志和完整日志向服务器装置适时地发送。
63.另外，例如，也可以是，所述发送器，根据从所述输出器输出的所述采样日志发送指示，将所述采样日志进行无损压缩，将压缩后的所述采样日志向所述服务器装置进行发送，根据从所述输出器输出的所述完整日志发送指示，将所述完整日志进行无损压缩，将压缩后的所述完整日志向所述服务器装置进行发送。
64.由此，采样日志和完整日志被压缩并被发送。因此，信息处理装置能够削减从车载系统发送的监视对象数据的数据量。
65.另外，例如，也可以是，所述完整日志以及所述采样日志由搭载于所述车辆的日志生成器生成，所述输出器，输出使由所述日志生成器生成的所述采样日志从所述发送器向所述服务器装置周期性地进行发送的所述采样日志发送指示，在所述取得器取得了表示所述通信数据包含异常的所述异常检测结果的情况下，输出使由所述日志生成器生成的所述完整日志从所述发送器向所述服务器装置进行发送的所述完整日志发送指示。
66.由此，信息处理装置能够适当地控制车载系统，以使得在车载系统中生成的采样日志和完整日志从车载系统向服务器装置发送。
67.另外，例如，也可以是，所述采样日志是多个采样期间中的所述通信数据的日志，所述多个采样期间是多个采样间隔中的分别包含于所述多个采样间隔且分别是第二时间长的期间，所述多个采样间隔分别为第一时间长的期间，所述第二时间长与所述第一时间长相比短，所述输出器还向所述日志生成器输出使所述第一时间长在与所述第二时间长相比长的范围内变更的变更指示。
68.由此，信息处理装置能够变更与采样日志相关联的采样间隔的时间长。因此，信息处理装置能够使采样日志包含以固定的采样间隔未包含的异常等。
69.另外，例如，也可以是，所述输出器，在所述取得器取得了表示所述通信数据包含异常的所述异常检测结果的情况下，向所述日志生成器输出使所述第一时间长在与所述第二时间长相比长的范围内缩短的所述变更指示。
70.由此，信息处理装置能够在异常时以后使采样日志的数据量增加。另外，信息处理装置能够使采样日志包含以长的采样间隔未包含的异常等。
71.另外，例如，也可以是，所述输出器，在所述取得器没有取得表示所述通信数据包含异常的所述异常检测结果的情况下，向所述日志生成器输出使所述第一时间长延长的所述变更指示。
72.由此，信息处理装置能够在没有异常的情况下减少采样日志的数据量。
73.另外，例如，也可以是，所述第一时间长针对与所述通信数据相关的多个类别中的各类别被确定，所述输出器，在所述取得器针对所述多个类别中的一个类别取得了表示所述通信数据包含异常的所述异常检测结果的情况下，向所述日志生成器输出针对所述一个类别使所述第一时间长在与所述第二时间长相比长的范围内缩短的所述变更指示。
74.由此，信息处理装置能够在异常时以后使采样日志的数据量按各类别增加。
75.另外，例如，也可以是，所述第一时间长针对与所述通信数据相关的多个类别中的各类别被确定，所述输出器，在所述取得器针对所述多个类别中的一个类别取得了表示所述通信数据包含异常的所述异常检测结果的情况下，向所述日志生成器输出针对所述多个类别中的各类别使所述第一时间长在与所述第二时间长相比长的范围内缩短的所述变更指示。
76.由此，信息处理装置能够在异常时以后使采样日志的数据量不取决于类别地增加。因此，信息处理装置能够在异常时以后不取决于类别地使详细的信息包含于采样日志。
77.另外，例如，也可以是，所述输出器，在所述取得器没有取得表示所述通信数据包含异常的所述异常检测结果的情况下，向所述日志生成器输出使缩短后的所述第一时间长
延长的所述变更指示。
78.由此，信息处理装置能够在没有异常的情况下使增加了的数据量减少。
79.另外，例如，也可以是，所述输出器向所述日志生成器输出使所述第一时间长在与所述第二时间长相比长的范围内随机地变更的所述变更指示。
80.由此，信息处理装置能够使采样间隔难以被解析。因此，信息处理装置能够抑制基于非法的数据的异常等未包含于采样日志的现象。
81.另外，例如，也可以是，所述输出器向所述日志生成器输出使所述第一时间长在与所述第二时间长相比长的范围内线性地变更的所述变更指示。
82.由此，信息处理装置能够对采样间隔进行各种变更。因此，信息处理装置能够使采样日志适当地包含以固定的采样间隔未包含的异常等。
83.另外，例如，也可以是，所述取得器还从所述服务器装置取得所述第一时间长的变更指示作为外部指示，所述输出器根据所述取得器从所述服务器装置所取得的所述外部指示，向所述日志生成器输出使所述第一时间长在与所述第二时间长相比长的范围内变更的所述变更指示。
84.由此，信息处理装置能够根据从服务器装置取得的指示使采样间隔变更。因此，会能够实现采样间隔的集中性控制。
85.另外，例如，也可以是，所述完整日志是多个类别的所述通信数据的日志，所述采样日志是所述多个类别中的一个以上的类别的所述通信数据的日志，所述输出器向所述日志生成器输出使所述一个以上的类别确定的确定信息。
86.由此，采样日志的数据量被适当地削减。因此，从车载系统发送的监视对象数据的数据量被适当地削减。另外，通过多个类别被削减成一个以上的类别，例如重要的类别的通信数据的日志能够作为采样日志被应用。另外，信息处理装置能够指定应用于采样日志的适当的类别。
87.另外，例如，也可以是，所述信息处理装置还具备所述日志生成器，所述日志生成器从所述车载网络取得所述通信数据，根据所述通信数据生成所述完整日志以及所述采样日志。
88.由此，信息处理装置能够根据从车载网络取得的通信数据来适当地生成采样日志和完整日志。
89.另外，本公开的一个实施方式的信息处理方法，是搭载于车辆的信息处理装置所进行的信息处理方法，包括：取得步骤，从异常检测器取得所述车辆的车载网络中的通信数据是否包含异常的异常检测结果；和输出步骤，输出采样日志发送指示，所述采样日志发送指示使采样日志从搭载于所述车辆的发送器向设置于所述车辆的外部的服务器装置周期性地进行发送，所述采样日志是所述通信数据的两个种类的日志中的与另一方日志相比每单位时间产生的数据量小的日志，在所述输出步骤中，进一步，在所述取得步骤中取得了表示所述通信数据包含异常的所述异常检测结果的情况下，输出完整日志发送指示，所述完整日志发送指示使完整日志从所述发送器向所述服务器装置进行发送，所述完整日志是所述两个种类的日志中的与所述采样日志相比每单位时间产生的数据量大的日志。
90.由此，数据量比较小的采样日志周期性地从搭载于车辆的发送器向服务器装置发送，数据量比较大的完整日志在异常时发送。并且，设置于车辆的外部的服务器装置能够使
用不受车载用的要件制约的足够的处理能力，对采样日志和完整日志进行监视并分析。因此，进行该信息处理方法的信息处理装置能够维持适当的监视水平并且能够削减从车载系统发送的监视对象数据的数据量。
91.进而，这些概括性或者具体的技术方案，既可以通过系统、装置、方法、集成电路、计算机程序或者计算机可读的cd
‑
rom等非瞬时性记录介质来实现，也可以通过系统、装置、方法、集成电路、计算机程序以及记录介质的任意组合来实现。
92.以下，参照附图对实施方式具体地进行说明。此外，以下要说明的实施方式均表示概括性或者具体的例子。以下的实施方式中示出的数值、形状、材料、构成要素、构成要素的配置位置以及连接方式、步骤、步骤的顺序等是一个例子，并不旨在限定权利要求书。另外，关于以下的实施方式中的构成要素中未记载于表示最上位概念的独立权利要求的构成要素，作为任意的构成要素进行说明。
93.(实施方式)
94.[多层防御以及远程监视]
[0095]
图1是表示本实施方式中的安全系统的构成的框图。图1所示的安全系统100具备服务器装置300以及车载系统410等。车载系统410是搭载于车辆400的系统，且具备安全ecu440以及其他的ecu451和452等。此外，ecu是电子控制单元(electronic control unit)，也被称为发动机控制单元(engine control unit)。
[0096]
在车辆400中，车载系统410进行4层的多层防御。第1层是车外通信设备中的防御。车外通信设备对通信目的地进行认证，并根据状况对通信进行加密。车外通信设备是平视显示器421、远程信息通信单元(tcu：telematics communication unit)422、v2x模块423、或者obd(on
‑
board diagnostics：车载诊断)模块424等。
[0097]
例如，平视显示器421与bluetooth(注册商标)设备或者usb设备等进行通信。远程信息通信单元422与外部服务器等进行通信。v2x模块423与基础设施等进行通信。obd模块424与车外的诊断设备等进行通信。
[0098]
另外，如平视显示器421那样运算资源有富余的车外通信设备除了认证和加密以外，还对从车外接收到的通信数据进行确认，进行仅使预先得到认可的数据通过的过滤，由此防止非法数据的入侵。
[0099]
第2层是网关装置430中的防御。网关装置430也被称为网络网关，将车外通信设备所连接的网络与搭载于车辆400的控制系统网络连接。控制系统网络也被称为车载网络，具体而言为can。网关装置430对从车外接收到的通信数据进行确认，进行仅使预先被许可的数据向控制系统网络转发的过滤，由此防止非法数据的入侵。
[0100]
第3层是配置于控制系统网络的安全ecu440中的防御。安全ecu440对在控制系统网络中流通的通信数据进行监视，并基于通信数据的格式、周期以及值的变化量等，确定非法数据并使其无效。例如，安全ecu440也可以通过将通信数据与白名单或者规则进行匹配来确定非法数据。另外，安全ecu440也可以使用can的错误帧来使非法数据无效。
[0101]
第4层是ecu451和452等中的防御。ecu451和452等被安装成具有抗篡改性。例如，ecu451和452等可以通过安全启动(secure boot)来检查软件程序未被篡改这一情况。另外，ecu451和452等也可以通过使用由安全编码生成的软件程序或者源代码被混淆后的软件程序，来防止软件程序的篡改。
[0102]
并且，安全系统100除了车载系统410中的多层防御以外，还在服务器装置300中进行车辆400的远程监视。
[0103]
例如，通过非法数据的入侵方法的升级，存在非法数据穿越多层防御入侵的可能性。鉴于此，服务器装置300也可以检测穿越多层防御而入侵的非法数据。而且，既可以适用新的防御对策，也可以向驾驶员通知警告。另外，即使在非法数据通过多层防御被抵挡了的情况下，将非法访问作为异常进行检测并掌握非法访问的趋势，对防止新的非法数据的入侵也是有用的。
[0104]
鉴于此，例如，服务器装置300对车载网络中的通信数据的日志即通信日志进行收集并分析。并且，车辆400的外部的服务器装置300不是仅从一个车辆400而是能够从多个车辆收集众多的通信日志并进行分析。并且，通过从各种地域的各种车辆获得的通信日志，能够针对各种车辆的异常等，实现统一的掌握。因此，能够确定非法访问被频繁进行的地域、时间段以及车型等。
[0105]
另外，车辆400的外部的服务器装置300不受车载用的要件所制约，能够具备丰富的运算资源。因此，车辆400的外部的服务器装置300例如能够进行基于机械学习的高度异常检测等复杂的处理。因此，服务器装置300能够检测车载系统410所无法检测的非法数据、非法访问或者它们的预兆等。
[0106]
车辆400的外部的服务器装置300能够进行与用于对信息进行收集并分析的siem(security information event management：安全信息事件管理)对应的处理。该处理也能够表现为autosiem(automotive siem)。
[0107]
另外，例如，作为运用安全系统100的组织，也可以存在soc(security operation centor：安全操作中心)以及asirt(automotive security incident response team：汽车安全应急响应小组)。soc是监视服务器装置300中的检测结果的组织，asirt是在检测到异常的情况下进行异常的应对的组织。
[0108]
并且，例如，在没有被多层防御检测到的异常在服务器装置300中被检测到的情况下，asirt创建新的检测规则。而且，所创建的新的检测规则也可以通过服务器装置300被分发至平视显示器421和安全ecu440等。
[0109]
与服务器装置300连接的终端装置200是与服务器装置300进行通信的装置，在soc或者asirt等中被利用。例如，终端装置200从服务器装置300接收异常通知。
[0110]
[数据量的削减]
[0111]
如上所述，通信日志被服务器装置300收集并分析。因此，车辆400中的车载系统410将通信日志向服务器装置300上传。服务器装置300对所上传的通信日志进行储存并分析。另外，例如，soc以及asirt等为了进行详细分析以及证据保全而将通信日志从服务器装置300向终端装置200进行下载。即，终端装置200按照soc和asirt等的指示，从服务器装置300下载通信日志。
[0112]
但是，向服务器装置300上传的通信日志的数据量越大，则通信、储存以及分析等使用的资源越多。
[0113]
例如，can的位速率约为500kbps～1mbps的程度。假设在can的位速率为500kbps的情况下，料想为can的通信日志的数据量即使除去附加信息等系统开销(overhead)，也达到1小时225mb。并且，假设在1万台车辆向服务器装置300上传了通信日志的情况下，料想为向
服务器装置300上传的通信日志的数据量达到1小时2250gb。
[0114]
准备与如此大的数据量对应的大的资源并非易事。因此，本实施方式中的安全系统100具备能够维持适当的监视水平并且能够削减从车载系统410向服务器装置300发送的监视对象数据的数据量的构成。
[0115]
另外，车载系统410中的各车载设备的工作日志也可以作为监视对象数据从车载系统410向服务器装置300发送。在本实施方式中，尤其是车载网络的通信日志作为监视对象数据从车载系统410向服务器装置300发送。
[0116]
在针对车辆400的非法访问中，非法数据在车载网络中流通的可能性高。因此，通信日志对用于保护车辆400不受非法访问的控制的监视有用。另一方面，料想为作为被各种车辆广泛采用的车载网络的can的通信日志的数据量如上述那般大。即，通信日志对监视有用，其数据量大。
[0117]
鉴于此，本实施方式中的安全系统100尤其削减从车载系统410向服务器装置300发送的通信日志的数据量。此外，安全系统100还可以使用同样的方法削减从车载系统410向服务器装置300发送的工作日志的数据量。
[0118]
安全系统100使用用于削减从车载系统410向服务器装置300发送的监视对象数据的数据量的三个削减方法。这里，数据量被削减的监视对象数据，具体而言是从车载系统410向服务器装置300发送的通信日志。
[0119]
第一个削减方法是类别的削减。具体而言，在can中流通的全部类别的数据帧中仅重要度高的类别的数据帧包含在从车载系统410向服务器装置300发送的监视对象数据中。例如，在can中流通的各种类别的通信数据中加速或者制动等的通信数据与车的行动直接相关，车窗或者雨刷等的通信数据不与车的行动直接相关。
[0120]
鉴于此，在can中流通的各种类别的通信数据中仅与车的行动直接相关的通信数据作为重要度高的通信数据包含在从车载系统410向服务器装置300发送的监视对象数据中。例如，在can中流通的全部100个类别的数据中仅与车的行动直接相关的20个种类的数据包含在监视对象数据中的情况下，预计全部100个种类的数据中的约80％的数据被削减。此外，在can中，类别与包含在数据帧中的id对应。
[0121]
第二个削减方法是期间的抽取(日语：間引
き
)。具体而言，多个采样间隔中分别包含的多个采样期间中的通信数据包含在从车载系统410向服务器装置300发送的监视对象数据中。
[0122]
图2是表示图1所示的安全系统100中使用的采样期间的示意图。在图2中，采样期间t2比采样间隔t1短。而且，采样间隔t1中的通信数据中的采样期间t2中的通信数据包含在从车载系统410向服务器装置300发送的监视对象数据中。由此，数据量的(1
‑
t2/t1)
×
100％被削减。
[0123]
采样期间t2也可以根据在服务器装置300中用于检测异常的最小数据帧数等被规定。例如，在至少k个数据帧被用于服务器装置300中的异常检测算法的情况下，规定采样期间t2，以使得至少k个数据帧存在于采样期间t2。
[0124]
具体而言，在异常检测算法中按各单一数据帧判定异常的有无的情况下，上述的k为1。因此，在该情况下，与在can中周期性地流通的同种的数据帧的1个周期相应的量的期间能够被规定为采样期间t2。
[0125]
另外，采样间隔t1与非法数据的入侵连续地进行的期间相比被规定为短。例如，在can中，单次流通的各数据帧对车辆400造成的影响小，连续流通的多个数据帧对车辆400造成的影响大。即，非法数据的单次入侵对车辆400造成的影响小，非法数据的连续入侵对车辆400造成的影响大。
[0126]
因此，例如，在料想非法数据的入侵连续进行的期间为5秒钟的情况下，采样间隔t1可以被规定为比5秒钟短。由此，通过非法数据的入侵而在can中流通的异常数据被包含于监视对象数据。另外，在料想非法数据的入侵连续进行的期间长的情况下，采样间隔t1能够被规定得长。因此，该情况下，数据量的削减效果大。
[0127]
在非法数据的入侵连续进行的期间难以被料想的情况下，采样间隔t1可以动态地变更。采样间隔t1可以在通信日志的取得定时随机地变更，还可以按车型、地域或者类别而变更。由此，通过非法数据的入侵而在can中流通的异常数据包含于从车载系统410向服务器装置300发送的监视对象数据的可能性变高。
[0128]
通过采样间隔t1和采样期间t2被适当地规定，在can中流通的异常数据包含于向服务器装置300发送的监视对象数据，并且向服务器装置300发送的监视对象数据被削减。
[0129]
第三个削减方法是数据压缩。具体而言，车载系统410根据zip、gzip或者7
‑
zip等数据压缩方法，对监视对象数据进行压缩，由此也可以削减向服务器装置300发送的监视对象数据的数据量。
[0130]
关于数据压缩，各种数据压缩方法被安装于面向个人计算机的各种软件程序，被广泛利用。例如，关于二进制文件，通过数据压缩能够实现约30～60％的数据量的削减。关于与二进制文件相似的监视对象数据，也有望通过数据压缩实现数据量的削减。实际对监视对象数据进行了压缩，结果削减了69.4％的数据量。
[0131]
图3是图1所示的安全系统100中使用的采样日志与完整日志的比较图。采样日志和完整日志分别是can的通信日志且是监视对象数据。对采样日志应用上述的三个削减方法。即，对采样日志应用类别的削减、期间的抽取以及数据压缩。完整日志仅被应用上述三个削减方法中的数据压缩。
[0132]
采样日志仅包含can的全部通信日志中的一部分通信日志。因此，采样日志的数据量比较小。另外，采样日志能够包含用于检测包含于通信数据的异常的最小限的数据。
[0133]
完整日志基本上包含can的全部的通信日志。因此，完整日志的数据量比较大。然而，完整日志能够包含与can的通信数据相关的详细信息。即，完整日志能够详细表示包含于通信数据的异常。
[0134]
安全系统100能够将采样日志和完整日志这两种监视对象数据适当地分开使用。即，安全系统100选择性地使用采样日志和完整日志。
[0135]
具体而言，安全系统100为了通常时的监视而生成采样日志。而且，安全系统100周期性地将采样日志从车载系统410向服务器装置300发送。另外，安全系统100为了异常检测时的详细分析以及证据保全而生成完整日志。而且，安全系统100在异常检测时将完整日志从车载系统410向服务器装置300发送。
[0136]
通过在异常检测时发送完整日志，能够实现适当的详细分析以及证据保全。另一方面，由于料想异常发生频度少，从车载系统410向服务器装置300发送的监视对象数据的数据量，能够近似于采样日志的数据量。因此，从车载系统410向服务器装置300发送的监视
对象数据的数据量小。由此，可以抑制监视水平的降低，并可以削减从车载系统410向服务器装置300发送的监视对象数据的数据量。
[0137]
图4是表示在图1所示的安全系统100中使用的日志格式的数据构成图。采样日志和完整日志以图4所示的日志格式从车载系统410向服务器装置300发送。
[0138]
具体而言，车辆id、时间戳、长度、版本以及保留包含于日志格式的头(head)部分。并且，以标志、保留、id、dlc(数据长码)、时间戳以及数据的组分别构成的n个组包含于日志格式的有效载荷部分。
[0139]
头部分中的车辆id是用于从多个车辆识别车辆400的标识符。头部分中的时间戳表示通信日志作为采样日志或者完整日志被发送的时刻。头部分中的长度表示有效载荷部分的长度。头部分中版本表示日志格式的版本。头部分中的保留是头部分中的未使用的区域。
[0140]
有效载荷部分中的标志表示包含该标志的组中的数据是否是采样期间中的最早的帧的数据。即，该标志表示是否缺失前面的数据。该标志也可以表示包含该标志的组中的数据是否是同一类别以及同一采样期间中最早的帧的数据。
[0141]
有效载荷部分中的保留是有效载荷部分中的未使用的区域。有效载荷部分中的id是can的帧中的id，表示通信数据的类别。有效载荷部分中的dlc是can的帧中的dlc，表示有效载荷部分中的数据的长度。有效载荷部分中的时间戳表示从can的车载网络取得can的帧的时刻即采样时刻。有效载荷部分中的数据为can的帧中的数据。
[0142]
采样日志和完整日志还可以包含用于识别采样日志或者完整日志的识别标志。例如，这样的识别标志包含于日志格式的头部分。
[0143]
发明人对基于如上述那样的采样日志和完整日志的监视对象数据的削减量进行了评价。具体而言，通过针对1分钟的can的实际的通信数据，测量了通信日志、采样日志以及完整日志各自的数据量，进行了削减量的评价。评价中的通信日志是数据量未被削减的日志，与压缩前的完整日志相同。通信日志的数据量为1158kb。
[0144]
首先，应用了类别的削减。具体而言，can中的约100种的通信数据中与车的控制密切相关的转向、加速、制动以及车速度这4种通信数据用于采样日志的生成。而且，应用了类别的削减的采样日志的数据量为200kb。换句话说，与原通信日志的数据量比较，削减了82.7％的数据量。
[0145]
接下来，除了类别的削减以外还应用了期间的抽取。此时，将采样期间的时间长固定为72ms，一边改变采样间隔的时间长，一边测量了通信数据的采样日志的数据量。
[0146]
图5是表示采样间隔与采样日志的数据量的关系的曲线图。如图5那样，采样间隔与采样日志的数据量具有采样间隔越长则采样日志的数据量越小这样的关系。在本评价中，最终采用了1秒的采样间隔。其结果为，应用了期间的抽取的采样日志的数据量为14.4kb。即，从200kb到14.4kb，削减了92.8％的数据量。
[0147]
并且，应用了数据压缩。具体而言，分别使用zip、cab、gzip、bzip2、lzh以及7
‑
zip这7种压缩方法对采样日志进行压缩，并比较了压缩后的数据量。
[0148]
图6是表示压缩前后的数据量的比较图。这里，第1种～第4种对应于转向、加速、制动以及车速度这4种。如图6所示，压缩效果最高的压缩方法为7
‑
zip，通过7
‑
zip压缩后的采样日志的数据量为4.4kb。即，从14.4kb到4.4kb，削减了69.4％的数据量。
[0149]
此外，在第2种以及第4种数据中，与第1种以及第3种数据相比，0的值连续。因此，推断为在第2种以及第4种数据中，获得了高压缩效果。
[0150]
通过类别的削减、期间的抽取以及压缩，最终生成了4.4kb的采样日志。即，从1158kb到4.4kb，削减了99.6％的数据量。
[0151]
另外，使用7
‑
zip压缩后的通信日志的数据量，更具体而言为使用7
‑
zip压缩后的完整日志的数据量为462kb。即，关于完整日志，从1158kb到462kb，削减了60.1％的数据量。
[0152]
如上述那样，得到了在采样日志和完整日志这双方中数据量被削减，在采样日志中与完整日志相比数据量被削减这样的评价结果。由于在通常时采样日志从车载系统410向服务器装置300发送，所以从车载系统410向服务器装置300发送的监视对象数据的数据量有望被适当地削减。
[0153]
[y基本构成]
[0154]
接下来，对维持适当的监视水平并且用于削减从车载系统410发送的监视对象数据的数据量的基本构成进行说明。
[0155]
图7是表示本实施方式中的安全ecu440的基本构成的框图。安全ecu440是搭载于车辆400的信息处理装置的例子。安全ecu440具备取得器441和输出器442。
[0156]
取得器441取得信息。具体而言，取得器441从异常检测器510取得车辆400的车载网络中的通信数据是否包含异常的异常检测结果。
[0157]
输出器442输出信息。具体而言，输出器442输出使采样日志从搭载于车辆400的发送器530向车辆400的外部的服务器装置300周期性地发送的采样日志发送指示。另外，在取得了表示通信数据包含异常的异常检测结果的情况下，输出器442输出使完整日志从发送器530向服务器装置300发送的完整日志发送指示。
[0158]
这里，采样日志是通信数据的两种类日志中与另一方的日志相比每单位时间产生的数据量小的日志。另外，完整日志是两种类日志中与采样日志相比每单位时间产生的数据量大的日志。
[0159]
例如，完整日志也可以是多个类别的通信数据的日志。而且，采样日志也可以是比完整日志所涉及的多个类别少的一个以上的类别的通信数据的日志。
[0160]
另外，采样日志也可以是在多个采样间隔中分别包含于多个采样间隔的多个采样期间中的通信数据的日志。这里，多个采样间隔分别为第一时间长的期间。另外，多个采样期间分别为与第一时间长相比短的第二时间长的期间。
[0161]
另外，采样日志可以针对多个采样期间中的构成通信数据的各帧表示：(i)该帧的采样时刻；(ii)该帧是否为最早的帧；以及(iii)该帧的数据。这里，该帧是否为最早的帧是指例如在与该帧采样期间相同的一个以上的帧中该帧是否为最早的帧。
[0162]
另外，采样日志可以针对多个采样期间中的构成一个以上的类别的通信数据的多个帧中的各帧表示：(i)该帧的采样时刻；(ii)该帧是否为最早的帧；以及(iii)该帧的数据。这里，该帧是否为最早的帧是指例如在与该帧类别以及采样期间相同的一个以上的帧中该帧是否为最早的帧。
[0163]
另外，例如，日志生成器520从车载网络取得通信数据，并根据通信数据生成完整日志和采样日志。日志生成器520并不限于直接从车载网络取得通信数据，还可以从车载网络经由其他的装置间接地取得通信数据。例如，日志生成器520可以从车载网络经由储存有
通信数据的存储器来取得通信数据。另外，日志生成器520也可以包含于安全ecu440。
[0164]
而且，输出器442可以输出使在日志生成器520中生成的采样日志从发送器530向服务器装置300周期性地发送的采样日志发送指示。另外，在取得了表示通信数据包含异常的异常检测结果的情况下，输出器442可以输出使在日志生成器520中生成的完整日志从发送器530向服务器装置300发送的完整日志发送指示。
[0165]
另外，输出器442可以对日志生成器520输出使采样间隔所涉及的第一时间长在与采样期间所涉及的第二时间长相比长的范围内变更的变更指示。
[0166]
例如，在取得了表示通信数据包含异常的异常检测结果的情况下，输出器442可以对日志生成器520输出使第一时间长在与第二时间长相比长的范围内缩短的变更指示。而且，在没有取得表示通信数据包含异常的异常检测结果的情况下，输出器442可以对日志生成器520输出使第一时间长延长的变更指示。
[0167]
另外，例如，第一时间长可以针对通信数据涉及的多个类别的每一种而确定。而且，在针对一个类别取得了表示通信数据包含异常的异常检测结果的情况下，输出器442可以对日志生成器520输出针对该类别使第一时间长在与第二时间长相比长的范围内缩短的变更指示。
[0168]
或者，在取得了针对一个类别表示通信数据包含异常的异常检测结果的情况下，输出器442可以对日志生成器520输出针对多个类别的每一类别使第一时间长在与第二时间长相比长的范围内缩短的变更指示。即，该情况下，输出器442可以对日志生成器520输出针对全部的类别使第一时间长在与第二时间长相比长的范围内缩短的变更指示。
[0169]
而且，在没有取得表示通信数据包含异常的异常检测结果的情况下，输出器442可以对日志生成器520输出使被缩短了的第一时间长延长的变更指示。
[0170]
另外，例如，输出器442还可以对日志生成器520输出使第一时间长在与第二时间长相比长的范围内随机地变更的变更指示。另外，输出器442也可以对日志生成器520输出使第一时间长在与第二时间长相比长的范围内线性地变更的变更指示。
[0171]
另外，例如，取得器441可以从服务器装置300将第一时间长的变更指示作为外部指示来取得。而且，输出器442可以根据从服务器装置300取得的外部指示，对日志生成器520输出使第一时间长在与第二时间长相比长的范围内变更的变更指示。
[0172]
另外，例如，输出器442可以对日志生成器520输出使采样日志所涉及的一个以上的类别确定的确定信息。
[0173]
另外，异常检测器510可以包含于服务器装置300。而且，取得器441可以从包含于服务器装置300的异常检测器510取得异常检测结果。
[0174]
另外，异常检测器510可以包含于安全ecu440。而且，异常检测器510可以从车载网络取得通信数据，并判定通信数据是否包含异常。异常检测器510并不限于从车载网络直接地取得通信数据，也可以从车载网络经由其他的装置间接地取得通信数据。例如，异常检测器510可以经由日志生成器520取得根据车载网络的通信数据生成的完整日志等作为通信数据。
[0175]
另外，例如，发送器530根据从输出器442输出的采样日志发送指示，将采样日志向服务器装置300发送，并根据从输出器442输出的完整日志发送指示，将完整日志向服务器装置300发送。发送器530可以包含于安全ecu440。
[0176]
另外，发送器530可以根据从输出器442输出的采样日志发送指示，将采样日志进行无损压缩，并将压缩后的采样日志向服务器装置300发送。另外，发送器530根据从输出器442输出的完整日志发送指示，将完整日志进行无损压缩，并将压缩后的完整日志向服务器装置300发送。
[0177]
另外，输出器442可以通过周期性地输出使采样日志周期性地从发送器530向服务器装置300发送的采样日志发送指示，来使采样日志周期性地从发送器530向服务器装置300发送。或者，输出器442还可以通过将使采样日志周期性地从发送器530向服务器装置300发送的采样日志发送指示作为单一的指示来输出，来使采样日志周期性地从发送器530向服务器装置300发送。
[0178]
另外，例如，在判定为通信数据包含异常的情况下，异常检测器510发送表示通信数据包含异常的异常检测结果，取得器441可以取得所发送的异常检测结果。并且，在判定为通信数据不包含异常的情况下，异常检测器510不发送异常检测结果，取得器441可以不取得异常检测结果。或者，该情况下，异常检测器510也可以发送表示通信数据不包含异常的异常检测结果，取得器441取得所发送的异常检测结果。
[0179]
此外，取得器441和输出器442可以是专用或者通用的电路。并且，安全ecu440、异常检测器510、日志生成器520、发送器530以及服务器装置300还可以由电路构成。具体而言，这些还可以分别为计算机。
[0180]
另外，如上所述，异常检测器510、日志生成器520以及发送器530可以分别包含于安全ecu440。取得器441可以从安全ecu440的内部的装置取得信息，输出器442可以向安全ecu440的内部的装置输出信息。
[0181]
另外，异常检测器510、日志生成器520以及发送器530也可以分别是与车载网络连接的ecu。另外，发送器530也可以是与图1所示的远程信息通信单元422、v2x模块423或者网关装置430等对应的装置。取得器441可以从安全ecu440的外部的装置经由车载网络取得信息，输出器442可以经由车载网络向安全ecu440的外部的装置输出信息。
[0182]
此外，取得器441还可以从安全ecu440的外部的装置经由与车载网络不同的网络来取得信息。另外，输出器442也可以经由与车载网络不同的网络向安全ecu440的外部的装置输出信息。
[0183]
图8是表示本实施方式中的服务器装置300的基本构成的框图。服务器装置300是设置于车辆400的外部的信息处理装置的例子。服务器装置300具备取得器301、判定器302以及输出器303。
[0184]
取得器301取得信息。具体而言，取得器301从车辆400的车载系统410取得采样日志。
[0185]
判定器302进行判定处理。具体而言，判定器302使用采样日志来判定通信数据是否包含异常。
[0186]
输出器303输出信息。具体而言，在判定为通信数据包含异常的情况下，输出器303作为使完整日志从车载系统410向服务器装置300发送的发送指示，向车载系统410输出表示通信数据包含异常的异常检测结果。
[0187]
如上所述，采样日志是车辆400的车载网络中的通信数据的两种类日志中与另一方的日志相比每单位时间产生的数据量小的日志。完整日志是两种类日志中每单位时间产
生的数据量比采样日志大的日志。
[0188]
另外，例如，完整日志可以是多个类别的通信数据的日志。而且，采样日志可以是比完整日志所涉及的多个类别少的一个以上的类别的通信数据的日志。
[0189]
另外，采样日志可以是在多个采样间隔中分别包含于多个采样间隔的多个采样期间中的通信数据的日志。这里，多个采样间隔分别为第一时间长的期间。另外，多个采样期间分别为与第一时间长相比短的第二时间长的期间。
[0190]
输出器303可以向生成上述那样的采样日志的车载系统410输出使第一时间长在与第二时间长相比长的范围内进行变更的变更指示。例如，在判定为通信数据包含异常的情况下，输出器303对车载系统410输出使第一时间长在与第二时间长相比长的范围内缩短的变更指示。另外，在判定为通信数据没有包含异常的情况下，输出器303可以对车载系统410输出使第一时间长延长的变更指示。
[0191]
另外，例如，第一时间长可以针对通信数据所涉及的多个类别的每一类别而确定。而且，在针对一个类别判定为通信数据包含异常的情况下，输出器303可以对车载系统410输出针对该类别使第一时间长在与第二时间长相比长的范围内缩短的变更指示。
[0192]
或者，在针对一个类别判定为通信数据包含异常的情况下，输出器303也可以对车载系统410输出针对多个类别的每一种使第一时间长在与第二时间长相比长的范围内缩短的变更指示。即，输出器303在该情况下也可以对车载系统410输出针对全部的类别使第一时间长在与第二时间长相比长的范围内缩短的变更指示。
[0193]
另外，在判定为通信数据没有包含异常的情况下，输出器303可以对车载系统410输出使被缩短了的第一时间长延长的变更指示。
[0194]
并且，输出器303可以将上述那样的变更指示向车型与车辆400相同的多个车辆的多个车载系统输出。另外，输出器303也可以将变更指示向地域与车辆400相同的多个车辆的多个车载系统输出。
[0195]
另外，采样日志针对多个采样期间中的构成通信数据的各帧表示：(i)该帧的采样时刻；(ii)该帧是否为最早的帧；以及(iii)该帧的数据。这里，该帧是否为最早的帧是指例如在与该帧采样期间相同的一个以上的帧中该帧是否为最早的帧。
[0196]
而且，在与该帧采样期间相同的一个以上的帧中该帧并非最早的帧的情况下，判定器302可以使用采样时刻的差以及数据的差中的至少一方来判定通信数据是否包含异常。
[0197]
这里，采样时刻的差是与该帧采样期间相同的一个以上的帧中该帧的前面的帧的采样时刻和该帧的采样时刻的差。数据的差是这样的前面的帧的数据和该帧的数据的差。这里，前面的帧例如是紧前的帧。
[0198]
另外，采样日志针对多个采样期间中的构成一个以上的类别的通信数据的多个帧的每一帧表示：(i)该帧的采样时刻；(ii)该帧是否为最早的帧；以及(iii)该帧的数据。这里，该帧是否为最早的帧是指例如在与该帧类别以及采样期间相同的一个以上的帧中该帧是否为最早的帧。
[0199]
并且，在与该帧类别以及采样期间相同的一个以上的帧中该帧不是最早的帧的情况下，判定器302可以使用采样时刻的差以及数据的差中的至少一方来判定通信数据是否包含异常。
[0200]
这里，采样时刻的差是与该帧类别以及采样期间相同的一个以上的帧中该帧的前面的帧的采样时刻和该帧的采样时刻的差。数据的差是这样的前面的帧的数据与该帧的数据的差。
[0201]
另外，取得器301可以在发送指示输出后从车载系统410取得完整日志。并且，判定器302还可以使用完整日志判定通信数据是否包含异常。
[0202]
另外，在使用采样日志判定为通信数据包含异常的情况下，输出器303可以向车载系统410输出异常检测结果。并且，在使用完整日志判定为通信数据包含异常的情况下，输出器303可以不向车载系统410输出异常检测结果。即，在未取得完整日志的情况下，被判定为通信数据包含异常的情况下，输出器303向车载系统410输出异常检测结果。
[0203]
另外，在判定为通信数据包含异常的情况下，输出器303也可以向终端装置200输出异常检测结果。
[0204]
另外，取得器301可以从车载系统410取得在车载系统410中压缩了的采样日志，并对被压缩了的采样日志进行解压缩。同样地，取得器301可以从车载系统410取得在车载系统410中压缩了的完整日志，并对被压缩了的完整日志进行解压缩。
[0205]
此外，取得器301、判定器302以及输出器303可以是专用或者通用的电路。而且，终端装置200、服务器装置300以及车载系统410可以由电路构成。具体而言，这些可以分别为计算机。另外，取得器301可以从服务器装置300的外部的装置经由外部网络来取得信息，输出器303也可以经由外部网络向服务器装置300的外部的装置输出信息。
[0206]
另外，例如，每单位时间产生的采样日志的平均数据量比每单位时间产生的完整日志的平均数据量小。单位时间可以是1秒钟，也可以是1分钟，还可以是1小时，也可以是采样日志所涉及的采样间隔。
[0207]
[具体例]
[0208]
图9是表示本实施方式的具体例中的安全系统100的构成的框图。
[0209]
在本具体例中，安全系统100具备终端装置200、服务器装置300、网关装置430、安全ecu440以及多个ecu450。图9所示的安全系统100、终端装置200、服务器装置300、网关装置430以及安全ecu440分别对应于图1所示的构成要素。另外，图9所示的多个ecu450对应于图1所示的多个ecu451和452。
[0210]
网关装置430、安全ecu440以及多个ecu450与车载网络连接。服务器装置300与终端装置200以及外部网络连接。服务器装置300可以经由外部网络与终端装置200连接。外部网络与车载网络经由网关装置430相互连接。网关装置430在车载网络与外部网络之间进行通信的中继。
[0211]
例如，网关装置430通过无线与外部网络连接。网关装置430可以经由图1所示的远程信息通信单元422或者v2x模块423等与外部网络连接。另外，外部网络既可以是无线通信的网络，也可以是有线通信的网络。
[0212]
安全ecu440、服务器装置300以及终端装置200具有保护车辆400以及车载网络等不受非法访问的影响的作用。
[0213]
安全ecu440对车载网络中的通信数据直接地进行监视。服务器装置300通过对车载网络中的通信数据间接地进行监视，来进行远程监视。终端装置200从服务器装置300取得远程监视的结果等。终端装置200在soc或者asirt等监视组织中使用。
[0214]
图10是表示图9所示的安全系统100的变形构成的框图。该变形构成中，图9的网关装置430以及安全ecu440被整合。而且，安全系统100具备整合了网关装置430以及安全ecu440的安全网关装置460。
[0215]
此外，安全网关装置460可以是包含网关装置430的安全ecu440，也可以是包含安全ecu440的网关装置430。
[0216]
图11是表示图9所示的安全ecu440的构成的框图。安全ecu440具备采样日志生成器443、完整日志生成器444、异常检测器445、异常数据无效器446、储存器447以及通信器448。这些构成要素起到图7所示的取得器441、输出器442、异常检测器510、日志生成器520以及发送器530等的作用。
[0217]
采样日志生成器443经由通信器448取得车载网络中的通信数据，并生成所取得的通信数据的采样日志，将所生成的采样日志保存于储存器447。
[0218]
完整日志生成器444经由通信器448取得车载网络中的通信数据，并生成所取得的通信数据的完整日志，将所生成的完整日志保存于储存器447。
[0219]
异常检测器445经由通信器448取得车载网络中的通信数据，判定所取得的通信数据是否包含异常。异常检测器445可以通过判定保存于储存器447的完整日志是否包含异常，来判定通信数据是否包含异常。或者，异常检测器445还可以通过判定保存于储存器447的采样日志是否包含异常，来简易地判定通信数据是否包含异常。
[0220]
在判定为通信数据包含异常的情况下，异常数据无效器446使异常的通信数据无效。具体而言，异常数据无效器446可以经由通信器448将can的错误帧输出到车载网络，据此将异常的通信数据无效。
[0221]
储存器447储存由采样日志生成器443生成的采样日志以及由完整日志生成器444生成的完整日志。例如，储存器447由存储器构成。
[0222]
通信器448通过从车载网络取得信息并向车载网络输出信息，与多个ecu450以及网关装置430等进行通信。并且，通信器448可以经由网关装置430与服务器装置300等进行通信。
[0223]
此外，图7所示的取得器441、输出器442以及发送器530可以包含于通信器448。图7所示的异常检测器510可以包含于异常检测器445。图7所示的日志生成器520可以由采样日志生成器443、完整日志生成器444以及储存器447构成。
[0224]
例如，在通信器448中，输出器442可以向发送器530输出用于将采样日志周期性地发送的发送指示。而且，包含于通信器448的取得器441可以从异常检测器445取得通信数据是否包含异常的异常检测结果。而且，在通信器448中，在取得了获得通信数据包含异常这一情况的异常检测结果的情况下，输出器442可以向发送器530输出用于发送完整日志的发送指示。
[0225]
另外，例如，包含于通信器448的输出器442可以向构成日志生成器520的采样日志生成器443输出与采样间隔或者类别相关的指示。
[0226]
图7所示的构成要素和图11所示的构成要素之间的上述关系是一个例子，这些关系并不限定于上述的例子。例如，图7所示的取得器441和输出器442还可以包含于异常检测器445。而且，在异常检测器445中，取得器441可以从判定通信数据是否包含异常的异常检测器510取得通信数据是否包含异常的异常检测结果。
[0227]
图12是表示图10所示的安全网关装置460的构成的框图。安全网关装置460具备采样日志生成器463、完整日志生成器464、异常检测器465、异常数据无效器466、储存器467、转发处理器469、车外通信器470以及车内通信器471。这些构成要素起到图7所示的取得器441、输出器442、异常检测器510、日志生成器520以及发送器530等的作用。
[0228]
另外，图12的采样日志生成器463、完整日志生成器464、异常检测器465、异常数据无效器466以及储存器467分别是与图11的采样日志生成器443、完整日志生成器444、异常检测器445、异常数据无效器446以及储存器447同样的构成要素。
[0229]
转发处理器469从车辆400的外部经由车外通信器470取得信息，并经由车内通信器471输出信息，据此从车辆400的外部向内部转发信息。另外，转发处理器469从车辆400的内部经由车内通信器471取得信息，并向车辆400的外部经由车外通信器470输出信息，据此从车辆400的内部向外部转发信息。
[0230]
车外通信器470例如经由外部网络，与车辆400的外部的服务器装置300等进行通信。车内通信器471经由车载网络与车辆400的内部的多个ecu450等进行通信。另外，车外通信器470以及车内通信器471起到与安全ecu440的通信器448同样的作用。
[0231]
此外，以下所示的安全ecu440的工作可以通过安全网关装置460进行。例如，通过安全ecu440的通信器448进行的工作可以通过安全网关装置460的车外通信器470或者车内通信器471进行。
[0232]
另外，作为一个例子，图7所示的取得器441、输出器442以及发送器530可以包含于车外通信器470。图7所示的异常检测器510可以包含于异常检测器465。图7所示的日志生成器520可以由采样日志生成器463、完整日志生成器464以及储存器467构成。
[0233]
图13是表示图9等所示的服务器装置300的构成的框图。服务器装置300具备采样日志处理器343、完整日志处理器344、异常检测器345、异常通知器346、储存器347以及通信器348。这些构成要素起到图8所示的取得器301、判定器302以及输出器303等的作用。
[0234]
采样日志处理器343经由通信器348取得采样日志，并将所取得的采样日志保存于储存器347。
[0235]
完整日志处理器344经由通信器348取得完整日志，并将所取得的完整日志保存于储存器347。
[0236]
异常检测器345通过判定保存于储存器347的采样日志或者完整日志是否包含异常，来判定通信数据是否包含异常。
[0237]
在判定为通信数据包含异常的情况下，异常通知器346经由通信器348向终端装置200以及安全ecu440发送异常通知。
[0238]
储存器347对由采样日志处理器343取得的采样日志以及由完整日志处理器344取得的完整日志进行储存。例如，储存器347由存储器构成。
[0239]
通信器348经由例如外部网络与安全ecu440等进行通信。另外，通信器348与终端装置200进行通信。
[0240]
此外，作为一个例子，图8所示的取得器301以及输出器303可以包含于通信器348。图8所示的判定器302可以包含于异常检测器345。
[0241]
图14是表示与图9所示的安全系统100中的采样日志的发送相关联的工作的时序图。
[0242]
首先，安全ecu440的通信器448从车载网络取得通信数据(s101)。接下来，安全ecu440的采样日志生成器443根据从车载网络取得的通信数据，将采样日志记录于储存器447(s102)。另外，安全ecu440的完整日志生成器444根据从车载网络取得的通信数据，将完整日志记录于储存器447(s103)。
[0243]
另外，安全ecu440的异常检测器445根据从车载网络取得的通信数据，进行异常检测处理(s104)。即，安全ecu440的异常检测器445判定从车载网络取得的通信数据是否包含异常。
[0244]
在未检测到异常的情况下即在判定为从车载网络取得的通信数据没有包含异常的情况下，安全ecu440的通信器448将采样日志周期性地进行发送(s105)。例如，安全ecu440的通信器448对记录于储存器447的采样日志进行压缩，并将压缩后的采样日志向服务器装置300发送。
[0245]
服务器装置300的通信器348从安全ecu440取得采样日志。而且，服务器装置300的采样日志处理器343将从安全ecu440取得的采样日志记录于储存器347。例如，服务器装置300的采样日志处理器343对压缩后的采样日志进行解压缩，并将解压缩后的采样日志记录于储存器347。
[0246]
而且，服务器装置300的异常检测器345根据记录于储存器347的采样日志，进行异常检测处理(s106)。即，服务器装置300的异常检测器345通过判定采样日志是否包含异常，来判定车载网络中的通信数据是否包含异常。
[0247]
图15是表示与图9等所示的服务器装置300所进行的异常检测处理相关联的工作的时序图。
[0248]
在由服务器装置300进行的异常检测处理(s106)中检测到异常的情况下，服务器装置300的异常通知器346经由通信器348发送异常通知。即，在根据采样日志判定为车载网络中的通信数据包含异常的情况下，服务器装置300的异常通知器346经由通信器348发送异常通知。
[0249]
例如，服务器装置300的异常通知器346经由通信器348向终端装置200发送异常通知(s107)。而且，终端装置200从服务器装置300取得异常通知，并将异常通知给监视组织。
[0250]
另外，服务器装置300的异常通知器346经由通信器348，向安全ecu440发送异常通知(s108)。而且，安全ecu440的通信器448取得异常通知，并向驾驶员通知异常(s109)。
[0251]
例如，安全ecu440的通信器448通过向具有显示器或者扬声器等的通知接口的ecu450输出异常通知，来经由通知接口向驾驶员通知异常。或者，在安全ecu440具有通知接口的情况下，安全ecu440可以经由安全ecu440的通知接口向驾驶员通知异常。
[0252]
另外，安全ecu440的通信器448在取得了异常通知的情况下，将完整日志向服务器装置300发送(s110)。例如，安全ecu440的通信器448对记录于储存器447的完整日志进行压缩，并将压缩后的完整日志向服务器装置300发送。
[0253]
而且，服务器装置300的通信器348从安全ecu440取得完整日志。而且，服务器装置300的完整日志处理器344将从安全ecu440取得的完整日志记录于储存器347。例如，服务器装置300的完整日志处理器344对压缩后的完整日志进行解压缩，并将解压缩后的完整日志记录于储存器347。
[0254]
而且，服务器装置300的异常检测器345根据记录于储存器347的完整日志，进行异
常检测处理(s111)。即，服务器装置300的异常检测器345通过判定完整日志是否包含异常，来判定车载网络中的通信数据是否包含异常。
[0255]
而且，服务器装置300的通信器348将异常检测处理的结果向终端装置200发送(s112)。服务器装置300的异常通知器346可以经由通信器348将异常通知作为异常检测处理的结果向终端装置200发送。终端装置200从服务器装置300取得异常检测处理的结果，并向监视组织通知异常检测处理的结果。
[0256]
而且，终端装置200由监视组织进行操作，从而进行异常所涉及的详细分析(s113)。另外，终端装置200由监视组织进行操作，从而进行证据保全(s114)。终端装置200可以为了详细分析以及证据保全而从服务器装置300下载完整日志。
[0257]
图16是表示与图9等所示的安全ecu440所进行的异常检测处理相关联的工作的时序图。
[0258]
在安全ecu440所进行的异常检测处理(s104)中检测到异常的情况下，安全ecu440的通信器448向驾驶员通知异常(s131)。即，在判定为从车载网络取得的通信数据包含异常的情况下，安全ecu440的通信器448向驾驶员通知异常。
[0259]
例如，安全ecu440的通信器448通过向具有通知接口的ecu450输出异常通知，来经由通知接口向驾驶员通知异常。或者，在安全ecu440具有通知接口的情况下，安全ecu440可以经由安全ecu440的通知接口向驾驶员通知异常。
[0260]
而且，安全ecu440的通信器448发送完整日志(s132)。例如，安全ecu440的通信器448对记录于储存器447的完整日志进行压缩，并将压缩后的完整日志向服务器装置300发送。
[0261]
而且，服务器装置300的通信器348从安全ecu440取得完整日志。而且，服务器装置300的完整日志处理器344将从安全ecu440取得的完整日志记录于储存器347。例如，服务器装置300的完整日志处理器344对压缩后的完整日志进行解压缩，并将解压缩后的完整日志记录于储存器347。
[0262]
而且，服务器装置300的异常检测器345根据记录于储存器347的完整日志，进行异常检测处理(s133)。即，服务器装置300的异常检测器345通过判定完整日志是否包含异常，来判定车载网络中的通信数据是否包含异常。
[0263]
而且，在检测到异常的情况下，即，在根据完整日志判定为在车载网络中的通信数据包含异常的情况下，服务器装置300的异常通知器346经由通信器348发送异常通知。例如，服务器装置300的异常通知器346经由通信器348向终端装置200发送异常通知(s134)。而且，终端装置200从服务器装置300取得异常通知，并向监视组织通知异常。
[0264]
另外，服务器装置300的异常通知器346经由通信器348向安全ecu440发送异常通知(s135)。而且，安全ecu440的通信器448取得异常通知，向驾驶员通知异常(s136)。另外，安全ecu440的通信器448在取得了异常通知的情况下，将完整日志向服务器装置300发送(s137)。
[0265]
而且，服务器装置300的通信器348从安全ecu440取得完整日志。而且，服务器装置300的完整日志处理器344将从安全ecu440取得的完整日志记录于储存器347。而且，服务器装置300的异常检测器345根据记录于储存器347的完整日志，进行异常检测处理(s138)。
[0266]
而且，服务器装置300的通信器348将异常检测处理的结果向终端装置200发送
(s139)。服务器装置300的异常通知器346可以经由通信器348将异常通知作为异常检测处理的结果向终端装置200发送。终端装置200从服务器装置300取得异常检测处理的结果，向监视组织通知异常检测处理的结果。
[0267]
而且，终端装置200由监视组织进行操作，由此进行异常所涉及的详细分析(s140)。另外，终端装置200通过由监视组织进行操作，来进行证据保全(s141)。
[0268]
图16所示的从针对终端装置200的异常通知的发送(s134)到证据保全(s141)为止的处理与图15所示的从针对终端装置200的异常通知的发送(s107)到证据保全(s114)为止的处理同样。另外，为了避免处理的重复，从针对安全ecu440的异常通知的发送(s135)到针对终端装置200的异常检测处理结果的发送(s139)为止的处理可以省略。
[0269]
图17是表示图9等所示的安全ecu440的工作的流程图。
[0270]
安全ecu440进行用于记录车载网络中的通信数据的日志的日志记录处理(s201)。另外，安全ecu440进行用于检测通信数据中的异常的异常检测处理(s202)。而且，安全ecu440进行用于将通信日志向服务器装置300发送的日志发送处理(s203)。安全ecu440重复这些处理(s201～s203)。
[0271]
图18是表示由图9等所示的安全ecu440进行的日志记录处理的第一技术方案的流程图。
[0272]
首先，通信器448通过接收车载网络中的通信数据来取得通信数据(s301)。具体而言，通信器448取得can的帧作为通信数据。
[0273]
接下来，完整日志生成器444将所取得的通信数据作为完整日志记录于储存器447(s302)。具体而言，完整日志生成器444根据图4的日志格式将所取得的帧作为完整日志记录于储存器447。另外，例如，在过去取得的帧被作为完整日志记录于储存器447的情况下，完整日志生成器444将新取得的帧的信息追加于图4的日志格式中的有效载荷。
[0274]
接下来，采样日志生成器443通过确认例如采样日志生成器443中的采样计时器，来判定当前时刻是否为采样期间内(s303)。当前时刻没有在采样期间内的情况下(s304为否)，安全ecu440结束日志记录处理。
[0275]
当前时刻在采样期间内的情况下(s304为是)，采样日志生成器443判定所取得的通信数据是否为特定类别的通信数据。此时，具体而言，采样日志生成器443通过判定所取得的帧中包含的id是否为特定id，来判定所取得的帧是否为特定类别的帧。
[0276]
在判定为所取得的通信数据不是特定类别的通信数据的情况下(s305为否)，安全ecu440结束日志记录处理。
[0277]
在判定为所取得的通信数据为特定类别的通信数据的情况下(s305为是)，采样日志生成器443将所取得的通信数据作为采样日志记录于储存器447(s306)。
[0278]
具体而言，采样日志生成器443根据图4的日志格式将所取得的帧作为采样日志记录于储存器447。另外，例如，在过去取得的帧被作为采样日志记录于储存器447的情况下，采样日志生成器443将新取得的帧的信息追加到图4的日志格式中的有效载荷中。而且，安全ecu440结束日志记录处理。
[0279]
此外，采样日志生成器443以及完整日志生成器444基本上将采样日志与完整日志分别记录于储存器447。
[0280]
图19是表示由图9等所示的安全ecu440进行的日志记录处理的第二技术方案的流
程图。在图19所示的日志记录处理的第二技术方案中，从取得通信数据到将通信数据作为采样日志进行记录为止的处理(s301～s306)与图18所示的日志记录处理的第一技术方案相同。
[0281]
在图19所示的日志记录处理的第二技术方案中，采样日志生成器443在将通信数据作为采样日志进行记录后，更新采样间隔的时间长(s307)。
[0282]
例如，采样日志生成器443在最小值与最大值之间的范围内随机地更新采样间隔的时间长。其中，最小值以及最大值分别预先确定为比采样期间的时间长大的值。或者，采样日志生成器443可以在最小值与最大值之间的范围内线性地更新采样间隔的时间长。
[0283]
具体而言，采样日志生成器443可以将采样间隔的时间长从最小值逐渐地增大到最大值。即，采样日志生成器443可以将采样间隔的时间长从最小值阶段性地增大到最大值。而且，采样间隔的时间长达到最大值后，可以将采样间隔的时间长从最大值逐渐减小到最小值。即，采样日志生成器443可以将采样间隔的时间长从最大值阶段性地减小到最小值。
[0284]
由此，安全ecu440能够对与采样日志相关联的采样间隔的时间长进行各种变更。因此，安全ecu440能够使采样日志包含在固定的采样间隔中未被包含的异常等。另外，安全ecu440能够使得采样间隔难以被解析。因此，安全ecu440能够抑制基于非法数据的异常等未被包含于采样日志的现象。
[0285]
此外，采样日志生成器443除了采样间隔的更新以外，或者可以代替采样间隔的更新，对与采样日志相关联的特定类别进行更新。
[0286]
另外，在上述的日志记录处理中，例如，从通信器448所包含的输出器442向由采样日志生成器443构成的日志生成器520输出与采样间隔或者特定类别相关的指示。而且，根据与采样间隔或者特定类别相关的指示，对采样间隔或者特定类别进行更新。
[0287]
图20是表示由图9等所示的安全ecu440进行的异常检测处理的流程图。
[0288]
在异常检测处理中，异常检测器445进行由通信器448取得的通信数据与异常模式的匹配处理(s401)。即，异常检测器445判定由通信器448取得的通信数据是否与预先确定的异常模式匹配。其中，由通信器448取得的通信数据更具体而言是由通信器448作为通信数据取得的一个以上的数据帧。
[0289]
而且，异常检测器445在判定为由通信器448取得的通信数据与预先确定的异常模式匹配的情况下(s402为是)，检测异常(s403)。换言之，异常检测器445在该情况下判定为通信数据包含异常。进一步换言之，异常检测器445将由通信器448取得的通信数据与预先确定的异常模式匹配这一情况检测为通信数据中的异常。
[0290]
另外，通信器448进行用于从服务器装置300接收异常通知的异常通知接收处理(s404)。具体而言，在从服务器装置300发送了异常通知的情况下，通信器448接收从服务器装置300发送的异常通知。
[0291]
而且，异常检测器445在通信器448从服务器装置300接收到异常通知的情况下(s405为是)，检测异常(s406)。换言之，异常检测器445在该情况下，判定为通信数据包含异常。进一步换言之，异常检测器445将通信器448从服务器装置300接收到异常通知这一情况作为通信数据中的异常来检测。
[0292]
另外，在判定为由通信器448取得的通信数据与预先确定的异常模式不匹配，通信
器448未从服务器装置300接收到异常通知的情况下，异常检测器445未检测异常。即，该情况下，异常检测器445判定为通信数据没有包含异常。
[0293]
此外，在上述的异常检测处理中，进行了通信数据与异常模式的匹配处理，但也可以进行通信数据与正常模式的匹配处理。该情况下，在判定为通信数据不与预先确定的正常模式匹配的情况下，异常检测器445检测异常。
[0294]
另外，料想在can中同种的数据帧以恒定的周期进行流通。因此，在同种的数据帧未以恒定的周期流通的情况下，异常检测器445可以检测异常。具体而言，异常检测器445可以使用取得了数据帧的时间间隔，判定数据帧是否以恒定的周期进行流通，根据该判定结果来检测异常。另外，可以在异常模式或者正常模式中包含在can中流通的同种的数据帧的周期。
[0295]
另外，料想以恒定的周期流通的同种的多个数据帧在数据内容上具有连续性。例如，异常检测器445可以在同种的多个数据帧中，将具有从前面的数据帧的数据值偏离大的数据值的数据帧检测为异常。另外，也可以在异常模式或者正常模式中包含偏离的大小。偏离的大小也能够表现为数据值的差。
[0296]
另外，异常通知接收处理(s404)的定时并不限于图20的例子。通信器448在从服务器装置300发送了异常通知的定时，接收从服务器装置300发送的异常通知。
[0297]
另外，安全ecu440可以仅进行安全ecu440中的独自的异常检测(s401～s403)和基于服务器装置300的异常检测(s404～s406)中的一方。
[0298]
安全ecu440进行独自的异常检测(s401～s403)的构成对应于图7所示的异常检测器510包含于安全ecu440的构成。安全ecu440进行基于服务器装置300的异常检测(s404～s406)的构成对应于图7所示的异常检测器510包含于服务器装置300的构成。
[0299]
而且，进行独自的异常检测(s401～s403)与基于服务器装置300的异常检测(s404～s406)这双方的构成对应于异常检测器510分别包含于安全ecu440以及服务器装置300的构成。
[0300]
图21是表示由图9等所示的安全ecu440进行的日志发送处理的第一技术方案的流程图。
[0301]
本技术方案中，异常检测器445判定是否检测到通信数据的异常(s501)。并且，在判定为检测到通信数据的异常的情况下，即，判定为通信数据包含异常的情况下，通信器448向驾驶员通知异常(s502)。例如，通信器448向具有通知接口的ecu450输出异常通知，由此经由通知接口向驾驶员通知异常。
[0302]
而且，通信器448对记录于储存器447的完整日志进行压缩(s503)。例如，通信器448使用7
‑
zip等压缩方法将完整日志进行无损压缩。而且，通信器448将压缩后的完整日志向服务器装置300发送(s504)。通信器448可以在完整日志的发送后将记录于储存器447的完整日志从储存器447删除。
[0303]
另一方面，在判定为没有检测到通信数据的异常的情况下，即，在判定为通信数据没有包含异常的情况下，通信器448通过确定定期发送计时器，来判定当前时刻是否为定期发送定时(s511)。在判定为当前时刻不是定期发送定时的情况下(s512为否)，安全ecu440结束日志发送处理。
[0304]
在判定为当前时刻是定期发送定时的情况下(s512为是)，通信器448对记录于储
存器447的采样日志进行压缩(s513)。例如，通信器448使用7
‑
zip等压缩方法将采样日志进行无损压缩。并且，通信器448将压缩后的采样日志向服务器装置300发送(s514)。通信器448可以在采样日志的发送后将记录于储存器447的采样日志从储存器447中删除。
[0305]
通过上述的日志发送处理，数据量比较小的采样日志被周期性地从安全ecu440向服务器装置300发送，数据量比较大的完整日志在异常时被从安全ecu440向服务器装置300发送。
[0306]
此外，定期发送定时例如为1分钟1次。而且，通信器448可以在从之前发送采样日志起经过1分钟以上的情况下，判定为当前时刻为定期发送定时。由此，通信器448周期性地发送采样日志。基本上，采样日志被发送的周期比采样日志的记录所涉及的采样间隔长。
[0307]
另外，例如，向服务器装置300发送的完整日志是在过去规定期间中的完整日志。规定期间例如为1小时。在储存器447中可以记录有与规定期间相应的量的完整日志。因此，对于完整日志的记录可以使用用于记录与规定期间相应的量的完整日志的环形缓冲器。同样地，对于采样日志的记录也可以使用用于记录与发送周期相应的量的采样日志的环形缓冲器。
[0308]
另外，在上述的日志发送处理中，在检测到异常的情况下发送完整日志，不发送采样日志。然而，也可以不管是否检测到异常，采样日志都被周期性地发送。
[0309]
另外，在上述的日志发送处理中，例如，通信器448所包含的取得器441从异常检测器445取得异常检测结果。并且，在通信器448中，根据异常检测结果从输出器442向发送器530输出采样日志或者完整日志的发送的指示。并且，根据发送的指示，发送采样日志或者完整日志。
[0310]
图22是表示由图9等所示的安全ecu440进行的日志发送处理的第二技术方案的流程图。在图22所示的日志发送处理的第二技术方案中，至到发送完整日志以及采样日志为止的处理(s501～s504以及s511～s514)与图21所示的日志发送处理的第一技术方案相同。
[0311]
在本技术方案中，在完整日志被发送后，采样日志生成器443对采样间隔进行缩短并更新(s505)。即，在检测到异常的情况下，采样日志生成器443缩短采样间隔的时间长。另外，在采样日志被发送后，采样日志生成器443对采样间隔进行延长并更新(s515)。即，在没有检测到异常的情况下，采样日志生成器443延长采样间隔的时间长。
[0312]
在上述的更新中，采样日志生成器443在最小值与最大值之间的范围内对采样间隔的时间长进行更新。采样日志生成器443可以在1次的更新中，使采样间隔的时间长缩短或者延长与预先确定的固定长相应的量。采样日志生成器443还可以在1次的更新中使采样间隔的时间长缩短或者延长与随机的长度相应的量。
[0313]
通过上述那样的更新，安全ecu440能够在异常时以后使采样日志的数据量增加。而且，安全ecu440能够使采样日志包含在长的采样间隔中没有被包含的异常等。另外，安全ecu440能够在没有异常的情况下使采样日志的数据量削减。
[0314]
此外，在本技术方案中，与检测到异常的通信数据的类别无关地对全部的类别更新采样间隔。即，与检测到异常的帧的id无关地对全部的id更新采样间隔。
[0315]
另外，在上述的更新中，例如从通信器448所包含的输出器442向构成日志生成器520的采样日志生成器443输出采样间隔所涉及的指示。而且，根据采样间隔所涉及的指示，更新采样间隔。
[0316]
图23是表示由图9等所示的安全ecu440进行的日志发送处理的第三技术方案的流程图。在图23所示的日志发送处理的第三技术方案中，至到发送完整日志以及采样日志为止的处理(s501～s504以及s511～s514)与图21以及图22所示的日志发送处理的第一技术方案以及第二技术方案相同。
[0317]
在本技术方案中，在完整日志被发送后，采样日志生成器443针对检测到异常的通信数据的类别对采样间隔进行缩短并更新(s506)。而且，采样日志生成器443针对其他的类别维持采样间隔。即，在一个类别的通信数据中检测到异常的情况下，采样日志生成器443针对该一个类别将采样间隔的时间长缩短。
[0318]
另外，在采样日志被发送后，采样日志生成器443对被缩短并更新了的采样间隔进行延长并更新(s516)。即，在未检测到异常的情况下，采样日志生成器443将采样间隔的时间长返回到原时间长。或者，该情况下，采样日志生成器443使采样间隔的时间长接近原时间长。
[0319]
与图22所示的日志发送处理的第二技术方案同样地，采样日志生成器443在最小值与最大值之间的范围内对采样间隔的时间长进行更新。采样日志生成器443可以在1次的更新中使采样间隔的时间长缩短或者延长与预先确定的固定长相应的量。采样日志生成器443还可以在1次的更新中使采样间隔的时间长缩短或者延长与随机的长度相应的量。
[0320]
通过上述那样的更新，安全ecu440能够在异常时以后按每一类别使采样日志的数据量增加。另外，安全ecu440能够在没有异常的情况下使增加了的数据量减少。
[0321]
图24是表示图9等所示的服务器装置300的工作的第一技术方案的流程图。
[0322]
首先，通信器348从安全ecu440接收采样日志或者完整日志(s601)。在接收到采样日志的情况下(s602为是)，采样日志处理器343将采样日志记录于储存器347。例如，采样日志处理器343对压缩后的采样日志进行解压缩，并将解压缩后的采样日志记录于储存器347。
[0323]
而且，异常检测器345根据采样日志进行异常检测处理(s603)。例如，异常检测器345以与安全ecu440的异常检测器445所进行的匹配处理(s401)相同的方式，进行通信数据与异常模式的匹配处理。其中，异常检测器345将通过采样日志表示的通信数据用于匹配处理。
[0324]
即，异常检测器345判定通过采样日志表示的通信数据是否与预先确定的异常模式匹配。更具体而言，异常检测器345判定通过采样日志表示的数据帧是否与预先确定的异常模式匹配。
[0325]
而且，异常检测器345在判定为通过采样日志表示的通信数据与预先确定的异常模式匹配的情况下，检测异常。换言之，异常检测器345在该情况下判定为通信数据包含异常。进一步换言之，异常检测器345将通过采样日志表示的通信数据与预先确定的异常模式匹配这一情况检测为通信数据中的异常。
[0326]
在日志的接收(s601)中，在未接收到采样日志的情况下(s602为否)，即，在接收到完整日志的情况下，完整日志处理器344将完整日志记录于储存器347。例如，完整日志处理器344对压缩后的完整日志进行解压缩，并将解压缩后的完整日志记录于储存器347。
[0327]
而且，异常检测器345根据完整日志进行异常检测处理(s604)。例如，异常检测器345以与安全ecu440的异常检测器445进行的匹配处理(s401)相同的方式，进行通信数据与
异常模式的匹配处理。其中，异常检测器345将通过完整日志表示的通信数据用于匹配处理。
[0328]
即，异常检测器345判定通过完整日志表示的通信数据是否与预先确定的异常模式匹配。更具体而言，异常检测器345判定通过完整日志表示的帧是否与预先确定的异常模式匹配。
[0329]
而且，异常检测器345在判定为通过完整日志表示的通信数据与预先确定的异常模式匹配的情况下，检测异常。换言之，异常检测器345在该情况下判定为通信数据包含异常。进一步换言之，异常检测器345将通过完整日志表示的通信数据与预先确定的异常模式匹配这一情况检测为通信数据中的异常。
[0330]
接下来，异常检测器345判定是否检测到通信数据的异常(s605)。而且，在判定为检测到通信数据的异常的情况下，即，判定为通信数据包含异常的情况下(s605为是)，通信器348向终端装置200发送异常通知(s606)。在日志的接收(s601)中接收到完整日志的情况下(s607为是)，服务器装置300结束一系列的处理。
[0331]
在日志的接收(s601)中未接收到完整日志的情况下(s607为否)，即，接收到采样日志的情况下，通信器348向安全ecu440发送异常通知(s608)。通信器348通过向安全ecu440发送异常通知，使安全ecu440向服务器装置300发送完整日志。而且，服务器装置300结束一系列的处理。
[0332]
此外，虽然采样日志的异常检测处理(s603)与完整日志的异常检测处理(s604)在图24中被分别记载，但它们可以是相同的处理。即，异常检测器345可以与是采样日志还是完整日志无关地进行共同的异常检测处理。
[0333]
另外，在上述的异常检测处理(s603和s604)中，进行了通信数据与异常模式的匹配处理，但也可以进行通信数据与正常模式的匹配处理。该情况下，在判定为通信数据与预先确定的正常模式不匹配的情况下，异常检测器345检测异常。
[0334]
另外，与在安全ecu440中进行的匹配处理(s401)相比复杂的匹配处理可以在上述的异常检测处理(s603和s604)中进行。服务器装置300能够使用不受车载用的要件制约的足够的处理能力来进行匹配处理。例如，与在安全ecu440中进行的匹配处理(s401)相比更多的异常模式可以在上述的异常检测处理(s603和s604)中使用。
[0335]
另外，料想在can中同种的数据帧以恒定的周期流通。因此，在同种的数据帧未以恒定的周期流通的情况下，异常检测器345可以检测异常。具体而言，异常检测器345可以使用取得了数据帧的时间间隔，判定数据帧是否以恒定的周期流通，并根据该判定结果来检测异常。另外，还可以在异常模式或者正常模式中包含在can中流通的同种的数据帧的周期。
[0336]
但是，数据帧是否以恒定的周期流通的判定在前面的数据帧没有缺失的情况下有效，在前面的数据帧缺失的情况下无效。
[0337]
因此，在采样日志所包含的数据帧是采样期间的最早的数据帧的情况下，异常检测器345不将数据帧是否以恒定的周期流通的判定用于异常的检测。另一方面，在采样日志所包含的数据帧不是采样期间的最早的数据帧的情况下，异常检测器345将数据帧是否以恒定的周期流通的判定用于异常的检测。
[0338]
具体而言，在采样日志所包含的数据帧不是采样期间的最早的数据帧的情况下，
异常检测器345将数据帧的采样时刻与其前面的数据帧的采样时刻的差用于异常的检测。在采样时刻的差与恒定的周期间隔相符的情况下，异常检测器345将数据帧判定正常。另一方面，在采样时刻的差与恒定的周期间隔不相符的情况下，异常检测器345将数据帧判定为异常。
[0339]
另外，由于类别也与周期相关联，所以同种的数据帧所涉及的采样时刻的差也可以用于异常的检测。换句话说，在相同的采样期间以及相同的类别中，数据帧的采样时刻与其前面的数据帧的采样时刻之差可以用于异常的检测。
[0340]
采样日志所包含的数据帧是否与最早的数据帧相符，能够通过图4所示的日志格式的标志被识别。另外，在完整日志中由于数据帧不缺失，所以可以针对完整日志，将采样时刻的差用于异常的检测。
[0341]
另外，料想以恒定的周期流通的同种的数据帧在数据内容上具有连续性。因此，数据帧与其前面的数据帧之间的数据值的差可以与采样时刻的差同样地用于异常的检测。该情况下也与采样时刻的差同样地，可以针对与最早的数据帧不同的数据帧，在异常的检测中使用数据值的差。
[0342]
图25是表示图9等所示的服务器装置300的工作的第二技术方案的流程图。在图25所示的第二技术方案中，从接收日志到发送异常通知为止的处理(s601～s608)与图24所示的第一技术方案相同。
[0343]
在本技术方案中，服务器装置300之后进行采样间隔更新处理(s609)。例如，通信器348向安全ecu440发送使安全ecu440变更采样间隔的时间长的变更指示。然后，安全ecu440对采样间隔的时间长进行变更。图26以及图27表示上述的采样间隔更新处理所涉及的更具体的方式。
[0344]
图26是表示在图9等示出的服务器装置300和安全ecu440进行的采样间隔更新处理的第一技术方案的流程图。
[0345]
在本技术方案中，首先，在服务器装置300中，通信器348确定在日志的接收(s601)中接收到的日志的发送源即车辆400的车型(s701)。通信器348可以根据日志所包含的车辆id来确定车辆400的车型。或者，通信器348也可以通过重新与安全ecu440等进行通信来确定车辆400的车型。
[0346]
接下来，通信器348针对确定出的车型取得当前的采样间隔(s702)。当前的采样间隔可以按每一车型记录于储存器347。而且，通信器348可以从储存器347取得当前的采样间隔。或者，通信器348也可以通过重新与安全ecu440等进行通信，取得当前的采样间隔。
[0347]
而且，在异常检测处理(s603或者s604)中检测到异常的情况下(s703为是)，通信器348使采样间隔缩短并更新(s704)。即，通信器348确定比当前的采样间隔短的采样间隔。
[0348]
另一方面，在异常检测处理(s603或者s604)中没有检测到异常的情况下(s703为否)，通信器348使采样间隔延长并更新(s705)。即，通信器348确定比当前的采样间隔长的采样间隔。
[0349]
而且，通信器348向车型与确定出的车型相同的多个车辆的多个安全ecu发送更新后的采样间隔、也就是说发送新确定的采样间隔(s706)。
[0350]
在发送了采样间隔的多个安全ecu所包含的安全ecu440中，通信器448接收从服务器装置300发送的采样间隔(s801)。而且，采样日志生成器443将当前的采样间隔更新为接
收到的采样间隔(s802)。即，通信器448从服务器装置300接收采样间隔的变更指示作为外部指示，采样日志生成器443根据外部指示来更新采样间隔。
[0351]
由此，服务器装置300能够在异常时以后使采样日志的数据量增加。而且，服务器装置300能够使采样日志包含以长的采样间隔未被包含的异常等。另外，服务器装置300能够在没有异常的情况下使采样日志的数据量减少。另外，服务器装置300能够针对同一车型的多个车载系统，变更与采样日志相关联的采样间隔的时间长。
[0352]
此外，通信器348可以按每一类别来对采样间隔进行更新。例如，在针对一个类别检测到异常的情况下，通信器348可以针对该一个类别缩短采样间隔。而且，在未检测到异常的情况下，通信器348可以延长被缩短了的采样间隔。而且，可以对同一车型进行这样的更新。由此，数据量按每一车型以及每一类别被适当地调整。
[0353]
或者，在针对一个类别检测到异常的情况下，通信器348可以不取决于类别地针对全部的类别缩短采样间隔。而且，在未检测到异常的情况下，通信器348可以不取决于类别地针对全部的类别延长采样间隔。由此，数据量不取决于类别而按每一车型被适当地调整。
[0354]
图27是表示在图9等示出的服务器装置300以及安全ecu440进行的采样间隔更新处理的第二技术方案的流程图。
[0355]
在本技术方案中，首先，在服务器装置300中，通信器348确定在日志的接收(s601)中接收到的日志的发送源即车辆400的地域(s711)。通信器348可以根据日志所包含的车辆id来确定车辆400的地域。或者，通信器348也可以通过重新与安全ecu440等进行通信来确定车辆400的地域。
[0356]
此外，基本上如国家那样的大范围被料想为地域。这样的地域能够对车辆400预先确定。然而，也可以使用当前行驶中的车辆400的更具体的地域。这样的地域能够通过gps(global positioning system)等确定。
[0357]
接下来，通信器348针对确定出地域，取得当前的采样间隔(s712)。当前的采样间隔可以按每一地域记录于储存器347。而且，通信器348可以从储存器347取得当前的采样间隔。或者，通信器348也可以通过重新与安全ecu440等进行通信来取得当前的采样间隔。
[0358]
而且，在异常检测处理(s603或者s604)中检测到异常的情况下(s713为是)，通信器348将采样间隔缩短并更新(s714)。即，通信器348确定比当前的采样间隔短的采样间隔。
[0359]
另一方面，在异常检测处理(s603或者s604)中未检测到异常的情况下(s713为否)，通信器348将采样间隔延长更新(s715)。即，通信器348确定比当前的采样间隔长的采样间隔。
[0360]
而且，通信器348向地域与确定出的地域相同的多个车辆的多个安全ecu发送更新后的采样间隔，也就是说发送新确定的采样间隔(s716)。
[0361]
与采样间隔更新处理的第一技术方案同样地，在发送了采样间隔的多个安全ecu所包含的安全ecu440中，通信器448接收从服务器装置300发送的采样间隔(s801)。而且，采样日志生成器443将当前的采样间隔更新为接收到的采样间隔(s802)。即，安全ecu440作为外部指示接收采样间隔的变更指示，并根据外部指示对采样间隔进行更新。
[0362]
由此，服务器装置300能够针对同一地域的多个车载系统，变更与采样日志相关联的采样间隔的时间长。
[0363]
另外，与采样间隔更新处理的第一技术方案同样地，通信器348可以按每一类别来
变更采样间隔。由此，数据量按每一地域以及每一类别被适当地调整。或者，通信器348可以不取决于类别地更新采样间隔。由此，数据量不取决于类别地按每一地域被适当地调整。
[0364]
[补充]
[0365]
在上述的实施方式中，使用了can协议作为车载网络，但并不限于此。例如，还可以使用can
‑
fd(can with flexible data rate)、flexray、ethernet、lin(local interconnect network)、most(media oriented systems transport)等。或者可以使用将这些网络作为子网络与can组合而成的网络。
[0366]
此外，在上述实施方式中，各构成要素可以通过专用的硬件构成，或者可以通过执行适合于各构成要素的软件程序而实现。各构成要素可以通过cpu或者处理器等程序执行器将记录于硬盘或者半导体存储器等记录介质的软件程序读出并执行而实现。这里，实现上述实施方式的信息处理装置等的软件是如下那样的程序。
[0367]
即，该程序使作为信息处理装置的计算机执行搭载于车辆的信息处理装置所进行的信息处理方法，该信息处理方法包括：取得步骤，从异常检测器取得所述车辆的车载网络中的通信数据是否包含异常的异常检测结果；和输出步骤，输出采样日志发送指示，所述采样日志发送指示使采样日志从搭载于所述车辆的发送器向设置于所述车辆的外部的服务器装置周期性地进行发送，所述采样日志是所述通信数据的两个种类日志中的与另一方日志相比每单位时间产生的数据量小的日志，在所述输出步骤中，在所述取得步骤中取得了表示所述通信数据包含异常的所述异常检测结果的情况下，还输出完整日志发送指示，所述完整日志发送指示使完整日志从所述发送器向所述服务器装置进行发送，所述完整日志是所述两个种类的日志中的与所述采样日志相比每单位时间产生的数据量大的日志。
[0368]
另外，该程序可以被记录于cd
‑
rom等非瞬时性记录介质。另外，信息处理装置可以通过集成电路安装。
[0369]
另外，上述实施方式中，各构成要素可以是电路。多个构成要素可以作为整体构成一个电路，也可以分别构成独立的电路。另外，电路可以分别为通用的电路，也可以是专用的电路。
[0370]
另外，在上述实施方式中，用于从发送源向发送目的地发送信息的发送方法，可以是在被发送的信息中不包含发送源以及发送目的地的信息的发送方法，只要是结果为信息被从发送源向发送目的地发送那样的发送方法即可。具体而言，可以使用如广播那样的发送方法。用于从输出源向输出目的地输出信息的输出方法也同样。另外，用y于从取得目的地取得信息的取得方法也是结果为信息从取得目的地取得那样的取得方法即可。
[0371]
以上，针对一个或者多个技术方案的信息处理装置，基于实施方式进行了说明，但本公开并不限定于该实施方式。只要不脱离本公开的主旨，对本实施方式施加本领域技术人员能够想到的各种变形而得到的实施方式、以及组合不同实施方式中的构成要素而构建的实施方式也可以包含于一个或者多个技术方案的范围内。
[0372]
例如，在上述实施方式中，可以代替特定的构成要素而由其它的构成要素执行特定的构成要素所执行的处理。另外，多个处理的顺序可以被变更，多个处理可以被并行地执行。
[0373]
工业上的可利用性
[0374]
本公开能够利用于用y于监视与车辆相关的数据的安全系统等。
[0375]
标号的说明
[0376]
100安全系统；200终端装置；300服务器装置；301、441取得器；302判定器；303、442输出器；343采样日志处理器；344完整日志处理器；345、445、465、510异常检测器；346异常通知器；347、447、467储存器；348、448通信器；400车辆；410车载系统；421平视显示器；422远程信息通信单元；423 v2x模块；424 obd模块；430网关装置；440安全ecu；443、463采样日志生成器；444、464完整日志生成器；446、466异常数据无效器；450、451、452 ecu；460安全网关装置；469转发处理器；470车外通信器；471车内通信器；520日志生成器；530发送器。