判定装置、判定程序和判定方法与流程

1.本公开涉及一种判定装置、判定程序和判定方法。
2.本技术主张基于2019年12月6日申请的日本技术第2019－221517号的优先权，援引所述日本技术中记载的全部记载内容。


背景技术：

3.以往，在搭载于车辆的多个车载ecu(electronic control unit，电子控制单元)之间的通信中，广泛采用can的通信协议。伴随着车辆的多功能化和高功能化，所搭载的车载ecu的数量成为增加的倾向，但将该车载ecu分成群组(分段)而构成车辆网络，作为同一群组的多个车载ecu由共同的通信线连接而相互进行数据的发送接收，并且不同群组的车载ecu之间的数据的发送接收由车载中继装置(网关)进行中继(例如，专利文献1)。
4.在专利文献1的车辆网络中，除车载中继装置(网关)之外，还具备与车辆网络的分段分别连接、并检测流到车辆网络的不正当的数据(消息)的车辆网络监视装置。该车辆网络监视装置在检测到不正当的数据(消息)时，对车载控制装置(车载ecu)发送警告信息(消息码)。
5.现有技术文献
6.专利文献
7.专利文献1：日本特开2013－131907号公报


技术实现要素：

8.本公开的一个方式的判定装置搭载于车辆，与多个车载ecu以能够进行通信的方式连接，其中，所述判定装置具备控制部，所述控制部进行关于从所述多个车载ecu发送的数据正当与否的判定的控制，所述数据包含第一数据和第二数据，所述控制部取得从所述多个车载ecu发送的多个所述第一数据和所述第二数据，基于所述第一数据而导出判定用数据，在识别所述第一数据的标识符和识别所述第二数据的标识符的多个组合中，基于所述第二数据和所述判定用数据，确定包含正当的第一数据和第二数据的标识符的正当判定组合以及包含不正当的第一数据或者第二数据的标识符的不正当判定组合，基于在所确定的所述不正当判定组合中包含的多个标识符以及在所述正当判定组合中包含的多个标识符，判定在所确定的所述不正当判定组合中包含的哪一个标识符的第一数据或者第二数据不正当。
附图说明
9.图1是示例出包含实施方式一的判定装置的系统结构的示意图。
10.图2是示例出判定装置的内部结构的框图。
11.图3是示例出多个标识符各自的相关性的说明图。
12.图4是关于基于分别识别第一数据和第二数据的标识符的多个组合(组合表格)的
说明图。
13.图5是示例出在判定装置的控制部中包含的功能部的功能框图。
14.图6是示例出判定装置的控制部的处理的流程图。
具体实施方式
15.[本公开所要解决的课题]
[0016]
专利文献1的车辆网络监视装置未考虑到在对相互具有关联性的多个数据中的某一个数据进行了攻击的情况下判定由于该攻击而成为不正当的数据这一点。
[0017]
本公开提供一种在对相互具有关联性的多个数据中的某一个数据进行了攻击的情况下能够判定由于该攻击而成为不正当的数据的判定装置等。
[0018]
[本公开的效果]
[0019]
根据本公开的一个方式，能够提供一种在对相互具有关联性的多个数据中的某一个数据进行了攻击的情况下判定由于该攻击而成为不正当的数据的判定装置等。
[0020]
[本公开的实施方式的说明]
[0021]
首先，列举本公开的实施方式来进行说明。另外，也可以将以下记载的实施方式的至少一部分任意地组合。
[0022]
(1)本公开的一个方式的判定装置搭载于车辆，与多个车载ecu以能够进行通信的方式连接，其中，所述判定装置具备控制部，所述控制部进行关于从所述多个车载ecu发送的数据正当与否的判定的控制，所述数据包含第一数据和第二数据，所述控制部取得从所述多个车载ecu发送的多个所述第一数据和所述第二数据，基于所述第一数据而导出判定用数据，在识别所述第一数据的标识符和识别所述第二数据的标识符的多个组合中，基于所述第二数据和所述判定用数据，确定包含正当的第一数据和第二数据的标识符的正当判定组合以及包含不正当的第一数据或者第二数据的标识符的不正当判定组合，基于在所确定的所述不正当判定组合中包含的多个标识符以及在所述正当判定组合中包含的多个标识符，判定在所确定的所述不正当判定组合中包含的哪一个标识符的第一数据或者第二数据不正当。
[0023]
在本方式中，判定装置基于第一数据、第二数据和判定用数据，在基于识别多个第一数据和第二数据的标识符的多个组合中，确定仅包含正当的第一数据和第二数据的标识符的正当判定组合以及包含不正当的第一数据或者第二数据的标识符的不正当判定组合。因此，判定装置能够在相互具有关联性的多个数据中，确定正当的数据。判定装置基于在不正当判定组合中包含的标识符的第一数据或者第二数据以及所确定的正当的数据(在正当判定组合中包含的标识符的第一数据和第二数据)，判定在不正当判定组合中包含的标识符的第一数据或者第二数据中的哪一个数据不正当。因此，即使在对相互具有关联性的多个数据中的某一个数据进行了攻击的情况下，也能够确定由于该攻击而成为不正当的数据。
[0024]
(2)关于本公开的一个方式的判定装置，所述多个组合分别包含用于对多个所述第一数据分别进行识别的多个标识符以及所述第二数据的标识符，同一标识符重复地包含在两个以上的所述组合中。
[0025]
在本方式中，组合分别通过基于表示多个第一数据的每一个的多个标识符以及单
个第二数据的标识符的数据集而构成，同一标识符重复地包含在两个以上的组合中。因此，基于某一个标识符，能够使这些组合相互连成一串地相关联，能够使用在被判定为正当判定组合的组合中包含的第一数据或者第二数据的标识符，高效地进行在其他组合中包含的标识符的第一数据和第二数据的判定。
[0026]
(3)关于本公开的一个方式的判定装置，所述控制部在基于所述多个组合中的某一个组合中包含的标识符的第一数据而导出的判定用数据与所述某一个组合中包含的标识符的第二数据的差异在规定值以内的情况下，确定为所述某一个组合是正当判定组合。
[0027]
在本方式中，判定装置在多个组合的各个组合中，在基于某一个组合中包含的多个第一数据而导出的判定用数据与该组合中包含的第二数据的差异在规定值以内的情况下，确定为该组合是正当判定组合。这样，在多个组合的各个组合中，判定在该组合中包含的第一数据和第二数据正当与否，所以能够高效地进行针对各个组合的判定。规定值是在对判定用数据与第二数据进行比较时，在基于判定装置的判定处理的精度上，用于判定判定用数据与第二数据实质上是同一值的阈值。
[0028]
(4)关于本公开的一个方式的判定装置，所述控制部在基于所述多个组合中的某一个组合中包含的标识符的第一数据而导出的判定用数据与所述某一个组合中包含的标识符的第二数据的差异大于规定值的情况下，确定为所述某一个组合是不正当判定组合。
[0029]
在本方式中，判定装置在多个组合的各个组合中，在基于在组合中包含的多个第一数据而导出的判定用数据与该组合中包含的第二数据的差异大于规定值的情况下，确定为该组合是不正当判定组合。这样，在多个组合的各个组合中，判定在该组合中包含的第一数据和第二数据正当与否，所以能够高效地进行对各个组合的判定。
[0030]
(5)关于本公开的一个方式的判定装置，所述控制部在所述不正当判定组合中包含的标识符中，将与在所述正当判定组合中包含的标识符不同的标识符的第一数据或者第二数据判定为不正当的数据。
[0031]
在本方式中，在正当判定组合中包含的标识符的第一数据和第二数据已经被判定为是正当的数据。与此相对地，推定在不正当判定组合中包含的标识符的第一数据和第二数据中的某一个数据是不正当的数据。在此，即使是包含在该不正当判定组合中的标识符的第一数据或者第二数据，与在正当判定组合中包含的标识符的第一数据和与第二数据相同的数据，也能够判定为是正当的数据。因此，通过在不正当判定组合中包含的标识符的第一数据和第二数据中，将与在正当判定组合中包含的标识符的第一数据或者第二数据不同的数据判定为不正当的数据，从而能够高效地判定在不正当判定组合中包含的标识符的第一数据和第二数据中的哪一个数据不正当。
[0032]
(6)关于本公开的一个方式的判定装置，所述控制部在所述不正当判定组合中包含的多个第一数据的标识符中，基于除去在其他不正当判定组合中被判定为不正当的数据的标识符后的标识符的第一数据，导出判定用数据，基于该判定用数据以及在所述不正当判定组合中包含的标识符的第二数据，判定在所述不正当判定组合中包含的第一数据以及该第二数据正当与否。
[0033]
在本方式中，在某一个不正当判定组合中包含的标识符的多个第一数据中，基于除去在其他不正当判定组合中被判定为不正当的数据的标识符后的第一数据，导出判定用数据。然后，判定装置基于除去该被判定为不正当的数据后的第一数据、该判定用数据以及
在不正当判定组合中包含的标识符的第二数据，判定第一数据和第二数据正当与否。用于导出判定用数据的第一数据是除去在其他不正当判定组合中被判定为不正当的数据的标识符后的第一数据，所以是正当的数据的可能性高。因此，基于使用除去被判定为不正当的数据后的第一数据来导出的判定用数据以及第二数据，能够高效地进行第一数据和第二数据正当与否的判定。
[0034]
(7)关于本公开的一个方式的判定装置，关于多个组合的信息存储于从本装置能够访问的规定的存储区域中，控制部通过参照规定的存储区域而取得关于多个组合的信息。
[0035]
在本方式中，关于多个组合的信息不仅存储于在判定装置中包含的存储部，例如还存储于与判定装置以能够进行通信的方式连接的外部服务器等从判定装置能够访问的规定的存储区域中，所以能够高效地取得该关于组合的信息。
[0036]
(8)关于本公开的一个方式的判定装置，与构成所述组合的所述标识符对应的所述第一数据和所述第二数据具有相关关系，所述第一数据和所述第二数据的相关系数的绝对值是0.7以上。
[0037]
在本方式中，与构成组合的标识符对应的第一数据和所述第二数据具有相关关系，通过将该第一数据和所述第二数据的相关系数的绝对值的规定值设为0.7，从而能够使用与第一数据之间的相关系数的绝对值是0.7以上的第二数据来判定数据正当与否，能够提高该判定结果的精度。
[0038]
(9)本公开的一个方式的判定程序使计算机执行如下处理：取得从多个车载ecu发送的多个第一数据和第二数据，基于所述第一数据，导出判定用数据，取得关于基于分别识别所述第一数据和所述第二数据的标识符的多个组合的信息，基于所取得的所述第二数据和所导出的所述判定用数据，在所述多个组合中，确定包含正当的第一数据和第二数据的标识符的正当判定组合以及包含不正当的第一数据或者第二数据的标识符的不正当判定组合，基于在所确定的所述不正当判定组合中包含的多个标识符以及在所述正当判定组合中包含的多个标识符，判定在所确定的所述不正当判定组合中包含的哪一个标识符的第一数据或者第二数据不正当。
[0039]
在本方式中，能够使计算机作为判定装置发挥功能。
[0040]
(10)本公开的一个方式的判定方法使计算机执行如下处理：取得从多个车载ecu发送的多个第一数据和第二数据，基于所述第一数据，导出判定用数据，取得关于基于分别识别所述第一数据和所述第二数据的标识符的多个组合的信息，基于所取得的所述第二数据和所导出的所述判定用数据，在所述多个组合中，确定包含正当的第一数据和第二数据的标识符的正当判定组合以及包含不正当的第一数据或者第二数据的标识符的不正当判定组合，基于在所确定的所述不正当判定组合中包含的多个标识符以及在所述正当判定组合中包含的多个标识符，判定在所确定的所述不正当判定组合中包含的哪一个标识符的第一数据或者第二数据不正当。
[0041]
在本方式中，能够提供一种在对相互具有关联性的多个数据中的某一个数据进行了攻击的情况下判定由于该攻击而成为不正当的数据的判定方法。
[0042]
[本公开的实施方式的详细内容]
[0043]
基于表示其实施方式的附图来具体说明本公开。下面，参照附图，说明本公开的实
施方式的判定装置2。此外，本公开不限定于这些示例，通过请求保护的范围来表示，旨在包含与请求保护的范围等同的含义和范围内的全部变更。
[0044]
(实施方式一)
[0045]
下面，基于附图，说明实施方式。图1是示例出包含实施方式一的判定装置2的系统结构的示意图。图2是示例出判定装置2等的内部结构的框图。在车辆c中，搭载有车外通信装置1、判定装置2以及与判定装置2以能够进行通信的方式连接的多个车载ecu3。
[0046]
判定装置2判定这些多个车载ecu3输出(发送)的消息等数据正当与否。判定装置2作为对在这些多个车载ecu3之间发送接收的数据进行中继的例如can网关或者以太网交换机(注册商标)等车载中继装置发挥功能。另外，判定装置2也可以作为经由车外通信装置1而与连接于车外网络n的外部服务器s1(程序提供装置)进行通信的车载中继装置发挥功能。判定装置2也可以作为将从外部服务器s1取得的程序或者数据发送到搭载于车辆c的车载ecu3(electronic control unit，电子控制单元)的重编程主机发挥功能。判定装置2也可以与外部服务器s1协作来进行后述的一序列的判定处理。
[0047]
外部服务器s1是连接于例如互联网或者公共线路网等车外网络n的服务器等计算机，具备基于ram(random access memory，随机存取存储器)、rom(read only memory，只读存储器)或者硬盘等的存储部s11。在外部服务器s1中，由车载ecu3的制造商等制作的用于控制该车载ecu3的程序或者数据被保存于存储部s11。该程序或者数据也可以作为更新程序发送到车辆c，并用于更新搭载于车辆c的车载ecu3的程序或者数据。这样构成的外部服务器s1(程序提供装置)也称为ota(over the air，空中)服务器。搭载于车辆的车载ecu3取得从外部服务器s1通过无线通信发送的更新程序，将该更新程序作为所执行的程序来应用，从而能够对本ecu执行的程序进行更新(重编程)。进一步地，在外部服务器s1的存储部s11中，也可以存储有用于与判定装置2协作来进行一序列的判定处理的程序或者数据。
[0048]
在车辆c中，搭载有车外通信装置1、判定装置2、显示装置5以及用于控制各种车载设备的多个车载ecu3。车外通信装置1与判定装置2例如通过串行缆线等线束，以能够进行通信的方式连接。判定装置2和车载ecu3通过对应于can(controller area network，控制器域网/注册商标)或者tcp/ip等通信协议的车内lan4，以能够进行通信的方式连接。
[0049]
车外通信装置1包含车外通信部11以及用于与判定装置2进行通信的输入输出i/f(接口)12。车外通信部11是用于使用3g、lte、4g、wifi等移动通信的协议来进行无线通信的通信装置，经由连接于车外通信部11的天线13，与外部服务器s1进行数据的发送接收。车外通信装置1与外部服务器s1的通信例如经由公共线路网或者互联网等外部网络来进行。
[0050]
输入输出i/f12是用于与判定装置2进行例如串行通信的通信接口。车外通信装置1与判定装置2经由输入输出i/f12和连接于输入输出i/f12的串行缆线等线束来相互进行通信。在本实施方式中，车外通信装置1设为与判定装置2独立的装置，由输入输出i/f12等将这些装置以能够进行通信的方式连接，但不限定于此。车外通信装置1也可以作为判定装置2的一个结构部位而内置于判定装置2。
[0051]
判定装置2包含控制部20、存储部21、车内通信部23和输入输出i/f24。判定装置2例如是将控制系统的车载ecu3、安全系统的车载ecu3和车身系统的车载ecu3等多个系统的基于通信线41(can总线、以太网(注册商标)缆线)的分段总括而对这些分段之间的车载ecu3彼此的通信进行中继的网关或者以太网交换机等车载中继装置。或者，判定装置2也可
以作为管控车辆c整体的车身ecu的一个功能部而构成。或者，判定装置2也可以作为与车载中继装置独立的装置而构成，并与车载中继装置以能够进行通信的方式连接。判定装置2也可以经由车载中继装置取得车载ecu3输出的消息等数据，判定该数据正当与否。
[0052]
存储部21由ram(random access memory，随机存取存储器)等易失性的存储器元件或rom(read only memory，只读存储器)、eeprom(electrically erasable programmable rom，电可擦除可编程rom)或者闪存存储器等非易失性的存储器元件构成，预先存储有控制程序以及在处理时参照的数据。在存储部21中存储的控制程序也可以存储从判定装置2可读的记录介质22读出的控制程序。另外，也可以从连接于未图示的通信网的未图示的外部计算机下载控制程序，并存储到存储部21。在存储部21中，存储搭载于车辆c的全部车载ecu3的构成信息以及在进行中继处理时使用的路径信息(路由表)。在存储部21中，还存储有后述的关于组合表格的信息。
[0053]
车内通信部23例如是使用can(controller area network，控域网)或者tcp/ip等通信协议的输入输出接口(can收发器)，控制部20经由车内通信部23，与连接于车内lan4的车载ecu3或者其他中继装置等车载设备相互进行通信。车内通信部23设置有多个(在附图上是三个)，分别对车内通信部23连接有构成车内lan4的通信线41。通过这样设置多个车内通信部23，从而将车内lan4分成多个分段，根据该车载ecu的功能(控制系统功能、安全系统功能、车身系统功能)而分别将车载ecu连接到各分段。
[0054]
在车内通信部23使用can的通信协议的情况下，判定装置从车载ecu取得的数据为can消息。在车内通信部23使用tcp/ip的通信协议的情况下，判定装置从车载ecu取得的数据为ip数据包。
[0055]
控制部20由cpu(central processing unit，中央处理单元)或者mpu(micro processing unit，微处理单元)等构成，通过读出预先存储于存储部21的控制程序和数据来执行，从而进行各种控制处理和运算处理等。控制部20接收从与通信线41分别连接的车载ecu3发送的消息等数据，或者对该车载ecu3发送消息等数据，例如作为can控制器发挥功能。另外，控制部20参照在所接收到的消息内包含的can－id等消息标识符，基于所参照的消息标识符(can－id)以及在存储部21中存储的路径信息(路由表)，确定与成为发送目的地的分段对应的车内通信部23。然后，控制部20通过从所确定的车内通信部23发送该接收到的消息，从而作为对该消息进行中继的can网关发挥功能。控制部20作为can控制器发挥功能，但不限定于此。也可以是车内通信部23作为can收发器和can控制器发挥功能。或者，控制部20也可以作为对从车载ecu3发送的ip数据包等数据进行接收和中继处理的第二层或者第三层以太网交换机发挥功能。
[0056]
控制部20通过对从车载ecu3取得(接收)的消息等数据进行解析等，从而判定该数据正当与否。在数据正当与否的判定中，不正当的数据例如是指从由于经由车外通信装置1等从车外侵入的病毒等而成为异常状态的车载ecu3或者被不正当地被交换的车载ecu3等不正当的车载ecu3发送的消息等数据。详细情况在后面叙述，控制部20对所接收到的数据进行解析等来判定正当与否，例如，能够将从冒充正当(正常)的车载ecu3的不正当(异常)的车载ecu3或者从外部受到攻击而成为异常的车载ecu3发送的消息判定为不正当的消息。控制部20确定在判定为不正当的消息等数据中包含的标识符(can－id的消息标识符等)，例如进行禁止包含该确定的标识符的数据的中继处理等防卫处理。
[0057]
车载ecu3包含控制部30、存储部31和车内通信部32。存储部31由ram(random access memory，随机存取存储器)等易失性的存储器元件或rom(read only memory，只读存储器)、eeprom(electrically erasable programmable rom，电可擦除可编程rom)或者闪存存储器等非易失性的存储器元件构成，存储有车载ecu3的程序或者数据。
[0058]
显示装置5例如是汽车导航的显示器等hmi(human machine interface，人机接口)装置。显示装置5通过串行缆线等线束，与判定装置2的输入输出i/f24以能够进行通信的方式连接。在显示装置5中，显示从判定装置2的控制部20经由输入输出i/f24输出的数据或者信息。判定装置2如上所述在判定为所接收到的消息是不正当的消息的情况下，也可以将在该不正当的消息中包含的标识符等信息发送到显示装置5，使显示装置5显示该信息。通过使显示装置5显示该信息，从而能够将检测到不正当的消息的情况通知给车辆c的操作者。显示装置5与判定装置2的连接方式不限定于基于输入输出i/f24等的连接方式，显示装置5与判定装置2也可以是经由车内lan4的连接方式。
[0059]
图3是示例出多个标识符各自的相关性的说明图。图4是关于基于分别识别第一数据和第二数据的标识符的多个组合(组合表格211)的说明图。
[0060]
从车载ecu3输出(发送)的数据包含用于识别该数据的标识符。在从车载ecu3输出的数据例如是can消息的情况下，在can消息的帧中包含的can－id的字段中储存的消息标识符(can－id的编号)相当于标识符。多个标识符的数据相互具有相关关系。具有相关关系表示在某两个标识符的数据中这些数据的相关系数的绝对值是规定值以上。相关系数例如也可以基于关于在can消息或者ip数据包的有效载荷中储存的值或者内容的信息来计算。
[0061]
该规定值例如是0.7，通过将规定值设为0.7，从而能够从输出自取得部201的数据群提取成为相关性较高的状态量的多个数据。在进一步地提高推定精度时，期望将该规定值设为0.9。更加优选的是，该规定值最好设为0.97。相关系数例如能够通过使用算式(相关系数＝多个数据中包含的第一数据的值与多个数据中包含的第一数据以外的第二数据的值的协方差/(第一数据的值的标准偏差
×
第二数据的值的标准偏差))来计算。通过将相关系数各自的绝对值设为规定值以上，从而能够提取在正或者负的相关性中成为相互相关性高的状态量的多个数据。在第二数据相对于第一数据成为负的相关性的情况下，相关系数为负(负数)的值，但通过对该值乘以－1，能够用作成为正的相关性的第二数据。
[0062]
在本实施方式的图示中，例如示出8个标识符中的相关关系。即，在图3和4中，示例出在将该标识符设为can－id的情况下can－id是100、110、120、130、140、150、160和170的消息(数据)之间的相关关系。如图3所示，某一个标识符的消息与其他多个标识符的消息具有相关关系。即，这些多个标识符的消息分别经由其他消息而以连成一串的方式具有相关关系。
[0063]
例如，对于can－id是170的标识符，通过基于经由160和140回归到本标识符(170)的路径以及经由120、150和110回归到本标识符(170)的路径的至少2条路径，具有经由其他消息而连成一串的相关关系。因此，即使在对某一个标识符进行了攻击的情况下，通过使用与在该多条路径连成一串的其他多个标识符的关系，从而也能够判定哪个标识符的数据是不正当的数据，确定该不正当的标识符。
[0064]
图4以表格形式(组合表格211)示出这些多个标识符中的相关关系的组合。此外，在图4中，分别基于这些组合而附注有关于该组合中包含的标识符(第一标识符或者第二标
识符)的数据正当与否的事项，关于该事项，在后面叙述。
[0065]
组合表格211作为管理项目(元数据)例如包含组合no、多个第一标识符、第二标识符。在组合no的项目(字段)中，储存用于确定组合的管理编号。在本实施方式中，作为一个例子，设为将8个标识符(100、110、120、130、140、150、160、170和180)在8个组合(no1至no8)构成的组合表格211。这样，组合的个数也可以设为与作为判定对象的数据的标识符的个数相同的数量。在第二标识符的项目(字段)中，储存作为与后述的判定数据的比较对象的数据的标识符(第二标识符)。在多个第一标识符的各项目(字段)中，储存与第二标识符的数据具有相关关系的数据的标识符(第一标识符)的每一个。包含该第一标识符的每一个的数据是用于导出用于与第二标识符的数据进行比较的判定数据的数据。
[0066]
如上所述，某一个标识符的消息与其他多个标识符的消息具有相关关系，如在组合表格211所示例出的那样，全部标识符分别包含在至少两个以上的组合中。例如，can－id是100的标识符作为第二标识符包含在no.1的组合中，并且作为第一标识符包含在no.1、2和7的组合中。即，标识符的组合分别通过基于表示多个第一数据的每一个的多个标识符以及单个第二数据的标识符的数据集而构成。在此基础上，以将同一标识符重复地包含在至少两个以上的组合中的方式构成该各个组合。
[0067]
组合表格211也可以还包含各个第一标识符与第二标识符的相关系数的绝对值。在相关系数的绝对值的项目(字段)中，储存对应的第一标识符与第二标识符的相关系数或者相关系数的绝对值。
[0068]
在本实施方式中，记载为用于识别数据的标识符是基于can－id的消息标识符，但不限定于此。在车载ecu3和判定装置2所使用的通信协议例如是tcp/ip的情况下，用于识别该数据的标识符也可以基于在ip数据包中包含的发送源地址、发送目的地地址、端口号或者它们的组合的标识符。
[0069]
图5是示例出在判定装置2的控制部20中包含的功能部的功能框图。判定装置2的控制部20通过执行在存储部21中存储的控制程序，从而作为取得部201、输出部202和中继处理部203发挥功能，使判定装置2作为车载中继装置进行动作。进一步地，判定装置2的控制部20通过执行在存储部21中存储的控制程序，从而作为数据分类部204、判定用数据导出部205、比较部206、确定部207和判定部208发挥功能，判定所取得的数据正当与否，在这些数据中包含的标识符中，确定正当的标识符和不正当的标识符。
[0070]
取得部201经由车内通信部23取得从车载ecu3输出(发送)的消息等多个数据。取得部201将所取得的数据输出到中继处理部203和数据分类部204。
[0071]
中继处理部203通过参照在存储部21中存储的路径信息，从而基于在所取得的消息等数据中包含的can－id或者发送目的地地址来确定成为该数据的中继目的地的车内通信部23，将该数据输出到输出部202。
[0072]
输出部202将从中继处理部203输出的数据经由被确定为中继目的地的车内通信部23输出，通过这些取得部201、中继处理部203和输出部202进行数据中继处理。
[0073]
数据分类部204经由取得部201取得从车载ecu3输出(发送)的消息等多个数据。数据分类部204参照在存储部21中存储的组合表格211，基于在各个组合中包含的第一标识符和第二标识符，将所取得的多个数据分类(区分)为包含每个组合中的第一标识符的数据(第一数据)以及包含第二标识符的数据(第二数据)。如上所述，数据分类部204例如将在
can消息中包含的can－id或者在ip数据包中包含的发送目的地地址等用作标识符(第一标识符或者第二标识符)。通过这样将在中继处理中使用的can－id(can消息)或者发送目的地地址等(ip数据包)用作用于识别数据的标识符，从而能够作为附随于中继处理的处理而进行该数据的识别，能够抑制判定装置2的处理负荷增加。
[0074]
数据分类部204在每个组合中分别进行第一数据和第二数据的分类(区分)。即，数据分类部204在各组合中，生成由多个第一数据和第二数据构成的数据集。
[0075]
数据分类部204在全部的各个组合中，将在每个组合(一个组合)中包含的多个第一标识符的第一数据输出到判定用数据导出部205，并且将在该每个组合(一个组合)中包含的第二标识符的第二数据输出到比较部206。即，数据分类部204在多个组合中，与组合的个数相应地，依次或者逐次重复进行将在一个组合中包含的第一标识符的第一数据输出到判定用数据导出部205并且将在该一个组合中包含的第二标识符的第二数据输出到比较部206的处理。
[0076]
判定用数据导出部205基于从数据分类部204输出的各组合各自的第一数据来导出判定用数据。即，判定用数据导出部205例如通过使用将包括在no1的组合中包含的多个第一标识符(120、130、140)的第一数据分别作为输入值、并将判定用数据作为输出值而输出的转换函数，从而导出与包括在该no1的组合中包含的第二标识符(100)的第二数据对应的判定用数据。或者，判定用数据导出部205例如也可以通过以在输入了多个第一数据的情况下输出判定用数据的方式进行学习而得到的dnn(deep neural network，深度神经网络)等学习模型而构成。判定用数据导出部205例如也可以包含dnn等学习模型，将多个第一数据输入到该学习模型，取得从学习模型输出的判定用数据，从而导出判定用数据。这样具有相关关系的第一标识符的第一数据与第二标识符的第二数据经由判定用数据而处于对应关系，在将第二标识符设为作为免受攻击的保护对象的保护canid的情况下，第一标识符相当于在推定第二标识符的数据时与该第二标识符关联的关联canid。判定用数据导出部205将所导出的判定用数据输出到比较部206。
[0077]
比较部206在全部的各个组合中，对从判定用数据导出部205取得的判定用数据与从数据分类部204输出的第二数据进行比较。比较部206例如将关于判定用数据和第二数据是否一致的信息、或者判定用数据与第二数据的差异是否在规定以内等关于该差异的信息作为比较结果输出到确定部207。
[0078]
确定部207在判定用数据与第二数据一致等，判定用数据与第二数据的差异在规定值以内的情况下，判定为作为该判定用数据的原始数据的多个第一数据和第二数据是正当(正常)的数据，将包含该第一数据的第一标识符和第二数据的第二标识符的组合确定为正当判定组合。该规定值是在对判定用数据与第二数据进行比较时，在基于判定装置2的判定处理的精度上，用于判定判定用数据与第二数据实质上是同一值的阈值。
[0079]
确定部207在判定用数据与第二数据不一致等，判定用数据与第二数据的差异大于规定值的情况下，判定为作为该判定用数据的原始数据的多个第一数据或者第二数据是不当(异常)的数据，将包含该第一数据的第一标识符和第二数据的第二标识符的组合确定为不正当判定组合。确定部207将多个组合各自中的确定结果、即确定每个组合是正当判定组合或者是不正当判定组合的结果输出到判定部208。
[0080]
判定部208取得从确定部207输出的多个组合各自中的确定结果。判定部208通过
参照组合表格211，从而在多个组合的每一个中，取得关于每个组合包含的第一标识符和第二标识符的信息。判定部208判定为在正当判定组合中包含的第一标识符和第二标识符是正当(正常)的标识符，包含该标识符的数据是正当(正常)的数据。
[0081]
如在本实施方式的图3中示例出的那样，例如在100和140的标识符的数据受到攻击而成为不正当的数据的情况下，在不包含该不正当的数据的标识符(100、140)的组合即组合no6中，判定用数据与第二数据的差异在规定值以内。即，判定为在该组合no6中包含的第一标识符(120、130)和第二标识符(150)的数据是正当(正常)的数据。
[0082]
与此相对地，在将100和140的标识符作为第一标识符或者第二标识符而包含的其他组合(no1、2、3、4、5、7和8)中，判定用数据与第二数据的差异大于规定值，暂时判定为该第一标识符或者第二标识符的数据是不正当(异常)的数据。如上所述，这些其他组合被确定为不正当判定组合。
[0083]
当在该不正当判定组合中包含的第一标识符和第二标识符中除去作为在正当判定组合中包含的第一标识符和第二标识符而已经被判定为正当(正常)的标识符之后的结果是残留有单个标识符的情况下，判定部208将该残留的标识符判定(确定)为不正当的标识符。在本实施方式中，例如在组合no4中包含的第一标识符(120、140)和第二标识符(130)中，120和130的标识符是也包含在作为正当判定组合的组合no6中的标识符，已经被判定为正当(正常)的标识符。因此，140的标识符相当于除去被判定为正当(正常)的标识符之后残留的单个标识符。即，由于140的标识符是不正当的，所以组合no4中的判定数据与第二标识符的第二数据的差异不在规定值以内，该组合no4被确定为不正当判定组合。
[0084]
判定部208当在不正当判定组合中除去已经判定为正当的标识符之后的结果是残留有单个标识符的情况下，判定为该残留的标识符是不正当的标识符，包含该不正当的标识符的数据是不正当的数据。这样，判定部208能够基于在正当判定组合中包含的多个标识符，高效地判定在不正当判定组合中包含的哪个标识符的第一数据或者第二数据是不正当的。
[0085]
判定部208通过将关于不正当判定组合和判定为不正当的标识符的信息输出到判定用数据导出部205，从而进行循环处理。即，关于不正当判定组合以及判定为不正当的标识符的信息从判定部208被反馈到判定用数据导出部205，再次执行基于判定用数据导出部205的导出判定用数据的处理。
[0086]
判定用数据导出部205取得从判定部208输出的关于不正当判定组合以及判定为不正当的标识符的信息。判定用数据导出部205在各个不正当判定组合中，基于包含从该不正当判定组合的多个第一标识符除去已经判定为不正当的标识符后的第一标识符的第一数据，导出判定用数据。
[0087]
在本实施方式中，例如在组合no8中包含的第一标识符(110、140)中，140的标识符已经被判定为不正当的标识符，基于除去该不正当的标识符(140)后的第一标识符(110)，导出判定用数据。通过这样基于除去已经被判定为不正当的标识符后的第一标识符的第一数据，能够导出与第二标识符的第二数据的差异在规定值以内的可能性高的判定用数据。
[0088]
比较部206、确定部207和判定部208基于判定用数据导出部205再次导出的判定用数据，进行与上次的处理相同的处理，在各个不正当判定组合中，对于除去判定为不正当的标识符后的第一标识符和第二标识符的正当与否进行判定。比较部206对基于除去判定为
不正当的标识符后的第一标识符而导出的判定用数据与第二标识符的第二数据进行比较，作为比较结果，将该判定用数据与第二标识符的第二数据的差异是否在规定值以内等关于该差异的信息输出到判定部208。
[0089]
判定部208在基于除去判定为不正当的标识符后的第一标识符而导出的判定用数据与第二标识符的第二数据一致等差异在规定值以内的情况下，判定为除去判定为不正当的标识符后的第一标识符和第二标识符是正当的标识符，包含该正当的标识符的数据是正当的数据。判定部208通过递归地重复进行这样的判定处理，从而能够追加判定为正当的标识符，使正当的标识符即可信赖的标识符的个数增加。判定部208再次当在不正当判定组合中除去判定为正当的标识符之后的结果是残留有单个标识符的情况下，判定为该残留的标识符是不正当的标识符，包含该不正当的标识符的数据是不正当的数据。判定部208等通过对分别在多个组合中包含的全部标识符的数据重复进行该处理，从而判定这些全部标识符正当与否。
[0090]
判定部208将关于标识符的判定结果的信息输出到显示装置5。通过将该关于判定结果的信息输出到显示装置5，从而能够将例如某一个标识符的数据受到攻击而成为不正当(异常)的情况通知给车辆c的操作者。判定部208将关于判定为不正当的标识符的信息或者禁止判定为不正当的标识符的数据的中继的信号(中继禁止信号)输出到中继处理部203。通过将该中继禁止信号等输出到中继处理部203，从而能够禁止受到攻击而成为不正当(异常)的标识符的数据的中继，进行对于该不正当的数据的防御处置。
[0091]
数据分类部204、判定用数据导出部205、比较部206、确定部207和判定部208作为判定装置2的控制部20中的功能部而进行了说明，但不限定于此。这些功能部中的一部分功能部也可以作为与判定装置2以能够进行通信的方式连接的外部服务器s1等云服务器或者搭载于车辆c的车载计算机的一个功能部而构成，判定装置2与外部服务器s1或者车载计算机等协作而进行这些功能部中的一序列的处理。
[0092]
图6是示例出判定装置2的控制部20的处理的流程图。判定装置2的控制部20在车辆cc是启动状态(ig开关接通)或者停止状态(ig开关断开)时，始终进行以下的处理。
[0093]
判定装置2的控制部20取得从车载ecu3发送的多个数据(第一数据和第二数据)(s101)。控制部20取得从车载ecu3发送的多个数据。控制部20取得的数据是根据基于标识符的多个组合而分类为在每个组合中包含的第一标识符的第一数据或者第二标识符的第二数据的数据。因此，控制部20取得的数据包含每个组合中的第一数据和第二数据。
[0094]
判定装置2的控制部20取得关于基于分别识别第一数据和第二数据的标识符的多个组合的信息(s102)。控制部20参照存储部21，取得在该存储部21中存储的关于多个组合的信息。关于多个组合的信息例如也可以存储于外部服务器s1的存储部21等、判定装置2的控制部20能够访问的规定的存储区域中，控制部20通过经由车外通信装置1而与外部服务器s1进行通信，从而从该外部服务器s1取得关于多个组合的信息。
[0095]
判定装置2的控制部20基于多个组合各自中的第一数据，导出相当于多个组合各自中的第二数据的判定用数据(s103)。控制部20基于多个组合中的每个组合包含的第一标识符的第一数据，导出判定用数据。控制部20提取在所取得的数据中包含的can－id等标识符，将所提取出的标识符是与在组合中包含的第一标识符相同的标识符的数据确定为第一数据。控制部20提取在所取得的数据中包含的can－id等标识符，将所提取出的标识符是与
在组合中包含的第二标识符相同的标识符的数据确定为第二数据。
[0096]
每个组合包含多个第一标识符，所以控制部20基于该多个第一标识符来确定多个第一数据。控制部20将所确定的多个第一数据输入到例如转换函数等，导出与第二数据对应的判定用数据。控制部20在多个组合的每一个中，导出与每个组合中的第二数据对应的判定用数据。
[0097]
判定装置2的控制部20判定多个组合各自中的第二数据和判定用数据的差异是否在规定值以内(s104)。控制部20在多个组合的每一个中，按每个组合，进行第二数据与判定用数据是否一致、或者第二数据和判定用数据的差异是否在规定值以内的判定。该规定值是在对判定用数据与第二数据进行比较时，在基于判定装置2的判定处理的精度上，用于判定判定用数据与第二数据实质上是同一值的阈值。或者，控制部20也可以以判定用数据和第二数据的一致度为基准，如果该一致度是规定值以上，则判定为判定用数据与第二数据实质上是同一值。
[0098]
在差异是规定值以下的情况下(s104：“是”)，判定装置2的控制部20确定包含正当的第一数据和第二数据的标识符的正当判定组合(s105)。在差异是规定值以下的情况下，控制部20将包含作为判定用数据的原始数据的表示多个第一数据的第一标识符和表示第二数据的第二标识符的组合确定为正当判定组合。即，判定为在正当判定组合中包含的第一标识符和第二标识符是正当的标识符，包含该正当的标识符的数据是正当的数据。
[0099]
在差异不是规定值以下的情况下(s104：“否”)，即在差异大于规定值的情况下，判定装置2的控制部20确定包含不正当的第一数据或者第二数据的标识符的不正当判定组合(s1051)。在差异大于规定值的情况下，控制部20将包含作为判定用数据的原始数据的表示多个第一数据的第一标识符和表示第二数据的第二标识符的组合确定为不正当判定组合。即，判定为不正当判定组合中包含的第一标识符和第二标识符中的某一个标识符是不正当的标识符，该不正当的标识符数据是不正当的数据。
[0100]
判定装置2的控制部20提取判定为正当或者不正当的第一数据或者第二数据的标识符(s106)。控制部20将在正当判定组合中包含的表示第一数据和第二数据的标识符判定(确定)为正当的标识符并提取。控制部20当在不正当判定组合中包含的表示第一数据和第二数据的标识符中除去已经判定为正常的标识符之后的结果是残留有单个标识符的情况下，将该残留的标识符判定(确定)为不正当的标识符并提取。因此，能够基于在正当判定组合中包含的多个标识符，判定所确定的不正当判定组合中包含的哪个标识符的第一数据或者第二数据是不正当的并提取。
[0101]
判定装置2的控制部20基于在不正当判定组合中包含的多个第一数据的标识符中除去在其他不正当判定组合中被判定为不正当的数据的标识符后的第一数据，导出判定用数据(s107)。控制部20在各个不正当判定组合中，基于包含从该不正当判定组合的第一标识符除去已经判定为不正当的标识符后的第一标识符的数据，再次导出判定用数据。通过基于除去已经被判定为不正当的标识符后的第一标识符的数据，从而控制部20能够导出与第二标识符的数据的差异在规定值以内的可能性高的判定用数据。
[0102]
判定装置2的控制部20判定在不正当判定组合中包含的第二数据和所导出的判定用数据的差异是否在规定值以内(s108)。控制部20与上述处理s104同样地，对在不正当判定组合中包含的第二数据与基于除去已经被判定为不正当的标识符后的第一标识符的数
据而导出的判定用数据进行比较，判定第二数据和判定用数据的差异是否在规定值以内。
[0103]
在差异是规定值以下的情况下(s108：“是”)，判定装置2的控制部20将第一数据和第二数据的标识符判定为正当(s109)。控制部20在各个不正当判定组合中，判定为除去已经被判定为不正当的标识符后的第一标识符和第二标识符是正当的标识符，包含该正当的标识符的数据是正当的数据。控制部20通过递归地重复进行这样的判定处理，从而能够追加判定为正当的标识符，使正当的标识符即可信赖的标识符的个数增加。
[0104]
在差异不是规定值以下的情况下(s108：“否”)，即在差异大于规定值的情况下，判定装置2的控制部20将第一数据或者第二数据的标识符判定为不正当(s1091)。控制部20在各个不正当判定组合中，判定为除去已经被判定为不正当的标识符后的第一标识符和第二标识符中的某一个标识符是不正当的标识符，该不正当的标识符的数据是不正当的数据。
[0105]
判定装置2的控制部20判断是否关于全部标识符进行了判定(s110)。控制部20将在多个组合中包含的全部标识符的数据的正当与否的判定结果存储于存储部21，参照该判定结果，判断是否关于全部标识符进行了判定。
[0106]
在未判定全部标识符的情况下(s110：“否”)，控制部20通过再次执行从s107起的处理，对s107至s110进行循环处理。控制部20通过递归地重复进行s107和s108等判定处理，从而能够追加判定为正当的标识符，使正当的标识符即可信赖的标识符的个数增加。控制部20在各个不正当判定组合中，在除去已经被判定为正当(正常)的标识符后的结果是残留有单个标识符的情况下，将该残留的标识符判定为不正当的标识符，从而能够可靠地确定不正当的标识符，使所确定的不正当的标识符个数增加。
[0107]
在判定了全部标识符的情况下(s110：“是”)，控制部20将判定结果输出到显示装置5等(s111)。通过将关于该判定结果的信息输出到显示装置5，从而能够将在具有相关关系的多个标识符中例如每个标识符正当与否的状态或者某一个标识符的数据受到攻击而成为不正当(异常)的情况通知给车辆c的操作者。控制部20也可以将禁止判定为不正当的标识符的数据的中继的信号(中继禁止信号)输出到中继处理部203。通过将该中继禁止信号等输出到中继处理部203，从而禁止受到攻击而成为不正当(异常)的标识符的数据的中继，能够进行对于由于该不正当的数据的攻击的防御处置。
[0108]
根据本实施方式，判定装置2基于所确定的不正当判定组合中包含的第一标识符的第一数据和第二标识符的第二数据以及所确定的正当判定组合中包含的第一标识符的第一数据和第二标识符的第二数据，判定在不正当判定组合中包含的标识符的第一数据或者第二数据中的哪一个数据不正当。因此，在包含相互具有关联性的多个标识符的各个数据中，即使在对某一个数据进行了攻击的情况下，也能够确定由于该攻击而成为不正当的数据的标识符。
[0109]
根据本实施方式，组合分别由基于表示多个第一数据中的各个第一数据的多个第一标识符和表示单个第二数据的第二标识符的数据集而构成，同一标识符重复地包含在两个以上的组合中。基于某一个标识符，能够使这些组合相互连成一串地相关联，能够使用在被判定为正当判定组合的组合中包含的第一数据的第一标识符或者第二数据的第二标识符，高效地进行在其他组合中包含的标识符的第一标识符和第二标识符的判定。
[0110]
根据本实施方式，基于在某一个不正当判定组合中包含的第一标识符中除去在其他不正当判定组合中被判定为不正当的数据的标识符后的第一标识符的第一数据，再次导
出判定用数据。然后，判定装置2再次基于所导出的该判定用数据与该某一个不正当判定组合中包含的第二标识符的第二数据的差异，重复执行判定除去被判定为不正当的数据的标识符后的第一标识符和第二标识符正当与否的处理。因此，能够高效地进行对于分别在多个组合中包含的全部标识符的正当与否判定，能够在相互具有相关关系的多个标识符中确定哪一个标识符不正当。
[0111]
应该认为，本次公开的实施方式在所有方面都是示例性的，而非限制性的。本发明的范围不通过上述含义而是通过请求保护的范围来表示，旨在包含与请求保护的范围等同的含义和范围内的全部变更。
[0112]
标号说明
[0113]cꢀꢀꢀꢀꢀ
车辆；
[0114]
s1
ꢀꢀꢀꢀ
外部服务器；
[0115]
s11
ꢀꢀꢀ
存储部；
[0116]1ꢀꢀꢀꢀꢀ
车外通信装置；
[0117]
11
ꢀꢀꢀꢀ
车外通信部；
[0118]
12
ꢀꢀꢀꢀ
输入输出i/f；
[0119]
13
ꢀꢀꢀꢀ
天线；
[0120]2ꢀꢀꢀꢀꢀ
判定装置(车载中继装置)；
[0121]
20
ꢀꢀꢀꢀ
控制部；
[0122]
201
ꢀꢀꢀ
取得部；
[0123]
202
ꢀꢀꢀ
输出部；
[0124]
203
ꢀꢀꢀ
中继处理部；
[0125]
204
ꢀꢀꢀ
数据分类部；
[0126]
205
ꢀꢀꢀ
判定用数据导出部；
[0127]
206
ꢀꢀꢀ
比较部；
[0128]
207
ꢀꢀꢀ
确定部；
[0129]
208
ꢀꢀꢀ
判定部；
[0130]
21
ꢀꢀꢀꢀ
存储部；
[0131]
211
ꢀꢀꢀ
组合表格；
[0132]
22
ꢀꢀꢀꢀ
记录介质；
[0133]
23
ꢀꢀꢀꢀ
车内通信部；
[0134]
24
ꢀꢀꢀꢀ
输入输出i/f；
[0135]3ꢀꢀꢀꢀꢀ
车载ecu；
[0136]
30
ꢀꢀꢀꢀ
控制部；
[0137]
31
ꢀꢀꢀꢀꢀ
存储部；
[0138]
32
ꢀꢀꢀꢀꢀ
车内通信部；
[0139]4ꢀꢀꢀꢀꢀꢀ
车内lan；
[0140]
41
ꢀꢀꢀꢀꢀ
通信线；
[0141]5ꢀꢀꢀꢀꢀꢀ
显示装置。