不正当检测服务器及其所执行的方法
1.本技术是申请日为2018年11月19日、申请号为201880008793.8、发明名称为“电子控制装置、不正当检测服务器、车网络系统、车载网络监视系统以及车载网络监视方法”的发明专利申请的分案。
技术领域
2.本发明涉及电子控制装置、不正当检测服务器、车载网络系统、车载网络监视系统以及车载网络监视方法。
背景技术:
3.近几年在汽车内的系统中,设置了多个被称为电子控制单元(以下为ecu:electronic control unit)的装置。将连接这些ecu的网络称为车载网络。在车载网络中有很多标准,其中最主流的车载网络之一是controller area network(以后称为can:控制器局域网络)的标准。
4.在can中不存在设想发送不正当帧的情况下的安全性功能,所以可能发生不正当节点擅自与can的总线连接,发送不正当帧,从而不正当地控制车辆。
5.在专利文献1中公开了将与发送到车载网络的帧有关的信息,加载到不正当检测服务器,从而算出在车载网络发送的帧的异常级的方法。
6.(现有技术文献)
7.(专利文献)
8.专利文献1∶日本特开2017-111796号公报
技术实现要素:
9.发明要解决的问题
10.然而,在专利文献1的方法中,与车载网络有关的信息从多个车辆加载时,网络的通信量、或者不正当检测服务器的处理负载增加。不正当检测服务器的处理负载的增加,在电力使用的观点上不是优选,并且在成为不正当事件检测延迟的原因的观点上也不是优选。
11.于是,本发明提供电子控制装置等,即使从多个车辆向车辆不正当检测服务器加载了与车载网络有关的信息,也可以抑制不正当检测服务器的处理负载的增加。
12.解决课题所采用的手段
13.为了达到上述目的,本发明的一个方案涉及的不正当检测服务器,具备:存储器,保持通知信息,所述通知信息包含一个以上的车辆的优先级、以及与包括车载网络的车载网络系统有关的信息;以及日志分析部,根据所述存储器所保持的与所述车载网络系统有关的信息,分析在所述车载网络系统是否发生了不正当,所述通知信息所包含的所述优先级越大,则所述日志分析部越优先地对所述通知信息所包含的与所述车载网络系统有关的信息进行分析,所述日志分析部在所述优先级为第一规定值以下的情况下,禁止对与所述
车载网络系统有关的信息进行分析,所述日志分析部在所述优先级为第二规定值以上的情况下,向外部委托对所述车载网络系统的不正当进行对应处理。
14.另外,这些概括或者具体的方案,可以通过系统、方法、集成电路、计算机程序或者计算机可读取的cd-rom等记录介质来实现,也可以任意组合系统、方法、集成电路、计算机程序以及记录介质来实现。
15.发明效果
16.通过本发明,电子控制装置即使从多个车辆加载了与车载网络有关的信息,也可以抑制不正当检测服务器的处理负载的增加。
附图说明
17.图1是示出实施方式1中的车载网络监视系统的全体构成的图。
18.图2是示出实施方式1中的车载网络系统的全体构成的图。
19.图3是示出实施方式1中的不正当检测服务器的构成的图。
20.图4是示出实施方式1中的车辆信息数据库中存放的车辆信息的例子的图。
21.图5是示出实施方式1中的车辆日志存放数据库中存放的车辆日志的例子的图。
22.图6是示出实施方式1中的分析结果存放数据库中存放的分析结果的例子的图。
23.图7是示出实施方式1中的安全信息数据库中存放的安全信息的例子的图。
24.图8是示出实施方式1中的网关的构成的图。
25.图9是示出实施方式1中的规则保持部的优先级规则的例子的图。
26.图10是示出实施方式1中的车辆与不正当检测服务器之间的处理序列的例子的图。
27.图11是示出实施方式1中的不正当检测服务器的车辆日志分析处理的流程图。
28.图12是示出实施方式2中的车载网络系统的构成的图。
29.图13是示出实施方式2中的网关的构成的图。
30.图14是示出实施方式2中的不正当通知帧的例子的图。
31.图15是示出实施方式2中的不正当检测规则保持部中存放的不正当检测规则的例子的图。
32.图16是示出实施方式2中的ecu的构成的图。
33.图17是示出实施方式2中的优先级规则保持部中存放的优先级规则的例子的图。
34.图18是示出实施方式2中的帧接收履历保持部中存放的帧接收履历的例子的图。
35.图19是示出实施方式2中的网关的帧接收时的处理的流程图。
36.图20是示出实施方式2中的ecu的处理的流程图。
37.图21是示出实施方式2中的车辆与不正当检测服务器之间的正常时的处理序列的图。
38.图22是示出实施方式2中的车辆与不正当检测服务器之间的不正当检测时的处理序列的第一例的图。
39.图23是示出实施方式2中的车辆与不正当检测服务器之间的不正当检测时的处理序列的第二例的图。
40.图24是示出实施方式2中的车辆与不正当检测服务器之间的不正当检测时的处理
序列的第三例的图。
41.图25是示出其他变形例(6)中的车载网络监视系统的整体概要的图。
42.图26是其他变形例(7)中的不正当检测服务器的处理流程图。
43.图27是示出其他变形例(8)中的车载网络系统的概要的图。
具体实施方式
44.本发明的一个方案涉及的电子控制装置,将与车载网络系统有关的信息,通知给车辆外部的不正当检测服务器,该车载网络系统包括车载网络,所述电子控制装置具备:优先级决定部,利用如下的一个以上来决定优先级,即搭载所述车载网络系统的车辆的状态、在所述车载网络进行通信的消息的标识符、以及所述消息的不正当检测结果;第一通信部,对在所述车载网络进行通信的消息进行收发;车辆日志提取部,根据由所述第一通信部接收的所述消息,提取与所述车载网络有关的信息;以及第二通信部,将通知信息通知给所述不正当检测服务器,所述通知信息包括所述优先级、以及与所述车载网络有关的信息。
45.从而,电子控制装置,将与车载网络系统有关的信息与优先级一同加载到设置在车外的不正当检测服务器。从而,不正当检测服务器,能够掌握与车辆内部的状况相对应的通知信息的优先级。而且,在不正当检测服务器中,能够进行按照优先级的分析等处理,分配给分析的计算资源的判断以及有效的分析、针对应该对应的优先级高的通知信息的即时对应,所以很有效。
46.换句话说,即使车载网络系统中的不正当检测装置接收的、与车载网络有关的信息增加,但是从车载网络通知的信息中包括示出优先级的信息,所以不正当检测装置,能够按照优先级示出的信息,进行对所述信息的处理。因而,既能够抑制不正当检测装置的处理负载,又能够即时检测不正当事件。这样,电子控制装置,即使在从多个车辆向不正当检测服务器加载与车载网络有关的信息时,也能够抑制不正当检测服务器的处理负载的增大。
47.例如可以是,所述车辆的状态是以由所述第一通信部接收的所述消息为基础而算出的信息,是包括所述车辆的速度、所述车辆的加速度、所述车辆的操舵角度、所述车辆的驾驶支援功能的动作状况、以及所述车载网络的频带占有率中的一个以上的信息。
48.从而,反映了车辆的行驶状态或者风险比较高的状况的优先级,发送到不正当检测服务器。而且,在风险更高的状况下,不正当检测服务器的处理优先级提高,所以安全性提高。
49.例如可以是,所述优先级决定部,在由所述消息的标识符而决定的所述消息的种类,包括如下消息中的任一个的情况下,决定为更高的所述优先级,所述消息是与驾驶支援以及自动驾驶有关的控制消息、与搭载在所述车辆上的电子控制装置的固件更新有关的消息、与所述车辆的行驶状态通知有关的消息、以及所述车辆的诊断用消息。
50.从而,反应了示出对车辆控制影响更高的消息的信息的优先级,发送到不正当检测服务器。而且,在风险更高的消息的情况下,在不正当检测服务器的处理优先级提高,所以安全性提高。
51.例如可以是,所述不正当检测结果包括消息认证码的验证结果,该消息认证码的验证结果包括在所述车载网络进行通信的消息中,所述优先级决定部,在所述消息认证码的验证结果为不正当的情况下,决定为更高的所述优先级。
52.从而,反映了在车辆内部发生的不正当的状况的优先级,发送到不正当检测服务器。而且,在风险更高的不正当的状况下,不正当检测服务器中的处理优先级提高,所以安全性提高。
53.例如可以是,所述电子控制装置还具备不正当检测部,所述不正当检测部,对在所述车载网络进行通信的消息的不正当进行检测,所述消息的不正当检测结果是示出所述不正当检测部是否检测出所述消息的不正当的信息,所述优先级决定部,在所述不正当检测结果示出检测出所述消息的不正当的情况下,决定为更高的所述优先级。
54.从而,反应了在车辆内部发生的不正当的状况的优先级发送到不正当检测服务器。而且,在风险更高的不正当的消息的情况下,不正当检测服务器中的处理优先级提高,所以安全性提高。
55.例如可以是,所述通知信息包括与所述车载网络有关的信息涉及的所述消息的标识符,与所述车载网络有关的信息包括在所述通知信息中,所述第二通信部,保持过去向所述不正当检测服务器进行通知的过去的通知信息,在向所述不正当检测服务器通知新的通知信息之前,在所述过去的通知信息中,所述新的通知信息包括的与所述车载网络有关的信息涉及的所述消息的标识符、所述消息的不正当检测结果、以及所述优先级中的规定的一部分一致的情况下,禁止将所述通知信息通知给所述不正当检测服务器。
56.从而,能够避免同种的通知信息重复地通知给不正当检测服务器。其结果,能够实现网络的通信频带的削减以及服务器的处理负载减轻,所以有效。
57.例如可以是,所述第二通信部,在所述优先级为第一规定值以下的情况下,进行以下处理中的任一个处理,禁止向不正当检测服务器通知所述通知信息的处理、以及以具有规定的通信间隔的第一定时,向不正当检测服务器通知所述通知信息的处理,在所述优先级为第二规定值以上的情况下,以与所述第一定时不同的第二定时,向不正当检测服务器通知所述通知信息。
58.从而,能够将优先级比较高的通知信息即时通知给不正当检测服务器,针对高风险的状况,能够期待进行即时分析以及对应,所以有效。
59.此外,本公开的一个方案涉及的不正当检测服务器,从一个以上的车辆接收通知信息,该通知信息包括与车载网络系统有关的信息,所述车载网络系统包括车载网络,所述不正当检测服务器具备:第三通信部,从所述一个以上的车辆接收通知信息,所述通知信息包括优先级以及与所述车载网络系统有关的信息;以及日志分析部,根据与所述车载网络系统有关的信息,分析在所述车载网络系统是否发生了不正当,所述日志分析部,在所述通知信息包括的所述优先级越大时,更优先地对所述通知信息包括的与所述车载网络系统有关的信息进行分析。
60.从而,不正当检测服务器能够掌握按照车辆内部的状况的通知信息的优先级。而且,在不正当检测服务器,能够进行按照优先级的分析等处理,能够进行分配给分析的计算资源的判断以及有效的分析、以及针对应该对应的优先级高的通知信息的即时对应,所以有效。
61.例如可以是,所述日志分析部,在所述通知信息包括的所述优先级越大时,使与所述车载网络有关的信息的分析顺序更早、使分配给与所述车载网络有关的信息的分析的计算资源更大、或者在判断是否执行与所述车载网络有关的信息的分析时,判断为更优先地
执行。
62.从而,不正当检测服务器按照优先级的大小更具体地决定与车载网络有关的信息的分析的顺序、分配给该分析的计算资源的大小、是否执行该分析,从而控制分析的处理。
63.例如可以是,所述不正当检测服务器还具备对应部,所述对应部,对所述车载网络的不正当进行对应处理,所述日志分析部,在所述优先级为第一规定值以下的情况下,禁止对与所述车载网络有关的信息进行分析,所述对应部,在所述优先级为第二规定值以上的情况下,对所述车载网络的不正当进行对应处理。
64.从而,以预先规定的阈值为基础,能够进行按照优先级的分析等处理。而且,能够进行分配给分析的计算资源的判断以及有效的分析、以及针对应该对应的优先级高的通知信息的即时对应,所以有效。
65.例如可以是,所述对应部,作为针对所述一个以上的车辆中的车辆具备的所述车载网络的不正当的对应,进行如下的任一个以上:(a)对不正当检测服务器外部的管理者通知发生了不正当、(b)对所述车辆通知使驾驶支援功能以及自动驾驶功能无效化的控制信号、(c)所述车辆包括的加密密钥信息的更新、(d)对所述车辆通知向功能安全模式转移、(e)对所述车辆通知向远程控制模式转移、(f)与在所述车辆外部的操作员通话、(g)所述车辆包括的信息类系统的强行终止、以及(h)所述车辆包括的电子控制装置的固件的更新。
66.从而,按照不正当检测服务器的分析结果,能够促进用于安全的车辆控制的具体对应,所以有效。
67.例如可以是,所述不正当检测服务器还具备设定部,所述设定部,设定所述一个以上的车辆向所述不正当检测服务器通知的所述通知信息的所述优先级的下限值,所述设定部,测量所述不正当检测服务器的处理负载,在测量的所述不正当检测服务器的处理负载为规定值以上的情况下,使所述优先级的下限值上升,并通知给所述车辆。
68.从而,按照服务器的处理负载,能够限制从车辆通知的信息,在通信量的削减以及服务器的处理负载稳定化的观点上有效。
69.此外,本公开的一个方案涉及的车载网络系统,将包括与车载网络系统有关的信息的通知信息,通知给车辆外部的不正当检测服务器,该车载网络系统包括车载网络,所述车载网络系统具备:第一电子控制装置;以及第二电子控制装置,所述第一电子控制装置具备:不正当检测部,检测在所述车载网络进行通信的消息的不正当;以及不正当通知部,将由所述不正当检测部检测出的所述消息的不正当检测结果,通知给所述第二电子控制装置,所述第二电子控制装置具备:第二优先级决定部,利用如下的一个以上来决定优先级,即搭载所述车载网络系统的车辆的状态、在所述车载网络系统进行通信的消息的标识符、以及所述消息的不正当检测结果;第四通信部,对在所述车载网络进行通信的消息进行收发;第二车辆日志提取部,根据由所述第四通信部接收的所述消息,提取与所述车载网络有关的信息;第二不正当检测结果接收部,从所述第一电子控制装置接收所述消息的不正当检测结果;以及第五通信部,将通知信息通知给所述不正当检测服务器,所述通知信息包括所述优先级、以及与所述车载网络有关的信息。
70.从而,根据利用第一电子控制装置以及第二电子控制装置通知的优先级和信息,不正当检测服务器能够掌握与车辆内部的状况相对应的通知信息的优先级。而且,在不正当检测服务器,能够进行按照优先级的分析等处理,能够进行分配给分析的计算资源的判
断以及有效的分析、以及针对应该对应的优先级高的通知信息的即时对应,所以有效。
71.例如可以是,所述车载网络系统还具备第三电子控制装置,所述第三电子控制装置具备:第三优先级决定部,利用如下的一个以上来决定优先级,即搭载所述车载网络系统的车辆的状态、在所述车载网络系统进行通信的消息的标识符、以及所述消息的不正当检测结果;第六通信部,对在所述车载网络进行通信的消息进行收发;第三车辆日志提取部,根据由所述第六通信部接收的所述消息,提取与所述车载网络有关的信息;第三不正当检测结果接收部,从所述第一电子控制装置接收所述消息的不正当检测结果;以及第七通信部,将通知信息通知给所述不正当检测服务器,所述通知信息包括所述优先级、以及与所述车载网络有关的信息,所述不正当通知部,在检测出的不正当消息包括的标识符是由第一电子控制装置发送的消息的标识符的情况下,将所述不正当检测结果通知给所述第三电子控制装置。
72.从而,不经由车辆内部可能有不正当的电子控制装置,能够将与车载网络有关的信息通知给不正当检测服务器,从而有效地提高安全性。
73.此外,本公开的一个方案涉及的车载网络监视系统,是对搭载在车辆上的车载网络进行监视的系统,所述车载网络监视系统,包括电子控制装置和不正当检测服务器,所述电子控制装置,将与车载网络系统有关的信息,通知给车辆外部的所述不正当检测服务器,所述车载网络系统包括所述车载网络,所述电子控制装置具备:优先级决定部,利用如下的一个以上来决定优先级,即搭载所述车载网络系统的车辆的状态、在所述车载网络进行通信的消息的标识符、以及所述消息的不正当检测结果;第一通信部,对在所述车载网络进行通信的消息进行收发;车辆日志提取部,根据由所述第一通信部接收的所述消息,提取与所述车载网络有关的信息;以及第二通信部,将通知信息通知给所述不正当检测服务器,所述通知信息包括所述优先级、以及与所述车载网络有关的信息,所述不正当检测服务器具备:第三通信部,从所述一个以上的车辆接收通知信息,所述通知信息包括优先级以及与所述车载网络系统有关的信息;以及日志分析部,根据与所述车载网络系统有关的信息,分析在所述车载网络系统是否发生了不正当,所述日志分析部,在所述通知信息包括的所述优先级越大时,更优先地对所述通知信息包括的与所述车载网络系统有关的信息进行分析。
74.从而,车载网络监视系统,与所述电子控制装置以及所述不正当检测服务器具有同样的效果。
75.此外,本公开的一个方案涉及的车载网络监视方法,是对搭载在车辆上的车载网络进行监视的方法,包括:优先级决定步骤,利用如下的一个以上来决定优先级,即搭载所述车载网络系统的车辆的状态、在所述车载网络进行通信的消息的标识符、以及所述消息的不正当检测结果;第一通信步骤,对在所述车载网络进行通信的消息进行收发;车辆日志提取步骤,根据在所述第一通信步骤接收的所述消息,提取与所述车载网络有关的信息;第二通信步骤,将包括所述优先级以及与所述车载网络有关的信息的通知信息进行通知;第三通信步骤,从所述一个以上的车辆接收通知信息,所述通知信息包括优先级以及与所述车载网络系统有关的信息;以及日志分析步骤,根据与所述车载网络系统有关的信息,分析所述车载网络系统是否发生了不正当,在所述日志分析步骤中,在所述通知信息包括的所述优先级越大时,更优先地对所述通知信息包括的与所述车载网络系统有关的信息进行分析。
76.从而,车载网络监视方法,与所述电子控制装置以及所述不正当检测服务器具有同样的效果。
77.另外,这些概括或者具体的方案,可以通过系统、方法、集成电路、计算机程序或者计算机可读取的cd-rom等记录介质来实现,也可以任意组合系统、方法、集成电路、计算机程序以及记录介质来实现。
78.以下参考附图来具体说明实施方式。
79.以下说明的实施方式均表示概括的或者具体的例子。以下的实施方式示出的数值、形状、材料、构成要素、构成要素的配置位置以及连接形式、步骤、步骤的顺序等都是一个例子,主旨不是限制本发明。因此,在以下实施方式的构成要素中,表示最上位概念的方案中没有记载的构成要素,作为任意的构成要素来说明。
80.(实施方式1)
81.以下说明包括搭载了车载网络(车载网络系统)的多台车辆、以及服务器(称为不正当检测服务器)的车载网络监视系统、以及将与车载网络系统有关的信息通知给不正当检测服务器的信息通知方法,所述车载网络是多个电子控制单元(称为电子控制装置或者ecu)经由can总线进行通信的网络。
82.在该信息通知方法中,电子控制装置对不正当检测服务器通知信息,该信息中除了在车载网络系统上流动的帧的信息,还包括示出不正当检测服务器处理的优先级的信息。
83.不正当检测服务器,即使被大量地通知车载网络系统上的帧时,也按照优先级,进行不正当检测处理,所以能够即时进行不正当检测以及减少服务器的处理负载,所以有用。
84.[1.1车载网络监视系统的整体构成]
[0085]
图1是示出本实施方式涉及的车载网络监视系统的全体构成的图。车载网络监视系统,由不正当检测服务器80与车辆1010a、1010b、1010c、1010d、1010e以及1010f经由通信路即网络81连接而构成。
[0086]
网络81可以包括因特网或者专线。车辆1010a、1010b、1010c、1010d、1010e以及1010f具备车载网络,该车载网络与车内的控制装置、传感器、执行机构、用户界面装置等各种设备连接,该车载网络包括经由车内总线(can总线)进行通信的多个ecu。
[0087]
在各个车辆的车载网络中,各个ecu按照can协议进行通信。作为can协议中的帧具有数据帧、远程帧、超载帧以及错误帧。这里主要关注数据帧来说明。另外,在can中数据帧被规定为包括存放id的id字段、表示数据长的dlc(data length code)、存放数据的数据字段。
[0088]
车辆1010a以及1010b是车型a的车辆,车辆1010c以及1010d是车型b的车辆,车辆1010e以及1010f是车型c的车辆。
[0089]
在此车型相同的车辆之间,车载网络的构成是相同的。即这里的车型相同的车辆是,例如型式(车辆型式)相同的车辆,并且是作为车辆的识别信息的车辆id的一部分相同的车辆。在相同车型的多个车辆中,使用数据帧(消息)的规格(每个消息id的数据字段内容的规定等)相同,该数据帧是在车载网络的can总线流动的数据帧。
[0090]
此外,在车型不同的车辆之间,有时也具备同型的ecu。同型的ecu是指构成相同的ecu,例如同样的制造者制造的同型的ecu,此外可以是用于实现主要功能的构成包括相同
的ecu。
[0091]
在车型不同的车辆之间,搭载同型的ecu的情况下,该各个车辆的同型ecu发送的帧的id,有可能相互不同。
[0092]
[1.2车载网络系统的构成]
[0093]
图2是示出车型a的车辆1010a(车辆1010b也相同)的车载网络系统的构成的一例子的图。在其他车型的车辆中,具备与图2表示的构成同样的构成、或者一部分不同的构成等。
[0094]
在车辆1010a等中的车载网络系统,包括由总线(can总线)10、20、30、40以及50连接的多个ecu(ecu100、101、200、201、300、301、302、400以及401)以及网关900的各个节点来构成。另外网关900也是ecu之一。虽然在图2进行了省略,但车载网络系统可以包括更多的ecu。
[0095]
ecu例如是包括处理器(微处理机)、存储器等数字电路、模拟电路、通信电路等的装置。存储器是rom、ram,能够存储由处理器执行的控制程序(计算机程序)。例如处理器,按照控制程序进行动作,从而ecu实现各种功能。另外,计算机程序是为了实现规定的功能,由针对处理器的命令码多个组合而构成的程序。
[0096]
总线10与电机、燃料、电池的控制等与车辆“行驶”相关的动力系统类的ecu连接,该动力系统类的ecu包括分别与引擎110以及变速器111连接的ecu(引擎的ecu)100以及ecu(变速器的ecu)101。
[0097]
总线20与“转弯”、“停止”等车辆动作等的控制有关联的底盘类的ecu连接,该底盘类的ecu包括分别与刹车210以及操舵装置211连接的ecu(刹车ecu)200以及ecu(操舵装置的ecu)201。
[0098]
总线30与信息类有关的ecu连接,该ecu包括分别与摄像机310、车辆导航装置(也称为汽车导航)311以及车辆间通信模块312连接的ecu300、ecu301以及ecu302,该信息类是指以摄像机信息为基础对驾驶支援进行识别、判断以及控制的功能、或者与音频头单元有关的功能、车辆间通信等。
[0099]
总线40与空调或者方向指示器等车辆的装备控制有关的车体类ecu连接,该ecu包括分别与门(door)410以及写入(write)411连接的ecu400以及ecu401。
[0100]
总线50与诊断端口510连接,该诊断端口510是例如用于与obd2(on-board diagnostics2)等外部的诊断工具(故障诊断工具)等进行通信的接口。
[0101]
ecu(ecu100以及200等)的每一个,获得所连接的设备(引擎110、刹车210等)的状态,定期地将表示状态的帧等发送到车载网络换言之can总线。
[0102]
与总线10连接的ecu100、101、与总线20连接的ecu200、201、和与总线30连接的ecu300、301以及302是mac对应ecu,mac对应ecu是具有处理消息认证码(mac,message authentication code)的功能的ecu。处理mac的功能,具体而言是指,mac的生成功能以及mac的验证功能等。
[0103]
与总线40连接的ecu400以及401是,不具有处理mac功能的mac非对应ecu。
[0104]
网关900是具有mac生成功能以及验证功能的mac对应ecu。
[0105]
网关900是连接不同的多个通信路,在通信路之间传输数据的ecu。网关900与总线10、总线20、总线30、总线40以及总线50连接。换言之,网关900是一种ecu,具有将从与网关
900连接的一个总线接收的帧(数据帧),在一定条件下传输到其他总线(换言之按照条件选择的传输目的地总线)的功能。
[0106]
网关900具备通信装置(通信电路等),用于与车辆的外部的不正当检测服务器80进行通信,例如具有将从各个总线接收的帧的有关信息,发送(加载)到不正当检测服务器80的功能。关于网关900的构成,在后面详细说明。
[0107]
[1.3不正当检测服务器的构成]
[0108]
图3是不正当检测服务器80的构成图。不正当检测服务器80是为了对应车辆1010a等车载网络发送的不正当帧的服务器。不正当检测服务器80例如通过具备处理器、存储器、通信接口等的计算机来实现,被构成为包括通信部810、处理判断部820、日志收集部830、日志分析部840、结果通知部850、接受部860、对应部870、车辆信息数据库880、车辆日志存放数据库881、分析结果存放数据库882、安全信息数据库883、设定部890。
[0109]
车辆信息数据库880、车辆日志存放数据库881、分析结果存放数据库882、安全信息数据库883例如可以由存储器、硬盘等存储媒体等来实现。
[0110]
此外,处理判断部820、日志分析部840、日志收集部830、对应部870以及设定部890各自的功能,例如由处理器执行存放在存储器的控制程序来实现。
[0111]
通信部810,由通信接口、以及执行存放在存储器的控制程序的处理器等来实现。通信部810相当于第三通信部。
[0112]
通信部810,经由网络与车辆1010a、1010b、1010c、1010d、1010e以及1010f通信,从而接收与各车载网络有关的信息。与车载网络有关的信息,可以包括例如各车载网络的can总线上流动的帧的内容,接收定时(间隔或者频度等),总线负载率以及帧的mac验证结果有关的信息。
[0113]
此外,除了各车载网络有关的信息以外,可以与当前的车辆状态等的元信息一起通知。元信息可以包括表示与当前的车辆的位置、bsm(basic safety message:基本安全消息)、气候、车载网络有关的信息的处理优先级的信息。车辆的位置例如是通过gps(global positioning system:全球定位系统)获得的gps位置。
[0114]
此外,通信部810将从对应部870被通知的、用于对应车辆安全偶发事件的安全用信息,发送到各个车辆。安全用信息例如是如下的信息,即车辆的乘客等为对象的警报(警告)通知的提示用信息、表示车辆的行驶等控制指示的控制信息、用于指示在车辆中适用加密处理时使用的加密密钥的更新的控制信息、用于在车辆侧检测与帧有关的不正当的不正当检测用信息、用于使自动驾驶系统或者驾驶支援系统无效化的信息、音频头单元或者外部通信模块的功能无效化的信息、或者将车辆移动到失效安全模式的控制信息等。
[0115]
处理判断部820,对从通信部810通知的、与车载网络有关的信息的处理内容进行判断。此时,将元信息作为基础,判断处理内容。
[0116]
处理判断部820,例如在元信息中包含的优先级比较低时,将被通知的信息通知给日志收集部830,从而保存到车辆日志存放数据库881。另外,优先级比较低是指,例如优先级属于规定的阈值以下的范围,或者意味着优先级是比较低的规定值。更具体而言,规定值在优先级0~5的范围的整数值来表现的情况下,设为0。
[0117]
此外,优先级为中等程度的时候,将被通知的信息通知给日志收集部830,并且向日志分析部840进行通知,处理被通知的日志的分析。另外,优先级为中等程度例如是指,属
于优先级比较低的情况与比较高的情况之间的范围、或者是意味着优先级为中等程度的规定值。更具体而言,规定值在优先级为0~5的范围的整数值来表现的情况下,设为1、2或者3。
[0118]
此外,优先级比较高的时候,将被通知的信息通知给日志收集部830,并且向日志分析部840进行通知,使其分析被通知的日志,优先将存储器或cpu资源分配给分析处理。另外,优先级比较高是指,例如优先级属于规定阈值以上的范围、或者意味着优先级是比较高的规定值。更具体而言,规定值,在优先级为0~5的范围的整数值来表现的情况下,设为4或者5。
[0119]
进而,优先级为最高的时候,将被通知的信息向日志收集部830通知,并且通知日志分析部840进行分析,进而向结果通知部850通知信息,从而将不正当事件通知给车载网络监视系统的管理者、或者安全管理中心的安全分析人。另外,优先级为最高是指优先级能够取值中的最高的值。例如,优先级为0~5的范围的整数值来表现的情况下是5。
[0120]
日志收集部830,将从各个车辆收集的日志信息的内容即各种数据(与车载网络接收的帧有关的信息等),根据存放在车辆信息数据库880的信息,存放到车辆日志存放数据库881。
[0121]
日志收集部830,在将各种数据存放到车辆日志存放数据库881时,可以对各种数据进行规定的正规化等处理。
[0122]
在车辆信息数据库880存放的数据,利用图4在后边说明。此外,在车辆日志存放数据库881存放的数据(车辆日志信息),利用图5在后边进行说明。
[0123]
日志分析部840,根据与车载网络系统有关的信息,分析在车载网络系统是否发生了不正当。日志分析部840,针对通知信息包括的优先级越大的通知信息,越优先地分析通知信息中包含的与车载网络系统有关的信息。另外,日志分析部840,在优先级是第一规定值以下的情况下,可以禁止分析与车载网络有关的信息。第一规定值,例如是0。
[0124]
具体而言,日志分析部840,使用从存放在车辆日志存放数据库881的各个车辆收集的日志信息,进行分析,从而判断某个车辆的车载网络接收的帧是否为不正当,换言之,具有判断功能,判断是否由攻击者对该车载网络发送了攻击帧。
[0125]
日志分析部840,针对被蓄积的日志信息表示的、从各个车辆收集的与多个帧有关的信息,更具体而言对多个帧各自的内容、接收定时等信息,例如进行统计处理等。
[0126]
日志分析部840具有如下的功能,根据由通信部810获得的与多个帧有关的信息、以及该多个帧获得之后由通信部810获得的、与一个车辆(例如车辆1010a)的车载网络接收的帧有关的信息,判断该一个车辆的车载网络接收的该帧的异常级、或者判断有无异常的功能。
[0127]
日志分析部840构筑规定模型,该规定模型是例如在正常状态下在车载网络流动的各个帧有关的规定模型,能够用于与异常状态的比较的规定模型,根据依次获得的日志信息,使用机器学习,将规定模型调整(更新)为更恰当的模型。
[0128]
在这个情况下,日志分析部840,对集积的日志信息表示的多个帧有关的信息适宜地实施加工处理(例如多变数分析等),能够为规定模型的学习而提供。规定模型的学习,可以使用监督式学习、无监督学习的任一个方式。
[0129]
例如,在各个车辆的车载网络系统,具有根据规定规则,检测不适合该规则的帧
(不正当帧)流到can总线的不正当检测功能的情况下,可以在日志信息包含表示是不正当帧或者不是不正当帧的区别的信息,在日志分析部840中,根据表示该区别的信息,针对规定模型进行监督式学习。
[0130]
此外,在日志分析部840中,从各个车辆针对不是不正当帧的帧收集有关的日志信息,或者不区分是否为不正当帧而收集日志信息,根据这些日志信息,针对规定模型进行无监督学习。
[0131]
该规定模型用于某个车辆的车载网络接收的帧的异常级(异常程度)的算定。规定模型的内容,能够用于该帧的异常级的算定就可以。
[0132]
异常级,例如通过与该帧有关的信息和规定模型的比较(换言之使用了与帧有关的信息和规定模型的运算处理)来算定。日志分析部840,作为用于异常级的算定的规定模型,根据同一个车型的各个车辆的日志信息,如下地构筑规定模型,规定模型例如表示在正常状态下在车载网络接收的帧的特征量,更具体而言是包含帧内容、接收间隔、接收频度等各个成分的特征矢量等的分布。
[0133]
另外,规定模型例如是如下的模型,以异常级为目标变数,日志信息为说明变数的情况下,表示目标变数与说明变数之间的关系的模型。异常级例如可以设定为如下,在没有异常(换言之正常)的情况下设为0(零),在有异常的情况下按照异常的程度可以取正的数值。异常级,也可以取0(例如没有异常)和1(例如有异常)的两个值,也可以将有异常分为多个阶段,取三个值以上。
[0134]
在异常级超过规定阈值的情况下,可以判别为有异常。作为一例,某个车辆的车载网络接收的帧的异常级,通过该帧的特征量,是否位于以阈值为边界的范围内来算定,该阈值是根据已经集积的日志信息而规定的规定模型表示的特征量的分布的(例如平均值与方差确定的正常分布)标准偏差乘以规定系数(例如3)而决定的值,此外通过使用多个规定系数,能够算定异常级为多个阶段。作为用于算定异常级的规定模型的构筑中使用的方法,有偏离值检测、或检测时间序列上的急剧变化的变化点检测等方法。
[0135]
这样日志分析部840,根据被集积的日志信息(车辆日志信息)表示的各个车辆的车载网络接收的多个帧有关的信息,在接收该多个帧有关信息之后,算定在某个车辆的车载网络中接收的帧的异常级等。在某个车辆的车载网络中接收的帧的信息,也能够从该车辆的日志信息中获得。
[0136]
根据在某个车辆的车载网络接收的帧进行算定的异常级,判别为有异常的情况下(换言之检测到攻击帧的情况下),日志分析部840,向结果通知部850,通知分析结果,从而将不正当事件的发生通知给车载网络监视系统的管理者、或者属于安全管理中心的安全分析人。
[0137]
日志分析部840,逐次进行根据集积的日志信息的统计处理、规定模型的更新(学习)、某个车辆的车载网络接收的帧的异常级的算定等各种分析处理。
[0138]
而且日志分析部840,将该分析处理的结果(例如表示更新后的规定模型的信息、与算定的异常级有关的信息等),存放到分析结果存放数据库882进行保存,在下次的分析处理(换言之帧的异常级的算定等)中使用。在分析结果存放数据库882存放的数据,利用图6在后边说明。
[0139]
结果通知部850具备如下单元,根据处理判断部820或日志分析部840,判断为应该
通知给车载网络监视系统的管理者的不正当事件发生的情况下,将存放在分析结果存放数据库882的不正当事件有关的信息,通过给车载网络监视系统的管理者u的单元。
[0140]
例如,结果通知部850与显示器连接,将不正当发生的事件显示在显示器上等。此外,结果通知部850,可以作为web服务器来发挥作用,也可以作为邮件服务器,向管理者u进行邮件通知。
[0141]
另外,通知目的地,可以不是车载网络监视系统的管理者u,例如可以通知给委托了车载网络监视业务的安全管理中心的安全分析人。
[0142]
接受部860,从车载网络监视系统的管理者u接受如下操作,该操作是用于对不正当事件进行对应的操作。例如接受部860具备gui(graphical user interface:图形用户界面),经由gui接收用于对不正当事件进行对应的操作。另外,接受部860具备麦克风,针对由麦克风获得的管理者u的声音的语音识别处理,接收用于对不正当事件进行对应的操作。
[0143]
进行对应的例子可以是如下:车辆的乘务员等为对象的警报(警告)通知、车辆的行驶等远程控制、在车辆加密处理的适用时使用的加密密钥的更新、车载网络系统的更新、自动驾驶系统或者驾驶支援系统的无效化、音频头单元或者外部通信模块的功能无效化、车辆转移到失效安全模式、或者与操作员的通话等。
[0144]
接受部860,从车载网络监视系统的管理者,接受对应的处理时,向对应部870通知该处理的内容。
[0145]
对应部870,对车载网络的不正当进行对应处理。对应部870,为了实现从接受部860通知的内容,以存放在安全信息数据库883的信息为基础,向通信部810通知通信内容。在安全信息数据库883存放的数据,利用图7在后边说明。
[0146]
对应部870,针对一个以上的车辆中车辆具备的车载网络的不正当的对应,进行如下对应的任一个以上,例如(a)不正当检测服务器80的外部的管理者通知发生了不正当、(b)对车辆通知使驾驶支援功能以及自动驾驶功能无效化的控制信号、(c)车辆中包括的加密密钥信息的更新、(d)对车辆通知向功能安全模式转移、(e)对车辆通知远程控制模式转移、(f)与位于车辆外部的操作员通话,(g)车辆包括的信息类系统的强行终止、(h)车辆包括的电子控制装置的固件的更新。
[0147]
另外,也可以只在优先级在第二规定值以上的情况下,才进行对车载网络的不正当进行对应的处理。第二规定值例如是1。
[0148]
设定部890,设定一个以上的车辆向不正当检测服务器80通知的通知信息的优先级的下限值。设定部890,测量不正当检测服务器80的处理负载,在测量的不正当检测服务器80的处理负载是规定值以上的情况下,使优先级的下限值上升,并通知给车辆。规定的值例如可以设为70%~80%。另外,设定部890不是必须构成。
[0149]
另外,在本实施方式的构成为,在不正当检测服务器80内包括接受部860和对应部870,但是这些可以不包括在同一个服务器内。例如,除了通知进行日志分析的结果的不正当检测服务器80,可以存在进行对应的偶发事件答复服务器,在该构成中包括接受部860、对应部870。
[0150]
[1.4车辆信息数据库]
[0151]
图4是表示不正当检测服务器80的车辆信息数据库880保持的车辆信息的一例的图。图4所示的车辆信息,包括每个车型的共同的设计信息等。设计信息是将如下信息建立
了对应的信息,该车型的车辆搭载的ecu的id(换言之用于识别ecu的种类的型式等)、该ecu发送的帧的id(换言之can消息id)、发送帧的总线的识别信息、以及该帧是否包括mac。
[0152]
另外,车辆信息不仅限于此。例如可以保持帧的发送设定周期、或者将帧包括的数据字段分割为恰当的字段的信号表。
[0153]
例如图4表示的车辆信息表示如下,车型a的构成车载网络ecu id为“001”的ecu发送can消息id“0x100”的帧、can消息id“0x101”的帧。
[0154]
而且,表示can消息id“0x100”的帧发送到总线10、以及can消息id“0x101”的帧发送到总线20。此外表示每一个帧都包括mac。
[0155]
同样在图4表示的车辆信息中,表示ecu id为“002”的ecu,将can消息id为“0x200”的帧,以不包括mac的方式发送到总线10。
[0156]
此外,在图4表示的车辆信息中表示,车型b的构成车载网络的ecu id为“001”的ecu,发送can消息id为“0x110”的帧、以及can消息id“0x111”的帧。
[0157]
而且表示can消息id为“0x110”的帧发送到总线10、以及can消息id为“0x111”的帧发送到总线20。此外表示每一个帧都包括mac。
[0158]
同样在图4表示的车辆信息中,表示ecu id为“003”的ecu,将can消息id为“0x301”的帧,以包括mac的方式发送到总线30。
[0159]
在这个例子中,车型a的车辆与车型b的车辆是指搭载相同种类的ecu(换言之,ecu id为“001”的ecu),但是与各自的ecu发送的帧有关的can消息id相互不同。这样的同种的ecu,能够搭载在多个车型的车辆上。关于不同的车型的各个车辆上搭载的、同种的ecu分别发送的帧,只有帧的can消息id不同,其他的帧的内容相同。
[0160]
[1.5车辆日志存放数据库]
[0161]
图5是示出不正当检测服务器80的车辆日志存放数据库881的内容,即车辆日志信息的一例的图。如图5所示,车辆日志信息是汽车制造厂针对制造的各种车辆,将如下建立关联来示出的信息,即车型、用于识别每个车型的每个车辆的车辆id、车辆搭载的各个ecu的ecu id、与该各个ecu发送的帧有关的信息can日志。该车辆日志信息,通过由不正当检测服务器80集积从各个车辆获得的日志信息来生成。
[0162]
在此,can日志表示例如can帧的识别信息(id)、帧的接收周期、帧的dlc表示的数据长、或者帧的数据字段的内容的数据等,是基于各个车辆接收的日志信息的内容的信息。
[0163]
另外,can日志的各个信息,可以是将日志信息表示的can的帧有关的特征量(例如特征矢量等)正规化的信息。
[0164]
另外,车辆日志信息中的车型,例如根据车辆id而被确定。通过基于该车辆日志信息的分析处理,日志分析部840进行某个车辆的车载网络接收的帧有关的异常级的算定等。
[0165]
另外,在图5中省略了记载,但是在车辆日志存放数据库881可以包括车辆状态、位置信息、或者处理优先级等元信息。
[0166]
[1.6分析结果存放数据库]
[0167]
图6是表示不正当检测服务器80的分析结果存放数据库882的内容的分析结果的一例的图。图6所示的分析结果包括车型、车辆id、时刻、位置信息、车辆状态、被检测的异常、和优先级来构成。
[0168]
例如,在图6的分析结果表示,车型为a,车辆id是1010a的车辆,时刻为2020年5月6
日的13时51分30秒在东京高速行驶,那时检测出总线的负载高的“高总线负载”的异常。此外表示与所述信息一起从网关900被通知的优先级是3。
[0169]
同样表示车型为a,车辆id是1010a的车辆,时刻为2020年5月6日的13时51分20秒在东京高速行驶,那时检测出“高总线负载”的异常。此外表示与所述信息一起从网关900被通知的优先级是2。
[0170]
此外表示车型为a,车辆id是1011a的车辆,时刻为2020年5月6日的13时41分18秒在大阪行驶,那时检测出检测到虚假信息的“检测虚假消息”的异常。此外表示与所述信息一起从网关900被通知的元信息的优先级是2。
[0171]
另外,在图6中将位置信息以日本的都道府县的单位记载,但是也可以是gps信息等信息。
[0172]
[1.7安全信息数据库]
[0173]
图7是示出不正当检测服务器80的安全信息数据库883中内容的安全信息的例子的图。如图7所示,安全信息保持各个车辆能够执行或者不能执行的处理的一览。
[0174]
车载网络监视系统的管理者,按照每个车型可以执行的处理中,决定作为对车载网络的不正当的对应而执行的处理。在图7的例子中表示,针对车型a可以执行驾驶支援的无效化和固件的更新,但是不可以执行远程控制。相同地表示针对车型b,可以执行全部,即驾驶支援的无效化、远程控制、以及固件的更新。此外表示针对车型c,可以执行固件的更新,但是不可以执行驾驶支援的无效化以及远程控制。此外表示针对车型d,与车型a同样,可以执行驾驶支援的无效化和固件的更新,但是不可以执行远程控制。
[0175]
[1.8网关的构成]
[0176]
图8示出某个车辆(例如车辆1010a)的车载网络中的网关900的构成。网关900是将包括车载网络的与车载网络系统有关的信息,通知给车辆外部的不正当检测服务器80的ecu。
[0177]
如图8所示,网关900被构成为包括:帧收发部910、帧解释部920、优先级决定部930、更新处理部940、帧加载部950、传输控制部960、密钥处理部970、帧生成部980、规则保持部990、传输规则保持部991、密钥保持部992。
[0178]
这些构成要素的各个功能,例如由网关900的通信电路、执行在存储器中存放的控制程序的处理器或者数字电路等来实现。例如,帧加载部950以及更新处理部940,由用于与不正当检测服务器80进行通信的通信电路等来实现。
[0179]
帧收发部910,针对总线10、总线20、总线30、总线40以及总线50的各自,收发按照can协议的帧。帧收发部910,从总线以1比特为单位接收帧,并通知给帧解释部920。帧收发部910相当于第一通信部。
[0180]
此外,帧收发部910,根据从帧生成部980接受通知的表示传输目的地的总线的总线信息以及发送用的帧,将该帧的内容,向总线10、总线20、总线30、总线40以及总线50中的传输目的地的总线,以1比特为单位发送。
[0181]
帧解释部920,从帧收发部910接受帧的值,以can协议规定的帧格式中的各个字段匹配的方式进行解释。帧解释部920,将接收的帧的各个字段的信息通知给优先级决定部930。帧解释部920相当于车辆日志提取部,根据帧收发部910接收的消息来提取与车载网络有关的信息。
[0182]
另外,帧解释部920,在判断接受的帧是没有按照can协议的帧的情况下,向帧生成部980进行通知,以发送错误帧。
[0183]
此外,帧解释部920,在接收了错误帧的情况下,换言之根据接受的帧的值解释为错误帧的情况下,之后丢弃该帧,换言之中止错误帧的解释。
[0184]
优先级决定部930,利用如下的1个以上来决定优先级,即搭载车载网络系统的车辆状态、在车载网络进行通信的消息的标识符、以及消息的不正当检测结果。
[0185]
优先级决定部930,具体而言,参考规则保持部990保持的优先级规则,决定向不正当检测服务器80通知的消息包括的优先级。作为一例,判断车辆的行驶状态,如果是在行驶中,将优先级决定为中等程度。规则保持部990保持的规则,利用图9在后边说明。另外,优先级决定部930决定优先级,可以表现为判断优先级,或者算出优先级。
[0186]
优先级决定部930,在决定优先级时,向帧加载部950通知接收的帧、决定的优先级。优先级决定部930,持有保持从车辆的点火塞为导通时到起动的时刻的计时器、或者保持表示接收的帧的数量的计数的存储器等,算出按每个总线的每个单位时间(例如1秒钟)的接收帧的数量。
[0187]
此外,优先级决定部930具有保持当前的车辆的状态的存储器,例如,当前的车辆的速度信息、或者存储加速度信息。
[0188]
在此,车辆的状态是帧收发部910接收的消息为基础算出的信息,可以是包括以下的任一个以上的信息,车辆的速度、车辆的加速度、车辆的操舵角度、车辆的驾驶支援功能的动作状况、以及车载网络的频带占有率。
[0189]
此外,优先级决定部930,在消息的标识符决定的消息的种类包括与驾驶支援以及自动驾驶有关的控制消息、车辆搭载的电子控制装置的固件更新有关的消息、与车辆的行驶状态通知有关的消息、以及车辆的诊断用消息中的任一个的情况下,可以决定为更高的优先级。
[0190]
此外,所述不正当检测结果可以包括消息认证码的验证结果,其包括在车载网络进行通信的消息中。在该情况下,优先级决定部930,在消息认证码的验证结果为不正当的情况下,决定为更高的优先级。
[0191]
进而,优先级决定部930,进一步具备不正当检测部931,检测在车载网络进行通信的消息的不正当。在这个情况下,消息的不正当检测结果是示出不正当检测部931是否检测出消息的不正当的信息。而且,优先级决定部930,在不正当检测结果示出检测出消息的不正当的情况下,决定为更高的优先级。
[0192]
更新处理部940,将规则保持部990保持的优先级规则,根据从不正当检测服务器80获得的信息进行更新。
[0193]
帧加载部950,依次获得从优先级决定部930通知的从任一个can总线接收的帧,将包括与接收的帧有关的信息(例如,帧的内容、接收间隔、接收频度等)的日志信息,发送(加载)到不正当检测服务器80。帧加载部950相当于第二通信部。
[0194]
除了此时的日志信息,还包括作为元信息的从优先级决定部930通知的优先级来加载。元信息还可以包括其他的各种信息(车辆的状态信息、basic safety message、车辆的位置信息、总线负载率)。
[0195]
进而,帧加载部950,使日志信息包括车辆的识别信息(车辆id)。帧加载部950,作
为与接收的帧有关的信息,以在不正当检测服务器80进行统计处理、进行机器学习等的情况下容易处理的方式,施行对帧的内容、接收间隔、或者接收频度等进行加工的加工处理。
[0196]
在这里,帧的接收间隔,例如是该帧的接收时刻与该帧相同id的帧在上次接收的时刻之间的差。
[0197]
此外,帧的接收频度例如是在一定单位时间,接收与该帧相同id的帧的数量。该加工处理,例如是从帧的内容、接收间隔、接收频度等特征中提取特征量,进行正规化等,进行特征量的信息量的缩写等。特征量的信息量的缩写,例如将特征量作为各个成分的特征矢量来表示,根据不正当检测服务器80联合获得的信息,针对特征矢量的维数采用主成分分析等维削减算法来实现。
[0198]
此外,帧加载部950,可以在每次从优先级决定部930接受通知时,将包括该帧有关的信息的日志信息,发送到不正当检测服务器80,也可以根据优先级,不发送到不正当检测服务器80。但是将从can总线接收的帧的有关信息,迅速地传递到不正当检测服务器80,使不正当检测服务器80迅速检测该帧是否为异常,从而能够进行对应。
[0199]
此外,帧加载部950,例如为了削减与不正当检测服务器80的通信量,可以无条件地或者按照通信状况,压缩日志信息,发送到不正当检测服务器80。此外,帧加载部950,在日志信息中只包括特定1个或多个id帧有关的信息来进行发送,而不包括帧收发部910从can总线接收的帧中的全部帧有关的信息。
[0200]
此外,帧加载部950,保持过去的通知信息,该过去的通知信息是过去向不正当检测服务器80通知的通知信息,向不正当检测服务器80通知新的通知信息之前,在过去的通知信息中,如果有新的通知信息中包括的车载网络有关的信息涉及的消息的标识符、消息的不正当检测结果、以及优先级中的规定一部分一致的情况下,可以禁止将通知信息通知给不正当检测服务器80。在这里,通知信息设为包括与车载网络有关的信息涉及的消息的标识符,与车载网络有关的信息包括在所述通知信息中。
[0201]
此外,帧加载部950,在优先级为第一规定值以下的情况下,进行以下处理中的任一个处理,即禁止向不正当检测服务器80通知通知信息的处理、以及以具有规定的通信间隔的第一定时,向不正当检测服务器80通知通知信息的处理,在优先级是第二规定值以上的情况下,可以以与所述第一定时不同的第二定时向不正当检测服务器80通知通知信息。
[0202]
另外,与来自不正当检测服务器80的通知对应地网关900,经由can总线,向预先规定的ecu发送需要的信息等,从而能够实现固件更新、驾驶支援功能无效化、以及远程控制等的功能。
[0203]
传输控制部960,按照传输规则保持部991保持的传输规则,按照接收的帧id以及传输源总线(换言之接收了该帧的总线),选择传输目的地的总线,将表示传输目的地的总线的总线信息、以及应该传输的帧的内容(例如由帧解释部920通知的id、dlc、数据等)通知给帧生成部980,请求发送。
[0204]
帧生成部980,按照来自传输控制部960的发送的请求,利用由传输控制部960通知的帧的内容构成发送用的帧,该发送用的帧以及总线信息(例如传输目的地的总线的标识符等)通知给帧收发部910。
[0205]
传输规则保持部991,保持传输规则信息,该传输规则信息示出与每个总线的帧的传输有关的规则。传输规则信息,针对有可能成为传输源的各个总线,示出在该总线接收的
应该传输的帧的id与传输目的地的总线。
[0206]
此外传输规则信息包括表示如下的信息,各个总线是否为规定对帧内容进行加密的总线、以及是否为规定帧被赋予mac的总线。通过参考该信息,传输控制部960,在传输源对应加密的情况下,利用密钥保持部992保持的、与传输源的总线连接的各个ecu共用的加密密钥,使密钥处理部970解密帧的内容。
[0207]
而且,在传输目的地与加密对应的情况下,传输控制部960,利用密钥保持部992保持的、与传输目的地的总线连接的各个ecu共用的加密密钥,对密钥处理部970进行控制,加密帧的内容并传输。
[0208]
在密钥处理部970中,根据帧的内容的加密、解密、和帧的内容等的mac的生成及验证,可以分别使用任意的方式。
[0209]
mac可以例如根据帧的数据字段内的一部分值来生成,也可以根据将该值、其他字段的值或者其他信息(例如对帧的接收次数进行计数的计数值等)结合来生成。
[0210]
作为mac的计算方法,可以使用例如hmac(hash-based message authentication code:哈希运算消息认证码)、cmac(cipher-based message authentication code:基于密文的消息认证码)等。
[0211]
[1.9规则保持部]
[0212]
图9是示出网关900的规则保持部990的内容、即优先级规则的一例的图。如图9所示优先级规则中,记载了用于决定优先级的条件的表。
[0213]
图9表示的优先级规则中,例如从can的帧获得的车辆的速度为比0km/h大的情况下,也就是在行驶中,将优先级“ 1”(也就是加1,以下相同)来表示。进而,速度比80km/h大的情况下(即高速行驶中),将优先级“ 1”来表示。此外,与诊断帧或者固件更新有关的帧、以及与驾驶支援以及自动驾驶有关的帧,也是将优先级“ 1”来表示。与前进或者转向有关的加速度超过0.4g的情况下,也可以将优先级“ 1”来表示。优先级决定部930保持的,每1秒进行复位的帧接收计数器超过1000(也就是高总线负载)时,视为异常发生的程度高,将优先级“ 2”来表示。在mac验证失败的情况下,视为异常已经发生,将优先级“ 3”来表示。
[0214]
优先级决定部930,将优先级的默认值设为0,对在规则保持部990保持的条件进行验证,算出最终的优先级。另外,优先级,被调整为不超过预先规定的范围的上限值(例如5)。
[0215]
[1.10车辆与不正当检测服务器之间的处理序列]
[0216]
图10是示出不正当检测服务器80与车辆之间的处理序列的一例的图。图10主要示出,某个车辆(车辆1010a)将包括由车载网络can总线接收的帧有关的信息(具体而言,加工处理帧的信息而获得的特征矢量)、以及表示优先级的信息的日志信息,发送到不正当检测服务器80,不正当检测服务器80对帧进行分析的动作例。具体而言,表示某个车辆的网关900接收1个帧时的动作例。
[0217]
在这个例子中,示出车辆1010a将日志信息发送到不正当检测服务器80的例子,但是对不正当检测服务器80,其他各个车辆(车辆1010b,1010c,1010d,1010e以及1010f等)也发送同样的日志信息。以下,按照图10说明动作例。
[0218]
与车辆1010a的车载网络中的总线10连接的一个ecu(例如,引擎的ecu100、或者变速器的ecu101等),向总线10开始发送can的帧(步骤s101)。
[0219]
车辆1010a的网关900,从总线10接收在步骤s101发送的帧,(步骤s102)。
[0220]
网关900,针对接收的帧,一边参考规则保持部990,一边决定优先级(步骤s103)。
[0221]
网关900,通过帧加载部950,将包括被决定的优先级、以及与帧有关信息(id、dlc、数据字段、接收间隔、接收频度等)的日志信息,发送到不正当检测服务器80(步骤s104)。
[0222]
此外,网关900,通过传输控制部960,进行帧传输处理(换言之根据传输规则信息进行帧传输的处理)(步骤s105)。在图10的例子中,通过帧传输处理,网关900,向总线20传输帧,与总线20连接的刹车的ecu200或者操舵装置的ecu201,接收被传输的帧(步骤s106)。
[0223]
不正当检测服务器80,从网关900接收日志信息,该日志信息包括在车辆1010a的车载网络接收的帧有关的信息(步骤s107)。而且,不正当检测服务器80,利用接收的日志信息,进行日志分析(步骤s108)。
[0224]
接着,利用图11详细说明日志分析。
[0225]
[1.11不正当检测服务器的日志分析流程图]
[0226]
图11是示出不正当检测服务器80的日志分析的一例的流程图。下面按照图11对日志分析进行说明。
[0227]
不正当检测服务器80,将从各车辆发送来的日志信息(换言之日志信息包括在各车辆的车载网络接收的帧有关的信息),保存到车辆日志存放数据库881(步骤s201)。
[0228]
接着,不正当检测服务器80,获得与日志信息一同接收的元信息,具体而言是获得优先级(步骤s202)。
[0229]
不正当检测服务器80,根据在步骤s202获得的优先级,分别进行处理(步骤s203)。
[0230]
在步骤s202获得的优先级是0的情况下(步骤s203中的“=0”),不正当检测服务器80,结束图11表示的处理。
[0231]
在步骤s202获得的优先级是1的情况下(步骤s203中的“=1”),不正当检测服务器80,进行在步骤s201接收的日志的分析(步骤s205)。日志的分析是根据日志信息,例如进行统计异常检测处理。
[0232]
统计异常检测处理,包括如下的处理,参考从各个车辆获得的日志信息(换言之作为车辆日志信息集积的各个日志信息),根据在车载网络接收的帧有关的信息,进行统计处理、多变数分析等,从而能够用于与异常状态的比较的规定模型的构筑、或者通过机器学习进行规定模型的更新的处理。
[0233]
此外,统计异常检测处理,包括如下的处理,利用过去基于从各个车辆的车载网络接收的帧的该规定模型、以及从某个车辆(在此设为1010a)最后获得的日志信息包括的该车辆的车载网络接收的帧有关的信息,进行运算处理(比较等),从而算定在该车辆1010a接收的帧的异常级的处理。这个运算处理,能够包括例如偏离值检测、检测时间序列上的急剧变化的变化点检测等处理。
[0234]
在不正当检测服务器80通过上述日志分析部840,算定帧的异常级,通过异常级是否比预先规定的阈值高,从而判断该帧是否为异常。
[0235]
另外,不正当检测服务器80,针对异常级进行算定的帧,可以不限定为在车辆1010a的车载网络接收的帧,也可以是在其他车辆的车载网络接收的帧。
[0236]
在步骤s202获得的优先级为2~4的情况下(步骤s203中的“=2~4”),不正当检测服务器80的日志分析部840,针对分配给日志信息的分析的计算资源,按照该优先级来优先
分配(步骤s207)。具体而言,优先级越大,分配给与车载网络有关的信息的分析的计算资源越大。另外,日志分析部840,与所述一同或者代替所述,在优先级越大时,将与车载网络有关的信息的分析的顺序设为越早,此外,针对是否执行与车载网络有关的信息的分析的判断,可以判定为越优先地执行。这样,日志分析部840,优先级越大,越优先地进行日志信息的分析。
[0237]
之后日志分析部840,对在步骤s201接收的日志进行分析(步骤s205)。步骤s205的处理内容如上所述。另外在步骤s207,对是否执行与车载网络有关的信息的分析的判断,在判断为不执行的情况下,不执行步骤s205。
[0238]
在步骤s202获得的优先级为5的情况下(步骤s203中的“=5”),不正当检测服务器80,立即作为不正当事件,将接收日志信息通知给车载网络监视系统的管理者(步骤s208)。之后,执行步骤s205(日志的分析)。
[0239]
接着,结果通知部850,确认在日志分析(步骤s205)的结果,是否检测出异常(步骤s209)。在没有检测到异常的情况下(步骤s209中的“否”),结束图11表示的一连串的处理。在检测到异常的情况下(在步骤s209中的“是”),将分析结果通知给车载网络监视系统的管理者(步骤s210)。
[0240]
[1.12实施方式1的效果]
[0241]
实施方式1涉及的车载网络监视系统中,网关900,按照规则保持部990保持的优先级规则,算出优先级,与从车载网络接收的帧有关的信息一同,通知给不正当检测服务器80。关于优先级规则规定了如下条件,当前的车辆行驶状态、接收的帧的种类、观测了接收的帧的总线的负载率、帧包括的mac的验证结果等。
[0242]
按照以这样的条件为基础算出的优先级,不正当检测服务器80变更分析处理。
[0243]
从而,被请求即时检测的车辆的状况中,可以优先分析例如高速行驶中、驾驶支援动作中的日志。此外,高总线负载、mac的验证失败等异常级高的状况下,不等待日志的分析结果,就通知车载网络监视系统的管理者所以很有效。
[0244]
(实施方式2)
[0245]
以下说明包括搭载了车载网络(车载网络系统)的多台车辆、以及服务器(称为不正当检测服务器)的车载网络监视系统、以及将与车载网络系统有关的信息通知给不正当检测服务器的信息通知方法,所述车载网络是多个电子控制单元(称为电子控制装置或者ecu)经由can总线进行通信的网络。本实施方式示出的车载网络监视系统的构成,与实施方式1示出的构成(参考图1)相同。
[0246]
[2.1车载网络系统的整体构成]
[0247]
图12是示出本实施方式中的车载网络系统的构成的图。与实施方式1的车载网络系统(参考图2)实现同样的功能的构成,赋予与实施方式1同样的编号,并省略说明。
[0248]
网关1900是连接不同的多个通信路,在通信路之间传输数据的ecu。网关1900与总线10、总线20、总线30、总线40以及总线50连接。
[0249]
换言之,网关1900是一种ecu,具有将从与网关1900连接的一个总线接收的帧(数据帧),在一定条件下,向其他总线(换言之按照条件选择的传输目的地总线)传输的功能。
[0250]
网关1900具备ids(intrusion detection system)功能或者ips功能(intrusion prevention system),并且具有检测车载网络系统中的不正当消息的功能、或者检测并排
除的功能。
[0251]
进而网关1900还具有将检测出的与不正当消息有关的信息,经由can总线,通知给其他装置的功能。网关1900的构成在后边详细说明。
[0252]
ecu1301,ecu1302具备用于与车辆外部的不正当检测服务器80进行通信的通信装置(通信电路等),例如具有将从网关1900通知的与不正当消息有关的信息,向不正当检测服务器80发送(加载)的功能。ecu1301、ecu1302的构成在后边详细说明。
[0253]
另外,网关1900、ecu1301、和ecu1302,分别相当于第一电子控制装置、第二电子控制装置、和第三电子控制装置。
[0254]
[2.2网关1900的构成]
[0255]
图13是示出网关1900的构成的图。网关1900由帧收发部910、帧解释部920、不正当帧检测部1930、不正当通知部1940、更新处理部940、传输控制部960、密钥处理部970、帧生成部980、不正当检测规则保持部1990、密钥保持部992构成。
[0256]
另外,与实施方式1同样的构成要素,赋予相同的编号,省略说明。
[0257]
帧解释部920,与实施方式1的情况相同,从帧收发部910接受帧的值,进行解释。而且,帧解释部920,将接收的帧的各字段的信息,通知给不正当帧检测部1930。
[0258]
不正当帧检测部1930,通过参考不正当检测规则保持部1990,判断从帧解释部920通知的帧是否为不正当帧。作为不正当帧的判断基准,例如是消息中包括的特定的字段为预先规定的值以外的不正当值的情况下、或者脱离预先规定的接收间隔的情况等。不正当帧检测部1930,在检测出从帧解释部920通知的帧符合所述情况时,判断为不正当帧。
[0259]
不正当帧检测部1930,在检测到不正当帧时,向不正当通知部1940通知检测到了不正当帧。此外,为了判断不正当帧,不正当帧检测部1930,持有表示从车辆的点火开始的经过时间的计时器、以及保持与过去接收的帧有关的信息的存储器。不正当帧检测部1930,相当于不正当检测部。
[0260]
不正当通知部1940,从不正当帧检测部1930被通知检测到了不正当帧时,为了将检测到不正当帧的事宜通知给网关1900的外部,向传输控制部960进行不正当通知帧的发送请求。传输控制部960,在接收该发送请求时,通过帧收发部910发送不正当通知帧。
[0261]
表示不正当通知帧的通知目的地的信息、或者发送目的地的总线,可以由检测到的不正当来改变。例如,不正当通知帧,通常经由ecu1301,通知给不正当检测服务器80。而且,关于ecu1301发送的帧、在检测到不正当帧的情况下,经由ecu1302,将不正当通知帧通知给不正当检测服务器80。
[0262]
这样,在车辆与不正当设备连接的情况下,不经由不正当设备,就能够向不正当检测服务器80通知信息,从而从安全性的观点上是优选的。
[0263]
为了实现上述,在不正当通知帧内,包含通知目的地的收件人信息(表示ecu1301或ecu1302的信息),将不正当通知帧的id能够按照通知目的地而变更。针对不正当通知帧,利用图14用在后边详细说明。
[0264]
不正当检测规则保持部1990保持不正当帧检测部1930参考的、用于不正当帧的判断的判断条件。针对存放在不正当检测规则保持部1990的数据,利用图15在后边详细说明。
[0265]
[2.3不正当通知帧]
[0266]
图14是表示在网关1900检测出不正当帧时,向其他的ecu通知不正当帧的检测的
不正当通知帧的一例的图。在图中表示检测到的不正当帧,通知给3个can帧的例子。
[0267]
另外,图14中的帧字段,是以十六进制数表示,1个数值对应4比特。
[0268]
不正当通知帧1是can id为0x600的不正当通知帧,由网关1900向总线30发送。数据的上位4比特的“0”是表示不正当通知帧的顺序的计数器,不正当通知帧1是第1个帧,所以设定了“0”。
[0269]
下面的4比特的“3”,表示该通知中使用的不正当通知帧的总数。在这个例子中,3个不正当通知帧用于该通知,所以设定为“3”。
[0270]
下面的8比特的“01”,表示不正当检测码。不正当检测码,表示不正当检测的种类。例如表示如下,以符合不正当检测规则保持部1990中存放的不正当检测规则中的哪一个规则,来被检测为不正当。在这个例子中,帧的接收间隔为不正当的事情用“01”来表示。
[0271]
下面的32比特,表示检测到不正当的帧(换言之不正当帧)的id。在这个例子中,表示id为“100”的帧中检测到不正当。
[0272]
最后的16比特是与不正当检测有关的附加信息用的字段。在这个例子中成为“00 00”,表示没有特别包括信息。在这个字段中,例如,帧的接收间隔判断为不正当时,可以包含实际上帧的接收间隔有几个的信息等。
[0273]
不正当通知帧2,同样是can id为0x600的不正当通知帧,由网关1900向总线30发送。数据的上位4比特是“1”是,表示不正当通知帧的顺序的计数器,不正当通知帧2是第二个帧,所以设定为“1”。
[0274]
下面的4比特是预约比特,没有特别的意义,而设定了“0”。
[0275]
下面的24比特是时间戳,包括车辆的点火成为导通之后的秒数。在这个例子中是“21”,表示经过了33秒。
[0276]
下面的32比特包括用于验证不正当通知帧的正当性的mac。在mac的生成中,包括算出不正当帧的id、时间戳、不正当帧的数据字段,使用上位32比特。在这个例子中表示,算出的mac是“e6 a1 23 5c”。
[0277]
不正当通知帧3,同样是can id为0x600的不正当通知帧,由网关1900向总线30发送。不正当通知帧3包括被通知为不正当的帧的数据字段,在这个例子中,表示被判断为不正当的id是0x100的数据帧的数据字段是“ff ff ff ff ff ff ff ff”。
[0278]
另外,不正当通知帧3,不包括表示不正当通知帧的顺序的计数器。
[0279]
另外,在所述中表示不正当通知帧的数量为3的例子,不正当通知帧的数量可以不限为3,只要是一个以上几个都可以。
[0280]
[2.4不正当检测规则]
[0281]
图15是示出网管1900的不正当检测规则保持部1990的内容即不正当检测规则的一例的图。在图15中示出保持4个不正当检测规则的例子。
[0282]
规则编号1的不正当检测规则是关于“周期”的规则,是规定了帧的正常接收间隔的规则。对象总线是“总线10”,对象帧的can id是“100”。表示规则即正常的接收间隔是“9~11ms”。换言之,网关1900,在从总线10接收的can id为100的数据帧的接收间隔没有在9~11ms的范围的情况下,作为接收了不正当帧,进行不正当通知帧的发送。
[0283]
相同,规则编号2的不正当检测规则是与“周期”有关的规则。表示对象总线是“总线20”、对象can id是“200”、正常的接收间隔是“18~22ms”。
[0284]
规则编号3的不正当检测规则是与“周期”有关的规则。表示对象总线是“总线30”,对象can id是“300”、正常的接收间隔是“36~44ms”。
[0285]
规则编号4的不正当检测规则是与“数据”有关的规则。对象总线是“总线10”,对象can id是“100”。表示正常数据的规则为“第0字节是0x00”。换言之网关1900从总线10接收的can id为100的数据帧的数据字段的第0个字节是0x00以外的情况下,作为接收了不正当帧,进行不正当通知帧的发送。
[0286]
[2.5ecu1301的构成图]
[0287]
图16是示出ecu1301的构成的图。另外,ecu1302是同样的构成。ecu1301被构成为包括:帧收发部910、帧解释部1320、优先级决定部1330、服务器通信部1340、连接设备通信部1350、帧生成部980、优先级规则保持部1360、帧履历保持部1370。另外,ecu1301的帧收发部910还称为第四通信部。
[0288]
帧解释部1320,从帧收发部910接收帧的值,以与can协议来规定的帧格式中的各个字段匹配的方式进行解释。
[0289]
此外,帧解释部1320,包括密钥处理部970和密钥保持部992,在接收的帧包括mac的情况下,验证帧的正当性,丢弃验证失败的帧。
[0290]
帧解释部1320,将接收的帧通知给连接设备通信部1350。
[0291]
此外,帧解释部1320,将从网关1900接收的不正当通知帧和向不正当检测服务器80通知的预先规定的帧,向优先级决定部1330通知。预先规定的帧,例如包括如下帧,该帧包含与车辆行驶有关的信号(例如车辆速度、操舵角度、加速度、刹车油压等)。帧解释部1320,相当于第二不正当检测结果接收部以及第二车辆日志提取部。
[0292]
另外,帧解释部1320,在接受的帧判断为是没有按照can协议的帧的情况下,通知帧生成部980发送错误帧。
[0293]
此外,帧解释部1320,在接收了错误帧的情况下,换言之根据接受的帧中的值解释为错误的帧的情况下,之后丢弃该帧,换言之中止错误帧的解释。
[0294]
优先级决定部1330,参考优先级规则保持部1360保持的、优先级规则,决定向不正当检测服务器80通知的消息包括的优先级。预先规定的帧的优先级是0,不正当通知帧中包括的不正当帧,决定1以上的优先级。关于优先级规则保持部1360保持的规则,利用图17在后边说明。另外,优先级决定部1330,相当于第二优先级决定部。
[0295]
优先级决定部1330,在决定优先级时,向服务器通信部1340通知应该通知的帧以及决定的优先级。关于优先级规则保持部1360保持的规则,利用图17在后边说明。
[0296]
服务器通信部1340具有从优先级决定部1330通知的帧和优先级通知给不正当检测服务器80的功能。服务器通信部1340,将优先级决定部1330通知的信息(帧以及优先级)存放到帧履历保持部1370。服务器通信部1340,相当于第五通信部。
[0297]
在服务器通信部1340,将定期通信用帧包括的信号(车辆速度,操舵角度,加速度,刹车油压等),接收为优先级0,在内部保持的存储器经常保持最新值。定期通信用帧的信息,定期(例如每1秒)地通知给不正当检测服务器80。
[0298]
另一方面,优先级为1以上的帧的信息(与被检测为不正当的帧有关的信息),在从优先级决定部1330通知的定时,向不正当检测服务器80通知。此时,参考帧履历保持部1370,在上次向不正当检测服务器80通知的信息与此次发送的信息是相同的id,并且具有
相同的不正当码的情况下,不进行向不正当检测服务器80的通知,换句话说禁止通知。
[0299]
从而,在车载网络,持续地发送不正当帧的情况下,不会出现将比较高的优先级的帧,频繁地通知给不正当检测服务器80,实现通信量削减以及不正当检测服务器80的处理负载减少,所以有效。
[0300]
此外,服务器通信部1340,接收来自不正当检测服务器80的控制命令,向连接设备通信部1350通知或者向帧生成部980通知。关于帧履历保持部1370保持的帧履历,利用图18用在后边详细说明。
[0301]
连接设备通信部1350,对与ecu1301连接的设备(汽车导航311)进行控制。例如,从服务器通信部1340,被通知安全性警报的显示的情况下,针对汽车导航311的画面进行控制,以显示安全性警报。
[0302]
ecu1302,与ecu1301具有相同的构成。但是,将ecu1302的优先级决定部1330称为第三优先级决定部。此外,ecu1302的帧解释部1320中的相当于第二不正当检测结果接收部的功能,称为第三不正当检测结果接收部。此外,ecu1302的帧解释部1320中的相当于第二车辆日志提取部的功能,称为第三车辆日志提取部。此外,ecu1302的帧收发部910,称为第六通信部。ecu1302的服务器通信部1340,称为第七通信部。
[0303]
[2.6优先级规则保持部]
[0304]
图17是示出ecu1301的优先级规则保持部1360的内容的优先级规则的一例的图。优先级规则中规定了用于决定优先级的条件、以及优先级。
[0305]
在图17表示的第一个优先级规则中,在通知定期通信用帧(车辆的速度、操舵角度、加速度、刹车油压等)的情况下,优先级设为0。
[0306]
在图17表示的第二个优先级规则中,在接收了不正当通知帧、并且不正当帧是不涉及车辆控制的帧的情况下,优先级设为1。不涉及车辆的控制的帧表示,只包括不直接或间接地影响与车辆的行驶、转弯、停止有关的控制的信号的帧。符合的帧是例如门或者窗户的开闭状态、或者灯的点灯状态等,与状态通知有关的帧。
[0307]
在图17表示的第三个优先级规则中,接收不正当通知帧,并且不正当帧是与车辆控制有关的帧,并且车辆在停车中的情况下,优先级设为2。与车辆的控制有关的帧,是包括如下的信号的帧,该信号是操舵装置的操舵指示或者减速请求等直接与车辆控制有关的信号、或者车辆的速度、白线检测状态或者与前方车辆的距离等需要驾驶支援功能的控制判断的传感器信息的间接地与车辆控制有关的信号。
[0308]
在图17示出的第四个优先级规则中,接收不正当通知帧,并且不正当帧是与车辆控制有关的帧、并且车辆为行驶中的情况下,危险度设为高,优先级设为3。
[0309]
另外,在本实施方式中,根据不正当帧是否与车辆的控制有关,以及根据当前的车辆状态来决定优先级,但是优先级决定的方法,不限于此。例如,诊断命令、关于固件更新的命令,或者预先决定的id的列表,不正当检测码的组合,来决定优先级。
[0310]
[2.7帧履历保持部]
[0311]
图18是表示ecu1301的帧履历保持部1370的内容的帧履历的一例的图。帧履历可以包括帧的时刻、帧的种类、不正当的种类、优先级、以及有无通知服务器。
[0312]
在图18的例子中,以上行保持新的顺序的帧的方式进行保持。
[0313]
图18表示的第一个帧履历表示,在时刻341.000(秒),定期通信的帧通知给不正当
检测服务器80(“向服务器通知”=1)。此外表示这个帧没有检测到不正当(不正当的种类为“无”),优先级为0。
[0314]
图18表示的第二个帧履历表示,在时刻340.330(秒),将包括挡位的信号的帧有关的不正当,没有通知给不正当检测服务器80(“向服务器通知”=0)。此外表示这个帧是周期规则的不正当(不正当的种类为“周期”),优先级为2。
[0315]
图18表示的第三个帧履历表示,在时刻340.230(秒),将与包括挡位的信号的帧有关的不正当,通知给不正当检测服务器80(“向服务器通知”=1)。此外表示这个帧是周期规则的不正当(不正当的种类为“周期”),优先级为2。
[0316]
所述第三个帧发送且所述第二个帧没有发送是表示,服务器通信部1340,将最初通知的包括挡位的帧,通知给不正当检测服务器80之后,被通知了同样的不正当通知帧,所以省略或者禁止了对不正当检测服务器80的通知。
[0317]
图18表示的第四个帧履历表示,在时刻340.000(秒),定期通信的帧通知给不正当检测服务器80(“向服务器通知”=1)。此外表示这个帧没有检测到不正当(不正当的种类为“无”),优先级为0。
[0318]
[2.8网关1900的处理流程图]
[0319]
图19是示出网关1900的帧接收时的处理的流程图。以下按照图19,说明帧接收时的处理流程图。
[0320]
网关1900,接收帧(步骤s1101)。
[0321]
网关1900,对接收的帧进行不正当检测处理(步骤s1102)。
[0322]
网关1900,在不正当检测处理的结果,判断是否检测到了不正当帧(步骤s1103)。
[0323]
在步骤s1103中没有检测到不正当帧的情况下(步骤s1103中的“是”),判断该不正当帧是否为与ecu1301有关的不正当帧(步骤s1104)。具体而言,参考不正当帧包括的can id,判断是否为ecu1301发送的帧。
[0324]
在步骤s1104,由步骤s1103检测出的不正当帧包含的id是与ecu1301有关的帧的情况下(步骤s1104中的“是”),网关1900针对ecu1302,发送不正当通知帧,以通知检测到不正当帧(步骤s1106)。具体而言,以与在检测到不正当帧时向ecu1301发送的不正当通知帧的id不同的id,发送不正当通知帧。之后结束处理。
[0325]
在步骤s1104,在步骤s1103检测的不正当帧包括的id,不是与ecu1301有关的帧的情况下(在步骤s1104中的“否”),网关1900针对ecu1301发送不正当通知帧,以通知检测到不正当帧(步骤s1107)。之后结束处理。
[0326]
在步骤s1103没有检测到不正当帧的情况下(步骤s1103中的“否”),按照保持在传输规则保持部991的传输规则,将接收的帧进行传输(步骤s1105)。之后结束处理。
[0327]
[2.9ecu1301的处理流程图]
[0328]
图20是示出ecu1301的处理流程图的图。以下,按照图20,说明ecu1301的处理流程图。
[0329]
另外,图20表示的一连串的处理,从ecu1301的内部的计时器复位的状态开始。
[0330]
ecu1301,使用内部的计时器判断是否经过了规定的时间(例如1秒)(步骤s1201)。
[0331]
ecu1301,在经过了规定的时间的情况下(步骤s1201中的“是”),包括定期通信用帧的信息和优先级(0),通知给不正当检测服务器80(步骤s1202)。定期通信用帧,包括最新
的与车辆行驶状态有关的信息(车辆的速度、操舵角度、加速度、刹车油压等),这些信息,从总线30接收的帧获得。
[0332]
之后,ecu1301,更新帧履历保持部1370保持的帧履历(步骤s1203)。
[0333]
而且,ecu1301,复位计时器(步骤s1204),返回到步骤s1201。
[0334]
ecu1301,在步骤s1201没有经过规定时间的情况下(步骤s1201中的“否”),判断是否接收了帧(步骤s1205)。在判断为没有接收帧的情况下(步骤s1205中的“否”),回到步骤s1201。在判断为接收了帧的情况下(步骤s1205中的“是”),判断该帧是否为不正当通知帧(步骤s1206)。
[0335]
ecu1301,在接收的帧是不正当通知帧的情况下(步骤s1206中的“是”),参考优先级规则保持部1360,决定不正当通知帧的优先级(步骤s1207)。
[0336]
之后,ecu1301,参考帧履历保持部1370,判断接收的不正当通知帧是否与前一次接收的不正当通知帧是同种(步骤s1208)。具体而言,这次接收的不正当检测帧与前一次接收的不正当检测帧,can id以及不正当的种类一致的情况下,判断为同种的不正当通知帧。与前一次接收的不正当通知帧是相同种类的情况下(步骤s1208中的“否”),将不正当通知帧不发送到不正当检测服务器80,更新帧履历保持部1370的帧接收履历(步骤s1210),回到步骤s1201。在前一次接收的不正当通知帧不是相同种类,换言之是不同种类的情况下(步骤s1208中的“是”),包括与不正当通知帧有关的信息和优先级,向不正当检测服务器80通知(步骤s1209)。
[0337]
之后,ecu1301更新帧履历保持部1370的帧接收履历(步骤s1210),回到步骤s1201。
[0338]
在步骤s1206接收的帧判断为不是不正当通知帧的情况下(步骤s1206中的“否”),ecu1301判断接收的帧是否为与定期通信用帧相关的帧(步骤s1211)。具体而言,判断是否为包括定期通信用帧包括的信息(车辆的速度、操舵角度、加速度,刹车油压等)的任一个信息的帧。
[0339]
在接收的帧被判断为是与定期通信用帧相关的帧的情况下(步骤s1211中的“是”),ecu1301将内部的存储器保持的定期通信用帧包括的信息进行更新(步骤s1212),回到步骤s1201。
[0340]
在步骤s1211判断为是与定期通信用帧有关的帧的情况下(步骤s1211中的“否”),ecu1301按照接收的帧进行处理。具体而言,执行被连接的设备的控制等(步骤s1213),回到步骤s1201。
[0341]
[2.10车辆与服务器之间正常时的处理序列]
[0342]
图21是在车辆内部没有检测到不正当帧的正常时的不正当检测服务器80与车辆之间的处理序列的一例的图。图21主要示出,某个车辆(车辆1010a),将包括与在车载网络的can总线接收的帧有关的信息(对帧的信息进行加工处理而获得的特征矢量)、以及表示优先级的信息的日志信息,发送到不正当检测服务器80,并且不正当检测服务器80进行帧的分析的动作例。
[0343]
具体而言表示某个车辆的网关1900接收1个帧时的动作例以及ecu1301的动作例。在这个例子中,示出了车辆1010a将日志信息发送到不正当检测服务器80的例子,但是针对不正当检测服务器80,其他各个车辆(车辆1010b、1010c、1010d、1010e以及1010f等)可以发
送同样的日志信息。以下,按照图21说明动作例。
[0344]
与总线10连接的ecu,发送帧,并且网关1900将该帧传输到总线30,ecu1301接收该帧。将该一连串的序列设为s2001。s2001重复执行。
[0345]
ecu1301,按照内部的计时器,将定期通信用帧与优先级(0),发送到不正当检测服务器80(s2002)。
[0346]
不正当检测服务器80,将定期通信用帧,作为车辆日志来接收(s2003)。优先级是0,所以不正当检测服务器80,只保存接收的车辆日志。
[0347]
[2.11车辆与服务器之间的不正当检测时的处理序列1]
[0348]
图22是示出在车辆内部检测到不正当帧的情况下的,不正当检测服务器80与车辆的处理序列的第一例的图。以下按照图22说明动作例。
[0349]
与图21同样,ecu1301将定期通信用帧通知给不正当检测服务器80。之后,某个帧被网关1900判断为不正当帧时,换句话说由网关1900检测出某个帧为不正当(s2101)。
[0350]
网关1900,在检测到不正当帧时,发送不正当通知帧,该不正当通知帧是用于通知帧是不正当的(s2102)。
[0351]
ecu1301,接收不正当通知帧(s2103)。
[0352]
ecu1301,根据不正当通知帧,决定优先级(s2104)。
[0353]
ecu1301,将在s2104决定的优先级、以及不正当通知帧,通知给不正当检测服务器80(s2105)。
[0354]
不正当检测服务器80,将接收的车辆日志,按照接收的优先级进行分析。
[0355]
[2.12车辆与服务器之间的不正当检测时的处理序列2]
[0356]
图23是示出在车辆内部检测到不正当帧的情况下的,不正当检测服务器80与车辆的处理序列的第二例的图。以下按照图23说明动作例。
[0357]
ecu1301接收不正当通知帧,决定优先级、并且通知给不正当检测服务器80的处理,是与图22共通的。
[0358]
另外,ecu1301,如图20所示,将定期通信用帧通知给不正当检测服务器80,但是图20中省略了记载。
[0359]
示出的例子如下,ecu1301,在接收了第二次不正当通知帧时,参考帧履历保持部1370,其是与前一次接收的不正当通知帧是相同种类的不正当,所以不进行对不正当检测服务器80的通知(s2201)。之后另接收别的不正当通知帧,所以包括优先级和不正当通知帧有关的信息,发送到不正当检测服务器80(s2202)。
[0360]
[2.13车辆与服务器之间的不正当检测时的处理序列3]
[0361]
图24是示出在车辆内部检测到不正当帧的情况下的,不正当检测服务器80与车辆的处理序列的第三例的图。以下按照图24说明动作例。
[0362]
ecu1301,将定期通信用帧通知给不正当检测服务器80的处理,是与图20共通的。
[0363]
ecu1301,向总线30发送帧(s2301)。
[0364]
网关1900,将该帧作为不正当帧来判断(s2302)。
[0365]
网关1900发送不正当通知帧,但是有可能ecu1301进行不正当动作,所以将通知目的地从ecu1301切换为ecu1302(s2303)。具体而言,将不正当通知帧的id,变更为不同于通知给ecu1301的情况。
[0366]
ecu1302,接收不正当通知帧,决定优先级,将与不正当通知帧有关的信息与优先级,发送到不正当检测服务器80。不正当检测服务器80将接收的车辆日志,按照优先级进行分析。
[0367]
[实施方式2的效果]
[0368]
在实施方式2涉及的车载网络监视系统中,在车辆内部,保持进行不正当检测处理的网关1900,能够时常监视车载网络。从而,仅在检测到不正当时将检测出的不正当帧,不定期地通知给不正当检测服务器80,从而实现减少车辆日志的通信量以及减少不正当检测服务器80的处理负载。
[0369]
此外,ecu1302,在车载网络观测到的同种的不正当帧,不通知给不正当检测服务器80,从而有效地实现减少通信量以及减少不正当检测服务器80的处理负载。
[0370]
此外网关1900,根据检测到的不正当帧的id,变更向不正当检测服务器80通知不正当帧的路径。从而,车辆日志通知路径的途中,绕过有怀疑进行不正当动作的装置,向不正当检测服务器80,通知车辆日志,从而期待车载网络监视系统的安全性提高。
[0371]
(其他变形例)
[0372]
另外,以上根据本发明的所述各个实施方式进行了说明,但是本发明,不被所述各个实施方式所限定。以下情况也包括在本发明中。
[0373]
(1)在所述实施方式中,将车载网络说明为can,但不限定于此,可以是can-fd(can with flexible data rate)、ethernet、lin(local interconnect network)、flexray,或者将这些组合的构成。
[0374]
(2)在所述实施方式中,在云端服务器侧进行基于机器学习的异常检测处理,但是也可以在车辆内部的装置进行处理。例如,可以在头单元上的gpu(graphics processing unit)进行。通过这样,能够提高即时检测性。在这个情况下,可以在云端聚集在车辆本地检测到异常的结果。这时处理的优先级可以在头单元的内部算出,也可以通过其他装置例如网关等,包括在can消息来通知。
[0375]
(3)在所述实施方式中,在制作特征矢量时的预处理,在本地侧进行,但是也可以在云端服务器侧进行。
[0376]
(4)在所述实施方式中,在云端服务器侧进行异常检测处理,但是也可以在本地环境附近的边缘服务器进行异常检测处理。通过这样做,比在云端侧进行异常检测处理,减少网络延迟处理的影响。例如边缘服务器是路侧设备,路侧设备与云端服务器连接,车辆在路侧设备上加载车载消息信息,在路侧设备进行异常检测处理,将异常检测的结果加载到云端服务器。
[0377]
(5)在所述实施方式中,在车辆和云端服务器侧检测到异常时,作为通知警报的目的地,设成车载网络监视系统的管理者,但是并不限于此。例如,可以通知给汽车制造厂或者ecu提供者、用户所有的信息终端。此外,也可以通知给在多个汽车制造厂之间能够共同利用的安全性服务提供商。
[0378]
(6)在所述实施方式中,不正当检测服务器,在优先级高时,用于车辆日志的分析的服务器的计算资源分配地多,但是也可以不仅计算资源分配地多,还从优先级高的顺序依次进行处理(图25)。在不正当检测服务器以单线程进行处理的情况下,从优先级高的顺序依次进行分析,能够即时进行不正当检测以及对应,所以有效。
[0379]
(7)在所述实施方式中,优先级最高时,即时向车载网络监视系统的管理者通知之后,进行车辆日志的分析,但是也可以不进行车辆日志的分析(图26)。从而,针对明显的不正当事件,不但能够即时通知给管理者,并且能够节省分析的处理,有效地减轻服务器的处理负载。
[0380]
(8)在所述实施方式2中,优先级决定部,位于与不正当检测服务器进行通信的ecu中,但是也可以位于网关。此外图26表示的车载网络架构中,可以在多个网域控制器内,具有优先级决定部。那时网关,从各网域控制器通知来的优先级以及日志为基础,从高优先级的日志按顺序,通知给不正当检测服务器,也可以再计算优先级,也可以将相同的优先级的日志,一并通知给不正当检测服务器。
[0381]
(9)在所述实施方式2中,不正当检测处理部与服务器通信部分开设置在不同的装置,但是也可以在相同的装置内设置这两个要素。例如,服务器通信部可以位于网关,不正当检测处理部可以位于ecu内。
[0382]
(10)在所述实施方式2中,在切换不正当通知帧的通知目的地时,通过向相同的总线发送变更了can id的不正当通知帧,从而变更了通知目的地,但是变更通知目的地的方法,可以不限于此。例如以相同的can id,在数据字段中指定通知目的地也可以实现。此外不是相同的总线,也可以向不同的总线发送不正当通知帧。从而,绕过异常级高的总线,来发送不正当通知帧,从而能够提高安全性,所以有效。
[0383]
(11)在所述实施方式中,与向不正当检测服务器通知的日志一同常常包括优先级,但是也可以不是常常包括优先级。例如,在实施方式2中的定期通信用帧,可以不用包括优先级。
[0384]
(12)在所述实施方式中,优先级可以取0~5的值,但是优先级不限于此。例如,可以作为0~100的比分来表示优先级。从而,不正当检测服务器的优先级的分配可以更详细地进行,从而有效。此时,在小于规定的第一阈值的优先级的情况下,只保存日志,在第一阈值以上且小于第二阈值的情况下,按照优先级的高度顺序进行车辆的日志分析,在第二阈以上的情况下,作为向车载网络监视系统管理者通知的方式,实现服务器的处理。
[0385]
(13)在所述实施方式中,在实施方式1以及实施方式2中分开记载了按照当前的车辆的状态算出的优先级,与针对不正当帧算出的优先级,但是两者可以同时处理。此时,可以将按照车辆状态的优先级与针对帧的优先级分开,通知给不正当检测服务器,此外根据将两者合并起来的新的优先级规则,算出1个优先级。从而能够更全面地算出优先级,针对风险高的不正当事件,不正当检测服务器能够优先进行处理,所以有效。
[0386]
(14)在所述实施方式2中,在接收了同种的不正当通知帧的情况下,不通知给不正当检测服务器,但是不通知给不正当检测服务器的条件,不限于此。例如规定每个单位时间能够通知的通信量的阈值,在超出通信量的阈值的情况下,可以不通知给不正当检测服务器。
[0387]
(15)在所述实施方式中,任何优先级的车辆日志,都通知给不正当检测服务器,但是根据优先级,可以省略向不正当检测服务器的通知。例如,在优先级是规定的阈值以下的情况下,车辆日志不向不正当检测服务器通知。进而,也可以是从不正当检测服务器指定规定的阈值的构成。从而,按照不正当检测服务器的处理负载状况,能够限制从车辆加载的车辆日志,对通信量的削减以及减轻不正当检测服务器的处理负载也有效。
[0388]
(16)在所述实施方式中示出,将优先级高的帧,即时向不正当检测服务器通知的例子,但是可以不必将车辆日志即时通知。例如可以仅在同种的优先级高的帧,在规定期间内检测到规定数以上的情况下,向不正当检测服务器通知与帧有关的信息。此外可以在规定期间蓄积优先级,超过规定的阈值的情况下,通知不正当检测服务器也可以。从而,对通信量的削减以及减轻不正当检测服务器的处理负载也有效。
[0389]
(17)在所述实施方式2中,被判断为不正当的帧,不定期地通知给不正当检测服务器,进而将具有与判断为不正当的帧相同的can id的帧,保持规定的期间。从而,通过以后的服务器的请求,能够参考具有与被判断为不正当的帧相同的can id的帧的接收履历,从而能够获得分析帧时有效的信息。
[0390]
(18)在所述实施方式中,通知给不正当检测服务器的车辆日志,是与can帧有关的信息,但是通知给不正当检测服务器的车辆日志不限于此。例如可以是ethernet的帧、can-fd帧,flexray帧,也可以不是车载网络帧。例如可以是表示车辆的现在位置的gps信息、音频头单元的访问日志、与动作过程有关的日志、固件的版本信息等信息。
[0391]
(19)在所述实施方式中的各个装置,具体而言是微处理机、rom、ram、硬件单元,显示器单元、键盘、鼠标等构成的计算机系统。在ram或硬件单元,记录有计算机程序。微处理机,按照计算机程序进行动作,从而各装置完成其功能。在这里计算机程序是为了达成规定的功能,由命令码多个组合而构成的程序,该命令码表示对计算机的指令。
[0392]
(20)在所述实施方式中的各个装置的构成要素的一部分或者全部,可以由1个系统lsi(large scale integration:大规模集成电路)构成。系统lsi是将多个构成部集成在1个芯片上制造的超多功能lsi,具体而言是包括微处理机、rom、ram等而构成的计算机系统。ram记录有计算机程序。微处理机,按照计算机程序来动作,从而系统lsi达成该功能。
[0393]
此外,构成所述各装置的构成要素的各部分,可以分别单片化,或者包括一部分或者全部的方式单片化。
[0394]
此外,在这里称为系统lsi,但是根据集成度的不同,还称为ic、lsi、超大lsi、特大lsi。此外,集成电路化的方法不限于lsi,可以用专用电路或者通用处理器来实现。也可以使用在lsi制造后可编程的fpga(field programmable gate array:现场可编程门阵列)、或者可重构lsi内部的电路单元的连接以及设定的可重构处理器。
[0395]
进而,随着半导体技术的进步或者派生出的别的技术,出现能够替代lsi的集成电路化技术时,当然可以使用该技术进行功能块的集成化。有可能适用生物技术等。
[0396]
(21)构成所述各装置的构成要素的一部分或全部,可以由在各装置上能够装拆的ic卡或单体的模块构成。所述ic卡或所述模块,是由微处理机、rom、ram等构成的计算机系统。ic卡或所述模块,可以包括所述超多功能lsi。微处理机,按照计算机程序进行动作,从而ic卡或所述模块达成其功能。这个ic卡或者该模块,可以具有耐篡改性。
[0397]
(22)本发明可以是上述示出的方法。此外,也可以是将这些方法由计算机来实现的计算机程序,或者由计算机程序构成的数字信号。
[0398]
此外,本发明可以是将计算机程序或者数字信号记录在计算机可读取的记录介质、例如记录在软磁盘、硬盘、cd-rom、mo、dvd、dvd-rom、dvd-ram、bd(blu-ray(注册商标)disc)、半导体存储器等。还有,也可以是记录在这些记录介质中的所述数字信号。
[0399]
此外,本发明可以是将所述计算机程序或所述数字信号,经由通信线路、无线或有
线通信线路、因特网为代表的网络、以及数据广播等来传输。
[0400]
此外,本发明是具备微处理机和存储器的计算机系统,所述存储器,记录所述计算机程序,微处理机,按照计算机程序进行动作。
[0401]
此外,通过将程序或数字信号记录并移动到所述记录介质、或者将程序或数字信号经由网络等移送,从而由独立的其他计算机系统来实施。
[0402]
(23)所述实施方式以及所述变形例可以分别组合。
[0403]
另外,在所述实施方式中,各个构成要素,可以由专用的硬件来构成,或者执行适合各个构成要素的软件程序来实现。各个构成要素,由cpu或处理器等程序执行部,将记录在硬盘或半导体存储器等记录介质中的软件程序读出并执行来实现。在此,实现所述实施方式的车载网络监视系统等的软件是如下的程序。
[0404]
即,这个程序使计算机执行车载网络监视方法,该车载网络监视方法是对搭载在车辆上的车载网络进行监视的方法,包括:优先级决定步骤,利用如下的一个以上来决定优先级,即搭载所述车载网络系统的车辆的状态、在所述车载网络进行通信的消息的标识符、以及所述消息的不正当检测结果;第一通信步骤,对在所述车载网络进行通信的消息进行收发;车辆日志提取步骤,根据在所述第一通信步骤接收的所述消息,提取与所述车载网络有关的信息;第二通信步骤,将包括所述优先级以及与所述车载网络有关的信息的通知信息进行通知;第三通信步骤,从所述一个以上的车辆接收通知信息,所述通知信息包括优先级以及与所述车载网络系统有关的信息;以及日志分析步骤,根据与所述车载网络系统有关的信息,分析所述车载网络系统是否发生了不正当,在所述日志分析步骤中,在所述通知信息包括的所述优先级越大时,更优先地对所述通知信息包括的与所述车载网络系统有关的信息进行分析。
[0405]
以上基于实施方式对一个或多个方案所涉及的电子控制装置等进行了说明,不过本发明并非受上述的实施方式所限。在不超出本发明的宗旨的范围内,将本领域技术人员想出的各种变形实施在本实施方式、或者将不同实施方式中的构成要素进行组合构筑的形式,也包括在本发明一个或多个方案的范围内。
[0406]
工业实用性
[0407]
本发明能够适用于在车辆上搭载的电子控制装置、以及检测车载网络中的不正当的不正当检测服务器等。
[0408]
符号说明
[0409]
10,20,30,40,50 总线
[0410]
80 不正当检测服务器
[0411]
81 网络
[0412]
100,101,200,201,300,301,302,400,401,1301,1302 ecu
[0413]
110 引擎
[0414]
111 变速器
[0415]
210 刹车
[0416]
211 操舵装置
[0417]
310 摄像机
[0418]
311 汽车导航
[0419]
312 车辆间通信模块
[0420]
410 门
[0421]
411 写入
[0422]
510 诊断端口
[0423]
810 通信部
[0424]
820 处理判断部
[0425]
830 日志收集部
[0426]
840 日志分析部
[0427]
850 结果通知部
[0428]
860 接受部
[0429]
870 对应部
[0430]
880 车辆信息数据库
[0431]
881 车辆日志存放数据库
[0432]
882 分析结果存放数据库
[0433]
883 安全信息数据库
[0434]
890 设定部
[0435]
900,1900 网关
[0436]
910 帧收发部
[0437]
920,1320 帧解释部
[0438]
930,1330 优先级决定部
[0439]
931 不正当检测部
[0440]
940 更新处理部
[0441]
950 帧加载部
[0442]
960 传输控制部
[0443]
970 密钥处理部
[0444]
980 帧生成部
[0445]
990 规则保持部
[0446]
991 传输规则保持部
[0447]
992 密钥保持部
[0448]
1010a,1010b,1010c,1010d,1010e,1010f 车辆
[0449]
1340 服务器通信部
[0450]
1350 连接设备通信部
[0451]
1360 优先级规则保持部
[0452]
1370 帧履历保持部
[0453]
1930 不正当帧检测部
[0454]
1940 不正当通知部
[0455]
1990 不正当检测规则保持部
[0456]
u 管理者
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
