[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2018100783A1 - 検知装置、検知方法および検知プログラム - Google Patents

検知装置、検知方法および検知プログラム Download PDF

Info

Publication number
WO2018100783A1
WO2018100783A1 PCT/JP2017/024633 JP2017024633W WO2018100783A1 WO 2018100783 A1 WO2018100783 A1 WO 2018100783A1 JP 2017024633 W JP2017024633 W JP 2017024633W WO 2018100783 A1 WO2018100783 A1 WO 2018100783A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
vehicle
message
transmitted
unit
Prior art date
Application number
PCT/JP2017/024633
Other languages
English (en)
French (fr)
Inventor
濱田芳博
堀端啓史
Original Assignee
住友電気工業株式会社
株式会社オートネットワーク技術研究所
住友電装株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 住友電気工業株式会社, 株式会社オートネットワーク技術研究所, 住友電装株式会社 filed Critical 住友電気工業株式会社
Priority to US16/461,471 priority Critical patent/US11392683B2/en
Priority to DE112017006132.6T priority patent/DE112017006132T5/de
Priority to CN201780071922.3A priority patent/CN110063043B/zh
Publication of WO2018100783A1 publication Critical patent/WO2018100783A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Definitions

  • the present invention relates to a detection device, a detection method, and a detection program.
  • This application claims the priority on the basis of Japanese application Japanese Patent Application No. 2016-234083 for which it applied on December 1, 2016, and takes in those the indications of all here.
  • Patent Document 1 Japanese Patent Laid-Open No. 2016-1116075 discloses the following in-vehicle communication system. That is, the in-vehicle communication system performs message authentication by using a transmission side code that is a message authentication code generated by a communication data transmission side and a reception side code that is a message authentication code generated by the communication data reception side.
  • a first ECU that is connected to an in-vehicle network and holds only the first encryption key out of a second encryption key different from the first encryption key and the first encryption key;
  • a second ECU connected to the in-vehicle network and holding at least the first encryption key, and connected to the in-vehicle network and an external network, and the first encryption key and the second encryption key out of the first encryption key.
  • the detection device of the present disclosure is a detection device that detects unauthorized communication in an in-vehicle network mounted on a vehicle, and is first information transmitted in the in-vehicle network that indicates a state or control related to the vehicle. Based on the first information monitored by the monitoring unit, a prediction unit predicting the occurrence of second information in the in-vehicle network, which indicates a state or control related to the vehicle, and A determination unit configured to determine whether or not the transmitted second information is illegal based on a prediction result of the prediction unit when the second information is transmitted in the in-vehicle network.
  • the detection method of the present disclosure is a detection method in a detection device that detects unauthorized communication in an in-vehicle network mounted on a vehicle, and is transmitted in the in-vehicle network indicating a state or control related to the vehicle.
  • the step of monitoring the information of 1 the step of predicting the occurrence of the second information in the in-vehicle network indicating the state or control relating to the vehicle based on the monitored first information, and in the in-vehicle network Determining whether or not the transmitted second information is illegal based on a predicted result when the second information is transmitted.
  • a detection program is a detection program used in a detection device that detects unauthorized communication in an in-vehicle network mounted on a vehicle, the computer indicating a state or control related to the vehicle.
  • Generation of second information in the in-vehicle network that indicates a state or control related to the vehicle based on the first information monitored by the monitoring unit and monitoring the first information transmitted in And when the second information is transmitted in the in-vehicle network, it is determined whether or not the transmitted second information is illegal based on a prediction result of the prediction unit.
  • This is a program for functioning as a determination unit.
  • One aspect of the present disclosure can be realized not only as a detection device including such a characteristic processing unit but also as an in-vehicle detection system including a detection device. Further, one embodiment of the present disclosure can be realized as a semiconductor integrated circuit that realizes part or all of the detection device.
  • FIG. 1 is a diagram showing a configuration of an in-vehicle detection system according to an embodiment of the present invention.
  • FIG. 2 is a diagram showing a configuration of the bus connection device group according to the embodiment of the present invention.
  • FIG. 3 is a diagram showing a configuration of the gateway device in the in-vehicle detection system according to the embodiment of the present invention.
  • FIG. 4 is a diagram showing a configuration of a detection device in the gateway device according to the embodiment of the present invention.
  • FIG. 5 is a diagram for explaining an example of the power window operation in the target vehicle according to the embodiment of the present invention.
  • FIG. 6 is a diagram for explaining an example of a smart entry in the target vehicle according to the embodiment of the present invention.
  • FIG. 1 is a diagram showing a configuration of an in-vehicle detection system according to an embodiment of the present invention.
  • FIG. 2 is a diagram showing a configuration of the bus connection device group according to the embodiment of the present invention.
  • FIG. 3 is
  • FIG. 7 is a diagram for explaining an example of starting a prime mover using a smart entry in the target vehicle according to the embodiment of the present invention.
  • FIG. 8 is a flowchart that defines an operation procedure when the detection apparatus according to the embodiment of the present invention detects the occurrence of the accompanying behavior.
  • FIG. 9 is a flowchart defining an operation procedure when the detection apparatus according to the embodiment of the present invention determines whether the target message is illegal.
  • FIG. 10 is a diagram showing an example of a connection topology of the in-vehicle network according to the embodiment of the present invention.
  • Patent Document 1 a first encryption key used for message authentication by a first ECU and a second ECU connected only to an in-vehicle network, and a third connected to both the in-vehicle network and the outside network.
  • a configuration is disclosed that prevents cyber attacks from the external network on the first ECU and the second ECU that are not connected to the external network by being different from the second encryption key used by the ECU.
  • the present disclosure has been made to solve the above-described problem, and an object thereof is to provide a detection device, a detection method, and a detection program that can correctly detect unauthorized communication in an in-vehicle network.
  • a detection apparatus is a detection apparatus that detects unauthorized communication in an in-vehicle network mounted on a vehicle, and is transmitted in the in-vehicle network indicating a state or control related to the vehicle. Based on the first information monitored by the monitoring unit and predicting the occurrence of the second information in the in-vehicle network indicating the state or control related to the vehicle based on the first information monitored by the monitoring unit When the second information is transmitted in the prediction unit and the in-vehicle network, the determination unit determines whether or not the transmitted second information is illegal based on a prediction result of the prediction unit. With.
  • the configuration in which the occurrence of the second information is predicted based on the first information in the in-vehicle network can acquire, for example, a period during which the second information is likely to occur. It is possible to determine that the second information generated in a different period is illegal. Thereby, unauthorized communication in the in-vehicle network can be detected correctly.
  • the generation factors of the first information and the second information are different.
  • the monitoring unit monitors a plurality of types of the first information, and the determination unit is monitored by the monitoring unit to determine whether one type of the second information is illegal.
  • the prediction result based on a plurality of types of the first information is used.
  • the occurrence of the second information can be predicted based on the results of various sensing of the behavior of the user or the vehicle, so that the prediction accuracy of the occurrence of the second information can be improved.
  • the prediction unit includes determination criterion information created based on a history of the first information generated when the second information is transmitted in the in-vehicle network, and the monitoring unit. Generation of the second information is predicted based on the monitored first information.
  • the prediction unit predicts the occurrence of the second information based on the content of the first information monitored by the monitoring unit.
  • the occurrence of the second information correlated with the behavior can be predicted based on the content of the behavior of the user or the vehicle indicated by the first information. Prediction accuracy can be improved.
  • a detection method is a detection method in a detection device that detects unauthorized communication in an in-vehicle network mounted on a vehicle, and indicates the state or control related to the vehicle. Monitoring the first information transmitted in step, and predicting the occurrence of the second information in the in-vehicle network indicating the state or control related to the vehicle based on the monitored first information; Determining whether the transmitted second information is illegal based on a predicted result when the second information is transmitted in the in-vehicle network.
  • the configuration in which the occurrence of the second information is predicted based on the first information in the in-vehicle network can acquire, for example, a period during which the second information is likely to occur. It is possible to determine that the second information generated in a different period is illegal. Thereby, unauthorized communication in the in-vehicle network can be detected correctly.
  • a detection program is a detection program used in a detection device that detects unauthorized communication in an in-vehicle network mounted on a vehicle, and controls a state or control related to the vehicle.
  • a monitoring unit that monitors first information transmitted in the in-vehicle network, and a state or control related to the vehicle based on the first information monitored by the monitoring unit. And when the second information is transmitted in the in-vehicle network, the transmitted second information is incorrect based on the prediction result of the prediction unit. It is a program for functioning as a determination unit for determining whether or not.
  • the configuration in which the occurrence of the second information is predicted based on the first information in the in-vehicle network can acquire, for example, a period during which the second information is likely to occur. It is possible to determine that the second information generated in a different period is illegal. Thereby, unauthorized communication in the in-vehicle network can be detected correctly.
  • FIG. 1 is a diagram showing a configuration of an in-vehicle detection system according to an embodiment of the present invention.
  • the in-vehicle detection system 301 includes a gateway device 151, a plurality of in-vehicle communication devices 111, and a plurality of bus connection device groups 121.
  • FIG. 2 is a diagram showing a configuration of the bus connection device group according to the embodiment of the present invention.
  • the bus connection device group 121 includes a plurality of control devices 122.
  • the bus connection device group 121 is not limited to a configuration including a plurality of control devices 122, and may include a single control device 122.
  • the on-vehicle detection system 301 is mounted on a vehicle traveling on a road (hereinafter also referred to as a target vehicle).
  • the in-vehicle network 12 is mounted on the target vehicle and includes a plurality of in-vehicle devices that are devices inside the target vehicle.
  • the in-vehicle network 12 includes a plurality of in-vehicle communication devices 111 and a plurality of control devices 122 which are examples of in-vehicle devices.
  • the in-vehicle network 12 may include a plurality of in-vehicle communication devices 111 and does not include the control device 122.
  • the control device 122 may be included, or the configuration including one in-vehicle communication device 111 and one control device 122 may be used.
  • the in-vehicle communication device 111 communicates with a device outside the target vehicle, for example.
  • the in-vehicle communication device 111 is, for example, a TCU (Telematics Communication Unit), a short-range wireless terminal device, and an ITS (Intelligent Transport Systems) wireless device.
  • TCU Transmission Control Unit
  • ITS Intelligent Transport Systems
  • the TCU can perform wireless communication with the wireless base station device and can communicate with the gateway device 151 according to a communication standard such as LTE (Long Term Evolution) or 3G, for example.
  • the TCU relays information used for services such as navigation, vehicle theft prevention, remote maintenance, and FOTA (Firmware Over The Air).
  • the short-range wireless terminal device is a wireless terminal such as a smart phone held by a person (hereinafter also referred to as a target person) in a target vehicle according to a communication standard such as Wi-Fi (registered trademark) and Bluetooth (registered trademark). It is possible to perform wireless communication with the device and to communicate with the gateway device 151.
  • the short-range wireless terminal device relays information used for services such as entertainment.
  • the short-range wireless terminal device for example, according to a predetermined communication standard, a wireless terminal device such as a smart key held by the subject, a wireless terminal device provided on a tire, and an LF (Low Frequency) band or UHF (Ultra) Wireless communication can be performed using radio waves in the High Frequency) band, and communication with the gateway device 151 can be performed.
  • the short-range wireless terminal device relays information used for services such as smart entry and TPMS (Tire Pressure Monitoring System).
  • An ITS wireless device can perform road-to-vehicle communication with roadside devices such as optical beacons, radio wave beacons, and ITS spots provided in the vicinity of a road, for example, between an in-vehicle terminal mounted on another vehicle and a vehicle Communication is possible, and communication with the gateway device 151 is possible.
  • the ITS radio relays information used for services such as congestion reduction, safe driving support, and route guidance.
  • the gateway device 151 can transmit and receive data such as firmware updates and the data accumulated by the gateway device 151 to and from the maintenance terminal device outside the target vehicle via the port 112, for example.
  • the gateway device 151 is connected to the in-vehicle device via buses 13 and 14, for example.
  • the buses 13 and 14 are, for example, CAN (Controller Area Network) (registered trademark), FlexRay (registered trademark), MOST (Media Oriented Systems Transport) (registered trademark), Ethernet (registered trademark), and LIN.
  • CAN Controller Area Network
  • FlexRay registered trademark
  • MOST Media Oriented Systems Transport
  • Ethernet registered trademark
  • LIN a bus that complies with a standard such as (Local Interconnect Network).
  • the in-vehicle communication device 111 is connected to the gateway device 151 via the bus 14 corresponding to the Ethernet standard.
  • each control device 122 in the bus connection device group 121 is connected to the gateway device 151 via the bus 13 corresponding to the CAN standard.
  • the control device 122 can control, for example, a functional unit in the target vehicle.
  • the bus 13 is provided for each system, for example.
  • the bus 13 is, for example, a drive bus, a chassis / safety bus, a body / electrical bus, and an AV / information bus.
  • An engine control device which is an example of the control device 122, an AT (Automatic Transmission) control device, and a HEV (Hybrid Electric Vehicle) control device are connected to the driving system bus.
  • the engine control device, the AT control device, and the HEV control device control the engine, AT, and switching between the engine and the motor, respectively.
  • a brake control device, a chassis control device, and a steering control device which are examples of the control device 122, are connected to the chassis / safety bus.
  • the brake control device, the chassis control device, and the steering control device control the brake, the chassis, and the steering, respectively.
  • An instrument display control device, an air conditioner control device, an antitheft control device, an air bag control device, and a smart entry control device which are examples of the control device 122, are connected to the body / electric system bus.
  • the instrument display control device, the air conditioner control device, the anti-theft control device, the airbag control device, and the smart entry control device control the instrument, the air conditioner, the anti-theft mechanism, the airbag mechanism, and the smart entry, respectively.
  • the navigation control device, audio control device, ETC control device, and telephone control device control the navigation device, audio device, ETC device, and mobile phone, respectively.
  • bus 13 is not limited to the configuration in which the control device 122 is connected, and an in-vehicle device other than the control device 122 such as a sensor may be connected.
  • the gateway device 151 is, for example, a central gateway (CGW), and can communicate with an in-vehicle device.
  • CGW central gateway
  • the gateway device 151 includes, for example, information exchanged between the control devices 122 connected to different buses 13 in the target vehicle, information exchanged between the in-vehicle communication devices 111, and between the control device 122 and the in-vehicle communication device 111. Performs relay processing to relay information exchanged in
  • a message is periodically transmitted from one in-vehicle device to another in-vehicle device.
  • a message periodically transmitted from one control device 122 to another control device 122 will be described.
  • a message transmitted between the control device 122 and the in-vehicle communication device 111, and between each in-vehicle communication device 111 The same applies to the message to be transmitted.
  • the message transmission may be performed by broadcast or unicast.
  • a periodically transmitted message is also referred to as a periodic message.
  • the event message is used, for example, to transmit information related to door lock, battery, fuel, air conditioner operation, seat belt, driving support, lighting, meter display, and window operation.
  • the message includes an ID for identifying the content of the message and the transmission source. Whether the message is a periodic message or an event message can be identified by the ID.
  • FIG. 3 is a diagram showing a configuration of the gateway device in the in-vehicle detection system according to the embodiment of the present invention.
  • gateway device 151 includes communication processing unit 51 and detection device 101.
  • the communication processing unit 51 in the gateway device 151 performs relay processing. More specifically, when receiving a message from a certain in-vehicle device via a corresponding bus, the communication processing unit 51 transmits the received message to another in-vehicle device via the corresponding bus.
  • FIG. 4 is a diagram showing a configuration of a detection device in the gateway device according to the embodiment of the present invention.
  • the detection device 101 includes a monitoring unit 31, a prediction unit 32, a determination unit 33, and a learning unit 34.
  • the detection device 101 detects unauthorized communication in the in-vehicle network 12.
  • the learning unit 34 in the detection apparatus 101 creates the criterion information based on the history of the first information that indicates the state or control related to the target vehicle and is transmitted in the in-vehicle network 12, for example.
  • the first information is generated when the second information transmitted in the in-vehicle network 12 is transmitted, indicating control related to the target vehicle.
  • the learning unit 34 specifies correlated information among a plurality of pieces of information transmitted in the in-vehicle network 12 by using a machine learning method such as SVM (Support vector machine), for example.
  • SVM Small vector machine
  • the learning unit 34 specifies, for example, first information and second information having different generation factors. Specifically, the learning unit 34, for example, second information based on a behavior (hereinafter, also referred to as a target behavior) associated with an operation performed by the subject with a purpose, and a behavior (hereinafter, referred to as a target behavior). The first information based on the accompanying behavior is also specified.
  • a behavior hereinafter, also referred to as a target behavior
  • a target behavior a behavior associated with an operation performed by the subject with a purpose
  • a behavior hereinafter, referred to as a target behavior
  • the first information based on the accompanying behavior is also specified.
  • FIG. 5 is a diagram for explaining an example of the power window operation in the target vehicle according to the embodiment of the present invention.
  • the target vehicle 1 is provided with windows Wfd, Wfa, Wra, and Wrd that can be opened and closed in a driver seat, a passenger seat, a passenger seat side rear seat, and a driver seat side rear seat.
  • power window switches SD1 to SD4 are provided for opening and closing the windows Wfd, Wfa, Wra, and Wrd, respectively.
  • a power window switch SA for opening and closing the window Wfa is provided in the vicinity of the passenger seat.
  • the target behavior IB1 occurs when the driver operates the power window switches SD1 to SD4, the following accompanying behavior occurs.
  • the accompanying behavior AB1 occurs, for example, the rotation angle of the steering changes.
  • the accompanying behavior AB2 occurs, for example, the opening of the accelerator changes.
  • the accompanying behavior AB3 occurs, for example, the driver load distribution in the driver's seat changes.
  • the target behavior IB4 accompanying the operation of the power window switch SA by the subject in the passenger seat occurs, the accompanying behavior AB4 in which the subject moves the body on the passenger seat occurs.
  • the learning unit 34 monitors, for example, the content of information transmitted in the in-vehicle network 12 and identifies the first information and the second information based on the monitoring result.
  • the first information and the second information have a correlation, for example.
  • the learning unit 34 specifies the message group Gc1, Gc2, and Gc3 as an example of the first information, and the message Me1 that is an event message as an example of the second information.
  • These message group and event message are transmitted to the gateway apparatus 151 via the bus connection apparatus group 121 and the bus 13, for example, and relayed by the gateway apparatus 151. Note that these message group and event message may be directly transmitted to the gateway device 151 via the bus 13 and relayed by the gateway device 151, for example.
  • the message group Gc1 includes, for example, a time series change (hereinafter referred to as a time series change Ref1) of a measured value of the steering rotation angle based on the accompanying behavior AB1 among a plurality of messages transmitted from the steering rotation angle sensor DR provided in the steering. A plurality of messages.
  • a time series change Ref1 a time series change of a measured value of the steering rotation angle based on the accompanying behavior AB1 among a plurality of messages transmitted from the steering rotation angle sensor DR provided in the steering.
  • the message group Gc2 includes, for example, a time-series change (hereinafter referred to as a time-series change Ref2) of a measured value of the accelerator opening based on the accompanying behavior AB2 among a plurality of messages transmitted from an accelerator opening sensor DA provided on the accelerator pedal. A plurality of messages.
  • a time-series change Ref2 a time-series change of a measured value of the accelerator opening based on the accompanying behavior AB2 among a plurality of messages transmitted from an accelerator opening sensor DA provided on the accelerator pedal.
  • the message group Gc3 is, for example, a time series change in the measured value of the seat load at the driver seat based on the accompanying behavior AB3 among a plurality of messages transmitted from the seat load sensor DSD at the driver seat (hereinafter also referred to as a time series change Ref3). .).
  • the message Me1 is a message generated by the target behavior IB1.
  • the message Me1 is, for example, a message for controlling opening / closing of at least one of the windows Wfd, Wfa, Wra, and Wrd having correlation with the message groups Gc1, Gc2, and Gc3.
  • the learning unit 34 specifies the message group Gc4 as an example of the first information and the message Me4 that is an event message as an example of the second information.
  • the message group Gc4 is, for example, a time series change in the measurement value of the seat load in the passenger seat based on the accompanying behavior AB4 (hereinafter also referred to as a time series change Ref4) among a plurality of messages transmitted from the seat load sensor DSA in the passenger seat. .).
  • the message Me4 is a message generated by the target behavior IB4. Specifically, the message Me4 is a message for controlling the opening / closing of the window Wfa, which has a correlation with the message group Gc4, for example.
  • the learning unit 34 creates, for example, judgment reference information including accompanying behavior information for detecting the subject's accompanying behavior and target behavior information for detecting the target behavior of the subject.
  • the learning unit 34 creates the criterion information DSi1 including the accompanying behavior information ABi1 and the target behavior information IBi1.
  • the accompanying behavior information ABi1 indicates the IDs of the message groups Gc1 to Gc3 (hereinafter also referred to as IDc1 to IDc3, respectively) and the time series changes Ref1 to Ref3.
  • the target behavior information IBi1 indicates the ID of the message Me1 (hereinafter also referred to as IDe1) and the relative scheduled period.
  • the relative scheduled period is a period in which the target behavior is scheduled to occur when the timing of occurrence of the accompanying behavior is used as a reference.
  • the period in which the target behavior is scheduled to occur is a period later in time than the timing of occurrence of the accompanying behavior.
  • the period in which the target behavior is scheduled to occur may be a period that is temporally prior to the timing of occurrence of the accompanying behavior.
  • the learning unit 34 creates determination criterion information DSi4 including the accompanying behavior information ABi4 and the target behavior information IBi4.
  • the accompanying behavior information ABi4 indicates the ID of the message group Gc4 (hereinafter also referred to as IDc4) and the time series change Ref4.
  • the target behavior information IBi4 indicates the ID of the message Me4 (hereinafter also referred to as IDe4) and the relative scheduled period.
  • the learning unit 34 outputs the created criterion information DSi1 and DSi4 to the prediction unit 32.
  • the learning unit 34 notifies the determination unit 33 of the IDs of the messages indicated by the target behavior information IBi1 and IBi4, that is, IDe1 and IDe4.
  • the prediction unit 32 Upon receiving the determination criterion information DSi1 and DSi4 from the learning unit 34, the prediction unit 32 acquires IDc1 to IDc4 from the received determination criterion information DSi1 and DSi4, and registers the acquired IDc1 to IDc4 as the monitoring target ID in the monitoring unit 31. To do.
  • the monitoring unit 31 monitors the first information transmitted in the in-vehicle network 12. More specifically, the monitoring unit 31 monitors an ID included in a message relayed by the communication processing unit 51, for example.
  • the monitoring unit 31 monitors a plurality of types of first information, for example. Specifically, when a message having the same ID as the monitoring target ID registered by the prediction unit 32 is relayed in the communication processing unit 51, the monitoring unit 31 acquires a copy of the message from the communication processing unit 51. The acquired message is output to the prediction unit 32.
  • the prediction unit 32 predicts the occurrence of the second information based on the first information monitored by the monitoring unit 31.
  • the prediction unit 32 predicts the occurrence of the second information based on, for example, the determination criterion information and the first information monitored by the monitoring unit 31. In addition, the prediction unit 32 predicts the occurrence of the second information based on the content of the first information monitored by the monitoring unit 31, for example.
  • the predicting unit 32 generates the message Me1 based on, for example, the determination criterion information DSi1 and the content of the message acquired by the monitoring unit 31, that is, any one of IDc1 to IDc3. Predict. Further, the prediction unit 32 predicts the occurrence of the message Me4 based on the content of the message having the determination criterion information DSi4 and IDc4, for example.
  • the predicting unit 32 receives a message from the monitoring unit 31 and arranges the received message for each ID, so that the content of the message, that is, the measured value of the steering rotation angle, the measured value of the accelerator opening, Time series data of the measured value of the seat load at the driver seat and the measured value of the seat load at the passenger seat are acquired.
  • the prediction unit 32 calculates, for example, the similarity between the acquired time-series data and the time-series change indicated by the accompanying behavior information ABi1 included in the criterion information DSi1.
  • the prediction unit 32 is similar to the time series data of the measured value of the steering rotation angle and the time series change Ref1, and the similarity of the time series data of the measured value of the accelerator opening and the time series change Ref2. The degree of similarity between the time-series data of the measured value of the seat load at the driver's seat and the time-series change Ref3 is calculated.
  • the prediction unit 32 determines that the accompanying behaviors AB1 to AB3 have occurred when each similarity satisfies the predetermined condition C1.
  • the predetermined condition C1 is, for example, a condition that each similarity is equal to or higher than a corresponding threshold value.
  • the prediction unit 32 determines that the accompanying behaviors AB1 to AB3 have occurred, the prediction unit 32 determines that the target behavior IB1 is highly likely to occur, and performs the following processing. That is, the prediction unit 32 calculates the absolute scheduled period AP1 in which the message having IDe1 is generated based on the occurrence timing of the accompanying behaviors AB1 to AB3 and the relative scheduled period indicated by the target behavior information IBi1 included in the determination reference information DSi1. Then, IDe1 and the absolute scheduled period AP1 are notified to the determination unit 33.
  • the prediction unit 32 calculates, for example, the similarity between the time series data of the measured value of the seat load in the passenger seat and the time series change Ref4.
  • the prediction unit 32 determines that the accompanying behavior AB4 has occurred when each similarity satisfies the predetermined condition C4.
  • the predetermined condition C4 is, for example, a condition that the similarity is equal to or higher than a corresponding threshold value.
  • the prediction unit 32 determines that the accompanying behavior AB4 has occurred, the prediction unit 32 determines that the target behavior IB4 is highly likely to occur, and performs the following processing. That is, the prediction unit 32 generates the absolute scheduled period AP4 indicating the absolute time at which the message having IDe4 is generated based on the generation timing of the accompanying behavior AB4 and the relative scheduled period indicated by the target behavior information IBi4 included in the determination reference information DSi4. And IDe4 and the absolute scheduled period AP4 are notified to the determination unit 33.
  • the determination unit 33 determines whether or not the transmitted second information is illegal based on the prediction result of the prediction unit 32.
  • the determination unit 33 uses, for example, a prediction result based on a plurality of types of first information monitored by the monitoring unit 31 to determine whether one type of second information is illegal.
  • the determination unit 33 uses the absolute scheduled period AP1 based on the message groups Gc1 to Gc3 monitored by the monitoring unit 31 to determine whether the message Me1 is illegal.
  • the determination unit 33 when receiving the notification of IDe1 and IDe4 from the learning unit 34, the determination unit 33 relays a message having one of IDe1 and IDe4 (hereinafter also referred to as a target message) in the communication processing unit 51. Monitor the process.
  • the determination unit 33 determines whether or not the target message is invalid when the communication processing unit 51 performs relay processing of the target message.
  • the determination unit 33 determines that the target message is valid.
  • the determination unit 33 determines that the target message is invalid.
  • the determination unit 33 uses, for example, a prediction result based on the one type of first information monitored by the monitoring unit 31 for determining whether one type of second information is illegal.
  • the determination unit 33 uses the absolute scheduled period AP4 based on the message group Gc4 monitored by the monitoring unit 31 to determine whether the message Me4 is illegal.
  • the determination unit 33 determines that the target message is valid. .
  • the determination unit 33 determines that the target message is illegal.
  • the determination unit 33 determines that the target message is illegal, for example, the determination unit 33 generates illegal information including a determination result and a corresponding ID, and a smart phone, an instrument display control device, and the like held by the target person. Is transmitted via the communication processing unit 51.
  • FIG. 6 is a diagram for explaining an example of a smart entry in the target vehicle according to the embodiment of the present invention.
  • the target vehicle 1 has antennas AD, AA, AT, and AI for transmitting LF signals in the LF band in the driver side door, the passenger side door, the trunk, and in the vehicle, respectively.
  • an unlocking switch SUD and a locking switch SLD are provided at the door on the driver's seat side.
  • an unlocking switch SUA and a locking switch SLA are provided at the door on the passenger seat side.
  • the short-range wireless terminal device 111A which is the in-vehicle communication device 111 transmits an LF signal from, for example, the antennas AD, AA, AT and AI.
  • the short-range wireless terminal device 111A intermittently transmits, for example, each LF signal including an antenna identifier used for transmission (hereinafter also referred to as a transmission source identifier).
  • the transmission periods of these LF signals do not overlap each other, for example.
  • the short-range wireless terminal device 111A Upon receiving the RF signal from the smart key SK, the short-range wireless terminal device 111A acquires the RSSI and the transmission source identifier from the received RF signal, and the control device 122 transmits the message Mc5 including the acquired RSSI and the transmission source identifier. For example, the data is periodically transmitted to the smart entry control device 122A via the gateway device 151.
  • the smart entry control device 122A receives the message Mc5 from the short-range wireless terminal device 111A, and acquires the RSSI for each transmission source identifier by counting the contents of the message Mc5.
  • the smart entry control device 122A calculates the position of the smart key SK relative to the target vehicle 1, that is, the position of the driver, based on the RSSI for each acquired transmission source identifier. In this example, the smart entry control device 122A derives that the driver is located outside the door on the driver's seat side.
  • the message Me5 indicating the operation result is relayed in the gateway device 151 via the bus connection device group 121 and the bus 13, for example, and then the smart entry control device 122A. Note that the message Me5 may be directly transmitted to the smart entry control device 122A and the gateway device 151 via the bus 13, for example.
  • the smart entry control device 122A When the smart entry control device 122A receives the message Me5, the smart entry control device 122A performs control to unlock the door on the driver's seat side.
  • the smart entry control device 122A receives the message Mc5 from the short-range wireless terminal device 111A via the gateway device 151, and the source identifier from the received message Mc5. Get the RSSI for each.
  • the smart entry control device 122A derives that the driver located on the driver's seat side has moved outside the door on the driver's seat side based on the RSSI for each acquired transmission source identifier.
  • the message Me6 indicating the operation result is relayed in the gateway device 151 via the bus connection device group 121 and the bus 13, for example, and then the smart entry control device 122A. Is transmitted to. Note that the message Me6 may be directly transmitted to the smart entry control device 122A and the gateway device 151 via the bus 13, for example.
  • the smart entry control device 122A When the smart entry control device 122A receives the message Me6, the smart entry control device 122A performs control for locking the key of the door on the driver's seat side.
  • the RSSI of each LF signal measured by the smart key SK is stabilized for a certain time.
  • the target behavior IB6 occurs due to the driver's operation of the locking switch SLD for the driver getting off from the driver's seat to lock the door on the driver's seat side, the following incidental behavior occurs.
  • the accompanying behavior AB6 that stops the movement for a certain period of time occurs outside the door.
  • the RSSI of each LF signal measured by the smart key SK stabilizes for a certain period of time after the fluctuation accompanying the movement of the driver occurs.
  • the learning unit 34 specifies, for example, a message group Gc5 as an example of the first information and a message Me5 that is an event message as an example of the second information.
  • the message group Gc5 is, for example, a time series change of RSSI for each source identifier based on the accompanying behavior AB5 among the plurality of messages Mc5 transmitted from the short-range wireless terminal device 111A (hereinafter also referred to as a time series change Ref5). Are multiple messages.
  • the message Me5 is a message generated by the target behavior IB5 as described above.
  • the learning unit 34 specifies the message group Gc6 as an example of the first information and the message Me6 that is an event message as an example of the second information.
  • the message group Gc6 is, for example, a time series change in RSSI for each source identifier based on the accompanying behavior AB6 among the plurality of messages Mc5 transmitted from the short-range wireless terminal device 111A (hereinafter also referred to as a time series change Ref6). Are multiple messages.
  • the message Me6 is a message generated by the target behavior IB6 as described above.
  • the learning unit 34 creates determination criterion information DSi5 including the accompanying behavior information ABi5 and the target behavior information IBi5.
  • the accompanying behavior information ABi5 indicates the ID of the message group Gc5 (hereinafter also referred to as IDc5) and the time series change Ref5.
  • the target behavior information IBi5 indicates the ID of the message Me5 (hereinafter also referred to as IDe5) and the relative scheduled period.
  • the learning unit 34 creates determination criterion information DSi6 including the accompanying behavior information ABi6 and the target behavior information IBi6.
  • the accompanying behavior information ABi6 indicates the ID of the message group Gc6, that is, IDc5, and the time series change Ref6.
  • the target behavior information IBi6 indicates the ID of the message Me6 (hereinafter also referred to as IDe6) and the relative scheduled period.
  • the learning unit 34 outputs the created criterion information DSi5 and DSi6 to the prediction unit 32.
  • the learning unit 34 notifies the determination unit 33 of the IDs of the messages indicated by the target behavior information IBi5 and IBi6, that is, IDe5 and IDe6.
  • the prediction unit 32 When the prediction unit 32 receives the determination criterion information DSi5 and DSi6 from the learning unit 34, the prediction unit 32 acquires IDc5 from one of the received determination criterion information DSi5 and DSi6, and registers the acquired IDc5 in the monitoring unit 31 as a monitoring target ID. To do.
  • the monitoring unit 31 when a message having the same ID as the monitoring target ID registered by the prediction unit 32 is relayed in the communication processing unit 51, the monitoring unit 31 outputs a copy of the message to the prediction unit 32.
  • the prediction unit 32 receives a message having IDc5 from the monitoring unit 31, that is, the message Mc5, and arranges the received message Mc5, thereby acquiring a time series change of RSSI for each transmission source identifier.
  • the prediction unit 32 calculates the similarity between the RSSI time-series data and the time-series change Ref5 for each transmission source identifier.
  • the prediction unit 32 determines that the accompanying behavior AB5 has occurred when the similarity satisfies the predetermined condition C5.
  • the predetermined condition C5 is, for example, a condition that the similarity is equal to or higher than a corresponding threshold value.
  • the prediction unit 32 determines that the accompanying behavior AB5 has occurred, the prediction unit 32 determines that the target behavior IB5 is highly likely to occur, and performs the following processing. That is, the predicting unit 32 calculates the absolute scheduled period AP5 in which the message having IDe5 is generated from the generation timing of the accompanying behavior AB5 and the relative scheduled period indicated by the target behavior information IBi5 included in the determination reference information DSi5. The determination unit 33 is notified of the absolute scheduled period AP5.
  • the prediction unit 32 calculates the similarity between the RSSI time-series data and the time-series change Ref6 for each transmission source identifier.
  • the prediction unit 32 determines that the accompanying behavior AB6 has occurred when the similarity satisfies the predetermined condition C6.
  • the predetermined condition C6 is, for example, a condition that the similarity is equal to or higher than a corresponding threshold value.
  • the prediction unit 32 determines that the accompanying behavior AB6 has occurred, the prediction unit 32 determines that the target behavior IB6 is likely to occur, and performs the following processing. That is, the prediction unit 32 calculates the absolute scheduled period AP6 in which the message having IDe6 is generated from the generation timing of the accompanying behavior AB6 and the relative scheduled period indicated by the target behavior information IBi6 included in the determination criterion information DSi6. The determination unit 33 is notified of the absolute scheduled period AP6.
  • the determining unit 33 monitors the relay processing in the communication processing unit 51 of the target message having either one of IDe5 or IDe6.
  • the determination unit 33 determines that the target message is valid.
  • the determination unit 33 determines that the target message is invalid.
  • the determination unit 33 determines that the target message is valid.
  • the determination unit 33 determines that the target message is illegal.
  • FIG. 7 is a diagram for explaining an example of starting a prime mover using a smart entry in the target vehicle according to the embodiment of the present invention.
  • the target vehicle 1 is provided with a prime mover start switch SST.
  • the smart entry control device 122A receives the message Mc5 from the short-range wireless terminal device 111A via the gateway device 151, and the source identifier from the received message Mc5. Get the RSSI for each.
  • the smart entry control device 122A derives the position of the smart key SK relative to the target vehicle 1, that is, the position of the driver, based on the acquired RSSI for each transmission source identifier. In this example, the smart entry control device 122A derives that the driver is located in the driver's seat.
  • a message Me7 indicating the operation result is relayed in the gateway device 151 via the bus connection device group 121 and the bus 13, for example, and then transmitted to the engine control device 122B. Note that the message Me7 may be directly transmitted to the engine control device 122B and the gateway device 151 via the bus 13, for example.
  • the engine control device 122B when receiving the message Me7, performs control for starting the engine.
  • the accompanying behavior AB7 in which the driver stops the operation at the driver's seat for a certain time the accompanying behavior AB8 in which the driver steps on the brake pedal, and the like occur.
  • the accompanying behavior AB7 occurs, for example, the RSSI of each LF signal measured by the smart key SK and the difference between the RSSIs are stabilized. Further, when the accompanying behavior AB8 occurs, for example, the depression strength of the brake pedal changes.
  • Learning unit 34 specifies, for example, message groups Gc7 and Gc8 as an example of the first information, and message Me7 that is an event message as an example of the second information.
  • the message group Gc7 is, for example, a time series change of RSSI for each source identifier based on the accompanying behavior AB7 among the plurality of messages Mc5 transmitted from the short-range wireless terminal device 111A (hereinafter also referred to as a time series change Ref7).
  • a time series change Ref7 a time series change of RSSI for each source identifier based on the accompanying behavior AB7 among the plurality of messages Mc5 transmitted from the short-range wireless terminal device 111A.
  • the message group Gc8 includes, for example, a time series change in a measured value of the brake depression intensity based on the accompanying behavior AB8 among a plurality of messages transmitted from the depression intensity sensor DB provided in the brake pedal (hereinafter also referred to as a time series change Ref8). A plurality of messages.
  • the message Me7 is a message generated by the target behavior IB7 as described above.
  • the learning unit 34 creates determination criterion information DSi7 including the accompanying behavior information ABi7 and the target behavior information IBi7.
  • the accompanying behavior information ABi7 indicates the ID of the message group Gc7, that is, IDc5, the ID of the message group Gc8 (hereinafter also referred to as IDc8), and time-series changes Ref7 and Ref8.
  • the target behavior information IBi7 indicates the ID of the message Me7 (hereinafter also referred to as IDe7) and the relative scheduled period.
  • the learning unit 34 outputs the created criterion information DSi7 to the prediction unit 32. Further, the learning unit 34 notifies the determination unit 33 of the ID of the message indicated by the target behavior information IBi7, that is, IDe7.
  • the prediction unit 32 When the prediction unit 32 receives the determination criterion information DSi7 from the learning unit 34, the prediction unit 32 acquires IDc5 and IDc8 from the received determination criterion information DSi7, and registers the acquired IDc5 and IDc8 in the monitoring unit 31 as monitoring target IDs.
  • the monitoring unit 31 when a message having the same ID as the monitoring target ID registered by the prediction unit 32 is relayed in the communication processing unit 51, the monitoring unit 31 outputs a copy of the message to the prediction unit 32.
  • the prediction unit 32 receives a message having either one of IDc5 and IDc8 from the monitoring unit 31 and arranges the received message for each ID, so that the RSSI time-series change for each transmission source identifier and the brake depression strength Get time-series change of measured value of
  • the prediction unit 32 calculates the similarity between the RSSI time-series data for each transmission source identifier and the time-series change Ref7, and the similarity between the time-series change of the brake depression strength measurement value and the time-series change Ref8.
  • the prediction unit 32 determines that the accompanying behaviors AB7 and AB8 have occurred when each similarity satisfies the predetermined condition C7.
  • the predetermined condition C7 is, for example, a condition that each similarity is equal to or higher than a corresponding threshold value.
  • the prediction unit 32 determines that the accompanying behaviors AB7 and AB8 have occurred, the prediction unit 32 determines that the target behavior IB7 is likely to occur, and performs the following processing. That is, the prediction unit 32 calculates the absolute scheduled period AP7 in which the message having IDe7 is generated from the occurrence timing of the accompanying behaviors AB7 and AB8 and the relative scheduled period indicated by the target behavior information IBi7 included in the determination reference information DSi7. The determination unit 33 is notified of IDe7 and the absolute scheduled period AP7.
  • the determining unit 33 monitors the relay processing in the communication processing unit 51 of the target message having IDe7.
  • the determination unit 33 determines that the target message is valid.
  • the determination unit 33 determines that the target message is invalid.
  • Each device in the in-vehicle detection system 301 includes a computer, and an arithmetic processing unit such as a CPU in the computer reads and executes a program including a part or all of each step of the following sequence diagram or flowchart from a memory (not shown). To do.
  • Each of the programs of the plurality of apparatuses can be installed from the outside. The programs of the plurality of apparatuses are distributed while being stored in a recording medium.
  • FIG. 8 is a flowchart that defines an operation procedure when the detection apparatus according to the embodiment of the present invention detects the occurrence of the accompanying behavior.
  • the detection apparatus 101 creates determination criterion information using a message relayed in the gateway apparatus 151 (step S102).
  • the detection apparatus 101 monitors the occurrence of the accompanying behavior of the subject based on the accompanying behavior information included in the determination criterion information and the content of the message relayed in the gateway device 151 (step S104).
  • the detection apparatus 101 sets the absolute scheduled period based on the occurrence timing of the accompanying behavior and the target behavior information included in the criterion information. (Step S108), and the monitoring of the occurrence of the accompanying behavior of the subject is continued (Step S104).
  • the detection apparatus 101 when the detection apparatus 101 does not detect the occurrence of the accompanying behavior of the subject (NO in step S106), the detection apparatus 101 continues to monitor the occurrence of the accompanying behavior of the subject (step S104).
  • FIG. 9 is a flowchart that defines an operation procedure when the detection apparatus according to the embodiment of the present invention determines whether the target message is illegal.
  • the detection apparatus 101 performs independently the process of each flowchart shown in FIG. 8 and FIG. 9 as a different process, respectively.
  • the detection apparatus 101 monitors the relay process of the target message in the gateway apparatus 151 (step S202).
  • the detection apparatus 101 confirms whether the relay process for the target message is performed within the absolute scheduled period (step S204). S206).
  • the detection apparatus 101 determines that the target message is valid (step S208), and the gateway apparatus 151 performs the target message relay process. Is continuously monitored (step S202).
  • step S206 determines that the target message is invalid (step S210), and the target message in the gateway apparatus 151 Monitoring of the relay process is continued (step S202).
  • the detection apparatus 101 continues to monitor the relay process of the target message in the gateway apparatus 151 (step S202).
  • the detection device 101 is configured to be provided inside the gateway device 151.
  • the present invention is not limited to this.
  • the detection device 101 may be configured to be provided outside the gateway device 151.
  • the second information indicates control related to the target vehicle, but the present invention is not limited to this.
  • the second information may indicate a state related to the target vehicle.
  • the second information is information indicating a state such as a wobbling of the target vehicle and excessive speed, which is used for driving support, for example.
  • the occurrence of the information indicating the wobble is predicted based on, for example, time-series changes in the acceleration of the target vehicle, the steering rotation angle in the target vehicle, and the accelerator opening in the target vehicle.
  • production of the information which shows excess speed is estimated based on the time-sequential change about the acceleration of an object vehicle, and the opening degree of the accelerator in an object vehicle, for example.
  • the first information and the second information have different generation factors, but the present invention is not limited to this.
  • the first information and the second information may have the same generation factor.
  • the prediction unit 32 is configured to predict the occurrence of the second information based on the determination criterion information and the first information. It is not limited.
  • the prediction unit 32 may be configured to predict the occurrence of the second information without using the criterion information. Specifically, for example, when the information transmission in the in-vehicle network 12 conforms to a protocol in which the second information is transmitted after a predetermined time has elapsed from the transmission of the first information, the prediction unit 32 performs the first operation The occurrence of the second information can be predicted based on the occurrence of the information.
  • the prediction part 32 was set as the structure which estimates generation
  • the prediction unit 32 may be configured to predict the occurrence of the second information based on whether or not the first information is transmitted instead of the content of the first information.
  • the gateway device 151 including the detection device is directly connected to the bus 13, but the configuration is not limited thereto.
  • FIG. 10 is a diagram showing an example of the connection topology of the in-vehicle network according to the embodiment of the present invention.
  • the detection device 131 may be connected to the bus 13 via an in-vehicle device such as the control device 122.
  • the detection device 131 detects an unauthorized message transmitted to the bus 13 by monitoring a target message transmitted and received by the in-vehicle device.
  • Patent Document 1 the first ECU and the second ECU connected only to the in-vehicle network are connected to both the first encryption key used for message authentication and both the in-vehicle network and the outside network.
  • a configuration is disclosed in which the second encryption key used by the three ECUs is different to prevent a cyber attack from the outside network on the first ECU and the second ECU that are not connected to the outside network.
  • the detection device detects unauthorized communication in the in-vehicle network 12 mounted on the target vehicle.
  • the monitoring part 31 monitors the 1st information transmitted in the vehicle-mounted network 12 which shows the state or control regarding an object vehicle. Based on the first information monitored by the monitoring unit 31, the prediction unit 32 predicts the occurrence of the second information in the in-vehicle network 12 indicating the state or control related to the target vehicle. And when the 2nd information is transmitted in the vehicle-mounted network 12, the determination part 33 determines whether the transmitted 2nd information is unauthorized based on the prediction result of the prediction part 32.
  • the configuration in which the occurrence of the second information is predicted based on the first information in the in-vehicle network 12 can acquire, for example, a period during which the second information is likely to occur.
  • the second information generated in a period different from the period can be determined to be illegal. Thereby, unauthorized communication in the in-vehicle network can be detected correctly.
  • the generation factors of the first information and the second information are different.
  • the monitoring unit 31 monitors a plurality of types of first information. Then, the determination unit 33 uses a prediction result based on a plurality of types of first information monitored by the monitoring unit 31 for determining whether one type of second information is illegal.
  • the occurrence of the second information can be predicted based on the results of various sensing of the behavior of the user or the vehicle, so that the prediction accuracy of the occurrence of the second information can be improved.
  • the prediction unit 32 determines the criterion information created based on the history of the first information generated when the second information is transmitted in the in-vehicle network 12. And the occurrence of the second information is predicted based on the first information monitored by the monitoring unit 31.
  • the prediction unit 32 predicts the occurrence of the second information based on the content of the first information monitored by the monitoring unit 31.
  • the occurrence of the second information correlated with the behavior can be predicted based on the content of the behavior of the user or the vehicle indicated by the first information. Prediction accuracy can be improved.
  • a detection device for detecting unauthorized communication in an in-vehicle network mounted on a vehicle A monitoring unit for monitoring first information transmitted in the in-vehicle network, indicating a state or control relating to the vehicle; Based on the first information monitored by the monitoring unit, a prediction unit that predicts the occurrence of second information in the in-vehicle network that indicates a state or control related to the vehicle; When the second information is transmitted in the in-vehicle network, a determination unit that determines whether the transmitted second information is illegal based on a prediction result of the prediction unit, The prediction unit is based on information indicating a steering rotation angle in the vehicle, information indicating an accelerator opening degree in the vehicle, and information indicating a seat load of the driver seat in the vehicle.
  • the prediction unit predicts generation of information indicating an operation result of a power window switch provided in the vicinity of the passenger seat of the vehicle based on information indicating a seat load of the passenger seat in the vehicle,
  • the prediction unit operates an unlocking switch or a locking switch provided on the door of the vehicle based on information indicating each reception intensity in a smart key of radio waves transmitted from a plurality of antennas provided on the vehicle.
  • Predict the occurrence of information indicating the results The predicting unit predicts generation of information indicating an operation result of a prime mover start switch provided in the vehicle based on information indicating each reception strength and information indicating depression strength of a brake pedal in the vehicle; Detection device.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

検知装置は、車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置であって、前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視する監視部と、前記監視部によって監視された前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測する予測部と、前記車載ネットワークにおいて前記第2の情報が伝送された場合に、前記予測部の予測結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断する判断部とを備える。

Description

検知装置、検知方法および検知プログラム
 本発明は、検知装置、検知方法および検知プログラムに関する。
 この出願は、2016年12月1日に出願された日本出願特願2016-234083号を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
 特許文献1(特開2016-116075号公報)には、以下のような車載通信システムが開示されている。すなわち、車載通信システムは、通信データの送信側が生成するメッセージ認証コードである送信側コードと、前記通信データの受信側が生成するメッセージ認証コードである受信側コードとを使用してメッセージ認証を行う車載通信システムであって、車載ネットワークに接続され、第1の暗号鍵と前記第1の暗号鍵とは異なる第2の暗号鍵のうち前記第1の暗号鍵だけを保持する第1のECUと、前記車載ネットワークに接続され、前記第1の暗号鍵を少なくとも保持する第2のECUと、前記車載ネットワーク及び車外ネットワークに接続され、前記第1の暗号鍵と前記第2の暗号鍵のうち前記第2の暗号鍵だけを保持して、前記第2の暗号鍵を使用して前記車載ネットワークにおける通信時に前記送信側コード又は前記受信側コードを生成する第3のECUとを備え、前記第2のECUは、前記第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信し、前記第1のECUは、前記通信データを受信した場合に、前記第1の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行う。
特開2016-116075号公報 特開2016-97879号公報 特開2015-136107号公報
 (1)本開示の検知装置は、車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置であって、前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視する監視部と、前記監視部によって監視された前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測する予測部と、前記車載ネットワークにおいて前記第2の情報が伝送された場合に、前記予測部の予測結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断する判断部とを備える。
 (6)本開示の検知方法は、車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置における検知方法であって、前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視するステップと、監視した前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測するステップと、前記車載ネットワークにおいて前記第2の情報が伝送された場合に、予測した結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断するステップとを含む。
 (7)本開示の検知プログラムは、車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視する監視部と、前記監視部によって監視された前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測する予測部と、前記車載ネットワークにおいて前記第2の情報が伝送された場合に、前記予測部の予測結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断する判断部、として機能させるためのプログラムである。
 本開示の一態様は、このような特徴的な処理部を備える検知装置として実現され得るだけでなく、検知装置を備える車載検知システムとして実現され得る。また、本開示の一態様は、検知装置の一部または全部を実現する半導体集積回路として実現され得る。
図1は、本発明の実施の形態に係る車載検知システムの構成を示す図である。 図2は、本発明の実施の形態に係るバス接続装置群の構成を示す図である。 図3は、本発明の実施の形態に係る車載検知システムにおけるゲートウェイ装置の構成を示す図である。 図4は、本発明の実施の形態に係るゲートウェイ装置における検知装置の構成を示す図である。 図5は、本発明の実施の形態に係る対象車両におけるパワーウィンドウ操作の一例を説明するための図である。 図6は、本発明の実施の形態に係る対象車両におけるスマートエントリの一例を説明するための図である。 図7は、本発明の実施の形態に係る対象車両におけるスマートエントリを用いた原動機始動の一例を説明するための図である。 図8は、本発明の実施の形態に係る検知装置が付随挙動の発生を検出する際の動作手順を定めたフローチャートである。 図9は、本発明の実施の形態に係る検知装置が対象メッセージの不正を判断する際の動作手順を定めたフローチャートである。 図10は、本発明の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。
 従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
 [本開示が解決しようとする課題]
 特許文献1には、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防ぐ構成が開示されている。
 しかしながら、メッセージ認証を用いるセキュリティ対策では、プロトコルの脆弱性を突いた攻撃、第1の暗号鍵の不正入手による攻撃、および暗号アルゴリズムの陳腐化を突いた攻撃等により、当該セキュリティ対策が無効化されることがある。
 このような場合において、攻撃者が車載ネットワークに侵入したことを正しく検知するための技術が求められる。
 本開示は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける不正な通信を正しく検知することが可能な検知装置、検知方法および検知プログラムを提供することである。
 [本開示の効果]
 本開示によれば、車載ネットワークにおける不正な通信を正しく検知することができる。
 [本願発明の実施形態の説明]
 最初に、本発明の実施形態の内容を列記して説明する。
 (1)本発明の実施の形態に係る検知装置は、車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置であって、前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視する監視部と、前記監視部によって監視された前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測する予測部と、前記車載ネットワークにおいて前記第2の情報が伝送された場合に、前記予測部の予測結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断する判断部とを備える。
 このように、車載ネットワークにおける第1の情報に基づいて第2の情報の発生を予測する構成により、たとえば、第2の情報が発生する可能性の高い期間を取得することができるので、当該期間と異なる期間に発生した第2の情報を不正と判定することができる。これにより、車載ネットワークにおける不正な通信を正しく検知することができる。
 (2)好ましくは、前記第1の情報および前記第2の情報の発生要因が異なる。
 このような構成により、第1の情報および第2の情報の発生要因が同じ場合と比べて、第1の情報および第2の情報の組み合わせの個数を多くすることができるので、不正通信の検出により適した第1の情報および第2の情報の組み合わせの抽出可能性を高めることができる。
 (3)好ましくは、前記監視部は、複数種類の前記第1の情報を監視し、前記判断部は、1種類の前記第2の情報の不正の判断に、前記監視部によって監視された前記複数種類の前記第1の情報に基づく前記予測結果を用いる。
 このような構成により、たとえば、ユーザまたは車両の挙動を多様にセンシングした結果に基づいて第2の情報の発生を予測することができるので、第2の情報の発生の予測精度を高めることができる。
 (4)好ましくは、前記予測部は、前記車載ネットワークにおいて前記第2の情報が伝送される際に発生する前記第1の情報の履歴に基づいて作成された判断基準情報と、前記監視部によって監視された前記第1の情報とに基づいて、前記第2の情報の発生を予測する。
 このような構成により、第1の情報の時系列変化から第2の情報の発生を予測することができるので、第2の情報の発生の予測精度を高めることができる。
 (5)好ましくは、前記予測部は、前記監視部によって監視された前記第1の情報の内容に基づいて、前記第2の情報の発生を予測する。
 このような構成により、たとえば、第1の情報の示すユーザまたは車両の挙動の内容に基づいて、当該挙動に相関する第2の情報の発生を予測することができるので、第2の情報の発生の予測精度を高めることができる。
 (6)本発明の実施の形態に係る検知方法は、車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置における検知方法であって、前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視するステップと、監視した前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測するステップと、前記車載ネットワークにおいて前記第2の情報が伝送された場合に、予測した結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断するステップとを含む。
 このように、車載ネットワークにおける第1の情報に基づいて第2の情報の発生を予測する構成により、たとえば、第2の情報が発生する可能性の高い期間を取得することができるので、当該期間と異なる期間に発生した第2の情報を不正と判定することができる。これにより、車載ネットワークにおける不正な通信を正しく検知することができる。
 (7)本発明の実施の形態に係る検知プログラムは、車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置において用いられる検知プログラムであって、コンピュータを、前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視する監視部と、前記監視部によって監視された前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測する予測部と、前記車載ネットワークにおいて前記第2の情報が伝送された場合に、前記予測部の予測結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断する判断部、として機能させるためのプログラムである。
 このように、車載ネットワークにおける第1の情報に基づいて第2の情報の発生を予測する構成により、たとえば、第2の情報が発生する可能性の高い期間を取得することができるので、当該期間と異なる期間に発生した第2の情報を不正と判定することができる。これにより、車載ネットワークにおける不正な通信を正しく検知することができる。
 以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
 [構成および基本動作]
 図1は、本発明の実施の形態に係る車載検知システムの構成を示す図である。
 図1を参照して、車載検知システム301は、ゲートウェイ装置151と、複数の車載通信機111と、複数のバス接続装置群121とを備える。
 図2は、本発明の実施の形態に係るバス接続装置群の構成を示す図である。
 図2を参照して、バス接続装置群121は、複数の制御装置122を含む。なお、バス接続装置群121は、複数の制御装置122を備える構成に限らず、1つの制御装置122を含む構成であってもよい。
 車載検知システム301は、道路を走行する車両(以下、対象車両とも称する。)に搭載される。車載ネットワーク12は、対象車両に搭載され、対象車両の内部における装置である車載装置を複数含む。具体的には、車載ネットワーク12は、車載装置の一例である、複数の車載通信機111および複数の制御装置122を含む。なお、車載ネットワーク12は、複数の車載装置を含む構成であれば、複数の車載通信機111を含みかつ制御装置122を含まない構成であってもよいし、車載通信機111を含まずかつ複数の制御装置122を含む構成であってもよいし、1つの車載通信機111および1つの制御装置122を含む構成であってもよい。
 車載ネットワーク12において、車載通信機111は、たとえば、対象車両の外部における装置と通信する。具体的には、車載通信機111は、たとえば、TCU(Telematics Communication Unit)、近距離無線端末装置、およびITS(Intelligent Transport Systems)無線機である。
 TCUは、たとえば、LTE(Long Term Evolution)または3G等の通信規格に従って、無線基地局装置と無線通信を行うことが可能であり、かつゲートウェイ装置151と通信を行うことが可能である。TCUは、たとえば、ナビゲーション、車両盗難防止、リモートメンテナンスおよびFOTA(Firmware Over The Air)等のサービスに用いる情報を中継する。
 近距離無線端末装置は、たとえば、Wi-Fi(登録商標)およびBluetooth(登録商標)等の通信規格に従って、対象車両における人間(以下、対象者とも称する。)の保持するスマートホン等の無線端末装置と無線通信を行うことが可能であり、かつゲートウェイ装置151と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、エンターテイメント等のサービスに用いる情報を中継する。
 また、近距離無線端末装置は、たとえば、所定の通信規格に従って、対象者の保持するスマートキー等の無線端末装置、およびタイヤに設けられた無線端末装置とLF(Low Frequency)帯またはUHF(Ultra High Frequency)帯の電波を用いて無線通信を行うことが可能であり、かつゲートウェイ装置151と通信を行うことが可能である。当該近距離無線端末装置は、たとえば、スマートエントリおよびTPMS(Tire Pressure Monitoring System)等のサービスに用いる情報を中継する。
 ITS無線機は、たとえば、道路の近傍に設けられた光ビーコン、電波ビーコンおよびITSスポット等の路側機と路車間通信を行うことが可能であり、他の車両に搭載された車載端末と車車間通信を行うことが可能であり、かつゲートウェイ装置151と通信を行うことが可能である。ITS無線機は、たとえば、渋滞緩和、安全運転支援およびルートガイダンス等のサービスに用いる情報を中継する。
 ゲートウェイ装置151は、たとえば、ファームウェアのアップデート等のデータ、およびゲートウェイ装置151により蓄積されたデータ等を対象車両の外部における整備用端末装置とポート112を介して送受信することが可能である。
 ゲートウェイ装置151は、たとえばバス13,14を介して車載装置と接続する。具体的には、バス13,14は、たとえば、CAN(Controller Area Network)(登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスである。
 この例では、車載通信機111は、イーサネットの規格に従う対応のバス14を介してゲートウェイ装置151と接続されている。また、バス接続装置群121における各制御装置122は、CANの規格に従う対応のバス13を介してゲートウェイ装置151と接続されている。制御装置122は、たとえば、対象車両における機能部を制御可能である。
 バス13は、たとえば系統別に設けられる。具体的には、バス13は、たとえば、駆動系バス、シャーシ/安全系バス、ボディ/電装系バスおよびAV/情報系バスである。
 駆動系バスには、制御装置122の一例であるエンジン制御装置、AT(Automatic Transmission)制御装置およびHEV(Hybrid Electric Vehicle)制御装置が接続されている。エンジン制御装置、AT制御装置およびHEV制御装置は、エンジン、AT、およびエンジンとモータとの切替をそれぞれ制御する。
 シャーシ/安全系バスには、制御装置122の一例であるブレーキ制御装置、シャーシ制御装置およびステアリング制御装置が接続されている。ブレーキ制御装置、シャーシ制御装置およびステアリング制御装置は、ブレーキ、シャーシおよびステアリングをそれぞれ制御する。
 ボディ/電装系バスには、制御装置122の一例である計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置が接続されている。計器表示制御装置、エアコン制御装置、盗難防止制御装置、エアバック制御装置およびスマートエントリ制御装置は、計器、エアコン、盗難防止機構、エアバック機構およびスマートエントリをそれぞれ制御する。
 AV/情報系バスには、制御装置122の一例であるナビゲーション制御装置、オーディオ制御装置、ETC(Electronic Toll Collection System)(登録商標)制御装置および電話制御装置が接続されている。ナビゲーション制御装置、オーディオ制御装置、ETC制御装置および電話制御装置は、ナビゲーション装置、オーディオ装置、ETC装置および携帯電話をそれぞれ制御する。
 また、バス13には、制御装置122が接続される構成に限らず、制御装置122以外の車載装置たとえばセンサが接続されてもよい。
 ゲートウェイ装置151は、たとえば、セントラルゲートウェイ(Central Gateway:CGW)であり、車載装置と通信を行うことが可能である。
 ゲートウェイ装置151は、たとえば、対象車両において異なるバス13に接続された制御装置122間でやり取りされる情報、各車載通信機111間でやり取りされる情報、ならびに、制御装置122および車載通信機111間でやり取りされる情報を中継する中継処理を行う。
 より詳細には、対象車両では、たとえば、所定の取り決めに従って、ある車載装置から他の車載装置へ周期的にメッセージが送信される。この例では、ある制御装置122から他の制御装置122へ周期的に送信されるメッセージについて説明するが、制御装置122および車載通信機111間において送信されるメッセージ、ならびに各車載通信機111間において送信されるメッセージについても同様である。
 メッセージの送信は、ブロードキャストによって行われてもよいし、ユニキャストによって行われてもよい。以下、周期的に送信されるメッセージを周期メッセージとも称する。
 また、対象車両では、周期メッセージの他に、ある制御装置122から他の制御装置122へ不定期に送信されるイベントメッセージが存在する。イベントメッセージは、たとえば、ドアロック、バッテリー、燃料、エアコン操作、シートベルト、運転支援、照明、メータ表示およびウィンドウ操作に関する情報の伝送に用いられる。
 メッセージには、メッセージの内容および送信元等を識別するためのIDが含まれる。メッセージが周期メッセージおよびイベントメッセージのいずれであるかをIDによって識別することが可能である。
 図3は、本発明の実施の形態に係る車載検知システムにおけるゲートウェイ装置の構成を示す図である。
 図3を参照して、ゲートウェイ装置151は、通信処理部51と、検知装置101とを備える。
 ゲートウェイ装置151における通信処理部51は、中継処理を行う。より詳細には、通信処理部51は、ある車載装置から対応のバス経由でメッセージを受信すると、受信したメッセージを他の車載装置へ対応のバス経由で送信する。
 図4は、本発明の実施の形態に係るゲートウェイ装置における検知装置の構成を示す図である。
 図4を参照して、検知装置101は、監視部31と、予測部32と、判断部33と、学習部34とを備える。
 検知装置101は、車載ネットワーク12における不正な通信を検知する。
 検知装置101における学習部34は、たとえば、対象車両に関する状態または制御を示し、かつ車載ネットワーク12において伝送される第1の情報の履歴に基づいて判断基準情報を作成する。たとえば、対象車両に関する制御を示し、かつ車載ネットワーク12において伝送される第2の情報が伝送される際に、第1の情報は発生する。
 詳細には、学習部34は、たとえば、SVM(Support vector machine)等の機械学習法を用いて、車載ネットワーク12において伝送される複数の情報のうち、相関を有する情報を特定する。
 より詳細には、学習部34は、たとえば、発生要因が異なる第1の情報および第2の情報を特定する。具体的には、学習部34は、たとえば、対象者が目的を持って行う動作に伴う挙動(以下、目的挙動とも称する。)に基づく第2の情報、および目的挙動に付随する挙動(以下、付随挙動とも称する。)に基づく第1の情報を特定する。
 図5は、本発明の実施の形態に係る対象車両におけるパワーウィンドウ操作の一例を説明するための図である。
 図5を参照して、たとえば、対象車両1には、運転席、助手席、助手席側後席および運転席側後席において、開閉可能な窓Wfd、Wfa、WraおよびWrdがそれぞれ設けられる。
 運転席の近傍において、窓Wfd,Wfa,Wra,Wrdをそれぞれ開閉するためのパワーウィンドウスイッチSD1~SD4が設けられる。また、助手席の近傍において、窓Wfaを開閉するためのパワーウィンドウスイッチSAが設けられる。
 たとえば、ドライバによるパワーウィンドウスイッチSD1~SD4の操作に伴う目的挙動IB1が発生する場合、以下の付随挙動が発生する。
 すなわち、ドライバがステアリングから手を離す付随挙動AB1、ドライバがスイッチを意識することによりドライバの目線がスイッチに向く付随挙動AB2、およびドライバが運転席上において体を動かす付随挙動AB3等が発生する。
 付随挙動AB1が発生すると、たとえばステアリングの回転角が変化する。また、付随挙動AB2が発生すると、たとえばアクセルの開度が変化する。また、付随挙動AB3が発生すると、たとえば運転席におけるドライバの荷重の分布が変化する。
 また、たとえば、助手席における対象者によるパワーウィンドウスイッチSAの操作に伴う目的挙動IB4が発生する場合、当該対象者が助手席上において体を動かす付随挙動AB4等が発生する。
 学習部34は、たとえば、車載ネットワーク12において伝送される情報の内容を監視し、監視結果に基づいて、第1の情報および第2の情報を特定する。ここで、第1の情報および第2の情報は、たとえば相関を有する。
 具体的には、学習部34は、たとえば、第1の情報の一例として、メッセージ群Gc1、Gc2およびGc3、ならびに第2の情報の一例としてイベントメッセージであるメッセージMe1を特定する。
 これらのメッセージ群およびイベントメッセージは、たとえば、バス接続装置群121およびバス13を経由してゲートウェイ装置151へ伝送され、ゲートウェイ装置151によって中継される。なお、これらのメッセージ群およびイベントメッセージは、たとえば、ゲートウェイ装置151へバス13経由で直接伝送され、ゲートウェイ装置151によって中継されてもよい。
 メッセージ群Gc1は、たとえば、ステアリングに設けられたステアリング回転角センサDRから伝送される複数のメッセージのうち、付随挙動AB1に基づくステアリングの回転角の計測値の時系列変化(以下、時系列変化Ref1とも称する。)を含む複数のメッセージである。
 メッセージ群Gc2は、たとえば、アクセルペダルに設けられたアクセル開度センサDAから伝送される複数のメッセージのうち、付随挙動AB2に基づくアクセル開度の計測値の時系列変化(以下、時系列変化Ref2とも称する。)を含む複数のメッセージである。
 メッセージ群Gc3は、たとえば、運転席におけるシート荷重センサDSDから伝送される複数のメッセージのうち、付随挙動AB3に基づく運転席におけるシート荷重の計測値の時系列変化(以下、時系列変化Ref3とも称する。)を含む複数のメッセージである。
 メッセージMe1は、目的挙動IB1によって発生するメッセージである。具体的には、メッセージMe1は、たとえば、メッセージ群Gc1、Gc2およびGc3と相関を有する、窓Wfd,Wfa,Wra,Wrdのうちの少なくともいずれか1つの開閉を制御するためのメッセージである。
 また、学習部34は、たとえば、第1の情報の一例としてメッセージ群Gc4、および第2の情報の一例としてイベントメッセージであるメッセージMe4を特定する。
 メッセージ群Gc4は、たとえば、助手席におけるシート荷重センサDSAから伝送される複数のメッセージのうち、付随挙動AB4に基づく助手席におけるシート荷重の計測値の時系列変化(以下、時系列変化Ref4とも称する。)を含む複数のメッセージである。
 メッセージMe4は、目的挙動IB4によって発生するメッセージである。具体的には、メッセージMe4は、たとえば、メッセージ群Gc4と相関を有する、窓Wfaの開閉を制御するためのメッセージである。
 学習部34は、たとえば、対象者の付随挙動を検出するための付随挙動情報、および対象者の目的挙動を検出するための目的挙動情報を含む判断基準情報を作成する。
 具体的には、学習部34は、付随挙動情報ABi1および目的挙動情報IBi1を含む判断基準情報DSi1を作成する。
 付随挙動情報ABi1は、メッセージ群Gc1~Gc3のID(以下、それぞれIDc1~IDc3とも称する。)および時系列変化Ref1~Ref3を示す。目的挙動情報IBi1は、メッセージMe1のID(以下、IDe1とも称する。)および相対予定期間を示す。ここで、相対予定期間は、付随挙動の発生タイミングを基準とした場合における、目的挙動の発生が予定される期間である。
 この例では、目的挙動の発生が予定される期間は、付随挙動の発生タイミングに対して時間的に後の期間である。なお、目的挙動の発生が予定される期間は、付随挙動の発生タイミングに対して時間的に前の期間であってもよい。
 また、学習部34は、付随挙動情報ABi4および目的挙動情報IBi4を含む判断基準情報DSi4を作成する。
 付随挙動情報ABi4は、メッセージ群Gc4のID(以下、IDc4とも称する。)および時系列変化Ref4を示す。目的挙動情報IBi4は、メッセージMe4のID(以下、IDe4とも称する。)および相対予定期間を示す。
 学習部34は、作成した判断基準情報DSi1およびDSi4を予測部32へ出力する。また、学習部34は、目的挙動情報IBi1およびIBi4の示すメッセージのIDすなわちIDe1およびIDe4を判断部33へ通知する。
 予測部32は、学習部34から判断基準情報DSi1およびDSi4を受けると、受けた判断基準情報DSi1およびDSi4からIDc1~IDc4を取得し、取得したIDc1~IDc4を監視対象IDとして監視部31に登録する。
 監視部31は、車載ネットワーク12において伝送される第1の情報を監視する。より詳細には、監視部31は、たとえば、通信処理部51が中継処理するメッセージに含まれるIDを監視する。
 監視部31は、たとえば、複数種類の第1の情報を監視する。具体的には、監視部31は、予測部32によって登録された監視対象IDと同じIDを有するメッセージが通信処理部51において中継処理される場合、当該メッセージのコピーを通信処理部51から取得し、取得したメッセージを予測部32へ出力する。
 予測部32は、監視部31によって監視された第1の情報に基づいて、第2の情報の発生を予測する。
 より詳細には、予測部32は、たとえば、判断基準情報、および監視部31によって監視された第1の情報に基づいて、第2の情報の発生を予測する。また、予測部32は、たとえば、監視部31によって監視された第1の情報の内容に基づいて、第2の情報の発生を予測する。
 具体的には、予測部32は、たとえば、判断基準情報DSi1、および監視部31によって取得されたメッセージすなわちIDc1~IDc3のうちのいずれか1つを有するメッセージの内容に基づいてメッセージMe1の発生を予測する。また、予測部32は、たとえば、判断基準情報DSi4、およびIDc4を有するメッセージの内容に基づいてメッセージMe4の発生を予測する。
 より詳細には、予測部32は、監視部31からメッセージを受けて、受けたメッセージをIDごとに整理することにより、メッセージの内容すなわちステアリングの回転角の計測値、アクセル開度の計測値、運転席におけるシート荷重の計測値、および助手席におけるシート荷重の計測値の時系列データを取得する。
 予測部32は、たとえば、取得した時系列データと判断基準情報DSi1に含まれる付随挙動情報ABi1の示す時系列変化との類似度を算出する。
 具体的には、予測部32は、ステアリングの回転角の計測値の時系列データと時系列変化Ref1との類似度、アクセル開度の計測値の時系列データと時系列変化Ref2との類似度、および運転席におけるシート荷重の計測値の時系列データと時系列変化Ref3との類似度を算出する。
 予測部32は、各類似度が所定条件C1を満たす場合、付随挙動AB1~AB3が発生したと判断する。ここで、所定条件C1は、たとえば、各類似度が対応のしきい値以上であるという条件である。
 予測部32は、付随挙動AB1~AB3が発生したと判断すると、目的挙動IB1が発生する可能性が高いと判断し、以下の処理を行う。すなわち、予測部32は、付随挙動AB1~AB3の発生タイミング、および判断基準情報DSi1に含まれる目的挙動情報IBi1の示す相対予定期間に基づいて、IDe1を有するメッセージが発生する絶対予定期間AP1を算出し、IDe1および絶対予定期間AP1を判断部33へ通知する。
 また、予測部32は、たとえば、助手席におけるシート荷重の計測値の時系列データと時系列変化Ref4との類似度を算出する。
 予測部32は、各類似度が所定条件C4を満たす場合、付随挙動AB4が発生したと判断する。ここで、所定条件C4は、たとえば、当該類似度が対応のしきい値以上であるという条件である。
 予測部32は、付随挙動AB4が発生したと判断すると、目的挙動IB4が発生する可能性が高いと判断し、以下の処理を行う。すなわち、予測部32は、付随挙動AB4の発生タイミング、および判断基準情報DSi4に含まれる目的挙動情報IBi4の示す相対予定期間に基づいて、IDe4を有するメッセージが発生する絶対時間を示す絶対予定期間AP4を算出し、IDe4および絶対予定期間AP4を判断部33へ通知する。
 判断部33は、車載ネットワーク12において第2の情報が伝送された場合に、予測部32の予測結果に基づいて、伝送された第2の情報が不正であるか否かを判断する。
 より詳細には、判断部33は、たとえば、1種類の第2の情報の不正の判断に、監視部31によって監視された複数種類の第1の情報に基づく予測結果を用いる。
 具体的には、判断部33は、メッセージMe1の不正の判断に、監視部31によって監視されたメッセージ群Gc1~Gc3に基づく絶対予定期間AP1を用いる。
 より具体的には、判断部33は、学習部34からIDe1およびIDe4の通知を受けると、IDe1およびIDe4のいずれか一方を有するメッセージ(以下、対象メッセージとも称する。)の通信処理部51における中継処理を監視する。
 判断部33は、通信処理部51において対象メッセージの中継処理が行われた場合、対象メッセージが不正であるか否かを判断する。
 より詳細には、判断部33は、たとえば、IDe1を有する対象メッセージが、予測部32からIDe1とともに通知された絶対予定期間AP1において中継処理された場合、当該対象メッセージが正当であると判断する。
 一方、判断部33は、たとえば、IDe1を有する対象メッセージが、絶対予定期間AP1と異なる期間において中継処理された場合、当該対象メッセージが不正であると判断する。
 また、判断部33は、たとえば、1種類の第2の情報の不正の判断に、監視部31によって監視された1種類の第1の情報に基づく予測結果を用いる。
 具体的には、判断部33は、メッセージMe4の不正の判断に、監視部31によって監視されたメッセージ群Gc4に基づく絶対予定期間AP4を用いる。
 より具体的には、判断部33は、たとえば、IDe4を有する対象メッセージが、予測部32からIDe4とともに通知された絶対予定期間AP4において中継処理された場合、当該対象メッセージが正当であると判断する。
 一方、判断部33は、たとえば、IDe4を有する対象メッセージが、絶対予定期間AP4と異なる期間において中継処理された場合、当該対象メッセージが不正であると判断する。
 判断部33は、対象メッセージが不正であると判断した場合、たとえば、判断結果および対応のIDを含む不正情報を作成し、作成した不正情報を対象者の保持するスマートホンおよび計器表示制御装置等へ通信処理部51経由で送信する。
 [変形例1]
 図6は、本発明の実施の形態に係る対象車両におけるスマートエントリの一例を説明するための図である。
 図6を参照して、対象車両1には、運転席側のドア、助手席側のドア、トランクおよび車内において、LF帯のLF信号を送信するためのアンテナAD、AA、ATおよびAIがそれぞれ設けられる。また、運転席側のドアにおいて、開錠スイッチSUDおよび施錠スイッチSLDが設けられる。助手席側のドアにおいて、開錠スイッチSUAおよび施錠スイッチSLAが設けられる。
 車載通信機111である近距離無線端末装置111Aは、たとえば、アンテナAD、AA、ATおよびAIからLF信号を送信する。
 より詳細には、近距離無線端末装置111Aは、たとえば、送信に用いるアンテナの識別子(以下、送信元識別子とも称する。)を含む各LF信号を間欠的に送信する。これらのLF信号の送信期間は、たとえば互いに重複しない。
 (1.開錠時)
 スマートキーSKを保持するドライバが運転席側のドアに車両外部側から近づく状況において、スマートキーSKは、近距離無線端末装置111AからLF信号を間欠的に受信すると、受信した各LF信号のRSSI(Received Signal Strength Indicator)を計測する。そして、スマートキーSKは、計測したRSSI、および当該LF信号に含まれる送信元識別子を含むUHF帯のRF(Radio Frequency)信号を対象車両1へ送信する。
 近距離無線端末装置111Aは、スマートキーSKからRF信号を受信すると、受信したRF信号からRSSIおよび送信元識別子を取得し、取得したRSSIおよび送信元識別子を含むメッセージMc5を、制御装置122であるスマートエントリ制御装置122Aへゲートウェイ装置151経由でたとえば周期的に送信する。
 スマートエントリ制御装置122Aは、メッセージMc5を近距離無線端末装置111Aから受信して、メッセージMc5の内容を集計することにより送信元識別子ごとのRSSIを取得する。
 スマートエントリ制御装置122Aは、取得した送信元識別子ごとのRSSIに基づいて、対象車両1に対するスマートキーSKの位置すなわちドライバの位置を算出する。この例では、スマートエントリ制御装置122Aは、運転席側のドアの外側にドライバが位置すると導出する。
 ドライバが運転席側のドアにおける開錠スイッチSUDを操作すると、操作結果を示すメッセージMe5が、たとえばバス接続装置群121およびバス13を経由してゲートウェイ装置151において中継された後、スマートエントリ制御装置122Aへ伝送される。なお、メッセージMe5が、たとえば、スマートエントリ制御装置122Aおよびゲートウェイ装置151へバス13経由で直接伝送されてもよい。
 スマートエントリ制御装置122Aは、メッセージMe5を受信すると、運転席側のドアの鍵を開錠するための制御を行う。
 (2.施錠時)
 スマートキーSKを保持するドライバが運転席から降車する状況において、スマートエントリ制御装置122Aは、メッセージMc5を近距離無線端末装置111Aからゲートウェイ装置151経由で受信して、受信したメッセージMc5から送信元識別子ごとのRSSIを取得する。
 スマートエントリ制御装置122Aは、取得した送信元識別子ごとのRSSIに基づいて、運転席側に位置したドライバが運転席側のドアの外側へ移動したと導出する。
 ドライバが運転席側のドアにおける施錠スイッチSLDを操作すると、操作結果を示すメッセージMe6が、たとえばバス接続装置群121およびバス13を経由してゲートウェイ装置151において中継された後、スマートエントリ制御装置122Aへ伝送される。なお、メッセージMe6が、たとえば、スマートエントリ制御装置122Aおよびゲートウェイ装置151へバス13経由で直接伝送されてもよい。
 スマートエントリ制御装置122Aは、メッセージMe6を受信すると、運転席側のドアの鍵を施錠するための制御を行う。
 再び図4を参照して、たとえば、対象車両1の外部から運転席へ乗車するための、ドライバによる開錠スイッチSUDの操作に伴う目的挙動IB5が発生する場合、以下の付随挙動が発生する。
 すなわち、ドライバが運転席側のドアの外側において移動を一定時間停止する付随挙動AB5等が発生する。
 付随挙動AB5が発生すると、たとえばスマートキーSKが計測する各LF信号のRSSIが一定時間安定する。
 また、たとえば、運転席から降車したドライバが、運転席側のドアを施錠するための、ドライバによる施錠スイッチSLDの操作に伴う目的挙動IB6が発生する場合、以下の付随挙動が発生する。
 すなわち、運転席に位置したドライバが、運転席側のドアの外側へ移動した後、当該ドアの外側において移動を一定時間停止する付随挙動AB6等が発生する。
 付随挙動AB6が発生すると、たとえばスマートキーSKが計測する各LF信号のRSSIにおいて、ドライバの移動に伴う変動が発生した後、一定時間安定する。
 学習部34は、たとえば、第1の情報の一例として、メッセージ群Gc5、および第2の情報の一例としてイベントメッセージであるメッセージMe5を特定する。
 メッセージ群Gc5は、たとえば、近距離無線端末装置111Aから伝送される複数のメッセージMc5のうち、付随挙動AB5に基づく送信元識別子ごとのRSSIの時系列変化(以下、時系列変化Ref5とも称する。)を含む複数のメッセージである。
 メッセージMe5は、上述のように目的挙動IB5によって発生するメッセージである。
 また、学習部34は、たとえば、第1の情報の一例として、メッセージ群Gc6、および第2の情報の一例としてイベントメッセージであるメッセージMe6を特定する。
 メッセージ群Gc6は、たとえば、近距離無線端末装置111Aから伝送される複数のメッセージMc5のうち、付随挙動AB6に基づく送信元識別子ごとのRSSIの時系列変化(以下、時系列変化Ref6とも称する。)を含む複数のメッセージである。
 メッセージMe6は、上述のように目的挙動IB6によって発生するメッセージである。
 学習部34は、付随挙動情報ABi5および目的挙動情報IBi5を含む判断基準情報DSi5を作成する。
 付随挙動情報ABi5は、メッセージ群Gc5のID(以下、IDc5とも称する。)および時系列変化Ref5を示す。目的挙動情報IBi5は、メッセージMe5のID(以下、IDe5とも称する。)および相対予定期間を示す。
 また、学習部34は、付随挙動情報ABi6および目的挙動情報IBi6を含む判断基準情報DSi6を作成する。
 付随挙動情報ABi6は、メッセージ群Gc6のIDすなわちIDc5、および時系列変化Ref6を示す。目的挙動情報IBi6は、メッセージMe6のID(以下、IDe6とも称する。)および相対予定期間を示す。
 学習部34は、作成した判断基準情報DSi5およびDSi6を予測部32へ出力する。また、学習部34は、目的挙動情報IBi5およびIBi6の示すメッセージのIDすなわちIDe5およびIDe6を判断部33へ通知する。
 予測部32は、学習部34から判断基準情報DSi5およびDSi6を受けると、受けた判断基準情報DSi5およびDSi6のいずれか一方からIDc5を取得し、取得したIDc5を監視対象IDとして監視部31に登録する。
 上述のように、監視部31は、予測部32によって登録された監視対象IDと同じIDを有するメッセージが通信処理部51において中継処理される場合、当該メッセージのコピーを予測部32へ出力する。
 予測部32は、監視部31からIDc5を有するメッセージすなわちメッセージMc5を受けて、受けたメッセージMc5を整理することにより、送信元識別子ごとのRSSIの時系列変化を取得する。
 予測部32は、送信元識別子ごとのRSSIの時系列データと時系列変化Ref5との類似度を算出する。
 予測部32は、類似度が所定条件C5を満たす場合、付随挙動AB5が発生したと判断する。ここで、所定条件C5は、たとえば、類似度が対応のしきい値以上という条件である。
 予測部32は、付随挙動AB5が発生したと判断すると、目的挙動IB5が発生する可能性が高いと判断し、以下の処理を行う。すなわち、予測部32は、付随挙動AB5の発生タイミング、および判断基準情報DSi5に含まれる目的挙動情報IBi5の示す相対予定期間から、IDe5を有するメッセージが発生する絶対予定期間AP5を算出し、IDe5および絶対予定期間AP5を判断部33へ通知する。
 また、予測部32は、送信元識別子ごとのRSSIの時系列データと時系列変化Ref6との類似度を算出する。
 予測部32は、類似度が所定条件C6を満たす場合、付随挙動AB6が発生したと判断する。ここで、所定条件C6は、たとえば、類似度が対応のしきい値以上という条件である。
 予測部32は、付随挙動AB6が発生したと判断すると、目的挙動IB6が発生する可能性が高いと判断し、以下の処理を行う。すなわち、予測部32は、付随挙動AB6の発生タイミング、および判断基準情報DSi6に含まれる目的挙動情報IBi6の示す相対予定期間から、IDe6を有するメッセージが発生する絶対予定期間AP6を算出し、IDe6および絶対予定期間AP6を判断部33へ通知する。
 判断部33は、学習部34からIDe5およびIDe6の通知を受けると、IDe5およびIDe6のいずれか一方を有する対象メッセージの通信処理部51における中継処理を監視する。
 判断部33は、たとえば、IDe5を有する対象メッセージが、予測部32からIDe5とともに通知された絶対予定期間AP5において中継処理された場合、当該対象メッセージが正当であると判断する。
 一方、判断部33は、たとえば、IDe5を有する対象メッセージが、絶対予定期間AP5と異なる期間において中継処理された場合、当該対象メッセージが不正であると判断する。
 同様に、判断部33は、たとえば、IDe6を有する対象メッセージが、予測部32からIDe6とともに通知された絶対予定期間AP6において中継処理された場合、当該対象メッセージが正当であると判断する。
 一方、判断部33は、たとえば、IDe6を有する対象メッセージが、絶対予定期間AP6と異なる期間において中継処理された場合、当該対象メッセージが不正であると判断する。
 [変形例2]
 図7は、本発明の実施の形態に係る対象車両におけるスマートエントリを用いた原動機始動の一例を説明するための図である。
 図7を参照して、対象車両1には、原動機始動スイッチSSTが設けられる。スマートキーSKを保持するドライバが運転席に位置する状況において、スマートエントリ制御装置122Aは、メッセージMc5を近距離無線端末装置111Aからゲートウェイ装置151経由で受信して、受信したメッセージMc5から送信元識別子ごとのRSSIを取得する。
 スマートエントリ制御装置122Aは、取得した送信元識別子ごとのRSSIに基づいて、対象車両1に対するスマートキーSKの位置すなわちドライバの位置を導出する。この例では、スマートエントリ制御装置122Aは、ドライバが運転席に位置すると導出する。
 ドライバが原動機始動スイッチSSTを操作すると、操作結果を示すメッセージMe7が、たとえばバス接続装置群121およびバス13を経由してゲートウェイ装置151において中継された後、エンジン制御装置122Bへ伝送される。なお、メッセージMe7が、たとえば、エンジン制御装置122Bおよびゲートウェイ装置151へバス13経由で直接伝送されてもよい。
 エンジン制御装置122Bは、メッセージMe7を受信すると、エンジンを始動するための制御を行う。
 再び図4を参照して、たとえば、対象車両1におけるエンジンを始動するための、ドライバによる原動機始動スイッチSSTの操作に伴う目的挙動IB7が発生する場合、以下の付随挙動が発生する。
 すなわち、ドライバが運転席において動作を一定時間停止する付随挙動AB7、ドライバがブレーキペダルを踏み込む付随挙動AB8等が発生する。
 付随挙動AB7が発生すると、たとえばスマートキーSKが計測する各LF信号のRSSI、および各RSSI間の差が安定する。また、付随挙動AB8が発生すると、たとえばブレーキペダルの踏み込み強度が変化する。
 学習部34は、たとえば、第1の情報の一例として、メッセージ群Gc7およびGc8、ならびに第2の情報の一例としてイベントメッセージであるメッセージMe7を特定する。
 メッセージ群Gc7は、たとえば、近距離無線端末装置111Aから伝送される複数のメッセージMc5のうち、付随挙動AB7に基づく送信元識別子ごとのRSSIの時系列変化(以下、時系列変化Ref7とも称する。)を含む複数のメッセージである。
 メッセージ群Gc8は、たとえば、ブレーキペダルに設けられた踏み込み強度センサDBから伝送される複数のメッセージのうち、付随挙動AB8に基づくブレーキ踏み込み強度の計測値の時系列変化(以下、時系列変化Ref8とも称する。)を含む複数のメッセージである。
 メッセージMe7は、上述のように目的挙動IB7によって発生するメッセージである。
 学習部34は、付随挙動情報ABi7および目的挙動情報IBi7を含む判断基準情報DSi7を作成する。
 付随挙動情報ABi7は、メッセージ群Gc7のIDすなわちIDc5、メッセージ群Gc8のID(以下、IDc8とも称する。)、ならびに時系列変化Ref7およびRef8を示す。目的挙動情報IBi7は、メッセージMe7のID(以下、IDe7とも称する。)および相対予定期間を示す。
 学習部34は、作成した判断基準情報DSi7を予測部32へ出力する。また、学習部34は、目的挙動情報IBi7の示すメッセージのIDすなわちIDe7を判断部33へ通知する。
 予測部32は、学習部34から判断基準情報DSi7を受けると、受けた判断基準情報DSi7からIDc5およびIDc8を取得し、取得したIDc5およびIDc8を監視対象IDとして監視部31に登録する。
 上述のように、監視部31は、予測部32によって登録された監視対象IDと同じIDを有するメッセージが通信処理部51において中継処理される場合、当該メッセージのコピーを予測部32へ出力する。
 予測部32は、監視部31からIDc5およびIDc8のいずれか一方を有するメッセージを受けて、受けたメッセージをIDごとに整理することにより、送信元識別子ごとのRSSIの時系列変化、およびブレーキ踏み込み強度の計測値の時系列変化を取得する。
 予測部32は、送信元識別子ごとのRSSIの時系列データと時系列変化Ref7との類似度、およびブレーキ踏み込み強度の計測値の時系列変化と時系列変化Ref8との類似度を算出する。
 予測部32は、各類似度が所定条件C7を満たす場合、付随挙動AB7およびAB8が発生したと判断する。ここで、所定条件C7は、たとえば、各類似度が対応のしきい値以上という条件である。
 予測部32は、付随挙動AB7およびAB8が発生したと判断すると、目的挙動IB7が発生する可能性が高いと判断し、以下の処理を行う。すなわち、予測部32は、付随挙動AB7およびAB8の発生タイミング、および判断基準情報DSi7に含まれる目的挙動情報IBi7の示す相対予定期間から、IDe7を有するメッセージが発生する絶対予定期間AP7を算出し、IDe7および絶対予定期間AP7を判断部33へ通知する。
 判断部33は、学習部34からIDe7の通知を受けると、IDe7を有する対象メッセージの通信処理部51における中継処理を監視する。
 判断部33は、たとえば、IDe7を有する対象メッセージが、予測部32からIDe7とともに通知された絶対予定期間AP7において中継処理された場合、当該対象メッセージが正当であると判断する。
 一方、判断部33は、たとえば、IDe7を有する対象メッセージが、絶対予定期間AP7と異なる期間において中継処理された場合、当該対象メッセージが不正であると判断する。
 [動作]
 車載検知システム301における各装置は、コンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下のシーケンス図またはフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリからそれぞれ読み出して実行する。これら複数の装置のプログラムは、それぞれ、外部からインストールすることができる。これら複数の装置のプログラムは、それぞれ、記録媒体に格納された状態で流通する。
 図8は、本発明の実施の形態に係る検知装置が付随挙動の発生を検出する際の動作手順を定めたフローチャートである。
 図8を参照して、まず、検知装置101は、ゲートウェイ装置151において中継処理されたメッセージを用いて判断基準情報を作成する(ステップS102)。
 次に、検知装置101は、判断基準情報に含まれる付随挙動情報、およびゲートウェイ装置151において中継処理されたメッセージの内容に基づいて、対象者の付随挙動の発生を監視する(ステップS104)。
 次に、検知装置101は、対象者の付随挙動の発生を検出した場合(ステップS106でYES)、付随挙動の発生タイミング、および判断基準情報に含まれる目的挙動情報に基づいて絶対予定期間を設定し(ステップS108)、対象者の付随挙動の発生の監視を継続する(ステップS104)。
 一方、検知装置101は、対象者の付随挙動の発生を検出しなかった場合(ステップS106でNO)、対象者の付随挙動の発生の監視を継続する(ステップS104)。
 図9は、本発明の実施の形態に係る検知装置が対象メッセージの不正を判断する際の動作手順を定めたフローチャートである。なお、検知装置101は、図8および図9にそれぞれ示す各フローチャートの処理を、異なる処理として独立に実行する。
 図9を参照して、まず、検知装置101は、ゲートウェイ装置151における対象メッセージの中継処理を監視する(ステップS202)。
 次に、検知装置101は、ゲートウェイ装置151において対象メッセージの中継処理が行われた場合(ステップS204でYES)、対象メッセージの中継処理が絶対予定期間内に行われた否かを確認する(ステップS206)。
 検知装置101は、対象メッセージの中継処理が絶対予定期間内に行われた場合(ステップS206でYES)、対象メッセージが正当であると判断し(ステップS208)、ゲートウェイ装置151における対象メッセージの中継処理の監視を継続する(ステップS202)。
 一方、検知装置101は、対象メッセージの中継処理が絶対予定期間内に行われなかった場合(ステップS206でNO)、対象メッセージが不正であると判断し(ステップS210)、ゲートウェイ装置151における対象メッセージの中継処理の監視を継続する(ステップS202)。
 また、検知装置101は、ゲートウェイ装置151において対象メッセージの中継処理が行われなかった場合(ステップS204でNO)、ゲートウェイ装置151における対象メッセージの中継処理の監視を継続する(ステップS202)。
 なお、本発明の実施の形態に係る車載検知システムでは、検知装置101は、ゲートウェイ装置151の内部に設けられる構成であるとしたが、これに限定するものではない。検知装置101は、ゲートウェイ装置151の外部に設けられる構成であってもよい。
 また、本発明の実施の形態に係る車載検知システムでは、第2の情報は、対象車両に関する制御を示したが、これに限定するものではない。第2の情報は、対象車両に関する状態を示してもよい。具体的には、第2の情報は、たとえば、運転支援に用いられる、対象車両のふらつきおよび速度超過等の状態を示す情報である。ふらつきを示す情報の発生は、たとえば、対象車両の加速度、対象車両におけるステアリングの回転角、および対象車両におけるアクセルの開度についての時系列変化に基づいて予測される。また、速度超過を示す情報の発生は、たとえば、対象車両の加速度、および対象車両におけるアクセルの開度についての時系列変化に基づいて予測される。
 また、本発明の実施の形態に係る車載検知システムでは、第1の情報および第2の情報は、発生要因が異なるとしたが、これに限定するものではない。第1の情報および第2の情報は、発生要因が同じであってもよい。
 また、本発明の実施の形態に係る車載検知システムでは、予測部32は、判断基準情報および第1の情報に基づいて、第2の情報の発生を予測する構成であるとしたが、これに限定するものではない。予測部32は、判断基準情報を用いずに第2の情報の発生を予測する構成であってもよい。具体的には、たとえば、車載ネットワーク12における情報の伝送が、第1の情報の伝送から所定時間経過後に第2の情報の伝送が行われるようなプロトコルに従う場合、予測部32は、第1の情報の発生に基づいて第2の情報の発生を予測可能である。
 また、本発明の実施の形態に係る車載検知システムでは、予測部32は、第1の情報の内容に基づいて、第2の情報の発生を予測する構成であるとしたが、これに限定するものではない。予測部32は、第1の情報の内容の代わりに、第1の情報の伝送の有無等に基づいて、第2の情報の発生を予測する構成であってもよい。
 また、本発明の実施の形態に係る車載検知システムでは、検知装置を備えるゲートウェイ装置151がバス13に直接接続される構成であるとしたが、これに限定するものではない。
 図10は、本発明の実施の形態に係る車載ネットワークの接続トポロジの一例を示す図である。
 図10を参照して、検知装置131が、車載装置たとえば制御装置122を介してバス13に接続される構成であってもよい。この場合、検知装置131は、たとえば、当該車載装置が送受信する対象メッセージを監視することにより、バス13に伝送される不正メッセージを検知する。
 ところで、特許文献1には、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防ぐ構成が開示されている。
 しかしながら、メッセージ認証を用いるセキュリティ対策では、プロトコルの脆弱性を突いた攻撃、第1の暗号鍵の不正入手による攻撃、および暗号アルゴリズムの陳腐化を突いた攻撃等により、当該セキュリティ対策が無効化されることがある。
 このような場合において、攻撃者が車載ネットワークに侵入したことを正しく検知するための技術が求められる。
 これに対して、本発明の実施の形態に係る検知装置は、対象車両に搭載される車載ネットワーク12における不正な通信を検知する。監視部31は、対象車両に関する状態または制御を示す、車載ネットワーク12において伝送される第1の情報を監視する。予測部32は、監視部31によって監視された第1の情報に基づいて、対象車両に関する状態または制御を示す、車載ネットワーク12における第2の情報の発生を予測する。そして、判断部33は、車載ネットワーク12において第2の情報が伝送された場合に、予測部32の予測結果に基づいて、伝送された第2の情報が不正であるか否かを判断する。
 このように、車載ネットワーク12における第1の情報に基づいて第2の情報の発生を予測する構成により、たとえば、第2の情報が発生する可能性の高い期間を取得することができるので、当該期間と異なる期間に発生した第2の情報を不正と判定することができる。これにより、車載ネットワークにおける不正な通信を正しく検知することができる。
 また、本発明の実施の形態に係る検知装置では、第1の情報および第2の情報の発生要因が異なる。
 このような構成により、第1の情報および第2の情報の発生要因が同じ場合と比べて、第1の情報および第2の情報の組み合わせの個数を多くすることができるので、不正通信の検出により適した第1の情報および第2の情報の組み合わせの抽出可能性を高めることができる。
 また、本発明の実施の形態に係る検知装置では、監視部31は、複数種類の第1の情報を監視する。そして、判断部33は、1種類の第2の情報の不正の判断に、監視部31によって監視された複数種類の第1の情報に基づく予測結果を用いる。
 このような構成により、たとえば、ユーザまたは車両の挙動を多様にセンシングした結果に基づいて第2の情報の発生を予測することができるので、第2の情報の発生の予測精度を高めることができる。
 また、本発明の実施の形態に係る検知装置では、予測部32は、車載ネットワーク12において第2の情報が伝送される際に発生する第1の情報の履歴に基づいて作成された判断基準情報と、監視部31によって監視された第1の情報とに基づいて、第2の情報の発生を予測する。
 このような構成により、第1の情報の時系列変化から第2の情報の発生を予測することができるので、第2の情報の発生の予測精度を高めることができる。
 また、本発明の実施の形態に係る検知装置では、予測部32は、監視部31によって監視された第1の情報の内容に基づいて、第2の情報の発生を予測する。
 このような構成により、たとえば、第1の情報の示すユーザまたは車両の挙動の内容に基づいて、当該挙動に相関する第2の情報の発生を予測することができるので、第2の情報の発生の予測精度を高めることができる。
 上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
 以上の説明は、以下に付記する特徴を含む。
 [付記1]
 車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置であって、
 前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視する監視部と、
 前記監視部によって監視された前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測する予測部と、
 前記車載ネットワークにおいて前記第2の情報が伝送された場合に、前記予測部の予測結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断する判断部とを備え、
 前記予測部は、前記車両におけるステアリングの回転角を示す情報、前記車両におけるアクセルの開度を示す情報、および前記車両における運転席のシート荷重を示す情報に基づいて、前記車両の運転席の近傍の設けられたパワーウィンドウスイッチの操作結果を示す情報の発生を予測し、
 前記予測部は、前記車両における助手席のシート荷重を示す情報に基づいて、前記車両の助手席の近傍の設けられたパワーウィンドウスイッチの操作結果を示す情報の発生を予測し、
 前記予測部は、前記車両に設けられた複数のアンテナからそれぞれ送信された電波のスマートキーにおける各受信強度を示す情報に基づいて、前記車両のドアに設けられた開錠スイッチまたは施錠スイッチの操作結果を示す情報の発生を予測し、
 前記予測部は、前記各受信強度を示す情報、および前記車両におけるブレーキペダルの踏み込み強度を示す情報に基づいて、前記車両に設けられた原動機始動スイッチの操作結果を示す情報の発生を予測する、検知装置。
 1 対象車両
 12 車載ネットワーク
 13,14 バス
 31 監視部
 32 予測部
 33 判断部
 34 学習部
 51 通信処理部
 101 検知装置
 151 ゲートウェイ装置
 111 車載通信機
 111A 近距離無線端末装置
 112 ポート
 121 バス接続装置群
 122 制御装置
 122A スマートエントリ制御装置
 122B エンジン制御装置
 131 検知装置
 301 車載検知システム

Claims (7)

  1.  車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置であって、
     前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視する監視部と、
     前記監視部によって監視された前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測する予測部と、
     前記車載ネットワークにおいて前記第2の情報が伝送された場合に、前記予測部の予測結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断する判断部とを備える、検知装置。
  2.  前記第1の情報および前記第2の情報の発生要因が異なる、請求項1に記載の検知装置。
  3.  前記監視部は、複数種類の前記第1の情報を監視し、
     前記判断部は、1種類の前記第2の情報の不正の判断に、前記監視部によって監視された前記複数種類の前記第1の情報に基づく前記予測結果を用いる、請求項1または請求項2に記載の検知装置。
  4.  前記予測部は、前記車載ネットワークにおいて前記第2の情報が伝送される際に発生する前記第1の情報の履歴に基づいて作成された判断基準情報と、前記監視部によって監視された前記第1の情報とに基づいて、前記第2の情報の発生を予測する、請求項1から請求項3のいずれか1項に記載の検知装置。
  5.  前記予測部は、前記監視部によって監視された前記第1の情報の内容に基づいて、前記第2の情報の発生を予測する、請求項1から請求項4のいずれか1項に記載の検知装置。
  6.  車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置における検知方法であって、
     前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視するステップと、
     監視した前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測するステップと、
     前記車載ネットワークにおいて前記第2の情報が伝送された場合に、予測した結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断するステップとを含む、検知方法。
  7.  車両に搭載される車載ネットワークにおける不正な通信を検知する検知装置において用いられる検知プログラムであって、
     コンピュータを、
     前記車両に関する状態または制御を示す、前記車載ネットワークにおいて伝送される第1の情報を監視する監視部と、
     前記監視部によって監視された前記第1の情報に基づいて、前記車両に関する状態または制御を示す、前記車載ネットワークにおける第2の情報の発生を予測する予測部と、
     前記車載ネットワークにおいて前記第2の情報が伝送された場合に、前記予測部の予測結果に基づいて、伝送された前記第2の情報が不正であるか否かを判断する判断部、
    として機能させるための、検知プログラム。
PCT/JP2017/024633 2016-12-01 2017-07-05 検知装置、検知方法および検知プログラム WO2018100783A1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US16/461,471 US11392683B2 (en) 2016-12-01 2017-07-05 Detection device, detection method and recording medium
DE112017006132.6T DE112017006132T5 (de) 2016-12-01 2017-07-05 Detektionsvorrichtung, Detektionsverfahren und Detektikonsprogramm
CN201780071922.3A CN110063043B (zh) 2016-12-01 2017-07-05 检测装置、检测方法及记录介质

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016234083A JP6750485B2 (ja) 2016-12-01 2016-12-01 検知装置、検知方法および検知プログラム
JP2016-234083 2016-12-01

Publications (1)

Publication Number Publication Date
WO2018100783A1 true WO2018100783A1 (ja) 2018-06-07

Family

ID=62241422

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/024633 WO2018100783A1 (ja) 2016-12-01 2017-07-05 検知装置、検知方法および検知プログラム

Country Status (5)

Country Link
US (1) US11392683B2 (ja)
JP (1) JP6750485B2 (ja)
CN (1) CN110063043B (ja)
DE (1) DE112017006132T5 (ja)
WO (1) WO2018100783A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020158118A1 (ja) * 2019-01-29 2020-08-06 オムロン株式会社 セキュリティ装置、攻撃特定方法、プログラム、及び記憶媒体
JP2020123307A (ja) * 2019-01-29 2020-08-13 オムロン株式会社 セキュリティ装置、攻撃特定方法、及びプログラム

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018206720A1 (de) * 2018-05-02 2019-11-07 Audi Ag Verfahren zum Durchführen eines Softwareupdates in einem Steuergerät eines Kraftfahrzeugs sowie entsprechend eingerichtetes Kraftfahrzeug
KR20200056080A (ko) * 2018-11-14 2020-05-22 현대자동차주식회사 게이트웨이 장치, 이를 포함하는 차량 및 원격 제어 시스템
JP6997124B2 (ja) * 2019-03-04 2022-01-17 三菱電機株式会社 通信監視装置
JP7176456B2 (ja) * 2019-03-29 2022-11-22 株式会社デンソー メッセージ監視システム、メッセージ送信電子制御装置、および監視用電子制御装置
CN114078331B (zh) * 2020-08-19 2023-02-17 北京万集科技股份有限公司 超速检测方法、装置、视觉传感器和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006065572A (ja) * 2004-08-26 2006-03-09 Mitsubishi Electric Corp 行動パターン抽出装置および異常行動検出装置
JP2010092424A (ja) * 2008-10-10 2010-04-22 Denso Corp 自動車の運転支援装置及び運転支援方法
JP2016134913A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2016170786A1 (ja) * 2015-04-21 2016-10-27 パナソニックIpマネジメント株式会社 情報処理システム、情報処理方法、およびプログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005316779A (ja) * 2004-04-28 2005-11-10 Intelligent Cosmos Research Institute 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム
US9165131B1 (en) * 2011-07-20 2015-10-20 Thomas M. Kowalick Vehicle connector lockout for in-vehicle diagnostic link connector (DLC) interface port
JP5892889B2 (ja) * 2012-07-27 2016-03-23 ダイハツ工業株式会社 通信制御装置
CN103036874B (zh) * 2012-11-28 2015-10-28 大连理工大学 针对车联网数据采集中预防数据注入攻击的保护方法
US20150191151A1 (en) 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Detective watchman
JP6201962B2 (ja) * 2014-11-06 2017-09-27 トヨタ自動車株式会社 車載通信システム
JP2016097879A (ja) 2014-11-25 2016-05-30 トヨタ自動車株式会社 車両制御システム
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
JP6595885B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正対処方法及び電子制御ユニット
AU2016298790A1 (en) * 2015-06-11 2017-11-23 Financial & Risk Organisation Limited Risk identification and risk register generation system and engine
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
JP6585001B2 (ja) * 2015-08-31 2019-10-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、不正検知電子制御ユニット及び不正検知システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006065572A (ja) * 2004-08-26 2006-03-09 Mitsubishi Electric Corp 行動パターン抽出装置および異常行動検出装置
JP2010092424A (ja) * 2008-10-10 2010-04-22 Denso Corp 自動車の運転支援装置及び運転支援方法
JP2016134913A (ja) * 2015-01-20 2016-07-25 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
WO2016170786A1 (ja) * 2015-04-21 2016-10-27 パナソニックIpマネジメント株式会社 情報処理システム、情報処理方法、およびプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020158118A1 (ja) * 2019-01-29 2020-08-06 オムロン株式会社 セキュリティ装置、攻撃特定方法、プログラム、及び記憶媒体
JP2020123307A (ja) * 2019-01-29 2020-08-13 オムロン株式会社 セキュリティ装置、攻撃特定方法、及びプログラム

Also Published As

Publication number Publication date
JP2018093331A (ja) 2018-06-14
US11392683B2 (en) 2022-07-19
JP6750485B2 (ja) 2020-09-02
CN110063043B (zh) 2021-07-06
CN110063043A (zh) 2019-07-26
US20190347402A1 (en) 2019-11-14
DE112017006132T5 (de) 2019-08-14

Similar Documents

Publication Publication Date Title
JP6750485B2 (ja) 検知装置、検知方法および検知プログラム
US8638202B2 (en) Keyfob proximity theft notification
US9710983B2 (en) Method and system for authenticating vehicle equipped with passive keyless system
KR102394578B1 (ko) 차량 제어 시스템 및 그 방법
Miller et al. A survey of remote automotive attack surfaces
KR100697147B1 (ko) 위치 검출 시스템, 위치 검출 시스템의 위치 검출 방법, 위치 검출 통신 장치
US9738254B2 (en) Tire theft alarm system
JP6805667B2 (ja) 検知装置、ゲートウェイ装置、検知方法および検知プログラム
JP5082729B2 (ja) 無線装置、その制御方法、およびプログラム
US20170200334A1 (en) Personal device location authentication for secured function access
CN109155087B (zh) 运载工具防盗系统
JP2019029961A (ja) 検知装置、検知方法および検知プログラム
CN107867263B (zh) 车辆通信系统、车载装置以及便携式装置
WO2019095023A1 (en) Method and system for relay attack prevention incorporating motion
WO2018159118A1 (ja) 位置判定システム
CN111770501A (zh) 一种防中继攻击的蓝牙数字钥匙定位系统及方法
WO2021111685A1 (ja) 検知装置、車両、検知方法および検知プログラム
WO2020079874A1 (ja) 検知装置、ゲートウェイ装置、検知方法および検知プログラム
WO2021106352A1 (ja) 車両用システム、車載装置、及び端末位置特定方法
JP2010208353A (ja) 車両用制御システム
JP6287673B2 (ja) 制御システム
JP2020100994A (ja) 車載装置
JP7432472B2 (ja) 車両制御装置、車両制御システム、および車両制御方法
CN114245981B (zh) 检测装置、车辆、检测方法及检测程序
JP2023002854A (ja) 電子キーシステム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17876626

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 17876626

Country of ref document: EP

Kind code of ref document: A1