异常检测电子控制单元、车载网络系统以及异常检测方法技术方案

异常检测通过具备接收部、判定部以及发送部来实现，所述接收部连接于通信路径，逐次接收包含监视对象数据的第1种消息和包含比较对象数据的第2种消息，通信路径上连接有发送第1种消息的ECU和发送第2种消息的ECU，所述判定部基于如下内容来判定通过接收部接收到的第1种消息是正常还是异常：该第1种消息的内容；在该第1种消息的接收时通过接收部最后接收到的第2种消息的内容；以及通过接收部比该第1种消息更早地接收到的第1种消息的内容、和通过接收部比该最后接收到的第2种消息更早地接收到的第2种消息的内容中的某一内容，所述发送部根据判定部的判定的结果来进行发送。

Anomaly Detection Electronic Control Unit, Vehicle Network System and Anomaly Detection Method

Anomaly detection is realized by having a receiving unit, a decision unit and a sending unit, which are connected to the communication path, receiving the first message containing the monitored object data and the second message containing the comparative object data one by one, and connecting the ECU sending the first message and the ECU sending the second message on the communication path. The localization determines whether the first message received by the receiving unit is normal or abnormal based on the following contents: the content of the first message; the content of the second message received by the receiving unit at the time of receiving the first message; and the content of the first message received by the receiving unit earlier than the first message. And a content in the content of the second message received earlier by the receiving unit than the last received second message, the transmitting unit transmits according to the result of the decision of the decision unit.

【技术实现步骤摘要】
【国外来华专利技术】异常检测电子控制单元、车载网络系统以及异常检测方法
本公开涉及对流通于网络的异常的消息进行检测的安全对策技术。
技术介绍
近年来，在汽车中的系统内，配置有许多被称为电子控制单元(ECU：ElectronicControlUnit)的装置。连接这些ECU的网络被称为车载网络。车载网络存在许多通信标准。在其中最为主流的车载网络之一，存在由ISO11898规定的CAN(ControllerAreaNetwork：控制器局域网络)这一标准。在CAN中，通信路径是由两条电线构成的总线(网络总线)，与总线连接的ECU被称为节点。与总线连接的各节点收发被称为帧(frame)的消息。发送帧的发送节点通过在两条电线上施加电压，并使电线间产生电位差，从而发送被称为隐性(recessive)的“1”的值和被称为显性(dominant)的“0”的值。多个发送节点在完全相同的定时(timing)发送了隐性和显性的情况下，优先发送显性。接收节点在接收到的帧的格式(format)存在异常的情况下，发送被称为错误帧(errorframe)的帧。错误帧是通过连续地发送6比特(bit)的显性来向发送节点以及其他接收节点通知帧的异常的帧。另外，在CAN中不存在指示发送目的地和/或发送源的标识符，发送节点对每一帧附加ID而进行发送，各接收节点仅接收预先确定的ID的帧。另外，采用CSMA/CA(CarrierSenseMultipleAccess/CollisionAvoidance：载波侦听多路访问/冲突避免)方式，在多个节点同时发送时基于ID进行仲裁(调停)，优先发送ID的值小的帧。关于CAN的车载网络系统，存在攻击者通过访问总线并发送不正常(不正当、非法)的帧从而不正常地控制ECU这样的威胁，安全对策正在被进行研究。例如专利文献1中记载了如下的异常检测的方法：当在网络中在规定的通信间隔内接收到具有同一标识符的第二条数据时，判断为产生了不正。现有技术文献专利文献1：日本特开2014-146868号公报
技术实现思路
专利技术所要解决的问题然而，在专利文献1的方法中，当攻击者以与从正规ECU发送的包含正确数据的消息的周期同样的周期发送包含不正常的数据的消息、并在紧接着正规消息之前发送了不正常(不正规)的消息的情况下，无法适当地检测为是不正常的消息。在该方法中，会导致对于紧随其后的正规消息的发送判定为产生了不正。另外，在该方法中，针对使由正规ECU对正规消息的发送停止并取而代之地发送不正常的消息这样的攻击，无法检测到异常。于是，本公开提供在由攻击者向网络发送了不正常消息的情况下适当地进行异常检测的异常检测电子控制单元(异常检测ECU)。另外，提供在发送了不正常消息的情况下适当地进行异常检测的车载网络系统、以及用于适当地进行异常检测的异常检测方法。用于解决问题的技术方案为了解决上述问题，本公开的一个技术方案涉及的异常检测电子控制单元，是具备经由通信路径进行通信的多个电子控制单元的网络系统中的连接于所述通信路径的异常检测电子控制单元，所述多个电子控制单元包括周期性地发送包含监视对象数据的第1种消息的电子控制单元和周期性地发送包含比较对象数据的第2种消息的电子控制单元，所述异常检测电子控制单元具备接收部、判定部以及发送部，所述接收部从所述通信路径逐次接收第1种消息和第2种消息，所述判定部基于如下内容来判定由所述接收部接收到的第1种消息是正常还是异常：该第1种消息的内容；在对该第1种消息的接收时由所述接收部最后接收到的第2种消息的内容；以及由所述接收部比该第1种消息更早地接收到的第1种消息的内容、和由所述接收部比所述最后接收到的第2种消息更早地接收到的第2种消息的内容中的某一内容，所述发送部根据所述判定部的所述判定的结果来进行发送。另外，为了解决上述问题，本公开的一个技术方案涉及的车载网络系统，是具备经由通信路径进行通信的多个电子控制单元的车载网络系统，所述多个电子控制单元包括周期性地发送包含监视对象数据的第1种消息的电子控制单元和周期性地发送包含比较对象数据的第2种消息的电子控制单元，所述车载网络系统具备连接于所述通信路径的异常检测电子控制单元，所述异常检测电子控制单元具备接收部以及判定部，所述接收部从所述通信路径逐次接收第1种消息和第2种消息，所述判定部基于如下内容来判定由所述接收部接收到的第1种消息是正常还是异常：该第1种消息的内容；在对该第1种消息的接收时由所述接收部最后接收到的第2种消息的内容；以及由所述接收部比该第1种消息更早地接收到的第1种消息的内容、和由所述接收部比所述最后接收到的第2种消息更早地接收到的第2种消息的内容中的某一内容。另外，为了解决上述问题，本公开的一个技术方案涉及的异常检测方法，是具备经由通信路径进行通信的多个电子控制单元的网络系统中所使用的异常检测方法，所述多个电子控制单元包括周期性地发送包含监视对象数据的第1种消息的电子控制单元和周期性地发送包含比较对象数据的第2种消息的电子控制单元，所述异常检测方法包括接收步骤、判定步骤以及发送步骤，在所述接收步骤中，从所述通信路径逐次接收第1种消息和第2种消息，在所述判定步骤中，基于如下内容来判定通过所述接收步骤接收到的第1种消息是正常还是异常：该第1种消息的内容；在对该第1种消息的接收时通过所述接收步骤最后接收到的第2种消息的内容；以及通过所述接收步骤比该第1种消息更早地接收到的第1种消息的内容、和通过所述接收步骤比所述最后接收到的第2种消息更早地接收到的第2种消息的内容中的某一内容，在所述发送步骤中，根据所述判定步骤中的所述判定的结果来进行发送。专利技术效果根据本公开，能够适当地检测到流通于网络的不正常的消息。附图说明图1是表示实施方式1涉及的异常检测系统的整体结构的图。图2是表示实施方式1涉及的车载网络系统的构成的图。图3是表示实施方式1涉及的异常检测ECU的构成的图。图4是表示由CAN协议规定的数据帧的格式的图。图5是表示由CAN协议规定的错误帧的格式的图。图6是表示实施方式1涉及的速度控制ECU发送的数据帧的例子的图。图6A是表示速度控制ECU发送的数据帧中的速度控制信息的读取方法的一例的图。图7是表示实施方式1涉及的齿轮(gear)控制ECU发送的数据帧的例子的图。图7A是表示齿轮控制ECU发送的数据帧中的齿轮控制信息的读取方法的一例的图。图8是表示实施方式1涉及的异常检测ECU使用的规则的图。图9是表示实施方式1涉及的异常检测ECU的规则存储部所保持的规则表(ruletable)的具体例子的图(其一)。图10是表示实施方式1涉及的异常检测ECU的规则存储部所保持的规则表的具体例子的图(其二)。图11是表示实施方式1涉及的异常检测ECU的规则存储部所保持的规则表的具体例子的图(其三)。图12是表示实施方式1涉及的异常检测ECU的数据存储部所保持的数据表的一例的图。图13是表示实施方式1涉及的异常检测ECU所进行的异常判定处理的各模式下使用的数据的图。图14是表示实施方式1涉及的异常检测ECU等的没有异常的情况下的处理时序的一例的图。图15是表示实施方式1涉及的异常检测ECU的异常判定处理模式1有关的处理时序的一例的图。图16是表示实施方式1涉及的异常检测ECU的本文档来自技高网...

【技术保护点】
1.一种异常检测电子控制单元，是具备经由通信路径进行通信的多个电子控制单元的网络系统中的连接于所述通信路径的异常检测电子控制单元，所述多个电子控制单元包括周期性地发送包含监视对象数据的第1种消息的电子控制单元和周期性地发送包含比较对象数据的第2种消息的电子控制单元，所述异常检测电子控制单元具备接收部、判定部以及发送部，所述接收部从所述通信路径逐次接收第1种消息和第2种消息，所述判定部基于如下内容来判定由所述接收部接收到的第1种消息是正常还是异常：该第1种消息的内容；在对该第1种消息的接收时由所述接收部最后接收到的第2种消息的内容；以及由所述接收部比该第1种消息更早地接收到的第1种消息的内容、和由所述接收部比所述最后接收到的第2种消息更早地接收到的第2种消息的内容中的某一内容，所述发送部根据所述判定部的所述判定的结果来进行发送。

【技术特征摘要】
【国外来华专利技术】2016.07.05 JP 2016-133759;2017.04.24 JP 2017-085171.一种异常检测电子控制单元，是具备经由通信路径进行通信的多个电子控制单元的网络系统中的连接于所述通信路径的异常检测电子控制单元，所述多个电子控制单元包括周期性地发送包含监视对象数据的第1种消息的电子控制单元和周期性地发送包含比较对象数据的第2种消息的电子控制单元，所述异常检测电子控制单元具备接收部、判定部以及发送部，所述接收部从所述通信路径逐次接收第1种消息和第2种消息，所述判定部基于如下内容来判定由所述接收部接收到的第1种消息是正常还是异常：该第1种消息的内容；在对该第1种消息的接收时由所述接收部最后接收到的第2种消息的内容；以及由所述接收部比该第1种消息更早地接收到的第1种消息的内容、和由所述接收部比所述最后接收到的第2种消息更早地接收到的第2种消息的内容中的某一内容，所述发送部根据所述判定部的所述判定的结果来进行发送。2.根据权利要求1所述的异常检测电子控制单元，所述异常检测电子控制单元具有存储部，所述接收部将接收到的第1种消息和第2种消息各自的内容储存于所述存储部，所述判定部参照所述存储部来进行所述判定。3.根据权利要求1或2所述的异常检测电子控制单元，所述判定部在由所述接收部接收到第1种消息时，根据如下数据是否满足预定基准来判定该第1种消息是正常还是异常：该第1种消息所包含的第1监视对象数据；由所述接收部最后接收到的第2种消息所包含的第1比较对象数据；以及由所述接收部在该第1种消息的前一次接收到的第1种消息所包含的第2监视对象数据。4.根据权利要求1或2所述的异常检测电子控制单元，所述判定部在由所述接收部接收到第1种消息时，根据如下数据是否满足预定基准来判定该第1种消息是正常还是异常：该第1种消息所包含的第1监视对象数据；由所述接收部最后接收到的第2种消息所包含的第1比较对象数据；以及由所述接收部在最后的前一次接收到的第2种消息所包含的第2比较对象数据。5.根据权利要求1或2所述的异常检测电子控制单元，所述判定部在由所述接收部接收到第1种消息时，根据如下数据是否满足预定基准来判定该第1种消息是正常还是异常：该第1种消息所包含的第1监视对象数据；由所述接收部最后接收到的第2种消息所包含的第1比较对象数据；由所述接收部在该第1种消息的前一次接收到的第1种消息所包含的第2监视对象数据；以及由所述接收部在最后的前一次接收到的第2种消息所包含的第2比较对象数据。6.根据权利要求1或2所述的异常检测电子控制单元，所述判定部在由所述接收部接收到第1种消息时，根据如下数据是否满足预定基准来判定该第1种消息是正常还是异常：该第1种消息所包含的第1监视对象数据；由所述接收部最后接收到的第2种消息所包含的第1比较对象数据；以及由所述接收部在对该第1种消息的接收之前最后接收到的包含与所述第1监视对象数据不同的值的第2监视对象数据的第1种消息中的该第2监视对象数据。7.根据权利要求1或2所述的异常检测电子控制单元，所述判定部在由所述接收部接收到第1种消息时，根据如下数据是否满足预定基准来判定该第1种消息是正常还是异常：该第1种消息所包含的第1监视对象数据；由所述接收部最后接收到的第2种消息所包含的第1比较对象数据；以及由所述接收部在对所述最后接收到的第2种消息的接收之前最后接收到的包含与所述第1比较对象数据不同的值的第2比较对象数据的第2种消息中的该第2比较对象数据。8.根据权利要求1或2所述的异常检测电子控制单元，所述判定部在由所述接收部接收到第1种消息时，根据如下数据是否满足预定基准来判定该第1种消息是正常还是异常：该第1种消息所包含的第1监视对象数据；由所述接收部最后接收到的第2种消息所包含的第1比较对象数据；由所述接收部在对该第1种消息的接收之前最后接收到的包含与所述第1监视对象数据不同的值的第2监视对象数据的第1种消息中的该第2监视对象数据；以及由所述接收部在对所述最后接收到的第2种消息的接收之前最后接收到的包含与所述第1比较对象数据不同的值的第2比较对象数据的第2种消息中的该第2比较对象数据。9.根据权利要求1或2所述的异常检测电子控制单元，所述多个电子控制单元包括周期性地发送包含参照数据的第3种消息的电子控制单元，所述接收部还逐次接收第3种消息，所述判定部也基于如下内容来判定由所述接收部接收到的第1种消息是正常还是异常：在对该第1种消息的接收时由所述接收部最后接收到的第3种消息的内容；以及由所述接收部比所述最后接收到的第3种消息更早地接收到的第3种消息的内容。1...

【专利技术属性】
技术研发人员：鹤见淳一，氏家良浩，佐佐木崇光，岸川刚，若林彻，中野稔久，
申请(专利权)人：松下电器美国知识产权公司，
类型：发明
国别省市：美国,US