车辆异常检测服务器、车辆异常检测系统及车辆异常检测方法技术方案

具备：通信部(810)，与车辆进行通信，接收该车辆所具备的车载网络的日志；日志收集对象车辆选出部(855)，在取得了表示作为通信对象的多台车辆中的一台的第一车辆中发生异常的信息的情况下，从多台车辆中选出与该异常相应的异常关联车辆；日志收集部(830)，经由通信部(810)向异常关联车辆发送请求发送该异常关联车辆所搭载的车载网络的日志的第一请求；以及日志分析部(840)，基于根据第一请求而从异常关联车辆发送且由通信部(810)接收到的日志所表示的信息，判定异常关联车辆中有无异常发生。

Vehicle anomaly detection server, vehicle anomaly detection system and vehicle anomaly detection method

It has the following functions: Communication Department (810), which communicates with the vehicle and receives the log of the vehicle network possessed by the vehicle; log collection object vehicle selection Department (855), which selects the abnormal associated vehicle corresponding to the abnormal from multiple vehicles after obtaining the abnormal information of the first vehicle representing one of the multiple vehicles as the communication object; log collection department (830), The communication unit (810) sends a request to the abnormal associated vehicle to send the first request of the log of the on-board network carried by the abnormal associated vehicle; and the log analysis unit (840) determines whether there is an exception in the abnormal associated vehicle based on the information represented by the log sent from the abnormal associated vehicle according to the first request and received by the communication unit (810).

【技术实现步骤摘要】
【国外来华专利技术】车辆异常检测服务器、车辆异常检测系统及车辆异常检测方法
本专利技术涉及用于在搭载于车辆的电子控制单元进行通信的车载网络中可被发送的攻击帧的检测、应对等的安全技术。
技术介绍
近年，在汽车中配置有多个被称之为电子控制单元(ECU：ElectronicControlUnit)的装置。连接这些ECU的通信网络被称为车载网络。作为被应用于车载网络的主要通信标准可举出ISO11898－1中规定的控制器局域网络(ControllerAreaNetwork)(CAN(注册商标))、以太网(Ethernet)(注册商标)。伴随着汽车的高性能化，基于经由这样的车载网络在ECU间被收发的数据而决定并提供各ECU所进行的控制的内容的功能在逐渐增加。在这样的控制系统中有可能发生这样的攻击：非法安装的ECU或通过服务器攻击而劫持的ECU发送数据的内容被篡改的帧等伪帧，从而使其他ECU执行非法的控制。作为用于检测并防御这种攻击的技术，已知有对于在车载网络中具有相同消息ID的帧预先登记假定的发送周期，并且基于实际发送周期与该假定的发送周期的比较来判别是否非法的技术(参见专利文献1)。此外，已知有通过各车辆的车载网络收发的帧被发送到服务器，并且由服务器推算该帧的异常程度，并基于该异常程度适当地处理各种攻击帧的技术(参见专利文献2)。现有技术文献专利文献专利文献1：特开2014－146868号公报专利文献2：特开2017－111796号公报
技术实现思路
专利技术所要解决的课题然而，在上述结构中，如果向服务器发送数据的车辆变多，则在基于该数据的处理来应对异常为止发生了瓶颈的情况下，不能迅速地采取适当的措施，例如出现可能成为攻击对象的车辆增加等、攻击受害变得严重的可能性变高这样的课题。因此，本专利技术提供一种不论监视对象车辆的多少、都能够迅速且适当地执行从异常检测到应对处理的车辆异常检测装置等。用于解决课题的手段本专利技术一方式的车辆异常检测服务器具备：通信部，与车辆进行通信，接收该车辆所具备的车载网络的日志；车辆选出部，在取得了表示作为上述通信对象的多台车辆中的一台车辆即第一车辆中发生异常的信息的情况下，从上述多台车辆选出与上述第一车辆的异常对应的异常关联车辆；日志收集部，经由上述通信部向上述异常关联车辆发送第一请求，该第一请求请求发送上述异常关联车辆所具备的车载网络的日志；以及日志分析部，基于响应于上述第一请求而从上述异常关联车辆发送且由上述通信部接收到的日志所表示的信息，判定上述异常关联车辆中有无异常发生。此外，本专利技术一方式的车辆异常检测系统包括：上述车辆异常检测服务器、以及与上述车辆异常检测服务器进行通信的多台车辆，该车辆响应于来自上述车辆异常检测服务器的请求将上述日志向上述车辆异常检测服务器发送。此外，本专利技术一方式的车辆异常检测方法，是上述车辆异常检测系统中执行的车辆异常检测方法，上述车辆异常检测系统中，在取得了表示作为上述多台车辆中的一台车辆即第一车辆中发生异常的信息的情况下，从上述多台车辆选出与上述第一车辆的异常对应的异常关联车辆，从上述车辆异常检测系统向上述异常关联车辆发送请求发送上述异常关联车辆所具备的车载网络的日志的第一请求，上述车辆异常检测系统基于响应于上述第一请求而从上述异常关联车辆发送的日志所表示的信息，判定上述异常关联车辆中有无异常发生。另外，这些总体或者具体的方式可以通过集成电路、计算机程序或者计算机可读取记录介质来实现，也可以通过装置、系统、方法、计算机程序以及记录介质的任意组合来实现。专利技术效果本公开中的车辆异常检测装置等，不论监视对象车辆的多少，都能够迅速且适当地执行从异常检测到应对处理。另外，根据本说明书以及附图的公开内容将明确本公开进一步的效果以及优点。上述进一步的效果以及优点可以通过本说明书以及附图中公开的实施方式以及特征单独提供，并且不必提供全部的效果以及优点。附图说明图1是表示实施方式中的车辆异常检测系统的服务体系的例子的框图。图2是表示上述车辆异常检测系统中包含的云服务器的运营体系的例子的框图。图3是表示实施方式中的车辆异常检测系统的整体结构的例子的概念图。图4是表示上述车辆异常检测系统中包含的车辆所具备的车载网络的结构的例子的框图。图5是表示上述车辆异常检测系统中包含的车辆异常检测服务器的功能构成例子的框图。图6是表示实施方式中的车辆日志保存数据库中保存的车辆日志信息的数据构成的例子的框图。图7是表示实施方式中的车辆信息数据库中保存的车辆信息的数据构成例子的图。图8是表示实施方式中的车辆信息数据库中保存的分车型信息的数据构成例子的图。图9是表示实施方式中的安全信息数据库中所保存的攻击阶段信息的数据构成例子的图。图10是表示实施方式中的ECU信息数据库中所保存的ECUID转换表的一例的图。图11是表示实施方式中的ECU信息数据库中所保存的消息ID转换表的一例的图。图12是表示实施方式中的ECU信息数据库中所保存的分车型消息ID－ECU关联表的一例的图。图13是表示实施方式中的ECU信息数据库中所保存的分车型ECU关联表的一例的图。图14是表示上述车辆异常检测系统中包含的车辆所具备的网关的功能构成例子的框图。图15是表示上述车辆异常检测系统中的直至异常检测的处理步骤示例的时序图。图16是表示上述车辆异常检测系统中所包含的车辆异常检测服务器在通常时选出作为异常检测处理的对象的样本车辆的步骤示例的流程图。图17是表示上述车辆异常检测系统中包含的车辆异常检测服务器进行的异常检测的步骤示例的流程图。图18是表示上述车辆异常检测系统中包含的车辆异常检测服务器选出追加调査对象车辆的处理的步骤示例的流程图。图19是表示上述车辆异常检测系统中的通信的概要的时序图。具体实施方式(本公开的基础知识)本专利技术人发现关于“
技术介绍
”部分中记载的技术，会发生以下的问题。当通过车载网络被收发的帧从多个车辆向服务器发送时，设想有如下情况：连接车辆和服务器的通信网络中的通信数据量、或服务器中的处理对象的数据量相对于各自的处理能力过剩，而造成不能适时地检测异常或不能针对检测出的异常适时地应对。为了避免这种状况，考虑了从车辆的母集团中采样并选择成为服务器进行异常检测处理的对象的车辆，被选择的车辆将通过各车辆的车载网络收发的数据、或其日志向服务器发送。由此，抑制通信数据量的增加以及服务器的处理负荷的增加。但是，对于没有被选择为对象的车辆，只要不被选择为监视对象，就不会在服务器进行异常检测处理。也就是说，没有被选择的车辆中所发生的异常不被处理，或者直至处理需要花费时间。如果该异常是由于网络攻击引起的，那么在没有对异常进行处理的期间，由于该攻击的影响而产生的重大故障会在该车辆上发生，或者攻击扩大到其他车辆等，危害可能会加重。为本文档来自技高网...

【技术保护点】
1.一种车辆异常检测服务器，具备：/n通信部，与车辆进行通信，接收该车辆所具备的车载网络的日志；/n车辆选出部，在取得了表示作为所述通信的对象的多台车辆中的一台车辆即第一车辆中发生异常的信息的情况下，从所述多台车辆选出与所述第一车辆的异常相应的异常关联车辆；/n日志收集部，经由所述通信部向所述异常关联车辆发送第一请求，该第一请求用于请求发送所述异常关联车辆所具备的车载网络的日志；以及/n日志分析部，基于根据所述第一请求而从所述异常关联车辆发送且由所述通信部接收到的日志所表示的信息，判定所述异常关联车辆中有无异常发生。/n

【技术特征摘要】
【国外来华专利技术】20180122 US 62/620,1521.一种车辆异常检测服务器，具备：
通信部，与车辆进行通信，接收该车辆所具备的车载网络的日志；
车辆选出部，在取得了表示作为所述通信的对象的多台车辆中的一台车辆即第一车辆中发生异常的信息的情况下，从所述多台车辆选出与所述第一车辆的异常相应的异常关联车辆；
日志收集部，经由所述通信部向所述异常关联车辆发送第一请求，该第一请求用于请求发送所述异常关联车辆所具备的车载网络的日志；以及
日志分析部，基于根据所述第一请求而从所述异常关联车辆发送且由所述通信部接收到的日志所表示的信息，判定所述异常关联车辆中有无异常发生。


2.如权利要求1所述的车辆异常检测服务器，
所述车辆选出部从所述多台车辆选出第一样本车辆，
所述日志收集部经由所述通信部向被选出的所述第一样本车辆发送第二请求，该第二请求用于请求发送所述第一样本车辆所具备的车载网络的日志，
所述日志分析部基于根据所述第二请求而从所述第一样本车辆发送且由所述通信部接收到的日志所表示的信息，判定所述第一样本车辆中有无异常发生，
在由所述日志分析部判定为所述第一样本车辆中没有异常发生的情况下，所述车辆选出部从所述多台车辆选出与所述第一样本车辆不同的第二样本车辆，
所述日志收集部经由所述通信部向被选出的所述第二样本车辆发送第三请求，该第三请求用于请求发送所述第二样本车辆所具备的车载网络的日志。


3.如权利要求2所述的车辆异常检测服务器，
所述日志是车载网络中收发的帧所包含的信息的至少一部分的时间序列数据或与所述帧相关的信息的时间序列数据。


4.如权利要求3所述的车辆异常检测服务器，
所述车辆选出部选出车型与发生了所述异常的车辆共通的车辆，作为所述异常关联车辆。


5.如权利要求1所述的车辆异常检测服务器，
所述车辆异常检测服务器还具备保持第一车辆信息的存储部，该第一车辆信息表示在所述车载网络中收发的帧的种类与发送所述帧的信息处理装置之间的对应，
所述车辆选出部参照所述第一车辆信息，从所述多台车辆中，确定具备发送种类与关联于所述第一车辆中发生的异常的帧相同的帧的信息处理装置的车辆，并选出所确定的所述车辆作为所述异常关联车辆。


6.如权利要求5所述的车辆异常检测服务器，
所述存储部还保持第二车辆信息，该第二车辆信息表示消息ID在车型间的...

【专利技术属性】
技术研发人员：鸟崎唯之，芳贺智之，佐佐木崇光，岸川刚，松岛秀树，
申请(专利权)人：松下电器美国知识产权公司，
类型：发明
国别省市：美国;US