Processing

Please wait...

Settings

Settings

Goto Application

1. WO2020137304 - STATISTIC INFORMATION GENERATION DEVICE, STATISTIC INFORMATION GENERATION METHOD, AND PROGRAM

Document

明 細 書

発明の名称 統計情報生成装置、統計情報生成方法、および、プログラム

技術分野

0001  

背景技術

0002  

先行技術文献

特許文献

0003  

非特許文献

0004  

発明の概要

発明が解決しようとする課題

0005   0006  

課題を解決するための手段

0007   0008  

発明の効果

0009  

図面の簡単な説明

0010  

発明を実施するための形態

0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131   0132   0133   0134   0135   0136   0137   0138   0139   0140   0141   0142   0143   0144   0145   0146   0147   0148   0149   0150   0151   0152   0153   0154   0155   0156   0157   0158   0159   0160   0161   0162   0163   0164   0165   0166   0167   0168   0169   0170   0171   0172   0173   0174   0175   0176   0177   0178   0179   0180   0181   0182   0183   0184   0185   0186   0187   0188   0189   0190   0191   0192   0193   0194   0195   0196   0197   0198   0199   0200   0201   0202   0203   0204   0205   0206   0207   0208   0209   0210   0211   0212   0213   0214   0215   0216   0217   0218   0219   0220   0221   0222   0223   0224   0225   0226   0227   0228   0229   0230   0231   0232   0233   0234   0235   0236   0237   0238   0239   0240  

産業上の利用可能性

0241  

符号の説明

0242  

請求の範囲

1   2   3   4   5   6   7   8   9  

図面

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18   19   20   21  

明 細 書

発明の名称 : 統計情報生成装置、統計情報生成方法、および、プログラム

技術分野

[0001]
 本発明は、統計情報生成装置、統計情報生成方法、および、プログラムに関する。

背景技術

[0002]
 近年、CANとEthernet(登録商標)が混在する車載ネットアーキテクチャがある(例えば特許文献1参照)。

先行技術文献

特許文献

[0003]
特許文献1 : 特開2012-6446号公報

非特許文献

[0004]
非特許文献1 : Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information (RFC7011)

発明の概要

発明が解決しようとする課題

[0005]
 しかしながら、車載ネットワーク上に流れるトラフィック全体を把握することができないという問題がある。また、車載ネットワーク上で起きている異常の内容を把握することが困難であるという問題がある。なお、この問題は、車載ネットワークに限らず、広くモビリティネットワークにおいて起こり得る。
[0006]
 そこで、本発明は、モビリティネットワークにおける異常を適切に分析する統計情報生成装置などを提供する。

課題を解決するための手段

[0007]
 本発明の一態様に係る統計情報生成装置は、モビリティネットワークを流れるEthernetフレームから統計情報を生成する統計情報生成装置であって、前記Ethernetフレームを送受信する送受信部と、(a)前記送受信部が所定の時間内に送信もしくは受信する前記Ethernetフレームを複数収集し、収集した複数の前記Ethernetフレームのうち、前記Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、前記Ethernetフレームのペイロードに含まれるモビリティ制御に関わる識別情報が同一である複数の前記Ethernetフレームを、同じグループに分類し、(b)前記グループに分類した複数の前記Ethernetフレームからグループごとに統計情報を生成し、(c)生成した前記統計情報を前記送受信部により送信する、統計情報生成部とを備える。
[0008]
 なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

発明の効果

[0009]
 本発明の統計情報生成装置は、モビリティネットワークにおける異常を適切に分析することができる。

図面の簡単な説明

[0010]
[図1] 図1は、実施の形態における車載ネットワークの全体構成図である。
[図2] 図2は、実施の形態におけるCANフレームのフォーマットを示す説明図である。
[図3] 図3は、実施の形態におけるEthernetフレームのフレームフォーマットを示す説明図である。
[図4] 図4は、実施の形態におけるCANゲートウェイによるフレームの変換処理を示す説明図である。
[図5] 図5は、実施の形態におけるCANゲートウェイの構成を示すブロック図である。
[図6] 図6は、実施の形態における自動運転DCUの構成を示すブロック図である。
[図7] 図7は、実施の形態におけるセントラルゲートウェイの構成を示すブロック図である。
[図8] 図8は、実施の形態における動作モードの切替条件を示す図である。
[図9] 図9は、実施の形態における統計情報の生成および送信の処理を示すフロー図である。
[図10] 図10は、実施の形態における統計情報生成の処理を詳細に示すフロー図である。
[図11] 図11は、実施の形態における統計情報を利用した異常検知に係る、車両内の各装置の処理を示すフロー図である。
[図12] 図12は、実施の形態における、統計情報生成部が通常モードにおいて生成した統計情報の例を示す説明図である。
[図13] 図13は、実施の形態におけるEthernetフレームのデータフィールドにCANメッセージが含まれる場合のフローの分類の例を示す図である。
[図14] 図14は、実施の形態における、統計情報生成部が拡張モードにおいて生成し、統計情報収集部が収集した統計情報の例を示す説明図である。
[図15] 図15は、実施の形態における異常検知ルールを含むルールテーブルの例を示す説明図である。
[図16] 図16は、実施の形態におけるサーバにおける統計情報を用いた監視画面の第一例を示す説明図である。
[図17] 図17は、実施の形態におけるサーバにおける統計情報を用いた監視画面の第二例を示す説明図である。
[図18] 図18は、実施の形態の変形例1におけるSOME/IPメッセージを含むEthernetフレームのフレームフォーマットを示す説明図である。
[図19] 図19は、実施の形態の変形例1におけるSOME/IP通信についての統計情報の生成および送信の処理を示すフロー図である。
[図20] 図20は、実施の形態の変形例2における統計情報生成装置の構成を示すブロック図である。
[図21] 図21は、実施の形態の変形例2における統計情報生成方法の処理を示すフロー図である。

発明を実施するための形態

[0011]
(本発明の基礎となった知見)
 本発明者は、「背景技術」の欄において記載した車載ネットアーキテクチャに関し、以下の問題が生じることを見出した。
[0012]
 近年、自動車の中のシステムには、電子制御ユニット(ECU:Electronic Control Unit)と呼ばれる装置が多数配置されている。これらのECUをつなぐネットワークは車載ネットワークと呼ばれる。
[0013]
 車載ネットワークには、多数の規格が存在する。その中でも最も主流な車載ネットワークの一つに、ISO11898-1で規定されているCAN(Controller Area Network)という規格が存在する。一方、より多くの情報を伝送するための規格として、IEEE 802.3で規定されているEthernet(登録商標)という規格が存在する。
[0014]
 先進運転支援システム又は自動運転においては、カメラ若しくはLIDAR(Light Detection and Ranging)などのセンサーが取得したデータ、又は、ダイナミックマップなどに関連する膨大な情報を処理する必要がある。そのため、データ伝送速度が高いEthernetの車載ネットワークへの導入が進んでいる。一方で、従来から存在するCANも車両制御系としては利用され続ける。そのため、CANとEthernetとが混在する車載ネットアーキテクチャが増えている。
[0015]
 ところで、自動車の外部ネットワークと接続され、そして電子制御化が進むことにより、自動車の制御系コマンドを疑似することで自動車が不正に操作される脅威がある。
[0016]
 ITネットワークにおいて、ネットワーク全体のトラフィックを監視する方法としてIPFIXという仕様がある(非特許文献1参照)。IPFIXでは、送信元および宛先のIPアドレス、送信元および宛先のポート番号、並びに、プロトコル(5-tuples)が同一の通信パケット(又は通信フレーム)を同じグループとして分類する。そして、そのグループに属する通信パケットからフロー情報と呼ばれる統計情報を生成し、生成したフロー情報をコレクターと呼ばれる端末へ送信し、コレクター上でネットワークのトラフィックを監視する方法が知られている。なお、通信パケットを単にパケットともいい、通信フレームを単にフレームともいう。
[0017]
 しかし、5-tuplesによる分類では、詳細なトラフィックの分析が困難である。特に車載ネットワークの場合は、5-tuplesの内容が同一であっても、Ethernetフレームのペイロードに含まれる、車両を制御するCANメッセージは異なるものが格納されているケースがある。このようなケースにおいては、Ethernetフレームのペイロードに含まれる車両を制御するCANメッセージの種別ごとにトラフィックを監視することができず、異常が検知できたとしても、どのような異常が発生したのかの詳細を把握することが困難である。
[0018]
 また、特許文献1では、車両ネットワーク上での異常検知箇所を特定するために、ゲートウェイで受信したメッセージの送信元情報を外部の診断装置に送信している。しかし、送信元のメッセージに応じて生成した統計情報を用いた異常検知を行っていない。そのため、車載ネットワーク上に流れるトラフィック全体を把握することができず、また、どのような異常が起きているか、言い換えれば異常内容を把握することが困難である。
[0019]
 そこで、本発明は、モビリティネットワークにおける異常を適切に分析する統計情報生成装置などを提供する。
[0020]
 このような問題を解決するために、本発明の一態様に係る統計情報生成装置は、モビリティネットワークを流れるEthernetフレームから統計情報を生成する統計情報生成装置であって、前記Ethernetフレームを送受信する送受信部と、(a)前記送受信部が所定の時間内に送信もしくは受信する前記Ethernetフレームを複数収集し、収集した複数の前記Ethernetフレームのうち、前記Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、前記Ethernetフレームのペイロードに含まれるモビリティ制御に関わる識別情報が同一である複数の前記Ethernetフレームを、同じグループに分類し、(b)前記グループに分類した複数の前記Ethernetフレームからグループごとに統計情報を生成し、(c)生成した前記統計情報を前記送受信部により送信する、統計情報生成部とを備える。
[0021]
 上記態様によれば、統計情報生成装置は、5-tuples(宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコル)の情報に加えて、モビリティ制御に関わる識別情報をも考慮して、複数のEthernetフレームを単位として統計情報を生成する。よって、5-tuplesの情報だけを考慮して統計情報を生成する場合よりも、より詳細な単位で統計情報を生成することができる。このように生成した統計情報を用いれば、5-tuplesの情報だけを考慮して生成された統計情報よりも、より詳細な分析が可能となり、より精密に異常を検知することができる。よって、統計情報生成装置は、モビリティネットワークにおける異常を適切に分析することができる。
[0022]
 例えば、前記統計情報生成部は、第一モードおよび第二モードのいずれかの動作モードで前記統計情報を生成し、前記第一モードでは、(d)前記送受信部が所定の時間内に送信もしくは受信する前記Ethernetフレームを複数収集し、収集した複数の前記Ethernetフレームのうち前記Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一である複数の前記Ethernetフレームを、同じグループに分類し、(e)前記グループに分類した複数の前記Ethernetフレームからグループごとに統計情報を生成し、(f)生成した前記統計情報を前記送受信部により送信し、前記第二モードでは、前記(a)、前記(b)および前記(c)により前記統計情報を送信してもよい。
[0023]
 上記態様によれば、統計情報生成装置は、あるタイミングでは5-tuplesの情報を考慮してモビリティネットワークのフローの統計情報を生成することができ、別のあるタイミングでは5-tuplesの情報とモビリティ制御に関わる識別情報とを考慮して統計情報を生成することができる。このようにして統計情報生成装置は、従来の(つまり通常の)統計情報の生成とそれに基づく分析をすることができるとともに、必要に応じて、詳細な統計情報の生成とそれに基づく精密な分析をも行うことができる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより一層適切に分析することができる。
[0024]
 例えば、前記統計情報生成部は、所定の条件が満たされるか否かを判定し、前記所定の条件が満たされると判定した場合に、前記動作モードを、前記第一モードと前記第二モードとの一方から他方へ切り替えてもよい。
[0025]
 上記態様によれば、統計情報生成装置は、所定の条件が満たされた場合に、詳細な統計情報の生成とそれに基づく精密な分析を行うように、動作モードを切り替えることができる。精密な分析が必要となる状況を表現する条件を、所定の条件として用いるようにすれば、統計情報生成装置は、精密な分析が必要であるときに、精密な分析を行うように動作モードを切り替えることができる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより一層適切に分析することができる。
[0026]
 例えば、前記統計情報生成部は、動作モードを切り替える指示を含むEthernetフレームを前記送受信部により受信したという条件を、前記所定の条件として用いて、前記判定をしてもよい。
[0027]
 上記態様によれば、統計情報生成装置は、切替指示を受信した場合に、切替指示に従って動作モードを切り替えることができる。切替指示は、ECU又は外部のサーバなどから送信され得るので、統計情報生成装置は、ECU又は外部のサーバなどからの切替指示に従って異常を分析することができる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより適切に分析することができる。
[0028]
 例えば、前記統計情報生成部は、前記モビリティネットワーク内で異常が発生したことを検知したという条件を、前記所定の条件として用いて、前記判定をし、前記条件が満たされたと判定した場合に、前記第一モードから前記第二モードへ切り替えてもよい。
[0029]
 上記態様によれば、統計情報生成装置は、モビリティネットワーク内で発生し得る異常の検知に基づいて、精密な分析を行うように動作モードを切り替えることができる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより適切に分析することができる。
[0030]
 例えば、前記統計情報生成部は、さらに、送信元IPアドレスもしくは宛先IPアドレスが所定のIPアドレスである一のEthernetフレームを前記送受信部が受信したと判定した場合に、前記一のEthernetフレームについては、前記第二モードで統計情報を生成してもよい。
[0031]
 上記態様によれば、統計情報生成装置は、特定のIPアドレスを宛先または送信元とするEthernetフレームに対して、精密な分析を行うことができる。例えば、詳細に解析したい特定のIPアドレスを含んだEthernetフレームについてペイロードまで含めて統計情報が生成されるので、不正な車両制御指示が流れているか否か、又は、車両が攻撃されているか否かを監視することが可能となる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより適切かつ柔軟に分析することができる。
[0032]
 例えば、前記統計情報生成部は、さらに、モビリティ制御指示に関する一のEthernetフレームを前記送受信部が受信したと判定した場合に、前記一のEthernetフレームについては、前記第二モードで統計情報を生成してもよい。
[0033]
 上記態様によれば、統計情報生成装置は、特定のモビリティ制御指示に関するEthernetフレームに対して、精密な分析を行うことができる。例えば、走る、曲がる、止まるといった車両制御を司るECUから送信される、もしくは、上記ECUへ送信されるEthernetフレームについてペイロードまで含めた統計情報が生成されるので、不正な車両制御指示が流れているか否か監視することが可能となる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより適切かつ柔軟に分析することができる。
[0034]
 また、本発明の一態様に係る統計情報生成方法は、モビリティネットワークを流れるEthernetフレームから統計情報を生成する統計情報生成装置が実行する統計情報生成方法であって、前記統計情報生成装置は、前記Ethernetフレームを送受信する送受信部を備え、前記統計情報生成方法は、(a)前記送受信部が所定の時間内に送信もしくは受信する前記Ethernetフレームを複数収集し、収集した複数の前記Ethernetフレームのうち、前記Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、前記Ethernetフレームのペイロードに含まれるモビリティ制御に関わる識別情報が同一である複数の前記Ethernetフレームを、同じグループに分類し、(b)前記グループに分類した複数の前記Ethernetフレームからグループごとに統計情報を生成し、(c)生成した前記統計情報を前記送受信部により送信する。
[0035]
 これにより、上記統計情報生成装置と同様の効果を奏する。
[0036]
 また、本発明の一態様に係るプログラムは、上記の統計情報生成方法をコンピュータに実行させるためのプログラムである。
[0037]
 これにより、上記統計情報生成装置と同様の効果を奏する。
[0038]
 なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意な組み合わせで実現されてもよい。
[0039]
 以下、実施の形態について、図面を参照しながら具体的に説明する。
[0040]
 なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
[0041]
 (実施の形態)
 本実施の形態において、モビリティネットワークにおける異常を適切に分析する統計情報生成装置について説明する。
[0042]
 本実施の形態における統計情報生成装置は、モビリティネットワークを流れるEthernetフレームから統計情報を生成する装置であり、送受信部と、統計情報生成部とを備える。
[0043]
 送受信部は、Ethernetフレームを送受信する。
[0044]
 統計情報生成部は、(a)送受信部が所定の時間内に送信もしくは受信するEthernetフレームを複数収集し、収集した複数のEthernetフレームのうち、Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、Ethernetフレームのペイロードに含まれるモビリティ制御に関わる識別情報が同一である複数のEthernetフレームを、同じグループに分類する。また、(b)グループに分類した複数のEthernetフレームからグループごとに統計情報を生成する。そして、(c)生成した統計情報を送受信部により送信する。
[0045]
 また、統計情報生成部は、第一モードおよび第二モードのいずれかの動作モードで統計情報を生成してもよい。ここで、第一モードでは、(d)送受信部が所定の時間内に送信もしくは受信するEthernetフレームを複数収集し、収集した複数のEthernetフレームのうちEthernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一である複数のEthernetフレームを、同じグループに分類する。また、(e)グループに分類した複数のEthernetフレームからグループごとに統計情報を生成する。そして、(f)生成した統計情報を送受信部により送信する。また、第二モードでは、上記(a)、(b)および(c)により統計情報を送信する。
[0046]
 なお、第一モードは、IPFIXに従ってフロー情報を生成する通常モードに相当し、5-tuplesの内容に基づいてフローを分類してフロー情報を生成するモードである。また、第二モードは、Ethernetペイロードの内容に応じてフロー情報を生成する拡張モードに相当し、5-tuplesの内容およびデータに含まれる識別情報に基づいてフローを分類してフロー情報を生成するモードである。
[0047]
 また、統計情報生成部は、所定の条件が満たされるか否かを判定し、所定の条件が満たされると判定した場合に、動作モードを、第一モードと第二モードとの一方から他方へ切り替えてもよい。
[0048]
 また、統計情報生成部は、動作モードを切り替える指示を含むEthernetフレームを送受信部により受信したという条件を、所定の条件として用いて、上記判定をしてもよい。
[0049]
 また、統計情報生成部は、モビリティネットワーク内で異常が発生したことを検知したという条件を、所定の条件として用いて、上記判定をし、上記条件が満たされたと判定した場合に、第一モードから第二モードへ切り替えてもよい。
[0050]
 また、統計情報生成部は、さらに、送信元IPアドレスもしくは宛先IPアドレスが所定のIPアドレスである一のEthernetフレームを送受信部が受信したと判定した場合に、上記一のEthernetフレームについては、第二モードで統計情報を生成してもよい。
[0051]
 また、統計情報生成部は、さらに、モビリティ制御指示に関する一のEthernetフレームを送受信部が受信したと判定した場合に、上記一のEthernetフレームについては、第二モードで統計情報を生成してもよい。
[0052]
 以降において、モビリティネットワークである車載ネットワークの構成における統計情報生成装置について具体的に説明する。
[0053]
 図1は、本実施の形態における車載ネットワークの全体構成図である。車両1の車載ネットワークは、Ethernet10とCAN20とを含んで構成される。
[0054]
 車両1は、1以上のECUおよび1以上のDCU(Domain Control Unit)を備える。
[0055]
 具体的には、車両1は、自動運転DCU100と、自動運転ECU110と、カメラ120と、LIDAR130と、ダイナミックマップECU140と、CANゲートウェイ200と、エンジンECU210と、ステアリングECU220と、ブレーキECU230と、ウィンドウECU240と、インフォテインメントDCU300と、IVI310と、セントラルゲートウェイ400と、テレマティクスコントロールユニット410と、診断ポート420とを備える。
[0056]
 自動運転DCU100と、CANゲートウェイ200と、セントラルゲートウェイ400とのそれぞれが、統計情報生成装置に相当する。
[0057]
 セントラルゲートウェイ400には、テレマティクスコントロールユニット410と診断ポート420と、自動運転DCU100と、CANゲートウェイ200と、インフォテインメントDCU300とが、Ethernet10で接続される。
[0058]
 テレマティクスコントロールユニット410は、車両1が外部ネットワーク30に接続されたサーバ2と通信するためユニットであり、本実施の形態では、携帯電話網又はWiFi(登録商標)などの通信インタフェースを含む。
[0059]
 診断ポート420は、ディーラが車両1の故障診断に使うためのポートであり、診断用のコマンドの送受信に利用されるポートである。
[0060]
 自動運転DCU100には、自動運転ECU110と、車外の状況を撮影するカメラ120と、車外の障害物を感知するためのLIDAR130と、ダイナミックマップの受信や制御をするためのダイナミックマップECU140とが、Ethernet10で接続されている。
[0061]
 CANゲートウェイ200は、CAN20とEthernet10とに接続されている。CANゲートウェイ200は、本実施の形態では、制御系バスとボディ系バスとの2本のCANバスに接続されている。制御系バスには、エンジンECU210と、ステアリングECU220と、ブレーキECU230とが接続されている。ボディ系バスには、ウィンドウ開閉を制御するウィンドウECU240が接続されている。
[0062]
 インフォテインメントDCU300は、IVI(In-Vehicle Infotainment)310とEthernet10で接続されており、情報系ネットワークのドメイン管理を行う。
[0063]
 図2は、本実施の形態におけるCANのフレームフォーマットを示す説明図である。
[0064]
 CANのフレームフォーマットには、一般に、図2の(a)に示される標準フォーマットと、図2の(b)に示される拡張フォーマットとが存在する。本実施の形態では、CANフレームが標準フォーマットを有するとして説明するが、拡張フォーマットを有してもよい。
[0065]
 図3は、本実施の形態におけるEthernetフレームのフレームフォーマットを示す説明図である。
[0066]
 Ethernetフレームは、Ethernetヘッダーと、IPヘッダーと、TCPヘッダーまたはUDPヘッダーと、データとを含んで構成される。
[0067]
 Ethernetヘッダーは、宛先MACアドレスと送信元MACアドレスとを含む。
[0068]
 IPヘッダーは、送信元IPアドレスと宛先アドレスとを含む。
[0069]
 TCPヘッダーまたはUDPヘッダーは、送信元ポート番号と宛先ポート番号とを含む。
[0070]
 データ、つまり、Ethernetペイロード(より特定的には、TCPペイロード又はUDPペイロード)には、当該Ethernetフレームによって運ばれるデータが格納される。データには、例えば、車両制御が行われるタイミングでは、CANフレームが格納される。また、データには、例えば、カメラ映像、LiDAR、センサー又はダイナミックマップの情報が格納されてもよい。本実施の形態では、CANフレームが格納されるケースとして説明する。
[0071]
 図4は、本実施の形態におけるCANゲートウェイ200によるフレームの変換処理を示す説明図である。具体的には、図4は、CANゲートウェイ200が入出力するフレームを示す図である。
[0072]
 CANゲートウェイ200は、CAN20からCANフレームを受信すると、N個のCANフレームを連結してEthernetフレームのデータとして設定する。そして、CANの情報をEthernet上に接続される所望の宛先に、EthernetフレームとしてEthernet送受信部201を介して送信する。なお、Nは予め決められた整数値である。
[0073]
 また、CANゲートウェイ200は、上記の逆の経路として、Ethernet10からEthernetフレームを受信すると、EthernetフレームのデータにCANフレームが格納されているか否かを判定する。CANフレームが格納されていた場合には、格納されているCANフレームを抽出して、CANバスへ送信する。
[0074]
 図5は、本実施の形態におけるCANゲートウェイ200の構成を示すブロック図である。
[0075]
 図5に示されるように、CANゲートウェイ200は、Ethernet送受信部201と、CAN送受信部202及び202Aと、転送判断部203と、転送ルール保持部204と、統計情報生成部206とを備える。
[0076]
 CANゲートウェイ200は、CAN送受信部202又は202AからCANフレームを受信すると、受信したCANメッセージをEthernetフレームに変換して、Ethernet送受信部201を利用してEthernet10へ転送する。
[0077]
 また、CANゲートウェイ200は、Ethernet送受信部201からEthernetフレームを受信すると、受信したEthernetフレームをCANフレームに変換して、CAN送受信部202又は202Aを利用してCAN20へ転送する。
[0078]
 Ethernet送受信部201は、Ethernet10にEthernetフレームを送信し、また、Ethernet10からEthernetフレームを受信する通信インタフェースである。
[0079]
 CAN送受信部202は、CAN20のうちのバス1に接続されている通信インタフェースである。CAN送受信部202は、CAN20(バス1)にCANフレームを送信し、また、CAN20(バス1)からCANフレームを受信する。
[0080]
 CAN送受信部202Aは、CAN送受信部202と同じ機能を有する通信インタフェースであり、CAN送受信部202とは独立に動作する。CAN送受信部202Aは、CAN20のうちのバス2に接続されている。
[0081]
 転送判断部203は、Ethernet送受信部201と、CAN送受信部202又は202Aとの間のフレームの転送可否を判断する処理部である。転送判断部203は、転送ルール保持部204が保持している転送ルールを参照して、フレームの転送可否を判断し、当該フレームの転送をさせる、又は、させない(つまり、転送を禁止する)ように、Ethernet送受信部201、CAN送受信部202又は202Aを制御する。
[0082]
 転送ルール保持部204は、Ethernet送受信部201と、CAN送受信部202又は202Aとの間のフレームの転送可否を示すルールを保持している記憶装置である。
[0083]
 統計情報生成部206は、Ethernet送受信部201で受信したEthernetフレームから、統計情報を生成する。統計情報生成部206は、IPFIXに従ってフロー情報を生成する通常モードと、それとは異なりEthernetペイロードの内容に応じてフロー情報を生成する拡張モードとの2つの動作モードのいずれかで統計情報を生成する。統計情報生成部206は、生成した統計情報をEthernet送受信部201を介してセントラルゲートウェイ400に送信する。
[0084]
 また、統計情報生成部206は、モード切替指示コマンド(単に切替指示ともいう)をEthernet送受信部201より受信して、モードを切り替えを行う。
[0085]
 なお、統計情報生成部206が生成する統計情報には、統計情報生成部206に固有の識別情報であるプローブIDが含まれている。統計情報は、自動運転DCU100の統計情報生成部106、又は、セントラルゲートウェイ400の統計情報生成部406によっても生成される。そのため、統計情報生成部206が生成した統計情報を、他の統計情報生成部が生成した統計情報と区別するために、どの統計情報生成部が生成した情報であるかを示すプローブIDが付与される。本実施の形態では、CANゲートウェイ200つまり統計情報生成部206のプローブIDが「123」であるとして説明する。
[0086]
 図6は、本実施の形態における自動運転DCU100の構成を示すブロック図である。
[0087]
 図6に示されるように、自動運転DCU100は、Ethernet送受信部101と、スイッチ処理部102と、スイッチルール保持部103と、統計情報生成部106とを含んで構成される。
[0088]
 Ethernet送受信部101は、本実施の形態では5つのEthernetポートを備え、それぞれ自動運転ECU110、カメラ120、LIDAR130、ダイナミックマップECU140、およびセントラルゲートウェイ400と、Ethernet10で接続されている。なお、ポートの個数は5に限られない。
[0089]
 スイッチ処理部102は、Ethernet送受信部101で受信したEthernetフレームを、スイッチルール保持部103が保持するルール(スイッチルールともいう)に基づき、適切な転送先に転送する処理を行う。
[0090]
 スイッチルール保持部103は、スイッチ処理部102によるEthernetフレームの転送に用いられるスイッチルールを保持している記憶装置である。
[0091]
 統計情報生成部106は、Ethernet送受信部101で受信したEthernetフレームから、統計情報を生成する。統計情報生成部106は、IPFIXに従ってフロー情報を生成する通常モードと、それとは異なりEthernetペイロードの内容に応じてフロー情報を生成する拡張モードとの2つの動作モードのいずれかで統計情報を生成する。統計情報生成部106は、生成した統計情報をセントラルゲートウェイ400に送信する。
[0092]
 また、統計情報生成部106は、モード切替指示コマンドつまり切替指示をEthernet送受信部101より受信して、モードを切り替えを行う。
[0093]
 なお、統計情報生成部106が生成する統計情報には、CANゲートウェイ200の統計情報生成部206における説明と同様の理由で、どの統計情報生成部が生成した情報であるかを示すプローブIDが付与される。本実施の形態では、自動運転DCU100つまり統計情報生成部106のプローブIDが「456」であるとして説明する。
[0094]
 図7は、本実施の形態におけるセントラルゲートウェイ400の構成を示すブロック図である。
[0095]
 図7に示されるように、セントラルゲートウェイ400は、Ethernet送受信部401と、スイッチ処理部402と、スイッチルール保持部403と、統計情報生成部406と、異常検知処理部404と、異常検知ルール保持部405と、統計情報生成部406と、切替指示部407とを含んで構成される。
[0096]
 Ethernet送受信部401は、本実施の形態では5つのEthernetポートを備え、それぞれ診断ポート420、テレマティクスコントロールユニット410、インフォテインメントDCU300、自動運転DCU100、およびCANゲートウェイ200と、Ethernet10で接続されている。なお、ポートの個数は5に限られない。
[0097]
 スイッチ処理部402は、Ethernet送受信部401で受信したEthernetフレームを、スイッチルール保持部403が保持するルールに基づき、適切な転送先に転送する処理を行う。
[0098]
 スイッチルール保持部403は、スイッチ処理部402によるEthernetフレームの転送に用いられるスイッチルールを保持している記憶装置である。
[0099]
 統計情報生成部406は、Ethernet送受信部401で受信したEthernetフレームから、統計情報を生成する。統計情報生成部406は、IPFIXに従ってフロー情報を生成する通常モードと、それとは異なりEthernetペイロードの内容に応じてフロー情報を生成する拡張モードとの2つの動作モードのいずれかで統計情報を生成する。
[0100]
 また、統計情報生成部406は、モード切替指示コマンドつまり切替指示をEthernet送受信部401より受信して、モードを切り替えを行う。
[0101]
 なお、統計情報生成部406が生成する統計情報には、CANゲートウェイ200の統計情報生成部206における説明と同様の理由で、どの統計情報生成部が生成した情報であるかを示すプローブIDが付与される。本実施の形態では、セントラルゲートウェイ400つまり統計情報生成部406のプローブIDが「789」であるとして説明する。
[0102]
 統計情報収集部408は、統計情報を収集する。具体的には、統計情報収集部408は、セントラルゲートウェイ400の統計情報を統計情報生成部406から取得することで収集する。また、統計情報収集部408は、自動運転DCU100が生成した統計情報、および、CANゲートウェイ200が生成した統計情報を、Ethernet送受信部401を介して受信することで収集する。また、統計情報収集部408は、定期的に収集した統計情報を外部のサーバ2に送信する。サーバ2は、SIEM(Security Information and Event Management)機能を備え、受信した統計情報を用いて異常検知を行う。
[0103]
 異常検知処理部404は、統計情報収集部408が収集した統計情報について、異常検知ルール保持部405が保持するルールに基づき、車載ネットワーク上のトラフィックに異常があるか否かを判定する。異常を検知した場合は、異常内容をログとして保存するとともに、異常検知内容をテレマティクスコントロールユニット410を介してサーバ2に通知する。(不図示)。
[0104]
 異常検知ルール保持部405は、異常検知処理部404による異常検知処理に用いられるルール(異常検知ルールともいう)を保持している記憶装置である。
[0105]
 切替指示部407は、統計情報生成部406の動作モードを切り替え、また、他の装置の統計情報生成部、つまり、自動運転DCU100の統計情報生成部106およびCANゲートウェイ200の統計情報生成部206の動作モードを切り替える。統計情報生成部106および206の動作モードを切り替える際には、動作モードの切り替え指示をEthernet10を通じて送信する。
[0106]
 切替指示部407は、後述する切替条件が満たされるか否かを判定し、切替条件が満たされると判定した場合に、統計情報生成部406等の動作モードを通常モードから拡張モードに切り替え、また、自動運転DCU100(つまり統計情報生成部106)およびCANゲートウェイ200(つまり統計情報生成部206)に切替指示を送信する。
[0107]
 図8は、本実施の形態における動作モードの切替条件の例である切替条件800を示す図である。具体的には、図8は、自動運転DCU100の切替指示部407が、通常モードから拡張モードへ動作モードを切り替えるときの切替条件を示したものである。ここでは、5つの条件が登録されている例を示している。
[0108]
 条件1は、テレマティクスコントロールユニット(TCU)410による通信における異常を検知したという条件である。例えば、外部からの通信フレームをテレマティクスコントロールユニット410により受信したとき、もしくはテレマティクスコントロールユニット410から外部へ通信フレームを送信したときに異常を検知した場合に、本条件が成立する。外部ネットワーク30と接続しているテレマティクスコントロールユニット410は、外部から車両1への通信の入り口になり、攻撃を受ける可能性が高い。また、車両1がマルウェアに感染してC&C(コマンド&コントロール)サーバとの通信が発生した場合においても、テレマティクスコントロールユニット410による通信において異常な通信が発生し、車両1の不正制御への攻撃に発展するリスクがある。そのため、上記異常を検知した場合には、動作モードを通常モードから拡張モードへ切り替え、車載ネットワーク全体のトラフィックをより詳細に分析して攻撃内容を早期に把握することが想定される。
[0109]
 条件2は、診断ポート420からの通信で異常を検知したという条件である。診断ポート420も外部から車両1への通信の入り口になり、攻撃を受ける可能性が高い。そのため、診断ポート420の通信で異常を検知した場合には、診断ポート420経由での車両1の不正制御への攻撃に発展する前に、統計情報の動作モードを通常モードから拡張モードへ切り替え、車載ネットワーク全体のトラフィックをより詳細に分析して攻撃内容を早期に把握することが想定される。
[0110]
 条件3は、IVI310からの通信で異常を検知したという条件である。IVI310は、スマートフォン又はUSB(Universal Serial Bus)等により接続される外部デバイスとの接続経由で、車両1の不正制御の攻撃に発展するリスクがある。そのため、IVI310による通信において異常を検知した場合に、動作モードを通常モードから拡張モードへ切り替え、車載ネットワーク全体のトラフィックをより詳細に分析して攻撃内容を早期に把握することが想定される。
[0111]
 条件4は、車内に存在しないIPアドレス、つまり、通常では観測され得ないIPアドレスとの通信を検知したという条件である。この場合は、C&Cサーバのような不正な外部サーバと接続されているリスク、又は、不正な外部デバイスが車内に接続されているリスクがある。そこで、このような異常を検知した場合にも、動作モードを通常モードから拡張モードへ切り替え、車載ネットワーク全体のトラフィックをより詳細に分析して攻撃内容を早期に把握することが想定される。
[0112]
 条件5は、車内に存在しないMACアドレス、つまり、通常では観測され得ないMACアドレスとの通信を検知したという条件である。これは、条件4と同様に、車内に不正なデバイスが接続されているリスクがある。そこで、このような異常を検知した場合にも、動作モードを通常モードから拡張モードへ切り替え、車載ネットワーク全体のトラフィックをより詳細に分析して攻撃内容を早期に把握することが想定される。
[0113]
 図9は、統計情報の生成および送信の処理を示すフロー図である。具体的には、図9に示される処理は、統計情報生成部106、206および406が実行する処理を示したフロー図である。ここでは、統計情報生成部106が実行する処理として説明するが、統計情報生成部206又は406についても同様である。
[0114]
 ステップS101において、統計情報生成部106は、Ethernet送受信部101からEthernetフレームを受信する。
[0115]
 ステップS102において、統計情報生成部106は、ステップS101で受信したEthernetフレームが、拡張モードへの切替指示を含むか否かを判定する。判定の結果、拡張モードへの切替指示を含むと判定した場合(ステップS102でYes)にはステップS107へ処理を移し、そうでない場合(ステップS102でNo)には、ステップS103へ処理を移す。
[0116]
 ステップS103において、統計情報生成部106は、現在の車両1の状態がADAS(Advanced driver-assistance systems)モード又は自動運転モードであるか否かを判定する。判定の結果、ADASモード又は自動運転モードであると判定した場合(ステップS103でYes)は、ステップS107へ処理を移し、そうでない場合(ステップS103でNo)には、ステップS104へ処理を移す。
[0117]
 ステップS104において、統計情報生成部106は、ステップS101で受信したEthernetフレームの宛先IPアドレス、送信元IPアドレス、宛先MACアドレス、又は、送信元MACアドレスがADAS又は自動運転に関わる制御ユニット(ECU、DCU又はGW等)のアドレスであるか否かを判定する。判定の結果、ADAS又は自動運転に関わる制御ユニットのアドレスであると判定した場合(ステップS104でYes)には、ステップS107へ処理を移し、そうでない場合(ステップS104でNo)には、ステップS105へ処理を移す。
[0118]
 ステップS105において、統計情報生成部106は、ステップS101で受信したEthernetフレームのペイロードにCANフレームが含まれているかを判定する。判定の結果、CANフレームが含まれていると判定した場合(ステップS105でYes)には、ステップS107へ処理を移し、そうでない場合(ステップS105でNo)には、ステップS106へ処理を移す。
[0119]
 ステップS106において、統計情報生成部106は、動作モードを通常モードに設定する。
[0120]
 ステップS107において、統計情報生成部106は、動作モードを拡張モードに設定する。
[0121]
 ステップS108において、統計情報生成部106は、動作モードに応じて、通常モード又は拡張モードで統計情報を生成し、生成した統計情報を出力する。
[0122]
 ステップS109において、統計情報生成部106は、ステップS108で生成した統計情報を、統計情報収集部408を備える制御ユニットに送信する。本実施の形態では、統計情報収集部408を備える制御ユニットは、セントラルゲートウェイ400であるので、統計情報生成部106、206又は406が生成した統計情報が、セントラルゲートウェイ400の統計情報収集部408に集約される。
[0123]
 なお、統計情報生成部106は、送信元IPアドレスもしくは宛先IPアドレスが所定のIPアドレスである一のEthernetフレームを送受信部が受信したと判定した場合に、上記一のEthernetフレームについては、拡張モードで統計情報を生成してもよい。言い換えれば、上記一のEthernetフレームについては拡張モードで統計情報を生成し、その後のEthernetフレームについては通常モードで統計情報を生成するようにしてもよい。
[0124]
 また、統計情報生成部106は、ビリティ制御指示に関する一のEthernetフレームを送受信部が受信したと判定した場合に、上記一のEthernetフレームについては、第二モードで統計情報を生成してもよい。言い換えれば、上記一のEthernetフレームについては拡張モードで統計情報を生成し、その後のEthernetフレームについては通常モードで統計情報を生成するようにしてもよい。
[0125]
 図10は、図9の統計情報の生成および送信の処理(ステップS108)を詳細に示すフロー図である。
[0126]
 ステップS201において、統計情報生成部106は、Ethernetフレームのヘッダーをキャプチャする。
[0127]
 ステップS202において、統計情報生成部106は、Ethernetフレームに、タイムスタンピング、つまり、当該Ethernetフレームを受信した時刻情報を対応付ける。
[0128]
 ステップS203において、統計情報生成部106は、Ethernetフレームのヘッダーに格納されている情報、つまり、送信元IPアドレス、宛先IPアドレス、送信元ポートアドレス、宛先ポートアドレスおよびプロトコルごとに、グループに分類する。統計情報生成部106は、上記の各要素が同一のEthernetフレームを、同一グループに分類する。
[0129]
 ステップS204において、統計情報生成部106は、現在の動作モードが拡張モードであるか否かを判定する。判定の結果、拡張モードであると判定した場合(ステップS204でYes)にはステップS205へ処理を移し、そうでない場合(ステップS204でNo)にはステップS206へ処理を移す。
[0130]
 ステップS205において、統計情報生成部106は、ステップS203で同一グループに分類されたEthernetフレームを、Ethernetフレームのペイロードに基づき、再分類する。
[0131]
 ステップS206において、統計情報生成部106は、ステップS203の分類、又は、ステップS205が実行された場合にはステップS203の分類とステップS205の再分類によるグループごとに、統計情報を生成する。
[0132]
 ステップS207において、統計情報生成部106は、ステップS206で生成した統計情報を出力する。
[0133]
 なお、ステップS206及びS207の統計情報の生成及び出力は、Ethernetフレームを受信するごとに毎回なされなくてもよく、予め決められた時間ごとになされてもよい。その場合、Ethernetフレームを受信する(ステップS101)ことがなくても、ステップS206及びS207の統計情報の生成及び出力がなされてもよい。
[0134]
 図11は、本実施の形態における統計情報を利用した異常検知に係る、車両1内の各装置の処理を示すフロー図である。図11には、通常モードで統計情報を収集したときに異常を検知した場合の各装置の処理が示されている。
[0135]
 セントラルゲートウェイ400の処理について以下で説明する。
[0136]
 ステップS401において、Ethernet送受信部401は、Ethernetフレームを受信したか否かを判定する。Ethernetフレームを受信したと判定した場合(ステップS401でYes)には、ステップS402に処理を移し、そうでない場合(ステップS401でNo)には、ステップS401を再び実行する。つまり、Ethernet送受信部401は、Ethernetフレームを受信するまでステップS401で待機する。ステップS401は、図9のステップS101に相当する。
[0137]
 ステップS402において、統計情報収集部408は、統計情報を生成する。ステップS402は、図9のステップS102~S108に相当する。統計情報収集部408は、統計情報を生成するにあたり、拡張モードで統計情報を生成する場合、つまり、図9のステップS102~S105のいずれかの条件が満たされた場合には、動作モードを拡張モードに変更したうえで、統計情報を生成する。
[0138]
 ステップS403において、統計情報収集部408は、統計情報を受信することで収集する。統計情報収集部408が受信する統計情報は、後述するステップS505で自動運転DCU100の統計情報生成部106が送信する統計情報と、後述するステップS605でCANゲートウェイ200の統計情報生成部206が送信する統計情報とを含む。
[0139]
 ステップS404において、異常検知処理部404は、ステップS403で統計情報収集部408が収集した統計情報に対して、異常検知ルール保持部405のルールに従って異常検知を行う。異常検知処理部404は、異常を検知した場合(ステップS404でYes)には、ステップS405に処理を移し、そうでない場合(ステップS404でNo)には、ステップS406に処理を移す。
[0140]
 ステップS405において、異常検知処理部404は、ステップS404で検知した異常の内容をサーバ2に通知する。
[0141]
 ステップS406において、切替指示部407は、自動運転DCU100及びCANゲートウェイ200の動作モードを通常モードから拡張モードに切り替えるか否かを判定する。具体的には、切替指示部407は、自動運転DCU100及びCANゲートウェイ200から取得した統計情報に対して、図9のステップS102~S105の条件のいずれかが満たされるか否かを判定し、図9のステップS102~S105の条件のいずれかが満たされると判定した場合に、動作モードを通常モードから拡張モードに切り替えると判定する。なお、切替指示部407は、上記とともに、セントラルゲートウェイ400の動作モードを通常モードから拡張モードに切り替えるか否かを判定してもよい。具体的には、切替指示部407は、セントラルゲートウェイ400の統計情報に対して、図9のステップS102~S105の条件のいずれかが満たされるか否かを判定し、図9のステップS102~S105の条件のいずれかが満たされると判定した場合に、動作モードを通常モードから拡張モードに切り替えると判定する。
[0142]
 ステップS407において、切替指示部407は、自動運転DCU100及びCANゲートウェイ200に切替指示を送信する。なお、切替指示部407は、セントラルゲートウェイ400の動作モードを通常モードから拡張モードに切り替えると判定した場合には、統計情報生成部406に切替指示を送信する。ステップS407を終えたら、ステップS401に処理を移す。
[0143]
 次に、自動運転DCU100の処理について下記で説明する。
[0144]
 ステップS501において、Ethernet送受信部101は、Ethernetフレームを受信したか否かを判定する。Ethernetフレームを受信したと判定した場合(ステップS501でYes)には、ステップS502に処理を移し、そうでない場合(ステップS501でNo)には、ステップS501を再び実行する。つまり、Ethernet送受信部101は、Ethernetフレームを受信するまでステップS501で待機する。
[0145]
 ステップS502において、統計情報生成部106は、ステップS501で受信したEthernetフレームが切替指示を含んでいるか否かを判定する。切替指示を含んでいると判定した場合(ステップS502でYes)にはステップS503に処理を移し、そうでない場合(ステップS502でNo)には、ステップS504に処理を移す。
[0146]
 ステップS503において、統計情報生成部106は、動作モードを通常モードから拡張モードへ切り替える。
[0147]
 ステップS504において、統計情報生成部106は、動作モードに応じて、通常モード又は拡張モードで統計情報を生成する。
[0148]
 ステップS505において、統計情報生成部106は、ステップS504で生成した統計情報を、統計情報収集部408を備えるセントラルゲートウェイ400に送信する。ステップS505を終えたら、ステップS501に処理を移す。
[0149]
 次に、CANゲートウェイ200の処理について以下で説明する。
[0150]
 ステップS601において、Ethernet送受信部201は、Ethernetフレームを受信したか否かを判定する。Ethernetフレームを受信したと判定した場合(ステップS601でYes)には、ステップS602に処理を移し、そうでない場合(ステップS601でNo)には、ステップS601を再び実行する。つまり、Ethernet送受信部201は、Ethernetフレームを受信するまでステップS601で待機する。
[0151]
 ステップS602において、統計情報生成部206は、ステップS601で受信したEthernetフレームが切替指示を含んでいるか否かを判定する。切替指示を含んでいると判定した場合(ステップS602でYes)にはステップS603に処理を移し、そうでない場合(ステップS602でNo)には、ステップS604に処理を移す。
[0152]
 ステップS603において、統計情報生成部206は、動作モードを通常モードから拡張モードへ切り替える。
[0153]
 ステップS604において、統計情報生成部206は、動作モードに応じて、通常モード又は拡張モードで統計情報を生成する。
[0154]
 ステップS605において、統計情報生成部206は、ステップS604で生成した統計情報を、統計情報収集部408を備えるセントラルゲートウェイ400に送信する。ステップS605を終えたら、ステップS601に処理を移す。
[0155]
 次に、サーバ2の処理について以下で説明する。
[0156]
 ステップS301において、サーバ2は、セントラルゲートウェイ400から異常の通知を受信する。サーバ2が受信する異常の通知は、ステップS406でセントラルゲートウェイ400が送信する異常の通知を含む。
[0157]
 ステップS302において、サーバ2は、統計情報を表示画面に表示する。表示画面は、サーバ2に接続された表示装置に表示されるものであってもよいし、サーバ2に通信回線を介して接続された端末等の表示装置に表示されるものであってもよい。表示される統計情報は、例えば分析官によって視認され、分析官による分析の対象となることが想定される。
[0158]
 図12は、本実施の形態における、統計情報生成部106等が通常モードにおいて生成した統計情報の例である統計情報900を示す説明図である。
[0159]
 図12に示される統計情報900は、Ethernet送受信部101が送受信するEthernetフレームから生成されるフロー情報の一例である。統計情報900において、1つのフローが1つのエントリに対応している。ここで、1つのフローは、宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一である複数のEthernetフレームのグループであり、統計情報生成部106が通常モードで生成したものである。
[0160]
 図12に示されるように、統計情報900は、プローブIDと、フローIDと、送信元IPアドレスと、宛先IPアドレスと、送信元MACアドレスと、宛先MACアドレスと、送信元ポート番号と、宛先ポート番号と、プロトコルと、流量と、セッション継続時間とを含んで構成される。
[0161]
 プローブIDは、当該エントリに対応するフローを検出した装置に対応付けられた識別子である。自動運転DCU100の統計情報生成部106が検出したフローについては、プローブIDが456であり、CANゲートウェイ200の統計情報生成部206が検出したフローについては、プローブIDが123であり、セントラルゲートウェイ400の統計情報生成部406が検出したフローについては、プローブIDが789である。
[0162]
 フローIDは、当該エントリに対応するフローを一意に特定し得る識別子である。
[0163]
 送信元IPアドレスと、宛先IPアドレスと、送信元MACアドレスと、宛先MACアドレスと、送信元ポート番号と、宛先ポート番号と、プロトコルとは、それぞれ、当該エントリに対応するフローの送信元IPアドレスと、宛先IPアドレスと、送信元MACアドレスと、宛先MACアドレスと、送信元ポート番号と、宛先ポート番号と、プロトコルとである。
[0164]
 流量は、当該エントリに対応するフローの通信量である。
[0165]
 セッション継続時間は、当該エントリに対応するフローが継続している時間である。セッション継続時間は、プロトコルがTCPである場合には、TCPセッションの継続時間に相当する。プロトコルがUDPである場合には、UDPのプロトコルとしての継続時間の管理はなされないが、当該フローに属するパケットが最初に検出されてから最後に検出されるまでの時間として観測され得る。
[0166]
 なお、統計情報に含まれる情報は、上記の項目に限定されない。例えば、Ethernet送受信部101が送信したEthernetフレームから生成された統計情報であるのか、又は、Ethernet送受信部101が受信したEthernetフレームから生成された統計情報であるのかを識別できる情報が、統計情報に追加されていてもよい。
[0167]
 図13は、本実施の形態におけるEthernetフレームのデータフィールドにCANメッセージが含まれる場合のフローの分類の例を示す図である。具体的には、図13は、EthernetフレームのデータフィールドにCANメッセージが含まれる場合に、統計情報生成部106が拡張モードにおいて統計情報を生成するときの、CAN IDごとに統計情報を生成する処理を示している。
[0168]
 図13には、複数のEthernetフレームが示されている。複数のEthernetフレームを、上から順にフレーム#1、#2、#11、#12、#13、#14、#21ともいう。
[0169]
 図13に示される複数のEthernetフレームでは、送信元IPアドレス、宛先IPアドレス、送信元MACアドレス、宛先MACアドレス、送信元ポート番号、宛先ポート番号が同一であり、ペイロードに含まれるCAN IDが100と200とで異なる。
[0170]
 この場合、統計情報生成部106は、図13に示される複数のEthernetフレームのうち、CAN IDが100であるEthernetフレーム#1、#2、#11、#13および#21を、1つのグループに分類する。このグループを、フローIDが10であるフローともいう。
[0171]
 また、統計情報生成部106は、図13に示される複数のEthernetフレームのうち、CAN IDが200であるEthernetフレーム#12および#14を、1つのグループに分類する。このグループを、フローIDが20であるフローともいう。
[0172]
 そして、統計情報生成部106は、フローごとに統計情報を生成する。
[0173]
 図14は、本実施の形態における、統計情報生成部106等が拡張モードにおいて生成し、統計情報収集部408が収集した統計情報の例である統計情報1000を示す説明図である。
[0174]
 図14に示される統計情報1000は、Ethernet送受信部101が送受信するEthernetフレームから生成されるフロー情報の一例である。統計情報1000において、1つのフローが1つのエントリに対応している。ここで、1つのフローは、宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、CAN IDが同一である複数のEthernetフレームのグループであり、統計情報生成部106が拡張モードで生成したものである。
[0175]
 図14に示されるように、統計情報1000は、プローブIDと、フローIDと、送信元IPアドレスと、宛先IPアドレスと、送信元MACアドレスと、宛先MACアドレスと、送信元ポート番号と、宛先ポート番号と、プロトコルと、CAN IDと、流量と、セッション継続時間とを含んで構成される。
[0176]
 統計情報1000について、通常モードで生成された統計情報900(図12参照)と異なるのは、CAN IDが含まれていることである。
[0177]
 CAN IDは、当該エントリに対応するCAN IDである。CAN IDは、モビリティ制御に関わる識別情報の一例である。
[0178]
 統計情報生成部106は、上記のように、Ethernetフレームのデータ領域に含まれるCAN IDごとに区別して、統計情報を生成することが可能となる。
[0179]
 図15は、本実施の形態における異常検知ルールを含むルールテーブルの例であるルールテーブル1100を示す説明図である。図15には、セントラルゲートウェイ400の異常検知ルール保持部405が保持する異常検知ルールが示されている。
[0180]
 図15には、許可されるEthernetのフローの条件が列挙されたホワイトリストである。なお、ホワイトリストに代えて、許可されない(つまり禁止される)Ethernetのフローの条件が列挙されたブラックリストを使用することも可能である。
[0181]
 例えば、ルールIDが001であるルールは、プローブIDが123又は789であり、送信元IPアドレスが192.168.0.10であり、宛先IPアドレスが192.168.0.20であり、送信元MACアドレスがAA:BB:CC:DD:EE:FFであり、宛先MACアドレスがAB:AB:AB:CD:CD:CDであり、送信元ポート番号が10であり、宛先ポート番号が20であり、CAN IDが100であるフローについて、流量が0.8~1.2Mbpsの範囲内であり、セッション継続時間が1秒以上であることが条件として示されている。
[0182]
 また、例えば、ルールIDが005であるルールは、プローブIDがALLであり(つまり何でもよく)、送信元IPアドレスが192.168.0.10であるフローについて、同時接続セッション数の上限が2であることが条件として示されている。
[0183]
 異常検知処理部404は、各ルールに定義されている条件を逸脱した統計情報を観測した場合には、異常と判定する。なお、ブラックリストが使用される場合には、異常検知処理部404は、各ルールに定義されている条件を満たした統計情報を観測した場合に異常と判定する。
[0184]
 図16は、本実施の形態におけるサーバ2における統計情報を用いた監視画面の第一例を示す説明図である。
[0185]
 図16は、統計情報収集部408が収集した統計情報を外部のサーバ2に送信し、サーバ2により提供される、統計情報を用いて車両1をリモートで監視する際に用いる監視画面の一例を示したものである。
[0186]
 図16は、プローブIDが123である統計情報と、プローブIDが456である統計情報との表示をONにし、プロープIDが789である統計情報の表示をOFFにしたときの監視画面の例である。
[0187]
 サーバ2は、この画面において、自動運転DCU100とCANゲートウェイ200との間のEthernet通信において、どのようなCANメッセージが送受信されているかを表示する。この画面を視認するユーザ(例えば分析官)は、この画面により、自動運転DCU100とCANゲートウェイ200との間のEthernet通信において、どのようなCANメッセージが送受信されているかを観測できる。
[0188]
 図16では、自動運転DCU100(IP:192.168.0.10、送信元ポート番号:10)から、CANゲートウェイ200(IPアドレス:192.168.0.20、宛先ポート番号:20)へCAN IDが100であるCANフレームをペイロードに含んだEthernetフレームに係るフローF1が、流量1Mbpsで流れていることが、矢印の図形として示されている。図形は、矢印に限られない。なお、流量の大きさが矢印の太さとして表現されてもよい。さらに、後述するフローF2、F4、F5およびF6についても、図形としての表現方法は、フローF1と同様である。
[0189]
 また、自動運転DCU100からCANゲートウェイ200へCAN IDが200であるCANフレームをペイロードに含んだEthernetフレームに係るフローF2が、流量0.1Mbpsで流れていることが示されている。
[0190]
 図15の異常検知ルールでは、自動運転DCU100(送信元ポート番号:10)から、CANゲートウェイ200(宛先ポート番号:20)へは、CAN IDが100であるフローが流れることは許可されているが、CAN IDが200であるフローは許可されていないので、フローF2が異常であることが、異常検知処理部404により判定される。
[0191]
 その結果を示すべく、サーバ2は、フローF2の近傍、より具体的には、フローF2を示す図形に重なる位置に、印Mを表示している。
[0192]
 図17は、本実施の形態におけるサーバ2における統計情報を用いた監視画面の第二例を示す説明図である。
[0193]
 図17は、統計情報収集部408が収集した統計情報を外部のサーバ2に送信し、サーバ2により提供される、統計情報を用いて車両1をリモートで監視する際に用いる監視画面の別の例を示したものである。
[0194]
 図17は、プローブIDが123である統計情報と、プローブIDが456である統計情報との表示をOFFにし、プロープIDが789である統計情報の表示をONにしたときの監視画面の例である。
[0195]
 サーバ2は、この画面において、自動運転DCU100とCANゲートウェイ200との間のEthernet通信において、どのようなCANメッセージが送受信されているかを表示する。この画面を視認するユーザ(例えば分析官)は、この画面により、自動運転DCU100とCANゲートウェイ200との間のEthernet通信において、どのようなCANメッセージが送受信されているかを観測できる。
[0196]
 図17では、自動運転DCU100(IP:192.168.0.10、送信元ポート番号:10)から、CANゲートウェイ200(IPアドレス:192.168.0.20、宛先ポート番号:20)へCAN IDが100であるCANフレームをペイロードに含んだEthernetフレームに係るフローF4が、流量1Mbpsで流れていることが示されている。
[0197]
 また、自動運転DCU100からCANゲートウェイ200へCAN IDが110であるCANフレームをペイロードに含んだEthernetフレームに係るフローF5が流量0.1Mbpsで流れていることが観測できる。
[0198]
 また、自動運転DCU100からCANゲートウェイ200へCAN IDが200であるCANフレームをペイロードに含んだEthernetフレームに係るフローF6が流量0.1Mbpsで流れていることが観測できる。
[0199]
 図15の異常検知ルールでは、自動運転DCU100(送信元ポート番号:10)からCANゲートウェイ200(宛先ポート番号:20)へは、CAN IDが100であるフローが流れることは許可されているが、CAN IDが110又は200であるフローは許可されていないので、フローF5及びF6が異常であることが、異常検知処理部404により判定される。
[0200]
 許可されていないEthernetフレームに係るフローが観測されるということは、車両1が攻撃されている可能性があり、図16又は図17のように可視化することで、攻撃を早期に検知することが可能となる。
[0201]
 (実施の形態の変形例1)
 本変形例において、SOME/IP(Scalable service-oriented middleware over IP)通信を用いた車載ネットワークにおいて、モビリティネットワークにおける異常を適切に分析する統計情報生成装置について説明する。
[0202]
 図18は、本変形例におけるSOME/IPメッセージを含むEthernetフレームのフレームフォーマットを示す説明図である。
[0203]
 図18に示されるEthernetフレームにおいて、データ、つまり、EthernetペイロードにSOME/IPで使われるMessage ID(Service ID/Method ID)、Request ID(Client ID/Session ID)、およびProtocol Versionなどが格納されている。
[0204]
 図19は、本変形例におけるSOME/IP通信についての統計情報の生成および送信の処理を示すフロー図である。
[0205]
 図19に示されるフロー図は、図9で説明したEthernetペイロードにCANフレームが格納された場合とほぼ同じフローである。図19に示されるフロー図において、図9と異なる部分は、ステップS705及びステップS708である。ステップS701~S704、S706、S707、S709は、それぞれ、図9に示されるステップS101~S104、S106、S107、S109と同じである。
[0206]
 具体的には、ステップS705において、統計情報生成部106は、ステップS701で受信したEthernetフレームのペイロードにSOME/IPメッセージが含まれているかを判定する。判定の結果、SOME/IPメッセージが含まれている場合(ステップS705でYes)には、ステップS707へ処理を移し、そうでない場合(ステップS705でNo)、ステップS706へ処理を移す。
[0207]
 ステップS708において、統計情報生成部106は、動作モードに応じて、通常モード又は拡張モードで統計情報を生成し、生成した統計情報を出力する。このとき、統計情報生成部106は、SOME/IPメッセージに含まれる項目により分類する。具体的には、統計情報生成部106は、例えば、Message ID別に分類して統計情報を生成してもよいし、Request ID別に分離して統計情報を生成してもよい。
[0208]
 このようにすることで、SOME/IP通信における制御指示の送受信の流れを、把握することが可能であり、SOME/IP通信に特化した攻撃も早期に検知することが可能となる。
[0209]
 (実施の形態の変形例2)
 本変形例において、モビリティネットワークにおける異常を適切に分析する統計情報生成装置の別の構成例を説明する。
[0210]
 図20は、本変形例における統計情報生成装置100Aの構成を示すブロック図である。
[0211]
 図20に示されるように、統計情報生成装置100Aは、送受信部101Aと、統計情報生成部106Aとを備える。
[0212]
 送受信部101Aは、Ethernetフレームを送受信する。
[0213]
 統計情報生成部106Aは、送受信部101Aが所定の時間内に送信もしくは受信するEthernetフレームを複数収集し、収集した複数のEthernetフレームのうち、Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、Ethernetフレームのペイロードに含まれるモビリティ制御に関わる識別情報が同一である複数のEthernetフレームを、同じグループに分類する。また、統計情報生成部106Aは、グループに分類した複数のEthernetフレームからグループごとに統計情報を生成する。また、統計情報生成部106Aは、生成した統計情報を送受信部101Aにより送信する。
[0214]
 これにより、モビリティネットワークにおける異常を適切に分析することができる。
[0215]
 図21は、本変形例における統計情報生成方法の処理を示すフロー図である。
[0216]
 図21に示される統計情報生成方法は、ステップS1において、送受信部101Aが所定の時間内に送信もしくは受信するEthernetフレームを複数収集し、収集した複数のEthernetフレームのうち、Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、Ethernetフレームのペイロードに含まれるモビリティ制御に関わる識別情報が同一である複数のEthernetフレームを、同じグループに分類する。
[0217]
 ステップS2において、グループに分類した複数のEthernetフレームからグループごとに統計情報を生成する。
[0218]
 ステップS3において、生成した統計情報を送受信部101Aにより送信する。
[0219]
 これにより、モビリティネットワークにおける異常を適切に分析することができる。
[0220]
 以上のように、本実施の形態における統計情報生成装置は、5-tuples(宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコル)の情報に加えて、モビリティ制御に関わる識別情報をも考慮して、複数のEthernetフレームを単位として統計情報を生成する。よって、5-tuplesの情報だけを考慮して統計情報を生成する場合よりも、より詳細な単位で統計情報を生成することができる。このように生成した統計情報を用いれば、5-tuplesの情報だけを考慮して生成された統計情報よりも、より詳細な分析が可能となり、より精密に異常を検知することができる。よって、統計情報生成装置は、モビリティネットワークにおける異常を適切に分析することができる。
[0221]
 また、統計情報生成装置は、あるタイミングでは5-tuplesの情報を考慮してモビリティネットワークのフローの統計情報を生成することができ、別のあるタイミングでは5-tuplesの情報とモビリティ制御に関わる識別情報とを考慮して統計情報を生成することができる。このようにして統計情報生成装置は、従来の(つまり通常の)統計情報の生成とそれに基づく分析をすることができるとともに、必要に応じて、詳細な統計情報の生成とそれに基づく精密な分析をも行うことができる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより一層適切に分析することができる。
[0222]
 また、統計情報生成装置は、所定の条件が満たされた場合に、詳細な統計情報の生成とそれに基づく精密な分析を行うように、動作モードを切り替えることができる。精密な分析が必要となる状況を表現する条件を、所定の条件として用いるようにすれば、統計情報生成装置は、精密な分析が必要であるときに、精密な分析を行うように動作モードを切り替えることができる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより一層適切に分析することができる。
[0223]
 また、統計情報生成装置は、切替指示を受信した場合に、切替指示に従って動作モードを切り替えることができる。切替指示は、ECU又は外部のサーバなどから送信され得るので、統計情報生成装置は、ECU又は外部のサーバなどからの切替指示に従って異常を分析することができる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより適切に分析することができる。
[0224]
 また、統計情報生成装置は、モビリティネットワーク内で発生し得る異常の検知に基づいて、精密な分析を行うように動作モードを切り替えることができる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより適切に分析することができる。
[0225]
 また、統計情報生成装置は、特定のIPアドレスを宛先または送信元とするEthernetフレームに対して、精密な分析を行うことができる。例えば、詳細に解析したい特定のIPアドレスを含んだEthernetフレームについてペイロードまで含めて統計情報が生成されるので、不正な車両制御指示が流れているか否か、又は、車両が攻撃されているか否かを監視することが可能となる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより適切かつ柔軟に分析することができる。
[0226]
 また、統計情報生成装置は、特定のモビリティ制御指示に関するEthernetフレームに対して、精密な分析を行うことができる。例えば、走る、曲がる、止まるといった車両制御を司るECUから送信される、もしくは、上記ECUへ送信されるEthernetフレームについてペイロードまで含めた統計情報が生成されるので、不正な車両制御指示が流れているか否か監視することが可能となる。このように、統計情報生成装置は、モビリティネットワークにおける異常をより適切かつ柔軟に分析することができる。
[0227]
 (他の実施の形態)
 以上のように、本発明に係る技術の例示として実施の形態および変形例を説明した。しかしながら、本発明に係る技術は、これに限定されず、適宜、変更、置き換え、付加、省略等を行った実施の形態にも適用可能である。例えば、以下のような変形例も本発明の一実施態様に含まれる。
[0228]
 (1)上記実施の形態および変形例では、自動車に搭載される車載ネットワークにおけるサイバーセキュリティ対策として統計情報生成装置を適用する例を説明したが、適用範囲はこれに限られない。自動車に限らず、建機、農機、船舶、鉄道、飛行機などのモビリティにも適用してもよい。すなわち、モビリティネットワークおよびモビリティネットワークシステムにおけるサイバーセキュリティ対策として統計情報生成装置を適用することも可能である。また、工場又はビルなどの産業制御システムで利用される通信ネットワーク、又は、組込みデバイスを制御するための通信ネットワークに適用してもよい。
[0229]
 (2)上記実施の形態および変形例では、統計情報生成部が、受信したEthernetフレームに対して統計情報を生成していたが、送信するEthernetフレームに対しても統計情報を生成してもよい。送信するEthernetフレームに対して統計情報を生成することで、不正なEthernetフレームを送信している送信元装置を特定することが容易になる。
[0230]
 (3)上記実施の形態および変形例では、EthernetのペイロードにCANフレーム又はSOME/IPメッセージが含まれる例を説明したが、EthernetのペイロードにはCAN-FD(CAN with Flexible Data rate)が含まれるものに適用してもよい。また、これら以外のプロトコルであってもよい。また、LIN(Local Interconnect Network)、MOST(登録商標)(Media Oriented Systems Transport)、FlexRay(登録商標)、Ethernet(登録商標)等を用いてもよい。また、これらのプロトコルを用いたネットワークをサブネットワークとして、複数種類のプロトコルに係るサブネットワークを組み合わせて、車載ネットワークを構成してもよい。また、Ethernet(登録商標)プロトコルは、IEEE802.1に係るEthernet(登録商標)AVB(Audio Video Bridging)、或いは、IEEE802.1に係るEthernet(登録商標)TSN(Time Sensitive Networking)、Ethernet(登録商標)/IP(Industrial Protocol)、EtherCAT(登録商標)(Ethernet(登録商標) for Control Automation Technology)等の派生的なプロトコルを包含する広義の意味のものと扱われることとしてもよい。なお、車載ネットワークのネットワークバスは、例えば、ワイヤ、光ファイバ等で構成される有線通信路であり得る。
[0231]
 (4)上記実施の形態および変形例では、統計情報生成モード切替指示は、車内ネットワークで異常を検知したECUから送信していたが、外部のサーバ2から送信してもよい。外部のサーバ2から送信することにより、リモートから統計情報生成モードを切り替えることができることになり、つまり、リモートから任意のタイミングでEthernetフレームのペイロードを含めた詳細なフロー監視が可能となる。
[0232]
 (5)上記の実施の形態及び変形例では、先進運転支援システムの制御又は自動運転制御コマンドを含むEthernetフレームに対して、拡張モードにおいてペイロードを含めた統計情報を生成するようにしているが、これら以外の制御のパケットに対しても拡張モードにおいてペイロードを含めた統計情報を生成するようにしてもよい。
[0233]
 (6)上記実施の形態では、図15に示した異常検知ルールが、ホワイトリストとして定義されている(つまり、正常なフローが満たすべき条件が定義されている)が、ブラックリストとして定義されてもよい(つまり、異常なフローが満たすべき条件が定義されていてもよい)。また、ホワイトリストとブラックリストとを合わせて異常検知をしてもよい。
[0234]
 (7)上記実施の形態及び変形例では、統計情報収集の機能をセントラルゲートウェイに持たせていたが、それ以外のデバイスにもたせてもよい。また、統計情報収集機能は、車両内に複数持たせてもよい。例えば、VLANなどで論理的にドメインが分けられている場合は、ドメインごとに統計情報収集機能を持たせてもよい。
[0235]
 (8)上記の実施の形態及び変形例では、図13にはEthernetフレームのペイロードに1つのCANフレームしか格納されていないが、図4に示すような複数のCANフレームが格納された場合にも適応可能である。複数のCANフレームが格納されている場合は、統計情報を生成する際に、それぞれのCAN IDを抽出し、統計情報に複数のCAN IDを含めればよい。
[0236]
 (9)上記実施の形態及び変形例で示したECU等の各装置は、メモリ、プロセッサ等の他に、ハードディスクユニット、ディスプレイユニット、キーボード、マウス等を備えるものであっても良い。また、上記実施の形態及び変形例で示したECU等の各装置は、メモリに記憶されたプログラムがプロセッサにより実行されてソフトウェア的にその各装置の機能を実現するものであっても良いし、専用のハードウェア(デジタル回路等)によりプログラムを用いずにその機能を実現するものであっても良い。また、その各装置内の各構成要素の機能分担は変更可能である。
[0237]
 (10)上記実施の形態及び変形例における各装置を構成する構成要素の一部又は全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしても良い。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAM等を含んで構成されるコンピュータシステムである。前記RAMには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムに従って動作することにより、システムLSIは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に1チップ化されていても良いし、一部又は全部を含むように1チップ化されても良い。また、ここでは、システムLSIとしたが、集積度の違いにより、IC、LSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。
[0238]
 (11)上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なICカード又は単体のモジュールから構成されているとしても良い。前記ICカード又は前記モジュールは、マイクロプロセッサ、ROM、RAM等から構成されるコンピュータシステムである。前記ICカード又は前記モジュールは、上記の超多機能LSIを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ICカード又は前記モジュールは、その機能を達成する。このICカード又はこのモジュールは、耐タンパ性を有するとしても良い。
[0239]
 (12)本発明の一態様としては、異常検知の方法をコンピュータにより実現するプログラム(コンピュータプログラム)であるとしても良いし、前記コンピュータプログラムからなるデジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されている前記デジタル信号であるとしても良い。また、本発明の一態様としては、前記コンピュータプログラム又は前記デジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本発明の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムに従って動作するとしても良い。また、前記プログラム若しくは前記デジタル信号を前記記録媒体に記録して移送することにより、又は、前記プログラム若しくは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしても良い。
[0240]
 (13)上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。

産業上の利用可能性

[0241]
 本発明は、モビリティネットワークにおける異常を適切に分析する統計情報生成装置に利用できる。

符号の説明

[0242]
 1 車両
 2 サーバ
 10 Ethernet
 20 CAN
 30 外部ネットワーク
 100 自動運転DCU
 100A  統計情報生成装置
 101、201、401 Ethernet送受信部
 101A  送受信部
 102、402 スイッチ処理部
 103、403 スイッチルール保持部
 106、106A、206、406 統計情報生成部
 110 自動運転ECU
 120 カメラ
 130 LIDAR
 140 ダイナミックマップECU
 200 CANゲートウェイ
 202、202A CAN送受信部
 203 転送判断部
 204 転送ルール保持部
 210 エンジンECU
 220 ステアリングECU
 230 ブレーキECU
 240 ウィンドウECU
 300 インフォテインメントDCU
 310 IVI
 400 セントラルゲートウェイ
 404 異常検知処理部
 405 異常検知ルール保持部
 407 切替指示部
 408 統計情報収集部
 410 テレマティクスコントロールユニット
 420 診断ポート
 800 切替条件
 900、1000 統計情報
 1100 ルールテーブル
 F1、F2、F4、F5、F6 フロー
 M 印

請求の範囲

[請求項1]
 モビリティネットワークを流れるEthernet(登録商標)フレームから統計情報を生成する統計情報生成装置であって、
 前記Ethernetフレームを送受信する送受信部と、
 (a)前記送受信部が所定の時間内に送信もしくは受信する前記Ethernetフレームを複数収集し、収集した複数の前記Ethernetフレームのうち、前記Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、前記Ethernetフレームのペイロードに含まれるモビリティ制御に関わる識別情報が同一である複数の前記Ethernetフレームを、同じグループに分類し、
 (b)前記グループに分類した複数の前記Ethernetフレームからグループごとに統計情報を生成し、
 (c)生成した前記統計情報を前記送受信部により送信する、統計情報生成部とを備える
 統計情報生成装置。
[請求項2]
 前記統計情報生成部は、第一モードおよび第二モードのいずれかの動作モードで前記統計情報を生成し、
 前記第一モードでは、
 (d)前記送受信部が所定の時間内に送信もしくは受信する前記Ethernetフレームを複数収集し、収集した複数の前記Ethernetフレームのうち前記Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一である複数の前記Ethernetフレームを、同じグループに分類し、
 (e)前記グループに分類した複数の前記Ethernetフレームからグループごとに統計情報を生成し、
 (f)生成した前記統計情報を前記送受信部により送信し、
 前記第二モードでは、
 前記(a)、前記(b)および前記(c)により前記統計情報を送信する
 請求項1に記載の統計情報生成装置。
[請求項3]
 前記統計情報生成部は、
 所定の条件が満たされるか否かを判定し、
 前記所定の条件が満たされると判定した場合に、前記動作モードを、前記第一モードと前記第二モードとの一方から他方へ切り替える
 請求項2に記載の統計情報生成装置。
[請求項4]
 前記統計情報生成部は、
 動作モードを切り替える指示を含むEthernetフレームを前記送受信部により受信したという条件を、前記所定の条件として用いて、前記判定をする
 請求項3に記載の統計情報生成装置。
[請求項5]
 前記統計情報生成部は、
 前記モビリティネットワーク内で異常が発生したことを検知したという条件を、前記所定の条件として用いて、前記判定をし、
 前記条件が満たされたと判定した場合に、前記第一モードから前記第二モードへ切り替える
 請求項3に記載の統計情報生成装置。
[請求項6]
 前記統計情報生成部は、さらに、
 送信元IPアドレスもしくは宛先IPアドレスが所定のIPアドレスである一のEthernetフレームを前記送受信部が受信したと判定した場合に、前記一のEthernetフレームについては、前記第二モードで統計情報を生成する
 請求項2~5のいずれか1項に記載の統計情報生成装置。
[請求項7]
 前記統計情報生成部は、さらに、
 モビリティ制御指示に関する一のEthernetフレームを前記送受信部が受信したと判定した場合に、前記一のEthernetフレームについては、前記第二モードで統計情報を生成する
 請求項2~5のいずれか1項に記載の統計情報生成装置。
[請求項8]
 モビリティネットワークを流れるEthernetフレームから統計情報を生成する統計情報生成装置が実行する統計情報生成方法であって、
 前記統計情報生成装置は、
 前記Ethernetフレームを送受信する送受信部を備え、
 前記統計情報生成方法は、
 (a)前記送受信部が所定の時間内に送信もしくは受信する前記Ethernetフレームを複数収集し、収集した複数の前記Ethernetフレームのうち、前記Ethernetフレームに含まれる宛先IPアドレス、送信元IPアドレス、宛先ポート番号、送信元ポート番号、および、プロトコルが同一であり、かつ、前記Ethernetフレームのペイロードに含まれるモビリティ制御に関わる識別情報が同一である複数の前記Ethernetフレームを、同じグループに分類し、
 (b)前記グループに分類した複数の前記Ethernetフレームからグループごとに統計情報を生成し、
 (c)生成した前記統計情報を前記送受信部により送信する
 統計情報生成方法。
[請求項9]
 請求項8に記載の統計情報生成方法をコンピュータに実行させるためのプログラム。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]

[ 図 13]

[ 図 14]

[ 図 15]

[ 図 16]

[ 図 17]

[ 図 18]

[ 図 19]

[ 図 20]

[ 図 21]