具体实施方式

＜第一实施方式＞

参照附图，对第一实施方式涉及的车辆用异常检测装置10(以下，适当地称为“异常检测装置10”)进行说明。

图1表示应用了异常检测装置10的车载网络12的整体构成。车载网络12配置为经由防火墙而以多层构成，在本实施方式中，作为一个例子，由第一层CL1、第二层CL2和第三层CL3这三个层构成。

第一层CL1是最外侧的层，是采用具有外部通信装置的控制装置的层。在本实施方式中，例如第一层CL1具有TCU(Telematics Communication Unit：车载通信单元)14以及IVI(In-Vehicle Infotainment：车载信息)16。此外，TCU 14和IVI 16分别为作为控制装置的ECU(Electronic Control Unit)之一，具有用于记录该ECU的本机日志的存储区域。另外，IVI 16指的是通过车载IT设备等而提供信息及娱乐的系统。此外，TCU 14构成为能够与车辆11外部的中心18实施无线通信，中心18具有存储区域，该存储区域存储作为与车辆11之间的数据的发送接收的历史的OTA历史。

第二层CL2具有以太网交换机20、网关22、以太网IDS(Intrusion DetectionSystem：入侵检测系统)24，第一层CL1和第二层CL2经由作为防火墙的以太网交换机20连接。以太网交换机20、网关22和以太网IDS 24均为ECU，以太网交换机20、TCU 14、IVI 16分别经由以太网(注册商标)的通信线而连接。

此外，以太网交换机20和以太网IDS 24通过以太网的通信线而连接，以太网交换机20和网关22通过以太网的通信线而连接。此外，本实施方式的异常检测装置10与以太网交换机20及网关22连接。具体地，异常检测装置10和以太网交换机20通过以太网的通信线而连接，异常检测装置10和网关22通过CAN(Controller Area Network)的通信线而连接。关于异常检测装置10的详细情况将在后面说明。

第三层CL3具有ECUa 26、ECUb 28、ECUc 30以及CANIDS 32，它们通过CAN的通信线与网关22连接。即，第二层CL2和第三层CL3经由作为防火墙的网关22而连接。

ECUa 26、ECUb 28以及ECUc 30是分别实施不同的车辆控制的ECU，特别地，ECUa26是实施行驶控制的高性能的ECU，具有用于记录该ECU的本机日志的存储区域。

(异常检测装置10的硬件构成)

图2中图示了异常检测装置10的硬件构成的框图。如该图2所示，异常检测装置10构成为包含CPU(Central Processing Unit)42、ROM(Read Only Memory)44、RAM(RandomAccess Memory)46、寄存器48以及通信接口50。各构成经由总线52以能够相互通信的方式连接。此外，CPU 42是处理器的一个例子，RAM 46是存储器的一个例子。

CPU 42是中央运算处理单元，执行各种程序，控制各部件。即，CPU 42从ROM 44或寄存器48读取程序，将RAM 46作为作业区域执行程序。CPU42根据在ROM 44或寄存器48中记录的程序，实施上述各构成的控制及各种运算处理。

ROM 44存储各种程序和各种数据。RAM 46作为作业区域临时存储程序或数据。寄存器48由HDD(Hard Disk Drive：硬盘驱动器)或者SSD(Solid State Drive：固态硬盘驱动器)构成，并存储包含操作系统的各种程序以及各种数据。在本实施方式中，在ROM 44中存储有用于实施异常检测处理的异常检测程序等。

通信接口50是用于异常检测装置10通过计算机网络与其他控制装置进行通信的接口，例如使用以太网、CAN等的标准。

(车辆用异常检测装置10的功能构成)

车辆用异常检测装置10使用上述硬件资源来实现各种功能。参照图3，说明车辆用异常检测装置10实现的功能构成。

如图3所示，车辆用异常检测装置10配置为，作为功能构成包含发送接收部54、车载网络信息管理部56、车载网络信息存储部58、车载日志管理部60、车载日志存储部62、正常定义信息管理部64、正常定义信息存储部66、异常信息管理部68、异常信息存储部70、异常原因候选获取部72、异常判断部74以及攻击确定部76。各功能构成通过CPU 42读取存储在ROM 44或者寄存器48中的程序并进行执行而实现。

发送接收部54经由以太网以及CAN等而实施车载网络12上的各ECU的日志以及解析结果等的发送接收。此外，发送接收部54构成为，接收构成车载网络12的各ECU中检测到异常的ECU的异常信息。进一步地，发送接收部54具有将异常信息管理部68管理的异常信息以及攻击确定部76确定为来自外部的攻击的事件发送至中心18的功能。

车载网络信息管理部56管理与车载网络12的构成相关的信息、以及车载网络12上的各ECU记录的日志的信息。此外，车载网络信息存储部58为存储车载网络12的信息的功能，在本实施方式中，车载网络信息存储部58存储有配置信息和ECU信息。配置信息指的是车载网络12的层数以及与连接到各层的ECU相关的信息。此外，ECU信息指的是与各ECU处理的协议和由各ECU记录的日志信息相关的信息。因此，如果参照ECU信息，则可知例如在TCU14中记录外部通信日志、系统监查日志以及故障代码日志。并且，车载网络信息管理部56在配置信息以及ECU信息被改变的情况下，实施在车载网络信息存储部58存储的信息的更新。

车载日志管理部60获取并管理由车载网络12上的ECU记录的日志。此外，车载日志存储部62具有存储由车载日志管理部60获取的日志的功能，并将中心18的OTA历史等存储为日志。车载日志管理部60也可以通过从各ECU自动地发送日志来获取日志。此外，也可以通过车载日志管理部60命令向各ECU发送日志来获取日志。在此，全部的日志通过在车辆中同步的时钟而被赋予时间戳。例如，作为TCU 14的外部通信日志记录有被赋予了时间戳的日志，该外部通信日志被存储于车载日志存储部62。

正常定义信息管理部64管理在各ECU中记录的日志的正常定义信息。此外，正常定义信息存储部66针对每个ECU存储正常定义信息。在此，正常定义信息指的是与正常定义相关的规则、以及白名单等。并且，正常定义信息存储部66针对在车载网络信息存储部58存储的ECU信息中记载的ECU的各种日志而存储正常定义。即，正常定义信息存储部66针对存储在车载日志存储部62中的车载日志而分别存储正常定义。因此，当通过车载网络信息管理部56更新ECU信息时，车载日志管理部60管理的日志的信息也被更新，正常定义信息管理部64更新与日志对应的正常定义信息。

异常信息管理部68具有管理在车辆11中检测到的异常信息的功能，例如，异常信息管理部68管理以太网IDS 24以及CANIDS 32的检测结果。此外，异常信息管理部68将车载日志中的正常定义之外的事件作为异常信息来管理。此时，异常信息以攻击确定的解析为单位被集中管理。异常信息存储部70为存储车辆11中的异常信息的功能，存储来自车载网络12上的ECU的异常通知。

异常原因候选获取部72获取由发送接收部54接收的可能成为某个ECU的异常的原因的其他ECU的候选作为异常原因ECU。具体地，异常原因候选获取部72获取与某个ECU同一层的ECU、以及针对同一层而将与第一层CL1侧相邻的层和同一层连接的ECU作为异常原因ECU。例如，在图1中，在发送接收部54从CANIDS 32接收到异常信息的情况下，异常原因候选获取部72获取与CANIDS 32同一层的ECU即ECUa 26作为异常原因ECU。此外，异常原因候选获取部72针对CANIDS 32而获取网关22作为异常原因ECU，所述网关22将与第一层CL1侧相邻的第二层CL2和第三层CL3连接。此外，关于本实施方式的异常原因候选获取部72，即使是作为与CANIDS 32同一层的ECU的不保持日志的ECUb 28及ECUc 30，也不会获取其作为异常原因的候选。

异常判断部74比较车载日志和正常定义信息，并将车载日志中正常定义之外信息的事件判断为异常。即，异常判断部74获取存储在车载日志存储部62中的车载日志和存储在正常定义信息存储部66中的正常定义信息，通过比较这些信息来判断是否为异常的事件。然后，在判断为异常的情况下，由异常信息管理部68作为异常信息进行管理。

在此，异常信息管理部68在异常原因候选获取部72获取的候选中存在检测到的某个ECU的异常的时刻之前产生了异常的其他ECU的情况下，将其他ECU与某个ECU一起作为异常原因ECU进行管理。

此外，异常信息管理部68在某个ECU与其它ECU一起被作为异常原因ECU进行管理的情况下，在还存在检测到其它异常原因ECU的异常的时刻之前就产生了异常的其它的ECU情况下，将符合的ECU重新作为异常原因ECU进行管理。即，异常信息管理部68根据发送接收部54接收的某个ECU的异常信息而追溯时刻，与此同时将产生了异常的ECU汇总作为异常原因ECU并存储于异常信息存储部70。

攻击确定部76将基于以太网IDS 24及CANIDS 32的异常检测作为触发而对来自外部的攻击进行确定。具体地，攻击确定部76在由异常信息管理部68管理的异常原因ECU的异常为与外部通信相关的异常的情况下，确定为来自外部的攻击。

(作用)

接着，对本实施方式的作用进行说明。

(异常检测处理的一个例子)

图4是表示基于车辆用异常检测装置的异常检测处理的流程的一个例子的流程图。该异常检测处理以如下方式执行：通过CPU 42从ROM 44或者寄存器48读取程序，在RAM46展开并执行。此外，本实施方式的异常检测处理在由发送接收部54接收到异常信息的情况下被执行(接收步骤)。

如图4所示，CPU 42在步骤S102中对异常信息实际上是否记录在日志中进行判断。具体地，CPU 42通过参考在异常产生时刻的车载日志来确认在车载日志存储部62中存储的车载日志中是否存在异常日志。然后，在步骤S102中确认了异常日志的情况下，CPU 42转移至步骤S104的处理。

另一方面，CPU 42在步骤S102中在异常产生时刻未确认异常日志的情况下，向步骤S124的处理转移。CPU 42在步骤S124中实施误报处理。即，CPU 42保留表示误报的记录。然后，CPU 42结束异常检测处理。

CPU 42在确认了异常日志的情况下，在步骤S104中获取作为异常产生的原因候选的ECU(异常原因候选获取步骤)。具体地，CPU 42通过异常原因候选获取部72的功能，获取由发送接收部54接收到的可能成为某个ECU的异常的原因的其他ECU的候选作为异常原因ECU。即，CPU 42获取与某个ECU同一层的ECU、以及针对同一层而将与第一层CL1侧相邻的层和同一层连接的ECU作为异常原因ECU。

接着，CPU 42在步骤S106中按照解析的优先级高的顺序将ECU排序。具体地，CPU42根据规定的规则，对由异常原因候选获取部72获取的多个异常原因ECU进行排序。此处所谓的规定的规则指的是向各ECU实施加权并根据该加权的数值的大小而对异常原因ECU进行排序，例如，也可以设定为随着从第三层CL3朝向第一层CL1地，加权的数值变大。此外，也可以设定为具有外部通信装置的ECU与不具有外部通信装置的ECU相比而权重的数值大。进一步地，也可以设定为越是高性能的ECU，权重的数值越大。

接着，CPU 42针对在步骤S108中以解析的优先级顺序排序的ECU，按顺序地判断在异常的产生检测时刻之前是否存在故障日志。具体地，CPU 42参照存储在车载网络信息存储部58中的各ECU的日志信息，在异常的产生检测时刻之前存在故障日志的情况下，转移到步骤S122的处理。然后，CPU42将在步骤S122中由发送接收部54接收到的异常信息作为由故障引起的异常信息而向中心18输出解析结果。此时，CPU 42向中心18通知故障代码。然后，CPU 42结束异常检测处理。

另一方面，CPU 42在异常的产生检测时刻之前没有故障日志的情况下，转移至步骤S110的处理，针对按优先级顺序排序的各ECU，列出除了故障日志之外的全部车载日志。

接着，CPU 42对在步骤S112中列举的车载日志与正常定义进行比较。具体地，CPU42通过异常判断部74的功能，依次对车载日志和正常定义信息进行比较。

CPU 42在步骤S114中判断在异常的产生检测时刻之前是否有异常日志。具体地，CPU 42在步骤S112中比较车载日志与正常定义，并在确认了正常定义之外的日志的时刻转移到步骤S114，判断为存在异常，并转移到步骤S116的处理。即，在步骤S112中，在确认了异常日志的时刻，结束车载日志与正常定义之间的比较的处理。关于步骤S116的处理，此后叙述。

CPU 42在步骤S114中判断在异常的产生的检测时刻之前不存在异常日志的情况下，即，在步骤S112中列出的全部车载日志与正常定义之间的比较结果中未确认异常日志的情况下，转移至步骤S120的处理。

CPU 42将解析结果输出到中心18，指示在步骤S120中由发送接收部54接收的异常的原因无法判定。此时，CPU 42为了将解析转交给人，向中心18通知在步骤S112中与正常定义实施了比较的车载日志的信息。然后，CPU42结束异常检测处理。

另一方面，在转移到步骤S114而判断为存在异常的情况下，CPU 42在步骤S116中判断是否为外部通信的日志。具体地，CPU 42在步骤S114中检测到的异常日志是与外部通信相关的日志的情况下，转移到步骤S118的处理。

CPU 42在步骤S118中通过攻击确定部76的功能，确定由发送接收部54接收的异常信息为来自外部的攻击，并向中心18输出解析结果。此时，CPU 42将解析中使用的一组异常信息向中心18通知。然后，CPU 42结束异常检测处理。

此外，CPU 42在步骤S116中在异常日志不是与外部通信相关的日志的情况下，转移到步骤S126的处理。然后，CPU 42在步骤S126中通过异常信息管理部68的功能，将对在步骤S114中检测的异常日志进行保持的ECU重新作为异常原因ECU进行管理(异常信息管理步骤)。然后，针对新的异常原因ECU，转移至步骤S104的处理。

如上所述，在本实施方式中，在异常原因候选获取部72获取的候选中存在检测到的某个ECU的异常的时刻之前产生了异常的其他ECU的情况下，将符合的其他ECU作为异常原因ECU进行管理(参照步骤S126)。此时，异常信息管理部68通过将某个ECU和其他ECU一起作为异常原因ECU进行管理，能够容易地确定成为异常产生的原因的ECU。由此，能够高效地进行复原。

此外，在本实施方式中，针对在步骤S126中被作为新的异常原因ECU进行管理的ECU，在步骤S114中检测到在异常检测时刻之前产生了异常的另一ECU的情况下，将符合的ECU作为新的异常原因ECU进行管理。由此，能够追溯并解析成为异常的原因的ECU，能够容易地把握成为异常的起因的ECU。

进一步地，在本实施方式中，在步骤S116的处理中，在异常日志是与外部通信相关的日志的情况下，攻击确定部76确定为攻击。由此，能够收集表示与来自外部的攻击的关联性的信息。

再进一步地，在本实施方式中，在步骤S104中通过获取与具有外部通信装置的第一层侧相邻的ECU作为候选，能够尽早地把握由于来自外部的攻击而产生的异常。如上所述，在本实施方式中，能够高效地解析在车载网络上产生的异常的原因。

此外，在上述实施方式的步骤S118中，确定由发送接收部54接收的异常信息是来自外部的攻击并向中心18输出解析结果，但也可以在此基础上向中心18通知基于攻击的影响程度。此时，在最初由发送接收部54接收的异常信息不是第三层CL3的异常(CAN层中的异常)的情况下，也可以检查是否在CAN层中产生异常。然后，在检测到异常日志的情况下，也可以将基于攻击的影响程度通知给中心18，在未检测到异常日志的情况下，也可以将影响程度未知的情况通知给中心18。

＜第二实施方式＞

参照图5，对第二实施方式涉及的车辆用异常检测装置80(以下，适当地称为“异常检测装置80”)进行说明。另外，对于与第一实施方式相同的构成标注相同的附图标记并适当省略说明。

在第一实施方式中，实现发送接收部54、异常原因候选获取部72以及异常信息管理部68的功能的车辆用异常检测装置10(模块)设置于车辆11，与此相对，在本实施方式中，该模块设置于车辆11的外部这一点不同。

如图5所示，本实施方式的异常检测装置80与中心18连接，该异常检测装置80与第一实施方式的异常检测装置10为相同的构成。即，异常检测装置80具有图3所示的功能构成。

此外，在车载网络12设置有临时存储部82，该临时存储部82具有车载日志存储部62以及异常信息存储部70的功能。

(作用)

接着，对本实施方式的作用进行说明。

在本实施方式中，由于异常检测装置80设置在车辆11的外部，所以使用车辆11的外部的资源进行解析。此外，解析所需的数据从车辆侧的TCU 14等被发送。因此，与第一实施方式相比，能够抑制车辆侧的资源的使用。其他作用与第一实施方式相同。

此外，在车辆11与中心18之间不能够进行通信的状态的情况下，临时存储部82作为从车辆11进行PUSH通知的数据的缓存器发挥功能。

＜第三实施方式＞

参照图6，对第三实施方式涉及的车辆用异常检测装置90(以下，适当地称为“异常检测装置90”)进行说明。此外，对于与第一实施方式相同的构成标注相同的附图标记并适当省略说明。

如图6所示，异常检测装置90具有与以太网交换机20以及网关22连接的第一检测装置92以及第二检测装置94。第一检测装置92及第二检测装置94分别形成为与第一实施方式的异常检测装置10相同的构成。即，第一检测装置92和第二检测装置94分别具有图3所示的功能构成。

(作用)

接着，对本实施方式的作用进行说明。

在本实施方式中，即使在第一检测装置92和第二检测装置94中的一方产生故障或异常的情况下，也能够通过第一检测装置92和第二检测装置94中的另一方来检测故障或异常。

此外，在第一检测装置92和第二检测装置94检测的检测结果不同的情况下，可知某一检测装置为故障或异常，因此中心18和车辆11不接受来自异常检测装置90的指示。由此，即使在第一检测装置92或第二检测装置94为异常的情况下，也能够良好地保护车载网络12不受外部的攻击。

另外，在本实施方式中，为了抑制使用资源是第一实施方式的异常检测装置10的两倍，也可以共用一部分功能。例如，也可以与第二检测装置94共用构成第一检测装置92的车载网络信息存储部58、车载日志存储部62、正常定义信息存储部66以及异常信息存储部70。

以上，对实施方式以及变形例进行了说明，但在不脱离本发明的主旨的范围内能够以各种方式实施是不言自明的。例如，在上述实施方式中，由第一层CL1、第二层CL2以及第三层CL3构成了车载网络12，但不限于此。例如，也可以具有第四层以上的层。在这种情况下，相邻的层也经由防火墙连接。

此外，在上述实施方式中，仅在第一层CL1配置了具有外部通信装置的ECU，但不限于此。例如，具有外部通信装置的ECU可以配置在作为第一层CL1的下层的第二层CL2。这样的ECU在异常检测处理的步骤S106中被设定为优先级比其他ECU高。

此外，在上述实施方式中由CPU 42读取软件(程序)并执行的异常检测处理，也可以由CPU以外的各种处理器执行。作为这种情况下的处理器，例示了FPGA(Field-Programmable Gate Array)等能够在制造后变更电路结构的PLD(Programmable LogicDevice)、以及ASIC(Application Specific Integrated Circuit)等具有为了用于执行特定的处理而专门设计的电路结构的处理器的专用电路等。此外，异常检测处理可以由这些各种处理器之中的一种处理器执行，也可以由相同种类或者不同种类的两种以上的处理器的组合(例如多个FPGA、以及CPU与FPGA的组合等)执行。此外，更详细而言，这些各种处理器的硬件构造是由半导体元件等电路元件组合而成的电路。