[发明专利]攻击通信检测装置及其方法、计算机可读取的记录介质

权利要求书

1.一种攻击通信检测装置，从通信网络中的各电子控制装置的通信中检测攻击通信，包含：

接收部，接收不知道是否包含所述攻击通信的检测用通信数据；

通信间隔和计算部，计算作为所述检测用通信数据的相邻二个通信间隔之和的通信间隔和；

估计分布模型存储部，预先存储不包含所述攻击通信的学习用通信数据的所述通信间隔以及所述通信间隔和的估计分布模型；以及

检测部，基于所述估计分布模型以及所述检测用通信数据的所述通信间隔和，检测所述检测用通信数据是否包含所述攻击通信。

2.如权利要求1所述的攻击通信检测装置，

所述估计分布模型包含：

所述学习用通信数据的所述通信间隔的估计分布、所述学习用通信数据的所述通信间隔和的估计分布、以及对于这些估计分布的阈值。

3.如权利要求2所述的攻击通信检测装置，

所述检测部在所述检测用通信数据的任意时刻下的所述通信间隔和成为所述阈值以下的情况下，判断为所述检测用通信数据中包含所述攻击通信。

4.一种攻击通信检测装置，从通信网络中的各电子控制装置的通信中检测攻击通信，包含

接收部，接收不包含所述攻击通信的学习用通信数据和不知道是否包含所述攻击通信的检测用通信数据；

通信间隔/通信间隔和计算部，计算所述学习用通信数据的通信间隔、以及作为所述检测用通信数据的相邻二个所述通信间隔之和的通信间隔和；

学习部，学习所述学习用通信数据的所述通信间隔以及所述通信间隔和的估计分布模型；以及

检测部，基于所述估计分布模型和所述检测用通信数据的所述通信间隔和，检测所述检测用通信数据是否包含所述攻击通信。

5.如权利要求4所述的攻击通信检测装置，

所述估计分布模型包含：

所述学习用通信数据的所述通信间隔的估计分布、所述学习用通信数据的所述通信间隔和的估计分布、以及对于这些估计分布的阈值。

6.如权利要求5所述的攻击通信检测装置，

所述检测部在所述检测用通信数据的任意时刻下的所述通信间隔和成为所述阈值以下的情况下，判断为所述检测用通信数据中包含所述攻击通信。

7.如权利要求5所述的攻击通信检测装置，

所述学习部将所述阈值决定为所述学习用通信数据的所述通信间隔的平均值a以上，且小于作为所述平均值a和预先确定的短间隔a’的和的a+a’。

8.如权利要求6所述的攻击通信检测装置，

所述学习部将所述阈值决定为所述学习用通信数据的所述通信间隔的平均值a以上，且小于作为所述平均值a和预先确定的短间隔a’的和的a+a’。

9.如权利要求4至8中任一项所述的攻击通信检测装置，

所述学习部按所述电子控制装置的每个设备状态，学习所述估计分布模型。

10.一种攻击通信检测方法，从通信网络中的各电子控制装置的通信中检测攻击通信，包含：

接收不知道是否包含所述攻击通信的检测用通信数据的步骤；

计算作为所述检测用通信数据的相邻二个通信间隔之和的通信间隔和的步骤；以及

基于不包含所述攻击通信的学习用通信数据的所述通信间隔以及所述通信间隔和的估计分布模型、和所述检测用通信数据的所述通信间隔和，检测所述检测用通信数据是否包含所述攻击通信的步骤。

11.一种计算机可读取的记录介质，

其记录了使计算机作为权利要求1至9中任一项所述的攻击通信检测装置而发挥功能的程序。