[发明专利]攻击通信检测装置及其方法、计算机可读取的记录介质

说明书

提供对从通信间隔的设计值起的偏离坚强的攻击通信检测装置。从通信网络中的各电子控制装置的通信中检测攻击通信的攻击通信检测装置，其包含：接收部，接收不知道是否包含攻击通信的检测用通信数据；通信间隔和计算部，计算作为检测用通信数据的相邻二个通信间隔之和的通信间隔和；估计分布模型存储部，预先存储不包含攻击通信的学习用通信数据的通信间隔以及通信间隔和的估计分布模型；以及检测部，基于估计分布模型和检测用通信数据的通信间隔和，对检测用通信数据是否包含攻击通信进行检测。

技术领域

本发明涉及在例如搭载于车辆、机床、建设设备、农业设备等设备类上的网络、连接至该网络的通信装置、以及由他们构成的通信系统中，进行攻击通信的检测的攻击通信检测装置、攻击通信检测方法、以及程序。

背景技术

在车辆(汽车，特殊车辆，摩托车，自行车等)、机床、建设设备、农业设备等设备类中，有搭载多个电子控制装置(ECU：Electronic Control Unit)的设备，用于这些ECU间的通信网络的，代表性的有控制器局域网(CAN：Controller Area Network)。CAN的网络结采用共享各ECU的通信线的、所谓的总线型结构。对ECU的总线中的通信过程，利用CSMA/CR(载波侦听多路访问/冲突解决(Carrier Sense Multiple Access/Collision Resolution))，即在通信冲突的情况下，优先级高的通信不受冲突影响，并重发优先级低的通信。在CAN上的各ECU的通信中包含ID，ID用于通信调解的优先级、数据内容或发送节点等的识别。

暗示对于这些设备控制信息通信网络的网络攻击的危险性。已知通过对网络的不正当(unauthorized)的ECU的连接或对于现有ECU的不正当的操作改写等手段，插入与攻击对象功能关联的ID的攻击发送，有可能诱发该对象功能的不正当的操作。

作为检测这些攻击通信的方法，存在检测各同一ID通信的通信间隔的异常的方法(例如非专利文献1)。在CAN中，设计为周期性地发出与重要的功能有关的通信，与该功能关联的ID的通信的间隔按照设计值而大体上固定。在被插入对某重要功能的攻击通信时，与该攻击对象功能有关的ID的通信间隔成为比设计值短的间隔，因此通过检测该间隔异常，能够实现攻击通信检测。但是，通过CSMA/CR的通信过程等，通信间隔常常在一定的允许值范围内偏离设计值，因此需要考虑偏离的允许值而进行通信间隔异常的检测。

现有技术文献

非专利文献

非专利文献1：大冢、石乡冈，“无需变更现有ECU的面向车载LAN的侵入检测方法”，信息处理学会研究报告，Vol.2013-EMB-28,No.6,pp.31-35,2013.

发明内容

发明所要解决的课题

在对于以往的通信间隔的异常检测中，需要预先掌握通信间隔的设计值以及偏离的允许值。但是，存在没有按照通信间隔的设计值安装ECU的情况、使用了不知道其设计值本身的ECU(例如第三方提供的ECU)的情况等，有时难以事先掌握。关于偏离的允许值，由于通信过程本身包括不确定要素，因此预计即使是如设计值安装的ECU，多数也难以预先掌握。这样，在不能够预先掌握通信间隔的设计值或偏离的允许值的情况下，必须按每个ID掌握间隔值，实施与偏离对应的调整，要费很大的工夫。

此外，偏离的允许值的值越大大，则检测精度越差。例如，在比较偏离的允许值为设计值的±10％的情况和±50％的情况时，如果进行检测以使不会将正常通信误检测，则就前者而言，如果其间隔成为相较于通常的间隔值的90％以下则能够检测为异常通信，相对于此，就后者而言，如果其间隔不成为相较于通常的间隔值的50％以下就检测不到，漏看增多。为了进一步提高检测精度，需要对偏离允许值花费更适当的工夫。

因此在本发明中，其目的在于，提供对相对于通信间隔的设计值的偏离具有鲁棒性的攻击通信检测装置。

用于解决课题的手段