[发明专利]异常通信探测装置及其方法、计算机可读取的记录介质

说明书

提供可以减少过探测的异常通信探测装置。包括：接收单元，接收包含识别符的学习用通信数据、以及包含识别符的探测用通信数据；知识信息获取单元，获取与学习用通信数据的时间特性、有效载荷的特性之中的至少任意一方的特性有关的信息即知识信息；分配规则生成单元，根据知识信息，生成分配规则，即生成用于规定对多个探测器中的哪个探测器分配哪个识别符的通信数据的规则；分配单元，根据分配规则，对探测器中的任意一个探测器分配通信数据；以及多个探测器，在学习用通信数据被分配了的情况下，学习用于探测对该探测器分配的通信数据的正常、异常的区别的模型，在探测用通信数据被分配了的情况下，根据学习的模型进行探测用通信数据的正常、异常的区别的探测。

技术领域

本发明涉及例如在被安装在车辆、机床、建筑机械，农业机械等机械类中的网络、被连接到该网络的通信装置、以及由它们构成的通信系统中，探测起因于攻击通信等的异常通信的异常通信探测装置、异常通信探测方法、计算机可读取的记录介质。

背景技术

在车辆(汽车、特殊车辆、摩托车、自行车等)、机床、建筑机械、农业机械等机械类中有被安装了多个电子控制装置(ECU：Electronic Control Unit)的机械，在这些ECU间的通信网络中使用的代表性的网络中有控制器区域网络(CAN：Controller Area Network)。CAN的网络结构采用共享各ECU的通信线的、所谓总线型结构。在ECU的总线中的通信过程中，被使用CSMA/CR(Carrier Sense Multiple Access/Collision Resolution，载波侦听多路访问/冲突解决)，即，在通信冲突的情况下优先顺序高的通信不受冲突影响，优先顺序低的通信进行重发的过程。在CAN上的各ECU的通信中包含ID，ID被用于通信调停的优先顺序、数据内容和发送节点等的识别。

对这些机械控制信息通信网络的网络攻击的危险性被暗示。已知通过向网络连接非法的ECU或对已知ECU的非法的动作改写等的手段，插入与攻击对象功能关联的ID的攻击发送，并可能诱发该对象功能的非法的动作。

作为探测这些攻击、异常通信的方法，例如有非专利文献1、非专利文献2。非专利文献1提出将判定指标不同的多个探测器(在该文献中称为过滤器)组合来判定各通信是否异常。非专利文献1提出将通信的ID、DLC(Data Length Code，表示通信的有效载荷长度的CAN的信头字段)、发送周期(或者发送频度)设为指标的探测器。非专利文献2提出在非专利文献1的方式中增加了探测器的种类的方式。两个方式以基于各探测器的判定的AND(“与”)条件来实施通信的正常/异常判定。例如，非专利文献1的方式首先使用基于ID的探测器进行判定，基于DLC的探测器仅判定被判定为正常的通信，进而基于发送周期(或者发送频度)的探测器仅判定被判定为正常的通信。而且，两个方式的全部探测器以车辆的规范明确为前提。例如，非专利文献2提出的基于固定数据字段的探测器将各ID的有效载荷的比特分配(从第几比特至第几比特是固定值还是变量，并且若为变量则上限值和下限值这样的规范)设为判定指标，如果原来固定值的数据变为了与规范不同的值，则判定为异常。

现有技术文献

非专利文献

非专利文献1：氏家良浩、岸川剛、芳賀智之、松島秀樹、田邊正人、北村嘉彦、安齋潤、「車載ネットワークにおけるCANフィルタの提案」、Symposium on Cryptography andInformation Security SCIS 2015,Jan.20-23,2015.

非专利文献2：田邊正人、安齋潤、前田学、氏家良浩、松島秀樹、若林徹、「車載ゲートウェイにおける多層連携CANフィルタの提案」、Symposium on Cryptography andInformation Security SCIS 2016,Jan.19-22,2016.

发明内容

发明要解决的课题