提供不正常檢測方法，該不正常檢測方法在具備經(jīng)由總線進行通信的多個電子控制單元(ECU)的車載網(wǎng)絡系統(tǒng)中，即使在ECU由于固件的不正常改寫等而處于攻擊者的支配下的情況下，也能夠通過監(jiān)視總線上發(fā)送的幀來檢測不正常狀態(tài)的產(chǎn)生。不正常檢測方法用于檢測車載網(wǎng)絡系統(tǒng)中不正常狀態(tài)的產(chǎn)生，在不正常檢測方法中，使用表示第1條件的不正常檢測規(guī)則信息，判定從所述總線接收到的幀的集合是否滿足該第1條件，所述第1條件是關(guān)于具有第1標識符的幀、與具有和第1標識符不同的標識符的幀的內(nèi)容的關(guān)系的條件；在不滿足該第1條件的情況下，檢測為產(chǎn)生了不正常狀態(tài)。

技術(shù)領域

本公開涉及檢測電子控制單元進行通信的車載網(wǎng)絡中的不正常(improper，不正當、非法)幀的發(fā)送的技術(shù)。

背景技術(shù)

近年來，在汽車中的系統(tǒng)內(nèi)，配置有許多被稱為電子控制單元(ECU：ElectronicControl Unit)的裝置。連接這些ECU的網(wǎng)絡被稱為車載網(wǎng)絡。車載網(wǎng)絡存在多種標準。作為其中最主流的車載網(wǎng)絡之一，存在由ISO11898-1規(guī)定的CAN(Controller Area Network：控制器局域網(wǎng)絡)這一標準。

在CAN中，通信路徑是由兩條電線構(gòu)成的總線，與總線連接的ECU被稱為節(jié)點。與總線連接的各節(jié)點收發(fā)被稱為幀的消息。發(fā)送幀的發(fā)送節(jié)點通過在兩條總線上施加電壓，并在總線間產(chǎn)生電位差，從而發(fā)送被稱為隱性(recessive)的“1”的值和被稱為顯性(dominant)的“0”的值。多個發(fā)送節(jié)點在完全相同的定時(timing)發(fā)送了隱性和顯性的情況下，優(yōu)先發(fā)送顯性。接收節(jié)點在接收到的幀的格式(format)存在異常的情況下，發(fā)送被稱為錯誤幀(error frame)的幀。錯誤幀是通過連續(xù)地發(fā)送6比特(bit)的顯性來向發(fā)送節(jié)點和/或其他接收節(jié)點通知幀的異常的幀。

另外，在CAN中不存在指示發(fā)送目的地和/或發(fā)送源的標識符，發(fā)送節(jié)點對每一幀附加ID而進行發(fā)送(也就是向總線送出信號)，各接收節(jié)點僅接收預先確定的ID的幀(也就是從總線讀取信號)。另外，采用CSMA/CA(Carrier Sense Multiple Access/CollisionAvoidance：載波偵聽多路訪問/沖突避免)方式，在多個節(jié)點同時發(fā)送時基于消息ID進行仲裁(調(diào)停)，優(yōu)先發(fā)送消息ID的值小的幀。

關(guān)于CAN的車載網(wǎng)絡系統(tǒng)，存在攻擊者通過訪問總線并發(fā)送不正常幀(用于攻擊的幀)從而不正常地控制ECU這樣的威脅，安全對策正在被進行研究。

例如專利文獻1中所記載的車載網(wǎng)絡監(jiān)視裝置進行如下不正常檢測方法：在針對發(fā)送給CAN的總線的幀測定的接收間隔與預先規(guī)定的通信間隔之差偏離于規(guī)定的基準范圍的情況下，將該幀判斷為不正常。

現(xiàn)有技術(shù)文獻

專利文獻1：日本專利第5664799號公報

專利文獻2：國際公開第2015/041161號

發(fā)明內(nèi)容

發(fā)明所要解決的問題

然而，在如專利文獻1那樣的不正常檢測方法中，在攻擊者通過不正常地改寫(重寫)正規(guī)ECU的固件(firmware)來進行支配，并使該ECU以在車載網(wǎng)絡系統(tǒng)中規(guī)定的正規(guī)的發(fā)送間隔發(fā)送用于攻擊的幀的情況下，則無法檢測到該用于攻擊的幀。另外，即使ECU的固件不能被改寫，但若在ECU上執(zhí)行了惡意軟件(不正常的程序)，也會產(chǎn)生同樣的狀況，無法檢測到該ECU向CAN的總線發(fā)送的用于攻擊的幀。另外，專利文獻2表示了通過與ECU通信來檢測ECU的程序或者數(shù)據(jù)的不正常改寫的技術(shù)，但為了使用該技術(shù)對與車載網(wǎng)絡的總線連接的各ECU的不正常改寫隨時進行確認，需要進行與各ECU的通信，導致產(chǎn)生總線通信流量增大這一弊病。