入侵地点确定装置以及入侵地点确定方法与流程

本发明涉及入侵地点确定装置以及入侵地点确定方法。

背景技术：

针对不正当地控制车辆的威胁，已有防御技术(参照专利文献1)。

(现有技术文献)

(专利文献)

专利文献1日本特开2014-146868号公报

存在的问题是，车辆为移动体，并且由于从入侵开始到发现攻击受害的期间是不固定的，因此，依据攻击发现地点是难于确定入侵地点的。

技术实现要素：

于是，本发明提供一种对入侵到移动体的威胁的入侵地点进行确定的入侵地点确定装置等。

本发明的一个形态所涉及的入侵地点确定装置，针对分别具有可能会有威胁入侵的多个路径的1个以上的移动体，确定该威胁入侵的入侵地点，所述多个路径包括第一路径，该第一路径是可能会有所述威胁从第一攻击源入侵的路径，所述第一攻击源是与所述威胁入侵的移动体为规定距离以内的攻击源，所述入侵地点确定装置具备：信息收集部，对威胁信息进行收集并存储，所述威胁信息包括识别信息、路径信息、以及发现信息，所述识别信息用于所述1个以上的移动体之中的由所述威胁入侵了的移动体的识别，所述路径信息示出该移动体所具有的所述多个路径之中由所述威胁入侵了的路径，所述发现信息示出所述威胁入侵到该移动体进行攻击的发现日；记录收集部，对将所述1个以上的移动体所处的地点与日期时间建立对应来表示的记录进行收集，并从收集的所述记录中，提取所述1个以上的移动体在基于所述发现信息而决定的规定期间内曾经所处的地点的履历，作为履历信息来存储；确定部，在由所述记录收集部存储的所述履历信息示出的所述地点中，确定从所述第一攻击源经由所述第一路径发生了威胁入侵的入侵地点；以及输出部，对由所述确定部确定的所述地点进行输出。

另外，这些概括性的或具体的形态可以由系统、方法、集成电路、计算机程序或计算机可读取的cd-rom等记录介质来实现，也可以通过系统、方法、集成电路、计算机程序以及记录介质的任意的组合来实现。

本发明的入侵地点确定装置能够对入侵到移动体的威胁的入侵地点进行确定。

附图说明

图1是实施方式中的网络攻击的入侵地点确定系统的全体构成图。

图2是实施方式中的入侵地点确定装置的构成图。

图3示出了实施方式中的威胁信息的一个例子。

图4示出了实施方式中的车辆记录的一个例子。

图5示出了实施方式中的异常分数的一个例子。

图6示出了实施方式中的累积异常分数的一个例子。

图7示出了实施方式中的累积异常分数可视化显示画面的一个例子。

图8示出了实施方式中的威胁信息的异常检测处理的序列。

图9示出了实施方式中的车辆记录的异常检测处理的序列。

图10示出了实施方式中的异常分数的算出处理的序列。

图11示出了实施方式中的入侵地点确定处理的序列。

图12是实施方式中的车辆记录收集部的车辆记录提取处理的流程图。

图13是实施方式中的入侵地点确定部的异常分数算出提取处理的流程图。

图14是实施方式中的入侵地点确定部的入侵地点确定处理的流程图。

具体实施方式

(成为本发明的基础的见解)

本发明人员针对“背景技术”中所记载的用于防御不正当地控制车辆的威胁的技术，发现了以下的问题。

近些年，在机动车的系统中配置了许多被称为电子控制装置(ecu：electroniccontrolunit)的装置。用于对这些ecu进行连接的网络被称为车载网络。车载网络中存在许多标准。其中最主流的车载网络之一是，存在以iso11898-1规定的can(controllerareanetwork：控制器局域网)这种标准。

在can中，通信路径由2条总线构成，与总线连接的ecu被称为节点。与总线连接的各节点对被称为帧的消息进行收发。在can中不存在指示发送目的地节点或发送源节点的标识符，发送节点将被称为消息id的id按照每个帧附加后发送，各接收节点只接收预先规定的消息id。因此，恶意用户将ecu连接到can的总线，通过该ecu将包括异常的控制指令的帧伪装成正规的ecu来发送，从而会有对机动车进行不正当控制的威胁。

针对上述威胁，在车载网络等中，作为用于检测不正当的控制数据的投入的方法，例如有专利文献1所记载的方法。然而，对车辆进行的网络攻击而造成的不正当的控制数据的投入被发现的攻击受害发现地点、与不正当的软件被安装到车辆或不正当的设备被设置的入侵地点并非是一致的。并且，由于车辆是移动体，而且从入侵开始到攻击受害的发现为止的期间是不固定的，因此存在的问题是依据攻击发现地点，难于对入侵地点进行确定。

本发明为了解决上述的问题，目的在于提供一种对入侵到移动体的威胁的入侵地点进行确定的入侵地点确定装置等。更具体而言，本发明所提供的装置以及方法，利用包括多个车辆的威胁信息和位置信息的记录，通过将发生了攻击受害的车辆之中的、比较多的车辆在攻击受害发现以前经由的地点，判断为成为入侵地点的可能性高的地点，从而对入侵地点进行确定。

为了解决这样的问题，本发明的一个形态所涉及的入侵地点确定装置，针对分别具有可能会有威胁入侵的多个路径的1个以上的移动体，确定该威胁入侵的入侵地点，所述多个路径包括第一路径，该第一路径是可能会有所述威胁从第一攻击源入侵的路径，所述第一攻击源是与所述威胁入侵的移动体为规定距离以内的攻击源，所述入侵地点确定装置具备：信息收集部，对威胁信息进行收集并存储，所述威胁信息包括识别信息、路径信息、以及发现信息，所述识别信息用于所述1个以上的移动体之中的由所述威胁入侵了的移动体的识别，所述路径信息示出该移动体所具有的所述多个路径之中由所述威胁入侵了的路径，所述发现信息示出所述威胁入侵到该移动体进行攻击的发现日；记录收集部，对将所述1个以上的移动体所处的地点与日期时间建立对应来表示的记录进行收集，并从收集的所述记录中，提取所述1个以上的移动体在基于所述发现信息而决定的规定期间内曾经所处的地点的履历，作为履历信息来存储；确定部，在由所述记录收集部存储的所述履历信息示出的所述地点中，确定从所述第一攻击源经由所述第一路径发生了威胁入侵的入侵地点；以及输出部，对由所述确定部确定的所述地点进行输出。

通过上述形态，入侵地点确定装置能够对1个以上的移动体曾经所处的地点进行收集，并根据收集的地点来确定威胁入侵到移动体的地点。在此，由于设想的是威胁从离移动体为规定距离以内的攻击源入侵，因此，可以考虑到入侵到1个以上的移动体的威胁的攻击源存在于，与1个以上的移动体曾经所处的地点之中的某一个为规定距离以内的位置。因此，入侵地点确定装置通过对1个以上的移动体曾经所处的地点进行收集，从而能够确定威胁从攻击源入侵的入侵地点。这样，入侵地点确定装置能够确定入侵到移动体的威胁的入侵地点。

例如，所述威胁信息进一步包括潜伏信息，该潜伏信息示出所述威胁是否具有潜伏期间，在所述潜伏信息示出所述威胁具有所述潜伏期间的情况下，所述潜伏信息还包括所述潜伏期间的长度，所述记录收集部，(a)在判断为所述威胁信息示出所述威胁具有所述潜伏期间的情况下，将以所述发现日为终期且具有所述潜伏期间的长度的期间作为所述规定期间来使用，对所述履历信息进行存储，(b)在判断为所述威胁信息示出所述威胁不具有所述潜伏期间的情况下，将以所述发现日为终期且具有规定的长度的期间作为所述规定期间来使用，对所述履历信息进行存储。

通过上述形态，入侵地点确定装置在对移动体曾经所处的地点进行收集时，在威胁具有潜伏期间的情况下，能够利用该潜伏期间，在威胁没有潜伏期间的情况下，能够利用具有规定的长度的期间，来容易地对移动体曾经所处的地点进行收集。因此，入侵地点确定装置能够更容易地确定入侵到移动体的威胁的入侵地点。

例如，所述确定部，在由所述威胁信息示出所述威胁经由所述第一路径入侵到所述移动体的情况下，将示出针对由所述记录收集部存储的所述履历信息所包括的各地点的异常的程度的分数，设为比零大的值，在所述威胁信息没有示出所述威胁经由所述第一路径入侵到所述移动体的情况下，针对由所述记录收集部存储的所述履历信息所包括的各地点，将所述分数设为零，按照由所述记录收集部存储的所述履历信息所包括的地点，在考虑到基于所述威胁信息而算出的异常的程度的基础上，对所述分数进行校正，将所述校正后的所述分数为规定值以上的地点，作为所述入侵地点来确定。

通过上述形态，入侵地点确定装置按照1个以上的移动体曾经所处的地点，通过分数来算出异常的程度，利用算出的分数，来确定威胁入侵到移动体的地点。因此，入侵地点确定装置能够根据采用了分数的具体的处理，来更加容易地确定入侵到移动体的威胁的入侵地点。

例如，所述确定部，在由所述威胁信息示出所述威胁经由所述第一路径入侵到所述移动体的情况下，在示出所述威胁给所述移动体的动作造成的影响的严重性的严重程度越高时，就越将大的值加到所述分数上，据此进行所述校正。

通过上述形态，入侵地点确定装置按照威胁的严重程度来校正分数。即使在向移动体进行网络攻击中，对于移动体的操作被控制等危险性高的攻击，也会报告出高的严重程度。于是，发生了危险性高的攻击的地点的分数作为更大的值被算出，这样，能够将分数大的地点作为更危险的入侵地点来确定。因此，入侵地点确定装置能够在考虑威胁的严重程度的基础上，来确定入侵到移动体的威胁的入侵地点。

例如，所述记录将所述1个以上的移动体所处的地点和所述1个以上的移动体的速度与所述日期时间建立对应来表示，所述记录收集部进一步从收集的所述记录中，还提取所述规定期间内的所述1个以上的移动体的速度的履历，作为所述履历信息来存储，所述确定部进一步，在所述威胁信息示出所述威胁经由所述第一路径入侵到所述移动体的情况下，在所述移动体的速度越接近零时，就越将大的值加到所述分数上，据此进行所述校正。

通过上述形态，入侵地点确定装置按照移动体的速度来校正分数。一般而言，不正当的攻击设备的物理上的安装，或者在进行充电时的不正当软件的安装等向移动体的入侵手段，与移动体行驶时相比停车时容易入侵。于是，与车辆行驶过的地点相比，将车辆停车的地点的分数作为更大的值来算出，这样，能够将大多的移动体在攻击受害以前曾经停车的地点的分数算得较大，从而能够确定更加正确的入侵地点。因此，入侵地点确定装置能够在考虑移动体的速度的基础上，来确定入侵到移动体的威胁的入侵地点。

例如，所述记录收集部进一步，按照由所述记录收集部存储的所述履历信息所示的所述地点，算出位于该地点的所述移动体的台数，并进行存储，所述确定部进一步，在所述威胁信息示出所述威胁经由所述第一路径入侵到所述移动体的情况下，以位于所述地点的所述移动体的台数越多，就越使所述分数变小的方式进行所述校正。

通过上述形态，入侵地点确定装置按照行驶的移动体的台数来校正分数。像大型店铺的停车场等，不管移动体是否受到攻击受害，都会有较多的移动体行驶。对于这种有较多的移动体行驶的地点，使其分数变小，对于行驶的移动体较少的地点，使其分数变大，这样就不会有因地点而出现的偏差，从而能够确定更正确的入侵地点。因此，入侵地点确定装置能够在考虑移动体的台数的基础上，来确定入侵到移动体的威胁的入侵地点。

例如，所述威胁包括多个属于多个种类中的某一个的威胁，所述确定部进一步，通过按照所述威胁所属的种类，对关于由所述记录收集部存储的所述履历信息所包括的地点的所述分数进行合计，从而算出针对各个种类的各个地点的累积分数，并进行存储。

通过上述形态，入侵地点确定装置能够利用按照威胁的种类而累积的累积分数，来确定威胁的入侵地点。通过按照经由充电装置的攻击、或安装了不正当设备的攻击等威胁的种类来算出累积分数，从而，在相同地点入侵的可能性高的类似的攻击所发生的地点的累积分数被算得较大。因此，通过利用累积分数，从而能够确定更正确的入侵地点。这样，入侵地点确定装置能够利用基于威胁的种类的地点的确定，来更正确地对入侵到移动体的威胁的入侵地点进行确定。

例如，所述输出部进一步，将包括由所述记录收集部存储的所述履历信息所包括的地点的地图显示到显示画面，对于该地图上的所述累积分数越大的地点，就越采用尺寸大的图形来显示，或者在三维显示中就越采用高度高的图形来显示。

通过上述形态，入侵地点确定装置将具有与分数的大小相对应的大小或高度的图形与地图一起进行显示。通过将受到攻击受害的移动体所经由的累积分数高的地点、与大型店铺的停车场或充电装置的设置场所等信息一起显示到画面，从而，用于确认分数高的地点存在什么的页面的切换操作就无需进行。因此，有用户能够高效地确定入侵地点的优点。这样，入侵地点确定装置能够在将与入侵到移动体的威胁的入侵地点有关的信息提示给用户的同时，对该入侵地点进行确定。

例如，所述信息收集部，作为所述威胁信息，对结构化威胁信息表达式即stix格式的威胁信息进行收集并存储，所述确定部，在所述stix格式的威胁信息所包括的通用弱点评价体系即cvss中的攻击源分类为物理、局部或相邻的情况下，判断为所述威胁通过所述第一路径入侵到所述移动体。

通过上述形态，入侵地点确定装置收集依照了stix或cvss等被标准化后的格式的数据。据此，入侵地点确定装置能够收集更多的威胁信息，并且通过利用攻击源分类来判断在规定的距离内是否有攻击的可能性，从而能够对多个威胁信息进行同样的数据处理。并且，由于报告者个人的偏差较小，因此能够确定更正确的入侵地点。这样，入侵地点确定装置能够根据更多的威胁信息，来正确地对入侵到移动体的威胁的入侵地点进行确定。

例如，所述记录收集部，将所述移动体的全球定位系统即gps记录作为所述记录来收集，将以规定的纬度和经度确定的地点用作所述地点，来存储履历信息。

通过上述形态，入侵地点确定装置能够利用gps来测量位置。不论gps是内置于移动体还是外接于移动体，入侵地点确定装置都能够收集众多的设备中所利用的gps记录，按照移动体间的相同精确度的纬度以及经度来提取地点，这样能够算出各个地点的分数或累积分数。因此，入侵地点确定装置能够从更多的移动体的位置信息来算出累积异常分数，从而能够确定更正确的入侵地点。这样，入侵地点确定装置能够利用gps，来更正确地对入侵到移动体的威胁的入侵地点进行确定。

例如，所述记录收集部将作为所述移动体的车辆在充电时所利用的充电装置的设置场所、停车场或车检场所存在的地点用作所述地点，来存储所述履历信息。

通过上述形态，入侵地点确定装置从车辆的充电装置的设置场所、停车场或车检场所存在的地点中，确定入侵地点。入侵地点确定装置将充电装置的设置场所、停车场或车检场所，作为不正当的攻击设备的物理上的安装、或充电中的不正当软件的安装等给移动体的威胁容易入侵的地点来提取。因此，通过算出各个上述地点的分数或累积分数，从而能够将入侵可能性低的地点除外。因此，入侵地点确定装置能够抑制计算量，从而能够高效地对入侵到移动体的威胁的入侵地点进行确定。

例如，所述入侵地点确定装置进一步具备异常检测部，该异常检测部进行如下判断，(a)在所述信息收集部接收到示出所述1个以上的移动体之中的某一个移动体发生了所述威胁入侵的所述威胁信息的情况下，将接收的所述威胁信息判断为异常，或者(b)在所述记录收集部接收到示出发生了所述威胁入侵的所述记录的情况下，将接收的所述记录判断为异常，所述信息收集部，对由所述异常检测部判断为异常的所述威胁信息进行收集，所述记录收集部，对由所述异常检测部判断为异常的所述记录进行收集。

通过上述形态，入侵地点确定装置在接收到于威胁的入侵相关的威胁信息或记录的情况下，根据该威胁信息或记录，对威胁的入侵地点进行确定。据此，入侵地点确定装置在威胁信息或车辆记录中对给移动体的攻击进行检测后，由于可以不必借用人力就能够算出分数或累积分数并确定入侵地点，因此，能够使从发现攻击到确定入侵地点之间的时间缩短，从而能够进一步抑制攻击受害。因此，入侵地点确定装置根据异常的检测，能够以更短的时间来对入侵到移动体的威胁的入侵地点进行确定。

并且，本发明的一个形态所涉及的入侵地点确定方法，针对分别具有可能会有威胁入侵的多个路径的1个以上的移动体，确定该威胁入侵的入侵地点，所述多个路径包括第一路径，该第一路径是可能会有所述威胁从第一攻击源入侵的路径，所述第一攻击源是与所述威胁入侵的移动体为规定距离以内的攻击源，在所述入侵地点确定装置方法中，对威胁信息进行收集并存储，所述威胁信息包括识别信息、路径信息、以及发现信息，所述识别信息用于所述1个以上的移动体之中的由所述威胁入侵了的移动体的识别，所述路径信息示出该移动体所具有的所述多个路径之中由所述威胁入侵了的路径，所述发现信息示出所述威胁入侵到该移动体进行攻击的发现日；对将所述1个以上的移动体所处的地点与日期时间建立对应来表示的记录进行收集，并从收集的所述记录中，提取所述1个以上的移动体在基于所述发现信息而决定的规定期间内曾经所处的地点的履历，作为履历信息来存储；在被存储的所述履历信息示出的所述地点中，确定从所述第一攻击源经由所述第一路径发生了威胁入侵的入侵地点；对被确定的所述地点进行输出。

据此，能够实现与上述的入侵地点确定装置同样的效果。

另外，这些概括性的形态可以通过系统、方法、集成电路、计算机程序或计算机可读取的cd-rom等记录介质来实现，也可以通过系统、方法、集成电路、计算机程序或记录介质的任意的组合来实现。

以下参照附图对实施方式所涉及的入侵地点确定装置进行说明。

另外，以下将要说明的实施方式均为概括的或具体的例子。以下的实施方式所示的数值、形状、材料、构成要素、构成要素的配置位置以及连接方式、步骤、步骤的顺序等为一个例子，其主旨并非是对本发明进行限定。并且，对于以下的实施方式中的构成要素之中没有记载在示出最上位概念的独立技术方案中的构成要素，作为任意的构成要素来说明。

(实施方式)

在本实施方式中，对用于确定入侵到移动体的威胁的入侵地点的入侵地点确定装置进行说明。在此，作为移动体的一个例子，利用车辆来进行说明。

[网络攻击的入侵地点确定系统全体构成图]

图1是本实施方式中的网络攻击的入侵地点确定系统的全体构成图。

在图1中，网络攻击的入侵地点确定系统具备：威胁信息共享服务器20、车辆记录发送装置30、以及入侵地点确定装置10。威胁信息共享服务器20、车辆记录发送装置30、以及入侵地点确定装置10经由外部网络连接。外部网络的一个例子是互联网。

威胁信息共享服务器20是从分析者接收威胁信息，并将威胁信息发送给利用者的服务器。

威胁信息是包括如下文本的信息，该文本中描述了在发现了给车辆的网络攻击受害之后，由分析者根据成为攻击的对象的车辆的系统记录而分析的攻击的影响和原因等。威胁信息例如按照结构化威胁信息表达式stix(structuredthreatinformationexpression)的描述形式而被描述。另外，将“成为攻击的对象的车辆”也称为对象车辆。将车辆的系统记录也称为车辆记录，也可以简单称为记录。

以结构化威胁信息表达式stix描述的威胁信息中包括：网络攻击事件的分类(也称为威胁种类)、攻击的检测方法、攻击的对策方法、攻击对象的漏洞(vulnerability)、由通用弱点评价体系cvss(commonvulnerabilityscoringsystem)而被体系化的漏洞的攻击源分类、漏洞的严重程度、攻击发现日、从入侵到发生攻击受害为止的期间即潜伏期间、对象车辆的车辆识别编号、以及对象车辆的车型。在此，潜伏期间是潜伏信息的一个例子。潜伏信息是示出威胁是否有潜伏期间的信息。在由潜伏信息示出威胁有潜伏期间的情况下，潜伏信息还包括潜伏期间的长度。

在cvss中，在经由网络从远程能够攻击对象部分的情况下，将攻击源分类设为“网络”。在需要从相邻网络来攻击对象部分的情况下，将攻击源分类设为“相邻”。在需要从局部环境来攻击对象部分的情况下，将攻击源分类设为“局部”。在需要从物理访问环境来攻击对象部分的情况下，将攻击源分类设为“物理”。

并且，在cvss，将漏洞的严重程度以数值来表现，在严重程度最高的情况下设为10分，在不严重的情况下设为0分。严重程度是示出威胁给车辆的动作造成的影响的严重程度的指标。

分析者是能够对给车辆的网络攻击进行分析的人物，例如是安全操作中心、安全对策组、车辆的制造者、车载装置的开发者、或漏洞发现者等。

利用者是接收威胁信息的人物或装置，例如是安全操作中心、安全对策组、或入侵地点确定装置10。

车辆记录发送装置30是将包括车辆识别编号、车辆的系统记录、网络记录、位置信息、车辆状态的车辆的记录发送给入侵地点确定装置10的电子控制装置。车辆记录发送装置30定期地或在发现了攻击受害后，将上述记录发送给入侵地点确定装置10。车辆记录发送装置30被设置在车辆。

车辆识别编号是vin(vehicleidentificationnumber)。车辆的系统记录是被搭载于ecu的车辆控制软件的动作记录。网络记录是can网络的交通记录。位置信息是gps(globalpositioningsystem)的记录。车辆状态是车辆的速度。

入侵地点确定装置10是用于确定威胁入侵到车辆的地点的装置。入侵地点确定装置10从威胁信息共享服务器20接收威胁信息，从车辆记录发送装置30收集车辆的记录。于是，入侵地点确定装置10在接收到威胁信息的情况下、或在车辆的记录中包括了安全上的异常的情况下，利用威胁信息和车辆的记录，来确定入侵地点，该入侵地点是采用只有从在物理上与车辆的距离比较近的攻击源才能够执行的入侵手段，来入侵的地点。关于入侵地点的确定方法的详细将后述。另外，“在物理上与车辆的距离比较近的攻击源”也可以称为位于与车辆为规定距离以内的攻击源。

只有从在物理上与车辆的距离比较近的攻击源才能够执行的入侵手段是指，例如，车辆在充电装置侧停车且进行充电的期间中，从充电装置经由电力线来安装不正当的软件。并且，入侵手段也可以包括如下的手段，即在车辆停在大型店铺的停车场的期间中，经由bluetooth(注册商标)通信将不正当的软件安装到车载信息娱乐装置，或者在不正当的车辆修理人对车辆进行修理时，将不正当的设备安装到obd2(onboarddiagnostics2)端口。

攻击者利用只有从在物理上与车辆的距离比较近的攻击源才能够执行的入侵手段，威胁入侵到车辆成功以后，经由互联网通过远程操作，从不正当的软件或设备向车载网络发送不正当的控制指令，从而使攻击受害发生。

[入侵地点确定装置的构成图]

图2是本实施方式中的入侵地点确定装置10的构成图。在图2中，入侵地点确定装置10具备：通信部110、异常检测部120、威胁信息收集部130、车辆记录收集部140、入侵地点确定部150、以及入侵地点通知部160。上述的构成要素能够通过入侵地点确定装置10所具备的处理器(未图示)利用存储器(未图示)执行程序来实现。

通信部110是与外部网络连接的通信接口装置。通信部110从威胁信息共享服务器20接收威胁信息，将威胁信息传输到异常检测部120以及威胁信息收集部130。并且，通信部110具有从车辆记录发送装置30接收车辆记录，并将车辆记录传输到异常检测部120以及车辆记录收集部140的功能。

异常检测部120对威胁信息或车辆记录的异常进行检测。异常检测部120从通信部110接收威胁信息，在威胁信息中包括对象车辆的网络攻击的情况下，判断为异常，将判断为异常的威胁信息通知给威胁信息收集部130。并且，异常检测部120具有的功能是，从通信部110接收车辆记录，在车辆记录中包括安全上的异常的情况下，判断为异常，将判断为异常的车辆记录通知给威胁信息收集部130。

威胁信息收集部130从通信部110接收威胁信息，存储威胁信息。威胁信息收集部130经由通信部110，从威胁信息共享服务器20收集威胁信息。威胁信息包括：1个以上的车辆之中的有威胁入侵的车辆的识别信息；路径信息，示出该车辆所具有的多个路径之中威胁入侵的路径；以及发现信息，示出因威胁入侵到该移动体而进行的攻击的发现日。威胁信息收集部130相当于信息收集部。

并且，威胁信息收集部130接收由异常检测部120判断为异常的威胁信息。并且，威胁信息收集部130在由异常检测部120接收的威胁信息中包括的漏洞的攻击源分类为“物理”、“局部”、或“相邻”的情况下，判断为从在物理上与车辆的距离比较近的位置上的攻击源发生了入侵。于是，威胁信息收集部130从威胁信息提取车辆识别编号、威胁种类、漏洞的严重程度、以及潜伏期间，将车辆识别编号和潜伏期间通知给车辆记录收集部140，将车辆识别编号、威胁种类、以及漏洞的严重程度通知给入侵地点确定部150。

并且，威胁信息收集部130接收由异常检测部120判断为异常的车辆记录。并且，威胁信息收集部130从存储的威胁信息中，确定具有与车辆记录中包括的车辆识别编号一致的车辆识别编号的威胁信息。威胁信息收集部130具有的功能是，从确定的威胁信息中提取车辆识别编号、威胁种类、漏洞的严重程度以及潜伏期间，将车辆识别编号和潜伏期间通知给车辆记录收集部140，将车辆识别编号、威胁种类、漏洞的严重程度通知给入侵地点确定部150。

车辆记录收集部140从通信部110接收车辆记录，按照车辆记录中包括的车辆识别编号，存储车辆记录。在上述车辆记录中包括由异常检测部120判断为异常的车辆记录。具体而言，车辆记录收集部140收集将1个以上的车辆所处的地点与日期时间建立对应来表示的记录，并从收集的记录中，提取根据发现信息而决定的规定期间内1个以上的移动体所处的地点的履历，作为履历信息来存储。车辆记录收集部140相当于记录收集部。

并且，车辆记录收集部140从威胁信息收集部130，接收车辆识别编号和潜伏期间。车辆记录收集部140从存储的车辆记录中，将车辆识别编号一致且潜伏期间中的车辆记录，作为异常车辆记录来确定。车辆记录收集部140将在纬度和经度上分别按照0度0分1秒来划分的区域作为地点来定义，从异常车辆记录中，提取车辆行驶且经过的异常地点、以及该异常地点中的车辆状态。车辆记录收集部140所具有的功能是，从所有的车辆记录中，将异常地点中的车辆的台数作为全体车辆数来提取，将异常地点以及异常地点中的异常车辆状态和全体车辆数通知给入侵地点确定部150。

另外，作为一个例子，车辆记录收集部140将车辆的gps(globalpositioningsystem)记录作为上述记录来收集，将由规定的纬度和经度确定的地点作为上述地点来使用，存储履历信息。并且，车辆记录收集部140将车辆的充电时所利用的充电装置的设置场所、停车场或车检场所存在的地点，作为上述地点来利用，存储履历信息。

入侵地点确定部150将车辆记录收集部140所存储的履历信息示出的地点之中的、威胁从第一攻击源经由第一路径入侵的地点确定为入侵地点。入侵地点确定部150相当于确定部。

入侵地点确定部150从威胁信息收集部130接收车辆识别编号、威胁种类、漏洞的严重程度。入侵地点确定部150从车辆记录收集部140接收异常地点、异常地点中的异常车辆状态、全体车辆数，按照各个异常地点，并依照异常车辆状态、漏洞的严重程度、以及全体车辆数，来算出或校正各个地点的异常分数，并按照威胁种类来存储。

异常分数将1作为基准点。入侵地点确定部150将以0到10的数值定义的cvss的严重程度的点数加到基准点，在异常车辆状态为“停车”的情况下，将进一步加上了10的点数除以全体车辆数之后的值作为异常分数来算出，并按照威胁种类和地点来存储。

入侵地点确定部150具有的功能是，判断按照威胁种类和地点而存储的异常分数的总和是否超过0.1。于是，入侵地点确定部150针对异常分数的总和超过了0.1的地点，将该地点判断为异常。

入侵地点通知部160对由入侵地点确定部150确定的地点进行输出。入侵地点通知部160相当于输出部。

入侵地点通知部160从入侵地点确定部150，接收由入侵地点确定部150判断为异常的地点。入侵地点通知部160将地图信息和按照各个地点的异常分数的信息显示到画面。此时，入侵地点通知部160也可以将地图信息与异常分数的信息重叠显示到画面。入侵地点通知部160将被判断为异常的地点通知给与车辆识别编号对应的驾驶人员，或通知给与车辆识别编号对应的车辆的车型的驾驶人员，并且具有将被判断为异常的地点通知给安全对策组或警察的功能。

在此，车辆记录收集部140在判断为由威胁信息示出了威胁具有潜伏期间的情况下，将以发现日为终期的具有潜伏期间的长度的期间，作为规定期间来利用，对履历信息进行存储。另外，在判断为由威胁信息示出了威胁不具有潜伏期间的情况下，将以发现日为终期的具有规定的长度的期间，作为规定期间来利用，对履历信息进行存储。

并且，入侵地点确定部150在由威胁信息示出了威胁经由第一路径入侵到车辆的情况下，将示出针对车辆记录收集部140所存储的履历信息中包括的各地点的异常的程度的分数设为比零大的值。另外，入侵地点确定部150在威胁信息没有示出威胁经由第一路径入侵到车辆的情况下，将针对车辆记录收集部140所存储的履历信息中包括的各地点的分数设为零。于是，入侵地点确定部150按照车辆记录收集部140所存储的履历信息中包括的地点，在考虑到基于威胁信息而算出的异常的程度的基础上对分数进行校正，将校正后的分数为规定值以上的地点作为入侵地点来确定。

对入侵地点确定部150所进行的校正进行详细说明。

入侵地点确定部150在由威胁信息示出威胁经由第一路径入侵到车辆的情况下，也可以通过示出威胁给车辆的动作造成的影响的严重性的严重程度越高，就越将大的值加到分数中的方式，来进行校正。

并且，入侵地点确定部150在威胁信息示出威胁经由第一路径入侵到车辆的情况下，可以通过车辆的速度越接近于零，就越将大的值加到分数中的方式，来进行校正。在此，记录将1个以上的车辆所处的地点和1个以上的移动体的速度，与日期时间建立对应来示出。并且，车辆记录收集部140从收集的记录中，进一步提取规定期间内的1个以上的车辆的速度的履历，作为履历信息来存储。

并且，入侵地点确定部150在威胁信息示出威胁经由第一路径入侵到车辆的情况下，可以进行位于地点的车辆的台数越多，就越使分数变小的校正。在此，车辆记录收集部140按照车辆记录收集部140所存储的履历信息示出的地点，算出位于该地点的车辆的台数并存储。

另外，入侵地点确定部150可以通过对针对车辆记录收集部140所存储的履历信息中包括的地点的分数，按照威胁所属的种类进行合计，来算出针对各种类的各个地点的累积分数并存储。

[威胁信息]

图3示出了本实施方式中的威胁信息的一个例子。图3所示的威胁信息是从威胁信息共享服务器20向入侵地点确定装置10发送的威胁信息的一个例子。

在图3中，威胁信息以包括威胁信息编号、攻击源分类、漏洞的严重程度、威胁种类、攻击发现日、潜伏期间、车辆识别编号、以及车辆的类别的组的方式而被构成。

攻击源分类从“物理”、“局部”、“相邻”、以及“网络”之中选择一个。

威胁信息编号是针对各个威胁信息唯一建立对应的编号。

漏洞的严重程度从0至10中选择一个。

在图3中，例如示出的威胁信息编号1的威胁是，攻击源分类为“物理”，漏洞的严重程度为“7”，威胁种类为“不正当的obd2设备”，潜伏期间为“不清楚”，车辆识别编号为“a001”，车辆的类别为“a”。

在威胁信息的攻击源分类为“物理”、“相邻”或“局部”的情况下，能够判断为在物理上与车辆的距离比较近的位置上存在攻击者、或在物理上与车辆比较近的位置上设置了入侵工具。

并且，通过参照威胁信息的漏洞的严重程度，从而能够判断攻击受害的大小。通过参照威胁种类，从而能够对类似的攻击进行分类。通过参照潜伏期间，从而能够判断将要确认的车辆记录的期间。通过参照车辆识别编号，从而能够确定与车辆识别编号对应的车辆记录。通过参照车辆的类别，从而能够按照给类似的车辆的攻击来对威胁信息进行分类。

[车辆记录]

图4示出了从本实施方式中的车辆记录发送装置30向入侵地点确定装置10发送的车辆记录的一个例子。

在图4中，车辆记录以包括车辆识别编号、时刻、位置信息、以及车辆状态的组的方式而被构成。在图4中例如示出，车辆识别编号“a001”的车辆在时刻“t11”，以“10km/h”行使过纬度“n1秒”以及经度“e1秒”的地点a。并且示出了，车辆识别编号“a001”的上述车辆在时刻“t12”，以“20km/h”行使过纬度“n2秒”以及经度“e2秒”的地点b。

只要能够判明异常的车辆的车辆识别编号，入侵地点确定部150就能够通过从车辆记录中参照针对异常的车辆的车辆识别编号的时刻，从而能够确定直到发现攻击为止的规定的期间。并且，通过参照规定的期间内的、针对异常的车辆的车辆识别编号的位置信息，从而能够提取该车辆所经过的地点，通过参照车辆状态，从而能够按照地点来判断车辆是处于停车的状态还是处于行使的状态。在车辆记录中，位置信息将以0度0分1秒来划分纬度和经度的区域作为地点来定义。

并且，入侵地点确定部150根据车辆记录来算出全体车辆数。全体车辆数是示出规定的期间内确定的地点中的车辆的交通量的数值，具体而言，示出在规定的期间内经过确定的地点的包括正常的车辆与异常的车辆的车辆的合计数量。全体车辆数是利用车辆记录中包括的、包含规定的期间内的确定的位置信息的车辆识别编号而被算出的。

例如在图4中，在规定的期间t11～t43，位于相当于确定的位置信息的地点d的车辆的车辆识别编号由于是b001和c001这两个，因此地点d的全体车辆数被算出为2。

[异常分数]

图5示出了本实施方式中的入侵地点确定部150所算出的异常分数的一个例子。另外，将异常分数也会简单称为分数。

在图5中，异常分数以包括威胁信息编号、威胁种类、车辆识别编号、位置信息、以及异常分数算出值的组的方式而被构成。另外，异常分数算出值包括基准点、严重程度加分、车辆状态加分、全体车辆数、以及异常分数。

在图5中，威胁信息编号“1”所包括的车辆识别编号“a001”的车辆记录，是通过提取了攻击发现前的潜伏期间内的车辆记录、或攻击发现前一天中的位置信息而得到的。例如在图4的车辆记录中，在时刻t11至t13的期间中，车辆识别编号“a001”的车辆所经过的地点是“地点a”、“地点b”、和“地点c”。

在此，在图3的威胁信息中，由于威胁信息编号“1”的威胁的攻击源分类为“物理”，因此示出攻击者或入侵工具被配置的位置是，在物理上与车辆比较近的位置。因此，入侵地点确定部150将异常分数算出值的基准点设为“1”。并且，入侵地点确定部150在攻击源分类为“物理”、“相邻”或“局部”的情况下，将基准点设定为比零大的值，更确切而言设定为“1”，并且，在攻击源分类为“网络”的情况下，将基准点设定为“0”。

而且，入侵地点确定部150在图3的威胁信息中，由于漏洞的严重程度为7，因此将异常分数算出值的严重程度加分设定为“7”。

并且，入侵地点确定部150在图4的车辆记录中，由于车辆识别编号“a001”的地点a中的车辆状态为“行使”，因此将异常分数算出值的车辆状态加分设定为“0”。

异常分数算出值的异常分数被设定为，以通过对基准点、严重程度加分、车辆状态加分进行相加而得到的分数，除以全体车辆数后的数值。在图5中，由于地点a的全体车辆数为100，因此对基准点、严重程度加分、车辆状态加分进行相加而得到分数“8”，以该分数“8”除以地点a的全体车辆数“100”，从而车辆识别编号“a001”的“地点a”的异常分数成为“0.08”。

在图5中，威胁信息编号“2”中包括的车辆识别编号“b001”的车辆记录，是通过提取了攻击发现前的潜伏期间内的车辆记录、或攻击发现前一天的位置信息而得到的。例如，在图4的车辆记录中，在时刻t21至t22的期间内，车辆识别编号“b001”的车辆所经过的地点为“地点d”、“地点e”、以及“地点f”。

并且，在图3的威胁信息中，由于威胁信息编号“2”的威胁的攻击源分类为“局部”，因此将异常分数的算出值的基准点设为“1”。并且，在图3的威胁信息中，由于威胁信息编号“2”中包括的漏洞的严重程度为6，因此将异常分数算出值的严重程度加分设定为“6”。

并且，入侵地点确定部150在图4的车辆记录中，由于车辆识别编号“b001”的地点d中的车辆状态为“停车”，因此将异常分数算出值的车辆状态加分设定为“1”。由于与车辆状态为“行使”的情况相比，“停车”的情况下成为网络攻击的入侵地点的可能性高，因此，“停车”的车辆状态加分被设定为比“行使”的车辆状态加分的“0”高的“1”。在图5中，由于对基准点、严重程度加分、车辆状态加分进行相加而得到的分数为“9”，因此车辆识别编号“b001”的“地点d”的异常分数则成为“9”除以地点d的全体车辆数的“10”而得到“0.9”。

并且，在图3的威胁信息中，由于威胁信息编号“4”的威胁的威胁信息的攻击源分类为“网络”，因此示出攻击者或入侵工具没有被配置在与车辆为物理上比较近的位置。因此，入侵地点确定部150将异常分数算出值的基准点设定为“0”，而且不对严重程度加分以及车辆状态加分进行设定。

这样，关于异常分数，参照图3的威胁信息的攻击源分类，若攻击源分类为“物理”、“相邻”、或“局部”，则攻击者或入侵工具被配置在与车辆为物理上比较近的位置，在具有成为网络攻击的入侵地点的可能性的情况下，作为基准点而设定“1”。另外，若威胁信息的攻击源分类为网络，则攻击者或入侵工具无需配置在与车辆为物理上比较近的位置，由于成为网络攻击的入侵地点的可能性低，这样，作为基准点而设定为“0”，通常分数被设定为“0”。

在异常分数算出值的基准点被设定为“1”的情况下，进一步可以设定严重程度加分、车辆状态加分。严重程度加分利用威胁信息的漏洞来设定，能够将车辆被不正当控制等严重程度高且危险性高的攻击的入侵地点的异常分数设定得较大。并且，车辆状态加分利用车辆记录的车辆状态来设定，在车辆行使的情况下，由于入侵的可能性低，因此能够将异常分数设定得较小，在车辆处于停车的情况下，由于入侵的可能性高，因此能够将异常分数设定得较大。

并且，全体车辆数多的地点由于不论是正常的车辆或异常的车辆，是有很多的车辆通过的地点，因此将异常分数设定得较小。全体车辆数少得地点，由于异常的车辆的比率比较大且成为具有特征的地点，因此将异常分数设定得较大。

[累积异常分数]

图6示出了本实施方式中的入侵地点确定部150所算出的按照威胁种类的地点的累积异常分数的一个例子。

在图6中，累积异常分数以包括威胁种类、地点、异常分数、累积异常分数的组的方式而被构成。异常分数以包括多个威胁信息的方式而被构成。累积异常分数是对图5所说明的异常分数进行的累积。

在图6中，具有威胁信息编号“1”的威胁所属的威胁种类是“不正当的obd2设备”。在与威胁信息编号“1”对应的车辆记录的位置信息中包括地点a、b、和c，各自的异常分数为“0.08”、“0.08”、和“0.04”。由于地点a、b、和c不包括在与其他的威胁信息对应的车辆记录的位置信息，累积异常分数为“0.08”、“0.08”、和“0.04”。

在与威胁信息编号“2”和“3”对应的车辆记录的位置信息中包括地点d。关于威胁信息编号“2”的地点d的异常分数为“0.8”，关于威胁信息编号“3”的地点d的异常分数为“0.7”。地点d的累积异常分数是威胁信息编号“2”和“3”在地点d的异常分数的总和即“1.5”。

这样，通过按照威胁种类和地点来参照多个威胁信息的异常分数并取得合计，从而能够将受到类似的攻击受害的车辆之中的、大多的车辆在攻击发现前经由的地点即行驶通过的地点的异常分数设定得较大。

[累积异常分数可视化显示画面的一个例子]

图7示出了本实施方式中的入侵地点通知部160对累积异常分数进行可视化来显示的画面的一个例子。在图7中，经度分别为n1、n2以及n3的道路、和纬度分别为w1、w2以及w3的道路被显示在地图上。并且，示出了存在于经度为n1且纬度为w1的位置上的充电装置x的位置和名称，存在于经度为n2且纬度为w3的位置的停车场y的位置，存在于经度为n3且纬度为w2的位置上的氢站z的位置和名称。

在图7中进一步，入侵地点通知部160示出累积异常分数。入侵地点通知部160以累积异常分数越大的地点，就越采用尺寸比较大的图形、或在三维显示中以高度高的图形来显示。具体而言，入侵地点通知部160以柱状图来表示异常累积分数。累积异常分数越大，则棒状图就以越长或越大的图形来显示。并且，在三维显示的情况下，以高度高的图形来显示。

例如作为示出地点d的累积异常分数的1.5的图形，入侵地点通知部160在经度为n1的道路、纬度为w1的道路的交叉点显示棒状图。被显示的棒状图具有相当于地点d的累积异常分数的大小或高度。并且，在被显示的棒状图的内部显示累积异常分数的数值“1.5”。并且，作为示出地点f的累积异常分数的0.06的图形，在经度为n2的道路、纬度为w1的道路的交差点显示棒状图。显示的方式与上述相同。

这样，入侵地点通知部160在对地图上的成为入侵地点的可能性高的地点的名称进行显示的同时，能够将累积异常分数进行可视化来显示，因此，针对累积异常分数高的地点存在什么，用户可以不必切换显示的页面就能够进行目视确认。因此，用户能够高效地对异常的入侵地点进行确定。

[异常检测装置的处理序列]

图8至图11示出了，从本实施方式中的威胁信息共享服务器20将威胁信息发送给入侵地点确定装置10之后、或车辆记录发送装置30将车辆记录发送给入侵地点确定装置10之后，入侵地点确定装置10对安全上的异常进行检测，按照威胁种类和地点，算出示出入侵地点的可能性的异常分数，算出按照威胁种类和地点的累积异常分数，直到对入侵地点进行确定并通知为止的处理序列。

在步骤s801，威胁信息共享服务器20将威胁信息发送给入侵地点确定装置10的通信部110。威胁信息共享服务器20事前从分析者接收威胁信息。威胁信息中包括的信息如图3所示。分析者是能够从车辆的记录等中，对车辆受到网络攻击的可能性进行分析的人物，例如是安全操作中心、安全对策组、车辆的制造者、车载装置的开发者、或漏洞发现者。

在步骤s802，通信部110接收在步骤s801发送的威胁信息，通过将接收的威胁信息发送到威胁信息收集部130，来传输威胁信息。

在步骤s803，威胁信息收集部130对在步骤s802发送的威胁信息进行接收并存储。

在步骤s804，通信部110将由步骤s801发送的、且由步骤s802接收的威胁信息发送到异常检测部120，并传输威胁信息。

在步骤s805，异常检测部120接收在步骤s804发送的威胁信息。异常检测部120在接收的威胁信息中包括给分析对象车辆的网络攻击的情况下，则判断接收的威胁信息为异常。在此分析对象车辆例如是特定的制造者的车辆，在这种情况下，当特定的制造者的车辆的车辆识别编号包括在威胁信息时，则将该威胁信息判断为异常。

在步骤s806，异常检测部120在威胁信息在步骤s805被判断为异常的情况下，将异常的威胁信息发送到威胁信息收集部130。

在步骤s807，威胁信息收集部130接收在步骤s806发送的异常的威胁信息。

进入到图9，在步骤s901，车辆记录发送装置30将车辆记录发送到入侵地点确定装置10的通信部110。在此车辆记录例如利用http(hypertexttransferprotocol)等通信协议，经由互联网被发送到入侵地点确定装置10。车辆记录中包括的信息如图4所示。

在步骤s902，通信部110接收在步骤s901发送的车辆记录，将接收的车辆记录发送到车辆记录收集部140，据此来传输车辆记录。

在步骤s903，车辆记录收集部140接收并存储在步骤s902发送的车辆记录。

在步骤s904，通信部110将在步骤s901发送的、且在步骤s902接收的车辆记录，发送到异常检测部120，据此来传输车辆记录。

在步骤s905，异常检测部120接收在步骤s904发送的车辆记录，在检测到接收的车辆记录中包括网络攻击的记录的情况下，将接收的车辆记录判断为异常。在此，作为从车辆记录中检测异常的方法例如是，以事先规定的用于指示只有车速在10km/h以内才启动的自动停车控制的消息，在车速为100km/h的行使过程中被发送的情况下才检测为异常的规则为前提，异常检测部120对车辆记录中包括的can网络交通进行监视，在包括了含有与规则一致的消息的车辆记录的情况下，检测为异常。

在步骤s906，异常检测部120在步骤s905车辆记录被判断为异常的情况下，将异常的车辆记录发送给威胁信息收集部130。

在步骤s907，威胁信息收集部130接收在步骤s906发送的异常的车辆记录。

在步骤s908，威胁信息收集部130对与在步骤s907接收的异常的车辆记录中所包括的车辆识别编号对应的异常的威胁信息进行确定。在此，车辆识别编号是所有的车辆之中的独特的值，由于威胁信息中包括的车辆识别编号与车辆记录中包括的车辆识别编号相同，因此能够将车辆记录与威胁信息建立对应。

进入到图10，在步骤s1001，威胁信息收集部130获得异常的威胁信息。该处理相当于在步骤s807或步骤s908，威胁信息收集部130对异常的威胁信息进行接收或确定的处理。

在步骤s1002，威胁信息收集部130在步骤s1001的威胁信息的攻击源分类为“物理”、“局部”或“相邻”的情况下，从威胁信息中提取车辆识别编号、威胁种类、严重程度、攻击发现日、以及潜伏期间。在此，在威胁信息中包括的潜伏信息示出没有潜伏期间的情况下，将规定的期间、更具体而言规定的天数作为潜伏期间来使用，例如将一天作为潜伏期间来使用。关于潜伏期间中的车辆记录的提取方法，将在以后利用图12来说明。

在步骤s1003，威胁信息收集部130将在步骤s1002提取的车辆识别编号、攻击发现日、以及潜伏期间发送给车辆记录收集部140。

在步骤s1004，车辆记录收集部140接收步骤s1003的车辆识别编号、攻击发现日、以及潜伏期间。

在步骤s1005，车辆记录收集部140从与步骤s1004的车辆识别编号对应的车辆记录中，提取潜伏期间中的位置信息、以及各个地点的车辆状态，并发送给入侵地点确定装置10。在此，地点是对位置信息中包括的纬度和经度以0度0分1秒来进行划分的地点。并且，车辆记录中包括的信息如图4所示，包括时刻、该时刻中的车辆的位置信息、以及作为该时刻中的车辆状态的速度信息。例如，车辆记录收集部140参照车辆记录的时刻，确定潜伏期间中的记录，将位置信息与速度信息建立对应来提取，据此，来提取按照规定的地点的车辆状态。

在步骤s1006，入侵地点确定部150接收在步骤s1005发送的车辆识别编号、位置信息、以及按照地点的车辆状态。

在步骤s1007，车辆记录收集部140从由车辆记录收集部140存储的所有的车辆记录中，将潜伏期间中的各个地点的车辆数作为全体车辆数来提取，并发送给入侵地点确定部150。

在步骤s1008，入侵地点确定部150接收在步骤s1007发送的车辆识别编号、位置信息、以及各个地点的车辆状态。

在步骤s1009，威胁信息收集部130将在步骤s1002提取的车辆识别编号、威胁种类、漏洞的严重程度发送给入侵地点确定部150。在此，漏洞的严重程度以cvss等来表现，在严重程度最高的情况下的数值为10分，在最不严重的情况下的数值为0分。

在步骤s1010，入侵地点确定部150接收在步骤s1009发送的威胁种类和漏洞的严重程度。

在步骤s1011，入侵地点确定部150利用在步骤s1006、步骤s1008、以及步骤s1010接收的位置信息、各个地点的车辆状态、各个地点的全体车辆数、以及漏洞的严重程度，按照各个地点算出异常分数，与威胁种类建立对应并存储。关于异常分数的算出方法，将在以后用图13进行说明。

进入到图11，在步骤s1101，入侵地点确定部150算出异常分数，与威胁种类建立对应并存储。该处理相当于步骤s1011的处理。

在步骤s1102，入侵地点确定部150算出在步骤s1101存储的威胁种类和各个地点的累积异常分数，将位置信息和累积异常分数发送给入侵地点通知部160。关于累积异常分数的算出方法，以后将利用图14进行说明。

在步骤s1103，入侵地点通知部160接收在步骤s1102发送的位置信息和累积异常分数，按照各个地点显示到地图上。在此，累积异常分数的显示方法如图7所示。

在步骤s1104，当在步骤s1102算出的累积异常分数为阈值以上的情况下，入侵地点确定部150确定为是入侵地点，并将位置信息发送给入侵地点通知部160。在此，阈值由入侵地点确定部150事前保持。

在步骤s1105，入侵地点通知部160接收在步骤s1104发送的位置信息，并通知给驾驶人员或安全对策组。通过将与入侵地点有关的信息通知给与威胁信息中包括的车辆为同一车型的驾驶人员、或安全对策组，从而用户能够采取不接近入侵地点等临时的措施，或者能够迅速地调查入侵地点的周围，从而能够降低给车辆造成的攻击受害。

[车辆记录提取处理的流程图]

图12是本实施方式中的车辆记录收集部140的车辆记录提取处理的流程图。

在步骤s1201，车辆记录收集部140获得异常的威胁信息和车辆记录，执行下一个步骤s1202。

在步骤s1202，车辆记录收集部140判断威胁信息中是否有潜伏期间的记载。在威胁信息中有潜伏期间的记载的情况下(步骤s1202的“是”)，执行步骤s1203，在威胁信息中没有潜伏期间的记载的情况下(步骤s1202的“否”)，执行下一个步骤s1204。另外，“威胁信息中有潜伏期间的记载”相当于，潜伏信息示出威胁具有潜伏期间。

在步骤s1203，车辆记录收集部140参照并获得威胁信息中记载的潜伏期间内的车辆记录所包括的时刻信息，接着，执行步骤s1205。

在步骤s1204，车辆记录收集部140从威胁信息中所记载的攻击发现日中，参照攻击发现日的前一天(相当于规定的期间)的车辆记录中包括的时刻信息，获得车辆记录，接着，执行步骤s1205。

在步骤s1205，车辆记录收集部140从由车辆记录收集部140存储的车辆记录中，对异常的威胁信息中包括的与车辆识别编号对应的车辆记录进行确定，提取包括异常的位置信息、以及异常的位置信息中的速度信息的车辆状态，接着，执行步骤s1206。

在步骤s1206，车辆记录收集部140获得由车辆记录收集部140存储的所有的车辆记录，将包括步骤s1205的异常的位置信息的车辆记录中包括的车辆识别编号的种类数量作为全体车辆数来算出。在此，通过将全体车辆数设为包括确定的位置信息的车辆记录中所包括的车辆识别编号的种类数，从而，即使在同一车辆反复多次经由同一地点的情况下，也能够将同一地点的全体车辆数仅计数一次，不会对同一车辆进行重复计数。

[异常分数算出流程图]

图13是本实施方式中的入侵地点确定部150的异常分数算出提取处理的流程图。

在步骤s1301，入侵地点确定部150将按照威胁种类和地点的异常分数作为异常分数[i]来存储，接着，执行步骤s1302。在此i是1以上n以下的整数，n是地点的数量，通过i的值，从而由车辆记录收集部140提取的1个地点被确定。

在步骤s1302，入侵地点确定部150将i的值作为1来存储，接着，执行步骤s1303。

在步骤s1303，入侵地点确定部150参照与i的值对应的威胁信息编号，判断威胁信息的攻击源分类是否为“物理”、“局部”或“相邻”。入侵地点确定部150在威胁信息的攻击源分类为“物理”、“局部”或“相邻”的情况下，接着，执行步骤s1304。另外，在威胁信息的攻击源分类不属于上述的任一种的情况下，接着，执行步骤s1305。

在步骤s1304，入侵地点确定部150将异常分数[i]的值作为1来存储，接着，执行步骤s1306。

在步骤s1305，入侵地点确定部150将异常分数[i]的值作为0来存储，接着，执行步骤s1312。

在步骤s1306，入侵地点确定部150参照与i的值对应的威胁信息编号，判断威胁信息的严重程度是否为1以上。在威胁信息的严重程度为1以上的情况下，接着，执行步骤s1307。另外，在威胁信息的严重程度为0的情况下，接着，执行步骤s1308。在此，严重程度是按照cvss而被定义的值，在0至10的值中，值越高严重程度越高。

在步骤s1307，入侵地点确定部150将严重程度的数值加到异常分数[i]的值并存储，接着，执行步骤s1308。

在步骤s1308，入侵地点确定部150参照车辆记录收集部140所提取的与i的值对应的地点中的车辆状态，来判断车辆状态是否处于停车。在车辆状态是停车状态的情况下，接着，执行步骤s1309。另外，在车辆状态不是停车状态的情况下，执行步骤s1310。在此，车辆状态包括速度信息，在车辆的速度为0km/h的情况下被判断为停车状态。

在步骤s1309中，入侵地点确定部150在异常分数[i]的值中加上1来存储，接着，执行步骤s1310。另外，也可以取代在异常分数[i]的值中加上1，而使异常分数[i]的值成为2倍来存储。

在步骤s1310中，入侵地点确定部150参照与i的值对应的车辆记录收集部140所提取的i的值所对应的地点中的全体车辆数，判断全体车辆数是否为1以上。在全体车辆数为1以上的情况下，接着，执行步骤s1311。另外，在全体车辆数不是1以上的情况下，接着，执行步骤s1312。

在步骤s1311，入侵地点确定部150算出异常分数[i]的数值除以全体车辆数的值并存储，接着，执行步骤s1312。

在步骤s1312，入侵地点确定部150在i的数值为n的情况下，与威胁种类建立对应来存储，并结束。另外，在i的数值不是n的情况下，接着，执行步骤s1313。

在步骤s1313中，入侵地点确定部150将i的数值中加上1以后的数值作为i来存储，接着，执行步骤s1303。

[入侵地点确定流程图]

图14是本实施方式中的入侵地点确定部150的入侵地点确定处理的流程图。

在步骤s1401中，入侵地点确定部150针对由威胁信息收集部130存储的所有的威胁信息的每一个，按照从步骤s1301至步骤s1313(参照图13)的异常分数算出流程图，算出各个地点的异常分数，提取与规定的威胁种类对应的异常分数[1]至异常分数[m]，接着，执行步骤s1402。在此，m是与规定的威胁种类对应的威胁信息的数量。规定的威胁种类是威胁信息中包括的威胁种类，按照威胁种类来分别执行入侵地点确定流程。

在步骤s1402中，入侵地点确定部150将各个地点的累积异常分数作为累积异常分数[k]来存储，接着，执行步骤s1403。在此，k是从1至l的数值，l是所有的地点数，是与规定的威胁种类对应的异常分数[1]至异常分数[m]中包括的独特的地点数。

在步骤s1403中，入侵地点确定部150将k作为1来存储。

在步骤s1404中，入侵地点确定部150将累积异常分数[k]作为对异常分数[1]至异常分数[m]全部相加后的值来算出并存储，接着，执行步骤s1405。

在步骤s1405，入侵地点确定部150向入侵地点通知部160发送地点信息和累积异常分数，入侵地点通知部160显示地点信息和累积异常分数，接着，执行步骤s1406。

在步骤s1406中，入侵地点确定部150判断累积异常分数是否为阈值以上。在累积异常分数为阈值以上的情况下，接着，执行步骤s1407，在不是阈值以上的情况下，接着，执行步骤s1408。

在步骤s1407中，入侵地点确定部150判断与累积异常分数对应的地点为入侵地点，接着，执行步骤s1409。

在步骤s1408中，入侵地点确定部150将与累积异常分数对应的地点判断为不是入侵地点，接着，执行步骤s1409。

在步骤s1409中，入侵地点确定部150将与累积异常分数对应的地点信息通知给驾驶人员或安全对策组，接着，执行步骤s1410。

在步骤s1410中，入侵地点确定部150判断k是否与l相等。在k与l相等的情况下(步骤s1410的“是”)，结束图14所示的一系列的处理。另外，在k与l不相等的情况下(步骤s1410的“否”)，接着，执行步骤s1411。

在步骤s1411中，入侵地点确定部150将在k的数值中加上1以后的数值作为k来存储，接着，执行步骤s1404。

(其他的实施方式)

如以上所述，作为本发明所涉及的技术的例子，对实施方式进行了说明。但是，本发明所涉及的技术并非受此所限，进行了适当地变更、替换、附加、省略等后的实施方式也能够适用。例如，以下这种变形例也包括在本发明的一个实施方式中。

(1)在上述实施方式中，虽然作为针对机动车的安全対策进行了说明，但是适用范围并非受此所限。除了机动车以外还可以适用于建筑机械、农业机械、船舶、铁道、或飞机等移动物体。

(2)在上述的实施方式中，虽然对入侵地点确定装置10具备异常检测部120进行了说明，但是，异常检测部120并非是必需的构成要素。在入侵地点确定部150不具备异常检测部120的情况下，可以以从威胁信息共享服务器20接收到威胁信息的定时、通过人发现了异常的定时、定期的定时、或从外部系统接受到异常通知的定时，由异常检测部120来收集威胁信息和车辆记录，并由入侵地点确定部150算出异常分数。

(3)在上述的实施方式中，虽然对车辆记录发送装置30设置在车辆内进行了说明，车辆记录发送装置30可以是对多个车辆记录进行归纳发送的边缘服务器，也可以是对车辆记录进行收集的云服务器。

(4)在上述的实施方式中，虽然对异常检测部120利用威胁信息或车辆记录的can网络交通来检测异常进行了说明，不过也可以是can-fd、ethernet、lin、flexray，或者可以是对这些分别进行了组合的构成，也可以是利用车辆系统所输出的系统记录，在系统记录中包括错误的情况下，作为异常来检测。

(5)在上述的实施方式中虽然对威胁信息收集部130收集图3所示的威胁信息进行了说明，也可以在入侵地点的原因分析时收集更有帮助的攻击者的档案信息(profilinginformation)。

(6)在上述的实施方式中虽然对车辆记录收集部140收集图4所示的车辆记录进行了说明，车辆识别编号也可以不是由制造方赋予的能够识别个人的编号，也可以是匿名的数值。并且，时刻也可以不是绝对时刻，而可以是相对时刻。并且，位置信息也可以不是秒单位，可以是分单位或度单位。并且，车辆状态也可以不是速度信息的本身的值，而可以是表示停车中或行使中的标签。

(7)在上述的实施方式中虽然对入侵地点确定部150算出图5所示的异常分数并按照威胁种类来存储进行了说明，不过也可以不与威胁种类相对应地存储。在不与威胁种类进行对应存储的情况下，入侵地点确定部150不是按照威胁种类，而是可以针对所有的威胁种类，算出各个地点的累积异常分数。

(8)在上述的实施方式中虽然对入侵地点确定部150以图5所示的纬度和经度来划分地点，并按照该划分的地点来存储异常分数进行了说明，不过也可以不是按照纬度和经度来划分地点，可以按照充电装置、氢站、加油站、停车场、修理企业的修理点、进行车检的地点、进行租车的店铺、汽车共享业主的店铺、车辆制造工厂、交叉点、道路、或交通信号机等任意的地点来算出。

(9)在上述的实施方式中虽然说明的是，入侵地点确定部150针对图5所示的异常分数，在以规定的距离能够攻击的情况下，作为基准点而设定1，对cvss的严重程度进行加分，在车辆状态为停车时则是2倍，以全体车辆数进行乘法运算来算出，不过也可以通过任意的一个来算出，并且可以通过任意的组合来算出。

(10)在上述的实施方式中虽然对入侵地点确定部150算出图5所示的异常分数进行了说明，基准点的可取数值也可以是任意的值。并且，严重程度也可以不用cvss的值，而是由人来判断，作为严重程度而加的分数可以是任意的值。并且，车辆状态虽然以停车中和行使中这两种状态进行了判断，不过也可以按照车辆的移动速度，在越接近于停车时，则以车辆状态加分增高的方式来进行变更，车辆状态加分也可以不是乘法。并且，全体车辆数也可以不是全体车辆数本身的值，而可以是作为表示全体车辆数之中的异常的车辆数的比例来存储。

(11)在上述的实施方式中虽然说明了，入侵地点确定部150在累积异常分数为阈值以上的情况下，作为入侵地点来确定，不过阈值可以是预先设定的，也可以是从全体的累积异常分数的比例中算出的。

(12)在上述的实施方式中虽然对入侵地点通知部160将累积异常分数显示在地图上进行了说明，累积异常分数也可以通过表的形式，以数值来表示，也可以通过弹出通知来表示。

(13)在上述的实施方式中虽然对入侵地点通知部160针对累积异常分数的数值以图形来表示进行了说明，不过也可以利用颜色，以数值的大小的方式来表示。

(14)在上述的实施方式中虽然说明了，入侵地点通知部160按照地点而在累积异常分数地图上进行显示，不过也可以针对受到攻击的车辆所经由的地点和对地点进行连接的路径，以图形或颜色的表现方式而显示在地图上。

(15)在上述的实施方式中虽然说明了，入侵地点通知部160从入侵地点确定部150接收了入侵地点的信息之后，通知给驾驶人员或安全对策组，不过也可以通知给警察、交通机关，还可以通知给漏洞信息的共享机关。

(16)构成上述实施方式中的各装置的构成要素的一部分或全部可以由1个系统lsi(largescaleintegration：大規模集成电路)来构成。系统lsi是将多个构成部集成制造在一个芯片上的超多功能lsi，具体而言是包括微型处理器、rom、ram等而倍被构成的计算机系统。在所述ram中记录有计算机程序。所述微型处理器按照所述计算机程序来工作，从而使系统lsi实现其功能。并且，构成上述各装置的构成要素的各个部可以被分别制成一个芯片，也可以是其中的一部分或全部被制成一个芯片。并且，在此虽然是系统lsi，不过根据集成的程度的不同，也有称为ic、lsi、超级lsi、极超级lsi的情况。并且，作为集成电路化的方法并非受lsi所限，也可以通过专用电路或通用处理器来实现。在lsi制造后，也可以利用可编程的fpga(fieldprogrammablegatearray：现场可编程门阵列)、或能够对lsi内部的电路单元的连接或设定进行重构的可重装处理器。而且，随着半导体技术的进步或派生出的其他的技术，而出现了替代lsi的集成电路化技术的情况下，当然可以利用该技术来进行功能块的集成化。也有生物技术的适用等可能性。

(17)构成上述各个装置的构成要素的一部分或全部，也可以由可装拆于各个装置的ic卡或单体的模块来构成。所述ic卡或所述模块是由微型处理器、rom、ram等构成的计算机系统。所述ic卡或所述模块可以包括上述的超多功能lsi。微型处理器通过按照计算机程序来工作，从而使所述ic卡或所述模块实现其功能。该ic卡或该模块也可以具有防篡改性。

(18)作为本发明的一个形态，可以是由计算机来实现异常检测的方法的程序(计算机程序)，也可以是由所述计算机程序构成的数字信号。并且，作为本发明的一个形态，可以作为记录了所述计算机程序或所述数字信号的计算机可读取的记录介质来实现，所述记录介质例如是软盘、硬盘、cd-rom、mo、dvd、dvd-rom、dvd-ram、bd(blue―ray(注册商标)disc)、半导体存储器等。并且，也可以作为被记录在这些记录介质的所述数字信号来实现。并且，作为本发明的一个形态，也可以对所述计算机程序或所述数字信号，通过电信线路、无线或有线通信线路、以互联网为代表的网络、数据播放等来传输。并且，作为本发明的一个形态，可以是具备微型处理器或存储器的计算机系统，所述存储器记录上述的计算机系统，所述微型处理器按照所述计算机程序来工作。并且，可以通过将所述程序或所述数字信号记录到所述记录介质来传送，或者通过将所述程序或所述数字信号经由所述网络等来传送，据此，可以通过独立的其他的计算机系统来执行。

(19)通过对上述的实施方式以及上述的变形例所示的各个构成要素以及功能进行任意地组合来实现的形态也包括在本发明的范围内。

本发明的车载网络系统中的入侵地点确定装置能够适用于对入侵到移动体的威胁的入侵地点进行确定的装置。更具体而言，能够利用包括多个车辆的威胁信息和位置信息的记录，从受到了攻击受害的车辆中，将多数的车辆在受到攻击受害以前所经由的地点判断为是入侵地点的可能性高，据此能够对入侵地点进行确定。这样，通过将入侵地点通知给安全对策组，向周围进行调查或驾驶人员发出不要接近入侵地点周边的警告等，据此能够进一步抑制攻击受害，从而有助于机动车的安全性的提高。

符号说明

10入侵地点确定装置

20威胁信息共享服务器

30车辆记录发送装置

110通信部

120异常检测部

130威胁信息收集部

140车辆记录收集部

150入侵地点确定部

160入侵地点通知部