异常检测装置以及异常检测方法与流程

本公开涉及对搭载于移动体的网络系统中的异常进行检测的异常检测装置以及异常检测方法。

背景技术：

专利文献1中公开了用于控制车辆的车内网络系统。

现有技术文献

专利文献1：日本特开2012-6446号公报

技术实现要素：

发明所要解决的问题

在专利文献1的技术中，有可能无法在如车辆这样的移动体所搭载的网络系统中有效地检测异常。

本公开的目的在于，提供能够在移动体所搭载的网络系统中有效地检测异常的异常检测装置以及异常检测方法。

用于解决问题的技术方案

为了解决上述问题，本公开的一个技术方案涉及的异常检测装置，其检测移动体所搭载的网络系统中的异常，所述网络系统具有通信协议互不相同的第1网络和第2网络，所述异常检测装置具备：第1通信部，其接收从所述第2网络取得的表示所述移动体的状态的状态信息；第2通信部，其收发(接收和发送)根据所述第1网络的通信协议的第1帧(frame)；异常检测规则保持部，其保持异常检测规则；以及异常检测处理部，其参照所述状态信息和所述异常检测规则，检测在所述第2通信部中接收到的所述第1帧所包含的控制指令(command，命令)是否异常，所述异常检测处理部在检测到所述控制指令异常的情况下禁止该控制指令的转发。

此外，这些总括性的或者具体的技术方案可以通过系统、方法、集成电路、计算机程序或者计算机可读取的cd-rom等记录介质来实现，也可以通过系统、方法、集成电路、计算机程序以及记录介质的任意组合来实现。

发明效果

根据本公开的异常检测装置以及异常检测方法，能够在移动体所搭载的网络系统中有效地检测异常。

附图说明

图1是实施方式1中的车载网络的整体结构图。

图2是表示第2网络中所收发的数据帧(can帧)的格式(format)的图。

图3是表示第1网络中所收发的e帧的格式的图。

图4是表示e帧的有效载荷(payload)内的数据结构例的图。

图5是表示can网关的功能结构的一例的框图。

图6是表示实施方式1涉及的can网关基于接收到的多个can帧来发送e帧的样子(image)的图。

图7是表示自动驾驶dcu的功能结构的一例的框图。

图8是表示交换规则保持部所保持的交换规则(switchrule)的一例的图。

图9是表示实施方式1涉及的自动驾驶dcu的异常检测规则保持部所保持的异常检测规则的一例的图。

图10是表示实施方式1涉及的网络系统中的异常检测方法的一例的时序图。

图11是表示实施方式1涉及的网络系统中的异常检测方法的一例的时序图。

图12是表示实施方式2涉及的can网关基于接收到的多个can帧来发送e帧的样子的图。

图13是表示实施方式2涉及的自动驾驶dcu的异常检测规则保持部105所保持的异常检测规则的一例的图。

图14是表示实施方式2涉及的网络系统中的异常检测方法的一例的时序图。

图15是表示实施方式2涉及的网络系统中的异常检测方法的一例的时序图。

图16是表示实施方式3涉及的can网关基于接收到的多个can帧来发送e帧的样子的图。

图17是表示实施方式3的自动驾驶dcu中的定义了进行can的异常检测时的检测规则的表的图。

具体实施方式

(成为本发明的基础的见解)

关于在“背景技术”中记载的车内网络系统，本发明的发明人发现会产生以下的问题。

近年来，在汽车中的系统内，配置有许多被称为电子控制单元(ecu：electroniccontrolunit)的装置。连接这些ecu的网络被称为车载网络。车载网络存在许多标准。在其中最为主流的车载网络之一，存在由iso11898-1规定的can(controllerareanetwork：控制器局域网络)这一标准。另外，作为用于传输更多信息的标准，存在由ieee802.3规定的ethernet(注册商标，以太网)这一标准。

在先进驾驶辅助系统和/或自动驾驶中，需要处理如通过摄像头(camera)或lidar(lightdetectionandranging：激光雷达)等传感器得到的数据、或者动态地图(dynamicmap)中使用的数据这样的庞大的量的信息，因而正在引入数据传输速度高的ethernet(注册商标)。另一方面，现有的can也被作为车辆控制系统加以利用。因此，can和ethernet(注册商标)混在一起的车载网络体系结构在增多。

将汽车与外部网络连接，逐渐推进汽车的电子控制化。由此，汽车存在由于汽车的控制系统指令被篡改而被不正常操作的威胁。为了保护其不受那样的威胁，在专利文献1的技术中，在从后来安装的电子控制装置对车内网络系统的车辆控制系统网络发送数据的情况下，进行了能否将发送到车内网络的信息系统网络的数据向车辆控制系统网络转发的判断。然而，在专利文献1的技术中，没有依据遵从于多个不同的通信协议而流通的信息进行能否转发的判断。因此，在现有技术中，例如存在如下问题：当在根据如can以及ethernet(注册商标)这样的互不相同的通信协议的多个网络之间进行数据的转发的情况下，无法适当地进行能否转发的判断。

本发明人在认真研究之后，发现了通过参照遵从于多个不同的通信协议而流通的信息并判断车辆控制系统的消息是否不正常从而用于实现安全的自动驾驶或先进驾驶辅助系统的异常检测装置以及异常检测方法。

本公开的一个技术方案涉及的异常检测装置，其检测移动体所搭载的网络系统中的异常，所述网络系统具有通信协议互不相同的第1网络和第2网络，所述异常检测装置具备：第1通信部，其接收从所述第2网络取得的表示所述移动体的状态的状态信息；第2通信部，其收发根据所述第1网络的通信协议的第1帧；异常检测规则保持部，其保持异常检测规则；以及异常检测处理部，其参照所述状态信息和所述异常检测规则，检测在所述第2通信部中接收到的所述第1帧所包含的控制指令是否异常，所述异常检测处理部在检测到所述控制指令异常的情况下禁止该控制指令的转发。

由此，异常检测装置基于异常检测规则和从第2网络获得的移动体的状态信息，检测被生成的自动驾驶的控制指令是否异常。因此，能够在移动体所搭载的网络系统中有效地检测异常。

另外，异常检测装置禁止对检测出有异常的控制指令的转发。因此，例如即使在连接于第1网络的设备有脆弱性并经由第1网络受到攻击的情况下，异常检测装置也能够防止不正常的自动驾驶控制。能够在异常检测时防止诸如自动驾驶和/或先进驾驶系统之类的车辆控制指令的执行。

另外，也可以为，所述异常检测规则包含表示在所述移动体的不同的多个状态的每个状态下所允许的控制指令的第1规则，所述异常检测处理部在所述状态信息所示的所述移动体的状态不包含于所述控制指令在所述第1规则中相关联的状态的情况下，检测为所述控制指令异常。

由此，异常检测装置例如能够基于目前的车速、转向器(steering)的操舵角度状态、挡位(shiftposition)等车辆状态来检测车辆控制指令的异常。

另外，也可以为，所述控制指令是使所述移动体执行前行、转弯和停止中的至少一个的控制指令。

由此，异常检测装置例如能够检测行驶中的急转弯、急刹车和/或急加速、停车中的急起动等、自动驾驶或者先进驾驶辅助系统的控制指令的异常，提供安全的驾驶环境。

另外，也可以为，所述第1网络是ethernet(注册商标)的网络，所述第2网络是can的网络，所述第1通信部通过接收包含所述状态信息的can帧来接收所述状态信息，所述异常检测规则还包含用于检测所述can帧是否异常的第2规则，所述异常检测处理部进而在检测到所述can帧异常的情况下禁止所述控制指令的转发。

由此，能够在检测了can帧的异常之后进行车辆控制指令的执行。

另外，也可以为，所述第1网络是ethernet(注册商标)的网络，所述第2网络是can的网络，所述第1通信部接收作为保存有表示所述状态信息的can帧的ethernet(注册商标)帧的第2帧。

由此，能够使得表示状态信息的can帧保存于ethernet(注册商标)帧，通过ethernet(注册商标)上的设备进行can帧的异常检测。

另外，也可以为，所述第2帧保存有包括表示所述状态信息的can帧的多个can帧，所述异常检测规则还包含用于检测所述多个can帧的每一个是否异常的第2规则，所述多个can帧的每一个具有按种类而不同的标识符，所述第2规则表示在与多个所述标识符的每一个对应的can帧中所允许的can帧的接收周期的范围，所述异常检测处理部使用分别与所述多个can帧对应的接收时刻，在彼此具有相同的标识符的所述多个can帧之中，在第1can帧的第1接收时刻与比所述第1can帧早一帧接收到的第2can帧的第2接收时刻的差量处于在所述第2规则中与所述相同的标识符相关联的接收周期的范围外的情况下，检测为所述第1can帧异常。

由此，即使是在第2网络上发生了异常的情况下，也能够在第1网络中的设备中检测具有周期性的can帧的异常，因此能够安全地使自动驾驶和/或先进驾驶辅助系统停止。

另外，也可以为，所述第2规则还表示在与多个所述标识符的每一个对应的状态信息中所允许的变化量，所述变化量是从该状态信息的前一个状态信息的数据值起的变化量，所述异常检测处理部进而在所述第1状态信息的第1数据值和所述第2状态信息的第2数据的差量超过在所述第2规则中与所述相同的标识符相关联的所述变化量的情况下，检测为所述第1状态信息异常。

由此，利用异常检测装置，即使是在第2网络上发生了异常的情况下，也能够在第1网络中的设备中检测can帧的数据值的异常，因此能够停止自动驾驶。

另外，也可以为，所述第2帧保存有包括表示所述状态信息的can帧的多个can帧，所述异常检测规则还包含用于检测所述多个can帧的每一个是否异常的第3规则，所述多个can帧的每一个具有按种类而不同的标识符，所述第3规则表示在与多个所述标识符的每一个对应的can帧中所允许的can帧的接收周期的范围，所述异常检测处理部使用分别与所述多个can帧对应的接收时刻，在彼此具有相同的标识符的所述多个can帧之中，在第1can帧的第1接收时刻与比所述第1can帧早一帧接收到的第2can帧的第2接收时刻的差量处于在所述第3规则中与所述相同的标识符相关联的接收周期的范围内的情况下，检测为所述第1can帧异常。

由此，即使是在第2网络上发生了异常的情况下，也能够在第1网络中的设备中检测具有周期性的can帧的异常，因此能够安全地使自动驾驶和/或先进驾驶辅助系统停止。

另外，也可以为，所述第3规则还表示在与多个所述标识符的每一个对应的can帧中所允许的变化量，所述变化量是从该can帧的前一个can帧的数据值起的变化量，所述异常检测处理部进而在所述第1can帧的第1数据值和所述第2can帧的第2数据值的差量处于在所述第3规则中与所述相同的标识符相关联的所述变化量的范围内的情况下，检测为所述第1can帧异常。

由此，利用异常检测装置，即使是在第2网络上发生了异常的情况下，也能够在第1网络中的设备中检测can帧的数据值的异常，因此能够停止自动驾驶。

另外，也可以为，所述异常检测处理部取得与多个所述标识符的每一个相关联的规则作为所述异常检测规则，参照所述异常检测规则来检测所述状态信息异常。

由此，例如能够在第2网络侧的处理紧迫时，通过第1网络上的设备实施第2网络上的异常检测，分散负荷。

此外，这些总括性的或者具体的技术方案可以通过系统、方法、集成电路、计算机程序或者能够由计算机读取的cd-rom等记录介质来实现，也可以通过系统、方法、集成电路、计算机程序以及记录介质的任意组合来实现。

以下，参照附图，对实施方式涉及的异常检测装置以及异常检测方法进行说明。在此所示的实施方式都是表示本公开的一个具体例子的实施方式。因此，在以下的实施方式中表示的数值、构成要素、构成要素的配置和连接方式、以及作为处理的要素的步骤和步骤的顺序等仅为一例而不限定本公开。对于以下的实施方式中的构成要素中的、没有记载在独立权利要求中的构成要素，是可以任意附加的构成要素。另外，各附图为示意图，不一定是严格图示。

(实施方式1)

图1是实施方式1中的车载网络的整体结构图。

车辆1的网络系统3是搭载有控制装置、传感器、致动器、用户接口装置等各种设备的车辆1中的网络通信系统。网络系统3具有第1网络10和第2网络20。车辆1是移动体的一例。第1网络10是遵循ethernet(注册商标)协议进行ethernet(注册商标)帧(以下称为“e帧”)的传输的ethernet(注册商标)网络。第2网络20是遵循can协议通过总线进行数据帧(can帧)等的传输的can网络。

如图1所示，网络系统3构成为包括中央网关400、远程信息控制单元(telematicscontrolunit)410、诊断端口420、自动驾驶dcu(domaincontrolunit)100、自动驾驶ecu110、摄像头120、lidar130、动态地图ecu140、信息娱乐dcu300、ivi(in-vehicleinfotainment：车载信息娱乐系统)310、can网关200、发动机ecu210、转向器ecu220、制动器ecu230、车窗ecu240、第1传输线路11和第2传输线路21。第1传输线路11是第1网络10的传输线路，例如是ethernet(注册商标)电缆。第2传输线路21是第2网络20的传输线路，例如是can总线。

此外，在网络系统3中，除了上述的各ecu110、140、210、220、230、240或各dcu100、300之外，可以还包括若干个ecu或dcu。例如，在第2传输线路21上，除了各ecu210、220、230、240以外，也可以连接有未图示的ecu。

各ecu110、140、210、220、230、240或各dcu100、300例如是包括处理器(微处理器)、存储器等的数字电路、模拟电路、通信电路等的装置。存储器是rom、ram等，能够存储由处理器执行的程序(作为软件的计算机程序)。作为存储器，也可以包括非易失性存储器。例如处理器按照程序(计算机程序)进行工作，由此ecu会实现各种功能。此外，计算机程序是为了实现预定功能而组合多个表示对处理器的指令的命令码而构成的。

各ecu210、220、230、240遵循can协议进行帧的授受。各ecu210、220、230、240分别连接于诸如发动机、转向器、制动器、车窗开闭传感器之类的设备，取得该设备的状态，例如周期性地将表示状态的数据帧发送到通过第2传输线路21等构成的第2网络20。另外，各ecu210、220、230、240从构成第2网络20的第2传输线路21接收数据帧，解释数据帧并进行数据帧是否具有应该接收的can-id的判别。而且，判别的结果，各ecu210、220、230、240既可以根据需要按照数据帧内的数据(数据域的内容)进行连接于该ecu的设备的控制，也可以根据需要生成并发送数据帧。

各ecu110、140或各dcu100、300遵循ethernet(注册商标)协议进行e帧的发送或接收。各dcu100、300分别连接于诸如ivi310、自动驾驶ecu110、摄像头120、lidar130、动态地图ecu140之类的设备，进行基于从该设备取得的信息的处理。另外，各dcu100、300既可以根据需要控制所连接的设备，也可以根据需要进行向其他ecu发送信息。

对于中央网关400，通过第1传输线路11连接有远程信息控制单元410和诊断端口420、自动驾驶dcu100、can网关200、以及信息娱乐dcu300。中央网关400例如包括存储器等的数字电路、模拟电路、通信电路等。

远程信息控制单元410是车辆1与位于外部网络30上的服务器2进行通信的单元。远程信息控制单元410例如既可以具有适于如第三代移动通信系统(3g)、第四代移动通信系统(4g)或lte(注册商标)等这样的移动通信系统中所利用的通信标准的无线通信接口，也可以具有适于ieee802.11a、b、g、n标准的无线局域网(lan：localareanetwork)接口。也即是说，外部网络30是手机通信网、wi-fi等。服务器2例如是具有对车辆1的ecu提供信息的功能等的计算机。

诊断端口420是用于经销商(dealer)用以诊断车辆1的故障的端口，是收发诊断用的指令所利用的端口。

自动驾驶dcu100通过第1传输线路11与自动驾驶ecu110、摄像头120、lidar130和动态地图ecu140相连接。

自动驾驶ecu110生成控制车辆1的驾驶的控制指令。具体而言，自动驾驶ecu110生成控制进行车轮的操舵的转向器、使车轮旋转驱动的发动机、马达等驱动源、制动车轮的制动器等的控制指令。也即是说，控制指令是使车辆1执行前行(也即是说行驶)、转弯和停止中的至少一个的控制指令。自动驾驶ecu110将生成的控制指令发送到第2网络20。

摄像头120是拍摄车外状况、也即是说车辆1周围的摄像头。摄像头120例如也可以配置在车辆1的车体外侧。

lidar130是用于感测车外的障碍物的传感器。lidar130例如是检测与处于车辆1的水平方向上的360度全方位以及垂直方向上的预定角度(例如30度)的角度范围的检测范围内的物体之间的距离的激光传感器。lidar130通过对车辆1周围发射激光并检测被周围物体反射的激光，由此计测从lidar130到物体的距离。

动态地图ecu140是用于接收动态地图所用的数据并使用接收到的数据来解密动态地图的电子控制单元。解密出的动态地图例如被用于自动驾驶ecu110的自动驾驶的控制。

can网关200是连接于第2网络20以及第1网络10的网关。在本实施方式中，第2网络20具备如下两条can总线：发动机ecu210、转向器ecu220、制动器ecu230的控制系统总线；控制车窗开闭的车窗ecu240所连接的车身(body)系统总线。can网关200包括处理器、存储器等的数字电路、模拟电路、通信电路等。can网关200具有将从两条传输线路11、21中的一条传输线路接收到的帧转发(或者中继)到另一条传输线路的功能。由can网关200对帧的转发是帧所涉及的数据的中继。can网关200也可以在帧的转发中进行与在转发目的地的传输线路上所使用的通信协议对应的通信方式、帧格式等的变换。另外，can网关200也可以对应于从一条以上的传输线路接收到的一个以上的帧来进行一个以上的帧的向一条以上的多条传输线路的发送，作为在传输线路间的帧的转发。

信息娱乐dcu300通过第1传输线路11与ivi310相连接，进行信息系统网络的域管理。ivi310具备显示器，是具有诸如影像、声音等的再现之类的多媒体功能的装置。

图2是表示第2网络中所收发的数据帧(can帧)的格式的图。

在第2网络20中，各ecu210、220、230、240等遵循can协议进行帧的授受。can协议中的帧有数据帧、远程帧、过载帧以及错误帧，但这里主要关注数据帧来进行说明。

图2的(a)是标准格式。在标准格式中，数据帧由sof(startofframe：帧起始)、id(can-id)、rtr(remotetransmissionrequest：远程传输请求)、ide(identifierextension：标识符扩展)、预留位“r”、大小(size)、数据、crc(cyclicredundancycheck：循环冗余校验)序列、crc定界符“del”、ack(acknowledgement：应答)间隙(slot)、ack定界符“del”以及eof(endofframe：帧结束)构成。在此，作为id域的内容的id(can-id)是表示数据种类的标识符，也被称为消息id。也即是说，can帧按每个种类具有不同的标识符。此外，关于can，在多个节点同时开始发送的情况下，做出使该can-id具有小值的帧优先的通信仲裁(调停)。大小是表示后续的数据域(数据)的长度的dlc(datalengthcode)。关于数据(数据域的内容)的规格，没有在can协议中规定，而在网络系统3中确定。因此，能够成为取决于车辆的车型、制造者(制造商)等的规格。

图2的(b)是扩展格式。在本实施方式中设为在第2网络20中使用了标准格式来进行说明，而在第1网络10中使用扩展格式的情况下，只要将使11比特(位)的id域的基础id(can-id的一部分)和18比特的扩展id(can-id的剩余部分)合在一起的29比特视为can-id即可。

图3是表示第1网络中所收发的e帧的格式的图。

如该图所示，e帧由保存作为主要传输内容的数据的ethernet(注册商标)有效载荷(也称为“e有效载荷”。)和ethernet(注册商标)头(也称为“e头”。)构成。e头中包含接收方mac地址以及发送源mac地址。另外，e有效载荷中包含ip头、tcp/udp头以及数据。ip头中包含发送源ip地址以及发送目的地ip地址。此外，在图3中，ip头表示为“ipv4头”。tcp/udp头表示tcp头或者udp头，tcp/udp头中包含发送源端口号以及发送目的地端口号。

网络系统3中的can网关200在将从can总线接收到的can帧向第1网络10转发时发送包含多个can帧信息的e帧。can帧信息是从通过can总线传输来的can帧中提取到的信息，至少包含数据域的内容(数据)。can帧信息例如也可以包含can-id以及大小。

将图3所示的e帧的有效载荷内的数据结构例表示于图4。在图4的例子中，can帧信息由can-id、大小以及数据构成。图4的消息数(msg数)表示can帧信息的个数。此外，也可以取代消息数而使用表示can帧信息整体的数据量等的信息。另外，can标志是用于识别e帧是否包含从第2网络20传输的信息(也即是说can帧信息)的识别标志，是当在e帧的e有效载荷中包含can帧信息的情况下设为on(是)、否则设为off(否)(也即是说表示与on相反的信息的值)的标志。在图4的例子中，表示了在e帧的e有效载荷的最前头配置can标志的例子，但这不过是一例。通过如图4的例子这样使多个can帧信息包含于e帧的e有效载荷，例如传输效率能够提高。

图5是表示can网关的功能结构的一例的框图。

如该图所示，can网关200具备ethernet(注册商标)收发部201(以下称为“e收发部201”。)、can收发部202a、202b、转发控制部203、以及转发规则保持部204。这些各构成要素由can网关200中的通信电路、存储器、数字电路、执行存储器所保存的程序的处理器等来实现。

e收发部201是连接于构成第1网络10的第1传输线路11的通信电路等。e收发部201从第1传输线路11接收e帧。另外，e收发部201向第1传输线路11发送e帧。

can收发部202a是连接于构成第2网络20的can总线21a的通信电路等。can收发部202a从can总线21a逐次接收can帧。另外，can收发部202a向can总线21a发送can帧。

can收发部202b是连接于构成第2网络20的can总线21b的通信电路等。can收发部202b从can总线21b逐次接收can帧。can收发部202b向can总线21b发送can帧。

转发规则保持部204通过存储器等存储介质实现，保持确定帧转发的条件等的基准信息。基准信息例如是使转发对象的can-id以及转发源的总线与接收方(mac地址等)相关联的转发规则信息、使优先转发对象的can-id以及转发源的总线与接收方相关联的优先转发列表等。

转发控制部203例如通过执行程序的处理器等实现，判定是否应该转发接收到的帧并根据判定结果进行转发所涉及的控制。该转发所涉及的控制例如是如下控制：使e收发部201基于逐次接收到的多个can帧，将含有多个can帧信息作为有效载荷的e帧向第1传输线路11进行发送。

图6是表示实施方式1涉及的can网关200基于接收到的多个can帧(can帧1～n)来发送e帧的样子的图。

如该图所示，can网关200在转发帧时，变更帧的结构。被发送的e帧的有效载荷中例如包含作为预先确定的数量的n个can帧信息。该n个can帧信息的数据是所接收到的n个can帧的数据域的内容(数据)等。被接收并等待转发的can帧的内容例如保存于can网关200所具备的存储器等存储介质(缓冲器)。图6的包含n个can帧信息的e帧例如将会经由中央网关400而被接收方的ecu或者dcu(例如信息娱乐dcu300)接收。作为e帧的头的发送源mac地址，设定有can网关200的mac地址，在e帧的e有效载荷中设定有表示包含can帧信息这一情况的设为on的can标志。作为e帧的接收方mac地址，按照转发规则保持部204保持的转发规则信息等，设定有成为接收方的ecu或者dcu的mac地址。

此外，在本实施方式中，can网关200为了检测自动驾驶的控制指令的异常，将流通于第2网络20的包含表示车辆状态的状态信息的n个can帧结合从而变换成一个e帧。在本实施方式中，can帧所包含的车辆状态是当前的车速、转向器的角度、挡位等。车辆状态是移动体的状态的一例。

转发控制部203根据判定等的结果来在一定条件下控制e收发部201、can收发部202a、202b，使之进行帧的发送。对于由can收发部202a、202b接收到的can帧，转发控制部203基于can-id来判定该can帧的数据是否应该被发送到第1网络10。该判定例如按照预先确定的与can-id有关的基准信息来进行。另外，转发控制部203按照基准信息来选定can帧的数据的接收方。can帧是否应该被发送到第1网络10的判定以及包含can帧的数据的帧(e帧或can帧)的接收方的选定例如使用转发规则信息来进行，所述转发规则信息表示数据应该被发送到第1网络10的一个以上的can帧的can-id等。

图7是表示自动驾驶dcu100的功能结构的一例的框图。

如该图所示，自动驾驶dcu100具有第1通信部101a、第2通信部101b、交换处理部102、交换规则保持部103、异常检测处理部104、以及异常检测规则保持部105。自动驾驶dcu100是异常检测装置的一例。

第1通信部101a在本实施方式中具备一个ethernet(注册商标)端口(端口p1)。端口p1与中央网关400通过第1传输线路11相连接。也即是说，第1通信部101a在与中央网关400之间进行数据的收发。也即是说，第1通信部101a接收保存有can帧作为数据的e帧。由此，第1通信部101a通过接收can帧来接收can帧所包含的状态信息。

第2通信部101b在本实施方式中具备四个ethernet(注册商标)端口(端口p2～p5)。端口p2～p5分别与摄像头120、lidar130、动态地图ecu140以及自动驾驶ecu110通过第1传输线路11相连接。也即是说，第2通信部101b收发根据第1网络10的通信协议(也即是说ethernet(注册商标)协议)的第1帧(也即是说e帧)。另外，第2通信部101b包括进行在端口p1的e帧的收发的第1通信部101a。

交换处理部102进行如下处理：将由第2通信部101b接收到的e帧基于交换规则保持部103所保持的规则转发到适当的转发目的地。

图8是表示交换规则保持部103所保持的交换规则的一例的图。

如该图所示，交换规则由输入端口、发送源ip地址、发送源mac地址、输出端口、发送目的地ip地址、发送目的地mac地址构成。本实施方式中的交换规则是表示正常的e帧的正确的转发目的地的白名单(whitelist)。在交换规则中，例如表示了允许来自can网关200的e帧经由中央网关400而在端口p1被接收并向连接于端口p5的自动驾驶ecu110进行转发的路径。在该情况下，在成为输入端口的端口p1接收的e帧的发送源mac地址设定成了中央网关400的mac地址，发送源ip地址设定成了can网关200的ip地址。另一方面，成为输出端口的端口p5所连接的发送目的地ip地址以及发送目的地mac地址中设定有自动驾驶ecu的ip地址以及mac地址。

另外，在图8的交换规则中，表示了允许连接于端口p2的摄像头120、连接于端口p3的lidar130以及连接于端口p4的动态地图ecu140向端口p5所连接的自动驾驶ecu110的转发。另外，来自端口p5所连接的自动驾驶ecu110的e帧需要向can网关200发送，因此，发送目的地ip地址中设定有can网关200的ip地址，发送目的地mac地址中设定有中央网关的mac地址。

此外，在交换规则中，输入或输出的发送源以及发送目的地由ip地址以及mac地址进行了定义，但不限定于此。例如，既可以仅定义有ip地址，也可以仅定义有mac地址。另外，在交换规则中，既可以定义有除ip地址或mac地址以外的能够识别发送源或发送目的地的信息，也可以定义有服务端口号。由此，能够将输入或输出的发送源以及发送目的地限制于由交换规则所允许的路径。

图8的交换规则是由白名单定义的，但也可以由黑名单来定义。另外，图8中示出的交换规则是一部分，并非全部。也即是说，交换规则设定为包罗所需的路径。

异常检测处理部104参照由第1通信部101a经由can网关200从第2网络20接收到的车辆1的状态信息、和异常检测规则保持部105所保持的异常检测规则，检测在第2通信部101b中接收到的e帧所包含的控制指令是否异常。控制指令例如是自动驾驶ecu110生成的自动驾驶控制指令。异常检测处理部104在判断为控制指令正常的情况下，使第2通信部101b将该控制指令从中央网关400经由can网关200向第2网络20发送。异常检测处理部104在判断为控制指令异常的情况下，禁止由第2通信部101b对控制指令的向第2网络20的转发。

图9是表示实施方式1涉及的自动驾驶dcu100的异常检测规则保持部105所保持的异常检测规则的一例的图。异常检测规则是以从第2网络20取得的车辆状态为基础的ethernet(注册商标)中的自动驾驶控制被允许的规则。也即是说，异常检测规则包含表示在车辆的多个状态的每个状态下所允许的控制指令的第1规则。

如该图所示，异常检测规则的第1规则表示根据车辆1的车速状态以及换挡状态所允许的、车速指示和操舵指示的组合。此外，所谓车速状态，表示车辆1的行驶中的速度，例如将0km/h以上且不足30km/h的速度范围、30km/h以上且不足60km/h的速度、和60km/h以上且100km/h以下分别定义为低速、中速和高速。另外，所谓换挡状态，表示挡位，例如为停车挡(p)、倒车挡(r)、空挡(n)、前进挡(d)等。车速指示表示从当前车速起所允许的增减速度值。另外，操舵指示表示从当前的转向器的转动角度起所允许的增减角度。

在第1规则中，例如在车速状态为低速、并且换挡状态为前进挡(d)时，如果自动驾驶控制中的车速指示为距状态信息所示的目前的车速在10km/h的范围内，则允许增减车速。另外，在第1规则中，例如在车速状态为中速、并且换挡状态为前进挡(d)时，如果自动驾驶控制中的车速指示为距状态信息所示的目前的车速在20km/h的范围内，则允许增减车速。另外，在第1规则中，例如在车速状态为高速、并且换挡状态为前进挡(d)时，如果自动驾驶控制中的车速指示为距状态信息所示的目前的车速在30km/h的范围内，则允许增减车速。

在第1规则中，关于操舵指示的转向器的转动指示角度，也与车速同样进行了定义。也即是说，在第1规则中，例如在车速状态为低速、并且换挡状态为前进挡(d)时，如果自动驾驶控制中的操舵指示为距状态信息所示的目前的转向器的角度在左右360度以内，则允许变更转向器的角度。另外，在第1规则中，例如在车速状态为中速、并且换挡状态为前进挡(d)时，如果自动驾驶控制中的操舵指示为距状态信息所示的目前的转向器的角度在左右180度以内，则允许变更转向器的角度。另外，在第1规则中，例如在车速状态为高速、并且换挡状态为前进挡(d)时，如果自动驾驶控制中的操舵指示为距状态信息所示的目前的转向器的角度在左右90度以内，则允许变更转向器的角度。

异常检测处理部104在状态信息所示的车辆1的状态不包含于控制指令在第1规则中相关联的状态的情况下，检测为控制指令异常。也即是说，异常检测处理部104例如在由第2通信部101b接收到包含超过在第1规则中关联于车辆状态的所允许的车速增减的范围的车速指示、或者超过在第1规则中关联于车辆状态的所允许的转向器角度的范围的操舵指示的控制指令的情况下，检测为该控制指令异常，禁止由第1通信部101a向第2网络20进行该控制指令的转发。

接着，对实施方式1涉及的车辆1所搭载的网络系统3的工作进行说明。

图10以及图11是表示实施方式1涉及的网络系统3中的异常检测方法的一例的时序图。

首先，自动驾驶dcu100针对自动驾驶ecu110，使自动驾驶模式成为有效状态(s100)。例如，在受理到来自用户的使自动驾驶模式开启的输入的情况下，自动驾驶dcu100使自动驾驶模式成为有效状态。

can网关200从连接于can网关200的各ecu210、220、230、240接收包含车辆1的状态信息的can帧，并如图6所示那样，生成含有车辆1的状态信息的can帧的e帧(s101)。

can网关200将包含车辆1的状态信息的can帧的e帧发送给中央网关400(s102)。

中央网关400将在步骤s102中接收到的e帧发送给自动驾驶dcu100(s103)。

在自动驾驶dcu100中，第2通信部101b分别从摄像头120、lidar130以及动态地图ecu140接收表示由摄像头120拍摄到的影像的影像信息、基于表示由lidar130检测到的到物体的距离的信息的障碍物信息、由动态地图ecu140获得的地图信息(s104)。

在自动驾驶dcu100中，交换处理部102参照交换规则保持部103的交换规则，判定是否用正确的路径接收了信息(s105)。

由此，在自动驾驶dcu100中，将在步骤s104中第2通信部101b从摄像头120、lidar130、动态地图ecu140接收到的影像信息、障碍物信息以及地图信息等信息中的、由交换处理部102判定为是用正确的路径接收的信息转发给自动驾驶ecu110(s106)。

自动驾驶ecu110基于在步骤s106中接收到的影像信息、障碍物信息以及地图信息等信息，生成用于自动驾驶的控制指令(s107)。在此，自动驾驶ecu110首先生成用于传达给控制系统can总线的can帧，并生成将这些can帧保存于e帧的数据区域的e帧。所生成的e帧是用于自动驾驶的控制指令。

自动驾驶ecu110将用于自动驾驶的控制指令发送给自动驾驶dcu100(s108)。

在自动驾驶dcu100中，异常检测处理部104参照异常检测规则保持部105所保持的异常检测规则(s109)。在此参照的规则是图9中示出的第1规则。

在自动驾驶dcu100中，异常检测处理部104除了参照异常检测规则之外，还参照在s103中接收到的包含有车辆1的状态信息的can帧的e帧，判定第2通信部101b通过步骤s108接收到的控制指令是否异常(s110)。异常检测处理部104在判定为控制指令异常的情况下(步骤s110：异常)，将处理移至步骤s111。另一方面，异常检测处理部104在判定为控制指令正常的情况下(步骤s110：正常)，将处理移至步骤s120。

在自动驾驶dcu100中，异常检测处理部104由于判定为控制指令异常因而使用第2通信部101b向服务器2或者ivi310通知包含存在异常这一情况的信息(s111)。由此，驾驶员或者远程进行监视的安全监视服务的操作员能够掌握到车辆1在自动驾驶中发生了异常。此外，在该情况下，异常检测处理部104不将控制指令发送给中央网关400。也即是说，异常检测处理部104在该情况下禁止将判定为异常的控制指令经由中央网关400以及can网关200向第2网络20转发。

在自动驾驶dcu100中，异常检测处理部104使用第2通信部101b对自动驾驶ecu110发送使其结束自动驾驶的结束指示(s112)。

自动驾驶ecu110在接收到在步骤s112中发送来的结束指示的情况下，结束自动驾驶模式(s113)。此外，自动驾驶ecu110也可以在结束自动驾驶模式后切换到手动驾驶模式。

在步骤s110中，判定为控制指令正常的情况下(s110：正常)，异常检测处理部104使用第2通信部101b将用于自动驾驶的控制指令发送给中央网关400(s120)。

中央网关400将在步骤s120中发送来的自动驾驶控制指令转发给can网关200(s121)。

can网关200将通过步骤s121接收到的e帧的自动驾驶的控制指令变换为can帧(s122)。

can网关200将通过步骤s122变换出的can帧发送到第2网络20(s123)。由此，连接于控制系统can总线的发动机ecu210、转向器ecu220或者制动器ecu230接收can帧的自动驾驶的控制指令，通过执行与接收到的控制指令相应的控制来进行自动驾驶控制。

本实施方式涉及的异常检测装置是检测车辆1所搭载的具有通信协议互不相同的第1网络10和第2网络20的网络系统3中的异常的异常检测装置。自动驾驶dcu100具备第1通信部101a、第2通信部101b、异常检测规则保持部105以及异常检测处理部104。第1通信部101a接收从第2网络20取得的表示车辆1的状态的状态信息。第2通信部101b收发根据第1网络10的通信协议的e帧。异常检测规则保持部105保持异常检测规则。异常检测处理部104参照状态信息和异常检测规则，检测在第2通信部101b中接收到的e帧所包含的控制指令是否异常。异常检测处理部104在检测到控制指令异常的情况下禁止该控制指令的转发。

由此，异常检测装置基于异常检测规则和从第2网络20获得的车辆1的状态信息，检测被生成的自动驾驶的控制指令是否异常。而且，异常检测装置禁止对检测出有异常的控制指令的转发。因此，例如即使在连接于第1网络10的设备有脆弱性并经由第1网络10受到攻击的情况下，异常检测装置也能够防止不正常的自动驾驶控制。

另外，在本实施方式涉及的异常检测装置中，异常检测规则包含表示在车辆1的不同的多个状态的每个状态下所允许的控制指令的第1规则。异常检测处理部104在状态信息所示的车辆1的状态不包含于控制指令在第1规则中相关联的状态的情况下，检测为控制指令异常。因此，能够例如基于目前的车速、转向器的操舵角度、挡位等车辆状态来检测控制指令的异常。

另外，在本实施方式涉及的异常检测装置中，控制指令是使车辆1执行前行、转弯和停止中的至少一个的控制指令。因此，异常检测装置例如能够检测行驶中的急转弯、急刹车或急加速、停车中的急起动等自动驾驶中的控制指令的异常，提供安全的驾驶环境。

另外，在本实施方式涉及的异常检测装置中，第1通信部101a接收第1帧，所述第1帧是保存有can帧作为数据的e帧。另外，第2通信部101b包括第1通信部101a。由此，异常检测装置接收被变换为e帧的can帧，因而能够用ethernet(注册商标)上的设备进行can帧的异常检测。

(实施方式2)

接着对实施方式2进行说明。实施方式2涉及的作为异常检测装置的自动驾驶dcu100与实施方式1涉及的自动驾驶dcu100大致等同，因此仅对不同的部分进行说明。在实施方式2中，与实施方式1涉及的自动驾驶dcu100的不同之处在于，在自动驾驶dcu100中也进行can帧的异常检测。

图12是表示实施方式2涉及的can网关200基于接收到的多个can帧来发送e帧的样子的图。

在本实施方式中，自动驾驶dcu100确认can帧的周期来进行can的异常检测。如图12所示，can网关200接收多个can帧，并针对接收到的多个can帧的每一个，对该can帧附加接收到该can帧的接收时刻。也即是说，can网关200通过将n个被附加了接收时刻的can帧保存于e帧的数据区域来生成e帧。与实施方式1同样地，can网关200封装成e帧的can帧所包含的车辆1的状态信息是车速、转向器的角度或挡位等。

自动驾驶dcu100的第2通信部101b接收图12的结构的e帧，因而将会接收保存有多个can帧、和多个can帧的每一个例如由can网关200等设备接收到的时刻即接收时刻作为数据的e帧。

图13是表示实施方式2涉及的自动驾驶dcu100的异常检测规则保持部105所保持的异常检测规则的一例的图。图13所示的异常检测规则是用于检测can帧是否异常的第2规则的一例。

如该图所示，第2规则表示在与can-id对应的can帧中所允许的can帧的接收周期的范围，所述can-id是表示can帧的数据的种类的标识符。另外，第2规则也可以还表示在与多个can-id的每一个对应的can帧中所允许的变化量，所述变化量是从该can帧的前一个can帧的数据值起的变化量。该can帧的前一个can帧指的是，在同一can-id中，比该can帧早一定时(timing)接收到的can帧。

具体而言，第2规则是表示如下情况的规则：在can-id为“0xa1”的can帧中，如果参照在图12中说明的对e帧所附加的can帧的接收时刻算出的周期在基本周期10ms±3ms的范围内、也即是说与前一个接收到的can帧的接收时刻的差量在基本周期10ms±3ms的范围内，则为正确的周期。另外，第2规则也可以是表示在can-id为“0xa1”的can帧中如果与前一个接收到的can帧的数据的变化量为±50则为正确的变化量这一情况的规则。对于其他id也同样地定义了所允许的周期的范围以及数据的变化量。

此外，在第2规则中定义的数据值的变化量是与车辆1的状态信息对应的数值，例如是车速的变化量、转向器的角度的变化量等。

在使用第2规则的情况下，自动驾驶dcu100的异常检测处理部104使用分别与从由第2通信部101b接收到的e帧中获得的多个can帧对应的多个接收时刻，检测该e帧所包含的多个can帧是否异常。具体而言，异常检测处理部104通过对彼此具有相同的标识符的多个can帧中的、第1can帧的第1接收时刻和第2can帧的第2接收时刻进行比较来检测第1can帧是否有异常。异常检测处理部104在第1接收时刻和第2接收时刻的差量处于在第2规则中与上述相同的标识符相关联的接收周期的范围外的情况下，检测为第1can帧异常。

另外，异常检测处理部104也可以在第1can帧的第1数据值和第2can帧的第2数据值的差量超过在第2规则中与上述相同的标识符相关联的变化量的情况下，检测为第1can帧异常。

而且，异常检测处理部104在检测到can帧异常的情况下，禁止控制指令的转发。也即是说，异常检测处理部104在该情况下既可以禁止对在该时间点从自动驾驶ecu110接收到的控制指令的转发，也可以禁止对在该时间点以后从自动驾驶ecu110接收到的控制指令的转发。

接下来，对实施方式2涉及的车辆1所搭载的网络系统3的工作进行说明。

图14以及图15是表示实施方式2涉及的网络系统3中的异常检测方法的一例的时序图。在实施方式2涉及的异常检测方法中，关于步骤s200～s208，仅于在步骤s201中如图12所示的使e帧包含can帧的接收时刻之处与实施方式1涉及的异常检测方法的步骤s101不同，而其他的步骤s200、s202～s208与实施方式1涉及的异常检测方法中的s100、s102～s108是同样的，因此省略说明。

在自动驾驶dcu100中，异常检测处理部104参照异常检测规则保持部105所保持的异常检测规则。在此参照的规则是图13所示的第2规则。

在自动驾驶dcu100中，异常检测处理部104判定can帧是否异常(s210)。异常检测处理部104在判定为can帧异常的情况下(步骤s210：异常)，将处理移至步骤s213。异常检测处理部104在判定为can帧正常的情况下(步骤s210：正常)，将处理移至步骤s211。

在自动驾驶dcu100中，异常检测处理部104由于检测到can帧的异常，因而判断为要继续进行自动控制则有高风险，并使用第2通信部101b向服务器2或者ivi310通知包含存在异常这一情况的信息(s213)。此外，在该情况下，异常检测处理部104不将控制指令发送给中央网关400。也即是说，异常检测处理部104在该情况下禁止将判定为异常的控制指令经由中央网关400以及can网关200向第2网络20转发。

步骤s211、s212、s214以及s215分别与实施方式1涉及的异常检测方法中的步骤s109、s110、s112以及s113是同样的，因此省略说明。另外，步骤s221～s224与实施方式1涉及的异常检测方法中的s120～s123是同样的，因此省略说明。

此外，虽然设成了在步骤s210之后进行步骤s212的流程，但也可以是在步骤s212之后进行步骤s210。

在本实施方式涉及的异常检测装置中，异常检测规则还包含用于检测can帧是否异常的第2规则。异常检测处理部104进而在检测到can帧异常的情况下禁止控制指令的转发。由此，异常检测装置能够在检测了can帧的异常之后进行控制指令的执行。也即是说，能够在作为第1网络10侧的设备的异常检测装置中也确认了第2网络20侧是正常的之后对自动驾驶控制指令的发送进行判断。因此，即使在攻击了第2网络20的脆弱性的攻击期间，异常检测装置也能够防止不正常的自动驾驶控制。

另外，在本实施方式涉及的异常检测装置中，第2规则表示在与多个标识符的每一个对应的can帧中所允许的can帧的接收周期的范围。第2通信部101b接收保存了多个can帧和接收时刻作为数据的e帧，所述接收时刻是多个can帧的每一个由第1网络10上的设备接收到的时刻。异常检测处理部104使用分别与多个can帧对应的多个接收时刻，在彼此具有相同的标识符的多个can帧之中，在第1can帧的第1接收时刻与比第1can帧早一帧接收到的第2can帧的第2接收时刻的差量位于在第2规则中与上述相同的标识符相关联的接收周期的范围外的情况下，检测为第1can帧异常。由此，利用异常检测装置，即使是在第2网络20上发生了异常的情况下，也能够在第1网络10中的设备中检测具有周期性的can帧的异常，因此能够停止自动驾驶。

另外，在本实施方式涉及的异常检测装置中，第2规则还表示在与多个所述标识符的每一个对应的can帧中所允许的从前一个can帧的数据值起的变化量。异常检测处理部104进而在第1can帧的第1数据值与第2can帧的第2数据的差量超过在第2规则中与上述相同的标识符相关联的变化量的情况下，检测为第1can帧异常。由此，利用异常检测装置，即使是在第2网络20上发生了异常的情况下，也能够在第1网络10中的设备中检测can帧的数据值的异常，因此能够停止自动驾驶。

(实施方式3)

接着对实施方式3进行说明。实施方式3涉及的作为异常检测装置的自动驾驶dcu100与实施方式2涉及的自动驾驶dcu在进行can帧的异常检测之处大致相同，而不同之处在于，前者使得能够在e帧内指定异常检测的规则。

图16是表示实施方式3涉及的can网关200基于接收到的多个can帧来发送e帧的样子的图。

图17是表示定义了在实施方式3涉及的自动驾驶dcu100中进行can的异常检测时的异常检测规则的表的图。

在图16的e帧中，如果是定义了规则1作为异常检测规则的can帧，则自动驾驶dcu100的异常检测处理部104检查(check)与该can帧具有相同的can-id的can帧的周期来进行异常检测。异常检测处理部104在使用规则1的情况下，使用在实施方式2中说明的参照can帧的接收时刻算出的周期和第2规则来进行异常检测。

另外，如果是定义了规则2作为检测规则的can帧，则自动驾驶dcu100的异常检测处理部104检查该can帧的数据值的变化量来进行异常检测。异常检测处理部104在使用规则2的情况下，使用在实施方式2中说明的can帧的数据值和第2规则来进行异常检测。

另外，如果是定义了规则3作为检测规则的can帧，则自动驾驶dcu100的异常检测处理部104检查该can帧的消息认证码(messageauthenticationcode)来进行异常检测。在规则3的情况下，以自动驾驶dcu100事先共享有用于进行认证的mac密钥为前提。也即是说，在该情况下，异常检测处理部104在消息认证码与mac密钥一致时判断为正常，否则判断为异常。

如此，异常检测处理部104取得与多个标识符的每一个相关联的规则作为异常检测规则。而且，异常检测处理部104参照异常检测规则来检测can帧异常。

由此，异常检测装置能够按每个can帧设定检测规则。例如在第2网络20侧的负荷高、难以在第2网络20侧进行检测处理的情况下，能够通过第1网络10上的设备检测第2网络20中的异常。

此外，can网关200也可以接收多个can帧，并对接收到的多个can帧的每一个附加与该can帧的can-id相关联的异常检测的规则。在此，can网关200附加的异常检测的规则例如也可以是实施方式2的图13中说明的第2规则。can网关200既可以附加第2规则中的对应于can-id的规则，也可以附加第2规则的全部。

另外，图17中说明的异常检测规则也可以由自动驾驶dcu100的异常检测规则保持部105保持，在该情况下，按每个can-id关联有该异常检测规则。

(其他实施方式)

如上所述，作为本公开涉及的技术的例示，说明了实施方式1～3。然而，本公开涉及的技术不限定于此，也能够适用于适当进行了变更、替换、附加、省略等的实施方式。例如，如下的变形例也包含在本公开的一个实施方式中。

(1)在上述实施方式中，在车载网络中遵循can协议进行数据帧的传输，但can协议可以作为包含在自动化系统中的嵌入系统等中使用的canopen、或ttcan(time-triggeredcan：时间触发can)、canfd(canwithflexibledatarate：灵活的数据速率)等派生的协议在内的广义的含义来对待。另外，车载网络也可以使用can协议以外的协议。作为进行用于车辆的控制的帧等的传输的车载网络的协议，例如也可以使用lin(localinterconnectnetwork：局域互联网)、most(注册商标)(mediaorientedsystemstransport)、flexray(注册商标)、ethernet(注册商标)等。另外，也可以将使用这些协议的网络作为子网络，组合多种协议涉及的子网络来构成车载网络。另外，ethernet(注册商标)协议可以作为包含ieee802.1涉及的ethernet(注册商标)avb(audiovideobridging：音视频桥接)或ieee802.1涉及的ethernet(注册商标)tsn(timesensitivenetworking：时间敏感网络)、ethernet(注册商标)/ip(industrialprotocol：工业协议)、ethercat(注册商标)(ethernet(注册商标)forcontrolautomationtechnology)等派生协议在内的广义的含义来对待。此外，车载网络的网络总线例如可以是由电线、光纤等构成的有线通信线路。例如也可以为，帧传输阻止装置2400在ecu使用上述的某个协议进行通信的网络系统中连接于网络总线，接收帧，并基于表示是否容许阻止帧的传输的管理信息，切换是否执行在接收到的帧满足预定条件的情况下阻止该帧的传输的预定处理。

(2)在上述实施方式中，以标准id格式记述了can协议中的数据帧，但也可以是扩展id格式，数据帧的id也可以是扩展id格式下的扩展id等。另外，上述的数据帧也可以是使用除can以外的协议的网络中的一种帧，在该情况下，识别该帧的种类等的id相当于数据帧的id。

(3)在上述实施方式中，防止了自动驾驶控制指令的不正(不正常)，但也可以使得检测停车辅助系统、车道保持功能、防撞功能等先进驾驶辅助系统的控制的异常。

(4)在上述实施方式中，异常检测时向服务器2和/或ivi(in-vehicleinfotainment)310进行了异常通知，而如果能够进行v2x(车联网)和/或v2i(车路通信)的通信，如果对应于车车间通信和/或车路间通信，也可以向其他车辆进行异常通知、向基础设施装置进行异常通知。由此能够向本车周边的车辆和/或行人所保有的设备通知异常，能够至使防止事故发生。

(5)在上述实施方式中，异常检测时向服务器2和/或ivi(in-vehicleinfotainment)310进行了异常通知，但也可以使得作为日志留在车载网络上的设备中。在留在了日志中的情况下，通过从诊断端口读取日志，经销商能够掌握异常内容。另外，也可以将日志定期发送到服务器2。由此，能够远程进行车辆的异常检测。

(6)在上述实施方式中，can网关将车辆的状态信息的can帧保存于e帧的数据，而如果车辆的状态信息是能够识别的形式，则也可以不是can帧的格式。

(7)在上述实施方式中，自动驾驶dcu100没有与第2传输线路21连接，但自动驾驶dcu也可以与第2传输线路连接。在该情况下，也可以读入在第2传输线路上流通的can帧，接收车辆的状态信息。再者，在该情况下，也可以使得自动驾驶控制指令也直接向第2传输线路发送。

(8)在上述实施方式中，图9的自动驾驶的控制指令的异常检测规则或者图13的异常检测规则作为白名单而定义了正常的条件，但也可以是作为黑名单而被定义的第3规则。

例如，在实施方式2中，也可以取代定义了白名单的第2规则而使用定义了黑名单的第3规则作为异常检测规则。

第3规则表示在与can-id对应的can帧中所允许的can帧的接收周期的范围，所述can-id是表示can帧的数据的种类的标识符。另外，第3规则还表示在与多个所述标识符的每一个对应的can帧中所允许的变化量，所述变化量是从该can帧的前一个can帧的数据值的变化量。

在使用第3规则的情况下，自动驾驶dcu100的异常检测处理部104使用分别与从由第2通信部101b接收到的e帧中获得的多个can帧对应的多个接收时刻，检测该e帧所包含的多个can帧是否异常。具体而言，异常检测处理部104通过对彼此具有相同的标识符的多个can帧中的、第1can帧的第1接收时刻和第2can帧的第2接收时刻进行比较来检测第1can帧是否有异常。异常检测处理部104在第1接收时刻和第2接收时刻的差量处于在第2规则中与上述相同的标识符相关联的接收周期的范围内的情况下，检测为第1can帧异常。

由此，利用异常检测装置，即使是在第2网络20上发生了异常的情况下，也能够在第1网络10中的设备中检测具有周期性的can帧的异常，因此能够停止自动驾驶。

另外，异常检测处理部104也可以在所述第1can帧的第1数据值和第2can帧的第2数据值的差量处于在第3规则中与所述相同的标识符相关联的变化量的范围内的情况下，检测为第1can帧异常。

由此，利用异常检测装置，即使是在第2网络20上发生了异常的情况下，也能够在第1网络10中的设备中检测can帧的数据值的异常，因此能够停止自动驾驶。

另外，异常检测规则也可以为，将白名单和黑名单合起来进行异常检测。

(9)在上述实施方式中，图8的交换规则以白名单形式定义了正常的发送源、发送目的地的ip和mac地址以及端口号，但也可以定义为黑名单。另外，作为交换规则所定义的规则，也可以定义流量、通信频度、有效载荷的值的条件。

(10)在上述实施方式中，表示了帧异常检测装置搭载于车辆且包含于进行用于车辆控制的通信的车载网络系统的例子，但也可以包含于用于车辆以外的移动体控制对象的控制的网络系统。也即是说，移动体例如是机器人、航空器、船舶、机器、建筑设备、农业设备、无人机等。

(11)上述实施方式中示出的ecu等各装置也可以除了存储器、处理器等之外还具备硬盘单元、显示器单元、键盘、鼠标等。另外，上述实施方式中示出的ecu等各装置既可以由处理器执行存储于存储器的程序以软件方式来实现其各装置的功能，也可以不使用程序而通过专用的硬件(数字电路等)来实现其功能。另外，该各装置内的各构成要素的功能分担可以变更。

(12)构成上述实施方式中的各装置的构成要素的一部分或者全部也可以由1个系统lsi(largescaleintegration：大规模集成电路)构成。系统lsi是将多个结构部分集成在1个芯片上而制造出的超多功能lsi，具体而言，是构成为包括微处理器、rom、ram等的计算机系统。ram中记录有计算机程序。微处理器按照计算机程序进行工作，由此系统lsi实现其功能。另外，构成上述各装置的构成要素的各部既可以单独地单芯片化，也可以以包含一部分或全部的方式单芯片化。另外，虽然此处设为系统lsi，但根据集成度不同，也可以称为ic、lsi、超大lsi(superlsi)、特大lsi(ultralsi)。另外，集成电路化的方法不限于lsi，也可以通过专用电路或者通用处理器实现。也可以在lsi制造后利用可编程的fpga(fieldprogrammablegatearray：现场可编程门阵列)、可以对lsi内部的电路单元的连接和/或设定进行重构的可重构处理器(reconfigurableprocessor)。进而，随着半导体技术的进步或者派生的其他技术的出现，如果出现能够替代lsi的集成电路化的技术，当然也可以利用该技术进行功能块的集成化。也可能会存在适用生物技术等的可能性。

(13)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的ic卡或单体模块构成。ic卡或所述模块是由微处理器、rom、ram等构成的计算机系统。ic卡或所述模块也可以包括上述的超多功能lsi。微处理器按照计算机程序进行工作，由此ic卡或模块实现其功能。该ic卡或该模块可以具有防篡改性能。

(14)作为本公开的一个技术方案，也可以是通过计算机实现异常检测方法的程序(计算机程序)，还可以是由所述计算机程序形成的数字信号。另外，作为本公开的一个技术方案，也可以将所述计算机程序或者所述数字信号记录于计算机可读取的记录介质例如软盘、硬盘、cd-rom、mo、dvd、dvd-rom、dvd-ram、bd(blu-ray(注册商标)disc)、半导体存储器等。另外，也可以是记录在这些记录介质中的数字信号。另外，作为本公开的一个技术方案，也可以将计算机程序或数字信号经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等进行传输。另外，作为本公开的一个技术方案，也可以是具备微处理器和存储器的计算机系统，存储器记录有上述计算机程序，微处理器按照计算机程序进行工作。另外，也可以通过将程序或数字信号记录在记录介质中转移、或经由网络等将程序或数字信号进行转移，由此通过独立的其他的计算机系统来实施。

(15)通过将上述实施方式及上述变形例中示出的各构成以及功能任意地进行组合而实现的方式也包含在本公开的范围内。

产业上的可利用性

本公开涉及的异常检测装置作为能够有效地检测异常的异常检测装置以及异常检测方法等是有用的。

标号说明

1车辆；2服务器；3网络系统；10第1网络；11第1传输线路；20第2网络；21第2传输线路；21a、21bcan总线；30外部网络；100自动驾驶dcu；101a第1通信部；101b第2通信部；102交换处理部；103交换规则保持部；104异常检测处理部；105异常检测规则保持部；110自动驾驶ecu；120摄像头；130lidar；140动态地图ecu；200can网关；201e收发部；202a、202bcan收发部；203转发控制部；204转发规则保持部；210发动机ecu；220转向器ecu；230制动器ecu；240车窗ecu；300信息娱乐dcu；310ivi；400中央网关；410远程信息控制单元；420诊断端口；p1～p5端口。