本发明涉及在网络内流动的不正当消息的检测技术。
背景技术:
1、近年来,在研究等中明确了以下攻击:通过从安装于汽车的车辆内部的不正当的车载设备等发送冒充成在车辆网络内流动的消息的不正当消息,对与该车辆的行驶等相关的控制进行欺骗。因此,可预想在车辆中搭载对在车辆网络内流动的消息进行监视并检测不正当消息的不正当通信检测功能的动作进展。
2、在车辆网络内流动的消息存在很多固定的、周期性的消息。因此,预计应用如下的白名单型的不正当通信检测功能:将与正常的消息相关的信息保持为白名单,将脱离白名单的消息检测为不正当消息。白名单型的不正当通信检测功能和保持与不正当消息相关的信息的黑名单型的不正当通信检测功能相比,还存在不需要频繁地进行列表更新这样的优点。
3、但是,在应用白名单型不正当通信检测功能时,需要将有可能在网络内流动的正常消息全部正确地定义为白名单。全部由人通过手动作业进行白名单的创建还存在作业负荷高、产生遗漏和记载错误这样的缺点。
4、因此,在专利文献1中公开有如下技术:对从网络收集到的通信数据进行学习、分析来创建白名单。
5、另外,在专利文献2中公开有如下技术:利用产业控制系统的网络通信是固定的这一情况,定义发送目的地地址和发送方地址的对、协议等被许可的通信,将被许可的通信定义为通信许可列表(白名单)。
6、现有技术文献
7、专利文献
8、专利文献1:日本特许第6054010号
9、专利文献2:日本特许第6584733号
技术实现思路
1、发明要解决的课题
2、在生成车辆网络中的白名单的情况下,根据专利文献1,考虑取得在实际的车辆网络中流动的通信数据并据此生成白名单。但是,在该情况下,为了生成白名单,需要已取得的通信数据的有效载荷部分的格式等信息。即使在根据已取得的通信数据自动生成白名单的情况下,也需要手动地设定对通信数据进行分析所需的信息。另外,很难确认在已取得的通信数据中是否包含全部的正常的通信数据。
3、另一方面,根据专利文献2,考虑根据规定了在车辆网络中流动的通信数据的规范的通信规范书来生成白名单。由于在通信规范书中定义了有效载荷部的格式、各数据部可取的值等信息,因此,能够据此生成白名单。在该情况下,不需要手动地设定用于分析的信息。但是,还存在周期消息的周期误差范围等无法根据通信规范书进行判断的信息。或者,对于与通信规范上确定的值的范围相比,在实际环境中使用的值的范围被限定这样的通信数据,也被定义为允许规范上的更宽的值范围的规则。若在白名单中定义的规则的值范围过宽,则检测精度降低,无法适当地检测不正当的消息的可能性提高。
4、因此,本发明的目的在于,通过对根据通信规范生成的通信许可列表进行校正,减轻将不正当的消息误检测为正当的消息的可能性。
5、用于解决课题的手段
6、本发明的通信许可列表生成装置生成搭载于车辆网络内的不正当通信检测功能使用的通信许可列表,其特征在于,该通信许可列表生成装置具有:通信规范分析部,其根据定义了在所述车辆网络中流动的正常的通信消息的规范的通信规范,生成检测规则,所述检测规则包含定义了该通信消息的周期的周期信息;通信许可列表输出部,其生成通信许可列表,所述通信许可列表包含由所述通信规范分析部生成的所述检测规则;通信数据分析部,其对从所述车辆网络取得的通信数据进行分析,从该通信数据中取得周期范围,所述周期范围表示通信消息的周期的范围;以及通信许可列表更新部,其基于由所述通信数据分析部取得的通信消息的周期范围,对所述通信许可列表中包含的该通信消息的检测规则的周期信息进行更新,在所述通信许可列表中存在所述周期信息未被更新的通信消息的检测规则的情况下,所述通信许可列表更新部选择所述周期信息已被更新的其他通信消息作为基准消息,并基于该基准消息的周期范围,对该通信消息的检测规则的周期信息进行更新。
7、发明效果
8、本发明起到如下效果:通过对根据通信规范生成的通信许可列表进行校正,能够减轻将不正当的消息误检测为正当的消息的可能性。
1.一种通信许可列表生成装置,该通信许可列表生成装置生成搭载于车辆网络内的不正当通信检测功能使用的通信许可列表,其特征在于,该通信许可列表生成装置具有:
2.根据权利要求1所述的通信许可列表生成装置,其特征在于,
3.根据权利要求2所述的通信许可列表生成装置,其特征在于,
4.根据权利要求2或3所述的通信许可列表生成装置,其特征在于,
5.根据权利要求1~4中的任意一项所述的通信许可列表生成装置,其特征在于,
6.一种通信许可列表生成方法,生成搭载于车辆网络内的不正当通信检测功能使用的通信许可列表,其特征在于,该通信许可列表生成方法:
7.一种程序,该程序生成搭载于车辆网络内的不正当通信检测功能使用的通信许可列表,其中,该程序使计算机执行如下步骤: