统计信息生成装置、统计信息生成方法、以及程序与流程

1.本发明涉及统计信息生成装置、统计信息生成方法、以及程序。


背景技术：

2.近年来，存在can和ethernet(注册商标)并存的车载网络体系结构(network architecture)(例如参照专利文献1)。
3.现有技术文献
4.专利文献1：日本特开2012－6446号公报
5.非专利文献：
6.非专利文献1：specification of the ip flow information export(ipfix)protocol for the exchange of flow information(rfc7011)


技术实现要素：

7.发明要解决的问题
8.然而，存在无法把握在车载网络上流动的整个流量(traffic)这一问题。另外，存在难以把握在车载网络上发生的异常的内容这一问题。此外，该问题并不限于车载网络，能广泛地在移动网络中发生。
9.因此，本发明提供一种适当地分析移动网络中的异常的统计信息生成装置等。
10.用于解决问题的手段
11.本发明的一技术方案的统计信息生成装置是根据在移动网络中流动的ethernet帧生成统计信息的统计信息生成装置，具备：收发部，对所述ethernet帧进行收发；统计信息生成部，(a)收集所述收发部在预定的时间内发送或接收的多个所述ethernet帧，将所收集到的多个所述ethernet帧之中、所述ethernet帧所包含的发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议相同、且所述ethernet帧的有效载荷所包含的与移动控制相关的识别信息相同的多个所述ethernet帧分类到相同组，(b)根据分类到所述组的多个所述ethernet帧，按每个组生成统计信息，(c)通过所述收发部发送所生成的所述统计信息。
12.此外，这些总括性或具体的技术方案既可以由系统、方法、集成电路、计算机程序或计算机可读取cd－rom等的记录介质实现，也可以由系统、方法、集成电路、计算机程序以及记录介质的任意组合来实现。
13.发明效果
14.本发明的统计信息生成装置能够适当分析移动网络中的异常。
附图说明
15.图1是实施方式中的车载网络的整体构成图。
16.图2是表示实施方式中的can帧的格式的说明图。
17.图3是表示实施方式中的ethernet帧的帧格式的说明图。
18.图4是表示由实施方式中的can网关进行的帧的转换处理的说明图。
19.图5是表示实施方式中的can网关的构成的框图。
20.图6是表示实施方式中的自动驾驶dcu的构成的框图。
21.图7是表示实施方式中的中央网关的构成的框图。
22.图8是表示实施方式中的动作模式的切换条件的图。
23.图9是表示实施方式中的统计信息的生成以及发送的处理的流程图。
24.图10是详细表示实施方式中的统计信息生成的处理的流程图。
25.图11是表示利用了实施方式中的统计信息的异常检测的、车辆内的各装置的处理的流程图。
26.图12是表示实施方式中的、统计信息生成部在通常模式下生成的统计信息的例子的说明图。
27.图13是表示在实施方式中的ethernet帧的数据字段包含can消息的情况下的流(flow)的分类的例子的图。
28.图14是表示实施方式中的、统计信息生成部在扩展模式下生成、统计信息收集部收集到的统计信息的例子的说明图。
29.图15是表示包含实施方式中的异常检测规则的规则表的例子的说明图。
30.图16是表示使用了实施方式中的服务器中的统计信息的监视画面的第一例的说明图。
31.图17是表示使用了实施方式中的服务器中的统计信息的监视画面的第二例的说明图。
32.图18是表示包含实施方式的变形例1中的some/ip消息的ethernet帧的帧格式的说明图。
33.图19是表示关于实施方式的变形例1中的some/ip通信的统计信息的生成以及发送的处理的流程图。
34.图20是表示实施方式的变形例2中的统计信息生成装置的构成的框图。
35.图21是表示实施方式的变形例2中的统计信息生成方法的处理的流程图。
具体实施方式
36.(成为本发明的基础的见解)
37.本发明人关于在「背景技术」一栏中记载的车载网络体系结构，发现了会产生以下的问题。
38.近年来，在汽车中的系统中配置有很多被称为电子控制单元(ecu：electronic control unit)的装置。将这些ecu连接的网络被称为车载网络。
39.车载网络中存在许多标准。其中最主流的车载网络之一存在由iso11898－1规定的can(controller area network：控制器局域网络)这一标准。另一方面，作为用于传送更多信息的标准，存在由ieee 802.3规定的ethernet(注册商标)这一标准。
40.在先进驾驶支援系统或自动驾驶中，需要对摄像头或lidar(light detection and ranging：光探测和测距)等的传感器取得的数据、或与动态地图等关联的庞大的信息
进行处理。因此，向数据传输速度高的ethernet的车载网络的导入不断发展。另一方面，以往存在的can也作为车辆控制系统而被继续利用。因此，can与ethernet并存的车载网络体系结构不断增加。
41.另外，由于与汽车的外部网络连接，而且电子控制化发展，通过模拟汽车的控制系统命令而存在汽车被不正常(非法)操作的威胁。
42.在it网络中，作为监视网络整体的流量(traffic)的方法存在ipfix这一标准(参照非专利文献1)。在ipfix中，将发送源以及发送目标的ip地址、发送源以及发送目标的端口编号、以及协议(5－tuples)相同的通信包(或通信帧)分类为相同组。而且，已知一种根据属于该组的通信包(packet)生成被称为流信息的统计信息，将所生成的流信息向被称为收集器(collector)的终端发送，在收集器上监视网络的流量的方法。此外，也将通信包仅称为包(packet)，将通信帧仅称为帧。
43.但是在利用5－tuples实现的分类中，难以进行详细的流量分析。特别在车载网络的情况下，存在如下情形(case)，即，即使5－tuples的内容相同，也会保存有ethernet帧的有效载荷所包含的、控制车辆的can消息不同的内容。在这样的情形下，无法根据ethernet帧的有效载荷所包含的控制车辆的can消息的类别监视流量，即使检测到异常，也难以把握发生了怎样的异常的详情。
44.另外，在专利文献1中，为了确定在车辆网络上的异常检测场所，将在网关接收到的消息的发送源信息向外部的诊断装置发送。但是并不进行使用了根据发送源的消息生成的统计信息的异常检测。因此，无法把握在车载网络上流动的整个流量，另外，难以把握发生了怎样的异常、换言之异常内容。
45.因此，本发明提供一种适当分析移动网络中的异常的统计信息生成装置等。
46.为了解决这样的问题，本发明的一技术方案的统计信息生成装置是根据在移动网络中流动的ethernet帧生成统计信息的统计信息生成装置，具备：收发部，对所述ethernet帧进行收发；统计信息生成部，(a)收集所述收发部在预定的时间内发送或接收的多个所述ethernet帧，将所收集到的多个所述ethernet帧之中、所述ethernet帧所包含的发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议相同、且所述ethernet帧的有效载荷所包含的与移动控制相关的识别信息相同的多个所述ethernet帧分类到相同组，(b)根据分类到所述组的多个所述ethernet帧，按每个组生成统计信息，(c)通过所述收发部发送所生成的所述统计信息。
47.根据上述技术方案，统计信息生成装置除了5－tuples(发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议)的信息以外，也考虑与移动控制相关的识别信息，以多个ethernet帧为单位生成统计信息。由此，与仅考虑5－tuples的信息生成统计信息的情况下相比，能够以更详细的单位生成统计信息。若使用这样生成的统计信息，则与仅考虑5－tuples的信息而生成的统计信息相比，能够进行更详细的分析，能够更加精密地进行检测异常。由此，统计信息生成装置能够适当分析移动网络中的异常。
48.例如，也可以是，所述统计信息生成部以第一模式以及第二模式中的任一个动作模式生成所述统计信息，在所述第一模式中，(d)收集所述收发部在预定的时间内发送或接收的多个所述ethernet帧，将所收集到的多个所述ethernet帧之中、所述ethernet帧所包含的发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议相同
的多个所述ethernet帧分类到相同组，(e)根据分类到所述组的多个所述ethernet帧，按每个组生成统计信息，(f)通过所述收发部发送所生成的所述统计信息，在所述第二模式中，通过所述(a)、所述(b)以及所述(c)发送所述统计信息。
49.根据上述技术方案，统计信息生成装置能够在某个时机下考虑5－tuples的信息生成移动网络的流的统计信息，能够在其他某时机下考虑5－tuples的信息和与移动控制相关的识别信息生成统计信息。这样一来，统计信息生成装置能够进行以往的(也就是通常的)统计信息的生成和基于此的分析，并且能够根据需要，也进行详细的统计信息的生成和基于此的精密分析。这样，统计信息生成装置能够更进一步地适当分析移动网络中的异常。
50.例如，也可以是，所述统计信息生成部判定是否满足预定的条件，在判定为满足所述预定的条件的情况下，将所述动作模式从所述第一模式和所述第二模式中的一方向另一方切换。
51.根据上述技术方案，统计信息生成装置在满足预定的条件的情况下，切换动作模式以使得进行详细的统计信息的生成和基于此的精密分析。若将表现需要精密分析的状况的条件用作预定的条件，则统计信息生成装置在需要进行精密分析时，能够切换动作模式以进行精密分析。这样，统计信息生成装置能够更进一步地适当分析移动网络中的异常。
52.例如，也可以是，所述统计信息生成部使用通过所述收发部接收到包含切换动作模式的指示的ethernet帧这一条件来作为所述预定的条件，进行所述判定。
53.根据上述技术方案，统计信息生成装置在接收到切换指示的情况下，能够按照切换指示切换动作模式。由于切换指示能被从ecu或外部的服务器等发送，所以统计信息生成装置能够按照来自ecu或外部的服务器等的切换指示分析异常。这样，统计信息生成装置能够更加适当地分析移动网络中的异常。
54.例如，也可以是，所述统计信息生成部使用在所述移动网络内检测出发生了异常这一条件来作为所述预定的条件，进行所述判定，在判定为满足所述条件的情况下，从所述第一模式向所述第二模式切换。
55.根据上述技术方案，统计信息生成装置能够基于在移动网络内可能发生的异常的检测，切换动作模式以进行精密的分析。这样，统计信息生成装置能够更加适当地分析移动网络中的异常。
56.例如，也可以是，所述统计信息生成部还进行：在判定为所述收发部接收到发送源ip地址或发送目标ip地址是预定的ip地址的一个ethernet帧的情况下，对所述一个ethernet帧，以所述第二模式生成统计信息。
57.根据上述技术方案，统计信息生成装置能够对将特定的ip地址作为发送目标或发送源的ethernet帧进行精密分析。例如，由于针对包含想要进行详细解析的特定的ip地址的ethernet帧连有效载荷都包含在内而生成统计信息，所以能够监视是否流动不正常的车辆控制指示、或车辆是否受到攻击。这样，统计信息生成装置能够更加适当且灵活地分析移动网络中的异常。
58.例如，也可以是，所述统计信息生成部还进行：在判定为所述收发部接收到与移动控制指示相关的一个ethernet帧的情况下，针对所述一个ethernet帧，以所述第二模式生成统计信息。
59.根据上述技术方案，统计信息生成装置能够对与特定的移动控制指示相关的
ethernet帧进行精密分析。例如，由于针对从掌控行驶、转弯、停止这样的车辆控制的ecu发送的、或被向上述ecu发送的ethernet帧生成连有效载荷都包含在内的统计信息，所以能够监视是否流动不正常的车辆控制指示。这样，统计信息生成装置能够更加适当且灵活地分析移动网络中的异常。
60.另外，本发明的一技术方案的统计信息生成方法是根据在移动网络中流动的ethernet帧生成统计信息的统计信息生成装置执行的统计信息生成方法，所述统计信息生成装置具备对所述ethernet帧进行收发的收发部，所述统计信息生成方法中，(a)收集所述收发部在预定的时间内发送或接收的多个所述ethernet帧，将所收集到的多个所述ethernet帧之中、所述ethernet帧所包含的发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议相同、且所述ethernet帧的有效载荷所包含的与移动控制相关的识别信息相同的多个所述ethernet帧分类到相同组，(b)根据分类到所述组的多个所述ethernet帧，按每个组生成统计信息，(c)通过所述收发部发送所生成的所述统计信息。
61.由此，能够起到与上述统计信息生成装置同样的效果。
62.另外，本发明的一技术方案的程序是一种用于使计算机执行上述的统计信息生成方法的程序。
63.由此，起到与上述统计信息生成装置同样的效果。
64.此外，这些总括的或具体的技术方案既可以由系统、方法、集成电路、计算机程序或计算机可读取cd－rom等的记录介质实现，也可以由系统、方法、集成电路、计算机程序或记录介质的任意的组合实现。
65.以下，对实施方式，参照附图进行具体说明。
66.此外，以下说明的实施方式均表示总括的或具体的例子。以下的实施方式中示出的数值、形状、材料、构成要素、构成要素的配置位置以及连接方式、步骤、步骤的顺序等是一例，并不意在限定本发明。另外，对以下的实施方式中的构成要素之中、表示最上位概念的独立权利要求所没有记载的构成要素，作为任意的构成要素进行说明。
67.(实施方式)
68.在本实施方式中，对适当分析移动网络中的异常的统计信息生成装置进行说明。
69.本实施方式中的统计信息生成装置是根据在移动网络中流动的ethernet帧生成统计信息的装置，并具备收发部和统计信息生成部。
70.收发部对ethernet帧进行收发。
71.统计信息生成部，(a)收集收发部在预定的时间内发送或接收的多个ethernet帧，将所收集到的多个ethernet帧之中、ethernet帧所包含的发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及、协议相同、且ethernet帧的有效载荷所包含的与移动控制相关的识别信息相同的多个ethernet帧分类到相同组。另外，(b)根据分类到组的多个ethernet帧，按每个组生成统计信息。而且，(c)将所生成的统计信息通过收发部发送。
72.另外，统计信息生成部也可以以第一模式以及第二模式中的任一个动作模式生成统计信息。在此，在第一模式中，(d)收集收发部在预定的时间内发送或接收的多个ethernet帧，将所收集到的多个ethernet帧之中ethernet帧所包含的发送目标ip地址、发
送源ip地址、发送目标端口编号、发送源端口编号、以及协议相同的多个ethernet帧分类到相同组。另外，(e)根据分类到组的多个ethernet帧，按每个组生成统计信息。而且，(f)通过收发部发送所生成的统计信息。另外，在第二模式中，通过上述(a)、(b)以及(c)发送统计信息。
73.此外，第一模式相当于按照ipfix生成流信息的通常模式、并且是基于5－tuples的内容将流分类而生成流信息的模式。另外，第二模式相当于根据ethernet有效载荷的内容生成流信息的扩展模式、并且是基于5－tuples的内容以及数据所包含的识别信息将流分类而生成流信息的模式。
74.另外，统计信息生成部也可以判定是否满足预定的条件，在判定为满足预定的条件的情况下，将动作模式从第一模式和第二模式中的一方向另一方切换。
75.另外，统计信息生成部也可以将通过收发部接收到包含切换动作模式的指示的ethernet帧这一条件用作预定的条件，进行上述判定。
76.另外，统计信息生成部也可以将检测出在移动网络内发生了异常这一条件用作预定的条件进行上述判定，在判定为满足上述条件的情况下，从第一模式向第二模式切换。
77.另外，统计信息生成部还可以在判定为收发部接收到发送源ip地址或发送目标ip地址是预定的ip地址的一个ethernet帧的情况下，对上述一个ethernet帧，以第二模式生成统计信息。
78.另外，统计信息生成部还可以在判定为收发部接收到与移动控制指示相关的一个ethernet帧的情况下，针对上述一个ethernet帧，以第二模式生成统计信息。
79.以后，对作为移动网络的车载网络的构成中的统计信息生成装置进行具体说明。
80.图1是本实施方式中的车载网络的整体构成图。车辆1的车载网络包含ethernet10和can20而构成。
81.车辆1具备1个以上的ecu以及1个以上的dcu(domain control unit：域控制单元)。
82.具体而言，车辆1具备：自动驾驶dcu100、自动驾驶ecu110、摄像头120、lidar130、动态地图ecu140、can网关200、发动机ecu210、转向器ecu220、制动器ecu230、窗口ecu240、信息娱乐(infotainment)dcu300、ivi310、中央网关400、远程信息控制单元410、以及诊断端口420。
83.自动驾驶dcu100、can网关200、中央网关400各自相当于统计信息生成装置。
84.中央网关400利用ethernet10连接有远程信息控制单元410和诊断端口420、自动驾驶dcu100、can网关200、信息娱乐dcu300。
85.远程信息控制单元410是用于车辆1与连接于外部网络30的服务器2通信的单元，在本实施方式中，包含便携电话网或wifi(注册商标)等的通信接口。
86.诊断端口420是经销商(dealer)用于车辆1的故障诊断的端口、且是诊断用的命令的收发所利用的端口。
87.自动驾驶dcu100利用ethernet10与自动驾驶ecu110、拍摄车外状况的摄像头120、用于感知车外的障碍物的lidar130、用于进行动态地图的接收和控制的动态地图ecu140连接。
88.can网关200与can20和ethernet10连接。can网关200在本实施方式中，与控制系统
总线和车身系统总线这两条can总线连接。控制系统总线连接有发动机ecu210、转向器ecu220、以及制动器ecu230。车身系统总线连接有控制窗口开闭的窗口ecu240。
89.信息娱乐dcu300利用ethernet10与ivi(in
‑
vehicle infotainment：车载信息娱乐系统)310连接，进行信息系统网络的域(domain)管理。
90.图2是表示本实施方式中的can的帧格式的说明图。
91.就can的帧格式而言，一般来说存在图2的(a)所示的标准格式、和图2的(b)所示的扩展格式。在本实施方式中，以can帧具有标准格式来进行说明，但是也可以具有扩展格式。
92.图3是表示本实施方式中的ethernet帧的帧格式的说明图。
93.ethernet帧包含ethernet头(header)、ip头、tcp头或udp头、以及数据而构成。
94.ethernet头包含发送目标mac地址和发送源mac地址。
95.ip头包含发送源ip地址和发送目标地址。
96.tcp头或udp头包含发送源端口编号和发送目标端口编号。
97.数据，也即是在ethernet有效载荷(更特定而言，是tcp有效载荷或udp有效载荷)中保存通过该ethernet帧搬运的数据。数据例如在进行车辆控制的时机保存can帧。另外，数据例如也可以保存摄像头影像、lidar、传感器或动态地图的信息。在本实施方式中，以保存can帧的情形来进行说明。
98.图4是表示由本实施方式中的can网关200实现的帧的转换处理的说明图。具体而言，图4是表示can网关200输入输出的帧的图。
99.can网关200在从can20接收can帧时，将n个can帧连结而设定为ethernet帧的数据。而且，将can的信息作为ethernet帧而经由ethernet收发部201向ethernet上连接的所希望的发送目标发送。此外，n是预先决定的整数值。
100.另外，can网关200在作为与上述相反的路径而从ethernet10接收ethernet帧时，判定在ethernet帧的数据中是否保存有can帧。在保存了can帧的情况下，提取所保存的can帧而向can总线发送。
101.图5是表示本实施方式中的can网关200的构成的框图。
102.如图5所示，can网关200具备：ethernet收发部201、can收发部202以及202a、传送判断部203、传送规则保持部204、以及统计信息生成部206。
103.can网关200在从can收发部202或202a接收can帧时，将所接收到的can消息向ethernet帧转换，利用ethernet收发部201向ethernet10传送。
104.另外，can网关200在从ethernet收发部201接收ethernet帧时，将所接收到的ethernet帧向can帧转换，利用can收发部202或202a向can20传送。
105.ethernet收发部201是向ethernet10发送ethernet帧，还从ethernet10接收ethernet帧的通信接口。
106.can收发部202是与can20之中的总线1连接的通信接口。can收发部202向can20(总线1)发送can帧，另外，从can20(总线1)接收can帧。
107.can收发部202a是与can收发部202具有相同功能的通信接口，与can收发部202独立地进行动作。can收发部202a与can20之中的总线2连接。
108.传送判断部203是判断ethernet收发部201、与can收发部202或202a之间的帧可否传送的处理部。传送判断部203参照传送规则保持部204保持的传送规则，判断帧可否传送，
并控制ethernet收发部201、can收发部202或202a，以使得进行该帧的传送、或不进行传送(也即是，禁止传送)。
109.传送规则保持部204是保持表示ethernet收发部201、与can收发部202或202a之间的帧可否传送的规则的存储装置。
110.统计信息生成部206根据由ethernet收发部201接收到的ethernet帧，生成统计信息。统计信息生成部206以按照ipfix生成流信息的通常模式、和与之不同根据ethernet有效载荷的内容生成流信息的扩展模式这2个动作模式中的任一个生成统计信息。统计信息生成部206将所生成的统计信息经由ethernet收发部201向中央网关400发送。
111.另外，统计信息生成部206通过ethernet收发部201接收模式切换指示命令(仅称为切换指示)，进行模式切换。
112.此外，统计信息生成部206生成的统计信息包含作为统计信息生成部206所固有的识别信息的探测(probe)id。统计信息也由自动驾驶dcu100的统计信息生成部106、或中央网关400的统计信息生成部406生成。因此，为了将统计信息生成部206生成的统计信息与其他统计信息生成部生成的统计信息区别，赋予表示是哪个统计信息生成部生成的信息的探测id。在本实施方式中，对can网关200也即是统计信息生成部206的探测id是“123”来进行说明。
113.图6是表示本实施方式中的自动驾驶dcu100的构成的框图。
114.如图6所示，自动驾驶dcu100包含ethernet收发部101、开关处理部102、开关规则保持部103、统计信息生成部106而构成。
115.ethernet收发部101在本实施方式中具备5个ethernet端口，分别经由ethernet10与自动驾驶ecu110、摄像头120、lidar130、动态地图ecu140、以及中央网关400连接。此外，端口的个数不限于5。
116.开关处理部102基于开关规则保持部103保持的规则(也称为开关规则)，将由ethernet收发部101接收到的ethernet帧，进行向适当的传送目标传送的处理。
117.开关规则保持部103是保持在由开关处理部102进行的ethernet帧的传送中使用的开关规则的存储装置。
118.统计信息生成部106根据由ethernet收发部101接收到的ethernet帧，生成统计信息。统计信息生成部106以按照ipfix生成流信息的通常模式、和与此不同根据ethernet有效载荷的内容生成流信息的扩展模式这2个动作模式中的任一个生成统计信息。统计信息生成部106将所生成的统计信息向中央网关400发送。
119.另外，统计信息生成部106通过ethernet收发部101接收模式切换指示命令也即是切换指示，进行模式切换。
120.此外，统计信息生成部106生成的统计信息，因与can网关200的统计信息生成部206中的说明同样的理由，被赋予表示是哪个统计信息生成部生成的信息的探测id。在本实施方式中，对自动驾驶dcu100也即是统计信息生成部106的探测id是“456”进行说明。
121.图7是表示本实施方式中的中央网关400的构成的框图。
122.如图7所示，中央网关400包含ethernet收发部401、开关处理部402、开关规则保持部403、统计信息生成部406、异常检测处理部404、异常检测规则保持部405、统计信息生成部406、以及切换指示部407而构成。
123.ethernet收发部401在本实施方式中具备5个ethernet端口，分别经由ethernet10与诊断端口420、远程信息控制单元410、信息娱乐dcu300、自动驾驶dcu100、以及can网关200连接。此外，端口的个数不限于5。
124.开关处理部402基于开关规则保持部403保持的规则，将由ethernet收发部401接收到的ethernet帧进行向适当的传送目标传送的处理。
125.开关规则保持部403是保持在由开关处理部402进行的ethernet帧的传送中使用的开关规则的存储装置。
126.统计信息生成部406根据由ethernet收发部401接收到的ethernet帧，生成统计信息。统计信息生成部406以按照ipfix生成流信息的通常模式、和与此不同根据ethernet有效载荷的内容生成流信息的扩展模式这2个动作模式中的任一个生成统计信息。
127.另外，统计信息生成部406通过ethernet收发部401接收模式切换指示命令也即是切换指示，进行模式切换。
128.此外，统计信息生成部406生成的统计信息，因与在can网关200的统计信息生成部206中的说明同样的理由，被赋予表示是哪个统计信息生成部生成的信息的探测id。在本实施方式中，以中央网关400也即是统计信息生成部406的探测id是“789”来进行说明。
129.统计信息收集部408收集统计信息。具体而言，统计信息收集部408通过从统计信息生成部406取得中央网关400的统计信息来进行收集。另外，统计信息收集部408通过经由ethernet收发部401接收自动驾驶dcu100生成的统计信息、以及、can网关200生成的统计信息来进行收集。另外，统计信息收集部408将定期收集到的统计信息向外部的服务器2发送。服务器2具备siem(security information and event management：安全信息与事件管理)功能，使用所接收到的统计信息进行异常检测。
130.异常检测处理部404针对统计信息收集部408收集到的统计信息，基于异常检测规则保持部405保持的规则，判定车载网络上的流量是否存在异常。在检测到异常的情况下，将异常内容保存为日志(log)，并且将异常检测内容经由远程信息控制单元410向服务器2通知。(未图示)。
131.异常检测规则保持部405是保持在由异常检测处理部404进行的异常检测处理中使用的规则(也称为异常检测规则)的存储装置。
132.切换指示部407对统计信息生成部406的动作模式进行切换，还对其他装置的统计信息生成部，也即是，自动驾驶dcu100的统计信息生成部106以及can网关200的统计信息生成部206的动作模式进行切换。在对统计信息生成部106以及206的动作模式进行切换时，将动作模式的切换指示通过ethernet10发送。
133.切换指示部407判定是否满足后述的切换条件，在判定为满足切换条件的情况下，将统计信息生成部406等的动作模式从通常模式向扩展模式切换，另外，向自动驾驶dcu100(也即是统计信息生成部106)以及can网关200(也即是统计信息生成部206)发送切换指示。
134.图8是表示作为本实施方式中的动作模式的切换条件例的切换条件800的图。具体而言，图8示出了自动驾驶dcu100的切换指示部407从通常模式向扩展模式切换动作模式时的切换条件。在此，示出了登记有5个条件的例子。
135.条件1是检测出由远程信息控制单元(tcu)410进行的通信中的异常这一条件。例如，在通过远程信息控制单元410接收到来自外部的通信帧时，或在从远程信息控制单元
410向外部发送通信帧时检测到异常的情况下，本条件成立。与外部网络30连接的远程信息控制单元410成为从外部向车辆1的通信的入口，受到攻击的可能性高。另外，在车辆1感染恶意软件而发生了与c&c(命令&控制)服务器的通信的情况下，也会在由远程信息控制单元410进行的通信中发生异常通信，存在向车辆1的不正常控制的攻击不断发展的风险。因此，可以预料在检测到上述异常的情况下，将动作模式从通常模式向扩展模式切换，对车载网络整体的流量进行更加详细的分析而提前把握攻击内容。
136.条件2是在来自诊断端口420的通信中检测到异常这一条件。诊断端口420也成为从外部向车辆1通信的入口，受到攻击的可能性高。因此，可以预料在诊断端口420的通信中检测到异常的情况下，在经由诊断端口420的向车辆1的不正常控制的攻击发展之前，将统计信息的动作模式从通常模式向扩展模式切换，对车载网络整体的流量进行更加详细的分析而提前把握攻击内容。
137.条件3是在来自ivi310的通信中检测到异常这一条件。ivi310经由与智能手机或通过usb(universal serial bus：通用串行总线)等连接的外部设备的连接，存在车辆1的不正常控制的攻击发展的风险。因此，可以预料在由ivi310进行的通信中检测到异常的情况下，将动作模式从通常模式向扩展模式切换，对车载网络整体的流量进行更加详细的分析而提前把握攻击内容。
138.条件4是检测到与车内不存在的ip地址、也即是、通常无法观测到的ip地址的通信这一条件。该情况下，存在与c&c服务器这样的不正常的外部服务器连接的风险、或不正常的外部设备与车内连接的风险。因此，可以预料即使在检测到这样的异常的情况下，也将动作模式从通常模式向扩展模式切换，对车载网络整体的流量进行更加详细的分析而提前把握攻击内容。
139.条件5是检测到与车内不存在的mac地址、也即是、通常无法观测到的mac地址的通信这一条件。这与条件4同样地，存在车内连接有不正常的设备的风险。因此，可以预料即使在检测到这样的异常的情况下，将动作模式从通常模式向扩展模式切换，对车载网络整体的流量进行更加详细的分析而提前把握攻击内容。
140.图9是表示统计信息的生成以及发送的处理的流程图。具体而言，图9所示的处理是示出了统计信息生成部106、206以及406执行的处理的流程图。在此，以统计信息生成部106执行的处理来进行说明，但是对统计信息生成部206或406也同样如此。
141.在步骤s101中，统计信息生成部106从ethernet收发部101接收ethernet帧。
142.在步骤s102中，统计信息生成部106判定由步骤s101接收到的ethernet帧是否包含向扩展模式的切换指示。在判定的结果是判定为包含向扩展模式的切换指示的情况下(在步骤s102中为是)，处理移向步骤s107，否则(在步骤s102中为否)，处理移向步骤s103。
143.在步骤s103中，统计信息生成部106判定当前的车辆1的状态是否是adas(advanced driver
‑
assistance systems：先进的驾驶支援系统)模式或自动驾驶模式。在判定的结果是判定为是adas模式或自动驾驶模式的情况下(在步骤s103中为是)，将处理移向步骤s107，否则(在步骤s103中为否)，将处理移向步骤s104。
144.在步骤s104中，统计信息生成部106判定由步骤s101接收到的ethernet帧的发送目标ip地址、发送源ip地址、发送目标mac地址、或、发送源mac地址是否是与adas或自动驾驶相关的控制单元(ecu、dcu或gw等)的地址。在判定的结果是判定为是与adas或自动驾驶
相关的控制单元的地址的情况下(在步骤s104中为是)，将处理移向步骤s107，否则(步骤s104中为否)，将处理移向步骤s105。
145.在步骤s105中，统计信息生成部106判定在由步骤s101接收到的ethernet帧的有效载荷中是否包含can帧。在判定的结果是判定为包含can帧的情况下(在步骤s105中是yes)，将处理移向步骤s107，否则(在步骤s105中为否)，将处理移向步骤s106。
146.在步骤s106中，统计信息生成部106将动作模式设定为通常模式。
147.在步骤s107中，统计信息生成部106将动作模式设定为扩展模式。
148.在步骤s108中，统计信息生成部106根据动作模式，以通常模式或扩展模式生成统计信息，将所生成的统计信息输出。
149.在步骤s109中，统计信息生成部106将由步骤s108生成的统计信息向具备统计信息收集部408的控制单元发送。在本实施方式中，由于具备统计信息收集部408的控制单元是中央网关400，所以统计信息生成部106、206或406生成的统计信息被汇集于中央网关400的统计信息收集部408。
150.此外，统计信息生成部106也可以在判定为收发部接收到发送源ip地址或发送目标ip地址是预定的ip地址的一个ethernet帧的情况下，针对上述一个ethernet帧，以扩展模式生成统计信息。换言之，也可以使得，针对上述一个ethernet帧以扩展模式生成统计信息，针对之后的ethernet帧以通常模式生成统计信息。
151.另外，统计信息生成部106也可以在判定为收发部接收到与性能控制指示相关的一个ethernet帧的情况下，针对上述一个ethernet帧，以第二模式生成统计信息。换言之，也可以使得针对上述一个ethernet帧以扩展模式生成统计信息，针对之后的ethernet帧以通常模式生成统计信息。
152.图10是详细表示图9的统计信息的生成以及发送的处理(步骤s108)的流程图。
153.在步骤s201中，统计信息生成部106捕获(capture)ethernet帧的头(header)。
154.在步骤s202中，统计信息生成部106对ethernet帧关联时间戳(timestamp)、也即是、接收到该ethernet帧的时刻信息。
155.在步骤s203中，统计信息生成部106根据ethernet帧的头所保存的信息、也即是、发送源ip地址、发送目标ip地址、发送源端口地址、发送目标端口地址以及协议，分类到组。统计信息生成部106将上述的各要素相同的ethernet帧分类到同一组。
156.在步骤s204中，统计信息生成部106判定当前的动作模式是否是扩展模式。在判定的结果是判定为是扩展模式的情况下(在步骤s204中为是)将处理移向步骤s205，否则(在步骤s204中为否)将处理移向步骤s206。
157.在步骤s205中，统计信息生成部106将由步骤s203分类到同一组的ethernet帧，基于ethernet帧的有效载荷进行再分类。
158.在步骤s206中，统计信息生成部106按照步骤s203的分类、或在执行了步骤s205的情况下由步骤s203的分类和步骤s205的再分类实现的每个组，生成统计信息。
159.在步骤s207中，统计信息生成部106将由步骤s206生成的统计信息输出。
160.此外，步骤s206以及s207的统计信息的生成以及输出可以不用每次接收ethernet帧时都进行，可以按照预先决定的时间进行。该情况下，即使没有接收ethernet帧(步骤s101)这一步骤，也可以进行步骤s206以及s207的统计信息的生成以及输出。
161.图11是表示利用了本实施方式中的统计信息的异常检测的、车辆1内的各装置的处理的流程图。图11示出了以通常模式收集到统计信息时在检测到异常的情况下的各装置的处理。
162.针对中央网关400的处理进行以下说明。
163.在步骤s401中，ethernet收发部401判定是否接收到ethernet帧。在判定为接收到ethernet帧的情况下(在步骤s401中为是)，将处理移向步骤s402，否则(在步骤s401中为否)，再执行步骤s401。也即是，ethernet收发部401在步骤s401中等待直到接收到ethernet帧为止。步骤s401相当于图9的步骤s101。
164.在步骤s402中，统计信息收集部408生成统计信息。步骤s402相当于图9的步骤s102～s108。统计信息收集部408每当生成统计信息时，在以扩展模式生成统计信息的情况下，也即是、满足了图9的步骤s102～s105中的任一个条件的情况下，在将动作模式变更为扩展模式的基础上，生成统计信息。
165.在步骤s403中，统计信息收集部408通过接收统计信息而进行收集。统计信息收集部408接收的统计信息包含在后述的步骤s505中自动驾驶dcu100的统计信息生成部106发送的统计信息、和在后述的步骤s605中can网关200的统计信息生成部206发送的统计信息。
166.在步骤s404中，异常检测处理部404对在步骤s403中统计信息收集部408收集到的统计信息，按照异常检测规则保持部405的规则进行异常检测。异常检测处理部404在检测到异常的情况下(在步骤s404在为是)，将处理移向步骤s405，否则(在步骤s404中为否)，将处理移向步骤s406。
167.在步骤s405中，异常检测处理部404将在步骤s404中检测到的异常的内容向服务器2通知。
168.在步骤s406中，切换指示部407判定是否将自动驾驶dcu100以及can网关200的动作模式从通常模式向扩展模式切换。具体而言，切换指示部407对从自动驾驶dcu100以及can网关200取得的统计信息，判定是否满足图9的步骤s102～s105的条件中的任一个，在判定为满足图9的步骤s102～s105的条件中的任一个的情况下，判定为将动作模式从通常模式向扩展模式切换。此外，切换指示部407也可以与上述一起，判定是否将中央网关400的动作模式从通常模式向扩展模式切换。具体而言，切换指示部407对中央网关400的统计信息，判定是否满足图9的步骤s102～s105的条件中的任一个，在判定为满足图9的步骤s102～s105的条件中的任一个的情况下，判定为将动作模式从通常模式向扩展模式切换。
169.在步骤s407中，切换指示部407向自动驾驶dcu100以及can网关200发送切换指示。此外，切换指示部407在判定为将中央网关400的动作模式从通常模式向扩展模式切换的情况下，向统计信息生成部406发送切换指示。若结束了步骤s407，则将处理移向步骤s401。
170.接着，对自动驾驶dcu100的处理按以下进行说明。
171.在步骤s501中，ethernet收发部101判定是否接收到ethernet帧。在判定为接收到ethernet帧的情况下(在步骤s501中为是)，将处理移向步骤s502，否则(在步骤s501中为否)，再次执行步骤s501。也即是，ethernet收发部101在步骤s501中等待直到接收到ethernet帧为止。
172.在步骤s502中，统计信息生成部106判定由步骤s501接收到的ethernet帧是否包含切换指示。在判定为包含切换指示的情况下(在步骤s502中为是)将处理移向步骤s503，
否则(在步骤s502中为否)，将处理移向步骤s504。
173.在步骤s503中，统计信息生成部106将动作模式从通常模式向扩展模式切换。
174.在步骤s504中，统计信息生成部106根据动作模式，以通常模式或扩展模式生成统计信息。
175.在步骤s505中，统计信息生成部106将由步骤s504生成的统计信息向具备统计信息收集部408的中央网关400发送。若结束了步骤s505，则将处理移向步骤s501。
176.接着，对can网关200的处理在以下进行说明。
177.在步骤s601中，ethernet收发部201判定是否接收到ethernet帧。在判定为接收到ethernet帧的情况下(在步骤s601中为是)，将处理移向步骤s602，否则(在步骤s601中为否)，再次执行步骤s601。也即是，ethernet收发部201在步骤s601中等待直到接收到ethernet帧为止。
178.在步骤s602中，统计信息生成部206判定由步骤s601接收到的ethernet帧是否包含切换指示。在判定为包含切换指示的情况下(在步骤s602中为是)将处理移向步骤s603，否则(在步骤s602中为否)，将处理移向步骤s604。
179.在步骤s603中，统计信息生成部206将动作模式从通常模式向扩展模式切换。
180.在步骤s604中，统计信息生成部206根据动作模式，以通常模式或扩展模式生成统计信息。
181.在步骤s605中，统计信息生成部206将由步骤s604生成的统计信息向具备统计信息收集部408的中央网关400发送。若结束了步骤s605，则将处理移向步骤s601。
182.接着，针对服务器2的处理在以下进行说明。
183.在步骤s301中，服务器2从中央网关400接收异常的通知。服务器2接收的异常的通知包含在步骤s406中中央网关400发送的异常的通知。
184.在步骤s302中，服务器2将统计信息显示于显示画面。显示画面既可以显示于与服务器2连接的显示装置，也可以显示于与服务器2经由通信线路连接的终端等的显示装置。可以预料所显示的统计信息例如由分析官视认，成为由分析官进行分析的对象。
185.图12是表示本实施方式中的、作为统计信息生成部106等在通常模式下生成的统计信息的例子的统计信息900的说明图。
186.图12所示的统计信息900是根据ethernet收发部101收发的ethernet帧生成的流信息的一例。在统计信息900中，1个流对应于1个条目(entry)。在此，1个流是发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议相同的多个ethernet帧的组、并且是统计信息生成部106以通常模式生成的。
187.如图12所示，统计信息900包含探测id、流id、发送源ip地址、发送目标ip地址、发送源mac地址、发送目标mac地址、发送源端口编号、发送目标端口编号、协议、流量、以及会话持续时间而构成。
188.探测id(probe id)是与检测出该条目所对应的流的装置关联的标识符。就自动驾驶dcu100的统计信息生成部106检测出的流而言，探测id是456，就can网关200的统计信息生成部206检测出的流而言，探测id是123，就中央网关400的统计信息生成部406检测出的流而言，探测id是789。
189.流id是能够唯一确定该条目所对应的流的标识符。
190.发送源ip地址、发送目标ip地址、发送源mac地址、发送目标mac地址、发送源端口编号、发送目标端口编号、以及协议分别是与该条目对应的流的发送源ip地址、发送目标ip地址、发送源mac地址、发送目标mac地址、发送源端口编号、发送目标端口编号、以及协议。
191.流量是与该条目对应的流(flow)的通信量。
192.会话持续时间是与该条目对应的流持续的时间。会话持续时间在协议是tcp的情况下，相当于tcp会话的持续时间。在协议是udp的情况下，不进行作为udp协议的持续时间的管理，但是能作为属于该流的包从最初被检测到起到最后被检测到为止的时间进行观测。
193.此外，统计信息所包含的信息并不限定于上述的项目。例如，也可以将能够识别是根据ethernet收发部101发送的ethernet帧生成的统计信息还是根据ethernet收发部101接收到的ethernet帧生成的统计信息的信息追加到统计信息中。
194.图13是表示在本实施方式中的ethernet帧的数据字段中包含can消息的情况下的流的分类的例子的图。具体而言，图13示出了在ethernet帧的数据字段包含can消息的情况下，统计信息生成部106在扩展模式下生成统计信息时的、按每个can id生成统计信息的处理。
195.图13示出了多个ethernet帧。也将多个ethernet帧从上方起按顺序称为帧#1、#2、#11、#12、#13、#14、#21。
196.在图13所示的多个ethernet帧中，发送源ip地址、发送目标ip地址、发送源mac地址、发送目标mac地址、发送源端口编号、发送目标端口编号相同、且有效载荷所包含的can id以100和200而不同。
197.该情况下，统计信息生成部106将图13所示的多个ethernet帧之中、can id为100的ethernet帧#1、#2、#11、#13以及#21分类到1个组。也将该组称为流id为10的流。
198.另外，统计信息生成部106将图13所示的多个ethernet帧之中、can id为200的ethernet帧#12以及#14分类到1个组。也将该组称为流id是20的流。
199.而且，统计信息生成部106按每个流生成统计信息。
200.图14是表示本实施方式中的、作为统计信息生成部106等在扩展模式下生成、统计信息收集部408收集到的统计信息的例子的统计信息1000的说明图。
201.图14所示的统计信息1000是根据ethernet收发部101收发的ethernet帧生成的流信息的一例。在统计信息1000中，1个流对应于1个条目。在此，1个流是发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及、协议相同、且can id相同的多个ethernet帧的组，并且是统计信息生成部106以扩展模式生成的。
202.如图14所示，统计信息1000包含探测id、流id、发送源ip地址、发送目标ip地址、发送源mac地址、发送目标mac地址、发送源端口编号、发送目标端口编号、协议、can id、流量、以及会话持续时间而构成。
203.针对统计信息1000，与以通常模式生成的统计信息900(参照图12)的不同之处在于，包含can id。
204.can id是与该条目对应的can id。can id是与移动控制相关的识别信息的一例。
205.统计信息生成部106如上所述，能够按ethernet帧的数据区域所包含的每个can id进行区别，生成统计信息。
206.图15是表示作为包含本实施方式中的异常检测规则的规则表的例子的规则表1100的说明图。图15示出了中央网关400的异常检测规则保持部405保持的异常检测规则。
207.图15是列举出被许可的ethernet的流的条件的白名单(white list)。此外，也可以取代白名单，使用列举了不被许可的(也即是禁止的)ethernet的流的条件的黑名单。
208.例如，规则id为001的规则，针对探测id是123或789、发送源ip地址是192.168.0.10、发送目标ip地址是192.168.0.20、发送源mac地址是aa：bb：cc：dd：ee：ff、发送目标mac地址是ab：ab：ab：cd：cd：cd、发送源端口编号是10、发送目标端口编号是20、且can id为100的流，以流量在0.8～1.2mbps的范围内、且会话持续时间为1秒以上作为条件而示出。
209.另外，例如，规则id为005的规则，针对探测id为all(也即是任意id)、发送源ip地址是192.168.0.10的流，以同时连接会话数的上限为2作为条件而示出。
210.异常检测处理部404在观测到脱离了各规则所定义的条件的统计信息的情况下，判定为异常。此外，在使用黑名单的情况下，异常检测处理部404在观测到满足各规则所定义的条件的统计信息的情况下判定为异常。
211.图16是表示使用了本实施方式中的服务器2中的统计信息的监视画面的第一例的说明图。
212.图16示出了将统计信息收集部408收集到的统计信息向外部的服务器2发送，由服务器2提供的、使用统计信息来远程监视车辆1时使用的监视画面的一例。
213.图16是将探测id为123的统计信息、和探测id为456的统计信息的显示设为开(on)，将探测id为789的统计信息的显示设为关(off)时的监视画面例。
214.服务器2在该画面中，显示在自动驾驶dcu100与can网关200之间的ethernet通信中，对什么样的can消息进行收发。视认该画面的用户(例如分析官)通过该画面，能够观测在自动驾驶dcu100与can网关200之间的ethernet通信中，收发什么样的can消息。
215.在图16中，从自动驾驶dcu100(ip：192.168.0.10、发送源端口编号：10)向can网关200(ip地址：192.168.0.20、发送目标端口编号：20)以流量1mbps流动在有效载荷中包含can id为100的can帧的ethernet帧相关的流f1这一情况由箭头的图形示出。图形不限于箭头。此外，流量的大小也可以表现为箭头的粗细。进而，针对后述的流f2、f4、f5以及f6，作为图形的表现方法也可以与流f1同样。
216.另外，示出了自从动驾驶dcu100向can网关200以流量0.1mbps流动在有效载荷中包含can id为200的can帧的ethernet帧相关的流f2这一情况。
217.在图15的异常检测规则中，就从自动驾驶dcu100(发送源端口编号：10)向can网关200(发送目标端口编号：20)而言，许可can id为100的流进行流动，但是不许可can id为200的流，因此，通过异常检测处理部404判定为流f2为异常。
218.为了示出该结果，服务器2在流f2的附近、更具体而言，在与表示流f2的图形重叠的位置显示记号m。
219.图17是表示使用了本实施方式中的服务器2中的统计信息的监视画面的第二例的说明图。
220.图17示出了将统计信息收集部408收集到的统计信息向外部的服务器2发送，由服务器2提供的、使用统计信息来远程监视车辆1时使用的监视画面的其他例。
221.图17是将探测id为123的统计信息、探测id为456的统计信息的显示设为关(off)，将探测id为789的统计信息的显示设为开(on)时的监视画面例。
222.服务器2在该画面中，显示在自动驾驶dcu100与can网关200之间的ethernet通信中，正在收发什么样的can消息。视认该画面的用户(例如分析官)通过该画面，能够观测在自动驾驶dcu100与can网关200之间的ethernet通信中，正在收发什么样的can消息。
223.在图17中，示出了从自动驾驶dcu100(ip：192.168.0.10、发送源端口编号：10)向can网关200(ip地址：192.168.0.20、发送目标端口编号：20)，以流量1mbps流动在有效载荷中包含can id为100的can帧的ethernet帧相关的流f4。
224.另外，能够观测到从自动驾驶dcu100向can网关200，以流量0.1mbps流动在有效载荷中包含can id为110的can帧的ethernet帧相关的流f5。
225.另外，能够观测到从自动驾驶dcu100向can网关200，以流量0.1mbps流动在有效载荷中包含can id为200的can帧的ethernet帧相关的流f6。
226.在图15的异常检测规则中，就从自动驾驶dcu100(发送源端口编号：10)向can网关200(发送目标端口编号：20)而言，许可流动can id为100的流，但是不许可can id为110或200的流，因此，由异常检测处理部404判定流f5以及f6为异常。
227.不被许可的ethernet帧相关的流被观测到是指，车辆1有可能受到攻击，通过如图16或图17那样进行可视化，能够提前检测攻击。
228.(实施方式的变形例1)
229.在本变形例中，说明在使用了some/ip(scalable service
‑
oriented middleware over ip：基于ip的可扩展面向服务的中间件)通信的车载网络中，对移动网络中的异常进行适当分析的统计信息生成装置。
230.图18是表示包含本变形例中的some/ip消息的ethernet帧的帧格式的说明图。
231.在图18所示的ethernet帧中，在数据、也即是ethernet有效载荷中保存有由some/ip使用的message id即消息id(service id/method id：服务id/方法id)、request id即请求id(client id/session id：客户端id/会话id)、以及protocol version即协议版本等。
232.图19是表示针对本变形例中的some/ip通信的统计信息的生成以及发送的处理的流程图。
233.图19所示的流程图是与图9中说明的在ethernet有效载荷中保存了can帧的情况大致相同的流程。在图19所示的流程图中，与图9不同的部分是步骤s705以及步骤s708。步骤s701～s704、s706、s707、s709分别与图9所示的步骤s101～s104、s106、s107、s109相同。
234.具体而言，在步骤s705中，统计信息生成部106判定在由步骤s701接收到的ethernet帧的有效载荷中是否包含some/ip消息。在判定的结果是包含some/ip消息的情况下(在步骤s705中为是)，将处理移向步骤s707，否则(在步骤s705中为否)，将处理移向步骤s706。
235.在步骤s708中，统计信息生成部106根据动作模式，以通常模式或扩展模式生成统计信息，将所生成的统计信息输出。此时，统计信息生成部106通过some/ip消息所包含的项目进行分类。具体而言，统计信息生成部106例如既可以按message id分类而生成统计信息，也可以按request id分类而生成统计信息。
236.通过这样，能够把握some/ip通信中的控制指示的收发的流，并且能够提前检测专
门用于some/ip通信的攻击。
237.(实施方式的变形例2)
238.在本变形例中，说明对移动网络中的异常进行适当分析的统计信息生成装置的其他构成例。
239.图20是表示本变形例中的统计信息生成装置100a的构成的框图。
240.如图20所示，统计信息生成装置100a具备：收发部101a和统计信息生成部106a。
241.收发部101a对ethernet帧进行收发。
242.统计信息生成部106a收集收发部101a在预定的时间内发送或接收的多个ethernet帧，将所收集到的多个ethernet帧之中、ethernet帧所包含的发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议相同、且ethernet帧的有效载荷所包含的与移动控制相关的识别信息相同的多个ethernet帧分类到相同组。另外，统计信息生成部106a根据分类到组的多个ethernet帧按组生成统计信息。另外，统计信息生成部106a将所生成的统计信息通过收发部101a发送。
243.由此，能够适当分析移动网络中的异常。
244.图21是表示本变形例中的统计信息生成方法的处理的流程图。
245.图21所示的统计信息生成方法在步骤s1中，收集收发部101a在预定的时间内发送或接收的多个ethernet帧，将所收集到的多个ethernet帧之中、ethernet帧所包含的发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议相同、且ethernet帧的有效载荷所包含的与移动控制相关的识别信息相同的多个ethernet帧分类到相同组。
246.在步骤s2中，将分类到组的多个ethernet帧按每个组生成统计信息。
247.在步骤s3中，将所生成的统计信息通过收发部101a进行发送。
248.由此，能够适当分析移动网络中的异常。
249.以上，本实施方式中的统计信息生成装置除了5－tuples(发送目标ip地址、发送源ip地址、发送目标端口编号、发送源端口编号、以及协议)的信息以外，也考虑与移动控制相关的识别信息，以多个ethernet帧为单位生成统计信息。由此，与仅考虑5－tuples的信息生成统计信息的情况相比，能够以更加详细的单位生成统计信息。若使用这样生成的统计信息，则与仅考虑5－tuples的信息而生成的统计信息相比，能够进行更加详细的分析，能够更加精密地检测异常。由此，统计信息生成装置能够适当分析移动网络中的异常。
250.另外，统计信息生成装置能够在某时机考虑5－tuples的信息生成移动网络的流的统计信息，能够在其他某个时机考虑5－tuples的信息和与移动控制相关的识别信息生成统计信息。这样一来统计信息生成装置能够进行以往的(也即是通常的)统计信息的生成和基于此的分析，并且也能够根据需要，进行详细的统计信息的生成和基于此的精密分析。这样，统计信息生成装置能够更进一步地适当分析移动网络中的异常。
251.另外，统计信息生成装置在满足预定的条件的情况下，能够切换动作模式，以进行详细的统计信息的生成和基于此的精密分析。若要将表现需要进行精密分析的状况的条件用作预定的条件，则统计信息生成装置在需要进行精密分析时，能够切换动作模式以进行精密分析。这样，统计信息生成装置能够更进一步地适当分析移动网络中的异常。
252.另外，统计信息生成装置在接收到切换指示的情况下，能够按照切换指示切换动
作模式。由于切换指示能从ecu或外部的服务器等发送，所以统计信息生成装置能够按照来自ecu或外部的服务器等的切换指示分析异常。这样，统计信息生成装置能够更加适当地分析移动网络中的异常。
253.另外，统计信息生成装置能够基于在移动网络内可能发生的异常的检测，切换动作模式以进行精密分析。这样，统计信息生成装置能够更加适当地分析移动网络中的异常。
254.另外，统计信息生成装置能够对将特定的ip地址作为发送目标或发送源的ethernet帧，进行精密分析。例如，由于针对包含想要进行详细解析的特定的ip地址的ethernet帧连有效载荷都包含在内而生成统计信息，所以能够监视是否流动不正常的车辆控制指示、或车辆是否受到攻击。这样，统计信息生成装置能够更加适当且灵活地分析移动网络中的异常。
255.另外，统计信息生成装置能够对与特定的移动控制指示相关的ethernet帧进行精密分析。例如，由于针对从掌控行驶、转弯、停止这样的车辆控制的ecu发送的、或、向上述ecu发送的ethernet帧生成连有效载荷都包含在内的统计信息，所以能够监视是否流动不正常的车辆控制指示。这样，统计信息生成装置能够更加适当且灵活地分析移动网络中的异常。
256.(其他实施方式)
257.以上，以本发明的技术性例示说明了实施方式以及变形例。然而，本发明的技术并不限定于此，也能够适用于进行了适当变更、置换、附加、省略等的实施方式。例如，以下那样的变形例也包含在本发明的一实施技术方案中。
258.(1)在上述实施方式以及变形例中，作为搭载于汽车的车载网络中的网络安全对策，说明了适用统计信息生成装置的例子，但是适用范围并不限于此。不限于汽车，也可以适用于建机、农机、船舶、铁路、飞机等的移动。即，作为移动网络以及移动网络系统中的网络安全对策也能够适用统计信息生成装置。另外，也可以适用于在工厂或建筑等的产业控制系统中利用的通信网络、或用于控制嵌入式设备的通信网络。
259.(2)在上述实施方式以及变形例中，统计信息生成部对所接收到的ethernet帧生成了统计信息，但是也可以对发送的ethernet帧生成统计信息。通过对发送的ethernet帧生成统计信息，能够容易地确定发送了不正常的ethernet帧的发送源装置。
260.(3)在上述实施方式以及变形例中，对在ethernet的有效载荷中包含can帧或some/ip消息的例子进行了说明，但是也可以适用于在ethernet的有效载荷中包含can－fd(can with flexible data rate：具有灵活数据速率的can)的情况。另外，也可以是除此以外的协议。另外，也可以使用lin(local interconnect network：本地互联网络)、most(注册商标)(media oriented systems transport：面向媒体的系统传输)、flexray(注册商标)、ethernet(注册商标)等。另外，也可以将使用了这些协议的网络设为子网络，将多个种类的协议的子网络进行组合而构成车载网络。另外，ethernet(注册商标)协议也可以被当做包含ieee802.1的ethernet(注册商标)avb(audio video bridging：音频视频桥接)、或ieee802.1的ethernet(注册商标)tsn(time sensitive networking：时间敏感网络)、ethernet(注册商标)/ip(industrial protocol：工业协议)、ethercat(注册商标)(ethernet(注册商标)for control automation technology：以太网控制自动化技术)等的派生的协议的广义的含义而处理。此外，车载网络的网络总线例如可以是由线(wire)、光
纤等构成的有线通信路。
261.(4)在上述实施方式以及变形例中，统计信息生成模式切换指示被从在车内网络检测到异常的ecu发送，但是也可以从外部的服务器2发送。通过从外部的服务器2发送，能够远程切换统计信息生成模式，也即是，能够在任意的时机远程进行包含了ethernet帧的有效载荷的详细的流监视。
262.(5)在上述的实施方式以及变形例中，对包含先进驾驶支援系统的控制或自动驾驶控制命令的ethernet帧，使得，在扩展模式下生成包含了有效载荷的统计信息，但是也可以对除此以外的控制的(数据)包在扩展模式下生成包含了有效载荷的统计信息。
263.(6)在上述实施方式中，图15所示的异常检测规则被定义为白名单(也即是，定义了应满足正常流的条件)，但是也可以被定义为黑名单(也即是，也可以定义应满足异常流的条件)。另外，也可以将白名单和黑名单合在一起进行异常检测。
264.(7)在上述实施方式以及变形例中，使中央网关持有统计信息收集的功能，但是也可以使除此以外的设备持有。另外，也可以在车辆内持有多个统计信息收集功能。例如，也可以在利用vlan等逻辑上区分域的情况下，按每个域持有统计信息收集功能。
265.(8)在上述的实施方式以及变形例中，在图13中ethernet帧的有效载荷仅保存1个can帧，但是也能够适用于图4所示那样的保存多个can帧的情况。在保存有多个can帧的情况下，当生成统计信息时，提取各自的can id，在统计信息中包含多个can id即可。
266.(9)在上述实施方式以及变形例在示出的ecu等的各装置，除了存储器、处理器等以外，还可以具备硬盘单元、显示器单元、键盘、鼠标等。另外，上述实施方式以及变形例中示出的ecu等的各装置也可以通过处理器执行存储器所存储的程序而软件上实现该各装置的功能，也可以通过专用的硬件(数字电路等)不使用程序地实现其功能。另外，该各装置内的各构成要素的功能分担是可变更的。
267.(10)构成上述实施方式以及变形例中的各装置的构成要素的一部分或全部也可以由1个系统lsi(large scale integration：大规模集成电路)构成。系统lsi是将多个构成部集成于1个芯片上制造而成的超多功能lsi，具体而言，是包含微处理器、rom、ram等而构成的计算机系统。在所述ram中记录有计算机程序。通过所述微处理器按照所述计算机程序进行动作，系统lsi实现其功能。另外，构成上述各装置的构成要素的各部既可以独立地进行单芯片化，也可以以包含一部分或全部的方式进行单芯片化。另外，在此，虽然设为系统lsi，但是根据集成度的不同，也有时称为ic、lsi、超大规模lsi、甚大规模lsi。另外，集成电路化的方法不限于lsi，也可以由专用电路或通用处理器实现。也可以在lsi制造后，利用能够编程的fpga(field programmable gate array：现场可编程门阵列)、能够再构成lsi内部的电路单元的连接和设定的可重构处理器。进而，若由于半导体技术的进步或派生的其他技术而出现可代替lsi的集成电路化的技术，则当然也可以使用该技术进行功能块的集成化。也能够进行生物技术的适用等。
268.(11)构成上述各装置的构成要素的一部分或全部也可以由能够装卸于各装置的ic卡或单个模块构成。所述ic卡或所述模块是由微处理器、rom、ram等构成的计算机系统。所述ic卡或所述模块也可以包含上述的超多功能lsi。通过微处理器按照计算机程序进行动作，所述ic卡或所述模块实现其功能。该ic卡或该模块也可以具有防篡改性。
269.(12)作为本发明的一技术方案，既可以是由计算机实现异常检测的方法的程序
(计算机程序)，也可以是由所述计算机程序构成的数字信号。另外，作为本发明的一技术方案，也可以将所述计算机程序或所述数字信号记录于计算机可读取记录介质、例如，软盘、硬盘、cd－rom、mo、dvd、dvd－rom、dvd－ram、bd(blu
‑
ray(注册商标)disc)、半导体存储器等。另外，也可以是记录于这些记录介质的所述数字信号。另外，作为本发明的一技术方案，也可以将所述计算机程序或所述数字信号经由电通信线路、无线或有线通信线路、以互联网为代表的网络、数据广播等而进行传输。另外，作为本发明的一技术方案，是具备微处理器和存储器的计算机系统，所述存储器也可以记录上述计算机程序，所述微处理器按照所述计算机程序进行动作。另外，也可以将所述程序或所述数字信号记录于所述记录介质进行移送、或将所述程序或所述数字信号经由所述网络等进行移送，通过独立的其他计算机系统实施。
270.(13)通过将上述实施方式以及上述变形例示出的各构成要素以及功能任意组合而实现的方式也包含在本发明的范围中。
271.产业上的可利用性
272.本发明能够利用于适当分析移动网络中的异常的统计信息生成装置。
273.标号说明
274.1 车辆
275.2 服务器
276.10 ethernet
277.20 can
278.30 外部网络
279.100 自动驾驶dcu
280.100a 统计信息生成装置
281.101、201、401 ethernet收发部
282.101a 收发部
283.102、402 开关处理部
284.103、403 开关规则保持部
285.106、106a、206、406 统计信息生成部
286.110 自动驾驶ecu
287.120 摄像头
288.130 lidar
289.140 动态地图ecu
290.200 can网关
291.202、202a can收发部
292.203 传送判断部
293.204 传送规则保持部
294.210 发动机ecu
295.220 转向器ecu
296.230 制动器ecu
297.240 窗口ecu
298.300 信息娱乐dcu
299.310 ivi
300.400 中央网关
301.404 异常检测处理部
302.405 异常检测规则保持部
303.407 切换指示部
304.408 统计信息收集部
305.410 远程信息控制单元
306.420 诊断端口
307.800 切换条件
308.900、1000 统计信息
309.1100 规则表
310.f1、f2、f4、f5、f6 流
311.m 记号