攻擊檢測方法、攻擊檢測系統、以及程序與流程

1.本公開涉及檢測對傳感器數據的攻擊的攻擊檢測方法、攻擊檢測系統、以及程序。


背景技術：

2.要求監視汽車的系統(監視系統)檢測對以車輛控制為目的而收發的車輛傳感器數據的攻擊(攻擊檢測)。監視系統也具有監視對象是大規模的這一特征。因此，需要抑制汽車與系統之間的通信成本或攻擊檢測的運算成本這樣的監視成本。作為運算成本得以抑制的監視系統，公開了如下技術，即，通過根據頻率解析的結果對于作為監視對象的傳感器數據提取峰值等特征量，從而將削減了數據量的采樣日志向監視系統發送(例如，參照專利文獻1)。
3.現有技術文獻
4.專利文獻1：日本特開2018－164159號公報
5.專利文獻2：國際公開第2019/187350號
6.非專利文獻1：p.malhotra，“long short term memory networks for anomaly detection in time series”，23rd european symposium on artificial neural networks，computational intelligence and machine learning，esann 2015.


技術實現要素：

7.發明要解決的問題
8.然而，在專利文獻1所記載的技術中，進行采樣的數據是為了削減數據量而由監視系統確定的唯一的時間間隔的數據。因此，有可能所采樣的數據中不包含攻擊消息而錯過攻擊。
9.另外，已知利用傳感器數據從正常周期的背離來從所采樣的消息中檢測攻擊(攻擊消息)的技術(例如，參照專利文獻2)。然而，即使在這樣的技術中，也很難根據攻擊消息的取得間隔準確地檢測攻擊。
10.因此，期望兼顧數據量削減和攻擊檢測性能，但是如上所述在現有技術中，很難兼顧數據量削減和攻擊檢測性能。
11.因此，本公開提供一種能夠兼顧數據量削減和攻擊檢測性能的攻擊檢測方法、攻擊檢測系統、以及程序。
12.用于解決問題的手段
13.本公開的一技術方案的攻擊檢測方法，是檢測對在移動體(mobility)內部為了進行移動體的控制而收發的傳感器數據的攻擊的攻擊檢測方法，包括：采樣方針決定步驟，按所述傳感器數據所包含的傳感器值的每個標識符，基于表示所述傳感器數據的所述傳感器值的偏差的統計值、以及表示所述傳感器值的變化的時機的所述移動體的事件信息中的至少一方，決定包含從所述傳感器數據中提取用于檢測所述攻擊的所述傳感器值的采樣間隔和每個該采樣間隔的采樣時間的采樣方針；采樣數據生成步驟，基于所述采樣間隔和所述
采樣時間，生成采樣數據，所述采樣數據包含：從所述傳感器數據中提取出的2個以上的傳感器值、表示所述采樣時間中的所述2個以上的傳感器值的時間上的順序的第一順序信息、以及表示每個所述采樣間隔的所述2個以上的傳感器值的時間上的順序的第二順序信息；攻擊判定步驟，基于所述采樣數據所包含的評價對象數據的傳感器值、所述第一順序信息、以及表示取得了所述評價對象數據的所述采樣時間中的與所述評價對象數據相比過去的傳感器值的時序數據的短期傳感器流，算出表示所述評價對象數據的異常的程度的第一異常得分，基于所述評價對象數據的傳感器值、所述第二順序信息、以及表示以與取得了所述評價對象數據的所述采樣間隔相比過去的所述采樣間隔取得了的傳感器值的變化的長期傳感器流，算出表示所述評價對象數據的異常的程度的第二異常得分，基于所算出的所述第一異常得分和所述第二異常得分，判定所述評價對象數據是否是受到所述攻擊的數據，并輸出判定結果。
14.另外，本公開的一技術方案的攻擊檢測系統，是檢測對在移動體內部用于進行移動體的控制而收發的傳感器數據的攻擊的攻擊檢測系統，具備：采樣方針決定部，按所述傳感器數據所包含的傳感器值的每個標識符，基于表示所述傳感器數據的所述傳感器值的偏差的統計值、以及表示所述傳感器值的變化的時機的所述移動體的事件信息中的至少一方，決定包含從所述傳感器數據中提取用于檢測所述攻擊的所述傳感器值的采樣間隔和每個該采樣間隔的采樣時間的采樣方針；采樣數據生成部，基于所述采樣間隔和所述采樣時間，生成采樣數據，所述采樣數據包含：從所述傳感器數據中提取出的2個以上的傳感器值、表示所述采樣時間中的所述2個以上的傳感器值的時間上的順序的第一順序信息、以及表示每個所述采樣間隔的所述2個以上的傳感器值的時間上的順序的第二順序信息；攻擊判定部，基于所述采樣數據所包含的評價對象數據的傳感器值、所述第一順序信息、以及表示取得了所述評價對象數據的所述采樣時間中的與所述評價對象數據相比過去的傳感器值的時序數據的短期傳感器流，算出表示所述評價對象數據的異常的程度的第一異常得分，基于所述評價對象數據的傳感器值、所述第二順序信息、以及表示以與取得了所述評價對象數據的所述采樣間隔相比過去的所述采樣間隔取得了的傳感器值的變化的長期傳感器流，算出表示所述評價對象數據的異常的程度的第二異常得分，基于所算出的所述第一異常得分和所述第二異常得分，判定所述評價對象數據是否是受到所述攻擊的數據，并輸出判定結果。
15.另外，本公開的一技術方案的程序是用于使計算機執行上述的攻擊檢測方法的程序。
16.發明效果
17.根據本公開的一技術方案，能夠提供一種可兼顧數據量削減和攻擊檢測性能的攻擊檢測方法、攻擊檢測系統、以及程序。
附圖說明
18.圖1是表示實施方式的監視系統的構成的框圖。
19.圖2是表示實施方式的監視系統的動作的概要的流程圖。
20.圖3是表示實施方式的采樣方針生成部的構成的框圖。
21.圖4是表示實施方式的采樣方針生成處理的流程圖。
22.圖5是表示實施方式的車輛傳感器數據的一例的圖。
23.圖6是說明實施方式的采樣的圖。
24.圖7是表示實施方式的采樣方針數據的一例的圖。
25.圖8是表示實施方式的采樣數據生成部的構成的框圖。
26.圖9是表示實施方式的采樣數據生成處理的流程圖。
27.圖10是表示實施方式的采樣數據的一例的圖。
28.圖11是表示實施方式的攻擊檢測部的構成的框圖。
29.圖12是表示實施方式的攻擊檢測處理的流程圖。
30.圖13是表示實施方式的基點數據的一例的圖。
31.圖14是表示實施方式的檢測結果的一例的圖。
32.圖15是表示實施方式的基點數據更新部的構成的框圖。
33.圖16是表示實施方式的基點數據更新處理的流程圖。
34.圖17是表示實施方式的監視系統的構成的示意圖。
35.圖18是表示實施方式的車載裝置的構成的示意圖。
具體實施方式
36.(成為本公開的基礎的見解)
37.為了實現能夠以低監視成本實現的監視系統，需要構筑適當的采樣方法和攻擊檢測方法這兩方。
38.在專利文獻1中，為了抑制監視系統中的監視成本，基于周期性的傳感器數據的頻率解析的結果，以采樣間隔提取峰值等代表值，由此生成低密度的數據。因此，以能夠周期性取得傳感器值或具有規則性的值為前提。
39.然而，有時取得周期或傳感器值的規則性會被攻擊者嚴重破壞。在專利文獻1中，由于簡單地提取代表值，所以會導致在周期性的傳感器數據的采樣時有時欠缺由攻擊者注入的攻擊值，難以進行攻擊的檢測。也就是說，在采樣時有時由攻擊者注入的攻擊值沒有被采樣。因此，謀求構筑與攻擊檢測相適的、更進一步的采樣方法。
40.在專利文獻2中，作為攻擊檢測方法，事先算出傳感器數據的正常周期，在實際觀測到的周期不在正常周期加上容限(margin)后的范圍內的情況下，判定為攻擊消息。容限是容許由正常消息與攻擊消息的沖突產生的延遲的范圍。本方法作為能夠檢測所追加的攻擊消息等方法而具有魯棒性。
41.然而，在專利文獻2中，由于基于消息的取得時間進行有無攻擊的判定，所以難以適用于通過傳感器數據的采樣使1個傳感器值的取得間隔成為采樣間隔的數據。
42.另外，在非專利文獻1中，作為攻擊檢測方法，公開了如下技術，即，事先學習傳感器值的正常的舉止，在基于實際觀測到的傳感器值的列表來預測接下來的傳感器值的結果背離了正常的舉止的情況下，判定為攻擊消息。本方法也能夠適用于與采樣間隔等周期相比較長的時間間隔的時序數據。
43.然而，為了預測接下來的傳感器值而實際觀測到的傳感器值的列表必須以攻擊消息不會混入的方式而充足。
44.因此，為了解決上述技術問題，與采樣方法的構筑相配合地，攻擊檢測方法也需要
進一步的改良。也就是說，期望能夠兼顧數據量削減和攻擊檢測性能。因此，本技術的發明人對能夠兼顧數據量削減和攻擊檢測性能的攻擊檢測方法等進行了銳意研究，并提出了以下說明的攻擊檢測方法等。
45.本公開的一技術方案的攻擊檢測方法，是檢測在對移動體(mobility)內部為了進行移動體的控制而收發的傳感器數據的攻擊的攻擊檢測方法，包括：采樣方針決定步驟，按所述傳感器數據所包含的傳感器值的每個標識符，基于表示所述傳感器數據的所述傳感器值的偏差的統計值、以及表示所述傳感器值的變化的時機的所述移動體的事件信息中的至少一方，決定包含從所述傳感器數據中提取用于檢測所述攻擊的所述傳感器值的采樣間隔和每個該采樣間隔的采樣時間的采樣方針；采樣數據生成步驟，基于所述采樣間隔和所述采樣時間，生成采樣數據，所述采樣數據包含：從所述傳感器數據中提取出的2個以上的傳感器值、表示所述采樣時間中的所述2個以上的傳感器值的時間上的順序的第一順序信息、以及表示每個所述采樣間隔的所述2個以上的傳感器值的時間上的順序的第二順序信息；攻擊判定步驟，基于所述采樣數據所包含的評價對象數據的傳感器值、所述第一順序信息、以及表示取得了所述評價對象數據的所述采樣時間中的與所述評價對象數據相比過去的傳感器值的時序數據的短期傳感器流，算出表示所述評價對象數據的異常的程度的第一異常得分，基于所述評價對象數據的傳感器值、所述第二順序信息、以及表示以與取得了所述評價對象數據的所述采樣間隔相比過去的所述采樣間隔取得了的傳感器值的變化的長期傳感器流，算出表示所述評價對象數據的異常的程度的第二異常得分，基于所算出的所述第一異常得分和所述第二異常得分，判定所述評價對象數據是否是受到所述攻擊的數據，并輸出判定結果。
46.由此，與成為攻擊檢測處理的對象的傳感器數據的特征相配合地，調整采樣間隔和采樣時間，進行采樣數據的生成。進而，基于包含表示采樣時間(短期)和采樣間隔(長期)中的傳感器值的時間上的順序的2種順序信息(例如，索引)在內的采樣數據，算出2種異常得分，由此進行攻擊的判定。例如，通過將采樣間隔以及采樣時間中的至少一方設定得長，能夠削減數據量。另外，通過算出2種異常得分，與僅算出1種異常得分的情況相比，能夠高精度地檢測攻擊。由此，能夠在抑制監視成本的同時高精度進行攻擊檢測。由此，能夠兼顧數據量削減和攻擊檢測性能。
47.另外，例如也可以是，所述統計值包含表示每個所述標識符的傳感器值的偏差的方差值，所述事件信息包含表示是否發生了所述傳感器值的變化的標記信息，在所述采樣方針決定步驟中，基于所述方差值和所述標記信息，決定所述采樣間隔和所述采樣時間。
48.由此，由于使用傳感器值的方差值以及標記信息這兩方，所以能夠更準確地決定采樣間隔和采樣時間。
49.另外，例如也可以是，在所述采樣方針決定步驟中，根據所述方差值是否為第一閾值以上的判定結果、和表示所述標記信息是否表示沒有發生所述傳感器值的變化這一情況的組合，決定所述采樣時間和所述采樣間隔。
50.由此，通過傳感器數據的方差值的判定結果和事件信息的內容的組合，能夠決定采樣間隔和采樣時間。由此，能夠通過判定結果決定適當的采樣間隔和采樣時間。例如，在方差值不為第一閾值以上的情況下，由于傳感器值是穩定的，所以能夠將采樣間隔以及采樣時間中的至少一方決定為長的時間。由此，能夠適當削減所提取的傳感器數據的數據量。
51.另外，例如也可以是，所述標記信息包含表示是否發生了所述移動體的驅動部的on和off的切換、換擋桿的切換、以及自動駕駛模式的on和off的切換中的至少1個的信息。
52.由此，能夠決定與移動體的驅動部、換擋桿、以及自動駕駛模式的切換相應的采樣間隔和采樣時間。例如，能夠將從發生切換起預定時間經過后的采樣間隔以及采樣時間的至少一方決定為長的時間。由此，能夠更加適當地削減傳感器數據的數據量。
53.另外，例如也可以是，在所述采樣數據生成步驟中，基于在所述采樣時間中應觀測的正常接收數據數，決定在所述采樣時間內提取的傳感器數據的提取數，并提取所決定了的所述提取數的傳感器數據。
54.由此，能夠基于所觀測到的傳感器數據數，更加適當地削減傳感器數據的數據量。
55.另外，例如也可以是，在所述采樣數據生成步驟中，判定所述采樣時間中所觀測到的所述傳感器值數是否為所述正常接收數據數以上，在為所述正常接收數據數以上的情況下，提取預定數的所述傳感器值，在不為所述正常接收數據數以上的情況下，將所述傳感器數據所包含的所述傳感器值全數提取。
56.由此，在傳感器數據包含攻擊數據的情況下，能夠抑制攻擊數據的欠缺并進行采樣。由此，能夠對采樣數據高精度地進行攻擊檢測。
57.另外，例如也可以是，所述第一順序信息是表示在所述采樣時間中所述2個以上的傳感器值被取得的順序的第一索引，所述第二順序信息是表示所述2個以上的傳感器值被取得的所述采樣間隔的順序的第二索引，在所述攻擊判定步驟中，在所述評價對象數據所關聯的所述第一索引低于第三閾值、且所述評價對象數據所關聯的所述第二索引低于第四閾值的情況下，判定為不清楚所述評價對象數據是否是受到所述攻擊的數據，在基于所述第一異常得分以及所述第二異常得分的第三異常得分為第五閾值以上的情況下，判定為所述評價對象數據是受到所述攻擊的數據，在所述第三異常得分低于所述第五閾值的情況下，判定為所述評價對象數據是正常的，將表示所判定出的結果的所述評價對象數據所關聯的所述判定結果輸出。
58.由此，能夠削減采樣數據中的攻擊檢測困難的評價對象數據，并能夠進行基于短期的以及長期的傳感器值的變化的統合性的判定。由此，能夠對采樣數據高精度地進行攻擊檢測。
59.另外，例如，還可以包括更新步驟，所述更新步驟中，基于所述評價對象數據所關聯的所述判定結果、所述第一順序信息、以及所述第二順序信息，更新所述短期傳感器流和所述長期傳感器流。
60.由此，能夠更新在攻擊檢測的判定中使用的短期傳感器流和長期傳感器流。通過使用更新后的短期傳感器流和長期傳感器流，能夠提高攻擊檢測性能。
61.另外，例如也可以是，在所述更新步驟中，在所述評價對象數據所關聯的所述判定結果是攻擊的情況下，使用所述短期傳感器流和所述長期傳感器流中的至少1個推定所述評價對象數據應該能取的傳感器值，基于所推定出的推定傳感器值、所述第一順序信息、以及所述第二順序信息，更新所述短期傳感器流和所述長期傳感器流，在所述評價對象數據所關聯的所述判定結果是正?；蛘卟磺宄那闆r下，基于所述評價對象數據的傳感器值、所述第一順序信息、以及所述第二順序信息，更新所述短期傳感器流和所述長期傳感器流。
62.由此，即使在采樣數據中包含攻擊數據的情況下，也能夠除去攻擊數據，更新為適
當的短期傳感器流以及長期傳感器流。也就是說，能夠抑制在短期傳感器流以及長期傳感器流中包含攻擊數據這一情況。由此，能夠對采樣數據進行更高精度的攻擊檢測。
63.另外，例如，所述傳感器數據也可以存儲于搭載于所述移動體的設備，并且是遵從can(controller area network：注冊商標)，can fd(can with flexible data－rate)，flexray(注冊商標)，以及ethernet(注冊商標)中的至少1個協議對以任意的行駛時間間隔所收發的以字節表現的網絡數據進行了解碼而得到的結果。
64.由此，在遵從can、can fd、flexray、以及ethernet中的至少1個協議進行通信的網絡中，能夠兼顧數據量削減和攻擊檢測性能。
65.另外，例如，所述移動體也可以是車輛。
66.由此，能夠削減計算資源有限的車輛中的數據量，并能夠抑制對該車輛的攻擊的攻擊檢測性能的降低。
67.另外，本公開的一技術方案的攻擊檢測系統，是檢測對在移動體內部用于進行移動體的控制而收發的傳感器數據的攻擊的攻擊檢測系統，具備：采樣方針決定部，按所述傳感器數據所包含的傳感器值的每個標識符，基于表示所述傳感器數據的所述傳感器值的偏差的統計值、以及表示所述傳感器值的變化的時機的所述移動體的事件信息中的至少一方，決定包含從所述傳感器數據中提取用于檢測所述攻擊的所述傳感器值的采樣間隔和每個該采樣間隔的采樣時間的采樣方針；采樣數據生成部，基于所述采樣間隔和所述采樣時間，生成采樣數據，所述采樣數據包含：從所述傳感器數據中提取出的2個以上的傳感器值、表示所述采樣時間中的所述2個以上的傳感器值的時間上的順序的第一順序信息、以及表示每個所述采樣間隔的所述2個以上的傳感器值的時間上的順序的第二順序信息；攻擊判定部，基于所述采樣數據所包含的評價對象數據的傳感器值、所述第一順序信息、以及表示取得了所述評價對象數據的所述采樣時間中的與所述評價對象數據相比過去的傳感器值的時序數據的短期傳感器流，算出表示所述評價對象數據的異常的程度的第一異常得分，基于所述評價對象數據的傳感器值、所述第二順序信息、以及表示以與取得了所述評價對象數據的所述采樣間隔相比過去的所述采樣間隔取得了的傳感器值的變化的長期傳感器流，算出表示所述評價對象數據的異常的程度的第二異常得分，基于所算出的所述第一異常得分和所述第二異常得分，判定所述評價對象數據是否是受到所述攻擊的數據，并輸出判定結果。另外，本公開的一技術方案的程序是用于使計算機執行上述的攻擊檢測方法的程序。
68.由此，實現與上述的攻擊檢測方法同樣的效果。
69.此外，這些整體或具體的技術方案也可以由系統、方法、集成電路、計算機程序或計算機可讀取cd－rom等記錄介質而實現，也可以由系統、方法、集成電路、計算機程序或記錄介質的任意組合而實現。
70.以下，針對實施方式的監視方法(攻擊檢測方法的一例)等，一邊參照附圖一邊說明。在此示出的實施方式均表示總括的或具體的例子。因此，以下的實施方式中示出的數值、構成要素、構成要素的配置以及連接方式、以及步驟和步驟的順序等是一例，并非限定本公開的發明。另外，以下的實施方式的構成要素中獨立權利要求沒有記載的構成要素是能夠任意附加的構成要素。另外，各圖是示意圖，并非進行了嚴格的圖示。
71.(實施方式)
72.首先，說明本實施方式的監視系統的構成。在本實施方式中，對監視系統100是用于檢測對在車輛內部為了進行車輛控制而收發的傳感器數據(車輛傳感器數據)的攻擊的信息處理系統的例子進行說明。車輛是作為監視系統100檢測攻擊的對象的移動體(mobility)的一例。另外，監視系統100是攻擊檢測系統的一例。
73.[1－1.監視系統的構成]
[0074]
圖1是表示本實施方式的監視系統100的構成的框圖。
[0075]
監視系統100是用于按照車輛傳感器數據(參照圖5)中的評價對象數據判定是否(受到)攻擊的系統。監視系統100判定該評價對象數據是否是受到攻擊的數據。此外，也將判定該評價對象數據是否是受到攻擊的數據記載為是否是攻擊數據。評價對象數據也可以說是判定是否是攻擊數據的對象的傳感器值。
[0076]
另外，車輛傳感器數據存儲于搭載于車輛的設備，是例如遵循can(controller area network：注冊商標)，can fd(can with flexible data－rate)，flexray(注冊商標)，以及ethernet(注冊商標)中的至少1個協議，按任意的行駛時間間隔(移動時間間隔的一例)收發的以字節表現的網絡數據被解碼得到的結果。
[0077]
監視系統100具備采樣部101和采樣數據監視部102。采樣部101例如搭載于車輛，采樣數據監視部102例如配置于與車輛不同的場所(例如，位于遠程位置的監視中心)。采樣部101以及采樣數據監視部102以能夠彼此通信(例如，能夠進行無線通信)的方式連接。
[0078]
采樣部101蓄積為了進行車輛的車輛控制而收發的車輛傳感器數據，基于采樣方針從所蓄積的多個傳感器值(車輛傳感器數據)中提取在采樣數據監視部102的監視中所使用的傳感器值，將包含所提取出的傳感器值的采樣數據向采樣數據監視部102發送。采樣方針由采樣部101動態決定。采樣部101例如按車輛傳感器數據所包含的傳感器值的每個標識符(以后，也記載為傳感器標識符)，基于表示車輛傳感器數據的傳感器值的偏差的統計值、以及表示傳感器值的特征的變化(例如，傳感器值的變化)的時機的車輛事件信息中的至少一方，決定采樣方針。采樣數據例如包含2個以上的傳感器值。此外，針對傳感器標識符稍后說明，但是是用于唯一確定“車速”、“擋位”等車輛傳感器數據的信息。
[0079]
車輛傳感器數據包含搭載于車輛的各種傳感器的傳感器值(例如，車速、加速度、操舵角等感測結果)。此外，針對采樣方針稍后說明(參照圖6)，但是采樣方針包含采樣間隔、以及每個該采樣間隔的采樣時間。
[0080]
車輛事件信息包含與非周期性的車輛事件相關的信息，例如包含表示是否發生了傳感器值的變化的標記信息。標記信息例如包含表示是否發生了車輛的發動機(移動體的驅動部的一例)的on以及off的切換、換擋桿的切換、自動駕駛模式的on以及off的切換中的至少1個信息。例如也可以是，標記信息在發生了車輛事件的情況下，包含表示“有”的“1”，在沒有發生車輛事件的情況下，包含表示“無”的“0”。另外，監視包含向車輛的網絡(cyber)攻擊的檢測處理。此外，車輛的發動機的on以及off的切換例如也可以是發動機進行了再起動。
[0081]
采樣部101具備：采樣方針生成部110、采樣數據生成部111、車輛傳感器數據存儲部112、采樣方針存儲部113、車輛信息存儲部114、以及通信部115。
[0082]
采樣方針生成部110是基于車輛傳感器數據以及車輛事件中的至少一方，決定用于生成采樣數據的采樣方針的處理部。在本實施方式中，采樣方針生成部110基于車輛傳感
器數據以及車輛事件這兩方決定采樣方針。采樣方針生成部110例如基于表示車輛傳感器數據的傳感器值的偏差的統計值和車輛事件的發生的時機(timing)，決定采樣方針。采樣方針生成部110是采樣方針決定部的一例。
[0083]
此外，傳感器值的統計值也可以使用表示傳感器值的偏差的任意指標。在本實施方式中，傳感器值的統計值使用表示每個標識符的傳感器值的偏差的方差值(數據方差)。方差值是表示傳感器值的分散程度的值，并通過對偏差(各個傳感器值與平均值之差)進行平方并取平均而算出。方差值例如是標準偏差。
[0084]
車輛事件的發生的時機(timing)表示車輛事件發生時的時機，例如，也可以說表示傳感器值的特征的變化的時機。另外，車輛事件的發生的時機也可以說表示有無發生車輛事件。
[0085]
采樣方針生成部110例如是按車輛傳感器數據所包含的傳感器值的每個傳感器標識符來決定采樣方針的處理部。采樣方針生成部110例如基于一個傳感器標識符所對應的多個傳感器值，決定該一個傳感器標識符的采樣方針。該采樣方針是用于根據該一個傳感器標識符所對應的多個傳感器值來生成采樣數據的采樣方針。
[0086]
采樣數據生成部111是基于采樣方針生成部110所決定的采樣方針，生成用于向采樣數據監視部102發送的采樣數據的處理部。采樣數據生成部111例如基于所決定的采樣方針，從車輛傳感器數據存儲部112所存儲的多個傳感器值中提取2個以上的傳感器值，從而生成包含所提取的2個以上的傳感器值的采樣數據。
[0087]
采樣數據生成部111例如基于采樣間隔和采樣時間，生成包含從多個傳感器值(車輛傳感器數據)中提取出的2個以上的傳感器值、表示采樣時間中的2個以上的傳感器值的時間上的順序的第一索引、以及表示每個采樣間隔的2個以上的傳感器值的時間上的順序的第二索引的采樣數據。按每個傳感器值，賦予第一索引以及第二索引。
[0088]
第一索引表示在采樣時間中取得(觀測到)2個以上的傳感器值的順序，也可以說表示采樣時間中的短期的傳感器值的活動(變化)的順序。第二索引表示取得(觀測到)2個以上的傳感器值的采樣間隔的順序，也可以說表示在采樣間隔中的長期的傳感器值的活動(變化)的順序。第一索引是第一順序信息的一例，第二索引是第二順序信息的一例。
[0089]
車輛傳感器數據存儲部112是存儲為了進行車輛的車輛控制而收發的多個傳感器值(車輛傳感器數據)的存儲裝置。車輛傳感器數據存儲部112蓄積多個傳感器值。
[0090]
采樣方針存儲部113是存儲采樣方針生成部110決定了的采樣方針的存儲裝置。
[0091]
車輛信息存儲部114是存儲車輛事件的存儲裝置。車輛信息存儲部114例如存儲車輛事件的內容、和與車輛事件發生的時刻相關聯的車輛事件信息。
[0092]
通信部115是具有經由互聯網等公共通信網絡與采樣數據監視部102通信的功能的處理部。通信部115例如包含通信回路(通信模塊)而構成。
[0093]
接著，采樣數據監視部102基于從采樣部101取得的采樣數據監視車輛。具體而言，采樣數據監視部102基于采樣數據，算出表示短期的異常的第一異常得分、以及表示長期的異常的第二異常得分，基于所算出的2個異常得分來判定成為評價對象的傳感器值(以后，也記載為評價對象數據)是否是受到攻擊的數據。也就是說，采樣數據監視部102判定評價對象數據是否是攻擊數據。采樣數據監視部102也可以說判定車輛是否受到網絡攻擊。采樣數據監視部102具有基于2個異常得分進行攻擊檢測這一特征。
[0094]
此外，短期的異常表示基于短期間所取得的車輛傳感器數據而檢測的異常，例如，表示基于在1個采樣時間內取得的車輛傳感器數據而檢測的異常。另外，長期的異常表示基于在比短期間長的長期間中所取得的車輛傳感器數據而檢測的異常，例如，表示基于按多個采樣間隔的每一個而取得的車輛傳感器數據而檢測的異常。
[0095]
采樣數據監視部102具備：攻擊檢測部120、基點數據更新部121、檢測器存儲部122、檢測結果存儲部123、基點數據存儲部124、以及采樣數據存儲部125。
[0096]
攻擊檢測部120是基于從采樣部101取得的采樣數據，進行評價對象數據是否是攻擊數據的判定的處理部。攻擊檢測部120算出第一異常得分和第二異常得分，基于所算出的第一異常得分和第二異常得分，判定評價對象數據是否受到攻擊，輸出判定結果。就第一異常得分以及第二異常得分的算出而言，稍后說明。
[0097]
基點數據更新部121是基于表示評價對象數據所關聯的攻擊檢測部120的檢測結果的檢測結果信息、和所提取出的車輛傳感器數據中的第一索引以及第二索引，對短期傳感器流和長期傳感器流進行更新的處理部。
[0098]
短期傳感器流是為了檢測短期的異常而使用的傳感器值的時序數據，例如基于1個采樣時間內取得的傳感器值而生成。短期傳感器流例如基于評價對象數據被取得的采樣時間內的傳感器值而生成。短期傳感器流也可以說表示被判定為是正常的或被推定為是正常的、短期的傳感器值的活動。
[0099]
長期傳感器流是為了檢測比短期傳感器流長的長期的異常而使用的傳感器值的時序數據，例如基于按多個采樣間隔的每一個采用間隔的傳感器值而生成。長期傳感器流也可以說表示被判定為是正常的或被推定為正常的、長期的傳感器值的活動。
[0100]
此外，也將包含短期傳感器流以及長期傳感器流的數據記載為基點數據?；c數據不包含攻擊檢測部120判定為是異常的(攻擊的)傳感器值?；c數據也可以說表示被判定為是正常的或被推定為是正常的傳感器值的時序數據。
[0101]
檢測器存儲部122是存儲用于算出表示短期傳感器流與評價對象數據的背離程度的第一異常得分的第一檢測器、以及算出長期傳感器流與該評價對象數據的背離程度的第二異常得分的第二檢測器的存儲裝置。第一檢測器例如通過以將短期傳感器流和評價對象數據作為輸入，算出第一異常得分的方式進行了機器學習的學習完成模型而實現。另外，第二檢測器例如通過以將長期傳感器流和評價對象數據作為輸入，算出第二異常得分的方式進行了機器學習的學習完成模型而實現。此外，存儲學習完成模型意味著，將機器學習模型中的網絡參數、運算的算法(機器學習算法)等信息進行存儲。
[0102]
檢測結果存儲部123是存儲攻擊檢測部120的檢測結果的存儲裝置。
[0103]
基點數據存儲部124是存儲攻擊檢測部120用于進行有無攻擊的判定的短期傳感器流以及長期傳感器流(基點數據)的存儲裝置。
[0104]
采樣數據存儲部125是存儲從采樣部101取得的采樣數據的存儲裝置。
[0105]
通信部126是具有經由互聯網等公共通信網絡與采樣部101通信的功能的處理部。通信部126例如包含通信回路(通信模塊)而構成。
[0106]
車輛傳感器數據存儲部112、采樣方針存儲部113、車輛信息存儲部114、檢測器存儲部122、檢測結果存儲部123、基點數據存儲部124、以及采樣數據存儲部125例如由硬盤驅動器或固態硬盤等可改寫的非易失性存儲器構成。
[0107]
采樣方針生成部110、采樣數據生成部111、通信部115、攻擊檢測部120、基點數據更新部121、以及通信部126例如由cpu、asic、或fpga(field programmable gate array：現場可編程門陣列)等處理器構成。此外，監視系統100具備的各功能塊通過cpu等處理器執行計算機所保持的計算機可讀取程序而實現。
[0108]
此外，采樣部101以及采樣數據監視部102的通信方法沒有特別限定。在通信方法是無線通信的情況下，采樣部101以及采樣數據監視部102的通信也可以通過紅外線通信或電波通信進行。電波通信也可以是基于wi－fi(注冊商標)(wireless fidelity)，或bluetooth(注冊商標)的通信。另外，例如，采樣部101以及采樣數據監視部102的通信也可以通過有線通信進行。
[0109]
此外，在將采樣部101和采樣數據監視部102一體構成的情況下，采樣部101和采樣數據監視部102之間的通信各自不經由通信部115和通信部126也可。該情況下，無需通信部115以及通信部126的構成。
[0110]
[1－2.監視系統的動作的概略]
[0111]
接著，說明如上所述構成的監視系統100的動作。圖2是表示本實施方式的監視系統100的動作(攻擊檢測方法)的概要的流程圖。圖2所示的步驟s101以及s102例如是在采樣部101中執行的處理，步驟s103以及s104例如是在采樣數據監視部102中執行的處理。
[0112]
首先，監視系統100進行使用車輛傳感器數據存儲部112所存儲的、車輛中的預定的行駛時間的車輛傳感器數據，生成表示采樣間隔以及采樣時間的采樣方針的采樣方針生成處理(s101)。步驟s101的處理通過采樣方針生成部110實施。預定的行駛時間例如也可以預先設定，也可以由通過監視系統100監視車輛的監視者設定。此外，步驟s101是采樣方針決定步驟的一例。
[0113]
接著，監視系統100進行基于所決定的采樣方針，根據車輛傳感器數據生成采樣數據的采樣數據生成處理(s102)。步驟s102的處理通過采樣數據生成部111實施。此外，步驟s102是采樣數據生成步驟的一例。
[0114]
采樣數據生成部111基于采樣方針，從車輛傳感器數據提取一部分車輛傳感器數據(傳感器值)，對所提取出的各個車輛傳感器數據(傳感器值)，附加第一索引和第二索引來生成采樣數據。也就是說，采樣數據包含所提取出的車輛傳感器數據、第一索引以及第二索引。
[0115]
然后，采樣數據生成部111將所生成的采樣數據通過通信部115向通信部126發送。也就是說，采樣數據生成部111將所生成的采樣數據向采樣數據監視部102發送。
[0116]
接著，監視系統100進行對采樣數據的車輛傳感器數據(評價對象數據)算出異常得分的攻擊檢測處理(s103)。步驟s103的處理通過攻擊檢測部120實施。步驟s103是攻擊判定步驟的一例。
[0117]
攻擊檢測部120實施如下攻擊判定處理，即，使用基點數據存儲部124所存儲的基點數據，以2種算出方法算出表示評價對象數據的傳感器值的異常的程度的異常得分，使用所算出的2種異常得分，判定評價對象數據的傳感器值是否(受到)攻擊。
[0118]
接著，監視系統100實施如下基點數據更新處理，即，使用評價對象數據的第一索引、第二索引以及攻擊檢測處理的結果(判定結果)，為了進行接下來的評價對象數據中的攻擊檢測處理而更新基點數據(s104)。步驟s104的處理通過基點數據更新部121實施。步驟
s104是更新步驟的一例。
[0119]
以后，對各處理部的詳細構成以及流程圖的各步驟的詳細動作進行說明。
[0120]
[2－1.采樣方針生成部的構成]
[0121]
圖3是表示本實施方式的采樣方針生成部110的構成的框圖。如圖3所示，采樣方針生成部110具備：車輛傳感器數據取得部130、傳感器數據穩定度算出部131、采樣方針判定部132。
[0122]
車輛傳感器數據取得部130是從車輛傳感器數據存儲部112取得車輛采樣數據的處理部。車輛傳感器數據取得部130讀出車輛傳感器數據存儲部112所存儲的車輛傳感器數據。
[0123]
傳感器數據穩定度算出部131是基于車輛傳感器數據來算出用于在采樣方針判定部132的采樣方針的判定中使用的信息的處理部。例如，傳感器數據穩定度算出部131按每個傳感器標識符，算出傳感器值的統計值。在本實施方式中，傳感器數據穩定度算出部131按每個傳感器標識符，算出傳感器值的方差值。
[0124]
此外，傳感器標識符包含車速等周期性收發的周期型的標識符、以及擋位的切換等根據駕駛員的操作等而發生的事件型的標識符。
[0125]
采樣方針判定部132按車輛傳感器數據所包含的每個傳感器標識符，使用統計值以及車輛事件信息中的至少一方決定采樣方針。在本實施方式中，采樣方針判定部132使用統計值以及車輛事件信息這兩方決定采樣方針。
[0126]
[2－2.采樣方針生成部的動作]
[0127]
圖4是表示本實施方式的采樣方針生成處理(s101)的流程圖。
[0128]
首先，采樣方針生成部110取得車輛傳感器數據存儲部112所存儲的車輛中的預定的行駛時間的車輛傳感器數據(s111)。步驟s111的處理通過車輛傳感器數據取得部130實施。車輛傳感器數據取得部130例如從車輛傳感器數據存儲部112取得車輛傳感器數據。
[0129]
在此，對車輛傳感器數據進行說明。圖5是表示本實施方式的車輛傳感器數據的一例的圖。車輛傳感器數據是從以二進制表現的車輛網絡數據中提取出可能成為攻擊檢測處理的輸入的信息而得到的數據。如圖5所示，車輛傳感器數據包含：傳感器標識符142、數據id143、取得時刻144、傳感器值145。
[0130]
傳感器標識符142是用于唯一確定車輛傳感器數據所包含的1個傳感器數據的車輛控制對象的標識符。例如，作為傳感器標識符142，包含“車速”、“擋位”等。
[0131]
數據id143是用于根據車輛傳感器數據所包含的上述的傳感器標識符來唯一確定1個車輛傳感器數據141的標識符。例如，作為數據id143，包含從1起依次分配的數值。數據id143例如根據傳感器標識符被從1起依次分配。另外，數據id143例如被分配為取得時刻的順序。
[0132]
取得時刻144是表示從車輛網絡接收到車輛傳感器數據的時刻的時刻數據。取得時刻144例如在傳感器標識符142是“車速”的情況下，表示周期性的時刻，在傳感器標識符142是可能有“擋位”等事件發生的標識符的情況下，也可以取非周期性的時刻。取得時刻144例如能夠根據發送車輛傳感器數據的消息的時間戳而取得。
[0133]
此外，取得時刻144也可以是采樣部101從車輛網絡接收到車輛傳感器數據的時刻。另外，雖然示出了取得時刻144是從成為基準的時刻起的經過時間(相對時刻)的例子，
表示取得了車輛傳感器數據這一情況，圖6的橫軸表示時間。在圖6中示出了，在采樣間隔t秒中，取得了10個車輛傳感器數據(傳感器值)的例子。
[0144]
如圖6所示，采樣間隔是進行車輛傳感器數據的采樣的間隔，采樣時間是在該采樣間隔中持續采樣的時間。采樣時間是時間上連續的時間，例如，不包含離散的時間。也就是說，在采樣時間中被采樣的車輛傳感器數據成為時間上連續的數據。采樣開始時刻是開始車輛傳感器數據的采樣的時刻，例如也可以是采樣時間的公開(開始)時刻。此外，采樣開始時刻不限定于采樣間隔的開始時刻(例如，開始計測采樣間隔的時間的時刻)，只要是從采樣間隔的開始時刻起經過(t－s)秒之前即可。也就是說，若將采樣開始時刻設為n，則n可以被決定為滿足以下式。
[0145]
0≦n＜t－s
???
(式1)
[0146]
車輛傳感器數據的采樣在采樣間隔t秒之中、從采樣開始時刻第n秒起采樣時間s秒之間的范圍內進行。
[0147]
將采樣間隔t秒之中、從采樣開始時刻第n秒起采樣時間s秒之間的車輛傳感器數據作為采樣數據。也就是說，在圖6中，示出了在采樣間隔t秒中取得了10個車輛傳感器數據，但是將其中3個車輛傳感器數據提取為采樣數據的例子。換言之，在采樣間隔t秒中所取得的10個車輛傳感器數據之中、7個車輛傳感器數據沒有被發送至采樣數據監視部102。在此，通過調整采樣間隔以及采樣時間，實現高密度的采樣和低密度的采樣。采樣的具體例稍后說明。
[0148]
圖7是表示本實施方式的采樣方針數據的一例的圖。在圖7的例子中，高密度采樣中的采樣間隔是200.00ms，采樣時間是75.00ms，低密度采樣中的采樣間隔是1000.00ms，采樣時間是55.00ms。這樣，例如，高密度采樣中的采樣間隔比低密度采樣中的采樣間隔要短，例如，是低密度采樣中的采樣間隔的1/5左右。另外，例如，高密度采樣中的采樣時間比低密度采樣中的采樣時間要長，例如，是低密度采樣中的采樣間隔的1.35倍左右。此外，高密度采樣中的采樣間隔以及采樣時間、和低密度采樣中的采樣間隔以及采樣時間不限定于上述。
[0149]
如圖7所示，采樣方針數據包含：傳感器標識符152、文件編號153、數據方差154、車輛事件標記155、采樣間隔156、采樣時間157。采樣方針數據存儲于采樣方針存儲部113，是將傳感器標識符152、在采樣方針判定部132的判定中使用的信息(數據方差154以及車輛事件標記155)、以及采樣方針(采樣間隔156以及采樣時間157)進行了關聯得到的歷史記錄。
[0150]
傳感器標識符152與車輛傳感器數據的傳感器標識符142關聯，并且是用于唯一確定車輛控制對象的標識符。
[0151]
文件編號153是用于識別由通信部115發送的1個文件單位的文件標識符。例如，按照根據每預定的行駛時間所取得的車輛傳感器數據，增加(increment)文件編號，算出不同的采樣方針。
[0152]
數據方差154是以文件單位表示按每個傳感器標識符152算出的預定行駛時間內的傳感器值的偏差的數值數據。
[0153]
車輛事件標記155是表示，與傳感器標識符152不同地表示發動機on和off的切換以及擋位的切換等事件型的傳感器標識符142的車輛事件是否發生的標記信息。
[0154]
采樣間隔156表示以文件單位按每個傳感器標識符152算出的采樣的密度。
[0155]
采樣時間157表示文件內按每個傳感器標識符152算出的采樣的密度。
[0156]
另外，采樣方針生成部110在每當更新成為處理對象的車輛傳感器數據時反復執行步驟s111～s115的處理。
[0157]
例如，在圖7的文件編號是“2”、傳感器標識符152是“車速”的情況下，數據方差是0.22、車輛事件標記是“無”。在將數據方差的閾值定為10時，0.22為閾值以下。因此，在上述情況下，成為進行低密度的采樣的方針，例如，以相對于上述的周期“約25ms”變長的方式，將采樣間隔設為“1000ms”，以成為上述周期的約2倍的方式，將采樣時間設為“55ms”，從而能夠大幅削減將發送的數據量。
[0158]
此外，采樣方針判定部132也可以設定在數據方差為第一閾值以上的情況下和車輛事件標記信息是“有”的情況下彼此不同的采樣密度。也就是說，也可以在高密度采樣中設定多個采樣密度。
[0159]
[3－1.采樣數據生成部的構成]
[0160]
圖8是表示本實施方式的采樣數據生成部111的構成的框圖。如圖8所示，采樣數據生成部111具備：車輛傳感器數據取得部130、采樣信息取得部160、數據提取部161、索引賦予部162。
[0161]
車輛傳感器數據取得部130是從車輛傳感器數據存儲部112取得車輛采樣數據的處理部。車輛傳感器數據取得部130讀出車輛傳感器數據存儲部112所存儲的車輛采樣數據。此外，車輛傳感器數據取得部130既可以是與采樣方針生成部110具有的車輛傳感器數據取得部130共同的構成要素，也可以是彼此不同的構成要素。
[0162]
采樣信息取得部160是將采樣方針生成部110決定了的采樣方針從采樣方針存儲部113取得的處理部。
[0163]
數據提取部161是從車輛傳感器數據取得部130取得的車輛傳感器數據中提取基于采樣方針存儲部113取得的采樣方針得到的車輛傳感器數據的處理部。
[0164]
索引賦予部162是對于數據提取部161提取出的車輛傳感器數據，將表示時間上的順序的索引與傳感器值進行關聯而賦予的處理部。索引賦予部162按每個車輛傳感器數據(傳感器值)，賦予第一索引以及第二索引這兩方。
[0165]
[3－2.采樣數據生成部的動作]
[0166]
圖9是表示本實施方式的采樣數據生成處理(s102)的流程圖。
[0167]
首先，采樣數據生成部111按每個傳感器標識符，取得包含采樣間隔和采樣時間的采樣方針數據151以及車輛信息(s121)。步驟s121的處理通過采樣信息取得部160實施。采樣信息取得部160例如從采樣方針存儲部113取得采樣方針數據151，從車輛信息存儲部114取得車輛信息。
[0168]
采樣方針數據151包含唯一表示車輛的體系結構(architecture)的車輛編號(未圖示)、和表示車輛傳感器數據所包含的各個傳感器標識符的取得周期的周期(采樣間隔以及采樣時間)。另外，車輛信息例如包含車輛事件信息。
[0169]
接著，采樣數據生成部111取得車輛傳感器數據存儲部112所包含的預定的行駛時間的車輛傳感器數據(s122)。步驟s121的處理通過車輛傳感器數據取得部130實施。車輛傳感器數據取得部130例如取得圖5所示的車輛傳感器數據。
[0170]
接著，采樣數據生成部111基于車輛傳感器數據、和采樣方針數據所包含的采樣時
間，按每1個采樣間隔計算采樣時間中的接收數據數(s123)。步驟s123的處理通過數據提取部161實施。步驟s123以后，按每個采樣時間執行。
[0171]
接著，采樣數據生成部111判定接收數據數是否比第二閾值多(s124)。步驟s124的處理通過數據提取部161實施。數據提取部161在上述的接收數據數比采樣時間中的正常接收數據數加上預定的容限而得到的值(第二閾值的一例)大的情況下(在s124中為“是”)，提取采樣時間內的預定數據數的、時間上連續的車輛傳感器數據。在步驟s124中為“是”的情況下，有可能在接收數據(傳感器值)中包含很多受到攻擊的數據。在這樣的情況下，若提取全部數據則數據數變多，導致數據量的增加。因此，數據提取部161在步驟s124中為“是”的情況下，僅提取預定數據數的接收數據(s125)。由此，由于能夠提取包含受到攻擊的數據的預定數據數的接收數據，所以能夠削減數據量，并生成能進行攻擊檢測的采樣數據。
[0172]
此外，預定數據數例如是比正常接收數據數大的數。另外，第二閾值不限定于是正常接收數據數加上預定的容限而得到的值，也可以是正常接收數據數，還可以是根據各個傳感器標識符而預先設定的固定值。另外，預定的容限例如既可以根據正常接收數據數而設定，也可以是固定值。
[0173]
另外，數據提取部161在上述的接收數據數為采樣時間中的正常接收數據數加上預定的容限而得到的值以下的情況下(s124中為“否”)，提取正常接收數據數(s126)。數據提取部161例如提取采樣時間中的全部接收數據(傳感器值)。
[0174]
這樣，在步驟s124～s126中，基于采樣時間中應觀測的正常接收數據數，決定在采樣時間內將提取的車輛傳感器數據的提取數，并提取所決定的提取數的傳感器數據。例如，判定采樣時間中觀測到的傳感器值數是否為正常接收數據數以上，在為正常接收數據數以上的情況下，提取預定數的傳感器值，在不為正常接收數據數以上的情況下，提取車輛傳感器數據所包含的全部傳感器值。
[0175]
在此，正常接收數據數表示上述的采樣時間內的正常的接收數據數，基于按每個傳感器標識符的上述周期而被事先算出。例如，如圖7所示那樣，將傳感器標識符為“車速”的情況下的采樣時間設為“55ms”時，周期是“約25ms”，因此正常接收數據數為“2”。
[0176]
接著，采樣數據生成部111對上述的提取數據，賦予表示采樣時間中的短期的傳感器值的活動的數據順序的第一索引、和表示按采樣間隔的長期的傳感器值的活動的順序的第二索引。也就是說，采樣數據生成部111對提取數據所包含的傳感器值的每一個，賦予2種索引(s127)。步驟s127的處理通過索引賦予部162而實施。
[0177]
索引賦予部162例如在將采樣時間設為了“55ms”的情況下，將采樣時間“55ms”中提取出的多個數據從開頭起按順序將第一索引賦予為1、2、3
···
。例如，索引賦予部162從取得時刻舊的數據開始依次對所提取出的多個數據賦予第一索引。
[0178]
索引賦予部162例如還進行，每當執行上述步驟s125或者s126時賦予唯一確定的第二索引。例如，索引賦予部162按采樣時間舊的數據開始依次對所提取出的多個數據賦予第二索引。在此，在將采樣間隔設為“1000ms”的情況下，第二索引發生變化這一情況是對約“1000ms”后的數據進行處理時。
[0179]
接著，采樣數據生成部111判定是否對所提取出的各個傳感器值賦予了索引(s128)。步驟s128的處理通過索引賦予部162實施。索引賦予部162例如在預定的行駛時間所包含的2個以上的采樣間隔各自的全部采樣時間中，判定是否進行了步驟s123～s127的
處理。
[0180]
索引賦予部162在沒有對所提取出的各個傳感器值賦予索引的情況下(s128中為“否”)，返回步驟s123，對接下來的采樣時間執行步驟s123以后的處理。也就是說，對成為處理對象的車輛傳感器數據，按每個采樣間隔反復執行步驟s123～s127的處理。
[0181]
采樣數據生成部111在對索引賦予部162提取出的各個傳感器值賦予了索引的情況下(s128中為“是”)，將提取數據作為采樣數據，通過通信部115向通信部126發送。也就是說，采樣數據生成部111向采樣數據監視部102發送賦予了索引的提取數據(采樣數據)(s129)。
[0182]
在此，對采樣數據生成部111發送的采樣數據(提取數據)，參照圖10進行說明。圖10是表示本實施方式的采樣數據的一例的圖。
[0183]
如圖10所示，采樣數據包含：傳感器標識符172、評價id173、傳感器值174、第一索引175、第二索引176。
[0184]
傳感器標識符172以及傳感器值174與車輛傳感器數據中的傳感器標識符142以及傳感器值145(參照圖5)同樣。評價id173是用于根據采樣數據所包含的各傳感器標識符172唯一確定1個傳感器數據171的標識符。
[0185]
如上所述，第一索引175表示短期的傳感器值的活動的順序，第二索引176表示長期的傳感器值的活動的順序。
[0186]
例如，評價id“1”以及“2”表示的傳感器值，由于第二索引均是“1”，所以是在相同采樣時間所取得的傳感器值。另外，由于評價id“1”表示的傳感器值，第一索引是“1”，評價id“2”表示的傳感器值，第一索引是“2”，所以表示在取得了評價id“1”表示的傳感器值之后接著取得了評價id“2”表示的傳感器值。
[0187]
另外，雖然第二索引是“1”以及“2”時的傳感器值數是2個，但是第二索引時“3”時的傳感器值數為3以上。由于根據各采樣時間決定采樣方針，所以傳感器值數能夠根據各采樣時間，也即是根據各第二索引而變化。
[0188]
例如，將圖10所示的采樣數據向采樣數據監視部102發送。
[0189]
[4－1.攻擊檢測部的構成]
[0190]
圖11是表示本實施方式的攻擊檢測部120的構成的框圖。如圖11所示，攻擊檢測部120具備：采樣數據取得部181、基點數據取得部182、第一異常得分算出部183、第二異常得分算出部184、攻擊判定部185。
[0191]
采樣數據取得部181是從采樣數據存儲部125取得采樣數據的處理部。采樣數據取得部181例如取得圖10所示的采樣數據。
[0192]
基點數據取得部182是從基點數據存儲部124取得在攻擊判定部185的判定中使用的基點數據的處理部?；c數據取得部182取得短期傳感器流以及長期傳感器流來作為基點數據。
[0193]
第一異常得分算出部183是基于評價對象數據191以及短期傳感器流算出表示評價對象數據191與短期傳感器流的背離程度的第一異常得分的處理部。也就是說，第一異常得分算出部183使用在評價對象數據191被取得的采樣時間所取得的其他數據，算出對該評價對象數據191的第一異常得分。第一異常得分算出部183算出對1個采樣時間內這樣的短期間內的傳感器值的變化的異常得分。短期間例如是指，1個采樣間隔以下的時間(例如，1
個采樣時間)。
[0194]
第一異常得分算出部183也可以說，例如基于采樣數據所包含的評價對象數據的傳感器值、第一索引、表示評價對象數據被取得的采樣時間中的比該評價對象數據更靠過去的傳感器值的時序數據的短期傳感器流，算出表示評價對象數據的異常的程度的第一異常得分。
[0195]
第二異常得分算出部184是基于評價對象數據191以及長期傳感器流，算出表示評價對象數據191與長期傳感器流的背離程度的第二異常得分的處理部。也就是說，第二異常得分算出部184使用包含評價對象數據191被取得的采樣間隔的多個采樣間隔的數據，算出對該評價對象數據191的第二異常得分。第二異常得分算出部184算出對多個采樣間隔這樣的長期間的傳感器值的變化的異常得分。長期間是指比短期間長的時間，例如比1個采樣間隔長。
[0196]
第二異常得分算出部184也可以說，例如，基于評價對象數據的傳感器值、第二索引、表示在比評價對象數據被取得的采樣間隔靠過去的采樣間隔取得的傳感器值的變化的長期傳感器流，算出表示評價對象數據的異常的程度的第二異常得分。
[0197]
攻擊判定部185是基于所算出的第一異常得分以及第二異常得分，判定評價對象數據191是否是受到攻擊的數據，也即是車輛是否受到網絡攻擊，并輸出判定結果的處理部。在本實施方式中，攻擊判定部185基于第一異常得分以及第二異常得分算出第三異常得分，將所算出的第三異常得分與預定的閾值(第五閾值)進行比較，基于比較結果判定評價對象數據191是否是受到攻擊的數據。此外，攻擊判定部185也可以不限定于算出第三異常得分，針對第一異常得分以及第二異常得分的每一個與對應的閾值進行比較，基于比較結果來判定評價對象數據191是否是受到攻擊的數據。
[0198]
[4－2.攻擊檢測部的動作]
[0199]
圖12是表示本實施方式的攻擊檢測處理(s103)的流程圖。此外，圖12所示的攻擊檢測處理例如既可以對采樣數據所包含的任意的傳感器值進行，也可以對采樣數據所包含的全部傳感器值進行。在對全部傳感器值進行攻擊檢測處理的情況下，例如，也可以從取得時刻舊的傳感器值開始依次進行圖12所示的處理。
[0200]
首先，攻擊檢測部120取得采樣數據，取出作為采樣數據中的1個數據的評價對象數據(參照圖13所示的評價對象數據191)(s131)。步驟s131的處理通過采樣數據取得部181實施。
[0201]
接著，攻擊檢測部120取得評價對象數據191所關聯的基點數據(s132)。步驟s132的處理通過基點數據取得部182而實施。
[0202]
圖13是表示本實施方式的基點數據的一例的圖。
[0203]
如圖13所示，基點數據包含：傳感器標識符192、評價id193、傳感器值194、第一索引195、第二索引196、短期傳感器流197、長期傳感器流198。
[0204]
傳感器標識符192、評價id193、傳感器值194、第一索引195、以及第二索引196與采樣數據中的傳感器標識符172、評價id173、傳感器值174、第一索引175、以及第二索引176(參照圖10)同樣。
[0205]
短期傳感器流197是具有與評價對象數據191相同的第二索引，將評價對象數據191的第一索引之前的索引作為參照鍵，唯一的傳感器值被確定的過去的傳感器值的列表。
[0206]
例如，在圖13中，在評價id是“82”的評價對象數據的情況下，第二索引具有“3”，將第一索引為“2”之前的“1”作為參照鍵，將評價id為81的評價對象數據的傳感器值的代表值作為短期傳感器流而保存。另外，關于上述的代表值的算出方法，稍后說明。
[0207]
另一方面，長期傳感器流198是將評價對象數據191的第二索引之前的索引作為參照鍵，具有唯一值的過去的傳感器值的代表值列表。
[0208]
例如，在圖13中，在評價id是“82”的評價對象數據的情況下，將第二索引為“3”之前的“1”和“2”作為參照鍵，將評價對象數據的傳感器值的代表值作為長期傳感器流而保存。另外，關于上述的代表值的算出方法，稍后說明。
[0209]
圖14是表示本實施方式的檢測結果信息的一例的圖。
[0210]
如圖14所示，檢測結果信息包含：傳感器標識符202、評價id203、傳感器值204、第一異常得分205、第二異常得分206、第三異常得分207、檢測結果208。檢測結果208是評價對象數據所關聯的判定結果的一例。
[0211]
傳感器標識符202、評價id203、傳感器值204與采樣數據中的傳感器標識符172、評價id173、傳感器值174(參照圖10)同樣。
[0212]
第一異常得分205、第二異常得分206、第三異常得分207、檢測結果208稍后說明。
[0213]
再參照圖12，接著，攻擊檢測部120判定第一索引以及第二索引中的至少一方是否為預定值以上(s133)。預定值被預先設定并存儲于存儲部。第一索引中的預定值和第二索引中的預定值既可以是相同值，也可以是彼此不同的值。
[0214]
攻擊檢測部120在對于評價對象數據的第一索引以及第二索引中的至少一方為預定值以上的情況下(s133中為“是”)，算出稍后說明的異常得分(第一異常得分以及第二異常得分中的至少一方)，在第一索引以及第二索引各自均低于預定值的情況下(s133中為“否”)，將檢測結果設為“不明”(s134)。攻擊檢測部120在步驟s133中為“是”的情況下，判定第一索引是否是預定值以上(s135)。預定值被預先設定，并存儲于存儲部。在步驟s135中使用的預定值是第三閾值的一例。第三閾值例如被設定為能夠準確地算出第一異常得分的值。
[0215]
例如，在圖13中，在評價id“1”的數據是評價對象數據的情況下，第一索引是“1”，第二索引是“1”。因此，例如，在預定值是2的情況下，如圖14所示，上述該數據的檢測結果成為“不明”。此外，在判定為“不明”的情況下，第一異常得分、第二異常得分以及第三異常得分也可以是“0”。
[0216]
接著，攻擊檢測部120在對于評價對象數據的第一索引以及第二索引中的至少一方為預定值以上(s133中為“是”)、且第一索引為預定值以上的情況下(s135中為“是”)，將算出表示評價對象數據與短期的傳感器值的正常流(短期傳感器流)的背離程度的第一異常得分的第一檢測器進行讀出，基于上述的評價對象數據191和短期傳感器流，算出第一異常得分(s136)。步驟s136的處理通過第一異常得分算出部183而實施。
[0217]
第一異常得分算出部183在步驟s133以及s135中為“是”的情況下，將第一檢測器從檢測器存儲部122中讀出。第一檢測器也可以通過以將評價對象數據191和短期傳感器流作為輸入，輸出表示評價對象數據191與短期傳感器流的背離程度的第一異常得分的方式進行了學習的學習完成模型而實現。第一檢測器以背離的程度越大，則輸出越大值的第一異常得分的方式進行學習，但不限定于此。另外，第一異常得分例如是0～100的值(例如，標
準化的值)，但也可以是等級(“高”、“中”、“低”等)。
[0218]
例如，在圖13中，在評價id是“82”的評價對象數據的情況下，第一索引是“2”，在短期傳感器流中包含“35.11”，傳感器值是“100.50”。該情況下，如圖14所示，第一檢測器輸出的第一異常得分例如是“95”。第一異常得分為95這一情況通過第一異常得分算出部183而算出。
[0219]
此外，第一檢測器也可以使用由基于評價對象數據的傳感器值與短期傳感器流之間的傳感器值的差分的、oc－svm(one class－support vector machine)等機器學習模型實現的偏離值檢測器。另外，第一檢測器也可以使用如下檢測器，即，取代傳感器值而使用取得時間，以短期傳感器流與評價對象數據之間的取得時間的差分是否基于周期來進行判定。此外，也可以統合使用前述的檢測器。
[0220]
此外，第一異常得分算出部183并不限定于使用機器學習模型算出第一異常得分。第一異常得分算出部183例如也可以使用與評價對象數據191以及短期傳感器流、和第一異常得分進行了關聯的表(查找表)算出第一異常得分，也可以使用評價對象數據191以及短期傳感器流進行預定的運算由此算出第一異常得分。
[0221]
另外，攻擊檢測部120在對評價對象數據的第一索引以及第二索引中的至少一方為預定值以上(s133中為“是”)、且第一索引低于預定值的情況下(s135中為“否”)，進入步驟s137。在步驟s135為“否”的情況下，評價對象數據被取得的采樣時間內的、在該評價對象數據以前取得的車輛傳感器數據數少，難以準確地判定該評價對象數據是否異常。由此，攻擊檢測部120在步驟s135中為“否”的情況下，也可以不算出第一異常得分。此外，攻擊檢測部120在步驟s135中為“否”的情況下，也可以將第一異常得分設為“0”。
[0222]
接著，攻擊檢測部120判定第二索引是否為預定值以上(s137)。預定值被預先設定并存儲于存儲部。在步驟s137中使用的預定值既可以是與在步驟s133中使用的預定值相同的值，也可以不同。在步驟s137中使用的預定值是第四閾值的一例。第四閾值例如被設定為能夠準確地算出第二異常得分的值。
[0223]
接著，攻擊檢測部120在第二索引為預定值以上的情況下(s137中為“是”)，將算出表示評價對象數據與長期的傳感器值的正常流(長期傳感器流)的背離的程度的第二異常得分的第二檢測器讀出，基于上述的評價對象數據191和長期傳感器流，算出第二異常得分(s138)。步驟s138的處理通過第二異常得分算出部184實施。
[0224]
第二異常得分算出部184在步驟s137中為“是”的情況下，從檢測器存儲部122讀出第二檢測器。第二檢測器也可以通過以將評價對象數據191和長期傳感器流作為輸入，輸出表示評價對象數據191與長期傳感器流的背離程度的第二異常得分的方式進行了學習的學習完成模型而實現。第二檢測器以背離的程度越大，則輸出越大的值的第二異常得分的方式進行學習，但不限定于此。另外，第二異常得分例如是0～100的值(例如，標準化的值)，但是也可以是等級(“高”、“中”、“低”等)。
[0225]
例如，在圖13中，在評價id“82”的數據是評價對象數據的情況下，第二索引是“3”，在長期傳感器流中包含“22.50”以及“33.50”，傳感器值是“100.50”。該情況下，如圖14所示，第二檢測器輸出的第二異常得分是“80”。第二異常得分是80這一情況通過第二異常得分算出部184算出。
[0226]
此外，第二檢測器也可以使用如下變化點檢測器，即，使用遞歸神經網絡模型
(rnn：recurrent neural network)或自回歸移動平均模型(arima：auto regressive integrated moving average)，預測正常的傳感器值的舉止，基于與實測值的誤差判定為異常。
[0227]
另外，攻擊檢測部120在對于評價對象數據的第二索引低于預定值的情況下(s137中為“否”)，進入步驟s139。在步驟s137為“否”的情況下，評價對象數據被取得的采樣間隔中的、在該評價對象數據以前取得的車輛傳感器數據少，難以準確地判定該評價對象數據是否異常。由此，攻擊檢測部120在步驟s137中為“否”的情況下，不算出第二異常得分也可。此外，攻擊檢測部120也可以在步驟s137中為“否”的情況下，將第二異常得分設為“0”。
[0228]
此外，第一檢測器以及第二檢測器既可以是彼此不同的檢測器，也可以是1個檢測器。
[0229]
接著，攻擊檢測部120根據第一異常得分和第二異常得分，算出第三異常得分(s139)。步驟s139的處理通過攻擊判定部185實施。
[0230]
此外，第三異常得分是基于第一異常得分以及第二異常得分的異常得分。第三異常得分例如也可以是第一異常得分，也可以是第二異常得分，也可以是基于第一異常得分和第二異常得分的統計值。統計值例如是平均值(例如，加權平均)，但也可以是中央值、頻度最高值、最大值、最小值中的任一個。
[0231]
此外，算出第三異常得分并不是必須的。
[0232]
接著，攻擊檢測部120使用第三異常得分，判定有無攻擊(s140)。步驟s139的處理通過攻擊判定部185實施。攻擊判定部185也可以說，判定評價對象數據是否是受到攻擊的數據。攻擊判定部185例如在第三異常得分為第五閾值以上的情況下，判定為“攻擊”(有攻擊)，在低于第五閾值的情況下，判定為“正?！?無攻擊)。
[0233]
例如，在圖14中，在評價id是“82”的情況下，該數據的第一異常得分的“95”、以及第二異常得分的“80”均被算出(在s135為“是”、且s137為“是”的情況下)，作為第三異常得分算出平均值為“87”。該情況下，攻擊判定部185在將第五閾值設為“60”時，將評價id為“82”的傳感器值判定為“攻擊”。也就是說，攻擊判定部185將傳感器值“100.50”判定為是受到攻擊的數據。
[0234]
另外，在圖14中，在評價id為“81”的情況下，僅算出該數據的第二異常得分的“6”(在s135為“否”、s137為“是”的情況下)，作為第三異常得分算出“6”。該情況下，攻擊判定部185在將第五閾值設定為“60”時，判定為“正?！?。也就是說，攻擊判定部185將傳感器值“35.11”判定為沒有受到攻擊。
[0235]
步驟s135為“否”、且在步驟s137為“是”的情況例如假設為是在第二索引為預定值以上時的緊接著采樣間隔的開始時刻之后等的情況。該情況下，雖然是尚未取得該采樣間隔中的采樣時間內的全部車輛傳感器數據的狀態(例如，作為采樣時間的開頭的時機的狀態)，但是是每個采樣間隔的車輛傳感器數據僅具有能夠判定有無攻擊的數量的狀態。換言之，步驟s135為“否”、且步驟s137為“是”的情況是指，無法進行使用了第一檢測器進行的攻擊的檢測、且能夠進行使用了第二檢測器進行的攻擊的檢測的情況。
[0236]
此時，攻擊檢測部120能夠使用由第二檢測器得到的第二異常得分判定評價對象數據是否是受到攻擊的數據。
[0237]
另外，步驟s135為“是”、且步驟s137為“否”的情況是指，例如，想定雖然經過的采
樣間隔少，但是經過的采樣間隔中的采樣時間內的車輛傳感器數據全部取得完畢的情況。該情況下，雖然按每個采樣間隔的車輛傳感器數據數少，但是是采樣時間內的車輛傳感器數據僅具有能夠判定有無攻擊的數量的狀態。換言之，步驟s135為“是”、且步驟s137為“否”的情況下是指，能夠進行使用了第一檢測器進行的攻擊的檢測、且無法進行使用了第二檢測器進行的攻擊的檢測的情況。
[0238]
此時，攻擊檢測部120能夠使用由第一檢測器得到的第一異常得分判定評價對象數據是否是受到攻擊的數據。
[0239]
這樣，第一檢測器以及第二檢測器能夠補充在彼此無法檢測的時間內的攻擊檢測。也就是說，攻擊檢測部120能夠減少無法進行攻擊的檢測的時間。由此，能夠提高攻擊檢測部120中的攻擊的檢測性能。
[0240]
接著，攻擊檢測部120將步驟s134或s140的判定結果存儲于檢測結果存儲部123(s141)。攻擊檢測部120也可以說將判定結果向檢測結果存儲部123輸出。
[0241]
這樣，攻擊檢測部120在評價對象數據所關聯的第一索引低于第三閾值、且該評價對象數據所關聯的第二索引低于第四閾值的情況下，判定為不清楚該評價對象數據是否是受到攻擊的數據(s134)。另外，攻擊檢測部120在基于第一異常得分以及第二異常得分的第三異常得分為第五閾值以上的情況下，判定為評價對象數據是受到攻擊的數據，在第三異常得分低于第五閾值的情況下，判定為評價對象數據是正常的(s140)，將表示所判定出的結果的檢測結果進行輸出。
[0242]
此外，在圖12中，攻擊檢測部120還可以使用車輛事件信息，算出異常得分。攻擊檢測部120例如也可以在車輛事件信息表示發生了車輛的發動機的on以及off的切換、換擋桿的切換、自動駕駛模式的on以及off的切換中的至少1個的情況下，對長期傳感器流所包含的傳感器值進行初始化(重置)。也就是說，攻擊檢測部120也可以在發生了該至少1個的情況下，基于在該時刻之后所取得的傳感器值算出第二異常得分。該情況下，由于需要蓄積長期傳感器流所包含的傳感器值，所以蓄積的期間(例如，與2個以上的采樣間隔相當的期間)中，雖然無法算出第二異常得分，但是在第一索引為預定值以上的情況下，能夠算出第一異常得分。
[0243]
這樣，攻擊檢測部120在發生了該至少1個的情況下，基于第一異常得分進行攻擊的檢測，由此能夠減少無法進行攻擊的檢測的時間。由此，能夠進一步提高攻擊檢測部120中的攻擊的檢測性能。
[0244]
[5－1.基點數據更新部的構成]
[0245]
圖15是表示本實施方式的基點數據更新部121的構成的框圖。如圖15所示，基點數據更新部121具備：基點數據取得部182、檢測結果取得部201、以及基點數據追加部302。
[0246]
基點數據取得部182是從基點數據存儲部124取得基點數據的處理部。
[0247]
檢測結果取得部201是從檢測結果存儲部123取得攻擊檢測部120的檢測結果的處理部。
[0248]
基點數據追加部302是向基點數據取得部182取得的基點數據追加與檢測結果取得部201取得的檢測結果相應的數據的處理部?；c數據追加部302也可以說對基點數據進行更新。
[0249]
[5－2.基點數據更新部的動作]
[0250]
圖16是表示本實施方式的基點數據更新處理(s104)的流程圖?；c數據更新處理通過基點數據更新部121而實施。
[0251]
首先，基點數據更新部121根據通過基點數據取得部182取得的評價對象數據，對基點數據進行初始化(s151)?；c數據更新部121取得評價對象數據191所關聯的基點數據，在評價對象數據191的第一索引是1的情況下，對基點數據中的短期傳感器流進行初始化，在評價對象數據191的第二索引是1的情況下，對基點數據中的長期傳感器流進行初始化。此外，在此的初始化意味著，成為在短期傳感器流或長期傳感器流中不包含傳感器值的狀態。例如，圖13的評價id是“1”時的短期傳感器流197以及長期傳感器流、以及評價id是“81”時的短期傳感器流197(圖13所示的[])表示被進行了初始化。
[0252]
接著，基點數據更新部121取得評價對象數據所關聯的檢測結果s152)。步驟s152的處理通過檢測結果取得部201而實施。檢測結果取得部201將評價對象數據191所關聯的檢測結果從檢測結果存儲部123讀出。檢測結果取得部201例如讀出圖14所示的檢測結果。
[0253]
接著，基點數據更新部121判定所取得的檢測結果是否是“攻擊”(s153)。步驟s153～s157的處理通過基點數據追加部302而實施?；c數據追加部302例如基于評價對象數據的評價id203所對應的檢測結果208，進行步驟s153的判定。
[0254]
接著，基點數據追加部302在檢測結果是“攻擊”的情況下(在s153中為“是”)，作為用于補全傳感器值的值，將推定傳感器值設定為追加數據(s154)，在檢測結果是“正?！被蛘摺安幻鳌钡那闆r下(s153中為“否”)，將評價對象數據的傳感器值(實測值)設定為追加數據(s155)。
[0255]
此外，推定傳感器值可以是在評價對象數據所關聯的短期傳感器流的最后被追加的值，也可以是短期傳感器流的平均值。另外，推定傳感器值也可以是基于上述的長期傳感器流，由第二檢測器算出的評價對象數據的傳感器值的預測值。
[0256]
基點數據追加部302，例如在圖13中，在評價id是“82”的情況下，由于檢測結果是“攻擊”，所以作為將推定傳感器值作為在評價對象數據所關聯的短期傳感器流的最后被追加的值而設定“35.11”。
[0257]
接著，基點數據追加部302按照下述(數2)，對在接下來的評價對象數據的判定中使用的短期傳感器流(數1)進行更新(s156)。
[0258]
【數1】
[0259]
s＝{s1，s2，s3，si，.........}
???
(式2)
[0260]
【數2】
[0261][0262]
在此，si表示短期傳感器流所包含的1個傳感器值，i表示評價對象數據的第一索引，j表示評價對象數據的第二索引?；c數據追加部302在上述的檢測結果labeli－j是“攻擊”(“attack”)的情況下，用上述的推定傳感器值pi－j來更新si。另外，基點數據追加部302在labeli－j是“正?！?“normal”)或者“不明”(“unknown”)的情況下，用上述的評價
對象數據的傳感器值xi－j來更新si。此外，si是代表值的一例。
[0263]
接著，基點數據追加部302按下述(數4)，更新長期傳感器流(數3)(s157)。
[0264]
【數3】
[0265]
h＝{h1，h2，h3，hj，......}
???
(式4)
[0266]
【數4】
[0267][0268]
在此，hj表示長期傳感器流所包含的1個傳感器值?；c數據追加部302在上述的檢測結果labeli－j是“攻擊”(“attack”)的情況下，用上述的推定傳感器值pi－j更新hj。另外，基點數據追加部302在labeli－j是“正?！被蛘摺安幻鳌钡那闆r下，用上述的評價對象數據的傳感器值xi－j更新hj。此外，hj是代表值的一例。
[0269]
這樣，基點數據追加部302在每當進行是否是攻擊的判定時，更新2種基點數據，用于接下來的判定。
[0270]
此外，在上述說明中，示出了：在監視系統100中，采樣處理和攻擊檢測處理由彼此不同的裝置進行的例子，但是也可以由同一裝置(例如，1個裝置)進行。
[0271]
如以所述，與成為監視處理(例如，攻擊檢測處理)的對象的車輛傳感器數據的特征相應地，調整采樣間隔和采樣時間，進行采樣數據的生成。進而，基于包含表示短期以及長期的傳感器值的活動的2種索引的采樣數據，算出2種異常得分，由此進行攻擊的判定。由此，能夠抑制監視成本并高精度進行攻擊檢測。
[0272]
另外，基點數據更新部121在評價對象數據所關聯的檢測結果是攻擊的情況下，使用短期傳感器流以及長期傳感器流中的至少1個來推定評價對象數據應該能取的傳感器值，基于所推定出的推定傳感器值、第一索引、和第二索引，更新短期傳感器流和長期傳感器流。另外，基點數據更新部121在評價對象數據所關聯的檢測結果是正?；蛘卟幻鞯那闆r下，基于評價對象數據的傳感器值(實測值)、第一索引、以及第二索引，更新短期傳感器流和長期傳感器流。
[0273]
由此，能夠抑制攻擊等偏離值混合存在于基點列表這一情況。由此，通過使用這樣的基點列表，能夠抑制監視成本并高精度進行攻擊檢測。
[0274]
以下，對上述的監視系統100的利用方式進行說明。
[0275]
圖17是表示本實施方式的監視系統100的構成的示意圖。圖17是表示具備采樣部401以及采樣數據監視部501的監視系統100的構成的框圖。監視系統100具備存在于云上的服務器500、和車載裝置400。監視系統100能夠經由車載裝置400，取得所提取出的車輛傳感器數據(采樣數據)，基于所取得的車輛傳感器數據來檢測攻擊。
[0276]
車載裝置400以及服務器500例如能夠經由互聯網等公共通信網絡以能夠通信的方式連接。車載裝置400是安全保護ecu(electronic control unit)或汽車導航等。
[0277]
車載裝置400具備：采樣部401和攻擊通知裝置402。
[0278]
采樣部401是將對車輛網絡數據進行采樣得到的結果(采樣數據)向采樣數據監視
部501發送的裝置。采樣部401例如按每個預定的行駛時間，將以二進制表現的can數據變換為傳感器值，進而變換為采樣數據。而且，采樣部401將采樣數據向采樣數據監視部501發送。
[0279]
攻擊通知裝置402是用于將從服務器500接收到的對車輛網絡的攻擊的發生向駕駛員通知的裝置。攻擊通知裝置402例如通知攻擊的發生，并通過指示在與網絡斷開的安全模式下進行駕駛這一情況的聲音或者畫面而進行輸出。攻擊通知裝置402通過顯示裝置、揚聲器裝置等而實現。
[0280]
采樣數據監視部501判定有無對從車載裝置400接收到的車輛網絡數據(例如，采樣數據)的攻擊，在有攻擊的情況下向攻擊通知裝置402發送攻擊檢測的結果。
[0281]
此外，采樣部401的構成也可以與采樣部101同樣。另外，采樣數據監視部501的構成也可以與采樣數據監視部102同樣。
[0282]
圖18是表示本實施方式的車載裝置600的構成的示意圖。圖18是表示具備監視裝置601的車載裝置600的構成的框圖。車載裝置600具備監視裝置601和攻擊通知裝置602。
[0283]
監視裝置601僅在車輛內部，針對對車輛網絡數據進行采樣得到的結果判定有無攻擊，在有攻擊的情況下向攻擊通知裝置602發送攻擊檢測的結果。此外，監視裝置601例如構成為具有采樣部101以及采樣數據監視部102所具有的功能。這樣，采樣部101以及采樣數據監視部102所具有的功能也可以通過1個裝置(例如，搭載于車輛的裝置)而實現。監視裝置601是攻擊檢測系統的一例。
[0284]
攻擊通知裝置602是用于向駕駛員通知對從監視裝置601接收到的車輛網絡的攻擊的發生的裝置。攻擊通知裝置602通過顯示器裝置、揚聲器裝置等而實現。
[0285]
這樣，在圖17的監視系統100以及圖18的監視裝置601中，針對對車輛網絡進行了采樣而得到的結果，適當地判定是否有攻擊，由此能夠以低監視成本實現攻擊檢測。另外，在監視系統100以及監視裝置601中，進而，由于通過檢測結果的通知能夠將檢測到攻擊這一情況向駕駛員通知，所以能夠減輕由攻擊導致的事故發生。
[0286]
(其他實施方式)
[0287]
以上，對實施方式的監視裝置進行了說明，但本公開并不限定于該實施方式。
[0288]
例如，在上述實施方式中，對搭載于汽車等車輛的車載網絡中的安全保護對策進行了說明，但是適用范圍并不限定于此。例如，除了汽車等車輛以外，也可以適用于作為移動體的建機、農機、船舶、鐵路以及飛機等的移動體(mobility)。即，能夠作為移動體網絡以及移動體網絡系統中的網絡安全保護對策而適用。
[0289]
另外，上述實施方式的監視裝置所包含的各處理部典型地作為集成電路即lsi而實現。既可以將它們個別地單芯片化，也可以單芯片化為包含一部分或全部。
[0290]
另外，集成電路化并不限于lsi，也可以由專用電路或通用處理器實現。也可以利用能夠在lsi制造后編程的fpga、或能夠再構成lsi內部的電路單元的連接和/或設定的可重構處理器。
[0291]
另外，本公開也可以作為通過監視系統執行的監視方法(例如，攻擊檢測方法)而實現。例如，本公開的一技術方案也可以是使計算機執行監視方法所包含的特征的各步驟的計算機程序。另外，本公開的一技術方案也可以是記錄了這樣的程序的dvd等計算機可讀取非瞬時性記錄介質。例如，也可以使這樣的程序記錄于記錄介質而發布或流通。例如，由
這樣的程序以及該程序構成的數字信號也可以經由以電通信線路、無線或有線通信線路、互聯網為代表的網絡、數據廣播等而傳送。例如，也可以通過將所發布的程序安裝于具有其他處理器的裝置，使該處理器執行該程序，從而能夠使該裝置進行上述各處理。
[0292]
另外，在上述實施方式中，對第一順序信息是第一索引的例子進行了說明，但并不限定于此、第一順序信息例如也可以是絕對時刻。另外，在上述實施方式中，對第二順序信息是第二索引的例子進行了說明，但是并不限定于此，第二順序信息例如也可以是采樣間隔開始的絕對時刻。
[0293]
另外，在上述實施方式中，各構成要素可以通過專用的硬件構成，也可以通過執行與各構成要素相適的軟件程序而實現。各構成要素也可以通過cpu或處理器等程序執行部將硬盤或半導體存儲器等記錄介質所記錄的軟件程序讀出并執行而實現。
[0294]
另外，框圖中的功能塊的分割是一例，也可以將多個功能塊實現為一個功能塊，將一個功能塊分割為多個，或者將一部分功能移至其他功能塊。另外，也可以將具有類似功能的多個功能塊的功能由單一的硬件或軟件并行或分時進行處理。
[0295]
另外，在監視系統由多個裝置實現的情況下，采樣部具有的功能以及采樣數據監視部具有的功能也可以在多個裝置中任意分配。
[0296]
另外，流程圖中的各步驟被執行的順序是為了具體說明本公開而例示的順序，也可以是上述以外的順序。另外，上述步驟的一部分也可以與其他步驟同時(并行)執行。
[0297]
以上，對一個或多個技術方案的監視系統，基于實施方式進行了說明，但本公開并不限定于該實施方式。只要不脫離本公開的主旨，能夠對本實施方式實施本領域技術人員能想到的各種變形，對不同實施方式中的構成要素進行組合而構筑的方式也可以包含在一個或多個技術方案的范圍內。
[0298]
產業上的可利用性
[0299]
本公開能夠適用于對車輛傳感器數據的監視裝置，例如，能夠適當判定車輛傳感器數據所包含的車輛控制用的數據是否受到攻擊。例如，本公開能夠利用于安全保護(security)用ecu等車載裝置或者遠程監視服務器中的siem(security information and event management：安全信息和事件管理)等監視裝置或監視系統。
[0300]
標號說明
[0301]
100 監視系統
[0302]
101、401 采樣部
[0303]
102、501 采樣數據監視部
[0304]
110 采樣方針生成部
[0305]
111 采樣數據生成部
[0306]
112 車輛傳感器數據存儲部
[0307]
113 采樣方針存儲部
[0308]
114 車輛信息存儲部
[0309]
115、126 通信部
[0310]
120 攻擊檢測部
[0311]
121 基點數據更新部
[0312]
122 檢測器存儲部
[0313]
123 檢測結果存儲部
[0314]
124 基點數據存儲部
[0315]
125 采樣數據存儲部
[0316]
130 車輛傳感器數據取得部
[0317]
131 傳感器數據穩定度算出部
[0318]
132 采樣方針判定部
[0319]
141 車輛傳感器數據
[0320]
142、152、172、192、202 傳感器標識符
[0321]
143 數據id
[0322]
144 取得時刻
[0323]
145、174、194、204 傳感器值
[0324]
151 采樣方針數據
[0325]
153 文件編號
[0326]
154 數據方差
[0327]
155 車輛事件標記
[0328]
156 采樣間隔
[0329]
157 采樣時間
[0330]
160 采樣信息取得部
[0331]
161 數據提取部
[0332]
162 索引賦予部
[0333]
173、193、203 評價id
[0334]
175、195 第一索引
[0335]
176、196 第二索引
[0336]
181 采樣數據取得部
[0337]
182 基點數據取得部
[0338]
183 第一異常得分算出部
[0339]
184 第二異常得分算出部
[0340]
185 攻擊判定部
[0341]
191 評價對象數據
[0342]
197 短期傳感器流
[0343]
198 長期傳感器流
[0344]
201 檢測結果取得部
[0345]
205 第一異常得分
[0346]
206 第二異常得分
[0347]
207 第三異常得分
[0348]
208 檢測結果
[0349]
302 基點數據追加部
[0350]
400、600 車載裝置
[0351]
402、602 攻擊通知裝置
[0352]
500 服務器
[0353]
601 監視裝置。