攻击检测装置及攻击检测程序的制作方法

1.本发明涉及检测对嵌入式系统的攻击的技术。


背景技术：

2.专利文献1公开了一种检测对车辆的攻击的系统。
3.在该系统中，云服务器通过收集并分析车辆日志来检测对车辆的攻击。
4.由此，不太消耗车辆的资源而能够进行攻击的检测。
5.现有技术文献
6.专利文献
7.专利文献1：国际公开2017/104112号


技术实现要素：

8.发明要解决的问题
9.在专利文献1所公开的系统中，云服务器进行攻击的检测。因此，在车辆与云服务器之间的通信状况较差的情况下，无法进行攻击的检测。
10.此外，在始终使用车辆的资源进行攻击的检测的情况下，车辆的资源始终为了检测攻击而被消耗。因此，在用于控制车辆的处理中可能产生障碍。
11.本发明的目的在于，能够抑制为了进行攻击检测而对车辆施加的处理负荷，并且能够持续进行攻击检测。
12.用于解决问题的手段
13.本发明的攻击检测装置包含在嵌入式系统中。所述攻击检测装置具备：攻击判定部，其判定有无对所述嵌入式系统的攻击；通信状况确认部，其确认外部网络的通信状况；委托目的地决定部，其基于所述外部网络的通信状况，将所述攻击判定部和设置于所述嵌入式系统的外部且与所述外部网络连接的攻击判定装置中的任意一方决定为攻击判定的委托目的地；以及攻击判定委托部，其向决定出的委托目的地委托攻击判定。
14.发明的效果
15.根据本发明，能够根据车辆与云服务器之间的通信状况(外部网络的通信状况)来决定攻击判定的委托目的地。因此，能够抑制为了进行攻击检测而对车辆(嵌入式系统)施加的处理负荷，并且能够持续进行攻击检测。
附图说明
16.图1是实施方式1中的攻击检测系统200的结构图。
17.图2是实施方式1中的车载系统100的结构图。
18.图3是实施方式1中的执行控制处理的流程图。
19.图4是实施方式1中的外部委托处理(s104)的流程图。
20.图5是实施方式1中的内部委托处理(s105)的流程图。
21.图6是实施方式1中的攻击脚本的说明图。
22.图7是实施方式1中的攻击判定方法的流程图。
23.图8是实施方式1中的攻击手法判定的流程图。
24.图9是实施方式1中的攻击脚本判定的流程图。
25.图10是实施方式2中的执行控制处理的流程图。
26.图11是实施方式2中的执行控制处理的流程图。
27.图12是实施方式2中的执行控制处理的流程图。
28.图13是实施方式2中的攻击手法判定的流程图。
29.图14是实施方式2中的攻击脚本判定的流程图。
30.图15是实施方式3中的执行控制部110的结构图。
31.图16是实施方式3中的执行控制处理的流程图。
32.图17是实施方式3中的攻击判定方法的流程图。
33.图18是实施方式4中的执行控制部110的结构图。
34.图19是实施方式4中的执行控制处理的流程图。
35.图20是实施方式5中的执行控制部110的结构图。
36.图21是实施方式5中的执行控制处理的流程图。
37.图22是实施方式5中的攻击手法判定的流程图。
38.图23是示出实施方式5中的攻击手法列表191的图。
39.图24是实施方式5中的攻击脚本判定的流程图。
40.图25是示出实施方式5中的攻击脚本列表192的图。
41.图26是实施方式中的车载系统100的硬件结构图。
具体实施方式
42.在实施方式及附图中，针对相同要素或对应的要素标注了相同的标号。适当省略或简化标注了与已说明的要素相同的标号的要素的说明。图中的箭头主要表示数据流或处理的流程。
43.实施方式1.
44.基于图1至图9对攻击检测系统200进行说明。
45.＊＊＊结构的说明＊＊＊
46.基于图1对攻击检测系统200的结构进行说明。
47.攻击检测系统200具备攻击判定装置210和车辆220。
48.攻击判定装置210是判定有无网络攻击的装置，设置于云端201。
49.车辆220具备车载系统100。
50.车载系统100是搭载于车辆220的嵌入式系统。
51.车载系统100的一部分作为“攻击检测装置”发挥功能。
[0052]“攻击检测装置”是用于检测对车载系统100的网络攻击的装置。
[0053]
外部网络202是车载系统100的外部的通信网络。攻击判定装置210与外部网络202连接。例如，外部网络202是因特网。
[0054]
另一方面，将车载系统100中的通信网络称为“车载网络”或“内部网络”。例如，车
载网络是controller area network(can：控域网)。
[0055]
基于图2对车载系统100中的攻击检测装置的结构进行说明。
[0056]
车载系统100是具备处理器101、存储器102、辅助存储装置103以及通信装置104这样的硬件的计算机。这些硬件经由信号线相互连接。
[0057]
处理器101是进行运算处理的ic，对其他硬件进行控制。例如，处理器101是cpu。
[0058]
ic是integrated circuit(集成电路)的简称。
[0059]
cpu是central processing unit(中央处理单元)的简称。
[0060]
存储器102是易失性的存储装置。存储器102也被称为主存储装置或主存储器。例如，存储器102是ram。根据需要将存储器102所存储的数据保存于辅助存储装置103。
[0061]
ram是random access memory(随机存取存储器)的简称。
[0062]
辅助存储装置103是非易失性的存储装置。例如，辅助存储装置103是rom、hdd或闪存。根据需要将辅助存储装置103所存储的数据加载到存储器102。
[0063]
rom是read only memory(只读存储器)的简称。
[0064]
hdd是hard disk drive(硬盘驱动器)的简称。
[0065]
通信装置104是接收器及发射器，与外部网络202连接。例如，通信装置104是通信芯片或nic。
[0066]
nic是network interface card(网络接口卡)的简称。
[0067]
车载系统100具备执行控制部110、攻击判定部120、日志取得部131以及日志管理部132这样的要素。这些要素由软件实现。
[0068]
执行控制部110具备日志数据集合取得部111、通信状况确认部112、委托目的地决定部113以及攻击判定委托部114。
[0069]
在辅助存储装置103中，存储有用于使计算机作为执行控制部110、攻击判定部120、日志取得部131以及日志管理部132发挥功能的攻击检测程序。攻击检测程序被加载到存储器102中，由处理器101执行。
[0070]
在辅助存储装置103中还存储有os。os的至少一部分被加载到存储器102中，由处理器101执行。
[0071]
处理器101一边执行os，一边执行攻击检测程序。
[0072]
os是operating system(操作系统)的简称。
[0073]
攻击检测程序的输入输出数据被存储在存储部190中。
[0074]
存储器102作为存储部190发挥功能。但是，辅助存储装置103、处理器101内的寄存器及处理器101内的高速缓冲存储器等存储装置也可以代替存储器102或者与存储器102一起作为存储部190发挥功能。
[0075]
车载系统100也可以具备代替处理器101的多个处理器。多个处理器分担处理器101的作用。
[0076]
攻击检测程序能够以计算机可读取的方式记录(存储)在光盘或闪存等非易失性的记录介质中。
[0077]
＊＊＊动作的说明＊＊＊
[0078]
车载系统100中的攻击检测装置的动作相当于攻击检测方法。此外，攻击检测方法的步骤相当于攻击检测程序的步骤。
[0079]
以下说明攻击检测方法的处理。
[0080]
首先，对日志取得部131和日志管理部132各自的功能进行说明。
[0081]
日志取得部131取得表示在车载系统100中产生的事件的日志数据。例如，日志取得部131取得通信日志、进程日志及认证日志等日志数据。
[0082]
日志管理部132将取得的日志数据存储于存储部190，并管理所存储的日志数据。
[0083]
例如，日志管理部132对各个日志数据赋予日志识别码。日志识别码是用于唯一地识别日志数据的识别码。
[0084]
例如，日志管理部132对用于攻击判定的日志数据附加已处理标签。此外，例如，日志管理部132在已向攻击判定装置210发送日志数据并从攻击判定装置210返回了攻击判定结果的情况下，对已发送的日志数据附加已发送的标签。此外，例如，日志管理部132对从攻击判定装置210指示了不能删除的日志数据附加不能删除标签。
[0085]
基于图3对执行控制部110的处理(执行控制处理)进行说明。
[0086]
执行控制处理定期地或在任意的定时被执行。
[0087]
在步骤s101中，日志数据集合取得部111取得日志数据集合。
[0088]
日志数据集合是用于攻击判定的1个以上的日志数据。
[0089]
日志数据集合取得部111如以下那样取得日志数据集合。
[0090]
首先，日志数据集合取得部111向日志管理部132请求日志数据集合。
[0091]
接着，日志管理部132从存储部190选择未附加已处理标签的全部日志数据。
[0092]
接着，日志管理部132将所选择的全部日志数据通知给日志数据集合取得部111。
[0093]
然后，日志数据集合取得部111接受所选择的全部日志数据。
[0094]
此外，日志管理部132对所选择的全部日志数据附加已处理标签。
[0095]
在步骤s102中，通信状况确认部112确认外部网络202的通信状况。
[0096]
通信状况确认部112如以下那样确认外部网络202的通信状况。
[0097]
通信装置104管理针对外部网络202的连接状态信息。
[0098]
通信状况确认部112从通信装置104取得针对外部网络202的连接状态信息。
[0099]
连接状态信息表示与通信网络连接的连接状态。
[0100]
例如，连接状态信息示出“已连接”、“连接处理中”、“认证处理中”、“连接信息取得中”、“连接检查中”、“连接中断”、“切断处理中”或“已切断”等连接状态。
[0101]
将除了“已连接”和“已切断”的剩余的连接状态称为“中间状态”。
[0102]“已连接”、“已切断”及“中间状态”确定通信状况的好坏的程度。“已连接”对应于“良好”这样的通信状况。“已切断”对应于“不良”这样的通信状况。“中间状态”对应于“普通”这样的通信状况。
[0103]
也可以通过与连接状态不同的信息来确定通信状况。
[0104]
例如，也可以通过电波强度、吞吐量、切断时间或连续通信时间来确定通信状况。
[0105]
在步骤s103中，委托目的地决定部113基于外部网络202的通信状况来决定攻击判定的委托目的地。
[0106]
例如，在与外部网络202的连接状态是“已连接”的情况下，委托目的地决定部113将攻击判定的委托目的地决定为攻击判定装置210。
[0107]
例如，在与外部网络202的连接状态不是“已连接”的情况下，委托目的地决定部
113将攻击判定的委托目的地决定为攻击判定部120。
[0108]
在攻击判定的委托目的地为攻击判定装置210(外部)的情况下，处理进入步骤s104。
[0109]
在攻击判定的委托目的地为攻击判定部120(内部)的情况下，处理进入步骤s105。
[0110]
在步骤s104中，攻击判定委托部114向攻击判定装置210委托攻击判定。
[0111]
基于图4对外部委托处理(s104)进行说明。
[0112]
在步骤s1041中，攻击判定委托部114使用通信装置104，将日志数据集合向攻击判定装置210发送。
[0113]
攻击判定装置210接收日志数据集合，基于日志数据集合进行攻击判定，发送判定结果。
[0114]
后述攻击判定的方法。
[0115]
在步骤s1042中，攻击判定委托部114使用通信装置104，从攻击判定装置210接收判定结果。
[0116]
返回图3对步骤s105进行说明。
[0117]
在步骤s105中，攻攻击判定委托部114向攻击判定部120委托攻击判定。
[0118]
基于图5对内部委托处理(s105)的步骤进行说明。
[0119]
在步骤s1051中，攻击判定委托部114将日志数据集合提供给攻击判定部120。
[0120]
攻击判定部120接受日志数据集合，基于日志数据集合进行攻击判定，并通知判定结果。
[0121]
后述攻击判定的方法。
[0122]
在步骤s1052中，攻击判定委托部114从攻击判定部120接受判定结果。
[0123]
以下对攻击判定方法进行说明。
[0124]
基于图6对攻击脚本进行说明。
[0125]
攻击脚本示出构成网络攻击的一系列的攻击手法。图6的攻击脚本示出由3个攻击手法构成的网络攻击。
[0126]
攻击手法是网络攻击的要素，也称为攻击阶段。
[0127]
基于图7对攻击判定方法的步骤进行说明。
[0128]
在攻击判定方法中，进行攻击手法判定和攻击脚本判定这样的处理。
[0129]
攻击手法判定是判定与1个以上的攻击手法分别一致的日志数据是否包含在日志数据集合中的处理。
[0130]
攻击脚本判定是判定与1个以上的攻击脚本分别一致的日志数据组是否包含在日志数据集合中的处理。
[0131]
即，攻击脚本判定是如下处理：基于日志的产生源或产生要因等，调查在攻击手法判定中判定出的攻击手法的关联，判定所调查的关联是否与1个以上的攻击脚本分别一致。
[0132]
换言之，攻击脚本判定是如下处理：判定与1个以上的攻击脚本分别一致的1个以上的攻击手法和它们的关系是否包含在调查在攻击手法判定中判定出的攻击手法的关联而得到的结果中。此外，在攻击脚本判定中，也可以调查攻击手法与日志数据的关联，判定所调查的关联是否与1个以上的攻击脚本分别一致。
[0133]
基于图8来说明由攻击判定部120进行的攻击手法判定。
[0134]
由攻击判定装置210进行的攻击手法判定与由攻击判定部120进行的攻击手法判定相同。
[0135]
在步骤s111中，攻击判定部120从攻击手法列表中选择1个未选择的攻击手法信息。
[0136]
攻击手法列表示出1个以上的攻击手法信息，被预先存储在存储部190中。
[0137]
攻击手法信息是确定攻击手法的信息。
[0138]
在步骤s112中，攻击判定部120判定与选择出的攻击手法信息一致的日志数据是否包含在日志数据集合中。
[0139]
例如，攻击判定部120进行日志数据集合的各个日志数据与攻击手法信息的模式匹配。
[0140]
在步骤s113中，攻击判定部120判定是否存在未选择的攻击手法信息。
[0141]
在存在未选择的攻击手法信息的情况下，处理进入步骤s111。
[0142]
在不存在未选择的攻击手法信息的情况下，攻击手法判定结束。
[0143]
基于图9来说明由攻击判定部120进行的攻击脚本判定。
[0144]
由攻击判定装置210进行的攻击脚本判定与由攻击判定部120进行的攻击脚本判定相同。
[0145]
在步骤s121中，攻击判定部120从攻击脚本列表中选择1个未选择的攻击脚本。
[0146]
攻击脚本列表示出1个以上的攻击脚本，被预先存储在存储部190中。
[0147]
在步骤s122中，攻击判定部120基于攻击手法判定的结果，判定与选择出的攻击脚本一致的日志数据组是否包含在日志数据集合中。
[0148]
具体而言，攻击判定部120基于日志的产生源或产生要因等，调查在攻击手法判定中判定出的攻击手法的关联，判定所调查的关联是否与1个以上的攻击脚本分别一致。
[0149]
换言之，攻击判定部120判定与1个以上的攻击脚本分别一致的1个以上的攻击手法和它们的关系是否包含在调查在攻击手法判定中判定出的攻击手法的关联而得到的结果中。此外，也可以是，攻击判定部120调查攻击手法与日志数据的关联，判定所调查的关联是否与1个以上的攻击脚本分别一致。
[0150]
例如，图6的攻击脚本示出通过攻击手法(1)、攻击手法(2)以及攻击手法(3)攻击的网络攻击。
[0151]
将与攻击手法(1)的信息一致的日志数据称为日志数据(1)。
[0152]
将与攻击手法(2)的信息一致的日志数据称为日志数据(2)。
[0153]
将与攻击手法(3)的信息一致的日志数据称为日志数据(3)。
[0154]
在日志数据(1)(2)(3)的排列顺序(事件的发生顺序)为日志数据(1)、日志数据(2)、日志数据(3)的情况下，日志数据(1)(2)(3)与图5的攻击脚本一致。
[0155]
在步骤s123中，攻击判定部120判定是否存在未选择的攻击脚本。
[0156]
在存在未选择的攻击脚本的情况下，处理进入步骤s121。
[0157]
在不存在未选择的攻击脚本的情况下，攻击脚本判定结束。
[0158]
＊＊＊实施方式1的效果＊＊＊
[0159]
通过实施方式1，能够根据外部网络202的通信状况来决定攻击判定的委托目的地。因此，能够抑制为了进行攻击检测而向车载系统100施加的处理负荷，并且能够持续进
行攻击检测。
[0160]
实施方式2.
[0161]
关于应对通信状况的变化的方式，基于图10至图14来主要说明与实施方式1的不同点。
[0162]
＊＊＊结构的说明＊＊＊
[0163]
攻击检测系统200的结构与实施方式1中的结构相同(参照图1及图2)。
[0164]
＊＊＊动作的说明＊＊＊
[0165]
基于图10、图11及图12来说明执行控制处理。
[0166]
在步骤s201中，日志数据集合取得部111取得日志数据集合。
[0167]
步骤s201与实施方式1中的步骤s101相同。
[0168]
在步骤s202中，通信状况确认部112确认外部网络202的通信状况。
[0169]
步骤s202与实施方式1中的步骤s102相同。
[0170]
在步骤s203中，委托目的地决定部113基于外部网络202的通信状况，决定攻击判定的委托目的地。
[0171]
步骤s203与实施方式1中的步骤s103相同。
[0172]
在攻击判定的委托目的地为攻击判定装置210(外部)的情况下，处理进入步骤s211。
[0173]
在攻击判定的委托目的地为攻击判定部120(内部)的情况下，处理进入步骤s221。
[0174]
在步骤s211中，攻击判定委托部114将日志数据集合通知给通信装置104。
[0175]
通信装置104将日志数据集合向攻击判定装置210发送。
[0176]
攻击判定装置210接收日志数据集合，基于日志数据集合进行攻击判定。
[0177]
在攻击判定完成的情况下，攻击判定装置210发送判定结果。通信装置104接收判定结果，将判定结果通知给攻击判定委托部114。
[0178]
在步骤s212中，攻击判定委托部114判定是否从通信装置104通知了判定结果。
[0179]
在通知了判定结果的情况下，处理进入步骤s213。
[0180]
在未通知判定结果的情况下，处理进入步骤s214。
[0181]
在步骤s213中，攻击判定委托部114接受被通知的判定结果。
[0182]
在步骤s214中，通信状况确认部112确认外部网络202的通信状况。
[0183]
步骤s214与实施方式1中的步骤s102相同。
[0184]
在步骤s215中，委托目的地决定部113基于外部网络202的通信状况，判定是否需要变更攻击判定的委托目的地。
[0185]
例如，在与外部网络202的连接状态从“已连接”改变为“已连接”以外的状态的情况下，委托目的地决定部113判定为需要变更攻击判定的委托目的地。
[0186]
例如，在与外部网络202的连接状态保持“已连接”不变的情况下，委托目的地决定部113判定为不需要攻击判定的变更。
[0187]
在判定为需要变更攻击判定的委托目的地的情况下，处理进入步骤s221。
[0188]
在判定为不需要变更攻击判定的委托目的地的情况下，处理进入步骤s212。
[0189]
在步骤s221中，攻击判定委托部114将日志数据集合提供给攻击判定部120。
[0190]
攻击判定部120接受日志数据集合，基于日志数据集合进行攻击判定。
[0191]
在攻击判定完成的情况下，攻击判定部120通知判定结果。
[0192]
在步骤s222中，攻击判定委托部114判定是否从攻击判定部120通知了判定结果。
[0193]
在通知了判定结果的情况下，处理进入步骤s223。
[0194]
在未通知判定结果的情况下，处理进入步骤s224。
[0195]
在步骤s223中，攻击判定委托部114接受判定结果。
[0196]
在步骤s224中，通信状况确认部112确认外部网络202的通信状况。
[0197]
步骤s224与实施方式1中的步骤s102相同。
[0198]
在步骤s225中，委托目的地决定部113基于外部网络202的通信状况，判定是否需要变更攻击判定的委托目的地。
[0199]
例如，在与外部网络202的连接状态从“已连接”以外的状态改变为“已连接”的情况下，委托目的地决定部113判定为需要变更攻击判定的委托目的地。
[0200]
例如，在与外部网络202的连接状态保持“已连接”以外的状态不变的情况下，委托目的地决定部113判定为不需要攻击判定的变更。
[0201]
在判定为需要变更攻击判定的委托目的地的情况下，处理进入步骤s226。
[0202]
在判定为不需要变更攻击判定的委托目的地的情况下，处理进入步骤s222。
[0203]
在步骤s226中，攻击判定委托部114向攻击判定部120指示攻击判定的中止。
[0204]
在指示了攻击判定的中止的情况下，攻击判定部120中止攻击判定。
[0205]
在步骤s226之后，处理进入步骤s211。
[0206]
基于图13来说明由攻击判定部120进行的攻击手法判定。
[0207]
在步骤s231中，攻击判定部120判定是否指示了判定中止。
[0208]
在指示了判定中止的情况下，攻击判定部120中止攻击判定。
[0209]
在未指示判定中止的情况下，处理进入步骤s232。
[0210]
步骤s232至步骤s234与实施方式1中的处理(s111～s113)相同。
[0211]
基于图14来说明由攻击判定部120进行的攻击脚本判定。
[0212]
在步骤s241中，攻击判定部120判定是否指示了判定中止。
[0213]
在指示了判定中止的情况下，攻击判定部120中止攻击判定。
[0214]
在未指示判定中止的情况下，处理进入步骤s242。
[0215]
步骤s242至步骤s244与实施方式1中的处理(s121～s123)相同。
[0216]
＊＊＊实施方式2的效果＊＊＊
[0217]
通过实施方式2，能够应对通信状况的变化。
[0218]
具体而言，即便在从向攻击判定装置210委托攻击判定到从攻击判定装置210接受判定结果为止的期间内通信状况恶化，也能够从攻击判定部120得到判定结果。即，即便通信状况发生变化，也能够持续进行攻击检测。
[0219]
此外，在从向攻击判定部120委托攻击判定到从攻击判定部120接受判定结果为止的期间内通信状况变好的情况下，能够中止由攻击判定部120进行的攻击判定，从攻击判定装置210得到判定结果。因此，能够减轻为了进行攻击检测而向车载系统100施加的处理负荷。
[0220]
＊＊＊实施方式2的补充＊＊＊
[0221]
也可以是，在攻击判定的委托目的地被变更的情况下，攻击判定委托部114从旧委
托目的地接受通过攻击判定中的已执行的处理而得到的判定结果(部分结果)，并向新委托目的地通知部分结果。新委托目的地接受部分结果，执行已执行的处理以后的处理。
[0222]
实施方式3.
[0223]
关于根据通信状况来控制判定内容的方式，基于图15至图17来主要说明与实施方式1的不同点。
[0224]
＊＊＊结构的说明＊＊＊
[0225]
攻击检测系统200的结构除了执行控制部110的结构之外，与实施方式1中的结构相同(参照图1及图2)。
[0226]
基于图15来说明执行控制部110的结构。
[0227]
执行控制部110具备判定内容决定部115。
[0228]
其他结构与实施方式1中的结构相同。
[0229]
＊＊＊动作的说明＊＊＊
[0230]
基于图16对执行控制处理进行说明。
[0231]
在步骤s301中，日志数据集合取得部111取得日志数据集合。
[0232]
步骤s301与实施方式1中的步骤s101相同。
[0233]
在步骤s302中，通信状况确认部112确认外部网络202的通信状况。
[0234]
步骤s302与实施方式1中的步骤s102相同。
[0235]
在步骤s303中，委托目的地决定部113基于外部网络202的通信状况，决定攻击判定的委托目的地。
[0236]
决定攻击判定的委托目的地的方法与实施方式1的步骤s103中的方法相同。
[0237]
判定内容决定部115基于外部网络202的通信状况，决定判定内容。
[0238]
例如，判定内容决定部115如以下那样决定攻击手法判定和攻击脚本判定各自的判定内容。
[0239]
在与外部网络202的连接状态为“已连接”或“已切断”的情况下，判定内容决定部115将攻击手法判定和攻击脚本判定各自的判定内容决定为“全部判定”。“全部判定”是针对登记于攻击手法列表的全部的攻击手法信息及登记于攻击脚本列表的全部的攻击脚本而进行的攻击判定。
[0240]
在与外部网络202的连接状态为“中间状态”的情况下，判定内容决定部115将攻击手法判定和攻击脚本判定各自的判定内容决定为“部分判定”。“部分判定”是针对登记于攻击手法列表的一部分攻击手法信息及登记于攻击脚本的一部分攻击脚本而进行的攻击判定。
[0241]
在攻击判定的委托目的地为攻击判定装置210(外部)的情况下，处理进入步骤s304。
[0242]
在攻击判定的委托目的地为攻击判定部120(内部)的情况下，处理进入步骤s305。
[0243]
在步骤s304中，攻击判定委托部114指定判定内容，将攻击判定委托给攻击判定装置210。
[0244]
在步骤s305中，攻击判定委托部114指定判定内容，将攻击判定委托给攻击判定部120。
[0245]
基于图17来说明由攻击判定部120进行的攻击判定。
[0246]
由攻击判定装置210进行的攻击判定与由攻击判定部120进行的攻击判定相同。
[0247]
在步骤s311中，攻击判定部120确认针对攻击手法判定的判定内容。
[0248]
在判定内容为“全部判定”的情况下，处理进入步骤s312。
[0249]
在判定内容为“部分判定”的情况下，处理进入步骤s313。
[0250]
在步骤s312中，攻击判定部120进行攻击手法判定。
[0251]
攻击手法判定与实施方式1中说明的相同(参照图8)。
[0252]
在步骤s313中，攻击判定部120进行一部分手法判定。
[0253]
一部分手法判定是针对登记于攻击手法列表的一部分攻击手法信息而进行的攻击手法判定。
[0254]
例如，攻击判定部120使用一部分手法列表取代攻击手法列表，来进行攻击手法判定。一部分手法列表示出登记于攻击手法列表的一部分攻击手法信息，被预先存储在存储部190中。
[0255]
在步骤s314中，攻击判定部120确认针对攻击脚本判定的判定内容。
[0256]
在判定内容为“全部判定”的情况下，处理进入步骤s315。
[0257]
在判定内容为“部分判定”的情况下，处理进入步骤s316。
[0258]
在步骤s315中，攻击判定部120进入攻击脚本判定。
[0259]
攻击脚本判定与实施方式1中说明的相同(参照图9)。
[0260]
在步骤s316中，攻击判定部120进行一部分脚本判定。
[0261]
一部分脚本判定是针对登记于攻击脚本列表的一部分攻击脚本信息而进行的攻击脚本判定。
[0262]
例如，攻击判定部120使用一部分脚本列表取代攻击脚本列表，来进行攻击脚本判定。一部分脚本列表示出登记于攻击脚本列表的一部分攻击脚本信息，被预先存储在存储部190中。
[0263]
＊＊＊实施方式3的效果＊＊＊
[0264]
通过实施方式3，能够根据通信状况来控制判定内容。因此，能够与通信状况无关地使攻击检测的至少一部分持续。
[0265]
＊＊＊实施方式3的补充＊＊＊
[0266]
实施方式3也可以与实施方式2组合来实施。即，在实施方式3中，攻击判定委托部114也可以根据通信状况的变化来变更攻击判定的委托目的地。
[0267]
实施方式4.
[0268]
关于考虑系统状况来决定攻击判定的委托目的地的方式，基于图18及图19来说明主要与实施方式1的不同点。
[0269]
＊＊＊结构的说明＊＊＊
[0270]
攻击检测系统200的结构除了执行控制部110的结构之外，与实施方式1中的结构相同(参照图1及图2)。
[0271]
基于图18对执行控制部110的结构进行说明。
[0272]
执行控制部110具备系统状况确认部116。
[0273]
其他结构与实施方式1中的结构相同。
[0274]
＊＊＊动作的说明＊＊＊
[0275]
基于图19对执行控制处理进行说明。
[0276]
在步骤s401中，日志数据集合取得部111取得日志数据集合。
[0277]
步骤s401与实施方式1中的步骤s101相同。
[0278]
在步骤s402中，通信状况确认部112确认外部网络202的通信状况。
[0279]
步骤s402与实施方式1中的步骤s102相同。
[0280]
在步骤s403中，系统状况确认部116确认车载系统100的状况(系统状况)。
[0281]
例如，系统状况确认部116确认车载系统100的负荷状况。车载系统100的负荷状况由处理器101的使用率、处理器101的空闲时间、存储器102的使用率及处理器101的空闲容量等决定。
[0282]
例如，系统状况确认部116确认搭载有车载系统100的车辆220的行驶状况。车辆220的行驶状况由行驶中或停止中等决定。
[0283]
在步骤s404中，委托目的地决定部113基于所确认的状况，决定攻击判定的委托目的地。
[0284]
例如，委托目的地决定部113如以下那样决定攻击判定的委托目的地。
[0285]
在与外部网络202的连接状态为“已连接”的情况下，委托目的地决定部113将攻击判定装置210决定为攻击判定的委托目的地。
[0286]
在与外部网络202的连接状态为“已切断”的情况下，委托目的地决定部113将攻击判定部120决定为攻击判定的委托目的地。
[0287]
在与外部网络202的连接状态为“中间状态”且车载系统100的负荷状况为“低负荷”的情况下，委托目的地决定部113将攻击判定部120决定为攻击判定的委托目的地。
[0288]
在与外部网络202的连接状态为“中间状态”且车载系统100的负荷状况为“高负荷”且车辆220的行驶状况为“行驶中”的情况下，委托目的地决定部113将攻击判定部120决定为攻击判定的委托目的地。
[0289]
在与外部网络202的连接状态为“中间状态”且车载系统100的负荷状况为“高负荷”且车辆220的行驶状况为“停止中”的情况下，委托目的地决定部113将攻击判定装置210决定为攻击判定的委托目的地。
[0290]
在攻击判定的委托目的地为攻击判定装置210(外部)的情况下，处理进入步骤s405。
[0291]
在攻击判定的委托目的地为攻击判定部120(内部)的情况下，处理进入步骤s406。
[0292]
在步骤s405中，攻击判定委托部114向攻击判定装置210委托攻击判定。
[0293]
步骤s405与实施方式1中的步骤s104相同。
[0294]
在步骤s406中，攻击判定委托部114向攻击判定部120委托攻击判定。
[0295]
步骤s406与实施方式1中的步骤s105相同。
[0296]
＊＊＊实施方式4的效果＊＊＊
[0297]
通过实施方式4，能够考虑系统状况来决定攻击判定的委托目的地。因此，能够更加适当地决定攻击判定的委托目的地。
[0298]
＊＊＊实施方式4的补充＊＊＊
[0299]
实施方式4也可以与实施方式2组合来实施。即，在实施方式4中，攻击判定委托部114也可以根据通信状况的变化来变更攻击判定的委托目的地。
[0300]
实施方式4也可以与实施方式3组合来实施。即，在实施方式4中，执行控制部110也可以具备判定内容决定部115。
[0301]
实施方式5.
[0302]
关于考虑系统状况来控制判定内容的方式，基于图20至图25来主要说明与实施方式3的不同点。
[0303]
＊＊＊结构的说明＊＊＊
[0304]
攻击检测系统200的结构除了执行控制部110的结构之外，与实施方式1中的结构相同(参照图1及图2)。
[0305]
基于图20对执行控制部110的结构进行说明。
[0306]
执行控制部110具备系统状况确认部116。
[0307]
其他结构与实施方式3中的结构相同(参照图15)。
[0308]
＊＊＊动作的说明＊＊＊
[0309]
基于图19对执行控制处理进行说明。
[0310]
在步骤s501中，日志数据集合取得部111取得日志数据集合。
[0311]
步骤s501与实施方式1中的步骤s101相同。
[0312]
在步骤s502中，通信状况确认部112确认外部网络202的通信状况。
[0313]
步骤s502与实施方式1中的步骤s102相同。
[0314]
在步骤s503中，系统状况确认部116确认车载系统100的状况(系统状况)。
[0315]
步骤s503与实施方式3中的步骤s403相同。
[0316]
在步骤s504中，委托目的地决定部113基于外部网络202的通信状况，决定攻击判定的委托目的地。
[0317]
决定攻击判定的委托目的地的方法与实施方式1的步骤s103中的方法相同。
[0318]
但是，委托目的地决定部113也可以与实施方式4中的步骤s404相同地考虑通信状况以外的状况来决定攻击判定的委托目的地。
[0319]
判定内容决定部115基于所确认的状况来决定判定内容。
[0320]
例如，判定内容决定部115基于所确认的状况，计算用于确定判定内容的优先度阈值。
[0321]
例如，判定内容决定部115通过对式(1)进行计算来计算优先度阈值。
[0322]
max(x，y)意味着选择“x”和“y”中的较大的一方。
[0323]“α
1”、“β
1”、“α
2”、“β
2”是预先决定的值。
[0324]
cpu负荷是表示处理器101的负荷的大小的值。
[0325]
行驶状况度是使用车辆220的速度、车辆220的转向角及车辆220的加速度等计算的值。
[0326]
优先度阈值＝max(负荷状况阈值，行驶状况阈值)
…
(1)
[0327]
负荷状况阈值＝α1×
cpu负荷 β1[0328]
行驶状况阈值＝α2×
行驶状况度 β2[0329]
在攻击判定的委托目的地为攻击判定装置210(外部)的情况下，处理进入步骤s505。
[0330]
在攻击判定的委托目的地为攻击判定部120(内部)的情况下，处理进入步骤s506。
[0331]
在步骤s505中，攻击判定委托部114指定判定内容，将攻击判定委托给攻击判定装置210。
[0332]
攻击判定装置210按照所指定的判定内容进行攻击判定。例如，攻击判定装置210与实施方式3中的处理同样地进行攻击判定(参照图17)。
[0333]
在步骤s506中，攻击判定委托部114指定判定内容，将攻击判定委托给攻击判定部120。
[0334]
攻击判定部120按照所指定的判定内容进行攻击判定。例如，攻击判定部120与实施方式3中的处理同样地进行攻击判定(参照图17)。
[0335]
以下说明判定内容通过优先度阈值而被确定的情况下的攻击判定。
[0336]
基于图22来说明由攻击判定部120进行的攻击手法判定。
[0337]
由攻击判定装置210进行的攻击手法判定与由攻击判定部120进行的攻击手法判定相同。
[0338]
在步骤s511中，攻击判定部120从攻击手法列表191中提取具有优先度阈值以上的优先度的攻击手法信息组。
[0339]
图23示出攻击手法列表191的具体例。
[0340]
攻击手法列表191包含1个以上的攻击手法信息。
[0341]
各个攻击手法信息示出识别码(id)、攻击手法名以及优先度。
[0342]
例如在优先度阈值为“8”的情况下，攻击判定部120从攻击手法列表191中提取id为“b”的攻击手法信息及id为“c”的攻击手法信息等。
[0343]
返回图22，从步骤s512开始继续说明。
[0344]
在步骤s512中，攻击判定部120从提取出的攻击手法信息组中选择1个未选择的攻击手法信息。
[0345]
在步骤s513中，攻击判定部120判定与所选择的攻击手法信息一致的日志数据是否包含在日志数据集合中。
[0346]
步骤s513与实施方式1中的步骤s112相同。
[0347]
在步骤s514中，攻击判定部120判定在提取出的攻击手法信息组中是否存在未选择的攻击手法信息。
[0348]
在存在未选择的攻击手法信息的情况下，处理进入步骤s512。
[0349]
在不存在未选择的攻击手法信息的情况下，攻击手法判定结束。
[0350]
基于图24来说明由攻击判定部120进行的攻击脚本判定。
[0351]
由攻击判定装置210进行的攻击脚本判定与由攻击判定部120进行的攻击脚本判定相同。
[0352]
在步骤s521中，攻击判定部120从攻击脚本列表192中提取具有优先度阈值以上的优先度的攻击脚本组。
[0353]
图25示出攻击脚本列表192的具体例。
[0354]
攻击脚本列表192包含1个以上的攻击脚本信息。
[0355]
各个攻击脚本信息示出识别码(id)、攻击脚本以及优先度。
[0356]
例如，在优先度阈值为“8”的情况下，攻击判定部120从攻击脚本列表192中提取id为“2”的攻击脚本等。
[0357]
返回图24，从步骤s522开始继续说明。
[0358]
在步骤s522中，攻击判定部120从提取出的攻击脚本组中选择1个未选择的攻击脚本。
[0359]
在步骤s523中，攻击判定部120判定与所选择的攻击脚本一致的日志数据组是否包含在日志数据集合中。
[0360]
步骤s523与实施方式1中的步骤s122相同。
[0361]
在步骤s524中，攻击判定部120判定在提取出的攻击脚本组中是否存在未选择的攻击脚本。
[0362]
在存在未选择的攻击脚本的情况下，处理进入步骤s522。
[0363]
在不存在未选择的攻击脚本的情况下，攻击脚本判定结束。
[0364]
＊＊＊实施方式5的效果＊＊＊
[0365]
通过实施方式5，能够考虑系统状况来控制判定内容。因此，能够与系统状况无关地使攻击检测的至少一部分持续。
[0366]
＊＊＊实施方式5的补充＊＊＊
[0367]
实施方式5也可以与实施方式2组合来实施。即，在实施方式5中，攻击判定委托部114也可以根据通信状况的变化来变更攻击判定的委托目的地。
[0368]
＊＊＊实施方式的补充＊＊＊
[0369]
基于图26对车载系统100中的攻击检测装置的硬件结构进行说明。
[0370]
车载系统100具备处理电路109。
[0371]
处理电路109是实现执行控制部110、攻击判定部120、日志取得部131以及日志管理部132的硬件。
[0372]
处理电路109可以是专用的硬件，也可以是执行存储器102所存储的程序的处理器101。
[0373]
在处理电路109是专用的硬件的情况下，处理电路109例如是单一电路、复合电路、程序化的处理器、并行程序化的处理器、asic、fpga或者它们的组合。
[0374]
asic是application specific integrated circuit(专用集成电路)的简称。
[0375]
fpga是field programmable gate array(现场可编程门阵列)的简称。
[0376]
车载系统100也可以具备代替处理电路109的多个处理电路。多个处理电路分担处理电路109的作用。
[0377]
在车载系统100中，也可以是，由专用的硬件实现一部分功能，由软件或固件实现剩余的功能。
[0378]
这样，处理电路109能够通过硬件、软件、固件或者它们的组合来实现。
[0379]
实施方式是优选方式的例示，并非意在限制本发明的技术范围。实施方式可以部分地实施，也可以与其他方式组合地实施。使用流程图等说明的步骤也可以适当变更。
[0380]
作为车载系统100的要素的“部”也可以改写为“处理”或“工序”。
[0381]
标号说明
[0382]
100车载系统，101处理器，102存储器，103辅助存储装置，104通信装置，109处理电路，110执行控制部，111日志数据集合取得部，112通信状况确认部，113委托目的地决定部，114攻击判定委托部，115判定内容决定部，116系统状况确认部，120攻击判定部，131日志取
得部，132日志管理部，190存储部，191攻击手法列表，192攻击脚本列表，200攻击检测系统，201云端，202外部网络，210攻击判定装置，220车辆。