WO2023136111A1

WO2023136111A1 - 異常検知装置及び異常検知方法

Info

Publication number: WO2023136111A1
Application number: PCT/JP2022/047828
Authority: WO
Inventors: 貴洋安達; 良浩氏家; 剛岸川
Original assignee: Panasonic Intellectual Property Corp of America
Current assignee: Panasonic Intellectual Property Corp of America
Priority date: 2022-01-14
Filing date: 2022-12-26
Publication date: 2023-07-20
Anticipated expiration: 2024-07-14
Also published as: CN118511489A; EP4465606A1; EP4465606A4; JPWO2023136111A1; US20240364727A1; US12615276B2

Abstract

異常検知装置は、２以上の電子制御ユニットと、１以上のネットワークと、によって構成される車載ネットワークシステムにおける異常を検知する異常検知装置であって、２以上の電子制御ユニットそれぞれに設定された電子制御ユニットが有する属性を記憶しているＥＣＵ属性記憶部（４０６）と、１以上のネットワーク上のメッセージを送受信する通信部（４０１）と、ＥＣＵ属性記憶部（４０６）に記憶されている属性のうち、メッセージの送信元または宛先の電子制御ユニットが有する属性を用いて、異常な通信を検知する異常検知部（４０２）と、を有し、ＥＣＵ属性記憶部（４０６）に記憶されている属性は、当該属性を有する電子制御ユニットの機能、または、当該属性を有する電子制御ユニットが扱う情報の種類を示す。

Description

異常検知装置及び異常検知方法

　本開示は、車載ネットワークシステムにおいて、異常を検出するための異常検知装置及び異常検知方法に関する。

　非特許文献１には、ＳＯＭＥ／ＩＰのフレームに対して、サービスＩＤと対応する宛先ＩＰアドレス、送信元ＩＰアドレスを正常ルールとして事前に設定し、フレームを監視し、正常ルールに従わないフレームを異常なフレームとして検知することができる技術が開示されている。

Ｎ．Ｈｅｒｏｌｄ，ｅｔ　ａｌ、"Ａｎｏｍａｌｙ　Ｄｅｔｅｃｔｉｏｎ　ｆｏｒ　ＳＯＭＥ／ＩＰｕｓｉｎｇ　Ｃｏｍｐｌｅｘ　Ｅｖｅｎｔ　Ｐｒｏｃｅｓｓｉｎｇ"、ＮＯＭＳ３０１６，ＩＥＥＥ／ＩＦＩＰ　Ｎｅｔｗｏｒｋ　Ｏｐｅｒａｔｉｏｎｓ　ａｎｄ　Ｍａｎａｇｅｍｅｎｔ　Ｓｙｍｐｏｓｉｕｍ、２０１６

　本開示は、普段と異なる通信内容が攻撃者によるものであるのか否かを区別することで異常な通信を検知することができ、車両全体の安全性を向上できる異常検知装置及び異常検知方法を提供することを目的とする。

　本開示の一態様に係る異常検知装置は、２以上の電子制御ユニットと、１以上のネットワークと、によって構成される車載ネットワークシステムにおける異常を検知する異常検知装置であって、前記２以上の電子制御ユニットそれぞれに設定された電子制御ユニットが有する属性を記憶しているＥＣＵ属性記憶部と、前記１以上のネットワーク上のメッセージを送受信する通信部と、前記ＥＣＵ属性記憶部に記憶されている前記属性のうち、前記メッセージの送信元または宛先の電子制御ユニットが有する前記属性を用いて、異常な通信を検知する異常検知部と、を有し、前記ＥＣＵ属性記憶部に記憶されている前記属性は、当該属性を有する前記電子制御ユニットの機能、または、当該属性を有する前記電子制御ユニットが扱う情報の種類を示す。

　本開示の一態様に係る異常検知方法は、２以上の電子制御ユニットと、１以上のネットワークと、によって構成される車載ネットワークシステムにおける異常を検知する異常検知方法であって、前記１以上のネットワーク上のメッセージを送受信し、前記２以上の電子制御ユニットそれぞれに設定された電子制御ユニットが有する属性のうち、前記メッセージの送信元または宛先の電子制御ユニットが有する前記属性を用いて、異常な通信を検知し、前記属性は、当該属性を有する前記電子制御ユニットの機能、または、当該属性を有する前記電子制御ユニットが扱う情報の種類を示す。

　なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭなどの非一時的な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラム及び非一時的な記録媒体の任意な組み合わせで実現されてもよい。

　本開示によれば、普段と異なる通信内容が攻撃者によるものであるのか否かを区別することで異常な通信を検知することができ、車両全体の安全性を向上できる。

図１は、実施の形態１における、車載ネットワークシステムの全体構成の一例を示す図である。図２は、実施の形態１における、ＴＣＵの構成の一例を示す図である。図３は、実施の形態１における、セントラルＥＣＵの構成の一例を示す図である。図４は、実施の形態１における、ユーザインタフェースＥＣＵの構成の一例を示す図である。図５は、実施の形態１における、異常検知ＥＣＵの構成の一例を示す図である。図６は、実施の形態１における、ゾーンＥＣＵの構成の一例を示す図である。図７は、実施の形態１における、ブレーキ制御ＥＣＵの構成の一例を示す図である。図８は、実施の形態１における、ＳＯＭＥ／ＩＰ　ＳＤのメッセージフォーマットの一例を示す図である。図９は、実施の形態１における、ＳＯＭＥ／ＩＰ　ＳＤのメッセージの一例を示す図である。図１０は、実施の形態１における、通信ログ記憶部に格納される通信ログの一例を示す図である。図１１は、実施の形態１における、ＥＣＵ属性情報の一例を示す図である。図１２は、実施の形態１における、ＥＣＵ属性を用いた異常検知ルールの一例を示す図である。図１３は、実施の形態１における、ＥＣＵの属性変更のシーケンスの一例を示す図である。図１４は、実施の形態１における、異常検知ＥＣＵのフレーム受信時の動作に関するフローチャートの一例を示す図である。図１５は、実施の形態１における、ＥＣＵの属性設定に関するフローチャートの一例を示す図である。図１６は、実施の形態１における、ＥＣＵの役割属性設定に関するフローチャートの一例を示す図である。図１７は、実施の形態１における、ＥＣＵのドメイン属性設定に関するフローチャートの一例を示す図である。図１８は、実施の形態１における、ＥＣＵ属性を用いた異常検知に関するシーケンスの一例を示す図である。図１９は、実施の形態１における、ＥＣＵ属性を用いた異常検知に関するフローチャートの一例を示す図である。図２０は、実施の形態１の変形例１における、ＥＣＵ属性による異常検知ルールの一例を示す図である。図２１は、実施の形態１の変形例１における、送信元ＥＣＵ属性とフレームを用いた異常検知に関するフローチャートの一例を示す図である。図２２は、実施の形態１の変形例２における、ＥＣＵ属性を用いた異常検知に関するフローチャートの一例を示す図である。図２３は、実施の形態１の変形例３における、ＥＣＵの属性追加に関するシーケンスの一例を示す図である。図２４は、実施の形態１の変形例３における、ＥＣＵ属性情報の一例を示す図である。図２５は、実施の形態１の変形例３における、ＥＣＵのドメイン属性設定に関するフローチャートの一例を示す図である。図２６は、実施の形態１の変形例３における、ＥＣＵ属性を用いた異常検知に関するフローチャートの一例を示す図である。図２７は、その他の変形例における異常検知時に通知されるログの一例を示す図である。図２８は、その他の変形例における異常検知結果をグラフィカルユーザインタフェースに表示する一例を示す図である。

　（本開示の基礎となった知見）
　近年、自動車の中のシステムには、電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）と呼ばれる装置が多数配置されていて、これらのＥＣＵをつなぐネットワークは車載ネットワークと呼ばれる。

　車載ネットワークには、多数の規格が存在する。例えば、ＩＥＥＥ　８０２．３で規定されているＥｔｈｅｒｎｅｔ（登録商標）が利用された車載ネットワークが存在し、先進運転支援システムや自動運転においては、膨大な情報を処理する必要があり、データ伝送速度が高いＥｔｈｅｒｎｅｔの導入が進んでいる。

　Ｅｔｈｅｒｎｅｔ上の通信プロトコルとして、ＳＯＭＥ／ＩＰ（Ｓｃａｌａｂｌｅ　Ｓｅｒｖｉｃｅ－Ｏｒｉｅｎｔｅｄ　ＭｉｄｄｌｅｗａｒＥ　ｏｖｅｒ　ＩＰ）の規格が存在する。ＳＯＭＥ／ＩＰでは、Ｅｔｈｅｒｎｅｔに接続される各ＥＣＵがヘッダに記載されるサービスＩＤによって通信内容を決定するため、サービス指向型通信と呼ばれる。

　ＳＯＭＥ／ＩＰは、事前に利用したいサービスのサービスＩＤまたは提供可能なサービスのサービスＩＤを記憶していれば、通信先ＥＣＵのＩＰアドレスやＭＡＣアドレスを動的に取得して通信できる。そのため、開発者はシステム環境に依存するＩＰアドレスやＭＡＣアドレスなどの情報を事前に設定する必要はなく、可搬性に優れたソフトウェアを容易に設計することができる。

　また、車載ネットワークのシステム更新には、ＯＴＡ（Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）でオンラインに対応することが進んでおり、車載アプリケーションや更新プログラム等の開発内容を車両に容易に反映でき、車載ネットワークの通信傾向がいっそう動的に変化することが見込まれる。

　ＳＯＭＥ／ＩＰ等のサービス指向型通信において、送信元を認証する仕組みがないため、１つのＥＣＵが不正に乗っ取られると、乗っ取られたＥＣＵが送受信するサービスＩＤの通信を用いた不正な送受信が可能になるだけでなく、乗っ取られたＥＣＵ以外の他のＥＣＵが送信するサービスＩＤを含む通信を、乗っ取られたＥＣＵが他のＥＣＵになりすまして、不正な通信を可能にしたり、通信を停止させたりできる、という脅威の可能性がある。

　これらの脅威に対し、非特許文献１に開示されているように、ＳＯＭＥ／ＩＰのフレームに対して、サービスＩＤと対応する宛先ＩＰアドレス、送信元ＩＰアドレスを正常ルールとして事前に設定し、フレームを監視し、正常ルールに従わないフレームを異常なフレームとして検知することができることが知られている。

　しかしながら、車載アプリケーションやＥＣＵ更新プログラム等をＯＴＡで車両にインストールされることで、車載ネットワークの通信傾向に変化が生じる。この変化は、具体的には、（ｉ）新たな機能が追加され、２つのＥＣＵ間のこれまでなかった通信が発生すること、及び、（ｉｉ）これまで存在した機能が消去されて、２つのＥＣＵ間で新たな通信が発生する、または、２つのＥＣＵ間でこれまで存在した通信が発生しなくなることを含むと考えられる。

　このような場合、非特許文献１に開示されているような送信元ＥＣＵまたは宛先ＥＣＵのＩＰアドレスやＭＡＣアドレスから正常な通信接続を事前に設定する手法を用いると、車載アプリケーションやＥＣＵ更新プログラム等をＯＴＡで車両にインストールの度に検知ルールを更新する必要があり、異常検知の精度を高く維持することが課題になる。

　本開示は、車載ネットワークの変化に応じて、ＥＣＵがどのような通信傾向と通信内容をもつのかを分類し、その分類結果を用いた異常検知機能を備える異常検知ＥＣＵによって、より安全な車載ネットワークシステムを提供することを目的とする。

　本開示の第１の態様に係る異常検知装置は、２以上の電子制御ユニットと、１以上のネットワークと、によって構成される車載ネットワークシステムにおける異常を検知する異常検知装置であって、前記２以上の電子制御ユニットそれぞれに設定された電子制御ユニットが有する属性を記憶しているＥＣＵ属性記憶部と、前記１以上のネットワーク上のメッセージを送受信する通信部と、前記ＥＣＵ属性記憶部に記憶されている前記属性のうち、前記メッセージの送信元または宛先の電子制御ユニットが有する前記属性を用いて、異常な通信を検知する異常検知部と、を有し、前記ＥＣＵ属性記憶部に記憶されている前記属性は、当該属性を有する前記電子制御ユニットの機能、または、当該属性を有する前記電子制御ユニットが扱う情報の種類を示す。

　これにより、電子制御ユニット間でメッセージの授受が発生した際に、電子制御ユニットそれぞれの機能と電子制御ユニットが扱う情報の種類とを示す属性を参照することで、異常なメッセージの授受が発生しているのか判定することが可能となり、車両の安全性を向上できる。

　本開示の第２の態様に係る異常検知装置は、第１の態様に係る異常検知装置であって、前記ＥＣＵ属性記憶部に記憶されている前記属性は、前記車載ネットワークシステムにおいて動作する電子制御ユニットの機能を示し、電子制御ユニットが車内外の情報をセンシングする機能を備えることを示すセンサ属性と、電子制御ユニットがセンシングされた情報を処理し制御指示を行う機能を備えることを示すブレイン属性と、電子制御ユニットが制御指示に従い制御を行う機能を備えることを示すアクチュエータ属性と、のいずれか１つを含む。

　これにより、電子制御ユニット間の機能の関係性から異常な通信か否かの判定が可能になり、車両の安全性を向上できる。

　本開示の第３の態様に係る異常検知装置は、第１の態様に係る異常検知装置であって、前記ＥＣＵ属性記憶部に記憶されている前記属性は、前記車載ネットワークシステムにおいて電子制御ユニットが扱う情報の種類を示し、車両の走行に関する制御情報を扱うことを示すパワートレーン属性と、操縦者への車両の状態通知に関する情報を扱うことを示すインフォテイメント属性と、車両のボディ系の制御情報を扱うことを示すボディ属性と、操縦者の車両操作を支援または代替する先進運転支援機能に関する情報を扱うことを示すＡＤＡＳ属性と、前記１以上のネットワーク外から取得した情報を扱うことを示すコネクティビティ属性と、のいずれか１つを含む。

　これにより、電子制御ユニット間の扱う情報の種類の関係性から異常な通信か否かの判定が可能になり、車両の安全性を向上できる。

　本開示の第４の態様に係る異常検知装置は、第１の態様に係る異常検知装置であって、前記異常検知部は、前記メッセージの送信元の電子制御ユニットの前記属性と、前記メッセージの宛先の電子制御ユニットの前記属性と、の組み合せに基づいて、前記通信部が受信したメッセージが異常か否かを判定する。

　これにより、メッセージの送信元及び宛先の電子制御ユニット間の属性の組合せに基づいて、異常な通信か否かの判定が可能になり、車両の安全性を向上できる。

　本開示の第５の態様に係る異常検知装置は、第１の態様に係る異常検知装置であって、前記異常検知部は、前記メッセージの送信元の電子制御ユニットの前記属性または前記メッセージの宛先の電子制御ユニットの前記属性と、前記通信部から受信したメッセージに含まれる情報と、の関係性に基づいて、前記通信部が受信したメッセージが異常か否かを判定する。

　これにより、改ざんしたメッセージを送信する攻撃であっても、異常な通信か判定が可能になり、車両の安全性を向上できる。

　本開示の第６の態様に係る異常検知装置は、第５の態様に係る異常検知装置であって、前記車載ネットワークシステムは、サービス指向型通信によりメッセージの授受を行い、前記通信部から受信したメッセージに含まれる情報は、ＳＯＭＥ／ＩＰ通信のメッセージフォーマットに格納される情報である。

　これにより、ＳＯＭＥ／ＩＰ通信にメッセージフォーマットに格納される情報と電子制御ユニットの属性との関係性から異常な通信を判定することが可能となり、車両の安全性を向上できる。

　本開示の第７の態様に係る異常検知装置は、第４の態様に係る異常検知装置であって、さらに、前記通信部が受信したメッセージを記憶する通信ログ記憶部を、備え、前記異常検知部は、前記通信ログ記憶部に記憶されているメッセージと前記ＥＣＵ属性記憶部とを参照して、メッセージの授受が発生している送信元及び宛先の電子制御ユニットの前記属性の組み合わせを示す関係性を特定し、新たに受信したメッセージについて、前記関係性において前記メッセージの授受が発生している組み合わせの属性を有する電子制御ユニット間のメッセージを正常と判定し、前記関係性において前記メッセージの授受が発生していない組み合わせの属性を有する電子制御ユニット間のメッセージを異常と判定する。

　これにより、電子制御ユニットの属性を用いた異常な通信の定義を、通信ログから機械的に生成することが可能となり、異常な通信の定義を自動更新することが可能となる。

　本開示の第８の態様に係る異常検知装置は、第２の態様または第３の態様に係る異常検知装置であって、前記車載ネットワークシステムは、サービス指向型通信によりメッセージの授受を行い、前記異常検知装置は、さらに、前記通信部が受信したメッセージを記憶する通信ログ記憶部と、前記ＥＣＵ属性記憶部に格納される電子制御ユニットの前記属性を設定するＥＣＵ属性設定部と、を備え、前記ＥＣＵ属性設定部は、前記通信ログ記憶部に記憶されているメッセージを参照して、前記メッセージに含まれるメッセージタイプから、電子制御ユニットがサーバ側かクライアント側かを判定し、サーバ通信とクライアント通信との割合によって、当該電子制御ユニットの前記属性の決定を行う。

　これにより、電子制御ユニットの属性を、通信ログから定義することが可能となり、電子制御ユニットの属性を自動更新することが可能となる。

　本開示の第９の態様に係る異常検知装置は、第２の態様または第３の態様に係る異常検知装置であって、前記異常検知装置は、さらに、前記通信部が受信したメッセージを記憶する通信ログ記憶部と、前記通信ログ記憶部に記憶されているメッセージを参照して、前記ＥＣＵ属性記憶部に記憶されている電子制御ユニットの属性を設定するＥＣＵ属性設定部と、を備え、前記ＥＣＵ属性設定部は、前記通信ログ記憶部に記憶されているメッセージと前記ＥＣＵ属性記憶部とを参照して、第一の電子制御ユニットが通信する電子制御ユニットの前記属性の出現頻度に応じて、前記第一の電子制御ユニットの前記属性の決定を行う。

　本開示の第１０の態様に係る異常検知装置は、第８の態様または第９の態様に係る異常検知装置であって、前記ＥＣＵ属性設定部は、前記電子制御ユニットの属性を決定してから所定時間経過している、または、前記１以上のネットワークの通信傾向に変化が生じるメッセージを前記通信部が受信している、の条件を満たす場合は、前記電子制御ユニットの属性の前記決定を行う。

　これにより、最新の車載ネットワークの状態に応じた異常検知が可能となり、時間経過に応じて誤検知が多くなる問題を防ぎ、車両の安全性を向上できる。

　本開示の第１１の態様に係る異常検知装置は、第１０の態様に係る異常検知装置であって、前記１以上のネットワークの通信傾向に変化が生じるメッセージは、前記車載ネットワークシステムとは異なる、ネットワークまたはサーバからデータを取得してインストールする際に発生するメッセージ、または、前記車載ネットワークシステムの機能設定の変更、削除、または、更新において発生するメッセージである。

　これにより、外部からデータを取得してインストールする、または車載システムの機能設定を変更する、といった車載ネットワークの変化を検知して、電子制御ユニットの属性を再度設定することが可能となり、異常検知の誤検知を減らすことが可能となる。

　本開示の第１２の態様に係る異常検知装置は、第９の態様に係る異常検知装置であって、前記異常検知部は、前記通信ログ記憶部に格納されるメッセージから、第一の電子制御ユニットが通信する電子制御ユニットの前記属性の出現頻度を計算し、前記ＥＣＵ属性記憶部に格納される前記第一の電子制御ユニットの前記属性の出現頻度を参照して、一定の基準を超えて外れている場合は、前記第一の電子制御ユニットの通信は異常と判断する。

　これにより、車載ネットワーク全体の電子制御ユニットの属性の出現傾向を捉えて異常な通信を検知することが可能となり、特定の電子制御ユニットから通信量が急増するなどの異常を検知できる。

　本開示の第１３の態様に係る異常検知方法は、２以上の電子制御ユニットと、１以上のネットワークと、によって構成される車載ネットワークシステムにおける異常を検知する異常検知方法であって、前記１以上のネットワーク上のメッセージを送受信し、前記２以上の電子制御ユニットそれぞれに設定された電子制御ユニットが有する属性のうち、前記メッセージの送信元または宛先の電子制御ユニットが有する前記属性を用いて、異常な通信を検知し、前記属性は、当該属性を有する前記電子制御ユニットの機能、または、当該属性を有する前記電子制御ユニットが扱う情報の種類を示す。

　これにより、複数の機器に異常検知の仕組みを組み込むことが可能となり、車両の安全性を向上できる。

　以下、図面を参照しながら、本開示の実施の形態に関わる異常検知装置について説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態、ステップ、ステップの順序などは、本開示の一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、本開示の最上位概念を示す独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態１）
　以下、複数のＥＣＵがイーサネット（登録商標）を介したサービス指向通信を行う車載ネットワークシステムにおける、異常検知方法について説明する。

　１．　車載ネットワークシステムの全体構成
　図１は、本実施の形態における、車載ネットワークシステムの全体構成の一例を示す図である。図１において、車載ネットワークシステムは、車両１０に搭載され、外部ネットワーク２０を介してＯＴＡサーバ３０に通信可能に構成されている。

　車載ネットワークシステムは、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）１００と、セントラルＥＣＵ２００と、ユーザインタフェースＥＣＵ３００と、異常検知ＥＣＵ４００と、ゾーンＥＣＵ５００ａと、ゾーンＥＣＵ５００ｂと、ブレーキ制御ＥＣＵ６００ａと、車速検知ＥＣＵ６００ｂと、電気錠制御ＥＣＵ６００ｃと、電気錠開閉ＥＣＵ６００ｄと、カメラＥＣＵ６００ｅとを備える。

　図１には図示していないが、車両１０には、他にも多くのＥＣＵが含まれうる。

　セントラルＥＣＵ２００は、Ｅｔｈｅｒｎｅｔを介してＴＣＵ１００と、ユーザインタフェースＥＣＵ３００と、異常検知ＥＣＵ４００と、ゾーンＥＣＵ５００ａと、ゾーンＥＣＵ５００ｂと、カメラＥＣＵ６００ｅとに通信可能に接続されている。

　ゾーンＥＣＵ５００ａは、Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（ＣＡＮ）１を介して、ブレーキ制御ＥＣＵ６００ａと、車速検知ＥＣＵ６００ｂとに通信可能に接続されている。

　ゾーンＥＣＵ５００ｂは、ＣＡＮ２を介して電気錠制御ＥＣＵ６００ｃと電気錠開閉ＥＣＵ６００ｄとに通信可能に接続されている。

　なお、ゾーンＥＣＵ５００ａ及びゾーンＥＣＵ５００ｂが接続されているネットワークは、ＣＡＮに限らず、例えば、ＦｌｅｘＲａｙ、専用通信線、無線通信などの他のネットワークであってもよい。

　ＯＴＡサーバ３０は、車両１０のシステムアップデートファイルを配信するとともに、車載アプリのプラットフォーム機能を備える。

　ＴＣＵ１００は、外部ネットワーク２０との間で通信を行う通信インタフェースを備える。ＴＣＵ１００は、セントラルＥＣＵ２００から送信されたフレームを、外部ネットワーク２０を介して、ＯＴＡサーバ３０へ送信する。また、ＴＣＵ１００は、ＯＴＡサーバ３０から送信されたフレームを受信して、セントラルＥＣＵ２００へ送信する。

　セントラルＥＣＵ２００は、車載ネットワークシステムの中心的な役割を担うＥＣＵであり、様々なアプリケーションが動作し、車両１０の様々な機能を実現する。セントラルＥＣＵ２００は、スイッチ機能を有し、Ｅｔｈｅｒｎｅｔを経由して受信したフレームを適切なＥＣＵへ転送する。

　また、セントラルＥＣＵ２００は、受信したフレームをスイッチ機能で、異常検知ＥＣＵ４００へ転送する。さらにセントラルＥＣＵ２００は、異常検知ＥＣＵ４００からフレームの検知結果を受信すると、ユーザインタフェースＥＣＵ３００へ通知結果を転送する。

　また、セントラルＥＣＵ２００は、ＴＣＵ１００との間で、車載アプリケーションや更新プログラム等の取得に関するフレームの送受信を行う。

　また、セントラルＥＣＵ２００は、自動運転などの高度な処理を行うアプリケーションを実行することができ、高度な処理を行うのに必要な情報、または高度な処理を実行する制御情報等を、他のＥＣＵとの間でＥｔｈｅｒｎｅｔまたはＣＡＮを介して通信を行う。

　ユーザインタフェースＥＣＵ３００は、車両１０を制御するためのユーザインタフェースを提供する。具体的には、ステアリングを制御するためのコントローラ、加減速を制御するためのコントローラや、スイッチ、タッチパネルのような入力装置、ＵＳＢポート、Ｗｉ－Ｆｉモジュール等の機器と通信可能に接続される。ユーザインタフェースＥＣＵこれらの機器経由でユーザの操作を受け付け、ユーザの操作の内容をセントラルＥＣＵ２００へ通知する。

　異常検知ＥＣＵ４００は、セントラルＥＣＵ２００と通信可能に接続され、セントラルＥＣＵ２００から受信されるフレームを取得し、フレームに異常が存在するか否かを検知する。異常検知ＥＣＵ４００は、異常検知の検知結果をセントラルＥＣＵ２００に送信する。

　ゾーンＥＣＵ５００ａは、受信したフレームをスイッチの機能で適切なＥＣＵへ転送する。さらに、ゾーンＥＣＵ５００ａは、ＣＡＮ１で受信したＣＡＮのフレームを、Ｅｔｈｅｒｎｅｔを介して適切なＥＣＵに転送する場合、Ｅｔｈｅｒｎｅｔのフレームに変換する。また、ゾーンＥＣＵ５００ａは、Ｅｔｈｅｒｎｅｔで受信したＥｔｈｅｒｎｅｔのフレームをＣＡＮ１の適切なＥＣＵに転送する場合、ＣＡＮのフレームに変換する。ゾーンＥＣＵ５００ｂは、ゾーンＥＣＵ５００ａと同様の構成であるため、説明を省略する。なお、ゾーンＥＣＵ５００ａ及びゾーンＥＣＵ５００ｂが接続されるネットワークがＣＡＮの代わりにＦｌｅｘＲａｙ、専用通信線、及び、無線通信のいずれか１つのネットワークである場合、ゾーンＥＣＵ５００ａ及びゾーンＥＣＵ５００ｂは、ＣＡＮ同様にＦｌｅｘＲａｙ、専用通信線、及び、無線通信のいずれか１つネットワークのフレームと、Ｅｔｈｅｒｎｅｔのフレームとを相方向に変換可能である。つまり、ゾーンＥＣＵ５００ａ及びゾーンＥＣＵ５００ｂは、異なる２種類のネットワークに通信可能に接続されている場合、異なる２種類のフレームの一方から他方への変換が可能である。

　ブレーキ制御ＥＣＵ６００ａは、車両１０が備えるブレーキの制御を行う。

　車速検知ＥＣＵ６００ｂは、車両１０の速度をセンサで計測する。

　電気錠制御ＥＣＵ６００ｃは、車両１０が備える電気錠の開閉を制御する。

　電気錠開閉ＥＣＵ６００ｄは、車両１０が備える電気錠の開閉を行う。

　カメラＥＣＵ６００ｅは、車両１０が備えるカメラの映像を取得する。

　２．　ＴＣＵ１００の構成
　図２は、本実施の形態における、ＴＣＵの構成の一例を示す図である。図２において、ＴＣＵ１００は、外部通信部１０１と、変換部１０２と、内部通信部１０３と、を備える。

　外部通信部１０１は、外部ネットワーク２０との間で通信を行う通信インタフェースであり、外部ネットワーク２０を介してＯＴＡサーバ３０との間で通信を行う。外部通信部１０１は、変換部１０２と情報の授受を行う。

　内部通信部１０３は、通信インタフェースであり、Ｅｔｈｅｒｎｅｔを介して、セントラルＥＣＵ２００と通信する。内部通信部１０３は、セントラルＥＣＵ２００から受信したフレームを変換部１０２へ通知するとともに、変換部１０２からのフレームの送信要求を受けて、Ｅｔｈｅｒｎｅｔにフレームの送信を行う。

　変換部１０２は、内部通信部１０３と、外部通信部１０１とを介して、内部通信部１０３及び外部通信部１０１の一方から受信したメッセージの転送が必要となるデータを予め決められたフォーマットへ変換し、他方へと送信する。

　３．　セントラルＥＣＵ２００の構成
　図３は、本実施形態における、セントラルＥＣＵの構成の一例を示す図である。図３においてセントラルＥＣＵ２００は、通信部２０１と、ホストＯＳ部２０２と、ゲストＯＳ部２０３と、を備える。

　通信部２０１は、Ｅｔｈｅｒｎｅｔを介してＴＣＵ１００と、ユーザインタフェースＥＣＵ３００と、異常検知ＥＣＵ４００と、ゾーンＥＣＵ５００ａと、ゾーンＥＣＵ５００ｂと、カメラＥＣＵ６００ｅと通信可能に接続されており、受信したフレームの内容に応じて、スイッチ機能でフレームの転送を行う。また通信部２０１は、受信したフレームの監視を行うため、異常検知ＥＣＵ４００に、受信したフレームを転送する。さらに通信部２０１は、ホストＯＳ部２０２と、情報の送受信を行う。

　ホストＯＳ部２０２は、セントラルＥＣＵ２００のメインのＯｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ（ＯＳ）である。ホストＯＳ部２０２は、通信部２０１と情報の授受を行い、通信内容をゲストＯＳ部２０３に通知する。

　また、ホストＯＳ部２０２は、ゲストＯＳ部２０３のシステム設定を変更可能な権限を有する。ホストＯＳ部２０２は、通信部２０１を介してユーザインタフェースＥＣＵ３００により受け付けられたユーザの操作を示す操作情報を取得し、当該操作情報に基づいてダウンロードの指示のあった車載アプリケーションを、ＯＴＡサーバ３０からゲストＯＳ部２０３へダウンロードするように、ＴＣＵ１００へメッセージを送信する。また、ホストＯＳ部２０２は、通信部２０１を介してユーザインタフェースＥＣＵ３００により受け付けられたユーザの操作を示す操作情報を取得し、当該操作情報に基づいて削除指示のあったゲストＯＳを消去して別のゲストＯＳをインストールする。このように、ホストＯＳ部２０２は、システム管理を実行できる。

　また、セキュアなホストＯＳ部２０２を実現するため、ＯＴＡによるシステム更新を除いて、ユーザインタフェースＥＣＵ３００からホストＯＳ部２０２の機能を変更することは制限される。

　ゲストＯＳ部２０３は、セントラルＥＣＵ２００のアプリケーションが動作するＯＳである。ゲストＯＳ部２０３は、アプリケーションの一例として、例えば、通信部２０１を介してカメラＥＣＵ６００ｅから映像データを取得し、車両１０が映像データ中の人と認識された物体と一定の距離以内であれば、ブレーキ制御ＥＣＵ６００ａに車両１０の減速要求を行う機能を有する。

　本開示の実施の形態１では、ホストＯＳ部２０２の上に１つのゲストＯＳ部２０３が設けられる例を示しているが、ゲストＯＳ部２０３の数は２つ以上であってもよい。また、ゲストＯＳ部２０３は、ホスト型の仮想化ソフトウェアであってもよいし、ハイパーバイザ型の仮想化ソフトウェアであってもよい。

　４．　ユーザインタフェースＥＣＵ３００の構成
　図４は、本実施の形態における、ユーザインタフェースＥＣＵの構成の一例を示す図である。図４において、ユーザインタフェースＥＣＵ３００は、通信部３０１と、外部機器接続部３０２と、を備える。

　通信部３０１は、セントラルＥＣＵ２００に通信可能に接続されており、セントラルＥＣＵ２００との間で情報の授受を行う。通信部３０１は、主に外部機器接続部３０２から受信した情報をセントラルＥＣＵ２００へ通知する役割を担う。

　外部機器接続部３０２は、ユーザが操作する機器、あるいは外部接続機器のインタフェースに通信可能に接続されており、これらの機器から取得した情報を通信部３０１に通知する。

　外部接続機器は、例えば、ステアリングを制御するためのコントローラ、加減速を制御するためのコントローラ、スイッチ、タッチパネルのような入力装置等であってもよい。さらに、外部接続機器は、例えば、ＵＳＢポート、Ｗｉ－Ｆｉモジュール、診断ポート、Ｂｌｕｅｔｏｏｔｈ等の通信インタフェースの機器であってもよい。

　５．　異常検知ＥＣＵ４００の構成
　図５は、本実施の形態における、異常検知ＥＣＵの構成の一例を示す図である。図５において異常検知ＥＣＵ４００は、通信部４０１と、異常検知部４０２と、通信ログ生成部４０３と、通信ログ記憶部４０４と、ＥＣＵ属性設定部４０５と、ＥＣＵ属性記憶部４０６と、異常検知ルール記憶部４０７と、を備える。

　通信部４０１は、セントラルＥＣＵ２００に通信可能に接続されており、セントラルＥＣＵ２００との間で情報の授受を行う。通信部４０１は、セントラルＥＣＵ２００から送信されたフレームを受信し、受信したフレームを異常検知部４０２と通信ログ生成部４０３とに転送する。

　また通信部４０１は、異常検知部４０２からフレームの異常判定結果が通知されると、異常判定結果を含むフレームをセントラルＥＣＵ２００に送信する。

　異常検知部４０２は、通信部４０１から転送されたフレームを受信し、受信したフレームがサービス指向通信プロトコルに従うフレームである場合、受信したフレームに対する異常検知を行う。

　異常を検知した場合は、異常検知部４０２は、検知結果を格納したフレームを作成して通信部４０１へ通知し、当該フレームをセントラルＥＣＵ２００へ送信する。

　異常検知部４０２は、異常検知において、受信したフレームに含まれるＩＰアドレス（送信元ＩＰアドレスまたは宛先ＩＰアドレス）から、ＥＣＵ属性記憶部４０６を参照してＩＰアドレスに対応するＥＣＵ属性を取得する。また、異常検知部４０２は、異常検知において、異常検知ルール記憶部４０７から、異常検知に用いる異常検知ルールを取得する。異常検知部４０２による異常検知の方法については後述する。

　また、異常検知部４０２は、通信部４０１から転送されたフレームが、車載ネットワークの通信傾向に変化が生じる情報が含まれるフレームであるか否かを判定する。異常検知部４０２は、転送されたフレームが、車載ネットワークの通信傾向に変化が生じる情報が含まれるフレームである場合、フレームの宛先ＩＰアドレス（送信先ＩＰアドレス）を参照し、ＥＣＵ属性記憶部４０６のＩＰアドレスと対応する属性設定フラグをＯＮにする。ここで、車載ネットワークの通信傾向に変化が生じる情報が含まれるフレームとは、ゲストＯＳ部２０３へアプリケーションをダウンロードする際に発生するフレームや、アップデートファイルをＥＣＵへ送信する際に発生するフレーム等である。言い換えると、車載ネットワークの通信傾向に変化が生じる情報が含まれるフレーム（メッセージ）とは、車載ネットワークとは異なる、ネットワークまたはサーバからデータを取得してインストールする際に発生するメッセージ、または、車載システムの機能設定の変更、削除、または、更新において発生するメッセージである。

　通信ログ生成部４０３は、通信部４０１から転送されたフレームを受信し、受信したフレームに含まれる一部の情報を抽出して通信ログを作成し、通信ログ記憶部４０４に作成した通信ログを追加する。また、通信ログ生成部４０３は、通信ログを作成した時刻を示すタイムスタンプを通信ログに付与するため、時間を計測する機能を有する。

　通信ログ記憶部４０４は、通信ログ生成部４０３より転送される通信ログを格納している。通信ログ記憶部に格納される通信ログの詳細は後述する。

　ＥＣＵ属性設定部４０５は、通信ログ記憶部４０４から通信ログを取得し、ＩＰアドレスごとに、どのような通信傾向がみられてＥＣＵはどのような役割属性をもっているのか、または、どのような情報を扱ってＥＣＵはどのようなドメイン属性をもっているのか、を推測し、推測結果をＥＣＵ属性記憶部４０６に格納する。

　ＥＣＵの通信傾向は、ＯＴＡによるシステム更新、車載サブスクリプションサービスの終了、操縦者による車両設定の変更等の影響で変化されうるため、特定のタイミングでＥＣＵがどのような役割属性とドメイン属性をもつのか検証を行う。ここで、特定のタイミングとは、異常検知部４０２が、システムシャットダウンの通知を受け取った時や、ユーザが車両１０の操縦を行っていない時間帯である夜間における任意のタイミング等である。ＥＣＵの役割属性とＥＣＵのドメイン属性との詳細な設定方法は後述する。

　ＥＣＵ属性記憶部４０６は、ＥＣＵ属性設定部４０５によって推定された、ＩＰアドレスごとのＥＣＵ属性を格納している。ここで、ＥＣＵ属性とは、ＥＣＵの役割属性とＥＣＵのドメイン属性との両方を表す。

　ＥＣＵの役割属性は、車両１０におけるＥＣＵの果たす役割の観点で、車載ネットワークシステムにおいて動作するＥＣＵの機能を示す属性である。ＥＣＵの役割属性は、ＥＣＵが車内外の情報をセンシングする機能を備えることを示すセンサ属性（センサ）と、ＥＣＵがセンシングされた情報を処理し制御指示を与える機能を備えることを示すブレイン属性（ブレイン）、ＥＣＵが制御指示に従い制御を行う機能を備えることを示すアクチュエータ属性（アクチュエータ）、の３つに分類される。

　ＥＣＵのドメイン属性は、車載ネットワークに送信するデータの役割の観点で、車載ネットワークシステムにおいてＥＣＵが扱う情報の種類を示す属性である。ＥＣＵのドメイン属性は、走る、曲がる、止まるなどの車両１０の走行に関する制御情報を扱うことを示すパワートレーン属性（パワートレーン）と、ドライバ（操縦者）への車両１０の状態通知に関する情報を扱うことを示すインフォテイメント属性（インフォティメント）と、車両１０のボディ系の制御情報を扱うことを示すボディ属性（ボディ）と、カメラ画像やセンシング情報などのドライバ（操縦者）の車両操作を支援または代替する先進運転支援機能に関する情報を扱うことを示すＡＤＡＳ属性（ＡＤＡＳ）と、車載ネットワークが備える１以上のネットワーク外、つまり、外部ネットワーク２０から取得した情報を扱うことを示すコネクティビティ属性（コネクティビティ）、の５つに分類される。ＥＣＵ属性情報の詳細は後述する。

　異常検知ルール記憶部４０７は、異常検知部４０２がフレームの異常判定を行う際に必要な異常判定ルールを格納している。異常判定ルール記憶部４０７に格納される異常判定ルールの詳細は後述する。

　６．　ゾーンＥＣＵ５００ａの構成
　図６は、本実施の形態における、ゾーンＥＣＵの構成の一例を示す図である。ゾーンＥＣＵ５００ａは、ホスト部５０１と、通信部５０２と、を備える。ゾーンＥＣＵ５００ｂは接続されるＥＣＵが異なるが、ゾーンＥＣＵ５００ａと同様の構成であるため、説明を省略する。

　ホスト部５０１は、ゾーンＥＣＵ５００ａのメイン部分であり、ＣＰＵとメモリとによって実現され、通信部５０２から受信した通信内容に応じて処理を実行する。例えば、ゾーンＥＣＵ５００ａは、車両１０のユーザがバックで（後ろ向きに）駐車を行う際に、カメラＥＣＵ６００ｅと車速検知センサＥＣＵ６００ｂとから通知されるフレームを受信する。ゾーンＥＣＵ５００ａは、受信したフレームから得られた、車両１０の後方の映像と車両１０の速度とに基づいて、障害物に接触しないように、ブレーキ制御ＥＣＵ６００ａに制御メッセージを送信する。

　通信部５０２は、セントラルＥＣＵ２００にＥｔｈｅｒｎｅｔを介して通信可能に接続されており、ブレーキ制御ＥＣＵ６００ａ及び車速検知ＥＣＵ６００ｂにＣＡＮ１を介して通信可能に接続されている。通信部５０２は、受信したフレームの内容に応じて、フレームの転送を行うスイッチ機能を有する。

　また通信部５０２は、ＣＡＮのフレームからＥｔｈｅｒｎｅｔのフレームへ、ＥｔｈｅｒｎｅｔのフレームからＣＡＮのフレームへ変換する機能を有する。

　７．　ブレーキ制御ＥＣＵ６００ａの構成
　図７は、本実施の形態における、ブレーキ制御ＥＣＵの構成の一例を示す図である。車速検知ＥＣＵ６００ｂ、電気錠制御ＥＣＵ６００ｃ、電気錠開閉ＥＣＵ６００ｄ、カメラＥＣＵ６００ｅは、ブレーキＥＣＵ６００ａと同様の構成のため、これらの説明を省略する。

　図７においてブレーキＥＣＵ６００ａは、通信部６０１と、ホスト部６０２と、外部機器接続部６０３と、を備える。

　通信部６０１は、ネットワーク（ＣＡＮ１）との間で通信を行う通信インタフェースであり、ＣＡＮ１に通信可能に接続される。通信部６０１は、ネットワークに流れるフレームを受信し、受信したフレームをホスト部６０２に通知するとともに、ホスト部６０２からの送信要求を受けて、ＣＡＮ１にフレームの送信を行う。

　ホスト部６０２は、センサまたはアクチュエータ等の外部接続機器から取得した情報を含むフレームを生成し、生成したフレームの送信要求を通信部６０１へ行う。また、ホスト部６０２は、通信部６０１から通知されるフレームの情報に基づいて、外部接続機器の制御処理を行う。

　外部機器接続部６０３は、ホスト部６０２から通知された制御情報に基づいて、外部機器の制御操作を行う、または、外部機器の制御操作を制御情報に変換して、当該制御情報をホスト部６０２へ通知する。

　８．　ＳＯＭＥ／ＩＰメッセージフォーマット
　ＳＯＭＥ／ＩＰには、Ｒｅｑｕｅｓｔ／Ｒｅｓｐｏｎｓｅ、Ｆｉｒｅ／Ｆｏｒｇｅｔ、Ｅｖｅｎｔｓ、Ｇｅｔ／Ｓｅｔ／Ｎｏｔｉｆｉｅｒの４種類の通信方法が規定されており、これらを組み合わせることで、サービス指向通信が実現される。ＳＯＭＥ／ＩＰでは、通信相手とセッションを確立する方法が準備されており、この方法は、Ｓｅｒｖｉｃｅ　Ｄｉｓｃｏｖｅｒｙ（ＳＤ）と呼ばれる。

　図８は、本実施の形態におけるＳＯＭＥ／ＩＰ　ＳＤのメッセージのフォーマットの一例を示す図である。メッセージフォーマットは、イーサネットのペイロード部に格納される。

　図８において、メッセージフォーマットは、ＳＯＭＥ／ＩＰヘッダと、ＳＯＭＥ／ＩＰ　ＳＤで構成されており、一つの行は３２ビット長である。

　ＳＯＭＥ／ＩＰヘッダは、Ｍｅｓｓａｇｅ　ＩＤ、Ｌｅｎｇｔｈ、Ｒｅｑｕｅｓｔ　ＩＤ、Ｐｒｏｔｏｃｏｌ　Ｖｅｒｓｉｏｎ、Ｉｎｔｅｒｆａｃｅ　Ｖｅｒｓｉｏｎ、Ｍｅｓｓａｇｅ　Ｔｙｐｅ、及び、Ｒｅｔｕｒｎ　Ｃｏｄｅを含む。

　Ｍｅｓｓａｇｅ　ＩＤは、０ｘＦＦＦＦ８１００である。

　Ｌｅｎｇｔｈには、Ｌｅｎｇｔｈフィールドより後のデータのバイト数が格納されている。

　Ｒｅｑｕｅｓｔ　ＩＤは、Ｃｌｉｅｎｔ　ＩＤとＳｅｓｓｉｏｎ　ＩＤとを合わせた数値が格納されている。

　Ｐｒｏｔｏｃｏｌ　Ｖｅｒｓｉｏｎは０ｘ０１であり、Ｉｎｔｅｒｆａｃｅ　Ｖｅｒｓｉｏｎは０ｘ０１であり、Ｍｅｓｓａｇｅ　Ｔｙｐｅは０ｘ０２であり、Ｒｅｔｕｒｎ　Ｃｏｄｅは０ｘ００である。

　ＳＯＭＥ／ＩＰ　ＳＤは、Ｆｌａｇｓ、Ｒｅｓｅｒｖｅｄ、Ｌｅｎｇｔｈ　ｏｆ　Ｅｎｔｒｉｅｓ　Ａｒｒａｙ　ｉｎ　Ｂｙｔｅｓ、Ｅｎｔｒｉｅｓ　Ａｒｒａｙ、Ｌｅｎｇｔｈ　ｏｆ　Ｏｐｔｉｏｎｓ　Ａｒｒａｙ　ｉｎ　Ｂｙｔｅｓ、及び、Ｏｐｔｉｏｎｓ　Ａｒｒａｙを含む。Ｌｅｎｇｔｈ　ｏｆ　Ｅｎｔｒｉｅｓ　Ａｒｒａｙ　ｉｎ　Ｂｙｔｅｓには、Ｅｎｔｒｙ　Ａｒｒａｙのバイト数が格納される。Ｌｅｎｇｔｈ　ｏｆ　Ｏｐｔｉｏｎｓ　Ａｒｒａｙ　ｉｎ　Ｂｙｔｅｓには、Ｏｐｔｉｏｎｓ　Ａｒｒａｙのバイト数が格納される。

　図９は、本実地の形態における、ＳＯＭＥ／ＩＰ　ＳＤのメッセージの一例を示す図である。

　Ｅｎｔｒｙ　Ａｒｒａｙは、Ｉｎｄｅｘ　１ｓｔ　Ｏｐｔｉｏｎｓ、Ｉｎｄｅｘ　２ｎｄ　ｏｐｔｉｏｎｓ、＃ｏｆ　ｏｐ１、＃ｏｆ　ｏｐ２、Ｓｅｒｖｉｃｅ　ＩＤ、Ｉｎｓｔａｎｃｅ　ＩＤ、Ｍａｊｏｒ　Ｖｅｒｓｉｏｎ、及び、ＴＴＬ、Ｍｉｎｏｒ　Ｖｅｒｓｉｏｎを含む。

　Ｏｐｔｉｏｎｓ　Ａｒｒａｙは、Ｌｅｎｇｔｈ、Ｔｙｐｅ、Ｒｅｓｅｒｖｅｄ、ＩＰｖ４アドレス、Ｒｅｓｅｒｖｅｄ、Ｌ４－Ｐｒｏｔｏ、及び、Ｐｏｒｔ番号を含む。

　図９においてＳＯＭＥ／ＩＰ　ＳＤは、Ｓｅｒｖｉｃｅ　ＩＤが０ｘ１０００番であり、Ｓｅｒｖｉｃｅ　ＩＤが０ｘ１０００番のサービスを提供可能であることを示すメッセージである。

　Ｆｌａｇｓには０ｘ８０が設定されており、０ｘ８０は、Ｒｅｂｏｏｔ　Ｆｌａｇを示している。Ｒｅｓｅｒｖｅｄ領域は０に設定されている。

　Ｌｅｎｇｔｈ　ｏｆ　Ｅｎｔｒｉｅｓ　Ａｒｒａｙ　ｉｎ　Ｂｙｔｅｓには１６バイトが設定されている。

　Ｔｙｐｅには０ｘ００または０ｘ０１が設定可能で、０ｘ００は、Ｆｉｎｄを意味し、０ｘ０１は、Ｏｆｆｅｒを意味する。Ｆｉｎｄは、サービスの提供を受けるクライアントＥＣＵが、必要なサービスの提供を要求するときに用いられ、Ｏｆｆｅｒは、サービスの提供を行うサーバＥＣＵが、自身の提供可能なサービスを通知する場合に用いられる。図９では、Ｔｙｐｅには０ｘ０１が設定されている。

　Ｉｎｄｅｘ　１ｓｔ　ｏｐｔｉｏｎｓは、１つ目のオプションの位置を示し、図９では０が設定されており、つまりオプション領域の最初であることが示されている。

　Ｉｎｄｅｘ　２ｎｄ　ｏｐｔｉｏｎｓは、２つ目のオプションの位置を示し、図９では０が設定されている。

　＃ｏｆ　ｏｐｔ１はオプション１の個数を示すフィールドであり、図９では１が設定されている。

　＃ｏｆ　ｏｐｔ２はオプション２の個数を示すフィールドであり、図９では０が設定されており、オプション２を用いないことが示されている。

　Ｓｅｒｖｉｃｅ　ＩＤは、サービスの種類を示すＩＤを示すフィールドであり、図９では０ｘ１０００が設定されている。

　Ｉｎｓｔａｎｃｅ　ＩＤは、サービスのインスタンスを示すＩＤであり、図９では０ｘ０００１のインスタンスであることが示されている。

　Ｍａｊｏｒ　Ｖｅｒｓｉｏｎは、サービスのバージョン管理に用いられ、図９では０ｘ０１に設定されている。

　ＴＴＬは、サービスの有効期限（秒）を設定するフィールドであり、図９では０ｘＦＦＦＦが設定されている。０ｘＦＦＦＦは、ＥＣＵの次の起動タイミングまでサービスが有効であることを意味する。

　Ｍｉｎｏｒ　Ｖｅｒｓｉｏｎは、サービスのバージョン管理に用いられ、図９では０ｘ０００００００２が設定されている。

　次にＯｐｔｉｏｎの領域では、まずＬｅｎｇｔｈ　ｏｆ　Ｏｐｔｉｏｎｓ　Ａｒｒａｙ　ｉｎ　ＢｙｔｅにＯｐｔｉｏｎ領域の長さが設定され、図９では１２バイトが設定されている。

　Ｌｅｎｇｔｈは、オプションの種類に応じて設定される値が決まる。図９では、ＩＰｖ４を用いた通信例が示されており、Ｌｅｎｇｔｈは９、Ｔｙｐｅは０ｘ０４、Ｒｅｓｅｒｖｅｄは０ｘ００が設定されている。

　ＩＰｖ４アドレスは、サーバのＩＰアドレスであり、図９では、１９２．１６８．０．１が設定されている。

　Ｒｅｓｅｒｖｅｄ領域は０が設定される。Ｌ４－Ｐｒｏｔｏには０ｘ１１が設定されており、０ｘ１１はＵｓｅｒ　Ｄａｔａｇｒａｍ　Ｐｒｏｔｏｃｏｌ（ＵＤＰ）を用いることが示されている。

　最後にポート番号が設定されており、図９では、３５０００番のポートであることが示されている。

　９．　通信ログ記憶部に格納される通信ログの一例
　図１０は、通信ログ記憶部に格納される通信ログの一例を示す図である。図１０において通信ログは、タイムスタンプ、送信元ＩＰアドレス、宛先ＩＰアドレス、送信元ポート、宛先ポート、トランスポートプロトコル、サービスＩＤ、メソッドＩＤ、メッセージタイプ、及び、メッセージサイズを含む。図１０の各行は、通信ログ生成部４０３が通信部４０１から転送されたＳＯＭＥ／ＩＰメッセージの一つを表す。

　通信ログに含まれるタイムスタンプは、通信ログ生成部４０３が通信ログ生成時に取得した時刻である。通信ログに含まれるタイムスタンプ以外の情報は、通信ログ生成部４０３が受信したＥｔｈｅｒｎｅｔフレームから抽出した情報の一部である。

　送信元ＩＰアドレスはＥｔｈｅｒｎｅｔフレームに含まれる送信元ＩＰアドレスのフィールドから抽出される。宛先ＩＰアドレスはＥｔｈｅｒｎｅｔフレームに含まれる宛先ＩＰアドレスのフィールドから抽出される。送信元ポートはＥｔｈｅｒｎｅｔフレームに含まれる送信元ポートから抽出される。宛先ポートはＥｔｈｅｒｎｅｔフレームに含まれる宛先ポートから抽出される。トランスポートプロトコルはＥｔｈｅｒｎｅｔフレームに含まれるプロトコルから抽出される。サービスＩＤはＥｔｈｅｒｎｅｔフレームに含まれるＳＯＭＥ／ＩＰメッセージフォーマットのＳｅｒｖｉｃｅＩＤから抽出される。メリットＩＤはＥｔｈｅｒｎｅｔフレームに含まれるＳＯＭＥ／ＩＰメッセージフォーマットのＭｅｔｈｏｄＩＤから抽出される。メッセージタイプはＥｔｈｅｒｎｅｔフレームに含まれるＳＯＭＥ／ＩＰメッセージフォーマットのＭｅｓｓａｇｅ　Ｔｙｐｅから抽出される。メッセージサイズはＥｔｈｅｒｎｅｔフレームに含まれるＳＯＭＥ／ＩＰメッセージフォーマットのＬｅｎｇｔｈから抽出される。

　１０．　ＥＣＵ属性記憶部に格納されるＥＣＵ属性情報の一例
　図１１は、ＥＣＵ属性記憶部に格納されるＥＣＵ属性情報の一例を示す図である。図１１においてＥＣＵ属性情報は、ＩＰアドレス、ＥＣＵ属性、属性設定フラグ、フラグＯＦＦの設定日時、及び、フラグＯＮの設定日時を含む。さらに、ＥＣＵ属性は、ＥＣＵの役割属性と、ＥＣＵのドメイン属性との２つの項目を含む。ＥＣＵの役割属性は、センサ、ブレイン、及び、アクチュエータの３つの属性を有し、ＥＣＵのドメイン属性は、コネクティビティ、パワートレーン、ＡＤＡＳ、ボディ、及び、インフォテイメントの５つの属性を有する。

　ＩＰアドレスは、異常検知部４０２が受信したフレームに含まれる送信元ＩＰアドレスである。異常検知部４０２は、ＥＣＵ属性記憶部４０６に記録されていないＩＰアドレスを含むフレーム受信した場合、ＥＣＵ属性情報に新たなＩＰアドレスの行を追加する。その際、追加した行には、初期値として、ＥＣＵの属性及びフラグＯＦＦの設定日時には全て０を、属性設定フラグにはＯＮを、フラグＯＮの設定日時には受信したフレームに含まれるタイムスタンプを記録する。

　ＥＣＵ属性は、ＥＣＵ属性設定部４０５により設定される。ＥＣＵ属性設定部４０５によるＥＣＵ属性の設定方法は後述する。ＥＣＵ属性は、異常検知部４０２が異常検知する際に、ＥＣＵがどのような属性をもつのか参照するために用いられる。

　属性設定フラグは、ＥＣＵ属性設定部４０５が、ＥＣＵ属性の再設定を行うか否かを判定するために用いられるフラグである。属性設定フラグがＯＮであることは、次の機会でＥＣＵ属性設定部４０５がＥＣＵ属性の再設定を実行することを示し、属性設定フラグがＯＦＦであることは、次の機会でＥＣＵ属性設定部４０５がＥＣＵ属性の再設定を実行しないことを示す。

　ＥＣＵ属性設定部４０５は、ＥＣＵ属性の設定処理を完了したタイミングで、属性設定フラグをＯＦＦに設定する。ＥＣＵ属性設定部４０５は、フラグＯＦＦの設定日時から所定時間の経過を検知した場合、属性設定フラグをＯＮに設定する。または異常検知部４０２がＥＣＵの通信傾向に変化が生じる情報が含まれるフレームを検知した場合、ＥＣＵ属性設定部４０５は、属性設定フラグをＯＮに設定する。

　フラグＯＦＦの設定日時は、ＥＣＵ属性設定部４０５より属性設定フラグがＯＦＦに設定された時間が、ＵＮＩＸ（登録商標）時間で設定される。フラグＯＦＦの設定日時には、既に値が記録されている場合、ＵＮＩＸ時間が大きい値が設定される。この値は、ＥＣＵ属性設定部４０５より特定のタイミングで参照されて、記録されたＵＮＩＸ時間から所定時間以上経過しているか否かを判定するために用いられる。

　フラグＯＮの設定日時は、ＥＣＵ属性設定部４０５より属性設定フラグがＯＮに設定された時間が、ＵＮＩＸ時間で設定される。フラグＯＮの設定日時には、既に値が記録されている場合、ＵＮＩＸ時間が大きい値が設定される。この値は、ＥＣＵ属性設定部４０５よりＥＣＵの属性設定を行うタイミングで参照されて、通信ログ記憶部４０４から属性設定に必要な通信ログを取得するために用いられる。

　１１．　ＥＣＵ属性による異常検知ルール
　図１２は、異常検知ルール記憶部に格納される、ＥＣＵ属性を用いた異常検知ルールの一例を示す図である。図１２において、異常検知ルールは、対象フレームの通信が正常であるか異常であるかの判定に用いられる。異常検知ルールは、送信元ＥＣＵのＥＣＵ属性と、宛先ＥＣＵのＥＣＵ属性との組み合わせがＯＫかＮＧかを示している。異常検知ルールは、ＯＫが示される送信元ＥＣＵと宛先ＥＣＵとの組み合わせの通信は正常であることを示し、ＮＧが示される送信元ＥＣＵと宛先ＥＣＵの組み合わせの通信は異常であることを示す。異常検知ルールにおいて、ＯＫの組み合わせの通信が発生していれば当該通信は正常であると判定され、ＮＧの組み合わせの通信が発生していれば当該通信は異常であると判定される。

　図１２において、例えば、送信元ＥＣＵのドメイン属性がコネクティビティで、宛先ＥＣＵのドメイン属性がコネクティビティである場合、対象のフレームが正常と判断されるのは、送信元ＥＣＵの役割属性がセンサで宛先ＥＣＵの役割属性がブレインの組み合わせ、送信元ＥＣＵの役割属性がブレインで宛先ＥＣＵの役割属性がセンサ、ブレイン、及び、アクチュエータの組み合わせ、並びに、送信元ＥＣＵの役割属性がアクチュエータで宛先ＥＣＵの役割属性がブレインの組み合わせである。

　さらに図１２おいて、宛先ＥＣＵのドメイン属性がボディで役割属性がアクチュエータである場合、対象のフレームが正常と判断されるのは、送信元ＥＣＵのドメイン属性がＡＤＡＳで役割属性がブレイン、送信元ＥＣＵのドメイン属性がボディで役割属性がブレインの組み合わせである。なぜなら、電気錠の開閉やエアバッグの開閉などドメイン属性がボディで役割属性がアクチュエータのＥＣＵが制御命令を受信する場合は、車の鍵の操作を検知して電気錠を制御するＥＣＵが制御命令を送信する場合と、自動運転を制御するＥＣＵが操縦者の危険を検知してエアバッグを開く制御命令を送信する場合とがあるためである。

　さらに図１２において、送信元ＥＣＵのドメイン属性がコネクティビティで、宛先ＥＣＵのドメイン属性がパワートレーンの組み合わせとなるフレームは、異常な通信と定義される。なぜなら、外部との通信情報を扱うコネクティビティＥＣＵが、車両走行の制御情報を扱うパワートレーンＥＣＵと通信を行うことは、車両が遠隔操作される恐れがあるためである。

　１２．　ＥＣＵの属性変更に関するシーケンス
　図１３は、本実施の形態における、ＥＣＵの属性変更のシーケンスの一例を示す図である。図１３において、車両１０のユーザがユーザインタフェースＥＣＵ３００のタッチパネルを操作して、セントラルＥＣＵ２００のゲストＯＳ部２０３に搭載されたＡＤＡＳに関するアプリケーションをアンインストールし、さらにインフォテイメントに関するアプリケーションをインストールする場合、異常検知ＥＣＵ４００が車載ネットワークの変化を検知して、異常検知に用いるＥＣＵ属性情報を再設定する。

　（Ｓ１０１）ユーザインタフェースＥＣＵ３００は、ユーザからの操作を受け付けて、セントラルＥＣＵ２００のゲストＯＳ部２０３にインストールされていたＡＤＡＳに関するアプリケーションをアンインストールし、インフォテイメントに関するアプリケーションをインストールするように要求する。

　（Ｓ１０２）セントラルＥＣＵ２００は、ゲストＯＳ部２０３のＡＤＡＳに関するアプリケーション（ＡＤＡＳアプリ）のアンインストールを実行する。

　（Ｓ１０３）セントラルＥＣＵ２００は、ＯＴＡサーバ３０に対して、インフォテイメントに関するアプリケーション（インフォティメントアプリ）のインストーラをゲストＯＳ部２０３へ送信するように要求する。

　（Ｓ１０４）ＯＴＡサーバ３０は、セントラルＥＣＵ２００のゲストＯＳ部２０３に、インストーラを含むフレームを送信する。

　（Ｓ１０５）セントラルＥＣＵ２００は、ステップＳ１０４で受信したフレームを、異常検知ＥＣＵ４００に転送する。

　（Ｓ１０６）異常検知ＥＣＵ４００の異常検知部４０２は、転送されたフレームに格納されているセントラルＥＣＵのＩＰアドレスを抽出する。さらに、異常検知部４０２は、ＥＣＵ属性記憶部４０６に格納されているＩＰアドレスを参照して、抽出したＩＰアドレスが含まれている場合は、そのＩＰアドレスに対応する属性設定フラグをＯＮに設定する。

　（Ｓ１０７）セントラルＥＣＵ２００は、受信したインストーラを用いてインフォテイメントのアプリケーションのインストールを実行する。

　１３．　異常検知ＥＣＵ４００のフレーム受信時の動作に関するフローチャート
　図１４は、本実施の形態における、異常検知ＥＣＵ４００のフレーム受信時の動作に関するフローチャートの一例を示す図である。

　（Ｓ２０１）通信部４０１は、セントラルＥＣＵ２００から転送されたフレームを受信する。

　（Ｓ２０２）ＥＣＵ属性設定部４０５は、ステップＳ２０１で受信したフレームに格納される送信元ＩＰアドレス及び宛先ＩＰアドレスが、ＥＣＵ属性記憶部４０６に格納されているか否か判定する。送信元ＩＰアドレス及び宛先ＩＰアドレスの少なくとも一方が、ＥＣＵ属性記憶部４０６に格納されていない場合（Ｓ２０２でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ２０３の処理を実行する。送信元ＩＰアドレス及び宛先ＩＰアドレスの両方が、ＥＣＵ属性記憶部４０６に格納されている場合（Ｓ２０２でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ２０４の処理を実行する。

　（Ｓ２０３）ＥＣＵ属性設定部４０５は、受信したフレームの送信元ＩＰアドレス及び宛先ＩＰアドレスのうちＥＣＵ属性記憶部４０６に格納されていないＩＰアドレスを、ＥＣＵ属性記憶部４０６に新たに記憶して、属性設定フラグをＯＮにする。さらに、ＥＣＵ属性設定部４０５は、日時をＵＮＩＸ時間で取得し、属性設定フラグがＯＮになった時間として、取得したＵＮＩＸ時間をＥＣＵ属性記憶部４０６に格納する。

　（Ｓ２０４）ＥＣＵ属性設定部４０５は、受信したフレームの送信元ＩＰアドレスが、特定のＩＰアドレスか否かを判定する。受信したフレームの送信元ＩＰアドレスが、特定のＩＰアドレスである場合（Ｓ２０４でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ２０５の処理を実行し、受信したフレームの送信元ＩＰアドレスが、特定のＩＰアドレスでない場合（Ｓ２０４でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ２０６の処理を実行する。特定のＩＰアドレスから送信されるフレームは、車載ネットワークの通信傾向に変化が生じる情報が含まれるフレームであり、具体的には、ゲストＯＳ部２０３へアプリケーションをダウンロードする際に発生するフレームや、アップデートファイルをＥＣＵへ送信する際に発生するフレームである。

　（Ｓ２０５）ＥＣＵ属性設定部４０５は、受信したフレームの宛先ＩＰアドレスについて、ＥＣＵ属性記憶部４０６の該当するＩＰアドレスの属性設定フラグをＯＮにする。さらにＥＣＵ属性設定部４０５は、日時をＵＮＩＸ時間で取得し、属性設定フラグがＯＮになった時間として、取得したＵＮＩＸ時間をＥＣＵ属性記憶部４０６に格納する。

　（Ｓ２０６）異常検知部４０２は、受信したフレームが、異常であるか否かを、ＥＣＵ属性を用いて判定する。ＥＣＵ属性を用いた異常検知処理の詳細は後述する。

　（Ｓ２０７）異常検知部４０２は、受信したフレームを、通信ログ記憶部４０４に格納する。

　１４．　ＥＣＵ属性設定処理のフローチャート
　図１５は、本実施の形態における、ＥＣＵの属性設定に関するフローチャートの一例である。ＥＣＵ属性設定部４０５により、ＥＣＵのＩＰアドレスごとに属性を設定する。ＥＣＵの属性設定処理は、車両システムのシャットダウン時や、操縦を行っていない夜間における任意のタイミング等の特定のタイミングで行い、異常検知処理で用いるＥＣＵ属性情報を更新することで、車載ネットワークの通信傾向の変化に伴い発生した正常通信と、攻撃者による異常通信と、を区別可能にする。

　（Ｓ３０１）ＥＣＵ属性設定部４０５は、処理開始時に開始日時をＵＮＩＸ時間で取得する。ＥＣＵ属性設定部４０５は、ＥＣＵ属性記憶部４０６に格納されている各ＩＰアドレスのうち、属性設定フラグがＯＦＦに設定されているＩＰアドレスに対して、フラグＯＦＦの設定日時を参照し、記録されているＵＮＩＸ時間と、開始日時との差を算出する。算出した差が所定の時間以上である場合（つまり、所定の時間以上経過している場合）は、ＥＣＵ属性設定部４０５は、対象のＩＰアドレスの属性設定フラグをＯＮに設定して、日時をＵＮＩＸ時間で取得し、フラグＯＮの設定日時に取得した日時をＥＣＵ属性記憶部４０６に格納する。

　（Ｓ３０２）ＥＣＵ属性設定部４０５は、ＥＣＵ属性記憶部４０６に格納されているＩＰアドレスのうち、属性設定フラグがＯＮになっているＩＰアドレスが存在するか否かを判定する。属性設定フラグがＯＮになっているＩＰアドレスが存在する場合（Ｓ３０２でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ３０３を実行する。属性設定フラグがＯＮになっているＩＰアドレスが存在しない場合（Ｓ３０２でＮｏ）、ＥＣＵ属性設定部４０５は、ＥＣＵ属性設定処理を終了する。

　（Ｓ３０３）ＥＣＵ属性設定部４０５は、ＥＣＵ属性記憶部４０６の属性設定フラグがＯＮになっているＩＰアドレスのＥＣＵ属性情報を取得する。

　（Ｓ３０４）ＥＣＵ属性設定部４０５は、取得したＩＰアドレスのＥＣＵ属性情報から、順にＩＰアドレスを１つ選択する。

　（Ｓ３０５）ＥＣＵ属性設定部４０５は、選択したＩＰアドレスのフラグＯＮの設定日時を取得する。

　（Ｓ３０６）ＥＣＵ属性設定部４０５は、選択したＩＰアドレスに関して、通信ログ記憶部４０４から通信ログの集合を取得する。通信ログの集合は、通信ログ記憶部４０４に記憶される通信ログのうちで、選択したＩＰアドレスが送信元ＩＰアドレスまたは宛先ＩＰアドレスに含まれている通信ログであり、かつ、タイムスタンプが選択したＩＰアドレスのフラグＯＮの設定日時より後に記録された通信ログの集合である。

　（Ｓ３０７）ＥＣＵ属性設定部４０５は、取得した通信ログの集合が、所定数以上の通信ログを含むか否かを判定する。取得した通信ログの集合が、所定数以上の通信ログを含む場合（Ｓ３０７でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ３０８の処理を実行する。取得した通信ログの集合が、所定数以上の通信ログを含まない場合（Ｓ３０７でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ３１１の処理を実行する。

　（Ｓ３０８）ＥＣＵ属性設定部４０５は、選択したＩＰアドレスと、取得した通信ログの集合と用いて、ＥＣＵの役割属性を設定する。詳細は後述する。

　（Ｓ３０９）ＥＣＵ属性設定部４０５は、選択したＩＰアドレスと、取得した通信ログの集合と用いて、ＥＣＵのドメイン属性を設定する。詳細は後述説明する。

　（Ｓ３１０）ＥＣＵ属性設定部４０５は、選択したＩＰアドレスに関して、ＥＣＵ属性記憶部４０６の属性設定フラグをＯＦＦにする。ＥＣＵ属性設定部４０５は、日時をＵＮＩＸ時間で取得し、取得した日時を属性設定フラグがＯＦＦになった時間としてフラグＯＦＦの設定日時に格納する。

　（Ｓ３１１）ＥＣＵ属性設定部４０５は、対象のＥＣＵ属性情報を全て選択したか否かを判定する。対象のＥＣＵ属性情報を全て選択した場合（Ｓ３１１でＹｅｓ）、ＥＣＵ属性設定部４０５は、処理を終了する。対象のＥＣＵ属性情報をすべて選択していない場合（Ｓ３１１でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ３０４の処理を実行する。

　１５．　ＥＣＵの役割属性設定のフローチャート
　図１６は、本実施の形態におけるＥＣＵ属性設定部４０５のＥＣＵの役割属性設定に関するフローチャートの一例である。

　（Ｓ４０１）ＥＣＵ属性設定部４０５は、取得した通信ログの集合に対して、選択したＩＰアドレスが送信元ＩＰアドレスに含まれるのか、宛先ＩＰアドレスに含まれるのか、メッセージタイプは何か、を確認する。ＥＣＵ属性設定部４０５は、メッセージタイプがＮｏｔｈｆｉｃａｔｉｏｎの場合は、送信元ＩＰアドレスがサーバ側、宛先ＩＰアドレスがクライアント側と判定し、メッセージタイプがＲｅｑｕｅｓｔの場合、送信元ＩＰアドレスがクライアント側、宛先ＩＰアドレスがサーバ側と判定し、メッセージタイプがＲｅｓｐｏｎｓｅであれば、送信元ＩＰアドレスがサーバ側、宛先ＩＰアドレスがクライアント側と判定する。

　そして、ＥＣＵ属性設定部４０５は、取得した通信ログの集合において、選択したＩＰアドレスのサーバ側としての通信ログとクライアント側としての通信ログとの比率を計算し、さらに、選択したＩＰアドレスに関して、メッセージタイプがＲｅｑｕｅｓｔのメッセージを受信した回数と、メッセージタイプがＲｅｓｐｏｎｓｅのメッセージを送信した回数をカウントする。

　（Ｓ４０２）ＥＣＵ属性設定部４０５は、取得した通信ログの集合においてサーバ側としての通信ログが９割以上か否かを判定する。サーバ側としての通信ログが９割以上である場合（Ｓ４０２でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ４０３の処理を実行する。サーバ側としての通信ログが９割以上でない場合（Ｓ４０２でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ４０５の処理を実行する。

　（Ｓ４０３）ＥＣＵ属性設定部４０５は、取得した通信ログの集合において、選択したＩＰアドレスに関して、Ｒｅｑｕｅｓｔのメッセージを受信した回数と、Ｒｅｓｐｏｎｓｅのメッセージを送信した回数とが一致するか否かを判定する。Ｒｅｑｕｅｓｔのメッセージを受信した回数と、Ｒｅｓｐｏｎｓｅのメッセージを送信した回数とが一致する場合（Ｓ４０３でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ４０４の処理を実行する。Ｒｅｑｕｅｓｔのメッセージを受信した回数と、Ｒｅｓｐｏｎｓｅのメッセージを送信した回数とが一致しない場合（Ｓ４０３でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ４０６処理を実行する。

　（Ｓ４０４）ＥＣＵ属性設定部４０５は、選択したＩＰアドレスのＥＣＵはセンサの役割をもつと判断し、ＥＣＵ属性記憶部４０６の選択したＩＰアドレスのＥＣＵ役割属性のセンサに１を設定する。

　（Ｓ４０５）ＥＣＵ属性設定部４０５は、取得した通信ログの集合においてクライアント側としての通信が７割以上であるか否かを判定する。クライアント側としての通信が７割以上である場合（Ｓ４０５でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ４０７の処理を実行する。クライアント側としての通信が７割以上でない場合（Ｓ４０５でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ４０６の処理を実行する。

　（Ｓ４０６）ＥＣＵ属性設定部４０５は、選択したＩＰアドレスのＥＣＵはアクチュエータの役割をもつと判断し、ＥＣＵ属性記憶部４０６の選択したＩＰアドレスのＥＣＵ役割属性のアクチュエータに１を設定する。

　（Ｓ４０７）ＥＣＵ属性設定部４０５は、選択したＩＰアドレスのＥＣＵはブレインの役割をもつと判断し、ＥＣＵ属性記憶部４０６の選択したＩＰアドレスのＥＣＵ役割属性のブレインに１を設定する。

　なお、ステップＳ４０２の処理において、取得した通信ログの集合においてサーバ側としての通信ログが９割以上か否かを判定し、ステップＳ４０５の処理において、取得した通信ログの集合においてクライアント側としての通信が７割以上か否かを判定したが、ステップＳ４０２及びステップＳ４０５において閾値として用いられる割合はそれぞれ９割及び７割に限定されない。これらの閾値としての割合は、車種の通信傾向に応じて、適切に調整されてもよい。

　１６．　ＥＣＵのドメイン属性設定のフローチャート
　図１７は、本実施の形態におけるＥＣＵ属性設定部のＥＣＵのドメイン属性設定に関するフローチャートの一例である。

　（Ｓ５０１）ＥＣＵ属性設定部４０５は、取得した通信ログの集合に対して、選択したＩＰアドレスの通信先のＩＰアドレスのドメイン属性をＥＣＵ属性記憶部４０６から取得し、ドメイン属性ごとに、具体的には、コネクティビティ、パワートレーン、ＡＤＡＳ、ボディ、及び、インフォテイメントの５つのドメイン属性ごとの出現回数をカウントし、最も出現回数の多いドメイン属性を抽出する。

　（Ｓ５０２）ＥＣＵ属性設定部４０５は、取得した通信ログの集合のうち、選択したＩＰアドレスの通信先のＩＰアドレスの属性設定フラグがＯＮになっている通信ログを、取得した通信ログ集合から除外し、ステップＳ５０１と同様に、ドメイン属性ごとの出現回数をカウントし、最も出現回数の多いドメイン属性を抽出する。なお、選択したＩＰアドレスの通信先のＩＰアドレスとは、選択したＩＰアドレスのＥＣＵが送信元のＩＰアドレスの場合、当該送信元のＩＰアドレスと対になる宛先のＩＰアドレスであり、選択したＩＰアドレスのＥＣＵが宛先のＩＰアドレスの場合、当該宛先のＩＰアドレスと対になる送信元のＩＰアドレスである。

　（Ｓ５０３）ＥＣＵ属性設定部４０５は、ステップＳ５０１で抽出したドメイン属性と、ステップＳ５０２で抽出したドメイン属性が同じであるか否かを判定する。一致する場合（Ｓ５０３でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ５０４を実行する。一致しない場合（Ｓ５０３でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ５０５を実行する。

　（Ｓ５０４）ＥＣＵ属性設定部４０５は、ステップＳ５０１で抽出したドメイン属性を、選択したＩＰアドレスのドメイン属性とし、ＥＣＵ属性記憶部４０６に対して、選択したＩＰアドレスのＥＣＵドメイン属性のうち、ステップＳ５０１で抽出したドメイン属性を１に設定する。

　（Ｓ５０５）ＥＣＵ属性設定部４０５は、ＥＣＵ属性記憶部４０６を参照して、選択したＩＰアドレスのドメイン属性を取得する。

　（Ｓ５０６）ＥＣＵ属性設定部４０５は、ステップＳ５０１で抽出したドメイン属性と、ステップＳ５０５で取得したドメイン属性が同じであるか否かを判定する。ステップＳ５０１で抽出したドメイン属性と、ステップＳ５０５で取得したドメイン属性が同じである場合（Ｓ５０６でＹｅｓ）、ＥＣＵ属性設定部４０５は、ステップＳ５０４を実行する。ステップＳ５０１で抽出したドメイン属性と、ステップＳ５０５で取得したドメイン属性が同じでない場合（Ｓ５０６でＮｏ）、ＥＣＵ属性設定部４０５は、ステップＳ５０７を実行する。

　（Ｓ５０７）ＥＣＵ属性設定部４０５は、ステップＳ５０２で抽出したドメイン属性を、選択したＩＰアドレスのドメイン属性とし、ＥＣＵ属性記憶部４０６に対して、選択したＩＰアドレスのＥＣＵドメイン属性のうち、ステップＳ５０２で抽出したドメイン属性を１に設定する。

　１７．　ＥＣＵ属性を用いた異常検知のシーケンス
　図１８は、本実施の形態における異常検知ＥＣＵによるＥＣＵ属性を用いた異常検知に関するシーケンスの一例を示す。攻撃者はカメラＥＣＵ６００ｅの脆弱性から操作権限を奪取しているものとする。

　（Ｓ６０１）車速検知ＥＣＵ６００ｂは、車両の速度情報を電気錠制御ＥＣＵ６００ｃに向けて、ＳＯＭＥ／ＩＰメッセージのフレームを送信する。フレームは、ゾーンＥＣＵ５００ａを経由して、セントラルＥＣＵ２００に送信される。

　（Ｓ６０２）セントラルＥＣＵ２００は、車速検知ＥＣＵ６００ｂから受信したフレーム（通信フレーム）を、異常検知ＥＣＵ４００へ転送する。

　（Ｓ６０３）異常検知ＥＣＵ４００は、セントラルＥＣＵ２００から転送されたフレーム（通信フレーム）が、サービス指向通信プロトコルに従うことを確認し、フレームが異常であるか否かをＥＣＵ属性を用いて判定することで異常検知を行う。異常検知ＥＣＵ４００による異常検知処理の詳細は後述する。

　（Ｓ６０４）異常検知ＥＣＵ４００は、異常検知を行った結果、フレームは正常であると判断する。

　（Ｓ６０５）カメラＥＣＵ６００ｅは、電気錠開閉ＥＣＵ６００ｄに、電気錠の解錠を要求するＳＯＭＥ／ＩＰメッセージのフレームを送信する。

　（Ｓ６０６）セントラルＥＣＵ２００は、カメラＥＣＵ６００ｅから取得したフレーム（通信フレーム）を異常検知ＥＣＵ４００に転送する。

　（Ｓ６０７）異常検知ＥＣＵ４００は、異常検知を行った結果、フレームは異常であると判断し、ユーザインタフェースＥＣＵ３００に、アラートを通知するフレームを送信する。

　（Ｓ６０８）ユーザインタフェースＥＣＵ３００は、アラートを通知するフレームを受信すると、モニタ等の外部機器を通して操縦者にアラートを通知（表示）する。

　１８．　ＥＣＵ属性を用いた異常検知のフローチャート
　図１９は、本実施の形態における異常検知部４０２による、ＳＯＭＥ／ＩＰ通信のフレームが異常な通信を行っていないか、ＥＣＵ属性を用いる異常検知処理に関わるフローチャートの一例である。

　（Ｓ７０１）異常検知部４０２は、受信したＳＯＭＥ／ＩＰメッセージのフレームに含まれる送信元ＩＰアドレス及び宛先ＩＰアドレスを取得し、ＥＣＵ属性記憶部４０６を参照して送信元ＩＰアドレス及び宛先ＩＰアドレスのＥＣＵ属性をそれぞれ取得する。

　（Ｓ７０２）異常検知部４０２は、異常検知ルール記憶部４０７に格納される異常検知ルールを用いて、取得した送信元ＩＰアドレスのＥＣＵ属性と宛先ＩＰアドレスのＥＣＵ属性との組み合わせが正しいか否かを判定する。

　具体的には、例えば、図１８で説明した、車速検知ＥＣＵ６００ｂから電気錠制御ＥＣＵ６００ｃへの通信の場合、図１１のＥＣＵ属性記憶部４０６に格納されているＥＣＵ属性情報を参照すると、送信元ＩＰアドレスを有する車速検知ＥＣＵ６００ｂはＥＣＵの役割属性がセンサでＥＣＵのドメイン属性がパワートレーンであり、宛先ＩＰアドレスを有する電気錠制御ＥＣＵ６００ｃはＥＣＵの役割属性がブレインでＥＣＵのドメイン属性がボディであることがわかる。これらのＥＣＵの属性の組み合わせは、図１２の異常検知ルール記憶部４０７に格納されている異常検知ルールにおいてＯＫと定義されている。従って、異常検知部４０２は、車速検知ＥＣＵ６００ｂから電気錠制御ＥＣＵ６００ｃへ通信されるフレームが正常なフレームであると判断する。

　さらに、図１８で説明した、カメラＥＣＵ６００ｅから電気錠開閉ＥＣＵ６００ｄへの通信の場合、図１１のＥＣＵ属性記憶部４０６に格納されているＥＣＵ属性情報を参照すると、送信元ＩＰアドレスを有するカメラＥＣＵ６００ｅはＥＣＵの役割属性がセンサでＥＣＵの役割属性がＡＤＡＳで、宛先ＩＰアドレスを有する電気錠開閉ＥＣＵ６００ｄはＥＣＵの役割属性がアクチュエータでＥＣＵの役割属性がボディであることがわかる。これらのＥＣＵの属性の組み合わせは、図１２の異常検知ルール記憶部４０７に格納されている異常検知ルールにおいてＮＧと定義されている。従って、異常検知部４０２は、カメラＥＣＵ６００ｅから電気錠開閉ＥＣＵ６００ｄへ通信されるフレームが異常なフレームであると判断する。

　異常検知部４０２は、取得した送信元ＩＰアドレスのＥＣＵ属性と宛先ＩＰアドレスのＥＣＵ属性との組み合わせが正しいと判定した場合（Ｓ７０２でＹｅｓ）、ステップＳ７０３の処理を実行する。異常検知部４０２は、取得した送信元ＩＰアドレスのＥＣＵ属性と宛先ＩＰアドレスのＥＣＵ属性との組み合わせが正しくない（異常である）と判定した場合（Ｓ７０２でＮｏ）、ステップＳ７０４の処理を実行する。

　（Ｓ７０３）異常検知部４０２は、受信したフレームは正常であると判断する。

　（Ｓ７０４）異常検知部４０２は、受信したフレームは異常であると判断し、ユーザインタフェースＥＣＵ３００に対してアラートを表示するようにフレームを送信する。

　また、フレームが異常な通信であると判定された際に、送信元ＩＰアドレスと宛先ＩＰアドレスとに関して、ＥＣＵ属性記憶部４０６の属性設定フラグがＯＮに設定されている場合は、ＥＣＵ属性の再設定を行う前の異常検知で正常な通信を異常な通信と誤検知した可能性がある。このため、ステップＳ７０４で、異常検知部４０２は、属性設定フラグがＯＮになっているか否かを示す情報を出力してもよい。

　（実施の形態１の効果）
　実施の形態１で示した車載ネットワークシステムでは、異常検知ＥＣＵ４００が各ＥＣＵそれぞれに対してどのような機能をもつのか、どのような情報を扱うのかを、ＥＣＵ属性としてラベル付けを行い、さらに、どのＥＣＵ属性間の通信が異常であるのか定義しておくことで、異常通信を検知する。これにより、どのＥＣＵ間の通信であっても、送信元ＩＰアドレスのＥＣＵと宛先ＩＰアドレスのＥＣＵの属性が分かっているならば、正常な通信と異常な通信の判別可能になり、セキュリティが高まる。

　また、操縦者によって車両システムの設定を変更する、またはＯＴＡによるＥＣＵのシステム更新が発生する、など車載ネットワークの通信傾向の変化を異常検知ＥＣＵ４００が検知して、ＥＣＵ属性のラベル付けを特定のタイミングで行う。これにより、ＯＴＡや車両のシステム変更に伴って普段と違う通信内容が発生した場合と、攻撃者によって普段と違う通信内容が発生した場合と、を区別しながら異常通信を検知可能となり、車両の安全性を向上させる。

　以上のように本実施の形態に係る異常検知ＥＣＵ４００（異常検知装置）は、２以上のＥＣＵと、１以上のネットワークと、によって構成される車載ネットワークシステムにおける異常を検知する異常検知装置である。異常検知ＥＣＵ４００は、ＥＣＵ属性記憶部４０６と、通信部４０１と、異常検知部４０２とを有する。ＥＣＵ属性記憶部４０６は、２以上のＥＣＵそれぞれに設定されたＥＣＵが有する属性を記憶している。通信部４０１は、１以上のネットワーク上のメッセージを送受信する。異常検知部４０２は、ＥＣＵ属性記憶部４０６に記憶されている属性のうち、メッセージの送信元（送信元ＩＰアドレス）または宛先（宛先ＩＰアドレス）のＥＣＵが有する属性を用いて、異常な通信を検知する。ＥＣＵ属性記憶部４０６に記憶されている属性は、当該属性を有するＥＣＵの機能、または、当該属性を有するＥＣＵが扱う情報の種類を示す。

　これにより、ＥＣＵ間でメッセージの授受が発生した際に、ＥＣＵそれぞれの機能とＥＣＵが扱う情報の種類とを示す属性を参照することで、異常なメッセージの授受が発生しているのか判定することが可能となり、車両１０の安全性を向上できる。

　本実施の形態に係る異常検知ＥＣＵ４００において、ＥＣＵ属性記憶部４０６に記憶されている属性は、車載ネットワークシステムにおいて動作するＥＣＵの機能を示す。属性は、センサ属性と、ブレイン属性と、アクチュエータ属性とのいずれか１つを含む。センサ属性は、ＥＣＵが車内外の情報をセンシングする機能を備えることを示す。ブレイン属性は、ＥＣＵがセンシングされた情報を処理し制御指示を行う機能を備えることを示す。アクチュエータ属性は、ＥＣＵが制御指示に従い制御を行う機能を備えることを示す。

　これにより、ＥＣＵ間の機能の関係性から異常な通信か否かの判定が可能になり、車両の安全性を向上できる。

　本実施の形態に係る異常検知ＥＣＵ４００において、ＥＣＵ属性記憶部に記憶されている属性は、車載ネットワークシステムにおいてＥＣＵが扱う情報の種類を示す。属性は、パワートレーン属性と、インフォテイメント属性と、ボディ属性と、ＡＤＡＳ属性と、コネクティビティ属性とのいずれか１つを含む。パワートレーン属性は、車両の走行に関する制御情報を扱うことを示す。インフォテイメント属性は、操縦者への車両の状態通知に関する情報を扱うことを示す。ボディ属性は、車両のボディ系の制御情報を扱うことを示す。ＡＤＡＳ属性は、操縦者の車両操作を支援または代替する先進運転支援機能に関する情報を扱うことを示す。コネクティビティ属性は、１以上のネットワーク外から取得した情報を扱うことを示す。

　これにより、ＥＣＵ間の扱う情報の種類の関係性から異常な通信か否かの判定が可能になり、車両の安全性を向上できる。

　本実施の形態に係る異常検知ＥＣＵ４００において、異常検知部４０２は、フレーム（メッセージ）の送信元のＥＣＵの属性と、フレームの宛先のＥＣＵの属性と、の組み合せに基づいて、通信部４０１が受信したメッセージが異常か否かを判定する。

　これにより、フレームの送信元及び宛先のＥＣＵ間の属性の組合せに基づいて、異常な通信か否かの判定が可能になり、車両１０の安全性を向上できる。

　本実施の形態に係る異常検知ＥＣＵ４００において、異常検知部４０２は、フレーム（メッセージ）の送信元のＥＣＵの属性またはフレームの宛先のＥＣＵの属性と、通信部から受信したフレームに含まれる情報と、の関係性に基づいて、通信部４０１が受信したフレームが異常か否かを判定する。

　本実施の形態に係る異常検知ＥＣＵ４００において、車載ネットワークシステムは、サービス指向型通信によりメッセージの授受を行う。通信部４０１から受信したメッセージに含まれる情報は、ＳＯＭＥ／ＩＰ通信のメッセージフォーマットに格納される情報である。

　これにより、ＳＯＭＥ／ＩＰ通信にメッセージフォーマットに格納される情報とＥＣＵの属性との関係性から異常な通信を判定することが可能となり、車両の安全性を向上できる。

　本実施の形態に係る異常検知ＥＣＵ４００は、さらに、通信ログ記憶部４０４を備える。通信ログ記憶部４０４は、通信部４０１が受信したフレーム（メッセージ）を記憶する。異常検知部４０２は、通信ログ記憶部４０４に記憶されているフレーム（メッセージ）とＥＣＵ属性記憶部４０６とを参照して、フレーム（メッセージ）の授受が発生している送信元及び宛先のＥＣＵの属性の組み合わせを示す関係性を特定する。異常検知部４０２は、新たに受信したフレーム（メッセージ）について、関係性においてフレーム（メッセージ）の授受が発生している組み合わせの属性を有するＥＣＵ間のメッセージを正常と判定し、関係性においてフレーム（メッセージ）の授受が発生していない組み合わせの属性を有するＥＣＵ間のメッセージを異常と判定する。

　これにより、ＥＣＵの属性を用いた異常な通信の定義を、通信ログから機械的に生成することが可能となり、異常な通信の定義を自動更新することが可能となる。

　本実施の形態に係る異常検知ＥＣＵ４００において、車載ネットワークシステムは、サービス指向型通信によりメッセージの授受を行う。異常検知ＥＣＵ４００は、さらに、通信ログ記憶部４０４と、ＥＣＵ属性設定部４０５とを備える。通信ログ記憶部４０４は、通信部４０１が受信したフレーム（メッセージ）を記憶する。ＥＣＵ属性設定部４０５は、ＥＣＵ属性記憶部４０６に格納されるＥＣＵの属性を設定する。ＥＣＵ属性設定部４０５は、通信ログ記憶部４０４に記憶されているフレーム（メッセージ）を参照して、フレーム（メッセージ）に含まれるメッセージタイプから、ＥＣＵがサーバ側かクライアント側かを判定し、サーバ通信とクライアント通信との割合によって、当該ＥＣＵの属性の決定を行う。

　これにより、ＥＣＵの属性を、通信ログから定義することが可能となり、ＥＣＵの属性を自動更新することが可能となる。

　本実施の形態に係る異常検知ＥＣＵ４００は、さらに、通信ログ記憶部４０４と、ＥＣＵ属性設定部４０５と、を備える。通信ログ記憶部４０４は、通信部４０１が受信したフレーム（メッセージ）を記憶する。ＥＣＵ属性設定部４０５は、通信ログ記憶部４０４に記憶されているフレーム（メッセージ）を参照して、ＥＣＵ属性記憶部４０６に記憶されているＥＣＵの属性を設定する。ＥＣＵ属性設定部４０６は、通信ログ記憶部４０４に記憶されているフレーム（メッセージ）とＥＣＵ属性記憶部４０６とを参照して、第一のＥＣＵが通信するＥＣＵの属性の出現頻度に応じて、第一のＥＣＵの属性の決定を行う。

　本実施の形態に係る異常検知ＥＣＵ４００において、ＥＣＵ属性設定部４０５は、ＥＣＵの属性を決定してから所定時間経過している、または、１以上のネットワークの通信傾向に変化が生じるフレーム（メッセージ）を通信部４０１が受信している、の条件を満たす場合は、ＥＣＵの属性の決定を行う。

　本実施の形態に係る異常検知ＥＣＵ４００において、１以上のネットワークの通信傾向に変化が生じるフレーム（メッセージ）は、車載ネットワークとは異なる、ネットワークまたはサーバからデータを取得してインストールする際に発生するメッセージ、または、車載システムの機能設定の変更、削除、または、更新において発生するメッセージである。

　これにより、外部からデータを取得してインストールする、または車載システムの機能設定を変更する、といった車載ネットワークの変化を検知して、ＥＣＵの属性を再度設定することが可能となり、異常検知の誤検知を減らすことが可能となる。

　本実施の形態に係る異常検知ＥＣＵ４００において、異常検知部４０２は、通信ログ記憶部４０４に格納されるフレーム（メッセージ）から、第一のＥＣＵが通信するＥＣＵの属性の出現頻度を計算し、ＥＣＵ属性記憶部４０６に格納される第一のＥＣＵの属性の出現頻度を参照して、一定の基準を超えて外れている場合は、第一のＥＣＵの通信は異常と判断する。

　これにより、車載ネットワーク全体のＥＣＵの属性の出現傾向を捉えて異常な通信を検知することが可能となり、特定のＥＣＵから通信量が急増するなどの異常を検知できる。

　（実施の形態１の変形例１）
　実施の形態１で示した車載ネットワークシステムにおける異常検知ＥＣＵ４００において、異常検知ルール記憶部４０７に、送信元ＩＰアドレスのＥＣＵ属性と宛先ＩＰアドレスのＥＣＵ属性との関係性から、異常検知ルールを予め定義しておく例を示したが、送信元ＩＰアドレスのＥＣＵ属性と通信フレームの特徴量との関係性から、異常検知ルールを予め定義してもよい。

　なお、本変形例では実施の形態１と同様の図面については説明を省略するため、異常検知ルール記憶部４０７に格納される異常検知ルールの一例と、その異常検知ルールを用いて、フレームをどのように異常と判定するかについてのみ説明する。

　１９．　送信元ＥＣＵのＥＣＵ属性と通信内容による異常検知
　図２０は、異常検知ルール記憶部に格納される、送信元ＩＰアドレスのＥＣＵのＥＣＵ属性とサービス指向通信プロトコルに従うフレームを用いた異常検知ルールの一例を示す図である。

　同図に示すように、送信元ＩＰアドレスのＥＣＵの役割属性とドメイン属性との組み合せに対して、フレームのメッセージサイズに関する最大値及び最小値が格納されている。例えば、ドメイン属性がコネクティビティであり、かつ役割属性がセンサであるＥＣＵは、メッセージサイズの最小値が５００Ｂｙｔｅで、最大値が６００Ｂｙｔｅのフレームを送信することが示されている。これらの値は、事前に車載ネットワークを調査して設定してもよいし、特定のタイミングで通信ログ記憶部４０４から所定時間分の通信ログを抽出し、メッセージサイズを参照して特定した最大値及び最小値の情報を格納してもよい。

　図２１は、図１８のステップＳ６０３に関する処理フローを、送信元ＩＰアドレスのＥＣＵのＥＣＵ属性とフレームのメッセージサイズから、異常を検知する処理フローに変更した一例を示す。

　（Ｓ８０１）異常検知部４０２は、受信したＳＯＭＥ／ＩＰ通信メッセージのフレームに含まれる送信元ＩＰアドレスを取得し、ＥＣＵ属性記憶部４０６を参照してＥＣＵ属性を取得する。さらに、異常検知部４０２は、同フレームのＳＯＭＥ／ＩＰメッセージフォーマットにおけるＬｅｎｇｔｈを参照し、メッセージサイズを取得する。

　（Ｓ８０２）異常検知部４０２は、異常検知ルール記憶部４０７より、取得した送信元ＩＰアドレスのＥＣＵ属性に対応するメッセージサイズの最小値及び最大値を参照し、取得したメッセージのメッセージサイズが最小値及び最大値の間の値であるか否かを判定する。取得したメッセージのサイズが最小値及び最大値の間の値であれば（Ｓ８０２でＹｅｓ）、異常検知部４０２は、ステップＳ８０３の処理を実施する。取得したメッセージのサイズが最小値と最大値の間の値でない場合（Ｓ８０２でＮｏ）、異常検知部４０２は、ステップＳ８０４の処理を実施する。

　（Ｓ８０３）異常検知部４０２は、受信したフレームは正常であると判断する。

　（Ｓ８０４）異常検知部４０２は、受信したフレームは異常であると判断し、ユーザインタフェースＥＣＵ３００に対してアラートを表示するようにフレームを送信する。

　異常検知部４０２は、異常検知に、メッセージサイズの最大値及び最小値を利用する例を示したが、メッセージサイズの平均値や中央値からの差が閾値以上であれば異常と判断するなど、別の評価指標が用いられてもよい。

　また、異常検知ルールでは、フレームのメッセージサイズと送信元ＩＰアドレスのＥＣＵのＥＣＵ属性との関係性から異常が定義されるが、フレームのメッセージサイズと宛先ＩＰアドレスのＥＣＵのＥＣＵ属性との関係性から異常が定義されてもよいし、フレームのメッセージサイズと送信元ＩＰアドレスのＥＣＵと宛先ＩＰアドレスのＥＣＵのＥＣＵ属性とから異常が定義されてもよい。

　また、異常検知ルールでは、フレームのメッセージサイズではなく、フレームに格納されているメッセージＩＤ、またはサービスＩＤ、またはメッセージタイプとＥＣＵ属性の関係性から異常が定義されてもよい。例えば、送信元ＩＰアドレスのＥＣＵのＥＣＵ属性が、ボディかつアクチュエータである場合の送信されるフレームのメッセージＩＤを特定して異常検知ルールが定義されてもよく、異常検知部４０２は、定義されていないメッセージＩＤを含むフレームが送信された場合に当該フレームを異常と判断してもよい。

　（実施の形態１の変形例１の効果）
　実施の形態１の変形例１で示した車載ネットワークシステムにおける異常検知方法により、攻撃者がフレーム内の情報を改ざんして、異常なフレームを送信した場合に、異常検知ＥＣＵ４００は、異常なフレームを検知することが可能となり、セキュリティが高まる。

　（実施の形態１の変形例２）
　実施の形態１で示した車載ネットワークシステムにおける異常検知ＥＣＵ４００において、異常検知ルール記憶部４０７に、異常検知ルールを予め定義する例を示したが、異常検知ルール記憶部４０７を参照せずに、通信ログ記憶部４０４に格納されている過去の通信ログを参照して、異常の判断をしてもよい。なお、実施の形態１と同様の図面については説明を省略するため、構成が異なる異常検知のフローチャートの一例を示し、フレームの異常検知についてのみ説明する。

　２０．　送信元ＩＰアドレスのＥＣＵ属性と通信ログによる異常検知
　図２２は、図１８のステップＳ６０３に関する処理フローについて、通信ログ記憶部４０４に格納されている通信ログを用いて、異常検知する処理フローに変更した一例を示す。

　（Ｓ９０１）異常検知部４０２は、受信したＳＯＭＥ／ＩＰメッセージのフレームに含まれる送信元ＩＰアドレス及び宛先ＩＰアドレスを取得し、ＥＣＵ属性記憶部４０６を参照して送信元ＩＰアドレス及び宛先ＩＰアドレスそれぞれのＥＣＵ属性を取得する。

　（Ｓ９０２）異常検知部４０２は、ＥＣＵ属性記憶部４０６を参照し、取得した送信元ＩＰアドレスのＥＣＵ属性と、同じＥＣＵ属性をもつＩＰアドレス集合を取得する。

　（Ｓ９０３）異常検知部４０２は、通信ログ記憶部４０４に格納されている通信ログを所定時間分取得し、取得した送信元ＩＰアドレスが送信元になっている通信ログについて、宛先ＩＰアドレスのＥＣＵ属性を参照し、宛先ＩＰアドレスのＥＣＵ属性の集合を取得する。

　（Ｓ９０４）異常検知部４０２は、取得した宛先ＩＰアドレスのＥＣＵ属性が、取得した宛先ＩＰアドレスのＥＣＵ属性の集合に含まれているか否かを判定する。取得した宛先ＩＰアドレスのＥＣＵ属性が、取得した宛先ＩＰアドレスのＥＣＵ属性の集合に含まれている場合（Ｓ９０４でＹｅｓ）、異常検知部４０２は、ステップＳ９０５の処理を実行する。取得した宛先ＩＰアドレスのＥＣＵ属性が、取得した宛先ＩＰアドレスのＥＣＵ属性の集合に含まれていない場合（Ｓ９０４でＮｏ）、異常検知部４０２は、ステップＳ９０６の処理を実行する。

　（Ｓ９０５）異常検知部４０２は、受信したフレームは正常であると判断する。

　（Ｓ９０６）異常検知部４０２は、受信したフレームは異常であると判断し、ユーザインタフェースＥＣＵ３００に対してアラートを表示するようにフレームを送信する。

　また、本変形例では、送信元ＩＰアドレスのＥＣＵ属性に焦点をあてて、宛先ＩＰアドレスがどのようなＥＣＵ属性を含むかを通信ログ記憶部４０４の過去の通信ログで確認したが、宛先ＩＰアドレスのＥＣＵ属性に焦点をあてて、送信元ＩＰアドレスがどのようなＥＣＵ属性を含むかを通信ログ記憶部４０４の過去の通信ログで確認してもよい。または、これらの両方の確認を組み合わせてもよい。

　（実施の形態１の変形例２の効果）
　実施の形態１の変形例２で示した車載ネットワークシステムにおける異常検知方法は、事前に異常検知ルールを定義する必要がなく、収集した過去の通信ログから車載ネットワークの通信傾向を捉えて異常検知を行うため、車両それぞれの通信傾向に応じた異常検知ルールを作成し、異常検知の精度を高めることができる。

　（実施の形態１の変形例３）
　実施の形態１で示した車載ネットワークシステムにおける異常検知ＥＣＵ４００は、図１７で説明したように、ＩＰアドレスのドメイン属性を１つ選択して、ＥＣＵ属性記憶部４０６に格納する例を示したが、ＩＰアドレスは複数のドメイン属性をもつとして、ＩＰアドレスのドメイン属性の設定をしてもよい。なお、実施の形態１と同様の図面については説明を省略するため、ここでは構成が異なる、ＩＰアドレスの属性追加に関するシーケンスと、ＩＰアドレスのドメイン属性設定のフローチャートと、ＥＣＵ属性記憶部４０６に格納されるＥＣＵ属性情報の一例と、ＥＣＵ属性を用いた異常検知のフローチャートと、を用いて、ＩＰアドレスに新たな機能が追加されてＥＣＵが複数のドメイン属性をもつとき、フレームをどのように異常として判定するかについてのみ説明する。

　２１．　ＥＣＵ属性追加に関するシーケンスの一例
　図２３は、操縦者がユーザインタフェースＥＣＵ３００のタッチパネルを操作して、セントラルＥＣＵ２００のゲストＯＳ部２０３に搭載されたＡＤＡＳに関するアプリケーションに対して、インフォテイメントに関するアプリケーションを追加でインストールする場合に、異常検知ＥＣＵ４００が車載ネットワークの変化を検知して、異常検知に用いるＥＣＵ属性情報を再設定するシーケンスの一例を示す。

　（Ｓ１００１）ユーザインタフェースＥＣＵ３００は、ユーザからの操作を受け付けて、セントラルＥＣＵ２００のゲストＯＳ部２０３にインフォテイメントに関するアプリケーション（インフォティメントアプリ）を新たにインストールするように要求する。

　（Ｓ１００２）セントラルＥＣＵ２００は、ＯＴＡサーバ３０に対して、インフォテイメントに関するアプリケーション（インフォティメントアプリ）のインストーラをゲストＯＳ部２０３へ送信するように要求する。

　（Ｓ１００３）ＯＴＡサーバ３０は、セントラルＥＣＵ２００のゲストＯＳ部２０３に、インフォテイメントに関するアプリケーション（インフォティメントアプリ）のインストーラを送信する。

　（Ｓ１００４）セントラルＥＣＵ２００は、受信したフレームを、異常検知ＥＣＵ４００に転送する。

　（Ｓ１００５）異常検知ＥＣＵ４００の異常検知部４０２は、ＯＴＡサーバ３０からゲストＯＳ部２０３へのインストーラを送信するフレームを受信し、フレームに格納されている宛先ＩＰアドレスを取得する。さらに異常検知部４０２は、ＥＣＵ属性記憶部４０６に格納されているＩＰアドレスを参照し、取得したＩＰアドレスが含まれている場合は、そのＩＰアドレスに対応する属性設定フラグにＯＮを設定する。

　（Ｓ１００６）セントラルＥＣＵ２００は、インフォテイメントのアプリケーションをインストールする。

　２２．　ＥＣＵ属性の設定に関するシーケンスの一例
　図２４は、ＩＰアドレスが複数のドメイン属性をもつとしたとき、ＥＣＵ属性記憶部４０６に格納されるＥＣＵ属性情報の一例を示す。図１１と同様に、ＩＰアドレス、ＥＣＵ属性、属性設定フラグ、フラグＯＦＦの設定日時、及び、フラグＯＮの設定日時の組で一行が表される。図１１に示したＥＣＵ属性情報の一例と比較して、ブレーキ制御ＥＣＵは、パワートレーンの属性に０．８が、ＡＤＡＳの属性に０．１が、ボディ属性に０．１が、格納されており３つのドメイン属性をもつことを表している。格納される値はドメイン属性の比率を表しており、値が大きいほどそのドメイン属性に関連した通信が発生することを示す。

　図２５は、図１７のＩＰアドレスのドメイン属性設定に関する処理フローを、ＩＰアドレスのドメイン属性を１つ選択するのではなく、ドメイン属性を複数もち得るとして、ＩＰアドレスのドメイン属性を設定する処理フローを示す。なお、実施の形態１と同一の処理ステップに関しては同一の番号を付与し、その説明を省略する。

　（Ｓ１１０４）ステップＳ５０３でＹｅｓと判定された場合、ＥＣＵ属性設定部４０５は、ステップＳ５０１で抽出したドメイン属性の出現回数を、ステップＳ５０１の通信先のＩＰアドレスのドメイン属性の総出現回数で割ることで、ドメイン属性の出現割合を算出し、ＥＣＵ属性記憶部４０６に対して、ステップＳ５０１で抽出したドメイン属性を算出したドメイン属性の出現割合を設定する。

　（Ｓ１１０７）ステップＳ５０６でＮｏと判定された場合、ＥＣＵ属性設定部４０５は、ステップＳ５０２で抽出したドメイン属性の出現回数を、ステップＳ５０２の属性設定フラグＯＮを除く通信先のＩＰアドレスのドメイン属性の総出現回数で割ることで、ドメイン属性の出現割合を算出し、ＥＣＵ属性記憶部４０６に対して、ステップＳ５０２で抽出したドメイン属性を算出したドメイン属性の出現割合を設定する。

　２３．　ＥＣＵ属性を用いた異常検知に関するフローチャートの一例
　図２６は、図１８のステップＳ６０３に関する処理フローについて、ＩＰアドレスが複数のドメイン属性をもつ場合の処理フローに変更した一例を示す。

　（Ｓ１２０１）異常検知部４０２は、受信したフレームに含まれる送信元ＩＰアドレス及び宛先ＩＰアドレスを取得し、ＥＣＵ属性記憶部４０６を参照して、取得したＩＰアドレスのＥＣＵ属性をそれぞれ取得する。

　（Ｓ１２０２）異常検知部４０２は、取得したＩＰアドレスのＥＣＵ属性のそれぞれの値を参照し、送信元ＩＰアドレスのＥＣＵの役割属性及びドメイン属性について、それぞれ最大の値が格納されている属性と、宛先ＩＰアドレスのＥＣＵの役割属性及びドメイン属性について、それぞれ最大の値が格納されている属性とを抽出し、送信元ＩＰアドレス及び宛先ＩＰアドレスのＥＣＵ属性の組合せを作成する。

　例えば、図２４において、送信元ＩＰアドレスのＥＣＵが車速検知ＥＣＵの場合は、ＥＣＵの役割属性は最大の値１がセンサであり、ＥＣＵのドメイン属性は最大の値０．７がパワートレーンであるので、送信元ＩＰアドレスのＥＣＵの役割属性としてセンサ、ＥＣＵのドメイン属性としてパワートレーンが抽出される。

　また図２４において、宛先ＩＰアドレスのＥＣＵがブレーキ制御ＥＣＵの場合は、宛先ＩＰアドレスのＥＣＵのＥＣＵ役割属性としてブレイン、ＥＣＵのドメイン属性としてパワートレーンが抽出される。

　（Ｓ１２０３）異常検知部４０２は、抽出したＥＣＵ属性の組合せについて、異常検知ルール記憶部４０７に格納される異常検知ルールを用いて、異常な通信であるか否かを判定する。抽出したＥＣＵ属性の組合せが異常であると判定した場合（Ｓ１２０３でＹｅｓ）、異常検知部４０２は、ステップＳ１２０４の処理を実行する。抽出したＥＣＵ属性の組合せが正常であると判定した場合（Ｓ１２０３でＮｏ）、異常検知部４０２は、ステップＳ１２１２の処理を実行する。

　（Ｓ１２０４）異常検知部４０２は、送信元ＩＰアドレス及び宛先ＩＰアドレスの少なくとも一方が複数のドメイン属性を持つか否かを判定する。送信元ＩＰアドレスと宛先ＩＰアドレスのどちらも複数のドメイン属性を持たない場合（Ｓ１２０４でＮｏ）、異常検知部４０２は、Ｓ１２０５の処理を実行する。送信元ＩＰアドレス及び宛先ＩＰアドレスのいずれかのＩＰアドレスが複数のドメイン属性を持つ場合（Ｓ１２０４でＹｅｓ）、異常検知部４０２は、ステップＳ１２０６の処理を実行する。

　（Ｓ１２０５）異常検知部４０２は、受信したフレームは異常であると判断し、ユーザインタフェースＥＣＵ３００に対してアラートを表示するようにフレームを送信する。

　（Ｓ１２０６）異常検知部４０２は、ステップＳ１２０２で作成したＥＣＵ属性の組み合わせ以外で、ＥＣＵ属性の組み合わせを作成する。

　例えば、図２４において、送信元ＩＰアドレスのＥＣＵが車速検知ＥＣＵの場合は、送信元ＩＰアドレスのＥＣＵの役割属性とＥＣＵのドメイン属性の組み合わせは、センサ及びパワートレーンと、センサ及びＡＤＡＳと、センサ及びボディと、の３通りである。

　また図２４において、宛先ＩＰアドレスのＥＣＵがブレーキ制御ＥＣＵの場合は、宛先ＩＰアドレスのＥＣＵの役割属性とＥＣＵのドメイン属性の組み合わせは、ブレイン及びパワートレーンと、ブレイン及びＡＤＡＳと、の２通りである。

　従って、送信元ＩＰアドレス及び宛先ＩＰアドレスのＥＣＵ属性の組合せは６通りあり、ステップＳ１２０２で抽出したＥＣＵ属性の組合せを除く５通りの組み合わせを異常検知部４０２はリストとして抽出する。

　（Ｓ１２０７）異常検知部４０２は、抽出したＥＣＵ属性の組み合わせのリストから１つの組み合わせを選択する。

　（Ｓ１２０８）異常検知部４０２は、ステップＳ１２０７で選択したＥＣＵ属性の組合せに関して、異常検知ルール記憶部４０７に格納される検知ルールから、異常な通信であるか否かを判定する。異常であると判定された場合（Ｓ１２０８でＹｅｓ）、ステップＳ１２０９を実行する。正常であると判定された場合（Ｓ１２０８でＮｏ）、Ｓ１２１０を実行する。

　（Ｓ１２０９）異常検知部４０２は、抽出したリストのＥＣＵ属性の組み合わせを全て選択したか否かを判定する。抽出したリストのＥＣＵ属性の組み合わせを全て選択した場合（Ｓ１２０９でＹｅｓ）、異常検知部４０２は、ステップＳ１２０５の処理を実行し、抽出したリストのＥＣＵ属性の組み合わせを全て選択していない場合（Ｓ１２０９でＮｏ）、異常検知部４０２は、ステップＳ１２０７の処理を実行する。

　（Ｓ１２１０）異常検知部４０２は、通信ログ記憶部４０４を参照して、タイムスタンプの値が大きい順つまり新しく通信ログが記録された順に、所定数分の通信ログを取得し、ステップＳ１２０１で取得した送信元ＩＰアドレスが、過去にどのＩＰアドレスに対してどのくらいの頻度で送信を行ったのか計算する。さらに、宛先ＩＰアドレスのＥＣＵ属性を重みとし、宛先ＩＰアドレスの総出現数を重みの総和とした加重平均を計算する。さらに、得られた加重平均と、送信元ＩＰアドレスのＥＣＵ属性から、ドメイン属性の要素ごとに値の差の絶対値を計算する。

　例えば、ステップＳ１２０１の送信元ＩＰアドレスが１９２．１６８．１．１であり、通信ログ記憶部４０４より１９２．１６８．１．１から１９２．１６８．１．２へのデータ送信が８回、１９２．１６８．１．１から１９２．１６８．１．１１へのデータ送信が２回で記憶されているとき、宛先ＥＣＵのＥＣＵ属性の加重平均は、データ送信の回数を重みとし、１９２．１６８．１．２のＥＣＵ属性を０．８倍した値と１９２．１６８．１．１１のＥＣＵ属性を０．２倍した値の和より算出できる。つまり図２４にあてはめると、１９２．１６８．１．１の宛先ＥＣＵのドメイン属性の加重平均は、コネクティビティ（０）、パワートレーン（０．５８）、ＡＤＡＳ（０．１６）、ボディ（０．２６）、インフォテイメント（０）となる。ここで１９２．１６８．１．１のＥＣＵ属性はコネクティビティ（０）、パワートレーン（０．８）、ＡＤＡＳ（０．１）、ボディ（０．１）、インフォテイメント（０）であることから、ドメイン属性の要素ごとの差の絶対値は、コネクティビティ（０）、パワートレーン（０．２２）、ＡＤＡＳ（０．０６）、ボディ（０．１６）、インフォテイメント（０）となる。

　（Ｓ１２１１）異常検知部４０２は、ステップＳ１２０７で選択した組合せの宛先ＥＣＵのドメイン属性に対応する、ステップＳ１２１０で計算したドメイン属性の絶対値を参照し、閾値以内か否かを判定する。算出した絶対値が閾値以内の場合（Ｓ１２１１でＹｅｓ）、異常検知部４０２は、ステップＳ１２１２の処理を実行する。算出した絶対値が閾値を超える場合（Ｓ１２１１でＮｏ）、異常検知部４０２は、ステップＳ１２０９の処理を実行する。

　（Ｓ１２１２）異常検知部４０２は、受信したフレームは正常であると判断する。

　（実施の形態１の変形例３の効果）
　実施の形態１の変形例３で示した車載ネットワークシステムにおける異常検知方法は、ＥＣＵが複数のドメイン属性を持ち、フレームの通信を行う場合に、複数の通信パターンを想定して異常検知のルールを適用できる。これにより、ＥＣＵに別のドメイン属性が、ＯＴＡで後から追加された場合でも、異常検知ＥＣＵはＥＣＵが複数のドメイン属性を持つことを考慮して、異常の判定をすることが可能になる。

　２４．その他変形例
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態では、車載ネットワークとしてＥｔｈｅｒｎｅｔ、ＣＡＮプロトコルを用いていたが、これに限るものではない。例えば、ＣＡＮ－ＦＤ（ＣＡＮ　ｗｉｔｈ　Ｆｒｅｘｉｂｌｅ　Ｄａｔａ　Ｒａｔｅ）、ＬＩＮ（Ｌｏｃａｌ　Ｉｎｔｅｒｃｏｎｎｅｃｔ　Ｎｅｔｗｏｒｋ）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）などを用いてもよい。あるいはこれらのネットワークをサブネットワークとして、組み合わせたネットワーク構成であってもよい。

　（２）上記の実施の形態では、センサ／ブレイン／アクチュエータの３つのＥＣＵの役割属性を、クライアント通信とサーバ通信の比率と、Ｒｅｑｕｅｓｔメッセージを受信した際にＲｅｓｐｏｎｓｅメッセージを必ず返すかによって定義し、どの役割属性にあてはまるかＥＣＵごとにラベル付けを行っていたが、これに限るものではない。例えば、クライアント通信とサーバ通信の比率ではなく、Ｎｏｔｉｆｉｃａｔｉｏｎ、Ｒｅｑｕｅｓｔ、及び、Ｒｅｓｐｏｎｓｅの３つのメッセージタイプを用いて、送信するメッセージタイプの割合から複数のラベルが定義されてもよい。

　（３）上記の実施の形態では、センサ／ブレイン／アクチュエータの３つのＥＣＵの役割属性が、ＳＯＭＥ／ＩＰ通信のメッセージタイプに基づくクライアント通信及びサーバ通信の比率に基づいて決定されているが、これに限るものではない。ＳＯＭＥ／ＩＰ－ＳＤのメッセージを参照して、Ｏｆｆｅｒのメッセージを送信しているか、Ｓｕｂｓｃｒｉｂｅのメッセージを送信しているか、などからクライアント通信とサーバ通信の比率を計算してもよい。

　（４）上記の実施の形態では、パワートレーン／インフォテイメント／ボディ／ＡＤＡＳ／コネクティビティの５つのＥＣＵのドメイン属性を定義して、ＥＣＵごとにラベル付けが行われるが、これに限るものではない。ＡＤＡＳの属性の中で、完全に自律走行する際に通信が発生するＥＣＵと、操縦者の運転のアシストを行う際に通信が発生するＥＣＵとの、２つに分けてドメイン属性が定義されてもよい。

　（５）上記の実施の形態では、１つの通信フレームから、送信元ＩＰアドレスのＥＣＵの属性と宛先ＩＰアドレスのＥＣＵの属性との組み合せ等をみて、異常検知ＥＣＵ４００は、異常な通信フレームであるか否かの判定を行っているが、複数の通信フレームから異常な通信が発生しているか判定してもよい。例えば、一定の時間間隔で発生した通信フレームを監視し、通信を行っているＥＣＵ属性の出現割合を計算して、ＥＣＵ属性の出現割合が急激に変化した場合は、異常検知ＥＣＵは異常と判定してもよい。この異常検知方法により、自動車が自動走行中に外部ネットワークからＤｏＳ攻撃を受けた際など、パワートレーンとＡＤＡＳの属性をもつＥＣＵの通信割合が急激に減り、コネクティビティの属性をもつＥＣＵの通信割合が急激に増えるなど時系列変化が確認できるため、車載ネットワークに異常が発生していることが検知でき、セキュリティが頑強になる。

　（６）上記の実施の形態では、１つの通信フレームから、送信元ＩＰアドレスのＥＣＵの属性と宛先ＩＰアドレスのＥＣＵの属性との組み合せ等をみて、異常検知ＥＣＵ４００は、異常な通信フレームであるか否かの判定を行っているが、属性の組み合せごとに通信先ＩＰアドレスのＥＣＵの属性の割合を記憶して、記憶した割合と大きく異なる通信が検知されたら異常と判定してもよい。例えば、ＥＣＵの属性がセンサとボディをもつ場合は、ブレインとボディの属性をもつＥＣＵとブレインとパワートレーンの属性をもつＥＣＵの２種類と通信することが正常と記憶するのではなく、ブレインとボディの属性をもつＥＣＵと９割のフレームが発生し、ブレインとパワートレーンの属性をもつＥＣＵと残り１割のフレームが発生すると記憶することで、ある時間幅で複数のフレームを監視したときに、センサとボディの属性をもつＥＣＵからブレインとパワートレーンの属性をもつＥＣＵにのみフレームを送信していた場合は、異常検知ＥＣＵは異常と判断することができ、セキュリティが頑強になる。

　（７）上記の実施の形態では、ＩＰアドレスとＥＣＵの属性情報を紐づけして記憶し、異常検知に利用しているが、別の識別情報で属性情報を紐づけして記憶してもよい。例えば、ＥＣＵのＭＡＣアドレスと対応する情報をフレームに含むようにして、ＭＡＣアドレス単位で属性情報のラベリングを行ってもよい。

　（８）上記の実施の形態では、ＥＣＵの役割属性とドメイン属性を定義して、１つの通信フレームから、送信元ＩＰアドレスのＥＣＵの属性と宛先ＩＰアドレスのＥＣＵの属性の組合せ等をみて、異常な通信フレームであるか判定を行っているが、役割属性のみを定義してラベリング、もしくはドメイン属性のみを定義してラベリングをして、異常検知を行ってもよい。例えば、ＥＣＵごとにセンサ／ブレイン／アクチュエータの３つのＥＣＵの役割属性を定義して、送信元ＩＰアドレスのＥＣＵの属性と宛先ＥＣＵの属性の組合せで、どの組合せが正常か定義してもよい。属性が複数になるなど複雑化することで、異常検知の計算コストが大きくなるため、状況に応じて簡単な属性の組合せで判定するか切り替えてもよい。

　（９）上記の実施の形態では、車載ネットワークに変化が生じるフレームを検知して、ＥＣＵの属性を再度設定するとしたが、フレームを検知すること以外から、ＥＣＵの属性を再度設定してもよい。例えば、操縦者が能動的に再設定可能なボタン等の入力インタフェースを用意して、いつでも再設定できるようにしてもよい。または車載システムに搭載されるＧＰＳ機能から位置情報を取得し、Ｖ２Ｘ機能を活用できる地域から、活用できない地域に移動するなどを検知して、ＥＣＵ属性の再設定をしてもよい。

　（１０）上記の実施の形態では、属性の再設定に伴い、ＥＣＵの属性情報を上書きして記憶する例を示したが、上書きせずにＥＣＵごとに複数の属性情報を設定した時間と紐づけして記憶してもよい。再設定したＥＣＵの属性情報は十分なデータがない影響で誤検知が発生することが考えられるが、再設定前の属性情報を用いて異常検知を行うことで、異常検知の結果が正しいか判定する指標にできる。

　（１１）上記の実施の形態では、セントラルＥＣＵが送受信するフレームを、異常検知ＥＣＵに転送して異常検知を行う例を示したが、これに限るものではない。セントラルＥＣＵにＥＣＵの属性を用いた異常検知機能を組み込んでもよいし、車載ネットワークを一定の単位で区切って、複数設置してもよい。

　（１２）上記の実施の形態では、異常検知ＥＣＵが異常なフレームを検知したとき、ユーザインタフェースＥＣＵ３００にアラートを通知するフレームを送信するとしたが、ＴＣＵ１００を介して、セキュリティ監視者が管理する車外のＯＴＡサーバ３０にアラートを通知してもよいし、異常検知に関するログを通知してもよい。

　図２７に車外のＯＴＡサーバに通知する異常検知に関するログの一例を示す。図２７では、異常検知ログのシリアルＩＤであるログＩＤが１０００１であり、異常の種類を伝える異常コードが０ｘ０１（ＥＣＵ属性間の通信ルール違反）であることが示されている。また検知内容については、送信元ＥＣＵのＥＣＵ属性がセンサ及びＡＤＡＳであり、宛先ＥＣＵのＥＣＵ属性がアクチュエータ及びボディであり、異常なＥＣＵ属性の組み合せを検知したことを示している。また、送信元ＥＣＵ及び宛先ＥＣＵに関するＩＰアドレスとＥＣＵ属性が示されている。また、異常を検知したフレームに関するタイムスタンプと、メッセージサイズと、オリジナルパケットを含むこととが示されている。

　また、ＯＴＡサーバに通知された異常検知に関するログを分析しやすくするため、異常検知結果をＯＴＡサーバに接続されたグラフィカルユーザインタフェース上に表示してもよい。図２８に、異常検知結果をグラフィカルユーザインタフェース上に表示した一例を示す。図２８は、車両ＩＤが１０１の車両において、カメラＥＣＵから電気錠開閉ＥＣＵへの異常な通信が発生し、車両の異常検知部が異常通信を検知してＯＴＡサーバに検知結果が送信されたことを示している。ここで車両ＩＤとは、どの車両からデータが送られているか識別する番号であり、ＴＣＵから送信されるデータに含まれる車両固有の情報を利用して、ＯＴＡサーバ側で設定される。表示結果は３つの要素で構成されている。画面上部は、車載ネットワークのどの通信経路に異常が検知されたか太線の矢印で強調表示しており、送信元となったカメラＥＣＵが異常検知ルールより接続しうる通信経路は細線で、接続し得ない通信経路は点線で繋がっている。画面中央部では、異常検知結果の詳細を表示しており、図２７のような異常検知ログを可視化している。異常と判断した根拠を示すため、異常コードの内容に応じて、図の一部を太線にする、または、文字を太字にするなど強調表示する。図２８では、ＥＣＵ属性間の通信ルール違反であるため、ＥＣＵ属性が強調表示されている。画面下部では、車両ＩＤが１０１の車両から受信した異常検知ログを、表の形式でまとめて表示している。表の１行目に異常検知ログの要素が含まれており、２行目以降に異常検知ログの値が含まれている。

　（１３）上記実施の形態における各装置を構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしても良い。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等を含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又は全部を含むように１チップ化されても良い。また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現しても良い。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。

　（１４）上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されているとしても良い。ＩＣカード又はモジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭ等から構成されるコンピュータシステムである。ＩＣカード又はモジュールは、上記の超多機能ＬＳＩを含むとしても良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ＩＣカード又はモジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有するとしてもよい。

　（１５）本開示の一態様としては、異常検知の方法をコンピュータにより実現するプログラム（コンピュータプログラム）であるとしても良いし、コンピュータプログラムからなるデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラム又はデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕｅ―ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリ等に記録したものとしても良い。また、これらの記録媒体に記録されているデジタル信号であるとしても良い。また、本開示の一態様としては、コンピュータプログラム又はデジタル信号を、電気通信回線、無線又は有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様としては、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしても良い。また、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（１６）上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。

　本開示により、車載ネットワークシステムにおいて、システム更新や機能の追加及び変更による車載ネットワークの変化に応じて、異常な通信の検知が可能となり、車両の安全性を向上できる。

　１、２　ＣＡＮ
　１０　車両
　２０　外部ネットワーク
　３０　ＯＴＡサーバ
　１００　ＴＣＵ
　１０１　外部通信部
　１０２　変換部
　１０３　内部通信部
　２００　セントラルＥＣＵ
　２０１　通信部
　２０２　ホストＯＳ部
　２０３　ゲストＯＳ部
　３００　ユーザインタフェースＥＣＵ
　３０１、４０１、６０１　通信部
　３０２、６０３　外部機器接続部
　４００　異常検知ＥＣＵ
　４０２　異常検知部
　４０３　通信ログ生成部
　４０４　通信ログ記憶部
　４０５　ＥＣＵ属性設定部
　４０６　ＥＣＵ属性記憶部
　４０７　異常検知ルール記憶部
　５００ａ、５００ｂ　ゾーンＥＣＵ
　５０１、６０２　ホスト部
　５０２　通信部
　６００ａ　ブレーキ制御ＥＣＵ
　６００ｂ　車速検知ＥＣＵ
　６００ｃ　電気錠制御ＥＣＵ
　６００ｄ　電気錠開閉ＥＣＵ
　６００ｅ　カメラＥＣＵ

Claims

　２以上の電子制御ユニットと、１以上のネットワークと、によって構成される車載ネットワークシステムにおける異常を検知する異常検知装置であって、
　前記２以上の電子制御ユニットそれぞれに設定された電子制御ユニットが有する属性を記憶しているＥＣＵ属性記憶部と、
　前記１以上のネットワーク上のメッセージを送受信する通信部と、
　前記ＥＣＵ属性記憶部に記憶されている前記属性のうち、前記メッセージの送信元または宛先の電子制御ユニットが有する前記属性を用いて、異常な通信を検知する異常検知部と、を有し、
　前記ＥＣＵ属性記憶部に記憶されている前記属性は、当該属性を有する前記電子制御ユニットの機能、または、当該属性を有する前記電子制御ユニットが扱う情報の種類を示す
　異常検知装置。
　前記ＥＣＵ属性記憶部に記憶されている前記属性は、前記車載ネットワークシステムにおいて動作する電子制御ユニットの機能を示し、
　電子制御ユニットが車内外の情報をセンシングする機能を備えることを示すセンサ属性と、
　電子制御ユニットがセンシングされた情報を処理し制御指示を行う機能を備えることを示すブレイン属性と、
　電子制御ユニットが制御指示に従い制御を行う機能を備えることを示すアクチュエータ属性と、のいずれか１つを含む
　請求項１に記載の異常検知装置。
　前記ＥＣＵ属性記憶部に記憶されている前記属性は、前記車載ネットワークシステムにおいて電子制御ユニットが扱う情報の種類を示し、
　車両の走行に関する制御情報を扱うことを示すパワートレーン属性と、
　操縦者への車両の状態通知に関する情報を扱うことを示すインフォテイメント属性と、
　車両のボディ系の制御情報を扱うことを示すボディ属性と、
　操縦者の車両操作を支援または代替する先進運転支援機能に関する情報を扱うことを示すＡＤＡＳ属性と、
　前記１以上のネットワーク外から取得した情報を扱うことを示すコネクティビティ属性と、のいずれか１つを含む
　請求項１に記載の異常検知装置。
　前記異常検知部は、前記メッセージの送信元の電子制御ユニットの前記属性と、前記メッセージの宛先の電子制御ユニットの前記属性と、の組み合せに基づいて、前記通信部が受信したメッセージが異常か否かを判定する
　請求項１に記載の異常検知装置。
　前記異常検知部は、前記メッセージの送信元の電子制御ユニットの前記属性または前記メッセージの宛先の電子制御ユニットの前記属性と、前記通信部から受信したメッセージに含まれる情報と、の関係性に基づいて、前記通信部が受信したメッセージが異常か否かを判定する
　請求項１に記載の異常検知装置。
　前記車載ネットワークシステムは、サービス指向型通信によりメッセージの授受を行い、
　前記通信部から受信したメッセージに含まれる情報は、ＳＯＭＥ／ＩＰ通信のメッセージフォーマットに格納される情報である
　請求項５に記載の異常検知装置。
　さらに、
　前記通信部が受信したメッセージを記憶する通信ログ記憶部を、備え、
　前記異常検知部は、
　　前記通信ログ記憶部に記憶されているメッセージと前記ＥＣＵ属性記憶部とを参照して、メッセージの授受が発生している送信元及び宛先の電子制御ユニットの前記属性の組み合わせを示す関係性を特定し、
　　新たに受信したメッセージについて、前記関係性において前記メッセージの授受が発生している組み合わせの属性を有する電子制御ユニット間のメッセージを正常と判定し、前記関係性において前記メッセージの授受が発生していない組み合わせの属性を有する電子制御ユニット間のメッセージを異常と判定する
　請求項４に記載の異常検知装置。
　前記車載ネットワークシステムは、サービス指向型通信によりメッセージの授受を行い、
　前記異常検知装置は、さらに、
　前記通信部が受信したメッセージを記憶する通信ログ記憶部と、
　前記ＥＣＵ属性記憶部に格納される電子制御ユニットの前記属性を設定するＥＣＵ属性設定部と、を備え、
　前記ＥＣＵ属性設定部は、前記通信ログ記憶部に記憶されているメッセージを参照して、前記メッセージに含まれるメッセージタイプから、電子制御ユニットがサーバ側かクライアント側かを判定し、サーバ通信とクライアント通信との割合によって、当該電子制御ユニットの前記属性の決定を行う
　請求項２または３に記載の異常検知装置。
　前記異常検知装置は、さらに、
　前記通信部が受信したメッセージを記憶する通信ログ記憶部と、
　前記通信ログ記憶部に記憶されているメッセージを参照して、前記ＥＣＵ属性記憶部に記憶されている電子制御ユニットの属性を設定するＥＣＵ属性設定部と、を備え、
　前記ＥＣＵ属性設定部は、前記通信ログ記憶部に記憶されているメッセージと前記ＥＣＵ属性記憶部とを参照して、第一の電子制御ユニットが通信する電子制御ユニットの前記属性の出現頻度に応じて、前記第一の電子制御ユニットの前記属性の決定を行う
　請求項２または３に記載の異常検知装置。
　前記ＥＣＵ属性設定部は、前記電子制御ユニットの属性を決定してから所定時間経過している、または、前記１以上のネットワークの通信傾向に変化が生じるメッセージを前記通信部が受信している、の条件を満たす場合は、前記電子制御ユニットの属性の前記決定を行う
　請求項８に記載の異常検知装置。
　前記１以上のネットワークの通信傾向に変化が生じるメッセージは、前記車載ネットワークシステムとは異なる、ネットワークまたはサーバからデータを取得してインストールする際に発生するメッセージ、または、前記車載ネットワークシステムの機能設定の変更、削除、または、更新において発生するメッセージである
　請求項１０に記載の異常検知装置。
　前記異常検知部は、
　　前記通信ログ記憶部に格納されるメッセージから、第一の電子制御ユニットが通信する電子制御ユニットの前記属性の出現頻度を計算し、
　　前記ＥＣＵ属性記憶部に格納される前記第一の電子制御ユニットの前記属性の出現頻度を参照して、一定の基準を超えて外れている場合は、前記第一の電子制御ユニットの通信は異常と判断する
　請求項９に記載の異常検知装置。
　２以上の電子制御ユニットと、１以上のネットワークと、によって構成される車載ネットワークシステムにおける異常を検知する異常検知方法であって、
　前記１以上のネットワーク上のメッセージを送受信し、
　前記２以上の電子制御ユニットそれぞれに設定された電子制御ユニットが有する属性のうち、前記メッセージの送信元または宛先の電子制御ユニットが有する前記属性を用いて、異常な通信を検知し、
　前記属性は、当該属性を有する前記電子制御ユニットの機能、または、当該属性を有する前記電子制御ユニットが扱う情報の種類を示す
　異常検知方法。