図面 (/)

この項目の情報は公開日時点(2020年10月29日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (7)

課題・解決手段

車内通信ネットワークセキュリティを提供するためのモジュールであって、車内通信ネットワークはバスと、バスに接続されている少なくとも1つのノードとを有しており、モジュールはメモリプロセッサとを包含しており、メモリは、車内通信ネットワークの一部を介したデータ通信予期される行動モデルを包含しており、プロセッサは、メモリ内ソフトウェアに応じて、車内通信ネットワークの一部から登録された複数のメッセージを処理して、モデルと、複数のメッセージの属性を包含しているコンテクストとに基づいて、メッセージのうちの少なくとも1つがモデルに従っているか否かを判断し、さらに、少なくとも1つのメッセージがモデルに従っていない場合には、メッセージに対して少なくとも1つのアクションを実行する。

概要

背景

概要

車内通信ネットワークセキュリティを提供するためのモジュールであって、車内通信ネットワークはバスと、バスに接続されている少なくとも1つのノードとを有しており、モジュールはメモリプロセッサとを包含しており、メモリは、車内通信ネットワークの一部を介したデータ通信予期される行動モデルを包含しており、プロセッサは、メモリ内ソフトウェアに応じて、車内通信ネットワークの一部から登録された複数のメッセージを処理して、モデルと、複数のメッセージの属性を包含しているコンテクストとに基づいて、メッセージのうちの少なくとも1つがモデルに従っているか否かを判断し、さらに、少なくとも1つのメッセージがモデルに従っていない場合には、メッセージに対して少なくとも1つのアクションを実行する。

目的

典型的に、車両用電子制御システムは、車両機能を制御することを目的とする

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

車内通信ネットワークセキュリティを提供するためのモジュールであって、前記車内通信ネットワークはバスと、前記バスに接続されている少なくとも1つのノードとを有しており、前記モジュールはメモリプロセッサとを含んでおり、前記メモリは、実行可能な指示を含んでいるソフトウェアと、前記車内通信ネットワークの少なくとも一部から登録された複数のメッセージ属性を含んでいる車両コンテクストと、前記車内通信ネットワークを介したデータ通信予期される行動モデルとを含んでおり、前記プロセッサは、前記メモリ内の前記ソフトウェアに応じて、前記車内通信ネットワークから登録されたメッセージを処理して、前記モデルおよび前記車両コンテクストに基づいて、前記登録されたメッセージが前記モデルに従っているか否かを判断し、さらに、前記登録されたメッセージが前記モデルに従っていない場合には、前記登録されたメッセージに対して少なくとも1つのアクションを実行する車内通信ネットワークにセキュリティを提供するためのモジュール。

請求項2

前記複数のメッセージの前記属性は、車両の操作者の行動を特徴付ける1つまたは複数の属性を含んでいる、請求項1記載のモジュール。

請求項3

前記モデルは少なくとも1つの分類子によって定義され、前記車両コンテクストは、前記登録されたメッセージ以外の1つまたは複数のメッセージを特徴付ける1つまたは複数のメッセージ属性を含む少なくとも1つのフィーチャベクトルによって定義される、請求項1または2記載のモジュール。

請求項4

前記モデルは複数の分類子によって定義され、前記プロセッサは、前記メモリ内の前記ソフトウェアに応じて、前記登録されたメッセージを処理して、前記登録されたメッセージを特徴付ける少なくとも1つの属性に応じて、前記複数の分類子から分類子を選択し、前記少なくとも1つのフィーチャベクトルに照らして選択された前記分類子に応じて、前記登録されたメッセージが有効である、または無効であると判断し、さらに、前記登録されたメッセージが無効であるという前記判断に応じて、前記登録されたメッセージに対して少なくとも1つのアクションを実行する、請求項3記載のモジュール。

請求項5

前記少なくとも1つのフィーチャベクトルの各フィーチャベクトルは、前記複数の分類子のうちの1つの分類子への入力として指定される、請求項4記載のモジュール。

請求項6

前記少なくとも1つのフィーチャベクトルは、前記車両の操作者または前記操作者の一部の位置および/または動きを特徴付ける1つまたは複数のメッセージ属性を含んでいるので、前記登録されたメッセージが有効であることは、前記車両の操作者または前記操作者の少なくとも一部の位置および/または動きを特徴付ける前記少なくとも1つのメッセージフィーチャに応じて判断される、請求項4記載のモジュール。

請求項7

位置および/または動きを特徴付ける前記1つまたは複数のメッセージ属性は、運転者アクショントランスデューサまたはジェスチャ認識システムによって作成されたメッセージを特徴付ける、請求項5記載のモジュール。

請求項8

前記ジェスチャ認識システムは、前記車両の動作中に前記操作者を監視するように構成されている撮像ステムである、請求項4から7までのいずれか1項記載のモジュール。

請求項9

前記登録されたメッセージを特徴付ける前記少なくとも1つの属性は、前記登録されたメッセージのメッセージIDを含んでおり、選択された前記分類子は、前記登録されたメッセージの所与のメッセージIDに応じて選択される、請求項4から8までのいずれか1項記載のモジュール。

請求項10

前記登録されたメッセージを特徴付ける前記少なくとも1つの属性は、前記登録されたメッセージと、前記所与のメッセージIDと同じメッセージIDを有している直近の以前のメッセージとの間の時間間隔における所定の閾値を超える変化、および前記登録されたメッセージと、前記所与のメッセージIDと同じメッセージIDを有している直近の以前のメッセージとの間の制御信号の値における所定の閾値を超える変化のいずれかまたは両方を含んでいる、請求項9記載のモジュール。

請求項11

前記分類子の出力は、前記所与のメッセージIDによって特徴付けられたメッセージが、前記フィーチャベクトルに照らして有効であるか否かを含んでいる、請求項9記載のモジュール。

請求項12

前記分類子は、所与の前記フィーチャベクトルで、メッセージに含まれている信号値における変化が予期されるか否かの出力を提供するように構成されており、前記登録されたメッセージに含まれている対応する前記信号値におけるその変化または欠如が前記分類子の前記出力と一致している場合には、前記メッセージは有効であるとみなされ、かつ前記登録されたメッセージに含まれている対応する前記信号値におけるその変化または欠如が前記分類子の前記出力と一致しない場合には、前記メッセージは無効であるとみなされる、請求項4から11までのいずれか1項記載のモジュール。

請求項13

前記登録されたメッセージを特徴付ける対応する属性の値と一致するように、前記少なくとも1つのフィーチャベクトルに含まれている少なくとも1つのメッセージ属性を更新するように、前記プロセッサは動作可能である、請求項4から12までのいずれか1項記載のモジュール。

請求項14

前記登録されたメッセージが有効であると判断されたことに応じて、前記少なくとも1つのフィーチャベクトルを更新するように、前記プロセッサは動作可能である、請求項13記載のモジュール。

請求項15

前記少なくとも1つのフィーチャベクトルに含まれているすべてのメッセージフィーチャの最新の値を任意の所与の時間で含むグローバルフィーチャベクトルを維持するように、前記登録されたメッセージを特徴付ける対応するメッセージフィーチャの値と一致するように、前記グローバルフィーチャベクトルに含まれている少なくとも1つのメッセージフィーチャを更新するように、かつ前記グローバルフィーチャベクトルに含まれている対応するメッセージフィーチャの値と一致するように、前記少なくとも1つのフィーチャベクトルに含まれている少なくとも1つのメッセージフィーチャを更新するように、前記プロセッサは動作可能である、請求項14記載のモジュール。

請求項16

前記メッセージに対する前記少なくとも1つのアクションは、前記登録されたメッセージを無力化することを含んでいる、請求項1から15までのいずれか1項記載のモジュール。

請求項17

セキュリティ警戒強化するために、さらに前記車両の操作者からの指示の受け取りに応じて、前記登録されたメッセージを無力化するように、前記プロセッサは動作可能である、請求項16記載のモジュール。

請求項18

前記登録されたメッセージが前記モデルに従っていないと判断されたことに応じて、メッセージの衝突の存在を前記操作者に警告し、セキュリティ警戒を強化するための指示を提供するように前記操作者を促すように、前記車両に含まれているヒューマンマシンインターフェースに指示するように、前記プロセッサは動作可能である、請求項17記載のモジュール。

請求項19

前記モジュールは、前記車両の車内通信ネットワークの一部に接続されるように構成されているネットワークインターフェースを含んでいるハードウェアモジュールである、請求項1から18までのいずれか1項記載のモジュール。

請求項20

前記モジュールは、前記車内通信ネットワークの前記少なくとも1つのノードのソフトウェアと統合されているソフトウェアモジュールである、請求項1から19までのいずれか1項記載のモジュール。

技術分野

0001

関連出願
本出願は、2017年8月14日に出願された米国出願15/675,829の米国特許法第120条に基づく利益を主張し、その開示は参照により本明細書に組み込まれている。

0002

背景
過去半世紀にわたって、自動車産業は、はじめはゆっくりと、そしてその後急速に、車両の機能を制御する機械的な制御システムから、機能を制御する電子的な「ドライブバイワイヤ」制御システムに進化してきた。機械的な車両制御システムでは、車両の運転者は、車両の機能を制御する、車両のコンポーネントを制御する。この制御は、機械的なリンクを介して運転者をこれらのコンポーネントに直接的に結合する機械的なシステムを操作することによって行われる。ドライブ・バイ・ワイヤ車両制御システムでは、運転者は、直接的な機械的リンクではなく、電子制御システムおよび電子ワイヤおよび/または無線通信チャネルによって車両機能を制御する車両制御コンポーネントに、直接的にかつ/または極めて頻繁に間接的に、結合されていてよい。運転者は、通信チャネルおよび電子制御システムに入力される電子信号を作成することによって、制御コンポーネントを制御する。

0003

典型的に、車両用電子制御システムは、車両機能を制御することを目的とする運転者アクションを受け取るための運転者インターフェースと、運転者アクションを電子的な運転者制御信号に変換する複数の運転者アクショントランスデューサDAT)とを含んでいる。DATの例には、電子アクセルペダル電子ブレーキペダル、電子ステアリングホイール、電子方向指示灯レバーおよびクルーズコントロールタン包含される。制御システムの電子制御ユニット(ECU)は運転者制御信号を受信し、これらの信号に応じて、所望の車両機能の実行に関与する1つまたは複数のアクチュエータを制御する電子制御信号(「ECU出力信号」)を作成する、かつ/または他のECUに情報を提供するように動作する。一般的に、車両用電子制御システムはさらに、車両機能に関連する信号(「センサ信号」)を作成する複数のセンサを含んでおり、ECUは、適切なECU出力信号を作成するためにこれの信号を受信および処理してよい。本明細書では、運転者制御信号、ECU出力信号およびセンサ信号を総称して「制御信号」または「信号」と称することがある。所与の車両制御システムのECUは、他の車両制御システムによって、かつ/または他の車両制御システム内のコンポーネントによって作成され得る、車両機能の性能に関連する制御信号を受信および処理してよい。センサ、アクチュエータおよび/または他の制御システムは、所与の制御システムの機能の実行において協働するために、相互におよび所与の制御システムのECUと、共有車内通信ネットワークを介して通信する。

0004

例として、アクセルペダルエンジンスロットルとの間の従来のケーブルに取って代わる、車両スロットル・バイ・ワイヤ制御システムは、DATとしての電子アクセルペダル、エンジン制御モジュール(ECM)とも称されるECUおよびエンジンへの気流を制御し、それによってエンジンが生成する電力を制御するアクチュエータとしての電子スロットルバルブを含んでいてよい。電子アクセルペダルは、運転者がペダルを踏み込む位置に応じて運転者制御信号を作成する。ECMは、電子アクセルペダルから運転者制御信号を受信し、さらに、車内通信ネットワークを介して、エンジンの安全で効率的な制御に関する情報を提供する、車両のさまざまなセンサ、アクチュエータおよび電子制御システムによって作成され得る他の信号を受信する。ECMは、運転者制御信号と他の信号とを処理して、スロットルバルブを制御するECM出力信号を作成する。車内ネットワークを介してECMに関連信号を提供し得るさまざまなセンサ、アクチュエータおよび電子制御システムには、空気流量センサ燃料噴射センサ、エンジン速度センサ車速センサブレーキ・バイ・ワイヤシステムに含まれているブレーキ力センサおよびその他のトラクションコントロールセンサおよびクルーズコントロールセンサが包含されるが、これらに限定されない。

0005

近年の車両の車内通信ネットワークは典型的に、車両の安全かつ効率的な動作に対する様々な重大度の、比較的多数の、かつ増加する数の電子制御システムの通信をサポートするために必要とされる。例えば、近年の車両には、相互に通信し、かつ車内ネットワークを介して車両の機能を監視および制御するセンサおよびアクチュエータと通信する70個以上の制御システムECUがあってよい。例として、ECUは、上記のエンジンスロットルに加えて、パワーステアリングトランスミッションアンチロックブレーキ(ABS)、エアバッグ展開、クルーズコントロール、パワーウィンドウライトヘッドライトブレーキライト、方向指示灯)、ドアおよびミラーの調整を制御するために使用されてよい。さらに、車内ネットワークは典型的に、オンボード診断(OBD)システムおよび通信ポート、さまざまな車両状態警告システム衝突回避システム聴覚および視覚情報およびエンターテイメントインフォテインメント)システムおよびオンボードカメラシステムによって取得した画像の処理をサポートする。車内ネットワークは一般的に、例として、モバイル通信ネットワーク、WiFiおよびBluetooth(R)通信、TPMS(タイヤプレッシャーモニタリングシステム)、V2X(車車間通信)、キーレスエントリーシステムインターネットおよびGPS(全地球測位システム)へのアクセスも提供する。

0006

車内通信ネットワークに接続されており、車内通信ネットワークを介して通信する車両コンポーネントの通信を構成、管理および制御するために、さまざまな通信プロトコルが開発されてきた。現在利用可能な一般的な車内ネットワーク通信プロトコルは、CAN(コントロールエリアネットワーク)、FlexRay、MOSTメディア指向システムトランスポート)、イーサネットおよびLIN(ローカル相互接続ネットワーク)である。プロトコルは、通信バスを定義し、さらに、通信バスに接続されている、一般的にノードと称されるECU、センサおよびアクチュエータが制御信号を相互に伝送するために如何にしてこのバスにアクセスし、このバスを使用するのかを定義してよい。

0007

制御信号は、車内ネットワークメッセージペイロードおよびその一部にパッケージされた車内ネットワークを介して伝播し得る。典型的に、所与の車両モデルの車内ネットワークでは、事前定義されたメッセージカテゴリのセットが使用される。所与のメッセージのカテゴリは、メッセージのヘッダーにおけるメッセージIDフィールドにおいて識別されてよい。メッセージカテゴリは、メッセージのペイロード内の複数のフィールドを定義し、これらのフィールド内の制御信号を識別する。典型的に、1つのメッセージは、そのペイロード内に複数の制御信号を含んでいる。典型的に、所与の車両モデルの車内ネットワークにおいて使用されるメッセージのメッセージIDは標準化されており、車内ネットワークのソフトウェアアップデートがない場合には、変更されないままであることが予期される。

0008

車内通信ネットワークがサポートする電子制御システム、センサ、アクチュエータ、ECU、通信インターフェースおよび通信ポートの多様性の増大によって、車内通信ネットワーク、および通信システムを介して通信する車両コンポーネントは、車両の安全性と性能とを危険にさらす可能性のあるサイバー攻撃に対してますます脆弱になっている。サイバー攻撃は、例えば、運転者アクションが、意図した車両機能を開始できない、または逆に望んでいない車両機能を開始してしまう原因になり得る。例として、サイバー攻撃は、運転者によるブレーキペダルの踏み込みに、ブレーキパッドまたはブレーキライトが反応しない原因になり得る。またはサイバー攻撃は、運転者または安全システムからの指示なしに、車がランダムブレーキ機能を実行する原因になり得る。

0009

概要
本開示の実施形態の一態様は、車内ネットワークを介して伝送されたメッセージが、車両のコンテクスト衝突するか否かを判断し、任意選択で、そのような場合に、このメッセージがブロックされるべきか、または車両の動作に影響を与えないようにされるべきかを判断するように動作する、車両の車内通信ネットワークにセキュリティを提供するための装置(以降で衝突解決ウォッチマン(CRW)とも称される)に関する。車両コンテクストと衝突すると判断されたメッセージは、無効なメッセージと称され、これが、衝突しないと判断された場合には、有効なメッセージと称されてよい。メッセージまたはメッセージの一部をブロックすること、さもなければ車両の動作に影響を与えないようにすることは、メッセージの無力化と称されてよい。

0010

ある実施形態において、CRWは、登録されたメッセージを特徴付ける少なくとも1つのメッセージ属性と車両コンテクストを特徴付ける1つまたは複数のフィーチャを含んでいる車両コンテクストベクトルとに基づいて、CRWが登録する所与のメッセージが車両コンテクストと衝突するか否かを判断する。

0011

登録されたメッセージを特徴付ける属性は、例として、メッセージの周期性、周期性の変化、メッセージが包含する値および/またはメッセージが包含する値の変化を含んでいてよい。例として、メッセージに包含されている値には、メッセージIDと制御信号の値とが包含されていてよい。一実施形態では、少なくとも1つのメッセージ属性は、登録されたメッセージの送信元の識別、車両の操作者の属性およびメッセージを作成した車両DATを操作者がどのように操作するかに応じた属性のうちの1つまたは複数を含み得る。一実施形態では、少なくとも1つのメッセージ属性は、操作者に応じて、メッセージまたはメッセージに含まれている信号を作成する撮像システムまたはオーディオシステム等のジェスチャ認識システムによって作成された信号の値に基づく属性を含み得る。

0012

一実施形態では、CRWは、所与のメッセージの少なくとも1つのメッセージ属性に応じて分類子を選択し、選択された分類子を車両コンテクストベクトルに適用して、所与のメッセージが車両コンテクストと衝突するか否かを判断する。一実施形態では、車両コンテクストベクトルは、所与のメッセージ以外の1つまたは複数のメッセージの選択を特徴付ける属性の選択を含んでいる。任意選択で、分類子に適用される車両コンテクストベクトルに含まれているフィーチャは、分類子に応じて選択される。

0013

一実施形態では、CRWは、所与のメッセージを前処理し、所与のメッセージを特徴付ける少なくとも1つの属性に応じて、所与のメッセージが分類子による評価を保証するか否かを判断する。前処理に対する少なくとも1つのメッセージ属性は、それに基づいて分類子が選択される少なくとも1つの属性と同じでも異なっていてもよい。

0014

一実施形態では、車両コンテクストベクトルはリアルタイム更新される。リアルタイムアップデートには、グローバルフィーチャベクトル(Global Feature Vector)を維持することが含まれていてよい。グローバルフィーチャベクトルは、任意の所与の時間で、任意選択ですべてのまたは一部のメッセージタイプに対して車内ネットワークを介して伝送されるメッセージに含まれている最新フィーチャ値を含んでおり、グローバルフィーチャベクトルに応じて更新される車両コンテクストベクトルを伴う。

0015

任意選択で、CRWは、衝突するメッセージの存在を車両の操作者に警告するヒューマンマシンインターフェース(HMI)を含んでいる。任意選択で、HMIは、操作者が、衝突するメッセージを無効にするために操作し得る緊急入力デバイスEID)を含んでいる。衝突するメッセージを無効にすると、CRWは車内ネットワークを制御してよく、DATの直接的な操作者制御によって作成されたメッセージと衝突するすべてのメッセージを無効にする。

0016

この概要は、以降の詳細な説明においてさらに説明される概念の選択を簡略化された形式紹介するために提示されている。この概要は、特許請求の範囲に記載される主題の主要な特徴または本質的な特徴を識別することを意図するものではなく、特許請求の範囲に記載される主題の範囲を制限するために使用されることも意図するものではない。

0017

本発明の実施形態の非限定的な例を、この段落の後に挙げられる添付の図を参照して、以降で説明する。複数の図に表示される同一の構造、要素または部品には通常、それらが表示されるすべての図において、同じ参照番号が付けられている。図に示されているコンポーネントおよび特徴の寸法は、表示の利便性および明確性のために選択されており、必ずしも縮尺どおりに示されているわけではない。

図面の簡単な説明

0018

本開示の一実施形態による、CRWによって保護された車両の車内通信システムの一部の概略的なブロック図を示す。
本開示の一実施形態による、メッセージが有効であるか無効であるかを判断するための、CRWによるメッセージ衝突解決プロセスの動作を示すフローチャートを示す。
本開示の一実施形態による、CRWのブロック図を概略的に示す。
本開示の一実施形態による、グローバルフィーチャベクトルを更新するための、CRWの動作を示すフローチャートを示す。
本開示の一実施形態による、登録されたメッセージに応じたグローバルフィーチャベクトルのリアルタイムアップデートを概略的に示す。
図6Aおよび図6Bは、本開示の一実施形態による、グローバルフィーチャベクトルに応じた車両コンテクストベクトルのリアルタイムアップデートを概略的に示す。

0019

詳細な説明
図1は、加入者車両(図示せず)に含まれ得るネットワークおよび特定の制御システムを保護するCRW40を示す、車内通信ネットワーク60の一部の概略的なブロック図を示している。制御システムおよび/または制御システムの各コンポーネントは、高速CANバスバー61および中速CANバスバー71の一方または両方にそれぞれ接続されている。中速CANバス71は、最大125キロビット/秒(Kbps)のデータ伝送速度で動作するクラスBのCANバスであってよく、適切に機能することができる車体制御システムおよびインフォテインメントシステムのコンポーネント等のノード間の通信をサポートし、比較的低いデータ伝送速度でデータを送受信する。例として、中速CANバス71が、それぞれフロントライト制御72、機器ディスプレイ73、環境制御74およびドア制御75であるノードに接続されていることが概略的に示されている。一実施形態では、中速CANバス71は、ジェスチャ認識システム76であるノードに接続されている。Bluetooth(R)およびWifi通信インターフェースを含んでいるインフォテインメントシステム79と、携帯電話ネットワークへ通信インターフェースを提供し、ハンズフリー通話をサポートするテレマティクスシステム78とが中速CANバス71に接続されている。GPS受信機77は任意選択でテレマティクスシステム78とは別個にされており、中速CANバス71に接続されている。高速CANバス61はクラスCのCANバスであってよく、これは最大1メガビット/秒(Mbps)のデータ伝送速度で動作し、適切に動作するために、ノード間で比較的高速のデータ伝送が必要なセンサおよびさまざまな制御システムのECU等のノード間の通信をサポートする。高速CANバス61が、エンジン62、サスペンション63、トラクション64、ギアボックス65およびアンチスキッドブレーキ制御システム66にそれぞれ接続されていることが、概略的に示されている。高速CANバス61は、車体制御モジュールCANゲートウェイ)80によって中速CANバス71に接続されている。

0020

本開示の一実施形態では、車内通信ネットワーク60は、任意選択でCRW40によって検出される、衝突するメッセージの存在を車両の操作者83に警告するように動作可能なHMIを含んでいるノード81に接続されている。任意選択で、HMI81は、セキュリティ警戒を高めるように操作者がCRWに指示するために操作し得る緊急入力デバイス(EID)82を含んでいる。EID82から指示を受け取ると、CRWは車内ネットワークを制御して、DATの直接的な操作者制御によって作成されたメッセージと衝突するすべてのメッセージを無効にする。

0021

CRW40は、任意選択で、高速CANバス61と中速CANバス71との間に接続されている2つの通信ポートモジュールである。

0022

本開示の一実施形態では、図1および/または図2に概略的に示されているように、CRW40は、プロセッサおよびメモリを含んでいる別個のハードウェアコンポーネントである。代替的または追加的に、本開示の実施形態によるCRWは、車内通信ネットワーク60のノードに含まれているソフトウェアコンポーネントによって定義される「仮想化ウォッチマン」である。例えば、ゲートウェイ80は、コンピュータ実行可能な指令およびデータを含んでいてよい、または図1のゲートウェイとは別に示される、CRW40によって提供され得る、本開示の実施形態に従ってウォッチマン機能を提供するソフトウェアハードウェアとの組み合わせを含んでいてよい。別の例として、エンジン制御システム62におけるECM(図示せず)は、CRW40によって提供され得る本開示の実施形態に従ってウォッチマン機能を提供するコンピュータ実行可能な指令およびデータを含んでいてよい。CRWは、テレマティクスシステム78等のノードの、車内通信ネットワーク60のハードウェアに統合されてもよい。

0023

本開示の一実施形態によるCRW40は、車内通信ネットワーク60内の通信を監視するように動作可能であり、これによって、CRW40が受信したメッセージから、このメッセージを特徴付けるために使用され得るデータが蓄積される。CANメッセージは、例えば、その11ビットまたは29ビットの拡張されたメッセージID、その各伝送頻度、ペイロードに包含されている制御信号の量、種類および内容によって、およびそれらが伝送される時間を記録するタイムスタンプによって特徴付けられてよい。CANメッセージは典型的に、このメッセージの最後に15ビットの巡回冗長検査CRC)コードも含んでいる。

0024

本開示の一実施形態によるCRW40は、CANメッセージに関連するデータを記録することに加えて、分析のために自身の性能および動作に関連するデータのログも保持し得る、ということにさらに留意されたい。例えば、メッセージをマルウェアとして識別する際に、CRWが偽陽性または偽陰性を作成した頻度を判断するために、CRW性能データが使用され得る。

0025

一実施形態ではCRW40は、データを伝送するか、または車内通信ネットワーク60に接続されたコンポーネント、例えばインフォテインメントシステム79またはテレマティクスシステム78に、データ(以降では「ウォッチマンデータ」とも称される)をデータ監視および処理ハブ(以降では、サイバーハブ(図示せず)とも称される)に伝送するように指示するように動作可能であり、このデータは、CRWが監視する車内通信ネットワークを介した通信トラフィックに応じる。車内ネットワーク60を含んでいる車両の外に位置するサイバーハブは、加入者車両からのウォッチマンデータを処理して、検出された異常および/または車両の車内ネットワークを介した通信における無効なメッセージの判断に応じて、ウォッチマンの監視のための情報を提供することができる。サイバーハブまたはサイバーハブから情報を受け取ることを許可された加入者であるユーザは、CRW40を構成するためにこの情報を使用してよい。

0026

サイバーハブは、複数の車両と通信するように動作可能であってよく、各車両は、車内ネットワークを有しており、さらに任意選択でCRW40を含んでいる。本開示の一実施形態では、サイバーハブは、複数の加入者車両からのウォッチマンデータを処理して、車両または車両群が差し迫ったサイバー攻撃の脅威にさらされる可能性があるか否か、サイバー攻撃を受けているか否か、またはサイバー攻撃に対する脆弱性を有しているか否かを判断する。差し迫ったサイバー攻撃、行われているサイバー攻撃またはサイバー攻撃に対する脆弱性の検出に応じて、サイバーハブは、適切な有線または無線通信チャネルを介して1つまたは複数のCRWへ情報を伝送することによって、1つまたは複数のCRWを構成してよい。

0027

図2は、本開示の一実施形態による、モデルベースのメッセージ監視プロセスを動作させるCRWの動作をサポートする車内通信ネットワーク60に接続されているCRW40のコンポーネントを概略的に示している。

0028

CRW40は、任意選択で、プロセッサ41と、CRWが接続されているCANバスまたはCANノードからメッセージを送受信するためのネットワークインターフェース42とを含んでいる。例として、図1および図2に示されているように、CRW40のネットワークインターフェース42は、高速CANバス61および中速CANバス71に接続されている。

0029

一実施形態では、CRW40はメモリ43を含んでおり、CRW40は、任意選択で、複数の分類子(本明細書では「分類子プール54」と称することがある)のいずれか、および/または登録されたメッセージの記録をメモリ43に格納するように動作可能である。登録されたメッセージはフィーチャベクトルを包含しており、これは、(本明細書において以降で論じられる)メッセージフィーチャベクトル、車両コンテクストベクトルおよびグローバルフィーチャベクトル等の、登録されたメッセージに基づいたまたは登録されたメッセージから派生したフィーチャを含んでいる。本明細書で説明されるあらゆるフィーチャベクトルは、連続したメモリブロックとしてのメモリ43に格納されていても、格納されていなくてもよい。

0030

一実施形態では、プロセッサ41は、本開示の一実施形態に相応して、メッセージ衝突解決プロセスを実行するために、任意選択で、メモリ43に格納されているコンピュータ実行可能な指令に従って、ネットワークインターフェース42を介して受信したメッセージを処理する。

0031

図3は、本開示の一実施形態によるメッセージ衝突解決プロセスの動作中に、CRWが受信する、車内通信ネットワーク60を介して伝搬したCANメッセージに対する、CRW40による応答の例示的なシナリオフローダイヤグラム100を示している。

0032

ブロック102において、CRW40は、任意選択で、ネットワークインターフェース42を介して、CANメッセージを登録する。任意選択で、ネットワークインターフェース42は、登録されたメッセージにタイムスタンプを付ける。

0033

ブロック104において、プロセッサ41は、登録されたメッセージを特徴付ける少なくとも1つのメッセージ属性を判断する。任意選択で、メッセージ属性は、登録されたメッセージに含まれているフィールドの値および/またはCRW40によって登録されたメッセージに割り当てられるフィールドの値を含んでいる。任意選択で、メッセージ属性は、登録されたメッセージのタイムスタンプ(t)を含んでいる。タイムスタンプは任意選択で、CRWによる、またはメッセージを伝送したノードによるメッセージの登録に際し、伝送時にCRW40によって作成される。任意選択で、メッセージ属性にはメッセージのメッセージIDが含まれている。任意選択で、メッセージ属性はメッセージの送信元または送信先を含んでいる。任意選択で、メッセージ属性は、登録されたメッセージのペイロードに含まれている信号値(V)を含んでいる。

0034

任意選択で、メッセージ属性は、現在登録されているメッセージと、現在登録されているメッセージに先行する、CRW40に直近に登録された、同じメッセージIDを有する別のメッセージ(「直近の一致メッセージ」)との間のメッセージ属性の変化に基づいている。そのため、メッセージ属性は、登録されたメッセージと直近の一致メッセージとの間の時間間隔(Δt)を含んでいる場合がある。代替的または追加的に、メッセージ属性は、登録されたメッセージと直近の一致メッセージとの間の時間間隔における変化(ΔΔt)を含んでいてよい。代替的または追加的に、メッセージ属性は、登録されたメッセージと直近の一致メッセージとの間の信号値における変化(Δv)を含んでいてよい。メッセージ属性の他の例には:車両の操作者を特徴付ける属性、操作者による車両DATの操作から作成された信号に基づく属性および撮像システムまたはオーディオシステム等のジェスチャ認識システムによって作成された制御信号に基づく属性が包含される。任意選択で、撮像システムは、操作者の位置および動きを監視するように構成された光学撮像システムまたは無線周波数撮像システムである。任意選択で、車両の操作者を特徴付ける属性は、操作者または操作者の一部の位置または動きを特徴付ける制御信号を含んでいる。操作者の一部は、例として、腕、脚、手、足、頭、または肩であってよい。任意選択で、操作者または操作者の一部の位置または動きを特徴付ける属性は、ジェスチャ認識システムまたは車両DATによって作成されたメッセージを特徴付け、かつ任意選択で、ジェスチャ認識システムまたは車両DATによって作成されたメッセージに制御信号として含まれる。

0035

ブロック106において、プロセッサ41は、登録されたメッセージが分類子による評価を保証するか否かを判断する。任意選択で、この判断は、登録されたメッセージの少なくとも1つのメッセージ属性に基づいている。任意選択で、特定のメッセージIDによって特徴付けられるが、他のメッセージIDによっては特徴付けられないすべてのメッセージが、分類子の評価を保証すると判断される。任意選択で、直近の一致メッセージと比較して事前定義された閾値を超えている、少なくとも1つのメッセージ属性における変化、例として、時間間隔における変化(ΔΔt)および/または信号値における変化(ΔV)によって特徴付けられるメッセージが、分類子による評価を保証すると判断される。事前定義された閾値は、各メッセージ属性に対して異なっていてよい。一実施形態では、この閾値は、車両の操作者によって提供される指示に応じて、多少厳しくされてよい。

0036

例として、特定のメッセージIDによって識別されるメッセージは、周期的なメッセージとして指定されてよい。これは、車内ネットワークに接続されたノードによって一定の不変の時間間隔で伝送されるメッセージである。他のメッセージIDによって識別される他のメッセージは、周期的かつ変化する(Cyclic−and−On−Change(CAOC))メッセージとして指定されてよい。これは、一定の時間間隔で伝送されるだけでなく、付加的な時間で、信号値における変化がメッセージペイロードに入れられるメッセージである。したがって、ほとんどの場合、周期的なメッセージおよびCAOCメッセージは、0の(または事前定義された0からの閾値内にある)ΔΔt値を有していてよく、時間間隔の不変性、したがってメッセージタイプの通常の機能を示している。対照的に、0以外の値の(事前定義された閾値を超えて0を上回るまたは下回る)ΔΔtは、ある種のイベントを示している可能性があり、したがって、このメッセージが、サイバー攻撃の結果として作成された無効なメッセージであるリスクが高いことを示している可能性があり、したがって分類子の評価を保証する。

0037

任意選択で、プロセス100はブロック106を迂回し、登録されたメッセージを特徴付ける少なくとも1つのメッセージ属性の判断(ブロック104)から分類子の選択(ブロック108)に進む。

0038

ブロック108では、プロセッサ41は、評価を保証すると判断された、登録されたメッセージを評価するための少なくとも1つの分類子を選択する。この分類子は、任意選択で、以降の分類子タイプのいずれかである:決定木サポートベクターマシンSVM)、ランダムフォレスト分類子および/または最近傍分類子。任意選択で、分類モデルは決定木である。任意選択で、決定木は分類および回帰木(CART)である。

0039

一実施形態では、少なくとも1つの分類子が、プロセッサ41にアクセス可能な分類子プール54から選択され、任意選択でメモリ43に格納される。分類子プールに含まれている各分類子は、1つまたは複数のメッセージ属性によって特徴付けられるCANメッセージの所定のサブセットを評価するために指定されてよい。そのため、一実施形態では、登録されたメッセージを評価するための分類子が、登録されたメッセージの少なくとも1つのメッセージ属性に応じて選択される。例として、少なくとも1つの分類子は、以下のもののうちの1つまたは2つ以上の組み合わせによって特徴付けられるメッセージを評価すると指定されてよい:所与のメッセージID、所与の信号値および所与の信号の信号値における変化(ΔV)。任意選択で、評価を保証すると判断された、登録されたメッセージは、複数の分類子によって評価される。ブロック108の分類子選択プロセスにおいて、分類子プール54が、登録されたメッセージを評価する判断された分類子を包含していないことがある。そのような場合、登録されたメッセージは任意選択で有効と判断される、または代替的に、このメッセージはサイバー攻撃に応じて作成された、より高いリスクを有していると判断され、したがって無効と判断される。

0040

評価を保証するものとしての、登録されたメッセージの判断、および評価を保証すると判断されたこのメッセージを評価する分類子の選択は、任意選択で、登録されたメッセージを特徴付けるメッセージ属性の同じセット、部分的に重畳するセットまたは異なる、重畳しないセットに基づいている。属性のセットは、1つのメッセージ属性を含んでいてよい。例として、登録されたメッセージは、メッセージのメッセージIDおよびメッセージのペイロードにおいて符号化された所与の信号の信号値における変化(ΔV)に基づいて、分類子の評価を保証すると判断されてよく、このメッセージを評価するための分類子はメッセージIDのみに基づいて選択されてよい。

0041

分類子の評価を保証するものとしての、登録されたメッセージの判断(ブロック106)および/またはこのメッセージを評価するための分類子の選択(ブロック108)は、プロセッサ41による実行のために、任意選択で、CRW40に含まれているまたはCRW40にアクセス可能なメモリに格納されている分類子マッチング規則のセットに応じて実行される。

0042

分類子プール54および/または分類子マッチング規則セットは、任意選択で、車内ネットワークに接続された他のノードを介した有線または無線接続を介して、例として、図1に示されているように車内ネットワーク60に接続されているインフォテインメントシステム79またはテレマティクスシステム78を介して編集可能であってよい。例として、CRW40は、サイバーハブまたはサイバーハブのユーザから、新規の、または編集された分類子プール、または新規の、または編集された分類子マッチング規則セットを受け取ってよい。

0043

分類子プール54に含まれている分類子は、任意選択で、以前に記録されたメッセージの履歴および/またはそれらのメッセージ属性を使用して分類子を訓練する機械学習プロセスを通じて作成される。任意選択で、この履歴はこのCRWがインストールされている車両の車内ネットワークから記録される。代替的または追加的に、この履歴は、このCRWがインストールされている車内ネットワークにおいて使用される複数のメッセージタイプと同じ、メッセージIDによって特徴付けられている複数のメッセージタイプを使用するように構成されている車内ネットワークを含んでいる1つまたは複数の他の車両の車内ネットワークから記録されたメッセージを包含している。

0044

機械学習プロセスは、任意選択で、以下のことを含んでいる:サイバー攻撃を経験していないと推定される少なくとも1つの車内ネットワークから登録された複数のメッセージのメッセージエントリを含んでいるメッセージ記録メモリにアクセスすること;少なくとも1つの共通メッセージ属性によって特徴付けられたメッセージ記録メモリにおいて複数のメッセージを選択すること;選択されたメッセージに対して、選択されたメッセージより前のメッセージを特徴付ける複数のメッセージ属性を含んでいるテスト車両コンテクストを作成すること;および複数のテスト車両コンテクストと選択されたメッセージとで分類子を訓練すること。

0045

一実施形態では、ブロック110において、プロセッサ41は、選択された(複数の)分類子で登録されたメッセージを評価する。一実施形態では、分類子は、評価されるメッセージ以外の、CRWによって登録されたメッセージを特徴付ける1つまたは複数のメッセージ属性を含んでいるフィーチャベクトル(「車両コンテクストベクトル」)に照らして、登録されたメッセージを(1)有効、または(2)無効として分類するように構成されているバイナリ分類子である。任意選択で、他の登録されたメッセージは、分類子によって評価される登録されたメッセージより前の、CRWによって登録されたメッセージを含んでいるか、このようなメッセージからなる。一実施形態では、各分類子は、評価を行う分類子の入力として使用される車両コンテクストベクトルに含まれているメッセージ属性のセットによって個別に特徴付けられ、かつこれを定義する。

0046

例として、所与のメッセージIDによって特徴付けられたメッセージを評価するように指定された分類子プール54内の各分類子に対して、所与の分類子「H」は、H(IDi,Si)として表されてよい。ここで分類子Hは、所与の車両コンテクストベクトルSiで、メッセージIDiを有するメッセージが予期されていたか否かの評価に対して指定されている。メッセージIDiを有する登録されたメッセージに応じて選択された分類子H(IDi,Si)は、車両コンテクストベクトルSiに応じて、2つの出力のいずれかを作成するように構成されてよい:(1)登録されたメッセージが有効である;(2)登録されたメッセージが無効である。任意選択で、分類子プールは、車内ネットワークで使用されるメッセージIDのそれぞれまたはサブセットに対して指定された少なくとも1つの分類子を含んでいる。

0047

別の例として、分類子プールの各分類子は、車両コンテクストベクトルに照らして、所与のメッセージIDを有する登録されたメッセージにおいて符号化された所与の信号の値Vjにおける変化ΔVjが予期されていたか否かを評価するように指定されてよい。そのような例では、所与の分類子Hは、H(IDi[ΔVj],Sij)として表されてよく、ここでは分類子Hは、メッセージIDiを有する登録されたメッセージの評価に対して指定されており、所与の車両コンテクストベクトルSijで、登録されたメッセージが信号値Vjにおける変化を示すことが予期されていたか否かを評価する。分類子H(IDi[ΔVj],Sij)の出力、(1)信号値Vjの変化または(2)信号値Vjの無変化が、登録されたメッセージの実際の状態Vjと比較される。分類子の出力が、登録されたメッセージの実際の状態Vjと一致する場合、つまり、分類子の出力が「信号値Vjにおける変化が予期される」であり、かつ登録されたメッセージの信号値Vjが所定の閾値を超えて変化した場合、または分類子の出力が「信号値Vjが変化しない」であり、かつ登録されたメッセージの信号値Vjが変化しなかった場合(所定の閾値内に留まっている場合)、登録されたメッセージは有効であると判断される。そうではなく、分類子の出力が登録されたメッセージのVjの実際の状態と一致しない場合、このメッセージは無効であると判断される。

0048

任意選択で、少なくとも1つの車両コンテクストベクトルは、車両の操作者または操作者の一部の位置および/または動きを特徴付ける1つまたは複数のメッセージ属性を含んでおり、登録されたメッセージの有効性は、車両の操作者または操作者の少なくとも一部、例えば腕、脚、手、足、頭、腰または肩の位置および/または動きを特徴付ける少なくとも1つのメッセージ属性に相応して判断される。任意選択で、位置および/または動きを特徴付ける1つまたは複数のメッセージ属性は、車両の操作中に操作者を監視するように構成されている撮像システムを含み得るDATまたはジェスチャ認識システム76によって作成されたメッセージを特徴付ける。

0049

一実施形態では、ブロック112において、プロセッサ41が、登録されたメッセージが無効であると判断した場合、登録されたメッセージは無力化される。任意選択で、無力化されたメッセージまたはその一部はブロックされる、またはそうでない場合には、車両および/または車内ネットワークの動作に影響を与えないようにされる。

0050

一実施形態では、車両コンテクストベクトルは、リアルタイムで動的に更新される。一実施形態では、プロセッサ41が、登録されたメッセージが有効であると判断すると、ブロック114において、1つまたは複数の車両コンテクストベクトルが更新されて、登録されたメッセージのメッセージ属性が組み込まれる。

0051

一実施形態では、1つまたは複数の車両コンテクストベクトルは、図2に示されたボックス52として概略的に表されているグローバルフィーチャベクトルを通じてリアルタイムに更新される。これは、任意の所与の時間で、任意選択でメッセージタイプのすべてまたはサブセットに対して車内ネットワークを介して伝送されたメッセージを特徴付けるメッセージ属性の最新の値を含んでいる。一実施形態では、グローバルフィーチャベクトル52は、任意の所与の時間で、1つまたは複数の車両コンテクストベクトルに含まれているすべてのメッセージ属性の最新の値を含んでおり、グローバルフィーチャベクトル52は更新されて、登録されたメッセージのメッセージ属性値が組み込まれる。

0052

グローバルフィーチャベクトル52の維持に関するさらなる任意選択の詳細および実施形態を、図4および図5を参照して以降で提示する。

0053

任意選択で、グローバルフィーチャベクトル52はメモリ43に格納されている。車両コンテクストベクトルは、任意選択で、グローバルフィーチャベクトル52に含まれているメッセージ属性の選択からなり、グローバルフィーチャベクトルにおけるメッセージ属性の値が変化する場合、この変化は、同じフィーチャを含んでいる車両コンテクストベクトルにも反映される。一実施形態では、グローバルフィーチャベクトル52は、任意の所与の時間で、1つまたは複数の車両コンテクストベクトルに含まれているメッセージ属性の最新の値を含んでいる。グローバルフィーチャベクトル52および車両コンテクストベクトルに対するその関係に関するさらなる任意選択の詳細および実施形態を、図6Aおよび図6Bを参照して以降で提示する。

0054

一実施形態では、1つまたは複数の車両コンテクストベクトルは、相互に別個の、およびグローバルフィーチャベクトル52から別個のベクトルとしてメモリ43に格納され、その値はグローバルフィーチャベクトルから更新される。そのため、任意選択で、プロセッサ41がメッセージを評価するときに、プロセッサ41は、選択された分類子に関連付けられた適切な車両コンテクストベクトルに格納されたフィーチャ値を、選択された分類子に提供する。別の実施形態では、1つまたは複数の車両コンテクストベクトルは、グローバルフィーチャベクトル52内に含まれているフィーチャの集まりとして格納され得る。そのため、任意選択で、プロセッサ41がメッセージを評価するとき、プロセッサ41はグローバルフィーチャベクトル52に含まれているフィーチャのセットを入力として選択する。この入力は、メッセージを評価するために選択された分類子に、選択された分類子に関連付けられたコンテクストフィーチャベクトルを特徴付けるフィーチャの適切なセットを提供する。

0055

任意選択で、CRWはHMI81(図1)を含んでいるか、または動作可能にHMI81に接続されており、これは、CRWがこのメッセージが無効であると判断したときに、メッセージの衝突を車両の操作者83に警告する。任意選択で、HMI81は、所定の時間枠内で所定の数を超えるメッセージが無効であると判断されたときに、操作者83に警告するように動作可能である。任意選択で、HMIに含まれているEID82の操作者の操作は、CRWにセキュリティ警戒を強化するように指示する。例として、操作者の指示を受け取ると、CRWは無効なメッセージを無力化することを始める。代替的または追加的に、操作者の無効化の指示を受け取ると、CRWは、車内ネットワークを制御して、DATまたはジェスチャ認識システムの直接的な操作者制御によって作成されたメッセージを優先し、他のメッセージを無効にする。任意選択で、CRWのデフォルト状態はメッセージの評価においてアクティブではなく、操作者がEIDをアクティブにするとCRWがアクティブになる。代替的または追加的に、セキュリティ警戒を高める操作者のEID指示を受け取ると、CRWは、操作者によるEIDのさらなるアクティブ化を伴わずに、後続の衝突するメッセージの無効化を続けてよい。

0056

任意選択で、操作者のEID82のアクティブ化によって、以前は有効であると考えられていたメッセージが無効になるように、閾値が変えられ得る。任意選択で、EIDのアクティブ化によって閾値が変更され、(図2に示されているように)以前は決定ブロック106において、分類子による評価を保証すると判断されなかったメッセージが、評価を保証すると見なされるだろう。任意選択で、EIDのアクティブ化は、分類子による評価を保証するものとして判断される、少なくとも1つのメッセージ属性における変化、例として、時間間隔における変化(ΔΔt)および/または信号値における変化(ΔV)に対する所定の閾値を、直近の一致メッセージと比較して低下させる。

0057

ここで、図4および図5を参照する。図4は、本開示の一実施形態による、グローバルフィーチャベクトルをリアルタイムで維持するための、プロセッサ41によって任意選択で実行されるプロセス200を示すフローチャートを示している。図5は、本開示の一実施形態による、登録されたメッセージに応じて作成されたメッセージフィーチャベクトルの表現およびグローバルフィーチャベクトルの表現を概略的に示している。任意選択で、プロセス200はプロセス100のブロック114に含まれている。

0058

一実施形態では、ブロック202において、プロセッサ41は、登録されたメッセージの少なくとも1つのメッセージ属性を含んでいるメッセージフィーチャベクトルを作成する。このメッセージフィーチャベクトルに含まれているメッセージ属性は、プロセス100のブロック106を参照して本明細書で開示されるメッセージ属性のいずれかから任意選択で選択され、これは登録されたメッセージが、分類子による評価を保証するか否かを判断する。登録されたメッセージが評価を保証するか否かの判断において使用される少なくとも1つのメッセージ属性と、メッセージフィーチャベクトルに含まれている少なくとも1つのメッセージ属性との同一性または重複があっても、なくてもよい。

0059

メッセージフィーチャベクトルは、IDiである所与のメッセージIDを有しているメッセージを特徴付け、ここで1≦i≦Iであり、かつIは、車内ネットワークにおいて使用される異なるメッセージIDのすべてまたはサブセットの数を表す。所与のメッセージIDiに対するメッセージフィーチャベクトルは、所定数J(i)のフィーチャを有していてよく、各フィーチャはfi,jとして表される。ここで1≦j≦J(i)である。したがって、IDiであるメッセージIDを有するメッセージのメッセージフィーチャベクトルは、フィーチャのセットfi,1,fi,2,fi,j・・・fi,J(i)として表されてよい。そのため、J(i)のフィーチャを含んでいる、時間tnでタイムスタンプが付けられた、IDiであるメッセージIDを有しているメッセージを特徴付けるメッセージフィーチャベクトルは、{fi,j(tn)|1≦j≦J(i)}として表されてよい。各メッセージIDは、それぞれの各メッセージフィーチャベクトルに包含されている異なるフィーチャを有していてよい。車内ネットワークは、例えば20個、50個または1000個のメッセージタイプを使用してよく、各メッセージは、メッセージID、メッセージの送信元および送信先、ならびにさまざまな信号値等のメッセージ属性を符号化する12個以上のフィールドを含んでいてよい。さらに、例えば、登録に対するタイムスタンプである一部のメッセージ属性は、メッセージフィールドにおいて直接的に符号化されず、信号値における変化(ΔV)等の他のメッセージ属性は、メッセージフィールド値から計算される。そのため、グローバルフィーチャベクトル52は、数千個のフィーチャを含んでいてよい。

0060

一実施形態では、メッセージベクトルに包含されているメッセージ属性は、メッセージの評価に使用可能な分類子によって判断される(例として、図2に示されている分類子プール54に含まれている)。任意選択で、それぞれの車両コンテクストベクトルの入力として、使用可能な分類子の少なくとも1つによって使用されるメッセージ属性だけが、メッセージフィーチャベクトルに包含されている。例として、分類子プール内の少なくとも1つの分類子が、メッセージID5の時間間隔における変化(ΔΔt)を入力として使用する場合、ΔΔtは、メッセージID5を有する登録されたメッセージから作成されたメッセージフィーチャベクトルにおいてフィーチャとして包含されている。しかし、分類子プールにおける分類子のいずれも、入力としてメッセージID34のΔΔtを使用しない場合には、ΔΔtは、メッセージID34を有する登録されたメッセージから作成されたメッセージフィーチャベクトルにおいてフィーチャとして包含されていない。

0061

例として、t=t1でタイムスタンプが付けられたメッセージID5を有するメッセージを特徴付けるメッセージフィーチャベクトルは、9(J(5)=9)個のメッセージフィーチャを含んでいるフィーチャベクトルであってよい:f5,1(t2)としてのメッセージID5;f5,2(t2)としてのメッセージ送信元;f5,3(t2)としてのタイムスタンプt2;f5,4(t2)としての、登録されたメッセージのタイムスタンプと直近の一致メッセージのタイムスタンプとの間の時間間隔(Δt);f5,5(t2)としての、直近の一致メッセージの時間間隔と比較した時間間隔(Δt)における変化(ΔΔt);f5,6(t2)としての第1の信号値V1;f5,7(t2)としての直近の一致メッセージの信号値と比較した第1の信号値における変化(ΔV1);f5,8(t2)としての第2の信号値V2;f5,9(t2)としての直近の一致メッセージの信号値と比較した第2の信号値における変化(ΔV2)。

0062

登録されたメッセージが、評価を保証しないと判断された(ブロック106、図3)か、または分類子による評価の後に有効であると判断された(ブロック110、図3)後、任意選択で、登録されたメッセージのメッセージフィーチャベクトルが作成される。択一的に、登録されたメッセージのメッセージフィーチャベクトルが最初に作成され、少なくとも1つのメッセージ属性の判断(ブロック104、図3)は、メッセージ属性ベクトルからのメッセージ属性の選択を含む。

0063

図5は、時間t0からt400で、CRW40によって以前に登録されたメッセージのセットを挙げるデータテーブル56を示している。時間t0において、CRW40は、ID5であるメッセージIDを有しているメッセージを登録し、メッセージフィーチャベクトルを作成する。このメッセージフィーチャベクトルは、登録されたメッセージを特徴付けるJ(5)のメッセージ属性を含んでおり、このメッセージフィーチャベクトルは、データテーブル56において、f5,1(t0),・・・,f5,j(t0),・・・,f5,j(5)(t0)として表されている。データテーブル56において示されているように、さらなるメッセージが時間にわたって登録される。

0064

図5は、グローバルフィーチャベクトル52の表現も示している。任意選択で、グローバルフィーチャベクトル52は、車内ネットワークにおいて使用されるすべてのメッセージIDのそれぞれ、または所定のサブセットに対して、メッセージベクトルの連結を含んでおり、違いは、特定の時間で登録された特定のメッセージを特徴付ける値を有する各メッセージ属性(例えば、データテーブル56において示されているメッセージフィーチャベクトルのように)の代わりに、グローバルフィーチャベクトルにおける各フィーチャが、対応するメッセージ属性の最新の値(時間=Lで表される)を有しているということである。CRW40によって以前に登録されたメッセージに基づいて、メッセージ属性の最新の値を有する、IDiであるメッセージIDを有するメッセージを特徴付けるj番目のフィーチャは、fi,j(L)として表されてよい。したがって、各メッセージIDのメッセージを特徴付ける各メッセージ属性に対する最新のメッセージ属性値を格納するグローバルフィーチャベクトルは、次のように表されてよい:
{fi,j(L)|1≦i≦I,1≦j≦J(i)}
ここで、Iは、車内ネットワークで使用される異なるメッセージIDのすべてまたはサブセットの数を表し、J(i)は、IDiである所与のメッセージIDを有しているメッセージを特徴付けるメッセージ属性の数を表している。グローバルフィーチャベクトルは、より拡張された形式で表される場合、図5におけるグローバルフィーチャベクトル52に対して示されているように表されてよい:
{f1,j(L)|1≦j≦J(1)},{f2,j(L)|1≦j≦J(2)}・・・{fi,j(L)|1≦j≦J(i)}・・・{f5,j(L)|1≦j≦J(5)}・・・{fI,j(L)|1≦j≦J(I)}.

0065

ブロック204(図4)において、プロセッサ41は、任意選択で、メッセージフィーチャベクトルに含まれているメッセージ属性を、グローバルフィーチャベクトル52における対応するフィーチャと比較する。任意選択で、決定ブロック206において、対応するフィーチャにおける各値が同じである場合、グローバルフィーチャベクトル52に対して変更は行われず(ブロック207)、メッセージフィーチャベクトルは任意選択で削除される、または例としてメモリ43に格納される。また、決定ブロック206においても、対応するフィーチャにおける各値が異なる場合、ブロック208において、グローバルフィーチャベクトルにおける比較されたフィーチャの値が、メッセージフィーチャベクトルにおける対応するフィーチャの値に更新される。グローバルフィーチャベクトルの更新に続いて、ブロック210において、1つまたは複数の車両コンテクストベクトルにおける1つまたは複数の対応するフィーチャが、グローバルフィーチャベクトルの更新に応じて更新されてよい。さらに、グローバルフィーチャベクトルおよび/または車両コンテクストベクトルの更新後、メッセージベクトルは任意選択で、削除されるか、またはメモリ43に格納される。

0066

例として、データテーブル56(図5)において示されているように、時間=t400でCRW40によって登録された、ID2であるメッセージIDを有するメッセージが、メッセージ属性f5,7(t400)を有することが見出される。このメッセージ属性の値は、グローバルフィーチャベクトル52における対応するフィーチャf5,7(L)の値とは異なる。値における差が判断されると、プロセッサ41は、グローバルフィーチャベクトル52におけるフィーチャf5,7(L)の値を、f5,7(t400)の値に更新する。値f5,7(t400)によるフィーチャf5,7(L)の値の更新は、図5において、データテーブル56に示されている太字の「f5,7(t400)」を太字の{f5,j(L)|1≦j≦J(5)}と接続するブロック矢印57として概略的に示されている。

0067

プロセス200の代替的な実施形態において、ブロック204と206とが迂回され、メッセージ属性値の比較は行われないので、メッセージフィーチャベクトルが作成された(ブロック202)後、グローバルフィーチャベクトルが更新され(ブロック208)、メッセージフィーチャベクトルに含まれている対応するメッセージ属性のそれぞれの値が反映される。この更新は、対応するメッセージ属性値が同じか、異なっているかに関係なく行われる。このようなプロセスではより多くのフィーチャが更新されるが、属性値の比較を迂回すると、有利には、プロセスの計算負荷が軽減される。プロセス200のさらに別の代替的な実施形態では、ブロック202、204および206が迂回され、グローバルフィーチャベクトルが更新され(ブロック208)、別個のメッセージフィーチャを作成することなく、登録されたメッセージから導出された対応するメッセージ属性の値が反映される。

0068

一実施形態では、グローバルフィーチャベクトル52は、タイムスタンプおよび信号値等のメッセージ属性を包含しているので、次に登録されるメッセージとその直近の一致メッセージとの間のメッセージ属性の変化の計算を必要とする、Δt、ΔΔtさらにΔV等のメッセージ属性は、グローバルフィーチャベクトル52に格納されている値から計算できるので、登録された各メッセージに対して作成されたメッセージフィーチャベクトルを格納する必要はない。一実施形態では、登録されたメッセージが、分類子による評価を保証するか否かを判断する(図3に示されているプロセス100のブロック106)ための、または分類子を選択する(図3に示されているプロセス100のブロック108)ための少なくとも1つのメッセージ属性を計算するために、グローバルフィーチャベクトル52が使用可能であるということに留意されたい。

0069

ここで、図6Aから図6Bを参照する。これらの図は、本開示の実施形態による、グローバルフィーチャベクトルに応じた車両コンテクストベクトルのリアルタイムアップデートを概略的に示している。

0070

図6Aは、複数の例示的な分類子H(IDi,Si)を挙げているデータテーブル58を示しており、ここでは1≦i≦Iは、メッセージIDであるID1からIDIの1つによって特徴付けられた、登録されたメッセージを評価するための分類子プールに含まれている。プロセス100のブロック110(図3)を参照して上述したように、分類子プールに含まれている各分類子は別個に、CRW40によって登録されたメッセージの評価に使用される、車両コンテクストベクトルSiに含まれているフィーチャのセットによって特徴付けられ、かつこれを定義する。任意選択で、車両コンテクストベクトルに含まれているフィーチャは、グローバルフィーチャベクトル52から選択される。例として、データテーブル58において示されているように、車両コンテクストベクトルS1は、グローバルフィーチャベクトルから選択された4つのフィーチャを包含している:f1,4(L),f5,7(L),f20,10(L)およびf56,7(L)。別の例として、車両コンテクストベクトルS2は、グローバルフィーチャベクトルから選択された5つのフィーチャを包含している。f15,3(L),f26,5(L),f26,10(L),f30,3(L)およびf91,11(L)。別の例として、車両コンテクストベクトルS4は、グローバルフィーチャベクトル52から選択された1つのフィーチャを包含している:f45,6(L)。そのため、例として、プロセッサ41が、メッセージIDiによって特徴付けられたメッセージを評価するときに、プロセッサ41は、選択された分類子に関連付けられた適切な車両コンテクストベクトルSiに格納されているフィーチャ値を有する選択された分類子H(IDi,Si)を提供する。

0071

図6Bは、図5に示されているように、グローバルフィーチャベクトル52の表現および例示的な車両コンテクストベクトルS1の表現を概略的に示しており、これは参照番号55で示されており、またデータテーブル58にも挙げられている(図6A)。グローバルフィーチャベクトル52に含まれているフィーチャが新しい値、例として、図5において示され、図5を参照して説明されたように、t400でCRW40によって登録されたメッセージに応じて更新されたフィーチャf5,7(L)で更新されると、車両コンテクストベクトルS1に含まれているフィーチャf5,7(L)も更新される。グローバルフィーチャベクトル52における対応するフィーチャの更新に応じた、車両コンテクストベクトルS1に含まれているフィーチャf5,7(L)の更新は、図6Bにおいてブロック矢印59として概略的に表されている。更新に続いて、コンテクストベクトルS1が、分類子H(ID1,S1)において、車内ネットワーク60を介して伝送され、ID1によって識別されるメッセージが有効か無効かを判断するために使用されてよい。

0072

代替的な実施形態では、1つまたは複数の車両コンテクストベクトルSiは、図6Aおよび図6Bに示されているように、別個のベクトルとして格納されているのではなく、むしろ、グローバルフィーチャベクトル52内に含まれているフィーチャの集まりとして格納されている。そのため、例として、プロセッサ41がメッセージIDiによって特徴付けられたメッセージを評価するとき、プロセッサ41は、グローバルフィーチャベクトル52に含まれているフィーチャの適切なセットを、入力として選択する。この入力は、メッセージを評価するために選択された分類子H(IDi,Si)に、この選択された分類子に関連付けられたコンテクストフィーチャベクトルSiを特徴付けるフィーチャの適切なセットを提供する。

0073

一実施形態では、CRW40は、有効または無効であると判断したメッセージの記録を保持するように動作可能である。無効なメッセージの記録は、有効性または無効性の状態に関連付けられ、任意選択でメモリ43に格納された、無効化されたメッセージの1つまたは複数のメッセージ属性を包含していてよい。一実施形態において、無効なメッセージの記録のすべてまたは一部は、CRW40によって収集された他のウォッチマンデータと同様に、任意選択で、プロセス100および/または200のその性能を介して、車内ネットワーク60外にある、サイバーハブ等のシステム、デバイスまたはモジュールによってアクセスされてよく、またはこれらに伝送されてよく、これによってCRW40の監視性能が分析され、例として、ウォッチマンがメッセージを有効または無効として識別する際に偽陽性または偽陰性を作成した頻度が評価される。

0074

したがって、本開示の一実施形態に従って、バスと、このバスに接続された少なくとも1つのノードとを有する車内通信ネットワークにセキュリティを提供するためのモジュールが提供される。このモジュールは:実行可能な指示を含んでいるソフトウェアと車内通信ネットワークの一部を介したデータ通信の予期される動作のモデルとを含んでいるメモリと;メモリ内のソフトウェアに応じて、車内ネットワークの一部から登録された複数のメッセージを処理するプロセッサとを含んでおり、これは:モデルおよび複数のメッセージの属性を含んでいるコンテクストに基づいて、少なくとも1つのメッセージがモデルに従っているか否かを判断し;少なくとも1つのメッセージがモデルに従っていない場合には、メッセージに対して少なくとも1つのアクションを実行する。任意選択で、複数のメッセージの属性は、車両の操作者の行動を特徴付ける1つまたは複数の属性を含んでいる。任意選択で、モデルは分類子によって定義され、コンテクストは、登録されたメッセージ以外の1つまたは複数のメッセージを特徴付ける1つまたは複数のメッセージ属性を含んでいるフィーチャベクトルによって定義される。

0075

一実施形態では、メモリは、1つまたは複数の分類子と、登録されたメッセージ以外の1つまたは複数のメッセージを特徴付ける1つまたは複数のメッセージ属性を含んでいる少なくとも1つのフィーチャベクトルとを含んでいる;さらに、プロセッサは、メモリ内のソフトウェアに応じて、登録されたメッセージを処理し:これによって、登録されたメッセージを特徴付ける少なくとも1つの属性に応じて、複数の分類子から分類子を選択し;フィーチャベクトルに照らして選択された分類子に応じて、登録されたメッセージが有効または無効であると判断し;登録されたメッセージが無効であるという判断に応じて、登録されたメッセージに対して少なくとも1つのアクションを実行する。任意選択で、少なくとも1つのフィーチャベクトルの各フィーチャベクトルは、1つまたは複数の分類子のうちの1つの分類子への入力として指定される。任意選択で、少なくとも1つのフィーチャベクトルは、車両の操作者または操作者の一部の位置および/または動きを特徴付ける1つまたは複数のメッセージ属性を含んでおり、登録されたメッセージが有効であることは、車両の操作者または操作者の少なくとも一部の位置および/または動きを特徴付ける少なくとも1つのメッセージフィーチャに応じて判断される。任意選択で、位置および/または動きを特徴付ける1つまたは複数のメッセージ属性は、運転者アクショントランスデューサまたはジェスチャ認識システムによって作成されたメッセージを特徴付ける。任意選択で、ジェスチャ認識システムは、車両の動作中に操作者を監視するように構成されている撮像システムである。

0076

一実施形態では、登録されたメッセージを特徴付ける少なくとも1つの属性は、登録されたメッセージのメッセージIDを含んでおり、選択された分類子は、登録されたメッセージの所与のメッセージIDに応じて選択される。任意選択で、登録されたメッセージを特徴付ける少なくとも1つの属性は、次のいずれかまたは両方を含んでいる:登録されたメッセージと、所与のメッセージIDと同じメッセージIDを有している直近の以前のメッセージとの間の時間間隔における事前定義された閾値を超える変化;および登録されたメッセージと、所与のメッセージIDと同じメッセージIDを有している直近の以前のメッセージとの間の制御信号の値における所定の閾値を超える変化。任意選択で、分類子の出力は、所与のメッセージIDによって特徴付けられたメッセージが、フィーチャベクトルに照らして有効であるか否かを含んでいる。

0077

一実施形態において、分類子は、所与のフィーチャベクトルで、信号値における変化が予期されるか否かの出力を提供するように構成されており、登録されたメッセージにおける対応する信号値におけるその変化または欠如が分類子の出力と一致している場合には、メッセージは有効であるとみなされ;かつ登録されたメッセージにおける対応する信号値におけるその変化または欠如が分類子の出力と一致しない場合には、メッセージは無効であるとみなされる。

0078

一実施形態では、登録されたメッセージを特徴付ける対応する属性の値と一致するように、少なくとも1つのフィーチャベクトルに含まれている少なくとも1つのメッセージ属性を更新するように、プロセッサは動作可能である。任意選択で、登録されたメッセージが有効であると判断されたことに応じて、少なくとも1つのフィーチャベクトルを更新するように、プロセッサは動作可能である。任意選択で、任意の所与の時間で少なくとも1つのフィーチャベクトルに含まれているすべてのメッセージフィーチャの最新の値を含んでいる別のフィーチャベクトル(グローバルフィーチャベクトル)を維持するように;登録されたメッセージを特徴付ける対応するメッセージフィーチャの値と一致するように、グローバルフィーチャベクトルに含まれている少なくとも1つのメッセージフィーチャを更新するように;かつグローバルフィーチャベクトルに含まれている対応するメッセージフィーチャの値と一致するように、少なくとも1つのフィーチャベクトルに含まれている少なくとも1つのメッセージフィーチャを更新するように、プロセッサは動作可能である。

0079

一実施形態では、メッセージに対する少なくとも1つのアクションは、登録されたメッセージを無力化することを含んでいる。任意選択で、セキュリティ警戒を強化するために、さらに車両の操作者からの指示の受け取りに応じて、登録されたメッセージを無力化するように、プロセッサは動作可能である。任意選択で、登録されたメッセージがモデルに従っていないと判断されたことに応じてメッセージの衝突の存在を操作者に警告し、セキュリティ警戒を強化するための指示を提供するように操作者を促すように、車両に含まれているヒューマンマシンインターフェースに指示するように、プロセッサは動作可能である。

0080

一実施形態では、モジュールは、車両の車内通信ネットワークの一部に接続されるように構成されているネットワークインターフェースを含んでいるハードウェアモジュールである。一実施形態では、モジュールは、車内ネットワークの少なくとも1つのノードのソフトウェアと統合されているソフトウェアモジュールである。

0081

本願の説明および特許請求の範囲において、動詞、「含む(comprise)」、「包含する(include)」、「有する(have)」、およびそれらの共役のそれぞれは、この動詞の1つまたは複数の対象が必ずしも、この動詞の1つまたは複数の主題のコンポーネント、要素または一部を列挙する完全なものではないことを示すために使用される。

0082

本願における本発明の実施形態の説明は、例として提供されており、本発明の範囲を限定することを意図するものではない。説明した実施形態は異なる特徴を含んでおり、それらのすべてが本発明のすべての実施形態において必要とされるわけではない。一部の実施形態は、特徴の一部のみを利用する、または特徴の可能な組み合わせを利用する。当業者は、記載された本発明の実施形態の変形、および上述の実施形態に記載された特徴の異なる組み合わせを含んでいる本発明の実施形態を見出すだろう。本発明の範囲は、特許請求の範囲によってのみ制限される。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ