技術 自動車用サイバーセキュリティ

0001

関連出願
本出願は、２０１７年８月１４日に出願された米国出願１５／６７５，８２９の米国特許法第１２０条に基づく利益を主張し、その開示は参照により本明細書に組み込まれている。

0002

背景
過去半世紀にわたって、自動車産業は、はじめはゆっくりと、そしてその後急速に、車両の機能を制御する機械的な制御システムから、機能を制御する電子的な「ドライブ・バイ・ワイヤ」制御システムに進化してきた。機械的な車両制御システムでは、車両の運転者は、車両の機能を制御する、車両のコンポーネントを制御する。この制御は、機械的なリンクを介して運転者をこれらのコンポーネントに直接的に結合する機械的なシステムを操作することによって行われる。ドライブ・バイ・ワイヤ車両制御システムでは、運転者は、直接的な機械的リンクではなく、電子制御システムおよび電子ワイヤおよび／または無線通信チャネルによって車両機能を制御する車両制御コンポーネントに、直接的にかつ／または極めて頻繁に間接的に、結合されていてよい。運転者は、通信チャネルおよび電子制御システムに入力される電子信号を作成することによって、制御コンポーネントを制御する。

0003

典型的に、車両用電子制御システムは、車両機能を制御することを目的とする運転者アクションを受け取るための運転者インターフェースと、運転者アクションを電子的な運転者制御信号に変換する複数の運転者アクショントランスデューサ（ＤＡＴ）とを含んでいる。ＤＡＴの例には、電子アクセルペダル、電子ブレーキペダル、電子ステアリングホイール、電子方向指示灯レバーおよびクルーズコントロールボタンが包含される。制御システムの電子制御ユニット（ＥＣＵ）は運転者制御信号を受信し、これらの信号に応じて、所望の車両機能の実行に関与する１つまたは複数のアクチュエータを制御する電子制御信号（「ＥＣＵ出力信号」）を作成する、かつ／または他のＥＣＵに情報を提供するように動作する。一般的に、車両用電子制御システムはさらに、車両機能に関連する信号（「センサ信号」）を作成する複数のセンサを含んでおり、ＥＣＵは、適切なＥＣＵ出力信号を作成するためにこれの信号を受信および処理してよい。本明細書では、運転者制御信号、ＥＣＵ出力信号およびセンサ信号を総称して「制御信号」または「信号」と称することがある。所与の車両制御システムのＥＣＵは、他の車両制御システムによって、かつ／または他の車両制御システム内のコンポーネントによって作成され得る、車両機能の性能に関連する制御信号を受信および処理してよい。センサ、アクチュエータおよび／または他の制御システムは、所与の制御システムの機能の実行において協働するために、相互におよび所与の制御システムのＥＣＵと、共有の車内通信ネットワークを介して通信する。

0004

例として、アクセルペダルとエンジンスロットルとの間の従来のケーブルに取って代わる、車両スロットル・バイ・ワイヤ制御システムは、ＤＡＴとしての電子アクセルペダル、エンジン制御モジュール（ＥＣＭ）とも称されるＥＣＵおよびエンジンへの気流を制御し、それによってエンジンが生成する電力を制御するアクチュエータとしての電子スロットルバルブを含んでいてよい。電子アクセルペダルは、運転者がペダルを踏み込む位置に応じて運転者制御信号を作成する。ＥＣＭは、電子アクセルペダルから運転者制御信号を受信し、さらに、車内通信ネットワークを介して、エンジンの安全で効率的な制御に関する情報を提供する、車両のさまざまなセンサ、アクチュエータおよび電子制御システムによって作成され得る他の信号を受信する。ＥＣＭは、運転者制御信号と他の信号とを処理して、スロットルバルブを制御するＥＣＭ出力信号を作成する。車内ネットワークを介してＥＣＭに関連信号を提供し得るさまざまなセンサ、アクチュエータおよび電子制御システムには、空気流量センサ、燃料噴射センサ、エンジン速度センサ、車速センサ、ブレーキ・バイ・ワイヤシステムに含まれているブレーキ力センサおよびその他のトラクションコントロールセンサおよびクルーズコントロールセンサが包含されるが、これらに限定されない。

0005

近年の車両の車内通信ネットワークは典型的に、車両の安全かつ効率的な動作に対する様々な重大度の、比較的多数の、かつ増加する数の電子制御システムの通信をサポートするために必要とされる。例えば、近年の車両には、相互に通信し、かつ車内ネットワークを介して車両の機能を監視および制御するセンサおよびアクチュエータと通信する７０個以上の制御システムＥＣＵがあってよい。例として、ＥＣＵは、上記のエンジンスロットルに加えて、パワーステアリング、トランスミッション、アンチロックブレーキ（ＡＢＳ）、エアバッグ展開、クルーズコントロール、パワーウィンドウ、ライト（ヘッドライト、ブレーキライト、方向指示灯）、ドアおよびミラーの調整を制御するために使用されてよい。さらに、車内ネットワークは典型的に、オンボード診断（ＯＢＤ）システムおよび通信ポート、さまざまな車両状態警告システム、衝突回避システム、聴覚および視覚情報およびエンターテイメント（インフォテインメント）システムおよびオンボードカメラシステムによって取得した画像の処理をサポートする。車内ネットワークは一般的に、例として、モバイル通信ネットワーク、ＷｉＦｉおよびＢｌｕｅｔｏｏｔｈ（Ｒ）通信、ＴＰＭＳ（タイヤプレッシャーモニタリングシステム）、Ｖ２Ｘ（車車間通信）、キーレスエントリーシステム、インターネットおよびＧＰＳ（全地球測位システム）へのアクセスも提供する。

0006

車内通信ネットワークに接続されており、車内通信ネットワークを介して通信する車両コンポーネントの通信を構成、管理および制御するために、さまざまな通信プロトコルが開発されてきた。現在利用可能な一般的な車内ネットワーク通信プロトコルは、ＣＡＮ（コントロールエリアネットワーク）、ＦｌｅｘＲａｙ、ＭＯＳＴ（メディア指向システムトランスポート）、イーサネットおよびＬＩＮ（ローカル相互接続ネットワーク）である。プロトコルは、通信バスを定義し、さらに、通信バスに接続されている、一般的にノードと称されるＥＣＵ、センサおよびアクチュエータが制御信号を相互に伝送するために如何にしてこのバスにアクセスし、このバスを使用するのかを定義してよい。

0007

制御信号は、車内ネットワークメッセージのペイロードおよびその一部にパッケージされた車内ネットワークを介して伝播し得る。典型的に、所与の車両モデルの車内ネットワークでは、事前定義されたメッセージカテゴリのセットが使用される。所与のメッセージのカテゴリは、メッセージのヘッダーにおけるメッセージＩＤフィールドにおいて識別されてよい。メッセージカテゴリは、メッセージのペイロード内の複数のフィールドを定義し、これらのフィールド内の制御信号を識別する。典型的に、１つのメッセージは、そのペイロード内に複数の制御信号を含んでいる。典型的に、所与の車両モデルの車内ネットワークにおいて使用されるメッセージのメッセージＩＤは標準化されており、車内ネットワークのソフトウェアアップデートがない場合には、変更されないままであることが予期される。

0008

車内通信ネットワークがサポートする電子制御システム、センサ、アクチュエータ、ＥＣＵ、通信インターフェースおよび通信ポートの多様性の増大によって、車内通信ネットワーク、および通信システムを介して通信する車両コンポーネントは、車両の安全性と性能とを危険にさらす可能性のあるサイバー攻撃に対してますます脆弱になっている。サイバー攻撃は、例えば、運転者アクションが、意図した車両機能を開始できない、または逆に望んでいない車両機能を開始してしまう原因になり得る。例として、サイバー攻撃は、運転者によるブレーキペダルの踏み込みに、ブレーキパッドまたはブレーキライトが反応しない原因になり得る。またはサイバー攻撃は、運転者または安全システムからの指示なしに、車がランダムにブレーキ機能を実行する原因になり得る。

0009

概要
本開示の実施形態の一態様は、車内ネットワークを介して伝送されたメッセージが、車両のコンテクストと衝突するか否かを判断し、任意選択で、そのような場合に、このメッセージがブロックされるべきか、または車両の動作に影響を与えないようにされるべきかを判断するように動作する、車両の車内通信ネットワークにセキュリティを提供するための装置（以降で衝突解決ウォッチマン（ＣＲＷ）とも称される）に関する。車両コンテクストと衝突すると判断されたメッセージは、無効なメッセージと称され、これが、衝突しないと判断された場合には、有効なメッセージと称されてよい。メッセージまたはメッセージの一部をブロックすること、さもなければ車両の動作に影響を与えないようにすることは、メッセージの無力化と称されてよい。

0010

ある実施形態において、ＣＲＷは、登録されたメッセージを特徴付ける少なくとも１つのメッセージ属性と車両コンテクストを特徴付ける１つまたは複数のフィーチャを含んでいる車両コンテクストベクトルとに基づいて、ＣＲＷが登録する所与のメッセージが車両コンテクストと衝突するか否かを判断する。

0011

登録されたメッセージを特徴付ける属性は、例として、メッセージの周期性、周期性の変化、メッセージが包含する値および／またはメッセージが包含する値の変化を含んでいてよい。例として、メッセージに包含されている値には、メッセージＩＤと制御信号の値とが包含されていてよい。一実施形態では、少なくとも１つのメッセージ属性は、登録されたメッセージの送信元の識別、車両の操作者の属性およびメッセージを作成した車両ＤＡＴを操作者がどのように操作するかに応じた属性のうちの１つまたは複数を含み得る。一実施形態では、少なくとも１つのメッセージ属性は、操作者に応じて、メッセージまたはメッセージに含まれている信号を作成する撮像システムまたはオーディオシステム等のジェスチャ認識システムによって作成された信号の値に基づく属性を含み得る。

0012

一実施形態では、ＣＲＷは、所与のメッセージの少なくとも１つのメッセージ属性に応じて分類子を選択し、選択された分類子を車両コンテクストベクトルに適用して、所与のメッセージが車両コンテクストと衝突するか否かを判断する。一実施形態では、車両コンテクストベクトルは、所与のメッセージ以外の１つまたは複数のメッセージの選択を特徴付ける属性の選択を含んでいる。任意選択で、分類子に適用される車両コンテクストベクトルに含まれているフィーチャは、分類子に応じて選択される。

0013

一実施形態では、ＣＲＷは、所与のメッセージを前処理し、所与のメッセージを特徴付ける少なくとも１つの属性に応じて、所与のメッセージが分類子による評価を保証するか否かを判断する。前処理に対する少なくとも１つのメッセージ属性は、それに基づいて分類子が選択される少なくとも１つの属性と同じでも異なっていてもよい。

0014

一実施形態では、車両コンテクストベクトルはリアルタイムで更新される。リアルタイムアップデートには、グローバルフィーチャベクトル(Ｇｌｏｂａｌ Ｆｅａｔｕｒｅ Ｖｅｃｔｏｒ)を維持することが含まれていてよい。グローバルフィーチャベクトルは、任意の所与の時間で、任意選択ですべてのまたは一部のメッセージタイプに対して車内ネットワークを介して伝送されるメッセージに含まれている最新のフィーチャ値を含んでおり、グローバルフィーチャベクトルに応じて更新される車両コンテクストベクトルを伴う。

0015

任意選択で、ＣＲＷは、衝突するメッセージの存在を車両の操作者に警告するヒューマンマシンインターフェース（ＨＭＩ）を含んでいる。任意選択で、ＨＭＩは、操作者が、衝突するメッセージを無効にするために操作し得る緊急入力デバイス（ＥＩＤ）を含んでいる。衝突するメッセージを無効にすると、ＣＲＷは車内ネットワークを制御してよく、ＤＡＴの直接的な操作者制御によって作成されたメッセージと衝突するすべてのメッセージを無効にする。

0016

この概要は、以降の詳細な説明においてさらに説明される概念の選択を簡略化された形式で紹介するために提示されている。この概要は、特許請求の範囲に記載される主題の主要な特徴または本質的な特徴を識別することを意図するものではなく、特許請求の範囲に記載される主題の範囲を制限するために使用されることも意図するものではない。

0017

本発明の実施形態の非限定的な例を、この段落の後に挙げられる添付の図を参照して、以降で説明する。複数の図に表示される同一の構造、要素または部品には通常、それらが表示されるすべての図において、同じ参照番号が付けられている。図に示されているコンポーネントおよび特徴の寸法は、表示の利便性および明確性のために選択されており、必ずしも縮尺どおりに示されているわけではない。

0018

本開示の一実施形態による、ＣＲＷによって保護された車両の車内通信システムの一部の概略的なブロック図を示す。
本開示の一実施形態による、メッセージが有効であるか無効であるかを判断するための、ＣＲＷによるメッセージ衝突解決プロセスの動作を示すフローチャートを示す。
本開示の一実施形態による、ＣＲＷのブロック図を概略的に示す。
本開示の一実施形態による、グローバルフィーチャベクトルを更新するための、ＣＲＷの動作を示すフローチャートを示す。
本開示の一実施形態による、登録されたメッセージに応じたグローバルフィーチャベクトルのリアルタイムアップデートを概略的に示す。
図６Ａおよび図６Ｂは、本開示の一実施形態による、グローバルフィーチャベクトルに応じた車両コンテクストベクトルのリアルタイムアップデートを概略的に示す。

0019

詳細な説明
図１は、加入者車両（図示せず）に含まれ得るネットワークおよび特定の制御システムを保護するＣＲＷ４０を示す、車内通信ネットワーク６０の一部の概略的なブロック図を示している。制御システムおよび／または制御システムの各コンポーネントは、高速ＣＡＮバスバー６１および中速ＣＡＮバスバー７１の一方または両方にそれぞれ接続されている。中速ＣＡＮバス７１は、最大１２５キロビット／秒（Ｋｂｐｓ）のデータ伝送速度で動作するクラスＢのＣＡＮバスであってよく、適切に機能することができる車体制御システムおよびインフォテインメントシステムのコンポーネント等のノード間の通信をサポートし、比較的低いデータ伝送速度でデータを送受信する。例として、中速ＣＡＮバス７１が、それぞれフロントライト制御７２、機器ディスプレイ７３、環境制御７４およびドア制御７５であるノードに接続されていることが概略的に示されている。一実施形態では、中速ＣＡＮバス７１は、ジェスチャ認識システム７６であるノードに接続されている。Ｂｌｕｅｔｏｏｔｈ（Ｒ）およびＷｉｆｉ通信インターフェースを含んでいるインフォテインメントシステム７９と、携帯電話ネットワークへ通信インターフェースを提供し、ハンズフリー通話をサポートするテレマティクスシステム７８とが中速ＣＡＮバス７１に接続されている。ＧＰＳ受信機７７は任意選択でテレマティクスシステム７８とは別個にされており、中速ＣＡＮバス７１に接続されている。高速ＣＡＮバス６１はクラスＣのＣＡＮバスであってよく、これは最大１メガビット／秒（Ｍｂｐｓ）のデータ伝送速度で動作し、適切に動作するために、ノード間で比較的高速のデータ伝送が必要なセンサおよびさまざまな制御システムのＥＣＵ等のノード間の通信をサポートする。高速ＣＡＮバス６１が、エンジン６２、サスペンション６３、トラクション６４、ギアボックス６５およびアンチスキッドブレーキ制御システム６６にそれぞれ接続されていることが、概略的に示されている。高速ＣＡＮバス６１は、車体制御モジュール（ＣＡＮゲートウェイ）８０によって中速ＣＡＮバス７１に接続されている。

0020

本開示の一実施形態では、車内通信ネットワーク６０は、任意選択でＣＲＷ４０によって検出される、衝突するメッセージの存在を車両の操作者８３に警告するように動作可能なＨＭＩを含んでいるノード８１に接続されている。任意選択で、ＨＭＩ８１は、セキュリティ警戒を高めるように操作者がＣＲＷに指示するために操作し得る緊急入力デバイス（ＥＩＤ）８２を含んでいる。ＥＩＤ８２から指示を受け取ると、ＣＲＷは車内ネットワークを制御して、ＤＡＴの直接的な操作者制御によって作成されたメッセージと衝突するすべてのメッセージを無効にする。

0021

ＣＲＷ４０は、任意選択で、高速ＣＡＮバス６１と中速ＣＡＮバス７１との間に接続されている２つの通信ポートモジュールである。

0022

本開示の一実施形態では、図１および／または図２に概略的に示されているように、ＣＲＷ４０は、プロセッサおよびメモリを含んでいる別個のハードウェアコンポーネントである。代替的または追加的に、本開示の実施形態によるＣＲＷは、車内通信ネットワーク６０のノードに含まれているソフトウェアコンポーネントによって定義される「仮想化ウォッチマン」である。例えば、ゲートウェイ８０は、コンピュータ実行可能な指令およびデータを含んでいてよい、または図１のゲートウェイとは別に示される、ＣＲＷ４０によって提供され得る、本開示の実施形態に従ってウォッチマン機能を提供するソフトウェアとハードウェアとの組み合わせを含んでいてよい。別の例として、エンジン制御システム６２におけるＥＣＭ（図示せず）は、ＣＲＷ４０によって提供され得る本開示の実施形態に従ってウォッチマン機能を提供するコンピュータ実行可能な指令およびデータを含んでいてよい。ＣＲＷは、テレマティクスシステム７８等のノードの、車内通信ネットワーク６０のハードウェアに統合されてもよい。

0023

本開示の一実施形態によるＣＲＷ４０は、車内通信ネットワーク６０内の通信を監視するように動作可能であり、これによって、ＣＲＷ４０が受信したメッセージから、このメッセージを特徴付けるために使用され得るデータが蓄積される。ＣＡＮメッセージは、例えば、その１１ビットまたは２９ビットの拡張されたメッセージＩＤ、その各伝送頻度、ペイロードに包含されている制御信号の量、種類および内容によって、およびそれらが伝送される時間を記録するタイムスタンプによって特徴付けられてよい。ＣＡＮメッセージは典型的に、このメッセージの最後に１５ビットの巡回冗長検査（ＣＲＣ）コードも含んでいる。

0024

本開示の一実施形態によるＣＲＷ４０は、ＣＡＮメッセージに関連するデータを記録することに加えて、分析のために自身の性能および動作に関連するデータのログも保持し得る、ということにさらに留意されたい。例えば、メッセージをマルウェアとして識別する際に、ＣＲＷが偽陽性または偽陰性を作成した頻度を判断するために、ＣＲＷ性能データが使用され得る。

0025

一実施形態ではＣＲＷ４０は、データを伝送するか、または車内通信ネットワーク６０に接続されたコンポーネント、例えばインフォテインメントシステム７９またはテレマティクスシステム７８に、データ（以降では「ウォッチマンデータ」とも称される）をデータ監視および処理ハブ（以降では、サイバーハブ（図示せず）とも称される）に伝送するように指示するように動作可能であり、このデータは、ＣＲＷが監視する車内通信ネットワークを介した通信トラフィックに応じる。車内ネットワーク６０を含んでいる車両の外に位置するサイバーハブは、加入者車両からのウォッチマンデータを処理して、検出された異常および／または車両の車内ネットワークを介した通信における無効なメッセージの判断に応じて、ウォッチマンの監視のための情報を提供することができる。サイバーハブまたはサイバーハブから情報を受け取ることを許可された加入者であるユーザは、ＣＲＷ４０を構成するためにこの情報を使用してよい。

0026

サイバーハブは、複数の車両と通信するように動作可能であってよく、各車両は、車内ネットワークを有しており、さらに任意選択でＣＲＷ４０を含んでいる。本開示の一実施形態では、サイバーハブは、複数の加入者車両からのウォッチマンデータを処理して、車両または車両群が差し迫ったサイバー攻撃の脅威にさらされる可能性があるか否か、サイバー攻撃を受けているか否か、またはサイバー攻撃に対する脆弱性を有しているか否かを判断する。差し迫ったサイバー攻撃、行われているサイバー攻撃またはサイバー攻撃に対する脆弱性の検出に応じて、サイバーハブは、適切な有線または無線通信チャネルを介して１つまたは複数のＣＲＷへ情報を伝送することによって、１つまたは複数のＣＲＷを構成してよい。

0027

図２は、本開示の一実施形態による、モデルベースのメッセージ監視プロセスを動作させるＣＲＷの動作をサポートする車内通信ネットワーク６０に接続されているＣＲＷ４０のコンポーネントを概略的に示している。

0028

ＣＲＷ４０は、任意選択で、プロセッサ４１と、ＣＲＷが接続されているＣＡＮバスまたはＣＡＮノードからメッセージを送受信するためのネットワークインターフェース４２とを含んでいる。例として、図１および図２に示されているように、ＣＲＷ４０のネットワークインターフェース４２は、高速ＣＡＮバス６１および中速ＣＡＮバス７１に接続されている。

0029

一実施形態では、ＣＲＷ４０はメモリ４３を含んでおり、ＣＲＷ４０は、任意選択で、複数の分類子（本明細書では「分類子プール５４」と称することがある）のいずれか、および／または登録されたメッセージの記録をメモリ４３に格納するように動作可能である。登録されたメッセージはフィーチャベクトルを包含しており、これは、（本明細書において以降で論じられる）メッセージフィーチャベクトル、車両コンテクストベクトルおよびグローバルフィーチャベクトル等の、登録されたメッセージに基づいたまたは登録されたメッセージから派生したフィーチャを含んでいる。本明細書で説明されるあらゆるフィーチャベクトルは、連続したメモリブロックとしてのメモリ４３に格納されていても、格納されていなくてもよい。

0030

一実施形態では、プロセッサ４１は、本開示の一実施形態に相応して、メッセージ衝突解決プロセスを実行するために、任意選択で、メモリ４３に格納されているコンピュータ実行可能な指令に従って、ネットワークインターフェース４２を介して受信したメッセージを処理する。

0031

図３は、本開示の一実施形態によるメッセージ衝突解決プロセスの動作中に、ＣＲＷが受信する、車内通信ネットワーク６０を介して伝搬したＣＡＮメッセージに対する、ＣＲＷ４０による応答の例示的なシナリオのフローダイヤグラム１００を示している。

0032

ブロック１０２において、ＣＲＷ４０は、任意選択で、ネットワークインターフェース４２を介して、ＣＡＮメッセージを登録する。任意選択で、ネットワークインターフェース４２は、登録されたメッセージにタイムスタンプを付ける。

0033

ブロック１０４において、プロセッサ４１は、登録されたメッセージを特徴付ける少なくとも１つのメッセージ属性を判断する。任意選択で、メッセージ属性は、登録されたメッセージに含まれているフィールドの値および／またはＣＲＷ４０によって登録されたメッセージに割り当てられるフィールドの値を含んでいる。任意選択で、メッセージ属性は、登録されたメッセージのタイムスタンプ（ｔ）を含んでいる。タイムスタンプは任意選択で、ＣＲＷによる、またはメッセージを伝送したノードによるメッセージの登録に際し、伝送時にＣＲＷ４０によって作成される。任意選択で、メッセージ属性にはメッセージのメッセージＩＤが含まれている。任意選択で、メッセージ属性はメッセージの送信元または送信先を含んでいる。任意選択で、メッセージ属性は、登録されたメッセージのペイロードに含まれている信号値（Ｖ）を含んでいる。

0034

任意選択で、メッセージ属性は、現在登録されているメッセージと、現在登録されているメッセージに先行する、ＣＲＷ４０に直近に登録された、同じメッセージＩＤを有する別のメッセージ（「直近の一致メッセージ」）との間のメッセージ属性の変化に基づいている。そのため、メッセージ属性は、登録されたメッセージと直近の一致メッセージとの間の時間間隔（Δｔ）を含んでいる場合がある。代替的または追加的に、メッセージ属性は、登録されたメッセージと直近の一致メッセージとの間の時間間隔における変化（ΔΔｔ）を含んでいてよい。代替的または追加的に、メッセージ属性は、登録されたメッセージと直近の一致メッセージとの間の信号値における変化（Δｖ）を含んでいてよい。メッセージ属性の他の例には：車両の操作者を特徴付ける属性、操作者による車両ＤＡＴの操作から作成された信号に基づく属性および撮像システムまたはオーディオシステム等のジェスチャ認識システムによって作成された制御信号に基づく属性が包含される。任意選択で、撮像システムは、操作者の位置および動きを監視するように構成された光学撮像システムまたは無線周波数撮像システムである。任意選択で、車両の操作者を特徴付ける属性は、操作者または操作者の一部の位置または動きを特徴付ける制御信号を含んでいる。操作者の一部は、例として、腕、脚、手、足、頭、腰または肩であってよい。任意選択で、操作者または操作者の一部の位置または動きを特徴付ける属性は、ジェスチャ認識システムまたは車両ＤＡＴによって作成されたメッセージを特徴付け、かつ任意選択で、ジェスチャ認識システムまたは車両ＤＡＴによって作成されたメッセージに制御信号として含まれる。

0035

ブロック１０６において、プロセッサ４１は、登録されたメッセージが分類子による評価を保証するか否かを判断する。任意選択で、この判断は、登録されたメッセージの少なくとも１つのメッセージ属性に基づいている。任意選択で、特定のメッセージＩＤによって特徴付けられるが、他のメッセージＩＤによっては特徴付けられないすべてのメッセージが、分類子の評価を保証すると判断される。任意選択で、直近の一致メッセージと比較して事前定義された閾値を超えている、少なくとも１つのメッセージ属性における変化、例として、時間間隔における変化（ΔΔｔ）および／または信号値における変化（ΔＶ）によって特徴付けられるメッセージが、分類子による評価を保証すると判断される。事前定義された閾値は、各メッセージ属性に対して異なっていてよい。一実施形態では、この閾値は、車両の操作者によって提供される指示に応じて、多少厳しくされてよい。

0036

例として、特定のメッセージＩＤによって識別されるメッセージは、周期的なメッセージとして指定されてよい。これは、車内ネットワークに接続されたノードによって一定の不変の時間間隔で伝送されるメッセージである。他のメッセージＩＤによって識別される他のメッセージは、周期的かつ変化する（Ｃｙｃｌｉｃ−ａｎｄ−Ｏｎ−Ｃｈａｎｇｅ（ＣＡＯＣ））メッセージとして指定されてよい。これは、一定の時間間隔で伝送されるだけでなく、付加的な時間で、信号値における変化がメッセージペイロードに入れられるメッセージである。したがって、ほとんどの場合、周期的なメッセージおよびＣＡＯＣメッセージは、０の（または事前定義された０からの閾値内にある）ΔΔｔ値を有していてよく、時間間隔の不変性、したがってメッセージタイプの通常の機能を示している。対照的に、０以外の値の（事前定義された閾値を超えて０を上回るまたは下回る）ΔΔｔは、ある種のイベントを示している可能性があり、したがって、このメッセージが、サイバー攻撃の結果として作成された無効なメッセージであるリスクが高いことを示している可能性があり、したがって分類子の評価を保証する。

0037

任意選択で、プロセス１００はブロック１０６を迂回し、登録されたメッセージを特徴付ける少なくとも１つのメッセージ属性の判断（ブロック１０４）から分類子の選択（ブロック１０８）に進む。

0038

ブロック１０８では、プロセッサ４１は、評価を保証すると判断された、登録されたメッセージを評価するための少なくとも１つの分類子を選択する。この分類子は、任意選択で、以降の分類子タイプのいずれかである：決定木、サポートベクターマシン（ＳＶＭ）、ランダムフォレスト分類子および／または最近傍分類子。任意選択で、分類モデルは決定木である。任意選択で、決定木は分類および回帰木（ＣＡＲＴ）である。

0039

一実施形態では、少なくとも１つの分類子が、プロセッサ４１にアクセス可能な分類子プール５４から選択され、任意選択でメモリ４３に格納される。分類子プールに含まれている各分類子は、１つまたは複数のメッセージ属性によって特徴付けられるＣＡＮメッセージの所定のサブセットを評価するために指定されてよい。そのため、一実施形態では、登録されたメッセージを評価するための分類子が、登録されたメッセージの少なくとも１つのメッセージ属性に応じて選択される。例として、少なくとも１つの分類子は、以下のもののうちの１つまたは２つ以上の組み合わせによって特徴付けられるメッセージを評価すると指定されてよい：所与のメッセージＩＤ、所与の信号値および所与の信号の信号値における変化（ΔＶ）。任意選択で、評価を保証すると判断された、登録されたメッセージは、複数の分類子によって評価される。ブロック１０８の分類子選択プロセスにおいて、分類子プール５４が、登録されたメッセージを評価する判断された分類子を包含していないことがある。そのような場合、登録されたメッセージは任意選択で有効と判断される、または代替的に、このメッセージはサイバー攻撃に応じて作成された、より高いリスクを有していると判断され、したがって無効と判断される。

0040

評価を保証するものとしての、登録されたメッセージの判断、および評価を保証すると判断されたこのメッセージを評価する分類子の選択は、任意選択で、登録されたメッセージを特徴付けるメッセージ属性の同じセット、部分的に重畳するセットまたは異なる、重畳しないセットに基づいている。属性のセットは、１つのメッセージ属性を含んでいてよい。例として、登録されたメッセージは、メッセージのメッセージＩＤおよびメッセージのペイロードにおいて符号化された所与の信号の信号値における変化（ΔＶ）に基づいて、分類子の評価を保証すると判断されてよく、このメッセージを評価するための分類子はメッセージＩＤのみに基づいて選択されてよい。

0041

分類子の評価を保証するものとしての、登録されたメッセージの判断（ブロック１０６）および／またはこのメッセージを評価するための分類子の選択（ブロック１０８）は、プロセッサ４１による実行のために、任意選択で、ＣＲＷ４０に含まれているまたはＣＲＷ４０にアクセス可能なメモリに格納されている分類子マッチング規則のセットに応じて実行される。

0042

分類子プール５４および／または分類子マッチング規則セットは、任意選択で、車内ネットワークに接続された他のノードを介した有線または無線接続を介して、例として、図１に示されているように車内ネットワーク６０に接続されているインフォテインメントシステム７９またはテレマティクスシステム７８を介して編集可能であってよい。例として、ＣＲＷ４０は、サイバーハブまたはサイバーハブのユーザから、新規の、または編集された分類子プール、または新規の、または編集された分類子マッチング規則セットを受け取ってよい。

0043

分類子プール５４に含まれている分類子は、任意選択で、以前に記録されたメッセージの履歴および／またはそれらのメッセージ属性を使用して分類子を訓練する機械学習プロセスを通じて作成される。任意選択で、この履歴はこのＣＲＷがインストールされている車両の車内ネットワークから記録される。代替的または追加的に、この履歴は、このＣＲＷがインストールされている車内ネットワークにおいて使用される複数のメッセージタイプと同じ、メッセージＩＤによって特徴付けられている複数のメッセージタイプを使用するように構成されている車内ネットワークを含んでいる１つまたは複数の他の車両の車内ネットワークから記録されたメッセージを包含している。

0044

機械学習プロセスは、任意選択で、以下のことを含んでいる：サイバー攻撃を経験していないと推定される少なくとも１つの車内ネットワークから登録された複数のメッセージのメッセージエントリを含んでいるメッセージ記録メモリにアクセスすること；少なくとも１つの共通メッセージ属性によって特徴付けられたメッセージ記録メモリにおいて複数のメッセージを選択すること；選択されたメッセージに対して、選択されたメッセージより前のメッセージを特徴付ける複数のメッセージ属性を含んでいるテスト車両コンテクストを作成すること；および複数のテスト車両コンテクストと選択されたメッセージとで分類子を訓練すること。

0045

一実施形態では、ブロック１１０において、プロセッサ４１は、選択された（複数の）分類子で登録されたメッセージを評価する。一実施形態では、分類子は、評価されるメッセージ以外の、ＣＲＷによって登録されたメッセージを特徴付ける１つまたは複数のメッセージ属性を含んでいるフィーチャベクトル（「車両コンテクストベクトル」）に照らして、登録されたメッセージを（１）有効、または（２）無効として分類するように構成されているバイナリ分類子である。任意選択で、他の登録されたメッセージは、分類子によって評価される登録されたメッセージより前の、ＣＲＷによって登録されたメッセージを含んでいるか、このようなメッセージからなる。一実施形態では、各分類子は、評価を行う分類子の入力として使用される車両コンテクストベクトルに含まれているメッセージ属性のセットによって個別に特徴付けられ、かつこれを定義する。

0046

例として、所与のメッセージＩＤによって特徴付けられたメッセージを評価するように指定された分類子プール５４内の各分類子に対して、所与の分類子「Ｈ」は、Ｈ（ＩＤｉ，Ｓｉ）として表されてよい。ここで分類子Ｈは、所与の車両コンテクストベクトルＳｉで、メッセージＩＤｉを有するメッセージが予期されていたか否かの評価に対して指定されている。メッセージＩＤｉを有する登録されたメッセージに応じて選択された分類子Ｈ（ＩＤｉ，Ｓｉ）は、車両コンテクストベクトルＳｉに応じて、２つの出力のいずれかを作成するように構成されてよい：（１）登録されたメッセージが有効である；（２）登録されたメッセージが無効である。任意選択で、分類子プールは、車内ネットワークで使用されるメッセージＩＤのそれぞれまたはサブセットに対して指定された少なくとも１つの分類子を含んでいる。

0047

別の例として、分類子プールの各分類子は、車両コンテクストベクトルに照らして、所与のメッセージＩＤを有する登録されたメッセージにおいて符号化された所与の信号の値Ｖｊにおける変化ΔＶｊが予期されていたか否かを評価するように指定されてよい。そのような例では、所与の分類子Ｈは、Ｈ（ＩＤｉ［ΔＶｊ］，Ｓｉｊ）として表されてよく、ここでは分類子Ｈは、メッセージＩＤｉを有する登録されたメッセージの評価に対して指定されており、所与の車両コンテクストベクトルＳｉｊで、登録されたメッセージが信号値Ｖｊにおける変化を示すことが予期されていたか否かを評価する。分類子Ｈ（ＩＤｉ［ΔＶｊ］，Ｓｉｊ）の出力、（１）信号値Ｖｊの変化または（２）信号値Ｖｊの無変化が、登録されたメッセージの実際の状態Ｖｊと比較される。分類子の出力が、登録されたメッセージの実際の状態Ｖｊと一致する場合、つまり、分類子の出力が「信号値Ｖｊにおける変化が予期される」であり、かつ登録されたメッセージの信号値Ｖｊが所定の閾値を超えて変化した場合、または分類子の出力が「信号値Ｖｊが変化しない」であり、かつ登録されたメッセージの信号値Ｖｊが変化しなかった場合（所定の閾値内に留まっている場合）、登録されたメッセージは有効であると判断される。そうではなく、分類子の出力が登録されたメッセージのＶｊの実際の状態と一致しない場合、このメッセージは無効であると判断される。

0048

任意選択で、少なくとも１つの車両コンテクストベクトルは、車両の操作者または操作者の一部の位置および／または動きを特徴付ける１つまたは複数のメッセージ属性を含んでおり、登録されたメッセージの有効性は、車両の操作者または操作者の少なくとも一部、例えば腕、脚、手、足、頭、腰または肩の位置および／または動きを特徴付ける少なくとも１つのメッセージ属性に相応して判断される。任意選択で、位置および／または動きを特徴付ける１つまたは複数のメッセージ属性は、車両の操作中に操作者を監視するように構成されている撮像システムを含み得るＤＡＴまたはジェスチャ認識システム７６によって作成されたメッセージを特徴付ける。

0049

一実施形態では、ブロック１１２において、プロセッサ４１が、登録されたメッセージが無効であると判断した場合、登録されたメッセージは無力化される。任意選択で、無力化されたメッセージまたはその一部はブロックされる、またはそうでない場合には、車両および／または車内ネットワークの動作に影響を与えないようにされる。

0050

一実施形態では、車両コンテクストベクトルは、リアルタイムで動的に更新される。一実施形態では、プロセッサ４１が、登録されたメッセージが有効であると判断すると、ブロック１１４において、１つまたは複数の車両コンテクストベクトルが更新されて、登録されたメッセージのメッセージ属性が組み込まれる。

0051

一実施形態では、１つまたは複数の車両コンテクストベクトルは、図２に示されたボックス５２として概略的に表されているグローバルフィーチャベクトルを通じてリアルタイムに更新される。これは、任意の所与の時間で、任意選択でメッセージタイプのすべてまたはサブセットに対して車内ネットワークを介して伝送されたメッセージを特徴付けるメッセージ属性の最新の値を含んでいる。一実施形態では、グローバルフィーチャベクトル５２は、任意の所与の時間で、１つまたは複数の車両コンテクストベクトルに含まれているすべてのメッセージ属性の最新の値を含んでおり、グローバルフィーチャベクトル５２は更新されて、登録されたメッセージのメッセージ属性値が組み込まれる。

0052

グローバルフィーチャベクトル５２の維持に関するさらなる任意選択の詳細および実施形態を、図４および図５を参照して以降で提示する。

0053

任意選択で、グローバルフィーチャベクトル５２はメモリ４３に格納されている。車両コンテクストベクトルは、任意選択で、グローバルフィーチャベクトル５２に含まれているメッセージ属性の選択からなり、グローバルフィーチャベクトルにおけるメッセージ属性の値が変化する場合、この変化は、同じフィーチャを含んでいる車両コンテクストベクトルにも反映される。一実施形態では、グローバルフィーチャベクトル５２は、任意の所与の時間で、１つまたは複数の車両コンテクストベクトルに含まれているメッセージ属性の最新の値を含んでいる。グローバルフィーチャベクトル５２および車両コンテクストベクトルに対するその関係に関するさらなる任意選択の詳細および実施形態を、図６Ａおよび図６Ｂを参照して以降で提示する。

0054

一実施形態では、１つまたは複数の車両コンテクストベクトルは、相互に別個の、およびグローバルフィーチャベクトル５２から別個のベクトルとしてメモリ４３に格納され、その値はグローバルフィーチャベクトルから更新される。そのため、任意選択で、プロセッサ４１がメッセージを評価するときに、プロセッサ４１は、選択された分類子に関連付けられた適切な車両コンテクストベクトルに格納されたフィーチャ値を、選択された分類子に提供する。別の実施形態では、１つまたは複数の車両コンテクストベクトルは、グローバルフィーチャベクトル５２内に含まれているフィーチャの集まりとして格納され得る。そのため、任意選択で、プロセッサ４１がメッセージを評価するとき、プロセッサ４１はグローバルフィーチャベクトル５２に含まれているフィーチャのセットを入力として選択する。この入力は、メッセージを評価するために選択された分類子に、選択された分類子に関連付けられたコンテクストフィーチャベクトルを特徴付けるフィーチャの適切なセットを提供する。

0055

任意選択で、ＣＲＷはＨＭＩ８１（図１）を含んでいるか、または動作可能にＨＭＩ８１に接続されており、これは、ＣＲＷがこのメッセージが無効であると判断したときに、メッセージの衝突を車両の操作者８３に警告する。任意選択で、ＨＭＩ８１は、所定の時間枠内で所定の数を超えるメッセージが無効であると判断されたときに、操作者８３に警告するように動作可能である。任意選択で、ＨＭＩに含まれているＥＩＤ８２の操作者の操作は、ＣＲＷにセキュリティ警戒を強化するように指示する。例として、操作者の指示を受け取ると、ＣＲＷは無効なメッセージを無力化することを始める。代替的または追加的に、操作者の無効化の指示を受け取ると、ＣＲＷは、車内ネットワークを制御して、ＤＡＴまたはジェスチャ認識システムの直接的な操作者制御によって作成されたメッセージを優先し、他のメッセージを無効にする。任意選択で、ＣＲＷのデフォルト状態はメッセージの評価においてアクティブではなく、操作者がＥＩＤをアクティブにするとＣＲＷがアクティブになる。代替的または追加的に、セキュリティ警戒を高める操作者のＥＩＤ指示を受け取ると、ＣＲＷは、操作者によるＥＩＤのさらなるアクティブ化を伴わずに、後続の衝突するメッセージの無効化を続けてよい。

0056

任意選択で、操作者のＥＩＤ８２のアクティブ化によって、以前は有効であると考えられていたメッセージが無効になるように、閾値が変えられ得る。任意選択で、ＥＩＤのアクティブ化によって閾値が変更され、（図２に示されているように）以前は決定ブロック１０６において、分類子による評価を保証すると判断されなかったメッセージが、評価を保証すると見なされるだろう。任意選択で、ＥＩＤのアクティブ化は、分類子による評価を保証するものとして判断される、少なくとも１つのメッセージ属性における変化、例として、時間間隔における変化（ΔΔｔ）および／または信号値における変化（ΔＶ）に対する所定の閾値を、直近の一致メッセージと比較して低下させる。

0057

ここで、図４および図５を参照する。図４は、本開示の一実施形態による、グローバルフィーチャベクトルをリアルタイムで維持するための、プロセッサ４１によって任意選択で実行されるプロセス２００を示すフローチャートを示している。図５は、本開示の一実施形態による、登録されたメッセージに応じて作成されたメッセージフィーチャベクトルの表現およびグローバルフィーチャベクトルの表現を概略的に示している。任意選択で、プロセス２００はプロセス１００のブロック１１４に含まれている。

0058

一実施形態では、ブロック２０２において、プロセッサ４１は、登録されたメッセージの少なくとも１つのメッセージ属性を含んでいるメッセージフィーチャベクトルを作成する。このメッセージフィーチャベクトルに含まれているメッセージ属性は、プロセス１００のブロック１０６を参照して本明細書で開示されるメッセージ属性のいずれかから任意選択で選択され、これは登録されたメッセージが、分類子による評価を保証するか否かを判断する。登録されたメッセージが評価を保証するか否かの判断において使用される少なくとも１つのメッセージ属性と、メッセージフィーチャベクトルに含まれている少なくとも１つのメッセージ属性との同一性または重複があっても、なくてもよい。

0059

メッセージフィーチャベクトルは、ＩＤｉである所与のメッセージＩＤを有しているメッセージを特徴付け、ここで１≦ｉ≦Ｉであり、かつＩは、車内ネットワークにおいて使用される異なるメッセージＩＤのすべてまたはサブセットの数を表す。所与のメッセージＩＤｉに対するメッセージフィーチャベクトルは、所定数Ｊ（ｉ）のフィーチャを有していてよく、各フィーチャはｆｉ，ｊとして表される。ここで１≦ｊ≦Ｊ（ｉ）である。したがって、ＩＤｉであるメッセージＩＤを有するメッセージのメッセージフィーチャベクトルは、フィーチャのセットｆｉ，１，ｆｉ，２，ｆｉ，ｊ・・・ｆｉ，Ｊ（ｉ）として表されてよい。そのため、Ｊ（ｉ）のフィーチャを含んでいる、時間ｔｎでタイムスタンプが付けられた、ＩＤｉであるメッセージＩＤを有しているメッセージを特徴付けるメッセージフィーチャベクトルは、{ｆｉ，ｊ（ｔｎ）｜１≦ｊ≦Ｊ（ｉ）}として表されてよい。各メッセージＩＤは、それぞれの各メッセージフィーチャベクトルに包含されている異なるフィーチャを有していてよい。車内ネットワークは、例えば２０個、５０個または１０００個のメッセージタイプを使用してよく、各メッセージは、メッセージＩＤ、メッセージの送信元および送信先、ならびにさまざまな信号値等のメッセージ属性を符号化する１２個以上のフィールドを含んでいてよい。さらに、例えば、登録に対するタイムスタンプである一部のメッセージ属性は、メッセージフィールドにおいて直接的に符号化されず、信号値における変化（ΔＶ）等の他のメッセージ属性は、メッセージフィールド値から計算される。そのため、グローバルフィーチャベクトル５２は、数千個のフィーチャを含んでいてよい。

0060

一実施形態では、メッセージベクトルに包含されているメッセージ属性は、メッセージの評価に使用可能な分類子によって判断される（例として、図２に示されている分類子プール５４に含まれている）。任意選択で、それぞれの車両コンテクストベクトルの入力として、使用可能な分類子の少なくとも１つによって使用されるメッセージ属性だけが、メッセージフィーチャベクトルに包含されている。例として、分類子プール内の少なくとも１つの分類子が、メッセージＩＤ５の時間間隔における変化（ΔΔｔ）を入力として使用する場合、ΔΔｔは、メッセージＩＤ５を有する登録されたメッセージから作成されたメッセージフィーチャベクトルにおいてフィーチャとして包含されている。しかし、分類子プールにおける分類子のいずれも、入力としてメッセージＩＤ３４のΔΔｔを使用しない場合には、ΔΔｔは、メッセージＩＤ３４を有する登録されたメッセージから作成されたメッセージフィーチャベクトルにおいてフィーチャとして包含されていない。

0061

例として、ｔ＝ｔ１でタイムスタンプが付けられたメッセージＩＤ５を有するメッセージを特徴付けるメッセージフィーチャベクトルは、９（Ｊ（５）＝９）個のメッセージフィーチャを含んでいるフィーチャベクトルであってよい：ｆ５，１（ｔ２）としてのメッセージＩＤ５；ｆ５，２（ｔ２）としてのメッセージ送信元；ｆ５，３（ｔ２）としてのタイムスタンプｔ２；ｆ５，４（ｔ２）としての、登録されたメッセージのタイムスタンプと直近の一致メッセージのタイムスタンプとの間の時間間隔（Δｔ）；ｆ５，５（ｔ２）としての、直近の一致メッセージの時間間隔と比較した時間間隔（Δｔ）における変化（ΔΔｔ）；ｆ５，６（ｔ２）としての第１の信号値Ｖ１；ｆ５，７（ｔ２）としての直近の一致メッセージの信号値と比較した第１の信号値における変化（ΔＶ１）；ｆ５，８（ｔ２）としての第２の信号値Ｖ２；ｆ５，９（ｔ２）としての直近の一致メッセージの信号値と比較した第２の信号値における変化（ΔＶ２）。

0062

登録されたメッセージが、評価を保証しないと判断された（ブロック１０６、図３）か、または分類子による評価の後に有効であると判断された（ブロック１１０、図３）後、任意選択で、登録されたメッセージのメッセージフィーチャベクトルが作成される。択一的に、登録されたメッセージのメッセージフィーチャベクトルが最初に作成され、少なくとも１つのメッセージ属性の判断（ブロック１０４、図３）は、メッセージ属性ベクトルからのメッセージ属性の選択を含む。

0063

図５は、時間ｔ０からｔ４００で、ＣＲＷ４０によって以前に登録されたメッセージのセットを挙げるデータテーブル５６を示している。時間ｔ０において、ＣＲＷ４０は、ＩＤ５であるメッセージＩＤを有しているメッセージを登録し、メッセージフィーチャベクトルを作成する。このメッセージフィーチャベクトルは、登録されたメッセージを特徴付けるＪ（５）のメッセージ属性を含んでおり、このメッセージフィーチャベクトルは、データテーブル５６において、ｆ５，１（ｔ０），・・・，ｆ５，ｊ（ｔ０），・・・，ｆ５，ｊ（５）（ｔ０）として表されている。データテーブル５６において示されているように、さらなるメッセージが時間にわたって登録される。

0064

図５は、グローバルフィーチャベクトル５２の表現も示している。任意選択で、グローバルフィーチャベクトル５２は、車内ネットワークにおいて使用されるすべてのメッセージＩＤのそれぞれ、または所定のサブセットに対して、メッセージベクトルの連結を含んでおり、違いは、特定の時間で登録された特定のメッセージを特徴付ける値を有する各メッセージ属性（例えば、データテーブル５６において示されているメッセージフィーチャベクトルのように）の代わりに、グローバルフィーチャベクトルにおける各フィーチャが、対応するメッセージ属性の最新の値（時間＝Ｌで表される）を有しているということである。ＣＲＷ４０によって以前に登録されたメッセージに基づいて、メッセージ属性の最新の値を有する、ＩＤｉであるメッセージＩＤを有するメッセージを特徴付けるｊ番目のフィーチャは、ｆｉ，ｊ（Ｌ）として表されてよい。したがって、各メッセージＩＤのメッセージを特徴付ける各メッセージ属性に対する最新のメッセージ属性値を格納するグローバルフィーチャベクトルは、次のように表されてよい：
{ｆｉ，ｊ（Ｌ）｜１≦ｉ≦Ｉ,１≦ｊ≦Ｊ（ｉ）}
ここで、Ｉは、車内ネットワークで使用される異なるメッセージＩＤのすべてまたはサブセットの数を表し、Ｊ（ｉ）は、ＩＤｉである所与のメッセージＩＤを有しているメッセージを特徴付けるメッセージ属性の数を表している。グローバルフィーチャベクトルは、より拡張された形式で表される場合、図５におけるグローバルフィーチャベクトル５２に対して示されているように表されてよい：
{ｆ１，ｊ（Ｌ）｜１≦ｊ≦Ｊ（１）}，{ｆ２，ｊ（Ｌ）｜１≦ｊ≦Ｊ（２）}・・・{ｆｉ，ｊ（Ｌ）｜１≦ｊ≦Ｊ（ｉ）}・・・{ｆ５，ｊ（Ｌ）｜１≦ｊ≦Ｊ（５）}・・・{ｆＩ，ｊ（Ｌ）｜１≦ｊ≦Ｊ（Ｉ）}．

0065

ブロック２０４（図４）において、プロセッサ４１は、任意選択で、メッセージフィーチャベクトルに含まれているメッセージ属性を、グローバルフィーチャベクトル５２における対応するフィーチャと比較する。任意選択で、決定ブロック２０６において、対応するフィーチャにおける各値が同じである場合、グローバルフィーチャベクトル５２に対して変更は行われず（ブロック２０７）、メッセージフィーチャベクトルは任意選択で削除される、または例としてメモリ４３に格納される。また、決定ブロック２０６においても、対応するフィーチャにおける各値が異なる場合、ブロック２０８において、グローバルフィーチャベクトルにおける比較されたフィーチャの値が、メッセージフィーチャベクトルにおける対応するフィーチャの値に更新される。グローバルフィーチャベクトルの更新に続いて、ブロック２１０において、１つまたは複数の車両コンテクストベクトルにおける１つまたは複数の対応するフィーチャが、グローバルフィーチャベクトルの更新に応じて更新されてよい。さらに、グローバルフィーチャベクトルおよび／または車両コンテクストベクトルの更新後、メッセージベクトルは任意選択で、削除されるか、またはメモリ４３に格納される。

0066

例として、データテーブル５６（図５）において示されているように、時間＝ｔ４００でＣＲＷ４０によって登録された、ＩＤ２であるメッセージＩＤを有するメッセージが、メッセージ属性ｆ５，７（ｔ４００）を有することが見出される。このメッセージ属性の値は、グローバルフィーチャベクトル５２における対応するフィーチャｆ５，７（Ｌ）の値とは異なる。値における差が判断されると、プロセッサ４１は、グローバルフィーチャベクトル５２におけるフィーチャｆ５，７（Ｌ）の値を、ｆ５，７（ｔ４００）の値に更新する。値ｆ５，７（ｔ４００）によるフィーチャｆ５，７（Ｌ）の値の更新は、図５において、データテーブル５６に示されている太字の「ｆ５，７（ｔ４００）」を太字の{ｆ５，ｊ（Ｌ）｜１≦ｊ≦Ｊ（５）}と接続するブロック矢印５７として概略的に示されている。

0067

プロセス２００の代替的な実施形態において、ブロック２０４と２０６とが迂回され、メッセージ属性値の比較は行われないので、メッセージフィーチャベクトルが作成された（ブロック２０２）後、グローバルフィーチャベクトルが更新され（ブロック２０８）、メッセージフィーチャベクトルに含まれている対応するメッセージ属性のそれぞれの値が反映される。この更新は、対応するメッセージ属性値が同じか、異なっているかに関係なく行われる。このようなプロセスではより多くのフィーチャが更新されるが、属性値の比較を迂回すると、有利には、プロセスの計算負荷が軽減される。プロセス２００のさらに別の代替的な実施形態では、ブロック２０２、２０４および２０６が迂回され、グローバルフィーチャベクトルが更新され（ブロック２０８）、別個のメッセージフィーチャを作成することなく、登録されたメッセージから導出された対応するメッセージ属性の値が反映される。

0068

一実施形態では、グローバルフィーチャベクトル５２は、タイムスタンプおよび信号値等のメッセージ属性を包含しているので、次に登録されるメッセージとその直近の一致メッセージとの間のメッセージ属性の変化の計算を必要とする、Δｔ、ΔΔｔさらにΔＶ等のメッセージ属性は、グローバルフィーチャベクトル５２に格納されている値から計算できるので、登録された各メッセージに対して作成されたメッセージフィーチャベクトルを格納する必要はない。一実施形態では、登録されたメッセージが、分類子による評価を保証するか否かを判断する（図３に示されているプロセス１００のブロック１０６）ための、または分類子を選択する（図３に示されているプロセス１００のブロック１０８）ための少なくとも１つのメッセージ属性を計算するために、グローバルフィーチャベクトル５２が使用可能であるということに留意されたい。

0069

ここで、図６Ａから図６Ｂを参照する。これらの図は、本開示の実施形態による、グローバルフィーチャベクトルに応じた車両コンテクストベクトルのリアルタイムアップデートを概略的に示している。

0070

図６Ａは、複数の例示的な分類子Ｈ（ＩＤｉ，Ｓｉ）を挙げているデータテーブル５８を示しており、ここでは１≦ｉ≦Ｉは、メッセージＩＤであるＩＤ１からＩＤＩの１つによって特徴付けられた、登録されたメッセージを評価するための分類子プールに含まれている。プロセス１００のブロック１１０（図３）を参照して上述したように、分類子プールに含まれている各分類子は別個に、ＣＲＷ４０によって登録されたメッセージの評価に使用される、車両コンテクストベクトルＳｉに含まれているフィーチャのセットによって特徴付けられ、かつこれを定義する。任意選択で、車両コンテクストベクトルに含まれているフィーチャは、グローバルフィーチャベクトル５２から選択される。例として、データテーブル５８において示されているように、車両コンテクストベクトルＳ１は、グローバルフィーチャベクトルから選択された４つのフィーチャを包含している：ｆ１，４（Ｌ），ｆ５，７（Ｌ），ｆ２０，１０（Ｌ）およびｆ５６，７（Ｌ）。別の例として、車両コンテクストベクトルＳ２は、グローバルフィーチャベクトルから選択された５つのフィーチャを包含している。ｆ１５，３（Ｌ），ｆ２６，５（Ｌ），ｆ２６，１０（Ｌ），ｆ３０，３（Ｌ）およびｆ９１，１１（Ｌ）。別の例として、車両コンテクストベクトルＳ４は、グローバルフィーチャベクトル５２から選択された１つのフィーチャを包含している：ｆ４５,６（Ｌ）。そのため、例として、プロセッサ４１が、メッセージＩＤｉによって特徴付けられたメッセージを評価するときに、プロセッサ４１は、選択された分類子に関連付けられた適切な車両コンテクストベクトルＳｉに格納されているフィーチャ値を有する選択された分類子Ｈ（ＩＤｉ,Ｓｉ）を提供する。

0071

図６Ｂは、図５に示されているように、グローバルフィーチャベクトル５２の表現および例示的な車両コンテクストベクトルＳ１の表現を概略的に示しており、これは参照番号５５で示されており、またデータテーブル５８にも挙げられている（図６Ａ）。グローバルフィーチャベクトル５２に含まれているフィーチャが新しい値、例として、図５において示され、図５を参照して説明されたように、ｔ４００でＣＲＷ４０によって登録されたメッセージに応じて更新されたフィーチャｆ５，７（Ｌ）で更新されると、車両コンテクストベクトルＳ１に含まれているフィーチャｆ５，７（Ｌ）も更新される。グローバルフィーチャベクトル５２における対応するフィーチャの更新に応じた、車両コンテクストベクトルＳ１に含まれているフィーチャｆ５，７（Ｌ）の更新は、図６Ｂにおいてブロック矢印５９として概略的に表されている。更新に続いて、コンテクストベクトルＳ１が、分類子Ｈ（ＩＤ１，Ｓ１）において、車内ネットワーク６０を介して伝送され、ＩＤ１によって識別されるメッセージが有効か無効かを判断するために使用されてよい。

0072

代替的な実施形態では、１つまたは複数の車両コンテクストベクトルＳｉは、図６Ａおよび図６Ｂに示されているように、別個のベクトルとして格納されているのではなく、むしろ、グローバルフィーチャベクトル５２内に含まれているフィーチャの集まりとして格納されている。そのため、例として、プロセッサ４１がメッセージＩＤｉによって特徴付けられたメッセージを評価するとき、プロセッサ４１は、グローバルフィーチャベクトル５２に含まれているフィーチャの適切なセットを、入力として選択する。この入力は、メッセージを評価するために選択された分類子Ｈ（ＩＤｉ，Ｓｉ）に、この選択された分類子に関連付けられたコンテクストフィーチャベクトルＳｉを特徴付けるフィーチャの適切なセットを提供する。

0073

一実施形態では、ＣＲＷ４０は、有効または無効であると判断したメッセージの記録を保持するように動作可能である。無効なメッセージの記録は、有効性または無効性の状態に関連付けられ、任意選択でメモリ４３に格納された、無効化されたメッセージの１つまたは複数のメッセージ属性を包含していてよい。一実施形態において、無効なメッセージの記録のすべてまたは一部は、ＣＲＷ４０によって収集された他のウォッチマンデータと同様に、任意選択で、プロセス１００および／または２００のその性能を介して、車内ネットワーク６０外にある、サイバーハブ等のシステム、デバイスまたはモジュールによってアクセスされてよく、またはこれらに伝送されてよく、これによってＣＲＷ４０の監視性能が分析され、例として、ウォッチマンがメッセージを有効または無効として識別する際に偽陽性または偽陰性を作成した頻度が評価される。

0074

したがって、本開示の一実施形態に従って、バスと、このバスに接続された少なくとも１つのノードとを有する車内通信ネットワークにセキュリティを提供するためのモジュールが提供される。このモジュールは：実行可能な指示を含んでいるソフトウェアと車内通信ネットワークの一部を介したデータ通信の予期される動作のモデルとを含んでいるメモリと；メモリ内のソフトウェアに応じて、車内ネットワークの一部から登録された複数のメッセージを処理するプロセッサとを含んでおり、これは：モデルおよび複数のメッセージの属性を含んでいるコンテクストに基づいて、少なくとも１つのメッセージがモデルに従っているか否かを判断し；少なくとも１つのメッセージがモデルに従っていない場合には、メッセージに対して少なくとも１つのアクションを実行する。任意選択で、複数のメッセージの属性は、車両の操作者の行動を特徴付ける１つまたは複数の属性を含んでいる。任意選択で、モデルは分類子によって定義され、コンテクストは、登録されたメッセージ以外の１つまたは複数のメッセージを特徴付ける１つまたは複数のメッセージ属性を含んでいるフィーチャベクトルによって定義される。

0075

一実施形態では、メモリは、１つまたは複数の分類子と、登録されたメッセージ以外の１つまたは複数のメッセージを特徴付ける１つまたは複数のメッセージ属性を含んでいる少なくとも１つのフィーチャベクトルとを含んでいる；さらに、プロセッサは、メモリ内のソフトウェアに応じて、登録されたメッセージを処理し：これによって、登録されたメッセージを特徴付ける少なくとも１つの属性に応じて、複数の分類子から分類子を選択し；フィーチャベクトルに照らして選択された分類子に応じて、登録されたメッセージが有効または無効であると判断し；登録されたメッセージが無効であるという判断に応じて、登録されたメッセージに対して少なくとも１つのアクションを実行する。任意選択で、少なくとも１つのフィーチャベクトルの各フィーチャベクトルは、１つまたは複数の分類子のうちの１つの分類子への入力として指定される。任意選択で、少なくとも１つのフィーチャベクトルは、車両の操作者または操作者の一部の位置および／または動きを特徴付ける１つまたは複数のメッセージ属性を含んでおり、登録されたメッセージが有効であることは、車両の操作者または操作者の少なくとも一部の位置および／または動きを特徴付ける少なくとも１つのメッセージフィーチャに応じて判断される。任意選択で、位置および／または動きを特徴付ける１つまたは複数のメッセージ属性は、運転者アクショントランスデューサまたはジェスチャ認識システムによって作成されたメッセージを特徴付ける。任意選択で、ジェスチャ認識システムは、車両の動作中に操作者を監視するように構成されている撮像システムである。

0076

一実施形態では、登録されたメッセージを特徴付ける少なくとも１つの属性は、登録されたメッセージのメッセージＩＤを含んでおり、選択された分類子は、登録されたメッセージの所与のメッセージＩＤに応じて選択される。任意選択で、登録されたメッセージを特徴付ける少なくとも１つの属性は、次のいずれかまたは両方を含んでいる：登録されたメッセージと、所与のメッセージＩＤと同じメッセージＩＤを有している直近の以前のメッセージとの間の時間間隔における事前定義された閾値を超える変化；および登録されたメッセージと、所与のメッセージＩＤと同じメッセージＩＤを有している直近の以前のメッセージとの間の制御信号の値における所定の閾値を超える変化。任意選択で、分類子の出力は、所与のメッセージＩＤによって特徴付けられたメッセージが、フィーチャベクトルに照らして有効であるか否かを含んでいる。

0077

一実施形態において、分類子は、所与のフィーチャベクトルで、信号値における変化が予期されるか否かの出力を提供するように構成されており、登録されたメッセージにおける対応する信号値におけるその変化または欠如が分類子の出力と一致している場合には、メッセージは有効であるとみなされ；かつ登録されたメッセージにおける対応する信号値におけるその変化または欠如が分類子の出力と一致しない場合には、メッセージは無効であるとみなされる。

0078

一実施形態では、登録されたメッセージを特徴付ける対応する属性の値と一致するように、少なくとも１つのフィーチャベクトルに含まれている少なくとも１つのメッセージ属性を更新するように、プロセッサは動作可能である。任意選択で、登録されたメッセージが有効であると判断されたことに応じて、少なくとも１つのフィーチャベクトルを更新するように、プロセッサは動作可能である。任意選択で、任意の所与の時間で少なくとも１つのフィーチャベクトルに含まれているすべてのメッセージフィーチャの最新の値を含んでいる別のフィーチャベクトル（グローバルフィーチャベクトル）を維持するように；登録されたメッセージを特徴付ける対応するメッセージフィーチャの値と一致するように、グローバルフィーチャベクトルに含まれている少なくとも１つのメッセージフィーチャを更新するように；かつグローバルフィーチャベクトルに含まれている対応するメッセージフィーチャの値と一致するように、少なくとも１つのフィーチャベクトルに含まれている少なくとも１つのメッセージフィーチャを更新するように、プロセッサは動作可能である。

0079

一実施形態では、メッセージに対する少なくとも１つのアクションは、登録されたメッセージを無力化することを含んでいる。任意選択で、セキュリティ警戒を強化するために、さらに車両の操作者からの指示の受け取りに応じて、登録されたメッセージを無力化するように、プロセッサは動作可能である。任意選択で、登録されたメッセージがモデルに従っていないと判断されたことに応じてメッセージの衝突の存在を操作者に警告し、セキュリティ警戒を強化するための指示を提供するように操作者を促すように、車両に含まれているヒューマンマシンインターフェースに指示するように、プロセッサは動作可能である。

0080

一実施形態では、モジュールは、車両の車内通信ネットワークの一部に接続されるように構成されているネットワークインターフェースを含んでいるハードウェアモジュールである。一実施形態では、モジュールは、車内ネットワークの少なくとも１つのノードのソフトウェアと統合されているソフトウェアモジュールである。

0081

本願の説明および特許請求の範囲において、動詞、「含む（ｃｏｍｐｒｉｓｅ）」、「包含する（ｉｎｃｌｕｄｅ）」、「有する（ｈａｖｅ）」、およびそれらの共役のそれぞれは、この動詞の１つまたは複数の対象が必ずしも、この動詞の１つまたは複数の主題のコンポーネント、要素または一部を列挙する完全なものではないことを示すために使用される。

0082

本願における本発明の実施形態の説明は、例として提供されており、本発明の範囲を限定することを意図するものではない。説明した実施形態は異なる特徴を含んでおり、それらのすべてが本発明のすべての実施形態において必要とされるわけではない。一部の実施形態は、特徴の一部のみを利用する、または特徴の可能な組み合わせを利用する。当業者は、記載された本発明の実施形態の変形、および上述の実施形態に記載された特徴の異なる組み合わせを含んでいる本発明の実施形態を見出すだろう。本発明の範囲は、特許請求の範囲によってのみ制限される。