WO2025028500A1

WO2025028500A1 - 異常検知方法、異常検知装置及びプログラム

Info

Publication number: WO2025028500A1
Application number: PCT/JP2024/027060
Authority: WO
Inventors: 有貴加賀; 剛岸川; 良浩氏家
Original assignee: Panasonic Intellectual Property Management Co Ltd
Current assignee: Panasonic Intellectual Property Management Co Ltd
Priority date: 2023-08-03
Filing date: 2024-07-30
Publication date: 2025-02-06
Anticipated expiration: 2026-02-03
Also published as: WO2025027863A1

Abstract

１以上の上位電子制御装置が配置された上位ネットワークと、１以上の下位電子制御装置が配置された下位ネットワークとを含む階層構造を有する車載ネットワークにおける上位電子制御装置による異常検知方法であって、車載ネットワークの所定の観測箇所において受信されるメッセージのヘッダ情報によって分類されるフローごとの統計情報であるフロー情報を収集し（Ｓ１０２）、フロー情報に基づいて異常検知を行い（Ｓ１０４）、異常検知の結果に基づいて、ＤＰＩルールの生成、追加、削除、変更、有効化及び無効化のいずれかを行い（Ｓ１０５）、ＤＰＩルールは、１以上の下位電子制御装置におけるメッセージの監視に用いられ、ＤＰＩルールは、メッセージに含まれるヘッダ情報及びペイロード情報の条件と、条件に合致するメッセージを受信した場合の処理内容とを示す。

Description

異常検知方法、異常検知装置及びプログラム

　本開示は、車載ネットワークシステムにおいて、通信の異常を検知する装置及び通信の異常を検知する方法に関する。

　近年、自動車の中のシステムには、電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）と呼ばれる装置が多数配置されている。これらのＥＣＵをつなぐネットワークは車載ネットワークと呼ばれる。車載ネットワークの中には多数の規格が存在し、その中で最も主流な車載ネットワーク規格の一つに、Ｃｏｎｔｒｏｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ（以降、ＣＡＮ）という規格が存在する。

　しかし近年では、自動運転及びコネクテッド化の普及に伴い、車載ネットワークトラフィックの増大が予想され、ＣＡＮよりも高速な通信規格である車載イーサネット（Ｅｔｈｅｒｎｅｔ）の普及が進んでいる。

　また、悪意のある攻撃者を監視する異常検知方法として、例えば、非特許文献１に記載されている方法が知られている。

Ｓｐｅｃｉｆｉｃａｔｉｏｎ　ｏｆ　ｔｈｅ　ＩＰ　Ｆｌｏｗ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｅｘｐｏｒｔ（ＩＰＦＩＸ）Ｐｒｏｔｏｃｏｌ　ｆｏｒ　Ｅｘｃｈａｎｇｅ　ｏｆ　Ｆｌｏｗ　Ｉｎｆｏｒｍａｔｉｏｎ　（ＲＦＣ７０１１）、Ｓｅｐｔｅｍｂｅｒ　２０１３、＜ｈｔｔｐｓ：／／ｗｗｗ．ｒｆｃ－ｅｄｉｔｏｒ．ｏｒｇ／ｒｆｃ／ｐｄｆｒｆｃ／ｒｆｃ７０１１．ｔｘｔ．ｐｄｆ＞

　このような異常検知では、トレードオフの関係にある検知精度と処理量とを適切に両立できることが望まれている。

　本開示は、検知精度と処理量とを適切に両立できる異常検知方法及び異常検知装置等を提供することを目的とする。

　上記課題を解決するために、本開示の一態様に係る異常検知方法は、１以上の上位電子制御装置が配置された上位ネットワークと、１以上の下位電子制御装置が配置された下位ネットワークとを含む階層構造を有する車載ネットワークにおける上位電子制御装置による異常検知方法であって、前記車載ネットワークの所定の観測箇所において受信されるメッセージのヘッダ情報によって分類されるフローごとの統計情報であるフロー情報を収集し、前記フロー情報に基づいて異常検知を行い、前記異常検知の結果に基づいて、ＤＰＩ（Ｄｅｅｐ　Ｐａｃｋｅｔ　Ｉｎｓｐｅｃｔｉｏｎ）ルールの生成、追加、削除、変更、有効化及び無効化のいずれかを行い、前記ＤＰＩルールは、前記１以上の下位電子制御装置における前記メッセージの監視に用いられ、前記ＤＰＩルールは、前記メッセージに含まれるヘッダ情報及びペイロード情報の条件と、前記条件に合致するメッセージを受信した場合の処理内容とを示す。

　本開示は、検知精度と処理量とを適切に両立できる異常検知方法及び異常検知装置等を提供できる。

図１は、実施の形態１における車載ネットワークシステムの全体構成図である。図２は、実施の形態１におけるゾーンＥＣＵのブロック図である。図３は、実施の形態１におけるＡＤＡＳ　ＥＣＵのブロック図である。図４は、実施の形態１におけるＳＯＭＥ／ＩＰ　ＳＤのメッセージフォーマットを示す図である。図５は、実施の形態１におけるＳＯＭＥ／ＩＰ　ＳＤのメッセージの一例を示す図である。図６は、実施の形態１におけるＳＯＭＥ／ＩＰのメッセージフォーマットを示す図である。図７は、実施の形態１におけるＳＯＭＥ／ＩＰのメッセージの一例を示す図である。図８は、実施の形態１におけるゾーンＥＣＵにて収集するフロー情報の一例を示す図である。図９は、実施の形態１における全ＤＰＩルールリストの一例を示す図である。図１０は、実施の形態１におけるＥＣＵの管理リストの一例を示す図である。図１１は、実施の形態１におけるフロー情報収集から異常検知及びセキュリティ対応までのシーケンスを示す図である。図１２は、実施の形態１におけるゾーンＥＣＵによるＤＰＩルール生成処理のフローチャートである。図１３は、実施の形態１における通信ポート部による受信処理のフローチャートである。図１４は、実施の形態１におけるフローベース異常検知部による処理の一例を示すフローチャートである。図１５は、実施の形態１における異常アラートの一例を示す図である。図１６は、実施の形態１におけるＤＰＩルール生成処理のフローチャートである。図１７は、実施の形態１におけるＤＰＩルール転送処理のフローチャートである。図１８は、実施の形態１における異常アラートから生成されるＤＰＩルールの一例を示す図である。図１９は、実施の形態１におけるＤＰＩルール処理のフローチャートを示した図である。図２０は、実施の形態１におけるＤＰＩアラートの一例を示す図である。図２１は、実施の形態１におけるゾーンＥＣＵでのＤＰＩアラート処理のフローチャートである。図２２は、実施の形態１における異常通信を遮断するＤＰＩルールの一例を示す図である。図２３は、実施の形態２における車載ネットワークシステムの全体構成図である。図２４は、実施の形態２におけるゾーンＥＣＵの全体構成図である。図２５は、実施の形態２におけるフロー情報収集から異常検知及びセキュリティ対応までのシーケンスを示す図である。図２６は、実施の形態２におけるＤＰＩルール生成処理のフローチャートである。図２７は、実施の形態２におけるＤＰＩルール転送部による処理のフローチャートである。図２８は、実施の形態２におけるＤＰＩルール適用先を決定するために要求するフロー情報の一例を示す図である。図２９は、実施の形態２における異常アラートから生成されるＤＰＩルールの一例を示す図である。図３０は、実施の形態３における車載ネットワークの全体構成図である。図３１は、実施の形態３におけるゾーンＥＣＵの構成図を示す図である。図３２は、実施の形態３における安全監視用のＤＰＩルールリストの一例を示す図である。図３３は、実施の形態３におけるフロー情報収集から安全監視用のＤＰＩルール適用までのシーケンスを示す図である。図３４は、実施の形態３におけるゾーンＥＣＵによるパケット処理のフローチャートである。図３５は、実施の形態３における安全性判断部による処理のフローチャートである。図３６は、実施の形態３における安全性判断によるＤＰＩルール生成部による処理のフローチャートである。図３７は、実施の形態３における安全監視用ＤＰＩルールの一例を示す図である。

　［本開示の基礎となった知見］
　車載ネットワーク上では、車両の走る、止まる又は曲がるなどの制御を指示する制御フレームが送受信される。そのため、悪意のある攻撃者が正規のＥＣＵになりすまして制御フレームを送信する攻撃、又は特定の制御フレームを受信させないことを目的としたＤｏＳ攻撃が実行された場合、車両の運転手だけでなく、車両周囲の歩行者も危険に晒してしまう問題がある。

　また普及の進む車載イーサネット環境では、通信がより高速になるため、ペイロードベースの監視を行うＤｅｅｐ　Ｐａｃｋｅｔ　Ｉｎｓｐｅｃｔｉｏｎ（ＤＰＩ）ではパケット一つ一つの監視が困難となる。

　そこでネットワーク全体を監視する方法として、例えば、非特許文献１に記載されているＩＰＦＩＸという仕様が存在する。ＩＰＦＩＸではイーサネット又はＴＣＰ／ＩＰヘッダに含まれる情報に基づいて、イーサネット上を流れる複数フレームをイーサネットスイッチにて分類し、フロー情報と呼ばれる統計情報を生成する。そしてイーサネットスイッチよりも上位の異常検知装置がフロー情報を監視することで、低演算量かつ低通信量でネットワーク全体を監視することができる。

　しかしながらフロー情報を活用した異常検知手法は、パケットのペイロード情報の監視までは行わないため、誤検知などの恐れが存在する。

　本開示では、パケットのヘッダ情報から統計情報が収集されることで、フロー情報が生成される。そして、上位の異常検知装置にてフロー情報の時間変化から異常を検出し、その検出結果から異常と予測されるパケットを対象にペイロードベースの監視ルールを有効化する。これにより、一部のパケットに対してのみペイロード監視が実施され、誤検知及び監視に必要な計算量を抑制しながら異常を検知できる。これにより自動運転又は先進運転システムの処理に必要な計算リソースを確保しながら、車載ネットワークでの異常通信を監視できる。

　つまり、本開示の車載ネットワーク異常検知システムによれば、車載ネットワーク全体の監視はフロー情報に基づいた異常検知装置が担当し、ＤＰＩ部がフロー情報に基づいて検出された異常な通信を監視することで、ネットワーク全体の負荷を低減しながら、異常検知システムの誤検知を抑制できる。その結果、高速な通信が発生する車載イーサネット環境においても、処理落ちを抑制しつつネットワークの監視が可能となり、安全な自動運転又は先進運転支援サービスを提供できる。

　上記課題を解決するために、本開示の一態様に関わる異常検知方法は、１以上の上位電子制御装置が配置された上位ネットワークと、１以上の下位電子制御装置が配置された下位ネットワークとを含む階層構造を有する車載ネットワークにおける上位電子制御装置による異常検知方法であって、前記車載ネットワークの所定の観測箇所において受信されるメッセージのヘッダ情報によって分類されるフローごとの統計情報であるフロー情報を収集し、前記フロー情報に基づいて異常検知を行い、前記異常検知の結果に基づいて、ＤＰＩ（Ｄｅｅｐ　Ｐａｃｋｅｔ　Ｉｎｓｐｅｃｔｉｏｎ）ルールの生成、追加、削除、変更、有効化及び無効化のいずれかを行い、前記ＤＰＩルールは、前記１以上の下位電子制御装置における前記メッセージの監視に用いられ、前記ＤＰＩルールは、前記メッセージに含まれるヘッダ情報及びペイロード情報の条件と、前記条件に合致するメッセージを受信した場合の処理内容とを示す。

　これにより、フロー情報に基づく異常検知によって、メッセージのペイロード情報を一つ一つ監視することなく、処理負荷を低減してネットワーク全体の監視が可能となる。また、異常検知の結果に基づき、ペイロード情報の監視を含むＤＰＩルールを生成することで、誤検知を抑制することができる。さらに、フロー情報に基づく異常検知と、ＤＰＩルールを用いた監視との二段階で異常検知をすることにより、最初に異常検知を行うフロー情報を用いた異常検知において、誤検知を許容する代わりに異常通信の見逃しを少なくするような異常検知ルールの設定が可能となる。このように、本開示は、検知精度と処理量とを適切に両立できる。

　さらに、上位電子制御装置がフロー情報に基づく異常検知を行い、その結果を用いて生成したＤＰＩルールを必要な下位電子制御装置に対して有効化することで、各電子制御装置が監視するメッセージ数が減少する。これにより、電子制御装置単位の処理負荷を低減できる。さらに、下位電子制御装置は上位電子制御装置に従ってネットワークの監視をすることで、監視ルールを単純化できる。よって、ネットワーク監視に割く計算リソースを削減できる。

　例えば、前記フロー情報は、フローごとのメッセージの受信量に関する情報を含み、前記異常検知方法は、さらに、前記情報に基づいて、前記ＤＰＩルールを含む１以上のＤＰＩルールのそれぞれについて、前記メッセージの監視の処理の順番を示す処理優先度を決定してもよい。

　これにより、下位電子制御装置でのＤＰＩルールとメッセージのヘッダ情報との照合の回数を減らすことができる。よって、下位電子制御装置がメッセージ監視のために消費する計算リソースを削減できる。

　例えば、前記異常検知方法は、さらに、前記異常検知で検知された異常の内容と、監視する前記メッセージの単位時間あたりのメッセージ数とに応じて、前記ＤＰＩルールに従ったメッセージの監視を有効化する時間、又は前記ＤＰＩルールに従った前記メッセージの前記監視を実施するメッセージ上限数を決定してもよい。

　これにより、下位電子制御装置に適用されるＤＰＩルールの数が時間経過とともに単調に増加していくことを防ぐことができる。よって、下位電子制御装置の処理負荷を低減できる。例えば、ＤＰＩルールごとに監視するパケット数を指定することで、監視したパケット数が指定した値を満たしたとき、そのＤＰＩルールは破棄される。

　例えば、前記ＤＰＩルールは、前記１以上の下位電子制御装置の間で送受信されるメッセージに含まれるサービス情報又はクライアント情報を示し、前記メッセージの前記監視では、メッセージのサービス情報又はクライアント情報が前記ＤＰＩルールで示される前記サービス情報又は前記クライアント情報と一致しない場合、当該メッセージはドロップされてもよい。

　これにより、下位電子制御装置は単独で異常パケットを判断し、異常パケットをドロップできる。

　例えば、前記異常検知方法は、さらに、前記１以上の下位電子制御装置から出力された前記監視の結果に基づいて前記ＤＰＩルールを追加、変更、有効化又は無効化してもよい。

　これにより、フロー情報に基づく異常検知だけでなく、下位電子制御装置での監視結果も反映したＤＰＩルールを各下位電子制御装置に適用できる。例えば、メッセージのペイロード情報に含まれるサービス情報又はクライアント情報などの識別子情報を監視するＤＰＩルールが有効化されることで、通常とは異なる識別子情報を下位電子制御装置が検知する。この場合、上位電子制御装置は、その検知結果に基づいて異常な識別子情報を持つメッセージをドロップするＤＰＩルールを生成又は有効化する、などを行うことができる。このように、下位電子制御装置の監視結果に基づいたセキュリティルールを適用できる。

　例えば、前記異常検知方法は、さらに、シフトレバー状態、自動運転中、自動駐車中、クルーズコントロール中、ソフトウェア更新中、車両診断中、及びインターネット通信接続中の少なくとも一つを含む車両状態と、前記異常検知の結果とに応じて、前記ＤＰＩルールを追加、変更、有効化又は無効化してもよい。

　これにより、上位電子制御装置は、現在の車両状態に応じて、攻撃リスクの高いメッセージを判断し、その通信を監視又は保護するようなＤＰＩルールを追加又は有効化することができる。また、下位電子制御装置において、メッセージ処理能力を超える数量のＤＰＩルールが有効化されている場合、古いＤＰＩルールを一時的に無効化することで、緊急度の高いＤＰＩルールを優先して有効化できる。

　例えば、前記異常検知方法は、さらに、前記１以上の下位電子制御装置に含まれる、前記異常検知において異常と判定された前記メッセージの送信元又は宛先である１つの下位電子制御装置の前記車両状態に応じてＤＰＩルールで示される前記処理内容を決定してもよい。

　これにより、例えば、フロー情報に基づく異常検知で異常が発生した時点で、悪意のある攻撃者から車両の制御を奪われることから防御できる。例えば、上位電子制御装置は、自動運転システムを管理するＡＤＡＳ　ＥＣＵとの通信のフロー情報から異常を検知した際に、自動運転中であれば車両の安全を確保しながら緊急で車両を停止させることをＡＤＡＳ　ＥＣＵに指示する。その際に、緊急で車両を停止させるために必要な電子制御装置に対し、不正な通信を禁止するＤＰＩルールを有効化することで、車両が停止するまでの間、車両の停止にかかわる電子制御装置への攻撃を抑制できる。

　例えば、前記異常検知方法は、さらに、前記１以上の下位電子制御装置から、前記ＤＰＩルールに従い監視される対象のメッセージの送信元の第１電子制御装置と、当該メッセージの宛先の第２電子制御装置とを選択し、前記１以上の上位電子制御装置から、前記第１電子制御装置と前記第２電子制御装置との間に配置されており、前記対象のメッセージが経由する少なくとも１つの第３電子制御装置を選択し、選択された前記第１電子制御装置、前記第２電子制御装置及び前記少なくとも１つの第３電子制御装置のうち、メッセージ処理にかかる処理負荷量が最も小さい電子制御装置に対し、前記ＤＰＩルールを適用してもよい。

　これにより、一つの電子制御装置に対し、メッセージの処理能力を超えるＤＰＩルール数が有効化されることを抑制できる。よって、各電子制御装置の処理落ちの抑制を実現できる。

　例えば、前記異常検知方法は、さらに、前記フロー情報に基づいて、前記第１電子制御装置、前記第２電子制御装置及び前記少なくとも１つの第３電子制御装置の各々の通信量を算出し、前記１以上の下位電子制御装置で有効化されている１以上のＤＰＩルールと、前記通信量とから前記処理負荷量を算出してもよい。

　これにより、ＤＰＩルールを複数の電子制御装置に分散して有効化することで、一つの電子制御装置にＤＰＩルールが集中することによる処理落ちを抑制できる。

　例えば、前記異常検知方法は、さらに、前記異常検知で検知された異常内容が前記車載ネットワークに負荷がかかる異常である場合、前記少なくとも１つの第３電子制御装置のうち、前記第１電子制御装置に最も近い第３電子制御装置に前記ＤＰＩルールを適用してもよい。

　これにより、異常メッセージを送信する電子制御装置に近い上位電子制御装置でメッセージを監視することでネットワークへの負荷を抑えた対応が可能となる。例えば、フラッディング攻撃をフロー情報に基づく異常検知にて検知した際に、送信元の電子制御装置に近い上位電子制御装置でペイロード情報を監視し、異常が確認できた際はすぐに異常メッセージをドロップできる。これにより、ネットワークを圧迫する通信が送信元の電子制御装置と上位電子制御装置との間のネットワーク以外に流れるのを抑制できる。

　例えば、前記異常検知方法は、さらに、前記上位電子制御装置において前記ＤＰＩルールを用いてメッセージを監視してもよい。

　これにより、下位電子制御装置に加えて、上位電子制御装置においてもＤＰＩルールを用いてメッセージを監視できるので、異常検知の精度を向上できる。

　また、本開示の一態様に係る異常検知装置は、１以上の上位電子制御装置が配置された上位ネットワークと、１以上の下位電子制御装置が配置された下位ネットワークとを含む階層構造を有する車載ネットワークにおける上位電子制御装置に含まれる異常検知装置であって、前記車載ネットワークの所定の観測箇所において受信されるメッセージのヘッダ情報によって分類されるフローごとの統計情報であるフロー情報を収集する収集部と、前記フロー情報に基づいて異常検知を行う異常検知部と、前記異常検知の結果に基づいて、ＤＰＩ（Ｄｅｅｐ　Ｐａｃｋｅｔ　Ｉｎｓｐｅｃｔｉｏｎ）ルールの生成、追加、削除、変更、有効化及び無効化のいずれかを行う制御部と、を備え、前記ＤＰＩルールは、前記１以上の下位電子制御装置における前記メッセージの監視に用いられ、前記ＤＰＩルールは、前記メッセージに含まれるヘッダ情報及びペイロード情報の条件と、前記条件に合致するメッセージを受信した場合の処理内容とを示す。

　また、本開示の一態様に係るプログラムは、異常検知方法をコンピュータに実行させる。

　以下、実施の形態に係る異常検知装置について図面を参照しながら説明する。ここで示す実施の形態はいずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、並びに、処理の要素としてのステップ及びステップの順序等は、一例であって本開示を限定するものではない。以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。

　（実施の形態１）
　以下、複数のＥＣＵがイーサネットを介して通信する車載ネットワーク（車載ネットワークシステム）を搭載した車両における、異常検知装置（異常検知システム）について説明する。

　［車載ネットワークシステムの全体構成図］
　図１は、実施の形態１における車載ネットワークシステム１０の全体構成図である。図１において、車載ネットワークシステム１０は車両に搭載される。車載ネットワークシステム１０は、ゾーンＥＣＵ（ゾーンＥＣＵ）１００ａ、１００ｂ及び１００ｃと、ＡＤＡＳ　ＥＣＵ２００ａと、ＩＶＩ　ＥＣＵ２００ｂと、ハンドル制御ＥＣＵ２００ｃと、ブレーキ制御ＥＣＵ２００ｄと、シフトレバーＥＣＵ２００ｅと、カメラＥＣＵ２００ｆと、ＬｉＤＡＲ　ＥＣＵ２００ｇとを含む。なお、図１では省略されているが、車載ネットワークシステム１０にはさらに多くのＥＣＵが含まれうる。

　ゾーンＥＣＵ１００ａと、ＡＤＡＳ　ＥＣＵ２００ａと、ＩＶＩ　ＥＣＵ２００ｂとは、車載ネットワークの一種であるイーサネット１を介して接続される。ゾーンＥＣＵ１００ａと、ゾーンＥＣＵ１００ｂと、ゾーンＥＣＵ１００ｃとは、イーサネット２を介して接続される。ゾーンＥＣＵ１００ｂと、ハンドル制御ＥＣＵ２００ｃと、ブレーキ制御ＥＣＵ２００ｄと、シフトレバーＥＣＵ２００ｅとは、イーサネット３を介して接続される。ゾーンＥＣＵ１００ｃと、カメラＥＣＵ２００ｆと、ＬｉＤＡＲ　ＥＣＵ２００ｇとは、イーサネット４を介して接続される。

　各ゾーンＥＣＵは、互いにイーサネットで接続されており、車載イーサネット向けの通信プロトコルであるＳＯＭＥ／ＩＰを用いて通信を行う。異なるゾーンＥＣＵと接続されていないネットワーク（イーサネット１、３、４）をゾーンと呼ぶ。各ゾーンＥＣＵは、それぞれのゾーンに接続され、ＥＣＵの情報取得及び制御を行う。

　［ゾーンＥＣＵ１００ａの構成]
　図２は、ゾーンＥＣＵ１００ａの構成を示す図である。なお、ゾーンＥＣＵ１００ｂ、１００ｃは、ゾーンＥＣＵ１００ａと同様の構成であるため、これらの説明を省略する。

　図２において、ゾーンＥＣＵ１００ａは、通信ポート部１０１と、ＤＰＩ部１０２と、フロー情報収集部１０３と、フローベース異常検知部１０４と、ＤＰＩ制御部１０５と、全ＤＰＩルール記憶部１０６と、ＥＣＵ管理リスト保存部１０７とを備える。

　通信ポート部１０１は、イーサネットの通信インターフェイスであり、フレームの送受信を行う。通信ポート部１０１は、受信された通信フレームの種類に応じて当該通信フレームをゾーンＥＣＵのどの機能で処理するかを判断する。

　ＤＰＩ部１０２は、ＤＰＩルールによって指定された監視ルールに基づいてパケットのペイロード情報を監視する。例えば、ブロードキャスト通信を含む２つ以上のＥＣＵ間の通信がゾーンＥＣＵを経由して実施される際に、異常な通信をＤＰＩ部１０２にてドロップさせる、又は通信ログをとる、といった処理を行うＤＰＩルールが適用される。

　フロー情報収集部１０３は、イーサネット１又は２を介して受信されたパケットをヘッダ情報に基づいて分類し、分類されたパケットごとに統計情報を集計することでフロー情報を生成する。

　フローベース異常検知部１０４は、フロー情報収集部１０３が記憶するフロー情報に基づいて、異常検知を行い、検知結果を異常アラートとして出力する。異常アラートには、検知結果だけでなく、ＤＰＩ制御部１０５にてＤＰＩルールを生成するために必要な情報が含まれる。

　ＤＰＩ制御部１０５は、ＤＰＩ部１０２にて有効化されるＤＰＩルールの制御を行う。ＤＰＩ制御部１０５は、ＤＰＩルール生成部１０５Ａと、ＤＰＩルール転送部１０５Ｂと、ＤＰＩアラート処理部１０５Ｃとを含む。

　ＤＰＩルール生成部１０５Ａは、フローベース異常検知部１０４にて出力されるアラート（以降、異常アラート）又は各ＥＣＵのＤＰＩ部から出力されるアラート（以降、ＤＰＩアラート）に基づいて、ＤＰＩルールの生成を行う。異常アラートから生成されるＤＰＩルールは、主に検知された異常内容についてパケットのペイロードまでを監視することを目的とする。また、ＤＰＩアラートから生成されるＤＰＩルールは、異常パケットの遮断など、異常な通信からネットワークを保護することを目的とする。

　ＤＰＩルール転送部１０５Ｂは、ＤＰＩルール生成部１０５Ａにて生成されたＤＰＩルールを適用するＥＣＵを判断し、当該ＥＣＵにＤＰＩルールを転送する。

　ＤＰＩアラート処理部１０５Ｃは、ゾーン内のＥＣＵのＤＰＩ部がＤＰＩルールのチェック内容に該当するパケットを検出した際に出力するアラートを処理し、追加でＤＰＩルールの生成が必要かを判断する。

　全ＤＰＩルール記憶部１０６は、車載ネットワークシステム１０に存在する全ＥＣＵのＤＰＩ部が持つＤＰＩルールを記憶する。ＥＣＵ管理リスト保存部１０７は、車載ネットワークシステム１０上に存在するＥＣＵと、各ＥＣＵが取り扱うサービス情報と、所属するゾーンを管理するゾーンＥＣＵとをまとめたリストを記憶する。

　［ＡＤＡＳ　ＥＣＵ２００ａの構成]
　図３は、ＡＤＡＳ　ＥＣＵ２００ａのブロック図である。なお、ＩＶＩ　ＥＣＵ２００ｂ、ハンドル制御ＥＣＵ２００ｃ、ブレーキ制御ＥＣＵ２００ｄ、シフトレバーＥＣＵ２００ｅ、カメラＥＣＵ２００ｆ、及びＬｉＤＡＲ　ＥＣＵ２００ｇは、ＡＤＡＳ　ＥＣＵ２００ａと同様の構成であるため、これらの説明は省略する。

　図３において、ＡＤＡＳ　ＥＣＵ２００ａは、通信ポート部２０１と、ＤＰＩ部２０２と、アプリ部２０３とを備える。通信ポート部２０１は、イーサネットの通信インターフェイスであり、フレームの送受信を行う。

　ＤＰＩ部２０２は、ゾーンＥＣＵから配布されたＤＰＩルールによって指定された監視ルールに基づいてパケットのペイロード情報を監視する。ＤＰＩ部２０２は、ＤＰＩルールのチェック内容に受信されたパケットが該当した際は、必要に応じてそのＤＰＩルールが配布されたゾーンＥＣＵにアラートを送信する。ＤＰＩ部２０２は、ゾーンＥＣＵ１００ａのＤＰＩ部１０２と同様の機能を持つ。よって、例えば、ＤＰＩ部２０２が、受信されたパケットを異常パケットと判断した場合は、異常通信をドロップさせる、又は通信ログをとる、といった処理を行うＤＰＩルールが適用される。アプリ部２０３は、受信された通信フレームに従って、ＥＣＵ固有のアプリケーションを実行する。

　［ＳＯＭＥ／ＩＰメッセージフォーマット］
　ＳＯＭＥ／ＩＰは、サービス指向通信の一種であり、Ｒｅｑｕｅｓｔ／Ｒｅｓｐｏｎｓｅ、Ｆｉｒｅ／Ｆｏｒｇｅｔ、Ｅｖｅｎｔｓ、Ｇｅｔ／Ｓｅｔ／Ｎｏｔｉｆｉｅｒの４種類の通信方法を組み合わせることでサービス指向通信を実現する。またＳＯＭＥ／ＩＰは、通信相手とセッションを確立する手法としてＳｅｒｖｉｅｃｅ　Ｄｉｓｃｏｖｅｒｙ（ＳＤ）を備える。

　図４はＳＯＭＥ／ＩＰ　ＳＤに用いられるメッセージフォーマットの一例を示す図である。図４におけるメッセージフォーマットはイーサネットのペイロード部に格納され、通信される。図の一行あたりのデータは３２ビットであり、前半部分にＳＯＭＥ／ＩＰヘッダが、後半部分にＳＯＭＥ／ＩＰ　ＳＤのペイロードが格納される。ＳＯＭＥ／ＩＰ　ＳＤにおいて、Ｍｅｓｓａｇｅ　ＩＤは０ｘＦＦＦＦ８１００である。Ｌｅｎｇｔｈには、Ｌｅｎｇｔｈフィールドより後ろのデータのバイト数が格納される。Ｒｅｑｕｅｓｔ　ＩＤには、Ｃｌｉｅｎｔ　ＩＤとＳｅｓｓｉｏｎ　ＩＤを合わせた値が格納される。ＳＯＭＥ／ＩＰ　ＳＤにおいて、Ｐｒｏｔｏｃｏｌ　Ｖｅｒｓｉｏｎは０ｘ０１、Ｉｎｔｅｒｆａｃｅ　Ｖｅｒｓｉｏｎは０ｘ０１、Ｍｅｓｓａｇｅ　Ｔｙｐｅは０ｘ０２、Ｒｅｔｕｒｎ　Ｃｏｄｅは０ｘ００と設定される。

　図５は、ＳＯＭＥ／ＩＰ　ＳＤメッセージの一例を示す図である。Ｆｌａｇｓには０ｘ８０が設定されており、Ｒｅｂｏｏｔ　Ｆｌａｇが設定されている。Ｒｅｓｅｒｖｅｄ領域は０と設定されている。Ｌｅｎｇｔｈ　ｏｆ　Ｅｎｔｒｉｅｓ　Ａｒｒａｙ　ｉｎ　ＢｙｔｅｓにはＥｎｔｒｙのバイト数が格納されており、図５では１６バイトに設定されている。

　Ｔｙｐｅは０ｘ００又は０ｘ０１に設定が可能であり、０ｘ００は、Ｆｉｎｄを意味し、０ｘ０１はＯｆｆｅｒを意味する。Ｆｉｎｄは、サービスの提供を受けるクライアントＥＣＵが、必要なサービスの提供を要求する際に使用される。Ｏｆｆｅｒは、サービスの提供を行うサーバＥＣＵが、サービスの提供が可能であることを通知する際に使用される。図５では、Ｔｙｐｅが０ｘ０１であり、当該メッセージが、サーバＥＣＵが自身の提供可能なサービスに関する情報を通知するメッセージであることが示されている。

　Ｉｎｄｅｘ　１ｓｔ　ｏｐｔｉｏｎｓは、最初のオプションの位置を示す。図５ではＩｎｄｅｘ　１ｓｔ　ｏｐｔｉｏｎｓは、０であり、最初のオプションの位置がオプション領域の最初であることを示す。Ｉｎｄｅｘ　２ｎｄ　ｏｐｔｉｏｎｓは、２つ目のオプションの位置を示し、図５では０である。

　＃ｏｆ　ｏｐｔ１にはオプション１の個数が記載されており、図５では１が格納されている。＃ｏｆ　ｏｐｔ２にはオプション２の個数が記載されており、図５では０が格納されており、オプション２を用いないことが示されている。

　Ｓｅｒｖｉｃｅ　ＩＤは、サービスの種類を示すＩＤを格納するフィールドであり、図５ではＳｅｒｖｉｃｅ　ＩＤに０ｘ１０００が格納されている。Ｉｎｓｔａｎｃｅ　ＩＤは、サービスのインスタンスを示すＩＤを格納するフィールドであり、図５では０ｘ０００１に設定されている。

　Ｍａｊｏｒ　Ｖｅｒｓｉｏｎは、サービスのバージョン管理に用いる情報であり、図５ではＭａｊｏｒ　Ｖｅｒｓｉｏｎに０ｘ０１が格納されている。

　ＴＴＬは、サービスの有効期限（秒）を設定するフィールドであり、図５ではＴＴＬに０ｘＦＦＦＦが設定されている。ＴＴＬが０ｘＦＦＦＦであるとは、ＥＣＵの次の起動タイミングまでサービスが有効であることを意味する。

　Ｍｉｎｏｒ　Ｖｅｒｓｉｏｎは、サービスのバージョン管理に用いられる情報であり、図５では０ｘ０００００００２に設定されている。

　Ｏｐｔｉｏｎ領域に含まれるＬｅｎｇｔｈ　ｏｆ　Ｏｐｔｉｏｎｓ　Ａｒｒａｙ　ｉｎ　ＢｙｔｅｓにＯｐｔｉｏｎ領域のバイト長が格納され、図５ではＯｐｔｉｏｎ領域のバイト長が１２バイトであることが示されている。

　Ｌｅｎｇｔｈの値はオプションの種類に応じて設定される。図５では、ＩＰｖ４を用いた通信例を示しており、Ｌｅｎｇｔｈは９、Ｔｙｐｅは０ｘ０４、Ｒｅｓｅｒｖｅｄは０ｘ００と設定される。ＩＰｖ４アドレスは、サーバのＩＰアドレスであり、図５では、１９２．１６８．０．１に設定されている。

　Ｒｅｓｅｒｖｅｄ領域は０が格納される。Ｌ４－Ｐｒｏｔｏには０ｘ１１が格納されており、Ｕｓｅｒ　Ｄａｔａｇｒａｍ　Ｐｒｏｔｏｃｏｌ（ＵＤＰ）を用いることが示されている。最後にポート番号が格納されており、図５では３５０００番ポートが使用されていることが示されている。

　図６は、ＳＯＭＥ／ＩＰで用いられるメッセージフォーマットの一例を示す図である。Ｐａｙｌｏａｄを除くＳＯＭＥ／ＩＰヘッダ部分は図４と同様である。

　図７は、ＳＯＭＥ／ＩＰメッセージの一例を示す図である。Ｓｅｒｖｉｃｅ　ＩＤはサービスの種類を表すＩＤを格納するフィールドであり、図７ではＳｅｒｖｉｃｅ　ＩＤに０ｘ０００１が格納されている。

　Ｍｅｔｈｏｄ　ＩＤはクライアントから呼び出されるサーバ上の関数であるＭｅｔｈｏｄの種類を表すＩＤを格納するフィールドであり、図７ではＭｅｔｈｏｄ　ＩＤに０ｘ０３０１が格納されている。

　Ｌｅｎｇｔｈは、Ｃｌｉｅｎｔ　ＩＤからＰａｙｌｏａｄまでのメッセージ長が格納される。図７では、１４０８バイトに設定されている。Ｃｌｉｅｎｔ　ＩＤは、ＥＣＵ内の呼び出し元クライアントを識別する識別子であり、図７では０ｘ０１０００に設定されている。

　Ｓｅｓｓｉｏｎ　ＩＤは、同じ送信者から発信されたメッセージを区別する識別子であり、図７では０ｘ００１１に設定されている。Ｐｒｏｔｏｃｏｌ　Ｖｅｒｓｉｏｎは、ＳＯＭＥ／ＩＰのプロトコルバージョンを表し、図７では０ｘ０１に設定されている。

　Ｉｎｔｅｒｆａｃｅ　Ｖｅｒｓｉｏｎは、サービスＩ／Ｆのメジャーバージョンを表し、図７では０ｘ０１に設定されている。Ｍｅｓｓａｇｅ　Ｔｙｐｅは、ＳＯＭＥ／ＩＰのメッセージタイプを表す。図７では、Ｍｅｓｓａｇｅ　Ｔｙｐｅは０ｘ０２に設定されており、これはメッセージタイプがＮｏｔｉｆｉｃａｔｉｏｎであることを示す。

　Ｒｅｔｕｒｎ　Ｃｏｄｅは、リクエストが正常に処理されたかどうかを示す戻り値を表し、図７では０ｘ００に設定されている。Ｐａｙｌｏａｄには、送信者が送りたい情報が記述される。

　［ゾーンＥＣＵで収集するフロー情報の一例］
　図８はゾーンＥＣＵのフロー情報収集部１０３にて収集されるフロー情報の一例を示す図である。フロー情報はパケットのヘッダ情報などから一定時間ごとに統計情報を算出することで生成され、図８では３０秒間隔でフロー情報が算出される。フロー情報では、パケットの送信元ＩＰアドレス（Ｓｒｃ　ＩＰ）、送信元ポート番号（Ｓｒｃ　Ｐｏｒｔ）、宛先ＩＰアドレス（Ｄｓｔ　ＩＰ）、宛先ポート番号（Ｄｓｔ　Ｐｏｒｔ）、及びプロトコル番号（Ｐｒｏｔｏｃｏｌ）の組合せが、識別情報であるフローＩＤに割り当てられる。また、同一のフローＩＤごとに統計情報の集計が行われる。図８ではフローＩＤごとに通信されたパケット数と、パケットの平均到着間隔と、平均パケット長とが集計されている。

　［全ＤＰＩルールリストの一例］
　図９は、全ＤＰＩルール記憶部１０６に保存される、車載ネットワーク上のＥＣＵに適用されている全ＤＰＩルールが記載されたリスト（以降、全ＤＰＩルールリスト）の一例を示す図である。

　ＤＰＩルールには適用先ＥＣＵと、ルール番号と、ＤＰＩルール名と、発行元ＥＣＵと、ヘッダ条件と、チェック内容と、チェック時動作と、監視パケット数と、監視済みパケット数と、処理優先度とが設定される。

　適用先ＥＣＵには、生成されたＤＰＩルールを実際に実行するＤＰＩ部を備えるＥＣＵが設定される。図９の全ＤＰＩルールリストでは、適用先ＥＣＵを基準にＤＰＩルールが記載されている。ルール番号には、ＤＰＩルール管理のためにＤＰＩルールに付与される。

　ＤＰＩルール名はＤＰＩルールの役割に応じて決定される。例えば、異常アラートに基づいて生成されたＤＰＩルールに対して、フラッディング（Ｆｌｏｏｄｉｎｇ）監視、なりすまし監視、又は中間者攻撃監視など、検知された異常内容に基づいてＤＰＩルール名が決定される。また、ＤＰＩアラートに基づいて生成されるＤＰＩルールには異常通信というＤＰＩルール名が付与される。

　発行元ＥＣＵには、ＤＰＩルールを生成し、生成されたＤＰＩルールを適用先ＥＣＵに転送を行ったゾーンＥＣＵが設定される。発行元ＥＣＵはＥＣＵ管理リストに従って決定される。

　ヘッダ条件は、監視対象となるパケットの送信元ＩＰアドレス、送信元ポート番号、宛先ＩＰアドレス、宛先ポート番号、及びプロトコル番号の全部又は一部を示す。このヘッダ条件に記載される項目が全一致するパケットに対し、ペイロードの監視が行われ、チェック内容が確認される。

　チェック内容は、ヘッダ条件を満たすパケットのペイロードを監視する際に、チェックする内容を示す。例えば、フラッディング攻撃の可能性のあるＳＯＭＥ／ＩＰ通信については、攻撃ＥＣＵが１種類のＳｅｒｖｉｃｅ　ＩＤを使って大量のパケットを送信していることが想定される。よって、異常パケットの送信元ＥＣＵを攻撃ＥＣＵと判断され、送信元ＥＣＵから送信されるパケットが持つＳｅｒｖｉｃｅ　ＩＤの種類が１種類のみでないかが確認される。また、なりすまし攻撃されている可能性があるＳＯＭＥ／ＩＰ通信については正しいＣｌｉｅｎｔ　ＩＤで通信を行っているかが確認される。

　チェック時動作は、監視されたパケットがチェック内容を満たす場合の動作を示す。例えば、図９に示すフラッディング監視のチェック内容にパケットが該当する場合、監視されている通信の送信元ＥＣＵは１種類のＳｅｒｖｉｃｅ　ＩＤだけの通信をするＥＣＵではない。つまり、当該送信元ＥＣＵは正常なＥＣＵであると判断され、その旨がＤＰＩルールの発行元であるゾーンＥＣＵに通知される。また、図９に示すなりすまし監視のチェック内容にパケットが該当する場合、ＩＰアドレス及びポート番号を偽って通信が行われていると判断され、該当パケットの遮断が行われ、監視パケット数が無制限に設定される。

　監視パケット数は、そのＤＰＩルールにて監視するパケット数の上限値を示す。監視済みパケット数は、ＤＰＩ部がＤＰＩルールで既に監視したパケット数を示す。ＤＰＩ部１０２及び２０２ではＤＰＩルールの監視済みパケット数が規定の監視パケット数に到達した場合、そのＤＰＩルールを破棄する。またゾーンＥＣＵは、フロー情報から各ＥＣＵが通信したパケット数をフローＩＤごとに把握でき、全ＤＰＩルール記憶部１０６において全てのＤＰＩルールの監視済みパケット数を算出する。

　処理優先度は、ＤＰＩ部１０２又は２０２に２以上のＤＰＩルールが適用されている際に、パケットのヘッダとＤＰＩルールに含まれるヘッダ条件との照合を行う順番を決定するためのパラメータである。処理優先度はフロー情報を基に算出され、ＥＣＵで通信される全パケットの中で、そのＤＰＩルールが監視するパケットが占める割合によって決定される。ＤＰＩ部１０２及び２０２では処理優先度が高いＤＰＩルールから順番に、受信されたパケットのヘッダとＤＰＩルールに含まれるヘッダ条件との照合を行う。各ＥＣＵのＤＰＩ部１０２及び２０２は、この処理優先度が高い順となるようにＤＰＩルールを保存する。

　［ＥＣＵ管理リスト］
　図１０は、各ゾーンＥＣＵのＥＣＵ管理リスト保存部１０７に保存されるＥＣＵ管理リストを示す図である。ＥＣＵ管理リストには車載ネットワーク上に存在する全ＥＣＵがリストとして記載されており、各ＥＣＵには管理者として同一ゾーン内に存在するゾーンＥＣＵ（管理ゾーンＥＣＵ）が割り当てられる。ゾーンＥＣＵはＤＰＩルール生成部１０５Ａが生成したＤＰＩルールの配布先が自身の管理するＥＣＵである場合のみ、ＤＰＩルール転送部１０５ＢにてＤＰＩルールの転送を行う。

　またＥＣＵ管理リストには、各ＥＣＵが使用するＩＰアドレス及びポート番号が記載されている。そしてポート番号ごとに、使用するプロトコル及びサービス内容も記載される。プロトコルがＳＯＭＥ／ＩＰの場合はさらにクライアントＩＤ及びサービスＩＤが記載される。

　ゾーンＥＣＵはこのＥＣＵ管理リストを確認することで、フロー情報のＩＰアドレスとポート番号から、ペイロード情報を確認することなく、サービスＩＤ又はクライアントＩＤなどのＳＯＭＥ／ＩＰ通信のサービス情報を確認することができる。

　［処理のシーケンス］
　図１１は、実施の形態１におけるハンドル制御ＥＣＵ２００ｃからＡＤＡＳ　ＥＣＵ２００ａへの攻撃が発生した際の処理シーケンス図である。図１１では、ゾーンＥＣＵ１００ｂ及び１００ｃは、フロー情報収集部１０３にてフロー情報を収集し、フローベース異常検知部１０４にて異常検知を行い、その結果を基にＤＰＩルール生成部１０５ＡにてＤＰＩルールを生成する。ＡＤＡＳ　ＥＣＵ２００ａのＤＰＩ部１０２及び２０２は、生成されたＤＰＩルールを適用し、ＤＰＩ部２０２の監視結果に基づいたセキュリティ対応が行われる。

　ハンドル制御ＥＣＵ２００ｃはＡＤＡＳ　ＥＣＵ２００ａにフラッディング攻撃を行う（Ｓ１０１）。ハンドル制御ＥＣＵ２００ｃとＡＤＡＳ　ＥＣＵ２００ａとの通信経路上に存在するゾーンＥＣＵ１００ａ及び１００ｂはパケットをミラーリングしてパケットを受信し、フロー情報を収集する（Ｓ１０２）。

　ゾーンＥＣＵ１００ａ、１００ｂ及び１００ｃは、ゾーンＥＣＵ１００ａ、１００ｂ及び１００ｃの間で収集されたフロー情報を共有する（Ｓ１０３）。なお、ゾーンＥＣＵ１００ｃの処理は図１１には図示していない。

　ゾーンＥＣＵ１００ａ、１００ｂ及び１００ｃはそれぞれ共有されたフロー情報を基にフローベース異常検知を行い、ハンドル制御ＥＣＵ２００ｃがＡＤＡＳ　ＥＣＵ２００ａに攻撃していることを検知する。（Ｓ１０４）。ゾーンＥＣＵ１００ａ、１００ｂ及び１００ｃはそれぞれフローベース異常検知の結果に基づいて、通信を監視するための第１ＤＰＩルールを生成する（Ｓ１０５）。

　ゾーンＥＣＵ１００ｂは、生成された第１ＤＰＩルールの適用先がＥＣＵ管理リストより自身の管理対象ではないため、第１ＤＰＩルールを全ＤＰＩルール記憶部１０６に保存する（Ｓ１０６）。

　ゾーンＥＣＵ１００ａは、生成された第１ＤＰＩルールの適用先がＥＣＵ管理リストより自身の管理対象のため、第１ＤＰＩルールを全ＤＰＩルール記憶部１０６に保存するとともに、ＡＤＡＳ　ＥＣＵ２００ａに転送する（Ｓ１０７）。

　ＡＤＡＳ　ＥＣＵ２００ａはゾーンＥＣＵ１００ａから第１ＤＰＩルールを受信し、受信された第１ＤＰＩルールをＤＰＩ部２０２に適用する（Ｓ１０８）。ハンドル制御ＥＣＵ２００ｃはＡＤＡＳ　ＥＣＵ２００ａに対して継続してフラッディング攻撃を行う（Ｓ１０９）。

　ＡＤＡＳ　ＥＣＵ２００ａは適用された第１ＤＰＩルールを用いてハンドル制御ＥＣＵ２００ｃとの通信を監視する（Ｓ１１０）。ＡＤＡＳ　ＥＣＵ２００ａはＤＰＩ部２０２での監視結果に応じてＤＰＩアラートを生成し、生成されたＤＰＩアラートをゾーンＥＣＵ１００ａに送信する（Ｓ１１１）。

　ゾーンＥＣＵ１００ａはＡＤＡＳ　ＥＣＵ２００ａからのＤＰＩアラートに基づきハンドル制御ＥＣＵ２００ｃの通信は異常な通信と正式に判定する（Ｓ１１２）。ゾーンＥＣＵ１００ａはハンドル制御ＥＣＵ２００ｃからの異常な通信を遮断する第２ＤＰＩルールを生成し、生成された第２ＤＰＩルールをＡＤＡＳ　ＥＣＵ２００ａと、他のゾーンＥＣＵ１００ｂ及び１００ｃとに転送する（Ｓ１１３）。

　ゾーンＥＣＵ１００ｂはゾーンＥＣＵ１００ａにて新たに生成された第２ＤＰＩルールを全ＤＰＩルール記憶部１０６に保存する（Ｓ１１４）。ＡＤＡＳ　ＥＣＵ２００ａはゾーンＥＣＵ１００ａから転送された第２ＤＰＩルールを適用する（Ｓ１１５）。

　ハンドル制御ＥＣＵ２００ｃはＡＤＡＳ　ＥＣＵ２００ａに対して継続してフラッディング攻撃を行う（Ｓ１１６）。ＡＤＡＳ　ＥＣＵ２００ａは、ハンドル制御ＥＣＵ２００ｃからの異常通信を第２ＤＰＩルールに従って遮断する（Ｓ１１７）。

　［ゾーンＥＣＵにおける処理のフローチャート］
　図１２はゾーンＥＣＵがパケットを受信してからＤＰＩルールを生成し、適切なＥＣＵに適用するまでの処理全体のフローチャートである。通信ポート部１０１は、自身を経由して通信されるパケットを受信する（Ｓ２０１）。

　通信ポート部１０１は、パケットをミラーリングしつつ、パケットの宛先ＩＰアドレスに従い、パケットを転送する（Ｓ２０２）。フロー情報収集部１０３は、ミラーリングされたパケットからヘッダ情報を抽出してフロー情報を更新する（Ｓ２０３）。

　フロー情報収集部１０３はフロー情報を収集する規定の時間を超過していないかを判定する（Ｓ２０４）。規定時間を超えている場合（Ｓ２０４がＹｅｓの場合）、フロー情報収集部１０３は、フロー情報を出力する（Ｓ２０５）。規定時間を超えていない場合（Ｓ２０４がＮｏの場合）、最初のステップＳ２０１に戻る。

　通信ポート部１０１は、出力されたフロー情報を、他のゾーンＥＣＵに転送する（Ｓ２０６）。また、通信ポート部１０１は、他のゾーンＥＣＵから転送されたフロー情報を受信する（Ｓ２０７）。そしてフロー情報収集部１０３は、自身で出力したフロー情報と他のゾーンＥＣＵから転送されたフロー情報とを合成する（Ｓ２０８）。

　フローベース異常検知部１０４は、合成されたフロー情報を基にフローベース異常検知を行い（Ｓ２０９）、異常があるかどうか判定する（Ｓ２１０）。異常がある場合（Ｓ２１０がＹｅｓの場合）、フローベース異常検知部１０４は、異常の内容を記載した異常アラートを生成する（Ｓ２１１）。異常がない場合（Ｓ２１０がＮｏの場合）、ゾーンＥＣＵは処理を終了する。

　ＤＰＩルール生成部１０５Ａは、生成された異常アラートからＤＰＩルールを生成する（Ｓ２１２）。ＤＰＩルール生成部１０５Ａは、生成されたＤＰＩルールを全ＤＰＩルール記憶部１０６に保存する（Ｓ２１３）。

　ＤＰＩルール転送部１０５Ｂは、生成されたＤＰＩルールの適用先ＥＣＵが自身の管理ＥＣＵであるかをＥＣＵ管理リストに基づき判定する（Ｓ２１４）。適用先ＥＣＵが自身の管理ＥＣＵである場合（Ｓ２１４がＹｅｓの場合）、ＤＰＩルール転送部１０５Ｂは、ＤＰＩルールを適用先ＥＣＵに転送し（Ｓ２１５）、ゾーンＥＣＵは処理を終了する。適用先ＥＣＵが自身の管理ＥＣＵでない場合（Ｓ２１４がＮｏの場合）、ゾーンＥＣＵは処理を終了する。

　［ＺｏｎｅＥＣＵの通信ポート部の受信処理フローチャート］
　図１３は、ゾーンＥＣＵの通信ポート部１０１における受信処理のフローチャートである。通信ポート部１０１は受信されたパケットの種類によって、ゾーンＥＣＵ内の適切な機能にパケット情報を転送する。

　通信ポート部１０１は、通信ポート部１０１にて処理するパケットが自身を送信元とする送信パケットであるかを判定する（Ｓ３０１）。パケットが送信パケットである場合（Ｓ３０１がＹｅｓの場合）、通信ポート部１０１は、宛先ＩＰアドレスのＥＣＵにパケットを送信する（Ｓ３０２）。

　パケットが送信パケットでない場合（Ｓ３０１がＮｏの場合）、通信ポート部１０１は、受信されたパケットをミラーリングして、ミラーリングしたパケットをフロー情報収集部１０３に転送する（Ｓ３０３）。

　通信ポート部１０１は、受信したパケットが自身宛のパケットであるかを判定する（Ｓ３０４）。パケットが自身宛のパケットである場合（Ｓ３０４がＹｅｓの場合）、通信ポート部１０１は、そのパケットが他のゾーンＥＣＵから転送されたＤＰＩルールであるかを判定する（Ｓ３０５）。パケットがＤＰＩルールである場合（Ｓ３０５がＹｅｓの場合）、通信ポート部１０１は、全ＤＰＩルール記憶部１０６に、転送されたＤＰＩルールを保存し（Ｓ３０６）、ゾーンＥＣＵは処理を終了する。

　パケットがＤＰＩルールでない場合（Ｓ３０５がＮｏの場合）、通信ポート部１０１は、そのパケットが他のＥＣＵから転送されたＤＰＩアラートであるかを判定する（Ｓ３０７）。パケットがＤＰＩアラートである場合（Ｓ３０７がＹｅｓの場合）、通信ポート部１０１は、ＤＰＩアラート処理部１０５Ｃにパケットを転送し（Ｓ３０８）、ゾーンＥＣＵは処理を終了する。

　パケットがＤＰＩアラートでない場合（Ｓ３０７がＮｏの場合）、受信されたパケットは他のゾーンＥＣＵから共有されたフロー情報である。よって、通信ポート部１０１は、パケットが、他のＥＣＵで生成されたフロー情報であることをフロー情報収集部１０３に通知し（Ｓ３０９）、ゾーンＥＣＵは処理を終了する。フロー情報収集部１０３は、パケットのヘッダ情報からフロー情報を更新し、パケットのペイロード情報に記載される他ゾーンのフロー情報と自身が収集したフロー情報とを統合する。

　パケットが自身宛のパケットでない場合（Ｓ３０４がＮｏの場合）、通信ポート部１０１は、宛先ＩＰアドレスのＥＣＵにパケットを転送し（Ｓ３１０）、ゾーンＥＣＵは処理を終了する。

　［フローベース異常検知の実施の一例］
　図１４は、フローベース異常検知部１０４による処理の一例を示すフローチャートである。まず、フローベース異常検知部１０４は、一定時間ごとに出力されるフロー情報を受信する（Ｓ４０１）。

　フローベース異常検知部１０４は、受信されたフロー情報に含まれる、一つのフローＩＤを選択し、選択されたフローＩＤについて統計情報（例えば、パケット数Ｎ、平均到着間隔Ｉ）を抽出する（Ｓ４０２）。なお、ステップＳ４０３～Ｓ４１６の処理は、選択されたフローＩＤに対して実行される。つまり、ステップＳ４０２～Ｓ４１６の処理は、フロー情報に含まれるフローＩＤ毎に繰り返し実行される。さらに、この一連の処理は、例えば、フロー情報が受信される毎に繰り返し実行される。

　フローベース異常検知部１０４は、受信された今回のフロー情報に含まれる平均到着間隔Ｉと、一つ前に出力されたフロー情報に含まれる平均到着間隔Ｉとの比である前回比ΔＩを算出する（Ｓ４０３）。例えば、ΔＩは、今回の平均到着間隔Ｉを前回の平均到着間隔Ｉで除算することで算出される。

　フローベース異常検知部１０４は、受信された今回のフロー情報に含まれるパケット数Ｎと、一つ前に出力されたフロー情報に含まれるパケット数Ｎとの比である前回比ΔＮを算出する（Ｓ４０４）。例えば、ΔＮは、今回のパケット数Ｎを前回のパケット数Ｎで除算することで算出される。

　フローベース異常検知部１０４は、パケット数Ｎが１００００以上であるかを判定する（Ｓ４０５）。パケット数Ｎが１００００以上である場合（Ｓ４０５がＹｅｓの場合）、フローベース異常検知部１０４は、選択されたフローＩＤを持つ通信が“フラッディング攻撃”されていると判定する（Ｓ４０６）。つまり、フローベース異常検知部１０４は、パケット数Ｎが予め定められた閾値以上である場合、“フラッディング攻撃”と判定する。

　パケット数Ｎが１００００未満の場合（Ｓ４０５がＮｏの場合）、フローベース異常検知部１０４は、平均到着間隔の前回比ΔＩが１未満であるかを判定する（Ｓ４０７）。平均到着間隔の前回比ΔＩが１未満である場合（Ｓ４０７がＹｅｓの場合）、フローベース異常検知部１０４は、さらにパケット数の前回比ΔＮが１０以上であるかを判定する（Ｓ４０８）。パケット数の前回比ΔＮが１０以上である場合（Ｓ４０８がＹｅｓの場合）、フローベース異常検知部１０４は、選択されたフローＩＤを持つ通信が“フラッディング攻撃”されていると判定する（Ｓ４０６）。つまり、フローベース異常検知部１０４は、平均到着間隔Ｉが減少しており、かつ、パケット数Ｎが増加している（ΔＮが１より大きい第１閾値以上である）場合、“フラッディング攻撃”と判定する。

　パケット数の前回比ΔＮが１０未満である場合（Ｓ４０８がＮｏの場合）、フローベース異常検知部１０４は、パケット数の前回比ΔＮが２以上であるかを判定する（Ｓ４０９）。パケット数の前回比ΔＮが２以上である場合（Ｓ４０９がＹｅｓの場合）、フローベース異常検知部１０４は、選択されたフローＩＤを持つ通信が“なりすまし攻撃”されていると判定する（Ｓ４１０）。つまり、フローベース異常検知部１０４は、平均到着間隔Ｉが減少しており、かつ、パケット数Ｎが増加している（ΔＮが１より大きく、かつ第１閾値より小さい第２閾値以上である）場合、“フラッディング攻撃”と判定する。

　平均到着間隔の前回比ΔＩが１以上か、パケット数の前回比ΔＮが２未満である場合（Ｓ４０７がＮｏである場合、又はＳ４０９がＮｏである場合）、フローベース異常検知部１０４は、選択されたフローＩＤと同一の宛先ＩＰアドレス及び宛先ポート番号を使用している他のフローＩＤの通信を抽出する（Ｓ４１１）。

　フローベース異常検知部１０４は、通信の入れ替わりが発生しているかを判定する（Ｓ４１２）。具体的には、フローベース異常検知部１０４は、選択されたフローＩＤのパケット数Ｎと、抽出された他のフローＩＤのパケット数Ｎとの一方が増加し、他方が減少している場合に、通信の入れ替わりが発生していると判定する。

　通信の入れ替わりが発生している場合（Ｓ４１２がＹｅｓの場合）、フローベース異常検知部１０４は、さらにパケット数の前回比ΔＮが１以上であるかを判定する（Ｓ４１３）。パケット数の前回比ΔＮが１以上である場合（Ｓ４１３がＹｅｓの場合）、フローベース異常検知部１０４は、選択されたフローＩＤを持つ通信が中間者攻撃によって増加している通信と判定して“中間者攻撃（増加）”と判定する（Ｓ４１４）。つまり、フローベース異常検知部１０４は、通信の入れ替わりが発生しており、かつパケット数Ｎが増加している場合、“中間者攻撃（増加）”と判定する。

　パケット数の前回比ΔＮが１未満である場合（Ｓ４１３がＮｏの場合）、フローベース異常検知部１０４は、選択されたフローＩＤを持つ通信が中間者攻撃によって減少している通信と判定して“中間者攻撃（減少）”と判定する（Ｓ４１５）。つまり、フローベース異常検知部１０４は、通信の入れ替わりが発生しており、かつパケット数Ｎが減少している場合、“中間者攻撃（減少）”と判定する。

　通信の入れ替わりが発生していない場合（Ｓ４１２がＮｏの場合）、フローベース異常検知部１０４は、どの攻撃の判定にも該当しなかったとして選択されたフローＩＤを持つ通信は“異常なし”と判定する（Ｓ４１６）。

　フローベース異常検知部１０４は、選択されたフローＩＤを持つ通信が“フラッディング攻撃”、“なりすまし攻撃”、“中間者攻撃（増加）”、“中間者攻撃（減少）”、“異常なし”のいずれかに判定された後、全てのフローＩＤに対し、異常検知の処理を行ったかを判定する（Ｓ４１７）。全てのフローＩＤに対し処理が終了している場合（Ｓ４１７がＹｅｓの場合）、ゾーンＥＣＵは処理を終了する。全てのフローＩＤに対し処理が終了していない場合（Ｓ４１７がＮｏの場合）、フローベース異常検知部１０４は、ステップＳ４０２まで戻り、まだ異常検知の処理をしていないフローＩＤについて同様の処理を行う。

　図１４での異常検知の処理では、異常の判定のためにいくつか具体的な閾値がでてきたが、実際は想定する通信環境に応じて閾値は変化する。また図１４ではパケット数と平均到着間隔というパラメータのみを用いて異常検知を行っているが、他のパラメータを使用して、より検知精度を向上できる。また、フラッディング攻撃、なりすまし攻撃、及び中間者攻撃以外の攻撃も検知が可能である。

　［生成される異常アラートの一例］
　図１５はフローベース異常検知の結果に基づき生成される異常アラートの一例を示す図である。生成される異常アラートには、ＤＰＩルール生成部１０５ＡにてＤＰＩルールを生成するために必要な情報が含まれる。異常アラートは、アラート番号と、異常と判定された通信のフローＩＤと、アラート種類と、プロトコルと、宛先ＥＣＵでのパケット占有率とを含む。

　アラート番号は、異常のあった通信のフローＩＤごとに発行される。なお、中間者攻撃など２以上の通信を合わせて１つの攻撃と考えられる場合は、その２以上の通信に対して同一のアラート番号が割り振られる。フローＩＤは通信パケットのヘッダ情報を表しており、このフローＩＤで識別される通信が異常であるとしてアラートが生成される。

　アラートの種類は、フローベース異常検知によって判定された結果を表している。中間者攻撃は、パケット数が増加する通信とパケット数が減少する通信の２つの通信の相互関係から検知されるため、２種類のフローＩＤに対して異常アラートが生成される。プロトコルは該当のフローＩＤを持つ通信のプロトコルを表し、暗号化通信であるかを判断するために用いられる。

　パケット占有率はＤＰＩルールの処理優先度を設定するためのパラメータであり、該当のフローＩＤを持つパケットがフローＩＤに割り当てられた宛先ＩＰアドレスを持つＥＣＵで通信される全パケットの中でどれだけの割合を占めているかを表している。ただし、アラート種類が“中間者攻撃（減少）”の場合のみ、フローＩＤに割り当てられた宛先ＩＰアドレスではなく、送信元ＩＰアドレスを参照してパケット占有率が計算される。

　［ＤＰＩルール生成フローチャート］
　図１６は、ＤＰＩルール生成処理のフローチャートである。ＤＰＩルール生成部１０５Ａは、フローベース異常検知部１０４にて生成された異常アラートを取得する（Ｓ５０１）。

　ＤＰＩルール生成部１０５Ａは、ＤＰＩルールのルール番号を仮発行する（Ｓ５０２）。例えば、中間者攻撃など同一のアラート番号を持つ異常アラートが複数ある場合は、ＤＰＩルール生成部１０５Ａは、同一のルール番号を仮発行する。またルール番号はＤＰＩルール転送部１０５Ｂにて正式に再発行される。

　ＤＰＩルール生成部１０５Ａは、ＤＰＩルールの適用先を異常アラートに含まれるフローＩＤに割り当てられた宛先ＩＰアドレスを持つＥＣＵに設定する（Ｓ５０３）。ＤＰＩルール生成部１０５Ａは、設定された適用先ＥＣＵでのパケット占有率を異常アラートから抽出し、抽出されたパケット占有率をＤＰＩルールに含まれる処理優先度の値として設定する（Ｓ５０４）。

　ＤＰＩルール生成部１０５Ａは、異常アラートに含まれるアラート種類が“フラッディング攻撃”であるかを判定する（Ｓ５０５）。アラート種類が“フラッディング攻撃”である場合（Ｓ５０５がＹｅｓの場合）、ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれるヘッダ条件に、異常アラートに含まれるフローＩＤに割り当てられた送信元ＩＰアドレス及び宛先ＩＰアドレスを設定する（Ｓ５０６）。

　そして、ＤＰＩルール生成部１０５Ａは、ＥＣＵ管理リストを参照し、フローＩＤから正規のサービスＩＤを確認し（Ｓ５０７）、確認されたサービスＩＤを用いてＤＰＩルールに含まれるチェック内容を設定する（Ｓ５０８）。ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれるチェック時動作として、ＤＰＩルールを発行したゾーンＥＣＵに対し、アラートを通知する処理を設定する（Ｓ５０９）。ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれる監視パケット数をフラッディング攻撃の監視に必要な値（フラッディング攻撃の監視に対応付けられた値）に設定する（Ｓ５１０）。そして、ＤＰＩルール生成部１０５Ａは、ここまでで設定された内容を一つのＤＰＩルールとして統合する（Ｓ５１１）。

　ＤＰＩルール生成部１０５Ａは、生成されたＤＰＩルールを設定された適用先ＥＣＵに転送するようＤＰＩルール転送部１０５Ｂに依頼し（Ｓ５１２）、ＤＰＩルール生成処理を終了する。

　アラート種類が“フラッディング攻撃”でない場合（Ｓ５０５がＮｏの場合）、ＤＰＩルール生成部１０５Ａは、異常アラートに含まれるアラート種類が“なりすまし攻撃”であるかを判定する（Ｓ５１３）。アラート種類が“なりすまし攻撃”である場合（Ｓ５１３がＹｅｓの場合）、ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれるヘッダ条件に異常アラートに含まれるフローＩＤを設定する（Ｓ５１４）。そして、ＤＰＩルール生成部１０５Ａは、ＥＣＵ管理リストを参照してフローＩＤから正規のクライアントＩＤを確認し（Ｓ５１５）、確認されたクライアントＩＤを用いてＤＰＩルールに含まれるチェック内容を設定する（Ｓ５１６）。

　ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれるチェック時動作として、該当のパケットを遮断し、自身の監視パケット数を無制限（∞）と再設定する処理を設定する（Ｓ５１７）。ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれる監視パケット数をなりすまし攻撃の監視に必要な値（なりすまし攻撃の監視に対応付けられた値）に設定する（Ｓ５１８）。そして、ＤＰＩルール生成部１０５Ａは、ここまでで設定された内容を一つのＤＰＩルールとして統合し（Ｓ５１１）、ＤＰＩルールの転送依頼を行い（Ｓ５１２）、ＤＰＩルール生成の処理を終了する。

　アラート種類が“なりすまし攻撃”でない場合（Ｓ５１３がＮｏの場合）、ＤＰＩルール生成部１０５Ａは、異常アラートに含まれるアラート種類が“中間者攻撃（増加）”であるかを判定する（Ｓ５１９）。アラート種類が“中間者攻撃（増加）”である場合（Ｓ５１９がＹｅｓの場合）、ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれるヘッダ条件に、異常アラートに含まれるフローＩＤに割り当てられた送信元ＩＰアドレス及び宛先ＩＰアドレスを設定する（Ｓ５２０）。

　そして、ＤＰＩルール生成部１０５Ａは、ＥＣＵ管理リストを参照しフローＩＤから正規のサービスＩＤを確認し（Ｓ５２１）、確認されたサービスＩＤを用いてＤＰＩルールに含まれるチェック内容を設定する（Ｓ５２２）。ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれるチェック時動作として、ＤＰＩルールを発行したゾーンＥＣＵに対し、アラートを通知する処理を設定する（Ｓ５２３）。ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれる監視パケット数を中間者攻撃の監視に必要な値（中間者攻撃の監視に対応付けられた値）に設定する（Ｓ５２４）。そして、ＤＰＩルール生成部１０５Ａは、ここまでで設定された内容を一つのＤＰＩルールとして統合し（Ｓ５１１）、ＤＰＩルールの転送依頼を行い（Ｓ５１２）、ＤＰＩルール生成の処理を終了する。

　アラート種類が“中間者攻撃（増加）”でない場合（Ｓ５１９がＮｏの場合）、ＤＰＩルール生成部１０５Ａは、異常アラートに含まれるアラート種類が“中間者攻撃（減少）”であると判断する。ＤＰＩルール生成部１０５Ａは、同一のアラート番号を持ち、アラート種類が“中間者攻撃（増加）”である異常アラートに含まれるフローＩＤに割り当てられた送信元のＥＣＵを攻撃ＥＣＵと推定する（Ｓ５２５）。ＤＰＩルール生成部１０５Ａは、アラート種類が“中間者攻撃（減少）”である自身の異常アラートに含まれるフローＩＤから送信元ＥＣＵを抽出し、その送信元ＥＣＵと推定された攻撃ＥＣＵのＩＰアドレスとの組（攻撃ＥＣＵは宛先側とする）をＤＰＩルールに含まれるヘッダ条件に設定する（Ｓ５２６）。

　ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれる適用先ＥＣＵをフローＩＤに割り当てられた送信元ＩＰアドレスのＥＣＵに再設定する（Ｓ５２７）。ＤＰＩルール生成部１０５Ａは、ＤＰＩルールに含まれるチェック内容、チェック時動作及び監視パケット数を、対となるＤＰＩルール、つまり同一のアラート番号を持ち、アラート種類が“中間者攻撃（増加）”である異常アラートから生成されたＤＰＩルールと同じ内容に設定する（Ｓ５２８）。そして、ＤＰＩルール生成部１０５Ａは、ここまでで設定された内容を一つのＤＰＩルールとして統合し（Ｓ５１１）、ＤＰＩルールの転送依頼を行い（Ｓ５１２）、ＤＰＩルール生成の処理を終了する。

　［ＤＰＩルール転送のフローチャート］
　図１７は、ＤＰＩルール転送のフローチャートである。ＤＰＩルール転送部１０５Ｂは、ＥＣＵ管理リストを参照して生成されたＤＰＩルールに含まれる適用先ＥＣＵが自身の管理下のＥＣＵであるかを判定する（Ｓ６０１）。

　適用先ＥＣＵが自身の管理下のＥＣＵである場合（Ｓ６０１がＹｅｓの場合）、ＤＰＩルール転送部１０５Ｂは、ＤＰＩルールに含まれる発行元ＥＣＵを自身に設定し（Ｓ６０２）、発行元のゾーンＥＣＵがわかるようにＤＰＩルール番号を修正し（Ｓ６０３）、全ＤＰＩルール記憶部１０６にＤＰＩルールを保存する（Ｓ６０４）。そしてＤＰＩルール転送部１０５Ｂは、適用先ＥＣＵにＤＰＩルールを転送し（Ｓ６０５）、ＤＰＩルール転送の処理を終了する。

　適用先ＥＣＵが自身の管理下のＥＣＵでない場合（Ｓ６０１がＮｏの場合）、ＤＰＩルール転送部１０５Ｂは、ＥＣＵ管理リストを参照し、ＤＰＩルールに含まれる発行元ＥＣＵを、適用先ＥＣＵを管理する管理ゾーンＥＣＵに設定する（Ｓ６０６）。そしてＤＰＩルール転送部１０５Ｂは、発行元のゾーンＥＣＵがわかるようにＤＰＩルール番号を修正し（Ｓ６０７）、全ＤＰＩルール記憶部１０６にＤＰＩルールを保存し（Ｓ６０８）、ＤＰＩルール転送の処理を終了する。

　［生成されるＤＰＩルールの一例］
　図１８は、異常アラートから生成されるＤＰＩルールの一例を示す図である。図１８では、図１５の異常アラートから生成されたＤＰＩルールを示している。

　ルール番号は適用先ＥＣＵにＤＰＩルールを発行したゾーンＥＣＵがわかるように設定される。つまり、ルール番号は、ＤＰＩルールを発行したゾーンＥＣＵと対応付けられている。例えば、ゾーンＥＣＵ１００ｂが発行元であれば“Ｂ－１”といったアルファベットなどと組み合わせた番号などを発行する。ただし、“中間者攻撃監視”のＤＰＩルールの組に関しては、ＤＰＩアラートを通知するゾーンＥＣＵに合わせた同一の番号が発行される。

　チェック内容及びチェック時動作はフローベース異常検知にて検知された攻撃内容に応じて異なる。

　例えば、フラッディング攻撃では、攻撃ＥＣＵが特定のサービスＩＤのみを使って大量の通信パケットを送り付けていると考えられる。よって、フラッディング攻撃の監視ルール（フラッディング監視）として、１つのサービスＩＤのみを使用しているかの確認が行われる。具体的には、適用先ＥＣＵは、チェック内容として、フローベース異常検知で異常のあった通信のサービスＩＤをＥＣＵ管理リストから取得し、そのサービスＩＤ以外で通信が行われていないか監視する。適用先ＥＣＵは、該当のサービスＩＤ以外の通信を確認した際は、チェック時動作としてＤＰＩルールの発行元のゾーンＥＣＵにＤＰＩアラートを通知する。ゾーンＥＣＵは、フラッディング監視の規定の監視パケット数の監視が終了するまでにＤＰＩアラートの通知が一定量なければその通信を異常な通信と判定する。

　また、例えば、なりすまし攻撃の監視ルール（なりすまし監視）として、適用先ＥＣＵは、正規のクライアントＩＤ以外の通信が行われていないかを監視する。適用先ＥＣＵは、正規以外のクライアントＩＤを用いた通信が確認された際は、その通信を異常と判定し、チェック時動作として該当パケットの遮断を行い、ＤＰＩルールの監視パケット数を無制限（∞）に変更する。

　また、例えば、中間者攻撃の監視ルール（中間者攻撃監視）として、適用先ＥＣＵは、攻撃者と推定されるＥＣＵが同一のサービスＩＤを使用して２つのＥＣＵと同時に通信を行っていないかを確認する。適用先ＥＣＵは、ＤＰＩルールを適用する２つのＥＣＵは指定のサービスＩＤが用いられた通信を確認した際は、同じゾーンＥＣＵにＤＰＩアラートを通知する。ゾーンＥＣＵは２つのＥＣＵからアラートが報告された際に、その通信を異常な通信と判定する。

　また、監視パケット数は監視する攻撃の内容に応じて決定される。例えば、フラッディング監視においては、監視するパケットの通信間隔が短く、処理負荷が大きくなることが見込まれる。よって、処理負荷を低減するために、フラッディング監視では監視パケット数が他のＤＰＩルールと比べて小さく設定される。

　［ＤＰＩルール処理のフローチャート］
　図１９は、ＤＰＩ部１０２及び２０２におけるＤＰＩルール処理のフローチャートである。なお、図１９に示す処理は、例えばバケットが受信される毎に実施される。ＤＰＩ部１０２及び２０２は、パケットを受信し（Ｓ７０１）、自身に適用されているＤＰＩルールの中で最も処理優先度が高いＤＰＩルールを選択する（Ｓ７０２）。ここで、ＤＰＩ部１０２及び２０２では事前にＤＰＩルールを処理優先度が高い順に並べて記憶している。

　ＤＰＩ部１０２及び２０２は、選択されたＤＰＩルールに含まれるヘッダ条件を、受信されたパケットのヘッダが満たすかを判定する（Ｓ７０３）。

　受信されたパケットがＤＰＩルールに含まれるヘッダ条件を満たす場合（Ｓ７０３がＹｅｓの場合）、ＤＰＩ部１０２及び２０２は、パケットがＤＰＩルールに含まれるチェック内容を満たすかを判定する（Ｓ７０４）。

　パケットがＤＰＩルールに含まれるチェック内容を満たす場合（Ｓ７０４がＹｅｓの場合）、ＤＰＩ部１０２及び２０２は、ＤＰＩルールに含まれるチェック時動作を実行する（Ｓ７０５）。パケットがＤＰＩルールに含まれるチェック内容を満たさない場合（Ｓ７０４がＮｏの場合）、ＤＰＩ部１０２及び２０２は、ステップＳ７０５の処理をスキップする。

　その後、ＤＰＩ部１０２及び２０２は、監視済みパケット数のカウントを１増やす（Ｓ７０６）。

　ＤＰＩ部１０２及び２０２は、監視済みパケット数が監視パケット数に到達しているかを判定する（Ｓ７０７）。監視済みパケット数が監視パケット数に到達している場合（Ｓ７０７がＹｅｓの場合）、ＤＰＩ部１０２及び２０２は、ＤＰＩルールを破棄し（Ｓ７０８）、ＤＰＩルールの発行元のゾーンＥＣＵにルールの終了を通知し（Ｓ７０９）、ＤＰＩルール処理を終了する。監視済みパケット数が監視パケット数に到達していない（Ｓ７０７がＮｏの場合）、ＤＰＩ部１０２及び２０２は、ＤＰＩルール処理を終了する。

　受信されたパケットがＤＰＩルールに含まれるヘッダ条件を満さない場合（Ｓ７０３がＮｏの場合）、ＤＰＩ部１０２及び２０２は、他に未処理のＤＰＩルールが存在するかを判定する（Ｓ７１０）。他に未処理のＤＰＩルールが存在する場合（Ｓ７１０がＹｅｓの場合）、ＤＰＩ部１０２及び２０２は、未処理のＤＰＩルールのうち次に処理優先度が高いＤＰＩルールを選択し（Ｓ７１１）、ステップＳ７０３に戻る。他に未処理のＤＰＩルールが存在しない場合（Ｓ７１０がＮｏの場合）、ＤＰＩ部１０２及び２０２は、そのままＤＰＩルール処理を終了する。

　［ＤＰＩアラートの一例］
　図２０は、ＤＰＩアラートの一例を示す図である。ＤＰＩアラートは主に、ＤＰＩ部１０２及び２０２でＤＰＩルールの監視済みパケット数が規定の監視済みパケット数を満たしたときに通知される、もしくは一部のＤＰＩルールのチェック時動作として通知される。

　ＤＰＩアラートはルール番号、ＤＰＩルール名、適用先ＥＣＵ、及びアラート内容を含む。ルール番号は対応するＤＰＩルールのルール番号を示す。したがって、ＥＣＵは、ルール番号を確認することで、ＤＰＩアラートがどのＤＰＩルールに関するアラートなのかを判断することができる。

　ＤＰＩルール名は、ＤＰＩアラートに対応するＤＰＩルールのＤＰＩルール名を示す。適用先ＥＣＵは、ＤＰＩアラートに対応するＤＰＩルールの適用先ＥＣＵを示し、ＤＰＩアラートがどのＥＣＵから通知されたＤＰＩアラートなのかを把握するために用いられる。

　アラート内容は、“ルール終了”又は“チェック該当”を示す。アラート内容として“ルール終了”を含むＤＰＩアラートは、ＤＰＩルールの監視済みパケット数が規定の監視済みパケット数を満たしたことを示す。

　アラート内容として“チェック該当”を含むＤＰＩアラートは、ＤＰＩルールに含まれるチェック内容を満たしたことを示す。

　例えば、図２０に示すルール番号“Ｂ－１”及び“Ｃ－１”は、ＤＰＩルールによる監視が終了し、ルール番号に該当するＤＰＩルールが適用先ＥＣＵにおいて破棄されたことを示す。

　また、例えば、図２０に示すルール番号“Ｂ－２”は、適用先ＥＣＵがＤＰＩルールに含まれるチェック内容を満たすパケットを受信したことを示す。ルール番号“Ｂ－２”のＤＰＩルールは“中間者攻撃監視”であるため、２つのＥＣＵから同一のサービスＩＤを使う通信が確認されたことから、監視対象の通信が異常な通信であると判定できる。

　［ＤＰＩアラート処理のフローチャート］
　図２１は、ゾーンＥＣＵ１００ａ、１００ｂ及び１００ｃでのＤＰＩアラート処理のフローチャートである。ＤＰＩアラート処理部１０５Ｃは、ＤＰＩアラートを受信する（Ｓ８０１）。

　ＤＰＩアラート処理部１０５Ｃは、ＤＰＩアラートに含まれるＤＰＩルール名が“フラッディング監視”であるかを判定する（Ｓ８０２）。ＤＰＩルール名が“フラッディング監視”である場合（Ｓ８０２がＹｅｓの場合）、ＤＰＩアラート処理部１０５Ｃは、アラート内容が“ルール終了”であるかを判定する（Ｓ８０３）。アラート内容が“ルール終了”である場合（Ｓ８０３がＹｅｓの場合）、ＤＰＩアラート処理部１０５Ｃは、同一のルール番号でアラート内容が“チェック該当”のＤＰＩアラートを１００以上受信済みであるかを判定する（Ｓ８０４）。

　“チェック該当”のＤＰＩアラートを１００以上受信済みである場合（Ｓ８０４がＹｅｓの場合）、ＤＰＩアラート処理部１０５Ｃは、単一のサービスＩＤだけの通信でないことが確認できるため、ＤＰＩルールの監視対象の通信を正常と判定する（Ｓ８０５）。そして、ＤＰＩルールの適用先ＥＣＵにて既に該当のＤＰＩルールが破棄されているため、ＤＰＩアラート処理部１０５Ｃは、ゾーンＥＣＵ内の全ＤＰＩルール記憶部１０６から該当のＤＰＩルールを破棄する（Ｓ８０６）。ここでＤＰＩアラート処理部１０５Ｃは、自分以外のゾーンＥＣＵに対してもルールを破棄するよう通知を行う。

　“チェック該当”のＤＰＩアラートを１００以上受信済みでない場合（Ｓ８０４がＮｏの場合）、ＤＰＩアラート処理部１０５Ｃは、ＤＰＩルールの監視対象の通信を単一のサービスＩＤを用いた異常な通信であると判定する（Ｓ８０７）。そしてＤＰＩアラート処理部１０５Ｃは、既存のＤＰＩルールを全ＤＰＩルール記憶部１０６から破棄し、異常な通信を遮断するＤＰＩルールを再発行し（Ｓ８０８）、ＤＰＩアラート処理を終了する。

　アラート内容が“ルール終了”でない場合（Ｓ８０３がＮｏの場合）、つまりアラート内容が“チェック該当”の場合、ＤＰＩアラート処理部１０５Ｃは、ＤＰＩアラート処理を終了し、アラート内容が“ルール終了”であるＤＰＩアラートが通知されるまで待機する。

　ＤＰＩルール名が“フラッディング監視”でない場合（Ｓ８０２がＮｏの場合）、ＤＰＩアラート処理部１０５Ｃは、アラート内容が“ルール終了”であるかを判定する（Ｓ８０９）。アラート内容が“ルール終了”である場合（Ｓ８０９がＹｅｓの場合）、ＤＰＩアラート処理部１０５Ｃは、特に異常と判断する要素が報告されなかったことからＤＰＩルールの監視対象の通信を正常な通信と判定する（Ｓ８１０）。そしてＤＰＩアラート処理部１０５Ｃは、ゾーンＥＣＵ内の全ＤＰＩルール記憶部１０６から該当のＤＰＩルールを破棄する（Ｓ８１１）。

　アラート内容が“ルール終了”でない場合（Ｓ８０９がＮｏの場合）、ＤＰＩルール名が“中間者攻撃監視”かつアラート種類が“チェック該当”のＤＰＩアラートであることがわかる。

　ＤＰＩアラート処理部１０５Ｃは、同一のルール番号かつ異なるＤＰＩルール名の“チェック該当”を受信済みであるかを判定する（Ｓ８１２）。同一のルール番号かつ異なるＤＰＩルール名の“チェック該当”を受信済みである場合（Ｓ８１２がＹｅｓの場合）、攻撃者ＥＣＵが同一のサービスＩＤを用いて通信していることが確認できたため、ＤＰＩアラート処理部１０５Ｃは、ＤＰＩルールの監視対象の通信は異常な通信と判定する（Ｓ８１３）。そしてＤＰＩアラート処理部１０５Ｃは、既存のＤＰＩルールを全ＤＰＩルール記憶部１０６から破棄し、異常な通信を遮断するＤＰＩルールを再発行し（Ｓ８１４）、ＤＰＩアラート処理を終了する。

　同一のルール番号かつ異なるＤＰＩルール名の“チェック該当”を受信済みでない場合（Ｓ８１２がＮｏの場合）、ＤＰＩアラート処理部１０５Ｃは、ＤＰＩアラート処理を終了し、次のＤＰＩアラートが通知されるまで待機する。

　［異常な通信を遮断するＤＰＩルールの一例］
　図２２は、異常な通信を遮断するＤＰＩルールの一例を示す図である。図２２ではＤＰＩルール名として“異常通信”が示される。

　ヘッダ条件には異常な通信のヘッダ情報が指定され、チェック内容は異常な通信に用いられるサービスＩＤ又はクライアントＩＤの確認などが指定される。そして、指定された内容に該当する通信のパケットを遮断する処理がチェック時動作として指定される。

　監視パケット数は無制限（∞）に設定される。これにより、ＥＣＵのＤＰＩ部は勝手にＤＰＩルールを破棄できない。処理優先度は該当のパケットについて再計算するのが望ましいが、元のＤＰＩルールの処理優先度が流用されてもよい。

　（実施の形態２）
　以下、複数のＥＣＵがイーサネットを介して通信する車載ネットワーク（車載ネットワークシステム）を搭載した車両における、異常検知装置（異常検知システム）について説明する。なお、実施の形態１と同様の機能を有する構成要素は、同様の番号を付与して説明を省略する。

　［車載ネットワークシステムの全体構成図］
　図２３は、車載ネットワークシステム２０の全体構成図である。図２３において、車載ネットワークシステム２０は、ＡＤＡＳ　ＥＣＵ２００ａと、ＩＶＩ　ＥＣＵ２００ｂと、ハンドル制御ＥＣＵ２００ｃと、ブレーキ制御ＥＣＵ２００ｄと、シフトレバーＥＣＵ２００ｅと、カメラＥＣＵ２００ｆと、ＬｉＤＡＲ　ＥＣＵ２００ｇと、ゾーンＥＣＵ１１００ａ、１１００ｂ及び１１００ｃとを含む。

　［ゾーンＥＣＵ１１００ａの構成図］
　図２４は、ゾーンＥＣＵ１１００ａの構成図である。なお、ゾーンＥＣＵ１１００ｂ及び１１００ｃもゾーンＥＣＵ１１００ａと同様の構成であるため、これらの説明を省略する。

　図２４において、ゾーンＥＣＵ１１００ａは、通信ポート部１０１と、ＤＰＩ部１０２と、フロー情報収集部１０３と、フローベース異常検知部１０４と、ＤＰＩ制御部１１０５と、全ＤＰＩルール記憶部１０６と、ＥＣＵ管理リスト保存部１０７とを備える。

　ＤＰＩ制御部１１０５は、ＤＰＩルール生成部１１０５Ａと、ＤＰＩルール転送部１１０５Ｂと、ＤＰＩアラート処理部１０５Ｃとを含む。

　ＤＰＩルール生成部１１０５Ａは、フローベース異常検知部１０４にて出力される異常アラート又は各ＥＣＵのＤＰＩ部から出力されるＤＰＩアラートに基づいて、ＤＰＩルールの生成を行う。ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるヘッダ条件、チェック内容、チェック時動作、及び監視パケット数を決定する。

　ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルール生成部１１０５Ａにて生成されたＤＰＩルールの適用先を各ＥＣＵの処理負荷状況に応じて決定し、決定された適用先のＥＣＵにＤＰＩルールを転送する。例えば、ＡＤＡＳ　ＥＣＵ２００ａとハンドル制御ＥＣＵ２００ｃとの間の通信を監視する場合において、ＡＤＡＳ　ＥＣＵ２００ａのＤＰＩ部２０２が監視しているパケット数が規定値を超えている場合、ＡＤＡＳ　ＥＣＵ２００ａの代わりにゾーンＥＣＵ１１００ａ又はゾーンＥＣＵ１１００ｂに生成されたＤＰＩルールが転送される。

　またＤＰＩルール転送部１１０５Ｂは、ＤＰＩルールの適用先を決定する際に、適用先の候補となるＥＣＵの通信パケット数とＤＰＩ部での監視パケット数とをフロー情報収集部１０３から受け取る。ＤＰＩルール転送部１１０５Ｂは、それらの情報に基づいてＤＰＩルールの適用先を決定し、処理優先度の算出も行う。

　［処理のシーケンス］
　図２５は、実施の形態２におけるハンドル制御ＥＣＵ２００ｃからＡＤＡＳ　ＥＣＵ２００ａへの攻撃が発生した際の処理シーケンスを示す図である。図２５では、ゾーンＥＣＵ１１００ｂ及び１１００ｃは、フロー情報収集部１０３にてフロー情報を収集し、フローベース異常検知部１０４にて異常検知を行い、その結果を基にＤＰＩルール生成部１１０５ＡにてＤＰＩルールを生成し、各ＥＣＵの処理負荷の状況に応じてＤＰＩルールの適用先を決定し、適用されたＤＰＩルールの監視結果に基づいたセキュリティ対応が行われる。

　ハンドル制御ＥＣＵ２００ｃはＡＤＡＳ　ＥＣＵ２００ａにフラッディング攻撃を行う（Ｓ９０１）。ハンドル制御ＥＣＵ２００ｃとＡＤＡＳ　ＥＣＵ２００ａとの通信経路上に存在するゾーンＥＣＵ１１００ａ及び１１００ｂがパケットをミラーリングして受信し、フロー情報を収集する（Ｓ９０２）。

　ゾーンＥＣＵ１１００ａ、１１００ｂ及び１１００ｃは、ゾーンＥＣＵ１１００ａ、１１００ｂ及び１１００ｃの間で収集されたフロー情報を共有する（Ｓ９０３）。なお、ゾーンＥＣＵ１１００ｃの処理は図２５には図示していない。

　ゾーンＥＣＵ１１００ａ、１１００ｂ及び１１００ｃはそれぞれ共有されたフロー情報を基にフローベース異常検知を行い、ハンドル制御ＥＣＵ２００ｃがＡＤＡＳ　ＥＣＵ２００ａに攻撃していることを検知する。（Ｓ９０４）。ゾーンＥＣＵ１１００ａ、１１００ｂ及び１１００ｃはフローベース異常検知の結果に基づいて、通信を監視するための第１ＤＰＩルールを生成する（Ｓ９０５）。

　ゾーンＥＣＵ１１００ｂは生成された第１ＤＰＩルールの適用先の候補としてＡＤＡＳ　ＥＣＵ２００ａ、ハンドル制御ＥＣＵ２００ｃ、ゾーンＥＣＵ１１００ａ、及びゾーンＥＣＵ１１００ｂを選定し、フロー情報から各ＥＣＵの処理負荷を確認し、確認結果に基づき自身をＤＰＩルールの適用先として判断し、第１ＤＰＩルールを適用する（Ｓ９０６）。

　ゾーンＥＣＵ１１００ａは生成された第１ＤＰＩルールの適用先をフロー情報からゾーンＥＣＵ１１００ｂと判断する（Ｓ９０７）。なお、この判断の方法はＳ９０６と同様である。

　ハンドル制御ＥＣＵ２００ｃはＡＤＡＳ　ＥＣＵ２００ａに対して継続してフラッディング攻撃を行う（Ｓ９０８）。ゾーンＥＣＵ１１００ｂはＤＰＩ部１０２に適用された第１ＤＰＩルールに従ってパケットのペイロード監視を行う（Ｓ９０９）。

　ゾーンＥＣＵ１１００ｂはＤＰＩ部１０２での監視結果に応じてＤＰＩアラートを生成する（Ｓ９１０）。ゾーンＥＣＵ１１００ｂは生成されたＤＰＩアラートに基づき、ハンドル制御ＥＣＵ２００ｃの通信は異常な通信と正式に判定し、異常な通信を遮断する第２ＤＰＩルールを自身のＤＰＩ部１０２に適用する（Ｓ９１１）。

　ハンドル制御ＥＣＵ２００ｃはＡＤＡＳ　ＥＣＵ２００ａに対して継続してフラッディング攻撃を行う（Ｓ９１２）。ゾーンＥＣＵ１１００ｂのＤＰＩ部１０２は、ハンドル制御ＥＣＵ２００ｃからＡＤＡＳ　ＥＣＵ２００ａへの異常な通信を第２ＤＰＩルールに従って遮断する（Ｓ９１３）。

　［ＤＰＩルール生成フローチャート］
　図２６は、ＤＰＩルール生成のフローチャートである。ＤＰＩルール生成部１１０５Ａは、フローベース異常検知部１０４にて生成された異常アラートを取得する（Ｓ１００１）。ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールのルール番号を仮発行する（Ｓ１００２）。

　ＤＰＩルール生成部１１０５Ａは、ＤＰＩアラートに含まれるアラート種類が“フラッディング攻撃”であるかを判定する（Ｓ１００３）。アラート種類が“フラッディング攻撃”である場合（Ｓ１００３がＹｅｓの場合）、ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるヘッダ条件に、異常アラートに含まれるフローＩＤに割り当てられた送信元及び宛先ＩＰアドレスを設定する（Ｓ１００４）。

　そして、ＤＰＩルール生成部１１０５Ａは、ＥＣＵ管理リストを参照しフローＩＤから正規のサービスＩＤを確認し（Ｓ１００５）、確認されたサービスＩＤを用いてＤＰＩルールに含まれるチェック内容を設定する（Ｓ１００６）。ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるチェック時動作として、ＤＰＩルールを発行したゾーンＥＣＵに対し、アラートを通知する処理を設定する（Ｓ１００７）。ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれる監視パケット数をフラッディング攻撃の監視に必要な値に設定する（Ｓ１００８）。そして、ＤＰＩルール生成部１１０５Ａは、ここまでで設定された内容を一つのＤＰＩルールとして統合する（Ｓ１００９）。

　ＤＰＩルール生成部１１０５Ａは、生成されたＤＰＩルールに対する適用先の決定、処理優先度の決定、及び転送をＤＰＩルール転送部１１０５Ｂに依頼し（Ｓ１０１０）、ＤＰＩルール生成処理を終了する。

　アラート種類が“フラッディング攻撃”でない場合（Ｓ１００３がＮｏの場合）、ＤＰＩルール生成部１１０５Ａは、異常アラートに含まれるアラート種類が“なりすまし攻撃”であるかを判定する（Ｓ１０１１）。アラート種類が“なりすまし攻撃”である場合（Ｓ１０１１がＹｅｓの場合）、ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるヘッダ条件に異常アラートに含まれるフローＩＤを設定する（Ｓ１０１２）。そして、ＤＰＩルール生成部１１０５Ａは、ＥＣＵ管理リストを参照しフローＩＤから正規のクライアントＩＤを確認し（Ｓ１０１３）、確認されたクライアントＩＤを用いてＤＰＩルールに含まれるチェック内容を設定する（Ｓ１０１４）。

　ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるチェック時動作として、該当のパケットを遮断し、自身の監視パケット数を無制限（∞）と再設定する処理を設定する（Ｓ１０１５）。ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれる監視パケット数をなりすまし攻撃の監視に必要な値に設定する（Ｓ１０１６）。そして、ＤＰＩルール生成部１１０５Ａは、ここまでで設定された内容を一つのＤＰＩルールとして統合し（Ｓ１００９）、ＤＰＩルールの転送依頼を行い（Ｓ１０１０）、ＤＰＩルール生成処理を終了する。

　アラート種類が“なりすまし攻撃”でない場合（Ｓ１０１１がＮｏの場合）、ＤＰＩルール生成部１１０５Ａは、異常アラートに含まれるアラート種類が“中間者攻撃（増加）”であるかを判定する（Ｓ１０１７）。アラート種類が“中間者攻撃（増加）”である場合（Ｓ１０１７がＹｅｓの場合）、ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるヘッダ条件に異常アラートに含まれるフローＩＤに割り当てられた送信元及び宛先ＩＰアドレスを設定する（Ｓ１０１８）。

　そして、ＤＰＩルール生成部１１０５Ａは、ＥＣＵ管理リストを参照しフローＩＤから正規のサービスＩＤを確認し（Ｓ１０１９）、確認されたサービスＩＤを用いてＤＰＩルールに含まれるチェック内容を設定する（Ｓ１０２０）。ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるチェック時動作として、ＤＰＩルールを発行したゾーンＥＣＵに対し、アラートを通知する処理を設定する（Ｓ１０２１）。ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれる監視パケット数を中間者攻撃の監視に必要な値に設定する（Ｓ１０２２）。そして、ＤＰＩルール生成部１１０５Ａは、ここまでで設定された内容を一つのＤＰＩルールとして統合し（Ｓ１００９）、ＤＰＩルールの転送依頼を行い（Ｓ１０１０）、ＤＰＩルール生成処理を終了する。

　アラート種類が“中間者攻撃（増加）”でない場合（Ｓ１０１７がＮｏの場合）、ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるアラート種類が“中間者攻撃（減少）”であると判断する。ＤＰＩルール生成部１１０５Ａは、同一のアラート番号を持ち、アラート種類が“中間者攻撃（増加）”である異常アラートに含まれるフローＩＤに割り当てられた送信元のＥＣＵを攻撃ＥＣＵと推定する（Ｓ１０２３）。ＤＰＩルール生成部１１０５Ａは、アラート種類が“中間者攻撃（減少）”である自身の異常アラートに含まれるフローＩＤから送信元ＥＣＵを抽出し、その送信元ＥＣＵと推定された攻撃ＥＣＵのＩＰアドレスとの組（攻撃ＥＣＵは宛先側とする）をＤＰＩルールのヘッダ条件に設定する（Ｓ１０２４）。ＤＰＩルール生成部１１０５Ａは、ＤＰＩルールに含まれるチェック内容、チェック時動作及び監視パケット数を、対となるＤＰＩルール、つまり同一のアラート番号を持ち、アラート種類が“中間者攻撃（増加）”である異常アラートから生成されたＤＰＩルールと同じ内容に設定する（Ｓ１０２５）。そして、ＤＰＩルール生成部１１０５Ａは、ここまでで設定された内容を一つのＤＰＩルールとして統合し（Ｓ１００９）、ＤＰＩルール転送部１１０５ＢにＤＰＩルールの転送依頼を行い（Ｓ１０１０）、ＤＰＩルール生成処理を終了する。

　［ＤＰＩルール転送処理のフローチャート］
　図２７は、ＤＰＩルール転送処理のフローチャートである。ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルール生成部１１０５Ａにて生成されたＤＰＩルールを受け取る（Ｓ１１０１）。

　ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルールの監視対象パケットが通過する経路上のＥＣＵを選定する（Ｓ１１０２）。経路上に存在するＥＣＵは、監視対象パケットの送信元ＥＣＵ及び宛先ＥＣＵと、送信元ＥＣＵと宛先ＥＣＵとの間の通信経路に存在するゾーンＥＣＵとを含む。図２７では経路上のゾーンＥＣＵとしてゾーンＥＣＵ１００ａ及び１００ｂが選定されている。またゾーンＥＣＵ１００ｂが送信元ＥＣＵを管理するゾーンＥＣＵであることを想定している。

　ＤＰＩルール転送部１１０５Ｂは、選定されたＥＣＵそれぞれのフロー情報を要求し、各ＥＣＵについて、パケット占有率と、ＤＰＩ部でペイロード監視処理が行われる１分あたりのパケット数であるＤＰＩ処理パケット数とを算出する（Ｓ１１０３）。

　ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルールの監視対象パケットが暗号化通信であるかを判定する（Ｓ１１０４）。監視対象パケットが暗号化通信である場合（Ｓ１１０４がＹｅｓの場合）、ＤＰＩルール転送部１１０５Ｂは、暗号化通信の復号が可能である送信元ＥＣＵと宛先ＥＣＵとに候補を絞り、送信元ＥＣＵより宛先ＥＣＵのＤＰＩ処理パケット数が多いかを判定する（Ｓ１１０５）。送信元ＥＣＵより宛先ＥＣＵのＤＰＩ処理パケット数が多い場合（Ｓ１１０５がＹｅｓの場合）、ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルールの適用先を送信元ＥＣＵに設定し、そのＥＣＵでのパケット占有率を処理優先度として設定し、ＤＰＩルールを適用先のＥＣＵに転送する（Ｓ１１０６）。その後、ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルール転送処理を終了する。

　送信元ＥＣＵより宛先ＥＣＵのＤＰＩ処理パケット数が少ない場合（Ｓ１１０５がＮｏの場合）、ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルールの適用先を宛先ＥＣＵに設定し、そのＥＣＵでのパケット占有率を処理優先度として設定し、ＤＰＩルールを適用先のＥＣＵに転送する（Ｓ１１０７）。その後、ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルール転送処理を終了する。

　監視対象パケットが暗号化通信でない場合（Ｓ１１０４がＮｏの場合）、ゾーンＥＣＵでもパケットを復号せず監視可能であるため、ＤＰＩルール転送部１１０５Ｂは、送信元ＥＣＵを管理するゾーンＥＣＵ１１００ｂのＤＰＩ処理パケット数が１００００以上であるかを判定する（Ｓ１１０８）。ゾーンＥＣＵ１１００ｂのＤＰＩ処理パケット数が１００００以上である場合（Ｓ１１０８がＹｅｓの場合）、ＤＰＩルール転送部１１０５Ｂは、もう一つのゾーンＥＣＵでの候補であるゾーンＥＣＵ１１００ａのＤＰＩ処理パケット数が１００００以上であるかを判定する（Ｓ１１０９）。ゾーンＥＣＵ１１００ａのＤＰＩ処理パケット数が１００００以上の場合（Ｓ１１０９がＹｅｓの場合）、ゾーンＥＣＵ側では監視が難しいため、ＤＰＩルール転送部１１０５Ｂは、ステップＳ１１０５を行う。

　ゾーンＥＣＵ１１００ａのＤＰＩ処理パケット数が１００００未満の場合（Ｓ１１０９がＮｏの場合）、ゾーンＥＣＵ１１００ａで監視可能なため、ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルールの適用先をゾーンＥＣＵ１１００ａに設定し、そのＥＣＵでのパケット占有率を処理優先度として設定し、ＤＰＩルールを適用先のＥＣＵに転送する（Ｓ１１１０）。その後、ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルール転送処理を終了する。

　ゾーンＥＣＵ１１００ｂのＤＰＩ処理パケット数が１００００未満である場合（Ｓ１１０８がＮｏの場合）、ゾーンＥＣＵ１１００ｂで監視可能なため、ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルールの適用先をゾーンＥＣＵ１１００ｂに設定し、そのＥＣＵでのパケット占有率を処理優先度として設定し、ＤＰＩルールを適用先のＥＣＵに転送する（Ｓ１１１１）。その後、ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルール転送処理を終了する。

　［適用先・処理優先度を決定するために要求するフロー情報の一例］
　図２８は、ＤＰＩルール転送部１１０５ＢがＤＰＩルールの適用先及び処理優先度を決定するためにフロー情報収集部１０３に要求するフロー情報の一例を示す図である。

　ＤＰＩルール転送部１１０５Ｂは、ＤＰＩルールの適用先を決定する際、フロー情報収集部１０３にＤＰＩルールで監視するパケットのヘッダ条件を通知する。フロー情報収集部１０３は通知されたヘッダ条件のパケットを監視可能なＥＣＵを選定し、ＤＰＩルールの適用先を決定するための比較条件として用いられるフロー情報と、処理優先度を決定するためのフロー情報とを、収集されたフロー情報から抽出し、抽出されたフロー情報をＤＰＩルール転送部１１０５Ｂに転送する。

　図２８ではフロー情報収集部１０３に要求したフロー情報はＤＰＩルール生成時に仮発行したルール番号と紐づけられる。

　図２８では、フロー情報は、暗号化の有無、監視対象パケットの通信量、ＤＰＩルールの適用先候補ＥＣＵ、候補ＥＣＵ全体の通信量、監視対象パケットのパケット占有率、及び候補ＥＣＵでのＤＰＩ処理パケット数を含む。

　暗号化の有無は、対象のヘッダ条件に該当する通信が暗号化を施されているかを示す。暗号化の有無は送信元ＥＣＵと宛先ＥＣＵとの組合せによって判断される。監視対象パケットの通信量は、車載ネットワークシステム２０上で通信されるヘッダ条件に該当するパケットの通信量を示す。

　適用先候補ＥＣＵは、監視対象パケットが通信する際に経由するＥＣＵを示す。パケット占有率は、監視対象パケットのパケット数と適用先候補ＥＣＵ全体で通信されるパケット数との比（％）を示す。つまり、パケット占有率は、適用先候補ＥＣＵ全体で通信されるパケットのパケット数うち、監視対象パケットのパケット数が占める割合を示す。適用先が決定された際は、この値がＤＰＩルールの処理優先度として設定される。

　ＤＰＩ処理パケット数は、適用先候補ＥＣＵのＤＰＩ部が現在、ＤＰＩルールに従ってペイロードの監視処理をしているパケット数を示す。フロー情報収集部１０３は、全ＤＰＩルール記憶部１０６から各ＥＣＵに適用されているＤＰＩルールの情報を入手することで、ＤＰＩ処理パケット数を算出する。この値が大きいほど、各ＥＣＵのＤＰＩ部の処理負荷が大きいことを表す。また、このＤＰＩ処理パケット数は、以上の定義に限定されない。例えば、ＤＰＩ処理パケット数は、ＤＰＩ部１０２及び２０２にてＤＰＩルールと受信パケットとでヘッダチェックを行う回数であってもよい。

　［適用先が動的に変更されたＤＰＩルールの一例］
　図２９は、適用先を動的に変更したＤＰＩルールの一例を示す図である。例えば、図２９に示すルール番号“Ｂ－１１”では、ＤＰＩルールの発行元であるゾーンＥＣＵ１１００ｂにＤＰＩルールが適用される。ルール番号“Ｂ－１２”は中間者攻撃監視のＤＰＩルールであるため、ルール番号“Ｂ－１２”の２つのＤＰＩルールが生成される。一つはゾーンＥＣＵ１１００ｃに適用され、もう片方はブレーキ制御ＥＣＵ２００ｄに適用される。

　（実施の形態３）
　以下、複数のＥＣＵがイーサネットを介して通信する車載ネットワーク（車載ネットワークシステム）を搭載した車両における、異常検知装置（異常検知システム）について説明する。なお、実施の形態１と同様の機能を有する構成要素は、同様の番号を付与して説明を省略する。

　［車載ネットワークシステムの全体構成図］
　図３０は、車載ネットワークシステム３０の全体構成図である。図３０において、車載ネットワークシステム３０は、ＡＤＡＳ　ＥＣＵ２００ａと、ＩＶＩ　ＥＣＵ２００ｂと、ハンドル制御ＥＣＵ２００ｃと、ブレーキ制御ＥＣＵ２００ｄと、シフトレバーＥＣＵ２００ｅと、カメラＥＣＵ２００ｆと、ＬｉＤＡＲ　ＥＣＵ２００ｇと、ゾーンＥＣＵ２１００ａ、２１００ｂ及び２１００ｃとを含む。

　［ゾーンＥＣＵ２１００ａの構成図］
　図３１は、ゾーンＥＣＵ２１００ａの構成図である。なお、ゾーンＥＣＵ２１００ｂ及び２１００ｃもゾーンＥＣＵ２１００ａと同様の構成であるため、これらの説明を省略する。

　図３１において、ゾーンＥＣＵ２１００ａは、通信ポート部１０１と、ＤＰＩ部１０２と、フロー情報収集部１０３と、フローベース異常検知部１０４と、ＤＰＩ制御部２１０５と、全ＤＰＩルール記憶部１０６と、ＥＣＵ管理リスト保存部１０７と、安全性判断部２１０８と、安全監視用ＤＰＩルールリスト保存部２１０９とを備える。

　ＤＰＩ制御部２１０５は、ＤＰＩルール生成部２１０５Ａと、ＤＰＩルール転送部２１０５Ｂと、ＤＰＩアラート処理部１０５Ｃとを含む。

　ＤＰＩルール生成部２１０５Ａは、フローベース異常検知部１０４で生成される異常アラートからＤＰＩルールを生成する。また、ＤＰＩルール生成部２１０５Ａは、安全性判断部２１０８からの指示に応じてＤＰＩルールを生成する。

　安全性判断部２１０８は、フローベース異常検知部１０４からの異常アラートと、ＡＤＡＳ　ＥＣＵ２００ａ及びシフトレバーＥＣＵ２００ｅから受信する車両状態とから、運転者の生命に関わるリスクがあるかを判断し、必要に応じて各ＥＣＵに運転者の安全を確保する命令を行う。また、安全性判断部２１０８は、運転者の安全に関わる機能に攻撃のリスクがある場合、その機能を持つＥＣＵの通信を監視するＤＰＩルールを生成するようにＤＰＩルール生成部２１０５Ａに指示を出す。

　安全監視用ＤＰＩルールリスト保存部２１０９には、安全性判断部２１０８の指示によって生成されるＤＰＩルールの雛型が予め保存されている。ＤＰＩルール生成部２１０５Ａは、安全性判断部２１０８からＤＰＩルール生成の指示を受けた際に、一からＤＰＩルールを作成するのではなく、安全監視用ＤＰＩルールリスト保存部２１０９から対応するＤＰＩルールの雛型を呼び出し、当該雛型を用いてＤＰＩルールを生成する。

　［安全監視用ＤＰＩルールリスト］
　図３２は、安全監視用ＤＰＩルールリスト保存部２１０９に保存される安全監視用ＤＰＩルールリストの一例を示す図である。安全監視用ＤＰＩルールリストに保存されるＤＰＩルールは、ＤＰＩルール名と、ヘッダ条件と、チェック内容と、チェック時動作と、監視パケット数とを含む。ＤＰＩルール生成部２１０５Ａは、安全性判断部２１０８からの指示に従って、必要なＤＰＩルールを安全監視用ＤＰＩルールリスト保存部２１０９に要求する。

　図３２に示す例では、ＤＰＩルール名が緊急停止システム監視とバックモニター監視との２種類のＤＰＩルールが保存されている。緊急停止システム監視のＤＰＩルールは、安全性判断部２１０８がフローベース異常検知部１０４から出力された異常アラートから、車両を緊急停止させるシステムを起動する判断をした際に生成されるＤＰＩルールである。このＤＰＩルールは、車両を緊急停止させる際に使用する制御系ＥＣＵ又はセンサＥＣＵなどに悪意のあるＥＣＵがなりすまし攻撃にて悪意のある通信を行っていないかを判定するために用いられる。そのため正規なクライアントＩＤを用いた通信でなければ、パケットが遮断され、車両の機能が保護される。

　バックモニター監視のＤＰＩルールは、シフトレバーがリバース（Ｒ）シフトの時にＩＶＩとの通信に対する異常アラートが発生した際に生成される。このＤＰＩルールでは、運転者が駐車時に後方確認のため見ているバックモニターに正規なクライアントＩＤを持つ通信以外が行われていないかが監視され、不正なクライアントＩＤを持つ通信パケットはＤＰＩ部１０２及び２０２で遮断される。

　［処理のシーケンス］
　図３３は、実施の形態３におけるハンドル制御ＥＣＵ２００ｃからＡＤＡＳ　ＥＣＵ２００ａへの攻撃が発生した際の処理シーケンスを示す図である。図３３では、緊急停止システムの作動及びその機能の通信を監視するＤＰＩルールが適用され、ＤＰＩ部の監視結果に基づいたセキュリティ対応が行われる。

　ＡＤＡＳ　ＥＣＵ２００ａは自動運転を開始し、そのことをゾーンＥＣＵ２１００ａ、２１００ｂ及び２１００ｃに報告する（Ｓ１２０１）。シフトレバーＥＣＵ２００ｅは定期的にシフトレバーの状態をゾーンＥＣＵ２１００ａ、２１００ｂ及び２１００ｃに報告する（Ｓ１２０２）。なお、ゾーンＥＣＵ２１００ｃの処理は図３３には図示していない。

　ハンドル制御ＥＣＵ２００ｃはＡＤＡＳ　ＥＣＵ２００ａになりすまし攻撃を行う（Ｓ１２０３）。ハンドル制御ＥＣＵ２００ｃとＡＤＡＳ　ＥＣＵ２００ａとの通信経路上に存在するゾーンＥＣＵ２１００ａ及び２１００ｂがパケットをミラーリングしてパケットを受信し、フロー情報を収集する（Ｓ１２０４）。

　ゾーンＥＣＵ２１００ａ、２１００ｂ及び２１００ｃは、ゾーンＥＣＵ２１００ａ、２１００ｂ及び２１００ｃの間で収集されたフロー情報を共有する（Ｓ１２０５）。ゾーンＥＣＵ２１００ａ、２１００ｂ及び２１００ｃはそれぞれ共有されたフロー情報を基にフローベース異常検知を行い、ハンドル制御ＥＣＵ２００ｃがＡＤＡＳ　ＥＣＵ２００ａに攻撃していることを検知する。（Ｓ１２０６）。

　ゾーンＥＣＵ２１００ａ、２１００ｂ及び２１００ｃは、フローベース異常検知によって生成された異常アラートの内容が、車両の安全を脅かすものではないかを判断する安全性判断を行う（Ｓ１２０７）。具体的には、ゾーンＥＣＵ２１００ａ、２１００ｂ及び２１００ｃは、当該異常アラートの内容と、ＡＤＡＳ　ＥＣＵ２００ａ及びシフトレバーＥＣＵ２００ｅから報告されている車両状態とを照らし合わせることで、安全性判断が行われる。

　ゾーンＥＣＵ２１００ａは、安全性判断の結果、自動運転を続けることにリスクがあると判断し、緊急停止を行った後、自動運転システムを停止させる命令を、ＡＤＡＳ　ＥＣＵ２００ａに通知する（Ｓ１２０８）。

　ＡＤＡＳ　ＥＣＵ２００ａは自身を管理するゾーンＥＣＵ２１００ａの指示に従い、緊急停止システムを作動する（Ｓ１２０９）。ゾーンＥＣＵ２１００ａは、緊急停止システムを安全に作動させるため、緊急停止に関わるＥＣＵに、不正な通信が行われていないか監視するＤＰＩルールを配布する（Ｓ１２１０）。

　ＡＤＡＳ　ＥＣＵ２００ａとカメラＥＣＵ２００ｆはゾーンＥＣＵ２１００ａからＤＰＩルールを受信し、受信されたＤＰＩルールをＤＰＩ部２０２に適用する（Ｓ１２１１）。

　ハンドル制御ＥＣＵ２００ｃはＡＤＡＳ　ＥＣＵ２００ａに対して継続してなりすまし攻撃を行う（Ｓ１２１２）。ＡＤＡＳ　ＥＣＵ２００ａは、ＤＰＩルールに従って、ハンドル制御ＥＣＵ２００ｃからの異常な通信を遮断する（Ｓ１２１３）。

　［ゾーンＥＣＵのパケット処理］
　図３４は、実施の形態３におけるゾーンＥＣＵがパケットを受信した際の処理のフローチャートである。通信ポート部１０１は、自身を経由して通信されるパケットをミラーリングして受信する（Ｓ１３０１）。フロー情報収集部１０３は、受信されたパケットからヘッダ情報を抽出してフロー情報を更新する（Ｓ１３０２）。

　フロー情報収集部１０３は、フロー情報を収集する規定の時間を超過していないかを判定する（Ｓ１３０３）。規定時間を超えている場合（Ｓ１３０３がＹｅｓの場合）、フロー情報収集部１０３は、フロー情報を出力する（Ｓ１３０４）。規定時間を超えていない場合（Ｓ１３０３がＮｏの場合）、フロー情報収集部１０３は、最初のステップＳ１３０１に戻る。

　通信ポート部１０１は、出力されたフロー情報を、他のゾーンＥＣＵに転送する（Ｓ１３０５）。また、通信ポート部１０１は、他のゾーンＥＣＵから転送されたフロー情報を受信する（Ｓ１３０６）。そしてフロー情報収集部１０３は、自身で出力したフロー情報と他のゾーンＥＣＵから転送されたフロー情報とを合成する（Ｓ１３０７）。

　フローベース異常検知部１０４は、合成されたフロー情報を基にフローベース異常検知を行い（Ｓ１３０８）、異常があるかどうか判定する（Ｓ１３０９）。異常がある場合（Ｓ１３０９がＹｅｓの場合）、フローベース異常検知部１０４は、異常の内容が記載された異常アラートを生成する（Ｓ１３１０）。異常がない場合（Ｓ１３０９がＮｏの場合）、ゾーンＥＣＵは処理を終了する。

　ＤＰＩルール生成部２１０５Ａは、生成された異常アラートの内容が車両の安全を脅かすものかを、異常アラートの内容を車両状態と照らし合わせて判断する（Ｓ１３１１）。

　ＤＰＩルール生成部２１０５Ａは、安全性の判断結果、車両が危険な状態であるかを判定する（Ｓ１３１２）。

　車両が危険な状態であると判断された場合（Ｓ１３１２がＹｅｓの場合）、ＤＰＩルール生成部２１０５Ａは、安全を確保する行動をＥＣＵに指示し（Ｓ１３１３）、車両の安全を確保するためのＤＰＩルールを生成する（Ｓ１３１４）。車両が危険な状態でないと判断された場合（Ｓ１３１２がＮｏの場合）、ＤＰＩルール生成部２１０５Ａは、ステップＳ１３１３及びＳ１３１４の処理をスキップする。

　ＤＰＩルール生成部２１０５Ａは、生成された異常アラートからＤＰＩルールを生成する（Ｓ１３１５）。ＤＰＩルール生成部２１０５Ａは、生成されたＤＰＩルールを全ＤＰＩルール記憶部１０６に保存する（Ｓ１３１６）。

　ＤＰＩルール転送部２１０５Ｂは、生成されたＤＰＩルールの適用先ＥＣＵが自身の管理ＥＣＵであるかをＥＣＵ管理リストに基づき判定する（Ｓ１３１７）。適用先ＥＣＵが自身の管理ＥＣＵである場合（Ｓ１３１７がＹｅｓの場合）、ＤＰＩルール転送部２１０５Ｂは、ＤＰＩルールを適用先ＥＣＵに転送し（Ｓ１３１８）、ゾーンＥＣＵは、処理を終了する。適用先ＥＣＵが自身の管理ＥＣＵでない場合（Ｓ１３１７がＮｏの場合）、ゾーンＥＣＵは、処理を終了する。

　［安全性判断の処理フローチャート］
　図３５は、安全性判断の処理フローチャートである。安全性判断部２１０８は、フローベース異常検知部１０４からの異常アラートがあるかを判定する（Ｓ１４０１）。異常アラートがある場合（Ｓ１４０１がＹｅｓの場合）、安全性判断部２１０８は、異常アラートの対象の通信がＡＤＡＳ　ＥＣＵ２００ａとの通信であるかを判定する（Ｓ１４０２）。

　異常アラートの対象の通信がＡＤＡＳ　ＥＣＵ２００ａとの通信である場合（Ｓ１４０２がＹｅｓの場合）、安全性判断部２１０８は、自動運転中であるかを判定する（Ｓ１４０３）。自動運転中である場合（Ｓ１４０３がＹｅｓの場合）、安全性判断部２１０８は、緊急停止システムの作動をＡＤＡＳ　ＥＣＵ２００ａに指示し、そのことを運転者にも通知する（Ｓ１４０４）。そして、安全性判断部２１０８は、緊急停止システム監視用のＤＰＩルールの生成をＤＰＩルール生成部２１０５Ａに指示する（Ｓ１４０５）。

　自動運転中でない場合（Ｓ１４０３がＮｏの場合）、安全性判断部２１０８は、シフトレバーがドライブ（Ｄ）シフトであるかを判定する（Ｓ１４０６）。シフトレバーがＤシフトである場合（Ｓ１４０６がＹｅｓの場合）、安全性判断部２１０８は、ドライブアシストの停止をＡＤＡＳ　ＥＣＵ２００ａに指示し、そのことを運転者にも通知する（Ｓ１４０７）。

　シフトレバーがＤシフトでない場合（Ｓ１４０６がＮｏの場合）、安全性判断部２１０８は、シフトレバーがリバース（Ｒ）シフトであるかを判定する（Ｓ１４０８）。シフトレバーがＲシフトである場合（Ｓ１４０８がＹｅｓの場合）、安全性判断部２１０８は、パーキングアシストの停止をＡＤＡＳ　ＥＣＵ２００ａに指示し、そのことを運転者にも通知する（Ｓ１４０９）。シフトレバーがＲシフトでない場合（Ｓ１４０８がＮｏの場合）、安全性判断部２１０８は、安全性判断の処理を終了する。

　異常アラートの対象の通信がＡＤＡＳ　ＥＣＵ２００ａとの通信でない場合（Ｓ１４０２がＮｏの場合）、安全性判断部２１０８は、異常アラートの対象の通信がＩＶＩ　ＥＣＵ２００ｂとの通信であるかを判定する（Ｓ１４１０）。異常アラートの対象の通信がＩＶＩ　ＥＣＵ２００ｂとの通信である場合（Ｓ１４１０がＹｅｓの場合）、安全性判断部２１０８は、シフトレバーがリバース（Ｒ）シフトであるかを判定する（Ｓ１４１１）。シフトレバーがＲシフトである場合（Ｓ１４１１がＹｅｓの場合）、安全性判断部２１０８は、バックモニター監視用のＤＰＩルールの生成をＤＰＩルール生成部２１０５Ａに指示する（Ｓ１４１２）。

　異常アラートがでている通信がＩＶＩ　ＥＣＵ２００ｂとの通信でない場合（Ｓ１４１０がＮｏの場合）、又はシフトレバーがＲシフトでない場合（Ｓ１４１１がＮｏの場合）、安全性判断部２１０８は、安全性判断の処理を終了する。フローベース異常検知部１０４からの異常アラートがない場合（Ｓ１４０１がＮｏの場合）、安全性判断部２１０８は、安全性判断の処理を終了する。

　［安全監視用のＤＰＩルール生成処理のフローチャート］
　図３６は、実施の形態３におけるＤＰＩルール生成部２１０５Ａによる処理のフローチャートである。ＤＰＩルール生成部２１０５Ａは、安全性判断部２１０８からＤＰＩルール生成の指示を受ける（Ｓ１５０１）。

　ＤＰＩルール生成部２１０５Ａは、安全性判断部２１０８からの指示が緊急停止システム監視用のＤＰＩルールの生成かを判定する（Ｓ１５０２）。安全性判断部２１０８からの指示が緊急停止システム監視用のＤＰＩルールの生成である場合（Ｓ１５０２がＹｅｓの場合）、ＤＰＩルール生成部２１０５Ａは、緊急停止システム監視用のＤＰＩルールを安全監視用ＤＰＩルールリスト保存部２１０９に要求し、緊急停止システム監視用のＤＰＩルールを取得する（Ｓ１５０３）。

　ＤＰＩルール生成部２１０５Ａは、ＤＰＩルール転送部２１０５Ｂに、緊急停止システム監視用のＤＰＩルールの適用先決定、処理優先度の決定、及び適用先へのＤＰＩルールの転送を依頼し（Ｓ１５０４）、処理を終了する。

　安全性判断部２１０８からの指示が緊急停止システム監視用のＤＰＩルールの生成でない場合（Ｓ１５０２がＮｏの場合）、ＤＰＩルール生成部２１０５Ａは、バックモニター監視用のＤＰＩルールを安全監視用ＤＰＩルールリスト保存部２１０９に要求し、バックモニター監視用のＤＰＩルールを取得する（Ｓ１５０５）。そしてＤＰＩルール生成部２１０５Ａは、ＤＰＩルール転送部２１０５Ｂに、安全監視用のＤＰＩルールの適用先決定、処理優先度の決定、及び適用先へのＤＰＩルールの転送を依頼し（Ｓ１５０４）、処理を終了する。

　［安全監視用ＤＰＩルールの一例］
　図３７は、生成された安全監視用ＤＰＩルールの一例を示す図である。図３７に示すＤＰＩルールは自動運転時にＡＤＡＳ　ＥＣＵ２００ａで異常が発生した際に生成された緊急停止システム監視用のＤＰＩルールである。そのため、ＤＰＩルールの発行元は、ＡＤＡＳ　ＥＣＵ２００ａを管理するゾーンＥＣＵ２１００ａである。ＤＰＩルールの各処理優先度はＤＰＩルール転送部２１０５Ｂで算出される。また、ＤＰＩルールはＤＰＩルール転送部２１０５Ｂにより転送される。

　［その他変形例］
　なお、本開示を上記各実施の形態に基づいて説明してきたが、本開示は、上記各実施の形態に限定されないのはもちろんである。

　（１）上記の実施の形態では、車載ネットワークにイーサネットが使用される例を示したが、これに限定されない。例えば、車載ネットワークに、ＣＡＮ、ＣＡＮ－ＦＤ（Ｆｌｅｘｉｂｌｅ－Ｄａｔａｒａｔｅ）、イーサネット、ＬＩＮ、又はＦｌｅｘＲａｙ（登録商標）が用いられてもよいし、これらの２以上の組み合わせて用いられてもよい。

　（２）上記実施の形態では、フロー情報の収集をゾーンＥＣＵが行っているが、ゾーンＥＣＵ以外が行わず、ゾーンＥＣＵ以外が行ってもよい。例えば、ヘッドユニット、セントラルＥＣＵ、又はイーサネットスイッチなどがフロー情報の収集を行ってもよい。

　（３）上記の実施の形態では、フローを特定するための情報として、送信元ＩＰアドレス、宛先ＩＰアドレス、送信元ポート番号、宛先ポート番号、及びプロトコル番号の組が用いられたが、フローを特定するための情報は、これらに限定されない。例えば、フローを特定するための情報として、これらに加え、又はこれらの少なくとも一部の代わりに、Ｖｉｒｔｕａｌ　ＬＡＮに用いられるＶ－ＬＡＮ　ＩＤが用いられてもよい。また、ＣＡＮ通信などが用いられる場合に、フローを特定するための情報として、通信データの識別子であるＣＡＮ　ＩＤが用いられてもよい。これによりフローの定義がより柔軟となり、ネットワークに適したフロー情報の収集が可能となる。

　（４）上記の実施の形態では、フローベース異常検知に用いるフロー情報として、パケット数と平均到着間隔とが用いられたが、フローベース異常検知に用いるフロー情報はこれに限定されない。例えば、平均パケット長又はタイムスタンプなどが用いられてもよい。

　（５）上記の実施の形態では、フローベース異常検知後に、ペイロードベースの異常検知機能であるＤＰＩが用いられたが、ＤＰＩ以外が用いられてもよい。例えば、ＡＩベースの異常検知機能が用いられてもよい。

　（６）上記の実施の形態では、各ＥＣＵは、ＤＰＩ部による監視結果に基づいてＤＰＩルールの破棄を適宜行っているが、ゾーンＥＣＵが状況に応じて各ＥＣＵにＤＰＩルールの破棄を命令してもよい。

　（７）上記の実施の形態では、規定のパケット数の監視を行った際にＤＰＩルールの破棄が行われているが、ＤＰＩルールを破棄する条件はこれに限定されない。例えば、ＤＰＩルールを適用してから一定の時間が経過した際にＤＰＩルールが破棄されてもよいし、ＤＰＩ部に適用されたＤＰＩルール数が規定の数を超えた際に監視の優先度が低いＤＰＩルールから破棄されてもよい。

　（８）上記の実施の形態では、通信パケットが暗号化されている際は送信元ＥＣＵと宛先ＥＣＵとにＤＰＩルールが適用されたが、ゾーンＥＣＵを含めた他のＥＣＵが暗号化されたパケットを復号可能であれば、ゾーンＥＣＵを含めた他のＥＣＵにＤＰＩルールが適用されてもよい。

　（９）上記の実施の形態では、ＡＤＡＳ　ＥＣＵとＩＶＩ　ＥＣＵとに関わる通信に対し、フローベース異常検知部が異常を検知した場合に、安全監視用のＤＰＩルールが適用される例を示しているが、異常を検知する対象の通信はこれに限定されない。例えば、任意の制御系ＥＣＵ又はセンサ系ＥＣＵと、他の任意の制御系ＥＣＵ又はセンサ系ＥＣＵとに関わる通信で異常を検知した場合に同様の処理が適用されてもよい。また、これらを組み合わせた２以上の異常を検知した場合に同様の処理が適用されてもよい。

　（１０）上記の実施の形態では、車両状態として、シフトレバー状態と自動運転中かとを参照しているが、参照される車両状態はこれに限定されない。例えば、参照される車両状態は、自動駐車中、クルーズコントロール中、ソフトウェア更新中、車両診断中、及びインターネット接続中の少なくとも一つを含んでもよい。また、このような車両状態を参照してＤＰＩルールの生成、追加、変更、有効化、及び無効化の少なくとも一つが行われてもよい。

　（１１）上記の実施の形態では、ＤＰＩ部での処理パケット数に基づいて、ＤＰＩルールの適用先を設定しているが、ＤＰＩルールの適用先を設定する方法はこれに限らない。例えば、フローベース異常検知部による異常検知結果に基づいてＤＰＩルールの適用先が決定されてもよい。例えば、フローベース異常検知部がフラッディング攻撃を検知した場合、送信元ＥＣＵに近いゾーンＥＣＵに対するＤＰＩルールの適用が優先される。これにより、ＤＰＩ部にて異常を検知した際に異常パケットのドロップ処理をゾーンＥＣＵで行うことができる。

　（１２）上記の実施の形態における各装置を構成する構成要素の一部又は全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されても良い。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ及びＲＡＭ等を含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。また、上記各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部又は全部を含むように１チップ化されても良い。また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ又はウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路又は汎用プロセッサで実現されても良い。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、又はＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。更には、半導体技術の進歩又は派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行っても良い。バイオ技術の適用等が可能性としてあり得る。

　（１３）上記各装置を構成する構成要素の一部又は全部は、各装置に脱着可能なＩＣカード又は単体のモジュールから構成されても良い。ＩＣカード又はモジュールは、マイクロプロセッサ、ＲＯＭ及びＲＡＭ等から構成されるコンピュータシステムである。ＩＣカード又はモジュールは、上記の超多機能ＬＳＩを含んでも良い。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、ＩＣカード又はモジュールは、その機能を達成する。このＩＣカード又はこのモジュールは、耐タンパ性を有してもよい。

　（１４）本開示の一態様は、異常検知の方法をコンピュータにより実現するプログラム（コンピュータプログラム）であっても良いし、コンピュータプログラムからなるデジタル信号であっても良い。また、本開示の一態様は、コンピュータプログラム又はデジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕｅ―ｒａｙ（登録商標）　Ｄｉｓｃ）、又は半導体メモリ等であっても良い。また、本開示の一態様は、これらの記録媒体に記録されているデジタル信号であっても良い。また、本開示の一態様は、コンピュータプログラム又はデジタル信号を、電気通信回線、無線或いは有線通信回線、インターネットを代表とするネットワーク、又は、データ放送等を経由して伝送するものとしても良い。また、本開示の一態様は、マイクロプロセッサとメモリを備えたコンピュータシステムであっても良い。メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作しても良い。また、本開示の一態様は、プログラム若しくはデジタル信号を記録媒体に記録して移送することにより、又は、プログラム若しくはデジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施されてもよい。

　（１５）上記実施の形態及び上記変形例で示した各構成要素及び機能を任意に組み合わせることで実現される形態も本開示の範囲に含まれる。

　本開示は、車載ネットワークシステムにおいて、通信の異常を検知する装置及び通信の異常を検知する方法に有用である。

　１０、２０、３０　車載ネットワークシステム
　１００ａ、１００ｂ、１００ｃ、１１００ａ、１１００ｂ、１１００ｃ、２１００ａ、２１００ｂ、２１００ｃ　ゾーンＥＣＵ
　１０１、２０１　通信ポート部
　１０２、２０２　ＤＰＩ部
　１０３　フロー情報収集部
　１０４　フローベース異常検知部
　１０５、１１０５、２１０５　ＤＰＩ制御部
　１０５Ａ、１１０５Ａ、２１０５Ａ　ＤＰＩルール生成部
　１０５Ｂ、１１０５Ｂ、２１０５Ｂ　ＤＰＩルール転送部
　１０５Ｃ　ＤＰＩアラート処理部
　１０６　全ＤＰＩルール記憶部
　１０７　ＥＣＵ管理リスト保存部
　２００ａ　ＡＤＡＳ　ＥＣＵ
　２００ｂ　ＩＶＩ　ＥＣＵ
　２００ｃ　ハンドル制御ＥＣＵ
　２００ｄ　ブレーキ制御ＥＣＵ
　２００ｅ　シフトレバーＥＣＵ
　２００ｆ　カメラＥＣＵ
　２００ｇ　ＬｉＤＡＲ　ＥＣＵ
　２０３　アプリ部
　２１０８　安全性判断部
　２１０９　安全監視用ＤＰＩルールリスト保存部

Claims

　１以上の上位電子制御装置が配置された上位ネットワークと、１以上の下位電子制御装置が配置された下位ネットワークとを含む階層構造を有する車載ネットワークにおける上位電子制御装置による異常検知方法であって、
　前記車載ネットワークの所定の観測箇所において受信されるメッセージのヘッダ情報によって分類されるフローごとの統計情報であるフロー情報を収集し、
　前記フロー情報に基づいて異常検知を行い、
　前記異常検知の結果に基づいて、ＤＰＩ（Ｄｅｅｐ　Ｐａｃｋｅｔ　Ｉｎｓｐｅｃｔｉｏｎ）ルールの生成、追加、削除、変更、有効化及び無効化のいずれかを行い、
　前記ＤＰＩルールは、前記１以上の下位電子制御装置における前記メッセージの監視に用いられ、
　前記ＤＰＩルールは、前記メッセージに含まれるヘッダ情報及びペイロード情報の条件と、前記条件に合致するメッセージを受信した場合の処理内容とを示す
　異常検知方法。
　前記フロー情報は、フローごとのメッセージの受信量に関する情報を含み、
　前記異常検知方法は、さらに、
　前記情報に基づいて、前記ＤＰＩルールを含む１以上のＤＰＩルールのそれぞれについて、前記メッセージの監視の処理の順番を示す処理優先度を決定する、
　請求項１記載の異常検知方法。
　前記異常検知方法は、さらに、
　前記異常検知で検知された異常の内容と、監視する前記メッセージの単位時間あたりのメッセージ数とに応じて、前記ＤＰＩルールに従ったメッセージの監視を有効化する時間、又は前記ＤＰＩルールに従った前記メッセージの前記監視を実施するメッセージ上限数を決定する、
　請求項２記載の異常検知方法。
　前記ＤＰＩルールは、前記１以上の下位電子制御装置の間で送受信されるメッセージに含まれるサービス情報又はクライアント情報を示し、
　前記メッセージの前記監視では、メッセージのサービス情報又はクライアント情報が前記ＤＰＩルールで示される前記サービス情報又は前記クライアント情報と一致しない場合、当該メッセージはドロップされる、
　請求項１記載の異常検知方法。
　前記異常検知方法は、さらに、
　前記１以上の下位電子制御装置から出力された前記監視の結果に基づいて前記ＤＰＩルールを追加、変更、有効化又は無効化する、
　請求項１記載の異常検知方法。
　前記異常検知方法は、さらに、
　シフトレバー状態、自動運転中、自動駐車中、クルーズコントロール中、ソフトウェア更新中、車両診断中、及びインターネット通信接続中の少なくとも一つを含む車両状態と、前記異常検知の結果とに応じて、前記ＤＰＩルールを追加、変更、有効化又は無効化する、
　請求項１記載の異常検知方法。
　前記異常検知方法は、さらに、
　前記１以上の下位電子制御装置に含まれる、前記異常検知において異常と判定された前記メッセージの送信元又は宛先である１つの下位電子制御装置の前記車両状態に応じてＤＰＩルールで示される前記処理内容を決定する、
　請求項６記載の異常検知方法。
　前記異常検知方法は、さらに、
　前記１以上の下位電子制御装置から、前記ＤＰＩルールに従い監視される対象のメッセージの送信元の第１電子制御装置と、当該メッセージの宛先の第２電子制御装置とを選択し、
　前記１以上の上位電子制御装置から、前記第１電子制御装置と前記第２電子制御装置との間に配置されており、前記対象のメッセージが経由する少なくとも１つの第３電子制御装置を選択し、
　選択された前記第１電子制御装置、前記第２電子制御装置及び前記少なくとも１つの第３電子制御装置のうち、メッセージ処理にかかる処理負荷量が最も小さい電子制御装置に対し、前記ＤＰＩルールを適用する、
　請求項１記載の異常検知方法。
　前記異常検知方法は、さらに、
　前記フロー情報に基づいて、前記第１電子制御装置、前記第２電子制御装置及び前記少なくとも１つの第３電子制御装置の各々の通信量を算出し、
　前記１以上の下位電子制御装置で有効化されている１以上のＤＰＩルールと、前記通信量とから前記処理負荷量を算出する、
　請求項８記載の異常検知方法。
　前記異常検知方法は、さらに、
　前記異常検知で検知された異常内容が前記車載ネットワークに負荷がかかる異常である場合、前記少なくとも１つの第３電子制御装置のうち、前記第１電子制御装置に最も近い第３電子制御装置に前記ＤＰＩルールを適用する、
　請求項８記載の異常検知方法。
　前記異常検知方法は、さらに、
　前記上位電子制御装置において前記ＤＰＩルールを用いてメッセージを監視する
　請求項１記載の異常検知方法。
　１以上の上位電子制御装置が配置された上位ネットワークと、１以上の下位電子制御装置が配置された下位ネットワークとを含む階層構造を有する車載ネットワークにおける上位電子制御装置に含まれる異常検知装置であって、
　前記車載ネットワークの所定の観測箇所において受信されるメッセージのヘッダ情報によって分類されるフローごとの統計情報であるフロー情報を収集する収集部と、
　前記フロー情報に基づいて異常検知を行う異常検知部と、
　前記異常検知の結果に基づいて、ＤＰＩ（Ｄｅｅｐ　Ｐａｃｋｅｔ　Ｉｎｓｐｅｃｔｉｏｎ）ルールの生成、追加、削除、変更、有効化及び無効化のいずれかを行う制御部と、を備え、
　前記ＤＰＩルールは、前記１以上の下位電子制御装置における前記メッセージの監視に用いられ、
　前記ＤＰＩルールは、前記メッセージに含まれるヘッダ情報及びペイロード情報の条件と、前記条件に合致するメッセージを受信した場合の処理内容とを示す
　異常検知装置。
　請求項１記載の異常検知方法をコンピュータに実行させる
　プログラム。