特許 6751049 プロファイル作成システム、プロファイル作成方法、プロファイル作成プログラム及び検出装置

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6751049

(24)【登録日】2020年8月17日

(45)【発行日】2020年9月2日

(54)【発明の名称】プロファイル作成システム、プロファイル作成方法、プロファイル作成プログラム及び検出装置

(51)【国際特許分類】

   B60W 50/04 20060101AFI20200824BHJP

   G08G 1/16 20060101ALI20200824BHJP

   G08G 1/09 20060101ALI20200824BHJP

【ＦＩ】

   B60W50/04

   G08G1/16 A

   G08G1/09 V

【請求項の数】8

【全頁数】11

(21)【出願番号】特願2017-93317(P2017-93317)

(22)【出願日】2017年5月9日

(65)【公開番号】特開2018-188037(P2018-188037A)

(43)【公開日】2018年11月29日

【審査請求日】2019年6月27日

(73)【特許権者】

【識別番号】000208891

【氏名又は名称】ＫＤＤＩ株式会社

(74)【代理人】

【識別番号】100106002

【弁理士】

【氏名又は名称】正林 真之

(74)【代理人】

【識別番号】100120891

【弁理士】

【氏名又は名称】林 一好

(72)【発明者】

【氏名】マカンジュ トクンボ

(72)【発明者】

【氏名】清本 晋作

【審査官】 佐々木 佳祐

(56)【参考文献】

【文献】 特開２０１５−０４１３４８（ＪＰ，Ａ）

【文献】 特開２０１３−１６４７４３（ＪＰ，Ａ）

【文献】 特開平０２−２５５９０２（ＪＰ，Ａ）

【文献】 国際公開第２０１６／１１７３１１（ＷＯ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｂ６０Ｗ １０／００−６０／００

Ｇ０８Ｇ １／００−９９／００

(57)【特許請求の範囲】

【請求項1】

車両の運転動作を制御するアクチュエータへの入力信号を、前記車両毎に決定されたランダム値を含む演算により変換する第１変換部と、
センサ情報に基づいて前記車両の状態遷移を観測し、前記車両それぞれの運転動作の特徴を示す第１プロファイルを生成する生成部と、を備えるプロファイル作成システム。

【請求項2】

前記第１変換部は、前記演算により得られた信号値を、所定の範囲内に補正する請求項１に記載のプロファイル作成システム。

【請求項3】

前記第１変換部は、前記ランダム値を定期的に更新する請求項１又は請求項２に記載のプロファイル作成システム。

【請求項4】

前記センサ情報に対して、前記演算の逆変換を行う第２変換部を備え、
前記生成部は、前記第２変換部による変換後の情報に基づいて前記車両の状態遷移を観測し、第２プロファイルを生成する請求項１から請求項３のいずれかに記載のプロファイル作成システム。

【請求項5】

請求項１から請求項３のいずれかに記載のプロファイル作成システムにより作成された前記第１プロファイルの経時変化に基づいて、前記車両の運転動作の変化を検出する検出部を備える検出装置。

【請求項6】

請求項４に記載のプロファイル作成システムにより作成された前記第１プロファイルの経時変化、及び前記第２プロファイルの経時変化に基づいて、前記車両の運転動作の変化を検出する検出部を備える検出装置。

【請求項7】

車両の運転動作を制御するアクチュエータへの入力信号を、前記車両毎に決定されたランダム値を含む演算により変換する第１変換ステップと、
センサ情報に基づいて前記車両の状態遷移を観測し、前記車両それぞれの運転動作の特徴を示す第１プロファイルを生成する生成ステップと、をコンピュータが実行するプロファイル作成方法。

【請求項8】

車両の運転動作を制御するアクチュエータへの入力信号を、前記車両毎に決定されたランダム値を含む演算により変換する第１変換ステップと、
センサ情報に基づいて前記車両の状態遷移を観測し、前記車両それぞれの運転動作の特徴を示す第１プロファイルを生成する生成ステップと、をコンピュータに実行させるためのプロファイル作成プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、車両毎の運転動作を特徴付けるプロファイルを作成するためのシステム、方法及びプログラム、並びに運転者の相違を検出する装置に関する。

【背景技術】

【0002】

近年、自動運転車両の研究が進み、将来、多くの車両が自律走行することが期待されている。しかしながら、これらの車両はネットワークに接続されるため、このネットワークを介して車両が遠隔操作されるセキュリティ上の脆弱性が生じるおそれがある。
そこで、ＤＮＮ（Ｄｅｅｐ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋｓ）に基づく侵入検知システム（例えば、非特許文献１参照）、及び通信プロトコルを強化して攻撃者の侵入を困難にする手法（例えば、非特許文献２参照）等が提案されている。

【先行技術文献】

【非特許文献】

【0003】

【非特許文献1】Ｍｉｎ−Ｊｏｏ Ｋａｎｇ ｅｔ ａｌ．， “Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ Ｓｙｓｔｅｍ Ｕｓｉｎｇ Ｄｅｅｐ Ｎｅｕｒａｌ Ｎｅｔｗｏｒｋ ｆｏｒ Ｉｎ−Ｖｅｈｉｃｌｅ Ｎｅｔｗｏｒｋ Ｓｅｃｕｒｉｔｙ”， ＰＬｏＳ ＯＮＥ Ｊｏｕｒｎａｌ， Ｐｕｂｌｉｓｈｅｄ Ｊｕｎｅ ７， ２０１６．

【非特許文献2】Ｍｉｌｌｅｒ ｅｔ ａｌ．， “Ｒｅｍｏｔｅ Ｅｘｐｌｏｉｔａｔｉｏｎ ｏｆ ａｎ Ｕｎａｌｔｅｒｅｄ Ｐａｓｓｅｎｇｅｒ Ｖｅｈｉｃｌｅ”， ＤＥＦＣＯＮ ２３， Ｌａｓ Ｖｅｇａｓ， Ｎｅｖａｄａ， Ａｕｇｕｓｔ １−６， ２０１５．

【非特許文献3】Ｍｅｉｒｉｎｇ， Ｇｙｓ Ａｌｂｅｒｔｕｓ Ｍａｒｔｈｉｎｕｓ， ａｎｄ Ｈｅｒｍａｎｕｓ Ｃａｒｅｌ Ｍｙｂｕｒｇｈ． “Ａ ｒｅｖｉｅｗ ｏｆ ｉｎｔｅｌｌｉｇｅｎｔ ｄｒｉｖｉｎｇ ｓｔｙｌｅ ａｎａｌｙｓｉｓ ｓｙｓｔｅｍｓ ａｎｄ ｒｅｌａｔｅｄ ａｒｔｉｆｉｃｉａｌ ｉｎｔｅｌｌｉｇｅｎｃｅ ａｌｇｏｒｉｔｈｍｓ．” Ｓｅｎｓｏｒｓ １５．１２ （２０１５）： ３０６５３−３０６８２．

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら、前述の提案技術によっても、攻撃者の不正な侵入を完全に防ぐことは難しく、車両が実際にハイジャックされたことを検知する手段が望まれている。
車両を人が運転している場合、運転者によりステアリング、アクセル、ブレーキ等の操作方法にばらつきがあるため、これらの運転動作の分析により、運転者を識別できることが知られている（例えば、非特許文献３参照）。このため、車両毎の通常のプロファイルからの差分により、運転者が異なることが検知可能である。
ところが、車両がコンピュータ制御により自動運転されている場合、最適化された運転動作は、車両毎に共通化されるため、攻撃者により模倣されるおそれがある。この結果、自動運転車両がハイジャックされたことを検知することが難しくなる。

【0005】

本発明は、自動運転される車両毎に異なる運転動作のプロファイルを作成できるプロファイル作成システム、プロファイル作成方法及びプロファイル作成プログラム、並びに攻撃を検出できる検出装置を提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明に係るプロファイル作成システムは、車両の運転動作を制御するアクチュエータへの入力信号を、ランダム値を含む演算により変換する第１変換部と、センサ情報に基づいて前記車両の状態遷移を観測し、前記車両それぞれの運転動作の特徴を示す第１プロファイルを生成する生成部と、を備える。

【0007】

前記第１変換部は、前記演算により得られた信号値を、所定の範囲内に補正してもよい。

【0008】

前記第１変換部は、前記ランダム値を定期的に更新してもよい。

【0009】

前記プロファイル作成システムは、前記センサ情報に対して、前記演算の逆変換を行う第２変換部を備え、前記生成部は、前記第２変換部による変換後の情報に基づいて前記車両の状態遷移を観測し、第２プロファイルを生成してもよい。

【0010】

本発明に係る検出装置は、前記プロファイル作成システムにより作成された前記第１プロファイルの経時変化に基づいて、前記車両の運転動作の変化を検出する検出部を備える。

【0011】

本発明に係る検出装置は、前記プロファイル作成システムにより作成された前記第１プロファイルの経時変化、及び前記第２プロファイルの経時変化に基づいて、前記車両の運転動作の変化を検出する。

【0012】

本発明に係るプロファイル作成方法は、車両の運転動作を制御するアクチュエータへの入力信号を、ランダム値を含む演算により変換する第１変換ステップと、センサ情報に基づいて前記車両の状態遷移を観測し、前記車両それぞれの運転動作の特徴を示す第１プロファイルを生成する生成ステップと、をコンピュータが実行する。

【0013】

本発明に係るプロファイル作成プログラムは、車両の運転動作を制御するアクチュエータへの入力信号を、ランダム値を含む演算により変換する第１変換ステップと、センサ情報に基づいて前記車両の状態遷移を観測し、前記車両それぞれの運転動作の特徴を示す第１プロファイルを生成する生成ステップと、をコンピュータに実行させるためのものである。

【発明の効果】

【0014】

本発明によれば、自動運転される車両への攻撃を検出するために、車両毎に異なる運転動作のプロファイルを作成できる。

【図面の簡単な説明】

【0015】

【図1】実施形態に係る検出システムの構成を示す図である。

【図2】実施形態に係る車両毎に異なるプロファイルの一例を示す図である。

【図3】実施形態に係る攻撃の検出方法の流れを示す図である。

【図4】実施形態に係るプロファイルの比較処理を説明する図である。

【発明を実施するための形態】

【0016】

以下、本発明の実施形態の一例について説明する。
図１は、本実施形態に係る検出システム１の構成を示す図である。
検出システム１は、通信ネットワークに接続された車両２と、監視装置３とを備える。車両２及び監視装置３は、プロファイル作成システムとして機能し、監視装置３は、攻撃の検出装置として機能する。
なお、検出システム１における各機能部の配置は限定されず、監視装置３は、車両２に内蔵されてもよい。

【0017】

車両２は、運転動作に関する各種アクチュエータを制御するコントローラ２０を備える。
コントローラ２０は、車両に設けられた各種のセンサからの出力に基づいて、アクチュエータへの入力信号を生成する。コントローラ２０は、コンピュータプログラムに基づく標準制御モデル２１を有し、さらに、標準制御モデル２１の出力を変換する変換部２２（第１変換部）を備える。この変換部２２の出力がアクチュエータへの実際の入力信号となる。

【0018】

変換部２２は、車両２の運転動作を制御するアクチュエータへの入力信号を、ランダム値を含む演算により変換する。
具体的には、変換部２２の演算は、ランダム値ＲＦ∈Ｒ^ｎ（Ｒ^ｎは実数体）を引数とする関数Ｔ（）により表されるものとする。
これにより、標準制御モデル２１の出力は、同じ運転動作であっても、ある範囲のばらつきをもった出力に変換される。

【0019】

また、変換部２２は、演算により得られた信号値を、所定の範囲内に補正する。これにより、コントローラ２０は、アクチュエータへの入力を車両毎に変化させると共に、運転動作として安全な範囲内に収める。

【0020】

ここで、ランダム値ＲＦは、車両又はアクチュエータ（モジュール）毎に異なる。この結果、車両毎に運転動作の特徴が異なり、それぞれの識別が可能となる。
また、ランダム値ＲＦは、例えば擬似ランダム関数等により生成され、さらに、セキュリティ上、定期的に更新されることが望ましい。

【0021】

監視装置３は、車両２と通信可能なサーバ、又は車両２に搭載される情報処理装置であり、センサ情報データベース（ＤＢ）３１と、プロファイルデータベース３２と、逆変換部３３（第２変換部）と、生成部３４と、検出部３５とを備える。

【0022】

センサ情報データベース３１は、車両２から取得する各種のセンサ情報を蓄積する。
プロファイルデータベース３２は、センサ情報に基づいて生成部３４により生成される車両毎のプロファイルを格納する。

【0023】

逆変換部３３は、センサ情報に対して、変換部２２による演算の逆変換、すなわち関数Ｔ（）の逆関数Ｔ’（）による演算を行う。これにより、変換前の標準制御モデル２１の出力による状態遷移が再現される。

【0024】

生成部３４は、センサ情報に基づいて車両２の状態遷移を観測し、車両２それぞれの運転動作の特徴を示す第１プロファイルを生成して、プロファイルデータベース３２に格納する。
また、生成部３４は、逆変換部３３による変換後の情報に基づいて車両２の状態遷移を観測し、第２プロファイルを生成して、プロファイルデータベース３２に格納する。

【0025】

検出部３５は、第１プロファイルの経時変化に基づいて、車両２の運転動作の変化を検出する。すなわち、検出部３５は、攻撃を受けていない定常状態に生成された第１プロファイルと、新たに生成された第１プロファイルとを比較することにより、所定以上の変化が認められた場合に、運転者が異なることを検出する。

【0026】

また、検出部３５は、第２プロファイルの経時変化に基づいて、車両２の運転動作の変化を検出する。すなわち、検出部３５は、攻撃を受けていない定常状態に生成された第２プロファイルと、新たに生成された第２プロファイルとを比較することにより、所定以上の変化が認められた場合に、運転者が異なることを検出する。

【0027】

次に、検出システム１によるプロファイル作成及び攻撃検出の処理内容を詳述する。
［制御モデル］
まず、コントローラ２０による車両２の制御モデルを以下のように定義する。

【0028】

センサ出力の集合をＳとしたとき、ｉ番目のアクチュエータ（モジュール）への入力を決定するためのセンサ出力は、部分集合Ｓ^ｉ⊆Ｓとなる。ここで、時刻ｔにおけるセンサ出力を、Ｓ^ｉ_ｔと表す。

【0029】

アクチュエータへの入力信号として取り得る値の集合をＡとしたとき、ｉ番目のアクチュエータへ入力可能な信号の値は、部分集合Ａ^ｉ⊆Ａと表される。ここで、時刻ｔにおけるアクチュエータへの入力を、Ａ^ｉ_ｔと表す。

【0030】

車両２の運転者をＤとする。運転者Ｄは、人又は機械が想定されるが、本実施形態では、自動運転のための標準制御モデル２１が相当する。

【0031】

ｉ番目のアクチュエータが可能な動作の集合をＡｃｔｉｏｎ^ｉとすると、各動作は、要素ａｃｔｉｏｎ^ｉ∈Ａｃｔｉｏｎ^ｉと表される。ここで、時刻ｔにおけるｉ番目のアクチュエータの動作を、ａｃｔｉｏｎ^ｉ_ｔ∈Ａｃｔｉｏｎ^ｉと表す。

【0032】

ｉ番目のアクチュエータの取り得る状態の集合をＳｔａｔｅ^ｉとすると、観測される状態は、要素ｓｔａｔｅ^ｉ∈Ｓｔａｔｅ^ｉと表される。ここで、時刻ｔにおけるｉ番目のアクチュエータの状態を、ｓｔａｔｅ^ｉ_ｔ∈Ｓｔａｔｅ^ｉと表す。

【0033】

標準制御モデル２１において、アクチュエータへの入力を算出する処理を、関数Ｃ_１（）で表す。関数Ｃ_１（）は、時刻ｔにおけるセンサ出力Ｓ^ｉ_ｔ、アクチュエータの状態ｓｔａｔｅ^ｉ_ｔ、及び動作ａｃｔｉｏｎ^ｉ_ｔを引数とし、時刻ｔにおけるｉ番目のアクチュエータへの入力として、Ｃ_１（Ｓ^ｉ_ｔ，ｓｔａｔｅ^ｉ_ｔ，ａｃｔｉｏｎ^ｉ_ｔ）＝Ａ^ｉ_ｔを出力する。

【0034】

車両２において、アクチュエータへの入力から動作への変換を、関数Ｃ_２（）で表す。関数Ｃ_２（）は、時刻ｔにおけるアクチュエータへの入力Ａ^ｉ_ｔを引数とし、時刻ｔでの状態ｓｔａｔｅ^ｉ_ｔを時刻ｔ_２での状態ｓｔａｔｅ^ｉ_ｔ２に変化させる動作Ｃ_２（Ａ^ｉ_ｔ）＝ａｃｔｉｏｎ^ｉ_ｔを出力する。

【0035】

アクチュエータの動作∀ａｃｔｉｏｎ^ｉ∈Ａｃｔｉｏｎ^ｉのそれぞれ対して、車両２の安全が確保される入力ａ∈Ａ^ｉの範囲は、ａ∈Ｓａｆｅ_{ａｃｔｉｏｎ（ｉ）}として定義される。すなわち、関数Ｃ_２（）の入力として、ａ∈Ｓａｆｅ_{ａｃｔｉｏｎ（ｉ）}が安全上、許容される。

【0036】

変換部２２によりＡ^ｉ_ｔから変換され、実際にアクチュエータに入力される信号は、Ｒ^ｉ_ｔと定義される。
ここで、変換処理は、Ａ^ｉ_ｔ及びランダム値ＲＦ∈Ｒ^ｎを引数とする関数Ｔ（Ａ^ｉ_ｔ，ＲＦ）＝Ｒ^ｉ_ｔで表されるものとする。
また、Ｔ（）の逆関数を、Ｔ’（Ｒ^ｉ_ｔ，ＲＦ）＝Ａ^ｉ_ｔとする。なお、引数となるランダム値ＲＦは、Ｔ（）及びＴ’（）で共通である。

【0037】

時間Ｔ＝｛ｔ_０，ｔ_１，・・・，ｔ_ｎ｝におけるｉ番目のアクチュエータの動作ａｃｔｉｏｎ^ｉに伴う状態遷移を、Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｔ＝｛ｓｔａｔｅ^ｉ_ｔ０，・・・，ｓｔａｔｅ^ｉ_ｔｎ｝とする。
また、同一の運転者Ｄによる状態遷移Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｔの集合を、Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｄと表す。

【0038】

同一の運転者Ｄによる状態遷移に基づいてプロファイルを生成する処理は、関数Ｐ（）で表されるものとする。すなわち、ｉ番目のアクチュエータに対して運転動作ａｃｔｉｏｎ^ｉを行う運転者Ｄのプロファイルは、Ｐ（Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｄ）＝ｐｒｏｆｉｌｅ^{ａｃｔｉｏｎ（ｉ）}_Ｄである。

【0039】

［プロファイル作成］
このように定義される制御モデルによって、各車両２のプロファイルは、次のように生成される。

【0040】

標準制御モデル２１の関数Ｃ_１（）により生成されるアクチュエータへの一連の入力Ｓｅｑ^{ａｃｔｉｏｎ（ｉ）}_{ｓｔａｔｅ（ｉ）}＝｛Ａ^ｉ_ｔ１，Ａ^ｉ_ｔ２，・・・，Ａ^ｉ_ｔｎ｝は、関数Ｃ_２（）によって、時刻ｔ_ｎにおけるアクチュエータの動作ａｃｔｉｏｎ^ｉ及び状態ｓｔａｔｅ^ｉとなって表れる。
また、変換部２２によりアクチュエータへの一連の入力がランダム値ＲＦを用いた関数Ｔ（）で変換されると、ＴＳｅｑ^{ａｃｔｉｏｎ（ｉ）}_{ｓｔａｔｅ（ｉ）}＝｛Ｒ^ｉ_ｔ１，Ｒ^ｉ_ｔ２，・・・，Ｒ^ｉ_ｔｎ｝となる。

【0041】

変換前の標準的なアクチュエータ入力Ｓｅｑ^{ａｃｔｉｏｎ（ｉ）}_{ｓｔａｔｅ（ｉ）}は、状態遷移Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｔを生じさせるが、変換後のアクチュエータ入力ＴＳｅｑ^{ａｃｔｉｏｎ（ｉ）}_{ｓｔａｔｅ（ｉ）}は、状態遷移ＴＬ^{ａｃｔｉｏｎ（ｉ）}_Ｔを生じさせる。ここで、Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｔ≠ＴＬ^{ａｃｔｉｏｎ（ｉ）}_Ｔである。

【0042】

変換前の標準制御モデル２１に基づく運転者Ｄによる、ａｃｔｉｏｎ^ｉを行ったアクチュエータの状態遷移は、Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｄであり、変換された運転者Ｄ_Ｒによるアクチュエータの状態遷移は、Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｄ（Ｒ）と表される。
このとき、運転者Ｄ_Ｒのプロファイル（第１プロファイル）Ｐ（Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｄ（Ｒ））は、標準の運転者ＤのプロファイルＰ（Ｌ^{ａｃｔｉｏｎ（ｉ）}_Ｄ）とは、異なっている。

【0043】

図２は、本実施形態に係る車両２毎に異なるプロファイルの一例を示す図である。
この例では、車両２が交差点で右折する際のライン取りの相違を示している。
例えば、車両２がＢからＥの方向へ走行しているとする。交差点に差し掛かった車両２は、右折し、ＨからＣの方向へ進路を変えている。

【0044】

このとき、安全に右折するための動作領域Ｓａｆｅ_{ａｃｔｉｏｎ（ｉ）}が設定される。この領域内で車両２が取り得る旋回経路は、例えばＶ_１、Ｖ_２、Ｖ_３のように複数考えられる。これらの挙動の相違は、変換部２２によるランダム値ＲＦに基づくアクチュエータへの入力の変化によって生じる。

【0045】

車両２の挙動の相違は、この例の他、運転動作の各種場面において、例えば、ステアリングの回転角度及び速度、ブレーキ及びアクセルの押力等、各種のアクチュエータへの入力が車両２毎に決定されたランダム値ＲＦによってばらつくことで生じる。

【0046】

［攻撃検出］
図３は、本実施形態に係る監視装置３による攻撃の検出方法の流れを示す図である。
センサ情報データベース３１には、車両２から送信されるセンサデータが蓄積されているものとする。また、プロファイルデータベース３２には、センサ情報に基づいて生成部３４により生成された車両２毎のプロファイルが格納されている。
このとき、車両２毎に異なるランダム値ＲＦにより変換された運転の特徴を示す第１プロファイルと共に、逆変換部３３により復元された標準制御モデル２１の特徴を示す第２プロファイルが格納されてよい。

【0047】

ステップＳ１において、検出部３５は、最新のセンサ情報をセンサ情報データベース３１から抽出する。
このステップは、周期的に、又は特定の条件による所定のタイミングで実行される。

【0048】

ステップＳ２において、検出部３５は、運転動作の解析を行う。
検出部は、プロファイルデータベース３２に格納されているプロファイルと、最新のセンサ情報に基づいて生成されたプロファイルとを比較することにより、運転者の一致又は不一致を判断する。
ここで、プロファイルが一致する場合、検出部３５は、ステップＳ３において、所定の周期又は条件を判断して次回の解析タイミングを検知し、ステップＳ１に移る。

【0049】

図４は、本実施形態に係る監視装置３によるプロファイルの比較処理を説明する図である。
センサ情報データベース３１に格納されたセンサ情報に基づいて、生成部３４により第１プロファイルが生成されると、検出部３５は、プロファイルデータベース３２に格納されている第１プロファイルと比較し、一致又は不一致を判断する。

【0050】

また、センサ情報データベース３１に格納されたセンサ情報に対して、逆関数Ｔ’（）が定義可能である場合、逆変換部３３は、センサ情報を本来の標準制御モデル２１に基づく値に復元する。この逆変換後のセンサ情報に基づいて、生成部３４により第２プロファイルが生成されると、検出部３５は、プロファイルデータベース３２に格納されている第２プロファイルと比較し、一致又は不一致を判断する。

【0051】

ステップＳ４において、検出部３５は、ステップＳ２におけるプロファイルの不一致が自動運転から手動運転への切り替わりに起因するものか否かを判定する。
具体的には、人が運転している場合の特徴を示すプロファイルが予め作成されている場合、検出部３５は、このプロファイルとの比較により、リモートのハイジャック攻撃であるか否かを判定する。

【0052】

ステップＳ５において、検出部３５は、運転者の移行が安全に行われたか否かを判定する。自動運転から正当な運転者による手動運転へ移行する場合、車両２の状態が安全な所定の範囲内で遷移すると考えられる。これに対して、不正な攻撃者による手動又は自動運転に移行する場合、車両２の状態がこの範囲外に遷移する可能性が高い。これにより、検出部３５は、攻撃の可能性を検出できる。
なお、この判定は、プロファイルの不一致がある場合に限らず、実施されてもよい。

【0053】

ステップＳ６において、検出部３５は、ステップＳ２、Ｓ４、Ｓ５の結果を統合し、攻撃の発生をアラーム出力する。

【0054】

本実施形態によれば、検出システム１は、標準制御モデル２１からの出力を、ランダム値ＲＦを含む演算により変換することにより、車両２の運転動作を制御するアクチュエータへの入力信号を、車両２毎に相違させる。これにより、検出システム１は、標準制御モデル２１が共通する複数の自動運転される車両２への攻撃を検出するために、車両２毎に異なる運転動作のプロファイルを作成できる。

【0055】

検出システム１は、変換部して得られた信号値を、所定の範囲内で補正することにより、車両２の安全な挙動を確保しつつ、車両２毎に異なるプロファイルを作成できる。

【0056】

検出システム１は、センサ情報を逆変換することで、変換前の標準制御モデル２１による制御に相当する運転動作の第２プロファイルを作成でき、第１プロファイルと共に、攻撃検出のための比較対象として利用できる。

【0057】

検出システム１は、ランダム値を定期的に更新することにより、攻撃者による模倣を難しくでき、攻撃に対して安全性をさらに高めることができる。

【0058】

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。

【0059】

本実施形態では、逆変換部３３は、車両２から取得されるセンサ情報に対して、逆変換である関数Ｔ’（）の演算を行ったが、アクチュエータへの入力信号そのものを取得できる場合、この入力信号に対して演算を行うことにより、標準制御モデル２１の出力をより正確に復元してもよい。

【0060】

検出システム１によるプロファイル作成及び攻撃検出方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置（コンピュータ）にインストールされる。また、これらのプログラムは、ＣＤ−ＲＯＭのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したＷｅｂサービスとしてユーザのコンピュータに提供されてもよい。

【符号の説明】

【0061】

１ 検出システム（プロファイル作成システム）
２ 車両
３ 監視装置（検出装置）
２０ コントローラ
２１ 標準制御モデル
２２ 変換部（第１変換部）
３１ センサ情報データベース
３２ プロファイルデータベース
３３ 逆変換部（第２変換部）
３４ 生成部
３５ 検出部

【図1】

【図2】

【図3】

【図4】