IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > アップストリーム セキュリティー リミテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ アップストリーム セキュリティー リミテッドの特許一覧

特許7194184コネクテッド車両サイバー・セキュリティのためのシステム及び方法
<>
  • 特許-コネクテッド車両サイバー・セキュリティのためのシステム及び方法 図1
  • 特許-コネクテッド車両サイバー・セキュリティのためのシステム及び方法 図2
  • 特許-コネクテッド車両サイバー・セキュリティのためのシステム及び方法 図3
  • 特許-コネクテッド車両サイバー・セキュリティのためのシステム及び方法 図4
  • 特許-コネクテッド車両サイバー・セキュリティのためのシステム及び方法 図5
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-12-13
(45)【発行日】2022-12-21
(54)【発明の名称】コネクテッド車両サイバー・セキュリティのためのシステム及び方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20221214BHJP
   G06N 20/00 20190101ALI20221214BHJP
   B60R 16/023 20060101ALN20221214BHJP
【FI】
G06F21/55 340
G06N20/00
B60R16/023 P
【請求項の数】 39
(21)【出願番号】P 2020527856
(86)(22)【出願日】2018-07-27
(65)【公表番号】
(43)【公表日】2020-10-01
(86)【国際出願番号】 US2018044072
(87)【国際公開番号】W WO2019023565
(87)【国際公開日】2019-01-31
【審査請求日】2021-07-26
(31)【優先権主張番号】62/537,608
(32)【優先日】2017-07-27
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】520029941
【氏名又は名称】アップストリーム セキュリティー リミテッド
(74)【代理人】
【識別番号】110000855
【氏名又は名称】弁理士法人浅村特許事務所
(72)【発明者】
【氏名】アッペル、ヨナタン
(72)【発明者】
【氏名】レビー、ヨアブ
【審査官】局 成矢
(56)【参考文献】
【文献】特開2017-111796(JP,A)
【文献】米国特許第08903593(US,B1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
G06N 20/00
B60R 16/023
(57)【特許請求の範囲】
【請求項1】
コネクテッド車両のサイバー・セキュリティのための方法であって、
第1のデータのセットに基づいて正常な挙動モデルを作成することであって、前記第1のデータのセットは、複数のコネクテッド車両に関する少なくとも1つの第1のイベントを含み、前記第1のデータのセットは、複数のデータ・ソースから収集される、作成することと、
前記第1のデータのセットに基づいて、各コネクテッド車両のための個々の正常な挙動モデルを作成することと、
前記正常な挙動モデル及び第2のデータのセットに基づいて異常を検出することであって、前記第2のデータのセットは、前記複数のコネクテッド車両に関する第2のイベントを含み、前記第1のデータのセット及び前記第2のデータのセットの各々は、前記複数のコネクテッド車両の操作に関連する車両データを含み、各イベントは、前記複数のコネクテッド車両との通信を表前記異常は、前記個々の正常な挙動モデルにさらに基づいて検出される、検出することと、
前記検出された異常に基づいて、少なくとも1つの緩和動作を判定することと、
前記少なくとも1つの緩和動作を実施させることと
を備える、方法。
【請求項2】
機械学習モデルをトレーニングして、前記正常な挙動モデルを作成することをさらに備え、前記第1のデータのセットは、トレーニング・データ・セットとして使用され、前記機械学習モデルをトレーニングするために使用される特徴は、前記少なくとも1つの第1のイベントを含む、請求項1に記載の方法。
【請求項3】
前記第1のデータのセット及び前記第2のデータのセットをコンテキスト的に強化することをさらに備える、請求項1に記載の方法。
【請求項4】
コンテキスト的に強化された各データのセットは、複数のコンテキストを含み、前記複数のコンテキストの各コンテキストは、ある時点における永続的な車両状態である、請求項3に記載の方法。
【請求項5】
前記異常は、前記第2のデータのセットの少なくとも1つのコンテキストにさらに基づいて検出される、請求項4に記載の方法。
【請求項6】
前記正常な挙動モデルを作成することはさらに、
前記第1のデータのセットに基づいて、ネットワーク・プロトコル・アナライザを生成することを備え、前記ネットワーク・プロトコル・アナライザは、前記少なくとも1つの第1のイベントに基づいて構成される、請求項1に記載の方法。
【請求項7】
前記少なくとも1つの第1のイベントと、前記少なくとも1つの第2のイベントとの各々は、複数のイベントであり、各イベントは、ある時点に起因し、前記正常な挙動モデルを作成することはさらに、
前記複数の第1のイベントに基づいて、少なくとも1つの予想されたイベントのシーケンスを作成することを備える、請求項1に記載の方法。
【請求項8】
前記第1のデータのセットと、前記第2のデータのセットとの各々は、内部車両変数を含み、前記正常な挙動モデルは、前記第1のデータのセットの前記内部車両変数にさらに基づいて生成される、請求項1に記載の方法。
【請求項9】
前記正常な挙動モデルは、少なくとも1つのセキュリティ・ポリシーを含み、前記少なくとも1つのセキュリティ・ポリシーが違反された場合、異常が検出される、請求項1に記載の方法。
【請求項10】
前記少なくとも1つの緩和動作を判定することは、
前記異常の根本原因を判定することをさらに備え、前記少なくとも1つの緩和動作は、前記根本原因に基づいて判定される、請求項1に記載の方法。
【請求項11】
異常検出のために利用されるべき前記第2のデータのセットの少なくとも一部を判定することをさらに備え、
前記異常は、前記正常な挙動モデルと、前記判定された前記第2のデータのセットの少なくとも一部とにのみ基づいて検出される、請求項1に記載の方法。
【請求項12】
前記検出された異常は、前記少なくとも1つの個々の正常な挙動モデルのうちの第1の個々の正常な挙動モデルからの逸脱を含み、前記少なくとも1つの緩和動作は、前記第1の個々の正常な挙動モデルに関連付けられた前記少なくとも1つのコネクテッド車両のうちの1つに関して実施される、請求項に記載の方法。
【請求項13】
記複数のコネクテッド車両は、階層で体系化されたコネクテッド車両のフリートであり、
前記階層に基づいて、前記第1のデータのセットをクラスタ化することをさらに備える、請求項1に記載の方法。
【請求項14】
前記階層は、前記複数のコネクテッド車両のうちの少なくとも1つのサブ・フリートを含み、
各サブ・フリートについてサブ・フリートの正常な挙動モデルを作成することをさらに備え、前記異常は、前記サブ・フリートの正常な挙動モデルにさらに基づいて検出される、請求項13に記載の方法。
【請求項15】
前記検出された異常は、前記少なくとも1つのサブ・フリートの正常な挙動モデルのうちの第1のサブ・フリートの正常な挙動モデルからの逸脱を含み、前記少なくとも1つの緩和動作は、前記第1のサブ・フリートの正常な挙動モデルに関連付けられたサブ・フリートに含まれる各コネクテッド車両に関して実施される、請求項14に記載の方法。
【請求項16】
前記第1のデータのセット及び前記第2のデータのセットの各々は、テレマティクス・データ、通信プロトコル、コネクテッド車両サービス・データ、運転者モバイル・アプリケーション、及びユーザ・モバイル・アプリケーションのうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項17】
前記少なくとも1つの緩和動作は、前記少なくとも1つのコネクテッド車両との少なくとも1つの通信をブロックすることと、少なくとも1つのコネクテッド車両サービスとの少なくとも1つの通信をブロックすることと、前記異常を示すアラート又はレポートを生成することと、前記少なくとも1つのコネクテッド車両に送信されるべき少なくとも1つのコマンドを無視することとのうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項18】
前記少なくとも1つの緩和動作は、コネクテッド車両サービスを介して少なくとも1つの動作を起こさせることを含み、前記コネクテッド車両サービスは、少なくとも1つのユーザ・デバイスと、少なくとも1つのサーバとのうちの少なくとも1つを含む、請求項1に記載の方法。
【請求項19】
コネクテッド車両のサイバー・セキュリティのための処理を処理回路構成に実行させるための命令が格納された非一時的なコンピュータ可読媒体であって、前記処理は、
第1のデータのセットに基づいて正常な挙動モデルを作成することであって、前記第1のデータのセットは、複数のコネクテッド車両に関する少なくとも1つの第1のイベントを含み、前記第1のデータのセットは、複数のデータ・ソースから収集される、作成することと、
前記第1のデータのセットに基づいて、各コネクテッド車両のための個々の正常な挙動モデルを作成することと、
前記正常な挙動モデル及び第2のデータのセットに基づいて異常を検出することであって、前記第2のデータのセットは、前記複数のコネクテッド車両に関する第2のイベントを含み、前記第1のデータのセット及び前記第2のデータのセットの各々は、前記複数のコネクテッド車両の操作に関連する車両データを含み、各イベントは、前記複数のコネクテッド車両との通信を表前記異常は、前記個々の正常な挙動モデルにさらに基づいて検出される、検出することと、
前記検出された異常に基づいて、少なくとも1つの緩和動作を判定することと、
前記少なくとも1つの緩和動作を実施させることと
を備える、非一時的なコンピュータ可読媒体。
【請求項20】
コネクテッド車両のサイバー・セキュリティのためのシステムであって、
処理回路構成と、
メモリとを備え、前記メモリは、前記処理回路構成によって実行された場合、
第1のデータのセットに基づいて正常な挙動モデルを作成することであって、前記第1のデータのセットは、複数のコネクテッド車両に関する少なくとも1つの第1のイベントを含み、前記第1のデータのセットは、複数のデータ・ソースから収集される、作成することと、
前記第1のデータのセットに基づいて、各コネクテッド車両のための個々の正常な挙動モデルを作成することと、
前記正常な挙動モデル及び第2のデータのセットに基づいて異常を検出することであって、前記第2のデータのセットは、前記複数のコネクテッド車両に関する第2のイベントを含み、前記第1のデータのセット及び前記第2のデータのセットの各々は、前記複数のコネクテッド車両の操作に関連する車両データを含み、各イベントは、前記複数のコネクテッド車両との通信を表前記異常は、前記個々の正常な挙動モデルにさらに基づいて検出される、検出することと、
前記検出された異常に基づいて、少なくとも1つの緩和動作を判定することと、
前記少なくとも1つの緩和動作を実施させることと
を行うように前記システムを構成する命令を含む、システム。
【請求項21】
前記システムは、
機械学習モデルをトレーニングして、前記正常な挙動モデルを作成するようにさらに構成され、前記第1のデータのセットは、トレーニング・データ・セットとして使用され、前記機械学習モデルをトレーニングするために使用される特徴は、前記少なくとも1つの第1のイベントを含む、請求項20に記載のシステム。
【請求項22】
前記システムは、
前記第1のデータのセット及び前記第2のデータのセットをコンテキスト的に強化するようにさらに構成された、請求項20に記載のシステム。
【請求項23】
コンテキスト的に強化された各データのセットは、複数のコンテキストを含み、前記複数のコンテキストの各コンテキストは、ある時点における永続的な車両状態である、請求項22に記載のシステム。
【請求項24】
前記異常は、前記第2のデータのセットの少なくとも1つのコンテキストにさらに基づいて検出される、請求項23に記載のシステム。
【請求項25】
前記システムは、
前記第1のデータのセットに基づいて、ネットワーク・プロトコル・アナライザを生成するようにさらに構成され、前記ネットワーク・プロトコル・アナライザは、前記少なくとも1つの第1のイベントに基づいて構成される、請求項20に記載のシステム。
【請求項26】
前記少なくとも1つの第1のイベントと、前記少なくとも1つの第2のイベントとの各々は、複数のイベントであり、各イベントは、ある時点に起因し、前記システムは、
前記複数の第1のイベントに基づいて、少なくとも1つの予想されたイベントのシーケンスを作成するようにさらに構成された、請求項20に記載のシステム。
【請求項27】
前記第1のデータのセットと、前記第2のデータのセットとの各々は、内部車両変数を含み、前記正常な挙動モデルは、前記第1のデータのセットの前記内部車両変数にさらに基づいて生成される、請求項20に記載のシステム。
【請求項28】
前記正常な挙動モデルは、少なくとも1つのセキュリティ・ポリシーを含み、前記少なくとも1つのセキュリティ・ポリシーが違反された場合、異常が検出される、請求項20に記載のシステム。
【請求項29】
前記システムは、
前記異常の根本原因を判定するようにさらに構成され、前記少なくとも1つの緩和動作は、前記根本原因に基づいて判定される、請求項20に記載のシステム。
【請求項30】
前記システムは、
異常検出のために利用されるべき前記第2のデータのセットの少なくとも一部を判定するようにさらに構成され、前記異常は、前記正常な挙動モデルと、前記判定された前記第2のデータのセットの少なくとも一部とにのみ基づいて検出される、請求項20に記載のシステム。
【請求項31】
前記検出された異常は、前記少なくとも1つの個々の正常な挙動モデルのうちの第1の個々の正常な挙動モデルからの逸脱を含み、前記少なくとも1つの緩和動作は、前記第1の個々の正常な挙動モデルに関連付けられた前記少なくとも1つのコネクテッド車両のうちの1つに関して実施される、請求項20に記載のシステム。
【請求項32】
前記少なくとも1つのコネクテッド車両は、複数のコネクテッド車両であり、前記複数のコネクテッド車両は、階層で体系化されたコネクテッド車両のフリートであり、前記システムは、
前記階層に基づいて、前記第1のデータのセットをクラスタ化するようにさらに構成された、請求項20に記載のシステム。
【請求項33】
前記階層は、前記複数のコネクテッド車両のうちの少なくとも1つのサブ・フリートを含み、前記システムは、
各サブ・フリートについてサブ・フリートの正常な挙動モデルを作成するようにさらに構成され、前記異常は、前記サブ・フリートの正常な挙動モデルにさらに基づいて検出される、請求項32に記載のシステム。
【請求項34】
前記検出された異常は、前記少なくとも1つのサブ・フリートの正常な挙動モデルのうちの第1のサブ・フリートの正常な挙動モデルからの逸脱を含み、前記少なくとも1つの緩和動作は、前記第1のサブ・フリートの正常な挙動モデルに関連付けられたサブ・フリートに含まれる各コネクテッド車両に関して実施される、請求項33に記載のシステム。
【請求項35】
前記第1のデータのセット及び前記第2のデータのセットの各々は、テレマティクス・データ、通信プロトコル、コネクテッド車両サービス・データ、運転者モバイル・アプリケーション、及びユーザ・モバイル・アプリケーションのうちの少なくとも1つを含む、請求項20に記載のシステム。
【請求項36】
前記少なくとも1つの緩和動作は、前記少なくとも1つのコネクテッド車両との少なくとも1つの通信をブロックすることと、少なくとも1つのコネクテッド車両サービスとの少なくとも1つの通信をブロックすることと、前記異常を示すアラート又はレポートを生成することと、前記少なくとも1つのコネクテッド車両に送信されるべき少なくとも1つのコマンドを無視することとのうちの少なくとも1つを含む、請求項20に記載のシステム。
【請求項37】
前記少なくとも1つの緩和動作は、ユーザ・デバイスにおいて、少なくとも1つの緩和動作オプションの表示をさせることを含み、前記少なくとも1つの緩和動作は、前記ユーザ・デバイスを介して選択された緩和動作オプションをさらに含む、請求項20に記載のシステム。
【請求項38】
コネクテッド車両のサイバー・セキュリティのための方法であって、
第1のデータのセットに基づいて正常な挙動モデルを作成することであって、前記第1のデータのセットは、複数のコネクテッド車両に関する少なくとも1つの第1のイベントを含み、前記第1のデータのセットは、複数のデータ・ソースから収集され、前記複数のコネクテッド車両は、階層で体系化されたコネクテッド車両のフリートであり、前記階層は、前記複数のコネクテッド車両のうちの少なくとも1つのサブ・フリートを含む、作成することと、
前記階層に基づいて、前記第1のデータのセットをクラスタ化することと、
各サブ・フリートについてサブ・フリートの正常な挙動モデルを作成することと、
前記正常な挙動モデル及び第2のデータのセットに基づいて異常を検出することであって、前記第2のデータのセットは、前記複数のコネクテッド車両に関する第2のイベントを含み、前記第1のデータのセット及び前記第2のデータのセットの各々は、前記複数のコネクテッド車両の操作に関連する車両データを含み、各イベントは、前記複数のコネクテッド車両との通信を表し、前記異常は、前記サブ・フリートの正常な挙動モデルにさらに基づいて検出される、検出することと、
前記検出された異常に基づいて、少なくとも1つの緩和動作を判定することと、
前記少なくとも1つの緩和動作を実施させることと
を備える、方法。
【請求項39】
コネクテッド車両のサイバー・セキュリティのための処理を処理回路構成に実行させるための命令が格納された非一時的なコンピュータ可読媒体であって、前記処理は、
第1のデータのセットに基づいて正常な挙動モデルを作成することであって、前記第1のデータのセットは、複数のコネクテッド車両に関する少なくとも1つの第1のイベントを含み、前記第1のデータのセットは、複数のデータ・ソースから収集され、前記複数のコネクテッド車両は、階層で体系化されたコネクテッド車両のフリートであり、前記階層は、前記複数のコネクテッド車両のうちの少なくとも1つのサブ・フリートを含む、作成することと、
前記階層に基づいて、前記第1のデータのセットをクラスタ化することと、
各サブ・フリートについてサブ・フリートの正常な挙動モデルを作成することと、
前記正常な挙動モデル及び第2のデータのセットに基づいて異常を検出することであって、前記第2のデータのセットは、前記複数のコネクテッド車両に関する第2のイベントを含み、前記第1のデータのセット及び前記第2のデータのセットの各々は、前記複数のコネクテッド車両の操作に関連する車両データを含み、各イベントは、前記複数のコネクテッド車両との通信を表し、前記異常は、前記サブ・フリートの正常な挙動モデルにさらに基づいて検出される、検出することと、
前記検出された異常に基づいて、少なくとも1つの緩和動作を判定することと、
前記少なくとも1つの緩和動作を実施させることと
を備える、非一時的なコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、2017年7月27日に出願され、現在係属中の米国仮特許出願第62/537,608号の利益を主張し、その内容は参照により本明細書に組み込まれる。
【0002】
本開示は、一般に、コネクテッド自律型車両に関し、より具体的には、コネクテッド自律型車両及びフリートのサイバー・セキュリティに関する。
【背景技術】
【0003】
コンピュータ技術の進歩により、車両におけるコンピュータ化されたナビゲーション及び制御システムが作成されて、運転者の体験が改善され、人及び物の遠隔制御輸送が可能になった。これらのコンピュータ化された車システムは、ガイド付き又はアシスト付きの運転を提供したり、又は車両を自律的に制御できる。この目的のために、コンピュータ化された運転システムは、たとえば、車のロック解除、エンジンのオンとオフ、ステアリングとブレーキの制御などの重要な車両機能へのアクセス及び制御を有し得る。ナビゲーションと制御を支援するために、コネクテッド車両には、コネクテッド車両が互いに及び/又はリモート制御システムと通信できるようにするネットワーク・アクセスが装備され得る。これらのコネクテッド車両は、たとえば商用車(たとえば、バス、トラック、配送/レンタル車両)の追跡、自己運転車又は支援運転車のナビゲート、カー・シェアリング・サービスなどのために使用され得る。Gartner,Inc.は、2020年までに、少なくとも2億2000万台のコネクテッド車が道路上に存在すると予測している。
【0004】
コネクテッド車両は、車両の所有者に大きな機会を提供するが、これらのシステムは、車両とこれらの車両とインタラクトするサービスを新たな危険に晒す。特に、ハッカーが、車両の機能に干渉する可能性がある。さらに、コネクテッド車両は、遠隔で干渉される可能性がある。これにより、車両の故障、盗難、及び他の悪意のある活動への扉が開かれ、たとえば、財産の損失、ブランドの損傷、リコール、訴訟などによる死亡、負傷、金銭的損害につながる可能性がある。たとえば、サイバー攻撃者は、運転システムの制御、車のロックとロック解除、エンジンのオン又はオフなどを行うことができる。さらに、制御された車両フリートの出現により、多数の車を含むフリートに対して広範なサイバー攻撃が同時に行われる可能性があり、悪意のある攻撃者が、より大きな規模で危害を加えることが可能になる。さらに、データ漏洩は車両所有者にとっても有害である可能性があるため、コネクテッド車両のプライバシーに関する懸念がある。
【0005】
したがって、サイバー脅威から車両及びコネクテッド車サービス層を保護することにより、上記の課題を克服するソリューションを提供することは有益であろう。車両のフリートをサイバー脅威から保護するためのソリューションを提供することはさらに有利である。
【発明の概要】
【0006】
本開示のいくつかの実例的な実施例の要約が以下に続く。この概要は、このような実施例の基本的な理解を提供するために読者の便宜のために提供され、本開示の広さを完全に定義するものではない。この概要は、考えられるすべての実施例の広範な概要ではなく、すべての実施例のキーとなる、すなわち重要な要素を特定することも、一部又はすべての態様の範囲を線引きすることも意図していない。その唯一の目的は、後に提示するより詳細な説明の前置きとして、1つ又は複数の実施例のいくつかの概念を簡略化した形で提示することである。便宜上、「いくつかの実施例」又は「特定の実施例」という用語は、本開示の単一の実施例又は複数の実施例を称するために本明細書で使用され得る。
【0007】
本明細書に開示される特定の実施例は、コネクテッド車両サイバー・セキュリティのための方法を含む。この方法は、第1のデータのセットに基づいて正常な挙動モデルを作成することであって、第1のデータのセットは、少なくとも1つのコネクテッド車両に関する少なくとも1つの第1のイベントを含み、第1のデータのセットは、複数のデータ・ソースから収集される、作成することと、正常な挙動モデル及び第2のデータのセットに基づいて異常を検出することであって、第2のデータのセットは、少なくとも1つのコネクテッド車両に関する第2のイベントを含み、第1のデータのセット及び第2のデータのセットの各々は、少なくとも1つのコネクテッド車両の操作に関連する車両データを含み、各イベントは、少なくとも1つのコネクテッド車両との通信を表す、検出することと、検出された異常に基づいて、少なくとも1つの緩和動作を判定することと、少なくとも1つの緩和動作を実施させることとを備える。
【0008】
本明細書で開示される特定の実施例は、コネクテッド車両のサイバー・セキュリティのための処理を処理回路構成に実行させるための命令が格納された非一時的なコンピュータ可読媒体も含み、この処理は、第1のデータのセットに基づいて正常な挙動モデルを作成することであって、第1のデータのセットは、少なくとも1つのコネクテッド車両に関する少なくとも1つの第1のイベントを含み、第1のデータのセットは、複数のデータ・ソースから収集される、作成することと、正常な挙動モデル及び第2のデータのセットに基づいて異常を検出することであって、第2のデータのセットは、少なくとも1つのコネクテッド車両に関する第2のイベントを含み、第1のデータのセット及び第2のデータのセットの各々は、少なくとも1つのコネクテッド車両の操作に関連する車両データを含み、各イベントは、少なくとも1つのコネクテッド車両との通信を表す、検出することと、検出された異常に基づいて、少なくとも1つの緩和動作を判定することと、少なくとも1つの緩和動作を実施させることとを備える。
【0009】
本明細書に開示される特定の実施例は、コネクテッド車両サイバー・セキュリティのためのシステムも含む。システムは、処理回路構成と、メモリとを備え、メモリは、処理回路構成によって実行された場合、第1のデータのセットに基づいて正常な挙動モデルを作成することであって、第1のデータのセットは、少なくとも1つのコネクテッド車両に関する少なくとも1つの第1のイベントを含み、第1のデータのセットは、複数のデータ・ソースから収集される、作成することと、正常な挙動モデル及び第2のデータのセットに基づいて異常を検出することであって、第2のデータのセットは、少なくとも1つのコネクテッド車両に関する第2のイベントを含み、第1のデータのセット及び第2のデータのセットの各々は、少なくとも1つのコネクテッド車両の操作に関連する車両データを含み、各イベントは、少なくとも1つのコネクテッド車両との通信を表す、検出することと、検出された異常に基づいて、少なくとも1つの緩和動作を判定することと、少なくとも1つの緩和動作を実施させることとを行うように、システムを構成する命令を含む。
【0010】
本明細書で開示される主題は、本明細書の結論における特許請求の範囲で特に指摘され、明確に特許請求されている。開示された実施例の前述及び他の目的、特徴、及び利点は、添付の図面と併せて以下の詳細な説明から明らかになるであろう。
【図面の簡単な説明】
【0011】
図1】開示された様々な実施例を説明するために利用されるネットワーク図である。
図2】一実施例による車両セキュリティ・マネジャのブロック図である。
図3】一実施例によるコンピュータ化された車両制御システムを保護する方法のフローチャートである。
図4】フリート・マネジャ・ダッシュボードの実例的なスクリーンショットである。
図5】一実施例による別のネットワーク図である。
【発明を実施するための形態】
【0012】
本明細書に開示される実施例は、本明細書の革新的な教示の多くの有利な使用の実例に過ぎないことに留意することが重要である。一般に、本出願の明細書でなされた記述は、様々な特許請求された実施例のいずれかを必ずしも限定しない。さらに、いくつかの記述は、いくつかの独創的な特徴には適用されるが、他の特徴には適用されない場合がある。一般に、特に明記しない限り、単数の要素は複数であってもよく、その逆も、一般性を失うことはない。図面において、同様の数字は、いくつかの図を通して同様の部分を称する。
【0013】
開示される様々な実施例は、コネクテッド車両及びコネクテッド車両サービスをサイバー攻撃から保護するための方法及びシステムを含む。したがって、開示された実施例は、コネクテッド車両のサイバー・セキュリティ技術を提供する。多数のデータ・ソースから車両データが収集されて関連付けられ、車両又は車両サービスの挙動を経時的に監視し、異常を表す車両又は車両サービスの挙動の変化を検出する。車両データは、内部データ(たとえば、エンジン速度、エンジン状態など)、機能データ(たとえば、車両の位置、速度など)、運転者データ、ユーザ・データ(たとえば、コネクテッド車両が遠隔で制御される場合など)、適用サービス・データ(たとえば、コネクテッド車両サービスの一部として、サーバ又はユーザ・デバイスによってコネクテッド車両に送信されるコマンドなど)のような車両の操作に関連するデータを含むが、これらに限定されない。車両データは、異常な車両データが、緩和を必要とする異常な挙動を表し得るように、車両の挙動に関連する情報を示す。
【0014】
検出は、個々の車両挙動、フリート挙動、サブ・フリート挙動、サービス挙動、又はこれらの組合せに基づいて作成された正常な挙動モデルにさらに基づく。正常な挙動モデルは、限定されないが、(たとえば、車内の多数のセンサからの)テレマティクス・データ、通信プロトコル(たとえば、カー・シェアリング・プロトコル、フリート管理プロトコル、相手先商標製造会社コネクテッド車プロトコルなど)、運転者又はユーザ・モバイル・アプリケーション(たとえば、General Motors(登録商標)によるOnStar(登録商標)アプリのように、モバイル・デバイスとサーバとの間の通信に使用される通信プロトコル)のようなデータのソースを分析することで作成され得る。分析は、通常の車両挙動データの機械学習を含み得る。異常の根本原因は、特定され得る。異常を緩和するための1つ又は複数の緩和動作が実行される。
【0015】
本明細書で開示される実施例は、車両挙動異常のリアルタイム検出を可能にし、したがって、個々のコネクテッド車両、コネクテッド車両のフリート、又はコネクテッド車両サービスに向けられたサイバー攻撃をリアルタイムで緩和するために利用することができる。コネクテッド車両サービスは、たとえば、コネクテッド車両からテレマティクスを収集するように構成されたテレマティクス・サーバを使用して提供され得る。したがって、開示された様々な実施例を利用して、このようなテレマティクス・サーバを、コネクテッド車両を介して実施されるサイバー攻撃から保護することができる。さらに、開示された実施例は、様々なデータ・ソースからのデータを組み込み、正常な挙動モデルを動的に作成及び更新することを可能にし、これにより、静的モデルを使用するよりも正確な異常検出をもたらす。
【0016】
さらに、開示された実施例は、たとえば、車両制御システムによって受信されたコマンドを分析するよりも、異常な挙動のより効率的且つ安全な検出を提供する。特に、正常な挙動モデルに基づいて、サイバー脅威が発生するとリアルタイムで検出されるため、フリート内の他の車両や、同じサービスとインタラクトする他の車両に広がる前に、サイバー脅威に早期に適応することができる。コネクテッド車両サービスは、たとえば、コマンドの送信、テレマティクスや他のデータの受信などの目的でコネクテッド車両とインタラクトするように構成された1つ又は複数のサーバ、ユーザ・デバイス、又はその両方を含み得るが、これらに限定されない。たとえば、車内のセンサによって収集されたデータ、数千台の車の間で相関付けられたテレマティクス・データ、又は多数のタイプのデータの組合せに基づいて、特定の車のセットで実行されているマルウェアが、他の車に広がる前に検出され得る。
【0017】
図1は、開示された様々な実施例を説明するために利用される実例的なネットワーク図100である。ネットワーク図100は、ユーザ・デバイス(UD)120、車両セキュリティ・マネジャ130、セキュリティ・エージェント140、データベース150、フリート・マネジャ160、(単に単純化の目的のために、以下に、車両制御システム170として個々に、及び車両制御システム170として集合的に称される)車両制御システム(VCS)170-1乃至170-M、及びネットワーク110を介して通信可能に接続された(単に単純化の目的のために、以下に、データ・ソース180として個々に、及びデータ・ソース180として集合的に称される)データ・ソース(DS)180-1乃至180-Nを含む。ネットワーク110は、インターネット、ワールド・ワイド・ウェブ(WWW)、広域ネットワーク(WAN)、メトロ・エリア・ネットワーク(MAN)、及び、ネットワーク図100の要素間の通信を可能にすることができる他のネットワークであり得るが、これらに限定されない。
【0018】
ユーザ・デバイス120は、パーソナル・コンピュータ(PC)、携帯情報端末(PDA)、モバイル電話、スマート・フォン、タブレット・コンピュータ、ウェアラブル・コンピューティング・デバイス、及び、以下でさらに説明するように有効化された通信機能を備えた他の種類の有線及びモバイル機器であり得るが、これらに限定されない。ユーザ・デバイス120には、アプリケーション125がインストールされていてよい。アプリケーション125は、フリート・マネジャ160によって、又は、車両制御システム170の1つ又は複数によって実行されるべきコマンドを示す入力を受信し、このコマンドを、セキュリティ・エージェント140を介して車両セキュリティ・マネジャ130に送信するように構成され得る。
【0019】
セキュリティ・エージェント140は、ネットワーク110を介して車両セキュリティ・マネジャ130との通信を可能にするように構成されたネットワーク要素である。セキュリティ・エージェント140は、(たとえば、アプリ125を介した)ユーザ・デバイス120からの要求、車両センサ・データ、及びテレマティクス・データを含むが、これらに限定されない多数のソースからデータを受信し、受信したデータに基づいて異常を検出するようにさらに構成される。この要求は、フリート・マネジャ160によって、車両制御システム170の1つ又は複数によって、又はその両方によって送信され、実施されるコマンドを示し得る。非限定的な実例として、このようなコマンドは、車両制御システム170に送信された「Start_Engine」であり得る。
【0020】
異常は、フリート・マネジャ160、又は車両制御システム170の1つによって実施されるべきコマンド(たとえば、コネクテッド車両をオン又はオフにするため、コネクテッド車両の運転を制御するためなど、コネクテッド車両をロック又はロック解除するコマンド)、フリート・マネジャ160又は車両制御システム170からデータにアクセスする試み、などを求める要求を受信することに基づいて検出され得るが、これに限定されない。セキュリティ・エージェント140は、検出された異常を、分析のために車両セキュリティ・マネジャ130に送信するように構成される。
【0021】
セキュリティ・エージェント140は、要求が受信される車両制御システム170を含むか、そうでなければ車両制御システム170によって制御されるコネクテッド車両の運転者を識別するようにさらに構成され得る。この要求、識別された運転者、異常、車両セキュリティ・マネジャ130によって送信されたコマンド、又はこれらの組合せに基づいて、セキュリティ・エージェント140は、コネクテッド車両の状態を更新するように構成され得る。この状態は、以下でさらに説明するように、予想される異常とコマンドを判定するために利用されるコンテキストを示し得、特定の運転者への車両の割り当て、車両によって受信された最新のオーバ・ザ・エア番号などがあるが、これらに限定されない。
【0022】
実施例では、セキュリティ・エージェント140及び車両セキュリティ・マネジャ130は、データセンタ190に配備される。したがって、車両制御システム170によって制御されるコネクテッド車両は、データセンタ190から保護され得る。或いは、セキュリティ・エージェント140及び車両セキュリティ・マネジャ130は、パブリック・クラウド、プライベート・クラウド、又はハイブリッド・クラウドなどのクラウド・コンピューティング・プラットフォーム(図示せず)に配備され得る。別の実施では、セキュリティ・エージェント140は、フリート内、又はフリート・マネジャ160の敷地内に展開され得る。
【0023】
車両制御システム170の各々は、コネクテッド車両(図示せず)に関して展開され、少なくとも部分的に自動化された車両の動作を制御し、それぞれのコネクテッド車両からデータを収集する、又はその両方を行うように構成され得る。コネクテッド車両は、(たとえば、ネットワーク110を介して)データを送受信するように構成され、受信したデータにコマンド(たとえば、「Start_Engine」コマンド)を実施するようにさらに構成され得る。この目的のために、コネクテッド車両は、処理回路構成、メモリ、ネットワーク・インターフェースなどのコンピュータ構成要素を含むが、これらに限定されない。コネクテッド車両は、車、バス、トラックなどであり得るが、これらに限定されない。コネクテッド車両は、少なくとも部分的に遠隔で制御され得る。
【0024】
フリート・マネジャ160は、コネクテッド車両(図示せず)のフリートに関連する処理及びタスクを管理するように構成され、それぞれの車両制御システム170を介してコネクテッド車両の運転を少なくとも部分的に制御するようにさらに構成され得る。この目的のために、フリート・マネジャ160は、アプリケーション・サーバ又は制御サーバであり得る。アプリケーション・サーバは、Zipcar(登録商標)によるローカル・モーション・フリート管理アプリ、UberによるUberFLEETアプリなどのような、個々の制御車両又は制御車両のフリートを管理するためのアプリケーション・プログラムのロジックを含み得るが、これらに限定されない。フリート・マネジャ160は、インターネット、ローカル・エリア・ネットワーク(LAN)などの1つ又は複数のネットワーク(図示せず)を介して車両制御システム170に通信可能に接続され得る。
【0025】
実施例において、車両セキュリティ・マネジャ130は、メモリに結合された処理回路構成(たとえば、図2に示されるような処理回路構成210及びメモリ220)を含む。メモリは、処理回路構成によって実行できる命令を含む。この命令は、処理回路構成によって実行されると、異常な挙動を検出し、本明細書で説明する緩和動作を引き起こすことにより、コネクテッド車両、コネクテッド車両サービス、又はその両方をサイバー攻撃から保護するように車両セキュリティ・マネジャ130を構成する。
【0026】
実施例では、車両セキュリティ・マネジャ130は、データ・ソース170、フリート・マネジャ160、及びセキュリティ・エージェント140から車両データを収集するように構成される。この目的のために、データ・ソース170は、イベント、車両状態、データ・トラフィック、テレメトリ・データ(たとえば、コントローラ・エリア・ネットワーク・メッセージ、車のセンサによって収集されたセンサ読取など)、オーバ・ザ・エア(OTA)更新、ログ分析、Lidarデータ、レーダ・データ、画像、ビデオなどを含むがこれらに限定されない車両データを格納している。データ・ソース170に格納されるデータは、フリート・マネジャ、車両制御システム、トラフィック制御システム、及び車両又はフリートの挙動に関連するデータを監視及び収集するように構成された他のシステムからのものであり得る。具体的には、多数の異なる情報ソースからのデータを収集して、異常の検出、根本原因の判定などに利用できる。車両セキュリティ・マネジャ130は、収集された車両データを正規化するように構成され得る。
【0027】
車両データに基づいて、車両セキュリティ・マネジャ130は、少なくとも1つの車両データ抽象化を判定するように構成され得る。各車両データ抽象化は、異常検出に利用されるデータのみを含む車両データの一部の表現である。非限定的な実例として、車両データの抽象化には、時間、方向(たとえば、車両からサーバ、又はサーバから車両)、クライアント識別子(ID)、運転者ID、アプリケーション、サーバID、要求タイプ、サーバ応答ステータス、違反タイプ、違反名、OTA更新ID、OTA更新名、OTA更新配信時間、クライアント配信時間、車両位置、速度、ギア位置、走行距離計値、加速度、エンジン速度、エンジン状態、ホイール位置、テレマティクス、サーバ・コマンド、車両メッセージ識別子などを含み得るが、これらに限定されない。車両データを抽象化することにより、より効率的な処理及び異常検出が可能となる。
【0028】
車両セキュリティ・マネジャ130は、抽象化されたデータをクラスタ化するように構成される。クラスタ化されたデータに基づいて、車両セキュリティ・マネジャ130は、正常な挙動のモデルを作成するように構成される。各モデルは、収集された車両データを入力として使用して、教師あり又は教師無しの機械学習で作成され得る。モデルは、車両毎に、車両のサブ・フリート毎に(すなわち、フリート内の車両グループ毎に)、車両のフリート毎に、すべての監視対象車両(たとえば、すべての車両フリート)に対して、車両とインタラクトしているコネクテッド車両サービスに対して、又はこれらの組合せについて作成され得る。各サブ・フリートは、フリート内の車両のグループであり、たとえば、共通の条件に一致するすべての車両を含むことができる。たとえば、サブ・フリートには、地理的位置又はその近く(たとえば、地理的位置から160km(100マイル)以内)の車両、同じローカル・エリア・ネットワークにコネクトされた車両、特定のメーカ又はモデルの車両、特定の年の車両、事前定義された条件に準拠する車両、これらの組合せなどを含み得る。
【0029】
サブ・フリートは、所定の恒久的なサブ・フリートであり得るか、又は、たとえば車両が、ある場所から別の場所に移動するときにアド・ホックに作成され得る。サブ・フリートのアド・ホック作成により、同様の挙動又は挙動からの逸脱を示す可能性が高い車両の動的なグループ化が可能となり、より正確な異常検出が可能になる。さらに、モデルは相互に排他的である必要はない。たとえば、重複する多数のグループのモデルが作成され得る。
【0030】
実施例では、フリート内の車両の異なる階層のレベル(たとえば、フリート全体、1つ又は複数のサブ・フリート、フリートのさらなる下位区分、1つ又は複数の個々の車両など)に関してモデルが作成され得る。様々な階層レベルで車両の挙動をモデル化することで、異常の検出と分類をより正確に行うことができ、さらに異常の根本原因判定を可能にし得る。非限定的な実例として、同じローカル・エリア・ネットワークに接続されたサブ・フリートの多数の車両について検出された異常は、そのローカル・エリア・ネットワークに接続された車両制御システムに影響するサイバー攻撃を示し得る。
【0031】
正常な挙動モデルと、セキュリティ・エージェント140から受信したイベントとを使用して、車両セキュリティ・マネジャ130は、リアルタイムで挙動異常を検出するように構成される。検出された異常は、個々の車両の挙動、車両のグループ化の挙動(たとえば、フリート又はサブ・フリート)、又は車両とインタラクトする車両サービスの挙動(たとえば、1つ又は複数のサーバ、又は、サービスを提供するために使用される他のシステムによる異常挙動)の異常を含み得る。車両セキュリティ・マネジャ130は、検出された異常をクラスタ化し、クラスタを相関させて異常の根本原因を判定するように構成される。判定された根本原因には、サイバー攻撃、プライバシーの漏洩(たとえば、データ漏洩)、詐欺(たとえば、車の誤用、運転者又は車両の識別情報の盗難など)、これらの組合せなどのサイバー脅威を含み得るが、これに限定されない。相関は、さらにフリートの階層の異なるレベルに対して生成されたクラスタ間であり得、これにより、特定のサブ・フリートの識別と、異常の根本原因を示す相関とが可能になる。
【0032】
別の実施例では、車両セキュリティ・マネジャ130は、異常間の共通性を検出するように構成される。共通性は、異常の影響を受ける車両間の共通の特徴に基づき得る。たとえば、車両が共通のモデルを共有している場合、共通性が検出され得る。
【0033】
具体的には、車の誤用に関して、実例的な車の使用に関連する車両挙動の正常な挙動モデルが作成され得る。車の使用が、たとえば、フリート車マネジャのポリシーや、車の使用に関する他の制限に違反する場合がある。たとえば、車マネジャ会社のフリート・マネジャ・プロファイルは、タクシーとしてのレンタル車の使用を除外するなど、許容可能な車の使用を定義し得る(たとえば、UberやLyftなどの乗車シェアリング・サービスを介して乗車を提供するために使用され得る)。正常な挙動モデルを車両データに適用して、車両の挙動が私的な使用パターンではなく、タクシーの使用パターンに従っているか否かを判定し得る。
【0034】
さらに、識別情報の盗難に関して、特定の識別情報を有する運転者に関連する運転者の挙動の正常な挙動モデルが作成され得る。各運転者の典型的な運転挙動をモデル化して、運転者の正常な挙動モデルを車両データに適用することにより、特定の通常の運転挙動とは異なる運転者の挙動が検出され得、識別情報の盗難を判定するために使用され得る。たとえば、盗まれたZIP車認証情報を使用して車両を運転する運転者は、ZIP車認証情報に関連付けられた運転者とは異なる運転挙動を示し、検出された異なる挙動は、識別情報の盗難が発生したことを判定するために使用される。
【0035】
判定された根本原因がサイバー脅威である場合、車両セキュリティ・マネジャ130は、リアルタイムで、サイバー脅威を緩和するための少なくとも1つの緩和動作を実施させるように構成され得る。車両セキュリティ・マネジャ130は、緩和行動を実施するための命令を、セキュリティ・エージェント140を介して、データ・ソース180などのうち、フリート・マネジャ160、車両制御システム170のいずれか、コネクテッド車両サービスを提供するために使用されるサーバ(たとえば、トラフィック制御サービスのサーバ)に送信するように構成され得る。この目的のために、車両セキュリティ・マネジャ130は、緩和動作を実施するための命令を定義するセキュリティ・ポリシーを生成又は決定し、セキュリティ・ポリシーをセキュリティ・エージェント140に送信するように構成され得る。フリート・マネジャ160によってセキュリティ・ポリシーが受信されると、フリート・マネジャ160は、車両制御システム170に緩和動作を実施させるように構成される。
【0036】
非限定的な実例として、詳細なプロトコル検査を利用して、不正な形式の細工されたパケット又はアプリケーション・データを使用して、車両制御システム170(したがって、そのそれぞれの車両)の制御を含むサイバー脅威が軽減され得る。このため、ユーザ・デバイス120が禁止コマンドを求める要求を送信した場合、ユーザ・グループ毎にホワイト・リストが設定され得、ユーザ・デバイスが、(たとえば、異常挙動の検出に基づいて判定されたように、)禁止されていない不正コマンドを求める要求を送信した場合、プロファイル又はポリシー制限が実施され得、対応するネットワーク識別情報毎に運転者識別情報盗難が識別及びブロックされ得、対応するネットワーク識別情報毎に車両識別情報盗難が識別及びブロックされ得、DDoS攻撃が実行されたなどの場合、多数の顧客(たとえば、多数のフリート又は個々の車両)のリソースがプールされ得る。
【0037】
コンテキストは、要求されたコマンドが予想されるか否かを判定し、予想されるその後の異常、予想外の挙動の根本原因、これらの組合せなどを判定するために利用される車両の永続的な状態である。コンテキストは、多数のソースから取得したデータを使用して、車両の状態をコンテキスト的に強化することにより作成される。したがって、コンテキストは、取り込まれたデータに明示的に示されていない情報を提供するが、異常の原因と影響を判定するのに役立つ場合がある。たとえば、コンテキストは、車両が運転者に割り当てられていない間に、エンジン始動コマンドを求める要求が予想外であり、したがって、誤用を示す可能性があるように、車両が運転者から割当解除され得る。別の例として、車両のグループのコンテキストは、OTA更新が車両の各々に送信されたことを示し、これによって、車両のグループのフリート挙動が異常な場合(たとえば、機械学習モデルを車両のグループの車両データへ適用することによって判定されるように)、OTA更新は、異常挙動の潜在的な根本原因として判定され得る。
【0038】
車両セキュリティ・マネジャ130は、サイバー脅威、異常、その両方などを示すダッシュボードを生成するようにさらに構成される。実例的なダッシュボード400が図4に示されている。実例的なダッシュボード400は、コネクテッド車のフリートのサイバー攻撃情報及び傾向を示している。
【0039】
本明細書では、単に単純化の目的のために、開示された実施例を限定することなく、1つのフリート・マネジャ160及び車両制御システム170の1つのセットのみが図1に関して説明されることに留意されたい。開示された実施例に従って、多数のフリート・マネジャ、車両制御システムのグループ、個々の車両制御システム、又はこれらの組合せが保護され得る。たとえば、開示された実施例の範囲から逸脱することなく、多数のフリート・マネジャ、フリート・マネジャ、及び1つ又は複数の個々の車両などが保護され得る。
【0040】
さらに、本明細書では、単純化のために、開示された実施例を限定することなく、図1を参照して1つのユーザ・デバイス120及び1つのアプリケーション125のみが上記に説明されていることに留意されたい。多数のユーザ・デバイスは、本開示の範囲から逸脱することなく、車両制御システム170によって実行されるコマンドを求める要求を提供し得る。さらに、本開示の範囲から逸脱することなく、サーバ又は他のシステムから要求が受信され得る。
【0041】
また、例示目的のみのために、開示された実施例を限定することなく、フリート・マネジャ160に関して様々な実施例が説明されることにも留意されたい。緩和動作を実施するための命令は、たとえば、ワークフロー・マネジャ、イベント・コレクタ又はアナライザなどに送信され得る。フリート・マネジャ無しでの実施を示す実例的なネットワーク図が、図5を参照して以下に説明される。
【0042】
図2は、一実施例による車両セキュリティ・マネジャ130の実例的な概略図である。車両セキュリティ・マネジャ130は、メモリ220、記憶装置230、及びネットワーク・インターフェース240に結合された処理回路構成210を含む。実施例では、車両セキュリティ・マネジャ130の構成要素は、バス250を介して通信可能に接続され得る。
【0043】
処理回路構成210は、1つ又は複数のハードウェア・ロジック構成要素及び回路として実現され得る。たとえば、限定することなく、使用できるハードウェア・ロジック構成要素の例示的なタイプは、フィールド・プログラマブル・ゲート・アレイ(FPGA)、特定用途向け集積回路(ASIC)、特定用途向け標準製品(ASSP)、システム・オン・チップ・システム(SOC)、汎用マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ(DSP)など、又は情報の計算やその他の操作を実行できる他の任意のハードウェア・ロジック構成要素を含む。
【0044】
メモリ220は、揮発性(たとえば、RAMなど)、不揮発性(たとえば、ROM、フラッシュ・メモリなど)、又はこれらの組合せであり得る。1つの構成では、本明細書で開示される1つ又は複数の実施例を実施するためのコンピュータ可読命令は、記憶装置230に格納され得る。
【0045】
別の実施例では、メモリ220は、ソフトウェアを格納するように構成される。ソフトウェアは、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語などと称されるか否かに関わらず、任意のタイプの命令を意味するものと広く解釈されるものとする。命令は、コード(たとえば、ソース・コード・フォーマット、バイナリ・コード・フォーマット、実行可能コード・フォーマット、又は他の任意の適切なコードのフォーマット)を含み得る。命令は、処理回路構成210によって実行されると、処理回路構成210に、本明細書で説明される様々な処理を実行させる。具体的には、命令は、実行されると、処理回路構成210に、本明細書で説明するようにサイバー攻撃からコネクテッド車両を保護させる。
【0046】
記憶装置230は、磁気記憶装置、光学記憶装置などであってもよく、たとえば、フラッシュ・メモリ又は他のメモリ技術、CD-ROM、デジタル多用途ディスク(DVD)、又は所望される情報を格納するために使用され得る他の任意の媒体として実現され得る。
【0047】
ネットワーク・インターフェース240により、車両セキュリティ・マネジャ130は、たとえば、イベントの受信、フリート・マネジャ160又はVCS170によって実施されるコマンドの送信などの目的で、セキュリティ・エージェント140と通信することができる。さらに、ネットワーク・インターフェース240により、車両セキュリティ・マネジャ130は、車両データを収集する目的で、データ・ソース180と通信することができる。
【0048】
本明細書で説明される実施例は、図2に示される特定のアーキテクチャに限定されず、開示される実施例の範囲から逸脱することなく他のアーキテクチャが等しく使用され得ることを理解されたい。
【0049】
図3は、一実施例によるコネクテッド車両のサイバー・セキュリティのための方法を示す実例的なフローチャート300である。実施例では、この方法は、車両セキュリティ・マネジャ130によって実行され得る。
【0050】
S310では、第1のデータのセットが、複数のデータ・ソースから収集される。第1のデータのセットは、コネクテッド車両の操作に関連する車両データを含み、具体的には、ユーザ・デバイスから受信した要求に基づいて、セキュリティ・エージェントによって生成されたイベントを含み得る。第1のデータのセットは、たとえば、データ・トラフィック、テレマティクス、車両センサ・データ、オーバ・ザ・エア(OTA)更新、ログ分析、Lidarデータ、レーダ・データ、画像、ビデオなどをさらに含み得る。車両データの少なくとも一部は、メッセージとして受信され得る。
【0051】
オプションのS320では、第1のデータのセットは前処理され得る。前処理は、データの正規化を含み得るが、これに限定されない。オプションのS325では、本明細書で上述したように、第1のデータのセットが抽象化され得る。
【0052】
S330では、第1のデータのセットがクラスタ化される。クラスタ化は、車両データの相関付けを含む。クラスタ化は、データのタイプ、コネクテッド車両の階層のレベル、又はその両方に関連し得る。
【0053】
実施例では、S330は、データが収集された各車両の車両コンテキストを更新することをさらに含み得る。この目的のために、S330は、データの一部を既知の車両と照合し、データの一部と一致したすべての車両のコンテキストを更新することを含み得る。一致が見つからない場合、車両の新たなコンテキストが作成され得る。コンテキストは、内部、機能、適用、及び運転者の状態を含む、コンテキスト的に強化された車両状態として示され得る。
【0054】
S340では、クラスタ化された車両データに基づいて、1つ又は複数の正常な挙動モデルが作成される。正常な挙動モデルは、個々の車両毎に、フリート毎に、サブ・フリート毎に、すべての車両について、コネクテッド車両サービスについて、又はこれらの組合せ毎に、正常な挙動を定義する。正常な挙動モデルは、新たな車両データが受信されると継続的に更新され、これにより異常の検出が動的に調整される。この目的のために、たとえば、2つ以上の監視対象車両が同じ条件(たとえば、同じネットワークに接続されている)を満たしている場合に、サブ・フリートが動的に定義され得、これにより、類似の挙動パターンを有する可能性が高い車両に基づいて、動的なモデル化が可能となる。
【0055】
実施例では、経時的に収集されたクラスタ化された車両データを入力として使用して、機械学習モデルをトレーニングして、正常な挙動モデルが作成され得る。機械学習は、教師付き又は教師無しで行うことができる。さらなる実施例では、機械学習は、前処理されたデータに基づき得る。前処理は、データの正規化、データのクラスタ化、データの強化(たとえば、コンテキストを作成するためのデータのコンテキスト的な強化)などを含み得るが、これらに限定されない。
【0056】
実施例では、正常な挙動モデルを作成することは、ネットワーク・プロトコル・アナライザを作成することを含む。ネットワーク・プロトコル・アナライザは、第1のデータのセットのイベントに基づいて構成される。たとえば、ネットワーク・プロトコル・アナライザを使用して、予想外のネットワーク・プロトコルの使用が判定された場合、挙動が異常になることがある。
【0057】
実施例では、イベントの予想される順序に基づいて、正常な挙動モデルが作成され得る。この目的のために、S340は、第1のデータのセットの多数のイベントに基づいて、イベントの1つ又は複数の予想されるシーケンスを作成することを含み得る。予想される一連のイベントが満たされない場合、挙動が異常になる場合がある。
【0058】
実施例では、正常な挙動モデルは、たとえば、セットアップ、部品の機械的条件、ソフトウェア・バージョン、エンジン制御ユニット(ECU)データなどに関連する内部車両変数に基づいて作成される。
【0059】
実施例では、セキュリティ・ポリシーに少なくとも部分的に基づいて、正常な挙動モデルが作成され得る。セキュリティ・ポリシーは、所定のセキュリティ・ポリシー・パラメータ、ユーザの入力に基づいて決定されるパラメータ、又はその両方に基づいて作成され得る。この目的のために、セキュリティ・ポリシーからの逸脱が、正常な挙動モデルに関する異常として検出されるように、正常な挙動モデルが定義され得る。
【0060】
さらに別の実施例では、コンテキストに基づいて正常な挙動モデルが作成され得る。各コンテキストは、本明細書で上述したようにコンテキスト的に強化された車両状態であり、クラスタ化されたデータで明示的に示されていない車両に関する情報を示す。この目的のために、S340は、クラスタ化されたデータについて異なる時点で各車両のコンテキストを更新又は作成することを含み得る。正常な挙動モデルは、履歴データ(たとえば、イベント・データを含むメッセージ)に関する車両の通常のコンテキストを示し得る。
【0061】
S350では、コネクテッド車両に関するイベントを含む第2のデータのセットが受信される。イベントは、コネクテッド車両との通信又は関連する通信を表し得、コネクテッド車両に関連するデータの制御又はアクセスに対する試みを示し、(たとえば、このような動作を実行するコマンドを求める要求に基づいて)コネクテッド車両からデータを受信するなどを行い得る。イベントは、図1に関して本明細書でさらに上述されているように、セキュリティ・エージェントから受信され得る。イベントは、セキュリティ・エージェントによって生成されたメッセージの形式で受信され得る。
【0062】
S360では、第2のデータのセット及び正常な挙動モデルに基づいて、異常が検出されたか否かが判定され、検出されたと判定されれば、実行はS370で継続し、それ以外の場合、実行は310で継続する。実施例では、S360は、メッセージ、メッセージの集合(たとえば、メッセージのシーケンス)、メッセージ及びコンテキスト、又はこれらの組合せを分析することを含み得る。いくつかの実施では、所定の構成が満たされないときにも異常が検出され得る。
【0063】
S370では、異常が検出されると、1つ又は複数の緩和動作が判定される。緩和動作は、異常に基づいて、たとえば、異常のタイプ(たとえば、異常な速度、異常なコンテキスト、異常な場所など)、重大度(つまり、異常が正常な挙動から逸脱する程度)、又はその両方に基づいて判定され得る。緩和動作は、異常を実証しているコネクテッド車両との1つ又は複数の通信、又は通信のタイプ(たとえば、車両との間で送受信される通信)をブロックするための動作、これらのコネクテッド車両に対する1つ又は複数の定義されたコマンドを無視するための動作、異常を実証しているコネクテッド車両サービスとの1つ又は複数の通信、又は通信のタイプ(たとえば、コネクテッド車両サービスとの間で送受信される通信)をブロックするための動作、コネクテッド車両サービスを介して動作を起こさせるための動作(たとえば、ユーザ・デバイスのユーザがユーザ・デバイスを介して緩和動作オプションを選択した場合、ユーザ・デバイスに緩和動作オプションを表示させ、緩和動作オプションの1つ又は複数を実施し、サービスのワークフロー・マネジャを介してワークフローを起動するなどの動作)、異常を示すアラート又はレポートを生成するための動作などを含み得る。
【0064】
実施例では、S370は、異常の根本原因を判定することを含み、緩和動作は根本原因に基づいて判定される。本明細書で上述したように、根本原因は、異常、正常な挙動モデル、コネクテッド車両の階層、又はこれらの組合せに基づいて判定され得る。この目的のために、共通の条件を有するサブ・フリート内の車両間の異常は、共通の条件に関連する根本原因を示している可能性がある。たとえば、特定のフリートの車両に向けられたユーザ・デバイスからの異常な量の要求は、フリートのフリート・マネジャに向けられたDDoS攻撃を示し得る。
【0065】
S380では、判定された緩和動作がリアルタイムで実施されるようになり、モデルの継続的な更新及び異常検出のためにS310で実行が継続する。緩和動作の実施は、緩和動作を実行するためのコマンドを車両に送信することを含み、セキュリティ・ポリシーをセキュリティ・エージェントに送信する、外部ユーザ・デバイスに通知を送信することなどをさらに含み得るが、これらに限定されない。
【0066】
図5は、実施例による、フリート・マネジャ160無しでの車両制御システム170との通信を示す実例的なネットワーク図500である。実例的なネットワーク図500では、セキュリティ・エージェント140は、ネットワーク110を介して車両セキュリティ・マネジャ130から車両制御システム170にコマンドを送信するように構成される。
【0067】
車に関して様々な実施例が本明細書で説明されるが、本明細書で説明される実施例は車に限定されず、他のタイプのネットワーク・コネクテッド車両を、本開示の範囲から逸脱することなく、サイバー脅威から保護するために等しく利用でき得ることに留意されたい。さらに、コネクテッド車両は、直接又は1つ又は複数のネットワークを介して、他のシステムと通信する、又は他のシステムと通信可能に接続された任意の車両を含むことができ、これらの車両はサイバー脅威によって、又はサイバー攻撃を促進することによって、被害を受けやすいことに留意されたい。
【0068】
本明細書で開示される様々な実施例は、ハードウェア、ファームウェア、ソフトウェア、又はこれらの任意の組合せとして実施され得る。さらに、ソフトウェアは、好ましくは、プログラム記憶ユニット、又は部品、又は特定のデバイス、及び/又はデバイスの組合せを有するコンピュータ可読媒体で有体的に具現化されたアプリケーション・プログラムとして実施される。アプリケーション・プログラムは、任意の適切なアーキテクチャを含むマシンにアップロードされ、実行され得る。好ましくは、マシンは、1つ又は複数の中央処理装置(「CPU」)、メモリ、及び入力/出力インターフェースなどのハードウェアを有するコンピュータ・プラットフォーム上で実施される。コンピュータ・プラットフォームは、オペレーティング・システム及びマイクロ命令コードをも含み得る。本明細書で説明される様々な処理及び機能は、マイクロ命令コードの一部又はアプリケーション・プログラムの一部、又はこのようなコンピュータ又はプロセッサが明示的に示されているか否かに関係なく、CPUによって実行され得るこれら任意の組合せのいずれかであり得る。さらに、他の様々な周辺ユニットが、追加のデータ記憶ユニットや印刷ユニットのようなコンピュータ・プラットフォームに接続され得る。さらに、非一時的なコンピュータ可読媒体は、一時的な伝播信号を除く任意のコンピュータ可読媒体である。
【0069】
本明細書に列挙されるすべての実例及び条件言語は、開示された実施例の原理及びこの技術をさらに進める発明者によって寄与される概念を理解する際に読者を助ける教育目的のために意図され、そのように具体的に列挙された実例及び条件に限定されることなく解釈されるべきである。さらに、開示された実施例の原理、態様、及び実施例、並びにその特定の実例を列挙する本明細書のすべての記述は、その構造的及び機能的な均等物を包含することが意図されている。それに加えて、このような均等物は、現在知られている均等物のみならず、将来開発される均等物、つまり構造に関係なく同じ機能を実行する開発された任意の要素との両方が含まれることが意図されている。
【0070】
「第1」、「第2」などの指定を使用した本明細書の要素へのあらゆる言及は、一般にこれらの要素の量又は順序を限定しないと理解されたい。むしろ、これらの指定は、一般に、2つ以上の要素又は要素のインスタンスを区別する便利な方法として本明細書で使用される。したがって、第1及び第2の要素への言及は、2つの要素のみが適用され得ること、又は何らかの方式で第1の要素が第2の要素に先行しなければならないことを意味しない。また、特に明記しない限り、要素のセットは1つ又は複数の要素を備え得る。
【0071】
本明細書で使用される場合、アイテムのリストが続く「少なくとも1つの」という語句は、リストされたアイテムのいずれかを個々に利用できること、又はリストされたアイテムの2つ以上の組合せのいずれかを利用できることを意味する。たとえば、システムに「A、B、Cの少なくとも1つ」が含まれていると説明されている場合、システムは、Aのみ、Bのみ、Cのみ、AとBとの組合せ、BとCとの組合せ、AとCとの組合せ、又は、AとBとCとの組合せを含むことができる。
図1
図2
図3
図4
図5
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.