通信日志聚合装置及通信日志聚合方法与流程

    专利查询2022-07-06  332



    1.本公开涉及通信日志聚合装置及通信日志聚合方法。


    背景技术:

    2.近年来,在汽车中的系统中,配置有许多被称作电子控制单元(electronic control unit,以下称作ecu)的装置。将这些ecu相连的网络被称作车载网络。车载网络中存在许多标准,而作为其中最主流的车载网络之一,存在控制器域网(controller area network,以下称作can)的标准。此外,随着自动驾驶、互联汽车(connected cars)等的普及,可以预想到车载网络通信量的增大,车载以太网(ethernet)的普及正在进展。
    3.另一方面,随着互联汽车的普及,还被指出攻击者从车辆外部的网络侵入车载网络而不正当地控制车辆的威胁,在进行安全性的研究。
    4.作为提高车载网络的安全性的途径,提出了在以往的internet protocol(ip,互联网协议)通信中使用的、如非专利文献1及非专利文献2那样利用加密通信防止不正当节点的通信的方法、或基于域分离的控制网络的保护等。另一方面,公开了为了对网络的通信量的趋势进行监视,从通信包中包含的头信息等中收集被称作流(flow)的具有相同属性的包的统计信息的方法(非专利文献3)。
    5.现有技术文献
    6.非专利文献
    7.非专利文献1:rfc5406:guidelines for specifying the use of ipsec version2
    8.非专利文献2:ieee 802.1ae:mac security
    9.非专利文献3:rfc7011:specification of the ip flow information export(ipfix)protocol for the exchange of flow information


    技术实现要素:

    10.发明要解决的课题
    11.此外,在车载网络等的控制网络系统中,在普及ip通信的情况下,为了在各域中掌握通信量的趋势并确认有没有发生攻击者的侵入,也可预想利用与非专利文献3同样的技术。
    12.但是,在非专利文献3中,仅公开了通知流信息(例如通信日志)的方法,所以如果直接应用到车载网络等的控制网络系统,则会被通知在多个不同的域中收集到的流信息。这导致因流信息的通信造成的控制网络中的通信量的增加。此外,从分析网络日志的解析者的立场来看,并不希望带来应分析的日志的增加、分析作业的复杂化等。
    13.所以,本公开提供一种在控制网络系统中能够适当地聚合通信日志的通信日志聚合装置及通信日志聚合方法。
    14.用来解决课题的手段
    15.有关本公开的一技术方案的通信日志聚合装置,是由2个以上的子网络构成的控制网络系统中的通信日志聚合装置,上述通信日志聚合装置配置在上述控制网络系统上,具备:取得部,从分别配置在上述2个以上的子网络系统上的收集装置分别取得流信息,上述收集装置收集包含配置在上述控制网络系统上的观测部中流过的消息所包含的流识别信息的流记录、以及基于上述流识别信息而被分类的每个流的第一统计信息,上述流信息包含1个以上的上述流记录和上述每个流的第一统计信息;以及信息处理部,通过进行所取得的1个以上的上述流信息所包含的1个以上的上述流记录的选择、基于上述第一统计信息的第二统计信息的追加以及1个以上的上述流记录的删除中的至少1个,生成聚合流信息,并输出所生成的上述聚合流信息。
    16.有关本公开的一技术方案的通信日志聚合方法,是由2个以上的子网络构成的控制网络系统中的通信日志聚合方法,从分别配置在上述2个以上的子网络系统上的收集装置分别取得流信息,上述收集装置收集包含配置在上述控制网络系统上的观测部中流过的消息所包含的流识别信息的流记录、以及基于上述流识别信息而被分类的每个流的第一统计信息,上述流信息包含1个以上的上述流记录和上述每个流的第一统计信息;通过进行所取得的1个以上的上述流信息所包含的1个以上的上述流记录的选择、基于上述第一统计信息的第二统计信息的追加以及1个以上的上述流记录的删除中的至少1个,生成聚合流信息,并输出所生成的上述聚合流信息。
    17.发明效果
    18.根据有关本公开的一技术方案的通信日志聚合装置等,能够在控制网络系统中适当地聚合通信日志。
    附图说明
    19.图1是实施方式1的车载网络监视系统的构成图。
    20.图2是实施方式1的tcu的构成图。
    21.图3是实施方式1的ecu的构成图。
    22.图4是实施方式1的以太网交换机的构成图。
    23.图5是表示实施方式1的最新流信息的一例的图。
    24.图6是表示实施方式1的车辆状态的一例的图。
    25.图7是表示实施方式1的tcu中的流聚合次序的图。
    26.图8是实施方式1的tcu的流信息聚合流程图。
    27.图9是实施方式1的tcu的第一流聚合方法的流程图。
    28.图10是表示实施方式1的基于第一流聚合方法的聚合流信息的输出例的图。
    29.图11是实施方式1的tcu的第二流聚合方法的流程图。
    30.图12是表示实施方式1的基于第二流聚合方法的聚合流信息的输出例的图。
    31.图13是实施方式1的tcu的第三流聚合方法的流程图。
    32.图14是表示实施方式1的基于第三流聚合方法的聚合流信息的输出例的图。
    33.图15是实施方式2的车载网络监视系统的构成图。
    34.图16是实施方式2的tcu的构成图。
    35.图17是表示实施方式2的最新流信息的一例的图。
    36.图18是实施方式2的tcu的流收集流程图。
    37.图19是实施方式2的tcu的流信息聚合流程图。
    38.图20是实施方式2的流聚合处理的详细流程图。
    39.图21是表示实施方式2的聚合流信息的输出例(停车中)的图。
    40.图22是表示实施方式2的聚合流信息的输出例(行驶中)的图。
    具体实施方式
    41.有关本公开的一技术方案的通信日志聚合装置,是由2个以上的子网络构成的控制网络系统的通信日志聚合装置,上述通信日志聚合装置配置在上述控制网络系统上,具备:取得部,从分别配置在上述2个以上的子网络系统上的收集装置分别取得流信息,上述收集装置收集包含配置在上述控制网络系统上的观测部中流过的消息所包含的流识别信息的流记录、以及基于上述流识别信息而被分类的每个流的第一统计信息,上述流信息包含1个以上的上述流记录和上述每个流的第一统计信息;以及信息处理部,通过进行所取得的1个以上的上述流信息所包含的1个以上的上述流记录的选择、基于上述第一统计信息的第二统计信息的追加以及1个以上的上述流记录的删除中的至少1个,生成聚合流信息,并输出所生成的上述聚合流信息。
    42.由此,能够聚合在控制网络的多个观测部(观测点)收集的通信日志(流信息),所以对于日志的尺寸(例如信息量)的削减是有效的。因此,即使控制网络系统是具有多个不同的域的构成,也能够适当地聚合通信日志。
    43.此外,例如也可以是,在上述控制网络系统中,配置有包括第一观测部及第二观测部的2个以上的上述观测部;上述取得部取得由上述第一观测部收集的第一流信息和由上述第二观测部收集的第二流信息;上述信息处理部在上述第一流信息所包含的第一流记录的上述流识别信息与上述第二流信息所包含的第二流记录的上述流识别信息相同的情况下,不包含上述第一流记录及上述第二流记录中的一方而生成上述聚合流信息。
    44.由此,不用将转送给多个子网络的消息重复地保留为日志,对于网络通信日志的削减是有效的。
    45.此外,例如也可以是,1个以上的上述流信息分别包含对收集到该流信息的观测部进行识别的观测部识别信息;上述信息处理部将上述第一流信息及上述第二流信息中的上述一方的流信息所包含的上述观测部识别信息追加到上述第一流信息及上述第二流信息中的另一方的流信息中。
    46.由此,即使流信息被聚合,也能够抑制观测部识别信息被删除。因此,在进行控制网络系统的异常等的分析时,能够生成有用的聚合流信息。
    47.此外,例如也可以是,上述第一统计信息包含基于上述消息的接收量的统计量;上述信息处理部在上述第一流信息所包含的上述第一流记录的上述1个以上的流识别信息与上述第二流信息所包含的上述第二流记录的上述1个以上的流识别信息相同、进而上述第一流信息所包含的第一接收量与上述第二流信息所包含的第二接收量满足规定的关系的情况下,不包含上述第一流记录及上述第二流记录中的上述一方而生成上述聚合流信息。
    48.由此,能够在确认由不同的观测部收集的流信息间的相容性后,作为聚合流输出,能够聚合为在安全性上有用的网络通信日志。
    49.此外,例如也可以是,上述信息处理部在上述第一接收量和上述第二接收量不满足上述规定的关系的情况下,还向上述第一流记录和上述第二流记录中的至少一方追加表示发生了异常的异常识别标志。
    50.由此,通过参照聚合流信息,能够容易地识别有异常的流记录和正常的流记录,能够进行网络通信日志的有效的解析作业。
    51.此外,例如也可以是,上述规定的关系包括上述第一接收量与上述第二接收量之差为规定的值以内。
    52.由此,在第一接收量与第二接收量之差为规定的值以内的情况下,能够追加异常识别标志。
    53.此外,例如也可以是,上述通信日志聚合装置搭载于车辆;还具备判定上述车辆的车辆状态的车辆状态判定部;上述信息处理部还基于由上述车辆状态判定部判定的上述车辆状态,进行1个以上的上述流记录的选择、上述第二统计信息的追加以及1个以上的上述流记录的删除中的至少1个。
    54.由此,能够输出适合于根据车辆的车辆状态而变化的控制网络的通信的网络通信日志。因此,能够根据车辆状态来聚合流信息,所以能够更适当地聚合通信日志。
    55.此外,例如也可以是,上述车辆状态包括停车中及自动驾驶中的某一个状态。
    56.由此,能够根据车辆是停车中还是自动驾驶中,适当地聚合通信日志。
    57.此外,例如也可以是,上述信息处理部在上述车辆状态是上述停车中的情况下,选择与诊断命令及更新命令中的至少一个有关的上述流记录,生成包含所选择的上述流记录的上述聚合流信息。
    58.由此,能够生成包含与停车中相应的流信息的聚合流信息。
    59.此外,例如也可以是,上述信息处理部在上述车辆状态是上述自动驾驶中的情况下,选择与自动驾驶控制有关的上述流记录,生成包含所选择的上述流记录的上述聚合流信息。
    60.由此,能够生成包含与自动驾驶中相应的流信息的聚合流信息。
    61.此外,例如也可以是,上述信息处理部在上述车辆状态不是上述停车中及上述自动驾驶中的情况下,生成包含所取得的1个以上的上述流信息的上述聚合流信息。
    62.由此,能够生成包含与不是停车中及自动驾驶中的车辆状态相应的流信息的聚合流信息。
    63.此外,例如也可以是,上述观测部配置在上述2个以上的子网络中的各个子网络上;上述信息处理部根据上述车辆状态变更2个以上的上述观测部的优先级,基于变更后的上述优先级,变更在上述聚合流信息中包含由2个以上的上述观测部收集的1个以上的上述流记录的比例。
    64.由此,能够对应于根据车辆的车辆状态而变化的控制网络的通信,以适当的比例聚合需要的流记录。
    65.此外,例如也可以是,上述观测部包括观测与车外网络的通信的第三观测部、观测应用间的通信的第四观测部以及观测车内网络中的通信的第五观测部。
    66.由此,能够有效地削减与车外网络的通信、应用间的通信以及车内网络中的通信的通信日志(流信息)的尺寸(例如信息量)。
    67.此外,例如也可以是,上述1个以上的流信息还包含前次的上述第一统计信息;上述信息处理部基于上述车辆的车辆状态、以及作为上述第一统计信息及前次的上述第一统计信息的差分的差分信息,生成上述聚合流信息。
    68.由此,能够基于差分信息生成聚合流信息。例如,通过基于差分信息来聚合有异常的流信息,能够有效地聚合通信日志。
    69.此外,例如也可以是,上述信息处理部在上述车辆状态是停车中、并且前次的上述第一统计信息为零、并且上述第一统计信息为零以外的第三流信息有第1数量以上的情况下,生成包含该第三流信息的上述聚合流信息,在上述车辆状态不是上述停车中、并且前次的上述第一统计信息为零、并且上述第一统计信息为零以外的第四流信息有比上述第1数量少的第2数量以上的情况下,生成包含该第四流信息的上述聚合流信息。
    70.由此,能够生成包含前次的统计信息为零、当前的统计信息增加了规定以上的流信息的聚合流信息。即,能够生成包含有可能有异常的流信息的聚合流信息。因此,在包含有可能有异常的流信息这一点上,能够适当地聚合通信日志。
    71.此外,例如也可以是,上述信息处理部还对上述第三流信息和上述第四流信息追加相互不同的标志。
    72.由此,通过参照聚合流信息,能够容易地识别第三流信息和第四流信息,能够进行网络通信日志的有效的解析作业。
    73.此外,例如也可以是,上述流识别信息包含发送源ip地址、目的地ip地址、发送源端口号、目的地端口号、协议号及消息id中的至少1个或2个以上的组。
    74.由此,能够根据消息中包含的信息,适当地对流进行识别,作为网络通信日志(通信日志)是有用的。
    75.此外,例如也可以是,上述观测部是包含于上述控制网络系统、并且与1个以上的电子控制装置连接的以太网交换机。
    76.由此,在控制网络系统使用以太网的情况下,能够不追加新的构成要素而取得流信息。
    77.此外,例如也可以是,将上述聚合流信息作为ipfix(internet protocol flow information export:互联网协议流信息输出)或netflow(网络流)的格式输出。
    78.由此,能够将聚合后的流信息以通常使用的格式进行通信。即,通信日志聚合装置的通用性增加。
    79.此外,有关本公开的一技术方案的通信日志聚合方法,是由2个以上的子网络构成的控制网络系统的通信日志聚合方法,从分别配置在上述2个以上的子网络系统上的收集装置分别取得流信息,上述收集装置收集包含配置在上述控制网络系统上的观测部中流过的消息所包含的流识别信息的流记录、以及基于上述流识别信息而被分类的每个流的第一统计信息,上述流信息包含1个以上的上述流记录和上述每个流的第一统计信息;通过进行所取得的1个以上的上述流信息所包含的1个以上的上述流记录的选择、基于上述第一统计信息的第二统计信息的追加以及1个以上的上述流记录的删除中的至少1个,生成聚合流信息,并输出所生成的上述聚合流信息。
    80.由此,起到与上述的通信日志聚合装置同样的效果。例如,能够聚合在控制网络的多个观测点收集的通信日志(流信息),所以对于日志的尺寸(例如信息量)的削减是有效
    的。
    81.以下,参照附图对有关本公开的实施方式的网络通信日志聚合装置(通信日志聚合装置)进行说明。另外,以下说明的实施方式都表示本公开的优选的一具体例。即,在以下的实施方式中表示的数值、形状、材料、构成要素、构成要素的配置位置及连接形态、步骤、步骤的顺序等是本公开的一例,不是限定本公开的意思。本公开基于权利要求书的记载来确定。因而,关于以下的实施方式的构成要素中的、在表示本公开的最上位概念的独立权利要求中没有记载的构成要素,虽然不是为了达成本公开的课题所必定需要的,但作为构成更优选的形态的构成要素进行说明。
    82.(实施方式1)
    83.以下,对搭载有多个电子控制单元(ecu:electronic control unit)经由以太网(注册商标)进行通信的车载网络(车载网络系统)的车辆中的网络通信日志聚合装置(通信日志聚合装置)进行说明。
    84.[1.1车载网络监视系统的构成]
    [0085]
    图1是本实施方式的车载网络监视系统的构成图。车载网络监视系统搭载于车辆10。车载网络监视系统是控制网络系统的一例。
    [0086]
    如图1所示,车载网络监视系统具备tcu(telematics control unit:远程信息控制单元)100、ecu200a、ecu200b、ecu200c、ecu200d、ecu200e、ecu200f、ecu200g、以太网交换机300a、以太网交换机300b、以太网交换机300c和以太网交换机300d。
    [0087]
    tcu100具有与外部网络的连接接口,例如与外部服务器进行通信。此外,具有将从以太网交换机300a、300b、300c及300d通知的流信息(通信日志)进行聚合的功能。tcu100是通信日志聚合装置的一例。tcu100配置在车载网络上。tcu100例如配置在后述的子网络上。
    [0088]
    ecu200a、ecu200b、ecu200c、ecu200d、ecu200e及ecu200f相互经由网络进行控制指示、传感器数据等的通信,实现车辆的控制。在图1中省略,但在车载网络中可以包括更多的ecu。
    [0089]
    ecu200a、ecu200b、ecu200c、ecu200d、ecu200e及ecu200f与传感器、致动器等连接,进行传感器信息的取得、致动器的控制等。
    [0090]
    ecu200a、ecu200b、ecu200c、ecu200d、ecu200e及ecu200f例如是包括处理器(微处理器)、存储器等的数字电路、模拟电路、通信电路等的装置。存储器是rom、ram,可以存储由处理器执行的控制程序(计算机程序)。
    [0091]
    例如通过由处理器按照控制程序进行动作,ecu200a、ecu200b、ecu200c、ecu200d、ecu200e及ecu200f实现各种功能。计算机程序是为了实现规定的功能而将对处理器的命令代码组合多个而构成的。
    [0092]
    以太网交换机300a从ecu200a接收消息,按照消息的内容,将接收到的消息转送给适当的端口。以太网交换机300b从ecu200b及200c接收消息,按照消息的内容,将接收到的消息转送给适当的端口。以太网交换机300c从ecu200d及200e接收消息,按照消息的内容,将接收到的消息转送给适当的端口。以太网交换机300d从ecu200f及200g接收消息,按照消息的内容,将接收到的消息转送给适当的端口。
    [0093]
    此外,以太网交换机300a、300b、300c及300d从接收到的消息中收集通信内容的统计信息,将包含收集到的统计信息的流信息发送给tcu100。
    [0094]
    另外,在图1中,网络全部通过以太网进行通信,但也可以包括不同的网络。例如,在控制系统网络中也可以使用can,也可以使用其他协议。
    [0095]
    另外,由以太网交换机300a和ecu200a构成1个子网络。此外,由以太网交换机300b、ecu200b和ecu200c构成1个子网络。此外,由以太网交换机300c、ecu200d和ecu200e构成1个子网络。此外,由以太网交换机300d、ecu200f和ecu200g构成1个子网络。这样,车载网络监视系统包括1个以上的子网络而构成。例如,车载网络监视系统包括2个以上的子网络而构成。
    [0096]
    另外,各以太网交换机作为观测在车载网络监视系统内流过的消息的观测部及流记录收集装置发挥功能。例如,观测部也可以由包含于车载网络监视系统、并且与1个以上的ecu连接的以太网交换机实现。观测部和收集装置并不限定于是相同的设备,也可以是相互不同的设备。此外,观测部例如配置在2个以上的子网络各自中。另外,观测部也可以由配置在车载网络监视系统上的其他设备实现。例如,观测部也可以由路由器(未图示)等实现。
    [0097]
    [1.2tcu100的构成]
    [0098]
    图2是本实施方式的tcu100的构成图。
    [0099]
    如图2所示,tcu100具有车外通信部101、应用部102、通信部103、流聚合部104、流验证部105、最新流保持部106和车辆状态保持部107。
    [0100]
    车外通信部101为与车辆10外例如互联网的通信接口,与配置在车外的外部服务器进行通信,具有将车辆10的信息通知给外部服务器、或从外部服务器接收固件并转送给车辆网络等作用。
    [0101]
    应用部102中,用来将车载网络的信息通知给外部服务器的应用、用来将从外部服务器接收到的固件转送给车载网络的应用等进行动作。
    [0102]
    此外,应用部102具有将从车载网络接收到的流信息通知给流聚合部104、接受聚合的流信息并通知给外部服务器的作用。
    [0103]
    应用部102中,可以多个应用进行动作。
    [0104]
    通信部103与以太网交换机300a连接,接收从以太网交换机300a转送来的消息。
    [0105]
    此外,通信部103按照应用部102的发送请求,将消息发送给以太网交换机300a。
    [0106]
    流聚合部104接收从以太网交换机300a、300b、300c及300d通知的流信息,保存到最新流保持部106中。
    [0107]
    此外,流聚合部104将以规定的间隔(例如60秒)从以太网交换机300a、300b、300c及300d接收到的流进行聚合,新生成聚合流(聚合流信息)。也可以说流聚合部104聚合在多个不同的域中收集到的流信息。
    [0108]
    聚合流例如也可以基于保存在车辆状态保持部107中的车辆状态及流验证部105的流验证结果中的至少一方生成。生成的聚合流作为车载网络的通信日志例如被通知到配置在车外的外部服务器。
    [0109]
    流验证部105在从流聚合部104得到通知的定时,进行保存在最新流保持部106中的、从以太网交换机300a、300b、300c及300d收集到的流信息间的不相容的检测,检测流信息的变化点等。例如,关于从以太网交换机300a转送到以太网交换机300b中的消息的流信息所包含的观测到的消息数,在由以太网交换机300a收集到的流信息与由以太网交换机300b收集到的流信息不一致的情况下,流验证部105向流聚合部104进行通知。
    [0110]
    最新流保持部106保持从以太网交换机300a、300b、300c及300d接收到的流信息。最新流信息的详细的说明在后面叙述。
    [0111]
    车辆状态保持部107保持从应用部102通知的最新的车辆状态。车辆状态的详细情况后述。
    [0112]
    另外,流验证部105及车辆状态保持部107不是必须的构成。
    [0113]
    另外,至少包括流聚合部104而构成信息处理部。信息处理部例如也可以包括应用部102、流聚合部104及流验证部105而构成。
    [0114]
    [1.3ecu的构成]
    [0115]
    图3是本实施方式的ecu200a的构成图。另外,ecu200b~200g也是同样的构成,所以省略它们的说明。
    [0116]
    如图3所示,ecu200a具有通信部201和应用部202。
    [0117]
    通信部201是与以太网交换机300a连接而进行帧的收发的通信接口。
    [0118]
    应用部202执行与ecu200a连接的传感器值的读入、致动器的控制等的应用。
    [0119]
    [1.4以太网交换机的构成]
    [0120]
    图4是本实施方式的以太网交换机300a的构成图。另外,以太网交换机300b、300c及300d也是同样的构成,所以省略它们的说明。
    [0121]
    如图4所示,以太网交换机300a具有通信部301和流收集部302。
    [0122]
    通信部301具有多个通信端口,分别与tcu100及ecu200a连接,根据接收到的消息的内容进行消息的转送。此外,通信部301为了提取用来进行接收到的消息的监视的信息而向流收集部302通知消息。
    [0123]
    流收集部302基于从通信部301通知的消息中包含的头信息,收集流信息。
    [0124]
    在流收集部302中,按预先定义的每个流,保持有接收消息数、接收字节数等的统计量,进行与接收到的消息对应的流信息的更新。
    [0125]
    此外,流信息被以规定的间隔作为消息发送,所保持的流信息被重置。规定的间隔例如是60秒,在收集60秒钟的流信息后,以太网交换机300a发送流信息,将流信息重置,再次开始60秒钟的流信息的收集。
    [0126]
    [1.5最新流的一例]
    [0127]
    图5是表示本实施方式的最新流信息的一例的图。最新流信息被保存在最新流保持部106中。在图5中,1个行是对于1个流的信息,表示了按每个流保持有接收到的消息数的例子。流是指流识别信息相同即属性相同。
    [0128]
    各流保持有收集到的地方(收集处)例如收集到流信息的以太网交换机的识别信息、用来确定流的信息(是流识别信息,是流发送源ip地址、目的地ip地址、发送源端口号、目的地端口号、传输协议的组)和消息的接收数。
    [0129]
    收集处是用来确定观测部的信息,是观测部识别信息的一例。
    [0130]
    流识别信息只要包含发送源ip地址、目的地ip地址、发送源端口号、目的地端口号、协议号、消息id及传输协议中的1个以上即可。此外,流识别信息也可以包含发送源ip地址、目的地ip地址、发送源端口号、目的地端口号、协议号、消息id及传输协议中的至少1个或2个以上的组。此外,流记录至少包含流识别信息。
    [0131]
    消息数是第一统计信息的一例。图5所示的消息数例如是在相同的期间取得的消
    息数。
    [0132]
    此外,流信息例如包含表示收集处的信息和1个以上的流记录。
    [0133]
    第1行的流表示收集处为“300a”、发送源ip地址为“192.168.1.1”、目的地ip地址为“192.168.1.10”、发送源端口号为“5000”、目的地端口号为“6001”、传输协议为“udp”、接收到的消息数为“2000”。
    [0134]
    第2行的流表示收集处为“300a”、发送源ip地址为“192.168.1.2”、目的地ip地址为“192.168.1.1”、发送源端口号为“5000”、目的地端口号为“5001”、传输协议为“udp”、接收到的消息数为“300”。
    [0135]
    第1行及第2行的流是从以太网交换机300a取得的流信息。也可以说该流信息中包含2个流记录。
    [0136]
    关于中途的流信息省略了记载,最后的行(第4行)的流表示收集处为“300d”、发送源ip地址为“192.168.1.1”、目的地ip地址为“192.168.1.10”、发送源端口号为“5000”、目的地端口号为“6001”、传输协议为“udp”、接收到的消息数为“2000”。
    [0137]
    最后的行的流是从以太网交换机300d取得的流信息。也可以说该流信息中包含1个流记录。
    [0138]
    [1.6车辆状态的一例]
    [0139]
    图6是本实施方式的车辆状态的一例。车辆状态保存在车辆状态保持部107中。在图6中,表示当前的车辆状态是自动驾驶中。车辆状态可以基于车载网络的消息等中包含的信息来更新。
    [0140]
    另外,车辆状态不限于自动驾驶状态。车辆状态例如可以是停车中、充电中、行驶中、高速行驶中、诊断模式中、固件更新中等状态。此外,车辆状态也可以至少包括停车中及自动驾驶中等的行驶状态。此外,行驶中也可以包括是自动驾驶中或手动驾驶中。
    [0141]
    这里,依据上述的说明,记述有关本实施方式的tcu100的构成。有关本实施方式的tcu100是由2个以上的子网络构成的车载网络监视系统(控制网络系统的一例)中的通信日志聚合装置,配置在该车载网络监视系统上。tcu100具备:通信部103(取得部的一例),从分别配置在2个以上的子网络系统上的以太网交换机(收集装置的一例)分别取得流信息,以太网交换机收集包含配置在车载网络监视系统上的以太网交换机(观测部的一例,以太网交换机300a等)中流过的消息所包含的流识别信息的流记录、以及基于流识别信息而被分类的每个流的消息数(第一统计信息的一例),流信息包含1个以上的流记录和每个流的消息数;以及流聚合部104(信息处理部的一例),通过进行所取得的1个以上的流信息所包含的1个以上的流记录的选择、基于消息数的第二统计信息(例如,后述的异常标志信息)的追加以及1个以上的流记录的删除中的至少1个,生成聚合流信息,输出所生成的聚合流信息。
    [0142]
    另外,1个以上的流记录的选择,例如包括从1个以上的流记录中选择希望的流记录。此外,1个以上的流记录的删除例如包括从1个以上的流记录中删除希望的流记录。
    [0143]
    [1.7tcu中的流聚合次序]
    [0144]
    图7是表示本实施方式的tcu100中的流聚合次序的图。具体而言,图7是表示在tcu100中聚合从以太网交换机300a、300b、300c及300d通知的流信息的次序的图。
    [0145]
    以太网交换机300a将流信息通知给tcu100(s101)。tcu100的通信部103接收来自以太网交换机300a的流信息。通信部103作为取得部发挥功能。
    [0146]
    tcu100基于接收到的流信息来更新最新流信息(s102)。tcu100的流聚合部104将保存在最新流保持部106中的、与以太网交换机300a对应的流信息(收集处为以太网交换机300a的流信息)基于接收到的流信息进行更新。流聚合部104例如将与以太网交换机300a对应的流信息以规定的间隔(例如60秒)替换为从以太网交换机300a接收到的流信息。例如也可以说流聚合部104将与以太网交换机300a对应的流信息的消息数以规定的间隔(例如60秒)替换为从以太网交换机300a接收到的流信息的消息数。以下所示的步骤s105、s109及s112中的更新处理也同样地进行。
    [0147]
    另外,规定的间隔例如在各以太网交换机中是相同的时间间隔,但也可以相互不同。
    [0148]
    以太网交换机300b将流信息发送给以太网交换机300a(s103)。
    [0149]
    以太网交换机300a将从以太网交换机300b接收到的流信息转送给tcu100(s104)。tcu100的通信部103经由以太网交换机300a接收来自以太网交换机300b的流信息。
    [0150]
    tcu100基于接收到的流信息来更新最新流信息(s105)。在步骤s105中,更新与以太网交换机300b对应的流信息。
    [0151]
    以太网交换机300c将流信息发送给以太网交换机300b(s106)。
    [0152]
    以太网交换机300b将从以太网交换机300c接收到的流信息转送给以太网交换机300a(s107)。
    [0153]
    以太网交换机300a将从以太网交换机300b接收到的流信息(从以太网交换机300c发送的流信息)转送给tcu100(s108)。tcu100的通信部103经由以太网交换机300a接收来自以太网交换机300c的流信息。
    [0154]
    tcu100基于从以太网交换机300a接收到的流信息(从以太网交换机300c发送的流信息)更新最新流信息(s109)。在步骤s109中,更新与以太网交换机300c对应的流信息。
    [0155]
    以太网交换机300d将流信息发送给以太网交换机300a(s110)。
    [0156]
    以太网交换机300a将从以太网交换机300d接收到的流信息转送给tcu100(s111)。tcu100的通信部103经由以太网交换机300a接收来自以太网交换机300d的流信息。
    [0157]
    tcu100基于从以太网交换机300a接收到的流信息(从以太网交换机300d发送的流信息)更新最新流信息(s112)。步骤s112例如由tcu100的流聚合部104执行。在步骤s112中,更新与以太网交换机300d对应的流信息。
    [0158]
    接着,tcu100基于是否满足规定的关系,聚合最新流信息(s113)。步骤s113例如由流聚合部104执行。
    [0159]
    接着,tcu100输出所聚合的流信息(聚合流信息)(s114)。tcu100例如将聚合流信息发送给外部服务器。
    [0160]
    [1.8tcu的流信息聚合流程图]
    [0161]
    图8是本实施方式的tcu100的流信息聚合流程图。图8所示的处理例如由流聚合部104执行。
    [0162]
    tcu100判定是否接收到流信息(s201)。
    [0163]
    在接收到流信息的情况下(s201中为“是”),tcu100更新对应的最新流信息(s202),执行步骤s203。
    [0164]
    此外,在没有接收到流信息的情况下(s201中为“否”),tcu100执行步骤s203。
    [0165]
    接着,tcu100判定是否是进行流聚合的规定的定时(s203)。tcu100例如可以根据从前次进行流聚合起的经过时间来判定当前时间点是否是规定的定时,但判定方法并不限定于此,例如也可以根据是否是规定时刻来判定。
    [0166]
    如果是进行流聚合的定时(s203中为“是”),则tcu100执行步骤s204。
    [0167]
    此外,在不是进行流聚合的定时的情况下(s203中为“否”),tcu100结束处理。
    [0168]
    接着,tcu100进行流聚合处理(s204)。关于具体的流聚合的处理流程,使用图9(第一流聚合方法)、图11(第二流聚合方法)及图13(第三流聚合方法)进行说明。另外,tcu100使用第一流聚合方法~第三流聚合方法中的至少1个流聚合方法进行流信息的聚合。
    [0169]
    然后,tcu100输出所聚合的流信息(聚合流信息)(s205),结束处理。
    [0170]
    [1.9第一流聚合方法的处理流程图]
    [0171]
    图9是本实施方式的tcu100的第一流聚合方法的流程图。图9是表示图8中的步骤s204的流聚合的变形的1个处理方法(第一流聚合方法)的流程图。图9所示的处理例如由流聚合部104执行。
    [0172]
    tcu100确认(判定)在最新流信息之中在不同的收集处间是否存在相同的流(相同流)(s301)。在不同的收集处(例如,不同的以太网交换机)中确认了相同流的情况下(s301中为“是”),tcu100将对应的流信息聚合为1个流信息,作为聚合流信息(s302)。此外,在不同的收集处没有相同流的情况下(s301中为“否”),tcu100将最新流信息作为聚合流信息(s303)。例如,tcu100将最新流信息所包含的全部的流信息作为聚合流信息。另外,是否是相同流,根据流信息是否一致来判定。是否是相同流,是是否满足规定的关系的一例。
    [0173]
    图10是表示本实施方式的基于第一流聚合方法的聚合流信息的输出例的图。在图10中,表示在图5所示的最新流信息的情况下通过第一流聚合方法输出的聚合流(聚合流信息)。由于最新流信息中的第1行的流(第一流)和第4行的流(第二流)是相同流,即发送源ip地址、目的地ip地址、发送源端口、目的地端口、传输协议相同,所以信息被聚合为1个。作为聚合流信息,该流的信息的聚合处为300a及300d,消息数参照某一方(例如,消息数为300a的消息数)。换言之,不包含第一流(例如第一流信息)和第二流(例如第二流信息)中的一方的流记录而生成聚合流信息。
    [0174]
    如上述那样,观测部也可以包括以太网交换机300a(第一观测部的一例)及以太网交换机300d(第二观测部的一例)。tcu100的通信部103从以太网交换机300a取得由该以太网交换机300a收集的第一流信息,从以太网交换机300d取得由该以太网交换机300d收集的第二流信息。并且,tcu100的流聚合部104也可以判定第一流信息所包含的流记录(第一流记录的一例)的流识别信息与第二流信息所包含的流记录(第二流记录的一例)的流识别信息是否相同,在判定结果为相同的情况下,不包含第一流信息所包含的该流记录及第二流信息所包含的该流记录中的一方而生成聚合流信息。
    [0175]
    此外,流信息分别包含收集到的识别以太网交换机的信息(观测部识别信息的一例)。并且,流聚合部104也可以将第一流信息及第二流信息中的该一方的流信息(例如第二流信息)中包含的观测部识别信息追加到第一流信息及第二流信息中的另一方的流信息(例如第一流信息)中。
    [0176]
    由此,能够保留收集处的信息的同时聚合流信息。收集处例如是在外部服务器中的使用聚合流信息的解析时使用。
    [0177]
    另外,相同流并不限定于发送源ip地址、目的地ip地址、发送源端口、目的地端口、传输协议相同,例如也可以是它们中的规定数量的项目相同。
    [0178]
    另外,在上述中对聚合2个流信息的例子进行了说明,但被聚合的流的数量也可以是3个以上。
    [0179]
    [1.10第二流聚合方法的处理流程图]
    [0180]
    图11是本实施方式的tcu100的第二流聚合方法的流程图。图11是表示图8中的步骤s204的流聚合的变形的另一个处理方法(第二流聚合方法)的流程图。图11所示的处理例如由流聚合部104及流验证部105执行。
    [0181]
    tcu100的流验证部105确认(判定)在最新流信息之中在不同的收集处间是否存在相同的流(相同流)(s401)。
    [0182]
    在不同的收集处(例如不同的以太网交换机)确认了相同流的情况下(s401中为“是”),流验证部105确认对应的流信息的接收消息数的差是否包含在规定的值(例如100)以内(s402)。是否包含在规定的值以内,是是否满足规定的关系的一例。
    [0183]
    在由流验证部105判定为在不同的收集处间不存在相同流的情况下(s401中为“否”),tcu100的流聚合部104将最新流信息作为聚合流信息(s405),结束处理。
    [0184]
    此外,在由流验证部105判定为在不同的收集处间存在相同流(s401中为“是”)、并且接收消息数的差包含在规定的值中的情况下(s402中为“是”),tcu100的流聚合部104将对应的流信息聚合为1个,作为聚合流信息(s403),结束处理。
    [0185]
    此外,在由流验证部105判定为在不同的收集处间存在相同流(s401中为“是”)、并且接收消息数的差没有包含在规定的值中的情况下(s402中为“否”),tcu100的流聚合部104对相应的流信息追加异常标志信息,作为聚合流信息(s404),结束处理。
    [0186]
    图12是表示基于第2流聚合方法的聚合流的输出例的图。在图12中,表示在图5所示的最新流信息中第4行的消息数为5000的情况下通过第二流聚合方法输出的聚合流。在图12中,最新流信息中的第1行及第4行的流相同,但由于消息数的差是3000,所以对聚合流信息追加异常标志,相应流信息的异常标志为“1”。异常标志是异常识别标志的一例。
    [0187]
    这样,聚合流信息也可以是对最新流信息追加了异常标志信息的信息。此外,即使是有相同流的情况,在消息数的差没有包含在规定的值中的情况下,也不将各个流信息聚合而生成聚合流信息。
    [0188]
    另外,在图12中,相同流各自的异常标志为“1”,但并不限定于此,只要相同流中的至少1个异常标志是“1”即可。
    [0189]
    另外,例如在步骤s401及s402中为“是”的情况下,异常标志为表示不是异常的“0”。
    [0190]
    另外,在确认到多个相同流的情况下,按每个相同流进行步骤s402~s404的处理。
    [0191]
    如上述那样,第一统计信息包含基于消息的接收量的消息数(统计量的一例)。并且,流聚合部104在第一流信息所包含的流记录(第一流记录的一例)的流识别信息与第二流信息所包含的流记录(第二流记录的一例)的流识别信息相同、进而第一流信息所包含的第一接收量与第二流信息所包含的第二接收量满足规定的关系的情况下,也可以不包含第一流信息所包含的流记录及第二流信息所包含的流记录中的一方而生成聚合流信息。
    [0192]
    此外,也可以说流聚合部104在由以太网交换机300a收集的第一流信息所包含的
    第一流记录的流识别信息与由以太网交换机300d收集的第二流信息所包含的第二流记录的流识别信息相同、并且对于第一流记录的接收量和对于第二流记录的接收量不满足规定的关系的情况下,输出包含第一流记录和第二流记录的聚合流信息。
    [0193]
    此外,也可以是,流聚合部104在第一接收量和第二接收量不满足规定的关系的情况下,还对第一流记录和第二流记录中的至少一方追加表示发生了异常的异常识别标志。例如,流聚合部104也可以对第一流记录和第二流记录双方追加异常识别标志。
    [0194]
    此外,规定的关系也可以包括第一接收量与第二接收量的差(例如消息数的差)为规定的值以内。
    [0195]
    [1.11第三流聚合方法的处理流程图]
    [0196]
    图13是本实施方式的tcu100的第三流聚合方法的流程图。图13是表示图8中的步骤s204的流聚合的变形的再另一个处理方法(第三流聚合方法)的流程图。图13所示的处理例如由流聚合部104执行。流聚合部104也作为车辆状态判定部发挥功能。
    [0197]
    tcu100确认(判定)车辆状态是否是停车中(s501)。tcu100例如也可以基于车辆10的车速,判定车辆状态是否是停车中。
    [0198]
    在车辆状态是停车中的情况下(s501中为“是”),tcu100将最新流信息中的与诊断命令或固件等的更新有关的流信息作为聚合流信息(s502),结束处理。tcu100在步骤s502中,例如仅提取最新流信息中的关于更新的流信息,生成聚合流信息。
    [0199]
    此外,在车辆状态不是停车中的情况下(s501中为“否”),tcu100确认车辆状态是否是自动驾驶中(s503)。tcu100例如也可以基于在车载网络监视系统内是否正在收发关于自动驾驶控制的消息来判定车辆状态是否是自动驾驶中。
    [0200]
    在车辆状态是自动驾驶中的情况下(s503中为“是”),tcu100将最新流信息中的关于自动驾驶控制的流信息作为聚合流信息(s504),结束处理。tcu100在步骤s504中,例如仅提取最新流信息中的关于自动驾驶控制的流信息,生成聚合流信息。
    [0201]
    此外,在车辆状态不是自动驾驶中的情况下(s503中为“否”),tcu100将最新流信息作为聚合流信息(s505),结束处理。tcu100在步骤s505中,例如生成包含最新流信息所包含的全部的流信息的聚合流信息。另外,步骤s503中为“否”的情况例如既可以是手动驾驶中,也可以是充电中。
    [0202]
    图14是表示基于第三流聚合方法的聚合流的输出例的图。在图14中,表示了在最新流信息中在第1行保持有关于信息系通信的流、在第2行保持有关于车身系统控制通信的流、在第3行中保持有关于自动驾驶控制通信的流的例子。此时,假设在tcu100的车辆状态保持部107中保存的车辆状态是自动驾驶中。
    [0203]
    tcu100的流聚合部104从最新流信息之中,仅提取关于自动驾驶控制的流(收集处为300c的流信息),生成包含提取出的流信息的聚合流信息。图14表示了流聚合的结果是仅将第3行的关于自动驾驶控制通信的流作为聚合流输出的例子。
    [0204]
    如上述那样,tcu100具备判定车辆10的车辆状态的流聚合部104(车辆状态判定部的一例)。并且,流聚合部104也可以还基于车辆状态,进行1个以上的流记录的选择、第二统计信息的追加及1个以上的流记录的删除中的至少1个。
    [0205]
    此外,车辆状态也可以包括停车中及自动驾驶中的某一个状态。
    [0206]
    此外,流聚合部104也可以在车辆状态是停车中的情况下,从1个以上的流记录中
    选择与诊断命令及更新命令中的至少一个有关的流记录,生成包含所选择的流记录的聚合流信息。此外,流聚合部104在车辆状态是自动驾驶中的情况下,也可以从1个以上的流记录中选择关于自动驾驶控制的流记录,生成包含所选择的流记录的聚合流信息。此外,流聚合部104在车辆状态不是停车中及自动驾驶中的情况下,也可以生成包含所取得的1个以上的流信息的聚合流信息。此外,流聚合部104也可以判定包括停车中、行驶中的某一个状态的车辆状态作为车辆状态的判定。
    [0207]
    [1.12实施方式1的效果]
    [0208]
    在有关本实施方式的tcu100中,收集从配置在车载网络中的以太网交换机的流收集部302通知的网络通信日志(流信息),在不同的地方收集到的流信息相同的情况下聚合信息。由此,能够聚合在车载网络中转送的消息等的冗长的信息,能够实现通信日志的削减。
    [0209]
    进而,在流聚合部104中,确认在不同的地方收集的流信息的相容性,对于与聚合流信息没有取得相容性的流信息追加异常标志。由此,能够检测通过在1个地方收集的流信息难以检测的异常,通过聚合流信息容易地确认异常的流信息。
    [0210]
    进而,在流聚合部104中,基于在不同的地方收集到的流信息和当前的车辆状态,选择聚合流信息。由此,能够根据车辆的状态仅确认更适当的流信息,能够削减车载网络通信日志。
    [0211]
    这样,有关本实施方式的tcu100在车载网络系统中能够根据有无相同流、异常的检测及车辆状态中的至少1个,适当地聚合通信日志。
    [0212]
    (实施方式2)
    [0213]
    以下,对搭载有多个电子控制单元(ecu)经由以太网进行通信的车载网络(车载网络系统)的车辆中的网络通信日志聚合装置(通信日志聚合装置)进行说明。另外,关于与实施方式1同样的功能的构成要素赋予同样的标号而省略说明。
    [0214]
    [2.1车载网络监视系统的构成]
    [0215]
    图15是本实施方式的车载网络监视系统的构成图。车载网络监视系统搭载与车辆10a。车载网络监视系统是控制网络系统的一例。
    [0216]
    如图15所示,车载网络监视系统具备tcu1100、ecu200a、ecu200b、ecu200c、ecu200d、ecu200e、ecu200f、ecu200g、以太网交换机300a、以太网交换机300b、以太网交换机300c和以太网交换机300d。tcu1100具有与外部网络的连接接口,例如与外部服务器进行通信。
    [0217]
    [2.2tcu的构成图]
    [0218]
    图16是本实施方式的tcu1100的构成图。
    [0219]
    如图16所示,tcu1100具有车外通信部101、应用部102、通信部103、流收集部1104、流聚合部1105、最新流保持部1106和车辆状态保持部107。
    [0220]
    流收集部1104监视通信部103收发的车内的网络中的通信、应用部102的应用间的通信和车外通信部101的通信的消息,基于消息中包含的头信息,收集流信息。
    [0221]
    流信息例如由消息中包含的发送源ip地址、目的地ip地址、发送源端口号、目的地端口号、传输协议的组定义。此外,流信息例如包含观测到消息的数量、消息的总字节数等的流的统计信息。
    [0222]
    流收集部1104将收集到的流信息保持在最新流保持部1106中。
    [0223]
    此外,流收集部1104基于来自应用部102的通知,更新保存在车辆状态保持部107中的车辆状态。
    [0224]
    流聚合部1105以规定的间隔参照保存有由流收集部1104收集到的流的最新流保持部1106和在车辆状态保持部107中保存的车辆状态,输出聚合的流信息。另外,参照车辆状态并不是必须的。
    [0225]
    聚合的流信息例如作为车载网络的通信日志而经由车外通信部101被通知到配置在车外的外部服务器。
    [0226]
    流聚合部1105在聚合流后,更新保存在最新流保持部1106中的流信息。
    [0227]
    最新流保持部1106保持由流收集部1104收集的流信息。关于最新流信息的详细情况在后面叙述。
    [0228]
    [2.3最新流信息的一例]
    [0229]
    图17是表示本实施方式的最新流信息的一例的图。最新流信息保存在最新流保持部1106中。
    [0230]
    在图17中,表示了按每个流保持有接收到的消息数和前次消息数的例子。另外,在图17中,将与车外网络的通信(车外通信)的情况记作“车外”,将应用间的通信(应用间通信)记作“应用间”,将车内网络通信(车内通信)记作“车内”。
    [0231]
    如图17所示,最新流信息的各流包含收集到的地方(收集处)即识别是与车外网络的通信、应用间的通信还是车内网络通信的信息、用来确定流的信息(发送源ip地址、目的地ip地址、发送源端口号、目的地端口号及传输协议的组)、消息的接收数和前次消息数。在前次消息数中保持有前次聚合了流的定时的消息数。
    [0232]
    此外,图17所示的消息数是第一统计信息的一例,前次消息数是前次的第一统计信息的一例。另外,前次消息数也可以是过去的第一统计信息。过去的第一统计信息例如也可以是多次的过去的第一统计信息的平均值等。
    [0233]
    第1行的流表示收集处为“车外网络(车外)”、发送源ip地址为“200.200.200.10”、目的地ip地址为“100.100.100.10”、发送源端口号为“80”、目的地端口号为“50100”、传输协议为“tcp”、接收到的消息数为“100”、前次消息数为“0”。
    [0234]
    第2行的流表示收集处为“车外网络(车外)”、发送源ip地址为“100.100.100.10”、目的地ip地址为“200.200.200.10”、发送源端口号为“50100”、目的地端口号为“80”、传输协议为“tcp”、接收到的消息数为“50”、前次消息数为“0”。
    [0235]
    第3行的流表示收集处为“应用间通信(应用间)”、发送源ip地址为“127.0.0.1”、目的地ip地址为“127.0.0.1”、发送源端口号为“50000”、目的地端口号为“50001”、传输协议为“udp”、接收到的消息数为“10”、前次消息数为“9”。
    [0236]
    关于中途的流信息省略了记载,最后的流表示收集处为“车内网络(车内)”、发送源ip地址为“192.168.1.1”、目的地ip地址为“192.168.1.10”、发送源端口号为“5000”、目的地端口号为“6001”、传输协议为“udp”、接收到的消息数为“2000”、前次消息数为“2000”。
    [0237]
    另外,识别是与车外网络的通信、应用间的通信还是车内网络通信的信息的取得例如由观测部实现。例如,进行由车外通信部101取得的消息是与车外网络的通信的第一判定,进行在应用部102的内部中的应用间通信的消息为应用间的通信的第二判定,进行在车
    内网络中收发的消息为车内网络通信的第三判定。例如,车外通信部101是进行第一判定的第三观测部的一例,应用部102是进行第二判定的第四观测部的一例,通信部103是进行第三判定的第五观测部的一例。
    [0238]
    这样,tcu1100也可以包括观测与车外网络的通信的第三观测部、观测应用间的通信的第四观测部和观测车内网络中的通信的第五观测部。另外,第三观测部~第五观测部也可以由1个构成要素实现,例如也可以由流收集部1104进行。
    [0239]
    另外,图17所示的前次消息数例如也可以包含于实施方式1的图5所示的最新流信息中。
    [0240]
    [2.4流收集流程图]
    [0241]
    图18是本实施方式的tcu1100的流收集流程图。图18是表示tcu1100中的流收集部1104的流收集处理的流程图。
    [0242]
    如图18所示,tcu1100确认(判定)是否接收到消息(s601)。在接收到消息的情况下(s601中为“是”),tcu1100执行步骤s602。此外,在没有接收到消息的情况下(s601中为“否”),tcu1100等待直到接收到消息(再次执行s601)。另外,消息例如由车外通信部101、应用部102及通信部103中的某一个接收。
    [0243]
    接着,tcu1100在接收到消息的情况下(s601中为“是”),确认接收到的消息是否是通过车外通信观测到的消息(s602)。
    [0244]
    在是车外通信的情况下(s602中为“是”),tcu1100将收集处设为“车外通信”,更新最新流信息(s603),结束处理。流收集部1104将设收集处为“车外通信”的流作为最新流信息保存到最新流保持部1106。
    [0245]
    此外,在接收到的消息不是车外通信的情况下(s602中为“否”),tcu1100确认是否是通过车内通信观测到的消息(s604)。
    [0246]
    在接收到的消息是车内通信的情况下(s604中为“是”),tcu1100将收集处设为“车内通信”,更新最新流信息(s605),结束处理。流收集部1104将设收集处为“车内通信”的流作为最新流信息保存到最新流保持部1106。
    [0247]
    此外,在接收到的消息不是通过车内通信观测到的消息情况下(s604中为“否”),tcu1100将收集处设为“应用间通信”,更新最新流信息(s606),结束处理。流收集部1104将设收集处为“应用间通信”的流作为最新流信息保存到最新流保持部1106。
    [0248]
    [2.5流信息聚合流程图]
    [0249]
    图19是本实施方式的tcu1100的流信息聚合流程图。图19是tcu1100中的流聚合部1105聚合流信息的处理的流程图。
    [0250]
    如图19所示,tcu1100判定是否是以规定的间隔到来的流聚合定时(s701)。在不是流聚合定时的情况下(s701中为“否”),tcu1100结束处理。
    [0251]
    此外,在是流聚合定时的情况下(s701中为“是”),tcu1100基于保存在最新流保持部1106中的最新流信息和保存在车辆状态保持部107中的车辆状态,执行流信息的聚合处理(s702)。
    [0252]
    然后,tcu1100输出聚合的流信息(s703),将保存在最新流保持部1106中的最新流信息重置(s704),结束处理。
    [0253]
    在最新流信息的重置中,具体而言,进行将前次消息数用消息数(当前消息数)更
    新、将消息数(下次的消息数)设为0的处理。此外,在最新流信息的重置中,也可以将消息数为0的流信息删除。
    [0254]
    [2.6流聚合处理流程图]
    [0255]
    图20是本实施方式的流聚合处理的详细流程图。图20是具体地表示图19中的流聚合处理(s702)的流程图。图20所示的处理例如由流聚合部1105执行。
    [0256]
    如图20所示,tcu1100确认(判定)当前的车辆状态是否是停车中(s801)。
    [0257]
    tcu1100在车辆状态是停车中的情况下(s801中为“是”),执行步骤s802,在车辆状态不是停车中的情况下(s801中为“否”),执行步骤s804。
    [0258]
    在步骤s801中,在车辆状态是停车中的情况下(s801中为“是”),tcu1100确认是否在多个收集处观测到前次消息数为0的流,即,是否在当前定时观测到了在前次的定时没有被观测到的流(s802)。
    [0259]
    在多个收集处观测到前次消息数为0的流的情况下(s802中为“是”),tcu1100将前次消息数为0的流信息设为聚合流信息(s803)并结束。此外,在没有在多个收集处观测到前次消息数为0的流的情况下(s802中为“否”),结束处理。即,聚合流信息为空。
    [0260]
    此外,tcu1100在步骤s801中车辆状态不是停车中的情况下(s801中为“否”),确认是否观测到前次消息数为0的流(s804)。例如,在步骤s804中,确认是否在1个收集处观测到前次消息数为0的流。在步骤s804中观测的前次消息为0的流的数量例如比在步骤s802中观测的前次消息为0的流的数量少,但并不限定于此。
    [0261]
    由此,在车辆状态不是停车中、即车辆10a是行驶中的情况下,即使前次消息数为0的流被观测到的数量少,也能够生成聚合流信息。因此,能够在更短时间内将聚合流信息发送给外部服务器等。
    [0262]
    此外,在观测到前次消息数为0的流的情况下(s804中为“是”),tcu1100将前次消息数为0的流信息作为聚合流信息(s805),执行步骤s806。
    [0263]
    此外,在没有观测到前次消息数为0的流的情况下(s804中为“否”),tcu1100执行步骤s806。
    [0264]
    接着,tcu1100将前次消息数与消息数比较,确认是否存在消息数增加了规定数量(例如100)以上的流(s806)。作为前次消息数与消息数的比较结果,例如可以计算前次消息数与消息数的差分,该差分是差分信息的一例。
    [0265]
    在存在相应流的情况下(s806中为“是”),tcu1100对聚合流信息追加相应的流信息,进而对符合的流信息添加消息增加标志的信息(s807),结束处理。
    [0266]
    此外,在不存在相应的流的情况下(s806中为“否”),tcu1100结束处理。
    [0267]
    如上述那样,1个以上的流信息还包含前次消息数(前次的第一统计信息的一例)。并且,有关本实施方式的流聚合部1105基于车辆10a的车辆状态和作为消息数及前次消息数的差分的差分信息,生成聚合流信息。
    [0268]
    这里,在图21及图22中表示聚合流信息的输出例。图21是表示本实施方式的聚合流信息的输出例(停车中)的图。图22是表示本实施方式的聚合流信息的输出例(行驶中)的图。另外,行驶中既可以是自动驾驶中也可以是手动驾驶中。
    [0269]
    在图21中,表示在车辆状态为停车中时与保存在最新流保持部1106中的最新流信息对应的聚合流信息的输出例。在图21中,表示了以下的例子:作为最新流信息而存在5个
    流信息,第1、第3、第4行的流信息的前次消息数为0,分别在收集处为“车外”“应用间”“车内”的3个收集处存在前次消息数为0的流信息,所以从最新流信息的第1、第3、第4行的流信息中去除前次消息数的信息后,作为聚合流信息输出。
    [0270]
    流聚合部1105在步骤s803中从图21所示的最新流信息提取前次消息数为“0”的流信息,生成包含所提取的流信息的聚合流信息。也可以说流聚合部1105生成包含在前次的流聚合定时没有观测到、并且在当前的流聚合定时观测到的流信息的聚合流信息。
    [0271]
    在图22中,表示了当车辆状态为行驶中时与保持在最新流保持部1106中的最新流信息对应的聚合流信息的输出例。在图22的例子中,作为最新流信息而存在4个流信息,在第1行存在前次消息数为0的流信息,在第3行存在消息数比前次消息数大100以上的流信息。因此,从最新流信息的第1、第3行,去除前次消息数的信息,进而追加增加标志的信息(最新流信息的第1行的流追加0,第3行的流追加1),作为聚合流信息输出。
    [0272]
    流聚合部1105在步骤s805及s807中,根据图22所示的最新流信息,生成包含前次消息数为“0”的流信息及前次消息数与当前消息数的增加量为规定数量以上的流信息的聚合流信息。对前次消息数为“0”的流信息追加增加标志“0”,对增加量为规定数量以上的流信息追加增加标志“1”。即,将能够识别出前次消息数为“0”的流信息和增加量为规定数量以上的流信息的聚合流信息发送给外部服务器。
    [0273]
    另外,在图20~图22中,对生成包含前次消息数与当前消息数的增加量为规定数量以上的流信息的聚合流信息的例子进行了说明,但流聚合部1105也可以生成包含前次消息数与当前消息数的减少量为规定数量以上的流信息的聚合流信息。例如,流聚合部1105也可以生成包含前次消息数与当前消息数的差分为规定数量以上的流信息的聚合流信息。此外,在此情况下,对于前次消息数与当前消息数的增加量为规定数量以上的流信息、和前次消息数与当前消息数的减少量为规定数量以上的流信息,追加相互不同的增加标志。另外,判定增加量的规定数量和判定减少量的规定数量既可以是相互不同的值,也可以是相同的值。
    [0274]
    如上述那样,流聚合部1105在车辆状态是停车中(s801中为“是”)、并且前次消息数(前次的第一统计信息的一例)为零、并且当前消息数(第一统计信息的一例)为零以外的第三流信息有第1数量以上(s802中为“是”)的情况下,也可以生成包含该第三流信息的聚合流信息(s803)。此外,流聚合部1105在车辆状态不是停车中(s801中为“否”)、并且前次消息数为零、并且当前消息数为零以外的第四流信息有比该第1数量少的第2数量以上的情况下,也可以生成包含该第四流信息的聚合流信息(s805)。
    [0275]
    此外,流聚合部1105也可以还对第三流信息和第四流信息追加相互不同的标志。
    [0276]
    [其他变形例]
    [0277]
    另外,基于上述各实施方式说明了本公开,但本公开当然并不限定于上述各实施方式。以下这样的情况也包含在本公开中。
    [0278]
    (1)在上述的实施方式中,表示了在车载网络中使用以太网的例子,但并不限定于此,也可以是can、can-fd(flexible-datarate)、以太网、lin、flexray,也可以是将其分别组合的构成。
    [0279]
    (2)在上述实施方式中,在tcu上进行流信息的聚合,但也可以不在tcu上进行。例如,也可以在头单元、中央ecu、以太网交换机中的某一个中进行,也可以将流信息向服务器
    上通知而在服务器上进行流聚合。此外,流聚合也可以在车载网络上的多处实施。由此,能够层级性地进行流聚合,对于伴随于通信日志发送的网络通信量的削减是有效的。
    [0280]
    (3)在上述实施方式中,作为网络通信日志而表示了流信息的例子,但不是规定流信息的通信格式。只要将网络的通信消息按照规定的规则分类为流,并包含分类后的流的统计信息即可。例如,流信息的通信格式也可以是ipfix(internet protocol flow information export:互联网协议流信息输出)或netflow(网络流)。
    [0281]
    (4)在上述实施方式中,作为用来确定流的信息而使用发送源ip地址、目的地ip地址、发送源端口号、目的地端口号、传输协议的组,但并不限定于上述。例如,既可以减少所使用的信息,也可以新附加所使用的信息。作为附加的信息,既可以使用在virtual lan中使用的vlan-id,也可以使用应用层的有效载荷中包含的识别符。由此,流的定义变得更灵活,能够进行适合于网络的流信息的收集。
    [0282]
    (5)在上述实施方式中,表示了作为流信息而保持有消息数的例子,但作为流信息并不限于消息数。例如,也可以包括观测到的消息的总字节数、通信时间、通信开始时刻、通信结束时刻等的信息。总字节数、通信时间是统计信息的一例。此外,关于在流验证后追加的异常标志,也可以是异常标志以外的信息。例如也可以是表示检测到的异常的种类的信息。
    [0283]
    (6)在上述实施方式中,将最新流信息以明文的状态保持,但也可以加密而保持。同样,也可以将流信息的通信也加密而进行通信。由此,能够防止流信息的窃听。
    [0284]
    (7)在上述实施方式中,虽然没有言及聚合后的流信息的处置,但也可以将聚合后的流信息发送给车内网络,也可以向外部服务器通知,也可以作为通信日志保持在内部(例如非易失性存储器)。
    [0285]
    (8)在上述实施方式中,tcu以规定的间隔执行流聚合处理,但流聚合处理的执行定时并不限于此。例如,也可以仅在有请求的定时聚合流,也可以根据车辆状态将流的聚合处理的省略或使聚合定时变化,也可以在特定的流信息的接收时执行流聚合处理。
    [0286]
    (9)在上述实施方式中,表示了流验证部在收集处不同的相同流根据收集处而消息数不同的情况下追加异常标志的例子,但追加异常标志的方法并不限于此。例如,通过消息的间隔剔除等,在收集处不同的情况下消息数可能变化。因此,也可以在不满足考虑了间隔剔除的消息数的关系性的情况下追加异常标志。此外,也可以通过其他方法检测异常。例如,也可以将基于规则库或机器学习的异常检测方法组合,当从流信息检测到异常时追加异常标志。由此,在流聚合时能够检测到更多样的异常。
    [0287]
    (10)在上述实施方式中,将最新流信息基于被通知的流信息或以规定的间隔观测到的消息来更新,但也可以将最新流信息标准化为每单位时间的信息而保持。由此,即使在按每个收集处而流信息的收集期间不同的情况下也能够进行比较。
    [0288]
    (11)在上述实施方式中,表示了将聚合流信息原样输出的例子,但也可以进一步减少聚合流信息。例如,也可以先保持前次输出的聚合流信息而仅发送差分,也可以根据收集处而赋予优先级,也可以基于vlan-id或其他的表示流的属性的识别符进行流的再分组、即将具有相同属性的流信息汇集而包含在消息中进行发送并输出。此外,也可以仅在聚合流的尺寸超过了规定值时实施上述处理。
    [0289]
    (12)在上述实施方式中,表示了对聚合流信息追加异常标志、增加标志等信息的
    例子,但也可以不是信息的追加,而进行删除。例如,也可以删除收集处的信息,也可以根据聚合后的流信息或车辆状态而删除认为不需要的信息。
    [0290]
    (13)在上述实施方式中,根据车辆状态变更聚合的流的种类,但也可以不是聚合的流的种类,而是根据流信息的收集处来选择要聚合的流信息。流聚合部例如也可以生成包含从特定的以太网交换机取得的流信息的聚合流信息。特定的以太网交换机也可以被预先设定。此外,流聚合部也可以根据车辆状态,按2个以上的收集处(观测部)的每一个变更优先级。例如,流聚合部也可以在车辆状态为自动驾驶中的情况下(s503中为“是”),使最新流信息中的与自动驾驶控制有关的流信息的优先级高于其他流信息的优先级。
    [0291]
    并且,流聚合部也可以基于变更后的优先级,变更将在多个观测处收集的1个以上的流记录包含到聚合流信息中的比例。即,流聚合部也可以变更在聚合流信息所包含的流信息的选择比例。流聚合部例如在生成包含从第一以太网交换机(例如以太网交换机300a)取得的1个以上的第一流记录和从第二以太网交换机(例如以太网交换机300d)取得的1个以上的第二流记录的聚合流信息的情况下,也可以变更该聚合流信息所包含的第一流记录及第二流记录的选择比例(例如8:2等)。例如,流聚合部在车辆状态是自动驾驶中的情况下,也可以生成将最新流信息中的与自动驾驶控制有关的流信息比其他流信息更多地包含的聚合流信息。
    [0292]
    (14)上述的实施方式的各装置具体而言是由微处理器、rom、ram、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在上述ram或硬盘单元中记录有计算机程序。通过由上述微处理器按照上述计算机程序动作,各装置达成其功能。这里,计算机程序是为了达成规定的功能而将表示对计算机的指令的命令代码组合多个而构成的。
    [0293]
    (15)构成上述实施方式的各装置的构成要素的一部分或全部也可以由1个系统lsi(large scale integration:大规模集成电路)构成。系统lsi是将多个构成部集成在1个芯片上而制造的超多功能lsi,具体而言,是包括微处理器、rom、ram等而构成的计算机系统。在上述ram中记录有计算机程序。通过由上述微处理器按照上述计算机程序动作,系统lsi达成其功能。
    [0294]
    此外,构成上述各装置的构成要素的各部既可以单独地形成1个芯片,也可以包含一部分或全部而形成1个芯片。
    [0295]
    此外,这里设为系统lsi,但根据集成度的差异,也有称作ic、lsi、超级lsi、超大规模lsi的情况。此外,集成电路化的方法并不限于lsi,也可以由专用电路或通用处理器实现。也可以利用在lsi制造后能够编程的fpga(field programmable gate array)、或能够重构lsi内部的电路单元的连接或设定的可重构处理器。
    [0296]
    进而,如果因半导体技术的进步或派生的其他技术而出现替代lsi的集成电路化的技术,则当然也可以使用其技术进行功能块的集成化。有可能是生物技术的应用等。
    [0297]
    (16)构成上述各装置的构成要素的一部分或全部也可以由相对于各装置可拆装的ic卡或单体的模块构成。上述ic卡或上述模块是由微处理器、rom、ram等成的计算机系统。上述ic卡或上述模块也可以包括上述的超多功能lsi。通过由微处理器按照计算机程序动作,上述ic卡或上述模块达成其功能。该ic卡或该模块也可以具有耐篡改性。
    [0298]
    (17)本公开也可以是上述所示的方法。此外,也可以是将这些方法通过计算机实现的计算机程序,也可以是由上述计算机程序构成的数字信号。例如,本公开的一形态也可
    以是使计算机执行在图7~图9、图11、图13、图18~图20中的某一个中表示的通信日志聚合方法中包含的特征性的各步骤的计算机程序。
    [0299]
    此外,本公开也可以将上述计算机程序或上述数字信号记录到计算机可读取的记录介质,例如软盘、硬盘、cd-rom、mo、dvd、dvd-rom、dvd-ram、bd(blu-ray(注册商标)disc)、半导体存储器等中。此外,也可以是记录在这些记录介质中的上述数字信号。
    [0300]
    此外,本公开也可以将上述计算机程序或上述数字信号经由电气通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等传送。
    [0301]
    此外,本公开也可以是具备微处理器和存储器的计算机系统,上述存储器记录有上述计算机程序,上述微处理器按照上述计算机程序而动作。
    [0302]
    此外,也可以通过将上述程序或上述数字信号记录在上述记录介质中并移送,或通过将上述程序或上述数字信号经由上述网络等移送,由独立的其他的计算机系统实施。
    [0303]
    (18)上述实施方式所示的流程图中的各步骤被执行的顺序,是为了具体地说明本公开而用来例示的,也可以是上述以外的顺序。此外,也可以将上述步骤的一部分与其他步骤同时(并行)执行,也可以不执行上述步骤的一部分。
    [0304]
    此外,上述实施方式所示的框图中的功能块的划分是一例,也可以将多个功能块作为一个功能块实现,或将一个功能块划分为多个,或将一部分功能转移到其他功能块中。此外,也可以将具有类似的功能的多个功能块的功能由单一的硬件或软件并行或时间划分地处理。
    [0305]
    (19)在上述实施方式中,对控制网络系统是车载网络监视系统的例子进行了说明,但并不限定于此,也可以是宅内网络系统、设施内(例如医院内)网络系统、工厂内网络系统等。
    [0306]
    (20)也可以将上述实施方式及上述变形例分别组合。
    [0307]
    工业实用性
    [0308]
    本公开对于车载网络系统等的控制网络系统中的通信日志聚合装置等是有效的。
    [0309]
    标号说明
    [0310]
    10、10a车辆
    [0311]
    100、1100tcu
    [0312]
    101车外通信部
    [0313]
    102、202应用部
    [0314]
    103、201、301通信部
    [0315]
    104、1105流聚合部
    [0316]
    105流验证部
    [0317]
    106、1106最新流保持部
    [0318]
    107车辆状态保持部
    [0319]
    200a、200b、200c、200d、200e、200f、200g ecu
    [0320]
    300a、300b、300c、300d以太网交换机
    [0321]
    302、1104流收集部。
    转载请注明原文地址:https://tc.8miu.com/read-61.html

    最新回复(0)