[0001] 本公开涉及网络安全。

[0002] 存在用于保护与网络连接的车辆免受攻击的技术。关于此，例如在专利文献1公开了一种检测非法的装置与网络连接这一情况并阻止该装置进行的通信的通信系统。

[0003] 专利文献1：日本特开2016－139883号公报

[0004] 专利文献2：日本特开2013－009185号公报

[0020] 近年来，汽车的联网化得以发展，能够利用基于无线的网络连接的车辆在增加。通过车辆与服务器装置进行通信，能够将有助于交通安全的信息、最新的交通信息等提供给车辆。

[0021] 在这样的系统中，经由网络的攻击可能成为问题。例如，存在进行对于某个车辆发送非法的交通信息、窃取从该车辆发送出的数据之类的攻击的担忧。攻击还包括脆弱性扫描、蛮力攻击(brute‑force attack)等用于尝试向车辆系统入侵的攻击。

[0022] 检测经由网络对于特定的装置进行了攻击的技术是公知的。然而，在检测到攻击者的情况下，例如若立即截断通信，则由于攻击者能够认识到被从网络排除了，所以有时会改变攻击手法、发信源来继续攻击。即，有时陷入了攻击与防御的重复性无谓动作。

[0023] 本公开的一个方式所涉及的信息处理装置解决上述问题。

[0024] 本公开的第一方式所涉及的攻击检测系统是包括第一装置和第二装置的系统。

[0025] 具体而言，上述第一装置具有执行如下处理的第一控制部：监视对于与网络连接的第一车辆所进行的通信；在检测到从攻击源装置进行了对于上述第一车辆的攻击的情况下，对于上述第二装置发送将模拟了上述第一车辆的车辆系统的蜜罐服务器启动的第一指令；以及将第二指令发送至在上述网络内对向上述第一车辆的通信进行中继的通信装置，该第二指令使从上述攻击源装置发给上述第一车辆的数据包向上述第二装置转送。

[0026] 另外，上述第二装置具有第二控制部，该第二控制部通过模拟了上述第一车辆的车辆系统的上述蜜罐服务器对从上述攻击源装置发给上述第一车辆并被上述通信装置转送的数据包进行处理。

[0027] 蜜罐服务器是具有虚拟地模拟作为攻击对象的第一车辆的车辆系统的功能的服务器。蜜罐服务器也可以通过软件来实现。

[0028] 在监视网络通信并检测到对于第一车辆进行了攻击的情况下，第一装置对于第二装置发送指示将模拟了第一车辆的车辆系统的蜜罐服务器启动的指令(第一指令)。并且，第一装置对于对向第一车辆的通信进行中继的通信装置发送用于将攻击所涉及的数据包转送给第二装置的第二指令。作为该通信装置，例如能够例示位于攻击所涉及的数据包将经过的路径上的网络交换机。

[0029] 第二指令例如能够是用于将从攻击源装置发给第一车辆的数据包的目的地从第一车辆改写为第二装置的指令。由此，能够使发给第一车辆的、攻击所涉及的数据包转送至第二装置。

[0030] 接收到第二指令的通信装置例如将从攻击源装置发给第一车辆的数据包的目的地(例如，IP报头所包括的目的地IP地址)置换为与第二装置对应的IP地址。

[0031] 由此，从攻击源装置发送出的数据包全部朝向在第二装置中执行的蜜罐服务器。

[0032] 由于蜜罐服务器是模拟第一车辆的车辆系统(车载计算机系统)的服务器，所以不会被攻击者察觉到通信对象不是第一车辆，能够保护第一车辆免受攻击。

[0033] 如上所述，第二指令可以指示通信装置将从攻击源装置发给第一车辆的数据包的目的地从第一车辆的IP地址置换为第二装置的IP地址。

[0034] 并且，第二指令可以指示通信装置将从第二装置发给攻击源装置的数据包的发送源从第二装置的IP地址置换为第一车辆的IP地址。

[0035] 根据上述结构，由于从第二装置(蜜罐服务器)发送出的数据包的发送源被置换为第一车辆的IP地址，所以能够隐匿蜜罐服务器正在响应这一情况。

[0036] 并且，第一指令可以还包括与第一车辆相关的信息(第一信息)。第一信息典型的是为了模拟第一车辆所需的信息。

[0037] 在通过蜜罐服务器响应攻击的情况下，若所模拟的车辆的车型、模型名等与实际的车辆不同，则存在被攻击者注意的担忧。鉴于此，可以根据第一指令来将与第一车辆相关的信息发送给第二装置，第二装置基于此来使蜜罐服务器动作。

[0038] 由此，例如蜜罐服务器能够模拟对象车辆的车型、模型，能够降低被攻击者觉察的风险。

[0039] 此外，第一信息除了包括与第一车辆本身相关的信息(车型、模型名等)之外，可以还包括与第一车辆的行驶相关的数据。例如，在能够取得第一车辆的当前位置、速度的情况下，可以使用这些信息来使蜜罐服务器模拟第一车辆的行驶。由此，能够使蜜罐服务器以虚拟的第一车辆在犹如与实际车辆相同的场所行驶的方式动作。

[0040] 并且，在判定为对于第一车辆的攻击结束了的情况下，第一装置可以指示第二装置停止蜜罐服务器。根据上述结构，由于蜜罐服务器仅在发生了攻击的期间启动，所以能够节约计算机资源。

[0041] 以下，基于附图来对本公开的具体的实施方式进行说明。对于各实施方式所记载的硬件构成、模块构成、功能构成等而言，只要没有特别记载，则其主旨并不在于将公开的技术范围仅限定于这些。

[0042] (第一实施方式)

[0043] 参照图1来对第一实施方式所涉及的通信系统的概要进行说明。本实施方式所涉及的通信系统是搭载了车载装置100的车辆10通过无线而实现了网络连接的系统。系统所包括的车辆10(车载装置100)可以为多个。

[0044] 车辆10是具有无线通信功能的联网汽车。车辆10搭载有车载装置100。

[0045] 车载装置100与规定的无线网络(以下，称为车辆网络)连接，能够经由因特网与任意的装置进行通信。车辆网络可以是利用了蜂窝通信方式的移动体通信网络，也可以是利用了Wi－Fi(注册商标)、Bluetooth(注册商标)的无线通信网络。

[0046] 车辆网络与因特网连接。另外，在因特网上配置有用于向车载装置100提供规定的服务的服务器装置600。此外，在本例中举出了车辆网络与因特网连接的例子，但在车辆网络也可以连接有因特网以外的广域网络、专用网络。

[0047] 在车辆网络配置有与车载装置100进行无线通信的接入点、和用于对数据包进行中继的中继装置300。接入点是提供向车辆网络的无线访问的装置。在车辆网络为移动体通信网络的情况下，接入点为基站。中继装置300与接入点连接，供朝向车载装置100的数据包通过。

[0048] 并且，在车辆网络配置有攻击检测装置200(第一装置)以及诱饵装置400(第二装置)。

[0049] 攻击检测装置200检测对于与车辆网络连接了的车辆10(车载装置100)进行了攻击这一情况，执行用于应对该攻击的规定的处理。诱饵装置400是代替作为攻击的对象的车载装置100来对攻击所涉及的数据包进行处理的装置。构成为蜜罐服务器能够在诱饵装置400上执行。

[0050] 关于应对攻击的具体的方法将后述。

[0051] 车载装置100是用于进行信息收集以及信息提供的计算机。在本实施方式中，车载装置100具有收集与车辆10的行驶相关的信息并发送至服务器装置600的功能、和基于从服务器装置600接收到的信息来对于车辆10的乘员进行信息提供的功能。

[0052] 车载装置100可以是向车辆10的乘员提供信息的装置(例如车辆导航装置等)，也可以是车辆10所具有的电子控制单元(ECU)。另外，车载装置100可以是具有通信功能的数据通信模块(DCM)。

[0053] 车载装置100能够构成为具有CPU、GPU等处理器、RAM、ROM等主存储装置、EPROM、硬盘驱动器、可移动介质等辅助存储装置的计算机。在辅助存储装置储存操作系统(OS)、各种程序、各种表等，通过执行储存于此的程序，能够实现后述那样的符合规定的目的的各功能。但是，一部分或者全部功能也可以通过ASIC、FPGA那样的硬件电路来实现。

[0054] 图2是表示车载装置100的构件的图。

[0055] 车载装置100构成为具有控制部101、存储部102、通信部103以及输入输出部104。

[0056] 控制部101是通过执行规定的程序来实现车载装置100的各种功能的运算单元。控制部101例如可以通过CPU等来实现。

[0057] 控制部101构成为具有功能提供部1011作为功能模块。该功能模块可以通过由CPU执行所存储的程序来实现。

[0058] 功能提供部1011执行由车载装置100提供的各种功能。作为由车载装置100提供的功能，例如存在以下那样的功能。

[0059] ·导航功能

[0060] 是基于由服务器装置600提供的地图数据来提供路径导航的功能。

[0061] ·交通信息提供功能

[0062] 是从服务器装置600取得交通信息并进行提供的功能。交通信息可以被提供给车辆10的乘员，也可以提供给控制车辆10的自主行驶、半自主行驶的电子控制单元。

[0063] ·数据发送功能

[0064] 是收集与车辆10的行驶相关的信息(速度信息、位置信息等)并发送给服务器装置600的功能。

[0065] 这些功能例如能够经由输入输出部104(触摸面板)来提供。另外，为了提供这些功能，车载装置100可以具有GPS天线、GPS模块等。

[0066] 功能提供部1011构成为能够通过与服务器装置600进行通信来执行这些功能。

[0067] 存储部102是包括主存储装置以及辅助存储装置的存储器装置。在辅助存储装置储存操作系统(OS)、各种程序以及各种表等，通过将储存于此的程序加载至主存储装置并执行，能够实现后述那样的、符合规定的目的的各功能。

[0068] 主存储装置可以包括RAM(Random Access Memory)、ROM(Read Only Memory)。另外，辅助存储装置可以包括EPROM(Erasable Programmable ROM)、硬盘驱动器(HDD，Hard Disk Drive)。并且，辅助存储装置可以包括可移动介质、即可动记录介质。

[0069] 通信部103是用于将车载装置100与车辆网络连接的无线通信接口。通信部103例如构成为能够通过移动体通信、无线LAN、Bluetooth(注册商标)等通信标准来与车辆网络通信。

[0070] 输入输出部104是受理装置的利用者进行了的输入操作并提示信息的机构。在本实施方式中，由一个触摸面板显示器构成。即，由液晶显示器及其控制机构、触摸面板及其控制机构构成。

[0071] 接下来，对攻击检测装置200进行说明。攻击检测装置200具有：监视对于与车辆网络连接的多个车辆10(车载装置100)的通信的功能、和基于监视的结果来判定对于一个车辆进行攻击这一情况的功能。

[0072] 攻击检测装置200是IDS(Intrusion Detection System)或IPS(Intrusion Prevention System)的一部分。

[0073] 攻击检测装置200在检测到攻击的情况下，生成用于使该攻击所涉及的数据包的目的地变更的指令(第一指令。以下，称为转送指令)，并对于中继装置300进行发送。中继装置300根据转送指令来将攻击所涉及的数据包的目的地从车载装置100变更为诱饵装置400。由此，攻击所涉及的数据包被转送至诱饵装置400。

[0074] 另外，攻击检测装置200在检测到攻击的情况下，生成用于使诱饵装置400启动蜜罐服务器的指令(第二指令。以下，启动指令)，并对于诱饵装置400进行发送。

[0075] 攻击检测装置200能够构成为具有CPU、GPU等处理器、RAM、ROM等主存储装置、EPROM、硬盘驱动器、可移动介质等辅助存储装置的计算机。其中，攻击检测装置200可以由单个计算机构成，也可以由相互协作的多台计算机构成。

[0076] 图3是表示攻击检测装置200的构件的图。攻击检测装置200构成为包括控制部201、存储部202以及通信部203。

[0077] 控制部201是负责攻击检测装置200进行的控制的运算装置。控制部201能够通过CPU等运算处理装置来实现。

[0078] 控制部201构成为具有攻击检测部2011以及处理指令部2012这2个功能模块。各功能模块可以通过由CPU执行被存储于辅助存储机构的程序来实现。

[0079] 攻击检测部2011通过监视经过中继装置300的数据包来判定对于与车辆网络连接的多个车载装置100正进行的通信的内容，判定对哪个车载装置100正进行攻击。例如，被从车辆网络或者与因特网连接的攻击源装置进行攻击。

[0080] 能够通过已知的手法来判定正被进行攻击。例如，公知有将经过中继装置300的数据包的内容与规定的攻击类型进行比较的手法等。

[0081] 攻击检测部2011在判定出对于哪个车载装置100正进行攻击的情况下，基于该攻击所涉及的数据包的内容来确定攻击源装置的IP地址以及作为攻击的对象的车载装置100(以下，称为被攻击装置)的IP地址。

[0082] 在攻击检测部2011检测到攻击的情况下，处理指令部2012进行用于应对该攻击的处置。

[0083] 具体而言，第一，处理指令部2012对于中继装置300发行用于改写攻击所涉及的数据包的IP报头、并向诱饵装置400转送该数据包的转送指令。例如，处理指令部2012为了将发信源是攻击源装置的IP地址、目的地是被攻击装置的IP地址的数据包向诱饵装置400而非车载装置100转送，而对于中继装置300指示IP报头的改写。具体而言，针对发信源为攻击源装置的IP地址、目的地为被攻击装置的IP地址的数据包，发行将该目的地从被攻击装置的IP地址改写为诱饵装置400的IP地址的指令。由此，攻击所涉及的数据包被向诱饵装置400而非攻击对象的车载装置100转送。

[0084] 另外，第二，处理指令部2012对于诱饵装置400发行指示蜜罐服务器的启动的启动指令。

[0085] 通过执行这两个处理，能够在诱饵装置400中启动蜜罐服务器、且使攻击所涉及的数据包朝向诱饵装置400。即，能够通过蜜罐服务器来将攻击无效化。

[0086] 存储部202构成为包括主存储装置和辅助存储装置。主存储装置是供由控制部201执行的程序、该控制程序利用的数据展开的存储器。辅助存储装置是存储在控制部201中执行的程序、该控制程序所利用的数据的装置。

[0087] 通信部203是用于将攻击检测装置200与车辆网络连接的通信接口。通信部203例如构成为包括网络接口板、用于无线通信的无线通信电路。

[0088] 接下来，对中继装置300进行说明。中继装置300是进行对于与车辆网络无线连接了的车载装置100收发的数据包的中继的装置。中继装置300在车辆网络中被配置于朝向车载装置100的全部的数据包所通过的位置。

[0089] 另外，中继装置300具有基于从攻击检测装置200接收到的转送指令来改写将要通过的数据包的IP报头所包括的目的地地址以及发送源地址的功能。

[0090] 中继装置300也与攻击检测装置200同样，能够构成为具有CPU、GPU等处理器、RAM、ROM等主存储装置、EPROM、硬盘驱动器、可移动介质等辅助存储装置的计算机。

[0091] 图4是表示中继装置300的构件的图。中继装置300构成为包括控制部301、存储部302以及通信部303。

[0092] 控制部301是负责中继装置300进行的控制的运算装置。控制部201能够通过CPU等运算处理装置来实现。

[0093] 控制部301构成为具有中继部3011以及地址变换部3012作为功能模块。该功能模块可以通过由CPU执行被存储于辅助存储机构的程序来实现。

[0094] 中继部3011对发往与车辆网络连接的车载装置100的数据包进行中继。该数据包可以是被从因特网等外部网络发送的数据包，也可以是被从车辆网络内发送的数据包。另外，中继部3011具有基于后述的变换表来变更数据包的中继目的地的功能。

[0095] 地址变换部3012基于从攻击检测装置200接收到的转送指令来生成用于进行地址变换的表(变换表)，并基于该变换表来改写将要通过的数据包所包括的IP报头。

[0096] 图5是表示基于转送指令而生成的变换表的例子的图。在接收到具有“变换前”所示的内容的IP报头的数据包的情况下，地址变换部3012将该数据包的IP报头改写为“变换后”所示那样。

[0097] 这里，转送指令包括攻击源装置的IP地址以及被攻击装置的IP地址。

[0098] 接收到转送指令的地址变换部3012生成用于改写IP报头所包括的目的地以及发送源的变换表。

[0099] 具体而言，针对发送源是攻击源装置的IP地址且目的地是被攻击装置的IP地址的数据包，生成将目的地改写为诱饵装置400的IP地址(附图标记501)这一变换表。

[0100] 地址变换部3012基于变换表来改写将要通过的数据包的IP报头所包括的IP地址。IP地址的改写能够利用NAT(Network Address Translation)功能来实现。

[0101] 通过改写了IP报头的数据包在中继部3011被处理，使得从攻击源装置发送并发往被攻击装置的数据包全部被发送至诱饵装置400。

[0102] 另外，针对发送源是诱饵装置的IP地址且目的地是攻击源装置的IP地址的数据包，地址变换部3012生成将发送源改写为被攻击装置的IP地址(附图标记502)这一变换表。

[0103] 由此，从诱饵装置400发送并发给攻击源装置的数据包的发送源IP地址被伪装为被攻击装置的IP地址。

[0104] 通过具有被地址变换部3012改写了的IP报头的数据包经过中继部3011，使得从攻击源装置向被攻击装置发送的数据包全部被诱饵装置400(蜜罐服务器)接收。另外，对于从蜜罐服务器发送出的数据包而言，其发送源被伪装为被攻击装置。

[0105] 即，即便从攻击源装置观察，也难以判别通过蜜罐服务器处理了数据包。

[0106] 由于存储部302以及通信部303与存储部202以及通信部203同样，所以省略说明。

[0107] 接下来，对诱饵装置400进行说明。诱饵装置400是对从攻击源装置发送出的攻击所涉及的数据包进行处理的装置。诱饵装置400构成为能够通过软件来执行蜜罐服务器，通过蜜罐服务器来处理攻击所涉及的数据包。蜜罐服务器是模拟了车载装置100的虚拟的服务器装置。

[0108] 诱饵装置400也与攻击检测装置200同样，能够构成为具有CPU、GPU等处理器、RAM、ROM等主存储装置、EPROM、硬盘驱动器、可移动介质等辅助存储装置的计算机。

[0109] 图6是表示诱饵装置400的构件的图。诱饵装置400构成为包括控制部401、存储部402以及通信部403。

[0110] 控制部401是负责诱饵装置400进行的控制的运算装置。控制部401能够通过CPU等运算处理装置来实现。

[0111] 控制部401构成为具有执行部4011作为功能模块。该功能模块可以通过由CPU执行被存储于辅助存储机构的程序来实现。

[0112] 执行部4011基于从攻击检测装置200接收到的启动指令来执行模拟了作为被攻击装置的车载装置100的蜜罐服务器。

[0113] 其中，启动指令可以包括与作为被攻击装置的车载装置100(或者，搭载了车载装置100的车辆10)相关的信息。例如，执行部4011能够使用启动指令所包括的车辆10的车型、模型名等来模拟车载装置100的动作。另外，在通过虚拟机执行车载装置100的功能的情况下，执行部4011可以取得该虚拟机的实例(instance)，并使用该实例来执行蜜罐服务器。

[0114] 由于存储部402以及通信部403与存储部202以及通信部203同样，因而省略说明。

[0115] 其中，图2、图3、图4以及图6所示的构成是一个例子，图示的功能的全部或者一部分也可以使用被设计为专用的电路来执行。另外，也可以通过图示以外的主存储装置以及辅助存储装置的组合来进行程序的存储或执行。

[0116] 接下来，对使用攻击检测装置200、中继装置300以及诱饵装置400来进行针对攻击的应对的流程更详细地进行说明。

[0117] 图7是在发生了攻击的情况下在系统中执行的处理的时序图。

[0118] 若从攻击源装置对于规定的车载装置100进行了攻击，则攻击检测装置200检测到该情况(步骤S11)。攻击的检测例如能够通过监视经过中继装置300的数据包来进行。

[0119] 攻击检测装置200在检测到攻击的情况下，生成转送指令以及启动指令。具体而言，攻击检测装置200生成包括攻击源装置的IP地址、作为被攻击装置的车载装置100的IP地址的转送指令，并发送至中继装置300(步骤S12)。接收到转送指令的中继装置300基于该转送指令来生成示出图5而说明那样的变换表(步骤S13)。

[0120] 另外，攻击检测装置200生成蜜罐服务器的启动指令，向诱饵装置400发送。接收到启动指令的诱饵装置400启动蜜罐服务器(步骤S14)。

[0121] 若被从攻击源装置持续地发送攻击所涉及的数据包，则中继装置300根据变换表来实施地址变换(步骤S15)。由此，攻击所涉及的数据包的目的地IP地址从作为被攻击装置的车载装置100的IP地址改写为诱饵装置400的IP地址。另外，通过该数据包被中继部3011转送，使得该数据包到达诱饵装置400。

[0122] 诱饵装置400通过蜜罐服务器来处理该数据包(步骤S16)。具体而言，蜜罐服务器如车载装置100根据该攻击所涉及的数据包进行了响应那样动作，生成应答。应答被发送至中继装置300。

[0123] 在被从诱饵装置400发送了应答的情况下，中继装置300根据变换表来改写IP报头(步骤S17)。由此，应答所包括的发送源的IP地址从诱饵装置400的IP地址改写为作为被攻击装置的车载装置100的IP地址。变换后的应答经由中继部3011被发送给攻击源装置。

[0124] 图8是攻击检测装置200执行的处理的流程图。攻击检测装置200除了具有上述那样的检测攻击并开始针对该攻击的应对的功能之外，还具有检测攻击的结束并进行后处理的功能。

[0125] 图示的处理被周期性地执行。

[0126] 首先，在步骤S21中，攻击检测部2011判定对于哪一个车载装置100发生了攻击。在判定为发生攻击的情况下，处理向步骤S22迁移。

[0127] 在步骤S22中，攻击检测部2011判定攻击源装置的IP地址和被攻击装置的IP地址。

[0128] 接下来，在步骤S23中，处理指令部2012生成启动指令，并发送至诱饵装置400。启动指令可以包括与作为攻击对象的车辆10或者车载装置100相关的信息。

[0129] 接下来，在步骤S24中，处理指令部2012生成转送指令并发送至中继装置300。转送指令包括攻击源装置的IP地址和被攻击装置的IP地址。

[0130] 当在步骤S21中未判定为发生攻击的情况下，处理向步骤S25迁移。

[0131] 在步骤S25中，攻击检测部2011对是否已经进行了攻击且该攻击结束进行判定。在本步骤中，例如在一定时间以上未进行攻击的情况下(在未发生来自攻击源的通信的情况、或未检测到攻击的数据包的情况下)，能够判定为攻击结束。在判定为攻击结束的情况下，处理迁移至步骤S26。在攻击未结束的情况下，重复进行处理。

[0132] 在步骤S26中，处理指令部2012生成结束指令并发送至诱饵装置400。结束指令是使启动了的蜜罐服务器的执行结束的指令。由此，诱饵装置400涉及的蜜罐服务器的执行结束。

[0133] 在步骤S27中，处理指令部2012生成转送解除指令并发送至中继装置300。转送解除指令用于指示中继装置300删除变换表。由此，中继装置300进行的数据包向诱饵装置400的转送结束。

[0134] 如以上说明那样，在第一实施方式所涉及的通信系统中，当攻击检测装置200对于任意一个车载装置100检测到攻击的情况下，指示诱饵装置400启动蜜罐服务器，指示中继装置300开始数据包的转送。

[0135] 由于蜜罐服务器模拟作为被攻击装置的车载装置100且中继装置300改写IP报头，所以能够不被攻击者察觉到开始了向蜜罐的引导地处理攻击所涉及的数据包。

[0136] (第二实施方式)

[0137] 第二实施方式是攻击检测装置200对于诱饵装置400通知与搭载了作为被攻击装置的车载装置100的车辆10的行驶相关的信息、诱饵装置400基于此来执行蜜罐服务器的实施方式。

[0138] 在将联网车辆作为攻击对象的情况下，存在攻击者为了确认攻击的成果而监视车辆10的举动等的情况。然而，在蜜罐服务器不返回攻击者设想的反应的情况下，有时攻击者会改变手法来继续攻击。即，蜜罐服务器仅模拟车载装置100的响应是不足的，优选还模拟车辆10的行驶。

[0139] 鉴于此，在本实施方式中，攻击检测装置200使启动指令包括与对象的车辆10的行驶相关的信息(以下，称为车辆信息)，诱饵装置400使用该信息来通过蜜罐服务器模拟车辆10的行驶。

[0140] 作为车辆信息，例如能够例示车辆10的位置信息、行进方向或者速度。车辆信息也可以包括除此以外的信息。

[0141] 攻击检测装置200在检测到攻击的时机收集与车辆10对应的车辆信息，将包括该信息的启动指令发送至诱饵装置400。另外，在诱饵装置400执行的蜜罐服务器基于启动指令所包括的车辆信息来模拟虚拟的车辆10的行驶。蜜罐服务器可以模式受到了攻击的虚拟车辆的举动，返回针对攻击的应答。

[0142] 根据上述方式，能够将表示攻击的成果的虚假的数据提供给攻击者。

[0143] (变形例)

[0144] 上述的实施方式只不过是一个例子，本公开能够在不脱离其要旨的范围内适当地变更来实施。

[0145] 例如，对于在本公开中说明的处理、机构而言，只要不产生技术矛盾，便能够自由地组合来实施。

[0146] 另外，在实施方式的说明中，将攻击检测装置200和车载装置100作为独立的装置进行了例示，但攻击检测装置200与车载装置100也可以是同一装置。该情况下，在车载装置100检测到本装置被攻击了的情况下，可以将该情况通知给中继装置300以及诱饵装置400，各装置响应于此而开始步骤S13及其以后的处理。

[0147] 并且，即便是攻击检测装置200与车载装置100独立的情况，车载装置100自身也可以检测攻击。该情况下，车载装置100将本装置被攻击了这一情况通知给攻击检测装置200，接收到该通知的攻击检测装置200可以开始步骤S12及其以后的处理。

[0148] 另外，攻击检测装置200可以被分为仅进行攻击的检测的装置和基于检测结果来发行第一指令以及第二指令的装置。

[0149] 另外，中继装置300可以被分为基于第一指令来生成变换表的装置和基于该变换表来进行地址变换的通信装置。

[0150] 另外，诱饵装置400可以录入所受到的攻击的内容。由此，能够收集与攻击相关的详细的信息。

[0151] 另外，说明为1个装置进行的处理也可以由多个装置分担执行。或者，说明为不同的装置进行的处理也可以由1个装置执行。在计算机系统中，能够灵活地变更各功能由何种硬件构成(服务器构成)实现。

[0152] 本公开也能够通过将安装了在上述的实施方式中说明的功能的计算机程序供给至计算机、由该计算机所具有的1个以上的处理器读出程序并执行来实现。这样的计算机程序可以通过能够与计算机的系统总线连接的非暂时性的计算机可读存储介质提供给计算机，也可以经由网络来提供给计算机。非暂时性的计算机可读存储介质例如包括磁盘(软(注册商标)盘、硬盘驱动器(HDD)等)、光盘(CD－ROM、DVD盘/蓝光盘等)等任意类型的盘、只读存储器(ROM)、随机访问存储器(RAM)、EPROM、EEPROM、磁卡、闪存、光卡、适于储存电子命令的任意类型的介质。