攻击消除装置、攻击消除方法以及攻击消除程序

摘要

攻击开始时刻确定部(223)基于表示致动器(111)所作用的控制对象(101)的各时刻的状态的各时刻的传感器数据，确定对输出各时刻的传感器数据的传感器(112)的攻击开始的攻击开始时刻。攻击消除信号生成部(224)基于所述攻击开始时刻以后的传感器数据序列和所述攻击开始时刻以后的致动器控制信号序列中的至少任一个，生成作为用于将所述控制对象的状态恢复为所述攻击开始时刻之前的时刻的状态的致动器控制信号序列的攻击消除信号序列。

说明书

技术领域

本发明涉及一种用于消除对传感器的攻击的技术。

背景技术

MEMS传感器是成为将机械部件和电子电路集成为一个的结构的传感器。MEMS是Micro Electro Mechanical System(微机电系统)的简称。

MEMS传感器由于小型，精度高，成本低，因此经常被使用。例如，为了进行汽车的自动驾驶或机器人的自律控制，经常使用MEMS陀螺仪传感器和MEMS加速度传感器。

在使用传感器的测量或控制中，传感器数据的可靠性直接关系到系统的可靠性。因此，对传感器的攻击成为威胁。

但是，对于使用恶意软件以软件方式欺骗传感器数据的攻击，能够通过以往的信息安全技术来应对。

另一方面，对于将物理信号照射到传感器来以物理方式使传感器的状态变动的硬件性攻击，无法通过以往的信息安全技术来应对。

在非专利文献1和非专利文献2中公开了利用超声波分别欺骗MEMS陀螺仪传感器和MEMS加速度传感器的攻击方法。

在声波攻击中，着眼于MEMS传感器包括弹簧和配重。即，利用包括弹簧和配重的物体具有共振频率这样的特性。攻击者通过对MEMS传感器照射与MEMS传感器所具有的共振频率相同的频率的声波，使MEMS传感器的机械部分强制性地共振。其结果，得到异常的传感器输出。

作为对MEMS传感器的声波攻击的对策，存在如下防御方法。

在非专利文献1中公开了基于硬件的应对方式。具体地说，公开了：以物理方式将传感器进行屏蔽；变更传感器的共振频率；以及准备多个相同的传感器并将传感器数据进行比较。

在非专利文献2中公开了基于硬件的应对方式。具体地说，公开了将构成传感器的部件变更为不易受到超声波攻击的影响的部件。并且，在非专利文献2中公开了基于软件的应对方式。具体地说，公开了变更传感器的采样间隔。

作为对MEMS传感器的声波攻击的对策，存在如下探测方法。

非专利文献3着眼于与地磁传感器一起使用MEMS陀螺仪传感器和MEMS加速度传感器的情况多，公开了基于软件的攻击探测方法。具体地说，公开了检查由各种传感器观测出的物理状态的匹配性来探测攻击。

关于非专利文献4至非专利文献6，将在实施方式中提及。

非专利文献1：Son,Yunmok,et al.“Rocking drones with intentional soundnoise on gyroscopic sensors.”24th USENIX Security Symposium(USENIX Security15).2015.

非专利文献2：Timothy Trippel,Ofir Weisse,Wenyuan Xu,Peter Honeyman,andKevin Fu.2017.WALNUT:Waging doubt on the integrity of mems accelerometerswith acoustic injection attacks.In Security and Privacy(EuroS&P),2017IEEEEuropean Symposium on.IEEE,3-18.

非专利文献3：NASHIMOTO,Shoei,et al.Sensor CON-Fusion:Defeating KalmanFilter in Signal Injection Attack.In:Proceedings of the 2018on AsiaConference on Computer and Communications Security.ACM,2018.p.511-524.

非专利文献4：Urbina,David I.,et al.“Attacking Fieldbus Communicationsin ICS:Applications to the SWaT Testbed.”SG-CRC.2016.

非专利文献5：Ljung,Lennart.“System identification.”Signal analysis andprediction.Birkhauser,Boston,MA,1998.163-173.

非专利文献6：GREWAL,MOHINDER S.,and ANGUS P.ANDREWS.“Kalman Filtering:Theory and Practice Using MATLAB.”(2001).

发明内容

发明要解决的问题

在非专利文献1或非专利文献2中公开了基于硬件的应对方式。但是，在该应对方式中，需要对传感器本身进行加工，因此成本变高。另外，覆盖传感器的方法有可能对其它传感器产生影响。因而，有可能对测量性能产生不良影响。

在非专利文献2中公开了基于软件的应对方式。但是，在该应对方式中，存在只能应用于有限的传感器这样的通用性的问题。具体地说，在变更采样间隔这样的应对方式中，以传感器的使用者能够设定传感器的采样间隔为前提。

在非专利文献3中公开了基于软件的攻击探测方法。但是，在非专利文献3中未公开探测出攻击的情况下的应对方法。因此，探测出攻击的控制对象变得异常。

本发明的目的在于能够消除对传感器的攻击。

用于解决问题的方案

本发明的攻击消除装置具备：

攻击开始时刻确定部，基于表示致动器所作用的控制对象的各时刻的状态的各时刻的传感器数据，确定对输出各时刻的传感器数据的传感器的攻击开始的攻击开始时刻；以及

攻击消除信号生成部，基于所述攻击开始时刻以后的传感器数据序列和所述攻击开始时刻以后的致动器控制信号序列中的至少任一个，生成作为用于将所述控制对象的状态恢复为所述攻击开始时刻之前的时刻的状态的致动器控制信号序列的攻击消除信号序列。

发明的效果

根据本发明，能够生成攻击消除信号序列。而且，致动器按照所生成的攻击消除信号序列进行动作，由此控制对象恢复为攻击前的状态。也就是说，能够消除对传感器的攻击。

附图说明

图1是实施方式1中的攻击消除系统100的结构图。

图2是实施方式1中的攻击消除装置200的结构图。

图3是与实施方式1中的致动器111及传感器112有关的序列图。

图4是与实施方式1中的控制器113有关的序列图。

图5是与实施方式1中的攻击分数计算部211、攻击判定部212以及攻击开始时刻确定部223有关的序列图。

图6是与实施方式1中的攻击消除信号生成部224有关的序列图。

图7是与实施方式1中的控制信号输出部230有关的序列图。

图8是实施方式1中的攻击开始时刻和特定阈值的说明图。

图9是表示实施方式1中的攻击开始时刻确定部223的动作的流程图。

图10是表示实施方式1中的攻击开始时刻确定部223的动作的流程图。

图11是实施方式1中的攻击消除信号序列的说明图。

图12是实施方式1中的攻击消除信号生成部224的动作<第一方法>的流程图。

图13是实施方式1中的攻击消除信号生成处理(S210)的流程图。

图14是实施方式1中的攻击消除信号生成处理(S220)的流程图。

图15是实施方式1中的数据序列变换处理(S222)的流程图。

图16是实施方式1中的攻击消除信号生成部224的动作<第二方法>的流程图。

图17是实施方式1中的攻击消除信号生成处理(S320)的流程图。

图18是实施方式2中的攻击消除系统100的结构图。

图19是实施方式2中的攻击消除装置200的结构图。

图20是与实施方式2中的临时控制信号生成部241有关的序列图。

图21是实施方式2中的临时控制信号生成部241的动作[第一方法]的流程图。

图22是实施方式2中的临时控制信号生成处理(S420)的流程图。

图23是实施方式2中的临时控制信号生成部241的动作[第二方法]的流程图。

图24是实施方式2中的临时控制信号生成处理(S520)的流程图。

图25是与实施方式2中的控制信号输出部230有关的序列图。

图26是实施方式中的攻击消除装置200的硬件结构图。

(附图标记说明)

100：攻击消除系统；101：控制对象；110：控制系统；111：致动器；112：传感器；113：控制器；200：攻击消除装置；201：处理器；202：存储器；203：传感器数据输入接口；204：控制信号输入接口；205：控制信号输出接口；209：处理电路；210：攻击探测部；211：攻击分数计算部；212：攻击判定部；220：攻击消除部；221：传感器数据保存部；222：控制信号保存部；223：攻击开始时刻确定部；224：攻击消除信号生成部；230：控制信号输出部；240：临时控制部；241：临时控制信号生成部。

具体实施方式

在实施方式和图中，对相同的要素或对应的要素附加了相同的符号。适当省略或简化附加了与已说明的要素相同的符号的要素的说明。图中的箭头主要表示数据的流动或处理的流程。

实施方式1.

基于图1至图17说明攻击消除系统100。

***结构的说明***

基于图1说明攻击消除系统100的结构。

攻击消除系统100具备控制系统110和攻击消除装置200。

控制系统110具备控制对象101、致动器111、传感器112以及控制器113。

控制对象101是成为被控制的对象的物(特别是设备)。例如，控制对象101是无人驾驶飞机(drone)。

致动器111是作用于控制对象101的致动器。例如，在控制对象101是无人驾驶飞机的情况下，致动器111是旋翼(rotor)。

传感器112是用于观测控制对象101的状态的传感器。例如，在控制对象101是无人驾驶飞机的情况下，传感器112是测量无人驾驶飞机的倾斜和无人驾驶飞机的姿势的倾斜传感器。

控制器113是对控制对象101进行控制的控制器。例如，在控制对象101是无人驾驶飞机的情况下，控制器113是飞行控制器。

攻击消除装置200具备攻击分数计算部211、攻击判定部212、传感器数据保存部221、控制信号保存部222、攻击开始时刻确定部223、攻击消除信号生成部224以及控制信号输出部230。

稍后叙述要素间的数据和信号的流动。

基于图2说明攻击消除装置200的结构。

攻击消除装置200是具备处理器201、存储器202、传感器数据输入接口203、控制信号输入接口204以及控制信号输出接口205之类的硬件的计算机。这些硬件经由信号线相互连接。

处理器201是进行运算处理的IC(Integrated Circuit：集成电路)，控制其它硬件。例如，处理器201是CPU或DSP。CPU是Central Processing Unit(中央处理单元)的简称。DSP是Digital Signal Processor(数字信号处理器)的简称。

存储器202存储数据。例如，存储器202是RAM、ROM、快闪存储器、HDD、SSD或它们的组合。RAM是Random Access Memory(随机存取存储器)的简称。ROM是Read Only Memory(只读存储器)的简称。HDD是Hard Disk Drive(硬盘驱动器)的简称。SSD是Solid State Drive(固态硬盘)的简称。

传感器数据输入接口203是用于受理传感器数据的接口。例如，传感器数据输入接口203是I2C接口、SPI或Ethernet接口。I2C是Inter-Integrated Circuit的简称。SPI是Serial Peripheral Interface(串行外围接口)的简称。

控制信号输入接口204是用于受理致动器控制信号的接口。例如，控制信号输入接口204是I2C接口、SPI或Ethernet接口。

控制信号输出接口205是用于输出致动器控制信号的接口。例如，控制信号输出接口205是DAC(Digital Analog Converter：数字模拟转换器)。

致动器控制信号是用于控制致动器111的信号。

“Ethernet”是注册商标。

攻击消除装置200具备攻击探测部210、攻击消除部220以及控制信号输出部230之类的要素。这些要素是通过软件来实现的。

攻击探测部210具备攻击分数计算部211和攻击判定部212。

攻击消除部220具备传感器数据保存部221、控制信号保存部222、攻击开始时刻确定部223以及攻击消除信号生成部224。

在存储器202中存储有用于使计算机作为攻击探测部210、攻击消除部220以及控制信号输出部230发挥功能的攻击消除程序。

处理器201一边执行OS，一边执行攻击消除程序。OS是Operating System(操作系统)的简称。

执行攻击消除程序来得到的数据被存储在存储器202、处理器201内的寄存器、或处理器201内的快闪存储器之类的存储装置中。

攻击消除装置200也可以具备代替处理器201的多个处理器。多个处理器分担处理器201的作用。

攻击消除程序能够以计算机能够读取的方式记录(保存)在光盘或快闪存储器等非易失性的记录介质中。

***动作的说明***

攻击消除系统100(特别是攻击消除装置200)的动作相当于攻击消除方法。另外，攻击消除方法的过程相当于攻击消除程序的过程。

基于图3至图7说明攻击消除系统100的动作。

基于图3说明致动器111、传感器112以及传感器数据保存部221各自的动作。

致动器111按照从后述的控制信号输出部230输出的致动器控制信号进行动作。由此，致动器111作用于控制对象101。

传感器112在各时刻测量控制对象101的状态。由此，传感器112观测控制对象101的状态的变化。

传感器112在各时刻输出传感器数据。传感器数据表示时刻和状态值。状态值表示控制对象101的状态。

从传感器112输出的传感器数据被分别输入到控制器113、攻击分数计算部211以及传感器数据保存部221。

对于传感器数据保存部221，在各时刻从传感器112输入传感器数据。传感器数据保存部221受理所输入的传感器数据。

传感器数据保存部221将所受理的传感器数据逐次保存到存储器202。

存储器202的容量有限，因此传感器数据保存部221也可以利用如环形缓冲器(ring buffer)那样的保存方法。

环形缓冲器具有如下数据结构。在环形缓冲器中，直到所保存的数据的大小成为规定大小为止，保存全部数据。但是，在所保存的数据的大小超过规定大小的情况下，从旧的数据起按顺序进行盖写。

传感器数据保存部221输出被保存在存储器202中的传感器数据序列(参照图6)。

从传感器数据保存部221输出的传感器数据序列被输入到攻击消除信号生成部224。

传感器数据序列是按时刻顺序排列的一个以上的传感器数据。

基于图4说明控制器113和控制信号保存部222各自的动作。

对控制器113预先设定有用于控制致动器111的控制算法。

对于控制器113，在各时刻从传感器112输入传感器数据。控制器113受理所输入的传感器数据。

控制器113对所受理的传感器数据执行控制算法。由此，生成致动器控制信号。

假定控制对象101是无人驾驶飞机，致动器111是旋翼，传感器112是倾斜传感器。在该情况下，控制器113被输入表示无人驾驶飞机的倾斜的倾斜数据。然后，控制器113基于倾斜数据生成针对旋翼的控制信号。针对旋翼的控制信号是PWM信号或交流信号。PWM是Pulse Width Modulation(脉冲宽度调制)的简称。

将由控制器113生成的致动器控制信号称为“通常控制信号”。

控制器113输出所生成的通常控制信号。

从控制器113输出的通常控制信号被分别输入到控制信号保存部222和控制信号输出部230。

对于控制信号保存部222，在各时刻从控制器113输入通常控制信号。控制信号保存部222受理所输入的通常控制信号。

控制信号保存部222将所受理的通常控制信号保存到存储器202。此外，信号被变换为数据后被保存。

存储器202的容量有限，因此控制信号保存部222也可以利用如环形缓冲器那样的保存方法。

控制信号保存部222从存储器202输出所保存的通常控制信号序列(参照图6)。

从控制信号保存部222输出的通常控制信号序列被输入到攻击消除信号生成部224。

通常控制信号序列是按时刻顺序排列的一个以上的通常控制信号。

基于图5说明攻击分数计算部211、攻击判定部212以及攻击开始时刻确定部223各自的动作。

对于攻击分数计算部211，在各时刻从传感器112输入传感器数据。攻击分数计算部211受理所输入的传感器数据。

攻击分数计算部211从受理的传感器数据提取攻击特征，基于提取出的攻击特征计算攻击分数。

攻击特征是在进行了攻击的情况下在传感器数据中表现出的特征。

攻击分数表示进行了攻击的可能性的高低。

关于攻击分数，能够利用以往方法来进行计算。例如，攻击分数计算部211利用非专利文献3所公开的方法来计算攻击分数。

在非专利文献3所公开的方法中，使用各种传感器，基于各种传感器数据验证物理状态的不匹配。

具体地说，在非专利文献3中公开了使用被称为AHRS的倾斜传感器的攻击探测方法。AHRS包括陀螺仪传感器、加速度传感器以及磁传感器。AHRS是Attitude HeadingReference System(姿态航向基准系统)的简称。陀螺仪传感器和加速度传感器分别能够测量重力。陀螺仪传感器和磁传感器分别能够测量地磁。因此，能够求出利用两种方法测量的两个重力的误差和利用两种方法测量的两个地磁的误差。而且，在传感器被攻击的情况下各误差变大，因此能够探测出攻击。因而，在非专利文献3的攻击探测方法的情况下，攻击分数成为利用两种方法测量的两个重力的误差和利用两种方法测量的两个地磁的误差。

攻击分数计算部211输出所计算出的攻击分数。

从攻击分数计算部211输出的攻击分数被分别输入到攻击判定部212和攻击开始时刻确定部223。

对于攻击判定部212，在各时刻从攻击分数计算部211输入攻击分数。攻击判定部212受理所输入的攻击分数。

攻击判定部212基于所受理的攻击分数判定有无对传感器112的攻击。各时刻的攻击分数是基于各时刻的传感器数据计算的，因此可以换句话说攻击判定部212基于各时刻的传感器数据判定各时刻有无攻击。

例如，预先设定判定阈值。然后，攻击判定部212将攻击分数与判定阈值进行比较，基于比较结果判定有无攻击。

例如，在攻击分数高于判定阈值的情况下，攻击判定部212判定为“有攻击”。“有攻击”意味着进行了攻击。

在非专利文献4中说明了基于传感器数据的攻击分数的计算和使用阈值的攻击判定的方法。

攻击判定部212输出攻击判定结果。

从攻击判定部212输出的攻击判定结果被分别输入到攻击消除信号生成部224和控制信号输出部230。

对于攻击开始时刻确定部223，在各时刻从攻击分数计算部211输入攻击分数。攻击开始时刻确定部223受理所输入的攻击分数。

攻击开始时刻确定部223基于各时刻的攻击分数确定对传感器112的攻击开始的时刻。各时刻的攻击分数是基于各时刻的传感器数据计算的，因此可以换句话说攻击开始时刻确定部223基于各时刻的传感器数据确定攻击开始时刻。

例如，预先设定特定阈值。然后，攻击开始时刻确定部223将攻击分数与特定阈值进行比较，基于比较结果判定有无攻击。

例如，攻击开始时刻确定部223将攻击分数超过特定阈值的时刻确定为攻击开始时刻。

在该情况下，由攻击开始时刻确定部223使用的特定阈值低于由攻击判定部212使用的判定阈值。也就是说，攻击开始时刻确定部223的阈值与攻击判定部212的阈值相比灵敏度高。

在攻击开始时刻确定部223利用与攻击判定部212中的方法同样的方法确定攻击开始时刻的情况下，攻击开始时刻确定部223的阈值必须与攻击判定部212的阈值相比灵敏度高。阈值的灵敏度的差异源自如下事实。

在攻击探测中需要减少错误探测。因此，需要使阈值具有某种程度的余量。但是，在该情况下，虽然知道攻击显著化的时刻，但是不知道攻击开始的时刻。因此，提高用于确定攻击开始时刻的阈值的灵敏度。由此，能够确定更接近攻击实际开始的时刻的时刻。

此外，能够预想到攻击探测的阈值被设定为在即使控制对象101受到攻击也不导致控制对象101变得异常这样的条件下错误探测最低的值。但是，在探测攻击后不应对攻击的情况下，存在控制对象101的状态变得异常的可能性。这是因为，在攻击开始以后，传感器112成为完全不能使用的状态，因此无法期待自然的恢复。

基于图8说明判定阈值与特定阈值的差异。

判定阈值是由攻击判定部212使用的阈值。换言之，判定阈值是攻击探测部210中的探测基准。

特定阈值是由攻击开始时刻确定部223使用的阈值。换言之，特定阈值是攻击开始时刻确定部223中的特定基准。

[攻击开始时刻]是攻击实际开始的时刻。

[攻击结束时刻]是攻击实际结束的时刻。

横轴表示时间，纵轴表示攻击分数。

在图8中，在某一时刻攻击开始，在某一时刻探测出攻击，在某一时刻控制对象101变得异常，在某一时刻攻击结束。

由于特定阈值低于判定阈值，也就是说，特定阈值的灵敏度高，因此攻击开始时刻被确定在正常的时间段。当攻击实际开始时攻击分数上升，在某一时刻攻击分数超过判定阈值，从而探测出攻击。

如图8所示，存在所确定的攻击开始时刻为比实际的攻击开始时刻在前的时刻的可能性。但是，所确定出的攻击开始时刻的控制对象101的状态是正常的。因此，将控制对象101的状态恢复为所确定出的攻击开始时刻的状态是没有问题的。相反地，在所确定的攻击开始时刻为比实际的攻击开始时刻在后的时刻的情况下，所确定出的攻击开始时刻的控制对象101的状态是异常的。因此，将控制对象101的状态恢复为所确定出的攻击开始时刻的状态是有问题的。因而，需要将实际的攻击开始时刻以前的时刻确定为攻击开始时刻。

因此，将与判定阈值相比灵敏度高的阈值用作特定阈值。

并且，攻击开始时刻确定部223将攻击分数超过特定阈值的时刻存储一定时间。其理由如下。

在攻击开始后攻击分数发生变动而低于特定阈值哪怕只有一点的情况下，如果不在攻击开始以前将攻击分数超过的时刻存储一定时间，则攻击分数超过特定阈值的时刻被复位。因此，导致所确定的攻击开始时刻成为实际的攻击开始时刻后的时刻。

因此，攻击开始时刻确定部223使用超阈值计数器。

超阈值计数器是用于将攻击分数超过特定阈值的时刻存储一定时间的计数器。

在攻击分数未超过特定阈值的情况下，攻击开始时刻确定部223使超阈值计数器递减。

攻击分数未超过特定阈值一定时间的情况下，攻击开始时刻确定部223将攻击开始时刻进行复位。

由此，能够将确定过一次的攻击开始时刻存储一定时间。

基于图9和图10说明攻击开始时刻确定部223的动作的过程。

在步骤S101中，攻击开始时刻确定部223受理攻击分数。

在步骤S102中，攻击开始时刻确定部223将攻击分数与特定阈值进行比较。

在攻击分数高于特定阈值的情况下，处理进入步骤S111。

在攻击分数为特定阈值以下的情况下，处理进入步骤S121。

在步骤S111中，攻击开始时刻确定部223对超阈值计数器设定规定值。

在步骤S112中，攻击开始时刻确定部223判定攻击开始时刻是否为复位状态(0)。

在攻击开始时刻是复位状态的情况下，认为攻击正在继续。在该情况下，攻击开始时刻不被变更，处理进入步骤S113。

在攻击开始时刻不是复位状态的情况下，也就是说在攻击开始时刻是某一时刻的情况下，处理进入步骤S114。

在步骤S113中，攻击开始时刻确定部223将当前时刻设为攻击开始时刻。

在步骤S114中，攻击开始时刻确定部223输出攻击开始时刻。

在步骤S114之后，处理结束。

在步骤S121中，攻击开始时刻确定部223使超阈值计数器递减。

在步骤S122中，攻击开始时刻确定部223将超阈值计数器的值与计数器阈值进行比较。计数器阈值是预先决定的值。例如，计数器阈值是0。

在超阈值计数器的值小于计数器阈值的情况下，处理进入步骤S123。

在超阈值计数器的值为计数器阈值以上的情况下，处理进入步骤S124。

在步骤S123中，攻击开始时刻确定部223将攻击开始时刻进行复位。具体地说，攻击开始时刻确定部223将“0”设为攻击开始时刻。

在步骤S124中，攻击开始时刻确定部223输出攻击开始时刻。

在步骤S124之后，处理结束。

返回到图5，继续说明攻击开始时刻确定部223。

攻击开始时刻确定部223输出所确定出的攻击开始时刻。

从攻击开始时刻确定部223输出的攻击开始时刻被输入到攻击消除信号生成部224。

基于图6说明攻击消除信号生成部224的动作。

对于攻击消除信号生成部224，在各时刻从攻击判定部212输入攻击判定结果。攻击消除信号生成部224受理所输入的攻击判定结果。

对于攻击消除信号生成部224，在各时刻从攻击开始时刻确定部223输入攻击开始时刻。攻击消除信号生成部224受理所输入的攻击开始时刻。

对于攻击消除信号生成部224，从传感器数据保存部221输入传感器数据序列。攻击消除信号生成部224受理所输入的传感器数据序列。

对于攻击消除信号生成部224，从控制信号保存部222输入通常控制信号序列。攻击消除信号生成部224受理所输入的通常控制信号序列。

攻击消除信号生成部224基于攻击判定结果、攻击开始时刻、传感器数据序列以及通常控制信号序列，生成攻击消除信号序列。

攻击消除信号序列是按时间序列排列的一个以上的攻击消除信号。

攻击消除信号是用于将控制对象101的状态恢复为正常时的状态的致动器控制信号。

但是，攻击消除信号生成部224也可以使用传感器数据序列和通常控制信号序列中的一方来生成攻击消除信号序列。

将不使用通常控制信号序列而使用传感器数据序列的方法称为<第一方法>。在<第一方法>中，不需要控制信号保存部222。

将不使用传感器数据序列而使用通常控制信号序列的方法称为<第二方法>。在<第二方法>中，不需要传感器数据序列的整体，但是需要攻击开始时刻之前的时刻的传感器数据。

将使用传感器数据序列和通常控制信号序列这两方的方法称为<第三方法>。

说明<第一方法>。

在<第一方法>中，传感器数据序列被反转，一边将反转后的传感器数据序列按逆序追溯，一边生成致动器控制信号。生成的一个致动器控制信号是攻击消除信号序列。

基于图11说明<第一方法>的概要。

虚线的波形表示所受理的传感器数据序列。

实线的波形表示加工后的传感器数据序列。

横轴表示时间，纵轴表示传感器数据的值。

首先，在控制对象101启动之后，使控制对象101待机，将控制对象101设为稳定的状态。

然后，攻击消除信号生成部224基于待机中的传感器数据序列决定基准值。

基准值是表示待机中的控制对象101的状态的值。

接着，攻击消除信号生成部224从受理的传感器数据序列中提取攻击开始时刻以后的传感器数据序列。将被提取的传感器数据序列称为“异常数据序列”。

接着，攻击消除信号生成部224使异常数据序列相对于基准值轴翻折。由此，得到物理含义反转的异常数据序列。

并且，攻击消除信号生成部224在时间轴上使异常数据序列变成逆序。也就是说，攻击消除信号生成部224将异常数据序列中的各值的排列顺序从由旧到新改变为由新到旧。

将加工后的异常数据序列称为“攻击消除数据序列”。

然后，攻击消除信号生成部224对攻击消除数据序列执行控制算法。由此，生成攻击消除信号序列。

由攻击消除信号生成部224执行的控制算法与由控制器113执行的控制算法相同。

攻击消除信号序列是按时间序列排列的一个以上的攻击消除信号。攻击消除信号序列与异常数据序列同样地具有时间宽度。

<第一方法>在传感器数据序列具有线性的情况下特别有效。这是因为，在传感器数据序列具有线性的情况下可加性成立。

基于图12说明<第一方法>的过程。

在步骤S201中，攻击消除信号生成部224进行待机直到控制对象101变得稳定为止。

具体地说，攻击消除信号生成部224进行待机直到从控制对象101启动后起经过一定时间为止。

在步骤S202中，攻击消除信号生成部224受理待机中的传感器数据序列。

在步骤S203中，攻击消除信号生成部224基于待机中的传感器数据序列决定基准值。

例如，攻击消除信号生成部224计算待机中的传感器数据序列中的平均值、中央值或众数。计算出的值是基准值。

步骤S201至步骤S203仅在控制对象101启动时执行即可。

在步骤S210中，攻击消除信号生成部224使用所决定的基准值生成攻击消除信号序列。

基于图13说明攻击消除信号生成处理(S210)的过程。

在步骤S211中，攻击消除信号生成部224受理攻击判定结果。

在步骤S212中，攻击消除信号生成部224基于攻击判定结果判定有无攻击。

在判定为“有攻击”的情况下，处理进入步骤S213。

在判定为“无攻击”的情况下，处理进入步骤S215。

在步骤S213中，攻击消除信号生成部224受理攻击开始时刻和传感器数据序列。

在步骤S220中，攻击消除信号生成部224基于在步骤S213中受理的攻击开始时刻、在步骤S213中受理的传感器数据序列以及在步骤S203中决定的基准值，生成攻击消除信号序列。

稍后叙述攻击消除信号生成处理(S220)的过程。

在步骤S214中，攻击消除信号生成部224输出攻击消除信号序列。

具体地说，攻击消除信号生成部224将包含在攻击消除信号序列中的一个以上的攻击消除信号按时间序列顺序一个一个地输出。

在步骤S214之后，攻击消除信号生成处理(S210)结束。

在步骤S215中，攻击消除信号生成部224输出伪信号序列来作为攻击消除信号序列。

伪信号序列是一个以上的伪值。伪值可以是任意的值。例如，伪值是“0”。

在步骤S215之后，攻击消除信号生成处理(S210)结束。

基于图14说明攻击消除信号生成处理(S220)的过程。

在步骤S221中，攻击消除信号生成部224从在步骤S213中受理的传感器数据序列中提取攻击开始时刻以后的传感器数据序列。

将被提取的传感器数据序列称为“异常数据序列”。

但是，攻击消除信号生成部224也可以提取比攻击开始时刻在前的时刻以后的传感器数据序列。由此，能够将控制对象101的状态恢复为比攻击开始时刻在前的时刻的状态。

在步骤S222中，攻击消除信号生成部224将异常数据序列变换为攻击消除数据序列。

基于图15说明数据序列变换处理(S222)。

在步骤S2221中，攻击消除信号生成部224使异常数据序列的各传感器数据值相对于基准值反转。

具体地说，攻击消除信号生成部224使异常数据序列的各传感器数据值相对于基准值如下那样转变。

首先，攻击消除信号生成部224从传感器数据值减去基准值。

接着，攻击消除信号生成部224将减去后的传感器数据值的符号(正负)进行反转。

然后，攻击消除信号生成部224从符号反转后的传感器数据值减去基准值。

减去后的传感器数据值是相对于基准值反转后的传感器数据值。

通过计算式(1)，能够使异常数据序列的各传感器数据值相对于基准值反转。

“S’”是相对于基准值反转后的传感器数据值。

“S”是异常数据序列的传感器数据值。

“std”是基准值。

S’＝-(S-std)+std

＝2std-S (1)

在步骤S2222中，攻击消除信号生成部224使时间序列中的各传感器数据值的顺序颠倒。

步骤S2222后的异常数据序列是攻击消除数据序列。

返回到图14，说明步骤S223。

在步骤S223中，攻击消除信号生成部224对攻击消除数据序列执行控制算法。由此生成的致动器控制信号序列是攻击消除信号序列。

在步骤S223中执行的控制算法与控制器113中的控制算法相同。

说明<第二方法>。

在<第二方法>中，通过将控制对象101的正常的状态与由于因攻击引起的错误的控制而变得异常的控制对象101的状态相互进行比较，生成使异常的状态恢复为正常的状态的致动器控制信号序列。生成的致动器控制信号序列是攻击消除信号序列。

为了判断控制对象101的正常的状态，攻击消除信号生成部224从受理的传感器数据序列中提取紧接攻击开始时刻之前的传感器数据值。

为了推测控制对象101的异常的状态，攻击消除信号生成部224从受理的通常控制信号序列中提取攻击开始时刻以后的通常控制信号序列。将被提取的通常控制信号序列称为“异常控制信号序列”。

然后，攻击消除信号生成部224通过利用状态估计算法，确定控制对象101的状态为何种异常的状态。

并且，攻击消除信号生成部224为了使控制对象101从异常的状态恢复为正常的状态而生成致动器控制信号序列。生成的致动器控制信号序列是攻击消除信号序列。

<第二方法>在传感器数据序列具有非线性的情况下特别有效。

基于图16说明<第二方法>的过程。

在步骤S311中，攻击消除信号生成部224受理攻击判定结果。

在步骤S312中，攻击消除信号生成部224基于攻击判定结果判定有无攻击。

在判定为“有攻击”的情况下，处理进入步骤S313。

在判定为“无攻击”的情况下，处理进入步骤S315。

在步骤S313中，攻击消除信号生成部224受理攻击开始时刻、通常控制信号序列以及传感器数据序列。

在步骤S320中，攻击消除信号生成部224基于攻击开始时刻、通常控制信号序列以及传感器数据序列生成攻击消除信号序列。

稍后叙述攻击消除信号生成处理(S320)的过程。

在步骤S314中，攻击消除信号生成部224输出攻击消除信号序列。

具体地说，攻击消除信号生成部224将包含在攻击消除信号序列中的一个以上的攻击消除信号按时间序列顺序一个一个地输出。

在步骤S314之后，处理结束。

在步骤S315中，攻击消除信号生成部224输出伪信号序列来作为攻击消除信号序列。

伪信号序列是一个以上的伪值。伪值可以是任意的值。例如，伪值是“0”。

在步骤S315之后，处理结束。

基于图17说明攻击消除信号生成处理(S320)的过程。

在步骤S321中，攻击消除信号生成部224从在步骤S313中受理的通常控制信号序列中提取攻击开始时刻以后的通常控制信号序列。

将被提取的通常控制信号序列称为“异常控制信号序列”。

但是，攻击消除信号生成部224也可以提取比攻击开始时刻在前的时刻以后的通常控制信号序列。由此，能够将控制对象101的状态恢复为比攻击开始时刻在前的时刻的状态。

在步骤S322中，攻击消除信号生成部224使用异常控制信号序列执行状态估计算法。由此，估计当前的控制对象101的状态、即控制对象101的异常的状态。将表示异常的状态的值称为“异常状态值”。

例如，为了执行状态估计算法，能够利用基于系统同定的状态估计器或卡尔曼滤波器。

关于基于系统同定的状态估计器，在非专利文献5中进行了说明。

关于卡尔曼滤波器，在非专利文献6中进行了说明。

在步骤S323中，攻击消除信号生成部224从在步骤S313中受理的传感器数据序列中提取攻击开始时刻之前的时刻的传感器数据。具体地说，攻击消除信号生成部224提取紧接攻击开始时刻之前的传感器数据。

被提取的传感器数据表示控制对象101的正常的状态。将表示正常的状态的值称为“正常状态值”。

但是，攻击消除信号生成部224也可以受理攻击开始时刻之前的时刻的传感器数据以代替在步骤S313中受理传感器数据序列。

在步骤S324中，攻击消除信号生成部224计算异常状态值与正常状态值的差分。将计算出的差分称为“状态变化量”。

状态变化量是从在步骤S323中提取出的传感器数据所表示的状态向在步骤S322中估计出的状态的变化量。

在步骤S325中，攻击消除信号生成部224基于状态变化量生成攻击消除信号序列。

具体地说，攻击消除信号生成部224生成抵消状态变化量的致动器控制信号序列。也就是说，攻击消除信号生成部224生成用于使控制对象101的状态恢复状态变化量的大小的致动器控制信号序列。生成的致动器控制信号序列是攻击消除信号序列。

假定控制对象101是无人驾驶飞机，致动器111是旋翼，传感器112是倾斜传感器。

倾斜传感器测量无人驾驶飞机在世界坐标系中的倾斜。世界坐标系中的无人驾驶飞机的倾斜是用侧倾(roll)、俯仰(pitch)以及横摆(yaw)这三个值表示的。在该情况下，无人驾驶飞机绕侧倾轴旋转的量、绕俯仰轴旋转的量、绕横摆轴旋转的量成为状态变化量。

攻击消除信号生成部224生成以使无人驾驶飞机绕侧倾轴、绕俯仰轴以及绕横摆轴反向旋转状态变化量的大小的方式使旋翼动作的一个以上的致动器控制信号。生成的一个以上的致动器控制信号是攻击消除信号序列。

例如，在绕侧倾轴、俯仰轴以及横摆轴中的任意轴的正10度的旋转是状态变化量的情况下，用于使得绕该轴旋转负10度的致动器控制信号是攻击消除信号。

说明<第三方法>。在<第三方法>中，使用传感器数据序列和通常控制信号序列生成攻击消除信号序列。

攻击消除信号生成部224如下生成攻击消除信号序列。

首先，攻击消除信号生成部224使用传感器数据序列，通过<第一方法>生成攻击消除信号序列。将生成的攻击消除信号序列称为“第一候选序列”。

另外，攻击消除信号生成部224使用通常控制信号序列，通过<第二方法>生成攻击消除信号序列。将生成的攻击消除信号序列称为“第二候选序列”。

然后，攻击消除信号生成部224使用第一候选序列和第二候选序列，生成攻击消除信号序列。

例如，攻击消除信号生成部224按时间序列求出第一候选序列中的攻击消除信号的信号值与第二候选序列中的攻击消除信号的信号值的平均。求出的平均的时间序列成为攻击消除信号序列。

返回到图6，继续说明攻击消除信号生成部224。

攻击消除信号生成部224输出所生成的攻击消除信号序列。

从攻击消除信号生成部224输出的攻击消除信号序列被输入到控制信号输出部230。

基于图7说明控制信号输出部230的动作。

对于控制信号输出部230，在各时刻从攻击判定部212输入攻击判定结果。控制信号输出部230受理所输入的攻击判定结果。

对于控制信号输出部230，在各时刻从控制器113输入通常控制信号。控制信号输出部230受理所输入的通常控制信号。

对于控制信号输出部230，从攻击消除信号生成部224输入攻击消除信号序列。控制信号输出部230受理所输入的攻击消除信号序列。

控制信号输出部230基于攻击判定结果选择通常控制信号和攻击消除信号序列中的某一方。

在攻击判定结果表示“无攻击”的情况下，控制信号输出部230选择通常控制信号。

在攻击判定结果表示“有攻击”的情况下，控制信号输出部230选择攻击消除信号序列。

在选择了通常控制信号的情况下，控制信号输出部230输出通常控制信号。从控制信号输出部230输出的通常控制信号被输入到致动器111。

致动器111受理所输入的通常控制信号，按照所受理的通常控制信号进行动作。由此，致动器111作用于控制对象101，控制对象101改变状态。

在选择了攻击消除信号序列的情况下，控制信号输出部230输出攻击消除信号序列。具体地说，控制信号输出部230直到从临时控制信号生成部241输入伪信号为止，按从临时控制信号生成部241输出的顺序输出攻击消除信号。

从控制信号输出部230输出的攻击消除信号被输入到致动器111。

致动器111受理所输入的攻击消除信号，按照所受理的攻击消除信号进行动作。由此，致动器111作用于控制对象101，控制对象101改变状态。

***实施方式1的效果***

在实施方式1中，使用攻击开始时刻与传感器数据序列的组、或攻击开始时刻与致动器控制信号序列的组。然后，确定由于攻击而控制对象101的状态如何变化、或者由于错误地进行的控制而控制对象101成为何种状态，生成用于进行使控制对象101恢复为正常状态的控制的攻击消除信号。由此，能够使控制对象101从因攻击引起的异常状态恢复。

对于攻击消除装置200，只要从控制系统110输入传感器数据和致动器控制信号即可。因此，不需要加工传感器112。另外，也不会对传感器112产生不良影响。

传感器112不限定于特定的传感器。对温度传感器、光传感器或压力传感器等、例举的倾斜传感器以外的传感器112也能够应用实施方式1。另外，也不存在能够对传感器112设定采样周期之类的特别的条件。

攻击消除装置200利用异常的传感器数据或者异常的致动器控制信号，生成攻击消除信号。因此，即使是完全无法利用正常的传感器数据的状况，也能够使控制对象101从因攻击引起的异常状态恢复。

***其它结构***

也可以是攻击探测部210和攻击消除部220各自具备攻击分数计算部(211)。

各个攻击分数计算部(211)既可以用相同的方法计算攻击分数，也可以用不同的方法计算攻击分数。

攻击判定部212使用由攻击探测部210的攻击分数计算部211计算出的攻击分数。

攻击开始时刻确定部223使用由攻击消除部220的攻击分数计算部计算出的攻击分数。

也可以将攻击消除装置200与控制器113合并。

攻击消除装置200也可以包括多台装置。例如，也可以通过外部的攻击探测装置来实现攻击探测部210。

在用<第一方法>生成攻击消除信号的情况下，攻击消除装置200也可以不具备控制信号保存部222。

实施方式2.

关于应对在使控制对象101从异常状态恢复后也继续的攻击的方式，基于图18至图25主要说明与实施方式1的不同点。

***结构的说明***

基于图18说明攻击消除系统100的结构。

攻击消除系统100如在实施方式1中说明的那样具备控制系统110和攻击消除装置200。

攻击消除装置200除了在实施方式1中说明的要素以外，还具备临时控制信号生成部241。

基于图19说明攻击消除装置200的结构。

攻击消除装置200除了在实施方式1中说明的要素以外，还具备临时控制部240。

临时控制部240具备临时控制信号生成部241。

攻击消除程序还使计算机作为临时控制部240发挥功能。

***动作的说明***

基于图20说明临时控制信号生成部241的动作。

对于临时控制信号生成部241，在各时刻从攻击判定部212输入攻击判定结果。临时控制信号生成部241受理所输入的攻击判定结果。

对于临时控制信号生成部241，在各时刻从攻击开始时刻确定部223输入攻击开始时刻。临时控制信号生成部241受理所输入的攻击开始时刻。

对于临时控制信号生成部241，从传感器数据保存部221输入传感器数据序列。临时控制信号生成部241受理所输入的传感器数据序列。

对于临时控制信号生成部241，从控制信号保存部222输入通常控制信号序列。临时控制信号生成部241受理所输入的通常控制信号序列。

临时控制信号生成部241基于攻击判定结果、攻击开始时刻、传感器数据序列以及通常控制信号序列，生成临时控制信号序列。

临时控制信号序列是在未进行对传感器112的攻击的情况下的预测的致动器控制信号序列。

临时控制信号序列包括按时间序列排列的一个以上的临时控制信号。

临时控制信号是预测出的正常的致动器控制信号。

但是，临时控制信号生成部241使用传感器数据序列和通常控制信号序列中的一方，生成临时控制信号序列。

将不使用通常控制信号序列而使用传感器数据序列的方法称为[第一方法]。

将不使用传感器数据序列而使用通常控制信号序列的方法称为[第二方法]。

说明[第一方法]。

在[第一方法]中，基于正常的传感器数据序列预测未来的序列，生成与预测出的传感器数据序列对应的致动器控制信号序列。生成的致动器控制信号序列是临时控制信号序列。

基于图21说明[第一方法]的过程。

在步骤S411中，临时控制信号生成部241受理攻击判定结果。

在步骤S412中，临时控制信号生成部241基于攻击判定结果来判定有无攻击。

在判定为“有攻击”的情况下，处理进入步骤S413。

在判定为“无攻击”的情况下，处理进入步骤S417。

在步骤S413中，临时控制信号生成部241受理攻击开始时刻和传感器数据序列。

在步骤S420中，临时控制信号生成部241基于攻击开始时刻和传感器数据序列，生成临时控制信号序列。

稍后叙述临时控制信号生成处理(S420)的过程。

在步骤S414中，临时控制信号生成部241输出临时控制信号序列。

具体地说，临时控制信号生成部241将包含在临时控制信号序列中的一个以上的临时控制信号按时间序列顺序一个一个地输出。

在步骤S415中，临时控制信号生成部241受理下一个攻击判定结果。

在步骤S416中，临时控制信号生成部241基于下一个攻击判定结果来判定有无攻击。

在判定为“有攻击”的情况下，处理进入步骤S414。

在判定为“无攻击”的情况下，处理结束。

在步骤S417中，临时控制信号生成部241输出伪信号序列来作为临时控制信号序列。

伪信号序列是一个以上的伪值。伪值可以是任意的值。例如，伪值是“0”。

在步骤S417之后，处理结束。

基于图22说明临时控制信号生成处理(S420)的过程。

在步骤S421中，临时控制信号生成部241从受理的传感器数据序列中提取攻击开始时刻以前的传感器数据序列。

将被提取的传感器数据序列称为“正常数据序列”。

在步骤S422中，临时控制信号生成部241对正常数据序列执行预测算法。由此，生成预测数据序列。

预测算法是用于基于过去的传感器数据序列预测未来的传感器数据序列的算法。

预测数据序列是攻击开始时刻以后的预测的传感器数据序列。

作为预测算法，可举出回归分析。回归分析常被用作时间序列数据分析。

例如，利用预测算法，基于正常数据序列估计ARIMA模型。然后，基于ARIMA模型生成预测数据序列。ARIMA是Seasonal Autoregressive Integrated Moving Average(季节性自回归综合移动平均线)的简称。

即使是攻击开始时刻以后的传感器数据，如果不是完全变得异常则也能够利用。临时控制信号生成部241也可以从攻击开始时刻以后的传感器数据中部分地取出能够利用于致动器111的控制的信息，利用取出的信息(正常的部分的信息)。

例如，在已知由于攻击而仅仅在各传感器数据中产生偏倚的情况下，临时控制信号生成部241将提取出的传感器数据序列与过去的传感器数据序列进行比较，基于比较结果从提取出的传感器数据序列中去除偏倚，基于去除偏倚后的传感器数据序列生成预测数据序列。

例如，在对各传感器数据所表示的3轴的值中的1轴的值进行了攻击的情况下，临时控制信号生成部241也可以利用各传感器数据所表示的其余2轴的值。

在步骤S423中，临时控制信号生成部241对预测数据序列执行控制算法。由此生成的致动器控制信号序列是临时控制信号序列。

在步骤S423中执行的控制算法与控制器113中的控制算法相同。

说明[第二方法]。

在[第二方法]中，基于正常的致动器控制信号序列预测未来的致动器控制信号序列。预测出的致动器控制信号序列是临时控制信号序列。

基于图23说明[第二方法]的过程。

在步骤S511中，临时控制信号生成部241受理攻击判定结果。

在步骤S512中，临时控制信号生成部241基于攻击判定结果来判定有无攻击。

在判定为“有攻击”的情况下，处理进入步骤S513。

在判定为“无攻击”的情况下，处理进入步骤S517。

在步骤S513中，临时控制信号生成部241受理攻击开始时刻和通常控制信号序列。

在步骤S520中，临时控制信号生成部241基于攻击开始时刻和通常控制信号序列生成临时控制信号序列。

稍后叙述临时控制信号生成处理(S520)的过程。

在步骤S514中，临时控制信号生成部241输出临时控制信号序列。

具体地说，临时控制信号生成部241将包含在临时控制信号序列中的一个以上的临时控制信号按时间序列顺序一个一个地输出。

在步骤S515中，临时控制信号生成部241受理下一个攻击判定结果。

在步骤S516中，临时控制信号生成部241基于下一个攻击判定结果判定有无攻击。

在判定为“有攻击”的情况下，处理进入步骤S514。

在判定为“无攻击”的情况下，处理结束。

在步骤S517中，临时控制信号生成部241输出伪信号序列来作为临时控制信号序列。

伪信号序列是一个以上的伪值。伪值可以是任意的值。例如，伪值是“0”。

在步骤S417之后，处理结束。

基于图24说明临时控制信号生成处理(S520)的过程。

在步骤S521中，临时控制信号生成部241从受理的通常控制信号序列中提取攻击开始时刻以前的通常控制信号序列。

将被提取的通常控制信号序列称为“正常控制信号序列”。

在步骤S522中，临时控制信号生成部241对正常控制信号序列执行预测算法。由此，生成预测控制信号序列。生成的预测控制信号序列是临时控制信号序列。

预测算法是用于基于过去的致动器控制序列预测未来的致动器控制信号序列的算法。

预测控制信号序列是基于正常控制信号序列预测出的未来的致动器控制信号序列。

作为预测算法，可举出回归分析。回归分析常被用作时间序列数据分析。

例如，利用预测算法，基于正常控制信号序列估计ARIMA模型。然后，基于ARIMA模型生成预测控制信号序列。

与在[第一方法]中部分地利用传感器数据序列同样地，临时控制信号生成部241也可以部分地利用通常控制信号序列。

在步骤S423中，临时控制信号生成部241对预测数据序列执行控制算法。由此生成的致动器控制信号序列是临时控制信号序列。

在步骤S423中执行的控制算法与控制器113中的控制算法相同。

返回到图20，继续说明临时控制信号生成部241。

临时控制信号生成部241输出所生成的临时控制信号序列。

从临时控制信号生成部241输出的临时控制信号序列被输入到控制信号输出部230。

基于图25说明控制信号输出部230的动作。

对于控制信号输出部230，在各时刻从攻击判定部212输入攻击判定结果。控制信号输出部230受理所输入的攻击判定结果。

对于控制信号输出部230，在各时刻从控制器113输入通常控制信号。控制信号输出部230受理所输入的通常控制信号。

对于控制信号输出部230，从攻击消除信号生成部224输入攻击消除信号序列。控制信号输出部230受理所输入的攻击消除信号序列。

对于控制信号输出部230，从临时控制信号生成部241输入临时控制信号序列。控制信号输出部230受理所输入的临时控制信号序列。

控制信号输出部230基于攻击判定结果，选择通常控制信号以及攻击消除信号序列与临时控制信号序列的组中的某一方。

在攻击判定结果表示“无攻击”的情况下，控制信号输出部230选择通常控制信号。

在攻击判定结果表示“有攻击”的情况下，控制信号输出部230选择攻击消除信号序列与临时控制信号序列的组。

在选择了通常控制信号的情况下，控制信号输出部230输出通常控制信号。从控制信号输出部230输出的通常控制信号被输入到致动器111。

致动器111受理所输入的通常控制信号，按照所受理的通常控制信号进行动作。由此，致动器111作用于控制对象101，控制对象101改变状态。

在选择了攻击消除信号序列与临时控制信号序列的组的情况下，控制信号输出部230在输出攻击消除信号序列之后输出临时控制信号序列。

具体地说，控制信号输出部230直到从临时控制信号生成部241输入伪信号为止，按从临时控制信号生成部241输出的顺序输出各攻击消除信号。在从开始了攻击消除信号序列的输出时起到临时控制信号序列的输出结束为止的期间，控制信号输出部230将临时控制信号按从临时控制信号生成部241输出的顺序保存到缓冲器。在攻击消除信号序列的输出结束之后，控制信号输出部230按保存在缓冲器中的顺序输出各临时控制信号。

从控制信号输出部230输出的各攻击消除信号被输入到致动器111。致动器111受理所输入的各攻击消除信号，按照所受理的各攻击消除信号进行动作。由此，致动器111作用于控制对象101，控制对象101改变状态。

从控制信号输出部230输出的各临时控制信号被输入到致动器111。致动器111受理所输入的各临时控制信号，按照所受理的各临时控制信号进行动作。由此，致动器111作用于控制对象101，控制对象101改变状态。

***实施方式2的效果***

在使控制对象101从攻击的影响恢复之后对传感器112的攻击仍继续的情况下，攻击消除装置200利用临时控制信号使致动器111动作。由此，即使是由于攻击而无法利用传感器112的状况，也能够使对控制对象101的控制继续。

***实施方式的补充***

基于图26说明攻击消除装置200的硬件结构。

攻击消除装置200具备处理电路209。

处理电路209是实现攻击探测部210、攻击消除部220、控制信号输出部230以及临时控制部240的硬件。

处理电路209既可以是专用的硬件，也可以是执行被保存在存储器202中的程序的处理器201。

在处理电路209是专用的硬件的情况下，处理电路209例如是单一电路、复合电路、被编程的处理器、被并行编程的处理器、ASIC、FPGA或它们的组合。

ASIC是Application Specific Integrated Circuit(专用集成电路)的简称，FPGA是Field Programmable Gate Array(现场可编程门阵列)的简称。

攻击消除装置200也可以具备代替处理电路209的多个处理电路。多个处理电路分担处理电路209的作用。

在攻击消除装置200中，也可以将一部分功能通过专用的硬件来实现，将其余的功能通过软件或固件来实现。

这样，处理电路209能够通过硬件、软件、固件或它们的组合来实现。

实施方式是优选的方式的例示，不是意图限制本发明的技术范围。实施方式既可以部分地实施，也可以与其它方式进行组合来实施。也可以适当变更使用流程图等说明的过程。

作为攻击消除装置200的要素的“部”也可以被称为“电路”、“工序”、“过程”或“处理”。