编辑推荐:
基于时空特征融合的车载CAN入侵检测系统研究提出时空双分支检测架构,空间分支采用Transformer建模DLC和8字节负载分布,时间分支通过统计周期特征检测时序异常,结合精度优先的AND融合策略有效识别Flooding、Fuzzing、Replay等攻击。实验在Hyundai、Kia、Chevrolet等车型公开数据集上验证,F1分数达98.7%,计算开销降低40%。|车载CAN入侵检测|时空特征融合|Transformer模型|轻量级架构|周期异常检测|恶意流量识别
Hyunjun Jo | Deok-hwan Kim
电气与计算机工程系,仁荷大学,仁川,22212,韩国
摘要
随着智能连接车辆的普及以及UNECE R155和ISO/SAE 21434等法规的收紧,对车辆控制器局域网(CAN)中轻量级、可靠的入侵检测需求日益增加。本文提出了一种入侵检测系统(IDS),该系统能够独立建模空间(有效载荷,包括数据长度代码DLC)和时间(到达间隔)特征,并在决策阶段将它们融合在一起。空间检测器对DLC和八个有效载荷字节进行分词处理,使用Transformer学习每个标识符(ID)的分布,并通过负对数似然(NLL)标记异常。时间检测器从良性日志中估计每个ID的标称周期,并检测与这些标称值的偏差。这两种输出通过以精度为导向的AND策略进行组合。在包含现代索纳塔(Hyundai Sonata)、起亚索尔(Kia Soul)和雪佛兰Spark的公共数据集上,该IDS在帧级和窗口级都取得了较高的F1分数。特别是时间线索使得在仅通过有效载荷难以区分的情况下也能实现检测。总体而言,所提出的IDS在检测性能和计算成本之间取得了良好的平衡,支持在基于CAN的车辆网络中的实际部署。
引言
智能连接车辆(ICVs)通过网络链接与外部环境进行通信,大大扩展了现代车辆中电子控制单元(ECUs)的作用[1]。然而,这种连接性引入了严重的安全风险,包括隐私泄露、经济损失和对公共安全的威胁。高调的远程入侵事件——最著名的是Jeep Cherokee黑客事件——突显了汽车网络安全的紧迫性[2]。值得注意的是,自动驾驶的商业化以及UNECE WP.29和ISO/SAE 21434等国际标准的颁布,已将车辆网络安全问题从纯粹的技术问题转变为监管和工业要求[3][4]。因此,原始设备制造商(OEMs)和一级供应商(Tier-1 suppliers)必须建立网络安全管理系统(CSMS)并在生产车辆中部署检测和响应能力,使得入侵检测系统(IDS)成为当务之急。
控制器局域网(CAN)因其高可靠性、可预测的实时行为、易于维护和成本效益而被广泛采用,作为车辆通信的骨干[5]。尽管具有这些优势,但传统的CAN最初是为可信的封闭环境设计的,缺乏访问控制、身份验证和加密等基本安全机制。攻击者利用这些弱点发起拒绝服务(DoS)、模糊攻击、欺骗攻击、重放攻击和故障注入攻击,这些攻击可能导致电子控制单元(ECUs)故障,危及运行安全[6][7]。
传统的边界控制措施(防火墙、访问控制、身份验证)通常对已知威胁有效,但无法检测新的或不断演变的攻击场景。因此,IDS是加强车辆网络安全的关键机制。大多数先前的汽车IDS研究要么关注CAN流量的空间属性(有效载荷值和标识符间关系),要么关注时间属性(周期性和顺序),但很少同时考虑两者。基于有效载荷的方法在检测欺骗和篡改方面有效,但仍容易受到 flooding、重放等时间扰动攻击的影响[8][9]。相比之下,基于序列或周期性的方法在识别与标称计划的偏差方面表现出色,但在处理微妙的数据操作时存在困难[10][11]。混合方法同时建模时空特征,利用基于熵的特征选择实现稳定的分类[12],而基于长短期记忆(LSTM)的时间序列学习能够捕捉消息连续性[13],集成方案结合了互补的分类器以实现高准确率和低误报率[14]。然而,在资源受限的ECUs上部署这些方法仍然具有挑战性,因为许多方法采用复杂的架构,占用大量资源,需要较长的观察窗口,从而增加计算成本和偏差,并降低可解释性。
为了解决这些限制,我们提出了一种IDS,它独立建模CAN流量的空间和时间特征,然后通过轻量级的决策级融合将它们结合起来。空间分支采用基于Transformer的模型,支持并行计算,并捕捉消息之间的长距离、全局依赖性,这有利于在异构CAN流量中检测异常[15]。时间分支采用基于规则的周期测量方法,估计每个CAN ID(ECU)的标称到达间隔,并利用振荡器差异产生的稳定时钟偏移效应;偏差表明存在时间扰动,如 flooding和重放[16]。最后,使用以精度为导向的AND策略融合两种输出,并可选地通过窗口聚合进行稳定处理,以减轻单一分支的弱点,从而在各种攻击类型下实现强大的检测能力,同时保持可部署性和可解释性。我们的贡献如下:
时间异常检测器。 从良性日志中统计每个ID的到达间隔分布,并在有效周期显著缩短时标记异常,从而无需长时间上下文缓冲即可快速检测时间异常。
空间异常检测器。 对数据长度代码(DLC)和有效载荷字节进行分词处理,以学习每个ID的分布,并执行负对数似然(NLL)阈值判断以确定异常。该模块对有效载荷篡改敏感,不需要专有的信号定义或消息字典,从而实现跨车辆间的直接传输。
轻量级融合。 融合模块在帧级别结合时间和空间检测器的二进制输出。只有当两个检测器都对同一帧触发时,才声明该帧为异常。对于窗口级警报,如果窗口包含至少一个融合后的异常帧,则标记为异常。最后,基于有效载荷目录的即时提升机制通过覆盖融合后的决策并直接将疑似重放的模式提升为警报来加强重放检测。
本文的其余部分组织如下:第2节提供关于汽车CAN的背景信息,包括CAN总线特性和攻击类型;第3节介绍文献综述;第4节详细说明方法论;第5节报告实验和评估结果;第6节讨论发现及其意义;第7节进行总结;第8节概述局限性和未来工作方向。
部分摘录
CAN总线的特性分析
CAN总线是车辆内部通信的事实标准协议[5]。根据ISO 11898标准化,它提供了高可靠性、鲁棒性和高效的带宽利用率[17]。传统的CAN数据帧包含七个字段(表1)。帧开始(SOF;1位,显性)标志着传输的开始,并同步总线上的节点。仲裁字段携带消息ID,并通过非破坏性的、基于优先级的仲裁来确定优先级
相关工作
关于控制器局域网入侵检测系统(CAN-IDS)的研究在多个维度上展开,包括(1)模型家族(统计方法、机器学习方法和深度学习方法),(2)学习范式(监督学习与无监督学习),以及(3)用于检测的证据信号(有效载荷、ID时序/序列和混合线索)。本节回顾了代表性的先前研究,并总结了现有方法中反复出现的局限性和设计问题。
方法论
我们提出了一种基于融合的入侵检测器,它联合利用CAN流量的空间(有效载荷/DLC)和时间(到达间隔)特征,并使用从良性数据构建的有效载荷目录对疑似重放的帧进行标注。该系统包括(i)空间异常检测器,(ii)时间异常检测器(也执行疑似重放的标注),以及(iii)决策级融合模块。这些组件作为在线流程实现,如算法1所述
实验设置
所有实验都在配备AMD Ryzen 9 3900 12核CPU、64 GB RAM和NVIDIA GeForce RTX 2080 Ti GPU的工作站上进行。软件堆栈包括Python 3.12.4、PyTorch 2.0.0、CUDA 11.8和cuDNN 8.7。
数据集
在生产车辆上进行攻击实验涉及重大的安全风险。无论是运动中还是静止状态下,由恶意流量引起的意外执行器命令或控制器故障都可能导致物理损坏,危及驾驶员和空间和时间线索的互补性
在各种实验中,干扰有效载荷分布的攻击(模糊攻击、故障攻击)能够被空间(有效载荷)检测器有效处理。在给定标识符(ID)内,测试流量和参考流量之间的平均负对数似然差距扩大,表明良性流量和攻击流量之间的清晰分离。相比之下,在重放攻击中——有效载荷基本保持不变——差距趋近于零,甚至变为负值,空间可分离性减弱。在这种情况下,时间(周期性)检测器
结论
本文提出了一种轻量级的融合框架,用于汽车CAN网络上的入侵检测,该框架通过简单的决策策略结合了有效载荷(空间)和周期性(时间)检测器。学习和推理路径沿着两个紧凑的轴组织——固定长度的输入(DLC加上八个数据字节)和每个ID的周期统计,以最小化实现复杂性,同时保持实时适用性。为了协调先前研究中使用的异构评估单元
局限性和未来工作
本研究的局限性和未来研究方向总结如下。首先,由于我们的评估侧重于使用公共日志的可重复性,因此在真实汽车环境中的验证仍然有限。具体来说,我们没有在实际车辆网络(包括网关和域控制器)上进行长时间的操作测试,也没有在目标汽车嵌入式硬件(如电子控制单元(ECUs)上进行设备内实验
CRediT作者贡献声明
Hyunjun Jo:撰写 – 审稿与编辑,撰写 – 原始草稿,可视化,验证,软件,资源,方法论,调查,形式分析,数据整理,概念化。Deok-hwan Kim:监督,资金获取。
利益冲突声明
作者声明他们没有已知的竞争性财务利益或个人关系可能影响本文报告的工作。
致谢
本工作部分得到了韩国国家研究基金会(NRF)的资助,该基金会由韩国政府(MSIT)资助(编号:RS-2024-00336286),以及仁荷大学研究基金的资助。
