Támadásdetekció CAN hálózaton TCN használatával
Az elmúlt években jelentősen megnőtt a járművekben található elektronikus vezérlők száma. Ez a változás, a külső interfészek elterjedésével reális veszéllyé tette a kibertámadásokat. Mivel egy támadó akár már távolról is hozzáférhet a járműhöz, annak belső rendszerének a sérülékenységeit kihasználva akár át is veheti az irányítást a jármű felett. Ennek a problémának egyik oka, hogy a CAN protokoll (a legszélesebb körben használt protokoll járművek belső hálózatában) nem tartalmaz semmilyen biztonsági mechanizmust, és így egy támadó potenciálisan megtámadhatja az elektronikus vezérlőket ezen keresztül. A legsúlyosabb problémát a CAN üzeneteket módosító támadások jelentik, amelyek detekciója több szempontból is kihívást jelent. A támadások észlelésére szolgáló rendszerek (Intrusion Detection Systems, IDS) alkalmazása egy lehetséges megoldás a járműhálózatokat érintő veszélyek felderítésére és elhárítására. A korábbi megoldások képesek a járművek jeleinek nagyobb rendellenességeit észlelni, viszont a kisebb eltérést okozó támadások detektálásához kifinomultabb megoldásokra van szükség. Egy olyan anomália-felismerő rendszert mutatunk be, amely a jelek normális viselkedésére és az azok közötti kapcsolatokra (korrelációra) együttesen épít.
A fő probléma, amellyel ez a dolgozat foglalkozik, hogy a korábban javasolt detekciós eljárások hiányosságot mutatnak két konkrét támadási helyzet esetében. Egyrészről, amennyiben egy támadó olyan módosítást hajt végre, amely más helyzetben normális viselkedés is lehetne, akkor azt kizárólag viselkedés alapú módszerrel nem lehet jól felismerni. Másrészről, amennyiben a támadó ismeri a jelek korrelációját és képes a jeleket egyszerre módosítani, akkor ezt megteheti úgy, hogy azok korrelációja továbbra is megmaradjon. Ezesetben a pusztán korrelációra támaszkodó megoldások nem fogják detektálni a támadást.
Egy olyan megközelítést javaslunk az üzenetmódosítások észlelésére, mely a két módszert kombinálja: az idősor-előrejelzés és a jelkorreláció elemzésének együttes használatával elemzi a CAN forgalmat. A két megközelítés kombinálásával megoldjuk az egyes módszerek egyedüli alkalmazása során fellépő hiányosságokat.
Az adatok időbeli függőségeinek modellezésére egy több csatornás Temporal Convolutional Network idősoros hálót használunk, melyet a jelek egy csoportjára tanítunk be. A csoportosítás a jelek korrelációja alapján történik, így ezen jelek együttes predikciója során azok korrelációját is figyelembe vesszük. A csoporton belüli jelekhez mind előállítunk egy predikciót, mely így függeni fog a jel viselkedésétől, és a csoporton belüli korrelációtól, tehát bármelyik jellemzőben történne az anomália, a detekció során lesz róla információnk.
A detekció során olyan összehasonlítást alkalmazunk, mely figyelembe veszi, hogy milyen mértékben tért el az előrejelzés a tényleges értéktől, és azt, hogy ez az állapot milyen hosszan állt fenn.
A dolgozatban bemutatjuk a módszer hatékonyságát egy már meglévő, korábbi megoldások tesztelésére is használt CAN forgalmi támadásokat tartalmazó adathalmazon.
szerző
-
Koltai Beatrix
Mérnök informatikus szak, mesterképzés
mesterképzés (MA/MSc)
konzulensek
-
Gazdag András
egyetemi tanársegéd, Hálózati Rendszerek és Szolgáltatások Tanszék -
Dr. Ács Gergely
adjunktus, Hálózati Rendszerek és Szolgáltatások Tanszék
