Rilevare attacchi Zero-Day nelle auto connesse
Un nuovo modello migliora la sicurezza dei veicoli identificando modelli di attacco invisibili.
― 7 leggere min
Indice
- La Sfida di Rilevare Attacchi Zero-Day
- Il Nostro Approccio: Usare il Machine Learning Non Supervisionato
- Perché Usare gli Autoencoder?
- Il Design dell'Autoencoder
- Integrazione del Sistema nei Veicoli
- Addestramento del Modello
- Test del Modello
- Valutazione delle Prestazioni
- Vantaggi del Nostro Approccio
- Conclusione
- Fonte originale
Le auto di oggi stanno diventando sempre più intelligenti e connesse. Anche se questa nuova tecnologia porta molti vantaggi per la sicurezza e la comodità, apre anche la porta a nuovi tipi di attacchi. Una delle reti principali che collega varie parti di un’auto si chiama Controller Area Network (CAN). Questa rete permette a diverse parti elettroniche, come sensori e unità di controllo, di comunicare tra loro. Tuttavia, il modo in cui funziona il CAN può essere sfruttato da attaccanti che vogliono iniettare messaggi dannosi nella rete.
Negli ultimi anni, sono stati osservati vari attacchi, tra cui attacchi di negazione del servizio (DoS), fuzzing e spoofing. Molti metodi esistenti mirano a identificare queste minacce, ma si concentrano principalmente su attacchi già noti. Questo significa che faticano a catturare nuovi attacchi che non sono stati mai visti prima, conosciuti come attacchi zero-day. Rilevare questi tipi di attacchi in tempo reale è fondamentale per la sicurezza e la protezione nei veicoli moderni.
La Sfida di Rilevare Attacchi Zero-Day
Gli attacchi zero-day sono particolarmente problematici perché possono verificarsi senza preavviso, utilizzando tecniche che non sono state documentate in precedenza. I metodi tradizionali, come i modelli di machine learning supervisionati, richiedono solitamente molti dati sugli attacchi passati per imparare. Se il modello non ha mai visto prima l'attacco, è improbabile che lo riconosca come un problema.
Con le auto che stanno diventando sempre più connesse, la possibilità di nuovi metodi di attacco sta aumentando. Pertanto, rilevare sia nuove che note minacce è diventato una priorità. Una possibile soluzione è usare modelli che possano imparare senza necessitare di dati di attacco etichettati. Questo approccio può permettere al sistema di segnalare comportamenti anomali anche se non li ha mai incontrati prima.
Il Nostro Approccio: Usare il Machine Learning Non Supervisionato
Proponiamo di utilizzare un modello speciale chiamato Autoencoder convoluzionale per rilevare attacchi zero-day. Questo modello è addestrato solo su messaggi normali, il che significa che impara a riconoscere come appare un'attività tipica senza sapere nulla sugli attacchi. Elaborando i dati in un modo specifico, questo modello può identificare quando succede qualcosa di insolito in tempo reale.
Il modello è progettato per essere efficiente abbastanza da funzionare su una piattaforma con risorse limitate, il che è importante per i veicoli dove spazio e potenza sono ridotti. Il processo di addestramento utilizza un metodo che aiuta il modello a fare previsioni accurate richiedendo poche risorse computazionali.
Perché Usare gli Autoencoder?
Gli autoencoder sono reti neurali uniche che imparano a comprimere e poi ricostruire i dati in ingresso. L'idea è che, durante l'addestramento, la rete impari a rappresentare il comportamento normale in modo compatto. Quando incontra dati che sembrano significativamente diversi da ciò che ha appreso, faticherà a ricostruire quei dati, portando a un errore più alto. Questo errore può servire come un buon indicatore che sta avvenendo un attacco.
In parole semplici, se il modello vede qualcosa che non rientra nel pattern normale, può segnalarlo come sospetto. Impostando una soglia appropriata, possiamo determinare quale livello di errore è accettabile e quale dovrebbe essere considerato una potenziale minaccia.
Il Design dell'Autoencoder
L'autoencoder è composto da due parti principali: l'encoder e il decoder. L'encoder prende i messaggi CAN normali e li comprime in una rappresentazione più piccola, mentre il decoder cerca di ricostruire i messaggi originali da questo formato compatto.
Per il nostro design, abbiamo scelto due tipi di layer per aiutare ad elaborare i dati in modo efficace. L'encoder ha dei layer che prendono i dati in ingresso e li riducono in dimensione mantenendo le caratteristiche importanti. Il decoder usa poi quei dati compressi per ricreare il messaggio originale.
Integrazione del Sistema nei Veicoli
Per usare efficacemente il nostro autoencoder in un'auto, deve essere integrato nelle unità di controllo elettronico (ECU) esistenti del veicolo. Queste unità sono responsabili di varie funzioni, e integrare il nostro Sistema di Rilevamento delle Intrusioni (IDS) in esse consente il monitoraggio in tempo reale.
La configurazione permette ai componenti software e hardware di lavorare insieme senza problemi, rendendo possibile rispondere rapidamente a messaggi sospetti mentre si utilizza in modo efficiente le risorse del veicolo.
Addestramento del Modello
Addestrare il modello richiede un dataset contenente sia messaggi normali che messaggi di attacco. Utilizziamo un dataset disponibile pubblicamente per apprendere i pattern del traffico CAN regolare. Esporre il modello solo a dati benigni gli consente di imparare il comportamento atteso. Successivamente, testiamo il modello contro vari messaggi di attacco mai visti prima per valutare la sua capacità di segnalare Anomalie.
Dividiamo i dati in tre parti: una per l'addestramento, una per la validazione e una per il test. Questo metodo assicura che il modello sia ben tarato e possa riconoscere efficacemente i pattern irregolari. Durante l'addestramento, monitoriamo le prestazioni per evitare l'overfitting, garantendo che il modello generalizzi bene su nuovi dati.
Test del Modello
Una volta addestrato, il modello viene valutato utilizzando diversi scenari di attacco per vedere quanto bene si comporta. Controlliamo la sua accuratezza nell'identificare tipologie di attacco note, tra cui DoS, fuzzing e spoofing. Confrontando i suoi risultati con quelli di sistemi esistenti, vediamo quanto sia efficace il nostro approccio nell'identificare attacchi zero-day.
I test rivelano che il nostro modello raggiunge un'alta percentuale di accuratezza, il che significa che identifica efficacemente attività sospette. Questo è un miglioramento significativo rispetto ai metodi tradizionali che potrebbero perdere attacchi nuovi simili ai pattern di traffico normali.
Valutazione delle Prestazioni
Nella valutazione delle prestazioni del modello, consideriamo diversi fattori, inclusi velocità e consumo energetico. L'obiettivo è garantire che rilevi le minacce rapidamente utilizzando il minor potere possibile.
Il nostro sistema può elaborare un blocco di messaggi CAN in un tempo notevolmente breve, rendendolo adatto a reti ad alta velocità presenti nei veicoli moderni. Questa rapidità significa che anche se si verifica un nuovo attacco, potrebbe essere catturato prima che causi danni.
Inoltre, misuriamo la quantità di energia consumata durante l'elaborazione. I nostri risultati mostrano che il sistema consuma meno energia rispetto ad altre soluzioni esistenti, rendendolo un'ottima scelta per applicazioni nei veicoli dove l'efficienza è cruciale.
Vantaggi del Nostro Approccio
Ci sono diversi vantaggi nell'utilizzare il nostro modello di apprendimento non supervisionato come IDS:
Rilevamento in Tempo Reale: Il modello è progettato per catturare le minacce mentre accadono, senza bisogno di conoscenza precedente di metodi di attacco specifici.
Alta Accuratezza: I test mostrano che raggiunge un alto livello di accuratezza nell'identificare i tipi di attacco, corrispondendo o superando le soluzioni esistenti.
Basso Consumo Energetico: L'integrazione di questo sistema nell'hardware esistente dell'auto consente un funzionamento a basso consumo energetico.
Adattabilità: Poiché il modello impara dal traffico normale, può adattarsi ai cambiamenti all'interno della rete senza necessitare di aggiornamenti costanti.
Facilità di Integrazione: Il design si adatta bene alle architetture ECU attuali, rendendo facile il dispiegamento senza grosse modifiche.
Conclusione
Con l’aumento della sofisticazione dei veicoli, cresce anche la necessità di misure di sicurezza robuste. Il nostro approccio offre una soluzione promettente per rilevare attacchi zero-day usando un modello di apprendimento non supervisionato. Riconoscendo pattern insoliti nella rete CAN, possiamo migliorare la sicurezza e l'affidabilità delle automobili moderne.
L'integrazione riuscita del nostro modello dimostra che è possibile monitorare efficacemente le reti dei veicoli senza un significativo sovraccarico di risorse. I lavori futuri si concentreranno su ulteriori affinamenti del modello e sull'aggiunta di caratteristiche, come il contenuto effettivo dei messaggi, per migliorare ulteriormente i tassi di rilevamento. In definitiva, il nostro obiettivo è creare un IDS robusto e a basso consumo che aumenti la sicurezza di tutti i veicoli connessi.
Titolo: Real-Time Zero-Day Intrusion Detection System for Automotive Controller Area Network on FPGAs
Estratto: Increasing automation in vehicles enabled by increased connectivity to the outside world has exposed vulnerabilities in previously siloed automotive networks like controller area networks (CAN). Attributes of CAN such as broadcast-based communication among electronic control units (ECUs) that lowered deployment costs are now being exploited to carry out active injection attacks like denial of service (DoS), fuzzing, and spoofing attacks. Research literature has proposed multiple supervised machine learning models deployed as Intrusion detection systems (IDSs) to detect such malicious activity; however, these are largely limited to identifying previously known attack vectors. With the ever-increasing complexity of active injection attacks, detecting zero-day (novel) attacks in these networks in real-time (to prevent propagation) becomes a problem of particular interest. This paper presents an unsupervised-learning-based convolutional autoencoder architecture for detecting zero-day attacks, which is trained only on benign (attack-free) CAN messages. We quantise the model using Vitis-AI tools from AMD/Xilinx targeting a resource-constrained Zynq Ultrascale platform as our IDS-ECU system for integration. The proposed model successfully achieves equal or higher classification accuracy (> 99.5%) on unseen DoS, fuzzing, and spoofing attacks from a publicly available attack dataset when compared to the state-of-the-art unsupervised learning-based IDSs. Additionally, by cleverly overlapping IDS operation on a window of CAN messages with the reception, the model is able to meet line-rate detection (0.43 ms per window) of high-speed CAN, which when coupled with the low energy consumption per inference, makes this architecture ideally suited for detecting zero-day attacks on critical CAN networks.
Autori: Shashwat Khandelwal, Shreejith Shanker
Ultimo aggiornamento: 2024-01-19 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2401.10724
Fonte PDF: https://arxiv.org/pdf/2401.10724
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.