Detectando Ataques Zero-Day em Carros Conectados
Um novo modelo melhora a segurança dos veículos identificando padrões de ataque invisíveis.
― 7 min ler
Índice
Os carros de hoje estão ficando mais inteligentes e conectados do que nunca. Embora essa nova tecnologia traga muitos benefícios para segurança e conveniência, também abre a porta para novos tipos de ataques. Uma das principais redes que conecta várias partes de um carro é chamada de Rede de Área do Controlador (CAN). Essa rede permite que diferentes partes eletrônicas, como sensores e unidades de controle, se comuniquem entre si. No entanto, a forma como a CAN funciona pode ser explorada por atacantes que querem injetar mensagens prejudiciais na rede.
Nos últimos anos, vários ataques foram observados, incluindo ataques de negação de serviço (DoS), fuzzing e spoofing. Muitos métodos existentes visam identificar essas ameaças, mas eles se concentram principalmente em ataques que já são conhecidos. Isso significa que eles têm dificuldade em pegar novos ataques que nunca foram vistos antes, conhecidos como ataques de zero-day. Detectar esses tipos de ataques em tempo real é crucial para a segurança e proteção em veículos modernos.
O Desafio de Detectar Ataques de Zero-Day
Os ataques de zero-day são particularmente problemáticos porque podem ocorrer sem aviso, usando técnicas que não foram documentadas anteriormente. Métodos tradicionais, como modelos de aprendizado de máquina supervisionados, geralmente exigem muitos dados sobre ataques passados para aprender. Se o modelo nunca viu o ataque antes, é improvável que o reconheça como um problema.
Com os carros ganhando mais recursos conectados, a chance de novos métodos de ataque está aumentando. Portanto, detectar tanto ameaças novas quanto conhecidas se tornou uma prioridade. Uma solução potencial é usar modelos que podem aprender sem precisar de dados de ataque rotulados. Essa abordagem pode permitir ao sistema sinalizar comportamentos incomuns, mesmo que nunca tenha encontrado isso antes.
Nossa Abordagem: Usando Aprendizado Não Supervisionado
Propomos usar um modelo especial chamado autoencoder convolucional para detectar ataques de zero-day. Esse modelo é treinado apenas com mensagens normais, o que significa que ele aprende como é a atividade típica sem saber sobre quaisquer ataques. Processando os dados de uma forma específica, esse modelo pode identificar quando algo incomum acontece em tempo real.
O modelo foi projetado para ser eficiente o suficiente para rodar em uma plataforma com recursos limitados, o que é importante para veículos onde espaço e energia são limitados. O processo de treinamento usa um método que ajuda o modelo a fazer previsões precisas enquanto requer recursos computacionais mínimos.
Por Que Usar Autoencoders?
Autoencoders são redes neurais únicas que aprendem a comprimir e depois reconstruir dados de entrada. A ideia é que, durante o treinamento, a rede aprenda a representar o comportamento normal de forma compacta. Quando encontra dados que parecem significativamente diferentes do que aprendeu, terá dificuldade em reconstruir esses dados, levando a um erro maior. Esse erro pode servir como um bom indicador de que um ataque está ocorrendo.
Em termos mais simples, se o modelo vê algo que não se encaixa no padrão normal, pode sinalizar como suspeito. Ao definir um limite apropriado, podemos determinar qual nível de erro é aceitável e o que deve ser considerado uma ameaça potencial.
O Design do Autoencoder
O autoencoder consiste em duas partes principais: o encoder e o decoder. O encoder pega as mensagens normais da CAN e as comprime em uma representação menor, enquanto o decoder tenta reconstruir as mensagens originais a partir desse formato compacto.
Para nosso design, escolhemos dois tipos de camadas para ajudar a processar os dados de forma eficaz. O encoder tem camadas que reduzem o tamanho dos dados enquanto preservam características importantes. O decoder então usa esses dados comprimidos para recriar a mensagem original.
Integrando o Sistema nos Veículos
Para usar nosso autoencoder de forma eficaz em um veículo, ele precisa ser integrado nas unidades de controle eletrônico (ECUs) existentes do carro. Essas unidades são responsáveis por várias funções, e integrar nosso Sistema de Detecção de Intrusões (IDS) permite um monitoramento em tempo real.
A configuração permite que os componentes de software e hardware trabalhem juntos de forma harmoniosa, tornando possível responder rapidamente a mensagens suspeitas enquanto utiliza eficientemente os recursos do veículo.
Treinando o Modelo
Treinar o modelo exige um conjunto de dados contendo tanto mensagens normais quanto mensagens de ataque. Usamos um conjunto de dados disponível publicamente para aprender os padrões do tráfego regular da CAN. Ao expor o modelo apenas a dados benignos, ele aprende o comportamento esperado. Depois, testamos o modelo contra várias mensagens de ataque não vistas para avaliar sua capacidade de sinalizar Anomalias.
Dividimos os dados em três partes: uma para treinamento, uma para validação e uma para teste. Esse método garante que o modelo esteja bem ajustado e consiga reconhecer padrões irregulares de forma eficaz. Durante o treinamento, monitoramos o desempenho para evitar overfitting, garantindo que o modelo generalize bem para novos dados.
Testando o Modelo
Uma vez que o modelo é treinado, ele é avaliado usando diferentes cenários de ataque para ver quão bem ele se sai. Verificamos sua precisão em identificar tipos de ataques conhecidos, incluindo DoS, fuzzing e spoofing. Comparar seus resultados com sistemas existentes mostra quão efetivamente nossa abordagem pode identificar ataques de zero-day.
Os testes revelam que nosso modelo alcança uma alta taxa de precisão, o que significa que ele sinaliza efetivamente atividades suspeitas. Isso é uma melhoria significativa em relação a métodos tradicionais que podem perder ataques novos semelhantes a padrões normais de tráfego.
Avaliação de Performance
Na avaliação do desempenho do modelo, analisamos vários fatores, incluindo velocidade e consumo de energia. O objetivo é garantir que ele detecte ameaças rapidamente enquanto usa o mínimo de energia possível.
Nosso sistema pode processar um bloco de mensagens CAN em um tempo incrivelmente curto, tornando-o adequado para redes de alta velocidade encontradas em veículos modernos. Essa velocidade significa que mesmo se um novo ataque ocorrer, ele pode ser potencialmente capturado antes de causar danos.
Além disso, medimos a quantidade de energia consumida durante o processamento. Nossos resultados mostram que o sistema usa menos energia em comparação com outras soluções existentes, tornando-se uma ótima escolha para aplicações em veículos onde a eficiência é crucial.
Vantagens da Nossa Abordagem
Há várias vantagens em usar nosso modelo de aprendizado não supervisionado como um IDS:
Detecção em Tempo Real: O modelo é projetado para captar ameaças à medida que acontecem, sem precisar de conhecimento prévio de métodos de ataque específicos.
Alta Precisão: Testes mostram que ele atinge um alto nível de precisão na identificação de tipos de ataque, igualando ou superando soluções existentes.
Baixo Consumo de Energia: A integração desse sistema no hardware existente do carro permite uma operação energeticamente eficiente.
Adaptabilidade: Como o modelo aprende com o tráfego normal, ele pode se adaptar a mudanças dentro da rede sem precisar de constantes atualizações.
Facilidade de Integração: O design se encaixa bem com as arquiteturas de ECU atuais, facilitando a implementação sem grandes reformulações.
Conclusão
Conforme os veículos se tornam cada vez mais sofisticados, a necessidade de medidas de segurança robustas cresce. Nossa abordagem oferece uma solução promissora para detectar ataques de zero-day usando um modelo de aprendizado não supervisionado. Reconhecendo padrões incomuns na rede CAN, podemos aumentar a segurança e a confiabilidade dos automóveis modernos.
A integração bem-sucedida do nosso modelo demonstra que é possível monitorar redes de veículos de forma eficaz sem um grande consumo de recursos. O trabalho futuro se concentrará em refinar ainda mais o modelo e considerar recursos adicionais, como o conteúdo real das mensagens, para melhorar ainda mais as taxas de detecção. No final das contas, nosso objetivo é criar um IDS robusto e de baixo consumo que aumente a segurança de todos os veículos conectados.
Título: Real-Time Zero-Day Intrusion Detection System for Automotive Controller Area Network on FPGAs
Resumo: Increasing automation in vehicles enabled by increased connectivity to the outside world has exposed vulnerabilities in previously siloed automotive networks like controller area networks (CAN). Attributes of CAN such as broadcast-based communication among electronic control units (ECUs) that lowered deployment costs are now being exploited to carry out active injection attacks like denial of service (DoS), fuzzing, and spoofing attacks. Research literature has proposed multiple supervised machine learning models deployed as Intrusion detection systems (IDSs) to detect such malicious activity; however, these are largely limited to identifying previously known attack vectors. With the ever-increasing complexity of active injection attacks, detecting zero-day (novel) attacks in these networks in real-time (to prevent propagation) becomes a problem of particular interest. This paper presents an unsupervised-learning-based convolutional autoencoder architecture for detecting zero-day attacks, which is trained only on benign (attack-free) CAN messages. We quantise the model using Vitis-AI tools from AMD/Xilinx targeting a resource-constrained Zynq Ultrascale platform as our IDS-ECU system for integration. The proposed model successfully achieves equal or higher classification accuracy (> 99.5%) on unseen DoS, fuzzing, and spoofing attacks from a publicly available attack dataset when compared to the state-of-the-art unsupervised learning-based IDSs. Additionally, by cleverly overlapping IDS operation on a window of CAN messages with the reception, the model is able to meet line-rate detection (0.43 ms per window) of high-speed CAN, which when coupled with the low energy consumption per inference, makes this architecture ideally suited for detecting zero-day attacks on critical CAN networks.
Autores: Shashwat Khandelwal, Shreejith Shanker
Última atualização: 2024-01-19 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2401.10724
Fonte PDF: https://arxiv.org/pdf/2401.10724
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.