用于车辆入侵检测的指纹电子控制单元
- 基于异常的入侵检测系统(IDS),称为基于时钟的IDS(CIDS)。它测量并利用定期的车载消息间隔来为ECU指纹识别。
- 方法
推论得出的指纹用于使用递归最小二乘(RLS)算法来构建ECU时钟行为的基线。基于此基准,CIDS使用累积总和(CUSUM)来检测识别错误中的任何异常变化-明确的入侵迹象。这可以快速识别车载网络入侵,误报率低至0.055% - 针对性
1)车载消息没有在其发送器上携带信息,因此人们无法分辨它们是否来自真正的发送器;
2)缺少发送器信息,使得最新的IDS很难或不可能识别哪个ECU发起了攻击。为了克服这些限制并防御各种车辆攻击,我们提出了一种新的基于异常的IDS,称为基于时钟的IDS(CIDS)。通过分析三种代表性的车载网络攻击(制造,悬挂和假装攻击),激发了CIDS对车辆的需求。我们的分析表明,最新的IDS不足,特别是在检测伪装攻击时,由于消息中缺少发送者的信息。
实验结果表明,该系统能够检测到各种类型的车载网络入侵,误报率为0.055%。
- 所做工作
开发了一种利用消息周期性对ECU进行指纹识别的新方案;·
CIDS的提出,它基于指纹对车载ECU时钟的正常行为进行建模,然后检测车载网络入侵;·
CIDS在CAN总线原型和3辆真实车辆上的实现和验证。 - 目前两种主流
安全解决方案:消息认证和入侵检测 - 指纹ECU
非同步节点的时钟偏移和偏斜仅取决于它们的本地时钟,因此与其他节点不同。正如其他人也得出的结论[17,19,42],时钟偏差和偏移量因此可以被认为是节点的指纹。各种研究已经利用这一事实对物理设备进行指纹识别[17,19,34,42]。但是,它们不适用于我们的问题,因为它们完全依赖于数据包报头中携带的时间戳,如前所述,这些时间戳在车载网络中不可用。Kohno等人。[19]考虑嵌入式时间戳的替代方案:使用傅立叶变换进行时钟偏差估计。然而,由于他们的方法依赖于互联网的独特特性(例如,多跳延迟、大型网络拓扑),它不能直接应用于车载网络。
要构建一个能够检测包括伪装攻击在内的各种攻击的有效入侵检测系统,必须能够验证每条报文的发送方。然而,由于CAN报文中不存在这样的信息,我们必须用其他“泄露”的信息对ECU进行指纹识别。与现有的利用嵌入式时间戳的方法不同,我们利用消息周期来提取和估计发射机的时钟偏差,然后使用这些时钟偏差来识别发射机ECU的指纹
- 如果ECU R要确定每N个接收消息的平均时钟偏移,因为它是参考(N个消息的)第一个消息导出的,所以它仅表示新产生的偏移的平均值。因此,为了获得产生的偏移量(我们称之为累积时钟偏移量),必须将平均时钟偏移量的绝对值相加。根据定义,累计时钟偏移的斜率将因此代表时钟偏差,正如我们将展示的那样,它是恒定的,也正如其他人已经得出的结论[19,29,35,40]。这使得CIDS能够根据到达时间戳估计时钟偏差,从而对消息发送器进行指纹识别以进行入侵检测。我们稍后将通过对CAN总线原型和3辆真实车辆的实验评估来证明,由此得出的时钟偏差确实是车载ECU的指纹
该算法使用残差作为目标函数来最小化建模误差的平方和。
CIDS使用累积和(CUSUM)方法,该方法导出与目标值的偏差的累积和来检测突变。由于它是累积性的,即使与目标值的微小漂移也会导致累积值稳步增加或减少。因此,它在检测微小的持续变化方面是最佳的,并且被广泛用于变化点检测[8]。CIDS通过CUSUM检测入侵,如下所示。在时钟偏差估计的每一步,CIDS分别更新识别误差(E)、μe和σ2e的均值和方差
扫一扫
2075
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
