2023-NDSS-WIP: AMICA: Attention-based Multi-Identifier model for asynchronous intrusion detection on Controller Area networks
当前大多数IDS并不能处理CAN协议的结构(一个时间点只能发送一条消息),且很多攻击只能通过监测多条异步消息之间的依赖探测到,因此提出AMICA,attention-based IDS, 监测CAN消息中多条ID携带的异步信号,用BERT模型,建立以下两个维度的模型:(1)time dimension:对相连ID之间的时间信号进行建模;(2)interaction dimension:对ID之间的交互进行建模,eg.每个ID是如何影响别的ID的。
2023-NDSS-Improving In-vehicle Networks Intrusion Detection Using On-Device Transfer Learning
Introduction
现有IDS的不足:
1. 在计算受限的环境中进行实时检测和反馈;
2. 攻击者可以修改CAN数据任何域进行攻击,使得IDS需要考虑CAN数据上下文才能检测出复杂攻击,限制其大范围应用;
3. 单分类IDS广泛应用,但其需要大量可代表车辆各种状态的正常数据进行训练,且深度模型计算量大。
据此,提出on-device transfer learning (ODTL)在资源受限的树莓派中重训练分类层中的上下文感知的浅神经网络的IDS,主要贡献如下:
1. 提出CAN-ODTL,通过CAN数据流增量式重训练IDS中的分类层解决需要大量正常数据问题;
2. 用预处理算法预处理CAN数据流,减少检测时延的同时最小化CPU和RAM的使用;
3. CAN-ODTL使用量化技术减小模型大小和检测时延。
【新词:CAN数据为基于时间序列的数据,是上下文感知的】
Methodology
- 入侵检测:
将入侵检测建模为下一个ID的预测,从左到右进行预测ID的可选空间太大, 所以基于左右两侧上下文同时进行预测,减少备选ID数量,提高预测ID的准确率。(与continuous bag-of-words-CBOW等价) - 迁移学习:以on-device的形式增量式训练模型,直到足够长的时间,OBD口接树莓派作为训练平台。使用迁移学习重训练预训练好的模型的classification layer
2023-NDSS-CANtropy: Time Series Feature Extraction-Based Intrusion Detection Systems for Controller Area Networks
现有文献不足:
1. 大多基于DL的IDS进行结构优化、提供代表性训练数据、超参数调参都是挑战;
2. 可带表车辆状态的历史数据不多,且车辆数据模式高度动态,模式和趋势随时间变化,易导致模型的性能不好。
作者提出一种基于时序特征提取的IDS-CANtropy。贡献:
- 从统计域和时间域提出特征集,通过特征利用阶段分析特征并选取最有用的特征子集,创建基于方差的特征优先级映射;
- 使用基于PCA的无监督detector,分析特征之间的依赖和关系;