本文提出StatGraph,通过结合时序相关图(TCG)和耦合关系图(CRG),实现智能网联汽车的细粒度入侵检测,提升识别性能。方法利用GCN学习数据流中的模式,针对CAN协议的漏洞进行有效防护。
论文阅读-基于CAN信息的多视图统计图学习实现有效的车内入侵检测
Abstract
智能网联汽车面临着复杂多变的外部网络攻击;当前主流的入侵检测机制只能实现粗粒度的识别。即整个数据流窗口是否包含攻击标签,而不是对该窗口内的每个数据项进行细粒度的识别。在本文中,我们提出了StatGraph:一种有效的多视图统计图学习入侵检测来实现细粒度的入侵检测。具体来说,StatGraph基于数据流生成两个统计图,即时序相关图(TCG)和耦合关系图(CRG)。在给定的消息观察窗口中,TCG中的边缘属性表示不同消息ID之间的时间相关性,而CRG中的边属性表示相邻关系和上下文相似性。此外,基于TCG和CRG的图性质,训练了一个轻量级的浅层GCN网络,可以更有效地学习各种模式的普遍规律,进一步提高检测性能。
Introduction
就车内通信信道而言,控制器局域网(CAN)技术被认为是IVN嵌入式系统中电子控制单元(ECU)的车内通信标准。然而,CAN总线作为一种类似广播的串行数据通信协议,其核心机制存在严重的安全漏洞。
每个CAN消息仅包含由消息标识符和各种控制字段信息确定的优先级,但没有用于检查消息的发送者身份、源地址和目的地地址的机制。这导致了大量恶意消息(如数字级别伪装和数据注入)被插入以危害车辆中的CAN总线的机会。
StatGraph通过生成两个统计视图,即时序相关图(TCG)和耦合关系图(CRG),构建GCN的节点特征向量和邻接矩阵。为了提取相邻消息之间的短期时间关系,通过设计TCG的统计图属性来生成输入节点的全局特征,其边缘表示给定观察窗口中不同CAN消息ID之间的时间相关性。补充节点特征向量的复杂相关性提供了StatGraph的优势,它通过合并TCG提供的全局特征和数据内容提供的局部特征来实现入侵检测。
此外,CRG中的边缘属性表示给定消息窗口中的相邻和相似属性,以增强跨越长时间轴的相同ID之间的关联。
本文的主要贡献如下:
1.我们提出了StatGraph,通过将消息内容与CAN消息窗口形式的统计消息图TCG和CRG相结合,在细粒度级别检测伪装攻击,通过短时间和长时间特征学习各种模式下的通用规则,提高了检测性能。
2.我们引入了一种新的粒度评估标准——识别粒度(IG),该标准用于描述细粒度下每条消息的识别精度,而不是整个消息窗口的识别精度。
3.我们选择了两个真正公开的车载数据集:汽车黑客数据集和ROAD数据集,以覆盖尽可能多的攻击类型。
Related work
使用多个视图来更好地表示真实的图数据,其中每个图视图通常表示节点之间的一种关系。例如,在ECU交互网络中,一个图视图可以表示ID关联关系,而另一个图图视图可以是消息时序关系。
CAN协议:CAN是一种基于消息的通信标准,用于连接车辆中的各种ECU,并支持ECU之间的消息传递。ECU是车辆的电子控制单元,并驱动车辆的活动。CAN总线能够连接各种经典的车载网络,包括OBD、信息娱乐系统和通过网关连接的各种类型的ECU。每个ECU接收CAN消息并转换位序列以提取必要的组件,如仲裁ID、有效载荷、远程传输请求(RTR)。
标准CAN数据帧描述了在CAN总线中传递的这些消息。每条消息主要由几个字段组成:CAN ID、数据字段、循环冗余校验(CRC)和RTR等。其中,有两个字段与本文的范围相关:11位仲裁ID和64位数据字段。
CAN消息的仲裁ID,即可互换地称为ID,在两个或多个CAN消息之间的冲突期间被用作优先级。ID越低,优先级就越高。接收器根据仲裁ID决定是否执行CAN消息。
DataField(即有效载荷)包含最多8个字节的实际消息内容,其中携带要传递的数据。
受损ECU:ECU使用逐位仲裁和显式广播来传递CAN协议消息,从而实现快速高效的数据交换。然而,通信接口的弱访问控制和数据交互的缺乏身份验证使得车辆容易受到恶意攻击。攻击者可以通过OBD-II端口物理访问CAN总线,或利用车辆原始设备制造商(OEM)提供的车载远程服务控制车载远程服务设备。作者在文献[10]中提供了一个明确定义的攻击模型,其中包含了广泛使用的术语,这有助于理解攻击的复杂性:
1)弱受损ECU:攻击者能够暂停弱受损ECU节点的任何消息传输。
2)完全受损ECU:攻击者可以完全控制ECU节点,包括发送伪造消息和访问节点的内存。
消息注入攻击:
(1)制造攻击:使用完全受损的ECU,使用伪造的ID和数据字段制造和注入恶意消息。包括DDOS攻击、Fuzzy攻击、目标ID攻击
(2)悬架攻击:发动悬架攻击,只需要一个弱受损的ECU。对手的目的只需要防止弱受损的ECU进行消息传输
(3)伪装攻击:伪装攻击是最复杂的攻击类别,攻击者需要妥协两个ECU,一个作为弱受损ECU,另一个作为完全受损ECU。攻击者首先暂停来自弱受损目标ECU的具有特定ID的消息,使得该ECU不可用。然后,使用完全受损ECU发送伪造消息,带有给定ID的实际频率,从而伪装成不可用的目标ECU。使用这种更高级的攻击策略,可以执行有针对性的ID攻击,而不会发生消息冲突,这使得攻击更隐蔽。显然,发起伪装攻击需要攻击前的先验知识或努力。受攻击的目标ECU可能会变得失序,或者执行攻击者的命令,这意味着需要更多的努力、造成更多的损害和更高的风险。
Method
StatGraph可以分为以下三个主要组件:全局特征融合模块、关联增强模块和GCN分类模块。
•全局特征融合模块可以生成节点特征,通过提取已构建TCG的统计图属性来提取向量描述CAN消息的长期分布。
•关联增强模块可以通过构建CRG来生成邻接矩阵,CRG的边缘反映CAN消息之间的相互作用,提供了一种新的相关性视图——不同形式的TCG。
•由于前两个模块的帮助,GCN分类模块可以有效地拟合ECU交互的图形结构数据,并执行各种分类任务,以提高GCN模型的分类能力。
在收集CAN消息序列并确定观测窗口后,全局特征融合模块通过ID对的时序相关性构建TCG。
我们处理所构建的描述CAN消息长期分布的TCG,目的是通过提取静态图属性来生成具有全局特征的节点特征向量。同时,关联增强模块通过连续消息的短时耦合关系构建CRG,生成邻接矩阵,邻接矩阵可以与全局特征融合模块并行处理。然后,我们将特征向量和邻接矩阵输入到GCN分类模块中,用于训练和完成分类任务。
Definition 1: (多元时间序列) CAN数据是一个多元时间序列 :
不同的ID视作节点,相邻消息之间形成边,如果边已经存在,权重加1。
构建TCG后,可以根据TCG的统计属性生成图特征向量,如:边数、节点数、最大权重、平均权重、最大度等。我们提出的方法对每条can消息的特征向量进行表征,可以定义为Xk,n,表示原始can消息的第k个窗口中第n条消息的节点特征,n∈{1,2,…,n}。此外,设Xk表示第k个窗口的节点特征,k∈{1,2,…,k}
构建CRG:
数据流的耦合特性反映在两个相邻CAN消息的上下文相关性和具有相同CAN ID值的两个CAN消息的相似性上。我们将第k个观察窗口中的每个CAN消息视为一个节点,以构建具有N个节点的CRG,其边缘表示消息之间的短期关系。等式3中的第一行指示将在与两个连续CAN消息相对应的节点之间创建边。(第7行)。等式3中的第二行表示具有相同CAN ID值的节点彼此连接。
我们在探索了每条CAN总线消息之间的关系后,利用全局特征融合模块和关联增强模块提供的方法将训练数据转换为图结构,建立了一个多层GCN模型来识别和分类CAN总线上的各种攻击。
扫一扫
7121
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
