Deep Learning Approach for Attack Detection in Controller Area Networks

Abstract

자율 주행 기술이 발전함에 따라 수많은 센서, 액추에이터 및 전자 제어 장치 (ECU)를 연결하는 차량 내 네트워크가 점점 더 중요해지고 이러한 네트워크의 보안에 대한 중요성이 부각되어 왔다. CAN (Controller Area Network) 프로토콜은 차량의 상태 확인 및 제어를 위해 사용되는 프로토콜로 안정적이고 빠른 데이터 전송을 제공하기 때문에 널리 사용되어 왔다. 그러나 CAN 프로토콜은 메시지 암호화 및 인증 등의 보안 기능을 제공하지 않기 때문에 많은 보안 위협에 노출되어 있다. 특히, 공격자가 CAN에 액세스 할 수있는 한 네트워크는 서비스 거부 (DoS), 퍼지 공격 및 스푸핑과 같은 공격으로 쉽게 손상 될 수 있다.

이 연구에서는 CAN을 대상으로 하는 네트워크 공격에 대응하기 위한 새로운 딥 러닝 기반 공격 탐지 기법을 제안한다. 본 연구는 CAN 트래픽 흐름을 관찰하여 얻을 수 있는 두 가지 주요 특성을 사용하여 공격 트래픽을 분류하는 방법을 소개한다. 첫 번째는 단위 시간당 등장하는 CAN 프레임의 통계적 분포이고 두 번째는 CAN 프레임의 평균 도착 간 시간 (IAT, inter-arrival time)이다. 이러한 특성은 서로 다른 수준의 시간 단위로 측정되며 집계되어 딥 러닝 기반 공격 탐지를 위한 트래픽 샘플을 구성한다. 이렇게 구성된 데이터를 CNN (Convolutinal Neural Network) 모델과 RNN (Recurrent Neural Network) 모델에 적용하여 공격 트래픽을 분류하는 공격 탐지 기법을 제안한다.|As autonomous driving technologies evolve, an in-vehicle network connecting numerous sensors, actuators, and electronic control units (ECUs) has become increasingly important and has led to the critical need for ensuring the security of these networks. The CAN (Controller Area Network) protocol is a protocol used for vehicle status check and control. The CAN protocol has been widely used because it provides stable and fast data transmission. However, since the CAN protocol does not provide security functions such as message encryption and authentication, it is exposed to many security threats. In particular, a network can be easily compromised by attacks such as denial-of-service (DoS), fuzzy attacks, and spoofing as long as the attacker can access the CAN.

In this study, we propose a new DL (deep learning)-based attack detection technique to counter such attacks targeting CAN. We propose a technique to classify attack traffic using two key characteristics that can be obtained by observing CAN traffic flows. The first is the statistical distribution of CAN frame appearances per unit time, and the second is the average inter-arrival time (IAT) of the CAN frames. These characteristics are measured at different levels of time granularity and are aggregated to constitute traffic samples for DL-based attack classifiers. We propose methods to detect an attack leveraging the above features by applying the CNN model and RNN model, which are widely used in current AI tasks.