[2023-TIFS]Federated Graph Neural Network for Fast Anomaly Detection in CAN

JeremyHua
171 阅读5分钟

Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networks

基于CAN总线的快速异常检测的联邦图神经网络

摘要

由于缺乏CAN帧加密和认证,CAN总线容易受到各种攻击,一般可分为报文注入、中止和篡改等。现有的CAN总线异常检测机制要么只能检测到其中的一种或两种攻击,要么需要大量的CAN报文进行预测,难以实现实时性。在本文中,我们提出了一种基于图神经网络(GNN)的 CAN 总线异常检测系统,可以在短短 3 毫秒(ms)内同时检测所有这些攻击。这项工作基于给定消息间隔内的 CAN 消息流生成有向属性图。节点属性表示 CAN 消息中的数据内容,而每个边缘属性表示给定间隔内典型 CAN ID 对的频率。然后,GNN 基于生成的 CAN 消息图进行训练。考虑到训练数据高度不平衡,本文开发了一种两级分类器级联,由用于异常检测的一类分类器和用于攻击分类的多类分类器组成。多类分类器中进一步引入了 openmax 层,以处理来自未知类的新异常。为了利用众包的同时保护用户数据隐私,我们采用联邦学习来训练涵盖不同驾驶场景和车辆状态的通用模型。大量的实验结果表明了我们方法的有效性和效率。它由用于异常检测的一类分类器和用于攻击分类的多类分类器组成。多类分类器中进一步引入了 openmax 层,以处理来自未知类的新异常。为了利用众包的同时保护用户数据隐私,我们采用联邦学习来训练涵盖不同驾驶场景和车辆状态的通用模型。大量的实验结果表明了我们方法的有效性和效率。它由用于异常检测的一类分类器和用于攻击分类的多类分类器组成。多类分类器中进一步引入了 openmax 层,以处理来自未知类的新异常。为了利用众包的同时保护用户数据隐私,我们采用联邦学习来训练涵盖不同驾驶场景和车辆状态的通用模型。大量的实验结果表明了我们方法的有效性和效率。我们采用联邦学习来训练涵盖不同驾驶场景和车辆状态的通用模型。大量的实验结果表明了我们方法的有效性和效率。我们采用联邦学习来训练涵盖不同驾驶场景和车辆状态的通用模型。大量的实验结果表明了我们方法的有效性和效率。

1 Introduction

23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_2.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_3.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_4.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_5.png

2 Related Work

23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_6.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_7.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_8.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_9.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_10.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_11.png

3 First-Stage Classifier

23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_12.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_13.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_14.png

4 Second-Stage Classifier

23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_15.png

5 Federated Graph Neural Network Learning

23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_16.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_17.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_18.png

6 Experimental Results

23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_19.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_20.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_21.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_22.png 23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_23.png

7 Conclusion and Future Work

23-07-11-Federated Graph Neural Network for Fast Anomaly Detection in Controller Area Networksds for an In-Vehicle Network_24.png

8 Appendix

8.1 攻击分类

  • Denial-of-Service (DoS): 拒绝服务攻击;
    • 这种攻击也被称为总线关闭攻击,其目的是通过持续注入具有低CAN ID(例如0×000)的合法CAN消息来瘫痪CAN总线系统。由于CAN总线使用无损位仲裁方法来处理数据传输冲突,一些分配有较高CAN ID的功能将永远无法被传输。
  • Fuzzy: 模糊攻击;
    • 这种攻击将生成并传输具有随机CAN ID和数据内容的CAN消息。CAN ID范围将从0×000到0×7 FF[16],其中一些在受损车辆中可能本来未被使用。这种类型的攻击可以干扰受害者的某些功能,如果系统中引入了额外的较低CAN ID。此外,随机生成的数据内容可以误导车辆,如果这些CAN ID最初被使用。
  • Suspension: 消息中断攻击;
    • 这只是消息中断攻击。攻击者将尝试破坏CAN总线系统中的某些ECU,并阻止它们发送任何CAN消息。
  • Replay: 重放攻击;
    • 这种攻击将尝试破坏CAN总线系统中的某些ECU,并在特定时间段内存储一些有效的CAN消息,稍后将其传输。这种类型的攻击可以误导受损车辆,因为那些存储的CAN消息实际上是过时的。如果攻击者能进一步暂停那些嗅探到的ECU,它就变成了消息伪造攻击。
  • Spoofing: 欺骗攻击;
    • 与重放攻击类似,欺骗攻击首先尝试嗅探CAN总线系统中的某些ECU。然而,欺骗攻击将尝试通过模拟它们的消息传输频率来冒充那些受损的ECU,而相关的数据内容通常是伪造的。在这里还可以通过进一步暂停那些受损的ECU来实现消息伪造攻击。

8.2 说明

在给定的上下文中,"rpm"和"speed"是指具体的攻击类型或攻击模式,这些攻击模式针对CAN消息注入进行描述。

  • "rpm"攻击是指对车辆的转速(rpm)信息进行注入攻击。攻击者可能通过篡改或插入CAN消息,将虚假或恶意的转速数据注入到车辆的CAN总线中。这种攻击可能会导致车辆引擎的错误操作或误导车辆的运行状态。
  • "speed"攻击是指对车辆的速度信息进行注入攻击。攻击者可能通过篡改或插入CAN消息,将虚假或恶意的速度数据注入到车辆的CAN总线中。这种攻击可能会导致车辆速度的错误报告或误导车辆的行驶状态。

通过对这些攻击进行检测和识别,可以帮助保护车辆的安全性和可靠性,防止恶意攻击者通过篡改CAN消息对车辆造成危害。

avatar
文章
阅读
粉丝