Machine learning based anomaly detection technique for in-vehicle networks

Abstract

The automotive industry faces a revolution by connecting vehicles to the communication infrastructure in the scope of intelligent transportation systems (ITS). The idea of internet of things (IoT) entering the automotive domain raises much skepticism about security and privacy issues. The information received from and sent to vehicles bears considerable risks for all components in the transportation system. Commonly, the IT industry uses firewall devices to filter communication in both receiving and transmitting directions that require heavy maintenance personnel support and instant configuration changes. Considering the mobility of vehicles and the light-weight nature of in-vehicle networks, firewalls require too many resources and miss automated decision making. Intrusion detection systems (IDS) are widely used in traditional IT networks and try to close gaps resulting from stateful firewalls. This thesis proposes the In-Vehicle Anomaly Detection Engine (IVADE) as an anomaly based intrusion detection algorithm for in-vehicle controller area network (CAN) applications using machine learning methods. The algorithm aims at detecting malicious manipulations of vehicle mobility data (such as position, speed, direction) which are exchanged in the form of Cooperative Awareness Messages on vehicle to vehicle (V2V) and vehicle to infrastructure (V2I) networks. The functionality of IVADE is validated by simulations of a Lane Keeping Assistance system that is implemented on a CAN bus together with the electronic control units (ECUs) for signal measurement and control computations. The relevant features for applying machine learning in IVADE are derived from received CAN message fields, supported with automotive domain-specific knowledge of the dynamic system behavior and trained with Decision Trees. The obtained simulation results indicate that IVADE successfully detects anomalies in in-vehicle applications and hence supports safety-critical functions.Otomotiv dünyası, araçları birbirlerine ve Akıllı Ulaştırma Sistemleri'nin (ITS) haberleşme altyapısına bağlayacak bir devrimle karşı karşıya kalmıştır. Otomotiv dünyasına Şeyler'in İnternetinin (IoT) girmesi, güvenlik ve gizlilik konularında soru işaretleri oluşturmuştur. Araçlara iletilen ve araçtan çevreye iletilen bilgi, Ulaştırma sistemindeki tüm bileşenler için riskler taşımaktadır. IT endüstrisi hem alım hem de iletim yönündeki haberleşmeyi filtrelemek için yoğun bakım desteği ve anlık konfigürasyon değişiklikleri gerektiren "Firewall" ekipmanları kullanır. Araçların hareketliliğini ve araç içi ağların düşük yoğunluğu düşünüldüğünde, "firewall" ekipmanları çok fazla kaynak gerektirmektedir ve otomatize edilmiş karar verme yeteneğinden yoksundur. Saldırı Tespit Sistemleri (STS), bilişim teknolojileri ağlarında yaygın olarak kullanılmakta ve "Firewall" ekipmanlarının durağan doğasında kaynaklı boşlukları kapatmaya çalışmaktadır. Bu tez, araç içi kontrol ağları (CAN) uygulamaları için Makine Öğrenmesi metotlarını kullanan anomali tabanlı araç içi saldırı tespit motorunu (IVADE) önermektedir. Araçtan araca ağlarda (V2V) ve araçtan altyapıya ağlarda (V2I) Kooperatif Farkındalık Mesajı (CAM) içeriği olarak paylaşılan ve aracın konum, hız ve yön bilgisini içeren Hareket Verisine yönelik veri bozma saldırılarını tespit etmeyi amaçlamaktadır. Algoritmanın işlevselliği, Şerit Takip Asistanı (LKA) sistemine ait modelin sinyal ölçümleri ve kontrol işlemleri için Elektronik Kontrol Birimleri (ECU) ile bir CAN haberleşme hattı üzerine simülasyonu uygulanarak doğrulanmıştır. IVADE'de uygulanan makine öğrenmesi özellikleri, araç içi ağdaki CAN ağı üzerindeki mesajların veri alanlarından toplanmış, otomotiv sistemlerine özgü dinamik sistem davranışı bilgileriyle desteklenmiş ve Karar ağaçları ile öğrenilmiştir. Simülasyon sonuçları, önerilen algoritmanın araç içi uygulamalar için anomali tespitini başarıyla yaptığı ve emniyet-kritik fonksiyonları koruduğunu göstermiştir.