Am 19.08.2021 stellte Florian Fenzl von Fraunhofer SIT die Arbeit “In-vehicle detection of targeted CAN bus attacks” auf der ARES2021 Konferenz vor. Aufgrund der aktuellen Corona-Problematik fand der Talk online statt.
Der Controller Area Network (CAN) Bus ist bereits seit langer Zeit ein wichtiger Bestandteil für die Kommunikation in Fahrzeugen und wird dies auch noch einige Zeit bleiben. Angreifer, die in das fahrzeuginterne Netzwerk eingedrungen sind, können diesen Bus jedoch nutzen, um die Kontrolle über sicherheitsrelevante Komponenten des Fahrzeugs zu übernehmen. Seit Jahren wird daher an zuverlässigen Anomalie- bzw. Angriffserkennungssystemen geforscht, von denen sich jedoch viele nur auf die Betrachtung einzelner Nachrichten oder Sensorwerte beziehen. Ein Angreifer kann jedoch mit ausreichend Zugriff die versendeten Daten in soweit manipulieren, dass diese für die meisten Klassifizierer unbedenklich scheinen. Solche gezielten Angriffsszenarien werden daher oft nur schwer erkannt, da diese spezifischen Angriffe in der Regel nicht in deren Trainingsdatensätzen enthalten ist und ohnen Kenntnisse über die Zusammenhänge der versendeten Daten nicht problematisch erscheinen. In dieser Arbeit beschreiben wir ein Intrusion Detection System (IDS), das Entscheidungsbäume verwendet, die durch genetische Programmierung modelliert wurden, um im Vornherein unbekannte Zusammenhänge in Nachrichten zu finden und Regeln im Bezug auf diese Zusammenhänge zu berücksichtigen. Wir bewerten die Vor- und Nachteile dieses Ansatzes im Vergleich zu künstlichen neuronalen Netzen und anderen regelbasierten Ansätzen, wie Charakteristischen Funktionen. Zu diesem Zweck haben wir eine Reihe gezielte Angriffe sowie verschiedene in der Literatur beschriebene Arten von Eindringlingen modelliert und simuliert, sowie alle IDS Ansätze in diesen Szenarien evaluiert. Die Ergebnisse zeigen, dass der Ansatz der genetischen Programmierung gut geeignet ist, komplexe Beziehungen zwischen Sensorwerten zu identifizieren, was für die Klassifizierung der Angriffe ein sehr wichtiger Punkt ist. Das System ist jedoch weniger effizient bei der Klassifizierung anderer, theoretisch einfacherer Arten von Angriffen, die von den vergleichbaren Methoden in unserer Evaluierung besser erkannt werden. Daher planen wir in zukünftigen Forschungsarbeiten hybride Ansätze verschiedener Klassifikatoren in Betracht zu ziehen.
Zitat: Florian Fenzl, Roland Rieke, and Andreas Dominik, In-vehicle detection of targeted CAN bus attacks, ARES2021, 2021, doi: 10.1145/3465481.3465755
Die Veröffentlichung ist bei ACM (https://dl.acm.org/doi/10.1145/3465481.3465755) kostenlos abrufbar.