Manuscript ID : 1402062844094 Visit : 3461 Page: 20 - 30

Article Type: Original Research

An Intrusion Detection System based on Deep Learning for CAN Bus

Subject Areas : ICT

1 - Shiraz University
2 - Shiraz University

Received: 2022-08-10 Accepted : 2022-12-14 Published : 2023-09-19

Keywords: In-vehicle network, Controller area network (CAN), Intrusion detection, Convolutional neural network (CNN), Adversarial Training,

Abstract :

In recent years, with the advancement of automotive electronics and the development of modern vehicles with the help of embedded systems and portable equipment, in-vehicle networks such as the controller area network (CAN) have faced new security risks. Since the CAN bus lacks security systems such as authentication and encryption to deal with cyber-attacks, the need for an intrusion detection system to detect attacks on the CAN bus seem to be very necessary. In this paper, a deep adversarial neural network (DACNN) is proposed to detect various types of security intrusions in CAN buses. For this purpose, the DACNN method, which is an extension of the CNN method using adversarial learning, detects intrusion in three stages; In the first stage, CNN acts as a feature descriptor and the main features are extracted, and in the second stage, the discriminating classifier classifies these features and finally, the intrusion is detected using the adversarial learning. In order to show the efficiency of the proposed method, a real open source dataset was used in which the CAN network traffic on a real vehicle during message injection attacks is recorded on a real vehicle. The obtained results show that the proposed method performs better than other machine learning methods in terms of false negative rate and error rate, which is less than 0.1% for DoS and drive gear forgery attack and RPM forgery attack while this rate is less than 0.5% for fuzzy attack.

References:

1] Khan, Zadid, et al. "Long Short-Term Memory Neural Network-Based Attack Detection Model for In-Vehicle Network Security." IEEE Sensors Letters 4.6 (2020): 1-4.
[2] Song, Hyun Min, Jiyoung Woo, and Huy Kang Kim. "In-vehicle network intrusion detection using deep convolutional neural network." Vehicular Communications 21 (2020): 100198.
[3] Islam, Riadul, and Rafi Ud Daula Refat. "Improving CAN bus security by assigning dynamic arbitration IDs." Journal of Transportation Security 13.1 (2020): 19-31.
[4] Linxi Zhang, et al. "A Hybrid Approach Toward Efficient and Accurate Intrusion Detection for In-Vehicle Networks." Digital Object Identifier 10.1109/ACCESS.2022.3145007
[5] Wang, Chundong, et al. "A distributed anomaly detection system for in-vehicle network using HTM." IEEE Access 6 (2018): 9091-9098.
[6] Park, Seunghyun, and Jin-Young Choi. "Hierarchical anomaly detection model for in-vehicle networks using machine learning algorithms." Sensors 20.14 (2020): 3934.
[7] E. Seo, H.M. Song, H.K. Kim, "GIDS: GAN based intrusion detection system for in-vehicle network", 2018 16th Annual Conference on Privacy, Security and Trust (PST), IEEE, 2018, pp. 1–6.
[8] Barletta, Vita Santa, et al. "Intrusion Detection for In-Vehicle Communication Networks: An Unsupervised Kohonen SOM Approach." Future Internet 12.7 (2020): 119.
[9] Barletta, Vita Santa, et al. "A Kohonen SOM Architecture for Intrusion Detection on In-Vehicle Communication Networks." Applied Sciences 10.15 (2020): 5062.
[10] Kosmanos, Dimitrios, et al. "A novel intrusion detection system against spoofing attacks in connected electric vehicles." Array 5 (2020): 100013.
[11] Luo, Shengda, et al. "Complementary Deep and Shallow Learning with Boosting for Public Transportation Safety." Sensors 20.17 (2020): 4671.
[12] Qin, Zhi-Quan, Xing-Kong Ma, and Yong-Jun Wang. "ADSAD: An unsupervised attention-based discrete sequence anomaly detection framework for network security analysis." Computers & Security 99 (2020): 102070.
[13] Alom, Md Zahangir, and Tarek M. Taha. "Network intrusion detection for cyber security using unsupervised deep learning approaches." 2017 IEEE National Aerospace and Electronics Conference (NAECON). IEEE, 2017.
[14] Hwang, Ren-Hung, et al. "An unsupervised deep learning model for early network traffic anomaly detection." IEEE Access 8 (2020): 30387-30399.
[15] Zavrak, Sultan, and Murat İskefiyeli. "Anomaly-based intrusion detection from network flow features using variational autoencoder." IEEE Access 8 (2020): 108346-108358.
[16] Merrill, Nicholas, and Azim Eskandarian. "Modified autoencoder training and scoring for robust unsupervised anomaly detection in deep learning." IEEE Access 8 (2020): 101824-101833.
[17] Huang, Jiabo, et al. "Unsupervised deep learning by neighbourhood discovery." International Conference on Machine Learning. PMLR, 2019.
[18] Aljemely, Anas H., et al. "A novel unsupervised learning method for intelligent fault diagnosis of rolling element bearings based on deep functional auto-encoder." Journal of Mechanical Science and Technology 34.11 (2020): 4367-4381.
[19] Schlegl, Thomas, et al. "f-AnoGAN: Fast unsupervised anomaly detection with generative adversarial networks." Medical image analysis 54 (2019): 30-44.
[20] CAR-HACKING DATASET, https://ocslab.hksecurity.net/Datasets/CAN-intrusion-dataset
[21] T. Han, C. Liu, W. Yang, D. Jiang, "A novel adversarial learning framework in deep convolutional neural network " intelligent diagnosis of mechanical faults, Knowledge-Based Syst. 165 (2019) 474–487.

Full-Text:

الگوي تهيه مقالات

دو فصلنامه علمي

فناوري اطلاعات و ارتباطات ایران

سال پانزدهم، شماره ‌57 و58 ، پاییز و زمستان 1402

صفحات:20 الی30

$E:\E Drive\logo\iicta Logo0.JPG$

An Intrusion Detection System based on Deep Learning for CAN Bus

Fateme Asghariyan*, Mohsen Raji**

*Master student, Faculty of Electrical and Computer Engineering, Shiraz University, Shiraz, Iran

**Associate Professor, Faculty of Electrical and Computer Engineering, Shiraz University, Shiraz, Iran

Abstract

Keywords: In-vehicle network, Controller area network (CAN), Intrusion detection, Convolutional neural network (CNN), Adversarial Training

یک سیستم تشخیص نفوذ مبتنی بر یادگیری عمیق برای گذرگاه‏ CAN

فاطمه اصغریان*، محسن راجی**×

*دانشجوی کارشناسی ارشد، دانشکده مهندسی برق و کامپیوتر، دانشگاه شیراز، شیراز، ایران

** دانشیار، دانشکده مهندسی برق و کامپیوتر، دانشگاه شیراز، شیراز، ایران

تاریخ دریافت: 19/05/1401 تاریخ پذیرش: 23/09/1401

نوع مقاله: پژوهشی

چكیده

در سال‏های اخیر، با پیشرفت الکترونیک خودرو و توسعه وسایل نقلیه مدرن با کمک سیستم‏های نهفته و تجهیزات قابل حمل، شبکه‏های درون-خودرویی مانند شبکه ناحیه کنترل کننده¹ (CAN) با مخاطرات امنیتی جدیدی مواجه شده‏اند. از آنجا که گذرگاه CAN فاقد سیستم‏های امنیتی مانند تایید اعتبار و رمزگذاری برای مقابله با حملات سایبری می‏باشد، نیاز به یک سیستم تشخیص نفوذ برای شناسایی حملات به گذرگاه CAN بسیار ضرروی به نظر می‏رسد. در این مقاله، یک شبکه عصبی پیچیده متخاصم عمیق² (DACNN) برای تشخیص انواع نفوذهای امنیتی در گذرگاه‏های CAN پیشنهاد شده است. به این منظور، روش DACNN که گسترش یافته روش CNN با استفاده از یادگیری خصمانه است، در سه مرحله به تشخیص نفوذ می پردازد؛ در مرحله نخست، CNN به عنوان توصیفگر ویژگی ها عمل نموده و ویژگی‏های اصلی استخراج می‏شود و سپس، طبقه بندی کننده متمایزگر این ویژگی‏ها را طبقه‏بندی می کند و در نهایت، به کمک یادگیری خصمانه نفوذ تشخیص داده می‏شود. جهت بررسی کارآمدی روش پیشنهادی، یک مجموعه داده منبع باز واقعی مورد استفاده قرار گرفت که ترافیک شبکه CAN را بر روی یک وسیله نقلیه واقعی در حین انجام حملات تزریق پیام ضبط نموده است. نتایج به دست آمده نشان می‏دهد که روش پیشنهادی نسبت به سایر روش‏های یادگیری ماشین در نرخ منفی کاذب و میزان خطا عملکرد بهتری دارد که این میزان برای DoS و حمله جعل دنده محرک و حمله جعل RPM کمتر از 0.1% می باشد و این میزان برای حمله فازی کمتر از 0.5% می باشد.

واژگان کلیدی: سیستم تشخیص نفوذ، یادگیری ماشین، شبکه داخل خودرویی، شبکه ناحیه کنترل کننده (CAN)، شبکه عصبی پیچشی (CNN)، یادگیری خصمانه.

[1] Controller Area Network

[2] Deep Adversarial Convolutional Neural Network

×نویسنده مسئول: محسن راجی mraji@shirazu.ac.ir

1. مقدمه

خودروهای ساخته شده در سال‏های گذشته به تدریج پیچیده تر شده اند و فناوری شبکه درون خودرو، ستون اصلی این تغییرات الکترونیکی است که با سرعت زیادی در حال پیشرفت هستند [1]. وسایل نقلیه امروزی شامل بسیاری از واحدهای کنترل‏کننده الکترونیکی¹ (ECU) هستند که با یکدیگر در یک شبکه درون-خودرویی ارتباط برقرار می‏کند. شبکه ناحیه کنترل کننده² (CAN) ایجاد شده است تا یک کانال ارتباطی قابل اعتماد بین این واحد‏های کنترلی برای پخش پیام‏ها فراهم کند. پروتکل‏های سریال مختلف در شبکه‏های درون-خودرویی مانندCAN، شبکه اتصال محلی³ (LIN) و FlexRay در تبادل بلادرنگ پیام کارآمد هستند اما در برابر حملات از راه دور کاملاً آسیب پذیر خواهند بود [2]. از آنجا که پروتکل CAN از نظر طراحی فاقد مکانیسم‏های امنیتی، مانند احراز هویت و رمزگذاری، برای محافظت از ارتباطات خود در برابر حملات سایبری است، در برابر حملات امنیتی مختلف آسیب‏پذیر بوده و فقدان راهکار‏های امنیتی در پروتکل CAN به مهاجمان این اجازه را می‏دهد تا با تزریق پیام‏های ساختگی، سیستم‏های خودرویی را کنترل کنند [3].

پیام‏های ساختگي را ميتوان مستقیماً از طریق درگاه OBD-II و همچنین از طریق سیستم ارتباطات بي سیم مثل بلوتوث و WIFI تزریق کرد [4]. ارتباط محسوسی بین امنیت جاده‌ها و نقض امنیت سایبری وجود دارد، چرا که حملات مخرب می‌توانند منجر به رفتارهای غیرمنتظره‏ای شوند که باعث برخورد و ایجاد تلفات و صدمات می‌شود. به همین سبب تحقیقات درباره‏ی بهبود و ارتقای امنیت خودرو بسیار اهمیت پیدا کرده است.

راه‏های متفاوتی برای ارتقای امنیت سیستم‏های درون-خودرویی وجود دارد اما بهترین راهکار که قادر باشد در کمترین زمان ممکن تشخیص نفوذ را انجام دهد، سیستم‏ تشخیص نفوذ (IDS) است. پیش از این، IDS مبتنی بر ناهنجاری⁴ به عنوان یک رویکرد موثر برای شناسایی حملات مخرب در CAN مورد توجه قرار گرفته است [5][6]. در سال‏های اخیر، با اقبال محققان به روش‏های هوش مصنوعی و تکنیک‏های یادگیری عمیق، استفاده از این روش‏ها برای ارائه IDS بهتر نیز اوج گرفته است. استفاده از شبکه‏های عمیق پیچشی⁵ (CNN) [2]، شبکه های متخاصم مولد⁶ (GAN) [7]، نقشه خود سازماندهی⁷ (SOM) [8]، از جمله این روش‏ها هستند. اما این روش‏ها، نقاط ضعف مهمی دارند؛ از جمله این که یا از داده‏های غیرواقعی استفاده می‏کنند و بنابراین نتایج آن‏ها قابل اتکا به نظر نمی‏رسد و یا این که نیاز به داده‏های بسیار زیاد دارند که ممکن است آنچنان در دسترس نباشد. بنابراین، انتظار می‏رود نتایج به دست آمده از تحقیقات پیشین در این حوزه، قابل اتکا نبوده و یا متکی به داده‏های محدود باشد و میزان خطای آن بیش از حد قابل تحمل باشد.

در این مقاله، یک IDS مبتنی بر ناهنجاری برای افزایش امنیت گذرگاه CAN در شبکه‏های درون-خودرویی ارائه می شود. برای انجام این کار، یادگیری خصمانه⁸ به عنوان یک نظم دهنده در CNN معرفی شده و یک شبکه عصبی پیچشی متخاصم عمیق⁹ (DACNN) برای تشخیص نفوذهای امنیتی در گذرگاه CAN وسیله نقلیه پیشنهاد می‏شود که با حجم بسیار کمی از داده هم سازگاری دارد. روش پیشنهادی با بهره‏گیری از مزیت رویکرد یادگیری خصمانه قادر است با استفاده از مجموعه محدود از حملات واقعی، داده‏های کارآمد بیشتری را برای آموزش بهتر IDS تولید کند. به این ترتیب، IDS پیشنهادی می‏تواند حملات سایبری گسترده و متنوعی مانند کاربرد انکار سرویس (DoS) و فازی و جعل را با نرخ منفی کاذب و نرخ خطای کمتر تشخیص دهد. نتایج به دست آمده نشان می‏دهد، روش پیشنهادی، با بهره بردن از حجم محدود داده‏ها، علاوه بر نرخ منفی کاذب و نرخ خطای کمتر به میزان دقت¹⁰ و صحت¹¹ قابل قبولی هم دست می یابد.

2. کارهای پیشین

در حوزه IDS کارهای متعددی ارائه شده است که در این بخش این کارها را در دو قسمت جداگانه بررسی می‏کنیم. در بخش اول، به کارهای مرتبطی که در سال‏های اخیر به IDS در حوزه‏های کلی‏تری مانند شبکه‏های کامپیوتری پرداخته‏اند، می‏پردازیم و سپس در قسمت دوم، به کارهایی پرداخته می‏شود که مشخصا به افزایش امنیت در ارتباطات درون-خودرویی پرداخته‏اند، اشاره می‏کنیم.

2.1 سیستم‏های تشخیص نفوذ جدید در شبکه‏های کامپیوتری

در دنیای امروز، امنیت شبکه یکی از مهم ترین و پر اهمیت ترین جنبه‏های هر شبکه‏ای می‏باشد که روز به روز به تعداد حملات نفوذگران به شبکه اضافه می‏شود. در صورتی که نفوذگران به شبکه دسترسی پیدا کنند می‏توانند به عنوان یک کاربر شبکه از آن شبکه استفاده کنند که این نه تنها باعث ایجاد ضررهای متعدد و جبران ناپذیر برای شبکه می‏شود بلکه شناسایی نفوذگران هم پس از نفوذ غیر ممکن می‏شود. به همین سبب، IDS مورد توجه محققان در همه ی زمینه‏ها قرار گرفته است. با نمایش کارآمدی روش‏های هوش مصنوعی و به طور خاص یادگیری عمیق، این روش‏ها نیز به طور گسترده در زمینه تشخیص نفوذ استفاده شده‏اند.

الوم، دکتر زهانگیر و همکارش در [13] تشخیص نفوذ شبکه برای امنیت سایبری با استفاده از رویکردهای یادگیری عمیق بدون نظارت ¹²را مطرح کردند. هوانگ و همکارانش در [14] یک مدل یادگیری عمیق بدون نظارت برای تشخیص ناهنجاری ترافیک اولیه در شبکه را ارائه دادند. آن‏ها یک مکانیسم موثر در شناسایی ترافیک ناهنجاری یعنی D-PACK را که شامل یک شبکه عصبی پیچشی و یک مدل یادگیری عمیق بدون نظارت¹³ (AE) است را ارائه دادند. زوراک و همکارش در [15] تشخیص نفوذ مبتنی بر ناهنجاری از ویژگی‏های جریان شبکه با استفاده از رمزگذار خودکار متنوع را بیان کردند که تمرکز آن بر روی شناسایی ترافیک شبکه غیر عادی از داده‏های مبتنی بر جریان با استفاده از روش‏های یادگیری عمیق بدون نظارت با رویکرد نیمه نظارت¹⁴ شده است. جیابو هوانگ و همکارانش در [17] یادگیری عمیق توسط کشف محله¹⁵ را بیان کردند که یک روش یادگیری عمیق بدون نظارت به نام ¹⁶AND است. مدل AND مزایای خوشه بندی و یادگیری ویژگی نمونه را همزمان با کاهش معایب آن‏ها در یک فرمول اصولی ترکیب می‏کند. نجیانپینگ ژوان و همکارانش در [18] یک روش جدید یادگیری بدون نظارت برای تشخیص عیب هوشمند یاطاقان عناصر نورد بر اساس خود رمزگذار عملکردی عمیق ارائه کردند. آن‏ها یک مدل رمزگذارکننده خودکار کاربردی عمیق (DFAE¹⁷) برای استخراج ویژگی از سیگنالهای لرزش خام طراحی کردند. توماس شلگل و همکارانش در [19] تشخیص ناهنجاری سریع بدون نظارت با شبکه‏های خصمانه تولیدی را عنوان کردند. آن‏ها یک رویکرد یادگیری بدون نظارت مبتنی بر یک شبکه خصمانه تولید کننده (GAN¹⁸) ارائه دادند که قادر به شناسایی تصاویر غیرعادی و بخش‏های تصویر است. سرعت تشخیص این روش آن را به یک رویکرد عملی برای تشخیص ناهنجاری و غربالگری توان عملیاتی بزرگ تبدیل می‏کند. در کاری دیگر ته هان و همکارانش [21] روش DACNN را که یک چارچوب یادگیری خصمانه در شبکه عصبی پیچشی برای تشخیص هوشمند خطاهای مکانیکی است، را ارائه کردند.

2.2 سیستم‏های تشخیص نفوذ برای ارتباطات درون-خودرویی

یک شبکه درون خودرو پیام‏های مهمی را منتقل می‏کند که برای عملکرد موثر وسایل نقلیه ضروری است و به همین سبب امنیت این شبکه مسئله ی مهمی است. چندین مطالعه بر روی محافظت از شبکه درون خودرو با رویکرد‏های مختلف متمرکز بوده اند. سونگ و همکارانش در [2] از شبکه عصبی پیچشی عمیق (DCNN¹⁹) برای تشخیص نفوذ شبکه درون خودرو استفاده کردند و توانستند یک بهبود عملکرد قابل توجه نسبت به الگوریتم‏های مشابه دیگر یادگیری ماشین داشته است.

ریاض الاسلام و همکارش در [3] بهبود امنیت گذرگاه CAN با اختصاص شناسه‏های داوری پویا را مطرح کردند که این روش برای شناسایی حمله در سیستم گذرگاه CAN با 12 شناسه داوری بدون تغییر در ساختار اساسی پیام CAN و سخت افزار مرتبط، امنیت داخل خودرو را افزایش می‏دهد. وانگ، چوندونگ و همکارانش در [5]یک سیستم تشخیص ناهنجاری توزیع شده برای شبکه درون خودرو با استفاده از حافظه زمانی سلسله مراتبی²⁰ HTM را برای افزایش امنیت گذرگاه شبکه CAN وسایل نقلیه معرفی کردند. کوسمانوس، دیمیتریوس و همکارانش در [10] یک سیستم ردیابی نفوذ جدید در برابر حملات جعلی در وسایل نقلیه الکتریکی متصل را ارائه کردند که دقت تشخیص را تا 90 درصد افزایش می‏دهد. شنگدا لو و همکارانش در [11] یادگیری عمیق و کم عمق مکمل با تقویت، امنیت حمل و نقل عمومی را بررسی کردند و آن را با روش‏های سنتی مقایسه کردند که نتایج نشان داد که روش آن‏ها از عملکرد بهتری برخوردار است. ویتا سانتا بارلتا و همکارانش در [8] معماری کوهنن برای SOM برای تشخیص نفوذ در شبکه‏های ارتباطی درون خودرو را ارائه دادند که یک روش تشخیص نفوذ مبتنی بر فاصله با هدف شناسایی پیام‏های حمله تزریق شده در یک گذرگاه CAN با استفاده از کوهنن است که نشان می‏دهد در تشخیص حملات به خوبی عمل می‏کند. همچنین آن‏ها کار دیگری در [9] رویکرد کوهنن بدون نظارت را هم برای تشخیص نفوذ برای شبکه‏های ارتباطی درون-خودرویی ارائه کردند.

روش‏های پیشین تشخیص نفوذ مبتنی بر یادگیری عمیق برای شبکه‏های درون-خودرویی دارا نقاط ضعف عمده‏ای هستند. نیاز و استفاده از حجم زیاد داده و هزینه زمانی بالا از مهم ترین نقاط ضعف کار های انجام شده است همچنین عدم استفاده از مجموعه داده های واقعی تهیه شده از وسایل نقلیه واقعی هم از نقاط ضعف برخی از کار هایی است که تاکنون در این زمینه انجام شده اند.

3. پیشینه و مقدمات

در این بخش، روش های استفاده شده در روش پیشنهادی تشخیص نفوذ و شبکه ناحیه کنترل کننده ارائه می گردد. ابتدا شبکه عصبی پیچشی را که در این کار استفاده شده است را معرفی می کنیم سپس شبکه مولد متخاصم مورد استفاده را بررسی می کنیم. در ادامه به بررسی شبکه ناحیه کنترل کننده که روش پیشنهادی برای ارتقای امنیت آن است، می پردازیم.

3.1 شبکه عصبی عمیق

یکی از معروف‌ترین شبکه‌های عمیق به نام شبکه‌‌ی عصبی پیچشی است. شبکه عصبی پیچشی، (CNN) یک الگوریتم یادگیری عمیق است که ورودی را دریافت کرده و به هر یک از جنبه‌های موجود در تصویر میزان تخصیص داده و قادر به متمایزسازی آن‌ها از یکدیگر است. شبکه‌های پیچشی از فرآیندهای بیولوژیکی الهام گرفتند که الگوی اتصال بین نورون‌ها شبیه سازماندهی قشر بینایی حیوانات است که قادر است به طور موفقی وابستگی‌های زمانی و فضایی را در یک داده با استفاده از فیلترهای مرتبط ثبت کند. CNN ها نسخه های منظم پرسپترون های چندلایه هستند. پرسپترون های چندلایه معمولاً به معنای شبکه های کاملاً متصل هستند، یعنی هر نورون در یک لایه به تمام نورون های لایه بعدی متصل است. CNNها رویکرد متفاوتی نسبت به منظم‌سازی دارند: آنها از الگوی سلسله مراتبی در داده‌ها بهره می‌برند. و الگوهای با پیچیدگی فزاینده را با استفاده از الگوهای کوچکتر و ساده تری که در فیلترهای آنها نقش بسته است، جمع آوری کنید.

لایه ورودی²¹، لایه ی ورودی در واقع همان داده ی ورودی است که به شبکه ی عصبی داده خواهد شد. هیچ محاسبه ای در این لایه انجام نخواهد شد و در این لایه داده ها فقط به لایه پنهان انتقال پیدا خواهد کرد. داده ای که به عنوان ورودی به شبکه ی عصبی داده خواهد شد باید عددی باشد لایه مخفی²²، لایه های مخفی شامل بیشتر نورون ها در شبکه ی عصبی هستند و به نوعی قلب محاسبات محسوب خواهند شد.در بلوک‏های پیچشی، برای محاسبه اندازه تعداد نورون‏های خروجی (N) از رابطه (2) استفاده می‏شود:

که در آن، W اندازه تعداد نورون‏های ورودی، (F) , اندازه گام و مقدارzero padding (P) استفاده می شود.

در این لایه ها انواع محاسبات بر روی داده های ورودی انجام خواهد شد و نتیجه به لایه خروجی منتقل خواهد شد توسعه دهندگان شبکه ی عصبی بر خالف لایه ورودی و خروجی مستقیما با این لایه کار نخواهند کرد. لایه خروجی ²³، در این لایه محاسبات نهایی بر روی داده ها انجام خواهد شد و خروجی یادگرفته شده توسط شبکه عصبی تولید خواهد شد .

این روش از پیش پردازش کمتری نسبت با سایر الگوریتم های طبقه بندی استفاده می کند. شبکه CNN یاد می گیرد که فیلترها را از طریق یادگیری خودکار بهینه کرده، در حالی که در الگوریتم های سنتی این فیلترها به صورت دستی طراحی شده اند. این استقلال از دانش قبلی و مداخله انسان در استخراج ویژگی یک مزیت عمده است. این شبکه از یک عملیات ریاضی به نام پیچیدگی به جای ضرب ماتریس داخلی در یکی از لایه های خود استفاده خواهد کرد که از یک لایه ورودی، لایه های پنهان و یک لایه خروجی تشکیل شده است. لایه ‌های پنهان شامل لایه‌ هایی هستند که پیچشی را انجام خواهند داد. معمولاً این شامل لایه‌ای است که حاصل ضرب نقطه‌ای از هسته پیچشی را با ماتریس ورودی لایه انجام می‌دهد. نورون پیچشی داده ها را فقط برای میدان گیرنده خود پردازش می کند.

3.2 شبکه مولد متخاصم

شبکه های مولد متخاصم ²⁴(GAN) دسته ای از سیستم های یادگیر عمیق محسوب می شوند که به دسته ی مدل های مولد²⁵ تعلق دارند. این شبکه رویکردی با مدل‌سازی مولد با استفاده از روش‌های یادگیری عمیق مانند شبکه های عصبی پیچشی ²⁶(CNN) در یادگیری ماشین است که شامل اکتشاف خودکار و یادگیری قواعد یا الگوهای موجود در داده‌های ورودی می‌شود. این مدل شامل 2 زیر مدل است که این دو زیر مدل عبارت اند از مدل مولد و مدل متمایزگر ²⁷است که مدل اول کار تولید نمونه های جدید را انجام می دهد و مدل دوم نمونه‌ها را به عنوان نمونه واقعی (از دامنه) یا جعلی (تولید شده) دسته‌بندی می کند. در یک معماری GAN ، متمایزگر، نمونه هایی از داده های واقعی و تولید شده را می گرفته و سعی می کند که آن ها را به بهترین وجه ممکن کلاس بندی کند و مولد که آموزش دیده تا حد ممکن متمایزگر را فریب می دهد. بهینه سازی این عملیات به صورت رابطه (5) انجام خواهد شد که G نشان دهنده مولد و D نشان دهنده متمایز است.

)1)

(2)

که در آن، G نشان دهنده ی تابع مولد و D تابع متمایزگر است. بنابراین هدف از مولد فریب متمایزگر است، بنابراین شبکه عصبی مولد آموزش دیده تا خطای کلاس بندی را به حداکثر برساند. هدف متمایزگر هم این است که داده های تولید شده جعلی را کشف کند، پس شبکه عصبی متمایزگر آموزش داده شده تا خطای کلاس بندی را به حداقل برساند. در نتیجه در هر بار تکرار، وزن شبکه مولد به منظور افزایش خطای کلاس بندی بروز می شود. این در حالی است که وزن شبکه متمایزگر برای کاهش خطای مورد نظر بروز می شود. هر دو شبکه در پی آن هستند که یکدیگر را شکست دهند به همین سبب هم هر دو بهتر و بهتر می شوند.

3.3 شبکه ناحیه کنترل کننده

شبکه ناحیه کنترل کننده یک گذرگاه سریال سریع است که برای ارائه یک پیوند کارآمد، قابل اعتماد و بسیار مقرون به صرفه بین سنسورها و محرک ها طراحی شده است. CAN تجهیزات الکترونیکی خودرو را متصل می کند. این اتصالات به اشتراک گذاری اطلاعات و منابع بین برنامه های کاربردی توزیع شده را تسهیل می کند. همه گره ها می توانند در هر زمانی پیام ارسال کنند، زمانی که دو گره با هم به اتوبوس دسترسی پیدا می کنند، داوری تصمیم می گیرد که چه کسی ادامه دهد. مجموعه‌های گسترده CAN و CAN FD ما همه عملکردهای CAN و حالت‌های قدرت را با عملکرد عالی EMC، کیفیت پیشرو و یک پایه صنعتی چند منبع پوشش می‌دهند. نوآوری مخرب در این زمینه درها را به روی شبکه های خودرویی بزرگتر و انعطاف پذیرتر در آینده باز می کند. پروتکل CAN این پروتکل مجموعه ای از قوانین برای انتقال و دریافت پیام در شبکه ای از دستگاه های الکترونیکی است که تحت این قوانین تعیین شده، پیام ها از یک دستگاه به دستگاهی دیگر منتقل می شوند. دو نوع پروتکل وجود دارد: آدرس یا پیام. در پروتکل مبتنی بر آدرس، بسته های داده حاوی آدرس دستگاهی هستند که پیامی برای آن در نظر گرفته شده است. در پروتکل مبتنی بر پیام، هر پیام به جای یک آدرس توسط یک شناسه از پیش تعیین شده مشخص می شود. فریم CAN منتقل شده معمولاً یک پروتکل مبتنی بر پیام است. پیام یک بسته داده است که اطلاعات را حمل می کند. یک پیام CAN از 0 تا 8 بایت داده تشکیل شده است که در یک ساختار خاص (به نام فریم) سازماندهی شده اند. داده های حمل شده در هر بایت در پروتکل CAN تعریف شده است. همه گره هایی که از پروتکل CAN استفاده می کنند یک فریم دریافت می کنند و بسته به شناسه گره،CAN تصمیم گیری می کند که آن را بپذیرد یا نه. اگر چندین گره پیام را همزمان ارسال کنند، گره با بیشترین اولویت دسترسی به گذرگاه را دریافت می کند. گره های با اولویت پایین باید منتظر بمانند تا گذرگاه در دسترس باشد.

4. سیستم تشخیص نفوذ پیشنهادی

در این بخش، روش پیشنهادی مبتنی بر یادگیری عمیق خصمانه برای سیستم تشخیص نفوذ برای گذرگاه CAN در شبکه‏های درون-خودرویی ارائه می‏شود. نمای کلی این روش که از سه بخش اصلی تشکیل می‏شود، در شکل 1 نشان داده شده است. روش که ما برای انجام این کار در نظر گرفته ایم، در سه مرحله انجام می‏شود. که ابتدا توصیفگر ویژگی قرار دارد و بعد از آن به طبقه بندی کننده متمایزگر پرداخته و در بخش سوم یادگیری خصمانه انجام می‏گردد. این سه عملکرد مختلف در قالب یک CNN که با یادگیری خصمانه ادغام شده است، ارائه می‏شود.

شکل 1. نمای کلی از روش پیشنهادی تشخیص نفوذ برای شبکه درون-خودرویی مبتنی بر یادگیری خصمانه

4.1 چارچوب روش پیشنهادی

در سیستم تشخیص نفوذ پیشنهادی، از یک شبکه عصبی عمیق پیچشی که با آموزش خصمانه ادغام شده است، استفاده می‏شود. در این روش، که مبتنی بر یادگیری نظارت شده²⁸ است، طی سه مرحله عملیات تشخیص نفوذ انجام می‏شود؛ در مرحله اول، CNN به عنوان توصیفگر عمل نموده و سپس در در مرحله دوم، طبقه بندی کننده متمایزگر قرار دارد و در نهایت، در مرحله ی سوم به یادگیری خصمانه پرداخته می شود که برای این کار از روش GAN استفاده می شود.

در این روش، رقیب از داده‏ها یاد میگرد که این برخلاف روش‏های یادگیری عمیق رایج است. وجه تمایز دیگر روش DACNN با روش CNN در میزان استفاده این روش از مجموعه داده می‏باشد به این معنی که این روش با حجم بسیار کم داده هم سازگاری دارد.

1-1-1- مرحله اول: توصیفگر ویژگی به کمک مدل CNN

در مرحله اول با استفاده از مدل CNN ، توصیفگر ویژگی انجام می‏شود به این صورت که بلوک‏های پیچشی²⁹ مدل CNN کار توصیفگر ویژگی را برعهده دارد. این بخش مشابه با مولد در GAN عمل می‏کند که داده‏ها را در فضای D-بعدی نگاشت می‏کند و به صورت رابطه (1) تعریف می‏شود:

که در آن پارامترهای θf ، داده های ورودی است و Gf تابع مولد ورودی می باشد. توصیفگر ویژگی داده‏ها را می‏گیرد و توصیفگرهای ویژگی/بردارهای ویژگی را خروجی می‏دهد

در این کار، از تابع softmax استفاده می شود که خروجی آن به صورت رابطه (3) تعریف خواهد شد:

(3)

(4)

در این k تعداد دسته ها و θjx پارامترهای لایه طبقه بندی است.

1-1-2- مرحله دوم: طبقه بندی متمایزگر

در مرحله دوم بر روی ویژگی‏هایی که از مرحله قبل به دست آمده است، طبقه بندی کننده متمایزگر انجام می‏شود. طبقه بندی کننده‏ متمایزگر یاد می‏گیرند که چه ویژگی‏هایی در ورودی برای تمایز بین کلاس‏های ممکن مختلف مفید خواهد بود. از نظر ریاضی، مستقیماً احتمال خلفی P(y|x) را محاسبه می‏کند یا یک نقشه مستقیم از ورودی x به برچسب y یاد می‏گیرد. در بیشتر کارهای طبقه‌بندی، طبقه‌بندی‌کننده‌ متمایزگر اغلب دقیق‌تر هستند. متمایزگر دو دسته از داده‏ها، داده‏های واقعی و داده‏های جعلی را مطابق با مدل GAN متمایز می کند. در این مرحله یک طبقه بندی کننده متمایزگر به عنوان حریف طراحی می‏شود، به صورت رابطه (4) است که با پارامترهای θd است و هر دو زیر مجموعه داده از توصیفگر ویژگی تغذیه خواهند شد و ویژگی‏های خروجی پیشتر توسط طبقه بندی کننده متمایزگر، متمایز شده است.

که در آن، x ورودی می باشد و G نشان دهنده تابع مولد است.

1-1-3- مرحله سوم: یادگیری خصمانه

در مرحله پایانی، به انجام یادگیری خصمانه بر روی خروجی‏های طبقه بندی کننده متمایزگر که مرحله دوم است و ورودی این مرحله محسوب می‏شود، پرداخته می‏شود. برای انجام این کار از مدل GAN استفاده شده است. به این صورت که این داده‏ها به عنوان مجموعه داده به مدل داده می‏شود و متناسب با آن مجموعه داده عملیات مولد³⁰ و متمایزگر³¹ انجام شده خواهد شد.

طبقه بندی کننده‏ای که توسط لایه‏های کاملا متصل³² بعدی در CNN ساخته شده است به صورت رابطه (6) تعریف می‏شود:

(5)

که در آن، با پارامترهای θy ،که در آن L تعداد دسته ها را نشان خواهد داد. از تابع softmax برای انجام این روش استفاده می‏کنیم. در این روش میزان آنتروپی متقاطع باینری³³ (BCE) برای خروجی‏های به دست آمده به صورت فرمول (7) بدست می‏آید.

)6)

(7)

که در آن،G تابع مولد را نشان می دهد و xi مقدار ورودی می باشد و di نشان دهنده متغیر باینری برای xi است.

در مرحله سوم که چارت این مرحله در شکل 2 آمده است، به یادگیری خصمانه پرداخته می شود. برای انجام این کار از الگوریتم GAN استفاده شده است. این کار به صورت نظارت شده و با استفاده از برچسب‏ها کار خود را پیش می‏برد. در این مرحله ابتدا به صورت تصادفی داده‏هایی به مدل مولد داده می شود تا داده‏های جعلی تولید گردد. سپس این داده‏ها به همراه داده‏های واقعی برچسب دار به مدل متمایز داده می‏شود و بعد از سپری کردن مراحل مولد و متمایز تشخیص نفوذ انجام خواهد شد.

شکل2. فلوچارت ساختار روش GAN

5. بحث و نتایج

در این بخش، نتایج آزمایش‏های تجربی روش پیشنهادی تشخیص نفوذ ارائه می گردد. ابتدا مجموعه داده هایی که در این کار استفاده شده است را جهت ارزیابی روش پیشنهادی معرفی می کنیم سپس معیار های ارزیابی مورد استفاده را بررسی می کنیم. در ادامه با طرح آزمایش های مختلف به بررسی عملکرد روش پیشنهادی می پردازیم سپس نتایج بدست آمده از روش پیشنهادی را با روش های پیشین مقایسه می کنیم.

5.1 مجموعه داده

برای انجام این تشخیص نفوذ از مجموعه داده ای استفاده کردیم که برای تهیه آن از وسیله نقلیه واقعي استفاده شده است[2] . همچنین برای ساخت این مجموعه داده از دو دستگاه سفارشي Raspberry Pi استفاده شده است که یكي برای ثبت ترافیک شبكه و دیگری برای تزریق پیام‏های ساختگي استفاده شده است. آنها از طریق پورت OBD-II واقع در زیر فرمان خودرو به شبكه داخل خودرو متصل بوده و انتقال پیام از طریق گره‏های ECU واقعی در گذرگاه CAN صورت گرفته است. از طریق پورت OBD-II، گره های سفارشی قادر به ارسال و دریافت از گره های ECU واقعی در گذرگاه CAN بودند. این مجموعه داده چهار بخش است که شامل حمله DoS و حمله فازی و حمله جعل دنده محرک و حمله جعل RPM است. هر مجموعه داده با ثبت ترافیک CAN در حین تزریق پیام های ساخته شده اشت. هرکدام از مجموعه داده‏ها حاوی 300 نفوذ تزریق پیام هستند و هر نفوذ برای 3 تا 5 ثانیه انجام مي شود و هر مجموعه داده در کل 30 تا 40 دقیقه از ترافیک CAN را دارد. در حین ساخت مجموعه داده، خودرو با موتور روشن پارک شده بود. در حالت عادی 26 شناسه CAN متمایز در گذرگاه CAN وجود دارد. مشخصات حملات انجام گرفته به شرح زیر است:

1. حمله ³⁴DoS: تزریق پیام‏های CAN ID"0000 "هر 0.3 میلي ثانیه ."0000" غالب ترین CAN ID است.

2. حمله فازی³⁵ : تزریق پیامهایي با مقدار کاملاً تصادفي CAN ID و DATA هر 0.5 میلي ثانیه.

3. حمله جعل دنده محرک و حمله جعل RPM³⁶: تزریق پیام‏های مشخص CAN مربوط به / RPM اطلاعات چرخ دنده هر 1 میلي ثانیه.

Timestamp, CAN ID, DLC, DATA[0], DATA[1], DATA[2], DATA[3], DATA[4], DATA[5], DATA[6], DATA[7], Flag

1. Timestamp: زمان (های) ثبت شده

2. : CAN ID شناسه پیام CAN در HEX (مثلاً 043f)

3. : DLC تعداد بایت های داده، از 0 تا 8

4. : DATA[0~7]مقدار داده (بایت)

5. Flag: T یا R، T نشان دهنده پیام تزریق شده در حالی که R نشان دهنده پیام عادی است.

جدول 1 تعداد پیام های عادی و پیام های تزریق شده در مجموعه داده ها را نشان می دهد.

جدول 1. مروری بر مجموعه داده

	MESSAGE	NORMAL	INGECTED
DoS Attack	3,665,771	3,078,250	587,521
Fuzzy Attack	3,838,860	3,347,013	491,847
Spoofing the drive gear	4,443,142	3,845,890	597,252
Spoofing the RPM	4,621,702	3,966,805	654,897

5.2 معیار‏های ارزیابی

برای بررسی میزان کارآمدی سیستم پیشنهادی در تشخیص نفوذ، از دو معیار نرخ منفی کاذب و میزان خطا استفاده شده است. معیار FNR نشان می‎دهد که سیستم پیشنهادی چه میزان از حملات را شناسایی نمی کند و معیار ER نشان می دهد که احتمال خطا برای روش پیشنهادی به چه میزانی می باشد.

البته از بین این دو، معیار FNR برای تشخیص در شبکه درون خودرو از اهمیت بیشتری برخوردار است و دلیل این امر است که حتی اگر تعداد کمی از حملات شناسایی نشوند، می‏تواند باعث نقص لحظه‏ای خودرو شده و ایمنی آن را به خطر اندازد. برای محاسبه این دو معیار از روابط (8) و (9) استفاده می‏شود:

(8)
(9)

که در آن TP و TN به ترتیب مثبت واقعی و منفی واقعی (نشان دهنده تعداد پیام‏های CAN درست به عنوان حمله و عادی) و FP و FN به ترتیب مثبت کاذب و منفی کاذب (نشان دهنده تعداد پیام‏های CAN نادرست به ترتیب حمله و عادی) هستند.

علاوه بر این، معیارهای متداول ارزیابی مدل‏های یادگیری عمیق شامل دقت³⁷، صحت³⁸، فراخوانی³⁹ و معیار⁴⁰ F هم بررسی شده‏اند. دقت کسری از حمله واقعی به حمله کاذب است که نشان دهنده ی درصد نمونه‏هایی است که به درستی کلاس بندی شده اند. دقت بالا مربوط به میزان FP پایین است. میزان دقت از معادله (10) به دست می آید:

Accuracy = (TP + TF) / (TP + FP +TN +FN)

(10)

صحت کسری از پیام‏های حمله‏ای است که به درستی شناسایی شده است که از طریق رابطه (11) به دست می‏آید:

Precision = TP / (TP + FP)

(11)

فراخوانی نسبت اشتباهات درست تشخیص داده شده به خطا‏های واقعی که شامل خطا‏های شناسایی نشده هم می‏باشد، را نشان میدهد و برای محاسبه این معیار از معادله (12) کمک گرفته می شود.

Recall = TP / (TP + FN)

(12)

نمره F1 معیار تعادلی است که در بین صحت و فراخوانی ایجاد شده است، را نشان میدهد. نکته مهم این است که از آنجا که از میانگین هارمونیک استفاده می‏شود، با افزایش هر دو معیار صحت و فراخوانی، این معیار نیز افزایش می‏یابد. این معیار با استفاده از معادله (13) و با کمک گرفتن از مقادیر دقت و صحت بدست می‏آوریم:

F1 = 2(Precision *Recall) / (Precision + Recall)

(13)

به منظور بررسی میزان کارآمدی روش پیشنهادی تشخیص نفوذ مبتنی بر DACNN، آزمایش‏های گسترده‏ای انجام گرفته که در این بخش نتایج به دست آمده ارائه می‏گردد.

در این مجموعه آزمایش‏ها، ابتدا پیش‏پردازی بر روی مجموعه داده‏ها انجام می‏شود. بدین صورت که پیش از شروع کار مجموعه داده‏هایی را که داریم، داده‏هایی که دارای ویژگی خالی می‏باشد، حذف میکنم که میزان این داده‏ها در هرمجموعه داده کمتر از 10% از میزان مجموعه داده می‏باشد به همین سبب حذف آن‏ها خللی در روند کار ایجاد نمی کند. در ادامه هر مجموعه داده‏ی تغییر یافته را به داده‏های آموزش (شامل 80% از کل داده‏ها) و آزمون (20% از کل داده‏ها) تقسیم کردیم. در آزمایش‏های صورت گرفته، مجموعه داده‏ها را به صورت جداگانه بررسی کردیم. سپس حالت دیگری را که از ادغام هر چهار نوع حمله می‏باشد را مورد بحث قرار دادیم.

یکی از محدودیت‏های کار‏های پیشین این حوزه این است که این روش‏ها به تعداد زیادی نمونه آموزشی نیاز دارند. بنابراین در آزمایش‏های انجام شده، علاوه بر این که روش پیشنهادی (DACNN) با سیستم تشخیص نفوذ مبتنی بر CNN که با تمام داده‏های آموزشی آموزش داده شده است (CNN100%) مقایسه شده است، حالتی نیز در نظر گرفته شده است که در آن CNN با 20% از مجموعه داده آموزشی آموزش داده شود (CNN20%). به این ترتیب، می‏توان میزان تاثیر در دسترس بودن مجموعه داده کافی جهت رسیدن به کارآمدی در روش پیشنهادی را با روش‏های موجود بررسی نمود. قابل ذکر است که برای آموزش روش پیشنهادی هم تنها از 20% مجموعه داده آموزشی استفاده شده است.

شکل 3 میزان FNR را برای روش پیشنهادی و دو روش مبتنی بر CNN را برای تشخیص چهار حمله چهار حمله DoS و حمله فازی و حمله جعل دنده محرک و حمله جعل RPM نشان می دهد. همانطور که مشاهده می‏شود، میزان FNR در روش پیشنهادی کمترین مقدار را نشان می‏دهد که این میزان برای حملات DoS و حمله جعل دنده محرک و حمله جعل کمتر از 0.1%می‏باشد و این میزان برای حمله فازی کمتر از 0.5% می‏باشد که به نظر می‏رسد که این تفاوت به دلیل پیچیدگی داده‏های این حمله در مقایسه با سایر حملات می‏باشد.

شکل3. مقایسه FNR روش‏های تشخیص نفوذ پیشنهادی (DACNN) با روش‏های مبتنی بر CNN.

در شکل 4 میزان ER به دست آمده برای روش پیشنهادی و دو روش مبتنی بر CNN برای تشخیص حملات مختلف نمایش داده شده است. نتایج به دست آمده نشان می‏دهد، میزان ER بدست آمده برای روش پیشنهادی با مجموعه 20% کمتر از میزان بدست آمده برای روش CNN100% است و همانطور که گفته شد میزان ER کمتر مطلوب تر است.

شکل4. مقایسه ER روش‏های تشخیص نفوذ پیشنهادی (DACNN) با روش‏های مبتنی بر CNN.

جداول 2 تا 5 نتایج به دست آمده از⁴¹ResNet [2]، CNN100%، CNN20% و روش پیشنهادی (DACNN) را از منظر دیگر معیارها به تفکیک حملات مختلف نمایش می‏دهد. با توجه به نتایج به دست آمده، میتوان نتیجه گرفت که روش پیشنهادی در سایر معیارها، در هر 4 حمله نتایج مطلوبی را دارد و به میزانی مشابه با روش CNN100% و ResNet با همان میزان مجموعه داده 20% دست پیدا می کند.

جدول 2. نتایج مقایسه DoS

	Accuracy	Precision	Recall	F1-score
ResNet [2]	0.887	0.713	0.887	0.787
CNN100%	0.884	0.711	0.884	0.786
CNN 20%	0.857	0.584	0.857	0.765
DACNN	0.889	0.716	0.889	0.789

جدول3. نتایج مقایسه ی فازی

	Accuracy	Precision	Recall	F1-score
ResNet [2]	0.883	0.722	0.883	0.794
CNN100%	0.881	0.720	0.880	0.791
CNN 20%	0.913	0.754	0.913	0.823
DACNN	0.913	0.756	0.913	0.827

جدول4. نتایج مقایسه حمله جعل دنده محرک

	Accuracy	Precision	Recall	F1-score
ResNet [2]	0.937	0.793	0.937	0.858
CNN100%	0.934	0.789	0.934	0.855
CNN 20%	0.907	0.765	0.907	0.829
DACNN	0.936	0.796	0.939	0.860

جدول 5. نتایج مقایسه حمله جعل RPM

	Accuracy	Precision	Recall	F1-score
ResNet [2]	0.938	0.796	0.938	0.860
CNN100%	0.935	0.792	0.935	0.857
CNN 20%	0.909	0.768	0.909	0.832
DACNN	0.940	0.798	0.940	0.862

به منظور بررسی جامعیت روش پیشنهادی، عملکرد آن بر روی مجموعه داده‏ ادغامی شامل از تمام حملات با روش‏های موجود مقایسه شده است. نتایج نشان می‏دهد که روش پیشنهادی برای مجموعه داده ادغامی هم در مقایسه با سایر روش‏ها بهترین عملکرد را داشته است. بر طبق این نتایج، روش پیشنهادی (DACNN) با در دسترسی به تنها 20% از داده‏های آموزشی، به نتایجی نزدیک یا حتی بهتر از مدل CNN برای مجموعه داده کامل (CNN100%) رسیده است و از نتایج مدل CNN با 20% از داده‏های آموزشی (CNN20%) بسیار بهتر است. به این ترتیب، می‏توان نتیجه گرفت، روش پیشنهادی می‏تواند معضل کمبود داده‏های آموزشی را به راحتی حل نموده و با تولید نمونه‏های بیشتر، به نتایجی بهتر از روش CNN با مجموعه داده کامل دست پیدا کند.

جدول 6. نتایج مقایسه حالت ادغامی

	Accuracy	Precision	Recall	F1-score
CNN 20%	0.888	0.733	0.888	0.802
DACNN	0.921	0.766	0.921	0.735

6. نتیجه گیری

در این مقاله، یک شبکه عصبی خصمانه عمیق پیچیده(DACNN) برای محافظت از گذرگاه CAN وسیله نقلیه پیشنهاد شده است که از یادگیری خصمانه به عنوان یک تنظیم کننده درگسترش روش شبکه عصبی پیچشی (CNN)استفاده می‏کند. برای ارزیابی DACNN پیشنهادی، از یک مجموعه داده منبع باز استفاده کردیم که ترافیک CAN را از طریق درگاه OBD-II یک وسیله نقلیه واقعی در طول حملات تزریق پیام ضبط می‌کند. این مجموعه داده شامل چهار حمله فازی و حمله DoS و جعل (RPM، Gear) است. ارزیابی روش پیشنهادی برای مجموعه داده‏های کاهش یافته (20 درصد از مجموعه داده‏های هر حمله) انجام می‏شود. نتایج ارزیابی‌ها نشان می‌دهد که مدل پیشنهادی نسبت به سایر روش‌های یادگیری ماشینی در نرخ منفی کاذب و میزان خطا عملکرد قابل قبولی دارد. همچنین این روش نسبت به روش DCNN با مجموعه داده کامل از دقت خوبی برخوردار بوده و عملکرد قابل قبولی دارد.

مراجع

[1] Khan, Zadid, et al. "Long Short-Term Memory Neural Network-Based Attack Detection Model for In-Vehicle Network Security." IEEE Sensors Letters 4.6 (2020): 1-4.

[2] Song, Hyun Min, Jiyoung Woo, and Huy Kang Kim. "In-vehicle network intrusion detection using deep convolutional neural network." Vehicular Communications 21 (2020): 100198.

[3] Islam, Riadul, and Rafi Ud Daula Refat. "Improving CAN bus security by assigning dynamic arbitration IDs." Journal of Transportation Security 13.1 (2020): 19-31.

[4] Linxi Zhang, et al. "A Hybrid Approach Toward Efficient and Accurate Intrusion Detection for In-Vehicle Networks." Digital Object Identifier 10.1109/ACCESS.2022.3145007

[5] Wang, Chundong, et al. "A distributed anomaly detection system for in-vehicle network using HTM." IEEE Access 6 (2018): 9091-9098.

[6] Park, Seunghyun, and Jin-Young Choi. "Hierarchical anomaly detection model for in-vehicle networks using machine learning algorithms." Sensors 20.14 (2020): 3934.

[7] E. Seo, H.M. Song, H.K. Kim, "GIDS: GAN based intrusion detection system for in-vehicle network", 2018 16th Annual Conference on Privacy, Security and Trust (PST), IEEE, 2018, pp. 1–6.

[8] Barletta, Vita Santa, et al. "Intrusion Detection for In-Vehicle Communication Networks: An Unsupervised Kohonen SOM Approach." Future Internet 12.7 (2020): 119.

[9] Barletta, Vita Santa, et al. "A Kohonen SOM Architecture for Intrusion Detection on In-Vehicle Communication Networks." Applied Sciences 10.15 (2020): 5062.

[10] Kosmanos, Dimitrios, et al. "A novel intrusion detection system against spoofing attacks in connected electric vehicles." Array 5 (2020): 100013.

[11] Luo, Shengda, et al. "Complementary Deep and Shallow Learning with Boosting for Public Transportation Safety." Sensors 20.17 (2020): 4671.

[12] Qin, Zhi-Quan, Xing-Kong Ma, and Yong-Jun Wang. "ADSAD: An unsupervised attention-based discrete sequence anomaly detection framework for network security analysis." Computers & Security 99 (2020): 102070.

[13] Alom, Md Zahangir, and Tarek M. Taha. "Network intrusion detection for cyber security using unsupervised deep learning approaches." 2017 IEEE National Aerospace and Electronics Conference (NAECON). IEEE, 2017.

[14] Hwang, Ren-Hung, et al. "An unsupervised deep learning model for early network traffic anomaly detection." IEEE Access 8 (2020): 30387-30399.

[15] Zavrak, Sultan, and Murat İskefiyeli. "Anomaly-based intrusion detection from network flow features using variational autoencoder." IEEE Access 8 (2020): 108346-108358.

[16] Merrill, Nicholas, and Azim Eskandarian. "Modified autoencoder training and scoring for robust unsupervised anomaly detection in deep learning." IEEE Access 8 (2020): 101824-101833.

[17] Huang, Jiabo, et al. "Unsupervised deep learning by neighbourhood discovery." International Conference on Machine Learning. PMLR, 2019.

[18] Aljemely, Anas H., et al. "A novel unsupervised learning method for intelligent fault diagnosis of rolling element bearings based on deep functional auto-encoder." Journal of Mechanical Science and Technology 34.11 (2020): 4367-4381.

[19] Schlegl, Thomas, et al. "f-AnoGAN: Fast unsupervised anomaly detection with generative adversarial networks." Medical image analysis 54 (2019): 30-44.

[20] CAR-HACKING DATASET, https://ocslab.hksecurity.net/Datasets/CAN-intrusion-dataset

[21] T. Han, C. Liu, W. Yang, D. Jiang, "A novel adversarial learning framework in deep convolutional neural network " intelligent diagnosis of mechanical faults, Knowledge-Based Syst. 165 (2019) 474–487.

[1] Engine Control Unit

[2] Controller Area Network

[3] Local Interconnect Network

[4] Anomaly

[5] Convolutional Neural Network

[6] Generative Adversarial Networks

[7] Self-organizing map

[8] Adversarial Training

[9] Deep Adversarial Convolutional Neural Network

[10] Accuracy

[11] Precision

[12] Unsupervised

[13] Auto-Encoder

[14] Semi-Supervised

[15] Neighbourhood Discovery

[16] Anchor Neighbourhood Discovery

[17] Deep Functional Auto-Encoders

[18] Generative Adversarial Networks

[19] Deep Convolutional Neural Network

[20] Hierarchical Temporal Memory

[21] Input layer

[22] Hidden layer

[23] Output layer

[24] Generative Adversarial Networks

[25] Generative Models

[26] Convolutional Neural Networks

[27] Discriminator Model

[28] Supervised

[29] Convolutional Blocks

[30] Generative Model

[31] Discriminator Model

[32] fully-connected layers

[33] Binary cross entropy

[34] DoS Attack

[35] fuzzy attack

[36] Spoofing Attack (RPM / gear)

[37] Accuracy

[38] precision

[39] Recall

[40] F1-score

[41] نتایج به دست آمده برای روش مقاله

Share To

Article Url

An Intrusion Detection System based on Deep Learning for CAN Bus

Rimag

Links

Related Centers

Technical Support

Official pages