CANGuard: A Spatio-Temporal CNN-GRU-Attention Hybrid Architecture for Intrusion Detection in In-Vehicle CAN Networks

Die Arbeit stellt CANGuard vor, eine neuartige hybride Deep-Learning-Architektur, die CNNs, GRUs und einen Attention-Mechanismus kombiniert, um Denial-of-Service- und Spoofing-Angriffe in Fahrzeug-CAN-Netzen mit hoher Genauigkeit zu erkennen und dabei den CICIoV2024-Datensatz sowie SHAP-Analysen für eine transparente Entscheidungsfindung nutzt.

Das Wesentliche

Stellen Sie sich Ihr Auto nicht mehr nur als Maschine aus Metall und Gummi vor, sondern als einen kleinen, rollenden Computer, der ständig mit anderen Autos und der Infrastruktur (wie Ampeln oder Straßenlaternen) spricht. Dieses Netzwerk nennt man Internet der Fahrzeuge (IoV).

Aber wie bei jedem Computer, der mit dem Internet verbunden ist, gibt es auch hier Hacker. Die Autoren dieses Papiers haben ein neues, sehr schlauartiges Sicherheitssystem namens CANGuard entwickelt, um diese Hacker abzuwehren.

Hier ist die Erklärung ganz einfach und mit ein paar Bildern aus dem Alltag:

1. Das Problem: Der offene Briefkasten im Auto

Das Herzstück der Kommunikation im Auto ist das CAN-Bus-System. Stellen Sie sich das wie einen langen Flur im Auto vor, in dem alle wichtigen Bauteile (Motor, Bremsen, Lenkrad) miteinander reden.

• Das Problem: Dieser Flur ist sehr alt und hat keine Türschlösser. Jeder, der sich an den Flur anschließen kann, kann Nachrichten schreiben.
• Die Gefahr: Hacker können zwei Dinge tun:
  1. DoS (Denial-of-Service): Sie schreien so laut und so viel, dass niemand sonst mehr gehört wird. Das Auto wird taub und reagiert nicht mehr.
  2. Spoofing (Verkleidung): Sie tun so, als wären sie der Motor oder die Bremse und schicken falsche Befehle (z. B. "Beschleunigen!" statt "Bremsen!"). Das ist extrem gefährlich.

2. Die Lösung: CANGuard – Der super-detective

Die Forscher haben CANGuard erfunden. Man kann sich das wie einen super-intelligenten Sicherheitsdienst vorstellen, der drei verschiedene Spezialisten in einem Team vereint, um verdächtige Aktivitäten zu erkennen.

Stellen Sie sich CANGuard als ein Team aus drei Detektiven vor, die sich eine Videoüberwachung des Auto-Flurs ansehen:

• Der erste Detektiv (CNN – Der Muster-Erkennungs-Spezialist):

  • Was er macht: Er schaut sich die einzelnen Bilder (die Datenpakete) genau an. Er erkennt sofort, ob etwas "falsch aussieht", wie ein verdächtiger Fleck auf einem Foto.
  • Analogie: Er ist wie ein Wachmann, der sofort sieht: "Hey, dieser Mann trägt keine Uniform, obwohl er sich als Fahrer ausgibt!" Er achtet auf das Aussehen der Daten.

• Der zweite Detektiv (GRU – Der Zeit-Experte):

  • Was er macht: Er schaut nicht nur auf ein einzelnes Bild, sondern auf die Reihenfolge der Ereignisse. Er merkt, wenn etwas zeitlich nicht passt.
  • Analogie: Er ist wie ein Detektiv, der sagt: "Moment mal! Normalerweise sagt der Motor erst 'Ich bin heiß', und dann die Klimaanlage 'Ich kühle'. Aber hier sagt die Klimaanlage 'Ich kühle', bevor der Motor überhaupt angefangen hat zu laufen! Das ist unmöglich!" Er achtet auf den Rhythmus und die Geschichte der Daten.

• Der dritte Detektiv (Attention – Der Fokus-Manager):

  • Was er macht: Er hilft den anderen beiden, sich auf das wirklich Wichtige zu konzentrieren und das Unwichtige auszublenden.
  • Analogie: In einem lauten Raum mit 100 Leuten, die alle schreien, ist es schwer, einen bestimmten Satz zu hören. Der Fokus-Manager ist wie ein Verstärker, der genau auf die Lippen desjenigen schaut, der die gefährliche Nachricht flüstert, und alle anderen Stimmen leiser macht. Er sagt: "Ignoriere den Rest, schau nur auf diesen einen Byte (Datenstück), der hier manipuliert wurde!"

3. Wie sie es getestet haben

Die Forscher haben CANGuard mit einem riesigen Datensatz trainiert, der wie ein Übungslabor für Hackerangriffe war (genannt CICIoV2024).

• Sie haben dem System Millionen von normalen Fahrten und Millionen von Angriffen gezeigt.
• Das Ergebnis? CANGuard war fast perfekt. Es hat 99,89 % aller Angriffe erkannt. Das ist viel besser als alle anderen bisherigen Methoden.

4. Warum ist das besonders gut? (Die "Erklärbarkeit")

Frühere Sicherheitsprogramme waren wie ein schwarzer Kasten: Sie sagten nur "Gefahr!", aber man wusste nicht warum.
CANGuard ist anders. Dank des "Fokus-Managers" und einer speziellen Analyse (SHAP) kann das System erklären:
"Ich habe den Angriff erkannt, weil das 4. und 5. Daten-Byte in der Nachricht verdächtig verändert waren."
Das ist wie wenn ein Lehrer nicht nur die Note gibt, sondern auch sagt: "Du hast hier einen Fehler gemacht, weil du die Regel X vergessen hast." Das macht das System vertrauenswürdig.

Zusammenfassung

CANGuard ist wie ein hochmoderner Sicherheitsdienst für Ihr Auto, der:

1. Das Aussehen der Daten prüft (CNN).
2. Den Rhythmus der Kommunikation überwacht (GRU).
3. Sich auf die wichtigsten Hinweise konzentriert (Attention).

Dadurch wird verhindert, dass Hacker Ihr Auto lahmlegen oder steuern. Es ist ein wichtiger Schritt hin zu sichereren, vernetzten Autos, bei denen wir uns darauf verlassen können, dass die Bremsen funktionieren, wenn wir sie brauchen.

Technische Zusammenfassung

1. Problemstellung

Das Internet of Vehicles (IoV) hat die Vernetzung von Fahrzeugen und Infrastruktur revolutioniert, führt jedoch zu erheblichen Sicherheitslücken, insbesondere im Controller Area Network (CAN)-Bus. Der CAN-Bus, der für die Kommunikation zwischen elektronischen Steuergeräten (ECUs) zuständig ist, verfügt über keine integrierten Sicherheitsmechanismen wie Authentifizierung oder Verschlüsselung. Dies macht ihn anfällig für zwei kritische Angriffsarten:

• Denial-of-Service (DoS): Überflutung des Busses mit Nachrichten, was zu Kommunikationsausfällen und Systemfehlfunktionen führt.
• Spoofing-Angriffe: Einschleusen bösartiger Daten, um ECUs zu imitieren und Fahrzeugfunktionen (z. B. Geschwindigkeit, Lenkung, Bremsen) zu manipulieren, was zu Sicherheitsrisiken für Insassen führt.

Bestehende Intrusion Detection Systems (IDS) leiden oft unter begrenzten Fähigkeiten zur zeitlichen Modellierung, unzureichender Fokussierung auf kritische Merkmale und hohen Raten falsch-positiver Meldungen.

2. Methodik: Die CANGuard-Architektur

Die Autoren stellen CANGuard vor, eine hybride Deep-Learning-Architektur, die räumliche und zeitliche Merkmale kombiniert, um Angriffe auf dem CAN-Bus zu erkennen. Das Modell basiert auf drei Hauptkomponenten:

• Convolutional Neural Network (CNN): Dient als Extraktor für räumliche Merkmale. Es besteht aus drei sequentiellen Conv1D-Schichten (mit 64, 128 und 256 Filtern), gefolgt von Batch-Normalisierung, Max-Pooling und Dropout zur Regularisierung. Dies ermöglicht das Erkennen lokaler Muster in den CAN-Nachrichten-Payloads.
• Gated Recurrent Unit (GRU): Ein bidirektionales GRU-Modul (zwei gestapelte Schichten mit 128 und 64 Einheiten) modelliert die zeitlichen Abhängigkeiten in den CAN-Datenströmen. Die Bidirektionalität erlaubt die Nutzung von Kontext sowohl vor als auch nach einem bestimmten Zeitpunkt.
• Attention-Mechanismus: Dieser Mechanismus gewichtet die Ausgaben des GRU, um sich auf die wichtigsten zeitlichen Merkmale zu konzentrieren. Er verbessert die Interpretierbarkeit des Modells und die Leistung, indem er relevante Features priorisiert.

Datenvorverarbeitung und Training:

• Datensatz: CICIoV2024 (1.408.219 Samples, 12 Features), der normale Verkehr sowie DoS- und Spoofing-Angriffe (GAS, RPM, SPEED, STEERING WHEEL) enthält.
• Sequenzierung: Nutzung von gleitenden Fenstern zur Erzeugung zeitlicher Sequenzen.
• Klassenungleichgewicht: Behandlung durch BorderlineSMOTE (Synthetische Generierung von Minderheitenklassen) und Gewichtung der Klassen im Training.
• Normalisierung: Z-Score-Standardisierung aller Features.
• Optimierung: Verwendung des Adam-Optimierers, Early Stopping und Gradient Clipping.

3. Wichtige Beiträge

1. Neue Hybrid-Architektur: Entwicklung von CANGuard, einer spezialisierten CNN-GRU-Attention-Architektur für IoV-Umgebungen.
2. Sequenzbewusste Repräsentation: Erfassung zeitlicher Payload-Abhängigkeiten in CAN-Netzwerken durch sequenzielle Modellierung.
3. Komponentenanalyse: Eine umfassende Ablationsstudie, die den individuellen und kombinierten Einfluss von CNN, GRU und Attention-Modulen quantifiziert.
4. Interpretierbarkeit auf Payload-Ebene: Anwendung von SHAP (SHapley Additive exPlanations), um zu zeigen, welche spezifischen Datenbytes (DATA 0–7) für die Erkennung von Angriffen entscheidend sind.
5. Benchmark-Leistung: Etablierung eines starken empirischen Benchmarks für die Multi-Klassen-Intrusionserkennung auf dem CICIoV2024-Datensatz.

4. Ergebnisse

Die Leistung von CANGuard wurde auf dem CICIoV2024-Datensatz evaluiert und mit State-of-the-Art-Methoden verglichen:

• Gesamtleistung: Das vollständige Modell erreichte eine Genauigkeit (Accuracy), Präzision, Recall und F1-Score von jeweils 99,89 %.
• Vergleich: Dies übertrifft bestehende Methoden signifikant, darunter Deep Neural Networks (96 % Genauigkeit), Random Forest (98,5 %) und andere Ensemble-Methoden auf verschiedenen Datensätzen.
• Ablationsstudie:
  • Nur CNN: 99,33 % Genauigkeit (gut für räumliche Muster, aber schwach bei zeitlichen Abhängigkeiten).
  • Nur GRU: 99,04 % Genauigkeit (hohe Präzision, aber geringere Recall-Werte ohne räumliche Features).
  • CNN + GRU: 99,86 % Genauigkeit (zeigt die komplementären Stärken).
  • CNN + GRU + Attention: Steigerung auf 99,89 %. Der Attention-Mechanismus verbesserte die Genauigkeit um ca. 2,45 % gegenüber der Basislinie ohne Attention.
• Feature-Importance (SHAP): Die Analyse zeigte, dass die Datenbytes DATA 4 und DATA 5 den größten Einfluss auf die Klassifizierung haben. Dies korreliert mit der Art der Spoofing-Angriffe im Datensatz, bei denen spezifische Bytes manipuliert werden, um Signale wie Geschwindigkeit oder Drehzahl zu ändern.

5. Bedeutung und Ausblick

CANGuard demonstriert das hohe Potenzial hybrider Deep-Learning-Modelle für die Sicherheit von Fahrzeugnetzwerken. Durch die Kombination von räumlicher Merkmalsextraktion, zeitlicher Mustererkennung und fokussierter Aufmerksamkeit bietet das System eine robuste, skalierbare und erklärbare Lösung für die Erkennung von DoS- und Spoofing-Angriffen.

Einschränkungen und zukünftige Arbeiten:
Die Studie basierte bisher auf einer Offline-Evaluation mit einem einzigen Benchmark-Datensatz. Zukünftige Arbeiten sollen die Erweiterung auf Cross-Dataset-Evaluationen, den Einsatz in Echtzeit-CAN-Bus-Überwachungssystemen und die Analyse der Robustheit gegenüber adversariellen Angriffen umfassen.

Zusammenfassend liefert CANGuard einen wesentlichen Beitrag zur Sicherung intelligenter Transportsysteme und legt den Grundstein für weiterentwickelte Cybersicherheitslösungen im IoV-Bereich.