CANGuard: A Spatio-Temporal CNN-GRU-Attention Hybrid Architecture for Intrusion Detection in In-Vehicle CAN Networks

Este artigo apresenta o CANGuard, uma nova arquitetura de aprendizado profundo híbrida que combina CNN, GRU e mecanismos de atenção para detectar com alta eficácia ataques de negação de serviço e falsificação em redes CAN de veículos, superando métodos existentes ao ser validado no conjunto de dados CICIoV2024.

O essencial

Imagine que o carro moderno não é apenas uma máquina de metal, mas um robô conectado à internet. Ele tem vários "cérebros" pequenos espalhados pelo veículo (chamados de ECUs) que controlam desde o freio até o ar-condicionado. Todos esses cérebros conversam entre si através de uma "estrada de dados" chamada CAN Bus.

O problema é que essa estrada foi construída há muito tempo e não tem portões, nem guardas, nem fechaduras. Qualquer pessoa que consiga se conectar a ela pode gritar mentiras para os cérebros do carro, fazendo com que ele acelere sozinho, desligue os freios ou pare de funcionar. Isso é o que os hackers chamam de ataques de "Spoofing" (falsificação) ou "DoS" (bloqueio de tráfego).

Aqui entra o CANGuard, o protagonista deste estudo. Vamos explicar como ele funciona usando uma analogia simples:

1. O Detetive com Três Superpoderes

O CANGuard é um sistema de segurança inteligente que usa uma "inteligência artificial" composta por três especialistas trabalhando juntos, como se fosse uma equipe de detetives:

• O Fotógrafo (CNN - Redes Neurais Convolucionais):
  Imagine que o tráfego do carro é uma foto. O Fotógrafo olha para a "foto" de um único momento e diz: "Olha aqui! Esses dados parecem estranhos. Normalmente, o dado de velocidade não vem junto com esse dado de temperatura." Ele é ótimo em encontrar padrões espaciais (como se os dados estivessem lado a lado).
• O Historiador (GRU - Unidades Recorrentes):
  O Fotógrafo só vê o momento atual. Mas o Hacker pode esperar um pouco para atacar. O Historiador olha para a história do que aconteceu nos segundos anteriores. Ele diz: "Espere! O carro estava acelerando suavemente, mas de repente, nos últimos 3 segundos, os dados pularam de forma impossível. Isso não é normal!" Ele entende o tempo e a sequência dos eventos.
• O Foco do Detective (Mecanismo de Atenção):
  Às vezes, há muito barulho na estrada. O Mecanismo de Atenção é como um detective que usa uma lupa. Ele ignora os detalhes chatos e diz: "Esqueça os dados do ar-condicionado e do rádio. Olhe apenas para o byte de dados que controla a velocidade e o volante. É ali que está a mentira!" Ele ajuda o sistema a não se distrair com informações inúteis.

2. O Treinamento (A Escola de Detetives)

Para criar esse sistema, os autores usaram um "livro de casos" chamado CICIoV2024. É um banco de dados gigante com milhões de exemplos de tráfego normal e de ataques reais.

• O Desafio: Havia muitos mais exemplos de carros normais do que de carros sendo hackeados (como ter 1000 fotos de carros normais e apenas 10 de carros roubados).
• A Solução: Eles usaram uma técnica chamada "BorderlineSMOTE". Pense nisso como um fotógrafo de estúdio que cria cópias artificiais (mas realistas) dos casos raros de roubo, para que o sistema de segurança possa estudar e aprender a identificar todos os tipos de ladrões, não apenas os mais comuns.

3. O Resultado (A Prova Final)

Quando colocaram o CANGuard para trabalhar, ele ficou impressionante:

• Precisão: Ele acertou 99,89% das vezes. É como se ele identificasse um ladrão em uma multidão de 10.000 pessoas e não confundisse ninguém inocente.
• Comparação: Ele foi melhor do que os métodos antigos (como "Logística" ou "Árvores de Decisão") e até melhor do que outras inteligências artificiais modernas testadas no mesmo cenário.

4. A Transparência (Por que ele fez isso?)

Uma das maiores preocupações com Inteligência Artificial é: "Como ela sabe que é um ataque?". Às vezes, a IA é uma "caixa preta".
Os autores usaram uma ferramenta chamada SHAP (que é como um raio-X da decisão). Eles mostraram exatamente quais pedaços de dados o sistema olhou.

• Descoberta: O sistema descobriu que os bytes de dados que controlam a velocidade (DATA 4 e DATA 5) eram os mais importantes para detectar mentiras. Isso faz sentido, porque é ali que os hackers costumam injetar suas ordens falsas para fazer o carro acelerar ou frear sozinho.

Resumo da Ópera

O CANGuard é como um sistema de segurança de carro de última geração que não apenas vigia a estrada, mas entende a história do trânsito e sabe exatamente onde olhar para pegar o ladrão.

• Por que isso importa? Porque no futuro, nossos carros serão mais conectados e mais vulneráveis. Ter um "guarda-costas" digital que entende tanto o espaço quanto o tempo, e que consegue explicar por que ele está alarmado, é essencial para garantir que, quando você estiver dirigindo, o único controle que você tenha seja o seu próprio.

Em suma: O carro está conectado, mas agora também está protegido.

Resumo técnico

1. Problema e Contexto

O Internet of Vehicles (IoV) revolucionou o transporte inteligente, permitindo a comunicação entre veículos e infraestrutura. No entanto, essa conectividade introduz vulnerabilidades críticas de segurança, especialmente no CAN bus (Controller Area Network), o protocolo padrão para comunicação entre as Unidades de Controle Eletrônico (ECUs) dentro do veículo.

O CAN bus carece de mecanismos nativos de segurança (como autenticação e criptografia), tornando-o suscetível a dois tipos principais de ataques:

• Ataques de Negação de Serviço (DoS): Inundam o barramento com mensagens excessivas, causando falhas de comunicação e mau funcionamento do veículo.
• Ataques de Spoofing: Injetam dados maliciosos para se passarem por ECUs legítimas, alterando funcionalidades críticas (como aceleração, frenagem ou direção), o que pode levar à perda de controle e colocar a vida dos passageiros em risco.

Os métodos existentes de Detecção de Intrusão (IDS) muitas vezes falham em modelar adequadamente as dependências temporais dos dados do CAN, ignoram características críticas ou apresentam altas taxas de falsos positivos, limitando sua aplicabilidade em cenários reais.

2. Metodologia: Arquitetura CANGuard

O artigo propõe o CANGuard, uma arquitetura híbrida de aprendizado profundo que combina três componentes principais para capturar simultaneamente características espaciais e temporais dos dados do CAN:

• Pré-processamento de Dados:

  • Utilização do conjunto de dados CICIoV2024, contendo mais de 1,4 milhão de amostras com tráfego normal e ataques (DoS, GAS, RPM, SPEED, STEERING WHEEL).
  • Construção de Sequências Temporais: Criação de janelas deslizantes para capturar dependências temporais.
  • Tratamento de Desequilíbrio de Classes: Aplicação do algoritmo BorderlineSMOTE para gerar amostras sintéticas das classes minoritárias e uso de pesos de classe durante o treinamento.
  • Normalização: Padronização Z-score para garantir convergência estável.

• Arquitetura do Modelo:

  1. CNN (Convolutional Neural Network): Atua como extrator de características espaciais. Utiliza três camadas convolucionais 1D (64, 128 e 256 filtros) seguidas de normalização em lote, pooling e dropout para regularização.
  2. GRU (Gated Recurrent Unit): Atua como modelador de dependências temporais. Utiliza duas camadas de GRU bidirecionais empilhadas (128 e 64 unidades), permitindo que o modelo capture contextos anteriores e subsequentes nas sequências de dados.
  3. Mecanismo de Atenção: Um mecanismo de atenção (Attention Mechanism) é aplicado sobre as saídas do GRU para ponderar e focar nos passos de tempo e características mais informativos, melhorando a interpretabilidade e a precisão.
  4. Camadas de Classificação: Camadas totalmente conectadas (Dense) com ativação ReLU e softmax final para classificar as 6 categorias (Benigno, DoS e 4 tipos de Spoofing).

• Treinamento e Otimização:

  • Otimizador Adam com taxa de aprendizado de 0,001.
  • Função de perda: Categorical crossentropy.
  • Técnicas de regularização: Dropout (0,3), Regularização L2, Early Stopping e Gradient Clipping.

3. Contribuições Principais

1. Arquitetura Híbrida Otimizada: Desenvolvimento do CANGuard, especificamente projetado para tráfego CAN em ambientes IoV, integrando CNN, GRU e Atenção.
2. Representação Consciente de Sequência: Captura eficaz das dependências temporais nos payloads do CAN, superando modelos que tratam os dados apenas como instâncias independentes.
3. Estudo de Ablação Abrangente: Quantificação do impacto individual e combinado de cada módulo (CNN, GRU, Atenção) na detecção de intrusão multiclasse.
4. Interpretabilidade via SHAP: Uso da análise SHAP (SHapley Additive exPlanations) para identificar quais bytes específicos do payload (DATA 0–DATA 7) têm maior impacto na detecção, tornando o modelo "explicável".
5. Linha de Base Empírica Forte: Estabelecimento de um novo padrão de desempenho no conjunto de dados CICIoV2024 para detecção de intrusão em redes CAN.

4. Resultados e Desempenho

O modelo foi avaliado no conjunto de dados CICIoV2024, demonstrando superioridade em relação aos métodos state-of-the-art (SOTA):

• Métricas Gerais: O CANGuard alcançou 99,89% de precisão, recall, F1-score e acurácia.
• Comparação com SOTA: Superou significativamente modelos anteriores, como Redes Neurais Profundas (DNN) de 96% de acurácia e métodos baseados em Random Forest ou AdaBoost que variaram entre 49% e 98,5%.
• Estudo de Ablação:
  • Apenas CNN: 99,33% de acurácia (limitado na modelagem temporal).
  • Apenas GRU: 99,04% de acurácia (limitado na extração espacial).
  • CNN + GRU: 99,86% de acurácia (demonstrando a complementaridade das camadas).
  • CNN + GRU + Atenção: 99,89% de acurácia. A adição do mecanismo de atenção trouxe um ganho de 2,45% em relação à linha de base CNN+GRU, refinando a importância das características.
• Análise SHAP: Revelou que os bytes DATA 4 e DATA 5 do payload do CAN são os mais críticos para distinguir tráfego malicioso de benigno, alinhando-se com a natureza dos ataques de spoofing que manipulam sinais específicos de velocidade e rotação.

5. Significado e Conclusão

O CANGuard representa um avanço significativo na segurança cibernética de veículos conectados. Ao combinar a extração de características espaciais (CNN) com a modelagem temporal (GRU) e o foco dinâmico (Atenção), o sistema oferece uma detecção de intrusão altamente precisa e robusta.

A principal contribuição além da performance é a explicabilidade: ao identificar quais bytes do CAN são mais relevantes para a decisão do modelo, o CANGuard permite que engenheiros de segurança entendam o "porquê" de uma detecção, facilitando a implementação prática e a confiança em sistemas críticos. Embora o estudo atual seja limitado a avaliação offline em um único conjunto de dados, o trabalho estabelece uma base sólida para futuras implementações em tempo real e testes de robustez adversarial em ambientes IoV reais.