ING - Scuola di Ingegneria Industriale e dell'Informazione
18-lug-2023
2022/2023
Negli ultimi anni i veicoli si sono evoluti per accogliere una moltitudine di dispositivi
utili che comunicano tra di loro attraverso il protocollo CAN. Anche se è economico ed
efficace, tale protocollo è privo di misure di sicurezza in grado di proteggere un numero
sempre maggiore di componenti vitali interconnesse tra loro. Inoltre, l’esteso impiego di
interfacce di comunicazione, in locale o in remoto, lascia scoperta un’ampia superficie
di attacco, aumentando le occasioni di accesso non autorizzato. Da quando studi recenti hanno provato che degli attacchi esterni possono costituire una minaccia reale per
la disponibilità di un veicolo, per la confidenzialità dei dati di guida e per l’incolumità
dei passeggeri, sia i ricercatori che i produttori di autovetture hanno concentrato i propri
sforzi sull’implementazione di difese efficaci. Un intrusion detection system (IDS) è un
dispositivo o un’applicazione software che osserva la rete provando a rilevare eventuali
intrusioni; in particolare, impiegare modelli di machine learning è una delle principali
soluzioni di rilevazione nel campo automobilistico. Tuttavia gli IDS non sono perfetti:
sapendo della presenza di questi sistemi, un agente malevolo potrebbe portare avanti un
attacco avversariale, cioè studiare un input contraffato appositamente per evitare il rilevamento. L’obiettivo di questo studio è quello di adattare al dominio delle autovetture
alcune note tecniche avversariali, al fine di verificare la resilienza, le caratteristiche e le vulnerabilità di diversi IDS dallo stato dell’arte. I contributi principali di questa tesi sono il
design di tre algoritmi per l’evasione basati sul gradiente, adattati dal campo della visione
artificiale, e il confronto degli algoritmi sviluppati contro sei architetture per la rilevazione
su due diversi dataset. Da ciò emerge che la performance degli algoritmi è largamente
dipendente dalla complessità del modello sotto attacco e dalla qualità dell’attacco voluto.
Si nota inoltre un comportamento interessante da parte dell’attacco avversariale prodotto,
riguardante la trasferibilità attraverso diversi sistemi di rilevamento e attraverso diversi
istanti di tempo nel flusso di comunicazione.
In the modern years vehicles have evolved to host a multitude of useful devices that communicate to each other through the CAN protocol. Albeit it is cheap and effective, this
protocol lacks security measures to protect an ever-increasing number of interconnected
critical components. Moreover, the widespread introduction of local and remote connectivity exposes a wide attack surface, increasing the opportunity for unauthorised intrusion.
Since recent studies have proven external attacks to constitute a real-world threat to vehicle availability, driving data confidentiality and passenger safety, both researchers and
car manufacturers focused their efforts on implementing effective defenses. An intrusion
detection system (IDS) is a device or software application that monitors the network and
tries to detect intrusions; notably, machine learning models are a popular detection solution in the automotive field. However, IDSs are not flawless: knowing that such systems
are in place, a malicious actor could carry an adversarial attack, i.e. the injection of a
forged input specifically studied to evade detection. The goal of the present work is to
adjust well-known adversarial techniques to the automotive domain in order to ascertain
the resilience, characteristics and vulnerabilities of several IDSs from the state-of-the-art.
The main contributions of the thesis consist in the design of three gradient-based evasion
algorithms adapted from the computer vision domain and in the comparative testing of
the developed algorithms against six detection architectures on two different datasets. I
find that the performance of the algorithms is heavily dependent on the complexity of the
attacked model and the quality of the intended attack. I also show interesting behaviour
of the produced adversarial attacks in terms of transferability between different detection
systems and between different time instants in the communication.