Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Over the years vehicles have become increasingly more complex and connected, thus they now both have an increased attack surface and are more attractive targets for an eventual adversary. A significant evolution of in-vehicle network security has not followed the increased number of risks and threats: from its introduction in 1986 Controller Area Network (CAN) bus has become the de facto standard for the internal networks of vehicles; the CAN protocol is reliable and economic, but its lack of authentication and encryption poses important security challenges. Given the unwillingness of car manufacturers to adopt a different, more secure, standard, research has focused on systems that are able to analyze the traffic on the CAN bus in order to detect intrusions. While different state-of-the-art solutions of this type are really effective in the detection of specific types of anomalies, there is no single method that is able to perform better than the others on all the different types of attacks, particularly if they need to provide fast enough predictions to comply with real-time constraints. Our solution to the CAN intrusion detection problem is a modular system that exploits a classification of the characteristics of the different CAN packets to analyze each packet with the Intrusion Detection System (IDS) that better fits it. Better performances on the different types of attacks are reached by combining different categories of systems, in particular systems that analyze the content of the packets and systems that only monitor the arrival time of the packets. To demonstrate the potential of our approach we provide an experimental analysis that shows how our system is able to provide good performances on all the different anomalies considered while being able to provide the detection results in a reasonable enough time to work on real CAN traffic.

Nel corso degli anni gli autoveicoli sono diventati sempre più complessi e connessi al mondo esterno. Questo ha aumentato considerevolmente la loro superfice di attacco rendendo gli autoveicoli molto più attraenti agli occhi dei possibili attaccanti. Alla rapida comparsa di nuove minacce e all’aumento dei rischi ad esse associati non è seguita una simile evoluzione della sicurezza dei network intra-veicolo: fin dalla sua prima introduzione nel 1986 Controller Area Network (CAN) è diventato lo standard de facto per le reti di comunicazione interne agli autoveicoli. Il protocollo alla base del CAN è affidabile e leggero, ma la mancanza totale di misure di autenticazione e cifratura pone importanti rischi relativi alla sicurezza. Data la reticenza dei prodotutturi di autoveucoli nell’adottare uno standard diverso e più sicuro, la ricerca si è concentrata sullo studio di sistemi in grado di rilevare le intruzioni sul CAN. Nonostante all’attuale stato dell’arte ci siano diverse soluzioni efficaci relativamente a specifici tipi di anomalie, non esiste ad oggi un singolo approccio in grado di gestire meglio degli altri tutte le tipologie di attacchi, sopratutto se si prende in considerazione la necessità di rispettare i vincoli relativi al rilevamento in tempo reale delle intrusioni. La nostra soluzione al problema delle intrusioni sul CAN è un sistema di rilevamento instrusioni modulare, che sfrutta una classificazione delle caratteristiche del traffico di pacchetti per analizzare ciascuna tipologia di pacchetto con il sistema di rilevamento che meglio è in grado di gestirlo. Grazie alla combinazioni di diverse metodologie di rilevamento intrusioni, è possibile raggiungere prestazioni migliori sui differrenti tipi di attacco, sopratutto quando si combinano metodi di analisi della frequenza di arrivo dei pacchetti a metodi di analisi del contenuto dei pacchetti stessi. Per dimostrare le potenzialità del nostro approccio, forniamo un’analisi sperimentale dettagliata che mette in luce come sia possibile avere buone prestazioni contro tutte le tipologie di anomalie, abbattendo anche il tempo rilevamento che manteniamo ragionevolmente vicino a quello necessario per funzionare in un sistema in tempo reale.

CANova, a classification-based modular intrusion detection system for CAN

Nichelini, Alessandro;Pozzoli, Carlo Alberto
2019/2020

Abstract

Over the years vehicles have become increasingly more complex and connected, thus they now both have an increased attack surface and are more attractive targets for an eventual adversary. A significant evolution of in-vehicle network security has not followed the increased number of risks and threats: from its introduction in 1986 Controller Area Network (CAN) bus has become the de facto standard for the internal networks of vehicles; the CAN protocol is reliable and economic, but its lack of authentication and encryption poses important security challenges. Given the unwillingness of car manufacturers to adopt a different, more secure, standard, research has focused on systems that are able to analyze the traffic on the CAN bus in order to detect intrusions. While different state-of-the-art solutions of this type are really effective in the detection of specific types of anomalies, there is no single method that is able to perform better than the others on all the different types of attacks, particularly if they need to provide fast enough predictions to comply with real-time constraints. Our solution to the CAN intrusion detection problem is a modular system that exploits a classification of the characteristics of the different CAN packets to analyze each packet with the Intrusion Detection System (IDS) that better fits it. Better performances on the different types of attacks are reached by combining different categories of systems, in particular systems that analyze the content of the packets and systems that only monitor the arrival time of the packets. To demonstrate the potential of our approach we provide an experimental analysis that shows how our system is able to provide good performances on all the different anomalies considered while being able to provide the detection results in a reasonable enough time to work on real CAN traffic.
ZANERO, STEFANO
LONGARI, STEFANO
ING - Scuola di Ingegneria Industriale e dell'Informazione
28-apr-2021
2019/2020
Nel corso degli anni gli autoveicoli sono diventati sempre più complessi e connessi al mondo esterno. Questo ha aumentato considerevolmente la loro superfice di attacco rendendo gli autoveicoli molto più attraenti agli occhi dei possibili attaccanti. Alla rapida comparsa di nuove minacce e all’aumento dei rischi ad esse associati non è seguita una simile evoluzione della sicurezza dei network intra-veicolo: fin dalla sua prima introduzione nel 1986 Controller Area Network (CAN) è diventato lo standard de facto per le reti di comunicazione interne agli autoveicoli. Il protocollo alla base del CAN è affidabile e leggero, ma la mancanza totale di misure di autenticazione e cifratura pone importanti rischi relativi alla sicurezza. Data la reticenza dei prodotutturi di autoveucoli nell’adottare uno standard diverso e più sicuro, la ricerca si è concentrata sullo studio di sistemi in grado di rilevare le intruzioni sul CAN. Nonostante all’attuale stato dell’arte ci siano diverse soluzioni efficaci relativamente a specifici tipi di anomalie, non esiste ad oggi un singolo approccio in grado di gestire meglio degli altri tutte le tipologie di attacchi, sopratutto se si prende in considerazione la necessità di rispettare i vincoli relativi al rilevamento in tempo reale delle intrusioni. La nostra soluzione al problema delle intrusioni sul CAN è un sistema di rilevamento instrusioni modulare, che sfrutta una classificazione delle caratteristiche del traffico di pacchetti per analizzare ciascuna tipologia di pacchetto con il sistema di rilevamento che meglio è in grado di gestirlo. Grazie alla combinazioni di diverse metodologie di rilevamento intrusioni, è possibile raggiungere prestazioni migliori sui differrenti tipi di attacco, sopratutto quando si combinano metodi di analisi della frequenza di arrivo dei pacchetti a metodi di analisi del contenuto dei pacchetti stessi. Per dimostrare le potenzialità del nostro approccio, forniamo un’analisi sperimentale dettagliata che mette in luce come sia possibile avere buone prestazioni contro tutte le tipologie di anomalie, abbattendo anche il tempo rilevamento che manteniamo ragionevolmente vicino a quello necessario per funzionare in un sistema in tempo reale.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
nichelinipozzoli_thesis_latex.pdf

solo utenti autorizzati dal 30/03/2022

Descrizione: Tesi di Nichelini-Pozzoli
Dimensione 2.47 MB
Formato Adobe PDF
  Visualizza/Apri
2.47 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/174934