An Optimal Cascade Feature-Level Spatiotemporal Fusion Strategy for Anomaly Detection in CAN Bus

📄 arXiv: 2501.18821v3 📥 PDF

作者: Mohammad Fatahi, Danial Sadrian Zadeh, Benyamin Ghojogh, Behzad Moshiri, Otman Basir

分类: cs.LG, cs.AI, cs.CR

发布日期: 2025-01-31 (更新: 2025-06-05)

备注: v3: updated the text and graphs

💡 一句话要点

提出基于遗传算法优化的级联时空特征融合策略,用于CAN总线异常检测。

🎯 匹配领域: 支柱八:物理动画 (Physics-based Animation)

关键词: CAN总线 异常检测 时空融合 遗传算法 入侵检测系统

📋 核心要点

  1. 现有CAN总线异常检测方法侧重于部分异常结构,缺乏鲁棒性评估,难以全面检测各类攻击。
  2. 提出一种级联特征级时空融合框架,利用遗传算法优化空间和时间特征的融合,覆盖各类异常结构。
  3. 实验结果表明,该模型在CAR-HACKING数据集上实现了100%的攻击检测准确率,AUC-ROC达到0.9987。

📝 摘要(中文)

智能交通系统(ITS)在现代基础设施中扮演关键角色,但由于车载控制器局域网(CAN)总线基于广播的特性,面临安全风险。尽管已经提出了许多机器学习模型和策略来检测CAN异常,但现有方法缺乏鲁棒性评估,并且由于侧重于异常的主要结构子集,未能全面检测攻击。为了克服这些限制,本研究提出了一种级联特征级时空融合框架,该框架通过双参数遗传算法(2P-GA)优化的级联架构整合空间特征和时间特征,以覆盖异常的所有主要结构。大量的配对t检验分析证实,该模型实现了0.9987的AUC-ROC,证明了其强大的异常检测能力。空间模块将精度提高了约4%,而时间模块弥补了召回率的损失,确保了高真阳性率。所提出的框架在CAR-HACKING数据集上以100%的准确率检测所有攻击类型,优于最先进的方法。这项研究为现实世界的CAN安全挑战提供了一个经过验证的、鲁棒的解决方案。

🔬 方法详解

问题定义:CAN总线作为汽车电子系统的核心,其安全至关重要。现有的CAN总线异常检测方法通常只关注特定类型的攻击模式,例如消息频率异常或ID异常,缺乏对多种攻击模式的综合检测能力。此外,现有方法的鲁棒性评估不足,难以应对真实世界中复杂的攻击场景。

核心思路:本论文的核心思路是通过融合CAN总线消息的空间特征(例如消息ID的统计分布)和时间特征(例如消息序列的模式),来全面捕捉各种类型的异常行为。通过级联结构,逐步融合不同层次的特征,提高检测的准确性和鲁棒性。使用遗传算法自动优化融合策略,避免人工设计的局限性。

技术框架:该框架包含两个主要模块:空间特征提取模块和时间特征提取模块。空间特征提取模块分析CAN消息ID的统计分布,例如频率、熵等。时间特征提取模块分析CAN消息序列的模式,例如马尔可夫链、循环神经网络等。然后,通过一个级联结构将这两个模块的输出进行融合。级联结构由多个融合层组成,每一层将上一层的输出和当前层的特征进行融合。最终,通过一个分类器判断是否存在异常。

关键创新:该方法最重要的创新点在于提出了一个基于遗传算法优化的级联特征级时空融合框架。传统的特征融合方法通常需要人工设计融合策略,而本方法通过遗传算法自动搜索最优的融合策略,从而能够更好地适应不同的攻击场景。此外,级联结构能够逐步融合不同层次的特征,提高检测的准确性和鲁棒性。

关键设计:遗传算法使用两个参数来控制级联结构中每一层的融合权重。损失函数采用交叉熵损失函数,用于训练分类器。空间特征提取模块使用统计特征和自编码器进行特征提取。时间特征提取模块使用循环神经网络(RNN)进行特征提取。网络结构和参数通过实验进行调整,以达到最佳性能。

🖼️ 关键图片

fig_0
fig_1

📊 实验亮点

该模型在CAR-HACKING数据集上实现了100%的攻击检测准确率,显著优于现有方法。配对t检验分析表明,该模型具有很高的AUC-ROC值(0.9987),证明了其强大的异常检测能力。空间模块将精度提高了约4%,而时间模块弥补了召回率的损失,确保了高真阳性率。

🎯 应用场景

该研究成果可应用于车载入侵检测系统(IDS),提高汽车电子系统的安全性,防止恶意攻击。该方法还可扩展到其他基于总线通信的工业控制系统,例如智能电网、工业机器人等,具有广泛的应用前景和实际价值。未来可进一步研究自适应的异常检测方法,以应对不断演变的攻击手段。

📄 摘要(原文)

Intelligent transportation systems (ITS) play a pivotal role in modern infrastructure but face security risks due to the broadcast-based nature of the in-vehicle Controller Area Network (CAN) buses. While numerous machine learning models and strategies have been proposed to detect CAN anomalies, existing approaches lack robustness evaluations and fail to comprehensively detect attacks due to shifting their focus on a subset of dominant structures of anomalies. To overcome these limitations, the current study proposes a cascade feature-level spatiotemporal fusion framework that integrates the spatial features and temporal features through a two-parameter genetic algorithm (2P-GA)-optimized cascade architecture to cover all dominant structures of anomalies. Extensive paired t-test analysis confirms that the model achieves an AUC-ROC of 0.9987, demonstrating robust anomaly detection capabilities. The Spatial Module improves the precision by approximately 4%, while the Temporal Module compensates for recall losses, ensuring high true positive rates. The proposed framework detects all attack types with 100% accuracy on the CAR-HACKING dataset, outperforming state-of-the-art methods. This study provides a validated, robust solution for real-world CAN security challenges.