Hierarchical temporal memory for in-car network anomaly detection

Abstract

Automobilnetzwerke erfahren einen Übergang von traditionellen Bussystemen zu Ethernet basierten Netzwerken mit dem Ziel, die kommunikative Infrastruktur von Automobilen zu optimieren. Die steigende Anzahl an Geräten und zusätzlichen Schnittstellen ermöglichen das Auftreten neuer Angriffsvektoren. Um das Netzwerk vor deren Effekten zu schützen, müssen verfügbare Lösungen zur Anomalieerkennung und Verteidigungsmechanismen evaluiert werden. Diese Arbeit untersucht das Machine Learning (ML) Framework Hierarchical Temporal Memory (HTM) in Bezug auf Anwendbarkeit für Echtzeit-Anomalieerkennung durch die Evaluation von Geschwindigkeit und Erkennungserfolg. Außerdem werden Mechanismen entwickelt, die für den erfolgreichen Einsatz in dieser Umgebung von Nöten sind. Der potentielle Nutzen des Frameworks wird erfolgreich anhand eines realistischen Kommunikations-Szenarios demonstriert, welches von DoS-Attacken unterbrochen wird. Gute Rauschrobustheit und Erkennungsraten können erzielt werden. Während die gemessene Erkennungsverzögerung noch wenige 100 ms beträgt, werden bessere Resultate für rauschfreieren Input erwartet.

Automotive networks experience a transition from traditional bus systems to ethernet based communication in an attempt to optimize the communicational infrastructure of vehicles. The increased number of devices and additional interfaces in a combined network can produce new attack vectors. In order to keep such networks from being compromised, available solutions for anomaly detection and response methods need to be evaluated. This work examines the Machine Learning (ML) framework Hierarchical Temporal Memory (HTM) in terms of applicability for realtime anomaly detection by examining it’s execution speed and detection performance. In addition techniques are invented that proved necessary for the system to reliably work in this environment. The framework’s potential use is succesfully demonstrated on a realistic communication scenario which is interrupted by Denial of Service (DoS) attacks. Great noise robustness and detection rates can be achieved. While detection delay still amounts to a few 100 ms, better timings might be possible for less noisy input.