Fusion verteilter Anomalieerkennungssysteme in Fahrzeugnetzwerken

Abstract

Neben Verfahren wie der Intrusion Detection spielt die Anomalieerkennung eine zentrale Rolle für die Sicherheit von Fahrzeugnetzwerken. In dieser Arbeit wurde ein Framework, aufbauend auf bestehenden Werkzeugen, entwickelt, welches die Leistung von Algorithmen und ihren Konfigurationsmöglichkeiten bei der Anomalieerkennung untersucht. Zu den Konfigurationen gehören sowohl die Feature-Generation, als auch die konkreten Algorithmus-Parameter. Die Leistung wurde dabei in einer kleinen Bandbreite von Anomalieszenarien evaluiert, um Reaktionen und Eignung der Algorithmen auf die gezielten Angriffe einschätzen zu können. Aufgrund des nichtlinearen Wachstums des Rechenaufwands mit der Anzahl untersuchter Parameter wurde ein weiteres Augenmerk auf die Parallelisierung und Optimierung der internen Prozesse gelegt, die den Ressourcenverbrauch der Anomalieerkennung erheblich senken konnten. Um die Leistung der Anomalieerkennung zu steigern und das Potential von Datenfusion im Kontext der Anomalieerkennung zu untersuchen, wurden mehrere Fusionsverfahren implementiert und evaluiert. Die Ergebnisse zeigen, dass eine geeignete Kombination aus gut parametrisierten Algorithmen und Fusionsstrategien eine zuverlässige Anomalieerkennung ermöglichen können. Zusätzlich konnte gezeigt werden, dass durch die Fusion Muster in den Daten verstärkt werden, die den Umgang mit Fehlalarmen durch ihre zeitliche Korrelation mit tatsächlich stattfindenden Anomalien erheblich erleichtern. Verbesserungspotentiale bestehen jedoch bei der Identifizierung von Anomalie-Datenströmen, da auch nicht direkt manipulierte Datenströme Anzeichen von anormalem Verhalten zeigen. Die Erkenntnisse aus dieser Arbeit können dabei als Grundlage für weitere Forschung oder die Entwicklung von Anomaliedetektoren für den realen Einsatz dienen.

Besides methods such as intrusion detection, anomaly detection is an important measure to increase the security of vehicular networks. This thesis presents a framework built upon existing tools, which is capable of evaluating the performance of different algorithms and their configurations regarding feature generation and algorithm parameters. A small bandwidth of anomaly scenarios was used to test the performance and eligibility of the algorithms. Due to the nonlinear growth of computing demands with the number of investigated parameters, different measures regarding parallelization and optimization were employed. To further boost the performance of anomaly detection and explore the potential use of data fusion, several fusion methods were implemented and tested. The results show the possibility of reliable anomaly detection when done correctly. Additionally, it was demonstrated that the data fusion process reinforces preexisting patterns, which can be helpful when dealing with false positives due to the temporal correlation between false positives and actual anomalies. Possible improvements can be achieved by identifying anomalous data streams, as not directly manipulated data instances also show signs of anomalous behavior. The key takeaways can be used as a foundation to further investigate and implement a real-world anomaly detector.