Security solutions for denial of service attacks in smart vehicles.

Abstract

In this thesis, we have developed an open distributed embedded platform prototype that targets traffic monitoring across multiple CAN networks. This ecosystem interconnects multiple Raspberry Pi or AVR devices (e.g., RPI1, RPI2) to an Odroid XU3 device which serves as a gateway node. CAN interconnection is based a) for Raspberry Pi, on Industrial Berry’s CANberry Dual V2.1 device, and b) for Odroid XU3, on two (incoming/outgoing) USB-to-CAN interfaces using Scantool OBD Development Kit. Incoming and outgoing CAN interfaces at the gateway are controlled by different threads. Our embedded software toolchain uses a) for RPI, Linux CAN-utils tools, and b) for Odroid XU3, an extended serial terminal that uses multithreaded code to handle incoming/outgoing connections; configuration and CAN message send/receive functions use appropriate USB-to-serial STN2120's ELM327 AT, and ST commands. During normal operation, RPI2 (CAN2) carries actual engine traffic (based on an actual Korean car dataset [37]), while at the same time RPI1 packet requests related to dashboard display (e.g. engine speed, RPM, temperature etc) departing from RPI1 (CAN1), are received via the Gateway by RPI2 (CAN2), and answered back to RPI1 (making a round trip). In our threat model, we consider a denial-of-service (DoS) from CAN1 and examine different metrics that can be used to detect the attack. At gateway-level, we can detect the DoS attack by using metrics and setting appropriate thresholds related to the Cortex-A15 energy consumption (available from integrated INA231 sensors), and four temperature gradients on the same chipset (available from integrated sensors). In addition, we are able to monitor variations of round-trip time (RTT) by monitoring the sequences of packets that originate from RPI, flow to RPI2 via Odroid XU3 and return back to RPI, in a ping-pong pattern. Our results show tradeoffs in the accuracy and effectiveness of the proposed metrics in detecting actual attacks. Accurate prediction of an attack results in shutting down, throttling down, or sleeping the appropriate outgoing interface, thus safeguarding the engine ECUs.

Σε αυτή τη εργασία, αναπτύχθηκε μια ανοιχτή κατανεμημένη ενσωματωμένη πλατφόρμα που στοχεύει στην παρακολούθηση της κυκλοφορίας σε πολλαπλά δίκτυα CAN. Αυτό το οικοσύστημα διασύνδεει συσκευές Raspberry Pi ή AVR (π.χ. RPI1, RPI2) μέσω μια συσκευής Odroid XU3 που αναλαμβάνει τον ρολό της πύλης (Gateway). Η διασύνδεση CAN βασίζεται α) για το Raspberry Pi, στη συσκευή CANberry Dual V2.1 της Industrial Berry και β) για το Odroid XU3, σε δύο (εισερχόμενες / εξερχόμενες) διεπαφές USB-CAN χρησιμοποιώντας το Scantool Development Kit. Οι εισερχόμενες και εξερχόμενες διεπαφές CAN στην πύλη ελέγχονται από διαφορετικά threads. Το ενσωματωμένο λογισμικό που αναπτύξαμε χρησιμοποιεί α) στο Raspberry PI, τα εργαλεία Linux CAN-utils και β) στο Odroid XU3, μια επέκταση μας ενός σειριακού τερματικού που χρησιμοποιεί κώδικα πολλών νημάτων (multithread) για να χειρίζεται τις εισερχόμενες/εξερχόμενες συνδέσεις. Η διαμόρφωση των ρυθμίσεων και οι λειτουργίες λήψης και αποστολής μηνυμάτων CAN χρησιμοποιούν κατάλληλες εντολές ELM327 (AT) και εντολές ST του STN2120. Κατά τη διάρκεια της κανονικής λειτουργίας, το RPI2 (CAN2) μεταφέρει πραγματική κυκλοφορία μηνυμάτων του κινητήρα (βασισμένη σε ένα πραγματικό σύνολο δεδομένων κορεατικών αυτοκινήτων [37]), ενώ ταυτόχρονα τα αιτήματα πακέτων από RPI1 τα οποία σχετίζονται με την οθόνη του ταμπλό και εισάγονται στο CAN1, καταλήγουν μέσω της πύλης στο RPI2 (CAN2) και απαντώνται πίσω στο RPI1 (πραγματοποιώντας ένα ταξίδι μετ' επιστροφής). Στο threat model μας, θεωρούμε την περίπτωση που έχουμε επίθεση άρνησης εξυπηρέτησης (DoS) από το CAN1 και εξετάζουμε διαφορετικές μετρήσεις για την ανίχνευση της επίθεσης αυτής. Σε επίπεδο Gateway, μπορούμε να ανιχνεύσουμε DoS χρησιμοποιώντας μετρήσεις και να καθορίσουμε κατάλληλα όρια σε σχέση με α) την κατανάλωση ενέργειας του Cortex-A15 (που είναι διαθέσιμη από τους ενσωματωμένους αισθητήρες INA231), β) περιοχές αυξημένης θερμοκρασίας (temperature zones) και συχνότητες εμφάνισης μηνυμάτων. Επιπλέον, μπορούμε να παρακολουθήσουμε τις διακυμάνσεις του round-trip time (RTT) παρακολουθώντας τις ακολουθίες πακέτων που προέρχονται από το RPI1, τα οποία στην συνέχεια μεταφέρονται στο RPI2 μέσω του Odroid XU3 και επιστρέφουν πίσω στο RPI1, σε μοτίβο πινγκ-πονγκ. Τα αποτελέσματά μας δείχνουν ότι όλες οι παραπάνω μετρήσεις για την ανίχνευση πραγματικών επιθέσεων είναι ακριβείς και αποτελεσματικές και χρήζει περαιτέρω μελέτης. Η ακριβής πρόβλεψη μιας επίθεσης θα έχει ως αποτέλεσμα την απενεργοποίηση, τη μείωση της κίνησης, ή την προσωρινή αποδέσμευση της εξερχόμενης διεπαφής, προστατεύοντας έτσι το σύστημα του κινητήρα.