IDPS: una combinación perfecta de aprendizaje automático y big data para proteger los vehículos

idps

A medida que nuestros coches se vuelven más conectados, la experiencia de movilidad adquiere un nuevo significado y oportunidad. El hecho de integrar nuevas tecnologías de comunicaciones en el vehículo, ha generado una enorme variedad de datos a partir de diferentes fuentes de comunicaciones.

Gracias al Big Data y al avance en Inteligencia Artificial (IA) somos capaces de manejar varios tipos de datos provenientes de diferentes fuentes y facilitar significativamente los procesos de análisis en tiempo real.

Por lo tanto, una convergencia de IA y Big Data está jugando un papel vital en todas las industrias, incluida la Automoción.

En el área de negocio de Automoción de GMV, trabajamos en el desarrollo de nuevas tecnologías en vehículo, incluyendo la ciberseguridad, que se ha convertido en un tema recurrente y sensible en estos últimos años.

En GMV llevamos años estudiando nuevas técnicas de protección de seguridad de las comunicaciones internas y externas del vehículo.

Combinando nuestros conocimientos de Machine Learning y Big Data, hemos desarrollado un sistema de detección y prevención de intrusiones en el vehículo (IDPS) basado en algoritmos que se entrenan utilizando técnicas de machine learning para mejorar la eficiencia y precisión de detección de intrusiones y anomalías (ataques maliciosos).

La arquitectura a nivel general de nuestro IDPS está compuesta por varios componentes:

  • Una unidad telemática de automoción (TCU) que recoge los datos del coche (datos CAN, Ethernet, USB etc…). y se encarga de hacer un primer filtrado básico de los datos, enviándolos después a un servidor. De esta manera, en la unidad telemática se aplicarían reglas simples, que tendrían un procesamiento de carga muy bajo y se podría integrar fácilmente en cualquier unidad electrónica del vehículo.
  • La parte complementaria del sistema IDPS es el servidor externo. El servidor recibe estos datos y a través de algoritmos inteligentes detecta y clasifica las anomalías/intrusiones, generando alertas si es necesario. El hecho de tener un sistema de procesamiento externo integrado en la nube, puede reducir la carga de procesamiento en el vehículo y permite aprovechar técnicas de detección de intrusos mucho más complejas, para aquellas instancias que involucran aprendizaje profundo.

Nuestro diseño de los algoritmos de detecciones consta de dos fases principales que son la fase de entrenamiento y la fase de detección de anomalías.

En la fase de entrenamiento –que se realiza offline-, se procesan los paquetes de datos (paquetes de datos CAN, paquetes Ethernet, datos de USB) para extraer una característica que representa un comportamiento estadístico de la red.

Las etiquetas de cada paquete de entrenamiento dependen mucho de los algoritmos de machine learning que vamos a usar. Un ejemplo muy sencillo es el caso del aprendizaje supervisado: cada paquete de entrenamiento tiene su etiqueta binaria, es decir, un paquete normal o un paquete anormal o malicioso.

El algoritmo aprende de los datos introducidos durante el entrenamiento y de esta manera aprende a asignar la etiqueta de salida adecuada a un nuevo valor, es decir, predice el valor de salida.

En el caso de usar algoritmos de aprendizaje no supervisado, no se dispone de datos etiquetados para el entrenamiento. Por lo tanto, el algoritmo crea una serie de estructuras de datos para poderlos catalogar por similitud y correlaciones y de esta manera determinar procesos y patrones complejos que servirán para identificar y clasificar comportamientos anómalos – que resultan ser posibles intrusiones.

En nuestra solución combinamos varios algoritmos de machine learning para poder afinar la precisión de la detección de intrusiones.

La precisión y eficiencia del modelo propuesto se validan y evalúan mediante el uso de datos y casos reales. Desde nuestra experiencia hemos aprendido que usando algoritmos de machine learning, se puede lograr una convergencia rápida en la detección de anomalías a nivel de milisegundos y con una alta tasa de aciertos y eficiencia.

Como parte complementaria a la detección de intrusiones, existe la posibilidad de aplicar metodologías de prevención; por eso la solución completa se denomina IDPS (Intrusion Detection and Prevention System).

La forma en que se realiza la prevención difiere ampliamente según el propósito del IDPS y cómo afecta a la seguridad del vehículo y del conductor.

Normalmente las tareas de prevenciones se clasifican en acciones activas y acciones pasivas.

La acción pasiva consiste en una notificación sobre la sospecha de intrusiones. Una vez que el sistema detecta una intrusión, se procede a una notificación telemática al usuario y la alerta, que contiene todos los detalles de la intrusión, queda grabada en una base de datos interna.

La acción activa consiste en una serie de medidas que se usan para mitigar o proteger la parte del vehículo expuesta a la amenaza y dependiendo de la criticidad del ataque puede ser en tiempo real y puede afectar de manera importante al sistema infectado.

En GMV creemos firmemente que es muy importante evaluar la acción a tomar en respuesta a sospechas de intrusiones, porque puede afectar de manera crítica al sistema safety del vehículo: por ejemplo imaginaos que la simple acción de bloquear un mensaje de CAN del sistema de frenado del coche puede resultar en un accidente mortal.

Por esto, estamos muy implicados en poder dar la mejor solución desde el punto de vista de security teniendo muy presente los aspectos relacionados con safety.

Para poder afinar estos modelos es importante tener una base de datos completa y actualizada que permita entrenar los algoritmos y mejorar la eficiencia de los mismos. La colaboración con OEMs y proveedores Tier-1 es muy importante para poder lograr estos objetivos y ofrecerles la solución que mejor se adapta a sus necesidades y por este motivo, seguimos estando muy cerca de ellos en el desarrollo de este tipo de soluciones.

Autor: Marco Donadio

Añadir nuevo comentario


Source URL: http://www.gmv.com/media/blog/sistemas-inteligentes-de-transporte/idps-una-combinacion-perfecta-de-aprendizaje