STATE-AWARE INTRUSION DETECTION FOR J1939 VEHICULAR NETWORKS

Abstract

Modern medium and heavy-duty vehicles are increasingly connected, yet their in-vehicle networks continue to rely on legacy protocols that provide little inherent protection against cyberthreats. This thesis develops and evaluates a state-aware intrusion detection system for Society of Automotive Engineers J1939 networks that treats the vehicle as a Cyber Physical System, enabling detections based on physically and operationally improbable states rather than analyzing traffic primarily as an independent stream of messages. We represent the physical state as a multivariate time series of Suspect Parameter Numbers and train a cross-Parameter Group Number Long Short-Term Memory predictor to perform one-step-ahead forecasting. Anomalies are flagged when the feature-wise prediction error exceeds an empirically derived threshold with post-processing to suppress isolated error spikes. Using a publicly available dataset, the compact predictor achieved a low one-step-ahead prediction error (0.00038 Mean Absolute Error), indicating a strong ability to learn the temporal dependencies of underlying signals. We then evaluated the model on released traces of real attacks against a vehicle, including Denial-of-Service, fuzzing, address claiming, and engine command spoofing. Across these scenarios, the detector generally identified disruptive events and, in particular, successfully identified the start of attacks. However, conventional message-level precision and recall sometimes underrepresented practical performance when malicious frames were not directly observable. Furthermore, the performance was impaired by post-attack instability as residual anomalies were still being flagged while the attack itself had stopped. Overall, the results support state-aware anomaly detection as a practical complement to protocol and timing-based approaches for J1939 security monitoring.

Les véhicules moyens et lourds sont de plus en plus connectés, pourtant leurs réseaux embarqués continuent de s’appuyer sur des protocoles offrant peu de protection intrinsèque contre les cybermenaces. Ce travail développe et évalue un système de détection d’intrusion sensible à l’état pour les réseaux SAE J1939 traitant le véhicule comme un système cyber-physique, permettant des détections basées sur des états physiquement et opérationnellement improbables plutôt que d’analyser le trafic principalement comme un flux de messages indépendant.

Nous représentons l’état physique comme une série temporelle multivariée de numéros de paramètres suspects et entraînons un prédicteur à mémoire court et long terme inter-PGN (cross-Parameter Group Number) pour effectuer une prévision à un pas d’avance. Les anomalies sont signalées lorsque l’erreur de prédiction de l’une des caractéristiques dépasse un seuil dérivé empiriquement, avec un post-traitement pour supprimer les pics d’erreur isolés. À l’aide d’un ensemble de données publiquement disponible, le prédicteur compact a atteint une faible erreur de prédiction (0,00038 d’erreur moyenne absolue), ce qui indique une forte capacité à apprendre les dépendances temporelles des signaux sous-jacents.

Nous avons ensuite évalué le modèle sur des traces d’attaques réelles contre un véhicule, notamment le déni de service, le fuzzing, l’usurpation d’adresse et l’injection de commande moteur. Dans ces scénarios, le détecteur a généralement identifié les événements perturbateurs et a réussi à identifier le début des attaques. Cependant, la précision et le rappel conventionnels au niveau des messages ont parfois sous-représenté la performance pratique lorsque les trames malveillantes n’étaient pas directement observables. De plus, les performances ont été altérées par l’instabilité post-attaque, car des anomalies résiduelles étaient toujours signalées alors que l’attaque elle-même avait cessé. Dans l’ensemble, les résultats confirment la détection d’anomalies sensible à l’état comme un complément pratique aux approches basées sur le protocole et la synchronisation pour la surveillance de la sécurité J1939.