FEATURE ENGINEERING FOR A MIL-STD-1553B LSTM AUTOENCODER ANOMALY DETECTOR

Abstract

The MIL-STD-1553B data bus protocol is used to enable communications between aircraft subsystems. These interconnected subsystems are responsiblefor core services such as communications, instrument data and aircraft control. With fleet modernization, more threat vectors are introduced through increased inter-connectivity. These additional threat vectors create an opportunity in which adversaries have the ability to exploit vulnerabilities in the MIL-STD-1553B protocol. This potential for exploitation introduces a requirement for an Intrusion Detection System in order to maintain the reliability of the MIL-STD-1553B protocol and safety of the aircraft. Current research into MIL-STD-1553B Intrusion Detection Systems utilize signature or anomaly-based approaches. These methods demonstrated detection of malicious traffic; however, they require further improvements in order to improve their effectiveness. The aim of this research is to refine the feature engineering component of an existing MIL-STD-1553B deep learning anomaly detector in order to improve its overall effectiveness. In this work, feature engineering includes generation of new features, feature selection and dimensionality reduction. The generation of new features creates an extended dataset derived from the primary features. Using three different supervised feature selection and one feature reduction technique, different feature sets are created for training and testing with an existing Long-Short Term Memory autoencoder anomaly detector. In order to accomplish this aim, sixteen models are created. Twelve of these models are attack specific, created from four distinct attack types and three feature selection techniques against the original and generated feature set. The remaining four are general models. Three are based on features identified across all four attack types using the three selection techniques and the full feature set. The fourth general model is based on the dimensionality reduction technique that processed only the original feature set and did not consider attack type. These sixteen models are then evaluated using common performance metrics and compared to those of the original anomaly detector. This research is validated by the marked performance improvement achieved by the feature engineering refinements made in comparison to those of the original model. In addition, this research also showed a significant reduction in the number of features required to achieve this performance gain.

Le protocole de bus de données MIL-STD-1553B est utilisé pour permettre les communications entre les sous-systèmes de l’avion. Ces sous-systèmes inter-connectés sont responsables des services de base tels que les communications, les données des instruments et le contrôle de l’aéronef. Avec la modernisation des avions, de nouveaux vecteurs d’attaques sont introduits grâce à une inter-connectivité accrue. Ces vecteurs d’attaque créent de nouvelles opportunités dans lesquelles les adversaires ont la capacité d’exploiter les vulnérabilités du protocole MIL-STD-1553B. Cette nouvelle menace amène une exigence pour un système de détection d’intrusion afin de maintenir la fiabilité du protocole MIL-STD-1553B et la sécurité de l’avion. Les recherches actuelles sur les systèmes de détection d’intrusion MIL-STD-1553B utilisent des approches basées sur les signatures ou les anomalies. Ces méthodes ont démontré la capacité de détecter du trafic malveillant; cependant, ils nécessitent d’autres affermissements afin d’améliorer leur efficacité. L’objectif de cette recherche est d’améliorer l’extraction des caractéristiques d’un détecteur d’anomalies par apprentissage profond MIL-STD-1553B existant afin d’améliorer son efficacité globale. Dans ce travail, l’extraction de caractéristiques comprend la génération de nouvelles caractéristiques, la sélection des caractéristiques et la réduction de la dimensionnalité. La génération de nouvelles caractéristiques crée un jeu de données étendu dérivé des caractéristiques principales. A l’aide de trois sélections de caractéristiques supervisées différentes et d’une technique de réduction de caractéristiques, différents ensembles de caractéristiques sont créés pour la formation et les tests avec un détecteur d’anomalie par auto-encodeur récurrent à mémoire à long terme existant. Pour atteindre cet objectif, seize modèles sont créés. Douze de ces modèles sont spécifiques à l’attaque, créés à partir de quatre types d’attaque distincts et trois techniques de sélection de caractéristiques par rapport à l’ensemble des caractéristiques original et généré. Les quatre autres sont des modèles généraux. Trois sont basés sur des caractéristiques identifiées dans les quatre types d’attaques à l’aide des trois techniques de sélection et de l’ensemble complet des caractéristiques. Le quatrième modèle général est basé sur la technique de réduction de la dimensionnalité qui ne traite que l’ensemble de caractéristiques d’origine et ne prend pas en compte le type d’attaque. Ces seize modèles sont ensuite évalués à l’aide de paramètres de performance communs et comparés à ceux du détecteur d’anomalies d’origine. Cette recherche est validée par la nette amélioration des performances obtenue grâce aux améliorations apportées à l’extraction des caractéristiques par rapport à celles du modèle d’origine. De plus, cette recherche a également montré une réduction significative du nombre de caractéristiques nécessaires pour atteindre ce gain de performance.