CAN 버스 침입 탐지를 위한 엔트로피 기반 IDS

초록

본 논문은 차량 내 CAN(Controller Area Network) 메시지의 식별자(ID) 비트 엔트로피 변화를 이용해 다양한 주입 공격을 실시간으로 탐지하는 IDS를 제안한다. 2016년 Ford Fusion 실차 데이터를 기반으로 정상 운행 시 엔트로피 프로파일을 구축하고, 실험적 주입 공격 4가지 시나리오에 대해 100% 탐지율을 달성하였다.

상세 분석

이 연구는 차량용 CAN 버스가 설계 단계부터 인증·암호화 기능을 배제한 채 “우선순위 기반 비트‑아비트레이션”만을 제공한다는 근본적인 보안 취약점을 지적한다. 기존의 MAC 기반 보호는 데이터 프레임 길이 제한과 실시간 제약 때문에 적용이 어려워 IDS가 실용적인 대안으로 부각된다. 저자들은 모든 알려진 CAN 메시지 주입 공격이 ID 비트를 변조한다는 사실에 착안해, 각 비트(0/1)의 발생 확률 p_i 를 추정하고 이진 엔트로피 H(p_i)=‑p_i·log₂p_i‑(1‑p_i)·log₂(1‑p_i) 를 계산한다. 정상 주행 동안 수집한 35개의 샘플로부터 각 비트의 평균 엔트로피를 “골든 템플릿”으로 정의하고, 비트별 최대·최소값 차이를 기반으로 임계값 Th=κ·(max‑min) (κ=5) 를 설정한다.

공격 모델은 강력(Strong)과 약함(Weak) 두 가지로 구분한다. 강력 모델은 임의의 ID를 선택해 고우선순위(다수 0) 메시지를 대량 주입하거나, 단일·다중 ID를 이용해 버스 점유·데이터 변조를 시도한다. 약함 모델은 ECU 필터를 우회하지 못하고 사전에 할당된 고정 ID만 전송한다. 네 가지 시나리오(강력·플러딩, 단일 ID 주입, 다중 ID 주입, 약함·고정 ID 주입) 모두 엔트로피 변화를 일으키며, 특히 0이 지배적인 비트가 늘어나면 H(p_i) 값이 급격히 감소한다.

실험은 Arduino UNO와 CAN Shield를 이용해 실제 Ford Fusion CAN 네트워크에 연결한 테스트베드에서 수행되었다. 정상 데이터는 엔진, 변속기, 조명 등 다양한 운전 상황에서 수집했으며, 각 비트의 엔트로피 변동 폭은 1e‑8~9e‑8 수준으로 매우 안정적이었다. 공격 시뮬레이션에서는 골든 템플릿과 비교해 비트별 엔트로피가 설정된 임계값을 초과하면 즉시 경보를 발생시켰으며, 모든 공격에 대해 오탐률 0%와 탐지율 100%를 기록했다.

핵심 기여는 (1) ID 비트 엔트로피 기반의 비침투형 IDS 설계, (2) 강·약 공격 모델을 포괄하는 실험 검증, (3) 기존 MAC 기반 보호와 달리 기존 CAN 프레임을 수정하지 않아 호환성이 뛰어나며, 보안 정책이 추가된 확장형 CAN에도 적용 가능하다는 점이다. 그러나 본 방법은 ID 비트만을 감시하므로, 데이터 필드 자체를 변조하거나 타이밍 기반 공격(예: 정밀한 재전송 지연)에는 한계가 있다. 또한 임계값 κ 선택이 경험적이며 차량 모델마다 재학습이 필요할 수 있다. 향후 연구에서는 엔트로피 외에 데이터 페이로드의 통계적 특성 및 시간‑주기 분석을 결합해 다중 레이어 IDS를 구축하는 방향이 제시된다.