deepcode264/TRIAD_CAN-Real-time-Automotive-Intrusion-Detection-

TRIAD-CAN：实时 CAN 总线攻击检测 一款专为汽车 CAN 网络设计的轻量级、实时入侵检测系统 (IDS)。TRIAD-CAN 在嵌入式硬件 (STM32 + ESP32) 上采用多层检测机制来发现 DoS、欺骗和模糊攻击，无需借助机器学习或外部处理。 功能特性 * 实时 CAN 攻击检测（每帧 <10µs） * 检测 DoS、欺骗 和 模糊 攻击 * 三层检测机制： * L1 (RAPID)：ID 验证 * L2 (TEMPO)：时序分析 * L3 (SIGMA)：Payload 完整性 * 免训练（无需数据集） * 用于攻击控制与监控的实时 Web 仪表板 * 蓝牙告警 + LED 指示灯 * 完全嵌入式运行（在 ESP32 上运行） 使用硬件 * STM32F103C8T6 (Blue Pill) – 发送端 * ESP32（接收端 + IDS） * ESP32（攻击节点） * SN65HVD230 CAN 收发器 (×3) * 面包板，120Ω 终端电阻 使用软件 * STM32CubeIDE（STM32 编程） * Arduino IDE（ESP32 编程） * Node.js + HTML/CSS/JS（Web 仪表板） 工作原理 1. 初始化：CAN 网络以 500 kbps 速率建立 2. 校准：IDS 学习正常流量模式 3. 攻击注入：攻击者 ESP32 通过 Web UI 触发攻击 4. 检测：在 3 个层级上分析传入的数据帧 5. 分类：多证据融合识别攻击类型 6. 告警：通过仪表板、蓝牙和 LED 输出 模拟的攻击 * DoS：使用高优先级 ID 进行总线泛洪 * 欺骗：使用有效 ID 发送伪造消息 * 模糊：随机 ID 和 Payload 结果 * 准确实时检测所有攻击类型 * 高流量下稳定运行 * 轻量级且适合嵌入式部署 未来改进 * 增加攻击防御（阻断/过滤） * 支持更多攻击类型（中间人攻击、重放攻击、Bus-off 攻击） * 扩展至更大的 CAN 网络 * 支持 CAN-FD * 可选的基于机器学习 (ML) 的增强功能 应用场景 * 汽车网络安全 * 电动与自动驾驶车辆 * 工业级 CAN 系统 * 研究与测试平台

标签：Arduino IDE, CAN-FD, CAN总线, DoS检测, ESP32, GNU通用公共许可证, MITM, MITM代理, Node.js, STM32, STM32CubeIDE, UML, Web仪表盘, 三层架构, 免训练, 入侵检测系统, 安全数据湖, 嵌入式系统, 无监督学习, 时间序列分析, 欺骗攻击, 汽车安全, 汽车网络安全, 物联网安全, 电动车安全, 自动驾驶, 蓝牙报警, 负载分析, 车载网络, 轻量级系统, 重放攻击, 黑客攻击模拟