Intelligent Mechanisms for Monitoring and Intrusion Detection in IoT Devices

Abstract

Nos últimos anos, a sociedade tem vindo a experimentar um crescimento significativo de dados processados por dispositivos, nomeadamente dispositivos IoT. Este crescimento é resultado direto de mil milhões de dispositivos \emph{Internet of Things} conectados à \emph{Internet} ou entre si. Isto tem vindo a desempenhar um papel crítico em vários domínios, como infraestruturas inteligentes, saúde, cadeia de suprimentos ou transporte. Em 2021, cerca de 12,3 mil milhões de dispositivos IoT estavam conectados à \emph{Internet}. A quantidade de dispositivos IoT passou a servir de motivação para entidades maliciosas tirarem proveito de tais dispositivos e usá-los para benefício próprio. Como consequência, ataques direcionados a dispositivos inteligentes têm vindo a aumentar. Estes ataques são ameaças não apenas à segurança dos dispositivos, mas à privacidade dos seus utilizadores. Além disso, a segurança física dos dispositivos também pode estar em risco devido à falta de medidas de segurança adequadas para dispositivos IoT, o que torna esses dispositivos ainda mais alvo de ataques maliciosos.Para lidar com essas ameaças e melhorar a proteção de dispositivos IoT, sistemas de deteção de intrusão personalizados podem ser desenvolvidos e complementados com Aprendizagem Computacional para detetar ataques e ameaças. Muitas estratégias de Aprendizagem Computacional aplicam abordagens de aprendizagem centralizada, o que pode ser motivo de preocupação relacionada com a privacidade devido às inerentes trocas de dados. Na maioria das vezes, as abordagens tradicionais de Aprendizagem Computacional realizam a agregação dos elementos de dados extraídos da IoT num servidor central, onde os dados são tratados e usados para treinar e atualizar um modelo global. Isto representa um único ponto de falha e é facilmente explorável por terceiros, colocando em risco a privacidade de dados dos seus consumidores devido à natureza intrusiva de privacidade de tais estratégias, principalmente quando os dispositivos precisam atender às informações pessoais dos utilizadores ou dispositivos, ou dados sensíveis para obter melhores desempenhos.Aprendizagem Federada permite a minimização do problema de privacidade associado às abordagens centralizadas de Aprendizagem Computacional. O Aprendizagem Federada oferece a possibilidade de treinar modelos globais de Aprendizagem Computacional utilizando os dados dos dispositivos privados sem precisar compartilhá-los com outras entidades. Como tal, o desenvolvimento de sistemas de deteção de intrusão habilitados para aprendizagem federada para dispositivos IoT é uma solução necessária. Como essa abordagem ainda está nos seus estágios iniciais, ainda requer um esforço de pesquisa significativo para superar os desafios e as preocupações de segurança da implantação de dispositivos IoT conectados em cenários reais.Nesta tese, apresentamos uma contribuição para tal solução. Começando por pesquisar o estado da arte relacionado à Deteção de Intrusão de Anfitrião para dispositivos IoT e como a Aprendizagem Federada pode ser aplicada nesses casos. A partir da análise e do trabalho experimental com várias abordagens de Aprendizagem Computacional, por fim, propomos um Sistema de Deteção de Intrusão Baseado em Anfitrião leve que se baseia em abordagens de Aprendizado Federada para realizar a deteção de intrusão em dispositivos IoT.O trabalho experimental apresentado nesta tese considerou a avaliação de um conjunto de abordagens de Sistemas de Deteção de Intrusão com Aprendizagem Centralizada e Federada. Para alcançar esta solução, foi necessário implementar vários mecanismos de Aprendizagem Computacional centralizados e federados e analisar o seu desempenho. A avaliação é realizada num conjunto de dados do Sistema de Deteção de Intrusão disponível publicamente com base em rastreio de chamadas ao sistema e num conjunto de dados de prova de conceito recém-gerado que foi criado neste trabalho simulando comportamentos básicos de dispositivos IoT. Também foi necessário desenvolver um analisador que converte automaticamente as chamadas do sistema em matrizes numéricas adequadas para serem processadas por modelos de Aprendizagem Computacional. A avaliação da nossa solução proposta mostrou ser possível habilitar um Sistema de Deteção de Intrusões baseado em Aprendizagem Federada para dispositivos IoT com precisão acima de 90% para ameaças conhecidas.

In recent years, society has been experiencing an immense growth of data processed by devices, namely IoT devices. This growth is the direct result of billions of Internet of Things devices connected to the internet or between themselves. This played a critical role in multiple domains, such as smart infrastructures, healthcare, supply chain or transportation. In 2021, an estimated 12.3 billion IoT devices were connected to the internet. The amount of IoT devices have come to serve as a motivation for malicious entities to take advantage of such devices and use them for their own gain. As a consequence, targeted attacks on smart devices are increasing. These attacks are threats not only to devices’ security but to their users’ privacy. Moreover, the physical safety of devices may also be at stake due to a lack of appropriate security measures for IoT devices, which makes these devices even more of a target for malicious attacks.To address such threats and improve IoT device protection, tailor-made Intrusion Detection Systems can be devised and complemented with machine learning to detect attacks and threats. Many Machine Learning strategies apply centralized learning approaches, which may be a cause of privacy concern due to the inherent data exchanges. It is more often than not that traditional machine learning approaches perform aggregation of the extracted Internet of Things data elements on a centralized server, where the data is treated and used to train a global model. This represents a single point of failure and it is easily exploitable by malicious third parties - putting at risk the data privacy of its consumers due to the privacy-intrusive nature of such strategies, particularly when the devices need to address the users’ or device’s personal or sensitive data to achieve better performances.Federated Learning enables a minimization of the privacy issue associated with centralized machine learning approaches. Federated Learning grants the possibility of training global machine learning models leveraging private device data without ever requiring to share it with other entities. As such, the development of Federated Learning-enabled Intrusion Detection Systems for IoT devices is a necessary solution. As such an approach is still in its early stages, it still requires significant research effort in order to overcome the challenges and security concerns of deploying connected IoT devices in real-world scenarios.In this thesis, we present a contribution to such a solution. We start by researching the state of the art related to Host Intrusion Detection for IoT devices and how Federated Learning can be applied in these cases. From the analysis and experimental work with several machine learning approaches, we ultimately propose a lightweight Host-Based Intrusion Detection System that relies on Federated Learning approaches to perform intrusion detection on IoT devices.The experimental work presented in this thesis considered the evaluation of a set of Centralized and Federated Learning-enabled Intrusion Detection System approaches. To achieve this solution, it was necessary to implement several centralized and federated machine learning mechanisms and analyse their performance. The evaluation is performed on a publicly available Intrusion Detection System dataset based on system call traces and in a newly generated proof of concept dataset that was created in this work by simulating basic IoT device behaviours. It was also necessary to develop a parser that automatically converts system calls into numeric arrays suitable to be processed by machine learning models. The assessment of our proposed solution has shown that it is possible to enable a Federated Learning Intrusion Detection System for IoT devices with an accuracy above 90% for known threats.