Attack and Intrusion Detection on the IoT

Abstract

Nowadays, the Internet of Things (IoT) has a big impact on our way of living, making security a huge concern. In many cases, standard techniques like firewalls are unable to prevent intrusions, and thus, Intrusion Detection Systems (Intrusion Detection System (IDS)s) are required, either for detecting external or internal breaches of security. Currently, for the IoT, there are no ready-to-use IDS solutions based on pattern recognition. The main goal of this work is to develop an Anomaly-based IDS for the IoT, operating at the Constrained Application Protocol (CoAP). The new Anomaly-based IDS, AnIDS, is presented along with the architecture, software libraries, platforms, scenario and performance evaluation. Client CoAP level misbehaviors are programmed in Contiki, and features are calculated with Wireshark, a packet dissector. These features are pre-processed by standardization and the feature extraction algorithms Principal Component Analysis (PCA) and Linear Discriminant Analysis (LDA). The resulting data is processed using Support Vector Machine (SVM), a machine learning algorithm based on the Scikit-Learn package, in order to train a classifier. This classifier is evaluated with the plotting of Confusion Matrices and Receiving Operator Characteristic (ROC) Curves. AnIDS allows to detect the signs of an intrusion, by cross checking the normal behavior, known a priori of the nodes, with a known data pattern of intrusion. AnIDS is also able to identify the type of misbehavior present on a node based on a priori data patterns of the specific intrusion. The Client CoAP misbehavior implemented are: implicit Denial of Service (DoS), repeatedly Acknowledgement (ACK) sending, wrong URI requesting, and invalid CoAP content accept option requesting. Results demonstrate that AnIDS can obtain an F_Measure and a Recall scores of ∼ 98%, demonstrating that the system is capable to distinguish between the normal and the intruder behavior. As CoAP is the most disseminated open source application protocol on the IoT, AnIDS can have a significant impact on IoT security.

Na civilização atual, a Internet das Coisas (IoT) rege a nossa forma de viver, tornando a segurança desses aparelhos uma preocupação. Em muitos casos, técnicas standard como as firewalls são insuficientes, exigindo o recurso a Sistemas de Deteção de Intrusões (IDS) de forma a identificar intrusões externas e internas. Atualmente, para a IoT, não se encontram IDSs baseados em reconhecimento de padrões que estejam disponíveis. O objetivo desta tese é desenvolver um novo IDS baseado em anomalias para a IoT, que opere ao nível da camada protocolar de aplicação, CoAP (constrained application protocol). É apresentado um novo IDS, AnIDS, sendo descrita a sua arquitetura, bibliotecas de software, plataforma, cenário e as técnicas usadas para a avaliação da performance. Os comportamentos erróneos de clientes CoAP são programados em Contiki, e as características (features) são calculadas via Wireshark. Estas características são pré-processadas com standardização, para média 0 e desvio padrão 1, e são aplicados os algoritmos de extração de features PCA e LDA. Os dados resultantes permitem treinar o algoritmo de classificação SVM, presente na biblioteca Scikit-Learn. O classificador é avaliado através do cálculo de matrizes de confusão e curvas ROC. O AnIDS permite detetar sinais de intrusões cruzando dados característicos de comportamento normal com dados de nós com um padrão conhecido de intrusão. O AnIDS também é capaz de identificar o tipo de comportamento erróneo presente num nó baseando-se em padrões de dados de intrusões específicas, previamente conhecidas. Implementam-se os seguintes comportamentos erróneos: DoS implícito, envio constante de ACKs, pedidos a URIs inválidos e pedidos com a flag de CoAP accept não suportada. Os resultados obtidos para os indicadores F_Measure e Recall de ∼ 98%, demonstram que o AnIDS pode distinguir com elevado grau de certeza o comportamento normal do comportamento erróneo. Dado que o CoAP é o protocolo aberto mais disseminado da IoT, o AnIDS poderá ter um grande impacto na segurança nos dispositivos da IoT.