Sistema de deteção de intrusões para a Internet das Coisas

Data
2020-01-09
Título da revista
ISSN da revista
Título do Volume
Editora
Resumo
A aplicação da Internet das Coisas em domínios tão diversos como a automação industrial e de edifícios, os cuidados de saúde, a monitorização ambiental ou a gestão de transportes e logística, tem contribuído para uma maior adoção deste tipo de sistemas originando a interligação de mais dispositivos à Internet. Esses dispositivos são responsáveis pela recolha de dados acerca do ambiente físico que os rodeia ou recebem comandos externos, por forma a gerar uma ação no meio físico. Muitas das vezes, a recolha de dados ou a receção de comandos externos são efetuados através de ligações à Internet que, na maioria das vezes, é efetuada através de uma ligação insegura, expondo em muitas ocasiões dados confidenciais ou originando ações indevidas no meio físico envolvente, tornando estes sistemas mais expostos a ataques e intrusões. Estas e outras situações invocam novos desafios de privacidade e segurança dos dispositivos, das comunicações e dos dados transmitidos neste tipo de sistemas. A utilização de mecanismos de contramedidas de segurança convencionais como as firewall, a deteção e prevenção de intrusões, a cifragem dos dados e comunicações, autenticação e autorização dos intervenientes ou até auditorias, nem sempre são viáveis ou estão adequados às características apresentadas pelos sistemas IoT, visto que não são suficientemente flexíveis para o ecossistema IoT. Um dos mecanismos de contramedida que pode ser integrado numa solução global de segurança em sistemas IoT são os sistemas de deteção de intrusões. Tal como os restantes, estes têm que ser desenvolvidos especificamente para este tipo de sistemas devido à arquitetura IoT; à escalabilidade; à heterogeneidade dos dispositivos e tipos de comunicação; à integração com o mundo físico; às restrições dos recursos computacionais; à privacidade; à grande escala; à gestão da confiança e a uma menor preparação para a segurança dos dispositivos utilizados. As soluções existentes, desenvolvidas especificamente para sistemas IoT, ainda apresentam muitas limitações, pelo que é imperativo melhorar e diversificar as abordagens, nomeadamente no que concerne a metodologias de deteção utilizadas, à quantidade de intrusões detetadas e em diferentes camadas IoT e à interoperabilidade e extensibilidade. De forma a minorar estas limitações, esta tese propõe uma framework para a deteção de intrusões em sistemas IoT com o objetivo de detetar em tempo útil intrusões com origem interna ou externa que afetem todas as camadas da arquitetura IoT, tendo por base a análise de registos de fluxos de tráfego. Esta framework, baseada em quatro componentes - (i) observação de pacotes de rede, (ii) agregação e exportação de fluxos, (iii) recolha, descodificação e armazenamento de fluxos e (iv) análise de fluxos - distribuídos pelos dois módulos do IDS (sonda e módulo central), permite recolher e agregar as informações acerca das comunicações IoT na sonda e, posteriormente, analisá-las de forma a detetar anomalias e intrusões que possam estar a ocorrer a cada instante no módulo central. Esta análise é efetuada através de uma solução que utiliza uma localizada híbrida, com base numa recolha de dados distribuídos e numa análise centralizada que recorre à metodologia de deteção baseada em especificações de tráfego normal. Para proceder à validação desta framework foi desenvolvido um protótipo, posteriormente analisado e avaliado mediante os resultados da implementação de um plano de testes, da framework de avaliação da metodologia DSR e dos quatro princípios propostos por Österle. Desta feita, foi possível validar a framework relativamente à sua capacidade, a fim de detetar intrusões e anomalias a que estão sujeitos os sistemas IoT nas suas diferentes camadas, ao seu desempenho e escalabilidade em relação ao consumo de recursos computacionais para a operação da sonda e módulo central do IDS e à segurança das comunicações internas efetuadas entre os módulos e componentes do IDS.
The application of the Internet of Things in fields as diverse as building and industrial automation, healthcare, environmental monitoring or transport and logistics management has contributed to the increased adoption of this systems and leading to the interconnection of more devices to the Internet. These devices are responsible for collecting data about the physical environment and for receiving external commands in order to generate actions. In IoT systems, the collection and reception of data by IoT devices are made through insecure Internet connections. Those insecure connections can expose confidential data or even cause improper action in the surrounding environment, making these systems more exposed to attacks and intrusions. These situations cause new privacy and security challenges for devices, communications, and data transmitted through these systems. The use of conventional security countermeasures such as firewalls, intrusion detection and prevention systems, encryption of data and communications, authentication and authorization of users are not always feasible or appropriate to the characteristics of IoT systems, since they are not flexible enough for the IoT ecosystem. One of the security mechanisms that can be integrated into a global security solution in IoT systems is an intrusion detection system. Like the others, this systems have to be developed specifically for this type of networks due to the IoT architecture and scalability; the heterogeneity of devices and communication protocols; the integration with physical world; the lack of computational resources; the privacy; the trust management and less preparation for security of the devices. Existing solutions that were developed specifically for IoT systems have many limitations, so it is necessary to improve and diversify approaches, regarding the detection methodologies used, the number of intrusions detected at different IoT architecture layers, and the interoperability and extensibility of the solutions. In order to improve these limitations, this thesis proposes a framework for intrusion detection in IoT systems with the main objective of detecting internal or external intrusions in real time. The solution proposed is based on the analysis of network flow records and seek to detect intrusions affecting all the layers of the IoT architecture. This framework is based on four components - (i) packet observation, (ii) flow metering and export, (iii) data collection, and (iv) data analysis – and is distributed across two IDS modules (probe and central module). This solution collects and aggregate information about IoT communications on the probe. Those information’s are received and analyzed by the central module in order to detect anomalies and intrusions that may be occurring in IoT system. This analysis is performed using a hybrid solution based on a distributed data collection and a centralized analysis using a detection methodology based on normal traffic specifications. In order to validate the framework, a prototype was developed. Using the prototype, the framework was analyzed and evaluated through the results of the implementation of a test plan. Besides that, was also used the DSR methodology evaluation framework and the four principles proposed by Österle for evaluation of the proposed framework. As result, it was possible to validate the framework regarding its capacity to detect intrusions and anomalies in different IoT layers. The evaluation also demonstrate that the framework achieved promising results in terms of performance and scalability in the consumption of computational resources for the operation of the probe and central module. In terms of security of the proposed system, the framework assures the confidentiality and integrity of internal communications between IDS modules and components.
Descrição
Tese de Doutoramento em Informática
Palavras-chave
Internet das coisas , Sistemas de deteção de intrusão
Citação