Modelo de detecção de ataques de negação de serviço em redes IoT: uma abordagem de baixo custo computacional e de operação online na borda da rede

Abstract

O crescimento no número de dispositivos e aplicações IoT, bem como a heterogeneidade e limitação de hardware dos mesmos, dificultam a aplicação de mecanismos tradicionais de segurança. Dessa forma, a camada de IoT se tornou uma parte altamente vulnerável da rede. Neste contexto, é proposto um sistema de detecção de intrusão de baixa complexidade computacional, para reconhecimento online dos ataques de negação de serviço. Uma característica comum de ataques de negação de serviço é o aumento repentino no número de pacotes ou requisições. Para localizar este aumento repentino, o tráfego de rede é primeiramente filtrado por protocolo ou tipo de pacote, e então reduzido ao número de pacotes em relação ao tempo. Sobre esta série de dados, são aplicadas as técnicas de janela deslizante para formação de médias móveis, posteriormente são realizadas comparações entre as médias móveis capturadas para identificar as anomalias. Por fim é realizado uma busca pelo destino de maior recorrência somente no momento em que as anomalias são reconhecidas. Testes realizados em dados extraídos de arquivo pcap, contendo ataques realizados em dispositivos reais, demonstram a precisão no reconhecimento dos ataques. Além disso, são descritas as ferramentas e técnicas para implementação do modelo proposto em ambiente realista.

Abstract: The growth in the number of IoT devices and applications, as well as their heterogeneity and hardware limitations, make it difficult to apply traditional security mechanisms. In this way, the IoT layer has become a highly vulnerable part of the network. In this context, a low computational complexity intrusion detection system is proposed for online recognition of denial-of-service attacks. A common characteristic of denial-of-service attacks is a sudden increase in the number of packets or requests. To localize this surge, network traffic is first filtered by protocol or packet type, and then reduced to the number of packets over time. On this data series, sliding window techniques are applied to form moving averages, subsequently comparisons are made between the captured moving averages to identify anomalies. Finally, a search for the destination with the highest recurrence is carried out only when the anomalies are recognized. Tests carried out on data extracted from a pcap file, containing attacks carried out on real devices, demonstrate the accuracy in recognizing attacks. Furthermore, the tools and techniques for implementing the proposed model in a realistic environment are described.