Please use this identifier to cite or link to this item: http://hdl.handle.net/10316/84361
Title: Attack and Intrusion Detection on the IoT
Other Titles: Deteção de Ataques e Intrusões na IoT
Authors: Silva, João Miguel Coimbra Barros da 
Orientador: Granjal, António Jorge da Costa
Keywords: IoT; 6LoWPAN; CoAP; Machine Learning; IDS; IoT; 6LoWPAN; CoAP; Machine Learning; IDS
Issue Date: 31-Jan-2018
Serial title, monograph or event: Attack and Intrusion Detection on the IoT
Place of publication or event: DEI-FCTUC
Abstract: Nowadays, the Internet of Things (IoT) has a big impact on our way of living, making security a huge concern. In many cases, standard techniques like firewalls are unable to prevent intrusions, and thus, Intrusion Detection Systems (Intrusion Detection System (IDS)s) are required, either for detecting external or internal breaches of security. Currently, for the IoT, there are no ready-to-use IDS solutions based on pattern recognition. The main goal of this work is to develop an Anomaly-based IDS for the IoT, operating at the Constrained Application Protocol (CoAP). The new Anomaly-based IDS, AnIDS, is presented along with the architecture, software libraries, platforms, scenario and performance evaluation. Client CoAP level misbehaviors are programmed in Contiki, and features are calculated with Wireshark, a packet dissector. These features are pre-processed by standardization and the feature extraction algorithms Principal Component Analysis (PCA) and Linear Discriminant Analysis (LDA). The resulting data is processed using Support Vector Machine (SVM), a machine learning algorithm based on the Scikit-Learn package, in order to train a classifier. This classifier is evaluated with the plotting of Confusion Matrices and Receiving Operator Characteristic (ROC) Curves. AnIDS allows to detect the signs of an intrusion, by cross checking the normal behavior, known a priori of the nodes, with a known data pattern of intrusion. AnIDS is also able to identify the type of misbehavior present on a node based on a priori data patterns of the specific intrusion. The Client CoAP misbehavior implemented are: implicit Denial of Service (DoS), repeatedly Acknowledgement (ACK) sending, wrong URI requesting, and invalid CoAP content accept option requesting. Results demonstrate that AnIDS can obtain an F_Measure and a Recall scores of ∼ 98%, demonstrating that the system is capable to distinguish between the normal and the intruder behavior. As CoAP is the most disseminated open source application protocol on the IoT, AnIDS can have a significant impact on IoT security.
Na civilização atual, a Internet das Coisas (IoT) rege a nossa forma de viver, tornando a segurança desses aparelhos uma preocupação. Em muitos casos, técnicas standard como as firewalls são insuficientes, exigindo o recurso a Sistemas de Deteção de Intrusões (IDS) de forma a identificar intrusões externas e internas. Atualmente, para a IoT, não se encontram IDSs baseados em reconhecimento de padrões que estejam disponíveis. O objetivo desta tese é desenvolver um novo IDS baseado em anomalias para a IoT, que opere ao nível da camada protocolar de aplicação, CoAP (constrained application protocol). É apresentado um novo IDS, AnIDS, sendo descrita a sua arquitetura, bibliotecas de software, plataforma, cenário e as técnicas usadas para a avaliação da performance. Os comportamentos erróneos de clientes CoAP são programados em Contiki, e as características (features) são calculadas via Wireshark. Estas características são pré-processadas com standardização, para média 0 e desvio padrão 1, e são aplicados os algoritmos de extração de features PCA e LDA. Os dados resultantes permitem treinar o algoritmo de classificação SVM, presente na biblioteca Scikit-Learn. O classificador é avaliado através do cálculo de matrizes de confusão e curvas ROC. O AnIDS permite detetar sinais de intrusões cruzando dados característicos de comportamento normal com dados de nós com um padrão conhecido de intrusão. O AnIDS também é capaz de identificar o tipo de comportamento erróneo presente num nó baseando-se em padrões de dados de intrusões específicas, previamente conhecidas. Implementam-se os seguintes comportamentos erróneos: DoS implícito, envio constante de ACKs, pedidos a URIs inválidos e pedidos com a flag de CoAP accept não suportada. Os resultados obtidos para os indicadores F_Measure e Recall de ∼ 98%, demonstram que o AnIDS pode distinguir com elevado grau de certeza o comportamento normal do comportamento erróneo. Dado que o CoAP é o protocolo aberto mais disseminado da IoT, o AnIDS poderá ter um grande impacto na segurança nos dispositivos da IoT.
Description: Dissertação de Mestrado em Engenharia Informática apresentada à Faculdade de Ciências e Tecnologia
URI: http://hdl.handle.net/10316/84361
Rights: openAccess
Appears in Collections:UC - Dissertações de Mestrado

Files in This Item:
File Description SizeFormat
Final_Thesis_Corrected.pdf3.87 MBAdobe PDFView/Open
Show full item record

Page view(s) 50

586
checked on Nov 28, 2022

Download(s) 20

1,259
checked on Nov 28, 2022

Google ScholarTM

Check


This item is licensed under a Creative Commons License Creative Commons