Система обнаружения вторжений для выявления внутренних атак в системах IoT на основе доверия



Дата публикации: 2020-04-21
Автор: Перевод: @ZzzNein Добавление уточнений к исходной статье: @N3M351DA, @qwerty_bubble
Теги:

Источник: https://eprint.iacr.org/2019/849.pdf

Амбили К.Н. и Джимми Хосе, Национальный институт технологии в Калькутте, Индия

Краткое описание. Cистемы на основе технологии интернета вещей (далее – IoT-системы) уязвимы для различных кибератак, поскольку формируют в сети вложенные группы. Все большее значение начинают играть внутренние атаки, потому что многие устройства настраиваются на доступ к Интернету без средств обнаружения вторжений или межсетевых экранов. Данное исследование построено на изучении трех внутренних атак, а именно – «черная дыра», «воронка» и «червоточина» (blackhole, sinkhole и wormhole). Для их обнаружения предлагается использовать распределенную систему обнаружения вторжений на основе доверия. Для этого, индексы доверия хоста сравниваются с теми, что хранятся в неизменяемом распределенном реестре и используются для принятия решения о включении или исключении узла.

Ключевые слова: IoT, «черная дыра», «воронка», «червоточина», IDS, DDoS.

  • Введение

Интернет вещей (IoT) приобретает особое значение в свете применения в повседневной жизни. Для IoT было предложено несколько архитектур, из которых одна (пятислойная) [1] подразумевает наиболее формальную и понятную топологию. К указанным пяти слоям относятся: слой логики предметной области, слой приложений, слой управления сервисами или межплатформенного программного обеспечения (сопряжения), слой абстракции объекта и объектный слой.

Слой логики предметной области – это уровень управления, регулирующий все действия и сервисы IoT-системы через построение логических моделей, графиков и т.д. на основе данных, полученных от слоя приложений. Слой приложений оказывает запрошенные клиентами услуги.

Cлой управления сервисами является уровнем кроссплатформенного ПО, связывающим сервисы с абонентом по адресам и именам. Данный слой позволяет программистам IoT-приложений работать с гетерогенными объектами на разных аппаратных платформах. Слой отвечает за обработку полученных данных и их последующее использование для принятия решений. Доступ к необходимым сервисам предоставляется через сетевые протоколы.

Уровень абстракции отвечает за передачу данных, сгенерированных объектным слоем, слою управления сервисами по безопасным каналам. Могут использоваться различные технологии передачи данных: RFID, WiFi, Bluetooth Low Energy (BLE), ZigBee и т.д. Объектный слой задействует физические датчики IoT, призванные собирать и обрабатывать информацию. Датчики и исполнительные устройства выполняют различные функции: запрос данных температуры, влажности, вибрации, веса и т.д.

Устройства в IoT-системах могут подключаться к Интернету напрямую или через шлюз, образуя локальную сеть, которая затем подключается к Интернету. Среда IoT построена на беспроводных или проводных датчиках и их функциях.

В IoT-системах может применяться модель взаимодействия, основанная на связи клиент-сервер. Поскольку большинство из них запускаются сигналами датчиков или через реакцию исполнительных устройств, модель «издатель-подписчик» также жизнеспособна. В этом случае издатель классифицирует сообщения для публикации в классах с помощью посредников. Подписчики могут получать сообщения от брокеров. Кроме того, можно применять модель «извлечение-продвижение», подразумевающую очереди. Отправители помещают сообщения в очередь, а получатели их извлекают.

  • Атаки на IoT-системы

Интернет вещей наследует все возможные кибератаки. Ввиду неоднородности используемых устройств и разнообразия протоколов от множества поставщиков на разных уровнях, следует опасаться множества кроссплатформенных вредоносных программ.

Безопасность IoT усложняется проблемами совместимости и отсутствием единых стандартов технологий. Большинство устройств создается исключительно в маркетинговых целях для получения быстрой прибыли. За последние несколько лет в ряде бестселлеров безопасность сознательно не учитывалась. Устройства обладают уязвимыми интерфейсами без возможности своевременного обновления прошивки. IoT-системы доступны многим пользователям в различных сетях. Не существует строгой системной аутентификации для обнаружения или предотвращения таких DDoS-атак.

В источнике [2] дается всесторонний анализ безопасности IoT-систем. В другом обзорном документе [3] изложены требования к безопасности, а также существующие атаки, угрозы и современные решения. На сетевом уровне описаны атаки типа «черная дыра», «воронка» и «червоточина». На уровне приложений регистрируются атаки через веб, атаки с использованием социальной инженерии, переполнение буфера, бэкдор и DoS. К DoS-атакам относится флуд, атаки отражением, атаки с амплификацией трафика, воздействие преднамеренных помех и DDoS-атаки. Недавние DDoS-атаки (Mirai) нацелены также и на активно-адаптивные интеллектуальные сети.

В настоящее время компьютеры или ноутбуки на различных предприятиях или в организациях регулируются системой управления сетью. За защиту от внешних атак отвечают системы обнаружения вторжений и межсетевые экраны. В закрытых средах управления сетью внутренние атаки не имеют большого значения.

Недавнее исследование систем обнаружения и предотвращения вторжений (IDS) [4] делит их на две категории – на основе правил или аномалий. Системы на основе правил используют для создания алгоритмов информацию об известных атаках. Системы на основе аномалий выявляют несоответствие в системе, анализируя трафик данных. В работе [5] описаны меры по снижению риска атак типа «черная дыра» в мобильных сетях с адаптивной самоконфигурацией. Система обнаружения вторжений на основе доверия для беспроводных систем датчиков описана в исследовании [6]. Подход с распределенным обнаружением вторжений на основе доверия, учитывающий интересы всех участвующих узлов, описан в работе [7]. Источник [8] описывает обнаружение вторжений с помощью систем на основе спецификаций. Основанная на доверии система обнаружения вторжений, присущая протоколу уровня маршрутизации (протокол маршрутизации для сетей с низким потреблением и потерями (RPL)) IoT-систем описана в исследовании [9].

IoT-системы внедряют Интернет в повседневную жизнь. При этом повышается риск различных внешних атак. Но не стоит недооценивать внутреннего нарушителя, учитывая, что ему не требуется информация о ключах при проведении атаки. Однако, при необходимости он может извлечь эти данные. Мы рассмотрим три типа разрушительных внутренних атак: «черная дыра», «воронка», «червоточина».

Атаки «воронка» и «черная дыра» подразумевают под собой использование вредоносного узла, который привлекает весь трафик в сети, показывая, что у него самый короткий путь к месту назначения в сети. В результате все пакеты отправляются на вредоносный узел, а злоумышленник может обрабатывать пакеты или просто их удалять. Разница в том, что в случае «воронки» вредоносный узел выборочно отбрасывает пакеты. Первые раз данные атаки упоминаются в источнике [10].

При атаке типа «червоточина» два скомпрометированных узла сообщают о наличии между ними очень короткого пути (туннеля с высокой пропускной способностью). Соседние устройства используют данный путь в своих маршрутах, передавая данные под контроль злоумышленника.

IDS должны быть простыми. При централизованном подходе они разворачиваются в шлюзе. В одноранговой IoT-системе они разворачиваются на простых устройствах. Данное исследование ориентировано на IDS для распределенных IoT-систем в свете отражения вышеупомянутых трех типов внутренних атак.

  • Решение IDS, основанное на доверии

Такие системы учитывают надежность узлов. Индекс доверия рассчитывается на основе поведения узла с учетом ответов на запросы и хранится в распределенном реестре.

Изначально индексы доверия оцениваются в зависимости от деталей конфигурации, загруженных на устройство на момент поставки. При выходе устройства в сеть они переносятся в распределенный реестр. Каждый узел выступает узлом мониторинга и оценивает надежность всех соседних, с которыми взаимодействует. Расчет индекса происходит на основе поведения соседних узлов.

При расчете индекса доверия учитываются следующие параметры: показатель «честности» устройства, отсутствие взаимодействия и прием пакетов только от соседних узлов. Отказ от взаимодействия (как индекс) может использоваться для выявления отправки и отбрасывания вредоносных пакетов. «Честность» (как индекс) может помочь в выявлении узлов «черных дыр».

Каждый узел в сети должен вести таблицу маршрутизации с идентификаторами соседних узлов. Сеть считается полной, если устройствам разрешено общаться друг с другом.

Система доверительного управления использует принцип выбора «лидера» в полной сети в качестве способа достижения доверия, данные о котором должны храниться в распределенном реестре. Это полезно для мобильных и стационарных беспроводных IoT-сетей. Распределенным реестром управляет объединение сетевых администраторов. Основополагающее допущение заключается в том, что по прошествии времени узлы начинают взаимодействовать с большим количеством соседних и это продолжается до тех пор, пока не происходит дестабилизация системы.

Если учитывать отказ от взаимодействия как важный индекс, отслеживая маршрут прохождения данных, можно обнаружить вредоносную отправку и отбрасывание пакетов. Учитывая в качестве параметра «честность» (входящие и исходящие пакеты), можно выявить атаку типа «черная дыра». Через учет отклонений от стандартных маршрутов, можно обнаружить атаки типа «воронка» или пересылку данных вредоносными узлами. Внедиапазонную атаку «червоточина» можно выявить при получении пакета, не принадлежащего ни одному из соседних узлов согласно таблице маршрутизации. Обнаружить внедиапазонные «червоточины» довольно сложно, поскольку поиск похожих сценариев уводит за пределы изучаемой сети.

Каждый участвующий в процессе узел является узлом мониторинга, который готовит запись транзакции. Она отправляется всем соседним узлам с определенным интервалом.

PIPO или показатель ввода-вывода пакетов – это двухмерный вектор с ID соседнего узла в первом поле и разницей между показателем ввода-вывода пакетов во втором поле каждого ряда. Показатель маршрута – это список уникальных маршрутов в принимаемых пакетах. Неизвестный отправитель – третий показатель, отвечающий за счетчик пакетов, принятых из неизвестных источников, отсутствующих в таблице маршрутизации (см. Таблицу 1)

Таблица 1 Запись транзакции

Параллельный ввод-вывод (PIPO)Показатель маршрутаНеизвестный отправитель
Двухмерный векторСписок уникальных маршрутовСчётчик

Узел, располагающий наивысшим индексом доверия согласно последней информации распределенного реестра узлов, выбирается «лидером».. Описание функциональности представлено ниже.

Ввод : запись транзакции всех участвующих узлов

Вывод : предупреждение, новые индексы доверия

Псевдокод :

а) Сбор информации о транзакциях всех участвующих узлов.

б) Сравнение значений PIPO всех взаимодействующих узлов. Если они равны, повышение индексов доверия обоих узлов, в противном случае – бездействие.

в) Сравнение списка уникальных маршрутов и проверка наличия какого-либо маршрута, отличающегося от разрешенного согласно протоколу маршрутизации. Если такой маршрут найден, производится снижение индексов доверия всех узлов с момента выявления расхождения, в противном случае – бездействие.

г) Если счетчик неизвестных отправителей больше нуля, проводится проверка маршрутов на наличие узлов, не входящих в разрешенные согласно таблице маршрутизации. Если они есть, производится снижение индекса доверия только предшествующего узла.

д) Если проанализированный индекс доверия узла меньше такого индекса последнего блока распределенного реестра, всем участвующем узлам, кроме последнего проанализированного, передается предупреждение о вторжении.

е) Внесение в распределенный реестр новой записи о индексах доверия.

ж) Проводится обновление индекса доверия каждого участвующего узла до новейшего индекса доверия в реестре узлов.

В случае появления в сети узла с индексом доверия выше, чем у существующего «узла-лидера», то он занимает его место в иерархии и оповещает об этом изменении все устройства в сети.

Кроме того, анализ информации об индексе доверия узла (в соответствии с данными, сохраненными в распределенном реестре) дает хорошее представление о надежности узла через аналитику распределенного реестра.

  • Заключение

Развёртывание IoT-систем делает сети уязвимыми, поэтому для обеспечения безопасности рекомендуется устанавливать системы обнаружения вторжений, основанные на распределенной оценке индексов доверия. Попытки обойти IDS будут терпеть крах, поскольку для проверки индексов система использует данные, взятые из распределенного реестра. Транзакция со скомпрометированным индексом доверия недопустима и будет отброшена. Тем не менее, возможна атака 51%, при которой большинство устройств в сети контролирует добавление индексов в распределенный реестр. Ввиду недостатков данной атаки иные методы компрометации сети будут превалировать

 

Ссылки и библиография

  1. A.Al-Fuqaha, M. Guizani, M Mohammadi, M. Aledhari, M. Ayyash: Интернет вещей: исследование о внедрении технологий. Протоколов и приложений, исследований и практикумов Института инженеров по электротехнике и электронике 17(4), 2347-2376 (2015)
  2. Panagiotis I. Radoglou Grammatikis, Panagiotis G. Sarigiannidis, Ioannis D. Moscholios: Обеспечение безопасности интернета вещей: Проблемы, угрозы и решения, Интернет вещей изд. Elsevier, Том 5, стр. 41-70, (2019)
  3. Mohab Aly, Foutse Khomh, Mohamed Haoues, Alejandro Quintero, Soumaya Yacout, Обеспечение безопасности в рамках Интернета вещей: Систематический обзор литературы, Интернет вещей, изд. Elsevier, Том 6 (2019)
  4. Bruno Bogas Zarpelao, Rodrigo Sanches Miani, Claudio Toshio Kawakani, Sean arlisto de Alvarenga, Исследование обнаружения вторжений в рамках Интернета вещей, Журнал «Network and Com-puter Applications», Том 84 (2017)
  5. Ming-Yang Su, Kun-Lin Chiang, Wei-Cheng Liao, Снижение угроз узлов типа «черная дыра» в масштабируемой, адаптивной, широкополосной сети (MANET), Международный симпозиум по параллельной и распределенной обработке с приложениями, Тайбэй (2010)
  6. Fenye Bao, Ing-Ray Chen, MoonJeong Chang, Jin-Hee Cho, Обнаружение вторжений на основе доверия в беспроводных сенсорных сетях, Международная конференция по связи Института инженеров по электротехнике и электронике, IEEE, Киото (2011)
  7. Amol R. Dhakne, Dr. P.N. Chatur, Распределенный подход с обнаружением на основе доверия в в беспроводной сенсорной сети, связь, управление и ИИС в понятиях Института инженеров по электротехнике и электронике, Матхура, Индия (2015)
  8. Anhtuan Le, Jonathan Loo, Yuan Luo, Aboubaker Lasebae, IDS на основе спецификаций для защиты RPL от топологических атак, IFIP Wireless Days (WD), IEEE, Ниагара-Фолс, Онтарио, Канада (2011)
  9. Faiza Medjek, Djamel Tandjaoui, Imed Romdhani, Nabil Djedjig, Система обнаружения вторжений на основе доверия для мобильных сетей на основе RPL, Международная конференция Института инженеров по электротехнике и электронике (IEEE) по Интернету вещей (iThings) и Конференция IEEE – зеленые информационные технологии и связь (GreenCom) + IEEE Кибер-, физические и социальные информационные технологиий (CPSCom) и IEEE по данным, полученные в результате интеллектуального анализа, IEEE, Эксетер, (2017)
  10. Xiaobing Zhang, S.F. Wu, Zhi Fu, Tsung-Li Wu, Отбрасывание вредоносных пакетов: как это может повлиять на производительность TCP и способы выявления, IEEE Proceedings 2000 – Международная конференция по сетевым протоколам, IEEE, Осака, Япония (2000)