Data driven intrusion detection for 6LoWPAN based IoT systems

Abstract

Nesnelerin İnterneti (ing. IoT) cihazlarının yaygın olarak kullanılmaya başlanması ve donanımsal kısıtlara sahip olmaları, saldırganlar tarafından kolay hedef haline gelmerine sebep olmaktadır. Bu yüzden, güvenlik mekanizmalarının daha az uygulanabildiği bu sistemlerin, saldırı tespit sistemleri kullanılarak izlenmesi ve saldırılara karşı doğru zamanda gerekli adımların atılması büyük önem arz etmektedir. Saldırı tespit sistemleri, bilgisayar ağlarını sürekli olarak gözlemleyerek herhangi bir güvenlik kazası durumunda ilgili raporların sistem yöneticilerine iletilmesini sağlar. Bu alanda yapılan son çalışmalara bakıldığında, makine öğrenimi tabanlı sistemlerin saldırı tespit etmede oldukça başarılı olduğu gözlemlenmiş, farklı protokol ve saldırı tipleriyle çeşitli çalışmalar gerçekleştirildiği görülmüştür. Ancak, önerilen modellerin çoğu simülasyon verileri ya da geçerliliğini yitirmiş IoT saldırı ve zafiyetlerini içeren veri setleri kullanılarak geliştirilmiştir. Ayrıca, bu çalışmaların saldırı çeşitliliği nispeten düşük olmakla birlikte, birden çok saldırıyı zararsız trafikle beraber sınıflandırabilen çok sınıflı sınıflandırıcılar yerine çoklu saldırı senaryoları için ölçeklendirilebilir olmayan ve sadece tek tip saldırıyı zararsız trafikten ayırt edebilen ikili sınıflandırma modelleri önerilmiştir. Bu tezde, 6LoWPAN ve RPL protokolleriyle çalışan IoT cihazlarından elde edilen trafik verileriyle bir saldırı veri seti oluşturulmuş ve veri setinin içerdiği 6 saldırı tipini zararsız trafikle birlikte sınıflandırabilen bir makine öğrenimi tabanlı çok sınıflı sınıflandırıcı önerilmiştir. Veri setini oluştururken, RPL yönlendirme (ing. routing) saldırılarına ek olarak IoT cihazlarını sıkça hedef alan Mirai botnet saldırısı da kullanılmıştır. Bunun yanında, önerilen cihaz bazlı öznitelik çıkarma ve saldırı tespit etme yöntemi sayesinde her cihazın trafik özellikleri kayan bir zaman penceresi üzerinde modellenebilmekte, bu sayede de saldırgan cihazların konumları tespit edilebilmektedir. Sonuçlara göre, önerilen saldırı tespit sistemi 6 saldırı tipini %79 ile %100 arasında değişen duyarlılık skorlarıyla başarılı bir şekilde tespit edebilmektedir.

Wide adoption of Internet of Things (IoT) devices and their limitations in terms of hardware causes them to be easy targets for attackers. Therefore, it is important to monitor these systems, where security mechanisms are less applicable, by using intrusion detection systems, and take the necessary actions against insider and outsider attackers promptly. Intrusion detection systems monitor computer networks continuously and ensure that relevant reports are forwarded to the system administrators in case of a security incident. Recent studies have explored that machine learning based intrusion detection systems are quite successful in detecting different types of attacks. However, most of the models proposed in the literature were developed using simulation based or previously published testbed data that contain the samples of outdated IoT attacks and vulnerabilities. Furthermore, the variety of the attacks aimed to be detected are relatively low and the proposed models are binary classifiers which are not scalable for multi-attack scenarios. Binary classifiers can distinguish an attack type from benign traffic in contrast to multi-class classifiers, which can classify different types of attacks together with benign traffic. In this thesis, we propose a machine learning based multi-class classifier that can classify 6 attack types together with the benign traffic. Our node based feature extraction and detection methodology allows to pinpoint the exact locations of the attackers by modelling their traffic characteristics over a sliding time window. For training and testing our models, we also propose an intrusion detection dataset generated using the traffic data collected from real IoT devices working over the 6LoWPAN and RPL protocols. Besides having RPL routing attacks in the dataset, we leverage Mirai botnet, used frequently to target IoT devices. The results show that the proposed intrusion detection system can detect 6 attack types with high recall scores ranging from 79% to 100%.