Освіта у Львівській політехніці

Дослідження методів виявлення вторгнень у вбудованих ІоТ мережах

Автор: Браташ Роман Михайлович

Кваліфікаційний рівень: магістр (ОНП)

Спеціальність: Телекомунікації та радіотехніка (освітньо-наукова програма)

Інститут: Інститут телекомунікацій, радіоелектроніки та електронної техніки

Форма навчання: денна

Навчальний рік: 2023-2024 н.р.

Мова захисту: українська

Анотація: В умовах стрімкого розвитку інформаційно-комп’ютерних технологій, ідея впровадження передових технологій для різних способів збору даних, стає реальністю та використовується довкола у різних сферах нашого життя. Такою технологією є так званий Інтернет речей (англ. Internet of Things, IoT [1]) – концепція мережі, що складається із взаємозв’язаних фізичних пристроїв, які мають вбудовані датчики, а також програмне забезпечення, що дозволяє здійснювати передачу і обмін даними між фізичним світом і комп’ютерними системами, за допомогою використання стандартних протоколів зв’язку. На сьогодні такі компанії-велетні як Cisco та IBM співпрацюють з університетами та керівними органами міст щоб організувати розвиток систем керування даними для транспорту, управління сортуванням відходів, правоохоронних органів, енергетикою та ін., щоб покращити життя людей [2]. За прогнозами Gartner [3], до 2025 року кількість підключених до всесвітньої мережі пристроїв становитиме 26 мільярдів, а дохід від продажу устаткування, програмного забезпечення та послуг становитиме 1,9 трлн доларів. Сучасна концепція Інтернету речей передбачає комунікацію об’єктів, які використовують технології для взаємодії між собою та з навколишнім середовищем. Частина мережних протоколів адаптовані для використання в IoT і їх можна описати як складову TCP/IP моделі. Тому на перший план виходить безпека даних та реалізація надійних систем виявлення вторгень. Виходячи із принципів реалізації архітектур таких мереж, можна говорити про вразливість мереж практично на кожному із її рівнів [4-5]. Особливо актуальним це питання стає в рамках побудови складних вбудованих систем, де пристрої ІоТ відіграють ключову роль. Особливої уваги потребує атака ехо-запиту протоколу керуючих повідомлень в Інтернеті (ICMP). Протокол ICMP використовується в мережевій утиліті «ping» для перевірки стану віддаленого пристрою та отримання часу зворотного зв’язку в мілісекундах. Зловмисник використовує цю утиліту, щоб бомбардувати ціль запитами, а ціль потім має обробити запит і відповісти на нього. Це потребує надмірної пропускної здатності та обчислювальної потужності. Саме тому, у роботі запропоновано систему виявлення атак echo-запитів ICMP у мережу IoT, яка складається з чотирьох модулів: створення бази знань, яка збиратиме інформацію зі складових тестової системи; модуля генерації даних, який виконуватиме функції конфігурування, керування, захоплення та зберігання двох сценаріїв мережевого трафіку: звичайного та зловмисного трафіку, які генеруються із вбудованих пристроїв; модуля вилучення функцій, який передбачає перетворення даних і ідентифікацію корисних функцій ML у наборі даних та модуля ML, який навчає та тестує три алгоритми ML: SVM, LR та K-NN для розпізнавання такого роду атак. Пропонується проводити аналіз трафіку, який надходить із пристроїв ІоТ, на основі значення різниці між інтервалами надходження ехо-запитів. Це дозволить проводити його розподіл на шкідливий та нормальний типи. Для цього розроблено фреймворк виявлення вторгнень у мережу IoT для атак ping-flood, функції якого дозволяють створити набір даних із захопленого трафіку та запустити алгоритм машинного навчання для виявлення атаки. Такий підхід дозволить відслідковувати атаки на всі етапах передавання даних у вбудованих системах та створити ефективну IDS. Для перевірки адекватності реалізації запропонованої системи виявлення вторгнень розгорнуто тестову мережу ІоТ системи. Характеристики пристроїв, що використовуються при розгортанні тестової системи ІоТ, були обрані на основі їх використання в реальному розгортанні IoT. Створено імітаційне розгортання та моделювання роботи алгоритмів машинного навчання: SVM, LR та K-NN для розпізнавання атак. Дослідження показали, що запропонована структура виявлення вторгнень, може значно підвищити ефективність аналізу трафіку з точки зору параметрів Precision, Recall, F1, accuracy та матриці помилок. Метою кваліфікаційної роботи є розроблення та дослідження методів виявлення вторгнень, особливо таких , як атаки ping flood, у вбудованих мережах ІоТ. Виходячи із поставлених завдань предметом досліджень є методи а лгоритми виявлення аномального трафіку у вбудованих системах. Об’єктом дослідження у даній роботі є процес передавання інформаційних потоків між пристроями Інтернету речей та вбудованими системами.