Современные компьютерные угрозы и атаки вторжения намного сложнее, чем те, что наблюдались в прошлом. В устройствах IoT эти угрозы и атаки становятся еще более заметными и преобладающими, поскольку разнородные и распределенные характеры устройств затрудняют развертывание традиционных методологий обнаружения вторжений.

[1] обсуждает основные киберугрозы для устройств IoT, такие как отказ в обслуживании, атаки на основе вредоносного ПО, утечки данных и параметры ослабления, перечисляет проблемы безопасности, выявленные в IoT в соответствии с проектом Open Web Application Security Project (OWASP), а также выделяет некоторые из Примеры прошлых атак, направленных на IoT. Для обнаружения этих угроз требуются новые инструменты, способные улавливать суть их поведения, а не искать фиксированные сигнатуры в атаках. Алгоритмы обнаружения аномалий, которые способны изучать нормальное поведение систем и предупреждать об аномалиях, с или без каких-либо предварительных знаний о модели системы или каких-либо знаний о характеристиках атаки, могут быть ключом к решению таких сложностей.

Важность обнаружения аномалий обусловлена ​​тем фактом, что аномалии в данных преобразуются в важную (и часто критическую) полезную информацию в широком спектре областей приложений.

В этом документе обсуждается использование функции обнаружения аномалий сетевого трафика на основе машинного обучения для решения проблем защиты устройств и обнаружения сетевых вторжений.

Обнаружение аномалий и аномалий

Обнаружение аномалий [2] [3] - это «идентификация элементов, событий или наблюдений, которые не соответствуют ожидаемому шаблону или другим элементам в наборе данных». Ниже приведены некоторые примеры того, где полезно обнаружение аномалий:

  • В ИТ-операциях для обнаружения сбоев системы до того, как они действительно произойдут, и упреждающего поддержания ваших зависимых служб в рабочем состоянии в соответствии с потребностями вашего бизнеса. Например. - обнаружение неисправностей в критических системах безопасности
  • В безопасности - для обнаружения аномального поведения объектов и выявления потенциальных индикаторов нарушений до их возникновения. Например. - обнаружение вторжений для кибербезопасности, военное наблюдение за действиями противника
  • В Business Analytics для выявления оттока клиентов или выявления закономерностей, указывающих на серьезное влияние на бизнес. Например. - обнаружение мошенничества с кредитными картами или страховкой
  • В IoT для поиска устройств, которые внезапно переходят в неработоспособное состояние, или для обнаружения аномалий в данных датчиков, указывающих на потенциально неправильное использование продукта.

Как правило, существует два подхода к решению проблемы обнаружения [4]. Большинство коммерческих систем обнаружения вторжений используют какие-то алгоритмы сопоставления сигнатур для обнаружения злонамеренных действий. Как правило, такие системы имеют очень низкую частоту ложных срабатываний и очень хорошо работают в случае наличия соответствующих сигнатур атак, но у них также есть потенциальный недостаток: отсутствие сигнатур неизбежно приводит к необнаруженным атакам. Например, одной из распространенных контрмер, принимаемых троянами, было динамическое изменение сигнатур их кода во время выполнения или во время репликации, что делало отслеживание на основе сигнатур неэффективным. Здесь второй подход, называемый обнаружением аномалий, становится более полезным. Обнаружение аномалий сопоставляет нормальное поведение с базовым профилем и пытается обнаружить отклонения. Один из способов создания базового профиля может заключаться в использовании контролируемого обучения, при котором используются экземпляры данных из прошлого с заранее помеченными экземплярами вторжений для обучения модели контролируемого обучения с использованием алгоритмов контролируемого обучения. [5] обсуждает различные методы машинного обучения, соответствующие классификаторы и алгоритмы, которые могут использоваться в системах обнаружения вторжений.

Роль машинного обучения и искусственного интеллекта

Системы обнаружения аномалий полагаются на искусственный интеллект (AI) и машинное обучение (ML) для обнаружения аномалий. Идея искусственного интеллекта и машинного обучения состоит в том, чтобы сделать машину способной обучаться сама по себе и различать нормальное и ненормальное поведение в системе. Процесс обучения машины принимает разные формы; контролируемое, неконтролируемое обучение и обучение с подкреплением.

  • Контролируемое обучение (на основе классификации) содержит экземпляры данных, помеченные на этапе обучения. Для создания моделей контролируемого обучения можно использовать несколько алгоритмов контролируемого обучения, таких как алгоритм k-ближайшего соседа, алгоритмы дерева решений (c4.5, ID3), наивный байесовский классификатор, машины опорных векторов, искусственные нейронные сети.
  • Обучение без учителя содержит экземпляры данных, которые не помечены. Известный способ использования этого метода обучения - кластеризация. Некоторые из алгоритмов обучения без учителя - это кластеризация с использованием K-средних, нечеткая кластеризация, самоорганизующиеся карты.

Независимо от средств обучения, машину необходимо обучить, чтобы уметь предсказывать. При обнаружении вторжений использовалось несколько алгоритмов машинного обучения. Большинство систем обнаружения вторжений используют комбинацию алгоритмов для кластеризации выборочных данных в группы, помечают их, а затем используют классификатор для обучения систем обнаружения вторжений различать эти группы. В прошлом было проведено множество исследований систем обнаружения вторжений с использованием различных методов машинного обучения. Исследование варьируется от использования решений с одним классификатором, где один алгоритм классификатора используется для создания модели машинного обучения, до гибридных классификаторов, в которых используется комбинация нескольких алгоритмов машинного обучения для повышения производительности систем обнаружения вторжений. [5] описывает различные методы машинного обучения, классификаторы, алгоритмы, существующее исследование, посвященное созданию систем обнаружения вторжений на основе машинного обучения, основанных на дизайне одиночного, гибридного и ансамблевого классификатора, а также обеспечивает статистическое сравнение алгоритмов классификатора, используемых во всех эти исследовательские работы. В таблицах IV и V в [5] проводится статическое сравнение исследований, связанных с моделью обнаружения вторжений, с использованием единого классификатора и гибридного классификатора, используемых алгоритмов и результатов точности производительности.

Подход к обнаружению аномалий для устройств и задач Интернета вещей

Считается, что системы обнаружения вторжений на основе аномалий являются системами с интенсивными вычислениями. Для быстрой работы требуется много вычислительной мощности и памяти, особенно если система является системой обнаружения вторжений в реальном времени. Использование обнаружения на основе аномалий в IoT сложнее и сложнее, чем его использование в сетях, отличных от IoT, по нескольким причинам.

  • Учитывая большое количество устройств IoT, у злоумышленников есть больше целей для атаки, чем когда-либо прежде.
  • Устройства Интернета вещей относительно легче атаковать, чем традиционные компьютеры, поскольку их аппаратные возможности с точки зрения обработки и памяти очень ограничены, что может затруднить использование систем обнаружения вторжений на основе хоста.
  • Устройства IoT производят данные различных структур и форматов и передают их по различным типам сетей, включая Интернет, беспроводную сенсорную сеть (WSN), радиочастотную идентификацию (RFID), Bluetooth и многие другие.

В связи с этими проблемами были проведены исследования, которые демонстрируют использование подхода к обнаружению аномалий для обнаружения аномалий в IoT. Ниже приведены некоторые решения для обнаружения аномалий на основе Интернета вещей:

  • Подход на основе искусственной нейронной сети [6], который демонстрирует способность обнаруживать аномалии в IoT и обеспечивает общую точность 99,4%. Подход использует контролируемую ANN и обучает модель с использованием трассировки интернет-пакетов и демонстрирует способность предотвращать DDoS / DoS-атаки со стороны пользователь в смоделированной сети IoT и может продемонстрировать, что с помощью алгоритма ANN модель может успешно обнаруживать DDoS / DoS-атаки против законного трафика IoT.
  • Подход, основанный на двухуровневых классификаторах [7], демонстрирует способность обнаруживать аномалии в магистральных сетях IoT и достигает 84,82%. - Этот подход к обнаружению вторжений использует двухуровневое сокращение размерности (использует анализ главных компонентов (PCA) и линейный дискриминантный анализ (LDA) для уменьшения набора данных с большим размером до более низкого набора данных с меньшими функциями), а затем применяет двухуровневый модуль классификации (Наивный Версия K-ближайшего соседа с коэффициентом Байеса и определенности для выявления подозрительного поведения) и предназначена для обнаружения вредоносных действий, таких как пользовательский root-доступ и удаленные локальные атаки.

Процитированные работы

[1] Интернет вещей: насколько мы подвержены киберугрозам? [Интернет]. Доступно: http://resources.infosecinstitute.com/internet-things-much-exposed-cyber-threats/#gref.

[2] Википедия, Обнаружение аномалий, [Интернет]. Доступно: https://ru.wikipedia.org/wiki/Anomaly_detection.

[3] В. Чандола, А. Банерджи и В. Кумар, Обнаружение аномалий: исследование, [Интернет]. Доступно: http://cucis.ece.northwestern.edu/projects/DMS/publications/AnomalyDetection.pdf.

[4] Т. Шерасия и Х. Упадхьяй, Система обнаружения вторжений для Интернета вещей, [Интернет]. Доступно: http://ijariie.com/AdminUploadPdf/Intrusion_Detection_System_for_Internet_of_Things_ijariie2344.pdf.

[5] Н. Хак, А. Оник, А. Хриаой, М. Рафани, Ф. Шах и Д. Фарид, Применение подходов машинного обучения в системе обнаружения вторжений: обзор, 2015 г. [онлайн]. Доступно: https://thesai.org/Downloads/IJARAI/Volume4No3/Paper_2-Application_of_Machine_Learning_Approaches_in_Intrusion_Detection_System.pdf.

[6] Э. Ходо, X. Беллекенс, А. Гамильтон, П. Дубуил, Э. Иоркьясе, Ч. Тахтазис и Р. Аткинсон, Анализ угроз для сетей IoT с использованием системы обнаружения вторжений искусственной нейронной сети, [Online]. Доступно: https://arxiv.org/ftp/arxiv/papers/1704/1704.02286.pdf.

[7] Х. Паджух, Р. Джавидан, Р. Хайями, Д. Али и К. Чу, «Двухуровневая модель уменьшения размерности и двухуровневая модель классификации для обнаружения вторжений на основе аномалий в магистральных сетях IoT», [Online ]. Доступен: DOI: 10.1109 / TETC.2016.2633228.

Эта статья изначально была опубликована здесь. Переиздано с разрешения Hughes Systique Corporation.