Smart Attack Detection for IoT Networks / Smart attackdetektering för IoT-nätverk

Yang, Yang

January 2022

The Internet of Things (IoT) is becoming related to more and more people's daily life. It is a network that consists of resource-constrained devices. Nowadays, the application of IoT like smart wearable devices is very common. Due to the wide and important application of IoT, its security also attracts research attention without any doubt. IoT networks are exposed to various attacks, so detecting attacks is necessary to enhance IoT security, which is achieved by Intrusion Detection Systems (IDS). To build an IDS, machine learning can be used as an efficient tool to train intrusion detection models. However, machine-learning methods often consume a lot of memory and computation resources, which inspires research on implementing machine-learning-based IDS on resource-constrained devices for IoT networks. This thesis aims to design and implement a machine-learning-based IDS for IoT networks. The target IoT devices are installed with an embedded operating system called Contiki. A large dataset of IoT networks is first created, which covers numerous network topologies. Then an intrusion detection classifier is trained using the Random Forests algorithm. The IDS is implemented by integrating the trained classifier with devices with the Contiki system. We perform experiments both in simulation and on real devices to evaluate the proposed IDS. The results show that our IDS works well on Contiki nodes in IoT networks. In experiments based on simulation, the detection accuracy always achieves over 92% under different setups. In the experiments on real resource-constrained devices, the IDS gets a detection accuracy of 100% in 15 different network topologies. / Sakernas Internet (från engelskans Internet of Things, IoT) blir en del av allt fler människors vardag. Det är ett nätverk som består av resursbegränsade enheter. Numera är det mycket vanligt med tillämpningar av sakernas internet, t.ex. smarta bärbara enheter. På grund av den breda och viktiga tillämpningen av sakernas internet drar säkerheten i sakernas internet också till sig forskningens uppmärksamhet utan tvekan. IoT-nätverk utsätts för olika attacker, så det är nödvändigt att upptäcka attacker för att förbättra IoT-säkerheten, vilket uppnås med hjälp av intrångsdetekteringssystem (IDS). För att bygga ett IDS kan maskininlärning användas som ett effektivt verktyg för att träna intrångsdetekteringsmodeller. Maskininlärningsmetoder förbrukar dock ofta mycket minne och beräkningsresurser, vilket inspirerar till forskning om att genomföra maskininlärningsbaserade IDS på resursbegränsade enheter för IoT-nätverk. Syftet med denna avhandling är att utforma och genomföra en maskininlärningsbaserad IDS för IoT-nätverk. IoT-enheterna är installerade med ett inbäddat operativsystem som heter Contiki. Först skapas ett stort dataset av IoT-nätverk, som täcker många nätverkstopologier. Därefter tränas en klassificerare för intrångsdetektering med hjälp av Random Forests-algoritmen. IDS genomförs genom att integrera den tränade klassificeraren med enheter med Contiki-systemet. Vi utför experiment både i simulering och på riktiga enheter för att utvärdera den föreslagna IDS. Resultaten visar att vårt IDS fungerar bra på Contiki-noder i IoT-nätverk. I experiment baserade på simulering uppnår detektionsnoggrannheten alltid över 92% under olika inställningar. I experimenten på riktiga resursbegränsade enheter uppnår IDS en detektionsnoggrannhet på 100% i 15 olika nätverkstopologier.

Internet of Things

Security

Machine learning

Intrusion detection

Sakernas Internet

Säkerhet

Maskininlärning

Intrångsdetektering

Communication Systems

Kommunikationssystem

Computer and Information Sciences

Data- och informationsvetenskap

Metoder för motverkande av bruteforce-attacker mot Wi-Fi Protected Setup

Forsman, Erik, Skoglund, Andreas

January 2012

Konfigurationsprotokollet Wi-Fi protected setup (WPS) har vissa brister idess design gällande hur autentiseringen av den PIN-kod som används för attansluta en enhet till ett trådlöst nätverk är implementerad. Dessa brister kanutnyttjas av en attackerare för att utföra en bruteforce-attack som på enrelativt kort tid kan identifiera den korrekta koden. Detta arbete har tagit frammetoder för att motverka eller fördröja attacker mot WPS-protokollet sommed relativt enkla medel kan implementeras i befintliga nätverk. Genomutförda praktiska experiment där en fristående server upptäckt en attack ochgenomfört olika försvarsmetoder har de mekanismer som presenterats utvärderats. Slutsatsen är att den effektivaste metoden för att avbryta en bruteforce-attackmot protokollet är att automatiskt byta ut PIN-koden då en attack upptäcks. / Wi-Fi protected setup (WPS), a protocol used to configure wireless clients, isflawed in regard to the design of the authentication procedure for the PIN-code used to connect a new device. This flaw can be exploited by an attackerto perform a brute force attack to identify the code. This report presentsmethods to counteract brute force attacks performed against the WPS-protocol. The study has been performed by practical experiments where thecountermeasures have been evaluated and their performance has beenmeasured. With simple means, such as a third party acting on the routersbehalf in implementing countermeasures against the attacker, the attack canbe counteracted. The conclusion is that the most effective way of countering the WPS-bruteforce attack presented is to automatically replace the PIN-code with arandomly generated one when an attack is detected.

Wi-Fi protected setup

WPS

intrusion detection

IDS

wireless networks

Wi-Fi protected setup

WPS

intrångsdetektering

IDS

trådlösa nätverk

Computer Sciences

Datavetenskap (datalogi)

Detecting Lateral Movement in Microsoft Active Directory Log Files : A supervised machine learning approach

Uppströmer, Viktor, Råberg, Henning

January 2019

Cyberattacker utgör ett stort hot för dagens företag och organisationer, med engenomsnittlig kostnad för ett intrång på ca 3,86 miljoner USD. För att minimera kostnaden av ett intrång är det viktigt att detektera intrånget i ett så tidigt stadium som möjligt. Avancerande långvariga hot (APT) är en sofistikerad cyberattack som har en lång närvaro i offrets nätverk. Efter attackerarens första intrång kommer fokuset av attacken skifta till att få kontroll över så många enheter som möjligt på nätverket. Detta steg kallas för lateral rörelse och är ett av de mest kritiska stegen i en APT. Syftet med denna uppsats är att undersöka hur och hur väl lateral rörelse kan upptäckas med hjälp av en maskininlärningsmetod. I undersökningen jämförs och utvärderas fem maskininlärningsalgoritmer med upprepad korsvalidering följt av statistisk testning för att bestämma vilken av algoritmerna som är bäst. Undersökningen konkluderar även vilka attributer i det undersökta datasetet som är väsentliga för att detektera laterala rörelser. Datasetet kommer från en Active Directory domänkontrollant där datasetets attributer är skapade av korrelerade loggar med hjälp av datornamn, IP-adress och användarnamn. Datasetet består av en syntetisk, samt, en verklig del vilket skapar ett semi-syntetiskt dataset som innehåller ett multiklass klassifierings problem. Experimentet konkluderar att all fem algoritmer klassificerar rätt med en pricksäkerhet (accuracy) på 0.998. Algoritmen RF presterar med den högsta f-measure (0.88) samt recall (0.858), SVM är bäst gällande precision (0.972) och DT har denlägsta inlärningstiden (1237ms). Baserat på resultaten indikerar undersökningenatt algoritmerna RF, SVM och DT presterar bäst i olika scenarier. Till exempel kan SVM användas om en låg mängd falsk positiva larm är viktigt. Om en balanserad prestation av de olika prestanda mätningarna är viktigast ska RF användas. Undersökningen konkluderar även att en stor mängd utav de undersökta attributerna av datasetet kan bortses i framtida experiment, då det inte påverkade prestandan på någon av algoritmerna. / Cyber attacks raise a high threat for companies and organisations worldwide. With the cost of a data breach reaching $3.86million on average, the demand is high fora rapid solution to detect cyber attacks as early as possible. Advanced persistent threats (APT) are sophisticated cyber attacks which have long persistence inside the network. During an APT, the attacker will spread its foothold over the network. This stage, which is one of the most critical steps in an APT, is called lateral movement. The purpose of the thesis is to investigate lateral movement detection with a machine learning approach. Five machine learning algorithms are compared using repeated cross-validation followed statistical testing to determine the best performing algorithm and feature importance. Features used for learning the classifiers are extracted from Active Directory log entries that relate to each other, with a similar workstation, IP, or account name. These features are the basis of a semi-synthetic dataset, which consists of a multiclass classification problem. The experiment concludes that all five algorithms perform with an accuracy of 0.998. RF displays the highest f1-score (0.88) and recall (0.858), SVM performs the best with the performance metric precision (0.972), and DT has the lowest computational cost (1237ms). Based on these results, the thesis concludes that the algorithms RF, SVM, and DT perform best in different scenarios. For instance, SVM should be used if a low amount of false positives is favoured. If the general and balanced performance of multiple metrics is preferred, then RF will perform best. The results also conclude that a significant amount of the examined features can be disregarded in future experiments, as they do not impact the performance of either classifier.

Advanced Persistent Threat

Lateral Movement

Active Directory

Multiclass Classification

Intrusion Detection System

Avancerade långvariga hot

Lateral rörelse

Active Directory

Multiklassklassificering

Intrångsdetektering

Computer Systems

Datorsystem

Information-Theoretic Framework for Network Anomaly Detection: Enabling online application of statistical learning models to high-speed traffic / ITF-NAD : Ett informationsteoretiskt ramverk för realtidsdetektering av nätverksanomalier

Damour, Gabriel

January 2019

With the current proliferation of cyber attacks, safeguarding internet facing assets from network intrusions, is becoming a vital task in our increasingly digitalised economies. Although recent successes of machine learning (ML) models bode the dawn of a new generation of intrusion detection systems (IDS); current solutions struggle to implement these in an efficient manner, leaving many IDSs to rely on rule-based techniques. In this paper we begin by reviewing the different approaches to feature construction and attack source identification employed in such applications. We refer to these steps as the framework within which models are implemented, and use it as a prism through which we can identify the challenges different solutions face, when applied in modern network traffic conditions. Specifically, we discuss how the most popular framework -- the so called flow-based approach -- suffers from significant overhead being introduced by its resource heavy pre-processing step. To address these issues, we propose the Information Theoretic Framework for Network Anomaly Detection (ITF-NAD); whose purpose is to facilitate online application of statistical learning models onto high-speed network links, as well as provide a method of identifying the sources of traffic anomalies. Its development was inspired by previous work on information theoretic-based anomaly and outlier detection, and employs modern techniques of entropy estimation over data streams. Furthermore, a case study of the framework's detection performance over 5 different types of Denial of Service (DoS) attacks is undertaken, in order to illustrate its potential use for intrusion detection and mitigation. The case study resulted in state-of-the-art performance for time-anomaly detection of single source as well as distributed attacks, and show promising results regarding its ability to identify underlying sources. / I takt med att antalet cyberattacker växer snabbt blir det alltmer viktigt för våra digitaliserade ekonomier att skydda uppkopplade verksamheter från nätverksintrång. Maskininlärning (ML) porträtteras som ett kraftfullt alternativ till konventionella regelbaserade lösningar och dess anmärkningsvärda framgångar bådar för en ny generation detekteringssytem mot intrång (IDS). Trots denna utveckling, bygger många IDS:er fortfarande på signaturbaserade metoder, vilket förklaras av de stora svagheter som präglar många ML-baserade lösningar. I detta arbete utgår vi från en granskning av nuvarande forskning kring tillämpningen av ML för intrångsdetektering, med fokus på de nödvändiga steg som omger modellernas implementation inom IDS. Genom att sätta upp ett ramverk för hur variabler konstrueras och identifiering av attackkällor (ASI) utförs i olika lösningar, kan vi identifiera de flaskhalsar och begränsningar som förhindrar deras praktiska implementation. Särskild vikt läggs vid analysen av de populära flödesbaserade modellerna, vars resurskrävande bearbetning av rådata leder till signifikant tidsfördröjning, vilket omöjliggör deras användning i realtidssystem. För att bemöta dessa svagheter föreslår vi ett nytt ramverk -- det informationsteoretiska ramverket för detektering av nätverksanomalier (ITF-NAD) -- vars syfte är att möjliggöra direktanslutning av ML-modeller över nätverkslänkar med höghastighetstrafik, samt tillhandahåller en metod för identifiering av de bakomliggande källorna till attacken. Ramverket bygger på modern entropiestimeringsteknik, designad för att tillämpas över dataströmmar, samt en ASI-metod inspirerad av entropibaserad detektering av avvikande punkter i kategoriska rum. Utöver detta presenteras en studie av ramverkets prestanda över verklig internettrafik, vilken innehåller 5 olika typer av överbelastningsattacker (DoS) genererad från populära DDoS-verktyg, vilket i sin tur illustrerar ramverkets användning med en enkel semi-övervakad ML-modell. Resultaten visar på hög nivå av noggrannhet för detektion av samtliga attacktyper samt lovande prestanda gällande ramverkets förmåga att identifiera de bakomliggande aktörerna.

Network Security

Distributed Denial of Service

DDoS

DoS

Anomaly Detection

Intrusion Detection

Attack Source Identification

Information Theory

Statistical Learnin

Nätverkssäkerhet

Distribuerad Överbelastningsattack

DDoS

DoS

Anomalidetektering

Intrångsdetektering

Identifiering av Attackkällor

Informationsteori

Maskininlärning

Probability Theory and Statistics

Sannolikhetsteori och statistik