Illy, Poulmanogo (2024). AI-driven solutions for safeguarding IoT environments: an intrusion detection and prevention study. Thèse de doctorat électronique, Montréal, École de technologie supérieure.
Prévisualisation |
PDF
Télécharger (7MB) | Prévisualisation |
Résumé
The progress in information and communication technologies (ICT) made in recent years has led to new revolutionary concepts where one of the most important ones is the Internet of Things (IoT). IoT, through low-cost connected objects, enables abundant and real-time data collection and smart automation of information and operation systems. The tremendous innovation opportunity opened by IoT has triggered its massive adoption in multiple business domains. Meanwhile, the impact of cyber-attacks has become more alarming for three main reasons: (1) critical weaknesses in IoT security mechanisms, (2) valuable data that attract cyber-attacks, and (3) the level of control that successful attacks could open in IoT-based automated systems. In this context, intrusion detection and prevention, which is essential in cyber-security, has become one of the most active research areas for securing IoT applications. Intrusion detection systems (IDSs) can analyze real-time activities to detect and report cyber-attacks to security administrators or automated intrusion prevention systems (IPSs) that initiate response measures to block the threats or attenuate their impact. However, given the changing and expanding nature of cyber-attacks, it is essential to design and implement new IDSs that are intelligent, accurate, fast, and scalable. In this vein, machine learning (ML), and particularly deep learning (DL), has emerged as a suitable approach to meet these requirements.
In this thesis, three main objectives essential for the design of an intelligent intrusion detection system are considered. These objectives are the detection of a wide range of IoT attacks, including zero-day attacks, the enhancement of the detection accuracy, and the minimization of the detection and response latency. To achieve these objectives, we analyze the cyber-attacks that target IoT systems and propose diverse features that can be used in ML algorithms to detect each of these attacks efficiently. Then, we implement and compare different learning algorithms, including shallow, deep, and ensemble learning methods, to propose models that enhance the detection accuracy. Furthermore, we design a collaborative learning scheme that enables low-latency detection and response to mitigate detected attacks.
Chapter 2 mainly studies the behaviors of different IoT attacks in a smart home scenario, and analyzes the quality of the features that can be extracted and employed in ML algorithms to detect each of these attacks efficiently. We propose various features that can improve the performance of ML-based IDSs. Specifically, transmission control protocol/internet protocol (TCP/IP) packet headers, time-based statistics, connection-based statistics, and TCP/IP packet content features are proposed. Furthermore, to detect attacks that exploit the wireless communication channel, more features are discussed, including the distance from the radio transmitter, radio-frequency fingerprint, received signal strength, signal-to-noise ratio, and the system’s energy profile.
Chapter 3 proposes a hybrid multistage deep neural networks (DNNs)-based intrusion detection and prevention system (IDPS) with improved accuracy for critical industrial control systems (ICSs) that cannot afford to compromise the security to improve latency. The learning models are trained sequentially with diverse algorithms, and each model in the sequence focuses on the limitations of the previous models. The resulting multistage DNN uses each stage’s decision in a combination function to produce a final decision with improved accuracy.
In contrast to Chapter 3 which considers a high-risk ICS scenario where enforced security is preferable even at the cost of latency, chapter 4 considers a mission-critical ICS scenario where latency is also a crucial requirement. In this context, first and foremost, we conduct a time complexity analysis of DNNs to illustrate how the structures of these models impact the training and prediction latency. Then, we design a low latency and robust deep learning-based collaborative IDPS that employs two levels of classifications. The first level performs a lightweight DNN-based anomaly detection in local servers to allow faster attack detection and emergency response measures. The second level performs attack classification of the anomalous traffic in cloud servers to guide complementary intrusion prevention tasks. Moreover, an SDN-based deployment architecture of the proposed collaborative IDPS in ICS networks is provided.
Titre traduit
Solutions basées sur l’IA pour la protection des systèmes de l’IdO : Une étude sur la détection et la prévention d’intrusion
Résumé traduit
Les progrès réalisés ces dernières années dans le domaine des technologies de l’information et de la communication (TIC) ont donné naissance à de nouveaux concepts révolutionnaires, dont l’un des plus récents, et les plus importants est l’internet des objets (IdO). L’IdO, à travers des objets connectés bas prix, permet une collection abondante en temps réel de données et des automatisations intelligentes des systèmes d’information et des systèmes d’opérations. Les énormes opportunités d’innovation ouvertes par l’IdO ont entrainé son adoption fulgurante dans les entreprises privées et les institutions publiques de multiples domaines d’activités. Cependant l’impact des cyberattaques est devenu plus inquiétant pour trois raisons principales : (1) la faiblesse des mécanismes de sécurité implémentés dans l’IdO, (2) la valeur des données qu’une cyberattaque pourraient permettre d’accéder et (3) le niveau de contrôle que l’attaquant pourrait désormais se donner dans ces systèmes qui sont totalement automatisés. Dans ce contexte, les systèmes de détection et de prévention d’intrusions (SDPI), en tant que couche indispensable dans la cybersécurité, sont devenus une des parties les plus actives des travaux de recherche pour la sécurisation de l’IdO. Les systèmes de détection d’intrusions sont capables d’analyser les activités en temps réel afin de distinguer les événements, puis détecter et signaler les cyberattaques pour permettre des réactions manuelles ou automatisées pour bloquer ou atténuer les menaces. Cependant, vu la mutation et le développement des attaques, il est indispensable de concevoir et implémenter de nouveaux systèmes de détection intelligents, précis, rapides et évolutifs. Pour répondre à ce besoin, l’apprentissage machine, notamment l’apprentissage par les réseaux de neurones profonds (RNPs), se révèle être une approche adéquate.
Dans cette thèse, trois objectifs principaux pour la conception des systèmes intelligents de détection d’intrusion sont considérés. Ces objectifs sont la détection d’une large variété d’attaques ciblant l’IdO, y compris les attaques de type "jour zéro", l’amélioration de la précision de détection et la minimisation du temps de latence de la détection et de la réponse. Pour atteindre ces objectifs, nous analysons les cyberattaques qui ciblent les systèmes IdO et proposons diverses primitives qui peuvent être utilisées dans les algorithmes d’apprentissage machine pour détecter efficacement chacune de ces attaques. Ensuite, nous implémentons et comparons différents algorithmes d’apprentissage, y compris des méthodes d’apprentissage superficiel, des RNPs et des méthodes d’ensemble, afin de proposer des modèles qui améliorent la précision de la détection. De plus, nous concevons un schéma d’apprentissage collaboratif qui permet une détection à faible latence et une réponse pour contrer les attaques détectées.
Le chapitre 2 étudie principalement les comportements des différentes attaques ciblant l’IdO en considérant un scénario de maison intelligente, puis analyse la qualité des primitives qui peuvent être extraites et employées dans les algorithmes d’apprentissage machine pour détecter efficacement chacune de ces attaques. Nous proposons différentes primitives qui peuvent améliorer les performances des systèmes de détection bases sur l’apprentissage machine. Plus précisément, nous proposons des primitives issues des en-têtes de paquets TCP/IP (protocole de contrôle de transmission/protocole Internet), des primitives basées sur la fréquence et le nombre de connexions et des primitives basées sur la partie donnée des paquets TCP/IP. En outre, pour détecter les attaques qui exploitent le canal de communication sans fil, d’autres primitives sont examinées, notamment la distance par rapport a l’émetteur radio, l’empreinte de la fréquence radio, l’intensité de signal reçu, le rapport signal/bruit et le profil énergétique du système.
Le chapitre 3 propose un SDPI multiétages hybride base sur les RNPs, offrant une précision améliorée pour des systèmes de supervision industrielle (SSI) a très haut risque qui ne peuvent se permettre de faire des compromis sur la sécurité pour gagner en latence. Les modèles d’apprentissage sont entrainés de manière séquentielle avec divers algorithmes de RNPs, et chaque modèle dans la séquence se focalise sur les limites des modèles précédents. Le réseau de neurones multiétages qui en résulte utilise la décision de chaque étage dans une fonction de combinaison pour produire une décision finale avec une précision améliorée.
Contrairement au chapitre 3 qui étudie un scénario, SSI a haut risque ou une sécurité renforcée est préférable malgré le cout en latence, le chapitre 4 étudie un scénario SSI à mission critique ou la latence est une exigence cruciale. Avant tout, nous effectuons une analyse de la complexité en temps des RNPs pour mettre en évidence l’impact que les structures de ces modèles ont sur la latence à l’apprentissage et à la prédiction. Ensuite, nous concevons un SDPI collaboratif à faible latence et robuste base sur l’apprentissage profond qui utilise deux modèles de classifications. Le premier modèle effectue une détection d’anomalie basée sur un RNP léger déployé dans des serveurs locaux pour permettre une détection rapide et une réponse urgente aux attaques. Le deuxième modèle effectue la classification du trafic anormal dans des serveurs infonuagiques pour guider les taches complémentaires de prévention d’intrusions. De plus, une architecture de déploiement basée sur le concept SDN (réseau défini par logiciel) du SDPI collaboratif proposé est fournie pour les réseaux SSI.
Type de document: | Mémoire ou thèse (Thèse de doctorat électronique) |
---|---|
Renseignements supplémentaires: | "Manuscript-based thesis presented to École de technologie supérieure in partial fulfillment for the degree of doctor of philosophy". Comprend des références bibliographiques (pages 147-173). |
Mots-clés libres: | internet des objets, système de détection d’intrusion, système de prévention d’intrusion et apprentissage machine |
Directeur de mémoire/thèse: | Directeur de mémoire/thèse Kaddoum, Georges |
Programme: | Doctorat en génie > Génie |
Date de dépôt: | 03 juin 2024 13:47 |
Dernière modification: | 03 juin 2024 13:47 |
URI: | https://espace.etsmtl.ca/id/eprint/3456 |
Gestion Actions (Identification requise)
Dernière vérification avant le dépôt |