Geri Dön

Distributed anomaly-based intrusion detection system for IoT environment using Blockchain technology

Dağıtılmış anomali tabanlı saldırı tespit sistemi Blockchain teknolojisi kullanılan IoT ortamı için

PDF İndir

  1. Tez No: 722521
  2. Yazar: NOUHA HEJAZI
  3. Danışmanlar: DOÇ. DR. ENVER ÖZDEMİR
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgi ve Belge Yönetimi, Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Information and Records Management, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2022
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilişim Uygulamaları Ana Bilim Dalı
  12. Bilim Dalı: Bilgi Güvenliği Mühendisliği ve Kriptografi Bilim Dalı
  13. Sayfa Sayısı: 71

Özet

IoT, endüstriden sağlığa, eğlenceye kadar birçok alanda birçok soruna çözüm sunuyor. Bu çözümlerin etkinliği, bu teknolojiye olan talebin her geçen gün artmasına neden oldu ve kullanımlarını her yerde görmekteyiz. IoT dünyası hızla büyüyor. IoT teknolojisini ticarileştirilmenin en önemli zorluklarından biri, sistem güvenliğini ve kullanıcı bilgilerinin gizliliğini korumanın yanı sıra yüksek memnuniyet seviyelerine ulaşmaktır. Ne yazık ki, IoT sistemleri genellikle büyük ve yaygın olarak dağıtıldığında, içerisinde birçok güvenlik zayıflığı ortaya çıkar. Buna ek olarak, IoT güvenlik tehditlerini etkinleştiren teknolojilerinden devralır ve sistemin güvenliğini korumayı daha zor hale getiren IoT sistemlerinin özel özellikleri nedeniyle uygulanabilen herhangi bir güvenlik çözümüne birçok kısıtlama ekler. Bu, tehdit ortamını artırır ve sistemi hem içeriden hem de dışarıdan saldırılara karşı savunmasız hale getirir. Bu tür sistemlerde bu güvenlik tehditlerinin varlığı hala birçok endişe uyandırmaktadır. Ayrıca bu teknolojinin yüksek düzeyde bilgi güvenliği gerektiren birçok alanda kullanıma sunulmasının önünde bir engel olarak durmaktadır. Ancak, IoT ağları genellikle iletişim sırasında büyük miktarda veri üretmelerini sağlayan geniş bir ölçekte uygulanır. Büyük miktarda veriye sahip olmak, makine öğrenimi için verimli bir ortamdır. Bu gerçek, makine öğrenimini IoT sistemlerini güvence altına almak için umut verici bir çözüm haline getiriyor. Bu devasa veriler analiz edilebilir ve anormal davranışları veya anormallikleri tespit etmek için kullanılabilir. Çeşitli makine öğrenimi algoritmaları, anormallikleri tespit etmeyi başarmış ve birçok uygulamada etkinliklerini göstermiştir. Bununla birlikte, IoT cihazlarının içinde çalıştığı kaynak ve güç kısıtlamalarına göre, algılama algoritması için ihtiyaç duyulan depolama ve işlem gücünü azaltmak veya yükü ağ düğümleri üzerinden dağıtan bir mimari önermek hayati önem taşımaktadır. Makine öğrenimi algoritmasını uygulama yöntemini Nesnelerin İnterneti sistemine uyacak şekilde uyarlamak, güvenlik sistemini kurmanın ilk adımıdır. Genel olarak birçok Saldırı Tespit Sistemler uygulaması merkezileştirilirken, Saldırı Tespit Sistemini merkezi bir şekilde uygulamak ve sistemi saldırılara açık hale getiren ve tek nokta hatası oluşturan veya merkezi sunucunun güvenliği ihlal edildiğinde riske sokan tüm IoT sisteminden gelen verileri işlemek yerine, dağıtılmış işbirlikçi mimari kullanılabilir IoT cihazlarının devasa dağıtımından yararlanmak için. Dağıtılmış bir mimari, saldırı tespit sistemlerine birçok avantaj sağlar. Bu avantajlar, cihazlarındaki sınırlamalar nedeniyle IoT ortamında açıkça görülmektedir İşbirliğine dayalı saldırı tespit sistemleri, yerel verileri işledikleri için korunan ortamları hakkında daha iyi bilgiye sahiptir. Bu şekilde, her nokta çevresinin iyi huylu davranışı hakkında daha iyi bir anlayış oluşturur. Bu tür bir yapı, verilerin üçüncü bir tarafla paylaşılmasına gerek kalmadan yerel olarak sınıflandırılabileceği, kullanıcı gizliliğine duyarlı uygulamalar için de bir çözüm sunar. Dağıtılmış mimari aynı zamanda yükün ağdaki birkaç nokta üzerinden dağıtılmasını sağlar ve bu, Nesnelerin İnterneti cihazlarının sınırlı yetenekleri sorununun atlanmasına yardımcı olur. Bu araştırma çalışmasında, IoT sistemlerinde saldırı tespiti için yeni bir güvenlik çözümü sunacağız. Önerilen çözümümüz, Nesnelerin İnterneti yapısından yararlanmaya ve sınırlamalarının üstesinden gelmeye çalışan dağıtılmış bir işbirlikçi mimari kullanır. Önerilen bu çözüm, ağ düğümlerinde dağıtılmış makine öğrenimi kullanacaktır. Bu makine öğrenimi biçimine işbirlikli federe öğrenme denir. Önerilen sistemimizde her bir düğüm, kendi veri setini kullanarak yerel makine öğrenimi tabanlı bir anomali algılama modelini eğitir ve daha iyi bir genel model oluşturmak için yerel model parametrelerini diğer düğümlerle paylaşır. İşbirlikçi federe öğrenme, makine öğrenimi algoritma yükünün ağ noktalarına daha iyi dağıtılmasını sağlar ve yerel verilerin merkezi sunucu ile paylaşılması artık gerekli olmadığından kullanıcı gizliliğinin korunmasını destekler. Bu araştırma çalışmasında anormallikleri tespit etmek için Generative Adversarial Network (GAN) kullanacağız. Model, normal sistem davranışı konusunda eğitilecek ve ayrımcı, normal davranıştan farklılıklarına dayalı olarak sapmaları tespit ederken, jeneratörü saldırıları simüle etmesi için bırakacağız. Bu teknoloji, oluşturucunun yapay örnekler oluşturduğu kötü niyetli davranışları temsil eden sınırlı veri noktaları sorununa bir çözüm sağlayabilir. Son olarak, ayrımcı bir anomali tespit modeli olarak kullanılır. Daha kesin olarak, bu araştırma, çok ayrımcılı Generative Adversarial Network yapısının kullanımını önermektedir, çünkü Generative Adversarial Network bu yapısı birleşik öğrenmeyi destekler ve her cihazın yerel olarak kendi ayrımcı edicisini geliştirmesine katkıda bulunur. Ek olarak, bu araştırma çalışmasında özellikleri çıkarmak için Autoencoder kullanacağız. Özellik çıkarmanın faydası, verilerin boyutunu küçültmektir ve bu, sistemdeki tıkanıklığı önlemeye ve GAN eğitim sürecinin verimliliğini artırmaya yardımcı olacaktır. Örnek boyutunu küçültmek, eğitim ve sınıflandırma sürecini daha hafif ve kolay hale getirmeye yardımcı olacaktır. Autoencoder'ın sağladığı bir diğer avantaj, veri gizleme. Bu şekilde, her cihaz kendi model parametreleriyle birlikte verilerini diğer cihazlarla şifrelendikten sonra paylaşabildiğinden, her cihaz diğer ağ cihazlarından güvenilirlik kazanabilir. Öte yandan, çözümümüz, merkezi sunucuyu değiştirmek için Blockchain teknolojisini kullanacak ve sistem cihazları arasında veri paylaşımı ve karşılıklı güven zorluklarını ortadan kaldıracaktır. İşbirliği yapılan cihazlar, modellerinin parametrelerini blok zinciri üzerinden paylaşır. Bu şekilde, tüm paylaşılan modellerin ortalamasını alarak genel global modeli hesaplayabilir veya komşularının modellerini kullanarak sonuçlarını kontrol edebilirler. Bu sayede blok zinciri, ağdaki cihazlar arasında aracı görevi görür ve merkezi sunucunun yerini alır. Ayrıca, dağıtılmış eşler arası saldırı tespit sistemi ağda uyarı alışverişi, bir anormallik olup olmadığına karar vermek ve ağ içindeki bir düğümün güvenilirliğini hesaplamak için kullanılabilen çeşitli saldırı tespit sistemi düğümleri arasında son derece önemlidir. Ağdaki her cihazın güvenilirliği, cihaz tarafından verilen alarmların geçerliliği ve güvenilirliği esas alınarak hesaplanmalıdır. Bu güvenilirlik, ağdaki diğer cihazlar tarafından model parametrelerinin yanı sıra alarmla ilgili veriler veya bu verilerin şifreli bir versiyonu aracılığıyla hesaplanabilir. Sistem cihazları, diğer cihazların tespit edilen izinsiz girişi doğrulamasını sağlamak için kendi modellerinin parametreleriyle birlikte blok zinciri üzerinden verilerinin kodlanmış bir sürümünü paylaşabilir. Bir düğümün güvenilirliği, alınan uyarıyla ilgili bilgilerin yerine getirilmesine dayalı olarak hesaplanabilir. Her bir IDS düğümü tarafından oluşturulan ham uyarıların blok zincirindeki işlemler olarak değerlendirilmesi önerilir. Blok zinciri sistemlerinde, genellikle belirli bir işlemin geçerliliği hakkında birden fazla düğüm topladığınızda, blok zincirine eklenir. Aynı şekilde önerdiğimiz sistemde, alarm işbirliği yapan düğümler arasında çoğaltılabilir. Ardından, tüm işbirliği yapan düğümler, uyarıları blok zincirine yerleştirmeden önce geçerliliğini garanti etmek için bir fikir birliği protokolü benimser. Önerilen sistemin çalışma şeklini kısaca özetlemek gerekirse, önerdiğimiz sistem eğitim aşaması ve saldırı tespit aşaması olmak üzere iki aşamada çalışmaktadır. Eğitim aşamasında geçici olarak merkezi bir sunucu kullanılacaktır. Merkezi sunucu, otomatik kodlayıcıyı Federal Öğrenme tarzında eğitir. Ardından merkezi sunucu, otomatik kodlayıcının genel formunu tüm ağ cihazlarına dağıtır ve ardından her cihaz kendi veri setini şifreler. Bir sonraki adımda, merkezi sunucu aynı zamanda çoklu ayrımcılığa dayalı üretici hasım ağının federe öğrenme sürecinde bir arabulucu görevi görür. Merkezi jeneratörün sentetik verinin bir örneğini oluşturduğu ve bu verileri ağdaki cihazlara dağıttığı, her cihazın normal davranışı temsil eden yerel veri kümesine ek olarak anomaliyi temsil eden bu sentetik örneği kullanarak ayrımcısını eğittiği ve merkezi sunucudaki jeneratör ile geri bildirim. Bu işlemin birkaç tekrarından sonra, her cihazdaki ayırıcı, saldırıları temsil eden verileri normal davranıştan ayırt edebilir. Saldırıları tespit etme aşamasında, her cihaz kendi yerel verilerini izler ve kendi ayırıcısını kullanarak anormal davranışları tespit eder. Bir saldırı tespit edilirse, cihaz uyarıyı, ayırıcı model parametreleriyle birlikte ilgili şifreli bilgileriyle paylaşır. Bu bilgiyi kullanarak, ağdaki diğer cihazlar alarmın gerçekliğini kontrol eder ve mevcut uyarılarla ilgili bir fikir birliğine varmak için fikir birliği protokolünü uygular. Uyarı ile ilgili fikir birliğine varıldıktan sonra uyarı, ilgili bilgilerle birlikte blok zincirine eklenir. Ancak her IoT sistemi, işlevselliğine ve uygulandığı koşullara göre farklı bir yapıya ve özelliklere sahip olabileceğinden, farklı IoT sistemleri, önerilen çözümümüzü farklı ayarlarla uygulayabilir. Ayrıca, zaman ve araştırma ekipmanı açısından araştırmamızın karşılaştığı kısıtlamalara göre, önerilen sistem için genel bir yapı sunacağız ve bunu orta.

Özet (Çeviri)

The IoT world is growing rapidly. One of the most important challenges facing the commercialization of IoT-related innovations is preserving system security and privacy of users' information as well as achieving high acceptance levels. Unfortunately, IoT inherits security threats from its enabling technologies and adds many constraints on any applicable security solution because of the special characteristics of IoT systems which make preserving the system's security more challenging. This increases the landscape of threats and makes the system vulnerable to inside as well as outside attacks. However, IoT networks are usually implemented on a vast scale which makes them produce a huge amount of data during communication. This fact makes machine learning a promising solution for securing IoT systems. This huge data can be analyzed and used to detect abnormal behavior or anomalies. Nevertheless, according to resource and power constraints that IoT devices operate in, it is vital to reduce the needed storage and processing power needed for the detection algorithm or to propose an architecture that distributes the load over network nodes. Instead of implementing the Intrusion Detection System in a centralized way and handling data from the whole IoT system - which makes the system exposed to attacks and create single point failure or puts it at risk if the central server is compromised - distributed collaborative architecture could be used to take advantage of the massive deployment of IoT devices. The collaborative intrusion detection systems have better knowledge of their protected environments and provide a solution for the applications that are sensitive to user privacy. In this work, we are going to introduce a new security solution for intrusion detection in IoT systems. Our proposed solution utilizes distributed collaborative architecture trying to take advantage of IoT structure and overcome its limitations. A federated learning method is proposed in this thesis. Using the private dataset, the local model gets trained by each node. Then, the parameters of its local model are shared with other nodes for the sake of generating a better global model. This thesis proposes utilizing a Generative Adversarial Network (GAN) for the purpose of detecting anomalies. The model will be trained on the normal system behavior and let the generator mimic attacks while the discriminator detects anomalies based on their difference from the normal behavior. This technique could offer a solution for the problem of limited data points that represents malicious behavior. Additionally, this paper suggests employing an autoencoder for feature extraction. There are four main purposes for doing so. The first is to improve the efficiency of the GAN training process by lowering system congestion. The second is minimizing the sample size required. Similarly, the third purpose is to make the training and classification process lighter and easier. Finally, it can also conceal the data for scenarios where the device shares its data along with its model's parameters to gain trustworthiness. On the other hand, our solution will employ data sharing and mutual trust between system devices using blockchain technology. The collaborated devices share their model's parameters over the blockchain. In this way, they can compute the general global model by averaging all shared models or they can check their results using their neighbors' models. Furthermore, in distributed peer-to-peer IDS network alert exchange between the different IDS nodes is vital to detect anomalies and determine the trustworthiness of the nodes of the network. Additionally, system devices might share an encoded version of their data over the blockchain along with their models' parameters to enable other devices to verify the detected intrusion. To determine the trustworthiness of a node, a calculation can be initiated based on the fulfillment of received alert-related information. Then, the blockchain registry would include the alerts generated by each IDS node. Consequently, the collaborating nodes would depend on the consensus protocol to judge the validity of the alerts before inserting them on the blockchain. However, since each IoT system might have a different structure and characteristics according to its functionality and the circumstances it is implemented in, different IoT systems might apply our suggested solution with different settings. Also, according to the limitations that faced our research in terms of time and research equipment we are going to present a general structure for the proposed system and discuss it from security aspects that govern collaborative distributed IDSs.

Benzer Tezler

  1. Tez No

    732920

    An online network intrusion detection system for DDoS attacks with IoT botnet

    IoT botnetleri ile yapılan dağıtık servis dışı bırakma saldırıları için çevrimiçi bir ağ saldırı tespit sistemi

    ERİM AYDIN

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. ŞERİF BAHTİYAR

  2. Tez No

    350487

    Gezgin etmenler ve doğadan esinlenen sezgiseller kullanarak dağıtık bilgisayar güvenliğinin sağlanması

    Distributed computer security using mobile agents and nature inspired algorithms

    UĞUR AKYAZI

    Doktora

    Türkçe

    Türkçe

    2011

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    YRD. DOÇ. DR. A. ŞİMA ETANER UYAR

  3. Tez No

    289705

    Hareketli geçici ağlarda dağıtılmış iş birliği ve güven esasına dayalı saldırı tespit sistemi

    A distributed cooperative trust based intrusion detection framework for manets

    SÜREYYA MUTLU

    Yüksek Lisans

    Türkçe

    Türkçe

    2011

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolHava Harp Okulu Komutanlığı

    Bilgisayar Mühendisliği Ana Bilim Dalı

    YRD. DOÇ. DR. GÜRAY YILMAZ

  4. Tez No

    402185

    DoS attack detection and mitigation

    Başlık çevirisi yok

    İLKER ÖZÇELİK

    Doktora

    İngilizce

    İngilizce

    2015

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolClemson University

    DR. RICHARD BROOKS

  5. Tez No

    255624

    An extensible framework for automated network attack signature generation

    Genişletilebilir bir otomatik ağ saldırı imzası tespiti çatısı

    SERKAN KENAR

    Yüksek Lisans

    İngilizce

    İngilizce

    2009

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolOrta Doğu Teknik Üniversitesi

    Bilişim Sistemleri Ana Bilim Dalı

    YRD. DOÇ. DR. P. ERHAN EREN

Geri Dön