The objective of this work is to design an autonomous intrusion detection system for wireless sensor networks that would be able to detect wide range of attacks, including the previously unseen ones. The existing solutions have limited scope, in a sense they provide protection against already identified attacks, which renders the system vulnerable to unknown attacks. Furthermore, in those that can be adjusted in order to expand their scope, the modification has to be done through human interaction. We deal with this problem by proposing an artificial intelligence approach for detecting and confining attacks on the core protocols of wireless sensor networks: aggregation, routing and time synchronization. The approach is based on four main contributions. First of all, the attacks are treated as data outliers. To this end, the spaces of sensed values and the routing information of each node are mapped into vector spaces, which enable definition of distance-based analysis for outlier detection. Second, we develop unsupervised machine learning techniques for detecting outliers using defined distance based analysis. Third, we further envision distributed intrusion detection system, given the distributed nature of WSNs. Every node is being examined by agents that reside on the nodes in its vicinity and listen to its communication in a promiscuous manner, where each agent executes one of the unsupervised algorithms. Considering the optimal algorithm parameters cannot be guessed from the start, the immune system paradigm is used to obtain a set of high quality agents. And finally forth, the system of agents is coupled with a reputation system, in a way the output of an agent assigns lower reputation to the nodes where it detects adversarial activities and vice versa. It is further advocated to avoid any contact with low reputation nodes, which provides implicit response to adversarial activities, since compromised nodes remain isolated from the network. A prototype of the approach is implemented and connected to the sensor network simulator called AmiSim developed by our research group. The approach has been tested on the mentioned simulator on a group of representative attacks on each of the core network protocols. The detection and complete confinement of all the attacks was observed, while maintaining low level of false positives. It is also important to mention that the algorithms have been trained on both clean and unclean (i.e. data with traces of attack presence) data, being able to detect and confine the attacks in both cases, which provides its robustness. Moreover, it has been proven that the resulting reputation system has advantages over the conventional ones in the terms of lower redundancy necessary for correct operations, as well as its robustness to attacks on reputation systems, such as bad mouthing or ballot stuffing, given that it does not use any second hand information. Finally, we have proposed various ways of embedding the approach into a realistic environment, which adapts it to the environment resources, both computational and power, and we have proven its viability. We have provided estimations of resource consumption, which can help in choosing processors that can support the implementation. To summarize, the proposed approach can be expanded and adapted in an easy and rapid way in order to detect new attacks. Furthermore, with the intelligence and the level of uncertainty introduced by the proposed techniques, the solution offers possibilities to address the security problem in a more profound way. Thus, although in the current state this solution does not detect attacks that make no change in sensed value that is forwarded to the base station, nor in the routing paths used to send the values to the base station, it can be used to complement the conventional techniques, which will permit better detection of new attacks and react more rapidly to security incidents. Resumen El objetivo de esta tesis es diseñar un sistema autonomo de deteccion de intrusos para redes de sensores, que tambien seria capaz de detectar una amplia coleccion de ataques, incluyendo los que no se han observado anteriormente. Las soluciones existentes son limitadas en el sentido de que son capaces de proteger la red solo de los ataques previamente identificados, lo que los hace vulnerables a los ataques desconocidos. Asimismo, en los que se pueden ajustar y de esa manera ampliar sus posibilidades de deteccion, la modificacion tiene que hacerse de manera manual. La tesis propone un enfoque basado en la inteligencia artificial para detectar y confinar los ataques a los protocolos clave de las redes de sensores inalambricas, que son la agregacion, el rutado y la sincronizacion temporal. El enfoque se basa en cuatro contribuciones principales. En primer lugar, los ataques se tratan como datos atipicos. Por eso, los valores sensados, asi como la informacion del rutado de cada nodo son mapeados en espacios vectoriales, lo que permite definir el analisis basado en distancia para detectar los datos atipicos. En segundo lugar, se han desarrollado tecnicas de aprendizaje automatico sin supervision, capaces de detectar los datos atipicos utilizando dicho analisis basado en distancias. En tercer lugar, dado el caracter distribuido de las redes de sensores, se propone la deteccion de intrusos organizada de manera distribuida, de manera que cada nodo se examina por agentes que se encuentran en los nodos vecinos y que escuchan su comunicacion de manera promiscua, donde cada agente ejecuta uno de los algoritmos de aprendizaje automatico sin supervision. Ademas, teniendo en cuenta que los parametros optimos de los algoritmos no se pueden adivinar desde el principio, se utiliza el paradigma de los sistemas inmunes para obtener un conjunto de agentes de alta calidad. Por ultimo, el sistema de agentes se une a un sistema de reputacion, de manera que la decision de cualquier agente puede asignar un valor de reputacion mas bajo a los nodos donde encuentra indicios de intrusion, o viceversa. Ademas, se aconseja evitar cualquier contacto con los nodos que tienen reputacion baja, lo que permite tener una respuesta implicita ante actividades adversas, de manera que los nodos comprometidos quedan aislados de la red. El prototipo del enfoque se ha implementado y conectado al simulador de redes de sensores denominado AmiSim, que fue desarrollado por nuestro grupo de investigacion. El enfoque se ha comprobado en el simulador, bajo la presencia de varios ataques característicos para cado uno de los protocolos clave de la red. La detección y el confinamiento completo de todos los ataques fue observado, mientras se mantenía la tasa de falsos positivos en un nivel bajo. Asimismo, es importante mencionar que los algoritmos fueron entrenados con datos “limpios”, pero también con datos “sucios” (los datos que contienen trazas de ataques), siendo capaz de detectar y confinar los ataques en ambos casos, lo que demuestra su robustez. Ademas, se ha demostrado que el sistema de reputacion derivado tiene ventajas sobre los sistemas convencionales, tanto por necesitar menos redundancia para funcionar correctamente, como por su robustez ante ataques al sistema de reputacion, por ejemplo, ante la propagacion de informacion falsa sobre otro elemento de la red, puesto que no utiliza la informacion de segunda mano. Por ultimo, se han propuesto varias maneras de implementar este enfoque en entornos reales, que se adaptan a los recursos de los que dispone cada entorno, tanto computacionales como de potencia, y se ha demostrado su viabilidad. Ademas, se han proporcionado estimaciones del consumo de recursos, que puede ayudar a la hora de elegir el procesador capaz de implementar el enfoque propuesto. En resumen, el sistema propuesto es facilmente ampliable y puede adaptarse de forma rapida para detectar nuevas amenazas. Ademas, con la inteligencia propia de estas tecnicas y el nivel de incertidumbre que se introduce, la solucion que se plantea ofrece alternativas reales para abordar el problema de seguridad con mayor profundidad. Por eso, la idea principal de esta investigacion es complementar las tecnicas de seguridad convencionales con estos metodos, lo que permitira detectar mejor los nuevos ataques y reaccionar de manera mas rapida ante posibles incidentes de seguridad.
展开▼
机译:这项工作的目的是设计一种用于无线传感器网络的自主入侵检测系统,该系统将能够检测各种攻击,包括以前未曾见过的攻击。现有的解决方案范围有限,从某种意义上说,它们提供了针对已识别攻击的保护,这使系统容易受到未知攻击。此外,在那些可以调整以扩展其范围的调整中,必须通过人工交互来进行修改。为了解决这个问题,我们提出了一种人工智能方法来检测和限制对无线传感器网络核心协议的攻击:聚合,路由和时间同步。该方法基于四个主要贡献。首先,这些攻击被视为数据异常值。为此,将感测值的空间和每个节点的路由信息映射到向量空间中,从而可以定义基于距离的分析以进行离群值检测。其次,我们开发了无监督的机器学习技术,用于使用基于定义的距离的分析来检测异常值。第三,鉴于WSN的分布式性质,我们进一步设想了分布式入侵检测系统。每个节点都由位于其附近节点上的代理程序检查,并以混杂的方式侦听其通信,其中每个代理程序都执行一种非监督算法。考虑到不能从一开始就猜出最佳算法参数,因此使用免疫系统范式来获取一组高质量的代理。最后,代理系统与信誉系统耦合,代理的输出将较低的信誉分配给检测到对抗活动的节点,反之亦然。进一步提倡避免与信誉低下的节点进行任何接触,因为受到损害的节点仍与网络隔离,这会给对抗活动提供隐式响应。实现了该方法的原型,并将其连接到由我们的研究小组开发的名为AmiSim的传感器网络模拟器。该方法已经在提到的模拟器上针对每种核心网络协议进行了一组代表性攻击测试。观察到所有攻击的检测和完全限制,同时保持较低的误报率。同样重要的是要提到,算法已经在干净数据和不干净数据(即具有攻击存在痕迹的数据)上进行了训练,能够检测和限制两种情况下的攻击,从而提供了鲁棒性。而且,已经证明,所得到的信誉系统在正确操作所必需的较低冗余性方面以及在抵御信誉系统攻击(例如口臭或投票填充)的鲁棒性方面,具有优于常规信誉系统的优势。不使用任何二手信息。最后,我们提出了将方法嵌入到实际环境中的各种方法,使它适合于计算和计算能力的环境资源,并且证明了它的可行性。我们提供了资源消耗的估计,这有助于选择支持该实现的处理器。总而言之,可以以简单快速的方式扩展和适应所提出的方法,以检测新的攻击。此外,借助所提出的技术引入的智能和不确定性水平,该解决方案提供了以更深刻的方式解决安全问题的可能性。因此,尽管在当前状态下,该解决方案无法检测攻击,该攻击不会改变转发到基站的感知值,也不会检测用于将值发送到基站的路由路径,但它可以用来补充传统技术,可以更好地检测新攻击并对安全事件做出更快的反应。恢复传感器自动识别功能,在坦桑尼亚的西班牙国家检察院和大学校堂,包括观察员事前证明。独生子女的权利存在的限制,独生子女身份保护的脆弱性和弱势群体的生存能力。手册,手册,手册和手册,修订版,手册和手册。人工智能的基础知识和人文科学的临时保护者,临时合规的人,农业部的临时裁员,以及临时性的鲁塔多和圣迭戈。 El enfoque se basa en cuatro contribuciones校长。完整的底漆,卢萨塔克人,科特迪瓦人,墨西哥人。由eso,los valores sensados,asi como la informationacion del rutado de cada nodo son mapeados en espacios vectoriales,它允许定义基于距离的分析以检测异常值。其次,已经开发了无监督的机器学习技术,能够使用这种基于距离的分析来检测异常值。第三,考虑到传感器网络的分布式特性,建议以分布式方式组织入侵检测,以便每个节点都由位于相邻节点中并以混杂方式监听其通信的代理检查。每个代理无需监督即可执行一种机器学习算法。此外,考虑到不能从一开始就猜出算法的最佳参数,因此使用免疫系统范式来获取一组高质量的代理。最后,代理系统加入信誉系统,以便任何代理的决策都可以将较低的信誉值分配给发现入侵证据的节点,反之亦然。另外,建议避免与信誉低的节点进行任何接触,这可以隐式响应不良活动,从而使受感染的节点与网络隔离。该方法的原型已实现,并已连接到由我们的研究小组开发的名为AmiSim的传感器网络模拟器。对于网络的每个关键协议,在几种特征攻击的存在下,已经在模拟器中对该方法进行了测试。观察到所有攻击的检测和完全限制,同时保持较低的误报率。同样,重要的是要提到算法是用“干净”数据训练的,但也用“脏”数据(包含攻击痕迹的数据)训练的,能够在两种情况下检测和限制攻击,这表明了算法的鲁棒性。另外,已显示出派生的信誉系统具有优于常规系统的优点,这既是因为它需要较少的冗余以正常运行,又是因为它对信誉系统的攻击具有鲁棒性,例如,有关另一个元素的虚假信息的传播。因为它不使用二手信息,所以它来自网络。最后,已提出了几种在实际环境中实施此方法的方法,这些方法适用于每种环境在计算和能力上可用的资源,并且证明了其可行性。另外,已经提供了资源消耗的估计,这可以帮助选择能够实现所提出的方法的处理器。总而言之,所提出的系统易于扩展,并且可以快速适应检测新威胁。此外,借助这些技术的智能性和引入的不确定性水平,提出的解决方案提供了真正的替代方案,可以更深入地解决安全问题。因此,本研究的主要思想是用这些方法补充常规安全技术,这将使更好地检测新攻击并对可能的安全事件做出更快的反应。
展开▼
