Escolar Documentos
Profissional Documentos
Cultura Documentos
IoT)
Assine o DeepL Pro para traduzir documentos maiores.
Visite www.DeepL.com/propara mais informações.
I. INTRODUÇÃO
A Internet das Coisas (IoT) [1] é uma rede de dispositivos
de detecção com recursos limitados e capaz de comunicações
com e sem fios com serviços de nuvem. Os dispositivos da
Internet das Coisas estão a ser cada vez mais visados por
atacantes que utilizam malware, uma vez que são mais fáceis
de infectar do que os computadores convencionais. Isto deve-
se a várias razões [2] como a presença de dispositivos
herdados sem actualizações de segurança, baixa prioridade
dada à segurança dentro do ciclo de desenvolvimento, fracas
credenciais de login, etc.
Num ataque amplamente divulgado, o malware IoT Mirai
foi utilizado para propagar o maior ataque DDoS (Distributed
Denial-of- Service) de que há registo a 21 de Outubro de
2016. O ataque teve como alvo os servidores Dyn DNS
(Domain Name Service) [3] e gerou um rendimento de ataque
da ordem de 1,2 Tbps. Desactivou os principais serviços da
Internet, tais como a Amazon, Twitter e Netflix. Os atacantes
tinham infectado dispositivos IoT, tais como câmaras IP e
gravadores DVR com Mirai, criando assim um exército de
bots (botnet) para participar no ataque DDoS.
O código fonte de Mirai foi divulgado em 2017 e, desde
Autho9r7iz8ed-1li-c5en3s8e6d-u4s9e8lim0-it0ed/1to9:/b$-3on1: . I 0 n 0 s t i t © u t o 2 0 P 1 o l 9 i t e I c E n i E c E o deBeja. Downloa2d8ed9on 16,2022deNovembroàs 17:52:06UTCdaIEEE
Xplore.Aplicam-serestrições.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
A nossa solução proposta consiste em algoritmos de Também tem havido alguma investigação sobre sistemas de
aprendizagem mecânica (ML) executados no gateway de detecção de intrusão e de anomalias para a Internet das coisas.
acesso do utilizador que detectam a actividade malware com Foi apresentado em [12] um sistema de detecção de intrusão
base nos seus padrões de tráfego de varrimento, uma base de baseado em whitelist-based intrusion detection system for IoT
dados que armazena os padrões de tráfego de varrimento devices (Heimdall). Os autores em [13] propõem um modelo
malware e pode ser utilizada para recuperar ou actualizar de detecção de intrusão para redes de backbone IoT
esses padrões, e um módulo de política que decide o curso de alavancando a redução de duas camadas de dimensão e
acção posterior após o tráfego de gateway ter sido classificado técnicas de classificação de dois níveis - niques para detectar
como malicioso. Inclui também um módulo opcional de sub- ataques U2R (User-to-Root) e R2L (Remote-to- Local).
amostragem de pacotes que pode ser implantado, por Ultimamente, tem havido um interesse na detecção de
exemplo, no caso de empresas onde vários dispositivos IoT botnets e ataques na comunidade de investigação, resultando
(≈ 10-100) estão ligados a um único gateway de acesso. A numa série de documentos que abordam estes problemas. Em
solução de detecção de bot pode ser implementada tanto em [14], a detecção de anomalias baseadas em auto-
gateways de acesso físico fornecidos pelas empresas ISP autocodificadores profundos tem sido utilizada para detectar
como como em funções NFV (Network Function ataques lançados a partir de redes de bots IoT. Alguns
Virtualization) nas instalações/empresas do cliente numa trabalhos concentraram-se na construção de perfis de
arquitectura de rede baseada em SDN-NFV, onde SDN comunicação normais para dispositivos IoT que não se espera
significa "Software-Defined Net- working". que se desviem muito durante um longo período de tempo.
A nossa solução visa, em particular, a varredura de botes e DEFT [15] tem utilizado algoritmos ML em controladores
a infecção de dispositivos vulneráveis. Isto porque a fase de SDN e gateways de acesso para construir impressões digitais
scan- ning e propagação do ciclo de vida do botnet se estende normais de tráfego de dispositivos, enquanto [16] propõe uma
por muitos meses e podemos detectar e isolar os bots antes ferramenta para gerar automaticamente perfis MUD
que eles possam participar num ataque real como o DDoS. Se (Descrição de Utilização do Fabricante) para uma série de
o ataque DDoS já tiver ocorrido (devido a um botnet), detectar dispositivos IoT de consumo. No DIoT [17], os autores
o ataque em si não é assim tão difícil e já existem métodos, propuseram um método para classificar os dispositivos IoT
tanto na literatura como na indústria, de defesa contra tais tipicamente utilizados em vários tipos de dispositivos e
ataques. Uma vez detectados os bots IoT, os operadores de construir os seus perfis de tráfego normal de modo a que um
rede podem tomar contramedidas adequadas, tais como desvio desses perfis seja assinalado como tráfego anómalo.
bloquear o tráfego proveniente de bots IoT e notificar os O nosso trabalho aborda algumas importantes lacunas na
administradores de rede locais. As principais contribuições literatura quando se trata de distinguir entre o tráfego legítimo
deste documento estão listadas abaixo: e o tráfego de IdC. Primeiro, os trabalhos sobre a detecção de
1) Categorizámos a maior parte do actual malware IoT em botnets utilizando as suas características de comunicação CnC
algumas categorias para ajudar a identificar malware [9]-[11], [18] são concebidos para botnets baseados em PC em
semelhante e simplificar a tarefa de conceber métodos de vez de botnets IoT, que são o foco do nosso trabalho. Em
detecção para eles. segundo lugar, não pretendemos detectar botnets (redes de
2) Analisámos os padrões de tráfego para malware IoT de bots), mas sim a actividade de rede gerada por bots
cada categoria através de experiências de bancos de individuais. As redes de botnets de Internet de alta velocidade
ensaio e utilitários de captura de pacotes. tendem a consistir em centenas de milhares a milhões de
3) Propusemos uma solução modular para a detecção da dispositivos espalhados por vastas geografias, pelo que é
actividade malware IoT, utilizando técnicas ML com os impraticável detectar toda uma rede de bots de Internet de alta
padrões de tráfego acima referidos. velocidade. Por conseguinte, não exigimos a agregação
computacionalmente dispendiosa de algo-ritmo como
II. TRABALHO RELACIONADO utilizado em [10], [11].
Terceiro, ao contrário de [14], [17], o nosso objectivo é
Existem vários trabalhos na literatura sobre a detecção de detectar a actividade malware IoT muito antes do ataque real,
botnets baseados em PC usando as suas características de durante a fase de scan/in- fection. Finalmente, em vez de
comunicação com servidor CnC (Command-and-control). recolhermos as impressões digitais do tráfego normal dos
Bothunter [9] constrói um modelo de diálogo de infecção por dispositivos IoT [15], [17] e utilizarmos essas impressões
bot com base no qual três sensores específicos de bot são digitais para a detecção de anomalias, detectamos o tráfego de
construídos e é feita uma correlação entre alarmes de pacotes de varrimento induzido pelo malware gerado pelos
intrusão/scan de entrada e o modelo de diálogo de infecção dispositivos IoT infectados. Isto porque a primeira abordagem
para gerar um relatório consolidado. As semelhanças espaço- sofre de limitações tais como a possibilidade de classificação
temporais entre os bots de uma rede bot em termos de errada de um dispositivo infectado como um tipo de
actividades coordenadas bot-CnC são capturadas a partir do dispositivo legítimo, testando apenas contra malware simples.
tráfego da rede e aproveitadas para a detecção de botnet numa por exemplo, Mirai que pode resultar na não detecção de outro
rede local em Botsniffer [10]. Em BotMiner [11], os autores malware mais sofisticado, etc. Esta última abordagem não está
propuseram um sistema de detecção de botnet que agrupa também livre de limitações, uma vez que não é resistente
tráfego de comunicação CnC semelhante e tráfego de contra novos malwares não descobertos cujas características
actividade maliciosa semelhante, e utiliza a correlação entre de tráfego de scan não foram actualizadas na base de dados.
clusters para detectar bots numa rede monitorizada. Defendemos uma abordagem combinada que consiste tanto na
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. D o w n l o a 2 d 9 e d 0 e m 16,2022 de Novembro às 17:52:06 UTC do IEEE Xplore. Aplicam-
se restrições.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. D o w n l o a 2 d 9 e d 0 e m 16,2022 de Novembro às 17:52:06 UTC do IEEE Xplore. Aplicam-
se restrições.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
Os algoritmos são chamados EDIMA (Early Detection of IoT indústrias, etc., propomos também um módulo de sub-
amostragem opcional, tal como introduzido em [19]. Este
Malware Network Activity) e são mostrados na Fig.1. Foi
concebido para ter uma arquitectura modular com cinco módulo recolhe amostras do tráfego de pacotes de
módulos diferentes: dispositivos IoT tanto ao longo do tempo como através
dos dispositivos e apresenta-os como entrada para o
1) Classificador ML: O classificador ML funciona no módulo classificador ML. O módulo de sub-amostragem
ajudaria a reduzir a sobrecarga computacional para o
portão de acesso ligado aos dispositivos IoT nas
módulo classificador ML por
instalações do cliente ou da empresa. Recolhe as
amostras de tráfego recebidas, extrai os vectores de
características para essas amostras e classifica-as com
base no modelo ML treinado pelo construtor do modelo
ML. Mais detalhes sobre o classificador ML são
fornecidos na secção IV-B.
2) Construtor de Modelos ML: O modelo ML para
classificar o tráfego de gateway de acesso é treinado pelo
construtor do modelo ML utilizando os vectores de
características e etiquetas de classe recuperados da base
de dados de características de tráfego de pacotes como
entradas para um algoritmo de classificação
supervisionado, tais como Naive Bayes (NB), De- cision
Trees (DT), Support Vector Machines (SVM), etc. O
modelo é então enviado para o classificador ML. Sempre
que um novo malware é descoberto, o modelo ML tem
de ser re-treinado e comparado com o modelo ML
existente para desempenho de classificação. Se não
houver uma melhoria significativa no desempenho, o
modelo ML existente continua a ser utilizado, caso
contrário, o modelo ML recondicionado é actualizado
para o módulo classificador ML.
3) Base de dados de características de tráfego de
pacotes: A base de dados armazena uma lista de vectores
de características extraídos de amostras de tráfego
recolhidas de gateways de acesso ligadas a dispositivos
IoT infectados com malware conhecido de IoT, bem
como gateways ligadas a dispositivos não infectados. A
base de dados é actualizada frequentemente para malware
recentemente descoberto. Os vectores de características e
as etiquetas de classe corrrespondentes são recuperados
pelo construtor do modelo ML para treino do
classificador ML pela primeira vez e também para treino
de novo classificador sempre que um novo malware é
descoberto. Prevemos uma comunidade de investigadores
de segurança, pessoal da indústria e utilizadores que
recolherão dados de tráfego para malware IoT através de
honeypots, gateways de acesso de consumidores, etc. Os
vectores de características extraídos das amostras de
dados de tráfego em bruto e as etiquetas de classe
atribuídas a essas amostras serão actualizadas para a base
de dados de características em linha.
4) Módulo de Políticas: O módulo de políticas consiste
numa lista de políticas definidas pelo administrador da
rede que decide o curso das acções a tomar uma vez que
o tráfego de um gateway de acesso tenha sido
classificado como malicioso pelo módulo classificador
ML. Por exemplo, o administrador da rede - istrator pode
bloquear todo o tráfego proveniente de bots e trazê-los de
volta em linha apenas depois de ser confirmado que o
malware foi removido desses dispositivos IoT.
5) Módulo de subamostragem (opcional): Para instalações
com milhares de dispositivos IoT, tais como empresas,
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. Downloa2d9ed1 e m 16 de Novembro de 2022 às 17:52:06 UTC do IEEE Xplore. As restrições são
aplicáveis.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. Downloa2d9ed2 e m 16 de Novembro de 2022 às 17:52:06 UTC do IEEE Xplore. As restrições são
aplicáveis.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
trânsito.
Categoria Malware Descrição 3) Recuperar o classificador formado do construtor do
Mirai Envia pacotes SYN para sonda modelo ML e aplicá-lo nos vectores de características
aberta
Portas TELNET em IP ad- vestidos
extraídos para classificar as sessões correspondentes.
TELNET aleatórios. Se for bem sucedida, A lista de números de portas de destino é feita com base em
tenta lo- gin usando uma lista de informações obtidas a partir de explorações públicas de
Hajime credenciais por defeito [20].
O mesmo mecanismo de malware. Por exemplo, na categoria 'TELNET', porto de
propagação que Mirai, mas sem destino alvo
servidor CnC. Em vez disso, é
construído sobre uma rede P2P.
Remaiten Pur- pose parece ser para melhorar
a secu- ridade dos dispositivos IoT
[21].
O mesmo mecanismo de
propagação que Mirai. Descarrega
Linux.Wifatch binário específico para a
plataforma alvo. Utiliza o IRC
pro- tocol para a comunicação do
servidor CnC [22].
Brickerbot O mesmo mecanismo de
propagação que Mirai.
Aparentemente, tenta proteger
dispositivos IoT de outro malware
[23].
Reescreve o firmware do
dispositivo, ren- dering o
dispositivo permanentemente em
funcionamento [24].
Satori Envia pedido ao NewInternalClient
através do serviço de miniigd
HTTP POST
SOAP (REALTEK SDK) ou envia
pacotes ma- licious para a porta
37215 (Huwaei home gateway)
Masuta [25].
Formulários de pedido SOAP que,
por autenticação, passam e
Linux.Darlloz provocam a execução arbitrária do
código [26].
Envia pedidos HTTP POST
usando PHP 'php-cgi' Information
Disclosure Vulnerability to down-
Ceifeiro load the worm from a malicious
server on an unpatched device
[27]. Primeiro numa lista de portas
TCP para dispositivos de
impressões digitais, depois numa
onda sec- ond de varreduras em
portas TCP executando serviços
web tais como 80, 8080. . . , envia
HTTP POST re-
procura de injecção de comando
[28].
Ceifeiro Comportamento de digitalização
HTTP GET semelhante a
acima, envia um pedido HTTP
para o controlo remoto comando
Amnésia execução, geralmente
através de CGI ou PHP. Faz
pedidos HTTP simples, procura
por uma string especial "Cross
Web Server" na resposta HTTP do
alvo. Se for bem sucedido, envia
mais quatro pedidos HTTP que
contêm cargas úteis de exploração
de quatro comandos shell
diferentes [29].
QUADRO I: Categorias de malwares IoT
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. Downloa2d9ed3 e m 16 de Novembro de 2022 às 17:52:06 UTC do IEEE Xplore. As restrições são
aplicáveis.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
Os números são 23 e 2323. Na categoria 'HTTP POST', os Ethernet com espelhamento de porta para espelhar o tráfego
de todos os dispositivos acima (IoT, portátil, smartphone) para
números das portas de destino são 37215, 80, 20736, 36895,
etc. Na categoria 'HTTP GET', o número da porta de destino uma porta Raspberry Pi 3B+ Ethernet e monitorizar o tráfego
destino alvo é sempre 80. acumulado.
Neste trabalho, utilizamos um total de 4 características
para a formação do modelo ML e classificação do tráfego:
1) Número de endereços IP de destino único
2) Número de pacotes por endereço IP de destino
(máximo, mínimo, médio)
A motivação por detrás da selecção da primeira característica
é que o malware gera endereços IP aleatórios e envia-lhes
pedidos maliciosos. Assim, o número de endereços IP de
destino único no caso de tráfego de scannning induzido por
malware será muito mais do que tráfego benigno. A segunda
característica procura explorar o facto de que o malware
normalmente não envia múltiplos pacotes maliciosos para o
mesmo endereço IP (apenas um único pacote é enviado na
maioria dos casos), possivelmente para cobrir o maior
número possível de dispositivos durante a fase de
scan/propagação.
Pode-se argumentar que o autor/atacador de malware pode
adoptar uma estratégia de scan menos agressiva para evitar a
detecção. O atacante incorrerá num custo, em termos do
desempenho do malware, resultando em menos dispositivos
infectados num período de tempo fixo. Planeamos investigar
este desempenho de malware - o comportamento de
varredura de malware é compensado pela formulação de um
problema de optimização no futuro. Por agora, a duração das
sessões de tráfego recolhidas para treino/classificação pode
ser aumentada para contrariar qualquer diminuição nas taxas
de scan pelo atacante.
V. AVALIAÇÃO DE DESEMPENHO
A. Descrição do banco de ensaio
Construímos um banco de ensaio com dispositivos IoT,
um PC portátil, um smartphone dróide e um gateway de
acesso sem fios para recolher o tráfego de ingress/egress no
gateway que faria parte dos dados de formação utilizados
para treinar os algoritmos ML a serem implantados no
módulo ML Classifier. Os dispositivos IoT eram: Ponte
Philips Hue, câmara IP Wi-Fi D-Link DCS-930L e TP-Link
HS110 Smart Wi-Fi Plug. O PC portátil tem um processador
Intel Core i3-5020U 2,2 GHz com 4GB de RAM e executa o
SO Windows 10. Aplicações de rede tais como navegador da
web (acesso a páginas web, sites de streaming de vídeo, por
exemplo, YouTube), cliente de e-mail, plataforma online
com câmara WiFi, etc., foram executadas no PC portátil por
um utilizador. O smartphone Android tem o processador
Cortex- A53 Octa-core 1,6 GHz com 3GB de RAM e corre o
SO Android 8.0. Mais uma vez, o mesmo utilizador
executava aplicações tais como browser de internet, redes
sociais (Facebook/Twitter/LinkedIn), chat (WhatsApp),
aplicação Wi-Fi plug, aplicação Hue etc. no smartphone que
também executava algumas outras aplicações de rede no
back- ground. O gateway de acesso sem fios era um router D-
Link DIR-600 com um processador de rede Atheros AR7240
350 MHz, adaptador de rede Atheros AR9285, 32MB de
RAM, 4MB de flash com suporte de normas 1EEE
802.11b/g/n Wi-Fi. O banco de ensaio é mostrado na Fig. 2.
Utilizámos um comutador TP-Link TL-SG108E Gigabit
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. Downloa2d9ed4 e m 16 de Novembro de 2022 às 17:52:06 UTC do IEEE Xplore. As restrições são
aplicáveis.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
Fig. 2: Banco de ensaio utilizado para recolher o tráfego de pacotes para (d) Dados de formação de tráfego
formação ML POST maliciosos
(c) Dados de formação sobre
tráfego benigno
C. Resultados
As distribuições dos valores das características para dados
de treino benignos e ma- liciosos em que o malware pertence
às categorias TELNET, HTTP POST e HTTP GET são
mostradas na Fig. 3 utilizando gráficos de caixa. Os gráficos
de distribuição da característica F1 em condições benignas e
maliciosas em que o malware pertence à categoria TELNET,
são bastante distintos, embora para as outras características
Característica2, Característica3, Característica4, os gráficos
não sejam tão facilmente distinguíveis. Do mesmo modo, as
distribuições de elementos de tráfego HTTP POST e GET em
condições benignas e maliciosas não são completamente
distinguíveis. Se houver uma diferença significativa na
distribuição de uma característica em condições benignas e
maliciosas, essa diferença pode ser aproveitada pelo modelo
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. Downloa2d9ed5 e m 16 de Novembro de 2022 às 17:52:06 UTC do IEEE Xplore. As restrições são
aplicáveis.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. Downloa2d9ed6 e m 16 de Novembro de 2022 às 17:52:06 UTC do IEEE Xplore. As restrições são
aplicáveis.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
http://doi.acm.org/10.1145/2834050.2834095
VI. CONCLUSÃO
AGRADECIMENTOS
REFERÊNCIAS
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. Downloa2d9ed7 e m 16 de Novembro de 2022 às 17:52:06 UTC do IEEE Xplore. As restrições são
aplicáveis.
2019 IEEE 5º Fórum Mundial sobre Internet das Coisas (WF-
IoT)
Uso autorizado e licenciado limitado a: b-on: Instituto Politécnico de Beja. Downloa2d9ed8 e m 16 de Novembro de 2022 às 17:52:06 UTC do IEEE Xplore. As restrições são
aplicáveis.