Метод и алгоритмы детектирования атак и защиты сетей класса «издатель-подписчик» в информационно-телекоммуникационных системах тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Дикий Дмитрий Игоревич
- Специальность ВАК РФ05.13.19
- Количество страниц 314
Оглавление диссертации кандидат наук Дикий Дмитрий Игоревич
Реферат
Synopsis
Введение
Глава 1. Интернет вещей
1.1 Обзор систем Интернет вещей
1.1.1 Определение систем Интернет вещей
1.1.2 Сфера применения ИВ
1.1.3 Примеры практического использования ИВ
1.1.4 Структура ИВ
1.1.5 Структура системы безопасности в ИВ
1.2 Обзор модели «издатель-подписчик»
1.2.1 Концепция модели «издатель-подписчик»
1.2.2 Стеки протоколов модели «издатель-подписчик»
1.3 Инциденты информационной безопасности ИВ
1.3.1 Наиболее известные инциденты информационной безопасности в ИВ
1.3.2 Статистика инцидентов информационной безопасности в ИВ
1.3.3 Ботнеты - современная угроза ИВ
1.4 Модель угроз информационной безопасности в сетях «издатель-подписчик»
1.4.1 Угрозы информационной безопасности банка данных угроз ФСТЭК
1.4.2 Анализ уязвимостей модели «издатель-подписчик» на прикладном уровне
1.4.3 Модель оценки рисков в «издатель-подписчик»
Выводы по главе
Глава 2. Управление доступом в сетях «издатель-подписчик»
2.1 Модели утечки информации
2.2 Существующие методы управления доступом
2.3 Предлагаемый подход к управлению доступом
2.4 Имплементация предлагаемой модели управления доступом
2.5 Экспериментальное сравнение методов управления доступом
Выводы к главе
Глава 3. Аутентификация устройств ИВ по принципу «без разглашения»
3.1 Обзор существующих методов безопасной аутентификации
3.2 Предлагаемый алгоритм аутентификации на базе принципа «без разглашения»
3.2.1 Принцип работы алгоритмов аутентификации
3.2.2 Фаза регистрации
3.2.3 Аутентификация
3.2.4 Сценарии атак
3.3 Экспериментальное сравнение предлагаемого метода и других протоколов аутентификации
Выводы к Главе
Глава 4. Защита инфраструктуры ИВ по принципу «без разглашения» от атак вида отказ в обслуживании
4.1 Обзор методов защиты от атак вида отказ в обслуживании
4.2 Анализ устойчивости модели «издатель-подписчик» к атакам вида отказ в обслуживании
4.2.1 Анализ зависимости времени обработки сообщений от частоты их отправки с учетом криптографических преобразований для вида сообщений:
подключение, подписка, публикация
4.2.2 Анализ зависимости времени обработки сообщений публикации от числа публикующих и подписанных устройств
4.2.3 Анализ зависимости времени обработки сообщений от размера полезной нагрузки для сообщений публикации
4.3 Методика детектирования атак вида отказ в обслуживании
4.3.1 Алгоритм детектирования
4.3.2 Метод опорных векторов
4.3.3 Искусственные нейронные сети
4.3.4 Деревья решений
4.3.5 Оценка качества классификации
4.3.6 Вектор признаков
4.3.7 Наборы данных
4.4 Апробация методики на экспериментальных данных
Выводы к Главе
Заключение
Список литературы
Список рисунков
Приложение А. Свидетельства о регистрации программ для ЭВМ
Приложение Б. Копии актов внедрения
Приложение В. Тексты публикаций
Реферат
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Методы и алгоритмы защиты от распределенных сетевых атак типа "отказ в обслуживании"2020 год, кандидат наук Попов Илья Юрьевич
Модели и методы использования технологии блокчейн в корпоративных и промышленных сетях на базе облачных и туманных вычислений2023 год, кандидат наук Федоров Иван Романович
Разработка и исследование метода управления информационной нагрузкой в мобильных сетях стандарта LTE2018 год, кандидат наук Антонова Вероника Михайловна
Управление конфиденциальностью пользователя в социальных сетях2015 год, кандидат наук Ле Суан Куен
Алгоритмы и методы повышения степени доверия безопасности вычислительной среды на тонких клиентах2016 год, кандидат наук Теплоухова, Ольга Александровна
Введение диссертации (часть автореферата) на тему «Метод и алгоритмы детектирования атак и защиты сетей класса «издатель-подписчик» в информационно-телекоммуникационных системах»
Общая характеристика диссертации Актуальность темы исследования.
Развитие информационных технологий за последние годы позволило значительно усовершенствовать производственные процессы. Одними из современных направлений в этой области являются системы Интернет вещей (ИВ), основу которых составляют датчики, исполнительные устройства, коммуникационные системы связи, облачные вычислительные технологии, центры обработки данных. ИВ позволяет автоматизировать множество процессов, а при использовании алгоритмов искусственного интеллекта могут самостоятельно принимать решения. Эти системы нашли свое применение в сферах медицины, сельского хозяйства, экологии, промышленности, топливно-энергетического и военно-промышленного комплексов и т.д.
Одним из отличительных свойств ИВ по сравнению с классическими информационными системами помимо взаимодействия с физическим миром является требование к энергоэффективности применяемых решений, обеспечивающих достаточно продолжительное время автономной работы устройств. Так, спрос на надежную, качественную, быструю, экономичную межмашинную коммуникацию способствовал созданию узкоспециализированных аппаратных разработок, программного обеспечения, стандартов передачи данных. Предлагаются решения в виде протоколов передачи данных как прикладного уровня, например, CoAP, MQTT, и др., так и протоколов, функционирующих на физическом уровне: Sigfox, LoRa и др. Среди отечественных разработок следует отметить новый сверхузкополосный стандарт связи XNB «СТРИЖ», который по заявлению разработчиков обладает рядом преимуществ при передаче небольших пакетов телеметрии по сравнению с GSM, ZigBee, LoRa, Wi-Fi и др.
В ИВ широкое распространение получила модель коммуникации «издатель-подписчик», которая отличается от клиент-серверной модели тем, что каждое сообщение помечается темой, а получателями выступают все устройства, которые
подписались на эту тему. Этот подход используется при массовой рассылке показаний телеметрии. Модель обмена сообщениями «издатель-подписчик» реализована в таких протоколах, как XMPP, AMQP, MQTT, STOMP, DDS. Широкое многообразие протоколов свидетельствует о востребованности этой модели у пользователей и проектировщиков сетей. Стандартизация в этой области производится крупнейшими научно-технологическими сообществами мира, такими как IEEE, OASIS, XSF, OMG, OGC. Решения на базе таких информационных систем представлены в жизненном цикле компаний мирового уровня: Acer BYOC, Audi AG, B2 Software GmbH, FuelSave и др.
Вместе с предоставлением некоторых новых возможностей применение ИВ порождает значительные риски и угрозы, в том числе в сфере информационной безопасности. Реализация этих угроз может привести к негативным последствиям как на уровне отдельной личности, так и на уровне предприятия и даже государства. При этом для минимизации вычислительных и энергетических затрат в ИВ зачастую не применяются меры и средства защиты информации. Например, в отчете лаборатории Касперского за второе полугодие 2018 года определены следующие наиболее часто используемые уязвимости в индустриальном ИВ: переполнение буфера, проблемы с аутентификацией и управлением доступа, отказ в обслуживании, некорректная проверка данных. В то же время развертывание модели «издатель-подписчик» в большинстве случаев предполагает наличие узкого места сети - шлюза. Атаки на этот элемент сети приведут к нарушениям передачи информации: потеря пакетов, задержка сигнала и д.р. Таким образом, актуальной является задача разработки средств и методов защиты информации, отвечающих современным тенденциям развития ИВ.
Результаты диссертационного исследования применимы для повышения безопасности информационных уже существующих и проектируемых систем. Актуальность темы данного исследования подтверждается соответствием приоритетному направлению развития науки, технологий и техники в Российской Федерации, утвержденному Указом Президента Российской Федерации № 623 от
16.12.2015. В то же время разработка средств и методов защиты для ИВ является составной частью дорожной карты развития «сквозной цифровой технологии беспроводной связи».
В плане Российской академии наук, рассчитанном до 2025 года, по направлению фундаментальных исследований отмечается важная роль информационной безопасности. В частности, уделено огромное внимание разработке программных и аппаратных средств защиты информации, алгоритмов (протоколов) передачи данных, созданию экспертных систем и систем распознавания образов.
Таким образом, создание средств и методов защиты от атак в сетях вида «издатель-подписчик» ИВ способствует устойчивому развитию новых технологий и является актуальным направлением исследований и разработок.
Степень разработанности темы. Проблеме защиты информации в ИВ посвящено множество исследований как российских, так и зарубежных ученых. Среди представителей российского научного сообщества можно выделить труды следующих ученых: И. Б. Саенко, И. В. Котенко, В.А. Десницкий, П.Д. Зегжда, С.В. Беззатеев. Этой теме посвящены работы следующих иностранных ученых: Жу К., Адепу С., Масур А. П., Ши Л., МакМиллин Б., Бианчин Г., Паскуалетти Ф. Атаки и методы защиты в сетях, функционирующих по модели «издатель-подписчик», исследованы в работах таких ученых, как Сриватца М., Лью Л., Гуо Д., Зоу Ю. и др.
Целью диссертационной работы является повышение защищенности сетей Интернет вещей (ИВ), использующих модель «издатель-подписчик» для передачи информации между устройствами, от атак на прикладном уровне модели OSI. Для достижения поставленной цели были поставлены и решены следующие задачи:
1. Выполнить анализ угроз информационной безопасности в сетях ИВ вида
«издатель-подписчик»;
2. Разработать метод управления правами доступа к информационным ресурсам сетей ИВ вида «издатель-подписчик»;
3. Произвести анализ методов реализации атаки на «отказ в обслуживании» на прикладном уровне модели 081 в сетях ИВ, функционирующих по модели «издатель-подписчик», и выполнить программно-аппаратное моделирование использования этих методов;
4. Произвести усовершенствование алгоритма аутентификации устройств, основанного на принципе «без разглашения», с целью сокращения времени необходимого для организации защищенного соединения устройств ИВ и расширения его функционала без снижения уровня защищенности процесса аутентификации;
5. Разработать алгоритм обнаружения атак на «отказ в обслуживании» в сетях ИВ на основе анализа сетевых данных модели «издатель-подписчик» на прикладном уровне модели 081.
Объектом исследования являются сети ИВ, в которых обмен информацией производится по принципу «издатель-подписчик» при межмашинном взаимодействии.
Предметом исследования являются средства и методы защиты информации в сетях «издатель-подписчик» ИВ.
Методы исследования. В работе были использованы следующие методы: математическая статистика и теория вероятностей, анализ, методы цифровой обработки сигналов, машинного обучения, проектирование и разработка программного обеспечения для ЭВМ.
Научная новизна и практическая значимость результатов диссертации
состоит в следующем:
1. Разработан метод управления правами доступа в сетях ИВ вида «издатель-подписчик», отличающийся внедрением дополнительного заголовка в тело
сообщения, позволяющий перейти к децентрализованному управлению правами доступа для устройств без использования сторонних каналов связи, что в свою очередь снижает риски информационной безопасности и повышает доступность и конфиденциальность информации.
2. Усовершенствование алгоритма аутентификации оконечных устройств ИВ, основанного на принципе «без разглашения», отличающее совокупный алгоритм от аналогичных сокращением временных затрат на процесс аутентификации, что усложняет реализацию атаки на отказ в обслуживании на этапе установления защищенного соединения, и, в то же время, возможностью генерации общего сессионного ключа и наличием защиты от атаки повторного сообщения, и его имплементация в модели «издатель-подписчик».
3. Разработан алгоритм детектирования атак на отказ в обслуживании, отличающийся вектором анализируемых данных сетевого трафика протоколов прикладного уровня согласно модели «издатель-подписчик», наличием нескольких классификаторов, основанных на методах машинного обучения, что позволяет не только детектировать атаку с высокой вероятностью, но и более точно идентифицировать ее источник.
Основные положения, выносимые на защиту:
1. Метод управления правами доступа к информационным ресурсам в сетях ИВ вида «издатель-подписчик», позволяющий децентрализовать управление правами доступа и отказаться от использования сторонних каналов связи в задачах авторизации.
2. Усовершенствование алгоритма аутентификации устройств, основанного на базе принципа «без разглашения», заключающееся в возможности определения легитимности устройства за один такт «запрос-ответ», генерации общего сессионного ключа, защиты от атаки повторного сообщения, и его имплементация в модели «издатель-подписчик».
3. Алгоритм детектирования атак на отказ в обслуживании на прикладном
уровне модели 0Б1 в сетях ИВ вида «издатель-подписчик», учитывающий
специфику организации передачи информации, основанный на наборе из
нескольких классификаторов, использующих методы машинного обучения.
Личный вклад автора. Результаты, которые представлены в настоящем диссертационном исследовании, получены автором лично.
Реализация результатов. Настоящее диссертационное исследование было подготовлено при поддержке следующих научно-исследовательских проектов:
1) Грант РФФИ №19-37-90051 «Разработка методологии защиты от атак вида "отказ в обслуживании" в электронных сетях Интернет вещей» (20192021).
2) Грант МинОбрНауки №11/2020 (информационная безопасность) (20202021) «Разработка методов защиты информации в сетях киберфизических систем, использующих модель «издатель-подписчик»
3) НИР Университета ИТМО № 619296 «Разработка методов создания и внедрения киберфизических систем» (2019-2020).
4) НИР Университета ИТМО № 617026 «Разработка методов интеллектуального управления киберфизическими системами с использованием квантовых технологий» (2017-2018).
5) Грант Комитета по науке и высшей школе при правительстве г. Санкт-Петербурга для студентов вузов, расположенных на территории Санкт-Петербурга, аспирантов вузов, отраслевых и академических институтов, расположенных на территории Санкт-Петербурга (2018, 2020).
Апробация работы. Результаты работы были апробированы на следующих международных и всероссийских конференциях:
1) VII - IX Конгресс молодых ученых
2) XLVII-XLX Научная и учебно-методическая конференция Университета ИТМО
3) VII Международный Балтийский морской форум
4) XI Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2019)»
5) Информационная безопасность регионов России 2017
6) Всероссийская научно - практическая конференция «ИНФОБЕЗ - 2019: проблемы, методологии, технологии»
7) 2018-2019 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (2019 ElConRus)
Достоверность научных положений подтверждается теоретическими выкладками, результатами экспериментов, апробацией результатов исследований на всероссийских и международных конференциях.
Внедрение результатов. Разработанные метод и алгоритмы защиты информации используются в нескольких организациях, осуществляющих деятельности в области обеспечения защиты информации, о чем свидетельствуют соответствующие акты о внедрении.
Публикации по теме диссертации. Основные результаты исследования опубликованы в 9 рецензируемых научных изданиях, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени кандидата наук, на соискание ученой степени доктора наук (перечень ВАК, из которых 3 индексируются в Scopus), 5 в международных рецензируемых изданиях, индексируемых Web of Science и Scopus, 12 в прочих изданиях. Получено 5 свидетельств программ для ЭВМ.
Структура и объем диссертации.
Диссертация объемом 313 страниц содержит введение, четыре главы и заключение. В тексте диссертации использовано 15 таблиц, 36 рисунков. При подготовке диссертации было использовано 255 литературных источников.
В введении обсуждается актуальность диссертационного исследования, произведен обзор протоколов «издатель-подписчик» для ИВ, определены цели и
задачи исследования, а также положения, выносимые на защиту. Обозначены практическая значимость и научная новизна предлагаемых мер и методов защиты информации для обеспечения безопасной межмашинной коммуникации.
Первая глава. В первой главе произведен анализ ИВ на предмет наличия уязвимостей информационной безопасности. Были рассмотрены следующие протоколы межмашинного взаимодействия, с помощью которых можно реализовать коммуникацию по модели «издатель-подписчик»: AMQP, DSS, MQTT, XMPP, STOMP.
Все вышеперечисленные протоколы реализованы по двум архитектурам: распределенные системы и соответствующие топологии «звезда». Первые при этом характеризуются большим числом входных точек доступа, что делает их более устойчивыми. При использовании архитектуры, основанной на топологии «звезда», все информационные потоки проходят через центральный шлюз, что делает систему потенциально уязвимой. Из преимуществ данного подхода выделяют простоту администрирования, настройки и развертывания.
Распределенные сети вида «издатель-подписчик» избыточны с точки зрения количества служебной информации. Их применение в ИВ, где экономичность играет важную роль, нецелесообразно. Поэтому в данном исследовании рассмотрены протоколы, функционирующие по топологии «звезда» (рис. 1).
Рисунок 1. Архитектура коммуникации в сетях ИВ вида «издатель-подписчик» с
шлюзом.
В состав элементов сети «издатель-подписчик» входят: оконечные устройства, коммуникационное оборудование, шлюзы, облачные сервисы и центры обработки данных.
Рассмотрены угрозы из банка данных угроз ФСТЭК, в качестве основных угроз для создания модели угроз ИВ. Перечень угроз был дополнен и модифицирован согласно стекам технологий и их уязвимостей, характерных для ИВ, в том числе использующих коммуникацию «издатель-подписчик».
Произведенный в первой главе анализ технологий и основанная на этом предложенная модель угроз, позволяют всесторонне оценить уровень безопасности на ключевых элементах ИВ. На их основе можно обнаружить наиболее уязвимые места и принять меры по защите информации.
Вторая глава посвящена проблеме разграничения доступа в сетях вида «издатель-подписчик». Были изучены сценарии утечки информации при отсутствии или недостаточном разграничении доступа к информации. В целях нейтрализации утечки информации используются специально форматированные файлы на локальном сервере, в которых содержится перечень прав доступа на чтение и/или публикацию информации для каждой темы для пользователей. К недостаткам такого подхода относится огромная нагрузка на администратора сети, как единственному, кто имеет доступ к изменению файла. Другой подход для изменения прав доступа основан на использовании LDAP протокола, где используются учетные записи домена сети. Однако, организация такого управления доступа потребует больших временных затрат и наличие сервера администрирования. Использование технологии OAuth предполагает авторизацию и разграничение прав доступа с привлечением сторонних сервисов, что создает новые риски информационной безопасности. Другим распространенным методом управления разграничением доступа является использование внешнего web-приложения, в котором пользователь самостоятельно может указать права доступа на его собственные темы. Однако для этого необходимо организовать отдельный
канал доступа, например, по HTTPS. При этом использование сторонних каналов связи увеличивает число потенциальных угроз безопасности.
Был предложен метод, который позволяет управлять правами дискреционной модели доступа в сетях вида «издатель-подписчик». Разработанный метод использует возможности прикладных протоколов по модели «издатель-подписчик» и не требует наличия сторонних каналов передачи данных. Информация о правах доступа указывается в самом передаваемом сообщении в виде дополнительного заголовка (рис. 2), который состоит из трех частей: блок А -обозначает начало заголовка, блок В - окончание заголовка, блок Рг содержит сведения об идентификаторе Бг 1-го пользователя и назначаемых ему правах С.
Р' I Р| 1 Рп 1
А В, С- ' 3 Бп Сг ' С
1В 4В 1В 4В 1В 4В 1В 1В
"Г 2+(5хп)В
Рисунок 2. Структура дополнительного заголовка сообщения.
Такой подход позволяет пользователям управлять правами доступа к принадлежащим им ресурсам в режиме онлайн. Это особенно актуально в публичных сетях «издатель-подписчик».
Было произведено сравнение быстродействия предлагаемой модели изменения прав доступа с подходом, основанном на локальном файле, и без управления доступом вовсе. Эксперимент показал, что заметное ухудшение быстродействия наступает только при более чем ста сообщениях, отправленных последовательно за короткий промежуток времени (рис. 3). В эксперименте для предлагаемого метода использовалась система управления базами данных PostgreSQL для хранения прав доступа, что значительно повлияло на результаты из-за частых операций чтения/записи в базу данных при очень больших количествах сообщений.
1400
0 100 200 300 400 500 600 700 800 9001000 Номер сообщения
Управление доступом отсутствует
Управление доступом через локальный А^ файл
Управление доступом через БД по предлагаемой модели: сообщения без сведений об изменении прав доступа
Управление доступом через БД по предлагаемой модели: сообщения с дополнительным заголовком, имеющим сведения об изменении прав доступа
Рисунок 3. Сравнение быстродействия методов управления доступом.
Предлагаемый подход предполагает формирование дополнительного заголовка с минимальным его размером, вычисляемым по формуле:
5 = 2 + 5 п; (1)
где п - количество пользователей, которым предоставляются права.
Таким образом, модель управления доступом, разработанная в ходе исследования, для ИВ с передачей данных по модели «издатель-подписчик» обеспечивает более высокий уровень безопасности, чем другие подходы, за счет предоставления возможности управления правами доступа самим владельцам информации без использования сторонних каналов связи.
В третьей главе обсуждается вопрос о безопасной аутентификации оконечных устройств. Наиболее широко используемые методы аутентификации, используемые в ИВ, основаны на протоколе ТЬБ или БЛБЬ. Основным недостатком ТЬБ протокола являются вычислительные затраты при аутентификации и генерации общего сессионного ключа. Подлинность устройств сети и шлюза подтверждается сертификатами безопасности. Это приводит к
необходимости хранения сертификатов на стороне устройства и поддержания инфраструктуры удостоверяющего центра. Так, актуальной становится задача разработки безопасного и легкого, с точки зрения вычислений, алгоритма аутентификации, независящего от третьей стороны для ИВ. В качестве решения данной задачи предложен алгоритм, основанный на принципе «Zero knowledge». Надежность этого алгоритма заключается в неразрешимости проблемы дискретного логарифмирования с модулем большого числа за приемлемое время.
Процесс регистрации. На стороне устройства вычисляется хэш-значение от пароля:
X = Н (password); (2)
Затем одиножды для пароля вычисляется значение Y:
Y = дх modp; (3)
где g, p большие простые числа, известные всем участникам информационного обмена. Значение Y передается на шлюз вместе с именем учетной записи и идентификатором устройства.
Следующий шаг - это вычисление значения токена F на стороне шлюза:
F = H(H(login\\cl_id) ® PSK) ; (4)
где login- имя пользователя, clid - идентификатор устройства, PSK -секретный пароль шлюза. Значение F отправляется устройству, значение Y сохраняется на шлюзе.
Процесс аутентификации. Генерируется большое случайное число R и вычисляются значения T и K:
Т = gR modp; (5)
К = F®H(T); (6)
где K - сессионный ключ, используемый для последующего симметричного шифрования данных.
Вычисляется значение C по формуле:
С = H(Y\\T\\cl_i d\ \ log i n\\timestampi\\K); (7)
где timestampi - временная метка сообщения. Использование этой метки позволит избежать атаки повторного сообщения. Заключительная часть алгоритма состоит в вычислении значения Z:
Z = R-CX; (8)
Для подтверждения подлинности устройство отправляет на шлюз следующие данные: C, Z, timestampi, login, cl id.
Проверка подлинности. На стороне шлюза вычисляется значение V:
V = Ycgzmodp; (9)
Вычисляется общий сессионный ключ K:
К = H(V) 0 H(H(login\\cl _ id) 0 PSK) = H(V) 0 F; (10)
Исходя из уравнений (6) и (10), равенство сессионных ключей будет достигаться только при условии H(7)=H(V). Это равенство доказывается следующим образом:
V = Ycgz = gxcg(R-cx) = gR = Т; (11)
Затем для проверки всей совокупности данных вычисляется значение W:
W = H(Y\\V\\cl_id\\log in\\timestampi\\K); (12)
Подлинность устройства будет подтверждена, если будут соблюдаться условия:
( W = С ;
[timestampi > timestampi-1; ( )
Повысить защищенность коммуникации можно путем добавления к полезной нагрузке сообщения публикации имени пользователя со случайным набором символов или другой идентифицирующей информации. При проверке
очередного сообщения на шлюзе, можно будет убедиться, что сессионный ключ на шлюзе и на устройстве одинаков, и данные не подменены. Добавление случайной последовательности символов позволит генерировать при одной и той же полезной нагрузке различные выходные сообщения после криптографических преобразований с помощью симметричных алгоритмов шифрования.
Было произведено сравнение быстродействия между протоколом TLS и предлагаемым алгоритмом. Результаты эксперимента (рис. 4) показали, что алгоритм, разработанный на принципе «Zero-knowledge» выполняется за меньшее время и требует меньше вычислительных затрат. В то же время стойкость алгоритма подтверждается неразрешенностью проблемы дискретного логарифмирования. Предлагаемый алгоритм предусматривает защиту от атак вида «человек посередине» и атак повтора сообщений. Помимо имени пользователя сети в алгоритме предусмотрена возможность использования идентификатора устройства для защиты от атаки подмены устройства.
Л
н о о к н о п С
к «
я £ а Б
" о
к
л Ь ^ S с ft & и
а
1
0.8 0.6 0.4 0.2 0
Сравнение времени подключения
/ 1Л I I 1 1 i 1
/ Л » / м » ¿-'AL
_ Незащищенный канал - Канал с TLS протоколом
■ • Канал с предлагаемым алгоритмом
■ Канал с предлагаемым алгоритмом и TLS протоколом
А
f\
__
0 50 100 150 200 250 300 350 400 450 500 550 600 Время подключения к шлюзу, мс
Рисунок 4. Сравнение быстродействия методов аутентификации устройств.
В четвертой главе произведен анализ устойчивости сети «издатель-подписчик» к атакам вида «отказ в обслуживании», организованной на прикладном уровне модели 081. Объектом этой части исследования являлся шлюз. Были определены условия, при которых злоумышленнику потребуется меньше ресурсов для вызова отказа в обслуживании. В отличие от работ других исследовательских групп, где в качестве источника атаки на отказ в обслуживании рассматривались
сообщения публикации, были проверены и другие наиболее часто используемые в модели «издатель-подписчик» виды сообщений: подписка на тему и подключение к шлюзу. Было установлено, что шлюз не способен справиться с нагрузкой в виде как частых сообщений подписки на тему, так и частых сообщений подключения к шлюзу. Для сообщений подключения к шлюзу ключевое значение имеет использование протокола ТЬБ для организации защищенного соединения. Во время проведения атаки соединение для легального устройства могло не устанавливаться либо занимать гораздо большее время (более 3х секунд), как представлено на рисунке 5. При атаке, производимой с помощью сообщений подписки на тему, было замечено общее снижение производительности шлюза. Результативность атаки на отказ в обслуживании при использовании сообщений публикации зависит от количества подписчиков.
Рисунок 5. Моделирование атаки на отказ в обслуживании, вызванной сообщениями на подключение к шлюзу, где а) трафик моделируемой атаки без использования ТЬБ протокола для сообщений подключения к шлюзу; б) результат воздействия атаки на обработку последовательных запросов на подключение от других устройств; в) и г) аналогично при использовании ТЬБ протокола.
Результаты анализа того, как тот или иной вид сообщений влияет на нагрузку шлюза и на его возможность выполнять функции, были использованы для построения алгоритма защиты, основанного на методах машинного обучения, (рисунок 6).
Рисунок 6. Алгоритм детектирования атаки на отказ в обслуживании в сетях
«издатель-подписчик».
В состав средства детектирования на предлагаемом алгоритме также входят модули сбора и хранения данных о трафике, модули генерации вектора признаков, обучения классификаторов, классификаторы и др. В зависимости от вида сообщения оно поступает на вход соответствующего числа классификаторов: для сообщений авторизованных устройств на три классификатора, для неавторизованных - на один классификатор.
В качестве классификаторов были рассмотрены следующие алгоритмы:
• искусственная нейронная сеть (МЬР);
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Отказ в обслуживании мультисервисных сетей по протоколу НТТР: анализ и регулирование рисков2015 год, кандидат наук Бурса, Максим Васильевич
Метод повышения защищённости от угроз нарушения маршрутизации в общеканальной сигнализации сети связи общего пользования2012 год, кандидат технических наук Даннави Мохамад Насреддин
Модель и методика обнаружения низкоинтенсивных распределенных атак типа «отказ в обслуживании» в информационно-телекоммуникационных системах2021 год, кандидат наук Тарасов Ярослав Викторович
Модели и методы обнаружения аномального трафика сетей интернета вещей2022 год, кандидат наук Богданов Павел Юрьевич
Групповая аутентификация и криптографический контроль доступа в системах с иерархической структурой на основе изогений эллиптических кривых2023 год, кандидат наук Ярмак Анастасия Викторовна
Список литературы диссертационного исследования кандидат наук Дикий Дмитрий Игоревич, 2021 год
Литература
1. Эванс Д. Интернет вещей. Как изменится вся наша жизнь на очередном витке развития Всемирной сети. Cisco IBSG, 2011. 14 с.
2. Соколов М.Н., Смолянин о ва К. А., Якушева Н.А. Проблемы безопасности Интернет вещей: обзор // Вопросы кибербезопас-ности. 2015. № 5(13). С. 32-35.
3. Гришенцев А.Ю., Коробейников А.Г. Проектирование и технологическая подготовка сетей станций вертикального зондирования ионосферы /У Научно-технический вестник информационных технологий, механики и оптики. 2013. Т. 13. № 3(85). С. 61-66.
4. Гришенцев А.Ю., Коробейников А.Г. Средства интероперабель-ности в распределенных геоинформационных системах // Журнал радиоэлектроники. 2015. № 3. С. 19.
5. Kliarsky A. Detecting Attacks Against The "Internet of Things". SANS Institute Information Security Reading Room, 2017. 36 p.
6. Albalawi U., Joshi S. Secure and trusted telemedicine in Internet of Things IoT // Proc. ^ ШЕЕ World Fomm on Internet of Things (WF-IoT). 2018. P. 30-34. doi: 10.1109/WF-IoT.2018.8355206
7. Wazid M., Das A.K., Khan M.K., Al-Ghaiheb A.A.-D., Kumar N., Vasilakos A.V. Secure authentication scheme for medicine anti-counterfeiting system in IoT environment // IEEE Internet of Things Journal. 2017. V. 4. N 5. P. 1634-1646. doi: 10.1109/ШТ.2017.2706752
8. Коновалова С.В., Миронов АН. Вопросы информационной безопасности интернета вещей // ИТ-СТАНДАРТ. 2016. № 4(9). С. 37-39.
9. Liang L., Zheng К., Sheng Q., Huang X. A Denial of service attack method for an IoT system // Proc. 8"1 International Conference on Information Technology in Medicine and Education (ITME 2016). 2016. P. 360-364. doi: 10.1109ЛТМЕ.2016.0087
10. Chen Q., Chen H., Cai Y., Zhang Y., Huang X. Denial of service attack on IoT system // Proc. 9*11 International Conference on Information Technology in Medicine and Education (ITME 2018). 2018. P. 755-758. doi: 10.1109ЛТМЕ.2018.00171
11. Fuchs P. DoS Detection in NodeRED. Bachelor Thesis University of Passau, 2015. 81 p.
12. McDeimott C., Majdani F., Petrovski A.V. Botnet detection in the Internet of Things using deep learning approaches // Proc. of the International Joint Conference on Neural Networks (IJCNN 2018). 2018. P. 8489489. doi: 10.1109/UCNN.2018.8489489
13. Moustafa N., Tumbull В., С ho о K-K.R. An ensemble intrusion detection technique based on proposed statistical flow features for protecting network traffic of Internet of Things // IEEE Internet of Things Journal. 2019. V. 6. N 3. P. 4815-4830. doi: 10.1109/ JIOT.2018.2871719
14. Abdul-Ghani H.A., Konstantas D., Mahyoub M. A Comprehensive IoT attacks survey based on a building-blocked reference model // International Journal of Advanced Computer Science and Applications. 2018. V. 9. N3. P. 355-373. doi: 10.14569/IJACSA.2018.090349
15. Andy S., Rahardjo В., Hanindhito B. Attack scenarios and security analysis of MQTT communication protocol in IoT system // Proc. 4*^ International Conference on Electrical Engineering, Computer Science and Informatics (EECSI). 2017. P. 600-604. doi: 10.11591/eecsi.4.1064
16. Дикий Д.П., Артемьева В.Д. Протокол передачи данных MQTT в модели удаленного управления правами доступа для сетей Интернета // Научно-технический вестник информационных технологий, механики и оптики. 2019. Т. 19. № 1.С. 109—117. doi: 10.17586/2226-1494-2019-19-1-109-117
17. Perrone G., Vecchio M., Pecori R., Giaflreda R. The day after mirai: a survey on MQTT security solutions after the largest cyber-attack carried out through an army of IoT devices // Proc. 2ni* International Conference on Internet of Things, Big Data and Security (IoTBDS 2017). 2017. P. 246-253. doi: 10.5220/0006287302460253
References
1. Evans D. The Internet of Things How ¿he Next Evolution of the Internet Is Changing Everything. Cisco IBSG, 2011, 14 p.
2. Sokolov M., Smolyaninova Ch., Yakusheva N. Security problems Internet of Things: Survey. Voprosy kiberbezopasnosti, 2015, no. 5(13), pp. 32-35. (in Russian)
3. Grishentcev A., Korobeynikov A. Design and engineering b ackground for station networks of vertical ionosphere sounding. Scientific and Te chn ic a I Journ al of Inform ation Techno logies, Me chanics and Optics, 2013, vol. 13, no. 3(85), pp. 61-66. (in Russian)
4. Grishentcev A., Korobeynikov A. Interoperability facilities in distributed geographic information systems. ZhurnalRadioelektroniM,
2015, no. 3, pp. 19. (in Russian)
5. Kliarsky A. Detecting Attacks Against The "Internet of Things". SANS Institute Information Security Reading Room, 2017, 36 p.
6. Albalawi U., Joshi S. Secure and trusted telemedicine in Internet of Things IoT. Proc. 4th IEEE World Forum on Internet of Things (WF-loT), 2018, pp. 30-34. doi: 10.1109/WF-IoT.2018.8355206
7. Wazid M., Das A.K., Khan M.K., Al-Ghaiheb A.A.-D., Kumar N., Vasilakos A.V. Secure authentication scheme for medicine anti-counterfeiting system in IoT environment. IEEE Internet of Things Journal, 2017, vol.4, no. 5, pp. 1634-1646. doi: 10.11 Q9/JIOT.2017.2706752
8. Konovalova S.V., Mironov A.N. Questions of the information security of the Internet of Things. IT-STANDARD, 2016, no. 4(9), pp. 37-39. (in Russian)
9. Liang L., Zheng K., Sheng Q., Huang X. A Denial of service attack method for an IoT system. Proc. 8 International Conference on Information Technology in Medicine and Education (ITME 2016),
2016, pp. 360-364. doi: 10.1109/ITME.2016.0087
10. Chen Q., Chen H., Cai Y., Zhang Y., Huang X. Denial of service attack on IoT system. Proc. 9th International Conference on Information Technology in Medicine and Education (ITME 2018), 2018, pp. 755-758. doi: 10.1109/ITME.2018.00171
11. Fuchs P. DoS Detection in NodeRED. Bachelor Thesis University of Passau, 2015, 81 p.
12. McDermott C., Majdani F., Petrovski A.V. Botnet detection in the Internet of Things using deep learning approaches. Proc. of the International Joint Conference on Neural Networks (IJCNN 2018), 2018, pp. 8489489. doi: 10.1109/HCNN.2018.8489489
13. Moustafa N., Tumbull B., Choo K-K.R. An ensemble intrusion detection technique based on proposed statistical flow features for protecting network traffic of Internet of Things. IEEE Internet of Things Journal, 2019, vol. 6, no. 3, pp. 4815-4830. doi: 10.1109/ JIOT.2018.2871719
14. Abdul-Ghani H.A., Konstantas D., Mahyoub M. A Comprehensive IoT attacks survey based on a building-blocked reference model. International Journal of Advanced Computer Science and Applications, 2018, vol. 9, no. 3, pp. 355-373. doi: 10.145 69/UACSA.2018.090349
15. Andy S., Rahardjo B., Hanindhito B. Attack scenarios and security analysis of MQTT communication protocol in IoT system. Proc. 4lil International Conference on Electrical Engineering, Computer Science and Informatics (EECSI), 2017, pp. 600-604. doi: 10.11591/eecsi.4.1064
16. Dikii D.I., Artemeva V.D. MQTT data protocol in remote access control management model for Internet networks. Scientific and Te chn ic a I Journ al of Inform ation Techno logies, Me chanics and Optics, 2019, vol. 19, no. 1, pp. 109-117. (in Russian), doi: 10.17586/2226-1494-2019-19-1-109-117
17. Perrone G., Vecchio M., Pecori R., Giaffreda R. The day after mirai: a survey on MQTT security solutions after the largest cyber-attack carried out through an army of IoT devices. Proc. 2nd International
Cbifcu В , Bica Г„ Pntriehi V. Mitigating LtoS attacks ш publish-iubscribe ToT networks ь Proc. 9tb Tnternartonal Conference or. Electronics, Completers and Artificial InJcliigcncc fECAI 201 2017 Г 1 -fi. doi: 10 1109iFCA IJ2017.3166463 Meidan Y.. liohadaua M„ Malliov Y. Mirsfcy Y„ Shabtai A., Breitenhacher D., Flovici Y N-Ba IoT "Netwoтк-Ыие-d deiecti on. n f IoT botuet attacks using deep auloeucoders ■// IBEii Pervasive Computing- 2018 V 17 N3. Г 12 22 doi 10,1109/MPRV,2(I1$.03367731
ICoronIon's N., Monstafa NJ., Sitnikova Г., Tumbull В Towards the development of realistic bomei datasel in the Internet of Things For network forensic analytics: Rot Л о T datiset Future Generation Computer Systems. 2019. V. 100, P. 779-796. dot: 10.101 G/j.futurclO 19.05.041
Фам В.Д., Юлшиеыа ЛХХ, Кирпчек PJ3. Исследование протоколов взаимодействия интернета веигей па базе лабораторного стенда U Информационные технологии и телекоммуникации.
2016.Т,4.Л* КС, 55-67-
Kim J.Y., llobf R . 11 u W„ Jlia S. Automated analysis of secure tend of Things protocols H Proc, 33fl1 Animal Computer Security Applications Conference (ACSAC 20171. 2017. p. 23 E-249. doi; 10.1145/3134600.3134624
Допгушев Г Л., Кирпчек PR. Kyqepiroufi A.F. Обтор возможных видови методов тестирования Интернет вещей // Информационные технологии н телешммуннч-ашш. 201 б. Т. 4. -N« 2. С. 1 II. Fehrenbach P. Messaging Queues til the IoT under pressure f! Computational Science and Its Applications, ICCSA. 2018. P. 1 -9 Ilandosa M. CnaOarun P.. Performance evaluation ofMQTT-bascd internet of things systems Proc. 2017 Winter Simulation Conference (VY5C 20 i 7) .2017, F. 4544-45*15. «loi: 10.110Ш SC.2017,6248196 Firdous S-K.T Baig 7., ValU C.t Ibrahim A Modelling and evaluation of malicious attacks against the IoT MQTT protocol'/ Proc. IUlh 1ТЩГ International Conference on Tntemei of Things, ¡Things 2017, 13,h LEitJi international Conference on Green Computing and Communications, Green Com 2G!?T 10lh FFBF, International Conference on Cyber. Physical and Social Computing, CPSCoui 20 J 7 and Lhe [TIFF international Conference on Smart Data, Smart Data.
2017. P. 74 S- 755. doi; 10.1 i 09/ iThuigs-GreeuCoJii-CPSCorn -SmaffData2(jril5
Шо С,, Guan X., Shent1 QZheng K., Huang X, A Tool for DeniaL of Service Attack Testing in IoT A' Pioc. 8,h International Conference oil Information FschnoLogy in Medicine and Ii(hication (ITMLi. 2016, P 1-6,
Conference on Internet of Things, Biz Data mid Security ihWDS 20Г), 2(117, pp. 246 25* doi- 10.522ii/OOOrt2Sf302460253
18 Chifor В.. Bica l„ Patnciu Y. Mitigating DoS attacks m puoltsh-snhscrihe IoT networks. Prat. 9ifl Tnwnwiandl Соп/егеле? on Eleuronks, Computers ¡vid Artificial Intelligence (ECAI2U17К 2017. pp. 1 6. dni 10J I (ЭДСЛ 17 S1664 63
19. Meidan Y., Bohadana M, Mathov Y.. Musky Y, Shabtai A., fireitenhacher D , Flovici Y. N-13aloT Network-based detection of IoT bo met attacks using deep auto encoders. ItTiT ¡'wasivii Computing, 2018T vol. 17, no. 3T pp. 12 22. doi1 10.1109/MPRV201S .03367731
20. Koroniolis N., Moustafa N.r Sitnikova F., Tumbnll h. Towards the development of realistic botnei datasel in the Intermit oi Things for network forensic analytics: Bot-loT datasel. Futiife G&periiCtAri Co/npvter System*. 2019, vol.100, pp, 779-796, doi; 10 1016/j future 2019 05.041
21. Pliam V,. Yukhieva L . Ktrichek K. Reaearch oi Protocols ol iivieraction of the Internet of Tilings on the basis of the laboratory bench, 7l'/c5lc/w П\ 2016. vol, 4, no. 1, pp. 55-67, (in Russian)
22. Kim F Y. Holz R.. EIu W.. Jha S. Automated analysis of secure internet of Things protocols. Proc. ЗУ'' Anmtiii Cuvtpiiftv S&wit}' Applications Conference. tACSAC H017), 2017, pp. 23S-249. doi: 10.1145/3134 rtOu, 3134624
23. Do IgushfcV R.. Ktricliek R, Krochciyav>- A. Ais overview of possible tesling types and methods for the Internet of Things. Telecom П\ 2016, vol, 4t no. 2, pp. I—II. (in Russian)
1A. Fehrer.bach P. Messaging Queues in the IoT under pressure Computational Science сmd It* Applications. ICCSA. 2018, pp. 1-9,
25. Ilandosa M., Cracar.in D., Performance evaluation ofMQTT-hased internet ol things sys tems. Proc. 2017 Winter Simulation Conference < WSC 2017), 2017, pp. 45^4 -4545 doi: 10.1109/W5C-2017.R24S1
26, ftrdous Baig Z., VaUi C., Ibrahim A. Modelling and evaluation of malicious attacks against the IoT MQTT protocol. Proi If^iEEF international Canjerence on Internet oj Things, ¡Things 2017, I3'h 71'EF- Jntfrnational Canfw.ncj on Green Co три ring and Communications, UreenCum 2017, lu,k ШЕЕ International Conftivrn,-,- on Cyha; Physical and Soc ial Computing CPSCam 2017 and thti 3rd ШЕЕ int^rnutionai Conference on Smart Data, Smart Ihita. 2017. pp. *T4&-755. doir l0.ll09/iTliings-GiecnCom-CPSCom-SiuartL>ala2017,l 15
27 Bao C.. Guar. X., Sheng Q.. Zheng EL, Huang X. ATool for Denial of Service Attack resting m IoT. Frac 3th international Conf'eiencn on Ttij'ormtifton Technology in Medicine and jEducation (TTMEj, 2ol6. PP' 1-6«
Авторы
Дикий Дм it i рни Hi uptiiifi — acroipaHt; Ушшерщпп' ГГШО, Camci -Петербург. 19710J. Российская Федерация, Scopus Ш: 56998707400, РКСШ U)-1 ОИиО-глл»2-ЗЯ19-Х423, dimandikiyiaimail.ru
Authors
Dmitry L Dikii — Poslgradtm tu, ITMO University, Sain I Petersburg, 19710J, Russian Federation, Scopus ID 56998^07400, ORCID ID, Ci0004JOfJ2-KKl9-it423t dimandikiyi:5>mail ,ru
SERBIAN JOURNAL OF ELECTRICAL ENGINEERING Vol. 17, No. 3, October 2020, 389-403
UDC: 004.056.5:004.738.5 DOI: https://doi.org/10.2298/SJEE2003389D
Authentication Algorithm for Internet of Things Networks Based on MQTT Protocol
Dmitrii Diliii1
Abstract; The authentication algorithm for machine-to-machine communication devices via the MQTT Protocol is considered, which allows verifying the device legality without sending the password. The algorithm protects the Internet of things network from unauthorized access, ensures confidentiality by generating a common session key, and provides protection against attacks of the "man in the middle" and others. The obtained experiment results showed noticeable performance improvement compared to the TLS Protocol. The cryptographic strength of the proposed algorithm is based on the discrete logarithm problem. The main advantage of the algorithm is the ability to authenticate in one request-response cycle.
Keywords: Authentication, MQTT, Zero-knowledge, Key management, Internet of things.
1 Introduction
Industry 4.0 development and the implementation of cyber physical systems into people's daily lives have raised the question of implemented technology security. One of the most popular solutions in automation is the implementation of the Internet of Things (IoT). It includes such concepts as Smart House and Smart City [1]. The main difference of the equipment used in the IoT from the common one is that it is capable of making decisions based on the input data and the communications linkage via the Internet, although it has limitations in computational performance and energy storage of the independent power supply source. These aspects impose multiple limitations. Various light-weighted communication protocols are being developed to solve the problem of economic data transmission between multiple devices. For example, the CoAP (Constrained Application Protocol) algorithm [2], the architecture of which resembles that of the HTTP (HyperText Transfer Protocol), and MQTT (Message Queue Telemetry Transport) protocol that employs the publish-subscribe model [3] were presented in 2013. XMPP (Extensible Messaging and Presence Protocol) [4] and DDS (Data Distribution Service) [5] protocols were
'Faculty of Secure Information Technologies, Saint-Petersburg National Research University of Information Technologies, Mechanics and Optics, 197101, St. Petersburg, Russia; E-mail: dimandikiy@mail.ru
D.I. Dikii
presented as well. Those protocols operate on the protocol suite TCP/IP. Another course of the IoT development is creation of lower level protocols of the OSI model. The most well-known is the suite of the protocols ZigBee and LoRaWAN [1, 6]. The information security in the mentioned protocols differs in its organization. The mechanism, present in each protocol, is the integrity control in the form of the CRC (Cyclic Redundancy Code) protocol. The symmetrical e-d algorithm AES-128 bit (Advanced Encryption Standard) [7-9] performs confidentiality control. Protocols of higher levels provide asymmetrically and symmetrically transmitted data encryption, user authentication for information exchange, and integration control [10]. Generally, security functions require additional computational and energy costs. They also demand a setup of higher requirements for non-volatile energy-dependent memory of the execution units. This paper suggests an algorithm that enables to authenticate devices for M2M (Machine to Machine) connectivity without transmitting key information via exposed paths. Moreover, it enables to generate a session key for further symmetrical encryption of data blocks. The given protocol is completely compatible with MQTT, one of the most widespread protocols of the IoT, which makes it possible to compare the suggested algorithm with the existing information security methods.
2 Related Work
According to the review presented in [11] the botnet network Mirai has challenged the world society in the context of cyberattacks, when devices gained unauthorized access to other devices to execute a malicious code. The authors pointed out the main security mechanisms that must be employed to prevent such incidents. One of the most significant mechanisms is authentication. Thus, the development of authentication protocol adapted to the environment of the IoT is of current interest. The ITS (Transport Layer Security) protocol is often used over the MQTT protocol. Fremantle et al suggest employing the 0AUth2 protocol [12]. Another focus area in device authentication is the development of algorithms based on the zero-knowledge algorithm, presented by Fiat and Shamir [13]. In [14] the authors suggest an algorithm for M2M authentication where a device graph with a table of MAC (Media access control) addresses is created as a key field. The generation of the session key is based on the Diffie Hellman algorithm. This algorithm is suitable for an all-to-all network architecture. A multi-graph zero-knowledge-based authentication system in the IoT is suggested in [15]. This method is based on graph construction, which requires an enormous amount of message exchange rounds between devices [16] Singh et al [17] present a different approach to authentication based on asymmetric encryption on elliptic curves. However, the calculations based on this approach are labour and resource intensive. Mruntasukrat et al suggest separate seivers for authentication and authorization
[18], which is not always possible. Han et al present a light-weigh ted authentication protocol of the IoT based on the symmetric block-encryption algorithm [19]. Such an algorithm is more suitable for "point-to-point" authentication. Bhawiyuga et al [20] suggest a method based on security tokens with the invocation of authorization and authentication.
In the article [21] authors propose to use password authentication scheme for M2M communication on the application level. It is based on one-way hash functions, XOR (Exclusive or) operations and a symmetric encryption algorithm The authentication procedure consists of two request-response cycles. The private keys for encryption should be preinstalled.
A blind signature is observed as a method of authentication for the IoT networks in [22]. The authentication scheme includes an additional storage server that contains signatures. To authenticate through that method four request-response cycles should be done: two between the gateway and the device and two between the device and the trusted storage server.
The authentication algorithm presented by Abdulrahman et al uses only symmetric encryption and hash functions without third parties. However, the secret keys for encryption should be pre-installed on the device side and the gateway side. This key must be unique and stored in a nonvolatile memory storage. The authentication procedure consists of four messages or two request-response cycles [23].
A lightweight algorithm for M2M authentication was presented by Esfahani et al. II uses only hash functions and XOR operations. To authenticate the device and the gateway between each other they transmit only three messages. But this scheme involves an authority center [24].
Due to the fact that M2M communication is widespread, the question of secure and lightweight authentication is becoming relevant presently. The authentication procedure is easier to implement at the application layer of the OSI model. The previously discussed methods allow authentication without the use of asymmetric encryption algorithms and the involvement of third partiesr certification authorities, etc. However, they all need two and more stages of request-response cycles, which cannot always be implemented within the existing application protocols, such as MQTT. This protocol provides a one-cycle request-response authentication password scheme using CONNECT and CONNACK messages.
The purpose of this article is to present the developed secure authentication scheme for M2M communication, that may be integrated into MQTT networks and be compatible with it (have one request-response authentication cycle).
The given algorithm must be able to generate a common session key for further usage in symmetrical block and stream encryption. Its main difference
D.I. Dikii
from the mentioned algorithms is that it is able to authenticate in a single request-response cycle. This allows it to use authentication through the MQTT protocol and makes it less energy costly. Moreover, the algorithm must be compatible with the existing systems without disturbing their functionality.
3 Algorithm
The MQTT protocol has a "publish-subscribe" architecture model that consists of two main components. The first one is the end-point devices, which perform the communication traffic. The second component is the gateway. Its function is the logistics of input and output messages. Thus, the messages, delivered to the gateway, are redirected to the intended device or devices. The given algorithm is convenient for multicasting. For example, the publisher device generates one output message for n subscribers. Then, each generated message is marked with a Topic. In order to receive a message with any given topic the subscriber or receiver device subscribes to the topic.
Two mechanisms provide security in the given protocol One is authentication by username and password, the other is access control by the ACL (Access control list) file or database. The password and username are transferred explicitly in the body of the CONNECT message (the MQTT protocol supports 16 types of messages [3]). If the authentication is passed, the gateway replies with the message CONNACK correspondingly.
As presented in [1, 11, 12, 25, 26], it is suggested to employ the TLS protocol to provide secure authentication between devices and the gateway. This protocol has two stages. The first is the generation of a common session key based on certificates of the X509 format via Diffie-Hellman protocol (DH -Diffie-Hellman [27] or ECDH Elliptic curve Diffie-Hellman [28]). The second is the employment of the symmetric or asymmetric encryption algorithm, e.g. AES, RSA (Rivest-Shamir-Adleman), ChaCha20 and a hash-function, e.g. SHA256 (Secure Hash Algorithm) [29]. This approach has several disadvantages. Firstly, the chain includes a third party - certification authority, which can verify the authenticity of the issued certificates for the devices and the gateway. Secondly, the devices must store their certificates, private keys and the gateway's certificate on a non-volatile storage. Thirdly, the cypher suites employed in the gateway must be compatible with the devices. If they are not compatible, it is impossible to create a secure data transmission link. The most important advantage of the given method is full link encryption. In order to connect via TLS protocol, the device must contact the gateway by the latter address, but with a different port number. For example, for an unsecured connection the address would be «tcp://127,0.0.1:1883», whereas for a connection via TLS protocol it would be «ssl://127.0.0.1:8883», Thus, a secure connection is made via TLS protocol. After that, authentication on the gateway
is done against the username and password. To be noted, the employment of an asymmetric encryption is more calculation costly. Consequently, the developers try to minimize the asymmetrical encryption in the IoT.
The suggested algoritlim is based on zero-knowledge protocols the Schnorr algoritlim [16] and the algorithm presented in [30]. Zero-knowledge algorithm was originally presented in the end of the 20th century. The main goal of this algorithm for the server (gateway) is to make certain that the client (device) knows the password without directly transmitting it. The difficulty of employing those protocols through MQTT protocol is caused by the fact that only a single request-response cycle is used to authenticate on the gateway side.
3.1 Registration
Abbreviations from Table 1 will be used further in the text.
Table 1
Notations.
Symbol Description
password A secret user's password as a combination of symbols
login Unique identity of user
PSK Private secret key of the gateway
g,P Public large numbers
cl id Device identity
HQ One-way hash function
II Concatenation operator
© XOR operator
mod Modulo operator
Symmetric encryption on key K
F A secret unique token for a device
R Random large number
timestamp, Timestamp of a message
salt A random set of symbols of a certain length
The end-point device has to perform the registration procedure through a secure channel. The device should provide values login and cl id to the gateway. Then the gateway calculates token F:
F = H(H(login 11 cl_id)WPSK), (1)
where the variable PSK is a gateway's secret private key. The gateway sends to the device F, g, p. Parameters p and g are public and accessible to all. Generally, p is a large prime number, g is less than p. Parameter p should be at least 512 bits. It is necessary for number q to exists, which is the multiplier of a number p-1. Parameter g has to meet the condition ¿f=l mod p. Those conditions make the algoritlim cryptographically strong [31].
Device Gateway
Fig. 2 — Authentication procedure of the suggested algorithm.
In the next step, the connection time must be registered in milliseconds as a variable time stamp-,. This variable is required to avoid re authentication by the same CONNECT message. The gateway will later check the timestamp, device identifier and username. If the timestamp is outdated (the message with the same content was received earlier), the end-point device will be denied in authentication. The next step is to calculate variable C, which is the hash value of parameters Y, T, client identifier cl_id, timestampt and session key K\
C = H(Y || T || cl _ id || log in 11 timestamp, || /-,".). (6)
Number Z is then calculated:
Z = R-CX . (7)
The end-point device sends a CONNECT message with the login value into the usemame field and values C, Z, timestamp, into the password field. The data about the client identifier is always sent in the variable header of the CONNECT message of the MQTT protocol, thus there is no necessity in information repeating, but the presence of the hash value C conclusively verifies the message with the end-point device. This is necessary to secure from message spoofing.
DJ. Dikii
The gateway that received the CONNECT message, finds the user by username in the database. Then it uses the stored variable Y to calculate variable V by:
V = YcgzmoAp (g)
After calculating value V, the gateway can generate a session key on its side using the equation:
K=H{V)®H(H(\ogin\\ cl _id)®PSK) = H{V)®F. (9)
The next step is to calculate value IV, according to the equation:
W = H(Y \\V 11 cl _ id 11 log in 11 timestamp, | K.) = C . (10)
To prove the legality of the end-point device on the gateway value C of the CONNECT message is compared with the calculated value W. It also verifies whether the timestamp is outdated or not. If the timestamp is up-to-date, it is registered. To prove the validity of cryptographic transformations values Y and Z are put into (8), which results in:
V = (11)
Parentheses removed, one gets V=gR mod p, which represents variable T from the device-side. Thus, the gateway using equation (10) can calculate hash value C, consisting of 7, T. timestamp„ cl id and K.
To insure that the gateway communicates with an authenticated device and checks the equality of variables C and W, which consist of the login, d_id, timestampi, transformed PSK and password values.
On the other side, the end-point device must identify the gateway. It can be accomplished by sending a message from the gateway to device. But a CONNACK message of the MQTT protocol does not have any field to input additional data. I he CONNACK message has limited size fields in the fixed and variable headers, each of them is no more than a few bits. The payload field is missing. Thus, this type of message is incompatible as a data transmitter.
The method of ga teway approval on the device side is presented below. The additional header is attached to the first message from the gateway to the device that contains a payload field. At the beginning of it, a username is included with the addition of a random symbol pattern of a certain length (salt) encrypted on the common session key. The length of the random pattern must be prearranged. For example, in the algorithm employment, the following method was used: as long as the division excess of the Username length by eight is not equal to zero, a random symbol is to be added at the usemame's end. If the length of the username is a factor of eight symbols, then eight random symbols are to be added at its end. This will enable to get varieties of encrypted texts in case of a block encryption on a single username and common session key. Setting the
username at the beginning will allow the device to become certain that the gateway actually has the common session key. If the username is not found at the beginning of the message during decryption, the message will not be processed further. To make integrity control of the message we can add a hash value of the message in the same manner.
The example of the first message payload format from the gateway to the end-point device:
M = Er(log in | salt 11 message) n _«
Cryptographic robustness of the transmitted messages depends on the robustness of the block and flow cypher algorithms.
The advantages of the developed algorithm are that the authentication takes place during one request-response cycle, there is no need for a third party, nor to store certificates on a nonvolatile storage, comparing to the TLS protocol. The disadvantage of the algorithm is the device configuration. Such system parameters as p. g and F must be known before the connection. The block/flow encryption algorithm has to be pre-arranged, because the usage of various cypher algorithms will lead to the malfunction of the proposed algorithm.
Such mechanisms, like setting the username with a random symbol pattern at the beginning of the message, and setting a timestamp, zero-knowledge authentication and message hash value adding, elimina te a lot of threats.
4 Attack Scenarios
1. Brute force. An adversary may try to guess the password. To avoid such a situation the legal user of the IoT network has to choose a secure password. It can be reachable by a password policy on the gateway side during the registration step. However, the adversary does not know the value of F, which depends on the secret key PSK of the gateway. Without value F, the session key cannot be properly generated and the computation of value C will not be valid which will be checked on the gateway side. Thus, the adversary has to guess both: the password and value F.
2. Replay attack. The adversary may intercept a CONNECT massage transmitted from the device to the gateway and resend it later to authenticate himself. At first, the timestamps will be checked on the gateway side. Even if the adversary will change the timestamp value, value C should be changed too But the adversary does not have enough information, such as A', F to generate value C properly. In addition, every new session will have a new session key because value R is randomized for every new connection.
D.L Dikii
3. Man-in-the-middle attack. To execute such an attack the adversary has to obtain the session key. As the session key is not transmitted on an unsecure channel, it must be generated. From this side the adversary does not know values Y or A' and F, and it is not transmitted over the channel. Thus, the suggested algorithm is resistant to that attack.
4. Device proof on the gateway side. The gateway can be certain of the device legality by checking the equality of values W and C by the zero-knowledge algorithm. It shows the identity of the pair password-login. On the other hand, value C contains the session key generated on value F. According to equation (9) if value W is equal to value C then the device used the same F for the session key generation that was generated from login, did and PSK on the gateway side.
5. Gateway proof on the device side. A CONNACK message of MQTT protocol is not possible to be modified due to protocol specification. If it is the adversary's gateway, it camiot get enough information from the CONNECT message to obtain the session key or authentication All the following information from the device will be encrypted and confidentiality will be kept. The first message with payload field from the gateway to the device must be modified by attaching the additional header (equation (12)). The device can check the gateway legality by decrypting the message and extracting an additional header. If there are any errors while decrypting or the additional header differs from expected ones that indicates failure of generating a session key on the gateway side.
6. Gateway database leak. If the adversary got access to the database on the gateway side, he can retrieve login and 7 pairs. Values A', F should not be stored in the database. The adversary cannot get value A'from Y due to the discrete logarithm problem. However, without X value it is impossible to be authenticated on this gateway according to equation (7). Furthermore, the adversary cannot obtain the session key because the PSK value is still unknown to him.
7. Modification attack. Almost all values that are transmitted through a CONNIE,CT message are protected by one-way hash function inside value C. Thus, if modifications were made on the message the equality of values C and W, as results of a hash function on the gateway side, will not be reached.
8. Impersonation attack. If another device will try to connect to the gateway, it must have login, d id, password and F values. The last depends on the PSK value of the gateway. Thus, the suggested algorithm is resistant to that attack.
5 The Suggested Algorithm and TLS Protocol Comparison
An experiment has been conducted in order to compare the proposed algorithm and the TLS protocol using the following method. The MQTT gateway software with an open source code has been modified [32] Microcomputer Raspberry Pi 3 model B was used as a gateway with the following specifications: CPU (Central processing unit) - ARM Cortex-A53, processor speed 1,2 GHz, RAM (Random-access memory) 1 GB. The costliest process i s the connection of the device to a gateway. Consequently, calculations were earned out concerning the time spent on the connection via:
- an insecure channel;
- a channel secured by the TLS protocol;
- a. channel secured by the suggested algonthm (numbers p, g, R are not less than 512 bits);
- a channel secured by both the TLS protocol arid the suggested algorithm simultaneously.
The experiment consisted of five thousand connections on each of the four above mentioned connection types. The results are depicted in Fig. 3.
Connection Time Comparison
o
,'->0.6
0,4
10.2
nsecured channel Channel with TLS protocol Channel with the suggested algorithm Ihaimel with the suggested algorithm and TLS protocol
V i i /1
h 11 11 i ■ • / / I \\
11 11 * i i /1 f ' \ * V
50
100 150 200 250 300 350 400 450 500 Device connection time to the gateway, his
550 600
Fig. 3 — The comparison of time spent on insecure/secure channel connection; the time step of x- axis - 20 ms.
The disadvantage of the proposed algorithm is the device synchronization over lime. The employment of a timestamp presumes that time on the device must be synchronized and cannot turn back. Moreover, the device must store the system parameters (two large prime values p and g) and F value in a constant
non-volatile storage. In addition, the proposed algorithm is cryptograph!cally strong only when prime p is large enough, not less than 512 bits. When transmitting messages, there data redundancy is small. The implemented mechanism into MQTT protocol may be adjusted to check data integrity like TLS protocol. Therefore, the proposed algorithm may raise the level of authentication security for IoT networks.
In the course of the experiment, the author got the statistical parameters of the end-point device connection time to the gateway. The data is presented in Table 2.
Table 2
The comparison of device connection time to the gateway using insecure/secure channels.
"-"-—Authentication Insecure channel TLS protocol Suggested algorithm Suggested algorithm and TLS protocol
Minimal time of connection, ms S 415 19 421
Maximal time of connection, ms 3015 3438 1978 4659
Me an time of connection, ms. 36.2 460.0 45.7 480.7
Mean square deviation 104.1 12.1.8 71.1 156.4
According to the experiment results, the authentication via an insecure channel is the fastest and it has the average mean square deviation. The implementation of the TLS protocol significantly slows the process of authentication. Thus, the average time of the client's connection to the gateway is 12 times slower and takes about half a second. The proposed algorithm has higher execution speed than the TLS protocol: the average time of connection relating to the insecure channel authentication is about one and a half times slower (60% of the connections take less than 50 ms), and ten times faster than through the TLS protocol. However, the proposed algorithm has lower dispersion and mean square deviation, which points to data scattering. The employment of both security mechanisms simultaneously during authentication gave the worst results.
The time of message delivery via secure and insecure channels was estimated in order to achieve the effect of adding a usemame with random patterns of symbols at the beginning of each message. The experiment showed that there is no obvious influence on the execution speed of message delivery from implementing additional data. The difference equals 1-2 ms.
Thus, the efficiency of the proposed authentication algorithm related to the IoT was illustrated, where the execution speed, energy saving and computation costs are key parameters.
Authentication Algorithm for Internet of Things Networks Based on MQTT Protocol 6 Conclusion
This paper presents an authentication algorithm of M2M communication based on the MQTT communication protocol, which enables to verify the authenticity of a device without directly transmitting the password. The most widespread method of data security on MQTT is the creation of a secure connection via the ITS protocol. The disadvantages of such method are the engagement of a third party (certification authority), the certificate storage in a non-volatile memory storage, the inevitable compatibility of cryptographic algorithm sets on the gateway and the end-point device, which provides for additional requirements for the hardware design The suggested algorithm has several advantages comparing to the TLS protocol, for example:
- No necessity to transmit the password from the device to the gateway; Generation of the common session key;
- No necessity to use and store security certificates in the X509 format;
-No dependence on third parties;
Faster device communication, which is proved by the experiment's results;
- Cryptographic robustness is provided due to the discrete logarithm insolvability within the reasonable amount of time, one-way hash functions andXOR operations;
- Security from the attacks by employing limestamps, additional data in the message payload to prove legality gateway and device for each other, discrete logarithm problem, one-way hash functions and XOR operations;
Full compatibility with the communication protocol MQTT;
- Generation of the common session key and authentication in a single request-response cycle;
- Guarantee of confidentiality by using the block cryptographic algorithm on different keys for each session.
The disadvantage of the proposed algorithm is the device synchronization over time. The employment of timestamps presumes that time on the device must be synchronized and cannot turn back. Moreover, the device must store the system parameters (two large prime values p and g) and the F, X, Y values in a constant non-volatile storage. In addition, the proposed algorithm is ciyptographically strong only when prime p is large enough. When transmitting messages, there is a small data redundancy. The implemented mechanism into MQTT protocol may be adjusted to check data integrity like the TLS protocol. Therefore, the proposed algorithm may raise the level of authentication security for IoT networks.
D.I. Dikïi
7 Acknowledgment
The reported study was funded by Russian Ministry of Science
(information security) №11/2020.
8 References
[1] A. Al-Fuqaha, M. Guizani, M. Mohammadi, M. Aledhari, M. Ayyash: Internet of Tilings: A Survey on Enabling Technologies, Protocols, and Applications, IEEE Communications Surveys & Tutorials, Vol. 17, No. 4, Fourthquarter2015, pp. 2347-2376.
[2] Z. Shelby, K- Hartke, C. Bormann: The Constrained Application Protocol (CoAP), Internet Engineering Task Force (IETF), Universitaet Bremen TZI, Germany, June 2014.
[3] R. J. Colin, R. J. Coppeil OASIS Standard Incorporating Approved Errata 01, MQTT Version 3.1.1, OASIS, 2014.
[4] P. Saint-Andre: Extensible Messaging and Presence Protocol (XMPP): Core, Internet Engineering Task Force (IETF), Cisco, March 2011.
[5] Data Distribution Service (DDS) vl .4 Specification, Object Management Group, April 2015.
[6] U. Raza, P. Kulkami, M. Sooriyabandara: Low Power Wide Area Networks: An Overview, IEEE Communications Surveys & Tutorials, Vol. 19, No. 2, Secondquarter 2017, pp. 855-873.
[7] C. Gomez, J. Paradells: Wireless Home Automation Networks: A Survey of Architectures and Technologies, IEEE Communications Magazine, Vol. 48, No. 6, June 2010, pp. 92 - 101
[8] S. Katsikeas, K. Fysarakis, A. Miaoudakis, A. Van Bemten, I. Askoxylakis, I. Papaefstathiou, A. Plemenos: Lightweight & Secure Industrial IoT Communications via the MQ Telemetry Transport Protocol, Proceedings of the 1БВЕ Symposium on Computers and Communications (ISCC), Heraklion, Greece, July 2017, pp. 1 - 8.
[9] J. GranjaL, E. Monteiro, J. Sa Silva: Security for the Internet of Things: A Survey of Existing Protocols and Open Research Issues, IEEE Communications Surveys & Tutorials, Vol. 17, No. 3, Hiirdquarter 2015, pp. 1294- 1312.
[10] A. H. Alhamedi, V. Snasel, H M. Aldosari, A. Abraham: Internet of Things Communication Reference Model, Proceedings of the 6* International Conference on Computational Aspects of Social Networks, Porto, Portugal, July 2014, pp. 61 - 66.
[11] G. Perrone, M. Vecchio, R. Pecori, R. Giaffreda: The Day After Mirai: A Survey on MQTT Security Solutions After the Largest Cyber-Attack Carried Out through an Army of IoT Devices, Proceedings of the 2nd International Conference on Internet of Things,. Big Data and Security, Porto, Portugal, April 2017, pp. 246 - 253.
[12] P. Fremantle, B. Aziz, J. Kopecky, P. Scott: Federated Identity and Access Management for the Internet of Things, Proceedings of the International Workshop on Secure Internet of Tilings, Wroclaw, Poland, September 2014, pp. 10 - 17.
[13] A. Fiat, A. Sliamir: How to Prove yourself: Practical Solutions to Identification and Signature Problems, Proceedings of the Advances in Cryptology - Crypto'86, Santa Barbara, California, USA, August 1987, pp. 186 - 194.
[14] M. Schukat, P. Flood: Zero-Knowledge Proofs in M2M Communication, Proceedings of the 25й1 JIT Irish Signals & Systems Conference 2014 and 2014 China-Ireland International Conference on Information and Communications Technologies (ISSC 2014/CIICT 2014), Limerick, Ireland, June 2014, pp. 1 - 5.
[15] I,- H. Chuang, В.- J. Guo, J.- S. Tsai, Y.- H. Kuo: Multi-Graph Zero-Knowledge-Based Authentication System in Internet of Things, Proceedings of the IEEE International Conference on Communications (IC-C), Paris, France, May 2017, pp. 1 - 7.
[16] V. V. Yashchenko: Introduction to Cryptography, 4th Edition. Publishing house of MCNMO, Moscow, 2012. (In Russian).
[17] M. Singh, M. A. Rajan, V. L. Shivraj, P. Balamuralidliar; Secure MQTT for Internet of Tilings (IoT), Proceedings of the 5th International Conference on Communication Systems and Network Technologies, Gwalior, India, April 2015, pp. 746 - 751.
[18] A. Niruntasukrat, C. Issariyapat, P. Pongpaibool, K. Meesublak, P. Aiumsupucgul, A. Panya: Authorization Mechanism for MQTT-Based Internet of Tilings, Proceedings of the IEEE International Conference on Communications Workshops (ICC), Kuala Lumpur, Malaysia, May 2016, pp. 290 - 295.
[19] J.- H. Han, J.- N. Kim: A Lightweight Authentication Mechanism Between IoT Devices, Proceedings of the International Conference on Infomiation and Communication Technology Convergence (ICTC), Jeju, South Korea, October 2017, pp. 1153 - 1155.
[20] A. Bhawiyuga, M. Data, A. Warda: Architectural Design of Token based Authentication of MQTT Protocol in Constrained IoT Device, Proceedings of the 11 International Conference on Telecommunication Systems Services and Applications (TSSA), Lombok, Indonesia, October 2017, pp. 1 —4.
[21] K. M. Renuka, S. Kumari, D. Zhao, L. Li: Design of a Secure Password-Based Authentication Scheme for M2M Networks in IoT Enabled Cyber-Physical Systems, IEEE Access, Vol. 7, April 2019, pp. 51014 - 51027.
[22] A. K. Ranjan, M. Hussain: Terminal Authentication in M2M Communications in the Context of Internet of Tilings, Procedia Computer Science, Vol. 89, August 2016, pp. 34-42.
[23] A. Rabiah, K. K. Raniakrishnan, E. Liri, K. Kar: A Lightweight Authentication and Key Exchange Protocol for IoT, Proceedings of the Workshop on Decentralized IoT Security and Standards (DISS), San Diego, USA, February 2018, pp 1 - 6.
[24] A. Esfahani, G. Mantas, R. Matischek, F. B. Saghezchi, J. Rodriguez, A. Bicaku, S. Maksuti, M. G. Tauber, C. Schmittner, J. Bastos: A Lightweight Authentication Mechanism for M2M Communications in Industrial IoT Environment, IEEE Internet of Tilings Journal, Vol. 6, No. 1, February 2019, pp. 288 - 296.
[25] L. Nastase: Security in the Internet of Tilings: A Survey on Application Layer Protocols, Proceedings of the 21st International Conference on Control Systems and Computer Science (CSCS), Bucharest Romania, May 2017, pp. 659 - 666.
[26] M. B. Yassein, M. Q. Shatnawi, S. Aljwarneh, R. Al-Hatmi: Internet of Things: Survey and Open Issues of MQTT Protocol, Proceedings of the International Conference on Engineering & MIS (ICEMIS), Monastir, Tunisia, May 2017, pp. 1 - 6.
[27] W. Diffie, M. Hellman: New Directions in Cryptography, IEEE Transactions on Infonnation Theory, Vol. 22, No. 6, November 1976, pp. 644-654.
[28] Standards for Efficient Cryptography, SEC I: Elliptic Curve Cryptography, Version 2.0, May 2009.
[29] A. Venedyuhin: Keys, Ciphers, Messages: How TLS Works, Available at: https://tls.dxdt.ru/tls.html #ecdsa (accessed: 06.10.2019). (In Russian).
[30] B. Lum Jia Jun: Implementing Zero-Knowledge Authentication with Zero Knowledge (ZKA_wzk), Proceedings of the PyCon Asia-Pacific 2010 Conference, Singapore, Singapore, June 2010, pp. 1-19.
[31] B. Schneier, Applied Cryptography. Protocols, Algorithms and Source Code in C,, 20th Edition, 2015.
[32] Moquette Java MQTT Lightweight Broker, Available at: https://github.com/andsel/moquette (accessed: 06.10.2019).
DOI: .Щ17725/tt®sif.202«. 12.287
Детектирование DoS атак, использующих CONNECT сообщения протокола MQTT Дикий Д.И.
< 1я н кт -1 I ете роу р г<: ki i ii ня i (i i in н а л ьHi >i и г тсс л едо R тел ьс к [ ii "i у н i i r e pe i ттет 11 нфо p м я hi i о н н i =ix техно \ о п i п.
и ппупки (Vntfi^tpCirteT \ ITMO), htlp:.' ■■ \ffww.itm0-iu ■ Санкт-11етербург 197101, Российская Федерация E-mail: dn!umdikiy(cv man. t к
Потупила 25.09.2019, рецемгфоаапа I0.0j.2020, после доработки 30,03.2020, принята tj.0i.2020 Представлена дейсттстелънш! членом РАЕН А.С. ^Хмитриеаым
Аннотация. Обнаружение DoS-атак в рамках I 1н терн ста вещей Является актуальной задачей для обеспеченна безопасности этой инфраструктуры, При реализации атаке злоумышленник генерирует большое число запросов на под it мочение к сети i Inrepn ет вещей но протоколу MQTT, что делает ко ммутацноняьш уэеляедоступпымдля других Пользователей. Ра ссмотреоы средства и методы детектирования атак как для сетей Интернет в целом, так и для сетей I Гнтсрнет вещей. Для детектирования атак на основе анализа сетевого трафика предложен метод формирования вектора признаков! Вектор признаков состоит из параметров частоты передачи t'<и>Г)г 1 и■ нчи за интервал примеми для \ <тр (>м .'I J!.i, имеющего один и тот же ¡р-адрее. В качестве кл&еенфп гсаторов были рассмотрены МНОГОСЛОЙНЫМ и ере ей 1ро и, алгоритм случайный лее и метод (шорных векторов. Была собрана зкеп ери ментальная установка, на которой были сгенерированы обучающие н тестовые выборки с заданными параметрами 'Графика. Экспери мент показал, что дуя достижения максимального качества классификации увеличение размерности вектора признаков не требуется. Было проведено сравнение выше перечисленных алгоритмов по значению i'1-меры, в ходе которого выяснилось, что лучше других с задачей классификации справляется искусственная нейронная сеть в Виде многослойного псрсснтрона. При этом интервал времени, на основании которого формируется вектор признаков, должен превышать 1.5 секунды для достпжепня значения Fl-мерЫ более 0.99 про частоте подключения легального устройства идДН раз в секунду. Исследование показало эффективность применения рассмотренных классификатор он на базе предлагаемого вектора признаков для детектировании атаки на отказ в обслуживании. Кшчеиые слона: интернет вещей, отказ в обслуживании, MQTT, машинное обучение, случайный лес, многослойный Персеи трон, метод опорных векторов, телекоммуникации, детектирование атак УДК 004.052,3
Благодарности. Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта №19 37 90051,
цитирования. Дикий Д.И. Детектирование DoS атак, использующих CONNECT сообщения протокола MQTT. РЭЛСЛТ, 2020, i 2(2):287-2%. DQ1: 10. Г'25/гс г sir.2020.12,237._
Detection of DoS attacks caused by CONNECT messages of MQTT
protocol
Dmitrii I. Dikii
St. Pc tc rsburg NatJO rial Research University о t Information Technologies, Me с liaijics a nd Pp tic s (University П"МО), http:/ ■ www.itJnp.ni St. ?(|tersb\llg 197Ю1, Russian Federation I i-mail: ¿limiijiilikiy(d:r?mil.i'ii
REI4SmP3HCHT I 2020 | TOM 12 | НОМЕР 2
дикий Д-i-i-
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
Abstmd. Detecting DoS attacks within the Internet of Tilings is an urgent ta.sk to ensure the security of this infrastructure. The malefactor, undertaking the attack, generates a large number of connection requests to the Internet of Things network based on the MQTT protocol. This makes the gateway unavailable for other users. The author discusses the approaches and methods of detecting DoS attacks within the Internet, in genera!, as well as within the Internet of Things, in particular. The method of feature vector generation for detecting DoS attacks based on the network traffic analysis was suggested, The feature vector consists of parameters of message transmission frequency within a time interval from a device with the same 1P-ad dress, 'l'he multilayer perceptron, the random forest algorithm, the support vector machine are classifiers in this study. The author constructed ati experimental assembly to generate trainiug and testing sets with the supplied parameters. The experiment results showed: in order to achicve maximum classification accuracy, the dimension increase of the feature vector is not required. A comparison of the mentioned above algorithms by the IT-score value was carried out, which proved the artificial neural network — the multilayer perception— to be the best classifier. At that, the time interval, on which the feature vector generation is based, must be higher than 1.5 seconds for the accuracy to he over 0.94 under the legal device connection frequency once per second. The research gave positive results of implementing the reviewed classifiers based on the suggested feature vector to detect DoS attacks кrywonlr internet of Things, DoS, MQTT, machine learning, randimi forest, multilayer perceptron, support vector machine, telecommunication, attack detection 1111(3 004.0.42.3
Acknmvletlgmenls. The reported study was i unclad by RFBR, projec.i niimber .№1.5^3^-90051
For citation: Dinitdi I. Dikii. Detection of DoS attacks caused by CONNECT messages of MQTT protocol.
RUNS1T, 2020, 12; 2:: 287 296. DOT: 10.П725/ten si t.202CU 2-237.
Содержание
1, Введение (2Н8)
2, Материалы li методы (290)
3, Результаты исследования (292)
4, Оьсуждешп: (294)
5, Заключений (294) Литература (294)
I. ВНКДКНИЕ
В последнее время большую популярность набирают технологии, активно иегкэльзуюшие сети 1 Ьггерпет. Одной из таких технологии япляется Интернет вещей [1]. Основная особенность технологии, позволяющей объединить множество проектов под одним названием IИнтернет вещей, — :это возможность ком мунптацип большого числа устройств, функц]ЮН!|руюн [их . О:;ер;пI 'А л \ - вы.полй£шш ' 'дм: : ! .м ■ i I о И V(Л р<>пс:I вя, о КС ю '.:! \ будет идти речь, должны обладать Только самым необходимым функционалом, что существенно удешевляет нх по сравнению с обычной рабочей станцией (персоналы 1ый компьютер, смартфон и т.д.). Некоторые устройства сетей IIirrepHCT вещей функционируют от автономного
источника питания, что наклалывает ограничения на их использование с точки зрения экономит электропотреблепня. Для увеличен mi срока функционирования от автономного источника питания создаются технологии и протоколы передачи данных, существенно сокращающие энергетические затраты конечного устройства. Разработки в области сетей Интернет вещей охвя тынают весь стек протоколов модели OSI [2]. Одним из таких протоколов являемся MQTT (message quality telemetry transport), разработанный альянсом OASIS [3]. На данный момент широко распространена версия 3,1.1 протокола MQTT.
Наряду с тенденцией к упрощению протоколов для устройств Интернет вещей, наблюдается рост угроз информационной ВезонасносШ- I Гнформяцш, циркулирующая в сети Интернет вещей, зачастую находится в незашифрованном виде. Это может привести к большим негативным последствиям со стороны обладателя информации. Наиболее ярким примером в данном вопросе является сфера медицины, D работах [4,5] представлены идеи
ДВТ£КТЙ1РОйАМИЕ DoS АТАК; 1ÍCIХОЛЬЙУЮШИК 289
СОЫРЧЕСТ СООБЩЕНА 1Я 1 ГРШ'ОКОЛА MQTT
авторов по совершенствованию безопасности именно в сфере тдр а по охря цения. В качестве одного [13 методов предлагается усиленная аутентификация устройств.
1 Iomhmo угроз, свойственных именно сетям Интернет вещей, не стоит упускать из внимания угрозы, которые распространены среди вгг>
устройств, имеющих выход в сеть Интернет, Как правило, эти атаки видя человек-по-сере дине, фгшшнг, вирусы, трояпы и лр. Одной из таких утроз является распределенная атака па отказ в обслуживании. Она характеризуется большим количеством абонентов сети, отправляющих запросы устройству-жертве. Из-за превышения максимального числа обрабатываемых запросов за момент времени "жертва не справляется с нагрузкой и становится недоступной для других устройств. Согласно аналитике о г Лаборатории Касперсгого за первый квартал 2019 года [6] использование вредоносного программного обеспечения па базе ботнета Muai получило наибольшее рас пространен не по всему миру. Атака на отказ в обслуживании, как часть поведения ботнет сетей, становится одной из самых актуальных yl'.iOJ.
Таким образом, разворачивая инфраструктуру сети Интернет встцен на предприятии или в собственном доме, стоит учитывать как классические угрозы информационной безопасносш, так п специфичные дли сетей 1 Ытернет веще]!, я также их комбинации.
В данной работе будет рассмотрена проблема злоупотребления устройствами сети Интернет вещей возможностей протокола MQTT для реализации атаки вида отказ в обслуживании.
Па сегодня и гний день выделяют следующие виды этак на отказ в обслуживании:
• атака на истощение ПОЛОСЫ пропускания;
• атака на истощение ресурсов жертвы;
атака на инфраструктуру;
атака нуле во! то дня [7].
Злоумышленники чаще всего используют первые два вида атак на отказ в обслуживании. Первый заключается в насыщении полосы передачи йнформации до такой степени, что сигнал от легитимного источника не проходит до адресата. Второй тип я так эксплуатирует уязвимости протоколов, таким образом, чтобы исчерпать ресурсы сервера: память ОЗУ,
процессорное время. Такая атака выполняется как па протоколах сетевого и транспортного уровнен, так п прикладного, например, HTTP. Ярким примером является атака вида TCP SYN, когда злоумышленник отправляет запрос ня установление соединения по протоколу TCP, но вместо собственного ip-ядреса, указывает несуществующий. Сервер ожидает зааершенне транзакцпи установления соединения и не ГюлуЧйЙ" ответ длптел ыгое время. Однако информация о незавершенном соединении сохраняется па стороне сервера, что приводит к истощению ресурсов.
Мероприятия по защите информационных систем от этого вида атак можно разделить на два этапа:
* детектирование,
противодействие.
Детектирование производится за счет анализа сетевого трафика. Большое распространение получил метод фильтрации пакетов "hop count''7 [8], В этом методе Оценивается количество TCP пакетов п их параметры: SSÍTíí фляг, ТТЦ адрес отправителя и др. В работе |3] рассмотрен истод определения атаки на отказ в обслуживании и защиты от нее, состоящий из фильтрации МАС-адресов и криптографических преобразований.
Для детектирования я так п все чаще предлагают методы, основанные на искусственном интеллекте и машинном обучении. Так, в работе [10] авторы предлагают использовать роевые алгоритмы. Точность детектирования атаки по предлагаемому методу составила 0,75 0.80.
При защите интернет ресурсов чаще всего я нал нзнрустся TCP траф пк путем опенки времени ответа сервера при обычном трафике п при атаке. I 1ри атаке нремн ответа сервера зиачИТЧ&ЬНО увеличивается, Этот факт лежит в основе классификации трафика. Например, с помощью алгоритма LS-SVM (модифицированный метод опорпых векторов) удалось добиться точности классификации более 0,92 [11],
Метод опорных векторов (SVM) для детектирования атак ня отказ в обслуживании был рассмотрен во многих других работах. Например, р [12| при использовании SVМ на базе данных DARPA удалось добттля У9% верного распознавания атаки. Такую же точность
RENSmP3HCMT | 2020 | ТОМ 12 | НОМЕР 2
дикиа д.и.
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
определения аномального трафика удалось достичь авторам работ [13,14]. Раалтшые Модификации SVM позволяют достичь ТОЧНОСТИ классификации более 0.92 [15]. Разница мсжау исс л с ДОВа н г1я мi г, которые посвящены использованию SVM лая детектирования i "/i'iS ¿атак, за кл.ючяется к разных способа формирования вектора признаков. В работе ¡16] приведено исследование влияния тога или иного признака па точность классификации, Выбор вектору признаков (размерность и его состав) является основным фактором, влияющим на точность, Од! 1дко во всех работах алгоритм SVM дибо его модификации показали очень хорошие результаты .
Другим подходом к детектированию атак является использование искусственных нейронных сетей (11HQ. Модификаций искусственных нейронных сетей существует огромное количество. Самая рас про сманенная модель, многослойный персептроп (MLP), рассмотрена в работе [11]. Сравнение SVM и III ТС показало, что последний алгоритм имеет меньшую точность и требует больше времени на принятие решение ] t ■ |. В работе [18] представлены результаты эксперимента по использованию И MC для лете кти ро ва н и я аномалий в трафике по TCP и IC1Y1P протоколам. Подход, предлагаемый авторами, достиг точности детектирования атаки 0.98. Кроме того, применяются ансамбли рекуррентных искусственных сетей [19].
Для детектирования атак используются алгоритмы случайный лес (RF) и деревья решении. Этот подход показывает неплохие результаты. 11апример, в работе [20] точность детектирования составная более 0.96. Аналогичные работы [21,22,23] Также демонстрируют ДОВОЛЬНО высокую , Ii: - о: о классификации^ Также применяю тся подходы, основанные на нечет кой лошке [24].
Методы детектирования аномального трафика в сетях Интернет вещей, как правило, основаны па анализе дяниых сетсвых и транспортных протоколов, как предложено в [25,26], I 1о в сетях 1 1нтернст вещей используют протоколы других уровней, которые уязвимы к атаке ни отказ в обслуживании. Это как протоколы
прикладного уровня (CoAP, MQTT), так и протоколы более низких уровнен (LoRa). Атаки на физическом и канальном уровнях наиболее распространены в беспроводных сенсорных сетях. Например, атака, нацеленная на истощение энергетических ресурсов, опнглня в [27], Другой тип -■!. к, свойственный сети Интернет вещей — "blackhole1. Здесь уст ройство сообщает другим участника я сет и о том, что через его тзел будет самый короткий путь д.ля доставки пакета. Однако все пакеты, поступающие на этот узел, сбрасываются [28]. Так же выделяют атаки, формирующие помехи для передачи информации по радиоканалам, тем самым, вызывая отказ в обслуживании [29].
2. МАТЕР11ЛАЫ II МЕТОДЫ
Применительно к протоколу прикладного уровня MQTT выделяется пре-драсположеппостъ к атаке на отказ в обслуживании. Обычно атака реализуется за счет увеличения нагрузки на алеа*е1 '11., сети таким образом, чтобы коммуникация между устройствами нарушилась. Протокол функционирует'! ю структуре издатель-подписчик. Таким образом, в сети имеется ключевой элемент, называемый шлюзом. Он отвечает за пер сна правлен не сообщений от отправителя к получателю. Так как вес-сообщения проходят через шлюз, то он нанбо лее уязвнм к потенциальной атаке. Ныли проведены исследования о влиянии параметров сообщений (флагов, количество сообщений и т.д.) на устойчивость шлюза к большим нагрузкам. В большинстве работ рассматривались только сообщения вида PCBL1SH с учетом следующих параметров:
* качество доставки (QoS) [30, 31J;
* количество получателей [32];
* размер сообщения [33, 34];
■ криптографические преобразования нал
сообщениями [32].
Из виду упускается процесс подключения устройства к шлюзу. При одновременной отправке большого количества запросов па Подключение (CONNECT сообщения), шлюз не справляется с нагрузкой, что не позволяет легальным устройствам подключиться к нему [35]. В сетях, нспользугащггх протокол MQTT, необходимо обнаруживать аномальное
MMffiOPMAI IMOI-IHklP ТРУНПППГИИ AETEKTPHPOBAI-ii-IEDoS АТАК, ИСПОЛЬЗУЮЩИХ 291. ИНФиг1</1АЦИиНпЫЬ bXHUJ IU ИИ CONNECTСО0Б11даН1ЗД ПРОТОКОЛА MQTT
поведение устройств на всех стадиях работы протокола.
Целью данной работы являеТса разработка метода обнаружения атаки на отказ в обслуживании, "вызываемой аномальным поведением устройств сети при использовании CONNECT сообщений протокола MQTT, с помощью алгоритмов машинного обучения. Для Достижения данной цели в первую очереди решается задача выбора оптимального вектора признаков. Вторая задача, которую необходимо решить: определить наиболее эффективный метод классификации. В качестве классификаторов в данной работе были рассмотрены следующие алгоритмы: многослойный персептрон, случайный лес и метод, опорных векторов с радиальной-базисной функцией ядра, программно реализованные на базе проекта WEKA [36], Для генерации обучающих и тренировочных наборов данных была создана экспериментальная установка (рис. IV состоящая из шлюза, коммуникационного оборудования и нескольких моделирующих поведение множества устройств сети Интернет вещей с помощью фреймворка. Paho-MQTT [37]. В качестве Щлвдзд использовался микрокомпьютер Raspberry Pi 3 model В с программным исполнением Moquetfe на языке JAVA [33].
Для того, чтобы правильно классифицировать сообщение., необходимо сформировать вектор признаков .-Так как для формирования запроса на подключение злоумышленнику достаточно знаТь адрес шлюза.и ношер'^аорта, ¥о Такая служебная информация, как идентификатор устройства и имя пользователя, могут быть сгенерированы автоматически, и не рассматриваются. Таким образом, основные параметра, описывающие CONNECT сообщение по протоколу MQTT, это:
ь
ь
MOTT CONNECT mtssjgs
МСГТТ CONN ЕСт mtiïage
Router
Qateway
mrr tflerft
* адрес отправителя в виде 1р-адреСЕ — наобжрдим для ведения черного, списка адресов, с. которда происходит*- атака. В данном случае 1р-адрес используется в качестве ярлыка;
* количество запросов на подключение за интервал времени.
* маТеъадтическое ожидание времени межДу запросами на подключение за интервал времени;
* бинарное значение, определяющее использование криптографических преобразований по протоколу Т1Д которое значительно влияет на время подключения к шлюзу; 0 - протокол ТЬЙ не используется, 1 — протокол ТиЗ используется.
Таким образам, векТОр признаков Ёйобщения о подключении сй&таит из трех Основных параметров за один анализируемый интервал времени (далее ш).
Выбор интервала времени т играет важную роль в формировании вектора признаков. Также это может быть не один интервал, времени, а их совокупность. ^Едйгда размерность вектора признаков вычисляет® 00 формуле: 1Г=1+3£, (1)
где £ —количество рассматриваемых интервалов времени т.
Под интервалом времени ш понимается промежуток на временной оси между моментом получения сообщения на шлюзе и моментом заданного числа миллисекунд до этого .события. Пример формирования совокупности из трех интервалов времени представлен на рис. 2.
Легальный трафик был создан на основе
Рис. 2. Изображение интервалов основании которых формируешя > я, > т..
т, ж tit.
RENSH/РЗНСИТ | 2020 | ТОМ 12 | НОМЕР 2
моделирования поведения устройств сети с учетом установления незащищенных п защищенных по протоколу Т1_5 соединений. Моделирование легя м-, но го тряфика зависит от условии практического применения сети, поэтому тренировочный набор данных будет оТлЙчзтьсИ к '■> м,, м:" I.: от проектируемой максимальной нагрузки сети. Аномальный трафик моделировался за счет Генераций большого потока сообщении с запросами па подключение, как по открытому каналу, так п по защищенному. Выбор защищенности канала определялся случайным образом д.\я каждого подключения.
Чтобы определить лучший классификатор, был сгенерирован тестовый набор данных, содержащий примеры легитимного [I аномального трафика. Для этого использовался сценарий работы сети в штатном режиме, содержащий десять тысяч подключений, и сценарии при потенциальной атаке, состоящий из пяти тысяч последовательно отправленных СОНЫКСТ сообщений.
Актуальным остался вопрос о выборе Интервалов времени, но которым будет сформирован вектор признаков. Аля выбора оптимальных наборов временных интервалов предлагается следующая методика.
Но первом шаге экспертной оценкой определяется конечное множество интервалов
времени М с натуральными значениями (М € %
На втором шаге для каждого значения т е М производится обучение трех классификаторов {МиР, ЯР, 8УМ) и проверка классификатора на тестовом наборе данных.
1 1а третьем шаге производится оценка качества классификации путем расчета Р1-меры - средневЗВешеННОГО значения точности и полноты. Данная метрика широко используется при оценке качества бинарной классификации для методов машинного обучений, как показано в работах [24, 39], Для вычисления этой метрики I^пользуютсярезультаты о количестве прав!гльно и неправильно классифицированных сообщений сообщений на тестовом наборе данных (Таблица 1, где ТР - количество легитимных сообщений, распознанных верно; ТК — количество сообщена!! атаки, распознанных
Матрица ошибок
Таблица 1
Легальные сообщения Нелегальные сообщения
Правильно классифицированные сообщения ТР ТН
Неправильно классифицированные сообщения РР
верно; РР - количество аномальных сообщений, распознанных неверно; РЫ — количество легальных сообщений, распознанных неверно).
Рассчитывается точность классификаций по формуле:
Ргес!510п ТР/(РР+ТР) (2)
п полнота классификации по формуле:
КесаП " ТР/(ТР + РЫ). (3)
Зная эти значения, вычисляется Р1-меря по формуле:
Р = (2 ■ Ргесшоп ■ кесяИ) .'(Ргесшоп 1 КесяП). (4) Р1а четвертом ша!е формируется конечное множество Б из уникальных комбинации неповторяющихся элементов ш 6 М длиной /, такой, что 2 < 1< | М |.
Р1а пятом шаге повторяются шаги 2 3с интервалами времени из множества й. По окончанию всех вычислений определяется лучшая комбинация временных интервалов, при которой достигается наибольшее значение Р1-меры для тою или иного мет ода.
3. РЕЗУЛЬТАТЫ ИССЛЕДОВАНИЯ
Для смоделированной сети был определен следующий набор начальных интервалов времени для множества М (20. 50, 100, 130, 200. 250, 500, 1000, 1500, 2000, 3000].
Обучающая выборка состоит из двух масс! шов данных. Первый содержит' информацию о сообщениях при легальном потоке сообщении о подключении к шлюзу, второй о потоке, схожем с атакой па отсаз в обслуживании. Для генерации легитимного потока данных была определена следующая модель. Определяется интервал времени ¡, в течение которой) гарант нронанно отправляется хотя бы одно сообщение на подключение. Момент отправки 1 выбирается случайным образом (по равномерному распределению вероятностей, так чтобы в наборе данных присутствовали примеры как с небольшими, так и близкими к максимальным из интервала I значениями
ДЕТЕКТШРОВШИЕСоЗАТАК, ИОТОЛЬЗУЮЩШ 293
СОШЕСТ СООБЩЕНИЯ ПРОТОКОЛА мдтт
задержки между сообщениями) из интервала I (1 & I). Таким образом, разность времени между отправкой двух последовательных сообщений определяется как:
4Г = + # (В)
где- £ — время необходимое на обработку сообщения и получение ответа от шлюза (по незащищенному каналу в среднем составляет не более 50 мс, по защищенному — не более 700 мс для данной экспериментальной установки), I - случайная задержка времени не больше максимального значения интервала I.
Чтобы определить влияние обучающей выборки, содержащей легитимный трафик, на качество классификации было рассмотрено два интервала Т = [ОД ООО] мс и I = [0,500] мс.
Для генерации массива данных, содержащего данные об аномальном трафике, был смоделирован большой поток сообщений на подключение к шлюзу за короткий промежуток времени. Обучающая выборка состоит из десяти тысяч сообщений для легитимного потока данных и пяти тысяч сообщений для моделирования атаки на отказ в обслуживании. Результаты классификации на тестовой выборке при использовании одного интервала времени т е М приведены на рис. 3.
Из результатов проведенного эксперимента следует, что классификатор, построенный на модели многослойного персептрона, показал лучшие результаты. При увеличении интервала времени, в течение которого собирается статистика о трафике, наблюдается увеличение значения -И* меры. Например, при интервале в две секунды это значение достигает 0.9989 ± 0.0001.
Для алгоритма случайного леса наблюдается сложная динамика. При увеличении интервала, времени с 20 мс до 1500 мс значение М -меры также
увеличивается. Однако последующее увеличение интервала времени до грех секунд приводит к ухудшению характеристик классификатора из-за повышения количества ложно отрицательных классификаций. Максимальное значение Р1-меры достигается при интервале т = 1500 мс и составляет более 0.9934 ± 0.0027.
Хуже других алгоритмов с задачей классификации справился метод опорных векторов. Значение Р'1-меры при каждом из рассматриваемых интервалов времени меньше, чем у других алгоритмов. Максимальное значение И!-меры достигается при т — 500, при этом значение составляет 0.985 ± 0.0021. При увеличении интервала времени до трех секунд результаты классификации ухудшаются.
Применение совокупности из нескольких интервалов т е М не дало значительного положительного эффекта. На рис. 4 представлены значения Р1-меры для рассматриваемых алгоритмов при использовании следующих наборов интервалов: {200, 250, 500}, {250, 500}, {200,500}, Для сравнения на графике также приведены значения для интервалов {200}, {250}, {500}. Можно сделать вывод о том, что применение совогсупности интервалов не повышает точность классификации, а зачастую ухудшает ее. Например, при использовании метода опорных векторов наблюдается явная отрицательная динамика изменения значения Р1-меры при увеличении признакового пространства. В большинстве других случаев значения Р1-меры меньше, либо незначительно больше, показателей при классификации с использованием одного наибольшего интервала.
Таким образом, использование совокупности интервалов для формирования вектора признаков большей размерности является нецелесообразным.
1
| (Ш £
: % ш
й г а я 8
8 г в а
Тш1е inKr.nl, т1._
К Я 8 2 | 8
Тми. шитуа]. пи
.¡г.:. Г—.-.I ■ рспхуцт
■ И|...г. -!.•[•-
I?.™ -,!Г1 Тгчо' 'iii.ll иг. .а. I
■ ' ' I 1п р ' 11Г Г г" | 1П II
Рис. 3. Результаты к/шймф)тйцш при Жгальных тв5и@шй- из- жН1Щ>вала а) I — [О, 500\ ме,
Щ1Ц [о\ 1000] щ
V (1.595
•¿0.971 ~ 0465 и 0.855
0-635
5
й
Ь <1.955 (1,915 <Ш5
Тше 1п<егуд1, ш*.
111111
• Яя«(1аи1 усГ ¡екчри
ИнрроИ \ectoi пясКм
• Нлси1ош Гш'е-Т иМи1Ыяуе1 ДОмрНои
РИС. 4
легалвтж
к/шссифиширы тгрй частоте ■из итгерв&'Ш а) I — [О, 500]
ш^Ш 100°] Ш
Р?ЕЫ31Т/РЭНСИТ | 2020 | ТОМ 12 | НОМЕР 2
4. ОБСУЖДЕНИЕ
В рамках проведенного исследования были проанализированы методы детектирования атак па отказ и обслуживании, применяемые как в сетях Ï 1нтернет, так н в сетях Интернет вещей. Для детектирования атаки, реализуемом посредством Злоупотребления сообщениями вида CONNECT но протоколу MQTT, был предложен вектор признаков, состоящий из трех основных параметров: количество сообщений за интервал времени, математическое ожидание времени между двумя последовательными сообщениями, среднее значение параметра, отвечающего за использование протокола TLS при создании криптографически защищенного канала. Еще один параметр используется в качестве ярлыка: ip-адрес отправителя.
В качестве класс кфпкаторои были рассмотрены следующие алгоритмы: многослойный персептроп, алгоритм случайный лес, метод опорных векторов. Эксперимент на основе сгенерированных обучающих п тестовых выборках показал, Что все алгоритмы справляются с задачей кла ссификацнитрафнка сточи остыо более 0.90. I 1аиболее лучшим по качеству классификации является искусственная нейронная сеть в виде многослойного Персеитрона. I 1рп увеличении значения интервала времени, в течение которого собирается статистика о трафике п формируется вектор признаков, значение Г! меры также увеличивается в отличие от других методов. Алгоритм случайный лес чуть хуже справился с задачей классификации. Увеличение интервала времени до 1.5 секунд положительно сказывается на значении FI-мер ы. Одна ко [ ifïii дальнейшем увеличении £ТОГО ннтерва лазначен i le h 1 - меры умен ьшается. Хуже других алгоритмов справился метод опорных векторов. Динамика Fl-меры аналогична алгоритму случайного леса. Максимальное значение F1 меры наблюдается при интервале 500 мс. Использование векторов признаков большей раз мерное л i признано нецелесообразным, так как в таком случае характеристики классификации могут не только не улучшиться, но и ухудшиться.
5. ЗАКЛЮЧЕНИЕ
Таким образом, среди всех рассмотренных подходов и алгоритмов для детектирования атак на отказ в обслуживании по предлагаемому вектору признаков (вектор признаков в таком случае будет иметь размерность четыре) рекомендуемся HCJюльзова.тъ м: ion " ДО!п[Ц' перцептрон, т.к. этот классификатор показал наилучшие результат ы среди всех рассмотренных методов. При атом качество классификации повышается при увеличении интервала времени, в течение которого собирается статистика о трафике. Но стоит отметить, что увеличение этого интервала приведет к большим вычислительным и временным затратам на обучение модели и принятие решения. Качество классификации на основе алгоритма случайный лес или метода опорных векторов с радиально-базиспон функцией ядра хуже по сравнению с многослойным перцептропом, однако значения F1 меры достаточно высоки, что также Позволяет их использовать.
Дальнейшие исследования будут направлены на изучение атак на отказ в обслуживании, вызванные злоупотреблением другими видами сообщении протокола MQTT.
ЛИТЕРАТУРА
1. Ashton К. Thar 'Internet of Things' Thing. RPID jmmai, 2009, 22:97-114,
2. Стандарт "ISO/ffiC 7493-1:1994 [ISO/1ЕС 7498-1:1994] Information technology — Open Systems Interconnection — Basic Reference Model: The Basic Model", ISO/LEC Injomation Technology Task Force (TTTFJ weh lite, 1994.
3. Стандарт ISO. I EC 20922:2016 In form at ion technology Message Queuing Telemetry Transport (MQTT) v3. 1.1. ISO/IRC, Information Technology insk. I'orce (TTTF) web site, 2016,
4. Albalawt t , Joshi S, Secure and Trusted Telei i let he me Ln ! riternel of 1 'hmgs loT'. Proceeding of 2018 IEEE Itb World Fsrtm on Internet of Things (WF-IoT), 2018, pp. 30-34. DOI: 10.1109/WFloT.2018.83553)6.
5. Waad M, Kumar Das A, Khurram Khan M, Л1 Dhawailie AlGhaiheb A, Kumar N, Vasilakos AV. Secure Authentication Scheme tor Medicine A nti-Counterfeiting System in lo'i" Environment. IHSl: Internet of ThmgS journal, 2017, 4(5): 1634-
1/ihcbopm al m/inhhklf tfvhnnnn/lm aetektfnfabaht'ffl dcs ata1c11ci 10ab3yk.>lui- ix 295 HHCPUHMAL|HUHHblt I LXHUJIU! HH connectwompmmiipotokoAamqti-
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.