Détection d’intrusions réaliste dans les ...
Type de document :
Thèse
Titre :
Détection d’intrusions réaliste dans les maisons connectées à l’aide d’indicateurs physiques volatiles
Titre en anglais :
Realistic intrusion detection in smart homes using volatile physical features
Auteur(s) :
Lourme, Olivier [Auteur]
Extra Small Extra Safe [2XS]
Centre de Recherche en Informatique, Signal et Automatique de Lille - UMR 9189 [CRIStAL]
Institut de Recherche sur les Composants logiciels et matériels pour l'Information et la Communication Avancée - UAR 3380 [IRCICA]
Extra Small Extra Safe [2XS]
Centre de Recherche en Informatique, Signal et Automatique de Lille - UMR 9189 [CRIStAL]
Institut de Recherche sur les Composants logiciels et matériels pour l'Information et la Communication Avancée - UAR 3380 [IRCICA]
Directeur(s) de thèse :
Michaël Hauspie
Date de soutenance :
2023-12-21
Président du jury :
Nathalie Mitton
Hervé Debar
Benoît Parrein
Antoine Gallais
Gilles Grimaud
Hervé Debar
Benoît Parrein
Antoine Gallais
Gilles Grimaud
Membre(s) du jury :
Nathalie Mitton
Hervé Debar
Benoît Parrein
Antoine Gallais
Gilles Grimaud
Hervé Debar
Benoît Parrein
Antoine Gallais
Gilles Grimaud
Organisme de délivrance :
Université de Lille
École doctorale :
ED n°631 - Mathématiques, sciences du numérique et de leurs interactions (MADIS)
NNT :
2023ULILB024
Mot(s)-clé(s) :
Sécurité de l’Internet des Objets
Systèmes de détection d’intrusion
Jeux de données
Attaques d’usurpation d’identité
Apprentissage profond
Zigbee
Systèmes de détection d’intrusion
Jeux de données
Attaques d’usurpation d’identité
Apprentissage profond
Zigbee
Mot(s)-clé(s) en anglais :
Internet of Things security
Intrusion detection systems
Datasets
Spoofing attacks
Deep learning
Zigbee
Intrusion detection systems
Datasets
Spoofing attacks
Deep learning
Zigbee
Discipline(s) HAL :
Informatique [cs]
Informatique [cs]/Intelligence artificielle [cs.AI]
Informatique [cs]/Cryptographie et sécurité [cs.CR]
Informatique [cs]/Systèmes embarqués
Informatique [cs]/Intelligence artificielle [cs.AI]
Informatique [cs]/Cryptographie et sécurité [cs.CR]
Informatique [cs]/Systèmes embarqués
Résumé :
Au sein de l’Internet des Objets, le secteur de la maison connectée est en plein essor. Pour quelques dizaines d’euros, chacun peut s’équiper de solutions domotiques intelligentes commandables à distance. Ces écosystèmes ...
Lire la suite >Au sein de l’Internet des Objets, le secteur de la maison connectée est en plein essor. Pour quelques dizaines d’euros, chacun peut s’équiper de solutions domotiques intelligentes commandables à distance. Ces écosystèmes sont cela dit vulnérables à des attaques variées en raison A) d’une conception essentiellement guidée par le coût, générant des objets contraints sans implémentation de sécurité viable possible, B) de l’utilisation par ces objets de protocoles de communication sans-fil hétérogènes, dispersant les efforts de sécurisation, et C) de la gestion de ces objets par des consommateurs non-experts, adeptes du « setup and forget ».Contrairement à l’informatique traditionnelle où les solutions de protection sont répandues, nous faisons le constat de l’absence de proposition commerciale équivalente dans la maison connectée. Dans cette thèse, nous nous interrogeons sur les conditions de l’adoption à grande échelle de solutions de sécurité de type Systèmes de Détection d’Intrusion (IDS), visant à protéger les objets contraints déjà déployés. Ainsi, une première contribution recense les caractéristiques des maisons connectées pour les croiser avec des taxonomies d’IDS, afin de proposer les critères qualitatifs d’une solution de sécurité domestique réaliste.Par la suite, afin de faciliter la conception d’IDS, une deuxième contribution met à disposition de la communauté scientifique un jeu de données Zigbee, participant à la fourniture d’outils couvrant les principaux protocoles de la maison connectée. Toutes les trames échangées par 10 objets pendant 10 jours ont été capturées par 4 sondes distribuées dans un domicile-test. Des attaques ont été introduites afin d’établir et comparer différentes stratégies de détection. Outre une redondance des données de couche MAC, le jeu de données tire son originalité de l’extraction par chaque sonde du RSSI (Received Signal Strength Indicator) de chaque trame. Cette grandeur de couche physique, accessible à peu de frais dans les technologies sans-fil, permet de participer à l’identification de nœuds fixes. Par la suite, on peut imaginer d’identifier robustement chaque objet par une empreinte de couche physique faite d’un tuple de RSSI, complexe à imiter par un attaquant.Enfin, dans une troisième contribution, nous exploitons le jeu de données pour proposer un IDS détectant les attaques d’usurpation d’identité, favorisées par le fait que des piles de protocoles n’intègrent que peu ou pas d’authentification sur leur couche MAC. Pour les détecter, la cohérence de l’identifiant de couche MAC et de l’empreinte précédente à base de RSSI peut être considérée mais ce n’est plus possible quand les environnements sont sans cesse redessinés par les habitants qui y évoluent, les RSSI devenant volatiles. En fournissant des séries temporelles de RSSI en entrée d’un algorithme d’apprentissage non supervisé, nous établissons pour chaque couple (objet, sonde) un modèle des séquences RSSI normales. Les déviations par rapport au modèle permettent de détecter une attaque. Les métriques de détection obtenues, très intéressantes en regard de la faible complexité de l’architecture initiale envisagée, ainsi que les évaluations de l’autonomie et du coût de la solution laissent entrevoir une diffusion de tels systèmes dans les maisons connectées.Lire moins >
Lire la suite >Au sein de l’Internet des Objets, le secteur de la maison connectée est en plein essor. Pour quelques dizaines d’euros, chacun peut s’équiper de solutions domotiques intelligentes commandables à distance. Ces écosystèmes sont cela dit vulnérables à des attaques variées en raison A) d’une conception essentiellement guidée par le coût, générant des objets contraints sans implémentation de sécurité viable possible, B) de l’utilisation par ces objets de protocoles de communication sans-fil hétérogènes, dispersant les efforts de sécurisation, et C) de la gestion de ces objets par des consommateurs non-experts, adeptes du « setup and forget ».Contrairement à l’informatique traditionnelle où les solutions de protection sont répandues, nous faisons le constat de l’absence de proposition commerciale équivalente dans la maison connectée. Dans cette thèse, nous nous interrogeons sur les conditions de l’adoption à grande échelle de solutions de sécurité de type Systèmes de Détection d’Intrusion (IDS), visant à protéger les objets contraints déjà déployés. Ainsi, une première contribution recense les caractéristiques des maisons connectées pour les croiser avec des taxonomies d’IDS, afin de proposer les critères qualitatifs d’une solution de sécurité domestique réaliste.Par la suite, afin de faciliter la conception d’IDS, une deuxième contribution met à disposition de la communauté scientifique un jeu de données Zigbee, participant à la fourniture d’outils couvrant les principaux protocoles de la maison connectée. Toutes les trames échangées par 10 objets pendant 10 jours ont été capturées par 4 sondes distribuées dans un domicile-test. Des attaques ont été introduites afin d’établir et comparer différentes stratégies de détection. Outre une redondance des données de couche MAC, le jeu de données tire son originalité de l’extraction par chaque sonde du RSSI (Received Signal Strength Indicator) de chaque trame. Cette grandeur de couche physique, accessible à peu de frais dans les technologies sans-fil, permet de participer à l’identification de nœuds fixes. Par la suite, on peut imaginer d’identifier robustement chaque objet par une empreinte de couche physique faite d’un tuple de RSSI, complexe à imiter par un attaquant.Enfin, dans une troisième contribution, nous exploitons le jeu de données pour proposer un IDS détectant les attaques d’usurpation d’identité, favorisées par le fait que des piles de protocoles n’intègrent que peu ou pas d’authentification sur leur couche MAC. Pour les détecter, la cohérence de l’identifiant de couche MAC et de l’empreinte précédente à base de RSSI peut être considérée mais ce n’est plus possible quand les environnements sont sans cesse redessinés par les habitants qui y évoluent, les RSSI devenant volatiles. En fournissant des séries temporelles de RSSI en entrée d’un algorithme d’apprentissage non supervisé, nous établissons pour chaque couple (objet, sonde) un modèle des séquences RSSI normales. Les déviations par rapport au modèle permettent de détecter une attaque. Les métriques de détection obtenues, très intéressantes en regard de la faible complexité de l’architecture initiale envisagée, ainsi que les évaluations de l’autonomie et du coût de la solution laissent entrevoir une diffusion de tels systèmes dans les maisons connectées.Lire moins >
Résumé en anglais : [en]
Within the Internet of Things, the smart home sector is booming. For a few tens of euros, everyone can be equipped with smart-home automation solutions that can be controlled remotely. However, these ecosystems are vulnerable ...
Lire la suite >Within the Internet of Things, the smart home sector is booming. For a few tens of euros, everyone can be equipped with smart-home automation solutions that can be controlled remotely. However, these ecosystems are vulnerable to various attacks due to A) an essentially cost-driven design, generating constrained devices with too few resources for viable security implementations, B) the use by these devices of multiple wireless communication protocols, dispersing security efforts, and C) the management of these devices by non-expert consumers, following a “setup and forget” policy.Unlike traditional IT where protection solutions are widespread, we note the absence of an equivalent commercial proposal in smart-home environments. In this thesis, we question the conditions for a large-scale adoption of security solutions such as Intrusion Detection Systems (IDS), aiming at protecting constrained devices already deployed. Thus, a first contribution identifies the characteristics of smart homes to cross them with IDS taxonomies, in order to propose the qualitative criteria of a realistic domestic security solution.Subsequently, in order to facilitate the design of IDS, a second contribution provides the scientific community with a Zigbee dataset, participating to the availability of tools covering the main protocols found in smart homes. All the frames exchanged by 10 devices during 10 days were captured by 4 probes distributed in a test house. Attacks have been introduced in order to establish and compare different detection strategies. In addition to MAC layer data redundancy, the dataset derives its originality from the extraction by each probe of the RSSI (Received Signal Strength Indicator) of each frame. This physical layer feature, accessible easily in most wireless technologies, allows to participate to the identification of fixed nodes. Later, one can imagine identifying each device more robustly by a physical layer fingerprint made of a tuple of several RSSIs, a complex combination to imitate by an attacker.Finally, in a third contribution, we exploit the dataset to propose several IDSs detecting spoofing attacks, favored by the fact that several protocol stacks integrate little or no authentication on their MAC layer. To detect them, the consistency of the MAC layer identifier and the previous RSSI-based fingerprint can be considered, but this is no longer possible when the environments are constantly redrawn by the evolving inhabitants, as the RSSI becomes volatile. By providing RSSI time series as input to an unsupervised learning algorithm, we establish for each (device, probe) pair a model of normal RSSI sequences. Deviations from this model help detect an attack. The obtained detection metrics, which are very interesting given the low complexity of the initial considered architecture, as well as the evaluations of the autonomy and cost of the solution, suggest the spread of such systems in smart homes.Lire moins >
Lire la suite >Within the Internet of Things, the smart home sector is booming. For a few tens of euros, everyone can be equipped with smart-home automation solutions that can be controlled remotely. However, these ecosystems are vulnerable to various attacks due to A) an essentially cost-driven design, generating constrained devices with too few resources for viable security implementations, B) the use by these devices of multiple wireless communication protocols, dispersing security efforts, and C) the management of these devices by non-expert consumers, following a “setup and forget” policy.Unlike traditional IT where protection solutions are widespread, we note the absence of an equivalent commercial proposal in smart-home environments. In this thesis, we question the conditions for a large-scale adoption of security solutions such as Intrusion Detection Systems (IDS), aiming at protecting constrained devices already deployed. Thus, a first contribution identifies the characteristics of smart homes to cross them with IDS taxonomies, in order to propose the qualitative criteria of a realistic domestic security solution.Subsequently, in order to facilitate the design of IDS, a second contribution provides the scientific community with a Zigbee dataset, participating to the availability of tools covering the main protocols found in smart homes. All the frames exchanged by 10 devices during 10 days were captured by 4 probes distributed in a test house. Attacks have been introduced in order to establish and compare different detection strategies. In addition to MAC layer data redundancy, the dataset derives its originality from the extraction by each probe of the RSSI (Received Signal Strength Indicator) of each frame. This physical layer feature, accessible easily in most wireless technologies, allows to participate to the identification of fixed nodes. Later, one can imagine identifying each device more robustly by a physical layer fingerprint made of a tuple of several RSSIs, a complex combination to imitate by an attacker.Finally, in a third contribution, we exploit the dataset to propose several IDSs detecting spoofing attacks, favored by the fact that several protocol stacks integrate little or no authentication on their MAC layer. To detect them, the consistency of the MAC layer identifier and the previous RSSI-based fingerprint can be considered, but this is no longer possible when the environments are constantly redrawn by the evolving inhabitants, as the RSSI becomes volatile. By providing RSSI time series as input to an unsupervised learning algorithm, we establish for each (device, probe) pair a model of normal RSSI sequences. Deviations from this model help detect an attack. The obtained detection metrics, which are very interesting given the low complexity of the initial considered architecture, as well as the evaluations of the autonomy and cost of the solution, suggest the spread of such systems in smart homes.Lire moins >
Langue :
Français
Collections :
Source :
Fichiers
- document
- Accès libre
- Accéder au document
- Lourme%20-%202023%20-%20PhD.pdf
- Accès libre
- Accéder au document