Utilisateur:091d2d499f/drafts/idsiot

Une page de Wikipédia, l'encyclopédie libre.

Draft for Systèmes de détection et de prévention des intrusions pour les systèmes industriels et l'internet des Objets

Articles principaux : Système de détection d'intrusion et Internet des objets.

Les systèmes de détection et de prévention des intrusions pour les systèmes industriels et l'internet des objets désignent l'ensemble des techniques et mesures prisent pour détecter et protéger les réseaux composant l'internet des objets des attaques informatiques.

Problématiques spécifiques à l'internet des objets[modifier | modifier le code]

L'internet des objets est caractérisé par une grande diversité de périphériques, de services, de protocoles et de matériels. [1]

En héritant des technologies IP et des liaisons sans fil à faible consommation énergétique, les systèmes composant l'internet des objets héritent des vulnérabilitées et des problématiques de sécurité de ces technologies. De plus, ils sont la cible d'attaques spécifiques à l'architecture de leurs réseaux, notamment les protocoles de routages. L'utilisation de chiffrement et d'authentification ne suffit pas à garantir la sécurité du système[2][3][4]

Parce que les ressources des noeuds sont limitées, ils ne peuvent pas toujours se défendre seuls contre un attaquant plus fort, tels qu'un ordinateur portable [5] Parce qu'ils sont disséminés dans le monde physique, les terminaux composant l'internet des objets sont également vulnérables aux attaques physiques.[6][7]

L'hétérogénité, les faibles ressources de calcul et le caractère distribués des noeuds rendent difficiles le déploiement de système de détection d'intrusion classique.[8][9] Les systèmes de détection existant ne sont pas concus pour ces problématiques et il n'existe pas de système de détection d'intrusions universel à l'internet des objets[10][11]

Analyse des risques[modifier | modifier le code]

Garci-Morchon identifie les risques suivants pour l'internet des objets.[12][13]

Fabrication Déploiement Opération
Objet Clonage du périphérique. Porte dérobée Substitution du périphérique Vie privée. Extraction de valeurs secrètes
Couche applicative Remplacement du firmware
Couche transport Eavesdropping & Attaque de l'homme du milieu Eavesdropping & Attaque de l'homme du milieu
Couche réseau Eavesdropping & Attaque de l'homme du milieu Attaque par déni de service. Attaque sur les protocoles de routages (Attaque Sinkhole, Attaque Sybil, Attaque Wormhole)
Couche physique Attaque par déni de service


Architectures[modifier | modifier le code]

Les techniques de détections d'intrusions peuvent être classées en deux catégories, selon qu'elles soient centralisées ou non.[14]

Centralisée[modifier | modifier le code]

Dans une architecture centralisée, les stations de bases sont utilisés pour détecter les attaques. Les stations récoltent les données des noeuds et déterminent les noeuds malveillants.[15]

Noeuds voisins de confiance[modifier | modifier le code]

On peut distribuer la détection des attaques en collectant les informations dans des noeuds de confiance répartis sur le réseau. [16][17]

Les IDS distribués peuvent êtres classés suivant qu'ils déterminent les noeuds de confiance statiquement, ou dynamiquement. Dans le second cas, les noeuds chargés de la protection du réseau varient au cours du temps.[18].

Mécanismes de détection des attaques courantes[modifier | modifier le code]

Malgrès l'absence de solution universelle, des techniques existent pour la détections d'attaques courantes.

Attaque Sinkhole[modifier | modifier le code]

L'attaque Sinkhole est une attaque où l'adversaire attire tout le traffic à lui. Dans une attaque Sinkhole, un noeud compromis étend sa sphère d'influence et tente d'attirer le traffic des noeuds voisins vers lui.[19][20][21][22]

Une attaque Sinkhole peut avoir pour conséquence une augmentation de la consommation réseau, ce qui augmente la consommation énergétique des périphériques et réduit la durée de vie du réseau[23]

Détection[modifier | modifier le code]

L'architecture INTI (Intrusion detection for SiNkhole attacks over 6LoWPAN) propose un modèle de détection basé sur la réputation, et la confiance accordée à chacun des noeuds. [24]. Chacun des noeuds calcule un indice modélisant la réputation des autres noeuds. Les noeuds propagent ensuite leurs status, qui sont analysés par le système de détection d'intrusion. On applique la théorie de Dempster-Shafer pour réduire les faux positifs.[25] La réputation de chaque noeud est comparé à un seuil, qui détermine si le noeud est bon ou s'il est considéré comme un attaquant.[26]

Réponse[modifier | modifier le code]

Le module proposé par Cervantes envoie un message de broadcast en guise d'alarme, et isole les noeuds malveillants du reste du réseau.[27]

Attaque Sybil[modifier | modifier le code]

Article principal : en:Sybil_attack.

L'attaque Sybil est une attaque où l'attaquant manipule une ou plusieurs identités à un instant donnée. L'adversaire apparait dans de multiples location à un instant donné. Dans le cadre de l'internet des objets, l'attaquant est susceptible d'altérer les données produits par les noeuds, et d'atteindre à la confidentialité des données échangées par les utilisateurs [28][29][30] Le but de l'attaque Sybil est de corrompre la table de routage et réduire l'efficacité des méchanisme de tolérance au fautes.[31][32]

Détection[modifier | modifier le code]

L'attaque Sybil est caractérisée par l'existence de noeuds ayant une identité différente, mais partageant la mème location physique. [33] L'approche de Sharma propose un modéle «léger» dans lequel le réseau défini un seuil de débit. Lorsqu'un noeud entre dans le réseau, les noeuds voisins calculent la valeur RSS (Received Signal Strength), c'est à dire la force du signal recu. Si la valeur RSS calculée est supérieure au seuil, alors le noeud est considéré comme Sybil.[34] Tian propose de triangulariser la position réelle d'un noeud, et de la comparer à un écart acceptable.[35]

Attaque Wormhole[modifier | modifier le code]

L'attaque Wormhole est un scénario dans lequel un attaquant enregistre les communications en un point, et les rejoue à un autre. Il peut utiliser un autre lien physique, avec une latence plus faible que celui utilisé par le réseau ciblé.[36][37]

Prévention[modifier | modifier le code]

Hu introduit un mécanisme de laisse : on ajoute à chaque paquet transmit une information limitant la distance que peux parcourir le paquet. Les laisses peuvent être de type géographiques, ou temporelles. Ainsi, le destinataire d'un paquet peut détecter si un paquet recu a parcouru une distance supérieure à celle autorisé par sa laisse. Dans ce cas, une attaque Wormhole est peut etre en cours.[38]

Détection[modifier | modifier le code]

Buch propose une approche statistique pour la détection d'attaque Wormhole: après avoir mesuré les quantités de données émises et recues par chacun des noeuds surveillés, on peut comparer ces valeurs avec celles des noeuds voisins. Idéalement, le nombre de paquets envoyés à un noeud est la somme des paquets à destination de ce noeuds recus par ses voisins. Lorsque cette équation n'est pas satisfaite, une attaque Wormhole est peut etre en cours. [39]

Deni de service[modifier | modifier le code]

L'introduction d'objets connectés dans la vie courante, plus spécifiquement ceux intégrés dans des systèmes critiques, tels que des services médicaux ou industries énergiques, augmente l'impact que peut entrainer un déni de service dans un réseau d'objets connectés.[40][41]

Détection[modifier | modifier le code]

Le système de détection de denis de services doit etre lui mème résistant au deni de service. Plus précisèment, le système de détection de denis de services doit s'activer avant que l'attaque ne rendent le-dit réseau inopérant.[42]

Kasinathan propose une solution de détection dans laquelle des noeuds surveillent le traffic physique à l'aide de sondes dédiées, qui émettent des alertes à destination d'un centre de controle. Ce centre de controle corrèle les alertes reçues avec d'autres métadonnées pour analyser et confirmer une éventuelle attaque.[43]

Pour pouvoir communiquer efficacement en cas de deni de service, les sondes communiquent avec le centre de controle à l'aide d'un canal physique différent de celui des noeuds à surveiller.[44]

Prototypes[modifier | modifier le code]

Alors qu'il n'existe pas de solution adoptée par l'industrie, des universitaire ont proposés des prototypes de systèmes de détection d'intrusion qui intègre les mécanismes de détection présentés précedemment.

INTI[modifier | modifier le code]

INTI (Instrusion detection for SiNkhole attacks over 6LoWPAN for InterneT of ThIngs) est une implémentation de système de détection d'intrusion pour le simulateur Cooja proposée par Cervantes. INTI regroupe les noeuds en cluster, puis les classe suivant leurs roles dans le réseau; leader, associé (qui relais le traffic entre clusters), ou simple membre (en plus des classiques stations de bases). Ce role peut changes au cours du temps, en cas de reconfiguration du réseau; panne d'un objet, détection et réaction à une attaque.[45]

Dans son fonctionnement, les noeuds propagent leurs status aux noeuds leaders, lesquels prennent la décision de classer les noeuds selon leurs bienveillance. Pour cela, les leaders déterminent la réputation de chacun des noeuds. Si la réputation est inférieur à un seuil, le noeud est considéré comme malveillant, et est isolé du réseau. [46]

Pour isoler un noeud du réseau, Cervantes determine trois procédures, suivant que le noeud à isoler soit leader, associé ou bien membre.

SVELTE[modifier | modifier le code]

SVELTE est un prototype d'IDS pour le système d'exploitation Conkiti proposé par Raza. Il intègre notamment un mini parefeu distribué pour répondre au alertes. SVELTE est un systèmes hybride, c'est à dire qu'il a des composantes centralisées et des composantes distribuées entre les noeuds. Notamment, il s'installe à la fois sur les noeuds, et sur le routeur qui fait le lien entre la zone interne des objets, et le reste de l'internet.[47] Il est concu principalement pour détecter les attaques sur les protocoles de routages.[48]

SVELTE a pour objectif de détecter les attaques suivantes :[49]

  • Sinkhole
  • Selective-Forwarding
  • Paquets forgés

De plus, SVELTE se veut extensible pour ajouter des modules de détections. [50]

https://github.com/ecksun/Contiki-IDS

References[modifier | modifier le code]

  1. Gamundani 2015, p. 115
  2. Kasinathan 2013, p. 601
  3. Soni 2013, p. 30
  4. Raza 2013, p. 2663
  5. Sarigiannidis 2015, p. 2633
  6. Fu 2011
  7. Chen 2009, p. 64
  8. Fu 2011
  9. Chen 2009, p. 53
  10. Kasinathan 2013, p. 601
  11. Raza 2013, p. 2664
  12. Garcia-Morchon 2014, p. 10
  13. Venckauskas 2015, p. 464
  14. Kasinathan 2015
  15. Chen 2009, p. 60
  16. Amaral 2014, p. 1798
  17. Chen 2009, p. 62
  18. Amaral 2014, p. 1797
  19. Krontiris 2008, p. 527
  20. Singh-Tomar 2014, p. 799
  21. Salehi 2013, p. 362
  22. Soni 2013, p. 30
  23. Singh-Tomar 2014, p. 799
  24. Cervantes 2015, p. 608
  25. Cervantes 2015, p. 609
  26. Cervantes 2015, p. 610
  27. Cervantes 2015, p. 610
  28. Zhang 2014, p. 373
  29. Sharma
  30. Soni 2013, p. 30
  31. Sarigiannidis 2015, p. 2638
  32. Venckauskas 2015, p. 465
  33. Tian 2015, p. 295
  34. Sharma
  35. Tian 2015, p. 297
  36. Prasannajit 2010, p. 283
  37. Soni 2013, p. 30
  38. Hu 2006, p. 372
  39. Buch 2011, p. 10
  40. Mozzaquatro 2015
  41. Venckauskas 2015, p. 461
  42. Kasinathan 2013, p. 602
  43. Kasinathan 2013, p. 603
  44. Kasinathan 2013, p. 604
  45. Cervantes 2015, p. 607
  46. Cervantes 2015, p. 608
  47. Raza 2013, p. 2662
  48. Raza 2013, p. 2668
  49. Raza 2013, p. 2665
  50. Raza 2013, p. 2672


Bibliographie[modifier | modifier le code]

  • (en) Rongrong Fu, Kangfeng Zheng, Dongmei Zhang et Yixian Yang « An intrusion detection scheme based on anomaly mining in internet of things » () (DOI 10.1049/cp.2011.1014)
    4th IET International Conference on Wireless, Mobile Multimedia Networks (ICWMMN 2011)
    « (ibid.) », dans 4th IET International Conference on Wireless, Mobile Multimedia Networks (ICWMMN 2011), p. 315–320
  • (en) S.P. Singh Tomar et B.K. Chaurasia « Detection and Isolation of Sinkhole Attack from AODV Routing Protocol in MANET » () (DOI 10.1109/CICN.2014.171)
    2014 International Conference on Computational Intelligence and Communication Networks (CICN)
    « (ibid.) », dans 2014 International Conference on Computational Intelligence and Communication Networks (CICN), p. 799–802
  • (en) H. Sharma et R. Garg « Enhanced lightweight sybil attack detection technique » () (DOI 10.1109/CONFLUENCE.2014.6949365)
    Confluence The Next Generation Information Technology Summit (Confluence), 2014 5th International Conference -
    « (ibid.) », dans Confluence The Next Generation Information Technology Summit (Confluence), 2014 5th International Conference -, p. 476–481
  • (en) A.M. Gamundani « An impact review on internet of things attacks » (DOI 10.1109/ETNCC.2015.7184819)
    2015 International Conference on Emerging Trends in Networks and Computer Communications (ETNCC)
    « (ibid.) », dans = 2015 International Conference on Emerging Trends in Networks and Computer Communications (ETNCC), p. 114–118
  • (en) Bin Tian, Yizhan Yao, Lei Shi, Shuai Shao, Zhaohui Liu et Changxing Xu « A novel sybil attack detection scheme for wireless sensor network » () (DOI 10.1109/ICBNMT.2013.6823960)
    2013 5th IEEE International Conference on Broadband Network Multimedia Technology (IC-BNMT)
    « (ibid.) », dans 2013 5th IEEE International Conference on Broadband Network Multimedia Technology (IC-BNMT), p. 294–297
  • (en) J.P. Amaral, L.M. Oliveira, J.J.P.C. Rodrigues, Guangjie Han et Lei Shu « Policy and network-based intrusion detection system for IPv6-enabled wireless sensor networks » () (DOI 10.1109/ICC.2014.6883583)
    2014 IEEE International Conference on Communications (ICC)
    « (ibid.) », dans 2014 IEEE International Conference on Communications (ICC), p. 1796–1801
  • (en) P. Sarigiannidis, E. Karapistoli et A.A. Economides « VisIoT: A threat visualisation tool for IoT systems security » () (DOI 10.1109/ICCW.2015.7247576)
    2015 IEEE International Conference on Communication Workshop (ICCW)
    « (ibid.) », dans 2015 IEEE International Conference on Communication Workshop (ICCW), p. 2633–2638
  • (en) B. Prasannajit, Venkatesh, S. Anupama, K. Vindhykumari, S.R. Subhashini et G. Vinitha « An Approach Towards Detection of Wormhole Attack in Sensor Networks » () (DOI 10.1109/ICIIC.2010.54)
    2010 First International Conference on Integrated Intelligent Computing (ICIIC)
    « (ibid.) », dans 2010 First International Conference on Integrated Intelligent Computing (ICIIC), p. 283–289
  • (en) C. Cervantes, D. Poplade, M. Nogueira et A. Santos « Detection of sinkhole attacks for supporting secure routing on 6LoWPAN for Internet of Things » () (DOI 10.1109/INM.2015.7140344)
    2015 IFIP/IEEE International Symposium on Integrated Network Management (IM)
    « (ibid.) », dans 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM), p. 606–611
  • (en) B.A. Mozzaquatro, R. Jardim-Goncalves et C. Agostinho « Towards a reference ontology for security in the Internet of Things » () (DOI 10.1109/IWMN.2015.7322984)
    2015 IEEE International Workshop on Measurements Networking (M N)
    « (ibid.) », dans 2015 IEEE International Workshop on Measurements Networking (M N), p. 1–6
  • (en) S.A. Salehi, M.A. Razzaque, P. Naraei et A. Farrokhtala « Detection of sinkhole attack in wireless sensor networks » () (DOI 10.1109/IconSpace.2013.6599496)
    2013 IEEE International Conference on Space Science and Communication (IconSpace)
    « (ibid.) », dans 2013 IEEE International Conference on Space Science and Communication (IconSpace), p. 361–365
  • (en) I. Krontiris, T. Giannetsos et T. Dimitriou « Launching a Sinkhole Attack in Wireless Sensor Networks; The Intruder Side » () (DOI 10.1109/WiMob.2008.83)
    Networking and Communications, 2008. WIMOB '08. IEEE International Conference on Wireless and Mobile Computing,
    « (ibid.) », dans Networking and Communications, 2008. WIMOB '08. IEEE International Conference on Wireless and Mobile Computing,, p. 526–531
  • (en) P. Kasinathan, C. Pastrone, M.A. Spirito et M. Vinkovits « Denial-of-Service detection in 6LoWPAN based Internet of Things » () (DOI 10.1109/WiMOB.2013.6673419)
    2013 IEEE 9th International Conference on Wireless and Mobile Computing, Networking and Communications (WiMob)
    « (ibid.) », dans 2013 IEEE 9th International Conference on Wireless and Mobile Computing, Networking and Communications (WiMob), IJESRT, p. 600–607
  • (en) Shahid Raza, Linus Wallgren et Thiemo Voigt, « SVELTE: Real-time intrusion detection in the Internet of Things », Ad Hoc Networks, vol. 11, no 8,‎ , p. 2661–2674 (ISSN 1570-8705, DOI 10.1016/j.adhoc.2013.04.014, lire en ligne, consulté le )
  • (en) Kuan Zhang, Xiaohui Liang, Rongxing Lu et Xuemin Shen, « Sybil Attacks and Their Defenses in the Internet of Things », IEEE Internet of Things Journal, vol. 1, no 5,‎ , p. 372–383 (ISSN 2327-4662, DOI 10.1109/JIOT.2014.2344013)
  • (en) Yih-Chun Hu, A. Perrig et D.B. Johnson, « Wormhole attacks in wireless networks », IEEE Journal on Selected Areas in Communications, vol. 24, no 2,‎ , p. 370–380 (ISSN 0733-8716, DOI 10.1109/JSAC.2005.861394)
  • (en) Xiangqian Chen, Kia Makki, Kang Yen et N. Pissinou, « Sensor network security: a survey », IEEE Communications Surveys Tutorials, vol. 11, no 2,‎ , p. 52–73 (ISSN 1553-877X, DOI 10.1109/SURV.2009.090205)
  • (en) Algimantas Venckauskas, Robertas Damasevicius, Vacius Jusas, Jevgenijus Toldinas, Darius Rudzika et Giedre Dregvaite, « A review of cyber-crime in internet of things technologies, investigation methods and digital forensics », IJESRT,‎ (ISSN 2277-6955[à vérifier : ISSN invalide], lire en ligne, consulté le )
  • (en) Vinay Soni, « Detecting Sinkhole Attack in Wireless Sensor Network », (consulté le )
  • (en) Oscar Garcia-Morchon, Sandeep Kumar, Rene Struik, Sye Keoh et Rene Hummen, « Security Considerations in the IP-based Internet of Things » (consulté le )
Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Utilisateur:091d2d499f/drafts/idsiot&oldid=121909008 ».