Physical layer anomaly detection mechanisms in IoT networks

Abstract

With the advent of wireless mesh networks and the Internet of Things (IoT), security risks inherent to these types of networks, either non-authorized use of the network or data exfiltration, have grown in number. Most of the approaches currently available for anomaly detection in IoT networks perform frame and packet inspection, which may inadvertently reveal the private behavioral patterns of its users. Additionally, those whose focus falls on the physical layer data often use Received Signal Strength Indicator (RSSI) as a distance metric and perform anomaly detection according to the nodes’ relative distance, or use spectrum values directly as inputs of classification models without any data exploration. This Dissertation proposes privacy-focused mechanisms for anomaly detection, which analyses radio activity at the physical layer, measuring silence and activity periods. We then extract features from the duration of these periods, perform data exploration and feature engineering, and use them for training both classical and neural network approaches of One-Class Classification (OCC) models. We train our models with data captured from interactions with an Amazon Echo, first on a noise-free environment, simulating a home-automation scenario, and second with multiple devices generating background data exchanges on a lab full of devices and interference. We then test them against similar scenarios with a tampered network node, periodically uploading data to a local machine. Our data show that, in both situations, the best performing model is able to detect anomalies with a 99% precision rate. This work also proposes a framework for deploying the validated models into a production environment. This proposal defines the entire data pipeline, which is recorded and processed at the sniffers, sent to a message broker, and consumed by the corresponding probe’s classifier instance at a central server. This “server” is responsible for managing the consumer/classifier instances, storing the windows of features and respective labels, and periodically re-train the models so that they can adapt to the behavioral changes on the network. We performed series of tests to assert if this architecture is able to scale with a higher number of probes; these tests showed that, due to memory constraints, it is advisable to split the data consumers and classifiers across different physical hosts.

Com o aparecimento das redes em malha sem-fios e da Internet of Things (IoT) aumentam também os riscos associados à segurança das mesmas, seja pelo uso indevido da rede ou exfiltração de informação. A maioria das soluções atuais para deteção de anomalias em redes IoT baseiam-se em analisar tramas ou pacotes, o que, inadvertidamente, pode revelar padrões de comportamento dos utilizadores, que estes considerem privados. Além disso, as soluções que se focam em inspecionar dados da camada física normalmente usam a potência de sinal recebido (RSSI) como uma métrica de distância e detetam anomalias baseadas na posição relativa dos nós da rede, ou usam os valores do espetro diretamente em modelos de classificação sem prévio tratamento de dados. Esta Dissertação propõe mecanismos para deteção de anomalias, assegurando simultaneamente a privacidade dos seus nós, que se baseiam na análise de atividade rádio na camada física, medindo a duração de períodos de silêncio e atividade. Depois da extração de propriedades que caracterizam estes períodos, é realizada uma exploração dos dados e um estudo das mesmas, sendo depois usadas para treinar modelos de classificação mono-classe, tanto usando algoritmos clássicos como redes neurais. Os modelos são treinados com dados retirados de uma série de interações com um Amazon Echo, primeiramente num ambiente sem ruído, numa tentativa de simular um cenário de automação doméstica simplificado, e seguidamente, num laboratório onde existia bastante atividade gerada por uma série de dispositivos, assim como interferências. De seguida, os modelos foram testados com dados semelhantes mas contendo um nó comprometido, que periodicamente enviava um ficheiro para uma máquina local. Os dados mostram que, em ambas as situações, foi possível atingir taxas de precisão de deteção na ordem dos 99%. Este trabalho também propõe uma arquitetura para integrar os modelos previamente validados em ambientes de produção. Nesta arquitetura é definido todo o percurso dos dados, que são capturados e processados pelos sniffers, enviados para um broker, e lidos pela instância de classificação correspondente no servidor central. Este “servidor” é responsável por gerir as instâncias de consumo de dados/ classificação, armazenar as janelas de features e a respetiva etiqueta, e por retreinar os modelos periodicamente para que estes acompanhem as alterações dos padrões da rede. Foi realizada uma série de testes para verificar se a plataforma é capaz de escalar com um aumento do número de probes, mostrando que, devido a limitações de memória, é recomendável dividir os classificadores por diversas máquinas.