Please use this identifier to cite or link to this item:
http://hdl.handle.net/10773/28616
Title: | Physical layer anomaly detection mechanisms in IoT networks |
Other Titles: | Mecanismos para deteção de anomalias na camada física em redes IoT |
Author: | Martins, Pedro de Bastos |
Advisor: | Sargento, Susana Paulo Jorge Salvador Serra Ferreira, |
Keywords: | IoT networks Network monitoring Radio signal monitoring Anomaly detection One-class classification Machine learning |
Defense Date: | Dec-2019 |
Abstract: | With the advent of wireless mesh networks and the Internet of Things (IoT), security
risks inherent to these types of networks, either non-authorized use of the
network or data exfiltration, have grown in number. Most of the approaches currently
available for anomaly detection in IoT networks perform frame and packet
inspection, which may inadvertently reveal the private behavioral patterns of its
users. Additionally, those whose focus falls on the physical layer data often use Received
Signal Strength Indicator (RSSI) as a distance metric and perform anomaly
detection according to the nodes’ relative distance, or use spectrum values directly
as inputs of classification models without any data exploration.
This Dissertation proposes privacy-focused mechanisms for anomaly detection,
which analyses radio activity at the physical layer, measuring silence and activity
periods. We then extract features from the duration of these periods, perform
data exploration and feature engineering, and use them for training both classical
and neural network approaches of One-Class Classification (OCC) models.
We train our models with data captured from interactions with an Amazon Echo,
first on a noise-free environment, simulating a home-automation scenario, and second
with multiple devices generating background data exchanges on a lab full of
devices and interference. We then test them against similar scenarios with a tampered
network node, periodically uploading data to a local machine. Our data show
that, in both situations, the best performing model is able to detect anomalies with
a 99% precision rate.
This work also proposes a framework for deploying the validated models into a
production environment. This proposal defines the entire data pipeline, which is
recorded and processed at the sniffers, sent to a message broker, and consumed
by the corresponding probe’s classifier instance at a central server. This “server”
is responsible for managing the consumer/classifier instances, storing the windows
of features and respective labels, and periodically re-train the models so that they
can adapt to the behavioral changes on the network. We performed series of tests
to assert if this architecture is able to scale with a higher number of probes; these
tests showed that, due to memory constraints, it is advisable to split the data
consumers and classifiers across different physical hosts. Com o aparecimento das redes em malha sem-fios e da Internet of Things (IoT) aumentam também os riscos associados à segurança das mesmas, seja pelo uso indevido da rede ou exfiltração de informação. A maioria das soluções atuais para deteção de anomalias em redes IoT baseiam-se em analisar tramas ou pacotes, o que, inadvertidamente, pode revelar padrões de comportamento dos utilizadores, que estes considerem privados. Além disso, as soluções que se focam em inspecionar dados da camada física normalmente usam a potência de sinal recebido (RSSI) como uma métrica de distância e detetam anomalias baseadas na posição relativa dos nós da rede, ou usam os valores do espetro diretamente em modelos de classificação sem prévio tratamento de dados. Esta Dissertação propõe mecanismos para deteção de anomalias, assegurando simultaneamente a privacidade dos seus nós, que se baseiam na análise de atividade rádio na camada física, medindo a duração de períodos de silêncio e atividade. Depois da extração de propriedades que caracterizam estes períodos, é realizada uma exploração dos dados e um estudo das mesmas, sendo depois usadas para treinar modelos de classificação mono-classe, tanto usando algoritmos clássicos como redes neurais. Os modelos são treinados com dados retirados de uma série de interações com um Amazon Echo, primeiramente num ambiente sem ruído, numa tentativa de simular um cenário de automação doméstica simplificado, e seguidamente, num laboratório onde existia bastante atividade gerada por uma série de dispositivos, assim como interferências. De seguida, os modelos foram testados com dados semelhantes mas contendo um nó comprometido, que periodicamente enviava um ficheiro para uma máquina local. Os dados mostram que, em ambas as situações, foi possível atingir taxas de precisão de deteção na ordem dos 99%. Este trabalho também propõe uma arquitetura para integrar os modelos previamente validados em ambientes de produção. Nesta arquitetura é definido todo o percurso dos dados, que são capturados e processados pelos sniffers, enviados para um broker, e lidos pela instância de classificação correspondente no servidor central. Este “servidor” é responsável por gerir as instâncias de consumo de dados/ classificação, armazenar as janelas de features e a respetiva etiqueta, e por retreinar os modelos periodicamente para que estes acompanhem as alterações dos padrões da rede. Foi realizada uma série de testes para verificar se a plataforma é capaz de escalar com um aumento do número de probes, mostrando que, devido a limitações de memória, é recomendável dividir os classificadores por diversas máquinas. |
URI: | http://hdl.handle.net/10773/28616 |
Appears in Collections: | UA - Dissertações de mestrado DETI - Dissertações de mestrado |
Files in This Item:
File | Description | Size | Format | |
---|---|---|---|---|
Pedro de Bastos Martins.pdf | 8.04 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.