Detecção e prevenção de intrusão em computação de nevoeiro e internet das coisas

Abstract

Técnicas especiais de segurança, como mecanismos de detecção de intrusão, são indispensáveis em sistemas computacionais modernos. No entanto, o contexto da Internet das Coisas apresenta desafios para a aplicação dessas técnicas devido às restrições de recursos envolvidos. É importante detectar e identificar ataques em categorias específicas para aplicar contramedidas adequadas a cada tipo de ameaça. No entanto, as abordagens de detecção multiclasse existentes nesse contexto apresentam alguns pontos fracos, principalmente relacionados aos desafios na identificação de categorias específicas de ataques, ao custo computacional envolvido e aos problemas com falsos positivos. Este trabalho aborda esse problema de pesquisa e avança no estado da arte, propondo uma abordagem de detecção multietapas chamada DNNET-Ensemble, que combina detecção binária e multiclasse. Nessa abordagem, o tráfego benigno é liberado rapidamente no primeiro nível de detecção, enquanto o tráfego intrusivo é submetido a um método Ensemble para análise mais robusta sem causar problemas de latência. Para o primeiro nível de detecção é proposto o método DNNET, com a capacidade de oferecer detecção binária precisa e rápida. Também é apresentada uma estratégia federada para treinar o modelo neural do método DNNET sem enviar dados para a nuvem, preservando assim a privacidade dos dados locais. Além disso, algumas melhorias nos processos de seleção de atributos e no balanceamento de classes são propostas, mudando a redução de custos no treinamento dos métodos de detecção. Por fim, é realizada uma breve análise a respeito das abordagens de execução das contramedidas existentes. Os resultados obtidos a partir de experimentos com conjuntos de dados renomados, contendo tráfego de rede intrusivo, demonstram que a abordagem proposta pode alcançar taxas de detecção superiores em comparação com outras abordagens do estado da arte, além de gerar uma baixa taxa de falsos positivos.

Abstract: Special security techniques, such as intrusion detection mechanisms, are indispensable in modern computing systems. However, the context of the Internet of Things presents challenges for the application of these techniques due to the resource constraints involved. It is important to detect and identify attacks in specific categories to apply countermeasures appropriate to each type of threat. However, existing multi-class detection approaches in this context have some weaknesses, mainly related to challenges in identifying specific categories of attacks, the computational cost involved, and problems with false positives. This work addresses this research problem and advances the state of the art by proposing a multi-step detection architecture called DNNET-Ensemble, which combines binary and multi-class detection. In this approach, benign traffic is quickly released at the first level of detection, while intrusive traffic is subjected to an Ensemble approach for more robust analysis without causing latency issues. For the first level of detection, the DNNET approach is proposed, with the ability to offer accurate and fast binary detection. A federated strategy is also presented to train the neural model of the DNNET method without sending data to the cloud, thus preserving the privacy of local data. Furthermore, some improvements in the attribute selection and class balancing processes are proposed, aiming to reduce costs in training detection methods. Finally, a brief analysis of existing countermeasure execution approaches is carried out. The results obtained from experiments with renowned datasets containing intrusive network traffic demonstrate that the proposed approach can achieve superior detection rates compared to other state-of-the-art approaches, in addition to generating a low false positive rate.