Anotace
Tato dizertační práce se zabývá detekcí průniku v bezdrátových
senzorových sítích, které jsou speciálním druhem
distribuovaných systémů. Uzly v těchto sítích jsou výrazně
omezené ve výpočetním výkonu a ještě více v bezdrátové
komunikaci. Předpokládáme, že riziko zneužití uzlu je vysoké,
jelikož síť je často rozmístěna v prostorech přístupných
útočníkovi. Navíc kvůli požadavkům na cenu zařízení nejsou uzly
vybaveny ochrannými mechanizmy proti útočníkovi. Proto útočník
může jakýkoliv uzel ovládnout, rozbít ho nebo přeprogramovat
tak, aby mohl provádět útoky na síť. V literatuře popsané útoky
na bezdrátové senzorové sítě jsou jednoduché ale efektivní.
Systémy detekce průniků považujeme za nezbytný prvek sítě,
který by ji měl ochránit před těmito útoky. Naše práce se
zabývá vybranými aspekty detekce průniku v bezdrátových
senzorových sítích: ohodnocením, simulací a nastavením systémů
detekce průniků.
Předpokládáme, že systém detekce průniku pro bezdrátovou
senzorovou síť běží na základní stanici a uzlech, které sbírají
informace o svých sousedech. Sebrané informace mohou být
analyzovány na senzorových uzlech a/nebo na základní stanici.
Klasifikovali jsme spolupracující systémy detekce průniku na
základě toho, jak jsou rozdělené zodpovědnosti mezi
monitorujícími uzly: jak se mezi nimi sdílí informace, jak je
realizováno finální rozhodování ohledně toho, zda bude
monitorovaný uzel považován za útočníka nebo ne.
Dále jsme navrhli metriky pro ohodnocení systémů detekce
průniku v bezdrátových senzorových sítích. Rozdělili jsme je do
dvou skupin: metriky pro ohodnocení detekční techniky bez
reakce a s reakcí na detekovaný útok. Mezi ně patří mimo jiné i
metriky, které jsou široce používané pro ohodnocení systémů
detekce průniku v tradičních metalických a bezdrátových sítích:
počet falešně pozitivních výsledků, počet falešně negativních
výsledků, spotřeba paměti a energie. Naše klasifikace ukázala,
že systémy detekce průniku mohou zahrnovat komplikované
mechanizmy pro rozhodování a sdílení informací. Námi navrhnuté
metriky jsou pokusem o rozšíření tradičních metrik tak, aby je
bylo možné použít k ohodnocení vysoce distribuovaných systémů
detekce průniku v bezdrátových senzorových sítích.
Simulátor je nenahraditelný nástroj pro výzkum v oblasti
bezdrátových senzorových sítí. Experimenty na reálné síti
obsahující stovky senzorových uzlů jsou podstatně časově
náročnější než simulace, které poskytují jednoduché a relativně
rychlé ohodnocení různých návrhů. Pokud nejsou použity
realistické modely nebo tyto modely nejsou dobře nakalibrované,
výsledky simulací mohou byt nepřesné. Simulace systémů detekce
průniku není výjimkou. Pro jejich co nejpřesnější simulaci je
potřeba pečlivě vybrat a nakalibrovat modely pro anténu,
propagaci rádiového signálu, šumu, vysílače, spotřebu energie a
protokolu pro kontrolu přístupu k médiu. Nakalibrovali jsme
modely pro spotřebu energie, šumu a propagaci rádiového signálu
a porovnali jsme výsledky simulací ze čtyř současných
simulátorů pro bezdrátové senzorové sítě s výsledky z reálných
experimentů. Zaznamenali jsme, že výsledky simulací se významně
liší i mezi simulátory. Proto jsme prozkoumali zdroje
nesrovnalostí a jejich dopad na ohodnocení systémů detekce
průniku. Implementovali jsme stejný systém detekce průniku ve
třech simulátorech, nakonfigurovali jsme simulátory stejným
způsobem a ohodnotili jsme implementovaný systém vůči stejným
metrikám. Testované simulátory poskytly rozdílné výsledky.
Podařilo se nám najít několik zdrojů těchto nesrovnalostí.
Implementovali jsme systém detekce průniku pro TinyOS –
operační systém pro senzorové uzly. Tento systém detekce
průniku používá odlehčenou a adaptivní techniku pro detekci
anomálií. Udělali jsme analýzu příznaků různých útoků s ohledem
na jejich použitelnost v této technice. Ukázali jsme, že tato
technika muže být použita pro detekci selektivního zahazování
paketů, rušení příjmu nebo odeslání paketů a odeslání informace
o svém sousedství s mnohem větším vysílacím výkonem než
legitimní uzly. Pro konkretní případ použití jsme vyhodnotili
přesnost detekce implementovaného systému v simulátoru TOSSIM.
Existuje více různých scénářů použití bezdrátových senzorových
sítí a jednotné nastavení systému detekce průniku, co se týče
přesnosti detekce a spotřeby energie, není pro všechny z nich
optimální. Navrhli jsme nástroj pro optimalizaci nastavení
systémů detekce průniku pro daný scénář, t.j. pro dané
prostředí, dané parametry senzorových uzlů a dané útoky.
Prototypová implementace nástroje byla postavena na MiXiMu
(simulační nástroj pro bezdrátové a mobilní sítě) a Evolving
Object (nástroj pro výpočty pomocí evolučních algoritmů).
Testovali jsme náš nástroj na třech pečlivě vybraných
scénářích, které se mezi sebou lišily velikostí prohledávaného
prostoru. Ačkoliv jsme se v této práci zaměřili na optimalizaci
systémů detekce průniku, věříme, že náš nastroj může být
rozšířen pro optimalizaci celého síťového zásobníku. …víceméně
Abstract
This thesis targets the area of intrusion detection in wireless
sensor networks, a particular breed of distributed systems with
nodes that are considerably restricted in the computation power
and even more in communication. We assume that the risk of a
node compromise is high since a network is often deployed in an
open area, and a sensor node is not tamper-resistant due to
price restrictions. An attacker can easily access the area,
capture a node, break it or even reprogram it to attack the
network. The state-of-the-art attacks on wireless sensor
networks are simple, but quite effective. The second line of
defence - intrusion detection system, we believe, is an
essential mechanism to protect a network against these attacks.
This thesis targets selected aspects of intrusion detection in
wireless sensor networks, i.e., evaluation, simulation, and
configuration of intrusion detection systems.
An intrusion detection system for a wireless sensor network, we
assume, involves a base station and monitoring nodes, i.e.,
general-purpose sensor nodes that collect audit data about
their neighbours. The collected data can be analysed on sensor
nodes, or/and at the base station. We classified cooperative
intrusion detection systems based on how responsibilities are
separated between the nodes, i.e., how audit data is shared,
and how the decision making is implemented.
Further, we proposed metrics for the evaluation of intrusion
detection systems for wireless sensor networks. We divided the
proposed metrics into two groups: metrics for the evaluation of
a detection technique without a response mechanism, and metrics
for the evaluation of a detection technique together with a
response mechanism. Among others, they include metrics that are
widely used for the evaluation of intrusion detection systems
for conventional networks, i.e., a number of false negatives, a
number of false positives, memory and energy usage. Our
classification showed that intrusion detection systems for
wireless sensor networks may involve intricate audit data
sharing and decision making. The proposed metrics attempt to
extend the conventional metrics so that the proposed metrics
can be used for the evaluation of a highly distributed
intrusion detection system for a wireless sensor network.
A simulator is an irreplaceable tool for the research
community, especially in the field of wireless sensor networks.
When a network includes hundreds of sensor nodes, experiments
on real sensor nodes become a significantly more time consuming
undertaking in comparison to simulations, which provide an easy
and relatively fast evaluation of proposals. However, the
simulation results can be inaccurate when realistic models are
not used or these models are not properly calibrated. A
simulation of an intrusion detection system does not make any
exception. For the accurate simulation of an intrusion
detection system, models for antenna, radio propagation, noise,
radio, medium access control and energy consumption - factors
that can influence the performance of an intrusion detection
system - should be carefully selected and calibrated. We
calibrated log-normal shadowing radio propagation, noise and
energy consumption models, and compared simulation results from
four state-of-the-art simulators for wireless sensor networks
against the data from real experiments. Also, we observed that
simulation results were significantly different between the
simulators. Therefore, we undertook a deeper investigation on
the sources of such differences, and examined their impact on
the evaluation of an intrusion detection system. We implemented
the same intrusion detection system within three simulators,
configured the simulators in the same way, and evaluated the
system using the same evaluation metrics. We found some sources
of the differences, and demonstrated that selected simulators
provided incomparable outcomes.
We implemented an intrusion detection system for the TinyOS -
an operating system for sensor nodes. The intrusion detection
system uses a lightweight and adaptable anomaly-based detection
technique. We analysed symptoms of different attacks for the
applicability of this technique, and showed that the technique
could be used for detection of selective forwarding, jamming
and hello flood attacks. Using the TOSSIM simulator, we
evaluated the detection accuracy of the intrusion detection
system for a given application scenario.
There is a variety of scenarios, and a single configuration of
an intrusion detection system is not optimal for all of them in
terms of detection accuracy and resource consumption. We
proposed a framework that can optimise the configuration for
particular needs, i.e., environment, node parameters,
anticipated attacks, etc. A proof-of-concept implementation of
this framework was built on top of stable and powerful
frameworks - MiXiM (a simulation framework for wireless and
mobile networks) and Evolving Objects (an evolutionary
computation framework). We tested the framework on three
carefully selected scenarios with a different size of their
search space. While we focused on the optimisation of an
intrusion detection system, we believe that this framework can
be extended to optimise the whole network stack. …víceméně