Systèmes de détection et prévention d'intrusion pour les réseaux de capteurs sans fil

Les systèmes de détection et prévention d'intrusion pour les réseaux de capteurs sans fil désignent l'ensemble des techniques et mesures prises pour détecter et protéger les réseaux de capteurs sans-fil des attaques informatiques.

Les réseaux de capteurs sans-fil sont des cibles vulnérables pour les hackers, qui peuvent interagir physiquement avec les réseaux et les objets.

Les organisations qui exploitent ces réseaux cherchent à mettre en place des solutions de détections d'intrusion pour se protéger contre les attaques communes. Les solutions existantes pour les réseaux traditionnels ne sont pas adaptées aux spécificités des réseaux de capteurs sans-fil, et il est nécessaire d'en développer de nouvelles. Des prototypes existent à l'état de projets de recherches.

Problématiques spécifiques à l'internet des objets

L'internet des objets est caractérisé par une grande diversité de périphériques, de services, de protocoles et de matériels[1].

En héritant des technologies IP et des liaisons sans fil à faible consommation énergétique, les systèmes composant l'internet des objets héritent des vulnérabilités et des problématiques de sécurité de ces technologies. De plus, ils sont la cible d'attaques spécifiques à l'architecture de leurs réseaux, notamment les protocoles de routage. L'utilisation de chiffrement et d'authentification ne suffit pas à garantir la sécurité du système[2],[3],[4]

Les ressources des nœuds étant limitées, ils ne peuvent pas toujours se défendre seuls contre un attaquant plus fort, tels qu'un ordinateur portable[5] Les terminaux composant l'internet des objets sont également vulnérables aux attaques physiques, c'est-à-dire pour lesquelles l'adversaire à un accès physique au périphérique[6],[7].

L’hétérogénéité, les faibles ressources de calcul et le caractère distribués des nœuds rendent difficiles le déploiement de système de détection d'intrusion classique[6],[8]. Les systèmes de détection existant ne sont pas conçus pour ces problématiques et il n'existe pas de système de détection d'intrusions universel à l'internet des objets[2],[9]

Analyse des risques

Garcia-Morchon identifie les risques suivants pour l'internet des objets[10],[11].

Fabrication Déploiement Opération
Objet Clonage du périphérique. Porte dérobée Substitution du périphérique Vie privée. Extraction de valeurs secrètes
Couche applicative Remplacement du firmware
Couche transport Eavesdropping & Attaque de l'homme du milieu Eavesdropping & Attaque de l'homme du milieu
Couche réseau Eavesdropping & Attaque de l'homme du milieu Attaque par déni de service. Attaque sur les protocoles de routages (Attaque Sinkhole, Attaque Sybil, Attaque Wormhole)
Couche physique Attaque par déni de service

Architectures

Les techniques de détections d'intrusions peuvent être classées en deux catégories, selon qu'elles soient centralisées ou non[12].

Dans une architecture centralisée, les stations de bases sont utilisés pour détecter les attaques. Les stations récoltent les données des nœuds et déterminent les nœuds malveillants[13].

À l'inverse, on peut distribuer la détection des attaques en collectant les informations dans des nœuds de confiance répartis sur le réseau[14],[15].

Les IDS distribués peuvent être classés suivant qu'ils déterminent les nœuds de confiance statiquement, ou dynamiquement. Dans le second cas, les nœuds chargés de la protection du réseau varient au cours du temps[16].

Mécanismes de détection des attaques courantes

Malgré l'absence de solution universelle, des techniques existent pour la détections d'attaques courantes.

Attaque Sinkhole

L'attaque Sinkhole est une attaque où l'adversaire attire tout le trafic à lui. Dans une attaque Sinkhole, un nœud compromis étend sa sphère d'influence et tente d'attirer le trafic des nœuds voisins vers lui[17],[18],[19],[3]

Une attaque Sinkhole peut avoir pour conséquence une augmentation de la consommation réseau, ce qui augmente la consommation énergétique des périphériques et réduit la durée de vie du réseau[18]

Détection

L'architecture INTI (Intrusion detection for SiNkhole attacks over 6LoWPAN) propose un modèle de détection basé sur la réputation, et la confiance accordée à chacun des nœuds[20]. Chacun des nœuds calcule un indice modélisant la réputation des autres nœuds. Les nœuds propagent ensuite leurs status, qui sont analysés par le système de détection d'intrusion. On applique la théorie de Dempster-Shafer pour réduire les faux positifs[21].

La réputation de chaque nœud est comparée à un seuil, qui détermine si le nœud est bon ou s'il est considéré comme un attaquant[22].

Réponse

Cervantes propose un module qui diffuse un message de broadcast en guise d'alarme à tous les nœuds du réseau. Ils coupent les connexions avec les nœuds malveillants, ce qui les isole du réseau sain[22].

Attaque Sybil

L'attaque Sybil est une attaque où l'attaquant manipule une ou plusieurs identités à un instant donné. L'adversaire apparait dans de multiples locations à un instant donné. Dans le cadre de l'internet des objets, l'attaquant est susceptible d'altérer les données produites par les nœuds, et d'atteindre à la confidentialité des données échangées par les utilisateurs[23],[24],[3].

Le but de l'attaque Sybil est de corrompre la table de routage et réduire l'efficacité des mécanismes de tolérance aux fautes[25],[26].

Détection

L'attaque Sybil est caractérisée par l'existence de nœuds ayant une identité différente, mais partageant la même location physique[27].

L'approche de Sharma propose un modèle « léger » dans lequel le réseau définit un seuil de débit. Lorsqu'un nœud entre dans le réseau, les nœuds voisins calculent la valeur RSS (Received Signal Strength), c'est-à-dire la force du signal reçu.

Si la valeur RSS calculée est supérieure au seuil, alors le nœud est considéré comme Sybil[24]. Tian propose de triangulariser la position réelle d'un nœud, et de la comparer à un écart acceptable[28].

Attaque Wormhole

L'attaque Wormhole est un scénario dans lequel un attaquant enregistre les paquets en un point, et les rejoue à un autre. Il peut utiliser un autre lien physique, avec une latence plus faible que celle utilisé par le réseau ciblé[29],[3].

Prévention

Hu introduit un mécanisme de laisse : on ajoute à chaque paquet transmis une information limitant la distance que peut parcourir le paquet. Les laisses peuvent être de type géographique, ou temporel. Ainsi, le destinataire d'un paquet peut détecter si un paquet reçu a parcouru une distance supérieure à celle autorisée par sa laisse. Dans ce cas, une attaque Wormhole est peut-être en cours[30].

Détection

Buch propose une approche statistique pour la détection d'attaque Wormhole : après avoir mesuré les quantités de données émises et reçues par chacun des nœuds surveillés, on peut comparer ces valeurs avec celles des nœuds voisins. Idéalement, le nombre de paquets envoyés à un nœud est la somme des paquets à destination de ce nœud reçus par ses voisins. Lorsque cette équation n'est pas satisfaite, une attaque Wormhole est peut-être en cours.

Deni de service

L'introduction d'objets connectés dans la vie courante, plus spécifiquement ceux intégrés dans des systèmes critiques, tels que des services médicaux ou industries énergiques, augmente l'impact que peut entrainer un déni de service dans un réseau d'objets connectés[31],[32].

Détection

Le système de détection de déni de service doit être lui-même résistant au déni de service. Plus précisément, le système de détection de déni de service doit s'activer avant que l'attaque ne rende ledit réseau inopérant[33].

Kasinathan propose une solution de détection dans laquelle des nœuds surveillent le trafic physique à l'aide de sondes dédiées, qui émettent des alertes à destination d'un centre de contrôle. Ce centre de contrôle corrèle les alertes reçues avec d'autres métadonnées pour analyser et confirmer une éventuelle attaque[34].

Pour pouvoir communiquer efficacement en cas de déni de service, les sondes communiquent avec le centre de contrôle à l'aide d'un canal physique différent de celui des nœuds à surveiller[35].

Prototypes

Alors qu'il n'existe pas de solution adoptée par l'industrie, des universitaires ont proposé des prototypes de systèmes de détection d'intrusion qui intègrent certains des mécanismes de détection exposés précédemment.

INTI

INTI (Instrusion detection for SiNkhole attacks over 6LoWPAN for InterneT of ThIngs) est une implémentation de système de détection d'intrusion pour le simulateur Cooja proposée par Cervantes. INTI regroupe les nœuds en clusters, puis les classe suivant leurs rôles dans le réseau; leader, associé (qui relaie le trafic entre clusters), ou simple membre. En plus des classiques stations de bases. Ce rôle peut changer au cours du temps, en cas de reconfiguration du réseau; panne d'un objet, réaction à une attaque[36].

Dans son fonctionnement, les nœuds propagent leurs status aux nœuds leaders, lesquels classent les nœuds selon un indice modélisant leur bienveillance. Les leaders déterminent la réputation de chacun des nœuds. Si la réputation est inférieure à un seuil, le nœud est considéré comme malveillant, et est isolé du réseau [20].

Pour isoler un nœud du réseau, Cervantes détermine trois procédures, suivant que le nœud à isoler soit leader, associé ou bien membre.

SVELTE

SVELTE est un prototype de système de détection d'intrusion pour le système d'exploitation Conkiti proposé par Raza. Il intègre notamment un mini pare-feu distribué pour répondre aux alertes. SVELTE est un système hybride, c'est-à-dire qu'il a des composantes centralisées et des composantes distribuées entre les nœuds. Notamment, il s'installe à la fois sur les nœuds, et sur le routeur qui fait le lien entre la zone interne des objets et le reste de l'internet[37]. Il est conçu principalement pour détecter les attaques sur les protocoles de routages[38].

SVELTE a pour objectif de détecter les attaques suivantes[39] :

  • Sinkhole
  • Selective-Forwarding
  • Paquets forgés

De plus, SVELTE se veut extensible pour ajouter des modules de détections[40].

Références

  1. Gamundani 2015, p. 115
  2. a et b Kasinathan 2013, p. 601
  3. a b c et d Soni 2013, p. 30
  4. Raza 2013, p. 2663
  5. Sarigiannidis 2015, p. 2633
  6. a et b Fu 2011
  7. Chen 2009, p. 64
  8. Chen 2009, p. 53
  9. Raza 2013, p. 2664
  10. Garcia-Morchon 2014, p. 10
  11. Venckauskas 2015, p. 464
  12. Kasinathan 2013
  13. Chen 2009, p. 60
  14. Amaral 2014, p. 1798
  15. Chen 2009, p. 62
  16. Amaral 2014, p. 1797
  17. Krontiris 2008, p. 527
  18. a et b Singh-Tomar 2014, p. 799
  19. Salehi 2013, p. 362
  20. a et b Cervantes 2015, p. 608
  21. Cervantes 2015, p. 609
  22. a et b Cervantes 2015, p. 610
  23. Zhang 2014, p. 373
  24. a et b Sharma 2014, p. 477
  25. Sarigiannidis 2015, p. 2638
  26. Venckauskas 2015, p. 465
  27. Tian 2015, p. 295
  28. Tian 2015, p. 297
  29. Prasannajit 2010, p. 283
  30. Hu 2006, p. 372
  31. Mozzaquatro 2015
  32. Venckauskas 2015, p. 461
  33. Kasinathan 2013, p. 602
  34. Kasinathan 2013, p. 603
  35. Kasinathan 2013, p. 604
  36. Cervantes 2015, p. 607
  37. Raza 2013, p. 2662
  38. Raza 2013, p. 2668
  39. Raza 2013, p. 2665
  40. Raza 2013, p. 2672

Bibliographie

  • (en) Rongrong Fu, Kangfeng Zheng, Dongmei Zhang et Yixian Yang (2011-11) « An intrusion detection scheme based on anomaly mining in internet of things » dans 4th IET International Conference on Wireless, Mobile Multimedia Networks (ICWMMN 2011) 4th IET International Conference on Wireless, Mobile Multimedia Networks (ICWMMN 2011): 315–320 p. (DOI:10.1049/cp.2011.1014). 
  • (en) S.P. Singh Tomar et B.K. Chaurasia (2014-11) « Detection and Isolation of Sinkhole Attack from AODV Routing Protocol in MANET » dans 2014 International Conference on Computational Intelligence and Communication Networks (CICN) 2014 International Conference on Computational Intelligence and Communication Networks (CICN): 799–802 p. (DOI:10.1109/CICN.2014.171). 
  • (en) H. Sharma et R. Garg (2014-09) « Enhanced lightweight sybil attack detection technique » dans Confluence The Next Generation Information Technology Summit (Confluence), 2014 5th International Conference - Confluence The Next Generation Information Technology Summit (Confluence), 2014 5th International Conference -: 476–481 p. (DOI:10.1109/CONFLUENCE.2014.6949365). 
  • (en) A.M. Gamundani (05 2015) « An impact review on internet of things attacks » dans 2015 International Conference on Emerging Trends in Networks and Computer Communications (ETNCC) 2015 International Conference on Emerging Trends in Networks and Computer Communications (ETNCC): 114–118 p. (DOI:10.1109/ETNCC.2015.7184819). 
  • (en) Bin Tian, Yizhan Yao, Lei Shi, Shuai Shao, Zhaohui Liu et Changxing Xu (2013-11) « A novel sybil attack detection scheme for wireless sensor network » dans 2013 5th IEEE International Conference on Broadband Network Multimedia Technology (IC-BNMT) 2013 5th IEEE International Conference on Broadband Network Multimedia Technology (IC-BNMT): 294–297 p. (DOI:10.1109/ICBNMT.2013.6823960). 
  • (en) J.P. Amaral, L.M. Oliveira, J.J.P.C. Rodrigues, Guangjie Han et Lei Shu (2014-06) « Policy and network-based intrusion detection system for IPv6-enabled wireless sensor networks » dans 2014 IEEE International Conference on Communications (ICC) 2014 IEEE International Conference on Communications (ICC): 1796–1801 p. (DOI:10.1109/ICC.2014.6883583). 
  • (en) P. Sarigiannidis, E. Karapistoli et A.A. Economides (2015-06) « VisIoT: A threat visualisation tool for IoT systems security » dans 2015 IEEE International Conference on Communication Workshop (ICCW) 2015 IEEE International Conference on Communication Workshop (ICCW): 2633–2638 p. (DOI:10.1109/ICCW.2015.7247576). 
  • (en) B. Prasannajit, Venkatesh, S. Anupama, K. Vindhykumari, S.R. Subhashini et G. Vinitha (2010-08) « An Approach Towards Detection of Wormhole Attack in Sensor Networks » dans 2010 First International Conference on Integrated Intelligent Computing (ICIIC) 2010 First International Conference on Integrated Intelligent Computing (ICIIC): 283–289 p. (DOI:10.1109/ICIIC.2010.54). 
  • (en) C. Cervantes, D. Poplade, M. Nogueira et A. Santos (2015-05) « Detection of sinkhole attacks for supporting secure routing on 6LoWPAN for Internet of Things » dans 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM) 2015 IFIP/IEEE International Symposium on Integrated Network Management (IM): 606–611 p. (DOI:10.1109/INM.2015.7140344). 
  • (en) B.A. Mozzaquatro, R. Jardim-Goncalves et C. Agostinho (2015-10) « Towards a reference ontology for security in the Internet of Things » dans 2015 IEEE International Workshop on Measurements Networking (M N) 2015 IEEE International Workshop on Measurements Networking (M N): 1–6 p. (DOI:10.1109/IWMN.2015.7322984). 
  • (en) S.A. Salehi, M.A. Razzaque, P. Naraei et A. Farrokhtala (2013-07) « Detection of sinkhole attack in wireless sensor networks » dans 2013 IEEE International Conference on Space Science and Communication (IconSpace) 2013 IEEE International Conference on Space Science and Communication (IconSpace): 361–365 p. (DOI:10.1109/IconSpace.2013.6599496). 
  • (en) I. Krontiris, T. Giannetsos et T. Dimitriou (2008-10) « Launching a Sinkhole Attack in Wireless Sensor Networks; The Intruder Side » dans Networking and Communications, 2008. WIMOB '08. IEEE International Conference on Wireless and Mobile Computing, Networking and Communications, 2008. WIMOB '08. IEEE International Conference on Wireless and Mobile Computing,: 526–531 p. (DOI:10.1109/WiMob.2008.83). 
  • (en) P. Kasinathan, C. Pastrone, M.A. Spirito et M. Vinkovits (2013-10) « Denial-of-Service detection in 6LoWPAN based Internet of Things » dans 2013 IEEE 9th International Conference on Wireless and Mobile Computing, Networking and Communications (WiMob) 2013 IEEE 9th International Conference on Wireless and Mobile Computing, Networking and Communications (WiMob): 600–607 p. (DOI:10.1109/WiMOB.2013.6673419). 
  • (en) Shahid Raza, Linus Wallgren et Thiemo Voigt, « SVELTE: Real-time intrusion detection in the Internet of Things », Ad Hoc Networks, vol. 11, no 8,‎ , p. 2661–2674 (ISSN 1570-8705, DOI 10.1016/j.adhoc.2013.04.014, lire en ligne, consulté le )
  • (en) Kuan Zhang, Xiaohui Liang, Rongxing Lu et Xuemin Shen, « Sybil Attacks and Their Defenses in the Internet of Things », IEEE Internet of Things Journal, vol. 1, no 5,‎ , p. 372–383 (ISSN 2327-4662, DOI 10.1109/JIOT.2014.2344013)
  • (en) Yih-Chun Hu, A. Perrig et D.B. Johnson, « Wormhole attacks in wireless networks », IEEE Journal on Selected Areas in Communications, vol. 24, no 2,‎ , p. 370–380 (ISSN 0733-8716, DOI 10.1109/JSAC.2005.861394)
  • (en) Xiangqian Chen, Kia Makki, Kang Yen et N. Pissinou, « Sensor network security: a survey », IEEE Communications Surveys Tutorials, vol. 11, no 2,‎ , p. 52–73 (ISSN 1553-877X, DOI 10.1109/SURV.2009.090205)
  • (en) Algimantas Venckauskas, Robertas Damasevicius, Vacius Jusas, Jevgenijus Toldinas, Darius Rudzika et Giedre Dregvaite, « A review of cyber-crime in internet of things technologies, investigation methods and digital forensics », IJESRT,‎ (ISSN 2277-9655, lire en ligne, consulté le )
  • (en) Vinay Soni, « Detecting Sinkhole Attack in Wireless Sensor Network », (consulté le )
  • (en) Oscar Garcia-Morchon, Sandeep Kumar, Rene Struik, Sye Keoh et Rene Hummen, « Security Considerations in the IP-based Internet of Things » (consulté le )