Как Cumad накапливает доказательства Unmask, скомпрометированные устройства IoT
2 июля 2025 г.Авторы:
(1) MD Mainuddin, факультет компьютерных наук, Университет штата Флорида, Таллахасси, FL 32306 (mainuddi@cs.fsu.edu);
(2) Zhenhai Duan, кафедра компьютерных наук Флорида Университет штата Таллахасси, FL 32306 (duan@cs.fsu.edu);
(3) Yingfei Dong, факультет электротехники, Гавайский университет Гонолулу, HI 96822 США (yingfei@hawaii.edu).
Таблица ссылок
Аннотация и 1. Введение
2. Связанная работа
3. Фон на AutoEncoder и SPRT и 3.1. AutoEncoder
3.2. Тест на коэффициент последовательного вероятности
4. Дизайн Cumad и 4.1. Сетевая модель
4.2. Cumad: кумулятивное обнаружение аномалий
5. Оценные исследования и 5.1. Набор данных, функции и настройка системы Cumad
5.2. Результаты производительности
6. Выводы и ссылки
Абстрактный-iot-устройствам в корне не хватает встроенных механизмов безопасности, чтобы защитить себя от атак безопасности. Существующие работы по повышению безопасности IoT в основном сосредоточены на обнаружении аномального поведения устройств IoT. Тем не менее, эти существующие схемы обнаружения аномалий могут вызвать чрезвычайно большое количество ложных оповещений, что делает их непригодными для обнаружения скомпрометированных устройств IoT. В этой статье мы разрабатываем эффективную и эффективную структуру, названную Cumad, для обнаружения скомпрометированных устройств IoT. Вместо того, чтобы непосредственно полагаться на отдельные аномальные события, CUMAD стремится накапливать достаточные доказательства при обнаружении нарушенных устройств IoT путем интеграции подсистемы обнаружения аномалий на основе аутокодера с подсистемой последовательной гипотезы на основе последовательного теста гипотезы. CUMAD может эффективно уменьшить количество ложных оповещений при обнаружении скомпрометированных устройств IoT, и, кроме того, он может быстро обнаружить скомпрометированные устройства IoT. Наши оценочные исследования, основанные на наборе данных N-BAIOT общедоступного домена, показывают, что в среднем CUMAD может снизить ложную положительную скорость примерно с 3,57%, используя только схему обнаружения аномалий на основе аутокодера до около 0,5%; Кроме того, CUMAD может быстро обнаружить скомпрометированные устройства IoT, в среднем менее 5 наблюдений.
1. Введение
В последние годы устройства Интернета вещей (IoT) все чаще интегрируются в нашу повседневную жизнь и нашу общество, с заметными примерами, такими как интеллектуальные дома, здравоохранение, транспорт и энергетическая сетка. С одной стороны, это быстрое развитие помогает повысить качество и эффективность нашей повседневной жизни. С другой стороны, эта же разработка также представляет потенциально беспрецедентные проблемы безопасности и конфиденциальности в Интернете, учитывая, что большинство из этих устройств IoT представляют собой недорогие системы с ограниченными вычислениями, памятью и энергетическими ресурсами. Эти устройства часто не имеют надлежащих встроенных механизмов безопасности, чтобы защитить себя и уязвимы для различных атак безопасности.
В прошлом сообщалось о многих атаках безопасности или на основе устройств IoT [1]. В ответ на растущие проблемы безопасности IoT, правительственные учреждения, такие как US NIST, разработали много рекомендаций, которые производители должны принять для снижения рисков безопасности, связанных с устройствами IoT [2]. Кроме того, было предпринято много исследовательских усилий для повышения безопасности IoT, включая как проактивные подходы к улучшению механизмов безопасности устройств IoT, так и более реактивных решений для мониторинга поведения устройств IoT для обнаружения мошенничества или инфицированных устройств IoT [3].
Хотя некоторые из рекомендаций, например, избегание общих учетных данных по умолчанию, относительно легко включены в производство устройств IoT и, безусловно, помогают снизить риски безопасности IoT, устройства IoT по -прежнему являются принципиально уязвимыми для атак безопасности. Как недорогие системы, устройства IoT по своей природе ограничены ресурсами для поддержки передовых механизмов безопасности. Кроме того, с точки зрения как производителей, так и пользователей часто существуют противоречивые цели удобства и безопасности устройств IoT, которые часто препятствуют принятию передовых механизмов безопасности в устройствах IoT.
Учитывая эти ограничения развертывания передовых механизмов безопасности на устройствах IoT, сетевые решения привлекли значительные исследования в последние годы [3]. В частности, многие методы, основанные на машинном обучении (ML), были разработаны при обнаружении аномальных сетевых поведений устройств IoT [3]. (В этой статье мы используем термин ML для обозначения обоих алгоритмов традиционных машинного обучения, таких как алгоритмы SVM и глубокого обучения (DL), такие как RNN.) Однако большинство существующих решений нацелены только на проблему обнаружения аномалий в устройствах IoT [4], вместо того, чтобы обнаружить компромиссные устройства IOT. Хотя обнаружение отдельных аномалий имеет решающее значение в определенных областях применения [5], мы отмечаем, что эти решения не могут быть непосредственно переведены в обнаружение скомпрометированных устройств IoT. Учитывая большой объем сетевого трафика, даже небольшая ложная положительная скорость метода обнаружения аномалий часто может привести к большому количеству ложных оповещений, что делает метод обнаружения непригодным для обнаружения скомпрометированных устройств IoT в развертывании реального мира.
В этой статье мы разрабатываем эффективную и эффективную структуру для обнаружения скомпрометированных устройств IoT, названного CUMAD (кумулятивное обнаружение аномалий). По сути, CUMAD интегрирует подсистему обнаружения аномалий на основе аутокодера с последовательной подсистемой тестирования гипотезы на основе последовательного отношения [6], [7]. В CUMAD нормальное поведение каждого устройства IoT изучается и смоделируется автоэкодором. Во время обучения модели автоэнкодера она изучает скрытое пространство данных обучающих данных. Что еще более важно, из -за характера автоэкодерка он превосходит реконструкцию входов, которые аналогичны данным, используемым при обучении модели, но работают плохо, когда новые данные сильно отличаются от учебных данных, которые проявляются как большие ошибки реконструкции. Хотя AutoEncoder в основном использовался в сокращении размерности и обучении функциям в прошлом, в последние годы он также привлекли большие интересы в обнаружении аномалий во многих различных областях применения.
Вместо того, чтобы сосредоточиться на отдельных аномальных событиях, обнаруженных AutoEncoder, CUMAD стремится накапливать достаточные доказательства, чтобы определить, было ли устройство IoT. В CUMAD вывод подсистемы обнаружения аномалий на основе аутокодера подается в подсистему для тестирования последовательных гипотез на основе SPRT. В отличие от традиционных методов испытаний коэффициента вероятности, которые требуют предопределенного фиксированного количества наблюдений для принятия решения, SPRT работает в сети и обновления по мере появления наблюдений. SPRT приходит к выводу всякий раз, когда наблюдается достаточное количество доказательств. Следовательно, SPRT может быстро принять решение (и, следовательно, CUMAD может быстро обнаружить скомпрометированные устройства IoT).
В этой статье мы разрабатываем структуру CUMAD, и мы также оцениваем производительность CUMAD, используя набор данных IOT общедоступной области N-BAIOT [8], который содержит как доброкачественный, так и (Mirai и Bashlite) атакующий трафик устройств IoT. Наши оценочные исследования показывают, что CUMAD может значительно повысить производительность в обнаружении устройств IoT с точки зрения ложных положительных показателей, например, по сравнению с простой системой обнаружения аномалий на основе аутокодера, CUMAD в среднем снижает ложную положительную скорость с 3,57% до 0,5%, что представляет около 7 раз повышает производительность с точки зрения ложной положительной скорости систем. Кроме того, CUMAD может быстро обнаружить скомпрометированное устройство IoT, в среднем менее 5 последовательных наблюдений. Мы отмечаем, что, хотя и AutoEncoder, и SPRT были предложены в разработке систем обнаружения аномалий, насколько нам известно, мы первыми интегрируем два метода для обнаружения скомпрометированных устройств IoT, вместо того, чтобы использовать отдельно для обнаружения аномалий. Кроме того, мы первыми представят представление о совокупной аномалии при обнаружении скомпрометированных устройств IoT (для более подробной информации см. Раздел 2).
Остальная часть бумаги организована следующим образом. В разделе 2 мы обсуждаем связанную работу. Мы представляем фон на AutoEncoder и SPRT в разделе 3. Мы описываем конструкцию CUMAD в разделе 4 и оцениваем его производительность в разделе 5. Мы завершаем статью в разделе 6.
Эта статья естьДоступно на Arxivв соответствии с CC по 4.0 Deed (Attribution 4.0 International) лицензия.
Оригинал