Proposition de thèse CIFRE : détection d’attaques réseau pour IoT par apprentissage automatique

Encadrants académiques : Isabelle Chrisment (isabelle.chrisment@loria.fr), Abdelkader Lahmadi (lahmadi@loria.fr)

Encadrant industriel : Manuel Capel (manuel.capel@parcoor.com)

Contexte scientifique

Les réseaux IoT et les objets connectés sont déployés dans différents domaines d’application, non seulement pour le grand public, mais également dans les environnements industriels. L’usine du futur s’appuiera sur différents équipements et objets connectés dans les chaînes de production et de contrôles. Ces réseaux s’appuie sur différents protocoles de communication, majoritairement sans fil, à l’instar de BLE, Zwave, WiFI, Zigbee, LORA, etc. Ils présentent également de plus en plus des risques et ils sont devenus à la fois un vecteur et un sujet d’attaque, avec des cas comme le botnet MIRAI exploitant des objets connectés pour mener un DDoS (Déni de Service Distribué) sur les serveurs de l’opérateur Dyn, entraînant la mise en arrêt plusieurs services de l’Internet.

La détection d’attaques réseau pour ces réseaux IoT se heurte aux contraintes en ressources (calcul, mémoire) très fortes pour ces appareils. Ces contraintes empêchent l’utilisation de méthodes couramment utilisées pour des terminaux plus riches (PC, terminaux) comme l’inspection profonde de paquets etc.

Plusieurs travaux existants ont développés des techniques et de méthodes pour détecter des attaques IoT. N-BaIoT (Network-based Detection of IoT Bot- net Attacks using Deep Autoencoders) [3] est une méthode pour détecter les at- taques de botnet IoT qui s’appuie sur des auto-encodeurs profonds pour chaque appareil, entraînés sur les caractéristiques statistiques extraites de données de trafic bénignes. Lorsque qu’on applique aux nouvelles données (éventuellement infectées) d’un appareil IoT, les anomalies détectées peuvent indiquer que l’appareil est compromis. Cette méthode comprend les principales étapes suivantes : la collecte de données, l’extraction de caractéristiques, l’entraînement du détecteur d’anomalies et la surveillance continue.

Des méthodes de détection hybrides sont également proposées pour répondre au manque des modèles de détection des attaques multiples dans les IDS (Intrusion Detection System) existants. L’approche [5] est basée sur le modèle du réseau neuronal convolutif hybride et elle est divisée en quatre étapes telles que la collecte de données, le prétraitement des données, l’entraînement du réseau et enfin l’identification de l’attaque. D’abord, le système des log et ses caractéristiques sont sélectionnées en tant que données. Il est ensuite pré-traité pour supprimer les bruits indésirables, puis ces données affinées sont fournies comme l’entrée du modèle d’apprentissage en définissant préalablement les hyperparamètres de la couche convolutive tels que la taille de la fenêtre glissante, les poids des liens neuronaux et les sorties. Enfin, dans la phase de détection, les données entraînées et les informations réelles collectées sont traitées ensemble pour obtenir le poids et la période d’entraînement est utilisée pour détecter les at- taques. Cette méthode atteint une meilleure précision de détection de 98%.

L’approche Realguard [4] réside en sa capacité à détecter avec précision plu- sieurs cyberattaques en temps réel avec une empreinte de calcul limitée. Cette approche s’appuie sur un mécanisme d’extraction de caractéristiques léger et un modèle de détection d’attaque efficace alimenté par des réseaux de neurones profonds. Cette évaluations sur des ensembles de données pratiques indiquent que Realguard pourrait détecter dix types d’attaques (par exemple, analyse de port, Botnet et FTP- Patator) en temps réel avec un précision moyenne de 99,57%. De plus, cette proposition fonctionne efficacement sur des passerelles à contraintes de ressources (Raspberry PI) à un taux de traitement de paquets d’environ 10.600 paquets par seconde.

Realguard est composé de quatre modules principaux : le module d’observation de paquets (POC), le module d’extraction de caractéristiques (FEC), le module de détection d’attaque (ADC) et enfin le module de gestion des actions après la détection d’un trafic anormal.

D’autres méthodes allient à la fois la détection et la mitigation sont proposées. Notamment, le travail [1] qui décrit un système robuste et distribué qui détecte les attaques des nœuds dans un réseau IoT à l’aide de l’apprentissage basé sur le système multi-agents qui utilise les réseaux de neurones graphiques pour fournir des alertes d’attaque et exploite la détection des attaques dans l’ordre pour atténuer automatiquement ces attaques en redirigeant les flux sensibles loin du réseau compromis en utilisant l’apprentissage par renforcement, tout en tenant compte de la QoS des différents chemins du réseau. IoT-KEEPER [2] est une approche utilisant le contrôleur SDN et Open vSwitch (OVS) pour surveiller et analyser les flux entrants et effectuer un filtrage du trafic. Dans l’implémentation de prototype, le contrôleur et l’OVS s’exécutent sur le même nœud. Cependant, l’architecture IoT-KEEPER prend en charge les déploiements hiérarchiques, où une seule instance de IoT-KEEPER gère plusieurs commutateurs OpenFlow dans le réseau. Cette méthode exploite trois modules (module de surveillance, module de détection et le module d’application) pour surveiller le trafic réseau, analyser et détecter le trafic malveillant et appliquer le contrôle d’accès au réseau pour les appareils IoT.

Sujets et objectifs

L’objectif de cette thèse serait de concevoir une méthode innovante et efficace en terme de consommation de ressource et de performance de détection pour les attaques réseaux contre les appareils IoT qui puisse s’adapter à une gamme la plus vaste possible d’appareils. Pour palier les contraintes de ressources, l’entreprise Parcoor a développé une méthode de détection basée sur l’extraction de features quantitatives issues du trafic couplée à des méthode de machine-learning issues d’arbres de décisions. Cette méthode donne de bon résultats avec une surcharge sur les ressources (processeur, mémoire) limitée, mais peut sans doute être encore améliorée.

Le premier objectif de la thèse est d’améliorer la solution proposée par Parcoor en terme de consommation de ressources et de performance de détection. Les fonctions de détection doivent être également placées de manière optimale dans le réseau et s’adapter aux ressources disponibles en évitant la dégradation de la qualité de service et des performance, notamment des applications critiques et temps réel. Étant donné une configuration réseau, il n’est pas évident de comprendre quelle modèle de détection est le plus adapté. Nous préconisons une solution flexible, complètement automatique pour le choix du modèle et son adaptation à l’environnement cible.

Le deuxième objectif est de maximiser la couverture des modèles de détection et leur généralisation aux différents appareils et protocoles IoT. La multiplicité des types d’appareils et des protocoles dans les réseaux IoT est un défi à soulever pour atteindre cet objectif, notamment pour construire des modèles assez générique avant déploiement et ensuite assez spécialisés dès qu’ils sont déployés sur un équipement. Nous appliquons ici des techniques de synthèse et de  mining pour inférer des modèles assez généraux en fouillant les comportements du réseau, qu’on les affinent ensuite pour une cible particulière.

Le troisième objectif est de valider les modèles et le système de détection sur une plateforme d’expérimentations avec différents réseaux IoT.

Environnement et modalités de candidature

Il s’agit d’une thèse CIFRE entre l’entreprise Parcoor 1 basé à Lyon et le laboratoire LORIA 2 à Nancy. L’étudiant en thèse fera sa recherche majoritairement au laboratoire LORIA. Les compétences requises sont les suivantes :

  • Bac+5 en informatique ou équivalent
  • Connaissances en réseaux informatiques et apprentissage automatique
  • Connaissances en cybersécurité sont souhaitées.

Les dossier de candidature est à envoyer à Abdelkader Lahmadi (lahmadi@ loria.fr) et Manuel Capel (manuel.capel@parcoor.com) :

  • CV
  • Une lettre de motivation
  • Diplôme master ou ingénieur et les bulletins de notes de 3 dernières années
  • Une ou plusieurs lettres de recommandation

Références

[1] Erol Gelenbe, Piotr Fröhlich, Mateusz Nowak, Stavros Papadopoulos, Aika- terini Protogerou, Anastasios Drosou, and Dimitrios Tzovaras. Iot network attack detection and mitigation. In 2020 9th Mediterranean Conference on Embedded Computing (MECO), pages 1–6. IEEE, 2020.

[2]  Ibbad Hafeez, Markku Antikainen, Aaron Yi Ding, and Sasu Tarkoma. Iot- keeper : Detecting malicious iot network activity using online traffic analy- sis at the edge. IEEE Transactions on Network and Service Management, 17(1) :45–59, 2020.

[3]  Yair Meidan, Michael Bohadana, Yael Mathov, Yisroel Mirsky, Asaf Shabtai, Dominik Breitenbacher, and Yuval Elovici. N-baiot—network-based detec- tion of iot botnet attacks using deep autoencoders. IEEE Pervasive Com- puting, 17(3) :12–22, 2018.

[4]  Xuan-Ha Nguyen, Xuan-Duong Nguyen, Hoang-Hai Huynh, and Kim-Hung Le. Realguard : A lightweight network intrusion detection system for iot gateways. Sensors, 22(2) :432, 2022.

[5]  S Smys, Abul Basar, Haoxiang Wang, et al. Hybrid intrusion detection system for internet of things (iot). Journal of ISMAC, 2(04) :190–199, 2020.

Logo d'Inria