Beholder : um sistema de detecção e prevenção contra intrusão em ambientes da internet das coisas baseado em processamento de eventos complexos

Abstract

A Internet das Coisas (Internet of Things - IoT) caracteriza-se por um conjunto de objetos inteligentes que se comunicam entre sí. Na IoT, os protocolos da camada de aplicação formam a base das comunicações entre aplicativos e serviços. A segurança nos dispositivos e comunicações é considerado um aspecto de design opcional nos protocolos da camada de aplicação, levando os desenvolvedores a negligenciar configurações de segurança disponíveis, ou mesmo não terem mecanismos de segurança em sua configuração padrão. Os Sistemas de Detecção e Prevenção de Intrusões (IDPS) podem melhorar a segurança da IoT, identificando possíveis problemas de segurança, alertando administradores ou agindo automaticamente para proteger o ambiente contra ameaças. Entretanto, as técnicas de IDPS não são projetadas para dispositivos com recursos limitados e precisam ser adaptadas. Esta tese apresenta o Beholder, um Sistema de Detecção e Prevenção de Intrusão (IDPS) para prevenir ataques aos protocolos da camada de aplicação da IoT. O Beholder inova ao ser o primeiro IDPS que explora a tecnologia Complex Event Processing (CEP) para detectar ataques da camada de aplicação da IoT. Este trabalho apresenta um cenário real para o processo de avaliação, realizando ataques em uma casa inteligente. Inicialmente, avaliamos a qualidade do nosso IDS, comparando-o com o conhecido Snort IDS. Os resultados demonstraram que Snort atingiu três 9s de precisão, enquanto Beholder atingiu uma precisão de quatro 9s. Adicionalmente, o experimento para avaliar a precisão de Beholder para os protocolos MQTT, CoAP e AMQP revelou que Beholder obteve quatro 9s de precisão para High QoS Flood (MQTT), 100% de precisão Error Flood (CoAP) e dois 9s para o AMQP Brute Force.