IoT networks are increasingly becoming target of sophisticated new cyber-attacks. Anomaly-based detection methods are promising in finding new attacks, but there are certain practical challenges like false-positive alarms, hard to explain, and difficult to scale cost-effectively. The IETF recent standard called Manufacturer Usage Description (MUD) seems promising to limit the attack surface on IoT devices by formally specifying their intended network behavior. In this paper, we use SDN to enforce and monitor the expected behaviors of each IoT device, and train one-class classifier models to detect volumetric attacks. Our specific contributions are fourfold. (1) We develop a multi-level inferencing model to dynamically detect anomalous patterns in network activity of MUD-compliant traffic flows via SDN telemetry, followed by packet inspection of anomalous flows. This provides enhanced fine-grained visibility into distributed and direct attacks, allowing us to precisely isolate volumetric attacks with microflow (5-tuple) resolution. (2) We collect traffic traces (benign and a variety of volumetric attacks) from network behavior of IoT devices in our lab, generate labeled datasets, and make them available to the public. (3) We prototype a full working system (modules are released as open-source), demonstrates its efficacy in detecting volumetric attacks on several consumer IoT devices with high accuracy while maintaining low false positives, and provides insights into cost and performance of our system. (4) We demonstrate how our models scale in environments with a large number of connected IoTs (with datasets collected from a network of IP cameras in our university campus) by considering various training strategies (per device unit versus per device type), and balancing the accuracy of prediction against the cost of models in terms of size and training time.


翻译:物联网(IoT)网络越来越成为复杂新网络攻击的目标。基于异常检测的方法在发现新攻击方面非常有前途,但存在某些实际挑战,如误报警告,难以解释,并且在成本效益上难于扩展。IETF 的最新标准称为“制造商使用描述”(MUD),似乎有可能通过正式指定 IoT 设备的预期网络行为来限制 IoT 设备上的攻击表面。本文利用 SDN 强制执行和监视每个 IoT 设备的预期行为,并使用单类分类模型来检测大流量攻击。我们的具体贡献如下。 (1) 我们开发了一个多级推断模型,通过 SDN 遥测动态检测 MUD 遵从流量流的网络活动中的异常模式,随后检查异常流量的数据包。这提供了增强的细粒度可视性,可以精确地隔离具有微流(5个元组)分辨率的大流量攻击。 (2) 我们从我们实验室的 IoT 设备的网络行为收集正常和各种大流量攻击的流量跟踪,生成标记的数据集,并使其公开。 (3) 我们原型化了一个完整的工作系统(模块以开源方式发布),演示了在保持低误报的情况下,具有高准确性地检测几个消费级 IoT 设备的大流量攻击,并提供了关于我们系统的成本和性能的见解。 (4) 我们展示了我们的模型如何在连接大量 IoT 的环境中扩展(使用我们在大学校园里的 IP 摄像机网络中收集的数据集),通过考虑各种训练策略(按设备单元与按设备类型),平衡预测准确性与模型大小和培训时间的成本。

0
下载
关闭预览

相关内容

【SIGGRAPH2019】TensorFlow 2.0深度学习计算机图形学应用
专知会员服务
39+阅读 · 2019年10月9日
Scrum 、POC和低质量软件的解决方案
InfoQ
0+阅读 · 2022年9月20日
Unsupervised Learning via Meta-Learning
CreateAMind
42+阅读 · 2019年1月3日
R工程化—Rest API 之plumber包
R语言中文社区
11+阅读 · 2018年12月25日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
17+阅读 · 2018年12月24日
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
1+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
1+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2008年12月31日
Arxiv
0+阅读 · 2023年5月25日
Arxiv
22+阅读 · 2022年3月31日
Deep Learning in Video Multi-Object Tracking: A Survey
Arxiv
57+阅读 · 2019年7月31日
VIP会员
相关VIP内容
【SIGGRAPH2019】TensorFlow 2.0深度学习计算机图形学应用
专知会员服务
39+阅读 · 2019年10月9日
相关基金
国家自然科学基金
1+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
1+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
1+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2008年12月31日
Top
微信扫码咨询专知VIP会员