CHRISTIAN ALONSO VEGA CERVANTES UM SISTEMA DE DETECÇÃO DE ATAQUES SINKHOLE SOBRE 6LOWPAN PARA INTERNET DAS COISAS Dissertação de Mestrado apresentada ao Pro- grama de Pós-Graduação em Informática, Setor de Ciências Exatas, Universidade Federal do Paraná. Orientador: Prof. Aldri Luiz dos Santos Coorientadora: Profa. Michele Nogueira Lima CURITIBA 2014 CHRISTIAN ALONSO VEGA CERVANTES UM SISTEMA DE DETECÇÃO DE ATAQUES SINKHOLE SOBRE 6LOWPAN PARA INTERNET DAS COISAS Dissertação de Mestrado apresentada ao Pro- grama de Pós-Graduação em Informática, Setor de Ciências Exatas, Universidade Federal do Paraná. Orientador: Prof. Aldri Luiz dos Santos Coorientadora: Profa. Michele Nogueira Lima CURITIBA 2014 i C419s Cervantes, Christian Alonso Vega Um sistema de detecção de ataques sinkhole sobre 6LoWPAN para Internet das Coisas/ Christian Alonso Vega Cervantes. – Curitiba, 2014. 94 f. : il. color. ; 30 cm. Dissertação - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-graduação em Informática, 2014. Orientador: Aldri Luiz dos Santos – Co-orientador: Michele Nogueira Lima. Bibliografia: p. 78-89. 1. Sistemas eletrônicos de segurança. 2. Redes de computadores. 3. Interconexão em rede (Telecomunicações). I. Universidade Federal do Paraná. II.Santos, Aldri Luiz dos . III. Lima, Michele Nogueira . IV. Título. CDD: 003.72 ii iii DEDICATORIA Este trabalho é dedicado a minha família, aos amigos do Perú, aos amigos do grupo de pesquisa NR2 e a comunidade acadêmica. iv AGRADECIMENTOS Gostaria de começar agradecendo a Deus por sempre me ajudar em tudo. Agradeço aos meus pais, José e Juana por sempre apoiar-me, de maneira direta e indireta, deram apoio em minhas atividades acadêmicas, só posso disser os quero muito. Agradeço aos meus irmãos José Luis e Marco Antonio, por ser minha inspiração de luta na vida. Valeu brothers!. Agradeço ao professor, orientador de mestrado e de vida Aldri Luiz dos Santos pelos anos de trabalho, pelos muitos ensinamentos, pela confiança em min. Agradeço por sua serenidade, compreensão, por seus conselhos e pelo incrível poder de me deixar sempre calmo e mais confiante em mim mesmo. Agradeço à professora Michele Nogueira pelos muitos ensinamentos, pela amizade e entusiasmo. Agradeço aos amigos e irmãos (brothers) do grupo NR2 e não membros. Ao meu brother Robson Gomes (Robinho) pela ajuda constante. O Ricardo Tombesi (bulbasaur), pelas dicas. O Júlio, pela ajuda e fazer que viva está experiência. O Danilo (Chico) e o Alisson(Beavis), pelasloucuraseograndehumor(ohhbichosdoidos). OClaudio, oJorge da floresta, pelo reggae. O Rodrigo, o filinho, pelos conselhos. O Adi, o micheline, pelas conversasemespanhol. OBenavideoThiago(salsicha), pelosconselhosepelasconversas. O Metuzalen, o ursinho, pela amizade sincera. O Diego, pela ajuda na pesquisa. O Leonardo, pelos momentos de piadas no laboratório. O Fernando, o naufrago, pelas dicas para melhorar meus trabalhos. A Elisa pela ajuda e amabilidade em todo. O Douglas, pela seriedade em todo. Por outro lado, não posso deixar de agradecer a meus brothers da baia. O Luciano e Juliano, pelas lições em japonês kampai brothers!. O Miguel, o cachorrão, pela conversa- ção que me fizeram sentir como em casa. O Thiago, o Ivan drago e o Jeovan, o chassis, pelas saídas noturnas em lugares inesperados. Agradeço a todas as pessoas que conheci no Brasil e desculpem se esqueço de alguém. Também quero agradecer à CAPES pela bolsa que possibilitou meu estudo com dedicação integral, e ao PPGinf pela minha aceitação no curso de mestrado. Muito obrigado a todos por tudo. v RESUMO A Internet das coisas (IoT) é fruto de uma revolução tecnológica que representa o futuro da computação e da comunicação, sendo identificada como uma das tecnologias emergentes que mudará nossa forma de vida. As redes IoT são formadas por objetos heterogêneos (nós) com alguma inteligência, isto é, com capacidade de processamento que lhes permitem, entre outras tarefas, enviar e receber informações através da rede. Entretanto, cada vez mais objetos estarão interligados com aparelhos digitais, veículos e demais, e a presença deles tende a crescer em nossas vidas trazendo mais comodidade e facilidade. A IoT ligará todos esses objetos, assim como ligará outros que não pertencem à computação podendo ser fixos ou móveis. Visto que os objetos que compõem a IoT possuem recursos limitados, estes se tornarão vulneráveis a vários tipos de ataques, sendo o ataque sinkhole um dos mais destrutivos nas redes. Contudo, as soluções existentes para a proteção e segurança contra os ataques sinkhole geram um elevado consumo de recursos e usam mecanismos complexos para garantir um bom desempenho. Desta forma, este trabalho propõe um sistema de detecção de intrusão, chamado de INTI (Detecção Intrução contra ataques SiNkhole sobre 6LoWPAN para a InterneT das CoIsas) para identificar a presença de ataques sinkhole no serviço de roteamento na IoT. Além disso, INTI visa mitigar os efeitos adversos encontrados em IDSs que perturbam o seu desempenho como falsos positivos e negativos, também como os elevados consumos de recursos. O INTI combina o uso dos mecanismos como o uso de watchdog, reputação e confiança. O mecanismo de watchdog possibilita o monitoramento das atividades dos outros nós durante o encaminhamento de pacotes. A reputação e a confiança colaboram para determinar os dispositivos considerados confiáveis e não confiáveis na rede IoT. Estes mecanismos são utilizados para a detecção de ataques sinkhole, analisando o comportamento dos dispositivos. O sistema INTI foi avaliado em dois cenários realísticos de IoT, e nesses cenários os resultados obtidos mostram a eficácia do INTI em termos de taxa de detecção de ataques, o número de falsos negativos e falsos positivos e da eficiência na taxa de entrega, na latência e no consumo de energia. Palavras-chave: IDS, IoT, segurança, proteção, ataques sinkhole, watchdog, reputação. vi ABSTRACT The Internet of Things (IoT) is the result of a technological revolution that represents the future of computing and communication, being identified as one of the emerging tech- nologies that will change our way of life. The IoT networks are formed by heterogeneous objects (nodes) with some intelligence, that is, with processing capabilities that enable them, among other tasks, send and receive information across the network. However, more and more objects are interconnected with digital devices, vehicles and other equip- ment, and their presence tends to grow in our lives bringing more convenience and ease. The IoT will connect all of these devices as well as bind other objects that do not belong to the digital world and that can be fixed or mobile. Since the objects that make up the IoT have limited resources, they become vulnerable to various attacks, and the sinkhole attack is one of the most destructive in the networks. However, existing solutions for the protection and security against sinkhole attacks generate a high consumption of resources and use complex mechanisms to ensure good performance. Thus, this dissertation proposes an intrusion detection system, called INTI (intrusion detection against sinkhole attacks on 6LoWPAN for IoT), to identify the presence of sinkhole attacks on the routing services in IoT. Moreover, INTI aims to mitigate adverse effects found in IDS that disturb its performance, suck as false positive and negative as well as the high resource cost. The INTI system combines the use of mechanisms such as watchdog, reputation and trust. The watchdog mechanism enables the monitoring the activities of other nodes for packet forwarding. The reputation and trust mechanisms collaborate to determine the devices considered reliable and unreliable in IoT network.These mechanisms are used for detection of attackers, by analyzing the behavior of devices. The INTI system was evaluated in two realistic scenarios of IoT, and these scenarios the results show the effectiveness of INTI in terms of attack detection rate, the number of false negati- ves and false positives and efficiency in the delivery rate, latency and energy consumption. Keywords: IDS, IoT, security, safety, sinkhole attacks, watchdog, reputation. vii SUMÁRIO DEDICATORIA iii AGRADECIMENTOS iv RESUMO v ABSTRACT vi LISTA DE FIGURAS xi LISTA DE ABREVIATURAS E SIGLAS xii NOTAÇÃO xiii 1 INTRODUÇÃO 1 1.1 Problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.3 Contribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.4 Estrutura da dissertação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2 FUNDAMENTOS 6 2.1 Internet das coisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2 Arquitetura da IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.3 Tecnologias da IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.3.1 Rede de sensores sem fio . . . . . . . . . . . . . . . . . . . . . . . . 9 2.3.2 Identificador por radiofrequência . . . . . . . . . . . . . . . . . . . 10 2.3.3 Comunicação de campo próximo . . . . . . . . . . . . . . . . . . . 10 2.4 Comunicação na IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.5 Segurança na IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.5.1 Requisitos de segurança na IoT . . . . . . . . . . . . . . . . . . . . 13 2.6 6LoWPAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.6.1 Ataques em 6LoWPAN . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.7 Ataque sinkhole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.7.1 Desafios na detecção de ataques sinkhole . . . . . . . . . . . . . . . 16 2.7.2 Requisitos para prevenir ataques sinkhole na IoT . . . . . . . . . . 17 2.8 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 viii 3 MECANISMOS DE DETECÇÃO E PREVENÇÃO 18 3.1 Sistemas de detecção de intrusão . . . . . . . . . . . . . . . . . . . . . . . 18 3.1.1 Tipos de sistemas de detecção . . . . . . . . . . . . . . . . . . . . . 19 3.1.2 Estratégias de contramedidas contra ataques de roteamento . . . . 20 3.1.2.1 Prevenção . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 3.1.2.2 Detecção . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.2 Sistemas de reputação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.3 Sistemas de detecção de intrusão em IoT . . . . . . . . . . . . . . . . . . . 26 3.4 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 4 O SISTEMA INTI 29 4.1 Visão geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 4.1.1 Modelo da rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.2 INTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.2.1 Configuração dos agrupamentos . . . . . . . . . . . . . . . . . . . . 36 4.2.2 Monitoramento do encaminhador . . . . . . . . . . . . . . . . . . . 38 4.2.3 Detecção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 4.2.4 Isolamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 4.3 Funcionamento do INTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4.3.1 Configuração da rede . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4.3.2 Comunicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 4.3.3 Detecção de ataques sinkhole . . . . . . . . . . . . . . . . . . . . . 48 4.4 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 5 AVALIAÇÃO DO SISTEMA INTI 53 5.1 Ambiente e os cenários de simulação . . . . . . . . . . . . . . . . . . . . . 53 5.2 Métricas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 5.3 Avaliação em um ambiente doméstico . . . . . . . . . . . . . . . . . . . . . 56 5.3.1 Resultados da eficácia . . . . . . . . . . . . . . . . . . . . . . . . . 58 5.3.2 Resultados da eficiência . . . . . . . . . . . . . . . . . . . . . . . . 61 5.4 Avaliação em um cenário de condomínio . . . . . . . . . . . . . . . . . . . 64 5.4.1 Resultados da eficácia . . . . . . . . . . . . . . . . . . . . . . . . . 65 5.4.2 Resultados da eficiência . . . . . . . . . . . . . . . . . . . . . . . . 67 5.5 Comparação do INTI com o SVELTE . . . . . . . . . . . . . . . . . . . . . 70 5.5.1 Resultados da eficácia . . . . . . . . . . . . . . . . . . . . . . . . . 70 5.5.2 Resultados da eficiência . . . . . . . . . . . . . . . . . . . . . . . . 73 5.6 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 6 CONCLUSÃO 75 6.1 Trabalhos futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Description: