ARGUS: Context-Based Detection of Stealthy IoT Infiltration Attacks

要約

IoT アプリケーション ドメイン、デバイスの多様性、および接続性は急速に成長しています。
IoT デバイスは、スマート ホームやスマート ビル、スマート シティ、スマート ファクトリのさまざまな機能を制御するため、これらのデバイスは攻撃者にとって魅力的な標的となっています。
一方、さまざまなアプリケーション シナリオの大きな変動性とデバイス固有の異質性により、IoT デバイスの異常な動作を確実に検出し、これらを無害な動作と区別することは非常に困難です。
攻撃を検出するための既存のアプローチは、ほとんどの場合、個々の IoT デバイスを直接侵害する攻撃に限定されているか、定義済みの検出ポリシーが必要です。
IoT システムのコントロール プレーンを利用して、意図しない/悪意のあるコンテキストでアクションをトリガーする攻撃 (スマート ホームの居住者が不在のときにスマート ロックを開くなど) を検出することはできません。
このホワイト ペーパーでは、この問題に取り組み、IoT 環境に対するコンテキスト攻撃を検出するための初の自己学習型侵入検知システムである ARGUS を提案します。ARGUS では、攻撃者が悪意を持って IoT デバイス アクションを呼び出して目標を達成します。
ARGUS は、環境内の IoT デバイスの状態とアクションに基づいてコンテキスト設定を監視します。
教師なしディープ ニューラル ネットワーク (DNN) は、典型的なコンテキスト デバイスの動作をモデル化し、異常なコンテキスト設定で発生するアクションを検出するために使用されます。
この監視されていないアプローチにより、ARGUS は既知の攻撃を検出するだけでなく、新しい攻撃も検出できるようになります。
ARGUS を実世界の異種のスマートホーム設定で評価し、各設定で少なくとも 99.64% の F1 スコアを達成し、偽陽性率 (FPR) は最大で 0.03% でした。

要約(オリジナル)

IoT application domains, device diversity and connectivity are rapidly growing. IoT devices control various functions in smart homes and buildings, smart cities, and smart factories, making these devices an attractive target for attackers. On the other hand, the large variability of different application scenarios and inherent heterogeneity of devices make it very challenging to reliably detect abnormal IoT device behaviors and distinguish these from benign behaviors. Existing approaches for detecting attacks are mostly limited to attacks directly compromising individual IoT devices, or, require predefined detection policies. They cannot detect attacks that utilize the control plane of the IoT system to trigger actions in an unintended/malicious context, e.g., opening a smart lock while the smart home residents are absent. In this paper, we tackle this problem and propose ARGUS, the first self-learning intrusion detection system for detecting contextual attacks on IoT environments, in which the attacker maliciously invokes IoT device actions to reach its goals. ARGUS monitors the contextual setting based on the state and actions of IoT devices in the environment. An unsupervised Deep Neural Network (DNN) is used for modeling the typical contextual device behavior and detecting actions taking place in abnormal contextual settings. This unsupervised approach ensures that ARGUS is not restricted to detecting previously known attacks but is also able to detect new attacks. We evaluated ARGUS on heterogeneous real-world smart-home settings and achieve at least an F1-Score of 99.64% for each setup, with a false positive rate (FPR) of at most 0.03%.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google