Détection d'intrusions réaliste dans les maisons connectées à l'aide d'indicateurs physiques volatiles
Realistic intrusion detection in smart homes using volatile physical features
- Jeux de données
- Attaques d'usurpation
- Zigbee (protocole)
- Systèmes de détection d'intrusion (informatique)
- Internet des objets
- Domotique
- Réseaux locaux sans fil
- RSSI (télécommunications)
- Apprentissage profond
- Internet of Things security
- Intrusion detection systems
- Datasets
- Spoofing attacks
- Deep learning
- Zigbee
- Langue : Français
- Discipline : Informatique et applications
- Identifiant : 2023ULILB024
- Type de thèse : Doctorat
- Date de soutenance : 21/12/2023
Résumé en langue originale
Au sein de l'Internet des Objets, le secteur de la maison connectée est en plein essor. Pour quelques dizaines d'euros, chacun peut s'équiper de solutions domotiques intelligentes commandables à distance. Ces écosystèmes sont cela dit vulnérables à des attaques variées en raison A) d'une conception essentiellement guidée par le coût, générant des objets contraints sans implémentation de sécurité viable possible, B) de l'utilisation par ces objets de protocoles de communication sans-fil hétérogènes, dispersant les efforts de sécurisation, et C) de la gestion de ces objets par des consommateurs non-experts, adeptes du « setup and forget ».Contrairement à l'informatique traditionnelle où les solutions de protection sont répandues, nous faisons le constat de l'absence de proposition commerciale équivalente dans la maison connectée. Dans cette thèse, nous nous interrogeons sur les conditions de l'adoption à grande échelle de solutions de sécurité de type Systèmes de Détection d'Intrusion (IDS), visant à protéger les objets contraints déjà déployés. Ainsi, une première contribution recense les caractéristiques des maisons connectées pour les croiser avec des taxonomies d'IDS, afin de proposer les critères qualitatifs d'une solution de sécurité domestique réaliste.Par la suite, afin de faciliter la conception d'IDS, une deuxième contribution met à disposition de la communauté scientifique un jeu de données Zigbee, participant à la fourniture d'outils couvrant les principaux protocoles de la maison connectée. Toutes les trames échangées par 10 objets pendant 10 jours ont été capturées par 4 sondes distribuées dans un domicile-test. Des attaques ont été introduites afin d'établir et comparer différentes stratégies de détection. Outre une redondance des données de couche MAC, le jeu de données tire son originalité de l'extraction par chaque sonde du RSSI (Received Signal Strength Indicator) de chaque trame. Cette grandeur de couche physique, accessible à peu de frais dans les technologies sans-fil, permet de participer à l'identification de nœuds fixes. Par la suite, on peut imaginer d'identifier robustement chaque objet par une empreinte de couche physique faite d'un tuple de RSSI, complexe à imiter par un attaquant.Enfin, dans une troisième contribution, nous exploitons le jeu de données pour proposer un IDS détectant les attaques d'usurpation d'identité, favorisées par le fait que des piles de protocoles n'intègrent que peu ou pas d'authentification sur leur couche MAC. Pour les détecter, la cohérence de l'identifiant de couche MAC et de l'empreinte précédente à base de RSSI peut être considérée mais ce n'est plus possible quand les environnements sont sans cesse redessinés par les habitants qui y évoluent, les RSSI devenant volatiles. En fournissant des séries temporelles de RSSI en entrée d'un algorithme d'apprentissage non supervisé, nous établissons pour chaque couple (objet, sonde) un modèle des séquences RSSI normales. Les déviations par rapport au modèle permettent de détecter une attaque. Les métriques de détection obtenues, très intéressantes en regard de la faible complexité de l'architecture initiale envisagée, ainsi que les évaluations de l'autonomie et du coût de la solution laissent entrevoir une diffusion de tels systèmes dans les maisons connectées.
Résumé traduit
Within the Internet of Things, the smart home sector is booming. For a few tens of euros, everyone can be equipped with smart-home automation solutions that can be controlled remotely. However, these ecosystems are vulnerable to various attacks due to A) an essentially cost-driven design, generating constrained devices with too few resources for viable security implementations, B) the use by these devices of multiple wireless communication protocols, dispersing security efforts, and C) the management of these devices by non-expert consumers, following a “setup and forget” policy.Unlike traditional IT where protection solutions are widespread, we note the absence of an equivalent commercial proposal in smart-home environments. In this thesis, we question the conditions for a large-scale adoption of security solutions such as Intrusion Detection Systems (IDS), aiming at protecting constrained devices already deployed. Thus, a first contribution identifies the characteristics of smart homes to cross them with IDS taxonomies, in order to propose the qualitative criteria of a realistic domestic security solution.Subsequently, in order to facilitate the design of IDS, a second contribution provides the scientific community with a Zigbee dataset, participating to the availability of tools covering the main protocols found in smart homes. All the frames exchanged by 10 devices during 10 days were captured by 4 probes distributed in a test house. Attacks have been introduced in order to establish and compare different detection strategies. In addition to MAC layer data redundancy, the dataset derives its originality from the extraction by each probe of the RSSI (Received Signal Strength Indicator) of each frame. This physical layer feature, accessible easily in most wireless technologies, allows to participate to the identification of fixed nodes. Later, one can imagine identifying each device more robustly by a physical layer fingerprint made of a tuple of several RSSIs, a complex combination to imitate by an attacker.Finally, in a third contribution, we exploit the dataset to propose several IDSs detecting spoofing attacks, favored by the fact that several protocol stacks integrate little or no authentication on their MAC layer. To detect them, the consistency of the MAC layer identifier and the previous RSSI-based fingerprint can be considered, but this is no longer possible when the environments are constantly redrawn by the evolving inhabitants, as the RSSI becomes volatile. By providing RSSI time series as input to an unsupervised learning algorithm, we establish for each (device, probe) pair a model of normal RSSI sequences. Deviations from this model help detect an attack. The obtained detection metrics, which are very interesting given the low complexity of the initial considered architecture, as well as the evaluations of the autonomy and cost of the solution, suggest the spread of such systems in smart homes.
- Directeur(s) de thèse : Hauspie, Michaël
- Président de jury : Mitton, Nathalie
- Membre(s) de jury : Gallais, Antoine - Grimaud, Gilles
- Rapporteur(s) : Debar, Hervé - Parrein, Benoît
- Laboratoire : Centre de Recherche en Informatique, Signal et Automatique de Lille
- École doctorale : École doctorale Mathématiques, sciences du numérique et de leurs interactions (Lille ; 2021-....)
AUTEUR
- Lourme, Olivier