unknown

Unsupervised intrusion detection for wireless sensor networks based on artificial intelligence techniques

Abstract

The objective of this work is to design an autonomous intrusion detection system for wireless sensor networks that would be able to detect wide range of attacks, including the previously unseen ones. The existing solutions have limited scope, in a sense they provide protection against already identified attacks, which renders the system vulnerable to unknown attacks. Furthermore, in those that can be adjusted in order to expand their scope, the modification has to be done through human interaction. We deal with this problem by proposing an artificial intelligence approach for detecting and confining attacks on the core protocols of wireless sensor networks: aggregation, routing and time synchronization. The approach is based on four main contributions. First of all, the attacks are treated as data outliers. To this end, the spaces of sensed values and the routing information of each node are mapped into vector spaces, which enable definition of distance-based analysis for outlier detection. Second, we develop unsupervised machine learning techniques for detecting outliers using defined distance based analysis. Third, we further envision distributed intrusion detection system, given the distributed nature of WSNs. Every node is being examined by agents that reside on the nodes in its vicinity and listen to its communication in a promiscuous manner, where each agent executes one of the unsupervised algorithms. Considering the optimal algorithm parameters cannot be guessed from the start, the immune system paradigm is used to obtain a set of high quality agents. And finally forth, the system of agents is coupled with a reputation system, in a way the output of an agent assigns lower reputation to the nodes where it detects adversarial activities and vice versa. It is further advocated to avoid any contact with low reputation nodes, which provides implicit response to adversarial activities, since compromised nodes remain isolated from the network. A prototype of the approach is implemented and connected to the sensor network simulator called AmiSim developed by our research group. The approach has been tested on the mentioned simulator on a group of representative attacks on each of the core network protocols. The detection and complete confinement of all the attacks was observed, while maintaining low level of false positives. It is also important to mention that the algorithms have been trained on both clean and unclean (i.e. data with traces of attack presence) data, being able to detect and confine the attacks in both cases, which provides its robustness. Moreover, it has been proven that the resulting reputation system has advantages over the conventional ones in the terms of lower redundancy necessary for correct operations, as well as its robustness to attacks on reputation systems, such as bad mouthing or ballot stuffing, given that it does not use any second hand information. Finally, we have proposed various ways of embedding the approach into a realistic environment, which adapts it to the environment resources, both computational and power, and we have proven its viability. We have provided estimations of resource consumption, which can help in choosing processors that can support the implementation. To summarize, the proposed approach can be expanded and adapted in an easy and rapid way in order to detect new attacks. Furthermore, with the intelligence and the level of uncertainty introduced by the proposed techniques, the solution offers possibilities to address the security problem in a more profound way. Thus, although in the current state this solution does not detect attacks that make no change in sensed value that is forwarded to the base station, nor in the routing paths used to send the values to the base station, it can be used to complement the conventional techniques, which will permit better detection of new attacks and react more rapidly to security incidents. Resumen El objetivo de esta tesis es diseñar un sistema autonomo de deteccion de intrusos para redes de sensores, que tambien seria capaz de detectar una amplia coleccion de ataques, incluyendo los que no se han observado anteriormente. Las soluciones existentes son limitadas en el sentido de que son capaces de proteger la red solo de los ataques previamente identificados, lo que los hace vulnerables a los ataques desconocidos. Asimismo, en los que se pueden ajustar y de esa manera ampliar sus posibilidades de deteccion, la modificacion tiene que hacerse de manera manual. La tesis propone un enfoque basado en la inteligencia artificial para detectar y confinar los ataques a los protocolos clave de las redes de sensores inalambricas, que son la agregacion, el rutado y la sincronizacion temporal. El enfoque se basa en cuatro contribuciones principales. En primer lugar, los ataques se tratan como datos atipicos. Por eso, los valores sensados, asi como la informacion del rutado de cada nodo son mapeados en espacios vectoriales, lo que permite definir el analisis basado en distancia para detectar los datos atipicos. En segundo lugar, se han desarrollado tecnicas de aprendizaje automatico sin supervision, capaces de detectar los datos atipicos utilizando dicho analisis basado en distancias. En tercer lugar, dado el caracter distribuido de las redes de sensores, se propone la deteccion de intrusos organizada de manera distribuida, de manera que cada nodo se examina por agentes que se encuentran en los nodos vecinos y que escuchan su comunicacion de manera promiscua, donde cada agente ejecuta uno de los algoritmos de aprendizaje automatico sin supervision. Ademas, teniendo en cuenta que los parametros optimos de los algoritmos no se pueden adivinar desde el principio, se utiliza el paradigma de los sistemas inmunes para obtener un conjunto de agentes de alta calidad. Por ultimo, el sistema de agentes se une a un sistema de reputacion, de manera que la decision de cualquier agente puede asignar un valor de reputacion mas bajo a los nodos donde encuentra indicios de intrusion, o viceversa. Ademas, se aconseja evitar cualquier contacto con los nodos que tienen reputacion baja, lo que permite tener una respuesta implicita ante actividades adversas, de manera que los nodos comprometidos quedan aislados de la red. El prototipo del enfoque se ha implementado y conectado al simulador de redes de sensores denominado AmiSim, que fue desarrollado por nuestro grupo de investigacion. El enfoque se ha comprobado en el simulador, bajo la presencia de varios ataques característicos para cado uno de los protocolos clave de la red. La detección y el confinamiento completo de todos los ataques fue observado, mientras se mantenía la tasa de falsos positivos en un nivel bajo. Asimismo, es importante mencionar que los algoritmos fueron entrenados con datos “limpios”, pero también con datos “sucios” (los datos que contienen trazas de ataques), siendo capaz de detectar y confinar los ataques en ambos casos, lo que demuestra su robustez. Ademas, se ha demostrado que el sistema de reputacion derivado tiene ventajas sobre los sistemas convencionales, tanto por necesitar menos redundancia para funcionar correctamente, como por su robustez ante ataques al sistema de reputacion, por ejemplo, ante la propagacion de informacion falsa sobre otro elemento de la red, puesto que no utiliza la informacion de segunda mano. Por ultimo, se han propuesto varias maneras de implementar este enfoque en entornos reales, que se adaptan a los recursos de los que dispone cada entorno, tanto computacionales como de potencia, y se ha demostrado su viabilidad. Ademas, se han proporcionado estimaciones del consumo de recursos, que puede ayudar a la hora de elegir el procesador capaz de implementar el enfoque propuesto. En resumen, el sistema propuesto es facilmente ampliable y puede adaptarse de forma rapida para detectar nuevas amenazas. Ademas, con la inteligencia propia de estas tecnicas y el nivel de incertidumbre que se introduce, la solucion que se plantea ofrece alternativas reales para abordar el problema de seguridad con mayor profundidad. Por eso, la idea principal de esta investigacion es complementar las tecnicas de seguridad convencionales con estos metodos, lo que permitira detectar mejor los nuevos ataques y reaccionar de manera mas rapida ante posibles incidentes de seguridad

    Similar works