DE202022102631U1 - Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen - Google Patents

Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen Download PDF

Info

Publication number
DE202022102631U1
DE202022102631U1 DE202022102631.9U DE202022102631U DE202022102631U1 DE 202022102631 U1 DE202022102631 U1 DE 202022102631U1 DE 202022102631 U DE202022102631 U DE 202022102631U DE 202022102631 U1 DE202022102631 U1 DE 202022102631U1
Authority
DE
Germany
Prior art keywords
traffic
attack
iot
network
iot devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE202022102631.9U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE202022102631.9U priority Critical patent/DE202022102631U1/de
Publication of DE202022102631U1 publication Critical patent/DE202022102631U1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

. Intelligentes Verteidigungssystem (100) gegen verteilte Denial of Service (DDoS)-Angriffe in Internet of Things (IoT)-Netzwerken, wobei das System umfasst:
eine Vielzahl von Klassifizierern (102), die so konfiguriert sind, dass sie den normalen Verkehr und den Angriffsverkehr zur Erkennung klassifizieren;
eine Erkennungseinheit (104) zum Erkennen bösartiger Aktivitäten, die von den IoT-Geräten im lokalen Netzwerk durchgeführt werden, wobei die Erkennungseinheit (104) Folgendes umfasst:
eine Verkehrserzeugungs- und -sammlungseinheit (106), die so konfiguriert ist, dass sie den zwischen den IoT-Geräten und dem Internet übertragenen Verkehr analysiert, wobei die Verkehrserzeugungs- und -sammlungseinheit (106) ferner so konfiguriert ist, dass sie:
sich über einen Router mit dem ein- und ausgehenden Verkehr im Netz befassen;
den sie durchlaufenden Netzwerkverkehr erfassen, überwachena, verarbeiten und stoppen; und
den Angriffs- und DDoS-Verkehr zu erkennen, der von den IoT-Geräten innerhalb des lokalen Netzes ausgeht;
einen Verkehrsscanner (108), der dafür konfiguriert ist:
Erfassung des vom Router eingehenden Datenverkehrs zur Aufzeichnung von Datenverkehrsdetails, die von den im lokalen Netz eingesetzten IoT-Geräten erzeugt werden;
Vorverarbeitung der aufgezeichneten Verkehrsinformationen für die Angriffserkennung und Erkennung von Spoofing-IP-Flooding-Angriffen, Volumen-, Port- und Protokollinformationen;
Erstellung eines ersten Berichts über die Verkehrsstatistik auf der Grundlage von vorverarbeiteten Informationen;
einen Merkmalstrenner (110) zum Auswählen von Merkmalen, die das IoT-Netzwerkverhalten und auch Netzwerkflussinformationen darstellen;
ein Angriffsidentifikator (112) empfängt verarbeitete Informationen vom Merkmalstrenner zur Angriffserkennung auf der Grundlage des ersten Berichts der erzeugten Verkehrsstatistik und zur Vorhersage, ob sich die IoT-Geräte bösartig verhalten oder nicht.
eine Entschärfungseinheit (114) zur Abwehr des von den IoT-Geräten erzeugten bösartigen Datenverkehrs, wobei die Entschärfungseinheit umfasst:
einen Erzeuger von Regeln und Richtlinien (116), der so konfiguriert ist, dass er einen zweiten Bericht über Verkehrsstatistiken erzeugt, der Informationen über die Angriffsstatistiken enthält, wie z. B. die Identität des Ziels, das verwendete Protokoll und mögliche Wege zur Abwehr des Angriffs, wobei der Erzeuger von Regeln und Richtlinien mit dem Merkmalstrenner (110) verbunden ist, um die relevanten Merkmale zur Verbesserung der Erkennungsgenauigkeit von Klassifikatoren zu extrahieren;
eine Filtereinheit (118), die so konfiguriert ist, dass sie die Angriffsverkehrspakete gemäß den von der Merkmalstrennvorrichtung (110) übertragenen Informationen aussortiert, wenn der Angriff erkannt wird, die ihrerseits die in dem ersten Verkehrsstatistikbericht und dem zweiten Verkehrsstatistikbericht enthaltenen Informationen verwendet.

Description

  • BEREICH DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf das Gebiet der Kommunikation. Insbesondere bezieht sich die vorliegende Erfindung auf ein intelligentes Abwehrsystem gegen verteilte Denial of Service (DDoS) Angriff in Internet der Dinge (IoT) Netzwerke.
  • HINTERGRUND DER ERFINDUNG
  • Das Internet der Dinge (IoT) ist die Verbindung physischer Geräte, die in der Lage sind, ihre Umgebung mit Hilfe von Netzwerkprotokollen zu beobachten, zu lernen und darauf zu reagieren. Es ist das Ergebnis der Entwicklung auf dem Gebiet der eingebetteten Technologie, der drahtlosen Sensornetzwerke (WSN) und der Standard-Netzwerkprotokolle zur Erleichterung der Kommunikation zwischen intelligenten Objekten. Heute werden IoT-Geräte in fast allen Bereichen eingesetzt, z. B. in intelligenten Häusern, intelligenten Städten, intelligenten Stromnetzen, in der Fertigung, im Transportwesen, im Gesundheitswesen und im intelligenten Katastrophenmanagement, wo die Einbindung des Menschen eine sehr schwierige Aufgabe ist. Es gibt eine Vielzahl von Herausforderungen in den IoT-Netzwerken, die eine Verbesserung der herkömmlichen Internetarchitektur erfordern. In den letzten Jahren sind IoT-Geräte die faszinierenden Waffen in den Armen der Gegner, um große Botnet-Armeen zu schaffen und den gefährlichsten Angriff im Internet auszulösen, nämlich Distributed Denial of Service (DDoS)-Angriffe.
  • Ein DDoS-Angriff behindert die Erreichbarkeit der Dienste des Opfers für legitime Nutzer im Internet. Um dieses Ziel zu erreichen, überflutet der Angreifer das Zielsystem mit Unmengen von Junk-Paketen, was zu einer Überlastung seiner Verarbeitungs- und Speicherkapazitäten führt, die schließlich zum Systemabsturz führen. Die am häufigsten verwendete Methode zur Durchführung eines groß angelegten Angriffs ist die Botnet-Armee. Die Ressourcenbeschränkung der intelligenten Objekte erschwert die Integration herkömmlicher Sicherheitslösungen und macht IoT-Netzwerke zu einer äußerst attraktiven Plattform für Angreifer. Da intelligente Objekte meist in einer unbeaufsichtigten Umgebung betrieben werden, eignen sich diese Geräte am besten für die Erstellung von Botnets. Im September 2016 nutzte der Angreifer beispielsweise IoT-Verbrauchergeräte wie eine intelligente Kamera aus, um einen schweren DDoS-Angriff durchzuführen. Der Angreifer infiziert jedes Gerät mit der Mirai-Malware, um einen DDoS-Angriff auf die Website des berühmten Sicherheitsbloggers Brian Krebs, krebsonsecurity.com, durchzuführen. Später schließt dieses Botnet etwa 1.00.000 IoT-Geräte (Überwachungskameras) ein, um einen noch größeren Angriff auf den DNS-Anbieter Dyn zu starten. Die Bandbreite dieser Angriffe überstieg 1Tbps. Dieser Angriff legte die Dienste vieler bekannter Websites wie Twitter, Netflix und Github für mehrere Stunden lahm.
  • Da die meisten Verbrauchergeräte, insbesondere die Geräte, die im Smart Home eingesetzt werden, in einer unbeaufsichtigten Umgebung betrieben werden und auch ihrer Wartung weniger Aufmerksamkeit gewidmet wird, sind diese Geräte anfälliger dafür, Teil einer Botnet-Armee zu werden. Daher konzentrieren wir uns in der vorliegenden Erfindung auf die Identifizierung der infizierten IoT-Verbrauchergeräte, die DDoS-Angriffsverkehr erzeugen, und auf das Herausfiltern des Angriffsverkehrs.
  • In einer Lösung wird ein Ansatz zur Klassifizierung von IoT-Geräten in Smart-Home-Anwendungen vorgeschlagen. Dabei werden die Fähigkeiten von Klassifizierern für maschinelles Lernen genutzt, um IoT-Geräte anhand der von ihnen erzeugten Merkmale des Netzwerkverkehrs zu unterscheiden.
  • Diese Art von Ansatz hilft bei der Identifizierung von Geräten, die sich in einem Angriffsszenario möglicherweise anders oder böswillig verhalten, indem die Merkmale bei normalen Aktivitäten und in Angriffssituationen verglichen werden. Der Ansatz zur Erkennung von DDoS-Angriffen in einer Smart Office-Umgebung basiert auf der Bestimmung der Verkehrsmuster verschiedener Geräteklassen. Der Ansatz schlug einen Ansatz zur Erkennung von 3 Arten von DDoS-Angriffen vor, darunter UDP-, DNS- und Chargen-Protokoll-basierte Angriffe. Sie verwenden ein künstliches neuronales Netzwerk, um den Angriffsverkehr zu identifizieren. Der Ansatz zeigt jedoch eine geringe Genauigkeit für UDP-DDoS-Verkehr.
  • Eine weitere Lösung ist ein System zum Erkennen und Entschärfen eines 5G-Signalsturms, der von einem oder mehreren 5G-fähigen Geräten erzeugt wird, wobei das System eine Signalsonde für die Steuerebene (CP) umfasst, die an einem ersten Netzwerkknoten, der sich zwischen einem Funkzugangsnetz (RAN) und einem SG-Kernnetz befindet, in Reihe geschaltet ist, um Steuernachrichten der Steuerebene zu überwachen, die von den 5G-fähigen Geräten stammen und durch den ersten Netzwerkknoten laufen; eine Signalsonde für die Benutzerebene (User Plane, UP), die an einem zweiten Netzwerkknoten in Reihe geschaltet ist, der sich zwischen dem 5G-Kernnetz und einer oder mehreren entfernten Einrichtungen befindet, an die die 5G-fähigen Geräte Nachrichten senden, um die Steuernachrichten der Benutzerebene zu überwachen, die durch den zweiten Netzwerkknoten laufen; ein Untersystem für die Bestandsverwaltung (IM), um Daten zu speichern, die ein bestimmtes 5G-fähiges Gerät mit einer ihm zugewiesenen internationalen Mobilteilnehmer-Identitätsnummer (IMSI) korrelieren; eine Schutzeinheit, die so konfiguriert ist, dass sie (A) (i) die von der CP-Signalsonde gesammelten Daten und (ii) die von der UP-Signalsonde gesammelten Daten und (iii) eine Untergruppe von IMSI-Nummern vom IM-Subsystem empfängt und (B) eine Liste bestimmter 5G-fähiger Geräte erzeugt, bei denen festgestellt wurde, dass sie kompromittiert sind oder nicht richtig funktionieren, und (C) die Quarantäne von Kontrollnachrichten auslöst, die von den bestimmten 5G-fähigen Geräten ausgehen, die in der Liste enthalten sind.
  • In einer anderen Lösung umfasst ein Verfahren den Empfang einer Domain Name System (DNS)-Abfrage, die einen Domain-Namen zur Auflösung einer Netzwerkadresse enthält, die einem entfernten Server zugeordnet ist, mit dem das IoT-Gerät zu kommunizieren beabsichtigt, an einem Knoten über einen Punkt der Netzwerkanbindung in einem Netzwerk von einem Internet der Dinge (IoT) Gerät; Abrufen des Domänennamens, der dem entfernten Server zugeordnet ist, aus der DNS-Abfrage; Abrufen einer Mobile Directory Number (MDN) oder einer International Mobile Station Equipment Identity (IMEI) Nummer aus der DNS-Abfrage; Bestimmen einer Identität, die dem IoT-Gerät zugeordnet ist, basierend auf der MDN oder der IMEI-Nummer; Identifizieren, basierend auf der MDN oder der IMEI-Nummer eine Geräteklassifizierung, die mit dem IoT-Gerät assoziiert ist, wobei die Geräteklassifizierung anzeigt, dass das IoT-Gerät als eine rechnende Klassifizierung, die allgemeinen rechnenden Geräten entspricht, oder als eine nicht rechnende Klassifizierung, die spezifischen funktionsverarbeitenden Geräten entspricht, klassifiziert ist; Durchführen, wenn die identifizierte Geräteklassifizierung die rechnende Klassifizierung ist, keiner weiteren Operationen in Bezug auf die DNS-Abfrage; Bestimmen, wenn die identifizierte Geräteklassifizierung die nicht rechnende Klassifizierung ist, einer oder mehrerer gültiger Domänen, die mit der bestimmten IoT-Geräteidentität assoziiert sind; Vergleichen des von der DNS-Abfrage abgerufenen Domänennamens mit der bestimmten einen oder den mehreren gültigen Domänen, die der bestimmten IoT-Geräteidentität zugeordnet sind; Zulassen des Netzzugriffs auf das IoT-Gerät, wenn der dem Fernserver zugeordnete Domänenname mit einer der einen oder mehreren gültigen Domänen übereinstimmt; und Verweigern des Netzzugriffs auf das IoT-Gerät, wenn der dem Fernserver zugeordnete Domänenname mit keiner der einen oder mehreren gültigen Domänen übereinstimmt.
  • IoT-Geräte erleichtern den menschlichen Lebensstil erheblich, z. B. durch die Verwendung mehrerer IoT-Geräte in intelligenten Häusern für Beleuchtung, Beschallung, Temperaturregelung usw. Gleichzeitig nutzen Angreifer jedoch die in diesen Geräten vorhandenen Schwachstellen aus und beeinträchtigen so die Sicherheit und den Datenschutz der Nutzer. Es gibt zahlreiche Probleme in den IoT-Netzwerken, wie z. B. die Heterogenität der Geräte und die Interoperabilität, die die Verwendung gemeinsamer Netzwerkprotokolle und -richtlinien behindern. DDoS-Angriffe zielen direkt auf die Verfügbarkeit der Dienste ab, die das Zielsystem seinen Nutzern zur Verfügung stellt. Der Angreifer kann beispielsweise entweder den Server des IoT-Geräts angreifen, um dessen Dienste für den rechtmäßigen Benutzer zu blockieren, oder das IoT-Gerät selbst, um Angriffsdatenverkehr zu erzeugen, der zur Erschöpfung der Geräteenergie führt. In beiden Fällen ist der Benutzer daher nicht in der Lage, den Vorgang auszuführen. Dies stellt eine große Herausforderung für die Anpassung der IoT-Technologie in jedem Bereich dar. Daher ist es wichtig, Lösungen zu entwickeln, die DDoS-Angriffe erkennen und abwehren können.
  • Um die Einschränkungen des oben genannten Standes der Technik zu überwinden, besteht daher die Notwendigkeit, ein intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS)-Angriffe in Internet of Things (IoT)-Netzwerken zu entwickeln.
  • Der technische Fortschritt, der durch die vorliegende Erfindung offenbart wird, überwindet die Einschränkungen und Nachteile bestehender und konventioneller Systeme und Methoden.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf das Gebiet der Kommunikation. Insbesondere bezieht sich die vorliegende Erfindung auf ein intelligentes Abwehrsystem gegen verteilte Denial of Service (DDoS) Angriff in Internet der Dinge (IoT) Netzwerke.
  • Ziel der vorliegenden Erfindung ist es, ein System zu entwickeln, das die Erzeugung und Sammlung von Datenverkehr, die Erzeugung von IoT-spezifischen Merkmalen auf der Grundlage von Netzwerkflussinformationen, die Klassifizierung von Angriffsdatenverkehr und das Herausfiltern von Angriffsdatenverkehr im Netzwerk von IoT-Verbrauchergeräten ermöglicht.
  • Ein weiteres Ziel der vorliegenden Erfindung ist es, einen Datensatz zu generieren, der für das IoT-Netzwerk relevante Merkmale enthält, indem ein IoT-Netzwerk simuliert wird, das einen lokalen Router, prominente IoT-Verbrauchergeräte für normalen Verkehr und kompromittierte IoT-Geräte für Angriffsverkehr umfasst.
  • Ein weiteres Ziel der vorliegenden Erfindung ist es, die Wirksamkeit einiger gängiger Klassifikatoren wie Support Vector Machine (SVM), Random Forest (RF), Decision Tree (DT), Logistic Regression (LR), K-Nearest Neighbor (KNN) und Naïve Bayes bei der Erkennung von Angriffen anhand des vorbereiteten Datensatzes zu untersuchen.
  • Ein weiteres Ziel der vorliegenden Erfindung ist es, die Leistung jedes Klassifizierers in Bezug auf die Falsch-Positiv-Rate (FPR), Genauigkeit, Spezifität, Präzision, Wiedererkennung und F-Maß zu bewerten.
  • In einer Ausführungsform ein intelligentes Verteidigungssystem gegen verteilte Denial-of-Service (DDoS)-Angriffe in Internet-of-Things (IoT)-Netzwerken, wobei das System eine Vielzahl von Klassifizierern enthält, die so konfiguriert sind, dass sie den normalen Verkehr und den Angriffsverkehr zur Erkennung klassifizieren; eine Erkennungseinheit zum Erkennen bösartiger Aktivitäten, die von den IoT-Geräten im lokalen Netzwerk durchgeführt werden, wobei die Erkennungsphaseneinheit eine Verkehrserzeugungs- und -sammlungseinheit enthält, die so konfiguriert ist, dass sie den zwischen den IoT-Geräten und dem Internet übertragenen Verkehr analysiert, wobei die Verkehrserzeugungs- und - sammlungseinheit ferner so konfiguriert ist, dass sie sich über einen Router mit dem eingehenden und ausgehenden Verkehr im Netzwerk befasst; den sie durchlaufenden Netzwerkverkehr sammelt, überwacht, verarbeitet und stoppt; und den Angriffsverkehr und DDoS-Verkehr zu erkennen, der von den IoT-Geräten innerhalb des lokalen Netzwerks ausgeht; einen Verkehrsscanner, der so konfiguriert ist, dass er den vom Router eingehenden Verkehr erfasst, um Verkehrsdetails aufzuzeichnen, die von den im lokalen Netzwerk eingesetzten IoT-Geräten erzeugt werden; die aufgezeichneten Verkehrsinformationen für die Angriffserkennung vorzuverarbeiten und gefälschte IP-Flooding-Angriffs-, Volumen-, Port- und Protokollinformationen zu erkennen; einen ersten Bericht über Verkehrsstatistiken auf der Grundlage der vorverarbeiteten Informationen zu erstellen; einen Merkmalstrenner zum Auswählen von Merkmalen, die das IoT-Netzwerkverhalten darstellen, und auch von Netzwerkflussinformationen; eine Angriffskennung empfängt verarbeitete Informationen vom Merkmalstrenner zur Angriffserkennung auf der Grundlage des erzeugten ersten Berichts der Verkehrsstatistik und sagt voraus, ob sich die IoT-Geräte böswillig verhalten oder nicht; eine Abschwächungseinheit zur Abwehr des von den IoT-Geräten erzeugten bösartigen Verkehrs, wobei die Abschwächungsabschwächungseinheit einen Erzeuger von Regeln und Richtlinien enthält, der so konfiguriert ist, dass er einen zweiten Bericht über Verkehrsstatistiken erzeugt, der Informationen über die Angriffsstatistiken enthält, wie beispielsweise die Zielidentität, das verwendete Protokoll und mögliche Wege zur Abwehr des Angriffs, wobei der Erzeuger von Regeln und Richtlinien mit dem Merkmalstrenner verbunden ist, um die relevanten Merkmale zur Verbesserung der Erkennungsgenauigkeit von Klassifikatoren zu extrahieren; eine Filtereinheit, die so konfiguriert ist, dass sie die Angriffsverkehrspakete entsprechend der vom Merkmalstrenner übertragenen Informationen aussortiert, wenn der Angriff erkannt wird, was wiederum die im ersten Bericht der Verkehrsstatistiken und im zweiten Bericht der Verkehrsstatistiken enthaltenen Informationen nutzt.
  • In einer Ausführungsform simuliert das System einen DDoS-Angriff wie SYN-Flood, UDP-Flood, ICMP-Flood und HTTP-Flood.
  • In einer anderen Ausführungsform werden alle Netzwerkaktivitäten vom lokalen Router oder Gateway überwacht, der als Brücke zwischen den globalen Internetdiensten und dem lokalen Netzwerk mit den IoT-Geräten fungiert.
  • In einer anderen Ausführungsform umfassen die Verkehrsdetails die für die Übertragung verwendeten Protokolle, die Quell-IP-Adresse und Portnummer, die Ziel-IP-Adresse und Portnummer, die Paketgröße, die Verkehrsflussmenge und die Zeitstempel aller Verkehrspakete.
  • In einer anderen Ausführungsform, in der Wenn es einen sofortigen Anstieg in der Bandbreitennutzung, die ein potenzielles Signal für Angriffsverkehr durch das Gerät erzeugt wird.
  • In einer anderen Ausführungsform ist der Merkmalstrenner ferner so konfiguriert, dass er die von jedem Gerät erzeugten Pakete kategorisiert, indem er sie anhand der IP-Adresse des Geräts und der Zeitstempel in einem unzusammenhängenden Zeitfenster aufteilt.
  • In einer anderen Ausführungsform ist der erzeugte Verkehrsstatistikbericht so konfiguriert, dass er Angriffsverkehr in einer realen Situation erkennt.
  • In einer anderen Ausführungsform wird der zweite Bericht über die Verkehrsstatistiken, der vom Hersteller der Regeln und Richtlinien erstellt wurde, an den Feature Separator weitergeleitet.
  • In einer anderen Ausführungsform sind die IoT-Geräte ausgewählt, aber nicht beschränkt auf einen intelligenten Schalter, eine Nest Cam Innenkamera, einen intelligenten Thermostat, einen intelligenten Luft- und Qualitätsmonitor und ein intelligentes Schloss.
  • In einer anderen Ausführungsform werden die Klassifikatoren anhand des Trainingsdatensatzes trainiert und dann zur Erstellung von Vorhersagen für den Testdatensatz verwendet.
  • Um die Vorteile und Merkmale der vorliegenden Erfindung weiter zu verdeutlichen, wird eine genauere Beschreibung der Erfindung durch Bezugnahme auf spezifische Ausführungsformen davon, die in den beigefügten Figuren dargestellt ist, gemacht werden. Es wird davon ausgegangen, dass diese Figuren nur typische Ausführungsformen der Erfindung zeigen und daher nicht als Einschränkung ihres Umfangs zu betrachten sind. Die Erfindung wird mit zusätzlicher Spezifität und Detail mit den beigefügten Figuren beschrieben und erläutert werden.
  • Figurenliste
  • Diese und andere Merkmale, Aspekte und Vorteile der vorliegenden Erfindung werden besser verstanden, wenn die folgende detaillierte Beschreibung mit Bezug auf die beigefügten Figuren gelesen wird, in denen gleiche Zeichen gleiche Teile in den Figuren darstellen, wobei:
    • 1 ein Blockdiagramm für ein intelligentes Abwehrsystem (100) gegen verteilte Denial of Service (DDoS)-Angriffe in Internet of Things (IoT)-Netzwerken zeigt; und
    • 2 ein Block diagramm für die Verkehrserfassung zeigt.
  • Der Fachmann wird verstehen, dass die Elemente in den Figuren der Einfachheit halber dargestellt sind und nicht unbedingt maßstabsgetreu gezeichnet wurden. Die Flussdiagramme veranschaulichen beispielsweise das Verfahren anhand der wichtigsten Schritte, um das Verständnis der Aspekte der vorliegenden Offenbarung zu verbessern. Darüber hinaus kann es sein, dass eine oder mehrere Komponenten der Vorrichtung in den Figuren durch herkömmliche Symbole dargestellt sind, und dass die Figuren nur die spezifischen Details zeigen, die für das Verständnis der Ausführungsformen der vorliegenden Offenbarung relevant sind, um die Figuren nicht mit Details zu überfrachten, die für Fachleute, die mit der vorliegenden Beschreibung vertraut sind, leicht erkennbar sind.
  • DETAILLIERTE BESCHREIBUNG
  • Um das Verständnis der Erfindung zu fördern, wird nun auf die in den Figuren dargestellte Ausführungsform Bezug genommen und diese mit bestimmten Worten beschrieben. Es versteht sich jedoch von selbst, dass damit keine Einschränkung des Umfangs der Erfindung beabsichtigt ist, wobei solche Änderungen und weitere Modifikationen des dargestellten Systems und solche weiteren Anwendungen der darin dargestellten Grundsätze der Erfindung in Betracht gezogen werden, wie sie einem Fachmann auf dem Gebiet der Erfindung normalerweise einfallen würden.
  • Der Fachmann wird verstehen, dass die vorangehende allgemeine Beschreibung und die folgende detaillierte Beschreibung beispielhaft und erläuternd für die Erfindung sind und nicht als einschränkend zu verstehen sind. Die Bezugnahme in dieser Beschreibung auf „einen Aspekt“, „einen anderen Aspekt“ oder ähnliche Ausdrücke bedeutet, dass ein bestimmtes Merkmal, eine bestimmte Struktur oder eine bestimmte Eigenschaft, die im Zusammenhang mit der Ausführungsform beschrieben wird, in mindestens einer Ausführungsform der vorliegenden Erfindung enthalten ist. Daher können sich die Ausdrücke „in einer Ausführungsform“, „in einer anderen Ausführungsform“ und ähnliche Ausdrücke in dieser Beschreibung alle auf dieselbe Ausführungsform beziehen, müssen es aber nicht.
  • Die Ausdrücke „umfasst“, „enthaltend“ oder andere Variationen davon sollen eine nicht ausschließliche Einbeziehung abdecken, so dass ein Verfahren oder eine Methode, die eine Liste von Schritten umfasst, nicht nur diese Schritte einschließt, sondern auch andere Schritte enthalten kann, die nicht ausdrücklich aufgeführt sind oder zu einem solchen Verfahren oder einer solchen Methode gehören. Ebenso schließen eine oder mehrere Vorrichtungen oder Teilsysteme oder Elemente oder Strukturen oder Komponenten, die mit „umfasst...a“ eingeleitet werden, nicht ohne weitere Einschränkungen die Existenz anderer Vorrichtungen oder anderer Teilsysteme oder anderer Elemente oder anderer Strukturen oder anderer Komponenten oder zusätzlicher Vorrichtungen oder zusätzlicher Teilsysteme oder zusätzlicher Elemente oder zusätzlicher Strukturen oder zusätzlicher Komponenten aus.
  • Sofern nicht anders definiert, haben alle hierin verwendeten technischen und wissenschaftlichen Begriffe die gleiche Bedeutung, wie sie von einem Fachmann auf dem Gebiet, zu dem diese Erfindung gehört, allgemein verstanden wird. Das System, die Methoden und die Beispiele, die hier angegeben werden, dienen nur der Veranschaulichung und sind nicht als Einschränkung gedacht.
  • Ausführungsformen der vorliegenden Erfindung werden im Folgenden unter Bezugnahme auf die beigefügten Figuren im Detail beschrieben.
  • Die vorliegende Erfindung bezieht sich auf ein intelligentes Verteidigungssystem gegen verteilte Denial-of-Service (DDoS)-Angriffe in Internet-of-Things (IoT)-Netzwerken, das (a) Verkehrserzeugung und - sammlung, (b) Attributextraktion und -auswahl, (c) Klassifizierung des normalen Verkehrs und des Angriffsverkehrs zur Erkennung und (d) Ausfiltern der Angriffsverkehrspakete am lokalen Netzwerk-Gateway durchführt. Unser Ansatz funktioniert am lokalen Netzwerk-Router (Gateway), der für die Überwachung des ein- und ausgehenden Datenverkehrs zuständig ist und sich daher am besten als Plattform für den Einsatz unseres Ansatzes zur Angriffserkennung und -abwehr eignet.
  • 1 zeigt ein Blockdiagramm für ein intelligentes Abwehrsystem gegen verteilte Denial-of-Service-Angriffe (DDoS) in Internet-of-Things-Netzwerken (IoT). Das System besteht aus zwei Phasen, nämlich der Erkennungsphase und der Eindämmungsphase.
  • In der Erkennungsphase erzeugt und sammelt das System 100 den Datenverkehr, der von den IoT-Verbrauchergeräten erzeugt wird, die sowohl normale als auch infizierte Geräte umfassen. Anschließend fasst das System 100 den normalen Verkehr und den Angriffsverkehr zu einem kumulativen Datensatz zusammen. Anschließend identifiziert und extrahiert es bestimmte Merkmale, die das Verhalten des IoT-Netzwerks repräsentieren, und nutzt auch die Merkmale des Datenflusses. Darüber hinaus wird der vorbereitete Datensatz verwendet, um eine Vielzahl von Machine-Learning-Klassifikatoren wie SVM, KNN, RF usw. zu trainieren, um verdächtige IoT-Geräte zu identifizieren, die an einem Angriff beteiligt sein könnten. Außerdem nutzt das System die Fähigkeiten mehrerer Klassifikatoren, um eine vergleichende Analyse der Fähigkeit dieser Klassifikatoren zur Erkennung von Angriffen zu demonstrieren.
  • In der Entschärfungsphase erstellt das System nach der Angriffserkennung einen Verkehrsbericht, der spezifische Informationen über den Angriff enthält. Dieser Bericht wird schließlich verwendet, um a) den Erkennungsprozess zu verbessern und b) die Angriffspakete durch den Filterungsprozess auszusondern.
  • Das System 100 umfasst eine Vielzahl von Klassifizierern (102), die so konfiguriert sind, dass sie den normalen Verkehr und den Angriffsverkehr zur Erkennung klassifizieren; eine Erkennungseinheit (104) zum Erkennen bösartiger Aktivitäten, die von den IoT-Geräten im lokalen Netzwerk durchgeführt werden, wobei die Erkennungseinheit (104) eine Verkehrserzeugungs- und -sammlungseinheit (106) umfasst, die so konfiguriert ist, dass sie den zwischen den IoT-Geräten und dem Internet übertragenen Verkehr analysiert, wobei die Verkehrserzeugungs- und -sammlungseinheit (106) ferner so konfiguriert ist, dass sie über einen Router mit dem eingehenden und ausgehenden Verkehr im Netzwerk umgeht; den Netzwerkverkehr, der sie durchläuft, zu sammeln, zu überwachen, zu verarbeiten und zu stoppen; und den Angriffsverkehr und DDoS-Verkehr zu erkennen, der von den IoT-Geräten innerhalb des lokalen Netzwerks ausgeht.
  • Das System (100) umfasst einen Verkehrsscanner (108), der so konfiguriert ist, dass er den vom Router eingehenden Verkehr erfasst, um Verkehrsdetails aufzuzeichnen, die von den im lokalen Netzwerk eingesetzten IoT-Geräten erzeugt werden; die aufgezeichneten Verkehrsinformationen für die Angriffserkennung vorverarbeitet und gefälschte IP-Flooding-Angriffe, Volumen-, Port- und Protokollinformationen erkennt; einen ersten Bericht über Verkehrsstatistiken auf der Grundlage vorverarbeiteter Informationen erstellt; einen Merkmalstrenner (110) zur Auswahl von Merkmalen, die das IoT-Netzwerkverhalten darstellen, sowie von Netzwerkflussinformationen.
  • Das System (100) umfasst einen Angriffsidentifikator (112), der verarbeitete Informationen vom Merkmalstrenner zur Angriffserkennung auf der Grundlage des ersten Berichts der erzeugten Verkehrsstatistiken empfängt und vorhersagt, ob sich die IoT-Geräte bösartig verhalten oder nicht.
  • Das System (100) umfasst eine Entschärfungseinheit (114) zur Abwehr des von den IoT-Geräten erzeugten bösartigen Datenverkehrs, wobei die Entschärfungseinheit einen Erzeuger von Regeln und Richtlinien (116) umfasst, der so konfiguriert ist, dass er einen zweiten Bericht über Verkehrsstatistiken erzeugt, der Informationen über die Angriffsstatistiken enthält, wie z. B. die Identität des Ziels, das verwendete Protokoll und mögliche Wege zur Abwehr des Angriffs, wobei der Erzeuger von Regeln und Richtlinien mit dem Merkmalstrenner (110) verbunden ist, um die relevanten Merkmale zur Verbesserung der Erkennungsgenauigkeit von Klassifikatoren zu extrahieren.
  • Das System (100) umfasst eine Filtereinheit (118), die so konfiguriert ist, dass sie die Angriffsverkehrspakete entsprechend der vom Merkmalstrenner (110) übertragenen Informationen aussortiert, wenn der Angriff erkannt wird, der wiederum die Informationen verwendet, die im ersten Bericht der Verkehrsstatistik und im zweiten Bericht der Verkehrsstatistik enthalten sind.
  • In einer anderen Ausführungsform simuliert das System (100) den DDoS-Angriff wie SYN-Flood, UDP-Flood, ICMP-Flood und HTTP-Flood.
  • In einer anderen Ausführungsform werden alle Netzwerkaktivitäten vom lokalen Router oder Gateway überwacht, der als Brücke zwischen den globalen Internetdiensten und dem lokalen Netzwerk mit den IoT-Geräten fungiert.
  • In einer anderen Ausführungsform umfassen die Verkehrsdetails die für die Übertragung verwendeten Protokolle, die Quell-IP-Adresse und Portnummer, die Ziel-IP-Adresse und Portnummer, die Paketgröße, die Verkehrsflussmenge und die Zeitstempel aller Verkehrspakete.
  • In einer anderen Ausführungsform, in der Wenn es einen sofortigen Anstieg in der Bandbreitennutzung, die ein potenzielles Signal für Angriffsverkehr durch das Gerät erzeugt wird.
  • In einer anderen Ausführungsform ist der Merkmalstrenner (110) ferner so konfiguriert, dass er die von jedem Gerät erzeugten Pakete kategorisiert, indem er sie anhand der IP-Adresse des Geräts und der Zeitstempel in einem unzusammenhängenden Zeitfenster unterteilt.
  • In einer anderen Ausführungsform ist der erzeugte Verkehrsstatistikbericht so konfiguriert, dass er Angriffsverkehr in einer realen Situation erkennt.
  • In einer anderen Ausführungsform wird der zweite Bericht über die Verkehrsstatistiken, der vom Hersteller der Regeln und Richtlinien erstellt wurde, an den Feature Separator (110) weitergeleitet.
  • In einer anderen Ausführungsform sind die IoT-Geräte ausgewählt, aber nicht beschränkt auf einen intelligenten Schalter, eine Nest Cam Innenkamera, einen intelligenten Thermostat, einen intelligenten Luft- und Qualitätsmonitor und ein intelligentes Schloss.
  • In einer anderen Ausführungsform wird die Vielzahl von Klassifikatoren (102) unter Verwendung des Trainingsdatensatzes trainiert und dann zur Erstellung von Vorhersagen für den Testdatensatz verwendet.
  • 2 zeigt ein Bloack-Diagramm für die Verkehrserfassung. Alle diese Geräte sind über ein WiFi-Netzwerk mit dem Router verbunden. Um den normalen Datenverkehr zu erfassen, aktivieren wir alle 5 IoT-Geräte für etwa 5-10 Minuten und speichern „pcap“-Dateien, die ihre normale Interaktion mit dem Tool tcpdump zeigen. Um die Details des Angriffsverkehrs zu erfassen, simulieren wir die gängigsten Angriffsarten, die ein infiziertes Gerät erzeugen kann, wie SYN-Flood, ICMP-Flood, UDP-Flood und HTTP-Flood für etwa 1.5 Minuten. Um diese Aufgabe zu bewältigen, installieren wir Kali Linux mit dem Tool „Virtuelle Maschine“ auf mehreren Systemen, die als Angriffsquelle fungieren, und Raspberry Pi v2 wird als Angriffsopfer ausgewählt, das eine Website auf dem Apache-Server gehostet hat. Dann werden sowohl die Angriffsquelle als auch das Angriffsopfer mit dem lokalen Router verbunden. Mit dem Dienstprogramm „hping3“ in Kali wird das Opfer mit TCP-, UDP- und ICMP-Paketen geflutet. Das HTTP-Get-Flooding wird mit dem Tool „Goldeneye“ simuliert. Innerhalb weniger Minuten wurde der Dienst der Website verweigert, was ein klares Indiz für einen DDoS-Angriff ist. Wir erfassen die Details des Datenverkehrs in Form von „pcap“-Dateien mit dem Tool tcpdump.
  • Darüber hinaus werden die Datensätze des normalen Datenverkehrs und des Angriffsdatenverkehrs mit gefälschten IP-Adressen zusammengeführt, um so zu tun, als ob beide Arten von Datenverkehr gleichzeitig generiert würden. Dieser gesamte Prozess erzeugt einen kumulativen Datensatz mit insgesamt 241.289 Paketen, von denen 31.233 Pakete gutartig und 210.056 Pakete bösartig sind.
  • In einer anderen Ausführungsform wird die Vielzahl von Klassifikatoren verwendet, um normalen Verkehr von Angriffsverkehr zu unterscheiden. Die Vielzahl der Klassifikatoren teilt die Merkmale in zwei Gruppen ein: flussabhängige (zustandsabhängige) und flussunabhängige (zustandslose) Merkmale. Die Generierung von zustandsabhängigen Merkmalen ist eine mühsame Aufgabe, da sie eine Zeitreiheninterpretation des Verhaltens jedes Geräts im Netzwerk beinhaltet. Verkehrspakete werden auf der Grundlage von Zeitstempeln und der IP-Adresse des Geräts in disjunkte Zeitfenster unterteilt. Für diese Funktionen benötigt der lokale Router einen gewissen Speicherplatz, um den Status mit einem kleinen Zeitfenster (z. B, 20 s) aufzuzeichnen.
  • In einer anderen Ausführungsform, Flow-abhängige Funktionen: Dazu gehören die folgenden:
    • IP-Adresse und Port von Quelle und Ziel: Dies ist erforderlich, um die Verbindungen im Netz zu verfolgen. Jede Abweichung von den normalen Verbindungen deutet auf das Vorhandensein verdächtiger Aktivitäten hin. Dazu gehören DIP, SIP, S_Port und D_Port.
    • Kommunikationsbandbreite: Die von jedem Gerät verbrauchte Bandbreite kann zur Identifizierung von IoT-Gerätemustern verwendet werden, wie von [25] vorgeschlagen. Wenn es einen sofortigen Anstieg der Bandbreitennutzung gibt, kann dies ein potenzielles Signal für von dem Gerät generierten Angriffsverkehr sein. Sie wird für jedes Gerät in einem disjunkten Zeitfenster von 20 s gemessen und durch BW dargestellt.
    • Anzahl der Zieladressen: IoT-Geräte kommunizieren in der Regel mit einer festen Anzahl von Servern. Diese Zahl wird für jedes IoT-Gerät ermittelt. Wenn eines von ihnen versucht, innerhalb einer bestimmten Zeitspanne eine Verbindung mit mehr als der angegebenen Anzahl von Zielen herzustellen, wird dies als verdächtige Aktivität gewertet. Sie wird durch DIP_Count dargestellt.
    • Anzahl der neuen Zieladressen: Dies zeigt die Anzahl der neuen und unterschiedlichen Ziel-IP-Adressen an, die von den IoT-Geräten kontaktiert werden. Wenn sich die kontaktierte Ziel-IP-Adresse ändert, kann dies auf verdächtige Aktivitäten hindeuten. Sie wird mit New_DIP bezeichnet.
  • In einer anderen Ausführungsform umfassen die strömungsunabhängigen Merkmale Folgendes:
    • Paketgröße: Der Angriffsverkehr besteht im Allgemeinen aus kleinen Paketen, die mit hoher Frequenz übertragen werden, während die legitimen Pakete größer sind. Auch das Verhältnis zwischen gleich großen Paketen und der Gesamtzahl der Pakete wird als Hinweis auf Botnetz-Aktivitäten betrachtet. Es wird durch Pkt_Size dargestellt.
    • Zeitintervall zwischen den Paketen: Die Rate, mit der die Pakete gesendet oder empfangen werden, wird aufgezeichnet. Sie wird in Anfragen pro Sekunde (für Get/Post flood), Paketen pro Sekunde (für SYN flood und ICMP flood) und Bits pro Sekunde (UDP flood) gemessen.
    • Pakete und Protokoll: Die Protokollinformationen werden erfasst, da die Verwendung des Protokolls unter normalen Bedingungen und unter Angriffsbedingungen variiert. Während eines Angriffs können beispielsweise mehr TCP-Pakete als UDP-Pakete übertragen werden, um so viele Verbindungen wie möglich mit dem Opfer herzustellen. Außerdem wird normalerweise eine geringere Anzahl von Protokollen für den Angriffsverkehr verwendet. Es enthält ein verschlüsseltes Merkmal wie Is_TCP, Is_HTTP, Is_ICMP, Is_UDP, Is_other, um festzustellen, welches Protokoll für die Übertragung verwendet wird, und Pkt_TCP, Pkt_UDP, Pkt_ICMP, Pkt_HTTP und Pkt_other, um die Anzahl der gesendeten Pakete für jedes verwendete Protokoll zu ermitteln. Dies hilft bei der Reduzierung irrelevanter Informationen im Zusammenhang mit dem Netzwerkverkehr.
  • In einer anderen Ausführungsform ist das beanspruchte System gekennzeichnet durch:
    • Leichtgewichtig: Das System wählt Merkmale aus, die das IoT-Netzwerkverhalten symbolisieren und von den Netzwerkflussinformationen abhängen, d. h. davon, wie Netzwerkpakete weitergeleitet werden, und nicht von inhaltsspezifischen Informationen, d. h. davon, was sich im Paket befindet. Dadurch ist das System in der Lage, Anwendungen mit hoher Bandbreite zu bewältigen und ist leichtgewichtig.
    • Geringerer Speicherbedarf: Die Zwischenspeicherung im Router erhöht die Latenzzeit und die Komplexität. Daher benötigt das System nur begrenzten Speicherplatz, um den Netzwerkstatus für ein kleines Zeitfenster zu speichern.
    • Protokollunabhängig: Dieser Ansatz berücksichtigt Merkmale, die allen Protokollen wie TCP, UDP, ICMP, HTTP usw. gemeinsam sind.
  • Die Figuren und die vorangehende Beschreibung geben Beispiele für Ausführungsformen. Der Fachmann wird verstehen, dass eines oder mehrere der beschriebenen Elemente durchaus zu einem einzigen Funktionselement kombiniert werden können. Alternativ dazu können bestimmte Elemente in mehrere Funktionselemente aufgeteilt werden. Elemente aus einer Ausführungsform können einer anderen Ausführungsform hinzugefügt werden. So kann beispielsweise die Reihenfolge der hier beschriebenen Prozesse geändert werden und ist nicht auf die hier beschriebene Weise beschränkt. Außerdem müssen die Aktionen eines Flussdiagramms nicht in der gezeigten Reihenfolge ausgeführt werden; auch müssen nicht unbedingt alle Aktionen durchgeführt werden. Außerdem können die Handlungen, die nicht von anderen Handlungen abhängig sind, parallel zu den anderen Handlungen durchgeführt werden. Der Umfang der Ausführungsformen ist durch diese spezifischen Beispiele keineswegs begrenzt. Zahlreiche Variationen sind möglich, unabhängig davon, ob sie in der Beschreibung explizit aufgeführt sind oder nicht, wie z. B. Unterschiede in der Struktur, den Abmessungen und der Verwendung von Materialien. Der Umfang der Ausführungsformen ist mindestens so groß wie in den folgenden Ansprüchen angegeben.
  • Vorteile, andere Vorzüge und Problemlösungen wurden oben im Hinblick auf bestimmte Ausführungsformen beschrieben. Die Vorteile, Vorzüge, Problemlösungen und Komponenten, die dazu führen können, dass ein Vorteil, ein Nutzen oder eine Lösung auftritt oder ausgeprägter wird, sind jedoch nicht als kritisches, erforderliches oder wesentliches Merkmal oder Komponente eines oder aller Ansprüche zu verstehen.
  • Bezugszeichenliste
    • 100
    Intelligentes Abwehrsystem gegen verteilte Denial of Service (DDoS)-Angriffe in Internet of Things (IoT)-Netzwerken
    102
    Mehrzahl von Klassifikatoren
    104
    Erkennungseinheit
    106
    Einheit zur Erzeugung und Sammlung von Datenverkehr
    108
    Verkehrsscanner
    110
    Merkmalstrenner
    112
    Angriffsidentifikator
    114
    Entschärfungseinheit
    116
    Hersteller von Regeln und Policies
    118
    Filtrierende Einheit
    202
    Gerät 1 Server
    204
    Gerät 2 Server
    206
    Server für Gerät 3
    208
    Gerät 4 Server
    210
    Gerät 5 Server
    212
    Andere Endpunkte
    214
    Internet
    216
    Angriffsopfer
    218
    Raspberry Pi
    220
    Quelle des IoT-Angriffsverkehrs
    222
    Intelligenter Schalter
    224
    Nest-Innenkamera
    226
    Intelligenter Thermostat von Nest
    228
    Awair Intelligenter Luftqualitätsmonitor
    230
    Intelligentes Schloss
    232
    IoT-Geräte

Claims (10)

  1. . Intelligentes Verteidigungssystem (100) gegen verteilte Denial of Service (DDoS)-Angriffe in Internet of Things (IoT)-Netzwerken, wobei das System umfasst: eine Vielzahl von Klassifizierern (102), die so konfiguriert sind, dass sie den normalen Verkehr und den Angriffsverkehr zur Erkennung klassifizieren; eine Erkennungseinheit (104) zum Erkennen bösartiger Aktivitäten, die von den IoT-Geräten im lokalen Netzwerk durchgeführt werden, wobei die Erkennungseinheit (104) Folgendes umfasst: eine Verkehrserzeugungs- und -sammlungseinheit (106), die so konfiguriert ist, dass sie den zwischen den IoT-Geräten und dem Internet übertragenen Verkehr analysiert, wobei die Verkehrserzeugungs- und -sammlungseinheit (106) ferner so konfiguriert ist, dass sie: sich über einen Router mit dem ein- und ausgehenden Verkehr im Netz befassen; den sie durchlaufenden Netzwerkverkehr erfassen, überwachena, verarbeiten und stoppen; und den Angriffs- und DDoS-Verkehr zu erkennen, der von den IoT-Geräten innerhalb des lokalen Netzes ausgeht; einen Verkehrsscanner (108), der dafür konfiguriert ist: Erfassung des vom Router eingehenden Datenverkehrs zur Aufzeichnung von Datenverkehrsdetails, die von den im lokalen Netz eingesetzten IoT-Geräten erzeugt werden; Vorverarbeitung der aufgezeichneten Verkehrsinformationen für die Angriffserkennung und Erkennung von Spoofing-IP-Flooding-Angriffen, Volumen-, Port- und Protokollinformationen; Erstellung eines ersten Berichts über die Verkehrsstatistik auf der Grundlage von vorverarbeiteten Informationen; einen Merkmalstrenner (110) zum Auswählen von Merkmalen, die das IoT-Netzwerkverhalten und auch Netzwerkflussinformationen darstellen; ein Angriffsidentifikator (112) empfängt verarbeitete Informationen vom Merkmalstrenner zur Angriffserkennung auf der Grundlage des ersten Berichts der erzeugten Verkehrsstatistik und zur Vorhersage, ob sich die IoT-Geräte bösartig verhalten oder nicht. eine Entschärfungseinheit (114) zur Abwehr des von den IoT-Geräten erzeugten bösartigen Datenverkehrs, wobei die Entschärfungseinheit umfasst: einen Erzeuger von Regeln und Richtlinien (116), der so konfiguriert ist, dass er einen zweiten Bericht über Verkehrsstatistiken erzeugt, der Informationen über die Angriffsstatistiken enthält, wie z. B. die Identität des Ziels, das verwendete Protokoll und mögliche Wege zur Abwehr des Angriffs, wobei der Erzeuger von Regeln und Richtlinien mit dem Merkmalstrenner (110) verbunden ist, um die relevanten Merkmale zur Verbesserung der Erkennungsgenauigkeit von Klassifikatoren zu extrahieren; eine Filtereinheit (118), die so konfiguriert ist, dass sie die Angriffsverkehrspakete gemäß den von der Merkmalstrennvorrichtung (110) übertragenen Informationen aussortiert, wenn der Angriff erkannt wird, die ihrerseits die in dem ersten Verkehrsstatistikbericht und dem zweiten Verkehrsstatistikbericht enthaltenen Informationen verwendet.
  2. Das System (100) nach Anspruch 1, wobei das System (100) den DDoS-Angriff wie SYN-Flood, UDP-Flood, ICMP-Flood und HTTP-Flood simuliert.
  3. Das System (100) nach Anspruch 1, wobei alle Netzwerkaktivitäten von dem lokalen Router oder Gateway überwacht werden, der als Brücke zwischen globalen Internetdiensten und dem lokalen Netzwerk, das aus den IoT-Geräten besteht, fungiert.
  4. System (100) nach Anspruch 1, wobei die Verkehrsdetails die für die Übertragung verwendeten Protokolle, die Quell-IP-Adresse und Portnummer, die Ziel-IP-Adresse und Portnummer, die Paketgröße, die Verkehrsflussmenge und die Zeitstempel aller Verkehrspakete umfassen.
  5. Das System (100) nach Anspruch 4, wobei bei einem momentanen Anstieg der Bandbreitennutzung ein potenzielles Signal für einen vom System erzeugten Angriffsverkehr vorliegt.
  6. Das System (100) nach Anspruch 1, wobei der Merkmalstrenner (110) ferner so konfiguriert ist, dass er Pakete, die von jedem Gerät erzeugt werden, kategorisiert, indem er sie unter Verwendung der IP-Adresse des Geräts und von Zeitstempeln in einem disjunkten Zeitfenster unterteilt.
  7. Das System (100) nach Anspruch 1, wobei der erzeugte Verkehrsstatistikbericht so konfiguriert ist, dass er Angriffsverkehr in einer realen Situation erkennt.
  8. Das System (100) nach Anspruch 1, wobei der zweite Bericht über die Verkehrsstatistiken, der von dem Erzeuger von Regeln und Richtlinien erzeugt wurde, an den Merkmalstrenner (110) weitergeleitet wird.
  9. Das System (100) nach Anspruch 1, wobei die IoT-Geräte ausgewählt werden, aber nicht beschränkt sind auf einen intelligenten Schalter, eine Nest Cam Innenkamera, einen intelligenten Thermostat, einen intelligenten Luft- und Qualitätsmonitor und ein intelligentes Schloss.
  10. Das System (100) nach Anspruch 1, wobei die Klassifikatoren unter Verwendung des Trainingsdatensatzes trainiert werden und dann zur Erstellung von Vorhersagen für den Testdatensatz verwendet werden.
DE202022102631.9U 2022-05-13 2022-05-13 Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen Active DE202022102631U1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE202022102631.9U DE202022102631U1 (de) 2022-05-13 2022-05-13 Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE202022102631.9U DE202022102631U1 (de) 2022-05-13 2022-05-13 Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen

Publications (1)

Publication Number Publication Date
DE202022102631U1 true DE202022102631U1 (de) 2022-05-25

Family

ID=82020496

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202022102631.9U Active DE202022102631U1 (de) 2022-05-13 2022-05-13 Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen

Country Status (1)

Country Link
DE (1) DE202022102631U1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115473835A (zh) * 2022-08-05 2022-12-13 北京罗克维尔斯科技有限公司 流量统计方法及相关设备
CN117119462A (zh) * 2023-10-25 2023-11-24 北京派网科技有限公司 基于分布式dip引擎异质图架构的5G移动通信网络的安全审计系统及方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115473835A (zh) * 2022-08-05 2022-12-13 北京罗克维尔斯科技有限公司 流量统计方法及相关设备
CN115473835B (zh) * 2022-08-05 2023-09-26 北京罗克维尔斯科技有限公司 流量统计方法及相关设备
CN117119462A (zh) * 2023-10-25 2023-11-24 北京派网科技有限公司 基于分布式dip引擎异质图架构的5G移动通信网络的安全审计系统及方法
CN117119462B (zh) * 2023-10-25 2024-01-26 北京派网科技有限公司 基于分布式dpi引擎异质图架构的5g移动通信网络的安全审计系统及方法

Similar Documents

Publication Publication Date Title
CN108701187B (zh) 用于混合硬件软件分布式威胁分析的设备和方法
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
CN104836702B (zh) 一种大流量环境下主机网络异常行为检测及分类方法
CN101924757B (zh) 追溯僵尸网络的方法和系统
CN109688105B (zh) 一种威胁报警信息生成方法及系统
CN111541661A (zh) 基于因果知识的电力信息网络攻击场景重构方法及系统
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE202022102631U1 (de) Intelligentes Verteidigungssystem gegen verteilte Denial of Service (DDoS) Angriffe in Internet of Things (IoT) Netzen
CN105119930B (zh) 基于OpenFlow协议的恶意网站防护方法
DE60127978T2 (de) System und Verfahren zur Verteidigung gegen Denial-of-Service angriffe auf die Netzwerkknoten
CN108768917A (zh) 一种基于网络日志的僵尸网络检测方法及系统
CN111885106A (zh) 一种基于终端设备特征信息的物联网安全管控方法及系统
Bhatia Ensemble-based model for DDoS attack detection and flash event separation
CN112769623A (zh) 边缘环境下的物联网设备识别方法
Nijim et al. FastDetict: A data mining engine for predecting and preventing DDoS attacks
Meena et al. HyPASS: Design of hybrid-SDN prevention of attacks of source spoofing with host discovery and address validation
Vijayalakshmi et al. IP traceback system for network and application layer attacks
Cambiaso et al. A network traffic representation model for detecting application layer attacks
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
Shamsolmoali et al. C2DF: High rate DDOS filtering method in cloud computing
CN113660267A (zh) 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质
Dressler et al. Attack detection using cooperating autonomous detection systems (CATS)
CN116366319A (zh) 一种检测网络安全的方法及系统
CN113595958B (zh) 一种物联网设备的安全检测系统及方法
Nie et al. Intrusion detection using a graphical fingerprint model

Legal Events

Date Code Title Description
R207 Utility model specification
R082 Change of representative

Representative=s name: LIPPERT STACHOW PATENTANWAELTE RECHTSANWAELTE , DE