RU2796800C1 - Method for detecting anomalies in the operation of a smart home device at the hardware level - Google Patents
Method for detecting anomalies in the operation of a smart home device at the hardware level Download PDFInfo
- Publication number
- RU2796800C1 RU2796800C1 RU2022125034A RU2022125034A RU2796800C1 RU 2796800 C1 RU2796800 C1 RU 2796800C1 RU 2022125034 A RU2022125034 A RU 2022125034A RU 2022125034 A RU2022125034 A RU 2022125034A RU 2796800 C1 RU2796800 C1 RU 2796800C1
- Authority
- RU
- Russia
- Prior art keywords
- smart home
- server
- controller
- security
- safety controller
- Prior art date
Links
Images
Abstract
Description
Изобретение относится к области компьютерных систем, а именно к обнаружению аномалий в работе устройства умного дома на аппаратном уровне.The invention relates to the field of computer systems, namely to the detection of anomalies in the operation of a smart home device at the hardware level.
Известен способ использования модели IoT-устройства для определения аномалий в работе устройства патент (№ RU2772072 опуб. 16.05.2022). Способ покрывает большой спектр уязвимостей в системах умного дома и IoT. Изобретение предлагает решение проблем безопасности для IoT-устройств на разных уровнях: на уровне самого устройства, уровне сети, на уровне инфраструктуры.There is a known method of using a model of an IoT device to detect anomalies in the operation of the device (patent No. RU2772072 pub. 05/16/2022). The method covers a wide range of vulnerabilities in smart home and IoT systems. The invention offers a solution to security problems for IoT devices at different levels: at the level of the device itself, at the network level, at the infrastructure level.
Способ опирается на использования модели IoT-устройства для определения аномалий в работе устройства, в котором определяют новое устройство; получают данные об устройстве для формирования профиля; создают свёртку устройства на основании профиля; выбирают из базы данных свёрток свёртку, схожую с созданной свёрткой; если существует известная модель, то используют уже известную модель поведения устройства, связанную с выбранной свёрткой, в ином случае собирают данные в профиле устройства для создания и обучения модели устройства и последующего использования обученной модели, при этом использование модели предполагает определение аномалий в работе устройства.The method relies on using an IoT device model to detect anomalies in the operation of a device in which a new device is defined; receive data about the device for forming a profile; create a device rollup based on the profile; choose from the database of convolutions a convolution similar to the created convolution; if there is a known model, then the already known device behavior model associated with the selected convolution is used, otherwise, data is collected in the device profile to create and train the device model and then use the trained model, while using the model involves identifying anomalies in the device operation.
Данное изобретение обладает следующими недостатками:This invention has the following disadvantages:
Система слишком тяжеловесна для маломощных устройств, то есть тех устройств, у которых не хватит ресурсов поддерживать заданные конфигурации, протоколы. В связи с этим, предложенный способ невозможно внедрить в системы, работающие на более низком уровне. Устройства, связанные со сбором данных или коммуникацией, датчики, брокеры.The system is too heavy for low-power devices, that is, those devices that do not have enough resources to support the specified configurations and protocols. In this regard, the proposed method cannot be implemented in systems operating at a lower level. Devices related to data collection or communication, sensors, brokers.
1. Система защиты находится внутри рабочей системы, то есть при атаке на целевую систему, будет атакована и защитная система, что снижает отказоустойчивость систем умного дома и IoT.1. The protection system is located inside the working system, that is, when the target system is attacked, the protective system will also be attacked, which reduces the fault tolerance of smart home and IoT systems.
2. Нет аппаратной защиты, то есть если устройство подвержено к примеру «импульсной атаке по питанию» для перескока проверки пароля или других нужд злоумышленника, такую атаку невозможно определить, используя этот способ, так как устройство не изменит алгоритм вложенных в него действий.2. There is no hardware protection, that is, if the device is subject to, for example, a “pulse power attack” to skip password verification or other needs of an attacker, such an attack cannot be determined using this method, since the device will not change the algorithm of actions nested in it.
Известен способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределённых сетевых атак (патент № RU2703329 опуб. 19.05.2022).There is a known method for detecting unauthorized use of network devices with limited functionality from a local network and preventing distributed network attacks emanating from them (patent No. RU2703329 published on May 19, 2022).
Основная идея предлагаемого способа заключается в том, что аномальная активность может быть обнаружена самим сетевым устройством ограниченной функциональности в режиме реального времени с помощью встроенного в его ПО классифицирующего модуля, способного выделять аномалии в признаках сетевого трафика, выходящие за пределы области признаков разрешённого сетевого взаимодействия устройства, заранее заложенной в классификаторе. Данное изобретение обладает следующими недостатками:The main idea of the proposed method is that anomalous activity can be detected by the limited functionality network device itself in real time using a classifying module built into its software that is capable of highlighting anomalies in network traffic signs that go beyond the area of signs of allowed network interaction of the device, predefined in the classifier. This invention has the following disadvantages:
1. Большое количество дешёвых устройств не имеет своей операционной системы, что делает невозможным использование данного способа защиты от сетевых атак.1. A large number of cheap devices do not have their own operating system, which makes it impossible to use this method of protection against network attacks.
2. Дополнительная нагрузка на маломощные устройства не является хорошим решением, так как это увеличит износ устройства.2. Additional load on low power devices is not a good solution, as this will increase the wear of the device.
Известен Способ оценки степени износа IoT-устройства со стороны элемента сетевой инфраструктуры (№ RU2703329 опуб. 16.10.2019).A method for assessing the degree of wear of an IoT device on the part of a network infrastructure element is known (No. RU2703329 pub. 10/16/2019).
Способ оценки степени износа IoT-устройства со стороны элемента сетевой инфраструктуры содержит этапы, на которых: собирают данные о работе устройства; формируют отчёт о работе устройства на основании собранных данных; вычисляют степень износа устройства с помощью модели износа на основании сформированного отчёта. Далее вычисляется, выше ли степень износа порогового значения данного устройства и определяются дальнейшие действия.The method for assessing the wear rate of an IoT device on the part of a network infrastructure element comprises the steps of: collecting data on device operation; generate a report on the operation of the device based on the collected data; calculating the degree of wear of the device using the wear model based on the generated report. Next, it is calculated whether the degree of wear is above the threshold value of this device and further actions are determined.
Данное изобретение обладает следующими недостатком - если устройство не выходит из строя и показатели в норме, то такая система не сможет определить тенденцию к износу устройства так как ведётся работа с API устройства и сетевым трафиком, а не с фактическими показателями устройства.This invention has the following disadvantage - if the device does not fail and the indicators are normal, then such a system will not be able to determine the trend of device wear and tear, since it is working with the device API and network traffic, and not with the actual device indicators.
Технической проблемой заявляемого изобретения является разработка способа обнаружения аномалий в работе устройства умного дома на аппаратном уровне.The technical problem of the claimed invention is the development of a method for detecting anomalies in the operation of a smart home device at the hardware level.
Технический результат заключается в использовании параллельной системы защиты для обнаружения аномалий в работе устройств умного дома. Так как система локально отделена от основной системы умного дома, нет возможности влиять на неё и на умный дом одновременно, что повышает отказоустойчивость системы.The technical result consists in using a parallel protection system to detect anomalies in the operation of smart home devices. Since the system is locally separated from the main smart home system, there is no way to influence it and the smart home at the same time, which increases the fault tolerance of the system.
Решением поставленной задачи является создание локальной сети, которая будет параллельна для сети умного дома, то есть каждое устройство будет соединено с контроллером безопасности. Каждый из контроллеров безопасности будет соединён с сервером, тем самым организуется локальная сеть для анализа устройств. Далее контроллер отправляет показатели устройства на сервер. На сервере по полученным данным обучается модуль, далее вычисляются погрешности прогноза этого модуля, и он запускается для работы над этим устройством в режиме реального времени.The solution to this problem is to create a local network that will be parallel to the smart home network, that is, each device will be connected to a security controller. Each of the security controllers will be connected to the server, thereby organizing a local network for device analysis. Next, the controller sends the device readings to the server. On the server, the module is trained according to the received data, then the forecast errors of this module are calculated, and it is launched to work on this device in real time.
Изобретение поясняется на Фиг. 1, изображающей схема работы способа.The invention is illustrated in FIG. 1 showing the operation of the method.
Важность работы именно с аппаратной частью контроллера обоснована тем, что информация об показателях самого устройства даст возможность обнаружить атаку на контроллер раньше, за счет анализа нагрузки устройства.The importance of working with the hardware of the controller is justified by the fact that information about the performance of the device itself will make it possible to detect an attack on the controller earlier, by analyzing the load of the device.
Важность решения данной задачи связана также с тем, что в промышленные области все больше добавляются умные системы датчиков, выход из строя одной области может повлечь неправильную работу целого сектора.The importance of solving this problem is also related to the fact that smart sensor systems are increasingly being added to industrial areas, the failure of one area can lead to incorrect operation of the entire sector.
Основной особенностью предлагаемого способа является аппаратная оболочка вокруг системы умного дома или предприятия. Нет необходимости, иметь определённое устройство с определённым количеством памяти или внутренних возможностей, устройства не будут нагружаться в параллель своей полезной нагрузки. Так как сейчас имеется огромный рынок компаний, производящих дешёвое, низкокачественное оборудование, с постоянными обновлениями, сложно уследить и принять необходимые меры внутри системы, так как злоумышленники обладают полной информацией о таких устройствах. Но в совокупности с этим способом можно ограничить как физическое воздействие на устройства, так и многие сетевые атаки, так как это будет заметно на снимаемых показателях.The main feature of the proposed method is the hardware shell around the system of a smart home or enterprise. There is no need to have a specific device with a specific amount of memory or internal capabilities, devices will not be loaded in parallel with their payload. Since there is now a huge market of companies producing cheap, low-quality equipment with constant updates, it is difficult to keep track and take the necessary measures within the system, since attackers have complete information about such devices. But in combination with this method, it is possible to limit both the physical impact on devices and many network attacks, as this will be noticeable on the recorded indicators.
Несколько явных киберугроз контроллеров, которые с лёгкостью будут обнаружены данным способом:A few obvious cyber threats to controllers that can be easily detected in this way:
- DDoS-атаки, при увеличении нагрузки на процессор, температура процессора начнёт расти.- DDoS attacks, when the load on the processor increases, the temperature of the processor will begin to rise.
- Смена прошивки, если через OTA контроллер был перепрошить, его сигнатура изменится.- Firmware change, if the controller was reflashed via OTA, its signature will change.
- Импульсные атаки по питанию, фаззинг, обход пароля и др.- Power surge attacks, fuzzing, password bypass, etc.
- Физический доступ злоумышленника к контроллеру.- An attacker's physical access to the controller.
Основным недостатком такого способа является необходимость определённых модулей в составе контроллера для анализа: WiFi-модуль, АЦП не ниже 10 бит.The main disadvantage of this method is the need for certain modules as part of the controller for analysis: a WiFi module, an ADC of at least 10 bits.
Основной оптимизацией является использование контроллера, в котором уже есть подобные модули, тем самым уменьшив размер устройства, его потребление и определив точный порядок передачи данных.The main optimization is the use of a controller that already has such modules, thereby reducing the size of the device, its consumption and determining the exact order of data transfer.
Для анализа используются следующие показатели:The following indicators are used for the analysis:
1. Температура. Для считывания температуры необходимо иметь доступ к процессору, для установки термодатчика, либо доступ к внутри процессорному термодатчику.1. Temperature. To read the temperature, you must have access to the processor, to install a thermal sensor, or access to an internal processor thermal sensor.
2. Ток. Для считывания тока необходимо иметь доступ к контакту общей земли контроллера, там будет последовательно подключён низкоомный резистор (далее шунт), что будет считывать все что уходит в землю с платы. Измеряя напряжение в точке между платой и шунтом, можно получить напряжение и высчитать потребляемый ток микроконтроллером.2. Current. To read the current, you must have access to the common ground contact of the controller, a low-resistance resistor (hereinafter referred to as the shunt) will be connected in series there, which will read everything that goes to the ground from the board. By measuring the voltage at the point between the board and the shunt, you can get the voltage and calculate the current drawn by the microcontroller.
3. Напряжение. Для считывания напряжения нужно иметь доступ к двум контактам, общей земле и питанию контроллера.3. Tension. To read the voltage, you need to have access to two pins, common ground and controller power.
Каждое из устройств подразумевает TCP клиент, которые отправляет данные зашифрованными пакетами, для проверки подлинности. Пакет представляет собой сформированную строку для csv таблицы: «временная метка, параметр1, параметр2, параметр3». На сервере формируется таблица из таких строк, после чего происходит обучение модели. Каждый модуль работает отдельно от остальных, это значит, что у каждого устройства он свой и обучается отдельно от других, что позволяет расширять систему для более большого количества устройств.Each of the devices implies a TCP client that sends data in encrypted packets for authentication. The package is a generated string for the csv table: "time stamp, parameter1, parameter2, parameter3". A table of such rows is formed on the server, after which the model is trained. Each module works separately from the others, which means that each device has its own and learns separately from others, which allows you to expand the system for a larger number of devices.
Предлагается следующий способ обнаружения аномалий в работе устройств умного дома:The following method for detecting anomalies in the operation of smart home devices is proposed:
1. Ожидание и подключение нового устройства1. Waiting and connecting a new device
2. Получение данных от контроллера2. Receiving data from the controller
3. Верификация и преобразование данных в дата сет для обучения3. Verification and transformation of data into a data set for training
4. Обучение модели прогнозирования состояния и проверка погрешности4. Train the state prediction model and check the error
5. запуск модели для анализа устройства5. Running the Model for Device Analysis
Таким образом, разработанный способ обеспечивает безопасность любым маломощным устройствам без нагрузки на само устройство.Thus, the developed method ensures the safety of any low-power devices without burdening the device itself.
В итоге разработанная система в будущем поможет унифицировать все маломощные, дешёвые устройства и дать возможность использовать их в больших промышленных зонах без риска производственных аварий или возможных негативных событий при их эксплуатации.As a result, the developed system in the future will help to unify all low-power, cheap devices and make it possible to use them in large industrial areas without the risk of industrial accidents or possible negative events during their operation.
Claims (7)
Publications (1)
Publication Number | Publication Date |
---|---|
RU2796800C1 true RU2796800C1 (en) | 2023-05-29 |
Family
ID=
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2703329C1 (en) * | 2018-11-30 | 2019-10-16 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of detecting unauthorized use of network devices of limited functionality from a local network and preventing distributed network attacks from them |
US10474128B2 (en) * | 2015-11-16 | 2019-11-12 | Jtekt Corporation | Abnormality analysis system and analysis apparatus |
US10627882B2 (en) * | 2017-02-15 | 2020-04-21 | Dell Products, L.P. | Safeguard and recovery of internet of things (IoT) devices from power anomalies |
KR102087926B1 (en) * | 2019-11-06 | 2020-05-27 | 주식회사엔클라우드 | Iot detection control apparatus |
US10671765B2 (en) * | 2017-03-03 | 2020-06-02 | Dell Products, L.P. | Internet-of-things (IOT) gateway tampering detection and management |
US20200412733A1 (en) * | 2017-06-09 | 2020-12-31 | Orock Technologies, Inc. | System for processing data collected by iot devices |
RU2772072C1 (en) * | 2021-03-15 | 2022-05-16 | Акционерное общество "Лаборатория Касперского" | METHOD FOR USING A MODEL OF THE IoT APPARATUS TO DETECT ANOMALIES IN THE OPERATION OF THE APPARATUS |
US20220159021A1 (en) * | 2020-11-18 | 2022-05-19 | Foundation Of Soongsil University-Industry Cooperation | Anomaly detection method based on iot and apparatus thereof |
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10474128B2 (en) * | 2015-11-16 | 2019-11-12 | Jtekt Corporation | Abnormality analysis system and analysis apparatus |
US10627882B2 (en) * | 2017-02-15 | 2020-04-21 | Dell Products, L.P. | Safeguard and recovery of internet of things (IoT) devices from power anomalies |
US10671765B2 (en) * | 2017-03-03 | 2020-06-02 | Dell Products, L.P. | Internet-of-things (IOT) gateway tampering detection and management |
US20200412733A1 (en) * | 2017-06-09 | 2020-12-31 | Orock Technologies, Inc. | System for processing data collected by iot devices |
RU2703329C1 (en) * | 2018-11-30 | 2019-10-16 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of detecting unauthorized use of network devices of limited functionality from a local network and preventing distributed network attacks from them |
KR102087926B1 (en) * | 2019-11-06 | 2020-05-27 | 주식회사엔클라우드 | Iot detection control apparatus |
US20220159021A1 (en) * | 2020-11-18 | 2022-05-19 | Foundation Of Soongsil University-Industry Cooperation | Anomaly detection method based on iot and apparatus thereof |
RU2772072C1 (en) * | 2021-03-15 | 2022-05-16 | Акционерное общество "Лаборатория Касперского" | METHOD FOR USING A MODEL OF THE IoT APPARATUS TO DETECT ANOMALIES IN THE OPERATION OF THE APPARATUS |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kalech | Cyber-attack detection in SCADA systems using temporal pattern recognition techniques | |
Yang et al. | Anomaly-based intrusion detection for SCADA systems | |
Fu et al. | Sensor fault management techniques for wireless smart sensor networks in structural health monitoring | |
CN103905450B (en) | Intelligent grid embedded device network check and evaluation system and check and evaluation method | |
US11775826B2 (en) | Artificial intelligence with cyber security | |
CN102647421B (en) | The web back door detection method of Behavior-based control feature and device | |
Sheng et al. | A cyber-physical model for SCADA system and its intrusion detection | |
KR100894331B1 (en) | Anomaly Detection System and Method of Web Application Attacks using Web Log Correlation | |
CN111049680B (en) | Intranet transverse movement detection system and method based on graph representation learning | |
US10645100B1 (en) | Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning | |
US20110208849A1 (en) | Method and system for security maintenance in a network | |
Stolfo et al. | Anomaly detection in computer security and an application to file system accesses | |
Ye et al. | EWMA forecast of normal system activity for computer intrusion detection | |
CN104468477A (en) | WebShell detection method and system | |
CN107426196B (en) | Method and system for identifying WEB invasion | |
CN109145592A (en) | The system and method for detecting anomalous event | |
WO2016055939A1 (en) | Systems and methods for enhancing control system security by detecting anomalies in descriptive characteristics of data | |
CN112749097B (en) | Performance evaluation method and device for fuzzy test tool | |
Ali et al. | Randomization-based intrusion detection system for advanced metering infrastructure | |
Papafotikas et al. | A machine-learning clustering approach for intrusion detection to IoT devices | |
US20200012580A1 (en) | Storage apparatus, storage system, and performance evaluation method | |
RU2796800C1 (en) | Method for detecting anomalies in the operation of a smart home device at the hardware level | |
Dai et al. | Homeguardian: Detecting anomaly events in smart home systems | |
US20210345527A1 (en) | Data Center Liquid Conduction Cooling Apparatus And Method | |
Ali et al. | Probabilistic model checking for AMI intrusion detection |