Détection d'intrusion sur les objets connectés par analyse comportementale

Alors que la course à l'innovation des fabricants d'objets connectés s'accélère, de plus en plus d'attaques informatiques impliquant de tels objets, ou même les ciblant, sévissent. Ainsi, des campagnes de déni de service distribué comme celle de Mirai ont mis à mal des infrastructures informatiques gigantesques. En outre, le nombre de vulnérabilités découvertes dans l'écosystème des objets connectés ne cesse de grandir. La sécurité physique des utilisateurs d'objet connectés peut également être menacée par l'insécurité de ces plateformes. Dans le même temps, les solutions de sécurité proposées sont souvent spécifiques à un des nombreux protocoles de communication utilisés par les objets intelligents, ou s'appuient sur les caractéristiques matérielles et logicielles d'un type d'objet. De plus, peu de constructeurs permettent des mises à jour des micrologiciels de ces objets, augmentant ainsi les menaces contre les usagers de tels objets. Dans ce contexte, il devient nécessaire de fournir des solutions de sécurité applicables à l'ensemble des objets proposés sur le marché. Cela nécessite de parvenir à collecter de l'information de manière efficace sur l'ensemble de ces systèmes et de réaliser une analyse automatique qui ne dépend pas de l'objet surveillé. Ainsi, différentes solutions ont été proposées, se basant essentiellement sur les informations réseau provenant des objets à surveiller, mais peu d'approches se basent sur le comportement même de l'objet. En conséquence, nous proposons dans ce mémoire une solution de détection d'intrusion se basant sur les anomalies des objets surveillés. Les différents outils que nous avons développés permettent de collecter des informations relatives au comportement des objets surveillés de manière efficace et à différents niveaux, comme le mode usager ou directement dans le noyau du système d'exploitation. Pour ce faire, nous nous appuyons sur des techniques performantes de traçage. L'envoi des traces générées ainsi que leur traitement produira un jeu de données qui sera labellisé automatiquement. Ensuite, différents algorithmes d'apprentissage automatique permettront de détecter les anomalies sur le système de manière automatique et totalement indépendante du type d'objet surveillé. Notre solution introduit très peu de baisse de performance sur les objets connectés surveillés, et montre d'excellents résultats pour détecter divers types d'attaques qui ont été implémentées durant les travaux de recherche. Différents algorithmes ont été étudiés, et les techniques à base d'arbre ont montré des résultats bien plus élevés que des réseaux de neurones profonds. De plus, les outils développés pendant ce projet de recherche permettent d'utiliser les librairies les plus populaires d'apprentissage automatique sur des traces au format CTF, ouvrant ainsi la voie à la prédiction de performance d'un système ou à des analyses de traces plus automatiques et puissantes.

Abstract

While vendors are creating more and more connected devices, the rate of cyberattacks involving or targeting such devices keeps increasing. For instance, some massive distributed denial of services campaigns such as Mirai used poorly secured devices to shut down popular services on the Internet for many hours or IoT malware like Brickerbot are regularly launched. The insecurity of smart devices create many threats for the users, and vulnerabilities on devices are disclosed every day, while only little vendors let their devices being updated. Meanwhile, proposed security solutions often failed at being compatible with all the devices, because of the numerous protocols used in the Internet of Things or the heterogeneity of firmware used in such devices. This explains why it has become essential to creating a security solution for smart devices that are not specific to the kind of device. The first step to being able to protect a device is being able to detect an intrusion on it. This requires to collect data effectively from the monitored system to launch automated analysis that is not specific to the device. While several solutions matching those criteria have been proposed, most of them studied the network activity of the device, and only little focus on the device behavior. As a consequence, we developed a solution using a device behavior to detect intrusion on it. We obtained very high detection performances with several attacks that have been implemented. Furthermore, we studied various classification algorithm to highlight that tree-based algorithm performed more than the other techniques, including recurrent deep neural network, with the data we collected effectively with tracing techniques. Moreover, we obtained very little overhead on the monitored device because of the architecture we developed. Finally, our tools also enable users to use traces in CTF binary format to feed the most popular Python machine learning libraries thanks to a whole toolchain of processing data.