TU Darmstadt / ULB / TUprints

Lightweight Intrusion Detection in Wireless Sensor Networks

Riecker, Michael (2015)
Lightweight Intrusion Detection in Wireless Sensor Networks.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
Text
thesis.pdf - Accepted Version
Copyright Information: In Copyright.

Download (7MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Lightweight Intrusion Detection in Wireless Sensor Networks
Language: English
Referees: Hollick, Prof. Matthias
Date: 11 May 2015
Place of Publication: Darmstadt
Date of oral examination: 22 June 2015
Abstract:

Wireless sensor networks have become a mature technology. They are increasingly being used in different practical applications. Examples include the monitoring of industrial environments and light adaptation in tunnels. For such applications, attacks are a serious concern. A disrupted sensor network may not only have a financial impact, but could also be safety-critical. Hence, the availability of a wireless sensor network is our key protection goal in this thesis. A special challenge lies in the fact, that sensor nodes typically are physically unprotected. Hence, insider attacks are supposed to occur, e.g., by compromising the nodes and getting in possession of the cryptographic keys, thereby becoming a legitimate member of the network. As a result, mechanisms to detect attacks during operation are necessary.

Traditionally, intrusion detection systems are used to discover network anomalies. Due to severe resource-restrictions, building such a system for wireless sensor networks is challenging; it has to be small in size. Therefore, it is important to reduce the required information for intrusion detection. The majority of these systems designed for wireless sensor networks is working decentralized, i.e., the nodes try to detect the attacks locally, mostly by using some type of collaboration with other nodes. So far, the real-world effects of attacks on wireless sensor networks have not yet been studied widely. Consequently, state-of-the-art intrusion detection systems often need to analyze a large number of metrics for attack detection. The execution frequency of the detection algorithm is mainly periodic or constant. Another problem that needs further research, is the possibility of reducing the detection frequency. We also investigate the feasibility of performing intrusion detection without collaboration, in order to enable the lightweight detection of denial-of-service attacks on wireless sensor networks.

To overcome these shortcomings, in this work we conduct systematic measurements in a real testbed in order to quantify the impact of denial-of-service attacks. This allows us to identify those metrics, which are significantly influenced by an attack, and thus are appropriate for attack detection. We present a fully localized intrusion detection system, in which the nodes do not have to collaborate with each other. Based on these results we propose two architectures, allowing the randomization of the detection frequency. The advantage here is, that an adversary may not predict well in advance, which node is responsible to perform intrusion detection at a certain point in time.

The gathered data from the extensive measurements is analyzed with statistical approaches. The presented intrusion detection systems are evaluated in simulations and prototypical implementations.

Alternative Abstract:
Alternative AbstractLanguage

Drahtlose Sensornetze werden zunehmend zur Unterstützung von unterschiedlichen, praktischen Anwendungen eingesetzt. Die Einsatzgebiete in der realen Welt, in denen drahtlose Sensornetze eine wichtige Rolle spielen, umfassen beispielsweise die Überwachung von industriellen Anlagen und die Lichtsteuerung in Tunnels. Für diese beispielhaften Anwendungen stellen Angriffe eine große Gefahr dar. Das Ausfallen des Sensornetzes kann neben finanziellen auch sicherheitskritische Auswirkungen haben. Daher ist das wichtigste Schutzziel in dieser Arbeit die Verfügbarkeit des drahtlosen Sensornetzes. Eine besondere Herausforderung beim Gewährleisten der Sicherheit ist durch die oftmals freie Zugänglichkeit zu den Sensorknoten gegeben. Daraus ergibt sich, dass von Insider-Angriffen ausgegangen werden muss, welche z.B. durch Kompromittierung der Knoten im Besitz gültiger kryptographischer Schlüssel und somit legitimer Teil des Netzes sind. Aus diesem Grunde sind Mechanismen zum Erkennen von Angriffen auf das Sensornetz während des laufenden Betriebs nötig.

Traditionell werden Angriffserkennungssysteme zum Aufdecken von Netzwerkanomalien eingesetzt. Aufgrund der starken Ressourcenbeschränkungen ist der Entwurf eines solchen Systems für drahtlose Sensornetze besonders herausfordernd; der Speicherbedarf muss klein sein. Deshalb ist es wichtig, die benötigten Informationen zur Angriffserkennung zu reduzieren. Die überwiegende Mehrheit dieser Systeme für drahtlose Sensornetze arbeitet dezentral, d.h. die Knoten versuchen die Angriffe lokal zu erkennen, wofür meistens eine Form von Kooperation mit anderen Knoten notwendig ist. Bisher wurden die realen Auswirkungen von Angriffen auf Sensornetze unzureichend untersucht, weshalb oft eine Vielzahl an Metriken zur Angriffserkennung herangezogen werden muss. Die Ausführungshäufigkeit des Erkennungsalgorithmus ist vorwiegend periodisch oder konstant. Ebenso lückenhaft erforscht ist die Möglichkeit zur Reduzierung der Ausführungshäufigkeit. Des Weiteren untersuchen wir, ob die Angriffserkennung ohne Kooperation mit anderen Knoten möglich ist, um Angriffe auf die Verfügbarkeit von drahtlosen Sensornetzen leichtgewichtig zu entdecken.

Um diese Lücken zu schließen, werden in dieser Arbeit systematische Messungen in einem realen Testbed durchgeführt, um die Auswirkungen von Angriffen auf die Verfügbarkeit zu quantifizieren. Daraus resultieren Erkenntnisse, welche Metriken besonders von einem Angriff beeinflusst werden und sich somit gut zur Angriffserkennung eignen. Wir stellen ein gänzlich lokal arbeitendes Angriffserkennungssystem vor, das ohne Kooperation mit anderen Knoten auskommt. Aufbauend auf den erhaltenen Ergebnissen werden zwei Architekturen vorgeschlagen, welche die Ausführungshäufigkeit des Angriffserkennnungsmechanismus randomisieren. Dadurch ist es für einen Angreifer schwerer vorherzusehen, welcher Knoten zu welchem Zeitpunkt Angriffe erkennen soll.

Die gewonnenen Daten aus den umfangreichen Messungen werden mittels statistischer Verfahren untersucht. Die vorgestellten Angriffserkennungssysteme werden in Simulationen und prototypischen Implementierungen evaluiert.

German
URN: urn:nbn:de:tuda-tuprints-49281
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science
20 Department of Computer Science > Sichere Mobile Netze
Date Deposited: 07 Sep 2015 07:57
Last Modified: 09 Jul 2020 01:05
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/4928
PPN: 386826552
Export:
Actions (login required)
View Item View Item