TU Darmstadt / ULB / TUprints

Active Intrusion Detection for Wireless Multihop Networks

do Carmo, Rodrigo Daniel (2014)
Active Intrusion Detection for Wireless Multihop Networks.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
Text
Doktorarbeit.pdf - Updated Version
Copyright Information: CC BY-NC-ND 2.5 Generic - Creative Commons, Attribution, NonCommercial, NoDerivs .

Download (5MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: Active Intrusion Detection for Wireless Multihop Networks
Language: English
Referees: Hollick, Dr.-Ing. Matthias ; Salil, Ph.D. Kanhere
Date: 14 October 2014
Place of Publication: Darmstadt
Date of oral examination: 15 December 2014
Abstract:

This work focuses on network security and introduces an active-probing technique for intrusion detection in wireless multihop networks. Wireless networks have been the revolution of personal communications of the past decades. Millions of devices with wireless capabilities are sold to end customers every year: smartphones that enable access to the Internet almost everywhere, computers with wireless connections, personal watches, sports shoes, digital cameras, and even lenses with wireless capabilities. Today's communication capabilities are based on the concept of single hop networks. The future and vision of wireless communications is to let radio devices form multihop networks. Wireless multihop networks can be instrumental for several scenarios, such as search and rescue in disaster areas, thus potentially helping to save lives. Detecting attacks that can disrupt the network operation can be considered of utmost importance for many applications.

We found that the field of intrusion detection for wireless multihop networks is generally limited. Purely centralized intrusion detection systems are ill suited because wireless multihop networks miss a clear line of defense due to their distributed nature. The most studied approach to intrusion detection in wireless multihop networks is distributed intrusion detection, which consists of deploying detection sensors in all or part of the nodes of the network. Many different approaches following this distributed detection paradigm have been proposed in the literature, but there is still a lack of practical implementations. Some implemented systems showed that the overhead generated on the nodes is excessively high, which makes the distributed detection principle unsuitable for networks operating on resource-constraint devices. Moreover, passive eavesdropping of the wireless medium makes the detection of certain attacks difficult or impossible. Other proposed intrusion detection/mitigation systems require modifications to the base routing protocols in use, thus braking the compatibility with legacy systems.

In this dissertation we propose a novel approach to intrusion detection that overcomes the limitations of the existing approaches. Instead of deploying intrusion detection systems on the nodes of a wireless multihop networks, we propose deploying nodes into the network only for this purpose. The intrusion detection nodes are trustworthy, as well as less limited in resources (computing resources, energy resources, mobility). In contrast to distributed intrusion detection systems in the literature, the intrusion detection nodes in our scheme do not detect attacks locally but detect them by looking into the nodes of the network from the outside. To this end, we propose we propose employing an active-probing technique in this dissertation. It uses an approach similar to the classical ping or active fingerprinting, i.e., it works by sending testing packets to a host and recording/analyzing its reaction. In addition, if we let the intrusion detection node be mobile, it can move through the network and examine all its nodes. The innovation of our approach is that, in contrast to fingerprinting or classical active techniques, we propose an active technique not to identify or characterize nodes, but to determine if they work according to protocol specifications, as well as to detect malicious activities.

In this dissertation, we propose an active-probing technique for intrusion detection and show its conception, design and evaluation. While remaining general, we test our active-probing technique in an office wireless mesh testbed running the emerging mesh standard IEEE 802.11s. We perform a solid evaluation of the active probing and its parameters. For example, we show how transmitting replications of testing packets can be beneficial under different network conditions and keeps false positive rates below 1.3%. We show how our active-probing technique detects attacks such as selective dropping of packets, black hole and colluding misrelay attacks with detection rates above 90%. We model a temporal-selective Bayes classifier to infer the state of a network node under test which is generally applicable to other systems. For our purpose, it classifies whether a node misbehaves based on the outcome of a set of active probes. We design a recursive probe selection scheme based on the current posterior of the Bayes classifier and a prediction step. This facilitates reducing the number of active probes while maximizing the insights gained by the set of probes executed. We also show that other passive techniques can complement an active-probing-based intrusion detection system. We further propose a lightweight metric called neighbor variation rate for anomaly detection. We study how the neighborhood varies over time and we represent it with a quantitative measurable value. We create a detection model based on this metric and we apply it for anomaly/intrusion detection. Last but not least, we provide the community with a modular implementation and documentation of our active intrusion detection system for wireless mesh networks as open source software available for free online.

Alternative Abstract:
Alternative AbstractLanguage

Diese Dissertation beschäftigt sich mit der Angriffserkennung in drahtlosen Multihop-Netzen. Drahtlose Netze haben fraglos eine der wichtigsten Revolutionen persönlicher Kommunikation in den letzten Jahrzehnten ermöglicht. Abermillionen von Geräten mit drahtlosen Kommunikationsfähigkeiten werden jedes Jahr an Endnutzer verkauft: Smartphones, die den Internetzugriff fast überall erlauben, Computer mit drahtloser Konnektivität, Uhren, Sportschuhe, Fotokameras und sogar Brillen mit drahtloser Verbindungsmöglichkeit. Das heute vorherrschende Kommunikationsparadigma für drahtlose Netze basiert auf der direkten Verbindung von Endgeräten mit Funk-Basisstationen (sog. Single Hop Netze). Die Zukunft und die Vision für die drahtlose Kommunikation besteht darin, dass mobile Endgeräte zusätzlich zu der Single Hop Kommunikation darüber hinaus in der Lage sind, indirekte Verbindungen über mehrere Zwischenknoten aufzubauen (sog. Multihop Netze). Solche drahtlosen Multihop Netze können in verschiedenen Szenerien nützlich sein: Sie können beispielsweise bei der Suche und der Rettung von Menschen in Katastrophengebieten eingesetzt werden, wenn infrastrukturbasierte Kommunikation nicht mehr zur Verfügung steht. In diesem Kontext ist die Sicherheit des Netzes und konkret die Erkennung von Angriffen von hoher Relevanz.

Der heutige Stand der Technik zur Angriffserkennung für drahtlose Multihop Netze weist eine Reihe Einschränkungen auf. Rein zentralisierte Angriffserkennungssysteme sind für drahtlose Multihop Netze nicht geeignet, da diese wegen ihrer verteilten Natur keine klare Verteidigungslinie bieten. Die Angriffserkennungsmethode, die bisher am häufigsten für drahtlose Multihop Netze vorgeschlagen wurde, ist die verteilte Angriffserkennung. Diese basiert auf dem Einsatz von Erkennungssensoren in einzelnen oder in sämtlichen Netzknoten. In der Literatur werden eine Vielzahl verschiedener theoretischer Ansätze vorgeschlagen, die diesem Erkennungsparadigma folgen. Eine zufriedenstellende praktische Implementierung fehlt bisher jedoch. Resultate für die wenigen vorhandenen praktisch umgesetzten Systeme zeigen, dass der Aufwand zu hoch für einen regulären Betrieb ist. Die verteilte Erkennung ist für Netze, die mit ressourceneingeschränkten Geräten operieren, daher nicht geeignet. Des Weiteren macht das bei bisherigen Lösungen überwiegend vorgeschlagene passive Lauschen im drahtlosen Medium die Erkennung einiger Angriffe schwer oder gar unmöglich. Andere vorgeschlagene Angriffserkennungs- oder Angriffsminderungssysteme erfordern Änderungen an den Routing-Protokollen. Dies führt zum Kompatibilitätsverlust mit bestehenden Systemen.

In dieser Dissertation schlagen wir eine innovative Angriffserkennungsmethode vor, die die Einschränkungen aktueller Methoden aufhebt. Anstatt des Einsatzes von Angriffserkennungssystemen auf den einzelnen Knoten im Multihop, nutzt unsere Lösung dedizierte Angriffserkennungsknoten. Diese sind vertrauenswürdig und besitzen hinreichende Ressourcen (Rechenleistung, Energieressourcen, steuerbare Mobilität). Im Gegensatz zu verteilten Angriffserkennungssystemen in der Literatur, erkennen die Angriffserkennungsknoten in unserem Schema die Angriffe nicht ausschließlich lokal, sondern untersuchen die Netzknoten von außen. Für diesen Zweck haben wir eine neuartige Technik auf Basis aktiver Angriffsanalyse entwickelt. Diese Technik nutzt ein Vorgehen, das dem klassischen 'Ping' oder dem aktiven erstellen von Geräteprofilen (sog. Fingerprinting) ähnlich ist. Die aktive Angriffsanalyse sendet sogenannte Testpakete zu dem zu analysierenden Netzknoten, zeichnet dessen Reaktion auf und analysiert diese. Darüber hinaus erlauben wir den Angriffserkennungsknoten sich durch das Netzwerk zu bewegen und so alle Knoten zu analysieren. Die Innovation unseres Ansatzes besteht darin, dass unsere aktive Technik im Gegensatz zum Fingerprint oder anderen klassischen aktiven Techniken die Knoten nicht charakterisiert, sondern analysiert, ob die Knoten entsprechend der Protokoll-Spezifikationen funktionieren bzw. ob von ihnen bösartige Aktivitäten ausgehen.

In dieser Dissertation schlagen wir eine Technik zur aktiven Angriffsanalyse für die Angriffserkennungen in drahtlosen Multihop Netzen vor und beschreiben ihre Konzeption, ihr Design und ihre Evaluierung. Ohne Beschränkung der Allgemeinheit testen wir unsere aktive Angriffsanalyse in einer drahtlosen vermaschten Testumgebung, die dem neuen Standard für Multihop Netze IEEE 802.11s entspricht. Wir führen eine ausführliche Evaluierung unserer Technik und ihrer Parameter durch.

Ergebnisse unserer Untersuchung sind, dass das wiederholte Versenden von Testpaketen in verschiedenen Netzwerkzuständen von Vorteil ist; mit dieser Technik können Falsch-Positiv-Raten von unter 1.3% erzielt werden. Wir zeigen, wie unsere aktive Angriffsanalyse Angriffe wie beispielsweise fortgeschrittene "selective dropping of packets", "black hole" und "colluding misrelay" mit Erkennungsraten über 90% erkennt. Wir modellieren einen temporär-selektiven Bayes-Entscheider, um daraus den Zustand des getesteten Netzwerkknotens zu schlussfolgern. Dieser Entscheider ist auch für andere Systeme nutzbar. In unserer Anwendung klassifiziert er aus einer Menge von aktiven Proben, ob ein Knoten bösartig agiert. Wir entwickeln ein rekursives Probeauswahlschema, das auf dem aktuellen Posterior und der Vorhersage basiert. Es ermöglicht die Minimierung der Anzahl von aktiven Proben, während die Erkenntnisse aus der Menge von den ausgeführten Proben maximiert werden können. Wir zeigen zudem, dass andere passive Techniken ein aktives Angriffserkennungssystem ergänzen können. Wir schlagen eine leichtgewichtige Metrik für die Anomalieerkennungen vor, die sogenannte "neighbor variation rate". Wir erforschen, wie sich die Nachbarschaft während der Zeit verändert und drücken diese Veränderungen in einer quantitativ messbaren Metrik aus. Wir entwickeln ein Erkennunsmodell, das auf dieser Metrik basiert, und benutzen es für die Anomalie- und Angriffserkennung. Abschließend stellen wir eine modulare Implementierung unseres Systems zur aktiven Angriffsanalyse als Open-Source-Software zur Verfügung.

German
URN: urn:nbn:de:tuda-tuprints-43133
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science > Sichere Mobile Netze
Date Deposited: 22 Dec 2014 13:27
Last Modified: 22 Dec 2014 13:27
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/4313
PPN: 386760276
Export:
Actions (login required)
View Item View Item