Коап пдд 2018: КоАП РФ Статья 12.15. Нарушение правил расположения транспортного средства на проезжей части дороги, встречного разъезда или обгона

Новый кодекс пропишет процедуру наказания за нарушения ПДД — Российская газета

Процедура наказания водителя за нарушения правил на дороге будет детально регламентирована, а сам водитель в некоторых случаях получит право на адвоката от государства.

Министерство юстиции РФ в марте должно внести в правительство проект нового Процессуального кодекса Российской Федерации об административных правонарушениях. Такой срок ведомству установлен в плане законопроектной деятельности правительства.

Естественно, в таком документе будет прописана процедура абсолютно для всех видов дел об административных правонарушениях. Но, как показывает статистика, самыми массовыми «пользователями» КоАП являются водители.

По данным разработчиков закона, за год (правда, 2018-й, но порядок цифр не изменился и в прошлом году) в отношении физических и юридических лиц было возбуждено более 150 миллионов дел об административных правонарушениях. Из них более 140 миллионов дел находилось в компетенции органов внутренних дел. При этом наибольшее количество дел возбуждено за нарушение Правил дорожного движения. Должностными лицами ГИБДД было принято более 130 миллионов постановлений о привлечении различных лиц к административной ответственности. При этом еще несколько миллионов решений о наказании водителей-нарушителей было принято судами.

Предполагается, что новый закон отдельно пропишет процедуру рассмотрения таких дел в суде, отдельно — в государственных органах. Ведь за некоторые нарушения наказывает ГАИ, за некоторые — суд.

Если водителя обвинят в оставлении места аварии, то на суде ему предоставят адвоката, который поможет разобраться в причинах проступка

Задача процедуры — прежде всего оградить от произвола. Когда действия гражданина начальника расписаны до запятой, он не сможет придумать какое-то свое правило или закрыть глаза на то, что обязан заметить. А значит, и человеку будет легче защитить свои права.

Одна из обсуждаемых новаций года: гражданину будет грозить административный арест, планируется сделать обязательным участие адвоката в деле. Это значит, что человеку предоставят защитника от государства, если нет своего.

Водителям грозят 15 суток, когда их обвиняют в оставлении места аварии. По данным Судебного департамента при Верховном суде РФ, в прошлом году за шесть месяцев более 13,4 тысячи водителей получили административный арест за оставление места ДТП. Если предлагаемая норма будет принята, то порядка 80 тысяч человек в год — примерно столько обвиняются в бегстве с места аварии — получат право на адвоката. Помощь будет кстати.

Как поясняют эксперты, в таких делах много нюансов, иногда у водителя есть уважительные причины. Так что квалифицированный защитник поможет разобраться в деле.

Кроме того, как рассказывали в свое время в Минюсте, «планируется рассмотреть вопрос о закреплении института реабилитации лица, неправомерно привлеченного к административной ответственности, включая право на возмещение вреда, причиненного незаконным административным преследованием».

Это значит, что если человека, в том числе автомобилиста, несправедливо пытались привлечь к ответственности, он потом сможет получить компенсацию.

Напомним, сейчас разрабатывается масштабная реформа законодательства об административных правонарушениях. Весной планируется внести в Госдуму проект нового КоАП. Вместе с ним будет внесен и Процессуальный кодекс по делам об административных правонарушениях.

Как пояснил в свое время «РГ» советник председателя Госдумы Владимир Плигин, в будущем законе планируется усовершенствовать состязательные процедуры при рассмотрении административных дел, чтобы у граждан и юридических лиц была дополнительная возможность защитить свои права.

В свою очередь председатель Правления Ассоциации юристов России Владимир Груздев в беседе с «РГ» обратил внимание, что разработка нового КоАП и Процессуального кодекса по делам об административных правонарушениях тесно связана с реформой контрольно-надзорной деятельности, регуляторной гильотиной.

«Ставится задача не допустить избыточного государственного принуждения в сфере привлечения к административной ответственности как граждан, так и организаций, — говорит Владимир Груздев. — Поэтому сейчас меняются принципы и механизмы административных наказаний: пересматриваются санкции, наказания должны стать соразмерными и обоснованными. А главное, нормы об административных правонарушениях должны быть приведены в единую систему, не должно быть, например, дублирующих статей, а также перекоса в наказаниях, когда за менее значимые нарушения предусмотрены более строгие наказания и наоборот. Кроме того, важно, что планируется четко регламентировать процедуру привлечения к административной ответственности как в досудебном порядке, так и в судебном».

Адвокат Алексей Сикайло обращает внимание на то, что Процессуальный кодекс должен прописать требования к доказательствам, и это также облегчит защиту прав.

«Сегодня нередко возникают проблемы, например, когда суды не принимают видеозаписи — по тем же делам о нарушении Правил дорожного движения, — говорит адвокат. — Между тем видеозапись — это объективное доказательство, шанс судье увидеть все своими глазами, а не прочитать в протоколе. Потому для отказа принять видеозапись нужны веские основания. Есть надежда, что в будущем Процессуальном кодексе этот вопрос будет урегулирован».

По министерствам и ведомствам — Правительство России

Распоряжения от 27 октября 2018 года №2319-р, №2320-р. Во исполнение постановления Конституционного Суда Российской Федерации от 25 апреля 2018 года №17-П «По делу о проверке конституционности пункта 2 примечаний к статье 264 Уголовного кодекса Российской Федерации в связи с запросом Ивановского областного суда». Предлагается, в частности, установить повышенную уголовную ответственность лица, управляющего транспортным средством и нарушившего правила дорожного движения или правила эксплуатации транспортных средств, при условии наступления тяжких последствий, если это лицо скрылось с места совершения ДТП.

Документ

• Распоряжение от 27 октября 2018 года №2319-р

• Распоряжение от 27 октября 2018 года №2320-р

Проекты федеральных законов «О внесении изменений в статьи 264 и 264¹ Уголовного кодекса Российской Федерации» (далее – законопроект 1) и «О внесении изменения в статью 12.27 Кодекса Российской Федерации об административных правонарушениях» (далее соответственно – законопроект 2, КоАП)» разработаны МВД России во исполнение постановления Конституционного Суда Российской Федерации от 25 апреля 2018 года №17-П «По делу о проверке конституционности пункта 2 примечаний к статье 264 Уголовного кодекса Российской Федерации в связи с запросом Ивановского областного суда».

Конституционный Суд постановил признать пункт 2 примечаний к статье 264 Уголовного кодекса не соответствующим Конституции Российской Федерации в той мере, в какой в системе действующего правового регулирования он ставит лицо, управлявшее транспортным средством, в том числе в состоянии опьянения, если оно совершило нарушение правил дорожного движения или эксплуатации транспортных средств, повлёкшее по неосторожности предусмотренные статьёй 264 Уголовного кодекса тяжкие последствия, и скрылось с места дорожно-транспортного происшествия, в преимущественное положение – с точки зрения последствий своего поведения – по сравнению с лицами, указанными в пункте 2 примечаний к этой статье, то есть управлявшими транспортными средствами и оставшимися на месте дорожно-транспортного происшествия, в отношении которых факт употребления вызывающих алкогольное опьянение веществ надлежащим образом установлен либо которые не выполнили законного требования о прохождении медицинского освидетельствования на состояние опьянения.

В настоящее время оставление водителем в нарушение Правил дорожного движения (утверждены постановлением Совета Министров – Правительства Российской Федерации от 23 октября 1993 года №1090, далее – ПДД) места дорожно-транспортного происшествия (далее – ДТП), участником которого он являлся, влечёт лишение права управления транспортными средствами на срок от одного года до полутора лет или административный арест на срок до 15 суток (часть 2 статьи 12.27 КоАП).

Действующей редакцией статьи 264 Уголовного кодекса установлена ответственность за нарушение правил дорожного движения или эксплуатации транспортных средств, повлёкшее по неосторожности тяжкие последствия. При этом частями второй, четвёртой и шестой этой статьи предусмотрена усиленная уголовная ответственность за нарушения, совершённые лицом в состоянии алкогольного опьянения.

Таким образом, лицо, совершившее деяния, предусмотренные частями второй, четвёртой или шестой статьи 264 Уголовного кодекса, и скрывшееся с места ДТП, несёт менее строгую уголовную ответственность (по частям первой, третьей или пятой статьи 264 Уголовного кодекса соответственно), поскольку возможность установить факт употребления этим лицом вызывающих опьянение веществ посредством медицинского освидетельствования по прошествии времени утрачена. (Факт употребления вызывающих опьянение веществ определяется наличием абсолютного этилового спирта в концентрации, превышающей возможную суммарную погрешность измерений, установленную законодательством об административных правонарушениях.)

В связи с этим законопроектом 1 предлагается внести изменения в части вторую, четвёртую и шестую статьи 264 Уголовного кодекса, усиливающие ответственность лица, управляющего транспортным средством и нарушившего ПДД или правила эксплуатации транспортных средств, при условии наступления тяжких последствий, если это лицо скрылось с места совершения противоправного деяния.

Это позволит устранить пробел в уголовно-правовом регулировании и создать равные условия в уголовном преследовании лица, скрывшегося с места совершения ДТП, в отношении которого возможность подтвердить состояние опьянения на момент совершения преступления утрачена, и лица, управляющего транспортным средством в таком состоянии, оставшегося на месте ДТП.

С учётом введения нового квалифицирующего признака предлагается также внести уточняющие изменения в статью 264¹ Уголовного кодекса «Нарушение правил дорожного движения лицом, подвергнутым административному наказанию» с целью исключения её расширительного применения.

***

В целях исключения конкуренции норм в случае принятия предлагаемых законопроектом 1 изменений уголовного законодательства законопроектом 2 предлагается внести корреспондирующие изменения в часть 2 статьи 12.27 «Невыполнение обязанностей в связи с дорожно-транспортным происшествием» КоАП.

Законопроекты рассмотрены и одобрены на заседании Правительства 25 октября 2018 года.

КАК ОСПОРИТЬ НАРУШЕНИЯ ПДД, ЗАФИКСИРОВАННЫЕ КАМЕРАМИ ВИДЕОНАБЛЮДЕНИЯ?

КАК ОСПОРИТЬ НАРУШЕНИЯ ПДД,

ЗАФИКСИРОВАННЫЕ КАМЕРАМИ ВИДЕОНАБЛЮДЕНИЯ?

Помощник прокурора Трусовского района г. Астрахани Муковникова Светлана разъяснила, что за правонарушения в области дорожного движения, совершенные с участием автомобилей, если эти правонарушения зафиксированы камерами видеонаблюдения, к ответственности привлекают собственников (владельцев) этих автомобилей (ч. 1 ст. 2.6.1 КоАП РФ).

Собственник (владелец) автомобиля освобождается от ответственности, если в ходе рассмотрения жалобы на постановление по делу об административном правонарушении подтвердится, что в момент фиксации правонарушения автомобиль находился во владении или в пользовании другого лица либо к данному моменту был, например, похищен (ч. 2 ст. 2.6.1 КоАП РФ).

Чтобы оспорить нарушение ПДД, зафиксированное камерами видеонаблюдения, придерживайтесь следующего алгоритма.

Шаг 1. Подготовьте документальное обоснование вашего несогласия с показаниями камер видеонаблюдения.

Такими документами, например, могут быть:

документы, подтверждающие нахождение автомобиля во владении (пользовании) другого лица, например (п. 1.3 Постановления Пленума Верховного Суда РФ от 24.10.2006 N 18):

— доверенность на право управления автомобилем другим лицом;

— полис ОСАГО, в котором имеется запись о допуске к управлению данным автомобилем такого лица;

— договор аренды или лизинга автомобиля;

— показания свидетелей и (или) лица, управлявшего автомобилем в момент фиксации правонарушения;

документы завода-изготовителя, подтверждающие, что ваш автомобиль не может двигаться с указанной скоростью;

документы, подтверждающие, что вы не являетесь владельцем зафиксированного на фото автомобиля. Это нужно в случае неверного определения камерами государственного регистрационного знака.

Шаг 2. Подготовьте жалобу на постановление о привлечении к административной ответственности.

В жалобе необходимо изложить фактические обстоятельства дела, указать доводы и приложить доказательства, обосновывающие вашу позицию.

Примечание. Материалы, полученные с камер видеонаблюдения, поступают в специально созданные Центры автоматической фиксации административных правонарушений в области дорожного движения (ЦАФАП ОДД ГИБДД ГУ МВД России).

Жалоба на постановление по делу об административном правонарушении госпошлиной не облагается (ч. 5 ст. 30.2 КоАП РФ).

Шаг 3. Подайте жалобу и доказательства в уполномоченный государственный орган или суд.

Жалоба может быть подана вышестоящему должностному лицу либо в районный суд по месту рассмотрения дела (п. 3 ч. 1 ст. 30.1 КоАП РФ).

По выбору заявителя жалоба может быть подана (ч. 1 и 3 ст. 30.2 КоАП РФ):

— непосредственно вышестоящему должностному лицу либо в районный суд по месту рассмотрения дела;

— через должностное лицо, которые вынесло постановление по делу и которое обязано в течение трех суток со дня поступления жалобы направить ее со всеми материалами дела вышестоящему должностному лицу или в соответствующий суд.

Дело об административном правонарушении, зафиксированном камерами видеонаблюдения, подлежит рассмотрению судом по месту его совершения (т.е. по месту его фиксации камерами видеонаблюдения) (ч. 3 ст. 28.6, ч. 1 ст. 29.5 КоАП РФ, п. 30 Постановления Пленума Верховного Суда РФ от 24.03.2005 N 5). Срок подачи жалобы — 10 суток со дня вручения или получения копии постановления. При наличии уважительных причин пропущенный срок может быть восстановлен по ходатайству лица, подающего жалобу (ч. 1, 2 ст. 30.3 КоАП РФ).

сентябрь 2016 г.

Частью 1.3 ст. 32.2 КоАП РФ установлены условия возможности оплаты штрафов в размере 50 % от суммы штрафа не позднее двадцати дней со дня вынесения постановления. / 2018 / Прокуратура / МО посёлок Сапёрный

Частью 1.3 ст. 32.2 КоАП РФ установлены условия возможности оплаты штрафов в размере 50 % от суммы штрафа не позднее двадцати дней со дня вынесения постановления.

Частью 1.3 ст. 32.2 КоАП РФ установлены условия возможности оплаты штрафов в размере 50 % от суммы штрафа не позднее двадцати дней со дня вынесения постановления.

22.11.2018 во втором чтении принят проект Федерального закона № 481353-7, который предусматривает возможность продления срока указанной льготы по уплате штрафов за нарушения ПДД. Речь идет о случаях, когда копия постановления о назначении штрафа пришла заказным письмом после того, как истек период льготной оплаты, т.е. по окончании 20 дней со дня вынесения постановления.

Для восстановления срока нарушителю нужно подать ходатайство. Если оно будет отклонено, соответствующее определение можно будет обжаловать.

Однако указанное правило подлежит применению до вступления в силу изменений ч. 1.3 ст. 32.2 КоАП РФ, поскольку данная часть постановлением Конституционного суда РФ от 04.12.2017 № 35-П признана частично несоответствующей Конституции РФ.

Согласно п. 3 указанного Постановления до внесения в действующее правовое регулирование изменений правоприменители, в том числе суды, при применении части 1.3 статьи 32.2 КоАП РФ не вправе уклоняться от рассмотрения вопроса о возможности восстановления срока, предусмотренного для уплаты административного штрафа в размере половины от назначенной суммы, по ходатайству привлеченного к административной ответственности лица в случае, когда копия постановления о назначении административного штрафа, направленная привлеченному к административной ответственности лицу по почте заказным почтовым отправлением, поступила в его адрес после истечения двадцати дней со дня вынесения.

Протокол CoAP — следующий важный шаг для DDoS-атак

RFC 7252, также известный как протокол ограниченного приложения (CoAP), скоро станет одним из наиболее часто используемых протоколов с точки зрения DDoS-атак, сообщили ZDNet исследователи в области безопасности.

Если читатели не узнают название этого протокола, это потому, что он новый — официально одобрен только недавно, в 2014 году, и практически не использовался до этого года.

Что такое CoAP?

CoAP был разработан как облегченный межмашинный протокол (M2M), который может работать на интеллектуальных устройствах, где память и вычислительные ресурсы ограничены.

В очень упрощенном объяснении CoAP очень похож на HTTP, но вместо того, чтобы работать поверх пакетов TCP, он работает поверх UDP, более легкого формата передачи данных, созданного в качестве альтернативы TCP.

Так же, как HTTP используется для передачи данных и команд (GET, POST, CONNECT и т. Д.) между клиентом и сервером, CoAP также обеспечивает те же функции многоадресной рассылки и передачи команд, но не требует такого же количества ресурсов, что делает его идеальным для сегодняшней растущей волны устройств Интернета вещей (IoT).

Но, как и любой другой протокол на основе UDP, CoAP по своей природе подвержен спуфингу IP-адреса и усилению пакетов — двум основным факторам, которые позволяют усилить DDoS-атаку.

Злоумышленник может отправить небольшой UDP-пакет клиенту CoAP (устройству IoT), и клиент ответит пакетом гораздо большего размера.В мире DDoS-атак размер ответа на этот пакет известен как коэффициент усиления, а для CoAP он может варьироваться от 10 до 50, в зависимости от начального пакета и результирующего ответа (и анализа протокола, который вы читаете. ).

Кроме того, поскольку CoAP уязвим для IP-спуфинга, злоумышленники могут заменить «IP-адрес отправителя» IP-адресом жертвы, против которой они хотят запустить DDoS-атаку, и эта жертва получит прямую силу усиленного трафика CoAP.

Люди, которые разработали CoAP, добавили функции безопасности для предотвращения подобных проблем, но, как Cloudflare указал в прошлогоднем сообщении в блоге, если производители устройств реализуют эти функции безопасности CoAP, протокол CoAP перестанет быть таким легким, что сводит на нет все преимущества легкого протокола.

Вот почему большинство современных реализаций CoAP отказываются от использования усиленных режимов безопасности для режима безопасности «NoSec», который сохраняет протокол легким, но также уязвим для злоупотреблений DDoS.

Рост CoAP

Но поскольку CoAP был новым протоколом, несколько сотен уязвимых устройств здесь и там никогда не были бы проблемой, даже если бы все они работали в режимах NoSec.

К сожалению, все стало меняться. Согласно докладу, который Деннис Рэнд, основатель eCrimeLabs, сделал летом на конференции по безопасности RVAsec (отметка 19:40), количество устройств CoAP резко возросло с ноября 2017 года.

Рэнд говорит, что количество устройств CoAP резко возросло. от скромных 6500 в ноябре 2017 года до более 26000 в следующем месяце. В 2018 году дела пошли еще хуже, потому что к маю это число составляло 278 000 устройств, а сегодня цифра колеблется на уровне 580 000–600 000, согласно Shodan, поисковой системе для устройств, подключенных к Интернету.

Rand предполагает, что причиной этого взрыва является использование CoAP как части QLC Chain (ранее известного как QLink), проекта, нацеленного на создание децентрализованной мобильной сети на основе блокчейна с использованием узлов Wi-Fi, доступных по всему Китаю.

Но этот внезапный рост числа легкодоступных и плохо защищенных клиентов CoAP не остался незамеченным. За последние несколько недель первые DDoS-атаки, осуществленные через CoAP, начали оставлять свой след.

Исследователь безопасности, который занимается DDoS-атаками, но не может назвать свое имя из-за трудовых договоров, сказал ZDNet, что атаки CoAP случались время от времени в течение последних месяцев, с возрастающей частотой, достигающей в среднем 55 Гбит / с, а также самый большой с тактовой частотой 320 Гбит / с.

Среднее значение 55 Гбит / с на порядок превышает средний размер обычной DDoS-атаки, который составляет 4,6 Гбит / с, по данным компании Link11, занимающейся предотвращением DDoS-атак.

Из 580 000 устройств CoAP, доступных сегодня на Shodan, тот же исследователь сообщил ZDNet, что примерно 330 000 можно (ab) использовать для ретрансляции и усиления DDoS-атак с коэффициентом усиления до 46 раз.

Из зафиксированных исследователем атак большинство нацелено на различные онлайн-сервисы в Китае, а также на некоторые платформы MMORPG за пределами материкового Китая.

Неясно, был ли добавлен CoAP в качестве варианта атаки на платформы DDoS-for-найма, но как только это произойдет, такие атаки будут еще больше усиливаться.

Кроме того, использование CoAP в реальном мире в этом году резко возросло, но в основном было ограничено Китаем. Можно с уверенностью предположить, что как только CoAP уже станет популярным в Китае, сегодняшнем главном производственном центре, уязвимые устройства также распространятся в другие страны, поскольку устройства, произведенные в коммунистическом государстве, будут продаваться за границу.

Нас предупредили

Как и в случае с большинством протоколов, разработанных с учетом IoT, проблема, похоже, заключается не в конструкции протокола, который включает некоторые базовые функции безопасности, а в том, как производители устройств настраивают и доставка CoAP в действующие устройства.

К сожалению, в этом нет ничего нового. Многие протоколы часто неправильно конфигурируются, случайно или намеренно, производителями устройств, которые часто предпочитают функциональную совместимость и простоту использования безопасности.

Но кое-что, что будет раздражать некоторых исследователей в области безопасности, заключается в том, что некоторые предсказывали, что это произойдет еще до того, как CoAP был утвержден в качестве официального стандарта Интернета, еще в 2013 году. строгие правила в отношении устройств Интернета вещей и их функций безопасности.

Кстати, по совпадению, поскольку DDoS-атаки CoAP теперь начинают становиться заметными, Федерико Магги, исследователь безопасности из Trend Micro, также взглянул на возможности усиления DDoS-атак CoAP, исследование, которое он собирается представить. на конференции по безопасности Black Hat на этой неделе в Лондоне.

В том же исследовании также рассматривался другой протокол M2M, MQTT, также известный как беспорядок, в котором исследователь обнаружил несколько уязвимостей.

Другие новости безопасности:

Усовершенствования и проблемы в CoAP — исследование

CoAP используется в WSN и средах IoT в различных областях.Реализация CoAP в различных приложениях выявила некоторые недостатки в базовой архитектуре CoAP. Поэтому в архитектуру CoAP были внесены различные улучшения. В текущем разделе подробно обсуждаются улучшения, внесенные в механизм управления перегрузкой CoAP, безопасность CoAP, совместимость CoAP и так далее.

4.1. Механизмы управления перегрузкой в ​​CoAP

В этом разделе рассматриваются механизмы управления перегрузкой, представленные в CoAP по умолчанию, и многочисленные другие механизмы расширенного управления перегрузкой для CoAP, основанные на измерениях RTT, градиентах измерений RTT, узкой полосе пропускания сетевого канала, скорости трафика или коэффициенте потери пакетов.

4.1.1. CoAP по умолчанию

Контроль перегрузки в CoAP по умолчанию: CoAP по умолчанию использует метод BEB для управления перегрузкой в ​​сети [2]. В случае надежной передачи сообщение CON передается от клиентского узла к серверному узлу. Если сообщение не было успешно передано с первой попытки, выполняется повторная передача. CoAP выбирает случайное значение RTO для первой передачи между 2–3 с. Если первая повторная передача не удалась, BEB удваивает RTO, чтобы избежать перегрузки.Следовательно, новое значение RTO (RTOnew) в два раза больше предыдущего значения RTO (RTOprev) в соответствии с уравнением (1).

Этот метод управления перегрузкой не очень эффективен, так как вызывает длительные задержки простоя в сети и не учитывает динамические состояния сети. Чтобы сделать его эффективным, был разработан усовершенствованный механизм контроля перегрузки, названный «Контроль перегрузки / продвижение» (CoCoA).

4.1.2. CoCo-RED

CoAP по умолчанию не обеспечивает эффективное групповое взаимодействие и наблюдение за ресурсами.Поэтому в [22] представлен механизм управления перегрузкой для наблюдения за групповой связью, названный как случайное раннее обнаружение управления перегрузкой (CoCo-RED). Основные компоненты схемы включают:

1. Определение и расчет таймера RTO

2. Управление с использованием алгоритма исправленного случайного раннего обнаружения (RevRED) для предотвращения перегрузки

3. Алгоритм предварительного приращения Фибоначчи (FPB) для реализации таймер отсрочки передачи

CoCo-RED изначально устанавливает значение RTO случайным образом от 2 до 4 с и использует FPB в случае повторных передач для установки RTO.Чтобы избежать перегрузки с помощью метода управления буфером (BMT), предлагаемый механизм работает динамически и использует RevRED для расчета плотности сети на основе среднего размера очереди (AvgQ). Алгоритм RevRED отбрасывает приходящий пакет до того, как буферная очередь клиента переполнится. Размер AvgQ рассчитывается с использованием экспоненциально взвешенного скользящего среднего. Алгоритм работает в соответствии со следующими принципами:

1. Если AvgQ

2. Если Min threshold

3. Если AvgQ> Max threshold, прибывающий пакет отбрасывается на основе формулы экспоненциальной вероятности отбрасывания, представленной предложенным методом

В случае, если пакеты отбрасываются из-за перегрузки, выполняются повторные передачи.Для расчета RTO для повторных передач пакетов используется FPB. Для каждой повторной передачи FPB умножается на предыдущее значение RTO для нахождения нового значения RTO для следующей повторной передачи. FBP использует числа Фибоначчи для умножения на предыдущее RTO при каждой повторной передаче, что позволяет достичь более низкого значения RTO по сравнению с двоичным экспоненциальным откатом CoAP по умолчанию при каждой последующей повторной передаче.

CoCo-RED помогает сократить время отклика сети в дополнение к потере пакетов. Однако значения отсрочки фиксированы и не меняются в зависимости от динамических условий сети.

4.1.3. CoCoA

Чтобы преодолеть проблемы в управлении перегрузкой CoAP по умолчанию, CoCoA вводит функцию расчета адаптивного RTO в дополнение к Variable Backoff Factor (VBF) вместо BEB и механизму устаревания RTO. CoCoA определяет две оценки RTO: слабую RTO и сильную оценку RTO [6]. Оценщик сильного RTO вычисляет значения RTO для следующей передачи сообщения на основе измерения сильного RTT, тогда как модуль оценки слабого RTO вычисляет значения RTO на основе слабого RTT.Сильное значение RTT — это значение RTT, полученное после первой успешной передачи, а значение слабого RTT — это значение RTT, полученное по крайней мере после одной повторной передачи. Расчет окончательного общего RTO основан на значениях слабого и сильного RTT и значений RTO. Подробные расчеты общего RTO можно найти в [6].

Для значения отсрочки передачи CoCoA применяет VBF в соответствии с информацией о состоянии сети, чтобы избежать длительных задержек простоя. В зависимости от начального значения RTO передачи, VBF применяется к повторным передачам.Если начальное RTO очень мало, то есть меньше 1 секунды, применяется больший VBF, а для большого значения RTO, то есть больше 3 секунд, применяется меньшая отсрочка. Для значения от 1 до 3 с значение VBF устанавливается на оптимальное значение 2, что соответствует BEB. Значения VBF указаны в [6].

Другая проблема, связанная с устареванием значений RTO, регулируется CoCoA. Механизм устаревания RTO применяется в случае малых и больших оценок RTO. Для оценочного значения RTO ниже 1 с и выше 3 с, если новые измерения RTT не производятся в 16 или 4 раза больше текущего значения RTO соответственно, CoCoA использует механизм устаревания RTO и изменяет значение RTO таким образом, чтобы оно приближалось к значению по умолчанию. Начальное значение.

CoCoA превосходит стандартный механизм управления перегрузкой CoAP; однако есть неоднозначность в вычислении оценки слабого RTT. Более того, значение слабого RTT может варьироваться в каждом последовательном вычислении, поскольку неизвестно, после того, сколько повторных передач будет получено ACK сообщения. Это приводит к длительным общим показателям RTO и, в свою очередь, к большим задержкам на холостом ходу.

4.1.4. Схема четырехуровневого оценщика

Поскольку CoCoA не может различить, какой повторной передаче принадлежит полученный ACK, он выполняет вычисления RTO на основе исходного времени начала, что вызывает задержки простоя между последовательными передачами.Чтобы преодолеть эту проблему, авторы [23] предложили схему оценки с 4 состояниями, чтобы увеличить степень детализации отсрочки. Схема работает по принципу меньшего реагирования на потери, возникшие вначале при передаче пакета, и большей реакции, когда наблюдаются большие потери. Каждая передача называется состоянием, в котором каждая передача соответствует состоянию 1, 2, 3 или 4. Каждый номер состояния соответствует количеству повторных передач. Когда выполняется новая транзакция, состояние транзакции считается равным 1.Это состояние увеличивается каждый раз на единицу по мере выполнения повторной передачи. Аналогично, всякий раз, когда пакет передается успешно без каких-либо повторных передач, состояние уменьшается на единицу. Таким образом устанавливаются соответствующие значения отсрочки. Оптимизация значений отсрочки может выполняться по значениям состояния внутри транзакции, а также по нескольким транзакциям.

Переменный коэффициент отсрочки передачи рассчитывается для каждого значения состояния. Для значений отсрочки и формул, используемых для расчета этих значений; отсылаем читателя к [23].В отличие от двух оценок CoCoA (слабой и сильной), предлагаемая схема имеет четыре уровня оценок. По мере увеличения потерь и увеличения количества отказов передач в расчет RTO добавляется более высокий процент отсрочки передачи. В документе используется следующее уравнение (уравнение (2)) для расчета общего RTO:

RTOобщее = w ∗ RTOполучено + (1-w) ∗ RTOобщее

(2)

Параметр w здесь представляет собой вес для полученный RTO.

4.1.5. Адаптивное управление перегрузкой

Проблема неоднозначности в значениях слабой оценки и для установки соответствующих значений констант для VBF и механизма устаревания RTO, чтобы решить, следует ли и как предпринимать правильные действия, покрывается алгоритмом адаптивного управления перегрузкой. предложено в [4].Опция подсчета передач добавлена ​​в заголовок сообщения CoAP, чтобы решить проблему слабой оценки. В случае повторной передачи сообщения CON инкапсулируется новая копия того же сообщения с другим идентификатором сообщения. Это помогает в идентификации количества повторных передач и, следовательно, устраняется неоднозначность, является ли сообщение ACK от передачи или повторной передачи для слабой оценки.

Чтобы сделать значения VBF адаптивными к реальным условиям сети, алгоритм рассматривает RTOstrong в качестве эталона.Кроме того, нижний и верхний пороги заменяются на (1/3) * RTOstrong и (5/3) * RTOstrong соответственно. Нижняя граница позволяет значению RTO увеличиваться от RTOstrong до второй повторной передачи, а верхняя граница позволяет быстро увеличивать RTO. В случае значения RTO по умолчанию, равного 2 с, эти значения почти возвращаются к значениям по умолчанию 0,7 с и 3,3 с для нижнего и верхнего пороговых значений соответственно.

Диапазон значений RTO устанавливается на (1/3 * RTOstrong, 5/3 * RTOstrong) в случае устаревания RTO и настраивается принудительным образом, когда значение выходит за пределы диапазона или не обновляется в течение более длительных периодов времени. время.

4.1.6. CoCoA +

Betzler et al. в [7] предлагается усовершенствованный механизм управления перегрузкой (CoCoA +) в качестве другого решения проблем в CoCoA. CoCoA + был предложен для преодоления недостатков CoCoA. Поскольку оценка слабого RTT в CoCoA неоднозначна и влияет на общий расчет RTO, CoCoA + предлагает уменьшить влияние оценки слабого RTT на расчет общего RTO, уменьшив значение K (множитель дисперсии RTT) с 4 до 1. .

RTOX = RTTX + KX ∗ RTTVARX

(3)

Кроме того, вес оценки слабого RTO ограничен в общем вычислении RTO.Он снижен с 50% до 25%.

RTOобщее = 0,25 * RTOweak + 0,75 * RTOобщее

(4)

Кроме того, для измерений слабого RTT CoCoA + ограничивает измерения, которые должны быть взяты только от первой передачи и первой повторной передачи.

Эти решения помогают избежать больших приращений общих значений RTO. CoCoA + пока не может выбрать правильное значение RTO в случае пакетного трафика. Это вызвано неточными измерениями повторно переданного RTT во время импульсного трафика, что приводит к ложным повторным передачам.Фактически, Анчиллотти и Бруно в [39] оценили эффективность управления перегрузкой CoAP и CoCoA + по умолчанию и обнаружили, что в различных сетевых условиях CoCoA + работает значительно хуже, чем механизм управления перегрузкой CoAP по умолчанию, например, в случае небольших значений RTT и для бурный трафик.

4.1.7. Улучшенное адаптивное управление перегрузкой

Ранее предложенные методы не рассматривают проблему выбора правильного значения RTO в случае пакетного трафика. Кроме того, эти методы также не учитывают коэффициент потери пакетов.Коэффициент потери пакетов определяется как количество пакетов, полученных на стороне получателя, по сравнению с количеством пакетов, отправленных отправителем. Коэффициент потерь пакетов используется для оценки эффективности метода по потерям. [24] предлагает улучшенный алгоритм управления перегрузкой на основе коэффициента потери пакетов и значений RTT предыдущей передачи. Метод предлагает два сценария с использованием коэффициента потери пакетов в качестве ключевого параметра и соответствующим образом регулирует значение RTO на основе предыдущих значений RTT.

Случай 1: значение RTO обновляется в соответствии с формулой, представленной в уравнении (5) в случае, когда коэффициент потери пакетов ниже 50%, чтобы предотвратить излишне длительные задержки простоя, тогда как значение RTO обновляется в соответствии с представленной формулой в уравнении (1), чтобы скорректировать значение потерь.

RTOrecent = RTT ∗ packetlossratio + (1-packetlossratio) ∗ RTOprevious

(5)

RTOrecent = RTOprevious ∗ packetlossratio + (1-packetlossratio) ∗ RTT

(6)

, поскольку значение каждой передачи обновляется Что касается коэффициента потери пакетов, нет необходимости в механизме устаревания RTO. Расчет значения RTO при каждой передаче вызывает слишком много накладных расходов и может вызвать задержку передачи.

4.1.8. CACC

Контекстно-зависимое управление перегрузкой (CACC), предложенное в [25], решает проблему различения сценария потери пакетов из-за частоты ошибок по битам и перегрузки.Он определяет правильный RTT повторно переданного сообщения ACK с учетом динамических условий сети. Он состоит из трех оценщиков RTT; слабая оценка RTT, сильная оценка RTT и неудачная оценка RTT. Сильный и неудачный RTT, объединенные вместе, представляют успешную доставку и отбрасывание пакета, где сильный RTT рассчитывается в случае успешной доставки, а неудачный RTT — в случае отбрасывания пакета. Этот сценарий подчеркивает вероятность конфликта пакетов на канальном уровне, поскольку некоторые пакеты доставляются, а остальные отбрасываются.С другой стороны, высокое значение слабого RTT представляет задержку перегрузки на уровне узла. Этот метод также ограничивает сжатие RTO, чтобы избежать отрицательного изменения RTT, которое вызывает ложные повторные передачи. В дополнение к этому, CACC также учитывает информацию о количестве повторных передач (RC) при передаче / повторных передачах сообщения, что позволяет ему точно обнаруживать слабые значения RTT и сглаженные значения RTT. Наконец, он включает механизм устаревания RTO как для малых, так и для больших оценок RTO, чтобы избежать ложных значений RTO в некоторых сетевых условиях.Этот метод устаревания основан на механизме CoCoA + и ожидает, пока CACC в конечном итоге повысит производительность после того, как значение RTO будет установлено по умолчанию в механизме устаревания. Это вызывает дополнительные задержки при ожидании повышения производительности CACC с течением времени. Более того, переменная RTTVAR стремится к нулю в случае, если последовательность одинаковых RTT является выборкой. Это приводит к тому, что значения RTO приближаются к измерению RTT. Кроме того, в случае импульсного трафика ни малый вес слабого RTT (K = 1), ни предотвращение слабой оценки не выгодны.Кроме того, значение RTO может резко увеличиваться из-за отсутствия механизма устаревания слабого RTO.

4.1.9. FASOR

Этот механизм управления перегрузкой работает в случае состояния буферной памяти и справляется с высокой частотой ошибок канала. В Fast-Slow RTO (FASOR) [26] вычисление RTO разделено на две категории. Вычисление быстрого RTO используется для однозначных выборок RTT, в то время как вычисление медленного RTO выполняется для неоднозначных выборок RTT, чтобы преодолеть глубокий буферный буфер и сильную перегрузку.Это позволяет избежать дополнительных задержек, а также помогает избежать ошибок недостаточного канала за счет сокращения завершения потока.

Для отсрочки таймера повторной передачи FASOR представляет новый самонастраивающийся таймер, содержащий три переходных состояния, то есть FAST / FAST-SLOW-FAST / SLOW-FAST. Каждое из этих состояний имеет разную логику отсрочки передачи и адаптируется к динамическим состояниям сети. Это позволяет FASOR предотвращать дополнительное потребление энергии из-за ненужных повторных передач и баланс между агрессивными и консервативными повторными передачами.

Основная проблема предлагаемой схемы заключается в том, что она не включает особую логику для отправителей, остающихся в режиме ожидания, что типично для CoAP. Более того, верхняя граница медленного RTO сохраняется 60 с, что может быть улучшено в дальнейшем.

4.1.10. pCoCoA

Bolettieri et al. выделите проблемы CoCoA + в [8] и предложите pCoCoA — точный алгоритм управления перегрузкой для решения этих проблем. Предлагаемый механизм основан на двух основных элементах:

1. Метод точной привязки запросов к ответам даже в случае повторных передач

2. Несколько модификаций алгоритма оценки RTO

Для точной привязки запросов к ответам , используется опция CoAP счетчика передач (TC).Это связывает сообщение ACK каждой передачи с соответствующим сообщением CON. Значение TC обновляется даже при повторных передачах; следовательно, он также обнаруживает ложные повторные передачи. Для случая ложной повторной передачи pCoCoA устанавливает флаг, чтобы учесть его при будущих вычислениях RTO.

Чтобы избежать исчезновения переменной RTTVAR из-за аналогичной выборки RTT за короткий период времени, оценивается максимальное среднее отклонение RTO. Таким образом, проблем, связанных с внезапным изменением RTT, можно избежать за счет использования максимального среднего отклонения, для уменьшения которого требуется больше времени, таким образом, уменьшение конечного значения RTO ограничено.Кроме того, в случае ложных передач оценка SRTO растет быстрее из-за увеличения веса RTTVAR, что помогает ограничить последовательные ложные передачи.

4.1.11. CoCoA ++

CoCoA ++: Управление перегрузкой на основе градиента задержки: Другой механизм управления перегрузкой, основанный на градиенте измерений RTT во времени, предложен Rathod et al. в [27]. Предлагаемый метод обеспечивает устранение проблем с контролем перегрузки в стандартных CoAP, CoCoA и его вариантах, таких как CoCoA +.Эти методы используют измерения RTT для каждого пакета для прогнозирования перегрузки в сети, но эти измерения зашумлены и ненадежны. CoCoA ++, с другой стороны, полагается на Градиент задержки CAIA (CDG) [40] с целью прогнозирования сетевой перегрузки путем получения градиента RTT во времени и обеспечивает вероятностный коэффициент отсрочки передачи (PBF) для управления перегрузкой в ​​сети.

Благодаря использованию градиента задержки, CoCoA ++ устраняет цель оценки слабого и сильного RTO. Кроме того, в отличие от CoCoA и CoCoA +, значение RTO не обновляется на основе выборок RTT для каждого пакета, вместо этого RTO обновляется после получения периодической информации о градиентах задержки от CDG.Это позволяет CoCoA ++ не полагаться на VBF и, следовательно, заменять его на PBF. Формула для расчета PBF приведена в уравнении (7).

PBF = 1,42, P [откат]> Xandg> 00,7, в противном случае

(7)

где P [отсрочка] — это вероятность отсрочки, которую возвращает CDG, «X» — равномерно распределенное случайное значение, а «g» — градиент задержки. Вероятность отсрочки платежа сравнивается с равномерно распределенной случайной величиной «X». Отсрочка применяется к RTO только в том случае, если у нас есть положительная скорость изменения RTT.Это представлено условием g> 0.

В случае перегрузки PBF увеличивает RTO в 1,42 раза, тогда как снижает RTO в 0,7 раза при отсутствии перегрузки.

Проблема с CoCoA ++ заключается в том, что при более высокой средней скорости отправки пакетов последующие повторные передачи могут происходить быстро, в результате чего на узле быстро заканчиваются повторные передачи.

4.1.12. Genetic CoCoA ++

Другой алгоритм управления перегрузкой, основанный на CoCoA ++, предложенный Yadav et al.в [28], помимо проблемы больших изменений оценок RTO в CoCoA +, также упоминается, что алгоритмы управления перегрузкой, сохраняющие предыдущие состояния, недоступны для ограниченных устройств IoT из-за ограничений памяти. Поэтому они предлагают использовать CDG и генетический алгоритм (GA) для расчета RTO в течение фиксированного интервала времени. Метод использует RTT (min) вместо RTT (max) для расчета, чтобы получить лучшие результаты. Для определения перегрузки в сети используется разница между текущим и предыдущим RTT (мин.).RTT (мин) отслеживается в течение 5 с, и в этот период наблюдения минимальное значение RTT выбирается из всех наблюдаемых. После выбора выполняется кроссовер, который выполняется с учетом предыдущего и нового значения минимального RTT (RTTmin), а затем вычисляется PBF в соответствии с CDG, полученным из разницы предыдущего и нового RTT (min). Наконец, он вычисляет RTO и продолжает тот же процесс. Хотя он решает некоторые проблемы контроля перегрузки CoAP и CoCoA +, но 5-секундное время наблюдения может быть недостаточно для случая подводной и мобильной связи.Более того, предложенная схема не учитывает пакетный трафик.

4.1.13. Обратная связь о потере сообщения на основе

Схема управления перегрузкой с использованием обратной связи о потере сообщения: Схема управления перегрузкой на основе скорости была предложена в [29] для решения проблемы обнаружения перегрузки в CoAP по умолчанию. Для CoAP по умолчанию, по крайней мере, 2 из 16 сообщений должны быть переданы как сообщения CON для обнаружения перегрузки. Чтобы преодолеть эту проблему и обнаружить перегрузку в случае ненадежной передачи, предлагаемый метод определяет 1-битное поле в заголовке сообщения как «поле CS».Значение поля равно 0 или 1 в зависимости от типа переданного сообщения как CON или NON соответственно. Для каждой передачи пакет записывает поле CS в «CS_list_S», который представляет собой список, содержащий значения поля CS для отправителя. При получении сообщения узел-получатель обновляет тот же список на стороне получателя, называемый «CS_list_R». Список получателей затем отправляется обратно отправителю с ACK в случае сообщения CON. Однако в случае потери сообщения NON количество потерянных пакетов указывается в списке i на стороне получателя.е., CS_list_R и отправляет его отправителю в следующем сообщении ACK. Узел-отправитель сравнивает значение в своем списке при получении ACK и вычитает его, чтобы найти номер потери пакета. Это число потерь пакетов используется для определения текущей скорости передачи, которая, в свою очередь, вычисляет значение перегрузки. Таким образом, предлагаемый метод обнаруживает перегрузку в сети.

Для управления перегрузкой метод изменяет скорость передачи, а не размер окна перегрузки. Он использует механизм корзины с токенами для управления перегрузкой, предполагая, что размер корзины не ограничен.Когда есть пакет данных для отправки, он проверяет оставшийся размер токена и передает, только если размер токена больше, чем размер данных, в противном случае он ждет, пока не будет создан токен с большим размером. Предлагаемый метод изменяет скорость передачи пакетов в соответствии с загруженностью сети, регулируя скорость генерации токена. Хотя этот подход работает лучше с точки зрения скорости успешной передачи и пропускной способности; однако он не учитывает сценарий, при котором количество сообщений CON и NON будет одинаковым.В таком случае скорость потери передачи для сообщений CON не может быть определена.

4.1.14. На основе свежести контента

Схема управления перегрузкой предложена в [30], которая противодействует проблеме перегрузки в сети, контролируя размер окна перегрузки в реальном времени. Окно перегрузки варьируется на основе измеренного коэффициента перегрузки и актуальности информации о соотношении перегрузки. Каждый раз, когда узел-отправитель получает новое сообщение ACK, измеряется коэффициент перегрузки. Когда коэффициент перегрузки (CR), измеренный в предыдущем ACK, больше, чем текущее значение CR, размер окна перегрузки уменьшается, а когда предыдущее значение CR меньше текущего значения CR, окно перегрузки увеличивается, чтобы разрешить дополнительную передачу пакетов.Кроме того, исходный узел также измеряет актуальность информации о коэффициенте перегрузки, измеряя интервал в дополнение к текущему значению CR. Этот интервал представляет собой разницу между временем приема текущего и предыдущего ACK. Если интервал большой, информация CR считается устаревшей. Наконец, при приеме сообщения ACK исходный узел также измеряет RTT и различает его как слабый RTT (WRTT) или сильный RTT (SRTT). Если RTT — это SRTT, исходный узел рассматривает обновление в текущем размере окна перегрузки как окончательный размер окна перегрузки до приема следующего сообщения ACK, тогда как, если RTT равен WRTT, источник делит его на 2 и определяет, больше ли WRTT, чем 2xSRTT. .В случае, когда WRTT меньше 2xSRTT, предполагается, что сеть испытывает небольшую перегрузку, и достаточно небольшого уменьшения окна перегрузки. Однако в случае, когда WRTT больше 2xSTT, наблюдается высокая перегрузка в сети, и окно перегрузки должно быть уменьшено в достаточной степени.

4.1.15. BDP-CoAP

BDP-CoAP предлагает метод управления перегрузкой на основе скорости для CoAP [31], который основан на протоколе BBR (пропускная способность узкого места и время распространения в оба конца).Программа BBR по оценке пропускной способности узких мест (BW) переработана, чтобы справляться с проблемами, связанными с потерями каналов и краткосрочной несправедливостью канала в сетях IoT. В случае краткосрочной несправедливости конкретный узел в сети IoT может получить канал на короткий период времени во временном окне и получить высокие мгновенные скорости доставки. Это заставляет BBR переоценивать доступную пропускную способность. BDP-CoAP использует средство оценки, которое объединяет измерения максимальной и минимальной скорости доставки для получения оценок пропускной способности узких мест, чтобы избежать завышенной оценки BW в случае краткосрочной несправедливости доступа к каналу.

BDP-CoAP также отслеживает количество пропущенных выборок полосы пропускания за период наблюдения и использует эту информацию, чтобы сделать оценку BW узкого места более или менее агрессивной для изменения скорости передачи соответственно.

4.1.16. CoAP-R

Другой механизм управления перегрузкой на основе скорости предложен Ancillotti et al. в [32] для решения проблем производительности CoCoA в случае легких и скачкообразных условий трафика и проблемы несправедливого распределения полосы пропускания в различных сценариях трафика.

Предлагаемый метод называется CoAP-R, который использует древовидную структуру маршрутизации развертываний IoT, чтобы помочь в обнаружении узких мест. Используя информацию об узких местах, предлагаемый метод использует справедливое распределение максимальной и минимальной доступной полосы пропускания в сети распределенным образом. Затем этот процесс регулирует скорость передачи сообщений устройств CoAP соответственно. Однако, поскольку предложенная схема предназначена для древовидной структуры маршрутизации, если узел неактивен в дереве, он пропустит время, когда будет выполнено распределение полосы пропускания.Кроме того, при неактивном узле оценка пропускной способности канала была бы невозможна, и это привело бы к неправильному распределению полосы пропускания между другими узлами.

Обнаружение и предотвращение вторжений в беспроводных сенсорных сетях CoAP с использованием обнаружения аномалий

Аннотация

Общеизвестно, что безопасность будет играть важную роль в обеспечении работы большинства приложений, предусмотренных для Интернета вещей (IoT). Мы также должны отметить, что в большинстве таких приложений будут использоваться сенсорные и исполнительные устройства, интегрированные с коммуникационной инфраструктурой Интернета, и с того момента, как такие устройства начнут поддерживать сквозную связь с внешними (Интернет) хостами, они будут доступны для всех. виды угроз и атак.Имея это в виду, мы предлагаем структуру IDS для обнаружения и предотвращения атак в контексте интегрированных в Интернет коммуникационных сред CoAP, и в контексте этой структуры мы реализуем и экспериментально оцениваем эффективность обнаружения вторжений на основе аномалий, с целью обнаружения атак типа «отказ в обслуживании» (DoS) и атак на протоколы связи 6LoWPAN и CoAP. Из результатов, полученных в нашей экспериментальной оценке, мы видим, что предлагаемый подход может надежно защитить устройства от рассматриваемых атак.Мы можем достичь точности 93%, учитывая проблему с несколькими классами, таким образом, когда известен характер конкретных вторжений. Учитывая проблему двоичного класса, которая позволяет нам распознавать скомпрометированные устройства, и хотя наблюдается более низкая точность 92%, были достигнуты отзыв и F_Measure 98%. Насколько нам известно, это первое предложение, нацеленное на использование подходов к обнаружению и предотвращению аномалий для борьбы с атаками на уровне приложений и DoS-атаками в средах связи 6LoWPAN и CoAP.

Ключевые слова: обнаружение вторжений, обнаружение аномалий, 6LoWPAN, CoAP, интегрированные в Интернет сенсорные сети

1. Введение

Это хорошо известный факт, что большинство приложений, предусмотренных для IoT, будут поддерживаться (по крайней мере частично ) с помощью чувствительных и исполнительных устройств, которые ограничены с точки зрения доступной энергии, памяти и вычислительной мощности. Интеграция таких устройств с коммуникационной инфраструктурой Интернета обеспечит сквозную связь с другими устройствами в любом месте Интернета, а также даст новые возможности для атак со стороны таких менее ограниченных в ресурсах узлов.Вышеупомянутый сценарий интеграции становится реальностью благодаря разработке и внедрению стандартизованного коммуникационного стека, предназначенного для IoT [1]. Этот стек поддерживается такими протоколами, как 6LoWPAN (уровень адаптации 6LoWPAN) [2], уровень протокола маршрутизации (RPL) [3] и протокол приложений с ограничениями CoAP (COAP) [4]. Мы проверяем, что в настоящее время в литературе не хватает предложений, посвященных особенностям обнаружения и борьбы с атаками на безопасность и стабильность устройств 6LoWPAN и CoAP и сред связи.Имея в виду эту мотивацию, в этой статье мы предлагаем структуру обнаружения и предотвращения вторжений на основе аномалий для интегрированных в Интернет сенсорных сетей CoAP, в контексте, в котором мы реализуем и экспериментально оцениваем эффективность дополнительных методов обнаружения вторжений на основе аномалий в борьбе с DoS-атаки и атаки на работу протоколов 6LoWPAN и CoAP.

В нашей экспериментальной методологии мы начинаем с программирования сценариев вторжения (атак) CoAP с использованием операционной системы Contiki [5] через платформу IoT-LAB [6].Трафик, генерируемый в ходе экспериментов, используется для применения методов извлечения признаков и дополнительных подходов к машинному обучению, проверки моделей, построенных на основе используемых алгоритмов классификации. Таким образом, мы анализируем шаблоны трафика с использованием связи 6LoWPAN и CoAP с целью обучения алгоритма машинного обучения обнаружению аномальных или подозрительных сообщений. Наша статья проходит следующим образом. В разделе 2 мы определяем проблемы обнаружения и предотвращения вторжений в контексте коммуникационных сред IoT и наблюдаем текущую нехватку решений, разработанных для интегрированных в Интернет коммуникационных сред 6LoWPAN и CoAP.В разделе 3 мы представляем предлагаемую структуру для обнаружения и предотвращения вторжений, а также методы, используемые в нашей работе для обнаружения аномалий. В разделе 4 мы анализируем результаты, полученные в результате экспериментальной оценки предложенного подхода, а в разделе 5 мы завершаем статью и обсуждаем будущие исследования в этой области.

2. Безопасность и обнаружение вторжений в IoT

Мы начинаем с анализа безопасности в контексте интегрированных в Интернет сенсорных сетей, точнее, того, как обнаружение вторжений может быть применено к средам связи IoT CoAP, что является нашей целью.

2.1. Безопасность в контексте интегрированных в Интернет сенсорных сетей

В настоящее время формируется стандартизованный коммуникационный стек с целью обеспечения IP-связи с ограниченными сенсорными и исполнительными устройствами [1]. В этом контексте такие протоколы, как 6LoWPAN [2], RPL [3] и CoAP [4], были разработаны для работы на физическом (PHY) и MAC-уровне IEEE.802.15.4 [7], а также используются другие технологии. принят на уровне адаптации 6LoWPAN, как в случае Bluetooth Low Energy (BLE) [8].IEEE 802.15.4 по своей сути является технологией связи на канальном уровне и, как таковой, обеспечивает безопасность только для связи между переходами. Поскольку этот стек обеспечивает сквозную связь (на сетевом и более высоких уровнях) между интегрированными в Интернет ограниченными беспроводными сенсорными устройствами и другими объектами Интернета, атаки на такие устройства могут быть разнообразными и происходить на всех уровнях стека. Например, в IEEE 802.15.4 пакеты подтверждения (ACK) не шифруются, и знание нумерации пакета, который должен быть подтвержден, может быть достаточным для выполнения атаки повторного воспроизведения.Что касается уровня адаптации 6LoWPAN [2], он был разработан без механизмов безопасности, хотя в литературе есть предложения по этому поводу [9]. Что касается операций маршрутизации, выполняемых через 6LoWPAN, уровень протокола маршрутизации (RPL) [3] определяет структуру, способную транспортировать защищенные версии сообщений маршрутизации, а также набор обязательных криптографических алгоритмов, которые должны поддерживаться сенсорными устройствами. Несмотря на такую ​​функциональность, мы обнаружили, что RPL уязвима для таких атак, как ранговые атаки, атаки локального восстановления и атаки с истощением ресурсов [10].

В нашей работе мы считаем, что особое внимание уделяется протоколу ограниченного приложения (CoAP) [11], поскольку он обещает сыграть основное правило при включении IoT. CoAP был разработан с целью расширения архитектуры REpresentational State Transfer (REST) ​​сети на датчики и исполнительные механизмы. Протокол CoAP наследует те же операции Create, Read, Update, Delete (CRUD), что и ReST, то же самое относится к кодам ошибок, а также имеет некоторые общие черты URL.Что касается безопасности, помимо обеспечения безопасности на уровне приложений, CoAP делегирует свою поддержку протоколу Datagram Transport Layer Security (DTLS) на транспортном уровне с целью прозрачной защиты связи между устройствами. Устройства могут аутентифицироваться с использованием DTLS с предварительными общими ключами, открытыми ключами или цифровыми сертификатами X.509. Важно отметить, что, несмотря на то, что DTLS обеспечивает прозрачную безопасность для сквозной связи между устройствами, он не защищает такие устройства от ряда внешних и внутренних атак.Среди таких атак мы можем найти манипуляции с кешем, которые делают устройства уязвимыми для атак «злоумышленник в середине», усиленные атаки распределенного отказа в обслуживании (DDoS), атаки с подделкой и межуровневые атаки, которые могут позволить обходить брандмауэры. С другой стороны, внутренние злоумышленники могут попытаться нарушить нормальные операции протокола CoAP, а также его семантические правила. Следовательно, механизмы сквозной безопасности могут быть дополнены соответствующими подходами к обнаружению и предотвращению, применяемыми в контексте интегрированных в Интернет WSN, что и является нашей мотивацией в этой работе.

2.2. Подходы к обнаружению вторжений в Интернете

Прежде чем углубляться в проблему обнаружения атак в коммуникационных средах IoT CoAP, мы считаем полезным понаблюдать за подходом к обнаружению вторжений в существующей инфраструктуре связи в Интернете. Согласно [12], решения IDS, используемые в настоящее время в Интернете, подразделяются на одну из трех основных категорий: обнаружение на основе сигнатур (SD), обнаружение на основе аномалий (AD) и анализ протоколов с отслеживанием состояния (SPA).Обнаружение вторжений SD [13] (также известное как обнаружение на основе знаний или обнаружение злоупотреблений) использует шаблоны или строки (сигнатуры) известных атак. Что касается обнаружения вторжений AD [14] (также известного как обнаружение вторжений на основе поведения), аномалия характеризуется как отклонение от нормального (ожидаемого) поведения сети, при этом такое поведение характеризуется профилем, созданным на основе мониторинга регулярных действий. сети. Профили могут быть статическими или динамическими и определяются набором атрибутов, которые, в случае системы, могут включать частоту нажатий клавиш пользователем в данной системе, количество файлов, к которым был осуществлен доступ в заданный период времени. или количество неправильных попыток на экране входа в систему, среди прочего.Наконец, с помощью обнаружения вторжений SPA [15] (также известного как системы на основе спецификаций) подозрительные действия обнаруживаются с помощью профилей, определенных для конкретных протоколов или приложений.

Также полезно рассмотреть, как технологии, связанные с обнаружением вторжений, используются в практических системах, и в этом случае мы находим IDS на основе хоста (HIDS), IDS на основе сети (NIDS) и IDS на основе беспроводной сети (WIDS). ) [12]. Реализации HIDS в основном ориентированы на мониторинг и обнаружение подозрительных действий на хостах и ​​обычно способны отслеживать все или части динамического поведения и состояния компьютерной системы по сравнению с базовыми показателями, созданными во время ее первоначальной настройки.Что касается NIDS, такие системы отслеживают сеть или системы на предмет злонамеренных действий или нарушений политик путем анализа сетевого трафика, захваченного в стратегических точках инфраструктуры связи. WIDS похожи на NIDS, но в данном случае больше ориентированы на мониторинг беспроводной связи.

2.3. Обнаружение вторжений в IoT

Как обсуждалось ранее, мы считаем, что атаки на безопасность и стабильность интегрированных в Интернет ограниченных устройств обнаружения и включения могут происходить на различных уровнях стека связи, таким образом, со стороны IEEE 802.15.4 [7] канальный уровень до уровня приложений с использованием CoAP [4]. Например, мы можем обнаружить атаки с помехами и коллизиями на канальном уровне, в то время как на прикладном уровне лавинная рассылка и переполнение коммуникаций CoAP являются двумя примерами атак на этот протокол связи [10]. В [16] глушение, клонирование вещей и подслушивание идентифицированы как возможные DoS-атаки на коммуникационные среды IoT на уровне маршрутизации или приложений. В [17] описывается решение для предотвращения DoS-атак на устройства обнаружения, исходящие из Интернета, путем использования более мощных устройств и граничных маршрутизаторов для поддержки операций, связанных с безопасностью.В этом предложении маршрутизаторы также разрешают пересылку сообщений между WSN и доменами Интернета для устройств, которые проходят набор предопределенных условий. В [16] предлагается система для защиты устройств IoT с помощью механизмов шифрования и обеспечения соблюдения политик, использующих Suricata [18] в качестве SD IDS. Авторы [19] предлагают SVELTE, гибридную IDS для обнаружения атак на маршрутизацию с использованием RPL, которая объединяет характеристики обнаружения вторжений SD и AD. Это предложение оценивается с помощью моделирования и дает хорошие результаты в борьбе с атаками воронок.

В [20] авторы предлагают REATO, основанное на правилах решение для активного и динамического обнаружения и борьбы с DoS-атаками в контексте междоменного промежуточного программного обеспечения IoT. Эта система предназначена для реагирования на различные ситуации, чтобы заблокировать нежелательные коммуникации, и предложение реализовано и оценено экспериментально и признано жизнеспособным для защиты от DoS-атак в сценарии IoT. В [21] предлагается гибридная IDS (RIDES) с целью борьбы с атаками Ping of Death (PoD).RIDES основан на двух основных компонентах: генераторе кода подписи, который использует фильтры Блума для хранения кодов подписи для Snort [22], и детекторе аномалий сети, который использует контрольные диаграммы совокупной суммы для обнаружения аномальной сетевой активности. Авторы утверждают, что RIDES может снизить потребление энергии на 8 мкДж с помощью кодов подписи, и показано, что истинное положительное отношение увеличивается с интервалом времени.

Мы также находим [23,24] как предложения систем обнаружения аномалий.Два предложения сосредоточены на предотвращении атак ботнетов и на использовании TCP-коммуникаций, поэтому они не соответствуют использованию 6LoWPAN и CoAP, которые в настоящее время работают через UDP. Мы можем найти также другие предложения в литературе с различными методологиями, такие как [25] для обнаружения червоточин, Ссылка [26] на основе Deep Packet Inspection (DPI) и [27]. В заключение и в отношении ранее обсужденных предложений отметим, что большинство реализованных чистых решений AD недостаточно подробно описаны в литературе.Мы также отмечаем, что ни одно из существующих предложений не нацелено на обнаружение и обработку атак на уровне приложений CoAP в соответствии с нашей мотивацией в этой работе.

3. Обнаружение вторжений на основе аномалий в Internet-Integrated CoAP WSN

Теперь мы представляем архитектуру системы, в контексте которой мы реализуем обнаружение вторжений, в частности, для обнаружения DoS-атак и атак на уровне приложений на Протокол CoAP.

3.1. Рассматриваемый подход

Рассматриваемый в нашей работе подход можно охарактеризовать в соответствии с таксономией, предложенной в [12], а именно:

• Системная сетевая архитектура: мы применяем централизованный подход с целью обнаружения атак, подрывающих модель клиент-сервер CoAP в диапазоне обнаружения системой связи.

• Тип сети: как это обычно бывает в средах связи сенсорных сетей, рассматривается иерархическая модель беспроводной связи с IEEE 802.15.4 на канальном уровне (поддерживая связь по этапам) и 6LoWPAN, RPL и CoAP на уровне канала. более высокие слои.

• Компонент сбора: для сбора трафика мы используем агент, в частности узел сниффера IoT-LAB, способный захватывать трафик в определенном месте сети.

• Сбор данных: сбор данных является централизованным, поскольку захват сетевого трафика выполняется в определенном узле сети.

• Тип данных: мы храним захваченный трафик беспроводной сети в формате pcap (захват пакетов).

• Время обнаружения: в нашей реализации на данный момент выполняется в автономном режиме.

• Гранулярность: в нашей текущей реализации мы применяем периодический (пакетный) подход к захвату трафика.

• Дисциплина обнаружения: мы рассматриваем дисциплины оценки на основе состояния и стимулирования, поскольку IDS сообщает, находится ли узел в нормальном или скомпрометированном состоянии.Мы идентифицируем первое как «НОРМАЛЬНОЕ» на протяжении всей статьи, а второе как «ВНУТРЕННИЕ».

• Стратегия обработки: мы применяем централизованный подход к обработке собранных данных и обнаружению атак.

• Методология обнаружения: как обсуждалось ранее, в настоящее время мы рассматриваем, реализуем и оцениваем обнаружение вторжений CoAP на основе аномалий в контексте предлагаемой структуры.

Мы продолжим анализ предлагаемой структуры для обнаружения и предотвращения вторжений в контексте интегрированных в Интернет сенсорных сетей CoAP.

3.2. Системная архитектура

Мы проиллюстрируем архитектуру, рассматриваемую с целью реализации и оценки обнаружения и предотвращения вторжений в. Эта архитектура рассматривает использование пограничного маршрутизатора 6LoWPAN (6LBR), обеспечивающего связь между WSN и устройствами связи в Интернете, использование устройств обнаружения и включения CoAP, а также клиентов ресурсов, поддерживаемых такими устройствами, которые могут быть внутренними (в один и тот же домен WSN) или внешний (в другом домене WSN или расположенный в Интернете).Таким образом, клиенты CoAP связываются с серверами CoAP, чтобы запрашивать, активировать или наблюдать определенные ресурсы, доступные на уровне приложений.

Архитектура для обнаружения вторжений в контексте сенсорных сетей CoAP, интегрированных в Интернет.

Как показано в, мы предполагаем наличие устройства, используемого для поддержки операций обнаружения вторжений. Это устройство владеет ресурсами, необходимыми для выполнения перехвата сообщений в его диапазоне, таким образом, действуя как сетевой анализатор.Другое важное требование — это устройство также поддерживает интерпретатор языка высокого уровня для поддержки алгоритмов машинного обучения, используемых для обнаружения аномалий. В нашей текущей реализации этой архитектуры эту роль берет на себя 6LBR, и тот факт, что это устройство отвечает за фильтрацию (посредничество) пересылки сообщений между Интернетом и доменами WSN, также помогает, учитывая, что после вторжения было обнаружено, дальнейшая связь между злоумышленником и атакованным устройством может быть запрещена.В текущей реализации предложенной архитектуры устройства сервера CoAP не взаимодействуют друг с другом, а клиентские узлы CoAP запрашивают ресурсы у серверов со скоростью, контролируемой таймером. Как обсуждалось ранее, с целью реализации и экспериментальной оценки рассматриваемой архитектуры и используемых механизмов обнаружения аномалий мы используем платформу IoT-LAB [6], настроенную для поддержки многозвенной топологии. В качестве ограничения этой платформы мы рассматриваем запросы к ресурсам CoAP только с использованием запросов GET.Наша реализация различных устройств в этой архитектуре выполняется в операционной системе Contiki, в частности, путем построения поверх исходного кода для пограничного маршрутизатора (для 6LBR), er-example-server (сервер CoAP) и er-example-client (клиент CoAP).

3.3. Обнаружение неправомерного поведения

Мы считаем важным начать с определения рассматриваемой модели угроз, и в этом контексте мы сосредотачиваемся на внутренних злоумышленниках, то есть на устройствах, которые могут участвовать в коммуникациях 6LoWPAN и CoAP [11], в то же время пытаясь нарушить обычные шаблоны использования, правила или семантику протокола CoAP.Точнее, в настоящее время мы рассматриваем обнаружение аномалий четырех различных (и дополнительных) классов атак на среды и устройства связи 6LoWPAN и CoAP. Мы также помечаем каждый класс атак с целью его использования с контролируемыми алгоритмами машинного обучения следующим образом:

• Метка 1 — относится к запросам CoAP, отправляемым на сервер CoAP со скоростью выше определенного порога, таким образом отслеживая атаку, которую мы впоследствии обозначили как «DoS FREQ»;

• Метка 2 — относится к подтверждениям CoAP, отправляемым на сервер CoAP, когда не существует соответствующих запросов CoAP, которые мы впоследствии обозначаем как «DoS ACK»;

• Метка 3 — относится к запросам ресурсов, которые не поддерживаются (не доступны) сервером CoAP, который мы впоследствии обозначаем как «НЕПРАВИЛЬНЫЙ URI»;

• Метка 4 — относится к отправке запросов на сервер CoAP с недопустимой опцией ACCEPT, которую мы впоследствии обозначили как «WRONG ACCEPT».

За исключением предыдущих аномальных ситуаций, НОРМАЛЬНЫЙ класс, использующий метку «0», указывает на отсутствие атаки в коммуникационной среде CoAP. Вышеупомянутые ситуации оцениваются в контексте нашей структуры и известны тем, что не могут быть обнаружены простыми подходами IDS на основе подписи. Таким образом, это мотивирует наше внимание к применению обнаружения вторжений на основе аномалий в коммуникационных средах CoAP. Наличие атаки выявляет скомпрометированные узлы, и в качестве примеров аномального поведения мы можем рассмотреть злоумышленника, пытающегося истощить всю энергию из батарей скомпрометированного узла или заставить оставшиеся узлы обрабатывать ненужные сообщения.Наше обсуждение продолжается с анализа методологии машинного обучения и алгоритмов, используемых для реализации обнаружения вторжений на основе аномалий в контексте нашей структуры.

3.4. Методология обучения

Обучение с учителем — это семейство методов машинного обучения (ML), которые ищут дизайн вычислительных моделей, способных изучать шаблоны на основе аннотированных данных, чтобы автоматически классифицировать новые наборы невидимых данных. Производительность этих методов сильно зависит от качества данных и параметров, используемых в конфигурации модели, таких как функция ядра и скорость обучения.Эти параметры необходимо тщательно выбирать, чтобы создавать модели, которые могут обеспечить результаты хорошего качества.

Что касается используемых данных, они предварительно обрабатываются с использованием стандартизации, т. Е. Все функции имеют гауссовское распределение со средним значением 0 и стандартным отклонением 1. Это гарантирует, что функции имеют одинаковое базовое распределение, что позволяет избежать неправильного поведения со стороны ML. алгоритмы. Чтобы извлечь особенности из исходных данных, мы использовали анализ главных компонентов (PCA) и линейный дискриминантный анализ (LDA).

Алгоритм, используемый для обнаружения вторжений, — это машины опорных векторов (SVM). SVM — это мощные методы классификации, которые хорошо работают при разумном количестве вычислительных ресурсов. Это важное требование, которое следует учитывать в этих системах, что делает использование нейронных сетей невозможным из-за их чрезмерных вычислительных требований и длительного процесса обучения. Кроме того, SVM имеют более быструю процедуру классификации, которая облегчает реализацию в реальном времени, и они имеют то преимущество, что являются нелинейными классификаторами, основанными на используемой функции ядра.

Механизм обнаружения вторжений был реализован с использованием двух разных подходов: мультиклассовый и бинарный. В случае с несколькими классами нас интересует, какое вторжение обнаружила система. С другой стороны, в случае с бинарным классом мы просто определяем, было ли вторжение или нет. Чтобы преобразовать проблему нескольких классов в проблему двоичного класса, мы уменьшили количество меток до двух, где метки неправильного поведения были преобразованы в одну метку. Например, мультиклассовый массив меток [0; 1; 2; 1; 0; 3; 4; 2; 1] преобразуется в [0; 1; 1; 1; 0; 1; 1; 1; 1], где 0 означает отсутствие вторжения, а 1 означает вторжение.Расчет рассматриваемых функций и методология обучения изображены на. На этом рисунке этапы, отмеченные цифрой «2», выполняются одновременно, что означает, что после завершения расчета характеристик новые данные будут доступны для классификации. Одновременно сетевой трафик снова начинает получаться (с помощью сетевого сниффера) устройством, поддерживающим IDS (6LBR в нашей реализации, как ранее обсуждалось в контексте).

Рассмотренный подход к методологии обучения.

Снова обращаясь к, на шаге «3» возвращается набор меток, и такие метки вычисляются путем применения изученной модели к тестовым данным. Процесс включает в себя разбиение пакетов и вычисление характеристик, а его агрегирование анализируется более подробно в контексте экспериментальной оценки, которую мы обсудим далее.

4. Экспериментальная оценка

Мы продолжаем анализ результатов, полученных в результате нашей экспериментальной оценки предложенных подходов к обнаружению вторжений, начиная с анализа того, как эксперименты были реализованы и автоматизированы.

4.1. Осуществление и автоматизация экспериментов

Первым шагом на пути к реализации и автоматизации экспериментов является выбор операционной системы, которая будет использоваться в ограниченных сенсорных устройствах с целью поддержки обнаружения атак на безопасность сети. и устройства. Кроме того, поскольку наша цель состоит в проведении общей экспериментальной оценки предложенных механизмов, необходимо выбрать платформу, которая будет использоваться для этой цели, а также инструменты для поддержки сборщика статистических данных и компонента обнаружения вторжений в нашей системе. архитектура.

Операционная система, используемая для поддержки обнаружения вторжений, — Contiki [5], благодаря ее стабильности, совместимости с оборудованием и качеству имеющейся документации. Что касается платформы, мы использовали IoT-LAB [6], платформу, которая облегчает процесс развертывания экспериментов, сбора и выполнения анализа результатов. С помощью IoT-LAB мы можем комбинировать физические сценарии и сценарии моделирования / эмуляции и получать данные в реальном времени с любого из узлов сети через Wireshark.IoT-LAB в настоящее время поддерживает датчики давления, температуры, магнитометра, акселерометра, гироскопа и света, и для целей наших экспериментов мы использовали открытые узлы M3 [28] из-за наличия сетевых снифферов и инструментов отслеживания мощности, использующих такие устройства.

Что касается компонента обнаружения вторжений в нашей архитектуре, приложение ML классифицирует узлы либо как находящиеся в полностью рабочем (нормальном) состоянии, либо, с другой стороны, как скомпрометированные. В зависимости от нарушения поведения, обнаруженного для узла, который считается скомпрометированным, узел маркируется в соответствии с номенклатурой, описанной в разделе 3.2. Мы разработали приложение для поддержки фазы обучения IDS в Python 2, которое также включает графический интерфейс, проиллюстрированный в Tkinter. Для поддержки машинного обучения используется библиотека Scikit-learn [29], а графики были созданы с помощью matplotlib [30]. В нашем приложении, настроив соответствующие параметры, мы можем выбрать выполнение стратифицированного разделения набора данных на части поезда / теста с желаемой пропорцией, а также выполнить предварительную обработку, извлечение признаков и классификацию.Мы также реализовали функциональность для выполнения поиска по сетке лучших параметров классификатора в соответствии с желаемой оценочной целью. Здесь мы проиллюстрируем методологию, рассмотренную при построении экспериментального сценария с использованием платформы IoT-LAB.

Пользовательский интерфейс, разработанный для поддержки этапа обучения.

Методика поддержки экспериментальных измерений.

Шаги, проиллюстрированные на, отражают различные фазы процесса, используемого для начальной загрузки устройств, используемых в наших экспериментах, для проведения экспериментов и, наконец, для получения информации из экспериментальных измерений с использованием платформы IoT-Lab.На шаге 1 локальный компьютер подключается к серверу IoT-Lab, чтобы выбрать физические узлы, которые будут использоваться в экспериментах. На шаге 2 эксперимент передается платформе вместе со спецификацией микропрограммного обеспечения и профилем для сервера CoAP и устройств 6LBR. Что касается клиентских узлов CoAP, то ассоциируется только профиль, поскольку образ ОС клиентских узлов мигает после того, как известен IPv6-адрес сервера CoAP. На шаге 3 мы заменяем жестко запрограммированный IPv6-адрес на клиентских узлах на IPv6-адрес сервера CoAP, компилируем исходный код клиента и загружаем новое изображение.После этого последнего этапа установка IoT-Lab готова для поддержки наших экспериментальных измерений.

В каждом эксперименте мы используем 6LBR, сервер CoAP и три клиента CoAP, среди которых один из клиентов используется для выполнения атак. Мы запускаем каждый эксперимент в течение 30 минут, и в общей сложности проводится четыре эксперимента с различными сценариями атак (аномалий). В конце каждого эксперимента файл захвата pcap анализируется путем запуска Wireshark из Python и использования статистических возможностей сетевого сниффера для вычисления характеристик.Используя Wireshark, мы собираем сетевые данные в течение определенного периода времени и выполняем анализ в конце этого периода. На этапе обучения наш подход заключался в том, чтобы разделить весь обучающий файл pcap на подфайлы с указанием продолжительности периода выборки с помощью утилиты editcap, доступной в Wireshark.

4.2. Учитываемые особенности

В каждом эксперименте набор характеристик вычисляется из соответствующего файла захвата, и мы продолжаем описывать особенности, рассматриваемые в нашем анализе.

4.2.1. Характеристики для информации из IEEE 802.15.4

• w p a n — n o n a s k Длина _ — длина рамы — phy. .

• wpan.aux_sec.frame_counter — счетчик кадров.

• w p a n . b c n . г т с . c o u n t —Счетчик дескрипторов гарантированного временного интервала (GTS).

• w p a n . c м d . г т с . l e n g t h —GTS Длина.

• w p a n . c o r r e l a t i o n — Значение корреляции индикатора качества связи (LQI).

• wpan.frame_length — длина кадра.

• w p a n . г т с г д д . l e n g t h —длина GTS.

• wpan.sec_frame_counter — счетчик кадров.

• wpan.sec_key_sequence_counter — счетчик последовательности клавиш.

4.2.2. Функции для информации из 6LoWPAN

• 6 l o w p a n . f r a g . s i z e —Размер дейтаграммы.

• 6 l o w p a n . f r a g m e n t . c o u n t —Счетчик фрагментов сообщения.

• 6 l o w p a n . h c 2. u d p . l e n g t h —Длина.

• 6 l o w p a n . h o p s —Предел хопа.

• 6 l o w p a n . i p h c . ч л i м —Предел подъема.

• 6 l o w p a n . м e s h . h o p s —Хупы слева.

• 6 l o w p a n . n h c . e x t . l e n g t h —Длина подборщика.

• 6 l o w p a n . r e a s s e m b l e d . l e n g t h — Длина 6LoWPAN в собранном виде.

• 6 l o w p a n . u d p . l e n g t h —Длина.

4.2.3. Функции для информации с IPv6

• i p v 6. f l o w —Этикетка потока.

• i p v 6. f r a g m e n t . c o u n t —Счетчик фрагментов.

• i p v 6. h l i m —Предел хопа.

• i p v 6. o p t . c a l i p s o . c m p t . l e n g t h —Длина отсека.

• i p v 6. o p t . j u м b o —Длина полезной нагрузки.

• i p v 6. o p t . l e n g t h —Длина.

• ipv6.opt.rpl.sender_rank — ранг отправителя.

• i p v 6. p l e n —Длина полезной нагрузки.

• i p v 6. r e a s s e m b l d l e n g t h —Собранная длина IPv6.

• i p v 6. s h i m 6. l e n —Длина.

• i p v 6. s h i m 6. o p t . e l e m l e n —Длина элемента.

• i p v 6. s h i m 6. o p t . l e n —Длина.

• ipv6.shim6.opt.total_len — общая длина.

4.2.4. Функции для получения информации из CoAP

• coap.opt.block_size — размер закодированного блока.

• c o a p . o p t . l e n g t h —Длина опций.

• coap.opt.length_ext — параметры увеличенной длины.

• coap.opt.max_age — максимальный возраст.

• coap.token_len — длина токена.

• c o a p . c o d e —Код состояния.

Как видно из предыдущего листинга, идентифицированные функции относятся к контексту различных протоколов связи, формирующих стандартизованный стек связи IoT [1], который мы ранее обсуждали.

4.3. Стратегия оценки

Классификаторы нашего подхода к обнаружению вторжений оцениваются на этапе обучения, и в этом контексте мы рассматриваем основные показатели производительности, в частности Accuracy , Recall (или True Positive Rate) , Precision . , Скорость ложных срабатываний и F_Measure , определяемая следующим образом:

FalsePositiveRate = FPFP + TP

F_Measure = 2 × Precision ∗ RecallPrecision + Recall

В предыдущих определениях TP представляет количество истинных положительных результатов. TN количество истинно отрицательных результатов, FN количество ложных отрицаний, FP количество ложных срабатываний и n количество рассмотренных наблюдений.Эти показатели производительности оцениваются с учетом матриц ошибок и кривых ROC (характеристик принимающего оператора) как в подходах с несколькими, так и в бинарных классах, которые мы приступаем к анализу.

4.4. Подход с использованием нескольких классов

Результаты, полученные в результате анализа файлов pcap, состоят из наблюдений, состоящих из массивов функций, организованных в виде прямоугольной матрицы. Такие наблюдения передаются на предварительную обработку данных, уменьшение размерности и обучение классификатора.Пропорция количества НОРМАЛЬНЫХ и ошибочных наблюдений (таким образом, возникших в результате неправильного поведения узла) составляет 2 к 1, таким образом, для каждых двух НОРМАЛЬНЫХ наблюдений мы наблюдаем одно ошибочное наблюдение.

Мы разделили задачу классификации на две задачи. Первый рассматривает четыре атаки и нормальное поведение узла, позволяя менеджеру безопасности узнать тип неправильного поведения, присутствующего в топологии, если таковое имеется. Ко второй проблеме подошли с точки зрения двоичной проблемы, и в этом случае цель диспетчера безопасности — просто обнаружить присутствие вторжения в сети.Два типа проблем могут дать разные результаты, поскольку классификатор будет учитывать, что для проблемы двоичного класса метка ERRONEOUS представляет собой комбинацию всех четырех меток неправильного поведения. Более того, алгоритм выделения признаков LDA учитывает метки наблюдений, которые различны для задач с несколькими и двоичными классами.

Мы использовали два алгоритма выделения признаков: анализ главных компонентов (PCA) и линейный дискриминантный анализ (LDA).Для обоих алгоритмов мы обучили классификаторы метрике оценки , Точность . Для PCA данные предварительно обрабатываются с помощью стандартного масштабатора, среднее значение 0 и стандартное отклонение 1. Характеристики данных сокращаются с помощью PCA до 3 компонентов с отбеливанием, и метод установлен на автоматический. Затем выполняется поиск в сетке лучших параметров классификатора SVM с K-кратным 3 и установкой метрики оценки на , Точность . В этом процессе мы использовали следующие ядра SVM: линейное, RBF, полиномиальное и сигмоидальное.Полученные результаты проиллюстрированы на рисунках и.

Задача с несколькими классами — SVM поиска по сетке с: ядром RBF, формой решающей функции «один против остальных», 30 итерациями и критерием оценки точности, матрицей неточностей ( a ) и кривыми ROC ( b ).

Задача с несколькими классами — SVM поиска по сетке с: сигмоидальным ядром, формой решающей функции «Один против остальных», 30 итерациями и критерием оценки точности, матрицей неточности ( a ) и кривыми ROC ( b ).

Для каждого рассматриваемого ядра лучшие параметры и результаты точности определяются поиском по сетке при ранее описанных условиях. Результаты, полученные в этом процессе, представлены в.

Таблица 1

SVM Параметры, полученные с использованием точности в качестве показателя оценки (ранее обрабатывались с помощью многоклассового PCA).

Как мы видим, RBA, тем не менее, дает очень хорошие результаты ядра дали лучшие результаты на PCA с точки зрения точности, как показано в, с ~ 51% для ядра RBF и ~ 62% для сигмоидального ядра. Даже с двумя предыдущими лучшими ядрами с PCA были случаи 0% TP, что было НЕПРАВИЛЬНО ПРИНЯТО для ядра RBF и DoS ACK для сигмоидального ядра.Согласно кривым ROC предыдущих лучших ядер, RBF имеет в среднем более высокий уровень отзыва и F_Measure, чем сигмоидальный: 76% для атаки DoS ACK, как показано на b, по сравнению с 21% того же ядра, как в b. Лучший результат для сигмоидального ядра по сравнению с ядром RBF с точки зрения F_measure и Recall был с атакой WRONG ACCEPT, набрав 80% по сравнению с 48% для ядра RBF.

В нашей следующей оценке LDA используется с методом сингулярной декомпозиции и 6 компонентов.Опять же, данные предварительно обрабатываются с помощью стандартного масштабатора, среднее значение 0 и стандартное отклонение 1. Результаты показаны в и.

Задача с несколькими классами — SVM поиска по сетке с полиномиальным ядром, форма решающей функции «Один против остальных», 30 итераций и критерий оценки точности, матрица неточностей ( a ) и кривые ROC ( b ).

Задача с несколькими классами — SVM поиска по сетке с сигмоидальным ядром, форма решающей функции «Один против остальных», 30 итераций и критерий оценки точности, матрица неточности ( a ) и кривые ROC ( b ).

Для каждого ядра наилучшие параметры и результаты точности определяются поиском по сетке при ранее описанных условиях. Результаты, полученные в этом процессе, представлены в.

Таблица 2

SVM Параметры, полученные с использованием точности в качестве показателя оценки (ранее обрабатывались с помощью мультиклассового LDA).

Как можно видеть, результаты кластеризации в терминах PCA лучше, чем данные по каждому из классов. Применяя поиск по сетке с теми же ядрами, полиномиальное ядро ​​степени 1 достигает общей точности ∼93%, что соответствует линейному ядру, по сравнению со вторым лучшим ядром, которое является сигмоидальным, с точностью ∼75%, как и виден в.Фактически, сигмоидальное ядро ​​давало TP 0% для всех атак, кроме DoS FREQ, с почти 50% среднего для остальных атак. Кривые ROC для полиномиального случая также дали очень высокие баллы Recall и F_Measure , с минимумом 90% для атаки DoS FREQ.

4.5. Проблемный подход двоичного класса

Мы продолжим обсуждение результатов, полученных с помощью подхода на основе задачи двоичного класса. Для этого подхода мы рассмотрели следующие две метки в нашей оценке: НОРМАЛЬНЫЙ с меткой «0» и ОШИБКА с меткой «1».Для этого подхода мы используем только наиболее точный метод извлечения признаков, основанный на ранее полученных мультиклассовых результатах, а именно LDA. Применяется метод сингулярной декомпозиции и двух компонент. Еще раз, данные предварительно обрабатываются с помощью стандартного масштабатора со средним значением 0 и стандартным отклонением 1. Характеристики данных сокращаются с помощью LDA до 2 компонентов, и для метода устанавливается декомпозиция по сингулярным значениям (SVD). Затем выполняется поиск в сетке лучших параметров классификатора SVM с K-кратным 3 и установкой метрики оценки на , Точность .Мы используем следующие ядра SVM: линейное, RBF, полиномиальное и сигмоидальное, и полученные результаты проиллюстрированы в и.

Задача двоичного класса - SVM поиска по сетке с полиномиальным ядром, форма решающей функции «Один против остальных», 30 итераций, с критерием оценки точности, Матрица путаницы ( a ) и кривые ROC ( b ).

Задача двоичного класса - SVM поиска по сетке с сигмоидальным ядром, форма решающей функции «Один против остальных», 30 итераций и критерий оценки матрицы неточности ( a ) и кривые ROC ( b ).

Для каждого ядра лучшие параметры и результаты точности определяются поиском по сетке при ранее описанных условиях. Соответствующие результаты представлены в. Как можно заметить, сигмоидальное ядро ​​способно точно классифицировать НОРМАЛЬНЫЕ наблюдения с коэффициентом ложных срабатываний 1%, как можно видеть на a, хотя и с количеством ложноотрицательных результатов 20%. Для полиномиального ядра существует 0% ложноотрицательных и 28% ложных срабатываний, как можно наблюдать в файле. С точки зрения запоминания, и полиномиальное, и сигмоидальное ядра дают аналогичные результаты, полиномиальное на 2% опережает сигмоидальное, как это видно на b и b.

Таблица 3

SVM Параметры, полученные с использованием точности в качестве показателя оценки (ранее обрабатывались с помощью LDA двойного класса).

В заключение, из нашего предыдущего обсуждения мы можем отметить, что - алгоритмы обработки и обучающие классификаторы для построения модели вторжений в соответствии с подходами мульти- и бинарных классов. Как мы наблюдали из результатов нашей экспериментальной оценки, для подхода с несколькими классами проблем предлагаемая система способна различать четыре типа реализованных сценариев некорректного поведения и достигать точности 93% для лучшего классификатора SVM с точность в качестве показателя оценки и при использовании LDA для извлечения признаков.Что касается подхода к проблеме бинарного класса, то с учетом лучших параметров SVM классификация НОРМАЛЬНОГО и ОШИБОЧНОГО поведения может достигать точности 92%, а F_Measure - 98%.

5. Выводы и дальнейшая работа

В этой статье мы предложили структуру IDS для обнаружения и предотвращения атак в сетях CoAP, интегрированных в Интернет, и в контексте этой структуры мы оценили эффективность использования на основе аномалий обнаружение вторжений для предотвращения DoS-атак на такие коммуникационные среды.С практической точки зрения внедрения системы IDS в приложениях обнаружения CoAP, интегрированных в Интернет, крайне важно предотвратить максимальное количество вторжений, насколько это возможно, и в то же время обеспечить низкий уровень ложных срабатываний, даже если это будет происходить за счет увеличения количества ложных срабатываний. . Это необходимо учитывать при поиске максимальной точности, и, исходя из наших результатов, мы можем также принять во внимание, что в случае, если менеджер безопасности заинтересован и способен идентифицировать конкретные атаки, подход с использованием нескольких классов является подходящим, поскольку результаты показать, что линейное ядро ​​или полиномиальное ядро ​​имеют лучшие результаты в отношении точности.С другой стороны, подход бинарного класса хорошо подходит для захвата максимально возможного количества аномального (ОШИБОЧНОГО) поведения. В целом, мы считаем, что результаты, полученные в результате нашей экспериментальной оценки, показывают, что обнаружение вторжений на основе аномалий жизнеспособно для защиты коммуникационных сред 6LoWPAN и CoAP от внутренних атак и атак из Интернета, направленных против безопасности и стабильности устройств.

Хотя в качестве классического алгоритма использовалась только SVM, предлагаемая система может быть расширена за счет включения дополнительных алгоритмов, таких как K-NN, нейронные сети или случайные леса.Таким образом, реализация и оценка таких альтернативных алгоритмов в контексте предлагаемой структуры является частью наших планов по проведению дальнейших исследовательских работ в этой области. Включение других алгоритмов также предоставит возможность оценить масштабируемость предлагаемой системы с использованием моделей машинного обучения, которые более требовательны к вычислительным ресурсам, таким как задержка, хранение и вычислительные затраты. Кроме того, с более практической точки зрения реализации, еще один аспект, на который мы планируем обратить внимание, связан с тем, как в настоящее время рассчитываются функции.Вычислительную эффективность на этом этапе, безусловно, можно повысить, разработав приложение для расчета характеристик непосредственно из захваченных данных. Дополнительные вторжения также будут рассмотрены в будущих разработках, особенно в отношении атак, направленных на подрыв правил использования и семантики протокола CoAP внутренними или внешними злоумышленниками.

Эффективная фильтрация сетевого трафика для мультитенантных сотовых сетей IoT

Интернет вещей (IoT) является ключевым бизнес-фактором для будущих мобильных сетей пятого поколения (5G), которые, в свою очередь, позволят использовать многочисленные инновационные приложения IoT, такие как умный город, мобильное здоровье и другие массовые варианты использования Интернета вещей, определенные в стандартах 5G.Чтобы по-настоящему раскрыть скрытую ценность таких критически важных приложений IoT в крупном масштабе в эпоху 5G, в сетях узкополосного Интернета вещей (NB-IoT) на основе 5G предусмотрены расширенные возможности самозащиты для эффективного отражения кибератак, таких как: широко распространенные атаки распределенного отказа в обслуживании (DDoS). Однако в этой важной области было проведено недостаточно исследований, в частности, очень мало решений, если вообще есть, способны справиться с множественным инкапсулированным трафиком 5G для управления безопасностью IoT.В этом документе предлагается и прототипируется новая структура безопасности для достижения желаемых возможностей самоорганизующихся сетей для защиты виртуализированного, многопользовательского трафика Интернета вещей на основе 5G через автономный контур управления с эффективной фильтрацией трафика с учетом 5G. Эмпирические результаты подтвердили дизайн и реализацию и продемонстрировали эффективность предлагаемой системы, которая способна обрабатывать тысячи правил фильтрации трафика с учетом 5G и, таким образом, обеспечивает своевременную защиту от крупномасштабных атак.

1. Введение

Приложения Интернета вещей (IoT) широко рассматриваются в качестве основного варианта использования в будущих мобильных сетях пятого поколения (5G) и будут составлять четверть из 41 миллиона подключений 5G в мире в 2024 году [ 1]. Между тем безопасность является главной проблемой при крупномасштабном развертывании Интернета вещей, которое подвержено новым, разрозненным видам угроз и атак. Ограниченный характер устройств IoT с точки зрения памяти, вычислений и мощности, а также необслуживаемая, всеобъемлющая и динамическая сетевая среда делает их привлекательными для злоумышленников.В IoT начинают появляться различные типы развитых кибератак, например, атаки распределенного отказа в обслуживании (DDoS), основанные на зараженных ботах [2, 3]. Например, в результате атаки Mirai в 2016 году основные веб-сайты были уничтожены посредством массовых DDoS-атак с использованием сотен тысяч скомпрометированных устройств IoT [4]. Протоколы глобальной сети с низким энергопотреблением (LPWAN), используемые в сценариях IoT, такие как NB-IoT [5], определенные в версии 3GPP 13 [6], не являются идеальными средами для проведения DDoS-атак на основе высокоскоростных атак методом грубой силы из-за с их связанной низкой скоростью передачи данных (восходящая линия 60kpps).Тем не менее, варианты DDoS-атак, основанные на низкоскоростных методах [7], идеально подходят для этих сред, поскольку они используют такие методы, как отправка частичных HTTP-запросов, отправка небольших пакетов или удержание сеансов открытыми от перехода в состояние ожидания простоя.

Аналогичным образом, некоторые другие виды атак, например, основанные на несанкционированном доступе или утечке данных, трудно обнаружить и смягчить. Зараженные устройства IoT могут раскрывать личные личные данные своих владельцев, такие как локализация, идентификационные данные владельца или даже видео с их избранных видеокамер.К сожалению, механизмы безопасности и конфиденциальности сложно реализовать на конечном устройстве, и поэтому сетевая инфраструктура должна быть готова к самозащите всей сети и системы, не обязательно вовлекая потенциально вредоносное устройство IoT.

Таким образом, для динамического противодействия этим киберугрозам в сети IoT с поддержкой 5G оператору сети может потребоваться фильтровать, зеркалировать, перенаправлять и дифференцировать пакеты IoT в сети пограничного доступа и в ядре сети. сеть 5G.В идеале этот контроль и управление трафиком должны выполняться соответствующим образом на любом уровне инкапсуляции пакетов, необходимом в сетях LTE / 5G. Это может включать в себя мультиинкапсуляцию, необходимую для поддержки мобильности пользователя и изоляции несущей, любое поле внутренних заголовков пакетов, арендатора, с которым связано устройство IoT, или даже любое поле конкретного протокола IoT, например, протокол ограниченного приложения ( CoAP) [8], который, в частности, используется затронутым устройством IoT.

Сетевые операторы должны иметь возможность предлагать передовые решения «Безопасность как услуга», используя гибкость, обеспечиваемую программно-определяемой сетью (SDN) и виртуализацией сетевых функций (NFV), для динамического обнаружения киберугроз и соответствующего реагирования, надлежащие и своевременные меры противодействия, будь то в ядре или на границе сети, включая динамическое применение соответствующих правил фильтрации для отбрасывания вредоносного трафика, исходящего от множества устройств IoT.

Растущее число технологий, использующих виртуализацию сети, где трафик обычно инкапсулируется для поддержки услуг с несколькими несущими 5G, ставит задачу эффективного управления инкапсулированным трафиком. Как и в LTE и 5G, трафику NB-IoT может потребоваться справиться с мобильностью интеллектуальных объектов, что предполагает работу с другим уровнем инкапсуляции, например, через протокол туннелирования (GTP) службы пакетной радиосвязи общего назначения (GPRS).

В базовой сетевой среде и с использованием предопределенных фильтров сопоставления, таких как Linux Netfilter, каждый пакет будет проходить все правила фильтрации, пока не будет найдено правило.Это будет охватывать заголовки уровня 3 и уровня 4, а также полезную нагрузку уровня приложения, когда используется l7-filter. Действительно, различные исследования функциональных усовершенствований для эффективной фильтрации трафика уже проводились в современном состоянии [9–12]. Однако по-прежнему отсутствуют механизмы фильтрации, способные выполнять фильтрацию трафика в сценариях с несколькими несущими и мобильности для трафика IoT, способных справиться с требованиями инкапсуляции, налагаемыми как граничными, так и основными сетевыми сегментами многопользовательских сетей 5G, способных выполнять трафик. фильтрация и глубокая проверка пакетов в трафике NB-IoT.Более того, отсутствует структура безопасности, которая может помочь управлению безопасностью, чтобы обеспечить возможности самовосстановления и самовосстановления для сетей NB-IoT, динамически адаптируя фильтрацию сетевого трафика к текущим контекстным условиям.

Предлагаемый нами механизм фильтрации в этой статье позволяет проверять и анализировать трафик без необходимости создавать какие-либо туннельные интерфейсы для деинкапсуляции трафика. Он позволяет выполнять фильтрацию за пределами первого инкапсулированного уровня и работать с любым пакетом и заголовком любого внутреннего инкапсулированного трафика, чтобы соответствовать требованиям к мобильности и многопользовательской среде виртуализированных сетей 5G.Предикаты фильтрации позволяют классифицировать пакеты в пространстве ядра Linux на основе любых полей пакета в любом заголовке и инкапсулированном пакете. Преимущества многочисленны, включая масштабируемость, производительность и гибкость, поскольку нет необходимости создавать туннельный интерфейс для выполнения деинкапсуляции, а фильтрация трафика в пространстве ядра обеспечивает эффективный подход.

Кроме того, предложенный механизм фильтрации был интегрирован в структуру безопасности для достижения устойчивости и автономной реконфигурации правил фильтрации для противодействия кибератакам как низкоскоростным DDoS-атакам.

Вклады этого документа разнообразны: (i) представлена ​​новая структура безопасности с автономным контуром управления, позволяющая обеспечить самозащиту на основе самоорганизующихся сетей. (Ii) В данной статье особое внимание уделяется подходу фильтрации трафика с учетом инкапсуляции. разработан для виртуализированных сетей IoT с несколькими несущими, узкополосных сетей и сетей IoT с поддержкой 5G. (iii) Представлен прототип метода глубокой проверки пакетов с использованием механизма пространства ядра для полного контроля инкапсулированного трафика, необходимого в виртуализированных сетях NB-IoT. .(iv) Механизм фильтрации был интегрирован в архитектуру автономного управления и управления безопасностью, разработанную в результате совместного сотрудничества двух проектов ЕС h3020: Anastacia (в области безопасности Интернета вещей) [13] (h3020 Anastacia: http://anastacia-h3020.eu/ ) и SELFNET (в управлении 5G) [14] (h3020 SELFNET: https://selfnet-5g.eu/).(v)Эмпирическая оценка производительности предлагаемой системы представлена ​​и проанализирована на реалистичном виртуализированном NB, совместимом с 5G. -Сетевая инфраструктура Интернета вещей.

Остальная часть статьи организована следующим образом.В Разделе 2 мы анализируем предысторию методов фильтрации, а также научную работу в области исследований. Раздел 3 знакомит с NB-IoT, используемым в виртуализированных архитектурах 5G, и излагает требования к фильтрации для сетей NB-IoT с несколькими несущими и виртуализированных сетей 5G. В разделе 4 дается обзор структуры управления. Реализация и стенд для тестирования представлены в разделе 7. В разделе 8 представлены результаты экспериментов с точки зрения эффективности, пригодности и масштабируемости. Выводы и дальнейшие исследования приведены в Разделе 9.

2. Предпосылки и сопутствующие работы

Несмотря на значительное количество связанных работ в области безопасности IoT, до сих пор нет решения с точки зрения тракта передачи данных 5G, где новое технологическое продвижение этой новой парадигмы требует наличия механизмов, способных чтобы иметь дело с вложенной инкапсуляцией. Кроме того, как объяснялось в предыдущем разделе 1, рабочая группа 5G PPP также выделяет возможность динамической самоадаптации всей сети в качестве одной из своих основных функций.Таким образом, обеспечение динамического управления и реконфигурации системы - это функция, которую очень немногие исследования учитывали, и еще меньше изучали структуру с автоматическим контуром управления для организации политик безопасности. Ссылки [15–17] являются единственными исследованиями в данной области техники, в которых вложенная инкапсуляция 5G была достигнута с использованием методов фильтрации ядра, программируемых аппаратных интерфейсов и расширенной версии системы обнаружения вторжений (IDS), соответственно. Однако эти исследования далеки от перспективы Интернета вещей, и не было представлено никакой основы когнитивного управления.В других исследованиях, таких как [18], использовались методы декапсуляции и реинкапсуляции для фильтрации внутренних слоев трафика, создаваемого сетями LTE и 5G. Тем не менее, такой подход исключает поддержку мобильности устройств через инфраструктуру, хотя поддержка мобильности необходима для мобильных сетей 5G. Работа в [19] - одно из тех нечастых исследований безопасности в IoT, где представлена ​​структура, использующая программно-определяемые сети для ограничения потоков трафика устройств. Однако, несмотря на то, что в этой работе реализованы автоматизированные методы выявления уязвимых устройств и их изоляции от остальных устройств пользователей путем создания правил принудительного применения OpenFlow (OF-rule), в нем нет возможности 5G для работы с многопользовательским трафиком и трафиком мобильных устройств.Для сокращения капитальных и эксплуатационных расходов с точки зрения операторов в мобильных сетях следующего поколения используются технологии программной обработки и виртуализации. Таким образом, развертывание и создание сервисов становятся гибкими и гибкими. Эта функция становится чрезвычайно важной, когда целью является обеспечение масштабируемого подхода. В [20] авторы представляют платформу 5G для приложений IoT, и эта платформа может при необходимости развертывать виртуализированные периферийные вычисления с множественным доступом (vMEC).В [21] иерархическая структура IoT настраивается с использованием нескольких головок кластера, которые могут обрабатывать несколько узлов датчиков. Предполагается, что голова кластера имеет больше вычислительной мощности и энергетических ресурсов, чем узел. В таком случае сенсорный узел сначала передает данные трафика в соответствующую головку кластера, а затем головная часть кластера пересылает данные на центральный сервер. Из таблицы 1 видно, что ни одна из представленных связанных работ не смогла обеспечить одновременную поддержку нескольких арендаторов, поддержку мобильности, поддержку IoT, фильтрацию на уровне приложений и динамическое управление, основанное на автономной структуре.Ни один из них не рассматривал вложенную инкапсуляцию для создания правил фильтрации безопасности IoT на границе / ядре сети. Насколько нам известно, этот вклад является первым, который может предоставить эти возможности одновременно и развернуть детализированные действия для борьбы с подобными сложными атаками на границе / ядре сети 5G благодаря продвинутой трансверсальной поддерживаются возможности фильтрации. В обычных сетевых сценариях IDS часто используются для оценки надежности сетевых узлов и выявления вредоносных узлов IoT путем мониторинга их трафика или поведения [22, 23].После обнаружения вредоносного трафика можно использовать несколько методов фильтрации в качестве брандмауэра.

2.1. Методы фильтрации

Сложность природы сетей 5G требует глубокой проверки пакетов (DPI) для дальнейшего изучения структуры пакетов. DPI позволяет приложению просматривать полезную нагрузку данных, когда пакеты проходят точку проверки. Следовательно, в полезной нагрузке могут быть обнаружены несовместимый протокол, вирусы, спам или другой вид полезной информации, и затем решается, должен ли пакет пройти или нет, или его следует направить в другое место назначения. Чтобы получить сигнатуру, которая представляет конкретное сетевое приложение, инструменты и методы полагаются на простые механизмы, которые в основном сравнивают содержимое полезной нагрузки пакета с набором строк [24–26].Позже методы DPI заменили наборы строк регулярными выражениями для обработки проверки пакетов натощак [27, 28]. Подробный обзор и сравнение литературы по инструментам и методам, необходимым для разработки современных систем DPI, представлен в [29]. В рамках дополнительных исследований была изучена эффективность фильтрации трафика и предложены новые функциональные улучшения по сравнению с традиционными межсетевыми экранами. В работе [9] применяется статистика, собранная из сегментов политики, с целью создания деревьев Хаффмана, которые динамически адаптируются к статистике трафика и, в конечном итоге, улучшают среднее время фильтрации.Другие методы полагаются на раннее отклонение пакетов для повышения производительности, например, предложенный в [10]. Его можно развернуть поверх любого механизма фильтрации для предварительной фильтрации нежелательного дорогостоящего трафика. Некоторые другие работы, такие как [11], выполняют переупорядочение правил и полей правил на основе вычисления гистограмм правил сопоставления пакетов. В [12] предлагается межсетевой экран расширенного дерева для обработки отклонения и приема пакетов и может выполнять переупорядочение расширяемых фильтров на основе статистической модели, которая использует характеристики трафика.Open vSwitch (OVS) (Open vSwitch, http://www.openvswitch.org) - это программный коммутатор, отвечающий за обеспечение сетевого подключения к виртуальным машинам. Поскольку он является программируемым, он дает возможность применять правила фильтрации с использованием стандартных протоколов, таких как OpenFlow (ссылка на спецификацию Open Networking Foundation [30]), и, таким образом, обеспечивает отделение плоскости данных от плоскости управления. Недостатком является то, что OVS поддерживает только ограниченное количество протоколов. Хотя каждый новый выпуск этого программного обеспечения добавляет поддержку новых полей или протоколов, каждая версия требует изменений повсюду, и, следовательно, требуется новый процесс сборки, распространения и установки.Это причина того, что новые подходы, такие как представленный в [31] и Tu William et al. [32] имеют цель уменьшить проблемы совместимости между различными версиями ядра и версиями OVS и обеспечить поддержку новых протоколов без перекомпиляции. С этой целью предлагается язык высокого уровня для программирования независимой от протокола обработки пакетов, такой как P4 (P4 Language Consortium, https://p4.org/), а путь данных OVS полностью реализован с использованием расширенного фильтра Беркли (eBPF) для отделение функциональных возможностей канала данных OVS от версий ядра.Следовательно, с помощью компилятора, который принимает P4 и испускает eBPF, можно будет создавать новые поля / протоколы без необходимости изменения версии OVS. Другой подход к фильтрации заключается в использовании методов сопоставления байтов. Для обеспечения возможности динамической проверки полезной нагрузки сообщения Дон Коэн [33] добавил новое расширение сопоставления Netfilter под названием u32. u32 позволяет переключаться между заголовками и выбирать определенный диапазон байтов для проверки. Функция совпадения u32 указывает модулю извлечь 32 бита (4 байта) из пакета в любом указанном месте и сравнивает его с заданным значением.Если поле, которое необходимо извлечь, меньше 32 бит, извлеченные данные маскируются и сдвигаются. Кроме того, он также включает метод вычисления переменной длины заголовка для решения проблемы заголовков динамического размера в таких протоколах, как IP или TCP. Недостатком является то, что u32 допускает не более 100 символов на предикат, что является серьезным ограничением при работе с инкапсулированным трафиком, когда значительное количество заголовков добавляется в стеки протоколов. Точно так же BSD Packet Filter (BPF) [34] представляет собой механизм фильтрации с сопоставлением байтов, который обеспечивает эффективный способ фильтрации пакетов в пространстве ядра.BPF доступен в большинстве операционных систем Unix и обеспечивает функциональность, аналогичную модулю u32, но без ограничений размера фильтрации. BPF также доступен с помощью программы пользовательского пространства под названием iptables, которая позволяет настраивать межсетевой экран ядра Linux, реализованный в Netfilter [35]. Iptables использует набор таблиц для проверки, изменения, пересылки, перенаправления и / или отбрасывания пакетов. Основные функции Netfilter связаны с каждой из этих таблиц. Несмотря на успехи в соответствующей работе, существующие инструменты не могут справиться с фильтрацией трафика в виртуализированных сетях 5G, где трафик от разных клиентов (с несколькими операторами / операторами) должен быть инкапсулирован, чтобы различать их пользователей, а сценарии мобильности накладывают другой уровень инкапсуляция обрабатывается в брандмауэре.Предлагаемое в этом документе решение управления фильтрацией позволяет динамически обрабатывать сетевой трафик 5G в соответствии с решениями, принятыми автономной структурой безопасности, и основано на BPF в качестве основного механизма фильтрации для эффективной обработки трафика NB-IoT в сетях с поддержкой 5G. Важно подчеркнуть, что хотя BPF является хорошо известным механизмом, то, как он используется в этой публикации, подчеркивает его возможности для работы с самой сложной структурой пакетов, которую можно увидеть в новых инфраструктурах мобильной сети 5G.

3. Сети NB-IoT в виртуализированных и мультиарендных развертываниях 5G

3.1. Предварительные сведения о NB-IoT

3GPP в версии 13 [6, 36] определил новый интерфейс сотового радиодоступа под названием Narrowband Internet of Things (NB-IoT), который оптимизирован для трафика машинного типа. Спецификация старается быть как можно более простой, чтобы минимизировать потребление энергии, что имеет решающее значение для сценариев IoT, учитывая также трудности в условиях радиосвязи, присутствующие в этих экосистемах.NB-IoT тесно связан со спецификацией LTE. Действительно, он был интегрирован в стандарт LTE, и, следовательно, он также может быть интегрирован с виртуализированными и многопользовательскими архитектурами с поддержкой 5G, как это будет показано в следующем разделе.

Спецификация NB-IoT минимизирует накладные расходы на радиосвязь и позволяет доставлять данные IP и не IP. Как видно на рисунке 1, NB-IoT представляет две новые оптимизации по сравнению с традиционной сетью LTE для сотового Интернета вещей (CIoT), а именно, пользовательский уровень CIoT (сплошные линии на рисунке) и уровень управления CIoT ( пунктирные линии на рисунке).Плоскость управления добавляет новую функцию раскрытия возможностей службы (SCEF), специфичную для Интернета вещей, для доставки не-IP-данных через плоскость управления и предоставляет абстрактный интерфейс для сетевых служб, таких как аутентификация, контроль доступа или обнаружение. Чтобы сделать это возможным, объект управления мобильностью, существующий в традиционном LTE для работы с мобильностью пользователей, расширен новым интерфейсом T6a, позволяющим пересылать не-IP-трафик IoT. CIoT пользовательской плоскости позволяет пересылать трафик данных, как в традиционном LTE, через обслуживающий шлюз (SGW) и шлюз PDN (PGW).

  gcloud pubsub тем создают coap-события
Регистры iot gcloud создают coap-demo --region us-central1 --event-notification-config topic = coap-events
  

  скриптов / cloudbuild.ш
  

  gcloud compute instance create-with-container coap-proxy-demo \
--tags = coap --container-image gcr.io/$GOOGLE_CLOUD_PROJECT/coap-proxy \
--zone us-central1-a \
--container-env = PSK_IDENTITY = my_identity, PSK_SECRET = some_secret
  

  gcloud compute firewall-rules create allow-coap --action = ALLOW \
--rules = udp: 5684 --source-range = 0.0.0.0 / 0 --target-tags = coap
  

  cd coap-dtls-client /
openssl ecparam -genkey -name prime256v1 -noout -out ec_private.pem
openssl ec -в ec_private.pem -pubout -out ec_public.pem
  

  gcloud iot-устройства создают --registry = coap-demo --region = us-central1 --public-key path =. / Ec_public.pem, type = es256-pem demo-device
  

  мв ec_private.pem ./src/main/resources/
  

  мвн чистый пакет
  

  исходный код client.env
  

  java -jar ./target/coap-dtls-client-1.0-SNAPSHOT.jar demo-device setState $ COAPS_URI "hello from coap"
  

  gcloud iot-устройства описывают --region us-central1 --registry coap-demo demo-device --format = "value (state.binaryData) "| base64 --decode; echo
  

  gcloud обновление конфигураций устройств iot --project $ GOOGLE_CLOUD_PROJECT --region us-central1 --registry coap-demo --device demo-device --config-data "Приятно познакомиться"
  

  java -jar ./target/coap-dtls-client-1.0-SNAPSHOT.jar конфигурация демонстрационного устройства $ COAPS_URI
  

  экземпляров вычислений gcloud удалить coap-proxy-demo --zone us-central1-a
gcloud compute firewall-rules удалить allow-coap
  

  gcloud удаление устройств iot --region us-central1 --registry coap-demo demo-device
gcloud iot registries delete --region us-central1 coap-demo
gcloud pubsub темы удалить coap-events