Коап пдд 2018: КоАП РФ Статья 12.15. Нарушение правил расположения транспортного средства на проезжей части дороги, встречного разъезда или обгона
Новый кодекс пропишет процедуру наказания за нарушения ПДД — Российская газета
Процедура наказания водителя за нарушения правил на дороге будет детально регламентирована, а сам водитель в некоторых случаях получит право на адвоката от государства.
Министерство юстиции РФ в марте должно внести в правительство проект нового Процессуального кодекса Российской Федерации об административных правонарушениях. Такой срок ведомству установлен в плане законопроектной деятельности правительства.
Естественно, в таком документе будет прописана процедура абсолютно для всех видов дел об административных правонарушениях. Но, как показывает статистика, самыми массовыми «пользователями» КоАП являются водители.
По данным разработчиков закона, за год (правда, 2018-й, но порядок цифр не изменился и в прошлом году) в отношении физических и юридических лиц было возбуждено более 150 миллионов дел об административных правонарушениях. Из них более 140 миллионов дел находилось в компетенции органов внутренних дел. При этом наибольшее количество дел возбуждено за нарушение Правил дорожного движения. Должностными лицами ГИБДД было принято более 130 миллионов постановлений о привлечении различных лиц к административной ответственности. При этом еще несколько миллионов решений о наказании водителей-нарушителей было принято судами.
Предполагается, что новый закон отдельно пропишет процедуру рассмотрения таких дел в суде, отдельно — в государственных органах. Ведь за некоторые нарушения наказывает ГАИ, за некоторые — суд.
Если водителя обвинят в оставлении места аварии, то на суде ему предоставят адвоката, который поможет разобраться в причинах проступка
Задача процедуры — прежде всего оградить от произвола. Когда действия гражданина начальника расписаны до запятой, он не сможет придумать какое-то свое правило или закрыть глаза на то, что обязан заметить. А значит, и человеку будет легче защитить свои права.
Одна из обсуждаемых новаций года: гражданину будет грозить административный арест, планируется сделать обязательным участие адвоката в деле. Это значит, что человеку предоставят защитника от государства, если нет своего.
Водителям грозят 15 суток, когда их обвиняют в оставлении места аварии. По данным Судебного департамента при Верховном суде РФ, в прошлом году за шесть месяцев более 13,4 тысячи водителей получили административный арест за оставление места ДТП. Если предлагаемая норма будет принята, то порядка 80 тысяч человек в год — примерно столько обвиняются в бегстве с места аварии — получат право на адвоката. Помощь будет кстати.
Как поясняют эксперты, в таких делах много нюансов, иногда у водителя есть уважительные причины. Так что квалифицированный защитник поможет разобраться в деле.
Кроме того, как рассказывали в свое время в Минюсте, «планируется рассмотреть вопрос о закреплении института реабилитации лица, неправомерно привлеченного к административной ответственности, включая право на возмещение вреда, причиненного незаконным административным преследованием».
Это значит, что если человека, в том числе автомобилиста, несправедливо пытались привлечь к ответственности, он потом сможет получить компенсацию.
Напомним, сейчас разрабатывается масштабная реформа законодательства об административных правонарушениях. Весной планируется внести в Госдуму проект нового КоАП. Вместе с ним будет внесен и Процессуальный кодекс по делам об административных правонарушениях.
Как пояснил в свое время «РГ» советник председателя Госдумы Владимир Плигин, в будущем законе планируется усовершенствовать состязательные процедуры при рассмотрении административных дел, чтобы у граждан и юридических лиц была дополнительная возможность защитить свои права.
В свою очередь председатель Правления Ассоциации юристов России Владимир Груздев в беседе с «РГ» обратил внимание, что разработка нового КоАП и Процессуального кодекса по делам об административных правонарушениях тесно связана с реформой контрольно-надзорной деятельности, регуляторной гильотиной.
«Ставится задача не допустить избыточного государственного принуждения в сфере привлечения к административной ответственности как граждан, так и организаций, — говорит Владимир Груздев. — Поэтому сейчас меняются принципы и механизмы административных наказаний: пересматриваются санкции, наказания должны стать соразмерными и обоснованными. А главное, нормы об административных правонарушениях должны быть приведены в единую систему, не должно быть, например, дублирующих статей, а также перекоса в наказаниях, когда за менее значимые нарушения предусмотрены более строгие наказания и наоборот. Кроме того, важно, что планируется четко регламентировать процедуру привлечения к административной ответственности как в досудебном порядке, так и в судебном».
Адвокат Алексей Сикайло обращает внимание на то, что Процессуальный кодекс должен прописать требования к доказательствам, и это также облегчит защиту прав.
«Сегодня нередко возникают проблемы, например, когда суды не принимают видеозаписи — по тем же делам о нарушении Правил дорожного движения, — говорит адвокат. — Между тем видеозапись — это объективное доказательство, шанс судье увидеть все своими глазами, а не прочитать в протоколе. Потому для отказа принять видеозапись нужны веские основания. Есть надежда, что в будущем Процессуальном кодексе этот вопрос будет урегулирован».
По министерствам и ведомствам — Правительство России
Распоряжения от 27 октября 2018 года №2319-р, №2320-р. Во исполнение постановления Конституционного Суда Российской Федерации от 25 апреля 2018 года №17-П «По делу о проверке конституционности пункта 2 примечаний к статье 264 Уголовного кодекса Российской Федерации в связи с запросом Ивановского областного суда». Предлагается, в частности, установить повышенную уголовную ответственность лица, управляющего транспортным средством и нарушившего правила дорожного движения или правила эксплуатации транспортных средств, при условии наступления тяжких последствий, если это лицо скрылось с места совершения ДТП.
Документ
Распоряжение от 27 октября 2018 года №2319-р
Распоряжение от 27 октября 2018 года №2320-р
Проекты федеральных законов «О внесении изменений в статьи 264 и 2641 Уголовного кодекса Российской Федерации» (далее – законопроект 1) и «О внесении изменения в статью 12.27 Кодекса Российской Федерации об административных правонарушениях» (далее соответственно – законопроект 2, КоАП)» разработаны МВД России во исполнение постановления Конституционного Суда Российской Федерации от 25 апреля 2018 года №17-П «По делу о проверке конституционности пункта 2 примечаний к статье 264 Уголовного кодекса Российской Федерации в связи с запросом Ивановского областного суда».
Конституционный Суд постановил признать пункт 2 примечаний к статье 264 Уголовного кодекса не соответствующим Конституции Российской Федерации в той мере, в какой в системе действующего правового регулирования он ставит лицо, управлявшее транспортным средством, в том числе в состоянии опьянения, если оно совершило нарушение правил дорожного движения или эксплуатации транспортных средств, повлёкшее по неосторожности предусмотренные статьёй 264 Уголовного кодекса тяжкие последствия, и скрылось с места дорожно-транспортного происшествия, в преимущественное положение – с точки зрения последствий своего поведения – по сравнению с лицами, указанными в пункте 2 примечаний к этой статье, то есть управлявшими транспортными средствами и оставшимися на месте дорожно-транспортного происшествия, в отношении которых факт употребления вызывающих алкогольное опьянение веществ надлежащим образом установлен либо которые не выполнили законного требования о прохождении медицинского освидетельствования на состояние опьянения.
В настоящее время оставление водителем в нарушение Правил дорожного движения (утверждены постановлением Совета Министров – Правительства Российской Федерации от 23 октября 1993 года №1090, далее – ПДД) места дорожно-транспортного происшествия (далее – ДТП), участником которого он являлся, влечёт лишение права управления транспортными средствами на срок от одного года до полутора лет или административный арест на срок до 15 суток (часть 2 статьи 12.27 КоАП).
Действующей редакцией статьи 264 Уголовного кодекса установлена ответственность за нарушение правил дорожного движения или эксплуатации транспортных средств, повлёкшее по неосторожности тяжкие последствия. При этом частями второй, четвёртой и шестой этой статьи предусмотрена усиленная уголовная ответственность за нарушения, совершённые лицом в состоянии алкогольного опьянения.
Таким образом, лицо, совершившее деяния, предусмотренные частями второй, четвёртой или шестой статьи 264 Уголовного кодекса, и скрывшееся с места ДТП, несёт менее строгую уголовную ответственность (по частям первой, третьей или пятой статьи 264 Уголовного кодекса соответственно), поскольку возможность установить факт употребления этим лицом вызывающих опьянение веществ посредством медицинского освидетельствования по прошествии времени утрачена. (Факт употребления вызывающих опьянение веществ определяется наличием абсолютного этилового спирта в концентрации, превышающей возможную суммарную погрешность измерений, установленную законодательством об административных правонарушениях.)
В связи с этим законопроектом 1 предлагается внести изменения в части вторую, четвёртую и шестую статьи 264 Уголовного кодекса, усиливающие ответственность лица, управляющего транспортным средством и нарушившего ПДД или правила эксплуатации транспортных средств, при условии наступления тяжких последствий, если это лицо скрылось с места совершения противоправного деяния.
Это позволит устранить пробел в уголовно-правовом регулировании и создать равные условия в уголовном преследовании лица, скрывшегося с места совершения ДТП, в отношении которого возможность подтвердить состояние опьянения на момент совершения преступления утрачена, и лица, управляющего транспортным средством в таком состоянии, оставшегося на месте ДТП.
С учётом введения нового квалифицирующего признака предлагается также внести уточняющие изменения в статью 2641 Уголовного кодекса «Нарушение правил дорожного движения лицом, подвергнутым административному наказанию» с целью исключения её расширительного применения.
***
В целях исключения конкуренции норм в случае принятия предлагаемых законопроектом 1 изменений уголовного законодательства законопроектом 2 предлагается внести корреспондирующие изменения в часть 2 статьи 12.27 «Невыполнение обязанностей в связи с дорожно-транспортным происшествием» КоАП.
Законопроекты рассмотрены и одобрены на заседании Правительства 25 октября 2018 года.
КАК ОСПОРИТЬ НАРУШЕНИЯ ПДД, ЗАФИКСИРОВАННЫЕ КАМЕРАМИ ВИДЕОНАБЛЮДЕНИЯ?
КАК ОСПОРИТЬ НАРУШЕНИЯ ПДД,
ЗАФИКСИРОВАННЫЕ КАМЕРАМИ ВИДЕОНАБЛЮДЕНИЯ?
Помощник прокурора Трусовского района г. Астрахани Муковникова Светлана разъяснила, что за правонарушения в области дорожного движения, совершенные с участием автомобилей, если эти правонарушения зафиксированы камерами видеонаблюдения, к ответственности привлекают собственников (владельцев) этих автомобилей (ч. 1 ст. 2.6.1 КоАП РФ).
Собственник (владелец) автомобиля освобождается от ответственности, если в ходе рассмотрения жалобы на постановление по делу об административном правонарушении подтвердится, что в момент фиксации правонарушения автомобиль находился во владении или в пользовании другого лица либо к данному моменту был, например, похищен (ч. 2 ст. 2.6.1 КоАП РФ).
Чтобы оспорить нарушение ПДД, зафиксированное камерами видеонаблюдения, придерживайтесь следующего алгоритма.
Шаг 1. Подготовьте документальное обоснование вашего несогласия с показаниями камер видеонаблюдения.
Такими документами, например, могут быть:
документы, подтверждающие нахождение автомобиля во владении (пользовании) другого лица, например (п. 1.3 Постановления Пленума Верховного Суда РФ от 24.10.2006 N 18):
— доверенность на право управления автомобилем другим лицом;
— полис ОСАГО, в котором имеется запись о допуске к управлению данным автомобилем такого лица;
— договор аренды или лизинга автомобиля;
— показания свидетелей и (или) лица, управлявшего автомобилем в момент фиксации правонарушения;
документы завода-изготовителя, подтверждающие, что ваш автомобиль не может двигаться с указанной скоростью;
документы, подтверждающие, что вы не являетесь владельцем зафиксированного на фото автомобиля. Это нужно в случае неверного определения камерами государственного регистрационного знака.
Шаг 2. Подготовьте жалобу на постановление о привлечении к административной ответственности.
В жалобе необходимо изложить фактические обстоятельства дела, указать доводы и приложить доказательства, обосновывающие вашу позицию.
Примечание. Материалы, полученные с камер видеонаблюдения, поступают в специально созданные Центры автоматической фиксации административных правонарушений в области дорожного движения (ЦАФАП ОДД ГИБДД ГУ МВД России).
Жалоба на постановление по делу об административном правонарушении госпошлиной не облагается (ч. 5 ст. 30.2 КоАП РФ).
Шаг 3. Подайте жалобу и доказательства в уполномоченный государственный орган или суд.
Жалоба может быть подана вышестоящему должностному лицу либо в районный суд по месту рассмотрения дела (п. 3 ч. 1 ст. 30.1 КоАП РФ).
По выбору заявителя жалоба может быть подана (ч. 1 и 3 ст. 30.2 КоАП РФ):
— непосредственно вышестоящему должностному лицу либо в районный суд по месту рассмотрения дела;
— через должностное лицо, которые вынесло постановление по делу и которое обязано в течение трех суток со дня поступления жалобы направить ее со всеми материалами дела вышестоящему должностному лицу или в соответствующий суд.
Дело об административном правонарушении, зафиксированном камерами видеонаблюдения, подлежит рассмотрению судом по месту его совершения (т.е. по месту его фиксации камерами видеонаблюдения) (ч. 3 ст. 28.6, ч. 1 ст. 29.5 КоАП РФ, п. 30 Постановления Пленума Верховного Суда РФ от 24.03.2005 N 5). Срок подачи жалобы — 10 суток со дня вручения или получения копии постановления. При наличии уважительных причин пропущенный срок может быть восстановлен по ходатайству лица, подающего жалобу (ч. 1, 2 ст. 30.3 КоАП РФ).
сентябрь 2016 г.
Частью 1.3 ст. 32.2 КоАП РФ установлены условия возможности оплаты штрафов в размере 50 % от суммы штрафа не позднее двадцати дней со дня вынесения постановления. / 2018 / Прокуратура / МО посёлок Сапёрный
Частью 1.3 ст. 32.2 КоАП РФ установлены условия возможности оплаты штрафов в размере 50 % от суммы штрафа не позднее двадцати дней со дня вынесения постановления.
Частью 1.3 ст. 32.2 КоАП РФ установлены условия возможности оплаты штрафов в размере 50 % от суммы штрафа не позднее двадцати дней со дня вынесения постановления.
22.11.2018 во втором чтении принят проект Федерального закона № 481353-7, который предусматривает возможность продления срока указанной льготы по уплате штрафов за нарушения ПДД. Речь идет о случаях, когда копия постановления о назначении штрафа пришла заказным письмом после того, как истек период льготной оплаты, т.е. по окончании 20 дней со дня вынесения постановления.
Для восстановления срока нарушителю нужно подать ходатайство. Если оно будет отклонено, соответствующее определение можно будет обжаловать.
Однако указанное правило подлежит применению до вступления в силу изменений ч. 1.3 ст. 32.2 КоАП РФ, поскольку данная часть постановлением Конституционного суда РФ от 04.12.2017 № 35-П признана частично несоответствующей Конституции РФ.
Согласно п. 3 указанного Постановления до внесения в действующее правовое регулирование изменений правоприменители, в том числе суды, при применении части 1.3 статьи 32.2 КоАП РФ не вправе уклоняться от рассмотрения вопроса о возможности восстановления срока, предусмотренного для уплаты административного штрафа в размере половины от назначенной суммы, по ходатайству привлеченного к административной ответственности лица в случае, когда копия постановления о назначении административного штрафа, направленная привлеченному к административной ответственности лицу по почте заказным почтовым отправлением, поступила в его адрес после истечения двадцати дней со дня вынесения.
Протокол CoAP — следующий важный шаг для DDoS-атак
RFC 7252, также известный как протокол ограниченного приложения (CoAP), скоро станет одним из наиболее часто используемых протоколов с точки зрения DDoS-атак, сообщили ZDNet исследователи в области безопасности.
Если читатели не узнают название этого протокола, это потому, что он новый — официально одобрен только недавно, в 2014 году, и практически не использовался до этого года.
Что такое CoAP?
CoAP был разработан как облегченный межмашинный протокол (M2M), который может работать на интеллектуальных устройствах, где память и вычислительные ресурсы ограничены.
В очень упрощенном объяснении CoAP очень похож на HTTP, но вместо того, чтобы работать поверх пакетов TCP, он работает поверх UDP, более легкого формата передачи данных, созданного в качестве альтернативы TCP.
Так же, как HTTP используется для передачи данных и команд (GET, POST, CONNECT и т. Д.) между клиентом и сервером, CoAP также обеспечивает те же функции многоадресной рассылки и передачи команд, но не требует такого же количества ресурсов, что делает его идеальным для сегодняшней растущей волны устройств Интернета вещей (IoT).
Но, как и любой другой протокол на основе UDP, CoAP по своей природе подвержен спуфингу IP-адреса и усилению пакетов — двум основным факторам, которые позволяют усилить DDoS-атаку.
Злоумышленник может отправить небольшой UDP-пакет клиенту CoAP (устройству IoT), и клиент ответит пакетом гораздо большего размера.В мире DDoS-атак размер ответа на этот пакет известен как коэффициент усиления, а для CoAP он может варьироваться от 10 до 50, в зависимости от начального пакета и результирующего ответа (и анализа протокола, который вы читаете. ).
Кроме того, поскольку CoAP уязвим для IP-спуфинга, злоумышленники могут заменить «IP-адрес отправителя» IP-адресом жертвы, против которой они хотят запустить DDoS-атаку, и эта жертва получит прямую силу усиленного трафика CoAP.
Люди, которые разработали CoAP, добавили функции безопасности для предотвращения подобных проблем, но, как Cloudflare указал в прошлогоднем сообщении в блоге, если производители устройств реализуют эти функции безопасности CoAP, протокол CoAP перестанет быть таким легким, что сводит на нет все преимущества легкого протокола.
Вот почему большинство современных реализаций CoAP отказываются от использования усиленных режимов безопасности для режима безопасности «NoSec», который сохраняет протокол легким, но также уязвим для злоупотреблений DDoS.
Рост CoAP
Но поскольку CoAP был новым протоколом, несколько сотен уязвимых устройств здесь и там никогда не были бы проблемой, даже если бы все они работали в режимах NoSec.
К сожалению, все стало меняться. Согласно докладу, который Деннис Рэнд, основатель eCrimeLabs, сделал летом на конференции по безопасности RVAsec (отметка 19:40), количество устройств CoAP резко возросло с ноября 2017 года.
Рэнд говорит, что количество устройств CoAP резко возросло. от скромных 6500 в ноябре 2017 года до более 26000 в следующем месяце. В 2018 году дела пошли еще хуже, потому что к маю это число составляло 278 000 устройств, а сегодня цифра колеблется на уровне 580 000–600 000, согласно Shodan, поисковой системе для устройств, подключенных к Интернету.
Rand предполагает, что причиной этого взрыва является использование CoAP как части QLC Chain (ранее известного как QLink), проекта, нацеленного на создание децентрализованной мобильной сети на основе блокчейна с использованием узлов Wi-Fi, доступных по всему Китаю.
Но этот внезапный рост числа легкодоступных и плохо защищенных клиентов CoAP не остался незамеченным. За последние несколько недель первые DDoS-атаки, осуществленные через CoAP, начали оставлять свой след.
Исследователь безопасности, который занимается DDoS-атаками, но не может назвать свое имя из-за трудовых договоров, сказал ZDNet, что атаки CoAP случались время от времени в течение последних месяцев, с возрастающей частотой, достигающей в среднем 55 Гбит / с, а также самый большой с тактовой частотой 320 Гбит / с.
Среднее значение 55 Гбит / с на порядок превышает средний размер обычной DDoS-атаки, который составляет 4,6 Гбит / с, по данным компании Link11, занимающейся предотвращением DDoS-атак.
Из 580 000 устройств CoAP, доступных сегодня на Shodan, тот же исследователь сообщил ZDNet, что примерно 330 000 можно (ab) использовать для ретрансляции и усиления DDoS-атак с коэффициентом усиления до 46 раз.
Из зафиксированных исследователем атак большинство нацелено на различные онлайн-сервисы в Китае, а также на некоторые платформы MMORPG за пределами материкового Китая.
Неясно, был ли добавлен CoAP в качестве варианта атаки на платформы DDoS-for-найма, но как только это произойдет, такие атаки будут еще больше усиливаться.
Кроме того, использование CoAP в реальном мире в этом году резко возросло, но в основном было ограничено Китаем. Можно с уверенностью предположить, что как только CoAP уже станет популярным в Китае, сегодняшнем главном производственном центре, уязвимые устройства также распространятся в другие страны, поскольку устройства, произведенные в коммунистическом государстве, будут продаваться за границу.
Нас предупредили
Как и в случае с большинством протоколов, разработанных с учетом IoT, проблема, похоже, заключается не в конструкции протокола, который включает некоторые базовые функции безопасности, а в том, как производители устройств настраивают и доставка CoAP в действующие устройства.
К сожалению, в этом нет ничего нового. Многие протоколы часто неправильно конфигурируются, случайно или намеренно, производителями устройств, которые часто предпочитают функциональную совместимость и простоту использования безопасности.
Но кое-что, что будет раздражать некоторых исследователей в области безопасности, заключается в том, что некоторые предсказывали, что это произойдет еще до того, как CoAP был утвержден в качестве официального стандарта Интернета, еще в 2013 году. строгие правила в отношении устройств Интернета вещей и их функций безопасности.
Кстати, по совпадению, поскольку DDoS-атаки CoAP теперь начинают становиться заметными, Федерико Магги, исследователь безопасности из Trend Micro, также взглянул на возможности усиления DDoS-атак CoAP, исследование, которое он собирается представить. на конференции по безопасности Black Hat на этой неделе в Лондоне.
В том же исследовании также рассматривался другой протокол M2M, MQTT, также известный как беспорядок, в котором исследователь обнаружил несколько уязвимостей.
Другие новости безопасности:
Усовершенствования и проблемы в CoAP — исследование
CoAP используется в WSN и средах IoT в различных областях.Реализация CoAP в различных приложениях выявила некоторые недостатки в базовой архитектуре CoAP. Поэтому в архитектуру CoAP были внесены различные улучшения. В текущем разделе подробно обсуждаются улучшения, внесенные в механизм управления перегрузкой CoAP, безопасность CoAP, совместимость CoAP и так далее.
4.1. Механизмы управления перегрузкой в CoAP
В этом разделе рассматриваются механизмы управления перегрузкой, представленные в CoAP по умолчанию, и многочисленные другие механизмы расширенного управления перегрузкой для CoAP, основанные на измерениях RTT, градиентах измерений RTT, узкой полосе пропускания сетевого канала, скорости трафика или коэффициенте потери пакетов.
4.1.1. CoAP по умолчанию
Контроль перегрузки в CoAP по умолчанию: CoAP по умолчанию использует метод BEB для управления перегрузкой в сети [2]. В случае надежной передачи сообщение CON передается от клиентского узла к серверному узлу. Если сообщение не было успешно передано с первой попытки, выполняется повторная передача. CoAP выбирает случайное значение RTO для первой передачи между 2–3 с. Если первая повторная передача не удалась, BEB удваивает RTO, чтобы избежать перегрузки.Следовательно, новое значение RTO (RTOnew) в два раза больше предыдущего значения RTO (RTOprev) в соответствии с уравнением (1).
Этот метод управления перегрузкой не очень эффективен, так как вызывает длительные задержки простоя в сети и не учитывает динамические состояния сети. Чтобы сделать его эффективным, был разработан усовершенствованный механизм контроля перегрузки, названный «Контроль перегрузки / продвижение» (CoCoA).
4.1.2. CoCo-RED
CoAP по умолчанию не обеспечивает эффективное групповое взаимодействие и наблюдение за ресурсами.Поэтому в [22] представлен механизм управления перегрузкой для наблюдения за групповой связью, названный как случайное раннее обнаружение управления перегрузкой (CoCo-RED). Основные компоненты схемы включают:
Определение и расчет таймера RTO
Управление с использованием алгоритма исправленного случайного раннего обнаружения (RevRED) для предотвращения перегрузки
Алгоритм предварительного приращения Фибоначчи (FPB) для реализации таймер отсрочки передачи
CoCo-RED изначально устанавливает значение RTO случайным образом от 2 до 4 с и использует FPB в случае повторных передач для установки RTO.Чтобы избежать перегрузки с помощью метода управления буфером (BMT), предлагаемый механизм работает динамически и использует RevRED для расчета плотности сети на основе среднего размера очереди (AvgQ). Алгоритм RevRED отбрасывает приходящий пакет до того, как буферная очередь клиента переполнится. Размер AvgQ рассчитывается с использованием экспоненциально взвешенного скользящего среднего. Алгоритм работает в соответствии со следующими принципами:
Если AvgQ
Если Min threshold
Если AvgQ> Max threshold, прибывающий пакет отбрасывается на основе формулы экспоненциальной вероятности отбрасывания, представленной предложенным методом
В случае, если пакеты отбрасываются из-за перегрузки, выполняются повторные передачи.Для расчета RTO для повторных передач пакетов используется FPB. Для каждой повторной передачи FPB умножается на предыдущее значение RTO для нахождения нового значения RTO для следующей повторной передачи. FBP использует числа Фибоначчи для умножения на предыдущее RTO при каждой повторной передаче, что позволяет достичь более низкого значения RTO по сравнению с двоичным экспоненциальным откатом CoAP по умолчанию при каждой последующей повторной передаче.
CoCo-RED помогает сократить время отклика сети в дополнение к потере пакетов. Однако значения отсрочки фиксированы и не меняются в зависимости от динамических условий сети.
4.1.3. CoCoA
Чтобы преодолеть проблемы в управлении перегрузкой CoAP по умолчанию, CoCoA вводит функцию расчета адаптивного RTO в дополнение к Variable Backoff Factor (VBF) вместо BEB и механизму устаревания RTO. CoCoA определяет две оценки RTO: слабую RTO и сильную оценку RTO [6]. Оценщик сильного RTO вычисляет значения RTO для следующей передачи сообщения на основе измерения сильного RTT, тогда как модуль оценки слабого RTO вычисляет значения RTO на основе слабого RTT.Сильное значение RTT — это значение RTT, полученное после первой успешной передачи, а значение слабого RTT — это значение RTT, полученное по крайней мере после одной повторной передачи. Расчет окончательного общего RTO основан на значениях слабого и сильного RTT и значений RTO. Подробные расчеты общего RTO можно найти в [6].
Для значения отсрочки передачи CoCoA применяет VBF в соответствии с информацией о состоянии сети, чтобы избежать длительных задержек простоя. В зависимости от начального значения RTO передачи, VBF применяется к повторным передачам.Если начальное RTO очень мало, то есть меньше 1 секунды, применяется больший VBF, а для большого значения RTO, то есть больше 3 секунд, применяется меньшая отсрочка. Для значения от 1 до 3 с значение VBF устанавливается на оптимальное значение 2, что соответствует BEB. Значения VBF указаны в [6].
Другая проблема, связанная с устареванием значений RTO, регулируется CoCoA. Механизм устаревания RTO применяется в случае малых и больших оценок RTO. Для оценочного значения RTO ниже 1 с и выше 3 с, если новые измерения RTT не производятся в 16 или 4 раза больше текущего значения RTO соответственно, CoCoA использует механизм устаревания RTO и изменяет значение RTO таким образом, чтобы оно приближалось к значению по умолчанию. Начальное значение.
CoCoA превосходит стандартный механизм управления перегрузкой CoAP; однако есть неоднозначность в вычислении оценки слабого RTT. Более того, значение слабого RTT может варьироваться в каждом последовательном вычислении, поскольку неизвестно, после того, сколько повторных передач будет получено ACK сообщения. Это приводит к длительным общим показателям RTO и, в свою очередь, к большим задержкам на холостом ходу.
4.1.4. Схема четырехуровневого оценщика
Поскольку CoCoA не может различить, какой повторной передаче принадлежит полученный ACK, он выполняет вычисления RTO на основе исходного времени начала, что вызывает задержки простоя между последовательными передачами.Чтобы преодолеть эту проблему, авторы [23] предложили схему оценки с 4 состояниями, чтобы увеличить степень детализации отсрочки. Схема работает по принципу меньшего реагирования на потери, возникшие вначале при передаче пакета, и большей реакции, когда наблюдаются большие потери. Каждая передача называется состоянием, в котором каждая передача соответствует состоянию 1, 2, 3 или 4. Каждый номер состояния соответствует количеству повторных передач. Когда выполняется новая транзакция, состояние транзакции считается равным 1.Это состояние увеличивается каждый раз на единицу по мере выполнения повторной передачи. Аналогично, всякий раз, когда пакет передается успешно без каких-либо повторных передач, состояние уменьшается на единицу. Таким образом устанавливаются соответствующие значения отсрочки. Оптимизация значений отсрочки может выполняться по значениям состояния внутри транзакции, а также по нескольким транзакциям.
Переменный коэффициент отсрочки передачи рассчитывается для каждого значения состояния. Для значений отсрочки и формул, используемых для расчета этих значений; отсылаем читателя к [23].В отличие от двух оценок CoCoA (слабой и сильной), предлагаемая схема имеет четыре уровня оценок. По мере увеличения потерь и увеличения количества отказов передач в расчет RTO добавляется более высокий процент отсрочки передачи. В документе используется следующее уравнение (уравнение (2)) для расчета общего RTO:
RTOобщее = w ∗ RTOполучено + (1-w) ∗ RTOобщее
(2)
Параметр w здесь представляет собой вес для полученный RTO.
4.1.5. Адаптивное управление перегрузкой
Проблема неоднозначности в значениях слабой оценки и для установки соответствующих значений констант для VBF и механизма устаревания RTO, чтобы решить, следует ли и как предпринимать правильные действия, покрывается алгоритмом адаптивного управления перегрузкой. предложено в [4].Опция подсчета передач добавлена в заголовок сообщения CoAP, чтобы решить проблему слабой оценки. В случае повторной передачи сообщения CON инкапсулируется новая копия того же сообщения с другим идентификатором сообщения. Это помогает в идентификации количества повторных передач и, следовательно, устраняется неоднозначность, является ли сообщение ACK от передачи или повторной передачи для слабой оценки.
Чтобы сделать значения VBF адаптивными к реальным условиям сети, алгоритм рассматривает RTOstrong в качестве эталона.Кроме того, нижний и верхний пороги заменяются на (1/3) * RTOstrong и (5/3) * RTOstrong соответственно. Нижняя граница позволяет значению RTO увеличиваться от RTOstrong до второй повторной передачи, а верхняя граница позволяет быстро увеличивать RTO. В случае значения RTO по умолчанию, равного 2 с, эти значения почти возвращаются к значениям по умолчанию 0,7 с и 3,3 с для нижнего и верхнего пороговых значений соответственно.
Диапазон значений RTO устанавливается на (1/3 * RTOstrong, 5/3 * RTOstrong) в случае устаревания RTO и настраивается принудительным образом, когда значение выходит за пределы диапазона или не обновляется в течение более длительных периодов времени. время.
4.1.6. CoCoA +
Betzler et al. в [7] предлагается усовершенствованный механизм управления перегрузкой (CoCoA +) в качестве другого решения проблем в CoCoA. CoCoA + был предложен для преодоления недостатков CoCoA. Поскольку оценка слабого RTT в CoCoA неоднозначна и влияет на общий расчет RTO, CoCoA + предлагает уменьшить влияние оценки слабого RTT на расчет общего RTO, уменьшив значение K (множитель дисперсии RTT) с 4 до 1. .
RTOX = RTTX + KX ∗ RTTVARX
(3)
Кроме того, вес оценки слабого RTO ограничен в общем вычислении RTO.Он снижен с 50% до 25%.
RTOобщее = 0,25 * RTOweak + 0,75 * RTOобщее
(4)
Кроме того, для измерений слабого RTT CoCoA + ограничивает измерения, которые должны быть взяты только от первой передачи и первой повторной передачи.
Эти решения помогают избежать больших приращений общих значений RTO. CoCoA + пока не может выбрать правильное значение RTO в случае пакетного трафика. Это вызвано неточными измерениями повторно переданного RTT во время импульсного трафика, что приводит к ложным повторным передачам.Фактически, Анчиллотти и Бруно в [39] оценили эффективность управления перегрузкой CoAP и CoCoA + по умолчанию и обнаружили, что в различных сетевых условиях CoCoA + работает значительно хуже, чем механизм управления перегрузкой CoAP по умолчанию, например, в случае небольших значений RTT и для бурный трафик.
4.1.7. Улучшенное адаптивное управление перегрузкой
Ранее предложенные методы не рассматривают проблему выбора правильного значения RTO в случае пакетного трафика. Кроме того, эти методы также не учитывают коэффициент потери пакетов.Коэффициент потери пакетов определяется как количество пакетов, полученных на стороне получателя, по сравнению с количеством пакетов, отправленных отправителем. Коэффициент потерь пакетов используется для оценки эффективности метода по потерям. [24] предлагает улучшенный алгоритм управления перегрузкой на основе коэффициента потери пакетов и значений RTT предыдущей передачи. Метод предлагает два сценария с использованием коэффициента потери пакетов в качестве ключевого параметра и соответствующим образом регулирует значение RTO на основе предыдущих значений RTT.
Случай 1: значение RTO обновляется в соответствии с формулой, представленной в уравнении (5) в случае, когда коэффициент потери пакетов ниже 50%, чтобы предотвратить излишне длительные задержки простоя, тогда как значение RTO обновляется в соответствии с представленной формулой в уравнении (1), чтобы скорректировать значение потерь.
RTOrecent = RTT ∗ packetlossratio + (1-packetlossratio) ∗ RTOprevious
(5)
RTOrecent = RTOprevious ∗ packetlossratio + (1-packetlossratio) ∗ RTT
(6)
, поскольку значение каждой передачи обновляется Что касается коэффициента потери пакетов, нет необходимости в механизме устаревания RTO. Расчет значения RTO при каждой передаче вызывает слишком много накладных расходов и может вызвать задержку передачи.
4.1.8. CACC
Контекстно-зависимое управление перегрузкой (CACC), предложенное в [25], решает проблему различения сценария потери пакетов из-за частоты ошибок по битам и перегрузки.Он определяет правильный RTT повторно переданного сообщения ACK с учетом динамических условий сети. Он состоит из трех оценщиков RTT; слабая оценка RTT, сильная оценка RTT и неудачная оценка RTT. Сильный и неудачный RTT, объединенные вместе, представляют успешную доставку и отбрасывание пакета, где сильный RTT рассчитывается в случае успешной доставки, а неудачный RTT — в случае отбрасывания пакета. Этот сценарий подчеркивает вероятность конфликта пакетов на канальном уровне, поскольку некоторые пакеты доставляются, а остальные отбрасываются.С другой стороны, высокое значение слабого RTT представляет задержку перегрузки на уровне узла. Этот метод также ограничивает сжатие RTO, чтобы избежать отрицательного изменения RTT, которое вызывает ложные повторные передачи. В дополнение к этому, CACC также учитывает информацию о количестве повторных передач (RC) при передаче / повторных передачах сообщения, что позволяет ему точно обнаруживать слабые значения RTT и сглаженные значения RTT. Наконец, он включает механизм устаревания RTO как для малых, так и для больших оценок RTO, чтобы избежать ложных значений RTO в некоторых сетевых условиях.Этот метод устаревания основан на механизме CoCoA + и ожидает, пока CACC в конечном итоге повысит производительность после того, как значение RTO будет установлено по умолчанию в механизме устаревания. Это вызывает дополнительные задержки при ожидании повышения производительности CACC с течением времени. Более того, переменная RTTVAR стремится к нулю в случае, если последовательность одинаковых RTT является выборкой. Это приводит к тому, что значения RTO приближаются к измерению RTT. Кроме того, в случае импульсного трафика ни малый вес слабого RTT (K = 1), ни предотвращение слабой оценки не выгодны.Кроме того, значение RTO может резко увеличиваться из-за отсутствия механизма устаревания слабого RTO.
4.1.9. FASOR
Этот механизм управления перегрузкой работает в случае состояния буферной памяти и справляется с высокой частотой ошибок канала. В Fast-Slow RTO (FASOR) [26] вычисление RTO разделено на две категории. Вычисление быстрого RTO используется для однозначных выборок RTT, в то время как вычисление медленного RTO выполняется для неоднозначных выборок RTT, чтобы преодолеть глубокий буферный буфер и сильную перегрузку.Это позволяет избежать дополнительных задержек, а также помогает избежать ошибок недостаточного канала за счет сокращения завершения потока.
Для отсрочки таймера повторной передачи FASOR представляет новый самонастраивающийся таймер, содержащий три переходных состояния, то есть FAST / FAST-SLOW-FAST / SLOW-FAST. Каждое из этих состояний имеет разную логику отсрочки передачи и адаптируется к динамическим состояниям сети. Это позволяет FASOR предотвращать дополнительное потребление энергии из-за ненужных повторных передач и баланс между агрессивными и консервативными повторными передачами.
Основная проблема предлагаемой схемы заключается в том, что она не включает особую логику для отправителей, остающихся в режиме ожидания, что типично для CoAP. Более того, верхняя граница медленного RTO сохраняется 60 с, что может быть улучшено в дальнейшем.
4.1.10. pCoCoA
Bolettieri et al. выделите проблемы CoCoA + в [8] и предложите pCoCoA — точный алгоритм управления перегрузкой для решения этих проблем. Предлагаемый механизм основан на двух основных элементах:
Метод точной привязки запросов к ответам даже в случае повторных передач
Несколько модификаций алгоритма оценки RTO
Для точной привязки запросов к ответам , используется опция CoAP счетчика передач (TC).Это связывает сообщение ACK каждой передачи с соответствующим сообщением CON. Значение TC обновляется даже при повторных передачах; следовательно, он также обнаруживает ложные повторные передачи. Для случая ложной повторной передачи pCoCoA устанавливает флаг, чтобы учесть его при будущих вычислениях RTO.
Чтобы избежать исчезновения переменной RTTVAR из-за аналогичной выборки RTT за короткий период времени, оценивается максимальное среднее отклонение RTO. Таким образом, проблем, связанных с внезапным изменением RTT, можно избежать за счет использования максимального среднего отклонения, для уменьшения которого требуется больше времени, таким образом, уменьшение конечного значения RTO ограничено.Кроме того, в случае ложных передач оценка SRTO растет быстрее из-за увеличения веса RTTVAR, что помогает ограничить последовательные ложные передачи.
4.1.11. CoCoA ++
CoCoA ++: Управление перегрузкой на основе градиента задержки: Другой механизм управления перегрузкой, основанный на градиенте измерений RTT во времени, предложен Rathod et al. в [27]. Предлагаемый метод обеспечивает устранение проблем с контролем перегрузки в стандартных CoAP, CoCoA и его вариантах, таких как CoCoA +.Эти методы используют измерения RTT для каждого пакета для прогнозирования перегрузки в сети, но эти измерения зашумлены и ненадежны. CoCoA ++, с другой стороны, полагается на Градиент задержки CAIA (CDG) [40] с целью прогнозирования сетевой перегрузки путем получения градиента RTT во времени и обеспечивает вероятностный коэффициент отсрочки передачи (PBF) для управления перегрузкой в сети.
Благодаря использованию градиента задержки, CoCoA ++ устраняет цель оценки слабого и сильного RTO. Кроме того, в отличие от CoCoA и CoCoA +, значение RTO не обновляется на основе выборок RTT для каждого пакета, вместо этого RTO обновляется после получения периодической информации о градиентах задержки от CDG.Это позволяет CoCoA ++ не полагаться на VBF и, следовательно, заменять его на PBF. Формула для расчета PBF приведена в уравнении (7).
PBF = 1,42, P [откат]> Xandg> 00,7, в противном случае
(7)
где P [отсрочка] — это вероятность отсрочки, которую возвращает CDG, «X» — равномерно распределенное случайное значение, а «g» — градиент задержки. Вероятность отсрочки платежа сравнивается с равномерно распределенной случайной величиной «X». Отсрочка применяется к RTO только в том случае, если у нас есть положительная скорость изменения RTT.Это представлено условием g> 0.
В случае перегрузки PBF увеличивает RTO в 1,42 раза, тогда как снижает RTO в 0,7 раза при отсутствии перегрузки.
Проблема с CoCoA ++ заключается в том, что при более высокой средней скорости отправки пакетов последующие повторные передачи могут происходить быстро, в результате чего на узле быстро заканчиваются повторные передачи.
4.1.12. Genetic CoCoA ++
Другой алгоритм управления перегрузкой, основанный на CoCoA ++, предложенный Yadav et al.в [28], помимо проблемы больших изменений оценок RTO в CoCoA +, также упоминается, что алгоритмы управления перегрузкой, сохраняющие предыдущие состояния, недоступны для ограниченных устройств IoT из-за ограничений памяти. Поэтому они предлагают использовать CDG и генетический алгоритм (GA) для расчета RTO в течение фиксированного интервала времени. Метод использует RTT (min) вместо RTT (max) для расчета, чтобы получить лучшие результаты. Для определения перегрузки в сети используется разница между текущим и предыдущим RTT (мин.).RTT (мин) отслеживается в течение 5 с, и в этот период наблюдения минимальное значение RTT выбирается из всех наблюдаемых. После выбора выполняется кроссовер, который выполняется с учетом предыдущего и нового значения минимального RTT (RTTmin), а затем вычисляется PBF в соответствии с CDG, полученным из разницы предыдущего и нового RTT (min). Наконец, он вычисляет RTO и продолжает тот же процесс. Хотя он решает некоторые проблемы контроля перегрузки CoAP и CoCoA +, но 5-секундное время наблюдения может быть недостаточно для случая подводной и мобильной связи.Более того, предложенная схема не учитывает пакетный трафик.
4.1.13. Обратная связь о потере сообщения на основе
Схема управления перегрузкой с использованием обратной связи о потере сообщения: Схема управления перегрузкой на основе скорости была предложена в [29] для решения проблемы обнаружения перегрузки в CoAP по умолчанию. Для CoAP по умолчанию, по крайней мере, 2 из 16 сообщений должны быть переданы как сообщения CON для обнаружения перегрузки. Чтобы преодолеть эту проблему и обнаружить перегрузку в случае ненадежной передачи, предлагаемый метод определяет 1-битное поле в заголовке сообщения как «поле CS».Значение поля равно 0 или 1 в зависимости от типа переданного сообщения как CON или NON соответственно. Для каждой передачи пакет записывает поле CS в «CS_list_S», который представляет собой список, содержащий значения поля CS для отправителя. При получении сообщения узел-получатель обновляет тот же список на стороне получателя, называемый «CS_list_R». Список получателей затем отправляется обратно отправителю с ACK в случае сообщения CON. Однако в случае потери сообщения NON количество потерянных пакетов указывается в списке i на стороне получателя.е., CS_list_R и отправляет его отправителю в следующем сообщении ACK. Узел-отправитель сравнивает значение в своем списке при получении ACK и вычитает его, чтобы найти номер потери пакета. Это число потерь пакетов используется для определения текущей скорости передачи, которая, в свою очередь, вычисляет значение перегрузки. Таким образом, предлагаемый метод обнаруживает перегрузку в сети.
Для управления перегрузкой метод изменяет скорость передачи, а не размер окна перегрузки. Он использует механизм корзины с токенами для управления перегрузкой, предполагая, что размер корзины не ограничен.Когда есть пакет данных для отправки, он проверяет оставшийся размер токена и передает, только если размер токена больше, чем размер данных, в противном случае он ждет, пока не будет создан токен с большим размером. Предлагаемый метод изменяет скорость передачи пакетов в соответствии с загруженностью сети, регулируя скорость генерации токена. Хотя этот подход работает лучше с точки зрения скорости успешной передачи и пропускной способности; однако он не учитывает сценарий, при котором количество сообщений CON и NON будет одинаковым.В таком случае скорость потери передачи для сообщений CON не может быть определена.
4.1.14. На основе свежести контента
Схема управления перегрузкой предложена в [30], которая противодействует проблеме перегрузки в сети, контролируя размер окна перегрузки в реальном времени. Окно перегрузки варьируется на основе измеренного коэффициента перегрузки и актуальности информации о соотношении перегрузки. Каждый раз, когда узел-отправитель получает новое сообщение ACK, измеряется коэффициент перегрузки. Когда коэффициент перегрузки (CR), измеренный в предыдущем ACK, больше, чем текущее значение CR, размер окна перегрузки уменьшается, а когда предыдущее значение CR меньше текущего значения CR, окно перегрузки увеличивается, чтобы разрешить дополнительную передачу пакетов.Кроме того, исходный узел также измеряет актуальность информации о коэффициенте перегрузки, измеряя интервал в дополнение к текущему значению CR. Этот интервал представляет собой разницу между временем приема текущего и предыдущего ACK. Если интервал большой, информация CR считается устаревшей. Наконец, при приеме сообщения ACK исходный узел также измеряет RTT и различает его как слабый RTT (WRTT) или сильный RTT (SRTT). Если RTT — это SRTT, исходный узел рассматривает обновление в текущем размере окна перегрузки как окончательный размер окна перегрузки до приема следующего сообщения ACK, тогда как, если RTT равен WRTT, источник делит его на 2 и определяет, больше ли WRTT, чем 2xSRTT. .В случае, когда WRTT меньше 2xSRTT, предполагается, что сеть испытывает небольшую перегрузку, и достаточно небольшого уменьшения окна перегрузки. Однако в случае, когда WRTT больше 2xSTT, наблюдается высокая перегрузка в сети, и окно перегрузки должно быть уменьшено в достаточной степени.
4.1.15. BDP-CoAP
BDP-CoAP предлагает метод управления перегрузкой на основе скорости для CoAP [31], который основан на протоколе BBR (пропускная способность узкого места и время распространения в оба конца).Программа BBR по оценке пропускной способности узких мест (BW) переработана, чтобы справляться с проблемами, связанными с потерями каналов и краткосрочной несправедливостью канала в сетях IoT. В случае краткосрочной несправедливости конкретный узел в сети IoT может получить канал на короткий период времени во временном окне и получить высокие мгновенные скорости доставки. Это заставляет BBR переоценивать доступную пропускную способность. BDP-CoAP использует средство оценки, которое объединяет измерения максимальной и минимальной скорости доставки для получения оценок пропускной способности узких мест, чтобы избежать завышенной оценки BW в случае краткосрочной несправедливости доступа к каналу.
BDP-CoAP также отслеживает количество пропущенных выборок полосы пропускания за период наблюдения и использует эту информацию, чтобы сделать оценку BW узкого места более или менее агрессивной для изменения скорости передачи соответственно.
4.1.16. CoAP-R
Другой механизм управления перегрузкой на основе скорости предложен Ancillotti et al. в [32] для решения проблем производительности CoCoA в случае легких и скачкообразных условий трафика и проблемы несправедливого распределения полосы пропускания в различных сценариях трафика.
Предлагаемый метод называется CoAP-R, который использует древовидную структуру маршрутизации развертываний IoT, чтобы помочь в обнаружении узких мест. Используя информацию об узких местах, предлагаемый метод использует справедливое распределение максимальной и минимальной доступной полосы пропускания в сети распределенным образом. Затем этот процесс регулирует скорость передачи сообщений устройств CoAP соответственно. Однако, поскольку предложенная схема предназначена для древовидной структуры маршрутизации, если узел неактивен в дереве, он пропустит время, когда будет выполнено распределение полосы пропускания.Кроме того, при неактивном узле оценка пропускной способности канала была бы невозможна, и это привело бы к неправильному распределению полосы пропускания между другими узлами.
Обнаружение и предотвращение вторжений в беспроводных сенсорных сетях CoAP с использованием обнаружения аномалий
Аннотация
Общеизвестно, что безопасность будет играть важную роль в обеспечении работы большинства приложений, предусмотренных для Интернета вещей (IoT). Мы также должны отметить, что в большинстве таких приложений будут использоваться сенсорные и исполнительные устройства, интегрированные с коммуникационной инфраструктурой Интернета, и с того момента, как такие устройства начнут поддерживать сквозную связь с внешними (Интернет) хостами, они будут доступны для всех. виды угроз и атак.Имея это в виду, мы предлагаем структуру IDS для обнаружения и предотвращения атак в контексте интегрированных в Интернет коммуникационных сред CoAP, и в контексте этой структуры мы реализуем и экспериментально оцениваем эффективность обнаружения вторжений на основе аномалий, с целью обнаружения атак типа «отказ в обслуживании» (DoS) и атак на протоколы связи 6LoWPAN и CoAP. Из результатов, полученных в нашей экспериментальной оценке, мы видим, что предлагаемый подход может надежно защитить устройства от рассматриваемых атак.Мы можем достичь точности 93%, учитывая проблему с несколькими классами, таким образом, когда известен характер конкретных вторжений. Учитывая проблему двоичного класса, которая позволяет нам распознавать скомпрометированные устройства, и хотя наблюдается более низкая точность 92%, были достигнуты отзыв и F_Measure 98%. Насколько нам известно, это первое предложение, нацеленное на использование подходов к обнаружению и предотвращению аномалий для борьбы с атаками на уровне приложений и DoS-атаками в средах связи 6LoWPAN и CoAP.
Ключевые слова: обнаружение вторжений, обнаружение аномалий, 6LoWPAN, CoAP, интегрированные в Интернет сенсорные сети
1. Введение
Это хорошо известный факт, что большинство приложений, предусмотренных для IoT, будут поддерживаться (по крайней мере частично ) с помощью чувствительных и исполнительных устройств, которые ограничены с точки зрения доступной энергии, памяти и вычислительной мощности. Интеграция таких устройств с коммуникационной инфраструктурой Интернета обеспечит сквозную связь с другими устройствами в любом месте Интернета, а также даст новые возможности для атак со стороны таких менее ограниченных в ресурсах узлов.Вышеупомянутый сценарий интеграции становится реальностью благодаря разработке и внедрению стандартизованного коммуникационного стека, предназначенного для IoT [1]. Этот стек поддерживается такими протоколами, как 6LoWPAN (уровень адаптации 6LoWPAN) [2], уровень протокола маршрутизации (RPL) [3] и протокол приложений с ограничениями CoAP (COAP) [4]. Мы проверяем, что в настоящее время в литературе не хватает предложений, посвященных особенностям обнаружения и борьбы с атаками на безопасность и стабильность устройств 6LoWPAN и CoAP и сред связи.Имея в виду эту мотивацию, в этой статье мы предлагаем структуру обнаружения и предотвращения вторжений на основе аномалий для интегрированных в Интернет сенсорных сетей CoAP, в контексте, в котором мы реализуем и экспериментально оцениваем эффективность дополнительных методов обнаружения вторжений на основе аномалий в борьбе с DoS-атаки и атаки на работу протоколов 6LoWPAN и CoAP.
В нашей экспериментальной методологии мы начинаем с программирования сценариев вторжения (атак) CoAP с использованием операционной системы Contiki [5] через платформу IoT-LAB [6].Трафик, генерируемый в ходе экспериментов, используется для применения методов извлечения признаков и дополнительных подходов к машинному обучению, проверки моделей, построенных на основе используемых алгоритмов классификации. Таким образом, мы анализируем шаблоны трафика с использованием связи 6LoWPAN и CoAP с целью обучения алгоритма машинного обучения обнаружению аномальных или подозрительных сообщений. Наша статья проходит следующим образом. В разделе 2 мы определяем проблемы обнаружения и предотвращения вторжений в контексте коммуникационных сред IoT и наблюдаем текущую нехватку решений, разработанных для интегрированных в Интернет коммуникационных сред 6LoWPAN и CoAP.В разделе 3 мы представляем предлагаемую структуру для обнаружения и предотвращения вторжений, а также методы, используемые в нашей работе для обнаружения аномалий. В разделе 4 мы анализируем результаты, полученные в результате экспериментальной оценки предложенного подхода, а в разделе 5 мы завершаем статью и обсуждаем будущие исследования в этой области.
2. Безопасность и обнаружение вторжений в IoT
Мы начинаем с анализа безопасности в контексте интегрированных в Интернет сенсорных сетей, точнее, того, как обнаружение вторжений может быть применено к средам связи IoT CoAP, что является нашей целью.
2.1. Безопасность в контексте интегрированных в Интернет сенсорных сетей
В настоящее время формируется стандартизованный коммуникационный стек с целью обеспечения IP-связи с ограниченными сенсорными и исполнительными устройствами [1]. В этом контексте такие протоколы, как 6LoWPAN [2], RPL [3] и CoAP [4], были разработаны для работы на физическом (PHY) и MAC-уровне IEEE.802.15.4 [7], а также используются другие технологии. принят на уровне адаптации 6LoWPAN, как в случае Bluetooth Low Energy (BLE) [8].IEEE 802.15.4 по своей сути является технологией связи на канальном уровне и, как таковой, обеспечивает безопасность только для связи между переходами. Поскольку этот стек обеспечивает сквозную связь (на сетевом и более высоких уровнях) между интегрированными в Интернет ограниченными беспроводными сенсорными устройствами и другими объектами Интернета, атаки на такие устройства могут быть разнообразными и происходить на всех уровнях стека. Например, в IEEE 802.15.4 пакеты подтверждения (ACK) не шифруются, и знание нумерации пакета, который должен быть подтвержден, может быть достаточным для выполнения атаки повторного воспроизведения.Что касается уровня адаптации 6LoWPAN [2], он был разработан без механизмов безопасности, хотя в литературе есть предложения по этому поводу [9]. Что касается операций маршрутизации, выполняемых через 6LoWPAN, уровень протокола маршрутизации (RPL) [3] определяет структуру, способную транспортировать защищенные версии сообщений маршрутизации, а также набор обязательных криптографических алгоритмов, которые должны поддерживаться сенсорными устройствами. Несмотря на такую функциональность, мы обнаружили, что RPL уязвима для таких атак, как ранговые атаки, атаки локального восстановления и атаки с истощением ресурсов [10].
В нашей работе мы считаем, что особое внимание уделяется протоколу ограниченного приложения (CoAP) [11], поскольку он обещает сыграть основное правило при включении IoT. CoAP был разработан с целью расширения архитектуры REpresentational State Transfer (REST) сети на датчики и исполнительные механизмы. Протокол CoAP наследует те же операции Create, Read, Update, Delete (CRUD), что и ReST, то же самое относится к кодам ошибок, а также имеет некоторые общие черты URL.Что касается безопасности, помимо обеспечения безопасности на уровне приложений, CoAP делегирует свою поддержку протоколу Datagram Transport Layer Security (DTLS) на транспортном уровне с целью прозрачной защиты связи между устройствами. Устройства могут аутентифицироваться с использованием DTLS с предварительными общими ключами, открытыми ключами или цифровыми сертификатами X.509. Важно отметить, что, несмотря на то, что DTLS обеспечивает прозрачную безопасность для сквозной связи между устройствами, он не защищает такие устройства от ряда внешних и внутренних атак.Среди таких атак мы можем найти манипуляции с кешем, которые делают устройства уязвимыми для атак «злоумышленник в середине», усиленные атаки распределенного отказа в обслуживании (DDoS), атаки с подделкой и межуровневые атаки, которые могут позволить обходить брандмауэры. С другой стороны, внутренние злоумышленники могут попытаться нарушить нормальные операции протокола CoAP, а также его семантические правила. Следовательно, механизмы сквозной безопасности могут быть дополнены соответствующими подходами к обнаружению и предотвращению, применяемыми в контексте интегрированных в Интернет WSN, что и является нашей мотивацией в этой работе.
2.2. Подходы к обнаружению вторжений в Интернете
Прежде чем углубляться в проблему обнаружения атак в коммуникационных средах IoT CoAP, мы считаем полезным понаблюдать за подходом к обнаружению вторжений в существующей инфраструктуре связи в Интернете. Согласно [12], решения IDS, используемые в настоящее время в Интернете, подразделяются на одну из трех основных категорий: обнаружение на основе сигнатур (SD), обнаружение на основе аномалий (AD) и анализ протоколов с отслеживанием состояния (SPA).Обнаружение вторжений SD [13] (также известное как обнаружение на основе знаний или обнаружение злоупотреблений) использует шаблоны или строки (сигнатуры) известных атак. Что касается обнаружения вторжений AD [14] (также известного как обнаружение вторжений на основе поведения), аномалия характеризуется как отклонение от нормального (ожидаемого) поведения сети, при этом такое поведение характеризуется профилем, созданным на основе мониторинга регулярных действий. сети. Профили могут быть статическими или динамическими и определяются набором атрибутов, которые, в случае системы, могут включать частоту нажатий клавиш пользователем в данной системе, количество файлов, к которым был осуществлен доступ в заданный период времени. или количество неправильных попыток на экране входа в систему, среди прочего.Наконец, с помощью обнаружения вторжений SPA [15] (также известного как системы на основе спецификаций) подозрительные действия обнаруживаются с помощью профилей, определенных для конкретных протоколов или приложений.
Также полезно рассмотреть, как технологии, связанные с обнаружением вторжений, используются в практических системах, и в этом случае мы находим IDS на основе хоста (HIDS), IDS на основе сети (NIDS) и IDS на основе беспроводной сети (WIDS). ) [12]. Реализации HIDS в основном ориентированы на мониторинг и обнаружение подозрительных действий на хостах и обычно способны отслеживать все или части динамического поведения и состояния компьютерной системы по сравнению с базовыми показателями, созданными во время ее первоначальной настройки.Что касается NIDS, такие системы отслеживают сеть или системы на предмет злонамеренных действий или нарушений политик путем анализа сетевого трафика, захваченного в стратегических точках инфраструктуры связи. WIDS похожи на NIDS, но в данном случае больше ориентированы на мониторинг беспроводной связи.
2.3. Обнаружение вторжений в IoT
Как обсуждалось ранее, мы считаем, что атаки на безопасность и стабильность интегрированных в Интернет ограниченных устройств обнаружения и включения могут происходить на различных уровнях стека связи, таким образом, со стороны IEEE 802.15.4 [7] канальный уровень до уровня приложений с использованием CoAP [4]. Например, мы можем обнаружить атаки с помехами и коллизиями на канальном уровне, в то время как на прикладном уровне лавинная рассылка и переполнение коммуникаций CoAP являются двумя примерами атак на этот протокол связи [10]. В [16] глушение, клонирование вещей и подслушивание идентифицированы как возможные DoS-атаки на коммуникационные среды IoT на уровне маршрутизации или приложений. В [17] описывается решение для предотвращения DoS-атак на устройства обнаружения, исходящие из Интернета, путем использования более мощных устройств и граничных маршрутизаторов для поддержки операций, связанных с безопасностью.В этом предложении маршрутизаторы также разрешают пересылку сообщений между WSN и доменами Интернета для устройств, которые проходят набор предопределенных условий. В [16] предлагается система для защиты устройств IoT с помощью механизмов шифрования и обеспечения соблюдения политик, использующих Suricata [18] в качестве SD IDS. Авторы [19] предлагают SVELTE, гибридную IDS для обнаружения атак на маршрутизацию с использованием RPL, которая объединяет характеристики обнаружения вторжений SD и AD. Это предложение оценивается с помощью моделирования и дает хорошие результаты в борьбе с атаками воронок.
В [20] авторы предлагают REATO, основанное на правилах решение для активного и динамического обнаружения и борьбы с DoS-атаками в контексте междоменного промежуточного программного обеспечения IoT. Эта система предназначена для реагирования на различные ситуации, чтобы заблокировать нежелательные коммуникации, и предложение реализовано и оценено экспериментально и признано жизнеспособным для защиты от DoS-атак в сценарии IoT. В [21] предлагается гибридная IDS (RIDES) с целью борьбы с атаками Ping of Death (PoD).RIDES основан на двух основных компонентах: генераторе кода подписи, который использует фильтры Блума для хранения кодов подписи для Snort [22], и детекторе аномалий сети, который использует контрольные диаграммы совокупной суммы для обнаружения аномальной сетевой активности. Авторы утверждают, что RIDES может снизить потребление энергии на 8 мкДж с помощью кодов подписи, и показано, что истинное положительное отношение увеличивается с интервалом времени.
Мы также находим [23,24] как предложения систем обнаружения аномалий.Два предложения сосредоточены на предотвращении атак ботнетов и на использовании TCP-коммуникаций, поэтому они не соответствуют использованию 6LoWPAN и CoAP, которые в настоящее время работают через UDP. Мы можем найти также другие предложения в литературе с различными методологиями, такие как [25] для обнаружения червоточин, Ссылка [26] на основе Deep Packet Inspection (DPI) и [27]. В заключение и в отношении ранее обсужденных предложений отметим, что большинство реализованных чистых решений AD недостаточно подробно описаны в литературе.Мы также отмечаем, что ни одно из существующих предложений не нацелено на обнаружение и обработку атак на уровне приложений CoAP в соответствии с нашей мотивацией в этой работе.
3. Обнаружение вторжений на основе аномалий в Internet-Integrated CoAP WSN
Теперь мы представляем архитектуру системы, в контексте которой мы реализуем обнаружение вторжений, в частности, для обнаружения DoS-атак и атак на уровне приложений на Протокол CoAP.
3.1. Рассматриваемый подход
Рассматриваемый в нашей работе подход можно охарактеризовать в соответствии с таксономией, предложенной в [12], а именно:
Системная сетевая архитектура: мы применяем централизованный подход с целью обнаружения атак, подрывающих модель клиент-сервер CoAP в диапазоне обнаружения системой связи.
Тип сети: как это обычно бывает в средах связи сенсорных сетей, рассматривается иерархическая модель беспроводной связи с IEEE 802.15.4 на канальном уровне (поддерживая связь по этапам) и 6LoWPAN, RPL и CoAP на уровне канала. более высокие слои.
Компонент сбора: для сбора трафика мы используем агент, в частности узел сниффера IoT-LAB, способный захватывать трафик в определенном месте сети.
Сбор данных: сбор данных является централизованным, поскольку захват сетевого трафика выполняется в определенном узле сети.
Тип данных: мы храним захваченный трафик беспроводной сети в формате pcap (захват пакетов).
Время обнаружения: в нашей реализации на данный момент выполняется в автономном режиме.
Гранулярность: в нашей текущей реализации мы применяем периодический (пакетный) подход к захвату трафика.
Дисциплина обнаружения: мы рассматриваем дисциплины оценки на основе состояния и стимулирования, поскольку IDS сообщает, находится ли узел в нормальном или скомпрометированном состоянии.Мы идентифицируем первое как «НОРМАЛЬНОЕ» на протяжении всей статьи, а второе как «ВНУТРЕННИЕ».
Стратегия обработки: мы применяем централизованный подход к обработке собранных данных и обнаружению атак.
Методология обнаружения: как обсуждалось ранее, в настоящее время мы рассматриваем, реализуем и оцениваем обнаружение вторжений CoAP на основе аномалий в контексте предлагаемой структуры.
Мы продолжим анализ предлагаемой структуры для обнаружения и предотвращения вторжений в контексте интегрированных в Интернет сенсорных сетей CoAP.
3.2. Системная архитектура
Мы проиллюстрируем архитектуру, рассматриваемую с целью реализации и оценки обнаружения и предотвращения вторжений в. Эта архитектура рассматривает использование пограничного маршрутизатора 6LoWPAN (6LBR), обеспечивающего связь между WSN и устройствами связи в Интернете, использование устройств обнаружения и включения CoAP, а также клиентов ресурсов, поддерживаемых такими устройствами, которые могут быть внутренними (в один и тот же домен WSN) или внешний (в другом домене WSN или расположенный в Интернете).Таким образом, клиенты CoAP связываются с серверами CoAP, чтобы запрашивать, активировать или наблюдать определенные ресурсы, доступные на уровне приложений.
Архитектура для обнаружения вторжений в контексте сенсорных сетей CoAP, интегрированных в Интернет.
Как показано в, мы предполагаем наличие устройства, используемого для поддержки операций обнаружения вторжений. Это устройство владеет ресурсами, необходимыми для выполнения перехвата сообщений в его диапазоне, таким образом, действуя как сетевой анализатор.Другое важное требование — это устройство также поддерживает интерпретатор языка высокого уровня для поддержки алгоритмов машинного обучения, используемых для обнаружения аномалий. В нашей текущей реализации этой архитектуры эту роль берет на себя 6LBR, и тот факт, что это устройство отвечает за фильтрацию (посредничество) пересылки сообщений между Интернетом и доменами WSN, также помогает, учитывая, что после вторжения было обнаружено, дальнейшая связь между злоумышленником и атакованным устройством может быть запрещена.В текущей реализации предложенной архитектуры устройства сервера CoAP не взаимодействуют друг с другом, а клиентские узлы CoAP запрашивают ресурсы у серверов со скоростью, контролируемой таймером. Как обсуждалось ранее, с целью реализации и экспериментальной оценки рассматриваемой архитектуры и используемых механизмов обнаружения аномалий мы используем платформу IoT-LAB [6], настроенную для поддержки многозвенной топологии. В качестве ограничения этой платформы мы рассматриваем запросы к ресурсам CoAP только с использованием запросов GET.Наша реализация различных устройств в этой архитектуре выполняется в операционной системе Contiki, в частности, путем построения поверх исходного кода для пограничного маршрутизатора (для 6LBR), er-example-server (сервер CoAP) и er-example-client (клиент CoAP).
3.3. Обнаружение неправомерного поведения
Мы считаем важным начать с определения рассматриваемой модели угроз, и в этом контексте мы сосредотачиваемся на внутренних злоумышленниках, то есть на устройствах, которые могут участвовать в коммуникациях 6LoWPAN и CoAP [11], в то же время пытаясь нарушить обычные шаблоны использования, правила или семантику протокола CoAP.Точнее, в настоящее время мы рассматриваем обнаружение аномалий четырех различных (и дополнительных) классов атак на среды и устройства связи 6LoWPAN и CoAP. Мы также помечаем каждый класс атак с целью его использования с контролируемыми алгоритмами машинного обучения следующим образом:
Метка 1 — относится к запросам CoAP, отправляемым на сервер CoAP со скоростью выше определенного порога, таким образом отслеживая атаку, которую мы впоследствии обозначили как «DoS FREQ»;
Метка 2 — относится к подтверждениям CoAP, отправляемым на сервер CoAP, когда не существует соответствующих запросов CoAP, которые мы впоследствии обозначаем как «DoS ACK»;
Метка 3 — относится к запросам ресурсов, которые не поддерживаются (не доступны) сервером CoAP, который мы впоследствии обозначаем как «НЕПРАВИЛЬНЫЙ URI»;
Метка 4 — относится к отправке запросов на сервер CoAP с недопустимой опцией ACCEPT, которую мы впоследствии обозначили как «WRONG ACCEPT».
За исключением предыдущих аномальных ситуаций, НОРМАЛЬНЫЙ класс, использующий метку «0», указывает на отсутствие атаки в коммуникационной среде CoAP. Вышеупомянутые ситуации оцениваются в контексте нашей структуры и известны тем, что не могут быть обнаружены простыми подходами IDS на основе подписи. Таким образом, это мотивирует наше внимание к применению обнаружения вторжений на основе аномалий в коммуникационных средах CoAP. Наличие атаки выявляет скомпрометированные узлы, и в качестве примеров аномального поведения мы можем рассмотреть злоумышленника, пытающегося истощить всю энергию из батарей скомпрометированного узла или заставить оставшиеся узлы обрабатывать ненужные сообщения.Наше обсуждение продолжается с анализа методологии машинного обучения и алгоритмов, используемых для реализации обнаружения вторжений на основе аномалий в контексте нашей структуры.
3.4. Методология обучения
Обучение с учителем — это семейство методов машинного обучения (ML), которые ищут дизайн вычислительных моделей, способных изучать шаблоны на основе аннотированных данных, чтобы автоматически классифицировать новые наборы невидимых данных. Производительность этих методов сильно зависит от качества данных и параметров, используемых в конфигурации модели, таких как функция ядра и скорость обучения.Эти параметры необходимо тщательно выбирать, чтобы создавать модели, которые могут обеспечить результаты хорошего качества.
Что касается используемых данных, они предварительно обрабатываются с использованием стандартизации, т. Е. Все функции имеют гауссовское распределение со средним значением 0 и стандартным отклонением 1. Это гарантирует, что функции имеют одинаковое базовое распределение, что позволяет избежать неправильного поведения со стороны ML. алгоритмы. Чтобы извлечь особенности из исходных данных, мы использовали анализ главных компонентов (PCA) и линейный дискриминантный анализ (LDA).
Алгоритм, используемый для обнаружения вторжений, — это машины опорных векторов (SVM). SVM — это мощные методы классификации, которые хорошо работают при разумном количестве вычислительных ресурсов. Это важное требование, которое следует учитывать в этих системах, что делает использование нейронных сетей невозможным из-за их чрезмерных вычислительных требований и длительного процесса обучения. Кроме того, SVM имеют более быструю процедуру классификации, которая облегчает реализацию в реальном времени, и они имеют то преимущество, что являются нелинейными классификаторами, основанными на используемой функции ядра.
Механизм обнаружения вторжений был реализован с использованием двух разных подходов: мультиклассовый и бинарный. В случае с несколькими классами нас интересует, какое вторжение обнаружила система. С другой стороны, в случае с бинарным классом мы просто определяем, было ли вторжение или нет. Чтобы преобразовать проблему нескольких классов в проблему двоичного класса, мы уменьшили количество меток до двух, где метки неправильного поведения были преобразованы в одну метку. Например, мультиклассовый массив меток [0; 1; 2; 1; 0; 3; 4; 2; 1] преобразуется в [0; 1; 1; 1; 0; 1; 1; 1; 1], где 0 означает отсутствие вторжения, а 1 означает вторжение.Расчет рассматриваемых функций и методология обучения изображены на. На этом рисунке этапы, отмеченные цифрой «2», выполняются одновременно, что означает, что после завершения расчета характеристик новые данные будут доступны для классификации. Одновременно сетевой трафик снова начинает получаться (с помощью сетевого сниффера) устройством, поддерживающим IDS (6LBR в нашей реализации, как ранее обсуждалось в контексте).
Рассмотренный подход к методологии обучения.
Снова обращаясь к, на шаге «3» возвращается набор меток, и такие метки вычисляются путем применения изученной модели к тестовым данным. Процесс включает в себя разбиение пакетов и вычисление характеристик, а его агрегирование анализируется более подробно в контексте экспериментальной оценки, которую мы обсудим далее.
4. Экспериментальная оценка
Мы продолжаем анализ результатов, полученных в результате нашей экспериментальной оценки предложенных подходов к обнаружению вторжений, начиная с анализа того, как эксперименты были реализованы и автоматизированы.
4.1. Осуществление и автоматизация экспериментов
Первым шагом на пути к реализации и автоматизации экспериментов является выбор операционной системы, которая будет использоваться в ограниченных сенсорных устройствах с целью поддержки обнаружения атак на безопасность сети. и устройства. Кроме того, поскольку наша цель состоит в проведении общей экспериментальной оценки предложенных механизмов, необходимо выбрать платформу, которая будет использоваться для этой цели, а также инструменты для поддержки сборщика статистических данных и компонента обнаружения вторжений в нашей системе. архитектура.
Операционная система, используемая для поддержки обнаружения вторжений, — Contiki [5], благодаря ее стабильности, совместимости с оборудованием и качеству имеющейся документации. Что касается платформы, мы использовали IoT-LAB [6], платформу, которая облегчает процесс развертывания экспериментов, сбора и выполнения анализа результатов. С помощью IoT-LAB мы можем комбинировать физические сценарии и сценарии моделирования / эмуляции и получать данные в реальном времени с любого из узлов сети через Wireshark.IoT-LAB в настоящее время поддерживает датчики давления, температуры, магнитометра, акселерометра, гироскопа и света, и для целей наших экспериментов мы использовали открытые узлы M3 [28] из-за наличия сетевых снифферов и инструментов отслеживания мощности, использующих такие устройства.
Что касается компонента обнаружения вторжений в нашей архитектуре, приложение ML классифицирует узлы либо как находящиеся в полностью рабочем (нормальном) состоянии, либо, с другой стороны, как скомпрометированные. В зависимости от нарушения поведения, обнаруженного для узла, который считается скомпрометированным, узел маркируется в соответствии с номенклатурой, описанной в разделе 3.2. Мы разработали приложение для поддержки фазы обучения IDS в Python 2, которое также включает графический интерфейс, проиллюстрированный в Tkinter. Для поддержки машинного обучения используется библиотека Scikit-learn [29], а графики были созданы с помощью matplotlib [30]. В нашем приложении, настроив соответствующие параметры, мы можем выбрать выполнение стратифицированного разделения набора данных на части поезда / теста с желаемой пропорцией, а также выполнить предварительную обработку, извлечение признаков и классификацию.Мы также реализовали функциональность для выполнения поиска по сетке лучших параметров классификатора в соответствии с желаемой оценочной целью. Здесь мы проиллюстрируем методологию, рассмотренную при построении экспериментального сценария с использованием платформы IoT-LAB.
Пользовательский интерфейс, разработанный для поддержки этапа обучения.
Методика поддержки экспериментальных измерений.
Шаги, проиллюстрированные на, отражают различные фазы процесса, используемого для начальной загрузки устройств, используемых в наших экспериментах, для проведения экспериментов и, наконец, для получения информации из экспериментальных измерений с использованием платформы IoT-Lab.На шаге 1 локальный компьютер подключается к серверу IoT-Lab, чтобы выбрать физические узлы, которые будут использоваться в экспериментах. На шаге 2 эксперимент передается платформе вместе со спецификацией микропрограммного обеспечения и профилем для сервера CoAP и устройств 6LBR. Что касается клиентских узлов CoAP, то ассоциируется только профиль, поскольку образ ОС клиентских узлов мигает после того, как известен IPv6-адрес сервера CoAP. На шаге 3 мы заменяем жестко запрограммированный IPv6-адрес на клиентских узлах на IPv6-адрес сервера CoAP, компилируем исходный код клиента и загружаем новое изображение.После этого последнего этапа установка IoT-Lab готова для поддержки наших экспериментальных измерений.
В каждом эксперименте мы используем 6LBR, сервер CoAP и три клиента CoAP, среди которых один из клиентов используется для выполнения атак. Мы запускаем каждый эксперимент в течение 30 минут, и в общей сложности проводится четыре эксперимента с различными сценариями атак (аномалий). В конце каждого эксперимента файл захвата pcap анализируется путем запуска Wireshark из Python и использования статистических возможностей сетевого сниффера для вычисления характеристик.Используя Wireshark, мы собираем сетевые данные в течение определенного периода времени и выполняем анализ в конце этого периода. На этапе обучения наш подход заключался в том, чтобы разделить весь обучающий файл pcap на подфайлы с указанием продолжительности периода выборки с помощью утилиты editcap, доступной в Wireshark.
4.2. Учитываемые особенности
В каждом эксперименте набор характеристик вычисляется из соответствующего файла захвата, и мы продолжаем описывать особенности, рассматриваемые в нашем анализе.
4.2.1. Характеристики для информации из IEEE 802.15.4
w p a n — n o n a s k Длина _ — длина рамы — phy. .
wpan.aux_sec.frame_counter — счетчик кадров.
w p a n . b c n . г т с . c o u n t —Счетчик дескрипторов гарантированного временного интервала (GTS).
w p a n . c м d . г т с . l e n g t h —GTS Длина.
w p a n . c o r r e l a t i o n — Значение корреляции индикатора качества связи (LQI).
wpan.frame_length — длина кадра.
w p a n . г т с г д д . l e n g t h —длина GTS.
wpan.sec_frame_counter — счетчик кадров.
wpan.sec_key_sequence_counter — счетчик последовательности клавиш.
4.2.2. Функции для информации из 6LoWPAN
6 l o w p a n . f r a g . s i z e —Размер дейтаграммы.
6 l o w p a n . f r a g m e n t . c o u n t —Счетчик фрагментов сообщения.
6 l o w p a n . h c 2. u d p . l e n g t h —Длина.
6 l o w p a n . h o p s —Предел хопа.
6 l o w p a n . i p h c . ч л i м —Предел подъема.
6 l o w p a n . м e s h . h o p s —Хупы слева.
6 l o w p a n . n h c . e x t . l e n g t h —Длина подборщика.
6 l o w p a n . r e a s s e m b l e d . l e n g t h — Длина 6LoWPAN в собранном виде.
6 l o w p a n . u d p . l e n g t h —Длина.
4.2.3. Функции для информации с IPv6
i p v 6. f l o w —Этикетка потока.
i p v 6. f r a g m e n t . c o u n t —Счетчик фрагментов.
i p v 6. h l i m —Предел хопа.
i p v 6. o p t . c a l i p s o . c m p t . l e n g t h —Длина отсека.
i p v 6. o p t . j u м b o —Длина полезной нагрузки.
i p v 6. o p t . l e n g t h —Длина.
ipv6.opt.rpl.sender_rank — ранг отправителя.
i p v 6. p l e n —Длина полезной нагрузки.
i p v 6. r e a s s e m b l d l e n g t h —Собранная длина IPv6.
i p v 6. s h i m 6. l e n —Длина.
i p v 6. s h i m 6. o p t . e l e m l e n —Длина элемента.
i p v 6. s h i m 6. o p t . l e n —Длина.
ipv6.shim6.opt.total_len — общая длина.
4.2.4. Функции для получения информации из CoAP
coap.opt.block_size — размер закодированного блока.
c o a p . o p t . l e n g t h —Длина опций.
coap.opt.length_ext — параметры увеличенной длины.
coap.opt.max_age — максимальный возраст.
coap.token_len — длина токена.
c o a p . c o d e —Код состояния.
Как видно из предыдущего листинга, идентифицированные функции относятся к контексту различных протоколов связи, формирующих стандартизованный стек связи IoT [1], который мы ранее обсуждали.
4.3. Стратегия оценки
Классификаторы нашего подхода к обнаружению вторжений оцениваются на этапе обучения, и в этом контексте мы рассматриваем основные показатели производительности, в частности Accuracy , Recall (или True Positive Rate) , Precision . , Скорость ложных срабатываний и F_Measure , определяемая следующим образом:
FalsePositiveRate = FPFP + TP
F_Measure = 2 × Precision ∗ RecallPrecision + Recall
В предыдущих определениях TP представляет количество истинных положительных результатов. TN количество истинно отрицательных результатов, FN количество ложных отрицаний, FP количество ложных срабатываний и n количество рассмотренных наблюдений.Эти показатели производительности оцениваются с учетом матриц ошибок и кривых ROC (характеристик принимающего оператора) как в подходах с несколькими, так и в бинарных классах, которые мы приступаем к анализу.
4.4. Подход с использованием нескольких классов
Результаты, полученные в результате анализа файлов pcap, состоят из наблюдений, состоящих из массивов функций, организованных в виде прямоугольной матрицы. Такие наблюдения передаются на предварительную обработку данных, уменьшение размерности и обучение классификатора.Пропорция количества НОРМАЛЬНЫХ и ошибочных наблюдений (таким образом, возникших в результате неправильного поведения узла) составляет 2 к 1, таким образом, для каждых двух НОРМАЛЬНЫХ наблюдений мы наблюдаем одно ошибочное наблюдение.
Мы разделили задачу классификации на две задачи. Первый рассматривает четыре атаки и нормальное поведение узла, позволяя менеджеру безопасности узнать тип неправильного поведения, присутствующего в топологии, если таковое имеется. Ко второй проблеме подошли с точки зрения двоичной проблемы, и в этом случае цель диспетчера безопасности — просто обнаружить присутствие вторжения в сети.Два типа проблем могут дать разные результаты, поскольку классификатор будет учитывать, что для проблемы двоичного класса метка ERRONEOUS представляет собой комбинацию всех четырех меток неправильного поведения. Более того, алгоритм выделения признаков LDA учитывает метки наблюдений, которые различны для задач с несколькими и двоичными классами.
Мы использовали два алгоритма выделения признаков: анализ главных компонентов (PCA) и линейный дискриминантный анализ (LDA).Для обоих алгоритмов мы обучили классификаторы метрике оценки , Точность . Для PCA данные предварительно обрабатываются с помощью стандартного масштабатора, среднее значение 0 и стандартное отклонение 1. Характеристики данных сокращаются с помощью PCA до 3 компонентов с отбеливанием, и метод установлен на автоматический. Затем выполняется поиск в сетке лучших параметров классификатора SVM с K-кратным 3 и установкой метрики оценки на , Точность . В этом процессе мы использовали следующие ядра SVM: линейное, RBF, полиномиальное и сигмоидальное.Полученные результаты проиллюстрированы на рисунках и.
Задача с несколькими классами — SVM поиска по сетке с: ядром RBF, формой решающей функции «один против остальных», 30 итерациями и критерием оценки точности, матрицей неточностей ( a ) и кривыми ROC ( b ).
Задача с несколькими классами — SVM поиска по сетке с: сигмоидальным ядром, формой решающей функции «Один против остальных», 30 итерациями и критерием оценки точности, матрицей неточности ( a ) и кривыми ROC ( b ).
Для каждого рассматриваемого ядра лучшие параметры и результаты точности определяются поиском по сетке при ранее описанных условиях. Результаты, полученные в этом процессе, представлены в.
Таблица 1
SVM Параметры, полученные с использованием точности в качестве показателя оценки (ранее обрабатывались с помощью многоклассового PCA).
Подсчет очков Метрика: точность | |||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
C | Ядро | Итерации | Степень (Действительно только для полиномов) | Гамма | Coef0 | Функция принятия решения Форма | Точность4 | ‘линейный’ | 30 | 1 | 0,100000 | 0,000000 | ‘ovr’ | 0,212513 | |||||||||
0,957895 | ‘rbf14’ | 914 ‘ovr’0,509824 | |||||||||||||||||||||
0,410526 | ‘poly’ | 30 | 2 | 0,621053 | 0,105263 | ‘ovr’ | 0,283868200000 | ‘sigmoid’ | 30 | 1 | 0,194736 | 0,947368 | ‘ovr’ | 0,618408 |
Как мы видим, RBA, тем не менее, дает очень хорошие результаты ядра дали лучшие результаты на PCA с точки зрения точности, как показано в, с ~ 51% для ядра RBF и ~ 62% для сигмоидального ядра. Даже с двумя предыдущими лучшими ядрами с PCA были случаи 0% TP, что было НЕПРАВИЛЬНО ПРИНЯТО для ядра RBF и DoS ACK для сигмоидального ядра.Согласно кривым ROC предыдущих лучших ядер, RBF имеет в среднем более высокий уровень отзыва и F_Measure, чем сигмоидальный: 76% для атаки DoS ACK, как показано на b, по сравнению с 21% того же ядра, как в b. Лучший результат для сигмоидального ядра по сравнению с ядром RBF с точки зрения F_measure и Recall был с атакой WRONG ACCEPT, набрав 80% по сравнению с 48% для ядра RBF.
В нашей следующей оценке LDA используется с методом сингулярной декомпозиции и 6 компонентов.Опять же, данные предварительно обрабатываются с помощью стандартного масштабатора, среднее значение 0 и стандартное отклонение 1. Результаты показаны в и.
Задача с несколькими классами — SVM поиска по сетке с полиномиальным ядром, форма решающей функции «Один против остальных», 30 итераций и критерий оценки точности, матрица неточностей ( a ) и кривые ROC ( b ).
Задача с несколькими классами — SVM поиска по сетке с сигмоидальным ядром, форма решающей функции «Один против остальных», 30 итераций и критерий оценки точности, матрица неточности ( a ) и кривые ROC ( b ).
Для каждого ядра наилучшие параметры и результаты точности определяются поиском по сетке при ранее описанных условиях. Результаты, полученные в этом процессе, представлены в.
Таблица 2
SVM Параметры, полученные с использованием точности в качестве показателя оценки (ранее обрабатывались с помощью мультиклассового LDA).
Подсчет очков Метрика: точность | |||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
C | Ядро | Итерации | Степень (действительно только для полиномов) | Гамма | Coef0 | Функция принятия решения Форма | Точность | 44 0406452632 | ‘линейный’ | 30 | 1 | 0,100000 | 0,000000 | ‘ovr’ | 0,2 |
0,578947 | 'rbf14' | 914914 'ovr' | 0,632368 | ||||||||||||
0.200000 | 'poly' | 30 | 1 | 0,147368 | 0,000000 | 'ovr' | 0, | 'sigmoid' | 30 | 1 | 0,100000 | 0,000000 | 'ovr' | 0,753361 |
Как можно видеть, результаты кластеризации в терминах PCA лучше, чем данные по каждому из классов. Применяя поиск по сетке с теми же ядрами, полиномиальное ядро степени 1 достигает общей точности ∼93%, что соответствует линейному ядру, по сравнению со вторым лучшим ядром, которое является сигмоидальным, с точностью ∼75%, как и виден в.Фактически, сигмоидальное ядро давало TP 0% для всех атак, кроме DoS FREQ, с почти 50% среднего для остальных атак. Кривые ROC для полиномиального случая также дали очень высокие баллы Recall и F_Measure , с минимумом 90% для атаки DoS FREQ.
4.5. Проблемный подход двоичного класса
Мы продолжим обсуждение результатов, полученных с помощью подхода на основе задачи двоичного класса. Для этого подхода мы рассмотрели следующие две метки в нашей оценке: НОРМАЛЬНЫЙ с меткой «0» и ОШИБКА с меткой «1».Для этого подхода мы используем только наиболее точный метод извлечения признаков, основанный на ранее полученных мультиклассовых результатах, а именно LDA. Применяется метод сингулярной декомпозиции и двух компонент. Еще раз, данные предварительно обрабатываются с помощью стандартного масштабатора со средним значением 0 и стандартным отклонением 1. Характеристики данных сокращаются с помощью LDA до 2 компонентов, и для метода устанавливается декомпозиция по сингулярным значениям (SVD). Затем выполняется поиск в сетке лучших параметров классификатора SVM с K-кратным 3 и установкой метрики оценки на , Точность .Мы используем следующие ядра SVM: линейное, RBF, полиномиальное и сигмоидальное, и полученные результаты проиллюстрированы в и.
Задача двоичного класса - SVM поиска по сетке с полиномиальным ядром, форма решающей функции «Один против остальных», 30 итераций, с критерием оценки точности, Матрица путаницы ( a ) и кривые ROC ( b ).
Задача двоичного класса - SVM поиска по сетке с сигмоидальным ядром, форма решающей функции «Один против остальных», 30 итераций и критерий оценки матрицы неточности ( a ) и кривые ROC ( b ).
Для каждого ядра лучшие параметры и результаты точности определяются поиском по сетке при ранее описанных условиях. Соответствующие результаты представлены в. Как можно заметить, сигмоидальное ядро способно точно классифицировать НОРМАЛЬНЫЕ наблюдения с коэффициентом ложных срабатываний 1%, как можно видеть на a, хотя и с количеством ложноотрицательных результатов 20%. Для полиномиального ядра существует 0% ложноотрицательных и 28% ложных срабатываний, как можно наблюдать в файле. С точки зрения запоминания, и полиномиальное, и сигмоидальное ядра дают аналогичные результаты, полиномиальное на 2% опережает сигмоидальное, как это видно на b и b.
Таблица 3
SVM Параметры, полученные с использованием точности в качестве показателя оценки (ранее обрабатывались с помощью LDA двойного класса).
Подсчет очков Метрика: точность | |||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
C | Ядро | Итерации | Степень (действительно только для полиномов) | Гамма | Coef0 | Функция принятия решения Форма | Точность | 44 0406200000 | 'линейный' | 30 | 1 | 0,100000 | 0,000000 | 'ovr' | 0,858325 |
0.200000 | 'rbf'47 | 9144 914 9144 914 | 914 914914 'ovr' | 0,830403 | |||||||||||
0, | 'poly' | 30 | 3 | 0,621053 | 0,000000 | 'ovr' | 0,814238 | 0,8142380000 | 'sigmoid' | 30 | 1 | 0,32 | 0,315710 | 'ovr' | 0,4 |
В заключение, из нашего предыдущего обсуждения мы можем отметить, что - алгоритмы обработки и обучающие классификаторы для построения модели вторжений в соответствии с подходами мульти- и бинарных классов. Как мы наблюдали из результатов нашей экспериментальной оценки, для подхода с несколькими классами проблем предлагаемая система способна различать четыре типа реализованных сценариев некорректного поведения и достигать точности 93% для лучшего классификатора SVM с точность в качестве показателя оценки и при использовании LDA для извлечения признаков.Что касается подхода к проблеме бинарного класса, то с учетом лучших параметров SVM классификация НОРМАЛЬНОГО и ОШИБОЧНОГО поведения может достигать точности 92%, а F_Measure - 98%.
5. Выводы и дальнейшая работа
В этой статье мы предложили структуру IDS для обнаружения и предотвращения атак в сетях CoAP, интегрированных в Интернет, и в контексте этой структуры мы оценили эффективность использования на основе аномалий обнаружение вторжений для предотвращения DoS-атак на такие коммуникационные среды.С практической точки зрения внедрения системы IDS в приложениях обнаружения CoAP, интегрированных в Интернет, крайне важно предотвратить максимальное количество вторжений, насколько это возможно, и в то же время обеспечить низкий уровень ложных срабатываний, даже если это будет происходить за счет увеличения количества ложных срабатываний. . Это необходимо учитывать при поиске максимальной точности, и, исходя из наших результатов, мы можем также принять во внимание, что в случае, если менеджер безопасности заинтересован и способен идентифицировать конкретные атаки, подход с использованием нескольких классов является подходящим, поскольку результаты показать, что линейное ядро или полиномиальное ядро имеют лучшие результаты в отношении точности.С другой стороны, подход бинарного класса хорошо подходит для захвата максимально возможного количества аномального (ОШИБОЧНОГО) поведения. В целом, мы считаем, что результаты, полученные в результате нашей экспериментальной оценки, показывают, что обнаружение вторжений на основе аномалий жизнеспособно для защиты коммуникационных сред 6LoWPAN и CoAP от внутренних атак и атак из Интернета, направленных против безопасности и стабильности устройств.
Хотя в качестве классического алгоритма использовалась только SVM, предлагаемая система может быть расширена за счет включения дополнительных алгоритмов, таких как K-NN, нейронные сети или случайные леса.Таким образом, реализация и оценка таких альтернативных алгоритмов в контексте предлагаемой структуры является частью наших планов по проведению дальнейших исследовательских работ в этой области. Включение других алгоритмов также предоставит возможность оценить масштабируемость предлагаемой системы с использованием моделей машинного обучения, которые более требовательны к вычислительным ресурсам, таким как задержка, хранение и вычислительные затраты. Кроме того, с более практической точки зрения реализации, еще один аспект, на который мы планируем обратить внимание, связан с тем, как в настоящее время рассчитываются функции.Вычислительную эффективность на этом этапе, безусловно, можно повысить, разработав приложение для расчета характеристик непосредственно из захваченных данных. Дополнительные вторжения также будут рассмотрены в будущих разработках, особенно в отношении атак, направленных на подрыв правил использования и семантики протокола CoAP внутренними или внешними злоумышленниками.
Эффективная фильтрация сетевого трафика для мультитенантных сотовых сетей IoT
Интернет вещей (IoT) является ключевым бизнес-фактором для будущих мобильных сетей пятого поколения (5G), которые, в свою очередь, позволят использовать многочисленные инновационные приложения IoT, такие как умный город, мобильное здоровье и другие массовые варианты использования Интернета вещей, определенные в стандартах 5G.Чтобы по-настоящему раскрыть скрытую ценность таких критически важных приложений IoT в крупном масштабе в эпоху 5G, в сетях узкополосного Интернета вещей (NB-IoT) на основе 5G предусмотрены расширенные возможности самозащиты для эффективного отражения кибератак, таких как: широко распространенные атаки распределенного отказа в обслуживании (DDoS). Однако в этой важной области было проведено недостаточно исследований, в частности, очень мало решений, если вообще есть, способны справиться с множественным инкапсулированным трафиком 5G для управления безопасностью IoT.В этом документе предлагается и прототипируется новая структура безопасности для достижения желаемых возможностей самоорганизующихся сетей для защиты виртуализированного, многопользовательского трафика Интернета вещей на основе 5G через автономный контур управления с эффективной фильтрацией трафика с учетом 5G. Эмпирические результаты подтвердили дизайн и реализацию и продемонстрировали эффективность предлагаемой системы, которая способна обрабатывать тысячи правил фильтрации трафика с учетом 5G и, таким образом, обеспечивает своевременную защиту от крупномасштабных атак.
1. Введение
Приложения Интернета вещей (IoT) широко рассматриваются в качестве основного варианта использования в будущих мобильных сетях пятого поколения (5G) и будут составлять четверть из 41 миллиона подключений 5G в мире в 2024 году [ 1]. Между тем безопасность является главной проблемой при крупномасштабном развертывании Интернета вещей, которое подвержено новым, разрозненным видам угроз и атак. Ограниченный характер устройств IoT с точки зрения памяти, вычислений и мощности, а также необслуживаемая, всеобъемлющая и динамическая сетевая среда делает их привлекательными для злоумышленников.В IoT начинают появляться различные типы развитых кибератак, например, атаки распределенного отказа в обслуживании (DDoS), основанные на зараженных ботах [2, 3]. Например, в результате атаки Mirai в 2016 году основные веб-сайты были уничтожены посредством массовых DDoS-атак с использованием сотен тысяч скомпрометированных устройств IoT [4]. Протоколы глобальной сети с низким энергопотреблением (LPWAN), используемые в сценариях IoT, такие как NB-IoT [5], определенные в версии 3GPP 13 [6], не являются идеальными средами для проведения DDoS-атак на основе высокоскоростных атак методом грубой силы из-за с их связанной низкой скоростью передачи данных (восходящая линия 60kpps).Тем не менее, варианты DDoS-атак, основанные на низкоскоростных методах [7], идеально подходят для этих сред, поскольку они используют такие методы, как отправка частичных HTTP-запросов, отправка небольших пакетов или удержание сеансов открытыми от перехода в состояние ожидания простоя.
Аналогичным образом, некоторые другие виды атак, например, основанные на несанкционированном доступе или утечке данных, трудно обнаружить и смягчить. Зараженные устройства IoT могут раскрывать личные личные данные своих владельцев, такие как локализация, идентификационные данные владельца или даже видео с их избранных видеокамер.К сожалению, механизмы безопасности и конфиденциальности сложно реализовать на конечном устройстве, и поэтому сетевая инфраструктура должна быть готова к самозащите всей сети и системы, не обязательно вовлекая потенциально вредоносное устройство IoT.
Таким образом, для динамического противодействия этим киберугрозам в сети IoT с поддержкой 5G оператору сети может потребоваться фильтровать, зеркалировать, перенаправлять и дифференцировать пакеты IoT в сети пограничного доступа и в ядре сети. сеть 5G.В идеале этот контроль и управление трафиком должны выполняться соответствующим образом на любом уровне инкапсуляции пакетов, необходимом в сетях LTE / 5G. Это может включать в себя мультиинкапсуляцию, необходимую для поддержки мобильности пользователя и изоляции несущей, любое поле внутренних заголовков пакетов, арендатора, с которым связано устройство IoT, или даже любое поле конкретного протокола IoT, например, протокол ограниченного приложения ( CoAP) [8], который, в частности, используется затронутым устройством IoT.
Сетевые операторы должны иметь возможность предлагать передовые решения «Безопасность как услуга», используя гибкость, обеспечиваемую программно-определяемой сетью (SDN) и виртуализацией сетевых функций (NFV), для динамического обнаружения киберугроз и соответствующего реагирования, надлежащие и своевременные меры противодействия, будь то в ядре или на границе сети, включая динамическое применение соответствующих правил фильтрации для отбрасывания вредоносного трафика, исходящего от множества устройств IoT.
Растущее число технологий, использующих виртуализацию сети, где трафик обычно инкапсулируется для поддержки услуг с несколькими несущими 5G, ставит задачу эффективного управления инкапсулированным трафиком. Как и в LTE и 5G, трафику NB-IoT может потребоваться справиться с мобильностью интеллектуальных объектов, что предполагает работу с другим уровнем инкапсуляции, например, через протокол туннелирования (GTP) службы пакетной радиосвязи общего назначения (GPRS).
В базовой сетевой среде и с использованием предопределенных фильтров сопоставления, таких как Linux Netfilter, каждый пакет будет проходить все правила фильтрации, пока не будет найдено правило.Это будет охватывать заголовки уровня 3 и уровня 4, а также полезную нагрузку уровня приложения, когда используется l7-filter. Действительно, различные исследования функциональных усовершенствований для эффективной фильтрации трафика уже проводились в современном состоянии [9–12]. Однако по-прежнему отсутствуют механизмы фильтрации, способные выполнять фильтрацию трафика в сценариях с несколькими несущими и мобильности для трафика IoT, способных справиться с требованиями инкапсуляции, налагаемыми как граничными, так и основными сетевыми сегментами многопользовательских сетей 5G, способных выполнять трафик. фильтрация и глубокая проверка пакетов в трафике NB-IoT.Более того, отсутствует структура безопасности, которая может помочь управлению безопасностью, чтобы обеспечить возможности самовосстановления и самовосстановления для сетей NB-IoT, динамически адаптируя фильтрацию сетевого трафика к текущим контекстным условиям.
Предлагаемый нами механизм фильтрации в этой статье позволяет проверять и анализировать трафик без необходимости создавать какие-либо туннельные интерфейсы для деинкапсуляции трафика. Он позволяет выполнять фильтрацию за пределами первого инкапсулированного уровня и работать с любым пакетом и заголовком любого внутреннего инкапсулированного трафика, чтобы соответствовать требованиям к мобильности и многопользовательской среде виртуализированных сетей 5G.Предикаты фильтрации позволяют классифицировать пакеты в пространстве ядра Linux на основе любых полей пакета в любом заголовке и инкапсулированном пакете. Преимущества многочисленны, включая масштабируемость, производительность и гибкость, поскольку нет необходимости создавать туннельный интерфейс для выполнения деинкапсуляции, а фильтрация трафика в пространстве ядра обеспечивает эффективный подход.
Кроме того, предложенный механизм фильтрации был интегрирован в структуру безопасности для достижения устойчивости и автономной реконфигурации правил фильтрации для противодействия кибератакам как низкоскоростным DDoS-атакам.
Вклады этого документа разнообразны: (i) представлена новая структура безопасности с автономным контуром управления, позволяющая обеспечить самозащиту на основе самоорганизующихся сетей. (Ii) В данной статье особое внимание уделяется подходу фильтрации трафика с учетом инкапсуляции. разработан для виртуализированных сетей IoT с несколькими несущими, узкополосных сетей и сетей IoT с поддержкой 5G. (iii) Представлен прототип метода глубокой проверки пакетов с использованием механизма пространства ядра для полного контроля инкапсулированного трафика, необходимого в виртуализированных сетях NB-IoT. .(iv) Механизм фильтрации был интегрирован в архитектуру автономного управления и управления безопасностью, разработанную в результате совместного сотрудничества двух проектов ЕС h3020: Anastacia (в области безопасности Интернета вещей) [13] (h3020 Anastacia: http://anastacia-h3020.eu/ ) и SELFNET (в управлении 5G) [14] (h3020 SELFNET: https://selfnet-5g.eu/).(v)Эмпирическая оценка производительности предлагаемой системы представлена и проанализирована на реалистичном виртуализированном NB, совместимом с 5G. -Сетевая инфраструктура Интернета вещей.
Остальная часть статьи организована следующим образом.В Разделе 2 мы анализируем предысторию методов фильтрации, а также научную работу в области исследований. Раздел 3 знакомит с NB-IoT, используемым в виртуализированных архитектурах 5G, и излагает требования к фильтрации для сетей NB-IoT с несколькими несущими и виртуализированных сетей 5G. В разделе 4 дается обзор структуры управления. Реализация и стенд для тестирования представлены в разделе 7. В разделе 8 представлены результаты экспериментов с точки зрения эффективности, пригодности и масштабируемости. Выводы и дальнейшие исследования приведены в Разделе 9.
2. Предпосылки и сопутствующие работы
Несмотря на значительное количество связанных работ в области безопасности IoT, до сих пор нет решения с точки зрения тракта передачи данных 5G, где новое технологическое продвижение этой новой парадигмы требует наличия механизмов, способных чтобы иметь дело с вложенной инкапсуляцией. Кроме того, как объяснялось в предыдущем разделе 1, рабочая группа 5G PPP также выделяет возможность динамической самоадаптации всей сети в качестве одной из своих основных функций.Таким образом, обеспечение динамического управления и реконфигурации системы - это функция, которую очень немногие исследования учитывали, и еще меньше изучали структуру с автоматическим контуром управления для организации политик безопасности. Ссылки [15–17] являются единственными исследованиями в данной области техники, в которых вложенная инкапсуляция 5G была достигнута с использованием методов фильтрации ядра, программируемых аппаратных интерфейсов и расширенной версии системы обнаружения вторжений (IDS), соответственно. Однако эти исследования далеки от перспективы Интернета вещей, и не было представлено никакой основы когнитивного управления.В других исследованиях, таких как [18], использовались методы декапсуляции и реинкапсуляции для фильтрации внутренних слоев трафика, создаваемого сетями LTE и 5G. Тем не менее, такой подход исключает поддержку мобильности устройств через инфраструктуру, хотя поддержка мобильности необходима для мобильных сетей 5G. Работа в [19] - одно из тех нечастых исследований безопасности в IoT, где представлена структура, использующая программно-определяемые сети для ограничения потоков трафика устройств. Однако, несмотря на то, что в этой работе реализованы автоматизированные методы выявления уязвимых устройств и их изоляции от остальных устройств пользователей путем создания правил принудительного применения OpenFlow (OF-rule), в нем нет возможности 5G для работы с многопользовательским трафиком и трафиком мобильных устройств.Для сокращения капитальных и эксплуатационных расходов с точки зрения операторов в мобильных сетях следующего поколения используются технологии программной обработки и виртуализации. Таким образом, развертывание и создание сервисов становятся гибкими и гибкими. Эта функция становится чрезвычайно важной, когда целью является обеспечение масштабируемого подхода. В [20] авторы представляют платформу 5G для приложений IoT, и эта платформа может при необходимости развертывать виртуализированные периферийные вычисления с множественным доступом (vMEC).В [21] иерархическая структура IoT настраивается с использованием нескольких головок кластера, которые могут обрабатывать несколько узлов датчиков. Предполагается, что голова кластера имеет больше вычислительной мощности и энергетических ресурсов, чем узел. В таком случае сенсорный узел сначала передает данные трафика в соответствующую головку кластера, а затем головная часть кластера пересылает данные на центральный сервер. Из таблицы 1 видно, что ни одна из представленных связанных работ не смогла обеспечить одновременную поддержку нескольких арендаторов, поддержку мобильности, поддержку IoT, фильтрацию на уровне приложений и динамическое управление, основанное на автономной структуре.Ни один из них не рассматривал вложенную инкапсуляцию для создания правил фильтрации безопасности IoT на границе / ядре сети. Насколько нам известно, этот вклад является первым, который может предоставить эти возможности одновременно и развернуть детализированные действия для борьбы с подобными сложными атаками на границе / ядре сети 5G благодаря продвинутой трансверсальной поддерживаются возможности фильтрации. В обычных сетевых сценариях IDS часто используются для оценки надежности сетевых узлов и выявления вредоносных узлов IoT путем мониторинга их трафика или поведения [22, 23].После обнаружения вредоносного трафика можно использовать несколько методов фильтрации в качестве брандмауэра.
|
2.1. Методы фильтрации
Сложность природы сетей 5G требует глубокой проверки пакетов (DPI) для дальнейшего изучения структуры пакетов. DPI позволяет приложению просматривать полезную нагрузку данных, когда пакеты проходят точку проверки. Следовательно, в полезной нагрузке могут быть обнаружены несовместимый протокол, вирусы, спам или другой вид полезной информации, и затем решается, должен ли пакет пройти или нет, или его следует направить в другое место назначения. Чтобы получить сигнатуру, которая представляет конкретное сетевое приложение, инструменты и методы полагаются на простые механизмы, которые в основном сравнивают содержимое полезной нагрузки пакета с набором строк [24–26].Позже методы DPI заменили наборы строк регулярными выражениями для обработки проверки пакетов натощак [27, 28]. Подробный обзор и сравнение литературы по инструментам и методам, необходимым для разработки современных систем DPI, представлен в [29]. В рамках дополнительных исследований была изучена эффективность фильтрации трафика и предложены новые функциональные улучшения по сравнению с традиционными межсетевыми экранами. В работе [9] применяется статистика, собранная из сегментов политики, с целью создания деревьев Хаффмана, которые динамически адаптируются к статистике трафика и, в конечном итоге, улучшают среднее время фильтрации.Другие методы полагаются на раннее отклонение пакетов для повышения производительности, например, предложенный в [10]. Его можно развернуть поверх любого механизма фильтрации для предварительной фильтрации нежелательного дорогостоящего трафика. Некоторые другие работы, такие как [11], выполняют переупорядочение правил и полей правил на основе вычисления гистограмм правил сопоставления пакетов. В [12] предлагается межсетевой экран расширенного дерева для обработки отклонения и приема пакетов и может выполнять переупорядочение расширяемых фильтров на основе статистической модели, которая использует характеристики трафика.Open vSwitch (OVS) (Open vSwitch, http://www.openvswitch.org) - это программный коммутатор, отвечающий за обеспечение сетевого подключения к виртуальным машинам. Поскольку он является программируемым, он дает возможность применять правила фильтрации с использованием стандартных протоколов, таких как OpenFlow (ссылка на спецификацию Open Networking Foundation [30]), и, таким образом, обеспечивает отделение плоскости данных от плоскости управления. Недостатком является то, что OVS поддерживает только ограниченное количество протоколов. Хотя каждый новый выпуск этого программного обеспечения добавляет поддержку новых полей или протоколов, каждая версия требует изменений повсюду, и, следовательно, требуется новый процесс сборки, распространения и установки.Это причина того, что новые подходы, такие как представленный в [31] и Tu William et al. [32] имеют цель уменьшить проблемы совместимости между различными версиями ядра и версиями OVS и обеспечить поддержку новых протоколов без перекомпиляции. С этой целью предлагается язык высокого уровня для программирования независимой от протокола обработки пакетов, такой как P4 (P4 Language Consortium, https://p4.org/), а путь данных OVS полностью реализован с использованием расширенного фильтра Беркли (eBPF) для отделение функциональных возможностей канала данных OVS от версий ядра.Следовательно, с помощью компилятора, который принимает P4 и испускает eBPF, можно будет создавать новые поля / протоколы без необходимости изменения версии OVS. Другой подход к фильтрации заключается в использовании методов сопоставления байтов. Для обеспечения возможности динамической проверки полезной нагрузки сообщения Дон Коэн [33] добавил новое расширение сопоставления Netfilter под названием u32. u32 позволяет переключаться между заголовками и выбирать определенный диапазон байтов для проверки. Функция совпадения u32 указывает модулю извлечь 32 бита (4 байта) из пакета в любом указанном месте и сравнивает его с заданным значением.Если поле, которое необходимо извлечь, меньше 32 бит, извлеченные данные маскируются и сдвигаются. Кроме того, он также включает метод вычисления переменной длины заголовка для решения проблемы заголовков динамического размера в таких протоколах, как IP или TCP. Недостатком является то, что u32 допускает не более 100 символов на предикат, что является серьезным ограничением при работе с инкапсулированным трафиком, когда значительное количество заголовков добавляется в стеки протоколов. Точно так же BSD Packet Filter (BPF) [34] представляет собой механизм фильтрации с сопоставлением байтов, который обеспечивает эффективный способ фильтрации пакетов в пространстве ядра.BPF доступен в большинстве операционных систем Unix и обеспечивает функциональность, аналогичную модулю u32, но без ограничений размера фильтрации. BPF также доступен с помощью программы пользовательского пространства под названием iptables, которая позволяет настраивать межсетевой экран ядра Linux, реализованный в Netfilter [35]. Iptables использует набор таблиц для проверки, изменения, пересылки, перенаправления и / или отбрасывания пакетов. Основные функции Netfilter связаны с каждой из этих таблиц. Несмотря на успехи в соответствующей работе, существующие инструменты не могут справиться с фильтрацией трафика в виртуализированных сетях 5G, где трафик от разных клиентов (с несколькими операторами / операторами) должен быть инкапсулирован, чтобы различать их пользователей, а сценарии мобильности накладывают другой уровень инкапсуляция обрабатывается в брандмауэре.Предлагаемое в этом документе решение управления фильтрацией позволяет динамически обрабатывать сетевой трафик 5G в соответствии с решениями, принятыми автономной структурой безопасности, и основано на BPF в качестве основного механизма фильтрации для эффективной обработки трафика NB-IoT в сетях с поддержкой 5G. Важно подчеркнуть, что хотя BPF является хорошо известным механизмом, то, как он используется в этой публикации, подчеркивает его возможности для работы с самой сложной структурой пакетов, которую можно увидеть в новых инфраструктурах мобильной сети 5G.
3. Сети NB-IoT в виртуализированных и мультиарендных развертываниях 5G
3.1. Предварительные сведения о NB-IoT
3GPP в версии 13 [6, 36] определил новый интерфейс сотового радиодоступа под названием Narrowband Internet of Things (NB-IoT), который оптимизирован для трафика машинного типа. Спецификация старается быть как можно более простой, чтобы минимизировать потребление энергии, что имеет решающее значение для сценариев IoT, учитывая также трудности в условиях радиосвязи, присутствующие в этих экосистемах.NB-IoT тесно связан со спецификацией LTE. Действительно, он был интегрирован в стандарт LTE, и, следовательно, он также может быть интегрирован с виртуализированными и многопользовательскими архитектурами с поддержкой 5G, как это будет показано в следующем разделе.
Спецификация NB-IoT минимизирует накладные расходы на радиосвязь и позволяет доставлять данные IP и не IP. Как видно на рисунке 1, NB-IoT представляет две новые оптимизации по сравнению с традиционной сетью LTE для сотового Интернета вещей (CIoT), а именно, пользовательский уровень CIoT (сплошные линии на рисунке) и уровень управления CIoT ( пунктирные линии на рисунке).Плоскость управления добавляет новую функцию раскрытия возможностей службы (SCEF), специфичную для Интернета вещей, для доставки не-IP-данных через плоскость управления и предоставляет абстрактный интерфейс для сетевых служб, таких как аутентификация, контроль доступа или обнаружение. Чтобы сделать это возможным, объект управления мобильностью, существующий в традиционном LTE для работы с мобильностью пользователей, расширен новым интерфейсом T6a, позволяющим пересылать не-IP-трафик IoT. CIoT пользовательской плоскости позволяет пересылать трафик данных, как в традиционном LTE, через обслуживающий шлюз (SGW) и шлюз PDN (PGW).
Технология NB-IoT использует лицензионную полосу в полосе частот 180 кГц, используя один блок ресурсов (либо в защитной полосе, либо внутри полосы) для передач LTE. Это обеспечивает максимальную скорость пользователя до 30/60 (DL / UL) кбит / с. NB-IoT не поддерживает передачу обслуживания в подключенном состоянии, и поддерживается только повторный выбор ячейки в состоянии ожидания. Он предназначен для обеспечения сетевого подключения к устройствам Cat-M1, которые отправляют небольшой объем данных и не чувствительны к задержкам. Следовательно, он не поддерживает QoS напрямую.Предполагается, что устройства какое-то время будут активны, а затем перейдут в режим ожидания в режиме энергосбережения (PSM) для экономии заряда батареи. Он поддерживает оптимизацию уровня доступа (AS), называемую RRC, которая позволяет свести к минимуму сигнализацию, необходимую для приостановки / возобновления соединения плоскости пользователя.
3.2. Интеграция NB-IoT в виртуализированные архитектуры 5G
На рисунке 2 изображена предполагаемая функциональная архитектура NB-IoT, интегрированная в предстоящие выпуски 5G 3GPP. Из-за новизны предлагаемой архитектуры 5G на рисунке в скобках показана взаимосвязь между новыми архитектурными компонентами 5G и существующими компонентами LTE.Он был адаптирован на основе анализа всех текущих усилий по стандартизации, исходящих от NB-IoT, 5G RAN, архитектуры 5G, и естественного способа их объединения.
Также стоит упомянуть, что 5G предлагает детальное функциональное разделение требуемой функциональности инфраструктуры 5G и использования готовых коммерческих компьютеров, а не специализированного оборудования, чтобы минимизировать капитальные и эксплуатационные расходы. расходы. Предполагаемая архитектура состоит из следующих архитектурных компонентов: (i) Распределенный блок (DU) и централизованный блок (DU) являются архитектурными компонентами сети радиодоступа (RAN), и они представляют собой аналогию с точки зрения функциональности существующей LTE. RRH (Remote Radio Head) и Base Band Unit (BBU) соответственно.5G предлагает функциональное разделение RAN, способствуя динамическому разделению слоев в стеке RAN. Это достигается путем развертывания протоколов стека в двух архитектурных компонентах DU и CU в соответствии с требованиями развертывания и рассматриваемым вариантом использования. Следует отметить, что CIoT указывает на поддержку интерфейса радиодоступа спецификаций NB-IoT. (Ii) Функция доступа и мобильности (AMF) обеспечивает аутентификацию, авторизацию и управление мобильностью пользовательского оборудования (UE).(iii) Функция управления сеансом (SMF) отвечает за управление сеансами и распределяет IP-адреса для UE. Он также отвечает за выбор и управление функцией переадресации на уровне пользователя (UPF) для передачи данных. (Iv) Функция сервера аутентификации (AUSF) хранит данные для аутентификации UE. (V) Управление данными пользователя (UDM) хранит данные о подписка UE. (vi) Перенаправление пользовательской плоскости (UPF) является якорем мобильности для мобильности UE и отвечает за пересылку трафика UE назад и вперед в Интернет.(vii) Функция раскрытия возможностей службы (SCEF) доставляет данные, не относящиеся к IP, через плоскость управления и предоставляет абстрактный интерфейс для сетевых служб, таких как аутентификация, контроль доступа или обнаружение.
Еще одним ключевым аспектом архитектуры 5G является программная обработка и безопасное использование совместно используемых ресурсов с несколькими арендаторами, что способствует сокращению как капитальных, так и эксплуатационных затрат. Однако эта мобильность и поддержка нескольких арендаторов для различных операторов связи и операторов электросвязи в сети предъявляют новые требования к фильтрации сетевого трафика, и это было основным мотивом этого вклада.
Следует отметить, что исчерпывающее объяснение всех архитектурных элементов 5G и их опорных точек приведено в [39].
3.2.1. Требования к фильтрации сетевого трафика в сетях IoT с поддержкой 5G
Существует ряд конкретных требований к фильтрации сетевого трафика в сетях IoT 5G, перечисленных ниже: (i) Поддержка нескольких арендаторов : в архитектурах 5G функциональные блоки сети виртуализированы поскольку VNF и различные сетевые операторы, операторы связи и вертикали могут совместно использовать физическую инфраструктуру.Пакеты должны быть инкапсулированы (например, в VXLAN), чтобы различать трафик между ними из соображений управления и безопасности. Система фильтрации должна иметь дело с этой инкапсуляцией. (Ii) Поддержка мобильности : сети LTE и 5G зависят от мобильности UE и, в этом случае, от мобильности устройств IoT. Хотя в NB-IoT передача обслуживания не поддерживается на этапе подключения, повторный выбор ячейки поддерживается в состоянии ожидания. Мобильность в архитектурах 5G означает, что пакеты необходимо инкапсулировать в направлении компонента привязки мобильности (UPF в 5G), например.г., используя протокол GTP. Фильтр трафика должен иметь возможность напрямую обрабатывать эти заголовки инкапсуляции. (Iii) Фильтрация на уровне приложений : система фильтрации сетевого трафика должна позволять фильтровать пакеты для любого заголовка / поля любого протокола стека OSI, включая уровень приложений IoT. протоколы, такие как CoAP [8]. (iv) Масштабируемость : несмотря на то, что NB-IoT является протоколом глобальной сети с низким энергопотреблением (LPWAN), который требует низкой скорости передачи данных, CIoT-RAN и ядро 5G сети нужно будет справляться с пакетами массивных устройств IoT.Следовательно, сетевые фильтры должны будут эффективно управлять процессом фильтрации пакетов для множества устройств. (V) Динамическое управление : сети IoT непостоянны, и трафик может изменяться в условиях безопасности. Следовательно, структура управления должна автоматически адаптировать политики фильтрации безопасности, динамически применяя и выводя из эксплуатации правила в соответствии с фактическим контекстом, полученным в результате мониторинга в реальном времени. Это динамическое и интеллектуальное управление требует использования программных технологий управления сетью и виртуализации сетевых функций (NFV) для обработки такой адаптации.(vi) Различие восходящего / нисходящего каналов : архитектуры 5G требуют наличия двух разных идентификаторов конечных точек туннеля (TEID) для каждого пользователя, которые должны обрабатываться структурой управления и агентом фильтрации. (vii) Вложенная инкапсуляция : агент фильтрации необходимо поддерживать вложенную инкапсуляцию для одновременной обработки инкапсуляции трафика как для мобильности, так и для многопользовательской среды.
4. Cognitive NB-IoT Management Framework
Предлагаемая архитектура опирается на технологии SDN и NFV, инструменты мониторинга и реагирования, когнитивные компоненты, а также различные средства обеспечения безопасности и агентов для обеспечения самозащиты, самовосстановления и самовосстановления. возможности восстановления в сетях и системах IoT.Он следует подходу к управлению безопасностью на основе политик, чтобы обеспечить функциональную совместимость и более высокую гибкость для управления средствами контроля безопасности в гетерогенных сетях, включая сети IoT, совместимые с 5G. Необходимые меры безопасности могут быть реализованы либо непосредственно в физических сетях IoT, либо в виртуальных и программных устройствах. На рисунке 3 показана предлагаемая архитектура управления безопасностью.
Панель администрирования включает соответствующие API-интерфейсы, инструменты и графические интерфейсы для поддержки администраторов при определении намерений высокого уровня в отношении политик безопасности.Редактор политик, размещенный в плоскости, предоставляет удобный инструмент для настройки политик безопасности с использованием языка политик безопасности высокого уровня, для управления конфигурацией системы и сети, включая не только фильтрацию сетевого трафика, но также аутентификацию, авторизацию, защиту канала. , и действия по управлению трафиком.
Плоскость согласования безопасности отвечает за развертывание и обеспечение соблюдения политик безопасности на компонентах и компонентах обеспечения безопасности с учетом политик, обеспечивая реконфигурацию во время выполнения и адаптацию средств обеспечения безопасности, благодаря чему структура наделена динамизмом и интеллектом, необходимыми для возможности самовосстановления и самовосстановления.Оркестратор обеспечивает автономную адаптацию в соответствии с решениями, полученными от компонента реакции.
Модуль Policy Interpreter играет ключевую роль в уточнении политик безопасности. Политики высокого уровня сначала переводятся на язык политик безопасности среднего уровня, который позволяет определять рабочие процессы, связанные с процедурами безопасности, независимым от технологий способом. Затем эти политики уточняются в конкретных низкоуровневых конфигурациях в соответствии с выбранными активаторами.Процесс уточнения политики подробно описан в нашей предыдущей статье [40].
Компонент мониторинга собирает в реальном времени информацию, включая отчеты о безопасности, относительно базовой управляемой инфраструктуры, как физической, так и виртуализированной. Его цель - предупредить модуль реакции, когда что-то выходит из строя. Зонды безопасности, такие как IDS и зонды мониторинга потоков и ресурсов, развертываются в доменах инфраструктуры SDN, NFV и IoT для обратной связи с сервисами мониторинга.
Затем компонент реакции отвечает за обеспечение соответствующих контрмер в соответствии с состоянием модели системы и информацией мониторинга от компонента мониторинга. Он включает в себя когнитивный механизм, отвечающий за предоставление информации для структуры управления, например, путем выбора политик адаптации или намерений, хранящихся в соответствующем репозитории, и путем требования перенастройки средств обеспечения безопасности, чтобы справиться с обнаруженной атакой / угрозой.
Security Orchestrator контролирует оркестровку средств обеспечения безопасности, которые должны быть развернуты на уровне обеспечения безопасности (будет введено), в соответствии с требованиями политики.Кроме того, во время выполнения он анализирует результаты реакции и организует соответствующие контрмеры. Таким образом, общая структура нацелена на достижение возможностей самовосстановления и отказоустойчивости путем постоянного обеспечения удовлетворения требований безопасности, определенных в политиках конечных пользователей.
Плоскость обеспечения безопасности разделена на три основных домена. Домен контроля и управления контролирует использование ресурсов и оперативные операции средств обеспечения безопасности, развернутых в программных сетях и сетях IoT.Контроллеры SDN отвечают за связь с сетевыми элементами с поддержкой SDN для управления подключением в виртуальной и физической инфраструктуре. В этом смысле Network Policy Enforcer отвечает за соединение через южный API с агентами, развернутыми в сети, например, для обеспечения соблюдения правил фильтрации с конкретным фильтрующим агентом или виртуальным межсетевым экраном (vFirewall). Orchestrator соответствует требованиям NFV ETSI MANO и обеспечивает поддержку безопасного размещения и управления функциями виртуальной безопасности в виртуальной инфраструктуре.Кроме того, различные контроллеры IoT используются для управления устройствами IoT и сетями с низким энергопотреблением и потерями, LoWPAN и LPWAN. Эти контроллеры IoT могут быть развернуты на границе сети для развертывания и обеспечения соблюдения функций безопасности сети (NSF) в доменах IoT.
Домен инфраструктуры и инфраструктуры виртуализации охватывает как физические машины, отвечающие за хранение и поддержку инфраструктуры хранения, вычислений и сети, так и технологии виртуализации для предоставления инфраструктуры как услуги (IaaS).Этот домен включает в себя сетевые элементы, необходимые для управления трафиком (например, пересылку, переадресацию, маршрутизацию и т. Д.) В соответствии с правилами контроллера SDN, а также зонды безопасности для сбора данных, необходимых службам мониторинга.
Домен VNF относится к инфраструктуре виртуализации, которая содержит VNF, развернутые для обеспечения соблюдения функциональных блоков сети 5G, а также любую функцию безопасности виртуальной сети (vNSF), развертываемую плоскостью оркестрации, например виртуальный межсетевой экран, vIDS / IPS. , vChannelProtection и т. д.Он может обеспечивать механизмы защиты и меры противодействия угрозам, требуемые политиками безопасности.
Домен IoT включает сеть NB-IoT (включая CIoT-RAN), а также управляемые устройства IoT. Сюда входят средства обеспечения безопасности, программные агенты и исполнительные механизмы, необходимые для обеспечения выполнения инструкций безопасности, управляемых плоскостью оркестровки. А именно, агент фильтрации развертывается в CIoT-RAN для управления трафиком между конкретной сетью NB-IoT в соответствии с правилами фильтрации, получаемыми динамически с помощью Network Policy Enforcer.
5. Виртуализированная и мультиарендная инфраструктура NB-IoT
В этом разделе описывается экспериментальное развертывание на основе виртуализированной инфраструктуры NB-IoT LTE, развернутой в наших лабораториях, с уже поддерживаемыми несколькими функциями 5G. Для простоты на рисунке 4 представлено упрощенное представление нашей развернутой инфраструктуры, где уровень управления опущен. Наша инфраструктура состоит из 10 компьютеров с Ubuntu 16.04 и выпуском OpenStack Mitaka. В развертывании используются Neutron и OpenDayLight в качестве контроллера SDN, на котором запущен северный интерфейс NetVirt Neutron, предоставляемый OpenDayLight.OpenDayLight использует OpenFlow и OVSDB для управления программным обеспечением Open vSwitch v2.9, используемым для управления путями данных виртуальных машин. На рисунке для простоты показаны только один периферийный и один ядерный ПК, хотя наша лаборатория имеет два граничных узла и восемь основных узлов. Каждый из полей, помеченных как оператор X, представляет административный домен арендатора. Каждый из арендаторов развернул полный набор VNF для работы сети 5G.
Для развертывания VNFs, Mosaic5G (http: // mosaic-5g.io /) (эволюция проекта OpenAirInterface) была развернута инфраструктура в каждом из арендаторов инфраструктуры. Текущая версия Mosaic5G позволяет функционально дезагрегировать DU и CU, хотя по-прежнему использует спектр 4G. Более того, для ядра в текущем выпуске по-прежнему используется терминология MME, HSS и SGW / PGW; однако он полностью виртуализирован и работает в VNF. Этот сценарий позволяет нам иметь реалистичную инфраструктуру для исследования и анализа трафика NB-IoT по всем сегментам сети.
Следует отметить, что коммутаторы, помеченные буквой A на рисунке 4, представляют собой контрольные точки, используемые в OpenStack для обеспечения изоляции арендаторов посредством VLAN, Virtual eXtensible Local Area (VXLAN) или инкапсуляции GRE. Различные точки на пути данных, помеченные буквой B на рисунке 4, представляют плоскость данных NB-IoT (с использованием IP-подключения), где присутствует инкапсуляция GTP для обеспечения мобильности в устройствах.
Пакеты, проходящие через инфраструктуру, показанную на рисунке 4, могут быть инкапсулированы в различные протоколы инкапсуляции в зависимости от сегмента сети.Точки на пути данных, помеченные C, представляют собой подмножество точек, помеченных B, представляющих более сложный сегмент инкапсуляции для инфраструктуры NB-IoT и, в то же время, один из самых эффективных для применения политик фильтрации из-за близость к оборудованию (работа на физических машинах, а не в VNF). Это особенно важно, когда необходимо обрабатывать трафик, исходящий от очень плотных развертываний, потенциально с сотнями тысяч устройств NB-IoT.
6.Разработка процесса фильтрации трафика
6.1. Процесс фильтрации
Процесс фильтрации сетевого трафика выполняется в соответствии с шагами, изображенными на архитектурном рисунке 3. Шаги подробно описаны ниже: (1) Во-первых, на шаге (1) на рисунке 3 администратор заранее определяет цели своей политики безопасности. , например, политики фильтрации, использующие совместимый язык, такой как MSPL, рассмотренный в проекте EU h3020 ANASTACIA. (2) Эти совместимые политики уточняются и транслируются - шаг (2) - в конкретные низкоуровневые конфигурации в соответствии с требуемым форматом. специфическим фильтрующим агентом, развернутым в сети, таким как тот, который был показан в нашей предыдущей работе в контексте проекта Anastasia [40] или тот, который был в нашей предыдущей работе в контексте проекта SELFNET [15].(3) Оркестратор безопасности уведомляется о развертывании правил. При желании он может связаться с NFV Mano - шаг (3.1) - для развертывания (если еще не развернут) в качестве VNF фильтрующего агента, действующего как vFirewall, либо в CIoT-RAN, либо в ядре сети. Затем на шаге (3.2) он связывается либо с SDN Controller, либо с Network Policy Enforcer, чтобы применить правила фильтрации через северный API. (4) Network Policy Enforcer связывается с агентом фильтрации с помощью южного API, например Netconf, на шаге (4) для обеспечения соблюдения правил фильтрации.Предлагаемый механизм фильтрации может развертывать правила в агентах фильтрации, развернутых либо в CIoT-RAN, либо в vFirewall, развернутом в домене VNF ядра виртуализированной сети 5G. (5) После этого, один раз во время выполнения, мониторинг агент начинает предоставлять информацию мониторинга через зонды в модуль мониторинга, шаг (5). В связи с этим этот трафик мониторинга отправляется через брокера Pub / Sub. (6) В случае, если модуль мониторинга обнаруживает атаку на основе настроенных сигнатур, шаг (6), он предупреждает модуль реагирования, чтобы он принял соответствующее решение, и это уведомление осуществляется по стандартам IODEF или IDEMEF.(7) Компонент модуля реакции на основе своего механизма правил принимает решение о принятии надлежащих контрмер для смягчения атаки, шаг (7). Это может означать добавление, например, новых правил фильтрации для отбрасывания или перенаправления трафика, исходящего от конкретного зараженного бот-устройства IoT, которое выполняет низкоскоростную DDoS-атаку. Такой результат реакции может быть получен либо с использованием стандарта, такого как OpenC2, либо с помощью специальных механизмов, как предлагается в нашем предложении в следующем разделе. (8) Security Orchestrator снова связывается с Network Policy Enforcer для саморегулирования динамической конфигурации сети с помощью развертывание соответствующих правил фильтрации реакции с использованием северного протокола, как показано на шаге (8).(9) Наконец, правила фильтрации настраиваются в фильтрующем агенте через южный API, шаг (9). Эти правила будут учитывать требования к фильтрации сетевого трафика в разделе 3.2.1, чтобы справиться с трафиком NB-IoT, включая вложенную инкапсуляцию для мобильности и поддержку фильтрации многопользовательского трафика.
6.2. Механизм фильтрации сопоставления с образцом
В этом подразделе подробно описаны шаги, указанные в предыдущем подразделе, связанные с применением правил фильтрации в управляемых элементах.
Наш механизм сетевой фильтрации основан на BPF [34] для обеспечения соблюдения правил фильтрации. Этот механизм фильтрации является эффективным способом фильтрации пакетов в пространстве ядра, и сегодня он используется в аппаратном сетевом оборудовании и даже в программном обеспечении для виртуальных сетей, таком как OVS, которое используется в основном для преодоления ограничений OpenFlow в отношении классификации пакетов.
Действительно, BPF используется во многих утилитах управления, таких как tcpdump, libpcap, iptables, ebtables и т. Д. BPF - это не только язык для выражения политик фильтрации с использованием удобного для пользователя языка описания высокого уровня, но и встроенного -в компиляторе (и оптимизаторе), который преобразует высокоуровневую программу BPF в скомпилированный байт-код BPF x86.
Таким образом, BPF позволяет системным администраторам выбирать и контролировать пакеты с помощью выражений фильтрации пакетов высокого уровня. Ниже показан пример выражения фильтра с использованием синтаксиса стиля tcpdump, который позже будет скомпилирован в программе BPF.
$ iptables -m bpf --bytecode $ (nbpf_compile
'proto [Start: End] & Mask = Value') $
Механизмы, используемые в этой статье, основаны на этом подходе, но с использованием сопоставления с более сложным сопоставлением правила, в которых учитывается сложность фреймов, пересекающих инфраструктуру, как описано в следующем подразделе.
6.3. Иерархическая инкапсуляция
На рисунке 5 показан пример наиболее сложной иерархической инкапсуляции, доступной в многопользовательской инфраструктуре 5G NB-IoT, соответствующей захвату пакетов в контрольных точках, обозначенных буквой C на рисунке 4.
Первая группа из Заголовки связаны с обменом данными между физическими машинами, включая управление доступом к среде передачи (MAC), заголовки IP и UDP. Вторая группа заголовков включает VXLAN, MAC, IP и UDP, вставленные для изоляции трафика клиента, особенно для оператора связи, использующего ту же физическую инфраструктуру 5G, что и клиент.В этом документе в качестве примера предлагается использовать протокол VXLAN для достижения такой изоляции арендатора, но для той же цели можно использовать другие альтернативные протоколы. Следующая группа заголовков, включая GTP, IP, UDP, Application (APP) HEADER и APP PAYLOAD, используется для обеспечения мобильности устройств NB-IoT. GTP - это протокол туннелирования, используемый в инфраструктурах NB-IoT и 5G для установления пути данных для устройств IoT с такими функциями, как мобильность, управление доступом и т. Д. Наконец, заголовок и полезная нагрузка приложения представляют данные, отправляемые / получаемые устройствами.
Следует отметить, что обычная IP-сеть использует очень ограниченное подмножество этих заголовков, например MAC / IP / UDP / APP-HEADER / APP-PAYLOAD. По сравнению с этим простым случаем, было добавлено несколько дополнительных заголовков для достижения как многопользовательской, так и мобильности устройств NB-IoT.
6.4. Правила фильтрации для трафика IoT в сетях NB-IoT с поддержкой 5G
В дополнение к сетевым протоколам, указанным в предыдущем разделе, протокол приложения также рассматривается для фильтрации, поскольку различные сетевые атаки невозможно идентифицировать, если фильтр трафика не соответствует определенным полям на прикладном уровне.В этом смысле в настоящее время наиболее популярным протоколом приложений Интернета вещей является CoAP [8]. Это легкий протокол, который следует модели REST, специально разработанной для ограниченных устройств IoT (cat-M1), необходимых в NB-IoT. На рисунке 6 показана структура пакета протокола CoAP [8].
7. Внедрение и проверка
7.1. Реализация правил фильтрации в пространстве ядра
Предлагаемая реализация была осуществлена агентом фильтрации, прототипом на Python с использованием Pika в качестве библиотеки для раскрытия северных интерфейсов, принимающих намерения с использованием протокола AMPQ [41].Намерение определяет, какой тип трафика следует контролировать, и действия, которые необходимо применить к такому трафику. Этот подход идеально вписывается в новую когнитивную структуру управления NB-IoT, представленную в разделе 4, и, таким образом, уровень оркестровки безопасности может развертывать и применять политики сетевой безопасности, обеспечивая реконфигурацию и адаптацию во время выполнения. Важно подчеркнуть, что старые распространенные методы использовали статические наборы политик фильтрации в конкретной системе, основанной на правилах (например,г., ОВС). Эта работа добавляет динамичности с точки зрения создания новых правил фильтрации по запросу и использования системы фильтрации на основе правил, которую можно включить в качестве подключаемого модуля в агент фильтрации. Одно и то же сообщение о намерениях будет использоваться в качестве входных данных в северном интерфейсе агента фильтрации независимо от требуемого подключаемого модуля, тем самым используя общий способ развертывания правил фильтрации в различных системах фильтрации.
В качестве примера предположим, что агент фильтрации развернут в обеих точках, помеченных буквой C на рисунке 4, и что трафик необходимо отбрасывать для предотвращения низкоскоростных DDoS-атак.Назначение этого примера при таких предположениях показано на рисунке 7.
Агент фильтрации может добавлять / обновлять / удалять намерения, исходящие от компонента Network Policy Enforcer архитектуры, представленной в разделе 4. Агент фильтрации получит намерения, а затем выберет среди всех возможных подключаемых модулей, зарегистрированных как поставщики интерфейса, чтобы преобразовать намерение в реализуемое и исполняемое правило. Поддерживаются несколько плагинов; в целях создания прототипа в этой исследовательской работе использовался подключаемый модуль фильтрации, основанный на пространстве ядра Linux с использованием правил BPF.Этот плагин преобразует намерения в синтаксис BPF высокого уровня. Пример правила BPF высокого уровня также показан на рисунке 7. Затем синтаксис BPF высокого уровня отправляется модулю iptables с именем xt_bpf compiler . Этот модуль компилирует синтаксис BFP высокого уровня в исполняемый байт-код в пространстве ядра. Этот исполняемый байт-код связан с точкой подключения к сетевой подсистеме Linux (NetFilter) с помощью API netlink, так что, когда пакеты проходят через такую точку подключения, байт-код выполняется.Пример скомпилированного байт-кода BPF показан на рисунке 7.
7.2. Распределенные и масштабируемые виртуальные брандмауэры
Сети NB-IoT, как ожидается, будут обрабатывать до 52 500 устройств на ячейку [6], что означает, что даже при низкой скорости пакетов в секунду система фильтрации должна масштабироваться должным образом, чтобы обрабатывать огромное количество пакетов в транспортной сети мобильной связи. В худшем случае может быть правило фильтрации для каждого устройства; однако с текущими реализациями фильтрации на основе программного обеспечения невозможно обрабатывать такое большое количество правил и массивный трафик в одном брандмауэре.Более того, это еще больше усложняется в свете определенных здесь сложных правил, которые требуют проверки пакетов в соответствии с мультиинкапсуляцией, установленной в сетях NB-IoT на основе 5G.
Наше решение извлекает выгоду из использования технологий NFV и облачных вычислений для динамического развертывания в транспортной сети RAN, по запросу, виртуальных функций сетевой безопасности (vNSF) в формате распределенных vFirewall. Каждый vFirewall отвечает за работу с подмножеством правил в соответствии с сегментацией сети, адресованной в определенной RAN.Первый агент фильтрации действует как балансировщик нагрузки, быстро перенаправляя трафик на соответствующий vFirewall, отвечающий за обработку подмножества правил. Сегментация сети и пересылка в балансировщике нагрузки может быть достигнута с помощью всего одного правила для каждого развернутого последующего vFirewall, проверяющего внутренний IP-пакет инкапсулированного трафика. В качестве альтернативы это можно сделать для каждого арендатора, просмотрев заголовок VXLAN. Этот масштабируемый подход позволяет развертывать дополнительные vFirewall в соответствии с условиями сети, в то время как наша структура когнитивного управления позволяет автономно настраивать правила для этих vFirewall.
7.3. Схема эксперимента
Таблица 2 предоставляет пример различных заголовков, описанных в Разделе 6.3, вместе со всеми полями, которые будут сопоставлены в наших экспериментах для каждого из заголовков. Следует отметить, что CoAP использовался в качестве протокола уровня 7 в качестве основного протокола в развертываниях NB-IoT.
|
Чтобы подчеркнуть сложность правил фильтрации и проанализировать, как эта сложность влияет на масштабируемость в развертываниях NB-IoT, были разработаны три различных теста.Каждый из тестов связан с количеством полей, которые соответствуют каждому из протоколов, доступных в фильтруемой полезной нагрузке. Тесты определены следующим образом: (1) Тест 1 оценивает правила с предикатами для сопоставления до одного поля на протокол. (2) Тест 2 оценивает правила с предикатами для сопоставления до двух полей на протокол, где это возможно. (3) Тест 3 оценивает правила с предикатами для сопоставления до трех полей на протокол, где это возможно.
Эти три разных теста могут применяться к разным инфраструктурам.Во-первых, эти тесты могут быть применены к классической IP-инфраструктуре, чтобы иметь точку отсчета с точки зрения производительности и иметь возможность оценивать накладные расходы и сложность, налагаемые инфраструктурой. Это потребует использования только группы 1 заголовков (связанных с физической связью), указанной в таблице 2. Во-вторых, тесты могут также применяться в многопользовательской инфраструктуре для оценки накладных расходов, связанных с изоляцией арендаторов и фильтрацией пользователей в такой среде. окружающая обстановка.Это потребует использования заголовков Group 1 и Group 2 (связанных с физической связью и изоляцией арендатора), указанных в таблице 2. В-третьих, тесты могут быть дополнительно применены к многопользовательской инфраструктуре NB-IoT, где как изоляция арендатора, так и NB- Мобильность IoT требует решения. Это потребует использования заголовков Group 1, Group 2 и Group 3 (связанных с физической связью, изоляцией арендаторов и мобильностью устройств), указанных в таблице 2. Наконец, тесты могут также применяться к серверу с поддержкой сервисов. -IoT Multitenant Infrastructure, в которой необходимо обрабатывать не только изоляцию клиентов и мобильность NB-IoT, но и фильтрацию для конкретных приложений для протоколов NB-IoT.Он накладывает заголовки из группы 1, группы 2, группы 3 и группы 4 (связанных с физической связью, изоляцией арендаторов, мобильностью устройств и приложением NB-IoT), как указано в таблице 2.
Таблица 3 иллюстрирует комбинацию выбранные поля правил сопоставления, сгруппированные в соответствии с протоколами, доступными в трех инфраструктурах, проанализированных в трех тестах, проведенных в каждой из этих инфраструктур. Таблица содержит размер в байтах, который должен соответствовать правилам для каждой из групп.Это позволяет читателю проанализировать возрастающую сложность каждого теста по сравнению с предыдущим. Следует отметить, что эти размеры являются кумулятивными, поскольку использование заголовков Группы 2 подразумевает использование заголовка Группы 1 и так далее, и так далее.
|