Lightweight Intrusion Detection in Wireless Sensor Networks

Riecker, Michael (2015)
Lightweight Intrusion Detection in Wireless Sensor Networks.
Technische Universität Darmstadt
Dissertation, Erstveröffentlichung

URL / URN: http://tuprints.ulb.tu-darmstadt.de/4928

Kurzbeschreibung (Abstract)

Wireless sensor networks have become a mature technology. They are increasingly being used in different practical applications. Examples include the monitoring of industrial environments and light adaptation in tunnels. For such applications, attacks are a serious concern. A disrupted sensor network may not only have a financial impact, but could also be safety-critical. Hence, the availability of a wireless sensor network is our key protection goal in this thesis. A special challenge lies in the fact, that sensor nodes typically are physically unprotected. Hence, insider attacks are supposed to occur, e.g., by compromising the nodes and getting in possession of the cryptographic keys, thereby becoming a legitimate member of the network. As a result, mechanisms to detect attacks during operation are necessary.

Traditionally, intrusion detection systems are used to discover network anomalies. Due to severe resource-restrictions, building such a system for wireless sensor networks is challenging; it has to be small in size. Therefore, it is important to reduce the required information for intrusion detection. The majority of these systems designed for wireless sensor networks is working decentralized, i.e., the nodes try to detect the attacks locally, mostly by using some type of collaboration with other nodes. So far, the real-world effects of attacks on wireless sensor networks have not yet been studied widely. Consequently, state-of-the-art intrusion detection systems often need to analyze a large number of metrics for attack detection. The execution frequency of the detection algorithm is mainly periodic or constant. Another problem that needs further research, is the possibility of reducing the detection frequency. We also investigate the feasibility of performing intrusion detection without collaboration, in order to enable the lightweight detection of denial-of-service attacks on wireless sensor networks.

To overcome these shortcomings, in this work we conduct systematic measurements in a real testbed in order to quantify the impact of denial-of-service attacks. This allows us to identify those metrics, which are significantly influenced by an attack, and thus are appropriate for attack detection. We present a fully localized intrusion detection system, in which the nodes do not have to collaborate with each other. Based on these results we propose two architectures, allowing the randomization of the detection frequency. The advantage here is, that an adversary may not predict well in advance, which node is responsible to perform intrusion detection at a certain point in time.

The gathered data from the extensive measurements is analyzed with statistical approaches. The presented intrusion detection systems are evaluated in simulations and prototypical implementations.

Typ des Eintrags:

Dissertation

Erschienen:

2015

Autor(en):

Riecker, Michael

Art des Eintrags:

Erstveröffentlichung

Titel:

Lightweight Intrusion Detection in Wireless Sensor Networks

Sprache:

Englisch

Referenten:

Hollick, Prof. Matthias

Publikationsjahr:

11 Mai 2015

Ort:

Darmstadt

Datum der mündlichen Prüfung:

22 Juni 2015

URL / URN:

http://tuprints.ulb.tu-darmstadt.de/4928

Kurzbeschreibung (Abstract):

The gathered data from the extensive measurements is analyzed with statistical approaches. The presented intrusion detection systems are evaluated in simulations and prototypical implementations.

Alternatives oder übersetztes Abstract:

Alternatives Abstract

Sprache

Drahtlose Sensornetze werden zunehmend zur Unterstützung von unterschiedlichen, praktischen Anwendungen eingesetzt. Die Einsatzgebiete in der realen Welt, in denen drahtlose Sensornetze eine wichtige Rolle spielen, umfassen beispielsweise die Überwachung von industriellen Anlagen und die Lichtsteuerung in Tunnels. Für diese beispielhaften Anwendungen stellen Angriffe eine große Gefahr dar. Das Ausfallen des Sensornetzes kann neben finanziellen auch sicherheitskritische Auswirkungen haben. Daher ist das wichtigste Schutzziel in dieser Arbeit die Verfügbarkeit des drahtlosen Sensornetzes. Eine besondere Herausforderung beim Gewährleisten der Sicherheit ist durch die oftmals freie Zugänglichkeit zu den Sensorknoten gegeben. Daraus ergibt sich, dass von Insider-Angriffen ausgegangen werden muss, welche z.B. durch Kompromittierung der Knoten im Besitz gültiger kryptographischer Schlüssel und somit legitimer Teil des Netzes sind. Aus diesem Grunde sind Mechanismen zum Erkennen von Angriffen auf das Sensornetz während des laufenden Betriebs nötig.

Traditionell werden Angriffserkennungssysteme zum Aufdecken von Netzwerkanomalien eingesetzt. Aufgrund der starken Ressourcenbeschränkungen ist der Entwurf eines solchen Systems für drahtlose Sensornetze besonders herausfordernd; der Speicherbedarf muss klein sein. Deshalb ist es wichtig, die benötigten Informationen zur Angriffserkennung zu reduzieren. Die überwiegende Mehrheit dieser Systeme für drahtlose Sensornetze arbeitet dezentral, d.h. die Knoten versuchen die Angriffe lokal zu erkennen, wofür meistens eine Form von Kooperation mit anderen Knoten notwendig ist. Bisher wurden die realen Auswirkungen von Angriffen auf Sensornetze unzureichend untersucht, weshalb oft eine Vielzahl an Metriken zur Angriffserkennung herangezogen werden muss. Die Ausführungshäufigkeit des Erkennungsalgorithmus ist vorwiegend periodisch oder konstant. Ebenso lückenhaft erforscht ist die Möglichkeit zur Reduzierung der Ausführungshäufigkeit. Des Weiteren untersuchen wir, ob die Angriffserkennung ohne Kooperation mit anderen Knoten möglich ist, um Angriffe auf die Verfügbarkeit von drahtlosen Sensornetzen leichtgewichtig zu entdecken.

Um diese Lücken zu schließen, werden in dieser Arbeit systematische Messungen in einem realen Testbed durchgeführt, um die Auswirkungen von Angriffen auf die Verfügbarkeit zu quantifizieren. Daraus resultieren Erkenntnisse, welche Metriken besonders von einem Angriff beeinflusst werden und sich somit gut zur Angriffserkennung eignen. Wir stellen ein gänzlich lokal arbeitendes Angriffserkennungssystem vor, das ohne Kooperation mit anderen Knoten auskommt. Aufbauend auf den erhaltenen Ergebnissen werden zwei Architekturen vorgeschlagen, welche die Ausführungshäufigkeit des Angriffserkennnungsmechanismus randomisieren. Dadurch ist es für einen Angreifer schwerer vorherzusehen, welcher Knoten zu welchem Zeitpunkt Angriffe erkennen soll.

Die gewonnenen Daten aus den umfangreichen Messungen werden mittels statistischer Verfahren untersucht. Die vorgestellten Angriffserkennungssysteme werden in Simulationen und prototypischen Implementierungen evaluiert.

nicht bekannt

URN:

urn:nbn:de:tuda-tuprints-49281

Sachgruppe der Dewey Dezimalklassifikatin (DDC):

000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik

Fachbereich(e)/-gebiet(e):

20 Fachbereich Informatik
20 Fachbereich Informatik > Sichere Mobile Netze

Hinterlegungsdatum:

13 Sep 2015 19:55

Letzte Änderung:

13 Sep 2015 19:55

PPN: