¿Podríamos detectar dispositivos de IoT de consumidores comprometidos que participan en un ataque DDoS en tiempo real y hacer algo al respecto? Un grupo de investigadores de la Universidad de Princeton han presentado algunos resultados alentadores que muestran que la primera parte de esa ecuación se puede resolver con relativa facilidad.

Detección de DDoS de IoT en tiempo real

 

Como el tráfico de IoT a menudo es distinto del de otros dispositivos conectados a Internet y el aprendizaje automático ha demostrado ser prometedor para identificar el tráfico malicioso de Internet, decidieron utilizar estos datos para su beneficio.

Así, crearon una tubería de aprendizaje máquina que realiza la recogida de datos, extracción de características y clasificación binaria de tráfico de la IO y diseñados de modo que puede funcionar con dispositivos intermedios de la red (por ejemplo, routers, switches, firewalls).

Detección de DDoS de IoT en tiempo real

El sistema captura el tráfico que pasa por el middlebox, registra la dirección IP de origen, el puerto de origen, la dirección IP de destino, el puerto de destino, el tamaño del paquete y la marca de tiempo de todos los paquetes IP enviados desde los dispositivos inteligentes del hogar. Luego, separa los paquetes por dirección IP de origen y ventanas de tiempo que no se superponen.

Para cada paquete, el sistema genera dos tipos de características:

  • Sin estado (tamaño del paquete, intervalo entre paquetes y protocolo)
  • Stateful (ancho de banda, cardinalidad y novedad de la dirección de destino IP).

Finalmente, probaron cinco algoritmos de aprendizaje automático para distinguir los paquetes de IoT normales de los paquetes de ataque DoS.

Los investigadores implementaron el sistema en una red de dispositivos de IoT de consumo experimentales y los resultados que obtuvieron fueron buenos. «Nuestros clasificadores identifican con éxito el tráfico de ataque con una precisión superior a 0,999. Encontramos que el bosque aleatorio, los vecinos más cercanos a K y los clasificadores de red neural eran particularmente efectivos «, señalaron.

Detección de DDoS de IoT en tiempo real

También señalaron que las características sin estado superaron en gran medida las características de estado y que, por lo tanto, «la detección de anomalía en tiempo real del tráfico de ataque de IoT puede ser práctica porque las características sin estado son livianas y derivadas de atributos de flujo de red».

Pero la captura y el uso de características con estado también son útiles, ya que mejora la precisión de los resultados.

Pruebas futuras

Planean probar y ver si pueden obtener resultados similares con tráfico normal de dispositivos IoT adicionales y con tráfico de ataque grabado de un ataque DDoS real, y desean experimentar con características adicionales y técnicas de aprendizaje automático más complejas.

La cuestión de qué hacer cuando se descubre que un dispositivo IoT forma parte de un ataque DDoS permanece abierta.

«Simplemente desconectar el dispositivo de la red podría no ser factible, especialmente si el dispositivo es esencial (por ejemplo, un monitor de azúcar en la sangre o una bomba de agua para el hogar), porque muchos dispositivos inteligentes no retienen la funcionalidad básica sin conectividad de red. Notificar al usuario es una opción, pero muchos usuarios de dispositivos domésticos IoT no estarán equipados para realizar el mantenimiento del dispositivo más allá de apagar o desconectar el dispositivo «, señalan.

Fuente: Helpnetsecurity.com

Compartir