ОБНАРУЖЕНИЕ И УСТРАНЕНИЕ DDoS-АТАКИ IoT-БОТНЕТОВ НА ОСНОВЕ SIEM

АННОТАЦИЯ

Интернет вещей (IoT) становится неотъемлемой частью нашей повседневной жизни, включая здоровье, окружающую среду, дома, армию и т. д. Огромный рост Интернета вещей в последнее время лет привлекает хакеров, чтобы воспользоваться их вычислительной и коммуникационной возможности для выполнения различных типов атак. Основная проблема заключается в том, что устройства IoT имеют несколько уязвимостей, которые можно легко использовать для создания ботнетов IoT состоящий из миллионов IoT-устройств и создающий серьезные угрозы безопасности в Интернете. В этом контексте DDoS-атаки, исходящие от ботнетов IoT, представляют собой серьезную проблему для современный Интернет, который требует немедленного внимания. В этой статье предлагается безопасное обнаружение DDoS-атак ботнета IoT на основе управления информацией и событиями и система смягчения. Эта система обнаруживает и блокирует трафик DDoS-атак с скомпрометированных устройств IoT, отслеживая определенные типы пакетов, включая TCP SYN, пакеты ICMP и DNS, исходящие от этих устройств. Обсуждаем прототип внедрение предлагаемой системы, и демонстрируем, что решения на основе SIEM могут быть настроены для точной идентификации и блокировки вредоносного трафика, исходящего от скомпрометированные IoT-устройства.

ABSTRACT

The Internet of Things (IoT) is becoming an integral part of our daily life including health, environment, homes, military, etc. The enormous growth of IoT in recent years has attracted hackers to take advantage of their computation and communication capabilities to perform different types of attacks. The major concern is that IoT devices have several vulnerabilities that can be easily exploited to form IoT botnets consisting of millions of IoT devices and posing significant threats to Internet security. In this context, DDoS attacks originating from IoT botnets is a major problem in today’s Internet that requires immediate attention. In this paper, we propose a Security Information and Event Management-based IoT botnet DDoS attack detection and mitigation system. This system detects and blocks DDoS attack traffic from compromised IoT devices by monitoring specific packet types including TCP SYN, ICMP and DNS packets originating from these devices. We discuss a prototype implementation of the proposed system and we demonstrate that SIEM based solutions can be configured to accurately identify and block malicious traffic originating from compromised IoT devices.

Ключевые слова: Ботнеты Интернет вещей, Защита сети, управление событиями безопасности.

Keywords: IoT Botnets, Network Security, Security information management.

1. ВВЕДЕНИЕ

Интернет вещей (IoT) стал свидетелем огромного роста в последние годы. Этот рост обусловлен значительным развитием полупроводниковой промышленности, технологий беспроводной связи и появление приложения IoT в различных областях нашей повседневной жизни, включая: умные дома, сектор здравоохранения, промышленность системы управления и военные приложения. По данным статистической компании Statista, количество устройств IoT составляет примерно в 23,4 миллиарда устройств и, как ожидается, увеличится до 31 миллиарда устройств в 2020 году.

Мотивированные значительным ростом IoT, хакеры стремятся воспользоваться преимуществами вычислений и коммуникационными возможностями устройств IoT для выполнения различных типов атак. Ботнеты представляют собой первичные источники многих атак, направленных на Интернет. Ботнет — это сеть скомпрометированных машин (например, компьютеров, смартфоны, IoT-устройства и т. д.), которые контролируются злоумышленником (ботмастером) и используются для выполнения различных действий, как распределенные атаки типа «отказ в обслуживании» (DDoS), рассылка спама, мошенничество с кликами и фишинговые атаки.

Устройства IoT создают огромный риск для безопасности по сравнению с обычными устройствами, подключенными к Интернету, из-за их большого количества, ограниченность ресурсов и разнообразие протоколов, что делает IoT ценной мишенью для злоумышленников для создания ботнета IoT. Например, злоумышленник может скомпрометировать устройства умного дома IoT жертвы, чтобы получить конфиденциальную информацию или использовать устройства IoT в качестве ботнетов IoT для выполнения распределенных атак типа «отказ в обслуживании» (DDos) против критических киберфизических систем.

21 октября 2016 г. злоумышленники запустили DDoS-атаку на службу Dyn DNS с использованием ботнета Mirari IoT, вызывающую множество служб и пакетов с Интернета. Платформы были недоступны в Европе и Северной Америке. Предыдущие исследовательские усилия были сосредоточены на разработке механизмов для обнаружения уязвимых или скомпрометированных устройств IoT или для защиты устройств IoT, несмотря на ограничения их вычислений, хранения и мощности. IoT-устройства обычно обмениваются различными типами сообщений и генерируют огромное количество данных, что затрудняет мониторинг коррелирования события и обнаружение исходящих от них злонамеренных действий. В данной статье мы решаем проблему DDoS-атак, исходящих из ботнетов IoT, с использованием управления информацией и событиями безопасности (SIEM) таким образом, чтобы обнаруживать и блокировать атакующий трафик. Основные вклады этой статьи заключаются в следующем:

(a) Система обнаружения ботнетов IoT на основе SIEM. Предлагаемая система использует решение Splunk SIEM для идентификации и блокировки трафика от скомпрометированных устройств IoT, отслеживая определенные типы пакетов, включая TCP SYN, ICMP и DNS-флуд.

(b) Внедрение прототипа системы обнаружения ботнетов IoT на основе предлагаемого решения для управления информацией и событиями (SIEM) и применение предлагаемой системы для обнаружения трех распространенных типа DDoS-атак.

c) обзор различных аспектов ботнетов IoT с главным упором на архитектуру ботнетов IoT, основные типы, контрмеры и обсуждение недавних исследовании в этой области.

2. ПРЕДЫСТОРИЯ О БОТНЕТАХ IoT

Недавно появились ботнеты IoT как новый тип ботнетов, где хакеры контролируют миллионы скомпрометированные устройства Интернета вещей и используют их в своих вредоносных атаках. Как правило, ботнет IoT состоит из следующих компонентов:

(a) Боты: скомпрометированные устройства IoT, используемые для выполнения различных типов атак (например, отказ в обслуживании).

(b) Сервер управления и контроля: сервер, используемый для управления ботами.

(c) Сканеры: используются для сканирования уязвимых устройств IoT.

(d) Сервер отчетов: сервер, используемый для сбора отчетов о сканировании со сканера или ботов.

(e) Загрузчик: указание устройствам IoT загружать вредоносный код после регистрации на уязвимых устройствах IoT.

(f) Сервер распространения вредоносных программ: сервер, отвечающий за распространение вредоносных программ.

Устройства IoT широко используются во многих крупномасштабных DDoS-атаках. В этих атаках устройства IoT по указанию ботмастера атакуют целевую систему огромным количеством пакетов (например, SYN, DNS, ICMP и т. д.). Общество киберзащитников обсудили несколько особенностей устройств IoT, которые усугубляют проблему ботнетов IoT. Эти функции включают в себя:

(a) Ограничения: По сравнению с традиционными ПК и мобильными устройствами устройства IoT обычно имеют ограниченные вычислительные возможности и ограниченные ресурсы хранения для снижения производственных затрат и максимально экономный заряд батареи. Например, устройства IoT, развернутый на поле боя  требуется для работы в течение длительного времени. Поэтому энергопотребление этих устройств должны эффективно управляться, а энергоемкие приложения не могут работать на таких устройствах для увеличения срока службы батареи.

b) Разнообразие: Технология Интернета вещей все чаще используется во многих реальных приложениях. В результате существует множество Поставщиков Интернета вещей с большим количеством разнородных продуктов Интернета вещей, которые имеют собственную сеть и связь реализации протокола. В большинстве случаев многие из этих продуктов не имеют встроенной защиты в их архитектуре.

(c) Бесчисленное множество: Эта функция связана со значительным увеличением количества устройств IoT и распространением данных генерируемые ими. Эта функция в сочетании с отсутствием защиты на устройствах IoT и их ограниченная вычислительная мощность позволяла злоумышленникам легко скомпрометировать эти устройства и создать армейские IoT-зомби, которые можно использовать для проведения нескольких типов атак . Инь и др. обнаружили, что самые последние крупномасштабные DDoS-атаки в основном вызываются ботнетами IoT.

(d)  Необслуживаемые:  Во многих случаях устройства IoT развертываются в суровых условиях и остаются без присмотра в течение длительный период времени. Обычно не существует механизма удаленного доступа к этим устройствам и проверки их работы уровня безопасности или выполнения  регулярных обновлении для них. Это дало противникам дополнительный повод

для нацеливания на эти устройства и управления ими с минимальными усилиями. Например, Ронен и др. реализовали атаку на умную лампочку Philips путем использования уязвимости в протоколе связи и показали, как быстро развившийся червь может распространяться на другие луковицы.

(e) Мобильность: Носимые устройства и смартфоны являются примерами мобильных устройств Интернета вещей, которые присоединяются динамической сети в соответствии с движением человека. Мобильность устройств IoT требует

дополнительные угрозы безопасности, поскольку шансы заражения вредоносным ПО увеличиваются всякий раз, когда устройство становится поблизости от другого вредоносного устройства. Кроме того, это увеличивает шансы хакеров для компрометации IoT-устройств.

3. СОПУТСТВУЮЩИЕ РАБОТЫ

В области безопасности IoT был проделан значительный объем работы. В этом разделе я предоставляю  обзор последних достижений в этой области с упором на обнаружение уязвимостей устройств IoT, обнаружение в IoT сетевых уязвимостей и обнаружение ботнетов IoT.

3.1. Обнаружение уязвимостей IoT-устройств.

Статический анализ фреймворков IoT-устройств — один из методов, используемых для обнаружения уязвимостей IoT-устройств.

Например, Костин и др. провел масштабный анализ безопасности 32 тысяч прошивок. Образы встраиваемых устройств и обнаружили 38 неизвестных уязвимостей в более чем 693 образах прошивок, которые расширяются в 123 различных продуктах. Фернандес и др. выполнили статический анализ исходного кода и создал и тесты на 123 платформах умного дома и 499 приложениях для умных вещей. Они обнаружили два недостатка в конструкции

этих платформ. Эти конструктивные недостатки приводят к тому, что приложению Smart Things предоставляется привилегия, как и было задумано, помимо полного доступа этих приложений к Умному домашнему устройству, а не чем ограниченный доступ, как задумано. Они также доказали, что асинхронная связь (подсистема событий) между устройствами и смарт-приложениями не является безопасным и может привести к утечке конфиденциальной информации.

Ронен и соавт. описали, как использовать уязвимость в части реализации Zigbee световой протокол интеллектуальных ламп Philips Hue для удаленного обновления прошивки. Как только уязвимый ключ, используемый интеллектуальными лампами Philips, был извлечен путем проведения атаки по побочному каналу, этот ключ используется для шифрования и аутентификации обновления. После этого червь быстро распространился от зараженной лампы к

другие лампы, используя их беспроводное соединение ZigBee. Такая атака позволяет злоумышленнику управлять городским освещением или использовать лампы для выполнения DDoS-атак. Было предпринято несколько исследовательских усилий по развитию интернет технологии Wide Scan для поиска уязвимых IoT-устройств.

Ким и др.  предложили модель для улучшения производительность интернет-сканера Zmap.

3.2. Обнаружение уязвимостей сети IoT.

Существует несколько подходов к обнаружению уязвимостей сети IoT. Например, сеть Интернета вещей уязвимости протокола могут быть обнаружены с использованием подхода на основе фаззинга. При таком подходе программная реализация данного протокола проверяется путем наблюдения за любым результирующим исключением, когда ложные данные отправляются преднамеренно для тестирования программного обеспечения. Подход, основанный на фаззинге, включает два основных метода фаззинга:

(i) основанный на мутациях: В этом методе ложные данные вводятся случайным образом в тестовые сообщения.

(ii) На основе генерации: Тестовые файлы в основном генерируется путем создания сообщений, соответствующих спецификациям протокола. Однако он содержит случайные и ложные данные. Основная проблема этого метода заключается в том, что он требует большого количества тестовых файлов, особенно каждый протокол имеет свой собственный формат сообщения, поэтому тратит значительное количество времени.

Луо и др. предложил метод, который выполняет обратный инжиниринг протоколов IoT, чтобы идентифицировать формат сообщений протоколов и создавать сообщения тестового файла с определенными ошибками в соответствии с форматом сообщения. Этот метод уменьшает размер тестовых файлов, используемых в подходе Fuzzing. Также они проверили анализ эффективности на основе графа на прототипе системы умного дома. Прототип состоял из смартфона, управляющего умной световой пульпой, и домашней колонки Google. Основная идея их подхода заключается в построении графа трафика на основе определенных входных файлов и выявлении коррелированных подграфов. Это позволило им идентифицировать уязвимости на основе уровня чувствительности на разные ключевые слова. Они также продемонстрировали, как использовать уязвимые суп-графы для проведения различных атак.

3.3. Обнаружение ботнетов IoT

Предыдущие работы по обнаружению ботнетов IoT можно разделить на следующие категории: основанные на аномалиях, основанные на сигнатурах, обнаружение на основе спецификаций и гибридное обнаружение. Далее следует обсуждение каждого подхода.

3.3.1. На основе аномалий

Этот подход обнаруживает ботнет IoT, распознавая ненормальное поведение в сети. Для достижения этой цели, необходимо заранее профилировать нормальное поведение сети IoT.

Саммервилл и др., разработал сверхлегкий метод, основанный на аномалиях пакетов, для обнаружения аномальной полезной нагрузки в пакете с использованием эффективных методов сопоставления для битового шаблона и  требует только операции ADD, за которой следует инкрементный счетчик, и реализован в качестве справочной таблицы для быстрой и гибкой оценки пакетов.

Sagirlar и др., предложили AutoBotCatcher, который использует концепцию цепочки блоков для обнаружения децентрализованных ботнетов P2P. Основываясь на том факте, что один и тот же ботнет обычно взаимодействует друг с другом. AutoBotCatcher предназначен для обнаружения устройств ботнета и помечает их как одно сообщество, анализируя обмен сетевым трафиком между различными устройствами. AutoBotCatcher использует агентов для мониторинга трафика, которым обмениваются устройства IoT. Эти агенты сообщают информацию они собирают как транзакцию цепочки блоков к большому доверенному объекту в сети, называемому генератором блоков, который моделирует взаимную контактную информацию устройства IoT в виде графа взаимных контактов. Затем используется метод Лувена для обнаружения сообщества ботнета на основе графа.

3.3.2. На основе подписи

P.Ioulianou и др.  предложили основанную на сигнатурах систему обнаружения ботнетов IoT, которая использует Intrusion технология системы обнаружения (IDS - Intrusion Detection System), которая обычно используется для мониторинга сетей на наличие известных вредоносных действий и нарушения политики, основанные на совпадении сигнатур атак. В их системе модули IDS настроены на работу в гибридном режиме. Модуль обнаружения и брандмауэра под названием Router IDS и облегченный мониторинг модуль под названием Detector IDS. Эти модули распространяются в сети рядом с IoT-устройствами, что не требуют каких-либо модификаций программного обеспечения на датчиках или устройствах. Detector IDS регистрирует сетевой трафик и отправляет его на

IDS маршрутизатора, который обнаружит злонамеренное поведение узла, если оно будет похоже на известную атаку.  Хошхалпур и др., предложил подход на основе хоста под названием BotRevealer для обнаружения ботнета IoT на ранней стадии заражения с использованием ботнета. Они анализируют запущенный процесс и сетевую активность на устройство (host) на основе статистических особенностей последовательности пакетов и сравнить его с характером поведения трафика ботнета.

3.3.3. На основе спецификации

Этот подход ,основанный на аномалиях, но он учитывает технические характеристики системы.

Карли и др. предложили метод автоматического вмешательства для спецификаций вредоносной сети. Протокол с использованием образцов связи вредоносных программ и двоичных файлов вредоносных программ. Поскольку каждая вредоносная программа имеет свой собственный настраиваемый двоичный формат, и каждый протокол C&C имеет свое собственное семейство вредоносных программ, это обеспечит остаток следа для структур вредоносного ПО и его намерения. Они предложили системное поле типа сообщения, описывающее все типы полей в сообщении, а затем использовать алгоритм интерференции типов для интерференции структуры сообщения. Однако большинство C&C сетевой трафик шифруют, поэтому они применяют динамический анализ трафика для извлечения системных ключей C&C. Прокофьев и др. предложили метод обнаружения ботнетов IoT на этапе распространения вредоносных программ, когда зараженные устройства начинают использовать другие устройства в сети, используя стратегию атаки грубой силы.

3.3.4. Гибридный

Обнаружение гибридных ботнетов IoT обычно использует два подхода к обнаружению. Например, обнаружение ботнетов на основе подписи IoT можно сочетать с обнаружением ботнетов IoT на основе ананомалий. Это имеет то преимущество, что сводит к минимуму ложноположительные и ложноотрицательные показатели обнаружения систем.

Sedjelmaci et al. предложили аномалию низкого энергопотребления и ботнет IoT на основе сигнатур, система обнаружения и использование методов теории игр, чтобы решить, требуется ли активация агента IDS на обнаружение аномалии или нет. Таким образом, повышение точности обнаружения при одновременном снижении энергопотребления в IoT-устройстве. Другая гибридная система обнаружения была предложена Bostani et al. Эта система объединяет модели обнаружения вторжений на основе аномалий и спецификаций для обнаружения атак в IoT. Спецификация на основе агента обнаружения будет располагаться на узлах маршрутизаторов - он проанализирует поведение хост-узла и отправит результаты на корневой узел, где находится агент обнаружения аномалий.

4. ПРЕДЛАГАЕМАЯ РАБОТА: ОБНАРУЖЕНИЕ И ПРЕДОТВРАЩЕНИЕ DDOS DDOS-атак ботнетов Интернета вещей с помощью SIEM.

В этом разделе мы представляем предлагаемое обнаружение и смягчение последствий DDoS-атак ботнетов IoT на основе SIEM, уделяя особое внимание общей архитектуре системы и реализации прототипа.

4.1. Архитектура системы

Системы SIEM в основном используются в сфере безопасности для корреляции событий, о которых сообщают различные сетевые технологии защиты безопасности (например, системы обнаружения вторжений, брандмауэры, собственные решения для устройств, системные журналы операционных систем и т. д.), развернутые в корпоративной сети. Результаты корреляции событий указать есть инцидент безопасности или нет. Есть несколько недавних исследований об использовании решения SIEM для безопасности IoT. Эти исследования были сосредоточены в основном на эффективной доставке данных IoT к SIEM-системе для анализа и корреляции событий.

Рисунок 1. Базовая архитектура предлагаемой системы

На рис. 1 изображена базовая архитектура предлагаемой системы. Во-первых, журналы трафика IoT пересылаются шлюзом по умолчанию в систему SIEM. Эти журналы трафика получаются с различных устройств IoT в контролируемой сети, включая IP-камеры, считыватели отпечатков пальцев, датчики системы управления зданием и т. д.

Решение SIEM выполняет последовательность задач обработки данных, включая синтаксический анализ, индексирование и сохранение этих данных в журналы в высокодоступных защищенных базе данных. Затем журналы анализируются, и в случае какого-либо ненормального поведения по сравнению с профилем трафика рассматриваемого устройства, он обнаруживает атаку и предупреждает администратора сети.

DDoS-атаки обычно характеризуются большим объемом пакетов. Таким образом, обнаружение DDoS атаки в нашей системе основаны на сравнении количества пакетов определенного типа (например, SYN, ICMP или DNS), которые предназначены для определенного компьютера, до предварительно определенного порогового значения. Как только атака обнаружена, SIEM смягчает текущую атаку, автоматически настраивая приложение брандмауэра, установленное по умолчанию на шлюзе, чтобы были добавлены новые правила для блокировки атакующего трафика.

4.2. Реализация прототипа

Корпоративная сеть (например, кампусная сеть) обычно имеет различные типы устройств IoT, такие как IP-камеры, датчики температуры, система учета рабочего времени по отпечаткам пальцев и т. д. Мониторинг этих устройств по отдельности будет затруднено из-за неоднородности трафика. В этой статье мы реализовали прототип IoT, система обнаружения ботнетов на базе SIEM-решения. Наша цель — показать, что можно обнаружить различные типы вредоносного трафика, исходящий от различных IoT-устройств. Прототип реализации предложенных систем показан на рисунке 2. Этот прототип состоит из следующих основных компонентов:

Рисунок 2. Топология сети с SIEM системой для обнаружения Ботнетов

 (a) Ботнет IoT: в сети любой организации существуют различные типы уязвимых устройств IoT которые подвержены ботнетом. В нашем прототипе мы представили ботнет IoT Raspberry Pi v1, который представляет собой Аппаратную платформу с открытым исходным кодом, которую можно использовать для устройств IoT специального назначения. Мы установили код бота, написанные на языке сценариев Python на этих устройствах, чтобы генерировать различные типы атакующего трафика, включающих в себя SYN-флуд, DNS-флуд и ICMP-флуд. Кроме того, мы использовали камеру Cisco 2520V с купольной IP-камерой Cisco Video Surveillance 2421 для создания фонового IoT трафика. Боты получают команды в формате: (тип, количество, IP, данные), где тип представляет пакет атаки (например, SYN, DNS или ICMP), количество указывает количество пакетов, которые должны быть отправлены в случае лавинной рассылки атаки, IP представляет собой IP-адрес целевой системы, а данные указывают номер порта, если в случае SYN-флуд-атаки или в случае DNS-атаки, не используется пинг-сканирование, то каждый бот запускает скрипт Python для проведения атаки на основе параметров, заданных в команде, полученной от ботмастер.

(b) Шлюз: мы настроили компьютер с Linux для работы в качестве шлюза по умолчанию для устройств IoT.Машина имеет два сетевых интерфейса. Один интерфейс обращен к Интернету, а другой обращен в локальную сеть, в которой расположены IoT-устройства. Мы запускаем tcpdump на этой машине, чтобы захватить IoT трафик. Мы использовали команду:

bash tcpdump– – n– – e– – i\interface» > logfile.log

для захвата всего исходящего трафика и сохранения его в файле журнала для периодической пересылки на сервер Splunk. Здесь мы использовали опции -n и -e, чтобы не преобразовывать IP-адрес и включать MAC-адреса в захват трафика соответственно. Мы установили и настроили форвардер Splunk на шлюзе для пересылки сгенерированный файл журнала трафика на сервер Splunk. Мы указали тип источника и индекс на форвардере как тот же тип источника и индекс, который мы определили на сервере Splunk. Сервер был настроен как показано на рис. 3, где порт 9997 использовался для получения журналов трафика, а порт 8089 — для управления.

Кроме того, мы использовали IPTABLES для добавления определенных правил, предотвращающих аномальный трафик, генерируемый из конкретное устройство IoT и нацеливание на определенную машину.

Рисунок 3. Файл outputs.conf и файл deploymentclient.conf

(c) Решение SIEM: мы использовали известное решение Splunk SIEM для анализа собранного IoT-трафика через шлюз. Splunk был установлен на отдельном сервере и настроен для представления журнала трафика в удобном для чтения и поиска виде. Это потребовало от нас извлечения определенных полей из журнала трафика IoT и представлять их в формате, удобном для чтения Splunk. Система Splunk представляет собой ядро ​​нашей системы обнаружения ботнетов IoT. В связи с этим собранные журналы трафика были проанализированы, проиндексированы и сохранены в защищенную базу данных, предназначенную только для обеспечения высокой доступности и анализа в режиме реального времени. Анализ этого трафика позволил нам понять поведение контролируемого устройства. Более того, Splunk был настроен на оповещение сетевому администратору о подозрительных событиях и автоматически добавлять защитные правила в брандмауэр, чтобы заблокировать атакующий трафик, исходящий от зараженных IoT-устройств.

(d) Брандмауэр: мы использовали IPTABLES для реализации брандмауэра, в котором SIEM настроен для добавления определенных правил для блокировки определенных типов трафика в полностью автоматическом режиме на основе анализа журнала трафика IoT. Добавление/удаление правил осуществляется через SSH-соединение между SIEM и брандмауэром.

4.3. Генерация оповещения об атаке

Платформа Splunk SIEM была настроена для генерации трех типов предупреждений после обнаружения атаки. Как показано на рис. 4, эти оповещения в основном относятся к атаке SYN-flood, Атаке DNS-флуда и оповещение о ICMP-сканировании. Оповещение было настроено путем определения конкретного поиска, основанного на заголовки пакетов, обнаруженные в периодически получаемых журналах трафика.

Рисунок 4. Основные оповещения, определенные в платформе Splunk

Например, в случае атаки SYN-flood оповещение генерируется всякий раз, когда платформа SIEM обнаруживает большое количество SYN-пакетов, направленных на определенную систему. SIEM читает журнал трафика непрерывно и ищет SYN-пакеты, исходящие из заданного источника и нацеленные на заданный пункт назначения (т. е. связь один к одному) и считает их за определенный период времени, если количество пакетов превышает предопределенное пороговое значение, оповещение отправит администратору электронное письмо с уведомлением о продолжающейся атаке.

Поиск этого предупреждения показан на рис. 5. Эта команда поиска в основном предназначена для поиска пакетов с установленным флагом SYN в журналах трафика, пришедших из индекса traffic idx, и отсортировавшихся их на основе (Src MAC,Src IP и Dst IP). Совпадающие результаты заносятся в специальную таблицу, и все записи с count менее 100 удаляются из таблицы. Наконец, извлекаются поля (Src MAC, Src IP и Dst IP). для включения в электронное письмо с уведомлением об атаке, как показано на рис. 6.

Рисунок 5. Команда поиска оповещения о SYN-флудах

Рисунок 6. Конфигурация сведений об уведомлении об атаке по электронной почте

5. ОЦЕНКА

Реализация прототипа, описанного в подразделе 4.2. использовалась для проверки работоспособности предпологаемой системы. В этом прототипе ботам IoT было поручено залить целевую систему различными типами пакетов атаки. Затем журналы трафика IoT периодически пересылались на сервер Splunk. В то время как Splunk платформа поставляется с предопределенными типами источников (например, syslog, apachelog и т. д.), журнал трафика IoT, захваченный tcpdump не может быть распознан Splunk. Поэтому мы определили новый тип источника под названием «tcpdump traffic».

Определить новый тип источника можно, создав новый файл в папке конфигурации при развертывании SIEM, этот файл находится в «$SPLUNK HOME/etc/system/local», тип источника помогает серверу SIEM определить как сервер может реагировать на такой лог. Кроме того, мы добавили специальное поле, называемое штампом, в каждый пересылаемый  пакет таким образом, чтобы Splunk определил тип источника полученного журнала.

В Splunk требуется написать определенные регулярные выражения для извлечения определенных полей пакета из журналы трафика. Для обнаружения ботнета IoT мы поручили Splunk извлечь: Исходный Mac-адрес (Src MAC),

Mac-адрес назначения (Dst MAC), исходный IP-адрес (Src IP), целевой IP-адрес (Dst IP), исходный порт, порт назначения. На рис. 7 показан пример извлеченных полей из одного из пакеты. Для каждого из упомянутых выше типов атак мы устанавливаем пороговое значение количества пакетов исходящие от устройств IoT. Как только это число превысит пороговое значение, на адрес электронной почты будет отправлено уведомление сетевым администратором, и в брандмауэр автоматически добавляется правило фильтрации для блокировки атакующего трафика.

Рисунок 7. Поля основного заголовка пакета, извлеченные Splunk

Мы протестировали прототип, проводя различные типы атак, включая SYN-флуд, DNS-флуд, и ICMP-флуд. Например, в случае SYN-флуда ботмастер дал указание IoT-устройству залить целевую машину (IP-адрес: 10.242.232.144) пакетами SYN. На рис. 8 показан трафик wireshark и показан захват на двух сетевых интерфейсах шлюза рядом. Splunk уведомляет администратора об этом атаки, как показано на рис. 9, и правило фильтрации автоматически добавляется в IPTABLES, чтобы заблокировать атаку, как показано на рис. 10. Аналогичным образом решались и другие атаки.

Рисунок 8. Захват трафика wireshark для атаки SYN-флудом со стороны Интернета и со стороны сети IoT

Рисунок 9. Оповещение по электронной почте, сгенерированное Splunk, о продолжающейся атаке SYN-флуда

Рисунок 10. В iptables автоматически добавляется правило фильтрации для блокирования атакующего трафика

6. ВЫВОДЫ

С быстрым внедрением устройств IoT в нашу повседневную жизнь растет беспокойство по поводу использования уязвимости этих устройств для формирования ботнетов IoT и выполнения различных типов атак. DDoS-атаки происходящие из ботнетов IoT, представляют непосредственную угрозу для современного Интернета из-за способности злоумышленников для генерации большого объема пакетов от миллионов скомпрометированных устройств IoT. В этой статье мы предложили SIEM на основе системы для обнаружения и смягчения этого типа атак. Предлагаемая система обнаруживает и блокирует DDoS-атаки трафик от скомпрометированных устройств IoT путем мониторинга определенных типов пакетов, включая TCP SYN, ICMP и пакеты DNS, исходящие от этих устройств. Также мы обсудили прототип реализации предложенного система, показывающая, как решения на основе SIEM могут быть настроены для точного выявления и блокировки вредоносного трафика, исходящий от скомпрометированных устройств IoT. Кроме того, мы обсудили последние достижения в области  ботнетов в IoT, ориентированные в основном на основные методы обнаружения уязвимостей IoT-устройств и основные подходы к обнаружению ботнетов IoT.

Список литературы:

1. H. Lin and N. Bergmann. IoT privacy and security challenges for smart home environments. Information, 7(3):44, 2016.
2. S. Baker, W. Xiang, and I. Atkinson. Internet of things for smart health care: Technologies, challenges, and opportunities. IEEE Access, 5:26521–26544, 2017.
3. Splunk SIEM solution, https://www.splunk.com/. (Accessed on 09/18/2019)
4. K. Angrishi. Turning Internet of things into Internet of vulnerabilities (IovV: IoI botnets. arXiv preprint arXiv:1702.03681, 2017.
5. H. Boyes, B. Hallaq, J. Cunningham, and T. Watson. The industrial internet of things (iiot): An analysis framework. Computers in Industry, 101:1–12, 2018.
6. IoT: number of connected devices worldwide 2012-2025 — statista. https://www.statista.com/statistics/471264/iot-number-of-connected-devices-worldwide/. (Accessed on 03/09/2019).
7. P. Ioulianou, V. Vasilakis, I. Moscholios, and M. Logothetis. A Signature-based Intrusion Detection System for the Internet of Things. 2018.
8. L. De Carli, R. Torres, G. Modelo-Howard, A. Tongaonkar, and S. Jha. Botnet Protocol Inference in the Presence of Encrypted Traffic. In IEEE INFOCOM 2017 - IEEE Conference on Computer Communications, pages 1–9, May 2017.
9. H. Sedjelmaci, S. M. Senouci, and M. Al-Bahri. A Lightweight Anomaly Detection Technique for Low- Resource IoT Devices: A Game-Theoretic Methodology. In 2016 IEEE International Conference on Communications (ICC), pages 1–6, May 2016.
10. H. Sedjelmaci, S. M. Senouci, and M. Al-Bahri. A Lightweight Anomaly Detection Technique for Low- Resource IoT Devices: A Game-Theoretic Methodology. In 2016 IEEE International Conference on Communications (ICC), pages 1–6, May 2016.
11. J. Luo, C. Shan, J. Cai, and Y. Liu. IoT Application-Layer Protocol Vulnerability Detection Using Reverse Engineering. Symmetry, 10(11):561, 2018.