HADES-IoT: A practical host-based anomaly detection system for IoT devices (Extended Version)

• https://arxiv.org/abs/1905.01027

Security and privacy, intrusion detection, system call interception, loadable kernel module, host-based anomaly detection, tamper-proof protection

Zařízení internetu věcí (IoT) se stala všudypřítomná a jsou rozšířena v mnoha aplikačních doménách včetně průmyslu, dopravy, zdravotnictví a domácností. Rozšíření IoT zařízení však vyvolalo obavy o jejich bezpečnost, zejména když si všimneme, že mnoho výrobců se kvůli krátké době uvedení na trh soustředí pouze na základní funkce svých produktů, přičemž zanedbává bezpečnostní aspekty. Navíc neexistuje žádná zavedená nebo standardizovaná metoda pro měření a zajištění bezpečnosti IoT zařízení. V důsledku toho zůstávají zranitelnosti neošetřeny, což útočníkům umožňuje využívat zařízení IoT pro různé účely, jako je ohrožení soukromí, zneužití zařízení v botnetu nebo zneužití zařízení k provádění těžby kryptoměn. V tomto článku představujeme praktický systém detekce anomálií pro IoT (HADES-IoT), který představuje poslední linii obrany. HADES-IoT má proaktivní detekční schopnosti, poskytuje odolnost proti neoprávněné manipulaci a lze jej nasadit na širokou škálu zařízení IoT na bázi Linuxu. Hlavní výhodou HADES-IoT je nízká výkonová režie, díky čemuž je vhodný pro doménu IoT, kde nelze aplikovat nejmodernější přístupy z důvodu jejich nároků na vysoký výkon. Nasadili jsme HADES-IoT na sedm zařízení IoT, abychom vyhodnotili jeho efektivitu a režii výkonu. Naše experimenty ukazují, že HADES-IoT dosáhl 100% účinnosti při detekci aktuálního IoT malwaru, jako je VPNFilter a IoTReaper; přičemž v průměru vyžaduje pouze 5,5 % dostupné paměti a způsobuje pouze nízké zatížení procesoru.