Threat Detection, Identification and Quarantine in wireless IoT based Critical Infrastructures
In recent years, Critical Infrastructures (CIs) have become under siege from various cyber criminals with nefarious objectives. With the advancements of new technological paradigms such as the Internet-of-Things (IoT) providing a much wider range of services, from military drones and sensors to wearable healthcare devices, new attack vectors have emerged. As a result, attackers can target the vulnerabilities and characteristics of IoT devices, impacting the underlying CI and even innocent bystanders. These devices which use multi-hop wireless technologies are at risk of routing-based attacks, directly targeting data transmission. It is in this context that this thesis is situated, aiming to provide necessary tools to detect and avoid these threats.
To help combat these threats, they must first be analysed, paving the way for more modern and adaptable detection and mitigation systems. Thanks to novel incident handling, warning and response systems, such as the platform proposed and developed as part of the H2020 EU CyberSANE project, CI protection is ever increasing. In this thesis, we turn our attention to IoT multi-hop security, proposing a consensus-based observational algorithm allowing network nodes to analyse the behaviour of their neighbours. The values produced from this consensus metric are subsequently shared throughout the network using blockchain technology, providing a transparent and secure distribution and storage system for all network nodes. Thus, we grant the capability for these nodes to express the trustworthiness of these neighbours using the notion of reputation, quickly separating malicious entities from good ones. We also propose an integration method, allowing for these reputational values to be incorporated into multiple multi-hop routing protocols. Thanks to this approach, we are capable of influencing the protocol’s path selection algorithms, privileging higher reputable routes where available. By allowing this integration system to not only adapt to the protocol at hand but also the network itself, we can allow maximum precision for the identification of malicious devices. Firstly, we evaluate this approach in conjunction with two reactive routing protocols, Ad hoc On-Demand Distance Vector (AODV) and Dynamic Source Routing (DSR). Subsequently, we also discuss the possible integration with proactive protocols, such as the Routing Protocol for Low-Power and Lossy Networks (RPL). Thanks to this analysis, we demonstrate an increase in network routing efficiency as well as a reduction of malicious impact on network routing, thanks to our consensus-based reputation module.
Finally, we propose an extension to this module introducing the notion of quarantine for malicious nodes. By defining various threat levels, we can influence the severity of the quarantine response as well as the direct consequences of malicious actions. This extension pushes the path selection even further, effectively isolating high level threats, stopping them from partaking on contributing towards network-based activities.
Détection, Identification et mise en Quarantaine des menaces dans les Infrastructures Critiques sans fil basées sur l'IoT
Ces dernières années, les Infrastructures Critiques (CI) sont devenues la cible de divers cybercriminels aux objectifs néfastes. Grâce aux développements de nouveaux paradigmes technologiques tels que l’Internet des Objets (IoT), fournissant une large gamme de services allant des drones et des capteurs militaires aux dispositifs médicaux portatifs, de nouveaux vecteurs d’attaque ont émergé. Ainsi, les attaquants peuvent désormais cibler les vulnérabilités et caractéristiques des équipements IoT, ayant un impact sur la CI sous-jacente et plus largement affecter la population. Les appareils qui utilisent des technologies sans fil multi-sauts sont exposés à un risque d’attaques entre autre de routage, ciblant la transmission de données. C’est dans ce contexte que cette thèse s’inscrit, visant à fournir les outils nécessaires permettant de détecter et d’éviter ces menaces.
Pour combattre ces menaces, elles doivent être analysées, ouvrant ainsi la voie vers des systèmes de détection et de mitigation modernes. Grâce à de nouveaux systèmes de gestion d’incident, d’alerte et de réponse, tels que la plateforme proposée et développée dans le cadre du projet Européen H2020 CyberSANE, la protection des CI s’accroît. Dans cette thèse, nous portons notre attention sur la sécurité des réseaux IoT multi-sauts et proposons un algorithme de consensus fondé sur l’observation des nœuds du réseau, leur permettant d’analyser le comportement de leurs voisins. Les valeurs obtenues par le consensus sont ensuite distribuées à travers le réseau via la technologie blockchain, fournissant un système de stockage et de distribution à la fois transparent et sécurisé pour l’ensemble des nœuds du réseau. Ainsi, nous fournissons aux nœuds la capacité d’exprimer la fiabilité de leurs voisins en utilisant la notion de réputation, permettant la séparation rapide des entités malicieuses. Nous proposons également une méthode, permettant l’intégration de cette réputation dans plusieurs protocoles de routage multi-sauts. Grâce à cette approche, nous sommes capables d’influencer les algorithmes de sélection de chemins, privilégiant ainsi les routes les plus fiables quand cela est possible. En permettant à ce système d’intégration de s’adapter non seulement au protocole de routage, mais au réseau lui-même, nous pouvons détecter avec une précision maximale les équipements malicieux. Dans un premier temps, nous évaluons cette approche avec deux protocoles de routage réactif, Ad hoc On-Demand Distance Vector (AODV) et Dynamic Source Routing (DSR). Puis nous abordons comment l’intégrer avec des protocoles proactifs tels que le Routing Protocol for Low-Power and Lossy Networks (RPL). Grâce à cette analyse, nous démontrons une augmentation de l’efficacité de routage dans le réseau entier ainsi que la réduction de l’impact des entités malicieuses sur le routage, grâce à notre module de consensus basé sur la réputation.
Enfin, nous proposons une extension à ce module avec la notion de quarantaine pour les nœuds malicieux. En définissant divers niveaux de menaces, nous pouvons influencer l’intensité du niveau de quarantaine ainsi que les conséquences directes des actions malicieuses entreprises. Cette extension pousse la sélection des routes encore plus loin, en isolant les menaces de haut niveau en les empêchant de participer ou de contribuer aux activités du réseau.
