Том 12, №2, 2020
РусскийEnglish

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ



Детектирование DoS атак, использующих CONNECT сообщения протокола MQTT

Дикий Д.И.

Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики (Университет ИТМО), http://www.itmo.ru/
Санкт-Петербург 197101, Российская Федерация

Поступила 25.09.2019, рецензирована 10.03.2020, после доработки 30.03.2020, принята 13.04.2020


Аннотация. Обнаружение DoS-атак в рамках Интернета вещей является актуальной задачей для обеспечения безопасности этой инфраструктуры. При реализации атаки злоумышленник генерирует большое число запросов на подключение к сети Интернет вещей по протоколу MQTT, что делает коммутационный узел недоступным для других пользователей. Рассмотрены средства и методы детектирования атак как для сетей Интернет в целом, так и для сетей Интернет вещей. Для детектирования атак на основе анализа сетевого трафика предложен метод формирования вектора признаков. Вектор признаков состоит из параметров частоты передачи сообщений за интервал времени для устройства, имеющего один и тот же ip-адрес. В качестве классификаторов были рассмотрены многослойный персептрон, алгоритм случайный лес и метод опорных векторов. Была собрана экспериментальная установка, на которой были сгенерированы обучающие и тестовые выборки с заданными параметрами трафика. Эксперимент показал, что для достижения максимального качества классификации увеличение размерности вектора признаков не требуется. Было проведено сравнение выше перечисленных алгоритмов по значению F1-меры, в ходе которого выяснилось, что лучше других с задачей классификации справляется искусственная нейронная сеть в виде многослойного персептрона. При этом интервал времени, на основании которого формируется вектор признаков, должен превышать 1.5 секунды для достижения значения F1-меры более 0.99 при частоте подключения легального устройства один раз в секунду. Исследование показало эффективность применения рассмотренных классификаторов на базе предлагаемого вектора признаков для детектирования атаки на отказ в обслуживании.

Ключевые слова: интернет вещей, отказ в обслуживании, MQTT, машинное обучение, случайный лес, многослойный персептрон, метод опорных векторов, телекоммуникации, детектирование атак

УДК 004.052.3

РЭНСИТ, 2020, 12(2):287-296. DOI: 10.17725/rensit.2020.12.287.


Полнотекстовая электронная версия статьи – на вебсайтах http://elibrary.ru и http://rensit.ru/vypuski/article/332/12(2)287-296.pdf