Analysis of a distributed implementation of the data stream novelty detection algorithm MINAS for intrusion detection in a fog environment

Autor: Puhl de Souza, Luís Henrique
Přispěvatelé: Senger, Hermes
Jazyk: portugalština
Rok vydání: 2021
Předmět:
Zdroj: Repositório Institucional da UFSCAR
Universidade Federal de São Carlos (UFSCAR)
instacron:UFSCAR
Popis: Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) The ongoing implementation of the Internet of Things (IoT) is sharply increasing the number and variety of small devices on edge networks. Likewise, the attack opportunities for hostile agents also grows, requiring more effort from network administrators and strategies to detect and react to those threats. For a network security system to operate in the context of fog and IoT, it has to comply with processing, storage, and energy requirements alongside traditional requirements for stream and network analysis like accuracy and scalability. Using a previously defined architecture (IDSA-IoT), we address the construction and evaluation of a support mechanism for distributed Network Intrusion Detection Systems (NIDS) based on the MINAS Data Stream Novelty Detection algorithm. We discuss the algorithm steps, how it can be deployed in a distributed environment, the impacts on the accuracy, and evaluate performance and scalability using a cluster of constrained devices commonly found in IoT scenarios. The obtained results show equivalent metrics in the distributed version but also a reduction in the execution time using low-profile devices. Although not efficient, the parallel version showed to be viable as the proposed granularity provides equivalent accuracy and the same response times. Em um cenário de crescente número de dispositivos na Internet das Coisas (IoT), gerando um crescimento no volume dos fluxos de dados gerados, são constantes e evolutivas as ameaças ativas e passivas aos recursos computacionais e aos conteúdos transmitidos. Métodos para mineração de dados de forma robusta e contínua podem ser um aliado à segurança nesses casos. Particularmente em ambientes distribuídos e nos quais busca-se manter o tratamento dos fluxos de informação próximo de onde eles são gerados, como nas bordas das redes IoT, e na computação em névoa de maneira geral, a detecção de ameaças é essencial e não trivial. Além disso, a evolução constante dos tipos de dispositivos e de tráfegos nessas redes favorece que as ferramentas de detecção de ameaças sejam beneficiadas por algoritmos de Detecção de Novidades em Fluxo de Dados. MINAS é um exemplo de algoritmo de detecção de novidades em fluxos de dados com potencial para aplicação na computação em névoa. No entanto, apesar de sua divisão em três partes semi-independentes, este algoritmo ainda não foi adaptado para tratar grandes volumes de fluxos reais em ambiente de computação em névoa. O presente trabalho aborda essa lacuna propondo um sistema que implementa o algoritmo MINAS de maneira distribuída inserido num contexto de detecção de intrusão e computação em névoa. Esta implementação foi feita em MPI e é avaliada com auxílio do conjunto de dados Kyoto 2006+ em um ambiente de teste com 3 nós com recursos limitados. Os resultados obtidos mostram a viabilidade do modelo de detecção de novidades distribuído em ambiente de computação em névoa. Observou-se baixa degradação nas métricas de classificação porém com redução no número de novidades (anomalias, ataques) encontradas. Além disso, observou-se redução do tempo de processamento na nova implementação distribuída em relação à implementação original, porém o speedup não refletiu a adição de processadores. CNPq: 167345/2018-4
Databáze: OpenAIRE
Externí odkaz: