Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.

Detalhes bibliográficos
Ano de defesa: 2025
Autor(a) principal: Carrer, Alexandre Marques
Orientador(a): Não Informado pela instituição
Banca de defesa: Não Informado pela instituição
Tipo de documento: Dissertação
Tipo de acesso: Acesso aberto
Idioma: por
Instituição de defesa: Biblioteca Digitais de Teses e Dissertações da USP
Programa de Pós-Graduação: Não Informado pela instituição
Departamento: Não Informado pela instituição
País: Não Informado pela instituição
Palavras-chave em Português:
Aprendizado computacional
Internet das Coisas
Internet of Things
Intrusion detection system
Machine learning
Sistemas de detecção de intrusão
Link de acesso: https://www.teses.usp.br/teses/disponiveis/3/3141/tde-10122025-083046/
Resumo: Embora dispositivos IoT sejam comumente explorados como vetores de ataque em campanhas DDoS de larga escala, ataques DoS direcionados principalmente a redes IoT estão se tornando mais comuns. Em cenários onde IoT é o alvo, como agricultura de precisão, atacantes visam dispositivos com recursos limitados e Redes de Baixa Potência e com Perdas (LLNs) para prejudicar seu desempenho. A literatura apresenta Sistemas de Detecção de Intrusão (IDSs) como uma opção de segurança viável para detectar ataques DoS em LLNs. IDSs analisam métricas escolhidas para detectar comportamento irregular, pacotes de rede com uma abordagem baseada em rede, ou métricas operacionais do dispositivo, com uma abordagem baseada em host. Soluções IDS centralizadas alimentadas por Aprendizado de Máquina são exploradas em ambientes LLN, onde elas usam principalmente métricas baseadas em rede para inferência. A literatura em segurança IoT relata ataques DoS impactando diretamente métricas baseadas em host em dispositivos IoT, com mudanças súbitas em métricas de múltiplos hosts frequentemente correlacionando-se a um ataque DoS na rede. Apesar de comprovadamente conter informações valiosas para detecção de ataques de rede, métricas baseadas em host ainda são subutilizadas em IDS para detectar cenários DoS. A literatura correlaciona principalmente o sucesso em implementações de IDS IoT a uma simples alta taxa de detecção de ataque (DR), e apesar dos avanços na pesquisa de IDS para IoT, essas abordagens existentes frequentemente: (i) falham em equilibrar precisão de detecção com eficiência de recursos; (ii) sofrem de um único ponto de falha em cenários DoS; e (iii) carecem de cooperação de rede para localizar corretamente a posição do atacante. Nosso objetivo de pesquisa é demonstrar a viabilidade de usar métricas de rede e operacionais para aprimorar a detecção de intrusão leve em IoT. Para isso, apresentamos um Sistema de Detecção de Intrusão Cooperativo que combina classificação de aprendizado de máquina centralizada com análise de ponto de mudança distribuída para detecção de intrusão leve em redes IoT com recursos limitados. A viabilidade é demonstrada através de uma análise de taxa de detecção individual para os componentes centralizados e distribuídos do IDS, e uma avaliação das informações extras do status da rede que podemos extrair quando ambos os componentes cooperam. Nossa abordagem centralizada utiliza tanto tráfego de rede quanto métricas operacionais coletadas de dispositivos individuais, com classificação XGBoost alcançando 97.07% de precisão na identificação de ataques blackhole, greyhole e flooding. O componente distribuído emprega detecção de ponto de mudança baseada em CUSUM leve diretamente nos nós IoT. Nosso mecanismo cooperativo agrega detecções distribuídas para alcançar mais de 92% de taxas de detecção de nós individuais enquanto reduz falsos positivos para aproximadamente 0.4%. Isso permite detecção com sobrecarga mínima de 8.2% de uso de RAM e 0.6% de aumento em ciclos de CPU por segundo. Isso fornece resistência contra ataques de Negação de Serviço, elimina o único ponto de falha em abordagens apenas centralizadas. Ao mesmo tempo, mantém alta precisão de detecção e eficiência de recursos, e reduz a sobrecarga de comunicação comparado a abordagens puramente centralizadas ou distribuídas
id USP_49ba47dda4db3f417b69e4d10f9daf07
oai_identifier_str oai:teses.usp.br:tde-10122025-083046
network_acronym_str USP
network_name_str Biblioteca Digital de Teses e Dissertações da USP
repository_id_str
spelling Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.Leveraging network and operational metrics for cooperative intrusion detection for the Internet of ThingsAprendizado computacionalInternet das CoisasInternet of ThingsIntrusion detection systemMachine learningSistemas de detecção de intrusãoEmbora dispositivos IoT sejam comumente explorados como vetores de ataque em campanhas DDoS de larga escala, ataques DoS direcionados principalmente a redes IoT estão se tornando mais comuns. Em cenários onde IoT é o alvo, como agricultura de precisão, atacantes visam dispositivos com recursos limitados e Redes de Baixa Potência e com Perdas (LLNs) para prejudicar seu desempenho. A literatura apresenta Sistemas de Detecção de Intrusão (IDSs) como uma opção de segurança viável para detectar ataques DoS em LLNs. IDSs analisam métricas escolhidas para detectar comportamento irregular, pacotes de rede com uma abordagem baseada em rede, ou métricas operacionais do dispositivo, com uma abordagem baseada em host. Soluções IDS centralizadas alimentadas por Aprendizado de Máquina são exploradas em ambientes LLN, onde elas usam principalmente métricas baseadas em rede para inferência. A literatura em segurança IoT relata ataques DoS impactando diretamente métricas baseadas em host em dispositivos IoT, com mudanças súbitas em métricas de múltiplos hosts frequentemente correlacionando-se a um ataque DoS na rede. Apesar de comprovadamente conter informações valiosas para detecção de ataques de rede, métricas baseadas em host ainda são subutilizadas em IDS para detectar cenários DoS. A literatura correlaciona principalmente o sucesso em implementações de IDS IoT a uma simples alta taxa de detecção de ataque (DR), e apesar dos avanços na pesquisa de IDS para IoT, essas abordagens existentes frequentemente: (i) falham em equilibrar precisão de detecção com eficiência de recursos; (ii) sofrem de um único ponto de falha em cenários DoS; e (iii) carecem de cooperação de rede para localizar corretamente a posição do atacante. Nosso objetivo de pesquisa é demonstrar a viabilidade de usar métricas de rede e operacionais para aprimorar a detecção de intrusão leve em IoT. Para isso, apresentamos um Sistema de Detecção de Intrusão Cooperativo que combina classificação de aprendizado de máquina centralizada com análise de ponto de mudança distribuída para detecção de intrusão leve em redes IoT com recursos limitados. A viabilidade é demonstrada através de uma análise de taxa de detecção individual para os componentes centralizados e distribuídos do IDS, e uma avaliação das informações extras do status da rede que podemos extrair quando ambos os componentes cooperam. Nossa abordagem centralizada utiliza tanto tráfego de rede quanto métricas operacionais coletadas de dispositivos individuais, com classificação XGBoost alcançando 97.07% de precisão na identificação de ataques blackhole, greyhole e flooding. O componente distribuído emprega detecção de ponto de mudança baseada em CUSUM leve diretamente nos nós IoT. Nosso mecanismo cooperativo agrega detecções distribuídas para alcançar mais de 92% de taxas de detecção de nós individuais enquanto reduz falsos positivos para aproximadamente 0.4%. Isso permite detecção com sobrecarga mínima de 8.2% de uso de RAM e 0.6% de aumento em ciclos de CPU por segundo. Isso fornece resistência contra ataques de Negação de Serviço, elimina o único ponto de falha em abordagens apenas centralizadas. Ao mesmo tempo, mantém alta precisão de detecção e eficiência de recursos, e reduz a sobrecarga de comunicação comparado a abordagens puramente centralizadas ou distribuídasWhile IoT devices are commonly exploited as attack vectors in large-scale DDoS campaigns, DoS attacks primarily targeting IoT networks are becoming more common. In IoT-targeted scenarios, such as precision agriculture, attackers target resource constrained devices and Low-power and Lossy Networks (LLNs) to hinder its performance. Literature presents Intrusion Detection Systems (IDSs) as a viable security option for detecting DoS attacks in LLNs. IDSs analyze chosen metrics to detect irregular behavior, network packets with a network-based approach, or operational metrics of the device, with a host-based approach. Centralized IDS solutions powered by Machine Learning are explored in LLN environments, where they primarily use network-based metrics for inference. Literature in IoT security reports DoS attacks directly impacting host-based metrics in IoT devices, with sudden changes in metrics of multiple hosts often correlating to a DoS attack in the network. Despite proven to contain valuable information for network attack detection, host-based metrics are still underutilized in IDS for detecting DoS scenarios. Literature mainly correlates success in IoT IDS implementations to a simple high attack detection rate (DR), and despite advances in IDS research for IoT, these existing approaches often: (i) fail to balance detection accuracy with resource efficiency; (ii) suffer from a single point of failure in DoS scenarios; and (iii) lack network cooperation to correctly locate attacker position. Our research goal is to demonstrate the viability of using both network and operational metrics for enhancing lightweight intrusion detection in IoT. For that, we present a novel Cooperative Intrusion Detection System that combines centralized machine learning classification with distributed change point analysis for lightweight intrusion detection in resource-constrained IoT networks. The viability is demonstrated through an individual detection rate analysis for the centralized and distributed components of the IDS, and an evaluation of the extra information of the network status we can extract when both components cooperate. Our centralized approach utilizes both network traffic and operational metrics collected from individual devices, with XGBoost classification achieving 97.07% accuracy in identifying blackhole, greyhole, and flooding attacks. The distributed component employs a lightweight CUSUM-based change point detection directly on IoT nodes. Our cooperative mechanism aggregates distributed detections to achieve over 92% individual node detection rates while reducing false positives to approximately 0.4%. This enables detection with a minimal overhead of an 8.2% RAM usage and 0.6% increase in CPU cycles per second. This provides resilience against Denial-of-Service attacks, eliminates the single point of failure in centralized only approaches. All the while, it maintains high detection accuracy and resource efficiency, and lowers communication overhead compared to purely centralized or distributed approaches.Biblioteca Digitais de Teses e Dissertações da USPCorreia, Artur Jordão LimaMargi, Cíntia BorgesCarrer, Alexandre Marques2025-06-03info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttps://www.teses.usp.br/teses/disponiveis/3/3141/tde-10122025-083046/reponame:Biblioteca Digital de Teses e Dissertações da USPinstname:Universidade de São Paulo (USP)instacron:USPLiberar o conteúdo para acesso público.info:eu-repo/semantics/openAccesspor2025-12-10T10:36:02Zoai:teses.usp.br:tde-10122025-083046Biblioteca Digital de Teses e Dissertaçõeshttp://www.teses.usp.br/PUBhttp://www.teses.usp.br/cgi-bin/mtd2br.plvirginia@if.usp.br|| atendimento@aguia.usp.br||virginia@if.usp.bropendoar:27212025-12-10T10:36:02Biblioteca Digital de Teses e Dissertações da USP - Universidade de São Paulo (USP)false
dc.title.none.fl_str_mv Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.
Leveraging network and operational metrics for cooperative intrusion detection for the Internet of Things
title Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.
spellingShingle Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.
Carrer, Alexandre Marques
Aprendizado computacional
Internet das Coisas
Internet of Things
Intrusion detection system
Machine learning
Sistemas de detecção de intrusão
title_short Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.
title_full Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.
title_fullStr Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.
title_full_unstemmed Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.
title_sort Utilizando métricas operacionais e de rede para detecção cooperativa de intrusão para a Internet das Coisas.
author Carrer, Alexandre Marques
author_facet Carrer, Alexandre Marques
author_role author
dc.contributor.none.fl_str_mv Correia, Artur Jordão Lima
Margi, Cíntia Borges
dc.contributor.author.fl_str_mv Carrer, Alexandre Marques
dc.subject.por.fl_str_mv Aprendizado computacional
Internet das Coisas
Internet of Things
Intrusion detection system
Machine learning
Sistemas de detecção de intrusão
topic Aprendizado computacional
Internet das Coisas
Internet of Things
Intrusion detection system
Machine learning
Sistemas de detecção de intrusão
description Embora dispositivos IoT sejam comumente explorados como vetores de ataque em campanhas DDoS de larga escala, ataques DoS direcionados principalmente a redes IoT estão se tornando mais comuns. Em cenários onde IoT é o alvo, como agricultura de precisão, atacantes visam dispositivos com recursos limitados e Redes de Baixa Potência e com Perdas (LLNs) para prejudicar seu desempenho. A literatura apresenta Sistemas de Detecção de Intrusão (IDSs) como uma opção de segurança viável para detectar ataques DoS em LLNs. IDSs analisam métricas escolhidas para detectar comportamento irregular, pacotes de rede com uma abordagem baseada em rede, ou métricas operacionais do dispositivo, com uma abordagem baseada em host. Soluções IDS centralizadas alimentadas por Aprendizado de Máquina são exploradas em ambientes LLN, onde elas usam principalmente métricas baseadas em rede para inferência. A literatura em segurança IoT relata ataques DoS impactando diretamente métricas baseadas em host em dispositivos IoT, com mudanças súbitas em métricas de múltiplos hosts frequentemente correlacionando-se a um ataque DoS na rede. Apesar de comprovadamente conter informações valiosas para detecção de ataques de rede, métricas baseadas em host ainda são subutilizadas em IDS para detectar cenários DoS. A literatura correlaciona principalmente o sucesso em implementações de IDS IoT a uma simples alta taxa de detecção de ataque (DR), e apesar dos avanços na pesquisa de IDS para IoT, essas abordagens existentes frequentemente: (i) falham em equilibrar precisão de detecção com eficiência de recursos; (ii) sofrem de um único ponto de falha em cenários DoS; e (iii) carecem de cooperação de rede para localizar corretamente a posição do atacante. Nosso objetivo de pesquisa é demonstrar a viabilidade de usar métricas de rede e operacionais para aprimorar a detecção de intrusão leve em IoT. Para isso, apresentamos um Sistema de Detecção de Intrusão Cooperativo que combina classificação de aprendizado de máquina centralizada com análise de ponto de mudança distribuída para detecção de intrusão leve em redes IoT com recursos limitados. A viabilidade é demonstrada através de uma análise de taxa de detecção individual para os componentes centralizados e distribuídos do IDS, e uma avaliação das informações extras do status da rede que podemos extrair quando ambos os componentes cooperam. Nossa abordagem centralizada utiliza tanto tráfego de rede quanto métricas operacionais coletadas de dispositivos individuais, com classificação XGBoost alcançando 97.07% de precisão na identificação de ataques blackhole, greyhole e flooding. O componente distribuído emprega detecção de ponto de mudança baseada em CUSUM leve diretamente nos nós IoT. Nosso mecanismo cooperativo agrega detecções distribuídas para alcançar mais de 92% de taxas de detecção de nós individuais enquanto reduz falsos positivos para aproximadamente 0.4%. Isso permite detecção com sobrecarga mínima de 8.2% de uso de RAM e 0.6% de aumento em ciclos de CPU por segundo. Isso fornece resistência contra ataques de Negação de Serviço, elimina o único ponto de falha em abordagens apenas centralizadas. Ao mesmo tempo, mantém alta precisão de detecção e eficiência de recursos, e reduz a sobrecarga de comunicação comparado a abordagens puramente centralizadas ou distribuídas
publishDate 2025
dc.date.none.fl_str_mv 2025-06-03
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv https://www.teses.usp.br/teses/disponiveis/3/3141/tde-10122025-083046/
url https://www.teses.usp.br/teses/disponiveis/3/3141/tde-10122025-083046/
dc.language.iso.fl_str_mv por
language por
dc.relation.none.fl_str_mv
dc.rights.driver.fl_str_mv Liberar o conteúdo para acesso público.
info:eu-repo/semantics/openAccess
rights_invalid_str_mv Liberar o conteúdo para acesso público.
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv application/pdf
dc.coverage.none.fl_str_mv
dc.publisher.none.fl_str_mv Biblioteca Digitais de Teses e Dissertações da USP
publisher.none.fl_str_mv Biblioteca Digitais de Teses e Dissertações da USP
dc.source.none.fl_str_mv
reponame:Biblioteca Digital de Teses e Dissertações da USP
instname:Universidade de São Paulo (USP)
instacron:USP
instname_str Universidade de São Paulo (USP)
instacron_str USP
institution USP
reponame_str Biblioteca Digital de Teses e Dissertações da USP
collection Biblioteca Digital de Teses e Dissertações da USP
repository.name.fl_str_mv Biblioteca Digital de Teses e Dissertações da USP - Universidade de São Paulo (USP)
repository.mail.fl_str_mv virginia@if.usp.br|| atendimento@aguia.usp.br||virginia@if.usp.br
_version_ 1865492190426300416

Registros relacionados