مقاله تشخیص توزیع شده حمله جعل شناسه در اینترنت اشیاء

بخشی از مقاله

چکیده :

در اینترنت اشیاء، گرهها از طریق پروتکلهای IPv6 و 6LowPAN به شبکه اینترنت متصل میشوند. در اینترنت اشیاء به دلیل وجود دستگاهها با منابع محدود و اتصال آنها به اینترنت، نیازمند تعریف پروتکلهای جدید است که یکی از این پروتکلها، پروتکل RPL برای مسیریابی در شبکه است، ولی همچنان جنبه های امنیتی آن نیازمند مطالعات بیشتری است. حمله جعل شناسه یکی از حملات مطرح در این پروتکل میباشد که تا کنون سیستمی برای تشخیص آن ارائه نگردیده است به همین منظور در این مقاله سیستم پیشنهادی برای تشخیص حمله جعل شناسه ارائه گردید.

در چنین حملهای گره مهاجم شناسه گره موجود در شبکه را جعل میکند. در طرح ارائه شده هر گره به کمک بستههای در حال نقلوانتقال در شبکه و اطلاعاتی که از IP ، رتبه گره ها و RSSI بستههای دریافت شده از همسایگان خود دارد این نوع حمله را شناسایی میکند. روش ارائه شده علاوه بر تشخیص گره مهاجم، با توجه به اینکه تشخیص در خود گره و براساس اطلاعات محیطی دریافتی و دارای سربار ارتباطی بسیار کم است، داری مصرف انرژی پایینی میباشد. طراحی این سیستم به امنیت شبکه اینترنت اشیاء کمک خواهد کرد.

-1 مقدمه

اینترنت اشیاء ایدهای است که براساس آن اشیای فیزیکی قادر خواهند بود با اتصال به اینترنت یا به کمک سایر ابزار های ارتباطی، با اشیای دیگر تعامل داشته باشد .[1] عبارت اینترنتاشیاء برای نخستین بار توسط کوین اشتون به کار برده شده است 

از جمله کاربردهای اینترنت اشیاء میتوان به خانه هوشمند، حمل ونقل هوشمند، کشاورزی هوشمند و... اشاره نمود. چالشهای بسیاری برای اینترنت اشیاء وجود دارد. یکی از این چالشها، مسائل فنی دستگاههایی است که اطلاعات ما را ردوبدل میکنند. این چالشها مشکلات بخش سختافزار و بخش نرمافزاری را در برمیگیرد. عمر باتری، تعمیر و نگهداری، قابلیت همکاری و سازگاری از جملهی این مشکلات محسوب میشوند. اما از همه مهمتر مشکلات امنیتی و حریم خصوصی هستند

وسیلهها در شبکه حسگر بیسیم گرههای بیسیم هستند، که توان و حافظهی محدودی دارند و با استفاده از پروتکل اینترنتی ورژن - IPV6 - 6 آدرسدهی شدهاند. همچنین فشردهسازی سرآیند و تکنیکهای فریمبندی تعریفشده است تا ارتباطات بین گرههای حسگر را با استفاده از IPv6 برروی شبکهای از دستگاههای کم توان و پراتلاف آسان کند، که به آن 6LowPAN گویند 

RPL پروتکل استفاده شده در لایه شبکه اینترنت اشیاء میباشد. توپولوژی RPL شامل یک گره ریشه است که مستقیما به اینترنت با استفاده از - IPv6 Boder Router - 6BR متصل شده است. توپولوژی RPL درخت Destination Oriented - DODAG - Directed Acyclic Graph را تشکیل میدهد که حاوی فقط یک ریشه است. گره ریشه با انتشار پیام DODAG - DIO - Information Object شروع به تشکیل توپولوژی میکند. از جمله پیامهای کنترلی دیگرکه در تشکیل توپولوژی و مبادله اطلاعات نقش دارند میتوان به DODAG Info - DIS
- Solication، - Destination  Advertisement  Object - DAO اشاره نمود. مقدار رتبه هر گره با مراجعه به رتبه والدین و پارامترهای دیگر محاسبهشده است. مقدار رتبه میتواند به فاصله از گره ریشه، انرژی لینک و غیره بستگی داشته باشد مالک شبکه میتواند پارامترهای محاسبه مقدار رتبه را تعیین کند 

این پروتکل مسیریابی مبتنی بر رتبه ممکن است تحت حمله قرار بگیرد. یکی از حملات مطرح در شبکه RPL، حمله جعل شناسه است. در این حمله گره مهاجم شناسه گره موجود در شبکه را جعل میکند تا ترافیکی که مقصدش آن گره قربانی است یا ترافیکی که از طریق گره قربانی منتقل میشود را بدست آورد. حمله جعل شناسه در شبکه RPL امکانپذیر است .[6] ادامهی مقاله به صورت زیر سازماندهیشده است.

در بخش 2 مروری بر حمله جعلشناسه و تکنیکهای استفادهشده در کارهای پیشین صورت گرفته است، در بخش 3 روش پیشنهادی ارائهشده، در بخش 4 پیاده سازی حمله و روش پیشنهای انجام گرفته و در بخش 5 نتایج حاصل از شبیهسازی روش پیشنهادی ارائه گردیده و در بخش 6 نیز نتیجهگیری ارائه شده است.

-2 کارهای پیشین

در یک حمله جعل شناسه، یک مهاجم هویت یک گره معتبر را بر روی گرههای فیزیکی دیگر کپی میکند. این میتواند به عنوان مثال، به منظور دسترسی به بخش بزرگتری از شبکه یا به منظور غلبه بر طرح رایگیری استفاده شود .

در شبکه IP/RPL هویتهای جعلشده سبب مشکل خواهندشد زمانی که بستهها در حال رفتن به یکی از هویتهای جعلشده هستند. بستهها براساس معیارهای مسیریابی داخل شبکه به یکی از هویتهای جعلشده ارسال خواهندشد و باقی هویتهای جعلشده از گرههای خاص داخل شبکه قابل دسترس نخواهند بود

توپولوژی RPL در اصل با توپولوژی ایستا طراحیشده است .[8] با توجه به اینکه روشی برای تشخیص این حمله در شبکه اینترنت اشیاء ارائه نشده است [9]، تکنیک های موجود در شبکه حسگر بیسیم را مورد بررسی قراردادهشده است. تکنیکهای تشخیص برای شبکه حسگر بیسیم ایستا را میتوان به دو دسته عمده، متمرکزشده و توزیعشده تقسیم کرد که در ادامه به آنها اشاره میشود 

در تکنیکهای متمرکزشده، ایستگاه پایه - - Base Station مرکزی قدرتمند در نظر گرفته میشود که مسئول همگرایی اطلاعات و تصمیمگیری است. در طول فرآیند تشخیص هر گره در شبکه اطلاعات محلیاش - شناسه ، اطلاعات موقعیت - را به ایستگاه پایه از طریق گرههای همسایهاش میفرستد. بعد از دریافت کل اطلاعات ارسالی،ایستگاه پایه چک میکند شناسه گرهها را به همراه محل آنها، و اگر این پیدا کند دو محل مختلف با همان شناسه، هشدار حمله جعل شناسه را میدهد.

اما تکنیک دیگر، تکنیک توزیعشده است که در این تکنیک هیچ حاکمیت مرکزی وجود ندارد و مکانیزم تشخیص خاص به نام مدعی-گزارشگر-شواهد ارائهشده است که درآن تشخیص توسط گرههای توزیعشده محلی انجام میشود موقعیت ادعایی را نه به ایستگاه پایه بلکه به یک گره به نام شاهد که به طور تصادفی انتخاب شده ارسال میکنند

-3 روش پیشنهادی

روش پیشنهادی برای یک شبکه 6LowPAN طراحیشده است که از تکنولوژیهای امنیت پیامی مانند [11] IPsec و [12] DTLS برای تامین امنیت پیام انتهابهانتها استفاده میکند. در ادامه این بخش سیستم تشخیص حمله جعل شناسه ارائه میشود.

قرارگیری یک سیستم تشخیص نفوذ یک تصمیم مهم است که نشاندهنده سیستم تشخیص نفوذ و روشهای تشخیص است. تکنیکهای متمرکزشده برخی محدودیتهای نسبتا جدی را دارند مانند ایستگاه پایه که یک نقطه خرابی مرکزی میباشد،که در صورت از کار افتادن کل سیستم تشخیص حمله مختل میشود، علاوه بر آن یکی دیگر از معایب مهم این تکنیک بار ارتباطی آن است که ممکن است طول عمر شبکه را کوتاه کند و همچنین این رویکرد متحمل تاخیر پردازش قابل مشاهده است. با توجه به این اشکالات یک راهحل توزیعشده یک ضرورت است اما تکنیک های توزیعشده هم دارای محدودیتهای هستند علاوه برآن برخی از محدودیت های تکنیک متمرکزشده، ذکرشده را نیز به همراه دارند 

باتوجه وجود گرهها با منابع محدود در نظر گرفتن این محدودیتها در روش پیشنهادی ضروری است. نوع قرارگیری این سیستم پیشنهادی در داخل خود گرهها میباشد و هر گره وظیفه تشخیص حمله را خودش بهعهده دارد، که با این کار سعی میشود محدودیت های ذکرشده در روشهایی که قبلا گفتهشد پوشش داده شود. در ادامه این سیستم تشخیص نفوذ تشریح میگردد.

این طرح داری 3 ماژول در هر گره میباشد که هر سه ماژول وظیفه تشخیص حمله را در گره بهعهده دارند. ماژول اول وظیفه شناسایی گرههای با IP مشابه در همسایگی خود گره را برعهده دارد که در بخش 1- 3 توصیف گردید. دومین ماژول وظیفه محاسبه RSSI مربوط به بستههای دریافتی از گرهها و شناسایی گرهها با IP یکسان ولی RSSI دریافتی متفاوت است که در بخش 2- 3 به آن پرداختهشده است. ماژول سوم مربوط به چککردن رتبه گرههای همسایگی گره میباشد که اگر دو گره با IP مشابه ولی رتبه متفاوتی گزارش دریافت کنند اعلام حمله میگردد که در بخش 3-3 ارئه گردید.

-1-3 IP

هر گره IP خودش را با IP گرههای همسایه که در برد رادیویی آن قرار دارند مقایسه میکند ودر صورت وجود گره دیگری با همان IP اعلان حمله میکند، همچنین با توجه به اینکه پروتکل RPL در این طرح، در حالت ذخیرهسازی جدول مسیریابی[4] قراردادهشده است، هر گره، جدول مسیریابی خودش را دارد که گرههایی که مسیرشان از این گره هست IP شان در این جدول موجود میباشد حتی اگر در برد رادیویی گره هم نباشند، که این مقایسه IP برای جدول مسیریابی هر گره نیز صورت میگیرد و در صورت وجود گره مشابه با همان IP اعلان حمله مینماید.

-2-3  RSSI

در این ماژول با استفاده از RSSI مربوط به بستههای دریافتی از گرههای مختلف اقدام به تشخیص حمله در هر گره میشود. این روش، با توجه به اینکه شبکه ایستا میباشد، RSSI دریافتی از گرهها را با یک الگوریتم تشخیص تغییر نقطه، که نمودار کنترل مجموع تجمعی - [13] - CUSUM نامیده میشود متوجه تغییرات نامتعارفاش میشود. از طریق این الگوریتم به محض دیدن تغییری غیر متعارف در RSSI دریافتی از گره متوجه میشود که از فاصلهای دیگر همان شناسه ارسال اطلاعات داشته است.

اولین گام در آنالیز ایجاد نمودار کنترل مجموع تجمعی - - CUSUM براساس مجموع تجمعی داده است. برای n نقطه داده اشارهشده با Y1، Y2 ، ... ، Yi - Yn داده نقطه i ام را نشان میدهد - ، مجموع تجمعی S1، S2 ، ... ، Sn از میانگین داده محاسبهشده اند. مجموع تجمعی در 0 با تنظیم S0 =0 شروع میشود. سپس مجموع تجمعیهای دیگر با اضافه کردن اختلاف بین مقدار فعلی و میانگین به جمع قبلی مانند زیر محاسبه میگردد :

مجموع تجمعی محاسبهشده در این روش از مجموع تجمعی عادی مقادیر متفاوت است. در این روش ما مجموع تجمعی واریانس بین مقادیر و میانگین را در نظر میگیریم. مجموع تجمعی همیشه در صفر - - S n = 0 تمام میشود چون واریانس بین مقادیر و میانگین در مجموع صفر است. با کشیدن چارت CUSUM ما میتوانیم ایده بگیریم که آیا تغییری رخداده است یا اینکه تغییری مشاهده نمیشود. وقتی چارت CUSUM یک شیب به سمت بالا دارد، به سمت بالاتر از میانگین کلی خم میشود. یک شیب روبه پایین به یک دوره از زمان مربوط میشود که مقادیر به سمت پایین تر از میانگین کلی خم میشود. یک تغییر ناگهانی یا تغییر در میانگین را میتواند با یک تغییر ناگهانی در جهت CUSUM شناسایی شود. اگر میانگین ثابت است، چارت CUSUM یک مسیر نسبتا مستقیم را دنبال میکند.

-3-3 

درRPL رتبه هر گره نشانگر موقعیت نسبی یک گره نسبتبه گره ریشه میباشد، همچنین رتبه در شبکه باید به سمت ریشه کاهش یابد به طور مثال در رابطه والد فرزند، والد باید همیشه یک رتبه پایینتر از فرزند داشته باشد .[5] در این ماژول با توجه به اینکه به رتبه گرههای موجود در برد رادیویی گره دسترسی داریم حتی اگر آنها جز فرزندان گره نباشند، تغییرات و همچنین وجود گره ها با IP مشابه و رتبه متفاوت را با بررسی مداوم رتبه گرههای همسایه تشخیص میدهد.

-4 پیاده سازی

طرح تشخیص حمله ارائهشده در سیستم عامل Contiki [14]، یک سیستم عامل شناخته شده برای اینترنت اشیاء، پیادهسازیشدهاست. Contiki دارای یک پیادهسازی بهخوبی تستشده از - ContikiRPL - RPL است. چون حمله جعل شناسه از حملات مطرح در RPL است [6]، پیادهسازی RPL در سیستمعامل Contki ، برای توسعه طرح تشخیص حمله جعلشناسه مورداستفاده قرارگرفتهشد. RPL در Contki برای مسیریابی داخل شبکه استفاده میشود که در آن هر گره تمام فرزندانش را نگهداری میکند.