INTRUSION DETECTION SYSTEM FOR RPL BASED INTERNET OF THINGS. PhD thesis, King Fahd University of Petroleum and Minerals.
![[img]](https://eprints.kfupm.edu.sa/style/images/fileicons/application_pdf.png) |
PDF
Hussah_desertation_ModifiedDGS_EPrint.pdf - Accepted Version Restricted to Repository staff only until 29 December 2025. Download (9MB) |
Arabic Abstract
إن إنترنت الأشياء يتطور بسرعة وقد أثار مخاوف بشأن أمن البيانات. تم تقديم بروتوكول التوجيه عبر الشبكات منخفضة الطاقة لبيئات إنترنت الأشياء، ولكن لا توجد حاليًا أي تطبيقات رسمية لاعدادات الأمان الخاصة به. وهذا يجعل بروتوكول التوجيه عبر الشبكات منخفضة الطاقة عرضة للهجمات، مما يستلزم تطوير أنظمة الكشف و تخفيف آثار الهجمات. في هذه الدراسة، قمنا بإنشاء نظام كشف الاختراقات لتحديد هجمات إعادة الارسال لرسائل التحكم في بروتوكول التوجيه عبر الشبكات منخفضة الطاقة على أجهزة إنترنت الأشياء. وفقًا لذلك، أجرينا مسحًا موسعًا حول هجمات بروتوكول التوجيه عبر الشبكات منخفضة الطاقة وطرق تخفيفها واقترحنا تصنيفات جديدة لها. أجرينا أيضًا دراسة مقارنة وتحليلية لهجمات إعادة الارسال وتأثيرها على الشبكات. لقد استخدمنا نموذج الحدث المنفصل لتحديد متوسط كل رسالة بروتوكول التوجيه عبر الشبكات منخفضة الطاقة وفقًا لمعيار بروتوكول التوجيه عبر الشبكات منخفضة الطاقة. نتيجة لذلك، قمنا بتطوير نظام كشف الاختراق الذي يراقب الشبكة ويستخدم خط الأساس المحدد لرسائل التحكم للكشف عن القيم المتطرفة والشذوذ في سلوك الاجهزة باستخدام التحكم الإحصائي في العملية ومتوسط متحرك مرجح بشكل كبير. ونتيجة لذلك، فإن التصنيف المقدم للهجمات يعتمد على آلية الهجوم، ويعتمد التصنيف لحلول التخفيف على آليات التخفيف. يتم تصنيف هجمات على أنها توليد أو إسقاط أو تعديل أو إعادة ارسال رسائل تحكم محددة. تتضمن حلول التخفيف المصادقة والتحديث والتخلص من وتشفير وعزل الأجهزة المهاجمة. تضمن تحليلنا لهجمات إعادة الارسال خمسة أشكال: هجمات الجار وقمع DIO وإعادة ارسال DAO والتقليد وتزوير جدول التوجيه. وكشف أن معظم هذه الهجمات لها تأثير شديد على التوافر وتأثير خطير على النزاهة. تتسبب هجمات إعادة ارسال DAO وقمع DIO وهجمات التقليد في انخفاض متوسط نسبة وصول البيانت بنسبة 60%، ويزداد زمن نقل الرسائل بنسبة 50% في سيناريوهات هجومية معينة. لقد قمنا بتقييم أداء حل اكتشاف الاختراقات المقترح، والذي يوضح أن الحل المقترح يكتشف هذه الهجمات بنجاح بدقة تصل إلى 95% مع معدل إنذار كاذب بنسبة 4% فقط. كما أضاف زيادة محدودة بنحو 3% في الطاقة و1% في استهلاك الذاكرة، مما يجعله فعالاً للنشر على الأجهزة منخفضة الطاقة.
English Abstract
The Internet of Things (IoT) is rapidly evolving and has raised concerns about data security. The Routing Protocol over Low-power and Lossy Networks (RPL) was introduced for IoT environments, but there are currently no official implementations of its secure modes. This leaves RPL vulnerable to attacks, necessitating the development of detection and mitigation systems. In this study, we have created an intrusion detection system to identify replay attacks of RPL control messages on IoT devices. To achieve this goal, we conducted a comprehensive survey of RPL attacks and their mitigation strategies, and we introduced new taxonomies for these attacks and mitigation strategies. We also conducted a comparative and analytical study for replay attacks and their impact on networks. To model nodes' behavior and specify the mean of each RPL message in accordance with the RPL standard, we utilized the discrete event model. As a result, we created DEVS-RPL IDS, an intrusion detection system that actively monitors the network in a passive manner. It employs a predefined baseline of RPL messages to identify outliers and anomalies in node behavior through statistical process control and an exponentially weighted moving average. As a consequence, the proposed taxonomy for RPL attacks is organized according to attack vectors, whereas the classification for mitigation solutions is structured around mitigation mechanisms. RPL attacks are classified as generating, dropping, modifying, or replaying specific control messages. The mitigation solutions include authenticating, updating, discarding, encrypting, and isolating attacking nodes. Our analysis of replay attacks included five types: neighbor, DIO suppression, DAO replay, copycat, and route table falsification attacks. The analysis reveals that most of these attacks have a severe impact on availability and a serious impact on integrity. DAO replay attacks, DIO suppression, and copycat attacks cause the average local delivery ratio to drop by 60%, and communication latency increases by 50% under certain attack scenarios. In addition, we evaluated the performance of the proposed DEVS-RPL IDS, which shows that the proposed solution successfully detects these attacks with accuracy, reaching 95% with only a 4% false alarm rate. Also, DEVS-RPL IDS added an increase of around 3% in power consumption and 1% in memory consumption. This allows DEVS-RPL to be efficient and lightweight, making it suitable for deployment on constrained nodes.
| Item Type: | Thesis (PhD) |
|---|---|
| Subjects: | Computer |
| Department: | College of Computing and Mathematics > Information and Computer Science |
| Committee Advisor: | Azzedin, Farag |
| Committee Members: | Hammoudeh, Mohammad and Riaz, Muhammad and Ahmed, Moataz and Abounceur, Ahcene |
| Depositing User: | HUSSAH ALBINALI (g201906710) |
| Date Deposited: | 31 Dec 2024 08:47 |
| Last Modified: | 31 Dec 2024 08:47 |
| URI: | http://eprints.kfupm.edu.sa/id/eprint/143193 |