CC BY
62
УДК 004.75:519.687.1+004.056 ББК 32.972.5 Д 58
Довгаль Виталий Анатольевич
Кандидат технических наук, доцент, доцент кафедры информационной безопасности и прикладной информатики факультета информационных систем в экономике и юриспруденции Майкопского государственного технологического университета, Майкоп, e-mail: urmia@mail.ru Довгаль Дмитрий Витальевич
Студент факультета энергетики и нефтегазопромышленности Донского государственного технического университета, Ростов-на-Дону, e-mail: lanayamen@gmail.com
Обнаружение и предотвращение атаки «злоумышленник в середине» в туманном слое роя дронов
(Рецензирована)
Аннотация. При обмене данными между устройствами Интернета вещей передается значительный объем данных, который приводит к увеличению временных задержек облачных сервисов. Туманные узлы, располагающиеся на краю сети рядом с пользователем, позволяют уменьшить эту задержку за счет того, что обрабатываемые пользователем данные не проходят весь путь до центра обработки данных. Однако центры обработки данных, в отличие от туманных устройств, оснащены мощными ресурсами (например, процессорами, энергией и памятью). Применение традиционных методов предотвращения вторжений на туманном уровне устройств с низкой энергетической и вычислительной мощностью (типа беспилотного летательного аппарата) приведет к большой задержке и/или потреблению энергии, что может привести к срыву миссии. Поэтому существует потребность в эффективной системе безопасности с низкой ресурсоемкостью, которая защитит туманный слой от нападения. В данной работе предлагается система обнаружения вторжений (IDS) и система предотвращения вторжений (IPS) для атаки «злоумышленник в середине» (Manin the Middle, MitM) в туманном слое роя дронов.
Ключевые слова: туманные вычисления, атака «злоумышленник в середине», система обнаружения вторжений, система предотвращения вторжений, сетевая безопасность, рой дронов.
Dovgal Vitaliy Anatolyevich
Candidate of Technical Sciences, Associate Professor, Associate Professor of the Department of Information Security and Application Informatics of Faculty of Information Systems in Economy and Law, Maikop State University of Technology, Maikop, e-mail: urmia@mail.ru Dovgal Dmitriy Vitalyevich
Student of Faculty of Energy Production and Oil-Gas Industry, Don State Technical University, Rostov-on-Don, e-mail: lanayamen@gmail.com
Detecting and preventing the man in the middle attack in the foggy layer of a swarm of drones
Abstract. When data is exchanged between IOT devices, a significant amount of data is transmitted, which leads to increased time delays for cloud services. Fog nodes located on the edge of the network near the user can reduce this delay by preventing the data processed by the user from going all the way to the data center. However, data centers, unlike foggy devices, are equipped with powerful resources (for example, processors, energy, and memory). Using traditional methods to prevent intrusions at the fog level of devices with low power and computing power (such as an unmanned aerial vehicle) will lead to a large delay and/or energy consumption, which can lead to mission failure. Therefore, there is a need for a strong security system with a low resource intensity that will protect the fog layer from attack. This paper proposes an intrusion detection system (IDS) and an intrusion prevention system (IPS) for a "man in the Middle" (MitM) attack in the foggy layer of a drone swarm.
Keywords: fog computing, man in the middle attack, intrusion detection system, intrusion prevention system, network security, swarm of drones.
Введение
Один из трендов последнего времени - интеграция некоторого конечного множества беспилотных летательных аппаратов (БПЛА) в единую структуру, которая, приобретая си-нергетическое свойство, позволяет более эффективно выполнять некоторое задание (например, осуществлять поисковую операцию). Такую организованную группу объектов часто называют роем (или стаей) [1]. Для выполнения полностью автономного полета управление ро-
ем БПЛА необходимо осуществлять с помощью наземной станции (НС), которая исполняет роль облачного диспетчера. Обследуя большие территории, рой БПЛА может столкнуться с ограничениями полосы пропускания для передачи обрабатываемой информации на НС. Кроме того, существуют энергетические ограничения источников питания отдельных дронов и проблема быстрой обработки получаемых в процессе выполнения задания данных.
Таким образом, применение облачных технологий для управления роем БПЛА может быть проблематичным при необходимости решения задачи в реальном времени [2].
Одним из методов преодоления указанных затруднений является создание распределенных систем обработки информации на основе туманных вычислений, которые позволяют приблизить операции хранения и обработки данных к месту их возникновения - сенсорам, установленным на БПЛА [3]. В качестве туманного слоя предлагается использовать вычислительный узел, создаваемый из совокупности дронов. Его совокупные обрабатывающие мощности позволяют не только осуществлять фильтрацию и кластеризацию данных, определять порядок доставки критической информации на основе признака важности, но и осуществлять защиту обрабатываемых данных от потенциальных злоумышленников, пытающихся сорвать поставленную рою задачу.
Возможные методы отражения одного из типов таких атак - атака «злоумышленник в середине» - и является предметом исследования настоящей статьи.
1. Применение туманных вычислений для создания роя дронов
Цифровизация всех аспектов деятельности людей привела к появлению приложений, устанавливаемых на оборудованные микропроцессором устройства и использующих информацию от датчиков (сенсоров), прикрепленных к вещам (things). Такие приложения, имитирующие интеллектуальное поведение, называют Интернетом вещей (IoT) и их используют для обеспечения автоматизированной работы [4]. Области применения IoT распространены в большом количестве промышленных приложений [5].
Первоначально IoT-решения основывались на традиционной клиент-серверной архитектуре с облачной серверной частью. Однако такой подход выявил узкое место облачных серверов - в случае их отказа появляется временная задержка при отправке данных на облачный сервер, находящийся в Интернете. Одним из решений указанной проблемы стало добавление туманного слоя в облачную систему [6]. Располагаясь ближе к краям сети, туманные серверы действуют как облачные системы, разгружая 1оТ-устройства от объемных вычислительных задач.
Туманные (пограничные) вычисления - это форма вычислений, при которой устройства, включенные в туманный слой и физически приближенные к устройствам конечных пользователей (вещам), обрабатывают данные от имени облака в целях уменьшения временной задержки. Любое устройство с вычислительной, запоминающей и сетевой связью может считаться туманным узлом/устройством [7]. Туман и облако дополняют друг друга. Они предоставляют взаимозависимые и взаимовыгодные услуги для обеспечения связи, вычислений, управления и хранения данных во всей системе.
На рисунке 1 показана типичная распределенная туманная сеть. В этой сети устройства Интернета вещей на основе сенсоров запрашивают услуги у туманных узлов, которые обычно имеют более развитые средства для обработки информации. В то же время, поскольку они физически ближе к 1оТ-устройствам, чем облачные серверы, то получение услуг от туманных узлов уменьшает временные задержки.
Узлы тумана и устройства Интернета вещей могут использовать для связи любой носитель и протокол. Если они используют один и тот же носитель и протокол, то IoT-узлы и туманный слой обладают следующими преимуществами:
1) низкая сложность проектирования, так как исключается только один сетевой стек и нет необходимости преобразовывать пакеты из одной формы в другую;
2) отсутствие пакетного преобразования, снижающее энергопотребление и задержки сети при доступе к данным.
Рассматривая задачу выполнения некой миссии роем дронов (поисковую или мониторинговую), с этой точки зрения систему «рой - облако» можно рассматривать как сеть с туманным слоем. И помимо прочих вопросов необходимо рассмотреть вопросы, связанные с обеспечением безопасности данных. Для получения доступа злоумышленник все равно должен осуществить атаку туманного узла или облака, и для него задача упрощается тем, что узел имеет более ограниченные ресурсы и не способен противостоять угрозе взлома так же сильно, как облако.
Рис. 1. Сетевая архитектура распределенной туманной сети
2. Описание рассматриваемой в статье атаки
Одной из самых известных атак в распределенных компьютерных сетях (куда относятся и туманные вычислительные системы) является атака «злоумышленник в середине» (Manin the Middle, MitM) [8, 9] - это тип атаки, выполняемой вредоносным внутренним пользователем на двух компьютерах, одному из которых злоумышленник притворяется, что он является другим компьютером. Такая атака может быть двух категорий [10]: подслушивание и манипуляция.
Актуальность обнаружения и предотвращения указанного вида атак обусловлена тем, что туманная архитектура по своей сути аналогична атаке «злоумышленник в середине», поскольку туманный узел находится между облаком и конечным устройством (thing). Выдавая себя за узел, устройство злоумышленника позволяет последнему быть невидимым.
Кроме того, туманные узлы обрабатывают персональные данные пользователя (например, история болезни, состояние здоровья людей и принимаемые ими лекарства). Они также обрабатывают другую важную информацию, такую, как скорость, направление и пункт назначения транспортных средств. В любом случае такая информация может иметь катастрофические последствия, оказавшись в чужих руках.
Туманные узлы более привлекательны для атакующих не только из-за своего расположения и меньшей вычислительной мощности [11]. Большое количество и разнообразие узлов в туманных вычислениях делает затруднительными обычные методы безопасности (например, учетные данные безопасности) или невозможными для применения [12].
Учитывая, что туманные узлы часто ограничены в ресурсах, для обеспечения безопасности необходимо использовать энергоэффективные методы. Таким образом, на туманном уровне вычислительной сети необходимо определить экономически эффективные методы обнаружения и предотвращения MitM-атаки.
3. Эффективное обнаружение и предотвращение атаки «злоумышленник в середине»
Анализ исследований по предотвращению MitM-атак показывает, что наиболее эффективной является система, объединяющая достоинства системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS), использующихся в распределенных компьютерных сетях. Такой конгломерат будет использовать фазы прибытия и фазы аутентификации для идентификаторов и IP-адресов соответственно. Фаза прибытия между двумя узлами i и j начинается с того, что два взаимодействующих соседних устройства обмениваются случайными кодами ai и Д, время прибытия которых можно использовать в качестве доказательства смежности. Строгое ограничение времени, необходимое в этой фазе, затрудняет злоумышленнику маскировку себя под легальный, не наносящий вред узел. На этапе аутентификации каждый из узлов i и j обменивается подписанным сообщением (ai, Д): таким образом, взаимно аутентифицируя себя как исходный источник вышеупомянутых случайных кодов.
Следовательно, для противодействия MitM-атаке необходимо определить в ее поведении характерные черты:
1) изменение содержания отправленных пакетов;
2) задержку времени прибытия отправленных пакетов;
3) изменение направления/назначения пакетов.
Комбинация систем обнаружения вторжений (IDS) и предотвращения вторжений (IPS), предлагаемая в настоящей статье, предполагает наличие специальных узлов, называемых узлами IDS, которые помещаются для опроса туманных узлов в сети и наблюдения за их поведением на основе трех вышеупомянутых характеристик, чтобы сделать вывод, являются ли они вредоносными узлами или легальными узлами.
Предлагаемая система использует узлы системы обнаружения вторжений (IDS), стратегически расположенные в сети для достижения обнаружения атак, и использует облегченное шифрование для предотвращения атак.
3.1. Сетевая модель
На рисунке 2 показана схема предлагаемой системы. Симметричность туманных узлов и их близость (на расстоянии одного перехода), обеспечиваемые при развертывании узлов IDS, позволяют уменьшить временную задержку. Каждый узел IDS размещается таким образом, что он находится на расстоянии одного перехода от обычных узлов, с которыми он соприкасается (в виде спиц колеса). Всякий раз, когда узел IDS обнаруживает скомпрометированный узел или злоумышленника, он просто сообщает узлам, близким к нему, чтобы прервать соединение с узлом.
Кроме того, осуществляется маршрутизация пакетов от источника к месту назначения, в ходе которой пакеты сначала перемещаются в мультиузловом режиме вдоль оси Y (то есть вверх или вниз). Пакеты двигаются в этом направлении, пока не достигнут строки назначения. Затем пакеты перемещаются вдоль оси X (то есть назад или вперед), пока не достигнут места назначения.
3.2. Система IPS-IDS
В этом исследовании предполагается, что злоумышленник осуществляет MitM-атаку в туманном слое, перехватывая пакеты из облака, Интернета вещей и туманного слоя. Злоумышленник имеет равные ресурсы или даже превосходящие туманные узлы, но меньшие, чем ресурсы облака. Злоумышленник может знать о существовании IDS-узлов и протоколе, который они используют, но он не знает природу запроса, поскольку он был выбран и запрограммирован заранее перед развертыванием узлов.
Предлагаемая система состоит из двух типов узлов: узлов тумана (ТУзел) и узлов IDS. Первые предоставляют услуги IoT-устройствам нижнего уровня с уменьшенной задержкой. При развертывании предлагаемой системы узлы IDS получают ключ из облака и распреде-
ляют его по другим туманным узлам. Все пакеты зашифрованы (исключая заголовок), чтобы предотвратить вторжение. В предлагаемой системе используется технология симметричного шифрования Advanced Encryption System (AES), а обмен ключами шифрования осуществляется с помощью обмена ключами Диффи-Хеллмана.
■ соединение 0 - пакет
Рис. 2. Предлагаемая туманная сеть
Кроме того, IDS-узлы периодически опрашивают туманные узлы, отправляя пакеты запросов. Пакеты запросов шифруются и (в данном случае) состоят из целого числа. Затем узел IDS наблюдает за поведением приемника: он ожидает, что получатель расшифрует пакет и умножит полезную нагрузку на 2, затем зашифрует результат и вновь вернет его IDS. Умножение на 2 выбрано потому, что оно занимает меньше времени, так как оно включает в себя только сдвиг целого числа влево один раз. Однако могут быть использованы и другие, более безопасные, методы вычисления, такие, как операция по модулю. Если возвращаемый пакет не соответствует этому критерию, то идентификаторы могут сделать вывод, что узел является вредоносным.
К тому же, IDS записывает время обратного хода пакета запроса, и если оно превышает определенное пороговое значение, то узел является нарушителем, который либо копирует, либо изменяет пакеты. Однако если пакет никогда не отвечает, то предполагается, что узел получил пакет и отправил его в другое место, возможно, из-за незнания сетевого протокола, или злоумышленник применяет атаку червоточины. Атака «червоточины» - это вариант MITM-атаки, в которой противник соединяет две отдаленные части сети [13].
Заключение
В данном исследовании изучается возможность применения системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) для атаки Man-in-the-Middle (MitM) с использованием узлов IDS. Для IP-адресов используется шифрование / дешифрование AES (128 бит, размер ключа и блока). Чтобы обеспечить снижение за-
держки, в систему были введены специальные узлы, известные как узлы IDS. Каждый узел IDS опрашивает туманные узлы на расстоянии одного перехода и анализирует их ответ с точки зрения содержания, контекста и времени прибытия.
Примечания:
1. Довгаль В.А., Довгаль Д.В. Модель взаимодействия анализирующих туманно-облачных вычислений для обработки информации о положении беспилотных летательных аппаратов // Осенние математические чтения в Адыгее: сб. материалов III Международной научной конференции. Майкоп: Изд-во: АГУ, 2019. С. 149-154.
2. Dovgal V.A. Decision-Making for Placing Unmanned Aerial Vehicles to Implementation of Analyzing Cloud Computing Cooperation Applied to Information Processing. 2020 International Conference on Industrial Engineering, Applications and Manufacturing (ICIEAM). Sochi, Russia, 2020. P. 1-5. DOI: 10.1109/ICIEAM48468.2020.9111975.
3. "EHOPES: Data-centered Fog platform for smart living," J. Li, J. Jin, D. Yuan, M. Palaniswami, K. Moessner // Proceedings of the 25th International Telecommunication Networks and Applications Conference ITNAC 2015. Australia. 2015. November. P. 308-313.
4. Довгаль В.А., Довгаль Д.В. Интернет Вещей: концепция, приложения и задачи // Вестник Адыгейского государственного университета. Сер.: Естественно-математические и технические науки. 2018. Вып. 1 (221). С. 129-135. URL: http://vestnik.adygnet.ru
5. Довгаль В.А., Довгаль Д.В. Проблемы и задачи безопасности интеллектуальных сетей, основанных на интернете вещей // Вестник Адыгейского государственного университета. Сер.: Естественно-математические и технические науки. 2017. Вып. 4 (211). С. 140-147. URL: http://vestnik.adygnet.ru
6. Мельник Э.В., Клименко А.Б. Применение концепции «туманных» вычислений при проектировании высоконадежных информационно-управляющих систем // Известия Тульского государственного университета. Технические науки. Тула, 2020. № 2. С. 273-283.
7. Fog Computing and the Internet of Things: Extend the Cloud to Where the Things Are. URL: https://www.cisco.com/c/dam/en_us/solutions/trends/i ot/docs/computing-overview.pdf (дата обращения: 03.07.2020).
8. Securing SDN Infrastructure of IoT-Fog Networks From MitM Attacks / C. Li, Z. Qin, E. Novak, Q. Li // IEEE Internet of Things Journal. Oct. 2017. Vol. 4, No. 5. P. 1156-1164. DOI: 10.1109/JI0T.2017.2685596.
9. Securing Fog Computing for Internet of Things Applications: Challenges and Solutions / J. Ni, K. Zhang, X. Lin, X. Shen // IEEE Communications Surveys & Tutorials. First quarter, 2018. Vol. 20, No. 1. P. 601628. DOI: 10.1109/œMST.2017.2762345.
10. Морозов А.В., Шахов В.Г. Анализ атак на беспроводные компьютерные интерфейсы // Омский научный вестник. Омск, 2012. № 3 (113). С. 323-
References:
1. Dovgal V.A., Dovgal D.V. Interaction model for analyzing fog-cloud computing for processing information on the position of unmanned aerial vehicles // Autumn Mathematical Readings in Adygheya: collection of proceedings of the 3rd International Scientific Conference. Maikop: Publishing House: ASU, 2019. P. 149-154.
2. Dovgal V.A. Decision-Making for Placing Unmanned Aerial Vehicles to Implementation of Analyzing Cloud Computing Cooperation Applied to Information Processing. 2020 International Conference on Industrial Engineering, Applications and Manufacturing (ICIEAM). Sochi, Russia, 2020. P. 1-5. DOI: 10.1109/ICIEAM48468.2020.9111975.
3. "EHOPES: Data-centered Fog platform for smart living," J. Li, J. Jin, D. Yuan, M. Palaniswami, K. Moessner // Proceedings of the 25th International Telecommunication Networks and Applications Conference ITNAC 2015. Australia. 2015. November. P. 308-313.
4. Dovgal V.A., Dovgal D.V. Internet of Things: concept, applications and tasks // The Bulletin of the Adyghe State University. Ser.: Natural-Mathematical and Technical Sciences. 2018. Iss. 1 (221). P. 129135. URL: http://vestnik.adygnet.ru
5. Dovgal V.A., Dovgal D.V. Security issues and challenges for the intellectual networks founded on the Internet of Things // The Bulletin of the Adyghe State University. Ser.: Natural-Mathematical and Technical Sciences. 2017. Iss. 4 (211). P. 140-147. URL: http://vestnik.adygnet.ru
6. Melnik E.V., Klimenko A.B. A fog computing concept applying for high-reliable management information system design // News of Tula State University. Technical Sciences. Tula, 2020. No. 2. P. 273-283.
7. Fog Computing and the Internet of Things: Extend the Cloud to Where the Things Are. URL: https://www.cisco.com/c/dam/en_us/solutions/trends/i ot/docs/computing-overview.pdf (access date: 03.07.2020).
8. Securing SDN Infrastructure of IoT-Fog Networks From MitM Attacks / C. Li, Z. Qin, E. Novak, Q. Li // IEEE Internet of Things Journal. Oct. 2017. Vol. 4, No. 5. P. 1156-1164. DOI: 10.1109/JI0T.2017.2685596.
9. Securing Fog Computing for Internet of Things Applications: Challenges and Solutions / J. Ni, K. Zhang, X. Lin, X. Shen // IEEE Communications Surveys & Tutorials. First quarter, 2018. Vol. 20, No. 1. P. 601628. DOI: 10.1109/œMST.2017.2762345.
10. Morozov A.V., Shakhov V.G. Analysis of attacks at wireless computer interfaces // Omsk Scientific Bulletin. Omsk, 2012. No. 3 (113). P. 323-327. URL:
327. URL: https://cyberleninka.ru/article/n/analiz-atak-na-besprovodnye-kompyuternye-interfeysy (дата обращения: 03.07.2020).
11. Khan S., Parkinson S., Qin Y. Fog computing security: a review of current applications and security solutions // J. Cloud Comp. 2017. Vol. 6, No. 19. URL: https://doi.org/10.1186
12. Chiang M., Zhang T. Fog and IoT: An Overview of Research Opportunities // IEEE Internet of Things Journal. Dec. 2016. Vol. 3, No. 6. P. 854-864. DOI: 10.1109/JI0T.2016.2584538.
13. Гришечкина Т. А. Анализ атак на сетевые протоколы в мобильных сенсорных сетях adhoc // Известия ЮФУ. Технические науки. 2012. № 12 (137). URL: https://cyberleninka.ru/article/n/analiz-atak-na-setevye-protokoly-v-mobilnyh-sensornyh-setyah-ad-hoc (дата обращения: 01.07.2020).
https://cyberleninka.ru/article/n/analiz-atak-na-besprovodnye-kompyuternye-interfeysy (access date: 03.07.2020).
11. Khan S., Parkinson S., Qin Y. Fog computing security: a review of current applications and security solutions // J. Cloud Comp. 2017. Vol. 6, No. 19. URL: https://doi.org/10.1186
12. Chiang M., Zhang T. Fog and IoT: An Overview of Research Opportunities // IEEE Internet of Things Journal. Dec. 2016. Vol. 3, No. 6. P. 854-864. DOI: 10.1109/JI0T.2016.2584538.
13. Grishechkina T.A. Analysis of attacks in mobile ad hoc networks using vulnarabilities network protocols // News of SFU. Technical Sciences. 2012. No. 12 (137). URL:
https://cyberleninka.ru/article/n/analiz-atak-na-setevye-protokoly-v-mobilnyh-sensornyh-setyah-ad-hoc (access date: 01.07.2020).
