O crescimento acelerado de aplicações e dispositivos para a Internet das coisas (IoT) significa excelentes comodidades para pessoas em diversas áreas, como casas inteligentes, automação industrial, saúde, controle de eletricidade, cidades e redes inteligentes. No entanto, a implementação de aplicações IoT em diferentes cenários também pode introduzir ameaças à segurança. Um exemplo é o botnet Mirai, identificado pela primeira vez em agosto de 2016 por um grupo de pesquisa de segurança chamado MalwareMustDie. Mirai vasculha a Web em busca de dispositivos domésticos inteligentes que tenham nomes de usuário e senhas padrão e, em seguida, inscreve os dispositivos em ataques que lançam tráfego indesejado em um alvo online.

A segurança da IoT também é afetada por restrições de software e hardware nesses dispositivos. Por exemplo, implementar mecanismos de criptografia e autenticação nesses dispositivos pode ser um desafio. Outro problema é que as aplicações IoT podem depender das informações pessoais dos usuários para fornecer serviços. No entanto, coletar, transferir e usar essas informações aumenta o risco de danificar a privacidade dos usuários. Assim, um dos desafios de pesquisa mais proeminentes para a comunidade de redes e segurança é fornecer um equilíbrio econômico entre o uso de dados confidenciais e a privacidade.

Sistema de detecção de intrusão baseado em anomalias

Criação um modelo de machine learning para detectar trafego maligno em dispositivos IOT em tempo real e dando suporte a tomada de decisões dos colaboradores. ​

Os ambientes domésticos inteligentes estão repletos de informações pessoais tratadas por dispositivos, protocolos e serviços para proporcionar conveniência ao usuário. Devido à sensibilidade das informações privadas, os requisitos de segurança tornam-se cada vez mais necessários neste cenário. No entanto, a gestão dos controlos de segurança nestes ambientes heterogêneos é um desafio significativo. Segundo Bugeja et al. As questões de segurança podem ser divididas em três camadas diferentes da arquitetura genérica de IoT:

• Problemas de dispositivos: os dispositivos em cenários de IoT têm restrições de desempenho, como CPUs com baixas taxas de clock, pouca memória e baixo rendimento. Essas limitações de hardware dificultam a implementação de mecanismos de segurança, como a criptografia, que consomem muita computação. Muitos dispositivos não possuem interface de gerenciamento, dificultando a criação de mecanismos de segurança como autenticação. Por esse motivo, os usuários precisam confiar em sites ou smartphones para gerenciar seus dispositivos e informações. Outra questão crítica é que os objetos em uma casa inteligente são fisicamente acessíveis e podem estar sujeitos a ataques físicos, como adulteração por um visitante na casa ou mesmo pela família para reduzir a cobrança de algum serviço que depende de medidores inteligentes.

• Problemas de comunicação: para interconectar muitos dispositivos diferentes em uma casa inteligente, são necessárias múltiplas pontes, hubs ou gateways e muitos protocolos de comunicação, o que dificulta a implementação de mecanismos de segurança adequados. O ambiente doméstico inteligente é altamente dinâmico, onde um dispositivo pode entrar ou sair da rede a qualquer momento, reforçando a ideia de desenvolver mecanismos de segurança resilientes que possam lidar com o gerenciamento de ativos. Inúmeros protocolos existentes e as capacidades restritas de cada dispositivo tornam os mecanismos de segurança tradicionais inadequados para o ambiente doméstico inteligente.

Problemas de serviço: para reduzir o número de vulnerabilidades, correções de patch precisam ser instaladas periodicamente. No entanto, executar este processo em todos os dispositivos pode ser problemático, uma vez que o firmware desses dispositivos e protocolos pode não suportar essas atualizações de segurança dinamicamente.

Observando essa constante evolução no cenário de dispositivos IoT, e acompanhando tendencias de mercado, chegamos a conclusão que um sistema de detecção de intrusão baseado em anomalias treinado com dados da Algar Telecom seria a melhor opção, já que pode apresentar um ótimo resultado com um baixo índice de falsos positivos além de ser leve de baixo custo e apresentar ótimos resultados com ataque desconhecidos.

Um sistema baseado em anomalia é um sistema que monitora as ações que ocorrem numa rede e, através de técnicas de inteligência computacional (como, por exemplo, redes neurais e classificadores estatísticos), aprende o comportamento padrão do sistema.— Uma anomalia é um desvio de um comportamento conhecido, e os perfis representam os comportamentos normais ou esperados derivados do monitoramento de atividades regulares, conexões de rede, hosts ou usuários durante um período de tempo​.

Prós e contas de um IDS baseado em anomalias.

Prós:

• Este método usa o aprendizado de máquina para criar e refinar continuamente um modelo de linha de base da atividade normal da rede​
• Eficaz para detectar vulnerabilidades novas e imprevistas.​
• Menos dependente do sistema operacional.​
• Facilite detecções de abuso de privilégios.​

Contras:

• Precisão de perfis fraca devido a eventos observados serem constantemente alterados.​
• Indisponível durante a reconstrução de perfis de comportamento.​
• Difícil acionar alertas na hora certa.

Desenvolva um conteúdo que possa transmitir o conhecimento adquirido para outros
Crie um material (Wiki, PDF, PPT, ...) que possa ser armazenado e facilmente atualizável

Apresente ao grupo (reunião, EAD, Blog, ...)
Publique aqui

Desenvolvimento e métodos de trabalho

Utilizamos como base uma metodologia ágil chamada que é líder do segmento de trabalhos de ciência de dados. O CRoss Industry Standard Process for Data Mining ( CRISP - DM ) é um modelo de processo que serve como base para um processo de ciência de dados. Possui seis fases sequenciais:

1. Entendimento do negócio – O que a empresa precisa?

2. Compreensão dos dados – Quais dados temos/precisamos? Está limpo?

3. Preparação de dados – Como organizamos os dados para modelagem?

4. Modelagem – Que técnicas de modelagem devemos aplicar?

5. Avaliação – Qual modelo atende melhor aos objetivos de negócio?

6. Implantação – Como as partes interessadas acessam os resultados?

Usamos ela para apresentar as sínteses de atividades, observações e análises, bem como possíveis comentários:

Nesta fase inicial da metodologia CRISP-DM, buscamos intender o contexto e os objetivos do projeto de segurança em IoT. Isso incluiu uma análise detalhada das necessidades do cliente e do ambiente IoT específico.

• Síntese das Atividades: Realizamos reuniões com as partes interessadas além de estudos para identificar as principais preocupações de segurança e os objetivos do projeto.
• Observações e Análises: Observamos que a falta de padrões claros de segurança e a diversidade dos dispositivos IoT são as principais preocupações.

Nesta etapa, coletamos, analisamos e intendemos os dados disponíveis relacionados à segurança em IoT. Isso envolveu a identificação de fontes de dados relevantes.

• Síntese das Atividades: Obtivemos dados de tráfego IoT em uma parceria com o \href{https://www.unb.ca/cic/datasets/iotdataset-2023.html}{CIC} (Canadian Institute for Cybersecurity) e \href{https://www.stratosphereips.org/}{stratosphere} (Stratosphere Research Laboratory), com registro de dados de trafego benigno e maligno, os dispositivos e tipos de ataques podem ser observados nas figuras seguintes.

• Observações e Análises: Observamos que os dados eram variados em termos tipos de ataque e tamanho, o que exigiu um esforço significativo de pré-processamento.

Na fase de preparação dos dados, trabalhamos na limpeza, transformação e integração dos dados para garantir que estivessem prontos para a análise.

• Síntese das Atividades: Limpamos dados inconsistentes, tratamos valores ausentes e padronizamos os dados.
• Observações e Análises: A qualidade dos dados era fundamental para a eficácia da análise de segurança em IoT.

Nesta fase, aplicamos técnicas de aprendizado de máquina para desenvolver o modelo de detecção de ataques em tempo real.

• Síntese das Atividades: Utilizamos algoritmos de aprendizado de máquina para treinar o modelo de detecção de ataques.
• Observações e Análises: Observamos que a abordagem baseada em aprendizado de máquina ofereceu uma melhoria significativa na detecção de ameaças em comparação com métodos tradicionais.

Na fase de avaliação, testamos o modelo de detecção de ataques para determinar sua eficácia e precisão.

• Observações e Análises: Observamos que o modelo demonstrou alta precisão na detecção de ameaças e uma taxa de falsos positivos baixa.
• Síntese das Atividades: Realizamos testes e avaliações do modelo usando conjuntos de dados de teste e validação.

A fase final envolve a simulamos uma implementação do modelo de detecção de ataques em um ambiente residencial.

• Síntese das Atividades: Implantamos o modelo em um ambiente IoT real para monitoramento contínuo.
• Observações e Análises: Observamos que a integração com o MITRE ATT&CK proporcionou uma visão abrangente das táticas, técnicas e procedimentos usados em possíveis ataques.

A metodologia CRISP-DM proporcionou uma estrutura sólida para o projeto de segurança em IoT, permitindo a compreensão dos desafios, a coleta e preparação de dados, o desenvolvimento de um modelo de detecção de ataques eficaz e a implantação bem-sucedida em um ambiente real. O aprendizado de máquina e a integração com o MITRE ATT&CK se mostraram abordagens poderosas para a segurança em IoT. Esses esforços contribuem para um ecossistema de IoT mais seguro e confiável, garantindo a proteção de dispositivos e dados na era da Internet das Coisas.

Na nossa POC Buscamos provar que é possível desenvolver uma solução de IDS baseado em anomalias que consiga detectar trafego anômalo em tempo real e que seja de baixo custo e fácil de implantar. Como resultado, buscamos uma taxa de acerto (acurácia) acima de 90%, a fim de demostrar a eficiência da solução e como ela pode ajudar a algar Telecom a aumentar o nível de segurança de seus dispositivos.

Para rodar esse projeto necessário:

• Python 3.10 ou superior.
• Sistema operacional Linux 18.04 ou superior, Windows 7 ou superior.
• Como hardware na arquitetura FamilyGuard foi provado que é possível rodar a solução em um dispositivo Raspberry Pi 3

    Descrever em tópicos os benefícios que uma pessoa ou uma empresa podem obter: ganhos, receitas, novos negócios, novos produtos, novas parcerias

Com base no texto fornecido, a implementação de um sistema de detecção de intrusão baseado em anomalias treinado com dados da Algar Telecom pode trazer vários benefícios para quem oferecer essa solução. Aqui estão alguns aspectos em que os benefícios podem ser observados:

1. Ganhos Financeiros:

• A oferta de um sistema eficiente e de baixo custo pode atrair clientes interessados em proteger seus dispositivos IoT. Isso pode resultar em ganhos financeiros através da venda da solução e serviços associados.

2. Receitas Recorrentes:

• Se a solução for oferecida como um serviço (SaaS), a empresa pode gerar receitas recorrentes por meio de assinaturas mensais ou anuais para a utilização do sistema de detecção de intrusão.

3. Novos Negócios:

• Ao fornecer uma solução inovadora e eficaz, a empresa pode atrair novos clientes interessados em fortalecer a segurança de seus dispositivos IoT. Isso pode abrir portas para novos negócios e oportunidades de expansão.

4. Credibilidade no Mercado:

• Desenvolver e oferecer uma solução que seja capaz de apresentar ótimos resultados com um baixo índice de falsos positivos pode aumentar a credibilidade da empresa no mercado de segurança de IoT.

5. Parcerias Estratégicas:

• A empresa pode explorar oportunidades de estabelecer parcerias estratégicas com fabricantes de dispositivos IoT, empresas de telecomunicações e outros players do mercado, ampliando assim sua presença e alcance.

6. Diferenciação Competitiva:

• Oferecer um sistema treinado com dados específicos da Algar Telecom pode ser um diferencial competitivo, destacando a empresa no mercado de segurança de IoT e atraindo clientes que valorizam soluções personalizadas.

7. Inovação Contínua:

• Ao acompanhar as tendências de mercado e utilizar dados específicos da Algar Telecom, a empresa demonstra um compromisso com a inovação contínua, o que pode atrair clientes que buscam soluções atualizadas e eficazes.

8. Adaptação a Ataques Desconhecidos:

• Destacar a capacidade da solução em lidar com ataques desconhecidos pode atrair clientes preocupados com ameaças emergentes e desconhecidas, proporcionando um valor adicional.

Ao considerar esses aspectos, a empresa que oferece essa solução tem a oportunidade de não apenas fornecer um produto eficiente, mas também criar um impacto positivo em seus resultados financeiros, na reputação do mercado e nas oportunidades de crescimento.

Os benefícios para quem oferecer essa solução de detecção de intrusão baseada em anomalias, treinada com dados da Algar Telecom, incluem:

1. Alto Desempenho:

• O sistema pode apresentar um ótimo resultado, indicando eficácia na detecção de intrusões.

2. Baixo Índice de Falsos Positivos:

• A solução tem a capacidade de minimizar a ocorrência de falsos positivos, o que significa que as detecções de intrusões tendem a ser precisas.

3. Leve e de Baixo Custo:

• A solução é descrita como sendo leve, o que sugere que pode ser implementada de maneira eficiente em termos de recursos. Além disso, é destacado como sendo de baixo custo, o que pode atrair organizações que buscam soluções acessíveis.

4. Resultados Eficientes com Ataques Desconhecidos:

• A solução é mencionada como capaz de fornecer ótimos resultados mesmo diante de ataques desconhecidos, o que destaca a robustez do sistema.

5. Uso de Dados da Algar Telecom:

• A utilização de dados da Algar Telecom para treinar o sistema pode conferir uma vantagem competitiva, uma vez que esses dados são específicos do contexto da empresa e podem melhorar a precisão do modelo.

6. Adaptabilidade às Tendências de Mercado:

• A solução está alinhada com as tendências de mercado, indicando uma abordagem atualizada e alinhada com as necessidades emergentes no cenário de dispositivos IoT.

7. Confiabilidade na Evolução do Cenário IoT:

• O texto destaca a observação da constante evolução no cenário de dispositivos IoT, sugerindo que a solução é projetada levando em consideração a dinâmica e as mudanças nesse ambiente.

8. Possível Parceria com a Algar Telecom:

• Existe a oportunidade de estabelecer uma parceria com a Algar Telecom, seja na obtenção dos dados para treinamento ou na oferta conjunta da solução aos clientes.

9. Atratividade para Clientes em Busca de Eficiência e Economia:

• A combinação de eficácia, baixo custo e adaptabilidade a ataques desconhecidos pode tornar a solução atrativa para clientes que valorizam eficiência e economia.

10. Potencial de Posicionamento Estratégico:

• Ao oferecer uma solução alinhada com as tendências de mercado e eficaz em um cenário em constante evolução, a empresa pode se posicionar estrategicamente como inovadora e preparada para os desafios do ambiente de IoT.

Esses benefícios podem contribuir para a competitividade da solução no mercado de detecção de intrusão em dispositivos IoT.

    Descrever em tópicos o que esta iniciativa pode proporcionar

    Descrever em tópicos os possíveis modelos de negócios

    Descrever um exemplo de negócio que permita avaliar a solução comercialmente

• Projeto possui algum elemento tecnologicamente novo ou inovador?

Elemento tecnologicamente novo ou inovador pode ser entendimento como o avanço tecnológico pretendido pelo projeto, ou a hipótese que está sendo testada

• Projeto possui barreira ou desafio tecnológico superável?

Barreira ou desafio tecnológico superável pode ser entendido como aquilo que dificulta o atingimento do avanço tecnológico pretendido, ou dificulta a comprovação da hipótese

• Projeto utiliza metodologia/método para superação da barreira ou desafio tecnológico?

Metodologia/método para superação da barreira ou desafio tecnológico pode ser entendido como aqueles atividades que foram realizadas para superação da barreira ou do desafio tecnológico existente no projeto

• Projeto é desenvolvido em parceira com alguma instituição acadêmica, ICT ou startup?

Se sim, o desenvolvimento tecnológico é executado por associado ou por alguma empresa terceira? qual o nome da empresa? 
Anexar cópia do contrato

Durante o nosso projeto tivemos algumas limitações como hardware para treinamento do modelo, os dados que utilizamos foram dados públicos já que não conseguimos dados de tráfego relevantes, traços de ataque simulados na Algar Telecom.

A prova de conceito consiste em desenvolver um sistema de detecção de intrusão baseado em anomalias. Para isso foi obtido dados de ataque de diversos dispositivos como câmeras, Smartwatches, Smart Homes. Sensores industriais. Esses dados contem vários tipos de ataques como DDoS, Brute Force, Spoofing, Recon, entre outros. Esses dados foram utilizados para treinar um algoritmo de machine lerning, a fim de detectar trafego malicioso na rede.

Nosso trabalho não possui nenhum dado que seja sensível LGPT, já trabalhos com dados de log do cabeçalho da requisição do tráfego.

Descreva especificamente os aspectos técnicos desta pesquisa

Para entendimento da pesquisa é necessário conhecimento como:

• Conhecimento em Cibersegurança como: os pilares de cibersegurança e conceitos de ataques.
• Conhecimentos em IOT como: definição, conceitos e principais arquiteturas.
• Conhecimento de programação e aprendizado de máquina:
• Conceito de ciência e dados como é metodologia CRISP-DM.

• 04/12/2023: Encontro com César para solicitar apoio ao Maycon na conclusão do BC
• 05/12/2023: Definição com Maycon da entrega da apresentação final da pesquisa

• Maycon Douglas Batista
• Rodrigo Santana Soares
• Ramiro - Algar Telecom