O crescimento acelerado de aplicações e dispositivos para a Internet das coisas (IoT) significa excelentes comodidades para pessoas em diversas áreas, como casas inteligentes, automação industrial, saúde, controle de eletricidade, cidades e redes inteligentes. No entanto, a implementação de aplicações IoT em diferentes cenários também pode introduzir ameaças à segurança. Um exemplo é o botnet Mirai, identificado pela primeira vez em agosto de 2016 por um grupo de pesquisa de segurança chamado MalwareMustDie. Mirai vasculha a Web em busca de dispositivos domésticos inteligentes que tenham nomes de usuário e senhas padrão e, em seguida, inscreve os dispositivos em ataques que lançam tráfego indesejado em um alvo online.

A segurança da IoT também é afetada por restrições de software e hardware nesses dispositivos. Por exemplo, implementar mecanismos de criptografia e autenticação nesses dispositivos pode ser um desafio. Outro problema é que as aplicações IoT podem depender das informações pessoais dos usuários para fornecer serviços. No entanto, coletar, transferir e usar essas informações aumenta o risco de danificar a privacidade dos usuários. Assim, um dos desafios de pesquisa mais proeminentes para a comunidade de redes e segurança é fornecer um equilíbrio econômico entre o uso de dados confidenciais e a privacidade.

Sistema de detecção de intrusão baseado em anomalias

Criação um modelo de machine learning para detectar trafego maligno em dispositivos IOT em tempo real e dando suporte a tomada de decisões dos colaboradores. ​

Os ambientes domésticos inteligentes estão repletos de informações pessoais tratadas por dispositivos, protocolos e serviços para proporcionar conveniência ao usuário. Devido à sensibilidade das informações privadas, os requisitos de segurança tornam-se cada vez mais necessários neste cenário. No entanto, a gestão dos controlos de segurança nestes ambientes heterogêneos é um desafio significativo. Segundo Bugeja et al. As questões de segurança podem ser divididas em três camadas diferentes da arquitetura genérica de IoT:

• Problemas de dispositivos: os dispositivos em cenários de IoT têm restrições de desempenho, como CPUs com baixas taxas de clock, pouca memória e baixo rendimento. Essas limitações de hardware dificultam a implementação de mecanismos de segurança, como a criptografia, que consomem muita computação. Muitos dispositivos não possuem interface de gerenciamento, dificultando a criação de mecanismos de segurança como autenticação. Por esse motivo, os usuários precisam confiar em sites ou smartphones para gerenciar seus dispositivos e informações. Outra questão crítica é que os objetos em uma casa inteligente são fisicamente acessíveis e podem estar sujeitos a ataques físicos, como adulteração por um visitante na casa ou mesmo pela família para reduzir a cobrança de algum serviço que depende de medidores inteligentes.

• Problemas de comunicação: para interconectar muitos dispositivos diferentes em uma casa inteligente, são necessárias múltiplas pontes, hubs ou gateways e muitos protocolos de comunicação, o que dificulta a implementação de mecanismos de segurança adequados. O ambiente doméstico inteligente é altamente dinâmico, onde um dispositivo pode entrar ou sair da rede a qualquer momento, reforçando a ideia de desenvolver mecanismos de segurança resilientes que possam lidar com o gerenciamento de ativos. Inúmeros protocolos existentes e as capacidades restritas de cada dispositivo tornam os mecanismos de segurança tradicionais inadequados para o ambiente doméstico inteligente.

Problemas de serviço: para reduzir o número de vulnerabilidades, correções de patch precisam ser instaladas periodicamente. No entanto, executar este processo em todos os dispositivos pode ser problemático, uma vez que o firmware desses dispositivos e protocolos pode não suportar essas atualizações de segurança dinamicamente.

Observando essa constante evolução no cenário de dispositivos IoT, e acompanhando tendencias de mercado, chegamos a conclusão que um sistema de detecção de intrusão baseado em anomalias treinado com dados da Algar Telecom seria a melhor opção, já que pode apresentar um ótimo resultado com um baixo índice de falsos positivos além de ser leve de baixo custo e apresentar ótimos resultados com ataque desconhecidos.

Um sistema baseado em anomalia é um sistema que monitora as ações que ocorrem numa rede e, através de técnicas de inteligência computacional (como, por exemplo, redes neurais e classificadores estatísticos), aprende o comportamento padrão do sistema.— Uma anomalia é um desvio de um comportamento conhecido, e os perfis representam os comportamentos normais ou esperados derivados do monitoramento de atividades regulares, conexões de rede, hosts ou usuários durante um período de tempo​.

Prós e contas de um IDS baseado em anomalias.

Prós:

• Este método usa o aprendizado de máquina para criar e refinar continuamente um modelo de linha de base da atividade normal da rede​
• Eficaz para detectar vulnerabilidades novas e imprevistas.​
• Menos dependente do sistema operacional.​
• Facilite detecções de abuso de privilégios.​

Contras:

• Precisão de perfis fraca devido a eventos observados serem constantemente alterados.​
• Indisponível durante a reconstrução de perfis de comportamento.​
• Difícil acionar alertas na hora certa.

Desenvolvimento e métodos de trabalho

Utilizamos como base uma metodologia ágil chamada que é líder do segmento de trabalhos de ciência de dados. O CRoss Industry Standard Process for Data Mining ( CRISP - DM ) é um modelo de processo que serve como base para um processo de ciência de dados . Possui seis fases sequenciais:

1. Entendimento do negócio – O que a empresa precisa? 2. Compreensão dos dados – Quais dados temos/precisamos? Está limpo? 3. Preparação de dados – Como organizamos os dados para modelagem? 4. Modelagem – Que técnicas de modelagem devemos aplicar? 5. Avaliação – Qual modelo atende melhor aos objetivos de negócio? 6. Implantação – Como as partes interessadas acessam os resultados?

Usamos ela para apresentar as sínteses de atividades, observações e análises, bem como possíveis comentários:

Compreensão do Negócio (Business Understanding) Nesta fase inicial da metodologia CRISP-DM, buscamos intender o contexto e os objetivos do projeto de segurança em IoT. Isso incluiu uma análise detalhada das necessidades do cliente e do ambiente IoT específico.

Síntese das Atividades: Realizamos reuniões com as partes interessadas além de estudos para identificar as principais preocupações de segurança e os objetivos do projeto.
Observações e Análises: Observamos que a falta de padrões claros de segurança e a diversidade dos dispositivos IoT são as principais preocupações.

Compreensão dos Dados (Data Understanding)}

Nesta etapa, coletamos, analisamos e intendemos os dados disponíveis relacionados à segurança em IoT. Isso envolveu a identificação de fontes de dados relevantes.

Síntese das Atividades: Obtivemos dados de tráfego IoT em uma parceria com o \href{https://www.unb.ca/cic/datasets/iotdataset-2023.html}{CIC} (Canadian Institute for Cybersecurity) e \href{https://www.stratosphereips.org/}{stratosphere} (Stratosphere Research Laboratory), com registro de dados de trafego benigno e maligno, os dispositivos e tipos de ataques podem ser observados nas figuras seguintes.

Observações e Análises: Observamos que os dados eram variados em termos tipos de ataque e tamanho, o que exigiu um esforço significativo de pré-processamento.

Preparação dos Dados (Data Preparation) Na fase de preparação dos dados, trabalhamos na limpeza, transformação e integração dos dados para garantir que estivessem prontos para a análise.

Síntese das Atividades: Limpamos dados inconsistentes, tratamos valores ausentes e padronizamos os dados. Observações e Análises: A qualidade dos dados era fundamental para a eficácia da análise de segurança em IoT.

Modelagem (Modeling) Nesta fase, aplicamos técnicas de aprendizado de máquina para desenvolver o modelo de detecção de ataques em tempo real.

Síntese das Atividades: Utilizamos algoritmos de aprendizado de máquina para treinar o modelo de detecção de ataques. Observações e Análises: Observamos que a abordagem baseada em aprendizado de máquina ofereceu uma melhoria significativa na detecção de ameaças em comparação com métodos tradicionais.

Avaliação (Evaluation) Na fase de avaliação, testamos o modelo de detecção de ataques para determinar sua eficácia e precisão.

Observações e Análises: Observamos que o modelo demonstrou alta precisão na detecção de ameaças e uma taxa de falsos positivos baixa. Síntese das Atividades: Realizamos testes e avaliações do modelo usando conjuntos de dados de teste e validação.

Implantação (Deployment)

A fase final envolve a simulamos uma implementação do modelo de detecção de ataques em um ambiente residencial.

Síntese das Atividades: Implantamos o modelo em um ambiente IoT real para monitoramento contínuo. Observações e Análises: Observamos que a integração com o MITRE ATT&CK proporcionou uma visão abrangente das táticas, técnicas e procedimentos usados em possíveis ataques.

A metodologia CRISP-DM proporcionou uma estrutura sólida para o projeto de segurança em IoT, permitindo a compreensão dos desafios, a coleta e preparação de dados, o desenvolvimento de um modelo de detecção de ataques eficaz e a implantação bem-sucedida em um ambiente real. O aprendizado de máquina e a integração com o MITRE ATT&CK se mostraram abordagens poderosas para a segurança em IoT. Esses esforços contribuem para um ecossistema de IoT mais seguro e confiável, garantindo a proteção de dispositivos e dados na era da Internet das Coisas.

Desenvolva um conteúdo que possa transmitir o conhecimento adquirido para outros
Crie um material (Wiki, PDF, PPT, ...) que possa ser armazenado e facilmente atualizável

Apresente ao grupo (reunião, EAD, Blog, ...)
Publique aqui

Desenvolvimento e métodos de trabalho

Utilizamos como base uma metodologia ágil chamada que é líder do segmento de trabalhos de ciência de dados. O CRoss Industry Standard Process for Data Mining ( CRISP - DM ) é um modelo de processo que serve como base para um processo de ciência de dados. Possui seis fases sequenciais:

1. Entendimento do negócio – O que a empresa precisa?

2. Compreensão dos dados – Quais dados temos/precisamos? Está limpo?

3. Preparação de dados – Como organizamos os dados para modelagem?

4. Modelagem – Que técnicas de modelagem devemos aplicar?

5. Avaliação – Qual modelo atende melhor aos objetivos de negócio?

6. Implantação – Como as partes interessadas acessam os resultados?

Usamos ela para apresentar as sínteses de atividades, observações e análises, bem como possíveis comentários:

Nesta fase inicial da metodologia CRISP-DM, buscamos intender o contexto e os objetivos do projeto de segurança em IoT. Isso incluiu uma análise detalhada das necessidades do cliente e do ambiente IoT específico.

• Síntese das Atividades: Realizamos reuniões com as partes interessadas além de estudos para identificar as principais preocupações de segurança e os objetivos do projeto.
• Observações e Análises: Observamos que a falta de padrões claros de segurança e a diversidade dos dispositivos IoT são as principais preocupações.

Nesta etapa, coletamos, analisamos e intendemos os dados disponíveis relacionados à segurança em IoT. Isso envolveu a identificação de fontes de dados relevantes.

• Síntese das Atividades: Obtivemos dados de tráfego IoT em uma parceria com o \href{https://www.unb.ca/cic/datasets/iotdataset-2023.html}{CIC} (Canadian Institute for Cybersecurity) e \href{https://www.stratosphereips.org/}{stratosphere} (Stratosphere Research Laboratory), com registro de dados de trafego benigno e maligno, os dispositivos e tipos de ataques podem ser observados nas figuras seguintes.

• Observações e Análises: Observamos que os dados eram variados em termos tipos de ataque e tamanho, o que exigiu um esforço significativo de pré-processamento.

Na fase de preparação dos dados, trabalhamos na limpeza, transformação e integração dos dados para garantir que estivessem prontos para a análise.

• Síntese das Atividades: Limpamos dados inconsistentes, tratamos valores ausentes e padronizamos os dados.
• Observações e Análises: A qualidade dos dados era fundamental para a eficácia da análise de segurança em IoT.

Nesta fase, aplicamos técnicas de aprendizado de máquina para desenvolver o modelo de detecção de ataques em tempo real.

• Síntese das Atividades: Utilizamos algoritmos de aprendizado de máquina para treinar o modelo de detecção de ataques.
• Observações e Análises: Observamos que a abordagem baseada em aprendizado de máquina ofereceu uma melhoria significativa na detecção de ameaças em comparação com métodos tradicionais.

Na fase de avaliação, testamos o modelo de detecção de ataques para determinar sua eficácia e precisão.

• Observações e Análises: Observamos que o modelo demonstrou alta precisão na detecção de ameaças e uma taxa de falsos positivos baixa.
• Síntese das Atividades: Realizamos testes e avaliações do modelo usando conjuntos de dados de teste e validação.

A fase final envolve a simulamos uma implementação do modelo de detecção de ataques em um ambiente residencial.

• Síntese das Atividades: Implantamos o modelo em um ambiente IoT real para monitoramento contínuo.
• Observações e Análises: Observamos que a integração com o MITRE ATT&CK proporcionou uma visão abrangente das táticas, técnicas e procedimentos usados em possíveis ataques.

A metodologia CRISP-DM proporcionou uma estrutura sólida para o projeto de segurança em IoT, permitindo a compreensão dos desafios, a coleta e preparação de dados, o desenvolvimento de um modelo de detecção de ataques eficaz e a implantação bem-sucedida em um ambiente real. O aprendizado de máquina e a integração com o MITRE ATT&CK se mostraram abordagens poderosas para a segurança em IoT. Esses esforços contribuem para um ecossistema de IoT mais seguro e confiável, garantindo a proteção de dispositivos e dados na era da Internet das Coisas.

Na nossa POC provamos que é possível desenvolver uma solução de IDS baseado em anomalias que consiga detectar trafego anômalo em tempo real e que seja de baixo custo e fácil de implantar. Como resultado, obtivemos uma taxa de acerto (acurácia) acima de 90%, demostrando a eficiência da solução e como ela pode ajudar a algar Telecom a aumentar o nível de segurança de seus dispositivos.

Descreva os requisitos deste projeto

    Descrever em tópicos os benefícios que uma pessoa ou uma empresa podem obter: ganhos, receitas, novos negócios, novos produtos, novas parcerias

    Descrever em tópicos os benefícios para os usuários desta solução.
    Pode se inspirar no Canvas.

    Descrever em tópicos o que esta iniciativa pode proporcionar

    Descrever em tópicos os possíveis modelos de negócios

    Descrever um exemplo de negócio que permita avaliar a solução comercialmente

• Projeto possui algum elemento tecnologicamente novo ou inovador?

Elemento tecnologicamente novo ou inovador pode ser entendimento como o avanço tecnológico pretendido pelo projeto, ou a hipótese que está sendo testada

• Projeto possui barreira ou desafio tecnológico superável?

Barreira ou desafio tecnológico superável pode ser entendido como aquilo que dificulta o atingimento do avanço tecnológico pretendido, ou dificulta a comprovação da hipótese

• Projeto utiliza metodologia/método para superação da barreira ou desafio tecnológico?

Metodologia/método para superação da barreira ou desafio tecnológico pode ser entendido como aqueles atividades que foram realizadas para superação da barreira ou do desafio tecnológico existente no projeto

• Projeto é desenvolvido em parceira com alguma instituição acadêmica, ICT ou startup?

Se sim, o desenvolvimento tecnológico é executado por associado ou por alguma empresa terceira? qual o nome da empresa? 
Anexar cópia do contrato

Explique o escopo deste protótipo

Informe sobre as limitações técnicas, comerciais, operacionais, recursos, etc.

Desenvolva um PoC (Proof of Concept)

• Avaliar condições referentes à Lei Geral de Proteção de Dados

Descreva especificamente os aspectos técnicos desta pesquisa

• 04/12/2023: Encontro com César para solicitar apoio ao Maycon na conclusão do BC
• 05/12/2023: Definição com Maycon da entrega da apresentação final da pesquisa

• Maycon Douglas Batista
• Rodrigo Santana Soares
• Ramiro - Algar Telecom