Heimdall: detecção de artefatos maliciosos utilizando machine learning em ambientes internet of things habilitados por redes definidas por software

Abstract

Programas maliciosos continuam sendo um dos principais desafios para a segurança dos sistemas computacionais. O crescimento do paradigma tecnológico da Internet das Coisas (IoT, do inglês Internet of Things) tem gerado diversas preocupações a respeito da segurança dos dispositivos conectados à Internet, especialmente em ambientes industriais impulsionados pelas tecnologias 4.0, onde o comprometimento ou mau funcionamento de tais aparelhos pode ocasionar danos ao ambiente físico dos sistemas produtivos e colocar vidas humanas em risco. Proteger ambientes IoT é uma tarefa complexa, visto que dispositivos com características e funcionalidades distintas podem estar conectados à uma mesma infraestrutura. Logo, é essencial dispor de ferramentas agnósticas para detecção e contenção de ameaças cibernéticas. Nesse contexto, o paradigma das Redes Definidas por Software (SDN, do inglês Software-Defined Networking) se apresenta como um habilitador para o desenvolvimento de soluções capazes de detectar e isolar artefatos maliciosos em nível de rede. Ademais, o uso de técnicas de aprendizado de máquina eleva o potencial de detecção ao permitir a identificação rápida de artefatos desconhecidos. Diante do exposto, este trabalho de pesquisa propõe o Heimdall, uma ferramenta híbrida para detecção de artefatos maliciosos em ambientes IoT habilitados por SDN. A solução combina o uso de regras YARA e machine learning para classificação de artefatos maliciosos a partir da análise do tráfego da rede. As principais contribuições deste trabalho englobam a avaliação de diferentes algoritmos de aprendizado de máquina em um dataset robusto; a criação de uma arquitetura híbrida, genérica e resiliente para detecção de programas maliciosos em ambientes IoT habilitados por SDN; o desenvolvimento de uma prova de conceito para a arquitetura definida; e a avaliação da abordagem proposta a partir de exemplares reais de artefatos maliciosos. O algoritmo Random Forest implementado obteve uma acurácia de 99.33% no conjunto de dados de teste. Ao ser avaliado contra programas maliciosos reais, o Heimdall obteve uma taxa de detecção de 98.44% e um tempo de processamento médio de 0.0217s.

Malicious software remains one of the main challenges for the security of computer systems. The growth of the Internet of Things (IoT) technological paradigm has raised several concerns regarding the security of devices connected to the Internet, especially in industrial environments driven by 4.0 technologies, where compromising or malfunctioning such devices can cause damage to the physical production systems environment and put human lives at risk. Protecting IoT environments is a complex task, as devices with different characteristics and functionalities may be connected to the same infrastructure. Therefore, it is essential to have agnostic tools for detecting and containing cyber threats. In this context, the Software- Defined Networking (SDN) paradigm emerges as an enabler for the development of solutions capable of detecting and isolating malicious artifacts at the network level. Furthermore, the use of machine learning techniques enhances detection potential by enabling the rapid identification of unknown artifacts. Given the above, this research proposes Heimdall, a hybrid approach for detecting malicious artifacts in SDNenabled IoT environments. The solution combines the use of YARA rules and machine learning for classifying malicious artifacts based on network traffic analysis. The main contributions of this work include: the evaluation of different machine learning algorithms on a robust dataset; the creation of a hybrid, generic, and resilient architecture for detecting malicious programs in SDN-enabled IoT environments; the development of a proof of concept for the defined architecture; and the evaluation of the proposed approach using real samples of malicious artifacts. The implemented Random Forest algorithm achieved an accuracy of 99.33% on the test dataset. When evaluated against real malicious programs, Heimdall achieved a detection rate of 98.44% and an average processing time of 0.0217s.