L'évolution des IDS liés à la RPL

Le domaine de recherche des IDS est vaste, mais seul un sous-ensemble restreint est approprié pour
les LLN [19], c'est-à-dire, compte tenu des contraintes de ressources et de la nature avec perte de ces
derniers. Dans cette étude, nous avons identifié 22 travaux pertinents qui ont été proposés dans la
littérature au cours des sept dernières années. Nous résumons ces IDS liés à la RPL dans la figure 8,
qui illustre leur évolution dans le temps ainsi que leurs caractéristiques qualitatives, c’est-à-dire la
méthode de détection incorporée et la stratégie de placement, ainsi que leurs caractéristiques
quantitatives, c'est-à-dire la méthode de détection incorporée et la stratégie de placement, ainsi que
leurs caractéristiques quantitatives, c'est-à-dire le nombre d'attaques qu'ils rencontrent.

IDS de détection de signature

Les auteurs de [25, 48, 49, 50, 14, 51, 52] présentent des systèmes de détection de signature.

En ce qui concerne leur emplacement, la majorité d'entre eux [25, 50, 14, 51, 52] sont des systèmes
hybrides, tandis que DEMO [48] est une approche distribuée et ELNIDS [49] une approche
centralisée.

DEMO [48] est une adaptation de \Suricata", un IDS open-source, développé dans le cadre du projet
européen \EBBITS" et traite de l'encodage et de l'accès à l'information. DEMO comprend un
gestionnaire d'agilité de fréquence (FAM) et un système de gestion des informations et des
événements de sécurité (SIEM). En même temps, il définit deux types particuliers de nœuds non RPL :
le nœud IDS, qui est responsable de la détection des attaques, et les nœuds de surveillance qui
surveillent le trafic réseau et envoient les données pertinentes via une connexion filaire (pour éviter
le brouillage) au nœud IDS pour une analyse plus approfondie.

Le système est évolutif et efficace pour détecter les attaques. En ce qui concerne l'extensibilité, les
auteurs proposent d'héberger le protocole de gestion de réseau simple (SNMP) ainsi que des
modules spéciaux dans le système pour détecter d'autres attaques et de combiner DEMO avec
SVELTE [43] pour créer une solution hybride. Dans l'ensemble, l'exploitation des nœuds non RPL et
de la connectivité filaire n'entraîne aucune surcharge pour le réseau RPL, mais implique également
une solution qui n'est pas totalement conforme à la spécification RPL et hybride en ce qui concerne
son placement, l'IDS en temps réel pour les attaques par trou de ver [25, 51] exploite les mesures des
nœuds non RPL et de la connectivité câblée.

Conforme à la spécification RPL et hybride en ce qui concerne son placement, l'IDS en temps réel
pour les attaques par trou de ver [25, 51] exploite les mesures de l'indicateur de la force du signal
reçu (RSSI) des nœuds comme moyen de recouper la topologie du réseau. Il traite deux types
d'attaques par trou de ver par encapsulation de paquets et par relais de paquets, ainsi qu'aux
attaques de voisins. Les attaques de voisins. Plus précisément, lors de la mise en place du réseau, le
nœud racine enregistre les données relatives à la topologie et reçoit par les autres nœuds les valeurs
RSSI de leurs voisins. Il exploite ensuite ces informations pour estimer les distances entre les nœuds
et les comparer à celles des voisins.

entre les nœuds et les compare aux données topologiques préenregistrées afin de détecter les

les divergences qui indiquent une attaque. Le système nécessite peu de ressources et
Le système demande peu de ressources et présente un faible taux de fausses détections. Il peut être
étendu pour détecter d'autres attaques, telles que

comme les attaques par clone-id, par sybille, par numéro de version du DODAG et par réparation
locale. Cependant,

Cependant, il base son fonctionnement sur des informations topologiques statiques en ignorant les
problèmes de mobilité auxquels les réseaux sont généralement confrontés.

auxquels les réseaux sont généralement confrontés.

Stratégie de surveillance distribuée IDS pour la détection des attaques par numéro de version

de version [14] est également un IDS de placement hybride qui se concentre sur DIO, DODAG

et la surveillance du rang des nœuds. L'IDS définit plusieurs nœuds de surveillance

responsables de l'identification et de l'envoi à la racine du DODAG d'une liste de nœuds malveillants

malveillants détectés en suivant les paramètres de spécification de la RPL. Une fois que la racine

reçoit et fusionne toutes les listes entrantes, elle notifie aux nœuds du réseau d'interrompre tout
contact avec les adversaires.

d'interrompre tout contact avec les adversaires. Le système se comporte efficacement

Le système se comporte efficacement dans les réseaux de petite et moyenne taille, mais ses
performances se détériorent en raison des taux élevés de faux positifs/négatifs dans les réseaux de
petite et moyenne taille.

faux positifs/négatifs dans les grands réseaux. Une idée pour surmonter cet

Une idée pour surmonter cet inconvénient est d'effectuer une surveillance croisée de chaque nœud
par au moins deux autres nœuds.

Un autre système de placement hybride proposé en 2018 est le Signature-based

IDS basé sur la signature pour l'IoT [50, 52], qui est conçu pour détecter les puits, les transferts
sélectifs et les clones-ID.

sélective et les attaques par clone-ID. Il attribue le rôle central au routeur IDS

et définit un sous-ensemble de nœuds comme détecteurs IDS. Le routeur sert à la fois de

de surveillance du trafic réseau et de pare-feu, et il est capable d'accéder aux ressources nécessaires.

ressources nécessaires. Les détecteurs restreignent l'opération de surveillance dans leur

voisinage et transmettent toute information utile dérivée d'un algorithme de prise de décision local
et léger,

par un algorithme local et léger de prise de décision. Parmi les paramètres que l'IDS

surveille sont le RSSI et le taux d'abandon des paquets.

Un système de sécurité est utilisé pour protéger les communications sans fil ; toutefois, les auteurs
suggèrent que les nœuds IDS

soient reliés par un fil pour éviter le brouillage des signaux et l'écoute clandestine. Le système

Le système est étendu [50] pour détecter également les attaques de messages DIS en surveillant le
taux d'envoi de DIS et en le comparant à un taux prédéfini.

en surveillant le taux d'envoi de DIS et en le comparant à un seuil prédéfini. L'évaluation

L'évaluation montre une grande précision et un faible nombre de faux positifs, même dans les grands
réseaux [50].

réseaux de grande taille [50] ; en ce qui concerne le compromis entre performance et surcharge, les

les auteurs concluent que trois à huit détecteurs devraient être déployés.

Le système de détection de signatures le plus récent est ELNIDS [49], qui utilise des mécanismes
d'intelligence artificielle et d'apprentissage automatique.

l'intelligence artificielle et des mécanismes d'apprentissage automatique dans des locaux centraux. Il

Il est basé sur l'apprentissage d'ensemble pour détecter les trous d'évier, les trous noirs, les
transmissions sélectives, les sybilles, les clones, etc.

sélectif, sybil, clone-ID, inondation et réparation locale. L'IDS repose sur les modules suivants

sur les modules suivants : le renifleur, le référentiel des événements et du trafic des capteurs, un
module d'extraction des caractéristiques, le moteur d'analyse, un module d'analyse des données et
un module d'analyse des données.

module d'extraction de caractéristiques, le moteur d'analyse, la base de données de signatures et le

gestionnaire de notification d'alarme/attaque.

et le gestionnaire de notification des alarmes/attaques. Le module renifleur surveille le trafic

réseau et enregistre les informations dans l'unité de stockage. Le module d'extraction des
caractéristiques

distingue les caractéristiques du trafic réseau qui aident à une classification ultérieure effectuée par
l'analyseur à l'aide d'un ensemble de caractéristiques.

classification ultérieure effectuée par l'analyseur à l'aide de modèles d'ensemble. Un événement est

est classé comme une attaque si une signature connue de la base de données est détectée. D'après

Selon son évaluation, ELNIDS fait preuve d'une grande précision.

autres IDS S

g, il ne tient pas compte de la mobilité des nœuds.

Remarques : Nous pouvons remarquer que les premiers systèmes de détection de signatures [14, 25,
48,
51] visent une attaque particulière et fonctionnent de manière déterministe. En revanche, les
systèmes les plus récents de cette catégorie visent une attaque particulière et fonctionnent de
manière déterministe.

au contraire, les systèmes les plus récents de cette catégorie [49, 50, 52] étendent leur

à un large éventail d'attaques, soit en adoptant une stratégie de placement hybride [50, 52], soit en
employant un système centralisé d'apprentissage par la machine.

soit en employant des mécanismes centralisés d'apprentissage automatique [49], par exemple
l'apprentissage d'ensemble.

l'apprentissage ensembliste.