Académique Documents
Professionnel Documents
Culture Documents
Le domaine de recherche des IDS est vaste, mais seul un sous-ensemble restreint est approprié pour
les LLN [19], c'est-à-dire, compte tenu des contraintes de ressources et de la nature avec perte de ces
derniers. Dans cette étude, nous avons identifié 22 travaux pertinents qui ont été proposés dans la
littérature au cours des sept dernières années. Nous résumons ces IDS liés à la RPL dans la figure 8,
qui illustre leur évolution dans le temps ainsi que leurs caractéristiques qualitatives, c’est-à-dire la
méthode de détection incorporée et la stratégie de placement, ainsi que leurs caractéristiques
quantitatives, c'est-à-dire la méthode de détection incorporée et la stratégie de placement, ainsi que
leurs caractéristiques quantitatives, c'est-à-dire le nombre d'attaques qu'ils rencontrent.
Les auteurs de [25, 48, 49, 50, 14, 51, 52] présentent des systèmes de détection de signature.
En ce qui concerne leur emplacement, la majorité d'entre eux [25, 50, 14, 51, 52] sont des systèmes
hybrides, tandis que DEMO [48] est une approche distribuée et ELNIDS [49] une approche
centralisée.
DEMO [48] est une adaptation de \Suricata", un IDS open-source, développé dans le cadre du projet
européen \EBBITS" et traite de l'encodage et de l'accès à l'information. DEMO comprend un
gestionnaire d'agilité de fréquence (FAM) et un système de gestion des informations et des
événements de sécurité (SIEM). En même temps, il définit deux types particuliers de nœuds non RPL :
le nœud IDS, qui est responsable de la détection des attaques, et les nœuds de surveillance qui
surveillent le trafic réseau et envoient les données pertinentes via une connexion filaire (pour éviter
le brouillage) au nœud IDS pour une analyse plus approfondie.
Le système est évolutif et efficace pour détecter les attaques. En ce qui concerne l'extensibilité, les
auteurs proposent d'héberger le protocole de gestion de réseau simple (SNMP) ainsi que des
modules spéciaux dans le système pour détecter d'autres attaques et de combiner DEMO avec
SVELTE [43] pour créer une solution hybride. Dans l'ensemble, l'exploitation des nœuds non RPL et
de la connectivité filaire n'entraîne aucune surcharge pour le réseau RPL, mais implique également
une solution qui n'est pas totalement conforme à la spécification RPL et hybride en ce qui concerne
son placement, l'IDS en temps réel pour les attaques par trou de ver [25, 51] exploite les mesures des
nœuds non RPL et de la connectivité câblée.
Conforme à la spécification RPL et hybride en ce qui concerne son placement, l'IDS en temps réel
pour les attaques par trou de ver [25, 51] exploite les mesures de l'indicateur de la force du signal
reçu (RSSI) des nœuds comme moyen de recouper la topologie du réseau. Il traite deux types
d'attaques par trou de ver par encapsulation de paquets et par relais de paquets, ainsi qu'aux
attaques de voisins. Les attaques de voisins. Plus précisément, lors de la mise en place du réseau, le
nœud racine enregistre les données relatives à la topologie et reçoit par les autres nœuds les valeurs
RSSI de leurs voisins. Il exploite ensuite ces informations pour estimer les distances entre les nœuds
et les comparer à celles des voisins.
entre les nœuds et les compare aux données topologiques préenregistrées afin de détecter les
les divergences qui indiquent une attaque. Le système nécessite peu de ressources et
Le système demande peu de ressources et présente un faible taux de fausses détections. Il peut être
étendu pour détecter d'autres attaques, telles que
comme les attaques par clone-id, par sybille, par numéro de version du DODAG et par réparation
locale. Cependant,
Cependant, il base son fonctionnement sur des informations topologiques statiques en ignorant les
problèmes de mobilité auxquels les réseaux sont généralement confrontés.
Stratégie de surveillance distribuée IDS pour la détection des attaques par numéro de version
de version [14] est également un IDS de placement hybride qui se concentre sur DIO, DODAG
malveillants détectés en suivant les paramètres de spécification de la RPL. Une fois que la racine
reçoit et fusionne toutes les listes entrantes, elle notifie aux nœuds du réseau d'interrompre tout
contact avec les adversaires.
Le système se comporte efficacement dans les réseaux de petite et moyenne taille, mais ses
performances se détériorent en raison des taux élevés de faux positifs/négatifs dans les réseaux de
petite et moyenne taille.
faux positifs/négatifs dans les grands réseaux. Une idée pour surmonter cet
Une idée pour surmonter cet inconvénient est d'effectuer une surveillance croisée de chaque nœud
par au moins deux autres nœuds.
IDS basé sur la signature pour l'IoT [50, 52], qui est conçu pour détecter les puits, les transferts
sélectifs et les clones-ID.
sélective et les attaques par clone-ID. Il attribue le rôle central au routeur IDS
de surveillance du trafic réseau et de pare-feu, et il est capable d'accéder aux ressources nécessaires.
voisinage et transmettent toute information utile dérivée d'un algorithme de prise de décision local
et léger,
par un algorithme local et léger de prise de décision. Parmi les paramètres que l'IDS
soient reliés par un fil pour éviter le brouillage des signaux et l'écoute clandestine. Le système
Le système est étendu [50] pour détecter également les attaques de messages DIS en surveillant le
taux d'envoi de DIS et en le comparant à un taux prédéfini.
L'évaluation montre une grande précision et un faible nombre de faux positifs, même dans les grands
réseaux [50].
réseaux de grande taille [50] ; en ce qui concerne le compromis entre performance et surcharge, les
les auteurs concluent que trois à huit détecteurs devraient être déployés.
Le système de détection de signatures le plus récent est ELNIDS [49], qui utilise des mécanismes
d'intelligence artificielle et d'apprentissage automatique.
l'intelligence artificielle et des mécanismes d'apprentissage automatique dans des locaux centraux. Il
Il est basé sur l'apprentissage d'ensemble pour détecter les trous d'évier, les trous noirs, les
transmissions sélectives, les sybilles, les clones, etc.
sélectif, sybil, clone-ID, inondation et réparation locale. L'IDS repose sur les modules suivants
sur les modules suivants : le renifleur, le référentiel des événements et du trafic des capteurs, un
module d'extraction des caractéristiques, le moteur d'analyse, un module d'analyse des données et
un module d'analyse des données.
réseau et enregistre les informations dans l'unité de stockage. Le module d'extraction des
caractéristiques
distingue les caractéristiques du trafic réseau qui aident à une classification ultérieure effectuée par
l'analyseur à l'aide d'un ensemble de caractéristiques.
classification ultérieure effectuée par l'analyseur à l'aide de modèles d'ensemble. Un événement est
est classé comme une attaque si une signature connue de la base de données est détectée. D'après
autres IDS S
Remarques : Nous pouvons remarquer que les premiers systèmes de détection de signatures [14, 25,
48,
51] visent une attaque particulière et fonctionnent de manière déterministe. En revanche, les
systèmes les plus récents de cette catégorie visent une attaque particulière et fonctionnent de
manière déterministe.
au contraire, les systèmes les plus récents de cette catégorie [49, 50, 52] étendent leur
à un large éventail d'attaques, soit en adoptant une stratégie de placement hybride [50, 52], soit en
employant un système centralisé d'apprentissage par la machine.
soit en employant des mécanismes centralisés d'apprentissage automatique [49], par exemple
l'apprentissage d'ensemble.
l'apprentissage ensembliste.