Systèmes de détection d'intrusion pour la sécurité des RPL :

Analyse comparative

Résumé
L'Internet des objets (IoT) est une technologie émergente qui a connu un essor remarquable au
cours des dernières années. L'intérêt croissant pour les réseaux contraints par IPv6 a fait du
protocole de routage pour les réseaux à faible puissance et à perte (RPL) la solution de
routage standard, qui a gagné en attention et en maturité dans la littérature. Toutefois, en
raison de l'environnement d'exploitation ouvert et éventuellement non surveillé des réseaux et
éventuellement non surveillé, ainsi que des contraintes des nœuds, la sécurité du est une
question difficile, qui fait actuellement l'objet d'une étude approfondie. Des systèmes de
détection d'intrusion (IDS) nouveaux et innovants ont été proposés dans la littérature au cours
des dernières années pour résoudre les problèmes de sécurité du protocole. À cet égard, notre
article d'étude:
i) commence par extraire un ensemble d'exigences de conception pour les IDS liés au RPL,
en examinant la diversité des attaques sur le protocole et en étudiant leur impact ;
ii) identifier les meilleures pratiques et les meilleures pratiques et les lacunes dans la
conception d'un IDS en étudiant l'évolution de la bibliographie connexe (2013) ; et
iii) conclut avec un certain nombre de directrices extraites une fois que nous avons mis en
correspondance les 22 IDS étudiés avec les attaques auxquelles ils sont confrontés et les
comparons en fonction des exigences de conception que nous avons introduites. Notre analyse
tient compte des commentaires des auteurs correspondants pour une étude plus approfondie.
Mots clés : IoT, protocole de routage RPL, sécurité, attaques, systèmes de détection
d'intrusion, analyse comparative.

1. Introduction
L'Internet des objets (IoT) est un vaste domaine de technologie et de recherche, dont une
partie est constituée de réseaux à faible puissance et à pertes (LLN). Les nœuds de ces réseaux
sont sensibles à diverses restrictions et défis, ce qui rend les protocoles de routage existants
inappropriés. Cette lacune a été comblée par le protocole de routage IPv6 pour les réseaux à
faible puissance et à perte (RPL), qui est devenu la norme de facto pour l'IdO pour le routage
dans IoT, au-delà des attentes initiales. Le RPL a fait preuve d'une grande maturité pour
connecter des dispositifs IPv6, avec un surcoût modéré et dans des conditions difficiles, par
exemple des liaisons avec perte, des dispositifs hétérogènes et contraignants, menaces
nouvelles.
Malgré ses avantages, le RPL présente encore des problèmes ouverts, dont les plus importants
sont liés aux attaques qui perturbent le réseau. En effet, RPL est inévitablement exposé à un
grand nombre d'attaques puisqu'il est basé sur la pile ouverte IPv6 et qu'il utilise
principalement IPv6 open stack et utilise des médias sans fil pour la communication des
nœuds. En outre, en exploitant les mécanismes de RPL, un intrus peut avoir accès au réseau,
déclencher des attaques qui proviennent de l'intérieur du réseau LLN. Dans de tels cas, le
cryptage lui-même ne suffit pas à assurer la sécurité. Sur ce point, la norme RPL prévoit trois
modes de fonctionnement, à savoir le mode non sécurisé, le mode préinstallé et le mode
authentifié, tout en définissant des mécanismes de condensation des données,
d'authentification des données. Bien que certains efforts de recherche récents se concentrent
sur une mise en œuvre partielle des fonctions de sécurité de la RPL, jusqu'à présent, la
majorité des implémentations de RPL supposent le mode non sécurisé. En fait, les fonctions
de sécurité de RPL sont caractérisées comme étant optionnelles et, les futures versions de
RPL aborderont des questions telles que la sécurité authentifiée. D'ici là, l'approche la plus
réaliste pour faire face aux attaques est la suivante méthodes d'atténuation et les systèmes de
détection d'intrusion (IDS). Les premières concernent des mécanismes supplémentaires légers
au RPL standard et traitent un nombre limité d'attaques. Les seconds emploient une
combinaison de méthodes, ce qui permet de traiter un plus grand nombre d'attaques.
Actuellement, un petit nombre d'études se concentrent sur les problèmes de sécurité
mentionnés ci-dessus et sur les IDS qui y sont confrontés. Mayzaud et al. [5] présentent une
catégorisation denite des attaques RPL, où les IDS sont uniquement discutés en fonction de
celles-ci, tandis qu'une taxonomie et une évaluation détaillées des attaques RPL sont
présentées. De plus, n'inclut que trois des nouveaux IDSs, disponibles au moment de la
publication. Raoof et al traitent des attaques RPL et de leurs méthodes d'atténuation en
général, laissant peu d'espace pour la description et l'analyse d'IDS spécifiques ; seule une
liste de ceux considérés comme les plus importants pour les auteurs sont brièvement décrits.
Dans les travaux récents de Verma et al [6], les auteurs utilisent également la taxonomie des
attaques de Mayzaud et al et proposent un tableau de comparaison des IDS contemporains sur
la base d'un ensemble étendu de 26 critères de catégorisation. Bien qu'il s'agisse d'une
cartographie détaillée susceptible d'offrir des perspectives d'avenir, pour l'instant, cette étude
n'a pas été retenue.
Le fait ci-dessus indique que la sélection des critères d'analyse est une question difficile, car
ils devraient être principalement destinés à être utilisés dans le cadre d'un projet de recherche,
et, d'autre part, ils devraient faciliter la comparaison directe des sujets (les
IDS dans notre cas) faisant l'objet de l'enquête. À notre avis, ceci peut être réalisé par un
noyau de critères étroits et bien pensés.
Dans ce contexte, cette enquête met en œuvre une investigation cohérente des éléments
suivants
cohérente des IDS liés au RPL selon un nouveau cadre conceptuel qui dénote une
méthodologie en trois étapes. Elle commence par étudier la diversité et l'impact des
attaques bien connues afin de définir les exigences essentielles de conception des IDS, en se
basant sur
une revue de la littérature et des simulations illustratives. L'étape suivante consiste à identifier
les meilleures pratiques et les lacunes en étudiant l'évolution des propositions d'IDS connexes.
La dernière étape,
dernière étape consiste à mettre en correspondance 22 IDS sélectionnés avec les attaques

3auxquelles ils sont confrontés,

tout en les comparant aux exigences introduites comme critères de comparaison.
critères de comparaison. Notre analyse se termine par des lignes directrices essentielles pour
la conception
pour les futurs IDS modernes.
Le reste de cette étude est organisé comme suit : La section 2 présente notre
cadre conceptuel qui met en évidence notre approche méthodologique. La section 3
donne un bref aperçu du protocole RPL, tandis que la section 4 discute des attaques liées au
RPL et de leur impact.
attaques liées au RPL et leur impact pour conclure à un ensemble d'exigences de conception
d'IDSs.
d'IDS. La section 5 traite des systèmes de détection d'intrusion liés au protocole RPL.
classification de ces derniers, en discutant de l'évolution des systèmes les plus
systèmes les plus récemment proposés, et en soulignant les meilleures pratiques et les lacunes
de la littérature. La section 6
résume notre analyse comparative et résume notre enquête en quatre lignes directrices pour
les futurs systèmes.
lignes directrices pour les systèmes futurs. Enfin, la section 7 conclut cette étude.

2. Cadre conceptuel et méthodologie

Cette étude adhère à un nouveau cadre conceptuel, présenté dans la Fig. 1, qui fournit la base
méthodologique de notre enquête. Il se compose de trois étapes méthodologiques, décrites ci-
dessous. La première concerne la définition des exigences auxquelles un IDS efficace doit
répondre. Notre point de départ est une meilleure compréhension du problème que les IDSs
c'est-à-dire l'atténuation des attaques. Par exemple, Wallgren et al [12] considèrent que la
diversité des attaques comme la principale cause des problèmes de précision de détection des
attaques dans les IDS existants. D'autres articles, notamment des études [5, 11] et des
propositions d'IDS [12, 13, 14, 15], basent généralement leur analyse sur l'identification des
attaques prises en compte.
L'impact des attaques considérées, par exemple l'augmentation de l'overhead de contrôle ou la
diminution du paquet (PDR). Dans un souci d'exhaustivité, nous effectuons une étude
bibliographique d'une nouvelle perspective : une étude combinée sur la diversité et l'impact
des attaques. Plus précisément, nous examinons les attaques liées à la RPL, qui vont de
l'épuisement des ressources à la réduction du nombre de paquets qui réduisent la durée de vie
du réseau, aux topologies du réseau, qui dégradent les chemins créés par la RPL ou isolent un
sous-ensemble de nœuds du réseau, et les attaques de traçage du réseau, qui permettent
d'analyser les paquets afin d'obtenir des informations sur le réseau. Plusieurs d'entre elles
peuvent ne pas être nuisibles en tant qu'événements autonomes. Néanmoins, ils peuvent être
gravement préjudiciables au réseau (par. ex., surcharge de contrôle) ou aux applications (p.
ex., PDR) en conjonction avec d'autres. Dans cette première étape, nous fournissons
également des résultats de simulation illustratifs, soulignant les principaux résultats de notre
enquête combinée sur la diversité et de l'impact des attaques. Comme résultat, nous avons
défini un ensemble de sept exigences de conception pour un IDS lié à la RPL qui sont
directement liées à la norme du protocole. L'étape suivante consiste à identifier les meilleures
pratiques et les lacunes de la littérature en ce qui concerne les exigences de conception
définies. Notre objectif est de réaliser les meilleures approches des travaux existants
répondant aux exigences, de comprendre leur évolution, ainsi que d'identifier les questions
ouvertes associées. Nous étudions les 22 IDS liés à la RPL les plus récemment introduits dans
la littérature (2013 2020). Nous discutons tout d'abord de leur classification en fonction de
leur méthode de détection et leur stratégie de placement. Ensuite, nous établissons une
chronologie d'évolution ainsi que leurs principales caractéristiques qualitatives (méthode de
détection, stratégie de placement) et quantitatives (nombre d'attaques). Le niveau d'adhésion
aux exigences et aux critères de classification est discuté dans les descriptions textuelles de
chaque IDS. Notre dernière étape consiste en un processus synthétique produisant le résultat
de notre enquête, qui consiste à introduire des directives de conception pour des IDS à jour.
Nous consolidons les résultats des étapes mentionnées ci-dessus en rst, y compris la mise en
correspondance des IDS avec le type d'attaques qu'ils combattent. Deuxièmement, nous
fournissons une comparaison résumée vue sous les exigences de conception que nous
introduisons. Pour la cartographie des attaques, nous considérons à la fois la détection
d'attaques supportées par des simulations et celles discutées uniquement de manière
conceptuelle. Pour la conformité avec les exigences, nous nous basons sur les affirmations des
auteurs respectifs dans les articles pertinents. Puisque les exigences conçues sont alignées sur
les objectifs de la norme RPL la grande majorité des IDS les prennent en compte. Nous avons
donc abouti à une comparaison complète qui a permis de produire et d'élaborer quatre
directives de conception cruciales pour les futurs IDS actualisés. La section suivante donne
une brève vue d'ensemble de la norme RPL, qui constitue un contexte essentiel pour l'analyse
qui suit.

3. Vue d'ensemble du RPL

RPL fonctionne sur la couche réseau IP, via la pile de protocoles 6LoWPAN, en exploitant les
DODAG (Destination Oriented Directed Acyclic Graph) ayant pour racine une destination
unique appelée "sink". En pratique, le protocole construit un graphe de chemins logiques sur
des connexions de réseau physiques, qui sont dirigées vers le puits. La sélection des parents
sur les chemins vers la racine du DODAG peut être traitée comme un problème d'optimisation
multi-objectif, car une variété de paramètres (par exemple, la fiabilité des liens, la latence et le
débit) et de contraintes (par exemple, l'énergie des nœuds, la couleur des liens) peuvent être
exploitées pour évaluer le rang des nœuds. La fonction objective (OF) spécifiée indique
comment les nœuds RPL traduisent les métriques et/ou les contraintes en rangs, et
sélectionnent et optimisent les chemins de routage dans un DODAG.
Comme le montre la figure 2, le nœud de descente lance la (re)construction du DODAG sur la
base de l'échange de messages de contrôle de routage, c'est-à-dire, Objet d'information
DODAG (DIO), Objet d'annonce de la destination (DAO) (DAO), DAO-ACK, et DODAG
Information Solicitation (DIS). Une fois que le premier message DIO est multidiffusé par le
puits, beaucoup d'entre eux sont multidiffusés par les nœuds qui s'attachent au graphe. Les
messages DAO sont utilisés par tous les nœuds, sauf le puits, pour propager l'information sur
l'itinéraire inverse ; les messages DIS sont envoyés par les nœuds non connectés (en raison de
leur position isolée) ou déconnectés (en raison de leur mobilité) afin de solliciter des
messages DIO d'autres voisins éventuellement connectés et de rejoindre le graphe. Les
messages DIO sont critiques pour la construction du graphe puisqu'ils contiennent les
métriques et/ou les contraintes de routage, ainsi que les OF utilisés pour l'établissement des
chemins de routage. La maintenance du DODAG est une fonctionnalité placée au cœur même
du RPL. Par conséquent, un algorithme dédié, à savoir le timer Trickle, synchronise la
propagation des messages DIO sur lesquels est basé le temps de convergence du réseau.
L'aspect critique du processus de multidiffusion DIO est l'obtention d'un court temps
d'établissement du réseau et, par conséquent, le renforcement des métriques du réseau, par
exemple, PDR, tout en limitant l'overhead de contrôle pour réduire la consommation d'énergie
du nœud. Pour réaliser le compromis susmentionné, les messages DIO sont envoyés
périodiquement leur intervalle va de I min (Intervalle minimum) jusqu'à I max (Intervalle
maximum), où :
I max = Imin * 2 Idoubling.
Par exemple, l'espèce espèces de congestion RPL par défaut : I min = 212= 4:096 ms, et I
doubling= 8, ce qui implique que I max = 212+8= 17:5 min.
En fait, la durée de la minuterie est doublée à chaque fois qu'elle se répète. De plus, tout
changement dans le DODAG, par exemple un parent inaccessible ou une nouvelle sélection
de parent, réinitialise le timer-Trickle à I min. Selon l'algorithme, les messages DIO seront
envoyés à un taux plus élevé lorsque le réseau est instable et plus lent autrement, c'est-à-dire
pour réduire l'overhead du protocole et d'économiser l'énergie. L'impact de la fréquence
d'envoi des DIO dans le RPL est illustré à la figure 3.
Nous dérivons le graphe en simulant un WSN dans Cooja, qui est intégré à Contiki OS. Notre
simulation explicative considère un réseau composé d'un puits et de 10 nœuds qui effectuent
des mesures et les transmettent par communication multi-saut.
La figure 3 montre l'impact des valeurs DIO, I min sur le temp d'établissement du réseau (axe
gauche - courbe bleue à points carrés) et sur la surcharge de contrôle du réseau, mesuré en
fonction du nombre total de messages DIO, DAO et DIS (axe de droite - courbe verte à points
carrés). D'après les résultats des valeurs élevées de I min, c'est-à-dire des transmissions DIO
peu fréquentes, entraînent des retards dans le temps d'établissement du réseau en raison de la
présence de nœuds qui n'ont pas encore reçu de messages DIO et qui restent donc non
connectés. A l'inverse, des messages DIO fréquents entraînent un temps d'établissement plus
faible.
I min égal à 12, qui est la valeur par défaut dans l'implémentation de Contiki RPL de Contiki,
fournit la meilleure performance en ce qui concerne le temps d'installation.
En ce qui concerne l'overhead de contrôle, la Fig. 3 valide que des valeurs d'intervalle plus
élevées produisent moins de trafic réseau puisque la fréquence des messages DIO est faible.
Puisque la minuterie Trickle est l'algorithme le plus responsable de la performance du
protocole et qu'il constitue, avec le DODAG et le nœud de descente, des éléments
fondamentaux du protocole RPL, il est sans aucun doute une cible importante pour une série
d'attaques. Dans la section suivante, nous donnons une taxonomie et décrivons de telles
attaques, y compris celles qui exploitent les mécanismes et/ou les faiblesses du protocole
RPL. Nous accordons une attention particulière à leur impact, car en fait, plusieurs attaques
peuvent ne pas causer de graves dommages par elles-mêmes. Néanmoins, elles peuvent avoir
des effets gênants sur le réseau (par exemple, surcharge de contrôle) ou sur les applications
(par exemple, PDR) lorsqu'elles sont combinées à d'autres.

4. Attaques contre les IoT basés sur le RPL

Le routage dans les réseaux basés sur les RPL est une tâche incroyablement difficile, en
raison des contraintes de puissance, de stockage, de mémoire et de traitement des appareils
connectés. Le protocole RPL propose plusieurs paramètres de configuration pour répondre à
diverses exigences concernant les déploiements de différentes échelles, hétérogénéité et
mobilité, ainsi que des mécanismes d'adaptation aux changements. Cependant, de tels
contextes de réseau, y compris les nœuds à ressources limitées, supportant des topologies
dynamiques, et basé sur la nature passive du média sans fil, attire inévitablement des actions
malveillantes, y compris des attaques par déni de service (DoS), des dommages physiques,
et/ou l'extraction d’informations sensibles, par exemple la version du DODAG, les valeurs de
rang des nœuds et les identifiants. En fait, certains nœuds peuvent être compromis en
exploitant les mécanismes RPL eux-mêmes.
Si le nœud joue un rôle important dans le réseau, par ex, le puits ou les nœuds parents, alors
une combinaison d'attaques peut être appliquée avec de graves effets, allant de l'épuisement
des ressources des nœuds, dû à une forte augmentation de l'overhead de contrôle, à une
dégradation sévère de la performance du performances du protocole en termes de livraison de
données.

Juste après, une liste complète des attaques les plus courantes et perturbatrices du protocole
RPL est présentée. Les attaques de réseau qui ne ciblent pas principalement le RPL ne sont
pas incluses puisqu'elles ne font pas partie du champ par exemple, les attaques par déni de
service (distribué), (D)DoS.

4.1. Diversité des attaques

En raison des caractéristiques susmentionnées des IoT basés sur la RPL, c'est-à-dire les nœuds
à contrainte de ressources, les nœuds dynamiques et les nœuds à contrainte de temps,
les nœuds à ressources limitées, les typologies dynamiques et la nature passive du support
sans fil.
sans fil, les attaques liées à la RPL sont plutôt divergentes et classées en
en : attaques par épuisement des ressources, attaques par topologie de réseau et attaques par
traçage de réseau.
de réseau [5]. La figure 4 en donne un aperçu avec leurs classes et sous-classes.
sous-classes.
Plus précisément, les attaques par épuisement des ressources comprennent des actions
malveillantes qui visent à épuiser les capacités de calcul, de mémoire et de stockage des
nœuds.
qui visent à épuiser les ressources de calcul, de mémoire ou d'énergie des nœuds en
10
en créant une fausse impression de fonctionnement continu. Étant donné que le
fonctionnement du nœud
est inextricablement lié à l'utilisation des ressources de traitement, de mémoire et d'énergie.
l'utilisation des ressources de traitement, de mémoire et d'énergie, toute surcharge est
équitable à la consommation excessive de leurs ressources.
ressources. Les conséquences peuvent être locales ou, pire encore, affecter la disponibilité et
les performances globales du réseau.
la disponibilité et les performances globales du réseau, ce qui entraîne des boucles de
boucles de routage, des trajets inutiles sur le réseau et des encombrements [18, 19, 20].
Les attaques contre les ressources se distinguent en attaques directes et indirectes,
en fonction de leur mode d'exécution. Dans les attaques directes, un nœud malveillant
surcharge un sous-ensemble de nœuds-victimes et affecte leur statut ou leur fonctionnement.
Les exemples courants sont la surcharge de la table de routage [18] et les attaques par
inondation [11, 18].
attaques [11, 18]. D'un autre côté, les attaques indirectes manipulent les nœuds
intermédiaires comme un moyen d'affecter largement le réseau, par exemple en causant des
des tracs de contrôle inutiles. Réparation locale [19, 21], message DIS [18, 13],
DODAG Inconsistency [20], et DODAG Version Number [22, 23] sont des exemples
typiques de cette sous-catégorie.
exemples typiques de cette sous-catégorie.
Les attaques de topologie de réseau sont divisées en attaques de sous-optimisation et
d'isolation.
d'isolation qui perturbent la communication entre les nœuds et la structure du DODAG.
et la structure du DODAG, respectivement. En pratique, les attaques de sous-optimisation ont
un impact sur la capacité de convergence optimale du réseau.
la capacité de convergence optimale du réseau, c'est-à-dire qu'elles empêchent l'établissement
de routes optimales.
l'établissement des routes optimales, ce qui affecte le tracé du réseau et dégrade les services
du réseau.
services du réseau. Les conséquences les plus courantes sont les suivantes : topologie
topologie, des pertes de paquets importantes, des retards accrus de bout en bout, la congestion
du réseau et l'épuisement des ressources des nœuds.
congestion du réseau et l'épuisement des ressources des nœuds. Les effets mentionnés ci-
dessus peuvent être
particulièrement préjudiciables aux réseaux dynamiques en raison de la mobilité des nœuds.
Sinkhole [24], Wormhole [25, 26], Replay [27, 28], Neighbor [18], Routing Table Falsication
[15], Diminution de la taille de la table de routage.
falsification de la table de routage [15], diminution du rang [21], augmentation du rang [15,
29] et sélection du pire parent [29].
Parent Selection [29] sont des attaques de sous-optimisation bien connues.
Les attaques d'isolement exploitent la topologie arborescente du réseau RPL ; elles visent à
couper une ou plusieurs parties du réseau.
Elles visent à couper une ou plusieurs parties du réseau en interrompant la communication des
nœuds avec leurs parents ou leurs puits.
avec leur nœud parent ou leur nœud descendant. Parmi leurs effets, on peut citer la perte de
perte de traçage du réseau, l'augmentation du délai de bout en bout, une qualité de service
importante.
11
de la qualité de service (par exemple, PDR), et l'isolement de parties de sous-graphes ainsi
que la famine de leurs nœuds participants.
de leurs nœuds participants. Les attaques d'isolement les plus courantes sont
Blackhole [19, 30, 31], Selective Forwarding ou Greyhole [19, 24, 30, 31], et
les attaques par incohérence de DAO [5, 11]. Ces attaques peuvent être graves lorsqu'elles
sont
lorsqu'elles sont combinées à d'autres, par exemple, les attaques par diminution du rang et par
trou noir.
Les attaques par traçage de réseau interceptent et surveillent le traçage de réseau pour
d'acquérir ou de déduire des informations, par exemple la version du DODAG ou la valeur du
rang, qui peuvent être exploitées par des attaques lancées ultérieurement.
être exploitées par des attaques lancées ultérieurement. En fonction de la manière dont le trac
est
Selon la manière dont le trac est affecté, on distingue les attaques d'écoute et les attaques de
détournement.
Dans le premier cas, l'intrus surveille les transmissions du réseau et analyse les paquets soit
par le biais d'un système d'espionnage, soit par le biais d'un système d'exploitation.
et analyse les paquets soit par l'intermédiaire d'un nœud piraté, soit en écoutant directement
les paquets transmis sans fil.
aux paquets transmis sans fil. De cette façon, il a accès à la
topologie et aux informations relatives au routage, voire au contenu des paquets transmis.
paquets transmis. Les attaques d'écoute les plus connues sont
Sning [5] et Network Trac Analysis [5].
Dans ce dernier cas, l'attaquant se fait passer pour d'autres nœuds du réseau pour
réseau pour extraire des informations sur la topologie du réseau ou connaître d'autres
paramètres.
paramètres. Le nœud qui présente le plus d'intérêt pour ces attaques est le puits, en raison de
son rôle crucial.
en raison de son rôle crucial. L'appropriation de l'identité d'un nœud du réseau a un impact
négatif sur le service de routage. Elle perturbe également les autres nœuds, ce qui peut
conduire à l'acheminement de messages incorrects puisque, par exemple, au lieu d'atteindre
leur destination légitime sont livrés à l'attaquant. Le Clone-ID [5, 11, 24] entre dans cette
catégorie.
dans cette catégorie et peut être la première étape d'autres actions hostiles causant de graves
problèmes dans le réseau.
d'attaques Clone-ID qui peuvent éventuellement causer une augmentation du contrôle du
réseau, une forte consommation d'énergie et une dégradation de la qualité de service.
de contrôle du réseau, une consommation d'énergie élevée et une dégradation du PDR.
La diversité et/ou la combinaison des attaques peuvent affecter différents aspects.

4.2. Impact des attaques

Pour illustrer de manière indicative l'impact des attaques sur un réseau RPL, nous simulons
(dans Contiki Cooja) un réseau multi-sauts avec un puits et 50 nœuds placés aléatoirement
autour de lui ; le résultat est illustré aux figures 5 et 6.
En pratique, nous effectuons la simulation pendant trois heures (axe des x) et considérons que
20 % des nœuds deviennent mobiles à 01h00.
En ce qui concerne les attaques, nous en sélectionnons une dans la classe de l'épuisement des
ressources, c'est-à-dire l'incohérence DODAG (courbe jaune), et une combinaison d'attaques
de la classe topologie du réseau, c'est-à-dire une diminution du rang et une attaque par trou
noir (courbe violette).
Les attaques commencent à 01 :20 heures (ligne rouge verticale), pour des raisons de clarté de
visualisation.
La figure 5 montre l'impact des attaques sur le réseau en ce qui concerne l'overhead qui est
calculé en fonction du nombre total de paquets ICMP.
Le fonctionnement standard de RPL (courbe bleue) exprime la performance de la vérité du
sol, qui est contrastée avec la performance de l'attaque.
Dans notre simulation, nous remarquons un impact important sur l'overhead de contrôle en
cas d'attaque par incohérence DODAG, c'est-à-dire 750 % (en moyenne), puisqu'une grande
partie du réseau est isolée et que de nombreux nœuds sont obligés de mettre à jour et de
recalculer les rangs et les chemins pour trouver des routes vers le puits. Une détérioration
significative, soit 153 pour cent (en moyenne), est également causée par la diminution des
rangs et les attaques par trou noir, lancées en combinaison.
Cette détérioration se produit parce que l'attaquant annonce une valeur de rang inférieure à
celle de tous les autres nœuds légitimes du voisinage du réseau, ce qui amène les nœuds
affectés à envoyer un nombre excessif de messages ICMP dans leur tentative de trouver des
chemins vers le puits.
Notre expérience précédente avec la mobilité des nœuds nous pousse à étudier plus l'impact
des attaques par rapport aux effets de la mobilité. Le graphique confirme notre intuition, c'est-
à-dire qu'en essayant de s'attacher au graphe après avoir été déconnectés, les nœuds mobiles
peuvent s'attacher au graphe après avoir été déconnectés, les nœuds mobiles peuvent créer des
surcharges de contrôle facilement. L'effet d'une attaque, en fonction de la fenêtre temporelle
de l'observation, par exemple, la courbes verte et violette sur la période 01 :30 - 02 :00. Outre
le réseau, les attaques affectent également l'application, par exemple en aggravant le taux de
livraison des paquets de données. La figure 6 montre l'impact sur le PDR, qui correspond au
nombre de paquets UDP reçus (rUDP) sur le nombre total de paquets envoyés (sUDP), c'est-
à-dire PDR = rUDP/sUDP. Alors que RPL échoue rarement à délivrer un paquet UDP, par
exemple, 100 % de PDR dans le graphique, ses performances chutent à 49 % en moyenne et à
38 % dans le pire des cas. En cas d'incohérence DODAG, puisqu'il n'y a pas de chemin pour
délivrer les paquets des nœuds qui sont détachés du DODAG en raison de l'attaque. Un
impact léger, mais à nouveau très similaire au cas de la mobilité, est causé par les attaques de
rang et de trou noir. Par les attaques de type rank et blackhole, où l'intrus attire comme parent
de nombreux nœuds voisins pour ensuite abandonner leurs paquets de données une fois reçus.
Il ressort clairement de tout ce qui précède que les réseaux basés sur la RPL doivent intégrer
des mécanismes de sécurité adéquats, qui seront capables de détecter et d'atténuer les attaques.
D'après la littérature, les IDS sont une approche appropriée pour faire face aux activités
malveillantes car ils sont capables de détecter et d'atténuer les attaques des intrus.
Une approche appropriée pour faire face aux activités malveillantes car ils visent à détecter
plusieurs attaques à la fois, et peuvent idéalement être étendus pour traiter des attaques qui ne
sont pas initialement incluses dans leurs objectifs de conception. Cependant, la conception
d'un IDS lié au RPL a d'autres exigences découlant du protocole lui-même ainsi que de
l'impact des attaques qui y sont liées. La section suivante détaille ces exigences de conception.

4.3. Exigences de conception d'un IDS lié au RPL

La conception d'un IDS visant à protéger un réseau RPL est une tâche difficile puisqu'elle doit
prendre en compte les contraintes des RPL, les objectifs décrits dans RFC 7416, et
l'hétérogénéité des dispositifs IoT, en les combinant avec sa mission principale. A cet égard,
le tableau 1 présente un ensemble de sept exigences de conception d'un IDS lié au RPL dont
la sélection s’est faite en raison de :
 La conformité à la spécification RPL : En fait, un IDS lié au RPL doit être
principalement conforme à la norme RPL, c'est-à-dire au mode de fonctionnement
 fondamental du protocole. Cela inclut, entre autres, la construction du DODAG, la
rationalité de l'échange des messages de contrôle, l'algorithme de la minuterie Trickle.
Les avantages de la conformité sont de deux ordres :
Premièrement, l'IDS exploite les données qui sont significatives dans le contexte du protocole
lui-même, c'est-à-dire la valeur du rang, le nombre de nœuds rattachés à un seul nœud parent
unique. Ce qui peut éviter les faux positifs dus à des interprétations erronées, par exemple,
une attaque au lieu d'une mobilité, comme nous l'avons vu dans la section précédente.
Deuxièmement, cela préserve l'efficacité du protocole, par exemple, en termes de temps
nécessaire à l'exécution de la tâche.
(le temps nécessaire à la convergence du graphe, de retard des paquets, ainsi que de
consommation de ressources, ce qui est essentiel dans les environnements contraints).
 La faible surcharge : toute solution de sécurité doit tenir compte de la disponibilité des
ressources, sans parler du fait que le protocole de sécurité ne peut être utilisé qu'en cas
de besoin de contrôle échangés et viser à exploiter les messages standardisés pour
former le système et détecter tout événement anormal. Le maintien de l'overhead de
contrôle à des niveaux réguliers implique de préserver l'énergie des émetteurs-
récepteurs, qui sont les principaux consommateurs de dispositifs à contraintes.
En outre, les composants qui servent à surveiller le réseau, à collecter et/ou analyser les
données ou à effectuer des tâches plus sophistiquées doivent être hébergés par les nœuds
disposant des capacités de traitement, de mémoire, de stockage et d'alimentation
correspondantes.
 L’évolutivité : RPL peut couvrir un large éventail de projets IoT du moment où les
LLN et leurs approches de routage héritent des caractéristiques de l'IdO, telles que le
déploiement à grande échelle. Il est raisonnable d'évaluer un IDS en fonction de sa
capacité à répondre aux besoins des utilisateurs quelque soit la taille du réseau
(nombre de nœud connecté). Il est évident qu'une évolutivité satisfaisante ne doit pas
compromettre l'exigence d’une faible surcharge.

 La robustesse : la diversité des attaques décrites précédemment implique la nécessité

d'un IDS capable de détecter un large éventail d'attaques.

 L’extensibilité : En dehors de leurs performances primaires en ce qui concerne les

attaques auxquelles ils font face, de nombreux IDS sont capables de s'adapter à de
nouvelles situations. Certains systèmes présentent un raisonnement binaire " statique
", qui reconnaît un modèle de menace connu ou non et prend la décision en
conséquence. Cependant, de nouvelles attaques et de nouveaux problèmes de sécurité
apparaissent suite à l'évolution de la recherche et du développement sur l'IdO. Les
systèmes doivent exploiter tous les atouts technologiques actuels pour rester à jour et
être en mesure de faire face à des menaces qui pourraient être actuellement inconnues.
Dans notre esprit, un IDS peut être extensible dès lors que sa méthode de détection
devient intelligente et que son placement est sophistiqué.
  Faibles détections erronées (positives ou négatives) : L'efficacité et la précision de
détection d'un système sont associées au nombre de faux positifs et négatifs.

 La prise en charge de la mobilité : de nombreuses applications avec des dispositifs

mobiles ont émergé au cours de la dernière décennie, et le fonctionnement du RPL en
mobilité est le principal défi à relever, car il implique des transferts de connectivité et
des surcharges de contrôle supplémentaires pour maintenir la topologie. Ainsi, nous ne
devons pas sous-estimer ou surpasser le problème de la mobilité lorsqu'il s'agit de la
conception de l'IDS. Les mécanismes de sécurité, similaires aux mécanismes de base,
doivent tenir compte des nœuds fixes et mobiles, et les recherches ont montré, qu’à
l’heure actuelle il n'existe pas de solutions simples.
Il est donc clair que la conception d'un IDS capable de satisfaire à toutes les exigences ci-
dessus n’est pas une tâche facile. Dans le prochain point, nous fournissons une classification
et présentons l'évolution des IDS les plus récents dans le domaine de la sécurité RPL et
présentons l'évolution des IDS les plus récents, afin de déterminer l’IDS le plus efficace qui
répond à nos attentes.

Tableau 1 : Exigences de conception.

i. Conformité à la spécification du RPL
ii. Faible surcharge
iii. Évolutivité
iv. Robustesse
v. Extensibilité
vi. Faible taux de faux positifs/négatifs
vii. Soutien à la mobilité

5. IDS liés à RPL

5.1. Classification des IDS liés au RLP
Selon les recherches effectuées, les IDS liés aux RLP sont classés en fonction de deux critères
principaux :
 La méthode de détection qu'ils utilisent, et
 Leur réseau.
Comme le montre la figure 7. Sur la base de la méthode de détection, les IDS entrent dans
l'une des quatre catégories distinctes suivantes l'une des quatre catégories distinctes
suivantes :
1. La détection de signature (Sg), les IDS identifient des modèles spécifiques dans le réseau
qui signifie une attaque particulière. Ils s'appuient généralement sur bases de données, qui
contiennent des signatures malveillantes connues. Bien que ces systèmes consomment des
ressources limitées, ils ne sont pas efficaces contre les menaces inconnues, puisque leur
efficacité dépend de la connaissance de la menace.

2. Les IDS de détection d'anomalies (A) reposent sur la surveillance des traces du réseau et
sur l'apprentissage automatique ou l'analyse statistique. Ils développent un drôle de
comportement, puis le comparent à tout état futur du réseau, dans l'intention de reconnaître les
éventuelles divergences qui signalent une activité malveillante. Ils peuvent détecter des
événements qui correspondent à des menaces connues ou inconnues, au prix d'un taux de
fausse détection élevé [11, 13, 39].
3. Les IDS basés sur la spécification (Sp) sont similaires aux précédents dans le sens où ils
détectent les attaques en se basant sur l'observation de comportements réseau divergents.
Cependant, ils construisent des modèles de réseau sains en surveillant des données relatives
aux RPL spécifiées dans le cadre des objectifs de sécurité [11, 19, 13, 37]. Cette catégorie
d'IDS présente une efficacité élevée et un faible taux de fausses détections tout en nécessitant
moins de temps d'apprentissage que les IDS de détection d'anomalie. Cependant, dans le cas
d'environnements changeant régulièrement, leur exigence manuelle réduit leur efficacité.
4. Les IDSs de détection hybride (HD) sont une combinaison d'au moins deux des catégories
mentionnées ci-dessus. Ils ont tendance à hériter des avantages des catégories combinées tout
en minimisant leurs inconvénients. Le schéma hybride prédominant, à l'heure actuelle, est la
signature associée à la détection d'anomalies.
Au meilleur de notre connaissance, il existe actuellement cinq systèmes HD [40, 41,42, 43,
44], qui couvrent l'évolution temporelle des IDS, et trois d'entre eux, c'est-à-dire [40, 41, 42],
utilisent la détection de signatures et d'anomalies. Les techniques basées sur les signatures
sont simples [43] et peuvent être exécutées très rapidement.
Les techniques basées sur les signatures sont simples [43] et peuvent être exécutées très
rapidement et efficacement [45], car elles reposent sur la correspondance de motifs. Par
conséquent, elles constituent un choix de combinaison privilégié pour détecter efficacement
les attaques connues.
En revanche, les attaques inconnues sont laissées à la discrétion du mécanisme qui est
combiné avec, par exemple, la détection d'anomalies [40, 41, 42] ou la détection basée sur la
spécification [44].
En ce qui concerne leur stratégie de placement, les IDS liés à la RPL sont classés en trois
catégories [37] : 1. trois catégories [37] :
1. Les IDS centralisés (C) sont installés et fonctionnent au niveau du nœud racine du DODAG
ou d'un sous-ensemble de nœuds du réseau [11, 37] en supposant que les processus
gourmands en ressources sont traités par des nœuds qui sont suffisamment équipés [11]. En
raison de la stratégie centralisée, ces systèmes ne sont pas efficaces pour détecter les activités
malveillantes simultanées dans différents endroits du réseau, par exemple, dans les réseaux
étendus. En outre, de tels IDS peuvent exposer le réseau à des défaillances au niveau du point
de défense unique, par exemple le nœud de descente [46, 47].
2. En revanche, les IDS distribués (D) sont décentralisés et entièrement mis en œuvre dans
chaque nœud du réseau. Ils nécessitent généralement la coopération entre les nœuds du réseau
[11], dont la disponibilité peut être hautement fluctuée. Les mécanismes de détection sont
généralement mis en œuvre dans des nœuds de gardes spécifiques, distribués sur le réseau et
responsables de la surveillance, tandis que les fonctions d'atténuation des attaques sont mises
en œuvre à chaque nœud. L'avantage de ces systèmes est que l'atténuation des menaces se fait
de l'intérieur, puisque tous les nœuds sont impliqués dans la protection du réseau [11]. De
cette manière, l'évolutivité et l'adaptabilité du réseau avec un niveau de sécurité élevé peuvent
être atteints [47]. Cependant, la consommation de ressources de ces IDS reste un problème
important.
3. Les IDS de placement hybrides (HP) combinent les deux catégories précédentes comme un
moyen d'équilibrer les avantages et les inconvénients [11, 19, 24, 37]. En pratique, ils
délèguent les processus exigeants en ressources, tels que la surveillance, l'analyse et la prise
de décision, par des nœuds centraux, tout en affectant les ressources nécessaires à l'exécution
de ces tâches. Toutefois, les IDS de cette catégorie nécessitent une optimisation continue ;
Le déploiement des nœuds centraux doit être effectué judicieusement et peut varier pour
chaque réseau RPL [11].
Nous retenons à cette issue que la principale lacune des IDS de détection par signature se
définit par l’inefficacité dont ils font montre face aux menaces inconnues. Ce qui n’est pas le
cas pour les IDS de détection d'anomalies, mais ceux-ci par contre, souffrent d'un taux élevé
de faux positifs.
L'exploitation des données relatives au protocole semble prometteuse, et donc, les systèmes
pertinents dominent la méthode de détection.
Cependant, il est intéressant de noter que seuls deux des cinq systèmes de détection hybride
utilisent en combinaison avec des méthodes de signature [43] ou de détection des anomalies
[44]. Cela laisse de la place pour étudier la potentialité des systèmes hybrides qui contiennent
effectivement des méthodes basées sur la spécification RPL.
Outre l'approche de détection des attaques, la conception des IDS modernes exige un
placement économe en énergie en raison des ressources limitées des dispositifs IoT.
La décision de placer l'IDS au niveau du nœud racine (le nœud centralisé) est un choix
judicieux qui permet d'élimer les tâches énergivores destinées aux nœuds contraints. Ce qui
fait du nœud central une cible directe qui en cas de compromission sera fatal pour l’ensemble
du réseau.
Les IDS distribués ne sont pas confrontés à ce problème et peuvent être facilement mis à
l'échelle mais exigent que certaines tâches soient exécutées par les nœuds contraints. Le
placement hybride
La logique de placement hybride tente de mélanger les deux approches ci-dessus en gardant
les tâches "lourdes" pour le nœud racine et en déléguant les tâches légères aux autres.
De nos jours, la tendance est à cette catégorie, car elle semble apporter des résultats
satisfaisants. D'après notre expérience, cette tendance peut être renforcée par l'émergence du
paradigme de la softwarisation [3, 4, 36].
ce défi plus loin dans ce document.
Nous résumons maintenant les IDS les plus récemment proposés sur la base de la taxonomie
ci-dessus.
taxonomie ci-dessus, ainsi qu'une chronologie de leur évolution.

5.2. L'évolution des IDS liés au RPL

Le domaine de recherche des IDS est vaste, mais seul un sous-ensemble restreint est approprié
pour les LLN, c'est-à-dire en considérant les contraintes de ressources et la nature avec perte
de ces derniers. Dans cette étude, nous avons identifié 22 travaux pertinents qui ont été
proposés dans la littérature au cours des sept dernières années, c'est-à-dire de 2013 à 2020.
Nous résumons ces IDS liés à la RPL dans la Fig. 8, qui illustre leur évolution dans le temps
ainsi que leurs caractéristiques qualitatives, c'est-à-dire la nature de ces dernières.
.

5.2.1. IDS de détection de signature

Les auteurs de [25, 48, 49, 50, 14, 51, 52] présentent des systèmes de détection de signatures.
La majorité d'entre eux [25, 50, 14, 51, 52] sont des systèmes hybrides, tandis que DEMO
[48] est une approche distribuée et ELNIDS [49] une approche centralisée.
DEMO [48] est une adaptation de \Suricata", un IDS open-source, développé dans le cadre de
l'initiative \EBIS et traite des problèmes de Oodage des attaques. DEMO comprend un
gestionnaire d'agilité de fréquence (FAM), et un système de gestion des informations et des
événements de sécurité (SIEM). En même temps, il a deux types particuliers de nœuds non
RPL : le nœud IDS, qui est responsable de la détection des attaques, et les nœuds de
surveillance qui surveillent le réseau des attaques et envoient les données pertinentes via une
connexion filaire (pour éviter le brouillage) au nœud IDS pour une analyse plus approfondie.
Le système est évolutif et efficace pour détecter les attaques. En ce qui concerne son
extensibilité, les auteurs proposent d'accueillir le protocole SNMP (Simple Network
Management Protocol) ainsi que des modules spéciaux dans le système pour détecter des
attaques supplémentaires et de combiner DEMO avec SVELTE pour créer une solution
hybride. Dans l'ensemble, l'exploitation des nœuds non RPL et la connectivité câblée
n'entraîne pas de surcharge pour le réseau RPL mais implique également une solution qui n'est
pas totalement conforme à la norme RPL. Conforme à la spécification RPL et hybride en ce
qui concerne son placement, L'IDS en temps réel pour les attaques par trou de ver [25, 51]
exploite les mesures de l'état des nœuds.
concernant l'indicateur de force du signal reçu (RSSI) des nœuds comme moyen de
de contre-vérifier la topologie du réseau. Il traite deux types d'attaques par trou de ver
par encapsulation de paquets et par relais de paquets, ainsi que les attaques de voisins.
les attaques de voisinage. Plus précisément, lors de l'établissement du réseau, le nœud racine
enregistre les données relatives à la topologie et reçoit les données relatives à la topologie.
enregistre les données relatives à la topologie et reçoit par les autres nœuds les valeurs RSSI
de leurs voisins.
valeurs RSSI de leurs voisins. Ensuite, il exploite ces informations pour estimer les distances
entre les nœuds et les comparer à celles de leurs voisins.
entre les nœuds et les compare aux données topologiques préenregistrées afin de détecter des
les divergences qui indiquent une attaque. Le système nécessite peu de ressources et
a un faible taux de fausses détections. Il peut être étendu pour détecter d'autres attaques, telles
que
comme les attaques par clone, sybil, numéro de version DODAG et réparation locale.
Cependant,
il base son fonctionnement sur des informations de topologie statiques ignorant les problèmes
de mobilité
auxquels les réseaux sont généralement confrontés.
La stratégie de surveillance distribuée IDS pour la détection des attaques de numéro de
version
version [14] est également un IDS de placement hybride qui se concentre sur le DIO, la
version DODAG et le rang des nœuds.
la version, et la surveillance du rang des nœuds. L'IDS désigne plusieurs nœuds de
surveillance
chargés d'identifier et d'envoyer à la racine du DODAG une liste de nœuds malveillants
malveillants détectés en suivant les paramètres de spécification du RPL. Une fois que la
racine
reçoit et fusionne toutes les listes entrantes, elle avertit les nœuds du réseau pour qu'ils
interrompre tout contact ultérieur avec les adversaires. Le système se comporte de manière
efficace
dans les réseaux de petite et moyenne taille, mais ses performances se détériorent avec des
taux élevés de faux positifs/négatifs dans les réseaux de petite et moyenne taille.
taux de faux positifs/négatifs dans les grands réseaux. Une idée pour surmonter cet
inconvénient est de surveiller de manière croisée chaque nœud par au moins deux autres.
Un autre système de placement hybride proposé en 2018 est l'IDS basé sur la signature.
Signature-based IDS for the IoT [50, 52], qui est conçu pour détecter les gouffres, les
transferts sélectifs et les clones.
sélective, et les attaques par clone-ID. Il attribue le rôle central au routeur IDS et désigne un
sous-ensemble de nœuds.
et désigne un sous-ensemble de nœuds comme détecteurs IDS. Le routeur sert à la fois de
nœud de surveillance du tracé du réseau et de pare-feu et est capable d'accéder aux ressources
requises.
ressources nécessaires. Les détecteurs limitent l'opération de surveillance dans leur
voisinage et transmettent toute information utile dérivée d'un algorithme de décision local et
léger,
algorithme de décision local et léger. Parmi les paramètres que l'IDS
surveille sont le RSSI et le taux de chute des paquets. Un schéma de sécurité est utilisé pour
24
la protection des communications sans fil ; toutefois, les auteurs suggèrent que les nœuds IDS
soient connectés par câble pour éviter le brouillage des signaux et l'écoute clandestine. Le
système
système est étendu [50] pour détecter également les attaques de messages DIS en surveillant
le
le taux d'envoi des DIS et en le comparant à un seuil prédéfini. L'évaluation de
L'évaluation montre une grande précision et un faible nombre de faux positifs, même dans de
grands réseaux [50].
réseaux de grande taille [50] ; en ce qui concerne le compromis entre la performance et
l'encombrement
auteurs concluent que trois à huit détecteurs devraient être déployés.
Le système de détection de signatures le plus récent est ELNIDS [49] qui utilise
l'intelligence artificielle et des mécanismes d'apprentissage automatique dans des locaux
centraux. Il
Il est basé sur l'apprentissage d'ensemble pour détecter les trous d'eau, les trous noirs
transfert sélectif, sybil, clone-ID,
ooding, et les attaques de réparation locale. L'IDS s'appuie
modules suivants : le snier, le référentiel d'événements de capteurs/trac, un module
d'extraction de
module d'extraction de caractéristiques, le moteur d'analyse, la base de données de signatures,
et le
gestionnaire de notification d'alarme/attaque. Le module snier surveille le réseau
trac et enregistre les informations dans l'unité de stockage. Le module d'extraction de
caractéristiques
distingue les caractéristiques du trac réseau qui aident à une classification ultérieure effectuée
par l'analyseur à l'aide d'un moteur d'analyse.
classification ultérieure effectuée par l'analyseur à l'aide de modèles d'ensemble. Un
événement est
classé comme une attaque si une signature connue de la base de données est détectée. Selon
Selon son évaluation, ELNIDS fait preuve d'une grande précision.
Cependant, comme les autres IDS Sg discutés, il ne tient pas compte de la mobilité des
nœuds.
Remarques : Nous pouvons remarquer que les premiers systèmes de détection de signature
[14, 25, 48,
51] visent une attaque particulière par conception et fonctionnent de manière déterministe. Au
contraire, les
Au contraire, les derniers systèmes de cette catégorie [49, 50, 52] étendent leur impact à une
large éventail d'attaques, soit en adoptant une stratégie de placement hybride [50, 52], soit en
soit en utilisant des mécanismes centralisés d'apprentissage automatique [49], par exemple
l'apprentissage d'ensemble.
5.2.2. Systèmes de détection d'anomalies
5.2.2. IDS de détection d'anomalie
Les systèmes de détection d'anomalies sont proposés dans [53, 54, 55, 56].
sont hybrides en ce qui concerne leur placement [54, 55, 56], tandis que CoSec-RPL [53] est
le plus récent (publié en mai 2020).
le plus récent (publié en mai 2020) et adopte un placement distribué.
25
logique. CoSec-RPL [53] et INTI [55] font partie de la minorité des IDS qui prennent en
charge la mobilité.
supportent la mobilité.
La détection d'anomalie dans INTI [55] repose sur la séparation du réseau en clusters (c'est-à-
dire en grappes).
clusters (c'est-à-dire des groupes de nœuds). Chaque cluster est composé d'un nœud leader,
d'au moins un nœud associé et des nœuds membres.
un nœud associé, et des nœuds membres. Le système base sa
fonctionnalité sur l'estimation de la confiance, en utilisant les rangs et les statistiques des
nœuds. Le site
La détection des attaques et l'isolation des nœuds malveillants sont effectuées en utilisant la
théorie de la preuve de Dempster-Shafer [1].
théorie de la preuve de Dempster-Shafer [57]. Les évaluations [11, 55, 37] ont montré que le
système
Les évaluations [11, 55, 37] ont montré que le système atténuait les attaques de type
"sinkhole" au prix, toutefois, d'une forte
de traitement informatique. Selon les auteurs [55], INTI est un IDS extensible et prend en
compte les nœuds.
IDS extensible et prend en compte la mobilité des nœuds.
InDReS [54] est une amélioration de INTI [55] qui conserve les grands principes de
fonctionnalité tout en limitant les besoins de calcul.
de fonctionnalité tout en limitant la charge de calcul, préservant ainsi les ressources
ressources, ce qui est essentiel pour les réseaux LLN. Une fois que le système a identifié les
nœuds malveillants
malveillants, il reconstruit la topologie du réseau en les excluant. Cependant,
par rapport à son prédécesseur, la performance d'InDReS n'a pas été évaluée en termes de
faux positifs/négatifs et d'efficacité.
de faux positifs/négatifs et de prise en charge de la mobilité.
L'IDS pour l'attaque par transfert sélectif [56] a été proposé en 2017.
le test du rapport de probabilité séquentiel (SPRT) combiné à un seuil adaptatif.
adaptatif. Son mécanisme repose sur deux modules : le premier est responsable de la prise de
décision et est implémenté à la racine du réseau.
décision et est mis en œuvre au niveau du nœud racine. Le second, utilisé pour
surveillance des paquets entrants et sortants, fonctionne sur les autres nœuds de routage.
Les nœuds de surveillance envoient des informations à la racine via des chemins choisis au
hasard.
aléatoirement. La racine analyse les données qu'elle reçoit en utilisant le SPRT et attribue à
chaque nœud une probabilité d'être malveillant.
à chaque nœud une probabilité d'être malveillant. La prise de décision est
basée sur un seuil au-dessus duquel un nœud est classé comme malveillant. Ensuite, la
Ensuite, la racine informe les nœuds non malveillants de la présence d'adversaires et lance
une réparation globale du DODAG.
initie une réparation globale du DODAG afin d'isoler les éventuels intrus. L'évaluation du
système
L'évaluation du système indique son efficacité, au prix d'une forte consommation de
ressources.
de ressources. En raison des exigences élevées en matière de ressources, l'IDS n'est pas
évolutif.
26
CoSec-RPL [53] a été introduit récemment et traite d'une combinaison
de
de codage et de relecture, à savoir les attaques de type "copycat". Pour détecter les anomalies
et analyser les données statistiques, le système s'appuie sur une version modifiée de la
méthode de l'écart interquartile (IQR).
de la méthode de détection des aberrations (OD) de l'intervalle interquartile (IQR) [58], qui
utilise la médiane au lieu de la
médiane au lieu de la valeur moyenne et entraîne une complexité de mise en œuvre moindre.
L'idée derrière CoSec-RPL est d'identifier les nœuds ayant un comportement très différent.
comportement. Les auteurs règlent les seuils de l'IDS de manière appropriée par le biais
d'expériences multiples.
expériences. CoSec-RPL est déclenché dès qu'un message DIO est reçu d'un voisin.
d'un voisin et surveille la différence de temps entre les messages DIO consécutifs.
consécutifs. Lorsque les mesures dépassent certains seuils, un nœud est initialement considéré
comme suspect et son état est évalué.
initialement considéré comme suspect, et son état est caractérisé en conséquence comme
\Nsuspecté". Dans cet état, la communication avec le nœud est toujours autorisée ;
Cependant, lorsqu'un deuxième seuil est atteint, le nœud est considéré comme malveillant,
et son état devient "bloqué" ; dans ce cas, aucune communication avec lui n'est autorisée.
avec lui n'est autorisée. Même si les exigences du système en matière de mémoire ne sont pas
négligeables, puisqu'il exige une table de voisinage dans chaque nœud pour stocker les
informations relatives.
pour stocker les informations relatives, elles ne sont pas prohibitives pour les dispositifs IoT.
à l'intérieur d'une mote Z1. CoSec-RPL est évalué dans des scénarios de réseaux statiques et
mobiles.
et mobile et s'avère très utile. Cependant, il est plus performant
dans les topologies fixes (puisque la mobilité affecte les intervalles de transmission des
messages DIO).
transmissions de messages DIO). Il peut être étendu pour détecter d'autres attaques, en
particulier le DIS

ooding, DAO insider, wormhole, et les attaques spoofed copycat.

Remarques : Les IDS de détection d'anomalies sont une minorité des systèmes analysés
(quatre sur 22).
l'analyse (quatre sur 22), probablement parce que la détection d'anomalies est, par dénition
une méthode générale, faiblement couplée avec le RPL lui-même. Jusqu'à présent, la plupart
des
Jusqu'à présent, la plupart des systèmes [54, 55, 56] ont été exercés avec un seul type
d'attaque, mais ils peuvent potentiellement détecter des attaques inconnues.
peuvent potentiellement détecter des attaques inconnues. Une telle caractéristique est liée à la
mission de
d'anomalie, qui identifie un comportement inhabituel ou même inconnu et l'attribue à une
attaque.
et l'attribue à une attaque. Ils exploitent principalement des mécanismes intelligents, par ex,
le clustering, la théorie des probabilités et les tests statistiques paramétriques ou non
paramétriques ou non paramétriques, ainsi que des seuils définis de manière appropriée. Bien
sûr, les "seuils
L'accord est une question importante, car il peut entraîner des faux positifs ou négatifs élevés.
négatifs. Comme nous le verrons plus loin dans cette section, combiner les avantages de la
détection d'anomalies avec d'autres méthodes de détection permet d'obtenir des résultats très
positifs.
détection d'anomalies avec d'autres méthodes de détection donne des résultats très
résultats très positifs [40, 41, 42, 44]. Il est révélateur, par exemple, qu'elles dominent comme
un
composant des systèmes de détection hybride (HD).
5.2.3. IDS de détection basés sur la spécification
Les IDS de cette catégorie [13, 46, 59, 60, 61, 62, 63, 64] partagent la caractéristique suivante
prendre en compte les informations liées au RPL, par exemple, les messages de contrôle, la
valeur du rang,
les informations DODAG, et tentent d'identifier une attaque exploitant ces connaissances.
En ce qui concerne leur placement, il existe une tendance commune.
L'IDS pour l'intrusion de choix de routage RPL [62] est un système de placement distribué qui
repose sur la surveillance des messages DIO.
qui s'appuie sur la surveillance des elds des messages DIO, des parents des nœuds et des
valeurs de rang,
ainsi que le nombre de nœuds connectés à un seul parent pour détecter les attaques par
diminution du rang.
rang. L'idée est qu'une valeur de rang faible annoncée par un nœud qui
qui présente un nombre accru de nœuds qui lui sont rattachés indique que ce nœud est
probablement malveillant. Les besoins énergétiques ont été pris en compte, et l'IDS
peut fonctionner dans de grands réseaux.
L'IDS proposé dans [13] est un système de placement hybride qui, de la même manière que
l'INTI [55], divise les nœuds en deux parties.
INTI [55], divise le réseau en grappes et utilise la détection basée sur la spécification pour
atténuer les attaques.
détection basée sur la spécification pour atténuer les attaques. Il est conçu pour repousser les
attaques de type sinkhole, worst parent
la sélection du pire parent, la réparation locale, le voisinage et les attaques par message DIS.
Le système est
efficace, il présente un faible taux de fausses détections et, en raison de sa faible demande en
énergie, il est évolutif.
d'énergie, il est évolutif. Il peut être étendu pour détecter un plus large éventail d'attaques.
Il peut être étendu pour détecter un plus large éventail d'attaques, mais il ne traite pas les
problèmes de mobilité.
L'IDS Distributed and Cooperative Verication pour se défendre contre l'attaque DODAG
version number attack [64] suggère que lorsque les nœuds reçoivent un message DIO
contenant une version augmentée de DODAG, le message devrait être accepté une fois qu'il
est
est confirmé. Dans le cas où l'expéditeur est le noeud racine, le récepteur acceptera le
message.
message ; sinon, le récepteur demande le numéro de version du DODAG à ses voisins distants
de deux sauts.
de ses nœuds voisins distants de deux sauts. Cette fonctionnalité exige deux éléments
supplémentaires
28
types de messages supplémentaires, le \CVQReq" pour la demande et le \CVQRep" pour la
réponse.
Les résultats de l'évaluation montrent que l'IDS est efficace contre l'attaque DODAG version
Cependant, le taux de fausses détections augmente proportionnellement au nombre de nœuds
attaquants.
nombre de nœuds attaquants. De plus, l'overhead de contrôle est significativement faible.
TIDS : L'IDS basé sur la confiance [61] est un système de placement hybride qui atténue les
attaques par puits et les attaques par transfert sélectif à l'aide d'un système de contrôle.
qui atténue les attaques de type " sinkhole " et " selective forwarding " en utilisant la notion de
confiance. TIDS s'appuie
sur la logique subjective [65], incorporant des variables pour la confiance et l'incertitude,
et considère un nœud comme malveillant lorsque sa valeur d'incrédulité est supérieure à sa
valeur de croyance.
valeur de croyance. Les valeurs de confiance sont calculées en fonction du niveau de bonne
coopération des nœuds et de leur conformité à la spécification RPL.
et la conformité avec la spécification RPL. Chaque nœud observe ses voisins
et transmet les données enregistrées au nœud racine à l'aide d'un nouveau paquet de contrôle,
à savoir : "Information de confiance (TRU)". Le nœud racine dispose des ressources
nécessaires
nécessaires à cet effet et calcule les valeurs de confiance. Le système a été évalué et
Le système a été évalué et s'est avéré efficace pour détecter les attaques de type "sinkhole",
même
topologies (au prix d'une forte demande d'énergie pour le nœud racine), tandis que l'attaque
par transfert sélectif n'a été abordée que dans un contexte théorique.
n'a été abordée que dans un contexte théorique. Selon l'auteur,
TIDS est utile dans les topologies composées uniquement de nœuds statiques.
et peut être étendu pour atténuer les attaques par numéro de version.
SBIDS : Le système de détection d'intrusion basé sur le puits (SBIDS) [63] est un système
centralisé conçu pour détecter les attaques par diminution du rang dans les réseaux sans fil.
conçu pour détecter les attaques de rang réduit dans les réseaux RPL sans stockage. Le nœud
racine de
Le nœud racine, qui est considéré comme fiable par défaut, marque un nœud comme
malveillant en surveillant les changements de rang et en abaissant les seuils.
en surveillant les changements de rang et en abaissant les seuils en conséquence.
les rangs précédents et actuels des nœuds parents, et établit un seuil pour le changement de
parent.
changement de parent. SBIDS prend en compte les nœuds statiques et mobiles. Son
évaluation
Son évaluation a révélé une grande précision dans les grands réseaux dans les deux cas.
Cependant, ses performances se dégradent lorsque le nombre de nœuds attaquants augmente,
surtout lorsque la mobilité est prise en compte.
est prise en compte. En ce qui concerne la consommation d'énergie, l'IDS subit un surcoût
d'environ 20 % par rapport au système non protégé.
environ 20 % par rapport à la consommation du réseau non protégé. Enfin,
SBIDS peut être étendu pour prendre en compte davantage de métriques de routage et, ainsi,
repousser
d'autres attaques.
Système de détection d'intrusion basé sur la métrique de l'opinion pour le protocole RPL en
IoT [60] est un IDS de placement hybride, capable d'atténuer les attaques de sybille et
d'encodage.
d'ooding,
utilisant un mécanisme basé sur une métrique d'opinion qui repose sur une logique
subjective [65]. Les nœuds surveillent les transmissions de leurs voisins et les notent en
fonction de leur conformité à la RPL.
en fonction de leur conformité avec la spécification RPL. Les nœuds qui se comportent
conformément aux principes de la spécification sont évalués positivement, tandis que ceux qui
divergent
sont notés négativement. Les évaluations sont ensuite regroupées au niveau du nœud racine,
où
la logique subjective (l'opérateur de consensus \") est employée pour la détection des nœuds
nœuds malveillants. Un nœud est considéré comme malveillant lorsque le degré agrégé
d'incrédulité dépasse un seuil.
d'incrédulité dépasse un seuil. Le système est évalué uniquement en termes de
performance de détection, et un nombre considérable de fausses détections a été
enregistrées. Néanmoins, les auteurs prévoient d'étendre leur travail et de considérer
d'autres attaques de routage en utilisant un modèle de confiance à base de réseaux neuronaux.
Un IDS central capable d'atténuer
oodage et le numéro de version du DODAG
a été proposé dans [46]. Le système est mis en œuvre au niveau du nœud racine et utilise la
programmation génétique pour générer l'IDS.
utilise la programmation génétique pour générer automatiquement l'algorithme de l'IDS. Le
site
La racine analyse continuellement le trac du réseau et extrait 50 caractéristiques, qui sont
ensuite utilisées pour la constitution de l'algorithme de l'IDS.
qui sont ensuite utilisées pour la constitution des arbres de programmation génétique. Le
meilleur individu (arbre) de la dernière
Le meilleur individu (arbre) de la dernière génération est évalué à la fois pour le
oodage et DODAG
et DODAG, et deux algorithmes de détection correspondants sont obtenus.
obtenus. Dans sa version actuelle, une logique centrale est adaptée. Le noeud racine
exécute les tâches exigeant des ressources ; les auteurs suggèrent également un mode de
fonctionnement décentralisé.
Les auteurs suggèrent également un mode de fonctionnement décentralisé, mais cela implique
d'autres défis à relever.
à relever. Le système est très efficace, probablement grâce à la surveillance centralisée qui
fournit une vue globale du réseau.
centralisée, qui fournit une vue globale du réseau. Les aspects tels que les besoins en
ressources
ressources, l'évolutivité, l'extensibilité et la mobilité n'ont pas été pris en compte dans
l'évaluation du système.
l'évaluation du système.
Self-Organizing Map IDS for RPL Protocol Attacks [59] exploite l'apprentissage automatique
et plus précisément les Self-Organizing Maps (SOM), construites de manière centralisée pour
le réseau RPL, afin de détecter les attaques.
réseau RPL, pour détecter
ooding, sinkhole, et les attaques par numéro de version DODAG.
Les auteurs expliquent comment plusieurs modules collaborent pour générer les cartes.
les cartes. Au départ, des données synthétiques provenant de nombreuses simulations de
différents scénarios de la vie réelle-30
réels ont été produites et utilisées comme données d'entrée pour le module "agrégateur".
Ce module utilise six champs de paquets (c'est-à-dire le type de message {DIO/DIS/DAO, les
adresses IP
des nœuds expéditeur et destinataire, la version actuelle de DODAG, le rang actuel du nœud
expéditeur, l'heure Unix, etc.
le rang actuel du nœud expéditeur, l'horodatage Unix), pré-traite les données d'entrée et
fournit comme
six caractéristiques (c'est-à-dire, DIS, DIO, DAO, les changements de version de DODAG, le
rang, les changements dans les ratios du nombre total de messages dans le temps).
les changements dans les ratios de messages totaux dans la période de temps, la
consommation d'énergie moyenne sur le nœud de destination dans la période de temps).
sur le nœud de destination dans la période de temps). Ces caractéristiques sont normalisées
par le module \normalizer", qui sera utilisé par le module \trainer" pour générer les
cartes. Les simulations effectuées par les auteurs indiquent que l'IDS est capable d'identifier
les attaques.
Remarques : Sans surprise, huit systèmes sur 22 (36,4 %),
selon la Fig. 8, entrent dans cette catégorie. L'intuition ou l'expérience
conduit les chercheurs à exploiter la structure de données cardinale RPL, c'est-à-dire le
le graphe, et ses informations pertinentes, par exemple, les messages de contrôle et
l'algorithme de la
dans la conception des IDS. Cependant, à en juger par les résultats, la
détection basée sur la spécification, soit comme méthode de détection unique ou en
ou en combinaison avec d'autres, a une performance modérée en ce qui concerne le nombre
d'attaques.
d'attaques. Dans le pire des cas, les systèmes ne détectent qu'une seule attaque [63, 62, 64].
remarquable qu'ils obtiennent de meilleures performances lorsque la stratégie de placement
hybride est
hybride est adoptée [13, 60, 61], ou lorsque les informations relatives au RPL sont traitées par
des
mécanismes d'apprentissage automatique [59, 60]. En effet, les systèmes basés sur la
spécification
qui exploitent le regroupement, les systèmes de confiance, la programmation génétique et les
réseaux
de confiance, la programmation génétique et les réseaux neuronaux artificiels pour traiter les
paramètres de surveillance des RPL.
qui prennent en compte ces paramètres sans aucune forme d'intelligence.
Ici, la conséquence est que le couplage étroit avec le protocole lui-même n'est pas suffisant.
suffisant ; c'est une étape pour commencer. Les techniques de mixage peuvent aider à
développer
systèmes robustes qui ne mettent pas en péril les performances et le coût.
5.2.4. IDS de détection hybride
SVELTE [43] est l'un des plus anciens IDS liés à RPL. Il s'agit d'un système de placement
hybride
système de placement hybride qui se compose de trois modules : (i) le mappeur 6LoWPAN

(6Mapper), implemented at the root-node, maps and keeps track of the

DODAG along with the parent and neighboring information of each node; (ii)
the intrusion detection module, which is also executed centrally, relies on the
RPL speci
cation, signature and anomaly detection to specify the attacks,
and; (iii) the distributed
rewall and response module that prevents the
out-of-network attacks and is implemented in every node. SVELTE combines
all three detection methods and tries to achieve a trade-o
between the
storage cost of Sg and the computing cost of anomaly detection techniques.
The system's evaluation revealed its e
ectiveness against blackhole, selective
forwarding, sinkhole, and DODAG inconsistency attacks. However, since
SVELTE uses a rank threshold to detect anomalies, it su
ers from high rates
of false positives/negatives [13, 43, 54, 37]. In addition, it has signi
cant
resource requirements and does not take into account mobility issues.
Improvements of SVELTE [66, 67] reduce false detections and add
geographical hints of the malicious nodes, increasing the IDS's robustness by
allowing it to discover clone-ID, sybil and wormhole attacks additionally.
Hybrid of Anomaly-Based and Speci
cation-Based IDS for IoTs Using
Unsupervised OPF Based on MapReduce Approach [44] is a full hybrid
approach that encounters selective forwarding, sinkhole, and wormhole attacks.
The system combines an Anomaly Agent-Based IDS (AA-IDS) with several
Speci
cation Agent-Based IDSs (SA-IDSs) and considers the leaf-nodes tra
c
solely to the root. The SA-IDSs, implemented at the router-node(s), are used
for tra
c monitoring and the identi
cation of malicious nodes. Once tra
c is
analyzed, the output data are embedded into data packets and forwarded to
the root-node, where the AA-IDS resides. AA-IDS employs the unsupervised
Optimum-Path Forest (OPF) algorithm [68] to cluster the collected data and
proceed with the anomaly detection. The decision that classi
es a node as
malicious or not is based on a voting mechanism that considers both local
results of SA-IDS agents and the global analysis of the AA-IDS. The system
can also be extended to mitigate blackhole and decreased rank attacks.
The authors developed a dedicated RPL WSN simulator for their
32
evaluation analysis and provided high accuracy rates regardless of the network
size, justifying this way their system's scalability; their evaluation, however,
considers only a static topology. Regarding the energy requirements,
abundance was taken for granted for all kinds of nodes. Still later in a
theoretical context, it was concluded that the IDS could be used in real-world
IoT applications by ooading the resource-intensive tasks from the root-node
to an external device; obviously, such assumptions leave space for
improvements.
Game Theory IDS [40] is a distributed placement IDS that combines
signature detection for the known attack patterns and anomaly detection for
the unknown ones. In this way, the system is proved to encounter a
considerable number of attacks, i.e.,
ooding, sinkhole, blackhole, sybil, and
wormhole attacks. The Nash Equilibrium Game Theory is used to set a game
between the IDS entities and the attackers; when the system detects a tra
c
pattern that reaches a threshold, it considers it an anomaly. To reduce false
detections, the authors combine the IDS with a reputation system. The
evaluation of the IDS assumes both
xed and mobile nodes and reveals low
requirements on resources.
CHA{IDS [41] is a centralized system that elaborates on the IPv6
compressed header's analysis using machine-learning. In fact, the root-node
extracts data from the network tra
c, which are later used as an input to the
\J48" algorithm [69] for the attacks' detection. In this way, it detects
ooding,
sinkhole, and wormhole attacks, taking place either individually or in
combination, with high accuracy. According to the authors, the system
exhibits a good performance regarding the trade-o
between performance and
overhead. However, in its current version, it does not succeed in locating the
attacker's position; future extensions and possible combinations with other
distributed placement schemes could o
er this capability. Furthermore,
extensions could improve the system to additionally mitigate sybil, clone-ID,
DODAG version number, and local repair attacks.
Lastly, the Ultimate Approach IDS of Mitigating Attacks in RPL Based