anomalidetektion i IOT nät

Viktiga resultat som projektet gav

Projektet syftar till att ta fram en proof-of-concept-tjänst för att detektera intrång i IoT-enheter via analys av metadata om trafik. Systemet behöver kunna motivera vad det är som gör att något anses avvikande tillräckligt tydligt för att en människa skall kunna göra en bedömning av allvarlighetsgrad, varför traditionella blackbox-maskininlärningslösningar ansetts olämpliga. En PoC är framtagen med kapacitet att utföra analysen i realtid med begränsad beräkningskraft.

Långsiktiga effekter som förväntas

Studier av statistiska fördelningar i nätverkstrafik på typiska klientnätverk visade att statistiska modeller i många fall ger väldigt osäkra resultat. Detta är dock om man ser till slutanvändarenheter som datorer, telefoner och surfplattor. För enheter som har ett enda specifikt syfte (typiskt för IoT-enheter) är fördelningarna betydligt mer fördelaktiga, vilket möjliggör en relativt säker detektion av avvikelser.

Upplägg och genomförande

Projektet genomfördes i 3 faser. I fas 1 fastställdes funktionella krav på tjänsten baserat på marknadsbehov, hårdvarukrav samt hur tjänsten skall integrera med befintliga system och personal. I fas 2 testades olika modeller för trafikanalys för att hitta en modell som var robust nog att ge säkra resultat men samtidigt flexibel nog att kunna anpassas och utvecklas i takt med att nya metriker upptäcks. I fas 3 testades en rad olika metriker i modellen för att avgöra vilka som gav säkrast indikation på avvikelser, baserat på faktisk nätverkstrafik.