Clustering IoT devices for network intrusion detection systems

Abstract

We develop feature engineering techniques that transform IP flows to device-level data points. We continue to cluster the data points with the DBSCAN algorithm. The clustering is motivated by the idea that organizing IoT devices as few homogeneous device groups may improve network intrusion detection systems.

Experiments on simulated IoT network data indicate that the best clustering outcomes are achieved by 1) forming data points based on relative frequencies of network IP address, network port, and IP protocol combinations, and 2) calculating their pairwise distances using cosine distances.

Kehittämämme data-attribuuttien esikäsittelymenetelmät muuntavat laitteiden Internet-protokollavuot laitetason datapisteiksi. Nämä datapisteet klusteroidaan DBSCAN-algoritmilla. Klusteroinnin taustalla on idea, että esineiden internetin (Internet of Things, IoT) laitteiden järjestäminen pieneen määrään homogeenisiä laiteryhmiä parantaa verkkopohjaisten- tunkeilijan havaitsemisjärjestelmien (network intrusion detection systems) suorituskykyä.

Empiiriset kokeemme simuloidulla IoT-verkkodatalla osoittavat, että parhaat klusterointitulokset saavutetaan 1) muodostomalla laitetason datapisteet hyödyntämällä verkko-IP-osoitteiden, verkkoporttien ja IP-protokollien havaittujen kombinaatioiden suhteellisia frekvenssejä, ja 2) laskemalla näiden datapisteiden parittaiset etäisyydet hyödyntäen kosini-etäisyyttä.