Uma Investigação sobre Proxies Inteligentes para redes MQTT

A proliferação exponencial de dispositivos na Internet das Coisas (IoT) tem sido notável nas últimas décadas. Estimativas recentes indicam um aumento significativo, com cerca de 7 milhões de dispositivos conectados à internet em 2018, projetando-se para um número aproximado de 41,6 bilhões até 2025 (Koroniotis, Moustafa e Sitnikova, 2020; Abbas, 2021). Esses dispositivos desempenham funções vitais em uma ampla gama de setores, incluindo residências inteligentes, cidades conectadas, indústria, agricultura inteligente e saúde, evidenciando a integração crescente da IoT na sociedade e sua influência nas interações humanas, onde o protocolo de comunicação Message Query Telemetry Transport (MQTT) assume um papel de destaque nesse panorama. Entretanto, o crescimento exponencial da conectividade da IoT também trouxe consigo desafios substanciais de segurança. Relatório de 2018 da Symantec (Koroniotis, Moustafa e Sitnikova, 2020) identificou um aumento expressivo nos ataques direcionados a dispositivos IoT, com um total de 57.000 incidentes, resultando em uma média de aproximadamente 5.000 ataques por mês. Essas estatísticas evidenciam a urgência de abordar questões específicas de segurança em dispositivos IoT que utilizam o protocolo MQTT. O MQTT é um protocolo de mensagens de máquina para máquina (M2M), padronizado pela OASIS, desenvolvido para aplicações de IoT. No cerne da arquitetura MQTT está o broker, um servidor responsável por rotear mensagens de remetentes (publicadores) para clientes (assinantes) pretendidos. Para iniciar a publicação de mensagens, um dispositivo direciona a mensagem para o broker, atribuindo-a a um tópico específico que encapsula o conteúdo da mensagem (por exemplo, atualizações climáticas, leituras de temperatura, status residencial). Posteriormente, o broker distribui essa mensagem para todos os clientes inscritos no tópico correspondente. Conforme observado por Prajisha e Vasudevan (2022), o MQTT, devido à sua natureza de protocolo aberto, torna-se vulnerável a diversos tipos de ataques de Negação de Serviço (DoS – Denial of Service), incluindo sobrecarga de mensagens, envio de dados malformados e falhas na autenticação. Essas ameaças representam riscos significativos para a integridade e disponibilidade de dispositivos IoT, demandando a busca por medidas de proteção eficazes. As limitações inerentes dos sistemas IoT, como capacidade de memória restrita, ambientes de rede dinâmicos e heterogêneos e vida útil limitada da bateria, apresentam desafios consideráveis na implementação de medidas de segurança convencionais pelos desenvolvedores. Essa complexidade adicional ressalta a necessidade crítica de reavaliar minuciosamente as estratégias empregadas nesses sistemas, tornando a implementação eficaz de medidas de segurança notavelmente desafiadora diante das restrições operacionais específicas dos dispositivos IoT. Nota-se que vários trabalhos têm buscado formas de detectar e analisar vetores maliciosos em tráfego de redes entre dispositivos IoT. Algumas pesquisas visam o desenvolvimento de Sistemas de Detecção de Intrusão (IDS – Intrusion Detect System) para detecção de comunicações anômalas, como é caso de Prajisha e Vasudevan (2022), ao qual apontam limitações nas soluções existentes para detecção de ataques via protocolo MQTT, especialmente em relação à seleção de recursos, desequilíbrio de classes e precisão. Para enfrentar esses desafios, propõem o ECSSA-LightGBM NIDS, um Sistema de Detecção de Intrusões que combina o Algoritmo de Enxame de Salp Aperfeiçoado (ECSSA) para seleção de recursos com o classificador de conjunto LightGBM para detecção eficiente de ataques. Avaliações nos conjuntos de dados MC-IoT, MQTT-IoT-IDS2020 e MQTTset demonstraram alta precisão, tempos de detecção rápidos e redução eficaz de recursos em comparação com métodos estabelecidos. O ECSSA-LightGBM NIDS alcançou precisões de detecção de 99,38%, 98,91% e 98,35% nos respectivos conjuntos de dados. Já há aqueles que propõe um novo protocolo, como é o caso de Shalaginov, Semeniuta e Alazab (2019), ao qual introduzem o MEML, um protocolo que propõe uma abordagem baseada em MQTT para o retreinamento de modelos de aprendizado de máquina em dispositivos IoT. O protocolo busca facilitar a transferência de modelos de ML treinados de nós robustos para dispositivos Edge com recursos limitados, permitindo a detecção inteligente de ataques de rede usando Redes Neurais Artificiais (ANN) em dispositivos como o Arduino Uno. Indo de encontro a uma abordagem de detecção de ameaças em ambientes que utilizem o protocolo MQTT, este trabalho tem como objetivo identificar proxies inteligentes capazes de identificar ataques de negação de serviço. Para isso, busca-se conhecer na literatura quais brokers são comumente utilizados, identificar os principais tipos de ataques de negação de serviço e suas características, quais algoritmos de aprendizado de máquina são mais utilizados e quais conjuntos de dados são comumente utilizados para treinamento. Como resultados, é esperado que o estudo evidencie se existe alguma solução similar a um proxy especialista para redes MQTT ou que norteie arquiteturas similares ao que o trabalho investiga, além de auxiliar no mapeamento de técnicas de aprendizagem de máquina eloquentes para detecção de anomalias para tal protocolo de rede.