Software-defined networking (SDN) is a paradigm that was meant to improve networks programmability and management facilities. These benefits motivated its implementation in Low-power and Lossy Networks (LLNs), such as Internet of Things and wireless sensor networks, to address challenges considering flexibility and resource reuse. SDNbased networks are vulnerable to denial of service (DoS) and Distibuted DoS (DDoS) attacks, and this vulnerability is critical in resource-constrained networks. Analyzing the state of the art for SDN-based LLNs, we identified two main challenges: scalability and complexity. Proposals with high detection performance are mainly centralized and require communication resources that are not compatible with LLNs, such as out-of-band communication and constant monitoring in short periods, restricting scalability. There are also hybrid proposals that reduced packets traffic and the bottleneck effect. These works reported inferior performance than centralized approaches or required specific nodes with high capabilities inside the LLN to support the detection. To address this gap, we propose a cooperative intrusion detection strategy where all the nodes have active participation. We use centralized monitoring to detect anomalies in the network behavior, adjusting the communication frequency to the network size and communication resources. At the same time, every LLN node is monitoring its behavior using a higher sampling frequency to compensate the delay of the detection from the centralized information. The intrusion detection is based on anomaly detection using change-point analysis. The algorithm proposed is a modified version of state-of-the-art CUSUM algorithms and is so lightweight that it can run on TelosB motes requiring around 7.2 KB of memory space only. The cooperative intrusion detection was simulated on networks with 36, 100 and 225 nodes with only one controller. The results showed that by solving the complexity issues of the distributed detection we were able to improve scalability without reducing detection and network performance, obtaining detection accuracy comparable to high-traffic centralized approaches without the need of high capabilities devices. Moreover, the cooperation among the nodes allowed us to identify nodes launching the attack and the type of the attack with a probability exceeding 0.89.

Redes definidas por software são um paradigma que foi projetado para melhorar a programabilidade e o gerenciamento de redes. Os benefícios deste paradigma motivaram sua implementação em redes de sensores sem fio e aplicações da Internet das coisas, para abordar desafios relacionados a flexibilidade e reutilização de recursos. As redes definidas por software são vulneráveis a ataques de negação de serviço, e esta vulnerabilidade se torna crítica em redes com recursos limitados. Analisando o estado da arte, dois desafios principais foram identificados: escalabilidade e complexidade. Propostas com alto desempenho de detecção são em sua maioria abordagens centralizadas e precisam de recursos de comunicação incompatíveis com as limitações das redes de sensores. Por exemplo, precisam de canais dedicados de comunicação para pacotes de controle e monitoramento constante em períodos curtos de tempo, o qual limita a escalabilidade das soluções. Existem propostas híbridas que reduzem o tráfego de pacotes e o gargalo das propostas centralizadas. Porém, estes trabalhos tem um desempenho menor que os centralizados ou precisam de dispositivos com características diferenciadas para aumentar o seu desempenho. Para abordar este desafio, foi projetada uma estratégia cooperativa de detecção de intrusos, onde todos os nós da rede participam ativamente. A proposta é composta por um detector de anomalias centralizado, mas ajustando os recursos de comunicação de acordo com as características da rede. De forma paralela, todos os nós da rede estão monitorando seu próprio comportamento usando uma frequência de amostragem maior que a abordagem centralizada, para compensar o atraso na detecção. A detecção de intrusos é baseada na detecção de anomalias usando change point análise. A proposta é uma versão modificada de algoritmos de soma cumulativa modernos e é tão leve que roda em dispositivos TelosB, ocupando ao redor de 7.2 KB de memória. A proposta cooperativa foi simulada em redes com 36, 100 e 225 nós com um controlador só. Os resultados mostraram que, resolvendo o problema de complexidade na detecção distribuída é possível melhorar o desempenho na detecção sem reduzir o desempenho da rede quando o seu tamanho aumenta, tratando o aspecto da escalabilidade. A acurácia da detecção é comparável com outras propostas centralizadas que precisam de altas taxas de tráfego de pacotes ou dispositivos com características diferenciadas. Ainda, o sistema cooperativo permitiu a identificação de atacantes e tipo de ataque com probabilidades acima de 0.89.