Intrusion Detection System based on Deep learning and Complex event processing for IoT environments

Abstract

The rapid expansion of the Internet of Things (IoT) and Industrial IoT (IIoT) ecosystems has introduced significant security challenges, particularly in protecting these networks from cyberattacks. This thesis presents an advanced Intrusion Detection System (IDS) that combines machine learning, rule-based classification, and Complex Event Processing (CEP) to detect and respond to network intrusions in real-time. The IDS is built using the Edge-IIoTset dataset, which contains a variety of cyberattack scenarios relevant to IoT/IIoT environments. A hybrid deep learning model, incorporating Convolutional Neural Networks (CNN), Long Short-Term Memory (LSTM), and Gated Recurrent Units (GRU), was developed to label and classify the dataset, achieving an accuracy of 96.68%. The IDS further incorporates rule-based classifiers, such as PART, for rule extraction. These rules were deployed within the Esper CEP engine, enabling real-time detection and alerting. The IDS is complemented by a web-based dashboard built using AdminLTE, which provides real-time insights into the types and frequency of detected attacks, enhancing network security management. This approach effectively balances high detection accuracy with interpretability, making it suitable for real-time deployment in resource-constrained IoT environments. Finally, the thesis discusses the limitations of the proposed system and suggests future research directions, including the exploration of federated learning, multi-stage attack detection, and adaptive IDS models to further improve security in evolving IoT ecosystems. ***

L’expansion rapide des écosystèmes de l’Internet des objets (IoT) et de l’IoT industriel (IIoT) a introduit des défis de sécurité importants, notamment dans la protection de ces réseaux contre les cyberattaques. Cette thèse présente un système de détection d’intrusion (IDS) avancé combinant l’apprentissage automatique, la classification basée sur des règles et le traitement d’événements complexes (CEP) pour détecter et répondre aux intrusions réseau en temps réel. L’IDS est construit à partir du jeu de données Edge-IIoTset, qui contient une variété de scénarios de cyberattaques pertinents pour les environnements IoT/IIoT. Un modèle d’apprentissage profond hybride, incorporant des réseaux neuronaux convolutifs (CNN), des mémoires à long terme (LSTM) et des unités récurrentes à portes (GRU), a été développé pour étiqueter et classifier le jeu de données, atteignant une précision de 96,68 %. L’IDS intègre également des classificateurs basés sur des règles, tels que PART, pour l’extraction de règles. Ces règles ont été déployées dans le moteur CEP Esper, permettant une détection et des alertes en temps réel. L’IDS est complété par un tableau de bord web développé avec AdminLTE, offrant des informations en temps réel sur les types et la fréquence des attaques détectées, améliorant ainsi la gestion de la sécurité réseau. Cette approche équilibre efficacement une haute précision de détection avec une interprétabilité, la rendant adaptée pour un déploiement en temps réel dans des environnements IoT à ressources limitées. Enfin, la thèse discute des limites du système proposé et suggère des pistes de recherche futures, notamment l’exploration de l’apprentissage fédéré, la détection d’attaques en plusieurs étapes et les modèles IDS adaptatifs pour améliorer la sécurité dans des écosystèmes IoT en évolution.