PacketZapper: An Automated Collection and Processing Platform for IoT Device Traffic

Abstract

Smarte enheter blir stadig vanligere i hjemmene våre og hjelper oss med ulike aspekter av hverdagen. Dette reiser spørsmål om sikkerhetskonsekvensene knyttet til den økende bruken av IoT-enheter i hjemmet. Å samle inn og analysere ekte IoT-trafikk for sikkerhetsforskningsformål er ofte ønskelig, men krever kunnskap om mange ulike emner, fra valg av passende innsamlingsutstyr til forståelse om hvordan man lagrer og behandler trafikkdataene. Dette utgjør en betydelig utfordring for forskere, da de må ha en grundig forståelse av disse konseptene før de kan fortsette med sin forskning. Å unngå denne prosessen kan føre til komplikasjoner i forskningseksperimentene deres. I denne avhandlingen presenterer vi PacketZapper, vår automatiserte plattform for innsamling og behandling av IoT-trafikk. Vi bruker eksisterende åpen-kildekode programvare, sammen med spesiallagde komponenter for å skape en skalerbar løsning for gjennomføring av eksperimenter med ekte IoT-enheter. PacketZapper benytter seg av Apache Airflow for å automatisere alle aspekter av eksperimentene som utføres på plattformen, og Elasticsearch fungerer som kjernen for lagring av data. For øyeblikket støtter PacketZapper innsamling av Zigbee- og generisk 433MHz IoT-trafikk ved hjelp av kommersielle USB-dongler, og det er mulig å enkelt integrere ytterligere IoT-protokoller i fremtiden. Vår evaluering av plattformen viser at den er i stand til å hjelpe forskere med å svare på komplekse forskningsspørsmål som baserer seg på bruk av IoT trafikkdata, og har gode verktøy for å analysere og utforske denne dataen. Brukere bør ha kunnskap om hvordan man skriver arbeidsflyter for Airflow før de bruker plattformen, slik at de kan utnytte det fulle potensialet til PacketZapper.

Smart devices are all around us, and have made their way into our homes, assisting us in various aspects of our daily lives. This raises some questions regarding the security implications associated with such rapid adoption of IoT devices in the home environment. Collecting and analyzing real IoT device traffic for security research purposes is often desirable, but requires knowledge on a wide variety of topics, from selecting appropriate collection hardware, to understanding how to store and process this traffic data. This presents a significant hurdle for researchers, as they must have a thorough understanding of these concepts before they can proceed with their work. Avoiding this process could lead to inconsistencies in their research experiments. In this thesis, we present PacketZapper, an automated collection and processing platform for IoT traffic. It leverages existing open-source software together with some custom components to create a scalable solution for running reproducible experiments with real IoT devices. PacketZapper relies on Apache Airflow to automate all aspects of experiments conducted on the platform, with Elasticsearch serving as the core storage component. Currently, PacketZapper supports collection of Zigbee and generic 433MHz IoT device traffic through commercial USB dongles, with code that facilitates for simple integration of additional IoT protocols in the future. Our requirements-based evaluation of the platform demonstrated that it is capable of performing basic inference experiments, and has suitable tools for analysis and exploration of the collected traffic data. Users should have an understanding of writing pipelines for Airflow before using the platform to better harness the full potential of PacketZapper.