Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

The widespread adoption of Internet of Things (IoT) devices is revolutionizing modern households, seamlessly integrating connected technologies into the user's daily life. While these devices bring unprecedented convenience by automating tasks like lighting, security, and communication, they also introduce significant privacy and security challenges. Additionally, the continuous interaction between IoT devices and their environment makes them valuable sources of digital evidence in forensic investigations, giving rise to a new branch of digital forensics: IoT forensics. This emerging field focuses on identifying, acquiring, and analyzing data from IoT devices to support investigations by uncovering human activity and other relevant contextual information. However, the limited hardware capabilities of IoT devices present numerous challenges, rendering traditional digital forensic techniques often impractical. Potentially useful data may be lost or overwritten due to the device's limited memory, or they can be located in cloud services, complicating the identification and retrieval processes. As a result, the network layer has become a key focus of IoT forensics, with a strong emphasis on extracting relevant information from network traffic. This work addresses the primary challenges in IoT network forensics, particularly the scalability issues posed by the vast amounts of data generated by increasing numbers of connected devices. We introduce Feature-Sniffer, a comprehensive framework that enhances forensic capabilities within smart homes by leveraging Wi-Fi access points as the central hub for collecting and analyzing IoT network traffic. The tool extracts real-time network traffic features as packets pass through the access point, aggregating traffic into time windows and computing statistical features on top of packet headers for each IoT device. This provides a detailed view of communication patterns that can serve as valuable forensic evidence. Given the prevalence of encrypted network traffic, these features can reveal critical information about devices, users, and their environment, often in conjunction with machine learning techniques, as highlighted in the literature. To validate our solution, we conducted extensive performance evaluations of Feature-Sniffer on consumer-grade Wi-Fi access points, demonstrating its ability to handle the demands of real-world IoT environments, even with dozens of active devices. We present several application use cases, including device identification and human activity recognition through machine learning models, showcasing the framework's versatility for various forensic tasks. As an additional source of information, we explore human sensing through Wi-Fi physical layer characteristics, utilizing Channel State Information (CSI) features extracted from IoT devices to unveil information about the occupants of an indoor environment. We advance the field by integrating the CSI collection and management into Wi-Fi access points as an additional module within the Feature-Sniffer framework. We validate the solution with possible uses of such information for forensic investigations. Our findings show that CSI data from consumer IoT devices can be used to detect the presence of a person inside a room or reveal its movements through doorways using already in-place devices. A critical challenge addressed in this work is the vast volume of data generated by IoT devices and the resource constraints (such as limited CPU and storage) inherent in consumer access points. To mitigate this, we propose an adaptive resource optimization model that dynamically adjusts the framework's feature collection settings to balance forensic capabilities with system constraints. By utilizing lossy compression techniques, the model allocates resources effectively, optimizing the tradeoff between storage, CPU consumption, and classification accuracy. This ensures efficient data collection and preservation while maintaining the integrity of forensic analysis. Moreover, to advance the evidence preservation phase, we present a blockchain-based solution to ensure data immutability and distributed storage. Finally, we extend the capabilities of the access point to enhance user privacy through automated traffic filtering. We propose a machine-learning-based framework that identifies and blocks non-essential communications between IoT devices and external endpoints, reducing unnecessary data exposure. We generate a labeled network dataset to distinguish between essential and non-essential destinations, enabling near-real-time detection and intervention, even in large-scale IoT environments. Overall, this work provides a robust foundation for IoT forensics, addressing the technical challenges of evidence identification, collection, preservation, and analysis and the broader concerns of user privacy in smart home environments. We successfully advance the state-of-the-art in these areas by proposing a unique, modular, and scalable framework that can be installed in any access point supported by the OpenWrt project. Our framework can ease and ensure the applicability of the forensic process using IoT network data as sources of evidence. We strongly believe that this represents the first step towards the development of an intelligent forensic-ready IoT gateway to be employed in modern smart homes.

L'enorme diffusione di dispositivi appartenenti al mondo dell'Internet of Things (IoT) sta rivoluzionando gli ambienti casalinghi moderni, integrando tecnologie sempre più connesse nella vita giornaliera degli utenti. Mentre questi dispositivi portano uno sviluppo mai visto prima consentendo l'automazione di azioni in vari settori tra cui illuminazione, sicurezza e comunicazione, essi tuttavia introducono delle sfide per assicurare la privacy e la sicurezza degli utenti. Inoltre, le continue interazioni tra i dispositivi e l'ambiente in cui operano, li rende delle ottime sorgenti di fonti di prova digitali per investigazioni forensi, dando vita a un nuovo ramo dell'informatica forense che prende il nome di IoT Forensics. Questa branca emergente si concentra nell'identificazione, acquisizione e analisi di dati provenienti da dispositivi IoT per supportare processi legali rivelando infromazioni utili permettendo la ricostruzione delle attività umane all'interno degli ambienti smart. Tuttavia, le risorse ridotte dei dispositivi IoT introducono diverse limitazioni, rendendo poco utilizzabili gli approcci tradizionali nell'informatica forense. I dati potenzialmente utili potrebbero essere persi o sovrascritti a causa della memoria ridotta dei dispositivi, o potrebbero essere conservati in servizi esterni nel Cloud, complicandone i processi di identificazione e acquisizione. Come risultato di queste considerazioni, il livello di rete sta emergendo diventando uno degli aspetti protagonisti dell'IoT Forensics, con una grande attenzione verso l'utilizzo del traffico di rete come possibile sorgente di informazioni. Questo lavoro affronta le sfide principali nel campo dell'IoT forensics a livello di rete, concentrandosi sui problemi di scalabilità introdotti dall'ingente quantità di dati prodotti da un numero sempre maggiore di dispositivi connessi nel mondo IoT. Presentiamo Feature-Sniffer, un framework completo che avanza e facilita le capacità forensi negli ambienti di casa smart per la raccolta e analisi di traffico di rete proveniente da dispositivi IoT, sfruttando l'entità centrale della rete: l'access point Wi-Fi. Lo strumento estrae in tempo reale informazioni sul traffico di rete, mentre i pacchetti vengono generati e attraversano l'access point. Il traffico viene aggregato in finestre temporali e una serie di valori statistici vengono calcolati per ciascun dispositivo per ciascuna finestra temporale. Questo consente una visione dettagliata degli schemi di comunicazione che possa servire come fonte di prova per scopi forensi. Vista la prevalenza di traffico criptato, queste caratteristiche statistiche possono rivelare informazioni rilevanti riguardio ai dispositivi, all'utente, e al loro ambiente, spesso utilizzate tramite analisi basate su Machine Learning, come mostrato in letteratura. Per validare la nostra soluzione, abbiamo eseguito un'accurata analisi delle prestazioni di Feature-Sniffer in access point commerciali, dimostrando l'abilità dello strumento ad adattarsi alle richieste traffico presenti in reti IoT moderne con decine di dispositivi attivi. Il lavoro presenta diversi casi d'uso applicativi, tra cui l'identificazione di dispositivi e il riconoscimento di attività umane tramite l'utilizzo di modelli di machine learning, dimostrando la versatilità dello strumento per varie applicazioni in campo forense. Come fonte di prova aggiuntiva, esploriamo la possibilità di tracciare le attività umane tramite l'utilizzo di caratteristiche estratte dal livello fisico della comunicazione Wi-Fi, facendo riferimento alle caratteristiche Channel State Information (CSI) estratte da dispositivi IoT per rivelare informazioni sugli utenti occupanti un ambiente chiuso. Per ricoprire le mancanze evidenziate nello stato dell'arte, integriamo la collezione di caratteristiche CSI in access point Wi-Fi come un modulo aggiuntivo per lo strumento Feature-Sniffer, e mostriamo diversi casi applicativi in cui tali caratteristiche possano essere utilizzate in processi forensi. Dimostriamo che i valori di CSI estratti da dispositivi IoT commerciali possono essere utilizzato per rilevare la presenza di un utente all'interno di una stanza, o possano distinguere il passaggio di una persona dalla porta di una stanza, esclusivamente utilizzando dispositivi gia presenti all'interno dell'ambiente come sorgente di informazioni. Uno dei punti critici che copriamo in questo lavoro è il grande volume di dati generati dai dispositivi IoT, e i vincoli derivanti dalle limitazioni dell'hardware degli access point commerciali (capacità computazionali e spazio di archiviazione). Per venire incontro a tali problemi, proponiamo un modello di ottimizazione delle risorse adattativo che possa aggiustare dinamicamente le impostazioni di collezionamento di dati del software in modo da rispettare i vincoli hardware presenti. Utilizzando compressione con perdite, il modello alloca le risorse disponibili in maniera efficiente, ottimizzando il bilanciamento tra le risorse disponibili in termini di archiviazione e capacità computazionali, e le capacità forensi espresse dalla precisione nella classificazione. Ciò consente di rendere efficienti le fasi collezione e mantenimento delle informazioni, al tempo stesso consentendo un'accurata analisi per scopi forensi. Inoltre, per assicurare un mantenimento sicuro dei dati, presentiamo una soluzione basata su tecnologie blockchain per assicurare l'immutabilità dei dati e un'archiviazione distribuita che estenda le capacità del singolo dispositivo. Infine, estendiamo le capacità dell'access point per venire incontro ai problemi di privacy dell'utente, tramite uno strumento per il filtro automatico di traffico irrilevante. Proponiamo una soluzione basata su machine learning che identifichi e blocchi la comunicazione considerata non essenziale tra i dispositivi e le sorgenti esterne, riducendo l'esposizione di informazioni laddove non necessaria. Generiamo un dataset con etichette che distingua tra destinazioni essenziali e non essenziali per il dispostivo, consentendo un riconoscimento e conseguente blocco delle comunicazioni non rilevanti in tempo reale anche in larga scala.\\ In breve,questo lavoro propone una solida base per l'IoT foreniscs, coprendo le sfide tecniche delle fasi di collezione, mantenimento e analisi delle fonti di prova a partire dal traffico di rete. Il lavoro riesce con successo ad avanzare lo stato dell'arte in queste aree proponendo un sistema unico, modulare e scalabile supportato da molti access point. Siamo certi che questa tesi possa rappresentare il primo passo per lo sviluppo di un gateway IoT intelligente pronto per le scienze forensi, che possa essere utilizzato negli ambienti smart in maniera facile ed efficiente. Il nostro sistema facilita le fasi del processo forense utilizzando dati di rete provenienti da dispositivi IoT come fonti di prova. Crediamo fermamente che questo rappresenti il primo passo verso lo sviluppo di un gateway IoT intelligente che sia pronto per l'acquisizione di dati forensi nelle case moderne.

Forensic-aware solutions for the Internet of Things in the home gateway

PALMESE, FABIO
2024/2025

Abstract

The widespread adoption of Internet of Things (IoT) devices is revolutionizing modern households, seamlessly integrating connected technologies into the user's daily life. While these devices bring unprecedented convenience by automating tasks like lighting, security, and communication, they also introduce significant privacy and security challenges. Additionally, the continuous interaction between IoT devices and their environment makes them valuable sources of digital evidence in forensic investigations, giving rise to a new branch of digital forensics: IoT forensics. This emerging field focuses on identifying, acquiring, and analyzing data from IoT devices to support investigations by uncovering human activity and other relevant contextual information. However, the limited hardware capabilities of IoT devices present numerous challenges, rendering traditional digital forensic techniques often impractical. Potentially useful data may be lost or overwritten due to the device's limited memory, or they can be located in cloud services, complicating the identification and retrieval processes. As a result, the network layer has become a key focus of IoT forensics, with a strong emphasis on extracting relevant information from network traffic. This work addresses the primary challenges in IoT network forensics, particularly the scalability issues posed by the vast amounts of data generated by increasing numbers of connected devices. We introduce Feature-Sniffer, a comprehensive framework that enhances forensic capabilities within smart homes by leveraging Wi-Fi access points as the central hub for collecting and analyzing IoT network traffic. The tool extracts real-time network traffic features as packets pass through the access point, aggregating traffic into time windows and computing statistical features on top of packet headers for each IoT device. This provides a detailed view of communication patterns that can serve as valuable forensic evidence. Given the prevalence of encrypted network traffic, these features can reveal critical information about devices, users, and their environment, often in conjunction with machine learning techniques, as highlighted in the literature. To validate our solution, we conducted extensive performance evaluations of Feature-Sniffer on consumer-grade Wi-Fi access points, demonstrating its ability to handle the demands of real-world IoT environments, even with dozens of active devices. We present several application use cases, including device identification and human activity recognition through machine learning models, showcasing the framework's versatility for various forensic tasks. As an additional source of information, we explore human sensing through Wi-Fi physical layer characteristics, utilizing Channel State Information (CSI) features extracted from IoT devices to unveil information about the occupants of an indoor environment. We advance the field by integrating the CSI collection and management into Wi-Fi access points as an additional module within the Feature-Sniffer framework. We validate the solution with possible uses of such information for forensic investigations. Our findings show that CSI data from consumer IoT devices can be used to detect the presence of a person inside a room or reveal its movements through doorways using already in-place devices. A critical challenge addressed in this work is the vast volume of data generated by IoT devices and the resource constraints (such as limited CPU and storage) inherent in consumer access points. To mitigate this, we propose an adaptive resource optimization model that dynamically adjusts the framework's feature collection settings to balance forensic capabilities with system constraints. By utilizing lossy compression techniques, the model allocates resources effectively, optimizing the tradeoff between storage, CPU consumption, and classification accuracy. This ensures efficient data collection and preservation while maintaining the integrity of forensic analysis. Moreover, to advance the evidence preservation phase, we present a blockchain-based solution to ensure data immutability and distributed storage. Finally, we extend the capabilities of the access point to enhance user privacy through automated traffic filtering. We propose a machine-learning-based framework that identifies and blocks non-essential communications between IoT devices and external endpoints, reducing unnecessary data exposure. We generate a labeled network dataset to distinguish between essential and non-essential destinations, enabling near-real-time detection and intervention, even in large-scale IoT environments. Overall, this work provides a robust foundation for IoT forensics, addressing the technical challenges of evidence identification, collection, preservation, and analysis and the broader concerns of user privacy in smart home environments. We successfully advance the state-of-the-art in these areas by proposing a unique, modular, and scalable framework that can be installed in any access point supported by the OpenWrt project. Our framework can ease and ensure the applicability of the forensic process using IoT network data as sources of evidence. We strongly believe that this represents the first step towards the development of an intelligent forensic-ready IoT gateway to be employed in modern smart homes.
PIRODDI, LUIGI
FILIPPINI, ILARIO
12-mar-2025
Forensic-aware solutions for the Internet of Things in the home gateway
L'enorme diffusione di dispositivi appartenenti al mondo dell'Internet of Things (IoT) sta rivoluzionando gli ambienti casalinghi moderni, integrando tecnologie sempre più connesse nella vita giornaliera degli utenti. Mentre questi dispositivi portano uno sviluppo mai visto prima consentendo l'automazione di azioni in vari settori tra cui illuminazione, sicurezza e comunicazione, essi tuttavia introducono delle sfide per assicurare la privacy e la sicurezza degli utenti. Inoltre, le continue interazioni tra i dispositivi e l'ambiente in cui operano, li rende delle ottime sorgenti di fonti di prova digitali per investigazioni forensi, dando vita a un nuovo ramo dell'informatica forense che prende il nome di IoT Forensics. Questa branca emergente si concentra nell'identificazione, acquisizione e analisi di dati provenienti da dispositivi IoT per supportare processi legali rivelando infromazioni utili permettendo la ricostruzione delle attività umane all'interno degli ambienti smart. Tuttavia, le risorse ridotte dei dispositivi IoT introducono diverse limitazioni, rendendo poco utilizzabili gli approcci tradizionali nell'informatica forense. I dati potenzialmente utili potrebbero essere persi o sovrascritti a causa della memoria ridotta dei dispositivi, o potrebbero essere conservati in servizi esterni nel Cloud, complicandone i processi di identificazione e acquisizione. Come risultato di queste considerazioni, il livello di rete sta emergendo diventando uno degli aspetti protagonisti dell'IoT Forensics, con una grande attenzione verso l'utilizzo del traffico di rete come possibile sorgente di informazioni. Questo lavoro affronta le sfide principali nel campo dell'IoT forensics a livello di rete, concentrandosi sui problemi di scalabilità introdotti dall'ingente quantità di dati prodotti da un numero sempre maggiore di dispositivi connessi nel mondo IoT. Presentiamo Feature-Sniffer, un framework completo che avanza e facilita le capacità forensi negli ambienti di casa smart per la raccolta e analisi di traffico di rete proveniente da dispositivi IoT, sfruttando l'entità centrale della rete: l'access point Wi-Fi. Lo strumento estrae in tempo reale informazioni sul traffico di rete, mentre i pacchetti vengono generati e attraversano l'access point. Il traffico viene aggregato in finestre temporali e una serie di valori statistici vengono calcolati per ciascun dispositivo per ciascuna finestra temporale. Questo consente una visione dettagliata degli schemi di comunicazione che possa servire come fonte di prova per scopi forensi. Vista la prevalenza di traffico criptato, queste caratteristiche statistiche possono rivelare informazioni rilevanti riguardio ai dispositivi, all'utente, e al loro ambiente, spesso utilizzate tramite analisi basate su Machine Learning, come mostrato in letteratura. Per validare la nostra soluzione, abbiamo eseguito un'accurata analisi delle prestazioni di Feature-Sniffer in access point commerciali, dimostrando l'abilità dello strumento ad adattarsi alle richieste traffico presenti in reti IoT moderne con decine di dispositivi attivi. Il lavoro presenta diversi casi d'uso applicativi, tra cui l'identificazione di dispositivi e il riconoscimento di attività umane tramite l'utilizzo di modelli di machine learning, dimostrando la versatilità dello strumento per varie applicazioni in campo forense. Come fonte di prova aggiuntiva, esploriamo la possibilità di tracciare le attività umane tramite l'utilizzo di caratteristiche estratte dal livello fisico della comunicazione Wi-Fi, facendo riferimento alle caratteristiche Channel State Information (CSI) estratte da dispositivi IoT per rivelare informazioni sugli utenti occupanti un ambiente chiuso. Per ricoprire le mancanze evidenziate nello stato dell'arte, integriamo la collezione di caratteristiche CSI in access point Wi-Fi come un modulo aggiuntivo per lo strumento Feature-Sniffer, e mostriamo diversi casi applicativi in cui tali caratteristiche possano essere utilizzate in processi forensi. Dimostriamo che i valori di CSI estratti da dispositivi IoT commerciali possono essere utilizzato per rilevare la presenza di un utente all'interno di una stanza, o possano distinguere il passaggio di una persona dalla porta di una stanza, esclusivamente utilizzando dispositivi gia presenti all'interno dell'ambiente come sorgente di informazioni. Uno dei punti critici che copriamo in questo lavoro è il grande volume di dati generati dai dispositivi IoT, e i vincoli derivanti dalle limitazioni dell'hardware degli access point commerciali (capacità computazionali e spazio di archiviazione). Per venire incontro a tali problemi, proponiamo un modello di ottimizazione delle risorse adattativo che possa aggiustare dinamicamente le impostazioni di collezionamento di dati del software in modo da rispettare i vincoli hardware presenti. Utilizzando compressione con perdite, il modello alloca le risorse disponibili in maniera efficiente, ottimizzando il bilanciamento tra le risorse disponibili in termini di archiviazione e capacità computazionali, e le capacità forensi espresse dalla precisione nella classificazione. Ciò consente di rendere efficienti le fasi collezione e mantenimento delle informazioni, al tempo stesso consentendo un'accurata analisi per scopi forensi. Inoltre, per assicurare un mantenimento sicuro dei dati, presentiamo una soluzione basata su tecnologie blockchain per assicurare l'immutabilità dei dati e un'archiviazione distribuita che estenda le capacità del singolo dispositivo. Infine, estendiamo le capacità dell'access point per venire incontro ai problemi di privacy dell'utente, tramite uno strumento per il filtro automatico di traffico irrilevante. Proponiamo una soluzione basata su machine learning che identifichi e blocchi la comunicazione considerata non essenziale tra i dispositivi e le sorgenti esterne, riducendo l'esposizione di informazioni laddove non necessaria. Generiamo un dataset con etichette che distingua tra destinazioni essenziali e non essenziali per il dispostivo, consentendo un riconoscimento e conseguente blocco delle comunicazioni non rilevanti in tempo reale anche in larga scala.\\ In breve,questo lavoro propone una solida base per l'IoT foreniscs, coprendo le sfide tecniche delle fasi di collezione, mantenimento e analisi delle fonti di prova a partire dal traffico di rete. Il lavoro riesce con successo ad avanzare lo stato dell'arte in queste aree proponendo un sistema unico, modulare e scalabile supportato da molti access point. Siamo certi che questa tesi possa rappresentare il primo passo per lo sviluppo di un gateway IoT intelligente pronto per le scienze forensi, che possa essere utilizzato negli ambienti smart in maniera facile ed efficiente. Il nostro sistema facilita le fasi del processo forense utilizzando dati di rete provenienti da dispositivi IoT come fonti di prova. Crediamo fermamente che questo rappresenti il primo passo verso lo sviluppo di un gateway IoT intelligente che sia pronto per l'acquisizione di dati forensi nelle case moderne.
Tesi di Dottorato
File allegati
File Dimensione Formato  
Tesi___Fabio.pdf

accessibile in internet solo dagli utenti autorizzati

Descrizione: Tesi
Dimensione 3.58 MB
Formato Adobe PDF
  Visualizza/Apri
3.58 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/233592