文献综述
1.概述:
随着科技的发展,物联网技术的应用逐渐广泛,物联网安全问题越来越受到人们的关注。物联网和互联网一样都是一把“双刃剑”。一些供应商在生产用于家庭和小型办公网络的IP连接设备,这些网络常常受到安全设计和实现缺陷的困扰。而供应商往往并没有很好的消除漏洞的固件更新或者补丁机制。为了保护这些存在缺陷的网络,我们必须采取一种棕地方式:在网络中应用必要的保护措施以至于可以使脆弱的设备共存,而不会对网络内其他的设备造成威胁。我们需要一种系统可以自动识别连接到物联网上的设备类型,并能够执行脆弱设备通信的规则,从而将它们之间的损害降低。我们同时需要确保这种系统的确定性以及具有良好的性能开销
2.主体
系统针对家庭和小型办公室中常见的典型网络设置,其中设备连接到网关路由器,
网关路由器提供无线和有线接口,用于将启用IP的设备连接到网络。我们假设,当IoT设备最初连接到目标网络时,它们可能存在安全漏洞,但最初是良性的,即不会被对手破坏。系统的目标是限制网络中的通信,这样对手要么无法连接到易受攻击的设备来利用漏洞,要么无法使用受攻击的设备来攻击网络中的其他设备,要么无法从受攻击的设备中过滤数据,从而有效减轻攻击或限制其影响。
为了保护网络免受敌人的攻击,系统将会识别引入网络的新物联网设备的设备类型,使用设备类型对设备进行脆弱性评估,最终对设备的应变通信能力进行相应的调整。其中设备类型识别基于在设置过程中监控设备的通信行为,以生成设备特定指纹,这些指纹借助基于机器学习的分类模型映射到设备类型。对于给定的设备类型,其潜在的脆弱性可以通过咨询外部信息源来评估。基于漏洞评估,系统通过相应地限制易受攻击设备的网络通信来保护目标网络。
对于指纹的产生,是基于被动观察到的网络流量得到的。这些设备需要按照设备供
应商特定的程序引入家庭网络并与网关相关联。这个过程的特点是由感应设备发起的可区分的通信序列,我们的指纹试图捕捉到这一序列。当由新观察到的MAC地址标识的新设备开始与网关通信时,网关记录n个分组{,,,hellip;}在其设置阶段从其接收。设置阶段的结束可以通过降低发送数据包的速率来自动识别。我们提取了23个特征,给出了每个分组的向量表示={,,,..., }其中iisin;{1,...,n }。因此,设备指纹是23times;n矩阵F,每一列代表以ordeiisin;{ 1,n }和代表分组特征的每行。我们的指纹通过捕获并保持设备p1→pn发送数据包的顺序,来考虑通信的时间维度。与一段时间内聚合网络流量统计数据的技术相比,这种提取方法提出了一些需要比较的问题,因为指纹具有可变大小n。为了应对这一限制,我们构建了第二个固定大小的指纹F′。F′由来自F的12个第一个唯一向量包p组成,这些向量包p被串联起来以产生276维特征向量( 12个包times;23个特征) : F′={, , . . . , , , , . . . , , }。
基于安全门通道提供的设备指纹,IoTSSP使用基于机器学习的分类模型根据设备类型对设备进行分类。首先,需要通过物联网设备的专门实验室实验来手动收集用于训练模型的设备类型的基本真相信息。与以提高检测精度与利用协议消息中特定数据字段的独特特征的传统指纹识别方法相反,系统方法侧重于设备的行为特征这使我们能够在不事先了解各个设备使用的消息或数据字段值的语法的情况下对设备进行分析和分类。对于训练数据中的每种设备类型,IoTSSP执行漏洞评估。 此评估基于查询CVE数据库等存储库,以获取与设备类型相关的漏洞报告。可以通过自动渗透测试或最近开发的物联网设备自动化错误搜索技术来增强漏洞评估。受影响网络的安全网关报告的相互关联的安全事件和相关设备类型也可以使用众包信息。如果存在漏洞,则会分配受限制的水平。 如果未报告设备类型的漏洞,则会为其分配受信任级别,未知设备将被分配级别严格。
