notes
物联网威胁的概述
威胁现状
- 虽然当前已有面向物联网安全的综述研究, 但是专门对现有研究工作提出的攻击和检测防御 方案的总结分析较少
背景简介
感知层:感知层对应的是各类物联网设备。设备通过传 感器实时收集应用场景信息并发送给应用层,或接 收应用层指令并执行相应动作。设备的内部架构可 以分为硬件层、系统层、用户层。其中,硬件层包 括支持设备功能的各种硬件模组(如网络模组、传 感器模组等)、处理器、外围电路等;系统层装载 了固件程序,其中包括操作系统和应用程序,负责 设备功能的实现;用户层主要向用户提供展示数据 和接收输入的操作接口。
网络层对应的是设备之间,以及设备、云平台、 手机 App 这三类实体之间的通信。设备之间可以通 过 ZigBee、Z-Wave 等轻量级协议形成自组网络(如 工业设备网络、无人机集群);设备也可以经路由 器连接后形成局域网(如智能家居网络)。设备连 接路由器有 2 种形式:一是直接通过 Wi-Fi 连接; 二是通过 ZigBee、Z-Wave 等协议与网关设备(如 hub)连接后,再经网关通过 Wi-Fi 与路由器通信。 实体之间通信分为 3 种类型:1) 设备与 App 通信,设备既可以通过蓝牙直接连接手机(如可穿 戴设备、车载系统网络),也可以通过局域网 Wi-Fi 与手机通信(如智能家居网络);2) 设备与云平台 通信,设备依靠路由器转发请求和接收响应,而路 由器与云平台的通信主要由传统 TCP/IP 网络架构 实现;3) 手机与云平台通信:手机 App 可以通过 4G/5G 网络或局域网 Wi-Fi 连接云平台。
应用层对应的主要是云平台和手机 App。云平 台主要由厂商在云端部署的各类应用服务组成,负责管理设备和用户,对设备收集的数据进行处理, 或向设备发送远程控制命令。根据云平台提供的功 能,可以将其分为设备接入平台、服务联动平台、 语音助手平台 3 种。设备接入平台提供了实际的设 备接入和管理功能,如 Samsung SmartThings、 Google Home、Philips Hue、小米米家等;服务联动 平台并没有连接真实的设备,而是将其他平台的功 能连接起来,提供“条件−动作”自动执行规则服 务,如 IFTTT 平台等;语音助手平台通过智能音箱 向用户提供语音控制服务,用户发出的语音命令经 语音平台处理后可以与其他控制设备的功能或服 务连接到一起,如 Amazon Alexa 等。另外,不同 云平台之间也可以在授权后,通过互相调用 API (application programming interface)执行设备控制。 手机 App 可看作云平台向用户提供的控制终端,主 要用于向用户提供设备相关的功能界面,可以直观 展示设备状态,或者执行控制命令。
八类漏洞
!:通信流量测信道信息泄露
检测: 基于侧信道的设备异常检测 受到攻击的设备除了内部功能受到影响之外, 其外在的各类侧信道特征也会表现出异常,因此可 以利用此特点进行设备的异常检测。 首先,设备与网络交互过程中产生的流量可以 反映设备内部的行为,所以可以通过提取流量特征 来检测设备的状态。一方面,可以提取流量中未加 密的头部信息识别异常设备[73-75]。例如,Yu 等[74] 基于设备通信中常见的广播和多播协议,将协议特 征看作设备整体特征的一种视图,然后基于多视图 学习算法进行设备签名,可以在具有大量设备的复 杂环境中准确识别异常或伪造的设备。另一方面, 可以提取加密流量的统计特征,如数据包长度、时 间戳等。Zhang 等[75]利用 ZigBee 和 Z-Wave 协议的 流量特征设计了识别 SmartThings 平台设备行为系 统,可以通过流量判断设备是否出现异常行为。 其次,设备工作过程中表现出的外在物理特 征,如电量、电压、速度、重力、方向等,也可以 反映设备的运行状态,部分研究基于物理特征实现 设备异常检测[76-78]。例如,Choi 等[78]对无人机和地 面探测器提取控制时的设备参数、物理运动数值、底层控制算法等数据作为正常运行标准,任何偏离 标准的微小偏差都被视为异常,以此检测来自物理 或网络的攻击。 此外,有部分研究基于邻近的设备或传感器对 于活动发生时的物理环境感知应具有上下文一致 性这一特点,将邻近设备的状态和动作数据作为特 征进行恶意行为识别[79-80]。例如,Birnbach 等[79]基 于智能家居环境中多个传感器对同一事件的感知 数据集合作为签名,可以检测出由于传感器故障或 攻击者造成的欺骗事件。
防御手段:
为了应对形式多样的通信流量侧信道分析,部 分研究关注如何隐藏流量特征。流量特征推理主 要是提取流量中的头部特征和统计特征,所以对 应的防御方案是消除这 2 种特征与设备和活动的 对应关系。 对于头部特征,主要目标是在不影响流量转发 和不改变负载数据的基础上进行头部信息的再次 封装,令攻击者无法获得有意义的头部信息。例如, 通过DNS加密技术阻止对网络请求目标的分析[30]; 通过隧道转发技术将设备与云服务之间的通信转 换为 VPN 节点之间的通信,间接阻止了对设备的 识别和行为推理[33,75]。对于统计特征,主要目标是 在不破坏正常功能的前提下,改变流量的整体特征。例如,在正常通信过程中注入欺骗流量妨碍窃 听者对真实设备和活动的识别[32];或采用流量塑形 技术,通过增加发送时延或注入无关流量来降低或 提高单位时间内的通信速率,改变流量传输曲线的 形状,以混淆攻击者对行为的提取