物联网(IoT)设备简化了日常工作并使之自动化,但它们也带来了巨大的安全漏洞。目前的安全措施不足,使物联网成为侵入安全基础设施的最薄弱环节之一,可能会产生严重的后果。因此,本论文的动机是需要开发和进一步加强新的机制,以加强物联网生态系统的整体安全基础设施。
为了估计一个中枢能够在多大程度上改善生态系统的整体安全,本论文提出了一个新型安全物联网中枢的设计和原型实现,包括各种内置的安全机制,满足适用于一系列设备的关键安全属性(如认证、保密性、访问控制)。在一个部署了流行网络攻击的智能家居物联网网络中,对该枢纽的有效性进行了评估。
为了进一步提高物联网环境的安全性,提出了开发一个三层入侵检测系统(IDS)的初步实验。IDS的目的是:1)对物联网设备进行分类,2)识别恶意或良性网络数据包,3)识别已经发生的攻击类型。为了支持分类实验,从一个智能家居测试平台上收集了真实的网络数据,其中有四种主要攻击类型的一系列网络攻击是针对设备的。
最后,针对对抗性机器学习(AML)攻击,进一步评估了IDS的稳健性。这种攻击可能通过生成对抗性样本来攻击模型,这些样本旨在利用预先训练好的模型的弱点,从而绕过检测器。本论文提出了第一个自动生成对抗性恶意DoS物联网网络数据包的方法。该分析进一步探讨了对抗性训练如何能够增强IDS的稳健性。
物联网(IoT)被定义为嵌入软件、传感器、执行器和网络连接的互连电子设备系统,使它们能够连接和交换数据[69]。智能设备,如可穿戴设备、家用电器、警报器和摄像系统,经常收集个人信息,并提供各种功能,使我们的日常活动和需求自动化并得到支持。因此,在过去的几年里,这类设备的普及率已经大大增加。这是由于它们的价格低廉,以及它们无处不在的连接性,使它们能够与其他技术沟通和交换信息,它们的智能和它们调用行动的决策能力[121]。这提供了无缝的用户体验,极大地提高了人们的日常生活,这种设备今天的突出地位就是证明。
智能设备的扩散不仅是在国内环境中,而且也是一个以知识为基础的互联世界发展的驱动力;我们的经济、社会、政府机器和关键国家基础设施(CNI)[182]。然而,尽管这些概念支持日常生活任务,但它们对信息通信技术(ICT)和物联网设备的依赖带来了严重的安全风险[64]。传统信息技术(IT)的安全协议和最佳实践已被充分理解和广泛采用,而物联网设备的安全却刚刚起步,很少有足够的安全保障。
针对物联网的网络攻击会导致灾难性的影响,包括个人信息泄露、硬件损坏、破坏系统的可用性、造成系统停电,甚至对个人造成人身伤害[63]。因此,对物联网网络进行的攻击的影响规模会因目标设备的不同而有很大差异。随后,鉴于物联网设备对我们的生活有直接影响,安全和隐私考虑必须成为一个高度优先事项[95]。
使得物联网设备容易受到网络攻击的两个主要原因包括它们在计算能力方面的限制和它们的异质性。更具体地说,对于计算能力、内存、无线电带宽和电池资源有限的物联网设备来说,执行计算密集型和延迟敏感型的安全任务,产生沉重的计算和通信负载,通常是不可行的[208]。因此,它不可能采用复杂和强大的安全措施。此外,物联网设备在硬件、软件和协议方面的异质性[62],对开发和部署能够承受设备规模和范围的安全机制构成了巨大挑战[62]。因此,很明显,在安全要求和目前可用的物联网设备的安全能力之间存在着巨大的差距。
尽管物联网被认为是下一次 "技术革命"[97],它正在改变我们作为个人、经济实体和政府组织与物理世界的互动方式,但这种技术伴随着巨大的安全缺陷[209, 106, 218, 117]。
一些成熟的企业和组织[21,30]已经证明,物联网设备存在一系列的安全缺陷,包括心脏出血、中间人(MITM)、拒绝服务(DoS)、数据泄漏、弱口令等[63,30]。此外,物联网设备最近被用作僵尸网络的一部分,如Mirai,并发起了几个最大的分布式拒绝服务(DDoS)和垃圾邮件攻击[123]。
因此,本论文的研究是由主要的原则问题驱动的:鉴于这类设备的不安全性,以及它们通常深深嵌入网络,物联网可以被认为是闯入安全基础设施的 "最薄弱环节"。因此,这些设备是有吸引力的网络攻击目标。因此,非常需要开发新的安全机制,这些机制可以跨越许多不同的范式,不仅可以改善物联网对一系列网络攻击的防御,还可以检测这些攻击,并随后从物联网网络中缓解这些攻击。
为了提高物联网设备的安全性,一些研究集中于实现特定的个体安全目标,如认证、保密性、完整性和访问控制[219, 125, 132, 161, 213, 138]。然而,由于它们的异质性,将这些安全机制以统一的方式应用于一系列物联网设备可能是一种挑战。物联网中心是目前最流行的物联网管理模式之一[215]。一些研究提出了这样的中枢来解决物联网环境中的异质性问题[176, 147, 101, 167, 58, 107]。然而,这些方法主要侧重于处理由智能设备产生的大数据,试图克服其计算能力和可扩展性的限制,而不是增强生态系统的整体安全性。这些方法将在第三章中详细讨论。因此,这导致了第一个研究问题。
然而,尽管一个基础设施可能是安全的,但对手仍然会试图破坏其安全。在这种情况下,考虑旨在捕获这种入侵的监测和检测工具的实施也很重要。传统的IT安全机制包括一系列的工具,如防火墙和入侵检测系统(IDS),它们有助于监控网络。然而,由于其异质性和可扩展性,这些机制无法处理物联网部署和设备和/或供应商的限制[215, 203]。此外,由于物联网设备在网络深处运行,传统的周边防御措施是不够的,因为它们可以帮助阻止外部攻击,但往往不能防止来自内部设备或应用程序的攻击[99]。最后,随着物联网设备的数量成倍增加[106],未知的漏洞和威胁的数量也在增加,使得传统的基于签名的IDS系统失去了作用。
为了应对这些限制,目前的研究[60, 141, 145, 168, 80]集中在使用机器学习方法来开发专门用于物联网生态系统的更适应性强的IDS。然而,正如第四章中进一步讨论的那样,这种方法有一系列的局限性。更具体地说,这些系统仅限于一次检测一种类型的攻击,使用模拟网络数据进行评估,并且只关注检测网络活动是恶意的还是良性的。这可能意味着目前的IDS实现仅限于不现实的网络行为,并且对一系列的攻击没有效率。为了解决这些局限性,可以从一个有代表性的物联网智能家居网络中收集网络流量。这就引出了第二个研究问题。
此外,此类系统缺乏对设备类型分类和剖析的关注。以前关于设备分类的工作大多集中在区分设备是物联网还是非物联网,或者识别设备的具体供应商。这是通过使用统计流量特征来实现的,这些特征可以通过其他工具和软件来收集和提取。设备剖析是IDS的一个重要功能,主要有两个原因。首先,它允许识别网络中的资产。鉴于第一个原因,有可能检测到设备 "正常 "行为之外的异常情况,随后允许对这些设备采取反措施。在这种情况下,为了与RQ2保持一致,这导致了第三个研究问题。
然而,这种方法并不试图识别所发生的攻击的确切类型。这是一个关键的信息,可能会大大增加响应速度,从而通过启动适当的反措施来缓解攻击。如果没有这些信息,识别攻击的确切类型需要大量的人力,特别是在有大量设备的网络中[7]。这可能会导致反措施的延迟启动,并可能产生重大后果。这促使了第四个研究问题的提出。
随后,关注这三个方面并解决上述限制的物联网定制IDS的实施有可能大大增强生态系统的安全性。
考虑这种检测系统的稳健性也很重要。鉴于此类解决方案的普及,对手已经转向对抗性机器学习(AML)。这种技术允许围绕构成IDS基础的机器学习方法的漏洞被利用,随后允许对手绕过检测器。据我们所知,到目前为止,还没有类似的研究来调查物联网网络背景下的反洗钱的影响。然而,有几项研究探讨了反洗钱在电子邮件垃圾邮件分类器、恶意软件检测器和工业控制系统(ICS)中的应用[148, 221, 132, 222]。这促使了第五个研究问题的提出:
最后,研究可能有助于提高监督检测器对反洗钱攻击的鲁棒性的方法很重要。防御反洗钱攻击的一个流行方法是对抗性训练。这涉及到在原始训练集中包括一个对抗性样本的子集,并重新训练模型。这导致了第六个研究问题。
在上述第1.1节讨论的研究问题的激励下,本论文的总体目标是探索为物联网生态系统量身定做的安全机制如何增强其安全性。如前所述,家庭中的异质物联网设备引入了一个新的威胁载体,可能会产生严重的后果。因此,考虑到物联网的不同应用,不同供应商的多样性,以及它们的低计算能力,有必要创建一个框架,以适应和保障一系列不同设备的安全。在家庭内部署物联网的安全框架之后,同样重要的是实施机制来监测本地物联网网络的网络流量,以有效检测攻击。最后,通过对可能被掩盖的攻击进行评估,检查这些工具的稳健性是至关重要的,在保留安全性的同时增加信任和采用。克服异质性并能够统一应用一系列的安全机制,解决有效的安全监测解决方案的差距,并围绕这些安全解决方案的稳健性获得理解,所有这些都有助于研究结果;创造一个安全的物联网环境。
更具体地说,在这项工作中,提出了两个核心的新型安全机制;一个用于防御,一个用于检测物联网环境中的攻击。这两种机制对于创建一个更加强大和完整的安全模型是必不可少的。
为了解决本论文的总体目标,我们确定了以下关键目标:
1.分析围绕物联网环境中防御和检测攻击的最先进方法的文献,以确定当前方法的限制。
2.设计一个安全枢纽框架的原型,以抵御可能威胁智能家居网络的网络攻击。
3.设计并实现一个典型的物联网智能家居网络,使用传统的渗透测试方法来部署和评估拟议的中枢,该方法与贡献章中定义的攻击者的目标相一致。
4.确定为物联网环境定制的监督式IDS的关键要求。
5.使用从由一系列设备组成的典型物联网测试平台获得的真实网络数据,评估拟议IDS的可行性和性能。这种性能将使用标准的机器学习分类指标来衡量;精确度、召回率、F1分数。我们的目标是最大限度地提高这些指标,因为更高的数值对应着更好的分类性能。
6.进一步评估IDS对AML攻击的稳健性。这将通过开发一种方法来产生对抗性DoS数据包,并观察当这些数据包被提交给训练有素的监督机器学习模型时的分类性能指标来实现。
7.探讨对抗性训练在提高机器学习检测器对反洗钱攻击的鲁棒性方面的有效性。这将通过评估对抗性训练的性能来实现。
为了实现本文提出的研究目标,实验的范围是在智能家居物联网环境的背景下设计的。在这种情况下,对围绕智能家居的定义、其属性、包含在这种环境中的设备类型以及与这种设备的互动类型的文献进行了审查。这些将在每一章的测试平台部分(3.5.1和4.2)中详细讨论。
鉴于这项工作的技术性质,以及它对检测攻击和防御物联网环境的关注,我们采用了一种基于定量研究框架的经验方法。正如Rasinger[164]所指出的,定量研究是演绎性的;也就是说,研究问题是由先前的理论发展而来,然后在实证调查中被证明(或反证)。在回顾了相关的和可比较的文献之后(第2章),这里的研究方法结合了几个公认的定量方法的核心原则(例如[108, 201])。这包括查阅相关文献以寻找合适的研究方法,设计研究方法和策略以实现上述研究目标,设计和实施测试平台以促进实验工作(包括确定配置和与物联网设备通信所需的相关工具),收集相关数据(包括确定要测量的变量),分析这些数据,以及解释和展示结果。此外,与其进行以用户为中心的定性研究,不如为我们的测试平台的设计选择提供信息(见第3.5.1、4.2、4.3.1、3.2节),并通过与这些设备的互动来收集数据,以前关于智能家居网络配置、这些网络中的设备、以及这些设备的数量和互动的研究将被回顾并在相关情况下采用。图1.1说明了本论文所遵循的定量研究方法的图示,也是由[108]确定的。
以下步骤,如图1.2所示,描述了上述定量方法所遵循的确切步骤,用于构建本论文中提出的工作,重点是实现第1.2节中确定的研究目标。
1.研究的第一部分提出,需要理解枢纽结构的适用性,以统一确保智能家居网络中一系列异质设备的安全。这一点是通过以下方式实现的:
第1步和第2步:查阅相关文献,以确定现有安全物联网中枢的配置和设计,它们的局限性,传统智能家居网络的配置和设计,哪些智能家居设备和多少设备经常连接到这种网络,以及哪些网络攻击是对它们最有影响的威胁。
第3步:设计、配置和实施一个智能家居测试平台。
第4步和第5步:设计、配置和实现一个安全中枢。
第6步:通过使用无偏见的、行业标准的渗透测试方法,实现对拟议的中枢的验证。
渗透测试评估的结果提供了基本的理由,证明了中枢的设计在提高传统物联网智能家居网络上异构设备的安全性方面是成功的。
2.研究的第二部分提出,需要理解为检测物联网环境中的恶意行为而定制的监督式IDS的适用性。 这一点是通过以下方式实现的:
第1步、第2步和第3步:查阅相关文献,确定现有IDS的配置和设计及其局限性。
第4步:设计、配置和实现一个智能家居测试平台。
第5步:收集测试平台上的设备处于自然状态(包括与它们进行互动时)和受到攻击时的网络包数据。为了确定与设备的互动,查阅了以用户为中心的文献,以确定智能家居网络中的常见互动。
第6步:评估选定的最先进的监督分类器的性能。这种分类器的验证是通过交叉验证方法实现的,这是一种重新取样的方法,在不同的迭代中使用不同的数据部分来测试和训练一个模型,其目的是估计一个预测模型在实践中的准确性。此外,通过分析分类后的结果是如何重新分布的,来实现对表现最好的分类器的验证。这项调查提供了对类似设备和攻击类型之间是否发生任何频繁的错误分类的洞察力,或者反过来说,该模型能够以高精确度明显区分设备和攻击类型行为。
这一分析结果提供了基本的理由,证明了有监督的机器学习方法在识别恶意网络数据包方面的成功和高精确度。随后,这一结果提出了评估所提出的IDS对AML攻击的鲁棒性的需要。这一点是通过以下方式实现的。
步骤6a: 分析IDS在面对对抗性样本时的表现。这种分析的验证是通过比较IDS的原始分类性能与出现这种对抗性样本时的性能来实现的。
步骤6b:以类似的方式,分析模型在对抗性训练后的表现。这种分析的验证是通过将这种结果与先前的性能进行比较来实现的。
这一分析结果提供了基本信息,即拟议的监督式IDS对反洗钱攻击是脆弱的,以及对抗性训练在增强其稳健性方面的成功。
图1.1:本论文采用的定量研究方法的图示。
图1.2:详细说明本论文所遵循的定量方法的确切步骤的地图。
本文提出的四个主要研究贡献如下:
C1 作为对RQ1的回应,本贡献首次提出了物联网安全和异质感知中枢的设计和原型实现。拟议的中枢可以防御两种攻击者模型,这些模型考虑到了一些可能威胁物联网智能家居网络的最流行的攻击。为了防御这些类型的对手,该中枢包含了满足以下安全属性的内置安全机制:安全用户认证、安全访问控制、保密性、设备隐身和用户/攻击者行为监控。更具体地说,该中心使用可动态加载的附加模块与各种不同的物联网设备进行通信,提供基于策略的访问控制和安全认证,通过隐身限制本地物联网设备的暴露,并提供基于金丝雀功能的能力来监测攻击行为。
C2 为了解决RQ2、RQ3和RQ4的问题,本贡献包括调查如何利用监督机器学习算法来支持为物联网定制的新型三层IDS。该检测系统旨在 1)对连接在网络上的物联网设备进行分类,2)识别网络数据包是恶意的还是良性的,以及3)给定2)中的恶意数据包,识别所发生的攻击类型。据我们所知,到目前为止,还没有研究在这种情况下开发这种三维IDS。
C3 为了解决RQ5的问题,本贡献包括探索如何应用反洗钱技术来评估基于机器学习的物联网IDS的稳健性。建议的方法旨在展示操纵恶意网络数据包的特征如何迫使机器学习模型将恶意数据包错误地归类为良性,从而绕过检测器。
据我们所知,到目前为止,还没有类似的研究来调查物联网网络背景下反洗钱的影响。
C4 为了解决RQ6,本贡献包括调查如何利用对抗性训练来提高物联网的监督IDS的稳健性。
本论文提出的贡献形成并扩展了一些经同行评议的研究论文:
C1 Anthi, E., Ahmad, S., Rana, O., Theodorakopoulos, G. and Burnap, P., 2018. EclipseIoT。物联网的安全和适应性中心。Computers& Security, 78, pp.477-490. [62]
C2 Anthi, E., Williams, L., Słowi´nska, M., Theodorakopoulos, G. and Burnap, P., 2019. 智能家居物联网设备的监督性入侵检测系统。IEEE物联网杂志, 6(5), pp.9042-9053. [66]
C2 Anthi, E., Williams, L. and Burnap, P., 2018. 脉冲:物联网的自适应入侵检测。生活在物联网中。物联网的网络安全-2018。(pp. 1-4). IET. [64]
C3 & C4 Anthi, E., Williams, L., Javed, A. and Burnap, P., 2021. 硬化机器学习拒绝服务(DoS)防御措施,对抗物联网智能家居网络中的对抗性攻击。计算机与安全 [65]
以下同行评议的出版物对第2章中提供的文献回顾有所贡献:
Anthi, E., Javed, A., Rana, O. and Theodorakopoulos, G., 2017. 基于云的能源管理系统中的安全数据共享和分析。In Cloud Infrastructures, Services, and IoT Systems for Smart Cities (pp. 228-242). Springer. [63]
本论文的其余部分的大纲如下:
第2章 - 背景 - 介绍物联网和围绕此类系统的网络安全的主要挑战,以及它们所包含的主题和与本研究有关的关键概念。
第3章--物联网智能家居的安全和异质性感知中枢--介绍了物联网环境的新型安全中枢的架构。本章介绍了贡献C1。
第4章 - 用于物联网环境的监督式入侵检测系统 - 探讨如何利用监督式机器学习算法来支持为物联网定制的新型三层IDS。本章介绍了贡献C2。
第5章--物联网中机器学习网络安全防御的对抗性攻击--研究如何利用AML来评估监督性攻击检测器的稳健性,以及应用AML技术来增强其检测网络攻击的能力。本章介绍了贡献C3和C4。
第6章 - 结果和贡献 - 总结了本论文的研究贡献和发现。
第7章 - 结论和未来工作 - 对论文进行总结,讨论研究成果在现实世界中的实施情况,强调围绕这些机制的局限性,以及强调对未来工作的建议。