蜜罐式移動目標安全防御在物聯網中的應用

趙宇冰， 蔡建軍， 葛江瑜， 于光宗， 宋媛， 馬俊明

(國家電網甘肅省電力公司， 甘肅 蘭州 730000)

0 引言

物聯網由感知、監控、控制等多種功能的設備組成[1]。物聯網網關的功能是實現子網間的數據共享。此外，網關還負責收集數據并將其發送到云端。因此，這是最易受攻擊的設備[2]。如果攻擊者控制網關，他可以更改通信路徑、數據內容，甚至消除通信。因此，網關是需要最大安全性的設備[3]。

在傳統的安全技術中，靜態目標更容易受到攻擊[4]。因此，任何攻擊者都可能跟蹤和黑客用戶的數據。針對這一問題，提出了移動目標防御(Moving Target Defense，MTD)的概念，作為一種新的網絡防護方法。移動目標防御(MTD)部署各種機制和策略，這些機制和策略隨著時間的推移而變化，以壓制攻擊者[5-7]。

本文提出了一種新的基于蜜罐概念的MTD機制，旨在增強系統的免疫性。網關是網絡最重要的組成部分，它負責從連接到物聯網的其他設備收集數據并將數據發送到云端[8]。

1 問題提出

由于網絡傳輸數據的重要性，本文以醫院網絡為例。醫院網絡由大量的醫療器械和與互聯網相連的固定網關組成。網絡被分成許多子網。每個子網由分布在與最近的網關相連的同一區域的儀器和傳感器組成。這些網關通過互聯網共享收集的數據[9]。

患者的信息和醫療報告是非常私人的數據，應該加以保護。加密和密碼是最有用的安全技術[10]。這些技術可以防止數據被讀取，但不能保護網絡免受攻擊。網關是網絡中最脆弱的點。如果攻擊者成功控制這些網關中的任何一個，則相應的子網絡將關閉，如圖1所示。

圖1 沒有MTD機制的醫院網絡

因此，本文提出了一種MTD機制來保護網絡設備不受任何攻擊。鑒于物聯網的網絡結構，網關是網絡中最重要的組成部分。因此，在提出的機制中，網關將是主要的攻擊目標。

1.1 結合MTD的物聯網

本文為醫院的“H-app”提出了一個移動應用程序。此應用程序提供了許多鼓勵患者下載的功能。門診預約、發送輪班通知和發送醫療報告就是此類功能的示例。

在本文中充分利用現有的此類應用程序，手機的處理和通信能力實現隱藏的安全功能。本文的隱藏安全功能通過啟用網關多樣化來實現實時MTD。

編排器模塊“HIoT”是系統中最重要的部分； 它運行在云上，并與H-app合作實施擬議的MTD。本文提出的機制由HIoT模塊控制；它選擇一些移動設備作為網關，另一些作為傳感器。此類網關充當真正網關(MR)，該網關從不同的醫療儀器收集數據并將這些數據發送到云端。

此外，還會有一些其他選定的移動設備充當假網關(MF)，它們會與其他充當傳感器(MS)的手機連接。這些假網關和傳感器創建了連接到云的假子網絡(FNw)。這些假子網生成假流量，發送一些不重要的數據，比如早些時候發送到云端的舊數據，或者H-app生成的假數據，如圖2所示。

圖2 基于MTD機制的醫院網絡

圖2說明了真實/虛假流量如何混淆攻擊者并使跟蹤復雜化。

此外，HIoT依賴于網關之間工作負載的實時遷移。當前充當真實/虛假網關的下一個移動設備選擇將不同。

兩種網關和傳感器的選擇將取決于許多因素。這些因素包括移動設備的電池電量、用戶在醫院的平均停留時間(AST)以及移動設備與醫療器械之間的距離，這些將在后面進行說明。

2 系統設計

本文提出的系統除了在物聯網醫院網絡的固定網關之外，還利用患者的移動設備來保護網絡。該系統使用下載了“H-app”的患者手機。這種使用云進行身份驗證的應用方法基于數字標識(數字ID)。每個H-app用戶都有在云端注冊的數字ID。如果患者連接到醫院網絡，HIoT將使用其數字ID與用戶的移動設備配對。這限制了可以與網絡連接的人數。這是一個積極的觀點，因為它增加了網絡保護的程度，防止了最終的攻擊者。

此外，H-app還可以在用戶使用注冊功能時估計其平均停留時間(Average Staying Time，AST)。然后，應用程序發送移動電池電量和用戶的AST，以便在云端注冊其數字標識。

HIoT選擇一組隨機分布在醫院的手機“M”。所選手機的數量取決于醫院的容量；在大容量時，“M”將更大。此外，這組手機將是最低的“M”的AST。它保證系統將使用最多的手機。因此，系統效率將提高，具體將在后續章節展示。

HIoT模塊從選定的移動設備“M”集中選擇標記為傳感器、假網關和真網關的移動設備。根據一些因素，如用戶的AST、手機的電池電量、手機與醫療器械的距離等因素進行選擇。以下部分顯示了真實/虛假網關和傳感器選擇過程。

2.1 真網關的選擇

首先，HIoT選擇真網關作為所選移動設備“M”的最大電池電量，以保證到達用戶的數據將正確到達云端。除此之外，系統還選擇AST最小的手機。因此，可以開發更多的手機，從而提高系統效率。

為了降低功耗，HIoT選擇手機與儀器之間的平均距離最小的手機。在下一時刻，系統將丟棄第一個選擇的真實網關作為下一個真實網關。但是，它可以被重新用作為假網關或傳感器。

2.2 假網關的選擇

系統選擇電池電量最低的手機作為假網關。這樣的網關會創建到云端的假流量，以迷惑攻擊者。

此外，選擇具有最大AST的移動設備充當假網關。因此，系統可以在運行時的另一時刻選擇它作為真正的網關。這使本文提出的系統復雜化，并混淆了此類攻擊者。而且，移動設備和儀器之間的平均距離是最大的。

2.3 傳感器的選擇

選擇手機作為假傳感器的目的是創建假網絡來欺騙攻擊者并使系統跟蹤復雜化，如圖2所示。因此，所選集合“M”中的其余手機可能是假傳感器。

系統在同一集合“M”上重復前面的過程一段時間。之后，HIoT選擇其他移動設備集，并對真/假網關和傳感器重復相同的選擇過程。

此外，系統不會忽略網絡的固定網關，并將它們用作真實或假的網關。這種混亂會欺騙攻擊者，讓他們不知道哪個網關才是真正的網關。此外，系統將在下一時刻更改所選的真實網關，并可將其用作假傳感器或網關。盡管如此，作為假網關的選定移動設備可以連續使用多次。這種重復通常會增加成為真正網關的可能性。因此，這將欺騙那些可能攻擊假網關而不是真正作為蜜罐的真網關的攻擊者。

3 威脅模型

攻擊者經常攻擊系統以使其崩潰[11]?，F有的防御機制不能完全防止系統受到攻擊。

在本文中，假設有一個攻擊者存在，監控物聯網流量以查找發動攻擊的探測面。此攻擊者試圖識別物聯網傳感器和網關的身份和位置，以便竊聽、操作或攔截交換的數據。本文提出的機制使這個過程復雜化。通過將攻擊者與假物聯網流量混淆以隱藏真實流量。

此外，本文的系統還可以減輕DoS對網關的攻擊。提出的虛擬網關可以作為中繼器，使其非常復雜且難以跟蹤想要成功跟蹤的目標。

4 系統模型

為了評估HIoT系統的安全性和性能，本文假設有使用“H-app”應用程序的Mu患者。假設該系統包含可以用作假傳感器或真/假網關的Mu的手機。每個手機都會向HIoT模塊發送一些參數，如MID、Mbac，Mloc和AST等。除了基于手機的網絡之外，假設物聯網醫院網絡有N個固定網關。

這些網關的數量是固定的，并根據醫療器械的分布在醫院中分布。每個網關在同一區域連接一組儀器。

本文提出的系統選擇一組設備M，移動設備的數量M并不是固定不變的，而是根據醫院的容量而變化的，如式(1)。

M=[M1,M2,M3,…,Mu]

(1)

HIoT選擇最小的AST的M個移動設備來達到最大數量的設備，如式(2)。

∑ASTM=min ∑ASTMu

(2)

式中，ASTMu代表用戶平均停留時間。ASTM表示所選移動設備組的平均停留時間。這組移動設備分為三組：真網關組、假網關組和假傳感器。這個分組是根據Mbat，DM-GW和ASTM。以下部分說明了每個組的選擇過程。

4.1 真實網關

最小化所選移動設備(如實際網關和固定網關)之間的平均距離可表示為式(3)。

(3)

接下來，將選定的移動設備的電池電量最大化，使其像真實網關一樣工作，并最小化ASTMR如式(4)。

(4)

式中，ASTMR表示真網關平均停留時間。Mbat表示移動設備的電池電量。

4.2 假網關

最大化的充當假網關移動設備和固定網關之間的平均距離，如式(5)。

(5)

然后，最小化所選移動設備的電池電量如真實網關，并且最大化ASTMF，如式(6)。

(6)

式中，ASTMF表示假網關平均停留時間。

4.3 約束條件

要成為真正物聯網網關的選定移動設備數量必須等于固定網關的數量，如式(7)。

MR=N

(7)

在時間“t”處充當真實網關的移動設備將從下一個真實網關選擇中被消除。但是，系統可以選擇它作為假網關或傳感器，如式(8)。

MR|t+1≠MR|t

(8)

在“t+1”時充當假網關的移動設備在“t”時將相同，如式(9)。

MF|t+1=MF|t

(9)

為了增強系統的安全性，還有一個附加因素。 改組時間“T”。它代表使用同一組選定的設備“M”的頻率。改組時間如式(10)。

T=2t+1

(10)

由于HIoT會利用最大數量的用戶移動設備。因此，系統效率eff將提高，如式(11)。

(11)

系統所消耗的功率POWc為式(12)。

POWc=∑(SNR+PL+POWs)

(12)

式中，SNR表示信噪比；PL表示路徑損耗；POWs表示每個移動設備在選擇過程中使用的功率。

5 仿真實驗結果

本節中介紹了仿真結果，這些仿真結果評估了安全級別以及對系統性能的影響。這些結果根據混亂因子估計了HIoT機制的強度?；靵y因子反映了系統中的更改次數；網關選擇和改組時間的變化，如圖3所示。

圖3 運行期間每個時刻的混亂因子

圖3顯示了運行期間每次迭代中IoT網絡的更改次數。這表示每次事件都會導致混淆，使攻擊者無法確定通信的內容。

此外，本文的系統效率取決于用戶手機的使用率。如前所述，混亂因子顯示了系統中使用不同設備作為真正網關的變化次數。如圖4所示。

圖4 混亂加劇對系統效率的影響

增加使用的移動設備的數量導致網絡效率的提高。

另外，本文還研究了網絡變化對系統性能的影響。測量了以吞吐量表示的系統性能，該吞吐量說明了成功地從選定的真實網關移動到云端的數據量。

它反映了網絡變化對數據速率的影響，如圖5所示。

圖5 網絡變化對吞吐量的影響

圖5顯示了理想情況下的網絡吞吐量(僅使用固定網關)以及本文提出的方案的實際應用。

接收功率受許多因素的影響，如發射機和接收機之間的距離以及信號周圍的噪聲。

HIoT系統的功耗受多次迭代的影響，選擇合適的網關可以提高功耗，如圖6所示。

圖6 系統消耗的功率

與僅使用固定網關相比，使用移動目標系統時的功耗更高。但是，提出的系統可以保護網絡免受任何攻擊。相反，攻擊者可以在理想情況下(僅使用固定網關)輕松檢測到真實流量。

6 總結

本文提出HIoT作為一種移動目標防御機制，作為欺騙攻擊者的蜜罐。該系統由運行在云端的HIoT模塊控制和管理。通過依靠主要物聯網周邊的手機來創建一個虛擬物聯網作為欺騙手段。創建了真實的流量來承載真實的數據，而偽造的子網發送偽造的數據來復雜化攻擊目標的可追蹤性。仿真結果通過指示攻擊者引起的混亂程度來顯示本文的MTD機制的影響。此外，本文還評估了網絡變化對系統性能的影響。