基于漏洞的边缘设备在物联网中的风险评估和缓解策略

子不语zzh

已于 2023-07-27 17:23:39 修改

阅读量108

点赞数

分类专栏：割集文章标签：图论安全算法

于 2023-07-27 17:20:43 首次发布

割集专栏收录该内容

7 篇文章 1 订阅

订阅专栏

基于漏洞的边缘设备在物联网中的风险评估和缓解策略

节选《Vulnerability-based risk assessment and mitigation strategies for edge devices in the Internet of Things》第6节

申明
版权归原文作者及出版单位所有，如有侵权请联系删除。

摘要

边缘计算构想通过一组靠近数据源的边缘设备进行分布式的去中心化数据处理，以提高网络延迟和带宽利用率。然而，由于边缘设备处理了可以经常控制系统性能的重要参数，它们成为攻击者的目标。在这项工作中，我们解决了物联网生态系统中边缘设备的安全问题，这是因为网络设备存在漏洞。我们提出了一个用于风险评估的多攻击者多目标图形模型，表示网络中的攻击者、目标和漏洞关系。此外，我们提出了用于保护边缘设备的风险缓解策略。

6.用于隔离边缘计算设备的算法

在物联网场景下，加固网络中存在的所有漏洞几乎是用来保护网络不可能的解决方案，这是因为在第1节中讨论的原因。因此，我们应该探索其他策略来保护我们的网络免受攻击。在这些替代方案中，一种相当合理的策略是加固网络设备中足够但较少的一组漏洞，以消除攻击者到目标边缘设备的所有攻击路径。在本节中，我们提出了一个称为攻击者-目标最小割（A-T Min Cut）算法的随机算法，用于找到这样一组要被消除(减少)的漏洞。设 $G = (V, E)$ 为与易受攻击网络 $（M、A、T、\Delta）$ 相关的漏洞图。我们的算法将漏洞图 $G$ 作为输入，并产生一个最小割集，其移除可以将攻击者和目标在 $G$ 内分隔。

算法从将被标识的攻击者和目标分别标记为红色和蓝色开始。然后，算法在随机选择的边上进行迭代，将所选择边的收缩，并采用精心设计的步骤进行颜色分配。一旦收缩后的图只剩下两个超点(super-nodes)，算法停止。获得的红色和蓝色节点定义了图的划分，跨越划分的边被包含在 $A - T$ 割集中。算法2描述了 $A-T\ \ Min\ \ Cut$ 算法。

引理6.1.算法返回三元组 $(R, B, F)$ 当且仅当算法未收缩任何跨越 $A - T$ 割 $(R, B)$ 的边。
(译者注：这个定理的意思就是想要得到正确结果，要求每次缩边不会选到客观存在的那个最小边割集里面的边)

证明：
$\Longleftarrow$ 当部分(if part)
假设算法未收缩任何跨越割 (R, B) 的边缘。考虑割 (R, B) 分散在不同划分的两个节点。在执行算法的过程中，如果将这两个节点合并为一个节点，则存在一条从其中一个顶点到另一个顶点的路径，该路径已经收缩过。不难看出，任何这样的路径都必须跨越割 (R, B)，因为这两个节点位于割 (R, B) 的两侧。这与算法未收缩任何跨越割 (R, B) 的边缘的事实相矛盾。

$\Longrightarrow$ 且仅当部分(only if part)
假设算法返回三元组 (R, B, F)。假设某个跨越此割的边缘被算法收缩。然后很明显，作为收缩步骤的结果生成的超级节点必定在 R 或 B 中存在，因此算法不能返回割 (R, B)，这是一个收缩。 □

引理6.2. 收缩图中的 $A - T$ 割对应于原始漏洞图中相同大小的 $A - T$ 割。

证明：设 $H$ 是收缩图， $C^{'}$ 是 $H$ 的 $A - T$ 割。现在，通过用由超点(super-nodes)所代表的节点所张成的 $G$ 的子图替换 $C^{'}$ 中的每个超级节点，我们可以得到原始图中的 $A - T$ 割。很明显，给定的漏洞图中对应的 $A - T$ 割的大小至少与 $C^{'}$ 的大小相同。

此外， $G$ 中对应的 $A - T$ 割的大小不能超过 $C^{'}$ 的大小。这是因为如果 $G$ 中的 $A - T$ 割大小超过 $C^{'}$ 的大小，那么很明显，在算法执行的过程中， $G$ 的一个或多个 $A - T$ 割边缘将被收缩。在这种情况下，连接每个被收缩节点的两个节点将合并为一个节点，因此用之前所说的对应的子图替换这样的超级节点不会产生跨越割的边缘，这是一个矛盾。因此，我们断言两个割的大小必须相同。□

很明显，找到给定图 $G$ 的 $A-T\ \ Min\ \ Cut$ 的解并不是唯一的，因为可能存在多个大小相同的割集。其中的优势在于安全分析师可以选择最适合基础网络限制的解决方案，以确保边缘设备的安全性。
在这里插入图片描述

6.1 A-T Min Cut算法的分析

6.1.1. 概率分析

在本节中，我们估计我们的算法在找到确切的A-T Min Cut上的效果如何。我们的估计是基于算法能够找到给定漏洞图的确切A-T Min Cut的概率。
定理6.1. 如果 $\lambda$ 表示 $A-T\ \ Min\ \ Cut$ 算法产生给定漏洞图 $G = (V, E)$ 的确切
$A-T\ \ Min\ \ Cut$ 的事件，那么

$\frac{k}{m-n+3})^{n-2} ≤ P(λ) ≤ (\frac{m-n+3}{m})^k$ ,

其中 $n = ∣ V ∣$ ， $m = ∣ E ∣$ ， $k$ 是确切的 $A-T\ \ Min\ \ Cut$ 的大小。

证明：设 $C_{AT}$ 为 $G$ 的 $A-T\ \ Min\ \ Cut$ 。令 $\lambda_i$ 表示在第 $i$ 次迭代中，对于收缩过程中没有选择 $C_{AT}$ 中任何边的事件。很容易得到
$P(λ^¯_1)= \frac{k}{m}$ ，
因此
$P(λ_1) = 1 − \frac{k}{m}$ $\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ (11)$
令 $H$ 为第 $i$ 次迭代开始时的收缩图。不难看出，在 $A-T\ \ Min\ \ Cut$ 算法的第5步的 $w hi l e$ 循环的任何一次迭代中不进行缩边的唯一可能性是边缘 $(u, v)$ 满足以下条件： $u$ 或 $v$ 中的一个被标记为红色，而另一个被标记为蓝色。此外，头部或尾部被标记为红色的边和头部或尾部被标记为蓝色的边属于 $A-T\ \ Min\ \ Cut CAT$ 。因此，事件 $λ_i | λ_{i−1}, λ_{i−2}, . . . , λ_1$ 具有以下特性。

头部或尾部被标记为红色的边和头部或尾部被标记为蓝色的边在当前和先前的迭代中都不会被选择。
在所有前面的迭代中都会发生精确的一次边收缩。
当算法的第 $i$ 次迭代开始时，收缩图 $H$ 恰好包含 $m - i + 1$ 条边。

因此，
$P(λ^¯_i|λ_{i−1}, λ_{i−2}...λ_1) = \frac{k}{m − i + 1}$
因此
$P(λ_i|λ_{i−1}, λ_{i−2}...λ_1) = 1 − \frac{k}{m − i + 1}$
由于 $\lambda$ 对应于在 $G$ 中获得精确的 $A-T\ \ Min\ \ Cut$ 的事件，根据引理6.1可知，在事件 $\lambda$ 中，没有选择 $C_{AT}$ 中的任何边进行收缩。然后,
$P(\lambda) = ∏\limits^{n−2}_{i=2} P(λ_i|λ_{i−1},λ_{i−2}...λ_1).P(λ_1)$
$\ \ \ \ \ \ \ \ \ \ = ∏\limits^{n−2}_{i=2} (1 −\frac{k}{m − i + 1} ).(1 − \frac{k}{m} )$
$\ \ \ \ \ \ \ \ \ \ = (1 − \frac{k}{m − (n − 3)} )(1 − \frac{k}{m − (n − 4)} ) . . .(1 − \frac{k}{m − 1} )(1 − \frac{k}{m} )$
因此，
$\frac{k}{m} ).(1 − \frac{k}{m − 1} )(1 − \frac{k}{m − 2} ) . . . (1 − \frac{k}{m − n + 3 })$ $\ \ \ \ \ \ \ \ \ \ \ \ \ \ (12)$

$P (λ)$ 的下界为 $\frac{k}{m − n + 3} )^{n−2}$ $\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ (13)$

$P (λ)$ 的上界可以通过以下方式得到。根据式（12），我们有

$e^{\frac{−k}{m}} e^{\frac{−k}{m−1}}e^{\frac{−k}{m−2}} ...e^{\frac{−k}{m−n+3}}$

$e^{−k( \frac{1}{m−n+3}+ \frac{1}{m−n+4}+··· \frac{1}{m} )}$

$e^{−k . ∫ ^m_{m−n+3} \frac{1}{x} dx}$

$e^{k . ln(\frac{ m − n + 3 }{m})}$

因此 $\frac{m − n + 3} {m} )^k$ $\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ (14)$

6.1.2. 概率放大

假设我们的算法执行了 $q$ 次。根据式（13），我们可以看出未获得 $A-T\ \ Min\ \ Cut$ 的概率最多为 $(\frac{k}{m−n+3})^{n−2}))^q$ 。因此，设置
$\frac{1}{(1−(\frac{k}{m−n+3})^{n−2})}ln n⌉$
并运行算法 $q$ 次，我们可以看出未获得 $A-T\ \ Min\ \ Cut$ 的概率降低到以下水
$(1−(1−(\frac{k}{m−n+3})^{n−2}))^{⌈\frac{1}{(1−(\frac{k}{m−n+3})^{n−2})}ln n⌉}≤ (\frac{1}{e})^{ln n} = (\frac{1}{n})$
因此，运行算法
$\frac{1}{(1−(\frac{k}{m−n+3})^{n−2})}ln n⌉$ 次并选择最小大小的 $A - T$ 割集，有很高的概率产生所需的 $A-T\ \ Min\ \ Cut$ 。
我们可以得出 $k \leq min (rδ, l δ)$ 的结论，其中 $δ = max\{degree(u) |u ∈ A ∪ T \}$ ，可以用此值找到k的近似值。

6.1.3. 复杂性分析

如果输入的漏洞图以邻接矩阵或邻接表的形式实现，我们可以看出 $A-T\ \ Min\ \ Cut$ 算法的一次完整执行需要 $O(n^2)$ 的时间。因此，运行算法 $\frac{1}{(1−(\frac{k}{m−n+3})^{n−2})}ln n⌉$ 次，总的复杂性为 $O(qn^2)$ 。

根据式（13）和式（14），定理得证。□

评述：
[1] George G , Thampi S M .Vulnerability-based risk assessment and mitigation strategies for edge devices in the Internet of Things[J].Pervasive and Mobile Computing, 2019, 59:101068.DOI:10.1016/j.pmcj.2019.101068.
[2]类似于Karger的方法，Karger证明
$P\{all fail\}\leq (e^{-\frac{1}{n^{2}}} )^{n^{2}}=\frac{1}{ e }$