物联网的发展促使其在智能家居、智慧城市等领域的应用,这也助推了其指数级的增长。然而,在这一发展的同时,物联网网络的安全挑战也在增加,如僵尸网络攻击,往往以网络异常的形式出现。同样,由于物联网网络中的设备具有低资源的特点,提供安全解决方案也面临着挑战。为了克服这些挑战,雾计算范式提供了一个有利环境,为部署安全解决方案(如异常缓解方案)提供了额外的资源。
相关论文以题为“An Anomaly Mitigation Framework for IoT Using Fog Computing”与2020年9月24日发表在《Electronics》上。
近段时间以来,物联网设备的大量涌现及其在研究人员生活的各个方面的应用,如智慧城市、智慧健康、智能家居等,为研究人员带来了诸多好处。物联网网络正在经历巨大的增长,预计到2020年底,这些设备的数量将达到500亿左右。这种增长伴随着很多挑战。一方面,主要的挑战是这些联网设备的安全问题,这些设备受到的攻击越来越多。另一方面,缺乏足够的资源(存储和计算),这是物联网设备的特点,这些资源对于部署网络异常缓解等安全解决方案至关重要,通常由入侵检测系统(IDS)在物联网网络上执行。
在本文中,研究人员提出了一个使用雾计算的物联网混合异常缓解框架,以确保更快和更准确的异常检测。该框架在其两个模块中分别采用了基于签署 和基于异常的检测方法。基于签署 的模块利用攻击源数据库(黑名单IP地址),确保当攻击从黑名单IP地址执行时,能更快的检测到;而基于异常的模块则采用极端梯度提升算法,将网络流量准确的划分为正常或异常。研究人员利用一个基于物联网的数据集对这两个模块的性能进行了评估,分别是基于签署 的模块的响应时间和基于异常的模块的二元分类和多类分类的准确性。
结果显示,基于签署 的模块在每个评估的实例数量上,实现了比基于异常的模块至少快6倍的快速攻击检测。使用XGBoost分类器的基于异常的模块检测攻击的准确率为99%,二进制和多类分类的平均召回率、平均精度和平均F1得分至少为97%。
雾计算
雾计算是设想的一种分布式计算模式;它将应用服务、存储、计算以及数据移动到网络边缘的用户附近。这有助于通过降低延迟和带宽使用,为应用提供快速响应。此外,雾通过其部署提供了可扩展性和可用性。雾计算的这些特性非常适合为物联网设备提供所需的帮助,这些设备的特点是缺乏足够的存储和计算资源。
对于物联网网络的部署,雾计算采用三层架构,由云层、雾节点层和物联网设备层组成,如图1所示。雾节点层位于云层和物联网设备层之间。它包括路由器或网关、交换机、基站、服务器或专用计算机系统等节点。它作为云层的补充,执行所需的计算、存储和其他传统由云完成的服务。它在物联网设备层中接收来自物联网设备的数据,并在不使用云的情况下执行用户所需的处理。云层由高端服务器组成,它承载着不同的物联网应用。它作为应用程序的通用管理器。
图1.雾计算架构。
因此,在物联网中可以采用雾计算范式来有效承载异常缓解框架。这样就可以在靠近物联网设备的地方进行有效的攻击检测。此外,还可以减轻异常缓解方案对物联网设备的操作要求,保证物联网设备的高效运行。
拟议框架
本节介绍了所提出的框架、雾计算框架的应用和异常缓解的用例,并对框架中采用的组件进行了简要描述。
为了缓解物联网网络中的僵尸网络攻击等异常情况,研究人员提出了一个使用雾计算范式的混合框架,如图2所示。利用雾计算范式来弥补物联网网络中资源不足的问题。它消除了资源受限的物联网设备在异常缓解中的计算开销和其他相关操作要求的负担。该框架采用了两个模块,分别是基于签署 的IDS模块和基于异常的IDS模块,如图2所示。这些模块分别利用黑名单IP地址数据库和极端梯度提升分类器对基于签署 的模块和基于异常的模块进行检测。这是为了使检测模块发挥各自的优势。基于签署 的模块将通过其源头保证对已知攻击100%的检测准确率,而基于异常的模块将以满意的准确率检测零日攻击。因此,该框架确保了物联网网络的安全。
图2. 拟议的框架。
给出网络流量为x,已知攻击(黑名单IP地址)的签署 为d,正常流量为N,异常流量为A。
首先,网络流量x经过第一个模块,即基于签署 的检测模块。将流量x的IP地址与该模块数据库中存储的d进行扫描。如果xϵd,则x被阻止/删除,并产生警报并发送给管理员。否则,流量被转发到第二个模块,即基于异常的检测模块。
异常检测模块将网络流量x划分为N或A,如果x被划分为A,则模块对x进行阻断/删除,然后产生告警并发送给管理员。最后,在基于签署 的检测模块的数据库中更新A的签署 (IP地址)。否则,允许x通过。该框架的操作流程如图3所示。
图3.拟议框架的操作流程图。
结论
雾计算与物联网的结合,为部署异常缓解方案解决僵尸网络攻击等安全难题提供了一个高效的平台。本文提出了一种利用雾计算的物联网混合型异常缓解框架,以确保更快、更准确的异常检测。该框架采用了两个模块,即基于签署 和基于异常的模块。基于签署 的模块采用IP黑名单来保证更快的攻击检测,而基于异常的模块则采用极端梯度提升算法将网络流量分为正常或异常。IP黑名单会根据异常模块检测到的攻击源进行更新,以确保当这些攻击再次执行时能够快速检测。研究人员使用BoT-IoT数据集对提出的模块进行了评估。
结果显示,在100、1000和10000个网络流量实例上,基于签署 的模块比基于异常的模块分别快19倍、12倍和6倍。
这些结果表明,基于签署的模块比基于异常的模块检测攻击更快。同样,基于异常值的模块可以检测不同类型的攻击,并且性能令人满意。作为未来的工作,研究人员打算探索僵尸网络攻击的其他特征,为研究人员的框架创建额外的签署。
论文链接: