HAWatcher: Semantics-Aware Anomaly Detection for Appified Smart Homes
Introduction
- 标准数据挖掘方法以事件日志为输入;然而,不知道如何以事件日志的形式表示不同的语义信息
- 来自智能应用程序的系统行为模式和从事件日志中挖掘的系统行为模式可能会发生冲突。识别和解决这些冲突具有挑战性
- 当智能应用程序发生变化时,没有有效的方法来相应地更新系统分析
Background
Motivation, Goals and Threat Model
IoT Device Malfunctions
- Faulty Events:故障事件是指物联网设备报告的错误值
- Ghost Commands
- Event Losses (or Large Delays)
- Command Failures:对应于物联网平台发布的目标设备无法执行的命令。命令故障可能是由网络部件或物理部件的故障引起的。
- Cyber-part
- Physical-part
Attacks on IoT Devices
- Fake Events:攻击者恶意注入的事件
- Fake Commands:攻击者向物联网设备注入虚假命令
- Event Interceptions
- Command Interceptions
- Compromised Devices
- Stealthy Commands
- Denial of Executions (DoE):当合法命令发送到设备时,不执行该命令但发送反馈事件,报告该命令已执行
Goals and Threat Model
- Goal
- IoT device malfunctions & attacks
- 只能检测违反相关性的攻击
- Assume
- IoT平台没有受损
- 训练期间没有或者只有很少的异常
- Smart app没有恶意或者冲突的规则
Correlations
Correlation Channels
- Smart App Channel:智能应用程序不仅直接导致触发器和编程操作之间的相关性,还意味着一些应该考虑的额外相关性。
- Physical Channel:两个设备可以通过特定的物理属性关联。
- User Activity Channel
Representation of Correlations
事件 E a α ( A ) \mathscr{E}_a^{\alpha(A)} Eaα(A) 表示设备 A A A的属性 α \alpha α应该被被变为值 a a a;状态 S b β ( B ) \mathscr{S}_b^{\beta(B)} Sbβ(B)表示设备