今天给大家推荐的论文是来自DSN 2023的IoT Anomaly Detection Via Device Interaction Graph,第一作者是香港中文大学ansrLab的王锦程。本文与来自华中科技大学的袁斌老师合作完成。
智能家庭作为最受欢迎的物联网应用之一,在过去几年中得到了显著普及。根据Statista的预测,到2025年,将有超过4亿个物联网设备部署在智能家庭中。除大规模部署这一特点,这些设备还通过用户行为习惯,物理频道(如温度),以及自动化程序等彼此交互。这些交互使得家中一个设备状态的变化往往会影响到其他设备的状态。
尽管IoT设备为人类生产生活提供了极大地便利,人们对其安全性的担忧也越来越多。首先,物联网设备的安全防护通常较差,攻击者可以轻易操控用户的设备状态,威胁到用户的日常生活。例如通过通信协议漏洞,攻击者可以轻易在夜间打开用户的智能门锁,潜入家中;其次,由于物联网设备之间的广泛交互,任何设备的异常行为都可能传播,影响到其他设备。例如攻击者可以通过控制操控用户的智能灯泡,触发用户部署的自动程序“当客厅灯光打开时,打开屋中的加热器”,最终影响加热器的状态。
遗憾的是,物联网设备公司并未提供任何设备异常检测的功能,即检索设备日志并报告可疑设备行为。虽然学者们提出了各种异常检测算法,但它们对物联网设备异常的检测准确性却不尽人意,其原因如下。(1)异常检测系统的运行依赖于对设备正常工作状态的理解。目前研究缺乏针对“在什么情境下设备状态变化是符合用户预期的”这一关键问题的答案。(2)由于设备间的高度交互,单个设备的异常会沿着交互链传播,影响到许多设备,而目前研究也缺乏对异常传播的追踪。最后,(3)如何对检测到的异常进行解释和根因追踪也是一个悬而未决的难题。
为解决第一个难题,作者首先提出利用设备间广泛交互这一特性,来刻画描述设备正常工作的情景。例如,用户每日的家中运动轨迹创建了客厅和卧室中运动传感器的交互,即用户必须先经过客厅才能到达卧室。对于偷盗者入侵行为(如通过窗户潜入卧室),由于客厅传感器状态并未变化,其入侵行为导致的卧室传感器变化将被视为异常,而入侵行为也得以检测。接下来需要用数学语言来描述设备间的交互,作者创新性地提出利用“因果关系”来对设备间交互进行刻画。因果关系作为一种更严格的统计语言,它更符合人们对设备交互的理解,即“前置设备状态的变化会影响后置设备状态的变化”。最后,作者提出了“设备交互图”这一概念,并提出了一个新的因果发现算法TemporalPC用于设备交互图的构建。
为解决第二和第三个难题,作者首先利用设备交互图,正式定义了两类设备异常:上下文异常和集合异常。上下文异常用于刻画攻击者恶意控制造成的设备无授权行为。由于攻击者的恶意控制是随机发生的,这类异常的特点是缺乏上下文(如客厅传感器状态未改变),隐蔽性高;集合异常则刻画了由于上下文异常触发的交互链执行,从而引发的一系列设备状态的变化。例如由于攻击者对智能灯泡的恶意控制(上下文异常),其触发了用户部署的自动程序的执行,最终被自动程序打开的加热器则是集合异常。其次,作者结合设备交互图,提出了一个异常检测算法k-Sequence。该算法可以实时监测用户家中发生的两类异常,并将所有受影响的设备汇报给用户。最终,由于设备交互图描述了交互链和异常传播方向,对每一个检测的异常,作者的检测算法同样输出了其前置异常设备节点,为用户提供了异常解释和根因追踪服务。
为验证方法的有效性,作者使用真实世界的智能家庭设备日志来进行两方面的评估:交互挖掘和异常检测。实验结果表明,TemporalPC算法可以准确识别智能家庭中97.0%的设备交互,同时误报率仅在4.1%。在异常检测方面,作者首先模拟了四类上下文异常(传感器故障,家庭入侵,远程控制,恶意自动程序)和三类集合异常(家庭盗窃,非法设备操作,连锁自动程序)。实验结果表明,k-Sequence算法成功检测了96.8%的上下文异常以及91.9%的集合异常。其针对下文异常的检测准确性超过目前主流的异常检测算法,同时作者提出的算法也是目前唯一能检测集合异常的方法。
论文链接:https://www.jcwang.me/iot-ad.pdf
投稿作者介绍:
个人主页:https://www.jcwang.me/
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-06-15
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论