基于图模型的物联网设备攻击检测及响应处置关键技术的研究

The development of Internet of Things (IoT) technology provides a new way for penetration attacks while providing a better life experience. This project aims to address the security problems of IoT devices in the face of the challenges which are heterogeneity, limited computing performance and slow update. Considering the dynamic interaction of devices and their local centralized placement, this project proposes a security solution with graphical modeling and analysis for IoT devices behavior. Targeting on the smart home devices, this project tries to address the following three research questions: 1) From the perspectives of intra-device behavior and inter-device behavior, we study a monitoring system for smart home devices under different frameworks. Based on the information flow relationship between behavior objects, we propose a dynamic heterogeneous behavior graph model for the dynamic behavior relationship between behavior objects; 2) We measure the dynamic evolution process of heterogeneous behavior graphs, and study the graph embedding algorithm for the proposed dynamic heterogeneous behavior graph under the theory of graph neural networks. We study the semantic essence of penetration attack behavior under graph structure, and devise attack detection algorithm; 3) We study probabilistic inference algorithms under the probabilistic graphical model of dynamic heterogeneous behaviors of IoT devices. With the help of probabilistic inference, we conduct attack path tracing and diffusion analysis given some evidence of attack behavior. Thus, we are able to identify the complete attack path and improve the ability to the attack response.

物联网技术的发展在提供更优质生活体验的同时，为渗透攻击提供了新的途径。本项目针对物联网设备存在的安全问题，在设备异构性强、计算性能有限、更新换代慢的挑战下，结合设备动态交互性、区域集中自治性的特点，提出基于图模型的异构物联网设备行为协同式建模及分析的解决方案。本项目以智能家居环境下各类物联网设备为研究对象，重点研究了以下三个问题：1)从设备内行为和设备间交互行为两个角度，研究不同框架下的智能家居设备区域性的行为监控体系，以行为对象之间的信息流关系为基础，建立描述各类行为对象之间动态行为关系的动态异构行为图模型；2)分析异构行为图的动态演化过程，利用图神经网络理论，研究异构行为图的图嵌入算法，探索渗透控制攻击行为在图结构下的语义本质，研究攻击检测算法；3)研究异构行为概率图模型下的边缘概率推断算法，实现在给定部分攻击行为下的攻击路径溯源与扩散分析，定位完整攻击路径，提高攻击的响应处置能力。

针对物联网设备广泛使用过程中存在的安全问题，本项目通过建立面向物联网设备的行为时序异构图模型，研究物联网设备安全威胁的检测方案，重点研究设备协议缺陷、物联网僵尸网络追踪溯源、利用物联网设备的定向攻击检测等问题。. 本项目研究了通过对流量中暴露的协议缺陷进行模糊测试的方法，针对设备中可能存在的https数字证书校验缺陷，研发了缺陷发现系统，实现自动化地发现数字证书校验缺陷及触发条件的定位。系统发现约30%的移动互联网应用存在https数字证书校验缺陷的问题，为设备的数据传输带来了安全隐患。相关成果在Journal of Systems and Software期刊发表。目前，该系统已积累近万款移动应用程序的https数字证书校验缺陷。. 本项目研究了在僵尸网络和APT攻击中扮演重要角色的DNS隧道攻击，通过对DNS流量数据的研究分析，采用生成式模型解决真实环境下攻击流量的小样本问题，采用集成学习建立了针对加密DNS隧道有效的检测方法。相关成果已被IEEE ICC 2023录用。当前的实验结果显示出所提出模型的更优检测效果。后续将在真实的网络环境中部署实施，力争建立面向真实定向攻击的检测发现能力。. 本项目研究了针对异构时序图模型中的行为预测问题，对异构时序图模型开展时域、谱域分析，研究行为变化规律，基于行为频谱域的相似性及时域的连续性，开展行为预测。相关成果撰写的论文已发表在BigData2022。此外，本项目的相关研究成果申请国家发明专利6项，其中2项已授权。. 本项目研究的基于图模型的物联网僵尸网络及定向攻击检测模型，已在项目依托单位的真实网络环境下部署使用，日均发现受Blackmoon、Beastmode、StealthWorker、Miori、Mozi、Tusnami等活跃物联网僵尸网络感染的IP万余个，发现新增僵尸网络下载服务器数百个。该模型为中央及多地网信部门提供物联网僵尸网络及定向攻击的威胁发现能力，获得表彰奖励及感谢信。. 项目执行过程中培养网络空间安全方向博士生3人，硕士生2人，预计于2023年毕业。

内容获取失败，请点击重试