趙宇冰， 蔡建軍， 葛江瑜， 于光宗， 宋媛， 馬俊明

(國(guó)家電網(wǎng)甘肅省電力公司， 甘肅 蘭州 730000)

0 引言

物聯(lián)網(wǎng)由感知、監(jiān)控、控制等多種功能的設(shè)備組成[1]。物聯(lián)網(wǎng)網(wǎng)關(guān)的功能是實(shí)現(xiàn)子網(wǎng)間的數(shù)據(jù)共享。此外，網(wǎng)關(guān)還負(fù)責(zé)收集數(shù)據(jù)并將其發(fā)送到云端。因此，這是最易受攻擊的設(shè)備[2]。如果攻擊者控制網(wǎng)關(guān)，他可以更改通信路徑、數(shù)據(jù)內(nèi)容，甚至消除通信。因此，網(wǎng)關(guān)是需要最大安全性的設(shè)備[3]。

在傳統(tǒng)的安全技術(shù)中，靜態(tài)目標(biāo)更容易受到攻擊[4]。因此，任何攻擊者都可能跟蹤和黑客用戶的數(shù)據(jù)。針對(duì)這一問題，提出了移動(dòng)目標(biāo)防御(Moving Target Defense，MTD)的概念，作為一種新的網(wǎng)絡(luò)防護(hù)方法。移動(dòng)目標(biāo)防御(MTD)部署各種機(jī)制和策略，這些機(jī)制和策略隨著時(shí)間的推移而變化，以壓制攻擊者[5-7]。

本文提出了一種新的基于蜜罐概念的MTD機(jī)制，旨在增強(qiáng)系統(tǒng)的免疫性。網(wǎng)關(guān)是網(wǎng)絡(luò)最重要的組成部分，它負(fù)責(zé)從連接到物聯(lián)網(wǎng)的其他設(shè)備收集數(shù)據(jù)并將數(shù)據(jù)發(fā)送到云端[8]。

1 問題提出

由于網(wǎng)絡(luò)傳輸數(shù)據(jù)的重要性，本文以醫(yī)院網(wǎng)絡(luò)為例。醫(yī)院網(wǎng)絡(luò)由大量的醫(yī)療器械和與互聯(lián)網(wǎng)相連的固定網(wǎng)關(guān)組成。網(wǎng)絡(luò)被分成許多子網(wǎng)。每個(gè)子網(wǎng)由分布在與最近的網(wǎng)關(guān)相連的同一區(qū)域的儀器和傳感器組成。這些網(wǎng)關(guān)通過互聯(lián)網(wǎng)共享收集的數(shù)據(jù)[9]。

患者的信息和醫(yī)療報(bào)告是非常私人的數(shù)據(jù)，應(yīng)該加以保護(hù)。加密和密碼是最有用的安全技術(shù)[10]。這些技術(shù)可以防止數(shù)據(jù)被讀取，但不能保護(hù)網(wǎng)絡(luò)免受攻擊。網(wǎng)關(guān)是網(wǎng)絡(luò)中最脆弱的點(diǎn)。如果攻擊者成功控制這些網(wǎng)關(guān)中的任何一個(gè)，則相應(yīng)的子網(wǎng)絡(luò)將關(guān)閉，如圖1所示。

圖1 沒有MTD機(jī)制的醫(yī)院網(wǎng)絡(luò)

因此，本文提出了一種MTD機(jī)制來保護(hù)網(wǎng)絡(luò)設(shè)備不受任何攻擊。鑒于物聯(lián)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)關(guān)是網(wǎng)絡(luò)中最重要的組成部分。因此，在提出的機(jī)制中，網(wǎng)關(guān)將是主要的攻擊目標(biāo)。

1.1 結(jié)合MTD的物聯(lián)網(wǎng)

本文為醫(yī)院的“H-app”提出了一個(gè)移動(dòng)應(yīng)用程序。此應(yīng)用程序提供了許多鼓勵(lì)患者下載的功能。門診預(yù)約、發(fā)送輪班通知和發(fā)送醫(yī)療報(bào)告就是此類功能的示例。

在本文中充分利用現(xiàn)有的此類應(yīng)用程序，手機(jī)的處理和通信能力實(shí)現(xiàn)隱藏的安全功能。本文的隱藏安全功能通過啟用網(wǎng)關(guān)多樣化來實(shí)現(xiàn)實(shí)時(shí)MTD。

編排器模塊“HIoT”是系統(tǒng)中最重要的部分； 它運(yùn)行在云上，并與H-app合作實(shí)施擬議的MTD。本文提出的機(jī)制由HIoT模塊控制；它選擇一些移動(dòng)設(shè)備作為網(wǎng)關(guān)，另一些作為傳感器。此類網(wǎng)關(guān)充當(dāng)真正網(wǎng)關(guān)(MR)，該網(wǎng)關(guān)從不同的醫(yī)療儀器收集數(shù)據(jù)并將這些數(shù)據(jù)發(fā)送到云端。

此外，還會(huì)有一些其他選定的移動(dòng)設(shè)備充當(dāng)假網(wǎng)關(guān)(MF)，它們會(huì)與其他充當(dāng)傳感器(MS)的手機(jī)連接。這些假網(wǎng)關(guān)和傳感器創(chuàng)建了連接到云的假子網(wǎng)絡(luò)(FNw)。這些假子網(wǎng)生成假流量，發(fā)送一些不重要的數(shù)據(jù)，比如早些時(shí)候發(fā)送到云端的舊數(shù)據(jù)，或者H-app生成的假數(shù)據(jù)，如圖2所示。

圖2 基于MTD機(jī)制的醫(yī)院網(wǎng)絡(luò)

圖2說明了真實(shí)/虛假流量如何混淆攻擊者并使跟蹤復(fù)雜化。

此外，HIoT依賴于網(wǎng)關(guān)之間工作負(fù)載的實(shí)時(shí)遷移。當(dāng)前充當(dāng)真實(shí)/虛假網(wǎng)關(guān)的下一個(gè)移動(dòng)設(shè)備選擇將不同。

兩種網(wǎng)關(guān)和傳感器的選擇將取決于許多因素。這些因素包括移動(dòng)設(shè)備的電池電量、用戶在醫(yī)院的平均停留時(shí)間(AST)以及移動(dòng)設(shè)備與醫(yī)療器械之間的距離，這些將在后面進(jìn)行說明。

2 系統(tǒng)設(shè)計(jì)

本文提出的系統(tǒng)除了在物聯(lián)網(wǎng)醫(yī)院網(wǎng)絡(luò)的固定網(wǎng)關(guān)之外，還利用患者的移動(dòng)設(shè)備來保護(hù)網(wǎng)絡(luò)。該系統(tǒng)使用下載了“H-app”的患者手機(jī)。這種使用云進(jìn)行身份驗(yàn)證的應(yīng)用方法基于數(shù)字標(biāo)識(shí)(數(shù)字ID)。每個(gè)H-app用戶都有在云端注冊(cè)的數(shù)字ID。如果患者連接到醫(yī)院網(wǎng)絡(luò)，HIoT將使用其數(shù)字ID與用戶的移動(dòng)設(shè)備配對(duì)。這限制了可以與網(wǎng)絡(luò)連接的人數(shù)。這是一個(gè)積極的觀點(diǎn)，因?yàn)樗黾恿司W(wǎng)絡(luò)保護(hù)的程度，防止了最終的攻擊者。

此外，H-app還可以在用戶使用注冊(cè)功能時(shí)估計(jì)其平均停留時(shí)間(Average Staying Time，AST)。然后，應(yīng)用程序發(fā)送移動(dòng)電池電量和用戶的AST，以便在云端注冊(cè)其數(shù)字標(biāo)識(shí)。

HIoT選擇一組隨機(jī)分布在醫(yī)院的手機(jī)“M”。所選手機(jī)的數(shù)量取決于醫(yī)院的容量；在大容量時(shí)，“M”將更大。此外，這組手機(jī)將是最低的“M”的AST。它保證系統(tǒng)將使用最多的手機(jī)。因此，系統(tǒng)效率將提高，具體將在后續(xù)章節(jié)展示。

HIoT模塊從選定的移動(dòng)設(shè)備“M”集中選擇標(biāo)記為傳感器、假網(wǎng)關(guān)和真網(wǎng)關(guān)的移動(dòng)設(shè)備。根據(jù)一些因素，如用戶的AST、手機(jī)的電池電量、手機(jī)與醫(yī)療器械的距離等因素進(jìn)行選擇。以下部分顯示了真實(shí)/虛假網(wǎng)關(guān)和傳感器選擇過程。

2.1 真網(wǎng)關(guān)的選擇

首先，HIoT選擇真網(wǎng)關(guān)作為所選移動(dòng)設(shè)備“M”的最大電池電量，以保證到達(dá)用戶的數(shù)據(jù)將正確到達(dá)云端。除此之外，系統(tǒng)還選擇AST最小的手機(jī)。因此，可以開發(fā)更多的手機(jī)，從而提高系統(tǒng)效率。

為了降低功耗，HIoT選擇手機(jī)與儀器之間的平均距離最小的手機(jī)。在下一時(shí)刻，系統(tǒng)將丟棄第一個(gè)選擇的真實(shí)網(wǎng)關(guān)作為下一個(gè)真實(shí)網(wǎng)關(guān)。但是，它可以被重新用作為假網(wǎng)關(guān)或傳感器。

2.2 假網(wǎng)關(guān)的選擇

系統(tǒng)選擇電池電量最低的手機(jī)作為假網(wǎng)關(guān)。這樣的網(wǎng)關(guān)會(huì)創(chuàng)建到云端的假流量，以迷惑攻擊者。

此外，選擇具有最大AST的移動(dòng)設(shè)備充當(dāng)假網(wǎng)關(guān)。因此，系統(tǒng)可以在運(yùn)行時(shí)的另一時(shí)刻選擇它作為真正的網(wǎng)關(guān)。這使本文提出的系統(tǒng)復(fù)雜化，并混淆了此類攻擊者。而且，移動(dòng)設(shè)備和儀器之間的平均距離是最大的。

2.3 傳感器的選擇

選擇手機(jī)作為假傳感器的目的是創(chuàng)建假網(wǎng)絡(luò)來欺騙攻擊者并使系統(tǒng)跟蹤復(fù)雜化，如圖2所示。因此，所選集合“M”中的其余手機(jī)可能是假傳感器。

系統(tǒng)在同一集合“M”上重復(fù)前面的過程一段時(shí)間。之后，HIoT選擇其他移動(dòng)設(shè)備集，并對(duì)真/假網(wǎng)關(guān)和傳感器重復(fù)相同的選擇過程。

此外，系統(tǒng)不會(huì)忽略網(wǎng)絡(luò)的固定網(wǎng)關(guān)，并將它們用作真實(shí)或假的網(wǎng)關(guān)。這種混亂會(huì)欺騙攻擊者，讓他們不知道哪個(gè)網(wǎng)關(guān)才是真正的網(wǎng)關(guān)。此外，系統(tǒng)將在下一時(shí)刻更改所選的真實(shí)網(wǎng)關(guān)，并可將其用作假傳感器或網(wǎng)關(guān)。盡管如此，作為假網(wǎng)關(guān)的選定移動(dòng)設(shè)備可以連續(xù)使用多次。這種重復(fù)通常會(huì)增加成為真正網(wǎng)關(guān)的可能性。因此，這將欺騙那些可能攻擊假網(wǎng)關(guān)而不是真正作為蜜罐的真網(wǎng)關(guān)的攻擊者。

3 威脅模型

攻擊者經(jīng)常攻擊系統(tǒng)以使其崩潰[11]?，F(xiàn)有的防御機(jī)制不能完全防止系統(tǒng)受到攻擊。

在本文中，假設(shè)有一個(gè)攻擊者存在，監(jiān)控物聯(lián)網(wǎng)流量以查找發(fā)動(dòng)攻擊的探測(cè)面。此攻擊者試圖識(shí)別物聯(lián)網(wǎng)傳感器和網(wǎng)關(guān)的身份和位置，以便竊聽、操作或攔截交換的數(shù)據(jù)。本文提出的機(jī)制使這個(gè)過程復(fù)雜化。通過將攻擊者與假物聯(lián)網(wǎng)流量混淆以隱藏真實(shí)流量。

此外，本文的系統(tǒng)還可以減輕DoS對(duì)網(wǎng)關(guān)的攻擊。提出的虛擬網(wǎng)關(guān)可以作為中繼器，使其非常復(fù)雜且難以跟蹤想要成功跟蹤的目標(biāo)。

4 系統(tǒng)模型

為了評(píng)估HIoT系統(tǒng)的安全性和性能，本文假設(shè)有使用“H-app”應(yīng)用程序的Mu患者。假設(shè)該系統(tǒng)包含可以用作假傳感器或真/假網(wǎng)關(guān)的Mu的手機(jī)。每個(gè)手機(jī)都會(huì)向HIoT模塊發(fā)送一些參數(shù)，如MID、Mbac，Mloc和AST等。除了基于手機(jī)的網(wǎng)絡(luò)之外，假設(shè)物聯(lián)網(wǎng)醫(yī)院網(wǎng)絡(luò)有N個(gè)固定網(wǎng)關(guān)。

這些網(wǎng)關(guān)的數(shù)量是固定的，并根據(jù)醫(yī)療器械的分布在醫(yī)院中分布。每個(gè)網(wǎng)關(guān)在同一區(qū)域連接一組儀器。

本文提出的系統(tǒng)選擇一組設(shè)備M，移動(dòng)設(shè)備的數(shù)量M并不是固定不變的，而是根據(jù)醫(yī)院的容量而變化的，如式(1)。

M=[M1,M2,M3,…,Mu]

(1)

HIoT選擇最小的AST的M個(gè)移動(dòng)設(shè)備來達(dá)到最大數(shù)量的設(shè)備，如式(2)。

∑ASTM=min ∑ASTMu

(2)

式中，ASTMu代表用戶平均停留時(shí)間。ASTM表示所選移動(dòng)設(shè)備組的平均停留時(shí)間。這組移動(dòng)設(shè)備分為三組：真網(wǎng)關(guān)組、假網(wǎng)關(guān)組和假傳感器。這個(gè)分組是根據(jù)Mbat，DM-GW和ASTM。以下部分說明了每個(gè)組的選擇過程。

4.1 真實(shí)網(wǎng)關(guān)

最小化所選移動(dòng)設(shè)備(如實(shí)際網(wǎng)關(guān)和固定網(wǎng)關(guān))之間的平均距離可表示為式(3)。

(3)

接下來，將選定的移動(dòng)設(shè)備的電池電量最大化，使其像真實(shí)網(wǎng)關(guān)一樣工作，并最小化ASTMR如式(4)。

(4)

式中，ASTMR表示真網(wǎng)關(guān)平均停留時(shí)間。Mbat表示移動(dòng)設(shè)備的電池電量。

4.2 假網(wǎng)關(guān)

最大化的充當(dāng)假網(wǎng)關(guān)移動(dòng)設(shè)備和固定網(wǎng)關(guān)之間的平均距離，如式(5)。

(5)

然后，最小化所選移動(dòng)設(shè)備的電池電量如真實(shí)網(wǎng)關(guān)，并且最大化ASTMF，如式(6)。

(6)

式中，ASTMF表示假網(wǎng)關(guān)平均停留時(shí)間。

4.3 約束條件

要成為真正物聯(lián)網(wǎng)網(wǎng)關(guān)的選定移動(dòng)設(shè)備數(shù)量必須等于固定網(wǎng)關(guān)的數(shù)量，如式(7)。

MR=N

(7)

在時(shí)間“t”處充當(dāng)真實(shí)網(wǎng)關(guān)的移動(dòng)設(shè)備將從下一個(gè)真實(shí)網(wǎng)關(guān)選擇中被消除。但是，系統(tǒng)可以選擇它作為假網(wǎng)關(guān)或傳感器，如式(8)。

MR|t+1≠M(fèi)R|t

(8)

在“t+1”時(shí)充當(dāng)假網(wǎng)關(guān)的移動(dòng)設(shè)備在“t”時(shí)將相同，如式(9)。

MF|t+1=MF|t

(9)

為了增強(qiáng)系統(tǒng)的安全性，還有一個(gè)附加因素。 改組時(shí)間“T”。它代表使用同一組選定的設(shè)備“M”的頻率。改組時(shí)間如式(10)。

T=2t+1

(10)

由于HIoT會(huì)利用最大數(shù)量的用戶移動(dòng)設(shè)備。因此，系統(tǒng)效率eff將提高，如式(11)。

(11)

系統(tǒng)所消耗的功率POWc為式(12)。

POWc=∑(SNR+PL+POWs)

(12)

式中，SNR表示信噪比；PL表示路徑損耗；POWs表示每個(gè)移動(dòng)設(shè)備在選擇過程中使用的功率。

5 仿真實(shí)驗(yàn)結(jié)果

本節(jié)中介紹了仿真結(jié)果，這些仿真結(jié)果評(píng)估了安全級(jí)別以及對(duì)系統(tǒng)性能的影響。這些結(jié)果根據(jù)混亂因子估計(jì)了HIoT機(jī)制的強(qiáng)度。混亂因子反映了系統(tǒng)中的更改次數(shù)；網(wǎng)關(guān)選擇和改組時(shí)間的變化，如圖3所示。

圖3 運(yùn)行期間每個(gè)時(shí)刻的混亂因子

圖3顯示了運(yùn)行期間每次迭代中IoT網(wǎng)絡(luò)的更改次數(shù)。這表示每次事件都會(huì)導(dǎo)致混淆，使攻擊者無法確定通信的內(nèi)容。

此外，本文的系統(tǒng)效率取決于用戶手機(jī)的使用率。如前所述，混亂因子顯示了系統(tǒng)中使用不同設(shè)備作為真正網(wǎng)關(guān)的變化次數(shù)。如圖4所示。

圖4 混亂加劇對(duì)系統(tǒng)效率的影響

增加使用的移動(dòng)設(shè)備的數(shù)量導(dǎo)致網(wǎng)絡(luò)效率的提高。

另外，本文還研究了網(wǎng)絡(luò)變化對(duì)系統(tǒng)性能的影響。測(cè)量了以吞吐量表示的系統(tǒng)性能，該吞吐量說明了成功地從選定的真實(shí)網(wǎng)關(guān)移動(dòng)到云端的數(shù)據(jù)量。

它反映了網(wǎng)絡(luò)變化對(duì)數(shù)據(jù)速率的影響，如圖5所示。

圖5 網(wǎng)絡(luò)變化對(duì)吞吐量的影響

圖5顯示了理想情況下的網(wǎng)絡(luò)吞吐量(僅使用固定網(wǎng)關(guān))以及本文提出的方案的實(shí)際應(yīng)用。

接收功率受許多因素的影響，如發(fā)射機(jī)和接收機(jī)之間的距離以及信號(hào)周圍的噪聲。

HIoT系統(tǒng)的功耗受多次迭代的影響，選擇合適的網(wǎng)關(guān)可以提高功耗，如圖6所示。

圖6 系統(tǒng)消耗的功率

與僅使用固定網(wǎng)關(guān)相比，使用移動(dòng)目標(biāo)系統(tǒng)時(shí)的功耗更高。但是，提出的系統(tǒng)可以保護(hù)網(wǎng)絡(luò)免受任何攻擊。相反，攻擊者可以在理想情況下(僅使用固定網(wǎng)關(guān))輕松檢測(cè)到真實(shí)流量。

6 總結(jié)

本文提出HIoT作為一種移動(dòng)目標(biāo)防御機(jī)制，作為欺騙攻擊者的蜜罐。該系統(tǒng)由運(yùn)行在云端的HIoT模塊控制和管理。通過依靠主要物聯(lián)網(wǎng)周邊的手機(jī)來創(chuàng)建一個(gè)虛擬物聯(lián)網(wǎng)作為欺騙手段。創(chuàng)建了真實(shí)的流量來承載真實(shí)的數(shù)據(jù)，而偽造的子網(wǎng)發(fā)送偽造的數(shù)據(jù)來復(fù)雜化攻擊目標(biāo)的可追蹤性。仿真結(jié)果通過指示攻擊者引起的混亂程度來顯示本文的MTD機(jī)制的影響。此外，本文還評(píng)估了網(wǎng)絡(luò)變化對(duì)系統(tǒng)性能的影響。