物联网网络安全弹性策略解析

### 物联网网络安全弹性策略解析 #### 1. 移动目标防御（MTD）技术 在大多数情况下，管理员通常以静态方式配置网络（如智能建筑或智能关键基础设施），这种配置方式在复杂的生态系统（包括物联网设备、工业设备等）中提供了一定的简便性。而移动目标防御（MTD）技术则是一种可用于实时应对网络攻击的有效手段。 MTD 的主要目标是通过各种方式迷惑和欺骗攻击者，例如动态改变网络拓扑，同时不影响系统的正常功能。以智能电网为例，MTD 不会影响电源发电机或负载调度，从而最大程度降低攻击者篡改数据的风险。 MTD 技术可分为以下五大类： - **动态数据**：改变数据的表示属性，如格式和编码。 - **动态软件**：动态更改应用程序的代码。 - **动态平台**：通过在不同平台之间动态切换来实现多样性，利用各种平台的特性，如存储系统和处理器架构。 - **动态运行时环境**：在运行时改变环境。 - **动态网络**：动态更改网络设置，如网络拓扑、IP 地址等。 要有效应用 MTD 技术，需要回答三个关键问题： - **What**：确定在攻击发生时需要移动的组件，例如动态更改 IP 地址。 - **When**：明确更改发生的时间，多数情况下是在预定义时间、事件发生时（如网络攻击）或两者结合。 - **How**：选择移动组件的方法，主要有多样化、随机化和基于冗余三种方法。 在物联网领域，MTD 的应用尚处于起步阶段。由于大多数物联网设备（如 IP 摄像机、家用电器、健康护理设备、工业物联网设备等）在计算能力、存储容量和 RAM 方面存在限制，用户无法安装杀毒软件、入侵检测系统（IDS）或入侵防御系统（IPS），因此这些设备成为攻击目标。在物联网领域，最成熟的 MTD 技术是动态网络技术，可进一步分为基于身份的随机化和非身份随机化两类，非身份随机化又可细分为基础设施随机化和流量配置随机化。 | MTD 技术分类 | 具体内容 | | --- | --- | | 动态数据 | 改变数据格式和编码等表示属性 | | 动态软件 | 动态更改应用程序代码 | | 动态平台 | 利用不同平台特性实现动态切换 | | 动态运行时环境 | 运行时改变环境 | | 动态网络 | 动态更改网络拓扑、IP 地址等 | #### 2. 基于游戏理论的网络安全策略 游戏理论方法为网络安全建模提供了更大的灵活性，它允许考虑不同的攻击者模型和行为，并提供了一种实用的方法来评估不同类型网络攻击的影响。通过游戏理论，可以确定缓解措施，无论是加强网络层安全还是制定新的运营规划策略以减少攻击影响。 在游戏理论中，玩家会选择特定的策略，主要分为纯策略和混合策略： - **纯策略**：为特定情况指定唯一的行动。 - **混合策略**：为特定情况下的所有可能行动指定概率分布。 纳什均衡是游戏理论中最常用的解决方案概念，即在一组策略中，任何玩家都无法通过改变策略来提高自己的收益。 游戏可分为静态和动态两类，还可根据不同的游戏理论进行进一步分类： - **合作/非合作**：合作游戏中玩家因外部强制力组成小组，非合作游戏中玩家主要基于自身利益竞争或组成小组。 - **对称/不对称**：对称游戏中玩家的收益取决于所使用的策略，不对称游戏中玩家的策略不同。 - **零和/非零和**：零和游戏中一方的收益等于另一方的损失，非零和游戏中损失和收益之和不为零。 - **同时/顺序**：同时游戏中玩家同时行动或最后行动的玩家不知道先前玩家的行动，顺序游戏中最后行动的玩家对先前行动有一定了解。 - **完美信息/不完美信息**：完美信息游戏中所有玩家都知道其他玩家的先前行动，不完美信息游戏中玩家同时行动。 - **完全信息/不完全信息**：完全信息游戏中所有玩家的收益函数和策略都已知，不完全信息游戏中至少有一个玩家无法监控其他玩家的策略或收益。 - **进化游戏理论**：游戏中的玩家数量随时间变化，理性要求不严格，玩家可能采用非理性策略，且对游戏的了解程度不同。 - **随机游戏**：游戏的进展基于转移概率。 以下是一些使用静态和动态游戏解决网络安全问题的示例： | 游戏类型 | 游戏理论方法 | 安全问题 | 解决方案 | | --- | --- | --- | --- | | 静态游戏 | 静态囚徒困境游戏 | 多跳网络中的自私行为 | 纳什均衡 | | 静态游戏 | 静态零和游戏 | 拒绝服务攻击、硬件木马 | 纳什均衡 | | 静态游戏 | 斯塔克尔伯格游戏 | 网络物理安全 | 斯塔克尔伯格均衡 | | 动态游戏 | 零和随机游戏 | 网络物理安全 | 鞍点均衡 | | 动态游戏 | 贝叶斯游戏 | 拒绝服务攻击 | 生存能力、贝叶斯纳什均衡 | | 动态游戏 | 动态游戏 | 安全路由、网络物理安全 | 鞍点均衡 | | 动态游戏 | 马尔可夫游戏 | 入侵检测系统配置、智能电网基础设施保护 | 马尔可夫均衡 | 通过这些游戏理论方法，可以有效解决不同的网络安全（和网络物理）问题，提高组织的整体弹性。 #### 3. 基于风险感知和流行病学的方法 类似于传染病传播过程，在移动环境中，恶意软件可以通过机会网络基于设备的接近程度进行传播。为了防止大规模物联网网络中的攻击传播，可采取类似于疫情防控中旅行限制的措施，包括设备锁定、设置严格的安全设置、通过分段断开整个子网以及限制设备使用等。 由于在大规模物联网网络中检测每个设备上的攻击并进行选择性反应通常在计算上不可行，因此提出了一种基于理论流行病学领域的新方法来管理服务弹性。该方法基于这样的假设：传感器或计算机网络中的网络攻击遵循类似于传染病的规律。 在物联网中，每个节点处理从“对等节点”或上游节点接收的信息，并添加自己的信息。“纯传感器”只添加自己的信息，“纯处理器”不添加自己的数据。接收到的数据可能被“污染”，这可能是由于传感器故障或被恶意攻击（如黑客攻击）。此外，由于网络物理系统（CPS）涵盖物理、信息、认知和社会四个领域，信息还可能受到社交网络中的接触影响。 因此，如何选择是否信任接收到的数据成为一个关键问题，因为处理错误数据会导致下游节点被“污染”。节点可以与中央服务器通信以检查接收到的信息的有效性，但这会消耗带宽和时间。 这种方法基于“风险感知”的概念来决定是否保持连接、是否投入资源（时间）来判断某个连接是否可靠等。风险感知由“全局”感染百分比触发，如果感染概率取决于全局感染百分比