物联网安全研究综述：威胁、检测与防御

　　摘要：本文基于近五年在网安国际顶级会议(ACMCCS、USENIXSecurity、NDSS、IEEES&P)中发表的物联网安全文献，以及其他部分高水平研究工作，站在“威胁，检测，防御”的视角对物联网安全研究工作进行了系统性的整理和分析。首先介绍了物联网系统的基本架构，然后分别从“安全威胁”、“威胁检测”、“威胁防御”三个方面对研究现状进行了分析。目前物联网的典型威胁为：针对云平台的恶意应用和交互漏洞，针对设备的固件漏洞和僵尸网络，以及协议漏洞和语音攻击等;在检测方面主要以恶意应用检测、固件漏洞检测、设备异常检测等为主要手段;在防御方面则以细粒度访问控制、固件安全防护、语音攻击防御等方案为代表。在分析现有检测和防御方案的不足之后，提出了当前物联网安全研究依然面临的主要挑战，以及指出了未来研究发展的六个方向。

　　关键词：物联网;安全;威胁;检测;防御

　　引言近五年来，物联网设备数量呈爆炸性增长，根据权威统计机构发布的数据，全球接入网络的物联网设备数量在2017年已达20.35亿台，并且到2025年将增长到超过75.44亿台[1]，物联网将深刻影响到人类生产和生活的各个方面。与此同时，物联网系统也得到了进一步发展和扩展，系统中出现了更多新颖的应用功能，人和设备之间产生了更多前所未见的交互形式。然而，在物联网蓬勃发展的过程中，现有的安全机制难以应对日益增长的安全需求，导致各类应用场景中的安全问题层出不穷[2]。

　　比如云平台大大提高了设备的可用性，但是厂商不完善的安全审核机制令平台下的大量设备遭受恶意代码威胁;设备漏洞普遍存在，然而设备内部受限的运行环境导致安全机制缺乏，设备容易受到非法远程控制或劫持，甚至引发安全事故;工业控制系统或智慧城市中数量庞大的设备一旦受到攻击将引发灾难性的大规模事故。

　　从2016年著名的Mirai蠕虫利用物联网设备引发大规模拒绝服务攻击事件[3]，到最近被报导的智能音箱可被攻击者利用来窃听用户隐私事件[4]，物联网安全威胁随着技术发展而不断出现。及时检测安全问题或提前采取防御是对抗威胁的重要手段。物联网系统的特性[1]决定了对其实施安全防护面临诸多挑战，为了设计完善的检测和防御机制，除了继承互联网和软件安全中已有的方案，还需要认真考虑这些特性对应的问题。

　　此外，物联网系统在设计开发、通信交互、访问控制等方面仍然缺乏统一的标准，这也是目前亟待解决的问题。针对已知威胁，当前的学术研究中提出了众多解决方案，然而其中也存在应用面窄、自动化不足等缺点。因此，面对物联网发展中不断出现的安全威胁，仍然需要深入研究更全面且可靠的检测和防御方案。本文基于2016—2020年网络安全四大顶级会议(ACMCCS、USENIXSecurity、NDSS、IEEES&P)中发表的物联网安全相关文献，以及其他在物联网安全研究方面高水平的工作进行了总结分析。从“威胁、检测、防御”的角度对112篇相关文献进行分析与整理，根据研究内容主要围绕的主题进行深入讨论。

　　部分文献在发现威胁的同时还建立了有效的检测或防御方案，因此同时计入两个类别中，在威胁方面，前三年数量较平均，后两年数量较多，说明近五年来仍有新的威胁被不断发现，本文对这些威胁进行了分类，并分析了各类威胁的成因和危害;在检测和防御方面，后三年数量较前两年有显著增加，说明针对已知威胁有更多的对抗方案被提出，本文同样也对这些检测和防御方案面向的威胁类型和技术原理进行了分析与介绍。本文与已有的物联网相关安全综述研究工作[57]的不同之处在于，以最近五年的研究为主，并专门从威胁产生、威胁检测和防御的角度来进行分析。

　　本文的主要贡献如下：(1)系统总结近五年物联网安全研究中发现的主要安全威胁，展示这些威胁产生的成因和危害;(2)深入分析对抗这些安全威胁的主要检测和防御方案，展示这些方案的技术类型和效果;(3)以威胁、检测和防御三个方面的分析结果为基础揭示物联网未来发展过程中仍将面临的主要安全挑战，以及指出物联网安全下一步的研究方向。

　　本文以下主要分为四个部分进行阐述。第一部分简要介绍物联网系统的背景知识;第二部分根据调研论文从“威胁检测防御”角度展示当前研究现状;第三部分基于研究现状总结分析下一阶段物联网发展的主要挑战和机遇;第四部分总结全文。

　　2背景介绍

　　本节对物联网系统的基本结构进行介绍。主要分为感知层、网络层、应用层三个部分。其中感知层是系统的基础，包括各类传感器设备，比如温湿度传感器、射频识别设备、摄像头等，负责承担数据收集和执行动作的任务。网络层是系统的桥梁，主要由各类物联网通信协议组成，其中处于核心位置的仍然是TCP/IP网络参考模型中的五层架构。应用层是整个架构的大脑，主要由平台厂商在云端部署的各类服务以及提供给用户的控制终端组成，主要负责对感知层收集并经网络层送达的信息进行处理并向用户显示结果，或将用户的操作指令信息传向设备，针对不同的场景，当前在应用层部署的服务类型有智能家居、智能医疗、智慧城市等。

　　为了对下文在威胁、检测、防御三个部分的研究中提到的研究对象进行说明，本节将这些研究对象与物联网三层架构进行了对应。首先，感知层对应的是各类物联网设备。设备通过传感器实时收集应用场景中的具体信息并转换为网络参数发送给应用层，或是接收应用层网络信号并执行相应命令。物联网设备的内部架构大致可以分为：硬件层、系统层、用户层，其中硬件层包含的是支持设备功能的各种硬件模组(如网络模组、传感器模组等)、处理器、外围电路等;系统层装载了固件程序，其中包含操作系统和应用改程序，负责设备功能的实现;用户层主要是向用户提供展示数据和接收输入的操作接口。

　　其次，网络层对应的是设备之间，以及设备、云平台、手机app三类实体之间的通信。设备之间可以通过ZigBee、Wave等轻量级协议形成自组协作网络(如工业设备网络、无人机集群);设备也可以与路由器连接后形成局域网(如智能家居网络)，设备连接路由器有两种形式：一是直接通过WiFi连接;二是通过ZigBee、Wave等协议与网关设备(如hub)连接后再经过网关设备与路由器通信。

　　实体之间通信分为三种类型：一是设备与app之间通信：设备既可以通过蓝牙直接连接手机(如可穿戴设备、车载系统网络)，也可以通过局域网WiFi与手机通信(如智能家居网络);二是设备与云平台之间通信：设备主要依靠路由器转发请求和接收响应，而路由器与云平台的通信需要经过传统TCP/IP网络架构;三是手机与云平台之间通信：手机app即可以通过4G/5G网络，也可以通过局域网WiFi连接云平台。再者，应用层主要对应云平台和手机app。云平台近年来受到高度关注，其主要由物联网厂商在云端部署的各类管理或功能服务组成，负责对接入平台的设备收集的数据进行处理，或向设备发送远程控制命令。

　　根据云平台提供的功能，可以将其分为设备接入平台、服务联动平台、语音助手平台三种，设备接入平台提供了实际的设备接入和管理功能，比如SamsungSmartThings、GoogleHome、PhilipsHue、小米米家等;服务联动平台并没有连接真实的设备，而是将其他平台的功能连接起来，提供“条件动作”(TriggerAction)自动执行规则服务，比如IFTTT等;语音助手平台通过智能音箱向用户提供语音控制服务，用户发出的语音命令经语音平台处理后可以与其他控制设备的功能或服务连接到一起，比如AmazonAlexa等。

　　另外，云平台之间也可以经过授权后，通过互相调用API(ApplicationProgrammingInterface)执行设备控制。手机app可看作云平台向用户提供的控制终端，主要用于向用户提供设备相关的功能界面，其中可以直观展示设备状态，或者执行控制命令。

　　3研究现状

　　虽然物联网安全研究的角度各不相同，然而“威胁如何产生、怎样发现威胁、怎样对抗威胁”是贯穿安全研究的基本思路，因此本节从“威胁、 检测、防御”的角度将近五年中物联网安全研究工作分成对应的三个类别，同时深入分析物联网研究中提出的威胁种类和成因，以及对应的检测和防御机制的技术类型和效果。

　　4挑战与机遇

　　本节基于第一节对物联网系统中主要安全威胁，以及对应的检测和防御方案的分析，提出当前面临的研究挑战和未来研究机遇。

　　4.1当前面临的主要挑战

　　4.1.1间接的隐私泄露

　　由于物联网设备与人类生活密切相关，设备感知的信息中包含了大量与人相关的活动信息，通过这些信息可以推断出人的生活习惯、行为特征等，造成间接的隐私泄露。当前研究中提出的隐私问题主要包括两个方面：一是隐私信息泄露问题[108]，即设备收集到隐私信息后会将非必要的信息向外暴露，或在传输过程中遭受窃听，从表的主要危害可看出，当前物联网系统中的大部分威胁都会导致隐私信息泄露;二是隐私信息理解问题[109]，即用户使用设备前对设备的隐私收集和使用方式得不到充分了解，或者现行的隐私信息保护法案不能完全满足真实的使用需求。这两个问题都导致各类泄露用户隐私的威胁出现，而且前一个问题出现在物联网系统的各个层面，解决难度大，后一个问题需要政府、厂商、用户等主体参与，实施复杂度高。

　　4.1.2繁多的应用形式种类各异的云平台应用也带来了更多的安全需求。一方面是访问控制模型应用在物联网的应用场景时存在缺陷。基于角色或属性的访问控制策略可以解决普通应用操作环境(如个人计算机应用或手机app)下的身份认证和权限校验，但是在应用类型繁多的物联网平台中，为了确保用户与设备之间的权限得到妥善管理，需要更具适配性的访问控制机制。另一方面是平台对应用的安全审核机制存在不足。现有研究充分证明，平台在发展新应用和维护其安全性之间存在不平衡，传统依靠静态分析应用程序的方式难以发现其中的动态特性导致的问题，而人工审核方式不仅耗时耗力且容易出现疏漏。在大量应用不断普及的同时，为了维护应用功能的正常执行，需要更完善并有效的应用审核机制。

　　4.1.3复杂的交互模型物联网系统功能提升的同时，系统内各类实体之间的交互形式也不断增多，交互过程日益复杂，不仅有应用之间的交互，设备之间的交互，更有跨层次的交互，所以对平台或设备安全性的保护不能只限于实体本身，还要考虑交互过程可能引入的风险，典型的问题是即使实体单独运行过程中的安全性得到保障，然而在与其他的实体的交互过程中很可能原有的保护机制被打破。当前检测和防御方案大多通过交互行为建模来检测其中的威胁，但是由于交互模式的差异，各类模型方案只能应用于特定平台或场景，彼此之间难以复用。

　　4.1.4适用性受限的解决方案当前研究提出的威胁检测和防御方案，大多针对特定的应用类型和场景，或者特定的设备结构和系统。比如在云平台中，恶意应用和逻辑漏洞检测的大部分方案都是基于SmartThings平台的特性建立分析框架;进行异常对比时采用的安全策略，一般只面向特定平台，且策略无法自动化生成;由于缺乏真实案例，设计评估方案时使用的恶意样本是在复用其他领域的攻击模式基础上人工构造的样本集。又比如在设备固件分析中，静态分析方法面临厂商不公开源码、固件格式不统一、部分固件被加密保护等困难;而固件运行依赖的底层架构和底层硬件多种多样，只能针对特定类型的固件进行仿真。这些特点使得当前研究得到的安全分析技术只能应用在特定的领域中，组件之间无法移植或组合，在出现新的问题时难以达到预期的效果。

　　4.1.5异构的通信网络物联网系统的通信具有网络类型多且结构相异的特点，由于缺乏统一的通信标准，各类网络的安全约束参差不齐。同时，网络中的通信协议也具有明显差别，不同协议具有不同的安全规范，而物联网设备有限的资源和对实时性的要求令其更适配计算量低且逻辑简单的轻量级通信协议。然而，当前被广泛使用的各种轻量级协议一般缺乏内建的安全机制，同时设备厂商应用协议时，往往忽略了对安全机制的实现，因此引入了新的安全威胁。

　　物联网论文投稿期刊：计算机研究与发展(月刊)创刊于1958年，由中国科学院计算技术研究所、中国计算机学会主办。办刊宗旨： 报道我国计算机领域最高水平的学术论文和最新科研成果。

　　5.总结

　　物联网系统由于应用种类多、设备规模大、交互过程复杂、应用环境多样等特性在发展过程中不可避免地面临各类安全威胁，对威胁的检测和防御是促进物联网正常发展的关键。本文系统整理了近五年物联网安全研究中的代表性工作，从“威胁检测防御”的角度分别阐述其中的主要类型，并以此为基础分析了当前面临的挑战，以及提出未来研究机遇。随着物联网与区块链、边缘计算、5G等技术的不断融合，相关的安全研究也必将不断拓展，成为物联网发展的重要支柱。

　　参考文献

　　[1]ZHOUW,JIAY,PENGA,etal.TheEffectofIoTNewFeaturesonSecurityandPrivacy:NewThreats,ExistingSolutions,andChallengesYettoBeSolved[J].IEEEInternetThingsJ.,2019,6(2):16061616.

　　[2]ALRAWIO,LEVERC,ANTONAKAKISM,etal.SoK:SecurityEvaluationofHomeBasedIoTDeployments[C]//2019IEEESymposiumonSecurityandPrivacy(SP).2019.

　　[3]ANTONAKAKISM,APRILT,BAILEYM,etal.UnderstandingtheMiraiBotnet[C]//USENIXSecuritySymposium.2017.

　　[4]GUOZ,LINZ,LIP,etal.SkillExplorer:UnderstandingtheBehaviorofSkillsinLargeScale[C]//USENIXSecuritySymposium.2020.

　　[5]张玉清,周威,彭安妮.物联网安全综述[J].计算机研究与发展,2017,54(10):21302143.ZHANGYQ,ZHOUW,PENGAN.SurveyofInternetofThingsSecurity[J].JournalofComputerResearchandDevelopment,2017,54(10):21302143.

　　作者：杨毅宇，周威，赵尚儒，刘聪，张宇辉，王鹤，王文杰，张玉清