物联网安全的区块链未来：立场文件外文翻译资料

英语原文共 12 页，剩余内容已隐藏，支付完成后下载完整资料

物联网安全的区块链未来：立场文件

Mandrita Banerjee, Junghee Lee, Kim-Kwang Raymond Choo

（德克萨斯大学圣安东尼奥分校电气与计算机工程系，圣安东尼奥，TX 78249，美国）

（德克萨斯大学圣安东尼奥分校信息系统和网络安全系，圣安东尼奥，TX78249，美国）

摘要：物联网 (IoT) 设备越来越多地出现在民用和军事环境中，从智能城市和智能电网到医疗物联网、车联网、军事物联网、战场互联网等。在本文中，我们调查了自2016年1月以来以英文发布的介绍 IoT 安全解决方案的文章。我们进行了许多观察，包括缺乏可供研究和使用的公开可用的 IoT 数据集 从业者社区。 鉴于物联网数据集的潜在敏感性，有必要制定一个标准，用于在研究和从业者社区以及其他相关利益相关者之间共享物联网数据集。 因此，在提出两种基于区块链的概念方法之前，我们假设区块链技术在促进物联网数据集的安全共享（例如，使用区块链确保共享数据集的完整性）和保护物联网系统方面具有潜力。 然后，我们以九个潜在的研究问题结束本文。

关键字：区块链，区块链安全，协同安全，物联网，物联网数据集，物联网自我修复，物联网安全，入侵防御系统，预测物联网安全，预测安全。

1 引言

技术改变了我们的生活方式，尤其是在我们的数据驱动型社会中。 这部分是由于半导体和通信技术的进步，允许通过网络连接大量设备，为我们提供了机器和人之间连接和通信的方式（例如机器对机器）。这种趋势通常也被称为万物互联，包括物联网 (IoT)、医疗物联网 (IoMT)、战场物联网 (IoBT)、互联网 车辆（IoV）等。鉴于此类设备在我们社会中的普遍性（例如在智能城市、智能电网和智能医疗保健系统中），安全和隐私是几个关键问题中的两个。例如，据报道，2014年有超过 750,000 台消费设备被入侵以分发网络钓鱼和垃圾邮件[40]。在物联网和物联网等数据敏感应用中，确保数据、系统和设备的安全性以及数据和数据计算的隐私至关重要。但是，对系统的威胁可能是未经过深思熟虑的安全措施的结果。例如，在典型的民用或军用医院环境中，信息技术 (IT) 团队通常控制整个网络，包括端点设备和IoMT设备（基本上是任何具有IP地址的设备）。

期望T 团队熟悉每个连接的设备是不现实的，尽管他们具有系统管理员的能力来安装补丁、远程访问设备及其数据等等。

如果在外科手术过程中，一个IoMT给药设备在IT系统管理员远程应用补丁后关闭并自行重启，会发生什么情况？这可能会导致手术室混乱，因为手术团队不知道发生了什么，更不用说对患者造成的创伤和潜在后果（例如，剥夺患者氧气可能导致脑损伤和死亡），换句话说，在看似例行的操作中，例如应用补丁和设备自行重启，事情可能会很快出错。

在本文中，我们调查了自2016年1月以来以英文发布的针对物联网设计或适用于物联网的安全技术文章。我们将物联网隐私技术调查推迟到未来工作。然后将定位的文章分类为反应式和主动式方法，我们进一步将反应式方法分为（1）仅入侵检测系统（IDS）和入侵防御系统（IPS），以及（2）协作安全方法。

2 现有物联网和相关安全方法的调查

2.1 入侵检测和预防技术

现代恶意软件设计者和网络攻击者具有创新精神地不断寻求规避现有措施（例如，使用变异生成不同版本的恶意软件）。大多数现有的IDS和IPS方法旨在检测未经授权的访问尝试和分布式拒绝服务 (DDoS) 攻击。例如，Alsunbul等人。[11]提出了一种网络防御系统，用于通过动态生成新协议来替换标准协议来检测和防止未经授权的访问尝试。目的是混淆扫描尝试。网络路径也会定期更改，以防止未经授权的访问和流量扫描。但是，生成的数据包数量可能过多。在Zitta、Neruda和Vojtech[19]的方法中，Raspberry Pi3用于保护运行低级阅读器协议 (LLRP) 的超高频 (UHF) 射频识别 (RFID) 阅读器。具体来说，Fail2ban和Suricata因其功能性和高可扩展性而被选为解决方案。Fail2ban支持复杂的架构；因此，它适合部署在具有多个传感器和服务器的云环境中。Suricata提供了比Snort更好的性能，并且允许Raspberry Pi3的多核CPU所需的多线程处理。Park和Ahn[50]分析比较了 Snort和Suricata在处理DoS攻击时的检测和性能，确定Snort具有较低的CPU消费。但是，多线程Suricata提供了更好的单核和多核检测性能。

接下来，我们讨论最近的入侵检测和/或预防系统。为简单起见，在本文的其余部分中，IDPS用于指代入侵检测和/或预防系统。

2.1.1 按方法分类

密码学是一种用于提供数据机密性和完整性的常用方法，例如在参考文献中报告的多层安全方法中。[27,32]具体来说，Chang和Ramachandran[27]提出了一种用于云计算的多层安全解决方案。第一个安全层是防火墙和访问控制，旨在确保只有经过授权和身份验证的用户才能访问系统和数据。第二层是身份管理和入侵防御，以再次识别用户并删除任何检测到的恶意文件。第三层是融合加密，提供自上而下的安全策略。为了评估所提出的方法，作者对数据中心的10 PB数据进行了渗透测试。他们的研究结果表明，从未经授权的访问尝试中恢复的时间至少为125小时。Makkaoui等人[32]提出了一种多层云安全和隐私模型（CSPM），它由五层组成：物理和环境安全层（PESL）、云基础设施安全层（CISL）、网络安全层（NSL）、数据层（DL)，以及访问控制和特权管理层 (ACPML)。

Jin，Tomoishi和Matsuura[36]提供了一种使用全球定位系统 (GPS) 的虚拟专用网络 (VPN) 身份验证的增强方法。所提出的方法在移动设备上提供地理隐私保护。在这里，VPN客户端发送GPS信息的哈希值而不是发送原始值，从而保护客户端的地理隐私。代替仅提供GPS坐标，提供了一个区域用于为每个客户端注册到认证服务器。使用谷歌地图检查目标区域客户端GPS坐标的命中率，作者评估结果显示经纬度准确率分别为99.29%和92.96%。

Olagunju和Samu [4]通过使用集中式日志系统管理技术（也称为pup pet和虚拟机）设计了一种用于实时入侵检测、预防和纠正的自动化蜜罐。中心化系统从攻击者的源地址、时间和国家收集信息。该方法通过使用免费可用的开源技术，减少了动态修改高度交互的蜜罐系统所需的手动工作。文件传输协议有助于吸引那些留下来自不同国家的用户名、密码和源端口的痕迹或证据的攻击者。但是，将蜜罐转换为蜜网所需的手动工作非常重要。 Agrawal 和 Tapaswi [48] 提出了一种基于蜜罐的多层IDS来检测和防止恶意接入点攻击。该方法将现有IDS和蜜罐结合起来，提高现有IDS的准确性，包括过滤、入侵检测和蜜罐。该系统是在一个小型无线网络上实现的。但是，将系统部署在云端并采用机器学习技术可以通过保持较低的误报率和蜜罐的低开销来提高整体性能。

Merlo，Migliardi和Spadacini[13]提出了一种考虑全账户预测误差和剩余流量的自适应机制，使用网络模拟器评估该模型并计算延迟。结果表明，由于安全性分析，只引入了最小的延迟。但是，该模型缺乏理想的预测算法；因此，它会为错误预测产生数据包延迟。

Indre和Lemnaru[16]提出了一种针对网络攻击和僵尸网络恶意软件的 IPS。 作者通过关注特征选择和提取阶段提出了不同的学习算法，他们的评估表明预测分数为98%。此外，根据他们使用DARPA基准数据集的评估，他们得出结论，重复和冗余记录会影响分类不良的实时流量。成功识别攻击特征后，生成了一个新的训练集。该方法识别了初始DARPA集中不存在的新攻击。凯什里等人[21]提出了一种基于数据挖掘技术的使用防火墙和IDS的拒绝服务 (DoS) 预防技术，该技术包括数据选择、数据预处理、转换以及模型选择和评估。他们使用NSL-KDD数据集（KDD99 cup数据集的改进版本）进行评估。

佐藤等人[43]提出了一种用于专用集成电路 (ASIC)-FPGA协同设计的现场可编程门阵列 (FPGA) 架构，以简化IDPS的处理并提高 FPGA 与ASIC相比的处理速度/CPU（中央处理器）。 在这里，FPGA是使用RTL（寄存器传输逻辑）技术设计的，算术电路是在ASIC中配置的。 为了验证结果，ASIC 中的加法器是在FPGA中使用互补金属氧化物半导体 (CMOS) 技术开发的。

表1总结了最近的IDS和IPS方法。

表1

基于方法的最新 IDS 和 IPS 总结

2.1.2 按网络结构分类

Yevdokymenko[5]设计了一种自适应方法来检测和预防电信系统中的主动攻击。但是，这种方法无法检测到新的攻击（例如使用零日漏洞的攻击）。没有万无一失的解决方案，消除网络中的所有安全威胁是不切实际的。为了根据网络节点在攻击图中的位置获取有关网络节点及其优先级的信息，Abazari、Madani和Gharaee[49]提出了一种基于加权攻击图计算威胁的模型。具体来说，这是一种动态主动多用途威胁响应模型，旨在最大限度地减少威胁和成本。可以实施其他优化方法，例如遗传算法，以对未来的威胁做出最佳和快速的响应。

已经针对不同的无线网络提出了不同的安全系统，例如移动自组织网络(MANET)、Wi-fi、局域网 (LAN)、蜜罐和传感器网络。例如，Filipek和Hudec[12]基于分布式公钥基础设施 (PKI)、防火墙和IPS的功能提出了MANET的安全模型。在这里，每个节点都包含相同的安全模型，从而提供有效的安全路由、数据通信和攻击监控。路由和数据信息是经过签名和加密的，节点只能访问它们被授权的其他节点和服务。但是，该系统中使用的IPS仅控制PKI和防火墙所产生的网络状况。现有的能量感知IPS允许早期检测和丢弃恶意数据包，从而导致数据包传递的额外延迟。Filipek和Hudec[25]为 MANET 提出了一种安全架构，包括基于安全RSA的路由协议、PKI、防火墙和IPS。路由数据包经过签名和协商的具有短有效期的对称密钥用于加密流量。IPS监控流量，向节点发出可疑活动警报。这种方法的局限性包括由于存在防火墙而导致的流量限制，以及由于节点发送消息、数据库查找、控制数据包和加密而导致的大量开销。

Yacchirena等人[31]开发了一个在Linux操作系统上运行的Wi-Fi无线网络，分别使用Snort和Kismet作为IDS和IPS。使用Fern Cracker和Ettercap使用Backtrack 5 R3进行渗透测试，以研究 IPS 的响应。理论上，集成Snort和Kismet的功能可以通过提高Kismet和Snort中Wi-Fi无线网络上层的检测率来提高系统性能。

Dewanjee[18]提出了一种入侵过滤系统（IFS），它提供了强大的安全性和终止执行和分发损坏文件的能力。该系统可以离线使用并提供高吞吐量。在该方法中，检查系统中所有可用的文件，即扫描系统日志并将有关系统中安装的所有应用程序和软件的信息存储在IFS数据库中。数据库的定期更新旨在终止损坏文件的传播。但是，没有 IFS 的实际实现。Liu和 Qiu[47]使用大量实验数据和排队模型评估了802.11w标准的实用性，以防止基于RAP的DoS攻击。在工作中，提出了一种基于STA的可靠排队模型来分析802.11w的性能。此外，为了防止低攻击率和高攻击率的DeauthF和DisassF攻击，提出了一种802.11w和流量整形的集成方法（本文简称为802.11w-TS）。

Kalnoor和J.Agarkhed[8]提出了一种使用模式匹配技术的无线传感器网络IDS。 模式匹配定义了一组签名来描述不良事件，当模式匹配一个事件时，将执行由一组签名或规则定义的特定操作。然后，IDS 分析收集的数据并将这些数据与大型签名集进行比较。当前模式和先前模式之间的连续不匹配将产生警报。Waskita、Suhartanto和Handoko[45]研究了异常检测系统的熵方法，并在英特尔伯克利研究实验室使用来自分布式传感器网络的真实数据进行了评估。通过从温度和湿度节点的数据序列中计算熵，在二维空间中进行评估。研究结果表明，与椭圆法不同，熵法能够检测散射异常，而不管模式如何。

Jokar和Leung[15]提出了一种将IDPS用于基于ZigBee的家庭区域网络的模型。 该模型采用基于动态机器学习的预防技术，误报率低，无需依赖关于攻击者的先验知识。在模型中，定义了一组防御措施（例如防止欺骗、避免干扰和丢弃恶意数据包）来防止攻击。Q-learning 方法用于确定对抗攻击的最佳策略。

Sedjelmaci、Senouci和Messous[20]实施了基于IDS的网络安全系统，以保护无人机 (UAV) 免受网络攻击。它依赖于基于信念方法的威胁估计模型，该模型旨在最大限度地减少误报率和误报率。 在这里，每架无人机都可以激活一个IDS监控代理来观察其邻居的行为。 如果IDS代理被怀疑为恶意节点，则特

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[591424]，资料为PDF文档或Word文档，PDF文档可免费转换为Word