摘要：本文基于近五年在網(wǎng)安國(guó)際頂級(jí)會(huì)議(ACMCCS、USENIXSecurity、NDSS、IEEES&P)中發(fā)表的物聯(lián)網(wǎng)安全文獻(xiàn)，以及其他部分高水平研究工作，站在“威脅，檢測(cè)，防御”的視角對(duì)物聯(lián)網(wǎng)安全研究工作進(jìn)行了系統(tǒng)性的整理和分析。首先介紹了物聯(lián)網(wǎng)系統(tǒng)的基本架構(gòu)，然后分別從“安全威脅”、“威脅檢測(cè)”、“威脅防御”三個(gè)方面對(duì)研究現(xiàn)狀進(jìn)行了分析。目前物聯(lián)網(wǎng)的典型威脅為：針對(duì)云平臺(tái)的惡意應(yīng)用和交互漏洞，針對(duì)設(shè)備的固件漏洞和僵尸網(wǎng)絡(luò)，以及協(xié)議漏洞和語(yǔ)音攻擊等;在檢測(cè)方面主要以惡意應(yīng)用檢測(cè)、固件漏洞檢測(cè)、設(shè)備異常檢測(cè)等為主要手段;在防御方面則以細(xì)粒度訪問控制、固件安全防護(hù)、語(yǔ)音攻擊防御等方案為代表。在分析現(xiàn)有檢測(cè)和防御方案的不足之后，提出了當(dāng)前物聯(lián)網(wǎng)安全研究依然面臨的主要挑戰(zhàn)，以及指出了未來(lái)研究發(fā)展的六個(gè)方向。

　　關(guān)鍵詞：物聯(lián)網(wǎng);安全;威脅;檢測(cè);防御

　　引言近五年來(lái)，物聯(lián)網(wǎng)設(shè)備數(shù)量呈爆炸性增長(zhǎng)，根據(jù)權(quán)威統(tǒng)計(jì)機(jī)構(gòu)發(fā)布的數(shù)據(jù)，全球接入網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備數(shù)量在2017年已達(dá)20.35億臺(tái)，并且到2025年將增長(zhǎng)到超過75.44億臺(tái)[1]，物聯(lián)網(wǎng)將深刻影響到人類生產(chǎn)和生活的各個(gè)方面。與此同時(shí)，物聯(lián)網(wǎng)系統(tǒng)也得到了進(jìn)一步發(fā)展和擴(kuò)展，系統(tǒng)中出現(xiàn)了更多新穎的應(yīng)用功能，人和設(shè)備之間產(chǎn)生了更多前所未見的交互形式。然而，在物聯(lián)網(wǎng)蓬勃發(fā)展的過程中，現(xiàn)有的安全機(jī)制難以應(yīng)對(duì)日益增長(zhǎng)的安全需求，導(dǎo)致各類應(yīng)用場(chǎng)景中的安全問題層出不窮[2]。

　　比如云平臺(tái)大大提高了設(shè)備的可用性，但是廠商不完善的安全審核機(jī)制令平臺(tái)下的大量設(shè)備遭受惡意代碼威脅;設(shè)備漏洞普遍存在，然而設(shè)備內(nèi)部受限的運(yùn)行環(huán)境導(dǎo)致安全機(jī)制缺乏，設(shè)備容易受到非法遠(yuǎn)程控制或劫持，甚至引發(fā)安全事故;工業(yè)控制系統(tǒng)或智慧城市中數(shù)量龐大的設(shè)備一旦受到攻擊將引發(fā)災(zāi)難性的大規(guī)模事故。

　　從2016年著名的Mirai蠕蟲利用物聯(lián)網(wǎng)設(shè)備引發(fā)大規(guī)模拒絕服務(wù)攻擊事件[3]，到最近被報(bào)導(dǎo)的智能音箱可被攻擊者利用來(lái)竊聽用戶隱私事件[4]，物聯(lián)網(wǎng)安全威脅隨著技術(shù)發(fā)展而不斷出現(xiàn)。及時(shí)檢測(cè)安全問題或提前采取防御是對(duì)抗威脅的重要手段。物聯(lián)網(wǎng)系統(tǒng)的特性[1]決定了對(duì)其實(shí)施安全防護(hù)面臨諸多挑戰(zhàn)，為了設(shè)計(jì)完善的檢測(cè)和防御機(jī)制，除了繼承互聯(lián)網(wǎng)和軟件安全中已有的方案，還需要認(rèn)真考慮這些特性對(duì)應(yīng)的問題。

　　此外，物聯(lián)網(wǎng)系統(tǒng)在設(shè)計(jì)開發(fā)、通信交互、訪問控制等方面仍然缺乏統(tǒng)一的標(biāo)準(zhǔn)，這也是目前亟待解決的問題。針對(duì)已知威脅，當(dāng)前的學(xué)術(shù)研究中提出了眾多解決方案，然而其中也存在應(yīng)用面窄、自動(dòng)化不足等缺點(diǎn)。因此，面對(duì)物聯(lián)網(wǎng)發(fā)展中不斷出現(xiàn)的安全威脅，仍然需要深入研究更全面且可靠的檢測(cè)和防御方案。本文基于2016—2020年網(wǎng)絡(luò)安全四大頂級(jí)會(huì)議(ACMCCS、USENIXSecurity、NDSS、IEEES&P)中發(fā)表的物聯(lián)網(wǎng)安全相關(guān)文獻(xiàn)，以及其他在物聯(lián)網(wǎng)安全研究方面高水平的工作進(jìn)行了總結(jié)分析。從“威脅、檢測(cè)、防御”的角度對(duì)112篇相關(guān)文獻(xiàn)進(jìn)行分析與整理，根據(jù)研究?jī)?nèi)容主要圍繞的主題進(jìn)行深入討論。

　　部分文獻(xiàn)在發(fā)現(xiàn)威脅的同時(shí)還建立了有效的檢測(cè)或防御方案，因此同時(shí)計(jì)入兩個(gè)類別中，在威脅方面，前三年數(shù)量較平均，后兩年數(shù)量較多，說明近五年來(lái)仍有新的威脅被不斷發(fā)現(xiàn)，本文對(duì)這些威脅進(jìn)行了分類，并分析了各類威脅的成因和危害;在檢測(cè)和防御方面，后三年數(shù)量較前兩年有顯著增加，說明針對(duì)已知威脅有更多的對(duì)抗方案被提出，本文同樣也對(duì)這些檢測(cè)和防御方案面向的威脅類型和技術(shù)原理進(jìn)行了分析與介紹。本文與已有的物聯(lián)網(wǎng)相關(guān)安全綜述研究工作[57]的不同之處在于，以最近五年的研究為主，并專門從威脅產(chǎn)生、威脅檢測(cè)和防御的角度來(lái)進(jìn)行分析。

　　本文的主要貢獻(xiàn)如下：(1)系統(tǒng)總結(jié)近五年物聯(lián)網(wǎng)安全研究中發(fā)現(xiàn)的主要安全威脅，展示這些威脅產(chǎn)生的成因和危害;(2)深入分析對(duì)抗這些安全威脅的主要檢測(cè)和防御方案，展示這些方案的技術(shù)類型和效果;(3)以威脅、檢測(cè)和防御三個(gè)方面的分析結(jié)果為基礎(chǔ)揭示物聯(lián)網(wǎng)未來(lái)發(fā)展過程中仍將面臨的主要安全挑戰(zhàn)，以及指出物聯(lián)網(wǎng)安全下一步的研究方向。

　　本文以下主要分為四個(gè)部分進(jìn)行闡述。第一部分簡(jiǎn)要介紹物聯(lián)網(wǎng)系統(tǒng)的背景知識(shí);第二部分根據(jù)調(diào)研論文從“威脅檢測(cè)防御”角度展示當(dāng)前研究現(xiàn)狀;第三部分基于研究現(xiàn)狀總結(jié)分析下一階段物聯(lián)網(wǎng)發(fā)展的主要挑戰(zhàn)和機(jī)遇;第四部分總結(jié)全文。

　　2背景介紹

　　本節(jié)對(duì)物聯(lián)網(wǎng)系統(tǒng)的基本結(jié)構(gòu)進(jìn)行介紹。主要分為感知層、網(wǎng)絡(luò)層、應(yīng)用層三個(gè)部分。其中感知層是系統(tǒng)的基礎(chǔ)，包括各類傳感器設(shè)備，比如溫濕度傳感器、射頻識(shí)別設(shè)備、攝像頭等，負(fù)責(zé)承擔(dān)數(shù)據(jù)收集和執(zhí)行動(dòng)作的任務(wù)。網(wǎng)絡(luò)層是系統(tǒng)的橋梁，主要由各類物聯(lián)網(wǎng)通信協(xié)議組成，其中處于核心位置的仍然是TCP/IP網(wǎng)絡(luò)參考模型中的五層架構(gòu)。應(yīng)用層是整個(gè)架構(gòu)的大腦，主要由平臺(tái)廠商在云端部署的各類服務(wù)以及提供給用戶的控制終端組成，主要負(fù)責(zé)對(duì)感知層收集并經(jīng)網(wǎng)絡(luò)層送達(dá)的信息進(jìn)行處理并向用戶顯示結(jié)果，或?qū)⒂脩舻牟僮髦噶钚畔�傳向設(shè)備，針對(duì)不同的場(chǎng)景，當(dāng)前在應(yīng)用層部署的服務(wù)類型有智能家居、智能醫(yī)療、智慧城市等。

　　為了對(duì)下文在威脅、檢測(cè)、防御三個(gè)部分的研究中提到的研究對(duì)象進(jìn)行說明，本節(jié)將這些研究對(duì)象與物聯(lián)網(wǎng)三層架構(gòu)進(jìn)行了對(duì)應(yīng)。首先，感知層對(duì)應(yīng)的是各類物聯(lián)網(wǎng)設(shè)備。設(shè)備通過傳感器實(shí)時(shí)收集應(yīng)用場(chǎng)景中的具體信息并轉(zhuǎn)換為網(wǎng)絡(luò)參數(shù)發(fā)送給應(yīng)用層，或是接收應(yīng)用層網(wǎng)絡(luò)信號(hào)并執(zhí)行相應(yīng)命令。物聯(lián)網(wǎng)設(shè)備的內(nèi)部架構(gòu)大致可以分為：硬件層、系統(tǒng)層、用戶層，其中硬件層包含的是支持設(shè)備功能的各種硬件模組(如網(wǎng)絡(luò)模組、傳感器模組等)、處理器、外圍電路等;系統(tǒng)層裝載了固件程序，其中包含操作系統(tǒng)和應(yīng)用改程序，負(fù)責(zé)設(shè)備功能的實(shí)現(xiàn);用戶層主要是向用戶提供展示數(shù)據(jù)和接收輸入的操作接口。

　　其次，網(wǎng)絡(luò)層對(duì)應(yīng)的是設(shè)備之間，以及設(shè)備、云平臺(tái)、手機(jī)app三類實(shí)體之間的通信。設(shè)備之間可以通過ZigBee、Wave等輕量級(jí)協(xié)議形成自組協(xié)作網(wǎng)絡(luò)(如工業(yè)設(shè)備網(wǎng)絡(luò)、無(wú)人機(jī)集群);設(shè)備也可以與路由器連接后形成局域網(wǎng)(如智能家居網(wǎng)絡(luò))，設(shè)備連接路由器有兩種形式：一是直接通過WiFi連接;二是通過ZigBee、Wave等協(xié)議與網(wǎng)關(guān)設(shè)備(如hub)連接后再經(jīng)過網(wǎng)關(guān)設(shè)備與路由器通信。

　　實(shí)體之間通信分為三種類型：一是設(shè)備與app之間通信：設(shè)備既可以通過藍(lán)牙直接連接手機(jī)(如可穿戴設(shè)備、車載系統(tǒng)網(wǎng)絡(luò))，也可以通過局域網(wǎng)WiFi與手機(jī)通信(如智能家居網(wǎng)絡(luò));二是設(shè)備與云平臺(tái)之間通信：設(shè)備主要依靠路由器轉(zhuǎn)發(fā)請(qǐng)求和接收響應(yīng)，而路由器與云平臺(tái)的通信需要經(jīng)過傳統(tǒng)TCP/IP網(wǎng)絡(luò)架構(gòu);三是手機(jī)與云平臺(tái)之間通信：手機(jī)app即可以通過4G/5G網(wǎng)絡(luò)，也可以通過局域網(wǎng)WiFi連接云平臺(tái)。再者，應(yīng)用層主要對(duì)應(yīng)云平臺(tái)和手機(jī)app。云平臺(tái)近年來(lái)受到高度關(guān)注，其主要由物聯(lián)網(wǎng)廠商在云端部署的各類管理或功能服務(wù)組成，負(fù)責(zé)對(duì)接入平臺(tái)的設(shè)備收集的數(shù)據(jù)進(jìn)行處理，或向設(shè)備發(fā)送遠(yuǎn)程控制命令。

　　根據(jù)云平臺(tái)提供的功能，可以將其分為設(shè)備接入平臺(tái)、服務(wù)聯(lián)動(dòng)平臺(tái)、語(yǔ)音助手平臺(tái)三種，設(shè)備接入平臺(tái)提供了實(shí)際的設(shè)備接入和管理功能，比如SamsungSmartThings、GoogleHome、PhilipsHue、小米米家等;服務(wù)聯(lián)動(dòng)平臺(tái)并沒有連接真實(shí)的設(shè)備，而是將其他平臺(tái)的功能連接起來(lái)，提供“條件動(dòng)作”(TriggerAction)自動(dòng)執(zhí)行規(guī)則服務(wù)，比如IFTTT等;語(yǔ)音助手平臺(tái)通過智能音箱向用戶提供語(yǔ)音控制服務(wù)，用戶發(fā)出的語(yǔ)音命令經(jīng)語(yǔ)音平臺(tái)處理后可以與其他控制設(shè)備的功能或服務(wù)連接到一起，比如AmazonAlexa等。

　　另外，云平臺(tái)之間也可以經(jīng)過授權(quán)后，通過互相調(diào)用API(ApplicationProgrammingInterface)執(zhí)行設(shè)備控制。手機(jī)app可看作云平臺(tái)向用戶提供的控制終端，主要用于向用戶提供設(shè)備相關(guān)的功能界面，其中可以直觀展示設(shè)備狀態(tài)，或者執(zhí)行控制命令。

　　3研究現(xiàn)狀

　　雖然物聯(lián)網(wǎng)安全研究的角度各不相同，然而“威脅如何產(chǎn)生、怎樣發(fā)現(xiàn)威脅、怎樣對(duì)抗威脅”是貫穿安全研究的基本思路，因此本節(jié)從“威脅、 檢測(cè)、防御”的角度將近五年中物聯(lián)網(wǎng)安全研究工作分成對(duì)應(yīng)的三個(gè)類別，同時(shí)深入分析物聯(lián)網(wǎng)研究中提出的威脅種類和成因，以及對(duì)應(yīng)的檢測(cè)和防御機(jī)制的技術(shù)類型和效果。

　　4挑戰(zhàn)與機(jī)遇

　　本節(jié)基于第一節(jié)對(duì)物聯(lián)網(wǎng)系統(tǒng)中主要安全威脅，以及對(duì)應(yīng)的檢測(cè)和防御方案的分析，提出當(dāng)前面臨的研究挑戰(zhàn)和未來(lái)研究機(jī)遇。

　　4.1當(dāng)前面臨的主要挑戰(zhàn)

　　4.1.1間接的隱私泄露

　　由于物聯(lián)網(wǎng)設(shè)備與人類生活密切相關(guān)，設(shè)備感知的信息中包含了大量與人相關(guān)的活動(dòng)信息，通過這些信息可以推斷出人的生活習(xí)慣、行為特征等，造成間接的隱私泄露。當(dāng)前研究中提出的隱私問題主要包括兩個(gè)方面：一是隱私信息泄露問題[108]，即設(shè)備收集到隱私信息后會(huì)將非必要的信息向外暴露，或在傳輸過程中遭受竊聽，從表的主要危害可看出，當(dāng)前物聯(lián)網(wǎng)系統(tǒng)中的大部分威脅都會(huì)導(dǎo)致隱私信息泄露;二是隱私信息理解問題[109]，即用戶使用設(shè)備前對(duì)設(shè)備的隱私收集和使用方式得不到充分了解，或者現(xiàn)行的隱私信息保護(hù)法案不能完全滿足真實(shí)的使用需求。這兩個(gè)問題都導(dǎo)致各類泄露用戶隱私的威脅出現(xiàn)，而且前一個(gè)問題出現(xiàn)在物聯(lián)網(wǎng)系統(tǒng)的各個(gè)層面，解決難度大，后一個(gè)問題需要政府、廠商、用戶等主體參與，實(shí)施復(fù)雜度高。

　　4.1.2繁多的應(yīng)用形式種類各異的云平臺(tái)應(yīng)用也帶來(lái)了更多的安全需求。一方面是訪問控制模型應(yīng)用在物聯(lián)網(wǎng)的應(yīng)用場(chǎng)景時(shí)存在缺陷。基于角色或?qū)傩缘脑L問控制策略可以解決普通應(yīng)用操作環(huán)境(如個(gè)人計(jì)算機(jī)應(yīng)用或手機(jī)app)下的身份認(rèn)證和權(quán)限校驗(yàn)，但是在應(yīng)用類型繁多的物聯(lián)網(wǎng)平臺(tái)中，為了確保用戶與設(shè)備之間的權(quán)限得到妥善管理，需要更具適配性的訪問控制機(jī)制。另一方面是平臺(tái)對(duì)應(yīng)用的安全審核機(jī)制存在不足。現(xiàn)有研究充分證明，平臺(tái)在發(fā)展新應(yīng)用和維護(hù)其安全性之間存在不平衡，傳統(tǒng)依靠靜態(tài)分析應(yīng)用程序的方式難以發(fā)現(xiàn)其中的動(dòng)態(tài)特性導(dǎo)致的問題，而人工審核方式不僅耗時(shí)耗力且容易出現(xiàn)疏漏。在大量應(yīng)用不斷普及的同時(shí)，為了維護(hù)應(yīng)用功能的正常執(zhí)行，需要更完善并有效的應(yīng)用審核機(jī)制。

　　4.1.3復(fù)雜的交互模型物聯(lián)網(wǎng)系統(tǒng)功能提升的同時(shí)，系統(tǒng)內(nèi)各類實(shí)體之間的交互形式也不斷增多，交互過程日益復(fù)雜，不僅有應(yīng)用之間的交互，設(shè)備之間的交互，更有跨層次的交互，所以對(duì)平臺(tái)或設(shè)備安全性的保護(hù)不能只限于實(shí)體本身，還要考慮交互過程可能引入的風(fēng)險(xiǎn)，典型的問題是即使實(shí)體單獨(dú)運(yùn)行過程中的安全性得到保障，然而在與其他的實(shí)體的交互過程中很可能原有的保護(hù)機(jī)制被打破。當(dāng)前檢測(cè)和防御方案大多通過交互行為建模來(lái)檢測(cè)其中的威脅，但是由于交互模式的差異，各類模型方案只能應(yīng)用于特定平臺(tái)或場(chǎng)景，彼此之間難以復(fù)用。

　　4.1.4適用性受限的解決方案當(dāng)前研究提出的威脅檢測(cè)和防御方案，大多針對(duì)特定的應(yīng)用類型和場(chǎng)景，或者特定的設(shè)備結(jié)構(gòu)和系統(tǒng)。比如在云平臺(tái)中，惡意應(yīng)用和邏輯漏洞檢測(cè)的大部分方案都是基于SmartThings平臺(tái)的特性建立分析框架;進(jìn)行異常對(duì)比時(shí)采用的安全策略，一般只面向特定平臺(tái)，且策略無(wú)法自動(dòng)化生成;由于缺乏真實(shí)案例，設(shè)計(jì)評(píng)估方案時(shí)使用的惡意樣本是在復(fù)用其他領(lǐng)域的攻擊模式基礎(chǔ)上人工構(gòu)造的樣本集。又比如在設(shè)備固件分析中，靜態(tài)分析方法面臨廠商不公開源碼、固件格式不統(tǒng)一、部分固件被加密保護(hù)等困難;而固件運(yùn)行依賴的底層架構(gòu)和底層硬件多種多樣，只能針對(duì)特定類型的固件進(jìn)行仿真。這些特點(diǎn)使得當(dāng)前研究得到的安全分析技術(shù)只能應(yīng)用在特定的領(lǐng)域中，組件之間無(wú)法移植或組合，在出現(xiàn)新的問題時(shí)難以達(dá)到預(yù)期的效果。

　　4.1.5異構(gòu)的通信網(wǎng)絡(luò)物聯(lián)網(wǎng)系統(tǒng)的通信具有網(wǎng)絡(luò)類型多且結(jié)構(gòu)相異的特點(diǎn)，由于缺乏統(tǒng)一的通信標(biāo)準(zhǔn)，各類網(wǎng)絡(luò)的安全約束參差不齊。同時(shí)，網(wǎng)絡(luò)中的通信協(xié)議也具有明顯差別，不同協(xié)議具有不同的安全規(guī)范，而物聯(lián)網(wǎng)設(shè)備有限的資源和對(duì)實(shí)時(shí)性的要求令其更適配計(jì)算量低且邏輯簡(jiǎn)單的輕量級(jí)通信協(xié)議。然而，當(dāng)前被廣泛使用的各種輕量級(jí)協(xié)議一般缺乏內(nèi)建的安全機(jī)制，同時(shí)設(shè)備廠商應(yīng)用協(xié)議時(shí)，往往忽略了對(duì)安全機(jī)制的實(shí)現(xiàn)，因此引入了新的安全威脅。

　　物聯(lián)網(wǎng)論文投稿期刊：計(jì)算機(jī)研究與發(fā)展(月刊)創(chuàng)刊于1958年，由中國(guó)科學(xué)院計(jì)算技術(shù)研究所、中國(guó)計(jì)算機(jī)學(xué)會(huì)主辦。辦刊宗旨： 報(bào)道我國(guó)計(jì)算機(jī)領(lǐng)域最高水平的學(xué)術(shù)論文和最新科研成果。

　　5.總結(jié)

　　物聯(lián)網(wǎng)系統(tǒng)由于應(yīng)用種類多、設(shè)備規(guī)模大、交互過程復(fù)雜、應(yīng)用環(huán)境多樣等特性在發(fā)展過程中不可避免地面臨各類安全威脅，對(duì)威脅的檢測(cè)和防御是促進(jìn)物聯(lián)網(wǎng)正常發(fā)展的關(guān)鍵。本文系統(tǒng)整理了近五年物聯(lián)網(wǎng)安全研究中的代表性工作，從“威脅檢測(cè)防御”的角度分別闡述其中的主要類型，并以此為基礎(chǔ)分析了當(dāng)前面臨的挑戰(zhàn)，以及提出未來(lái)研究機(jī)遇。隨著物聯(lián)網(wǎng)與區(qū)塊鏈、邊緣計(jì)算、5G等技術(shù)的不斷融合，相關(guān)的安全研究也必將不斷拓展，成為物聯(lián)網(wǎng)發(fā)展的重要支柱。

　　參考文獻(xiàn)

　　[1]ZHOUW,JIAY,PENGA,etal.TheEffectofIoTNewFeaturesonSecurityandPrivacy:NewThreats,ExistingSolutions,andChallengesYettoBeSolved[J].IEEEInternetThingsJ.,2019,6(2):16061616.

　　[2]ALRAWIO,LEVERC,ANTONAKAKISM,etal.SoK:SecurityEvaluationofHomeBasedIoTDeployments[C]//2019IEEESymposiumonSecurityandPrivacy(SP).2019.

　　[3]ANTONAKAKISM,APRILT,BAILEYM,etal.UnderstandingtheMiraiBotnet[C]//USENIXSecuritySymposium.2017.

　　[4]GUOZ,LINZ,LIP,etal.SkillExplorer:UnderstandingtheBehaviorofSkillsinLargeScale[C]//USENIXSecuritySymposium.2020.

　　[5]張玉清,周威,彭安妮.物聯(lián)網(wǎng)安全綜述[J].計(jì)算機(jī)研究與發(fā)展,2017,54(10):21302143.ZHANGYQ,ZHOUW,PENGAN.SurveyofInternetofThingsSecurity[J].JournalofComputerResearchandDevelopment,2017,54(10):21302143.

　　作者：楊毅宇，周威，趙尚儒，劉聰，張宇輝，王鶴，王文杰，張玉清