通信网络是一组能够相互交换信息的自主操作计算机(Tanenbaum和Wetherall2011). 该定义可以扩展到包括物联网边缘设备。
安全模式
有三个主要的安全目标:网络可用性、信息完整性和机密性(Lu等人。2010). 不同的安全模式用于检测和缓解恶意攻击,如IDS和SDN。最新趋势将这两种模式结合在一起。
IDS是一个自动检测过程,用于监视系统上的事件并查找入侵迹象(Hung-Jen Liao等人。2013). 它以不同于传统防火墙的方式分析流量,找出识别流量异常的特征。IDS可分为两大类(Khraisat等人。2019):(i)签名IDS搜索通过网络传输的数据中以前编目的模式;然而,这些系统的效率越来越低。(ii)艾滋病使用机器学习技术检测网络学习行为的差异。攻击者必须了解正常行为以避免被检测到。
SDN是一种能够设计、实现和管理通信网络的范式,其中控制和数据流被分离到两个不同的平面(Benzekki等人。2016). 控制平面是集中式的,负责制定路由决策和管理网络的逻辑拓扑。数据平面负责根据控制平面的策略传输数据。
它有三层结构(Sarica和Angin2020)(图。1):(i)应用程序:承载应用程序,如IDS,与控制器通信;(ii)控制:包含管理网络概述和路由策略的控制器;(iii)基础设施:将从控制器收到的策略应用于路由设备。
SDN能够更好地防范某些类型的攻击(Shinan等人。2021)然而,由于集中式网络管理,控制器是故障的易受攻击点(Ahmed等人。2015).
物联网网络安全
物联网网络包括传感器、执行器、计算节点、接收器和通信器等组件。物联网网络有三个不同的层(霍罗和萨达纳2012; 赵戈2013):(i)应用程序,提供多种可见服务;(ii)感知、收集和发送信息;和(iii)网络协议。
物联网网络的安全要求不同于传统网络。Alaba等人。(2017)提出了与物联网网络安全相关的特定分类,包括四个域(图。2):体系结构、应用程序、通信和数据。
近年来,对物联网边缘设备的攻击越来越多,人们的注意力集中在诸如其低安全性和漏洞等方面(Mendes等人。2019). 这些设备经常被僵尸网络招募来参与分布式拒绝服务攻击。
通信网络中的威胁
通信网络面临多种威胁,可分为两大类(Pawar和Anuradha2015):被动和主动。
被动攻击分析网络上的数据流,威胁信息的机密性。被动攻击的主要类型是流量分析,其中可以推断出敏感信息(Hafeez等人。2019)以及窃听或嗅探,从通过网络传递的消息中收集信息。
主动攻击威胁信息的完整性和网络服务的可访问性。主要类型有:(i)欺骗:模拟经过身份验证的设备以其名义发送信息(Jindal等人。2014),(ii)修改:消息路由的更改,导致消息传递延迟,(iii)虫洞:记录通过网络传输的数据包并将其发送到新位置(Hu等人。2003),(iv)伪造:生成虚假路由消息,(v)拒绝服务:减少或中断对网络提供的服务的访问,(vi)Sinkhole:网络上的受损设备,吸引流量将其移除(Kibirige和Sanga2015),(vii)Sybil:在对等(P2P)网络上呈现多个身份的恶意设备(Douceur2002),(viii)黑洞:网络路由服务执行的数据包传递中断或延迟,(ix)匆忙:在经过身份验证的设备之前发送消息转发请求,(x)重播:一个上下文中的合法消息被注入到另一个上下文(Malladi等人。2002)和(xi)拜占庭:一组经过认证的设备任意阻止提供的服务(Geetha和Sreenath2016).
扑网
僵尸网络是由僵尸管理员控制的一组受损设备(Choi等人。2007). 它们是通过通信网络连接的异构设备。僵尸网络本身并不是恶意的,它允许在多个设备上协调执行命令。网络犯罪分子利用这些特征进行欺诈。该体系结构已经从P2P配置发展到混合配置,从互联网中继聊天协议发展到超文本传输协议、P2P协议或将两者结合的混合模型。
僵尸网络的组成部分是(Silva等人。2013)(i)易受攻击主机:已感染恶意代码的设备;(ii)机器人程序:获取主机控制权并执行从第三方接收的命令的潜在恶意程序;(iii)僵尸网络管理员:控制僵尸网络并负责向僵尸发送命令的人员;和(iv)命令与控制(C2)基础设施:允许机器人程序管理员与机器人程序通信。利马鲁诺泰和蒙林(2015)将C2架构分解为服务器和协议。
僵尸网络可以有不同的体系结构;如Zeidanloo和Manaf所述(2009)有三种模式:(i)集中式,所有通信都通过C2服务器;(ii)分布式,主机可以同时充当C2和bot;(iii)混合,使用社交网络作为传播命令的手段(图。三).
僵尸网络的生命周期包括五个步骤(Limarunothai和Munlin2015):(i)初始感染:设备被感染后安装代码,将其转换为机器人;(ii)二次注入:下载并安装bot代码;(iii)域名服务器(DNS)查找:C2服务器的互联网协议(IP)地址;(iv)集合:机器人与C2服务器建立连接;和(v)恶意命令:维护和更新。
僵尸网络生命周期的知识对于定义检测方法非常重要(Silva等人。2013). 三种主要机制是:(i)基于DNS的:包括检测机器人对DNS服务进行查询的行为模式;(ii)HoneyNet网络:故意配置漏洞以吸引攻击,尽管它们本身不允许僵尸网络检测(Karim等人。2014)和(iii)IDS。
入侵检测系统
自2015年以来,进行了多项研究(Shinan等人。2021),在位于应用程序或控制层的SDN体系结构上提出AIDS解决方案。Khrasat等人。(2019),Shinan等人。(2021)列举最广泛使用的机器学习方法:(i)有监督:决策树、Naives-Bayes、人工神经网络、支持向量机和K近邻;和(ii)无监督:K-means(聚类)和遗传算法。这些方法的使用频率较低(Murray等人。2014).
机器学习模型传统上应用于数据流的一组特征。有希望的研究表明,网络行为与社交网络的模式类似(Shinan等人。2021; Chowdhury等人。2017; Daya等人。2019). 因此,使用CGN训练新的机器学习模型。节点表示设备,弧描述数据流,每个端口IP地址元组都有一条弧(图。4).
CGN避免比较数据流(Venkatesh等人。2015)是一种更有效的方法。Chowdhury等人。(2017)提出了八个特征:(i)程度(IDM):设备的输入流数量,在C2服务器上很高;(ii)流出度(ODM):设备流出流的数量,在C2服务器和机器人上较高;(iii)权重度(IWM):设备从其邻居接收的传入数据包总数,其中假设网络上的所有机器人将从C2服务器接收相同数量的数据包;(iv)输出权重度(OWM):设备从其邻居发送的传出数据包总数,假设机器人将向其要攻击的设备发送相同的数据包;(v) 聚类系数(CCM):评估设备相邻节点之间的距离,其中P2P型僵尸网络的值较高;(vi)节点介数(BCM):设备在由每对设备之间的最短路径组成的集合中的次数,其中P2P型僵尸网络中假设值较高;(vii)节点接近度(LCM):所有设备能够到达另一设备的最短距离的平均值,这与P2P僵尸网络有关(Sengupta等人。2021)和(viii)特征向量中心度(EVM):图中设备的重量。
用于异常检测的自动编码器
自动编码器是Rumelhart等人提出的一种机器学习模型。(1986). 它们是经过训练的无监督神经网络,用于提取输入的主要特征,以便进行重建。输入被编码,然后解码,导致信息丢失。输入和输出之间的差异最小化。自动编码器是主成分分析的推广。他们学习的不是线性关系,而是非线性关系(Bank等人。2020)从而实现尺寸缩减。
堆叠式自动编码器是分层式自动编码器。编码器的每一层都是另一个更内部的自动编码器的输入,直到它达到最深层(瓶颈)。类似地,解码器层被视为另一个自动编码器的输出。
Mirsky等人。(2018)、罗和纳加拉扬(2018)、周和帕芬罗斯(2017)提出了检测网络安全领域攻击的模型。Niyaz等人。(2017)描述了使用自动编码器检测SDN网络中的分布式拒绝服务攻击,通过堆叠式自动编码器学习网络的正常行为。该模型最多可对八种不同类型的攻击进行分类,假阳性率很低。他们的实验在识别网络攻击方面达到了99.82%的准确率。
可以在物联网边缘设备(Luo和Nagarajan)上运行自动编码器进行异常检测2018). 当自动编码器的副本被放置在边缘设备上时,边缘计算范式是适用的。此外,机器学习模型可以从数据流量中定期重新训练。此体系结构允许模型随着最新的网络行为发展。
结论摘要
最近的研究倾向于将艾滋病与SDN网络结合起来。以前的论文提出了物联网网络的这种架构,将服务器专用于检测。其他文章提出了无线传感器网络中的艾滋病,其中检测是由物联网边缘设备中的自动编码器执行的。所有提出的模型都会检查数据流流量。据我们所知,尚未建议为物联网网络分析CGN的艾滋病系统。
表1 MLOps生命周期。拟议原型的不同模块和具体目标的详细信息