阅读笔记|Verifying and Monitoring IoTs Network Behavior Using MUD Profiles

warning: 这篇文章距离上次修改已过460天,其中的内容可能已经有所变动。
info: A. Hamza, D. Ranathunga, H. H. Gharakheili, T. A. Benson, M. Roughan, and V. Sivaraman, “Verifying and Monitoring IoTs Network Behavior Using MUD Profiles,” IEEE Trans. Dependable and Secure Comput., vol. 19, no. 1, pp. 1–18, Jan. 2022, doi: 10.1109/TDSC.2020.2997898.

1.1 背景

IoT设备的网络安全问题日益凸显,为减小这种风险,IETF推进促使IoT设备厂商出具设备的网络行为具体描述文件,也就是MUD profile。

MUD profile对于可能与设备通信的端点或子网进行列举,同时可明确通信方向,并区分了本地网络与Internet。其以JSON格式书写。

然而目前尚未有明确的方法来使厂家为IoT设备开发网络行为描述文件,亦未有为组织机构设计的利用网络行为描述文件进行分析和监控IoT设备网络行为的方法。

1.2 方法

  • 提出并开源了MUDgee,一种利用vSwitch自动捕获和跟踪IoT设备的TCP/UDP流并根据规则自动从流中提取生成MUD profile的工具。

    • 其核心是从捕获的TCP/UDP流提取生成描述文件的过程,文章考虑如下

      • IP反查域名并关联
      • 允许Internet的所有UDP进行双向通信
      • 当设备同一端口超过5个不同IP与之通信,自动允许所有IP在该端口的双向通信
      • 将网关当作本地通信映射控制器并赋予特定namespace
      • 允许用户手动设置域名通配以批量进行访问控制
  • 提出了MUDdy,一种检验MUD profile语法与语义正确性的工具

    • 遵循YANG模型和IETF建议检查profile的语法正确性
    • 使用元图表示设备的网络资源访问情况并使用元图代数进行分析profile前后一致性
    • 参考SCADA最佳实践检查profile的适用性
  • 提出了运行时分析IoT设备网络行为及MUD分类的方法

    • 先截取目标设备网络活动并生成MUD profile
    • 再对生成的profile与数据库已有的计算静态相似度和动态相似度
    • 根据各类预设场景对两个相似度设定阈值以进行识别

1.3 实验

目的:验证MUDgee自动生成IoT设备的MUD配置文件的能力,并验证MUDdy的检测分析能力。
内容:
(1) 使用自主开发工具MUDgee,根据I测试环境IoT设备的网络流量包自动生成MUD配置文件。
(2) 使用MUDdy解析配置文件,检测冗余规则。
(3) 检查配置文件是否符合安全最佳实践。
结果:实验验证了自动生成和分析MUD配置文件的可行性,并检测到了一些存在问题的规则,为改进MUD提供了参考。
不足:生成的配置仅基于有限流量包,且设备被入侵时生成的配置可能不正确。

1.4 个人思考

  • 本文涉及一种用于IoT设备网络安全的proffile,与交换机与路由器的配置文件不同,但同样具备使用语言模型进行生成的可能,即输入网络环境信息和抓取到的IoT设备的网络流并输出JSON格式的MUD profile.
  • 文章中对于生成的MUD profile进行了语法和语义正确性的检查,其检查方法值得借鉴。

添加新评论