赵宇冰， 蔡建军， 葛江瑜， 于光宗， 宋媛， 马俊明

(国家电网甘肃省电力公司， 甘肃 兰州 730000)

0 引言

物联网由感知、监控、控制等多种功能的设备组成[1]。物联网网关的功能是实现子网间的数据共享。此外，网关还负责收集数据并将其发送到云端。因此，这是最易受攻击的设备[2]。如果攻击者控制网关，他可以更改通信路径、数据内容，甚至消除通信。因此，网关是需要最大安全性的设备[3]。

在传统的安全技术中，静态目标更容易受到攻击[4]。因此，任何攻击者都可能跟踪和黑客用户的数据。针对这一问题，提出了移动目标防御(Moving Target Defense，MTD)的概念，作为一种新的网络防护方法。移动目标防御(MTD)部署各种机制和策略，这些机制和策略随着时间的推移而变化，以压制攻击者[5-7]。

本文提出了一种新的基于蜜罐概念的MTD机制，旨在增强系统的免疫性。网关是网络最重要的组成部分，它负责从连接到物联网的其他设备收集数据并将数据发送到云端[8]。

1 问题提出

由于网络传输数据的重要性，本文以医院网络为例。医院网络由大量的医疗器械和与互联网相连的固定网关组成。网络被分成许多子网。每个子网由分布在与最近的网关相连的同一区域的仪器和传感器组成。这些网关通过互联网共享收集的数据[9]。

患者的信息和医疗报告是非常私人的数据，应该加以保护。加密和密码是最有用的安全技术[10]。这些技术可以防止数据被读取，但不能保护网络免受攻击。网关是网络中最脆弱的点。如果攻击者成功控制这些网关中的任何一个，则相应的子网络将关闭，如图1所示。

图1 没有MTD机制的医院网络

因此，本文提出了一种MTD机制来保护网络设备不受任何攻击。鉴于物联网的网络结构，网关是网络中最重要的组成部分。因此，在提出的机制中，网关将是主要的攻击目标。

1.1 结合MTD的物联网

本文为医院的“H-app”提出了一个移动应用程序。此应用程序提供了许多鼓励患者下载的功能。门诊预约、发送轮班通知和发送医疗报告就是此类功能的示例。

在本文中充分利用现有的此类应用程序，手机的处理和通信能力实现隐藏的安全功能。本文的隐藏安全功能通过启用网关多样化来实现实时MTD。

编排器模块“HIoT”是系统中最重要的部分； 它运行在云上，并与H-app合作实施拟议的MTD。本文提出的机制由HIoT模块控制；它选择一些移动设备作为网关，另一些作为传感器。此类网关充当真正网关(MR)，该网关从不同的医疗仪器收集数据并将这些数据发送到云端。

此外，还会有一些其他选定的移动设备充当假网关(MF)，它们会与其他充当传感器(MS)的手机连接。这些假网关和传感器创建了连接到云的假子网络(FNw)。这些假子网生成假流量，发送一些不重要的数据，比如早些时候发送到云端的旧数据，或者H-app生成的假数据，如图2所示。

图2 基于MTD机制的医院网络

图2说明了真实/虚假流量如何混淆攻击者并使跟踪复杂化。

此外，HIoT依赖于网关之间工作负载的实时迁移。当前充当真实/虚假网关的下一个移动设备选择将不同。

两种网关和传感器的选择将取决于许多因素。这些因素包括移动设备的电池电量、用户在医院的平均停留时间(AST)以及移动设备与医疗器械之间的距离，这些将在后面进行说明。

2 系统设计

本文提出的系统除了在物联网医院网络的固定网关之外，还利用患者的移动设备来保护网络。该系统使用下载了“H-app”的患者手机。这种使用云进行身份验证的应用方法基于数字标识(数字ID)。每个H-app用户都有在云端注册的数字ID。如果患者连接到医院网络，HIoT将使用其数字ID与用户的移动设备配对。这限制了可以与网络连接的人数。这是一个积极的观点，因为它增加了网络保护的程度，防止了最终的攻击者。

此外，H-app还可以在用户使用注册功能时估计其平均停留时间(Average Staying Time，AST)。然后，应用程序发送移动电池电量和用户的AST，以便在云端注册其数字标识。

HIoT选择一组随机分布在医院的手机“M”。所选手机的数量取决于医院的容量；在大容量时，“M”将更大。此外，这组手机将是最低的“M”的AST。它保证系统将使用最多的手机。因此，系统效率将提高，具体将在后续章节展示。

HIoT模块从选定的移动设备“M”集中选择标记为传感器、假网关和真网关的移动设备。根据一些因素，如用户的AST、手机的电池电量、手机与医疗器械的距离等因素进行选择。以下部分显示了真实/虚假网关和传感器选择过程。

2.1 真网关的选择

首先，HIoT选择真网关作为所选移动设备“M”的最大电池电量，以保证到达用户的数据将正确到达云端。除此之外，系统还选择AST最小的手机。因此，可以开发更多的手机，从而提高系统效率。

为了降低功耗，HIoT选择手机与仪器之间的平均距离最小的手机。在下一时刻，系统将丢弃第一个选择的真实网关作为下一个真实网关。但是，它可以被重新用作为假网关或传感器。

2.2 假网关的选择

系统选择电池电量最低的手机作为假网关。这样的网关会创建到云端的假流量，以迷惑攻击者。

此外，选择具有最大AST的移动设备充当假网关。因此，系统可以在运行时的另一时刻选择它作为真正的网关。这使本文提出的系统复杂化，并混淆了此类攻击者。而且，移动设备和仪器之间的平均距离是最大的。

2.3 传感器的选择

选择手机作为假传感器的目的是创建假网络来欺骗攻击者并使系统跟踪复杂化，如图2所示。因此，所选集合“M”中的其余手机可能是假传感器。

系统在同一集合“M”上重复前面的过程一段时间。之后，HIoT选择其他移动设备集，并对真/假网关和传感器重复相同的选择过程。

此外，系统不会忽略网络的固定网关，并将它们用作真实或假的网关。这种混乱会欺骗攻击者，让他们不知道哪个网关才是真正的网关。此外，系统将在下一时刻更改所选的真实网关，并可将其用作假传感器或网关。尽管如此，作为假网关的选定移动设备可以连续使用多次。这种重复通常会增加成为真正网关的可能性。因此，这将欺骗那些可能攻击假网关而不是真正作为蜜罐的真网关的攻击者。

3 威胁模型

攻击者经常攻击系统以使其崩溃[11]。现有的防御机制不能完全防止系统受到攻击。

在本文中，假设有一个攻击者存在，监控物联网流量以查找发动攻击的探测面。此攻击者试图识别物联网传感器和网关的身份和位置，以便窃听、操作或拦截交换的数据。本文提出的机制使这个过程复杂化。通过将攻击者与假物联网流量混淆以隐藏真实流量。

此外，本文的系统还可以减轻DoS对网关的攻击。提出的虚拟网关可以作为中继器，使其非常复杂且难以跟踪想要成功跟踪的目标。

4 系统模型

为了评估HIoT系统的安全性和性能，本文假设有使用“H-app”应用程序的Mu患者。假设该系统包含可以用作假传感器或真/假网关的Mu的手机。每个手机都会向HIoT模块发送一些参数，如MID、Mbac，Mloc和AST等。除了基于手机的网络之外，假设物联网医院网络有N个固定网关。

这些网关的数量是固定的，并根据医疗器械的分布在医院中分布。每个网关在同一区域连接一组仪器。

本文提出的系统选择一组设备M，移动设备的数量M并不是固定不变的，而是根据医院的容量而变化的，如式(1)。

M=[M1,M2,M3,…,Mu]

(1)

HIoT选择最小的AST的M个移动设备来达到最大数量的设备，如式(2)。

∑ASTM=min ∑ASTMu

(2)

式中，ASTMu代表用户平均停留时间。ASTM表示所选移动设备组的平均停留时间。这组移动设备分为三组：真网关组、假网关组和假传感器。这个分组是根据Mbat，DM-GW和ASTM。以下部分说明了每个组的选择过程。

4.1 真实网关

最小化所选移动设备(如实际网关和固定网关)之间的平均距离可表示为式(3)。

(3)

接下来，将选定的移动设备的电池电量最大化，使其像真实网关一样工作，并最小化ASTMR如式(4)。

(4)

式中，ASTMR表示真网关平均停留时间。Mbat表示移动设备的电池电量。

4.2 假网关

最大化的充当假网关移动设备和固定网关之间的平均距离，如式(5)。

(5)

然后，最小化所选移动设备的电池电量如真实网关，并且最大化ASTMF，如式(6)。

(6)

式中，ASTMF表示假网关平均停留时间。

4.3 约束条件

要成为真正物联网网关的选定移动设备数量必须等于固定网关的数量，如式(7)。

MR=N

(7)

在时间“t”处充当真实网关的移动设备将从下一个真实网关选择中被消除。但是，系统可以选择它作为假网关或传感器，如式(8)。

MR|t+1≠MR|t

(8)

在“t+1”时充当假网关的移动设备在“t”时将相同，如式(9)。

MF|t+1=MF|t

(9)

为了增强系统的安全性，还有一个附加因素。 改组时间“T”。它代表使用同一组选定的设备“M”的频率。改组时间如式(10)。

T=2t+1

(10)

由于HIoT会利用最大数量的用户移动设备。因此，系统效率eff将提高，如式(11)。

(11)

系统所消耗的功率POWc为式(12)。

POWc=∑(SNR+PL+POWs)

(12)

式中，SNR表示信噪比；PL表示路径损耗；POWs表示每个移动设备在选择过程中使用的功率。

5 仿真实验结果

本节中介绍了仿真结果，这些仿真结果评估了安全级别以及对系统性能的影响。这些结果根据混乱因子估计了HIoT机制的强度。混乱因子反映了系统中的更改次数；网关选择和改组时间的变化，如图3所示。

图3 运行期间每个时刻的混乱因子

图3显示了运行期间每次迭代中IoT网络的更改次数。这表示每次事件都会导致混淆，使攻击者无法确定通信的内容。

此外，本文的系统效率取决于用户手机的使用率。如前所述，混乱因子显示了系统中使用不同设备作为真正网关的变化次数。如图4所示。

图4 混乱加剧对系统效率的影响

增加使用的移动设备的数量导致网络效率的提高。

另外，本文还研究了网络变化对系统性能的影响。测量了以吞吐量表示的系统性能，该吞吐量说明了成功地从选定的真实网关移动到云端的数据量。

它反映了网络变化对数据速率的影响，如图5所示。

图5 网络变化对吞吐量的影响

图5显示了理想情况下的网络吞吐量(仅使用固定网关)以及本文提出的方案的实际应用。

接收功率受许多因素的影响，如发射机和接收机之间的距离以及信号周围的噪声。

HIoT系统的功耗受多次迭代的影响，选择合适的网关可以提高功耗，如图6所示。

图6 系统消耗的功率

与仅使用固定网关相比，使用移动目标系统时的功耗更高。但是，提出的系统可以保护网络免受任何攻击。相反，攻击者可以在理想情况下(仅使用固定网关)轻松检测到真实流量。

6 总结

本文提出HIoT作为一种移动目标防御机制，作为欺骗攻击者的蜜罐。该系统由运行在云端的HIoT模块控制和管理。通过依靠主要物联网周边的手机来创建一个虚拟物联网作为欺骗手段。创建了真实的流量来承载真实的数据，而伪造的子网发送伪造的数据来复杂化攻击目标的可追踪性。仿真结果通过指示攻击者引起的混乱程度来显示本文的MTD机制的影响。此外，本文还评估了网络变化对系统性能的影响。