阅读笔记｜Verifying and Monitoring IoTs Network Behavior Using MUD Profiles

info: A. Hamza, D. Ranathunga, H. H. Gharakheili, T. A. Benson, M. Roughan, and V. Sivaraman, “Verifying and Monitoring IoTs Network Behavior Using MUD Profiles,” IEEE Trans. Dependable and Secure Comput., vol. 19, no. 1, pp. 1–18, Jan. 2022, doi: 10.1109/TDSC.2020.2997898.

1.1 背景

IoT设备的网络安全问题日益凸显，为减小这种风险，IETF推进促使IoT设备厂商出具设备的网络行为具体描述文件，也就是MUD profile。

MUD profile对于可能与设备通信的端点或子网进行列举，同时可明确通信方向，并区分了本地网络与Internet。其以JSON格式书写。

然而目前尚未有明确的方法来使厂家为IoT设备开发网络行为描述文件，亦未有为组织机构设计的利用网络行为描述文件进行分析和监控IoT设备网络行为的方法。

1.2 方法

• 提出并开源了MUDgee，一种利用vSwitch自动捕获和跟踪IoT设备的TCP/UDP流并根据规则自动从流中提取生成MUD profile的工具。
  • 其核心是从捕获的TCP/UDP流提取生成描述文件的过程，文章考虑如下
    • IP反查域名并关联
    • 允许Internet的所有UDP进行双向通信
    • 当设备同一端口超过5个不同IP与之通信，自动允许所有IP在该端口的双向通信
    • 将网关当作本地通信映射控制器并赋予特定namespace
    • 允许用户手动设置域名通配以批量进行访问控制
• 提出了MUDdy，一种检验MUD profile语法与语义正确性的工具
  • 遵循YANG模型和IETF建议检查profile的语法正确性
  • 使用元图表示设备的网络资源访问情况并使用元图代数进行分析profile前后一致性
  • 参考SCADA最佳实践检查profile的适用性
• 提出了运行时分析IoT设备网络行为及MUD分类的方法
  • 先截取目标设备网络活动并生成MUD profile
  • 再对生成的profile与数据库已有的计算静态相似度和动态相似度
  • 根据各类预设场景对两个相似度设定阈值以进行识别

1.3 实验

目的：验证MUDgee自动生成IoT设备的MUD配置文件的能力，并验证MUDdy的检测分析能力。 内容： (1) 使用自主开发工具MUDgee，根据I测试环境IoT设备的网络流量包自动生成MUD配置文件。 (2) 使用MUDdy解析配置文件，检测冗余规则。 (3) 检查配置文件是否符合安全最佳实践。 结果：实验验证了自动生成和分析MUD配置文件的可行性，并检测到了一些存在问题的规则，为改进MUD提供了参考。 不足：生成的配置仅基于有限流量包，且设备被入侵时生成的配置可能不正确。

1.4 个人思考

• 本文涉及一种用于IoT设备网络安全的proffile，与交换机与路由器的配置文件不同，但同样具备使用语言模型进行生成的可能，即输入网络环境信息和抓取到的IoT设备的网络流并输出JSON格式的MUD profile.
• 文章中对于生成的MUD profile进行了语法和语义正确性的检查，其检查方法值得借鉴。