韋早裕 吳鳴旦 馬 楠 雷 敏 畢 偉

1(北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 北京 100876)2(杭州安恒信息技術(shù)有限公司 杭州 310051)

3(中思博安科技有限公司 北京 100088)

(weizaoyu2017@bupt.edu.cn)

系統(tǒng)風(fēng)險(xiǎn)評(píng)估的主要目的是量化系統(tǒng)運(yùn)行過程中可能發(fā)現(xiàn)的各類風(fēng)險(xiǎn)，估計(jì)風(fēng)險(xiǎn)的可能性和對(duì)系統(tǒng)正常工作的影響程度，進(jìn)而劃分風(fēng)險(xiǎn)的優(yōu)先級(jí)，為制定系統(tǒng)風(fēng)險(xiǎn)管理計(jì)劃及對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行監(jiān)控提供依據(jù)和參考［1］.根據(jù)文獻(xiàn)［2］對(duì)風(fēng)險(xiǎn)評(píng)估體系的研究，風(fēng)險(xiǎn)評(píng)估的方法大致可分為三大類:定量的風(fēng)險(xiǎn)評(píng)估方法、定性的風(fēng)險(xiǎn)評(píng)估方法、定性與定量相結(jié)合的評(píng)估方法.本文采用定量的風(fēng)險(xiǎn)評(píng)估分析方法，以物聯(lián)網(wǎng)系統(tǒng)為研究對(duì)象，主要針對(duì)風(fēng)險(xiǎn)評(píng)估過程中的關(guān)鍵步驟——脆弱性和威脅分析、制定及評(píng)估控制措施——進(jìn)行研究，首先對(duì)物聯(lián)網(wǎng)系統(tǒng)中的脆弱性要素進(jìn)行分類識(shí)別，再通過博弈論等方法對(duì)攻防策略收益進(jìn)行量化分析.

而脆弱性是信息系統(tǒng)本身的固有屬性，任何系統(tǒng)都有其脆弱性，物聯(lián)網(wǎng)系統(tǒng)也不例外.脆弱性是造成安全風(fēng)險(xiǎn)的內(nèi)在原因和基本前提，脆弱性評(píng)估的目標(biāo)是分析和度量信息系統(tǒng)存在的漏洞以及漏洞的嚴(yán)重程度，主要包括對(duì)漏洞的預(yù)期危害和利用難易度的評(píng)估［3］.目前漏洞利用難易度的評(píng)估技術(shù)已經(jīng)相對(duì)成熟，國內(nèi)外的評(píng)估標(biāo)準(zhǔn)已經(jīng)形成體系，我國一般采用中國國家信息安全漏洞庫(China National Vulnerability Database，CNNVD)等機(jī)構(gòu)發(fā)布的數(shù)據(jù)進(jìn)行漏洞利用難易度的計(jì)算.同時(shí)物聯(lián)網(wǎng)系統(tǒng)與傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)的漏洞利用難易度的評(píng)估方法很大程度是相似的，因此本文不再對(duì)漏洞利用難易度評(píng)估技術(shù)進(jìn)行研究，而重點(diǎn)關(guān)注漏洞危害評(píng)估技術(shù).

由于物聯(lián)網(wǎng)安全產(chǎn)業(yè)的發(fā)展仍處于起步階段，當(dāng)前大部分物聯(lián)網(wǎng)的漏洞評(píng)估體系仍是采用由美國基礎(chǔ)設(shè)施顧問委員會(huì)(National Infrastructure Advisory Coucil，NIAC)開發(fā)的通用漏洞評(píng)分系統(tǒng)(common vulnerability scoring system，CVSS)或《信息安全技術(shù)安全漏洞等級(jí)劃分指南》規(guī)定的漏洞評(píng)級(jí)標(biāo)準(zhǔn)，在一定程度上忽視了物聯(lián)網(wǎng)系統(tǒng)復(fù)雜的架構(gòu)，以及特有的安全威脅.除此之外，傳統(tǒng)的漏洞評(píng)估體系無法全面地體現(xiàn)攻防雙方在網(wǎng)絡(luò)節(jié)點(diǎn)上的對(duì)抗行為，忽略了攻擊者攻擊策略的復(fù)雜性以及防御者可能采取的防御措施，僅從漏洞利用難易度和單一漏洞危害對(duì)系統(tǒng)脆弱性進(jìn)行評(píng)估，并不能完全準(zhǔn)確地反映物聯(lián)網(wǎng)系統(tǒng)的安全狀況及節(jié)點(diǎn)的脆弱程度.

本文綜合考慮物聯(lián)網(wǎng)的架構(gòu)，基于攻擊層、攻擊面和攻擊點(diǎn)3個(gè)方面對(duì)系統(tǒng)可能存在的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別，并通過建立物聯(lián)網(wǎng)攻防博弈模型，量化相關(guān)成本或收益參數(shù)，以研究物聯(lián)網(wǎng)系統(tǒng)下攻防對(duì)抗雙方的制約關(guān)系，選擇物聯(lián)網(wǎng)系統(tǒng)最優(yōu)的防御策略，從而更準(zhǔn)確地量化分析特定攻防策略下漏洞危害，完成對(duì)物聯(lián)網(wǎng)系統(tǒng)脆弱性的識(shí)別與評(píng)估，制定合理的安全風(fēng)險(xiǎn)控制措施.

1 物聯(lián)網(wǎng)安全概述

物聯(lián)網(wǎng)被人們視為是繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后信息技術(shù)產(chǎn)業(yè)發(fā)展的第3次革命，其泛在化的網(wǎng)絡(luò)特性使得萬物互聯(lián)正在成為可能，已經(jīng)逐漸應(yīng)用到社會(huì)生活的各個(gè)領(lǐng)域［4］.

圖1 智能家居物聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)

表1 智能家居物聯(lián)網(wǎng)系統(tǒng)安全漏洞分類

物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)基礎(chǔ)上的延伸和拓展.但由于物聯(lián)網(wǎng)對(duì)于互聯(lián)網(wǎng)絡(luò)的天然繼承性，使得針對(duì)傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)的各類攻擊也同樣適用于物聯(lián)網(wǎng)系統(tǒng).然而在物聯(lián)網(wǎng)存在與互聯(lián)網(wǎng)類似的安全危險(xiǎn)的同時(shí)，還會(huì)因?yàn)樽陨淼奶厥饧軜?gòu)以及其他不斷出現(xiàn)的新特性，受到更多更復(fù)雜的安全威脅.

本文對(duì)物聯(lián)網(wǎng)安全問題的研究是以智能家居(smart home)物聯(lián)網(wǎng)為主要研究對(duì)象.智能家居，也稱家庭自動(dòng)化、家庭網(wǎng)絡(luò)等，它是物聯(lián)網(wǎng)的重要應(yīng)用之一.基于物聯(lián)網(wǎng)的智能家居，融合了自動(dòng)化控制系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)通信技術(shù)于一體，構(gòu)建有效、便捷的住宅設(shè)施與家庭日程事務(wù)的管理系統(tǒng).它以電視、冰箱、空調(diào)等終端設(shè)備為主要承載，立足家庭應(yīng)用環(huán)境，以人為中心，實(shí)現(xiàn)各終端間的廣泛互聯(lián)和智能協(xié)同.一般地，智能家居物聯(lián)系統(tǒng)由智能終端、云端、手機(jī)APP及相關(guān)通信網(wǎng)絡(luò)組成，其大致網(wǎng)絡(luò)架構(gòu)如圖1所示.其網(wǎng)絡(luò)節(jié)點(diǎn)包括控制點(diǎn)、設(shè)備和云端.控制點(diǎn)是物聯(lián)網(wǎng)系統(tǒng)中的控制器，手機(jī)、PAD、機(jī)頂盒等人機(jī)交互設(shè)備都可以作為控制點(diǎn).設(shè)備是服務(wù)提供者，電視、空調(diào)、冰箱、煙灶、開關(guān)、窗簾等都可以作為設(shè)備.云端是數(shù)據(jù)存儲(chǔ)和信息處理中心.

從攻擊者的角度按照攻擊層、攻擊面和攻擊點(diǎn)3個(gè)方面，對(duì)物聯(lián)網(wǎng)系統(tǒng)的脆弱性進(jìn)行識(shí)別，如表1所示［5］.其中攻擊層為上述網(wǎng)絡(luò)架構(gòu)中的3個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，即設(shè)備終端、手機(jī)端和云端.

2 物聯(lián)網(wǎng)攻防博弈模型

2.1 模型定義

關(guān)于博弈論的應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)研究如下:文獻(xiàn)［6］提出了基于網(wǎng)絡(luò)防御圖的攻防博弈模型和最優(yōu)主動(dòng)防御選取算法;文獻(xiàn)［7］提出了基于博弈論的安全問題分析方法，再通過均衡的計(jì)算找出攻防雙方的最優(yōu)策略.但針對(duì)物聯(lián)網(wǎng)的博弈模型，根據(jù)相關(guān)網(wǎng)絡(luò)安全的博弈理論模型，本文提出物聯(lián)網(wǎng)基于完全信息的靜態(tài)貝葉斯博弈模型.

在攻防博弈模型的建立時(shí)，需要基于以下2個(gè)基本假設(shè):

假設(shè)1.理性假設(shè).攻擊者是理性的決策主體，不發(fā)動(dòng)無利可圖的攻擊.

假設(shè)2.利益假設(shè).攻擊者和防御者都是按照最大化自我利益的原則選取策略.

在物聯(lián)網(wǎng)系統(tǒng)中，如果攻擊者選擇攻擊層Li(如云端)進(jìn)行攻擊，則攻防雙方在這一網(wǎng)絡(luò)節(jié)點(diǎn)形成博弈.顯然，攻擊者和防御者之間存在目標(biāo)對(duì)立和關(guān)系非合作的特點(diǎn)［8］，并且攻防雙方的策略實(shí)施需要相應(yīng)代價(jià)，即雙方收益之和不為0，因此本文根據(jù)2人非合作非零和博弈論建立物聯(lián)網(wǎng)攻防博弈模型IoTADG(Internet of things attack-defense game model).

定義1.物聯(lián)網(wǎng)攻防博弈模型IoTADG是描述針對(duì)物聯(lián)網(wǎng)系統(tǒng)攻擊層Li的攻防對(duì)抗行為的博弈模型，用五元組 IoTADG=(L，P，U，AS，DS)表示.

1)L是物聯(lián)網(wǎng)系統(tǒng)的攻擊層集合.根據(jù)表1，智能家居物聯(lián)網(wǎng)系統(tǒng)的具體攻擊層為:L1設(shè)備終端、L2控制APP和L3云端.

2)P=(PA，PD)是對(duì)攻擊層Li的攻防博弈參與者集合，代表攻防策略制定和選擇的主體.其中PA代表攻擊者，PD代表防御者.

3)AS，DS是攻擊者和防御者的策略空間，代表針對(duì)攻擊層Li的攻擊策略和防御策略.其中，攻擊策略集合為AS={Ai|1≤i≤n}，防御策略集合為 DS={Dj|1≤j≤m}.

4)U={UA，UD}是攻防對(duì)抗雙方的收益函數(shù)集合，當(dāng)用不同的策略進(jìn)行博弈時(shí)，攻防雙方的收益也會(huì)不同［9］.

為適應(yīng)當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)及物聯(lián)網(wǎng)的特殊性，本文的攻擊策略是指針對(duì)特定攻擊層中不同的漏洞組合形成的攻擊策略，同時(shí)也包括單個(gè)漏洞組成的攻擊策略，而非指文獻(xiàn)［10］中針對(duì)單一漏洞的多種攻擊動(dòng)作組合.例如，單一的弱口令漏洞幾乎是不能給攻擊者產(chǎn)生收益的，該漏洞需要配合用戶名暴力枚舉形成相應(yīng)攻擊策略，攻擊者才能獲取用戶權(quán)限產(chǎn)生一定的收益.而防御策略是根據(jù)物聯(lián)網(wǎng)系統(tǒng)所能夠采取的多種防御動(dòng)作組合形成的.

2.2 攻防策略收益分析與量化

網(wǎng)絡(luò)攻防策略的分析與量化是構(gòu)建博弈模型的基礎(chǔ).物聯(lián)網(wǎng)系統(tǒng)的各網(wǎng)絡(luò)節(jié)點(diǎn)的重要程度在不同的系統(tǒng)環(huán)境中是不同的，并且各種攻擊策略的固有危害也是不同的，因此系統(tǒng)損失的量化需要結(jié)合攻擊層及攻擊固有危害進(jìn)行計(jì)算.

借鑒文獻(xiàn)［11-14］的量化思路及物聯(lián)網(wǎng)系統(tǒng)的架構(gòu)，下面給出攻防策略收益量化相關(guān)定義.

定義2.攻擊回報(bào)AR(attack reward)表示攻擊者通過特定攻擊策略攻擊物聯(lián)網(wǎng)系統(tǒng)成功后獲得的收益，記作正值.

定義3.攻擊代價(jià)AC(attack cost)表示攻擊者使用的攻擊策略所耗費(fèi)的經(jīng)濟(jì)、時(shí)間、軟硬件資源和人工資源等，記作負(fù)值.

根據(jù)漏洞的利用難易度以及耗費(fèi)的資源，將攻擊點(diǎn)的代價(jià)分為3個(gè)級(jí)別，并根據(jù)系統(tǒng)的要求定量賦值，表2是針對(duì)家居物聯(lián)網(wǎng)系統(tǒng)本文給出的量化信息.

表2 攻擊代價(jià)等級(jí)量化表

定義4.違法成本OC(offend cost)表示攻擊者發(fā)動(dòng)攻擊后被發(fā)現(xiàn)時(shí)的違法成本，記作固定的負(fù)值，此處設(shè)OC=－10.

定義5.防御回報(bào)DR(defense reward)表示物聯(lián)網(wǎng)系統(tǒng)在特定攻擊層采取防御策略后，物聯(lián)網(wǎng)系統(tǒng)減少的信息資產(chǎn)損失，記作正值.

定義6.防御代價(jià)DC(defense cost)表示物聯(lián)網(wǎng)系統(tǒng)采用特定防御策略時(shí)所耗費(fèi)的經(jīng)濟(jì)、時(shí)間、軟硬件資源、人工資源以及防御策略導(dǎo)致的服務(wù)質(zhì)量下降的影響等，記作負(fù)值.

根據(jù)防御操作的復(fù)雜程度及對(duì)計(jì)算資源的影響程度，將防御行為的代價(jià)分為3個(gè)級(jí)別.

表3 防御代價(jià)等級(jí)量化表

定義7.資產(chǎn)損失AD(asset damage)表示物聯(lián)網(wǎng)系統(tǒng)某一攻擊層在攻擊者攻擊成功后，信息資產(chǎn)遭受的損失，記作負(fù)值.

攻擊者收益一般小于網(wǎng)絡(luò)系統(tǒng)的損失，但本文為了簡便分析，把網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)損失作為攻擊者的收益所得;防御回報(bào)一般也可用攻擊對(duì)網(wǎng)絡(luò)系統(tǒng)的資產(chǎn)損失來表示，即AR=DR=－AD.

此處使用危害系數(shù)θ，δ和安全屬性的損害來量化物聯(lián)網(wǎng)系統(tǒng)的資產(chǎn)損失.參考CNNVD的可影響性指標(biāo)，將安全屬性的損害分為機(jī)密性損害confimpact、完整性損害integimpact和可用性損害availimpact.計(jì)算公式為

其中(Wc，Wi，Wa)代表每一種安全屬性的權(quán)重系數(shù)，不同物聯(lián)網(wǎng)系統(tǒng)的安全屬性權(quán)重可能不一致，但都需滿足Wc+Wi+Wa=1.每種安全屬性損害的值一般用高、中、低來進(jìn)行分類，然后進(jìn)行合適的賦值，再根據(jù)安全屬性的權(quán)重計(jì)算該攻擊策略的固有危害，表示漏洞對(duì)目標(biāo)系統(tǒng)產(chǎn)生的危害評(píng)估.攻擊層危害系數(shù)θ依據(jù)不同的攻擊層進(jìn)行取值，θ∈［0，10］;攻擊面危害系數(shù)δ同樣依據(jù)不同的攻擊面進(jìn)行取值，δ∈［0，1］.以智能家居物聯(lián)網(wǎng)系統(tǒng)為例，由于云端是數(shù)據(jù)存儲(chǔ)及信息處理的中心，云端的危害系數(shù)θc最高;而控制APP可能控制多臺(tái)設(shè)備，因此控制APP的危害系數(shù)θa次之;設(shè)備終端的危害系數(shù) θe最低，即 θc≥θa≥θe.而在云端的2個(gè)攻擊面中，云端數(shù)據(jù)存儲(chǔ)受到攻擊的損害一般也大于云端Web接口，即δd≥δw.機(jī)密性損害confimpact、完整性損害integimpact和可用性損害availimpact的量化取值如表4所示［15］:

表4 安全屬性評(píng)分量化表

定義8.防御成功率qij表示在物聯(lián)網(wǎng)系統(tǒng)某一攻擊層中，攻擊者和防御者采取攻防策略Ai和Dj時(shí)防御策略成功的概率，qij∈［0，1］.

針對(duì)2人非合作非零和博弈論推導(dǎo)攻防策略收益函數(shù)，假設(shè)攻擊者采用攻擊策略為Ai，防御者采用防御策略Dj，則防御成功率為qij，在不考慮博弈信息約束時(shí)，可推導(dǎo)出攻擊者的收益期望:

防御者的收益期望為:

令 UA(Ai，Dj)=aij，UD(Ai，Dj)=dij，可以列出攻防博弈的收益矩陣(UA，UD):

2.3 均衡分析和漏洞風(fēng)險(xiǎn)評(píng)估

依據(jù)博弈基本理論，由于純策略可以看作對(duì)應(yīng)策略的選擇概率為1，其余策略選擇概率為0的混合策略.因此，使用混合策略進(jìn)行IoTADG模型的博弈均衡分析.

設(shè)攻擊者和防御者分別依據(jù)概率向量x=(x1，x2，…，xn)，y=(y1，y2，…，ym)選擇攻擊策略和防御策略.根據(jù)布魯維爾不動(dòng)點(diǎn)定理可知，每一個(gè)有限博弈都有一個(gè)均衡點(diǎn).由于物聯(lián)網(wǎng)系統(tǒng)的攻防博弈是一個(gè)有限博弈，物聯(lián)網(wǎng)攻防博弈模型IoTADG必存在一個(gè)混合策略(x*，y*)構(gòu)成納什均衡，且(x*，y*)滿足如下條件:

通過博弈均衡的定義可知，納什均衡解中的混合策略的收益期望值優(yōu)于其他策略，因此對(duì)攻防博弈的收益矩陣(UA，UD)可得到攻擊者的最優(yōu)攻擊混合策略x*和防御者的最優(yōu)防御混合策略y*.通過分析最優(yōu)防御混合策略y*，制定防御控制措施，選擇出最優(yōu)防御策略.此時(shí)，在已知最優(yōu)防御策略的情況下，再次結(jié)合收益矩陣(UA，UD)計(jì)算，可獲得各個(gè)攻擊策略在最優(yōu)防御策略下的收益期望UA(Ai，D*)，作為該攻擊策略的漏洞綜合危害，完成脆弱性的量化分析，從而支撐后續(xù)風(fēng)險(xiǎn)評(píng)估過程.

3 應(yīng)用實(shí)例分析

本文應(yīng)用以圖2所示的某智能家居物聯(lián)網(wǎng)拓?fù)浣Y(jié)構(gòu)模擬物聯(lián)網(wǎng)攻防情景，以驗(yàn)證前文提出的博弈模型和脆弱性量化分析方法.

圖2 某智能家居物聯(lián)網(wǎng)網(wǎng)絡(luò)拓?fù)?/p>

各網(wǎng)絡(luò)節(jié)點(diǎn)的防御強(qiáng)度及可采取的防御行為是不同的，云端的防御強(qiáng)度顯然要比設(shè)備終端和手機(jī)端高，可采取的防御行為更為多樣.假定上述物聯(lián)網(wǎng)系統(tǒng)可采取的防御行為如表5所示，同時(shí)對(duì)防御行為進(jìn)行編號(hào)，并給出防御行為相應(yīng)的防御代價(jià).

表5 防御代價(jià)信息表

以攻擊層L3云端為例作漏洞綜合危害分析，即假設(shè)攻擊者選定IP3云端服務(wù)器為攻擊對(duì)象.云端可能采取的防御策略有D1(d31)，D2(d31，d32)，D3(d31，d33)，D4(d31，d34)，D5(d32，d33)，D6(d31，d32，d33)，D7(d31，d32，d34)，D8(d31，d32，d33，d34).

根據(jù)表1信息識(shí)別云端存在的脆弱性.若云端服務(wù)器存在的攻擊點(diǎn)如表6所示，同時(shí)給出各攻擊點(diǎn)的攻擊代價(jià)并對(duì)各漏洞進(jìn)行編號(hào).

表6 攻擊代價(jià)信息表

結(jié)合表6及一般攻擊思路，可得攻擊者的攻擊策略為 A1(a1)，A2(a2，a3)，A3(a4，a5)，A4(a6，a7)，并對(duì)各個(gè)攻擊策略的安全屬性進(jìn)行評(píng)分，評(píng)分結(jié)果如表7所示:

表7 安全屬性信息表

根據(jù)本物聯(lián)網(wǎng)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，對(duì)各個(gè)參數(shù)進(jìn)行賦值，令 θc=10，θa= θe=5;δd=1，δw=1;Wc=0.35，Wi=0.3，Wa=0.35.由式(1)可得 A1，A2，A3，A4的攻擊回報(bào) AR 分別為 54，66，40，66.經(jīng)過統(tǒng)計(jì)，得到針對(duì)各攻擊策略的防御成功率如表8所示:根據(jù)式(2)(3)可計(jì)算出攻防雙方博弈的收益矩陣(UA，UD):

表8 防御成功率表

通過2.3節(jié)給出的方法可計(jì)算出收益矩陣(UA，UD)的 Nash 均衡:x*=(0，0，0，1)，y*=(0，0，0，0，0，1，0，0).即在此物聯(lián)網(wǎng)系統(tǒng)下，攻防雙方的Nash均衡混合策略計(jì)算為純策略，攻擊者的最優(yōu)攻擊策略是A4，云端的最優(yōu)防御策略是D6.

因此對(duì)防御者來說，綜合分析物聯(lián)網(wǎng)系統(tǒng)的安全風(fēng)險(xiǎn)及防御成本，應(yīng)在云端服務(wù)器及時(shí)進(jìn)行系統(tǒng)的更新，并開啟行為過濾和異常字段識(shí)別的防御措施.

在防御方選擇了最優(yōu)防御策略D6的情況下，結(jié)合攻防雙方博弈的收益矩陣(UA，UD)，得到A1，A2，A3，A4這4種攻擊策略對(duì)云端的漏洞綜合危害分別為 －0.42，1.12，－15.8，5.5.

通過比較這4種攻擊策略的綜合危害，可以對(duì)云端服務(wù)器的脆弱性進(jìn)行安全風(fēng)險(xiǎn)評(píng)估.在啟用了合適的安全防御策略后，用戶名暴力枚舉和弱口令的攻擊對(duì)于云端服務(wù)器的威脅性最低，攻擊者幾乎無法通過字典攻擊等爆破行為非法進(jìn)入云端的數(shù)據(jù)庫;而利用SQL注入、文件上傳、文件包含等傳統(tǒng)Web安全漏洞的攻擊也很容易被攔截，威脅程度不高;而針對(duì)數(shù)據(jù)庫的提權(quán)攻擊仍較難防御，對(duì)云端服務(wù)器有較高的威脅.

4 總 結(jié)

針對(duì)物聯(lián)網(wǎng)的漏洞風(fēng)險(xiǎn)識(shí)別和評(píng)估問題，本文采用定量的安全風(fēng)險(xiǎn)分析方法，提出了物聯(lián)網(wǎng)漏洞的分類、物聯(lián)網(wǎng)攻防模型的建立以及物聯(lián)網(wǎng)漏洞危害量化評(píng)估方法.

本文首先系統(tǒng)地整理了物聯(lián)網(wǎng)系統(tǒng)存在的安全威脅，從攻擊者的角度，按照攻擊層、攻擊面和攻擊點(diǎn)3個(gè)方面，給出識(shí)別物聯(lián)網(wǎng)漏洞的一種分類方法，完成風(fēng)險(xiǎn)評(píng)估體系中的資產(chǎn)與脆弱性識(shí)別.然后根據(jù)物聯(lián)網(wǎng)系統(tǒng)架構(gòu)的特點(diǎn)，提出了一個(gè)新的基于物聯(lián)網(wǎng)攻擊層的五元組攻防博弈模型，該模型對(duì)攻防博弈雙方策略的收益與成本逐一進(jìn)行量化賦值.再通過對(duì)收益矩陣進(jìn)行均衡分析，計(jì)算出防御者的最優(yōu)防御策略，在此基礎(chǔ)上，從防御者的角度計(jì)算基于多個(gè)漏洞組合的攻擊策略的綜合危害，從而使防御者能更準(zhǔn)確地評(píng)估物聯(lián)網(wǎng)系統(tǒng)的脆弱點(diǎn)，并以最優(yōu)的防御代價(jià)進(jìn)行網(wǎng)絡(luò)安全加固.最后通過實(shí)例模擬智能家居物聯(lián)網(wǎng)系統(tǒng)云端的安全測(cè)評(píng)，證明本漏洞風(fēng)險(xiǎn)評(píng)估方法的可用性.

目前針對(duì)物聯(lián)網(wǎng)在安全風(fēng)險(xiǎn)評(píng)估技術(shù)方面并沒有統(tǒng)一規(guī)范的標(biāo)準(zhǔn)，本文關(guān)于物聯(lián)網(wǎng)安全的漏洞分類列表雖然有明確的層次結(jié)構(gòu)，但仍需要大量實(shí)際物聯(lián)網(wǎng)漏洞案例進(jìn)行完善，擴(kuò)充其深度.其次，在物聯(lián)網(wǎng)攻防博弈模型中，架構(gòu)體系已經(jīng)較為完善，算法流程也簡潔清晰，但是其參數(shù)的量化賦值和公式推導(dǎo)等等細(xì)節(jié)還需要在更多大量的實(shí)際案例中驗(yàn)證，作出更加準(zhǔn)確和有效的調(diào)整.應(yīng)用實(shí)例是以云端服務(wù)器為例進(jìn)行分析計(jì)算，最后計(jì)算的漏洞綜合危害雖然能正確反映云端服務(wù)器各脆弱性的威脅程度，但結(jié)果出現(xiàn)負(fù)值，即參數(shù)的量化賦值仍需作出修改，使評(píng)估結(jié)果更為直觀.

后續(xù)的研究需要進(jìn)一步在實(shí)踐中進(jìn)行優(yōu)化，從更多的實(shí)踐結(jié)果中構(gòu)建更完善穩(wěn)定的模型與算法，從而在更加準(zhǔn)確和有效的脆弱性量化分析的基礎(chǔ)上支撐物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)評(píng)估體系.