《结合物联网深度防御方法的防御感知威胁建模图优化》2023年最新171页论文

现代技术已经扩散到生活的几乎每个方面，同时提高了生活质量。例如，物联网技术比传统系统有了明显的改进，提供了生活的便利，节省了时间，节省了资金，并在安全方面有所保障。然而，与物联网技术相关的安全弱点会对人的因素构成重大威胁。例如，智能门铃可以使家庭生活更轻松，节省时间，节省资金，并提供监控安全。尽管如此，智能门铃的安全弱点可能会暴露在犯罪分子面前，对家庭的生命和金钱构成威胁。此外，物联网技术正在不断进步和扩大，并迅速在现代社会中变得无处不在。在这种情况下，使用量的增加和技术的进步产生了安全弱点，吸引了希望满足其议程的网络犯罪分子。

完美的安全解决方案在现实世界中并不存在，因为现代系统在不断改进，入侵者经常尝试各种技术来发现安全缺陷并绕过现代系统的现有安全控制。在这种情况下，威胁建模是了解系统的威胁状况及其弱点的一个重要起点。因此，计算机科学中的威胁建模领域通过实施各种框架来识别威胁和处理威胁以减轻威胁，得到了显著改善。然而，大多数成熟的威胁建模框架是针对传统的IT系统实施的，只考虑与软件相关的弱点，而不涉及物理属性。这种方法对于物联网技术可能并不实用，因为它继承了软件和物理安全的弱点。然而，学者们在物联网技术上采用了成熟的威胁建模框架，如STRIDE，因为成熟的框架仍然包括对现代技术有意义的安全概念。因此，成熟的框架不能被忽视，但在解决与现代系统相关的威胁方面并不高效。

作为一个解决方案，本研究旨在提取成熟的威胁建模框架的重要安全概念，并利用它们来实现强大的物联网威胁建模框架。本研究从研究人员中选择了15个威胁建模框架和深度防御的安全概念来提取威胁建模技术。随后，本研究进行了三次独立审查，以发现有价值的威胁建模概念及其对物联网技术的有用性。第一项研究推断，以软件为中心、以资产为中心、以攻击者为中心和以数据为中心的威胁建模方法与深度防御的整合是有价值的，并带来明显的好处。因此，PASTA和TRIKE展示了基于分类方案的四种威胁建模方法。第二项研究推断了威胁建模框架的特点，该框架对深入防御安全架构的满意度很高。根据评价标准，PASTA框架的满意度最高。最后，第三项研究在最近的研究基础上推导出物联网系统威胁建模技术。结果，STRIDE框架被确定为最受欢迎的框架，其他框架也表现出对物联网技术有价值的有效能力。

本研究介绍了防御感知威胁建模（DATM），这是一个基于威胁建模和深度防御安全概念的物联网威胁建模框架。DATM框架所涉及的步骤将用数字进一步描述，以便更好地了解情况。随后，考虑使用DATM框架进行威胁建模的智能门铃案例研究，以获得验证。此外，该案例研究的结果与三项研究的结果进一步评估，并验证了DATM框架。此外，本论文的成果对希望在物联网环境中进行威胁建模和设计适合物联网技术的新型威胁建模框架的研究人员有帮助。

引言

本章分四个部分叙述了本论文研究的核心价值。第一节解释了现代社会中物联网的基本问题。接下来，第二节探讨了进行本论文研究的意义。第三部分对旨在回答本研究的研究问题进行了深入探讨。最后，最后一节说明了论文方向，指出了整个研究的关键领域。

1.1 难题

现有的威胁建模框架为组织对物联网漏洞的适当响应提供了一个不足的系统（Aufner，2020）。如果从不同的安全相关问题考虑，物联网的使用和部署的快速发展和接受，放大了对网络攻击的期望和预期（Wurm, Hoang, Arias, Sadeghi & Jin, 2016; Hassan, 2019; Meneghello, Calore, Zucchetto, Polese & Zanella, 2019; Neshenko, Bou-Harb, Crichigno, Kaddoum & Ghani, 2019）。因此，研究人员在使用成熟的威胁建模框架评估物联网的威胁状况方面投入了大量精力。然而，目前成熟的威胁建模框架对物联网来说是低效的，因为威胁建模领域缺乏对物联网中遇到的实际威胁及其对用户影响的明显参考（Aufner，2020）。例如，物联网威胁建模仍然缺乏整体分析，因为框架很少关心物联网应用的物理部分，并假设软件在某处运行（换句话说，是设备），使其对基于硬件的威胁视而不见。

在许多例子中，研究人员无法识别大多数潜在的物联网威胁，这些威胁会破坏现实世界。例如，当Mirai僵尸网络（由40万个连接的物联网设备组成）在2016年通过执行最强大的DDoS攻击而瘫痪几个高知名度的服务时，人们见证了物联网的破坏性潜力（Jerkins，2017；De Donno, Dragoni, Giaretta & Spognardi, 2018；Jaramillo, 2018；Vlajic & Zhou, 2018）。根据2019年Netscout威胁情报报告，物联网设备在连接到互联网的5分钟内受到攻击，并在24小时内成为特定漏洞的目标（Netscout，2019）。此外，根据SAM无缝网络从1.32亿个活跃的物联网设备和73万个网络中收集的数据，2021年发生了超过10亿次物联网攻击（SAM无缝网络，2021）。显然，基于物联网的攻击对当代文明构成了严重的威胁，必须紧急解决。

在这个问题总结的基础上，本研究考虑了威胁建模的挑战。本研究的前提是，物联网威胁建模领域应进一步完善整体分析、风险评估和物理威胁的考虑。物联网威胁模型与作为其组成部分特征的物理和有形元素之间存在着物理脱节。物联网威胁建模需要纳入物联网的物理元素，因为它们影响了威胁建模领域的一部分

1.2 意义

物联网威胁建模领域应更加关注物联网系统的整体属性，以提供威胁情况的整体图景。尽管如此，研究人员仍然采用了成熟的威胁建模框架来理解威胁领域，因为这些框架包含了不容忽视的重要安全概念。为了考虑对威胁领域更广泛的理解，深度防御等安全概念被认为对改善系统的防御非常有价值。深度防御可以考虑采用实用的方法来解决威胁建模框架所确定的安全挑战（Rahman, Rahman, Wang, Tajik, Khalil, Farahmandi, ... & Tehranipoor, 2020）。在此基础上，值得回顾包含深入防御方法的成熟安全概念，以了解其特点。

本论文在三个方面具有重要意义，以加强充分的表达和语义考虑，从而实现对威胁的推理，改善系统在威胁建模领域的安全控制。首先，威胁模型促进了对系统结构的深入理解。许多方面都与特定的系统设计有专门的联系，各种概念层促进了对威胁和风险的认识的类似思考。这有助于从大局出发，找到其他工具或程序无法发现的问题和要素（Durdona, Shahboz, Lola & Sanobar, 2020）。此外，威胁模型可以描述系统架构中的软件和硬件威胁，因为与传统的 IT 系统相比，现代系统涉及物理问题。这在互联网的发展方面尤其明显。因此，一个典型的威胁模型可以用更多的抽象层次构建系统架构，发现更多的安全问题和攻击载体。

如果不解决表达和语义威胁推理的问题，通常会发生几件事。虽然威胁建模不能表达多个抽象层，但它会留下攻击载体，使其得不到解决，通常会被调查不足（Cam-Winget, Sadeghi & Jin, 2016; Yuce, Schaumont & Witteman, 2018）。一个系统的攻击面应该代表所有攻击向量（或渗透点）的总和，允许攻击者通过利用安全漏洞渗透到系统环境中（Rizvi, Orr, Cox, Ashokkumar & Rizvi, 2020）。因此，威胁建模应该尽可能地解决攻击面问题，当系统架构有更多的抽象层时，这一点是可以实现的。一般来说，一个简单的渗透点就足以让攻击者破坏一个系统，它可以导致复杂的攻击（Chen, Desmet & Huygens, 2014）。

此外，在一次尝试中，安全人员可能无法解决一个系统中的所有攻击面。然而，威胁建模图应该能够实现结构化和迭代式创建，允许进一步改进连续的威胁建模（Yskout, Heyman, Van Landuyt, Sion, Wuyts & Joosen, 2020）。同样地，威胁建模应该表达语义和语法，以便更深入地了解系统架构，解决攻击面问题（Castiglione & Lupu, 2020）。

第二个意义是，威胁模型可以以清晰易懂的方式呈现系统的攻击面，以评估威胁及其对系统的影响。众所周知，物联网技术容易受到广大领域的攻击，研究人员在使用攻击检测技术发现攻击方面投入了很多精力。例如，许多研究人员使用蜜罐等技术，发现了许多针对消费者物联网设备的现代攻击（Zhang, Zhang, Zhou, He & Ding, 2019; Xenofontos, Zografopoulos, Konstantinou, Jolfaei, Khan & Choo, 2021）。此外，物联网设备中某一特定类型的功能比其他功能更有吸引力。例如，松下公司的案例表明，与相机有关的物联网设备经历了大量的攻击，这导致了对这种类型的设备进行系统性的持续利用，以达到恶意和非法的确定（Palmer, 2019）。因此，一个典型的威胁模型可以用图形表示对指定系统的现有攻击面的清晰理解。

由于一些原因，解决有关在线环境的攻击方面的脆弱性和攻击的可能性的关键问题是非常重要的。当威胁建模不能解决系统在脆弱性方面的攻击面时，会产生太多的误报，并消耗时间和资源（Alshamrani, Myneni, Chowdhary & Huang, 2019; Tatam, Shanmugam, Azam & Kannoorpatti, 2021）。主要原因是，整个系统不会受到攻击者的攻击，即使攻击者能够看到系统的一部分（而不是整个系统）。在资源管理方面，对系统进行建模将消耗时间和资源，这不是现实的攻击场景。例如，将一个复杂的系统可视化会消耗时间和资源，与此同时，可能会遗漏对攻击者来说高度可见的小属性（Manzhosov & Bolodurina, 2020）。

此外，从以系统为中心的角度产生的攻击场景会表现出高水平的假阳性，而这些假阳性是不现实的，几乎不会发生。一般来说，整个系统对攻击者来说往往是不可见的，对与对手攻击无关的系统区域进行建模可能是毫无意义和不费吹灰之力的（Shostack，2014）。例如，与其他层相比，应用层可能具有最多的安全漏洞（Maheshwari & Prasanna，2016）。然而，另一方面，从攻击者的角度来看，系统的一部分会被攻击者看到漏洞，攻击者会发现各种攻击方案来破坏系统。因此，如果威胁建模不主要集中在系统的漏洞、攻击路径和攻击场景方面的攻击者方面，就会消耗时间和资源，导致太多的误报（Potteiger, Martins & Koutsoukos, 2016）。

第三个意义是，威胁模型验证了现有的安全控制和系统。威胁模型描述了对特定系统的现代攻击，然后是系统中现有的安全措施来面对这些攻击。考虑到系统的攻击和防御方面，威胁模型突出了需要立即关注的关键领域，以提高安全性来减轻威胁。此外，深度防御等安全概念可以实施分层防御，以抵御最多攻击，保护系统。例如，一个适当的深度防御策略有可能打消各种攻击者及其相关攻击系统的积极性。它可以用来识别新的和正在出现的攻击载体，提供一个强大的方法来提供巨大的安全改进（Asghar, Hu & Zeadally, 2019; Fabro, 2007）。虽然每个防御机制单独对网络安全攻击的价值有限，但深度防御战略中的防御机制的集合提供了整体安全计划中更有价值和实用的部分。这样一来，威胁模型可以促进评估系统中现有安全措施的方法。

重要的是要明白，如果我们不验证一个包含深度防御的模型，那么有几个后果会立即发挥作用。安全控制的实施可能是昂贵的，威胁模型需要验证纳入纵深防御，以避免不必要的安全控制实施花费金钱，不能最大限度地减少对手的攻击。如果防御措施要花钱，又不能保护对手的攻击，那是没有用的。在企业或组织结构中，深度防御等控制措施的成本经常被用作驱动因素，以论证排除深度防御的方法（Ayo, Ngala, Amzat, Khoshi & Madusanka, 2018）。传统的威胁模型对已识别的或高风险的威胁实施安全控制。然而，低风险的威胁可能是至关重要的，因为它可能没有任何安全控制的实施来防御，允许入侵者。这样一来，威胁模型必须突出系统中考虑防御措施的关键问题（Nugraha, Brown & Sastrosubroto, 2016; Sadlek, Čeleda & Tovarňák, 2022）。

此外，安全控制的实施应该是结构化的，因为单一的对策无法抵御对抗性攻击。一般来说，完美的安全控制措施是不存在的，也不会有能防止所有对抗性攻击的安全控制措施。因此，最大限度地减少对抗性攻击的最佳方式是将安全控制措施配合起来，以弥补彼此的不足（Pendleton, Garcia-Lebron, Cho & Xu, 2016; Wolf, 2016）。通过这种方式，深度防御的加入促进了一套更有条理的安全措施的概念，更有利于防御系统免受对手的攻击。如果有更多的安全措施而没有结构化的方法，那么它们将不能说明有效和高效的防御策略，反而会浪费金钱。这样一来，一个经过验证的威胁模型如果没有纳入深度防御的方法，就会既费钱又更容易受到对手的攻击。

最后，在威胁建模图中包括安全控制，有利于安全方进行安全相关的架构决策，如增加或改进防御措施。然而，假设威胁建模图不支持安全相关的架构决策。在这种情况下，安全团队必须做出额外的努力来构建模型、图示或文档，以便在实施缓解策略时了解现有的安全解决方案。因此，安全团队将消耗时间和资源来了解系统现有的防御潜力，以增加或改善安全控制来降低风险。因此，在威胁建模图中包括安全控制措施，有利于安全各方轻松了解整个安全保障过程，并节省时间和资源。

本论文的意义在于发现了一些规范，这些规范加强了充分的表达和语义，使威胁的推理成为可能，并在成熟的威胁模型和深度防御安全概念方面改善了系统的安全控制。因此，本研究的结果可能为改进成熟的威胁建模框架或探索开发新的威胁建模框架的新思路铺平道路。

1.3 研究问题

基于物联网威胁建模领域的问题和改进要求的意义，融合了深度防御方法的成熟威胁建模可以提供一个强大的威胁建模框架。因此，本论文制定了三个总体研究问题和一系列子问题，以从成熟的安全和威胁建模概念中提取重要特征。这些问题和子问题如下：

• R1--哪种威胁建模观点主要从整合威胁建模和深度防御概念中获益？

  • R1.1--什么是与深入防御概念有效结合的强大威胁建模方法？

  • R1.2 - 什么是与深入防御概念有效结合的强大威胁建模框架？

• R2 - 哪些威胁建模人工制品能够胜任实施防御意识的威胁建模图？

  • R2.1 - 威胁建模图的哪些特征满足深度防御安全架构？

  • R2.2 - 哪些合适的威胁建模工件可以构建深度防御的安全架构？

• R3--物联网技术上采用的不同威胁建模框架是什么？

  • R3.1 - 物联网中被引用最多的威胁建模框架是什么，以及选择它的原因？

  • R3.2 - 哪些框架或技术被用于物联网的系统性威胁建模？

  • R3.3 - 在物联网中采用成熟的威胁建模框架的关键挑战是什么？

提出这些问题是为了回顾威胁建模领域过去的文献，并获得引入物联网威胁建模框架的宝贵规范。第一个问题反映了将威胁建模与深度防御概念相结合的意义。第二个问题评估了威胁建模框架中的系统化威胁建模和深度防御安全架构的特点。最后，第三个问题提供了对物联网威胁建模的现有文献及其挑战的理解。

1.4 研究路线图

本研究报告从导言到结论都采用了简单明了的顺序方法。随后，本论文被组织成八个章节，如图1所示。第1章叙述了本研究解决的问题及其意义，研究问题描述了旨在回答的领域。第2章介绍了相关的观点、文献，以及与所进行的研究有关的公认的差距。在这之后，第3章专门探讨了关于威胁建模的文献。然后，第4章介绍了为回答研究问题而制定的研究方法。它还提供了研究设计和本研究过程中遵循的程序。第5章介绍了研究结果，并进行了讨论，以了解所进行的研究的结果。第6章批判性地审视了经验性的发现，并对提出的研究子问题进行了深入的推理和回答。它描述了研究推论，并强调了有价值的威胁建模和深入防御的概念。然后，第7章描述了使用确定的威胁建模和安全概念的引入的物联网威胁建模框架。随后，第8章通过评估是否实现了预期的结果来验证引入的物联网威胁建模框架。最后，在第9章中，通过提供对主要研究问题的回应、本研究公认的好处、本研究的边界以及可想而知的未来研究载体来完成本研究。