[go: up one dir, main page]

TW201814575A - 緩解物聯網路(iot)蠕蟲 - Google Patents

緩解物聯網路(iot)蠕蟲 Download PDF

Info

Publication number
TW201814575A
TW201814575A TW106125811A TW106125811A TW201814575A TW 201814575 A TW201814575 A TW 201814575A TW 106125811 A TW106125811 A TW 106125811A TW 106125811 A TW106125811 A TW 106125811A TW 201814575 A TW201814575 A TW 201814575A
Authority
TW
Taiwan
Prior art keywords
iot
worm
processor
addresses
router device
Prior art date
Application number
TW106125811A
Other languages
English (en)
Inventor
羅撒里歐 坎馬羅塔
彼拉堡 汀那柯爾史瑞斯法普
Original Assignee
美商高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商高通公司 filed Critical 美商高通公司
Publication of TW201814575A publication Critical patent/TW201814575A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本案提供了用於緩解物聯網路(IoT)蠕蟲的系統、方法和裝置,包括編碼在電腦儲存媒體上的電腦程式。在一個態樣,路由器設備的處理器可以隨機地選擇複數個網際網路協定(IP)位址。該處理器可在該複數個隨機選擇的IP位址處暴露一或多個模擬服務。該處理器可決定是否在該等隨機選擇的IP位址之一處偵測到IoT蠕蟲通訊活動。該處理器可回應於在所選IP位址之一處偵測到IoT蠕蟲通訊活動而容許或以其他方式使得IoT蠕蟲能存取該等模擬服務之一。

Description

緩解物聯網路(IoT)蠕蟲
本案係關於緩解物聯網路(IoT)蠕蟲,尤其係關於偵測和主動解決IoT蠕蟲。
包括無線通訊能力的計算設備正變得更小、更便宜且日益普遍。此類計算設備被納入到越來越多的物件中,從而逐漸建立出大規模分散式計算設備網路,其通常被稱為物聯網路(IoT)。由本端存取點(諸如Wi-Fi存取點)服務的普通住宅和商用電腦網路正日益被IoT設備填充。
網路上使用IoT設備作為將惡意軟體引入到該網路的媒介的惡意軟體攻擊正成為主要關注的問題。此類所謂的「IoT蠕蟲」共享某些共同的行為。例如,IoT蠕蟲可執行掃瞄以找到網路的存取點上的開放通訊端,並隨後嘗試決定存取該網路的密碼。一旦獲得網路存取,惡意軟體就將惡意軟體有效負荷注入到該存取點中以在該網路上執行動作,並進一步分發惡意軟體或有效負荷。
本案的系統、方法和設備各自具有若干創新性態樣,其中並不由任何單個態樣全權負責本文中所揭示的期望屬性。
本案描述的標的的一個創新態樣可在一種緩解物聯網路(IoT)蠕蟲的方法中實現。在一些實現中,該方法可包括以下步驟:由路由器設備隨機地選擇複數個網際網路協定(IP)位址;在該隨機選擇的複數個IP位址處暴露一或多個模擬服務;決定是否在所選IP位址之一處偵測到IoT蠕蟲活動;及回應於在所選IP位址之一處偵測到IoT蠕蟲通訊活動而使得IoT蠕蟲能存取該等模擬服務之一。
一些實現可進一步包括將該隨機選擇的複數個IP位址拘束至該一或多個模擬服務。在一些實現中,在所選IP位址之一處偵測IoT蠕蟲通訊可基於IoT蠕蟲的通訊模式。一些實現可進一步包括將該IoT蠕蟲的通訊重定向至該路由器設備的另一IP位址。一些實現可進一步包括:在該等隨機選擇的IP位址處監視通訊活動;及決定是否在該等隨機選擇的IP位址中的一或多個IP位址處偵測到IoT蠕蟲通訊活動。
一些實現可進一步包括回應於決定在除該隨機選擇的複數個IP位址以外的另一IP位址處偵測到IoT蠕蟲通訊活動而改變該另一IP位址的拘束。此類實現可進一步包括回應於決定未在該另一IP位址處偵測到IoT蠕蟲通訊活動而決定是否改變該等隨機選擇的IP位址和該等模擬服務中的一者或多者。
在一些實現中,使得IoT蠕蟲能存取該等模擬服務之一可包括:在使得能存取該等模擬服務之一之前數次拒絕對該等模擬服務中的該模擬服務的存取。一些實現可進一步包括向該路由器設備的管理者的設備和該路由器設備的製造商的設備中的一者或多者發送訊息以標記該IoT蠕蟲的存在。
進一步實現可包括一種路由器設備,其包括通訊介面以及處理器,該處理器耦合至該通訊介面且配置有處理器可執行指令以執行上文概括的實現方法的操作。進一步實現可包括其上儲存有處理器可執行軟體指令的非暫時性處理器可讀取儲存媒體,該等處理器可執行軟體指令被配置成使處理器執行上文概括的實現方法的操作。進一步實現可包括一種多模通訊設備,其包括用於執行上文概括的實現方法的功能的構件。
本案中所描述的標的的一或多個實現的詳情在附圖及下文描述中闡述。其他特徵、態樣,以及優點將可從此描述、附圖,以及申請專利範圍中變得明白。注意,以下附圖的相對尺寸可能並非按比例繪製。
各個實現提供了用於緩解物聯網路(IoT)蠕蟲的方法。在一些實現中,路由器設備或類似設備可被配置成偵測所嘗試進行的IoT蠕蟲攻擊並主動解決IoT蠕蟲以保護IoT網路。
以下描述針對某些實現以意欲描述本案的創新性態樣。然而,一般技術者將容易認識到,本文的教示可按眾多不同方式來應用。所描述的實現可實現在任何設備、系統或網路中,該設備、系統或網路能夠傳輸和接收根據電氣電子工程師協會(IEEE)16.11標準中的任一者,或IEEE 802.11標準中的任一者、藍芽®標準、分碼多工存取(CDMA)、分頻多工存取(FDMA)、分時多工存取(TDMA)、行動通訊全球系統(GSM)、GSM/通用封包無線電服務(GPRS)、增強型資料GSM環境(EDGE)、地面集群無線電(TETRA)、寬頻CDMA(W-CDMA)、進化資料最佳化(EV-DO)、1xEV-DO、EV-DO修訂版A、EV-DO修訂版B、高速封包存取(HSPA)、高速下行鏈路封包存取(HSDPA)、高速上行鏈路封包存取(HSUPA)、進化高速封包存取(HSPA+)、長期進化(LTE)、AMPS的RF信號,或用於在無線、蜂巢或物聯網路(IoT)網路(諸如,IEEE 802.15.4協定(例如,Thread、ZigBee以及Z-Wave)、6LoWPAN、藍芽低能量(BLE)、LTE機器類型通訊(LTE MTC)、窄頻LTE(NB-LTE)、蜂巢IoT(CIoT)、窄頻IoT(NB-IoT)、BT Smart、Wi-Fi、LTE-U、LTE直連、MuLTEfire,以及相對擴展射程廣域實體層介面(PHY)(諸如隨機相位多工存取(RPMA))、超窄頻(UNB)、低功率長程(LoRa)、低功率長程廣域網路(LoRaWAN)、Weightless,或者利用3G、4G或5G或其進一步實現的技術的系統)內通訊的其他已知信號。
術語「IoT設備」在本文中通常用於代表包括用於與其他設備或網路進行通訊的處理器和收發機的各種設備中的任何設備。為了便於描述,IoT設備的實例被描述成經由射頻(RF)無線通訊鏈路進行通訊,但IoT設備可經由有線或無線通訊鏈路來與另一設備(或使用者)通訊,例如作為通訊網路(諸如IoT)中的參與者。此類通訊可包括與另一無線設備、基地台(包括蜂巢通訊網路基地台和IoT基地台)、存取點(包括IoT存取點),或其他無線設備的通訊。
術語「路由器設備」在本文中用於代表可作為網路元件被包括在通訊網路中以決定在通訊網路上發送資料的網路路徑或位置的設備。路由器設備可以決定網際網路協定(IP)位址與網路上的設備或服務之間的拘束。路由器設備可被包括在兩個或更多個通訊網路(諸如本端IoT網路和網際網路)之間的閘道中。
路由器設備可被配置成與各種各樣的IoT設備通訊,包括以下任一者或全部:蜂巢式電話、智慧型電話、個人或行動多媒體播放機、個人資料助理(PDA)、膝上型電腦、平板電腦、智慧型電腦、掌上電腦、遊戲系統和控制器、智慧電器(包括電視、機上盒、廚房電器、燈和照明系統、智慧電錶、採暖通風及空調(HVAC)系統、恒溫器)、建築物安防系統(包括門和窗鎖)、車載娛樂系統、車載診斷和監視系統、無人駕駛及/或半自動飛行器、汽車、感測器、機器對機器設備,以及包括可程式設計處理器和記憶體以及用於建立無線通訊路徑和經由無線通訊路徑來傳輸/接收資料的電路系統的類似設備。
網路上的惡意軟體攻擊可能嘗試使用IoT設備作為將惡意軟體引入到網路中的媒介。例如,惡意軟體可被引入到IoT設備上(諸如在製造或分發時,或者在使用期間),並且惡意軟體隨後可嘗試從內部(諸如從路由器設備的防火牆內側,或從與路由器設備的內部通訊介面處於通訊的網路內部)滲透網路。
此類所謂的IoT蠕蟲(諸如Linux/Moose、Remaiten、Linux.Darlloz等)共享某些共同的行為,該等行為可以由網路元件(諸如路由器設備)偵測到。例如,IoT蠕蟲可執行掃瞄以偵測潛在目標網路、服務,或設備的特性(諸如以決定開放埠清單、作業系統版本、(諸)軟體版本、所實現的協定等),並且可形成描述偵測到的特性的「指紋」。IoT蠕蟲隨後可啟動一次或多次攻擊,其可應用該「指紋」來試圖獲得對目標網路、服務,或設備的存取。例如,IoT蠕蟲可嘗試存取開放通訊端或存取點。作為另一實例,IoT蠕蟲可嘗試決定用於存取該網路的密碼,諸如經由「字典式攻擊」——其中在一系列存取嘗試中使用典型密碼(諸如「password」、「1234」,以及各種元件和網路的預設密碼)。作為另一實例,IoT蠕蟲可嘗試緩衝器溢流或類似攻擊以繞開存取控制機制,以獲得對網路、服務,或設備的存取。作為另一實例,IoT蠕蟲可嘗試拒絕服務攻擊以便例如淹沒防禦功能、暴露漏洞,或作為誘餌轉移防禦功能的注意力。作為又一實例,IoT蠕蟲可在(諸如網路、服務,或設備的)系統更新期間使用中間人攻擊,其中IoT蠕蟲冒充軟體更新源並將惡意軟體上傳到目標上。路由器設備可被配置成偵測該等和其他此類攻擊行為並將其標識為IoT蠕蟲的通訊活動。
在攻擊未被偵測到的情況下,惡意軟體可以獲得對網路的存取。一旦獲得網路存取,IoT蠕蟲就將惡意軟體有效負荷注入到存取點中,此舉使存取點在網路上執行動作並進一步分發惡意軟體或有效負荷。例如,惡意軟體可嘗試連接至命令和控制伺服器,並隨後嘗試從命令和控制伺服器執行一或多個命令,諸如下載IoT蠕蟲的另一區段、執行惡意活動(例如,發送垃圾郵件、執行檔案傳輸、挖掘位元幣等),以及嘗試傳播IoT蠕蟲。
用於保護家用網路免受攻擊的當前緩解技術對於大多數使用者而言過於技術化。儘管IoT設備供應商可以提供應急回應(諸如補丁),但在探索IoT蠕蟲之後開發和分發此類回應的遲緩度使系統易受攻擊達較長時間段。此外,除了一般而言反應相對遲緩之外,侵入偵測系統亦需要訓練和調諧。
各個實現提供在IoT網路中偵測IoT蠕蟲的方法、配置成執行該等方法的路由器設備,以及儲存實現該等方法的軟體的非暫時性媒體。在各個實現中,路由器設備可向網路呈現或暴露被配置成吸引、偵測、隔離,或回應IoT蠕蟲的隔離和緩解單元的IP位址。在一些實現中,隔離和緩解單元被實現在路由器設備(諸如網路存取點)中。此情形不同於通常被部署在專用伺服器或另一計算設備中的習知網路蜜罐系統。在一些實現中,路由器設備可包括內部通訊介面和外部通訊介面,該內部通訊介面和該外部通訊介面使得隔離和緩解單元能在內部通訊介面和外部通訊介面中的任一者或兩者處偵測IoT蠕蟲通訊活動。路由器設備通常能存取或控制其網路內的IP位址指派以及資料路由,並由此可被配置成控制IoT蠕蟲、IoT蠕蟲的潛在目標,以及隔離和緩解單元之間的通訊。在一些實現中,路由器設備可以動態地控制和改變針對IoT蠕蟲的潛在目標以及隔離和緩解單元的IP位址指派。
在一些實現中,路由器設備可將隨機選擇的IP位址集區分配給隔離和緩解單元。在一些實現中,路由器設備可在一IP位址範圍內選擇隨機IP位址。在一些實現中,路由器設備可以隨機地選擇IP位址範圍。路由器設備可將隨機選擇的IP位址拘束至一或多個埠(邏輯網路端點)。
路由器設備可在隨機選擇的IP位址中的一或多個位址處暴露模擬服務(亦即,實際上並不可用的服務或設備)。例如,模擬服務可具有名稱,或者可提供模擬或複製IoT設備的一或多個漏洞,或IoT蠕蟲可能嘗試利用的網路服務或漏洞的回應和其他行為。IoT設備或網路服務的漏洞的實例包括登錄身份碼的弱點、認證或授權機制的弱點、不安全網頁、行動,或雲端設備介面,以及不安全軟體或韌體。
在一些實現中,路由器設備可經由偵測例如對IP位址範圍的掃瞄(諸如telnet掃瞄)、登錄所暴露的服務或設備的多次嘗試(諸如字典式攻擊或其他類似多次登錄嘗試)等來偵測IoT蠕蟲所嘗試進行的攻擊。在一些實現中,路由器設備可偵測對網路的存取點上的一或多個開放通訊端的掃瞄。在一些實現中,路由器設備可偵測為了決定用於存取該網路的密碼的嘗試(例如,在一系列存取嘗試中使用的字典式攻擊)。
模擬服務可被配置成向IoT蠕蟲提供對IoT蠕蟲模擬成功攻擊的各種回應和行為。在一些實現中,路由器設備可將模擬服務配置為遠端殼式(remote-shell-like)服務。在一些實現中,路由器設備可以模擬網路的安全性措施,諸如在最終容許或以其他方式使得IoT蠕蟲能存取該模擬服務之前拒絕用各種密碼存取該網路達某一存取嘗試次數。在一些實現中,路由器設備可選擇在路由器設備准許偵測到的IoT蠕蟲登錄模擬服務之前將被拒絕的隨機登錄嘗試次數。以此方式模擬安全性措施可以挫敗IoT蠕蟲內所實現的演算法經由辨識何時網路相對容易存取來偵測隔離和緩解單元。
在一些實現中,路由器設備可在該一或多個埠或隨機選擇的IP位址處監視通訊活動。在一些實現中,路由器設備可決定特定通訊活動滿足閾值通訊活動水平。例如,路由器設備可決定已在隨機選擇的IP位址中的閾值數量的IP位址處作出連接嘗試。作為另一實例,路由器設備可決定已在隨機選擇的IP位址中的一或多個IP位址處作出閾值數量的嘗試。在一些實現中,該閾值數量可包括平均登錄嘗試次數。在一些實現中,路由器設備可決定所偵測到的連接嘗試中的閾值數量的連接嘗試啟始自同一(或基本上相同的)源(諸如經由審閱該源的一或多個IP位址,或該源的網路位置或身份的另一指示符)。
路由器設備可監視IoT蠕蟲的活動以偵測例如建立與外部IoT蠕蟲命令和控制伺服器的通訊(諸如telnet)的嘗試、下載附加軟體(諸如惡意有效負荷)的嘗試,或其他IoT蠕蟲活動。路由器設備可准許IoT蠕蟲下載惡意有效負荷,並且可准許在虛擬沙箱(sandbox)環境(諸如隔離虛擬機器)中執行惡意有效負荷。在一些實現中,路由器設備可將來自IoT蠕蟲的傳出話務(諸如命令和控制話務)路由至該路由器設備的一或多個IP位址,由此將來自IoT蠕蟲的傳出話務路由至該路由器設備內的回環,以隔離該路由器設備內的IoT蠕蟲。
在一些實現中,路由器設備可標記IoT蠕蟲的存在(諸如經由將對IoT蠕蟲的指示儲存在記憶體中),或者可向使用者、IT支援、安全團隊、執法部門,或其他此類當事人報告IoT蠕蟲的存在。在一些實現中,路由器設備可記錄由IoT蠕蟲進行的外部通訊嘗試,包括由IoT蠕蟲使用的網路位址,以及與該等外部通訊嘗試有關的其他資訊(諸如源位址、所嘗試進行的連接的速率、所請求的域名稱服務(DNS)等)。在一些實現中,路由器設備可將所記錄的資訊傳達給分析引擎以用於對攻擊模式進行模型化、分析和推斷。
在各個實現中,路由器設備可執行一或多個動作以緩解或隔離IoT網路上的IoT設備,從而保護該等IoT設備免受IoT蠕蟲的影響。具體而言,路由器設備可偵測IoT網路上的IoT設備是否正在利用處於隨機選擇的IP位址範圍內,或處於該路由器設備在其上偵測到由IoT蠕蟲進行的掃瞄的IP位址範圍內的IP位址。
在一些實現中,路由器設備可以週期性地改變隨機選擇的IP位址或所暴露的模擬服務,以提高偵測到IoT蠕蟲的可能性。
在路由器設備中實現隔離和緩解單元改良了電腦網路的功能,尤其改良了IoT網路的功能。路由器設備能存取和控制對IP位址的指派和拘束,而且路由器設備始終是IoT蠕蟲與潛在目標(諸如IoT網路上的IoT設備)之間的信號路徑的一部分。在路由器設備中實現隔離和緩解單元改良了在網路上偵測IoT蠕蟲的定時、速度和準確性,尤其相較於部署在專用伺服器中的偵測系統提供了更早的對IoT蠕蟲的偵測。此外,在路由器設備中實現隔離和緩解單元使得路由器能在IoT蠕蟲向網路滲透的早期停止IoT蠕蟲的傳播,以及防止或遏制IoT蠕蟲感染網路中的IoT設備。
各個實現可包括一或多個通訊環境,其中一實例在圖1中圖示。通訊環境100可包括路由器設備102和複數個IoT設備104-114。
路由器設備102可經由內部通訊介面經由一或多條無線通訊鏈路(被圖示為虛線)來與該複數個IoT設備104-114通訊。路由器設備102亦可經由外部通訊介面經由有線或無線通訊鏈路(被圖示為點線)來與通訊網路120通訊。在一些實現中,路由器設備120可包括無線存取點,諸如Wi-Fi存取點。
路由器設備102可作為IoT網路130的網路中樞起作用。路由器設備102亦可作為IoT網路130與通訊網路120之間的閘道起作用。
IoT設備104-114中的每一者可使用射頻(RF)通訊來與路由器設備102通訊。IoT設備104-114中的每一者可起作用以提供至設備(諸如舉例而言,IoT照明系統104,以及IoT安全性系統106、行動通訊設備108、計算設備110、智慧電視112和HVAC(採暖通風及空調)系統114)的通訊。IoT網路130可包括IoT設備的其他實例而不構成限定。
路由器設備102與IoT設備104-114之間的無線通訊鏈路可包括複數個載波信號、頻率,或頻帶,其中每一者可包括複數個邏輯通道。每條無線通訊鏈路可利用一或多個無線電存取技術(RAT)。
圖2是適於實現各個實現的路由器設備200的實例的元件方塊圖。參照圖1和圖2,在各個實現中,路由器設備200可類似於路由器設備102。
路由器設備200可包括至少一個控制器,諸如處理器202。處理器202可以是可配置有執行各個實現的操作的處理器可執行指令的處理器、可配置有除了主功能外亦執行各個實現的操作的處理器可執行指令的專用處理器(諸如數據機處理器)、配置成執行各個實現的操作的專用硬體(亦即,「韌體」)電路,或者專用硬體/韌體和可程式設計處理器的組合。
處理器202可耦合至記憶體204,記憶體204可以是儲存處理器可執行指令的非暫時性電腦可讀取儲存媒體。記憶體204可以儲存作業系統,以及使用者應用軟體和可執行指令。記憶體204亦可以儲存應用資料,諸如陣列資料結構。記憶體204可包括一或多個快取記憶體、唯讀記憶體(ROM)、隨機存取記憶體(RAM)、電子可抹除可程式設計ROM(EEPROM)、靜態RAM(SRAM)、動態RAM(DRAM),或其他類型的記憶體。處理器202可以從/向記憶體204讀取/寫入資訊。記憶體204亦可以儲存與一或多個協定堆疊相關聯的指令。協定堆疊通常包括用於使得能使用無線電存取協定或通訊協定進行通訊的處理器可執行指令。
處理器202亦可耦合至隔離和緩解單元206。在一些實現中,隔離和緩解單元206可用軟體、韌體、硬體,或者軟體、韌體和硬體的某種組合來實施。在一些實現中,隔離和緩解單元206可被配置成提供一或多個模擬服務。處理器202可以暴露聲稱是例如IoT網路上的IoT設備,或IoT網路上的合法網路服務的模擬服務。在一些實現中,處理器202可經由IoT網路(諸如IoT網路130)之外的外部通訊介面、IoT網路之內或至IoT網路的內部通訊介面,或者經由內部通訊介面和外部通訊介面兩者來暴露模擬服務。
隔離和緩解單元206亦可被配置成提供(或者模仿)對IoT蠕蟲可能嘗試利用的IoT設備或網路服務的一或多個漏洞進行模擬的回應和行為。隔離和緩解單元206亦可被配置成在與路由器設備的操作環境隔離的安全計算環境(諸如虛擬沙箱或隔離虛擬機器)中執行IoT蠕蟲或IoT蠕蟲的惡意軟體有效負荷。
隔離和緩解單元206亦可被配置成監視IoT蠕蟲的活動以偵測例如建立與外部IoT蠕蟲命令和控制伺服器的通訊(諸如telnet)的嘗試、下載附加軟體(諸如惡意有效負荷)的嘗試,或其他IoT蠕蟲活動。在一些實現中,隔離和緩解單元206可記錄由IoT蠕蟲進行的任何外部通訊嘗試,包括由IoT蠕蟲使用的任何網路位址,以及與該等外部通訊嘗試有關的其他資訊(諸如源位址、所嘗試進行的連接的速率、所請求的域名稱服務(DNS)等)。在一些實現中,隔離和緩解單元206可包括用於對攻擊模式進行模型化、分析和推斷的分析引擎。
隔離和緩解單元206可被配置成環回IoT蠕蟲的通訊。例如,隔離和緩解單元206可將來自IoT蠕蟲的傳出話務(諸如命令和控制話務)路由至該路由器設備的一或多個IP位址,由此將來自IoT蠕蟲的傳出話務路由至該路由器設備內的回環,從而防止IoT蠕蟲的傳播。在此類實現中,隔離和緩解單元206可向IoT蠕蟲提供行為或回應以(虛假地)模擬該IoT蠕蟲在成功地進行複製。隔離和緩解單元206由此可以遏制由IoT蠕蟲進行的任何感染,同時挫敗可能被包括在IoT蠕蟲中的演算法基於很少或者沒有複製而辨識出隔離和緩解單元。
在一些實現中,路由器設備200亦可包括用於連接至通訊網路(諸如通訊網路120)的網路介面208。在一些實現中,網路介面208可作為外部通訊介面起作用。路由器設備200可向各種計算設備(諸如IoT設備104-114)提供對通訊網路的存取。網路介面208可包括一或多個輸入/輸出(I/O)埠210,經由該等埠可提供至網路的連接。例如,I/O埠210可包括乙太網路連接、光纖連接、寬頻電纜連接、電話線連接,或其他類型的有線通訊連接。替換地或作為I/O埠210的補充,網路介面208可包括蜂巢無線電單元212,其提供至行動電話系統或蜂巢資料網路的連接,經由該連接可以獲取對通訊網路的存取。
處理器202可耦合至媒體存取控制(MAC)層214。MAC層214可提供網路介面208與關聯到路由器設備200的一或多個設備(諸如IoT設備和無線通訊設備)之間的定址和通道存取控制機制。MAC層214可連接至實體層216,實體層216可執行各種編碼、信號傳遞,及資料傳輸和接收功能。實體層216可包括一或多個收發機218以及基頻處理器220以用於執行實體層216的各種功能。實體層216可耦合至一或多個無線天線(諸如無線天線222、224和226),以支援與關聯到路由器設備200的設備(諸如無線客戶端設備或射程擴展器)的無線通訊。每個收發機218可被配置成使用一或多個頻帶來提供通訊。路由器設備200中的無線天線數目並不限於如圖2中圖示的三個,而是可包括任何數目的天線。在一些實現中,實體層216、(諸)收發機218、基頻處理器220和(諸)無線天線可作為內部通訊介面起作用,諸如在IoT網路(例如,IoT網路130)內或用於IoT網路。
路由器設備200亦可包括用於將路由器設備200的各種元件連接在一起的匯流排,以及用於使得能在各種元件之間進行通訊的硬體或軟體介面。路由器設備200亦可包括圖2中未圖示的各種其他元件。例如,路由器設備200可包括數個輸入、輸出,及處理元件,諸如按鈕、燈、開關、天線、顯示螢幕或觸控式螢幕、各種連接埠、附加處理器或積體電路,以及許多其他元件。
圖3A是圖示根據一些實現的用於偵測和隔離IoT蠕蟲的方法300的過程流程圖。參照圖1–圖3A,方法300可由路由器設備(諸如路由器設備102和200)的處理器(諸如處理器202或另一類似處理器)來實現。
概言之,在方塊302,路由器設備的處理器(「設備處理器」)可隨機地選擇用於模擬服務的複數個IP位址。在一些實現中,路由器設備可以隨機地選擇IP位址範圍。
在方塊306,設備處理器可暴露該一或多個模擬服務。暴露該一或多個模擬服務可包括使該一或多個模擬服務可用於例如由IoT蠕蟲進行的任何通訊嘗試。
在判定方塊310,設備處理器可決定該設備處理器是否在所選IP位址中的一或多個位址處偵測到IoT蠕蟲通訊活動。
回應於決定未偵測到IoT蠕蟲通訊活動(亦即,判定方塊310=「否」),設備處理器可在方塊302再次隨機地選擇用於模擬服務的複數個IP位址。
回應於決定偵測到IoT蠕蟲通訊活動(亦即,判定方塊310=「是」),設備處理器可在方塊320容許或以其他方式使得IoT蠕蟲能存取該模擬服務。
下文進一步描述方塊302、306、310和320的操作。
圖3B是圖示根據一些實現的用於偵測和隔離IoT蠕蟲的方法350的過程流程圖。參照圖1-圖3B,方法350可由路由器設備(諸如路由器設備102和200)的處理器(諸如處理器202或另一類似處理器)來實現。
在方塊302,路由器設備的處理器(「設備處理器」)可隨機地選擇用於模擬服務的複數個IP位址。通常情況下,路由器設備能存取或控制IP位址指派以及資料路由,並由此可以控制IoT蠕蟲、IoT蠕蟲的潛在目標(諸如IoT網路上的IoT設備),以及隔離和緩解單元之間的通訊。在一些實現中,處理器可以在可用IP位址範圍內選擇隨機IP位址。在一些實現中,處理器可以隨機地選擇IP位址範圍。
在方塊304,設備處理器可將隨機選擇的複數個IP位址拘束至一或多個模擬服務。在一些實現中,處理器可將隨機選擇的IP位址拘束至與一或多個模擬服務相關聯的一或多個埠。模擬服務包括實際上不可用的服務或設備,並且其可提供對IoT蠕蟲可能嘗試利用的IoT設備或網路服務的一或多個漏洞進行模擬的回應和其他行為。
在方塊306,設備處理器可暴露該一或多個模擬服務。暴露該一或多個模擬服務可包括使該一或多個模擬服務可用於例如由IoT蠕蟲進行的通訊或存取嘗試。
在方塊308,設備處理器可在所選IP位址處監視通訊活動。
在判定方塊310,設備處理器可決定該設備處理器是否在所選IP位址中的一或多個位址處偵測到IoT蠕蟲通訊活動。例如,設備處理器可經由偵測對所選IP位址內的IP位址範圍的掃瞄(諸如telnet掃瞄)、登錄所暴露的模擬服務或設備的多次嘗試(諸如字典式攻擊或其他類似多次登錄嘗試),以及IoT蠕蟲典型的其他活動來決定由IoT蠕蟲嘗試進行的攻擊正在發生。在一些實現中,設備處理器可在路由器設備的外部通訊介面處偵測IoT蠕蟲通訊活動,諸如來自從IoT網路(例如,IoT網路130)之外啟始的IoT蠕蟲攻擊。在一些實現中,設備處理器可在路由器設備的內部通訊介面處偵測IoT蠕蟲通訊活動,諸如來自從IoT網路之內(例如,從IoT網路中的IoT設備)啟始的IoT蠕蟲攻擊。在一些實現中,處理器可基於IoT蠕蟲的通訊模式來偵測IoT蠕蟲通訊活動。例如,處理器可偵測對IP位址範圍的掃瞄(諸如telnet掃瞄)、登錄所暴露的服務或設備的多次嘗試(諸如字典式攻擊或其他類似多次登錄嘗試)、對網路的存取點上的一或多個開放通訊端的掃瞄,或決定用於存取網路服務或設備的密碼的嘗試(例如,在一系列存取嘗試中使用的字典式攻擊)。
回應於決定沒有發生IoT蠕蟲通訊活動(亦即,判定方塊310=「否」),在方塊312,設備處理器可在其他IP位址處監視通訊活動。例如,路由器設備可在被指派給例如IoT設備或網路服務的一或多個其他IP位址處監視通訊活動。
在判定方塊314,設備處理器可決定該設備處理器是否在另一IP位址處偵測到IoT蠕蟲通訊活動。
回應於決定設備處理器在另一IP位址處偵測到IoT蠕蟲通訊活動(亦即,判定方塊314=「是」),設備處理器可在方塊316將該IP位址的拘束改變至模擬服務。例如,回應於在拘束至IoT網路上的實際IoT設備的IP位址處偵測到IoT蠕蟲通訊活動,路由器設備可進行幹預並將該IP位址的拘束從該IoT設備改變至模擬服務。此動作可以在將IoT蠕蟲重定向至模擬服務的同時保護該IoT設備,在模擬服務中可以監視和刺激IoT蠕蟲的活動而不進行傳播,如下文描述的。
回應於決定設備處理器在所選IP位址處偵測到IoT蠕蟲通訊活動(亦即,判定方塊310=「是」)或者在方塊316將該另一IP位址的拘束改變至模擬服務之後,在可任選方塊318,設備處理器可拒絕網路存取達某一嘗試次數。回應於各種密碼而數次拒絕對網路的存取模擬了實際位址在字典式攻擊下的預期行為,並由此幫助挫敗可被實現在IoT蠕蟲中的演算法偵測到隔離和緩解單元。由IoT蠕蟲進行的嘗試被拒絕的次數可以隨機地變化,以進一步挫敗被設計成偵測隔離和緩解單元的蠕蟲演算法。最終提供給IoT蠕蟲的存取可以按與網路上的實際位址一致的方式。在一些實現中,使得IoT蠕蟲能存取模擬服務可包括提供(或者模仿)對IoT蠕蟲可能嘗試利用的IoT設備或網路服務的一或多個漏洞進行模擬的回應和行為。在一些實現中,在可任選方塊318,在提供了對模擬服務的存取之後,設備處理器可准許IoT蠕蟲下載惡意有效負荷。惡意有效負荷可包括在沒有防護的情況下被執行時可能嘗試獲取對IoT網路上的一或多個IoT設備,或者路由器設備的一或多個功能的控制以執行活動(諸如發送垃圾郵件或者挖掘位元幣,或另一非期望活動)的軟體。在一些實現中,設備處理器可准許惡意有效負荷在與路由器設備的操作環境隔離的虛擬沙箱環境(諸如隔離虛擬機器)中執行。在方塊320,設備處理器可容許或以其他方式使得IoT蠕蟲能存取該模擬服務。
在方塊322,設備處理器可監視IoT蠕蟲的活動。在一些實現中,設備處理器可在IoT蠕蟲與模擬服務互動時監視IoT蠕蟲的活動。例如,模擬服務可包括IoT蠕蟲可能嘗試利用的路由器設備或IoT設備的模擬功能。在一些實現中,設備處理器可在IoT蠕蟲與模擬服務的互動之後監視IoT蠕蟲的活動。例如,模擬服務可包括IoT蠕蟲可能嘗試利用以便獲得對路由器設備或IoT設備的功能的存取的登錄過程或認證過程中的模擬弱點。在一些實現中,設備處理器可監視IoT蠕蟲活動以偵測建立與外部IoT蠕蟲命令和控制伺服器的通訊(諸如telnet)的嘗試、下載附加軟體(諸如惡意有效負荷)的嘗試,或另一IoT蠕蟲活動。在一些實現中,設備處理器可記錄由IoT蠕蟲進行的任何外部通訊嘗試,包括由IoT蠕蟲使用的任何網路位址以及與該等外部通訊嘗試有關的其他資訊(諸如源位址、所嘗試進行的連接的速率、所請求的域名稱服務(DNS)等)。在一些實現中,設備處理器可將所記錄的資訊傳達給分析引擎以用於對攻擊模式進行模型化、分析和推斷。
在方塊324,設備處理器可將IoT蠕蟲的通訊重定向至路由器設備的另一IP位址。典型IoT蠕蟲可能嘗試自我複製或以其他方式分發其軟體代碼的副本。在一些實現中,設備處理器可將IoT蠕蟲的向外通訊嘗試重定向或環回至路由器設備的IP位址,以隔離IoT蠕蟲並防止IoT蠕蟲傳播到路由器設備之外。在一些實現中,路由器設備可將來自IoT蠕蟲的傳出話務(諸如命令和控制話務)路由至該路由器設備的一或多個IP位址,由此將來自IoT蠕蟲的傳出話務路由至該路由器設備內的回環。在此類實現中,設備處理器可向IoT蠕蟲提供行為或回應以(虛假地)模擬該IoT蠕蟲在成功地進行複製。設備處理器由此可經由重定向IoT蠕蟲的通訊來遏制由IoT蠕蟲進行的任何感染。
在可任選方塊326,設備處理器可向另一計算設備或網路監視器標記IoT蠕蟲的存在。例如,設備處理器可在記憶體中儲存對存在IoT蠕蟲的指示,或者向使用者報告存在IoT蠕蟲。作為另一實例,設備處理器可向路由器設備的所有者或管理者的另一設備(或者向IoT網路的所有者或管理者)發送訊息(諸如通知或提醒訊息)。作為另一實例,設備處理器可向路由器設備的製造商的設備、系統,或網路發送訊息。在一些實現中,設備處理器可按任何組合執行前述操作中的任何操作。
在可任選方塊328,設備處理器可執行用於緩解由IoT蠕蟲進行的感染的動作。在一些實現中,設備處理器可執行用於緩解IoT蠕蟲感染的動作以及環回IoT蠕蟲嘗試進行的通訊。在一些實現中,設備處理器可採取一或多個動作以緩解或隔離IoT網路上的IoT設備,從而保護該等IoT設備免受IoT蠕蟲的影響。在一些實現中,設備處理器可指示IoT網路上的IoT設備採取保護動作,諸如減少或停止網路通訊、啟動反IoT蠕蟲程序、細察網路話務或通訊嘗試、監視IoT設備行為,或者另一補救或保護動作。
回應於決定設備處理器未在另一IP位址處偵測到IoT蠕蟲通訊活動(亦即,判定方塊314=「否」)或者在方塊322-328中的任何方塊回應於IoT蠕蟲而採取動作之後,設備處理器可在判定方塊330決定是否改變所選IP位址或模擬服務。例如,設備處理器可以週期性地改變隨機選擇的IP位址或所暴露的模擬服務,以提高偵測到IoT蠕蟲的可能性。
回應於決定不改變所選IP位址或模擬服務(亦即,判定方塊330=「否」),設備處理器可在方塊308返回到監視所選IP位址的通訊活動。
回應於決定要改變所選IP位址或模擬服務(亦即,判定方塊330=「是」),設備處理器可在方塊302選擇隨機IP位址並如所述地繼續執行方法350。
圖4是圖示根據一些實現的用於偵測和隔離IoT蠕蟲的方法400的狀態圖。參照圖1-圖4,方法400可由路由器設備(諸如路由器設備102和200)的處理器(諸如處理器202或另一類似處理器)來實現。
在開始/重置狀態402,處理器可初始化一或多個模擬服務。例如,處理器可初始化各自可經由通訊端來存取的一或多個虛擬化殼(例如,諸如chroot登錄,或容器)。在一些實現中,處理器可以在可用IP位址範圍內選擇隨機IP位址。在一些實現中,路由器設備可以隨機地選擇IP位址範圍。在一些實現中,處理器可將隨機選擇的複數個IP位址拘束至一或多個模擬服務。在一些實現中,路由器設備可將隨機選擇的IP位址拘束至與一或多個模擬服務相關聯的一或多個埠。
在一些實現中,處理器可初始化可經由通訊端埠來存取的一或多個虛擬化殼。此類通訊端埠的實例可包括埠23(通常與telnet服務相關聯)、埠20或21(通常與檔案傳輸協定(FTP)服務相關聯),或者埠22(通常與安全殼(SSH)服務相關聯)。處理器可從路由器設備的子網中的可用IP位址中選取一或多個隨機IP位址。處理器可維護標識被臨時指派給IoT網路中的IoT設備及/或其他設備的IP位址的資料結構,並且處理器可從未指派的IP位址中進行選擇。在一些實現中,處理器可維護標識未分配的IP位址的另一資料結構。例如,該資料結構可包括未分配的IP位址的經排序索引清單(其例如可被表示為「ip_隔離_單元_清單[100]」,此表示指示與可用IP位址相關聯的100個元素的清單)。
在一些實現中,為了選擇未分配的IP位址的隨機子集,處理器可將數個IP位址配置成專用於隔離和緩解單元功能。例如,為簡單起見,假定有十(10)個IP位址可用,處理器可選擇從給定的(或隨機挑選的)位址開始的連貫IP位址範圍。在此類實現中,處理器可以隨機地選擇可具有在0與99之間的值的索引I。處理器隨後可選擇從索引ip_隔離_單元[I]到ip_隔離_單元[I+10]的所有位址以供分配給隔離和緩解單元。
作為另一實例,同樣假定有十(10)個可用IP位址,處理器可以在範圍[0, 99]內隨機地選擇IP位址。處理器可為隔離和緩解單元清單指派索引i1、i2、…i10,諸如與分配給隔離和緩解單元的IP位址相對應的ip_隔離_單元_清單[i1]…ip_隔離_單元_清單[i10]。
處理器可在新IoT設備加入IoT網路的任何時間更新ip_隔離_單元_清單[]。
在操作420,處理器可前進至狀態404,並且可在每個虛擬化殼的通訊端處(例如,在一或多個IP位址處)監視通訊活動。回應於決定處理器沒有偵測到連接嘗試或其他通訊活動,在操作422,處理器可繼續監視任何通訊活動。回應於決定處理器在該一或多個隨機通訊端/IP位址處偵測到一次或多次登錄嘗試,在操作434,處理器可前進至狀態408,如下文進一步描述的。
在狀態404中監視通訊端/IP位址時,處理器可在一或多個通訊端/IP位址處偵測到通訊活動。例如,處理器可偵測對指派給隔離和緩解單元的通訊端/IP位址中的一者或多者的一次或多次連接嘗試。回應於決定處理器在多個虛擬及/或真實通訊端處偵測到連接嘗試,在操作424,處理器可前進至狀態406。
狀態406是指示處理器偵測到例如潛在IoT蠕蟲埠掃瞄的警告狀態或提醒狀態。在操作426,處理器可監視虛擬及/或真實通訊端以尋找用於存取IoT網路上的服務或設備的登錄嘗試或其他嘗試。
回應於決定處理器未在隨機通訊端/IP位址處偵測到登錄嘗試(例如,達閾值時間段),在操作428,處理器可返回到狀態404並繼續監視通訊端/IP位址以尋找通訊活動。
回應於決定處理器在該一或多個隨機通訊端/IP位址處偵測到一次或多次登錄嘗試,在操作430,處理器可前進至狀態408。狀態408是提醒狀態,其中處理器可監視虛擬及/或真實通訊端以尋找疑似IoT蠕蟲對服務或設備的成功登錄或成功存取。回應於決定處理器未在該一或多個隨機通訊端/IP位址處偵測到成功登錄或存取,在操作432,處理器可返回到狀態406。
回應於決定處理器偵測到對該等隨機通訊端/IP位址的一次或多次成功登錄,在操作436,處理器可前進至狀態410。在狀態410,處理器已決定偵測到IoT蠕蟲。在狀態410,處理器可監視IoT蠕蟲活動。例如,在操作438,處理器可監視IoT蠕蟲通訊活動,諸如呼出通訊嘗試(例如,發送訊息的嘗試,該訊息諸如資料短脈衝、電子郵件、網際網路中繼聊天,或者另一形式的文字或二進位通訊)。處理器亦可監視IoT蠕蟲進行自我傳播的嘗試,該傳播諸如經由自我複製及/或嘗試傳輸代碼、命令,或其他資訊。在一些實現中,處理器可監視關於埠掃瞄的IoT蠕蟲活動以尋找用於啟動呼出通訊的其他嘗試。例如,處理器可偵測IoT蠕蟲經由例如從模擬服務向網路中的一或多個設備或其他服務發送封包來掃瞄內部網路的嘗試。
回應於決定處理器未偵測到IoT蠕蟲進行自我傳播的嘗試(諸如達閾值時間段),在操作442,處理器可前進至狀態414。下文進一步描述狀態414。
回應於決定IoT蠕蟲在嘗試自我傳播,在操作440,處理器可前進至狀態412。在狀態412,處理器可執行用於限制和防止IoT蠕蟲的傳播的一或多個操作。
在一些實現中,處理器可建立針對模擬服務的一或多個專用呼出話務佇列。例如,處理器可為網際網路中繼聊天話務分配可被命令和控制伺服器使用的專用呼出話務佇列。作為另一實例,處理器可為由IoT蠕蟲發送的被定址到IoT網路中的設備或服務的封包分配專用呼出話務佇列。在一些實現中,處理器可以延遲從IoT蠕蟲位址到IoT網路中的設備或服務的封包。在延遲時間段期間,處理器可建立用於限制或防止IoT蠕蟲的傳播的一或多個新的模擬服務及相關聯的IP位址。
處理器可監視IoT蠕蟲傳播嘗試或進度以決定IoT蠕蟲是否被限制在一或多個模擬服務之內。在一些實現中,決定IoT蠕蟲受限制可包括偵測到IoT蠕蟲已參與網際網路中繼聊天(IRC)(諸如發送一或多個IRC訊息)達閾值時間段。在一些實現中,處理器可向IoT網路的監管者或所有者通知偵測到存在IoT蠕蟲,或者通知由處理器執行的一或多個限制或緩解操作。
回應於決定IoT蠕蟲受限制,在操作444,處理器可前進至狀態414。在狀態414,處理器可執行與緩解被IoT蠕蟲成功地用來存取IoT網路的一或多個網路漏洞有關的一或多個操作。例如,處理器可以應用系統補丁、代碼補丁、軟體修正,實現程序或撥叫的變化,或者在系統級執行另一修正動作,以減少被IoT蠕蟲使用的網路漏洞。
回應於決定處理器已完成與緩解網路漏洞有關的一或多個操作,在操作446,處理器可前進至狀態402。
各個實現可包括各種IoT設備中的任何IoT設備,其中一實例在圖5中圖示。參照圖1–圖5,在各個實現中,IoT設備500可類似於IoT設備104-114。
IoT設備500可包括至少一個處理器(諸如通用處理器502),其可耦合到至少一個記憶體504。記憶體504可以是儲存處理器可執行指令的非暫時性電腦可讀取儲存媒體。記憶體504可儲存作業系統、使用者應用軟體,或其他可執行指令。記憶體504亦可儲存應用資料,諸如陣列資料結構。記憶體504可包括一或多個快取記憶體、唯讀記憶體(ROM)、隨機存取記憶體(RAM)、電子可抹除可程式設計ROM(EEPROM)、靜態RAM(SRAM)、動態RAM(DRAM),或其他類型的記憶體。通用處理器502可從/向記憶體504讀取/寫入資訊。記憶體504亦可儲存與一或多個協定堆疊相關聯的指令。協定堆疊通常包括用於使用無線電存取協定或通訊協定來實現通訊的電腦可執行指令。
處理器502和記憶體504可與至少一個數據機處理器506通訊。數據機處理器506可為與一或多個其他IoT設備、存取點、基地台,以及其他此類設備的通訊執行數據機功能。數據機處理器506可耦合至RF資源508。RF資源508可包括用於實現對無線電信號的發送、接收和處理的各種電路系統和元件,諸如調制器/解調器元件、功率放大器、增益級、數位信號處理器(DSP)、信號放大器、濾波器,以及其他此類元件。RF資源508可耦合至無線天線(諸如無線天線510)。IoT設備500可包括附加的RF資源或天線而不構成限定。RF資源508可被配置成經由天線510使用一或多個頻帶來提供通訊。
在一些實現中,處理器502亦可與配置成實現至另一設備的有線連接的實體介面512通訊。實體介面512可包括配置成實現與該IoT設備連接至的設備的通訊的一或多個輸入/輸出(I/O)埠514。實體介面512亦可包括一或多個感測器516以使得該IoT設備能偵測關於IoT設備500經由實體介面512所連接至的設備的資訊。IoT設備可連接至的設備的實例包括智慧電器,其包括電視、機上盒、廚房電器、燈和照明系統、智慧電錶、空調/HVAC系統、恒溫器、建築物安防系統、門和窗、門和窗鎖、建築物診斷和監視系統,以及其他設備。
IoT設備500亦可包括用於將IoT設備500的各種元件連接在一起的匯流排,以及用於實現各種元件間的通訊的硬體或軟體介面。IoT設備500亦可包括未在圖5中圖示的各種其他元件。例如,IoT設備500可包括數個輸入、輸出和處理元件,諸如按鈕、燈、開關、天線、顯示螢幕或觸控式螢幕、各種連接埠、附加處理器或積體電路,以及許多其他元件。
所圖示和描述的各個實現是僅作為說明請求項的各種特徵的實例來提供的。然而,關於任何給定實現來圖示和描述的特徵不必限於相關聯的實現並且可以與所圖示和描述的其他實現聯用或者組合。另外,請求項並不意欲由任何一個示例性實現限制。
上述方法描述和過程流程圖是僅作為說明性實例來提供的,且並非意欲要求或暗示各個實現的方塊必須按所提供的次序來執行。如熟習此項技術者將領會的,前述實現中的方塊次序可按任何次序來執行。諸如「此後」、「隨後」、「接著」等的措辭並非意欲限定方塊的次序;該等措辭僅是簡單地用以指引讀者遍歷方法的描述。進一步,對單數形式的請求項元素的任何引述(例如使用冠詞「一」、「某」或「該」的引述)不應解釋為將該元素限定為單數。
結合本文中所揭示的實現來描述的各種說明性邏輯區塊、模組、電路和演算法方塊可實現為電子硬體、電腦軟體,或該兩者的組合。為清楚地說明硬體與軟體的該可互換性,各種說明性元件、方塊、模組、電路和方塊在上文是以其功能性的形式作一般化描述的。此類功能性是被實現為硬體還是軟體取決於具體應用和施加於整體系統的設計約束。技術者可針對每種特定應用以不同方式來實現所描述的功能性,但此類實現決策不應被解讀為致使脫離請求項的範疇。
用以實現結合本文中揭示的實現描述的各種說明性邏輯、邏輯區塊、模組,以及電路的硬體可用設計成執行本文中描述的功能的通用處理器、數位信號處理器(DSP)、特殊應用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯設備、個別閘門或電晶體邏輯、個別的硬體元件,或其任何組合來實現或執行。通用處理器可以是微處理器,但在替換方案中,設備處理器可以是任何習知的處理器、控制器、微控制器,或狀態機。處理器亦可以被實現為通訊設備的組合,諸如DSP與微處理器的組合、複數個微處理器、與DSP核協調的一或多個微處理器,或任何其他此類配置。或者,一些方塊或方法可由專用於給定功能的電路系統來執行。
在各個實現中,所描述的功能可在硬體、軟體、韌體或其任何組合中實現。若在軟體中實現,則該等功能可作為一或多個指令或代碼儲存在非暫時性電腦可讀取媒體或非暫時性處理器可讀取媒體上。本文中揭示的方法或演算法的操作可在處理器可執行軟體模組中實施,該處理器可執行軟體模組可常駐在非暫時性電腦可讀取或處理器可讀取儲存媒體上。非暫時性電腦可讀取或處理器可讀取儲存媒體可以是能被電腦或處理器存取的任何儲存媒體。作為實例而非限定,此類非暫時性電腦可讀取或處理器可讀取媒體可包括RAM、ROM、EEPROM、快閃記憶體、CD-ROM或其他光碟儲存、磁碟儲存或其他磁儲存設備,或能被用來儲存指令或資料結構形式的期望程式碼且能被電腦存取的任何其他媒體。如本文中所使用的磁碟(disk)和光碟(disc)包括壓縮光碟(CD)、鐳射光碟、光碟、數位多功能光碟(DVD)、軟碟和藍光光碟,其中磁碟(disk)往往以磁的方式再現資料而光碟(disc)用鐳射以光學方式再現資料。上文的組合亦被包括在非暫時性電腦可讀取和處理器可讀取媒體的範疇內。另外,方法或演算法的操作可作為一條代碼或指令或者任何代碼或指令組合或集合而常駐在可被納入電腦程式產品中的非暫時性處理器可讀取媒體或電腦可讀取媒體上。
提供了以上對所揭示實現的描述是為了使得任何熟習此項技術者皆能夠製作或使用本實現。對該等實現的各種改動對於熟習此項技術者將是顯而易見的,並且本文中定義的普適原理可被應用於其他實現而不會脫離各實現的精神或範疇。由此,各個實現並非意欲被限定於本文中展示的實現,而是應被授予與所附請求項和本文中揭示的原理和新穎特徵一致的最廣義的範疇。
100‧‧‧通訊環境
102‧‧‧路由器設備
104‧‧‧IoT設備/IoT照明系統
106‧‧‧IoT設備/IoT安全性系統
108‧‧‧IoT設備/行動通訊設備
110‧‧‧IoT設備/計算設備
112‧‧‧IoT設備/智慧電視
114‧‧‧IoT設備/HVAC(採暖通風及空調)系統
120‧‧‧通訊網路
130‧‧‧IoT網路
200‧‧‧路由器設備
202‧‧‧處理器
204‧‧‧記憶體
206‧‧‧隔離和緩解單元
208‧‧‧網路介面
210‧‧‧輸入/輸出(I/O)埠
212‧‧‧蜂巢無線電單元
214‧‧‧媒體存取控制(MAC)層
216‧‧‧實體層
218‧‧‧收發機
220‧‧‧基頻處理器
222‧‧‧無線天線
224‧‧‧無線天線
226‧‧‧無線天線
300‧‧‧方法
302‧‧‧方塊
304‧‧‧方塊
306‧‧‧方塊
308‧‧‧方塊
310‧‧‧判定方塊
312‧‧‧方塊
314‧‧‧判定方塊
316‧‧‧方塊
318‧‧‧可任選方塊
320‧‧‧方塊
322‧‧‧方塊
324‧‧‧方塊
326‧‧‧可任選方塊
328‧‧‧可任選方塊
330‧‧‧判定方塊
350‧‧‧方法
400‧‧‧方法
402‧‧‧開始/重置狀態
404‧‧‧狀態
406‧‧‧狀態
408‧‧‧狀態
410‧‧‧狀態
412‧‧‧狀態
414‧‧‧狀態
420‧‧‧操作
422‧‧‧操作
424‧‧‧操作
426‧‧‧操作
428‧‧‧操作
430‧‧‧操作
432‧‧‧操作
434‧‧‧操作
436‧‧‧操作
438‧‧‧操作
440‧‧‧操作
442‧‧‧操作
444‧‧‧操作
446‧‧‧操作
500‧‧‧IoT設備
502‧‧‧通用處理器
504‧‧‧記憶體
506‧‧‧數據機處理器
508‧‧‧RF資源
510‧‧‧無線天線
512‧‧‧實體介面
514‧‧‧輸入/輸出(I/O)埠
516‧‧‧感測器
圖1是通訊環境的系統方塊圖。
圖2是圖示適於與各個實現聯用的路由器設備的元件方塊圖。
圖3A和圖3B是圖示用於緩解IoT蠕蟲的方法的過程流程圖。
圖4是圖示緩解IoT蠕蟲的方法的狀態圖。
圖5是圖示適於在各個實現中使用的IoT設備的元件方塊圖。
各個附圖中相似的元件符號和命名指示相似元素。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無

Claims (30)

  1. 一種路由器設備,包括: 一通訊介面;及一處理器,該處理器耦合至該通訊介面且配置有處理器可執行指令以執行操作,該等操作包括:隨機地選擇複數個網際網路協定(IP)位址;在該隨機選擇的複數個IP位址處暴露一或多個模擬服務;決定是否在該等所選IP位址之一處偵測到物聯網路(IoT)蠕蟲通訊活動;及回應於在該等所選IP位址之一處偵測到該IoT蠕蟲通訊活動而使得該IoT蠕蟲能存取該等模擬服務之一。
  2. 如請求項1之路由器設備,其中該處理器配置有處理器可執行指令以執行進一步包括以下動作的操作: 將該隨機選擇的複數個IP位址拘束至該一或多個模擬服務。
  3. 如請求項1之路由器設備,其中該處理器配置有處理器可執行指令以執行操作,使得在該等所選IP位址之一處偵測該IoT蠕蟲通訊活動是基於該IoT蠕蟲的一通訊模式。
  4. 如請求項1之路由器設備,其中該處理器配置有處理器可執行指令以執行進一步包括以下動作的操作: 將該IoT蠕蟲的一通訊重定向至該路由器設備的另一IP位址。
  5. 如請求項1之路由器設備,其中該處理器配置有處理器可執行指令以執行進一步包括以下動作的操作: 在該等隨機選擇的IP位址處監視通訊活動;及決定是否在該等隨機選擇的IP位址中的一或多個IP位址處偵測到該IoT蠕蟲通訊活動。
  6. 如請求項1之路由器設備,其中該處理器配置有處理器可執行指令以執行進一步包括以下動作的操作: 回應於決定在除該隨機選擇的複數個IP位址以外的另一IP位址處偵測到IoT蠕蟲通訊活動而改變該另一IP位址的一拘束。
  7. 如請求項6之路由器設備,其中該處理器配置有處理器可執行指令以執行進一步包括以下動作的操作: 回應於決定未在該另一IP位址處偵測到IoT蠕蟲通訊活動而決定是否改變該等隨機選擇的IP位址和該等模擬服務中的一者或多者。
  8. 如請求項1之路由器設備,其中該處理器配置有處理器可執行指令以執行操作,從而使得該IoT蠕蟲能存取該等模擬服務之一包括:在使得能存取該等模擬服務之一之前數次拒絕對該等模擬服務之一的存取。
  9. 如請求項1之路由器設備,其中該處理器配置有處理器可執行指令以執行進一步包括以下動作的操作:向該路由器設備的一管理者的一設備和該路由器設備的一製造商的一設備中的一者或多者發送一訊息以標記該IoT蠕蟲的一存在。
  10. 如請求項1之路由器設備,其中該處理器配置有處理器可執行指令以執行進一步包括以下動作的操作: 採取一動作以緩解由該IoT蠕蟲進行的感染。
  11. 一種緩解一物聯網路(IoT)蠕蟲的方法,包括以下步驟: 由一路由器設備隨機地選擇複數個網際網路協定(IP)位址;在該隨機選擇的複數個IP位址處宣告一或多個模擬服務;決定是否在該等所選IP位址之一處偵測到IoT蠕蟲活動;及回應於在該等所選IP位址之一處偵測到IoT蠕蟲通訊活動而為一IoT蠕蟲提供對該等模擬服務之一的存取。
  12. 如請求項11之方法,進一步包括以下步驟: 將該隨機選擇的複數個IP位址拘束至該一或多個模擬服務。
  13. 如請求項11之方法,其中在該等所選IP位址之一處偵測該IoT蠕蟲通訊活動是基於該IoT蠕蟲的一通訊模式。
  14. 如請求項11之方法,進一步包括以下步驟: 將該IoT蠕蟲的一通訊重定向至該路由器設備的另一IP位址。
  15. 如請求項11之方法,進一步包括以下步驟: 在該等隨機選擇的IP位址處監視通訊活動;及決定是否在該等隨機選擇的IP位址中的一或多個IP位址處偵測到該IoT蠕蟲通訊活動。
  16. 如請求項11之方法,進一步包括以下步驟: 回應於決定在除該隨機選擇的複數個IP位址以外的另一IP位址處偵測到IoT蠕蟲通訊活動而改變該另一IP位址的一拘束。
  17. 如請求項16之方法,進一步包括以下步驟: 回應於決定未在該另一IP位址處偵測到IoT蠕蟲通訊活動而決定是否改變該等隨機選擇的IP位址和該等模擬服務中的一者或多者。
  18. 如請求項11之方法,其中為該IoT蠕蟲提供對該等模擬服務之一的存取之步驟包括以下步驟:在提供對該等模擬服務之一的存取之前數次拒絕對該等模擬服務之一的存取。
  19. 如請求項11之方法,進一步包括以下步驟: 向該路由器設備的一管理者的一設備和該路由器設備的一製造商的一設備中的一者或多者發送一訊息以標記該IoT蠕蟲的一存在。
  20. 如請求項11之方法,進一步包括以下步驟: 採取一動作以緩解由該IoT蠕蟲進行的感染。
  21. 一種路由器設備,包括: 用於由一路由器設備隨機地選擇複數個網際網路協定(IP)位址的構件;用於在該隨機選擇的複數個IP位址處宣告一或多個模擬服務的構件;用於決定是否在該等所選IP位址之一處偵測到IoT蠕蟲活動的構件;及用於回應於在該等所選IP位址之一處偵測到IoT蠕蟲通訊活動而使得一物聯網路(IoT)蠕蟲能存取該等模擬服務之一的構件。
  22. 如請求項21之路由器設備,進一步包括: 用於將該隨機選擇的複數個IP位址拘束至該一或多個模擬服務的構件。
  23. 如請求項21之路由器設備,進一步包括: 用於在該等隨機選擇的IP位址處監視通訊活動的構件;及用於決定是否在該等隨機選擇的IP位址中的一或多個IP位址處偵測到該IoT蠕蟲通訊活動的構件。
  24. 如請求項21之路由器設備,進一步包括: 用於回應於決定在除該隨機選擇的複數個IP位址以外的另一IP位址處偵測到IoT蠕蟲通訊活動而改變該另一IP位址的一拘束的構件。
  25. 如請求項24之路由器設備,進一步包括: 用於回應於決定未在該另一IP位址處偵測到IoT蠕蟲通訊活動而決定是否改變該等隨機選擇的IP位址和該等模擬服務中的一者或多者的構件。
  26. 一種其上儲存有處理器可執行指令的非暫時性處理器可讀取儲存媒體,該等指令被配置成使一路由器設備的一處理器執行用於緩解一物聯網路(IoT)蠕蟲的操作,該等操作包括: 隨機地選擇複數個網際網路協定(IP)位址;在該隨機選擇的複數個IP位址處宣告一或多個模擬服務;回應於在該等所選IP位址之一處偵測到IoT蠕蟲通訊活動而使得一IoT蠕蟲能存取該等模擬服務之一;及將該IoT蠕蟲的一通訊重定向至該路由器設備的另一IP位址。
  27. 如請求項26之非暫時性處理器可讀取儲存媒體,其中所儲存的該等處理器可執行指令被配置成使該路由器設備的該處理器執行進一步包括以下動作的操作: 將該隨機選擇的複數個IP位址拘束至該一或多個模擬服務。
  28. 如請求項26之非暫時性處理器可讀取儲存媒體,其中所儲存的該等處理器可執行指令被配置成使該路由器設備的該處理器執行進一步包括以下動作的操作: 在該等隨機選擇的IP位址處監視通訊活動;及決定是否在該等隨機選擇的IP位址中的一或多個IP位址處偵測到該IoT蠕蟲通訊活動。
  29. 如請求項26之非暫時性處理器可讀取儲存媒體,其中所儲存的該等處理器可執行指令被配置成使該路由器設備的該處理器執行進一步包括以下動作的操作: 回應於決定在除該隨機選擇的複數個IP位址以外的另一IP位址處偵測到IoT蠕蟲通訊活動而改變該另一IP位址的一拘束。
  30. 如請求項29之非暫時性處理器可讀取儲存媒體,其中所儲存的該等處理器可執行指令被配置成使該路由器設備的該處理器執行進一步包括以下動作的操作: 回應於決定未在該另一IP位址處偵測到IoT蠕蟲通訊活動而決定是否改變該等隨機選擇的IP位址和該等模擬服務中的一者或多者。
TW106125811A 2016-09-23 2017-08-01 緩解物聯網路(iot)蠕蟲 TW201814575A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/274,457 2016-09-23
US15/274,457 US20180091526A1 (en) 2016-09-23 2016-09-23 MITIGATING AN INTERNET OF THINGS (IoT) WORM

Publications (1)

Publication Number Publication Date
TW201814575A true TW201814575A (zh) 2018-04-16

Family

ID=59593164

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106125811A TW201814575A (zh) 2016-09-23 2017-08-01 緩解物聯網路(iot)蠕蟲

Country Status (3)

Country Link
US (1) US20180091526A1 (zh)
TW (1) TW201814575A (zh)
WO (1) WO2018057110A1 (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10581875B2 (en) * 2016-05-27 2020-03-03 Afero, Inc. System and method for preventing security breaches in an internet of things (IOT) system
US10517021B2 (en) 2016-06-30 2019-12-24 Evolve Cellular Inc. Long term evolution-primary WiFi (LTE-PW)
US11616781B2 (en) * 2017-12-05 2023-03-28 Goldilock Secure s.r.o. Air gap-based network isolation device
US10637876B2 (en) 2018-04-27 2020-04-28 Dell Products L.P. Information handling system threat management
US11595407B2 (en) 2018-04-27 2023-02-28 Dell Products L.P. Information handling system threat management
US11336658B2 (en) 2018-04-27 2022-05-17 Dell Products L.P. Information handling system threat management
US11089049B2 (en) * 2018-05-24 2021-08-10 Allot Ltd. System, device, and method of detecting cryptocurrency mining activity
US12368725B2 (en) * 2018-07-31 2025-07-22 Mcafee, Llc Methods, systems, and media for presenting alerts indicating malicious activity
CN109214189B (zh) * 2018-08-22 2022-05-24 深圳市腾讯网络信息技术有限公司 识别程序漏洞的方法、装置、存储介质和电子设备
US11070632B2 (en) * 2018-10-17 2021-07-20 Servicenow, Inc. Identifying computing devices in a managed network that are involved in blockchain-based mining
US11269619B2 (en) 2019-06-27 2022-03-08 Phosphorus Cybersecurity Inc. Firmware management for IoT devices
CN110337070A (zh) * 2019-07-24 2019-10-15 无锡灵龙芯物联网科技有限公司 一种基于tdma的lora数据通信方法
JP2022546924A (ja) * 2019-07-31 2022-11-10 アイオーエックスティー、エルエルシー フィンガープリント解析によりデバイスのセキュリティを評価するためのシステムおよび方法
CN110830487A (zh) * 2019-11-13 2020-02-21 杭州安恒信息技术股份有限公司 物联网终端的异常状态识别方法、装置及电子设备
CN111683040B (zh) * 2020-04-21 2023-07-14 视联动力信息技术股份有限公司 一种网络隔离方法、装置、电子设备及存储介质
CN111565063B (zh) * 2020-04-29 2021-06-15 广州技象科技有限公司 一种窄带物联网系统
US20220303299A1 (en) * 2021-03-17 2022-09-22 II Paul B. Barringer System for Determining Network Security of Connected Devices
CN114157479B (zh) * 2021-12-01 2022-09-02 北京航空航天大学 一种基于动态欺骗的内网攻击防御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171544B2 (en) * 2005-04-20 2012-05-01 Cisco Technology, Inc. Method and system for preventing, auditing and trending unauthorized traffic in network systems

Also Published As

Publication number Publication date
US20180091526A1 (en) 2018-03-29
WO2018057110A1 (en) 2018-03-29

Similar Documents

Publication Publication Date Title
TW201814575A (zh) 緩解物聯網路(iot)蠕蟲
US11973783B1 (en) Attack prevention in internet of things networks
Sallam et al. On the security of SDN: A completed secure and scalable framework using the software-defined perimeter
Habibi et al. Heimdall: Mitigating the internet of insecure things
Sivaraman et al. Smart-phones attacking smart-homes
Yu et al. PSI: Precise Security Instrumentation for Enterprise Networks.
Mantas et al. Security for 5G communications
US10542020B2 (en) Home network intrusion detection and prevention system and method
US11533622B2 (en) Quarantining fake, counterfeit, jailbroke, or rooted mobile devices in the cloud
Kumar et al. Review on security and privacy concerns in Internet of Things
US12074845B2 (en) System and method for remotely filtering network traffic of a customer premise device
CN110326314A (zh) 用于机器类型通信的安全架构
US11539741B2 (en) Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices
Cabaj et al. Network threats mitigation using software‐defined networking for the 5G internet of radio light system
Min et al. OWASP IoT top 10 based attack dataset for machine learning
Dua et al. Iisr: A secure router for iot networks
US9712556B2 (en) Preventing browser-originating attacks
US9686311B2 (en) Interdicting undesired service
Ravi et al. TeFENS: Testbed for experimenting next-generation-network security
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
Demetriou et al. Guardian of the HAN: thwarting mobile attacks on smart-home devices using OS-level situation awareness
Taylor Leveraging Software-Defined Networking and Virtualization for a One-to-One Client-Server Model
Dorai et al. " Is your Smart Home a Secure Home?"-Analysis of Smart Home Breaches and an Approach for Vulnerability Analysis and Device Isolation
US20240048568A1 (en) Threat intelligence and log data analysis across clustered devices
Vázquez-Ingelmo et al. Threats behind default configurations of network devices: wired local network attacks and their countermeasures