《Ad Hoc Networks》:Privacy-aware SDN based IoT: Adversarial defense against the inference attack
编辑推荐:
SDN增强的物联网环境存在隐私泄露风险,主要因控制器统计信息可推断设备信息。本文提出基于对抗机器学习的隐私感知SDN抽象机制,通过扰动流量统计降低攻击者置信度达46%-76%,同时保持网络功能并控制扰动量。
伊萨克·塞拉特(Ishak Serrat)| 泰耶布·凯纳扎(Tayeb Kenaza)| 伊斯拉姆·德比查(Islam Debicha)| 拉姆齐·布谢里克哈(Ramzi Boucherikha)| 阿克拉姆·塔塔查克(Akram Tatachak)| 穆罕默德·查希纳·加内姆(Mohamed Chahine Ghanem)
阿尔及利亚阿尔及尔军事理工学院计算机安全实验室
摘要
软件定义网络(SDN)具备灵活性和可编程性,使其成为物联网(IoT)部署的理想选择。然而,SDN的控制平面可观测性也可能加剧隐私风险:拥有控制器生成统计数据的敌手可能会推断出关于连接设备及其所有者的敏感信息。现有的针对基于SDN的IoT的研究主要集中在性能和安全加固上,而很大程度上忽视了SDN抽象本身带来的隐私泄露问题。本文探讨了基于SDN的IoT环境中的隐私挑战。首先,我们展示了一种利用SDN抽象的被动推断攻击方式。我们分析了攻击过程,重点关注了IoT设备的识别,并证明了其可行性以及可能导致的严重隐私泄露。为了减轻这一威胁,我们提出了一种隐私意识型的SDN抽象机制,该机制通过对抗性机器学习技术干扰流量统计信息,从而降低攻击者准确识别IoT设备的能力,同时保持SDN的管理功能。实验结果表明,敌手通过控制器抽象能够以超过97%的置信度识别IoT设备,这凸显了在基于SDN的生态系统中迫切需要隐私保护技术。我们对所提出的防御措施进行了评估,证实了其有效性和效率,成功将敌手的识别置信度降低了46%至76%,同时对目标数据的扰动量小于2%。
引言
软件定义网络(SDN)作为一种范式出现,旨在通过将控制平面与数据平面分离,并将决策权交给可编程的中央控制器来克服传统网络架构的局限性。SDN架构通过将底层网络设备抽象为网络应用程序,简化了网络管理,使这些应用程序能够收集全网统计信息,保持对网络的全面视图,并动态响应变化的需求[1]、[2]。
与此同时,物联网(IoT)正在家庭、工业、医疗和交通等领域持续扩展,产生了大量需要高效管理的数据和通信流量[3]。将SDN与IoT集成(通常称为基于SDN的IoT)为协调这些异构设备提供了实用的方法,并有助于实现物联网应用的全面潜力,如工业物联网(IIoT)、医疗物联网(IoMT)和智能交通系统(ITS)[4]。然而,这种融合也使网络面临新的隐私和安全问题[5]。特别是,由于IoT流量模式的高度独特性和与用户活动、习惯及物理位置的关联性,隐私问题尤为突出。此类泄露可能导致严重后果,从暴露个人习惯和日常行为到启用物理安全漏洞(例如,未经授权访问智能家居),甚至危及IoMT设备中的敏感健康数据。
收集、分析和变现IoT生成数据的竞争加剧了隐私风险,引发了人们对数据使用和共享方式的透明度担忧。例如,先前的研究表明,IoT设备与第三方领域的交互比与自身供应商的交互更为频繁[6],而且大多数此类交互都是不必要的,可以在不干扰设备功能的情况下被阻止[7]。这种做法凸显了第三方日益增长的兴趣和好奇心,这可能促使他们利用漏洞绕过用户同意,嵌入隐蔽或旁路的数据收集机制,从而强调了识别和应对IoT隐私新威胁的必要性。
文献中探讨了IoT环境中的隐私风险,通常关注路径上的对手(如服务提供商)和网络窃听者[8]、[9]。然而,[10]中的作者表明,IoT设备生成的网络流量模式仍可能通过SDN抽象出现在与第三方网络应用程序共享的统计信息中。因此,在基于SDN的IoT中,架构本身可能引入了超出传统数据收集和窃听之外的额外隐私风险。这主要是由于(i)集中式的全球可观测性;(ii)结构化流量级统计信息的暴露;(iii)高度可识别的IoT流量统计信息。尽管这种数据暴露实现了高级网络功能,但它也可能允许仅基于抽象流量统计信息的旁路被动推断攻击,而无需捕获数据包或检查数据负载。由于SDN与传统网络在架构上的显著差异,旁路攻击在SDN部署中常常被忽视[11]。这种新架构将隐私威胁模型从传统的路径上对手扩展到了具有合法访问控制器抽象数据权限的路径外好奇应用实体。
缺乏隐私保护机制会严重阻碍基于SDN的IoT的负责任发展。传统的IoT加密和访问控制措施无法解决SDN架构中的隐私问题。虽然流量变形方法可以在数据包级别隐藏IoT流量模式,但由于假设不现实和部署限制,这种方法往往不可行。
在本文中,我们填补了文献中的这一空白,解决了基于SDN的IoT环境中的隐私挑战。我们识别了一种利用SDN抽象的控制平面可观测性来推断敏感信息的被动攻击方式。我们分析了攻击过程,重点关注敌手利用从控制器获取的流量规则统计信息识别IoT设备的能力。这种设备识别任务不同于传统的基于流量的IoT识别方法,因为控制器提供的可见性有限,且数据为时间窗口聚合统计信息。为了减轻这种攻击,我们提出了一种基于对抗性机器学习的隐私意识型SDN抽象机制。我们对推断攻击(IoT设备识别)和我们的防御策略进行了全面评估,评估了攻击的可行性、有效性、效率以及防御的整体影响。此外,我们还讨论了可能的防御措施,并从概念上比较了我们的机制与现有用于隐藏IoT流量模式的策略,指出了威胁模型、隐私保障和部署假设之间的差异。
本文的主要贡献如下:
- 1. 提出了一种新的基于SDN的IoT环境中的推断攻击方式;
- 2. 设计了一种相对透明、具有隐私意识的SDN抽象机制,平衡了数据效用和隐私保护;
- 3. 分析了仅使用SDN可提取特征识别IoT设备的攻击有效性;
- 4. 对所提出的机制进行了实证评估,评估了其在减轻攻击的同时最小化扰动的有效性;
- 5. 深入分析了防御效率。
本文的其余部分安排如下:第2节回顾了SDN和IoT隐私的相关背景和相关工作。第3节阐述了问题并描述了基于SDN的推断攻击。第4节详细介绍了所提出的隐私意识型抽象机制。第5节报告了实验评估结果,考察了攻击在真实数据集上的可行性以及防御在有效性和效率方面的表现。第6节讨论了防御机制的实际意义、局限性及部署考虑因素。最后,第7节总结了主要发现,并指出了未来的研究方向。
章节片段
背景和相关工作
本节介绍了基于SDN的IoT,并回顾和讨论了相关文献。我们考虑了开放式的SDN,其特征是平面分离、简单的转发设备、逻辑集中的控制、开放的接口以及网络功能的抽象。
问题陈述
本节探讨了在IoT网络中部署SDN所涉及的隐私挑战,并介绍了基于SDN的推断攻击概念以及我们研究中考虑的敌手模型。
对抗性防御机制
为了解决基于SDN的IoT网络中的隐私问题,我们提出了一种隐私意识型SDN抽象机制。我们详细介绍了所提出的解决方案,说明了用于降低隐私风险同时保持SDN抽象操作效用的策略。
实验评估
在本节中,我们对推断攻击(IoT设备识别)以及我们的防御策略进行了全面评估,重点关注其主要组成部分——流量统计干扰器。首先,我们提供了评估方法,然后评估了攻击的可行性、防御的有效性、效率及其整体影响。
讨论
本节讨论了我们结果的实际意义,分析了所提出防御的局限性,并指出了实际部署中的考虑因素。
所提出的扰动机制旨在对SDN架构保持透明,并通过对操作SDN应用程序的影响进行控制和限制,使其对应用程序相对透明。扰动的幅度受到限制,并应用于抽象的网络统计信息,目的是
结论和未来工作
将SDN集成到IoT网络中引入了新的隐私问题,因为第三方网络应用程序可以通过SDN抽象进行观测。本文解决了基于SDN的IoT环境中的隐私挑战,并提出了两项主要贡献。
第一项贡献是提出了一种利用SDN抽象推断敏感隐私信息的被动攻击方式。攻击过程以逐步方式进行了详细说明,展示了其潜力
CRediT作者贡献声明
伊萨克·塞拉特(Ishak Serrat):撰写——原始草稿、验证、软件开发、方法论、概念化。泰耶布·凯纳扎(Tayeb Kenaza):撰写——审阅与编辑、验证、监督。伊斯拉姆·德比查(Islam Debicha):撰写——审阅与编辑、验证、概念化。拉姆齐·布谢里克哈(Ramzi Boucherikha):软件开发、调查、概念化。阿克拉姆·塔塔查克(Akram Tatachak):软件开发、调查、概念化。穆罕默德·查希纳·加内姆(Mohamed Chahine Ghanem):撰写——审阅与编辑、验证、监督。
利益冲突声明
作者声明他们没有已知的财务利益或个人关系可能影响本文所述的工作。
