本文介绍的研究论文《HorusEye: A Realtime IoT Malicious Traffic Detection Framework Using Programmable Switches》由Yutao Dong等人撰写,发表于2023年8月9日至11日在美国加州阿纳海姆举行的第32届USENIX安全研讨会(USENIX Security Symposium)。该研究由清华大学深圳国际研究生院、鹏城实验室、香港科技大学(广州)等机构的研究人员共同完成。论文的主要目标是解决物联网(IoT)设备流量快速增长带来的异常检测挑战,提出了一种基于可编程交换机的高吞吐量、高精度的两阶段异常检测框架——HorusEye。
随着物联网设备的普及,预计到2025年,全球物联网连接数将达到246亿,远超2019年的数量。然而,许多物联网设备由于硬件资源有限,无法部署复杂的安全机制,因此成为攻击者的主要目标。传统的异常检测系统通常在控制平面上进行流量检测,但随着流量的增长,这些系统难以扩展。现有的基于规则的检测系统虽然具有高吞吐量,但无法检测未知攻击,且容易被绕过。此外,将全部流量上传到控制平面进行检测会导致通信开销过大,效率低下。
可编程交换机的出现为异常检测提供了新的视角。与传统的控制平面相比,可编程交换机(如P4交换机)能够实现更高的吞吐量、更低的延迟和更快的包转发速率。然而,可编程交换机仅支持简单的指令(如整数加法和位移操作),因此现有的工作主要集中在决策树或基于阈值的方法上,这些方法虽然易于转换为交换机规则,但需要大规模异常数据集,而高质量的网络入侵异常数据集难以获取。
本文提出了一种名为HorusEye的两阶段物联网异常检测框架,旨在通过利用数据平面的高吞吐量能力,实现实时、高效的异常检测。HorusEye的第一阶段在数据平面上进行初步的突发级异常检测,第二阶段在控制平面上对可疑流量进行更深入的检测,以减少误报率。
HorusEye框架分为两个主要模块:Gulliver Tunnel和Magnifier。Gulliver Tunnel部署在数据平面上,负责对高速流量进行初步异常检测,并将可疑流量报告给控制平面。Magnifier部署在控制平面上,负责对可疑流量进行更精确的检测。
Gulliver Tunnel的核心是将训练好的隔离森林(iForest)模型转换为白名单规则,并在可编程交换机上部署这些规则。iForest是一种无监督学习模型,能够检测未知攻击。为了在交换机上部署iForest模型,研究人员提出了一种新颖的规则生成算法,将iForest模型转换为一系列白名单规则。这些规则可以通过简单的整数匹配操作在数据平面上执行,几乎与原始模型的检测结果一致。
此外,Gulliver Tunnel还设计了一种突发特征提取算法,能够在交换机上提取双向流的突发特征。为了减少资源占用,研究人员提出了突发分段、双向哈希(Bi-Hash)和双哈希表(Double Hash Table)等方法,确保在交换机上高效提取和处理突发特征。
Magnifier是一个轻量级的无监督深度学习模型,部署在控制平面上,用于进一步检测Gulliver Tunnel报告的可疑流量。为了减少误报率,Magnifier采用了不对称自编码器(Asymmetric Autoencoder)、可分离卷积(Separable Convolution)和扩张卷积(Dilated Convolution)等技术,能够在保持高性能的同时减少模型参数。此外,Magnifier还通过模型量化(Model Quantization)进一步提高了吞吐量。
研究人员在真实的物联网测试平台上对HorusEye进行了全面评估。实验结果表明,HorusEye在数据平面上能够检测99%的异常流量,并将76%的正常流量从控制平面卸载。与现有的最先进方案(如Kitsune和Mousika)相比,HorusEye在吞吐量和检测性能上具有显著优势。具体来说,HorusEye在单端口100Gbps的交换机上实现了高效的异常检测,且误报率极低。
HorusEye框架通过将异常检测任务卸载到数据平面,显著减轻了控制平面的负担,同时保持了高精度的检测能力。该框架的创新之处在于首次在可编程交换机上部署了无监督学习模型,并通过高效的规则生成算法和特征提取方案,实现了实时、高效的异常检测。HorusEye不仅在科学上具有重要价值,还为物联网安全提供了实际应用的可能性。
HorusEye的研究为物联网安全提供了新的解决方案,特别是在大规模物联网设备部署的场景下,能够有效应对日益增长的流量和复杂的攻击手段。该框架不仅提升了异常检测的效率和精度,还为未来的物联网安全研究提供了新的方向。