Skip to main content
Nubint
QUICK REVIEW

[论文解读] ThingPot: an interactive Internet-of-Things honeypot

Meng Wang, J. Santillán|arXiv (Cornell University)|Jul 11, 2018
Network Security and Intrusion Detection参考文献 5被引用 44
一句话总结

ThingPot 是一个交互式物联网诱饵系统,模拟一个完整的物联网平台(XMPP/MQTT HIH 以及 REST LIH)以研究攻击者行为,部署时具 Philips Hue 用例并开源数据。它捕捉并分析针对物联网平台的攻击向量。

ABSTRACT

The Mirai Distributed Denial-of-Service (DDoS) attack exploited security vulnerabilities of Internet-of-Things (IoT) devices and thereby clearly signalled that attackers have IoT on their radar. Securing IoT is therefore imperative, but in order to do so it is crucial to understand the strategies of such attackers. For that purpose, in this paper, a novel IoT honeypot called ThingPot is proposed and deployed. Honeypot technology mimics devices that might be exploited by attackers and logs their behavior to detect and analyze the used attack vectors. ThingPot is the first of its kind, since it focuses not only on the IoT application protocols themselves, but on the whole IoT platform. A Proof-of-Concept is implemented with XMPP and a REST API, to mimic a Philips Hue smart lighting system. ThingPot has been deployed for 1.5 months and through the captured data we have found five types of attacks and attack vectors against smart devices. The ThingPot source code is made available as open source.

研究动机与目标

  • 通过部署一个能够模拟完整物联网平台的交互式诱饵系统,理解攻击者对物联网平台的策略。
  • 在 PoC Philips Hue 场景中,评估攻击者在物联网协议(XMPP/MQTT HIH)和 REST 后端的交互。
  • 提供开源工具,便于复制和扩展物联网诱饵部署以用于安全研究。

提出的方法

  • 提出 ThingPot 作为混合型(中/高)交互物联网诱饵,模拟具 XMPP/MQTT HIH 模块的物联网平台,并具 REST 基于 LIH 的设备仿真。
  • 实现一个受 Philips Hue 启发的 PoC,含 XMPP 客户端、REST API,以及通过 shared_id 将 REST 与 XMPP 日志关联的日志系统。
  • 在隔离环境中部署 ThingPot,并通过代理提升鲁棒性并遮蔽后端 API 细节。
  • 使用 Django REST 框架后端来模拟 Phue 桥接 API,以及为 REST 与 XMPP 组件定制的日志系统。
  • 分析日志数据以识别攻击者类型、模式和攻击向量,包括定向和扫描活动。

实验结果

研究问题

  • RQ1与完整物联网平台诱饵互动时观察到的攻击者策略和向量是什么?
  • RQ2攻击者是在物联网平台中主要针对基于 REST 的物联网后端还是 XMPP 通信路径?
  • RQ3针对物联网平台仿真(如 Philips Hue 用例)的攻击的常见模式和特征是什么?

主要发现

  • 在 1.5 个月的部署期间捕获了超过 1.13e5 次请求,其中 41.5% 为定向攻击,49.2% 为非定向(其他未定义)。
  • HTTP REST 请求占请求的 42.9%,显示攻击者进行大量基于 REST 的交互。
  • 通过用户代理识别出多种攻击者画像,包括类似恶意软件的模式(如 Jorgee)、暴力破解/模糊测试模式(如 botlight、000modscan)以及扫描工具(Skipfish、Nikto、masscan)。
  • 一些攻击者通过带有 JSON 负载的 POST 请求试图进行 Philips Hue 特定控制,模拟 Hue API 交互;另一些进行广泛的 URL 或主体探测。
  • 大多数观察到的攻击先进行一般扫描,再进行定向暴力破解或模糊测试尝试,通常通过 TOR 匿名化来源。
  • 数据表明对 XMPP 路径的直接利用尝试有限,表明 XMPP 增加了攻击者的复杂性,或可能针对 XMPP 服务器而非物联网平台。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。