Fujitsu开发网络控制技术降低网络攻击对IoT设备的影响

  ICCSZ讯(编译：Vicki)Fujitsu Laboratories Ltd宣布开发可安全操作现场安装的IoT设备的网络控制技术。 传感器，制造设备以及与工厂等现场环境中的网络连接的其他物联网设备缺乏身份验证或病毒检查功能，而容易导致恶意软件攻击，从而导致工厂运行中断。 这是一个全球性问题，由于CPU和内存容量的限制，现有防病毒软件通常不能安装在物联网设备中，许多现有设备都受到网络攻击威胁。

  Fujitsu 现在开发了基于网关收集的操作信息分析和管理物联网设备和网络设备之间的互连性的技术，响应网络结构的连续变化以识别出行为可疑的物联网设备的通信。此外，Fujitsu 还开发了有效控制通信模块的技术。例如，如果感染恶意软件的物联网设备攻击其他设备，则这些技术可以通过比较网关中记录的连接关系的普通通信路由与实际通信路由来检测该通信。而且，通过限制由网关管理的最合适的网络设备，网络攻击的影响可以被最小化。Fujitsu 计划在2018财年期间将这些技术商业化，作为富士通有限公司提供的富士通网络Virtuora系列网络产品的网关功能的一部分。

  发展背景

  近年来，各种工业领域的物联网采用程度不断提高，并且随着物联网设备(如传感器和制造设备)连接到网络，这些物联网设备被恶意软件攻击损坏的情况在全球范围内发生。 这对物联网设备的安全对策产生了迫切的需求。 然而，在很多情况下，IoT设备由于CPU，内存或操作系统的限制而不支持防病毒软件，即使部署了防病毒软件，通常不会执行需要设备重启的软件更新，因为 物联网设备在运行时不能停止。 由于这些因素，导致很多物联网设备的运行安全措施不足。

  针对这些问题，各个联盟和网络设备供应商已经提出了使用网关将物联网设备所连接的网络与网络分开的措施，如PC和服务器等普通设备连接到(图1)。 这意味着网关可以保护设备免受来自外部网络的网络攻击，但是因为如果感染恶意软件的设备连接到物联网设备所连接的网络内部，网络攻击就可以在不通过网关的情况下进行，但无法保护他们来自受感染设备的网络攻击。

  新技术的发展

  现在，富士通实验室已经开发出技术，可以从网关设备收集有关物联网设备和网络设备的操作信息，推断出物联网设备所连接的网络的拓扑结构(1)，并根据此信息适当地控制网络设备(图2)。 利用此技术，沿拓扑结构中未考虑到的路由通信的IoT设备可被视为未经授权的设备，从而使该技术能够通过使这些物联网设备无法与其他物联网设备进行通信来最大限度地降低网络攻击的影响。

  1.拓扑管理技术支持具有多种接口的设备

  该技术以各种格式从物联网设备和网络设备收集关于相邻设备的信息，然后推断整个物联网网络在实时变化时的拓扑结构。由于不同设备使用具有各自通信方法和数据格式的各种接口，因此通过将这些拓扑全部转换为网关中的标准化接口来启用该拓扑扣除。利用该技术，当物联网设备请求授权通信路由时，该技术可以收集来自网络设备的实际通信路由，通过比较发现由网络攻击和其他问题产生的未授权通信以及导致它们的可疑物联网设备授权路线与实际路线。

  2.阻止来自可疑设备的通信的网络控制技术

  通过使用拓扑信息控制沿路由的网络设备，网关可以阻止可疑设备与其他设备之间的通信。由于有些设备使用无线而不是有线连接，因此在通信路径每时每刻都在变化并且有时通信完全停止的情况下，控制适当的网络设备至关重要。利用该技术，可以通过选择网络设备，同时考虑到拓扑结构和设备状态的变化，以及根据所连接的设备或一组连接的设备来控制这些网络设备，从而阻止可疑设备的通信，同时最小化对普通设备的通信的影响设备。

  在使用假恶意软件的模拟中，富士通实验室使用配备了该技术的网关与现有网络设备协调运行，并确认该技术可能会阻止可疑设备的通信。结果显示，这项技术可以将网络攻击安装在网关中时的影响降至最低。利用这项技术，可以使用现有设置提供安全操作，而无需在工厂等站点交换或部署具有安全对策的新物联网设备，这些设备需要持续运行具有长使用寿命的生产设备。

  富士通实验室计划在2018财年期间将此技术商业化为富士通网络Virtuora系列网络产品中的网关功能。此外，它还将继续发展这项技术，不仅仅针对工厂等制造业，而且还将拓展到各种需要对物联网系统运行进行安全和可靠管理的工业领域。