选题背景和意义物联网即万物相连的互联网是互联网基础上的延伸和扩展的网络将各种信息传感设备与互联网结合起来而形成的一个巨大网络通过各类可能的网络接入实现在任何时间、任何地点人、机、物的互联互通实现对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体它让所有能够被独立寻址的普通物理对象形成互联互通的网络。物联网作为新一代信息技术的高度集成和综合运用具有渗透性强、带动作用大、综合效益好的特点是继计算机、互联网、移动通信网之后信息产业发展的又一推动者。物联网的应用和发展有利于促进生产生活和社会管理方式向智能化、精细化、网络化方向转变极大提高社会管理和公共服务水平催生大量新技术、新产品、新应用、新模式推动传统产业升级和经济发展方式转变并将成为未来经济发展的增长点。根据相关数据统计2021年全球物联网市场规模达到55136亿元2022年达到61344亿元2020-2022年全球物联网市场规模复合增长率达到11.30%。据全球移动通信系统协会GSMA数据2019-2022年全球物联网设备连接数的复合增长率为12.70%2022年全球物联网设备连接数达到172亿台。随着物联网技术不断发展和不断成熟未来物联网将给人们的生活带来革命性的变化。据CNCERT/CC2007年网络安全工作报告的统计近年来漏洞数量呈现明显上升趋势不仅如此新漏洞从公布到被利用的时间越来越短黑客对发布的漏洞信息进行分析研究往往在极短时间内就能成功利用这些漏洞。除了利用已知漏洞黑客们也善于挖掘并利用一些尚未公布的漏洞发起病毒攻击或出售漏洞资料满足经济目的。相对于黑客安全研究者们在漏洞研究方面显得相对被动和滞后。因此应该加大对漏洞挖掘的研究力度以便对各类漏洞采取更为主动合理的处理方式。漏洞是指系统中存在的一些功能性或安全性的逻辑缺陷包括一切导致威胁、损坏计算机系统安全性的所有因素是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。由于种种原因漏洞的存在不可避免一旦某些较严重的漏洞被攻击者发现就有可能被其利用在未授权的情况下访问或破坏计算机系统。先于攻击者发现并及时修补漏洞可有效减少来自网络的威胁。因此主动发掘并分析系统安全漏洞对网络攻防战具有重要的意义。漏洞的研究主要分为漏洞挖掘与漏洞分析两部分。漏洞挖掘技术是指对大量不同漏洞的探索综合应用各种技术和工具尽可能地找出软件中的潜在漏洞漏洞分析技术是指对已发现漏洞的细节进行深入分析为漏洞利用、补救等处理措施作铺垫。根据分析对象的不同漏洞挖掘技术可以分为基于源码的漏洞挖掘技术和基于目标代码的漏洞挖掘技术两大类。基于源码的漏洞挖掘的前提是必须能获取源代码对于一些开源项目通过分析其公布的源代码就可能找到存在的漏洞。例如对Linux系统的漏洞挖掘就可采用这种方法。但大多数的商业软件其源码很难获得不能从源码的角度进行漏洞挖掘只能采用基于目标代码的漏洞挖掘技术。对目标码进行分析涉及编译器、指令系统、可执行文件格式等多方面的知识难度较大。基于目标代码的漏洞挖掘首先将要分析的二进制目标代码反汇编得到汇编代码然后对汇编代码进行切片即对某些上下文关联密切、有意义的代码进行汇聚降低其复杂性最后通过分析功能模块来判断是否存在漏洞。漏洞挖掘是一个多种漏洞挖掘分析技术相互结合、共同使用和优势互补的过程。目前漏洞挖掘分析技术有多种主要包括手工测试技术、Fuzzing技术、比对和二进制比对技术、静态分析技术、动态分析技术等。根据GSMA发布的《The mobile economy 20202020年移动经济》报告显示2019年全球物联网的总连接数达到120亿预计到2025年全球物联网连接数的规模将达到246亿其中2019年中我国物联网的连接数全球占比高达30%我国物联网连接数为36.3亿。可见现在物联网的规模已经非常庞大了。但是在物联网给人们生活带来便利的同时其也存在着很多安全威胁。2020年1月至11月NVD平台总共披露了12805个漏洞其中物联网相关的有1541个占比12%。在这一千多个漏洞中从攻击复杂度的角度分析2020 年 1 月至 11 月 NVD 披露的物联网相关漏洞攻击复杂度分布显示96% 的漏洞攻击复杂度较低说明物联网相关的漏洞利用难度较低攻击者开发 Exploit 相对难度较低。从漏洞 CVSS 3 评级的角度分析2020 年 1 月至 11 月 NVD 公布的物联网相关漏洞评级分布显示漏洞评级的占比分别为严重占比 16%高危漏洞占比 40%中危漏洞占比 42%低危漏洞占比 2%可见物联网相关的漏洞通常危害较为严重。物联网的安全问题已经非常严峻。在大多数情况下研究人员专注于各种类型的漏洞。典型的潜在缺陷列表包括以下条目。未修补的软件许多人无视的直接漏洞。如果您是普通网民则可以使用许多应用程序。他们中的大多数正在不断发展。开发人员使他们适应解决问题。在某些情况下修补程序和更新可解决严重的漏洞。当人们拒绝更新时就会出现威胁。配置错误这个概念涉及系统的各种变更。示例之一与用户开始使用新服务时获得的默认设置有关。通常默认设置不关注安全性。您的路由器是不应保留其默认设置的小工具之一。相反您应该定期更改凭据。因此您将防止未经授权的访问或通信拦截。凭据差简单或重复使用的密码仍然是一个问题。尽管网络安全行业已经为每个网友提供了选择但是使用原始和复杂密码的建议仍然被忽略。取而代之的是人们想出了舒适的密码。这是什么意思人们可以轻松记住的组合以及可悲的是黑客可以轻松猜测的组合。了解凭证填充攻击的性质后您将需要一个非常复杂的密码来保证安全。恶意软件网络钓鱼和网络如今恶意软件已成为Internet不可或缺的一部分。网络钓鱼也是与到达用户邮箱的欺诈和欺诈性报价有关的主要威胁之一。信任关系这些漏洞触发了连锁反应。例如各种系统可以彼此链接以允许访问。如果一个网络遭到破坏其他网络也可能崩溃。凭据受损这种威胁是指对您的凭据的不道德勒索。后来它们被用来获得未经授权的访问。例如可以使用未经正确加密的系统之间的通信。然后黑客可以拦截此交换并以纯文本形式检索密码。恶毒的内幕系统中的某些参与者可以利用他们的特权并执行恶意操作。加密不正确黑客或其他恶意资源可以拦截网络上加密不良的通信。由于存在此类漏洞因此可能会发生许多灾难性的情况。例如骗子可以获取机密信息或在部门之间散布虚假信息。零日漏洞和其他缺陷此类漏洞无法解决并且会继续困扰着系统。黑客将尝试利用此类缺陷并查看哪些系统可能受到威胁。物联网的漏洞影响面通常非常的庞大其甚至能影响上亿的设备给人们的生活、生产带来巨大的恶劣影响。因此进行物联网漏洞挖掘成为必要。从智能家居设备的隐私问题到物联网全球性漏洞攻击问题今后很长一段时间物联网安全威胁将成为网络安全的最大威胁之一物联网安全支出在整个市场上所占比例也将迅速提高。物联网市场爆炸性增长是因为物联网设备提供了更多的便利易于使用并带来了真正的价值。但同时物联网设备也面临许多网络安全漏洞。他们无需授权即可工作这使得在被破坏之前威胁识别变得更加困难。但是如果知道危险潜伏在哪里则可以找到一种方法最大程度地降低网络安全风险。由于各种原因物联网设备特别容易受到这些攻击。在线物联网设备的数量每天都在增加。物联网的这些网络安全问题应同时涉及个人和企业用户。凭着物联网行业的当前状况以及最终用户的意识可以肯定地说人们将至少看到更多由物联网驱动的大规模网络攻击。物联网漏洞挖掘技术能够发现物联网中存在的漏洞问题应用于所有物联网涉及的范围内包括工业、农业等基础设施在内的所有领域保护个人隐私降低财产损失提高物联网安全。物联网将现实世界数字化应用范围十分广泛。物联网拉近分散的信息统整物与物的数字信息物联网的应用领域主要包括以下方面运输和物流领域、工业制造、健康医疗领域范围、智能环境例如家庭、办公、工厂等领域、个人和社会领域等具有十分广阔的市场和应用前景。但随着物联网设备的迅速发展和广泛应用物联网设备的安全也受到了严峻的考验。安全漏洞大量存在于物联网设备中而通用的漏洞挖掘技术已经不再完全适用于物联网设备。近几年针对物联网设备漏洞的挖掘技术逐渐成为热点。而目前的物联网漏洞挖掘技术分为静态分析、动态模糊测试、同源性分析技术针对架构进行分类可分为单架构物联网漏洞挖掘技术与跨架构物联网漏洞挖掘技术。针对特定架构单架构问题通过架构固定算法检测该平台下固件漏洞。针对物联网设备安全漏洞的攻击不仅会造成个人隐私的泄露更会造成人身财产的损失严重的甚至会威胁到整个网络空间安全性。针对物联网设备的漏洞挖掘迫在眉睫。因此本项目具备重要的理论价值与现实意义。
本科毕设开题报告 选题背景和意义
选题背景和意义物联网即万物相连的互联网是互联网基础上的延伸和扩展的网络将各种信息传感设备与互联网结合起来而形成的一个巨大网络通过各类可能的网络接入实现在任何时间、任何地点人、机、物的互联互通实现对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体它让所有能够被独立寻址的普通物理对象形成互联互通的网络。物联网作为新一代信息技术的高度集成和综合运用具有渗透性强、带动作用大、综合效益好的特点是继计算机、互联网、移动通信网之后信息产业发展的又一推动者。物联网的应用和发展有利于促进生产生活和社会管理方式向智能化、精细化、网络化方向转变极大提高社会管理和公共服务水平催生大量新技术、新产品、新应用、新模式推动传统产业升级和经济发展方式转变并将成为未来经济发展的增长点。根据相关数据统计2021年全球物联网市场规模达到55136亿元2022年达到61344亿元2020-2022年全球物联网市场规模复合增长率达到11.30%。据全球移动通信系统协会GSMA数据2019-2022年全球物联网设备连接数的复合增长率为12.70%2022年全球物联网设备连接数达到172亿台。随着物联网技术不断发展和不断成熟未来物联网将给人们的生活带来革命性的变化。据CNCERT/CC2007年网络安全工作报告的统计近年来漏洞数量呈现明显上升趋势不仅如此新漏洞从公布到被利用的时间越来越短黑客对发布的漏洞信息进行分析研究往往在极短时间内就能成功利用这些漏洞。除了利用已知漏洞黑客们也善于挖掘并利用一些尚未公布的漏洞发起病毒攻击或出售漏洞资料满足经济目的。相对于黑客安全研究者们在漏洞研究方面显得相对被动和滞后。因此应该加大对漏洞挖掘的研究力度以便对各类漏洞采取更为主动合理的处理方式。漏洞是指系统中存在的一些功能性或安全性的逻辑缺陷包括一切导致威胁、损坏计算机系统安全性的所有因素是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。由于种种原因漏洞的存在不可避免一旦某些较严重的漏洞被攻击者发现就有可能被其利用在未授权的情况下访问或破坏计算机系统。先于攻击者发现并及时修补漏洞可有效减少来自网络的威胁。因此主动发掘并分析系统安全漏洞对网络攻防战具有重要的意义。漏洞的研究主要分为漏洞挖掘与漏洞分析两部分。漏洞挖掘技术是指对大量不同漏洞的探索综合应用各种技术和工具尽可能地找出软件中的潜在漏洞漏洞分析技术是指对已发现漏洞的细节进行深入分析为漏洞利用、补救等处理措施作铺垫。根据分析对象的不同漏洞挖掘技术可以分为基于源码的漏洞挖掘技术和基于目标代码的漏洞挖掘技术两大类。基于源码的漏洞挖掘的前提是必须能获取源代码对于一些开源项目通过分析其公布的源代码就可能找到存在的漏洞。例如对Linux系统的漏洞挖掘就可采用这种方法。但大多数的商业软件其源码很难获得不能从源码的角度进行漏洞挖掘只能采用基于目标代码的漏洞挖掘技术。对目标码进行分析涉及编译器、指令系统、可执行文件格式等多方面的知识难度较大。基于目标代码的漏洞挖掘首先将要分析的二进制目标代码反汇编得到汇编代码然后对汇编代码进行切片即对某些上下文关联密切、有意义的代码进行汇聚降低其复杂性最后通过分析功能模块来判断是否存在漏洞。漏洞挖掘是一个多种漏洞挖掘分析技术相互结合、共同使用和优势互补的过程。目前漏洞挖掘分析技术有多种主要包括手工测试技术、Fuzzing技术、比对和二进制比对技术、静态分析技术、动态分析技术等。根据GSMA发布的《The mobile economy 20202020年移动经济》报告显示2019年全球物联网的总连接数达到120亿预计到2025年全球物联网连接数的规模将达到246亿其中2019年中我国物联网的连接数全球占比高达30%我国物联网连接数为36.3亿。可见现在物联网的规模已经非常庞大了。但是在物联网给人们生活带来便利的同时其也存在着很多安全威胁。2020年1月至11月NVD平台总共披露了12805个漏洞其中物联网相关的有1541个占比12%。在这一千多个漏洞中从攻击复杂度的角度分析2020 年 1 月至 11 月 NVD 披露的物联网相关漏洞攻击复杂度分布显示96% 的漏洞攻击复杂度较低说明物联网相关的漏洞利用难度较低攻击者开发 Exploit 相对难度较低。从漏洞 CVSS 3 评级的角度分析2020 年 1 月至 11 月 NVD 公布的物联网相关漏洞评级分布显示漏洞评级的占比分别为严重占比 16%高危漏洞占比 40%中危漏洞占比 42%低危漏洞占比 2%可见物联网相关的漏洞通常危害较为严重。物联网的安全问题已经非常严峻。在大多数情况下研究人员专注于各种类型的漏洞。典型的潜在缺陷列表包括以下条目。未修补的软件许多人无视的直接漏洞。如果您是普通网民则可以使用许多应用程序。他们中的大多数正在不断发展。开发人员使他们适应解决问题。在某些情况下修补程序和更新可解决严重的漏洞。当人们拒绝更新时就会出现威胁。配置错误这个概念涉及系统的各种变更。示例之一与用户开始使用新服务时获得的默认设置有关。通常默认设置不关注安全性。您的路由器是不应保留其默认设置的小工具之一。相反您应该定期更改凭据。因此您将防止未经授权的访问或通信拦截。凭据差简单或重复使用的密码仍然是一个问题。尽管网络安全行业已经为每个网友提供了选择但是使用原始和复杂密码的建议仍然被忽略。取而代之的是人们想出了舒适的密码。这是什么意思人们可以轻松记住的组合以及可悲的是黑客可以轻松猜测的组合。了解凭证填充攻击的性质后您将需要一个非常复杂的密码来保证安全。恶意软件网络钓鱼和网络如今恶意软件已成为Internet不可或缺的一部分。网络钓鱼也是与到达用户邮箱的欺诈和欺诈性报价有关的主要威胁之一。信任关系这些漏洞触发了连锁反应。例如各种系统可以彼此链接以允许访问。如果一个网络遭到破坏其他网络也可能崩溃。凭据受损这种威胁是指对您的凭据的不道德勒索。后来它们被用来获得未经授权的访问。例如可以使用未经正确加密的系统之间的通信。然后黑客可以拦截此交换并以纯文本形式检索密码。恶毒的内幕系统中的某些参与者可以利用他们的特权并执行恶意操作。加密不正确黑客或其他恶意资源可以拦截网络上加密不良的通信。由于存在此类漏洞因此可能会发生许多灾难性的情况。例如骗子可以获取机密信息或在部门之间散布虚假信息。零日漏洞和其他缺陷此类漏洞无法解决并且会继续困扰着系统。黑客将尝试利用此类缺陷并查看哪些系统可能受到威胁。物联网的漏洞影响面通常非常的庞大其甚至能影响上亿的设备给人们的生活、生产带来巨大的恶劣影响。因此进行物联网漏洞挖掘成为必要。从智能家居设备的隐私问题到物联网全球性漏洞攻击问题今后很长一段时间物联网安全威胁将成为网络安全的最大威胁之一物联网安全支出在整个市场上所占比例也将迅速提高。物联网市场爆炸性增长是因为物联网设备提供了更多的便利易于使用并带来了真正的价值。但同时物联网设备也面临许多网络安全漏洞。他们无需授权即可工作这使得在被破坏之前威胁识别变得更加困难。但是如果知道危险潜伏在哪里则可以找到一种方法最大程度地降低网络安全风险。由于各种原因物联网设备特别容易受到这些攻击。在线物联网设备的数量每天都在增加。物联网的这些网络安全问题应同时涉及个人和企业用户。凭着物联网行业的当前状况以及最终用户的意识可以肯定地说人们将至少看到更多由物联网驱动的大规模网络攻击。物联网漏洞挖掘技术能够发现物联网中存在的漏洞问题应用于所有物联网涉及的范围内包括工业、农业等基础设施在内的所有领域保护个人隐私降低财产损失提高物联网安全。物联网将现实世界数字化应用范围十分广泛。物联网拉近分散的信息统整物与物的数字信息物联网的应用领域主要包括以下方面运输和物流领域、工业制造、健康医疗领域范围、智能环境例如家庭、办公、工厂等领域、个人和社会领域等具有十分广阔的市场和应用前景。但随着物联网设备的迅速发展和广泛应用物联网设备的安全也受到了严峻的考验。安全漏洞大量存在于物联网设备中而通用的漏洞挖掘技术已经不再完全适用于物联网设备。近几年针对物联网设备漏洞的挖掘技术逐渐成为热点。而目前的物联网漏洞挖掘技术分为静态分析、动态模糊测试、同源性分析技术针对架构进行分类可分为单架构物联网漏洞挖掘技术与跨架构物联网漏洞挖掘技术。针对特定架构单架构问题通过架构固定算法检测该平台下固件漏洞。针对物联网设备安全漏洞的攻击不仅会造成个人隐私的泄露更会造成人身财产的损失严重的甚至会威胁到整个网络空间安全性。针对物联网设备的漏洞挖掘迫在眉睫。因此本项目具备重要的理论价值与现实意义。
