物联网安全之防御条款

如今物联网技术高速发展，各形态物联网设备层出不穷，从无人机到智能交换机，甚至到供热通风与空气调节系统内都有其身影。物联网安全可以说重中之重，以下是不同网络防御机制和技术的术语和定义：
**地址空间布局随机化：**也称为ASLR，此防御机制通过随机化可执行文件加载到内存中的位置来保护内存并阻止缓冲区溢出攻击。注入恶意软件的缓冲区溢出无法预测将其加载到内存中的位置，因此操纵指令指针将变得极具挑战性。防止返回libc攻击。
**黑洞（sinkhole）：**检测到DDoS攻击后，从受影响的DNS服务器或IP地址建立路由，强制恶意数据到黑洞或不存在的端点。Sinkholes执行进一步分析以过滤出良好的数据。
**数据执行保护（DEP）：**将区域标记为可执行或不可执行。这可以防止攻击者通过缓冲区溢出攻击运行恶意注入此类区域的代码。结果是系统错误或异常。
**深度数据包检测（DPI）：**一种检查数据流中每个数据包（数据和可能的标头信息）的方法，用于隔离入侵，病毒，垃圾邮件和其他被过滤的标准。
**防火墙：**一种网络安全构造，用于授予或拒绝对不受信任区域和受信任区域之间的数据包流的网络访问。可以通过路由器上的访问控制列表（ACL）来控制和管理流量。防火墙可以执行状态过滤，并根据目标端口和流量状态提供规则。

**保护带和非可执行内存：**保护可写且不可执行的内存区域。防止NOP雪橇。英特尔：NX位，ARM XN位。
**蜜罐：**用于检测，转发或反向设计恶意攻击的安全工具。蜜罐在网络中显示为合法网站或可访问节点，但实际上是隔离和监控的。记录数据和与设备的交互。
基于指令的存储器访问控制：一种将堆栈的数据部分与返回地址部分分开的技术。此技术有助于防止ROP攻击，在受约束的物联网系统中尤其有用。
**入侵检测系统（IDS）：**一种网络结构，用于通过对数据包流的带外分析来检测网络中的威胁，因此不会与源和目标一致，从而影响实时响应。
**入侵防御系统：**通过真正的在线分析和威胁的统计或签名检测来阻止对网络的威胁。
**Milkers：**一种防御性工具，可以模拟受感染的僵尸网络设备并附加到其恶意主机上，从而可以理解并“挤出”发送到受控僵尸网络的恶意软件命令。
**端口扫描：**在本地网络上查找开放且可访问的端口的方法。
**公钥基础结构（PKI）：**提供验证者层次结构的定义，以保证公钥的来源。证书由证书颁发机构签署。
**公钥：**使用私钥生成公钥，外部实体可以访问该公钥。公钥可用于解密哈希。
**私钥：**使用公钥生成私钥，永远不会从外部释放，并安全存储。它用于加密哈希值。
**信任根（RoT）：**从不可变的可信内存源（如ROM）开始在冷启动设备上执行。如果可以在无法控制的情况下更改早期启动软件/ BIOS，则不存在任何信任根。信任根通常是多阶段安全启动的第一阶段。
**安全引导：**从信任根开始的设备的一系列引导步骤，并通过操作系统和应用程序加载进行，其中每个组件签名都被验证为可信。验证是通过在先前可信引导阶段加载的公钥执行的。
**堆栈canaries：**Guards处理来自堆栈溢出的堆栈空间，并防止从堆栈执行代码。
可信执行环境：处理器的安全区域，用于确保驻留在此区域内的代码和数据受到保护。这通常是主处理器核心上的执行环境，其中安全启动，货币转移或私钥处理的代码将以比大多数代码更高的安全级别执行。