16、基于流量分析的应用平台层异常行为检测

基于流量分析的应用平台层异常行为检测

1. 引言

如今，智能家居市场蓬勃发展，众多制造商纷纷生产并销售各类智能家居设备。为推动不同制造商生产的智能设备协同互动，应用平台的概念应运而生。应用平台配备本地网关（如基站）和云后端服务器，使不同厂商的设备能接入同一网络。在应用平台中，设备被抽象化，开发者无需了解设备物理细节即可设计智能应用，实现不同制造商设备的协同工作。例如，智能应用可监控设备状态（如智能运动传感器），在接收到特定事件通知（如运动传感器检测到用户动作）时触发另一设备的特定操作（如打开智能灯）。智能平台框架的可扩展性吸引了大量设备制造商和应用开发者参与其中，知名的应用平台有三星 SmartThings、苹果 HomeKit 等。

然而，随着智能应用平台的普及，安全问题日益凸显。以三星 SmartThings 平台为例，存在一些缺陷，使得运行在云后台的智能应用（SmartApp）能对智能设备进行未授权操作，还可窃听甚至伪造智能设备生成的事件。

现有的 SmartThings 安全解决方案，尤其是在检测和预防异常 SmartApp 方面，主要分为三类：
1. 通过修改智能家居平台应用信息流控制来限制敏感数据。
2. 设计基于上下文的权限系统，实现细粒度的访问控制。
3. 通过分析源代码、注释和描述来实施 SmartApp 的上下文感知授权。

但这些现有解决方案要么需要修改平台本身，要么需要对 SmartApp 进行补丁修复。因此，迫切需要一种新方法，让第三方防御者（非智能家居平台供应商、智能设备制造商和应用开发者）在不改变现有平台的情况下监控智能家居应用。由于无法访问智能传感器、网关设备和云后端服务器，第三方监控的唯一途径是通过