30、ProvIoT：通过联邦学习检测物联网中的隐蔽攻击

ProvIoT：通过联邦学习检测物联网中的隐蔽攻击

1. 引言

在物联网（IoT）环境中，隐蔽攻击日益成为安全威胁。为应对此类攻击，提出了 ProvIoT 这一联邦边缘 - 云协作框架，它由本地大脑（Local Brain）和云大脑（Cloud Brain）两个主要组件构成。

2. 背景知识

2.1 物联网设备上的无文件攻击

无文件攻击是一组在文件系统中不留痕迹的攻击技术，也被称为“零足迹”或“利用现有资源”。这类攻击的特点是模仿可信的现成应用程序和预安装的系统实用工具。由于这些可信应用程序被用户和系统管理员广泛使用，防御措施难以完全阻止对它们的访问以防止攻击。

常见的无文件攻击手段包括：
- 进程注入 ：攻击者滥用 ptrace() 系统 API，将恶意代码注入合法进程的内存中。
- 内存执行 ：利用 memfd_create() 系统 API 家族在内存挂载的文件系统中创建匿名文件，攻击者可直接从内存空间加载恶意软件，减少文件系统足迹。

以 FritzFrog 为例，它是 2020 年 1 月被发现的一种复杂的点对点（P2P）恶意软件僵尸网络，是一种加密挖矿蠕虫，通过 SSH 服务器传播。它使用无文件技术，在受感染设备的文件系统上不留痕迹，通过在内存中执行文件操作来模仿良性系统进程。

2.2 系统溯源和图学习

系统溯源通过在每个主机上安装数据收集代理来收集系统调用级别的系统事件，然后将这些事件发送到内存数据库，构