本文提出了一种面向部署的可解释人工智能辅助 eBPF/XDP 缓解框架，专门针对物联网边缘网关设计。物联网环境由异构、资源受限的设备组成，这些设备安全配置薄弱、服务暴露、日志记录有限、补丁更新困难且生命周期长。传统的基于签名和阈值的控制方法在动态物联网网络中作为独立机制是不够的，而离线人工智能基准性能无法直接转化为实际部署能力。为此，本文设计了一个概念框架和研究路线图，该框架在基于 Linux 的物联网边缘网关上实现资源感知的流级人工智能辅助风险评分、事件级可解释性以及通过 eBPF/XDP 进行的有限缓解。控制器应用可逆、有时间限制的动作，并包含关键设备保护机制，更新数据包级执行状态并记录结构化日志。架构将用户空间的复杂推理和策略控制与内核中简洁的数据包处理决策分离。此外，还定义了未来硬件感知评估路径，涵盖检测质量、资源成本、响应时间、回滚行为以及合法流量保留等方面。本文未报告新的实验结果，但为后续研究和实际部署提供了理论框架。

本文针对物联网设备固件难以提取和仿真的问题，提出了一种利用配套移动应用生成有效且欠约束的模糊测试输入的方法。关键洞察是：在配套应用中存在一类称为“模糊触发函数”的代码位置，它们位于输入验证代码之后、数据变换函数（如网络序列化）之前。通过在这些点注入模糊数据，可以生成既不被应用端校验限制、又不被设备因格式无效而丢弃的测试用例。作者开发了工具Diane，结合静态分析和动态分析在Android配套应用中定位模糊触发函数，并自动对物联网设备进行黑盒模糊测试。在11款流行物联网设备上，Diane发现了11个漏洞，其中9个为零日漏洞。实验表明，若不使用模糊触发函数，许多设备无法生成触发漏洞的输入。该方法有效提升了IoT黑盒模糊测试的效率和深度。

本文针对智能家居平台中存在的自动化规则异常和跨平台威胁问题，提出了名为 CP-IoT 的跨平台监控系统。智能家居平台广泛使用，用户通过定义自动化规则实现日常任务，但不同平台上的规则异常（如执行不一致）和跨规则威胁（如多个规则组合导致安全隐患）难以被现有单一平台检测工具覆盖。CP-IoT 的核心创新在于构建一个中心化的动态图模型，用于刻画自动化规则的行为和状态变迁。该系统通过分析两种不同描述粒度的应用页面，提取规则执行逻辑并收集不同平台的用户策略。为了检测同一规则在不同平台上的不一致行为，作者提出了一种基于侧信道流量聚类的自学习事件指纹提取方法，并通过检查规则执行行为与图模型中规格是否一致来实现异常检测。对于跨规则威胁，系统将每种威胁类型形式化为符号表示，并在图上应用搜索算法来发现潜在危险组合。实验在四个主流智能家居平台上进行，结果表明 CP-IoT 能够高准确率地检测异常，并有效发现多种类型的跨规则威胁。该研究为跨平台智能家居安全监控提供了新思路，适合智能家居安全研究人员、平台开发者及安全运维人员阅读。

该论文研究了基于低功耗蓝牙（BLE）设备中允许列表（allowlist）机制的侧信道攻击。BLE设备通常使用允许列表来限制连接和扫描响应，仅与已配对的设备通信。然而，攻击者可以通过被动监听BLE信道，观察设备是否响应扫描请求，从而推断设备是否属于某个允许列表中的设备。这种侧信道信息泄漏使得攻击者能够追踪特定BLE设备（如智能门锁、健康手环等）的物理位置或活动模式。论文首先系统地分析了BLE协议栈中允许列表相关的安全漏洞，量化了信息泄漏的程度。接着，提出了一种基于模糊测试的方法来识别易受攻击的设备，并在多种商用BLE设备上验证了攻击的有效性。最后，论文设计并实现了一种轻量级对策，通过随机化扫描响应时间或添加虚假响应来混淆侧信道信息，从而在不影响正常配对功能的前提下，削弱攻击者的追踪能力。实验结果表明，该对策能有效降低攻击的成功率至接近随机水平，且对设备功耗和响应延迟的影响微乎其微。该研究揭示了BLE允许列表机制中被忽视的安全风险，并为物联网设备的安全设计提供了重要指导。

该研究针对大学企业网络中暴露Telnet和FTP服务的IoT设备进行了调查，旨在明确这些设备存在的根本原因及责任归属。研究者对校园网络进行扫描，发现了185台IoT设备，涵盖30个暴露Telnet的型号和49个暴露FTP的型号。随后，他们向设备所有者发送安全通知和调查问卷。结果显示，在21位Telnet设备所有者中，有2位故意启用了Telnet；在41位FTP设备所有者中，有8位故意启用了FTP。收到通知后，47位所有者中的38位表示愿意至少对其一台IoT设备采取措施，且除一台外，其余愿意采取措施的设备均成功修复。进一步分析设备手册发现，在30份Telnet型号手册中，有15份完全没有提及Telnet服务暴露；在49份FTP型号手册中，有10份未提及FTP暴露。结合对制造商的调查和手册分析，确认30个Telnet型号中有22个默认启用了Telnet，49个FTP型号中有29个默认启用了FTP。因此，研究得出结论：设备错误配置的主因并非使用者的人为失误，而是制造商的默认设置选择。多数使用者在得知安全风险后愿意主动进行修复。该研究强调了制造商在物联网设备安全中的关键责任，并建议通过默认安全设置和用户通知来降低风险。适合网络安全研究人员、网络管理员、物联网安全从业者阅读。

随着物联网设备的快速普及，网络安全问题日益严峻，入侵检测系统成为保护网络环境的关键。本文提出了一种基于改进的CNN-LSTM（卷积神经网络-长短期记忆网络）的入侵检测模型，用于物联网网络中的攻击检测。该模型结合了多分类、数据集集成和时间特征学习，旨在提升检测性能。研究使用网络流量数据，在入侵检测任务上评估了该方法，实现了约97%的准确率。实验结果表明，该模型能有效检测多种攻击类别，同时保持稳定的训练和验证性能。通过集成卷积和循环神经网络组件，框架能够捕获网络流量的空间和时间特征，从而提升物联网环境下的整体入侵检测能力。本文的主要贡献在于提出了一个融合CNN和LSTM的改进架构，充分利用了两者的优势：CNN提取空间特征，LSTM学习时序依赖，最终实现了高效且稳定的检测。适合从事物联网安全、入侵检测系统设计与开发的研究人员和工程师阅读。

该论文探索了使用基础模型（Foundation Models）来检测和识别基于RPL的物联网（IoT）网络中的攻击。研究聚焦于多种攻击类型（包括黑洞攻击、DIS泛洪、最差父节点攻击和本地修复攻击），攻击变体以及网络配置，并评估了基础模型在攻击识别方面的性能。具体而言，作者对MOMENT基础模型进行微调，实现多类攻击识别。评估基于Cooja仿真环境生成的数据集，该数据集包含正常操作以及各类攻击下的RPL相关统计数据。初步结果表明，该方法在攻击检测性能上可与现有最先进方法相媲美，同时在区分不同攻击类型方面表现出色。该研究为基于RPL的IoT网络入侵检测提供了一种新的途径，利用基础模型的迁移学习能力减少了对大量标注数据的依赖。

该论文针对 Thread 低功耗无线 Mesh 网络中 IoT 设备难以应用 IETF MUD（制造商使用说明）标准进行网络访问控制的问题，提出了 MeshGuard 框架。MUD 标准依赖完整 IP 协议栈，而 Thread 设备因资源受限仅支持部分 TCP/IP 功能，现有扩展方案仅适用于单一边界路由器的简单拓扑，无法应对多边界路由器的大规模部署。MeshGuard 对 Thread 的 Mesh 链路建立（MLE）协议进行了扩展，使受限设备能将其 MUD URL 信息通过 MLE 消息传递给任意数量的边界路由器，无需依赖上层网络层。同时引入软件定义网络（SDN）技术，在多个异构边界路由器之间同步访问控制列表（ACL），实现统一的策略实施。实验基于 nRF5340、nRF52833 等真实硬件和 Raspberry Pi 3 构建原型，测试结果表明：与现有方案相比，MeshGuard 在增强安全性（如防止非法流量绕过）的同时，仅引入极小的运行时开销（CPU 和内存占用增加 <5%），且随着边界路由器数量增加，控制面同步延迟呈线性增长，验证了其良好的可扩展性。该工作为大规模 Thread 网络提供了一种实用的、基于标准的零信任访问控制方案。

该论文聚焦于物联网(IoT)网络入侵检测中的类别不平衡问题。侧信道功率数据集中正常样本与攻击样本的比例可达75,964比1，严重影响了机器学习模型的检测性能。此前Dominguez等人提出了基于功率的入侵检测概念验证，但未处理类别不平衡，也未在平衡训练集上评估分类器性能。本研究针对这些问题进行了改进：首先，对从原始数据集提取的九个可能数据集应用合成少数类过采样技术(SMOTE)，使得每个数据集的精确不平衡比达到1.1；然后，在SMOTE平衡后的6小时数据集上，在相同条件下训练了八种算法：随机森林(RF)、直方图梯度提升(HistGradientBoosting)、LightGBM、极限随机树(Extra Trees)、XGBoost、K近邻(KNN)、多层感知器(MLP)和决策树(DT)。实验结果表明，随机森林的微平均F1分数达到0.9989，宏平均F1为0.9794，超越了此前基准论文中时间序列森林算法的最佳微F1结果(0.9983)。极限随机树在保持相同性能的同时，训练速度快了10倍。通过明确引入宏平均F1指标（区别于基准论文的评估），揭示了聚合性能指标遗漏的重要类别级信息。基于混淆矩阵计算的每类召回率、F1热图和ROC曲线显示，仅当使用SMOTE平衡时，少数攻击类别（尤其是混合M+L感染）才能被可靠检测。特征重要性分析表明，功率窗口中的最后时间步（共60步）是最重要的预测信号。本文的研究为基于侧信道的IoT入侵检测提供了更全面的评估框架，强调了数据平衡和细粒度性能指标的重要性。

本文提出 FIDEM，一个符合 MUD（Manufacturer Usage Description）标准的框架，用于安全绑定 IoT 设备与其 MUD 配置文件。MUD 标准允许制造商通过在线 MUD 文件指定设备的预期网络流量，从而在网络边缘实施访问控制。设备会广播一个指向该文件的 URL，但标准并未定义如何安全地将设备与其配置文件绑定。这导致恶意设备可以通过广告其他合法设备的 MUD URL 来操纵网络策略执行。现有解决方案存在依赖公钥基础设施（PKI）、不符合标准、需要制造商过多参与或无法支持安全配置文件更新等问题。FIDEM 通过基于零知识证明（ZKP）的认证机制，在 DHCP 扩展中实现设备与配置文件的加密绑定，无需 PKI，最小化制造商参与，并支持安全配置文件更新。形式化分析表明，FIDEM 能抵御比先前工作更强的攻击者模型，包括供应链妥协和利用合法设备作为加密预言机的攻击。在 ESP32-S3 和 ESP32-C6 两种参考受限设备上的实际评估显示，与标准 DHCP 相比，FIDEM 仅引入约 5ms 延迟和 20mJ 能量开销，相较于基于证书的方案速度提升约 20 倍，能耗降低 35%。该研究为 IoT 安全策略的自动实施提供了实用且符合标准的解决方案。

本文针对物联网（IoT）环境中的入侵检测系统（IDS）面临的自适应、资源高效需求，研究了AOC-IDS——一种在IEEE INFOCOM 2024上提出的先进自主在线IDS。作者首先在UNSW-NB15基准上成功复现了AOC-IDS，获得了89.39%的准确率（原文为89.19%），验证了其可复现性。随后，他们识别出AOC-IDS的四个关键局限性：类别不平衡、不可靠的伪标签生成、泛化能力有限以及计算开销不适合IoT部署。针对这些问题，作者提出了三项改进：XGBoost-BalSamp方法（利用集成学习与平衡采样）在UNSW-NB15上达到95.45%的准确率，比基线提升6.26%；深度学习方法包括PseudoFilter（过滤不可靠伪标签）、MixupAug（数据增强）和LiteAE（轻量自编码器）在最佳运行中达到90.88%准确率（F1分数91.45%），超越原始论文，同时将模型参数减少55%。实验表明，这些针对性的改进在保持准确率提升的同时，显著降低了模型复杂度，使其更适合IoT边缘设备部署。本文的核心贡献在于系统性地分析了现有方法的不足，并提供了在准确性和效率之间取得平衡的实用解决方案。

该论文对互联网服务提供商（ISP）和个人用户在物联网（IoT）安全方面的态度、障碍和激励因素进行了大规模调查研究。研究数据来自4961名ISP专家（通过全球多个ISP组织的网络）和3223名日本互联网用户（通过在线调查平台收集）。调查问卷覆盖了安全意识、感知风险、责任分配、安全实践、以及影响安全行为的经济与制度因素等多个维度。研究发现，ISP面临着缺乏统一标准、客户不配合、成本压力等障碍，而个人用户则普遍存在安全意识不足、对安全功能认知有限、以及认为安全责任应由制造商承担等问题。激励因素方面，经济补贴、政府法规、用户教育等被列为可能提升安全性的有效手段。论文基于实证数据构建了ISP和用户的安全行为模型，并提出了一系列政策建议，包括制定强制性安全标准、建立安全认证体系、以及提供税收优惠等激励措施。该研究为理解IoT生态系统中的安全角色分布提供了实证基础，对于制定有效的安全策略和行业发展具有重要参考价值。

本论文研究了可穿戴设备与自动化控制系统交叉领域的安全漏洞，特别聚焦于以智能眼镜为入口点，揭示在未经用户验证或交互的情况下接管安全关键自动化控制链的威胁。作者发现，当安全机制仅依赖入口点安全且对先前节点完全信任时（例如自动化控制链中的 Apple Shortcuts 或 IFTTT），此类漏洞尤为危险。他们通过非接触式、与扬声器无关的电磁干扰攻击，在受害者手机处于锁屏状态下，成功控制了真实世界系统（如 Tesla 车辆）的功能，包括解锁车门和启动远程启动。实验验证了攻击对 Tesla 等软件和自动化工具控制的系统的有效性。该研究不仅展示了未经授权控制自动化连接系统的潜力，更强调了在可穿戴技术与更广泛自动化框架集成中迫切需要更强大的安全措施。论文核心贡献在于揭示了从智能眼镜到车辆控制的无认证链漏洞，并提供了实际攻击验证，为可穿戴设备与自动化系统的安全设计提供了警示。

本文从无线安全角度分析了广泛使用的ESP32系统级芯片（SoC）。作者通过逆向工程，深入研究了ESP32上蓝牙低功耗（BLE）以及Nordic Semiconductor nRF芯片上ANT协议的硬件和软件实现。利用这些知识，他们仅通过软件修改，在重定向的ESP32上实现了针对多种无线协议的攻击，包括原生不支持的协议。具体而言，他们实现了BLE链路层攻击（如模糊测试和干扰）、跨协议注入攻击，并成功攻击了商业设备上的专有协议，例如键盘和基于ANT的运动监测设备。此外，他们还展示了ESP32可以被重新编程以与Zigbee或Thread设备交互。该研究的主要贡献在于揭示了访问ESP32底层未公开特性可能允许被攻陷的设备对多种物联网（IoT）设备发起攻击，从而暴露了广泛部署的SoC中的安全隐患。这项工作的发现对于物联网安全领域具有重要启示，提示安全从业者需要关注硬件底层特性可能带来的攻击面。

该论文针对现代智能建筑与环境中传感器基础设施的隐私合规问题展开研究。随着传感器数量和依赖传感器数据的服务激增，居民面临大量隐私决策，难以有效管理个人信息流，导致无法充当自己的“隐私防火墙”。现有方法要求用户对隐私法规进行定性推理、理解隐私敏感上下文并应用隐私变换，这对非技术用户而言几乎不可行。为此，作者提出利用大型语言模型（LLM）在社交/法律规范推理、传感器数据理解和程序合成方面的能力，构建名为PrivacyOracle的原型系统，自动代表用户配置隐私防火墙，实现智能建筑环境中的自动化隐私决策。实验表明，PrivacyOracle在从传感器数据中识别隐私敏感状态时准确率高达98%，在衡量信息流的社会可接受性方面准确率达75%。该工作为利用LLM解决实际隐私合规问题提供了新思路，尤其适合涉及传感器数据处理的系统安全与隐私研究人员阅读。

该论文提出了一个名为CLAD的综合框架，用于解决物联网（IoT）和工业物联网（IIoT）环境下的入侵检测问题。随着IoT设备的激增，网络攻击面大幅扩大，传统集中式入侵检测系统面临隐私和扩展性挑战。联邦学习（FL）提供了一种隐私保护方案，但现有FL-based IDS难以处理设备行为的异质性，且通常无法利用大量未标注数据。CLAD通过结合聚类联邦学习（CFL）和一种新颖的双模式微架构（DM²A）来同时解决这两个瓶颈。DM²A包含一个共享编码器和两个分支，分别用于无监督异常检测和有监督攻击分类，从而能够从标注和未标注客户端中提取知识。聚类组件根据流量模式动态分组设备，防止全局模型发散。实验表明，在80%未标注客户端的场景下，CLAD相比现有基线方法实现了30%的检测性能相对提升，且通信开销减半。该框架适合关注隐私保护型IDS、联邦学习在网络安全中应用的研究者和工程师。

本文研究了基于微控制器的物联网设备中嵌入式实时操作系统（RTOS）的安全问题。初始分析发现，FreeRTOS等流行RTOS缺乏基本安全保护，而Zephyr OS和ThreadX虽设计了安全保护，但在系统调用参数清理的实现上存在显著差异。作者识别出ThreadX中一项性能优化实践引入了安全漏洞，该优化绕过了参数清理过程，使得攻击者能够通过精心选择的系统调用来操纵一个或多个内核对象，从而访问敏感字段，可能导致未授权数据操作、权限提升或系统沦陷。作者提出了一种新型攻击——内核对象伪装（KOM）攻击，并开发了基于欠约束符号执行的自动化方法以识别KOM攻击并理解其影响。实验在ThreadX驱动的平台上证明了攻击的可行性。作者已将发现报告给厂商，亚马逊和微软确认了漏洞并在其网站上致谢。该研究揭示了性能与安全之间的权衡，强调了嵌入式RTOS安全设计的重要性。

该论文提出了一种名为WiFinger的物联网流量指纹识别方法，旨在从嘈杂的网络流量中识别物联网设备触发的具体事件（如灯泡开关、门锁动作等）。现有方法多基于特征工程或机器学习，但在真实环境下，由于背景流量、网络波动及设备多样性，存在准确率低、鲁棒性差的问题。WiFinger采用数据包级的序列匹配技术，通过提取事件触发时无线通信的细微时序特征（如数据包间隔、长度序列），构建设备-事件匹配模板。核心创新包括：1）设计一种基于动态时间规整（DTW）的包序列对齐算法，容忍时间偏移和丢包；2）引入噪声过滤机制，利用统计异常检测剔除无关流量；3）支持在线增量学习，适应设备固件更新。实验在包含5种品牌、12个型号的智能家居设备的数据集上展开，涵盖230个不同事件场景。结果表明，WiFinger在信噪比低至-5dB时仍能达到95%以上的准确率，且单次识别延迟低于200ms。该方法无需设备端改造或预知密钥，适用于安全监控、异常行为检测等场景。论文还分析了WiFinger在隐私泄露方面的潜在风险，并探讨了防御策略，如插入随机噪声包以模糊指纹。

本论文提出 PriSrv+，一种面向无线服务发现场景的隐私与可用性增强方案。现有服务发现协议往往在用户查询时泄露服务属性或用户偏好，且匹配效率有限。PriSrv+ 基于快速且表达能力强的匹配加密（Matchmaking Encryption, ME）技术，允许服务提供商和服务请求者在不互信的前提下，通过加密条件进行高效的隐私保护匹配。具体而言，PriSrv+ 设计了支持多属性、范围查询和通配符匹配的加密原语，同时优化了计算和通信开销。实验结果表明，与现有方案相比，PriSrv+ 在匹配延迟和隐私保护强度上实现了更好的平衡，尤其适用于物联网和移动自组网等资源受限环境。该工作的核心贡献在于：1) 提出了一种新的 ME 构造，支持丰富的匹配策略；2) 在无线服务发现中实现了隐私与可用性的帕累托改进；3) 通过安全分析和性能评估验证了方案的有效性。本文适合对隐私保护通信协议、加密匹配或无线网络安全感兴趣的研究者和工程师阅读。

本文提出了一种名为HELO（混合加密轻量级优化）的新型密码系统，旨在解决物联网设备在点对点数据传输中面临的安全挑战。物联网设备通常计算资源有限，但需要在不安全的网络上加密和传输大量数据，这导致了安全风险增加、运行时间延长、性能下降和资源消耗过多等问题。HELO系统通过结合多种加密技术实现轻量级设计，在提供强安全性的同时不牺牲设备性能。系统主要目标包括保证数据的机密性、完整性和可用性，有效防范网络攻击。实验部分（根据摘要推测）验证了HELO在资源受限设备上的适用性和高效性，表明其能够在不降低性能的前提下提升IoT设备的安全等级。该研究适合物联网安全研究人员、嵌入式系统开发者以及关注轻量级密码算法的从业者阅读。

该论文利用网络望远镜（network telescopes）作为被动监控工具，分析非请求互联网流量，以揭示全球扫描和侦察行为。研究基于2025年1月由Merit Network的ORION网络望远镜收集的10天数据集，包含约2200万个数据包。通过隐私保护的元数据分析和轻量级行为启发式方法，作者在不检查payload的情况下识别了扫描和反向散射模式。结果显示，流量生态系统高度结构化且集中化，前1%的源IP地址产生了超过81%的总流量。一个重要发现是端口23（Telnet）和端口2323（Telnet Alt）的流量占主导地位，这凸显了IoT安全威胁的持续性以及针对老旧IoT设备弱凭证的广泛攻击尝试。此外，数据包数量和香农熵的同步激增表明存在协调的多向量侦察活动。这些发现为识别大规模威胁活动提供了实用框架，并支持网络安全研究与教育。

该论文探讨了无线安全摄像头在未购买云订阅（即仅使用免费层）时的安全隐患。许多用户为节约成本只购买硬件而不订阅云服务，这导致摄像头在检测到运动时仅发送警报或提供实时流，但录像功能受限。研究者发现，摄像头在响应运动刺激时产生的无线流量模式会泄露其是否正在上传视频或开启实时查看模式。由此，攻击者（如窃贼）可利用此信息识别出那些未录像或未开启实时流的“弱摄像头”，从而在摄像头监控区域内实施犯罪行为而不被记录。论文提出一种名为WeakCamID的非侵入式技术：通过人工制造运动刺激（如在摄像头前移动物体），同时嗅探摄像头周围的无线流量，分析流量模式以推断摄像头的状态（是否录像/实时流）。该方法无需与摄像头交互，仅依赖被动监听。作者对220名用户进行了调查，结果显示所有用户均认为摄像头无论订阅状态如何都能提供一致的安全保障，而WeakCamID打破了这一“常识”。实验在11款主流无线摄像头上进行，平均识别准确率约95%，识别时间不超过19秒。该研究揭示了免费层带来的隐藏风险，并促使厂商和用户重新评估安全摄像头的实际防护能力。

该论文针对物联网（IoT）安全与零信任（ZT）原则的融合趋势，首次采用多声部文献综述（MLR）方法，系统整合了68篇学术文献和36篇行业报告。研究发现，学术界与工业界在零信任与IoT安全融合的路径上存在互补但分歧的视角：学术界主要关注通过修改IoT设备使其符合零信任原则，而工业界则更侧重于在现有零信任框架（如NIST标准）中实现实用集成。该综述还识别出关键研究空白，包括社会技术理解不足、成本效益评估缺乏以及跨学科合作缺失，并指出这些是未来研究的重要方向。对于安全从业者而言，该论文有助于理解零信任架构在IoT环境中的落地挑战与行业实践差异，为制定策略提供参考。