淺析物聯(lián)網(wǎng)安全防護技術(shù)

汪襄南，王 冰，霍純敬（.中訊郵電咨詢設(shè)計院有限公司，北京00048；.中國聯(lián)通北京分公司，北京0006）

1 概述

物聯(lián)網(wǎng)（IoT）已經(jīng)成為一種日益復(fù)雜的生態(tài)系統(tǒng)，各類物聯(lián)網(wǎng)終端日趨智能化和自動化。物聯(lián)網(wǎng)相關(guān)業(yè)務(wù)的發(fā)展以及網(wǎng)絡(luò)的演進速度已遠遠超前于安全防護能力。在此前提下，電信運營商如何在現(xiàn)有通信網(wǎng)絡(luò)架構(gòu)的模式下防范物聯(lián)網(wǎng)安全風險，已經(jīng)成為亟待研究和探討的關(guān)鍵問題。

1.1 物聯(lián)網(wǎng)背景及相關(guān)概念

物聯(lián)網(wǎng)（IoT）引領(lǐng)著網(wǎng)絡(luò)下一代的潮流，其發(fā)展必將對世界產(chǎn)生巨大的影響。據(jù)Gartner報告統(tǒng)計，到2025年全球物聯(lián)網(wǎng)連接數(shù)將達到250億，萬物互聯(lián)的藍海即將到來，物聯(lián)網(wǎng)的連接數(shù)量將呈現(xiàn)爆炸式增長。

互聯(lián)網(wǎng)實現(xiàn)了全球點對點的信息傳遞，而正在以指數(shù)級進化的物聯(lián)網(wǎng)設(shè)備，未來必將越過“奇點”，成為與人類一樣的網(wǎng)絡(luò)世界平等參與者。在通信領(lǐng)域，傳統(tǒng)方式下的信息是通過點對點傳輸?shù)模钥赏ㄟ^追蹤傳輸路徑并攔截信息對網(wǎng)絡(luò)的安全風險問題進行溯源。而在萬物互聯(lián)時代，電信運營商現(xiàn)有的通信網(wǎng)絡(luò)架構(gòu)難以承載億級的物聯(lián)網(wǎng)設(shè)備接入，而且物聯(lián)網(wǎng)終端的多元性使用戶對安全問題的感知度高低不一，所以必須探討新的解決方案來保障基礎(chǔ)網(wǎng)絡(luò)設(shè)施及關(guān)鍵數(shù)據(jù)的安全。

根據(jù)國際電信聯(lián)盟ITU的定義，物聯(lián)網(wǎng)是指通過二維碼識讀設(shè)備、射頻識別裝置、紅外感應(yīng)器、全球定位系統(tǒng)和激光掃描器等信息傳感設(shè)備，按約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)相連接，進行信息交換和通信，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。物聯(lián)網(wǎng)主要解決物與物、人與物、人與人之間的互連。從最初的機器通信（M2M——Machine to Machine）到物聯(lián)網(wǎng)（IoT）再到萬物互聯(lián)（IoE——Internet of Everything），物聯(lián)網(wǎng)超越了人口的限制，開拓了全新的市場藍海，國際運營商已紛紛將物聯(lián)網(wǎng)作為其新的業(yè)務(wù)增長點。

1.2 運營商物聯(lián)網(wǎng)建設(shè)現(xiàn)狀

目前運營商的物聯(lián)網(wǎng)業(yè)務(wù)以發(fā)卡模式為主，尚未形成端到端的運營模式，應(yīng)用服務(wù)層主要由服務(wù)提供商提供，終端感知層由用戶自行管理。運營商主要負責網(wǎng)絡(luò)能力層和連接管理層的建設(shè)與維護。在網(wǎng)絡(luò)能力層建設(shè)物聯(lián)網(wǎng)專用核心網(wǎng)，疏導(dǎo)物聯(lián)網(wǎng)流量。在連接管理層建設(shè)物聯(lián)網(wǎng)專用平臺，提供API接口供企業(yè)用戶調(diào)用，向用戶提供批量發(fā)卡和集中管理卡的業(yè)務(wù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層級示意圖如圖1所示。

圖1 物聯(lián)網(wǎng)網(wǎng)絡(luò)層級示意圖

2 物聯(lián)網(wǎng)安全現(xiàn)狀及案例

截至2017年，我國物聯(lián)網(wǎng)連接數(shù)突破1億，占全球總量31%。我國運營商“云—管—端”的物聯(lián)網(wǎng)體系已初步形成，業(yè)務(wù)呈現(xiàn)碎片化趨勢。

2015年起，越來越多的物聯(lián)網(wǎng)智能設(shè)備出現(xiàn)在互聯(lián)網(wǎng)上，大量涌現(xiàn)的物聯(lián)網(wǎng)智能設(shè)備開始在分布式反射拒絕攻擊（DRDoS攻擊）中扮演重要角色。由于物聯(lián)網(wǎng)智能設(shè)備主要通過SSDP協(xié)議進行交互，物聯(lián)網(wǎng)設(shè)備又具有高帶寬、低監(jiān)控水平、全天候在線等特點，因此其反射攻擊具有比其他類攻擊更為廣泛的設(shè)備基礎(chǔ)。

Gartner的研究報告稱在互聯(lián)網(wǎng)終端中，27%的控制系統(tǒng)已被攻破或被感染，80%的設(shè)備采用簡單密碼，70%的設(shè)備通信過程不加密，90%的固件升級更新過程不進行簽名驗證，較易淪為攻擊者發(fā)動DRDoS攻擊的傀儡機。所以筆者認為物聯(lián)網(wǎng)安全對物聯(lián)網(wǎng)業(yè)務(wù)的重要性不言而喻。網(wǎng)絡(luò)攻防趨勢如圖2所示。

圖2 網(wǎng)絡(luò)攻防趨勢

與傳統(tǒng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防范相比，物聯(lián)網(wǎng)的安全防范工作更加艱難。首先，物聯(lián)網(wǎng)終端的智能化水平存在差異，而且終端資源（計算能力、存儲空間）受限；其次，目前物聯(lián)網(wǎng)缺乏通用的安全通信及安全檢測協(xié)議；最后，與傳統(tǒng)電腦終端、服務(wù)器相比，物聯(lián)網(wǎng)設(shè)備自身安全防護能力較差。物聯(lián)網(wǎng)終端更易受病毒、木馬、蠕蟲和惡意軟件的攻擊，導(dǎo)致設(shè)備無法使用、關(guān)鍵信息泄露、成為傀儡機甚至危及整個網(wǎng)絡(luò)系統(tǒng)的安全，

下面介紹下過去發(fā)生的影響較為廣泛的物聯(lián)網(wǎng)安全案例。

2.1 Mirai病毒

物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)病毒“Mirai”是新型的物聯(lián)網(wǎng)病毒，可以發(fā)動大規(guī)模的分布式DDOS攻擊。該病毒通過高效掃描物聯(lián)網(wǎng)系統(tǒng)設(shè)備，感染采用出廠密碼或者弱密碼加密的物聯(lián)網(wǎng)設(shè)備。

防火墻不能有效防范該病毒的入侵和傳播，IoT設(shè)備在不知不覺中被感染，成為僵尸網(wǎng)絡(luò)中的一份子。攻擊者就可以利用被感染的設(shè)備擴大傳播范圍，發(fā)起大規(guī)模的外網(wǎng)攻擊，同時監(jiān)控內(nèi)網(wǎng)，組織有規(guī)模的內(nèi)網(wǎng)攻擊。

2.2 IoT Reaper木馬

IoT Reaper木馬（也被稱為IoT roop）是在2017年10月發(fā)現(xiàn)的一種新型物聯(lián)網(wǎng)木馬，其原型是Mirai，但比Mirai強大，它是利用漏洞實現(xiàn)跨平臺的物聯(lián)網(wǎng)設(shè)備訪問，IoT Reaper攻擊模型如圖3所示。

圖3 IoT Reaper攻擊模型

IoT Reaper放棄了Mirai中利用弱口令猜測的方式，轉(zhuǎn)為利用IoT設(shè)備的漏洞進行植入。目前全球范圍約有200萬臺物聯(lián)網(wǎng)設(shè)備被感染，可以發(fā)動比Mirai規(guī)模更大的DDoS攻擊，據(jù)監(jiān)測，該類攻擊的源IP地址分布中中國排名第1。

2.3 Memcached DDoS反射攻擊

Memcached是一個高性能的開源分布式內(nèi)存對象緩存系統(tǒng)，主要用于提高Web應(yīng)用的擴展性，能夠有效解決大數(shù)據(jù)緩存的問題，因為其結(jié)構(gòu)簡潔、部署簡單，目前被廣泛的應(yīng)用于“云結(jié)構(gòu)”和基礎(chǔ)設(shè)施即服務(wù)（IaaS）網(wǎng)絡(luò)中。

Memcached基于內(nèi)存的key-value存儲小塊數(shù)據(jù)，并使用該數(shù)據(jù)完成數(shù)據(jù)庫調(diào)用、API調(diào)用或頁面渲染等，攻擊者正是利用key-value這項功能構(gòu)造了大流量的Memcached反射攻擊。Memcached簡單高效，但其在初始設(shè)計上沒有過多考慮安全性及健壯性，留下了很多安全隱患，例如在默認狀態(tài)下，它不做鑒權(quán)認證，而且TCP 11211及UDP 11211端口全部開放。

2018年2月，全球爆發(fā)了Memcached DDoS攻擊，峰值流量高達1.7 Tbit/s，溯源結(jié)果表明，在這次攻擊中分布在中國的被利用的Memcached服務(wù)器位列第2位，占比12.7%，中國位于北京的服務(wù)器排名第2，所以對此類攻擊的防護也亟需重視。

3 近期物聯(lián)網(wǎng)安全防范技術(shù)研究

從以上實際案例中可以看出，物聯(lián)網(wǎng)安全問題的研究和安全部署時不我待。筆者認為電信基礎(chǔ)運營商主要負責網(wǎng)絡(luò)能力層和連接管理層的建設(shè)與維護，需要保證網(wǎng)絡(luò)“管道”的可達性與安全性，其安全風險主要集中在3個方面：物聯(lián)網(wǎng)終端安全問題、網(wǎng)絡(luò)安全風險問題、物聯(lián)網(wǎng)運營平臺安全問題。

3.1 終端安全問題

物聯(lián)網(wǎng)終端普遍成本低，智能程度低，但終端安全風險會威脅到整個物聯(lián)網(wǎng)或者網(wǎng)絡(luò)層的可用性，所以必須對此做一定防范。首先對設(shè)備進行強口令設(shè)置，并且建議安裝防病毒軟件，定期升級；其次建議在物聯(lián)網(wǎng)中搭建惡意代碼監(jiān)測系統(tǒng)，通過采集Gn口流量，進行DPI深入包分析，通過抓包識別惡意代碼特征并進行告警和攔截。例如針對Memcached DDoS反射攻擊，通過執(zhí)行以下代碼，分析其主要特征。

from scapy.all import?

import binascii

payload=binascii.unhexlify（'000100000001000073 746174730d0a’）

pkt=Ether（）/IP（src="10.1.138.170"，dst="172.17.10.103"）/UDP（sport=666，dport=11211）/payload

sendp（pkt，iface="eth1"，loop=0，verbose=False）

對Memcached DDoS的抓包分析如圖4所示。

圖4 Memcached DDoS抓包截圖

3.2 網(wǎng)絡(luò)安全風險問題

目前常見的物聯(lián)網(wǎng)攻擊與傳統(tǒng)互聯(lián)網(wǎng)攻擊形式相似，為保障網(wǎng)絡(luò)性能，首先防范的仍然是巨型流量攻擊造成的網(wǎng)絡(luò)阻斷與網(wǎng)絡(luò)可用性降低。

以2018年發(fā)生的DDOS攻擊規(guī)模來看，攻擊峰值流量已達到Tbit/s級別，物聯(lián)網(wǎng)海量設(shè)備接入后，其攻擊流量規(guī)模呈幾何級別增長，已經(jīng)對網(wǎng)絡(luò)基礎(chǔ)運營造成了不可忽視的影響。

對于大流量反射攻擊，需要進一步分析其包特征，網(wǎng)絡(luò)邊緣將異常流量數(shù)據(jù)包直接丟棄，并進行異常流量清洗等安全防護，物聯(lián)網(wǎng)的安全部署如圖5所示。

圖5 近期物聯(lián)網(wǎng)安全部署示意圖

黑客只需要執(zhí)行以下一段簡短的代碼執(zhí)行程序就可以讓設(shè)備發(fā)出巨大流量：

from scapy.all import?

import binascii

#cmd="get a a a a a a a a a a a a a… ＜729 times＞"

payload=binascii.unhexlify（'000100000001000067 65742061206120612061206120612061206120612…'）

pkt=Ether（）/IP（src="10.1.138.170"，dst="172.17.10.103"）/UDP（sport=80，dport=11211）/payload

sendp（pkt，iface="eth1"，loop=0，verbose=False）

可以通過抓包進一步分析反射DDoS攻擊特征（見圖6）。

圖6 反射DDOS攻擊特征抓取分析截圖

從以上數(shù)據(jù)中可以看出，攻擊者只需發(fā)送1個數(shù)據(jù)包，但反射器可發(fā)送50萬個數(shù)據(jù)包，單一IP地址可產(chǎn)生高達6G的攻擊流量。

面對如此巨大流量的攻擊，運營商首先要在骨干網(wǎng)層面做好相應(yīng)的安全預(yù)案模板，可通過設(shè)置白名單等手段做到快速響應(yīng)和一鍵阻斷。同時，各自治域需要對其對接的PEER進行安全流量控制，防范來自僵尸網(wǎng)絡(luò)大量終端所帶來的巨型流量風險。在核心網(wǎng)層面，可以在Gi出口位置部署防火墻、IPS等安全設(shè)備，定期進行核心網(wǎng)設(shè)備的漏洞掃描與弱口令驗證，加強其健壯性并通過現(xiàn)有已部署的flow設(shè)備監(jiān)控異常流量，完成近源清洗。具體的步驟應(yīng)有：

a）首先分析判斷受攻擊的IP地址是否為物聯(lián)網(wǎng)設(shè)備地址。

b）追蹤新物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)感染設(shè)備的范圍。

c）關(guān)聯(lián)檢測物聯(lián)網(wǎng)地址的外發(fā)流量新指征以進行進一步流量抑制。

4 物聯(lián)網(wǎng)安全防范技術(shù)展望

網(wǎng)絡(luò)安全領(lǐng)域的問題，目前已得到世界各國的重視，其重要性甚至可以上升到國家安全層面。未來的網(wǎng)絡(luò)將是人與機器共舞的全新世界，需要一種不同于傳統(tǒng)人為控制的、完全透明和公平執(zhí)行的秩序。

中期來講，物聯(lián)網(wǎng)的安全運營業(yè)務(wù)將由傳統(tǒng)的硬件交付轉(zhuǎn)變?yōu)榉?wù)交付。雖然安全防護類設(shè)備不可或缺，但專業(yè)的安全服務(wù)、安全評估、安全培訓以及安全運營服務(wù)（MSS）也將成為未來安全市場發(fā)展的重點。Gartner將MSS定義為：通過安全運營中心（SOC）的共享服務(wù)，實施IT安全功能的遠程監(jiān)控和管理。其服務(wù)可以包括防火墻服務(wù)、IPS/IDS、防DDoS攻擊、基礎(chǔ)設(shè)施日志收集與報告分析、故障與安全事件響應(yīng)。

運營商首先要考慮建立可運營的SOC，提供安全運營服務(wù)，將物聯(lián)網(wǎng)納入管理和監(jiān)控，從而建立信息廣泛、統(tǒng)一預(yù)警的安全威脅情報中心。同時通過豐富的采集及監(jiān)控手段，獲取大量數(shù)據(jù)，增強風險預(yù)報的精度與效率，并且跟隨網(wǎng)絡(luò)演進的步伐同步升級監(jiān)控及防護系統(tǒng)。

長期來看，物聯(lián)網(wǎng)的智能設(shè)備將會呈現(xiàn)指數(shù)級增長態(tài)勢，隨之也會帶來一系列問題。首先是成本問題，傳統(tǒng)物聯(lián)網(wǎng)需要部署中心化的云平臺，這需要高昂的建設(shè)維護成本；其次是擴展性問題，海量的設(shè)備接入給網(wǎng)絡(luò)帶來擴容壓力，而中心化的平臺存在性能瓶頸；同時，大規(guī)模物聯(lián)網(wǎng)終端接入將帶來巨大的信息安全風險，而安全、隱私和信任是物聯(lián)網(wǎng)發(fā)展的前提。

顯然，只有去中心化、區(qū)域自治、扁平化的網(wǎng)絡(luò)結(jié)構(gòu)才能滿足未來物聯(lián)網(wǎng)業(yè)務(wù)發(fā)展的需求。

“區(qū)塊鏈”技術(shù)是一種天然的去中心化的協(xié)議，它將分布式數(shù)據(jù)庫作為載體，任意節(jié)點間的權(quán)利義務(wù)均等，沒有權(quán)威服務(wù)器，系統(tǒng)中的所有數(shù)據(jù)塊由整個系統(tǒng)中具有維護功能的節(jié)點來共同維護，每個節(jié)點分享權(quán)力和義務(wù)，通過廣泛分布的節(jié)點進行驗證，確保信息不可偽造和進行篡改。

成功的去中心化物聯(lián)網(wǎng)不僅是點對點的，而且是無需信任的，也不存在中心化的單點故障。各物聯(lián)網(wǎng)設(shè)備間可建立一種高度加密的輕量級通信機制。也許在不遠的將來，這種無需信任的點對點通信協(xié)議，將演進成比TCP/IP協(xié)議更適合于物聯(lián)網(wǎng)的傳輸層協(xié)議。

雖然區(qū)塊鏈技術(shù)在物聯(lián)網(wǎng)安全方面的應(yīng)用市場前景廣闊，但目前它在基礎(chǔ)網(wǎng)絡(luò)的應(yīng)用還處在萌芽期，要達到規(guī)模商用還需克服重重挑戰(zhàn)。首先，物聯(lián)網(wǎng)終端需要具備加密和驗證區(qū)塊鏈交易的計算能力；其次，隨著區(qū)塊鏈的增長，節(jié)點存儲空間的需求也越來越大；而且生成一個區(qū)塊需要系統(tǒng)內(nèi)多個節(jié)點參與記錄并驗證通過，會增加時延。

5 結(jié)束語

物聯(lián)網(wǎng)安全模式需要IoT生態(tài)系統(tǒng)的每一部分進行合作、協(xié)調(diào)和連接。終端、網(wǎng)絡(luò)、平臺必須一起發(fā)力，相互整合。為了實現(xiàn)這種最佳的物聯(lián)網(wǎng)安全模式，IoT生態(tài)系統(tǒng)的各組成部分均要考慮其安全性，從而建立穩(wěn)固的底部和頂層結(jié)構(gòu)。

海量接入的設(shè)備必將給網(wǎng)絡(luò)帶來更多的安全威脅，運營商需要主動出擊，迎接物聯(lián)網(wǎng)帶來的機遇和挑戰(zhàn)。