移動(dòng)物聯(lián)網(wǎng)安全監(jiān)測系統(tǒng)研究與應(yīng)用

馬駿野 張可 徐寧

摘要：針對(duì)當(dāng)前復(fù)雜的移動(dòng)物聯(lián)網(wǎng)安全環(huán)境，提出了一種通過基于監(jiān)測分析移動(dòng)物聯(lián)網(wǎng)管道側(cè)的信令與業(yè)務(wù)流量的方法來實(shí)現(xiàn)物聯(lián)網(wǎng)安全的系統(tǒng)。系統(tǒng)適用于LTE/ CDMA網(wǎng)絡(luò)，能夠識(shí)別出在移動(dòng)物聯(lián)網(wǎng)絡(luò)中出現(xiàn)的多種類型的信令風(fēng)暴、DDOS攻擊、機(jī)卡分離等安全事件。同時(shí)在本文還給出了系統(tǒng)關(guān)鍵識(shí)別技術(shù)在某省電信物聯(lián)網(wǎng)絡(luò)中的測試結(jié)果，進(jìn)一步驗(yàn)證了系統(tǒng)中關(guān)鍵技術(shù)實(shí)現(xiàn)的可行性、可靠性與準(zhǔn)確性。

關(guān)鍵詞：物聯(lián)網(wǎng)安全;信令風(fēng)暴;DDOS攻擊;機(jī)卡分離;溯源管控

中圖分類號(hào)：TP391? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）18-0023-05

Abstract：Aiming at the current complex mobile IoT security environment， a system based on monitoring and analyzing the signaling and service traffic of the mobile IoT pipeline side is proposed to realize the security of the Internet of Things. The system is applicable to LTE/CDMA networks and can identify various types of signaling storms， DDOS attacks， and machine card separations that occur in mobile IoT networks. At the same time， the test results of the system key identification technology in a certain province's telecom network are also given， which further verifies the feasibility， reliability and accuracy of the key technology implementation in the system.

Key words：IoT security; signaling storm;? DDOS attack;? machine card separation;? traceability control

根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2017年底，我國網(wǎng)民規(guī)模達(dá)到了7.72億，其中手機(jī)網(wǎng)民規(guī)模7.53億，以手機(jī)為中心的智能設(shè)備，成為“萬物互聯(lián)”的基礎(chǔ)，車聯(lián)網(wǎng)、智能家電、智能交通、智能電網(wǎng)、智慧農(nóng)業(yè)、智慧城市等物聯(lián)網(wǎng)智能應(yīng)用已經(jīng)成為趨勢(shì)。這些物聯(lián)網(wǎng)新科技給我們的生活帶來了各種便利，使得數(shù)字生活與現(xiàn)實(shí)生活的界限起來越模糊，二者緊密結(jié)合，相互依存。同時(shí)也讓網(wǎng)絡(luò)風(fēng)險(xiǎn)更有攻擊性、攻擊目標(biāo)更精準(zhǔn)，一旦被不法分子利用，通常會(huì)造成更為嚴(yán)重的后果。在上述情景下，我們亟須研究一種針對(duì)移動(dòng)物聯(lián)網(wǎng)網(wǎng)絡(luò)的監(jiān)測系統(tǒng)，對(duì)移動(dòng)物聯(lián)網(wǎng)中發(fā)生的安全事件進(jìn)行監(jiān)測、異常行為預(yù)警以及溯源管控，并且實(shí)現(xiàn)統(tǒng)一的移動(dòng)物聯(lián)網(wǎng)安全態(tài)勢(shì)可視化展示。

1 國內(nèi)外研究現(xiàn)狀

隨著全球大量新興的物聯(lián)網(wǎng)技術(shù)應(yīng)用走進(jìn)我們的生活，物聯(lián)網(wǎng)產(chǎn)業(yè)市場不斷地?cái)U(kuò)大，物聯(lián)網(wǎng)安全問題日趨凸顯，已成為制約物聯(lián)網(wǎng)大規(guī)模應(yīng)用的重要因素。目前，國內(nèi)外一些企業(yè)已經(jīng)意識(shí)到安全在物聯(lián)網(wǎng)發(fā)展中的重要作用，并針對(duì)物聯(lián)網(wǎng)的結(jié)構(gòu)特征（感知層、傳輸層、應(yīng)用層），開展了安全技術(shù)和產(chǎn)品方面的研究。

國外物聯(lián)網(wǎng)應(yīng)用技術(shù)相較于國內(nèi)較早，物聯(lián)網(wǎng)安全事件也較早被發(fā)現(xiàn)，例如在2016年初造成美國大規(guī)?！皵嗑W(wǎng)”的網(wǎng)絡(luò)攻擊事件，就是黑客通過侵入大量的物聯(lián)網(wǎng)攝像頭實(shí)施拒絕服務(wù)攻擊導(dǎo)致的。事后ARM公司與賽門鐵克等公司在物聯(lián)網(wǎng)終端節(jié)點(diǎn)分別推出芯片安全、證書安全等產(chǎn)品。

近兩年來，國內(nèi)物聯(lián)網(wǎng)已經(jīng)上升為戰(zhàn)略性產(chǎn)業(yè)，業(yè)務(wù)發(fā)展如火如荼，物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)無處不在，據(jù)央視《24小時(shí)》節(jié)目報(bào)道，大量互聯(lián)網(wǎng)攝像頭遭入侵，導(dǎo)致用戶隱私泄露或攝像頭被惡意控制。物聯(lián)網(wǎng)網(wǎng)絡(luò)承受著前所未有的安全威脅，根據(jù)有關(guān)統(tǒng)計(jì)顯示27%的控制系統(tǒng)已經(jīng)被攻破或被感染，80%的設(shè)備采用簡單密碼，70%的設(shè)備通信過程不加密，90%固件升級(jí)過程不進(jìn)行驗(yàn)證。針對(duì)國內(nèi)上述復(fù)雜環(huán)境，國內(nèi)廠商相繼推出物聯(lián)網(wǎng)安全產(chǎn)品，如今年國內(nèi)某運(yùn)營商推出“安連寶”物聯(lián)網(wǎng)安全解決方案，方案主要從物聯(lián)網(wǎng)安全云平臺(tái)、物聯(lián)網(wǎng)安全網(wǎng)關(guān)、終端安全軟件等三方面來實(shí)現(xiàn)物聯(lián)網(wǎng)安全管控。

2 移動(dòng)物聯(lián)網(wǎng)安全監(jiān)測系統(tǒng)的設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)

該系統(tǒng)分為四層（見圖1），每層實(shí)現(xiàn)的功能如下：

采集層：采集物聯(lián)網(wǎng)用戶信令、業(yè)務(wù)、物聯(lián)網(wǎng)APP數(shù)據(jù)，生成對(duì)應(yīng)的話單數(shù)據(jù)，以及對(duì)接物聯(lián)網(wǎng)企業(yè)、運(yùn)營商相關(guān)的靜態(tài)配置數(shù)據(jù)。

適配層：該層負(fù)責(zé)對(duì)異常話單處理、話單字段信息關(guān)聯(lián)回填與合成以及對(duì)數(shù)據(jù)的分類匯聚處理功能。

處理層：該層分為物聯(lián)網(wǎng)安全檢測引擎、分類模型、數(shù)據(jù)存儲(chǔ)三大部分，檢測引擎以插件的形式提供，方便增加自定義檢測模型，當(dāng)前可支持網(wǎng)絡(luò)信令風(fēng)暴、各類DDOS網(wǎng)絡(luò)攻擊（異常包攻擊、Flood攻擊）、機(jī)卡分離風(fēng)險(xiǎn)、路由劫持、呼叫轉(zhuǎn)移劫持的識(shí)別與檢測;流量分類模型可支持建立物聯(lián)網(wǎng)行業(yè)、企業(yè)、終端類型的流量模型。

應(yīng)用層：包括建立移動(dòng)物聯(lián)網(wǎng)安全監(jiān)測分布態(tài)勢(shì);物聯(lián)網(wǎng)異常行為及流量的預(yù)警;發(fā)生網(wǎng)絡(luò)攻擊事件后的溯源跟蹤，記錄攻擊者的身份、時(shí)間、位置等信息;安全事件處置，支持通過消息提醒或異常流量封堵的方式來進(jìn)行處置;流量分類統(tǒng)計(jì)支持針對(duì)物聯(lián)網(wǎng)業(yè)務(wù)分類、企業(yè)以及物聯(lián)網(wǎng)終端類型來統(tǒng)計(jì)流量分布情況。