数据驱动视角下物联网安全威胁检测研究

本文是计算机论文，海量物联网设备的使用和其应用技术的普及方便了我们的生活，但很多物联网设备先天都是存在漏洞的。有漏洞的设备被攻击者利用，接入目标网络，潜伏伺机发起攻击，这导致目标网络面临严重的安全威胁。本文提出以智能算法为引领，物联网安全数据为驱动的物联网安全解决途径。针对物联网流量数据，物联网多源安全知识库数据进行分析，运用随机森林，BP 神经网络算法以及知识图谱技术对数据进行处理，从而实现通过数据分析来监控异常和进行安全管理的目的。主要内容总结如下：1. 汇总分析了物联网知识数据类型。梳理了包括物联网系统和网络基础知识数据、安全威胁知识数据、安全防护知识数据、安全核心数据在内的四种知识数据类型对后续研究内容，如设备识别、异常检测、知识图谱威胁建模等提供了数据理论基础。2. 提出了一种物联网设备识别方法，通过设置白名单，构建通信流量特征指纹，使用随机森林方法来训练设备识别模型；其次，实验验证了设备识别模型的检测效果，识别准确率达到 96%以上，并与已有类似方法进行对比，证明本文方法有更好的检测稳定性。该方法可应用于大型组织内部网络，实现对可疑设备的接入控制，有效应对由于人员违反内部网络安全策略，通过有目的或无目的的擅自将设备接入网络，使得设备中的恶意软件感染内部网络其它设备，从而攻击者能够利用设备本身漏洞进行的高级攻击。

第二章 物联网安全知识数据类型

2.1 物联网系统和网络基础知识数据

物联网网络知识包括网络节点信息、网络拓扑信息、网络连通信息等。这部分知识属于某个网络的特有知识，需要针对具体的网络进行学习构建。数据来源包括资产发现、漏洞扫描、拓扑发现等。网络节点信息：一个“节点”就是指一台网络设备，在物联网网络中结点又分为设备节点、链路节点和路由节点，它们分别对应网络中的物联网设备、交换机和路由器。从网络中的节点数量和分布就可以指导网络规模和基本结构了。网络拓扑信息：拓扑是指网络中各种设备的物理布局，以图的形式表示一定范围内个物体之间的相互关系。网络拓扑结构分为星型结构、环型结构、总线型结构、混合拓扑结构、分布式结构、树型结构、蜂窝拓扑结构。网络连通信息：包括节点之间连接方式，比如有线连接和无线连接（WIFI，蓝牙等）；节点之间是否通信受限，比如节点 A 只能向节点 B 发送信息，而不能接收信息；通信使用的协议以及是否加密等信息。

2.2 物联网安全威胁知识数据

物联网应用层是整个物联网业务系统的功能核心，其主要负责将从传输层（网络层或者通信网络）接收到的数据进行智能处理，即对海量分布式信息进行数据清洗并提炼出含有较高信息量的数据。如远程医疗 Web 服务、管理智能家居设备的 APP、智能交通的信息监控与处理平台等，应用层指经过感知层收集数据和传输层传输数据后经过这些应用平台展示给用户。应用层的安全风险有以下几方面：1.服务器存储大量用户数据，成为攻击焦点。物联网业务系统的各种应用数据都存储在数据库层，由于用户数据高度集中，容易成为黑客攻击的目标，一旦遭受到攻击或入侵将导致数据泄露、系统业务功能被控制等安全问题。2018 年，某酒店大量客户信息泄露事件就是由黑客攻击服务器窃取数据造成的。

第三章 基于通信流量的物联网设备识别与接入控制.......................... 21

3.1 引言........21

3.2 物联网内部威胁描述.....................................21

3.3 设备识别方法设计........................................22

3.4 实验结果及分析............................................26

第四章 基于实时流量的 DDOS 攻击异常检测................................ 31

4.1 引言........31

4.2 异常检测方法设计........................................32

4.3 实验结果及分析............................................40

第五章 基于物联网多源安全数据的知识建模方法............................ 45

5.1 引言........45

5.2 物联网安全知识图谱内涵和特点................47

5.3 物联网安全知识图谱构建技术体系..............48

第六章 物联网安全管理系统设计

6.1 系统架构

安全网关充当互联网的本地访问网关，物联网设备通过 WiFi 或以太网与之连接。安全网关除了承担网关路由器的功能，还具备以下功能：首先是采集物联网设备识别所需的通信流量，从流量中提取出用来进行设备型号识别的指纹。其次是持续不间断的监视设备流量变化，检测因攻击行为而产生的流量模式异常。安全网关同样为安全服务器传指纹、警报等数据供安全服务器来训练设备识别模型，异常检测模型以及基于前两者的威胁感知模型。在每一个内部络中部署一个安全网关，用于实施对内部网络中的设备进行安全管理，而安全服务器部署在云端用于管理多个内部网络。比如，在智能家居网络中，每个家庭都有很多的智能家具设备，包括摄像头、智能门锁、智能音箱、智能空调、智能电视、智能电灯等，这些设备连接到家庭安全网关，许多个家庭的安全网关又连接到云端的服务器，这样就可以通过安全网关收集每个家庭中的设备流量等数据信息输出给安全服务器，以联邦学习的方式对大量设备的安全状态进行分析，提高安全系统的安全分析能力，解决物联网设备流量差异性大、单个设备流量较少的问题。

6.2 系统介绍

为了实现设备接入网络时对非法设备的接入控制，设备在运行过程中的实时的、过程的威胁检测以及设备网络的安全态势分析和安全措施的部署，实现物联网设备网络的一体化纵深防御。本文设计了一种智能化的设备识别、异常检测与威胁感知模型，如图 6.2 所示：威胁感知模块通过基于本体的威胁建模将设备型号等资产信息、漏洞、威胁与安全机制等数据相关联起来，并通过知识图谱进行威胁感知和管理，详见第五章内容。可以及时响应内部网络中设备漏洞的发现，智能化部署对应的通信限制等安全措施。本体模型如图 6.2 中所示：资产作为本体中一种抽象的概念，包含物理资产即设备，设备上的软件，以及设备使用的通信方式 WiFi、Ethernet 等。资产要求安全属性被认为是安全的，例如可用性，机密性，完整性等。每个威胁都会影响一个或多个安全属性，安全机制可以满足这些安全属性。漏洞是设备或软件中的缺陷，当他们被发现时，一般供应商会发布补丁来修复，但对于物联网设备来说，打补丁往往不及时，所以需要使用安全机制来预防攻击者利用发现的漏洞。

第七章 总结与展望 

开发了一种基于设备型号的物联网流量异常检测模型，模型设置阻尼时间窗口的方法提取时间统计特征并构建指纹，然后根据设备类型对指纹进行分类，最后用主成分分析法对特征进行降维并用 BP 神经网络算法进行异常检测的训练和识别。为进一步验证设备型号分类对异常检测效果的贡献，本文比较了随机森林，支持向量机在检测中的效果并对实验结果进行了评估，结果表明，基于设备型号的异常检测准确度能够提高10%左右，BP 神经网络具有最好的检测效果，平均达到 90%以上。很多物联网设备中存在包括开放的端口、过时的固件以及敏感数据的未加密传输等漏洞。一旦这些携带大量漏洞的物联网设备接入到网络中，这些设备极易被攻击者利用从而发起拒绝服务等攻击。模型能够通过对流量特征的分析，能够实现对 DDOS 攻击等物联网安全威胁的有效检测，物联网知识图谱构建工作中，下一步的研究工作包括构建更精确细致的物联网安全本体模型，丰富各种实体之间的关系类型。在实践中，可以尝试将结构化，半结构化和非结构化多源数据类型融合起来，进一步充实实例数据，实现大型物联网安全知识图谱数据库的构建。

参考文献（略）