物聯網感知節點安全威脅自動檢測系統設計

藍土慶

（嶺南師范學院 網絡與信息技術中心，湛江 524048）

0 引言

物聯網技術快速發展，被廣泛的應用到電子商務、金融等各個方面，積累了大量的信息資源，方便了人們的日常生活、工作、學習，在社會各行業中起著重要的作用[1,2]，但在此過程中也為物聯網信息資源的使用帶來一些隱患。對物聯網信息保護變得尤為重要，但由于物聯網絡的漏洞與黑客一直存在。對物聯網網絡信息安全造成極大的威脅，需要對物聯網中存在的威脅進行檢測[3,4]，然而傳統的安全威脅智能檢測系統存在的檢測效率低，漏洞檢測不全面等問題，針對上述問題，如何將系統中的威脅進行有效的檢測是當下階段物聯網安全威脅智能檢測領域需要重點研究的課題[5,6]。

文獻[7]提出了基于白名單的物聯網感知節點安全檢測系統。運用環境封閉固定的特點，在物聯網服務器中建立白名單，在物聯網感知節點中安裝檢測模塊，對哈希值特征碼進行計算，將計算結果傳輸到物聯網服務器上，與白名單進行對比，可以檢測出威脅因素，該系統存在漏洞檢測效率較低的問題。文獻[8]提出一種基于DoS安全威脅智能檢測系統。通過對物聯網中的信息進行分割，獲取累積量特征，運用DoS對累積量進行安全威脅智能檢測。該系統存在漏洞檢測時間較長的問題。文獻[9]提出基于DoS物聯網安全威脅智能檢測系統。運用SDN控制器的集中控制特性，提取物聯網中的與DoS相關的六元組特征值信息，對特征值信息進行安全威脅智能檢測，該系統可檢出的漏洞數量較少。

針對上述問題，提出了一種新的網絡節點安全威脅檢測系統，實驗結果表明，所提系統能夠有效檢測網絡漏洞，檢測效率較高。

1 物聯網感知節點安全威脅智能檢測系統設計

1.1 系統總體結構設計

對物聯網感知節點安全威脅智能檢測系統總框架進行設計，利用OVAL漏洞檢測器對系統進行漏洞檢測，將其檢測結果傳輸到控制臺，運用控制臺服務器上的CVE漏洞庫[10]將檢測結果上傳到系統管理模塊中，由系統管理員與檢測代理聯合掃描威脅，運用統一的漏洞庫，將其掃描的威脅信息通過可擴展標記語言進行存儲。僅需更新具有威脅信息的可擴展標記語言文件，系統就會隨之更新。

網絡安全漏洞檢測系統結構如圖1所示。

圖1 漏洞檢測系統結構

系統關鍵部分由控制臺和檢測代理構成，在物聯網中，檢測控制臺能夠同時向多個裝有檢測代理并處理監測中的主機傳輸節點安全威脅關聯信號，在各個代理主機上運行OVAL漏洞進行掃描，運行結束后，將對應的漏洞掃描結果傳送給控制臺，把檢測出的各個CVE相對應的漏洞結果，通過主機上標準的CVE漏洞庫發送給系統管理員，控制臺不用串行掃描其用戶平臺來獲取掃描威脅，這種方式節省了很多網絡資源，運用相同漏洞庫更新威脅信息中的可擴展標記語言文件，與此同時系統也隨之更新。

根據OVAL漏洞檢測器，運用三個步驟來檢測漏洞：首先采集物聯網感知節點信息與設備配置信息；其次判斷該系統是否存在特殊的威脅漏洞與設施問題；最后輸出威脅檢測結果。以給定的OVAL驗證框架輸出節點安全威脅智能檢測結果，具體過程如圖2所示。

圖2 OVAL驗證框架檢測流程圖

設計節點安全威脅智能檢測系統時，需要在多個平臺上進行檢測代理，針對不同的檢測平臺設定兩種檢測代理，分別是Linux和Windows。這兩種檢測代理均采用QT與MFC的圖像用戶界面，利用C++編程語言編寫檢測代碼檢測網絡漏洞情況。通過顯示管理模塊、通信模塊以及網絡漏洞威脅掃描模塊來完成檢測代理。

物聯網系統設計圖像管理模塊主要復雜預設威脅掃描的參數，節點數據管理、節點安全威脅掃描的狀態顯示等。漏洞掃描過程中，運用設定的參數調整工作環境。

網絡通信模塊與控制臺直接連接，控制臺通過通信模塊運行威脅掃描，在啟動過程中，通信模塊處于C/S模式監聽狀態，當通過控制臺接收到指令時，通過調整指示函數為漏洞掃描開啟一個路線，結合Bind方法將所選取的接口進行捆綁，使Socket與本地一個終結點連接，運用指示函數Listen監聽節點監控設備接口的命令請求。指示函數ListenThread運用Accept對偵聽出的結果進行連接操作，構建一個新的處理器，傳送新的命令，運用掃描函數對網絡感知節點進行威脅掃描，掃描完成后，根據相關函數將掃描結果上傳到控制臺。

在物聯網威脅掃描過程中，運用OVAL進行物聯網系統信息采集，設定文件中的漏洞測試的大體方向，在這些方向上分析系統當前安全狀態，具體過程圖3所示。

圖3 物聯網系統信息測試流程

Windows與Linux系統原理不同，對系統采集的信息需要進行不同的測試，要確定網絡感知節點安全漏洞，將節點測試結果與OVAL驗證框架設定的文件做對比，來確定主機的安全威脅漏洞。在此過程中首先將文件中的definition項按順序輸入，每個definition對應著一個漏洞的描述，其次分析各個definition中的criteria項，把以前測試結果文件中相關的全部測試提取出來，判斷測試出的結果真假性，通過operator運算符來判斷其真假，如若為真，則斷定存在安全漏洞，通過OVAL驗證框架來輸出其結果。

控制臺主要負責將威脅掃描結果進行整合，為了使操作者方便閱讀與整理，采用TCP/IP協議對系統所采用的檢測代理進行并行連接，使代理與代理之間可通信，系統也能夠同時處理多個檢測代理上傳的威脅掃描請求指令與接受多個檢測結果文件。檢測成功后將結果傳遞給檢測代理，并在控制臺端主機上備份，在控制臺上輸入IP地址可以顯示對應的主機漏洞信息，運用系統相關處理模塊能夠實現控制臺的功能，界面管理模塊主要運用Windows操作系統設定感知節點安全威脅檢測界面參數與系統控制指令，通過MFC的設定進行控制臺結構程度的設計，使用戶操作更加簡單、便捷。控制臺結構提供了特定的IP的主機掃描，以便于更好的顯示操作狀態與錯誤信息等功能。

通信模塊：對物聯網內單個主機或全部主機同時發出掃描的指示，通過Socket安全套接字進行連接，運用TCP/IP協議完成數據信息的傳輸。

數據處理模塊：由檢測代理對控制臺傳輸CVE信號，把CVE漏洞庫當作控制臺的信息庫，顯示詳細的漏洞信息，通過XML對信息進行存儲，運用msxml.dll調用微軟類庫對XML文件進行分解，生成樹型結構，提供大量的查詢函數。

1.2 物聯網感知節點安全威脅智能檢測

分析物聯網感知節點可能存在的威脅漏洞，建立以威脅樹為形式的物聯網感知節點安全威脅模型，揭示了物聯網感知節點的安全隱患，通過其模型，運用迭代的方法從上到下對每個節點威脅值進行計算，獲得該模型的威脅評值，根據其威脅值對物聯網感知節點安全威脅進行智能檢測。

物聯網感知節點安全威脅建模方法具體分六個步驟：識別信息、建立樹形結構圖、分解應用程序、識別感知節點安全威脅、將威脅信息化、評估威脅、給出評估威脅等級、通過其評估結果獲取優先級，運用解決方法對系統應用設計流程進行修改，解決威脅，增強安全性。

物聯網感知節點安全威脅建模過程中，需要確定隱私信息，構建體系結構樹圖。根據其結構圖設定物聯網感知節點安全威脅模型的目的和實現方式。設計一種樹形構圖，可分解應用程序，運用數據流圖將物聯網感知節點安全威脅建模分解為子系統，子系統分解成更小的子系統，運用威脅樹來進行威脅檢測，根據檢測的結果進行威脅風險評估與解決方法設計。

物聯網感知節點安全威脅建模的威脅由硬件與軟件威脅構成，硬件威脅包含兩項，分別是主動物理攻擊和被動攻擊；軟件威脅也包含兩項，分別是OS攻擊和通信網絡攻擊，其中OS攻擊含有系統接口攻擊和網絡病毒威脅。軟件威脅中應當著重考慮用戶隱私泄露情況，將用戶隱私視為網絡感知節點安全防護的重點。構建物聯網感知節點安全威脅模型來對用戶隱私進行防護，具體過程如圖4所示。

對物聯網感知節點安全威脅模型進行量化評估，將其模型表示為威脅樹：

圖4 物聯網感知節點安全威脅系統模型

式(1)中：

3）c：V→2V代表節點υ∈V的全部感知信息組成的集合。

4）l：V→22υ→R代表邊e（i，j）∈E的權值，當e∈Eu時，j代表單節點集；當e∈En時，j代表多節點集。

5）f：V→T表示網絡節點υ∈V的威脅類型，當該節點屬于威脅樹的內部節點時，該節點類型屬于綜合節點，具體公式如下：

當該節點為綜合節點時，該值為全部節點值中的最大值，具體公式為：

6）g：V→R用于評估節點υ∈V受到的威脅，具體公式如下：

根據其所受到的威脅值來對物聯網感知節點安全威脅進行智能檢測，具體過程如式(5)所示：

上式中：a代表威脅值大小。

2 實驗結果與分析

為驗證所提基于OVAL Schema的物聯網感知節點安全威脅智能檢測系統的綜合有效性，需進行一次實驗仿真，仿真實驗環境為：CPU為Intel（R）Celeron（R），2.6GHz，內存為2.0GB,操作系統為Windows XP，實驗開發平臺Visual Studio2010，所有仿真實驗均在Visual Studio2010上進行。

為了證明所設計的安全威脅智能檢測系統的優越性，將所設計的系統與文獻[8]提出的檢測系統與文獻[9]提出的檢測系統進行相同目標主機臺數下的漏洞檢測時間（s）對比，對比結果如圖5所示。

圖5 檢測效率對比

在該實驗中，應用線程池大小為20，即線程隊列的長度為20，分別對應文獻[8]檢測系統、文獻[9]檢測系統與所提檢測系統在30、70、200、400臺主機中進行漏洞檢測；從圖5中可以看出，所提檢測系統的檢測效率明顯高于文獻[8]檢測系統與文獻[9]檢測系統。當主機臺數較少時，可以一次性對全部主機進行檢測，但檢測效率沒有提高，當主機臺數數量增多時，所提檢測系統的檢測效率明顯提高。文獻[8]檢測系統在主機臺數大于200臺時，已經無法對漏洞進行檢測。

實驗過程中，選取文獻[8]檢測系統、文獻[9]檢測系統與所提檢測系統在三種漏洞類型下進行漏洞檢測效果對比，實驗結果如表1所示，表1中ZJ為主機臺數，單位為臺，用t來表示；LD代表漏洞類型；SQL為SQL注入漏洞；JB為腳本執漏洞；XSS為XSS跨站腳本攻擊；W8為文獻[8]檢測系統；W9為文獻[9]檢測系統；ST為所提檢測系統。

由表1可以看出，隨著主機臺數不斷增加，所提檢測系統檢測出的漏洞為三種檢測系統中效果最好的，三種類型的網絡漏洞均能全部檢測出來，而文獻[9]檢測系統只能檢測出SQL漏洞及JB漏洞，當主機臺數為60臺時，文獻[9]檢測系統已經檢測不出XSS漏洞，主要原因是該系統提取六元組特征值信息，對其進行漏洞檢測，由于特征值復雜多校，所有檢測過程中難升級，較為繁瑣，在主機臺數少的情況下，可以檢測漏洞信息，當主機臺數增多，文獻[9]檢測系統帶不動較多數據，檢測不出漏洞。

表1 三種不同檢測系統漏洞檢測結果對比

3 結論

針對傳統安全威脅智能檢測系統存在的一系列問題，提出一種基于OVAL Schema的物聯網感知節點安全威脅智能檢測系統，實驗結果表明，所設計的檢測系統與傳統的檢測系統相比，檢測漏洞數量多、檢測時間短，為解決當前物聯網網絡節點安全威脅提供了一種有效的解決方案，具有實際應用價值。