淺析物聯網安全防護技術

汪襄南，王 冰，霍純敬（.中訊郵電咨詢設計院有限公司，北京00048；.中國聯通北京分公司，北京0006）

1 概述

物聯網（IoT）已經成為一種日益復雜的生態系統，各類物聯網終端日趨智能化和自動化。物聯網相關業務的發展以及網絡的演進速度已遠遠超前于安全防護能力。在此前提下，電信運營商如何在現有通信網絡架構的模式下防范物聯網安全風險，已經成為亟待研究和探討的關鍵問題。

1.1 物聯網背景及相關概念

物聯網（IoT）引領著網絡下一代的潮流，其發展必將對世界產生巨大的影響。據Gartner報告統計，到2025年全球物聯網連接數將達到250億，萬物互聯的藍海即將到來，物聯網的連接數量將呈現爆炸式增長。

互聯網實現了全球點對點的信息傳遞，而正在以指數級進化的物聯網設備，未來必將越過“奇點”，成為與人類一樣的網絡世界平等參與者。在通信領域，傳統方式下的信息是通過點對點傳輸的，所以可通過追蹤傳輸路徑并攔截信息對網絡的安全風險問題進行溯源。而在萬物互聯時代，電信運營商現有的通信網絡架構難以承載億級的物聯網設備接入，而且物聯網終端的多元性使用戶對安全問題的感知度高低不一，所以必須探討新的解決方案來保障基礎網絡設施及關鍵數據的安全。

根據國際電信聯盟ITU的定義，物聯網是指通過二維碼識讀設備、射頻識別裝置、紅外感應器、全球定位系統和激光掃描器等信息傳感設備，按約定的協議，把任何物品與互聯網相連接，進行信息交換和通信，以實現智能化識別、定位、跟蹤、監控和管理的一種網絡。物聯網主要解決物與物、人與物、人與人之間的互連。從最初的機器通信（M2M——Machine to Machine）到物聯網（IoT）再到萬物互聯（IoE——Internet of Everything），物聯網超越了人口的限制，開拓了全新的市場藍海，國際運營商已紛紛將物聯網作為其新的業務增長點。

1.2 運營商物聯網建設現狀

目前運營商的物聯網業務以發卡模式為主，尚未形成端到端的運營模式，應用服務層主要由服務提供商提供，終端感知層由用戶自行管理。運營商主要負責網絡能力層和連接管理層的建設與維護。在網絡能力層建設物聯網專用核心網，疏導物聯網流量。在連接管理層建設物聯網專用平臺，提供API接口供企業用戶調用，向用戶提供批量發卡和集中管理卡的業務。物聯網網絡層級示意圖如圖1所示。

圖1 物聯網網絡層級示意圖

2 物聯網安全現狀及案例

截至2017年，我國物聯網連接數突破1億，占全球總量31%。我國運營商“云—管—端”的物聯網體系已初步形成，業務呈現碎片化趨勢。

2015年起，越來越多的物聯網智能設備出現在互聯網上，大量涌現的物聯網智能設備開始在分布式反射拒絕攻擊（DRDoS攻擊）中扮演重要角色。由于物聯網智能設備主要通過SSDP協議進行交互，物聯網設備又具有高帶寬、低監控水平、全天候在線等特點，因此其反射攻擊具有比其他類攻擊更為廣泛的設備基礎。

Gartner的研究報告稱在互聯網終端中，27%的控制系統已被攻破或被感染，80%的設備采用簡單密碼，70%的設備通信過程不加密，90%的固件升級更新過程不進行簽名驗證，較易淪為攻擊者發動DRDoS攻擊的傀儡機。所以筆者認為物聯網安全對物聯網業務的重要性不言而喻。網絡攻防趨勢如圖2所示。

圖2 網絡攻防趨勢

與傳統互聯網網絡安全防范相比，物聯網的安全防范工作更加艱難。首先，物聯網終端的智能化水平存在差異，而且終端資源（計算能力、存儲空間）受限；其次，目前物聯網缺乏通用的安全通信及安全檢測協議；最后，與傳統電腦終端、服務器相比，物聯網設備自身安全防護能力較差。物聯網終端更易受病毒、木馬、蠕蟲和惡意軟件的攻擊，導致設備無法使用、關鍵信息泄露、成為傀儡機甚至危及整個網絡系統的安全，

下面介紹下過去發生的影響較為廣泛的物聯網安全案例。

2.1 Mirai病毒

物聯網僵尸網絡病毒“Mirai”是新型的物聯網病毒，可以發動大規模的分布式DDOS攻擊。該病毒通過高效掃描物聯網系統設備，感染采用出廠密碼或者弱密碼加密的物聯網設備。

防火墻不能有效防范該病毒的入侵和傳播，IoT設備在不知不覺中被感染，成為僵尸網絡中的一份子。攻擊者就可以利用被感染的設備擴大傳播范圍，發起大規模的外網攻擊，同時監控內網，組織有規模的內網攻擊。

2.2 IoT Reaper木馬

IoT Reaper木馬（也被稱為IoT roop）是在2017年10月發現的一種新型物聯網木馬，其原型是Mirai，但比Mirai強大，它是利用漏洞實現跨平臺的物聯網設備訪問，IoT Reaper攻擊模型如圖3所示。

圖3 IoT Reaper攻擊模型

IoT Reaper放棄了Mirai中利用弱口令猜測的方式，轉為利用IoT設備的漏洞進行植入。目前全球范圍約有200萬臺物聯網設備被感染，可以發動比Mirai規模更大的DDoS攻擊，據監測，該類攻擊的源IP地址分布中中國排名第1。

2.3 Memcached DDoS反射攻擊

Memcached是一個高性能的開源分布式內存對象緩存系統，主要用于提高Web應用的擴展性，能夠有效解決大數據緩存的問題，因為其結構簡潔、部署簡單，目前被廣泛的應用于“云結構”和基礎設施即服務（IaaS）網絡中。

Memcached基于內存的key-value存儲小塊數據，并使用該數據完成數據庫調用、API調用或頁面渲染等，攻擊者正是利用key-value這項功能構造了大流量的Memcached反射攻擊。Memcached簡單高效，但其在初始設計上沒有過多考慮安全性及健壯性，留下了很多安全隱患，例如在默認狀態下，它不做鑒權認證，而且TCP 11211及UDP 11211端口全部開放。

2018年2月，全球爆發了Memcached DDoS攻擊，峰值流量高達1.7 Tbit/s，溯源結果表明，在這次攻擊中分布在中國的被利用的Memcached服務器位列第2位，占比12.7%，中國位于北京的服務器排名第2，所以對此類攻擊的防護也亟需重視。

3 近期物聯網安全防范技術研究

從以上實際案例中可以看出，物聯網安全問題的研究和安全部署時不我待。筆者認為電信基礎運營商主要負責網絡能力層和連接管理層的建設與維護，需要保證網絡“管道”的可達性與安全性，其安全風險主要集中在3個方面：物聯網終端安全問題、網絡安全風險問題、物聯網運營平臺安全問題。

3.1 終端安全問題

物聯網終端普遍成本低，智能程度低，但終端安全風險會威脅到整個物聯網或者網絡層的可用性，所以必須對此做一定防范。首先對設備進行強口令設置，并且建議安裝防病毒軟件，定期升級；其次建議在物聯網中搭建惡意代碼監測系統，通過采集Gn口流量，進行DPI深入包分析，通過抓包識別惡意代碼特征并進行告警和攔截。例如針對Memcached DDoS反射攻擊，通過執行以下代碼，分析其主要特征。

from scapy.all import?

import binascii

payload=binascii.unhexlify（'000100000001000073 746174730d0a’）

pkt=Ether（）/IP（src="10.1.138.170"，dst="172.17.10.103"）/UDP（sport=666，dport=11211）/payload

sendp（pkt，iface="eth1"，loop=0，verbose=False）

對Memcached DDoS的抓包分析如圖4所示。

圖4 Memcached DDoS抓包截圖

3.2 網絡安全風險問題

目前常見的物聯網攻擊與傳統互聯網攻擊形式相似，為保障網絡性能，首先防范的仍然是巨型流量攻擊造成的網絡阻斷與網絡可用性降低。

以2018年發生的DDOS攻擊規模來看，攻擊峰值流量已達到Tbit/s級別，物聯網海量設備接入后，其攻擊流量規模呈幾何級別增長，已經對網絡基礎運營造成了不可忽視的影響。

對于大流量反射攻擊，需要進一步分析其包特征，網絡邊緣將異常流量數據包直接丟棄，并進行異常流量清洗等安全防護，物聯網的安全部署如圖5所示。

圖5 近期物聯網安全部署示意圖

黑客只需要執行以下一段簡短的代碼執行程序就可以讓設備發出巨大流量：

from scapy.all import?

import binascii

#cmd="get a a a a a a a a a a a a a… ＜729 times＞"

payload=binascii.unhexlify（'000100000001000067 65742061206120612061206120612061206120612…'）

pkt=Ether（）/IP（src="10.1.138.170"，dst="172.17.10.103"）/UDP（sport=80，dport=11211）/payload

sendp（pkt，iface="eth1"，loop=0，verbose=False）

可以通過抓包進一步分析反射DDoS攻擊特征（見圖6）。

圖6 反射DDOS攻擊特征抓取分析截圖

從以上數據中可以看出，攻擊者只需發送1個數據包，但反射器可發送50萬個數據包，單一IP地址可產生高達6G的攻擊流量。

面對如此巨大流量的攻擊，運營商首先要在骨干網層面做好相應的安全預案模板，可通過設置白名單等手段做到快速響應和一鍵阻斷。同時，各自治域需要對其對接的PEER進行安全流量控制，防范來自僵尸網絡大量終端所帶來的巨型流量風險。在核心網層面，可以在Gi出口位置部署防火墻、IPS等安全設備，定期進行核心網設備的漏洞掃描與弱口令驗證，加強其健壯性并通過現有已部署的flow設備監控異常流量，完成近源清洗。具體的步驟應有：

a）首先分析判斷受攻擊的IP地址是否為物聯網設備地址。

b）追蹤新物聯網僵尸網絡感染設備的范圍。

c）關聯檢測物聯網地址的外發流量新指征以進行進一步流量抑制。

4 物聯網安全防范技術展望

網絡安全領域的問題，目前已得到世界各國的重視，其重要性甚至可以上升到國家安全層面。未來的網絡將是人與機器共舞的全新世界，需要一種不同于傳統人為控制的、完全透明和公平執行的秩序。

中期來講，物聯網的安全運營業務將由傳統的硬件交付轉變為服務交付。雖然安全防護類設備不可或缺，但專業的安全服務、安全評估、安全培訓以及安全運營服務（MSS）也將成為未來安全市場發展的重點。Gartner將MSS定義為：通過安全運營中心（SOC）的共享服務，實施IT安全功能的遠程監控和管理。其服務可以包括防火墻服務、IPS/IDS、防DDoS攻擊、基礎設施日志收集與報告分析、故障與安全事件響應。

運營商首先要考慮建立可運營的SOC，提供安全運營服務，將物聯網納入管理和監控，從而建立信息廣泛、統一預警的安全威脅情報中心。同時通過豐富的采集及監控手段，獲取大量數據，增強風險預報的精度與效率，并且跟隨網絡演進的步伐同步升級監控及防護系統。

長期來看，物聯網的智能設備將會呈現指數級增長態勢，隨之也會帶來一系列問題。首先是成本問題，傳統物聯網需要部署中心化的云平臺，這需要高昂的建設維護成本；其次是擴展性問題，海量的設備接入給網絡帶來擴容壓力，而中心化的平臺存在性能瓶頸；同時，大規模物聯網終端接入將帶來巨大的信息安全風險，而安全、隱私和信任是物聯網發展的前提。

顯然，只有去中心化、區域自治、扁平化的網絡結構才能滿足未來物聯網業務發展的需求。

“區塊鏈”技術是一種天然的去中心化的協議，它將分布式數據庫作為載體，任意節點間的權利義務均等，沒有權威服務器，系統中的所有數據塊由整個系統中具有維護功能的節點來共同維護，每個節點分享權力和義務，通過廣泛分布的節點進行驗證，確保信息不可偽造和進行篡改。

成功的去中心化物聯網不僅是點對點的，而且是無需信任的，也不存在中心化的單點故障。各物聯網設備間可建立一種高度加密的輕量級通信機制。也許在不遠的將來，這種無需信任的點對點通信協議，將演進成比TCP/IP協議更適合于物聯網的傳輸層協議。

雖然區塊鏈技術在物聯網安全方面的應用市場前景廣闊，但目前它在基礎網絡的應用還處在萌芽期，要達到規模商用還需克服重重挑戰。首先，物聯網終端需要具備加密和驗證區塊鏈交易的計算能力；其次，隨著區塊鏈的增長，節點存儲空間的需求也越來越大；而且生成一個區塊需要系統內多個節點參與記錄并驗證通過，會增加時延。

5 結束語

物聯網安全模式需要IoT生態系統的每一部分進行合作、協調和連接。終端、網絡、平臺必須一起發力，相互整合。為了實現這種最佳的物聯網安全模式，IoT生態系統的各組成部分均要考慮其安全性，從而建立穩固的底部和頂層結構。

海量接入的設備必將給網絡帶來更多的安全威脅，運營商需要主動出擊，迎接物聯網帶來的機遇和挑戰。