基于深度包檢測及樸素貝葉斯的物聯網數據處理系統安全防護系統設計研究

（惠州學院網絡與信息中心，廣東 惠州 516007）

物聯網系統多采用MQTT 協議，一旦應用該協議時未進行身份認證，就給攻擊者留下通過非法客戶端進入MQTT 服務器的漏洞，攻擊者可以通過該漏洞獲得物聯網內部保密數據甚至對其進行篡改，還能夠通過編寫破壞性控制指令對物聯網生產對象和生產器材進行破壞，給物聯網帶來生產中斷、財產損失等威脅。

1 物聯網數據處理系統面臨的安全問題及應對策略

攻擊者通常通過結構符合MQTT 報文規范的偽裝報文對物聯網局域網絡發起攻擊，如MQTT 客戶端缺乏相應身份認證措施就會被偽裝數據包修改協議內容并被攻擊者控制。此外，攻擊者還可以將入侵主機偽裝為客戶端及服務器，以此達到修改客戶端數據的非法目的。

目前大多數的數據處理服務器只應用了普通防火墻進行簡單的系統防護，在面對一般攻擊時能夠起到一定防護效果，卻無法應對較強的攻擊。因此在普通防火墻之外為物聯網數據處理系統建立更為安全有效的防護系統是非常有必要的。本文設計的物聯網數據處理系統安全防護系統包括兩個部分：第一部分為基于深度包的數據訪問控制子系統，可以專門針對MQTT 協議的應用層實施深度檢測；第二部分為基于樸素貝葉斯的異常流量控制子系統，可以針對MQTT 協議下產生的流量進行實時檢測。兩個子系統同時工作，不但可以防御含有明顯異常特征的偽數據包的攻擊，還能有效監視隱蔽性較強的、符合MQTT 協議和訪問規則的偽數據包。由這兩個子系統構成的物聯網數據處理系統安全防護體系的架構如圖1所示：

圖1 由2個子系統組成的物聯網數據處理系統安全防護體系

2 基于深度包檢測的數據訪問控制系統設計

2.1 深度包檢測數據訪問的模塊結構

深度包是對TCP/IP 數據流和應用層協議數據流進行檢測的一種控制技術，能夠完成對數據流進行讀取、分析、對比、歸類等操作，在與標準安全對比后判定數據流是否存在異常。該子系統模型如圖2所示：

圖2 MQTT協議深度包檢測模型

在圖2中，深度包檢測子系統連接了MQTT 的客戶端和服務器，實現了對協議完整性、控制報文及其標志位的檢測、訪問控制策略的制定。其中，協議完整性檢測的作用是查驗數據控制報文是否與協議相符，形成對數據流是否異常的初步檢驗。報文及其標志位檢測的作用是提取報頭信息并對其進行深入分析，為接下來其合法性的判斷打好基礎。最后通過將控制報文與安全規則進行比對來判斷該報文是否符合預定規則。至此，一次完整的MQTT 服務器深度包檢測過程結束。

2.2 協議完整性檢測

為防止黑客利用偽裝客戶端與MQTT 服務器連接并發送偽造控制報文，需要查驗MQTT 客戶端與服務器之間的通信數據是否完整，同時檢測報文結構與內容的合法性。該檢測包括3個對象：

其一，端口號：IBM 已經將MQTT 服務器目的端口規范為1883號，非此號的報文即具有異常性質。

其二，固定報頭：MQTT 報頭包括固定報頭、可變報頭和有效載荷報頭。前兩者并不是報文中必有的內容，而固定報頭必須出現在第1-2字節位置。因此如遇到該字節位置不是固定報頭內容的就可以該報文存在異常。

其三，報文長度：第2字節位置的固定報頭指定了該報文剩余內容的容量，如兩者不相符則可判斷該報文存在異常。

2.3 控制報文類型及標志位檢測

完整性檢測的對象為報文結構，但無法保障報文類型是否正確，因此要通過報文類型及標志位檢測對其進行深度判斷。MQTT報文類型由位于第1字節的報頭控制，取值1-15，如表1所示：

表1 MQTT報文類型及涵義

上表中，數值為1、8、10、12、14的為客戶端向服務端傳輸的報頭；2、9、11、13為服務端向客戶端傳輸的報頭；3-7位雙向報頭。每個報頭的值都起到控制報文類型的作用。通過報文類型與標志位的對比能夠對深度包進行報文檢測。

2.4 MQTT 協議深度包檢測訪問控制

本文采用白名單策略，這樣只有完全符合安全規則的數據包才能通過檢測并進入數據處理系統內部。該系統包括TCP/IP 數據包的源/目IP 地址檢測、目的端口檢測、控制報文類型檢測和報文類型標志位檢測。這些檢測項目共同構成了基于MQTT 協議深度包的安全規則流程，可以表示為：

2.5 模塊測試

本研究的模塊測試包括模塊功能驗證與模塊性能驗證兩個部分。

首先，對模塊功能進行驗證。驗證方式為先發送正確數據包，通過檢測后再發送定向修改數據包，如深度寶檢測防火墻能夠檢測出修改報文的異常，說明模塊具備檢測異常數據包的功能。檢測結果如表2所示：

表2 深度包模塊測試結果

而后對模塊的性能進行驗證。在未添加深度包檢測時，防護模塊相應平均時間為0.00056s，平均吞吐量為0.198Mb/s；添加深度包檢測模塊后，防護模塊相應平均時間為0.00059s，平均吞吐量為0.190Mb/s。增加深度包模塊使系統平均相應時間增加了5.36%，平均吞吐量降低了4.04%，對網絡性能影響較小。

3 基于樸素貝葉斯的異常流量控制系統設計

3.1 樸素貝葉斯算法下的異常流量控制原理

貝葉斯定理是樸素貝葉斯算法的原理，該定理是利用條件發生的概率推算分類項目歸屬不同類別的概率。其原理包括準備、分類器訓練和應用這3個步驟。在準備階段：依照系統要求及工作目的來抽取分類項的特征屬性并將這些屬性進行分類。此時有一些特征屬性較易劃分到不同類別中，則可作為訓練樣本，負責對分類器進行前期訓練；而不易被分類的特征屬性則將被分類器劃分到不同類別中。在分類器訓練階段：通過對訓練樣本中各類別出現的概率對每個類別的條件概率進行區分。在應用階段：將上階段的區分做為基礎，對分類學進行分類的預測，該步驟的主要內容是對條件概率計算。

樸素貝葉斯算法包括三個步驟，因此建立在該算法基礎上的異常流量監測也分為三個步驟：

（1）準備步驟：將流量分為異常流量和異常流量兩類，根據通信協議特征抽取正常/異常流量特征屬性。

（2）訓練階段：將大量的通信流量作為訓練樣本，分別計算正常及異常流量出現的概率，以及每個協議特征屬性在正常/異常流量中出現的條件概率。

（3）將陌生數據包中的特征屬性作為待測分類項并輸入到步驟（2）中的訓練器中進行檢測。

3.2 MQTT 協議特征屬性選擇及數據預處理

3.2.1 提取報文特征屬性

有效提取MQTT 協議下報文的特征屬性是實現樸素貝葉斯算法下的異常流量控制最關鍵的步驟。首先按照時間順序每60s 提取一次MQTT 通信流量，盡可能獲取更多的正常/異常流量作為訓練樣本（大小以N代表）。將每個MQTT 數據包中固定報頭的控制報文類型及控制其標志位分別記為x1、x2，由此得到該數據包的特征屬性向量（i為數據包數量）。

3.2.2 訓練樣本的預處理

②異常特征屬性向量的特征屬性包括P（Y=0）對應的x1及x2對應的條件概率：

3.3 樸素貝葉斯算法下的MQTT 協議異常流量檢測模型

對于某個待測MQTT 數據包來說，將其固定報頭的x1及x2共同作為待分類項X，則有X=[x1，x2]。這個數據包中正常/異常流量出現的概率分別為。根據上文推算的條件概率公式可知：

檢測模型可以用圖3表示：

圖3 基于樸素貝葉斯理論的MQTT異常流量檢測流程

3.4 模塊測試

選擇538個MQTT 控制報文樣本，將其中256個報文設置為異常后制作訓練器，再對420個未知數據包進行分類。與對控制報文類型及標志位進行檢測的方法進行對比，采用基于樸素貝葉斯理論的異常流量檢測的結果如表3所示：

表3 不同檢測方式對比

通過表3可以看出，利用樸素貝葉斯理論同時檢測控制報文類型及控制報文類型標志位，檢測正確率可高達92.14%，高于單獨檢測一項內容；而誤報率和漏報率都低于單獨檢測一項。說明采用該方法能夠有效的提升對數據流量的防護效果。

4 結束語

本研究通過基于白名單的深度包檢測深度解析MQTT 協議，實現對控制報文完整性、準確性的檢測，防止與規則不符的數據包進入物聯網數據處理系統；通過基于樸素貝葉斯原理的異常流量檢測模塊對通信流量進行監控。兩種方式共同構建起對物聯網數據處理系統的安全防護系統，有效提供全面、穩定的安全防護功能。