基于薄弱點分析的物聯網攻擊主動防御仿真

魏利梅，朱紅康

(1. 山西警察學院網絡安全保衛系，山西 太原 030400；2. 山西師范大學數學與計算機科學學院，山西 太原 041081)

1 引言

物聯網(IoT)是數字轉型時代最熱門的技術之一，也是智能家居、無人駕駛汽車、智能儀表和智能城市的核心技術，隨著科學技術的快速發展，物聯網[1]已成功滲透到人類生活的多種領域中。但物聯網在傳輸或存儲數據信息的過程中，常由于攻擊者惡意入侵而出現安全問題。為了提高物聯網的防御能力，相關研究人員致力于將傳統的物聯網被動防御策略轉化為現代化時代背景下的物聯網主動防御策略，以此達到提升物聯網效率，降低攻擊者威脅性的目的。

胡永進[2]等人通過非合作信號博弈理論分析物聯網動態推演步驟，并根據網絡欺騙防御策略選取算法獲取符合該推演步驟的攻防依賴探測值。將節點衰減率輸入以博弈均衡求解算法為基礎構建的博弈模型中，但該方法存在防御效率低的問題。馬曉[3]等人通過掃描物聯網節點的信息熵能耗值獲取物聯網安全空間的約束條件。由于節點信息熵能耗值參與預判的條件限額不足以支撐網絡安全攻擊的最大代價，因此需要將該約束條件與粒子群優化算法結合，進而更新可行性較強的約束條件，實現物聯網攻擊的主動防御。黃萬偉[4]等人通過將貝葉斯均衡算法和納什算法結合構建符合物聯網攻防流程的主動防御模型，并在模型中添加非零和信號博弈因子，實現物聯網攻擊的主動防御，上述兩種方法存在防御效率低的問題。

雖然物聯網設備可以在設備之間實現有效通信，自動化，節省時間和成本，但仍然存在黑客攻擊導致的數據安全問題。為了深入解決物聯網的安全問題，本研究提出基于改進降噪算法的物聯網攻擊主動防御仿真的方法。

2 物聯網節點數據降噪

改進降噪算法又稱多層降噪自編碼算法，是Hinton教授提出的一種結合了自動編碼器的無監督節點重構算法。改進降噪算法重構物聯網節點的具體過程如下：自動編碼器具備編碼和解碼兩部分，首先利用Sigmoid函數[5]將物聯網節點映射至自動編碼器中。經過映射的物聯網節點以輸入樣本的格式存儲于自動編碼器的編碼端，此時在編碼端添加不平衡數據分類算法[6，7]，單位物聯網節點會遵循不平衡數據分類算法的基本思路，即根據敏感度將節點分類，并組成多個訓練節點樣本集。Sigmoid函數的表達式如下

P=[(1-λ2)+α(wn·wm)]

(1)

式中，λ2為sigmoid常數；α表示物聯網節點的映射系數；wn表示物聯網節點權重；wm表示自動編碼器的權重。

不平衡數據分類算法的表達式如下

(2)

式中，w(i，j)表示不平衡數據權重函數；i表示物聯網節點的敏感度閾值；j表示單位訓練樣本集權重；r表示物聯網節點分類誤差。

自動編碼器解碼端會接收多組訓練節點樣本集。首先利用改進降噪算法重構樣本集內的節點特征向量。該重構效應不僅能夠均衡節點分布情況，還能降低節點錯分代價，提升節點的抗噪能力。改進降噪算法的表達式如下

(3)

式中，R表示改進降噪函數；tanβ表示節點特征向量重構系數；v2表示節點特征向量重構平方誤差。

3 物聯網攻擊的主動防御方法

3.1 物聯網防御方法設計

經過改進降噪算法處理的物聯網節點已得到全面優化，此時從抗全局截獲分析攻擊能力、抗拒絕服務攻擊能力和抗內部威脅能力三個方面分析物聯網的安全性，能夠得出較為可靠的結果。

1)抗全局截獲分析攻擊能力

物聯網抵御全局截獲分析攻擊的能力稱為抗全局截獲分析攻擊能力。利用鏈路預測方法[8]將物聯網節點根據單條鏈路交互量大小排成一列，并在節點序列的起始端連接與全局截獲分析攻擊相關的惡意數據包。鏈路預測方法的表達式如下

(4)

式中，yi表示鏈路預測參量；qhash表示單條鏈路的交互量閾值；δ2表示物聯網節點排列系數；eNonce表示物聯網節點排列誤差。

攻擊對象命中速度的計算公式如下

V=vi+ef

(5)

式中，vi表示攻擊對象命中速度的計算常數；ef表示攻擊對象命中速度的計算誤差。

待惡意數據包對物聯網節點序列的侵犯結束后，利用重組開銷計算公式獲取物聯網節點序列中單位節點的重組開銷，若單位節點的重組開銷低于1，則說明該節點已因攻擊損壞，此處抗全局截獲分析攻擊能力較弱。重組開銷計算公式的表達式如下

(6)

式中，γ表示單位節點重組開銷的獲取系數；ck表示單位節點重組開銷的獲取誤差。

2)抗拒絕服務攻擊能力

物聯網抵御拒絕服務攻擊[9]的能力稱為抗拒絕服務攻擊能力。不同于上述全局截獲分析攻擊以物聯網節點為主要攻擊對象，拒絕服務攻擊主要以網址、鏈路及端口為主要攻擊對象。視網址、鏈路、端口為三組獨立的攻擊對象，利用移動物聯網數據傳輸穩定算法[10]將攜帶拒絕服務攻擊的惡意數據包分別與三組攻擊對象結合。移動物聯網數據傳輸穩定性表達式如下

(7)

式中，ε2表示移動物聯網數據傳輸穩定常數；Je表示惡意數據包與網址的契合度；Ja表示惡意數據包與鏈路結合系數；Xp表示惡意數據包與端口的結合系數。

待三組攻擊對象均脫離惡意數據包后，利用虛擬機動態遷移方法[11]評估網址、鏈路、端口的跳變頻率，若網址、鏈路、端口中任意路徑的跳變頻率大于1，則說明該路徑已因攻擊損壞，此處抗全拒絕服務攻擊能力較弱。虛擬機動態遷移方法的表達式如下

(8)

式中，Banalysis表示網址中跳變頻率的評估函數；O表示鏈路中跳變頻率的評估偏差函數；κ表示端口中跳變頻率的評估系數。

3)抗內部威脅能力

物聯網內部威脅雖然在配置復雜度和部署難度方面表現出極高的透明度，但由于內部威脅的攻擊風險集中于軟件定義網絡[12]，因此內部威脅一旦存在，將極難與物聯網分離。利用SDN路由優化算法[13]向軟件定義網絡輸入惡意數據包，待物聯網發送者與接收者的通訊量出現較大差距時，說明內部威脅已成功攻擊物聯網，此時利用Openflow交換機[14]讀取通訊量差距較大的區域，這些區域的抗內部威脅能力在整個軟件定義網絡中處于最低水平。SDN路由優化算法的表達式如下

(9)

式中，x′表示SDN路由優化常數；φ表示惡意數據包輸入系數；yr表示SDN網絡內部的威脅概率。

Openflow交換機的表達式如下

(10)

式中，d表示Openflow交換常數；∑dW2表示Openflow交換機的總權重；y0表示通訊錄差距較大區域的讀取系數；η表示通訊量差距較大區域的讀取系數誤差。

3.2 基于無線傳感器網絡病毒傳播模型的物聯網攻擊主動防御的實現

根據3.1節內容可知物聯網遭受攻擊時的薄弱點，現采用基礎防御信息結合防御模式匹配算法構建與物聯網薄弱點相匹配的無線傳感器網絡病毒傳播模型。基礎防御信息的選擇需要參考物聯網薄弱點的脆弱性信息。利用攻擊模式匹配算法獲取物聯網薄弱點的脆弱性信息，攻擊模式匹配算法的表達式如下

(11)

防御模式匹配算法的表達式如下

(12)

式中，f(s)表示防御模式匹配初始函數；f(v)表示基礎防御信息的終函數；c表示基礎防御信息的匹配誤差；I表示基礎防御信息的權重。

將無線傳感器網絡病毒傳播模型與物聯網薄弱點結合，并利用移動目標防御最優決策方法[15]求解與物聯網薄弱點結合后的無線傳感器網絡病毒傳播模型。物聯網攻擊的自主防御最優決策模型為

(13)

式中，bα表示移動目標防御最優決策常數；bβ表示無線傳感器網絡病毒傳播模型的求解系數；τn-1表示無線傳感器網絡病毒傳播的補償偏差。

4 實驗與分析

為了驗證基于改進降噪算法的物聯網攻擊主動防御仿真的整體有效性，需要對其測試。選擇典型業務網絡作為物聯網實驗對象。設置物聯網攻擊脆弱點，如下表1所示。

表1 實驗對象的脆弱點信息

現以脆弱點a為測試對象，利用惡意數據包攻擊實驗對象，同時采用提出方法、文獻[2]提出的基于多階段網絡欺騙博弈的主動防御方法和文獻[3]提出的最小代價下網絡攻擊主動防御方法主動防御惡意數據包對脆弱點a的攻擊，通過觀察不同方法對脆弱點a的防御時間，判斷不同方法下物聯網攻擊主動防御的完成度，測試結果如圖1所示。

圖1 不同方法對脆弱點a的防御時間

如圖1可知，采用提出方法防御惡意數據包對物聯網脆弱點a的攻擊，其防御完成度在1.6s即可達到100%，說明采用提出方法主動防御物聯網攻擊，其防御的收斂速度快，防御效率高。為了進一步驗證提出方法的實用性，現采用惡意數據包對脆弱點b和脆弱點c依次攻擊，同時采用提出方法、基于多階段網絡欺騙博弈的主動防御方法和最小代價下網絡攻擊主動防御方法防御遭受攻擊的兩處物聯網脆弱點。此時的物聯網處于攻防博弈期間，即惡意數據包企圖通過攻擊脆弱點的方式奪取物聯網使用權限，而提出方法、基于多階段網絡欺騙博弈的主動防御方法和最小代價下網絡攻擊主動防御方法通過對抗惡意數據包，達到保障物聯網權限始終處于服務器應用層的目的。通過觀察物聯網博弈后，各脆弱點的攻陷程度，判斷不同方法的防御性能。攻防博弈結束后，不同方法下各脆弱點的攻陷程度如圖2所示。

圖2 攻防博弈結束后，不同方法下各脆弱點的攻陷程度

如圖2可見，攻防博弈結束后，提出方法下脆弱點b和脆弱點c的攻陷程度均較低，說明采用提出方法防御物聯網攻擊，其攻防博弈期間的防御效率較高。文獻方法下脆弱點b和脆弱點c的攻陷程度均較高，說明應用傳統方法防御物聯網攻擊，時效率偏低。

物聯網數據的噪聲是影響其攻擊防御及時性的關鍵影響因素，因此，基于上述實驗測試結果，為了驗證不同方法的物聯網數據降噪效果，設計以下實驗。對比方法仍為文獻[2]提出的基于多階段網絡欺騙博弈的主動防御方法和文獻[3]提出的最小代價下網絡攻擊主動防御方法。不同方法的物聯網數據降噪效果對比如圖3所示。

根據圖3的的測試結果可知，物聯網數據的初始噪聲頻譜分布在-1.5Hz～1.5Hz范圍內，利用研究方法對其降噪后，噪聲降低效果明顯，噪聲頻譜不超過-0.5Hz～0.5Hz，在1.2s后數據噪聲可徹底濾除，由此可知研究方法對物聯網數據處理的結果具有顯著優越性。

圖3 不同方法的數據降噪效果對比

5 結束語

為了進一步優化物聯網的自主防御能力，提出基于改進降噪算法的物聯網攻擊主動防御的方法。通過仿真測試可知研究方法可有效提高物聯網的防御效率，可在短時間內完成防御。如何在保證物聯網防御能力的同時，對物聯網防御過程實時監控，是研究人員下一步工作的重點。