基于異質(zhì)信息圖推理的物聯(lián)網(wǎng)濫用識(shí)別方法

摘 要：針對(duì)物聯(lián)網(wǎng)異常識(shí)別技術(shù)手段缺乏這一問(wèn)題，通過(guò)對(duì)物聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行建模，構(gòu)建基于異質(zhì)信息圖的物聯(lián)網(wǎng)設(shè)施網(wǎng)絡(luò)行為信息圖，通過(guò)對(duì)線索的動(dòng)態(tài)關(guān)聯(lián)和搜索，實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)攻擊的準(zhǔn)確定位。該方法具備在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下識(shí)別物聯(lián)網(wǎng)設(shè)施異常行為的能力，對(duì)物聯(lián)網(wǎng)應(yīng)用安全具有十分重要的意義。

關(guān)鍵詞：物聯(lián)網(wǎng)安全；異質(zhì)信息圖；網(wǎng)絡(luò)模式；動(dòng)態(tài)關(guān)聯(lián)；異常行為；網(wǎng)絡(luò)日志

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2025）02-00-02

0 引 言

近年來(lái)，5G網(wǎng)絡(luò)的商用極大推動(dòng)了物聯(lián)網(wǎng)技術(shù)在安防、醫(yī)療、零售、教育、辦公、能源等多個(gè)領(lǐng)域的發(fā)展和應(yīng)用。傳統(tǒng)物聯(lián)網(wǎng)安全缺乏有效的防御機(jī)制。在國(guó)家層面，缺乏物聯(lián)網(wǎng)大網(wǎng)級(jí)安全治理能力，特別是針對(duì)物聯(lián)網(wǎng)卡非法濫用取證、物聯(lián)網(wǎng)設(shè)備失陷過(guò)程溯源等缺乏有效的監(jiān)管技術(shù)手段。如何構(gòu)建物聯(lián)網(wǎng)行業(yè)的防御機(jī)制，是當(dāng)前物聯(lián)網(wǎng)安全領(lǐng)域的研究熱點(diǎn)[1]。

1 技術(shù)方案

整體技術(shù)方案架構(gòu)如圖1所示，主要包括異質(zhì)信息圖的構(gòu)建、異質(zhì)信息圖推理、線索關(guān)聯(lián)和動(dòng)態(tài)搜索3個(gè)方面。

1.1 基于物聯(lián)網(wǎng)設(shè)施網(wǎng)絡(luò)日志構(gòu)建異質(zhì)信息圖

針對(duì)物聯(lián)網(wǎng)設(shè)施海量異構(gòu)、網(wǎng)絡(luò)行為復(fù)雜多變的特征，根據(jù)物聯(lián)網(wǎng)設(shè)施的網(wǎng)絡(luò)日志，將物聯(lián)網(wǎng)設(shè)施從源地址向目的地址請(qǐng)求目標(biāo)URL的網(wǎng)絡(luò)行為，抽象成物聯(lián)網(wǎng)網(wǎng)絡(luò)行為的異質(zhì)信息圖。

定義一個(gè)異質(zhì)信息圖G=（V， E），其中V是G的節(jié)點(diǎn)集合，包括3種類型的節(jié)點(diǎn)，分別對(duì)應(yīng)物聯(lián)網(wǎng)設(shè)施、IP地址、URL，E是G的邊集合，包括物聯(lián)網(wǎng)設(shè)施接入IP地址、物聯(lián)網(wǎng)設(shè)施訪問(wèn)IP地址、物聯(lián)網(wǎng)設(shè)施請(qǐng)求URL、IP地址托管URL等[2-3]。物聯(lián)網(wǎng)網(wǎng)絡(luò)行為的異質(zhì)信息圖實(shí)例如圖2所示。

網(wǎng)絡(luò)模式（Network Schema）是對(duì)異構(gòu)圖的抽象表示，其以節(jié)點(diǎn)類型集合作為新的圖頂點(diǎn)集，連接關(guān)系集合作為邊集合，形成網(wǎng)絡(luò)概要，用于描述不同節(jié)點(diǎn)之間的連接關(guān)系，以捕獲局部結(jié)構(gòu)[4]。基于前述對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)行為的異質(zhì)信息圖的定義，物聯(lián)網(wǎng)網(wǎng)絡(luò)行為異質(zhì)信息圖的網(wǎng)絡(luò)模式如圖3所示。

輸入時(shí)間段T內(nèi)的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)日志，通過(guò)數(shù)據(jù)處理模塊，從結(jié)構(gòu)化的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)日志中抽取物聯(lián)網(wǎng)設(shè)施、IP地址、URL的網(wǎng)絡(luò)元素實(shí)體，并根據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)行為異質(zhì)信息圖的定義，實(shí)現(xiàn)對(duì)這3種網(wǎng)絡(luò)元素實(shí)體的關(guān)聯(lián)，迭代構(gòu)建出一個(gè)網(wǎng)絡(luò)行為異質(zhì)信息圖實(shí)例，全面描述時(shí)間段T內(nèi)海量異構(gòu)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)接入、網(wǎng)絡(luò)訪問(wèn)等行為[5-6]。

1.2 基于物聯(lián)網(wǎng)異常行為構(gòu)建智能識(shí)別模型

構(gòu)建物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)行為異質(zhì)信息圖后，在給定時(shí)間段內(nèi)就能全面描述海量異構(gòu)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)接入、網(wǎng)絡(luò)訪問(wèn)等行為。

1.2.1 關(guān)聯(lián)分析

鑒于發(fā)動(dòng)網(wǎng)絡(luò)攻擊、挖礦等惡意行為的攻擊者一般會(huì)進(jìn)行攻擊設(shè)備的復(fù)用，體現(xiàn)為同一惡意IP關(guān)聯(lián)的URL、跳板等可能與同一個(gè)攻擊組織相關(guān)。在一次攻擊行動(dòng)中，同一個(gè)惡意主機(jī)可能同時(shí)向多臺(tái)失陷設(shè)備分發(fā)惡意載荷，多臺(tái)失陷設(shè)備可能使用同一個(gè)惡意URL進(jìn)行控制命令傳輸，在物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)行為異質(zhì)信息圖中體現(xiàn)為訪問(wèn)同一個(gè)惡意IP或者同一個(gè)惡意URL的物聯(lián)網(wǎng)設(shè)備可能是同一個(gè)攻擊行動(dòng)的受害者。因此，基于物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)行為異質(zhì)信息圖中物聯(lián)網(wǎng)設(shè)施、IP地址、URL的關(guān)聯(lián)關(guān)系，借助圖推理算法，能夠?qū)崿F(xiàn)對(duì)海量異構(gòu)物聯(lián)網(wǎng)設(shè)備異常行為的識(shí)別[7]。

1.2.2 智能識(shí)別

采取基于傳導(dǎo)分類的圖推理算法構(gòu)建聯(lián)網(wǎng)異常行為智能識(shí)別模型。與歸納分類不同的是，申請(qǐng)傳導(dǎo)分類并不是從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)一般的決策函數(shù)，而是從特定的訓(xùn)練案例中推導(dǎo)出特定的測(cè)試案例，即用一小部分已知的標(biāo)簽去計(jì)算其他樣本的標(biāo)簽，但該方法需遵循一致性原則，所謂的一致性指節(jié)點(diǎn)結(jié)構(gòu)越相似，標(biāo)簽相同的可能性越大[8]。

利用少量的打標(biāo)種子數(shù)據(jù)（例如惡意IP地址、惡意URL等），基于網(wǎng)絡(luò)中的關(guān)聯(lián)關(guān)系，在網(wǎng)絡(luò)中傳播標(biāo)簽信息，實(shí)現(xiàn)基于少量打標(biāo)種子數(shù)據(jù)的大規(guī)模物聯(lián)網(wǎng)設(shè)施異常識(shí)別。具體而言，利用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息，不斷在網(wǎng)絡(luò)中傳遞標(biāo)簽信息，在完成一次傳遞后根據(jù)多數(shù)原則更新有節(jié)點(diǎn)標(biāo)簽，反復(fù)迭代，直至算法收斂得到處理結(jié)果。更新操作的數(shù)學(xué)模型為：

（1）

式中：N（i）為節(jié)點(diǎn)i的所有鄰居節(jié)點(diǎn)集合；li為當(dāng)前更新節(jié)點(diǎn)的標(biāo)簽信息；lj為與i節(jié)點(diǎn)臨近的節(jié)點(diǎn)j的標(biāo)簽數(shù)據(jù)。δ（lj， l）

函數(shù)輸入值相等則輸出0，反之輸出1。更新節(jié)點(diǎn)的方式：鄰居節(jié)點(diǎn)當(dāng)前時(shí)刻的標(biāo)簽決定了節(jié)點(diǎn)在上一次迭代時(shí)的標(biāo)簽更新情況，而傳統(tǒng)的鄰居節(jié)點(diǎn)當(dāng)前時(shí)刻的標(biāo)簽則決定了節(jié)點(diǎn)在當(dāng)前迭代時(shí)的標(biāo)簽更新情況，這種更新方式可以避免標(biāo)簽振蕩不收斂而致使多次劃分結(jié)果不同的情況出現(xiàn)[9]。

1.3 基于線索關(guān)聯(lián)和動(dòng)態(tài)搜索的物聯(lián)網(wǎng)攻擊定位

物聯(lián)網(wǎng)異常行為智能識(shí)別能夠從少量的打標(biāo)種子數(shù)據(jù)中識(shí)別出失陷的物聯(lián)網(wǎng)設(shè)施。基于識(shí)別出的失陷物聯(lián)網(wǎng)設(shè)施，通過(guò)線索關(guān)聯(lián)和動(dòng)態(tài)搜索，對(duì)失陷物聯(lián)網(wǎng)設(shè)施在時(shí)間維度和網(wǎng)絡(luò)空間（IP地址）維度進(jìn)行拓線，可以擴(kuò)大失陷物聯(lián)網(wǎng)設(shè)施檢測(cè)范圍，提高對(duì)物聯(lián)網(wǎng)攻擊事件的精準(zhǔn)定位[10]。物聯(lián)網(wǎng)設(shè)施攻擊定位如圖4所示。

對(duì)失陷物聯(lián)網(wǎng)設(shè)施的一輪拓線包括時(shí)間拓線和網(wǎng)絡(luò)空間拓線。由于物聯(lián)網(wǎng)設(shè)施在運(yùn)行過(guò)程中是動(dòng)態(tài)地接入IP地址實(shí)現(xiàn)對(duì)外通信，因此失陷物聯(lián)網(wǎng)設(shè)施的時(shí)間拓線是基于對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)訪問(wèn)日志的動(dòng)態(tài)搜索，向前追溯以及向后追蹤該失陷物聯(lián)網(wǎng)設(shè)施對(duì)IP地址和URL的訪問(wèn)行為，借助域名相似性、域名托管等關(guān)聯(lián)關(guān)系以及威脅情報(bào)等相關(guān)線索，識(shí)別出其中可能與攻擊行為相關(guān)的可疑IP地址和URL集合。可疑IP地址和URL集合一方面可用于后續(xù)的網(wǎng)絡(luò)空間維度拓線，另一方面在經(jīng)過(guò)驗(yàn)證后可用于更新構(gòu)建異質(zhì)信息圖推理模型的打標(biāo)種子數(shù)據(jù)。

失陷物聯(lián)網(wǎng)設(shè)施的網(wǎng)絡(luò)空間拓線是利用時(shí)間拓線獲得的擴(kuò)展可疑IP地址和URL集合，以及構(gòu)建的異質(zhì)信息圖，基于物聯(lián)網(wǎng)設(shè)施對(duì)可疑IP地址和URL的訪問(wèn)行為，從可疑IP地址和URL集合進(jìn)一步獲得擴(kuò)展的物聯(lián)網(wǎng)失陷設(shè)備。

通過(guò)對(duì)失陷物聯(lián)網(wǎng)設(shè)施進(jìn)行多輪的時(shí)間拓線和網(wǎng)絡(luò)空間拓線，以及迭代的打標(biāo)種子數(shù)據(jù)和異質(zhì)信息圖模型的更新和擴(kuò)展，可以實(shí)現(xiàn)2跳以上溯源追蹤以及非法攻擊者的精準(zhǔn)定位功能。

2 結(jié) 語(yǔ)

隨著5G網(wǎng)絡(luò)和物聯(lián)網(wǎng)應(yīng)用的深入發(fā)展，將暴露出越來(lái)越多的物聯(lián)網(wǎng)應(yīng)用安全問(wèn)題，這些問(wèn)題甚至?xí)蔀檎麄€(gè)物聯(lián)網(wǎng)應(yīng)用的薄弱環(huán)節(jié)。因此，加強(qiáng)物聯(lián)網(wǎng)安全變得更加重要，只有讓物聯(lián)網(wǎng)安全得到有效保障，才能對(duì)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步起到更好的推動(dòng)作用。本文提出的技術(shù)方案通過(guò)加強(qiáng)物聯(lián)網(wǎng)設(shè)施的功能配置和實(shí)時(shí)監(jiān)測(cè)，對(duì)減少物聯(lián)網(wǎng)設(shè)施被濫用，降低物聯(lián)網(wǎng)設(shè)施涉恐、涉詐的發(fā)生具有重要防范作用，能夠?yàn)槲锫?lián)網(wǎng)業(yè)務(wù)的高質(zhì)量發(fā)展保駕護(hù)航。

參考文獻(xiàn)

[1]穆超，楊明，楊明曌，等.基于數(shù)字證書(shū)識(shí)別及校驗(yàn)的物聯(lián)網(wǎng)固件安全檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].山東科學(xué)，2020，33（4）：131-135.

[2]車欣.適用于物聯(lián)網(wǎng)安全的機(jī)器學(xué)習(xí)方法綜述[J].人工智能，2023（4）：91-95.

[3]林培亮，張澤彬.智能安防物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)級(jí)安全與隱私控制[J].機(jī)電工程技術(shù)，2023，52（7）：252-253.

[4]李劍，董廷魯，李劼.基于證據(jù)理論物聯(lián)網(wǎng)安全態(tài)勢(shì)感知方法研究[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2022，8（2）：40-41.

[5]張歡，陸見(jiàn)光，唐向紅.面向沖突證據(jù)的改進(jìn)DS證據(jù)理論算法[J].北京航空航天大學(xué)學(xué)報(bào)，2020，46（3）：616-623.

[6]鄧勇，施文康，朱振福.一種有效處理沖突證據(jù)的組合方法[J].紅外與毫米波學(xué)報(bào)，2004（1）：27-32.

[7] SYE L K， KUMAR S S， TSCHOFENIG H. Securing the internet of things： a standardization perspective [J]. IEEE internet of things journal， 2014， 1（3）： 265-275.

[8]王妍，孫德剛，盧丹.美國(guó)網(wǎng)絡(luò)安全體系架構(gòu)[J].信息安全研究，2019，5（7）：582-585.

[9]劉峰，林東岱. 美國(guó)網(wǎng)絡(luò)空間安全體系[M].北京：科學(xué)出版社，2015.

[10] EL-HAJJ M， FADLALLAH A， CHAMOUN M， et al. A survey of internet of things （IoT） authentication schemes [J]. Sensors （Basel， Switzerland）， 2019， 19（5）： 1141.

作者簡(jiǎn)介：張建榮（1979—），男，安徽人，碩士，高級(jí)工程師，現(xiàn)任聯(lián)通數(shù)字科技有限公司高級(jí)副總裁兼安全事業(yè)部總經(jīng)理，主要從事網(wǎng)絡(luò)安全、云計(jì)算等業(yè)務(wù)創(chuàng)新及技術(shù)研究工作。

李 峰（1972—），男，博士，高級(jí)工程師，現(xiàn)任重慶聯(lián)通數(shù)字化部（信息安全部）總經(jīng)理，從事信息IT和安全方面工作。

童貞理（1974—），男，四川大竹人，碩士，高級(jí)通信工程師，從事通信技術(shù)方面工作。

劉 湘（1975—），男，湖南人，高級(jí)工程師，現(xiàn)在重慶聯(lián)通從事通信技術(shù)方面工作。

收稿日期：2024-01-09 修回日期：2024-02-27

基金項(xiàng)目：2023中國(guó)聯(lián)通核心技術(shù)攻關(guān)項(xiàng)目：面向網(wǎng)絡(luò)空間安全治理場(chǎng)景的物聯(lián)網(wǎng)安全體系研究及應(yīng)用（2023-HXGG-AA1-005）