《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于多維特征融合驗(yàn)證的物聯(lián)終端安全防護(hù)方法研究
基于多維特征融合驗(yàn)證的物聯(lián)終端安全防護(hù)方法研究
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 8期
吳飛龍,鄭劉瀟,徐墨,鎖志海,李虎群
(西安交通大學(xué)網(wǎng)絡(luò)信息中心,陜西西安710049)
摘要: 物聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普及為人們的生活帶來了諸多便利,但普遍部署在非受控環(huán)境的終端設(shè)備也時(shí)刻面臨物理攻擊、非法替換等安全隱患。設(shè)備接入驗(yàn)證是保障物聯(lián)終端及物聯(lián)網(wǎng)整體安全的關(guān)鍵,對(duì)此提出了一種基于多維特征融合驗(yàn)證的物聯(lián)終端安全防護(hù)方法,通過采集設(shè)備操作系統(tǒng)類型、開放端口、MAC地址、IP地址用以表征設(shè)備身份,與預(yù)設(shè)規(guī)則進(jìn)行比對(duì)后驗(yàn)證設(shè)備的合法性。實(shí)驗(yàn)表明,該方法在有效性和準(zhǔn)確性方面表現(xiàn)良好,且具有低部署成本、高檢測(cè)性能等優(yōu)勢(shì),具有一定的實(shí)用性和推廣價(jià)值。
中圖分類號(hào):TP309.1
文獻(xiàn)標(biāo)識(shí)碼:A
DOI:10.19358/j.issn.2097-1788.2023.08.008
引用格式:吳飛龍,鄭劉瀟,徐墨,等.基于多維特征融合驗(yàn)證的物聯(lián)終端安全防護(hù)方法研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(8):45-51.
Research on IoT terminal security protection method based on multidimensional feature fusion and verification
Wu Feilong,Zheng Liuxiao,Xu Mo,Suo Zhihai,Li Huqun
(The Network Information Center, Xi′an Jiaotong University, Xi′an 710049, China)
Abstract: The rapid development and widespread adoption of Internet of Things (IoT) technology have brought numerous conveniences to people′s lives. However, terminal devices deployed in uncontrolled environments are constantly exposed to security risks such as physical attacks and unauthorized replacements. Device authentication is a key factor in ensuring the security of IoT terminals and the overall IoT ecosystem. In this regard, a novel IoT terminal security protection method based on multidimensional feature fusion and trusted verification is proposed. This method collects device attributes such as operating system type, open ports, MAC addresses, and IP addresses to represent the device′s identity. By comparing these attributes with predefined rules, the legitimacy of the device is verified. Experimental results demonstrate that the proposed method exhibits good effectiveness and accuracy. It also offers advantages such as low deployment costs and high detection performance, making it practical and valuable for widespread adoption.
Key words : IoT terminal security; device legitimacy verification; operating system fingerprints

0    引言

隨著物聯(lián)網(wǎng)(Internet of Things,IoT)技術(shù)的快速發(fā)展和廣泛應(yīng)用,物聯(lián)終端成為了連接現(xiàn)實(shí)世界和數(shù)字世界的關(guān)鍵節(jié)點(diǎn)。物聯(lián)終端的智能化和互聯(lián)性為人們的生活帶來了極大的便利和效益,如智能家居、智能醫(yī)療、智能交通等。然而,隨著物聯(lián)終端的規(guī)模不斷增長(zhǎng),安全問題也逐漸浮現(xiàn)。大部分物聯(lián)網(wǎng)終端設(shè)備的計(jì)算資源較低,無(wú)法采用傳統(tǒng)互聯(lián)網(wǎng)安全防護(hù)技術(shù),抗攻擊能力較差。同時(shí),由于物聯(lián)網(wǎng)終端普遍部署在不受控制的無(wú)人值守環(huán)境中,容易遭受物理攻擊。此外,由于物聯(lián)網(wǎng)終端數(shù)量大、部署分散,升級(jí)成本高,用戶升級(jí)意愿低等因素,導(dǎo)致眾多物聯(lián)網(wǎng)終端長(zhǎng)期“帶病”運(yùn)行,易被惡意控制。據(jù)Gartner調(diào)查,近20%的企業(yè)或相關(guān)機(jī)構(gòu)在過去三年內(nèi)遭受了至少一次基于物聯(lián)網(wǎng)的攻擊。

企業(yè)物聯(lián)網(wǎng)一般為專用內(nèi)網(wǎng),一旦攻擊者通過終端破解或克隆替換的方式侵入物聯(lián)內(nèi)網(wǎng),就能夠以此為跳板攻擊其他物聯(lián)設(shè)備甚至物聯(lián)管理后臺(tái),為企業(yè)生產(chǎn)經(jīng)營(yíng)帶來安全隱患。因此,確保物聯(lián)終端的可信接入成為了當(dāng)前物聯(lián)網(wǎng)業(yè)界迫切需要解決的問題。雖然目前基于MAC地址、IP地址的網(wǎng)絡(luò)層安全防護(hù)措施已非常成熟,但由于以上特征靜態(tài)且易偽造,其能達(dá)到的安全防護(hù)水平極其有限,無(wú)法完全解決物聯(lián)網(wǎng)終端的信任問題。因此,為了更好地標(biāo)注和識(shí)別物聯(lián)網(wǎng)中的合法設(shè)備,除MAC地址與IP地址之外還需尋找可區(qū)分設(shè)備合法性的更多維度,通過多維度特征融合驗(yàn)證的方式彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)層防護(hù)存在的不足。

操作系統(tǒng)類型與服務(wù)端口可描述物聯(lián)終端的特征,且動(dòng)態(tài)可變,因而適合作為設(shè)備合法性驗(yàn)證的因素。本文提出一種基于多維特征融合驗(yàn)證的物聯(lián)終端安全防護(hù)方法,可有效地識(shí)別和篩選出物聯(lián)網(wǎng)中潛在的安全風(fēng)險(xiǎn)設(shè)備,通過iptables等防護(hù)措施對(duì)風(fēng)險(xiǎn)終端及時(shí)進(jìn)行阻斷,并將安全風(fēng)險(xiǎn)信息通過Zabbix客戶端實(shí)時(shí)傳送至后臺(tái)管理系統(tǒng),輔助運(yùn)維人員及時(shí)發(fā)現(xiàn)處理安全事件,從而提高物聯(lián)網(wǎng)的整體安全性。



本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000005466




作者信息:

吳飛龍,鄭劉瀟,徐墨,鎖志海,李虎群

(西安交通大學(xué)網(wǎng)絡(luò)信息中心,陜西西安710049)

微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。