高校圖書館物聯網安全的分析和對策

張宏霞

摘 要：隨著大數據時代和物聯網時代的到來，越來越多的設備可以連接到互聯網。同時，高校圖書館的物聯網設備也日益增加。如何防護高校圖書館的網絡安全是十分必要的。本文從三個方面提出了高校圖書館如何防護分布式拒絕服務攻擊，讓高校圖書館免于遭受損失。

關鍵詞：高校圖書館;網絡安全;僵尸網絡;分布式拒絕服務攻擊

由于信息化時代的到來，圖書館的數字化得到高速發展。與此同時，我們必須注意到高校圖書館的網絡安全。高校圖書館的網絡安全防護通常不足。近幾年，高速的物聯網讓學生和教師的生活和學習方面很方便，高校圖書館物聯網設備比傳??統計算機和移動電話更容易受到黑客的攻擊。當前的保護程序仍處于起步階段。高校圖書館更應該在物聯網安全方面投入更大的精力和時間。根據畢馬威2018年對全球物聯網市場的預測，全球物聯網市場將在6年內從5700億歐元增長到16200億歐元。由于網絡，設備和服務的異構性存在嚴重漏洞，尤其是分布式拒絕服務（DDoS）攻擊，因此它使用大量的IoT設備來耗盡網絡和受害資源。

1 分布式拒絕服務（DDoS）的定義

在20世紀的最后幾十年中，分布式拒絕服務（DDoS）在網絡安全方面是全世界關注的焦點。僵尸程序是可以自動執行預定義功能的僵尸網絡的基礎，預定義功能是可以由預定義指令控制的程序。 但是，僵尸程序不一定是惡意程序，但僵尸網絡中的僵尸程序旨在執行惡意功能。通過以某種方式將大量的僵尸程序組合成一個僵尸網絡。

僵尸網絡通常是指由僵尸程序組成的網絡，在該網絡中，僵尸網絡主程序出于惡意目的散布大量僵尸網絡，并以一對多的方式對其進行控制。由于僵尸網絡中的僵尸主機數量龐大且分布廣泛，因此與其他惡意程序相比，僵尸網絡更危險，更難以防御。

僵尸網絡的控制器和僵尸網絡之間存在一對多的控制關系。這種控制是高度可控的。當僵尸主機采取行動時，僵尸網絡的控制器無需登錄到受控實體，就可以進行攻擊。

網絡安全的設計和研發人員應確保適當的身份驗證機制安全，并提供數據完整性和機密性。這將保證互聯網的安全。

常見的DDoS攻擊主要用于兩個目的：1）降低系統性能;2）協助進行欺騙或身份驗證攻擊。

2 僵尸網絡的部署與溝通

近年來，常見的僵尸網絡程有Mirai，Hajime和HNS。以Mirai為例：最初，僵尸程序通過隨機掃描公共IP地址中TCP端口23或2323，并阻止其端口進行遠程管理。在高校圖書館中有許多物聯網設備可以訪問此端口。在Mirai發布的7個月內，大約有600，000臺設備感染了這種病毒。這足以看到僵尸程序的傳播性非常的廣。

以下是傳播Mirai的步驟：1）通過部署到網絡機器人使用窮舉法和弱密碼的方式發現和攻擊配置較弱的IoT設備的默認憑據。2）在破解并記錄了遠端路由的憑據之后，僵尸程序會通過不同的端口將各種設備特征轉發到報表服務器。3）僵尸管理員通過C&C服務器檢查新的潛在目標受害者和僵尸網絡的狀態。4）在僵尸網絡管理員確定感染哪些易受攻擊的設備之后，僵尸網絡管理員會在攻擊時添加特定的控制文本。5）將登錄程序加載到目標設備，并指示其下載并執行相應的惡意軟件腳本。該程序還具有自我保護功能。一旦執行了僵尸程序，它將關閉Telnet和Secure Shell服務以保護自己免受其他惡意軟件的侵害。6）僵尸管理員可以通過C&C服務器發出命令，以指示所有僵尸實例開始攻擊目標服務器。7）僵尸程序可以使用10種可用的攻擊形式。例如，GRE，TCP和HTTP Flood攻擊，攻擊目標服務器。

3 高校圖書館物聯網設備的DDoS攻擊防護

3.1 物聯網安全保護系統

物聯網設備的外部連接主要通過內部網絡芯片連接到外部。當前，許多物聯網設備使用NB-IoT協議。高校圖書館主要通過無線協議連接到網關，并通過網關連接到以太網。

3.2 DDoS攻擊具體防護建議

3.2.1 使用AntibIoTic工具

通過調研可以看到使用AntibIoTic工具可以有效保護物聯網免受DDoS攻擊。AntibIoTic具有以下特點：1）發布有用的數據和統計數據。AntibIoTic會收集數據并計算IoT安全性和僵尸網絡統計信息。最新數據可以實時發布并提供給任何感興趣的人。這些數據可以作為防控的參考。2）開源和界面。打開所有源代碼和接口，以便任何人都可以加入和改進AntibIoTic。3）清除受感染的設備。一旦授予了弱設備控制權，AntibIoTic蠕蟲將清除該設備以運行惡意軟件，并保護該設備免受其他入侵。4）自動通知設備所有者。當AntibIoTic蠕蟲從IoT設備中刪除惡意軟件時，AntibIoTic蠕蟲會嘗試通知設備所有者并告知設備所有者該設備容易受到攻擊。并給他一些解決方案的建議。5）保護易受攻擊的設備。如果IoT設備無法解決安全威脅，則AntibIoTic蠕蟲會保護設備免受入侵。例如，它可能會更改管理員密碼并更新固件。6）防止重啟。AntibIoTic可以跟蹤所有易受攻擊的設備，如果重新啟動受保護的設備，則可以在它們啟動并運行后立即重新啟動AntibIoTic。

3.2.2 使用NBC-MAIDS

使用NBC-MAIDS可以保護IoT免受DDoS攻擊。通過測量入侵和異常用戶活動來防止DDoS攻擊。部署不容易受到攻擊的系統非常困難且昂貴。IDS分析由用戶操作生成的事件和操作，并可以感知由惡意節點生成的可疑和不良活動。IDS提供了一些有用的準備信息來保護IoT設備。系統可以使用該信息來防止進一步或不希望的入侵。通過部署來部署IDS，系統能夠識別和阻止未經授權的用戶。IDS可以保護合法用戶的使用，并防止合法用戶濫用其權限。

3.2.3 部署多代理系統（MAS）

但是，物聯網安全提供商可以部署多代理系統（MAS）。每個代理使用單獨的控制算法，并可以在需要時與其他代理通信。在入侵檢測中，多主體可以通過在它們之間分配職責來顯著減少網絡中節點的工作量。基于代理的IDS提供了通過分布式IDS劃分工作負載的想法，這可以提高網絡操作的速度。基于多代理IDS的貝葉斯算法我們的動機是為物聯網基礎設施的網絡層提供檢測和預防DDoS攻擊的解決方案。在網絡操作中斷之前，系統將提示如何正確執行網絡操作以提高網絡可用性。NB-MAIDS工作是一個基于代理的入侵檢測系統，用于保護物聯網中的連接對象。貝葉斯算法用于對通過監視網絡操作收集的事件數據進行分類。

4 結論

本文主要介紹了物聯網設備和DDoS攻擊背后的主要思想，并提出了三種防止DDoS攻擊的解決方案。物聯網設備現已完全融入高校圖書館中，大量的物聯網設備存在安全風險。隨著環境和威脅的變化，安全保護的觀念也在逐漸變化。高校圖書館物聯網設備的碎片化和動態特性使其難以僅依靠安全廠商進行常規保護。高校的網絡工程安全人員應該考慮這方面的防護。同時，高校也應該加強互聯網安全的課程，可以讓同學們從高校圖書館的網絡安全部署中學到書本上學不到的知識。

參考文獻

[1]王鵬飛.基于周期性通訊行為的P2P僵尸網絡檢測[D].山東大學，2018.

[2]孫恩博.高速網絡環境下的P2P僵尸網絡檢測方法研究[D].電子科技大學，2016.

[3]衛丹.面向云計算的DDoS攻擊檢測技術研究[D].天津理工大學，2018.