基于嵌入式及ASG技術的物聯網節點捕獲攻擊檢測系統

葉小波

(廣東科學技術職業學院 教務部，廣東 珠海 519090)

0 引言

物聯網是以傳統電信網絡和應用互聯網為基礎，構建的新型信息承載體平臺，可以將具有獨立尋址能力的普通對象節點連接起來，從而在主機端模塊中形成完整的互聯網絡。隨著物聯網運行速率的加快，網絡內部數據信息樣本的實時累積量也會不斷增大，而其中所夾雜的風險性信息則會對其他數據文本造成攻擊影響。因此，精準檢測攻擊節點所在位置，并對其進行定向化捕獲，是保障物聯網運行穩定性的必要條件。

文獻[1]系統利用邏輯程序軟件，判斷攻擊性節點對于數據信息樣本的承載能力，再通過多次對比已定義節點與周圍區域性節點組織之間差異性的方式，來判斷節點對象大致所屬區域。文獻[2]系統借助OpenFlow軟件，將節點對象與數據樣本匹配起來，根據NC原則，判斷攻擊性節點對象在網絡環境中所處運行位置。然而上述兩種系統均不能精準檢測攻擊性節點位置信息，無法滿足執行后續捕獲處理指令的定向性需求。

物聯網和嵌入式存在密不可分的關系，物聯網就是嵌入式產品的網絡化。嵌入式系統是由軟件、硬件部分共同組成的應用體系平臺，具有獨立運行能力。其軟件部分的組成情況相對較為簡單，只包括基礎運行環境與操作程序；硬件部分則包括處理器、通信模塊、存儲器等多個運行結構，可以在核心主機的調度下，響應終端平臺發出的程序指令[3]。相較于常規的計算機處理系統，嵌入式系統雖然沒有配置大容量的數據存儲介質，但卻可以借助多個開放的API接口組織，實現對運行數據的轉存與處理。ASG技術的核心執行目的就是對蠕蟲特征的提取過程進行自動化處理，從而在抑制蠕蟲數據轉發速率的同時，增強網絡體系的運行穩定性[4]。為避免蠕蟲數據在網絡體系中占據大量存儲空間，在實施信息計算之前，必須準確定義每一個蠕蟲對象的傳輸特征，特別是在執行指令轉發任務之前，必須確保已定義對象樣本準確轉存至目標數據庫主機之中。基于上述分析，設計基于嵌入式及ASG技術的物聯網節點捕獲攻擊檢測系統。

1 物聯網節點捕獲攻擊檢測系統硬件設計

物聯網節點捕獲攻擊檢測系統硬件設計，包括對數據報文捕獲模塊、數據報文解析模塊、報文處理模塊等多個硬件應用結構的設計，本章節將針對具體設計方法展開研究，基于嵌入式及ASG技術設計物聯網節點捕獲攻擊檢測系統結構如圖1所示。

圖1 物聯網節點捕獲攻擊檢測系統結構圖

在圖1中，通過API接口組織轉存數據信息，該結構利用數據報文捕獲模塊、數據報文解析模塊、報文處理模塊、攻擊檢測與定位模塊和節點調試模塊對數據樣本進行處理，為建立防御機制、實現檢測奠定基礎。

1.1 數據報文捕獲模塊

數據報文捕獲模塊的實現主要借助Libpcap主機中的物聯網信息調度函數，整個執行過程較長，需要多個設備元件的共同配合。NULL芯片負責提取物聯網主機中存儲的數據信息樣本，并借助輸出信道組織，將這些信息參量按需分配至下級負載節點，由于每一個節點對象都對應一個獨立的數據庫主機，所以在捕獲數據報文的過程中，并不會出現信息錯傳、誤傳的現象[5]。ProcessPkt芯片具有較強的信息處理與信息辨別能力，可以對Libpcap主機捕獲到的數據樣本進行初步分類，在處理過程中，來源于攻擊性節點的信息參量會被存儲于嵌入式數據庫設備中，而來源于常規節點的信息參量則可以經由信道傳輸組織，在系統核心數據庫設備中形成長期記憶文件，以供檢測主機的直接調取與利用。在物聯網體系中，數據樣本傳輸行為具有明顯的方向性，所以為避免信息回傳行為的出現，每一個目標節點都只能與一個獨立數據庫主機保持對應連接關系[6]。數據報文捕獲模塊結構如圖2所示。

圖2 數據報文捕獲模塊

在物聯網節點捕獲攻擊檢測系統中，數據報文捕獲模塊只負責采集信息樣本，故為維持系統的穩定運行能力，所采集到的數據參量還必須隨著信息流進入下級應用模塊之中。

1.2 數據報文解析模塊

數據報文解析模塊對于物聯網信息樣本的處理遵循的操作原則如圖3所示。

圖3 物聯網數據報文解析格式

為使系統檢測主機能夠對攻擊性節點對象進行精準捕獲，數據報文解析模塊對于信息樣本的處理主要遵循如下四類原則：

1)CRC型：模塊主機首先獲取數據報文的目標地址，并根據源地址編碼結果，判斷數據信息所屬類型，將完成解析的數據對象定義為樣本信息，并為其添加.CRC后綴描述。

2)IP數據包：作為物聯網環境中的主要數據類型，模塊主機對其進行的前期解析處理行為與.CRC型數據樣本相同，但在完成數據打包處理后，則必須將原樣本與報文捕獲模塊所記錄的數據樣本進行對比。

3)RARP請求/應答：模塊主機所能解析處理的主要數據報文類型，存儲模式相對較為單一，在檢測系統中的傳輸行為需要多個應用節點的共同配合[7-8]。

4)節點填充信息：對于數據報文解析模塊而言，已提取到數據樣本中節點填充信息的含量越大，就表示模塊主機在單位時間內所需處理的數據樣本越多，因此該類型信息參量實際存儲情況直接影響系統主機對于物聯網節點攻擊性行為的檢測與捕獲處理能力。

1.3 報文處理模塊

在報文處理模塊中，系統主機將直接根據解析模塊執行結果來判斷當前樣本是否符合實際檢測需求。如果當前報文屬于攻擊性報文類別，則直接將其丟棄，同時將該類型信息收入系統黑名單之中，并再次捕獲其他信息樣本，以避免其對系統主機造成二次攻擊[9]。在實現報文處理的過程中，對于可能發生的物聯網節點IP錯亂問題，系統主機可以按照報文處理模塊運行原理進行處理，如圖4所示。

圖4 報文處理模塊運行原理

圖4中，報文處理模塊主要有SYN設備和UDP設備，通過判斷攻擊性報文、攻擊源地址、響應時間、黑名單等信息處理報文。發生IP錯亂問題時，同一類型數據報文的攻擊性等級、源地址信息等屬性條件都會發生錯亂，而SYN設備、UDP設備的存在，則可以在正式執行檢測指令之間，對已發生屬性錯亂的信息樣本進行復原處理。SYN設備、UDP設備作為報文處理模塊的核心組成結構，對于報文捕獲模塊采集到的數據樣本，可以同時判斷其攻擊性等級、源地址信息、響應時間等屬性條件[10]。SYN設備的運行等級較高，在單位時間內所能處理的數據報文也就相對較多；UDP設備的運行等級較低，但由于其響應速率較快，故而在單位時間內可以對捕獲到的數據報文進行多次識別。

1.4 攻擊檢測與定位模塊

攻擊檢測與定位模塊是包含兩條執行路徑的硬件應用結構，檢測部分確定物聯網節點所捕獲信息樣本的攻擊性能力，定位部分負責對已捕獲數據所處位置進行精準定位。

1)攻擊檢測部分：模塊體系攻擊檢測能力的實現需借助Check主機。在物聯網環境中，數據信息經由捕獲模塊、解析模塊、處理模塊進入該模塊體系之中，其所包含攻擊性信息對于網絡節點的影響能力已經減弱。但對于核心網絡執行設備而言，任何細小的攻擊性行為都有可能導致系統運行出現偏差，故而該條執行路徑的最主要運行職能就是為物聯網節點提供絕對安全的數據信息樣本[11]。

2)攻擊定位部分：定位部分作為檢測部分的下級附屬結構，不具備捕獲數據信息樣本的能力，且該部分運行設備不與報文處理模塊建立數據互傳關系，其內部運行的所有信息全部來自模塊體系內的上級執行結構[12]。由于信息樣本在模塊內傳輸依然存在一定程度的損耗，所以在設置攻擊定位子模塊時，要設置一個具有輸出能力的數據庫主機，以用于補充被攻擊檢測子模塊消耗的信息參量。

1.5 節點調試模塊

當物聯網節點的位置發生變化時，節點調試模塊能夠精準感知到該變化，并能夠及時更新攻擊檢測與定位模塊中的數據報文特征，如信息接收強度、信息目標傳輸區域等。運行檢測指令時，核心檢測主機與物聯網接入點間距離的變化可能會導致數據報文存儲格式發生變化[13]。該模塊在面對上述問題時，采取零散布局物聯網節點的方式，為數據報文提供一個相對廣泛的傳輸空間，使其在節點與節點之間的連接不受任何束縛，即便是在攻擊性信息、非攻擊性信息混雜的情況下，這些數據樣本的源地址信息也不會改變，這也是該模塊的最主要運行目的。具體的節點調試模塊連接結構如圖5所示。

圖5 節點調試模塊結構簡圖

由圖5可以看出，通過AP過濾裝置、數據分辨器、節點聚合器、Json節點處理器、JDBC調試設備五部分組成了節點調試模塊的運行閉環。數據報文在Json節點處理器、JDBC調試設備之間來回反饋時，數據分辨器根據主要判別依據，確定當前捕獲信息的攻擊作用能力，若其行為能力過強，則經由AP過濾裝置再次回到節點調試模塊的前端運行部分，跟隨未檢測數據報文進行再次反饋傳輸；若其行為能力符合系統主機的檢測需求，節點聚合器對這些數據報文進行打包處理，并將其回傳至物聯網節點之中[14]。

2 嵌入式物聯網的基礎防御機制

物聯網防御機制對攻擊性數據報文起到了一定的抵御作用，為實現系統主機對于攻擊性節點的精準捕獲與檢測，完善防御機制構建原則，按照嵌入式物聯網的運行需求，完成加密、解密、秘鑰管理與檢測節點認證。

2.1 加密、解密與秘鑰管理

加密、解密、秘鑰管理是3個完全獨立的處理流程。加密就是借助密碼模板定義物聯網檢測信息的編碼格式；解密的執行流程則與加密完全相反，但兩者對于物聯網檢測信息的處理遵循統一的密碼模板；秘鑰管理就是在物聯網環境中開辟獨立空間，以用于編寫密碼模板[15-16]。物聯網節點捕獲攻擊檢測系統對于加密、解密、秘鑰管理表達式的求解滿足如下公式。

加密表達式：

(1)

解密表達式：

(2)

秘鑰管理表達式：

(3)

2.2 節點認證

節點認證就是系統主機基于加密、解密與秘鑰管理思想所制定的防御機制考核原則，對于嵌入式物聯網體系而言，數據報文捕獲模塊所提取到的信息不具有針對性，隨著系統主機的持續運行，這些信息樣本會傳輸至各個網絡節點之中，這也增加了針對性檢測指令的執行難度[17-18]。而節點認證原則可以有效避免上述問題的出現，處理數據報文捕獲模塊所提取到的信息樣本之前，系統主機將能夠承擔攻擊性風險的節點對象挑選出來，并對其進行重點檢測，不但可以避免攻擊性信息的擴散，還能夠大大增強嵌入式物聯網體系對于攻擊性行為的防御能力。對于節點認證定義式的推導滿足式(4)：

(4)

3 基于ASG技術的檢測指令實現方法

為增強物聯網節點捕獲攻擊檢測系統的精準檢測能力，還需要在ASG技術的支持下，收集并檢測嵌入式物聯網環境中的蠕蟲樣本，計算其分發特征的具體數值。

3.1 基本蠕蟲檢測

實現ASG技術的第一步就是實施蠕蟲檢測，只有所收集到攻擊性蠕蟲信息的實例足夠多，才能以此為基礎制定物聯網主機所遵循的檢測執行指令[19-20]。規定d1、d2、…、dn表示n個隨機選取的蠕蟲行為特征，其定義式如下：

(5)

式中，γ1、γ2、…、γn為n個不相等的ASG執行系數，g1、g2、…、gn為隨機選取的蠕蟲信息實例標記參數。

根據式(4)、式(5)，可將基于ASG技術的基本蠕蟲檢測表達式定義為：

(6)

其中：f為節點規劃系數，φ為蠕蟲行為在物聯網環境中的嵌入式特征，φ為蠕蟲樣本定義特征。

在嵌入式物聯網環境中，為準確捕獲節點攻擊行為，必須正確發現所有隱藏的蠕蟲行為。衡量系統主機所執行檢測指令是否具備可行性，應針對蠕蟲行為特征進行甄別，以此精準捕獲攻擊性信息。

3.2 蠕蟲樣本收集

根據基本蠕蟲檢測標準，選定一個關鍵蠕蟲信息，并針對該信息進行針對性運算的處理環節就是對蠕蟲樣本的收集。系統主機對于物聯網節點攻擊行為的捕獲與檢測必須遵循ASG技術原理，而判斷所收集到蠕蟲樣本能否滿足檢測嵌入式物聯網節點的應用需求，才是捕獲攻擊性信息樣本的基礎環節[21-22]。在集合空間中選定一個關鍵檢測參量j，對其取值范圍進行約束如式(7)所示：

(7)

(8)

若ιj>νj成立，表示攻擊性信息樣本累積量大于非攻擊性信息樣本，利用ASG技術檢測蠕蟲行為時，應利用相關硬件應用設備對物聯網信息參量進行多次捕獲。

3.3 特征生成與分發處理

特征生成與分發處理就是根據蠕蟲樣本收集結果，將必要檢測特征提取出來，再遵循ASG技術應用原則，將這些信息樣本反饋至系統主機中，以供其制定運行所需的捕獲處理與檢測執行指令[23-24]。設m1、m2、…、mn表示物聯網節點中n個已經生成的蠕蟲行為特征，b1、b2、…、bn表示與蠕蟲行為特征匹配的信息分發系數，聯立式(8)，推導物聯網節點捕獲攻擊檢測系統的特征生成與分發處理表達式為：

(9)

在不考慮其他干擾條件的情況下，聯合相關軟、硬件應用結構，完成基于嵌入式及ASG技術的物聯網節點捕獲攻擊檢測系統設計，具體設計步驟如圖6所示。

圖6 基于嵌入式及ASG技術設計物聯網節點捕獲攻擊檢測系統

由圖6可知，通過API接口組織轉存數據信息，利用數據報文捕獲模塊捕獲節點攻擊數據，采用數據報文解析模塊、報文處理模塊、攻擊檢測與定位模塊和節點調試模塊對數據樣本進行處理，采用加密、解密與秘鑰管理機制和節點認證機制完成基礎的網絡防御，檢測蠕蟲后收集蠕蟲樣本，生成樣本特征，提取必要特征后完成檢測。

4 實驗分析

4.1 實驗設置

為驗證基于嵌入式及ASG技術的物聯網節點捕獲攻擊檢測系統的有效性，利用如表1所示的實驗設備選型搭建如圖7所示的物聯網實驗環境。

表1 實驗設備選型

圖7 物聯網實驗環境

圖7中，應用UTX-3117雙網口設備為物聯網邊緣智能網關，將實驗數據輸入至TL-WDN5200H網卡中，再傳輸到74HC595PW寄存器和i7-13700K 13處理器中，完成信息反饋，將最終數據輸出到SQL數據庫中。

由于TL-WDN5200H網卡不能自主控制數據樣本的輸入與輸出行為，所以實驗過程中必須通過人工干預的方式，控制數據樣本的傳輸方向。

將文獻[1]系統和文獻[2]系統作為對比系統，分析三組不同檢測系統作用下，物聯網主機對于攻擊性信息樣本的定向化捕獲與處理能力。

4.2 實驗步驟

物聯網主機對于攻擊性節點位置信息的檢測準確性由數據樣本檢測長度、攻擊性強度標記值兩個指標共同決定。

首先，搭建如圖6所示的物聯網實驗環境，分別利用所設計系統、文獻[1]系統、文獻[2]系統，對主機元件所捕獲到的信息樣本進行檢測；

其次，分別記錄三組不同檢測系統作用下，數據樣本檢測長度與攻擊性強度標記值指標的具體數值；

再次，按照式(10)，對所得數據進行運算；

(10)

式中，η為檢測精準度，σ1為數據樣本實際長度，σ2為數據樣本檢測長度，ξ為攻擊性強度標記值。

最后，統計所得計算結果，總結實驗規律。

4.3 實驗結果

基于上述實驗設置和實驗步驟，得到三組不同檢測系統作用下，數據樣本的實際長度與檢測長度如圖8所示。

圖8 數據樣本長度

由圖8可知，在檢測過程中，所設計系統檢測的數據樣本長度與實際樣本長度一致，證明所設計系統的檢測能力更佳，而文獻[1]系統和文獻[2]系統檢測的數據樣本長度與實際樣本長度存在一定的偏差，檢測能力還需進一步提升。

得到三組不同檢測系統作用下，攻擊性強度標記值的實驗結果如圖9所示。

圖9 攻擊性強度標記值

在圖9中，所設計系統的攻擊性強度標記值與實際數值的數據重合，證明所設計系統對攻擊性強度的標記更加準確，檢測效果更好。而文獻[1]系統和文獻[2]系統對攻擊性強度的標記值較低，且與實際數據的差距較大，檢測效果還需加強。

物聯網主機對于攻擊性節點所在位置的檢測精確性，決定了該網絡對于攻擊性信息樣本的定向化捕獲與處理能力，通常情況下，檢測精準度大于95%，表示網絡體系對于攻擊性信息樣本的定向化捕獲與處理能力較強。選擇圖7中的最大值實驗結果，并對應該結果，確定當前情況下，攻擊性強度標記指標的具體數值，按照式(10)，對所設計系統、文獻[1]系統、文獻[2]系統的檢測精準度進行計算，得到三組不同檢測系統作用下的檢測精準度對比結果如表2所示。

表2 三組不同檢測系統的檢測精準度對比結果

根據表2可知，當實驗次數達到40次時，文獻[1]系統和文獻[2]系統的平均檢測精準度分別為89.2%和92.4%，而所設計系統的平均檢測精準度高達96.7%。由此可知，所設計系統的檢測精確性較高。

實驗結論：文獻[1]系統、文獻[2]系統的檢測精準度均未達到95%，因此，這兩類系統并不滿足定向化處理物聯網攻擊信息的實際應用需求；而所設計系統的檢測準確度達到了96.7%，能夠精準檢測攻擊性節點所處位置，并對其實施定向化捕獲處理。

5 結束語

本文設計了物聯網節點捕獲攻擊檢測系統，在ASG技術的支持下，針對嵌入式物聯網主機不能精準檢測攻擊性節點所在位置的問題進行改進，聯合解析模塊、節點調試模塊等多個硬件應用設備，在建立完整防御機制的同時，收集蠕蟲樣本，并對其分發特征進行計算。從實驗結果可以看出，這種新型檢測系統的應用，可以大幅提升物聯網主機對于攻擊性節點信息的檢測準確性，在定向化捕獲數據樣本并對其進行深入檢測方面，具有突出應用價值。