摘 要：針對物聯(lián)網(wǎng)異常識別技術(shù)手段缺乏這一問題，通過對物聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問行為進行建模，構(gòu)建基于異質(zhì)信息圖的物聯(lián)網(wǎng)設(shè)施網(wǎng)絡(luò)行為信息圖，通過對線索的動態(tài)關(guān)聯(lián)和搜索，實現(xiàn)對物聯(lián)網(wǎng)攻擊的準(zhǔn)確定位。該方法具備在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境下識別物聯(lián)網(wǎng)設(shè)施異常行為的能力，對物聯(lián)網(wǎng)應(yīng)用安全具有十分重要的意義。

關(guān)鍵詞：物聯(lián)網(wǎng)安全；異質(zhì)信息圖；網(wǎng)絡(luò)模式；動態(tài)關(guān)聯(lián)；異常行為；網(wǎng)絡(luò)日志

中圖分類號：TP391 文獻標(biāo)識碼：A 文章編號：2095-1302（2025）02-00-02

0 引 言

近年來，5G網(wǎng)絡(luò)的商用極大推動了物聯(lián)網(wǎng)技術(shù)在安防、醫(yī)療、零售、教育、辦公、能源等多個領(lǐng)域的發(fā)展和應(yīng)用。傳統(tǒng)物聯(lián)網(wǎng)安全缺乏有效的防御機制。在國家層面，缺乏物聯(lián)網(wǎng)大網(wǎng)級安全治理能力，特別是針對物聯(lián)網(wǎng)卡非法濫用取證、物聯(lián)網(wǎng)設(shè)備失陷過程溯源等缺乏有效的監(jiān)管技術(shù)手段。如何構(gòu)建物聯(lián)網(wǎng)行業(yè)的防御機制，是當(dāng)前物聯(lián)網(wǎng)安全領(lǐng)域的研究熱點[1]。

1 技術(shù)方案

整體技術(shù)方案架構(gòu)如圖1所示，主要包括異質(zhì)信息圖的構(gòu)建、異質(zhì)信息圖推理、線索關(guān)聯(lián)和動態(tài)搜索3個方面。

1.1 基于物聯(lián)網(wǎng)設(shè)施網(wǎng)絡(luò)日志構(gòu)建異質(zhì)信息圖

針對物聯(lián)網(wǎng)設(shè)施海量異構(gòu)、網(wǎng)絡(luò)行為復(fù)雜多變的特征，根據(jù)物聯(lián)網(wǎng)設(shè)施的網(wǎng)絡(luò)日志，將物聯(lián)網(wǎng)設(shè)施從源地址向目的地址請求目標(biāo)URL的網(wǎng)絡(luò)行為，抽象成物聯(lián)網(wǎng)網(wǎng)絡(luò)行為的異質(zhì)信息圖。

定義一個異質(zhì)信息圖G=（V， E），其中V是G的節(jié)點集合，包括3種類型的節(jié)點，分別對應(yīng)物聯(lián)網(wǎng)設(shè)施、IP地址、URL，E是G的邊集合，包括物聯(lián)網(wǎng)設(shè)施接入IP地址、物聯(lián)網(wǎng)設(shè)施訪問IP地址、物聯(lián)網(wǎng)設(shè)施請求URL、IP地址托管URL等[2-3]。物聯(lián)網(wǎng)網(wǎng)絡(luò)行為的異質(zhì)信息圖實例如圖2所示。

網(wǎng)絡(luò)模式（Network Schema）是對異構(gòu)圖的抽象表示，其以節(jié)點類型集合作為新的圖頂點集，連接關(guān)系集合作為邊集合，形成網(wǎng)絡(luò)概要，用于描述不同節(jié)點之間的連接關(guān)系，以捕獲局部結(jié)構(gòu)[4]?；谇笆鰧ξ锫?lián)網(wǎng)網(wǎng)絡(luò)行為的異質(zhì)信息圖的定義，物聯(lián)網(wǎng)網(wǎng)絡(luò)行為異質(zhì)信息圖的網(wǎng)絡(luò)模式如圖3所示。

輸入時間段T內(nèi)的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)日志，通過數(shù)據(jù)處理模塊，從結(jié)構(gòu)化的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)日志中抽取物聯(lián)網(wǎng)設(shè)施、IP地址、URL的網(wǎng)絡(luò)元素實體，并根據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)行為異質(zhì)信息圖的定義，實現(xiàn)對這3種網(wǎng)絡(luò)元素實體的關(guān)聯(lián)，迭代構(gòu)建出一個網(wǎng)絡(luò)行為異質(zhì)信息圖實例，全面描述時間段T內(nèi)海量異構(gòu)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)接入、網(wǎng)絡(luò)訪問等行為[5-6]。

1.2 基于物聯(lián)網(wǎng)異常行為構(gòu)建智能識別模型

構(gòu)建物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)行為異質(zhì)信息圖后，在給定時間段內(nèi)就能全面描述海量異構(gòu)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)接入、網(wǎng)絡(luò)訪問等行為。

1.2.1 關(guān)聯(lián)分析

鑒于發(fā)動網(wǎng)絡(luò)攻擊、挖礦等惡意行為的攻擊者一般會進行攻擊設(shè)備的復(fù)用，體現(xiàn)為同一惡意IP關(guān)聯(lián)的URL、跳板等可能與同一個攻擊組織相關(guān)。在一次攻擊行動中，同一個惡意主機可能同時向多臺失陷設(shè)備分發(fā)惡意載荷，多臺失陷設(shè)備可能使用同一個惡意URL進行控制命令傳輸，在物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)行為異質(zhì)信息圖中體現(xiàn)為訪問同一個惡意IP或者同一個惡意URL的物聯(lián)網(wǎng)設(shè)備可能是同一個攻擊行動的受害者。因此，基于物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)行為異質(zhì)信息圖中物聯(lián)網(wǎng)設(shè)施、IP地址、URL的關(guān)聯(lián)關(guān)系，借助圖推理算法，能夠?qū)崿F(xiàn)對海量異構(gòu)物聯(lián)網(wǎng)設(shè)備異常行為的識別[7]。

1.2.2 智能識別

采取基于傳導(dǎo)分類的圖推理算法構(gòu)建聯(lián)網(wǎng)異常行為智能識別模型。與歸納分類不同的是，申請傳導(dǎo)分類并不是從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)一般的決策函數(shù)，而是從特定的訓(xùn)練案例中推導(dǎo)出特定的測試案例，即用一小部分已知的標(biāo)簽去計算其他樣本的標(biāo)簽，但該方法需遵循一致性原則，所謂的一致性指節(jié)點結(jié)構(gòu)越相似，標(biāo)簽相同的可能性越大[8]。

利用少量的打標(biāo)種子數(shù)據(jù)（例如惡意IP地址、惡意URL等），基于網(wǎng)絡(luò)中的關(guān)聯(lián)關(guān)系，在網(wǎng)絡(luò)中傳播標(biāo)簽信息，實現(xiàn)基于少量打標(biāo)種子數(shù)據(jù)的大規(guī)模物聯(lián)網(wǎng)設(shè)施異常識別。具體而言，利用網(wǎng)絡(luò)拓撲結(jié)構(gòu)信息，不斷在網(wǎng)絡(luò)中傳遞標(biāo)簽信息，在完成一次傳遞后根據(jù)多數(shù)原則更新有節(jié)點標(biāo)簽，反復(fù)迭代，直至算法收斂得到處理結(jié)果。更新操作的數(shù)學(xué)模型為：

（1）

式中：N（i）為節(jié)點i的所有鄰居節(jié)點集合；li為當(dāng)前更新節(jié)點的標(biāo)簽信息；lj為與i節(jié)點臨近的節(jié)點j的標(biāo)簽數(shù)據(jù)。δ（lj， l）

函數(shù)輸入值相等則輸出0，反之輸出1。更新節(jié)點的方式：鄰居節(jié)點當(dāng)前時刻的標(biāo)簽決定了節(jié)點在上一次迭代時的標(biāo)簽更新情況，而傳統(tǒng)的鄰居節(jié)點當(dāng)前時刻的標(biāo)簽則決定了節(jié)點在當(dāng)前迭代時的標(biāo)簽更新情況，這種更新方式可以避免標(biāo)簽振蕩不收斂而致使多次劃分結(jié)果不同的情況出現(xiàn)[9]。

1.3 基于線索關(guān)聯(lián)和動態(tài)搜索的物聯(lián)網(wǎng)攻擊定位

物聯(lián)網(wǎng)異常行為智能識別能夠從少量的打標(biāo)種子數(shù)據(jù)中識別出失陷的物聯(lián)網(wǎng)設(shè)施。基于識別出的失陷物聯(lián)網(wǎng)設(shè)施，通過線索關(guān)聯(lián)和動態(tài)搜索，對失陷物聯(lián)網(wǎng)設(shè)施在時間維度和網(wǎng)絡(luò)空間（IP地址）維度進行拓線，可以擴大失陷物聯(lián)網(wǎng)設(shè)施檢測范圍，提高對物聯(lián)網(wǎng)攻擊事件的精準(zhǔn)定位[10]。物聯(lián)網(wǎng)設(shè)施攻擊定位如圖4所示。

對失陷物聯(lián)網(wǎng)設(shè)施的一輪拓線包括時間拓線和網(wǎng)絡(luò)空間拓線。由于物聯(lián)網(wǎng)設(shè)施在運行過程中是動態(tài)地接入IP地址實現(xiàn)對外通信，因此失陷物聯(lián)網(wǎng)設(shè)施的時間拓線是基于對物聯(lián)網(wǎng)網(wǎng)絡(luò)訪問日志的動態(tài)搜索，向前追溯以及向后追蹤該失陷物聯(lián)網(wǎng)設(shè)施對IP地址和URL的訪問行為，借助域名相似性、域名托管等關(guān)聯(lián)關(guān)系以及威脅情報等相關(guān)線索，識別出其中可能與攻擊行為相關(guān)的可疑IP地址和URL集合?？梢蒊P地址和URL集合一方面可用于后續(xù)的網(wǎng)絡(luò)空間維度拓線，另一方面在經(jīng)過驗證后可用于更新構(gòu)建異質(zhì)信息圖推理模型的打標(biāo)種子數(shù)據(jù)。

失陷物聯(lián)網(wǎng)設(shè)施的網(wǎng)絡(luò)空間拓線是利用時間拓線獲得的擴展可疑IP地址和URL集合，以及構(gòu)建的異質(zhì)信息圖，基于物聯(lián)網(wǎng)設(shè)施對可疑IP地址和URL的訪問行為，從可疑IP地址和URL集合進一步獲得擴展的物聯(lián)網(wǎng)失陷設(shè)備。

通過對失陷物聯(lián)網(wǎng)設(shè)施進行多輪的時間拓線和網(wǎng)絡(luò)空間拓線，以及迭代的打標(biāo)種子數(shù)據(jù)和異質(zhì)信息圖模型的更新和擴展，可以實現(xiàn)2跳以上溯源追蹤以及非法攻擊者的精準(zhǔn)定位功能。

2 結(jié) 語

隨著5G網(wǎng)絡(luò)和物聯(lián)網(wǎng)應(yīng)用的深入發(fā)展，將暴露出越來越多的物聯(lián)網(wǎng)應(yīng)用安全問題，這些問題甚至?xí)蔀檎麄€物聯(lián)網(wǎng)應(yīng)用的薄弱環(huán)節(jié)。因此，加強物聯(lián)網(wǎng)安全變得更加重要，只有讓物聯(lián)網(wǎng)安全得到有效保障，才能對經(jīng)濟發(fā)展和社會進步起到更好的推動作用。本文提出的技術(shù)方案通過加強物聯(lián)網(wǎng)設(shè)施的功能配置和實時監(jiān)測，對減少物聯(lián)網(wǎng)設(shè)施被濫用，降低物聯(lián)網(wǎng)設(shè)施涉恐、涉詐的發(fā)生具有重要防范作用，能夠為物聯(lián)網(wǎng)業(yè)務(wù)的高質(zhì)量發(fā)展保駕護航。

參考文獻

[1]穆超，楊明，楊明曌，等.基于數(shù)字證書識別及校驗的物聯(lián)網(wǎng)固件安全檢測系統(tǒng)的設(shè)計與實現(xiàn)[J].山東科學(xué)，2020，33（4）：131-135.

[2]車欣.適用于物聯(lián)網(wǎng)安全的機器學(xué)習(xí)方法綜述[J].人工智能，2023（4）：91-95.

[3]林培亮，張澤彬.智能安防物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)級安全與隱私控制[J].機電工程技術(shù)，2023，52（7）：252-253.

[4]李劍，董廷魯，李劼.基于證據(jù)理論物聯(lián)網(wǎng)安全態(tài)勢感知方法研究[J].網(wǎng)絡(luò)與信息安全學(xué)報，2022，8（2）：40-41.

[5]張歡，陸見光，唐向紅.面向沖突證據(jù)的改進DS證據(jù)理論算法[J].北京航空航天大學(xué)學(xué)報，2020，46（3）：616-623.

[6]鄧勇，施文康，朱振福.一種有效處理沖突證據(jù)的組合方法[J].紅外與毫米波學(xué)報，2004（1）：27-32.

[7] SYE L K， KUMAR S S， TSCHOFENIG H. Securing the internet of things： a standardization perspective [J]. IEEE internet of things journal， 2014， 1（3）： 265-275.

[8]王妍，孫德剛，盧丹.美國網(wǎng)絡(luò)安全體系架構(gòu)[J].信息安全研究，2019，5（7）：582-585.

[9]劉峰，林東岱. 美國網(wǎng)絡(luò)空間安全體系[M].北京：科學(xué)出版社，2015.

[10] EL-HAJJ M， FADLALLAH A， CHAMOUN M， et al. A survey of internet of things （IoT） authentication schemes [J]. Sensors （Basel， Switzerland）， 2019， 19（5）： 1141.

作者簡介：張建榮（1979—），男，安徽人，碩士，高級工程師，現(xiàn)任聯(lián)通數(shù)字科技有限公司高級副總裁兼安全事業(yè)部總經(jīng)理，主要從事網(wǎng)絡(luò)安全、云計算等業(yè)務(wù)創(chuàng)新及技術(shù)研究工作。

李 峰（1972—），男，博士，高級工程師，現(xiàn)任重慶聯(lián)通數(shù)字化部（信息安全部）總經(jīng)理，從事信息IT和安全方面工作。

童貞理（1974—），男，四川大竹人，碩士，高級通信工程師，從事通信技術(shù)方面工作。

劉 湘（1975—），男，湖南人，高級工程師，現(xiàn)在重慶聯(lián)通從事通信技術(shù)方面工作。

收稿日期：2024-01-09 修回日期：2024-02-27

基金項目：2023中國聯(lián)通核心技術(shù)攻關(guān)項目：面向網(wǎng)絡(luò)空間安全治理場景的物聯(lián)網(wǎng)安全體系研究及應(yīng)用（2023-HXGG-AA1-005）