物联网感知节点安全威胁自动检测系统设计

蓝土庆

（岭南师范学院 网络与信息技术中心，湛江 524048）

0 引言

物联网技术快速发展，被广泛的应用到电子商务、金融等各个方面，积累了大量的信息资源，方便了人们的日常生活、工作、学习，在社会各行业中起着重要的作用[1,2]，但在此过程中也为物联网信息资源的使用带来一些隐患。对物联网信息保护变得尤为重要，但由于物联网络的漏洞与黑客一直存在。对物联网网络信息安全造成极大的威胁，需要对物联网中存在的威胁进行检测[3,4]，然而传统的安全威胁智能检测系统存在的检测效率低，漏洞检测不全面等问题，针对上述问题，如何将系统中的威胁进行有效的检测是当下阶段物联网安全威胁智能检测领域需要重点研究的课题[5,6]。

文献[7]提出了基于白名单的物联网感知节点安全检测系统。运用环境封闭固定的特点，在物联网服务器中建立白名单，在物联网感知节点中安装检测模块，对哈希值特征码进行计算，将计算结果传输到物联网服务器上，与白名单进行对比，可以检测出威胁因素，该系统存在漏洞检测效率较低的问题。文献[8]提出一种基于DoS安全威胁智能检测系统。通过对物联网中的信息进行分割，获取累积量特征，运用DoS对累积量进行安全威胁智能检测。该系统存在漏洞检测时间较长的问题。文献[9]提出基于DoS物联网安全威胁智能检测系统。运用SDN控制器的集中控制特性，提取物联网中的与DoS相关的六元组特征值信息，对特征值信息进行安全威胁智能检测，该系统可检出的漏洞数量较少。

针对上述问题，提出了一种新的网络节点安全威胁检测系统，实验结果表明，所提系统能够有效检测网络漏洞，检测效率较高。

1 物联网感知节点安全威胁智能检测系统设计

1.1 系统总体结构设计

对物联网感知节点安全威胁智能检测系统总框架进行设计，利用OVAL漏洞检测器对系统进行漏洞检测，将其检测结果传输到控制台，运用控制台服务器上的CVE漏洞库[10]将检测结果上传到系统管理模块中，由系统管理员与检测代理联合扫描威胁，运用统一的漏洞库，将其扫描的威胁信息通过可扩展标记语言进行存储。仅需更新具有威胁信息的可扩展标记语言文件，系统就会随之更新。

网络安全漏洞检测系统结构如图1所示。

图1 漏洞检测系统结构

系统关键部分由控制台和检测代理构成，在物联网中，检测控制台能够同时向多个装有检测代理并处理监测中的主机传输节点安全威胁关联信号，在各个代理主机上运行OVAL漏洞进行扫描，运行结束后，将对应的漏洞扫描结果传送给控制台，把检测出的各个CVE相对应的漏洞结果，通过主机上标准的CVE漏洞库发送给系统管理员，控制台不用串行扫描其用户平台来获取扫描威胁，这种方式节省了很多网络资源，运用相同漏洞库更新威胁信息中的可扩展标记语言文件，与此同时系统也随之更新。

根据OVAL漏洞检测器，运用三个步骤来检测漏洞：首先采集物联网感知节点信息与设备配置信息；其次判断该系统是否存在特殊的威胁漏洞与设施问题；最后输出威胁检测结果。以给定的OVAL验证框架输出节点安全威胁智能检测结果，具体过程如图2所示。

图2 OVAL验证框架检测流程图

设计节点安全威胁智能检测系统时，需要在多个平台上进行检测代理，针对不同的检测平台设定两种检测代理，分别是Linux和Windows。这两种检测代理均采用QT与MFC的图像用户界面，利用C++编程语言编写检测代码检测网络漏洞情况。通过显示管理模块、通信模块以及网络漏洞威胁扫描模块来完成检测代理。

物联网系统设计图像管理模块主要复杂预设威胁扫描的参数，节点数据管理、节点安全威胁扫描的状态显示等。漏洞扫描过程中，运用设定的参数调整工作环境。

网络通信模块与控制台直接连接，控制台通过通信模块运行威胁扫描，在启动过程中，通信模块处于C/S模式监听状态，当通过控制台接收到指令时，通过调整指示函数为漏洞扫描开启一个路线，结合Bind方法将所选取的接口进行捆绑，使Socket与本地一个终结点连接，运用指示函数Listen监听节点监控设备接口的命令请求。指示函数ListenThread运用Accept对侦听出的结果进行连接操作，构建一个新的处理器，传送新的命令，运用扫描函数对网络感知节点进行威胁扫描，扫描完成后，根据相关函数将扫描结果上传到控制台。

在物联网威胁扫描过程中，运用OVAL进行物联网系统信息采集，设定文件中的漏洞测试的大体方向，在这些方向上分析系统当前安全状态，具体过程图3所示。

图3 物联网系统信息测试流程

Windows与Linux系统原理不同，对系统采集的信息需要进行不同的测试，要确定网络感知节点安全漏洞，将节点测试结果与OVAL验证框架设定的文件做对比，来确定主机的安全威胁漏洞。在此过程中首先将文件中的definition项按顺序输入，每个definition对应着一个漏洞的描述，其次分析各个definition中的criteria项，把以前测试结果文件中相关的全部测试提取出来，判断测试出的结果真假性，通过operator运算符来判断其真假，如若为真，则断定存在安全漏洞，通过OVAL验证框架来输出其结果。

控制台主要负责将威胁扫描结果进行整合，为了使操作者方便阅读与整理，采用TCP/IP协议对系统所采用的检测代理进行并行连接，使代理与代理之间可通信，系统也能够同时处理多个检测代理上传的威胁扫描请求指令与接受多个检测结果文件。检测成功后将结果传递给检测代理，并在控制台端主机上备份，在控制台上输入IP地址可以显示对应的主机漏洞信息，运用系统相关处理模块能够实现控制台的功能，界面管理模块主要运用Windows操作系统设定感知节点安全威胁检测界面参数与系统控制指令，通过MFC的设定进行控制台结构程度的设计，使用户操作更加简单、便捷。控制台结构提供了特定的IP的主机扫描，以便于更好的显示操作状态与错误信息等功能。

通信模块：对物联网内单个主机或全部主机同时发出扫描的指示，通过Socket安全套接字进行连接，运用TCP/IP协议完成数据信息的传输。

数据处理模块：由检测代理对控制台传输CVE信号，把CVE漏洞库当作控制台的信息库，显示详细的漏洞信息，通过XML对信息进行存储，运用msxml.dll调用微软类库对XML文件进行分解，生成树型结构，提供大量的查询函数。

1.2 物联网感知节点安全威胁智能检测

分析物联网感知节点可能存在的威胁漏洞，建立以威胁树为形式的物联网感知节点安全威胁模型，揭示了物联网感知节点的安全隐患，通过其模型，运用迭代的方法从上到下对每个节点威胁值进行计算，获得该模型的威胁评值，根据其威胁值对物联网感知节点安全威胁进行智能检测。

物联网感知节点安全威胁建模方法具体分六个步骤：识别信息、建立树形结构图、分解应用程序、识别感知节点安全威胁、将威胁信息化、评估威胁、给出评估威胁等级、通过其评估结果获取优先级，运用解决方法对系统应用设计流程进行修改，解决威胁，增强安全性。

物联网感知节点安全威胁建模过程中，需要确定隐私信息，构建体系结构树图。根据其结构图设定物联网感知节点安全威胁模型的目的和实现方式。设计一种树形构图，可分解应用程序，运用数据流图将物联网感知节点安全威胁建模分解为子系统，子系统分解成更小的子系统，运用威胁树来进行威胁检测，根据检测的结果进行威胁风险评估与解决方法设计。

物联网感知节点安全威胁建模的威胁由硬件与软件威胁构成，硬件威胁包含两项，分别是主动物理攻击和被动攻击；软件威胁也包含两项，分别是OS攻击和通信网络攻击，其中OS攻击含有系统接口攻击和网络病毒威胁。软件威胁中应当着重考虑用户隐私泄露情况，将用户隐私视为网络感知节点安全防护的重点。构建物联网感知节点安全威胁模型来对用户隐私进行防护，具体过程如图4所示。

对物联网感知节点安全威胁模型进行量化评估，将其模型表示为威胁树：

图4 物联网感知节点安全威胁系统模型

式(1)中：

3）c：V→2V代表节点υ∈V的全部感知信息组成的集合。

4）l：V→22υ→R代表边e（i，j）∈E的权值，当e∈Eu时，j代表单节点集；当e∈En时，j代表多节点集。

5）f：V→T表示网络节点υ∈V的威胁类型，当该节点属于威胁树的内部节点时，该节点类型属于综合节点，具体公式如下：

当该节点为综合节点时，该值为全部节点值中的最大值，具体公式为：

6）g：V→R用于评估节点υ∈V受到的威胁，具体公式如下：

根据其所受到的威胁值来对物联网感知节点安全威胁进行智能检测，具体过程如式(5)所示：

上式中：a代表威胁值大小。

2 实验结果与分析

为验证所提基于OVAL Schema的物联网感知节点安全威胁智能检测系统的综合有效性，需进行一次实验仿真，仿真实验环境为：CPU为Intel（R）Celeron（R），2.6GHz，内存为2.0GB,操作系统为Windows XP，实验开发平台Visual Studio2010，所有仿真实验均在Visual Studio2010上进行。

为了证明所设计的安全威胁智能检测系统的优越性，将所设计的系统与文献[8]提出的检测系统与文献[9]提出的检测系统进行相同目标主机台数下的漏洞检测时间（s）对比，对比结果如图5所示。

图5 检测效率对比

在该实验中，应用线程池大小为20，即线程队列的长度为20，分别对应文献[8]检测系统、文献[9]检测系统与所提检测系统在30、70、200、400台主机中进行漏洞检测；从图5中可以看出，所提检测系统的检测效率明显高于文献[8]检测系统与文献[9]检测系统。当主机台数较少时，可以一次性对全部主机进行检测，但检测效率没有提高，当主机台数数量增多时，所提检测系统的检测效率明显提高。文献[8]检测系统在主机台数大于200台时，已经无法对漏洞进行检测。

实验过程中，选取文献[8]检测系统、文献[9]检测系统与所提检测系统在三种漏洞类型下进行漏洞检测效果对比，实验结果如表1所示，表1中ZJ为主机台数，单位为台，用t来表示；LD代表漏洞类型；SQL为SQL注入漏洞；JB为脚本执漏洞；XSS为XSS跨站脚本攻击；W8为文献[8]检测系统；W9为文献[9]检测系统；ST为所提检测系统。

由表1可以看出，随着主机台数不断增加，所提检测系统检测出的漏洞为三种检测系统中效果最好的，三种类型的网络漏洞均能全部检测出来，而文献[9]检测系统只能检测出SQL漏洞及JB漏洞，当主机台数为60台时，文献[9]检测系统已经检测不出XSS漏洞，主要原因是该系统提取六元组特征值信息，对其进行漏洞检测，由于特征值复杂多校，所有检测过程中难升级，较为繁琐，在主机台数少的情况下，可以检测漏洞信息，当主机台数增多，文献[9]检测系统带不动较多数据，检测不出漏洞。

表1 三种不同检测系统漏洞检测结果对比

3 结论

针对传统安全威胁智能检测系统存在的一系列问题，提出一种基于OVAL Schema的物联网感知节点安全威胁智能检测系统，实验结果表明，所设计的检测系统与传统的检测系统相比，检测漏洞数量多、检测时间短，为解决当前物联网网络节点安全威胁提供了一种有效的解决方案，具有实际应用价值。