移动物联网安全监测系统研究与应用

马骏野 张可 徐宁

摘要：针对当前复杂的移动物联网安全环境，提出了一种通过基于监测分析移动物联网管道侧的信令与业务流量的方法来实现物联网安全的系统。系统适用于LTE/ CDMA网络，能够识别出在移动物联网络中出现的多种类型的信令风暴、DDOS攻击、机卡分离等安全事件。同时在本文还给出了系统关键识别技术在某省电信物联网络中的测试结果，进一步验证了系统中关键技术实现的可行性、可靠性与准确性。

关键词：物联网安全;信令风暴;DDOS攻击;机卡分离;溯源管控

中图分类号：TP391        文献标识码：A

文章编号：1009-3044（2019）18-0023-05

Abstract：Aiming at the current complex mobile IoT security environment， a system based on monitoring and analyzing the signaling and service traffic of the mobile IoT pipeline side is proposed to realize the security of the Internet of Things. The system is applicable to LTE/CDMA networks and can identify various types of signaling storms， DDOS attacks， and machine card separations that occur in mobile IoT networks. At the same time， the test results of the system key identification technology in a certain province's telecom network are also given， which further verifies the feasibility， reliability and accuracy of the key technology implementation in the system.

Key words：IoT security; signaling storm;  DDOS attack;  machine card separation;  traceability control

根据中国互联网络信息中心（CNNIC）发布的《中国互联网络发展状况统计报告》，截至2017年底，我国网民规模达到了7.72亿，其中手机网民规模7.53亿，以手机为中心的智能设备，成为“万物互联”的基础，车联网、智能家电、智能交通、智能电网、智慧农业、智慧城市等物联网智能应用已经成为趋势。这些物联网新科技给我们的生活带来了各种便利，使得数字生活与现实生活的界限起来越模糊，二者紧密结合，相互依存。同时也让网络风险更有攻击性、攻击目标更精准，一旦被不法分子利用，通常会造成更为严重的后果。在上述情景下，我们亟须研究一种针对移动物联网网络的监测系统，对移动物联网中发生的安全事件进行监测、异常行为预警以及溯源管控，并且实现统一的移动物联网安全态势可视化展示。

1 國内外研究现状

随着全球大量新兴的物联网技术应用走进我们的生活，物联网产业市场不断地扩大，物联网安全问题日趋凸显，已成为制约物联网大规模应用的重要因素。目前，国内外一些企业已经意识到安全在物联网发展中的重要作用，并针对物联网的结构特征（感知层、传输层、应用层），开展了安全技术和产品方面的研究。

国外物联网应用技术相较于国内较早，物联网安全事件也较早被发现，例如在2016年初造成美国大规模“断网”的网络攻击事件，就是黑客通过侵入大量的物联网摄像头实施拒绝服务攻击导致的。事后ARM公司与赛门铁克等公司在物联网终端节点分别推出芯片安全、证书安全等产品。

近两年来，国内物联网已经上升为战略性产业，业务发展如火如荼，物联网安全风险无处不在，据央视《24小时》节目报道，大量互联网摄像头遭入侵，导致用户隐私泄露或摄像头被恶意控制。物联网网络承受着前所未有的安全威胁，根据有关统计显示27%的控制系统已经被攻破或被感染，80%的设备采用简单密码，70%的设备通信过程不加密，90%固件升级过程不进行验证。针对国内上述复杂环境，国内厂商相继推出物联网安全产品，如今年国内某运营商推出“安连宝”物联网安全解决方案，方案主要从物联网安全云平台、物联网安全网关、终端安全软件等三方面来实现物联网安全管控。

2 移动物联网安全监测系统的设计

2.1 系统架构

该系统分为四层（见图1），每层实现的功能如下：

采集层：采集物联网用户信令、业务、物联网APP数据，生成对应的话单数据，以及对接物联网企业、运营商相关的静态配置数据。

适配层：该层负责对异常话单处理、话单字段信息关联回填与合成以及对数据的分类汇聚处理功能。

处理层：该层分为物联网安全检测引擎、分类模型、数据存储三大部分，检测引擎以插件的形式提供，方便增加自定义检测模型，当前可支持网络信令风暴、各类DDOS网络攻击（异常包攻击、Flood攻击）、机卡分离风险、路由劫持、呼叫转移劫持的识别与检测;流量分类模型可支持建立物联网行业、企业、终端类型的流量模型。

应用层：包括建立移动物联网安全监测分布态势;物联网异常行为及流量的预警;发生网络攻击事件后的溯源跟踪，记录攻击者的身份、时间、位置等信息;安全事件处置，支持通过消息提醒或异常流量封堵的方式来进行处置;流量分类统计支持针对物联网业务分类、企业以及物联网终端类型来统计流量分布情况。