CSDN物联网学习7 物联网安全：转守为攻

李知周 大数据安全科学家
使用大数据与机器学习猎杀黑客

一、 物联网的安全挑战

1.案例

2016年 10 月 21 日早晨，美国互联网服务商 Dynamic Network Service（简称Dyn）遭遇了大规模 DDoS 攻击，造成包括 Twitter、 Facebook 在内的多家美国网站出现登陆问题。有数据表明，黑客发起此次攻击，是运用了全球上千万件感染恶意代码的物联网智能设备，例如 CCTV 闭路监控装置、数码摄影设备等等。

2017年4月30日，成都266个监控摄像失守，让很多人知道，自己的私生活被实况直播。一家名叫“水滴直播”的网站，通过直播各类现实场景，引发网友关注。仅仅在成都，就有266个监控摄像头，被网络“直播”。

2.物联网安全挑战的特点

• 海量数据
• 定制嵌入式系统
• 受限的处理能力、功耗
• 升级困难
• 缺乏安全标准
• 大量初创公司

二、物联网的案例防护

1. 物联网攻击表面

• 设备内存
• 本地数据存储器
• Restful API访问接口
• 设备调试接口
• 网络数据接口
• 物联网云服务
• 远程更新接口

2. 减少攻击表面的基本策略

所有的服务都不要跑在root上。

• 减少运行中的软件总量
• 减少非信任用户可使用的入口点
• 消除用户很少使用的服务
• 减少不必的网络链接
• 减少特权账户的使用
• 加强数据验证防止篡改

3. 物联网设备安全

• 物联网设备安全
  
  • GPS定位
  • 认证与授权
• 物联网网络安全
  
  • 接入认证
  • 网络加密
  • 控制数据平面分离
• 物联网数据安全
  
  • 数据防泄漏
  • 数据完整性

三、 转守为攻

• 放弃无法防守的阵地
• 层层阻击消耗敌人
• 猛烈反击夺回阵地
• 压缩空间驱逐敌人

击杀链：

1. 侦察：入侵者选择目标，进行研究，并尝试识别目标网络中的漏洞。
2. 武装：入侵者创建远程访问恶意软件武器，例如针对一个或多个漏洞的病毒或蠕虫。
3. 分发：入侵者将武器发送到目标设备上（例如，USB驱动器，或者接入网络的僵尸设备）
4. 利用：它对目标网络扫描寻找可以利用的漏洞用以触发恶意软件。
5. 安装：恶意软件武器安装入侵者可以使用的接入点（例如“后门”）。
6. 命令和控制：恶意软件使入侵者能够对目标网络持续访问与控制。
7. 目标行动：入侵者采取行动实现其目标，例如控制僵尸网络，数据泄露，数据销毁或赎金加密。由此可以看出对于网路特别是物联网来说，入侵者的最终目的主要还是数据，物联网的安全核心是数据安全

安全猎手

• 建立监控流程
• 分析监控数据
• 发现黑客踪迹
• 推理黑客行为
• 猎杀黑客分子
• 修补安全隐患

四、 安全持续监控实践

安全的生命周期

• 建立安全计划与预案
• 安全策略应用与增强
• 监控与管理
• 入侵检测
• 安全评估
• 威胁与风险分析
• 安全策略创建

物联网智能安全网关

• 非智能节点的领导
• 物联网与广域网的纽带
• 物联网安全的卫士
• 物联网安全的监控者与管理者
• Iptable 网络防火墙
• Snort 网络入侵检测
• Kerberos 用户认证
• SQUID HTTP安全代理

智能安全网关是基于ARM的，开源在github上。

安全持续监控实践

Kappa 构架：

• Kafka 大数据消息总线
• Spark 大数据处理平台
• ElasticSearch 大数据搜索平台
• 攻击表面可视化
• 安全环境可视化
• 网络拓扑可视化
• 基于规则的分析
• 基于统计的分析

五、大数据机器学习与物联网安全

1. 基于大数据流量监控的DDos检测

异常值的检测，使用最小二乘法等。

当黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时，其称为分布式拒绝服务攻击（distributed denial-of-service attack，缩写：DDoS attack、DDoS）。

据2014年统计，被确认为大规模DDoS的攻击已达平均每小时28次。[1]攻击发起者一般针对重要服务进行攻击，如银行，信用卡支付网关，甚至根域名服务器。

2. 算法生成域名（DGA）检测

域生成算法（DGA）是在各种恶意软件系列中看到的算法，用于周期性地生成可以用其命令和控制服务器用作会合点的大量域名。

大量潜在的会合点使得执法部门难以有效地关闭僵尸网络，因为受感染的计算机每天都会尝试联系其中一些域名以接收更新或命令。

在恶意软件代码中使用公用密钥加密技术使得执法机构和其他角色无法模仿来自恶意软件控制器的命令，因为某些蠕虫会自动拒绝任何未由恶意软件控制器签名的更新。