基于软件定义网络的物联网安全技术研究

【摘要】： 物联网(Internet of Things,Io T)是互联网在现实世界的延伸。随着物联网技术的迅速发展,物联网安全问题越发凸显。物联网感知节点和传输设备具有的海量性、功能简单、计算能力差等特点,一方面使得它们极易成为网络攻击的受害者,另一方面又使得它们极易被僵尸网络招募,成为分布式拒绝服务(Distributed Denial of Service,DDo S)攻击的肇事者。传统静态的、被动的网络安全防御体系难以应对不断发展的网络攻击,特别是物联网环境下的网络攻击,强度和复杂度都会比互联网中大很多,产生的后果也会严重很多。移动目标防御(Moving Target Defense,MTD)是一种全新的主动防御设计指导思想,使网络空间更加动态化、随机化,以便极大地增加攻击难度,从而有效地提升网络的防御能力。然而,仅基于传统的网络基础设施,并不能为移动目标防御提供高效的性能,而且开发成本高。蜜罐是一种计算机安全机制,用于检测、转移或抵消网络攻击。它在防御互联网中的网络攻击方面取得了积极成果,但仍存在一些需要进一步解决的问题,如实现细粒度数据控制,克服物联网与互联网之间的差异。常见的网络溯源方案有日志记录技术和数据包标记技术,它们可以在中转设备上存储或标记途经它的报文信息,这些信息为安全事件的取证分析提供了强有力的证据和溯源的渠道,但需要路由器附加工作且可扩展性差。信息熵作为一种统计指标,用于表示与变量相关的随机程度,基于信息熵检测方案的检测速度快,不需要构建大量的流量特征,但误报率较高。软件定义网络(Software Defined Network,SDN),具有灵活可编程和逻辑集中控制等特性,实现了网络的灵活管理和控制,可以为移动目标防御技术提供更好的效能,为蜜罐提供更加细粒度的网络控制和灵活管理。因此,本文提出使用软件定义网络设计和实现移动目标防御,同时提出结合软件定义网络部署物联网蜜罐,最终实现基于软件定义网络的物联网安全体系。具体工作如下:1.提出基于软件定义网络的移动目标防御模型,对物联网攻击步骤的第一步,物联网设备IP地址和端口扫描进行防护。该模型保持物联网设备的真实IP地址不变,并根据随机的间隔时间将随机的虚拟IP地址映射给它们,设备之间通过虚拟IP地址通信。虚拟IP地址的生命周期短且随机,提供主动的高的不可预测性和跳变率。以最大限度地防御攻击者对活动主机的探测。基于SDN的流量监控技术,分析检测可疑的端口扫描流量,并回复混淆的端口信息流量包,提供动态的端口防御策略,以最大限度地防御攻击者对主机端口的探测。2.提出基于软件定义网络的多维防御模型。大部分物联网设备具有单一功能和较差的安全性,仅依靠物联网设备有限的计算能力难以检测网络攻击。我们基于软件定义网络在物联网感知层部署边缘计算层蜜罐来模拟各种物联网设备,并让它们具有一些漏洞来吸引攻击者和恶意软件。结合日志记录技术和Packet-In消息,这些蜜罐可以检测并缓解Telnet、SSH密码暴力破解攻击;基于软件定义网络在物联网网络层部署雾计算层防御方案保护物联网服务器。使用数据包标记技术和信息熵检测技术,通过检测数据包的标记位和计算数据包的信息熵值大小发现可疑攻击流量。