工控物联网安全威胁解析及异常流量检测
1背景——正被打开的潘多拉魔盒2工业控制系统网络杀伤链
3工业控制系统协议脆弱性分析4工控流量特点及异常检测方法5应用及总结
背景——正被打开的潘多拉魔盒STUXNET,破坏
伊朗核计划
2010年
2014年
2015年
Blackenergy,乌克兰停电
2018年
俄罗斯黑客入侵美国电网
德国钢厂遭受APT攻击
2019年
委内瑞拉全国大面积停电
美国纽约停电
2019年
1.黑客或黑客组织已将触角逐渐伸入到工业控制领域
两大趋势:
2.瘫痪对方的基础设施也逐渐成为一种国与国之间对抗的手段
工控物联网系统已成为网络战的理想攻击目标
2011年,美国国防承包商洛克希德·马丁公司提出了应用到网络安全威胁的杀伤链模型,即所谓的“网络杀伤链”,指成功发起网络攻击的七个阶段。
Cognitive Attack Loop 工业控制系统网络杀伤链
工业控制系统网络杀伤链是分阶段进行的:
第一阶段第二阶段网络入侵的准备与执行(跟“网络杀伤链”相似)工控系统的攻击开发与执行
工业控制系统网络杀伤链阶段1-网络入侵的准备与执行
工控系统网络攻击的第一阶段以获取工控系统的相关信息为目的,寻找内部边界保护的突破方法,从而获得生产环境的访问权限。
工业控制系统网络杀伤链阶段2-攻击开发与执行
第二阶段主要包含三个步骤:
Attack Development and Tuning
针对特定的工控系统,需要开发专门的攻击模块,以达到想
要造成的影响。
Validation
攻击者必须在类似或相同配置的系统上测试他们的攻击功能,
确认该攻击模块能对目标系统产生有意义和可靠的影响。
ICS Attack
攻击者将投递其实现的攻击功能(Deliver),安装或修改现
有系统功能(Install/Modify),然后执行攻击(Execute)。
攻击者要达到的目标分为三类:
丢失(Loss)
拒绝(Denial)
?拒绝监视(Denial of view )?拒绝控制(Denial of control )?
拒绝安全功能(Denial of safety )
?监视信息丢失(Loss of view)?
失去控制(Loss of control )
操纵(Manipulation )
黑客攻击工业控制系统的3大目的
?操控监视结果(Manipulation of view )?
操纵控制(Manipulation of control )
?操纵传感器和仪器(Manipulation of sensors and instruments )?
操纵安全功能(Manipulation of safety )
传统网络攻击目标:勒索或窃取数据
工控系统攻击目标:为了现在或方便以后进行破坏行动
访问向量可能的威胁来源
网络相邻的内部网络(有线网络或以太网),例如业务网络或非军事区(通常来自另一个被入侵设备),本地网络中的被入侵设备,互联网,WIFI网络、其他无线方式
工控系统及设备其他设备、控制器等,诸如HVAC的其他系统
应用程序(运行在工作站、服务器和设备中的)网络服务端口(工业协议使用的端口,例如Modbus协议的502端口、SSH协议的22 端口和远程桌面的3389端口)
文件输入或者插入,用户输入(包括本地应用程序和Web界面),数据输入,例如库函数和动态链接库等
物理访问USB接口(不只是USB闪存驱动器,还包括使用USB接口的外设,例如键盘等)串口其他数据端口,例如SATA/eSATA、HDMI、Display Port等
键盘或鼠标输入
人员/用户通过电话或人员直接进行社交互动
供应链芯片或硬件的篡改
应用程序或固件代码的篡改
工业控制系统的6个威胁来源
传统的信息系统面临的威胁也包含于工控系统的威胁中,有所区别的是:
工控系统有专门的组件,设备和协议。
工控资产/系统威胁向量/攻击手段
工控系统网络
(由各类工业控制设备组成的通信网络,其中主要采用工控协议完成数据
交互)通过扫描与枚举方法探测所使用的工控系统设备、工作站和协议通过网络嗅探获取认证信息
通过嗅探数据包并对其进行逆向分析获取工控系统协议信息
记录或重放工控系统网络流量以尝试更改设备行为
注入数据或数据包以尝试更改设备行为
伪造、欺骗工控系统网络数据包以尝试更改设备行为
伪造、欺骗工控系统网络数据包以尝试更改人机界面画面
PLC控制器
(可编程逻辑控制器PLC、可编程自动化控制器PAC、嵌入式控制器等)获取远程访问或控制权限
篡改、屏蔽控制器的输入或输出数据
修改配置以更改控制器行为
修改控制算法以更改控制器行为
修改动态数据以更改控制算法的结果
修改I/O数据以更改控制算法的结果
修改控制器固件以更改控制器的行为
使用欺骗性指令以更改控制器行为(通过网络协议)降级攻击、拒绝服务攻击
持久驻留(恶意代码)
工控资产/系统威胁向量/攻击手段
工程师站
(指安装了编程组态软件,供工程师或开发人员编辑、修改、下载项目文件)权限提升
获取远程访问或控制权限
复制或泄露敏感信息
修改或删除信息(如标签图形或XML文件)修改存储的配置信息
修改在线配置信息
向控制器发送命令
持久驻留(恶意代码)
降级攻击、拒绝服务攻击
操作员站、人机界面(指安装了监控操作组态软件,供现场操作人员使用,只有监控和简单的修改
参数等功能)权限提升
获取远程访问或控制权限
复制或泄露敏感信息
向控制器发送命令
修改或删除信息(如标签图形或XML文件)修改存储的配置
持久驻留(恶意代码)
降级攻击、拒绝服务攻击
工控资产/系统威胁向量/攻击手段
应用服务器
(如OPC服务器,用于作为中间媒介负责从数据源读取数据再跟另外一端的
客户端通信)权限提升
获取远程访问或控制权限复制或泄露敏感信息
修改或删除信息
过程通信中断
人机界面过程图像中断持久驻留(恶意代码)降级攻击、拒绝服务攻击
SCADA服务器、工业实时历
史数据库
(用于实时制造过程的数据库系统,它采集生产现场控制系统的实时生产数据(如各种工艺参数),进行管理和存储)权限提升
获取远程访问或控制权限复制或泄露敏感信息
修改数据库、标签数据修改或删除信息
持久驻留(恶意代码)降级攻击、拒绝服务攻击
大多数工控协议都有一个共同点,
即在设计之初都没有考虑到随之而来的安全问题。Modbus TCP 应用数据单元
工业控制系统协议脆弱性分析
Modbus 协议
●第一个工控现场总线协议
●由施耐德电气推出●已衍生出多个协议版本
●标准开放免费使用
●已成为工控领域最常用的协议之一
协议原理
●主/从模式
●每个主站可支持247个从站●由主站向从站发起连接
●客户机为主站,如上位机●控制器为从站,如PLC
缺乏认证缺乏授权
缺乏加密
缓冲区溢出漏洞Modbus 协议脆弱性分析
功能码乱用Modbus TCP 安全问题
Modbus 协议本身的缺陷
Modbus 协议实现过程中的缺陷
工控协议的脆弱性导致网络攻击易于得手,因此,设置合理的防护手段是有必要的。
工控网络流量特点
传统IT网络流量与工控网络流量区别
通信信道多,且不断变化通信信道少,且相对固定
协议种类繁多,数据包种类多协议相对单一,数据包种类较少
通信流量具有不可预测性通信流量具有一定的可预测性人产生的流量机器产生的流量
更适合基于黑名单的检测方式更适合基于白名单的检测方式
工控仿真平台●模拟发电过程,上位机下达指令给PLC,由PLC控制电机转速
●上位机到PLC采用TCP/IP通信,采用S7通信协议
●在无人为操作的情况下,采集上位机到PLC S7-300的流量
上位机的IP为:192.168.1.33
PLC的IP为:192.168.1.10
主要分析上位机到PLC方向的控制信
道流量特点
分析工具:https://https://www.doczj.com/doc/9c16224740.html,/scu-igroup/ICS-packets-Analyzer
上位机到PLC的流量为第[1]条,共得
到66540个数据包。
工控信道一旦确定,一般情况下是不会出现其他信道对PLC的链接或控制行为。
从数据包长度找规律:91-61-91-61-61-91-61-61-61-91-61-61-91…
统计数据包长度:47,73,77
长度为47的数据包:
传输层数据载荷不变
长度为73的数据包:
一处呈递增变化,其余不变
长度为77的数据包:
1.一处在递增变化
2.另一处字段内容重复出现
1.Protocol Data Unit Reference
2.Data
学习工控历史流量,构建白名单
对连接PLC的设备,信道固定数据包种类固定:长度、有效载荷srcMAC srcIP dstMAC dstIP
12
对非白名单中的数据包进行告警或阻断
解析协议有利于对告警进行语义化解释
破坏工控系统不一定需篡改系统运行参数打乱工业生产的流程也是可以的
定义了4种状态:
正常重传丢失异常以信道中所有的数据包为状态建立模型:
状态爆炸存在误报
采用有限状态机建模
计算机信息工程学院 《操作系统》 课程设计报告题目:物联网安全现状分析及解决策略 专业:计算机科学与技术(软件方向)班级:14计科网络班 学号:4145 姓名:张田浩 指导教师:
完成日期:
目录 一、物联网面临的安全威胁 (3) 终端节点层面 (3) 感知层安全问题 (3) 网络层安全问题 (3) 应用层安全问题 (4) 控制管理层面 (4) 二、应对安全威胁的解决策略 (4) 密钥管理机制 (5) 数据处理与隐私性 (5) 安全路由协议 (5) 认证与访问控制 (6) 决策与控制安全 (6) 三、具体设计实例 (7) 四、总结 (8)
一、物联网面临的安全威胁 随着物联网产业的兴起并飞速发展,越来越多的安全问题也映入眼帘。如果不能很好地解决这些安全威胁,必将制约着物联网的发展。 终端节点层面 物联网的特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。由于物联网在很多场合都需要无线传输,这种暴露在公开场所之中的信号很容易被窃取,也更容易被干扰,这将直接影响到物联网体系的安全。 由于物联网应用的多样性,其终端设备类型也多种多样,常见的有传感器节点、RFID?标签、近距离无线通信终端、移动通信终端、摄像头以及传感网络网关等。相对于传统移动网络而言,物联网中的终端设备往往处于无人值守的环境中,缺少了人对终端节点的有效监控,终端节点更具有脆弱性,将面临更多的安全威胁。 感知层安全问题 由于物联网应用的多样性,其终端设备类型也多种多样,常见的有传感器节点、RFID标签、近距离无线通信终端、移动通信终端、摄像头以及传感网络网关等。相对于传统移动网络而言,物联网中的终端设备往往处于无人值守的环境中,缺少了人对终端节点的有效监控,终端节点更具有脆弱性,将面临更多的安全威胁。 网络层安全问题 感知层的任务是全面感知外界信息,该层的典型设备包括各类传感器、图像捕捉装置、全球定位系统、激光扫描仪等。可能遇到的问题包括以下几个方面. (1)感知节点容易受侵。感知节点的作用是监测网络的不同内容、提供各种不同格式的事件数据来表征网络系统当前的状态。 (2)标签信息易被截获和破解。标签信息可以通过无线网络平台传输,信息的安全将受影响。 (3)传感网的节点受来自于网络的DoS攻击。传感网通常要接入其他外在网络,难免受到来自外部网络的攻击,主要攻击除了非法访问外,拒绝服务攻击也最为常见。传感网节点的计算和通信能力有限,对抗DoS攻击的能力比较脆弱,
物联网的安全威胁 物联网面临哪些重要的安全威胁?与传统互联网面临的安全威胁有哪些不同?对这个问题的讨论,我们以感知层是传感网、RFID为例进行展开。 首先,传感网络是一个存在严重不确定性因素的环境。广泛存在的传感智能节点本质上就是监测和控制网络上的各种设备,它们监测网络的不同内容、提供各种不同格式的事件数据来表征网络系统当前的状态。然而,这些传感智能节点又是一个外来入侵的最佳场所。从这个角度而言,物联网感知层的数据非常复杂,数据间存在着频繁的冲突与合作,具有很强的冗余性和互补性,且是海量数据。它具有很强的实时性特征,同时又是多源异构型数据。因此,相对于传统的TCP/IP网络技术而言,所有的网络监控措施、防御技术不仅面临更复杂结构的网络数据,同时又有更高的实时性要求,在网络技术、网络安全和其他相关学科领域面前都将是一个新的课题、新的挑战。 其次,当物联网感知层主要采用RFID技术时,嵌入了RFID芯片的物品不仅能方便地被物品主人所感知,同时其他人也能进行感知。特别是当这种被感知的信息通过无线网络平台进行传输时,信息的安全性相当脆弱。如何在感知、传输、应用过程中提供一套强大的安全体系作保障,是一个难题。 同样,在物联网的传输层和应用层也存在一系列的安全隐患,亟待出现相对应的、高效的安全防范策略和技术。只是在这两层可以借鉴TCP/IP网络已有技术的地方比较多一些,与传统的网络对抗相互交叉。 总之,物联网的安全必须引起各阶层的高度重视。 从物联网的体系结构而言,物联网除了面对传统TCP/IP网络、无线网络和移动通信网络等传统网络安全问题之外,还存在着大量自身的特殊安全问题,并且这些特殊性大多来自感知层。我们认为物联网的感知层面临的主要威胁有以下几方面: 1.安全隐私 如射频识别技术被用于物联网系统时,RFID标签被嵌入任何物品中,比如人们的日常生活用品中,而用品的拥有者不一定能觉察,从而导致用品的拥有者不受控制地被扫描、定位和追踪,这不仅涉及到技术问题,而且还将涉及到法律问题。 2.智能感知节点的自身安全问题 即物联网机器/感知节点的本地安全问题。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作,所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地操作更换机器的软硬件。 3.假冒攻击
网络异常流量检测研究 摘要:异常流量检测是目前IDS入侵检测系统)研究的一个重要分支,实时异常检测的前提是能够实时,对大规模高速网络流量进行异常检测首先要面临高速流量载荷问题,由于测度、分析和存储等计算机资源的限制,无法实现全网络现流量的实时检测,因此,抽样测度技术成为高速网络流量测度的研究重点。 关键词:网络异常流量检测 一、异常流量监测基础知识 异常流量有许多可能的来源,包括新的应用系统与业务上线、计算机病毒、黑客入侵、网络蠕虫、拒绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等。网络流量异常的检测方法可以归结为以下四类:统计异常检测法、基于机器学习的异常检测方法、基于数据挖掘的异常检测法和基于神经网络的异常检测法等。用于异常检测的5种统计模型有:①操作模型。该模型假设异常可通过测量结果和指标相比较得到,指标可以根据经验或一段时间的统计平均得到。②方差。计算参数的方差,设定其置信区间,当测量值超出了置信区间的范围时表明可能存在异常。③多元模型。操作模型的扩展,通过同时分析多个参数实现检测。④马尔可夫过程模型。将每种类型事件定义为系统状态,用状态转移矩阵来表示状态的变化。若对应于发生事件的状态转移矩阵概率较小,则该事件可能是异常事件。⑤时间序列模型。将测度按时间排序,如一新事件在该时间发生的概率较低,则该事件可能是异常事件。 二、系统介绍分析与设计 本系统运行在子网连接主干网的出口处,以旁路的方式接入边界的交换设备中。从交换设备中流过的数据包,经由软件捕获,处理,分析和判断,可以对以异常流量方式出现的攻击行为告警。本系统需要检测的基本的攻击行为如下:(1)ICMP 攻击(2)TCP攻击,包括但不限于SYN Flood、RST Flood(3)IP NULL攻击(4)IP Fragmentation攻击(5)IP Private Address Space攻击(6)UDP Flood攻击(7)扫描攻击不同于以特征、规则和策略为基础的入侵检测系统(Intrusion Detection Systems),本研究着眼于建立正常情况下网络流量的模型,通过该模型,流量异常检测系统可以实时地发现所观测到的流量与正常流量模型之间的偏差。当偏差达到一定程度引发流量分配的变化时,产生系统告警(ALERT),并由网络中的其他设备来完成对攻击行为的阻断。系统的核心技术包括网络正常流量模型的获取、及对所观察流量的汇聚和分析。由于当前网络以IPv4为主体,网络通讯中的智能分布在主机上,而不是集中于网络交换设备,而在TCP/IP协议中和主机操作系统中存在大量的漏洞,况且网络的使用者的误用(misuse)也时有发生,这就使得网络正常流量模型的建立存在很大的难度。为达到保障子网的正常运行的最终目的,在本系统中,采用下列方式来建立多层次的网络流量模型: (1)会话正常行为模型。根据IP报文的五元组(源地址、源端口、目的地址、
障碍物联网发展的安全隐患及其解决措施 障碍物联网发展的安全隐患及其解决措施 物联网被称为继计算机、Internet之后,世界信息产业的第三次浪潮。在高歌猛进的 同时,物联网背后隐藏的安全危机正日渐显现。同TCP/IP网络一样,物联网同样面临网络的可管、可控以及服务质量等一系列问题,并且有过之而无不及。如果这些问题不能得到很好的解决,或者说没有很好的解决办法,将会在很大程度上制约物联网的进一步发展。因为网络是存在安全隐患的,更何况分布随机的传感网络、无处不在的无线网络,更是为各种网络攻击提供了广阔的土壤,安全隐患更加严峻,如果处理不好,整个国家的经济和安全都将面临威胁。 物联网的“网” 物联网是TCP/IP网络的延续和扩展,将网络的用户端延伸和扩展到任何物与物之间,是一种新型的信息传输和交换形态,物联网时代又称为后IP时代。目前,学术界公认“物联网是一个由感知层、网络层和应用层共同构成的大规模信息系统”,其核心结构主要包括:感知层,如智能卡、RFID电子标签、传感器网络等,其主要作用是采集各种信息;网络层,如三网融合的计算机、Internet、无线网络、固网等,其主要作用是负责信息交换和通信;应用层,主要负责信息的分析处理、控制决策,以便实现用户定制的智能化应用和服务,从而最 终实现物与物、人与物的相联,构造一个覆盖世界上万事万物的“Internet of things”。 物联网感知层的关键技术包括RFID技术、红外感应器、全球定位系统、激光扫描器、传感网技术等,这些技术是智能信息传感设备的技术基础。网络及管理层的关键技术包括云计算、4G技术、SOA等。安置在动物、植物、机器和物品上的电子智能介质产生的数字信号可随时随地通过无线网络传送信息,云计算技术的运用,使数以亿计的各类物品的实时动态管理成为可能。从物联网的体系结构而言,物联网体现的是融合,而不论它的基础架构是采用无线传感网络还是什么别的网络基础设施。 物联网的真正价值在于网,而不在于物。因为在于网,所以复杂。目前物联网感知层的技术相对比较成熟,在各行各业已有比较成功的应用,但是如果感知的信息没有一个庞大的网络体系对它们进行管理和整合,就谈不上深入的应用,这样的网络就没有意义。要构建一个这样的堪称复杂巨系统的网络平台,实现业务的综合管理、信息的融合析取及分门别类、数据的有指导性的传输和交互等等,它的复杂性、艰难性是可想而知的。 物联网的安全威胁 物联网面临哪些重要的安全威胁?与传统互联网面临的安全威胁有哪些不同?对这个问题的讨论,我们以感知层是传感网、RFID为例进行展开。 首先,传感网络是一个存在严重不确定性因素的环境。广泛存在的传感智能节点本质上就是监测和控制网络上的各种设备,它们监测网络的不同内容、提供各种不同格式的事件数据来表征网络系统当前的状态。然而,这些传感智能节点又是一个外来入侵的最佳场所。从这个角度而言,物联网感知层的数据非常复杂,数据间存在着频繁的冲突与合作,具有很强的冗余性和互补性,且是海量数据。它具有很强的实时性特征,同时又是多源异构型数据。因此,相对于传统的TCP/IP 网络技术而言,所有的网络监控措施、防御技术不仅面临更复杂结构的网络数据,同时又有更高的实时性要求,在网络技术、网络安全和其他相关学科领域面前都将是一个新的课题、新的挑战。 其次,当物联网感知层主要采用RFID技术时,嵌入了RFID芯片的物品不仅能方便地被物品主人所感知,同时其他人也能进行感知。特别是当这种被感知的信息通过无线网络平台进行传输时,信息的安全性相当脆弱。如何在感知、传输、应用过程中提供一套强大的安全体系作保障,是一个难题。
《信息安全概论》 大作业 2014~2015学年第一学期 班级: 学号: 姓名: 教师评语: 教师签名
物联网安全现状分析及解决策略 哈尔滨工程大学 摘要:随着物联网产业的兴起并飞速发展,越来越多的安全问题也映入眼帘。如果不能很好地解决这些安全威胁,必将制约着物联网的发展。本文对物联网正面临的安全威胁给出了细致地分析,并且针对这些的安全问题给予了一定的解决策略。 关键字:安全威胁策略物联网 近几年来, 随着互联网技术和多种接入网络以及智能计算技术的飞速发展,物联网作为一个新科技正在被越来越多的人所关注,并不断地在各行各业中得以推广应用。物联网连接现实物理空间和虚拟信息空间,其无处不在的数据感知、以无线为主的信息传输、智能化的信息处理,可应用于日常生活的各个方面,它与国家安全、经济安全息息相关,目前已成为各国综合国力竞争的重要因素。在未来的物联网中,每个人拥有的每件物品都将随时随地连接在物联网上,随时随地被感知,在这种环境中,确保信息的安全性和隐私性,防止个人信息、业务信息和财产丢失或被他人盗用,将是物联网推进过程中需要突破的重大障碍之一。因此,实现信息安全和网络安全是物联网大规模应用的必要条件,也是物联网应用系统成熟的重要标志。 1、物联网面临的安全威胁 物联网是在计算机互联网的基础上建立起来的,互联网的安全问题早已被人们重视并采取各种措施来防止信息的丢失,物联网也不可避免地伴随着安全问题,物联网将经济社会活动、战略性基础设施资源和人们生活全面架构在全球互联网络上,所有活动和设施理论上透明化。物联网的特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。由于物联网在很多场合都需要无线传输,这种暴露在公开场所之中的信号很容易被窃取,也更容易被干扰,这将直接影响到物联网体系的安全。物联网规模很大,与人类社会的联系十分紧密,一旦遭受攻击,安全和隐私将面临巨大威胁,甚至可能引发世界范围内的工厂停产、商店停业、电网瘫痪、交通失控、工厂停产等恶性后果。随着物联网的不断发展与应用,其自身所隐藏的安全问题日渐显现出来。除了面对传统TCP/IP网络、无线网络和移动通信网络等的安全问题之外,物联网自身还存在着大量特殊的安全问题。从终端节点到感知网络、通信网络,从应用层面到管控层面,以及一些非技术层面的因素都关联和影响着物联网的安全问题。 1.1 终端节点层面 由于物联网应用的多样性,其终端设备类型也多种多样,常见的有传感器节点、RFID 标签、近距离无线通信终端、移动通信终端、摄像头以及传感网络网关等。相对于传统移动网络而言,物联网中的终端设备往往处于无人值守的环境中,缺少了人对终端节点的有效监控,终端节点更具有脆弱性,将面临更多的安全威胁。 1.2 感知层安全问题 感知层的任务是全面感知外界信息,该层的典型设备包括RFID 装置、各类传感器( 如红外、超声、温度、湿度、速度等)、图像捕捉装置( 摄像头)、全球定位系统(GPS)、激
物联网设备的安全风险及其应对方案 针对物联网设备的安全问题,需要提高黑客攻击物联网设备的成本,降低物联网设备的安全风险。我们将从7个攻击面对设备进行安全评估分析,并给出应对措施。 1. 糟糕的Web用户界面 配置良好的Web用户界面是吸引用户的重要因素之一。对于物联网应用程序而言,良好的Web用户界面可以帮助用户实现各项控制功能,设置设备,以及更快、更轻松地将设备集成到系统中。但是麻烦的是,这些Web用户界面经常也会为网络犯罪分子提供同样的易用性。 大多数情况下,令人烦恼的物联网Web界面问题与Web应用程序的问题同样困扰着企业。虽然SQL注入在物联网应用程序中并不是什么大问题,但命令注入、跨站点脚本以及跨站点请求伪造都是编程错误,能够导致犯罪分子随时访问设备和完整的系统,以控制、监视和访问真实世界的运营操作。 幸运的是,大多数Web用户界面安全问题的补救措施与多年来向Web开发人员反复灌输的内容相同,包括:验证输入、要求强密码(并且不允许在第一阶段的初始设置后使用默认密码)、不公开凭据、限制密码重试尝试,以及确保密码和用户名恢复程序的可靠性等。正如Sam在《卡萨布兰卡(Casablanca)》中所吟唱的那般,“……随着时光流逝,还是那一套”。 威胁案例:在2014年的44Con大会上,研究人员Mike Jordan就演示了如何利用佳能的Pixma打印机的Web界面修改打印机的固件从而运行Doom游戏。 2. 缺乏身份验证 为物联网应用程序验证用户身份是一件好事。当应用程序可以控制建筑物访
问和进行环境控制,或者为可能监视建筑物使用者的音频和视频设备提供访问权限时,身份验证似乎是“必备因素”,但在某些情况下,即使是最基本的身份验证也在实施中被遗漏了。 对于物联网应用程序来说,两种身份验证非常重要。首先是用户身份验证。考虑到许多物联网环境的复杂性,问题是每个设备是否需要身份验证,或者单个系统身份验证是否足以支持网络上的每个设备。易用性的考虑使大多数系统设计人员选择后者,所以对接入设备或控制中心的强身份验证显得至关重要。 系统的单点登录也使得另一种类型的认证——设备认证——变得更为重要。由于用户没有在每个设备接口上进行身份验证,因此物联网网络中的设备应该要求它们之间进行身份验证,以便攻击者无法使用隐含的信任作为进入系统的凭证。 与Web界面安全性一样,关闭这个安全漏洞的前提是将物联网视为一个“真正的”应用程序网络。由于许多设备没有本机用户界面——这取决于浏览器UI或用于人机交互的应用程序——因此会出现“如何实现”的特殊问题,但任何设备缺乏身份验证,使得物联网周边的安全性变得更加脆弱。 威胁案例:2018年5月,英国PenTestPartners的安全研究人员发现,由于Z-Wave协议安全类的nodeinfo命令完全未加密且未经过身份验证,最终导致超过1亿个物联网设备容易受到黑客降级攻击,允许攻击者在未设置安全性的情况下截获或广播欺骗节点命令类。 3. 使用默认配置 你知道IoT设备自带的默认用户名和密码吗?这是每个人都可以通过谷歌搜索得到解答的问题。所以,对于那些不允许改变默认设置的设备和系统来说,这将会是一个真正的问题。 默认用户凭证(比如说常用的用户名“admin”)是物联网安全设置问题上的一
物联网威胁以及如何避免物联网威胁 应电1042班黄涛 2014064406 一、物联网安全威胁 由于终端数量众多,终端机器化程度高,终端能量处理能力有限,人员监控和维护困难等因素,物联网感知层、网络层以及应用层除了与传统通信网络一样面临着一些基本安全威胁之外,还面临着一些特有的安全威胁, 1)感知层安全威胁 物联网感知层面临的安全威胁主要如下: T1 物理攻击:攻击者实施物理破坏使物联网终端无法正常工作,或者盗窃终端设备并通过破解获取用户敏感信息。 T2 传感设备替换威胁:攻击者非法更换传感器设备,导致数据感知异常,破坏业务正常开展。 T3 假冒传感节点威胁:攻击者假冒终端节点加入感知网络,上报虚假感知信息,发布虚假指令或者从感知网络中合法终端节点骗取用户信息,影响业务正常开展。 T4 拦截、篡改、伪造、重放:攻击者对网络中传输的数据和信令进行拦截、篡改、伪造、重放,从而获取用户敏感信息或者导致信息传输错误,业务无法正常开展。 T5 耗尽攻击:攻击者向物联网终端泛洪发送垃圾信息,耗尽终端电量,使其无法继续工作。 T6 卡滥用威胁:攻击者将物联网终端的(U)SIM卡拔出并插入其他终端设备滥用(如打电话、发短信等),对网络运营商业务造成不利影响。 2)网络层安全威胁 物联网网络层可划分为接入/核心网和业务网两部分,它们面临的安全威胁主要如下: T7 拒绝服务攻击:物联网终端数量巨大且防御能力薄弱,攻击者可将物联网终端变为傀儡,向网络发起拒绝服务攻击。 T8 假冒基站攻击:2G GSM网络中终端接入网络时的认证过程是单向的,攻击者通过假冒基站骗取终端驻留其上并通过后续信息交互窃取用户信息。
物联网面临的主要安全问题 【摘要】物联网是一种虚拟网络与现实世界实时交互的新型系统,它所面临的安全威胁要比互联网复杂得多。本文从五个方面简述了物联网面临的主要安全问题。 【关键词】物联网;RFID;阅读器;安全 1病毒威胁和常规恶意入侵的安全问题 物联网建立在互联网的基础上,对互联网的依赖性很高,在互联网中存在的危害信息安全的各种因素,在一定程度上同样也会造成对物联网的危害。随着互联网的发展,病毒攻击、黑客入侵、非法授权访问均会对互联网用户造成损害。与此同时,在物联网环境中互联网传播的病毒、黑客、恶意软件如果绕过了相关安全技术的防范(如防火墙),对物联网的授权管理进行恶意操作,掌握和控制他人的物品,就会造成对物品的侵害,进而对用户隐私权造成侵犯。更让人担忧的是,类似于银行卡、信用卡、身份证等敏感物品,如果被他人掌控,后果会十分严重。 2黑客截取节点数据引发的安全问题 物联网项目布局中往往有很多节点,这些节点往往会成为信息失窃的重要目标。盗取或截取物联网节点信息已经成为物联网攻击的一种新手段。这种窃取节点信息的手段一般有四种形式。 ①截获RFID标签 在物联网应用中,最基础的安全问题,就是如何防止RFID标签信息被截获和破解。因为这些标签中的信息是整个应用的核心和基础,在获取了标签信息之后,攻击者就可以对RFID系统进行各种非授权使用。这就会给物联网应用带来巨大的安全风险。 为了验证这种被破解的可能性,霍普金斯大学的一个研究小组展示了破解由德州仪器(TI)所制造的DST组件的验证实验。实验表明:在不接触RFID设备的情况下,盗取其中的信息也是可能的。这就表明截获RFID标签节点信息的可能性是大量存在的。 ②直接破解RFID标签 RFID标签本身是一种集成电路芯片,以往攻击智能卡产品的方法在RFID 标签上同样可用。因此,破解RFID标签的过程并不复杂,由于很多产品使用的都是40位密钥,所以通常在一小时之内就可以完成破解工作。对于更坚固的加密机制,也可以通过专用的硬件设备进行暴力破解,不过这通常需要拥有标签实物。通过特殊的溶液能够将标签上的保护层去掉,而使外部的电子设备能够与标签中的电路连接。在这种情况下攻击者不但能够获取标签中的数据,还能够分析标签的结构设计,发现可供利用的新信息,从而找到一些进行特定形式攻击的新入手点。这意味着RFID标签的安全漏洞一旦被攻击,很容易被打开缺口,造成广泛而严重的安全隐患。美国就发生过学生破解了地铁充值卡密码的事情。 ③复制RFID标签 即使加密机制被设计得很完善,攻击者无法切入对其进行破解,但是RFID 标签仍然面临着被复制的危险。事实上对于那些没有保护机制的RFID标签,利用读卡器和附有RFID标签的智能卡设备,就能够轻而易举地完成标签的复制工作。
2019年9月10日第3卷第17期 现代信息科技 Modern Information Technology Sep.2019 Vol.3 No.17 169 2019.9 有效提升物联网安全的对策和措施探究 杨存胜 (贵州省邮电学校,贵州 贵阳 550004) 摘 要:随着5G 等信息技术的发展,物联网也随之得到了相应的发展,对于物联网来说,除了要获得长远发展,安全问题也变得越来越重要。在信息技术发展的同时,物联网也得到了巨大的发展空间。为了让物联网得到更广阔的发展,让越来越多的人注意到物联网的安全问题成为物联网发展的关键。本文将对如何提升物联网的安全问题进行深入的讨论,并提出相应的解决方法,希望能够对后续的研究有所帮助。 关键词:5G ;物联网;安全架构;信息安全中图分类号:TN915.08;TP391.44 文献标识码:A 文章编号:2096-4706(2019)17-0169-02 Exploration on the Measures for Effectively Improving the Security of the Internet of Things YANG Cunsheng (Guizhou Post and Telecommunications School ,Guiyang 550004,China ) Abstract :With the development of information technology such as 5G ,the internet of things has been developed accordingly. For the internet of things ,besides the long-term development ,security issues are becoming more and more important. With the development of information technology ,the internet of things has also brought tremendous space for development. In order to make the internet of things develop more broadly ,more and more people have noticed that the security of the internet of things has become the key to the development of the internet of things. This paper will discuss how to improve the security of the internet of things in depth ,and put forward the corresponding solutions ,hoping to be helpful to the follow-up research. Keywords :5G ;internet of things ;security architecture ;information security 收稿日期:2019-07-22 0 引 言 2019年6月6日,工业和信息化部向中国电信、中国移动、中国联通以及中国广电发放5G 商用牌照,这标志着中国正式进入了5G 商用阶段。而物联网产业被认为是5G 时代最大的受益者。所谓物联网(Internet of Things ),就是物与物相连接的互联网。5G 将使物联网迎来爆发式增长的发展,意味着万物互联时代的到来,物联网也将走入人们生活的方方面面。物联网主要连接了现实的物理空间和虚拟的网络空间,在推动现代人们的生活及工作发展的过程中,也给人们带来了新的问题,即信息安全问题。与传统互联网的信息安全问题相比,物联网的安全风险指数更高、威胁更大、后果更严重,随着针对用户隐私、基础网络环境的安全攻击不断增多,物联网的网络安全问题已成为限制物联网服务广泛部署的障碍之一。分析物联网面临的安全风险,对提升物联网安全水平、促进物联网及其生态系统的健康发展有着重要意义,因此需要迫切地研究这一问题,并提出相应的解决方案。 物联网的技术架构由感知层、网络层、应用层三大部分组成。本文将针对物联网的感知层、网络层和应用层存在的安全问题分别进行分析,并提出探究性的建议。 1 物联网安全存在的问题 1.1 感知层的安全风险 感知层的功能是识别物体和采集信息,感知层中存在大量的感知器,比如温度传感器、湿度传感器、二维码标签和识读器、RFID 标签和读/写器、摄像头、M2M (Machine to Machine )终端以及无线传感器网络等等。首先,由于感知器中的感知点具有功能简单和携带方便的特点,与之相应的是这类感知点的技术含量比较低,而且缺乏合理的安全保护措施,所以很容易被当成攻击的目标,受到安全威胁。其次,感知器中的感知点大多安装在室外,并且是通过电池供电的,所以它自身并不具备复杂的功能,难以适应复杂的安全协议,而且在工作的过程中难以进行自我保护,所以在进行数据传输和数据采集的过程中会存在安全隐患。其三,物联网传感器多使用嵌入式操作系统,如果这些嵌入式操作系统遭受了攻击,将会对整个物联网带来安全风险。除此之外,由于感知节点采用的是分散控制的模式,所以会缺乏统一的安全防护体系,也会增加感知点的危险系数。 1.2 网络层的安全威胁 物联网网络层的功能是信息传递和处理,网络层可以由不同网络构成,例如移动通信网、互联网和无线传感器网络等。这些网络本身就存在着安全问题,其实也就是传统的网络安全问题,所以集中到物联网当中也会存在着类似的安全问题。与此同时,由于物联网由不同网络构成,也存在各类异构网络的互通互联的应用场景中的安全问题,也会对物联网的网
工业物联网面临哪些安全威胁 随着物联网的快速发展,其面临的安全形势比传统互联网时代的更为严峻。物联网终端这个新角色的加入,它们的安全风险威胁着所有接入物联网的设备。尤其是在工业物联网领域,往往需要集成已部署的传统传感器构建工业物联网底层。传统传感器本身原有的漏洞,在新的物联网环境中更加危机四伏。本文浅显的讨论了工业物联网终端面临的安全威胁,介绍了中国AII组织和美国IIC分别发布的工业物联网安全实施框架。 工业物联网终端面临的安全威胁 目前物联网终端的安全建设尚有很多工作要完成,尤其是传统的部分终端,由于历史原因,终端厂商在设计生产时并没有考虑到物联网应用场景,导致终端在集成进物联网中时,成为物联网系统不可忽视的安全漏洞。 工业物联网终端是整个工业物联网的基础层,该层包含了功能各异的传统传感器、新型智能终端等节点。工业物联网终端的主要安全隐患包含但不仅限于:下面就随着蓝牙模块厂家云里物里科技一起来看下吧。 ·硬件设备攻击 终端硬件的组件和配置被篡改。如果在硬件架构设计上未作安全考虑,在攻击者接触到终端硬件后,可以利用工具直接从硬件中提取数据,查找漏洞或分析破解加密系统。攻击者甚至直接克隆,篡改电路,加装恶意设备,绕过软件上的种种安全措施,致使数据外泄。 ·对操作系统的攻击 系统启动进程被截获或覆盖。攻击者通过修改终端硬件平台固件之间的接口,如UEFI或BIOS,从而改变终端功能。 劫持Guest操作系统或进程管理程序。这样攻击者可以控制应用程序的硬件资源分配,进而可以改变终端系统的行为,最终可以绕过安全控制,获得对硬件和软件资源的访问特权。 ·对业务应用的攻击 非法更改应用程序或公共API。攻击者通过执行恶意应用程序或重写应用程序API达到攻击目的。 利用部署或升级程序的漏洞。错误和有漏洞的部署和升级程序也可能作为渗入点,例如,错误或恶意的安装脚本和被截获破解的数据通信,都能被攻击者利用,进而恶意更新终端上的可执行脚本或软件包。 ·网络攻击 海量的恶意数据访问请求,即DDoS攻击。如果不能正确因对DDoS攻击,可能会妨碍终端
2019年最常见的7种物联网安全威胁 物联网(Io T)是互联网中快速增长的一部分。虽然互联网的其它设备依赖于人们的信息交换,但物联网可以自动实现在不同的连接设备之间进行收集,传输和接收数据。将物联网视为类似于网络,电子邮件或社交网络,但它不是连接人,而是连接智能设备。 近年来,物联网已经卷入了很多与安全问题有关的争论。许多问题都在之前的互联网应用中遇到过。还记得Adobe Flash的许多漏洞吗?为了更安全的上网体验,目前这种技术已经被浏览器功能系统地取代。 物联网安全问题与连接到网络的智能家居自动化设备的快速发展有关。截至2019年,物联网的成长面临的难题已经变得非常棘手,主要有几个因素在起作用。 在开始探讨2019年影响物联网安全威胁之前,了解一下网络的发展历史有助于我们更好的理解。自美国国防部高级研究计划局网络(ARPANET)发展以来,计算机已经相互连接。 一旦ARPANET成为互联网,卡内基梅隆大学的计算机科学部门就可以通过相应的协议将可口可乐自动售货机连接到互联网。因此,早在20世纪80年代初卡内基梅隆大学校园里的可口可乐自动售卖机就已经连接起来。 其他设备也随之而来,例如密歇根的热水浴缸和各种网络摄像头,用户可以通过他们的浏览器访问并看到世界。第一波物联网主要是反馈信息,很难被认为是智能的。随后,人们最终会开发出设备到设备(D2D)和机器到机器(M2M)通信。 现代物联网中的安全性 目前,连接到物联网的设备包括路由器,打印机,恒温器,冰箱,网络摄像头以及由人工智能驱动的家庭自动化控制中心,如亚马逊Alexa和Google智能助理。还有智能锁,智能手表以及更多那些我们要么放在家里,要么穿戴在身上的小工具。 一旦我们将下一波设备连接到物联网,如汽车导航和信息娱乐系统,先进的医疗设备和自动柜员机,安全隐患甚至比我们想象的还要大,而且未来连接物联网的设备数量远远超出我们目前的想象。 因此,以上考虑,预计在2019年最常见的物联网安全威胁,注意有以下七个: 1、被劫持的设备发送垃圾邮件 诸如Samsung Family Hub冰箱之类的智能设备具有与现代平板电脑相同的计算能力和功能,这意味着它们可以被劫持并变成电子邮件服务器。 在2014年信息安全研究公司Proof point的一项调查中,发现一台智能冰箱发送了数千封垃圾邮件,而其所有者并未发现这个问题。 2、被劫持的设备被收集到僵尸网络中 与上述发送垃圾邮件的智能冰箱类似,物联网设备可能被迫加入恶意僵尸网络,其最终目的是进行分布式拒绝服务(DDoS)攻击。 黑客已经针对婴儿监视器,流媒体盒,网络摄像头甚至打印机进行大规模的DDoS攻击,
2011.8 31 物联网安全问题与对策 张强华 浙江万里学院 浙江 315100 摘要:随着物联网的发展,其安全问题日益重要。其感知层、传输层及处理层面临不同的安全隐患,面对各种常见安全隐患,需要针对性地采用相应的安全策略和解决思路,以便保障物联网安全地运行。 关键词:物联网;物联网安全;安全对策 0 引言 2005年,国际电信联盟(ITU)首次提出物联网(Internet of Things)的概念,定义了物联网:物联网主要解决物品到物品(Thing to Thing, T2T)、人到物品(Human to Thing, H2T)以及人到人(Human to Human, H2H)之间的互连。它是在计算机互联网的基础上,通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。由此可见,物联网的核心和基础仍然是互联网。物联网具备三个特征:一是全面感知,即利用FRID 、传感器、二维码等随时随地获取物体的信息;二是可靠传递,通过各种电信网络与互联网的融合,将物体的信息实时准确地传递;三是智能处理,利用云计算、模糊识别等各种智能计算技术,对海量数据和信息进行分析和处理,以便实现对物体的智能化控制。互联网的安全问题不少,建立在互联网基础上的物联网上,并以传感网、无线网络为核心技术的物联网的安全问题就更加严重。 1 物联网安全问题 物联网的应用中伴随着安全问题,轻则隐私泄露,重则毁损基础设施。互联网出现问题损失的是信息,但我们可以通过信息的加密和备份来降低甚至避免损失,而物联网损失的则是物,物联网跟物理世界打交道,一旦出现问题就会涉及到生命财产的损失。信息复制的成本很低,而物理世界的克隆成本很高,特别是涉及到人身安全时更是无法弥补。 1.1 感知层安全问题 感知层的任务是全面感知外界信息,或者说是原始信息 收集器。该层的典型设备包括RFID 装置、各类传感器(如红外、超声、温度、湿度、速度等)、图像捕捉装置(摄像头)、全球定位系统(GPS)、激光扫描仪等。可能遇到的问题包括: (1) 由于感知节点监测网络的不同内容、提供各种不同格式的事件数据来表征网络系统当前的状态。然而,这些传感智能节点又容易受侵。 (2) 标签信息的截获和对这些信息的破解。这些信息可以通过无线网络平台传输,这会给信息的安全代理影响。 (3) 传感网的节点受来自于网络的DoS 攻击。因为传感网通常要接入其他外在网络(包括互联网),所以就难免受到来自外部网络的攻击。主要攻击除了非法访问外,拒绝服务(DoS)攻击也最为常见。传感网节点的资源(计算和通信能力)有限,对抗DoS 攻击的能力比较脆弱,在互联网环境里并不严重的DoS 攻击行为,在物联网中就可能造成传感网瘫痪。 1.2 传输层安全问题 物联网的传输层主要用于把感知层收集到的信息安全可靠地传输到信息处理层,然后进行信息处理。在信息传输中,可能经过一个或多个不同架构的网络进行信息交接。在物联网环境中这一现象更突出,可能产生信息安全隐患。 互联网的安全问题都可能传导到物联网的传输层,甚至产生更严重的问题。物联网传输层将会遇到以下安全问题: (1) DoS 攻击、DDoS 攻击。由于物联网中节点数量庞大,而且以集群方式存在,会产生大量的数据需要传播,这些巨量的数据会使网络拥塞,以至于产生拒绝服务攻击; (2) 假冒攻击、中间人攻击等; (3) 跨异构网络的网络攻击。
东方正通 安全生产监管物联网应用平台 解决方案 北京东方正通科技有限公司 2013年6月
1.政策背景 安全生产关系人民群众生命财产安全,关系改革开放、经济发展和社会稳定的大局,是落实科学发展观的必然要求和构建和谐社会的重要内容。 1.1.国家“十二五”规划明确提出要推进物联网的应用 2010年10月8日第十七届五中全会决议通过了《中共中央关于制定国民经济和社会发展第十二个五年规划的建议》(以下简称《建议》)。《建议》提出在“十二五”时期要全面发展现代产业体系,提高产业核心竞争力。其中,在全面提高信息化水平方面,要推动信息化和工业化深度融合,推进物联网研发应用。 工信部表示“十二五”期间物联网在产业体系方面要初步形成从传感器、芯片、软件、终端、整机、网络到业务应用的完整产业链,培育一批具有国际竞争力的物联网产业领军企业;创新能力方面,要突破一批核心关键技术,实现自主研发、技术创新;在国民经济和民生服务等重点领域形成物联网的规模性应用;安全保障方面,集成网络和重要信息安全防护水平要提升,重点和关键应用要安全可控。1.2.《国务院关于进一步加强企业安全生产工作的通知》的文件 2010年7月,国务院出台《国务院关于进一步加强企业安全生产工作的通知》(国发〔2010〕23号)文件,要求进一步加强安全生产
工作,全面提高企业安全生产水平。通知要求的主要任务是,以煤矿、金属非金属矿山、交通运输、建筑施工、危险化学品、冶金等行业(领域)为重点,全面加强企业安全生产工作。通知要求严格企业安全管理,建设坚实的技术保障体系和更加高效的应急救援体系,实施更加有力的监督管理,建设更加高效的应急救援体系,严格行业安全准入,加强政策引导,更加注重经济发展方式转变,实行更加严格的考核和责任追究。 2010年国家安监总局也下发了《国家安全监管总局转发国务院办公厅印发贯彻落实<国务院关于进一步加强企业安全生产工作的通知>重点工作分工方案的通知》(安监办〔2010〕170号),并同时制定了《贯彻落实<国务院关于进一步加强企业安全生产工作的通知>重点工作分工方案》,要求严格企业安全管理,实施更有力的监督管理,建设更加高效的应急救援体系。 2.信息化中存在的问题 物联网是生产安全监管工作的技术重要手段。目前,安全生产领域物联网应用工作刚刚起步,当前物联网技术的应用很难全面支撑安全生产监督工作的各种业务要求。当前安全生产领域在物联网应用中主要存在以下差距和不足。 2.1.安全生产监管方式不够丰富 目前,安全生产管理手段比较单一,主要是通过行政许可和执法
基于动态基线的业务运营支撑网异常流量 检测研究 摘要:本文提出了一种基于动态基线的业务运营支撑网(BOSS)异常流量检测方法。本系统克服了业务支撑网中流量分析仪固定告警阈值的诸多弊端,实现了告警系统智能化,为维护人员提供真实可靠的业务支撑网网络流量告警。此外,三级预警机制,使维护人员更清晰、更有效地掌握告警的严重性程度,降低了由于异常网络流量带来的系统风险。 关键字:动态基线、网络流量、临界基线、分级告警 0 引言 随着互联网技术的发展,基于互联网的各种应用已经深入人们的日常生活,给人们的生活方式带来了巨大的变化,但同时也带来了很多安全隐患。目前,网络异常流量的检测机制总体来说可以归纳为三种类型:基于流量大小的检测、基于数据包特征的检测和基于网络带宽动态基线的检测。每种机制都有其自身的特点,在一定程度上都有较高的检测效率,但是也都有自身的不足。 基于流量大小的检测,提出了基于熵值的检测方案,这种检测方案以Shannon信息论中的熵值度量网络流量中的数据包属性的随机性,根据随机性强度的大小检测异常流量的发生,这种方法具有较高的实时性,但是这种方案关于熵值大小的阈值需手动设置,无法根据网络状态自行调整,不同时段、不同链路的网络流量,具有不同的波峰、波谷,单一临界值无法有效界定异常的流量,从而无法有效检测。 基于数据包特征的检测,从网络流量找出符合特征的数据包,使用这种异常流量监测方案,我们必须事先知道每一种异常流量的特征,并为每一种特征开发专属的监测程序。由于异常流量数据包的种类越来越多,对BOSS网络维护人员而言,不停的添加异常流量特征监测程序将带来沉重的负担,管理方式的延展性差。另一方面,新型的异常数据包特征出现初期,其特征尚未被了解,导致异常流量监测程序的失效,无法有效检测。 根据业务支撑网的特点,提出了一种利用动态基线分析网络进出带宽所占比
Netflow 网络异常流量的监测原理 Netflow 对网络数据的采集具有大覆盖小成本的明显优势,在Netflow在安全领域的应用与传统的DPI的方式和系统扫描的方式,却有着明显的不同。使得这类产品在定位和实现的功能上和传统大IDS/IPS也不一样。 Network Behavior Anomaly Detection(网络行为异常检测)是NetFlow安全的原理基础。Netflow流量数据只能分析到协议的第四层,只能够分析到IP 地址、协议和端口号,但是受限制于无法进行包的内容分析,这样就无法得到网络中一些病毒、木马行为的报文特征。它是从网络流量的行为特征的统计数据进行网络异常的判定的。 网络行为的异常很大一方面是对网络基线数据的违背,反应到一个监控网段范围,往往呈现的就是网络流量的激增和突减。而在针对网络单个IP的监测的时候分析的是这单个IP来源或者目的IP流量的行为模式,TCP的流量模型等等来进行判断。GenieATM对网络异常流量的NBAD的检测具体如下面三点: 1.1流量异常(Traffic Anomaly) 侦测 流量异常模型是将基线模板(Baseline Template)应用于使用者所设定的监测范围内(因特网、互联自治域、子网、路由器、服务器、interface、监测条件等多种模型),流量异常侦测模型主要凭借系统实时对网络中正常流量形成流量基线,再根据网络正常的网络流量模型来动态分析网络中的异常流量,以期最早时间发现网络中流量的激增和突减。针对不同的网络监测范围,用户可使用定义不同的流量基线模板进行监控。系统支持自动建立及更新流量基线,也允许管理员手动设定和调整基线的参数和取值期间,并排除某些受异常流量攻击的特定日列入计算,以免影响基线的准确性。通过参数的设定,系统能根据对网络效能的影响,将网络异常流量的严重性分为多个等级,包括:正常、中度异常(yellow)、高度异常(red),并允许使用者透过参数设定,对每个检测范围设定合适的参数。 根据不同的网络范围,也提供不同监测模板让用户选择,从模板的部分可设定各种流量监测的临界值,不同的网络边界可设定不同的流量监测临界值。模板的类型有系统开发、用户自定义以及自动学习三种。此外,系统也提供多种单位,方便用户选择。 异常发生后,系统将自动分析当时的流量特征,并可藉由异常查看器读取这些讯息(参