楊元慶 廣州城建職業(yè)學(xué)院

物聯(lián)網(wǎng)多階段系統(tǒng)主要有三個特點：

·廣義信息數(shù)據(jù)（在任何時間段和任何地點獲得的關(guān)于物體的復(fù)雜信息）；

·可靠傳輸（通過路由、通信協(xié)議、加密和編碼、網(wǎng)絡(luò)安保）；

·對接收到的數(shù)據(jù)進行智能化處理（得益于對大數(shù)據(jù)進行分析處理，并從用戶處獲取必要信息的各種計算、方法和技術(shù)）。

根據(jù)這些特點，將物聯(lián)網(wǎng)的結(jié)構(gòu)分為三個層次：網(wǎng)絡(luò)層、應(yīng)用層和感知層。感知水平的主要目的是從傳感器和射頻識別標(biāo)簽上獲得可靠的讀數(shù)。

網(wǎng)絡(luò)層提供無處不在的信息訪問、數(shù)據(jù)傳輸、處理和存儲。它包括兩個層次——接入層（移動網(wǎng)絡(luò)）和主交換層（互聯(lián)網(wǎng)、下一代/新一代NGN網(wǎng)絡(luò)和其他專用網(wǎng)絡(luò)）。幾乎所有的傳感器網(wǎng)絡(luò)都使用無線技術(shù)：WPAN（無線專用網(wǎng)絡(luò)）、WLAN（無線局域網(wǎng)）、WMAN（無線城市網(wǎng)絡(luò)）、WWAN（無線全球網(wǎng)絡(luò)）和衛(wèi)星網(wǎng)絡(luò)，這些網(wǎng)絡(luò)格式使用基于IP的通信協(xié)議。

應(yīng)用層處理和分析信息以做出正確的決策，并在應(yīng)用程序和服務(wù)中執(zhí)行控制功能。安全感知層和信息安全層的安全性、安全性和安全性等方面保證了信息的安全性和安全性。在沒有通用規(guī)則和標(biāo)準(zhǔn)的情況下，部署在免維護環(huán)境中的大多數(shù)感知設(shè)備的區(qū)別在于其技術(shù)簡單、供電能力弱和保護機制。

(1)通過對三跨鋼-混凝土雙面組合連續(xù)箱梁在日照條件下的有限元分析計算，得到了6:00至18:00組合梁溫度變形與溫度應(yīng)力的時間歷程，可供雙面組合連續(xù)梁橋設(shè)計計算參考。

由于上述信息，物聯(lián)網(wǎng)無法提供單一的標(biāo)準(zhǔn)化信息安全保護體系，無法抵御各種攻擊、未經(jīng)授權(quán)的訪問和外部網(wǎng)絡(luò)威脅。感知層面的信息安全問題尤其相關(guān)，因為這一層面的無線傳感器網(wǎng)絡(luò)是信息的來源。它們分為以下幾類：物理捕獲傳感器節(jié)點、泄漏傳感器、捕獲網(wǎng)關(guān)節(jié)點、DoS攻擊、威脅數(shù)據(jù)完整性、耗盡能量源、過載威脅、站點被復(fù)制的威脅和非法傳感器網(wǎng)絡(luò)中建立路由的威脅。

對現(xiàn)有通信網(wǎng)絡(luò)信息安全的威脅延伸到以物聯(lián)網(wǎng)為基礎(chǔ)的物聯(lián)網(wǎng)，這與未授權(quán)訪問、信息攔截、隱私、完整性、DOS攻擊、漏洞利用、病毒、網(wǎng)絡(luò)蠕蟲等直接相關(guān)。此外，網(wǎng)絡(luò)間的身份驗證問題也可能是DOS攻擊的原因。確保物聯(lián)網(wǎng)信息安全邁上新臺階，它是由兩個因素引起的：結(jié)構(gòu)的異質(zhì)性（事物的多樣性、網(wǎng)絡(luò)的不同技術(shù)）和設(shè)備數(shù)量的增加。物聯(lián)網(wǎng)從不同的設(shè)備收集大量信息，并處理來自具有異構(gòu)特性的源的不同格式的數(shù)據(jù)，作為網(wǎng)絡(luò)層面出現(xiàn)的問題，尤其是難以解決的問題。這些問題包括來自大量節(jié)點的低可預(yù)測數(shù)據(jù)傳輸量導(dǎo)致的網(wǎng)絡(luò)可擴展性問題，以及導(dǎo)致DoS和DDoS攻擊的可能性。

特別關(guān)注軟件在實施后可能干擾信息安全系統(tǒng)運行的漏洞，造成漏洞的關(guān)鍵原因：程序核心錯誤、創(chuàng)建復(fù)雜的多層軟件時出錯、使用未保護的代碼、不完整的異常處理、使用原始數(shù)組可能會被犯罪分子溢出、處理大數(shù)據(jù)時出錯、數(shù)據(jù)庫錯誤、數(shù)據(jù)庫查詢?nèi)狈φ?、缺乏軟件的可擴展性或性能、web漏洞、分布式應(yīng)用程序、云和虛擬平臺中的錯誤。此外，由于平臺和操作系統(tǒng)的多樣性，物聯(lián)網(wǎng)出現(xiàn)個別錯誤。在設(shè)計和制作軟件時，對物聯(lián)網(wǎng)設(shè)備的行為響應(yīng)進行仿真是非常重要的，即需要設(shè)計一個多功能的外部環(huán)境模擬器。由于設(shè)備（處理器性能、內(nèi)存、電源）的技術(shù)限制，物聯(lián)網(wǎng)面臨著最困難的任務(wù)——確保設(shè)備和模擬器之間的差異最小。另外，對于已調(diào)試的工作應(yīng)用程序的發(fā)布，需要對其進行全面的測試，包括對所有模塊的交互、負載測試和性能測試的全面測試。

軟件漏洞的另一個原因可能是后門（backdoors），即開發(fā)人員指定的代碼的一部分，在查看數(shù)據(jù)或從遠程控制計算機（在操作系統(tǒng)的情況下）時使用。后門程序可以是程序代碼中的隨機錯誤，在特定的鍵組合或常量選擇或其他操作中都能提供對數(shù)據(jù)的訪問。制造商還將其安裝在設(shè)備上，以便能夠測試和控制設(shè)備。危險在于網(wǎng)絡(luò)犯罪分子借助后門，可以利用這一“后門”進行未經(jīng)授權(quán)的訪問。

物聯(lián)網(wǎng)服務(wù)提供商動態(tài)網(wǎng)絡(luò)服務(wù)（DYN）的攻擊凸顯了物聯(lián)網(wǎng)信息安全問題的緊迫性。2016年10月，最大的互聯(lián)網(wǎng)門戶遭遇了前所未有的規(guī)模的DdoS攻擊，惡意流量來到這些網(wǎng)站的服務(wù)器上，不再感染惡意軟件電腦，以及可以上網(wǎng)的普通家用電器：電視機、冰箱、烤面包機和攝像機。黑客攻擊這些設(shè)備非常簡單：這些設(shè)備使用簡單的出廠密碼，用戶在操作開始時不會更改這些密碼。攻擊者使用由13萬臺設(shè)備組成的僵尸網(wǎng)絡(luò)，能夠?qū)е禄ヂ?lián)網(wǎng)門戶網(wǎng)站的工作出現(xiàn)大規(guī)模故障，向DYN擁有的DNS服務(wù)器發(fā)送大量“垃圾”流量。Mirai是一個黑客創(chuàng)建的程序，它攻擊互聯(lián)網(wǎng)連接的設(shè)備并使用它們來組織DDoS攻擊。

從一個角度來看，該程序首先通過電子郵件病毒感染家用電腦，然后感染所有與電腦相連的設(shè)備：路由器、打印機、機頂盒等。如果我們考慮一個公司網(wǎng)絡(luò)，Mirai甚至可以捕獲用于視頻監(jiān)控的IP攝像機。

從另一個角度來看，該程序不斷掃描互聯(lián)網(wǎng)，搜索連接到互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備，并使用標(biāo)準(zhǔn)的、工廠安裝的登錄和密碼組合感染它們。只要設(shè)備沒有重新啟動它就會一直受到感染。如果重新啟動后未更改默認密碼，設(shè)備將再次受到感染。

通過接收訪問控制設(shè)備，Mirai將它們變成僵尸網(wǎng)絡(luò)。在大多數(shù)情況下，該程序?qū)⒅攸c放在基于Busybox的設(shè)備上，Busybox是一組簡短的UNIX命令行實用程序，用作嵌入式操作系統(tǒng)的主接口。惡意軟件只針對某些平臺：x86、SH4、SPARC、MIPS、PPC、ARM、ARM7。感染是由對Telnet端口的暴力攻擊引起的，該端口設(shè)置了默認管理員憑據(jù)。

據(jù)證實的數(shù)據(jù)顯示，在惡意軟件Mirai的幫助下，黑客試圖與互聯(lián)網(wǎng)完全斷開連接。此外，該程序還被用于在美國大選期間組織DDoS攻擊，對Brian Krebs的DDoS攻擊，對互聯(lián)網(wǎng)提供商DYN的DDoS攻擊。

總的來說，感染Mirai的設(shè)備的IP地址已經(jīng)在164個國家出現(xiàn)?？梢钥闯鯩irai僵尸網(wǎng)絡(luò)高度分散，甚至出現(xiàn)在偏遠地區(qū)。

根據(jù)僵尸網(wǎng)絡(luò)的源代碼，Mirai由以下組件組成：

·指揮中心（C&C），其中包含所有受感染的物聯(lián)網(wǎng)設(shè)備（Bot）的MySQL數(shù)據(jù)庫，并將團隊分配到中間分發(fā)服務(wù)器團隊；

·接收掃描機器人（Scan，Receiver）結(jié)果的組件，其任務(wù)是從bot及其后續(xù)重定向組件收集結(jié)果，在受影響的設(shè)備（分發(fā)服務(wù)器）上下載bot；

·組件加載，在受影響的設(shè)備上提供bot的二進制文件（它使用實用程序和tftp，但如果操作系統(tǒng)中不存在它們，則組件使用自己的引導(dǎo)加載程序）；

·在受感染設(shè)備上運行后，bot連接到命令中心掃描易受攻擊的物聯(lián)網(wǎng)設(shè)備上的一系列IP地址（SYN掃描），并發(fā)送掃描組件掃描接收器的結(jié)果，以便在設(shè)備上加載惡意代碼。

此外，Mirai能夠運行GRE-IP-ETHGRE、SYN、ACK、STOMP線程以及DNS上的線程。感染很簡單：在打開的80/23（web/telnet）端口上掃描Internet，并選擇帳戶。

Mirai惡意軟件的源代碼，你可以創(chuàng)建這樣一個僵尸網(wǎng)絡(luò)，是免費分布在互聯(lián)網(wǎng)上，它可以下載和使用任何人誰有足夠的知識和經(jīng)驗配置一個惡意攻擊。通常，連接到互聯(lián)網(wǎng)的設(shè)備都有用戶不會更改的出廠密碼。此外，對于大多數(shù)用戶來說，確定您的電視、路由器或打印機是否在僵尸網(wǎng)絡(luò)中使用是相當(dāng)困難的。然而，你可以毫不費力地破解這樣一個設(shè)備——該程序通過60個標(biāo)準(zhǔn)組合（登錄/密碼），這些組合由制造商使用，并獲得對該設(shè)備的訪問權(quán)限。在攻擊高峰時，越獄設(shè)備的總數(shù)（大部分是攝像機）約49萬次，來自僵尸網(wǎng)絡(luò)Mirai的DDoS攻擊在峰值時間達到1tb/sec。僵尸網(wǎng)絡(luò)同時向DYN擁有的服務(wù)器發(fā)送大量請求。乍一看，這些請求與合法請求沒有區(qū)別，因為這個系統(tǒng)提供商DYN無法在許多正常的用戶請求中識別它們。

如果早些時候攻擊者使用這些設(shè)備是沒有意義的，因為它們的帶寬很低，那么現(xiàn)在一切都不同了。網(wǎng)絡(luò)犯罪分子開始使用通過DNS進行放大攻擊的技術(shù)。特別是，當(dāng)攻擊者向服務(wù)器發(fā)送數(shù)量為20個字節(jié)的12字節(jié)數(shù)據(jù)包時，被攻擊的服務(wù)器已經(jīng)收到了100個包，每個包都是100KB。換句話說，一組巨大的路由器，每個路由器的單個功能都很小，攻擊者聚集起來，變成了DDoS攻擊的工具。在不久的將來，針對此類攻擊的物聯(lián)網(wǎng)產(chǎn)品和服務(wù)將會越來越多。

DDoS攻擊的威力在不斷增強。首先是對briankrebs站點的攻擊（612gb/秒），接著是OHY，最后是提供商DYN（1.2tb/sec）。這涉及大量的物聯(lián)網(wǎng)設(shè)備可以接入互聯(lián)網(wǎng)。大量不合法的請求被發(fā)送到特定的服務(wù)器或一組服務(wù)器，之后它們將無法處理傳入的請求并變得不可用。另一個相關(guān)的例子是對工業(yè)物聯(lián)網(wǎng)（M2M）的攻擊。這些設(shè)備也會攻擊，但大部分這樣的案件仍然不見蹤影。只有少數(shù)先例，特別是Stuxnet攻擊，才被公開。

物聯(lián)網(wǎng)的發(fā)展是計算機技術(shù)、通信技術(shù)和工業(yè)各部門大規(guī)模融合的最終過程。除了來自傳統(tǒng)通信網(wǎng)絡(luò)的威脅（信息失真、重復(fù)、竊聽、泄露等威脅），物聯(lián)網(wǎng)應(yīng)用在應(yīng)用層面還面臨其他安全問題：云計算的使用、知識產(chǎn)權(quán)、數(shù)據(jù)處理、機密信息保護等。