（惠州學(xué)院網(wǎng)絡(luò)與信息中心，廣東 惠州 516007）

物聯(lián)網(wǎng)系統(tǒng)多采用MQTT 協(xié)議，一旦應(yīng)用該協(xié)議時未進(jìn)行身份認(rèn)證，就給攻擊者留下通過非法客戶端進(jìn)入MQTT 服務(wù)器的漏洞，攻擊者可以通過該漏洞獲得物聯(lián)網(wǎng)內(nèi)部保密數(shù)據(jù)甚至對其進(jìn)行篡改，還能夠通過編寫破壞性控制指令對物聯(lián)網(wǎng)生產(chǎn)對象和生產(chǎn)器材進(jìn)行破壞，給物聯(lián)網(wǎng)帶來生產(chǎn)中斷、財產(chǎn)損失等威脅。

1 物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)面臨的安全問題及應(yīng)對策略

攻擊者通常通過結(jié)構(gòu)符合MQTT 報文規(guī)范的偽裝報文對物聯(lián)網(wǎng)局域網(wǎng)絡(luò)發(fā)起攻擊，如MQTT 客戶端缺乏相應(yīng)身份認(rèn)證措施就會被偽裝數(shù)據(jù)包修改協(xié)議內(nèi)容并被攻擊者控制。此外，攻擊者還可以將入侵主機(jī)偽裝為客戶端及服務(wù)器，以此達(dá)到修改客戶端數(shù)據(jù)的非法目的。

目前大多數(shù)的數(shù)據(jù)處理服務(wù)器只應(yīng)用了普通防火墻進(jìn)行簡單的系統(tǒng)防護(hù)，在面對一般攻擊時能夠起到一定防護(hù)效果，卻無法應(yīng)對較強(qiáng)的攻擊。因此在普通防火墻之外為物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)建立更為安全有效的防護(hù)系統(tǒng)是非常有必要的。本文設(shè)計的物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)安全防護(hù)系統(tǒng)包括兩個部分：第一部分為基于深度包的數(shù)據(jù)訪問控制子系統(tǒng)，可以專門針對MQTT 協(xié)議的應(yīng)用層實(shí)施深度檢測；第二部分為基于樸素貝葉斯的異常流量控制子系統(tǒng)，可以針對MQTT 協(xié)議下產(chǎn)生的流量進(jìn)行實(shí)時檢測。兩個子系統(tǒng)同時工作，不但可以防御含有明顯異常特征的偽數(shù)據(jù)包的攻擊，還能有效監(jiān)視隱蔽性較強(qiáng)的、符合MQTT 協(xié)議和訪問規(guī)則的偽數(shù)據(jù)包。由這兩個子系統(tǒng)構(gòu)成的物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)安全防護(hù)體系的架構(gòu)如圖1所示：

圖1 由2個子系統(tǒng)組成的物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)安全防護(hù)體系

2 基于深度包檢測的數(shù)據(jù)訪問控制系統(tǒng)設(shè)計

2.1 深度包檢測數(shù)據(jù)訪問的模塊結(jié)構(gòu)

深度包是對TCP/IP 數(shù)據(jù)流和應(yīng)用層協(xié)議數(shù)據(jù)流進(jìn)行檢測的一種控制技術(shù)，能夠完成對數(shù)據(jù)流進(jìn)行讀取、分析、對比、歸類等操作，在與標(biāo)準(zhǔn)安全對比后判定數(shù)據(jù)流是否存在異常。該子系統(tǒng)模型如圖2所示：

圖2 MQTT協(xié)議深度包檢測模型

在圖2中，深度包檢測子系統(tǒng)連接了MQTT 的客戶端和服務(wù)器，實(shí)現(xiàn)了對協(xié)議完整性、控制報文及其標(biāo)志位的檢測、訪問控制策略的制定。其中，協(xié)議完整性檢測的作用是查驗數(shù)據(jù)控制報文是否與協(xié)議相符，形成對數(shù)據(jù)流是否異常的初步檢驗。報文及其標(biāo)志位檢測的作用是提取報頭信息并對其進(jìn)行深入分析，為接下來其合法性的判斷打好基礎(chǔ)。最后通過將控制報文與安全規(guī)則進(jìn)行比對來判斷該報文是否符合預(yù)定規(guī)則。至此，一次完整的MQTT 服務(wù)器深度包檢測過程結(jié)束。

2.2 協(xié)議完整性檢測

為防止黑客利用偽裝客戶端與MQTT 服務(wù)器連接并發(fā)送偽造控制報文，需要查驗MQTT 客戶端與服務(wù)器之間的通信數(shù)據(jù)是否完整，同時檢測報文結(jié)構(gòu)與內(nèi)容的合法性。該檢測包括3個對象：

其一，端口號：IBM 已經(jīng)將MQTT 服務(wù)器目的端口規(guī)范為1883號，非此號的報文即具有異常性質(zhì)。

其二，固定報頭：MQTT 報頭包括固定報頭、可變報頭和有效載荷報頭。前兩者并不是報文中必有的內(nèi)容，而固定報頭必須出現(xiàn)在第1-2字節(jié)位置。因此如遇到該字節(jié)位置不是固定報頭內(nèi)容的就可以該報文存在異常。

其三，報文長度：第2字節(jié)位置的固定報頭指定了該報文剩余內(nèi)容的容量，如兩者不相符則可判斷該報文存在異常。

2.3 控制報文類型及標(biāo)志位檢測

完整性檢測的對象為報文結(jié)構(gòu)，但無法保障報文類型是否正確，因此要通過報文類型及標(biāo)志位檢測對其進(jìn)行深度判斷。MQTT報文類型由位于第1字節(jié)的報頭控制，取值1-15，如表1所示：

表1 MQTT報文類型及涵義

上表中，數(shù)值為1、8、10、12、14的為客戶端向服務(wù)端傳輸?shù)膱箢^；2、9、11、13為服務(wù)端向客戶端傳輸?shù)膱箢^；3-7位雙向報頭。每個報頭的值都起到控制報文類型的作用。通過報文類型與標(biāo)志位的對比能夠?qū)ι疃劝M(jìn)行報文檢測。

2.4 MQTT 協(xié)議深度包檢測訪問控制

本文采用白名單策略，這樣只有完全符合安全規(guī)則的數(shù)據(jù)包才能通過檢測并進(jìn)入數(shù)據(jù)處理系統(tǒng)內(nèi)部。該系統(tǒng)包括TCP/IP 數(shù)據(jù)包的源/目IP 地址檢測、目的端口檢測、控制報文類型檢測和報文類型標(biāo)志位檢測。這些檢測項目共同構(gòu)成了基于MQTT 協(xié)議深度包的安全規(guī)則流程，可以表示為：

2.5 模塊測試

本研究的模塊測試包括模塊功能驗證與模塊性能驗證兩個部分。

首先，對模塊功能進(jìn)行驗證。驗證方式為先發(fā)送正確數(shù)據(jù)包，通過檢測后再發(fā)送定向修改數(shù)據(jù)包，如深度寶檢測防火墻能夠檢測出修改報文的異常，說明模塊具備檢測異常數(shù)據(jù)包的功能。檢測結(jié)果如表2所示：

表2 深度包模塊測試結(jié)果

而后對模塊的性能進(jìn)行驗證。在未添加深度包檢測時，防護(hù)模塊相應(yīng)平均時間為0.00056s，平均吞吐量為0.198Mb/s；添加深度包檢測模塊后，防護(hù)模塊相應(yīng)平均時間為0.00059s，平均吞吐量為0.190Mb/s。增加深度包模塊使系統(tǒng)平均相應(yīng)時間增加了5.36%，平均吞吐量降低了4.04%，對網(wǎng)絡(luò)性能影響較小。

3 基于樸素貝葉斯的異常流量控制系統(tǒng)設(shè)計

3.1 樸素貝葉斯算法下的異常流量控制原理

貝葉斯定理是樸素貝葉斯算法的原理，該定理是利用條件發(fā)生的概率推算分類項目歸屬不同類別的概率。其原理包括準(zhǔn)備、分類器訓(xùn)練和應(yīng)用這3個步驟。在準(zhǔn)備階段：依照系統(tǒng)要求及工作目的來抽取分類項的特征屬性并將這些屬性進(jìn)行分類。此時有一些特征屬性較易劃分到不同類別中，則可作為訓(xùn)練樣本，負(fù)責(zé)對分類器進(jìn)行前期訓(xùn)練；而不易被分類的特征屬性則將被分類器劃分到不同類別中。在分類器訓(xùn)練階段：通過對訓(xùn)練樣本中各類別出現(xiàn)的概率對每個類別的條件概率進(jìn)行區(qū)分。在應(yīng)用階段：將上階段的區(qū)分做為基礎(chǔ)，對分類學(xué)進(jìn)行分類的預(yù)測，該步驟的主要內(nèi)容是對條件概率計算。

樸素貝葉斯算法包括三個步驟，因此建立在該算法基礎(chǔ)上的異常流量監(jiān)測也分為三個步驟：

（1）準(zhǔn)備步驟：將流量分為異常流量和異常流量兩類，根據(jù)通信協(xié)議特征抽取正常/異常流量特征屬性。

（2）訓(xùn)練階段：將大量的通信流量作為訓(xùn)練樣本，分別計算正常及異常流量出現(xiàn)的概率，以及每個協(xié)議特征屬性在正常/異常流量中出現(xiàn)的條件概率。

（3）將陌生數(shù)據(jù)包中的特征屬性作為待測分類項并輸入到步驟（2）中的訓(xùn)練器中進(jìn)行檢測。

3.2 MQTT 協(xié)議特征屬性選擇及數(shù)據(jù)預(yù)處理

3.2.1 提取報文特征屬性

有效提取MQTT 協(xié)議下報文的特征屬性是實(shí)現(xiàn)樸素貝葉斯算法下的異常流量控制最關(guān)鍵的步驟。首先按照時間順序每60s 提取一次MQTT 通信流量，盡可能獲取更多的正常/異常流量作為訓(xùn)練樣本（大小以N代表）。將每個MQTT 數(shù)據(jù)包中固定報頭的控制報文類型及控制其標(biāo)志位分別記為x1、x2，由此得到該數(shù)據(jù)包的特征屬性向量（i為數(shù)據(jù)包數(shù)量）。

3.2.2 訓(xùn)練樣本的預(yù)處理

②異常特征屬性向量的特征屬性包括P（Y=0）對應(yīng)的x1及x2對應(yīng)的條件概率：

3.3 樸素貝葉斯算法下的MQTT 協(xié)議異常流量檢測模型

對于某個待測MQTT 數(shù)據(jù)包來說，將其固定報頭的x1及x2共同作為待分類項X，則有X=[x1，x2]。這個數(shù)據(jù)包中正常/異常流量出現(xiàn)的概率分別為。根據(jù)上文推算的條件概率公式可知：

檢測模型可以用圖3表示：

圖3 基于樸素貝葉斯理論的MQTT異常流量檢測流程

3.4 模塊測試

選擇538個MQTT 控制報文樣本，將其中256個報文設(shè)置為異常后制作訓(xùn)練器，再對420個未知數(shù)據(jù)包進(jìn)行分類。與對控制報文類型及標(biāo)志位進(jìn)行檢測的方法進(jìn)行對比，采用基于樸素貝葉斯理論的異常流量檢測的結(jié)果如表3所示：

表3 不同檢測方式對比

通過表3可以看出，利用樸素貝葉斯理論同時檢測控制報文類型及控制報文類型標(biāo)志位，檢測正確率可高達(dá)92.14%，高于單獨(dú)檢測一項內(nèi)容；而誤報率和漏報率都低于單獨(dú)檢測一項。說明采用該方法能夠有效的提升對數(shù)據(jù)流量的防護(hù)效果。

4 結(jié)束語

本研究通過基于白名單的深度包檢測深度解析MQTT 協(xié)議，實(shí)現(xiàn)對控制報文完整性、準(zhǔn)確性的檢測，防止與規(guī)則不符的數(shù)據(jù)包進(jìn)入物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)；通過基于樸素貝葉斯原理的異常流量檢測模塊對通信流量進(jìn)行監(jiān)控。兩種方式共同構(gòu)建起對物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)的安全防護(hù)系統(tǒng)，有效提供全面、穩(wěn)定的安全防護(hù)功能。