摘 要：針對物聯(lián)網異常識別技術手段缺乏這一問題，通過對物聯(lián)網的網絡訪問行為進行建模，構建基于異質信息圖的物聯(lián)網設施網絡行為信息圖，通過對線索的動態(tài)關聯(lián)和搜索，實現對物聯(lián)網攻擊的準確定位。該方法具備在復雜多變的網絡環(huán)境下識別物聯(lián)網設施異常行為的能力，對物聯(lián)網應用安全具有十分重要的意義。

關鍵詞：物聯(lián)網安全；異質信息圖；網絡模式；動態(tài)關聯(lián)；異常行為；網絡日志

中圖分類號：TP391 文獻標識碼：A 文章編號：2095-1302（2025）02-00-02

0 引 言

近年來，5G網絡的商用極大推動了物聯(lián)網技術在安防、醫(yī)療、零售、教育、辦公、能源等多個領域的發(fā)展和應用。傳統(tǒng)物聯(lián)網安全缺乏有效的防御機制。在國家層面，缺乏物聯(lián)網大網級安全治理能力，特別是針對物聯(lián)網卡非法濫用取證、物聯(lián)網設備失陷過程溯源等缺乏有效的監(jiān)管技術手段。如何構建物聯(lián)網行業(yè)的防御機制，是當前物聯(lián)網安全領域的研究熱點[1]。

1 技術方案

整體技術方案架構如圖1所示，主要包括異質信息圖的構建、異質信息圖推理、線索關聯(lián)和動態(tài)搜索3個方面。

1.1 基于物聯(lián)網設施網絡日志構建異質信息圖

針對物聯(lián)網設施海量異構、網絡行為復雜多變的特征，根據物聯(lián)網設施的網絡日志，將物聯(lián)網設施從源地址向目的地址請求目標URL的網絡行為，抽象成物聯(lián)網網絡行為的異質信息圖。

定義一個異質信息圖G=（V， E），其中V是G的節(jié)點集合，包括3種類型的節(jié)點，分別對應物聯(lián)網設施、IP地址、URL，E是G的邊集合，包括物聯(lián)網設施接入IP地址、物聯(lián)網設施訪問IP地址、物聯(lián)網設施請求URL、IP地址托管URL等[2-3]。物聯(lián)網網絡行為的異質信息圖實例如圖2所示。

網絡模式（Network Schema）是對異構圖的抽象表示，其以節(jié)點類型集合作為新的圖頂點集，連接關系集合作為邊集合，形成網絡概要，用于描述不同節(jié)點之間的連接關系，以捕獲局部結構[4]?；谇笆鰧ξ锫?lián)網網絡行為的異質信息圖的定義，物聯(lián)網網絡行為異質信息圖的網絡模式如圖3所示。

輸入時間段T內的物聯(lián)網設備網絡日志，通過數據處理模塊，從結構化的物聯(lián)網設備網絡日志中抽取物聯(lián)網設施、IP地址、URL的網絡元素實體，并根據物聯(lián)網網絡行為異質信息圖的定義，實現對這3種網絡元素實體的關聯(lián)，迭代構建出一個網絡行為異質信息圖實例，全面描述時間段T內海量異構物聯(lián)網設備的網絡接入、網絡訪問等行為[5-6]。

1.2 基于物聯(lián)網異常行為構建智能識別模型

構建物聯(lián)網設備網絡行為異質信息圖后，在給定時間段內就能全面描述海量異構物聯(lián)網設備的網絡接入、網絡訪問等行為。

1.2.1 關聯(lián)分析

鑒于發(fā)動網絡攻擊、挖礦等惡意行為的攻擊者一般會進行攻擊設備的復用，體現為同一惡意IP關聯(lián)的URL、跳板等可能與同一個攻擊組織相關。在一次攻擊行動中，同一個惡意主機可能同時向多臺失陷設備分發(fā)惡意載荷，多臺失陷設備可能使用同一個惡意URL進行控制命令傳輸，在物聯(lián)網設備網絡行為異質信息圖中體現為訪問同一個惡意IP或者同一個惡意URL的物聯(lián)網設備可能是同一個攻擊行動的受害者。因此，基于物聯(lián)網設備網絡行為異質信息圖中物聯(lián)網設施、IP地址、URL的關聯(lián)關系，借助圖推理算法，能夠實現對海量異構物聯(lián)網設備異常行為的識別[7]。

1.2.2 智能識別

采取基于傳導分類的圖推理算法構建聯(lián)網異常行為智能識別模型。與歸納分類不同的是，申請傳導分類并不是從訓練數據中學習一般的決策函數，而是從特定的訓練案例中推導出特定的測試案例，即用一小部分已知的標簽去計算其他樣本的標簽，但該方法需遵循一致性原則，所謂的一致性指節(jié)點結構越相似，標簽相同的可能性越大[8]。

利用少量的打標種子數據（例如惡意IP地址、惡意URL等），基于網絡中的關聯(lián)關系，在網絡中傳播標簽信息，實現基于少量打標種子數據的大規(guī)模物聯(lián)網設施異常識別。具體而言，利用網絡拓撲結構信息，不斷在網絡中傳遞標簽信息，在完成一次傳遞后根據多數原則更新有節(jié)點標簽，反復迭代，直至算法收斂得到處理結果。更新操作的數學模型為：

（1）

式中：N（i）為節(jié)點i的所有鄰居節(jié)點集合；li為當前更新節(jié)點的標簽信息；lj為與i節(jié)點臨近的節(jié)點j的標簽數據。δ（lj， l）

函數輸入值相等則輸出0，反之輸出1。更新節(jié)點的方式：鄰居節(jié)點當前時刻的標簽決定了節(jié)點在上一次迭代時的標簽更新情況，而傳統(tǒng)的鄰居節(jié)點當前時刻的標簽則決定了節(jié)點在當前迭代時的標簽更新情況，這種更新方式可以避免標簽振蕩不收斂而致使多次劃分結果不同的情況出現[9]。

1.3 基于線索關聯(lián)和動態(tài)搜索的物聯(lián)網攻擊定位

物聯(lián)網異常行為智能識別能夠從少量的打標種子數據中識別出失陷的物聯(lián)網設施。基于識別出的失陷物聯(lián)網設施，通過線索關聯(lián)和動態(tài)搜索，對失陷物聯(lián)網設施在時間維度和網絡空間（IP地址）維度進行拓線，可以擴大失陷物聯(lián)網設施檢測范圍，提高對物聯(lián)網攻擊事件的精準定位[10]。物聯(lián)網設施攻擊定位如圖4所示。

對失陷物聯(lián)網設施的一輪拓線包括時間拓線和網絡空間拓線。由于物聯(lián)網設施在運行過程中是動態(tài)地接入IP地址實現對外通信，因此失陷物聯(lián)網設施的時間拓線是基于對物聯(lián)網網絡訪問日志的動態(tài)搜索，向前追溯以及向后追蹤該失陷物聯(lián)網設施對IP地址和URL的訪問行為，借助域名相似性、域名托管等關聯(lián)關系以及威脅情報等相關線索，識別出其中可能與攻擊行為相關的可疑IP地址和URL集合。可疑IP地址和URL集合一方面可用于后續(xù)的網絡空間維度拓線，另一方面在經過驗證后可用于更新構建異質信息圖推理模型的打標種子數據。

失陷物聯(lián)網設施的網絡空間拓線是利用時間拓線獲得的擴展可疑IP地址和URL集合，以及構建的異質信息圖，基于物聯(lián)網設施對可疑IP地址和URL的訪問行為，從可疑IP地址和URL集合進一步獲得擴展的物聯(lián)網失陷設備。

通過對失陷物聯(lián)網設施進行多輪的時間拓線和網絡空間拓線，以及迭代的打標種子數據和異質信息圖模型的更新和擴展，可以實現2跳以上溯源追蹤以及非法攻擊者的精準定位功能。

2 結 語

隨著5G網絡和物聯(lián)網應用的深入發(fā)展，將暴露出越來越多的物聯(lián)網應用安全問題，這些問題甚至會成為整個物聯(lián)網應用的薄弱環(huán)節(jié)。因此，加強物聯(lián)網安全變得更加重要，只有讓物聯(lián)網安全得到有效保障，才能對經濟發(fā)展和社會進步起到更好的推動作用。本文提出的技術方案通過加強物聯(lián)網設施的功能配置和實時監(jiān)測，對減少物聯(lián)網設施被濫用，降低物聯(lián)網設施涉恐、涉詐的發(fā)生具有重要防范作用，能夠為物聯(lián)網業(yè)務的高質量發(fā)展保駕護航。

參考文獻

[1]穆超，楊明，楊明曌，等.基于數字證書識別及校驗的物聯(lián)網固件安全檢測系統(tǒng)的設計與實現[J].山東科學，2020，33（4）：131-135.

[2]車欣.適用于物聯(lián)網安全的機器學習方法綜述[J].人工智能，2023（4）：91-95.

[3]林培亮，張澤彬.智能安防物聯(lián)網設備的網絡級安全與隱私控制[J].機電工程技術，2023，52（7）：252-253.

[4]李劍，董廷魯，李劼.基于證據理論物聯(lián)網安全態(tài)勢感知方法研究[J].網絡與信息安全學報，2022，8（2）：40-41.

[5]張歡，陸見光，唐向紅.面向沖突證據的改進DS證據理論算法[J].北京航空航天大學學報，2020，46（3）：616-623.

[6]鄧勇，施文康，朱振福.一種有效處理沖突證據的組合方法[J].紅外與毫米波學報，2004（1）：27-32.

[7] SYE L K， KUMAR S S， TSCHOFENIG H. Securing the internet of things： a standardization perspective [J]. IEEE internet of things journal， 2014， 1（3）： 265-275.

[8]王妍，孫德剛，盧丹.美國網絡安全體系架構[J].信息安全研究，2019，5（7）：582-585.

[9]劉峰，林東岱. 美國網絡空間安全體系[M].北京：科學出版社，2015.

[10] EL-HAJJ M， FADLALLAH A， CHAMOUN M， et al. A survey of internet of things （IoT） authentication schemes [J]. Sensors （Basel， Switzerland）， 2019， 19（5）： 1141.

作者簡介：張建榮（1979—），男，安徽人，碩士，高級工程師，現任聯(lián)通數字科技有限公司高級副總裁兼安全事業(yè)部總經理，主要從事網絡安全、云計算等業(yè)務創(chuàng)新及技術研究工作。

李 峰（1972—），男，博士，高級工程師，現任重慶聯(lián)通數字化部（信息安全部）總經理，從事信息IT和安全方面工作。

童貞理（1974—），男，四川大竹人，碩士，高級通信工程師，從事通信技術方面工作。

劉 湘（1975—），男，湖南人，高級工程師，現在重慶聯(lián)通從事通信技術方面工作。

收稿日期：2024-01-09 修回日期：2024-02-27

基金項目：2023中國聯(lián)通核心技術攻關項目：面向網絡空間安全治理場景的物聯(lián)網安全體系研究及應用（2023-HXGG-AA1-005）