基于深度包檢測(cè)及樸素貝葉斯的物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)安全防護(hù)系統(tǒng)設(shè)計(jì)研究

（惠州學(xué)院網(wǎng)絡(luò)與信息中心，廣東 惠州 516007）

物聯(lián)網(wǎng)系統(tǒng)多采用MQTT 協(xié)議，一旦應(yīng)用該協(xié)議時(shí)未進(jìn)行身份認(rèn)證，就給攻擊者留下通過(guò)非法客戶(hù)端進(jìn)入MQTT 服務(wù)器的漏洞，攻擊者可以通過(guò)該漏洞獲得物聯(lián)網(wǎng)內(nèi)部保密數(shù)據(jù)甚至對(duì)其進(jìn)行篡改，還能夠通過(guò)編寫(xiě)破壞性控制指令對(duì)物聯(lián)網(wǎng)生產(chǎn)對(duì)象和生產(chǎn)器材進(jìn)行破壞，給物聯(lián)網(wǎng)帶來(lái)生產(chǎn)中斷、財(cái)產(chǎn)損失等威脅。

1 物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)面臨的安全問(wèn)題及應(yīng)對(duì)策略

攻擊者通常通過(guò)結(jié)構(gòu)符合MQTT 報(bào)文規(guī)范的偽裝報(bào)文對(duì)物聯(lián)網(wǎng)局域網(wǎng)絡(luò)發(fā)起攻擊，如MQTT 客戶(hù)端缺乏相應(yīng)身份認(rèn)證措施就會(huì)被偽裝數(shù)據(jù)包修改協(xié)議內(nèi)容并被攻擊者控制。此外，攻擊者還可以將入侵主機(jī)偽裝為客戶(hù)端及服務(wù)器，以此達(dá)到修改客戶(hù)端數(shù)據(jù)的非法目的。

目前大多數(shù)的數(shù)據(jù)處理服務(wù)器只應(yīng)用了普通防火墻進(jìn)行簡(jiǎn)單的系統(tǒng)防護(hù)，在面對(duì)一般攻擊時(shí)能夠起到一定防護(hù)效果，卻無(wú)法應(yīng)對(duì)較強(qiáng)的攻擊。因此在普通防火墻之外為物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)建立更為安全有效的防護(hù)系統(tǒng)是非常有必要的。本文設(shè)計(jì)的物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)安全防護(hù)系統(tǒng)包括兩個(gè)部分：第一部分為基于深度包的數(shù)據(jù)訪問(wèn)控制子系統(tǒng)，可以專(zhuān)門(mén)針對(duì)MQTT 協(xié)議的應(yīng)用層實(shí)施深度檢測(cè)；第二部分為基于樸素貝葉斯的異常流量控制子系統(tǒng)，可以針對(duì)MQTT 協(xié)議下產(chǎn)生的流量進(jìn)行實(shí)時(shí)檢測(cè)。兩個(gè)子系統(tǒng)同時(shí)工作，不但可以防御含有明顯異常特征的偽數(shù)據(jù)包的攻擊，還能有效監(jiān)視隱蔽性較強(qiáng)的、符合MQTT 協(xié)議和訪問(wèn)規(guī)則的偽數(shù)據(jù)包。由這兩個(gè)子系統(tǒng)構(gòu)成的物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)安全防護(hù)體系的架構(gòu)如圖1所示：

圖1 由2個(gè)子系統(tǒng)組成的物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)安全防護(hù)體系

2 基于深度包檢測(cè)的數(shù)據(jù)訪問(wèn)控制系統(tǒng)設(shè)計(jì)

2.1 深度包檢測(cè)數(shù)據(jù)訪問(wèn)的模塊結(jié)構(gòu)

深度包是對(duì)TCP/IP 數(shù)據(jù)流和應(yīng)用層協(xié)議數(shù)據(jù)流進(jìn)行檢測(cè)的一種控制技術(shù)，能夠完成對(duì)數(shù)據(jù)流進(jìn)行讀取、分析、對(duì)比、歸類(lèi)等操作，在與標(biāo)準(zhǔn)安全對(duì)比后判定數(shù)據(jù)流是否存在異常。該子系統(tǒng)模型如圖2所示：

圖2 MQTT協(xié)議深度包檢測(cè)模型

在圖2中，深度包檢測(cè)子系統(tǒng)連接了MQTT 的客戶(hù)端和服務(wù)器，實(shí)現(xiàn)了對(duì)協(xié)議完整性、控制報(bào)文及其標(biāo)志位的檢測(cè)、訪問(wèn)控制策略的制定。其中，協(xié)議完整性檢測(cè)的作用是查驗(yàn)數(shù)據(jù)控制報(bào)文是否與協(xié)議相符，形成對(duì)數(shù)據(jù)流是否異常的初步檢驗(yàn)。報(bào)文及其標(biāo)志位檢測(cè)的作用是提取報(bào)頭信息并對(duì)其進(jìn)行深入分析，為接下來(lái)其合法性的判斷打好基礎(chǔ)。最后通過(guò)將控制報(bào)文與安全規(guī)則進(jìn)行比對(duì)來(lái)判斷該報(bào)文是否符合預(yù)定規(guī)則。至此，一次完整的MQTT 服務(wù)器深度包檢測(cè)過(guò)程結(jié)束。

2.2 協(xié)議完整性檢測(cè)

為防止黑客利用偽裝客戶(hù)端與MQTT 服務(wù)器連接并發(fā)送偽造控制報(bào)文，需要查驗(yàn)MQTT 客戶(hù)端與服務(wù)器之間的通信數(shù)據(jù)是否完整，同時(shí)檢測(cè)報(bào)文結(jié)構(gòu)與內(nèi)容的合法性。該檢測(cè)包括3個(gè)對(duì)象：

其一，端口號(hào)：IBM 已經(jīng)將MQTT 服務(wù)器目的端口規(guī)范為1883號(hào)，非此號(hào)的報(bào)文即具有異常性質(zhì)。

其二，固定報(bào)頭：MQTT 報(bào)頭包括固定報(bào)頭、可變報(bào)頭和有效載荷報(bào)頭。前兩者并不是報(bào)文中必有的內(nèi)容，而固定報(bào)頭必須出現(xiàn)在第1-2字節(jié)位置。因此如遇到該字節(jié)位置不是固定報(bào)頭內(nèi)容的就可以該報(bào)文存在異常。

其三，報(bào)文長(zhǎng)度：第2字節(jié)位置的固定報(bào)頭指定了該報(bào)文剩余內(nèi)容的容量，如兩者不相符則可判斷該報(bào)文存在異常。

2.3 控制報(bào)文類(lèi)型及標(biāo)志位檢測(cè)

完整性檢測(cè)的對(duì)象為報(bào)文結(jié)構(gòu)，但無(wú)法保障報(bào)文類(lèi)型是否正確，因此要通過(guò)報(bào)文類(lèi)型及標(biāo)志位檢測(cè)對(duì)其進(jìn)行深度判斷。MQTT報(bào)文類(lèi)型由位于第1字節(jié)的報(bào)頭控制，取值1-15，如表1所示：

表1 MQTT報(bào)文類(lèi)型及涵義

上表中，數(shù)值為1、8、10、12、14的為客戶(hù)端向服務(wù)端傳輸?shù)膱?bào)頭；2、9、11、13為服務(wù)端向客戶(hù)端傳輸?shù)膱?bào)頭；3-7位雙向報(bào)頭。每個(gè)報(bào)頭的值都起到控制報(bào)文類(lèi)型的作用。通過(guò)報(bào)文類(lèi)型與標(biāo)志位的對(duì)比能夠?qū)ι疃劝M(jìn)行報(bào)文檢測(cè)。

2.4 MQTT 協(xié)議深度包檢測(cè)訪問(wèn)控制

本文采用白名單策略，這樣只有完全符合安全規(guī)則的數(shù)據(jù)包才能通過(guò)檢測(cè)并進(jìn)入數(shù)據(jù)處理系統(tǒng)內(nèi)部。該系統(tǒng)包括TCP/IP 數(shù)據(jù)包的源/目IP 地址檢測(cè)、目的端口檢測(cè)、控制報(bào)文類(lèi)型檢測(cè)和報(bào)文類(lèi)型標(biāo)志位檢測(cè)。這些檢測(cè)項(xiàng)目共同構(gòu)成了基于MQTT 協(xié)議深度包的安全規(guī)則流程，可以表示為：

2.5 模塊測(cè)試

本研究的模塊測(cè)試包括模塊功能驗(yàn)證與模塊性能驗(yàn)證兩個(gè)部分。

首先，對(duì)模塊功能進(jìn)行驗(yàn)證。驗(yàn)證方式為先發(fā)送正確數(shù)據(jù)包，通過(guò)檢測(cè)后再發(fā)送定向修改數(shù)據(jù)包，如深度寶檢測(cè)防火墻能夠檢測(cè)出修改報(bào)文的異常，說(shuō)明模塊具備檢測(cè)異常數(shù)據(jù)包的功能。檢測(cè)結(jié)果如表2所示：

表2 深度包模塊測(cè)試結(jié)果

而后對(duì)模塊的性能進(jìn)行驗(yàn)證。在未添加深度包檢測(cè)時(shí)，防護(hù)模塊相應(yīng)平均時(shí)間為0.00056s，平均吞吐量為0.198Mb/s；添加深度包檢測(cè)模塊后，防護(hù)模塊相應(yīng)平均時(shí)間為0.00059s，平均吞吐量為0.190Mb/s。增加深度包模塊使系統(tǒng)平均相應(yīng)時(shí)間增加了5.36%，平均吞吐量降低了4.04%，對(duì)網(wǎng)絡(luò)性能影響較小。

3 基于樸素貝葉斯的異常流量控制系統(tǒng)設(shè)計(jì)

3.1 樸素貝葉斯算法下的異常流量控制原理

貝葉斯定理是樸素貝葉斯算法的原理，該定理是利用條件發(fā)生的概率推算分類(lèi)項(xiàng)目歸屬不同類(lèi)別的概率。其原理包括準(zhǔn)備、分類(lèi)器訓(xùn)練和應(yīng)用這3個(gè)步驟。在準(zhǔn)備階段：依照系統(tǒng)要求及工作目的來(lái)抽取分類(lèi)項(xiàng)的特征屬性并將這些屬性進(jìn)行分類(lèi)。此時(shí)有一些特征屬性較易劃分到不同類(lèi)別中，則可作為訓(xùn)練樣本，負(fù)責(zé)對(duì)分類(lèi)器進(jìn)行前期訓(xùn)練；而不易被分類(lèi)的特征屬性則將被分類(lèi)器劃分到不同類(lèi)別中。在分類(lèi)器訓(xùn)練階段：通過(guò)對(duì)訓(xùn)練樣本中各類(lèi)別出現(xiàn)的概率對(duì)每個(gè)類(lèi)別的條件概率進(jìn)行區(qū)分。在應(yīng)用階段：將上階段的區(qū)分做為基礎(chǔ)，對(duì)分類(lèi)學(xué)進(jìn)行分類(lèi)的預(yù)測(cè)，該步驟的主要內(nèi)容是對(duì)條件概率計(jì)算。

樸素貝葉斯算法包括三個(gè)步驟，因此建立在該算法基礎(chǔ)上的異常流量監(jiān)測(cè)也分為三個(gè)步驟：

（1）準(zhǔn)備步驟：將流量分為異常流量和異常流量?jī)深?lèi)，根據(jù)通信協(xié)議特征抽取正常/異常流量特征屬性。

（2）訓(xùn)練階段：將大量的通信流量作為訓(xùn)練樣本，分別計(jì)算正常及異常流量出現(xiàn)的概率，以及每個(gè)協(xié)議特征屬性在正常/異常流量中出現(xiàn)的條件概率。

（3）將陌生數(shù)據(jù)包中的特征屬性作為待測(cè)分類(lèi)項(xiàng)并輸入到步驟（2）中的訓(xùn)練器中進(jìn)行檢測(cè)。

3.2 MQTT 協(xié)議特征屬性選擇及數(shù)據(jù)預(yù)處理

3.2.1 提取報(bào)文特征屬性

有效提取MQTT 協(xié)議下報(bào)文的特征屬性是實(shí)現(xiàn)樸素貝葉斯算法下的異常流量控制最關(guān)鍵的步驟。首先按照時(shí)間順序每60s 提取一次MQTT 通信流量，盡可能獲取更多的正常/異常流量作為訓(xùn)練樣本（大小以N代表）。將每個(gè)MQTT 數(shù)據(jù)包中固定報(bào)頭的控制報(bào)文類(lèi)型及控制其標(biāo)志位分別記為x1、x2，由此得到該數(shù)據(jù)包的特征屬性向量（i為數(shù)據(jù)包數(shù)量）。

3.2.2 訓(xùn)練樣本的預(yù)處理

②異常特征屬性向量的特征屬性包括P（Y=0）對(duì)應(yīng)的x1及x2對(duì)應(yīng)的條件概率：

3.3 樸素貝葉斯算法下的MQTT 協(xié)議異常流量檢測(cè)模型

對(duì)于某個(gè)待測(cè)MQTT 數(shù)據(jù)包來(lái)說(shuō)，將其固定報(bào)頭的x1及x2共同作為待分類(lèi)項(xiàng)X，則有X=[x1，x2]。這個(gè)數(shù)據(jù)包中正常/異常流量出現(xiàn)的概率分別為。根據(jù)上文推算的條件概率公式可知：

檢測(cè)模型可以用圖3表示：

圖3 基于樸素貝葉斯理論的MQTT異常流量檢測(cè)流程

3.4 模塊測(cè)試

選擇538個(gè)MQTT 控制報(bào)文樣本，將其中256個(gè)報(bào)文設(shè)置為異常后制作訓(xùn)練器，再對(duì)420個(gè)未知數(shù)據(jù)包進(jìn)行分類(lèi)。與對(duì)控制報(bào)文類(lèi)型及標(biāo)志位進(jìn)行檢測(cè)的方法進(jìn)行對(duì)比，采用基于樸素貝葉斯理論的異常流量檢測(cè)的結(jié)果如表3所示：

表3 不同檢測(cè)方式對(duì)比

通過(guò)表3可以看出，利用樸素貝葉斯理論同時(shí)檢測(cè)控制報(bào)文類(lèi)型及控制報(bào)文類(lèi)型標(biāo)志位，檢測(cè)正確率可高達(dá)92.14%，高于單獨(dú)檢測(cè)一項(xiàng)內(nèi)容；而誤報(bào)率和漏報(bào)率都低于單獨(dú)檢測(cè)一項(xiàng)。說(shuō)明采用該方法能夠有效的提升對(duì)數(shù)據(jù)流量的防護(hù)效果。

4 結(jié)束語(yǔ)

本研究通過(guò)基于白名單的深度包檢測(cè)深度解析MQTT 協(xié)議，實(shí)現(xiàn)對(duì)控制報(bào)文完整性、準(zhǔn)確性的檢測(cè)，防止與規(guī)則不符的數(shù)據(jù)包進(jìn)入物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)；通過(guò)基于樸素貝葉斯原理的異常流量檢測(cè)模塊對(duì)通信流量進(jìn)行監(jiān)控。兩種方式共同構(gòu)建起對(duì)物聯(lián)網(wǎng)數(shù)據(jù)處理系統(tǒng)的安全防護(hù)系統(tǒng)，有效提供全面、穩(wěn)定的安全防護(hù)功能。