CN108809970A

CN108809970A - 一种智能家居安全网关的安全防护方法

Info

Publication number: CN108809970A
Application number: CN201810544112.1A
Authority: CN
Inventors: 刘发贵; 彭妙霞
Original assignee: South China University of Technology SCUT
Current assignee: South China University of Technology SCUT
Priority date: 2018-05-29
Filing date: 2018-05-29
Publication date: 2018-11-13
Anticipated expiration: 2038-05-29
Also published as: CN108809970B

Abstract

本发明公开一种智能家居安全网关的安全防护方法。本发明采用双网卡适配技术和无线网络攻击检测解决智能家居路由不安全问题；改进入侵检测系统以添加对智能家居协议攻击的入侵检测和防御；对文件和进程实施访问控制，使用完整性度量、远程证明监控网关安全，形成病毒防护系统；双网卡流量分析提供对Mirai病毒及其变种的检测和防御。本发明除能保障内网以智能家居协议进行通信的设备外，还保障其它连上安全网关热点的设备的通信安全，抵御针对智能家居协议的攻击，提供对病毒的检测和防御，以及对Mirai病毒所形成的僵尸网络进行有效的检测和防范，保护家庭内外网双网络平面的网络安全,为智能家居安全乃至物联网安全提供解决方案和思路。

Description

一种智能家居安全网关的安全防护方法

技术领域

本发明涉及智能家居安全研究领域，特别涉及一种智能家居安全网关的安全防护方法。

背景技术

至2016年以来智能家居的攻击趋势是Mirai(Mirai Malware,Mirai恶意软件)病毒，并且正在持续变种。其攻击方式是使恶意程序感染智能设备，从而控制智能设备对正常服务器节点发动分布式拒绝服务攻击(Distributed Denial of Service,DDOS)，产生Tbytes级别的攻击流量，使网络瘫痪。

当前智能设备多种多样，缺乏统一的标准和规范，加上资源受限，对安全要求专而精。而如果给每一种设备都量身定做安全解决方案，可能导致安全功能造价高于其本身实用性功能造价，所以现有厂商普遍忽略安全问题。也有采取在智能家居网关部署安全措施的方法来降低安全开发和部署成本，但当前智能家居网关所涉及的安全中，网关类似加解密盒子，对进出数据进行加解密保障数据机密性，其存在诸多不足：

1、路由不安全性：智能家居网关需要借助路由器上网，路由器成为安全短板，只要攻击路由器就可使整个智能家居系统瘫痪。

2、缺少对智能家居协议攻击的防护：黑客发送攻击指令非法操纵电器，其本质是伪造智能家居协议的攻击。

3、缺少对智能家居网关自身安全的保护：当前智能家居网关处于家庭智能设备中控地位，保障其自身安全至关重要。

4、缺少对智能家居攻击趋势Mirai病毒及其变种的抵御和防范。

发明内容

本发明的主要目的在于克服现有智能家居安全技术的缺点与不足，提供一种智能家居安全网关的安全防护方法。本发明采用双网卡适配技术和基于snort(开源的入侵检测系统)的 snort‐wireless(开源的无线网络攻击检测系统)无线网络攻击检测解决智能家居路由不安全问题；改进snort添加对智能家居协议攻击的入侵检测和防御；对文件和进程实施访问控制，使用完整性度量、远程证明技术监控网关安全，形成病毒防护系统；双网卡流量分析提供对Mirai 病毒及其变种的检测和防御。

本发明的目的至少通过如下技术方案之一实现。

一种智能家居安全网关的安全防护方法，其包括无线网络攻击检测、智能家居协议攻击检测、病毒防御和双网卡流量分析；

上述一种智能家居安全网关的安全防护方法中，无线网络攻击检测使用双网卡适配技术同时启动智能家居网关的有线网卡和无线网卡，其中有线网卡连接外网，也就是外网卡。配置无线网卡散发无线热点供家庭中智能设备连接，无线网卡也就是内网卡。将包含无线网络攻击检测的snort‐wireless入侵检测系统添加到智能家居网关中，检测和防御针对无线路由的攻击。

上述一种智能家居安全网关的安全防护方法中，智能家居协议攻击检测具体方法：提取基于数据端点和MQTT(Message Queuing Telemetry Transport，消息队列遥测传输)的智能家居协议的攻击特征得到SmartHome规则库，实现SmartHome攻击检测引擎将当前消息和 SmartHome规则库进行规则匹配处理。改进snort入侵检测系统，在此基础上添加SmartHome 规则库和SmartHome攻击检测引擎。SmartHome规则格式内容如下：

动作uid‐>did(message:报警消息描述,index:数据端点索引号检查,value:数据端点索引号对应值检查,type：数据端点值数据类型检查)

规则头：动作uid‐>did

SmartHome规则包含3种动作：

alter：报警生成警报，一旦规则检测引擎检测到相应规则时产生报警日志，报警信息，并且通过邮件通知管理员

log：一旦检测到对应规则，生成日志，供以后分析

pass:一旦检测到对应规则将该信息丢弃

uid(user identification，用户标识)指数据来源，在MQTT协议中每一个数据源都会分配全局唯一的标识，uid是用户全局唯一标识，即数据来源于哪个用户。

did(device identification，设备标识)指数据目的，在MQTT协议中每一个数据所要发往的目的都会分配全局唯一的标识，did是设备全局唯一标识，即数据发往哪个设备。

uid‐>did指检查来自uid用户发往did设备的消息。

规则选项：(message:报警消息描述,index:数据端点索引号检查,value:数据端点索引号对应值检查,type：数据端点值的数据类型检查)。

规则选项是对具体的数据端点内容进行合法性检查。数据端点指的是控制家电的指令，包含指令类型即数据端点索引号，如具体的升温或者降温；指令内容即数据端点索引号所对应的值，如数据端点索引号指明是升温，数据端点索引号对应值是28，表示升温到28度；指令数据类型即数据端点值所对应的数据类型，如整型、浮点型等。由于数据端点有格式、取值范围和数值类型的限制，规则选项就是对每个数据端点内容进行相应的合法性检查。

上述一种智能家居安全网关的安全防护方法中，病毒防御将文件和目录访问控制、隐藏重要进程、远程证明应用到智能家居网关中，形成病毒防御系统。其内容包括：

网关文件和目录访问控制：对网关所在的轻量级操作系统中的文件和目录实施访问控制。包含只读、追加和可写三种权限。系统文件等设置为只读权限。日志等文件设置为添加权限，只增不减。其他文件设置为一般的可写权限。

隐藏重要进程：对重要进程如网关连接中转服务相关进程、网关安全监控相关的进程实现隐藏。

网关远程证明：对网关所在环境进行完整性度量，并将度量结果发送至服务器。供服务器判断并进行响应。远程服务器若判断当前网关处于不可信状态则采取措施，断开与之通信。

其中网关远程证明具体内容：网关主要功能是连接和中转，一旦上电激活后就与服务器建立基于MQTT协议和TLS(Transport Layer Security，安全传输层)协议的安全连接，之后一直维持心跳保持连接。网关完整性度量模块定期根据度量策略对自身所处平台进行完整性度量，并将结果上报给服务器，服务器进行指纹库比对，如果比对结果正常则说明当前网关处于安全状态，如果比对失败，则说明网关处于不安全状态，服务器采取防御措施，终止与网关的通信，并通过邮件实时告警通知网关管理员。当管理员对度量策略进行更改时，将触发完整性度量，网关发送指纹库更新消息给服务器。

上述一种智能家居安全网关的安全防护方法中，双网卡流量分析包含外网卡流量分析和内网卡流量分析，外网卡流量分析包含下述小步骤：

(1)、事先统计网关处于安全环境中的正常工作时的流量波动情况。统计当前时间窗口的流量波动情况与正常情况进行对比，如流量波动异常，则说明当前网络中可能存在异常。

(2)、接着统计网关总连接数和各个来源IP与网关的连接数量，由于网关资源有限，根据网关的资源以及一个家庭智能设备数量情况能够确定网关所能处理的总连接数阈值。如果当前网关连接数超标，说明存在流量异常攻击。

(3)、如果网关连接数没有超标而流量超标，也可能遭受的是DOS(Denial ofService,DOS) 攻击中的UDP(User Data Protocol,用户数据报协议)攻击等，这个时候统计该时间窗口中的访问情况，可以知道哪个来源IP的访问量最多，访问量由packets数量和bytes数量组成。接下来再对源IP进行合法性检查。

(4)、如果网关连接数超标，接下来需要对网络连接情况进行统计分析，包含源IP、连接数、访问次数和访问端口。这个统计信息可以确定攻击源，以及通过访问端口可以确定攻击的是哪一类服务。同时统计网关被访问最多的10个端口及其访问数量，可以辅助判断哪些服务可能正在遭受流量攻击。

(5)、对上面确定的攻击源进行合法性检查。因为有可能当前流量异常的访问来自于合法的用户的正常业务，需要排除这一情况才能确定是攻击。网关上电连上服务器后从服务器获取合法用户列表并缓存，如果该攻击源不属于合法用户，则阻断该攻击源，并且告警通知管理员。如果该攻击源属于合法用户列表，那么将不会阻断该攻击源，但是也会告警通知管理员。

内网卡流量分析包含下述小步骤：

(1)、先统计一段时间窗口下的内网网卡正常流量作为阈值。

(2)、统计当前流量，如果超过阈值，则可能存在攻击。

(3)、对内网访问外网的数据进行统计分析得到被攻击者信息。如果内网在当前时间窗口内对某一具体外网目的IP访问超标，当前可能内网形成僵尸网络对外网发起流量攻击。

(4)、对该被攻击的目的IP进行合法用户判断，如果属于合法用户，则告警。如果不属于合法用户，确定当前内网形成僵尸网络，存在内网对外网的流量攻击，采取防御措施，网关隔绝内网对该目的IP的访问，并告警通知管理员。其中采取防御措施除了包含阻断攻击源外，还包括网关流量限速等，减缓攻击进度。

与现有技术相比，本发明具有如下优点和有益效果：

1)本发明采用双网卡适配技术和无线网络攻击检测解决智能家居路由不安全问题。安全网关集无线路由和传统网关功能于一体，除保障内网以智能家居协议进行通信的设备外，还保障其它连上安全网关热点的设备的通信安全。

2)把入侵检测和防御技术运用到智能家居安全网关中，监控进出网关数据流安全。除检测和防御针对传统网络的攻击，还检测和防御针对智能家居协议的攻击。

3)把基于主机入侵检测技术进行改进，参考木马后门思想对文件和目录进行访问控制，以及对重要进程进行隐藏，结合可信计算中的远程证明技术应用到智能家居安全网关中，形成病毒检测和防御系统，保障重要的网关自身的安全。

4)结合数据包特征检测和流量分析，设计和实现智能家居网关双网卡流量分析，对智能家居安全主流攻击趋势的Mirai病毒及其变种进行有效的防御，保护双网络平面的网络安全。

附图说明

图1为实例中实现的智能家居网关获取合法用户列表流程图。

图2为实例中设计的SmartHome规则格式图。

图3为实例中实现的智能家居攻击检测流程图。

图4为实例中实现的双网卡流量分析中的外网卡流量分析流程图。

图5为实例中实现的双网卡流量分析中的内网卡流量分析流程图。

图6为实例中实现的病毒防御模型中的远程证明流程图。

图7为实例中智能家居安全网关应用到平台的整体框架图。

具体实施方式

以下结合附图和实例对本发明的具体实施作进一步说明，但本发明的实施和保护不限于此，需指出的是，以下若有未特别详细说明之处，均是本领域技术人员可参照现有技术实现的。

本实例的一种智能家居安全网关的安全防护方法主要由四个步骤组成，步骤如下：

步骤1：智能家居网关上电，根据配置文件启动双网卡，和服务器建立安全连接；

步骤2：网关从服务器获取合法用户列表并缓存，具体流程如图1所示；

步骤3：根据配置启动snort‐wireless无线网络攻击检测功能；

步骤4：启动智能家居协议攻击检测系统。具体包括：

a)提取基于数据端点的智能家居协议的攻击特征得到SmartHome规则库，SmartHome规则格式如图2所示；

b)生成对应的SmartHome入侵检测引擎；

c)将智能家居协议攻击检测模块整合到snort入侵检测系统中并启动，形成图3的智能家居攻击检测流程图；

步骤5：启动双网卡流量分析，具体包括：

a)分别统计正常情况下外网卡和内网卡流量波动情况生成阈值；

b)根据网关处理能力设置网关连接阈值；

c)启动外网卡流量分析，外网卡流量分析流程如图4所示；

d)启动内网卡流量分析，内网卡流量分析流程如图5所示；

步骤6：启动病毒防御模块，具体包括：

a)配置文件和目录的访问控制权限；

b)设置完整性度量策略；

c)启动远程证明模块，远程证明流程如图6所示；

d)启动隐藏进程模块，根据配置文件隐藏网关重要进程，包括上面所提及的网关与服务器连接中转进程、智能家居协议攻击检测进程、双网卡流量分析和病毒防御模块中的远程证明等重要进程。

步骤7：根据上面实施步骤形成图7所示的智能家居安全网关平台系统，按照用户注册，用户绑定设备，用户控制设备的使用顺序实现用户对智能设备的控制，并且网关实时监控进出内网数据保障内网的安全，同时保护外网免受来自内网僵尸网络的攻击。

本实例提出了一种智能家居安全网关的安全防护方法：采用双网卡适配技术和无线网络攻击检测解决智能家居路由不安全问题；改进snort添加对智能家居协议攻击的入侵检测和防御；对网关文件和进程实施访问控制，使用完整性度量、远程证明技术监控网关安全，形成病毒防护系统；双网卡流量分析提供对Mirai病毒及其变种的检测和防御，形成新的安全方案去解决智能家居安全问题，乃至物联网安全问题。

上述流程为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种智能家居安全网关的安全防护方法，其特征在于包括无线网络攻击检测、智能家居协议攻击检测、病毒防御和双网卡流量分析；

所述无线网络攻击检测包括：使用双网卡适配技术同时启动智能家居网关的有线网卡和无线网卡，其中有线网卡连接外网，有线网卡是外网卡；配置无线网卡散发无线热点供家庭中智能设备连接，无线网卡是内网卡；在智能家居网关的snort入侵检测系统基础上添加snort-wireless防御无线网络攻击，检测和防御针对无线路由的攻击。

2.根据权利要求1所述的一种智能家居安全网关的安全防护方法，其特征在于所述智能家居协议攻击检测具体包括：提取基于数据端点和MQTT的智能家居协议的攻击特征得到SmartHome规则库，实现SmartHome攻击检测引擎将当前消息和SmartHome规则库进行规则匹配处理；改进snort入侵检测系统，在此基础上添加SmartHome规则库和SmartHome攻击检测引擎。

3.根据权利要求2所述的一种智能家居安全网关的安全防护方法，其特征在于SmartHome规则的格式内容如下：

动作 uid -> did(message:报警消息描述,index:数据端点索引号检查,value:数据端点索引号对应值检查,type：数据端点值数据类型检查)；

规则头：动作 uid -> did；

SmartHome规则包含3种动作：

alter：报警生成警报，一旦规则检测引擎检测到相应规则时产生报警日志，报警信息，并且通过邮件通知管理员；

log：一旦检测到对应规则，生成日志，供以后分析；

pass: 一旦检测到对应规则将该信息丢弃；

uid指数据来源，在MQTT协议中每一个数据源都会分配全局唯一的标识，uid是用户全局唯一标识；

did指数据目的，在MQTT协议中每一个数据所要发往的目的都会分配全局唯一的标识，did是设备全局唯一标识；

uid -> did指检查来自uid用户发往did设备的消息；

规则选项：(message:报警消息描述,index:数据端点索引号检查,value:数据端点索引号对应值检查,type：数据端点值数据类型检查)；

规则选项是对具体的数据端点内容进行合法性检查；数据端点指的是控制家电的指令，包含指令类型即数据端点索引号，指令内容即数据端点索引号所对应的值；指令数据类型即数据端点值所对应的数据类型；由于数据端点有格式、取值范围和数值类型的限制，规则选项就是对每个数据端点内容进行相应的合法性检查。

4.根据权利要求1所述的一种智能家居安全网关的安全防护方法，其特征在于所述病毒防御将文件和目录访问控制、隐藏重要进程、远程证明应用到智能家居网关中，形成病毒防御系统。

5.根据权利要求4所述的一种智能家居安全网关的安全防护方法，其特征在于，

所述网关文件和目录访问控制具体包括：对网关所在的轻量级操作系统中的文件和目录实施访问控制，包含只读、追加和可写三种权限；系统文件设置为只读权限，日志文件设置为添加权限，只增不减，其他文件设置为可写权限；

所述隐藏重要进程包括：对网关连接中转服务相关进程、网关安全监控相关的进程实现隐藏；

所述网关远程证明对网关所在环境进行完整性度量，并将度量结果发送至服务器；供服务器判断并进行响应，远程服务器若判断当前网关处于不可信状态则采取措施，断开与之通信；

其中网关远程证明具体内容包括：网关主要功能是连接和中转，一旦上电激活后就与服务器建立基于 MQTT 协议和TLS 的安全连接，之后一直维持心跳保持连接；网关完整性度量模块定期根据度量策略对自身所处平台进行完整性度量，并将结果上报给服务器，服务器进行指纹库比对，如果比对结果一致则说明当前网关处于安全状态，如果比对结果不一致，则说明网关处于不安全状态，服务器采取防御措施，终止与网关的通信，并通过邮件实时告警通知网关管理员；当管理员对度量策略进行更改时，将触发完整性度量，网关发送指纹库更新消息给服务器。

6.根据权利要求1所述的一种智能家居安全网关的安全防护方法，其特征在于所述双网卡流量分析包含外网卡流量分析和内网卡流量分析；

外网卡流量分析包括：

（1）、事先统计网关处于安全环境中的正常工作时的流量波动情况；统计当前时间窗口的流量波动情况与正常情况进行对比，若流量波动异常，则说明当前网络中可能存在异常；

（2）、接着统计网关总连接数和各个来源IP与网关的连接数量，由于网关资源有限，根据网关的资源以及一个家庭智能设备数量情况能够确定网关所能处理的总连接数阈值；如果当前网关连接数超标，说明存在流量异常攻击；

（3）、如果网关连接数没有超标而流量超标，存在可能遭受DOS攻击中的UDP攻击的情况，这个时候通过统计该时间窗口中的访问情况，能知道哪个来源IP的访问量最多，访问量由packets数量和bytes数量组成；接下来再对源IP进行合法性检查；

（4）、如果网关连接数超标，接下来需要对网络连接情况进行统计分析，包含源IP、连接数、访问次数和访问端口；通过统计分析能确定攻击源，以及通过访问端口能确定攻击的是哪一类服务；同时统计网关被访问最多的10个端口及其访问数量，以辅助判断哪些服务存在正在遭受流量攻击的情况；

（5）、对上面确定的攻击源进行合法性检查；因为有可能当前流量异常的访问来自于合法的用户的正常业务，需要排除这一情况才能确定是攻击；网关上电连上服务器后从服务器获取合法用户列表并缓存，如果该攻击源不属于合法用户，则阻断该攻击源，并且告警通知管理员；如果该攻击源属于合法用户列表，那么将不会阻断该攻击源，但是也会告警通知管理员；

内网卡流量分析包含下述小步骤：

（1）、先统计设定时间窗口下的内网网卡正常流量作为阈值；

（2）、统计当前流量，如果超过阈值，则可能存在攻击；

（3）、对内网访问外网的数据进行统计分析得到被攻击者信息；如果内网在当前时间窗口内对某一具体外网目的IP访问超标，当前可能内网形成僵尸网络对外网发起流量攻击；

（4）、对该被攻击的目的IP进行合法用户判断，如果属于合法用户，则告警；如果不属于合法用户，确定当前内网形成僵尸网络，存在内网对外网的流量攻击，采取防御措施，网关隔绝内网对该目的IP的访问，并告警通知管理员；其中采取防御措施除了包含阻断攻击源外，还包括网关流量限速等，减缓攻击进度。