物联网系统安全威胁和风险评估
赵健1, 王瑞1, 李正民2,3, 雷敏4, 马敏耀5     
1. 西北大学 信息科学与技术学院, 西安 710127;
2. 国家计算机网络应急技术处理协调中心, 北京 100029;
3. 中国科学院 信息工程研究所, 北京 100093;
4. 北京邮电大学 信息安全中心, 北京 100876
摘要

物联网系统存在诸多安全隐患,当前的物联网系统评估分析方法是定性的分析评估方法,缺乏量化的评估分析方法.列出物联网系统面临的攻击,将攻击按照攻击面和攻击点进行分类,根据每种安全威胁的危害程度、发生概率以及补救措施的复杂程度,利用模糊综合评价法进行分析,构建一个安全分析的模型,从而可对物联网系统进行定量的分析,实现了物联网系统的安全量化评估.

关键词: 物联网系统安全     安全威胁     风险评估     模糊综合评价    
中图分类号:TN929.5;TP391.44 文献标志码:A 文章编号:1007-5321(2017) 增-0135-05 DOI:10.13190/j.jbupt.2017.s.030
Security Threats and Risk Assessment of IoT System
ZHAO Jian1, WANG Rui1, LI Zheng-min2,3, LEI Min4, MA Min-yao5     
1. School of Information Science and Technology, Northwest University, Xi'an 710127, China;
2. National Computer Network Emergency Response Technical Team/Coordination Center of China; Beijing 100029, China;
3. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China;
4. Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876, China
Abstract

Internet of things (IoT) system is a complex system, which faced with serious security challenges. Current risk evaluation method of IoT is qualitative but lack of quantitative assessment methods. Malicious attacks of IoT system are classified according to attack surface and attack point. Then a security analysis model using fuzzy comprehensive evaluation method is proposed bases on three elements of each attack, there are damage degree, occurrence probability and the complexity of reinforcement, which can be used as quantitative assessment methods of IoT system.

Key words: IoT security     security threat     risk assessment     fuzzy comprehensive evaluation    

物联网快速发展为人们的生活带来诸多便利,但同时随之也带了诸多安全隐患[1].综合考虑安全威胁发生的概率、危害的程度及其补救措施的复杂程度等方面,运用模糊综合评价法构建了一个安全分析的模型,实现了对物联网系统[2]定量的安全分析和评估物联网安全威胁源分析.

物联网的安全威胁来源主要包括

智能终端w1、通信网络w2、APPw3、云端w4四种攻击.其中,每种攻击类型下包括不同的攻击面,不同的攻击面包括不同的攻击点:

1) 智能终端下存在7个攻击面,分别是:

① 设备的存储w11, 该攻击面下存在如下攻击点:用户名明文存储w111,密码明文存储w112,不安全的密钥存储w113

② 设备的Web接口w12,该攻击面下存在如下攻击点:SQL注入w12, XSSw1222(跨站脚本攻击),CSRFw123(跨站与请求伪站),弱口令w124, 用户名暴力枚举w125,已知的默认认证w126

③ 设备的固件w13,该攻击面下存在如下攻击点:敏感信息泄露w131、后门账户w132、固件降级w133

④ 设备的网络服务w14,该攻击面下存在如下攻击点:未加密服务w141、不安全的固件更新w142、载体验证缺失w143、缺少信息完整性检查w144

⑤ 本地的数据存储w15,该攻击面下存在如下攻击点:数据未加密w151、利用已经泄露的密钥加密w152、缺乏数据完整性检测w153、用静态的密钥加密w154

⑥ 硬件w16,该攻击面下存在如下攻击点:设备伪造w161、验证缺陷w162

⑦ 更新机制w17,该攻击面下存在如下攻击点:更新过程没有加密w171、更新不需要签名w172、更新位置可以重写w173、恶意更新w174、更新没有验证w175

2) 通信网络下存在2个攻击面,分别是:

① 认证过程泄漏w21, 该攻击面下存在如下攻击点:cookie泄漏攻击w211、session泄漏攻击w212

② 未加密认证w22,该攻击面下存在如下攻击点:未加密的设备与设备的认证w221、未加密的设备与终端之间的认证w222、未加密的设备与云端的认证w223、未加密的终端与云端的认证w224、缺少动态认证w225

3) APP下存在2个攻击面,分别是:

① 手机端w31,该攻击面下存在如下攻击点:完全信任云端和设备w311、已知的默认账户w312、不安全的数据存储w313

② 反汇编破译w32,该攻击面下存在如下攻击点:没有加壳w321、未很好的混淆w322.

4) 云端存在2个攻击面,分别是:

① 身份认证安全w41,该攻击面下存在如下攻击点:SQL注入w411、XSS w412(跨站脚本攻击)、CSRF w413(跨站与请求伪造);

② 设计缺陷w42,该攻击面下存在如下攻击点:用户名暴力枚举w421、弱口令w422、账户泄露w423、已知的默认账户w424.

1 物联网系统风险评估分析

风险评估分析主要有2种方法:定性方法(专家调查法)和定量方法(模糊综合分析法、层次分析法),量化的物联网系统安全威胁更加易于管理人员对安全的分析.

1.1 建立层次分析模型

1) 主要使用层次分析法[3]讨论了基于物联网系统的安全威胁的识别,其中层次分析法的主要步骤之一就是构建多层次评估模型.按照特定属性以及类型,将目标指标的因数集划分为k个子集,或者说影响因素集Wk个指标,并记为

W={W1, W2, …, Wk}

其中$\mathop \cup \limits_{i = 0}^k {W_i} = W,{W_i} \cap {W_j} = \emptyset ,i \ne j.$

2) 对于每一个一级指标,如果包含至少2个下级指标,则可以继续将其按照某种属性或类型进行划分,如将W1继续划分为n个子集,记为

W1={W11, W12, W13, …, W1n}

其中$\mathop \cup \limits_{i = 0}^n {W_{1i}} = {W_1},{W_{1i}} \cap {W_{1j}} = \emptyset ,i \ne j.$

结合表格1,将目标指标因素集W共分为攻击类型、攻击面、攻击点3层.

$\begin{array}{l} 第1层:w = \left\{ {{w_1},{w_2},{w_3},{w_4}} \right\}\\ 第2层:{w_1} = \left\{ {{w_{11}},{w_{12}},{w_{13}},{w_{14}},{w_{15}},{w_{16}},{w_{17}}} \right\};\\ \quad \quad \quad {w_2} = \left\{ {{w_{21}},{w_{22}}} \right\}\\ \quad \quad \quad {w_3} = \left\{ {{w_{31}},{w_{32}}} \right\};\\ \quad \quad \quad {w_4} = \left\{ {{w_{41}},{w_{42}}} \right\}\\ 第3层:{w_{11}} = \left\{ {{w_{111}},{w_{112}},{w_{113}}} \right\};\\ \quad \quad \quad {w_{12}} = \left\{ {{w_{121}},{w_{122}},{w_{123}},{w_{124}},{w_{125}},{w_{126}}} \right\};\\ \quad \quad \quad {w_{13}} = \left\{ {{w_{131}},{w_{132}},{w_{133}}} \right\};\\ \quad \quad \quad {w_{14}} = \left\{ {{w_{141}},{w_{142}},{w_{143}},{w_{144}}} \right\};\\ \quad \quad \quad {w_{15}} = \left\{ {{w_{151}},{w_{152}},{w_{153}},{w_{154}}} \right\};\\ \quad \quad \quad {w_{16}} = \left\{ {{w_{161}},{w_{162}}} \right\}\\ \quad \quad \quad {w_{17}} = \left\{ {{w_{171}},{w_{172}},{w_{173}},{w_{174}},{w_{175}}} \right\};\\ \quad \quad \quad {w_{21}} = \left\{ {{w_{211}},{w_{212}}} \right\}\\ \quad \quad \quad {w_{22}} = \left\{ {{w_{221}},{w_{222}},{w_{223}},{w_{224}},{w_{225}}} \right\}\\ \quad \quad \quad {w_{31}} = \left\{ {{w_{311}},{w_{312}},{w_{313}}} \right\};\\ \quad \quad \quad {w_{32}} = \left\{ {{w_{321}},{w_{322}}} \right\};\\ \quad \quad \quad {w_{41}} = \left\{ {{w_{411}},{w_{412}},{w_{413}}} \right\}\\ \quad \quad \quad {w_{42}} = \left\{ {{w_{421}},{w_{422}},{w_{423}},{w_{424}}} \right\}\\ \end{array}$

1) 构建权重集α

权重可以理解为每个风险指标对上一级指标的相对影响程度,由于指标集中,各指标的重要程度不同,所以层次分析法中的另一个重要内容就是构建权重集,权重集的确定方法有很多,常用的方法主要有:层次分析法(AHP)、专家调查法(Delphi)[4].

2) 权重α的确定

专家调查法又称为Delphi法,特别适用于客观资料或者数据缺失情况下的长期预测或者其他方法难以应对的技术预测,主要采取CR校验法 以及加权平均法来保证数据的合法性.

表 1为对于w11打分的结果,具体过程如下.

表 1 w11打分样本值

权重T=危害程度×发生概率×(1-补救复杂程度/100);

接下来以第3层w11为例,根据公式T可得

T11=(15.5, 6.9, 17.0)

对其作归一化处理后得到

r=(0.391 4, 0.175 1, 0.431 5)

通过公式βij=ri/rj,

得到矩阵

$\mathit{\boldsymbol{\beta }} = \left[ {\begin{array}{*{20}{c}} {1.000}&{2.2353}&{{\rm{0}}{\rm{.911 7}}}\\ {{\rm{0}}{\rm{.445 1}}}&{{\rm{1}}{\rm{.000 0}}}&{{\rm{0}}{\rm{.405 8}}}\\ {{\rm{1}}{\rm{.096 8}}}&{{\rm{2}}{\rm{.464 3}}}&{{\rm{1}}{\rm{.000 0}}} \end{array}} \right]{\rm{ }}$

采用10/10~18/2标度法有

表 2 10/10~18/2标度法

并对矩阵β中的元素作就近选取,得到判断矩阵α

$\mathit{\boldsymbol{\alpha }} = \left[ {\begin{array}{*{20}{l}} {10/10}&{14/6}&{10/10}\\ {6/14}&{10/10}&{6/14}\\ {10/10}&{14/6}&{10/10} \end{array}} \right]$

对矩阵作一致性检验:

主要采用CR校验法,实现对矩阵一致性的检验,公式为

CR=CI/RI

其中:CR表示一致性比率,CI表示一致性指标,RI表示随即一致性指标.

① 求取判断矩阵α的最大特征值和对应的特征向量p

② 求取CI=(λmax -n)/(n-1);其中n为矩阵α的阶数;

③ 求取CR=CI/RI;其中RI可查表得到或另行计算.

表 3 10/10~18/2标度法平均随机一致性指标RI取值参考表

现在,对判断矩阵αCR检验.经运算求得λmax=3.000 0,对应的归一化特征向量:

$\begin{array}{l} \mathit{\boldsymbol{p}} = 0.676\quad 70.290\quad 00.6767\\ \quad {\rm{CI = (}}{{\rm{ \mathsf{ λ} }}_{{\rm{max}}}}{\rm{ - 3)/}}\left( {{\rm{3 - 1}}} \right){\rm{ = 0}}\\ \quad {\rm{CR = CI/RI = 0/0}}{\rm{.26 = 0}} \end{array}$

根据CR=0<0.1,所以判断矩阵A通过一致性检验,故可将特征向量P归一化后得到的向量P11,作为权向量,即得第3层w11的权向量为

w11=(0.676 7,0.290 0,0.676 7)

同理,

w12=(0.256 7,0.223 0,0.327 8,0.599 1,0.574 4,0.296 6)

w13=(0.445 1,0.847 5,0.289 5)

w14=(0.465 1,0.464 9,0.206 3,0.724 6)

w15=(0.197 2,0.190 7,0.440 2,0.759 2,0.384 4)

w16=(0.474 1,0.880 5)

w17=(0.061 1,0.589 7,0.564 8,0.343 2,0.460 1)

w21=(0.774 0,0.633 2)

w22=(0.549 9,0.420 8,0.475 7,0.184 1,0.519 8)

w31=(0.290 0,0.676 7,0.687 9)

w32=(0.774 0,0.633 2)

w41=(0.562 1,0.459 2,0.687 9)

w42=(0.654 1,0.654 1,0.339 6,0.169 8)

第2层:

$\begin{array}{l} {\mathit{\boldsymbol{w}}_1} = \left( {0.573{\rm{ }}1,0.454{\rm{ }}7,0.384{\rm{ }}6,0.042{\rm{ }}2,{\rm{ }}0.332{\rm{ }}8,0.095{\rm{ }}4,0.441{\rm{ }}8} \right)\\ \quad \quad \quad \quad \quad \quad \quad {\mathit{\boldsymbol{w}}_2} = \left( {0.138{\rm{ }}7,0.990{\rm{ }}3} \right)\\ \quad \quad \quad \quad \quad \quad \quad {\mathit{\boldsymbol{w}}_3} = \left( {0.993{\rm{ }}9,0.110{\rm{ }}4} \right)\\ \quad \quad \quad \quad \quad \quad \quad {\mathit{\boldsymbol{w}}_4} = \left( {0.707{\rm{ }}1,0.707{\rm{ }}1} \right) \end{array}$

第1层:

w=(0.356 7,0.794 4,0.259 9,0.417 2)

1.2 建立评语集V

评语集是用以确定指标因素集中每个指标状态

的集合,代表不同安全威胁的危害程度.在对该物联网系统的安全风险评估分析中,V通常被划分为5个等级V={极低,低,中等,高,极高}.

1.3 建立隶属度矩阵

隶属度矩阵是用来描述各个指标对于评语集各个等级隶属度的矩阵,是基础的评价结果.

$\mathit{\boldsymbol{\delta }} = \left[ \begin{array}{l} {\delta _{11}}&{\delta _{12}}&{\delta _{13}}& \ldots &{\delta _{1k}}\\ {\delta _{21}}&{\delta _{22}}&{\delta _{23}}& \ldots &{\delta _{2k}}\\ \vdots & & & &\vdots \\ {\delta _{n1}}&{\delta _{n2}}&{\delta _{n3}}& \ldots &{\delta _{nk}} \end{array} \right]$

其中δij为第i个指标关于第j个评语等级的隶属度.对于大多数的风险评估分析问题,指标因素往往很难量化,可以采用专家调查法由统计手段获得其隶属度.表 5给出了结构因素指标集的专家调查结果.

表 5 物联网系统风险评估分值表
1.4 多层次综合评判

多层次综合评判[5-7]的数学模型为:T=αδ,其中α为权重矩阵,δ为隶属矩阵.

采用三级模糊综合评判模型.

1) 第1级模糊综合评判(以w11为例作具体阐述说明)

针对w11的模糊综合评判如下:

$\begin{array}{l} \quad \quad \quad \quad {\mathit{\boldsymbol{T}}_{11}} = {\mathit{\boldsymbol{w}}_{11}}{\mathit{\boldsymbol{\delta }}_{11}} = \\ \quad \quad {\left( {0.6767,0.2900,0.6767} \right)_{1 \times 3}} = \\ \quad \quad \left[ {\begin{array}{*{20}{c}} {{\rm{0}}{\rm{.1}}}&{{\rm{0}}{\rm{.3}}}&{{\rm{0}}{\rm{.2}}}&{{\rm{0}}{\rm{.3}}}&{{\rm{0}}{\rm{.1}}}\\ {\rm{0}}&{\rm{0}}&{{\rm{0}}{\rm{.1}}}&{{\rm{0}}{\rm{.6}}}&{{\rm{0}}{\rm{.3}}}\\ {\rm{0}}&{{\rm{0}}{\rm{.1}}}&{{\rm{0}}{\rm{.3}}}&{{\rm{0}}{\rm{.4}}}&{{\rm{0}}{\rm{.2}}} \end{array}} \right] = \\ \left( {0.0677,0.2707,0.3673,0.6477,0.2900} \right) \end{array}$

同理,可得

T12=(0.083 7,0.025 1,0.519 0,0.812 6,0.647 3)

T13=(0.073 5,0.102 4,0.418 8,0.445 7,0.541 7)

T14=(0.305 0,0.206 7,0.646 0,0.299 7,0.403 4)

T15=(0.197 2,0.190 7,0.440 2,0.759 2,0.384 4)

T16=(0.182 9,0.182 9,0.494 4,0.406 4,0.081 1)

T17=(0.220 4,0.478 2,0.607 4,0.533 1,0.179 7)

T21=(0.394 0,0.358 8,0.422 2,0.154 8,0.077 4)

T22=(0.400 1,0.511 7,0.889 5,0.348 9,0.042 1)

T31=(0.067 7,0.135 3,0.328 7,1.015 0,0.096 7)

T32=(0.295 5,0.577 0,0.394 0,0.140 7,0)

T41=(0.114 7,0.183 5,0.479 4,0.479 6,0.452 0)

T42=(0.050 9,0.150 3,0.383 0,0.707 6,0.528 5)

2) 第2级模糊评判

$\begin{array}{l} \quad \quad \quad \quad \quad \quad {\mathit{\boldsymbol{T}}_1} = {\mathit{\boldsymbol{w}}_1}{\mathit{\boldsymbol{\delta }}_1} = \\ \quad \quad \quad (0.573{\rm{ }}1,0.454{\rm{ }}7,0.384{\rm{ }}6,0.042{\rm{ }}2,\\ \quad \quad \quad \quad \quad 0.332{\rm{ }}8,0.095{\rm{ }}4,0.441{\rm{ }}8) \times \\ \left[ {\begin{array}{*{20}{l}} {0.067{\rm{ }}7}&{0.270{\rm{ }}7}&{0.367{\rm{ }}3}&{0.647{\rm{ }}7}&{0.290{\rm{ }}0}\\ {0.083{\rm{ }}7}&{0.205{\rm{ }}1}&{0.519{\rm{ }}0}&{0.812{\rm{ }}6}&{0.647{\rm{ }}3}\\ {0.073{\rm{ }}5}&{0.102{\rm{ }}4}&{0.418{\rm{ }}8}&{0.445{\rm{ }}7}&{0.541{\rm{ }}7}\\ {0.305{\rm{ }}0}&{0.206{\rm{ }}7}&{0.646{\rm{ }}0}&{0.299{\rm{ }}7}&{0.403{\rm{ }}4}\\ {0.197{\rm{ }}2}&{0.190{\rm{ }}7}&{0.440{\rm{ }}2}&{0.759{\rm{ }}2}&{0.384{\rm{ }}4}\\ {0.182{\rm{ }}9}&{0.182{\rm{ }}9}&{0.494{\rm{ }}4}&{0.406{\rm{ }}4}&{0.088{\rm{ }}1}\\ {0.220{\rm{ }}4}&{0.478{\rm{ }}2}&{0.607{\rm{ }}4}&{0.533{\rm{ }}1}&{0.179{\rm{ }}7} \end{array}} \right]\\ \quad \left( {0.298{\rm{ }}4,0.588{\rm{ }}7,1.096{\rm{ }}8,1.451{\rm{ }}7,0.901{\rm{ }}6} \right) \end{array}$

同理

$\begin{array}{l} {\mathit{\boldsymbol{T}}_2} = \left( {0.450{\rm{ }}9,0.556{\rm{ }}5,0.939{\rm{ }}4,0.367{\rm{ }}0,0.052{\rm{ }}0} \right)\\ {\mathit{\boldsymbol{T}}_3} = \left( {0.099{\rm{ }}9,0.198{\rm{ }}2,0.370{\rm{ }}2,1.024{\rm{ }}3,0.096{\rm{ }}1} \right)\\ {\mathit{\boldsymbol{T}}_4} = \left( {0.117{\rm{ }}1,0.236{\rm{ }}0,0.609{\rm{ }}8,0.836{\rm{ }}5,0.691{\rm{ }}4} \right) \end{array}$

3) 第3级模糊评判:

$\mathit{\boldsymbol{T}} = \left( {0.539{\rm{ }}5,0.802{\rm{ }}0,1.488{\rm{ }}1,1.425{\rm{ }}8,0.676{\rm{ }}3} \right)$
2 结束语

研究成果如下.

1) 建立了完整的一套物联网系统风险识别流程,并且系统地分析了物联网系统可能遭受到的安全威胁,提出了基于物联网系统的安全威胁指标.

2) 运用模糊综合评价法,建立了完整的针对物联网系统的安全评估流程.

3) 结合物联网系统遭遇安全威胁的发生概率,危害程度,补救措施的对应关系,定量分析了物联网系统安全,使得对物联网系统安全有一个更直观的认识.

4) 根据最终的模糊评价集,采用最大隶属度法处理评价的结果,最终的评判结果为:中;即针对该系统,依据物联网信息系统风险评估三级模型,评价得出它的风险程度为:中.

参考文献
[1] 雷吉成. 物联网安全技术[M]. 北京: 电子工业出版社, 2012: 34-35.
[2] 雷璟. 物联网安全测评和风险评估技术研究[J]. 电讯技术, 2013, 53(3): 323–328.
Lei Jing. Research on security evaluation and risk assessment for Internet of things[J]. telecommunication Engineering, 2013, 53(3): 323–328. doi: 10.3969/j.issn.1001-893x.2013.03.019
[3] 雷敏, 刘晓明, 张鸿. 面向Web信息系统安全威胁和风险评估分析[J]. 北京邮电大学学报, 2016, 39(s1): 87–93.
Lei Min, Liu Xiaoming, Zhang Hong. Research on security thresats and risk assessment in web information system[J]. Journal of Beijing University of Posts and Telecommunications, 2016, 39(s1): 87–93.
[4] 孙博, 肖汝诚. 基于层次分析-模糊综合评价法的桥梁火灾风险评估体系[J]. 同济大学学报, 2015, 43(11): 1619–1625.
Sun Bo, Xiao Rucheng. Bridge fire risk assessment system based on analytic hierarchy proccss-Fizzu comprehensive evaluation mchod[J]. Journal of Tongji University(Hatural Science), 2015, 43(11): 1619–1625. doi: 10.11908/j.issn.0253-374x.2015.11.002
[5] 荆亚涛, 胡立伟, 越江. 改进的专家调查法在海上风电场拓扑优化选址中的应用[J]. 珠江现代建设, 2014(3): 26–28.
Jing Yatao, Hu Liwei, Jiang Jiang. Application of modified expert investigation method in the topological optimization site selection of offshore wind farm[J]. Wind Energy, 2014(3): 26–28.
[6] Liu Lianxin, Liu Yu, Shi Guangxia. Study on the analytic hierarchy process and fuzzy comprehensive evaluation on the quality of teaching[J]. Journal of Chemical and Pharmaceutical Research, 2014, 6(2): 89–95.
[7] Tao Yun, Cheng Xiefeng. Research of a multi-level analytic comprehensive evaluation model and applied[J]. Applied Mechanics and Materials, 2014(631-632): 1320–1324.