分论坛 > 总部 > 活动预告
CCF YOCSEF举办特别论坛——从美国大规模断网事件看物联网安全乱态
2017-10-11 阅读量:696 小字

当地时间10月21日,一场始于美国东部的大规模互联网瘫痪席卷全美,使得Twitter、Spotify、Netflix、Airbnb、Github、Reddit以及纽约时报等主要网站无法访问。据调查,起因是美国主要域名服务器(DNS)提供商Dyn(Dynamic Network Service)公司遭到来自超过千万数量的IP大规模病毒的攻击。黑客利用网络摄像机、网络打印机等大量物联网设备组成僵尸网络发动了此次网络攻击。随着物联网的进一步普及和发展,物联网技术在智能制造、智慧城市建设中广泛应用,但物联网安全建设却一直滞后。此次网络攻击事件为我国政府和产业界敲响了安全警钟,有必要对该事件进行深入分析,加强应对策略。

针对此次美国断网事件,中国计算机学会青年计算机科技论坛(CCF YOCSEF)于2016年11月5日在京仪大酒店举办 “从美国大规模断网事件看物联网安全乱态”特别论坛,邀请互联网、物联网安全方面专家,从恶意代码传播等角度解读美国东部断网事件,分析当前物联网设备存在的安全和未知挑战,探讨物联网建设的方法和策略。本次论坛的主席由CCF YOCSEF学术委员会委员、北京理工大学教授祝烈煌,中科院信息工程研究所研究员操晓春和CCF YOCSEF杭州分论坛学术秘书、浙江大学教授徐文渊担任执行主席。                  

关于Dyn受攻击的情况说明

本次大规模互联网瘫痪的原因,是美国主要域名服务器(DNS)提供商Dyn受到了严重的DDoS攻击,大量机器在同一时间对Dyn发起流量攻击,网络带宽被瞬间占满。DNS服务商的主要职责是将域名解析为IP地址,一旦被攻击瘫痪,将导致大量网站用户访问失败。
360网络安全研究院专家李丰沛介绍了此次攻击的一些细节:Dyn为每位重要客户提供四个IP地址作为域名服务器,四个IP地址分布在四个网段,这是传统的网络负载均衡的方式,这个方式历史上也比较有效。图1为攻击现场流量统计。之所以判定Twitter为被攻击对象主要有以下几个方面:第一,其被攻击的波峰时间比后续看到的其他攻击时间要早;第二,波峰的流量值相对背景流量超出20倍左右;第三,四个IP地址同时受到攻击,因为它是负载均衡的结构,所以四个IP地址如果只有一个、两个、三个被打还是能提供服务的,那么四个IP地址同时被打,这是攻击第一现场比较核心的原因。

图1 攻击现场流量统计

虽然当天晚些时间,还有其他的IP地址被打,甚至还有一些流量是这四个IP地址流量峰值的数量级倍,但不满足四个安全被打的条件,因此把其他攻击排除掉。同时猜测攻击上述四个IP时其流量已足够大,整个四个IP所在的C类网段下行流量全部被打满,这时整个四个网段都不响应,因此波及到其他都在这四个网段中的网站,比如Github、Paypal,这也是攻击发生的主要情况。

判定攻击手段能够进一步佐证它是否发生攻击。攻击者的攻击手段混合使用DNSflood和synflood两种“洪流攻击”和变前缀域名攻击。攻击中的synflood部分,发起者IP地址中有45%在最近有扫描23/2323端口的历史行为记录,这个行为特征与Mirai僵尸网络相似,由此研判,Mirai僵尸网络或者其变种参与了攻击;攻击中的dnsflood部分,发起者IP地址分布离散度直观上看并不高,并且没有历史扫描行为,倾向认为IP是伪造或者属于非泄漏版本Mirai。

这次Mirai的攻击指令操作者、受害者大多位于国外,最大的比例来自于欧洲,次之是来自美国、加拿大和北美地区,来自亚洲的非常之少。目前基本排除Mirai的操作者来自中国的可能性。

然而,中国电信集团网络安全产品运营中心CEO、首席架构师刘紫千博士,在谈起这次域名服务提供商Dyn遭网络攻击一事,表示出业界尤其是媒体对所谓的Dyn遭受大规模DDoS攻击的真实性表示怀疑。从电信的监测数据来看,不太相信这是一次严重的DDoS攻击。从云堤提供的一些监测数据,包括三次攻击发生时间段内的骨干网和AS互联电路流量,以及中国电信全网流向Dyn客户四个C段地址的流量成份分析。显示在攻击时刻电信网络peer直连电路汇总流量突增不超过40Gbps,四个C段地址流量累积峰值未超过400Mbps。并且以TCP53和UDP53为多。这个流量的量级和Dyn宣称的是一次涉及上千万个IP地址的DDoS攻击事件应有的流量规模显然不符。以这些数据为基础,结合国际相关安全厂商、骨干网运营商的反应,关于此次攻击,提出以下疑问:
• 真的是大规模攻击?为何没有任何攻击规模的数字公布?
• 若真的是全球范围发起的攻击,为何我国互联网的流量这么少?
• Mirai到底多活跃,在一次攻击中是族中的样本还是一个族?
• 直接造成Dyn“拒绝服务”的真实原因是什么?天灾vs 人祸?

总之,正是设备漏洞导致智能设备成为冲锋陷阵‘马仔’,此次Mirai僵尸病毒网络感染病毒IoT物联网设备数以十万计,包括网络摄像头等。主要的原因是由于这些接入互联网的设备存在大量漏洞,有些漏洞属于系统通用性漏洞,攻击者通过漏洞猜测设备的默认用户名和口令,进而控制了这些智能设备系统。对前述的说法有一部分大家可以公开验证,每日统计部分Mirai扫描数据可公开下载。

Mirai僵尸网络的回顾

上述这些情况可由李丰沛先生提供的DDoS Mon网站做验证,不用注册也可使用上面的功能,可以免费查到一些大站在最近两周30天以内的攻击数据。

Mirai作为僵尸网络,作为一个攻击组织到底是什么样的。传统上分析一个攻击组织主要是两方面,一是目标,二是能力。首先可以判断它的攻击目标并没有明显诉求:1、从来自于几方面的攻击列表看并没有明显诉求,不论是政治、文化方面的,或者国内比较多的勒索、竞争方面;2、在9月中旬发布的报告里提到Mirai已经有租户,如果有租户,其攻击目标会更加散乱。因此其目标并不是很显著、强有力的目标。其次在对传统僵尸网络,只需对其攻击能力做评估,针对Mirai,能够溯源到整个僵尸网络发展的历史情况,并且它的规模也已经远超过既往对僵尸网络跟踪规模的历史记录,因此还要评估它的规模和感染能力。1、Mirai的感染能力非常强,感染数量级可大到平常的两个数量级左右;2、攻击技巧先进,Mirai第一次实战式用GRE就打出了创记录的流量,其不足之处在于攻击手段中并没有增加包,处于十年前的攻击手段,且其所有攻击都使用真实的IP地址。虽然说并不是很强有力的组织,但其破坏能力非常强,假如僵尸网络规模100K,每个节点可用上行带宽10m,则总攻击能力1Tbps;如果利用反射放大攻击,取反射放大系数40,则总攻击能力40Tbps。如果Mirai打任何一家国内网站基本上没有悬念,一定会被打掉。且随着时间增长,它的攻击能力会变得更进一步地强,李丰沛相信它的攻击能力是核武器级别的,而且能掌握核武器的人是小屁孩级别的。

域名系统安全与物联网基础信息服务

域名系统是互联网上大部分服务和应用正常运转和实施的基石,是互联网上最为关键的基础网络服务之一,事关互联网乃至国家的稳定和安全,是国家信息化建设的重中之重。伊拉克顶级域名失效事件、利比亚国家顶级域名失效事件等都表明,对域名系统的控制已成为一个有效的网络空间作战手段。域名治理主要是取决于数据管理权的问题,但美国也没有那么大的监管权。互联网域名治理是从最初的民间管理,到美国商务部通过签约的形式委托一个第三方事业单位管理,再到目前变成商业机构去运行,走过这样一个螺旋上升的过程。

谈到技术问题,一是服务器的问题,这次攻击是Dyn,技术上可能有些问题,但是技术和管理原因参半。二是更新文件管理系统,更新文件一直是VeriSign自家管理,现在域名系统中,如要想改联系人或者NSP服务器记录,还采用非常原始的方式。理论上各个国家顶级域名的数据所有权是不属于Iana或者VeriSign,而是属于各个机构自有。应该有一个类似区块链,或多方共同参与管理,或共同签名的机制,才能够保证这个数据和你原始提交单位的数据是一致的,没有任何人可以篡改,只是给VeriSign数据的查询权,目前,这种构想在技术上并没有实现。

现阶段DNS设计初衷逐渐被扭曲,对应域名设计初衷,名字空间是分级自治的,当前级只与直属上级和下级有联系,上级不会越级和下级发生管理关系。但到了顶级以后总得有指向,因此最终汇聚指向为根。其次,查询访问依靠代理,只跟本地发生关系,不关注当前社区之外的事,其它事都由社区代理完成。还有诸如不屏蔽权威源站地址,公开单向的数据同步通道,过期数据的处理机制,DNS商业运行模式不合理等都是缘由。

未来域名行业,包括域名在内的互联网基础信息服务作为关键业务逐渐独立,首先,DNS、NTP、RPKI,这些服务和应用是有差别的,起一个支撑的作用,应该独立出来。其次,顶级域名膨胀,域名空间扁平化。最后,专业域名设备和云服务市场,会委托第三方。

物联网的标识治理问题,国内机构曾试图把国内已有的物联网标识能够提供公共查询。但物联网标识现在是多个命名空间,多套根系统。存在以下问题:第一,封闭还是开放。如果完全是封闭系统就不存在治理问题,如果要开放才会有治理问题。第二,一旦开放就有标识空间共存、共生的问题,如何兼容,怎么兼容。第三,根系统的管理权。国内用得最广泛的是EPC,它的管理权怎么办,包括标识数据的开放认证怎么可信,如何确保查询的东西没有被篡改。关于物联网标识查询,北京市工程研究中心副主任、总工王伟博士提到时间的问题,物联网设备和个人设备有一个很大的问题,物联网设备中自动化的执行会更多,所有的终端都有NTP客户端,如果时间出问题怎么办,而且123端口是全球开放的10个端口之一。还有就是体系问题,其一,本地操作系统的自我限权,关于标识一定是自我阉割,不是完全意义的操作系统。其二,本地网络应该针对某些设备源和设备协议做第三方限权,甚至包括家用路由器。其三,代理问题(代理服务器),针对物联网的协议查询,由谁扮演代理角色,是自查或是设一个代理。

物联网安全问题,数学工程与先进技术国家重点实验室软件理论室主任单征教授,谈到值得关注的几个点:一是DDoS攻击方式没有改变,只是找到了新的模式。源代码的开放打开了潘多拉的盒子,加速恶意代码传播的过程。二是物联网设备的安全性。物联网设备面临的威胁源头有本质因素:第一,管理疏忽,没有专业人士运维;第二,企业忽视,成本压力大;第三,缺乏自主创新,技术陈旧。大部分物联网设备不在保密等政策和法规范围内,业务领域缺乏政策引导和监督,没有规模化企业提供相关的服务。

值得注意的是物联网及其应用已经深入到社会方方面面,跟国家关键基础设施、城市人民生活,甚至党政军核心机关的管理运营是有紧密相关,也是网络空间重要的组成部分。安全威胁不能小觑,一旦产生问题,造成的影响可能比传统安全领域更加严重。在相关安全机制建设方面,单征建议从以下几方面入手:第一,要加强政策的引导和监督,尤其是要加强法规的建设。第二,加强相关运维管理制度的建设,在相关领域建立合适的奖励机制。第三,加强物联网安全领域相关的执法监督、应急响应、测试、咨询、监理机构。第四,在物联网领域建设高效合理的安全事件通报和应急响应机制、体系。

物联网安全防护实践

目前在物联网loT的情况下对安全防护已经有一些实践,物联网中StreamDB + ML实时分析安全防护见图2,在loT场景下流数据处理平台架构,点击流或视频流,先进到解析器,通过硬解压的方式把这个包拆开。然后到StreamDB开一千个窗口或一万个窗口,可是跳动窗口或者滚动窗口。每一个窗口可以去定义10秒或者是一分钟,去调用后端的机器学习的库,抓住到特征值以后,里面做的动作是实时处理和离线分析,放在这个表里做存储。可以把每一个时间窗口丢到后面的库里,可能是10个并行或100个并行,并行后你分到一千个窗口,每一个窗口你再分到后面变成10个并行,分散完以后每一个计算的强度并不是太高。功能模块包含:A汇聚源数据,从各个系统的日志信息测试转化规则,解析成一些格式、文件。B数据入库,流到分析库和StreamDB流数据库。对流进来的数据进行转换和分析,有一些是简单的规则,在窗口里定一些规则。C数据转换,对流入的数据进行转换和分析,读取hdfs的数据进行转换分析。D报表展现,利用报表工具汇总定制开发按需求分类进行报表展现。E是Elastic Search,日志快速的检索,主要是为了日常的检索功能。

图2 loT场景下流数据处理平台架构

其中架构的数据流转,用脚本程序加工JSOM文件,然后丢到内存数据库,最新的数据是放在内存里,这样速度非常快。做了数据切片的统计分析,通过一些统计算法做分析,把初步的特征弄出来找到参考值。根据原来的模板做比对之后,做深度的学习就要去到并行的库,才能进一步对它做纠正。包括运行监控,监控特征是不是符合,如果不符合,则控制其使用,包括把它的IP关掉或其他做一些阻断性的工作。

同时也应用到的监督式学习,即多轮学习以达到目的实现回归或分类;非监督式学习,特定方法实现聚类,由于目的性不明确,所以一般没有多轮;强化学习,不断学习,永无止境,延伸到人工智能。

万物互联给我们带来便利的同时,一定会给安全带来非常大的挑战,敌对与攻防在物联网时代会出现更大的不平衡。通过各位嘉宾的演讲以及参会人士的互动交流,与会者有以下共识:
1.这次借助物联网对互联网的攻击造成这样的场景是难以想象的,物联网设备出现以后,包括摄像头和一些家用设备,家庭内部网络复杂度非常高,抛开商业诉求,从管理策略和技术沟通,未来可能也是一个趋势,引发好的业界发展态势。
2.物联网和互联网都是网络空间的组成部分,从网络空间角度看,不管是物联网设备,还是互联网服务器,都是没有区别的。从防御和攻击角度看,针对物联网设备,等于攻击方式没有改变,攻击找了新的模式。
3.物联网要形成足够的覆盖一定要借助互联网承载,物联网的安全不仅是从安全厂家关注,而且要多方呼吁物联网设备制造商开始关注,更多的潜在设备变成真的僵尸网络,后面清除它的代价会更大。
4.设备本身,物联网制造商并没有对DNS的协议调用有一个成熟或负责任的建议,除去自身密码和固件漏洞,还要关注物联网设备对于现行互联网协议使用情况的评估。

作者:

操晓春,博士,CCF YOCSEF 学术委员会委员。中国科学院信息工程研究所研究员。主要从事多媒体内容安全和计算机视觉领域的研究,取得了多项创新研究和实践成果,应用于国家重要部门。国家自然科学基金委优秀青年基金获得者,入选万人计划“青年拔尖人才支持计划” 、中国科学院“百人计划”。曾先后担(兼)任国家自然科学基金委员会信息学部二处流动项目主任(借调)、中国计算机学会青年工作委员会秘书。

祝烈煌,博士,CCF YOCSEF 学术委员会委员。北京理工大学计算机学院教授、副院长,教育部新世纪优秀人才。担任CCF互联网专委会委员、CCF物联网专委会通信委员、计算机应用专委会委员、中国网络空间安全协会理事、FCS期刊青年副编辑(AE)。主要研究方向为网络与信息安全,作为项目负责人承担科技部重点研发计划课题、国家自然科学基金、装备预研、北京市自然科学基金等20余项国家级、省部级科研项目,在国内外重要刊物和会议上发表60余篇学术论文,获国防科技进步三等奖1项。

徐文渊,博士,CCF YOCSEF杭州分论坛学术秘书,现任浙江大学电气工程学院教授博导,国家“青年千人计划”入选者、美国国家NSF CAREER Award获得者、美国南卡罗莱纳大学终身教授(Tenured Associate Prof.)。从事无线网络安全及隐私的研究多年,研究项目包括智能设备安全,车联网安全,和智能电网安全 。主持过多项美国国家基金的研究项目。现任包括EURASIP Journal on Information Security 等国际期刊编委(Associate Editor),担任国际学术会议程序委员会委员和分会主席数次。发表了近五十 多篇期刊和会议论文(包括安全领域的四大顶级会议),并出版了1 本学术专著,论著被引用(Google Scholar)共计3000次。


热门动态
2023-05-05
AI为科学提供了强有力的工具和方法,帮助领域学者发现新的知识、...
2023-03-24
2023年3月18日,CCF YOCSEF成都在四川省成都市五岳宫街28号成都...
2023-03-04
2023年3月3日11:00-14:00,CCF YOCSEF成都分论坛开展走进系列特...
2023-03-02
近十年,我国交通运输事业取得了历史性成就,发生了历史性变革,...
2023-02-27
2023年2月24日下午,CCF YOCSEF 成都的现任和候任AC委员们、老AC...
2023-01-12
2023年1月7日-8日,CCF YOCSEF成都在四川省峨眉山市峨眉山...
2023-01-01
时光荏苒,举步维艰的2022年已远去,欣欣向荣的2023正向我们走来。2022年,在YOCSEF总部、各兄弟分论坛的大力支持下、在各位AC委员、通讯AC委员和委员的共同努力下,CCF YOCSEF太原紧密围绕学术与产业前沿,聚焦科学与社会热点,举办了一系列前瞻性、引领性的观点论坛、技术论坛与CLUB活动,主题涵盖了人工智能算力基础设施、人工智能数据标注、经济转型发展、非物质文化遗产保护等,为山西省乃至全国计算及相关领域的青年科技工作者搭建了交流平台,创造了成长机会,也承担了一定的社会责任。
2022-05-23
2022年5月21日,CCF YOCSEF广州举办“走进图普科技”ClLUB活动暨...
2022-08-18
近年来,人工智能快速发展、赋能千行百业,催生新技术、新产品、...
2022-08-20
近年来,我国大力发展区块链技术和相关应用成果落地,无论是科研...
2022-09-26
近年来,人工智能技术发展迅速,与之相关的数据安全问题也日益受...
2022-10-16
作为我国国民经济的基础,农业是支撑整个国民经济发展和进步的保...
2022-11-13
YOCSEF广州-桂林“东南亚非通用语种AI技术助力东盟经贸合作”联合技术论坛近日成功举办。 随着中国“一带一路”倡议的提出,东盟地区基于地缘政治、地理优势和人文基础成为“一带一路”建设的重点地区,中国与东盟合作迎来历史大机遇。而当前不断优化的东南亚非通用语言AI技术是否能为跨境电商等东盟的经贸合作提供更进一步的助力?
2022-12-04
公司,从算法、架构和软硬件协同等不同的维度去实现高性能的计算。针对人工智能芯片热潮,中国计算机学会(CCF)青年计算机科技论坛(YOCSEF)广州分论坛学术委员会于2022年12月3日以线上视频会议的形式举办了YOCSEF大湾区IT创新论坛——“人工智能芯片的机遇与挑战”观点论坛,共论我国AI芯片发展现状与未来之路
2022-11-13
CCF YOCSEF成都成功举办“当行为数据分析遇上云边智能”技术论坛...
2022-11-03
习近平总书记在二十大报告中指出:全面推进乡村振兴,加快建设农...
2022-08-25
2022年8月20日,中国计算机学会(CCF)青年计算机科技论坛(CCF ...
2022-08-16
2022年8月13日下午,由中国计算机学会(CCF)主办,CCF YOCSEF成...
2022-08-16
   7月25日,由CCF主办、YOCSEF深圳承办,国家超级计算深圳中心...
2022-06-11
人工智能与大数据技术为我国经济增长带来了新的历史机遇;在大数...
CCF聚焦