1、AI 檢測算法在IoT領(lǐng)域的應(yīng)用技術(shù)創(chuàng)新，變革未來目錄IoT 安全風(fēng)險(xiǎn)介紹如何感知異常IoT 設(shè)備IoT 垂直行業(yè)安全風(fēng)險(xiǎn)分析華為 Cybersecurity Intelligence Platform介紹IoT 安全實(shí)踐2IoT 安全風(fēng)險(xiǎn)Web 入侵業(yè)務(wù)邏輯漏洞通訊聯(lián)絡(luò)的竊聽，仿冒MQTT/CoAP/Zigbee 協(xié)議漏洞硬件設(shè)備篡改IoT 設(shè)備操作系統(tǒng)入侵。FW3G/4Gnarrow-bandGateWayIoT Management PlatformcommonIndustry 4.0Smart FamilyIOVIoT E2E 方案面臨諸多安全風(fēng)險(xiǎn)但是目前實(shí)際情況是：IoT 設(shè)備成為主

2、要攻擊目標(biāo), 例如IoT 惡意軟件 Mirai大部分攻擊者意圖是非法占有 IoT 設(shè)備硬件 資源：將設(shè)備作為肉雞對外發(fā)起DDoS攻擊利用計(jì)算資源挖礦通過篡改IoT設(shè)備數(shù)據(jù)，非法獲利3如何感知異常IoT設(shè)備OS (Windows, Linux)AgentKernel DriverAppApp傳統(tǒng)方案:在計(jì)算機(jī)中部署一個(gè)Agent 監(jiān)控計(jì)算機(jī)狀態(tài)監(jiān)控進(jìn)程行為監(jiān)控網(wǎng)絡(luò)連接監(jiān)控設(shè)備IO活動傳統(tǒng)的方案并不適用于IoT設(shè)備IoT 設(shè)備的操作系統(tǒng)很多，標(biāo)準(zhǔn)不統(tǒng)一。NB-IoT設(shè)備屬于低功耗實(shí)時(shí)嵌入式系統(tǒng)。已經(jīng)上線部署的設(shè)備無法被監(jiān)控。我們的解決方案：通過設(shè)備的網(wǎng)絡(luò)交互行為感知異常設(shè)備。優(yōu)勢:可以集中分析不同

3、IoT設(shè)備多數(shù)的IoT設(shè)備業(yè)務(wù)單一，流量模型簡單。IoT managementplatformTrafficBehavior analysis4IoT 垂直行業(yè)安全風(fēng)險(xiǎn)分析IoT Management Platform1.數(shù)字化轉(zhuǎn)型推動社會生活更加智能2.高度智能化引入更多的安全風(fēng)險(xiǎn)3.IoT 或?qū)⒊蔀榭植婪肿由踔羾覒?zhàn)爭的攻擊目標(biāo)。我們的思考IoT management PlatformAPI GatewayIndustry BusinessIndustryAPI Access modelBusiness model將UEBA技術(shù)引入IoT管理平臺。建立用戶通過管理平臺對設(shè)備的訪問習(xí)慣。檢測

4、外部對IoT 管理平臺以及平臺內(nèi)部服務(wù)間 的接口訪問行為。5 Cybersecurity Intelligence Platform 介紹Distributed computingPlug-in AI algorithmVisualization LayerStorage LayerData SourceData Aggregation LayerSyslog/Dataflow/ Net flowEventMetadata / Net flowAPP FrameDistributed StorageDistributed SearchingC&C DetectionMalicious Tunn

5、elAbnormal Web AccessAbnormal User ActivityOther Abnormal Behavior FWSmart SearchCustomized VisualizationSwitchBusinessSituation AwarenessDistributed Computing LayerPlug-in AI algorithm豐富的可視化展示方案AI 檢測算法插件化可以對接各種類型的設(shè)備日志系統(tǒng)特性華為 AI 能力已將 AI 用于企業(yè)的整體運(yùn)營管理已將 AI 技術(shù)引入了產(chǎn)品和解決方案67IoT安全實(shí)踐-異常NB-IoT設(shè)備檢測我們主要聚焦在城市智能路燈

6、、水表設(shè)備的異常檢測上3G/4G narrow-bandFeature ExtractClassificationPortalClusexLabel the feaperttureAdjust the labelIoT Management PlatformMachine Learning12345WarningFLabeled Datatering eaturesFigure 1Figure 2Figure 3一些發(fā)現(xiàn):利用以下通訊數(shù)據(jù)為每個(gè)設(shè)備建立網(wǎng)絡(luò)行為基線work flow每次設(shè)備發(fā)送的消息長度IoT管理平臺對設(shè)備發(fā)送的命令頻率設(shè)備定期上傳的狀態(tài)信息設(shè)備發(fā)送日志消息的頻率生成 Feat

7、ure.使用聚類算法對行為進(jìn)行聚類運(yùn)維專家對每類行為進(jìn)行標(biāo)記分類算法對標(biāo)記后的行為建立分類模型分類模型對設(shè)備與平臺的通訊進(jìn)行分類運(yùn)維人員可以在運(yùn)維過程中對分類錯(cuò)誤的行為進(jìn)行標(biāo)記并重新訓(xùn)練Device BehaviorDevice base6line matchModel found anomalyDevice group baseclassilfinieermatchStill abnormalNormalMeet the groupbaMsealiinetainerWarninguserdevice devicedeviceDevice Group 1deviceDevice Group 2

8、device deviceAn other model for each device groupnamed group baselineA model for eachdevice nameddevice baselineIoT安全實(shí)踐-惡意IoT流量檢測1.惡意 DGA DNS 請求檢測主要選擇4個(gè)維度的數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)DNS 熵是否TLD DNSDNS 長度元音字母與輔音字母的分布情況DGA檢測算法DNSmetadataDGA域名分類器DGA域名數(shù)值化特征計(jì)算歐式距離域名聚類特征請求次數(shù)(src+domain)請求域名表簽數(shù)請求域名長度主域名標(biāo)簽數(shù)靜態(tài)特征域名隨機(jī)性熵域名N-Gram頻率

9、域名長度域名中的數(shù)字字符比例黑樣本白樣本學(xué)習(xí)分類評估調(diào)整模型訓(xùn)練DGA域名分類器DGA域名分類器protocolIdentifier. 43特征指標(biāo)數(shù)據(jù)分析，特征提取流量MetaDataMetaData樣本（100萬白樣本，9萬黑樣本）sourceTransportPortnumberOfBytesPerSecon dflowDurationC&C異常檢測模型（隨機(jī)森林）模型優(yōu)化流量探針C&C異常檢測模型正常通訊異常通訊特征集合下發(fā)給用戶側(cè)檢測系統(tǒng)云端用戶側(cè)2.惡意軟件C&C 數(shù)據(jù)流檢測正常 DNS, 自然語言拼寫容易被記憶惡意 DNSfppgcheznrh.fr, 隨機(jī)的拼寫不容易被記憶8DGA/C&C 檢測部署場景惡意DGA 檢測算法檢測到病毒Virut 發(fā)送的惡意DGA請求C&C 檢測算法 檢測到 C&C 服務(wù)器的分布情況Random EntropyCalculationSpelling CountN-Gram frequency CountDNS TLDExpert analysisFeature 抽取NormalAbnormalOffline MetadataSample數(shù)據(jù)模型模型優(yōu)化