一种物联网漏洞扫描系统及扫描方法与流程

本发明涉及一种物联网漏洞扫描系统及扫描方法。

背景技术：

物联网目前主要采用的通信技术协议为无线传输，主要包括wi-fi、蓝牙技术、低功耗蓝牙技术、zigbee、z-wave和rfid。相比较以太网多采用光纤和有线信道进行通信，物联网的通信数据直接暴露在空气中，因此更容易遭受到入侵者的攻击，并且物联网节点受电量、计算能力以及存储能力的限制，都间接地导致物联网环境容易遭受外来攻击。

在物联网体系架构中，智能设备所处的感知层处于最底层，也是最基础的层面，这个层面的信息安全最容易受到威胁。感知层在收集信息的过程中，主要应用无线传感器网络(wsn)和射频识别技术(rfid)。物联网感知层的安全问题实质上是wsn系统和rfid系统的安全问题，其中感知层更容易受到安全威胁。同时，由于无线通信技术对于终端用户来说是不透明的(用户对无线通信的机制以及实现过程并不了解)，因此，无线通信技术和物联网终端节点的配置都容易出现纰漏，比如弱口令的设置，传输方法的错误选择(例如wi-fi通信过程中采用wep加密)、开启了不必要的端口、低功耗蓝牙技术(ble)没有采用随机化mac地址、zigbee网络没有采用安全模式、rfid标签采用默认密码加密等，在原本脆弱的无线通信中进一步加重了物联网受到外来威胁的可能性。因此需要物联网漏洞扫描系统来检测物联网环境中所存在的漏洞，并针对漏洞提出合理化建议，帮助用户或企业提高自身物联网环境的安全性。

因此本发明弥补了传统互联网漏洞扫描器(局限于ethernet协议的有线信道的扫描)的不足，以及在物联网安全研究领域，目前还没有一个有效系统能完成物联网环境的漏洞扫描，因此本发明具有创新性。

目前对于无线传感网络漏洞的检测方法有如下三种：

1.人工审计法：通过手工对通信协议进行分析，发现其中所存在的漏洞，并做出针对性的测试来证明其存在，进而提出改进意见。这需要研究人员对协议本身特别理解以及具有很强的分析能力，并需要大量的时间，而且是离线分析，速度慢并且效率低下。

2.模拟攻击法：直接对无线网络进行攻击(例如洪水攻击和拒绝服务攻击等)，从而判断无线网络所存在的漏洞，这种方法不能够全面发现无线传感网络中的所有漏洞，并会对无线网络造成影响，影响目标网络的传输质量，而且无法确定协议本身存在的漏洞，不具有针对性。

3.黑盒测试法：向目标网络中发送大量错误的或者异常的数据包，进而观测目标网络能否正常处理这些数据包或者网络是否崩溃，从而判断目标网络是否存在漏洞，该方法同样针对性不强，效率低下。

技术实现要素：

本发明的目的就是为了解决上述问题，提供一种物联网漏洞扫描系统及扫描方法，它具有弥补现有互联网漏洞扫描器的不足，适用于大规模商用物联网环境中(物联网环境中的设备都是市场化的，即在市场中都可以购买到)，能够实时在线的进行漏洞分析并给出针对性建议的优点。

为了实现上述目的，本发明采用如下技术方案：

一种物联网漏洞扫描系统，包括：依次连接的流量嗅探器、扫描器、物联网漏洞扫描服务器和web可视化终端；

所述流量嗅探器，用于被动地监听物联网环境中的通信流量，以及主动发送流量探测数据包；流量嗅探器采用软件定义无线电处理实际物联网环境中的物理层流量，并解封装后传输给链路层；

所述扫描器，用于处理来自流量嗅探器捕获的流量数据，还用于构造数据包通过流量嗅探器发送到目标物联网环境中；

所述物联网漏洞扫描服务器，用于对流量嗅探器发送过来的数据做分析后，通过源地址、目的地址以及数据流向，形成目标扫描网络的拓扑图，确定物联网环境中收发流量的每一个物联网设备以及链路状态；完成对物联网设备型号和物联网设备所用系统版本型号的识别，进而将识别结果跟物联网漏洞数据库进行比对，如果发现漏洞，则通过web可视化终端向用户展示扫描结果，并生成pdf文档保存在文档数据库中；对流量通过柱状图进行实时显示；所述柱状图包括：每一个设备的发送接收流量、控制流量、管理流量和数据流量；

所述web可视化终端，用于通过restfulapi接口与物联网漏洞服务器相连，提供与物联网漏洞服务器交互操作的页面，提供实时的对物联网环境中设备和设备之间链路的监测，并向用户展示物联网环境的拓扑图、节点信息、链路细节以及各种扫描报表。

所述扫描器，包括：流量提取模块、流量信息收集模块、数据包发送模块和存储处理模块；

所述流量提取模块，包括若干个针对不同协议的流量扫描子模块，每个流量扫描子模块都用于发送流量探测数据包捕获网络中的数据包，以及根据发送的数据包对捕获返回的数据包，并通过数据包发送模块发送给物联网漏洞扫描服务器进行分析；

每个流量扫描子模块用于对目标设备进行扫描；扫描分为主动扫描和被动扫描，主动扫描会发送数据包，并对目标网络环境造成影响，被动扫描及只捕获在空气中已经存在的无线电，不会对目标网络造成任何影响；

所述流量信息收集模块，用于记录有用信息，所述有用信息包括：流量嗅探器捕获流量的位置、捕获流量的数据帧大小以及捕获流量的数据帧的时间戳。

所述数据包发送模块，用于将服务器生成的数据包发送到目标网络环境中，接收返回的信息，并接收流量提取模块捕获的流量。

所述存储处理模块，用于对流量提取模块及流量信息收集模块的数据进行收集存储。

所述物联网漏洞扫描服务器，包括：应用程序服务器和数据库服务器；

所述应用程序服务器，为核心处理服务模块，提供接口用于连接扫描器、物联网漏洞数据库以及web可视化终端，不仅承担各种数据传输和任务的调度，而且用于处理分析各种流量数据，让各个模块能够协调运行。

所述数据库服务器，用于存储捕获的流量和分析结果，供web可视化终端查询和分析。

所述节点信息包括：id号、制造商、mac地址、帧总数、信号数、ssid。

所述链路细节包括：源地址、目的地址、帧总数、数据总量大小。

所述扫描报表包括：漏洞名称、漏洞危险等级、漏洞简介、漏洞公告、发现时间、漏洞类型。

一种物联网漏洞扫描方法，包括：

步骤(a1)：web可视化终端接收用户的漏洞扫描请求，并将请求发送给漏洞扫描服务器；

步骤(a2)：漏洞扫描服务器对请求进行分析，提取请求分析的对象，根据请求分析的对象选择漏洞扫描的方式，将漏洞扫描方式发送给扫描器；

步骤(a3)：扫描器根据漏洞扫描服务器发送过来的漏洞扫描方式，向流量嗅探器发出嗅探指令；

步骤(a4)：流量嗅探器对物联网环境的流量进行嗅探，最后将捕获的数据通过扫描器反馈给漏洞扫描服务器，最后在web可视化终端对扫描结果给予展示。

一种无线传感网的漏洞扫描方法，包括：

步骤(b1)：流量嗅探器在数据链路层进行抓包，物联网漏洞扫描服务器对所抓取的数据包进行分析得到分析结果，根据分析结果确定物联网环境的拓扑图；

步骤(b2)：物联网漏洞扫描服务器对捕获的帧进行分析，分析是否存在恶意攻击方式；若存在就通过自定义发送数据包与接收数据包来分析无线节点的漏洞；

步骤(b3)：通过扫描确定节点的设备型号以及系统版本型号；

步骤(b4)：通过与物联网漏洞数据库的比对来确定节点是否存在安全漏洞；扫描设备是否存在telnet后门漏洞；

步骤(b5)：扫描节点判断是否存在web登录管理界面，并对节点的默认用户名和密码进行扫描；

步骤(b6)：扫描蓝牙设备开放的未加密服务器名称；

步骤(b7)：扫描zigbee设备是否采用安全模式，以及针对zigbee设备秘钥的传输模式进行扫描。

所述分析结果包括目标地址、源地址、帧类型和子类型；

所述物联网环境的拓扑图包括设备以及设备之间的链路状态。

一种射频识别的漏洞扫描方法，包括：

通过物联网漏洞扫描服务器对漏洞的分析，并创建tr模型，扫描卡片可能存在的漏洞，进而给出相应意见。

步骤(c1)：扫描卡片类型，判断是否属于m1卡；

步骤(c2)：判断扫描卡片id号是否可写；

步骤(c3)：判断扫描卡片加密密钥是否属于弱口令。

物联网环境，例如一个智能家庭中或者一个智能办公室中。

所述流量嗅探器，为设置于物联网环境中的可持终端，所述流量嗅探器与可视化终端设备一起被配置在树莓派3平台上，用于监听各种协议的流量；所述流量嗅探器，包括：被配置为监听模式的无线网卡、蓝牙嗅探器、zigbee嗅探器或rfid读卡器；

目标设备指真实环境中的实际物联网设备，例如智能家庭或者其它智能环境中，例如soho路由器、网络安全摄像头、烟雾传感器、智能灯泡、医疗监测装备、运动捕获装备等采用wi-fi、ble、zigbee、rfid通信的智能设备。

针对不同协议的不同漏洞，都有一个设定的扫描方式、可以手动选择针对某一个漏洞或者某一个设备进行扫描，也可以采用默认对物联网漏洞数据库中的全部漏洞进行扫描；

所述流量提取模块，从捕获的数据包中提取链路层数据帧的额外信息，所述额外信息包括源地址、目的地址、帧的子类型或当前的服务标识集ssid；所述流量提取模块还捕获网络层和应用层的数据单元；不同的数据帧在不同的协议上进行解析；

本发明的有益效果：本发明采用一种实时的(real-time)以及被动(passive)和主动(active)相结合的扫描方式来扫描漏洞，主要扫描物理层以上流量(链路层、网络层、传输层以及应用层)，不会对扫描网络造成太大影响，并大大提高了扫描分析的效率。并能够将所有扫描数据存储到数据库中，同时生成被扫描环境拓扑图以及流量统计图，为以后更进一步的工作做铺垫。

附图说明

图1是本发明的系统架构示意图；

图2是本发明具体实施示意图；

图3是本发明系统运行模式图；

图4是本发明扫描流程示意图；

图5是本发明服务器分层架构图；

图6是本发明中扫描rfid漏洞提出的tr模型；

图7是本发明的客户端服务器具体实现架构示意图；

图8为本发明的扫描器内部功能模块图。

具体实施方式

下面结合附图与实施例对本发明作进一步说明。

如图1-7所示，一个物联网漏洞扫描的装置，包括四个模块，主要分为流量嗅探器、扫描器、服务器、web可视化终端，接下来对四个模块进行介绍：

1、流量嗅探器(trafficinterceptor)：流量嗅探器模型提供了一个灵活的底层接入无线通信的方法。主要用来被动的监听物联网环境中的通信流量，以及较少的主动探测数据包，采用目前流行的且成本较低的软件定义无线电技术处理物理层流量，并解封装后传给链路层，在能够抓取到各种协议的流量数据包是前提条件，该系统采用一种设备处理一种协议的方法，因此流量嗅探设备包括容易被配置成“监听模式”的无线网卡、蓝牙嗅探器、zigbee嗅探器和rfid读卡器。用来在物联网环境中被动的监听无线通信的流量，主动的发送少量的流量数据探测包，经测试不会干扰正常的通信过程，影响甚小。

2、扫描器(scanner):扫描器模块主要分为流量提取模块，流量信息收集模块，数据包发送模块，存储处理模块，如图8所示。流量提取模块包含一组部署好的漏洞扫描程序(根据针对不同协议编写的不同扫描子模块，调用子模块来对目标设备进行扫描，该模块可扩充，可以将新的扫描方法加入其中。)，用来发送探测流量并收集返回的流量，流量提取模块检查每一个被流量嗅探器捕获到的数据包，利用漏洞扫描器被动分析的思路解析每一个抓到的数据(例如头部和尾部，头部用来确定帧的类型等信息，尾部用来确定帧是否有效)，并且提取帧中的额外信息，例如源地址和目的地址，帧的子类型(sub-type)以及目前的ssid(服务标识集)，除了获取最主要的数据帧之外，对其它几层也获取相应有用信息，进而进行针对性的分析。不同的帧需要在不同的协议的基础上进行分析，因为解析bluetoothle帧明显不同于解析wi-fi帧和zigbee帧，其它层也是如此，因此链路层以上的数据流量处理将按照不同协议进行不同的提取。上层数据流量也是如此。

除此之外，信息收集模块记录了一些额外的有用信息，例如拦截器(指流量嗅探器)在哪一个频道上捕获的流量，捕获的帧的大小(比特数)以及帧被捕获时的时间戳。

数据包发送模块主要负责主动探测工程中发送漏洞扫描系统本身(指服务器模块的应用服务器)生成的数据包到目标网络环境中，返回的信息再次通过流量提取模块进行捕获提取。

存储处理模块主要负责将流量提取模块以及信息收集模块收集的信息，发送给服务中的数据库进行存储，以及将扫描过程中抓获的数据包以pcap格式或者txt格式的文件发送给后台数据库(本系统服务器包括应用服务器和数据库服务器，指数据库服务器中部署好的数据库)。

3、物联网漏洞扫描服务器(server)，服务器模块分为应用程序服务器子模块和数据库服务器子模块，分别用来管理扫描器并与可视化操作终端进行通信和存储各种数据(例如漏洞数据库，捕获的流量数据存储，配置文件存储以及结果存储)。该服务器通过restfulapi接口与实时显示端所连接，主要负责将流量嗅探器发来的文件做进一步分析工作，并配有mysql数据库用来存储捕获的流量和分析结果，供web可视化终端查询和分析。

主要完成的功能有：形成目标扫描网络的拓扑图，确定每一个设备以及其中链路状态；完成对扫描设备具体型号和所用系统版本型号的识别，从而跟漏洞库进行比对，发现漏洞，并向用户通过可视化客户端展示扫描结果，并能够生成pdf文档保存在数据库中，方便以后查看；对流量进行通过柱状图实时显示(包括每一个设备的发送接收流量、控制流量、管理流量和数据流量)，方便做更进一步的分析；

物联网漏洞扫描服务器中包含最重要的物联网开源漏洞库管理模块(opensourcevulnerabilitydatabasemanagement)，主要用来存储已经发现的漏洞，作为扫描时对比的数据库；并且对外提供一个接口，让更多的项目支持者来完善物联网漏洞库，并为此设置管理员角色，审批项目支持者或者物联网爱好者提供的漏洞，并对漏洞按照协议(wi-fi，低功耗蓝牙(ble)，zigbee，rfid)分类，审批完成后加入漏洞库，并通知漏洞提供者。

4、web可视化操作模块(visualizer)，通过restfulapi接口与物联网漏洞服务器相连，提供与服务器交互操作的页面，提供实时的对物联网环境中设备和之间链路的监测，并向用户展示物联网环境的拓扑图、节点的详细信息以及各种扫描报表。

本发明还提供了一种物联网漏洞扫描的方法，包括一种漏洞扫描方法和扫描流程：

漏洞扫描方法，该方法主要通过用户调用扫描器端部署好的扫描程序对不同协议的设备进行扫描，返回扫描文本信息，经服务器提取分析进而返回给用户。

漏洞扫描有一个固定的流程，首先选择漏洞的扫描方式(如wi-fi、ble、zigbee、rfid)，然后进行扫描，扫描完成后通过可视化操作界面给出扫描结果以及针对性的建议，并生成pdf格式的扫描报告，进而生成流量分析柱状图供以后做更进一步的分析。

该发明主要包括对两种常见物联网技术进行扫描，包括无线传感网(wsn)以及射频识别(rfid)的扫描，如下：

无线终端设备扫描模块：通过嗅探工具在数据链路层进行抓包，对所抓取的包进行分析(目标地址、源地址、帧类型、子类型)来确定物联网环境的拓扑图(确定每个设备以及之间的链路状况)，并分析这些捕获的帧是否存在恶意攻击方式，进而通过自定发送数据包与接收数据包分析无线节点的漏洞；通过扫描确定节点的设备型号以及版本型号通过与漏洞数据库的比对来确定节点是否存在安全漏洞，扫描设备是否存在telnet后门漏洞，扫描节点是否存在web登陆管理界面，并对其默认用户名密码进行扫描，扫描蓝牙设备开放的未加密服务名称，扫描zigbee设备是否采用安全模式以及针对其密钥的传输模式进行扫描。

rfid模块的扫描方式：本发明创造了rfid漏洞分析与检测方式，首先通过对漏洞的分析，并创建tr模型，扫描卡片可能存在的漏洞，进而给出相应意见。

本专利物联网漏洞扫描核心策略:通过web客户端发送扫描指令给服务器，服务器调用在扫描器上的具体漏洞扫描应用程序执行，扫描完成后将结果返回给服务器，服务器处理完该数据后进而返回给web客户端。

漏洞库数据库表

上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。