陳 冰 宋宇波 施 麟 朱珍超 鄭天宇 陳宏遠 吳天琦

1(東南大學網(wǎng)絡(luò)空間安全學院 南京 211189)2(東南大學信息科學與工程學院 南京 211189)3(江蘇省計算機網(wǎng)絡(luò)技術(shù)重點實驗室 南京 210096)4(紫金山實驗室 南京 211111)5(江蘇省財政廳信息管理中心 南京 210024)(chenbing9961@163.com)

無線通信技術(shù)的發(fā)展為社會生產(chǎn)和人們的生活帶來了極大的便利.相比于有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)憑借其低成本和便利性有效地解決了互聯(lián)網(wǎng)中的“最后一百米”問題，在公共服務(wù)、商業(yè)活動、金融交易、軍事、醫(yī)療等重要領(lǐng)域得到了充分的應(yīng)用.但是，惡意攻擊者的存在使得無線網(wǎng)絡(luò)的安全受到威脅.典型的無線網(wǎng)絡(luò)攻擊者利用竊聽、攔截等手段獲取無線流量，進而破解和獲取用戶通信內(nèi)容和隱私[1].在WiFi網(wǎng)絡(luò)中，攻擊者可以利用從通信內(nèi)容中獲得的用戶身份信息將自身偽裝成合法設(shè)備，進而發(fā)起假冒攻擊欺騙無線接入點(access point, AP)，從而接入網(wǎng)絡(luò)[2]，并開展進一步的攻擊(如DDoS、漏洞掃描).

假冒攻擊的第1步通常為竊聽流量并獲取合法用戶的身份認證憑據(jù)，這種憑據(jù)通常為IP地址、MAC地址、通信參數(shù)(如通信頻率)等[3].與使用有線傳輸?shù)囊蕴W(wǎng)不同的是，無線傳輸媒介具有共享特性，因此無線流量難以避免被攻擊者所竊聽，因此無線網(wǎng)絡(luò)普遍將通信內(nèi)容加密來確保攻擊者無法獲取傳輸?shù)男畔4].用于無線局域網(wǎng)安全的802.11i為用戶提供了增強的數(shù)據(jù)加密和設(shè)備認證服務(wù)[5]，但是也增大了系統(tǒng)生產(chǎn)成本和計算復雜度.同時，不斷升級的破解手段也對加密系統(tǒng)帶來了全新的挑戰(zhàn)[6-7].

本文針對非加密型的無線設(shè)備身份異常檢測技術(shù)開展了研究，并提供了一個基于信道簽名的無線設(shè)備身份異常檢測系統(tǒng).本系統(tǒng)采用物理層信道指紋對設(shè)備進行身份標記和驗證，可以檢測假冒攻擊者的存在并發(fā)起異常警告.物理層信道指紋的生成基于802.11設(shè)備提供的細粒度信道狀態(tài)信息(channel state information, CSI)，其中CSI表征了收發(fā)設(shè)備之間的無線信道的頻率響應(yīng)[8-9].這種無線設(shè)備獨有的物理屬性難以被假冒者偽造，因此即使假冒者使用與合法用戶完全一致的身份認證憑據(jù)，依然無法通過本系統(tǒng)的身份驗證.本系統(tǒng)采集合法設(shè)備的指紋并保存在本地校驗文件.系統(tǒng)借助局部離群因子算法來校驗未知指紋集，校驗失敗則發(fā)出異常警告.

使用信道指紋進行設(shè)備身份異常檢測時必須考慮的問題是：合法設(shè)備的信道指紋會由于設(shè)備位置的改變而發(fā)生變化，因此簡單的依靠初始校驗文件進行身份驗證可能會導致誤判.為此，我們提出了一種安全的設(shè)備校驗文件更新方法.當檢測設(shè)備(如AP)校驗失敗后，其首先發(fā)起校驗文件更新，并根據(jù)更新結(jié)果重新進行2次校驗.考慮遲到假冒者的存在可能會干擾校驗文件的更新，因此本系統(tǒng)的更新方法提供了假冒者檢測的功能，能夠保證系統(tǒng)的安全性.

1 國內(nèi)外相關(guān)研究

近年來，國內(nèi)外的學者提出了許多基于物理層指紋的無線設(shè)備身份異常檢測方案.

Wan等人[10]通過提取接收信號強度指示(received signal strength indicator, RSSI)的統(tǒng)計特征來生成物理層指紋，進而標記并檢測設(shè)備身份.其利用在多個地標設(shè)置的多個天線采集RSSI來提高發(fā)送器的空間分辨率，進而提高攻擊檢測的準確率.Mahmood等人[11]提供了一種基于信道沖激響應(yīng)(channel impulse response, CIR)的分布式無線設(shè)備身份驗證方法.與Wan等人[10]相似的是，其利用多點感知來提高系統(tǒng)的檢測準確率.Yi等人[12]使用射頻指紋(radio frequency fingerprint, RFF)為無線設(shè)備提供非密碼身份驗證服務(wù)，并創(chuàng)新性地提出了一種基于RFF的輕量級一次性密碼認證方案，適用于能量、算力受限的設(shè)備.Rahman等人[13]利用設(shè)備硬件固有的載波頻率偏移特性生成設(shè)備硬件指紋并進行身份驗證.

RSSI，RSS，CIR能夠用來表征無線信道的特性，但是其均只能在單頻點上提供有限的信道信息.與此不同的是，CSI包含每個OFDM子載波的幅度和相位，能夠提供細粒度的無線信道特征，從而具有更好的身份標識性能.Liao等人[14]提出了一種基于CSI的設(shè)備認證方案，并使用CNN作為物理層指紋的識別算法.Shi等人[15]則利用SVM對用戶信道指紋進行識別.

以上基于信道指紋的設(shè)備身份檢測或認證技術(shù)均使用固定的用戶配置文件或已訓練好的識別模型對位置指紋的身份進行驗證.但是，考慮到空間的變化或設(shè)備位置的改變會使配置文件或識別模型失效，因此以上技術(shù)在長期的身份檢測或認證工作中將會產(chǎn)生誤判.針對此問題，我們提供了一種本地設(shè)備校驗文件安全更新策略來避免產(chǎn)生身份異常的誤報.

2 無線設(shè)備身份異常檢測系統(tǒng)

2.1 系統(tǒng)概述

圖1顯示了無線設(shè)備身份異常檢測系統(tǒng)的系統(tǒng)模型.其分為3個部分，分別為：①本地設(shè)備校驗文件構(gòu)建；②本地設(shè)備校驗文件安全更新；③設(shè)備身份異常檢測.

圖1 無線設(shè)備身份異常檢測系統(tǒng)模型

部分①負責采集在線合法設(shè)備的CSI并生成信道指紋.該部分假設(shè)此時不存在假冒者，因此采集的CSI均屬于合法設(shè)備.事實上，該部分能夠利用2.4節(jié)提供的本地設(shè)備校驗文件安全更新方案來判斷CSI樣本集是否被假冒者污染.部分②負責判斷校驗窗口的身份信息是否異常.若判斷結(jié)果為異常，則需要部分③進行2次檢測.2次檢測的目的是避免由于合法設(shè)備位置改變而造成的誤判.

2.2 基于CSI的信道指紋

在本節(jié)中，我們將討論如何生成用于構(gòu)建本地設(shè)備校驗文件的無線設(shè)備信道指紋.

在使用正交頻分復用(orthogonal frequency division multiplexing, OFDM)技術(shù)的802.11無線設(shè)備中，物理層的比特流通過若干個相互正交的子載波并行傳輸.CSI表征了收發(fā)設(shè)備之間的無線信道的頻率響應(yīng)，其包含每個子載波的幅度和相位信息，可以從支持OFDM的802.11無線設(shè)備的WiFi模塊中直接獲取而無需額外的硬件支持.為了簡化指紋提取算法和異常檢測算法，本系統(tǒng)僅取具有穩(wěn)定數(shù)值特征的CSI幅度值作為指紋生成的數(shù)據(jù)基礎(chǔ)，而不考慮具有更復雜的周期特征的相位信息.

值得注意的是，受發(fā)射機、接收機周圍環(huán)境噪聲和人員、物品移動的影響，在前后時刻從同一設(shè)備采集到的CSI幅度存在偏差.這種偏差會降低本系統(tǒng)的檢測準確率.因此，在生成本地校驗文件之前，我們需要對采集到的CSI原始數(shù)據(jù)進行預(yù)處理.

2.2.1 Hampel濾波

2.2.2 時域均值濾波

該部分對每個子載波上的采樣值進行時域均值濾波.濾波過程表示為

(1)

其中L為均值濾波窗口的長度.

2.3 基于LOF的設(shè)備身份異常檢測

在通信過程中，本系統(tǒng)將不斷接收攜帶合法無線設(shè)備身份認證憑據(jù)的數(shù)據(jù)包.這些數(shù)據(jù)包的身份在傳統(tǒng)的認證系統(tǒng)中將被判定為合法有效，但是其可能來自身份假冒攻擊者.本系統(tǒng)將對這些未知數(shù)據(jù)包進行身份異常檢測.

在實際的身份異常檢測時，身份異常檢測系統(tǒng)為每一個在線的合法設(shè)備設(shè)置1個長度為M的檢測窗口，其存放從第M個最新接收的來自該合法設(shè)備的數(shù)據(jù)包中提取的M個CSI樣本.針對每個樣本，本系統(tǒng)借助LOF算法來判斷其是否為本地校驗文件樣本集的離群點.判斷方法如下：首先將待檢測的CSI樣本與本地校驗文件中的樣本組成樣本集H：

(2)

在異常檢測前需要對樣本進行歸一化.本系統(tǒng)利用最大值-最小值歸一化法，第i個樣本的第k個子載波幅度值的歸一化方法如下：

(3)

在樣本集H中，將樣本Si與樣本Sj之間的距離定義為2個樣本的歐幾里得度量，并用di,j表示.

(4)

其中，j=1,2,…,i-1,i+1,…,N+1.

定義待檢測樣本SN+1的局部離群因子為

(5)

其中，i=1,2,…,N+1.

設(shè)置閾值threshold1作為判斷樣本是否為離群點的依據(jù)，判斷方式如下：

(6)

本系統(tǒng)先后對檢測窗口M中的每個未知樣本進行身份異常檢測.系統(tǒng)規(guī)定：若檢測窗口中超過5%的樣本被判定為異常，則將此設(shè)備的身份狀態(tài)標記為異常，并進入本地設(shè)備校驗文件安全更新階段.

2.4 本地設(shè)備校驗文件安全更新

當某個在線設(shè)備身份被標記為異常時，檢測設(shè)備對該設(shè)備的身份進行2次檢測.2次檢測的方式為發(fā)起校驗文件的更新.檢測設(shè)備首先向目標設(shè)備發(fā)送若干次Ping請求，目標設(shè)備收到請求后將回復數(shù)據(jù)包，檢測設(shè)備則利用這些數(shù)據(jù)包提取新的CSI樣本集.

根據(jù)理論分析，此時身份異常的原因可能為：1)合法設(shè)備位置改變或周圍空間發(fā)生變化；2)存在假冒者.為了不造成誤判，系統(tǒng)只有在情況2)下才應(yīng)發(fā)出身份異常警告.理論分析可得：在情況1)下新的CSI樣本集將表征合法設(shè)備的新信道特征，樣本具有一致性；情況2)下檢測設(shè)備將接收到來自合法設(shè)備和假冒設(shè)備的數(shù)據(jù)包，此時的CSI樣本集不具有一致性.本系統(tǒng)用樣本集的標準差來量化這種一致性：

(7)

本系統(tǒng)設(shè)置閾值threshold2來判斷樣本集是否具有一致性.當σ≥threshold2時，判斷此時存在假冒者，發(fā)出身份異常警告；否則更新校驗文件.

3 測試與評估

本節(jié)將描述我們實際開展的實驗以及測試方法，并利用測試結(jié)果對本系統(tǒng)的身份異常檢測性能進行評估和分析.

3.1 實驗設(shè)置與評估指標

我們的實驗?zāi)康氖峭ㄟ^模擬真實的設(shè)備工作環(huán)境以及假冒攻擊來測試系統(tǒng)的異常檢測性能.我們在實驗室中開展了實驗，該實驗室內(nèi)具有若干辦公桌、臺式機以及智能移動終端.

模擬檢測系統(tǒng)的測試設(shè)備信息如表1所示.其中，所有設(shè)備均固定在實驗室中不同的位置.所有待檢測設(shè)備以100 pkts/s的速度發(fā)送長度相等的數(shù)據(jù)包，每個數(shù)據(jù)包中攜帶用于區(qū)分設(shè)備的MAC地址.監(jiān)聽設(shè)備負責數(shù)據(jù)包的接收和CSI的提取，提取出的CSI將被保存在檢測設(shè)備以供測試.其中，監(jiān)聽設(shè)備和待檢測設(shè)備均使用802.11g，工作頻率為2 422 MHz，帶寬為20 MHz.我們的測試分布在同一天的不同時間段，共收集到來自2臺待檢測設(shè)備的超過20萬組CSI樣本.

表1 實驗設(shè)備

我們選取真正例率(true positive rate)記為TPR和準確度(Accuracy)作為評估系統(tǒng)性能的指標.TPR反映了系統(tǒng)驗證合法設(shè)備身份的準確率，Accuracy則反映了系統(tǒng)的整體準確率.這2種指標的計算方法如下：

(8)

(9)

其中，TP為真正類數(shù)量，F(xiàn)N為假負類數(shù)量，TN為真負類數(shù)量，F(xiàn)P為假正類數(shù)量.

3.2 實驗結(jié)果分析

在對系統(tǒng)進行評估之前，我們需要首先選擇適當?shù)膖hreshold1.我們截取數(shù)據(jù)集中的50組連續(xù)CSI樣本來構(gòu)建校驗文件，并從合法設(shè)備和假冒設(shè)備各截取500組CSI樣本作為測試集.圖2顯示了測試集的LOF分布狀況(取m為經(jīng)驗值6)，其中藍色點代表合法設(shè)備，紅色點代表假冒設(shè)備.圖2中紅色虛線所標記的閾值為2.6，可以看到所有的假冒設(shè)備點均分布在該虛線以上，而絕大多數(shù)的合法設(shè)備點分布在虛線以下.本系統(tǒng)作為異常檢測系統(tǒng)，應(yīng)以高準確率檢測假冒設(shè)備為主要目標，而紅色虛線所標記的閾值即為能夠以高準確率檢測異常時的最佳判定閾值，因此在接下來的測試中令threshold1=2.6.

圖2 來自合法/假冒設(shè)備樣本的LOF

針對不同的測試窗口長度M，我們選取了9個窗口長度測試點，如圖3所示.針對每種長度，我們利用不同時間段采集到的多個樣本集進行多次測試，并記錄TPR的最大值、最小值、平均值.測試時，我們用每個樣本集的前50個樣本來構(gòu)建本地設(shè)備校驗文件，并用剩余的樣本進行真正例率測試.表2給出了不同長度的檢測窗口下系統(tǒng)的TPR，圖3給出了可視化的對比.可以看出，TPR隨著檢測窗口長度的增大呈對數(shù)增長趨勢.在實際工作中，窗口長度越大則系統(tǒng)對身份異常設(shè)備存在的感知延遲越大(因為只有在接收的數(shù)據(jù)包填滿檢測窗口時才開始檢測).由表3可得，M≤80時的TPR增長幅度均大于1.3%，而80

表2 不同檢測窗口長度下的TPR

圖3 不同檢測窗口長度下的TPR對比

表3 不同檢測算法下的系統(tǒng)準確度 %

為了評估本系統(tǒng)所用的檢測算法的優(yōu)劣，我們分別使用CNN，SVM，KNN進行了測試，并用準確度作為評估標準.測試結(jié)果如表3所示，其中CNN算法具有最高的準確度，達到98.54%；SVM算法的檢測精準度只有87.92%.在利用CNN進行異常檢測時，我們將合法設(shè)備和假冒設(shè)備的部分樣本作為訓練集訓練分類模型，并對其余的樣本進行分類測試.但是在實際工作中，假冒設(shè)備是未知的存在，這意味著系統(tǒng)無法提前獲取假冒設(shè)備的訓練樣本.因此，雖然本系統(tǒng)的檢測準確度相比于CNN低1.48%，但是本系統(tǒng)更具有可實施性.

4 總 結(jié)

本文針對無線網(wǎng)絡(luò)中的假冒攻擊問題，提出了一種基于信道指紋的無線設(shè)備身份異常檢測方法，并設(shè)計了用于實際安全防護的無線設(shè)備身份異常檢測系統(tǒng).本系統(tǒng)利用無線設(shè)備的CSI生成信道指紋，并構(gòu)成本地設(shè)備校驗文件.在實時通信中，本系統(tǒng)從待檢測設(shè)備發(fā)來的數(shù)據(jù)包中捕獲CSI樣本，并利用LOF算法對該數(shù)據(jù)包的身份進行異常檢測.我們編程實現(xiàn)了該系統(tǒng)，并在實驗室中開展了異常檢測測試.實驗結(jié)果表明，本系統(tǒng)的真正例率達到了96.39%，準確度達到了97.06%.但是我們在實驗中僅對位置固定的設(shè)備進行了測試，因此本系統(tǒng)對移動設(shè)備的檢測效果是未知的.我們的下一步工作就是研究如何針對移動設(shè)備進行身份異常檢測.