基于登錄界面特征的物聯(lián)網(wǎng)設(shè)備指紋生成

張帥帥，黃杰

〔1.東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇南京 211189；2.網(wǎng)絡(luò)通信與安全紫金山實(shí)驗室，江蘇南京 211111；3.江蘇省計算機(jī)網(wǎng)絡(luò)技術(shù)重點(diǎn)實(shí)驗室，江蘇南京 211189；4.網(wǎng)絡(luò)空間國際治理研究基地（東南大學(xué)），江蘇南京 211189〕

1 引言

近10年物聯(lián)網(wǎng)技術(shù)迅速發(fā)展，物聯(lián)網(wǎng)設(shè)備數(shù)量也急劇增加。根據(jù)國際知名調(diào)研機(jī)構(gòu)Gartner[1]的報告，到2020年物聯(lián)網(wǎng)設(shè)備的數(shù)量將增加到200多億。日益發(fā)展的物聯(lián)網(wǎng)也存在巨大的安全隱患[2～3]。Liu等[4]人全面分析了物聯(lián)網(wǎng)設(shè)備在設(shè)計研發(fā)生產(chǎn)使用全過程的安全風(fēng)險。

但是，物聯(lián)網(wǎng)設(shè)備具有海量和多樣的特點(diǎn)，很難進(jìn)行統(tǒng)一的安全管理。所以，對物聯(lián)網(wǎng)設(shè)備進(jìn)行識別和分類是進(jìn)行安全管理的第一步。

2 物聯(lián)網(wǎng)設(shè)備識別方法

物聯(lián)網(wǎng)設(shè)備識別就是通過主動或被動的方式，采集有效信息生成設(shè)備指紋，分為基于流量特征的指紋生成和基于標(biāo)語的指紋生成。

2.1 基于流量特征的指紋生成

主動探測是向目標(biāo)設(shè)備發(fā)送探測包，對響應(yīng)數(shù)據(jù)包進(jìn)行分析提取特征。Nmap在探測目標(biāo)設(shè)備的操作系統(tǒng)時，設(shè)定了16種畸形的TCP和UDP探測包，根據(jù)響應(yīng)數(shù)據(jù)分析協(xié)議序號（ISN）的生成規(guī)則、系統(tǒng)的時鐘情況等信息，可以有效地識別出目標(biāo)設(shè)備的操作系統(tǒng)[5,6]。

被動監(jiān)測是在網(wǎng)關(guān)處監(jiān)控設(shè)備的通信時長和頻率、數(shù)據(jù)大小等，來識別設(shè)備的不同行為模式。DEFT[7]分析DNS/HTTP/MQTT等多個協(xié)議的數(shù)字特征（均值、最大值和最小值），生成對應(yīng)的數(shù)字指紋。對于具有無線功能的設(shè)備，可以將無線電的物理特征作為設(shè)備指紋[8,9]。

得到指紋后利用不同的學(xué)習(xí)算法進(jìn)行設(shè)備分類。一般采用監(jiān)督學(xué)習(xí)和非監(jiān)督學(xué)習(xí)。Li等人[10]采用決策樹、SVM和BP神經(jīng)網(wǎng)絡(luò)等監(jiān)督學(xué)習(xí)方法，對攝像頭設(shè)備的正負(fù)樣本進(jìn)行訓(xùn)練來識別聯(lián)網(wǎng)攝像頭。無監(jiān)督學(xué)習(xí)則被用來解決無訓(xùn)練數(shù)據(jù)時識別新出現(xiàn)的設(shè)備。

2.2 基于標(biāo)語的指紋生成

標(biāo)語信息常出現(xiàn)在Telnet/HTTP等協(xié)議中，含有設(shè)備的品牌型號信息。如圖1所示，是HTTP文本的頭部關(guān)鍵標(biāo)語信息。標(biāo)語信息能夠直接顯示設(shè)備的品牌型號。但各個廠家的標(biāo)語信息格式、位置、寫法都不相同，對有效標(biāo)語信息的提取造成了很大的阻礙。Feng等人[11]提出了基于規(guī)則匹配和NLP的物聯(lián)網(wǎng)設(shè)備搜索引擎，標(biāo)語提取后利用Google對標(biāo)語信息進(jìn)行拓展并建立設(shè)備的指紋庫。

圖1 HTTP頭部標(biāo)語信息

3 基于登錄界面的指紋生成

3.1 交互界面指紋特點(diǎn)

不同品牌設(shè)備的頁面具有差異性。同時，界面代碼是被寫進(jìn)硬件存儲中的，具有持久性。這兩點(diǎn)確保了本文方法的有效性。

Ren等[12]人利用信息增益模型從Web頁面提取關(guān)鍵詞信息，利用正反饋增強(qiáng)的PU學(xué)習(xí)方法進(jìn)行分類器訓(xùn)練。但這種基于特征字提取的方法，在遇到交互界面中缺少關(guān)鍵字，或者品牌型號信息都以圖片的形式顯示時，難以提取有效的特征信息。針對這個問題，本文提出了基于交互界面代碼結(jié)構(gòu)的特征提取方法，該方法的優(yōu)勢是適用性廣、正確率高。

3.2 指紋生成方法

HTML是一種標(biāo)簽語言，可以轉(zhuǎn)化成DOM樹。本文的設(shè)備指紋包含兩部分：標(biāo)簽使用情況和DOM樹的層次結(jié)構(gòu)信息。這些信息可以很好的代表一種品牌設(shè)備的頁面特征。

本文通過對其關(guān)鍵標(biāo)簽的使用情況以及DOM樹結(jié)構(gòu)的分析，提取了表1中的19種特征值。一個合法的HTML文本都包括了兩大部分，標(biāo)簽和標(biāo)簽。標(biāo)簽定義了HTML文檔的頭部，是各種頭部標(biāo)簽元素的容器。標(biāo)簽中的內(nèi)容定義了HTML文檔的各類屬性，腳本的調(diào)用等等配置信息。經(jīng)常在頭部出現(xiàn)的標(biāo)簽有