基于登錄界面特征的物聯(lián)網(wǎng)設(shè)備指紋生成

張帥帥，黃杰

〔1.東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇南京 211189；2.網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室，江蘇南京 211111；3.江蘇省計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)重點(diǎn)實(shí)驗(yàn)室，江蘇南京 211189；4.網(wǎng)絡(luò)空間國(guó)際治理研究基地（東南大學(xué)），江蘇南京 211189〕

1 引言

近10年物聯(lián)網(wǎng)技術(shù)迅速發(fā)展，物聯(lián)網(wǎng)設(shè)備數(shù)量也急劇增加。根據(jù)國(guó)際知名調(diào)研機(jī)構(gòu)Gartner[1]的報(bào)告，到2020年物聯(lián)網(wǎng)設(shè)備的數(shù)量將增加到200多億。日益發(fā)展的物聯(lián)網(wǎng)也存在巨大的安全隱患[2～3]。Liu等[4]人全面分析了物聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)研發(fā)生產(chǎn)使用全過(guò)程的安全風(fēng)險(xiǎn)。

但是，物聯(lián)網(wǎng)設(shè)備具有海量和多樣的特點(diǎn)，很難進(jìn)行統(tǒng)一的安全管理。所以，對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行識(shí)別和分類(lèi)是進(jìn)行安全管理的第一步。

2 物聯(lián)網(wǎng)設(shè)備識(shí)別方法

物聯(lián)網(wǎng)設(shè)備識(shí)別就是通過(guò)主動(dòng)或被動(dòng)的方式，采集有效信息生成設(shè)備指紋，分為基于流量特征的指紋生成和基于標(biāo)語(yǔ)的指紋生成。

2.1 基于流量特征的指紋生成

主動(dòng)探測(cè)是向目標(biāo)設(shè)備發(fā)送探測(cè)包，對(duì)響應(yīng)數(shù)據(jù)包進(jìn)行分析提取特征。Nmap在探測(cè)目標(biāo)設(shè)備的操作系統(tǒng)時(shí)，設(shè)定了16種畸形的TCP和UDP探測(cè)包，根據(jù)響應(yīng)數(shù)據(jù)分析協(xié)議序號(hào)（ISN）的生成規(guī)則、系統(tǒng)的時(shí)鐘情況等信息，可以有效地識(shí)別出目標(biāo)設(shè)備的操作系統(tǒng)[5,6]。

被動(dòng)監(jiān)測(cè)是在網(wǎng)關(guān)處監(jiān)控設(shè)備的通信時(shí)長(zhǎng)和頻率、數(shù)據(jù)大小等，來(lái)識(shí)別設(shè)備的不同行為模式。DEFT[7]分析DNS/HTTP/MQTT等多個(gè)協(xié)議的數(shù)字特征（均值、最大值和最小值），生成對(duì)應(yīng)的數(shù)字指紋。對(duì)于具有無(wú)線功能的設(shè)備，可以將無(wú)線電的物理特征作為設(shè)備指紋[8,9]。

得到指紋后利用不同的學(xué)習(xí)算法進(jìn)行設(shè)備分類(lèi)。一般采用監(jiān)督學(xué)習(xí)和非監(jiān)督學(xué)習(xí)。Li等人[10]采用決策樹(shù)、SVM和BP神經(jīng)網(wǎng)絡(luò)等監(jiān)督學(xué)習(xí)方法，對(duì)攝像頭設(shè)備的正負(fù)樣本進(jìn)行訓(xùn)練來(lái)識(shí)別聯(lián)網(wǎng)攝像頭。無(wú)監(jiān)督學(xué)習(xí)則被用來(lái)解決無(wú)訓(xùn)練數(shù)據(jù)時(shí)識(shí)別新出現(xiàn)的設(shè)備。

2.2 基于標(biāo)語(yǔ)的指紋生成

標(biāo)語(yǔ)信息常出現(xiàn)在Telnet/HTTP等協(xié)議中，含有設(shè)備的品牌型號(hào)信息。如圖1所示，是HTTP文本的頭部關(guān)鍵標(biāo)語(yǔ)信息。標(biāo)語(yǔ)信息能夠直接顯示設(shè)備的品牌型號(hào)。但各個(gè)廠家的標(biāo)語(yǔ)信息格式、位置、寫(xiě)法都不相同，對(duì)有效標(biāo)語(yǔ)信息的提取造成了很大的阻礙。Feng等人[11]提出了基于規(guī)則匹配和NLP的物聯(lián)網(wǎng)設(shè)備搜索引擎，標(biāo)語(yǔ)提取后利用Google對(duì)標(biāo)語(yǔ)信息進(jìn)行拓展并建立設(shè)備的指紋庫(kù)。

圖1 HTTP頭部標(biāo)語(yǔ)信息

3 基于登錄界面的指紋生成

3.1 交互界面指紋特點(diǎn)

不同品牌設(shè)備的頁(yè)面具有差異性。同時(shí)，界面代碼是被寫(xiě)進(jìn)硬件存儲(chǔ)中的，具有持久性。這兩點(diǎn)確保了本文方法的有效性。

Ren等[12]人利用信息增益模型從Web頁(yè)面提取關(guān)鍵詞信息，利用正反饋增強(qiáng)的PU學(xué)習(xí)方法進(jìn)行分類(lèi)器訓(xùn)練。但這種基于特征字提取的方法，在遇到交互界面中缺少關(guān)鍵字，或者品牌型號(hào)信息都以圖片的形式顯示時(shí)，難以提取有效的特征信息。針對(duì)這個(gè)問(wèn)題，本文提出了基于交互界面代碼結(jié)構(gòu)的特征提取方法，該方法的優(yōu)勢(shì)是適用性廣、正確率高。

3.2 指紋生成方法

HTML是一種標(biāo)簽語(yǔ)言，可以轉(zhuǎn)化成DOM樹(shù)。本文的設(shè)備指紋包含兩部分：標(biāo)簽使用情況和DOM樹(shù)的層次結(jié)構(gòu)信息。這些信息可以很好的代表一種品牌設(shè)備的頁(yè)面特征。

本文通過(guò)對(duì)其關(guān)鍵標(biāo)簽的使用情況以及DOM樹(shù)結(jié)構(gòu)的分析，提取了表1中的19種特征值。一個(gè)合法的HTML文本都包括了兩大部分，標(biāo)簽和標(biāo)簽。標(biāo)簽定義了HTML文檔的頭部，是各種頭部標(biāo)簽元素的容器。標(biāo)簽中的內(nèi)容定義了HTML文檔的各類(lèi)屬性，腳本的調(diào)用等等配置信息。經(jīng)常在頭部出現(xiàn)的標(biāo)簽有