基于信道指紋的無線設備身份異常檢測技術研究

陳 冰 宋宇波 施 麟 朱珍超 鄭天宇 陳宏遠 吳天琦

1(東南大學網絡空間安全學院 南京 211189)2(東南大學信息科學與工程學院 南京 211189)3(江蘇省計算機網絡技術重點實驗室 南京 210096)4(紫金山實驗室 南京 211111)5(江蘇省財政廳信息管理中心 南京 210024)(chenbing9961@163.com)

無線通信技術的發展為社會生產和人們的生活帶來了極大的便利.相比于有線網絡，無線網絡憑借其低成本和便利性有效地解決了互聯網中的“最后一百米”問題，在公共服務、商業活動、金融交易、軍事、醫療等重要領域得到了充分的應用.但是，惡意攻擊者的存在使得無線網絡的安全受到威脅.典型的無線網絡攻擊者利用竊聽、攔截等手段獲取無線流量，進而破解和獲取用戶通信內容和隱私[1].在WiFi網絡中，攻擊者可以利用從通信內容中獲得的用戶身份信息將自身偽裝成合法設備，進而發起假冒攻擊欺騙無線接入點(access point, AP)，從而接入網絡[2]，并開展進一步的攻擊(如DDoS、漏洞掃描).

假冒攻擊的第1步通常為竊聽流量并獲取合法用戶的身份認證憑據，這種憑據通常為IP地址、MAC地址、通信參數(如通信頻率)等[3].與使用有線傳輸的以太網不同的是，無線傳輸媒介具有共享特性，因此無線流量難以避免被攻擊者所竊聽，因此無線網絡普遍將通信內容加密來確保攻擊者無法獲取傳輸的信息[4].用于無線局域網安全的802.11i為用戶提供了增強的數據加密和設備認證服務[5]，但是也增大了系統生產成本和計算復雜度.同時，不斷升級的破解手段也對加密系統帶來了全新的挑戰[6-7].

本文針對非加密型的無線設備身份異常檢測技術開展了研究，并提供了一個基于信道簽名的無線設備身份異常檢測系統.本系統采用物理層信道指紋對設備進行身份標記和驗證，可以檢測假冒攻擊者的存在并發起異常警告.物理層信道指紋的生成基于802.11設備提供的細粒度信道狀態信息(channel state information, CSI)，其中CSI表征了收發設備之間的無線信道的頻率響應[8-9].這種無線設備獨有的物理屬性難以被假冒者偽造，因此即使假冒者使用與合法用戶完全一致的身份認證憑據，依然無法通過本系統的身份驗證.本系統采集合法設備的指紋并保存在本地校驗文件.系統借助局部離群因子算法來校驗未知指紋集，校驗失敗則發出異常警告.

使用信道指紋進行設備身份異常檢測時必須考慮的問題是：合法設備的信道指紋會由于設備位置的改變而發生變化，因此簡單的依靠初始校驗文件進行身份驗證可能會導致誤判.為此，我們提出了一種安全的設備校驗文件更新方法.當檢測設備(如AP)校驗失敗后，其首先發起校驗文件更新，并根據更新結果重新進行2次校驗.考慮遲到假冒者的存在可能會干擾校驗文件的更新，因此本系統的更新方法提供了假冒者檢測的功能，能夠保證系統的安全性.

1 國內外相關研究

近年來，國內外的學者提出了許多基于物理層指紋的無線設備身份異常檢測方案.

Wan等人[10]通過提取接收信號強度指示(received signal strength indicator, RSSI)的統計特征來生成物理層指紋，進而標記并檢測設備身份.其利用在多個地標設置的多個天線采集RSSI來提高發送器的空間分辨率，進而提高攻擊檢測的準確率.Mahmood等人[11]提供了一種基于信道沖激響應(channel impulse response, CIR)的分布式無線設備身份驗證方法.與Wan等人[10]相似的是，其利用多點感知來提高系統的檢測準確率.Yi等人[12]使用射頻指紋(radio frequency fingerprint, RFF)為無線設備提供非密碼身份驗證服務，并創新性地提出了一種基于RFF的輕量級一次性密碼認證方案，適用于能量、算力受限的設備.Rahman等人[13]利用設備硬件固有的載波頻率偏移特性生成設備硬件指紋并進行身份驗證.

RSSI，RSS，CIR能夠用來表征無線信道的特性，但是其均只能在單頻點上提供有限的信道信息.與此不同的是，CSI包含每個OFDM子載波的幅度和相位，能夠提供細粒度的無線信道特征，從而具有更好的身份標識性能.Liao等人[14]提出了一種基于CSI的設備認證方案，并使用CNN作為物理層指紋的識別算法.Shi等人[15]則利用SVM對用戶信道指紋進行識別.

以上基于信道指紋的設備身份檢測或認證技術均使用固定的用戶配置文件或已訓練好的識別模型對位置指紋的身份進行驗證.但是，考慮到空間的變化或設備位置的改變會使配置文件或識別模型失效，因此以上技術在長期的身份檢測或認證工作中將會產生誤判.針對此問題，我們提供了一種本地設備校驗文件安全更新策略來避免產生身份異常的誤報.

2 無線設備身份異常檢測系統

2.1 系統概述

圖1顯示了無線設備身份異常檢測系統的系統模型.其分為3個部分，分別為：①本地設備校驗文件構建；②本地設備校驗文件安全更新；③設備身份異常檢測.

圖1 無線設備身份異常檢測系統模型

部分①負責采集在線合法設備的CSI并生成信道指紋.該部分假設此時不存在假冒者，因此采集的CSI均屬于合法設備.事實上，該部分能夠利用2.4節提供的本地設備校驗文件安全更新方案來判斷CSI樣本集是否被假冒者污染.部分②負責判斷校驗窗口的身份信息是否異常.若判斷結果為異常，則需要部分③進行2次檢測.2次檢測的目的是避免由于合法設備位置改變而造成的誤判.

2.2 基于CSI的信道指紋

在本節中，我們將討論如何生成用于構建本地設備校驗文件的無線設備信道指紋.

在使用正交頻分復用(orthogonal frequency division multiplexing, OFDM)技術的802.11無線設備中，物理層的比特流通過若干個相互正交的子載波并行傳輸.CSI表征了收發設備之間的無線信道的頻率響應，其包含每個子載波的幅度和相位信息，可以從支持OFDM的802.11無線設備的WiFi模塊中直接獲取而無需額外的硬件支持.為了簡化指紋提取算法和異常檢測算法，本系統僅取具有穩定數值特征的CSI幅度值作為指紋生成的數據基礎，而不考慮具有更復雜的周期特征的相位信息.

值得注意的是，受發射機、接收機周圍環境噪聲和人員、物品移動的影響，在前后時刻從同一設備采集到的CSI幅度存在偏差.這種偏差會降低本系統的檢測準確率.因此，在生成本地校驗文件之前，我們需要對采集到的CSI原始數據進行預處理.

2.2.1 Hampel濾波

2.2.2 時域均值濾波

該部分對每個子載波上的采樣值進行時域均值濾波.濾波過程表示為

(1)

其中L為均值濾波窗口的長度.

2.3 基于LOF的設備身份異常檢測

在通信過程中，本系統將不斷接收攜帶合法無線設備身份認證憑據的數據包.這些數據包的身份在傳統的認證系統中將被判定為合法有效，但是其可能來自身份假冒攻擊者.本系統將對這些未知數據包進行身份異常檢測.

在實際的身份異常檢測時，身份異常檢測系統為每一個在線的合法設備設置1個長度為M的檢測窗口，其存放從第M個最新接收的來自該合法設備的數據包中提取的M個CSI樣本.針對每個樣本，本系統借助LOF算法來判斷其是否為本地校驗文件樣本集的離群點.判斷方法如下：首先將待檢測的CSI樣本與本地校驗文件中的樣本組成樣本集H：

(2)

在異常檢測前需要對樣本進行歸一化.本系統利用最大值-最小值歸一化法，第i個樣本的第k個子載波幅度值的歸一化方法如下：

(3)

在樣本集H中，將樣本Si與樣本Sj之間的距離定義為2個樣本的歐幾里得度量，并用di,j表示.

(4)

其中，j=1,2,…,i-1,i+1,…,N+1.

定義待檢測樣本SN+1的局部離群因子為

(5)

其中，i=1,2,…,N+1.

設置閾值threshold1作為判斷樣本是否為離群點的依據，判斷方式如下：

(6)

本系統先后對檢測窗口M中的每個未知樣本進行身份異常檢測.系統規定：若檢測窗口中超過5%的樣本被判定為異常，則將此設備的身份狀態標記為異常，并進入本地設備校驗文件安全更新階段.

2.4 本地設備校驗文件安全更新

當某個在線設備身份被標記為異常時，檢測設備對該設備的身份進行2次檢測.2次檢測的方式為發起校驗文件的更新.檢測設備首先向目標設備發送若干次Ping請求，目標設備收到請求后將回復數據包，檢測設備則利用這些數據包提取新的CSI樣本集.

根據理論分析，此時身份異常的原因可能為：1)合法設備位置改變或周圍空間發生變化；2)存在假冒者.為了不造成誤判，系統只有在情況2)下才應發出身份異常警告.理論分析可得：在情況1)下新的CSI樣本集將表征合法設備的新信道特征，樣本具有一致性；情況2)下檢測設備將接收到來自合法設備和假冒設備的數據包，此時的CSI樣本集不具有一致性.本系統用樣本集的標準差來量化這種一致性：

(7)

本系統設置閾值threshold2來判斷樣本集是否具有一致性.當σ≥threshold2時，判斷此時存在假冒者，發出身份異常警告；否則更新校驗文件.

3 測試與評估

本節將描述我們實際開展的實驗以及測試方法，并利用測試結果對本系統的身份異常檢測性能進行評估和分析.

3.1 實驗設置與評估指標

我們的實驗目的是通過模擬真實的設備工作環境以及假冒攻擊來測試系統的異常檢測性能.我們在實驗室中開展了實驗，該實驗室內具有若干辦公桌、臺式機以及智能移動終端.

模擬檢測系統的測試設備信息如表1所示.其中，所有設備均固定在實驗室中不同的位置.所有待檢測設備以100 pkts/s的速度發送長度相等的數據包，每個數據包中攜帶用于區分設備的MAC地址.監聽設備負責數據包的接收和CSI的提取，提取出的CSI將被保存在檢測設備以供測試.其中，監聽設備和待檢測設備均使用802.11g，工作頻率為2 422 MHz，帶寬為20 MHz.我們的測試分布在同一天的不同時間段，共收集到來自2臺待檢測設備的超過20萬組CSI樣本.

表1 實驗設備

我們選取真正例率(true positive rate)記為TPR和準確度(Accuracy)作為評估系統性能的指標.TPR反映了系統驗證合法設備身份的準確率，Accuracy則反映了系統的整體準確率.這2種指標的計算方法如下：

(8)

(9)

其中，TP為真正類數量，FN為假負類數量，TN為真負類數量，FP為假正類數量.

3.2 實驗結果分析

在對系統進行評估之前，我們需要首先選擇適當的threshold1.我們截取數據集中的50組連續CSI樣本來構建校驗文件，并從合法設備和假冒設備各截取500組CSI樣本作為測試集.圖2顯示了測試集的LOF分布狀況(取m為經驗值6)，其中藍色點代表合法設備，紅色點代表假冒設備.圖2中紅色虛線所標記的閾值為2.6，可以看到所有的假冒設備點均分布在該虛線以上，而絕大多數的合法設備點分布在虛線以下.本系統作為異常檢測系統，應以高準確率檢測假冒設備為主要目標，而紅色虛線所標記的閾值即為能夠以高準確率檢測異常時的最佳判定閾值，因此在接下來的測試中令threshold1=2.6.

圖2 來自合法/假冒設備樣本的LOF

針對不同的測試窗口長度M，我們選取了9個窗口長度測試點，如圖3所示.針對每種長度，我們利用不同時間段采集到的多個樣本集進行多次測試，并記錄TPR的最大值、最小值、平均值.測試時，我們用每個樣本集的前50個樣本來構建本地設備校驗文件，并用剩余的樣本進行真正例率測試.表2給出了不同長度的檢測窗口下系統的TPR，圖3給出了可視化的對比.可以看出，TPR隨著檢測窗口長度的增大呈對數增長趨勢.在實際工作中，窗口長度越大則系統對身份異常設備存在的感知延遲越大(因為只有在接收的數據包填滿檢測窗口時才開始檢測).由表3可得，M≤80時的TPR增長幅度均大于1.3%，而80

表2 不同檢測窗口長度下的TPR

圖3 不同檢測窗口長度下的TPR對比

表3 不同檢測算法下的系統準確度 %

為了評估本系統所用的檢測算法的優劣，我們分別使用CNN，SVM，KNN進行了測試，并用準確度作為評估標準.測試結果如表3所示，其中CNN算法具有最高的準確度，達到98.54%；SVM算法的檢測精準度只有87.92%.在利用CNN進行異常檢測時，我們將合法設備和假冒設備的部分樣本作為訓練集訓練分類模型，并對其余的樣本進行分類測試.但是在實際工作中，假冒設備是未知的存在，這意味著系統無法提前獲取假冒設備的訓練樣本.因此，雖然本系統的檢測準確度相比于CNN低1.48%，但是本系統更具有可實施性.

4 總 結

本文針對無線網絡中的假冒攻擊問題，提出了一種基于信道指紋的無線設備身份異常檢測方法，并設計了用于實際安全防護的無線設備身份異常檢測系統.本系統利用無線設備的CSI生成信道指紋，并構成本地設備校驗文件.在實時通信中，本系統從待檢測設備發來的數據包中捕獲CSI樣本，并利用LOF算法對該數據包的身份進行異常檢測.我們編程實現了該系統，并在實驗室中開展了異常檢測測試.實驗結果表明，本系統的真正例率達到了96.39%，準確度達到了97.06%.但是我們在實驗中僅對位置固定的設備進行了測試，因此本系統對移動設備的檢測效果是未知的.我們的下一步工作就是研究如何針對移動設備進行身份異常檢測.