一种基于IAT和机器学习的无线设备识别机制

2022-02-03林智君阮天翔

无线互联科技 2022年22期

宫婷，林智君，阮天翔

(1.西安航空计算技术研究所，陕西西安 710068；2.西北工业大学，陕西西安 710072)

0 引言

近年来，物联网的发展取得了重大进展，越来越多的人安装了物联网设备，包括智能安全系统、智能家居照明等。有关设备识别的研究通过不同特征来区分设备，包括检查电子序列号(ESN)、媒体访问控制(MAC)地址、移动标识号(MIN)或产品系列以及互联网协议(IP)号。然而，随着网络攻击的发展，IP和MAC地址可以通过软件轻松修改[1]，不能作为唯一的设备身份验证或标识功能。

本文针对物联网安全问题，提出了一种新的认证机制，通过提取有关设备软件版本以及硬件组件的信息，使用IAT生成的设备指纹，结合数字证书来验证物联网设备。设备指纹识别方法必须满足两个特征：一是难以伪造，二是在不同环境中应稳定。本文的主要贡献是将IAT作为构建无源设备指纹的关键特征，讨论了有关设备指纹的相关工作；介绍了IAT的概念，并提出了一种基于IAT的设备指纹识别技术；在模拟和真实网络环境中评估笔者提出的技术。

1 国内外相关研究

Francois等[2]建立了网络消息的树，利用支持向量机(SVM)和快速鲁棒(QROCK)算法来计算不同树之间的距离。在真实的IP语音(VoIP)网络设备指纹识别场景中，使用SVM和QROCK的准确率分别达到70%和75%。他们的方法必须为每种消息类型生成树，多种消息类型可能会降低这些方法的性能，该方法在实际环境中的精度相对较低。

Jana等[3]提出了一种基于时钟偏差的设备指纹识别方法，以解决检测MAC地址欺骗的问题。通过使用时钟偏移，能够检测无线网络中未经授权的接入点。根据更高的可预测性和精确的时间戳设置局部区域。利用时钟偏差检测伪接入点是一种有效的方法，节点中的周期时钟将导致节点时钟偏移的精度差异。

总体而言，设备指纹识别方法最近已广泛应用于设备安全认证。然而，现有的研究存在一些局限性，包括低精度、长响应时间和恶劣的操作环境。文章将介绍IAT作为模型训练的主要考虑因素，并提出一种新的设备指纹识别方法。

2 相关工作

本节讨论了IAT的生成过程和不同设备的IAT值不同的原因，提出了基于IAT的设备指纹识别方法的步骤。

2.1 IAT

数据包生成受多个设备组件的影响，如CPU、内存和网卡(NC)。数据包创建过程为设备接收生成网络数据包的命令，并将该命令从内存移动到CPU。CPU在内存中建立缓冲区并建立缓冲区结构。在创建缓冲区之后，CPU写入包括从缓冲区开始的包长度和包内容的包信息。操作系统控制CPU在NC中注册缓冲区描述，并在NC和缓冲区之间建立连接。一旦NC连接到缓冲区，NC初始化直接内存访问(DMA)，数据包数据通过PCI总线传输到NC。最后，NC通知操作系统和CPU，并将数据包发送到MAC设备。

创建完成后，MAC将包传输到目的地，源设备和目标设备之间的连接是连续的，设备之间的通信是连续的。源设备连续生成并发送网络数据包。因此，将在目的地接收的两个连续数据包之间的时间差定义为IAT值，即假设由单个设备发送的接收分组的序列是P=p1，p2……pn，并且相应的接收时间是T=t1，t2……tn。IAT值，即pi和pi+1之间的差值，通过公式(1)计算得出。

IAT=ti+1-ti

（4）漳河水利经济规范管理情况。漳河工程管理局先后制定了生产经营单位目标管理修订办法、经营议事规则、经营性合同管理办法等一系列生产经营管理制度，通过健全完善各项管理制度，坚持用制度来规范各项管理工作，努力实现强管增效。

(1)

IAT是网络分析的一个重要度量。不同的因素会影响设备的IAT值，包括硬件、软件和网络因素[4]。为了评估这些因素对IAT的影响，公式(2)显示了接收时间和发送时间之间的关系，接收数据包的时间与发送数据包的时间成正比。

Rcvt=Sedt+Δtransmission

(2)

传输表示传输链路中的时间成本。结合公式(1)与公式(2)，导出的公式用公式(3)(4)和(5)。

IAT=Rcvt+1-Rcvt

(3)

Rcvt+1-Rcvt=Sedt+1-Sedt

(4)

IAT=Sedt+1-Sedt

(5)

从公式(5)可以看出，IAT取决于数据包的发送时间间隔。不同的硬件经过一系列的处理后将发送一个网络数据包。这些硬件差异导致生成相同网络数据包的时间成本不同。此外，由于设备处理过程中的微小错误，即使是两个相同的设备，其性能也会略有不同。网络应用要求客户端以固定频率传输网络流量。通常，传输频率由程序开发人员设置。该设备执行应用程序，并在每个周期执行发送数据包的命令。因此，发送时间也取决于发送频率，IAT也受到软件的影响。

IAT是一种无源网络特征提取方法，不需要在设备中主动嵌入任何程序。由于不同设备之间的IAT值不同，因此使用IAT识别设备是一种独特且可行的方法。提出了基于IAT的设备识别技术。

2.2 网络流量的IAT计算

计算IAT需要网络嗅探器来捕获通信路径中的设备数据包。网络嗅探器应靠近要检测的设备。设备直接与网络嗅探器连接，以便网络嗅探器尽可能稳定地从检测到的设备接收流量。因此，在无线局域网(WLAN)中心(如网关和接入点)设置网络嗅探器，不仅连接到互联网，还为无线设备提供接入服务。通过在WLAN中心嗅探数据包，避免了内部LAN链路中的任何网络延迟，并将外部网络波动的影响降至最低。

从网络流量计算IAT的过程如下：在网关或接入点的WLAN中心插入网络嗅探器，然后从设备捕获连续数据包并记录接收时间序列。利用公式(1)，计算两个连续数据包之间的IAT值。

2.3 基于IAT的设备指纹识别

如上所述，不同设备的IAT值不同。因此，使用IAT识别设备是一种合理的方法。设备指纹识别执行的步骤如下。

(1)在WLAN网关中设置了网络嗅探器。通过使用网络嗅探器，可以捕获通过网关传输和转发的数据包。

(2)网关嗅探器监视网络流量并捕获数据包一段时间，并将流量信息记录在数据包文件中。

(3)分析数据包文件，并根据IP地址将其划分为不同的文件。即过滤具有相同源IP的数据包，并将过滤后的数据包保存在新文件中。这种方法意味着新文件中的数据包都来自同一个设备。

(4)对于每个新文件，从每个数据包中提取相关网络字段并计算IAT。记录网络功能并按设备类型标记记录。通过整合每个文件中的记录，可以构建一个新的基于IAT的标记数据集。

(5)基于创建的数据集，测试机器学习算法，利用该数据集训练分类器模型。分类器模型随后用于识别设备。

基于以上对IAT概念和特征的讨论，文章提出了一种基于IAT的设备指纹识别机制。该机制具有很高的灵活性，可以适应不同的网络，并根据具体情况采用不同的机器学习算法。

3 结果与评价

在本节中，将在模拟和真实环境中对提出的设备指纹机制进行评估。

3.1 使用NetSim进行模拟

本节使用NetSim建立了一个模拟网络，并将所提出的设备指纹机制应用到模拟中。

NetSim是一个端到端、全栈、包级网络模拟器和仿真器。它为网络工程师提供了一个用于协议建模、网络研发和军事通信的技术开发环境。此外，NetSim允许用户编写定制程序并修改协议内容，具有很强的可扩展性。与硬件原型相比，成本显著降低，时间更短。NetSim支持多种网络环境，包括5G网络、移动自组织网络和无线传感器网络。因此，可以使用Net-Sim建立高度灵活的应用程序。

3.1.1 NetSim模型

所有终端节点都基于IPV6_LOWPAN协议连接到网关，形成一个自组织、多跳无线的网络。网关旨在接收和转发来自终端节点的数据包。为了简化网络场景，使用有线节点作为服务器，并在网关和服务器之间设置一个路由器。终端节点在其传输范围内向服务器发送网络流量，在网关捕获网络数据包。

3.1.2 使用NetSim模型的结果

KNN，DT，RF和ANN模型的准确度得分达到95%以上，具体结果如表1所示。

表1 模拟不同算法的准确度

3.2 真实网络中的设备指纹

使用通用物联网设备建立了一个简化的真实世界网络。选择以下设备进行实验：(1)Raspberry PI 3；(2)笔记本电脑；(3)移动电话；(4)智能摄像头；(5)智能电视；(6)智能火灾报警器。

在真实场景中，将Raspberry PI配置为网关和网络接入点。Raspberry PI连接到互联网，并通过WiFi与其他设备通信。此外，Raspberry PI与serve相对应，后者提供设备标识服务。如图1所示，显示了使用真实物联网设备的设备识别模型。

图1 使用真实设备的设备识别模型

3.2.1 算法说明

Raspberry PI 3作为网关和接入点。所有物联网设备都通过WiFi连接到网关。此外，由于网关可以接收和转发通过自身的所有流量，因此在网关上安装Wireshark应用程序来捕获场景中的网络数据包。将每个设备运行3个小时，并将其保存为数据包捕获(PCAP)文件。根据物联网设备的IP地址将流量信息过滤并划分为5个PCAP文件，解析PCAP文件[5]，从数据包中提取相关的网络特征，并构造特征向量。在本实验中，重点研究了传输控制协议(TCP)/用户数据报协议(UDP)。在分析PCAP文件的过程中，使用了C++编程语言，使用公式(1)计算了IAT值，并生成基于IAT的数据集。设备识别采用不同的机器学习算法。

3.2.2 使用真实设备的结果

由于支持向量机不适用于大规模高维数据集，使用KNN，DT，RF和ANN对提出的机制进行了评估，以用于实际设备识别。KNN具有99.59%准确率的最佳性能。人工神经网络在多分类中没有表现出显著的识别能力。