CN103229528B - 无线通信设备的指纹识别的方法和设备 - Google Patents
无线通信设备的指纹识别的方法和设备 Download PDFInfo
- Publication number
- CN103229528B CN103229528B CN201180056879.6A CN201180056879A CN103229528B CN 103229528 B CN103229528 B CN 103229528B CN 201180056879 A CN201180056879 A CN 201180056879A CN 103229528 B CN103229528 B CN 103229528B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- frame
- equipment
- wireless device
- vertical bar
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/79—Radio fingerprint
Abstract
一种用于指纹识别无线设备(120)的方法和使用设备的指纹来识别无线设备的方法。监测站点(200)侦听(410)信道。对于每一个接收到的帧,该站点测量(430)从前一个接收到的帧的结束到当前帧的结束的到达间隔时间。如果可能的话,该站点获取(440)该帧的发送装置的身份。如果发送装置已知,则该站点将到达间隔时间存储(450)在发送装置的直方图中;该直方图成为该发送装置的指纹。对设备的识别通过获取未知发送装置的多个到达间隔时间然后使用合适的相似性度量将它们与存储的指纹匹配开始。本发明特别适用于IEEE802.11并且例如可用于检测所谓的MAC欺骗以及作为识别协议的附加层。
Description
技术领域
本发明一般地涉及设备指纹识别并尤其涉及无线通信设备的指纹识别。
背景技术
本节旨在向读者介绍技术的各个方面,其可能与在下面描述和/或要求的本发明的各个方面相关。相信这种讨论有助于为读者提供背景信息,以便更好的理解本发明的各个方面。因此,应理解,应以这个角度来阅读这些语句,而不是对现有技术的认可。
为了本发明的目的,设备指纹识别意味着收集有关设备的信息以便表征它。这个过程产生签名,也称为指纹,它以紧凑的形式描述了该设备的观测到的特征。如果所产生的签名足够特别,它可以被用来识别该设备。
描述将集中在实现被称为信息技术IEEE标准——系统间电信和信息交换——局域网和城域网——特定要求第11部分:无线局域网媒体访问控制(MAC)和物理层(PHY)规范;简称IEEE802.11并且定义在IEEEStd802.11-1999(在下文称为802.11)的无线通信标准的指纹识别设备上。例如,这个标准为WiFi所使用。然而,可以理解的是,本发明也可以用于指纹识别实现如像ALOHA那样的其它合适的通信技术的设备。
正如已经提过的,设备指纹识别使得能够识别设备,这种识别是独立于该设备所声称的身份的。802.11设备指纹识别的一个主要应用是防止媒体访问控制(MAC)地址欺骗。这指非法占用另一台设备的MAC地址以从其授权中受益的行为。
在一些场景中,防止MAC地址欺骗非常重要:开放式无线网络,如热点通常执行基于MAC地址的访问控制,以保证只有合法的客户端站点(如已购买因特网访问权的设备)连接到接入点。然后,攻击者可能会想通过欺骗合法设备的MAC地址窃取合法设备的会话。相反,接入点可能受到攻击:像AirSnarf和RawFakeAP的工具使得攻击者能够设立非法接入点,它可以使客户端站点连接到假冒AP而不是真正的AP。良好的指纹识别方法应该能够检测上述攻击以便能够采取对策。
事实上,甚至在由密钥保护的无线网络(例如Wi-Fi保护访问(WPA))中使用指纹签名验证也是有意义的。被动的指纹识别方法可在基于密钥的认证机制之前用作附加信任层,它可以检测出未经授权的设备,从而使得主动的、可能更易于受到攻击且昂贵的基于密钥的认证机制变得无意义。指纹识别也可以在无线认证机制之后使用,以控制使得只有授权设备在网络中。事实上,因为有几个用户自愿分发他们的Wi-Fi密钥的正常情况,密钥可能泄漏。例如,当邀请朋友并允许他的笔记本电脑访问家庭网络时。虽然这个场景既常见又简单,它也危及了家庭网络;之后从受邀的笔记本电脑或朋友泄漏的密钥可能会滥用地重新连接。最后,存在允许黑客破解WEP协议的工具,其众所周知是不安全的,并且目前有试图发现WPA密钥的现有服务,例如WPA Cracker。
现有技术包括了许多通过分析网卡和/或驱动程序的实现方式特性用于指纹识别无线设备的解决方案。
Franklin等人在网卡搜索可用的无线网络的“主动扫描期”中描述了驱动程序的特性。该搜索过程在关于发送探测请求的频率和顺序的802.11标准中未进行足够的规定。因此,每家制造商在此期间实施其自己的算法和定时器。参见J.Franklin,D.McCoy,P.Tabriz,V.Neagoe,J.V.Randwyk和D.Sicker在2006年8月的Proceedings UsenixSecurity06上的《PassiveData Link Layer802.11Wireless Device DriverFingerprinting》。这种被动指纹识别技术的主要缺点是它只在无线协议开始的较短和特定的时间段内有效。类似的解决方案可以在D.C.C.Loh,C.Y.Cho,C.P.Tan和R.S.Lee2008年4月在WiSec'08的《Identifying Unique Devices through Wireless Fingerprinting》中找到。
Gopinath等人证明了由于实现方式特性使得802.11网卡呈现出非常不同的性能。他们测试了一组诸如随机退避定时器和虚拟载波侦听(NAV机制)的802.11特征。作者指出,所观测到的性能的不同可用于指纹识别网卡的供应商和型号。参见K.Gaopinath,P.Bhagwat和K.Gopinath2006年9月在Proceedings of ACM WiNTECH'06上的《AnEmpirical Analysis of Heterogeneity in IEEE802.11MAC Protocol Implementationsand Its Implications》。然而,该论文并未进一步分析这方面,只是仅仅呈现实验结果。
Bratus等人提出了一种利用上述工作并执行无线客户端站点和接入点的实际指纹识别的方法。根据他们的方法,发送畸形(malformed)的或非标准的刺激帧(stimulusframe)到待被指纹识别的该设备,并且将决策树应用到该设备的响应或性能上以便指纹识别该供应商/制造商。参见S.Bratus,C.Cornelius,D.Kotz和D.Peebles2008年3月在Proceedings of ACM WiSec'08上的《Active Behavioral Fingerprinting of WirelessDevices》。这种技术的主要缺点是它是主动的,而不是被动的。
Cache提出了两种用于指纹识别设备的网卡和驱动程序的方法;参见J.Cache2006年的硕士论文《Fingerprinting802.11Devices》;第一种方法是主动的并使用802.11关联重定向机制,其即使在802.11标准中已经有很详细的规定,在测试的无线网卡中也是不受太多限制地实施。其结果是,每个无线网卡在这个阶段表现不同从而形成特征。第二种方法是被动的并且是基于对802.11数据和管理帧的持续时间字段值的分析。每个无线网卡计算持续时间字段略有不同,产生不同的持续时间值。
上文所有方法的共同点是,它们不能在使用相同的网卡和驱动程序的两个设备之间进行区分。因此,这些方法可能会例如不能用于检测MAC地址欺骗,更不用说识别该设备。
与上文的论文对比,Pang等人讨论了802.11的隐私含义。他们的论文中强调,当使用802.11时用户不是匿名的,因为该协议使用允许用户跟踪的全局唯一标识符(即MAC地址)。即使屏蔽该标识符——例如,通过临时改变地址——仍然可以通过观测802.11协议中的一组参数(用作隐性标识符)来跟踪用户。作者在四个隐性标识符(即网络目的地、802.11探测中公布网络名称、802.11配置选项和广播帧的大小)上运用朴素贝叶斯分类器。甚至当流量是加密的时,所述四个参数中的三个也是适用的。使用繁忙热点测试跟踪,他们可以以90%的准确率识别出64%的用户。
其他现有技术文件处理无线接入点(AP)的指纹识别。Jana等人计算接入点的时钟脉冲相位差(clock skew)以识别它们。使用包含在由AP发出的信标/探测响应帧中的时间戳计算时钟脉冲相位差。重放(replay)该时钟脉冲相位差的攻击者受制于如改变信标发送的实际时间的DIFS(分布协调功能帧间间隔)的802.11协议定时器。由于不能从驱动程序(在其中实施攻击)层面访问这些定时器,时间戳和接收时间不对应,这改变了测得的时钟脉冲相位差。他们提出的方法能够测量这些差异并因此检测出攻击。参见S.Jana和S.K.Kasera2008年9月在Proceedings of ACM MobiCom08上的《On Fast and AccurateDetection of Unauthorized Wireless Access Points Using Clock Skews》。
C.Arackaparambil等人改进了Jana等人成果并提出了获得更精确的时钟测量的新方法。他们还成功欺骗AP,使得通过Jana等人使用的方法难以将其与“真正的”AP区分。他们的方法利用无线网卡自动与所连接的AP同步(这使得该无线网卡具有与AP相同的时钟脉冲相位差)的事实。这使得通过与攻击前的AP相关联可以更容易地欺骗AP。参见C.Arackaparambil,S.Bratus,A.Shubina和D.Kotz2010年3月在Proceedings of ACMWiSec10上的《On the Reliability of Wireless Fingerprinting Using Clock Skews》。
然而,Jana等人和Arackaparambil等人的方法只适用于接入点,因为他们需要包括在802.11信标帧中的时间戳,而该信标帧只会被接入点发送,而不被客户端站点发送。
最后,为了完整性,两篇论文处理了MAC地址欺骗的问题,但不涉及任何指纹识别。这两篇论文检测802.11帧序列号的不连续性以检测潜在的地址欺骗。参见J.Wright2003年的技术报告《Detecting Wireless LAN MAC Address Spoofing》以及在F.Gua和T.Chiueh2005年9月在Proceedings of RAID2005上的《Sequence Number-Based MACAddress Spoof Detection》。
因此,应理解,需要能够进行被动指纹识别和单独识别无线设备的解决方案。本发明提供了这样的解决方案。
发明内容
在第一方面,本发明涉及指纹识别至少一个在信道上发送帧中数据的无线设备的方法,其中在该信道上连续发送帧。侦听该信道的设备接收接续前一帧的当前帧;测量从前一帧的接收结束到当前帧的接收结束的到达间隔时间;如果可能的话,获取传输当前帧的无线设备的身份;并且如果获得了该身份,将到达间隔时间存储在与获得的身份对应的无线设备的到达间隔时间到达间隔时间集合中以便为该无线设备生成指纹。
在第一个优选实施例中,该设备将到达间隔时间集合布置成构成无线设备指纹的直方图。有利的是,将直方图按百分频率分布表示。同样有利的是,直方图包括对应于由用于在该信道上通信的标准定义的特定时间的直条(bin)。该标准有利地是IEEE802.11,特别是IEEE802.11g,并且第一直条对应于短帧间间隔(SIFS),第二直条对应于分布协调功能帧间间隔(DIFS)减去SIFS,以及至少第三和第四直条,每一个对应于一个时隙(aSlotTime)长度。
在第二个优选实施例中,将所获得的指纹与存储的指纹比较,并且所述无线设备识别为其存储的指纹与所获得的指纹最类似的设备。有利的是,使用相似性度量来确定所述类似。
在第二方面,本发明涉及用于指纹识别至少一个在信道上发送帧中数据的无线设备的设备,其中在该信道上连续发送帧。该设备包括用于侦听该信道的部件;用于接收接续前一帧的当前帧的部件;用于测量从之前接收帧的接收结束到当前帧的接收结束的到达间隔时间的部件;如果可能的话,用于获取发送当前帧的无线设备的身份的部件;以及如果获得了该身份,将到达间隔时间存储在与获得的身份对应的无线设备的到达间隔时间到达间隔时间集合中以便为该无线设备生成指纹的部件。
在第一个优选实施例中,该设备还包括将到达间隔时间集合布置成构成无线设备指纹的直方图的部件。有利的是,该布置部件还用于将直方图按百分频率分布表示。
在第二个优选实施例中,该设备还包括将所获得的指纹与存储的指纹进行比较,并且将所述无线设备确认为存储的指纹与所获得的指纹最类似的设备的部件。
附图说明
现在将通过非限制性的实例的方式参照附图将描述本发明的优选的特征,附图中:
图1示出可以运用本发明的示例性的无线网络;
图2示出根据本发明的优选实施例的示例性监测站点;
图3示出根据本发明的优选实施例的网络流量监测的实例;
图4示出根据本发明的优选实施例的指纹识别方法的流程图;以及
图5示出由本发明的优选实施例所产生的示例性的指纹。
具体实施方式
图1示出可以运用本发明的示例性的无线网络100。无线网络100包括接入点(AP)110和多个客户端设备120A-D(其可以是共同指代为120)。AP110适于与客户端设备120通信并且,例如,向它们提供因特网接入。
本发明的一个突出的有创造性的想法是监测网络流量并为每个发送无线设备发送的帧测量帧的到达间隔时间。由监测站点(其可以是AP110或客户端设备120)捕获的(即接收的)无线跟踪(wireless trace)以帧序列p0,…,pn给出。帧pi的接收结束时间用ti表示(其中0≤i≤n),并且根据接收时间帧按增序排列(即:ti-1<ti)。帧pi是由发送装置si发送,发送装置对于具有不包括发送装置地址或发送地址的帧类型的帧(如ACK帧和允许发送(clear-to-send)帧)被认为是未知的;在后者的情况下,si=null。对每个帧pi,测量间隔Ti=ti-ti-1,即帧pi-1的接收结束时间和之后的帧pi的接收结束时间之差。之后将测得的时间间隔Ti添加到发送装置si的集合I(si),其中I(si)表示为发送设备si测得的到达间隔时间集合。|I(si)|是设备si的观测结果的数量。
为了收集跟踪,监测站点具有在感兴趣的802.11信道上以监测模式侦听的标准802.11无线网卡就足够了。应理解,本发明的方法是完全被动的;不会产生额外的流量。例如,可以在监测设备上使用所谓的pcap库(参见TCPDump和Libpcap;http://tcpdump.org)来生成捕获跟踪。可以看出,此监测设置的要求非常少。
图2示出根据本发明的优选实施例的示例性监测站点。监测站点200包括如802.11无线网卡的无线接口210,至少一个处理器220(以下称“处理器”)以及存储器230。如将在下文进一步详述的,无线接口210适于监测无线流量,处理器220适于通过测量帧到达间隔时间并检测发送装置来分析监测到的流量,存储器230适于存储诸如设备指纹的数据。处理器220还适于比较接收到的流量以便识别发送设备。只详细介绍为理解本发明所必需的特征;应理解,监测站点200还包括内部连接以及可能的例如另外的(基于有线的)通信接口和用户接口。
图3示出根据本发明的优选实施例的网络流量监测的实例。四个客户端设备120已通过监测设备200加入网络100中。图3中,忽略传播时间,因为对网络中的较短的距离来说它几乎为零;因此一帧被示为恰好在它被发送时到达。还应理解,通常在该网络中在给定时间(即在该设备使用的信道上)只发送单个帧(或不发送帧);因此,在该信道上有若干连续的帧。
首先,设备A120A发送数据帧直到t1时刻。然而,由于监测设备200没有捕获任何一个前面的帧,因此它无法计算到达间隔时间。然后设备B120B发送在时刻t2结束的确认(ACK)。监测设备200可以计算到达间隔时间T2,但它不能确定发送装置,因此未设置s2(即null)并且忽略到达间隔时间。
设备A120A之后发送另一数据帧,在t3结束。监测设备200计算到达间隔时间T3=t3-t2并设置s3=A。同样,设备C120C发送发送请求(RTS)使计算得到T4=t4-t3以及s4=C;以及设备D120D发送数据帧使计算得到T5=t5-t4以及s5=D。
此时,I(A)={T3},I(B)={null},I(C)={T4},I(D)={T5}。当然,通常会有更多的被捕获的帧,但为清楚起见其数量一直保持在最低限度。应理解,这些集合I(si)实际上是相应设备的指纹(记住这些集合通常包括更多的观测结果)。然而,如将在下文进一步详述,当用直方图表示时,指纹更易于可视化和比较。
监测站点200使用这些测量结果来为每个发出站点生成到达间隔时间直方图。每个直方图包括直条(bin)b0,…bk,其中每个直条对应于若干到达间隔时间的一个时间间隔。直条bj中的观测结果的数量表示为mj(其中0≤j≤k)。然后将直方图转换成百分频率分布,其中直条bj的百分频率是Pj=mj/|I(S)|。之后可将无线设备S的签名定义为
应当注意,两个设备在一个信道上同时开始发送帧是有风险的,会导致出错的帧。在这种情况下,由标准所定义的载波监听多路访问/冲突避免(CSMA/CA)机制使得传输设备“退避”并稍后重传。至少有两个关于监测站点200应如何处理出错的帧的实施例。第一个实施例是在计算后续一帧的到达间隔时间时从出错的帧的接收结束开始执行测量;在一个变型中,忽略出错的帧本身的到达间隔时间,而在另一变型中,如果能得到其身份,为每个发送设备计数此到达间隔时间。第二实施例是简单地忽略出错的帧并将最新的“正确”的(即未出错的)帧视为下一个“正确”的帧的前一帧。
图4示出总结了刚刚描述的指纹识别方法的流程图。监测站点200从侦听410信道开始。当它接收420一帧时,它测量430从前一帧的接收结束到当前帧的接收结束的到达间隔时间。如果可能的话,它还获取440帧的发送装置的身份。如果获得了这个身份,则将到达间隔时间存储450在该发送装置的直方图中。只要被视为合适的就一直重复该步骤。对整个信道或对特定的发送设备来说,虽然指纹识别有利地是连续不间断的,但它也可以限制在某段时间内,例如,限制在特定的时间段内或特定数量的接收的帧内。
直方图直条优选地与一些由相关联的通信协议定义的时间间隔一致。例如,图3中示出的实例的直方图直条有利地对应于由802.11标准定义的时间间隔,该标准要求在发送前,发出站点对通信信道进行一定时间的侦听以判断它是否是空闲的。发出站点在此期间不发送任何帧。除了在前面提到过的DIFS,802.11也定义了时间间隔短帧间间隔(SIFS)并为每个时隙设置了长度。精确的值依赖于802.11的变型;在IEEE Std802.11TM-2007标准中(本文“802.11g”),SIFS=10μs,DIFS=28μs并且时隙大小为aSlotTime=9μs。SIFS是在其期间信道必须空闲并且被用于最高的优先级传输或被使用所谓的虚拟载波侦听机制保留该信道的站点使用的最短的时间间隔。DIFS是信道必须为使用所谓的随机退避过程的站点保持空闲的最小时间间隔。然而,正如所发生的那样,站点在DIFS加上若干倍aSlotTime的时刻发送帧。使用这些时间产生的直方图具有大小为SIFS的第一直条b0,大小为DIFS-SIFS的第二直条b1以及之后所有大小为aSlottime的直条b2……bk。
图5示出直条沿x轴方向和密度(即百分频率)沿y轴方向的示例性的直方图510和520。仅看一眼直方图510和520就足以看出他们有很大的不同;因此指纹也是不同的。例如,直方图510有两个明显的峰,而直方图520只有一个。还应注意,x轴上的刻度的是相同的,但是,顶部直方图510上的y轴从0到0.05变化,底部直方图520上的y轴从0到0.01变化。
技术人员会注意到,对帧的接收结束的测量,测量了发出站点的空闲时段和发送时段两者。首先看发送时段,发送装置通过发送所谓的物理层会聚协议(PLCP)前导码和报头开始发送。这些在用于物理层上的同步。持续时间和大小取决于所使用的传输速率以及物理层的特性,这在一定程度上依赖于无线网卡和其驱动程序。然后,发送装置发送帧的有效载荷,其传输持续时间取决于传输速率和有效载荷的大小。另外,帧类型、无线网卡的设置以及生成帧数据的应用影响帧的大小。因此,帧的传输持续时间取决于无线网卡的混合特性以及生成该帧中的数据的应用。由于这种依赖,直方图中生成了一些具有明显特征的图案和峰。
如果是在一帧的接收开始时做出测量,则只是测量空闲时间,即发出站点在发送前等待的时间。仅基于这种测量的签名使得区分所监测的无线站点的子集成为可能。无线驱动程序和无线网卡中这一时段的实施的具体情况会影响到直方图。因此,空闲时段的持续时间主要取决于无线网卡及其驱动程序。仅基于此测量的签名将无法区分两个使用相同的无线网卡和驱动程序的设备。
应注意,Berger-Sabbatel等人也使用到达间隔时间直方图,但他们却将其用于评估802.11设备的性能,而不是用于指纹识别。此外,他们的测量只适用于没有或只有受控的背景流量的完全受控的环境。参见G.Berger-Sabbatel,Y.Grunenberger,M.Heusse,F.Rousseau和A.Duda2007年10月在法国格勒诺布尔LIG实验室做出的研究报告《Interarrival Histograms:A Method for Measuring Transmission Delaysin802.11WLANs》。
迄今为止,描述集中于为设备生成指纹。这一生成也被称为学习阶段,在此期间用指纹填充参考数据库。监测设备200在存储器230中存储所生成的签名,即参考数据库。因此,可以获得所有已知无线设备refi的直方图Sig(refi)。参考数据库由此从一个或多个训练数据集(它可以是全部的无线跟踪或其子集)中生成,根据其为每个在该跟踪上出现的源地址计算直方图。技术人员将会理解,攻击者可能污染训练数据集,在这种情况下,指纹可能损坏。
这些指纹通常用在随后的检测阶段使用,在此期间,监测设备将未知的无线设备与参考数据库中的指纹相匹配。技术人员将理解“未知”仅仅意味着在参考数据库中有可能有该未知设备的指纹,但监测设备还需要识别出该未知设备;未知设备当然也可以是完全未知的,例如如果监测设备在之前从未遇到它的情况。
在检测阶段,分析另一称为验证数据集的更多的无线跟踪以便为称为候选设备的、出现在该跟踪中的所有设备提取签名Sig(candi)。将每个候选设备的签名与参考数据库的签名相比较。使用下文中进一步描述的至少一种相似性度量来执行该比较。这为每个候选设备生成相似性矢量<sim1,sim2...,simN>,其中simi代表相比于设备refi的参考签名,未知设备的签名Sig(candi)的相似性。
对于每一个候选设备,解决下面两个问题可能是有趣的:接近(proximity)和识别。
接近测试并不试图准确识别候选设备。取而代之的是,指纹算法返回相似性simi小于阈值TV的参考设备标识符的集合。这使得能够通过使用两个准确性度量:真阳性率(TPR)和假阳性率(FPR)来对该方法进行微调。TPR是为其返回的集合包含该候选设备的实际身份的参考数据库已知的候选无线设备的比例。FPR是该算法为其返回非空身份集合的参考数据库未知的候选无线设备的比例。
识别测试的前提是接近测试返回参考设备标识符的集合并且在这个集合中包含有候选身份。基于由之前测试返回的相似性矢量,挑选出具有最大相似性的参考设备。这个测试的合适的准确性度量表示为检测比,即已被正确识别的无线设备的比例。
当然,有许多不同的可供使用的相似性度量。将在下文描述三个这样的相似性度量。
表示设备ref的参考签名并且表示设备cand的候选签名。
第一个相似性度量是基于L1距离的标准L1相似性:
如果两个签名是相同的,则该值等于1;相反,如果两个签名完全相反,该值等于0。
这是一个标准且非常简单并且表现相当不错的度量。
第二个相似性度量是基于χ2测试的χ2相似性:
再次地,如果两个签名是相同的,则该值等于1。然而,第二相似性度量有可能小于0,即负的。因此,在严格意义上,它不是相似性度量,但它依然表现良好。特别是,由于进行了平方,这种相似性度量为一些大的差异提供了相比于很多小差异的更多的权重,并且当Pref,j很小时,也给予差异较多的重要性。
第三个相似性度量是基于Jaccard距离的Jaccard相似性。
与其他的相似性度量一样,如果签名是相同的,则该值等于1。如果签名是完全相反的,那么这个值是0.
技术人员应理解,使用Jaccard相似性度量在几种跟踪分析情景中具有良好的效果。例如,参见J.Pang,B.Greenstein,R.Gummadi,S.Seshan和D.Wetherall2007年9月在Proceedings of ACM MobiCom'07上的《802.11User Fingerprinting》;以及J.Wright2003年的技术报告《Detecting Wireless LAN MAC Address Spoofing》。
技术人员应理解,本文所描述的指纹识别方法可用于许多不同的应用。例如,该方法可以用于对经常尤其在家庭网络中实施的基于MAC地址的访问控制进行补充。它也可用于检测非法接入点,即声称是真正接入点的接入点。另一个例子是作为一种定位和跟踪设备的方法。
技术人员也应理解,由于可以不需要特殊设备很容易地实现指纹识别方法,因此它可以由“正常”的用户设备,如个人计算机、移动电话,家庭网络中的网关等来实现。
因此,可以理解的是,本发明能够提供一种用于指纹识别无线设备、尤其是实施IEEE802.11协议的那些设备的被动方法,并且,该方法易于实现。
说明书、权利要求(如适用)和附图中披露的每个特征可以独立地或以任何适当的组合的方式提供。描述的可在硬件中实现的特征也可以在软件中实现,反之亦然。在权利要求中出现的参考标号仅用作示例方式而对权利要求范围并没有任何限制作用。
Claims (14)
1.一种对在包括多个无线设备的网络中的信道上发送帧中数据的至少一个无线设备(120)产生指纹的方法,其中在该信道上连续地发送帧,该方法包括以下步骤:在侦听该信道的设备(200)中:
接收(420)接续前一帧的当前帧;
测量(430)从前一帧的接收结束到当前帧的接收结束的到达间隔时间;
获取(440)发送当前帧的无线设备的身份;以及
将到达间隔时间存储(450)在与获得的身份对应的无线设备(120)的一组到达间隔时间中以便为该无线设备生成指纹。
2.如权利要求1的方法,进一步包括将该组到达间隔时间布置成构成无线设备(120)的指纹的直方图(510,520)的步骤。
3.如权利要求2的方法,进一步包括将直方图(510,520)按百分比频率分布表示的步骤。
4.如权利要求2的方法,其中所述直方图包括与由用于在该信道上通信的标准定义的特定时间的直条。
5.如权利要求4的方法,其中该标准是IEEE 802.11。
6.如权利要求5的方法,其中该标准是IEEE 802.11g。
7.如权利要求5的方法,其中第一直条对应于短帧间间隔(SIFS),第二直条对应于分布协调功能帧间间隔(DIFS)减去SIFS,以及至少第三和第四直条每一个对应于一个时隙(aSlotTime)长度。
8.如权利要求1的方法,进一步包括以下步骤:
将所获得的指纹与存储的指纹比较;以及
将所述无线设备(120)识别为其存储的指纹与所获得的指纹最相似的设备。
9.一种用于对在包括多个无线设备的网络中的信道上发送帧中数据的至少一个无线设备(120)产生指纹的设备(200),其中在该信道上连续发送帧,该设备(200)包括:
用于侦听该信道的部件(210);
用于接收接续前一帧的当前帧的部件(210);
用于测量从之前接收帧的接收结束到当前帧的接收结束的到达间隔时间的部件(220);
用于获取发送当前帧的无线设备的身份的部件(220);以及
用于将到达间隔时间存储在与获得的身份对应的无线设备(120)的一组到达间隔时间中以便为该无线设备(120)生成指纹的部件(230)。
10.如权利要求9的设备,进一步包括用于将该组到达间隔时间布置成构成无线设备(120)的指纹的直方图(510,520)的部件。
11.如权利要求10的设备,所述布置部件进一步用于将直方图(510,520)按百分比频率分布表示。
12.如权利要求9的设备,进一步包括:
将所获得的指纹与存储的指纹进行比较以及将所述无线设备(120)识别为其存储的指纹与所获得的指纹最相似的设备的部件(220)。
13.如权利要求10的设备,其中所述直方图包括与由用于在该信道上通信的标准定义的特定时间的直条。
14.如权利要求13的设备,其中该标准是IEEE 802.11,并且其中,第一直条对应于短帧间间隔(SIFS),第二直条对应于分布协调功能帧间间隔(DIFS)减去SIFS,以及至少第三和第四直条每一个对应于一个时隙(aSlotTime)长度。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10306294 | 2010-11-25 | ||
| EP10306294.9 | 2010-11-25 | ||
| PCT/EP2011/070830 WO2012069544A1 (en) | 2010-11-25 | 2011-11-23 | Method and device for fingerprinting of wireless communication devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103229528A CN103229528A (zh) | 2013-07-31 |
| CN103229528B true CN103229528B (zh) | 2017-02-15 |
Family
ID=45002980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180056879.6A Expired - Fee Related CN103229528B (zh) | 2010-11-25 | 2011-11-23 | 无线通信设备的指纹识别的方法和设备 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9462449B2 (zh) |
| EP (1) | EP2643985B1 (zh) |
| JP (1) | JP6019033B2 (zh) |
| KR (1) | KR20130143694A (zh) |
| CN (1) | CN103229528B (zh) |
| WO (1) | WO2012069544A1 (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104067649B (zh) * | 2012-01-31 | 2018-06-05 | 慧与发展有限责任合伙企业 | 对唯一机器标识符的欺骗的确定 |
| EP2677792A1 (en) | 2012-06-20 | 2013-12-25 | Thomson Licensing | Method and device for countering fingerprint forgery attacks in a communication system |
| EP3518570B1 (en) * | 2014-03-19 | 2020-11-04 | Bluefin Payment Systems, LLC | Systems and methods for creating fingerprints of encryption devices |
| US11256798B2 (en) | 2014-03-19 | 2022-02-22 | Bluefin Payment Systems Llc | Systems and methods for decryption as a service |
| US9461973B2 (en) | 2014-03-19 | 2016-10-04 | Bluefin Payment Systems, LLC | Systems and methods for decryption as a service |
| US9124583B1 (en) * | 2014-05-09 | 2015-09-01 | Bank Of America Corporation | Device registration using device fingerprint |
| US20160006842A1 (en) * | 2014-07-02 | 2016-01-07 | Qualcomm Incorporated | Frame format supporting enhanced features in a communication network |
| US10116493B2 (en) | 2014-11-21 | 2018-10-30 | Cisco Technology, Inc. | Recovering from virtual port channel peer failure |
| CN105989149A (zh) * | 2015-03-02 | 2016-10-05 | 苏宁云商集团股份有限公司 | 一种用户设备指纹的提取和识别方法及系统 |
| WO2016144793A1 (en) * | 2015-03-06 | 2016-09-15 | Georgia Tech Research Corporation | Device fingerprinting for cyber-physical systems |
| US9838278B2 (en) | 2016-02-26 | 2017-12-05 | Guavus, Inc. | Self-learning device classifier |
| US10542014B2 (en) * | 2016-05-11 | 2020-01-21 | International Business Machines Corporation | Automatic categorization of IDPS signatures from multiple different IDPS systems |
| US10333828B2 (en) | 2016-05-31 | 2019-06-25 | Cisco Technology, Inc. | Bidirectional multicasting over virtual port channel |
| US10027671B2 (en) * | 2016-06-16 | 2018-07-17 | Ca, Inc. | Restricting access to content based on a posterior probability that a terminal signature was received from a previously unseen computer terminal |
| US10032116B2 (en) * | 2016-07-05 | 2018-07-24 | Ca, Inc. | Identifying computer devices based on machine effective speed calibration |
| US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
| US10193750B2 (en) | 2016-09-07 | 2019-01-29 | Cisco Technology, Inc. | Managing virtual port channel switch peers from software-defined network controller |
| CN106961434B (zh) * | 2017-03-21 | 2020-10-16 | 南京大学 | 一种为无线设备进行指纹建模及识别的方法 |
| CN107241711A (zh) * | 2017-05-26 | 2017-10-10 | 上海与德科技有限公司 | 一种信息载入方法及装置 |
| US11070534B2 (en) | 2019-05-13 | 2021-07-20 | Bluefin Payment Systems Llc | Systems and processes for vaultless tokenization and encryption |
| US11711350B2 (en) | 2017-06-02 | 2023-07-25 | Bluefin Payment Systems Llc | Systems and processes for vaultless tokenization and encryption |
| EP3631718A4 (en) | 2017-06-02 | 2020-12-16 | Bluefin Payment Systems, LLC | SYSTEMS AND METHODS FOR MANAGING A PAYMENT TERMINAL USING A WEB BROWSER |
| US10547509B2 (en) | 2017-06-19 | 2020-01-28 | Cisco Technology, Inc. | Validation of a virtual port channel (VPC) endpoint in the network fabric |
| EP3474240A1 (de) * | 2017-10-19 | 2019-04-24 | HUF Hülsbeck & Fürst GmbH & Co. KG | Verfahren und system zur aktivierung einer sicherheitsfunktion über ein externes gerät |
| US11855971B2 (en) * | 2018-01-11 | 2023-12-26 | Visa International Service Association | Offline authorization of interactions and controlled tasks |
| CN110545219A (zh) * | 2019-09-25 | 2019-12-06 | 杭州安恒信息技术股份有限公司 | 工业资产的被动识别方法、装置和电子设备 |
| US20210279565A1 (en) * | 2020-03-04 | 2021-09-09 | WootCloud Inc. | Systems And Methods For Device Fingerprinting |
| US20210281566A1 (en) * | 2020-03-04 | 2021-09-09 | WootCloud Inc. | Systems And Methods For Device Fingerprinting |
| US11509668B2 (en) * | 2020-03-04 | 2022-11-22 | Netskope, Inc. | Systems and methods for device fingerprinting |
| CN111385297B (zh) * | 2020-03-04 | 2021-12-28 | 西安交通大学 | 无线设备指纹识别方法、系统、设备及可读存储介质 |
| US11645538B2 (en) * | 2020-04-17 | 2023-05-09 | Applied Engineering Concepts, Inc. | Physical layer authentication of electronic communication networks |
| CN114124566B (zh) * | 2021-12-07 | 2022-04-19 | 广州尚航信息科技股份有限公司 | 一种交换机组的网络攻击远程实时监测方法及系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7603710B2 (en) * | 2003-04-03 | 2009-10-13 | Network Security Technologies, Inc. | Method and system for detecting characteristics of a wireless network |
| US7853250B2 (en) * | 2003-04-03 | 2010-12-14 | Network Security Technologies, Inc. | Wireless intrusion detection system and method |
| US7706399B2 (en) * | 2003-12-19 | 2010-04-27 | Intel Corporation | Polling in wireless networks |
| JP4047836B2 (ja) * | 2004-04-02 | 2008-02-13 | 株式会社東芝 | 通信装置、通信システム、通信方法、および通信制御プログラム |
| US20070243882A1 (en) * | 2006-04-12 | 2007-10-18 | Qualcomm Incorporated | Method and apparatus for locating a wireless local area network associated with a wireless wide area network |
| EP1881435A1 (fr) * | 2006-07-18 | 2008-01-23 | France Télécom | Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données |
| US7783300B2 (en) * | 2006-11-22 | 2010-08-24 | Airdefense, Inc. | Systems and methods for proactively enforcing a wireless free zone |
| US8018883B2 (en) * | 2007-03-26 | 2011-09-13 | Cisco Technology, Inc. | Wireless transmitter identity validation in a wireless network |
| US8144589B2 (en) | 2007-05-07 | 2012-03-27 | Qualcomm Incorporated | Learning-based semi-persistent scheduling in wireless communications |
| US20100135178A1 (en) * | 2008-11-21 | 2010-06-03 | Qualcomm Incorporated | Wireless position determination using adjusted round trip time measurements |
| US8508363B2 (en) * | 2009-05-15 | 2013-08-13 | First Principles, Inc. | Systems and methods for permitting movement of an object outside a predetermined proximity distance threshold |
| US8694624B2 (en) * | 2009-05-19 | 2014-04-08 | Symbol Technologies, Inc. | Systems and methods for concurrent wireless local area network access and sensing |
| EP2504952A1 (en) * | 2009-11-27 | 2012-10-03 | Telefonaktiebolaget LM Ericsson (publ) | Packet classification method and apparatus |
| US8351331B2 (en) * | 2010-06-22 | 2013-01-08 | Microsoft Corporation | Resource allocation framework for wireless/wired networks |
| US9225732B2 (en) * | 2011-11-29 | 2015-12-29 | Georgia Tech Research Corporation | Systems and methods for fingerprinting physical devices and device types based on network traffic |
-
2011
- 2011-11-23 US US13/988,529 patent/US9462449B2/en active Active
- 2011-11-23 JP JP2013540348A patent/JP6019033B2/ja not_active Expired - Fee Related
- 2011-11-23 CN CN201180056879.6A patent/CN103229528B/zh not_active Expired - Fee Related
- 2011-11-23 KR KR1020137013100A patent/KR20130143694A/ko not_active Application Discontinuation
- 2011-11-23 WO PCT/EP2011/070830 patent/WO2012069544A1/en active Application Filing
- 2011-11-23 EP EP11785707.8A patent/EP2643985B1/en not_active Not-in-force
Also Published As
| Publication number | Publication date |
|---|---|
| JP6019033B2 (ja) | 2016-11-02 |
| EP2643985A1 (en) | 2013-10-02 |
| US20130242795A1 (en) | 2013-09-19 |
| WO2012069544A1 (en) | 2012-05-31 |
| EP2643985B1 (en) | 2017-02-22 |
| CN103229528A (zh) | 2013-07-31 |
| US9462449B2 (en) | 2016-10-04 |
| KR20130143694A (ko) | 2013-12-31 |
| JP2013545411A (ja) | 2013-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103229528B (zh) | 无线通信设备的指纹识别的方法和设备 | |
| Xu et al. | Device fingerprinting in wireless networks: Challenges and opportunities | |
| KR102000159B1 (ko) | 불법 위장 단말 식별 장치 및 방법 | |
| Robyns et al. | Noncooperative 802.11 mac layer fingerprinting and tracking of mobile devices | |
| Neumann et al. | An empirical study of passive 802.11 device fingerprinting | |
| Jana et al. | On fast and accurate detection of unauthorized wireless access points using clock skews | |
| Tippenhauer et al. | Attacks on public WLAN-based positioning systems | |
| Desmond et al. | Identifying unique devices through wireless fingerprinting | |
| WO2014113882A1 (en) | Computer system and method for indoor geo-fencing and access control | |
| CN106961434A (zh) | 一种为无线设备进行指纹建模及识别的方法 | |
| Yu et al. | A framework for detecting MAC and IP spoofing attacks with network characteristics | |
| EP2798811B1 (en) | Method and device for fingerprinting of network devices | |
| Wu et al. | PRAPD: A novel received signal strength–based approach for practical rogue access point detection | |
| Lanze et al. | Hacker's toolbox: Detecting software-based 802.11 evil twin access points | |
| KR20160099182A (ko) | 무선 디바이스에 대한 보안 서비스 제공 방법 및 장치 | |
| Chen et al. | Enhancing Wi-Fi Device Authentication Protocol Leveraging Channel State Information | |
| CN111405548B (zh) | 一种钓鱼wifi的检测方法及装置 | |
| Kitisriworapan et al. | Client-side rogue access-point detection using a simple walking strategy and round-trip time analysis | |
| Lackner et al. | Combating wireless LAN MAC-layer address spoofing with fingerprinting methods | |
| Chen et al. | TSCD: a novel secure localization approach for wireless sensor networks | |
| Lu | A position self-adaptive method to detect fake access points | |
| Shrestha et al. | Access point selection mechanism to circumvent rogue access points using voting‐based query procedure | |
| CN117397269A (zh) | 反向散射通信系统中的设备认证 | |
| Idland | Detecting mac spoofing attacks in 802.11 networks through fingerprinting on the mac layer | |
| Idland et al. | Detection of Masqueraded Wireless Access Using 802.11 MAC Layer Fingerprints |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190516 Address after: Paris France Patentee after: Interactive digital CE patent holding Co. Address before: I Si Eli Murli Nor, France Patentee before: THOMSON LICENSING |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170215 Termination date: 20211123 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |