CN109673038B - 一种基于ifat指纹的移动终端品牌型号的识别方法 - Google Patents

Abstract

本发明公开了一种基于IFAT指纹的移动终端品牌型号的识别方法，该方法需要对不同品牌型号终端的IFAT指纹进行采集，建立本地的IFAT指纹信息数据库。对于未知品牌型号的终端，采集在接入无线局域网时所发出的连续的Probe Request帧，分析并形成相应的指纹，根据MAC地址中的OUI信息从数据库中获取对应品牌下的子品牌型号的指纹集合计算指纹间距离，超过阈值的且最小的距离对应的子品牌型号即为终端的子品牌型号。这是一种全新的识别终端子品牌型号的方法，不用受限于传统方法中IMEI的获取困难，极具创新性。

Description

一种基于IFAT指纹的移动终端品牌型号的识别方法

技术领域

本发明涉及一种基于IFAT指纹的移动终端品牌型号的识别方法。

背景技术

智能手机与用户形影不离的关系，让智能手机在用户的人物画像、行为特征方面极具代表性，不论是在公共安全方面还是在商业价值方面都有极大意义。不同层次的用户习惯使用不同品牌的手机。不同品牌的手机厂商旗下会分许多系列，如华为手机有Mate系列，荣耀系列和P系列等，也分为低端、中端和高端机型，以满足不同用户的需求。因此手机本身的品牌与型号特征在一定程度上就能揭示用户的身份信息。

目前识别手机终端型号的技术主要有2种。第一种是建立在手机终端的IMEI(International Mobile Equipment Identity，国际移动设备识别码)上，由于IMEI的前8位(早期是6位)是TAC(Type Allocation Code，类型分配码)，因此该方法通过匹配IMEI中的TAC来识别手机终端的品牌型号。实现该方法的关键在于建立不同品牌下所有型号的TAC的数据库，以覆盖全面。这也决定了该方法的有效范围，有一定的局限性。而且手机终端的IMEI在一般情况下是无法获取的，因此该方法对运营商而言才有实际意义，因为手机的IMEI等信息都是开放给运营商的。

针对TAC数据库人工建立以及覆盖范围不足的问题，另一种方法给出了解决办法。对于未知的TAC，该方法采集并分析手机终端在上网过程中产生的流量，主要涉及的是HTTP网络访问信令中的User-Agent字段。再通过苹果品牌或安卓品牌的关键字进行识别，苹果品牌的关键字主要基于操作系统和苹果终端版本，即“iOS”和“iPhone”；而安卓终端的品牌和型号众多，关键字之间的差距较大，先通过“Linux”和“Android”关键字进行过滤，然后通过安卓终端型号知识库进行识别。以此得到终端的品牌型号，对未知的TAC进行补充，再将该TAC补充进TAC数据库中。然而，随着保护用户隐私意识的提高和网络安全的加强，HTTPS越发普及，那么HTTP的信令将不再使用明文传输。对于上述方法造成了阻碍。

另外，MAC地址(Media Access Control Address，媒体访问控制地址)的前24位是OUI(Organizationally unique identifier，组织唯一标识符)可用于确定手机终端的NIC制造组织，也就是手机终端的大品牌，如苹果、华为。

因此，在通过OUI能够获知手机终端品牌的情况下，本发明拟提出一种不需要手机终端的IMEI，也不需要获取用户的上网流量数据的方法，从移动终端的Wi-Fi功能入手，根据普遍的终端接入无线局域网的过程中产生的探测请求帧间的时间差的模式特征，可形成IFAT(Inter-Frame Arrival Time，帧间到达时间差)指纹，对移动终端的子品牌型号进行识别。从实施的可行性、简易性方面都优于现有技术，为非运营商的普通第三方提供了一种可行的方法，隐藏着巨大的商业价值。

发明内容

原本的识别方法依靠IMEI中的TAC以及HTTP信令中User-Agent字段，在信息的获取方面都有很大的局限性。为了解决上述问题，本发明从移动终端接入无线局域网的一般过程中所产生的数据链路层帧入手，提供了一种根据Probe Request帧(探测请求帧)的帧间到达时间差模式所形成相应的指纹结合终端的OUI信息来识别移动终端的品牌型号的有效方法。具体采用如下技术方案：

一种基于IFAT指纹的移动终端品牌型号的识别方法：

构建不同品牌型号的移动终端的IFAT指纹信息库步骤；

识别终端品牌型号。

上述基于IFAT指纹的移动终端品牌型号的识别方法中，构建IFAT指纹信息库包括以下步骤：

1)、对于某一品牌下的某一子品牌型号的移动终端，收集该终端的Probe Request帧若干；

2)、根据帧的序列号、MAC地址及时间差将其分为若干次连发，得到连发的集合G；

3)、根据序列号和时间戳得到IFAT序列数组；

4)、对帧数目相同的连发，对IFAT序列数组中的元素计算均值，得到IFAT序列均值数组

5)、并统计不同数目的连发集合g出现的次数，计算在G的总个数中所占权重P，最后得到该品牌型号终端的IFAT指纹；

上述基于IFAT指纹的移动终端品牌型号的识别方法中，识别终端品牌型号包括以下步骤：

6)、捕获终端发出的Probe Request帧F_i；

7)、从Probe Request帧F_i的头部中提取源MAC地址addr,序列号Seq_i,以及从Radiotap Header中获取MAC timestamp的值T_i，即帧F_i的发出时间，该时间戳以微秒为单位；

8)、继续捕捉直到来自同一MAC地址的Probe Request帧中的序列号Seq_i+1与Seq_i的差值大于15或者时间差(T_i+1-T_i)大于100000时，将之前采集到的所有Probe Request帧形成一个连发集合S；

9)、计算S中相邻帧F_i和F_i+1之间的时间差diff_i，得到时间差集合Diff＝{diff₁，diff₂，...，diff_n-1}，其中diff_i＝T_i+1-T_i；

10)、Diff与连发集合S中的帧数|S|组成未知终端的指纹X＝{Diff，|S|}；

11)、根据MAC地址中的OUI信息从IFAT指纹信息库中获取该OUI对应的品牌，和该品牌的子品牌型号的IFAT指纹集合；

12)、计算该IFAT指纹集合中的所有指纹与未知终端的指纹X之间的距离Dis，若最小距离小于所设阈值t，则取距离最小指纹所对应的品牌型号的为该未知终端的品牌型号，否则为未能识别终端；

13)、识别成功后，可将最小距离小于5000的IFAT签名用来更新原本的终端IFAT指纹信息库。

本发明提供了一种全新的识别移动转动品牌型号的方法，不用依赖传统方法所需要的IMEI、TAC信息。Wi-Fi的普及为本方法提供了切入点，本方法从移动终端接入无线局域网的一般过程入手，发现了Probe Request帧在时间维度方面的规律，加以统计分析，从而提出了基于IFAT指纹结合OUI的识别移动终端品牌型号的方法。本方法为非运营商的第三方提供了可行的、高效的移动终端品牌型号识别方法，不用IMEI信息，亦不用分析移动终端上网间产生的HTTP流量信息。本方法为用户的画像工作提供了又一种维度，可增强对用户定位的准确性，应用场景十分广泛。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的不当限定，在附图中：

图1为某移动终端发出的Probe Request帧；

图2为本发明实施例系统流程图；

图3为本发明实施例系统流程图中“更新stationList”步骤的流程图；

图4为本发明实施例系统模块图。

具体实施方式

下面将结合附图以及具体实施例来详细说明本发明，在此本发明的示意性实施例以及说明用来解释本发明，但并不作为对本发明的限定。

实施例：

根据移动终端在接入无线局域网的过程中，首先会发出连续的Probe Request帧，该帧用于扫描所在区域内目前有哪些无线局域网络。移动终端每次发送Probe Request帧时，会发出若干帧，通常在1秒以内发送完毕，如图1所示。

图1中，第1帧至第6帧为一组，第7帧至第13帧为一组。我们把这样的一组称为一次连发。在一次连发中，相邻帧之间的时间差会呈现出一定的模式。因为这些时间差模式是随移动终端无线网卡硬件或相应硬件驱动的不同而有所不同，而同一型号的移动终端应使用相同的硬件，且时间差是微秒级别的，足以表达同一品牌下终端子品牌型号的多样性。因此在利用OUI获知终端品牌的情况下，能够利用该时间差模式，形成IFAT指纹用于识别移动终端的子品牌型号。

如图2、3所示，本基于IFAT指纹的终端子品牌型号识别方法，包括如下步骤：

1.构建不同品牌型号的移动终端的IFAT指纹信息库步骤：

(1)对于某一品牌下的某一子品牌型号的移动终端，收集该终端的ProbeRequest帧若干；

(2)根据帧的序列号、MAC地址及时间差将其分为若干次连发，得到连发的集合G；

进一步，所属步骤(2)包括：

根据MAC地址判断是否来自同一个终端，如果MAC地址相同的情况下，再根据序列号及相邻帧间时间差判断是否属于一次连发。

更进一步的，若序列号相差不超过15或者相邻帧间时间差不超过100000微秒，便可认为属于同一连发。

(3)根据序列号和时间戳得到IFAT序列数组；

进一步，所述步骤(3)包括：

定义g为连发集合G中的帧数为n的某一连发集合，g＝{f₁，f₂，...，f_n},f_i为g中第i帧的时间戳，即Radiotap Header中的MAC timestamp的值。IFAT序列数组L＝{d₁，d₂，...，d_n-1}，d_i＝f_i+1-f_i.

(4)对帧数目相同的连发，对IFAT序列数组中的元素计算均值，得到IFAT序列均值数组

进一步，所述步骤(4)包括：

IFAT序列均值数组

为帧数为n-1的g中的d_i的均值。

(5)并统计不同数目的连发集合G出现的次数，计算在G的总个数中所占权重P，最后得到该品牌型号终端的IFAT指纹。

进一步，所属步骤(5)包括：

对于某一子品牌型号i的移动终端，生成的IFAT序列数组为：

其中，N为连发集合中出现的连发帧数的合集，

为连发中帧数为n的IFAT的均值数组，P_n为连发中帧数为n的IFAT出现的次数所占所有连发次数中的比值。

依次对不同品牌下的不同子品牌型号的终端进行IFAT指纹采集工作，得到不同品牌型号终端的IFAT指纹信息库，其中还应包括该品牌的OUI信息，即在IFAT指纹信息库中，一个品牌对应多个OUI和多个子品牌型号，每一个子品牌型号对应一个IFAT指纹。

2.识别终端品牌型号步骤：

(1)捕获终端发出的Probe Request帧F_i；

(2)从Probe Request帧F_i的头部中提取源MAC地址Addr_i,序列号Seq_i,以及从Radiotap Header中获取MAC timestamp的值T_i，即帧F_i的发出时间，该时间戳以微秒为单位；

(3)继续捕捉直到来自同一MAC地址的Probe Request帧中的序列号Seq_i+1与Seq_i的差值大于15或者时间差(T_i+1-T_i)大于100000时，将之前采集到的所有Probe Request帧形成一个连发集合S。

(4)计算S中相邻帧F_i和F_i+1之间的时间差diff_i，得到时间差集合Diff＝{diff₁，diff₂，...，diff_n-1}，其中diff_i＝T_i+1-T_i。

(5)Diff与连发集合S中的帧数|S|组成未知终端的指纹X＝{Diff，|S|}。

(6)根据MAC地址中的OUI信息从IFAT指纹信息库中获取该OUI对应的品牌，和该品牌的子品牌型号的IFAT指纹集合；

(7)计算该IFAT指纹集合中的所有指纹与未知终端的指纹X之间的距离Dis，若最小距离小于所设阈值t，则取距离最小指纹所对应的品牌型号的为该未知终端的品牌型号，否则为未能识别终端。

进一步，所属步骤(7)包括：

经过大量实验，阈值t设为30000；指纹间距离的计算公式为

其中L1是两个IFAT序列的曼哈顿距离。

(8)识别成功后，可将最小距离小于5000的IFAT签名用来更新原本的终端IFAT指纹信息库。

进一步，所属步骤(8)包括：

更新终端指纹中对应帧数的IFAT序列均值数组和该帧数的连发所占的权重。

如图4所示，在上述步骤中，包括以下模块：

(1)数据采集模块，用于采集来自未知终端们不断发出的数据链路层的帧。

(2)帧解析模块，用于解析数据采集模块采集到的数据链路层中的帧，并过滤出Probe Request帧，通过解析Probe Request帧和Radiotap Header的信息，得到源MAC地址，帧序列号和时间戳。

(3)IFAT指纹操作模块，用于负责IFAT指纹的生成及不同指纹间距离的计算和指纹的更新工作，并对外提供IFAT指纹生成接口，IFAT指纹距离计算接口和IFAT指纹更新接口。更具体的，对于指纹生成部分，负责将捕获到的一系列的帧根据源MAC地址和序列号以及时间戳进行分组，每一组即一次上述所提到的一次连发，还负责指纹的相关生成计算，即计算不同帧数的连发所占的比例和对IFAT序列做均值处理。对于指纹间距离计算部分，负责计算不同指纹间的距离并给出距离结果。对于更新部分，负责对给定的指纹对原本数据库中的指纹进行动态更新。

(4)IFAT指纹信息库模块，用于对本地的IFAT指纹信息库进行增删改查的操作，包括根据OUI获取该品牌下的所有子品牌型号的IFAT指纹的集合。

(5)控制模块，是整个系统的入口，负责调用数据采集模块和解析模块中提供的接口，并操作IFAT指纹操作模块，对采集到的未知终端的IFAT指纹进行识别。在该模块中，会通过调用IFAT指纹操作模块中提供的相关IFAT指纹生成接口，IFAT指纹距离计算接口和IFAT指纹更新接口，对来自解析模块中的终端的Probe Request帧中的信息进行IFAT指纹生成、终端识别工作。还负责通过IFAT指纹信息库模块对IFAT指纹信息库进行相关操作。

以上对本发明实施例所提供的技术方案进行了详细介绍，本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发明实施例的原理；同时，对于本领域的一般技术人员，依据本发明实施例，在具体实施方式以及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (7)

1.一种基于IFAT指纹的移动终端品牌型号的识别方法，其特征在于：

构建不同品牌型号的移动终端的帧间到达时间差INTER-FRAME ARRIVAL TIME指纹信息库步骤；识别终端品牌型号：1)、捕获终端发出的Probe Request帧F_i；

2)、从Probe Request帧F_i的头部中提取源MAC地址addr，序列号Seq_i，以及从RadiotapHeader中获取MAC timestamp的值T_i，即帧F_i的发出时间，时间戳以微秒为单位；

3)、继续捕捉直到来自同一MAC地址的Probe Request帧中的序列号Seq_i+1与Seq_i的差值大于15或者时间差(T_i+1-T_i)大于100000时，将之前采集到的所有Probe Request帧形成一个连发集合S；

4)、计算S中相邻帧F_i和F_i+1之间的时间差diff_i，得到时间差集合Diff＝{diff₁，diff₂，...，diff_n-1}，其中diff_i＝T_i+1-T_i；

5)、Diff与连发集合S中的帧数|S|组成未知终端的指纹X＝{Diff，|S|}；

6)、根据MAC地址中的ORGANIZATIONALLY UNIQUE IDENTIFIER信息从帧间到达时间差INTER-FRAME ARRIVAL TIME指纹信息库中获取该ORGANIZATIONALLY UNIQUE IDENTIFIER对应的品牌，和该品牌的子品牌型号的帧间到达时间差INTER-FRAME ARRIVAL TIME指纹集合；

7)、计算该帧间到达时间差INTER-FRAME ARRIVAL TIME指纹集合中的所有指纹与未知终端的指纹X之间的距离Dis，若最小距离小于所设阈值t，则取距离最小指纹所对应的品牌型号为该未知终端的品牌型号，否则为未能识别终端；

8)、识别成功后，可将最小距离小于5000的帧间到达时间差签名用来更新原本的终端帧间到达时间差INTER-FRAME ARRIVAL TIME指纹信息库。

2.如权利要求1所述的一种基于IFAT指纹的移动终端品牌型号的识别方法，其特征在于构建帧间到达时间差INTER-FRAME ARRIVAL TIME指纹信息库包括以下步骤：

9)、对于某一品牌下的某一子品牌型号的移动终端，收集该终端的Probe Request帧若干；

10)、根据帧的序列号、MAC地址及时间差将其分为若干次连发，得到连发的集合G；

11)、根据序列号和时间戳得到帧间到达时间差INTER-FRAME ARRIVAL TIME序列数组；

12)、对帧数目相同的连发，对帧间到达时间差INTER-FRAME ARRIVAL TIME序列数组中的元素计算均值，得到帧间到达时间差INTER-FRAME ARRIVALTIME序列均值数组

13)、并统计包含不同数目的帧的连发集合G出现的次数，计算在G的总个数中所占权重P，最后得到该品牌型号终端的帧间到达时间差INTER-FRAME ARRIVAL TIME指纹。

3.如权利要求2所述的一种基于IFAT指纹的移动终端品牌型号的识别方法，其特征在于所述步骤10)包括：

根据MAC地址判断是否来自同一个终端，如果MAC地址相同的情况下，再根据序列号及相邻帧间时间差判断是否属于一次连发。

4.如权利要求2所述的一种基于IFAT指纹的移动终端品牌型号的识别方法，其特征在于所述步骤11)包括：

定义g为连发集合G中的帧数为n的某一连发集合，g＝{f₁，f₂，...，f_n}，f_i为g中第i帧的时间戳，即Radiotap Header中的MAC timestamp的值；帧间到达时间差INTER-FRAMEARRIVAL TIME序列数组L＝{d₁，d₂，...，d_n-1}，d_i＝f_i+1-f_i。

5.如权利要求4所述的一种基于IFAT指纹的移动终端品牌型号的识别方法，其特征在于所述步骤12)包括：

帧间到达时间差INTER-FRAME ARRIVAL TIME序列均值数组

为帧数为n-1的g中的d_i的均值。

6.如权利要求2所述的一种基于IFAT指纹的移动终端品牌型号的识别方法，其特征在于所述步骤12)包括：

对于某一子品牌型号i的移动终端，生成的帧间到达时间差INTER-FRAME ARRIVALTIME序列数组为：

其中，N为连发集合中出现的连发帧数的合集，

为连发中帧数为n的帧间到达时间差INTER-FRAME ARRIVAL TIME的均值数组，P_n为连发次数中帧数为n的帧间到达时间差INTER-FRAME ARRIVAL TIME出现的次数所占所有连发次数中的比值。

7.如权利要求1所述的一种基于IFAT指纹的移动终端品牌型号的识别方法，其特征在于所述步骤8)包括：

更新终端指纹中对应帧数的帧间到达时间差INTER-FRAME ARRIVAL TIME序列均值数组和该帧数的连发所占的权重。

Images