一种基于IAT和机器学习的无线设备识

2024年3月27日发(作者：止步于此什么意思)

第22期

2022年11月

无线互联科技

WirelessInternetTechnology

No.22

November,2022

一种基于IAT和机器学习的无线设备识别机制

(1.西安航空计算技术研究所,陕西　西安　710068;2.西北工业大学,陕西　西安　710072)

摘　要:

随着物联网(IoT)的快速发展,连接到网络的设备数量急剧增加。设备识别已成为防止恶意攻击和确保网络安

全的关键。文章提出了一种基于到达时间(IAT)的设备指纹识别机制,利用IAT生成设备指纹并验证物联网设备,使用

网络嗅探器捕获网络流量,提取数据包字段并计算IAT值。通过收集网络数据,建立了基于IAT的数据集,利用监督机

器学习算法来识别设备。最后,在模拟和真实环境中评估了提出的设备指纹算法。结果表明,该方法在仿真中的准确率

在95%以上,在实际网络中的准确率高达99%。

关键词:无线传感器网络;物联网;设备识别;IAT;机器学习

宫　婷

1

,林智君

2

,阮天翔

1

0　引言

　　近年来,物联网的发展取得了重大进展,越来越多

的人安装了物联网设备,包括智能安全系统、智能家居

照明等。有关设备识别的研究通过不同特征来区分设

备,包括检查电子序列号(ESN)、媒体访问控制(MAC)

地址、移动标识号(MIN)或产品系列以及互联网协议

(IP)号。然而,随着网络攻击的发展,IP和MAC地址

可以通过软件轻松修改

[1]

,不能作为唯一的设备身份

验证或标识功能。

本文针对物联网安全问题,提出了一种新的认证

机制,通过提取有关设备软件版本以及硬件组件的信

息,使用IAT生成的设备指纹,结合数字证书来验证物

联网设备。设备指纹识别方法必须满足两个特征:一

是难以伪造,二是在不同环境中应稳定。本文的主要

时钟偏移,能够检测无线网络中未经授权的接入点。

根据更高的可预测性和精确的时间戳设置局部区域。

利用时钟偏差检测伪接入点是一种有效的方法,节点

中的周期时钟将导致节点时钟偏移的精度差异。

总体而言,设备指纹识别方法最近已广泛应用于

设备安全认证。然而,现有的研究存在一些局限性,包

括低精度、长响应时间和恶劣的操作环境。文章将介

绍IAT作为模型训练的主要考虑因素,并提出一种新

的设备指纹识别方法。

2　相关工作

　　本节讨论了IAT的生成过程和不同设备的IAT值

不同的原因,提出了基于IAT的设备指纹识别方法的

步骤。

2.1　IAT

贡献是将IAT作为构建无源设备指纹的关键特征,讨

论了有关设备指纹的相关工作;介绍了IAT的概念,并

提出了一种基于IAT的设备指纹识别技术;在模拟和

真实网络环境中评估笔者提出的技术。

1　国内外相关研究

　　Francois等

[2]

建立了网络消息的树,利用支持向量

机(SVM)和快速鲁棒(QROCK)算法来计算不同树之

间的距离。在真实的IP语音(VoIP)网络设备指纹识

别场景中,使用SVM和QROCK的准确率分别达到

70%和75%。他们的方法必须为每种消息类型生成

树,多种消息类型可能会降低这些方法的性能,该方法

在实际环境中的精度相对较低。

Jana等

[3]

提出了一种基于时钟偏差的设备指纹识

别方法,以解决检测MAC地址欺骗的问题。通过使用

　　数据包生成受多个设备组件的影响,如CPU、内存

和网卡(NC)。数据包创建过程为设备接收生成网络

数据包的命令,并将该命令从内存移动到CPU。CPU

在内存中建立缓冲区并建立缓冲区结构。在创建缓冲

区之后,CPU写入包括从缓冲区开始的包长度和包内

容的包信息。操作系统控制CPU在NC中注册缓冲区

描述,并在NC和缓冲区之间建立连接。一旦NC连接

到缓冲区,NC初始化直接内存访问(DMA),数据包数

据通过PCI总线传输到NC。最后,NC通知操作系统

和CPU,并将数据包发送到MAC设备。

创建完成后,MAC将包传输到目的地,源设备和目

标设备之间的连接是连续的,设备之间的通信是连续

的。源设备连续生成并发送网络数据包。因此,将在

目的地接收的两个连续数据包之间的时间差定义为

作者简介:宫婷(1996—),女,陕西西安人,硕士;研究方向:计算机和通信网络。

—4—

Copyright©博看网. All Rights Rerved.

第22期

2022年11月无线互联科技·电子通信

No.22

November,2022

IAT值,即假设由单个设备发送的接收分组的序列是

P

=

p1,p2……pn,并且相应的接收时间是T

=

t1,t2……

tn。IAT值,即pi和pi

+

1之间的差值,通过公式(1)计

算得出。

IAT

=

t

i

+

1

-

t

i

2.3　基于IAT的设备指纹识别

　　如上所述,不同设备的IAT值不同。因此,使用

的步骤如下。

(1)在WLAN网关中设置了网络嗅探器。通过使

IAT识别设备是一种合理的方法。设备指纹识别执行

影响设备的IAT值,包括硬件、软件和网络因素

[4]

。为

了评估这些因素对IAT的影响,公式(2)显示了接收时

间和发送时间之间的关系,接收数据包的时间与发送

数据包的时间成正比。

Rcv

t

=

Sed

t

+

Δtransmission

与公式(2),导出的公式用公式(3)(4)和(5)。

IAT

=

Rcv

t

+

1

-

Rcv

t

Rcv

t

+

1

-

Rcv

t

=

Sed

t

+

1

-

Sed

t

IAT

=

Sed

t

+

1

-

Sed

t

(2)

IAT是网络分析的一个重要度量。不同的因素会

(1)

用网络嗅探器,可以捕获通过网关传输和转发的数

据包。

(2)网关嗅探器监视网络流量并捕获数据包一段

(3)分析数据包文件,并根据IP地址将其划分为

时间,并将流量信息记录在数据包文件中。

不同的文件。即过滤具有相同源IP的数据包,并将过

件中的数据包都来自同一个设备。

传输表示传输链路中的时间成本。结合公式(1)

(3)

(4)

(5)

滤后的数据包保存在新文件中。这种方法意味着新文

(4)对于每个新文件,从每个数据包中提取相关网

络字段并计算IAT。记录网络功能并按设备类型标记

记录。通过整合每个文件中的记录,可以构建一个新

的基于IAT的标记数据集。

(5)基于创建的数据集,测试机器学习算法,利用

从公式(5)可以看出,IAT取决于数据包的发送

时间间隔。不同的硬件经过一系列的处理后将发送

一个网络数据包。这些硬件差异导致生成相同网络

数据包的时间成本不同。此外,由于设备处理过程中

的微小错误,即使是两个相同的设备,其性能也会略

有不同。网络应用要求客户端以固定频率传输网络

流量。通常,传输频率由程序开发人员设置。该设备

执行应用程序,并在每个周期执行发送数据包的命

令。因此,发送时间也取决于发送频率,IAT也受到软

件的影响。

IAT是一种无源网络特征提取方法,不需要在设备

中主动嵌入任何程序。由于不同设备之间的IAT值不

同,因此使用IAT识别设备是一种独特且可行的方法。

2.2　网络流量的IAT计算

提出了基于IAT的设备识别技术。

　　计算IAT需要网络嗅探器来捕获通信路径中的

设备数据包。网络嗅探器应靠近要检测的设备。设

备直接与网络嗅探器连接,以便网络嗅探器尽可能

稳定地从检测到的设备接收流量。因此,在无线局

域网(WLAN)中心(如网关和接入点)设置网络嗅

探器,不仅连接到互联网,还为无线设备提供接入服

务。通过在WLAN中心嗅探数据包,避免了内部LAN

链路中的任何网络延迟,并将外部网络波动的影响降

至最低。

从网络流量计算IAT的过程如下:在网关或接入

点的WLAN中心插入网络嗅探器,然后从设备捕获连

续数据包并记录接收时间序列。利用公式(1),计算两

个连续数据包之间的IAT值。

该数据集训练分类器模型。分类器模型随后用于识别

设备。

基于以上对IAT概念和特征的讨论,文章提出了

一种基于IAT的设备指纹识别机制。该机制具有很高

的灵活性,可以适应不同的网络,并根据具体情况采用

不同的机器学习算法。

3　结果与评价

　　在本节中,将在模拟和真实环境中对提出的设备

指纹机制进行评估。

　　本节使用NetSim建立了一个模拟网络,并将所提

出的设备指纹机制应用到模拟中。

NetSim是一个端到端、全栈、包级网络模拟器和仿

3.1　使用NetSim进行模拟

真器。它为网络工程师提供了一个用于协议建模、网

络研发和军事通信的技术开发环境。此外,NetSim允

许用户编写定制程序并修改协议内容,具有很强的可

扩展性。与硬件原型相比,成本显著降低,时间更短。

NetSim支持多种网络环境,包括5G网络、移动自组织

网络和无线传感器网络。因此,可以使用Net

-

Sim建

3.1.1　NetSim模型

立高度灵活的应用程序。

　　所有终端节点都基于IPV6_LOWPAN协议连接到

网关,形成一个自组织、多跳无线的网络。网关旨在接

收和转发来自终端节点的数据包。为了简化网络场

景,使用有线节点作为服务器,并在网关和服务器之间

设置一个路由器。终端节点在其传输范围内向服务器

—5—

Copyright©博看网. All Rights Rerved.

第22期

2022年11月无线互联科技·电子通信

No.22

November,2022

发送网络流量

,在网关捕获网络数据包。

3.1.2　使用NetSim模型的结果

设备1/%

KNN

DT

RF

SVM99.38

99.70

99.61

99.6

99.75

设备2/%

98.96

99.46

99.39

99.35

99.56

　　KNN,DT,RF和ANN模型的准确度得分达到95%

以上,具体结果如表1所示。

表1　模拟不同算法的准确度

设备3/%

95.57

95.76

95.99

95.91

95.50

设备4/%

96.04

96.01

96.13

96.05

95.69

设备5/%

99.90

99.93

99.94

99.91

99.85

设备6/%

99.97

99.97

99.91

99.91

99.89ANN

3.2　真实网络中的设备指纹

　　使用通用物联网设备建立了一个简化的真实世界

网络。选择以下设备进行实验:(1)Raspberry

PI3;

(2)笔记本电脑;(3)移动电话;(4)智能摄像头;(5)智

能电视;(6)智能火灾报警器。

接入点。Raspberry

PI连接到互联网,并通过WiFi与

在真实场景中,将Raspberry

PI配置为网关和网络

其他设备通信。此外,Raspberry

PI与rve相对应,后

者提供设备标识服务。如图1所示,显示了使用真实

物联网设备的设备识别模型。

图1　使用真实设备的设备识别模型

3.2.1　算法说明

　　RaspberryPI3作为网关和接入点。所有物联网设

备都通过WiFi连接到网关。此外,由于网关可以接收

和转发通过自身的所有流量,因此在网关上安装

—6—

Copyright©博看网. All Rights Rerved.

第22期

2022年11月无线互联科技·电子通信

No.22

November,2022

Wireshark应用程序来捕获场景中的网络数据包。将每

个设备运行3个小时,并将其保存为数据包捕获

(PCAP)文件。根据物联网设备的IP地址将流量信息

过滤并划分为5个PCAP文件,解析PCAP文件

[5]

,从

数据包中提取相关的网络特征,并构造特征向量。在

本实验中,重点研究了传输控制协议(TCP)/用户数据

报协议(UDP)。在分析PCAP文件的过程中,使用了C

++

编程语言,使用公式(1)计算了IAT值,并生成基于

3.2.2　使用真实设备的结果

IAT的数据集。设备识别采用不同的机器学习算法。

　　由于支持向量机不适用于大规模高维数据集,使

用KNN,DT,RF和ANN对提出的机制进行了评估,以

用于实际设备识别。KNN具有99.59%准确率的最佳

性能。人工神经网络在多分类中没有表现出显著的识

别能力。

4　结语

　　本文介绍了计算IAT的过程,并分析了物联网设

备之间IAT差异的原因,提出了一种基于IAT的无源设

备指纹识别机制。该机制包括数据集构造和设备识

别,使用所提出的机制在模拟和真实环境中执行测试。

该方法在模拟环境中的平均准确率为95%,在真实环

境中的平均准确率为99%。

[1]CHEN

Y,YANGJ,TRAPPEW,ingandlocalizingidentity

-

badattacksinwirelessandnsornetworks[J].IEEE

[参考文献]

TransactionsonVehicularTechnology,2010(5):2418

-

2434.

[2]FRANCOIS,

JEROME,ABDELNUR,elearningtechniquesforpassivenetworkinventory[J].IEEETransactionson

NetworkandServiceManagement,2010(4):244

-

257.

[3]JANA

S,andaccuratedetectionofunauthorizedwirelessaccesspointsusingclockskews[J].IEEETransactions

onMobileComputing,2009(3):449

-

462.

[4]WANG

Z,tingsmart

-

phoneUSBconnectivityforfunandprofit[C].ComputerSecurityApplicationsConference,

ACM,2010.

[5]SSU

KF,WANGWT,ingsybilattacksinwirelessnsornetworksusingneighboringinformation[J].Computer

Networks,2009(18):3042

-

3056.

(编辑　傅金睿)

Awirelessdevicerecognitionmechanismbadon

IAT

andmachinelearning

(utics

ComputingTechnologyRearchInstitute,Xi’an

710068,

China;

GongTing

1

,

LinZhijun

2

,

RuanTianxiang

1

Abstract:

GiventherapiddevelopmentoftheInternetofThings

(IoT),

thenumberofdevicesconnectedtothe

estern

PolytechnicalUniversity,Xi’an

710072,

China)

uently,deviceidentificationhasbecomeacrucialaspectofpreventing

paper,weprentanoveldevicefingerprintingmechanism

badoninterarrivaltime

(IAT)

ize

IAT,

thepassivemethod,togeneratedevice

ropodmechanism,thenetworksnifferisudtocapturenetworktraffic

fromwhichweextractpacketfieldsandcalculate

IAT

ectingthenetworkrecords,webuildthe

IAT

-

baddatay,weevaluateourpropod

devicefingerprintinginbothsimulatedandreal

-

ultsshowthatourmethodachieves

accuracyabove

95%

inthesimulationandupto

99%

inareal

-

worldnetwork.

Keywords:

wirelessnsornetwork;IoT;deviceidentification;

IAT;

machinelearning

—7—

Copyright©博看网. All Rights Rerved.