- 文献综述(或调研报告):
通常,指纹是指可用于识别感兴趣的实体的特定特征。不同层的网络流量可用于作为识别一些有趣的实体的指纹特征,例如无线设备,接入点,操作系统,应用,根据目标,提取的特征是不同的。例如,基于从RSS(接收信号强度)和通信链路的CSI(信道状态信息)获得的信息,指纹识别已被用于室内定位。
在我的这项工作中,流经接入点(AP)的分组之间的到达间隔时间序列(IAT)被用作指纹识别AP的特征。然而,有另外一项工作从TCP / IP(例如IP, TTL和TCP报头值),从TLS和HTTP协议中提取出了用于指纹识别潜在的混淆策略中的被动OS的特征。
该领域的现有工作大致可归类为设备指纹识别和设备类型指纹。
第一类指纹识别是主机或物理设备指纹识别。 这方面的一项重要工作是由Kohno等人提出。在这篇文章中,作者介绍了一个通过利用TCP协议栈实现指纹识别物理设备的方法。 作者使用物联网设备传出的TCP数据包的TCP时间戳选项来显示有关发件人内部时钟的信息。该作者的技术利用了微观偏差时钟偏移以获得时钟周期模式作为一个设备标识。 与上面作者的工作相反,我们的工作是独立与协议的(即,它适用于TCP,UDP和ICMP),不需要深度数据包检查(例如,时间戳),因此它的定位更具有可扩展性,适用于加密的IP级别流。 另外一篇文章的作者对此采取了类似的方法(即,使用时钟偏移来唯一地标识节点)但这篇文章的目标是唯一地指纹识别AP。另外,他们不是从TCP数据包中获取时间戳而是从802.11信标帧获取时间戳。另一个在AP指纹识别方面的工作由F. Lanze等人完成。 他们比上面文章的主要改进在于他们的技术是在线的,不带有指纹指纹识别装置。由于这两种技术都有用在802.11信标中,它们只能用于AP指纹识别而不能用于一般设备指纹识别。在“An empirical study of passive 802.11 device fingerprinting”中,作者评估了使用的传输参数如传输速率,帧大小,媒体访问时间,传输时间,以及数据包到达802.11设备的时间间隔。
但是,这些是用直接无线侧捕获做出的分析,这意味着为了使这种技术起作用观察者必须在目标设备的无线范围内进行实验。而且,他们提出的技术不会识别来自一个未知的设备的流量。这是我们的技术一个主要的缺点,因为人们不能指望一个系统拥有它可能遭遇的所有可能设备的签名。还有一个方案是物理层方法识别无线设备指纹。射频(RF)发射器指纹识别使用由电路拓扑差异和制造公差引起的不同的电磁(EM)的特性。这种方法有在蜂窝系统中使用过的历史并且已经应用于Wi-Fi 和蓝牙发射器。 EM给予指纹一个信号传输的唯一属性,并且这种属性不同发射器间不同。这种技术需要昂贵的并且在目标射频范围内的信号分析仪硬件。相比之下,我们的方法只需要一个网络点击交换机以捕获无线网段上的流量,而这些可能是下游的跃点。
如果设备的指纹结果是唯一的,那么它们可用于身份验证。 受此目标的推动,“Wireless device identification with radiometric signatures”中的工作使用多元高斯分布来模拟设备的指纹,使用监督方法来学习模型。 这项工作也适用于转移学习,以尽量减少由于正常环境变化造成的差异。 虽然这是一个有趣的提案,但由于缺乏使用真实物联网设备的实验,现在评论该提案的有效性还为时过早。 注意到,增强模型以使其成为分布式解决方案也有余地。 此外,扩展模型以识别未知设备可能是一个新的挑战性问题。
与现有工作相关的另一项工作是设备类型指纹识别。在这个类别中这些技术的主要目标是能够远程识别特定的设备类型。在“A passive approach to wireless device fingerprinting”中,作者介绍了一个可以检测流量通过的无线AP的类型的有源设备指纹识别技术。它依赖于独特的模式(来自设备的硬件组成)——特殊的数据流在网络流量中生成。此外,该研究仅限于AP类型,而我们目前的方案适用于跨越多种设备类型的正常流量,并可用于识别设备指纹以及设备类型。另一项对于具有类似问题的无线AP的指纹识别的工作是在“Active behavioral fingerprinting of wireless devices”中介绍,作者通过积极探索各种常规和格式错误的数据包来指纹识别无线AP类型。“Ptf: Passive temporal fingerprinting”的作者提出了一种技术用于设备类型行为和时间指纹识别。他们模拟特定的协议实现(即会话启动协议 - SIP)并使用时间随机参数化树扩展有限状态机(TRFSM)创建行为指纹。他们的技术可以学习转换SIP协议的状态机的独特时序模式。这些状态机的时序模式可以通过观察被指纹识别的设备的各种传出和传入的SIP消息之间的差异来检测。另外,在早期工作中“Machine learning techniques for passive network inventory”,他们的技术需要了解协议的完整语法。在“Ptf: Passive temporal fingerprinting”中,这个要求是轻松的,因为他们只需要一个包含SIP会话的语料库。上面两篇文章的作者开发了一种实时方法并且在“Enforcing security with behavioral fingerprinting”中讨论部署他们的技术。但是,他们提出的全部技术仅限于特定的应用层协议——SIP,而我选择的方案适用于ICMP,UDP和TCP协议以及他们传输的应用程序(例如,Skype)。 “Host identification via USB fingerprinting”中的作者使用在通用串行总线(USB)上命令和响应之间的时间信息来区分模型标识符之间的变化,操作系统(有时是OS数字版本),以及机器是否正在真实环境或虚拟环境应答。这项工作的一个限制是它要求一个人实际拥有该设备。
总的来说,我选择的方案(GTID)可以使用一种无线侧检测的方法在本地网络有效主动地识别无线设备,这种方法利用设备异构性而泄露的信息,即不同设备硬件组成的功能不同造成设备时钟偏差的变化。在网络上应用统计技术创造出特征点,可再现设备和设备类型签名的流量,并且使用人工神经网络(ANNs)进行分类,使用利用几个设备组成的语料库代表的一个宽带设备种类和流量类型来证明我们的技术在孤立的测试平台的功效。我的实验提供了几十g的流量捕获用于ANN训练和性能评价。为了让任何指纹技术具有实用性,他必须能够检测之前无法看见的设备(即没有任何指纹备份的设备)并且能够承受各种攻击。GTID是一种能够检测之前看不见的设备的指纹识别技术并且能够说明其在各种攻击者模型下的弹性。我们通过考虑它的准确度,召回和处理时间来测量它的性能,并且同时说明了它能够怎样用于补充现有的安全机制,并且检测伪造设备。
以上是毕业论文文献综述,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
