毕业论文网
本论文可用于过程中论文范文参考下载,过程中相关论文写作参考研究。
低功耗蓝牙加密通信过程中的流量分析攻击威胁和防护
一、研究背景介绍
蓝牙( Bluetooth):是一种无线技术标准,可实现固定设备、移动设备和楼宇个人域网之间的短距离数据交换.其中蓝牙4.0 协议加密通信过程的配对模式可采用安全简易配对SSP(Securesimplepairing),包含四种安全机制.此外,蓝牙4.0 采用跳频通信模式,并且不定期更换跳频列表,其协议规则繁多,数据包种类繁杂,这些协议规则、机制和安全措施都导致了蓝牙4.0 协议难以被分析.
传统的计算机安全专注于通过确保机密性、完整性或可用性来保护通信内容,但数据发送方向、发送消息时间、消息的传输时间和长度等,也会包含重要信息,对这些信息的分析叫做流量分析(TrafficAnalysis).
流量分析是提取和检查消息以便从通信中推断出信息的过程,即使在消息被加密但无法被解密的情况下,也能进行分析.一般观察到的消息数量越多,或截获与存储的数据量越大,从数据流中推断出来的信息越多.
二、研究现状
关于蓝牙4.0 通信,其通信过程中,信道跳频的间隔为微秒级,而且由于无线通信的开放性特点,在信号传播的过程中,极易受到干扰,从而出现数据包丢失、畸形和重传等情况,导致数据接收端收到的数据包长度、间隔等不稳定,这都大大增加了流量分析的难度.
关于流量分析,在2015 年的世界Blackhat 大会上,奇虎科技公司展示了利用深度学习和神经网络用于进行特征识别,并应用于网络通信过程中的协议识别和异常协议数据检测的技术[1],JosephZadeh 等人做了从误报到可操作性的基于机器学习和SOC 的行为分析[2].
关于蓝牙,2016 年的世界Blackhat 大会上,SlawomirJasek 等人展示了基于GAT 层协议利用中继跟踪蓝牙4.0 设备的传输数据[3],2015 年,MarkBaseggio 等人展示了基于蓝牙4.0 的BLEkey 门禁控制的技术[4].
三、研究历程
3.1 蓝牙4.0 协议通信分析
首先进行蓝牙的协议分析.根据蓝牙4.0 协议规范[5],采用蓝牙4.0 又称为“低功耗蓝牙”(BluetoothLowEnergy),简称“蓝牙BLE”,通信传输速率为1Mbps,使用“高斯频移键控”(GFSK)调制方式.蓝牙协议有两大安全模式,其中蓝牙4.0 针对特定的服务请求也可以自主定义自己的安全规则.
针对所有加密认证的安全连接方式(未加密的数据包以明文传输,无需交通分析技术),根据蓝牙协议手册,数据在主设备和从设备之间传输时,当主设备要给从设备传输消息时,主设备的host 层构造指令,传给链路层,链路层根据host 层传来的指令,添加从设备的access_address 地址,构造数据包,接着根据双方协商好的跳频列表,通过物理层控制RF 射频前端,将数据包在指定信道上经天线发送出去.
对于从设备,从设备会根据跳频列表,在特定的时间提前跳转至相应的信道,等待主设备传输的信息到来.从设备给主设备传输数据原理一致.关于跳频列表,在主设备发起于从设备建立连接的请求时,跳频列表被第一次创建,在配对和连接的过程中,主设备会不定期发起更改跳频列表的请求,从设备在收到相应的数据包后,会根据相应的参数调整接下来通信过程中的跳频规则从而适配主设备的数据通信规则,保证通信过程的稳定.
3.2 通讯数据包捕获收集
由于蓝牙4.0 协议通信过程在2402M-2480M 的频率范围内跳频,单信道带宽2M,频段相对较宽.经过对主设备host 的命令信息的研究发现,尽管跳频列表会不定期更换,但蓝牙4.0 协议的跳频列表是有规律的,按照(0+instant)%37的值进行信道切换.因此,可以采用将hackrf 设备初始时置于2401M-2421M(中心频率为2411M),并保持带宽为20M,在捕获到一个数据包后快速切换中心频率,即每次1/4总频段的宽度,快速切频以尝试去捕获下一个数据包,并根据捕获的两个数据包的时间间隔逐步推测跳频间隔,直到所获得数据包的频率稳定,即主设备与从设备通信过程的跳频间隔时间.一般来说,主设备和从设备会在一定时间内保持其跳频列表,因此hackrf 可以稳定地获得一长段时间的连续加密数据包用于后期的流量分析.
若主设备更换跳频列表,hackrf 会重新快速切频,用相同的办法推测新的跳频列表,并继续跟踪数据.在此过程中,虽然会丢失几个数据包,但在大量数据的前提下,几个数据包的缺失在数据分析时完全可以用遗失项差补法来填补,并不影响整体的数据分析,这也正是流量分析的优势所在.
3.3 特征提取
通过在ubuntu14.04Linux 系统上搭建gnuradio 开发环境,通过编写hackrf 捕获与解调收集代码,对微软的Designer 蓝牙4.0 鼠标和UniversalFoldable 蓝牙4.0 键盘与电脑的蓝牙通信数据进行抓包研究[6].
对收集到的数据进行分析后发现,在通信过程中,计算机端为主设备端,鼠标和键盘为两个从设备端.分别用两个hackrf 鼠标和键盘设备与电脑端的通信,接着过滤掉所有的空数据包,记录每个数据包的收到时间,最终将所有数据包按照捕获时间的先后进行排序.
通过将主设备的host 层指令、hackrf 捕获的数据包数据和收到的数据包时间三者进行对比,可以发现鼠标和键盘在不同操作的情况下,hackrf 端收到的连续数据包之间的时间间隔有细微差异,如图1 所示.
由图1 可以看到,鼠标双击时,序列21-24 间隔时间相比其他序列有明显波动,接着序列25-30 逐渐平稳;对于鼠标左键按下或右键按下,二者区别就在于:
1、鼠标右键按下后会伴随着鼠标左键按下;
2.鼠标左键按下后一种情况是按下后鼠标移动,另一种则是双击.
鼠标双击操作造成的数据包序列间隔时间波动相对明显,但若单独查看波动情况无法直接区分出用户操作是鼠标左键还是右键.经过对人们的行为特征分析,双击的特点就在于鼠标点击右键后,人们会移动一小段距离接着点击左键.因此,可以根据此组合特征,对鼠标右键进行识别.
链路层非空数据包的传输过程中,稳定状态下的数据包序列时间间隔为0.0071-0.0078 秒左右.经过对微软的Designer 蓝牙4.0 鼠标的各类操作2000 次的统计下(排除统计异常值与边缘值),在每次序列的时间间隔出现波动时,从波动项开始统计16 个连续的数据包序列,然后对序列时间间隔记录,得出的鼠标操作与序列时间间隔平均值的对应关系如表1 所示.
记录所有的波动情况,则组成一个以总波动次数为行数、16 为列数的时间间隔属性矩阵,接着对照host 层的指令信息,查看每一次序列波动的情况所对应的鼠标操作,将这些结果作为标签,添加在属性矩阵每一个对应行的最后,组成特征矩阵[7].
最后,利用此特征矩阵构建分位图,研究异常点.通过实数值属性箱线图,可以看出每列属性的扩散点都相对较小,异常点的分布整体稀疏,数据大多分布在箱里,整体数据稳定,具有统计特性,可以进行后续机器学习分析[8].
对于键盘按键操作的数据包,可以通过access_address与鼠标操作的数据包进行分离.因为键盘按键序列受到用户习惯影响过大,因而无法区分出具体按下的字母或数字.但可结合具体情况为进一步分析用户当前操作做准备.
3.4 机器学习与流量分析
我们的数据集属于宽数据集,关于数据的预测分析,属于过定问题.使用集成方法来对我们的模型进行预测.因为对于属性矩阵,可能属性的组合对预测的贡献要大于单独每个属性对预测的贡献和,因而此处采用随机森林方法.随机森林是Bagging 方法和属性随机选择方法的结合,其每个决策树的训练数据集,只是所有属性随机抽取的一个子集,而并不是全部的属性.采用最大子叶数为1,不限制树深度,让决策树自由生长,构建3000 个模型,选取模型时以50 为梯度进行逐步递增, 接着构建AUC(Areaunderthecurve,ROC 曲线下面积,ROC 代表误分类率.AUC 面积越小,则整体性能越好)性能与决策树数目的关系曲线图以及属性重要性分布图,如图2 所示.
由图2 可以看出,在第2000 个模型后,AUC 面积逐渐降低且趋于稳定误分类率很低;对于属性重要性分布图,属性重要性归一化为1.0,形成的条状图代表属性与预测结果的贡献值.可以看出,属性排名从第5 位后呈对数下降的趋势,各属性之间有明显的分离度,即随机森林的预测方法性能稳定可靠.
基于随机森林的基学习器,为了进一步提升分类性能,采用梯度提升的方法.基于决策树,在不同的标签上来训练决策树,然后将其组合起来,在减少方差的同时,也可以减少偏差.采用深度为3 的决策树,构造500 个决策树用于组合分析,使用梯度下降法将步长设置为0.3. 在训练过程中,随着决策树数目的提升,测试集误差集剧降低,在决策树数目达到480 左右的时候,性能不再提升,故可终止测试.至此,我们获得了稳定且低误差的利用机器学习的流量分析预测模型.
3.5 测试结果
在构建好流量分析预测模型之后,让测试用户使用微软的Designer 蓝牙4.0 鼠标和UniversalFoldable 蓝牙4.0 键盘与安装Windows7操作系统的电脑进行鼠标与键盘的随机操作.测试结果如图3 所示,不同颜色的圆点代表不同的鼠标或键盘操作,通过对电脑端host 层控制指令真实值与经软件无线电设备捕获并进行流量分析得出的预测值二者进行对比,使用构建好的流量分析预测模型获得的误分类率仅有4.3%,此预测模型具有很高的性能,能够实现对蓝牙4.0 通信过程中的流量分析.
此种预测模型构建手段和方法具有通用性,针对其他型号的蓝牙4.0 鼠标或键盘同样适用.虽然不同种类的设备在稳定通信的状况下时间间隔不同,但完全可以用相同的特征提取和特征工程方法进而进行流量分析的预测.
关于键盘操作,因为键盘操作可以直接从access_address进行分离,虽然无法进行类似于鼠标操作这样的精确预测,但根据按键时间间隔的分布情况,结合鼠标操作,可以基于人工分析、结合具体实际场景猜测用户当前行为.
四、结论
本文以蓝牙4.0 协议为基础,以微软的一款鼠标和键盘为研究对象,揭示了流量分析技术所带来的安全隐患.关于流量分析攻击技术的防护,可以采用通信双方在无数据传输时,发送端在数据包的data 域设置对应的标志位,添加冗余数据后发送,即进行流量混淆;接收端在收到并解码数据后,一旦核对所得数据包对应标志位满足条件,则弃置该数据包,不再与host 层通信,这样攻击者就无法过滤掉空数据包,极大增加了流量分析的复杂度.
过程中论文范文结:
关于过程中方面的论文题目、论文提纲、过程中论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文。
2、论文过程
3、毕业论文过程