高 見， 袁得崳

(中國(guó)人民公安大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院， 北京 100038)

基于WIFI探針的預(yù)警系統(tǒng)設(shè)計(jì)與研究

高 見， 袁得崳

(中國(guó)人民公安大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院， 北京 100038)

進(jìn)入21世紀(jì)后，各類社會(huì)犯罪大量出現(xiàn)，并且呈現(xiàn)出遠(yuǎn)程化、高智能化、高科技化等特點(diǎn)。WIFI技術(shù)的使用逐漸普及，如何通過(guò)WIFI技術(shù)發(fā)現(xiàn)潛在犯罪，并能對(duì)可能出現(xiàn)的犯罪事件進(jìn)行預(yù)警引起了警方的重點(diǎn)關(guān)注，是目前研究的熱點(diǎn)問(wèn)題。通過(guò)分布式采集WIFI網(wǎng)絡(luò)中終端主動(dòng)發(fā)送探針的數(shù)據(jù)包的MAC地址信息和SSID信息，對(duì)數(shù)據(jù)進(jìn)行匯總分析，達(dá)到對(duì)大人流的預(yù)警和指定終端的行為軌跡分析，并搭建了預(yù)警系統(tǒng)，通過(guò)實(shí)驗(yàn)數(shù)據(jù)驗(yàn)證了預(yù)警系統(tǒng)的可行性和前瞻性。

WIFI； MAC； SSID； 探針； 預(yù)警

0 引言

目前，大量的互聯(lián)網(wǎng)設(shè)備支持WIFI接入的功能，比如手機(jī)，PAD，筆記本等。移動(dòng)設(shè)備接入互聯(lián)網(wǎng)的方式一種是通過(guò)3G、4G網(wǎng)絡(luò)，另一種是通過(guò)WIFI功能，由于WIFI高速、穩(wěn)定、免費(fèi)、便利的特點(diǎn)，很多用戶喜歡通過(guò)WIFI的方式接入互聯(lián)網(wǎng)，并且手機(jī)的WIFI功能經(jīng)常處于開放狀態(tài)。通過(guò)對(duì)WIFI認(rèn)證協(xié)議的研究，一些學(xué)者發(fā)現(xiàn)，在WIFI通信過(guò)程的Probe request中包含了終端的MAC地址信息和SSID重要信息。

在移動(dòng)終端接入WIFI網(wǎng)絡(luò)的時(shí)候，需要發(fā)送Probe request探針數(shù)據(jù)包，而這些數(shù)據(jù)包中包含了該終端之前接入過(guò)的SSID名稱以及終端的MAC地址信息，這種探測(cè)模式一般稱為主動(dòng)發(fā)現(xiàn)模式。WIFI通信過(guò)程經(jīng)常會(huì)使用WPA和WPA2的加密方式，以保證終端和AP之間的數(shù)據(jù)包傳輸?shù)臋C(jī)密性，防止被第三方竊聽。然而在終端接入AP之前，終端需要去發(fā)現(xiàn)AP的存在，兩者需要發(fā)送一些數(shù)據(jù)包來(lái)標(biāo)識(shí)自身的存在，而前期的交互信息是明文，而且包含了終端的MAC地址信息和之前接入過(guò)的SSID信息。MAC地址信息可以唯一的標(biāo)識(shí)一臺(tái)終端設(shè)備，不同的廠商擁有自己的MAC地址段，可以通過(guò)MAC地址直接查詢?cè)揗AC地址對(duì)應(yīng)的終端設(shè)備廠商信息。因此，在手機(jī)識(shí)別的過(guò)程中，MAC地址可以作為其唯一性的標(biāo)識(shí)，不同的兩個(gè)手機(jī)MAC地址是不同的。

表1描述了部分廠商的MAC地址段信息，通過(guò)MAC地址的前6位，可以查詢到該MAC地址屬于哪個(gè)廠商生產(chǎn)。每個(gè)廠商對(duì)應(yīng)的MAC地址段可能有很多，表1中只列出了常用手機(jī)廠商的某個(gè)MAC地址段。

表1 常見的MAC廠商表

由于WIFI具有免費(fèi)、高速的特點(diǎn)，越來(lái)越多的人更傾向于使用WIFI接入網(wǎng)絡(luò)。因此，相對(duì)于傳統(tǒng)的運(yùn)營(yíng)商基站信息分布圖，WIFI分布圖更能反映出當(dāng)?shù)氐娜丝诿芏取Ｆ胀ǖ腤IFI接入點(diǎn)的覆蓋范圍比較小，從幾十米到幾百米不等，而對(duì)于基站，覆蓋范圍小至幾百米，大至幾公里，WIFI接入點(diǎn)更能說(shuō)明手機(jī)終端的地理位置。圖1顯示了法國(guó)里昂最新的數(shù)據(jù)統(tǒng)計(jì)[1]，圖1左圖中包含了大約3000個(gè)基站，其中覆蓋了2G、3G和LTE，在圖1右圖中包含了50000個(gè)WIFI接入點(diǎn)。

圖1 基站與AP的分布圖

1 IEEE802.11工作機(jī)制與認(rèn)證過(guò)程

(1)客戶端連接方式

IEEE802.11協(xié)議鏈接過(guò)程的一個(gè)重要部分是主動(dòng)發(fā)現(xiàn)熱點(diǎn)并接入WLAN網(wǎng)絡(luò)。在這個(gè)過(guò)程中，首先是WLAN網(wǎng)絡(luò)的AP通過(guò)發(fā)送廣播包向外界公布該SSID，并發(fā)送Beacons幀數(shù)據(jù)包。WLAN網(wǎng)絡(luò)中的客戶端通過(guò)對(duì)收到的SSID進(jìn)行鑒別和對(duì)比，選擇最優(yōu)的，并發(fā)送請(qǐng)求連接的數(shù)據(jù)包，最后是認(rèn)證并連接到AP。

(2) Beacons探針

WLAN網(wǎng)絡(luò)中的客戶端通過(guò)Beacon探針來(lái)發(fā)現(xiàn)指定地區(qū)開放AP的SSID信息。WLAN中的路由器會(huì)周期性地廣播beacons數(shù)據(jù)包，在beacons中包含了AP的SSID信息和MAC地址信息[2-3]。

(3)IEEE 802.11 探針

客戶端掃描可用AP的方法可以分為兩種：主動(dòng)掃描和被動(dòng)掃描[4]，如圖2所示。

圖2 協(xié)議認(rèn)證過(guò)程

①主動(dòng)掃描：WLAN中的客戶端會(huì)主動(dòng)地在掃描的頻道中發(fā)送探針，并等待AP的回應(yīng)，不同的路由器回應(yīng)時(shí)間不等，大約在10ms左右。請(qǐng)求探針有兩種類型，直接探針和廣播探針。

直接探針：客戶端定期發(fā)送曾經(jīng)接入過(guò)的SSID的探針請(qǐng)求，如果擁有該SSID的AP收到請(qǐng)求，便會(huì)回應(yīng)，其它AP不予回應(yīng)。直接探針中包含了終端的MAC地址信息和曾經(jīng)接入過(guò)的SSID信息。

圖3 主動(dòng)掃描直接探針

廣播探針：在廣播探針中，客戶端會(huì)發(fā)送一個(gè)沒有SSID信息的探針請(qǐng)求，客戶端附近的所有路由器在收到該探針后，返回自己的SSID信息數(shù)據(jù)包。在廣播探針中只包含了終端的MAC地址信息。

圖4 主動(dòng)掃描廣播探針

②被動(dòng)掃描：在被動(dòng)掃描模式，客戶端只是被動(dòng)的在某個(gè)頻段監(jiān)聽附近AP廣播的beacon探針，通過(guò)對(duì)beacon探針中SSID的識(shí)別來(lái)決定是否接入，如圖5所示。

圖5 被動(dòng)掃描

2 預(yù)警系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

根據(jù)802.11協(xié)議本身的特點(diǎn)，在移動(dòng)終端打開WIFI功能的前提下，終端會(huì)發(fā)送Probe Request數(shù)據(jù)包，數(shù)據(jù)包中包含了終端的MAC地址信息和曾經(jīng)接入過(guò)的AP的SSID。因此本文設(shè)計(jì)了分布式WIFI探測(cè)系統(tǒng)，以便獲取終端的MAC地址信息、時(shí)間信息、位置信息和SSID信息，并最終對(duì)所獲得數(shù)據(jù)進(jìn)行檢索和分析，從而達(dá)到預(yù)警的目的。

該系統(tǒng)包括終端采集器、后臺(tái)數(shù)據(jù)庫(kù)和數(shù)據(jù)分析系統(tǒng)3個(gè)部分，如圖6所示。

圖6 分布式WIFI主動(dòng)探測(cè)系統(tǒng)

2.1 終端采集器

在實(shí)驗(yàn)過(guò)程中，我們選擇OPENWRT路由器，該路由器可以將自己定制的操作系統(tǒng)刷入該設(shè)備，并作為終端采集器。這個(gè)設(shè)備用來(lái)獲取無(wú)線通訊過(guò)程中的數(shù)據(jù)包，并且收集經(jīng)過(guò)過(guò)濾篩選的信息。配置無(wú)線路由器最關(guān)鍵的就是要將配置好的無(wú)線路由器設(shè)置成監(jiān)聽模式，在該模式下路由器可以獲取所有嗅探到的數(shù)據(jù)包，并重點(diǎn)分析Probe Request探針，從這些探針請(qǐng)求中，獲取移動(dòng)終端的MAC地址，同時(shí)生成一份SSID的列表。如表2所示，獲取的列表中有一些MAC地址是重復(fù)信息，比如16:A7:C6:FC:11:B3發(fā)送的Probe Request信息中包含SSID為“29EC”的信息。有些信息表明一個(gè)MAC地址接入過(guò)多臺(tái)路由器，比如58:44:98:B0:29:5D曾經(jīng)接入過(guò)SSID為“蘇寧易購(gòu)許鎮(zhèn)店1”和“TH_XSSS_5G”兩個(gè)路由器。

表2 主動(dòng)探針中包含的SSID信息

2.2 數(shù)據(jù)庫(kù)設(shè)計(jì)

采集端的數(shù)據(jù)傳輸?shù)胶笈_(tái)服務(wù)器上，需要將數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中，對(duì)于區(qū)域小、數(shù)據(jù)量少的WIFI數(shù)據(jù)可以使用MySQL，如果數(shù)據(jù)量大，可以使用Oracle和SQL Server。在數(shù)據(jù)庫(kù)中設(shè)計(jì)的主要表有4個(gè)，其中MAC信息表、SSID信息表和終端采集信息表為靜態(tài)表，存儲(chǔ)基礎(chǔ)信息；采集信息表為動(dòng)態(tài)表，存儲(chǔ)采集信息。表格設(shè)計(jì)如表3所示。

表3 MAC信息表

MAC信息表中MACID是主鍵，為每個(gè)不同的MAC地址提供唯一標(biāo)識(shí)，MAC字段為MAC地址信息，MACMAN是MAC地址對(duì)應(yīng)的廠商信息。

表4 SSID信息表

如表4所示的SSID信息表中，SSIDID是主鍵，為采集到的每個(gè)SSID提供唯一標(biāo)識(shí)，SSIDNAME字段為路由器的SSID名字，可以重復(fù)，GPSLAT和GPSLNG分別為對(duì)應(yīng)SSID的經(jīng)緯度。

表5 采集終端信息表

表5所示的采集終端信息表，記錄了所有采集終端的基本信息，CJNAME字段為采集終端的名字，GPSLAT和GPSLNG分別為采集終端的經(jīng)緯度。

表6 采集信息表

表6所示的采集信息表，動(dòng)態(tài)記錄了所有采集終端采集的MAC地址信息，分別與MAC信息表和采集終端表的CJID和MACID外鍵關(guān)聯(lián)，TIME為采集終端第一次采集到該MAC的時(shí)間。

3 預(yù)警系統(tǒng)應(yīng)用

3.1 大人流預(yù)警

2014年12月31日23時(shí)35分，很多游客市民聚集在上海外灘迎接新年，上海市黃浦區(qū)外灘陳毅廣場(chǎng)東南角通往黃浦江觀景平臺(tái)的人行通道階梯處有人跌倒，繼而引發(fā)多人摔倒、疊壓，致使擁擠踩踏事件發(fā)生，造成36人死亡，49人受傷。通過(guò)本文設(shè)計(jì)的預(yù)警系統(tǒng)，可以統(tǒng)計(jì)平時(shí)每個(gè)終端采集器附近手機(jī)終端數(shù)量的均值，同時(shí)可以統(tǒng)計(jì)多個(gè)終端采集器所代表的某個(gè)區(qū)域的手機(jī)終端數(shù)量的均值。

在系統(tǒng)中，對(duì)人員聚集區(qū)設(shè)置閾值M，當(dāng)該區(qū)域中的所有采集器的采集終端數(shù)量大于M時(shí)，立即向當(dāng)?shù)嘏沙鏊A(yù)警，需增派警力維持秩序，預(yù)防踩踏事件。

如圖7所示，某區(qū)域由3個(gè)終端采集器覆蓋，S1，S2，S3采集的人數(shù)分別為N1，N2，N3，閾值為M，那么預(yù)警條件為：

圖7 大人流數(shù)據(jù)統(tǒng)計(jì)圖

因?yàn)槊總€(gè)采集器的覆蓋范圍有重疊，所以在計(jì)算區(qū)域人數(shù)的時(shí)候取各個(gè)采集器的并集。

3.2 案件預(yù)警

通過(guò)該預(yù)警系統(tǒng)可以預(yù)測(cè)同一作案人，某類案件的發(fā)生。假設(shè)某商場(chǎng)發(fā)生偷竊案件，該商場(chǎng)在終端采集器S1的覆蓋范圍，根據(jù)偷盜時(shí)間，可以獲得在該時(shí)間段內(nèi)出現(xiàn)的MAC地址集合為

US1={M1,M2,……,Mn}

其中Mn代表不同手機(jī)的MAC地址。

同類盜竊案件發(fā)生分別發(fā)生在S2，S3的覆蓋范圍，其對(duì)應(yīng)的MAC地址集合分別為

US2={M1,M2,……,Mn}
US3={M1,M2,……,Mn}

計(jì)算

KM=US1∩US2∩US3={Mi,Mj,…,Mk}

KM集合中的MAC地址代表這些MAC地址對(duì)應(yīng)的手機(jī)在多個(gè)盜竊案發(fā)生地均出現(xiàn)過(guò)，因此這些MAC地址手機(jī)的用戶為重點(diǎn)嫌疑對(duì)象。如圖8所示，3個(gè)偷竊案件所在采集終端范圍的交集是重點(diǎn)嫌疑對(duì)象，即圖8中深色的點(diǎn)。

圖8 案件發(fā)生地?cái)?shù)據(jù)統(tǒng)計(jì)圖

當(dāng)該MAC再出現(xiàn)在某個(gè)采集終端區(qū)域內(nèi)時(shí)，系統(tǒng)給出預(yù)警，民警應(yīng)根據(jù)預(yù)測(cè)范圍重點(diǎn)防范可能出現(xiàn)的盜竊案件。

3.3 軌跡分析

通過(guò)預(yù)警系統(tǒng)，可以對(duì)某個(gè)手機(jī)接入過(guò)的SSID進(jìn)行統(tǒng)計(jì)分析，并結(jié)合War Driving技術(shù)來(lái)確定該手機(jī)的軌跡。在實(shí)驗(yàn)過(guò)程中，我們先在手機(jī)安裝War Driving APP在校園內(nèi)行走，獲取所有開放WIFI的SSID和它們的GPS信息，采集的SSID和GPS信息可以在Google Earth上直接導(dǎo)入。

對(duì)于指定的MAC地址，進(jìn)入某個(gè)采集終端的范圍后，可以獲得該手機(jī)曾經(jīng)接入過(guò)的SSID信息集合，通過(guò)該集合，結(jié)合之前的War Driving信息，就可以在地圖上標(biāo)注該手機(jī)經(jīng)常的活動(dòng)軌跡，如圖9所示。

圖9 校園內(nèi)WIFI軌跡圖

除此之外，通過(guò)預(yù)警系統(tǒng)，可以以采集終端的GPS信息作為參照點(diǎn)，以某個(gè)手機(jī)進(jìn)入采集終端的時(shí)間為時(shí)間序列，進(jìn)而標(biāo)注特定手機(jī)的行為軌跡。這對(duì)于刑事案件在某一區(qū)域抓捕嫌疑人，以及鎖定犯罪嫌疑人的逃跑路線、逃跑范圍有重要意義。

4 結(jié)語(yǔ)

通過(guò)對(duì)802.11協(xié)議族的分析，發(fā)現(xiàn)在建立連接初期，移動(dòng)終端會(huì)暴露一些隱私信息，比如MAC地址和曾經(jīng)接入過(guò)的SSID名稱。在本文中提出了一種分布式的采集系統(tǒng)，可以將部署在各區(qū)域的采集終端采集的數(shù)據(jù)最終匯總到中心數(shù)據(jù)庫(kù)服務(wù)器上。對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行分析，并通過(guò)預(yù)警算法對(duì)不同類型的事件給出預(yù)警。此外，還提出了分布式預(yù)警系統(tǒng)的3種應(yīng)用場(chǎng)景：大人流預(yù)警、案件預(yù)警和軌跡分析。在下一步的工作過(guò)程中，將對(duì)互聯(lián)網(wǎng)的公共數(shù)據(jù)和公安的特定案件數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，研究預(yù)警模型，對(duì)社會(huì)上的潛在犯罪行為進(jìn)行預(yù)測(cè)。

[1] RAVENEAU P，STANICA R，F(xiàn)IORE M，et al. Urban-scale cellular offloading through Wi-Fi access points：A measurement-based case study[C]∥Research and Technologies for Society and Industry Leveraging a better tomorrow (RTSI)，2015 IEEE 1st International Forum on. IEEE， 2015：132-137.

[2] CUNCHE M，KAAFAR M A，BORELI R. Linking wireless devices using information contained in Wi-Fi probe requests[J]. Pervasive & Mobile Computing，2014，11(4)：56-69.

[3] MUSA A B M，ERIKSSON J. Tracking unmodified smartphones using wi-fi monitors[C]∥ACM Conference on Embedded Network Sensor Systems. 2012：281-294.

[4] CUNCHE M. I know your MAC Address: Targeted tracking of individual using Wi-Fi[J]. Journal of Computer Virology and Hacking Techniques，2014，10(4)：219-227.

(責(zé)任編輯 于瑞華)

高 見(1982—)， 男， 山東菏澤人， 博士， 講師。 主要研究方向?yàn)榫W(wǎng)絡(luò)安全、僵尸網(wǎng)絡(luò)。

D035.39