Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

DeWiCam: Detecting Hidden Wireless Cameras via Smartphones

作者:Yushi Cheng, Xiaoyu Ji, Tianyang Lu, Wenyuan Xu

单位:Ubiquitous System Security Lab (USSLAB), Zhejiang University, Alibaba-Zhejiang University Joint Institute of Frontier Technologies

会议:ASIA CCS’18

链接:https://dl.acm.org/citation.cfm?id=3196509


无线摄像机广泛应用于监控系统中,用于安全防护。然而,与未经授权的录像有关的隐私问题最近引起了越来越多的关注。用于未授权无线摄像机的现有检测方法要么受到检测精度的限制,要么受到专用设备的限制。在本文中,作者们提出了DeWiCam,一种使用智能手机的轻量级和有效的检测机制。 DeWiCam的基本思想是利用来自无线摄像头的固有流量特征。与传统的流量模式分析相比,DeWiCam更具挑战性,因为它无法访问数据包中的加密信息。然而,DeWiCam克服了这个难题,可以可靠地检测附近的无线摄像头。为了进一步确定相机是否在感兴趣的房间,作者们还提出了一种人工辅助识别模型。其可以在Android平台上实施DeWiCam,并通过对20台摄像机的大量实验对其进行评估。评估结果表明,DeWiCam可以在2.7秒内检测到相机,精度在99%左右。

1. Introduction

目前无线的监控设备由于其不需要布线,已经在许多电子市场上得到了广泛的推荐。但是其带来的隐私问题近年来也在不断被人们所提及,尤其是在诸如Airbnb等出租房屋当中,因此如何检测、发现周围环境中可能存在的无线摄像头的重要性也逐步增加。作者们首先在Apple Store和Google Play中发现了一些声称可以检测相机的应用。但是,经过评估,他们发现其无法可靠地工作。这些应用程序声称使用以下方法之一:

  • 基于光反射的方法,检测来自相机镜头的微小反射的迹象

  • 基于电磁场(Electromagnetic Interface,EMI)的方法,识别来自工作中相机的电磁泄漏。

    两种方法都假设用户知道相机的大致位置,但情况并非总是如此。此外,其还发现了一种专用设备(称为无线摄像头射频探测器),声称通过检查2.4 GHz或5 GHz的射频信号来探测隐藏的摄像头,但它也不可靠。

本文主要的贡献如下:

  1. 通过分析PHY / MAC层标头的流量特性,提出了一种使用智能手机的可靠轻便的无线摄像头检测方法。
  2. 研究了来自非相机的相机流的独特性,并设计了一种有效的检测方案,可以可靠,快速地检测室内相机的确切数量和存在。
  3. 在Android上实施DeWiCam,并在美国和中国市场的20个流行无线摄像头上验证它,在跨度30天的2个地点上分别收集了11000条用来评估数据流trace。结果表明,DeWiCam检测精度达到99%以上,检测时间为2.7 s。

2. Background

那么作者接下来就从软件和硬件两个层面阐述了无线摄像机的几个原则:

无线监视的结构

无线摄像机提供实时视频监控,并设计为通过无人网络流式传输视频,无线网络可在2.4 GHz、4.9 GHz等频段上运行。市面上存在两种流行的无线摄像头类型:(1)消费市场中的数字无线摄像头,用作监视家庭或企业的低成本解决方案,视频通常通过Wi-Fi网络传输; (2)用于公共安全或执法机构的无线视频监控摄像机(例如闭路电视摄像机),视频通常通过政府无线网络传输。在本文中作者们主要关注第一种类型。

无线摄像头通过内置的图像和音频传感器监控家庭或办公室,并生成连续的视频和音频流。通常,摄像机处理视频/音频流,然后通过无线局域网(WLAN)将它们上传到云服务器,允许实时或后续进行远程监控。因此,无论用户是否正在观看视频和音频,都始终上传视频和音频。现有的无线摄像机通常支持各种功能,例如通过扬声器发出声音或者一旦检测到视场内的运动就发送通知。此外,这些摄像机允许用户通过用户友好的界面进行设置,例如,配置视频的分辨率,打开或关闭音频通道等。不过,用户通常使用默认设置,最多配置摄像头安装期间一次。

无线摄像机的几个特征

硬件设备

IP摄像机利用集成和标准设计理念。无线摄像头的硬件模块如图2所示。传感器捕获并数字化图像场景以生成原始视频帧。然后将原始帧馈送到多媒体SoC(片上系统),其包含MCU和三个附加子模块:(1)图像信号处理(ISP)子模块执行诸如噪声滤波的功能。 (2)编解码器子模块压缩视频/音频帧以减小帧大小。 (3)网络协议子模块通过流协议(如RTSP(实时流协议))传输多媒体流。受欢迎的SoC制造商包括HiSilicon,Ambarella和TI,其中HiSilicon SoC由于其低成本而成为无线IP摄像机中使用最广泛的产品之一。

image-20190121134952111

本质上,无线摄像机的流量模式依赖于SoC芯片和相机制造商,因为后者可以配置SoC芯片的固件以定制附加功能。然而,由于SoC芯片的选择以及无线摄像机的主流制造商的限制,各种无线摄像机的操作流程上大体相同,并导致类似的流量模式。

image-20190121135054203

流量上的压缩和碎片化处理

由ISP子模块处理的多媒体帧在传输之前被压缩和分段,如图3所示,这导致无线摄像机流的独特流量模式,并揭示了DeWiCam的可行性。由于压缩和分段都是由多媒体SoC根据标准执行的,因此,无线摄像机应具有类似的流量模式。

压缩

在SoC中使用标准压缩协议,例如用于视频流的H.264协议和用于音频流的AAC协议。 H.264标准利用连续帧之间的冗余并输出一系列帧内编码帧(I帧),预测帧(P帧)和双向预测帧(B帧),这三种帧由于其功能的不同,在流量上存在一定的区分特征。类似地压缩音频流,在音频样本上使用编码协议(例如,AAC)以去除冗余。音频流和视频流之间的明显区别在于,与视频流相比,音频流占用的带宽要低得多。因此,音频流通常很轻,并产生大量小尺寸的离散流量,如图3所示。

分段

在被压缩之后,视频和音频流帧将通过流传输协议,例如应用层中的RTSP协议。由于链路层中的每个网络接口只能传输大小小于其最大传输单元(MTU)的分组,所以当帧大于MTU时,必须对其进行分段。因此,大帧被分成一系列包。

对于视频流,由于I帧通常是三种类型中最大的帧,因此I帧的分组数量通常也是最大的。将帧中的数据包数量表示为n,然后前n – 1个数据包是全尺寸数据包(即MTU的大小),最后一个数据包通常小于MTU大小,我们称之为小尺寸包。 P帧也是分段的,而它们的全尺寸数据包数量比I帧少。对于B帧,它们通常是最小的,并且每个B帧可以封装成一个尺寸小于MTU的分组。类似地,音频帧也是小尺寸分组。

流量特征总结

视频/音频流上的压缩和分段对无线摄像机的流量模式具有根本性影响。 传递到网卡时,视频/音频帧被打包成一系列数据包,包括全尺寸数据包和小尺寸数据包,如下所示:

  • I帧被分为一组全尺寸数据包,后跟一个小尺寸数据包。
  • P帧被分成一小组全尺寸数据包,后跟一个小尺寸数据包。
  • 大多数B帧和音频帧都是小型数据包。

结果,视频和音频流一起生成一系列全尺寸分组,其间具有小尺寸分组。 这种模式应该是无线摄像机识别的潜在解决方案。那么DewiCam的工作原理如下:由于无线摄像机首先压缩视频/音频帧。 然后将每个帧分段为一系列分组以适合MTU大小。 然后将分段的视频和音频数据包组合起来进行传输。 最终流量是一系列大数据包中间交织着一些小包,我们将其定义为包长度分布(PLD)模式。 结合“持续时间”,“带宽稳定性”和“PLD稳定性”功能,DeWiCam可以检测无线摄像头。

3. Threat Model & Problem Overview

攻击模型

我们假设攻击者可以完全控制摄像机,其周围环境和位置。为了实时监控感兴趣的目标,攻击者倾向于在相对较长的时间段内保持摄像机开启。为实现监控目标,攻击者应具备以下功能: 隐藏相机攻击者可以将摄像机隐藏在房间的任何地方,但是有意监视大面积区域。 部署多个摄像头为了覆盖范围,攻击者可以安装任意数量的无线摄像头,并选择其品牌。 完全控制网络攻击者可以完全控制网络,并可以使用各种协议来增强它,例如WPA / WPA2-PSK。攻击者还可以通过禁用其SSID(服务集标识符)的广播来使接入点变为私有。 对相机的控制有限我们假设我们的攻击者是正常的Airbnb主机。他们可以根据需要更改摄像头配置,但无法修改无线摄像头的底层固件。

对DeWiCam的要求

无法访问TCP / IP头。即使没有加入网络,DeWiCam也应该有效,因为使用者可能无法访问网络。即使使用Wi-Fi密码,WPA / WPA2-PSK也会利用每个客户端,从Wi-Fi密码派生的每会话密钥以及客户端加入网络时交换的信息[19]。因此,难以解密网络消息,因为使用者不能总是捕获所有四个握手包的相机以导出密钥。这一严格要求使得DeWiCam比现有工作更具挑战性:现有流量分类可以获得TCP / IP报头,而DeWiCam最多可以访问PHY / MAC层报头。 可用性。 DeWiCam应该在短时间内检测到无线摄像机的存在,具有低误报率(FPR)和低假阴性率(FNR)。此外,可以在家中部署多个无线摄像头,DeWiCam应能够找到所有无线摄像头。而且,DeWiCam应该告诉受害者检测到的摄像头是否在房间内。 轻巧。我们设想在智能手机等无处不在的智能设备上实施DeWiCam作为应用程序。考虑到智能手机上的资源有限,DeWiCam在CPU计算和内存使用方面必须是轻量级的。

问题描述

DeWiCam通过检查无线流量来检测无线摄像头。 鉴于只有PHY / MAC报头信息可用,DeWiCam根据设备的MAC地址进行数据流的对象分组。

image-20190121144002880

因此,识别无线摄像头等同于确定是否存在无线摄像头流。 如图4所示,DeWiCam窃听发往或来自所有附近AP的分组,并通过识别摄像机流来确定无线摄像机的存在。 请注意,无线摄像头仅包含一个上行链路流,而非摄像头设备可能具有多个并发上行链路流,我们将其称为混合流。 DeWiCam的关键是区分相机流量与任何其他流量,包括混合流量。

4. Characterize Camera Traffic Patterns

那么接下来就说如何仅通过MAC层信息来获得相机的流量模式和设计特性

可用的帧头部信息

帧头包括物理层整合处理(PLCP)头和MAC头,PLCP头包含MAC帧的长度。 MAC头包含帧控制(FC),持续时间和三个地址字段[8]。 对于上行链路分组,AP的MAC地址,源MAC地址,目的地MAC地址这些有限的信息是捕获相机检测的相机流的固有流量模式的唯一基础。

相关应用分析论证

作者列举了三类APP来论证在无线视频传输时其是否确实遵守了相应的数据流特征

  1. 实时流媒体应用程序。 它们专为电话会议或娱乐(例如,Skype音频/视频电话,FaceTime,视频游戏)而设计。 这些应用程序通常由一些音频和视频流组成,每个音频和视频流都是从参与者发起 每个音频和视频流可以使用与无线摄像机之一相同的压缩标准,但是通常以低得多的分辨率来满足实时要求,因为因特网不能保证最小带宽。 由于实时要求,数据包通常在它们可用时立即传输,从而产生一系列具有少量全尺寸数据包的小型数据包。
  2. 文件共享应用程序 他们可以利用客户端 – 服务器架构为用户从Web服务器获取文件或将本地文件上载到云存储服务器。 或者,他们可以利用对等架构在用户之间交换文件。 典型应用包括uTorrent,YouTube和互联网冲浪。 由于文件共享没有严格的时序要求,因此大多数数据包都是全尺寸的,以减少小数据包造成的开销。 有时,小尺寸文件或与控制相关的消息会导致小尺寸数据包。
  3. 基于云的物联网(IoT)应用程序。 物联网应用的流量是多种多样的。 他们的一些通信用于命令上载或设备状态报告,例如智能锁。 有些人可能需要交换大量不适合一个数据包的数据,例如,Amazon Echo可能会将音频剪辑上传到服务器。 因此,在各种IoT应用之间,全尺寸分组和小尺寸分组的百分比可能变化很大。

除了数据包大小分布的差异外,大多数应用程序的上传和下载链接消耗了不对称的带宽量,少数应用程序可能会出现对称的(例如,Skype呼叫)。 鉴于上传链路上的摄像头流量通常很大,下载链路上的流量应当很少,检查上传和下载链接的带宽可以帮助快速消除明显的非摄像头流量。 然而,诸如云文件共享和与一方关闭其相机的Skype呼叫之类的应用可能表现出类似的带宽特性,因此仅靠带宽本身来判断是不够的。

那么最终作者观察到相机流有四个特征:

  1. 由于视频/音频压缩和分段,流程包括全尺寸数据包和小尺寸数据包。
  2. 由于摄像机通常安装在较长时间内监视室内环境较少的移动物体,因此摄像机流量具有相对稳定的流量和稳定的数据包大小模式。特别地,连续I帧之间的P帧和B帧的数量或多或少相同,并且分组大小的序列在自相似性方面应表现出独特的模式。
  3. 无线摄像头始终不断工作。除非关闭,否则无线摄像头会产生大量网络流量。虽然由于网络拥塞和其他网络流量的影响,流量可能会波动,但流量随着时间的推移会相对稳定。
  4. 相机的Wi-Fi模块不同于其他平台,例如智能手机,PC,平板电脑等。相机利用SoC上的内置Wi-Fi模块,而由于其平台可能使用专用的Wi- Fi模块。因此,它们可能在MAC头中产生不同的信息。

基于这些观察,作者们设想特征应该包括由压缩和碎片化处理而引起的瞬态特性,由单个流应用程序产生的稳定性以及由SoC芯片在相机中所带来的硬件相关的特征。

对四个特征的进一步挖掘

那么得到四个特征之后,作者进一步用实验挖掘这四类特征所带来的流量特征影响

环境布置:为了探索,作者在实验室中运行无线摄像头,使用USB 无线网卡捕获数据包,并在笔记本电脑上使用Wireshark分析流量模式。 除了相机流量,其还收集以下四类流量:(1)实时流媒体应用:FaceTime,Skype视频/音频通话,微信视频/音频通话,QQ视频/音频通话和视频游戏,(2) 文件共享应用程序:百度云(云存储服务),uTorrent,YouTube,Flipboard,亚马逊,Facebook,Instagram和微博,(3)基于云的物联网应用:智能电视(海信),亚马逊Alexa Echo, 空气质量监测器(Awair Glow),智能灯泡(TP-LINK)和(4)混合流量。

image-20190121155134348

(CDF:cumulative distribution function累计分布函数)

瞬态PLD特性:为了便于计算,第一个特征是在短时间内的分组长度分布(PLD),并且设想它可以区分摄像机流与大多数其他类型的流,但不是所有流量流,例如,非相机设备可以由各种应用程序的组合组成,这些应用程序组合模仿相机流程。为了使绘图可读,我们绘制了相机流的PLD和每个类别中的一些应用程序,如图6所示。我们观察到相机流程表现出类似的模式,即使它们具有不同的品牌。而对于非相机流,大多数PLD曲线变化很大,并且与相机流不同。更具体地说,相机流具有大部分全尺寸分组(1024字节)。中等大小的数据包(介于500到1023字节之间)仅占很小的比例,并且小型数据包(小于500字节)的数量急剧增加。这是因为对于相机流,音频流和视频流的B帧对小尺寸分组有贡献。粗略地说,相机流的PLD模式就像一个“阶梯”,而非相机流程则显示出各种不同的模式。其他应用的PLD都与相机流的PLD表现不同,但混合流(图6(b)中的流程9)显示了与相机流相似的PLD。这证实了之前的分析。

那么为了将相机的数据流从混合流中提取出来,作者还设计了两个用是否稳定来进行区分的特性:带宽稳定性(一段时间内(即带宽)来自无线摄像机的数据包的总字节数及其偏差,相机有较小的偏差)和PLD稳定性(随时间增加的PLD变化幅度,相机的变化幅度也很小)。

为了识别与硬件相关的功能,我们分析帧头中的每个字段,并发现无线数据包的持续时间取决于硬件,而不是根据802.11规范中规定的包长度。 因此,它可以用于反映硬件平台,即相机,智能手机或PC。 各种平台之间的比较如图8所示。尽管相机流量的持续时间值因相机品牌而异,但与非相机流量相比,绝对值都很大。 就同一设备上不同应用程序的流量而言,我们发现持续时间值与应用程序无关。 更重要的是,相机流量的偏差明显大于非相机流量的偏差,我们认为这是因为相机应用程序表现出连续的数据包流,而有些则不然。

image-20190122103335642

总的来说,DeWiCam根据如下特性进行相机的发现和判断:

  • 瞬态PLD功能,揭示了应用类型的独特性。
  • 硬件相关功能,它利用持续时间字段并与硬件平台相关,即相机,智能手机或PC。
  • 带宽稳定性功能,指示随时间变化的流量特性。
  • PLD稳定性功能,反映了应用程序随时间的运行特性。

前两个特征可以区分大多数类型的非相机流与相机流,即所有非相机流具有单个应用程序,而大部分非相机流程来自多个应用程序。 混合流可能恰好表现出相同的PLD和持续时间特征,但不太可能稳定地表现出类似的交通模式。 因此,作者们可以提取稳定性特征以消除混合流。

5. Design of DeWiCam

DeWiCam由四个步骤组成:流量构建,特征提取,摄像机检测和摄像机定位,如图9所示。首先,DeWiCam通过无线信道捕获一段时间的网络流量。 DeWiCam删除冗余数据,提取用于特征提取的PHY / MAC头信息(例如,帧长度)并丢弃MAC帧有效负载以提高处理效率。 然后,DeWiCam将收集的流量数据分组以进行进一步分析,并删除绝对非流量的流量。 在特征提取步骤中,DeWiCam为每个流提取重要特征,例如数据包长度,持续时间,带宽和稳定性,并将具有特征的流提供给摄像机检测分类器。 检测模块通过检查流特征来判断无线摄像机流的存在,并且最终定位测试确定摄像机是否在感兴趣的房间中。

image-20190121160958044

流量构建

DeWiCam的第一步是从数据包跟踪构建与每个设备关联的流。 流程构建模块主要包含两个阶段:数据收集(DeWiCam通过无线方式捕获数据包,过滤丢弃不太可能来自摄像机的数据包。)和流分组(根据其MAC地址对P中的数据包进行分组,并将具有相同源和目标MAC地址的数据包放到同一组中,表示为Fi) 应该收集多少数据?较大数量的数据包可以以较长延迟为代价提高检测准确度,而较少数据包产生较快的响应,但代价是可靠性较低。为了取得平衡,DeWiCam凭经验选择所需数量的数据包,例如300个数据包。还值得一提的是,无线网络经常遭受数据包丢失,但是不能捕获所有数据包。我们在分析检测精度方面的实验表明,只需300个数据包即可识别出相机流量,在各种网络中最多需要几秒钟,包括低带宽或严重争用的网络。

特征提取

在将数据包分组为流后,DeWiCam会提取流量数据中的瞬态􏰀PLD特性l,硬件相关特性d,带宽稳定性b和的PLD稳定性功能s。􏰀􏰀􏰀对于每个流,其构建了一个四维向量,V = {l,d,b,s}并构造特征向量集如下所示: 瞬态PLD功能l。 DeWiCam记录属于相同流的分组的长度,并使用累积分布函数(CDF)在少量分组(例如,50个分组)上计算PLD特征l􏰀。 与硬件相关的功能d。 DeWiCam计算硬件相关特征d作为属于同一流的分组的持续时间字段的标准偏差。 带宽稳定性b。 DeWiCam计算带宽稳定性特征b作为每个流的瞬时带宽的标准偏差。 PLD稳定性s。 DeWiCam在PLD标准上提取出其稳定性计算值。

相机检测

DeWiCam利用监督学习来检测具有提取的特征向量V = {l,d,b,s}的无线相机流。为了在单个分类算法上实现高分类精度和鲁棒性,其采用集合分类方法为ExtraTrees。 ExtraTrees在数据集的各个子样本上拟合了许多随机决策树,并使用平均来提高预测精度并避免过度拟合。

训练。在训练过程中,来自每个摄像机的x条轨迹(每个包含300个包)被用作正样本,并且还有来自非相机应用的x条轨迹以及混合流用作负样本以训练分类器。

测试。为了检测摄像机,DeWiCam通过空中收集多个数据包(300个数据包)并提取特征向量集V = {V􏰀1,V􏰀2,V􏰀3…V􏰀n}。然后,DeWiCam将其提供给分类器并输出检测到的摄像机的MAC地址(如果有的话)。

多相机检测。 DeWiCam可以检测多个摄像头。原则上,多个摄像机的检测与检测一个摄像机相同。 DeWiCam输出检测到的摄像机的确切数量。作者在实验中提供最多三台摄像机在同一时间和位置运行的检测结果。

相机定位

DeWiCam不仅应该识别附近的无线摄像头,还要确定是否至少有一个在房间内。

为了解决这个问题,我们要求用户执行一项简单的任务,如果摄像机在房间内,摄像机流程可能会相应改变。原因是如果摄像机在房间内并拍摄受害者,则摄像机流的视频内容可能随着人为干预而改变。具体地,如果用户有意地在相机可能位于的位置前方移动,则相机可以捕获额外的运动,这增加了I,P,B帧尺寸,从而增加了相机流量比特率。

DeWiCam要求用户移动,例如走动房间进行人为干预。如果无线摄像头直接对用户进行视频录制,则当用户开始移动时,比特率应显示显着上升,而当用户停止时,比特率应显示下降。然而,由于网络环境的动态,即使没有人为干预,相机流的比特率也可能波动。为了区分这种情况,DeWiCam利用智能手机上的加速度计自动提取干预时间窗口。通过让用户移动和停止几次,DeWiCam将相应地观察比特率的上升和下降。图10中示出了图示,其中用户在15秒至30秒的时段内移动。来自智能手机的加速度计读数表明相机的比特率对应于用户移动作出反应。因此,DeWiCam可以确认这是来自室内无线摄像头的流量。值得一提的是,在我们的情况下,相机比特率在人移动后有大约1秒钟的变化延迟,因为相机必须处理传感数据并将其传递到网络接口卡。

image-20190122110820035

6. 性能评估

本节将评估DeWiCam的性能。 主要关注(1)无线摄像机的检测精度,以及(2)检测到的摄像机的定位(室内或室外)推理精度。 我们通过在智能手机上实时运行DeWiCam应用程序,对来自上述20台摄像机的各种设置和在线检测的收集数据轨迹进行离线评估。以下为使用的20台相机:

image-20190121193435379

实验设置

我们在公寓和实验室中测试DeWiCam,其中包括20个具有各种设置和网络条件的摄像机。详细设置如下。

家庭情景。在公寓里,我们在三个房间放置了三个摄像头。我们将相机隐藏在家具内,例如衣柜或床头柜,它们模仿攻击者可能放置它们的位置。连接摄像机的AP的带宽为6 Mbps,还有3个其他连接设备。此外,还发现了6个相邻的AP和19个连接互联网的设备。平均下行链路带宽利用率约为42%。 实验室场景。对于实验室场景,13个AP和28个设备在DeWiCam的检测范围内。连接摄像机的AP的带宽为12 Mbps,还有8个其他连接设备。平均带宽利用率为74%(下行链路),我们认为实验室场景中的网络负载很重。 相机品牌。使用市场上来自美国和中国的12个典型品牌的20个相机。 运营平台。我们在Android平台上使用LG Nexus 5和PC平台实现DeWiCam,配备联想ThinkPad T440p和USB无线适配器TL-WN722N。考虑到空间限制,我们仅在本文中展示了基于Android的DeWiCam的性能。尽管如此,基于PC的DeWiCam甚至可以实现稍微好一点的性能。 相机和AP号码。我们用不同数量的摄像机和AP测试DeWiCam。我们的设置包括单摄像机多AP和多摄像机多AP。 数据集。我们在不同的条件下收集20台摄像机的trace(每个trace含300个数据包),如表格所示。所有摄像机在30天内收集数据trace。数据集的总大小为11000条轨迹,其中9000条是相机轨迹,而其余的2000条是没有相机的轨迹。

实验评估

侦测准确率:我们计算DeWiCam的真阳性率和真阴性率。 我们针对每个收集的迹线运行DeWiCam,并通过计算痕量总数的真实阳性和真阴性来量化准确度。$TPR=\frac{TP}{TP+FN}, TNR=\frac{TN}{TN+FP}​$(true/false positive/negative)

侦测时间:自DeWiCam初始化至检测到摄像机的时间

摄像机检测的表现

培训数据集的影响。为了评估训练数据的适当大小,我们使用每个摄像机的每个设置以及非摄像机应用程序对系统进行x条提取出的数据集进行训练,并使用其余的数据进行测试。 x分别设置为5,10,15和20,整体TPR和TNR绘制在图11中。从结果中,我们可以发现即使只有5条训练数据trace,总体TPR和TNR也高于98.9%。随着训练数据量的增加,TPR和TNR都略有提高。鉴于培训规模为10,DeWiCam能够实现99.7%和99.0%的整体TPR和TNR。为了在可用性和准确性之间取得平衡,我们选择了10条训练数据集,并在评估的其余部分使用10条数据集。

image-20190121185845588

单个摄像头的检测精度。我们评估DeWiCam在家庭场景中的检测性能,其中DeWiCam在附近检测到7个AP,包括无线摄像头(在A点部署)连接的AP。我们还测试DeWiCam,当时根本没有摄像头,但应用程序在后台运行以进行比较。背景应用包括Skype,WeChat,优酷等。我们在图12(a)中显示每个摄像机的TPR和TNR以及无摄像机的情况。从图中,我们得出以下结论。首先,所有20台摄像机的TPR均高于97.3%,平均为99.7%。具体来说,Camera 2(Dahua LeChange TC5)的检测精度最差,为97.3%。我们检查它的痕迹,发现它的图案不像其他相机那么稳定。我们怀疑,由于Camera 2支持自适应比特率,因此流量模式会随时间而变化。来自同一制造商的相机3也显示出相同的问题。此外,Camera 15(Nest Cam Indoor)的TPR为99.2%。原因是它需要高带宽,而我们的测试场景中的带宽有时无法满足。结果,Nest在测试期间多次断开连接。其次,20台摄像机的平均TNR达到99.0%。甚至对于非相机的TNR也大于98.6%。这些误报主要来自混淆的混合流,而混淆流又恰好在试验期间稳定。

image-20190121190626790

多相机检测精度。 DeWiCam可以支持多摄像头检测,即使这种情况不经常发生。我们用三个随机选择的摄像机对此进行评估:摄像机1,摄像机5和摄像机19部署在图16中的点A,B和C中,连接到家庭场景中的相同AP。结果显示在表格中。 3.当有两台摄像机时,检测所有两台摄像机的可能性为97.8%,检测其中任何一台摄像机的可能性为99.9%。对于三相机的情况,所有三个相机的检测率为75.9%,检测三个相机中的两个相机为99.9%。我们发现相机19(海尔HC6700)最有可能错过双摄像头和三摄像头的检测。原因在于在三摄像机场景中,网络饱和,即来自三个摄像机和其他应用的流量充分利用带宽,这导致严重的争用和分组丢失。通过跟踪分析,我们发现由于争用,海尔的比特率较低并且波动比其他两个相机更多,这反过来可能影响带宽特征,因此有时会绕过检测。尽管如此,DeWiCam仍然能够以75.9%的可能性检测到海尔相机。

image-20190121190057018

检测新相机。为了评估检测不属于训练的外来摄像机的能力,我们使用19台摄像机训练DeWiCam并在家庭场景中使用所有20台摄像机进行测试,每台摄像机依次用作外来摄像机(也就是说,留下一台摄像机)出交叉验证)。在图12(b)中绘制了用于检测19个训练过的摄像机以及外来摄像机的整体TPR和TNR性能。形成结果,我们可以观察到即使使用外来相机,DeWiCam也能够达到99.6%和98.9%的平均TPR和TNR,与无外来相机的情况相比没有差异(TPR和TNR分别为99.7%和99.7%)。此外,外来相机的选择对DeWiCam的性能几乎没有影响,因为与不同外来相机的整体性能没有显着差异。

image-20190121190639412

其他网络流量的影响。为了研究其他网络流量如何影响DeWiCam的性能,我们还在网络拥挤的实验室场景中使用/不使用摄像头(摄像机1-20)进行实验,即13个AP和28个设备位于检测范围DeWiCam。图13(a)所示的结果表明,即使在拥挤的实验室网络中,DeWiCam仍然可以达到平均98.1%的TPR和99.2%的TNR,并且与家庭情景相比没有显着降低。原因是DeWiCam独立地检查每个上行链路网络流的模式。其他流量可能会在检测时间方面对摄像机流产生影响,因为需要最少数量的数据包,并且在拥挤的网络中收集它们需要额外的时间。但是,它们不会大大降低检测精度。

跨环境的性能。为了评估DeWiCam在各种环境中的性能,即在新环境中检测摄像机的能力,我们训练DeWiCam从家(实验室)中收集数据并使用从实验室(家)收集的数据进行测试。图13(b)所示的结果表明,即使在没有经过培训的新环境中,DeWiCam也表现出良好的性能,平均TPR和TNR分别为98.8%和97.4%。

image-20190121190857565

摄像机位置推断的表现

运动范围的要求。运动干预是推理过程的关键。因此,运动范围起着重要作用。我们首先评估运动范围的要求,并用三种常见的动作进行实验:挥手(挥手),走路(在房间里走动)和跳跃(跳跃上下)。运动范围及其强度逐渐增加。在实验中,运动持续时间设定为10秒,我们对每个运动重复10轮测试。结果如图14(a)所示。从结果中,我们发现推理精度随着运动范围的增长而增加。这与分析相符,相机捕获的运动变化越多,所得到的视频帧就越大。具体来说,挥动产生的准确度为60%,而跳跃则达到90%的最高值。但是,我们设想并非所有用户都能够或者愿意跳跃。为了在可用性和准确性之间取得平衡,我们选择步行作为推荐的动作,并通过要求用户在步行和停止之间多次交替来提高推理的准确性。

image-20190121185153433

运动持续时间的影响。影响准确性的另一个因素是运动持续时间。长持续时间能够减少由动态网络环境引起的比特率瞬态变化的影响,从而提高准确性。另一方面,持续时间短,提供快速响应。为了找出适当的运动持续时间,我们进行了四个时间段的实验:5秒,10秒,15秒和20秒。结果显示在图14(a)的底部。结果证实,持续时间越长,精度越高。具体来说,5秒的运动持续时间只能保证70%的准确度。随着持续时间的增加,精度提升到80%的10秒和100%的15和20秒。为了在准确度和响应延迟之间取得平衡,我们选择15秒作为DeWiCam的默认持续时间。

室内相机推理精度。我们使用建议的运动“行走”和默认持续时间15秒来评估三个摄像机的总体推理精度。三名志愿者参加了实验。基本运动段由静止周期(5秒),步行持续时间(15秒)和重新回到静止状态(5秒)组成。评估在房间1并重复30轮用于室内摄像机(部署在A点)测试以及室外摄像机(部署在B点)测试。 Tab 4中的结果显示DeWiCam可以识别室内摄像机,平均TPR为97.8%,而室外摄像机显示3.3%的false positive rate。它验证了人为干预确实会影响室内摄像机的模式,而对室外摄像机的影响却很小。误报主要是由网络环境动态引起的比特率波动引起的。

image-20190121191747557

检测速度

为了评估DeWiCam的实时检测性能,我们选择7台摄像机并在Nexus 5上运行应用程序,在家庭场景中检测7台摄像机中的每一台10轮。 结果显示,所有70个检测成功,7个摄像机的检测时间的CDF曲线如图15所示。从结果中,我们观察到平均检测时间为2.7秒,90%的检测在6.2秒内完成。 摄像机2,8,15,16实现快速检测速度,所有检测都在3秒内完成。 摄像机11花费的时间最长,平均时间为6.5秒。

image-20190121185120163

7. DeWiCam的一些缺陷

攻击者应对手段。关于DeWiCam的一个自然问题是“如果攻击者知道它是如何工作的话,可以轻易绕过DeWiCam吗?”。 DeWiCam建立在无线摄像头的固有流量模式之上。如果攻击者想要绕过DeWiCam的检测,他必须改变不同的特征,即每个分组的长度,持续时间字段和无线摄像机流的统计带宽。换句话说,攻击者必须修改编解码器(压缩)和网络协议。正如我们之前提到的,编解码器和网络协议已集成到SOC中,并且无法访问接口。即使攻击者能够重新编程SOC,编解码器和网络协议的变化也会导致解码问题。因此,绕过DeWiCam是一项挑战,特别是对于像Airbnb主机这样的普通用户。 手机需要root。智能手机上的DeWiCam需要生根电话,而PC上的DeWiCam则不需要。展望未来,如果Android / iOS可以开源无线驱动程序API,或者如果Google认识到DeWiCam的用处,他们可能会将DeWiCam集成到Android中,以便它可以自由地捕获数据包。 系统自身的一些限制。通过精心设计,DeWiCam大部分时间都能实现高性能。但是,DeWiCam具有以下限制。首先,DeWiCam主要适用于无线摄像头,如Wi-Fi摄像头。对于带有本地存储或有线摄像头的摄像机,DeWiCam不适用。然而,考虑到无线摄像机市场的蓬勃发展,我们相信DeWiCam可以应用于更多场景。 其次,DeWiCam是基于无线摄像头的一般原理设计的,即视频和音频流的压缩和分段。如果将来相机工作模式发生显着变化,DeWiCam可能无法正常工作,应该更新以相应地合并新的工作模式。