0x01 Absert

近些年監控攝像頭的數量激增，極大地改善了商店和房屋在內的許多關鍵安全屬性的物理安全性。但是，最近的監控攝像頭回放攻擊（surveillance camera looping attacks ）顯示出新的安全威脅，攻擊者可以在闖入或偷竊貴重物品的同時重播某地點看似正常的視頻而不會被抓住。不幸的是由於成本和實施約束，這種攻擊非常難以實時檢測。

在本文中，建議通過利用常見的Wi-Fi信號實時檢測這些攻擊。特別是利用來自Wi-Fi信號的信道狀態信息（CSI，channel state information）可以感知人類活動。 SurFi處理並關聯實時視頻源和Wi-Fi CSI信號，以檢測可能識別監視攝像機回放攻擊的任何失配。

本文提出的SurFi不需要部署其他基礎架構，因為在城市室內環境中很容易找到Wi-Fi收發器。設計和實施SurFi系統，並評估其在檢測監控攝像機循環攻擊中的有效性。

0x02 Threats To Cameras

監控攝像頭現在無處不在。世界上的大城市都嚴重依賴視頻監視來保護自己免受各種威脅。自然地，視頻監視系統成為有吸引力的攻擊目標。最近的攻擊通過對攝像頭髮起軟件攻擊或竊聽其以太網電纜來演示監控攝像頭回放攻擊。通過循環播放看似合法的視頻源，這種新的攻擊途徑可以潛在地使未經授權的人員進入安全敏感區域或未經授權的活動（例如，竊取貴重物品或破壞財產）。

首先，許多現有的傳統監控攝像機時代都沒有適當的端到端完整性保護，並且其硬件更換/升級將產生高昂的成本。

其次，僅基於視頻信號分析來檢測重放的視頻饋送是不切實際的，因為監控攝像機經常會捕獲幾乎相同但真實的視頻饋送（例如，空蕩蕩的走廊或珠寶店），這會產生太多的誤報。

第三，部署用於檢測的其他基礎架構（例如，LED燈以預定義的模式閃爍）將需要付出額外的努力，例如秘密共享，這可能會引入新的攻擊面。

0x03 SurFi

在這項工作中提出了SurFi，它通過將視頻饋送與通道狀態信息（CSI）信號進行比較來實時檢測視頻饋送循環攻擊，該信號可以通過商用Wi-Fi收發器輕鬆捕獲。下圖舉例說明了一個場景，在攻擊者闖入該保管庫時，他首先重放了一個看似合法的保管庫文件。 SurFi通過將循環視頻源與Wi-Fi CSI信號進行比較，成功地實時檢測到了這種攻擊。

由於在兩種不同的感應方式之間進行信號比較，因此設計SurFi面臨著艱鉅的挑戰。首先，直接的信號比較是不可能的，因為來自異構感測模態的信號（即，視頻和CSI信號）在語義上本質上是不同的。特別是，最新的視頻處理（例如OpenPose）會導致主體點（包括頭部，肘部，腰部和膝蓋）的位移，而CSI信號是接收到的無線符號的時間序列樣本跨不同的頻段。

第二，不能簡單地依賴於CSI信號的機器學習分類，不像許多利用CSI信號進行活動識別的研究。這是因為不能期望針對特定場所（例如，珠寶店或銀行ATM辦公室）任意訪客的所有可能的授權和未經授權的活動收集培訓數據。為了解決這些主要挑戰，建議從不同傳感器類型的信號的時頻分析中提取共同屬性。

特別是觀察到這兩個信號捕獲了活動發生的公共時間信息和相應的主頻率分量。此外通過實際實施評估了SurFi，並證明SurFi可以檢測潛在的攻擊（即，不匹配的視頻和CSI對），其攻擊檢測準確度高達98.8％，誤報率為0.1％。

0x03 Threat Model

首先將特定地點定義為在視頻監視下的室內開放空間。特定地點的某些活動被定義為未經授權（例如，未經授權的人員破壞/打開珠寶盒，破壞/移動ATM機），並且視頻監視系統旨在識別此類未經授權的活動。還假設監視攝像機時代的視場覆蓋了整個景點。這是一個合理的假設，因為人們安裝了視頻監控系統以保護有價值的資產，從而有目的地使盲點（即不在攝像機視野範圍內的盲區）最小化。

在本文中，考慮了監控攝像頭回放攻擊，在這種攻擊中，攻擊者能夠重播看似合法的視頻源（即僅包含授權活動），以欺騙目標監視監視系統。攻擊的最終目的是逃避當局（例如安全衛士和人員）發現對手的未經授權的活動。

不同，迄今為止沒有已知的CSI測量循環攻擊。 因此假設對手無法循環進行CSI測量。

0x04 System Design

現在描述SurFi如何利用Wi-Fi信號來驗證監視攝像頭系統是否受到攻擊。下圖描繪了由四個步驟組成的SurFi設計流程圖。 SurFi不斷接收來自監控攝像機的實時視頻以及來自Wi-Fi接收器的CSI數據。兩組信號輸入到數據預處理模塊。此模塊從視頻源中提取主體關鍵點的位移，並從CSI信號中消除噪聲。

隨後，SurFi監視降噪後的CSI信號以檢測事件的開始。在檢測到事件開始時，Attribute Extraction模塊從主體關鍵點和去噪的CSI信號中提取三個屬性（即事件的開始時間，結束時間和突出頻率）。然後，Comparison模塊比較屬性，然後輸出相似性得分。最後，Decision模塊獲取多個事件的相似性分數，並輸出有關視頻是否循環播放的最終決策。

0x05 Data Pre-processing Module

在此步驟中，預處理從Wi-Fi接收器和監控攝像頭獲得的兩個原始信號。原始CSI信號由每個子載波中的多個時間序列CSI值組成（例如，IEEE 802.11n中每個天線對30個子載波）。可以使用各種開源工具可靠地收集這些信號。對這些原始CSI值進行去噪，以便可靠地提取屬性。

因為沒有在特定地點可能發生的一組預先指定的授權和未經授權的人類活動，所以從接收到的CSI值的寬頻率範圍內降低了噪聲。即一個具有公共訪問權限的開放空間，例如ATM和辦公室。因此，利用離散小波變換（DWT）濾波器，它可以減少原始CSI數據中可用的所有頻帶中的噪聲（例如，在實驗中為1–500 Hz）。

對於實時視頻源，使用最先進的實時視頻處理工具OpenPose來檢測視頻源中的主體關鍵點。 OpenPose返回每個視頻幀25個身體關鍵點的X-Y座標。下圖顯示了OpenPose檢測到的主體關鍵點的示例。

0x06 CSI Event Detector Module

事件檢測器模塊接收去噪的CSI值和25個主體關鍵點的X-Y座標，並檢查是否檢測到新事件的開始。該模塊僅監視CSI值，因為視頻饋送可以通過回放攻擊來操縱。使用稱為運動能量的度量來檢測事件的開始，該度量是CSI信號頻帶中包含的能量。

當檢測到事件開始時，SurFi觸發下一個屬性提取模塊，並向其提供去噪的CSI值和視頻關鍵點，直到檢測到事件結束為止。

0x07 Attribute-Extraction Module

屬性提取模塊的兩個目標是（1）選擇能夠可靠比較兩個信號的一組屬性，以及（2）實時計算屬性。

可靠比較的要求：第一個要求是必須同時從視頻信號和CSI信號中捕獲屬性。從視頻信號中檢索到的細粒度信息（例如，人的精確身高或步態）可能無法從CSI 中充分提取出來，因此不適合本文目的。第二個要求是屬性應以可接受的精度捕獲活動的獨特特徵（例如重複動作的頻率）。

儘管可能有用，但基於CSI信號準確識別大量人口（超過8-10人）的人仍然是一個懸而未決的問題。經過在各種環境，活動和人類參與者下的廣泛實驗，發現了滿足上述要求的三個屬性。

前兩個是時域分量，最後一個是頻域分量。時域屬性是事件的開始和結束時間，而頻域屬性是事件的主要頻率。從預處理的視頻和CSI信號中提取這些屬性時，從每個信號中選擇一個時間序列分量，如下圖所示。

也就是說選擇一個關鍵點，該關鍵點在頻域中具有最大信號幅度從處理後的視頻數據中獲取數據，該視頻數據代表測量期間單個身體組件的最大位移。另外，從去噪的CSI數據中選擇一個能量分量最大的子載波信號。這種簡化簡化了屬性提取和與一維問題的比較，以進行實時分析，同時有效地捕獲了在感興趣的地方執行的主要活動。

開始和結束時間：分析視頻和時域CSI信號，以調查是否可以可靠地捕獲活動或事件的開始和結束時間。上圖描繪了一個活動，其中一個人在任意時間範圍內上下移動左臂，重複三遍。

請注意，可以從其他身體部位（例如，左肘）獲得類似的視頻信號，但是算法會選擇左手腕，因為它包含的幅度最大。兩種信號都顯示相似的開始和結束時間，並且在多個試驗，人員和事件中始終觀察到這種趨勢。這可以得出結論，它們可以作為視頻和CSI信號之間比較的可靠屬性。

為了提取事件的開始時間和結束時間，使用稱為運動能量的度量，該度量捕獲CSI信號不同頻帶中的能量。可以將運動能（E）計算為：

其中FFThalf(i)是在時間窗口L上計算的FFT係數幅值。

請注意，僅考慮前半部分是因為另一半是多餘的，所以忽略了FFT係數，忽略了DC分量。將視頻和CSI信號的總事件時間窗分為0.1秒的L，因為這為屬性比較提供了足夠的時間粒度。

當事件的運動能量E增加並超過閾值時，將檢測事件的開始時間。對於視頻反饋，監視瞬時E值，並在E變得比其移動平均值大十倍時確定事件的開始。對於仍然比視頻信號嘈雜的CSI信號，當E的方差變得大於其移動平均值時，確定事件的開始。結束時間可以類似地計算。表示從視頻和CSI信號為事件測量的開始時間和結束時間，如下所示：

突出的頻率：提取的第三個屬性是事件的突出頻率分量。觀察到有可能提取單個頻率分量，該單個頻率分量在主頻率中表現出最大的信號幅度。下圖顯示了上述活動的選定視頻和CSI信號的FFT圖。觀察到視頻和CSI信號均顯示約0.6 Hz的主頻率分量。因此得出結論，重複事件被捕獲為頻域中的主要頻率分量。

為了計算事件的突出頻率，首先對視頻信號應用FFT，然後將幅度最大的頻率視為突出頻率f V。然後以從視頻信號f^V獲得的頻率對CSI信號應用帶通濾波器，以去除無關的頻率分量（例如，小於0.3 Hz的頻率分量，主要捕獲諸如姿態變化之類的較慢的運動），並且提取最大幅度頻率f^C。

0x08 Comparison Module

給定視頻和CSI信號的兩組屬性:

計算出相似度S(i)一個觀察到的事件Event(i)。首先確定兩個信號之間的每個屬性相似度得分，如下所示：

其中Tj是每個屬性的閾值，△j是兩個信號的三個屬性之間的差，如下所示：

根據經驗選擇每個屬性閾值，以獲得可接受的檢測精度，並且每個屬性的誤報率低。為了實現這一點，計算每個屬性將合法視頻檢測為合法，將重放視頻檢測為重放的準確性。較低的閾值可能會導致將合法視頻誤識別為重放視頻，而較高的閾值會導致將重放視頻錯誤地檢測為合法視頻，從而降低了準確性。

因此，選擇精度最大的閾值作為每個屬性閾值。觀察到開始和結束時間屬性閾值分別為2.5秒和2秒，而頻率屬性閾值為0.25 Hz是最佳的。隨後計算每個事件的相似性得分，範圍從0到3，如下所示：

0x09 Decision Module

決策模塊將一個或多個單獨觀察到的事件的相似性得分作為輸入，並輸出是否重放視頻饋送的最終決策。當考慮多個事件時，檢測準確性（即SurFi檢測到視頻饋送何時重放的有效程度）將提高，誤報率降低。

這是因為考慮到來自獨立觀察事件的更多相似性評分時，SurFi可以為最終決策獲得更高的置信度。首先獲取多個事件的相似性得分的平均值，然後將其與決策閾值進行比較。該閾值的選擇會影響檢測準確性和誤報率。

0x10 Evaluation

A、實驗設置

下圖顯示了特定地點的設置。在一個小型室內辦公室（寬4.9米×長2.6米）中進行了受控實驗。使用兩臺配備Intel NIC 5300的Thinkpad W500筆記本電腦設置了收發器，它們在桌上的間隔為1.6米。在Ubuntu 14.04上使用Linux 802.11n CSI工具從5 GHz頻率範圍的Wi-Fi數據包中提取CSI值。發送器每1毫秒發送一個ping數據包，接收器收集CSI值。總體而言，由於兩臺筆記本電腦配備了一個發射器和三個接收器天線，因此獲得了90個子載波的CSI值。

對於視頻源採集，使用安裝在牆中間的移動電話上的攝像頭錄製視頻片段（分辨率為1300萬像素，採樣率為30幀/秒）。

要求參與者執行以下三個事件：

（E1）以0.6 Hz的頻率重複站立和左臂上下移動；

（E2）以1 Hz的頻率反覆在桌子上坐著並重擊右拳；

（E3）以1.6 Hz的頻率反覆坐著並拍手。

在實驗中，讓四個參與者測試了三個事件，每個參與者進行了21次試驗。指示參與者以一定的頻率執行選定的活動。為了表示更現實的事件發生時間，將每個試驗的開始和結束時間隨機化（分別在5到15秒的範圍和25到35秒的範圍內隨機選擇），使得每個試驗的長度為10到30秒。

B、基於屬性的相似度比較

現在，評估SurFi如何利用這三個屬性比較視頻和CSI信號之間的相似性，從而最終檢測出潛在的攻擊。下圖描繪了在三種事件類型中，合法事件和攻擊事件的觀察到Event(i)的每個事件相似性得分S(i)的分佈。對於合法情況，通過比較從實時（因此是真實的）視頻提要中提取的屬性和CSI信號來計算S(i)。隨後，將其餘事件視為攻擊事件。

因此，對於攻擊事件，通過比較從循環視頻源中提取的屬性（包含不同事件類型）和CSI信號來計算事件S(i)。例如，在循環視頻反饋中執行E1，而在實際實驗中執行E2。總體而言，針對每種事件類型（例如E1，E2，E3）進行了84次代表合法事件的判斷，並針對代表攻擊事件的每種事件類型進行了14,112次判斷。

合法事件的平均每次事件相似性得分（即2.6、2.5和2.8）比攻擊事件（即0.81、0.77和0.79）高得多。兩種事件的每次事件相似性得分的明顯差異表明，所選屬性可以獨立於事件類型和主題有效地區分案例。但是，它們的高方差（例如，通常接近1）可能會導致某些錯誤的攻擊檢測和錯誤警報。

C、攻擊檢測精度

現在在短時間內（例如幾分鐘）觀察到多個事件評估SurFi的整體性能，以提高攻擊檢測的準確性。定義兩個性能指標，如下所示：

（1）攻擊檢測準確度：正確地將循環視頻饋送識別為循環的比率；

（2）誤報率：合法視頻提供的比率被錯誤地檢測為循環。

將事件隨機附加在一起以模擬多個事件序列。然後獲取該序列的每個事件相似度得分的平均值。如前所述，觀察到的事件越多，用於檢測攻擊的事件越多，對最終決定的準確率就越高，從而提高了攻擊檢測的準確性。下圖顯示了SurFi攻擊檢測對不同事件數量（從1到5）和目標誤報率（0.1％至0.9％）的準確度。

可以觀察到，當獲得的誤報率不超過0.1％時，SurFi僅一次事件即可達到36％的檢測精度。當它對相同的目標誤報率使用五個事件時，它可以實現高達98.8％的檢測精度。如圖所示，隨著目標誤報率的增加，檢測精度進一步提高。將更多事件用於攻擊檢測時可以實現更高的檢測精度，因為隨著事件數量的增加，相似性分數分佈的方差會減小。

0x11 Conclution

更強大的攻擊者模型：攻擊者擊敗SurFi的方法之一是模仿受攻擊視頻中對象的活動。但是，此類攻擊所需的複雜程度非常高，因為小的差異將導致屬性上的差異。此外，SurFi的決策模塊要求攻擊者一直模仿多個事件，這使得規避SurFi防禦更加困難。

部署注意事項：在實際使用SurFi系統時，可能需要執行一些校準，因為在攻擊檢測中使用了一些閾值適應新環境。 SurFi還需要在戰略上將接收器放置在離牆壁一定距離的位置，以最大程度地減少由於牆下活動引起的誤報。

在本文中提出了SurFi，這是一種實時檢測監控攝像頭回放攻擊的系統。SurFi利用現有的Wi-Fi基礎架構（因此不需要額外的硬件或部署成本）來提取通道狀態信息（CSI），以處理和關聯視頻和CSI信號以檢測任何不匹配。

隨著更多的事件被兩種異質感測方式感知和關聯，SurFi增加了其檢測置信度。SurFi概念驗證可實現高達98.8％的攻擊檢測精度和0.1％的誤報率。在今後的工作中，計劃針對更復雜的攻擊者模型，針對各種事件和環境進行更全面的實驗。

原文鏈接：https://www.anquanke.com/post/id/199830

閱讀更多 安全客 的文章

關鍵字: 軟件 檢測 攻擊