Ghostbuster: Detecting the Presence of Hidden Eavesdroppers Anadi Chaman∗, Jiaming Wang∗, Jiachen Sun†, Haitham Hassanieh∗, Romit Roy Choudhury∗ ∗University of Illinois at Urbana-Champaign †University of Michigan Ann Arbor Mobicom2018

Eavesdropper Weak encryption Widely exposed to eavesdropping Only listen radio通常依靠加密解决方案来防范窃听。但是，加密标准一直受到攻击，肯定会受到安全漏洞的影响。 由于低成本，低功耗要求，一些无线物联网系统采用弱加密协议或完全没有加密，使他们广泛暴露于窃听 然而窃听者只监听，不发射别的信号。所以还没有实用的方法可以找出监听者。

Leak RF signals ~ Local oscillator Mixed with the received wireless signal Leak back Baseband 然而底层硬件将RF信号泄漏到频谱上，具体地说，每个无线接收器必须使用本地振荡器来产生中心操作频率的正弦信号。该正弦信号与接收到的无线信号混合，将其下变频到基带进行数字采样和处理。就算只接收不发送，该正弦信号可以通过天线泄漏回无线介质 Leak ~

PROFILING RF LEAKAGE WiFi cards Software defned radios (USRP) 𝑓 𝑐 ′ = 𝑓 𝑙 +∆𝑓 为了证明泄露可以找出窃听者这个思路可行，我们先来看下泄露的情况，这里主要分析两种。 泄漏的确切频率取决于接收器的硬件架构和本地振荡器的频率。 第一种非常直接，产生2.4或者5的。 第二种本地振荡器产生4.8GHz信号，然后将其分频以产生2.4GHz，其与接收信号混合。 在这种情况下，观察到的最强泄漏是4.8 GHz。 三四是多层架构，其中信号首先向下转换为中间频率，然后再转换为基带。 对于2.4，先生成3.2-4，再分频成1.6-2。使用这个信号将接收到的信号下变换到680Mhz。使用另一个在680的振荡器下转换到基带。 这种情况下，在两个振荡器的频率处都有泄漏。但是，我们的观察显示680 MHz通常较弱 对于5也是下转换两次，但是使用单个振荡器 泄露频率fl，中心频率fc 理解不同的架构对于会以什么频率泄露很重要 将Ghost的中心频率设置的比泄露频率稍微偏移些，以确保其本地振荡器的泄漏不会盖过窃听者的泄漏 如果有个监听者，那么在df处应该能看到一个尖刺 但是这种泄露太弱了不能被现在的无线接收者发现 一种解决方案是在长时间窗口上捕获信号并进行FFT，以平均泄漏并使其高于噪声。

Two points Longer time window → Higher SNR 10 𝑙𝑜𝑔 10 (𝐾) The best eavesdropper strategy is use a card direct conversion architecture 更长的时间窗口可以得到更高的SNR，K倍的时间窗，泄露的SNR可以达到10logk 这里作者给出了一组实验证实利用泄露是可行的。且泄露符合刚才的公式最好的窃听策略是使用具有直接转换架构的WIFI卡,2(a)。泄露会在相同的频带上，容易被其他发射和接收者掩盖 USRP频率和协议无关，都使用直接转换的架构，因此预计会在中心工作频率下泄漏。泄露比WiFi卡高 然而，占用如此大的时间窗口必然包括在无线介质上传输的分组以及来自其他合法接收器的泄漏。 结果，窃听者的泄漏将被掩埋在其他传输的信号之下，这些信号可以是三个甚至更大的数量级。

Ghostbuster First system can extract the leakage of a wireless eavesdropper Even in the presence of ongoing transmissions and other receivers Does not require any changes 第一个存在传输时也能发现被动窃听的，并且不需要修改当前的发射接收者

Ghostbuster Spatial domain \ Frequency domain MIMO Two-stage recovery and cancellation algorithm Extract frequencies in the continuous frequency spectrum, estimate the artifacts Estimates and computes a higher resolution wireless channel, cancel the transmitted signals and the artifacts Separate the leakage 使用MIMO多天线系统将泄露与天线/空间域中的传输信号分开。具体来说，Ghostbuster可以估计来自发射机的无线信道，并使用它来消除发射信号。 一旦消除信号源，就会泄露窃听者的泄漏 Ghostbuster必须在非常大的时间窗口上进行FFT，其中包括几个传输的数据包。因此在这个时间窗口上发送的信号将表现出不连续性。这些不连续性表现为频域中的伪像和杂散频率 两阶段的恢复和消除算法，在空间和频域内进行消除。第一阶段 一种新的恢复算法，可以提取连续频谱中频率的值，以便正确地估计由信号中的不连续性引起的伪像并在频域中消除它们。第二阶段在不同的MIMO天线上估算和计算更高分辨率的无线信道，这使我们能够在空间域中进行非常大的FFT后有效地消除传输信号和伪像。 为了消除发送信号，Ghost也必须将窃听者的泄露和合法接收者的泄露分离开来。利用硬件缺陷频率小幅偏移

MIMO Time domain signals received concurrently on each antenna vector format： 简单起见先考虑一个发送一个窃听的情况，使用OFDM的算法，因为OFDM是最普遍的调制方案。 两个天线的MIMO，y是天线接收到的信号，x是传输，e是泄露，ht是来自发送者的信道，he是来自窃听者的信道。写公式，向量形式。 通过在ht的正交方向投影，可以消除传输者的信号，余下的投影只与窃听者的泄露有关 OFDM信号经历频率选择性衰落。 每个bin都要重新计算无线信道h并且进行消除。重写公式

Cancel the transmitted signals Rewrite the equations per OFDM frequency bin Eavesdropper’s leakage 𝑒 𝑡 = cos 2𝜋 𝑓 𝑙 𝑡 𝐸 𝑓 =𝛿(𝑓− 𝑓 𝑙 ) Do not need to know the exact values, just use Ratio 泄露是一个简单的正弦波，因此，泄露应该会掉落到一个单独的bin里面。因为最佳策略是将中心频率与发射相同，所以一般泄露会在DC（zero）bin里面。 这个DCbin包含来自发送器的本地振荡器的信号，因此调制的数据位不在DC bin中发送。 很难估计在DC bin中的发射信号的信道，首先没有发送任何已知的前导码，无法预测ht1和ht2. 在任何时候，dc bin中都同时包含发送者信号和窃听者泄露，使得很难分离且估计 但是我们不需要知道准确值，信道间的比值足以消除传输信号。C是一个定值 为了计算这个比值，记住传输信号与泄露并不是在频域上完全对齐的。长时间窗口的FFT可以将这两个信号分离到两个bin里，那么就会有一个bin只有发射信号，然后比一下就行了。 但是这么长时间窗口的FFT，信号表现出的不连续性会带来伪像的影响，也需要消除， Find a frequency bin that contains only the transmitter’s signal

How is the artifact generated? 消除伪像之前，我们要先知道为什么会有伪像 发送端首先进行反FFT转化为时域上的信息。当Ghost收到，它在长时间窗口上进行FFT，相当于在一个很长的周期时间taking&windowing信号 将信号与窗口相乘将等效于将其与频率中的sinc函数进行卷积。 因此，子载波与sinc卷积，一旦Ghostbuster进行非常长的FFT，sinc的影响将出现并掩盖窃听者的泄漏

Use f&a to Estimate & Cancel Artifacts Received OFDM symbol in discrete domain The best estimates of f and a would minimize the error function Iterative algorithm to minimize error function (fix one, solve the other) 刚才是单一子载波的单一symbol的情况，全部加起来就是伪像。 我们将Ghost收到的时域上的信号的离散公式写成如上。W(t)白噪声。 fk是第k个子载波，ak是无线信道加权后调制了数据比特的复振幅，在BPSK调制中，ak=H(fk) 为了计算side lobes，我们需要知道频率的估计值fk，和振幅的实际值ak,最好的估计其实就是使误差函数最小的那个a和f的值。使用迭代算法，先固定f算最小化e的a，之后固定a算f 计算a，就是加权最小二乘问题，有封闭形式的解决方案。计算f，证明了在有一个好的初始估计时，小范围内是凸函数可以利用梯度下降去计算。 Need a good initial estimates

Overall Algorithm Input received signals Decodes the packet and obtain initial estimates of f For each symbol, solve Recover an accurate reconstruction x (𝑡) of x(t) Use MIMO receivers to null transmitter’s signal and side-lobes Combines the samples and takes a very large FFT Find spike of eavesdropper’s RF leakage 对于每个包，使用标准OFDM解码，从估计的CFO中获得一个f的初始估计 对于每个symbol。Ghostbuster在求解加权最小二乘和梯度下降之间进行迭代，以解决以下优化问题，获得一个好的f和a 之后使用f*和a*获得xt的精确重建x~t，去除所有子载波去估计伪像 接着消除发射信号和伪像，Ghost结合了所有无发射信号数据包中的样本，进行FFT。到此发射信号和伪像被消除，窃听者信号就暴露了。

EVALUATION RESULTS False Negative Rate False Positive Rate Hit Rate Detection Accuracy Count of Receivers Leakage SNR 以为不存在但是存在 以为存在但不存在 正确检测到与实际存在的比值 正确分类是否存在的次数与运行总次数 计算正确数量的接收器 RF信号泄露的信噪比

SNR VS Distance 距离和信噪比。信噪比随着距离下降，但是USRP在14米还有10，WiFi卡在7还有16 由于多路径，相同距离的不同位置的SNR可能会变化18 dB

Hit Rate VS FFT Window Size 时间窗口长度对于命中率的影响 大于6db就认为发现窃听者存在 1m100毫秒就能到100%，5m需要1s

Impact of MIMO chains 不同MIMO数量的影响，一个接收器也就是没有MIMO的，基本和瞎猜差不多

Other Receivers and Ongoing Transmissions 存在其他接收器和发射器正在传输数据包时。给j个，找出i个的概率。0,1和2个接收器的分类精度高于95％，4个接收器的分类精度保持在89％以上 至于WiFi卡，一个卡92%，两个卡89%，与预期相同，因为WiFi卡的泄漏要小得多

Impact of FFT window size

LIMITATIONS Identifying the Eavesdropper’s Leakage Detection Range Computational Overhead Packet Collisions and MIMO Transmitters 虽然能检测的出，但是分不出哪个是窃听者。 检测范围小，软件定义的无线电5m，WiFi卡距离1m。比着实际的WiFi传输范围低的多。 计算复杂性的两个主要来源是梯度下降优化和几百万点FFT的计算。1.25秒2500万的数据要处理30秒 假设所接收的传输来自单个天线发射器并且没有经历过冲突。然而，一些WiFi设备确实使用MIMO并且它们的分组可能经历冲突。 为了解决这种情况，Ghostbuster必须使用更多MIMO天线来分离空间域中的信号。K个冲突就要k+1个天线

Thanks