自整理笔记_网站指纹攻击,对抗样本,防御-CSDN博客

本文链接：https://blog.csdn.net/October1025/article/details/132752451

作者站在什么样的角度，解决了什么问题；
通过什么样的方法设计实现了问题解决；
作者通过什么结果来证明了自己对于问题的有效解决（包括指标和实验设定）？

基本概念

WF

使攻击者能够通过加密或匿名的网络连接推断客户端正在浏览哪个网页。其通常被表述为一个分类问题，攻击者希望知道客户端是否浏览了n个网页中的一个。

Tor

（2004 网）

一种基于电路的低延迟匿名通信服务。为分布式覆盖网络，匿名化基于tcp的应用程序。流量以固定大小的单元在电路中流动。

涉及许多必须快速传送的数据包，因此很难防止窃听通信两端的攻击者将进入匿名网络的流量与离开匿名网络的流量的时间和数量联系起来。这些协议同样容易受到主动攻击者的攻击，后者会在进入网络的流量中引入定时模式，并在离开网络的流量中寻找相关模式。虽然已经开展了一些工作来阻止这些攻击，但大多数设计主要是防止流量分析而不是流量确认。

Tor工作在TCP流之上，与其他洋葱路由器保持一个TLS连接。只有入口节点知道用户的真实IP地址，出口节点知道用户的目的地和传输内容（HTTP），Tor使用的是在传输层之上应用层之下的SOCKS代理，无法操纵修改上层协议。

其中在04年的文章中提出被动攻击的几点：观察用户流量模式、观察用户内容、选择分辨率、端到端时序关联、端到端大小关联、网站指纹。

流量分析

（2002）

监控流量的性质和行为的过程，而不是其内容。对加密流量和未加密流量的效果是一样的，因为常见的加密方法不会试图混淆正在传输的数据量，因此通常不仅可以告诉你数据的接收者和发送者是谁，还可以告诉传输了多少数据。

WF攻击是流量分析攻击的一种变体。它允许攻击者只观察用户和网络之间的连接就能识别用户访问的网站。为此攻击者首先要了解某些网站的流量模式，为每个网站创建一个唯一的数字指纹。然后攻击者将指纹与用户的网络流量进行比较以确定用户访问的网站。

其他

Rate-FPR假阳：未被监控被错误识别为被监控；FPR假阴：被监控但被分类为不同的被监视页面或未被监视页面
突发：在一个方向上发送的非确认数据包的序列
（2013）改进Tor数据收集、新数据处理（通过Tor单元序列而不是TCP/IP数据包）、新的网站指纹识别指标
HMM隐马尔科夫模型：是统计模型，它用来描述一个含有隐含未知参数的马尔可夫过程。其难点是从可观察的参数中确定该过程的隐含参数。然后利用这些参数来作进一步的分析，例如模式识别。
基准率：客户端访问被监控网页的比例。当基准率较低时，看似高真阳率，实际上高度不精确
封闭世界和开放世界：在封闭世界中用户被允许访问一组有限的网站，攻击者拥有所有这些网站的模式，适合于比较和分析不同WF分类器的性能；开放世界中攻击者支队感兴趣的网站（前景）有指纹，而用户可以访问无线的网站集（背景）。

攻击

流量分析攻击

Wagner 和 Schneier （1996）首次对这种情况下的 TA 攻击进行了学术讨论 [16]。他们转发了 Yee 的观察结果，即 SSL 可能会泄露 HTTP get 请求的 URL，因为密文会泄露明文长度。 Wagner 和 Schneier 建议对于 SSL 的所有密码模式都应包含每个密文的随机填充。
Cheng 和 Avnur （1998）通过分析三个网站之一中托管的页面，提供了网页指纹攻击的一些第一个实验证据。他们的攻击假设完全了解 HTML 和网页对象大小，但这并不总是从密文中精确推断出来。他们还提出了对策，包括填充 HTML 文档、填充到 MTU 以及引入虚假 HTTP 请求。他们在攻击的背景下评估了前两个，并声称对所考虑的网站有一定的功效。
Sun等人（2002）研究了一个类似的设置，其中攻击者可以精确地揭示非管道、加密 HTTP 连接中单个 HTTP 对象的大小。描述了一种基于Jaccard 系数相似度度量和简单阈值方案的分类器。它成功地对抗了原始流量，还探索了许多对策，包括每个数据包填充、字节范围请求、基于客户端的预取、基于服务器的内容推送、内容协商、网络广告拦截器、管道以及并行使用多个浏览器。他们对对策的评估仅考虑了其攻击，结果表明对策提供了改进的 TA 抵抗能力。
Hintz （2002）讨论了一种简单的攻击，用于识别通过称为 SafeWeb 的单跳代理服务访问了五个流行网页中的哪一个。所提出的攻击不需要确切了解网络请求大小，但几乎没有评估，并且尚不清楚该攻击如何应对更大的隐私集。
Bissias等人（2005）证明了一个比 Sun 等人更弱的对手，它可以观察 SSH 隧道，仅查看传输的每个密文的长度、方向和时间，而不是网页对象。他们使用互相关来确定网页相似度，这是评估两个时间序列相似度的常用指标。他们的表现比我们考虑的分类器更差，而且他们没有探索任何对策。
Liberatore 和 Levine （2006）表明，通过仅观察加密数据包长度和无序数据包的方向，可以推断出封装在 SSH 连接中的 HTTP 事务的内容。
Herrmann 等人（2009 Naive）从四种不同类型的单跳加密技术和两个多跳匿名网络中收集了加密痕迹。我们使用他们的部分数据集进行分析。他们首先建议使用多项式朴素贝叶斯分类器进行流量分类，以检查标准化数据包计数。第三节对其分类器进行了讨论。他们只是对IP数据包大小的频率分布对策的评估仅限于应用层对策。->Panchenko 等人（2011 SVM）提出了一种支持向量机分类器SVM，他们将其应用于在封闭和开放世界环境中生成的 Tor流量，显示出良好的准确性，实现要差。 Tor 的加密机制已经混淆了一些有关明文长度的信息，一般来说，分类变得更加困难。
为了尽量减少先前建议的填充方案所产生的开销，Wright等人提出了流量变形（2009）的概念。他们的对策可以最大限度地减少开销，同时仍然使一个网页在特定功能方面“看起来”像另一个网页。 只有当攻击者将注意力限制在变形例程所针对的相同功能上时，流量变形才有效。即使使用流量变形来确保数据包大小的标准化分布与某些目标网页相似，攻击者仍然可以成功。
SVM（2011）和HTTPOS（2011）提出了具体的应用层对策。Panchenko等人提出伪装对策，使虚假 HTTP 请求与合法请求并行，并表明它使分类器的效率显着降低。Luo等人该系统称为 HTTPOS，并使用许多客户端机制，这些机制利用现有的 HTTP 功能向加密的 Web 流量添加噪音。例如，HTTPOS 通过向标头添加多余的数据并利用 HTTP 字节范围功能非顺序地请求数据子集来随机化 HTTP GET 请求。他们在存在四个现有分类器 [1,3,10,15] 的情况下评估了他们的对策，并表明 HTTPOS 对所有分类器都有效。我们不考虑这些类型的应用程序层机制，实际上我们的结果表明这种对策可能更好地防御网页识别攻击。
VNG++分类器（2012）提出结合粗特征（总传输时间、总每向带宽、流量突发性）
多标签浏览的攻击（2015）避免高估攻击者能力、简化某些攻击行为，首先数据预处理，由于威胁模型允许受害者同时打开两个页面，因此需要先确定未知流量是否重叠。由于思考时间，用户在打开第一页后会短暂延迟访问第二页。通过分析延迟中传输的匿名流量，并选择细粒度的特征来识别第一页。此外，排除第一页的流量并利用粗略特征来识别第二页。
k-NN（2014）可以在训练和测试时间比之前最好的工作少几个数量级的情况下取得更高的准确率。数据包排序、传入和传出单元的数量以及突发的数量等特征组合形成距离度量，表达不同网站间的相似性。基于自动学习不同特征权重的KNN分类器，通过大的特征集发现防御方法的弱点。通过时间和准确度两个指标和之前的工作进行对比，得到的结果是，在训练和测试时间少几个数量级的情况下取得更高的准确率；通过对使用了防御的Tor流量进行攻击仍然可以取得有效的结果；实验设定在开放世界下，数据集更大，更接近现实情景，尤其在被监测网站具有低发生率的情境下，效果更好。 -> CUMUL（2016）基于径向基函数内核的支持向量机的攻击，并基于数据包长度的累积和设计了一个新特征集，比k-NN更精确 -> k-FP（2016）是基于随机决策森林的一种攻击，在速度和准确性都有所提高，在开放世界下具有很高的精度。
DF（2018）针对WTF-PAD和Walkie-Talkie，利用卷积神经网络，首次证明对WTF-PAD有效的攻击，是轻量级防御 -> Var-CNN（2018）将强大的基线 ResNet CNN 模型与数据包序列分类的几个强大见解相结合：扩张因果卷积、自动提取方向和时序特征以及手动提取累积特征。此外，Var-CNN 的改进在深度学习模型通常会受到影响的低数据场景中尤其重要。这里，它使现有技术的 FPR 降低了 3.12%，同时将 TPR 提高了 13%。

防御

去除数据包特定的特征

限制防御

指->针对性防御

有效抵御 Liberatore 和 Levine 的攻击（2006），因为这种攻击依赖于独特的数据包长度，而不考虑数据包排序等其他特征。属于网络层防御。 ->流量变形（2009）一种随机填充独特数据包长度的防御方法，使这些数据包长度看起来像是来自与另一个网页相对应的另一种数据包长度分布。属于网络层防御。 -> Lu（2010）提出使用数据包排序信息也能进行以及Wang 等人（2014 年）的研究表明，这种防御方法对他们使用数据包排序作为特征的攻击无效（k-NN）。
HTTPOS（2011）（HTTP 混淆）利用 HTTP 的特定功能在客户端实施了防御。客户端设置了一个范围头，以便将流量分割成随机长度的数据包，并使用 HTTP 流水线来改变发出数据包的数量->可以成功防御较早的攻击，并不能成功防御几种较新的攻击[5, 21]。
实施了另一种WF 防御（2011）-> Tor 针对 Panchenko 等人的WF 攻击（采用SVM）（2011）。Tor 的防御使用了 HTTP 流水线技术，随机调整流水线中请求的最大数量，这样，如果请求数量超过了流水线的深度，请求的顺序就会改变。由于流水线不会引入额外的数据包，因此这种防御方式没有带宽开销。最近，Tor 针对新的攻击更新了防御措施（2013）->但这两个版本的防御措施对已知攻击的准确性影响不大。

通用防御

BuFLO（2012）是数据包填充和时间变化防御的组合。其中客户端以固定不变的速率发送和接收流量。如果没有真正的数据包要发送，就用不含任何信息的假数据包来填充流量。每个页面加载的持续时间如果较短，则填充到 10 秒；如果较长，则不再填充。属于网络层防御。 -> 这种防御在面对 WF 攻击时仍然经常失败，总量、大小、时间这种粗特征很难在不产生高带宽开销的情况下隐藏起来 -> 对 BuFLO 进行修改的 Tamaraw（2014）认为，这是因为持续时间经常超过10秒，所以没有填充，从而暴露了页面的大致大小。他们的研究表明，可以解决这一问题，同时显著降低开销。通过将大小相似的站点分组，并将组中所有站点填充到该组中最大的尺寸。属于网络层防御。 | 同样，Wang 等人（2014 年）提出了 Supersequence ，发送两个或更多跟踪来迷惑攻击者，在正确位置添加虚拟数据包并延迟用户数据包而创建的。发现如果只在线路上进行防御，超序列可提供最优带宽解决方案，但要搜索这样的解决方案仍然很困难 -> walkie-talkie（2016）是轻量级，低开销，易于使用，可以抵御所有网站指纹攻击。Walkie-Talkie 使用半双工（客户端只有在web服务器满足了所有先前请求才会发送请求）通信来限制攻击者的特征集，并使用随机填充来迷惑完美的攻击者。鉴于网站指纹识别是在低基本速率情况下进行的，我们发现以前的一般防御方法（如 Tamaraw 和 Supersequence）是矫枉过正的：由于恒定速率的数据包传输，它们会产生大量带宽和时间开销，而 Walkie-Talkie 可以有效地造成足够的误报率。我们的替代防御方案表明，在限制性较小的设计目标下，该防御方案的效率甚至更高。属于网络层防御。 -> WTF-PAD（2016）适合于低延迟通信（Tor），是基于自适应填充的轻量级防御，提供零延迟开销。属于网络层防御。
glove（2014）基于BuFLO常见情况进行优化，可看作高效流量变形的思想延申，思想为虽然网页在大小和结构上差异很大，但他们可以聚类成高度相似的网页，因此添加少量隐蔽流量便可使攻击者无法区分。首先，它根据稍后描述的规则将这些网站的痕迹划分为 k 个群组。其次，对于一个群组中的所有痕迹，Glove 会计算出一个超级痕迹。超级痕迹是覆盖该集群中包含所有跟踪的单个跟踪，为了保守地覆盖其组成网页之一可能产生的所有跟踪的很大（可调整）百分比。
FRONT和GLUE （2020）是零延迟轻量级的防御。其中 FRONT 侧重用虚拟数据包混淆跟踪前端产生随机噪音，随机化虚拟数据包数量和分布，这可以阻碍攻击者学习，因为前端的跟踪一般泄露的信息较多；GLUE为跟踪之间添加虚拟数据包，使其看起来访问的页面没停止，这使得攻击者找不到起点或终点，也就无法对其进行分类。属于网络层防御。
流量分割防御将访问产生的流量在多个连接或线路上分割，不产生任何开销。trafficsliver（2020）分为TrafficSliver-App和TrafficSliver-Net。TrafficSliver-App 在未经修改的 Tor 网络上运行；它通过多个独立的 Tor 电路代理用户浏览器的 HTTP 请求。另外，TrafficSliverNet 会修改 Tor 网络，在多个入口节点上分割 TCP 流量，然后在中间中继站合并流量。拆分策略中，使用分批加权随机策略时性能最佳。在这种策略中，Tor 单元以 n 个单元为一批发送到指定的入口节点，而入口节点是从生成的分布中采样选出的。每批次之后都会对批次大小 n 进行重新采样。TrafficSliver（采用 5 向分割）报告称准确率降低到 16% 以下。 | HyWF（2020）客户端连接到两个独立的接入点（如蜂窝网络和家庭 WiFi），并将流量发送到多路径兼容的 Tor 桥接器，该桥接器会在将流量发送到 Tor 之前将其合并。拆分策略中，HyWF 采用了类似的方法，对于每个网站访问，连续发送的数据包数量是从几何分布中抽取的，而网络则是均匀随机选择的。HyWF（采用 2 向分割）报告称召回率仅为 40%。
BIMORPHING （2021）防御，改变了跟踪的双向突发模式，它将大小和时间采样与双向依赖相结合，通过使用数学优化确保低带宽开销，并为客户端和服务器之间交换的真实数据包带来零延迟。

对抗性示例

对抗性示例是一种测试和攻击模型的技术，对抗性样本是在数据上引入了对抗性示例的结果。
对抗性训练是一种提高模型鲁棒性的方法，通常涉及使用对抗性示例来训练模型，以使其更难以受到攻击。在网站指纹研究中指的是通过对抗性训练，WF攻击者的分类器变得更加鲁棒。
对抗性示例和对抗性样本用于评估模型的鲁棒性，而对抗性训练用于改善模型的鲁棒性。

通过给输入数据添加微小的扰动使其欺骗机器学习模型，得到错误的输出或分类结果。这种修改通常是微小不易被察觉的，但这足以使系统产生误判。在网站指纹研究中，可以通过生成的对抗性样本使网站指纹识别者无法识别出用户访问网站的真正所属类别，从而达到积极防御的效果。

如何加入扰动？可以加入什么样的扰动？如何构建足够强的对抗样本？如何使得分布仍然尽可能接近原始分布？

目的是将数据包的特征进行修改，以此来混淆攻击者的分类器，从而使得攻击者无法正确识别该数据包所对应的相应网站。对抗性示例是用来将输入的数据添加扰动

是否可以首先将特征进行一个分类和提取，

一文详解对抗训练方法 - 简书

1. 噪声注入：
- 在网络流量中添加噪音以混淆模式。这可以包括随机化数据包大小、到达间隔时间或有效负载内容。

2. 填充：
- 在网络数据包中添加额外的、非必要的数据，以使流量难以区分。填充可能会影响指纹识别技术的准确性。

3. 流量调速：
- 通过以恒定速率调整数据传输来平滑流量模式。这会使攻击者更难检测基于网络流量变化的模式。

4. 流量分流：
- 通过多个路径或 VPN 发送网络流量，使攻击者很难关联数据并确定用户正在访问哪些网站。

5. 流量混合：
- 将您的流量与其他网络流量混合，以掩盖与网站请求相关的特定行为。这可以通过使用混合网络或代理服务器来实现。

划分数据集：将数据集分为训练集、验证集和测试集：

训练模型：使用训练集训练深度学习模型。
调优模型：使用验证集来调整超参数、优化模型性能。
评估模型：最终，使用测试集来评估模型的性能，包括准确性、召回率、精确度等。

图神经网络GNN

图神经网络（GNN）在各个领域都很受欢迎，它与网站指纹识别防御技术相结合，可以提供多种优势：

1. 图表示：图神经网络非常适合图结构的数据，网站指纹识别通常就是这种情况，网络流量可以用图表示。GNN 可以处理数据中的复杂关系和依赖关系。

2. 自适应学习： GNN 可以适应数据结构，因此对网站指纹攻击建模非常有效，因为网站请求的模式并不固定，可能会随着时间的推移而变化。

3. 特征聚合： GNN 可以聚合图中相邻节点的信息，从而捕捉不同网络流量模式之间的依赖关系。这对于检测异常和恶意行为至关重要。

4. 鲁棒性： GNN 可通过识别和减少网络流量数据中的对抗性示例，帮助增强防御机制的鲁棒性。

以下是 GNN 与网站指纹防御技术结合使用的一些方法：

1. 异常检测： GNN 可用于识别网络流量图中的异常情况，以显示潜在的网站指纹攻击。它们可以学习模式并识别与正常行为的偏差。

2. 流量聚类： GNN 可根据图结构的相似性帮助对网络流量进行聚类。这有助于识别与不同网站和用户相关的模式。

3. 特征提取： GNN 可以从网络流量图中提取相关特征，并将其输入其他机器学习模型或防御机制。这些特征可用于提高网站分类的准确性。

4. 实时监控： GNN 可用于实时监控网络流量，为潜在的网站指纹攻击提供预警系统。

5. 结合多种数据源： GNN 可用于结合来自不同来源的信息，如网络流量模式和用户行为，以创建针对网站指纹的综合防御系统。

6. 基于图的隐私度量： GNN 可帮助量化网络流量模式的隐私风险，并为隐私保护行动（如引入噪声、流量填充或混淆）提供依据。

7. 对抗性实例检测： GNN 可用于检测网络流量数据中的对抗性扰动，抵御网站指纹攻击。

8. 迁移学习： GNN 可用于迁移学习，使模型能够适应新的攻击模式，并学习以前的防御策略。

9. 用户行为分析： GNN 可以学习特定用户的行为特征，帮助区分合法用户行为和敌对活动。

10. 定期模型更新： GNN 可以不断适应不断变化的攻击技术，并相应地更新防御机制。

将 GNN 与网站指纹防御技术相结合，可以提高防御系统的整体鲁棒性和适应性。GNN 可以提高检测和应对不断变化的网站指纹攻击的能力，有效保护用户隐私。不过，具体的实现方式将取决于环境、网络流量数据的性质以及网站指纹防御的目标。