DFD: Adversarial Learning-based Approach to Defend Against Website Fingerprinting

2020

对抗性示例

目标：置信度降低、非目标错误分类、目标错误分类

能力：分为白盒攻击和黑盒攻击。在白盒攻击中，对手可以访问模型架构或训练数据，而在黑盒攻击中，对手只能访问模型。 在本研究中，我们最初假设对手不具备分类器的先验知识，并且仅具有对模型的预言机访问权限。 后来，我们放宽了假设，即对手知道深度学习分类器和所使用的防御。 此外，对手的目标是进行无针对性的错误分类。

方法

传统防御

WTF-PAD：基于自适应填充，最初旨在防御端到端流量分析。 “自适应”意味着防御者根据数据包间到达时间的真实分布注入虚拟消息，以破坏数据包流的时间特征。同时，通过在每个突发的末尾注入这些虚拟消息（即突发填充），隐藏卷信息和突发边界以防御WF。 虽然 WTF-PAD 在传统机器学习中表现出鲁棒性，但在 CNN 和 DNN 中却很脆弱。

WTF-PAD 是一种零延迟方案，这意味着真正的消息在没有缓冲或阻塞的情况下发送出去。然而，这种设计也将流量特征和模式暴露给对手。一旦出端口的空闲时间达到一定阈值，WTF-PAD就会启动填充过程，因此真实消息可以在填充之前来回传送。更具体地说，WTF-PAD的全双工通信机制导致突发时间短，这意味着在数据包流中可以观察到两个连续的真实突发。此外，TAG（例如 img）的接收立即引起相应资源的请求，这可以导致结合前面的示例的三个连续的真实突发。为此，这些短模式在数据包流中被保留和重复，这是暴露给对手的强大特征组合。 

Walkie-Talkie： 基于与 Web 服务器的半双工通信，其中客户端和代理都维护一个缓冲区。缓冲区主要负责将消息作为突发进行排队和发送，而不与来自对等方的突发相交。 W-T通过以恒定的时间间隔发送每条消息来隐藏时间特征。同时，为了隐藏真实页面的敏感消息序列信息，它模拟假页面的连接，然后将两种突发模式混合在一起，即所谓的“成型”。

实际突发为 b i = ( b i + , b i −)，假突发序列为 b‘ i = ( b’ i + , b‘i−)。W-T 比较每个第 i 个突发的长度，并将其中较长长度的突发一起发送，即突发成型（即bˆi=(max{bi+, b’i+}, max{bi− , b‘i−}))。 然而，W-T 的设计为对手留下了捕获这些特征的机会。 由于假页面的突发可能比真实页面更长或更短，因此在最坏的情况下发生 0% 的成型，在最好的情况下发生 100% 的成型。 总体而言，所选假页面的质量决定了可以隐藏多少敏感突发序列。 然而，由于真实页面的突发顺序是不可预测的，因此很难确定假页面。 

 深度指纹防御

DFD：在每个输出突发中注入假消息，同时注入量遵循有针对性的方式（即摄动率p），因此可以用固定的边界限制总体带宽开销。没有考虑时间特征

由两个模块组成：Burst Observer和 Injection Buffer

Burst Observer 监控突发的外来消息。本文将突发称为长度大于 2 的连续消息的集合。一旦开始运行，该模块便记录突发的长度 Li，并在新突发到达时触发注入事件。为了确定要注入的虚拟消息的数量，DFD 将扰动率 P 作为参数，将其乘以每个突发的长度 P*Li。注入的开销便是输出消息总量的 P。但持续爆发的长度是不可预测的，因此通过使用最后记录的爆发的长度来近似开销（P*Li-1）.因此总注入量 ，n 为总突发数。

Injection Buffer 将虚拟消息注入到当前的传出突发中。为了最小化注入延迟，通过维护注入缓冲区来复制和缓冲传递的真实消息。为避免额外的带宽开销，使用之前确认的消息进行注入。HTTP/HTTPS基于TCP传输协议，其中每个TCP数据包都有一个序列号，被服务器接收后会返回确认ACK，如果服务器收到之前已进行确认的数据包，将会进行丢弃。在DFD中，从之前的 ack 中选择假消息，以确保它将被服务器丢弃而不影响通信。

实验与评估

基于DL：

基于DNN 自动提取代表性特征。主要由两个模块构成，第一个包含两个具有ReLU激活函数的完全连接层，然后是max pooling和dropout层，第二个由一个具有ReLU激活的完全连接层组成，然后是一个dropout层

基于CNN 主要由两个模块组成，第一个块由两个具有ReLU激活函数的连续卷积层组成，然后是max pooling和dropout层，第二个由一个具有ReLU激活的完全连接层组成，然后是一个dropout层