CN114826649B - 基于对抗补丁的网站指纹混淆方法 - Google Patents

Abstract

本发明提供一种基于对抗补丁的网站指纹混淆方法。该方法针对任一网站w，定义δ_w表示待生成的面向网站w的对抗补丁向量；采用所述对抗补丁向量δ_w防御针对网站w的网站指纹攻击。本发明通过在实时流量中注入极少的虚假数据包，以逃避攻击者的分类器，同时保留传输数据的优先级和完整性；此外，在此基础上，还设计了基于变形二分搜索的开销自适应调整策略，调整后的优化约束使本发明的混淆方法能够以最小的带宽开销保护网站。

Description

基于对抗补丁的网站指纹混淆方法

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于对抗补丁的网站指纹混淆方法。

背景技术

流量分析是从通信模式中推断出敏感信息的过程，可用于打破匿名系统(例如VPN和Tor)的匿名性。尽管网络流量是加密的，但本地被动攻击者可以访问侧信道信息(即数据包时间、方向和大小)。此类信息可用于构建独特的指纹以区分内容差异。特别是，网站指纹(WF)是一种流量分析技术，攻击者可以通过它识别访问网站的模式，对用户浏览活动的匿名性构成严重威胁。最先进的WF攻击利用深度神经网络(DNN)设计分类器，能够从原始网站数据流中提取特征，并且在准确性和鲁棒性方面优于传统基于手工选择特征的技术。

尽管基于DNN的技术具有独特的优势，但大量研究已经表明它们容易受到对抗样本的影响。对抗性样本即为精心设计的输入具有小的对抗扰动，从而导致分类器的错误分类。多项工作研究了对抗样本在防御基于DNN的WF攻击方面的可行性。一种直接的方法是将一个网站的流量特征变成另一个网站。然而，这种模仿策略依赖于目标网站的选择，可能会导致超过60％的不可接受的带宽开销。最近的一些研究专注于生成可实时应用于网络流量的扰动，但它们并没有完整地保留用户数据的优先级，并且仍然会造成大约30％的不切实际的开销。此外，这些方法需要对目标模型进行白盒访问(如损失梯度和特征空间参数)。总体而言，需要在扰动效率、实用性和模型依赖性等方面更深入地研究基于对抗性的WF混淆方法。

发明内容

针对传统的WF混淆方法存在不能确保用户数据的完整性或者带宽开销较大的问题，本发明提供一种基于对抗补丁的网站指纹混淆方法。

本发明提供一种基于对抗补丁的网站指纹混淆方法，针对任一网站w，定义δ_w表示待生成的面向网站w的对抗补丁向量；采用所述对抗补丁向量δ_w防御针对网站w的网站指纹攻击；其中，所述对抗补丁向量δ_w包含α个补丁，表示为δ_w＝(δ₁,...,δ_α)，其中补丁δ_i＝<p_i,β_i>表示含有|β_i|个方向为sign(β_i)的数据包，被注入到网站w的原始数据流x的位置p_i后的某处，i＝1,2,3…,α；1≤α≤M_α；-M_β≤β_i≤M_β；M_α表示对抗补丁的最大数量；M_β表示最大补丁长度；

所述对抗补丁向量δ_w的生成过程包括：

步骤1：将对抗补丁向量δ_w的生成过程转换为公式(1)中的优化问题：

其中，f表示进行网站指纹攻击时所用的分类器；X_w,f表示一组被f正确分类为网站w的原始数据流；x＝(x₁,...,x_n)为网站w的原始数据流，x_j表示数据包，j＝1,2,3…,n；Φ[x,δ]表示将对抗补丁向量δ应用在数据流x中的补丁注入函数；f_w(Φ[x,δ])表示Φ[x,δ]属于网站w的概率；

步骤2：在给定α和M_β下，采用双重退火算法求解公式(1)中的优化问题。

进一步地，步骤2中，采用双重退化算法的求解过程具体包括：

步骤2.1：将对抗补丁向量δ_w＝(δ₁,...,δ_α)＝(<p₁,β₁>,...,<p_α,β_α>)编码为扁平向量

步骤2.2：将

的能量E作为公式(1)中优化问题的优化目标，具体为：

步骤2.2.1：在退火过程中，通过公式(2)控制温度T(t)：

其中，q_v是用于在GSA中生成新解

的访问参数，t表示优化的轮数，T₀表示初始温度；

步骤2.2.2：在全局搜索阶段，使用Visita函数Π(q_v,T,d)模拟访问分布，生成一个具有d维分布的相邻点；使用广义Metropolis准则作为新解

及其能量E′的接受概率Pr(t)：

其中，ΔE＝E-E′；q_a表示接受参数，取值范围为(-10⁴,-5]；

步骤2.2.3：在局部搜索阶段，采用基于拟牛顿法逼近BGFS的L-BFGS-B算法。

进一步地，步骤2中，还包括：基于变形二分搜索的开销自适应调整策略求解M_α和M_β的最佳取值；具体包括：

以给定的补丁和界限<M_α,M_β>作为二叉树的根，然后迭代添加左孩子<M_α/2,M_β>和右孩子<M_α,M_β/2>到下一层节点的集合，直至集合为空时迭代停止；

检测各层节点集合是否可以产生成功解，若检测到的当前层节点集合不可以产生成功解，则删除该层节点集合中的相应节点；

定义扰动效率为导致错误分类的样本数与对抗补丁长度的比值，最优界限由扰动效率最高的成功解给出，即

进一步地，所述检测各层节点集合是否可以产生成功解，具体包括：

定义成功阈值τ，基于所述成功阈值τ采用公式(4)作为公式(1)中的优化问题的是否可以产生成功解的判断条件，若公式(4)成立，则表示可以产生成功解，若公式(4)不成立，则表示不可以产生成功解；

其中，

表示布尔函数，当对抗补丁δ导致分类错误时/>

取值为1。

进一步地，所述补丁注入函数Φ[x,δ]的补丁注入方式为：将对抗补丁δ中的每个补丁都注入至网站w的原始数据流x的位置p_i后的同向Burst的尾部。

本发明的有益效果：

本发明混淆方法在提供超过97％的保护成功率的情况下，所需带宽开销小于5％，远低于现有混淆方法。本发明混淆方法所生成的对抗补丁在具有挑战性的设置中(例如仅在客户端注入虚假数据包以及近两个月后应用扰动)仍然有效。其中，本发明设计的补丁注入方法，通过将对抗补丁注入到最靠近脆弱位置的同方向Burst中来提高对抗补丁的鲁棒性，这种方法实现了独立于后续数据包模式的实时流量注入，可以适应同一个网站多样性的网络流量，同时保证传输数据的完整性和最早交付。并且，本发明设计的生成对抗补丁算法只需要目标模型的黑盒反馈，在特定的界限约束下，生成的对抗补丁可应用于实时流量的面向网站的对抗扰动。在生成对抗补丁的过程中，还设计了带宽开销的自适应调整策略，调整后的优化约束使本发明的混淆方法能够以最小的带宽开销保护网站。

此外，在各种具有挑战性的环境中还对本发明方法进行了全面评估，实验结果表明，本发明混淆方法在扰动效率的关键指标上优于所有先前的WF混淆方法。此外，本发明混淆方法可以抵抗概念漂移，并在单向客户端扰动中保持高性能。生成的对抗补丁甚至可以在不同模型之间转移，因此它们可以应用于未知攻击。

附图说明

图1为本发明实施例提供的可以通过向网络流量中注入极少的虚假数据包来防御基于DNN的WF攻击的效果图；

图2为本发明实施例提供的基于成功率(SR)和效率(EFF)的自适应界限调整策略(M_α＝2，M_β＝8，τ＝0.9)；

图3为本发明实施例提供的补丁注入方法的示意图；

图4为本发明实施例提供的受监控网站数量对扰动成功率的影响；

图5为本发明实施例提供的不同对抗补丁方向的保护性能；

图6为本发明实施例提供的概念漂移对DNN分类精度和本发明混淆方法保护性能的影响；

图7为本发明实施例提供的在Sirinam(左)和Rimmer100(右)数据集上的不同模型之间本发明混淆方法所生成的对抗扰动的可转移性。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

网站指纹(WF)使本地被动攻击者能够通过加密连接推断用户正在访问的网站。基于深度神经网络(DNN)的分类器可以自动提取可靠的特征，即使在对抗Tor时也能达到98％的准确率。由于已知DNN容易受到对抗样本的影响，因此最近的几项研究利用对抗扰动来防御WF攻击。然而，这些混淆需要高带宽开销，通常会占用超过20％的原始流量，这使得它们在实际部署中不太实用。此外，许多关于WF混淆方法的研究因不切实际的假设而受到批评，例如完全访问目标模型和对整个网站数据流进行操作。在本发明中，发明人利用对抗补丁来控制开销并实现黑盒扰动，其中对抗补丁是一种特殊类型的对抗样本，仅扰动输入的局部部分。

本发明实现网站指纹混淆的构思是：在实时流量中注入极少的虚假数据包，以逃避攻击者的分类器，同时保留传输数据的优先级和完整性。

实施例1

在上述发明构思的指导下，本发明实施例提供一种基于对抗补丁的网站指纹混淆方法，具体内容包括：

针对任一网站w，定义δ_w表示待生成的面向网站w的对抗补丁向量；采用所述对抗补丁向量δ_w防御针对网站w的网站指纹攻击；其中，所述对抗补丁向量δ_w包含α个补丁，表示为δ_w＝(δ₁,...,δ_α)，其中补丁δ_i＝<p_i,β_i>表示含有|β_i|个方向为sign(β_i)的数据包被注入到网站w的原始数据流x的位置p_i后的某处，i＝1,2,3…,α；1≤α≤M_α；-M_β≤β_i≤M_β；M_α表示对抗补丁的最大数量；M_β表示最大补丁长度；

所述对抗补丁向量δ_w的生成过程包括：

步骤1：将对抗补丁向量δ_w的生成过程转换为公式(1)中的优化问题：

其中，f表示进行网站指纹攻击时所用的分类器；X_w,f表示一组被f正确分类为网站w的原始数据流，其规模严格小于网站流量集X_w；x＝(x₁,...,x_n)为网站w的原始数据流，x_j表示数据包，j＝1,2,3…,n；Φ[x,δ]表示将对抗补丁向量δ应用在数据流x中的补丁注入函数；f_w(Φ[x,δ])表示Φ[x,δ]属于网站w的概率；在这种情况下，优化约束中的实际数据流长度m_x取所有x∈X_w,f长度的q分位数。

具体地，按照现有的WF攻击和防御，一般可以将网站追踪建模为一个向量，其中每个元素代表一个数据包的方向，即+1代表出站数据包，-1代表入站数据包。为了满足DNN模型对固定长度输入的要求，通过添加0来填充较短的数据流，并截断超过输入长度的较长的数据流。

在现有的网站追踪建模的基础上，下面给出本步骤将生成对抗扰动向量转换为如公式(1)所述的具有约束的优化问题的转换推导过程：

假设f是进行网站指纹攻击时所用的分类器(简称目标分类器)，即训练好的DNN模型，它接收n维输入；x＝(x₁,...,x_n)是正确分类为网站w的原始网站数据流，即f(x)＝w。x属于网站w的概率(模型置信度)表示为f_w(x)。定义δ＝(δ₁,...,δ_α)为包含α个补丁的对抗扰动向量。每个补丁δ_i＝<l_i,β_i>含有|β_i|个方向为sign(β_i)的数据包，将在x的位置p_i之后的某处注入。防御者的目标是求解以下优化问题：

其中，M_α定义了对抗补丁的最大数量(补丁界限)，M_β定义了最大补丁长度，即每个补丁中的数据包最大数量(数据包界限)，N定义了注入位置的范围(注入界限)。如果网站数据流的实际长度是m_x，则有N＝min(m_x,n)。Φ[x,δ]定义了将对抗补丁δ应用在数据流x中的补丁注入函数。在优化过程中，任何驱动x超出其原始类别的δ都是一个成功的解，即f(Φ[x,δ])≠f(x)。

需要注意的是，上述(*)公式所示的优化问题事实上是面向数据流的。然而，由于同一网站数据流的多样性，一条数据流生成的对抗扰动可能对其他数据流失效。因此，防御者无法在实时流量中应用这些扰动，因为无法预判即将到来的数据包模式。为了生成可应用于实时流量的扰动向量，本发明实施例中将公式(*)中的优化问题修改为了如公式(1)所示的面向网站的形式。

步骤2：在给定α和M_β下，采用双重退火算法求解公式(1)中的优化问题；

与之前关注模型损失函数或特征的l₂距离的研究不同，本发明提供的网站指纹混淆方法旨在最小化正确分类类别的置信概率。它只需要概率标签的黑盒反馈，不需要目标DNN模型的内部信息，如网络结构和损失函数的梯度。

为此，本发明实施例采用双重退火算法(Dual Annealing，DA)来解决公式(1)中的优化问题，该双重退火算法是一种用于逼近全局最优的元启发式算法。DA不要求目标函数是可微的，因此可以基于概率标签进行优化。此外，与梯度下降算法相比，DA相对较少地受局部最优影响。DA基于广义模拟退火(Generalized Simulated Annealing，GSA)，它归纳了经典模拟退火(Classical Simulated Annealing，CSA)和快速模拟退火(Fast SimulatedAnnealing，FSA)。GSA不仅比传统的退火算法收敛得更快，而且还大大降低了能量波动。GSA是一种随机方法，其中在冷却过程中以随机方式修改候选解，并且新解以一定的概率被接受。随着温度的降低，修改的幅度和接受更差解的可能性都会降低。这有效地避免了在高温下陷入局部最优。对于任何给定的有限问题，随着时间的迁移，退火过程以全局最优解终止的概率接近1。除了执行GSA的全局搜索之外，DA还结合了在现有解上应用局部搜索的策略，这有可能更快地找到成功解。

具体地，采用双重退化算法的求解过程具体包括：

步骤2.1：为满足DA定长的一维解向量，将对抗补丁向量δ_w＝(δ₁,...,δ_α)＝(<p₁,β₁>,...,<p_α,β_α>)编码为扁平向量

中的变量受0≤p_i≤N和-M_β≤β_i≤M_β约束；

步骤2.2：将

的能量E作为公式(1)中优化问题的优化目标，具体为：

步骤2.2.1：在退火过程中，通过公式(2)控制温度T(t)：

/>

其中，q_v是用于在GSA中生成新解

的访问参数，取值范围在(0,3]内，访问参数越高，分布的尾部越重，使算法跳转到更远的区域；t表示优化的轮数，T₀表示初始温度；

步骤2.2.2：在全局搜索阶段，使用Visita函数П(q_v,T,d)模拟访问分布，生成一个具有d维分布的相邻点；使用广义Metropolis准则作为新解

及其能量E^′的接受概率Pr(t)：

其中，ΔE＝E-E′；q_a表示接受参数，取值范围为(-10⁴,-5]，接受参数越低，接受的概率越小；

步骤2.2.3：在局部搜索阶段，采用基于拟牛顿法逼近BGFS的L-BFGS-B算法。L-BFGS-B的特点是使用有限内存和支持Bound约束(与GSA一致)。

本发明实施例首次揭示了可以通过向网络流量中注入极少的虚假数据包来防御基于DNN的WF攻击，如图1所示，图1中，向上/向下的条形标志着数据包方向(出/入)，较高的条形标志着注入的对抗补丁；原始的类别标签以粗体字显示，预测的标签和相应的置信度在下面给出。具体来说，本发明实施例设计了一个新的补丁注入方法来保留流量模式的约束和一个只需要目标模型的黑盒反馈的补丁生成方法。生成的对抗补丁是面向网站的，因此可以预先计算并应用于实时流量。更重要的是，本发明混淆方法将有效保护所需的带宽开销降低到一个实用范围(小于5％)。本发明方法的这种轻量级特性使其适用于抵抗攻击者可能采取的对策，例如频率分析和对抗性训练。

实施例2

实施例1已经在固定的α和M_β下获得了优化的对抗补丁。考虑到退火算法解决无解问题所需的时间甚至可能超过暴力搜索，因此，为了进一步对上述实施例的开销进行优化，需要确定最佳的界限约束。为了确定最佳的界限约束，应该在扰动成功率和带宽开销之间进行权衡。宽松的界限往往会产生更高的成功率，但会产生不可接受的带宽开销，而严格的界限可以以较低的成功率为代价有效地减少带宽开销。如果约束太严格，可能由于没有可行解而使优化时间显著增加。

为此，在上述实施例的基础上，本发明实施例还设计了一个基于变形二分搜索的开销自适应调整策略，如图2所示。本实施例以给定的补丁和界限<M_α,M_β>作为二叉树的根，然后迭代添加左孩子<M_α/2,M_β>和右孩子<M_α,M_β/2>到下一层节点的集合，直至集合为空时迭代停止；

接着，检测各层节点集合是否可以产生成功解，若检测到的当前层节点集合不可以产生成功解，则删除该层节点集合中的相应节点；

具体地，所述检测各层节点集合是否可以产生成功解，具体包括：

定义成功阈值τ，基于所述成功阈值τ采用公式(4)作为公式(1)中的优化问题的是否可以产生成功解的判断条件，若公式(4)成立，则表示可以产生成功解，若公式(4)不成立，则表示不可以产生成功解；

其中，

表示布尔函数，当对抗补丁δ导致分类错误时/>

取值为1。τ的取值与扰动的保护性能直接相关，在不考虑执行效率的情况下，可以设置τ＝1以获得最高的保护成功率。

定义扰动效率为导致错误分类的样本数与对抗补丁长度的比值，最优界限由各层节点中扰动效率最高的成功解给出，即

具体地，基于树的搜索减少了遍历的组合数量，并且避免了对界限过于严格的问题进行徒劳的尝试。

在上述各实施例中，所述补丁注入函数Φ[x,δ]的补丁注入方式为：将对抗补丁δ中的每个补丁都注入至网站w的原始数据流x的位置p_i后的同向Burst(相同方向的数据包突发)的尾部。如图3所示。

具体地，补丁注入函数将对抗补丁应用于网站数据流。该函数有两个设计目标：1)面向数据包的补丁，能够在实时网络流量中应用扰动，以及2)自适应注入位置，以适应同一网站的多样化数据流，从而缩小优化问题的解空间大小。

很多WF混淆方法是面向Burst的，其基本扰动单元是同方向的连续数据包序列。考虑到Burst的长度与交互的数据量有关，这种方法允许更好地利用数据流特性。然而，这些防御的一个重要缺点是它们需要事先获取完整的网站数据流，这对于实时网络流量来说是不现实的。相反，本发明的扰动方法是面向数据包的，即对抗补丁直接注入到数据包序列。这允许在实时网络连接上应用扰动，使得本发明方法在现实世界中更实用。

此外，现有WF混淆方法的补丁注入函数是基于特定位置的，也就是说，它们只是将虚假数据包注入到数据流的给定位置。这破坏了传输数据的完整性和优先级，例如一个Burst会被相反方向的虚假数据包分割。此外，由于网站流量的多样性，这些方法往往会使生成的扰动在实践中效果不佳。因此本发明实施例设计了自适应注入方案，如图3所示，每个扰动补丁都被注入到同向Burst的尾部。这使得优化的扰动能够很好地适应同一网站的不同流量，同时最大限度地减少原始数据的延迟。自适应注入方法的另一个好处是它可以显著缩小优化问题的解空间。当原始注入位置在相反方向Burst内时，注入函数不会向原始数据流引入新的反向Burst，因为实际注入位置移动到最近的同向Burst。

为了验证本发明提供的基于对抗补丁的网站指纹混淆方法的有效性，本发明还提供有下述实验。本实验通过防御最先进的基于DNN的WF攻击来展示保护性能。通过一系列实验，包括与先前基于对抗性的WF混淆方法的比较，结果表明Minipatch可以以极高的效率防御基于DNN的WF攻击，同时提供强大的鲁棒性和可转移性。

(一)实验设置

(1)WF数据集

实验使用公开的Sirinam等人的数据集(来自文献1“P.Sirinam,M.Imani,M.Juarez,and M.Wright,“Deep fingerprinting:Undermining website fingerprintingdefenses with deep learning,”in Proceedings of the 2018ACM SIGSAC Conferenceon Computer and Communications Security.Toronto,ON,Canada:ACM,2018,pp.1928–1943”)和Rimmer等人提供的若干数据集(来自文献2“V.Rimmer,D.Preuveneers,M.Juarez,T.van Goethem,and W.Joosen,“Automated website fingerprinting through deeplearning,”in 25th Annual Network and Distributed System SecuritySymposium.San Diego,California,USA:The Internet Society,2018”)。数据集包含标记良好的Tor用户的网站流量，其中Siriman数据集仅提供类别编号而不是网站域名。Sirinam数据集将流量分为特定的训练、验证和测试集，比例为8:1:1。为了在实验中保持数据的一致性，将Rimmer数据集中的流量根据按照9:0.5:0.5比例分割为训练、验证和测试集。

表1显示了实验数据集的统计信息。基于训练好的DNN模型，使用测试数据生成Minipatch扰动，并使用不重叠的验证数据验证保护性能。为了与之前的工作保持一致，将给定的网站流量编码为方向序列，其值为+1或者-1。将序列长度固定为5000，较长的数据流被截断，较短的数据流用零填充。

表1实验使用的WF数据集

(2)目标DNN模型

测试本发明方法对三种最先进的基于DNN的WF攻击的保护性能：AWF(文献2)、DF(文献1)和Var-CNN(文献3“S.Bhat,D.Lu,A.Kwon,and S.Devadas,“Var-cnn:A data-efficient website fingerprinting attack based on deep learning,”Proc.Priv.Enhancing Technol.,vol.2019,no.4,pp.292–310,2019”)。虽然这些模型都主要由卷积层(Conv)和全连接层(Dense)组成，但它们的复杂性差异很大。如表2所示，DF和Var-CNN的可训练参数数量大约是AWF的26倍，而Var-CNN的计算复杂度(以浮点运算衡量)约为DF的3.7倍。

表2目标DNN模型结构、复杂度和分类准确率

为了充分训练目标DNN模型，采用Early Stopping策略并配合足够大的训练轮数。只有当验证数据的损失值一段时间没有减少时，训练过程才终止，最终模型来自损失最低的轮次。这种策略有助于避免由于过度训练而导致的过拟合，并适应不同WF数据集的收敛速度。根据对应工作中建议的值设置其他训练超参数(优化器、学习率等)。表2中统计了每个模型与数据集组合的分类准确率。最复杂的Var-CNN达到了99.7％的最高准确率，但与DF相比整体提升很小。即使是最简单的AWF也能达到最低92.0％的准确率。

(3)相关参数配置

基于训练好的DNN模型，使用本发明方法生成面向网站的扰动。为了找到最优界限约束，设置初始优化界限M_α＝8，M_β＝64，并对每个网站应用自适应界限调整，即对抗补丁包含最多512个(8×64)和最少1个(1×1)数据包。取网站流量X_w,f中实际长度的分位数q＝0.5作为补丁注入位置的界限。使用双重退火优化时，按照之前工作的建议设置初始温度T₀＝5230,访问参数q_v＝2.62，接受参数q_a＝-10³。此外，还试验了不同的参数值，发现它们对保护性能的影响并不明显。最后，设置成功阈值τ＝1以获得最佳性能，并设置最大退火迭代次数M_t＝30以避免在无解问题上花费太多时间。

(4)评估指标

由于扰动后的网站流量会导致DNN模型的错误分类，因此本发明方法的保护性能可以通过准确性的降低来体现，正如之前的工作所采用的那样。然而，准确度的变化并不直观，因为在不同的模型和数据集设置下，扰动前的准确度可能会有很大差异。为此，使用归一化的扰动成功率作为评估指标。对于给定的DNN模型f和测试数据集X，将扰动成功率定义为

其中X_f是f正确分类的流量数据集，其尺寸严格小于X；δ_x是应用于数据流x的扰动向量，对于所属网站的所有数据流都是相同的。成功率在0(准确度没有下降)和1(准确度下降到零)之间变化。需要注意的是，此处定义的成功率与现有技术中所定义的成功率不同。现有技术中，将成功率定义为误分类率，即1-Accuracy，现有技术中采用这样的度量是有争议的，因为即使没有任何扰动，它也大于0。

本实验中还使用带宽开销的指标，它反映了补丁长度与原始数据流长度的比率。将度量定义为

需要注意的是，这里的带宽开销严格高于现有技术中所使用的带宽消耗。在现有技术的研究方法中，min(m_x,n)被替换为m_x(实际数据流长度)或者n(模型输入长度)。而在实验中表明，即使本实验采用了更严格的定义，本发明方法也可以以极低的带宽开销实现相当高的成功率。

(二)实验结果

(1)整体性能

首先在Siriman和Rimmer100数据集上评估Minipatch对每个目标DNN模型的保护性能。这两个数据集的网站数量相似，但Rimmer100的训练样本数量大约是Siriman的3倍。对于每个需要保护的网站，本发明方法根据自适应界限调整策略生成最优扰动向量。设置了四组补丁和数据包界限，分别限制了最多512、128、32和8个数据包的注入。需要注意的是，即使有较大的扰动范围，给定网站的实际扰动也可能很小。换句话说，松散的初始界限仅对需要显著扰动以导致错误分类的网站有效。

表3显示了扰动效果。可以看出，虽然注入的数据包很少，但每个目标DNN模型都非常容易受到本发明方法扰动的影响。例如，平均只注入2个长度为15的补丁，本发明方法可以分别针对AWF、DF和Var-CNN模型实现83.6％、60.9％和70.5％的扰动成功率。特别是，本发明能够以不到5％的带宽开销生成对几乎所有网站流量进行错误分类的扰动。通过比较三个目标模型的结果，就扰动成功率而言，DF和Var-CNN比AWF更能抵抗本发明的混淆，其中DF最为稳定。考虑到表2中所示的模型结构，可以发现Var-CNN比DF更脆弱，尽管它更复杂且具有更高的分类精度。从这些结果中，可以说更复杂的DNN模型不一定会导致更好的对抗扰动恢复能力。此外，通过比较两个数据集之间的结果，发现使用更多样本(Rimmer100)训练的DNN更难产生扰动，这表明每类更多的训练实例增强了DNN模型的鲁棒性。

表3本发明方法对抗DNN模型的保护性能

(2)监控网站数量的影响

接下来测试受监控网站的数量对本发明方法保护性能的影响。直观上，被监控的网站越多，不同网站在DNN特征空间中的距离就越近，导致分类性能下降(如表2所示)并且更容易产生对抗扰动。为了验证该想法，使用了具有不同网站数量的四个Rimmer数据集。需要注意的是，这些数据集中只有94个共有网站。换句话说，Rimmer100中的6个网站没有出现在其他数据集中。为了公平比较防护性能，只选取这94个网站采用本发明方法生成对应的对抗补丁。

针对最稳健的DF攻击的扰动结果如图4所示。正如预期的那样，可以看到，在相同的扰动范围内，更多的受监控网站会导致更高的成功率。例如，通过注入最多32个虚假数据包，本发明方法在Rimmer900数据集上实现了68.0％的成功率，是Rimmer100数据集上31.5％的2倍多。尽管如此，图中垂直的性能差距随着扰动界限的增加而缩小，这表明本发明方法有潜力抵御监控一些特定网站的自定义DNN模型。

(3)对抗补丁方向的影响

之前的结果是通过注入双向流量获得的。将此方案称为双工模式，其中本发明方法的部署需要Tor客户端和Tor入口节点的参与。但是，双工模式可能会带来隐私问题，因为一些用户可能不希望Tor入口节点直接获取他们的浏览历史记录。考虑到应用本发明方法需要知道要保护哪个网站，扰动向量不应包含入站数据包的补丁。为了应对这个潜在的需求，在出站和入站模式下重新评估本发明方法。具体来说，修改优化问题的补丁长度约束，对于出站模式修改为0≤β_i≤M_β，对于入站模式修改为-M_β≤β_i≤0，从而将生成的扰动限制为仅包含单向数据包。

图5显示了在Rimmer100数据集上针对DF攻击的扰动结果。可以看到出站模式的性能几乎与双工模式相同，扰动成功率达到97.8％，带宽开销为5.3％。这表明本发明方法的单向客户端部署足以实现最佳保护性能。另一个有趣的观察结果是，入站模式的性能比出站模式差得多，仅实现82.3％的成功率，带宽开销超过13.7％。这表明出站数据包特征在DNN中具有更大的权重，并且更容易受到扰动的保护。

(4)概念漂移的影响

概念漂移是目标类的数据模式以不可预见的方式随时间变化的现象。这种时间效应在WF中很常见，因为一些网站会不断更改其内容。现有结果表明，随着时间的推移，WF攻击的准确性急剧下降。为了测试Minipatch对概念漂移的稳健性，我们将生成的扰动补丁应用于若干时间后收集的网站流量中。具体来说，我们的实验使用Rimmer200数据集为每个网站生成扰动补丁，并将它们应用于Rimmer+T数据集的流量中，这些数据分别在3天、10天、4周、6周和8周后重新收集。尽管这些数据集声称是在相同的设置下收集的，但概念漂移数据集中仅出现了来自Rimmer200的190个网站。考虑到被排除的10个网站没有经过DNN模型训练，我们将这190个共有网站作为扰动对象。

应用对抗补丁前DNN的分类准确率和注入补丁后的扰动成功率如图6所示。从图6中可以看出，本发明方法能够在每个目标模型上很好地抵抗概念漂移。尽管DNN随着时间的推移变得越来越不准确，但本发明方法的保护性能仍然非常高，甚至有所提高，6周后对AWF的扰动成功率达到了99％。发明人的解释是，网站内容的变化本质上也是一种扰动。这种扰动将与对抗补丁叠加，将网站数据流推离其在DNN特征空间中的原始位置。换句话说，只有非常低的概率才能抵消Minipatch扰动的影响。

(5)扰动可转移性

可转移性是指针对目标模型创建的对抗扰动对不同的、可能未知的模型有效的能力。现有技术中的一些研究已经表明，为给定DNN模型计算的对抗扰动具有一定的可转移性。这个属性对于WF混淆方法很重要，因为将这意味着能够使用白盒模型来创建其对抗扰动，然后将它们应用于未知的黑盒模型。在本实验中，通过显示跨模型扰动的成功率来评估本发明方法的可转移性。具体来说，首先为每个DNN模型生成扰动补丁，并将它们分别应用于数据流。然后，使用扰动后的数据流来评估每个目标模型的成功率。

图7以热图矩阵的形式显示结果以及平均传输率的单独列。可以看出，为每个DNN模型创建的扰动具有相当程度的可转移性。通过将三个DNN模型相互比较，可以看到针对DF生成的扰动具有最高的传输率，在Sirinam数据集上针对AWF和Var-CNN的成功率分别为89.7％和91.1％。相比之下，为AWF计算的扰动在模型之间的转移性要小得多，这表明简单的结构化DNN不适用作为Minipatch生成的替代模型。总体来说，DF在抵抗对抗补丁和生成可靠的扰动方面都比其他DNN模型表现得更好。

(6)与其它混淆方法的比较

将本发明方法与五种最先进的基于对抗性的混淆方法进行比较：Mockingbird(文献4“M.S.Rahman,M.Imani,N.Mathews,and M.Wright,“Mockingbird:Defending againstdeep-learning-based website fingerprinting attacks with adversarial traces,”IEEE Trans.Inf.Forensics Secur.,vol.16,pp.1594–1609,2021”)、WF-GAN(文献5“C.Hou,G.Gou,J.Shi,P.Fu,and G.Xiong,“WF-GAN:fighting back against websitefingerprinting attack using adversarial learning,”in IEEE Symposium onComputers and Communications.Rennes,France:IEEE,2020,pp.1–7”)、AWA(文献6“M.Nasr,A.Bahramali,and A.Houmansadr,“Defeating dnn-based traffic analysissystems in real-time with blind adversarial perturbations,”in 30th USENIXSecurity Symposium.USENIX Association,2021,pp.2705–2722.”)、Blind(文献7“A.M.Sadeghzadeh,B.Tajali,and R.Jalili,“AWA:adversarial website adaptation,”IEEE Trans.Inf.Forensics Secur.,vol.16,pp.3109-3122,2021”)和Dolos(文献8“S.Shan,A.N.Bhagoji,H.Zheng,and B.Y.Zhao,“Patch-based defenses against webfingerprinting attacks,”in Proceedings of the 14th ACM Workshop on ArtificialIntelligence and Security.Virtual Event,Republic of Korea:ACM,2021,pp.97–109.”)。正如前面提到的，Mockingbird有一个严重的缺点，那就是它需要在Burst序列上进行扰动，因此需要提前获得整个网站数据流，使其无法用于实时流量。WF-GAN和AWA也存在这种实际问题。虽然Blind和Dolos可以扰乱实时流量，但它们会引入显著的带宽开销，从而影响实际用户体验。对于Mockingbird和Blind，在Sirinam和Rimmer100数据集上评估了它们对三个DNN模型的保护性能。对于WF-GAN、AWA和Dolos，我们采用原始论文中的结果。

表4显示了比较结果。需要注意的是，在原始工作中，Dolos是在Rimmer900数据集而不是Rimmer100上评估的。这种差异导致成功率低于表中的数字，因为保护性能随着受监控网站的数量而增加。从表4可以看出，本发明方法在带宽开销和扰动成功率方面优于其他基于对抗性的WF混淆方法。更重要的是，本发明方法对抗性防御技术只需要不到五分之一的带宽开销(<5％)以达到相当的保护水平。这对于实际部署非常有意义，因为用户不希望由于应用扰动而在访问网站内容时遇到明显的延迟。

表4 Minipatch与其它基于对抗的WF混淆方法对比

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (1)

1.基于对抗补丁的网站指纹混淆方法，其特征在于，针对任一网站w，定义δ_w表示待生成的面向网站w的对抗补丁向量；采用所述对抗补丁向量δ_w防御针对网站w的网站指纹攻击；其中，所述对抗补丁向量δ_w包含α个补丁，表示为δ_w＝(δ₁，...，δ_α)，其中补丁δ_i＝<p_i，β_i>表示含有|β_i|个方向为sign(β_i)的数据包被注入到网站w的原始数据流x的位置p_i后的某处，i＝1，2，3…，α；1≤α≤M_α；-M_β≤β_i≤M_β；M_α表示对抗补丁的最大数量；M_β表示最大补丁长度；

所述对抗补丁向量δ_w的生成过程包括：

步骤1：将对抗补丁向量δ_w的生成过程转换为公式(1)中的优化问题：

其中，f表示进行网站指纹攻击时所用的分类器；X_w，f表示一组被f正确分类为网站w的原始数据流；x＝(x₁，...，x_n)为网站w的原始数据流，x_j表示数据包，j＝1，2，3…，n；Φ[x，δ]表示将对抗补丁向量δ应用在数据流x中的补丁注入函数；f_w(Φ[x，δ])表示Φ[x，δ]属于网站w的概率；所述补丁注入函数Φ[x，δ]的补丁注入方式为：将对抗补丁δ中的每个补丁都注入至网站w的原始数据流x的位置p_i后的同向Burst的尾部；

步骤2：在给定α和M_β下，采用双重退火算法求解公式(1)中的优化问题，具体包括：

步骤2.1：将对抗补丁向量δ_w＝(δ₁，...，δ_α)＝(<p₁，β₁>，...，<p_α，β_α>)编码为扁平向量

步骤2.2：将

的能量E作为公式(1)中优化问题的优化目标，具体为：

步骤2.2.1：在退火过程中，通过公式(2)控制温度T(t)：

其中，q_v是用于在GSA中生成新解

的访问参数，t表示优化的轮数，T₀表示初始温度；

步骤2.2.2：在全局搜索阶段，使用Visita函数Π(q_v，T，d)模拟访问分布，生成一个具有d维分布的相邻点；使用广义Metropolis准则作为新解

及其能量E′的接受概率Pr(t)：

其中，ΔE＝E-E′；q_a表示接受参数，取值范围为(-10⁴，-5]；

步骤2.2.3：在局部搜索阶段，采用基于拟牛顿法逼近BGFS的L-BFGS-B算法；

其中，步骤2中，还包括：基于变形二分搜索的开销自适应调整策略求解M_α和M_β的最佳取值；具体包括：

以给定的补丁和界限<M_α，M_β>作为二叉树的根，然后迭代添加左孩子<M_α/2，M_β>和右孩子<M_α，M_β/2>到下一层节点的集合，直至集合为空时迭代停止；

检测各层节点集合是否可以产生成功解，具体包括：定义成功阈值τ，基于所述成功阈值τ采用公式(4)作为公式(1)中的优化问题的是否可以产生成功解的判断条件，若公式(4)成立，则表示可以产生成功解，若公式(4)不成立，则表示不可以产生成功解；

其中，

表示布尔函数，当对抗补丁δ导致分类错误时/>

取值为1；

若检测到的当前层节点集合不可以产生成功解，则删除该层节点集合中的相应节点；

定义扰动效率为导致错误分类的样本数与对抗补丁长度的比值，最优界限由扰动效率最高的成功解给出，即

/>

Images