CN115361221B - 一种基于数据投毒的网站指纹识别防御系统及方法 - Google Patents

Abstract

本发明公开了一种基于数据投毒的网站指纹识别防御系统及方法，该系统包括数据投毒模型训练模块和防御部署模块，首先，进行所述数据投毒模型训练，分别使用本地目标WF分类器DF与数据投毒模型一起进行训练，保存训练好的数据投毒模型；然后，进行防御部署。与现有技术相比，本发明在低数据收集开销下使用较低的带宽开销达到高保护成功率的效果，另一方面是网站数据无关的防御方法，不需要定期更新防御调度，数据收集开销低。

Description

一种基于数据投毒的网站指纹识别防御系统及方法

技术领域

本发明属于网络安全技术领域，特别涉及匿名网络网站指纹识别防御系统及方法。

背景技术

匿名通信技术为用户在互联网上的浏览活动带来了隐私性和机密性。例如，洋葱路由器(Tor)使用分布式匿名系统为超过200万的日常用户提供服务。然而网站指纹识别攻击(WF)，WF攻击者窃听用户通过Tor网络浏览行为的流量，并通过分类模型推断用户访问的网站，对Tor用户的隐私构成了严重威胁。研究表明，最近基于深度学习的WF攻击可以达到90％以上的分类准确率，如DF、AWF和Var-CNN等，其中DF甚至实现了高达98％的准确率，打破了Tor的隐私保护能力。

Tor的三层加密机制，保证其匿名性，保护用户隐私。然而，即使tor将用户数据封装在固定大小的单元格中，仍然可以观察到数据包的数量、方向和时间戳信息。WF攻击者仍然可以使用这些信息进行WF攻击。与以前的WF工作一样，我们假设攻击者是一个本地的、被动的对手。本地表示对手位于客户端和tor的入口节点之间。攻击者知道客户端的身份，并试图识别客户端访问的网站。本地的这一特性使得对手几乎不可能被检测到，因为互联网服务供应商、本地系统管理员和tor网络的入口节点很可能成为攻击者。被动意味着攻击者只能监视这个电路上的加密流量，而不能删除、修改、延迟或解密任何数据包。

假设攻击者操纵数据的方向性信息来执行攻击，这一假设与之前的许多防御工作一致。此外，我们假设使用封闭世界WF攻击，即用户只访问攻击者已知的一组网站。对于防御者来说，这种情况比用户可以访问任意网站的开放世界限制更困难。最后，我们假设攻击者使用我们的防御策略产生的数据集训练他们的分类器，这是非常实际的，因为防御方法是公开可用的。

一般来说，抵御WF攻击有两个关键步骤：(1)调度生成，包括创建一个数据插入计划，这个计划包括虚拟数据包的数量和它们将要被插入的位置；(2)实现，包括根据计划将虚拟数据包注入到原始trace中。为了抵御WF攻击，可以在原始流量trace中插入虚拟数据包，以降低WF攻击的分类能力。现有的防御通常共享“伪装”的基本思想，即通过结合原始trace和预先设置的虚拟数据包改变自己的特征分布，从而将自己伪装为其他网站的形式。伪装可以进一步分为随机伪装和反馈伪装，随机伪装基于某种随机规则进行插包，它不依赖于网站的信息，数据收集开销低，但是它的防御性能较差，或者是保护成功率低或者是带宽开销过高。反馈伪装借助本地分类器的反馈，将自己伪装成一个目标网站的形式，这种方式防御性能较好，但是它依赖于网站的特征分布信息，而研究表明网站是频繁更新和更改的，当网站更新时，反馈伪装也需要定期的收集数据集更新防御调度，因此数据收集开销比较高。

为了防御网站指纹识别攻击以及保护Tor用户的隐私，现有技术提出了许多不同的网站指纹识别防御方法，大致分为两类：一类是不需要依赖网站信息的随机伪装，另一列是需要依赖网站信息的反馈伪装。虽然这些方法都在一定程度上防御了网站指纹识别攻击，但它们同时有着各自的一些缺陷。

发明内容

本发明旨在解决低数据收集开销情况下，现有网站指纹识别防御带宽开销、保护成功率不平衡的问题，而提出了一种基于数据投毒的网站指纹识别防御系统及方法，通过数据投毒实现对攻击者的分类器的主动攻击，不需要依赖网站信息的实现了高保护成功率、低带宽开销和低数据收集开销。

本发明利用以下技术方案实现：

一种基于数据投毒的网站指纹识别防御系统，该系统包括数据投毒模型训练模块和防御部署模块，其中：

所述数据投毒模型训练模块，该模块用于执行的相关过程为：①根据用户端密钥从投毒标签取出对应的元素，输入到自定义的数据投毒模型；②使用数据投毒模型生成两个序列，由这两个共同形成一个对应于投毒标签的目标投毒序列，这两个序列被称为触发器；③根据用户端密钥将所述触发器中的两个序列注入从trace存储库中随机选择的流量trace中，得到修改后的流量trace文件；④将修改后的流量trace文件输入给目标WF分类器进行预测，将预测结果与投毒标签之间的交叉熵损失函数反向传播；⑤对数据投毒模型和目标WF分类器同时进行优化，根据交叉熵损失函数计算损失，然后使用链式法则计算神经网络每一个参数对应的偏导数，最后使用优化器进行参数的更新，分别使用本地目标WF分类器与数据投毒模型一起进行训练，来实现数据投毒模型的生成有效性的检验，直到本地目标WF分类器能够对由数据投毒模型生成的触发器进行分类或者本地目标WF分类器能够根据每个网站的触发器对其进行准确的分类为止，保存训练好的数据投毒模型，以供后续的防御使用；

所述防御部署模块，用于执行的相关过程为：①用户端代理使用要访问的网站的标签作为投毒标签，根据用户端密钥取出投毒标签的元素；②将该元素输入给训练好的投毒模型，生成触发器；③用户端代理将触发器的形式和应该插入的位置通知防御代理；④客户端代理与防御代理协作，根据用户端密钥将触发器插入到流量trace文件中，获得修改后的流量trace文件。

一种基于数据投毒的网站指纹识别方法，该方法包括以下步骤：

首先，进行所述数据投毒模型训练：①根据用户端密钥从投毒标签取出对应的元素，输入到自定义的数据投毒模型；②使用数据投毒模型生成两个序列，由这两个共同形成一个对应于投毒标签的目标投毒序列，这两个序列被称为触发器；③根据用户端密钥将所述触发器中的两个序列注入从trace存储库中随机选择的流量trace中，得到修改后的流量trace文件；④将修改后的流量trace文件输入给目标WF分类器进行预测，将预测结果与投毒标签之间的交叉熵损失函数反向传播；⑤对数据投毒模型和目标WF分类器同时进行优化，根据交叉熵损失函数计算损失，然后使用链式法则计算神经网络每一个参数对应的偏导数，最后使用优化器进行参数的更新，分别使用本地目标WF分类器与数据投毒模型一起进行训练，来实现数据投毒模型的生成有效性的检验，直到本地目标WF分类器能够对由数据投毒模型生成的触发器进行分类或者本地目标WF分类器能够根据每个网站的触发器对其进行准确的分类为止，保存训练好的数据投毒模型，以供后续的防御使用；

然后，进行防御部署：①用户端代理使用要访问的网站的标签作为投毒标签，根据用户端密钥取出投毒标签的元素；②将该元素输入给训练好的投毒模型，生成触发器；③用户端代理将触发器的形式和应该插入的位置通知防御代理；④客户端代理与防御代理协作，根据用户端密钥将触发器插入到流量trace文件中，获得修改后的流量trace文件。

相比于现有的工作，本发明仅使用低于12.38％的带宽开销就能有效防御现有的典型性网站指纹识别攻击，使其攻击准确率从98.12％下降到27.86％。另一方面本发明是网站数据无关的，不需要定期更新防御调度，数据收集开销低。

附图说明

图1为本发明的一种基于数据投毒的网站指纹识别防御系统架构示意图。

图2为采用本发明防御与现有防御和原始trace特征分布差异的对比图。

图3为各攻击在采用本发明防御与现有防御在DF数据集上的准确率对比图。

具体实施方式

下面结合附图对本发明的技术方案作进一步详细描述。

如图1所示，为本发明的一种基于数据投毒的网站指纹识别防御系统架构示意图。

本发明采用数据投毒的思想来探索一个数据无关的调度生成器，它可以根据来自本地目标分类器的反馈进行调整。图1突出显示了防御的整体架构，包括数据投毒模型训练模块和防御部署模块。

数据投毒模型训练模块10，该模块用于执行的相关过程为：①根据用户端密钥从投毒标签取出对应的元素，输入到自定义的数据投毒模型；②使用数据投毒模型生成两个序列，由这两个共同形成一个对应于投毒标签的目标投毒序列，这两个序列被称为触发器；③根据用户端密钥将所述触发器中的两个序列注入从trace存储库中随机选择的流量trace中，得到修改后的流量trace文件；④将修改后的流量trace文件输入给目标WF分类器进行预测，将预测结果与投毒标签之间的交叉熵损失函数反向传播；⑤对数据投毒模型和目标WF分类器同时进行优化根据交叉熵损失函数计算损失，然后使用链式法则计算神经网络每一个参数对应的偏导数，最后使用优化器进行参数的更新，分别使用本地目标WF分类器与数据投毒模型一起进行训练，来实现数据投毒模型的生成有效性的检验，直到本地目标WF分类器能够对由数据投毒模型生成的触发器进行分类或者本地目标WF分类器能够根据每个网站的触发器对其进行准确的分类为止，保存训练好的数据投毒模型，以供后续的防御使用。本地目标WF分类器被称为DF，全称Deep Fingerprinting。

其中：

所述数据投毒模型是一个多层感知器，选择随机生成的标签作为投毒标签来训练投毒模型。该模型的输入是用户端密钥index数组中与投毒标签对应的数字对的one-hot形式，输出为两个长度为l的方向序列。长度表示虚拟数据包的插入数量，这决定了带宽开销。其中，长度l为可配置参数。注入到流量trace中的触发器的格式与流量trace的表示一致，因此在网络的最后一层使用一个自定义的激活函数，将Sigmoid激活函数的值大于0.5的映射为1，否则映射为-1。最后，由数据投毒模型生成的触发器以在线的方式被注入到修改后的流量trace文件中。

所述随机生成的标签作为数据投毒标签，每个随机生成的标签对应一个网站。

所述用户端密钥是一个wn*2的index数组，wn代表网站的数量，每个网站对应于一对互斥的数字(数字的取值范围为[0、2wn)，总共2wn个数字，每对2个，共wn对)，这对数字决定了该网站的触发器。在一个index数组中，来自不同网站的数字对是完全不相交的。Tor为每个用户生成一个这样的index数组，然后客户端代理根据这个密钥为相应的网站生成一个触发器。另一个密钥是所生成的触发器的开始注入位置。不同的密钥会产生显著不同的触发器。

所述触发器是行防御时根据客户端index数组(用户端密钥)对应的网站数字对生成触发器，然后根据用户端密钥将其注入到流量trace文件中。为了成功地将触发器注入到trace的某个位置，客户端代理和防御代理需要相互配合。在这里，选择tor的中间节点作为防御代理，这与之前的研究工作一致。客户端代理向防御代理发送指令，这个指令包含了触发器的信息以及应该要插入的位置。两者相互合作，按照触发器的形式发送虚拟数据包。这些虚拟数据包后续可以通过客户端代理和防御代理过滤掉，因此不会影响用户与目标网站之间的正常通信。在将客户端防御生成的修改后的trace输入到WF分类器后，它非常容易被分类为其他网站，因为它不会在对手分类器中触发该网站的触发器。

所述目标WF分类器采用自定义的基于深度学习的目标WF分类器，在训练一个投毒模型时，所述目标WF分类器从数据投毒模型中生成触发器，在数据投毒攻击中，只要一个输入包含一个触发器，数据投毒模型就会将该输入归类为触发器的目标标签，此目标标签也即该投毒序列对应的投毒标签。

例如，在数据投毒模型训练过程中对目标WF分类器进行训练的目的是测试该目标WF分类器是否可以根据特定的触发器对单个网站进行分类。使用目标WF分类器来模拟对手的行为，使用防御数据集来训练目标WF分类器，并让它根据触发器进行分类。目标WF分类器的输入是修改后的trace，其中包含了投毒模型输出的触发器，但此时投毒模型只定义了网络结构，尚未被成功训练；这是一个模拟防御，以产生修改过的trace。投毒模型的输出是目标分类器输入的一部分，因此我们将这两个模型连接起来。然后将修改后的trace输入目标WF分类器进行预测，预测结果与真实标签的损失进行反向传播，同时对投毒模型和目标WF分类器进行优化，直到目标WF分类器的训练完成。

防御部署模块20，该模块用于执行的相关过程为：①用户端代理使用要访问的网站的标签作为投毒标签，根据用户端密钥取出投毒标签的元素；②将该元素输入给训练好的投毒模型，生成触发器；③用户端代理将触发器的形式和应该插入的位置通知防御代理；④客户端代理与防御代理协作，根据用户端密钥将触发器插入到流量trace文件中，获得修改后的流量trace文件。

其中，客户端与攻击者有不同的用户端密钥。当攻击者将观察到的流量trace文件输入给攻击者训练好的分类器进行分类时，即使访问同一网站，生成的trace也会被划分为不同的网站类别。

相比于现有的工作，本发明证明了主动攻击敌手的分类器，可以同时实现高防御性能和低数据收集开销。本发明提出了新的网站指纹识别防御方法，利用用户端密钥机制，通过数据投毒的方法对攻击者的分类器进行投毒攻击，以促使攻击者分类错误。我们使用两个著名公开数据集，对本发明进行了详细的评估。实现结果表明，本发明可以将最先进的WF攻击的分类准确率从98.12％下降到27.86％。由于我们的防御方法不依赖于网站相关的信息，不需要随着网站更新和改变重新收集数据集更新防御调度，具有低数据收集开销。

利用模型迁移性实现防御部署的相关描述：在防御模型的部署级别，不知道攻击者使用的WF分类方法，是一个黑盒。更重要的是，由于攻击者可以使用任何WF分类器，而防御不应该局限于某个特定的WF分类器，它也应该扩展到其他可能的分类器。以上两者都给WF的防御带来了一定的困难。然而，之前的研究表明，针对类似任务的机器学习模型即使具有不同的结构，也具有相似的性能和脆弱性。在目标WF分类器上训练的数据投毒模型对于其他WF分类器应该具有类似的作用。利用模型的迁移性，数据投毒模型可以用自己本地的目标WF分类器进行训练，而不用知道真实的WF分类器。如果防御成功地对抗目标WF分类器，它也可以成功地防御其他WF攻击。

如表1所示，为各攻击在采用本发明防御下的准确率随着带宽开销的变化。

表1

Claims (6)

1.一种基于数据投毒的网站指纹识别防御系统，其特征在于，该系统包括数据投毒模型训练模块和防御部署模块，其中：

所述数据投毒模型训练模块，该模块用于执行的相关过程为：①根据用户端密钥从投毒标签取出对应的元素，输入到自定义的数据投毒模型；②使用数据投毒模型生成两个序列，由这两个共同形成一个对应于投毒标签的目标投毒序列，这两个序列被称为触发器；③根据用户端密钥将所述触发器中的两个序列注入从trace存储库中随机选择的流量trace中，得到修改后的流量trace文件；④将修改后的流量trace文件输入给目标WF分类器进行预测，将预测结果与投毒标签之间的交叉熵损失函数反向传播；⑤对数据投毒模型和目标WF分类器同时进行优化，根据交叉熵损失函数计算损失，然后使用链式法则计算神经网络每一个参数对应的偏导数，最后使用优化器进行参数的更新，分别使用本地目标WF分类器与数据投毒模型一起进行训练，来实现数据投毒模型的生成有效性的检验，直到本地目标WF分类器能够对由数据投毒模型生成的触发器进行分类或者本地目标WF分类器能够根据每个网站的触发器对其进行准确的分类为止，保存训练好的数据投毒模型，以供后续的防御使用；

所述防御部署模块，用于执行的相关过程为：①用户端代理使用要访问的网站的标签作为投毒标签，根据用户端密钥取出投毒标签的元素；②将该元素输入给训练好的投毒模型，生成触发器；③用户端代理将触发器的形式和应该插入的位置通知防御代理；④客户端代理与防御代理协作，根据用户端密钥将触发器插入到流量trace文件中，获得修改后的流量trace文件。

2.如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统，其特征在于，在所述数据投毒模型是一个多层感知器，选择随机生成的标签作为投毒标签来训练投毒模型，该模型的输入是用户端密钥index数组中与投毒标签对应的数字对的one-hot形式，输出为两个长度为l的方向序列。

3.如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统，其特征在于，在所述用户端密钥是一个wn*2的index数组，wn代表网站的数量，每个网站对应于一对互斥的数字；Tor为每个用户生成一个这样的index数组；不同的密钥会产生不同的触发器。

4.如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统，其特征在于，在所述触发器是行防御时根据用户端密钥对应的网站数字对生成触发器，然后根据用户端密钥将其注入到流量trace文件中。

5.如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统，其特征在于，所述目标WF分类器为采用自定义的基于深度学习的目标WF分类器，在训练一个投毒模型时，所述目标WF分类器从数据投毒模型中生成触发器，在数据投毒攻击中，只要一个输入包含一个触发器，数据投毒模型就会将该输入归类为触发器的目标标签。

6.基于如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统的一种基于数据投毒的网站指纹识别方法，其特征在于，该方法包括以下步骤：

首先，进行所述数据投毒模型训练：①根据用户端密钥从投毒标签取出对应的元素，输入到自定义的数据投毒模型；②使用数据投毒模型生成两个序列，由这两个共同形成一个对应于投毒标签的目标投毒序列，这两个序列被称为触发器；③根据用户端密钥将所述触发器中的两个序列注入从trace存储库中随机选择的流量trace中，得到修改后的流量trace文件；④将修改后的流量trace文件输入给目标WF分类器进行预测，将预测结果与投毒标签之间的交叉熵损失函数反向传播；⑤对数据投毒模型和目标WF分类器同时进行优化，根据交叉熵损失函数计算损失，然后使用链式法则计算神经网络每一个参数对应的偏导数，最后使用优化器进行参数的更新，分别使用本地目标WF分类器与数据投毒模型一起进行训练，来实现数据投毒模型的生成有效性的检验，直到本地目标WF分类器能够对由数据投毒模型生成的触发器进行分类或者本地目标WF分类器能够根据每个网站的触发器对其进行准确的分类为止，保存训练好的数据投毒模型，以供后续的防御使用；

然后，进行防御部署：①用户端代理使用要访问的网站的标签作为投毒标签，根据用户端密钥取出投毒标签的元素；②将该元素输入给训练好的投毒模型，生成触发器；③用户端代理将触发器的形式和应该插入的位置通知防御代理；④客户端代理与防御代理协作，根据用户端密钥将触发器插入到流量trace文件中，获得修改后的流量trace文件。