基于实时流量塑型的网站指纹防御机制研究.pdfVIP

摘要

摘要

随着互联网规模扩张，网络安全威胁激增，尤其是针对终端用户隐私的攻击

层出不穷。当前常见的隐私保护技术，如隧道封装、匿名通信和加密变换无法彻

底隐藏用户的所有特征，如通信流向、报文尺寸、流量频度等，这些信息容易被

各种流量分析技术所利用。特别是，深度学习驱动的网站流量分析技术对终端用

户隐私的危害日益严重。现有的网站指纹防御机制通常依赖可完整获取网站数据

的假定，因而无法在实时环境中直接应用。为此，本文提出一种基于实时流量塑

型的网站指纹防御机制，以解决不完整数据条件下的网站指纹防御问题。本文的

主要工作及贡献如下：

针对实时抵御深度学习攻击的问题，提出了一种基于实时对抗样本生成的网

站指纹防御机制。与依赖完整流量序列的传统防御方案相比，本机制利用强化学

习算法可实现实际场景中的实时、高效防御。其中设计奖励时引入欧氏距离、曼

哈顿距离、动态调整距离、余弦相似度以及深度学习分类器等度量标准实时评估

防御过程中的有效性，并通过训练深度Q网络（DeepQNetwork，DQN）优化防

御策略，平衡有效性与资源消耗。实验结果显示，所提机制显著降低了攻击准确率

至2.7%，相较于Mockingbird和WF-GAN技术防御成功率分别提高了38.11%和

2.82%。实验结果还表明，所提方法在提升防御效果的同时，显著减少了时延和带

宽消耗。

针对实时网站指纹防御部署的挑战，提出了一种基于快速UDP互联网连接

（QuickUDPInternetConnections，QUIC）协议的动态防御方案。该方案通过在客

户端实施防御措施实现对上下行流量特征的动态塑形。方案利用待处理事件队列

确保客户端请求的有序性，并通过共享内存机制，实现防御进程与防御策略进程

之间的高效通信，从而支持基于实时对抗样本生成的网站指纹防御机制的实施。

在方案实现中引入了PADDING帧和PING帧，以实现客户端虚假数据包的发送，

并采用快速UDP互联网连接协议的流级流控制机制，对服务端的数据包延迟和虚

假数据包的发送进行操作。通过对比实验分析，基于所设计的防御部署方案，实

际防御序列与模拟防御序列之间在5ms防御精度采样频率下的相似度达到了0.86，

并且实际防御时延开销为未防御状态的3.16倍，带宽开销为3.79倍，网站指纹防

御部署方案实施有效性及可行性均得到验证。

关键词：网站指纹防御，实时流量塑型，对抗样本，深度强化学习，流控机制

I

ABSTRACT

ABSTRACT

AsthescaleoftheInternetexpands,networksecuritythreatsproliferate,especially

attacksonend-userprivacy.Currentlycommonprivacyprotectiontechnologies,suchas

tunnelencapsulation,anonymouscommunicationandencryptiontransformation,cannot

completelyhideallcharacteristicsofusers,suchascommunicationflowdirection,packet

size,trafficfrequency,etc.Thisinformationiseasilyexploitedbyvarioustrafficanaly-

sistechnologies.Inparticular,deeplearning-drivenwebsitetrafficanalysistechnologyis

increasinglyharmfultoend-userprivacy.Existingwebsitefingerprintingdefensemech-

anismsoftenrelyontheassumptionofcompleteaccesstowebsitedataand,therefore