[论文阅读]Resisting DNN-Based Website Fingerprinting Attacks Enhanced by Adversarial Training

Resisting DNN-Based Website Fingerprinting Attacks Enhanced by Adversarial Training

Resisting DNN-Based Website Fingerprinting Attacks Enhanced by Adversarial Training | IEEE Journals & Magazine | IEEE Xplore 

IEEE Transactions on Information Forensics and Security ，11 August 2023 

研究背景和问题：

（1）实际应用场景和问题提出

在实际应用中，许多用户依赖匿名通信网络（如Tor）保护隐私，尽管匿名网络对流量进行了加密和混淆，然而DNN模型的快速发展使得攻击者可以通过分析用户流量的特征，准确识别出用户访问的目标网站。例如，根据加密流量的大小、方向、时序特征，攻击者可以识别用户是否访问了某些特定网站，如政治敏感网站或社交媒体平台。这种攻击对用户隐私构成了严重威胁，且现有的防御机制效果不足，需要提出新的方法应对这一挑战。

本论文针对这种场景，提出如何在匿名通信网络中有效防御DNN的WF攻击问题，尤其是在攻击者也进行对抗训练背景下，研究高效且符合实际的防御机制。

（2）问题的研究意义

潜在危害：网站指纹攻击可能暴露用户的访问偏好和敏感数据，例如用户是否访问某些特定的新闻网站、论坛或研究敏感主题的网页，从而对隐私、自由和安全构成威胁。 研究价值：提高匿名通信网络的防御能力有助于保护用户隐私，增强用户对匿名网络的信任，确保这些技术在抗审查等场景的有效性。

（3）问题的研究现状

【攻击现状】 ①传统WF攻击： 早期的WF攻击方法基于流量的手工特征提取和传统机器学习算法（如SVM、kNN）。这些方法的攻击精度通常在50%-70%之间，但需要对流量模式进行大量预处理，且对抗性较弱。 ②深度学习驱动的WF攻击： 随着DNN的引入，攻击技术进入了新的阶段。例如： 使用卷积神经网络（CNN）提取流量特征，显著提升攻击精度。 使用递归神经网络（RNN）分析流量时序特性，使攻击更加鲁棒。 最近的攻击方法结合了混合模型，在多个数据集上的攻击精度超过90%。 这些方法依赖于DNN对流量模式的强大拟合能力，可以在无需手工特征提取的情况下直接进行攻击。

【防御现状】 ①传统防御方法： 在应用层或网络层修改流量跟踪，通过在真实流量中注入随机的虚假流量以掩盖通信模式。通过改变流量包的发送顺序或时间间隔来混淆流量模式。然而，这种方法显著增加了通信开销、对用户体验有一定影响，例如延迟增加，并可能被攻击者通过模式分析绕过。 ②基于对抗性扰动的防御方法： 最近的研究开始探索深度学习在防御中的应用，基于对抗性扰动的WF防御因其误导分类器的强大能力而受到越来越多的关注。但这些方法其中一些防御方法需要对目标分类器进行白盒访问，训练生成器需要损失梯度和攻击者网站分类器的相关信息，且需要首先获取整个流量轨迹再计算扰动，无法应用到实时的场景中。还有的防御方法可以生成迹线无关的防御扰动，即通用扰动。

【现存问题】 攻击模型适应性强：深度学习模型能够快速适应防御策略的变化，使现有防御方法效果有限。 通信效率与防御效果难以平衡：流量填充、扰动等方法往往以牺牲通信效率为代价，难以在实际场景中应用。 缺乏通用防御框架：现有防御方法大多针对特定攻击模型设计，难以适应新型攻击技术的发展。

（4）本文的研究动机和核心贡献

【研究动机】 随着DNN技术的应用，WF攻击变得更加高效和隐蔽。现有防御手段不足以抵御这种高级攻击，因此需要设计新的防御策略。

【核心贡献】 本文提出了一种基于对抗训练的防御机制，利用生成对抗样本扰乱攻击者模型的决策，同时保持通信效率和服务质量。

具体贡献包括： 指出了 WF 防御的更实用的方向，即黑盒防御、不依赖痕迹防御和对对抗性训练有足够鲁棒性的防御。 开发了一种新的 WF 防御方法，应对攻击者对抗性训练增强的WF攻击具有更强鲁棒性。 本文方法在实验中相较于其他对比模型取得了较高的性能。

技术框架或方法论：

（1）相关知识和基本原理

【WF攻击】 WF攻击的目的是通过分析被监控用户的流量轨迹来识别其访问过的网站。WF 攻击包括两个主要步骤。首先，攻击者利用信道窃听收集流量轨迹，从轨迹中提取特征，获得一组标记样本（即训练数据集）。标注样本随后用于训练分类器（如 DNN），以进行网站识别。其次，攻击者收集受害用户的流量轨迹，从轨迹中提取特征，然后使用训练好的分类器识别用户访问的网站。 WF攻击的性能主要取决于特征和分类器。以往的特征包括数据包大小频率、两个方向的总传输时间和传输量、每个方向的流量突发数等。最近的研究表明，数据包方向足以进行网站识别，而数据包大小和时间戳都不是必要的。因此，当前的 WF 攻击侧重于数据包方向，用 {-1,+1} 中的一串值来表示，其中值 +1 或 -1 分别对应上行或下行方向。为方便起见，数据包方向序列通常简化为突发序列，由正整数或负整数序列表示。一个突发对应一组按特定方向收集的连续数据包，每个整数的符号反映了相应突发的方向，每个整数的绝对值表示相应突发中连续数据包的数量。此外，通常还会引入零填充和尾部截断来调整各种突发序列的长度

【对抗性训练】 对抗性训练是一种通过在训练过程中引入对抗性样本来增强模型鲁棒性的技术。这些对抗性样本通过对原始数据施加微小但精心设计的扰动，使得模型在面对这些扰动时仍能保持高准确性。

本文对攻击者的对抗性训练分为两个场景进行讨论： ①简单对抗性训练（Trivial Adversarial Training）：攻击者使用来自单一用户的扰动数据来训练其DNN分类器。这种方法虽能提升分类器对特定扰动的识别能力，但其泛化能力有限，容易被更复杂的防御机制所突破。 ②复杂对抗性训练（Non-Trivial Adversarial Training）：攻击者利用来自多个用户的多样化扰动数据进行训练。这种方法显著增强了分类器对各种扰动模式的识别能力，使其在面对多样化和复杂的扰动防御时依然保持高准确性。

（2）本文的方法概述

为了应对经过对抗性训练增强的WF攻击，本文提出了名为Acup3的防御方法，其防御任务是为流量轨迹的突发序列生成对抗扰动，扰动会导致分类错误。

Acup3的实现包括三个主要步骤： 首先，Acup3 将网站随机分为多个簇，然后为每个簇选择一个网站作为头部。 第二，Acup3 得出适用于未见流量跟踪的通用扰动。 第三，Acup3 以一定概率修改扰动，以实现扰动变化。

Acup3以可以作为一种可插拔的传输方式实现，并通过 Tor 浏览器使用。在访问某个网站之前，Tor 用户会利用 Acup3 生成一个扰动，或者从事先建立的扰动池中随机选择一个扰动。当用户与网站的会话开始时，Tor 浏览器会根据扰动结果自动在数据包序列中插入假数据包。

【多对一网站模仿】 网站聚类，使得同一聚类内的网站在流量特征空间中更加相似。减少类间距离，增加攻击者区分不同网站的难度。 Acup3 为每个簇选出一个簇头，并对非簇头网站的流量轨迹进行扰动，以引导非簇头网站模仿其簇头。流量跟踪是通过注入假数据包来扰动的，即增加突发序列中某些元素的值，选择拥有最大突发序列的网站作为簇头。如果要隐藏的网站偶然被选为簇头，Acup3只需要重新进行随机聚类，直到该网站成为某个簇的成员。

【扰动生成与变化】 在扰动带宽开销可接受的约束下，使得非簇头网站模仿其簇头，即插入扰动后同一簇内的突发序列之间的相似性增加，误导WF分类器。Acup3生成的扰动是通用的，不依赖于特定的完整流量轨迹，使其适用于各种不同的流量模式。 并通过随机修改扰动的方式，将网站的扰动突发序列分散在特征空间中，增加扰动的多样性，使得攻击者在进行对抗性训练时难以有效学习和适应新的扰动模式。

【用户独立的扰动】 分配给访问同一网站的不同用户的扰动应该不同。随机聚类会为网站产生大量的聚类结果。给定一个网站，Acup3 会找到大量模拟对象并生成各种扰动，目标用户和攻击者发现相同最大突发序列的概率极小。且由于引入了随机化，使用户在给定相同输入的情况下得到不同的结果。

（3）方法的讨论与分析

①多对一网站模仿策略通过聚类减少了不同网站簇的类间的特征差异，使得攻击者在分类时面临更大的挑战。 ②扰动多样化通过增加扰动的随机性和多样性，打破了攻击者通过对抗性训练学习到的扰动模式，使得攻击模型难以有效分类。 ③用户独立的扰动使得每个用户相同网站模仿的簇头不同，攻击者即使使用复杂对抗训练也难以推测目标用户访问的网站。

实验设计与结果分析：

【数据集与评估标准】 采用了三种代表性的基于DNN的WF攻击来进行防御评估，即AWF、DF和Var-CNN。使用攻击成功率（ASR）来衡量各种防御的防御能力，ASR低表明防御能力强。

【应对简单和复杂对抗训练的有效性】 简单对抗场景 经过简单对抗性训练的 DNN 模型在面对未经防御的流量数据时具有较高的攻击成功率 ASR（通常达到 90% 以上）。 Acup3 在简单对抗性训练场景下显著降低了攻击者的 ASR，从无防御状态下的高 ASR 降至 20% 以下。相较于 Mockingbird 和 AWA，Acup3 表现出更强的防御能力和稳健性。 复杂对抗场景 经过复杂对抗性训练的 DNN 模型具有更强的鲁棒性和适应性，在这种场景下，攻击者的 ASR 通常会提高到接近 98%。

在复杂对抗性训练场景下，Acup3 的防御效果依然显著，相对于AWA的平均 ASR 降低了约 24.5%，开销降低了6.5%。相比于 Mockingbird 和 AWA，Acup3 在这种更复杂的攻击环境中表现出了更高的稳健性，Mockingbird 和 AWA 的 ASR 则相对较高。 攻击场景 无防御 Mockingbird AWA Acup3 简单对抗训练 ASR > 0% 中等防御效果 ASR < 20% ASR < 20% 复杂对抗训练 ASR > 98% - ASR 63.27% 开销22.28% ASR 38.77% 开销 15.75%

【多对一网站模仿】 考虑三种场景，其中簇大小分别设置为 2、5 和 10。在第一种情况下，每个集群只有两个网站，方法简化为一对一的网站模仿，类似于AWA和Mockingbird。当簇大小为2时，平均ASR最大，即多对一的模仿（即簇大小为5或10）比一对一的网站模仿表现更好。

【扰动变化】 当不使用扰动变化时（即η=0），ASR达到最大值20.73%、19.59%和33.16%，即Acup3 在这种情况下防御效果最差。当η为0.5时，ASR达到最小值17.86%、15.07%和24.29%，在这种情况下防御表现较好。当过度使用扰动变化时，其带来更多的开销，从而降低 Acup3 的性能。 结论与展望： 对抗性扰动可以以相对较低的带宽开销保护 Tor 用户免受 WF 攻击。主要挑战是如何为 Tor 用户生成与跟踪无关且具有 AT 弹性的扰动。本文中开发了一种黑盒 WF 防御 Acup3 来克服这一挑战。

Acup3采用多对一网站模仿的方式，增加网站分类难度，抵御WF攻击。此外，Acup3 可以在不访问流量轨迹的情况下为用户产生通用扰动，使其适合实际部署。 Acup3 还引入了扰动变化以增加扰动的多样性，从而在对抗简单和复杂 AT 时表现稳健。 实验表明，Acup3在开销和防御效果上超越了经典方法（即WTF-PAD、Walkie-Talkie和Mockingbird）和SOTA方法AWA。与AWA相比，在复杂AT增强的WF攻击下，Acup3可以进一步减少ASR和带宽开销24.5%和6.5%。