Laserbeak: Evolving Website Fingerprinting Attacks With Attention and Multi-Channel Feature Representation
Laserbeak: Evolving Website Fingerprinting Attacks With Attention and Multi-Channel Feature Representation | IEEE Journals & Magazine | IEEE Xplore
IEEE Transactions on Information Forensics and Security
研究背景和问题:
(1)实际应用场景和问题提出
匿名通信技术旨在防止网络通信的内容和元数据被泄露,或被恶意活动篡改。例如保护网络浏览隐私的最流行的匿名通信工具之一洋葱路由 (The Onion Router,Tor),通过使用随机路由和多层代理等技术建立浏览会话来隐藏用户活动,其数据通信通过临时密钥加密并在固定大小的单元中转发。然而这些技术无法隐藏用户流量的重要特征,例如数据包频率、时间、顺序和方向。网站指纹(Website Fingerprinting,WF)攻击允许被动网络窃听者使用这些特征来推测用户访问的具体网页,而无需分析用户的加密流量模式即可去匿名化,从而损害其隐私。WF攻击的主要任务是通过训练分类器,即使在各种WF防御下,也能准确识别流量是否属于特定网站。
现有WF攻击虽一定程度上有效,但是流量表示法过于单一,未能充分利用数据中的上下文信息,需要进一步探索不易被防御所覆盖流量特征表示方法,来对抗不断发展的网络指纹防御。 且多项相关工作虽然在实际的开放世界场景取得成功,但是只能识别高基准率页面(例如最受欢迎的搜索引擎),且这些可能并不是攻击者感兴趣的敏感页面。这意味着这些 WF 不会在更加真实的开放世界场景中,对访问低基准率页面(例如举报、文件共享以及政治和文化敏感页面)的隐私敏感个人构成威胁。需要进一步开展WF攻击的研究。
(2)问题的研究意义
隐私威胁与监管:Tor用户依赖匿名性保护隐私,而WF攻击可有效地识别用户的访问行为,应用于合法的网络监管,防范不法分子对匿名网络的滥用。然而现有的WF攻击在开放世界中的应用难以拓展,识别的精确度不够,存在较大限制。
对防御系统的挑战:当前防御系统(如FRONT、Interspace等)虽能迷惑传统攻击,但对本文的方法LASERBEAK下存在一定脆弱性。从攻击侧的角度挖掘了现有隐私保护体系的缺陷和潜在威胁,推动防御建设。 技术推动:引入计算机视觉领域的先进技术(如Transformer架构),为网络流量分析技术的发展提供了新方向,提升识别精度。
(3)问题的研究现状
早期的 WF 攻击主要依靠统计特征和启发式方法对流量模式进行分类,效果有限。随着深度学习的出现,自动网站指纹和深度指纹(DF)等攻击被提出,模型通过自动学习流量数据中的复杂特征,大大提高了攻击的准确性。DF 利用卷积神经网络,通过对封闭世界环境中的流量特征进行有效建模,取得了最较好的成果。
(4)本文的研究动机和核心贡献
探索了可用于 WF 攻击的各种流量特征表示方法,提出多通道特征表示包含多种包级和区间级特征,使模型能捕获更丰富的上下文信息。提高对网站指纹防御的鲁棒性,以抵御常见的防御措施如数据包填充和延迟等,进一步减少 Tor 网络中的剩余匿名性。受计算机视觉启发,融合Transformer模块与CNN的优势,增强对局部和全局模式的捕获能力。提出精度优化机制,在 WF 的经典表述中,攻击的有效性是用召回率(TPR)来衡量的。然而真实的开放世界场景中,非敏感网页数量远大于敏感网页的数量,攻击者需要对抗基准率谬误。即当正事件(敏感网页访问)的基准率远低于 FPR 时,攻击者会被错误的正分类所淹没。被误报所淹没的 OWF 窃听者将无法确定给定客户端是否实际访问了敏感页面。需要探索精确度与召回率的平衡,以提升深度学习模型在更加真实的开放世界中的精确度,达到WF攻击的真正目的。收集包含50万样本的新的大型数据集,用于评估单站点攻击。技术框架或方法论:
(1)相关知识和基本原理
WF攻击基于网络流量的特征模式(如数据包大小、时间间隔)进行识别。传统上,使用机器学习或深度学习算法来对流量进行分类。 即WF攻击过程为:攻击者事先访问一定数量的受监控网页,收集到的数据包序列称为迹,每个网页都是一个类,属于该类的特定迹称为一个实例,并在这些迹上训练分类模型。攻击者可根据训练好的模型预测从客户端观察到的迹属于哪个网页。
【Tor网络特征】 目前广泛使用Tor匿名网络通过使用随机路由和多层代理等技术建立浏览会话来隐藏用户活动,每个节点只知道自己的直接对等节点;其数据通信通过多层临时密钥加密,并使用字节填充的方式在固定大小的单元中传输,隐匿数据包的长度特征。即传输数据每经过一个中间节点就解开一个加密层次以得到下一个目标节点信息,直到达到目标节点。中间节点无法得知消息的起始点和终点。 按照典型网站指纹识别的定义,WF攻击研究主要考虑本地的被动式识别者,即识别者位于接近本地网络的位置。且识别者位置必须可以截获到隐私增强技术保护的加密流量,针对Tor网络场景符合该要求的识别者可能是本地互联网服务供应商(Internet Service Provider,ISP)、恶意的网络人口节点和本地局域网(Local Area Network, LAN)管理者等。
【开放世界中的基准率谬误】 基准率谬误为个体忽视事物发生的概率而作出错误的判断。 在封闭世界场景中,假设用户只访问一组特定的网页,即受监控的敏感网页,识别者在封闭场景中训练。在开放世界场景中,客户端可以访问非监控网页,且非监控集包含的网页类别数量远大于监控集。攻击者首先预测某个跟踪是监控网页还是非监控网页,若确定为受监控的敏感网页,攻击者进一步确定具体网页类别。 设定分类器输出属于敏感页面时,被称为阳性;如果测试的数据包序列来自分类器识别的同一敏感页面,则为真阳性(TP),如果测试的数据包序列来自非敏感页面,则为假阳性(FP)。将错误阳性(WP) 定义为被分类器误认为另一个敏感页面的敏感页面。一些先前的研究将错误阳性视为假阳性,会导致计算精度时出现重大错误。 在开放世界中的基准率谬误可描述为以下问题:分类器可能具有高召回率TPR和低 FPR,但在实践中可能仍然无用。当阳性事件(敏感网页访问)的基准率远低于假阳性率 FPR 时,会被错误的正分类所淹没,将无法确定给定客户端是否实际访问了敏感页面。
【Transformer网络】 Transformer是一种基于自注意力机制的深度学习架构,擅长处理长序列数据。其核心机制是通过计算输入序列中每对位置之间的注意力权重,捕获全局上下文信息。 在计算机视觉领域,Vision Transformer (ViT) 和卷积视觉Transformer (CvT) 将Transformer扩展到图像任务中,通过结合卷积和注意力机制,即试图将卷积的移位和尺度不变性与Transformer处理长距离依赖关系的能力结合起来,实现对局部和全局模式的同时捕获。在WF领域,传统CNN主要捕获局部模式,但难以有效建模全局上下文关系,而Transformer的注意力机制能弥补这一不足。 CvT 在多个阶段分层排列Transformer,在每个阶段开始时,使用一个卷积层来增加特征(如通道)维度,同时利用分步卷积进行空间降采样。随着阶段的推进,特征的维度会增加,同时序列的长度会缩短,从而降低注意力的成本。 CvT 还用卷积投影取代了用于生成键、查询和值表示的传统线性投影。首先,卷积内核可以捕捉局部关系,并将其嵌入到注意力机制中。其次,可以对键和值序列进行分段卷积,以减少长度。缩减采样的空间,提高注意力的计算效率。
(2)本文的方法概述
LASERBEAK 方法的核心逻辑分为以下几个关键模块:
① 多通道特征表示 组合多种数据包级和时间区间级特征,使用时间窗口来产生聚合的特征度量的思想,提供比单一特征表示更丰富的上下文信息。基于先前研究,选择了六种手工设计的特征,包括方向序列、时间间隔和突发特征等,覆盖了流量的多种维度。不同特征组合可以减少冗余信息,这种策略对多种流量拆分防御非常有效。例如在后续对每个特征通道分组卷积时,方向序列的模式提取不会受到时间间隔噪声的影响。
②模型架构设计 用于全局关注的Transformer块:在CNN基础上加入Transformer块,作为卷积层的预处理阶段,增强模型对全局模式的捕获能力。将原来的线性卷积层换成了受 DF 中使用的卷积块启发的层堆栈。这个堆栈由一维卷积、批量归一化、ReLU 激活、最大池化和正则化层组成。突破CNN被限制在有限的、由滤波器大小定义的局部信息块中的局限,捕获长距离关系以获取更好的全局处理能力。
卷积扩展因子:在DF的卷积块第一层中,使用的滤波器数量等于输入维度乘以一个扩展因子,扩展卷积层的参数容量,通过更大的扩展因子提升模型对复杂模式的捕获能力,参考Transformer网络前馈层。
引入多通道“Stem”阶段:模型的第一阶段使用分组卷积,确保不同通道的特征可以独立处理。每个输入通道都由针对该通道的滤波器处理,不会出现重叠,减少特征间的信息干扰。
③精度优化器 基于置信度对分类概率进行优化,只有当模型对某个网站的最高预测概率大于设定的阈值,对监控集中某个跟踪的预测才成立。通过改变这个阈值权衡精确度和召回率。
K-neighbors:利用分类器全连接层输出作为轨迹的特征嵌入。考虑同一类别的轨迹通常具有相互接近的嵌入,可以使用距离来衡量相似性。分类器找到最近的k个邻域(邻域是验证集中示例的嵌入),,且k个领域属于同一类别并位于受监控类别集中,则确定轨迹属于受监控集。调整k值权衡精度和召回率。 集合方法:通过训练多个使用不同特征表示的模型,仅在多个模型预测一致时,才会确定轨迹属于受监控集。这种方法的基本原理源于集合学习的概念,即模型对数据提供不同的视角,从而有效减少个体偏差和错误。
(3)方法的讨论与分析
【优势】
信息多样性:通过结合多种流量特征(如方向序列、时间间隔、突发特征等),每个通道捕捉不同维度的信息,为模型提供更全面的上下文信息。例如方向序列捕捉流量的基本模式,时间间隔反映流量的时间分布,而突发特征揭示流量的整体结构。
对抗防御的鲁棒性:在应对强混淆流量(如通过填充或延迟进行伪装的流量)时,多通道特征表示和Transformer捕获流量模式中的长距离依赖性和全局关系能更有效地识别隐藏的流量模式。实验结果表明,仅特征表示的改进便能提升攻击性能15%以上。
灵活性:新特征可以方便地添加到现有架构中,例如通过引入额外的通道来支持特定防御或场景,如不限制数据包大小的其他加密流量场景。
提升开放世界性能:精度优化器通过过滤低置信度预测等方式,减少了单一模型的偏差,平衡精确度和召回率,显著降低开放世界场景下的误报率。
实验设计与结果分析:
本文作者收集了一个包含50万样本的大型数据集(Single-Site),用于模拟单站点的子页面识别攻击。并对模型进行了多种防御场景评估,包括FRONT、Interspace和Surakav等先进防御。之前的大部分工作都集中在网站主索引页面的指纹识别上,然而网站通常有成千上万甚至无穷多个子页面,在使用子页面而不仅仅是索引页面评估攻击时,源自同一网站的痕迹的多样性(即类内差异)会急剧增加。攻击者可能只访问一小部分子页面进行训练和测试。 在子页面识别场景中,使用多类准确率和每类F1分数来衡量分类效果。每个类别的 F1 分数是该类别的精确度和召回率分数的调和平均值。在子页面识别的背景下,每类精度衡量分类器从所有其他子页面中辨别子页面的能力,而每类召回率衡量将检测到对特定子页面的访问次数。
【封闭世界评估】 在封闭世界基准测试中, LASERBEAK 几乎在所有情况下都优于 RF,除了在 Gong 等人的 FRONT-defended 数据集上,总体平均性能提高了 +12.6%。在所有实例中,LASERBEAK 都优于 ARES 攻击或与之相当。 LASERBEAK 在对 Tamaraw 和 Surakav 的防御中取得了最大的相对优势,可以在高度混淆的流量中明确的迹的类别。例如,在Gong-Surakav 数据集上对抗 Surakav防御时,LASERBEAK 的准确率达到 81.5%,远高于 RF 的 51.6% 和 Tik-Tok 的 57.0%。作者进行了消融实验,认为最重要的改进因素是增加了多通道特征向量。 讨论了数据增强和模型大小的影响。为模型提供额外样本时,LASERBEAK 和 RF 从增强中获得的收益较小,而 Tik-Tok 和 ARES 则从额外样本中获益更多,即分类器随着数据增加而提高的能力与所使用的特征表示密切相关。小模型规模(参数量)可能是限制防御流量的一个因素,但并不是决定因素。在识别子页面的情况下,准确率明显较低,在所有子页面都在同一域内的单站点数据中尤为明显。 (i) LASERBEAK 参数复杂性的增加有助于分辨防御流量,(ii) 附加的特征表示法(如区间累积和速率)仍然有利于特征空间的学习。
【开放世界评估】 针对无防御流量,在基本比率为 50% 的 BigEnough 设置中,所有方法几乎都性能较好。在基本比率较低的 Gong-Surakav 数据集中,Tik-Tok 的精确度最高达到 83.2%,召回率为 83.5%。相比之下,LASERBEAK(不受关注)的精确度为 89%,召回率大致相同。 针对有防御流量,在几乎所有情况下,LASERBEAK 都比之前的所有攻击更有效,Transformer提供的注意力变体价值微乎其微。RF模型通常能达到与 LASERBEAK 相似的最大精确度,但在其最大召回率都较低。 精度优化器(PO)评估。基于Gong-Surakav 数据集评估,在精度-召回曲线上实现更好的值。在无防御的数据集上,k-neighbors 方法的PO可使得攻击精确度达到 100%,召回率高达 53%,使攻击在现实世界中更加可行,因为现实世界的规模远远大于 50k 个未受监控的站点。在不同防御系统上的表现各不相同。在对付 FRONT 和 Surakav 时,集合方法的PO效果较好,可牺牲较少的召回率获得较大的精确度提升。而k-neighbors方法的PO通常很难提高性能。
结论与展望:
【结论】 本文提出了LASERBEAK,一种基于多通道特征表示和Transformer模型的新型网站指纹(WF)攻击方法。在现有防御机制的复杂场景下,LASERBEAK展现了显著的性能优势,推动了WF攻击的技术发展。主要贡献和总结如下:
多通道特征表示:通过结合包级和区间级特征,模型能够在高度混淆的流量中提取更丰富的上下文信息,显著提升攻击准确性(最高提升36.2%)。
基于Transformer的架构设计:将卷积网络与Transformer模块结合,增强了全局模式捕获能力,同时保持了对局部特征的敏感性。
精度优化器的引入:提出了k-neighbors、集合方法和置信度优化器,提高了开放世界任务中的分类精确度和召回率,尤其是对低基准率的流量数据表现良好。
现实场景评估:通过大型开放世界数据集和子页面识别实验,验证了LASERBEAK在实际流量中的攻击能力,展现了当前防御系统的局限性。
【局限性】
计算复杂性:多通道特征的引入增加了特征的维度和模型的计算成本。且Transformer模块的计算复杂度与序列长度成二次关系,在处理长流量序列时可能带来显著的时间和资源成本。在某些防御条件(如未防御或RegulaTor防御)下,Transformer模块的性能提升有限,仅增加了0.5%-1%的准确率。
可能的过拟合风险:在无防御流量下,多特征可能引入冗余信息,导致模型在训练数据上表现优异,但在未见数据上表现略有下降。
对嵌入的依赖:如果模型生成的嵌入表示不够聚类友好,如未考虑流量模式重叠时类间交叠严重,优化器的效果可能有限。且需要对每个样本计算嵌入间的距离,限制了其在大规模监控集(极端分类情况)上的适用性
对真实场景的适应性有限:实验数据来自模拟的客户端流量,未完全覆盖真实网络中的多样性(如多域流量、动态内容等)。因此,模型性能在真实世界中的泛化能力仍需进一步验证。例如并未考虑客户端进行多标签访问导致流量模式混杂的情况。