零延迟轻量级网站指纹防御

文章信息

论文题目：Zero-delay Lightweight Defenses against Website Fingerprinting
期刊（会议）： 29th USENIX Security Symposium
时间：2020
级别：CCF A
文章链接：https://www.usenix.org/system/files/sec20-gong.pdf

概述

在强调低成本、实用性和易用性的同时，本文设计了两种新的防御方法，可以击败最优秀的网站指纹（Website Fingerprinting, WF）攻击：FRONT和GLUE。我们称它们为零延迟轻量级防御系统，这意味着它们不会延迟客户端的数据包，而且只在真实流量中添加少量虚假数据包。

FRONT可混淆特征丰富的网络跟踪的前端部分，这对攻击者的成功至关重要。它使用随机数量的虚假数据包，破坏攻击者的训练过程。
GLUE在网络跟踪之间添加了虚假数据包，使客户端看起来好像在连续访问网页，没有停顿。这就迫使攻击者解决困难的拆分问题，而之前的研究发现，即使是最好的攻击也做不到这一点。

准备工作

威胁模型

我们考虑的是用户本地的被动对手。图1展示了攻击模型。对手位于用户和Tor网络入口节点之间，通过加密信道窃听网络通信。对手不会延迟、修改或丢弃任何数据包。

分类

从攻击者的角度来看，WF可被视为一个分类问题。在网页加载过程中，WF攻击者会记录网络流量跟踪（也称为数据包序列）。攻击者事先访问一定数量的受监控网页，并在这些痕迹上训练机器学习模型。每个网页都是一个类，属于该类的特定轨迹称为一个实例。然后，在观察客户端的跟踪时，攻击者根据训练好的模型预测跟踪属于哪个网页。

WF攻击可在封闭世界或开放世界场景下进行评估。在封闭世界场景中，我们假设用户只访问一组特定的网页，也称为受监控网页。在开放世界场景中，客户端也可以访问非监控网页，因此攻击者必须预测某个跟踪是监控网页还是非监控网页。如果是受监控的，攻击者必须进一步回答是哪一个。攻击者从不在客户端访问的同一网页上进行训练；因此，攻击者对客户端行为的事先了解为零。我们将重点放在更为现实的开放世界场景上。

精确度

阳性(positive)：如果WF攻击者将跟踪归类为属于受监控网页，则为阳性(positive)。如果分类正确，则为真阳性(true positive)。如果分类不正确，序列实际上属于另一个受监控网页，则为错误阳性(wrong positive)。如果分类不正确，序列实际上属于非监控网页，则为假阳性(false positive)。

在实验中，让 $N_{P}$ 和 $N_{N}$ 分别表示阳性和阴性的数量。让TPR和WPR分别表示真阳性和错误阳性占 $N_{P}$ 的比例。让FPR表示假阳性与 $N_{N}$ 的比例。那么精确度为
$\pi=\frac{TPR}{TPR+WPR+r\cdot FPR}$
其中，r是客户访问非监控网页的频率与客户访问监控网页的频率之间的比率。r越大，精确度越低，开放世界分类问题也就越难；以前的攻击显示，针对 $r = 1000$ 的客户端的攻击取得了成功。我们希望证明，即使对于频繁访问受监控网页的低r客户端，我们的防御也是有效的。因此，在本文中，我们将设置 $r = 10$ ，代表客户端每访问十个非监控网页访问一个监控网页。此后，我们将评估此类客户端的精度。

开销

跟踪（trace）：跟踪是在页面加载过程中收集的数据包序列，表示为 $P=\left \langle (t_1,L_1),(t_2,L_2),\cdots,(t_{\left | P \right | },L_{\left | P \right | }) \right \rangle$ ，其中 $\left | P \right |$ 是跟踪中cell的总数。 $t_i$ 是第i个数据包的时间戳， $L_i$ 表示第i个数据包的方向和长度。Tor使用自己的数据报，这些数据报被称为 “cell”，所有cell都被填充为相同长度。由于Tor单元的长度相同，我们只需使用 $L_i=+1$ 表示来自客户端的cell，-1表示来自服务器的cell。

l-跟踪：l-跟踪由对 $\ell$ 个网页的连续访问所产生的跟踪组成，记为 $P=P_1\parallel P_2 \parallel \cdots \parallel P_\ell$ 。

让P表示原始跟踪，P′表示实施某种防御D后的跟踪。我们对该跟踪的延迟和数据开销定义如下，它们是实施防御D的成本：
延迟开销：防御 D 在 P 上的延迟开销 T (D) 是传输真实数据包所需的额外时间除以原始传输时间。将发送完 P′ 中的最后一个真实数据包所用的时间表示为 $t_k$ ，则有 $T(D)=\frac{t_k-t_{|P|}}{t_{|P|}}$ 。
数据开销：防御 D 在 P 上的数据开销 O(D) 是假数据总量除以真实数据总量： $O(D)=\frac{|P^{\prime}|-|P|}{|P|}$ 。

请注意，延迟开销不包括整个跟踪 P′，只包括直到最后一个真实数据包的序列。这是因为在接收到最后一个真实数据包时，客户端的页面已经完全加载；在此之后发送或接收的额外虚假数据包不会影响客户端的体验。我们的防御系统FRONT和 GLUE的延迟开销为零（零延迟），数据开销很小（轻量级）。

FRONT

概述

混淆特征丰富的跟踪前沿：每次跟踪的前几秒（我们称之为跟踪前沿）都会泄露对WF分类最有用的特征。一些最佳攻击明确使用前沿跟踪进行分类。我们将大部分数据预算用于混淆跟踪前沿，而不是将它们平均分配到跟踪中。

跟踪间随机性（Trace-to-trace randomness）：FRONT 以高度随机的方式添加虚假数据包，确保同一网页的不同跟踪在总长度、数据包排序和数据包方向上彼此不同。为此，FRONT 随机化了数据预算和注入假数据包的区域。由于我们必须允许攻击者在防御跟踪而非原始跟踪上进行训练，因此跟踪间的随机性会损害攻击者为网页类别找到任何有意义模式的能力。大多数正则化防御措施都存在跟踪间一致性的问题。

防御设计

使用 FRONT 对跟踪进行防御有三个步骤：采样虚假数据包数量、采样填充窗口大小和安排虚假数据包。表 2 汇总了 FRONT 的参数。

在这里插入图片描述

采样虚假数据包数量： $N_c$ 和 $N_s$ 是决定 FRONT 数据开销的两个参数，分别代表客户端的填充预算和代理的填充预算。对于每个跟踪，客户端从1和 $N_c$ 之间的离散均匀分布中采样以获得 $n_c$ ，记为 $\bar{U}(1,N_{c})$ ；代理从 $\bar{U}(1,N_{s})$ 中抽取 $n_s$ 。 $n_c$ 和 $n_s$ 是它们将注入跟踪的假数据包的实际数量。

采样填充窗口大小：FRONT 将其大部分预算用于混淆跟踪前沿。为此，客户端和代理服务器都将首先生成一个填充窗口，以控制将大部分虚假数据包注入原始轨迹的位置。对于每个跟踪，客户端从 $W_{min}$ 和 $W_{max}$ 之间的均匀分布中采样 $w_c$ ，记为 $U(W_{min},W_{max})$ ；代理从相同的分布中采样 $w_s$ 。我们之所以设置下限 $W_{min}$ 而不是0，是为了确保生成的填充窗口大小不会太小；如果太小，防御可能需要极高的带宽速率来支持。

安排虚假数据包：对上述变量进行采样后，客户端和代理分别生成时间表，安排各自的 $n_c$ 和 $n_s$ 个虚拟数据包的发送时间。它们通过从瑞利分布（Rayleigh Distribution）中采样 $n_c$ 和 $n_s$ 次来生成时间戳。其概率密度函数为
$f(t;w)=\begin{cases}\frac t{w^2}e^{-t^2/2w^2}&t\geq0\\0&t<0&\end{cases}$
其中，对客户端来说 $w$ 是 $w_c$ ，对代理来说w是 $w_s$ 。发送真数据包时没有延迟，假数据包将根据时间表发送。当网页加载结束时，客户端会向中继器发送一个数据包，而时间表上任何未发送的数据包都会被丢弃。

防御分析

FRONT 采用的是瑞利分布（Rayleigh Distribution）。相应的概率密度函数 $f (t; w)$ 如图 2 所示。

曲线首先快速上升，在 w 处达到峰值，然后逐渐下降。这与我们的第一种直觉相吻合，即在跟踪开始时会出现突发的假数据包。虽然假数据包窗口的标称长度为 w，但该窗口是 "软 "窗口；我们预计 40% 的假数据包位于时间区间 $[0, w]$ ： $\int_0^w\frac t{w^2}e^{-t^2/2w^2}\mathrm{d}t\approx0.40$ 。

我们对虚假数据包的数量和填充窗口的大小进行采样，以便每次加载网页（即使是同一个网页）时，它们都是不同的。这就消除了攻击者可能利用的模式，正如我们的第二种直觉所建议的那样。

实验评估

实验评估列举分析了很多，简单起见这里只放一个表

GLUE

概述

近年来发布了许多 WF 攻击，所有这些攻击都依赖于相同的假设：攻击者要分类的每个跟踪都与一个网页完全对应。我们称这些跟踪为单一跟踪。如果客户端在访问下一页之前在网页上停留了一段时间，攻击者就会注意到明显的时间差，并在此时分割跟踪。即使是一秒钟的闲置时间也足够了。相反，当客户连续访问 $\ell \ge 2$ 个页面而没有明显的时间间隔时（例如，在当前页面完全加载之前点击下一页面链接），所有已知的WF攻击都无法成功地对由此产生的 "跟踪"进行分类，即使它们经过适当的训练并意识到这种可能性。

由于已知的WF攻击只能对单一跟踪（ $\ell=1$ ）进行分类，因此攻击者必须解决两个难题，才能正确地对 $\ell \ge 2$ 的l-跟踪进行分类。首先，攻击者必须正确确定 $\ell$ ；我们称之为分割决策问题。其次，攻击者必须找到 $\ell-1$ 个点，将l-跟踪分割成 $\ell$ 个独立的单一跟踪；我们称之为分割查找问题。然后，分类器可以将这些单一跟踪输入到强大的WF攻击中。有一些研究表明，后一个问题可以在 $\ell=2$ 的情况下解决，但总体上还没有已知的解决方案；而前一个问题则从未解决过。

我们利用解决这些问题的难度，创建了一种新的防御方法——GLUE。每当客户端停留在一个网页上时，GLUE 就会添加假数据包，使客户端看起来好像在连续访问新页面。当客户端加载新页面时，GLUE 会停止发送虚假数据包，从而隐藏下一个页面的真正开始。换句话说，GLUE 试图将单一跟踪粘合成 $\ell$ 很大的 $\ell$ -跟踪。由于无法解决分割决策或查找问题，如果错误地拆分跟踪，攻击很可能会失败。如果产生的单一跟踪在跟踪前端有额外的数据包（这对正确分类至关重要），情况就更是如此。

防御设计

假设一个客户端在一段时间内访问了 $\ell$ 个网页，然后停止了访问。GLUE 试图确保攻击者能看到看似连续的l-跟踪 $P=P_1\parallel P_2 \parallel \cdots \parallel P_\ell$ 。如果没有 GLUE，它们之间可能会有停留时间间隙，从而使攻击者可以轻而易举地分割它们。

用 $d_i$ 表示在 $P_i$ 上的停留时间。GLUE填充的最长时间为 $d_{max}$ 。为了让GLUE 创建一条l-跟踪，我们假设对于 $i=1,2,\cdots,\ell-1$ ， $d_i \le d_{max}$ ，且 $d_{\ell}>d_{max}$ 。当客户端停留在网页上时，客户端和代理将互相发送虚假数据包。图 8 给出了客户端的状态机，代理的状态机与之类似。GLUE还使用FRONT噪声来保护l-跟踪的第一部分。

Front模式：从Front模式开始，我们的防御系统会等待客户端访问网页。当客户端访问网页时，我们将按照前几节所述的FRONT防御方法添加假数据包。我们还将对接收到的数据包和发出的数据包之间的到达时间进行采样，以获得某种分布 I。客户端访问完网页后，我们根据 I（如下所述）对 $t_\Delta$ 进行采样，等待 $t_\Delta$ 时间后，然后切换到Glue模式。

Glue模式：在Glue模式下，客户端和代理相互发送虚假数据包，看起来就像客户端决定访问一个新的、随机的网页。(客户端后面的人实际上还停留在之前的网页上）他们这样做的时间最多为 $d_{max}$ 。如果客户端在超过 $d_{max}$ 之前实际决定访问另一个网页，他们会立即停止发送假数据包：客户端将通知代理也终止Glue模式。如果客户端在网页上停留的时间超过 $d_{max}$ ，算法将认为客户端处于非活动状态，并返回Front模式。否则，它将进入Back模式。我们把这里添加的虚包称为“glue跟踪”。

Back模式：在Back模式下，客户端正在访问另一个网页。这与Front模式类似，只是我们添加了零个假数据包。我们仍会对数据包到达间隔时间进行采样，并在等待 $t_\Delta$ 之后切换回Glue模式。

GLUE 在Front模式中加入了FRONT，确保任何l-跟踪的第一条跟踪都将使用 FRONT填充。这是因为我们发现，GLUE本身并不能很好地保护第一条跟踪，但却能很好地保护所有其他跟踪。我们需要增加一些开销来保护第一条跟踪。

在上文中，I 是到达时间间隔的分布，只包含接收和发出数据包之间的时间间隔。 $t_\Delta$ 是采样的到达间隔时间。我们选择 $t_\Delta\in U(I_{\bar{20}},I_{\bar{80}})$ ，其中 $I_{\bar{20}}$ 和 $I_{\bar{80}}$ 分别是到达时间分布 I 的 20 分位数和 80 分位数。我们故意制造这么小的间隙，是为了模拟在网页加载过程中，客户端从服务器接收数据后发出请求的时间间隔。通过这种方法，我们将真实跟踪与glue跟踪自然地连接在一起，中间没有任何异常间隙。我们还通过从均匀分布中采样来随机化 $d_{max}$ ，这样攻击者就无法轻易消除尾部的噪声。

我们用图 9 来说明 GLUE 的工作原理。假设一个客户端访问了三个网页，其真实跟踪分别为 $P_1$ 、 $P_2$ 和 $P_3$ ，然后停止访问，前两个网页之后的时间间隔分别为 $d_1,d_2<d_{max}$ 。攻击者将收集到一个3-跟踪，即 $P^{\prime}=P_1^{\prime}||P_2^{\prime}||P_3^{\prime}$ 。 $P_1^{\prime}$ 包含带有 FRONT 噪声的 $P_1$ ，之后是持续时间为 $d_1$ 的胶水跟踪。 $P_2^{\prime}$ 包含 $P_2$ 和持续时间为 $d_2$ 的胶水跟踪。 $P_3^{\prime}$ 包含 $P_3$ 和持续时间为 $d_{max}$ 的胶水跟踪。当然，攻击者不可能知道每条跟踪的起点或终点。事实上，攻击者甚至不知道有多少条跟踪。如果攻击者试图错误地分割组合跟踪，那么部分或全部分割跟踪的起点或终点都会受到假数据包的污染，这将极大地影响 WF 攻击性能。

分发Glue跟踪

为了确保胶水跟踪看起来像真实跟踪，客户端需要有一个包含真实网页负载的数据库。我们建议客户端在启动 Tor 时，从 Tor 目录服务器上获取这样一个数据库以及 Tor 节点列表。然后，客户端会在一段时间后要求获取更多信息。在Glue模式下，客户端会指示代理何时发送虚假数据包。

请注意，胶水跟踪不包含真实数据，只包含发送和接收虚拟数据包的时间戳。因此，我们预计跟踪不会造成太多额外的数据开销。我们对分发胶水跟踪的数据开销估计如下。在我们的数据集中，一个跟踪平均有 4441 个数据包。因此，网页的平均大小为 2.3 MB。假设一个时间戳占 2 个字节，那么一个胶水跟踪就占 4441 × 2 = 0.008 MB。因此，在客户端，如果下载的胶水跟踪数量与访问的网页数量相同，则长期数据开销为 0.008/2.3 ≈ 0.003；如果客户端下载的胶水跟踪数量是实际需要的 10 倍，则长期数据开销为 0.03。

在目录服务器端，我们估算的分发成本如下。根据2018年11月至2019年11月的统计数据，我们发现用于回答目录请求的平均带宽为 172 MB/s，而 Tor 用户的平均数量为每天 210 万。如果用户平均每天下载 200 个胶水跟踪，则分发胶水跟踪的平均带宽约为 39 MB/s。因此，目录服务器的数据开销预计约为 39/172 ≈ 23%。为了混淆用户活动，我们可以要求用户定期下载随机数量的胶水痕迹，即使他们不需要下载，也要使用填充来隐藏窃听者下载的胶水痕迹数量。