论文阅读笔记-WF攻击入门基本概念

一、Website Fingerprinting attack的概念

​ 1. 网站数据在网络中传输，流量上体现出的一些独特特征，通过分析网站的指纹可以分析出用户身份，访问页面以及其他信息

​ 2.WF是流量分析攻击的一个研究领域

​ 3.WF攻击通过分析服务器和用户之间的加密通道，分析加密信道流量的时序、方向、数据包大小猜测用户访问的网站内容 本质上是一个有监督多分类问题

​ 4.主要的攻击目标是基于SSL/TLS的HTTPS加密协议和SSH加密协议以及Tor匿名通信网络(大多数研究是针对Tor网络的)

​ 5.攻击模型可以分为两类：分别是基于手工设计指纹特征的机器学习方法(过于依赖特征设计)

​ 自动提取指纹特征的深度学习方法。

二、WF的三个阶段

​ 1.特征工程: 将原始流量数据转换为通用格式，并提取流量特征数值（分析cap文件？分析wireshark抓的包？）

​ 2.测试集与训练集分割

​ 3.模型训练与评估阶段

三、open-world和closed-world

​ open-world 更加现实的情况 访问的网页不受限 —>**二分类问题(**是否访问？是否属于被监控的网页)

​ closed-world 只能访问一部分的网页(更简单)，但是也有一些应用场景，比如为了监控违法访问行为，将一些违法网页放到closed-world中，只需要监控是否访问这些网站即可。 ---->多分类问题

四、WF所提取的一些特征

五、一些常见的防御政策

​ 1.数据包填充，比如Tor中通过填充得到固定长度的cell使得长度分析失效

​ 2.改变数据包交互时间间隔

​ 3.流量加噪声 ，加一些随机的噪声，使得规律不太明显

​ 现在存在的一些问题是安全性和可用性之间的平衡，填充数据包或者加噪声等操作都会使得开销和带宽变大，

​ 所以提出的方案是否能在现实中部署也是一个问题

六、关于Tor

​ 应用广泛的匿名网络 ---->使用多跳代理机制

​ Tor的目标是通过隐藏路由信息和通信内容来提高用户的隐私。然而，**Tor不能掩盖传输数据包的大小、方向和时间。**这些信息的泄露是WF攻击的基础，通过分析这些特征可以分析出用户访问的网站

​ 目前广泛使用的匿名通信系统 Tor 匿名网络通过字节填充的方法固定传输单元的大小隐匿了数据包的长度特征

​ Tor对通信的内容和路由信息进行加密，并通过随机分配的节点路由中继加密的通信，这样只有一个节点知道它的直接对等节点

​ Tor的架构阻止了ISP和本地网络观察者识别用户访问的网站

​

七、概念漂移的概念

在预测分析和机器学习的概念漂移表示目标变量的统计特性随着时间的推移以不可预见的方式变化的现象。随着时间的推移，模型的预测精度将降低。

八、现有的WF攻击模型存在的一些问题

1.机器学习方法过于依赖特征设计

2.应对网站指纹防御能力弱

3.普遍存在概念漂移

​ 相比于人脸识别、文本翻译等应用场景，网络流量每时每刻都在产生，批处理的网站指纹攻击方法在实际应用中难以获得良好的效果，尤其在动态网页的网站中。

因此模型的训练过程最好是一个连续的过程----->实时数据