Website Fingerprinting in the Age of QUIC_csdn 网站指纹攻击数据集

2021   QUIC -> 高效于TCP

研究问题：

• 在TCP设置中在 TCP 环境下训练的分类器是否可通用于 QUIC 跟踪
• QUIC 是否本质上比 TCP 更难进行指纹识别
• 两种协议之间特征的重要性有何变化
• 如何对 QUIC 和 TCP 跟踪进行联合分类

本文贡献：

• 讨论了 HTTP 从 TCP 到 QUIC 的转变给网站指纹识别带来的挑战，如与 TCP 的共存和依赖、嵌入式和可变长度控制信息以及协议版本（第 3 节）。
• 收集并评估了首个公开可用的1 QUIC-TCP 网站指纹数据集，其中包含约 11.7 万个 QUIC 和 TCP 网页跟踪。我们的封闭世界数据集包括 100 个 URL 的 200 次 TCP 和 QUIC 访问的 20,000 条跟踪记录。我们的开放世界数据集增加了 97,000 次跟踪，涉及 16,000 个 URL 和两种协议（第 4 节）。
• 证明在通过 QUIC 而不是 TCP 请求的网页中，有高达 96% 的网页未被最先进的 TCP 训练分类器检测到，如 k-FP[5]、DF[7]、Var-CNN[17]和 p-FP(C)[18]（第 6 节）。
• 证明为 TCP 手动设计的特征可应用于 QUIC 设置，但在过渡时必须小心谨慎，因为重要的特征可能会在不同设置之间发生变化（第 6 节）。
• 评估了对 QUIC 和 TCP 跟踪进行联合分类的两种方法：基于直接分类的方法（混合）和基于集合的方法（拆分）。我们的研究表明，虽然 QUIC 的分类本质上并不比 TCP 更难，但在训练集大小不变的情况下，同时对两者进行分类并非易事（第 7 节）。

2 背景

2.1 网站指纹识别

在网站指纹识别中，观察者的目标是根据侧信道信息（如从数据包大小和时间戳中获得的信息）识别通过加密信道访问的网站。观察者使用分类器来实现这一目的。分类器在网页样本上经过训练后，会接收从加载网页的轨迹中提取的特征向量，并将其标记为先前观察到的网页。

2.2 威胁模型和假设

被动窃听者希望确定客户端是否正在访问受监控的网页，以及是哪个网页。想要隐藏此信息的客户端通过加密和代理其通信来掩盖普通的识别信息，为此使用面向数据报的加密层。Tor并未广泛支持QUIC，选择Wireguard作为代表性的VPN技术。

2.3 先进的分类器

k指纹分类器（k-FP）：k 指纹分类器由随机森林和近邻算法组成。它使用随机森林来提取替代特征集，该特征集由样本到达森林中每棵树的叶片索引组成。使用这些备用特征向量，分类器可根据测试样本的汉明距离确定其 k 个近邻。如果与这些训练集中的邻居相关联的类别一致，那么测试样本就会被赋予相同的类别；否则，它就会与不受监控的类别相关联。当 k = 6 时，我们提取一个类别的预测概率作为该类别的近邻分数[7]。k-FP 分类器利用了人工从痕迹中提取的特征，这使得分类更具可解释性。

3.3 传输层的其他显著变化 

添加了进一步变化，但不会队网页跟踪产生实质性影响

复用数据流：QUIC 连接中的数据通过数据流发送。QUIC 协议中多路复用流的使用可防止单个资源在传输过程中出现损失，从而避免延迟整个传输。延迟整个传输过程。相反，这种情况可能会导致与所请求的资源相关联的不同轨迹。因为服务器响应的顺序更依赖于网络条件。响应的顺序更依赖于网络条件。

始终加密传输：与 TCP 类似，QUIC 利用 TLS 对通信进行加密。但与 TCP 不同的是，这种加密是强制性的，包括整个 QUIC 数据包，只有少数标志和连接标识符除外，因为这些标志和标识符在大多数数据包中都是可见的。

连接标识符：QUIC 连接与一对连接标识符相关联。每个标识符代表连接的一个端点，由该端点的对等方选择。此外，端点可根据请求获得新的标识符。这些标识符允许 QUIC 连接在端点的 IP 地址或端口发生变化后继续使用。

0-RTT 会话恢复：之前进行过通信的 QUIC 端点可以在其第一个数据包中发送加密数据。QUIC 的握手和 TLS 1.3 的会话恢复消除了 TCP 建立连接所需的最少一次往返，从而加快了数据传输和网页加载。

4 组合的QUIC-TCP数据集

4.1 识别启用QUIC的网页

5 特点和方法

利用了机器学习分类和特征分析的组合

数据包大小、方向

通过过滤小数据包来删除确认和控制数据包

真阳性、错阳性和假阳性。当跟踪被标记为受监控的网页时，就称为 "阳性"。我们使用 Wang [25] 提出的阳性定义，因为他们已经证明这些定义更能代表分类器的性能。true阳性是指被正确标记的监控跟踪。wrong阳性是指监测到的跟踪被错误地标记为不同的监测网页。当属于未受监控网页的跟踪被错误地标记为受监控网页时，即为false阳性。它们各自的比率（TPR、WPR 和 FPR）分别通过除以阳性标签（TPR 和 WPR）和阴性标签（FPR）的数量计算得出。

召回率。召回率等同于真实阳性率 (TPR)。它是指将受监控网页标记为正确受监控网页的比率。

r-精度 (πr)。分类器在给定数据集上的精度或灵敏度是真阳性与其他阳性的比率。这一指标与数据集中正负样本的数量有内在联系，需要了解数据集的分布情况，才能充分判断分类器在现实世界中的泛化情况。为了明确这种分布，Wang 提出了 r-精度。

6 从TCP到QUIC

本节将研究在TCP设置中训练的分类器是否可以推广到QUIC跟踪，两种协议之间特征的重要性如何变化，以及QUIC是否天生比TCP更难识别。

6.1 从TCP到QUIC的泛化

泛化：泛化是机器学习的一个核心概念，指的是分类器对以前未观察到的样本进行正确分类的能力。在网站指纹识别中，这传统上适用于对在实验室收集的痕迹进行训练后，对部署中观察到的痕迹进行分类。在这种情况下，鉴于目前对 VPN/TLS 代理的分类器的训练方式与隧道协议无关，我们研究了在隧道 TCP 跟踪上训练的分类器是否可用于涉及 QUIC 协议的设置。

TCP 训练的分类器对未监控的 QUIC 跟踪具有鲁棒性。首先，我们评估了分类器是否能够在未监控的 QUIC 流量情况下保持其预测能力。在控制设置中，我们仅在 TCP 跟踪上训练和测试分类器。在实验环境中，我们用未监控的 QUIC 曲线取代了一半未监控的测试样本。分类器超参数是根据相关论文设置的。
图 2 显示了在 "Control "和 "Unmon "这两种设置下的 r20 精确度和召回率中位数。在这里，精度的最大变化是 DF 分类器下降了 3.5%，k-FP 分类器下降了 1.8%。召回率的最大变化是 p-FP(C)分类器下降了 1.8%。不过，这些变化一般都在 Control 结果的四分位数范围之内。因此，我们得出结论：尽管协议发生了变化，但不受监控的 QUIC 曲线与受监控的曲线有足够大的不同，因此仍可将其归类为不受监控的曲线，只是精确度略有下降。

多达 96% 的受监控 QUIC 跟踪都躲过了 TCP 训练的分类器。接下来，我们研究了客户端是否可以通过使用 QUIC 请求页面来逃避对受监控页面访问的检测。

我们采用了上述设置，但在受监控和不受监控的测试集中，QUIC 和 TCP 的比例均为 1:1。这些结果在图 2 中也显示为 "两者"。在这里，我们发现 r20 精确度中值的下降幅度比上述设置更大，p-FP(C) 下降了 10%，DF 下降了 9.3%。此外，召回率的变化也更为明显。

我们观察到，与对照设置相比，分类器的召回率急剧下降，Var-CNN、k-FP、p-FP(C) 和 DF 分类器的召回率分别下降了 47%、37%、27% 和 23%。附录 B 中的其他 QUIC-TCP 比率也证实了这一结果。

表 2 中显示的 VarCNN 分类器的混淆矩阵解释了召回率严重下降的原因。在 5,000 个测试的 QUIC 样本中，有 4,801 个（96%）被分类器错误地归类为未监控痕迹。尽管这些痕迹属于同一页面，但它们之间的差异足以导致客户端访问受监控 URL 时未被检测到。

7 QUIC与TCP联合分类

探索两种联合分类QUIC和TCP跟踪的方法

由于某些web资源无法使用QUIC检索，因此QUIC跟踪包含QUIC和TCP连接的混合。

混合队精度的负面影响大于召回，因为更多未监控的页面被混淆为监控页面。但对于主要对召回感兴趣的观察者来说，这种方法为大多数分类器提供了与TCP设置相当的召回。

鉴别器仅使用少量的训练样本就可以高精度的确定跟踪是否包含QUIC或TCP连接。

split集成

9 讨论

注重隐私的网站要注意。注重隐私的网站在部署对 QUIC 协议的支持时应注意。仅使用 TCP 分类器对 QUIC 跟踪进行分类时遇到的障碍（第 6.1 节）以及在考虑额外协议时可能降低的性能（第 7 节）表明，支持 QUIC 是有益的。然而，考虑到观察者知道 QUIC 并通过 VPN 访问网页的情况。观察者如果能确定网页是否是通过 QUIC 请求的（第 7.2 节），就能利用这一信息将可能的网页集减少到支持 QUIC 协议的网页集，或消除其监控集内与纯 TCP 域的可能混淆。

10 相关工作

利用近邻搜索[3]、随机森林分类器[5]、隐马尔可夫模型[20]、流算法[21, 22]和神经网络[6, 7, 17, 18, 23]等算法，在加密的填充网络流量上实现了超过 95% 的识别率；而其他算法则试图通过详细的特征分析来提高分类器的性能[5, 37, 39, 51]。

已经提出了许多网站指纹识别防御方法 [3, 47, 52-60]。其中，BuFLO [56]、CS-BuFLO [55]和 Tamaraw [61]等固定速率和填充式防御方法虽然开销较大，但却提供了最高级别的隐私保护。其他防御方法，如 Glove [54]、Supersequence [3]、Walkie-Talkie [53]、FRONT 和 GLUE [47]，在避免高开销的同时，有选择地应用覆盖流量、填充和延迟来降低指纹的唯一性。

网站指纹识别文献的另一个分支试图验证攻击所依据的假设。这些著作开发了用于分割或以其他方式分类连续和重叠痕迹的算法 [21、26、27、47、62]。他们还解决了训练和维护分类器的可扩展性问题，其模型可逐步更新[22]，或仅使用少量样本就能将其学习成果转移到以前未见过的 URL 的分类中[23]。

更广泛地说，Sy 等人[63] 对 QUIC 协议头进行了评估，以发现潜在的隐私泄露问题；Govil 等人[64] 利用 QUIC 的连接迁移功能，通过在连接过程中不断更改客户端的 IP 地址来改善用户隐私。然而，尽管有各种各样的文献，但这些著作都没有研究在 HTTP 中引入 QUIC 协议对网站指纹识别的影响。