BiMorphing: A Bi-Directional Bursting DefenseAgainst Website Fingerprinting Attacks_a real-time defense against website fingerprinting

2019

一方面，攻击者收集客户端和服务器之间传输的加密数据包，提取模式和特征，并通过机器学习技术进行流量分析，试图推断出互联网用户试图访问的目的网站。另一方面，防御者（如Tor）一直在开发各种方法，通过伪装和变形绑定到特定网站的网络数据包来挫败此类尝试。

BiMorphing通过考虑相反方向的连续数据包序列之间的双向依赖来组织指纹攻击，提出的防御算法通过使用双向统计采样和优化技术来混淆网站模式，以实现最小的带宽开销和零延迟传输到实际流量。

攻击方法

与数据包类似，单一突发具有诸如大小（或长度）、时间和方向等特征。统一突发的大小是通过将其所有数据包的长度相加来计算的，时间是用突发内第一个数据包的时间戳减去最后一个数据包的时间戳。提取的特征包括四类：第一类是Dn-Up-burst大小特征，下行链路-上行链路连续突发形成的，第二类是Dn-Up-burst时间特征，第三类是Up-Dn-burst大小特征，第四类是Up-Dn-burst时间特征。使用BIND特征在封闭世界和开放世界设置中训练支持向量机分类器。

防御方法

由三个主要部分组成：双突发计数采样、降低填充开销的优化技术、双突发间隔到达时间采样

双突发计数采样

使双突发模式变形，让双突发看起来来自预先缺点的目标分布。确保原始数据包的零延迟，如果目标中的突发总数大于源中的突发总数，将额外的目标突发添加到源中，确保了小型网站的模式不会泄露给攻击者。

学习最优目标共现分布

上面可能在目标分布中引入抽样偏差，可能导致新生成的分布中目标的错误表示。并且在采样期间添加假数据包可能回导致带宽的高开销。

双突发到达间隔时间采样

当假数据包与原始真实数据包一起发送时会产生时间开销，会导致客户端和服务器之间交换的实际流量延迟。因此引入一种零延迟算法。

零延迟包交错

同时运行双突发计数采样和双突发到达间隔时间