摘要

网站指纹识别（WF）是一种流量分析攻击，能够使本地被动窃听者推断出受害者的活动，即使流量受到虚拟专用网络（VPN）或像Tor这样的匿名系统的保护。利用深度学习分类器，WF攻击者可以对Tor流量达到超过98%的准确率。在本文中，我们探讨了一种基于对抗样本的新防御方法——Mockingbird。对抗样本已被证明可以在其他领域削弱机器学习分类器的效果。由于攻击者可以根据防御措施设计和训练其攻击分类器，我们首先展示了生成对抗样本痕迹的直接技术无法抵御使用对抗训练进行鲁棒分类的攻击者。随后，我们提出了Mockingbird技术，该技术通过在可行痕迹的空间中随机移动而不是遵循更可预测的梯度来生成抵抗对抗训练的痕迹。这一技术将经过对抗训练强化的最先进攻击的准确率从98%降至42%-58%，同时仅带来58%的带宽开销。总体而言，攻击准确率低于当前最先进的防御措施，并且在考虑Top-2准确率时更低，而带宽开销也相对较低。