[发明专利]一种网站指纹防御的智能流量混淆方法、系统及计算机存储介质

说明书

本发明公开一种网站指纹防御的智能流量混淆方法、系统及计算机存储介质，结合直接时间采样和自适应随机填充技术，针对网络用户生成的网站流量进行混淆，成功抵御了基于神经网络分类器的网站指纹攻击。首先从非用户目标网站抓取流量用作目标流量集，然后使用直接时间采样方法从目标流量集中获取填充阶段所需的时间信息，随后采样自适应随机填充技术向用户流量中填充虚拟数据包以改变整个流量序列，使得源网站流量模式趋向于某个目标网站流量模式，以此来混淆网站指纹攻击分类器。本发明能够实现网站流量的智能混淆，解决了匿名网络中网页访问的隐私保护问题。

技术领域

本发明属于网络安全技术，具体涉及一种网站指纹防御的智能流量混淆方法、系统及计算机存储介质。

背景技术

随着网络规模的扩大，越来越多的人使用网络进行娱乐和工作，但随之而来的是各种各样的网络监视，严重威胁到了网络用户的隐私。为了隐藏网络活动中的隐私信息，研究者们开发了一系列的匿名通信系统，如I2P、MIX、Tor等，可以为用户提供隐私保护和信息隐藏。Tor是当前最受欢迎的匿名通信系统之一，Tor致力于保护用户在访问网络时的安全性和隐私性，防止窃听者关联用户及其通信对象。但是Tor网络容易受到流量分析攻击，其中以网站指纹攻击为代表，可以通过被动的监听客户端与Tor网络第一跳结点之间的流量，运行机器学习技术识别出客户端所要访问的网页。一方面，攻击者在客户端和服务器之间收集传输的加密数据包，提取流量模式和特征，然后使用机器学习技术进行流量分析，推断出用户正在访问的目标网站。另一方面，防御者(例如Tor)已经开发出各种手段来伪装和变形数据包，用以抵御各种攻击方式。

网站指纹攻击主要是从加密数据包中提取有用的特征来训练模型，特征越显著、独特，网站指纹攻击的效果越好。因此大部分的网站指纹防御措施都是针对此特点进行设计的，目的是混淆网站加密数据包的模式。防御措施包括流量变形(使得源网站的流量看起来是来自另一个人网站)和时间变形(客户端和服务器之间数据包交换所需时间)。

但是随着深度学习的发展，越来越多的网站指纹攻击技术使用基于神经网络的分类器，导致以往的网站指纹防御方法无法抵御攻击。因此需要一个更加有效的网站指纹防御方法。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种网站指纹防御的智能流量混淆方法、系统及计算机存储介质，实现自适应的流量填充方式，抵抗现有的网站指纹攻击。

技术方案：本发明的一种网站指纹防御的智能流量混淆方法，包括以下步骤：

步骤S1、目标网站流量筛选和选择

选取用户不经常访问的网站作为目标网站，形成目标网站集，收集目标网站集中的网站流量形成目标流量集，提取目标流量序列中的到达间隔时间特征，将所有的到达间隔时间特征按列存储在于一个矩阵，形成到达间隔时间矩阵；

步骤S2、流量矩阵计算

根据到达间隔时间矩阵计算流量分布矩阵，确定目标流量与源流量之间的分布差异；同时设置填充参数，确定流量填充的范围和数量；

步骤S3、时间采样

使用余弦距离计算目标流量与源流量之间的距离，进而得到余弦距离最小的目标网站流量，从该目标流量序列中采样时间生成计时器；在程序收到真实数据包时启动计时器开始倒计时；若倒计时结束前又收到真实数据包，重新进行时间采样并计时(即重复步骤S3)；

步骤S4、数据包填充

倒计时结束启动填充程序，根据时间戳、数据包方向和大小信息生成虚拟数据包，随后填充虚拟数据包并等待下一条真实数据包的到来；若流量还未结束，返回步骤步骤S3；若流量结束，则结束填充进程。

进一步地，所述步骤S1中目标网站是指用户不经常访问且攻击者不感兴趣的正常网站，然后通过模拟用户网络环境访问目标网站，收集访问过程中产生的流量用作目标流量集。