摘要

本文由清华大学的三位研究人员Xinhao Deng、Qi Li和Ke Xu共同撰写，提出了一种名为Holmes的新型网站指纹识别（WF）攻击方法，该方法能够在网页加载的早期阶段通过时空分布分析有效地识别用户访问的网站。传统的基于深度学习的WF攻击依赖于收集完整的页面加载流量，这在实际应用中受到动态网络条件和多种防御机制的限制。Holmes通过分析网站流量的时间分布和空间分布，利用监督对比学习方法提取早期流量与预收集完整流量之间的关联，从而在网页加载的早期阶段实现鲁棒且可靠的网站识别。研究通过六个数据集的广泛评估，展示了Holmes相较于现有WF攻击在早期流量识别上的显著优势，特别是在暗网网站识别中，Holmes能够在页面加载平均仅21.71%的情况下成功识别网站，平均精度提升达到169.36%。

原理

Holmes的工作原理基于对网站流量时空分布的深入分析。首先，Holmes利用网站流量的时间分布特性，通过自适应数据增强技术生成早期阶段的流量数据，确保这些数据包含足够的网站信息。接着，Holmes采用监督对比学习（SCL）方法，将流量特征转换为低维嵌入空间，使得来自同一网站的不同加载阶段的流量特征在嵌入空间中紧密聚集。最后，Holmes通过计算未知早期流量与每个网站在嵌入空间中的空间分布信息的关联度，实现对早期流量的准确识别。这种基于时空分布分析的方法使得Holmes能够在动态网络条件和多种防御机制下，依然保持高效的网站指纹识别能力。

流程

Holmes的工作流程包括三个主要步骤：自适应数据增强、空间分布分析和早期网站识别。首先，通过分析网站流量的时间分布，Holmes生成包含足够网站信息的早期流量数据。其次，利用监督对比学习将流量特征转换为嵌入空间，分析网站流量的空间分布。最后，在每个固定时间间隔，Holmes将未知早期流量投影到嵌入空间，并计算其与每个网站的关联度，从而实现网站的早期识别。例如，在实际应用中，Holmes能够在页面加载仅21.71%的情况下，成功识别暗网网站，显示出其高效的工作流程和识别能力。

应用

Holmes的应用前景广阔，特别是在网络安全领域。由于其能够在网页加载的早期阶段识别网站，Holmes可用于实时监控和检测潜在的恶意网站，如暗网中的非法交易平台。此外，Holmes的鲁棒性和可靠性使其在对抗网络防御机制方面具有显著优势，有助于提升网络隐私保护和匿名通信系统的安全性。随着网络环境的不断变化和防御技术的升级，Holmes的持续优化和适应性将使其成为网络安全领域的重要工具。