亥姆霍兹信息安全中心 | 以协议为中心的Web指纹识别研究

原文标题：Understanding Web Fingerprinting with a Protocol-Centric Approach原文作者：Bogdan Cebere, Christian Rossow原文链接：https://doi.org/10.1145/3678890.3678910发表会议：RAID笔记作者：宋坤书@安全学术圈主编：黄诚@安全学术圈编辑：张贝宁@安全学术圈

1、研究背景

现有研究表明，我们可以基于TLS加密流中的有效载荷元数据（如数据包长度、方向、时间间隔等）对HTTPS加密流量实现高精度的指纹识别，而无需对流量进行解密。这种Web指纹识别方法被广泛应用于域名识别、页面识别以及恶意流量检测等任务中。虽然这种方法具有较高的准确率，但它的泛化能力较弱，往往难以脱离实验环境进行工作，且容易受网页内容变化的影响。

本文提出了一个以协议为中心的框架，以理解指纹识别方法为何在受控环境下有效，以及如何将其应用到实际的攻击和防御中。围绕提出的九个研究问题，研究人员对域指纹识别和页面指纹识别进行了深入分析，旨在从TLS和HTTP的角度解释指纹识别结果。

2、HTTPS流量指纹识别的特征与协议语义

2.1 特征类型与特征建模

Web指纹识别通常依赖于两种类型的特征：一是与网络状态相关的特征（如数据包分片和时序），但它容易受到本地网络影响，难以在不同环境中泛化；二是与网络无关的特征（如数据包长度、方向和突发行为），它不受网络拥塞影响，在实际应用中更稳定。因此，近期研究更倾向于使用网络无关的信息，例如TCP流标识符、重组数据包长度以及TCP流序列等，用以训练机器学习模型。

近期的研究重点关注两种指纹识别学习策略：一种是提取突发行为的统计特征（如数据包长度平均值、方差），这种方法建模简单，适用于初步预测任务，但可能错过细微的突发特性；另一种是将突发元数据组织为时间序列进行处理，通常构建三维张量$（N_{Flows}、N_{Packets}、N_{Features}），以保留流的时序特征和语义信息

2.2 协议语义分析

本文采用时间序列方法，通过协议中心的视角来解释分类结果。TCP流中的每个数据包位置具有特定的语义含义，例如，在TLS 1.3协议中，流的前两个数据包依次包含客户端和服务器的握手信息，随后是成对的请求与响应。TLS握手中的SNI、TLS扩展等信息可能泄露指纹，但随着Encrypted Client Hello(ECH)和扩展随机化技术的发展，这类攻击窗口正在缩小。握手后，客户端和服务器通过加密的HTTP进行通信，采用AEAD对称加密算法（如AES-GCM或ChaCha20Poly1305）。这些加密方法虽然提供相同长度的密文，但默认情况下仍然为指纹识别攻击提供了潜在的攻击窗口。TLS 1.3的会话过程如下：

3、研究方法

本文不再提出新的指纹识别方法，而是聚焦于理解指纹识别何时成功以及为何能够成功。本文通过协议为中心的方法以确定分类模型的信息熵究竟源自通信的哪个阶段，将HTTP流建模为一系列重新组装的TCP有效载荷，这些载荷会不断累积，直到通信方向发生变化。在此基础上，研究人员构建了一个标准化的三维特征张量，用以训练多个不同的机器学习模型。与之前工作不同的是，该方法并不关注整体分类性能的提升，而是希望借此理解指纹特征在通信中出现的具体位置。

本文定义了“预测支持的关键窗口”概念，用于识别一个流中对分类结果起关键作用的最小负载区间，该区间内的数据包子集即可维持与完整流相近的模型预测性能（F1分数变化不超过0.02）。为界定该窗口，研究人员引入两种屏蔽策略：Ftail(s)通过屏蔽流的前段负载观察尾部的预测能力，Fhead(s)则遮蔽尾部以评估前段信息的重要性。若某数据包在遮蔽实验中被确认显著影响模型表现，则被纳入该关键窗口。

一个流中某段负载若被遮蔽将显著降低模型的F1分数，则说明这段负载承载了关键的分类信息。该分析框架具有三重意义：

• 帮助攻击者聚焦于高价值的数据段，从而提升攻击效率；
• 揭示模型实际发挥作用的通信阶段，有助于制定主动防御策略；
• 为构造防御机制（如有选择地添加填充）提供精准目标。

简言之，这种分析框架将对指纹识别背后的机制进行具象分解，从而支持更具针对性的攻防设计。

4、域名指纹识别

本文通过协议中心的分析方法，使用Tranco域数据集，揭示了HTTPS域名指纹识别的关键信息窗口及其对攻击和防御的启示。

• 关键信息窗口的定位：域名分类的预测能力高度依赖通信的初始阶段，即服务器TLS握手（含证书）、首个客户端请求（Client Request）和首个服务器响应（Server Response）。实验表明，排除这三个阶段的流量会导致分类性能显著下降（F1从0.84降至0.66）。这一预测支持关键窗口的发现，解释了传统流量指纹识别方法依赖通信开头的原因。域名指纹识别检测结果如下图：

• 有针对性的指纹识别防御：通过针对性填充关键窗口（并非全流量），可有效破坏分类熵，且带宽开销更低。例如，对前三阶段填充64字节，AUPRC从0.81降至0.58，接近随机猜测。全流量填充虽效果略优（AUPRC为0.55），但成本显著增加。进一步实验表明，填充块大小超过400字节时，防御效果接近完美（AUPRC约为0.5），验证了协议中心防御的可行性。不同填充块的大小域名指纹识别性能如下：

• HTTP缓存对分类的影响：攻击者可利用HTTP缓存机制特性提升指纹效果，但缓存行为在推理阶段难以绕过，需在数据采集时考虑。若仅训练缓存数据，模型在遇到非缓存流量时性能下降明显；反之则表现稍好，但F1分数仍低于0.7。混合数据训练集的效果最佳，平均F1分数为0.858。HTTPS缓存对域指纹问题的影响如下图：

• 标签数量对分类的影响：标签数量对指纹识别模型性能影响显著。在小于100个标签的数据集上训练会高估模型的性能，但随着标签数量的增加，模型分类性能下降，可能是因为共享服务器证书及特征值碰撞导致性能下降。这说明了实验设计中使用更大、更多样的标签集的必要性。分类性能随标签数量的变化如下图：

5、页面指纹识别

本文通过协议中心的分析方法，使用Wikipedia、9GAG和IMDB的子页面数据集，深入分析了HTTPS页面指纹识别的独特挑战与关键信息源，揭示了其与域名分类的本质差异。

• 使用首个TLS流进行分类：首个TLS流虽包含加密的HTTP请求路径，但前几个数据包（P0–P3）因内容通用且区分度不足，难以有效识别页面，尤其在页面数量较多时更为明显。以Wikipedia为例，研究发现识别关键窗口位于P4–P8的数据包之间，页面特征信息常出现在连接稍后的阶段，而非初始阶段，这表明页面识别的熵源往往位于连接后段。Wikipedia数据集上页面检测的关键窗口如下图：

• 识别特征子域：由于首个TLS流无法承载足够的有用熵，本文进一步分析了后续TLS流的判别能力，尤其是包含图片、视频等动态内容的子域流。在9GAG和IMDB数据集中，发现访问如accounts-cdn、media-amazon等子域的TLS流可以创建更多有用的指纹，这表明页面分类的预测支持关键窗口可能存在于后续子域流中。9GAG和IMDB数据集中初始主流与后续TLS流的识别效果对比如下图：

• 使用多个流进行页面分类：将多个子域的TLS流组合起来用于页面分类有着比单个流更好的的指纹效果。以9GAG和IMDB为例，融合如accounts-cdn、img-9gag、media-amazon等子域的流后，分类性能显著提升，F1和AUPRC分数均有提高，这验证了多流协同的有效性。为避免流顺序影响，训练时对子域流按固定位置编码。但在Wikipedia数据集中，由于HTTP/2多路复用影响，组合效果不佳，这也说明了多流策略的有效性具有任务和协议依赖性。组合多个流进行页面分类的效果如下图：

• 有针对性的页面指纹防御：通过对9GAG、IMDB和Wikipedia中泄露信息的关键TLS流应用不同大小的填充策略，发现填充能有效降低分类准确率，且所需填充大小因网站而异：如9GAG需较大填充（>2000字节）掩盖图像资源特征，而IMDB可通过小于200字节的填充隐藏查询特征。不同网站的页面识别效果随填充数量变化如下图：

• 用户代理对页面分类的影响：HTTP用户代理会影响页面指纹特征的表达，不同设备（如手机与桌面端）生成的流量在大小和布局上存在差异。实验表明，使用单一用户代理训练的模型在跨设备测试时性能显著下降（AUPRC低于0.6），而在训练中引入多种用户代理可有效增强模型的泛化能力。HTTP用户代理对页面分类性能影响如下图：

6、本文贡献

• 本文提出了一套以协议为中心的指纹识别可解释性技术，聚焦于TLS和HTTP机制，而非仅依赖数值特征进行建模。
• 本文系统分析了HTTPS通信中支持域名指纹识别和网页指纹识别的关键信息来源，指出两类任务的信息特征存在显著差异，并强调通信初始阶段并非总是最重要的指纹来源。
• 本文评估了实验设计对结果可推广性的影响，发现仅使用少量标签的数据集所得结论在实际环境中可能无法适用。
• 本文测量了HTTP缓存、用户代理变更等HTTP特性对指纹识别的影响，并探讨了相应的应对策略。

专题最新征文

• 期刊征文 | 暗网抑制前沿进展 (中文核心)

• 期刊征文 | 网络攻击分析与研判 (CCF T2)

• 期刊征文 | 域名安全评估与风险预警 (CCF T2)