(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211029484.3 (22)申请日 2022.08.25 (71)申请人 天津大学 地址 300072 天津市南 开区卫津路9 2号 (72)发明人 赵来平　石丽丽　聂力海　李克秋　 (74)专利代理 机构 天津市北洋 有限责任专利代 理事务所 12 201 专利代理师 李素兰 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/567(2022.01) (54)发明名称 一种基于数据投毒的网站指纹识别防御系 统及方法 (57)摘要 本发明公开了一种基于数据投毒的网站指 纹识别防御系统及方法， 该系统包括数据投毒模 型训练模块和防御部署模块， 首先， 进行所述数 据投毒模型训练， 分别使用本地目标WF分类器DF 与数据投毒模 型一起进行训练， 保存训练好的数 据投毒模型； 然后， 进行防御部署。 与现有技术相 比， 本发明在低数据收集开销下使用较低的带宽 开销达到高保护成功率的效果， 另一方面是网站 数据无关的防御方法， 不需要定期更新防御调 度， 数据收集 开销低。 权利要求书2页 说明书5页 附图3页 CN 115361221 A 2022.11.18 CN 115361221 A 1.一种基于数据投毒的网站指纹识别防御系统， 其特征在于， 该系统包括数据投毒模 型训练模块和防御部署模块， 其中： 所述数据投毒模型训练模块， 该模块用于执行的相关过程为： ①根据用户端密钥从投 毒标签取出对应的元素， 输入到自定义的数据投毒模型； ②使用数据 投毒模型生成两个序 列， 由这两个共同形成一个对应于投毒标签的目标 投毒序列， 这两个序列被称为触发器； ③ 根据用户端密钥将所述触发器中的两个序列注入从trace存储库中随机选择的流量tr ace 中， 得到修改后的流量tr ace文件； ④将修改后的流量tr ace文件输入给目标WF分类器进行 预测， 将预测结果与 投毒标签之间的交叉熵损失函数反向传播； ⑤对数据投毒模型和目标 WF分类器同时进行优化， 根据交叉熵损失函数计算损失， 然后使用链式法则计算神经网络 每一个参数对应的偏导数， 最后使用优化器进行参数的更新， 分别使用本地目标WF分类器 与数据投毒模型一起进行训练， 来实现数据 投毒模型 的生成有效性的检验， 直到本地 目标 WF分类器能够对由数据 投毒模型生成的触发器进行分类或者本地目标WF分类器能够根据 每个网站的触发器对其进行准确的分类为止， 保存训练好的数据投毒模型， 以供后续的防 御使用； 所述防御部署模块， 用于执行的相关过程为： ①用户端代理使用要访 问的网站 的标签 作为投毒标签， 根据用户端密钥取出投毒标签的元素； ②将该元素输入给训练好的投毒模 型， 生成触发器； ③用户端代理将 触发器的形式和应该插入的位置通知防御 代理；④客户端 代理与防御代理协作， 根据用户端密钥将 触发器插入到流量trace文件中， 获得修改后的流 量trace文件。 2.如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统， 其特征在于， 在所 述数据投毒模型是一个多层感知器， 选择随机生成的标签作为投毒标签来训练投毒模型， 该模型的输入 是用户端密钥index 数组中与投毒 标签对应的数字对的one ‑hot形式， 输出为 两个长度为 l的方向序列。 3.如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统， 其特征在于， 在所 述用户端密钥是一个wn*2的index 数组， wn代表网站的数量， 每个网站对应于一对互斥的数 字； Tor为每 个用户生成一个这样的i ndex数组； 不同的密钥会产生 不同的触发器。 4.如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统， 其特征在于， 在所 述触发器是行防御时根据用户端密钥对应的网站数字对生成触发器， 然后根据用户端密钥 将其注入到流 量trace文件中。 5.如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统， 其特征在于， 所述 目标WF分类器为采用自定义的基于深度学习的目标WF分类器， 在训练一个投毒模型时， 所 述目标WF分类器从数据 投毒模型中生成触发器， 在数据 投毒攻击中， 只要一个输入包含一 个触发器， 数据投毒模型就会将该输入 归类为触发器的目标 标签。 6.基于如权利要求1所述的一种基于数据投毒的网站指纹识别防御系统的一种基于数 据投毒的网站指纹识别方法， 其特 征在于， 该 方法包括以下步骤： 首先， 进行所述数据投毒模型训练： ①根据用户端密钥从投毒标签取出对应的元素， 输 入到自定义的数据 投毒模型； ②使用数据投毒模型生成两个序列， 由这两个共同形成一个 对应于投毒标签的目标投毒序列， 这两个序列被称为触发器； ③根据用户端密钥将所述触 发器中的两个序列注入从trace存储库中随机选择的流量trace中， 得到修改后的流量权　利　要　求　书 1/2 页 2 CN 115361221 A 2trace文件； ④将修改后的流量tr ace文件输入给目标WF分类器进行预测， 将预测结果与投 毒标签之间的交叉熵损失函数反向传播； ⑤对数据投毒模型和目标WF分类器同时进行优 化， 根据交叉熵损失函数计算损失， 然后使用链式法则计算神经网络每一个参数对应的偏 导数， 最后使用优化器进行参数的更新， 分别使用本地目标WF分类器与数据 投毒模型一起 进行训练， 来实现数据 投毒模型的生成有效性的检验， 直到本地目标WF分类器能够对由数 据投毒模型生成的触发器进行分类或者本地 目标WF分类器能够根据每个网站的触发器对 其进行准确的分类为止， 保存训练好的数据投毒模型， 以供后续的防御使用； 然后， 进行防御部署： ①用户端代理使用要访问的网站的标签作为投毒标签， 根据用户 端密钥取出投毒标签的元素； ②将该元素输入给训练好的投毒模型， 生成触发器； ③用户端 代理将触发器的形式和应该插入的位置通知防御代理； ④客户端代理与防御代理协作， 根 据用户端密钥将触发器插 入到流量trace文件中， 获得修改后的流 量trace文件。权　利　要　求　书 2/2 页 3 CN 115361221 A 3